学校内部网络如何搭建

A. 如何创建一个校园局域网

买个交换机和网线，没有网卡的机器配上网卡。

★压制双绞线RJ-45水晶头
双绞线两端头通过RJ-45水晶头连接网卡和集线器，需在双绞线两端压制水晶头，压制水晶头需使用专用卡线钳按下述步骤制作:

1.剥线

用卡线钳剪线刀口将线头剪齐，再将双绞线端头伸入剥线刀口，使线头触及前挡板，然后适度握紧卡线钳同时慢慢旋转双绞线，让刀口划开双绞线的保护胶皮，取出端头从而拨下保护胶皮;

注意:握卡线钳力度不能过大，否则会剪断芯线;

剥线的长度为13mm至15mm，不宜太长或太短。

2.理线

双绞线由8根有色导线两两绞合而成，将其整理平行按橙白、橙、绿白、兰、兰白、绿、棕白、棕色平行排列，整理完毕用剪线刀口将前端修齐;

注意:可以不按上述颜色排列连线，但双绞线两端接头的排线顺序应当一致，否则不能正常通信。

3.插线

一只捏往水晶头，将水晶头有弹片一侧向下，另一只手捏平双绞线，稍稍用力将排好的线平行插入水晶头内的线槽中，八条导线顶端应插入线槽顶端;

4.压线

确认所有导线都到位后，将水晶头放入卡线钳夹槽中，用力捏几下卡线钳，压紧线头即可。

重复上述方法制作双绞线的另一端即制作完成，使用前最好用万用电表检查一下，断路会导致无法通信，短路有可能损坏网卡或集线器。

★双机互连双绞线

如果你只连接家中的两台电脑，按下图方式制作双绞线可以不用集线器，直接连接两台计算机网卡的RJ-45接口即可实施通信，比用同轴电缆速度快，还节约材料，当然也节省费用。

★制作同轴电缆BNC接头

同轴电缆两端通过BNC接头连接T型BNC头，通过T型BNC头连接网卡，用同轴电缆组网需在同轴电缆两端制作BNC接头。BNC接头有压接式、组装式和焊接式，制作压接式BNC接头需要专用卡线钳和电工刀。压接式BNC接头制作步骤如下:

1.剥线

同轴电缆由外向内分别为保护胶皮、金属屏蔽网线（接地屏蔽线）、乳白色透明绝缘层和芯线（信号线），芯线由一根或几根铜线构成，金属屏蔽网线是由金属线编织的金属网，内外层导线之间用乳白色透明绝缘物填充，内外层导线保持同轴固称为同轴电缆。剥线用小刀将同轴电缆外层保护胶皮剥去1.5cm，小心不要割伤金属屏蔽线，再将芯线外的乳白色透明绝缘层剥去0.6cm，使芯线裸露。

2.连接芯线

购回的BNC接头由BNC接头本体、屏蔽金属套筒、芯线插针由三件组成，芯线插针用于连接同轴电缆芯线;剥好线后请将芯线插入芯线插针尾部的小孔中，用专用卡线钳前部的小槽用力夹一下，使芯线压紧在小孔中。

可以使用电烙铁焊接芯线与芯线插针，焊接芯线插针尾部的小孔中置入一点松香粉或中性焊剂后焊接，焊接时注意不要将焊锡流露在芯线插针外表面，会导致芯线插针报废。

注意:如果你没有专用卡线钳可用电工钳代替，但需注意一是不要使芯线插针变形太大，二是将芯线压紧以防止接触不良。

3.装配BNC接头

连接好芯线后，先将屏蔽金属套筒套入同轴电缆，再将芯线插针从BNC接头本体尾部孔中向前插入，使芯线插针从前端向外伸出，最后将金属套筒前推，使套筒将外层金属屏蔽线卡在BNC接头本体尾部的圆柱体;

4.压线

保持套筒与金属屏蔽线接触良好，用卡线钳上的六边形卡口用力夹，使套筒形变为六边形。重复上述方法在同轴电缆另一端制作BNC接头即制作完成。使用前最好用万用电表检查一下，断路和短路均会导致无法通信，还有可能损坏网卡或集线器。

