行政楼局域网网络规划方案与设计.doc

1、 行政楼局域网网络规划与设计 第一章 需求分析 1.1行政楼概述 四川师范大学成都学院行政楼一幢，共约114个信息点，所有工作人员重要集中在一至六层楼内办公。随着办公人员与规模不断扩大，办公自动化、信息化需求，为提高各部门办公效率，增进信息交流，适应当代发展规定，需构建一种稳定完善行政办公局域网。新建网络必要满足行政楼将来3~5年内办公需求，支持行政人员管理、校园网站建设、严格网络信息安全管理系统，适应办公需求及后续不断发展。在行政楼内部建立稳定、高效办公自动化网络，从而提高员工工作效率和加快行政内部信息传递。某些员工配备桌面PC，使员工能通过内部网络接入Internet,以充分运用

2、因特网上资源。 依照与行政关于领导交流和行政各部门状况，拟建行政楼局域网重要信息点集中在行政部、技术部、财务部、教务部、后勤部，为了后来恰当扩充，信息点个数留有一定余量。信息点详细分布如下表1.1所示 表1.1 信息点分布状况 部门 楼层 办公室数量 信息点共计 值班室 1 1 2 后勤部 3 12 招生就业部 3 12 车队办公室 1 1 接待室 1 2 教务处 2 6 24 督导专家组 1 2 后勤部 1 3 计财科 1 4 会议室 3 2 4 院长办公室 1 2 人事处 3 12 副院长办公

3、室 4 2 4 校庆办公室 1 2 会议室 1 2 党委书记办公室 2 4 网络管理办公室 1 2 副主任办公室 1 2 宣传办办公室 1 2 学院办公室 1 2 基建办公室 5 1 2 继续教诲办公室 1 2 科研产业部 1 2 评估办公室 1 2 综合档案室 1 2 工会办公室 6 1 2 校史陈列馆 1 2 共计 6 41 114 为了更好地使用和管理网络，可以对行政楼各个部门进行类别划分，属于行政部有：三楼会议室、院长办公室、副院长办公室、校庆办公室、会议室、党委书记办公室、副主

4、任办公室、宣传办办公室、学院办公室；属于技术部有：督导专家组、网络管理办公室、科研产业部、评估办公室、工会办公室；属于财务部有：基建办公室、人事处、计财科；属于教务部有：招生就业部、教务处、继续教诲办公室、综合档案室；属于后勤部有：值班室、一楼后勤部、车队办公室、接待室、二楼后勤部、校史陈列馆。 1.2网络系统需求分析 学校当前开展行政楼局域网网络建设，旨在推动行政楼信息化建设，其最后建设目的是将行政楼建设成为一种借助信息化办公和管理高水平智能化、数字化办公网络，满足信息化学校规定，为各类应用系统提供以便，快捷信息通路，具备良好性能，可以支持大容量和实时性各类应用，可以可靠运营，具备较低故

5、障率和维护规定。主干网负责各子网和应用服务连接，为信息互换提供有效高速通道，满足学校办公信息安全规定，扩展容易，顾客使用简朴。要特别考虑学校内部信息共享等方面实时性。应依照学校行政楼各部门信息流量状况分派网段，以充分运用网络带宽，提高网络运营效率。具备良好管理性，可实现自动实行备份方略等功能，减轻维护人员工作量。结合行政楼 详细状况和当前网络技术发展潮流，网络应满足如下几点需求： 1．系统主干采用千兆以太网互换，下属子网采用百兆以太网，采用TCP/IP合同，提供原则化高速度主干网连接，实现100Mb/s互换到桌面网络。使用三层互换机来代替路由，实现数据迅速转发。 2．在同一种网络中支持各种

6、网络通信合同，为学生提供远程登录。在学校外学生可以通过VPN安全访问教务系统，进行远程访问等。支持各种传播介质。 3．行政楼网络内部资源共享，涉及文献共享，硬件共享，软件共享等 4．文献传播。能迅速地，在不需要移动存储设备状况下在各电脑之间进行文献拷贝。 5．校园内办公自动化，有效减少办公成本，校园内部人员可以以便安全地访问因特网。 6．能通过内部网络高速接入Internet进行工作，浏览网页查找资料。建立学校对外网站，提供一种对外宣传平台，提高学校知名度。 7．互换机采用主流、成熟和售后服务均佳产品，具备较高性价比。网络中使用设备和合同应完全符合国际通用技术原则。预留扩展空间，以便

