某大学校园网构建大学生毕业设计

PAGE 81 某大学学院校园 毕业设计声明 郑重声明：所呈交的论文是有本人在导师的指导下独立进行研究所取得的成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。 本人对学校及系对毕业设计的相关规定都充分了解。如有违反，后果由本人负责。 作者签名：小鲁哥哥 日期：2007年6月26日 摘 要 关于本书 本方案是针对某校园网网建设的具体需求，结合学院的的未来发展需要，所作的校园网具体 设计方案 关于薪酬设计方案通用技术作品设计方案停车场设计方案多媒体教室设计方案农贸市场设计方案 。根据学院的具体需要，我们选择一套合理、有效的认证计费系统来管理整个校园的上网用户,。 校园网是学校和外界交流的重要平台，也是展现学校面貌的重要舞台。随着学校硬件设备的不断健全，用户的复杂性及多样性，对网络提出了安全认证的需求，网络需要运营，因此也有了计费收费的需要。 根据系统建设目标及应用系统的特点，考察当前计算机与网络的最新技术，目前国内新建设的网络系统大都采用新型的三层Client/Server的模式作为其主要的体系结构。经过多次成功的实践，我们认为这种模式的的开放性、灵活性以及安全性能够满足目前各系统的网络建设需要。 鉴于Internet技术的迅猛发展及其在信息系统领域的广泛应用，我们在系统中同时提供Internet环境和应用开发平台。Internet的Mail技术和FTP等技术将直接应用于信息的采集和传输。建立Web站点，利用WWW技术是实现校园信息查询服务的有效手段，同时利用WWW技术还能较好的实现远程教学，实现教、学双方的交互。 该方案主要基于一种高性能网络的设计思路，主要特点在于： ★以交换技术为核心，构造一个既能覆盖本地又能与外界进行网络互通、共享信息的计算机网络主干网; ★选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法; ★完全符合开放性规范，将业界最优秀的产品集成于该综合网络平台之中；具有较好的可扩展性，为今后的网络扩容作好准备。 毕业设计（论文）原创性声明和使用授权说明 原创性声明 本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。 作 者 签 名：　　 　 　　日　 期：　　 　 　　 ​​​​​​​​​​​​ 指导教师签名：　　 　 　　 日　　期：　　 　 　　 使用授权说明 本人完全了解 大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。 作者签名：　　 　 　　 日　 期：　　 　 　　 ​​​​​​​​​​​​ 前 言 关于本书 当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流。其背景是：半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛，并迅速广泛应用于社会各领域，产生和激发出新的生产力，正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ”之后，在世界引起巨大反响，许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。 某校园网校园网是某校园网内建设很重要的一部分，计划在近期内建设校园网络信息系统，在校园内部实现资源高度共享，为教学、科研、管理提供服务，为计划、组织、管理与决策提供基础信息和科学手段；支持教育教学改革，提高教育技术的现代化水平和教育信息化程度，为学校教师的备课、课件制作、教学演示提供网络环境；通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料，实现素材收集、电子备课功能。培养创新人才，提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力，使学生能自主学习、协商学习、发现探究式学习以及自我评价，为学生的全面发展创造相应的条件。实现办公自动化，提供与上级教育部门、社会、家庭之间通讯的出入口，提供电子函件、公告牌和教育教学信息查询等服务，提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息，完成与因特网的通讯和资源共享实现社会教育、学校教育、家庭教育的有机结合。实现课堂多媒体电化教学。具备适用于双向课堂语音教学及语音室功能学习。以代替手提录音机，实现音频数字化资源共享、集中管理。电教综合平台实现多媒体电教设备及室内电器设备电动一体化控制。建立校园网管理应用系统。以顺应无纸教学，无纸办公的发展趋势，充分利用现代化技术来进一步提高教学质量和办公效率，为培养二十一世纪人才提供一个优良的硬件教学环境。 某校园网网支持的是一个不断多元化的网络应用系统设备组合，用以支持其日常运作和实现其长远目标。系统设备、管理者及使用者之间的联系必须是亲密无间的，自觉而透明的，从而具备较强的扩展性。愿凭借自己的技术与实力，将与某校园网一道，共同设计建成一个先进的多媒体校园网络系统。 某校园网是一九九三年成立的民办大学，以培养高层次人才为己任。当今世界随着计算机、网络通信等现代科学技术的发展，人类正迈入信息时代，在某校园网建立覆盖全校，并可以与国内外著名网络互联的校园网已成为必然。 某校园网（北区）校园网对外将实现与位于广州电信机房中心相连；对内实现与校内各部门进行通信。某校园网网将为学校的科研、教学、管理提供必要的技术手段，为研究开发和培养人才建立平台，借此加快学校的发展，以此加快学校的发展，成为一个具有示范性的学校。 在本方案中，我们将分为用户需求分析、网络系统设计、服务器及应用软件的介绍等几个部分来阐述。 目 录 2摘 要 3前 言 5目 录 7第二章 需求分析 71、总体需求： 72、网络需求： 8第三章 网络系统设计 81、网络系统设计原则： 81．1 先进性与现实性 81．2 系统与软件的可靠性 81．3 系统安全性与保密性 91．4 易管理与维护 91．5 易扩充性 92、主要网络设备的选择原则 92．1安全、稳定、可靠 92．2技术先进 92．3便于扩展 103、网络设计方案描述 103．1 网络拓扑结构 10简单网络拓扑结构： 11校园网络详细拓扑示意图： 113．2 主要网络设备介绍 11a) 易尚防火墙性能及功能介绍 13b) 3COM4950核心交换机性能及功能介绍 14c) 3COM4400接入层交换机性能及功能介绍 153．3 主要网络设备配置 15a) 易尚网关防火墙的常用配置 22b) 3COM4950核心层交换机简单配置 42c) 3COM4400接入层交换机简单配置 50第四章 服务器及应用软件的介绍 501、安腾Amtium eFlow GBMS服务器及整套校园网管理系统 501．1 eFlow D_BRAS宽带接入服务器 521．2 Radius Server计费管理系统 531．3 eFlow LRMS日志记录管理系统 552、校内其它服务器安装与介绍 552．1 VOD视频点播服务器 572．2 FTP文件下载服务器 612．3 MAIL邮件服务器 65第五章 网络硬件设备部分清单 651、网络设备表(结算清单) 66附录：校园网常见网络故障及处理方法 72结 论 73主要参考文献 74致 谢 第二章 需求分析 1、总体需求： 建立一个基于校园Intranet的信息管理和应用的网络系统，并提供相应的各种服务。 共享网络上各种软、硬件资源，快速、稳定地传输各种信息，并提供有效的网络信息管理手段。 采用开放式、 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化的系统结构，以利于功能扩充和技术升级。 能够与外界进行广域网的连接，提供、享用各种信息服务。 具有完善的网络安全机制。 能够与原有的计算机局域网络和应用系统平滑地连接，调用原有各种计算机系统的信息。 接口尽量灵活、公开以便于将来进行系统扩充及二次开发。 通过持续开发与系统升级，最终将本综合应用系统在WEB上无缝地统一起来，用统一的标准实现完美的一体化。 2、网络需求： 骨干网必须是高速局域网千兆传输，能支持虚拟分段和多媒体应用，桌面达到百兆传输。 支持图书馆网络和其它网络之间资源的双向访问。 接入校园网的所有电脑应能访问校园网的共享资源。 网络要有足够的扩展能力，当网络扩大时，网络性能不会大幅度下降。 网络要易于维护和管理，有方便的网络管理工具。 网络应有一定的安全机制，防止滥用。 第三章 网络系统设计 1、网络系统设计原则： 根据上面对某校园网网网络需求的分析，我们制定以下系统设计的原则： 1．1 先进性与现实性 作为中国教育科研网的一部分，某校园网的核心计算机网络——某校园网网网络系统处理的信息量将会十分庞大，要求计算机网络有很高的工作效率。而且随着教学科研任务工作的迅速系统面临的任务也愈来愈艰巨，所以，我们设计的网络在技术上必须体现高度的先进性。技术上的先进性将保证处理数据的高效率，保证系统工作的灵活性，保证网络的可靠性，也使系统的扩展和维护变得简单。我们将在网络构架、硬件设备、传输速率、协议选择、安全控制和虚拟网划分等各个方面充分体现某校园网网网络系统的先进性。 在考虑系统先进性的同时，我们也会考虑实效、兼顾现实，建设不仅先进而且合适的系统，在系统建设中坚持“边实施，边发展，高起点，早收益”的原则。由于某校园网大部分还处于规划阶段或基础建设阶段，因此我们建议实施分期建设的方法，先根据目前的需要建设第一期工程，但为以后的建设提供一定的可扩展空间。 1．2 系统与软件的可靠性 在某校园网网网络系统设计中，很重要的一点就是网络的可靠性和稳定性。在外界环境或内部条件发生突变时，怎样使系统保持正常工作，或者在尽量短的时间内恢复正常工作，是某校园网网网络系统所必须考虑的。在设计时对可靠性的考虑，可以充分减少或消除因意外或事故造成的损失。我们将从网络线路的冗余备份及信息数据的多种备份等方面保证某校园网网网络系统的可靠性。 1．3 系统安全性与保密性 随着计算机技术的发展，尤其是网络和网络间互联的规模的扩大，信息和网络的安全性日益受到重视。面临十分严肃的安全性挑战。在网络设计时，将从内部访问控制和外部防火墙两方面保证某校园网网网络系统的安全。系统还将按照国家相关的规定进行相应的系统保密性建设。 1．4 易管理与维护 某校园网网网络系统的节点数目大，分布范围广，通信介质多种多样，采用的网络技术也较先进，尤其引入交换式网络和虚拟网之后，网络的管理任务加重了，如何有效地管理好网络关系,是否充分有效地利用网络的系统资源等问题就摆在我们面前。用图形化的管理界面和简洁的操作方式，可以提供强大的网络管理功能，使网络日常的维护和操作变得直观、简便和高效。 1．5 易扩充性 随着教学科研的快速发展，某校园网网网络系统面临的任务将愈来愈艰巨，愈来愈复杂。为了适应这个变化和日新月异的计算机技术的发展，我们网络十分注重扩充性。无论是网络硬件还是系统软件，都可以方便的扩充和升级。 上述系统设计的原则将自始自终贯穿整个系统的设计和实现。 2、主要网络设备的选择原则 根据已制定的网络系统设计原则，我们所选择的网络设备必须具有以下一些特点： 2．1安全、稳定、可靠 作为整个校园网络系统的硬件基础，网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间，在世界范围内被广泛应用的网络产品。为此，我们建议选择国际知名厂商的产品。 2．2技术先进 网络设备仅仅具有安全、稳定和可靠的特点是不够的。作为高科技的产品，还应该具有的特点就是技术的先进性。我们所选择的网络设备应该采用当今较先进的技术，能够保持该设备在相当长的一段时间内不会因为技术落后而被淘汰。同时，在网络规模进一步扩大，该设备不能承担繁重的负荷时，能够降级使用。 2．3便于扩展 由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下，只需要更换相应模块，而不需要更换整个设备。 管理和维护方便 先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。所以，我们选择的设备必须能够支持现有的、常用的网络管理协议和多种网络管理软件，便于管理人员的维护。 3、网络设计方案描述 3．1 网络拓扑结构 校园网物理拓扑结构，即将校园骨干网分为核心网和接入网两部分。核心网络层是整个系统的中心，它提供一个千M高速的网络通信平台以及网络核心管理服务，核心网络层是由一台3COM4950核心交换机所支撑，组成总线型网络。网络由核心节点向外辐射到各学生公寓大楼的4芯光缆和上行的节点设备组成，学生公寓的局域网则通过上行节点设备连入校园骨干网，网络的拓扑结构如下图所示。 简单网络拓扑结构： （ 图一 ） 校园网络详细拓扑示意图： （ 图二） 3．2 主要网络设备介绍 a)易尚防火墙性能及功能介绍 ES800产品性能参数 防火墙性能： 150M-500M 并发会话数： 50-80万 每秒新建会话数： 5000 3DES： 70M 策略数： 2000 时间表： 256 VPN隧道数：100-200 接口类型：3-4个10/100Base-T接口 用户数： 无限制 电源： 单 机箱： 1U 主要用户：中小型企业 ，分支机构 主要特性和优势 防火墙（通过公安部监测并获销售许可证） 符合工业标准的状态 检测 工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训 防火墙，支持NAT\PAT,透明、路由、混合模式；           用户认证：内建用户认证数据库，支持外部RADIUS/LDAP认证数据库，支持RSA SecurID和IPsec VPN下RADIUS扩展认证支持近百种标准服务 （包括Netmeeting，GRE,HTTP,OSPF）,支持用户自定义服务和服组。根据小时、日、周和月建立一次性或循环时间表，防火墙根据时间表建立安全策略。           路由协议、 防御功能 、地址翻译 、 IP/MAC绑定、 虚拟域模式、虚拟IP映射、VLAN支持 、  VoIP、 流量控制、·基于网络的病毒防御 （通过公安部防病毒产品检测并获得销售许可证） 、 VPN隧道防毒 、 支持病毒扫描引擎和病毒库的在线升级 、入侵检测和防护 、可选择的攻击数据库、支持攻击库的在线升级 、反垃圾邮件 、·VPN  支持工业标准的IPSec、PPTP、L2TP、·Web 内容过滤 、·高可用性（HA） 、·日志 、·系统管理 、·远程管理、·命令行界面、电子邮件告警、SNMP告警、 通过与Syslog或WebTrends集成，实现外部监控、分析和管理、通过易尚的ESCentreManager集中化管理和监控。 这是一些关于易尚防火墙硬件简介和功能简介，就说这么多了，上面的都是一些常用的功能介绍，如果想详细了解的，可以给我发E-mail，我可以把详细的技术白皮书传给你！ b) 3COM4950核心交换机性能及功能介绍 3COM 4950系列交换机是3Com生产的可网管的三层交换机， 4950 包括12个100/1000Base-T自适应口，32Gbps的交换容量，23M PPS的包转发速率 4950 包括12个10/100/1000Base-T自适应口，6个1000Base-SX光纤端口(MTRJ)，6个GBIC端口，其中GBIC口可以选配3Com的GBIC模块，包括1000Base-SX(3CGBIC91)、1000Base-LX(3CGBIC92)及1000Base-LH70(3CGBIC97)。 56Gbps的交换容量，41.7M PPS的包转发速率 除了上面讲到的端口外，3COM 4950交换机都有一个扩展槽，在机箱的后面，可以增加模块，这些扩展模块包括：4端口1000Base-SX模块(3C17710)，4端口1000Base-T模块(3C17711)，4端口1000Base-LX模块(3C17712)，4端口GBIC模块(3C17714)以及XRN互联工具包(3C17715)。 作为一款三层交换机，4950的定位是边缘与核心之间，在它之上，是4050/4060/4070及4007/4007R交换机。 从功能和性能上讲，3COM 4950具有以下特点： · 支持XRN技术，后面有简单的介绍 · 除通过Console口进行管理外，还可以通过VLAN的Interface IP地址，以Telnet方式及Web方式来进行管理。但是，强烈建议用户及代理商不要使用Web方式进行配置(因为显得太不专业了)。支持基于SNMP的网管 · 二层交换功能以及三层路由功能，注意，如果用户需要启动OSPF协议，那么需要购买升级软件。3Com免费提供的软件不支持OSPF。 · 所有端口支持自协商Auto-Negotiation及MDI/MDIX自适应 · 支持VLAN、STP、LinkAggregation、MulticastFilter、BroadcastControl、等功能。 c) 3COM4400接入层交换机性能及功能介绍 3COM 4400交换机是3Com生产的可管理的二层交换机系列产品，该系列交换机目前包括的型号如下： · 3C17204，48端口的4400。包括48个10Base-T/100Base-Tx自适应口，2个扩展槽位(在机箱后面) · 3C17203，24端口的4400。