注意:制作组装式BNC接头需使用小螺丝刀和电工钳，按前述方法剥线后，将芯线插入芯线固定孔，再用小螺丝刀固定芯线，外层金属屏蔽线拧在一起，用电工钳固定在屏蔽线固定套中，最后将尾部金属拧在BNC接头本体上。

制作焊接式BNC接头需使用电烙铁，按前述方法剥线后，只需用电烙铁将芯线和屏蔽线焊接BNC头上的焊接点上，套上硬槊料绝缘套和软槊料尾套即可。

★自制终端电阻器

总线型网络同轴电缆两端头需安装50欧终端电阻器，其中一端有接地环。自制终端电阻器可利用一只BNC接头，在BNC接头的芯线和外壳之间焊接一只51欧电阻(因为电阻规范没有50欧电阻)即构成终端电阻器，外层引出一根线作为接地线。

网线制作完毕以后，你就可以安装网卡、连接网络了。

安装网卡

网卡是网络的重要组成器件之一，网卡的好坏直接影响网络的运行状态。安装网卡包括网卡的硬件安装、连接网络线、网卡工作状态设置和网卡设备驱动程序的安装，以下讨论安装网卡的相关内容。

★网卡的硬件安装

1.关闭主机电源，拔下电源插头，打开机箱;

2.从防静电袋中取出网卡，根据网卡底部的金手指长度为网卡寻找一合适的插槽（ISA卡底部金手指略长于PCI卡金手指）;PCI插槽（白色）在主板后侧中部，ISA插槽（黑色）在主板右后侧;

3.拧下机箱后部挡板上固定防尘片的螺丝，取下防尘片，露出条形窗口;

4.将卡对准插槽，使有输出接口的金属接口档板面向机箱后侧，然后适当用力平稳地将卡向下压入槽中;

5.将卡的金属档板用螺丝固定在条形窗口顶部的螺丝孔上。这个小螺丝既固定了卡，又能有效地防止短路和接触不良，还连通了网卡与电脑主板之间的公共地线。

注意:网卡和主板上有许多易遭受静电而损坏的集成电路，安装卡前最好将其放置在防静电袋中，安装时再小心地从静电袋中拿出;接触卡前用手触摸地或者墙壁，以释放身上所带的静电;拿网卡时尽可能不接触集成电路芯片和卡底部的金手指。

★连接网络连线

1.连接RJ-45接口

星形网络用双绞线连接网卡至集线器，将双绞线两端水晶头像插电话插头一样插入网卡和集线器的RJ-45接口中即可。

2.连接BNC接口

总线型网络使用T型BNC接头以串联形式连接网卡和两侧的计算机，连接时将T型BNC接头中央的阴性接头插在网卡BNC阳性插头，T型 BNC接头两侧的阳性插头分别插在两条电缆的BNC阴性接头上，通过两条电缆连接两侧的计算机。

注意:将阴性接头插入阳性接头后需旋转90度使接头上的卡口到位，以保持接触良好;

如有服务器请将其连接在端头上，作为网络的第一台计算机。

最端头的两只T型BNC头边缘的空余接头上必须插接50欧终端电阻器，两只终端电阻器中有一只端头有接地环，接地环应良好接地，以防止干扰和漏电。

3.检查与故障处理

用双绞线连接集线器和网卡的网络，接通主机和集线器电源之后，每间隔一定时间（如16毫秒）集线器和网卡之间有一脉冲信号，如果你看到集线器和网卡上的LED发光二极管间断闪烁，基本说明网卡能正常工作。

安装双口网卡后暂时不联接电缆线，接通计算机电源，如果网卡上两个LED指示灯都亮，则网卡的接口方式为BNC状态;如果只有一个LED指示灯亮，则网卡的接口方式为UPT（RJ-45）状态，如果网卡当前接口状态不是你需要的状态，请运行网卡程序软盘中的设置程序进行设置。

总线型网络的串联连接方式很容易出现故障，检查时采用从服务器出发，分段排除的方法。即由距服务器最近的一台工作站开始，先断开其后的所有工作站，将50欧终端电阻器移至该计算机，查看这台工作站能否上网，若能上网，再接入相邻的第2台工作站，判断能否上网，如此往下操作，直至找到故障站点。一般情况下细缆网络故障主要由断路或短路两个原因引起，主要在接头处出现，可用万用表在总线中央断开进行测试，安装有终端电阻器电阻应为50欧，未安装终端电阻器电阻应为无穷大，如干线两端未安装50欧姆的终端电阻或终端电阻松动而产生开路会导致网络通信不正常。