7、此后网络改造。 8．核心互换机应采用三层互换机，支持VLAN等各种功能，能迅速地解决突发数据量，在内部顾客进行数据互换、语音通话、视频信号时不会浮现过载现象和数据包丢失状况。 1.3应用系统需求分析 为满足学校信息化建设需要，PC机操作系统应选取占市场份额最大主流操作系统，整个网络采用同一厂商操作系统产品，所选操作系统应根据如下需求： 1．所有客户端和服务器系统应当是易于配备和维护，保障客户端以便使用，并提供以便更新与升级办法。 2．系统运营应具备高稳定性，保障最高平均无端障时间。 3．服务器及客户机操作系统都需要支持TCP/IP合同，并可以运营大多数惯用应用软件，例如办公软件、图

8、像解决软件、CAD等。 4．计算机应用系统能解决大信息量传播和计算；易于顾客管理、界面简朴、逻辑清晰。 5．服务器操作系统应可以提供WEB、DNS等服务及完善管理功能。 6．所有操作系统及选取服务应尽量广泛支持各种硬件设备，系统设计应尽量减少整个系统成本。 7．在系统设计与实现及应用上应采用各种安全手段保障网络安全，并提供优质售后服务及技术支持。 8．系统设计应采用开放技术及原则应用软件，保障系统可以适应将来几年学校发展需求，便于网络扩展和校园网络构造变更。 第二章 行政楼网络总体设计 2.1设计原则 EIA/TIA569：商用建筑物原则中对电信路由和空间规定。 EIA/TI

9、A606：配线间管理。 TSB67：商用建筑原则中对电信途径建议规定。 IEEEE 802.2：10BASE-T、100BASE-T、10BASE-5、10BASE-2以太网原则。 IEEEE 802.5：TOKEN TING 4M/16M令牌环网原则。 IEEEE 802.7：FDDI网络原则。 IEEEE 802.4：ARCNET网络原则。 2.2设计原则 网络设计是保证网络工程质量核心环节之一，只有优良网络设计方案，才干通过精心施工建出高质量网络。网络系统技术复杂，涉及面广。要设计一种高性能校园网络，就必要对全局精心策划。本方案设计在追求性能优越、经济实用前提下，本着严谨、

10、慎重态度，从网络构造、设备选取、技术办法、网络管理等方面进行系统总体设计。为了使设计出来系统更为合理和经济，性能更加良好，在网络设计过程中应遵循如下原则： 高可用性/高可靠性：保证网络可靠运营，在网络核心某些应具备冗余和容错能力，提供公共网络连接、通信链路、服务器等全方位安全管理系统。保证很高平均无端障时间。 实用性和经济性：服务设备和网络虽然在技术性能上逐渐提高，但其价格却在逐年下降，不也许也没必要实现所谓“一步到位”。从实用性和经济性出发，选用合理设备和材料，进行最佳性能组合，做到实用，经济和有效。 安全性和保密性：计算机网络是一种极其复杂而又相对公开系统，既要考虑信息资源充分

11、共享，更要注意信息保护和隔离，安全保密是校园信息化建设核心，应依照相应管理制度和网络方略制定一套完善安全方略，采用适当技术手段，以达到目的，保证系统安全性。 扩展性和易维护性：系统便于扩展，即要满足学校网络不断发展规定，还要满足将来主流技术和升级需求。采用可网管产品，提供有效网络管理和系统监控等技术，保证系统维护管理简要、以便、有效。 先进性和成熟性：不但满足顾客当前需要，还应考虑满足将来几年内顾客对网络功能和带宽需要，采用成熟先进技术，尽量减少技术风险和投资风险，在保证应用和发展基本上，尽量减少不必要投资。 规范性和开放性：只有支持规范性和开放性系统，才干支持与其他开放型系统一起协同工

12、作。在设计和实行中，必要严格遵循国家规范和国际原则；网络系统应用开放原则技术，以满足将来网络扩充与其她网络互联。 2.3拓扑构造设计 在本次行政楼局域网网络设计中，网络拓扑构造选用星型网络拓扑构造，星型网络拓扑构造具备安全、可靠、易扩展等特点。咱们采用层次化模型来设计网络拓扑构造。层次化模型有助于实现较为复杂网络功能规定且节约成本，也可以支持较大网络规模便于行政楼网络升级扩大。在设计上划分了三层来设计：核心层、汇聚层和接入层。办公人员大概为120人，因学校规定网络主干具备高可靠性和可用性,且考虑到后来扩充和办公需要，为了保证数据转发迅速和可靠，核心层设计上采用了二台万兆三层互换机，在汇聚层