包括24个10Base-T/100Base-Tx自适应口，2个扩展槽位(在机箱后面) · 3C17210，24端口的4400。包括24个100Base-Fx光纤端口MT-RJ，2个扩展槽位(在机箱后面) · 3C17205，4400PWR。包括24个10Base-T/100Base-Tx自适应口，并支持Power Over Ethernet，2个扩展槽位(在机箱后面) · 3C17206，4400SE。包括24个10Base-T/100Base-Tx自适应口，2个扩展槽位(在机箱后面) · 所有3COM 4400系列交换机都有2个扩展槽位，在机箱后面，可以选择的扩展模块有以下这些，1000Base-T模块(3C17220)，1000Base-SX模块(3C17221)、100Base-FX模块(3C17222)、1000Base-LX模块(3C17223)及堆叠模块(3C17227)、堆叠扩展模块(3C17228)。以上这些模块插在那个扩展槽位都可以，没有什么先后、左右的规定。 与其他二层交换机如3COM 4200、3COM 3300等相比，3COM 4400在性能及功能方面是有一定优势的，相应的其价格也较其他二层交换机也要贵一些。如果用户对性能及功能方面要求比较高，那么3COM 4400比其他3Com的二层交换机要更适合一些。注意3COM 4400系列交换机(除了4400SE)支持四层的QoS功能，但不支持三层的路由功能。 从功能和性能上讲，3COM 4400具有以下特点： · 可堆叠。详细情况后面章节介绍 · 除通过Console口进行管理外，还可以配置管理地址，远程通过Telnet方式及Web方式来进行管理。但是，强烈建议用户及代理商不要使用Web方式(因为显得太不专业了)。支持基于SNMP的网管 · 基本的二层交换功能，其性能为：48口的4400交换容量17.6Gbps，包转发率10.1MPPS；其他的都是交换容量8.8Gbps，包转发率6.6MPPS · 所有端口支持自协商Auto-Negotiation及MDI/MDIX自适应 · 支持VLAN、STP、Multicast Filter、BroadcastControl、QoS等功能。 3．3 主要网络设备配置 a) 易尚网关防火墙的常用配置 安装非常快捷简单，当您第一次打开电源启动易尚网关防火墙时，防火墙已经设置了默认IP地址和安全策略。所有保护网络的必需设置，你都可以连接到基于Web的管理器进行操作模式设置，或使用安装指南来自定义您网络里易尚网关防火墙的IP地址。在此基础上您可以用基于Web的管理器来定义一些您所需要的设置。 基于Web的管理器，使用安全的https连接，您可以从任何一台运行Internet Explorer的计算机上配置和管理易尚网关防火墙，您可以从任一易尚网关防火墙端口进行安全管理，包括从外部网上进行安全管理。 易尚网关防火墙的核心功能是抵御来自公网的、对本地网络的恶意攻击，它通过清晰简洁的设计界面提供了对安全策略的控制，而且允许在复杂情况下进行全面控制。 基于Web的管理器，图形化操作界面, 快速安装配置截图 （登陆界面） (下一步) 防火墙系统的基本信息，版本，序列号，模式….. ，你可以用序列号码去易尚防火墙官方网站,填写注册信息,下载该产品的更新版本、技术资料……等等。 (下一步) 修改web界面的登陆密码（此密码设置强密码，定期更换，提高安全性） (下一步) 选择NAT/路由模式来保护您的私有网络，当防火墙用NAT/路由模式运行的时候，您的内部网络可以连接到Internal端口，DMZ网络连接到DMZ端口，而公共网络象Internet，连接到External端口，每个网络必须有自己的不同的网络地址。可以创建安全策略来控制防火墙在不同端口间发送数据包。 NAT模式策略使用网络地址转换来隐藏内部网络的地址， 配置内部接口（内部所有的IP地址都转换成内部接口地址访问互联网） (下一步) 配置外部接口类型（由ISP提供固定IP地址） (下一步) 配置External IP地址，掩码地址，网关 (下一步) (校园网内架设了windows2003的DHCP服务器,故没使用易尚防火墙的DHCP功能) 配置内部服务器的地址，允许公共网络访问服务器资源 查看“系统”的“状态”信息,监视CPU、内存、网络的使用率，会话的连接数，病毒的攻击次数，可以很好的掌握防火墙使用性能情况，掌握校园网目前的网络使用情况。 路由表中的顺序是非常重要的，防火墙采用最先匹配的原则 从路由表的头部进行查询，直到找到匹配的路由为止，因此，路由表应该把最长匹配的项放置在前部，最短匹配的项放置后部，如果你有一个默认路由应该放置在最后。 配置路由，IP网段，掩码，网关，默认路由 防火墙端口间添加访问控制策略来控制数据连接和流量，控制Internal到External、Internal到DMZ、External到Internal、External到DMZ、DMZ到Internal、DMZ到External的连接策略，控制用户或计算机可以访问到外部网络什么服务，也可以给这些策略启用防病毒和内容过滤功能来避免内部网用户或计算机从外部网下载病毒和访问非法网页。 配置访问控制策略（Internal内部网，External外部网，DMZ非军化区域） （从外网访问内网的WEB、SMTP、POP3的服务器，可使用PPTP服务VPN远程访问） 将内部网WEB、STMP、POP3服务器IP地址端口作映射，通过外网口地址发布于互联网, 当您在网络地址转换模式下使用易尚网关防火墙时，从因特网上，是无法看到内部网和DMZ网络上的计算机地址的，如果想从因特网上访问DMZ网络或者内部网上的某一台服务器，您必须创建一个虚拟IP地址，这样才能够使因特网上某台服务器IP地址和DMZ或者内部网上面的计算机的真实地址之间建立联系。 配置VPN远程访问，通过PPTP点对点隧道协议 还有一些基于网络的病毒防御、反垃圾邮件、Web 内容过滤、系统管理、入侵检测和防护，防火墙的我就说这么多了，上面的都是一些常用配置的截图和简单说明，如果想详细了解的，可以给我发E-mail，我可以把详细的技术白皮书传给你！ b) 3COM4950核心层交换机简单配置 · 查看4950系统信息 · 配置IP管理地址和网管系统 · 生成树-Spanning Tree Protocol · 组播过虑-Multicast Filter · 链路聚合Link Aggregation · VLAN功能及VLAN之间的三层数据转发 · 配置4950 RIP协议 · 配置静态路由 · 配置DHCP Relay · 配置ACL访问控制 · QoS流量控制 · 软件升级及密码丢失 查看4950系统信息 Select menu option: sys summ 3Com SuperStack 3 System Name : Location : Contact : Time Since Reset : 0 Hrs 0 Mins 20 Seconds Operational Version : 03.12 Hardware Version : 0 Boot Version : 1.00 MAC Address : 00-30-1e-69-1d-c0 Product Number : 3C17700 Serial Number : 7RGV4691DC0 Module Slot 1 : Not installed Select menu option: [说明] 由以上命令可以得到该4950交换机的系统信息，按重要程度，说明如下： 版本信息，包括Operation版本，Hardware版本及Boot版本。我们要的是Operation版本信息，3Com在网站上发布的版本、我们要升级的版本也都是Operation版本。其他两个版本信息不经常用到。 系统运行时间-Time Since Reset，从这里可以看到系统到目前已经运行了多长时间。 产品序列号-Serial Number，这个序列号是唯一的，每台4950设备都不相同。用户在3Com网站上注册该产品时需要输入这个序列号，产品有硬件故障需要更换时也要向3Com提供这个序列号。该序列号在机箱底面的标签处也可以查到。 系统信息中的System Name、Location及Contact可以由用户自行设置，命令如下： Select menu option: system management name Select menu option: system management location Select menu option: system management contact 配置IP管理地址和网管系统 给4950交换机设置VLAN Interface后，就可以用IP地址，通过网络对4950进行远程管理。管理的方式包括Telnet和Web方式。设置4950管理IP的命令如下所示(以VLAN 1为例)。 Select menu option: pro ip basic Enter configuration method (auto,manual,none)[auto]: manual Enter IP address [0.0.0.0 ]: 10.10.10.18 Enter subnet mask [0.0.0.0 ]: 255.255.255.0 Enter gateway IP address [0.0.0.0 ]: 10.10.10.1 IP address: 10.10.10.18 Subnet mask: 255.255.255.0 Gateway IP address: 10.10.10.1 Select menu option: [说明] 黑体字为输入的命令及参数 4950的管理地址有手工方式(manual)及自动方式两种。如果是设置成自动方式，则用户的网络中需要有一个DHCP Server，4950开机后会自动去申请一个IP地址，作为VLAN 1的IP地址。这种自动方式不建议用户使用，建议用户手工设定管理地址。上面例子中是用manual方式手工设置一个管理IP，地址为10.10.10.18/24，其默认网关为10.10.10.1 4950的管理地址就是VLAN的Interface地址，任何一个VLAN的都可以。为了与边缘交换机相一致，建议用VLAN 1的地址作为管理地址。 4950交换机设置管理IP后，还可以通过网管系统进行管理，如3Com的免费网管软件3Com Network Supervisor。一般情况下用4950默认的配置就可以，根据情况也可以进行修改。主要的包括设置网管软件对交换机进行读/写的Community字串，以及交换机向网管软件发送Trap的目的地址，如下所示。 Select menu option: sys man snmp comm. Enter new community for user 'admin' [private]: write001 Enter new community for user 'manager' [manager]: write000 Enter new community for user 'monitor' [public]: read001 Select menu option: [说明] 以上设置将网管系统读的Community字串设为read001，将改配置和修改系统参数的Community字串设为write001及write000 Select menu option: sys man snmp trap create Enter the trap community string [monitor]: Enter the trap destination address: 10.10.10.8 Select menu option: [说明] 以上设置使交换机将monitor的trap信息发到地址为10.10.10.8的网管系统或其他可接收trap的系统。 可以设置多个目的地址 生成树-Spanning Tree Protocol 4950支持生成树STP和快速生成树RSTP协议。RSTP是STP的改进版本，并且向下兼容，即如下情况，当4950交换机上启动RSTP，当端口检测到该端口所连设备只支持STP时，该端口会自动降到支持STP。 STP/RSTP常用的设置有如下一些： Select menu option: bri spann stpver Enter Spanning Tree version - 0=STP, or 2=RSTP (0,2)[2]: 2 Select menu option: [说明] 可以设置修改4950支持RSTP还是STP，默认是RSTP。 Select menu option: bri spann stpstate Enter new value (enable,disable)[enable]: dis Select menu option: [说明] 将RSTP/STP功能激活或者关闭，对整个交换机有效。交换机默认时有效。 Select menu option: bri spann stppri Select stp priority (?)[32768]: ? One of the following items may be selected at this prompt: 0,4096,8192,12288,16384,20480,24576,28672,32768,36864,40960,45056,49152,53248,57 344,61440 Select stp priority (?)[32768]: 8192 [说明] 设置交换机在选择生成树根时的优先值，该值越小表示优先值越高。如果所有交换机的优先值一样，生成树会选择MAC小的交换机作为生成树的根(优先值+MAC)。 Select menu option: bri port stpfa This operation may take a number of seconds Select bridge ports (AL1-AL13,unit:port...,?): 1:9 Enter new value (enable,disable)[enable]: dis Select menu option: [说明] 以上命令可以对交换机每个端口的StpFastStart进行设置。这个参数只有当STP/RSTP功能启动时才起作用。 Select menu option: bri port stpcost This operation may take a number of seconds Select bridge ports (AL1-AL13,unit:port...,?): 1:3 Enter new value (1-200000000,auto)[19]: 10 Select menu option: [说明] 对端口的cost值进行设置，这样可以手工改变端口在STP/RSTP选择中的优先顺序。Cost值越低，被选中作为forwarding端口的优先级越高。 如上面例子中所示，将端口3的cost值设为10，其他端口的默认值19不变。则当端口3参加STP/RSTP选择forwarding端口时，会别优先选中为forwarding，其他参加选择的端口为block状态。 注意：其他STP/RSTP的参数默认值为经验值，如果没有特殊情况，尽量不要更改。时间改短，可能生成树效率提高，但网上的额外协议数据流量会增加，交换机的负荷也有可能增加。如果改长，则生成树的工作效率会降低 组播过虑-Multicast Filter 4950支持组播过虑功能。可以通过设置IGMP的Snooping和Querying来实现。其命令行方式如下： Select menu option: bri mul igmp Menu options: --------------3Com SuperStack 3 Switch 4950--------------- queryMode - Enable/disable IGMP querying snoopMode - Enable/disable IGMP Multicast learning Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (bridge/multicastFilter/igmp): query Enter new value (enable,disable)[disable]: en Select menu option (bridge/multicastFilter/igmp): snoopmo Enter new value (enable,disable)[enable]: en Select menu option (bridge/multicastFilter/igmp): [说明] 当snoopmode为disable时，交换机会把组播数据包当作广播来处理，即向所有端口转发。此时网络环境中如果有组播应用，一定会通，但浪费带宽，丧失了组播的优势。 当snoopmode为enable时，4950交换机会对组播数据进行过虑，端口所连设备要接受组播数据，就向该端口转发，否则，就不向该端口转发。 注意当snoopmode为enable时，本网段中必须有一台设备的querymode设置为enable，这样，才能知道网络中那些计算机要接受组播。 