★网卡工作状态设置

网卡工作状态设置主要指IRQ中断设置、I/O地址设置，对有些双口网卡还需要设置接口联接方式。这里以较为常见的NE2000PnP兼容网卡为例，讨论如何设置网卡的工作状态。

NE2000PnP双口网卡附有一张程序软盘，盘上有网卡的设置、诊断程序和用户手册。NE2000PnP双口网卡出厂时网卡设置为非PnP模式、IRQ设定为3，I/O地址设定为300H，接口联接方式为BNC。设置更改网卡的工作状态，需运行随网程序软盘中的程序SETUP.EXE。操作步骤如下:

1.在DOS状态下，将安装软盘插入软驱A，键入SETUP进入设置主菜单;

2.在主菜单“SETUP Main Menu”中选择“Adapter Configuration”选项，进入设置菜单;

3.在菜单““Adapter Configuration Menu”中选择“Change Configuration”选项进入更改设置对话框;

4.在更改设置对话框中，“Operation Mode”栏有三个选顶，如果选择“Jumperles”(跳线模式)，可由你自己设置IRQ和I/O地址，如果选择 “Plug & Play”（即插即用）或“AutoSense”（ 自动检测）模式，由系统自动为你选择IRQ和I/O地址;

目前，大多数网卡支持即插即用，如果你的操作系统（如Windows 9X）、主板BIOS和网卡均能非常好的支持即插即用，建议选择“Plug & Play”（即插即用）模式，系统能自动设置IRQ中断和I/O地址设置。

如果你的主板BIOS不支持即插即用，如486主板，必须选择“Jumperles”(跳线模式)自行设置网卡的工作状态;有些主板BIOS和操作系统（包括Windows 9X）对即插即用支持不好，当无法安装网卡驱动程序或发生资源冲突时，你可以选择“Jumperles”(跳线模式)自行设置网卡的工作状态。

5.设置完毕，系统会提示是否储存，如选择“YES（是）”，系统会将设置内容储存在网卡上的EEPROM中;

6.退回上一级 “Adapter Configuration Menu” 菜单后，可选择“Run Diagnostics”选项，对网卡的设置内容进行测试，若不能通过测试请重新设置。

在NE2000PnP网卡程序软盘根目录下，MOD9008.EXE可用于更改网卡的“Jumperles”(跳线模式)、“Plug & Play”（即插即用）和“AutoSense”（自动检测）模式;DIAG.EXE可用于更改、测试网卡的工作状态。上述程序均需在DOS状态下运行，设置测试方法与上述内容雷同，此处不再描述。

★安装网卡设备驱动程序

安装网卡（网络适配器）设备驱动程序可用以下三种方法:

方法一:硬件安装完成后开启电脑时，Windows 9X自动侦测到网卡的存在，并出现找到新硬件设备的画面时，此时可按提示进行安装;

方法二:Windows 9X启动并出现找到新硬件设备的画面时，选择“不安装驱动程序，Windows以后将不再提示”选项，而后利用“控制面板”/“添加新硬件”安装。

方法三:Windows 9X启动并出现找到新硬件设备的画面时，选择“不安装驱动程序，Windows以后将不再提示”选项，而后利用“控制面板”/“网络”安装。

上述三种安装网卡驱动程序的界面略有差别，但对非即插即用网卡和非即插即用主板，系统无法自动侦测到网卡，只能用后两种方法安装。由于安装网卡（网络适配器）、添加客户软件、添加网络协议、设置网络服务功能均可通过“控制面板”/“网络”对话框进行，本文讨论第三种方法。

下文以最常用的NE2000兼容网卡为例，讨论通过“控制面板”/“网络”对话框安装网卡设备驱动程序的具体操作步骤。

1.启动计算机进入到Windows 9X桌面;

2.选择“开始”/“设置”/“控制面板”;

3.在“控制面板”中，打开“网络”窗口;

4.在“网络”窗口的“配置”标签中;选择“添加”按钮，打开“选定网络组件类型”窗口;

