《校园网络安全问题及对策.docx》由会员分享,可在线阅读,更多相关《校园网络安全问题及对策.docx(33页珍藏版)》请在课桌文档上搜索。
1、AnhuiVocactional&TechnicalCollegeofIndustry&Trade毕业论文网络平安问题及对策Thecampusnetworksecurityproblemsandcountermeasures所在系院:计算机信息工程系专业班级:计算机应用技术三班学生学号:2014030333学生姓名:郑姓指导教师:贺继东年月日摘要网络平安的本质是网络信息的平安性,包括信息的保密性、完整性、可用性、真实性、可控性等几个方面,它通过网络信息的存储、传输和使用过程表达。校园网络平安管理是在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击。防火墙,那么是内外网
2、之间一道牢固的平安屏障。平安管理是保证网络平安的根底,平安技术是配合平安管理的辅助措施。学校建立了一套校园网络平安系统是必要的。本文从对校园网的现状分析了可能面临的威胁,从计算机的平安策略找出解决方案既用校园网络平安管理加防火墙加设计的校园网络平安系统。通过以下三个步骤来完成校园网络平安系统:1、建设规划;2、技术支持;3、组建方案。关键词:网络;平安;设计ABSTRACTNetworksecurityistheessenceofthesafetyofnetworkinformation,includinginformationofconfidentiality,integrity,andav
3、ailability,authenticityandcontrollableetc,itisthroughthenetworkinformationstorage,transportanduseprocess.Campusnetworksecuritymanagementisinanti-virussoftware,afirewallorintelligencegateway,etc,thedefensesystemtopreventfromoutsidethecampus.Afirewallisafirmbetweeninnerandouternetsecuritybarrier.Safet
4、ymanagementisthebasisofnetworksecurityandsafetytechnologyistheauxiliarymeasureswithsafetymanagement.Theschoolhasestablishedasetofcampusnetworksecuritysystemisnecessary.Basedontheanalysisofthestatusofthenetworkcouldfacethreats,fromthecomputersecuritystrategytofindsolutionsinthecampusnetworksecurityma
5、nagementisdesignedwiththecampusnetworkfirewallsecuritysystem.Throughthreestepstocompletethecampusnetworksecuritysystem:1,theconstructionplan.2andtechnicalsupport.3andconstructionscheme.Keyword:Network,Safe;Design目录摘要I关键词:IABSTRACTIKeyword:II引言HI第一章校园网络平安11. 1校园网概述11.2 校园网络平安概述11.3 校园网络平安现状分析21.4 校园网
6、络平安威胁41.4.1 1计算机病毒41.4.2 网络攻击校园网面临的另一个平安威胁就是网络攻击。51.4.3 存在的平安隐患。7第二章校园网络平安策略82. 1校园网平安管理82. 2校园网网络平安方案9事前的身份认证9事后的完整统计10第三章校园网络平安系统设计103. 1校园网建设需求分析101.1.1 1.1需求分析101.1.2 关键设备121.1.3 校园网网络拓扑结构133.2技术方案133. 2.1校园网的建设规划134. 2.2组网技术175. 2.3网络操作系统206. 2.4Internet接入技术207. 2.5防火墙技术20第四章建网方案218. 1网络组成214.1
