前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇校园网设计方案范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
关键词:校园网;网络结构;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)17-4069-05
Discuss of the Campus Network Schematic Design for the Western Vocational Technology College
BAI Yong-xiang1,2, WANG Zhong-yin1
(1.Department Mechanical and Electrical Engineering of Weinan Vocational Technology College, Weinan 71400,China;2. Schools of Information Technology Northwest University, Xi’an 710069,China)
Abstract: Based on actual situation of the west vocational technology college, Analysis the campus network development present situation of the west vocational technology college , and based on the recent development of computer network technology and trends. In order to meet the practical application of vocational technology college , puts forward a suitable campus network system design scheme for the west vocational and technology college.
Key words: campus network; network structure; network security
1校园网现状及需求分析
1.1校园网现状
高等职业教育已占中国高等教育“半壁江山”。教育部出台的《国家中长期教育改革和发展规划纲要(2010-2020年)》明确提出要大力发展高等职业教育,当今,校园计算机网络已成为学校办学的基础设施和必备条件,校园网的规划建设直接影响学校的管理和教学质量,高职院校信息化、数字化成为学校办学水平高低的重要标志。目前,大多数高职学院成立不久或者是以前的中专学校合并升格而成的,所以校园网络设施非常落后,不能适应学院正常的教学及管理。集中表现为:1)设备陈旧落后,不能使用;2)主干网速度为10M/100M;3)合并后的各个校区各自独立,没有整体规划;4)经费困难,无力购买先进的网络设备;5)校园网应用范围有限。为了进一步推动高职院校信息化建设,加强学院内涵建设,深化教学管理和改革,提升和优化校园网的基础设施和应用范围与层次,为学生创造一个更好的学习环境,必需对原有网络进行升级改造或者重新设计。一般的高职学院包括行政办公楼、教学区、图书馆、运动区、学生宿舍、实训区、后勤管理区等。新校区的校舍建筑和环境都比较优美,同时还要配置先进的智能化教学设施,以满足学院可持续的发展,适应信息化时代和教学改革的要求,适应21世纪国家级示范高职学院的现代化教学要求。
1.2需求分析
近年来,高职学院的教学和管理工作迅速地朝着计算机化、网络化、数据库化、电子化方向发展。校园网的先进与否已经成为衡量一所学院发展的重要标志。形象化、交互性的教学以及海量的教学资源,使计算机网络技术在学校管理和辅助教学、科研活动中显示出其独特的优势,高效的校园网络建设势在必行。
校园网络建设是一项系统工程,它不仅要满足目前的目标要求,而且还要考虑以后的升级和改造,在设计和建设校园网时,需求分析是一项非常重要的工作。校园网需求分析一般包括业务需求、管理需求、应用需求、网络规模、数据需求和安全需求等。需求分析主要包括需求调研和编写需求说明书两个部分,这个阶段最好由网络技术人员和学校各部门负责人共同参与,重点是各部门对应用软件的要求。
2校园网设计技术原则
校园网的设计是否合理,对校园网以后的发展和效益有着极为重要的作用,根据西部高职院校的实际情况,在进行校园网设计时应遵循“整体规划,分步实施”的方针,力求满足实用性、可靠性、先进性和可扩展性等。
1)实用性:充分发挥现的设备的效益,保证网络系统功能完善、界面友好和兼容性强,能够最大限度地满足学校的教学与管理要求,真真正正地为教学与管理服务。
2)可靠性:系统能够长期稳定运行,为了达到这一目的,关键设备应有冗余。
3)先进性:具有超前意识和先进的设计思想,采用当今国内外标准化技术和成熟的软硬件技术,使网络系统能够最大限度地适应今后技术和业务发展的需要。
4)可扩展性:在进行方案设计时,力求做到网络拓扑结构清晰、合理并具有扩展能性;硬件配置应当先进、可靠,满足网络及软件运行,为以后的发展与技术更新做好预留空间。
5)经济性:大多数高职学院以前都建有校园网,因此应该充分考虑使用原有设备,以保护以前的投资。
6)管理与维护方便:校园网建成之后,管理与维护成为一个非常重要的工作,管理方便、维护简单的网络十分必要。
3校园网设计方案
3.1逻辑网络结构设计
网络规划主要考虑网络规模、网络应用、信息交换量、投资及未来的发展等因素。作为高职学院的校园网,网络建设的目标是千兆主干网,1000M交换、100M到桌面,并在一些数据量较大的重要场所预留千兆网接口,以便将来直接接入校园网主干交换机。千兆带宽可以保证服务器与主干交换机之间、主干交换机与各子网交换机之间信息流的畅通无阻。
目前,校园网系统从结构上可分为核心层、汇聚层和接入层;从功能上可分为校园网中心、教学子网、办公子网、图书馆子网、宿舍区子网、实训区子网等。分层思想使网络设计结构化,网络管理和维护方简便可行。