链路聚合Link Aggregation 链路聚合的作用是把多个同类型的端口绑定在一起，在物理上作为同一个带宽成倍增长的端口来用。 Select menu option: bri linka modi Menu options: --------------3Com SuperStack 3 Switch 4950--------------- addPort - Add a port to an aggregated link linkState - Enable/disable an aggregated link partnerID - Set the partner ID for an aggregated link removePort - Remove a port from an aggregated link Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (bridge/linkAggregation/modify): addp Select aggregated link index (1-13): 1 Select ports (unit:port...,?): 1:1-1:3 [说明] 上面例子中，把4950的三个千兆端口端口1、2、3绑定在一起，作为一个带宽为3GB的端口使用。此时，这三个端口以链路聚合组的组名AL1来表示。 注意在配置交换机时，如果要使用链路聚合组，一定要最先配置，然后再配置其他如VLAN等参数。上面例子中，当你向某个VLAN添加端口时，就没有端口1、2、3了，而以AL1代替之。 在以前3Com的交换机中，链路聚合叫做Trunk。有部分交换机如CB9000/4007，CB3500等支持一种3Com的私有协议TCMP，注意当你和新的交换机及其他厂家的设备配置链路聚合进行互联时，一定要把TCMP关掉。 如果关掉TCMP后，某些千兆光纤端口的链路聚合还是不能UP。你应该先取消链路聚合，把端口的Auto-Negotiation模式关掉，设置成千兆全双工后，再绑定链路聚合。老的交换机在设置完链路聚合后要重新启动才能生效。 还有要注意的就是建议先配置链路聚合，再连线。 配置VLAN及VLAN之间的三层数据转发 4950是三层交换机，可实现不同VLAN之间的数据转发，在下面例子中说明。有关VLAN的设置和简单举例，在这里就不再详细说明了， 案例1：在一个网络中，4950是核心交换机，边缘交换机是2台4250T系列交换机， 4250都通过50端口连接到核心的4950上面，所连端口分别是1、2。其中，第一台4200有3个VLAN，分别为工程师、财务、人事部门使用，第二台4200有工程师和市场部门。要求按照部门设置VLAN，部门之间可以通信。所有交换机可集中管理。 [设计如下] VLAN 1是留给管理网段使用，IP地址为192.168.1.0/24网段； 工程师部门为VLAN 2，IP地址为10.10.10.0/24网段； 财务部门为VLAN 3，IP地址为20.20.20.0/24网段； 人事部门为VLAN 4，地址为30.30.30.0/24网段； 市场部门为VLAN5，地址为40.40.40.0/24网段。 [配置如下] 第一台4250T交换机 1. 创建VLAN bri vlan create 2 engineer bri vlan create 3 finance bri vlan create 4 hr 2. 向VLAN中加端口 bri vlan modi remove 1 1:1-1:50 ；将所有端口从VLAN1中移出来 bri vlan modi add 2 1:1-1:10 untag bri vlan modi add 3 1:11-1:20 untag bri vlan modi add 4 1:21-1:48 untag ；将相应端口加到各个VLAN中 bri vlan modi add 1 1:50 tag bri vlan modi add 2 1:50 tag bri vlan modi add 3 1:50 tag bri vlan modi add 4 1:50 tag ；将上连端口加到所有要透传的VLAN中 3. 设置管理IP pro ip basic manual 192.168.1.21 255.255.255.0 192.168.1.1 第二台4250T交换机 1. 创建VLAN bri vlan create 2 engineer bri vlan create 5 marketing 2. 向VLAN中加端口 bri vlan modi remove 1 1:1-1:50 bri vlan modi add 2 1:1-1:20 untag bri vlan modi add 5 1:21-1:48 untag bri vlan modi add 1 1:50 tag bri vlan modi add 2 1:50 tag bri vlan modi add 5 1:50 tag 3. 设置管理IP pro ip basic manual 192.168.1.22 255.255.255.0 192.168.1.1 4950核心交换机的配置 1. 创建VLAN bri vlan create 2 engineer bri vlan create 3 finance bri vlan create 4 hr bri vlan create 5 marketing 2. 向VLAN中加端口 bri vlan modi remove 1 1:1-1:12 bri vlan modi add 1 1:1 tag bri vlan modi add 2 1:1 tag bri vlan modi add 3 1:1 tag bri vlan modi add 4 1:1 tag bri vlan modi add 1 1:2 tag bri vlan modi add 2 1:2 tag bri vlan modi add 5 1:2 tag 3. 设置各VLAN的Interface IP pro ip inter add 192.168.1.1 255.255.255.0 1 pri pro ip inter add 10.10.10.1 255.255.255.0 2 pri pro ip inter add 20.20.20.1 255.255.255.0 3 pri pro ip inter add 30.30.30.1 255.255.255.0 4 pri pro ip inter add 40.40.40.1 255.255.255.0 5 pri 经过以上配置，完成设计的要求，在同一VLAN内的计算机可以互相通信，不管是否是在同一台交换机上。不同VLAN之间的通信通过4950进行路由。 注意：在3Com以前的一些三层交换机中如CB3500、CB9000中，需要设置IP->Routing->enable才能启动三层路由功能，新的三层交换机一般不需要。声明：以上例子中，把所有端口由VLAN1中移出来，再根据情况向各个VLAN中添加。这种做法，纯属个人爱好。提醒：3Com交换机VLAN配置中有关端口打Tag(以前叫802.1Q)的三原则交换机上的某个端口要属于多个VLAN，则该端口一定要打tag，交换机的某个端口打了tag，与它相连的对端的交换机端口 (或网卡)也要打tag，某个端口可以在一个VLAN中是untag方式(收发不带802.1Q的数据包)，在其他多个VLAN中是tag方式(收发带802.1Q的数据包)。这时如果两端设置不当，会使不同VLAN互通，因此需注意。 配置4950 RIP协议 4950支持RIP/RIPv2和OSPF协议，下面介绍的都是和配置相关的，想了解RIP或其他路由学习协议的详细情况，不在本文讨论的范畴。 Select menu option: pro ip rip Menu options: --------------3Com SuperStack 3 Switch 4950--------------- authentication - Specify authentication password and authentication mode mode - Enable/disable RIP operation neighbors - Display neighbor information poisonReverse - Enable/Disable poison reverse receiveMode - Set interface receive mode resetStats - Reset RIP statistics sendMode - Set interface send mode statistics - Display interface statistics summary - Display RIP information updateTime - Set update time Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (protocol/ip/rip): mode Enter RIP mode (disabled,enabled)[disabled]: en RIP is enabled Select menu option (protocol/ip/rip): [说明] 启动4950的RIP协议 Select menu option (protocol/ip/rip): sendmode Select IP interface (1,3-5,all): 4 Interface 4 - Enter RIP send mode (doNotSend,RIPv1,RIPv1Compatible,RIPv2)[RIPv2]: donotsend Interface 4 - Send Mode has been changed to doNotSend Select menu option (protocol/ip/rip): [说明] 调整Interface 4的路由发送模式。例子中为从该IP Interface不向外发送RIP路由信息。同样可以设置某个IP Interface的RIP协议接收模式，道理同发送一样，在此不再举例 Select menu option (protocol/ip/rip): poison Select IP interface (1,3-5,all): 5 Interface 5 - Enter RIP poison reverse mode (disabled,enabled)[disabled]: en Interface 5 - Poison Reverse has been enabled Select menu option (protocol/ip/rip): [说明] 本例子为设置启动IP Interface 5的毒性反转功能 Select menu option (protocol/ip/rip): authen Select IP interface (1,3-5,all): 4 Interface 4 - Enter RIP authentication mode (none,password,md5)[none]: md5 Enter the RIP authentication key (up to 16 char.): Re-enter key: Select menu option (protocol/ip/rip): [说明] 本例是设置某个IP Interface端口是否启动RIPv2所提供的认证功能。例子中启动IP Interface 4的MD5认证，密码敲入不回显。 Select menu option (protocol/ip/rip): update Enter RIP update time in seconds(15-60)[30]: 25 Update time has been changed to 25 Select menu option (protocol/ip/rip): [说明] 以上例子演示如何设置RIP发送路由信息的时间间隔。对于某些经验值，如果没有特殊需要，建议大家不用更改 手工添加静态路由 Select menu option: pro ip route Menu options: --------------3Com SuperStack 3 Switch 4900--------------- add - Add a static route to the routing table default - Define the default route find - Find an existing route in the routing table flush - Remove all learned routes noDefault - Remove the default route remove - Remove an existing route summary - Display summary information Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (protocol/ip/route): add Enter destination IP address: 100.100.100.0 Enter subnet mask: 255.255.255.0 Enter gateway IP address: 10.10.10.15 Enter route metric (1-16)[1]: 1 The specified route has been added Select menu option (protocol/ip/route): 设置默认路由 Select menu option (protocol/ip/route): default Enter gateway IP address [10.10.10.1 ]: 30.30.30.9 The specified route has been set to default Select menu option (protocol/ip/route): 显示当前路由表 Select menu option (protocol/ip/route): summ Destination Subnet Mask Metric Gateway Status ------------------------------------------------------------------------------ Default Route -- -- 30.30.30.9 static 10.10.10.0 255.255.255.0 1 -- local 30.30.30.0 255.255.255.0 1 -- local 100.100.100.0 255.255.255.0 1 10.10.10.15 static 192.168.101.0 255.255.255.0 1 -- local Select menu option (protocol/ip/route): 配置DHCP Relay 4950用UDP Helper功能支持DHCP Relay。即网络中的一台DHCP Server为网络中的多个网段提供IP地址分配。详细情况参考下面例子 Select menu option: pro ip udph Menu options: --------------3Com SuperStack 3 Switch 4950--------------- add - Add IP address for forwarding UDP broadcasts remove - Disable forwarding to previously defined IP address summary - Display current UDP port/IP address mappings Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (protocol/ip/udpHelper): add Enter UDP Port (defaults,1-49151): default Enter destination server IP address: 192.168.100.2 The specified port/destination udphelper has been added Select menu option (protocol/ip/udpHelper): summ Protocol UDP Port Destination IP Address ------------------------------------------------------ DNS 53 192.168.100.2 TACACS 65 192.168.100.2 BOOTP/DHCP 67 192.168.100.2 TFTP 69 192.168.100.2 NTP 123 192.168.100.2 NETBIOS-NS 137 192.168.100.2 NETBIOS-DGM 138 192.168.100.2 Select menu option (protocol/ip/udpHelper): [说明] 大家看到，在交换机上的设置很简单，参考上面例子，照猫画虎的就可以了。