7、.1网络主干214.1.2网络中心224.1.3计算机教室224.1.4教师备课机房224.1.5图书馆系统234.1.6多媒体综合教室234. 1.7校长办公室及其它相关处室244.2 虚拟网设计244.3 网络软件运行平台25第五章校园网的运行265. 1校园网的应用265.2.1 校园网管理信息系统26校园网计算机教学系统26校园网站275.2校园网的管理27总结28致谢28参考文献29引言随着网络的高速开展,网络的平安问题日益突出,近年来,黑客攻击、网络病毒等屡屡曝光,国家相关部门也一再三令五申要求切实做好网络平安建设和管理工作。但是在高校网络建设的过程中,由于对技术的偏好和运营意识的
8、缺乏,普遍都存在“重技术、轻平安、轻管理”的倾向,随着网络规模的急剧膨胀,网络用户的快速增长,关键性应用的普及和深入,校园网从早先教育、科研的试验网的角色已经转变成教育、科研和效劳并重的带有运营性质的网络,校园网在学校的信息化建设中已经在扮演了至关重要的角色,作为数字化信息的最重要传输载体,如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题。随着教育信息化的不断推进,各高等院校都相继建成了自己的校园网络并连入互联网,校园网在学校的信息化建设中扮演了至关重要的角色。但必须看到,随着校园网络规模的急剧膨胀,网络用户的快速增长,尤其是校园网络所面对的使用群体的特殊
9、性(拥有一定的网络知识、具备强烈的好奇心和求知欲、法律纪律意识却相对冷淡),如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧迫问题,解决网络平安问题刻不容缓。第一章校园网络平安1. 1校园网概述信息技术已引起了全面而深刻的社会变革,为此,世界各国政府都对教育的开展给予了前所未有的关注,把信息化教育放到重要的位置上,纷纷提出了本国的信息化教育规划。是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。因此校园网信息系统的建设,是非常必要的,也是可行的。当前校园网信息系统已经开展到了与校际互联、国
10、际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,开展对学校教育现代化的建设提出了越来越高的要求。教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息效劳的要求越来越强烈。我国各级教育研究部门、软件开发单位、教学设备供给商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。计算机技术的飞速开展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息效劳是完全可行的。1.2 校园网络平安概述自信息系统开始运行以来就存在信息系统平安问题
11、,通过网络远程访问而构成的平安威胁成为日益受到严重关注的问题。根据美国FBI的调查,美国每年因为网络平安造成的经济损失超过170亿美元。由于校园网络内运行的主要是多种网络协议,而这些网络协议并非专为平安通讯而设计。操作系统的平安性,目前流行的许多操作系统均存在网络平安漏洞,如UNIX效劳器,NT效劳器及WindoWS桌面PC;防火墙的平安性,防火墙产品自身是否平安,是否设置错误,需要经过检验;来自内部网用户的平安威胁;缺乏有效的手段监视、评估网络系统的平安性;采用的TCP/IP协议族软件,本身缺乏平安性;应用效劳的平安,许多应用效劳系统在访问控制及平安通讯方面考虑较少,并且,如果系统设置错误,
12、很容易造成损失。1.3 校园网络平安现状分析随着网络技术的开展,可以说现在的大局部学校都建立了校园网络并投入使用,这对加快信息处理、提高工作效率、实现资源共享都起大了无法估量的作用,但在积极开展办公自动化、信息电子化、实现资源共享的同时,网络的平安问题越来越成为一个非常严惩的隐患,就好似一颗定时炸弹一样,深深的埋在教育现代化的进程中,如果这一个隐患不除,那么也许有一天,学校信息平台效劳器遭到攻击而停止工作、整个校园网络被迫停止、学校积累的各种数据和信息被删除了,导致辛苦积累的大量教育资源被破坏。比方2003年爆发的“震荡波、冲击波、FORM.A等病毒,虽没有造成很大的损失,但足以使认识到网络平