5.在“选定网络组件类型”窗口的“单击要安装的组件类型:”选择框中选定“适配器”后，选择“添加”按钮，打开“选定网络适配器”对话框;

6.在“选定网络适配器”窗口左边的“厂商”选择框中选择网卡的制作厂商;在右边的“网络适配器”选择框中选择网卡名称;

注意:对NE2000兼容网卡，可在左边的“厂商”选择框选择“Novell/Anthem”，在右边的“网络适配器”选择框选择“NE2000 Compatible”;

如果“选定网络适配器”窗口中没有你的网卡，请单击右下侧“从磁盘安装”按钮，打开“从磁盘安装”对话框;在“从磁盘安装”对话框中，单击“浏览”，在网卡驱动程序软盘中选定网卡驱动程序后，按“确定”按钮;系统将读取软盘中的网卡驱动程序信息。

7.按“确定”按钮后，对非即插即用的NE2000兼容网卡，系统会给出“NE2000 Compatible属性”对话框，在此对话框“属性”标签中有“配置类型”、“中断IRQ”、“I/O地址范围”三个选择框，如果框中设置的资源前有“#”号，表示该值为当前硬件的设置值;如果框中设置的资源前有“*”号，表示该值与其它硬件有冲突，需在选择框中选定其它资源以避免冲突;

8.以后按提示“插入Windows 9X安装光盘”，给出安装目录，即可完成安装。

★添加网络协议

网卡设备驱动程序安装完成，按提示重新启动以后，在“控制面板”/“网络”/“属性”标签的“已安装下列网络组件”窗口中通常会有以下条目:

“Microsoft网络客户”—— 用于与其它Microsoft Windows计算机和服务器相连接的软件，以便使用其上的计算机共享文件和打印机;

“NetWare网络客户”—— 用于与NetWare服务器相连接的软件，以便使用其上的共享文件和打印机;

“Novell/Anthem NE2000”—— 当前网络适配器（即网卡），是物理上连接计算机与网络的硬件;

“IPX/SPX兼容协议”——NetWare和Windows NT服务器及Windows 9X计算机使用的通信语言，两台计算机间必须用相同的协议才能相互通信;

“NetBEUI”——用于连接Windows NT、Windows for Workgroups 或LAN Manager 服务器的协议。

如果你不连接NetWare服务器，可以将“NetWate网络客户”条目删除;只使用“IPX/SPX兼容协议”和“NetBEUI”其中之—就可以在Windows 9X对等网中通信。Windows 9X可以同时装入多种网络协议，但网络中多台机器的协议配置要一致，比如都使用“IPX/SPX兼容协议”或均使用“NetBEUI”，使用过多的协议会使网络速度变慢。

如要登录到NOVELL网络，则应设置好“IPX/SPX兼容协议”;如果登录Windows NT服务器，应根据网络管理员的要求添加协议;如想通过Windows NT服务器连接Internet必须添加“TCP/IP”协议。

如果在“控制面板”/“网络”对话框“属性”标签的窗口中没有你需要的协议，请按下述方式添加（以添加“TCP/IP”协议为例）:

1.在“控制面板”/“网络”对话框中选择“添加”按钮，打开“选定网络组件类型”窗口;

2.在“选定网络组件类型”窗口中选定“协议”后，按“添加”按钮，打开“选定NetTrans”对话框;

3.在的选择网络协议对话框的“厂商”窗口选取“Microsoft ”，在网络协议窗口选取“TCP/IP”;

4.按“确定”按钮完成安装。

完成上述工作后，你就可以登录网络，但还须根据网络的要求进行一些设置，具体登录网络的方法请参见以后几节的内容。

★网卡安装故障检查方法

如果无法安装网卡驱动程序或安装网卡后无法登录网络，请按下述步骤检查处理:

1.选择“控制面板”/“系统”图标，打开“系统属性”窗口;

2.在“系统属性”窗口的“设备管理”标签的“按类型查看设备列表”中，双击“网络适配器”条目前的“+”号将其展开，其下应当列出当前网卡;

3.如果“设备管理”标签中没有“网络适配器”条目或当前网卡前有一“X”号，说明系统没能识别网卡，可能产生的原因有网卡驱动程序安装不当、网卡硬件安装不当、网卡硬件故障等等;

