多校园网络组建案例
刘永忠
无锡立信职教中心
摘 要 该文通过对多校园网络组建过程的介绍,对划分子网、划分VLAN,对设置路由器、ACL安全设置,以及NTFS安全权限与分享权限等进行了剖析,为如何组建多校园网提供了一种参考。
关键词 多校园网络,子网,安全,权限,
目前在我国,网络正在迅速地向中、小学校延伸,校园网建设已形成高潮。但校园网建设究竟怎么搞,没有统一的标准或指导,各校凭自己的理解和需要,摸索前进,盲目性很大。有的学校建了改,改了建,浪费了不少人力财力;有的学校网内资源对外封闭的多,交流的少,利用率不高。组建多校园网络,是一种低投入、高效率的网络有效方案,笔者根据多校园网络案例(设网络203.3.3.0组态图如图1所示),对路由器设置、同一台交换机支持多个网络、分权管理、文件的安全等组建中的常见问题,提出了解决方案。
Windows
Staff甲校区) Student甲校区
Staff( 乙校区 Student乙校区
图1:多校园网络拓扑结构图
1 划分子网
根据网络(203.3.3.0)布局及网段性质最多可划分为8个子网,共有8个网络号,只可用6个(第一个和最后一个不可用),每个子网段共有32个主机号,其中第一个是网络ID,最后一个是广播号,主机可用30个,子网掩码为255.255.255.224。
3、各校区IP地址分配(203.3.3.0) 甲校区:
2 划分VLAN(以思科Cisco产品为例)
由于涉及3个交换机,所以要在连线之前用以下命令划分VLAN,指令:Vlan database;Vlan vlan-num name vlan-name;Int ;Switch port access vlan num;Int vlan 1;IP address IP ;IP default gateway ;No shut 。然后根据网络图连接,DCE与DTE端口的接法要注意,不同Router接入不同的VLAN中.
3 设置路由器(以思科Cisco产品为例)
步骤如下:
1、 先清除Router中原有设置,指令:erase start。
2、 设置Name和Password,指令:host name ;line console 1;login;password;line vty 0 4;
login;password ;enable-password 。 3、设置端口IP,指令:int 〈端口号〉;IP address IP-address, Subnet Mask;no shut;sh IP int brief(查看端口设置)。
4、设置路由协议,指令:Router Rip;Net work (外网的200.1.1.0不必设),IP route 0.0.0.0 0.0.0.0 200.1.1.9(从丙处出内网的设置),其中200.1.1.9为下一个Router ,每个Router都不一样;sh IP route (查看Router设置)
5、设置登陆前提示,指令:banner modt $提示内容$
6、设置时间,指令:clock set hh:mm:ss d-m-y, clock set 12:12:35 03-feb-2005。 7、设置DCE端口的速率,指令:Clock rate 。 8、设置保护时间,指令:exec-time out 。
9、设置路由器域名服务,指令:IP host name address-address
4 ACL安全设置
1、假设所有PC不可以访问199.9.9.9,学生不能FTP外网(丙处f0/0端口)
不可以访问199.9.9.9设置为:access-list 101 deny ip 203.3.3.0 0.0.0.255 199.9.9.9 0.0.0.0,而学生不能ftp外网指令为:Access-list 101 deny tcp 203.3.3.207 0.0.0.15 0.0.0.0 255.255.255.255 eq 21(甲校区);Access-list 101 deny tcp 203.3.3.175 0.0.0.15 0.0.0.0 255.255.255.255 eq 21(乙校区)。除此以上之外都能自由访问指令:Access-list 101 permits ip 203.3.3.0 0.0.0.255 0.0.0.0 255.255.255.255 Int f0/0,IP access-group 101 out。
2、外部PC不可以访问内部服务器.(在丁处的F0/0口上)
指令为:Access-list 1 permit 203.3.3.0 0.0.0.255;Int f0/0;IP access-group 1 out。
3、 能通过HTTP访问内部服务器,不能用TELNET访问服务器,教师能自由访问
我们在甲校区、乙校区上的F0/0口上进行设置,以bdk为例,学生不能用TELNET访问服务器,指令:Access-list 101 deny tcp 203.3.3.175 0.0.0.15 203.3.3.32 0.0.0.31 eq 23。其它的自由访问(除了以上条件),指令:Access-list 101 permit ip 203.3.3.160 0.0.0.31 0.0.0.0 255.255.255.255,Int f0/0,IP access-group 101 in。
5 NTFS安全权限与分享权限(服务器操作系统Windows 2000 Server,下同)
在ACL安全设置后,在用做SERVER的PC上安装OS,运行并配置服务器,将PC提升为DC,并建好域,同时安装DNS, 进入配置WWW与FTP服务器。安全权限是针对不同用户使用同一计算机时,对用户目录的保护作用。以user2为例,建一目录ABC,右击ABC设置Security属性,在group or user name 中加入user2并给予全部权限,并将其它用户设置成无权访问,注消并以user3登陆,当试图打开ABC时将会出现无权访问的提示,从而达到安全的保障。
分享权限主要用于不同计算机间实现资源共享,设建目录KKK,右击KKK属性,选择sharing进行设置,也可设置访问权限(Chang ,Read)及对访问用户身份提出限制(ADD or Remove user)。
6 其它设置
1、服务器磁盘配额:
我们假设user3对D盘只有10M的使用权限,且还存2M空间时提出警告。具体步骤:右击D盘\属性\配额;选择“使用配额”,在“限制磁盘空间”处选择10M,在“警告容量”处选择2M,点击“配额项”/新建配额项/选择用户(user3)。当我们重新以user3登陆后右击D盘发现总容量只有10M了。
2、无线网设置,如今很多校园都在小范围内实行无线组网方案,其设置步骤:配置无线网卡驱动程序(无线桥接器与笔记本上);连线,此时要注意的是无线桥接器到交换机需用交叉线,或者通过HUB中转;再进行设置IP地址。
中小型学校建成多校园网络,在各校区之间实现办公、人事、物资、招生分配、学生学籍、各教学课目、教学实践等资源共享;也可在原来校园网基础上,实现多校区或多校园联网,充分实现教学资源、数据的共享和信息交流,减少资金浪费,大大提高工作效率。有关组网的方案很多,但各校的情况又千差万别。如何利用本地资源,降低投资费用,多校园网络研究是网络应用的一个重要方面。