13、安的重要性。因此,如何在现有的条件下防止这样事件发生,搞好网络的平安工作已成了一个重要课题。1997年开始,我国校园网络建设悄然兴起。全国各省市都把建设校园网作为现代教育的头等大事来抓。1999年9月,教育部决定正式启动国家现代远程教育工程,清华大学、浙江大学、北京邮电大学、湖南大学等高校获准进行试点。目前,这几所院校已初步形成了开办现代远程教育的技术手段。各校在实践中逐渐意识到:一所学校教育质量的好坏,学术水平层次的上下,与教学手段的先进程度有一定关系,教学手段对学校整体的开展有着直接影响。在世界各兴旺国家,校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设
14、直接相关联。如美国要求所有中小学生都能上网,都能使用电子邮件,并方案将全国122所一流大学与社会广泛连接,构筑一个教育与研究的专用网络;英国提出要在2000年成立网上工业大学,到2002年所有中小学、图书馆、学院和大学全部介入全国的学习网;新加坡提出八岁儿童能阅读,十二岁儿童能上网。1996年,教育部提出要以全国100O所中小学校作为试点,建立起各自的校园网络。截止2000年年初,教育部宣布有500多家已建立。可以说,在国家政策扶持下,我国校园网建设取得了飞速开展。但现实中,各地在建立学校校园网的过程中又存在这样那样的问题,如有的学校建网初期就缺乏整体规划,从而导致主干网和各子网通路不畅,或是
15、导致后期整体效率不高;有的学校缺乏必要的网络建设监督人员,将工程交给一些实力较弱或是责任心较差的公司全权负责,结果导致建网质量偏低,后期维护费用偏大;还有的学校认为校园网就是一揽子方案,无视了后期维护和配套建设工作,从而导致后期预算偏紧,校园网难以正常运作为了解决上述问题,在建网时应注意:1 .校园网建设没有通用方案,每个学校应根据自身实际情况(资金和技术能力),设计自身的校园网络;2 .校园网建设是一个周期较长,规模庞大的系统工程,不能一蹴而就,更不能只考虑局部建设,而缺乏整体规划;3 .重视对教师的培训,防止因教师素质原因导致网络应用效率不高,从而导致资源的浪费。随着计算机网络的广泛使用和
16、网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的平安性和自身的利益受到了严重的威胁。校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生,非更改考试成绩;更改英语全国四、六级统考成绩;更改考研成绩;非法盗取学校招生、分配机密等。综上所述,网络必须有足够强的平安措施。无论是公众网还是校园网中,网络的平安措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。1.4校园网络平安威胁1.4.1计算机病毒计算机病毒是一组通过复制自身来感染其它软件的程序。当程序运行时,嵌入的病毒也
17、随之运行并感染其它程序。计算机病毒种类繁多,形形色色,但就已经发现的计算机病毒而言,其危害性主要表现为破坏性、传染性、寄生性、潜伏性和激发性几大特征。破坏性是指计算机病毒可能会干扰软件的运行,或者无限制地侵占系统资源使系统无法运行,又或者毁掉局部数据或程序,使之无法恢复,甚至可以毁坏整个系统,导致系统崩溃。传染性那么是计算机病毒能通过自我复制传染到内存、硬盘甚至文件中。寄生性表现为病毒程序一般不独立存在.而是寄生在磁盘系统区或文件中。潜伏性那么是指计算机病毒可以长时间地潜伏在文件中,在相应的触发机制出现前并不影响计算机,但当被触发后,那么后果严重。激发性是指病毒程序可以按照没计者的要求,例如指