但实际中，问题要稍微多一点儿，多的这点儿是在DHCP Server的配置上。 凭空想一个例子给大家解释一下。4950下面有4个网段，VLAN ID、端口和IP Interface都已经设置好了，网络中有一台DHCP Server为这四个网段的机器分配IP地址。首先大家需要明了，DHCP Server是不是直接连到4950的一个本地网段没有关系，离得再远也没人干涉(你们领导除外)，只要从4950到DHCP Server能路由得通就行；其次，在DHCP Server上，当你设置所提供网段的地址时，该网段的网关地址一定要和4950上的VLAN Interface设置的相一致，这样，DHCP Server才能知道这个IP地址请求是从那个网段过来的。 例如，一切设置完成后，某台计算机连到4950的VLAN 3上，向网络请求分配一个IP地址，4950接到请求后，会将VLAN 3 的Interface信息封装在DHCP请求包里发向DHCP Server。DHCP Server根据请求包里的IP Interface信息查询自己所提供的地址段，选择一个没有用的发送回去。这样，大家配合，就完成了一台DHCP Server为多个VLAN提供地址的功能。 配置ACL访问控制 4950的ACL功能通过举例来介绍吧。前期配置情况如下，交换机的VLAN有3个，Vid分别是1、2、3，其IP Interface分别是10.10.10.1/24、20.20.20.1/24、30.30.30.1/24。现在要求VLAN1与VLAN3之间不能互通。ACL的配置如下 Select menu option: sec net acc acc Menu options: --------------3Com SuperStack 3 Switch 4950--------------- add - Add access list rule flush - Remove all access list rules on the selected VLAN modify - Modify access list rule remove - Remove access list rule summary - Display access list Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (security/network/access/accessList): add Select VLAN ID (1-3)[1]: 1 Enter destination IP address [0.0.0.0]: 30.30.30.0 Enter destination IP mask [255.255.255.0]: 255.255.255.0 Select action (permit,deny)[deny]: deny Select menu option (security/network/access/accessList): add Select VLAN ID (1-3)[1]: 3 Enter destination IP address [0.0.0.0]: 10.10.10.0 Enter destination IP mask [255.255.255.0]: 255.255.255.0 Select action (permit,deny)[deny]: deny [说明] 以上例子省略配置VLAN、IP Interface等配置步骤，只设置ACL。 如果想限制某台机器的一个IP，可以直接输入该IP，在掩码处输入255.255.255.255即可。 配置QoS流量控制 4950的Qos功能也通过举例来介绍吧。首先说明的是4950的QoS是最终分配到端口上的。现在的要求是对端口3所连的设备的FTP应用进行控制，将其优先级别设为最低 先来看以下信息，当前的trafficQueue及serviceLevel。这两项可以进行设置，但如果没有特殊需求，使用默认配置就可以。 Select menu option: tra qos traff Menu options: --------------3Com SuperStack 3 Switch 4950--------------- modify - Modify the number of queues summary - Display summary information Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (trafficManagement/qos/trafficQueue): summ Priority Queue Index ----------------------- 0 1(lowest) 1 1(lowest) 2 1(lowest) 3 2 4 2 5 3 6 4(highest) 7 4(highest) Select menu option: tra qos serv Menu options: --------------3Com SuperStack 3 Switch 4950--------------- create - Create a new service level delete - Delete an existing service level modify - Modify an existing service level summary - Display summary information Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (trafficManagement/qos/serviceLevel): sum Service level Conforming Used in Num Name Pri DSCP QOS profile ---------------------------------------------------------------------------- 2 Best Effort 0 - none 3 Business Critical 3 - none 4 Video Applications 5 - none 5 Voice Applications 6 - 2 6 Network Control 7 - none Select menu option (trafficManagement/qos/serviceLevel): [说明] 以上是默认值，当前有4个队列(最多，往少了设可以)。服务级别最低是2 Best Effort。 根据以上情况，进行以下4步设置： 一、选择操作数据类型(本例为对ftp应用进行操作) Select menu option: tra qos classi Menu options: --------------3Com SuperStack 3 Switch 4950--------------- create - Create a new classifier delete - Delete an existing classifier detail - Detailed classifier information modify - Modify an existing classifier summary - Display summary information Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (trafficManagement/qos/classifier): create Enter classifier number (101-1000)[101]: 101 Enter classifier name: ftpdata Enter classifier type (ipPort,dscp): ipport Enter port number (0-65535)[0]: 21 ;端口21为ftp所使用。 Select menu option (trafficManagement/qos/classifier): 二、创建对象的profile(本例为创建一个visitor的profile) Select menu option: tra qos pro Menu options: --------------3Com SuperStack 3 Switch 4950--------------- addClassifier - Add a classifier to a QOS profile assign - Assign QOS profiles to ports create - Create a new QOS profile delete - Delete an existing QOS profile detail - Detailed information about a QOS profile listPorts - List all ports with their associated QOS profiles modify - Modify an existing QOS profile removeClassifier - Remove a classifier from a QOS profile summary - Display summary information Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (trafficManagement/qos/profile): create Enter profile number (11-1000)[11]: 11 Enter profile name: visitor 三、给对象的profile添加数据类型及服务级别(本例中为把优先级别为2 Best Effort分配给ftp应用) Select menu option (trafficManagement/qos/profile): addcla Select profile number (1-2,11,all)[all]: 11 Select classifier number (3-6,101): 101 Enter service level number (2-6): 2 Select menu option (trafficManagement/qos/profile): 四、分配到具体端口(本例中为把上面定义的profile 11分配到端口3) Select menu option (trafficManagement/qos/profile): assign Select ports (unit:port...,?): 1:3 Warning: The profile will be applied to all ports on the selected unit. Enter profile number (1-2,11)[1]: 11 Select menu option (trafficManagement/qos/profile): 软件升级及密码丢失 4950的软件用户可以在3Com的英文网站上下载得到，只需要先进行用户注册，再将4950产品进行注册即可。以上两个注册过程只需要用户提供信息即可，建议用户提供真实的信息，包括自己的联系方式以及产品的序列号，这对以后用户获得升级软件、进行备件返修都是有好处的，而且建议这个工作越早进行越好，不要等需要升级或产品坏了以后再去进行。建议用TFTP方式对4950交换机进行升级，升级时，4950作为Client端，存有4950软件的计算机作为TFTP的Server 端。 升级过程在每个版本的ReleaseNote中有详细介绍，一般在文档的最后。 Select menu option: sys con Menu options: --------------3Com SuperStack 3 Switch 4950--------------- initialize - Reset to factory defaults reboot - Perform system reboot softwareUpgrade - Perform agent software upgrade Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (system/control):software TFTP Server Address [0.0.0.0]:20.20.20.20 File Name []:s3g03_12.bin A power interrupt during software upgrade may cause a corrupted image on the device. In this event the software should be upgraded via the software update utility. For more information, refer to the user guide supplied with your device. Software upgrade in progress.................................................... ........................................................... Upgrade of unit 1 successful Upgrade process successfully completed. [说明] 以上20.20.20.20是与4200所连的TFTP Server的地址。 s3g03_12.bin是从3Com网站上下载的4950的软件，应该保存在TFTP Server的默认目录下。从3Com网站上下载的是.exe文件，运行后释放出升级软件及该软件版本的ReleaseNotes，要求用户在升级前一定要读一遍ReleaseNotes。 一般新进入一个公司，接手管理公司网络，会因上一个网络管理员没有转交网络设备登陆密码而导致密码丢失，则必须使用下面方法对密码进行恢复修改。 Login: recover Password: *** Password Recovery Mode *** The administrative password will be cleared if a hard reset operation is carried out on the device within 30 seconds. If a hard reset operation is not carried out during this period, the device will return to the CLI login prompt countdown = 24 *** Password Recovery Mode *** Enter the new password for the admin user: Re-enter the new password: The Password Recovery feature is enabled. Enter new value (enable,disable)[enable]: Menu options: --------------3Com SuperStack 3 Switch 4950--------------- bridge - Administer bridge-wide parameters gettingStarted - Basic device configuration logout - Logout of the Command Line Interface physicalInterface - Administer physical interfaces protocol - Administer protocols security - Administer security system - Administer system-level functions trafficManagement - Administer traffic management Type ? for help ----------------------------------------- (1)--------------------------- Select menu option: [说明] 在登录提示时输入用户名recover，密码也是recover 在系统提示的时间内(30秒)，对交换机断电，再加电 系统重新启动后，会提示你输入新的admin用户的密码 系统还会提示是否将此密码恢复的功能开启还是关闭，默认是开启状态 修改登录密码 Select menu option: sys mana password Old password: Enter new password: Retype password: The command line interface password has been successfully changed. Select menu option： 上面都是3COM4950核心层交换机简单配置，查看4950系统信息、配置IP管理地址和网管系统、生成树-Spanning Tree Protocol、组播过虑-Multicast Filter、链路聚合Link Aggregation、VLAN功能及VLAN之间的三层数据转发、配置4950 RIP协议、配置静态路由、配置DHCP Relay 、配置ACL访问控制、QoS流量控制、软件升级及密码丢失，我就说这么多了，如果想更深入了解3COM4950三层交换机的，可以给我发E-mail，我可以把详细的技术白皮书传给你！ c) 3COM4400接入层交换机简单配置 · 查看4400系统信息 （配置同4950） · 配置IP管理地址和网管系统 （配置同4950） · 生成树-Spanning Tree Protocol （配置同4950） · 组播过虑-Multicast Filter （配置同4950） · 链路聚合Link Aggregation （配置同4950） · 配置VLAN · 堆叠 · 配置端口安全PortSecurity · 配置端口镜像-RovingAnalysis · QoS流量控制 （配置同4950） · 软件升级及密码丢失 （配置同4950） 配置VLAN 除了基本的数据交换功能，VLAN是我们在配置交换机中碰到最多的了。下面举两个例子来说明如何配置。 案例1：在一台4400交换机要创建3个VLAN，分别为工程师、财务、人事部门使用，默认VLAN1不动，作为管理VLAN，配置如下： [创建VLAN] Select menu option: bri vlan create Select VLAN ID (2-4094)[2]: 2 Enter VLAN Name [VLAN 2]: engineer Select menu option: bri vlan create 3 finance Select menu option: bri vlan create 4 hr Select menu option: bri vlan summ all VLAN ID Name ------------------------------------------ 1 Default VLAN 2 engineer 3 finance 4 hr Select menu option: [向各个VLAN里加端口] elect menu option: bri vlan modi add Select VLAN ID (1-4)[1]: 2 Select bridge ports (AL1-AL4,unit:port...,?): 1:1-1:9 Enter tag type (untagged,tagged): un Select menu option: bri vlan modi add 3 1:10-1:19 un Select menu option: bri vlan modi add 4 1:20-1:29 un Select menu option: 经过以上配置，端口1到9划到VLAN2里，端口10到19划到VLAN3里，端口20到29划分到VLAN3中，其他端口保留在VLAN1中。 在同一VLAN内的计算机可以互相通信，不同VLAN之间不能通信。 案例2：继续案例1。案例1中的4400放在公司的2楼，继续向工程师、财务及人事部门提供接入端口。现在在3楼又添加了一台4400，但三楼有工程师及财务部门，没有人事部门，而且多了市场部门。两台交换机通过千兆端口49口(两台4400交换机都添加了千兆端口模块)互联。要求2楼和3楼的工程师部门和财务部内部能互通，部门之间还是保持不通(没有三层设备，相通也没门儿)。 [2楼4400添加如下配置] Select menu option: bri vlan modi remove 1 1:49 WARNING: Ports 1:49 are no longer members of any VLANs.； 将49端口从VLAN1中除去，因为此时49端口是untag端口。 Select menu option: bri vlan modi add 1 1:49 tag； 将49端口重新加入VLAN1(管理VLAN)，打上tag。 Select menu option: bri vlan modi add 2 1:49 tag； 将49端口加入VLAN2(工程师VLAN)，打上tag。 Select menu option: bri vlan modi add 3 1:49 tag； 将49端口加入VLAN3(财务VLAN)，打上tag。 [3楼4400配置] 创建VLAN Select menu option: bri vlan create 2 engineer Select menu option: bri vlan create 3 finance Select menu option: bri vlan create 5 marketing 向各个VLAN中加端口 Select menu option: bri vlan modi add 5 1:1-1:9 un Select menu option: bri vlan modi add 2 1:10-1:19 un Select menu option: bri vlan modi add 3 1:20-1:29 un 将端口49划到VLAN1，2，3中 Select menu option: bri vlan modi remove 1 1:49 Select menu option: bri vlan modi add 1 1:49 tag Select menu option: bri vlan modi add 2 1:49 tag Select menu option: bri vlan modi add 3 1:49 tag 经过以上配置，两台4400通过端口49，可以使VLAN1(管理VLAN)、VLAN2(工程师VLAN)及VLAN3(财务VLAN)内部可以互通，工程师部门和财务部门的计算机即使不在一个一层楼，也能互相通信。为了方便管理，让管理VLAN，即VLAN1也能够互通。不同VLAN之间还是保持不通。 严重提醒：3Com交换机VLAN配置中有关端口打Tag(以前叫802.1Q)的三原则交换机上的某个端口要属于多个VLAN，则该端口一定要打tag交换机的某个端口打了tag，与它相连的对端的交换机端口 (或网卡)也要打tag某个端口可以在一个VLAN中是untag方式(收发不带802.1Q的数据包)，在其他多个VLAN中是tag方式(收发带802.1Q的数据包)。这时如果两端设置不当，会使不同VLAN互通，因此需注意。 堆 叠 如果要把几台4400交换机堆叠在一起，需要另外购买堆叠模块。堆叠以后的交换机可以作为一个整体来管理，如下图所示： 图1. 两台4400交换机堆叠 图2. 两台以上4400堆叠 由上面的两个示意图可以知道，如果两台4400堆叠在一起，只需要配一套4400堆叠套件(Stacking Kit)就可以了。如下图所示，一个堆叠套件包括两块模块及一条连接电缆。 图3. 4400堆叠套件(3C17227) 如果要把三台或三台以上的交换机堆叠在一起，就需要按照上面图2所示的方式，用1个堆叠套件(3C17227)加若干堆叠扩展套件(3C17228)的模式来实现。 堆叠扩展模块如下图4所示，一个扩展套件包括两个模块及一颗连接线。如果三台4400堆叠，需要一个堆叠套件加一个扩展套件；如果四台堆叠，需要一个堆叠套件加2个扩展套件；。。。依此类推，如果8台4400堆叠，需要一个堆叠套件加6个扩展套件。 图4. 堆叠扩展套件(3C17228) 堆叠时需要注意以下几点： 4400SE只能与4400SE堆叠，不能与其他4400系列交换机堆叠。 一个堆叠最多只能有192个端口，即不能超过4台48端口4400或8台24端口4400。各个交换机的软件版本应保持一致。最好在堆叠前对其软件版本进行检查，并将每台设备的配置清空到出厂值后再堆叠。 前面在很多地方提到过Unit，Unit就是指在一个堆叠中的计算机。如果1台计算机没有堆叠，则它只是Unit 1。如果1个堆叠中有3台计算机，则应该分别是Unit 1、2、3。具体的Unit号在交换机前面板上有指示灯显示。 当登录到交换机上对交换机进行配置时，每次你输入命令前，都有一行虚线的指示行。该行括号中的数字即是你所配置的交换机在堆叠中的Unit号。如下面就在配置Unit 2。 ----------------------------------------- (2)--------------------------- Select menu option: 在同一个堆叠里，如果你要从一个Unit转到另一个Unit，在以下菜单中选择即可(本例子中只有一台设备，所以只有一个选择)： ----------------------------------------- (1)--------------------------- Select menu option: sys unit select Select unit (1): 当你进行设置时，配置会在整个堆叠内生效，如创建的VLAN。在向VLAN里加端口时，也可以通过指定不同的Unit号将不同Unit上的端口划到同一个VLAN中。 配置端口安全PortSecurity 前面在基本的二层交换功能中介绍过，可以把某台设备的MAC地址手工写到4400的某个端口上，这样，这个设备只能连到该端口，如果连到其他端口，则不通。 用户在使用中经常有与其相反的应用，即某个端口只允许某一台或几台设备接入，而不允许其他设备接入，这时候可以利用4400交换机的PortSecurity功能。 另外，4400交换机(4400SE除外)支持802.1x的端口认证，只有通过认证的计算机才能连接到网络。这部分功能也是在Port Security这里设置的，但我这里目前没有Radius Server软件，大家自己去试吧。 Select menu option: secu network acce Menu options: --------------3Com SuperStack 3 Switch 4400--------------- detail - Display port users portSecurity - Configure port security summary - Display port security settings systemMode - Enable/disable network security systemSummary - Display summary information Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (security/network/access): ports Select user ports (unit:port...,?): 1:3 Enter mode of operation (?)[noSecurity]: ? One of the following items may be selected at this prompt: noSecurity,continuallyLearn,autoLearn,standardNetworkLogin, secureNetworkLogin,nbxNetworkLogin Enter mode of operation (?)[noSecurity]: autoLearn Enter the number of authorized addresses (0-233)[1]: 5 Enter Disconnect Unauthorized Device mode (?)[noAction]: ? One of the following items may be selected at this prompt: noAction,permanentlyDisable,temporaryDisable Enter Disconnect Unauthorized Device mode (?)[noAction]: no Select menu option (security/network/access): [说明] 上面例子中，端口3设置为autolearn方式，允许的地址个数为5个(该端口所学到的前5个地址)，对于5个以后的MAC地址，设备即使连到端口3上，也不能通信。 下面是一些简单的参数说明，mode of operation有6个参数，noSecurity，continuallyLearn、autoLearn、standardNetworkLogin、secureNetworkLogin及nbxNetworkLogin。如果要设置一个端口的802.1x认证，需要在Security->radius菜单下设置Radius的相关信息。 DUD-Disconnect Unauthorized Device模式有三个，noAction，permanentlyDisable，temporaryDisable。如果选择后两个，当端口上所学到的MAC地址超过允许的个数时，该端口会自动down掉；如果选择noAction，端口不会闭塞，但后面连上来的设备不能通信，这是大部分情况下我们希望的。 配置端口镜像-RovingAnalysis 4400支持一对一的端口镜像功能，即将被监控端口(monitor port)收发的数据从监控端口(analyzer)发送出去，使连接到analyzer端口的网络分析设备能对被监控端口的流量及数据进行分析。 Select menu option: feature roving Menu options: --------------3Com SuperStack 3 Switch 4400--------------- add - Configure the roving analysis port remove - Clear the roving analysis port start - Start monitoring stop - Stop monitoring summary - Display summary information Type "quit" to return to the previous menu or ? for help ----------------------------------------- (1)--------------------------- Select menu option (feature/rovingAnalysis): add Select analyzer port (unit:port,?): 1:24 Select menu option (feature/rovingAnalysis): start Select port to monitor (unit:port,?): 1:9 Select menu option (feature/rovingAnalysis): summ Monitor Port Analyzer Port State --------------------------------------------- Unit 1 Port 9 Unit 1 Port 24 Enabled Select menu option (feature/rovingAnalysis): [说明] 以上例子中，端口24是analyzer端口，接sniffer等流量查询、监控等设备。被监控的是端口9，该端口所有收发的数据都会从端口24发出去 上面都是3COM4400接入层交换机简单配置，查看4400系统信息、配置IP管理地址和网管系统、生成树-Spanning Tree Protocol、组播过虑-Multicast Filter、链路聚合Link Aggregation、配置VLAN 、堆叠、配置端口安全PortSecurity、配置端口镜像-RovingAnalysis、QoS流量控制、软件升级及密码丢失，我就说这么多了，如果想更深入了解3COM4400二层交换机的，可以给我发E-mail，我可以把详细的技术白皮书传给你！ 第四章 服务器及应用软件的介绍 1、安腾Amtium eFlow GBMS服务器及整套校园网管理系统 1．1 eFlow D_BRAS宽带接入服务器 eFlow D_BRAS宽带接入服务器经过6年多的应用和改进，设备运行稳定、可靠，功能实用、丰富，并且已经形成了系列化产品。eFlow D_BRAS宽带接入服务器系列提供多种端口类型，可支持并发用户128～8192,丰富的产品功能可以满足各类宽带接入用户规模的组网要求。 软件功能 主要协议标准 【功能特点】  eFlow D_BRAS宽带接入服务器功能丰富、性能稳定,具有很高的性价比。       ■ 对传统的BSD TCP/IP协议栈进行针对性优化，增强了系统抵御病毒和恶意攻击的能力。         ■ 提供了对802.1Q协议trunk功能的支持，满足复杂情况下的组网要求。       ■ 内置DHCP Server，提供DHCP relay功能，提供灵活的IP地址分配方式。       ■ 内置Web Server，可以根据用户的需求定制各种认证页面。       ■ 提供应用层keep_alive连接保活机制，可以及时判断用户状态，防止IP地址盗用。       ■ 提供用户空闲检查机制，可以有效提高网络资源利用率，减小用户不必要的费用。       ■ 可以指定登录Portal,加强运营商和用户的有效沟通，不断提升网络价值。       ■ 可以提供Web认证客户端，同时提供类似PPPoE拨号客户端的认证模式。       ■ 可以指定特殊用户无需认证即可上网，同时可以限制免认证用户的带宽使用。       ■ 可以提供某些IP地址无需认证即可访问，方便运营商制定灵活的营销措施。       ■ 通过Session数控制、带宽控制、客户端软件的共同作用，有效防止用户私做代理的行为，保护运营商的合法利益不受侵害。       ■ 支持静态路由和源地址策略路由，能够满足具有双出口网络的用户的应用需求。       ■ 支持DVMRP组播路由功能，能够满足用户对组播功能的要求。       ■ 支持静态NAT和基于端口的动态NAT,可以节约宝贵的IP地址资源。       ■ 支持IP包过滤，可以基于网络端口、源IP地址、目的IP地址、协议、端口号进行报文过滤。       ■ 系统提供灵活的管理方式，支持CLI、Telnet、SNMP方式的管理。       ■ 提供多服务支持功能，可以灵活指定不同用户组别能够访问的各种资源的权限，方便运营商开展各类增值业务。        ■ 强大的RADIUS client 功能，提供主备RADIUS倒换、RADIUS并发记帐功能。       ■ 提供对RADIUS扩展属性和私有属性的支持，配合RADIUS Server可以实现认证用户以32kbps为单位的带宽控制。       ■ 配合RADIUS Server可以实现各种计费策略：时长计费、流量计费、包流量、包时长、国内外流量分开计费、卡用户计费等。       ■ 提供标准TFTP形式的软件升级和配置文件上传、下载。 1．2 Radius Server计费管理系统 Radius Server计费管理系统的功能模块组成如下图所示： 支持标准的RADIUS协议，可以全面兼容不同厂家的BRAS产品并已经成功和国内外主流以太网交换机实现802.1X对接。      采用B/S结构，方便管理。       支持各种用户计费安全措施，能够实现帐户、MAC、IP、VLAN、接入服务器以及服务器端口的绑定或者上述多种要素的绑定。     丰富的计费策略，时长、流量、包时长、包流量、普通包天、动态包天、分层、包月和包年预付费、后付费和免费等数十种计费策略，以实现国内外分开计费、校内外分开计费，方便运营商开展增值业务。     强大跨平台能力，系统可运行在Linux操作系统之上。 多样化的数据库支持功能，系统支持Oracle，Postgre等多种流行的数据库系统。     强大的用户管理功能，能够提供用户开户、用户注销、变更受理、用户查询、用户在线、专线用户管理、停机用户管理、公免帐号管理和广播信息等功能。     丰富的费用管理功能，提供帐单确认、费用预缴、用户充值、用户销帐、批量销帐、银行托收等功能。     齐全的报表管理功能，提供用户清单查询、帐单查询、充值报表、预缴报表、收费报表、欠费报表功能等各种查询、统计功能。 多样化的卡类管理功能，提供上网卡、充值卡、卡查询等各类卡业务。     强大的系统设置功能，提供营业区设置、费率设置、策略管理、时段管理、Radius监控、银行托收等功能。     可靠的安全设计，支持系统角色分配、操作员管理、备份管理、日志记录等功能。 (Radius Server计费管理系统操作界面的截图) 1．3 eFlow LRMS日志记录管理系统 eFlow LRMS日志服务器或者安腾BRAS(宽带接入服务器)和日志管理软件组成，能够完成用户上网行为的记录、跟踪、分析，实现各种条件下的查询功能，非常适合需要监控用户上网行为的公安、教育、银行、企业、校园等部门。 ■  硬件规范  ■  软件功能 eFlow LRMS实现功能丰富，结构简单、运行稳定，它具有以下的主要功能特点： 采用端口监听的方式，获取数据报文，对现有的网络结构和性能不会产生影响。    可以根据用户指定的协议进行报文记录，节省硬盘有效空间。    可以存储60GB－120GB的临时数据，保证用户有足够的原始数据信息。    系统定时将临时数据存取到后台大容量存储设备中，减小维护人员的负担。    支持Interbase、SQL Server、Oracle等各种流行的数据库软件。    提供CLI方式和windows方式的管理功能，界面友好、直观。    系统提供丰富的查询功能：可以根据时间、IP地址、MAC、协议、VLAN ID等各种条件进行单独查询，也可以根据上述各种条件进行组合查询。   提供实时数据查询功能，可以随时对用户上网情况进行分析。    提供多种安全措施，防止非法用户对Log Server的访问。    支持Telnet功能，可以方便的对系统进行远程管理。 ■  管理界面 另外，eFlow Client 拨号客户端是配合eFlow BRAS使用，也可以和802.1x交换机配合使用， 客户端直接面向用户，是用户登录和访问网络的窗口。 2、校内其它服务器安装与介绍 2．1 VOD视频点播服务器 硬件概要: 实际配置：Intel® Xeon™ 处理器 双核 2.8G 、内存DDR II 1G 、SCSI HDD 600G RAID 3 具购买IBM公司的xserise 236 系列服务器，可通过可选的机架安装套件安装为具有 5U 能力的塔式机柜，支持 2 个 Intel® Xeon™ 处理器，最高支持 3.80 GHz 主频和 800 MHz 前端总线速度（支持 Intel 64 位扩展内存技术） 最大 16GB DDR II 内存(通过 8 个具有增强内存可用性功能的 DIMM 插槽实现）6 个 I/O 插槽，包括 PCI-X、Active PCI 和高性能 PCI-Express 插槽 ,可选的处理器 － AMD Opteron 1000 系列（双核）或 AMD Athlon 3500+（单核）处理器,最多 9 个热插拔 SCSI HDD，支持大容量存储,标配 512 MB 或 1 GB 内存/最大 8 GB DDR II 667 MHz（通过 4 个 DIMM 插槽）. 运行环境：windows 2003 企业版, Truran VOD视频服务系统 VOD软件介绍和功能介绍： 校园网使用确然视频服务系统（Truran VOD），运行于windos2003平台，采用国际领先的流媒体核心技术——智能适应流传输技术，可运行于局域网、广域网（互联网、电信网、广电网、教育城域网）等各种复杂的网络环境，广泛地应用在教育、政府、企业、军事、电信、广电等各领域，帮助用户对视音频资源进行组织和管理，提供视音频节目点播、直播、广播服务，实现资源的有效共享，为用户进行多媒体资料查询、自主学习、远程教学、远程培训、现场会议以及休闲娱乐等应用提供了一个易用、实用的网络视频解决方案。 视音频点播、直播、广播 系统自带流媒体网络播放器，支持各种国际主流视音频格式。视频点播响应速度极快，即点即播无延迟、任意拖动无停顿。通过对视频流的控制及优化处理，极大地节约了网络及硬件资源（如CPU、内存、磁盘I/O等），整个系统在使用过程中超强稳定。直播广播支持多种流式传输方式（TCP单播，UDP单播，UDP多播，UDP广播），支持网络中转代理服务，以适应各种网络环境的需要。支持多频道多画面监视，延时极小，影音同步。真正实现跨网段、跨路由进行点播广播，不需要对网络环境进行任何特别设置。支持WINDOWS、UNIX、LINUX等各种国际主流操作系统。支持Oracle、Sybase、SQL Server、MySQL、Access等数据库 视音频资源管理、系统管理 用户可自定义节目分类，节目源发布快捷方便，能单个节目和批量节目处理，支持远程节目管理。强大的资源检索功能，方便用户快速查询所需资源。完善的安全管理机制，所有资源进行严密层级管理。系统自动检测节目格式和节目码率，实时监控网络资源占用情况，方便管理员及时了解系统应用状态。通过负载均衡，部署分布式机群，可支持百万级以上并发流。 校园网VOD点播系统，现有电影大片一千多部，其中有动作片，恐怖片，爱情片，综艺片，科幻片，战争片，教育片等等，电视连续剧五十多台部，且每星期更新一次，以满足同学们平时上网看电影的需求。 2．2 FTP文件下载服务器 配件配置：Intel® Xeon™ 处理器 双核 2.4G 、内存DDR II 1G 、SATA 150G 运行环境：RedHat Enterprise Liunx， vsftpd服务器 校内FTP文件下载资源库，主要是为了满足大部分某校园网学生上网时所需要下载安装的一些软件及学习资料，FTP文件下载资源库提供装机常用软件、常用驱动、计算机学习资料、英语学习资料、操作系统等等下载专区。 安装vsftp服务器，vsftp的基本配置 安装 下载源代码wget ftp://vsftpd.beasts.org/users/cevans/vsftpd-1.2.1.tar.gz 解压tar zxvf vsftpd-1.2.1.tar.gz 进入源代码目录cd vsftpd-1.2.1 ,编译make,创建用户,如果不存在 nobody用户，请创建,useradd nobody,创建目录,vsftpd 需要 /usr/share/empty 目录，如果不存在，请创建： mkdir /usr/share/empty,安装make install,复制配置文件到/etc目录,cp vsftpd.conf /etc 以独立方式启动vsftpd服务,/usr/local/sbin/vsftpd,4.2 使用Debian的方式安装 ,# aptitude update,# aptitude install vsftpd( 2.0.5),配置文件说明/etc/vsftpd.conf vsftpd的主配置文件 /etc/ftpusers 记录不允许访问FTP服务器的用户名单管理员可以把一些对系统安全有威胁的敏感账户记录在这个文件中，以免对系统造成威胁      # /etc/ftpusers: list of users disallowed FTP access. See ftpusers(5). root  daemon bin  sys sync games man lp mail news uucp nobody /etc/vsftpd.user_list 此文件与userlist_file 选项有关， 也可通过userlist_file选项指定其他文件， 默认为/etc/vsftpd.user_list，设置userlist_enable＝YES时方可生效， 默认（userlist_deny=YES）指定不能访问服务器的用户列表，如设定userlist_deny=NO，则Ftp服务器仅允许此列表中的用户访问。 /etc/init.d/vsftpd vsftpd的启动脚本,/var/log/vsftpd.log vsftpd的日志文件 配置相关内容参阅： man vsftpd.conf 系统的启动与停止 启动服务/etc/init.d/vsftpd start 重启服务/etc/init.d/vsftpd restart 停止服务/etc/init.d/vsftpd stop 也可以使用 rcconf 工具设置vsftpd 服务是否在系统引导时启动 配置示例: 一个示例文件 # 以独立模式启动         listen=YES         #同时允许200客户端连入，每个IP最多允许4个进程         max_clients=200         max_per_ip=4 允许匿名访问，只有下载权限。 禁止本地（系统）用户登录         # Access rights         anonymous_enable=YES         local_enable=NO         write_enable=NO         anon_upload_enable=NO         anon_mkdir_write_enable=NO         anon_other_write_enable=NO         # 禁止匿名用户下载具有全局读取权限的文件，目录中的用户和组信息列取时都显示为 "ftp".         #被动模式下，服务器端口范围限制在50000~60000         anon_world_readable_only=YES         connect_from_port_20=YES         hide_ids=YES         pasv_min_port=50000         pasv_max_port=60000         # 生成详细的上载和下载日志，禁止使用"ls -R"命令,         xferlog_enable=YES         ls_recurse_enable=NO         ascii_download_enable=NO         async_abor_enable=YES      # 以节省资源模式运行（针对 Linux 2.4 内核），      #远程客户端最大 FTP 命令间隔超过120秒，或空闲的数据连接超过300秒，都将被断开      #匿名客户端允许的最大数据传输速率50000b/s         one_process_model=YES         idle_session_timeout=120         data_connection_timeout=300         anon_max_rate=50000 配置PAM文件 修改/etc/pam.d/vsftpd 内容如下：         auth required /lib/security/pam_userdb.so db=/etc/vsftpd_login         account required /lib/security/pam_userdb.so db=/etc/vsftpd_login 为虚拟用户创建本地系统用户   useradd -d /home/ftpsite virtual         mkdir /home/ftpsite         chown virtual.virtual /home/ftpsite         ls -ld /home/ftpsite         drwxr-sr-x 2 virtual virtual 48 2006-08-18 05:48 /home/ftpsite 在目录下创建一些内容         echo "etony's vsftpd server" > /home/ftpsite/msg         chown virtual.virtual /home/ftpsite/msg 创建/etc/vsftpd.conf 根据需要创建/etc/vsftpd.conf，但要确保含有一下设置：         anonymous_enable=NO         local_enable=YES         write_enable=NO         anon_upload_enable=NO         anon_mkdir_write_enable=NO         anon_other_write_enable=NO         chroot_local_user=YES         guest_enable=YES         guest_username=virtual         listen=YES         listen_port=21         pasv_min_port=30000         pasv_max_port=30999 启动vsftpd         /etc/init.d/vsftpd start|restart 校内FTP资料库截图： （装机常用软件专区） 2．3 MAIL邮件服务器 配件配置：赛扬D 2.53G + 256M内存 运行环境：windows2000server , WinWebMail专业邮件服务器 WinWebMail是安全高速的全功能邮件服务器，融合强大的功能与轻松的管理为一体，提供校园网内部用户注册使用. 主要功能：     ·支持 SMTP，SSL-SMTP，POP3，SSL-POP3，IMAP4，SSL-IMAP4，WebMail，CA Server，TLS/SSL，S/MIME，Daytime 服务，及其所有相关RFC协议。     ·提供高效的邮件防病毒功能，并支持多种杀毒引擎。     ·使用TLS/SSL标准安全套接字层通讯协议(1024位RSA加密)，支持包括 SSL SMTP, SSL POP3, SSL IMAP4 安全通讯服务，防止网络侦听，使得通信更安全。     ·提供完善的日程管理功能，让您可以和系统内其他用户进行高效的协同合作。     ·提供强大的四级地址簿及通讯组功能，包括：企业地址簿/私人地址簿/域公共地址簿/(系统)公共地址簿，并支持完善的管理机制。     ·支持数字证书服务并提供强大的管理功能，可直接在WebMail中撰写或阅读经过数字签名或数字加密的安全邮件(S/MIME)。提供军事级别的高安全强度(4096位DH/DSS加密或2048位RSA加密)。     ·首创的问题回答投递机制，更配合强大的多层垃圾邮件防御体系和只有大型邮局才有的仿人工垃圾邮件投诉分捡功能，让垃圾邮件彻底远离您的收件箱。     ·提供强大的用户级虚拟邮箱功能，让用户的每一个私人文件夹都成为可以接收邮件的虚拟邮箱，并为每一个虚拟邮箱提供独立的自动转发以及自动回复功能。     ·提供强大的网络硬盘功能，更可以分目录管理，并能为每一个网络存储的文件添加注释文档。     ·提供完善的文件夹共享功能，包括：私人文件夹以及存储文件夹的共享。     ·提供强大的讨论组(公共文件夹)功能，系统可以创建高达9999个不同的讨论分区。     ·细致的投票功能甚至可以选定不同域名内的用户做为可投票用户，更可以和公共文件夹功能相绑定，以实现完整的投票讨论体系。     ·提供良好的Web支持，让您可以直接通过IE浏览器收、发电子邮件，更支持强大的Web远程管理服务，让您无需登录服务器，仅靠IE浏览器就可以实现对邮件系统的全面管理。     ·提供完整的WebMail开发COM接口，包括多种对象、方法及属性，以支持高级用户针对WinWebMail系统进行的相关ASP程序二次开发。     ·支持IMAP4服务，可以在服务器上操作邮件，支持中文邮件夹和子文件夹。     ·提供个性化的邮箱色彩订制方案，管理员可以设置9种不同的色彩方案让用户选择，更可以由每一位用户任意设计自己的邮箱色彩。 设置WebMail WinWebMail简单的管理界面 直观的用户操作界面 在校内网中架设MAIL邮件服务器，为校内师生在学习和沟通上都提供了便利，也大大加强了邮件的安全性，有效隔断了互联网的病毒干扰， 第五章 网络硬件设备部分清单 1、网络设备表(结算清单) 序号 设备名称 规格型号 品牌 数量 单位 单价 总价 1 千兆核心交换机 3C17706 3COM 1 台 54,000.00 54,000.00 2 四口光纤扩展模块 3C17710 3COM 1 块 12,500.00 12,500.00 3 二级交换机 3C17204 3COM 5 台 15,800.00 79,000.00 4 二级交换机 3C17203 3COM 10 台 7,700.00 77,000.00 5 千兆光多模接口模块 3C17221 3COM 7 块 2,800.00 19,600.00 6 二级交换机配件 3C17224 3COM 6 套 4,600.00 20,700.00 7 DMZ区 3C17206 3COM 1 台 4,950.00 4,950.00 8 电子阅览室交换机 3C17206 3COM 6 台 4,950.00 29,700.00 9 网络路线 五类跳线 IBDN 180 根 10.00 1,350.00 10 防火墙 ES800 易尚 1 台 24,750.00 11 VOD服务器 X235-8671-41X IBM 1 台 15,000.00 11,250.00 12 VOD服务器配件 73UCDY10 IBM 6 个 2,700.00 16,200.00 13 5KUPS SU5000 UX APC 1 台 7,100.00 7,100.00 14 UPS配件 电池 松下 4 个 690.00 1,720.00 15 UPS配件 电池箱 无 1 个 180.00 180.00 16 辅材 　 　 1 批 750.00 17 　 　 　 　 　 　总价 360,750.00 （以上价格为2004年10月报价） 附录：校园网常见网络故障及处理方法 校园网可以通俗地理解为由校内计算机组成一个局域网，网络设备系统故障、病毒甚至用户的错误操作等原因都会造成网络无法正常工作，而网络维护人员又不可能随时到现场为用户排除故障，因此掌握一些基本的网络故障的排查方法是非常必要的。本文拟对校园网常见故障进行分析分类，并介绍其排查方法。 一、校园网故障 当我们的PC机无法连接到互联网的时候，首先要考虑是不是校园网本身出了问题。只要处于校园网的环境下，那么无论访问网络中的哪一种服务，我们的PC机都需要通过校园网核心交换机才可以与外界进行通讯，为了检查是否校园网自身发生故障，我们可以问一问处于同一网络环境下的其他用户，比如隔壁房间的同学。如果同一时间，有多台PC机均无法连接至网络，那么就可以考虑校园网本身出现故障，包括交换机不正常工作、DNS无法解析域名等问题。如果判断为校园网自身的问题，普通用户一般无法自己解决，需要网络中心的维修人员来帮助排查故障。 二、用户故障 1．用户自备网络设备的故障 如果一个部门的多台PC机是通过用户自备HUB、小型交换机或者小型路由器接入校园网，这些设备的不稳定性、工作环境温度或湿度过高、设备工作时间过长等都可能造成网络无法连接，这时，可以考虑重新启动这些设备，然后再检查网络是否可以正常使用。 2．错误操作造成的网络故障 （1）代理服务器(Proxy)设置不正确 不正确的代理服务器设置会影响网络的正常使用。如网络不能正常使用，可以检查代理服务器的设置。方法为：打开Internet Explorer浏览器，点击工具条上的“工具”选项，再点击“Internet选项”，在新打开的标签页中选择“连接”，再点击“局域网（Lan）设置”，查看里面的“代理服务器选项”的复选框是否被选中，如果被选中，则可以试着取消复选框，然后点击“确定”，检查网络是否可以正常使用。 （2）防火墙设置有问题 防火墙是保卫系统安全的一种软件，常用的防火墙种类很多。防火墙的设置复杂，如果是人为误操作，则可能造成防火墙错误地将PC机与网络隔离。这时可以试着关闭防火墙，再查看网络是否可以正常工作。 （3）IP地址等信息填写不正确 在校园网范围之内，有两种上网方式，一种为DHCP方式，这种上网方式不须要填写IP地址，PC机可以自己从网络上的DHCP服务器中获取网络地址，并自动连接网络；另一种上网方式则需要一个静态IP地址，一般是用户从网络中心申请一个IP地址，正确填写后才可以让PC机接入网络。第二种方式是现阶段校园网用户使用比较广泛的方法。检查IP地址是否被正确配置，可以使用下面的方法：在网上邻居的图标上，点击右键，选择“属性”；在打开的窗口中，右键单击“本地连接”图标；打开的标签页中选择“Internet协议（TCP/IP）”，并用鼠标左键双击，然后在新打开的标签页中查看IP地址等选项是否与网络中心分配的地址一样。如果发现系统的IP地址、子网掩码、网关、DNS服务器地址等与网络中心分配的信息不同，则可以修改相关信息并点击“确定”，再查看PC机是否可以正常连接至网络。 （4）更换了网卡 校园网中的PC机，其IP地址与网卡的物理地址是绑定的，如果更换了新网卡，物理地址也就更改了，须到网络中心重新进行地址绑定。另外，目前PC机的网卡一般集成在主板上，在更换了PC机的主板后，一般也须对地址进行重新绑定；更换计算机也会有同样的问题。 在这里须要补充两条：一是如果在显示屏右下方经常显示“IP地址与网络上的计算机冲突”的提示，那就说明PC机的IP地址被同网段的其他PC机占用；二是双击“本地连接”图标，在打开的标签页中显示的PC机“收发包”数量方面，“收包”的数量仅仅是1或者2，这可能表示PC机被分配的IP地址与网卡的MAC地址绑定有冲突。这两种情况均须要请网络中心专业维护人员对故障进行排查。 5．操作系统故障造成的网络无法连接 操作系统是一个非常复杂的软件，会有多种故障造成网络无法连接，下面列举几个常见的故障并介绍其排除方法。 （1）浏览器故障 目前互联网上存在一些具有破坏性的网站，当我们使用Internet Explorer浏览这种网站时，浏览器可能被破坏，常见的现象为随机打开多个窗口，无法正确显示网页，出现大量错误提示，等等。这时，可以考虑使用浏览器修复工具对浏览器进行修复，或者下载最新版的Internet Explorer进行覆盖安装。如果这些操作仍然无法对浏览器进行修复，那么可以考虑更换一种浏览器，比如与Internet Explorer使用不同核心的Mozilla浏览器，或者基于Mozilla浏览器开发的名字为Firefox的浏览器。这些浏览器均可以在网络上免费下载和使用。 （2）网卡驱动故障 由于我们的Windows操作系统默认的用户为超级管理员账户，因此有一些原因可能造成系统的网卡驱动软件被破坏。在网络无法连接的情况下，也可以考虑重新安装网卡驱动程序。 （3）操作系统的TCP/IP协议模块被破坏 在使用网络进行通讯时，大多使用的都是TCP/IP协议。如果无法与网络进行通讯，则TCP/IP协议模块可能被破坏了。修复的方式很简单，只须把Windows操作系统的安装光盘放进光盘驱动器，然后点击操作系统的开始菜单中的“运行”，输入“CMD”并点击确定，再输入命令“sfc –scannow”，Windows系统就会试着修复被破坏的系统文件。 6．病毒造成网络故障 现在的计算机病毒，具有非常强的攻击性与破坏性，不但可能造成文件丢失、文件损坏、系统破坏，而且有可能造成网络拥塞等情况。如果无法确定操作系统是否有故障，也就是说没有太明显的操作系统的错误提示时，可以考虑是不是病毒堵塞了网络。这里，可以考虑使用杀毒软件，并且升级至最新版本的病毒库对计算机进行全面扫描。推荐使用NOD32、卡巴斯基等杀毒软件进行病毒查杀，使用Ewido进行木马查杀。 7．帮助用户自行排查网络故障常用的网络命令 利用Windows操作系统提供的有关网络的命令，可以帮助我们排查网络故障，常用的网络命令有下面几个： （1）Ping工具 该工具可检测任意两台TCP/IP主机间的连接是否畅通，只有连接畅通，用户才能访问对方TCP/IP主机上的网络资源。 （2）Nslookup工具 该工具可以检测PC机与DNS SERVER是否可以正常通讯以及DNS SERVER是否可以正常应答PC机发出的请求。 （3）Tracert工具 用于判断是用户所使用的PC机到对方主机之间数据包经过的路由器的运行状况慢了，还是路由器坏了；哪个路由器慢，哪个路由器快。 （4）Netstat工具 用于查看用户PC机与外界通讯的应用程序与端口。 以上命令须要在命令行方式下运行，推荐对计算机系统比较熟悉的用户使用。具体的使用方法可以查看操作系统的“帮助”模块，或者在网络上寻找帮助。 网络的结构是复杂的，造成网络故障的原因也很多，上面介绍的方法可以用于排查大部分的常见网络故障。遇到问题自己解决，时间也就节省下来了，可以更高效地使用网络。 下面，我们就按照网络安装的顺序，介绍两种故障处理和排除的方法。在开始之前，必须提醒各位要准备好几个常用的工具：一字和十字螺丝刀、网线钳、一根制作好的3米交叉线和电缆测试仪。　 1、无法在用户电脑中安装网卡 用户在安装网卡的时候，有时会发现新安装的驱动程序不起作用，看不到新安装的网卡，甚至连机器的启动都无法完成。出现这种情况，主要是因为用户的电脑中设备冲突所致。 发生冲突的原因也各种各样，容易和网卡发生冲突的板卡主要有显卡和内置Modem。解决这一问题的方法其实很简单，按照如下的方法就可以解决： (1) 把其他板卡，如声卡、内置Modem等设备卸下，只保留显卡和网卡，然后开机引导系统； (2) 安装显卡的驱动程序； (3) 安装网卡驱动程序； (4) 一切正常后，再插入其他板卡，并安装这些设备的驱动程序。 还有一种情况，就是网卡与主板接触不良，如果发生故障之前移动过电脑，可以将网卡卸下，然后再插入主板的扩展槽。 只要经过以上几步，一般的冲突问题都可以解决。如果问题还不能解决，就需要在CMOS设置中，对系统资源进行进一步设置。具体的做法是，首先设置让系统自动分配资源，然后禁用系统中不存在的设备（将这些设备的设置值设为Disabled）。因为目前的主流电脑设备和操作系统都已经支持即插即用，因此经过修改CMOS设置、重新安装驱动程序之后，无法安装网卡的情况一般都可以解决。　　 2、查看网络邻居时，系统提示：“无法访问网络”。 导致这种情况发生的原因有很多，用户按照以下步骤就可解决： (1) 检查网卡是否正确安装； (2) 检查网线和集线器。 先检查网线是不是已经松脱了？或者干脆就没插在网卡上？检查集线器端，网线是否连接好了？集线器的电源是否打开？集线器是否有问题？最直接的方法是检查网卡和集线器上的工作状态指示灯。如果指示灯不亮，就说明硬件连接有问题。把网线从接口上拔下来，再重新插好，看看问题是否解决。 如果问题依旧，就把网线换到集线器的另一个接口试一试。如果问题解决了，就说明毛病出在集线器上；如果换接口不奏效，就使用电缆测试仪对网线进行检查。如果确实是电缆的问题，就需要重新制作网线。 如果问题还没有解决，网卡和集线器的指示灯显示工作正常，就需要通过软件对网卡进行诊断。最直接的方法就是使用Ping命令进行诊断。 方法为单击“开始”菜单，然后单击“运行”命令，在“运行”文本框中输入“ping 本机ip地址”，如果可以连通，表明本机网卡没有硬件问题。如果无法连通，则表示本机的网卡损坏了，解决的办法就只能是更换了。 Ping命令是最基本的命令行网络工具，主要用来检测网络中设备的连通性，可以判断网络连接是否正常。虽然这一工具很简单，但是这一工具对判断线路状况、协议设置状况和服务器问题有很大帮助，我们必须掌握。 ▲ping 127.0.0.1 127.0.0.1被规定为loop back地址。这个测试包不会被送到本机上的网络设备，而是被送到本机的loop back driver。这一操作通常用来测试TCP/IP协议组是否正常运行和工作。 ▲ping   本机IP 如果前面TCP/IP协议组工作正常，这一命令就可检查本机的网络设备是否工作正常。如果设备出现故障，就不会有回应。 ▲ping   本地网络中其他电脑的IP 这一命令可以检查本地网络的工作情况。如果所有电脑都无法ping通，那么可能是与本机相连的网络设备如网线和集线器等出现了故障。如果可以连通部分电脑，则问题可能出在被ping的设备上。 ▲ping   网关IP 网关实际上是网络的出口，如果能够成功ping通，就说明本地网络与网关的设置都没有问题。 ▲ping 互联网上的IP或者域名 ping互联网上的IP，如果成功，就说明本地的网络设置正确。接着如果ping域名（或电脑名），无法ping通，那么就说明网络中的DNS有问题。 (3) 检查是否安装了局域网中所需的协议 如果进行了以上检查仍然一无所获，看一看电脑是否安装了局域网中使用的通信协议。具体的方法是在如图1所示的该连接的“属性”框中查看所使用的网络组件列表， (4) 检查是否安装了Microsoft网络用户；是否正确登录到域中，或者是否加入了工作组。 检查电脑加入的域或者工作组的设置是否正确，可以使用ipconfig命令。打开MS-DOS对话框，然后在命令行后输入“ipconfig /all”，电脑将列出本机的TCP/IP设置，查看主DNS后缀（Primary DNS Suffix）就可以了解本机的工作组或域的设置。 ipconfig是用于检查TCP/IP协议的常用工具，通过“ipconfig /all”可以详细查看每一块网卡的设置情况。图2是ipconfig /all运行的结果。由图中可以了解到机器的域名、IP地址、DNS和DHCP服务器的地址等重要配置情况。 在Windows 98中， ipconfig命令是通过winipcfg实现的，运行时要在“运行”对话框中输入“winipcfg”，将弹出如图3所示的图形化界面，其作用与ipconfig相同。 结 论 通过这次毕业设计,我对校园网整体规划能力进行了巩固和加强，也大大提升我在校园网需求分析，系统设计，网络设备的选择、网络设计方案、服务器及应用软件的专业知识。在整个方案的设计过程中，我总结出了适合自己的五步曲“观察-思考-设计-分析-修改”，这五步曲循环出现贯穿着全过程，直到得出这个结论。我学到了很多东西，也发现了一些不足的地方，由于时间与网络环境准备不充分，有些校园网中需要的内容，却没有在方案中反映出来（例如：布线系统这方面），有些需要重视的问题却没有做细节化的说明（例如：网络管理系统这方面），所以在今后，我会不断地对校园网设计方案进行修改，以求完善。 本设计也适合于从事网络工程的初、中级工程技术人员参考。 主要参考文献 1、王 达 . 网络工程师必读：网络系统设计 .电子工业出版社   . 2006-12 王 达 . 网络工程师必读——网络工程基础 .电子工业出版社 . 2006-7 王 达 . 网管员必读——网络应用（第二版）.电子工业出版社   . 2007-2 王 达 . 网管员必读——网络组建 .电子工业出版社   . 2006-1 2、雷震甲.网络工程师教程(第二版).清华大学出版社. 2006- 6 3、（荷）博恩 .IT服务管理：基于ITIL的全球最佳实践 . 清华大学出版社 . 2006-1 4、技术成就梦想 http://www.51cto.com （技术论坛） 5、协议分析网 http://www.cnpaf.net （技术论坛） 6、安腾网络 http://www.amtium.com （认证服务器企业网） 7、网新.