13、用两台三层互换机之间作链路聚合，做到设备冗余和负载均衡，就算其中某个互换机发生故障，网络也可以迅速恢复，增长网络可靠性。而在接入层设计上，使用多台二层互换机。如下图： 网络体系构造 行政楼网络总拓扑 2.4 IP规划 绝大多数局域网采用TCP/IP合同，因而IP地址规划在组建行政楼局域网 时至关重要。在行政楼网络规划中，好IP地址方案不但可以减少网络负荷,还 能为后来网络扩展打下良好基本。IP地址规划应考虑： 惟一性——一种IP网络中不能有两台主机采用相似IP地址。 持续性——为同一网络区域分派持续网络地址，缩减速路由表表项，提高路由表解决效率。 可扩充

14、性——为一种网络区域分派IP应有一定地址冗余，以便于主机数量增长，保证网络可持续发展。 简朴性——地址分派简朴，避免在主干上采用复杂掩码方式。 安全性——行政楼内部网络可按不同部门划分不同网段，以便进行管理。 学校申请了一种电信公网IP：61.190.10.2/24以及一种网通公网IP：220.249.10.2/24,内网采用私有地址，边界路由进行NAT转换。如下表格为本设计方案网络地址规划： 表2.1　IP地址分派 设备名称 接口 IP地址 描述 3S1 F0/1 192.168.3.1/24 3L-Switch 3S1 F0/2 192.168.1.2/2

15、4 3L-Switch 3S2 F0/1 192.168.4.1/24 3L-Switch 3S2 F0/2 192.168.2.2/24 3L-Switch 3S3 F0/2 192.168.1.1/24 3L-Switch 3S4 F0/2 192.168.2.1/24 3L-Switch R1 F0/1 192.168.3.2/24 Router R1 F0/0 192.168.4.2/24 Router R1 S1/1 61.190.10.2/24 电信 R1 S1/2 220.249.10.2/24 网通 VLA

16、N IP地址规划： VLAN 号 网段IP 名称 描述 1 172.80.1.0/24 管理 10 172.80.10.0/24 xzb 行政部 20 172.80.20.0/24 jsb 技术部 30 172.80.30.0/24 cwb 财务部 40 172.80.40.0/24 jwb 教务部 50 172.80.50.0/24 hqb 后勤部 60 172.80.60.0/24 Server 服务器 第三章 网络设备选型 3.1设备选型原则 1．具备较强安全性 2．代表当前网络系统设备先进水平 3．

17、具备优良可扩充性和升级能力 4．具备优良性价比，依照当前需求和将来扩展需求选取设备型号，避免追求高档和最新技术耗费巨大代价 5．选取售后服务好且有一套完善服务体系及将来在该领域发展筹划厂商产品。 为保证校园信息系统稳定性和高效运营，因而，应当采用主流网络产品。CISCO是网络业界第一品牌和最大研发专家，是项目可持续应用投资保护和规避厂家风险首选。依照实际调查，综合考虑各家公司发展状况、技术实力、市场占有率等各方面因素，本方案选取CISCO公司网络设备，以保证网络实用与性价比。 3.2核心层互换机选型 核心层为网络主干，选用品有“路由器功能，互换机性能”三层互换机最为适当。为公司办公网

18、络主干选用二台CISCO WS-C6509-E万兆路由互换机作为核心互换机来连接各级互换机，对全网数据进行高速无阻塞互换。CISCO WS-C6509-E为办公级模块化互换机，具备极高互换能力和端口密度，最多可支持上百个千兆以太网端口，充分满足网络互联需求。WS-C6509-E互换机拥有高达720Gbps背板带宽和387Mpps包转发率，以固定配备、存储转发互换方式、可堆叠独立设备，提供了线速度迅速以太网和千兆以太网连接，并带有三层路由引擎，可使公司网络具备很强升级能力，大大增长了网络互换能力、系统实时性和系统互动性。 3.3汇聚层互换机选型 汇聚层连接各接入设备，提供路由管理、网络服务等