18、定的日期、时间或特定的条件出现在某个点激活并发起攻击。计算机病毒的传染性证明其具有传播性,防止病毒传播,首先必须认识其传播途径和传播机理。计算机病毒最初传播主要是通过被病毒感染的软件的相互拷贝、携带病毒的盗版光盘的使用等传播。这时候的病毒传播还是线下传播。随着计算机网络的开展,计算机病毒传播主要是通过磁盘拷贝、互联网上的文件传输、硬件设备中的固化病毒程序等方式实现。病毒还可以利用网络的薄弱环节攻击计算机网络。在现有的各计算机系统中都存在着一定的缺陷,尤其是网络系统软件方面存在着漏洞。因此.网络病毒利用软件的破绽和研制时因疏忽而留下的“后门”大肆发起攻击。1. 4.2网络攻击校园网面临的另一个平
19、安威胁就是网络攻击。广义的网络攻击包括很多方面。这里结合校园网络平安的特点,重点介绍拒绝效劳(DoS,DanieIOfSerViCe)攻击。之所以介绍拒绝效劳攻击,因为拒绝效劳攻击在校园网发牛的更为普遍。这是因为校园网用户集中度高、密度大.为拒绝效劳攻击提供了天然条件。加之学生的好奇心的因素,导致拒绝效劳攻击发生频率较高,是危害校园网平安的重要类型之一。拒绝效劳攻击是通过攻击主机、效劳器、路由器等网络设备,导致被攻击网络无法提供效劳的一种攻击方式。典型的拒绝效劳攻击表现为攻击者向被攻击网络大陆发送数据从而消耗其资源、使得用户无法访问所需信息。拒绝效劳攻击的方法多样。攻击者在发起攻击时,可能采取
20、单一手段的攻击模式,也可能采取多种攻击手段联合使用的模式。就其攻击手段来说,主要有以下几种:1 .死亡之Ping。早期的网络不支持大包,攻击者通过网络发送大母的大数据包到被攻击者网络,造成网络堵塞以致瘫痪。目前的网络已经能够支持大包,这种方式已经不再出现。2 .泪滴攻击。攻击者采用修改包片段字头的方式,使得包无法正确组装.导致网络访问失败的方式。3 .UDP洪水攻击。攻击利用如Chargen和echo等简单的TCP/和效劳.相互发送大量数据以沾满带宽,从而瘫痪网络的方式。4 .SYN洪水攻击。攻击者通过想效劳器发送连续的SYN握手信息来瘫痪效劳器的攻击方式。5 .LAND攻击该攻击是让效劳器自
21、己向自己发送SYN握手信息.已到达瘫痪主机的目的。6 .SmUrf攻击。攻击者将报文地址设为EChO地址,这样EChO78地址就必须不间断的响应该报文,使得网络带宽被侵占,从而到达瘫痪网络的目的。7 .Fraggle攻击。Fraggle攻击对Smurf攻击做了修改。8 .电子邮件炸弹。通过向一台效劳器大量的不间断的发送电子邮件,起到瘫痪效劳器的作用。9 .急性消息攻击。借助机器对某些消息为进行错误校验来攻击效劳器。10 .分布式拒绝效劳攻击。它是威力最强大的拒绝效劳攻击方式,其主要采用多台效劳器对同一网络同时发起攻击,导致该网络瞬间瘫痪。常见的拒绝效劳攻击主要有以上几种,攻击者攻击目的和攻击水
22、平不同,选用的方式不同。无论哪种方式,都对网络平安造成很大的危害。1. 4.3存在的平安隐患。以我校为例,校园网络存在的平安隐患和漏洞有:1 .计算机与Internet相连,却没有安装相应的杀毒软件及防火墙。2 .使用的操作系统存在平安漏洞,网络木马、病毒和黑客攻击影响到系统的平安。校内大局部计算机系统或多或少都存在着各种的漏洞,校园网络又对社会开放,这样一来只要接入INTERNET的用户就可以对校园的网络效劳器进行攻击,而流行于网络上的很多病毒如“震荡波、冲击波、尼姆达”病毒都是利用系统的漏洞来进行病毒传播的,加上带毒的木马程序,一感染便驻留在你的计算机当中,在以后的计算机启动后,木马就在机
23、器中翻开一个效劳,通过这个效劳将你计算机的信息、资料向外传递。3 .目录共享导致信息的外泄,在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但可以说几乎所有的人都没有充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料平安的一个隐患。我曾经搜索过外地机器的一个C类IP网段,发现共享的机器就有十几台,而且许多机器是将整个C盘、D盘进行共享,并且在共享时将属性设置为完全共享,且不进行密码保护,这样只要将其映射成一个网络硬盘,就能对上面的资料、文档进行查看、修改、删除。因而对目录