易尚 http://www.yishang.com.cn （易尚防火墙企业网） 8、3COM http://www.3com.com.cn （3COM官方网） 致 谢 致 谢 时间飞逝，大学的学习生活很快就要过去，在这四年的学习生活中，收获了很多，而这些成绩的取得是和一直关心帮助我的人分不开的。 首先非常感谢学校开设这个课题，为本人日后从事计算机方面的工作提供了经验，奠定了基础。本次毕业设计大概持续了半年，现在终于到结尾了。本次毕业设计是对我大学四年学习下来最好的检验。经过这次毕业设计，我的能力有了很大的提高，比如操作能力、分析问题的能力、合作精神、严谨的工作作风等方方面面都有很大的进步。这期间凝聚了很多人的心血，在此我表示由衷的感谢。没有他们的帮助，我将无法顺利完成这次设计。 首先，我要特别感谢我的知道郭谦功老师对我的悉心指导，在我的论文书写及设计过程中给了我大量的帮助和指导，为我理清了设计思路和操作方法，并对我所做的课题提出了有效的改进方案。郭谦功老师渊博的知识、严谨的作风和诲人不倦的态度给我留下了深刻的印象。从他身上，我学到了许多能受益终生的东西。再次对周巍老师表示衷心的感谢。 其次，我要感谢大学四年中所有的任课老师和辅导员在学习期间对我的严格要求，感谢他们对我学习上和生活上的帮助，使我了解了许多专业知识和为人的道理，能够在今后的生活道路上有继续奋斗的力量。 另外，我还要感谢大学四年和我一起走过的同学朋友对我的关心与支持，与他们一起学习、生活，让我在大学期间生活的很充实，给我留下了很多难忘的回忆。 最后，我要感谢我的父母对我的关系和理解，如果没有他们在我的学习生涯中的无私奉献和默默支持，我将无法顺利完成今天的学业。 致 谢 四年的大学生活就快走入尾声，我们的校园生活就要划上句号，心中是无尽的难舍与眷恋。从这里走出，对我的人生来说，将是踏上一个新的征程，要把所学的知识应用到实际工作中去。 回首四年，取得了些许成绩，生活中有快乐也有艰辛。感谢老师四年来对我孜孜不倦的教诲，对我成长的关心和爱护。 学友情深，情同兄妹。四年的风风雨雨，我们一同走过，充满着关爱，给我留下了值得珍藏的最美好的记忆。 在我的十几年求学历程里，离不开父母的鼓励和支持，是他们辛勤的劳作，无私的付出，为我创造良好的学习条件，我才能顺利完成完成学业，感激他们一直以来对我的抚养与培育。 最后，我要特别感谢我的导师刘望蜀老师、和研究生助教吴子仪老师。是他们在我毕业的最后关头给了我们巨大的帮助与鼓励，给了我很多解决问题的思路，在此表示衷心的感激。老师们认真负责的工作态度，严谨的治学精神和深厚的理论水平都使我收益匪浅。他无论在理论上还是在实践中，都给与我很大的帮助，使我得到不少的提高这对于我以后的工作和学习都有一种巨大的帮助，感谢他耐心的辅导。在论文的撰写过程中老师们给予我很大的帮助，帮助解决了不少的难点，使得论文能够及时完成，这里一并表示真诚的感谢毕业论文（设计说明书）撰写规范 毕业设计（论文）是学生在校学习成果的集中体现，毕业论文或毕业设计说明书是学生提交毕业设计（论文）资料中的主要部分。为了提高我校的毕业设计（论文）质量，使毕业论文（设计说明书）在内容和格式上更加统一规范，特编写此规范。 一、论文内容要求 1．毕业论文字数根据专业及课题不同要求在8000字以上，论文内容应完整、准确，层次分明，数据可靠，文字简练，分析透彻，推理严谨，立论正确。毕业设计说明书字数不低于8000字。 2． 论文撰写前应翻译完整的外文文献1～2篇（中文字数不低于3000字），要求翻译的内容与课题相关；撰写与课题内容相关的文献综述2000字以上。 3．论文应采用国家正式公布实施的简化汉字、法定计量单位和国家制图标准。 4．论文采用的术语、符号、代号全文必须统一，并符合规范要求。论文中使用新的专业术语、缩略语、习惯用语，应加以注释。 5．文稿中的插图、照片必须确保能复制或微缩。 二、论文各部分要求 论文内容一般应由十个主要部分组成，依次为：(1)封面，(2)中文摘要，(3)英文摘要，(4)关键字，(5)目录，(6)前言，(7)论文正文，(8)参考文献，(9)附录，(10)致谢。各部分的具体要求如下： 1．封面 采用学校统一的封面格式，封面上填写论文题目、作者姓名、学号、所在院（系）、专业名称、指导教师姓名及完成日期。 论文题目不宜过长，一般不超过25个字。 2．中文摘要 摘要是论文不加注释和评论的简短陈述，具有独立性和自含性，摘要中有数据、有结论，是一篇完整的短文，可以独立使用和引用，论文摘要在写法上一般不分段落，常采用无人称句。摘要中一般不用图表、化学反应式、数学表达式等，不能出现非通用性的外文缩略语或代号，不得引用参考文献。写作论文摘要时应注意能反映出以下几方面的内容：论文所研究的问题及其目的和意义；论文的基本思路和逻辑结构；问题研究的主要方法、内容、结果和结论。论文摘要一般200～400字。 设计说明书的摘要一般为1000～2000字，摘要应该包含论文中的基本信息，应说明本项研究工作的目的和意义、研究方法（实验方法）、结果和结论，重点是结果和结论。注意突出具有创新性的成果和新见解。 3．英文摘要 英文摘要内容应与中文摘要基本对应，要符合英语语法，语句通顺，文字流畅。 4．关键词 关键词是为了文献标引而从论文中选取出来的用以表示全文主题内容信息款目的单词或术语。每篇论文一般选取3～8个关键词。 5．目录 目录是论文的大纲，反映论文的梗概。目录页每行由标题名称和页码组成，包括中英文摘要；前言；主要内容的章、条、款序号和标题；小结；参考文献；注释；附录；可供参考的文献题录、索引等。 6．前言 前言是论文的第一章，是论文评阅人、答辩委员和读者了解论文研究背景和概况的主要篇章。主要目的是向论文评阅人、答辩委员和读者阐述论文中所要研究的问题以及与其有关的背景或对一些事项的说明。前言通常应包括以下四个方面：论文所研究的目标、国内外研究现状以及研究目的和意义；论文使用的理论工具、研究方法及技术路线；论文的基本思路和逻辑结构；论文参考的文献资料、使用的符号、计算公式等需要说明的问题。前言在写法上不分章节，提倡无人称句。 7．论文正文 论文正文是主体，一般由标题、文字叙述、图、表格和公式等五个部分构成。写作形式可因课题性质不同而变化，一般可包括理论分析、数据资料、计算方法、实验和测试方法，经过整理加工的实验结果分析和讨论，与理论计算结果的比较，个人的论点以及本研究方法与已有研究方法的比较。要求实事求是、理论正确、逻辑清楚、层次分明、文字流畅、数据真实、公式推导计算无误。文中若有与导师或他人共同研究的成果，必须明确指出；如果引用他人的结论，必须明确注明出处，并与参考文献一致。 8．参考文献 只列作者直接阅读过、在正文中被引用过的文献资料。参考文献一律放在论文结论后，不得放在各章之后。每条文献的项目必须完整，诸项缺一不可。各类文献的书写格式均应符合国家标准《GB771487文后参考文献著录规则》。论文中引用参考文献时，应在引出处的右上方用方括号标注阿拉伯数字编排的序号，按文中引用出现的顺序列在正文的末尾。特别在引用别人的科研成果时，应在引用处加以说明。文科论文可选用页脚注。 9．附录 一般作为论文主体的补充项目。主要列入正文内过分冗长的公式推导；供查读方便所需的辅助性数学工具或重复性数据表格；由于过分冗长而不宜放置在正文中的计算机程序清单；论文使用的缩写说明；调查、实验材料等。 10．致谢 对于提供各类资助、指导和协助完成研究工作以及提供对论文写作各种工作有利条件的单位及个人表示感谢。致谢应实事求是，真诚客观。 三、编排格式 1．论文封面中题目为小一号黑体字，可以分成1或2行居中打印；作者姓名、学号、所在院（系）、专业名称、指导教师姓名及完成日期等为仿宋—GB2312三号(详见附1)。 2．中文题目、摘要及关键词（详见附2） （1）中文题目以黑体小一号字居中分成1或2行打印。 （2）中文题目下空二行居中打印“摘 要”，采用四号黑体字，摘要内容另起行前空两字，采用小四号宋体字打印。 （3）“关键词”为小四号黑体字，与摘要内容隔开一行，另起一行左对齐，空两字符后跟关键词，每一关键词之间用分号隔开，最后一个关键词后不打标点符号，关键词采用小四号宋体字打印。 3．英文题目、摘要及关键词 论文中的英文一律采用“Times New Roman”字体（详见附3）。 （1）论文英文题目全部采用大写字母，可分成1～3行居中二号字加粗打印。每行左右两边至少留五个字符空格。 （2）英文题目下空二行居中四号加粗打印“ABSTRACT”，再下空一行小四号字打印英文摘要内容，英文摘要与中文摘要相对应。摘要内容每段开头留四个字符空格。 （3）摘要内容后下空一行居左，以小四号加粗打印“KEY WORDS”， 留两字符空格，其后是关键词，采用小四号打印。 4．目录 应将文内的章节标题编排清楚，目录中的章、条一般编排到二级，也可编排到三级（章、条、款），标题应该简明扼要。标题层次一般不应超过四级。“目录”两字用小二号粗黑体，下空两行为章、条、款及其开始页码，以小四宋体、1.3倍行距打印。章、条、款层次代号如下：（详见附4） 1 (章的标题) XXXX…………………………………………………… 1 1.1 (条的标题) XXXX ……………………………………………… 2 1.1.1 (款的标题)　XXXX…………………………………………… 3 5．正文 每章的标题以小三号黑体字左起打印；“章”下空一行为“条”的标题,条的标题以四号黑体字左起打印；“条”下一行为“款”的标题，款的标题以小四号黑体字左起打印。换行后打印正文内容，正文用小四号宋体字，行距1.25左右，正文中标题同目录相对应（详见附5）。正文中的标题层次一般不应超过四级，四级以后可单独编号，如编写作(1) (2) (3) …或① ② ③…或a. b. c.…等。正文中用的单位名称的书写可以采用国际通用符号，也可以用中文名称，但全文应统一，不能两种混用。正文中用的量和单位要严格执行GB3100～3102：93有关量和单位的规定。具体要求参阅《常用量和单位》计量出版社，1996。 6．图 图应有编号和图题。图号采用阿拉伯数字分章依序编排，图号后空一格为图题，如“图2-1 ××××”等，图的编号和图题应置于图下方的居中位置，五号黑体字打印。版式为四周环绕型；靠右侧置放（详见附5）。论文中的插图应具有鲜明性，切忌与列表及文字表述重复。插图中的术语、符号、单位等应同正文表述所用保持一致。插图要清楚，坐标比例不要过分放大，同一幅图上不同曲线的点要分别用不同形状标出；图内文字采用小五号宋体字。 7．表 表应有编号和表题。表号采用阿拉伯数字分章依序编排，表号后空一格为表题，如“表2-1 ××××”等，表的编号和表题应置于表上方的居中位置，采用黑体五号字；表内文字符号采用小五号宋体打印，表内必须按规定的符号标注单位；制表一律采用三线制。列表中的参数应标明量和单位的符号（详见附5）。 8．公式 公式一律使用公式编辑器编辑。公式序号采用阿拉伯数字分章依序编排，如“（2-13）”、“（4-5）”等，序号标注于该式所在行(当有续行时，应标注于最后一行)的最右边；公式书写方式应在文中相应位置另起一行居左空四个字符横排，对于较长的公式只可在符号处（+、-、*、/、≤≥等）转行（详见附5）。 9．参考文献 “参考文献”以小四号黑体字左起打印，另起行以五号宋体字列参考文献。参考文献的排列顺序与在正文中的引用顺序一致，著录格式及示例详见附6。 10．正文中的说明性注解 采用随文脚注，用上标形式“①”等数字表示。 11．论文的附录依次为附录1，附录2……编号。附录中的图表公式另编排序号，与正文分开。 四、打印及装订要求 1．论文文稿一律采用白色A4纸标准大小打印，文稿四周应留中空白边缘，以便装订、复制和读者批注。页面设置为上方和左侧分别留边2.5 cm，下方和右侧分别留2.0cm，页眉、页脚：各为1.5、2.0 cm。 2．由统一封面装订成册。顺序为①封面；②中文题目、摘要及关键词；③英文题目、摘要及关键词；④目录；⑤前言；⑥正文（包括结论和参考文献）；⑦附录；⑧致谢。 五、其他 1．外文翻译及文献综述的撰写格式可参照执行。 2．工程设计制图国家标准目录见附7。 毕业设计（论文）工作条例内容选编 一、毕业设计（论文）的组织管理 全校毕业设计（论文）工作在主管校长统一领导下进行，实行分级管理，层层负责的办法。 1．教务处作为毕业设计（论文）工作的学校主管部门，其主要职责是： （1）贯彻落实上级主管部门对毕业设计（论文）工作的指导文件和批示精神，并结合学校实际制定相应的管理规定，明确学校毕业设计（论文）工作的整体目标。 （2）负责协调毕业设计（论文）过程中的有关问题，进行毕业设计（论文）工作的宏观指导。 （3）对各学院毕业设计（论文）教学过程中的各个环节进行质量监督和检查，组织评选“校优秀毕业设计（论文）”对学校毕业设计（论文）工作进行总结和表彰。 2．二级学院（系）应成立毕业设计（论文）工作委员会，具体负责本项工作的落实，其主要职责是： （1）贯彻落实学校有关毕业设计（论文）的管理规定，制定学院 工作计划 幼儿园家访工作计划关于小学学校工作计划班级工作计划中职财务部门工作计划下载关于学校后勤工作计划 和实施细则。 （2）审查、汇总毕业设计（论文）题目，安排指导教师。 （3）统一安排、布置学院毕业设计（论文）工作任务。 （4）定期检查毕业设计（论文）工作进度，协调处理院内毕业设计（论文）中的问题，考核检查教师的毕业设计（论文）指导情况。 （5）组织毕业设计（论文）答辩和成绩复查，总结学院毕业设计（论文）工作，并向学校推荐“校优秀毕业设计（论文）”。 二、指导教师职责 指导教师应本着教书育人的宗旨，在对毕业设计（论文）进行业务指导的同时，引导学生养成正确的思维方法、工作作风和严谨治学的科学态度。 1．毕业设计（论文）的指导教师应由具有讲师或讲师以上职称的教师担任。助教、研究生不能单独指导毕业设计（论文），只能协助指导教师工作。副教授以上职称教师参与指导毕业设计（论文）的比例应高于90%。 对于来自外单位，且部分或全部工作需在外单位进行的课题，亦可聘请该单位工程师以上的技术人员担任指导工作。教研室应派专人联系，了解情况，掌握进度。 2．毕业设计（论文）指导教师职责 （1）拟定毕业设计（论文）课题，下达任务书，制定指导计划和工作程序，并严格执行。 （2）根据任务书，与学生共同制定“毕业设计（论文）工作进度计划表”，明确“阶段工作内容”，并采取多种形式检查学生的工作进度和质量，及时解答和处理学生提出的有关问题，原则上每周必须仔细检查一次，并在每一阶段结束时给本阶段工作评定成绩，成绩填入“毕业设计（论文）分阶段评分表”。 （3）指导学生写出开题报告、翻译外文并给予评阅。 （4）指导学生按规范要求正确撰写毕业设计（论文），并在答辩前认真审查学生的毕业论文或设计结果（包括论文正文、实验报告、计算书、或设计说明书、工艺卡、图纸等），并写出毕业设计（论文）的学术评语。 （5）参加毕业设计（论文）答辩。 三、毕业设计（论文）对学生的要求 学生在毕业设计（论文）过程中必须做到： 1．努力学习，刻苦钻研，勤于实践，勇于创新。 2．虚心接受指导教师和工程技术人员的指导。 3．独立按时完成规定的工作任务，不得弄虚作假，不准抄袭他人内容，否则其毕业设计（论文）成绩按不及格处理。 4．严格遵守纪律，毕业设计（论文）期间，无故缺席按旷课处理；缺席时间超过四分之一以上者，不准参加答辩，其成绩按不及格处理。 5．未在规定时间内完成毕业设计（论文）或不按时参加答辩者，其成绩按不及格处理。 四、答辩及成绩评定 答辩工作由各系毕业设计（论文）答辩委员会主持，下设若干答辩小组。答辩委员会由系领导及专家5～7人组成，答辩委员会主任可由分管教学的系主任、教研室主任或学术水平较高的教师担任。成员名单在答辩前二周报院答辩工作委员会审核。 1．答辩委员会的主要职责是 （1）组织并领导答辩小组进行毕业设计（论文）答辩工作； （2）审定学生毕业设计（论文）的最后成绩及评语； （3）完成毕业设计（论文）答辩工作的总结报告。 2．答辩小组的主要职责 （1）答辩前阅读有关毕业设计（论文）资料，了解学生毕业设计（论文）内容及指导教师评语； （2）需事先准备好一定数量的问题，所提问题要有一定的深度和广度； （3）认真听取学生在答辩中的陈述和对问题的回答； （4）依据评分标准初步给定毕业设计（论文）成绩。 3．答辩日期和地点由答辩委员会在一周前向学生正式公布，同时报送教务处，以便组织院有关人员参加、检查答辩工作。 4．答辩程序 （1）学生陈述（约10分钟） （2）答辩小组提出问题 （3）学生回答 （4）答辩小组总评分。每位学生答辩时间控制在30分钟左右。 5．答辩评分标准应从四个方面综合考虑：（1）设计（论文）的性质、难度、分量、综合训练等情况；（2）设计（论文）的质量、价值及有无创造性；（3）答辩中自述和回答问题的正确程度；（4）工作态度。评分具体标准各系可根据学生整体水平和课题特点分别拟定。 6．毕业设计（论文）的成绩评定必须从严掌握。严格按照分阶段评分进行，无前一阶段成绩，不得进入下一阶段评分。答辩不通过，总成绩不能评为合格。最后以五级（优、良、中、及格、不及格）记分登记入册，优秀率一般不高于20％。系级优秀设计（论文）再经院答辩工作委员会审定，评出10％为院级优秀设计（论文）。学院对院级优秀设计（论文）予以表彰，并日后编订成册。 7．毕业设计（论文）不能免修、缓修、只能重做。 PAGE 81 制作人:小鲁哥哥