4.如果网卡前有一带圆圈的“！”，说明系统找到了网卡，但网卡不能正常工作，请选定网卡后按“属性”按钮，打开“网卡属性”单;

5.如果网卡不能正常工作，在“网卡属性”窗口“常规”标签的“设备状态”栏目中会给出故障类型和推荐的解决方法;如果存在资源冲突，在“资源”标签中的“冲突设备列表”中通常会给出与网卡发生冲突的设备以及冲突的IRQ中断号或I/O地址。

对有些PCI网卡，用上述方法无法检查到资源冲突，可选择“开始”/“程序”/“附件”/“系统工具”/“系统信息”打开“Microsoft 系统信息”窗口，双击左边窗口“系统信息”框中“硬件资源”条目前的“+”号将其展开后，能检查到资源冲突。

B. 校园网基本网络搭建及网络安全设计分析

摘要：伴随着Internet的日益普及，网络应用的蓬勃发展，网络信息资源的安全备受关注。校园网网络中的主机可能会受到非法入侵者的攻击，网络中的敏感数据有可能泄露或被修改，保证网络系统的保密性、完整性、可用性、可控性、可审查性方面具有其重要意义。通过网络拓扑结构和网组技术对校园网网络进行搭建，通过物理、数据等方面的设计对网络安全进行完善是解决上述问题的有效 措施 。

关键词：校园网；网络搭建；网络安全；设计。

以Internet为代表的信息化浪潮席卷全球，信息 网络技术 的应用日益普及和深入，伴随着网络技术的高速发展，各种各样的安全问题也相继出现，校园网被“黑”或被病毒破坏的事件屡有发生，造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、 基本网络的搭建。

由于校园网网络特性（数据流量大，稳定性强，经济性和扩充性）和各个部门的要求（制作部门和办公部门间的访问控制），我们采用下列方案：

1. 网络拓扑结构选择：网络采用星型拓扑结构（如图1）。它是目前使用最多，最为普遍的局域网拓扑结构。节点具有高度的独立性，并且适合在中央位置放置网络诊断设备。

2.组网技术选择：目前，常用的主干网的组网技术有快速以太网（100Mbps）、FDDI、千兆以太网（1000Mbps）和ATM（155Mbps/622Mbps）。快速以太网是一种非常成熟的组网技术，它的造价很低，性能价格比很高；FDDI也是一种成熟的组网技术，但技术复杂、造价高，难以升级；ATM技术成熟，是多媒体应用系统的理想网络平台，但它的网络带宽的实际利用率很低；目前千兆以太网已成为一种成熟的组网技术，造价低于ATM网，它的有效带宽比622Mbps的ATM还高。因此，个人推荐采用千兆以太网为骨干，快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的__带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导，门的关起等。对本地网 、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题，我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN（Virtual LocalArea Network）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域（或称虚拟LAN，即VLAN），每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到 其它 VLAN中，即使是两台计算机有着同样的网段，但是它们却没有相同的VLAN号，它们各自的广播流也不会相互转发，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的，它在以太网帧的基础上增加了VLAN头，用VLANID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。从目前来看，根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员，被设定的端口都在同一个广播域中。例如，一个交换机的1，2，3，4，5端口被定义为虚拟网AAA，同一交换机的6，7，8端口组成虚拟网BBB。这样做允许各端口之间的通讯，并允许共享型网络的升级。

但是，这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN，不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员，其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术，防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一，防病毒技术。病毒伴随着计算机系统一起发展了十几年，目前其形态和入侵途径已经发生了巨大的变化，几乎每天都有新的病毒出现在INTERNET上，并且借助INTERNET上的信息往来，尤其是EMAIL进行传播，传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害，同时为了建立一个集中有效地病毒控制机制，天下论文网需要应用基于网络的防病毒技术。这些技术包括：基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如，我们准备在主机上统一安装网络防病毒产品套间，并在计算机信息网络中设置防病毒中央控制台，从控制台给所有的网络用户进行防病毒软件的分发，从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后，不但可以做到主机防范病毒，同时通过主机传递的文件也可以避免被病毒侵害，这样就可以建立集中有效地防病毒控制系统，从而保证计算机网络信息安全。形成的整体拓扑图。