24、共享平安意识的薄弱,会导致了信息的外泄。4 .网络平安意识淡薄,校园网络上的攻击、侵入他人机器,盗用他人帐号非法使用网络、非法获取未授权的文件、通过邮件等方式进行骚扰和人身攻击等事件经常发生、屡见不鲜,我校应用效劳器和普通计算机平均一个星期会经受到数千次甚至上万次的非常访问尝试,而其中一大局部的非法访问源自校内,说明校园网络上的用户平安意识淡薄;另外,没有制定完善而严格的网络平安制度,各校园网在平安管理上也没有任何标准,这也是网络平安问题泛滥的一个重要原因.由此可见,构筑具有必要的信息平安防护体系,建立一套有效的网络平安机制显得尤其重要第二章校园网络平安策略2.1校园网平安管理标准出口管理,实
25、施校园网的整体平安架构,必须解决多出口的问题。对于出口进行标准统一的管理,使校园网络平安体系能够得以实施。为校园网的平安提供最根底的保障。配备完整系统的网络平安设备,在网内和网外接口处配置一定的统一网络平安控制和监管设备就可杜绝大局部的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统、网络版的防病毒系统等。另外,通过配置平安产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。解决用户上网身份问题,建立全校统一的身份认证系统。校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络平安体系的根底的根底,
26、否那么即便发现了平安问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题,同时也为校园信息化的各项应用系统提供了平安可靠的保证。严格标准上网场所的管理,集中进行监控和管理o上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心效劳器上,保证了这个记录的法律性和准确性。根据相关部门的要求,配备专门的平安管理人员,出台网络平安管理制度。网络平安的技术是多样化的,现状还是“道高一尺,魔高一丈”,因此管理的工作就愈发重要和艰巨,必须要做到及时进行漏洞修补和定期询检,保证对网络的监控和管理。
27、2. 2校园网网络平安方案2. 2.1事前的身份认证对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以到达如下的效果:每一个用户的身份在整个校园网中是唯一,防止了个人信息被盗用.当平安事故发生的时候,只要能够发现肇事者的一项信息比方IP地址,就可以准确定位到该用户,便于事情的处理。只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑
28、客程序的通道。图2-1网络授权中心网络攻击的防范对于常见的比方冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比方WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC
29、是否和端口平安规那么一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止平安端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如效劳器),造成网络通讯混乱。通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的平安性。锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换时机把它们转发到已注册的端口。当
30、IGMP源端口检查翻开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的平安性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。2. 2.3事后的完整统计当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地
31、址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果平安事故发生,可以通过查询该日志,来唯一确实定该用户的身份,便于了事情的处理。图2-2用户上网日志第三章校园网络平安系统设计2.1 校园网建设需求分析3. 1.1需求分析局域网最大的特点就是可以实现资源的最正确利用,如:共享磁盘设备、打印机等,从而可以在组建的局域网内部互相调用文件,并可在任何一台共享打印机上进行打印;当然也可以借助Wingate或Sygate等软件多机共享一台Modem上网;或者通过代理效劳器连上Internet,享受非一般的速度。网卡根据传输速率可分为:IoMbPS网