19、每天访问量巨大，因此建议汇聚层设备选用二台CISCO WS-C3750X-24T-S三层公司级互换机，它以存储转发互换方式，160Gbps背板带宽和65.5Mpps包转发率，提供高水平可用性、安全性和管理能力，从而提高整个行政楼网络运营效率。行政楼网络中该设备通过1000Base-FX光缆上联核心互换机，形成网络高速骨干。WS-C3750X-24T-S传播速率为10/100/1000Mbps，具备很高性能和堆叠能力。满足服 务器群高速率接入需要，也可以满足因特网接入需求。WS-C3750X-24T-S互换机简化了网络布置，同步融合了可伸缩网络速率、性能、网络规模。 3.4接入层设备选型

20、 接入层互换机放置于楼层设备间，连接各端末设备，做为网络智能安全和方略边沿。为以便跨互换机VLAN划分，优化网络性能，简化网络拓扑构造，在本设计中接入层统一使用10/100Mbps自适应CISCO WS-C2960-24TC-L智能互换机。背板带宽为4.4Gbps,包转发率为6.5Mpps,以存储转发互换方式和全双工/半双工自适应传播模式，配备有千兆上行链路，所有接入层互换机组以百兆RJ-45直通双绞线互换到桌面，在网络中提供高密度接入。用于VLAN边沿为互换机端口间提供安全性和隔离性，同步保证语音流量从进入点通过虚拟通道直接传播到汇聚层设备上，而不会被定位到其他无关端口。保证了投资成本少及易

21、于管理规定。 3.5行政楼网络服务器设备选取 服务器是所有C/S模式网络中最核心网络设备，在相称限度上决定了整个网络性能。它既是网络文献中心，同步又是网络数据中心。学校需对外发布校园信息网站，且WEB站点为动态网页，因此，咱们服务器选取了联想万全R525 S5405办公级机架式服务器，它是一款内存1G，CPU为Intel Xeon E5405、主频MHZ，硬盘容量73GB，集成ATI显示芯片,16MB显存，集成Intel双千兆自适应网卡,支持网卡冗余、负载均衡等功能,可选外插Intel千兆自适应网卡服务器。它支持Windows server R2 Standard Edition中文版/

22、英文版(X32)、Windows server R2 Enterprise Edition中文版/英文版(X32)、Windows server R2 Standard Edition英文版（X64）、Windows Server存储增强版V2(WSS)等操作系统。且价格适中，有较高性价比。 3.6出口路由设备选型 由于大量数据都发生在局域网内部，因此对路由器性能规定不高，可以选用中低端路由器。因而出口路由器选用CISCO 2811模块化路由器。它是行政网络对外出口，也可以作为行政楼网络第一道防火墙。CISCO 2811模块化路由器提供了安全、可扩展网络连接，容纳各种流量类型，如VPN

23、等,最大DRAM内存为760MB，传播速率为10/100Mbps,支持IEEE 802.3x网络原则。内置防火墙功能提高了局域网安全性，运用CISCO 2811网络服务还可以防止和响应网络袭击和威胁。 3.7 客户端电脑选型 本设计为客户端PC机选取神舟新瑞E30 D4，神舟新瑞E30 D4配有Intel奔腾双核解决器G2030,双核心设计,相称于两个CPU共同工作,更大限度提高多任务解决能力,搭配4GB DDR3内存，CPU频率3GHz。配备500GB硬盘,有效减少成本，可使办公效率大大提高。性能好，运营速度快。 3.8重要网络设备清单 表3.1　重要网络设备列表 设备名称 产品

24、阐明 数量（个） 价格（万） CISCO WS-C6509-E 核心层设备 2 7.3 CISCO WS-C3750X-24T-S 汇聚层设备 2 3.52 CISCO WS-C2960-24TC-L 接入层设备 5 1.4 联想万全R525 S5405 服务器设备 2 5.5 CISCO 2811 边界路由 1 0.58 神舟新瑞E30 D4 客户端电脑 120 28.788 第4章 网络设计 4.1广域网接入 随着Internet技术不断发展，IP地址资源缺少是Internet面临一种核心问题。为了节约地址资源，在内部使用私有地

25、址段中地址，但是使用私有IP地址不能访问Internet。因此必要申请一种或各种公有IP地址配备在和Internet相连局域网边沿设备上。再应用NAT把使用私有地址内部网络转换成注册合法IP与Internet进行连接，解决了IP地址紧缺问题。 在该网络设计中，出口处仅使用了一种CISCO 2811路由器，因学校规定网络具备很高可靠性和迅速性，由于当前网通和电信两个运营商之间存在着互联互通速度慢问题，导致速度瓶颈。因此学校向ISP同步申请了8M中华人民共和国电信宽带和4M中华人民共和国网通宽带两条接入线路，在出口上采用双出口设计，提高校园网络对公网访问速度，保证网络稳定、可靠和迅速。 由于学