第二，防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备，专门用于TCP/IP体系的网络层提供鉴别，访问控制，安全审计，网络地址转换（NAT），IDS，，应用代理等功能，保护内部 局域网安全 接入INTERNET或者公共网络，解决内部计算机信息网络出入口的安全问题。

校园网的一些信息不能公布于众，因此必须对这些信息进行严格的保护和保密，所以要加强外部人员对校园网网络的访问管理，杜绝敏感信息的泄漏。通过防火墙，严格控制外来用户对校园网网络的访问，对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护，包括：过滤掉不安全的服务和非法访问，控制对特殊站点的访问，提供监视INTERNET安全和预警，系统认证，利用日志功能进行访问情况分析等。通过防火墙，基本可以保证到达内部的访问都是安全的可以有效防止非法访问，保护重要主机上的数据，提高网络完全性。校园网网络结构分为各部门局域网（内部安全子网）和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。

内部安全子网连接整个内部使用的计算机，包括各个VLAN及内部服务器，该网段对外部分开，禁止外部非法入侵和攻击，并控制合法的对外访问，实现内部子网的安全。共享安全子网连接对外提供的WEB，EMAIL，FTP等服务的计算机和服务器，通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器，隐藏服务器的其它服务，减少系统漏洞。

参考文献：

[1]Andrew S. Tanenbaum. 计算机网络（第4版）[M].北京：清华大学出版社，2008.8.

[2]袁津生，吴砚农。 计算机网络安全基础[M]. 北京：人民邮电出版社，2006.7.

[3]中国IT实验室。 VLAN及技术[J/OL], 2009.

C. 校园内网如何搭建nas

校园内网搭建nas方法及要求如下：

首先你要确认你们学校的供电情况，晚上会断电那种的学校，每天NAS都会断电一次对硬盘可是个不小的体验。

如果能24小时供电，那么恭喜，可以往下看了。

首先一般来说在学校放NAS实在是不明智的选择，如果一定要，那么首先你需要一个路由器，不需要太高端的，普通的就行，但是要看学校是否开启了除了PPPoE认证以外的认证（比如锐捷等IEEE 802.1X认证），如果开了，就需要找能用拨号器的路由器了，这里不展开。

假定你前面都搞定了，就只需要将路由器连上网，配置好用户名密码，然后将NAS的网口和路由器的LAN口连接起来，开机。

在同一个路由器下的电脑就可以访问到NAS了，在系统设置里面有内网穿透功能。

假定你用的是群晖，那么就打开ConnectID功能，配置好你想要的ConnectID。

OK，只要路由器开着，网没断，你就可以通过ConnectID访问NAS了。

但是学校一般没有公网IP，就算有也不可能每个宿舍一个公网IP，而且运营商还屏蔽了SAMBA的端口，所以基本不太可能用SAMBA的方式来访问了。

就用WEB页面也相关APP试用一下吧。

NAS简介

NAS（Network Attached Storage：网络附属存储）按字面简单说就是连接在网络上，具备资料存储功能的装置，因此也称为“网络存储器”。它是一种专用数据存储服务器。

它以数据为中心，将存储设备与服务器彻底分离，集中管理数据，从而释放带宽、提高性能、降低总拥有成本、保护投资。其成本远远低于使用服务器存储，而效率却远远高于后者。目前国际着名的NAS企业有Netapp、EMC、OUO等。

NAS解决方案通常配置为作为文件服务的设备，由工作站或服务器通过网络协议（如TCP/IP）和应用程序（如网络文件系统NFS或者通用Internet文件系统CIFS）来进行文件访问。大多数NAS连接在工作站客户机和NAS文件共享设备之间进行。这些连接依赖于企业的网络基础设施来正常运行。

为了提高系统性能和不间断的用户访问，NAS采用了专业化的操作系统用于网络文件的访问，这些操作系统既支持标准的文件访问，也支持相应的网络协议，因此NAS技术能够满足特定的用户需求。

例如当某些企业需要应付快速数据增长的问题，或者是解决相互独立的工作环境所带来的系统限制时，可以采用新一代NAS技术，利用集中化的网络文件访问机制和共享来解决这些问题，从而达到减少系统管理成本，提高数据备份和恢复功能的目的。