32、卡(ISA插口或PCl插口)、100MbpsPCl插口网卡、IOMbps/100Mbps自适应网卡和千兆网卡。目前IoMbPSISA插口的网卡仍以其低廉的价格占有市场的一定份额,但由于IOMbpsISA插口网卡的网络传输速率低,且占用大量的CPU资源,只适应于那些对速度要求不高的局域网,因此用100MbPSPCl插口的网卡或者IoMbPS/100MbPS自适应网卡,够适应于用户比拟多,网上传输的数据量大和需要进行多媒体信息传输的应用环境。BNC口是用细同轴电缆作为传输媒介的一种网卡接口RJ45是采用双绞线作为传输媒介的一种网卡接口,RJ45的接口酷似线的接口,但网络线使用的是8芯的接头,使用R
33、J45的缺点是架设本钱高,但安装和维护较为方便,因此我们一般使用RJ45接口。集线器(HUB):根据微机的数量,利用HUB构成星形结构,在工作站较多的情况下,会因HUB的处理速率远远低于通信线路的传输速度,从而造成瓶颈问题。因此有条件的话可选用交换机。一个HUb所组成的域称为冲突域,也就是说,网络上任何一台计算机在收发数据时,其他所有计算机都能够收到,且这些计算机不能同时进行数据的收发,否那么会发生碰撞(CSMA/CD协议会阻止碰撞)。此外每台接入HUb的计算机,都要检测接收到的数据目的地址,以确认是否是收到自己的通信信息,因此计算机CPU占用率高,全网通信效率低,只适用于小型工作组级别应用。
34、学校校园网是为学校师生提供教学、管理、科研和综合信息效劳的宽带多媒体网络;是学校信息化教学环境的根底设施和实现各项管理的物质根底;是建立远程教育体系的根本保证;是提高全民素质的重要手段;也是一项灵魂工程。其设计方案应注意以下原那么:实用性校园网设计应能满足学校目前对网络应用的要求,充分实现学校内部管理、教学和科研的网络化、信息化的要求,使网络的整体性能尽快得到充分的发挥,并且便于掌握。可靠性校园网的系统及网络结构较为复杂,同时在局部子系统中存在较高的技术性,因此必须保证系统的稳定、可靠和平安运行,具有很高的MTBF(平均无故障工作时间)和极低的MTBR(平均无故障率),提高容错设计,支持故障检
35、测和恢复,可管理性强。统一性在系统的设计过程中,坚持三统一,即统一规划、统一标准、统一出口。先进性在系统的开发过程中,既能满足当前院校对网络的应用需求,又可以在将来需要扩展的时候,能方便地扩展,保护目前的所有投资;设计的配置可以灵活变通,以便适应客户的其他要求。3.1.2关键设备在产品选购之前一定要经过认真的分析,这次参与组网的机构选用美国CiSCO公司的CataIySt6506作为数据网络系统的内部核心交换机,Catalyst6506是大容量的具有高交换能力的第三层模块化交换机,Catalyst6506的交换容量以及端口数量等技术指标足以满足网络目前的需求。选择Catalyst3548作为外
36、网交换机。可以通过千兆的光纤链路连接到核心交换机,而所有的用户终端可以通过10/100M自适应通道接入到CiscoCatalyst3524和Catalyst3548交换机上。选择Catalyst3524和Catalyst3548作为计算机网络系统的二级会聚交换机,为终端用户提供10/10OM到桌面。选择CiSCO3662作为计算机网络系统DDN、ISDN访问路由器,既可以满足上级单位Internet的DDN、ISDN接入的需求,又可以满足继续扩展的需求。同时CiSCo3662作为计算机网络系统的拨号效劳器,提供分支机构的拨号接入。网络核心层:用一台Cisco的高端三层交换机Catalyst65
37、06作为整个交换系统的核心,由网络中心网络管理员统一调度,从而使计算机网络系统成为一个具有整合的千兆以太网主干并具备第三层交换功能的综合网络通信平台。其中配置两个电源同时供电,彼此分担负荷并互为备份。一块WST6K-S1A-MSFC2交换引擎是交换机的心脏,它控制交换机的寻址、数据转发、模块控制等。CataIySt6506交换机引擎卡上的MSFC2(MultilayerSwitchingFeatureCard)卡具有极强的三层交换能力,利用CiSCo特有的NetfIoW技术,完全满足核心线性三层交换的能力。另一块WS-X6408-GBIC的8端口千兆以太光纤模块将所有的会聚层设备、接入层设备、