26、校只购买了一种电信公网IP地址和一种网通公网IP地址，而行政楼内部共有150各种信息点，采用普通静态地址转换，150各种信息点访问外网需要150各种公网地址，这样显然不也许。因此在出口路由器上采用NAT技术，在行政楼内部使用B类私有IP，通过基于端标语地址转换，将内部私有IP地址转换成公有IP地址在Internet上使用，既可节约IP地址，又可以同步让各种内网IP地址访问Internet。NAT地址转换使行政楼网络内外网互相独立，达到完全物理隔离目。 4.2 路由设计 4.2.1 OSPF 行政楼网络中有一种路由器和四个路由互换机，需使用路由合同使它们之间可以共享信息。考虑到将来网络扩展

27、平面构造路由合同（如RIP，EIGRP）不能满足网络性能规定。行政楼网络内部有6个顾客网段，4个中转途径，为优化网络性能，建议采用OSPF路由合同。因而在本设计中在核心层汇聚层互换机与外出其路由器之间使用OSPF路由合同，并运营在Area0区域上，以实现路由动态更新，加快核心层路由转发能力，保证全网互通。area0区域划分可减少各路由器路由表尺寸；占用网络资源少；利于网络扩展,使用灵活，安全性较好。 4.2.2 方略路由 行政楼网络分别连接了电信和网通双线路，通过在出口路由设备R1上添加方略路由包方式，实现电信数据走电信，网通数据走网通。IP报文将先依照方略路由指定方略转发，只有当所有方

28、略都不满足时，才查找路由表，依照路由转发，提高网络访问速度。 4.3 网络管理规划 4.3.1 VTP管理域 VTP DOMAIN称为管理域，是VLAN中继合同。在行政楼网络设计中，在行政楼内部划分了6个VLAN，如果要在每台互换机上都进行同一种VLAN建立，无疑加重了网络工程中网络配备工作量，并且在后来新加VLAN时增长了管理员工作量，因此在接入层和汇聚层互换机上配备VTP，所有互换机配备为相似管理域，三层互换机配备成服务器模式，这样只要在Server模式互换机上配备VLAN，管理域里所有互换机就可以理解彼此VLAN列表，减少在多台设备上配备同一种VLAN工作量。并且保持了VLAN配备

29、统一性。VTP配备信息如下表4.3.1所示： 表4.3.1　VTP信息 设备名称 Domain password Mode 3S1 cisco cisco Server 3S2 cisco cisco Server 3S3 cisco cisco Server 3S4 cisco cisco Server 2S1 cisco cisco Client 2S2 cisco cisco Client 2S3 cisco cisco Client 2S4 cisco cisco Client 2S5 cisco ci

30、sco Client 注：互换机为Server模式是指容许在本互换机上创立、修改、删除VLAN及对整个VTP域配备参数。Client模式则不容许在本互换机上创立、修改、删除VLAN。 4.3.2 IP地址管理 网络中需要为所有PC机配备IP地址，由于行政楼网络中有150各种信息点，为每一台PC手工配备地址工作量相称大，为了简化行政楼网络配备，在3S3三层互换机上采用DHCP技术，网内主机除服务器外均通过DHCP服务器动态主机分派合同，自动获得IP地址，减轻了网络配备工作量，同步当某个部门增长主机时不需要查看哪些IP地址可用，更不用紧张IP地址配备冲突。DHCP配备详细信息如下表4.

31、3.2所示： 表4.3.2　DHCP信息 名称 IP地址池 默认网关 DNS 描述 VLAN10 172.80.10.2-252 172.80.10.1 172.80.60.2 行政部 VLAN20 172.80.20.2-252 172.80.20.1 172.80.60.2 技术部 VLAN30 172.80.30.2-252 172.80.30.1 172.80.60.2 财务部 VLAN40 172.80.40.2-252 172.80.40.1 172.80.60.2 教务部 VLAN50 172.80.50.2-252

32、172.80.50.1 172.80.60.2 后勤部 4.3.3 TELNET远程登录 如果每次管理维护互换机与路由器时都到设备所在现场进行配备，管理员工作量很大且麻烦，为提高工作效率，在互换机路由器上进行telnet设立，后来再需要配备互换机与路由器时，管理员可以通过 telnet远程方式登录，然后进行配备与管理。需要注意是，互换机telnet 管理IP配备在Vlan虚拟接口上，而路由器或路由互换机管理IP在物理接口上，不在同一网段在互换机需加默认网关Ip default-gateway，Telnet登录配备详细信息如下表4.3.3所示： 表4.3.3　Telnet登录信息