38、网管工作站及网络应用效劳器都直接连入到核心层设备上去。会聚层:在分配线间分别设立CiscoCatalyst3524和Catalyst3548作为计算机网络系统会聚层设备,会聚层设备将通过光缆以千兆以太网为主干连接到核心层设备Catalyst6506上去,终端用户可以通过超5类UTP线缆连接到各层交换机中去,可以实现10/10OM的自适应通道连接到局域网中去。接入层;在网络接入层中我们选用了一台CiSCO3660路由器作为广域互连和外部用户拨号访问网关,其中主要采用了两种接入方式分别实现各自功能:1. ADSL接入方式。2. FTTX+LAN接入方式。3. 1.3校园网网络拓扑结构根据校园网的需
39、求分析及建设目标,本设计方案采用交换式千兆以太网作为主干,百兆交换到桌面。网络拓扑采用星型树结构,网络中心的交换机使用堆叠方式连接。图3T(网络拓扑结构)3.2技术方案3. 2.1校园网的建设规划校园网建设作为一项复杂的系统工程,与任何一项工程建设一样,在开始建设前都要根据工程的特点事先进行详细的工程规化与技术需求分析,它的成功与否都直接影响到工程的建设质量以及今后网络能否可靠运行都有直接的关系,因此要特别认真地进行系统规划。对于校园网来说,必须对技术和教育的开展前景有着清醒的认识,只有这样,才能从很好地为校园网进行合理的规划。1 .校园网的应用特点随着现代化教学活动的开展和与国内外教学机构交
40、往的增多,对通过网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥师生的创造力,校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统,以园区局域网为主,一个根本的校园网具有以下的特点:高速的局域网连接一校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项根本要求;信息结构多样化一校园网应用分为电子教学(多媒体教室、电子图书馆等)、学校管理和远程通讯远程教学、互联网接入)三大局部内容:电子教学包含大量多媒体信息,学校管理以数据库为主,远程通讯那么多为
41、WWw方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求;操作方便,易于管理一校园网面向不同知识层次的教师、学生和办公人员,应用和管理应简便易行,界面友好,不宜太过专业化;经济实用一学校对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。2 .校园网的需求分析在着手设计一个校园网或者计算机局域网时,其主要依据就是网络用户(学校)的需求及将要建设的网络系统的特点。通过对实际需要进行细致的分析,才能确定系统的总体目标和近期目标。需求分析是如何设计、建设和应用校园网的关键。在完成校园网的需求分析之后,就要对整个校园进行物理结构和逻辑结构的设计。校园网具体的需求分析有
42、如下几点:(1)总体目标对于一个校园网来说,系统的总体目标就是在一个时期内,当校园网完全建设好后所要到达的功能和具有的规模。一般来说,一个校园网系统总体目标是分步实施的,包括功能的分步实施和规模的分步实施。主要原因是受资金的限制(这是在建设校园网时普遍遇到的问题)和技术开展的影响(因为随着计算机网络技术的飞速开展,校园网总会有进行升级的需求)。因此我们在设计一个校园网时,要充分考虑到对已有校园网资源的再次利用,又要考虑到将来对校园网进一步的升级改造。近期目标近期目标就是根据实际需求来设计和建设校园网,使建设好后的校园网能满足实际需求所应有的功能和规模,同时又要考虑将来能对校园网进一步的升级改造
43、或者是后期工程的建设,系统近期目标是需求分析的重点。3 .网络结构设计校园网络结构设计主要是进行网络的物理设计和逻辑设计,在完成结构设计后才能对网络设备进行选型。网络结构设计对于整个网络系统来说是十分重要的,它设计的成功与否都直接影响网络的使用功能的实现以及网络是否能满足网络的需求。(1)物理设计根据需求分析,可以知道整个校园网信息点的数目,同时也知道这些信息点在整个校园内的分布情况。当我们确定网络控制中心的位置后,就应该考虑如何把校园内的信息点连到网络控制中心以及各种设备的连接速率和网络使用的拓扑结构等,网络系统所使用来连接各种网络设备的传输介质也是需要考虑的问题。(2)逻辑设计网络的逻辑设
44、计主要考虑校园网的IP子网网段的划分,通过实际的网络物理连接,依据实际需求来实现虚拟网络(VLAN)的设置。无论从网络的平安性和IP地址的可管理性来考虑,还是从有效利用IP地址资源的角度来考虑,将整个校园网划分为多个子网网段并对IP地址资源进行有效管理都是十分必要的。4 .网络技术学校建设校园网有许多需要考虑的问题,如网络技术的选择、网络拓扑结构的选择、网络产品的选择、网络效劳器的选择以及操作系统、网络应用效劳、网络管理及网络平安等方面。下面根据前面介绍过的各种网络技术来进行校园网组建技术的选择。(1)网络技术类型网络系统的建设应遵循高可靠性、技术先进、开放性、成熟标准、易于扩展、可维护性好等
45、原那么,并充分考虑性能价格比和今后技术的开展。要求系统兼容性好,易于平滑连接,防止网络瓶颈。当前到达或超过IooMbPS的高速网络技术主要有:快速以太网、FDDh千兆以太网、ATM交换网。FDDl是几年前十分流行的高速网络技术,虽然技术十分成熟,但网络管理复杂且本钱较高,现已被逐渐淘汰。ATM是比拟先进的网络技术,它采用信元交换方式,以很高的速率在任意两点间建立直接的虚拟通信链路,有较强的传输质量控制能力,特别适合于多媒体信息的传输。但在实际使用事因端口价格过高,难以大规模采用。以太网是种成熟的、质优价廉的网络技术,其标准已制定完备。经过多年开展,形成了完善的IOMbPs、IooMbPS和千兆
46、以太网技术,同时还由共享式的网络开展成为交换式的以太网,具备与FDDI、ATM网络融合的多种方法与标准。从技术上看,以太网技术还有不断开展的余地,是一种能够到长期使用和开展的技术,另外以太网还可以在不同速率之间平滑升级,不会有网络协议和标准上的障碍。综全以上对高速网络技术的分析,我认为在当前校园网的建设中应以建设和使用IoOMbPS快速以太网为主,在局部主干上使用千兆技术进行连接。(2)网络拓扑的选择当前在局域网的建设中,主要应用的拓扑结构有总线型、环型和星型。在总线型网络中,由于各计算机共享一条通信电缆,而且不需要额外的通信设备,因此,可以节约组网费用。但是其缺点也是十清楚显的,网络中的任何
47、一个节点出现故障,都将导致整个网络瘫痪,这与在网络建设要求网络具有高可靠性和沉余性不相符,因此使用总线型拓扑结构建设的网络已趋于淘汰,在新的网络建设中不应再使用。环型拓扑结构是令牌环网络技术所常用的一种网络拓扑结构,环型结构的缺点与总线型的缺点是差不多的,也是一种不太常用的网络拓扑。当前在各种网络系统的建设中使用最多的是星型拓扑结构,虽然星型拓扑结构的网络在布线和网络设备的花费多一些,不过目前各种硬件设备已经非常廉价了,这种花费是可以承受的。因而它的优点也是十分突出的,主要是当网络中某个节点出现故障时不会影响整个网络的运行,这使得网络从总体上可以提供高度的可靠性和沉余性,这个性能十分适合校园网
48、这种应用环境,也是校园网的建设中必须要求做到的。图3-2(网络结构)3.2.2组网技术组网技术就是在有了网络的设计方案和各种网络设备之后,怎样把不同的网络设备按设计方案的要求连接起来所用到的各种技术。组网络技术在整个网络的建设过程中是最重要的阶段之一,它直接关系到建设出来的网络系统能否到达设计要求,能不能投入使用这样严重的问题,如在组网中有不按标准和标准来施工的话,建出的网络系统的质量是达不到设计要求,是不能满足用户需求的。组网技术主要包括:布线系统、Internet接入技术、防火墙等。1 .布线系统设计结构化布线系统的组成:网络系统的正常运行主要取决于网络设备和网络线路,对于网络系统来说,采用结构化布线系统能够很好地满足需求,特别是从计算机网络系统可靠运行的角度来说,布线系统的可靠性决定了网络系统通信信道的可靠性,它是计算机网络系统可靠运行的前提。整个布线系统主要包含光纤布线和室内综合布线系统。布线系统的主要是依据建