33、 设备名称 管理IP地址 顾客名 密码 特权密码 R1 192.168.3.2/192.168.4.2 adim 123 12345 3S1 192.168.1.2 adim 123 12345 3S2 192.168.2.2 adim 123 12345 3S3 172.16.1.253 adim 123 12345 3S4 172.16.1.254 adim 123 12345 4.4 网络安全设计 4.4.1 VLAN规划 VLAN（虚拟局域网）它依托顾客逻辑设定将本来物理上互连一种局域网络划分为各种虚拟网段。虚拟网络（

34、VLAN）技术在局域网中起到举足轻重作用，由于VLAN技术可以提高行政楼网络效率和安全性，便于对顾客管理。 在本设计中对行政楼内部不同部门划分不同VLAN进行管理，以达到如下几种目： 1．控制网络上广播风暴。 行政楼网络客户端有上百台设备，如所有设备都在一种VLAN中，当某台设备发出一种广播报文，报文到达互换机后就会被互换机复制到除接受该报文接口外别的所有接口，挥霍了别的设备带宽。本方案将不同部门划分到不同VLAN中，可以较好保证一种VLAN中广播不会被另一种VLAN接受，这样就减少了广播流量，释放更多带宽给顾客应用。一种VLAN内通信主机原则上不超过50台控制在30台内，后勤部主机数量

35、超过20台，通过二层隔离，三层互换方式来解决。 2、加强了网络安全性。 一种VLAN为一种单独广播域，VLAN间互相隔离，提高了网络运用率。行政楼内不同部门需要配备不同访问权限，以保护保密数据安全，最有效办法是将网络划提成几种不同广播域，划分VLAN时禁止未经容许顾客访问VLAN中应用，保证网络安全性和保密性。 3．简化网络管理 依照分析计算，老式局域网中约有70%网络花销是由于添加、删除、移动、更改网络顾客而导致。VLAN技术可以实当前VLAN网中移动或变更工作站地理位置，不必变化网络物理拓扑构造，就能重组网络逻辑构造。有助于行政楼将来网络扩充。 在各种划分VLAN方式中，本设计选

36、取以互换机物理端口为根据来划分VLAN，在配备VLAN之前，为了使一条链路能为各种VLAN传送流量，把内部局域网中所有互换机与互换机之间链路所有设立为Trunk链路，这样VLAN信息就可以在各互换机之间传递，不同互换机但是同一种VLAN顾客也可以互相访问，即节约了网络硬件成本，从而也扩展整个网络。然后在VTP管理域中任何一台属性为Server互换机上建立VLAN，它就会通过VTP告示整个管理域中所有互换机，只要在接入层互换机上把同一种部门端口所有划分进同一种VLAN就行了。行政楼内部有150各种信息点，分5个部门，每个部门划分一种VLAN,VLAN配备信息如下表4.4所示： 表4.4　V

37、LAN信息 VLAN 号 名称 描述 1 管理 10 xzb 行政部 20 jsb 技术部 30 cwb 财务部 40 jwb 教务部 50 hqb 后勤部 60 Server 服务器 但如果要将互换机端口划入某个VLAN，就必要在该端口所属互换机上进行设立。 4.4.2 VPN技术 VPN（虚拟专用网）为咱们提供一种通过公用网络安全对行政楼内部专用网络进行远程访问连接方式。VPN使用减少了费用、增强内网安全性、IP地址安全。使学生在校外也能访问校园网。 4.4.3 ACL访问控制 通过访问列表，可以设立容许或回绝某些数据包通过，或者容许或回绝某些端口进行访问和使用，从而达到设立网络安全方略，防止网络中敏感数据受到非授权访问状况。访问控制列表控制了网络流量，控制了顾客网络行为，控制了网络病毒传播。 本设计方案配备ACL应用在各部门VLAN接口上，控制各部门访问。教务部能访问后勤部，但不能访问财务部、行政部和技术部。财部部内部可以互访问，可以访问其她所有网段，但不能访问技术部。行政部可以访问所有网段。技术部不能访问财务部和行政部，但可以访问其她所有网段。后勤部只能访问服务器网段。