下面是层次型网络结构示意图:
图1校园网层次型结构示意图
核心层负责整个网络各汇聚结点之间的互联及完成高速的数据传输、交换、转发是校园网的主干,如果经费充足,最好采用冗余组件,即使一个核心交换出故障,也不会使整个网络瘫痪,同时当网络流量很大时,还起到负载平衡的作用。
汇聚层是网络的核心层和接入层之间的连接点。汇聚层可以进行安全性控制、VLAN设置等配置。可以使用系列交换机。
接入层交换机为终端用户提供局域网段访问能力,接入层交换机上接汇聚层交换机,满足用户接入整个校园网的需求。可以采用系列。
校园网可以接入Internet和CERNET双网络,可以使用Cisco、锐捷、华为等系列路由器,以便提供语音、数据集成、VPN、MPLS等功能。
在综合布线方面,主干网采用千兆光纤连接,核心交换机与汇聚交换机之间以1000M连接,汇聚交换机与接入交换机之间以100M到桌面。
3.1.1核心层设计
核心层是校园网的主干。它负责传输整个校园网的数据流,该层处理的数据流比其它层要大得多,主要完成网络各汇聚节点之间的互联、传输、路由分发等,所以核心层配置在选型方面要尽可能的高,资金相对宽裕的可以选择Cisco主品,对于西部一些资金较困难的学校,可以选择性价比较高的华为-3COM产品。目前,核心层交换机一般选择1000M三层交换机,下连1000M汇聚层交换机。核心层结构设计如下:
图2核心层结构设计
核心层应该具有:高可靠性和冗余性,目前,在一校园网设计中,使用又双核心交换机,一方面提高了可靠性,另一方面当网络中数据流量很大时,还可以起到负载平衡作用。同时核心层还应具有完善的QoS功能和安全机制,并且支持VLAN功能。在核心层中,应该采用高带宽的千兆级交换机,如神州数码D-Link DES-6000系列高端交换机,充当核心层设备。因为核心层是网络的枢纽部分,网络流量最大,因此需要提供高带宽。
3.1.2汇聚层设计
汇聚层是核心层和接入层的桥梁,对下层的数据进行汇聚,对上层通过高速接口将数据传输到核心交换机,设计汇聚层时,要充分考虑到以下几点:有足够的带宽、支持三层交换、实用方便面的网络管理。在汇聚层中,应该采用支持三层交换和虚拟局域网的交换机,如神州数码D-Link LRS-6706G交换机、全向QS-532V交换机等,以达到网络隔离和分段的目的,结构设计如下:
图3汇聚层设计
3.1.3接入层设计
接入层是连接汇聚层与最终用户的节点,接入层的特征是交换式或共享带宽式局域网,,在接入层中,减少同一以太网段上的用户计算机的数量能够向工作组提供高速带宽。在该层交换机选型方面,可以选择不支持VLAN和三层交换的工作组级交换机,如神州数码D-Link DES-1226交换机、全向QS-532交换机等。
图4接入层设计
3.2整体拓扑结构设计
对于校园网主干网,目前流行的有FDDI(光纤分布式数据接口)、ATM(异步传输模式)和千兆以太网技术。校园网使用以太网的交换式局域网作为校园网的主干网是一种实用、经济的方案,一台局域网交换机可完成多个端口间的帧交换,且可提供比通常的HUB和网桥高得多的网络带宽。鉴于千兆以太网具有的优点,给合本院的实际情况,从实用性、经济性考虑,此方案采用千兆以太网作为校园网的核心网段。
在此次校园网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。在大型校园网设计中,使用层次化模型节省成本、网络结构清晰、易于扩展、易于排错。
层次化模型是一种网络设计思想的体现,听起来挺抽象,在资金不充足的情况下,可以采用一些国产的网络设备。用神州数码D-Link LS-5608G交换机作为核心层设备。LS-5608G是一款8插槽机箱式主干交换机,可以支持多种距离的光纤连接。汇聚层交换机采用神州数码D-Link LS-5625,LS-5625具有24个10/100M Base-TX端口和1个扩展插槽,各配置1个1口千兆多模光纤模块MS-5103,通过千兆光纤与主干相连。接入层交换机采用神州数码D-Link DES-1016R及DES-1024R若干台,为终端用户提供网络接入。但是核心层、汇聚层、接入层这种层次化的网络设备模型,适合于具有上千台工作站的大中型校园网的设计,如果是只有几百台计算机的中小型网络,可以采用将核心层和分布层合二为一的方法。图5是一个整体拓扑图。
4校园网软件设计
4.1路由器设计
常见路由器协议有OSPF和EIGRP,后者主要针对Cisco的产品,所以在校园网中主要采用OSPF协议。整个校园网划分为三个层次:核心层、汇聚层及接入层,核心层和汇聚层交换机使用OSPF路由协议。为了提高安全性,在OSPF路由域内配置认证,防止路由欺骗,一般采用较好的SHA-1。目前,多数高职院校都是由以前的几所学校合并或升格建立的,校区比较多,网络规模庞大,管理比较困难,所以可以考虑采用BGP4等路由协议。为了实现MPLS VPN,建议采用MP-BGP作为ISP的PE设备之间的路由协议,用来在ISP的骨干网中分布VPN的路由信息。
4.2 IP和VLAN规划设计
IP地址分配的合理性对校园网的可用性、稳定性及有效性有着非常重要的影响。在校园网的建设中,需要充分考虑IP地址的合理需要,由于IP地址在初期设置方面的缺陷,已经不能满足互联网发展的需求,专家们研究出了很多种解决办法,比如划分VLAN、NAT、策略路由技术等。大部分学校获得的公共IP地址数量较少,教育网IP、公网IP采用NAT的方式接入教育网及互联网,私有IP地址在校园网内应用逐渐普遍。建议小型校园网私有IP地址使用地址空间小的192.168.0.0/16,中大型校园网,如三层结构的校园网上网人数多、设备数量多、网络后期建议采用地址空间大的10.0.0.0/8。校园网IP地址可分为用户IP、设备管理IP、设备互联IP、NAT地址池IP。虽然这些方法解决了目前IP地址资源有限的问题,但从长远来说使用IPV6是最彻底的解决办法,只是目前实现起来需要一个过程。
此次方案的设计,我们决定采用一个内部私有A类地址(10.0.0.0)对校园网的网络设备编址。由于从方案本身的网络拓扑图采用了典型的层次化设计,所以对IP地址的编址设计也应采取层次化的设计来完成,并采用VLSM来拓展有限的IP地址。表1 IP地址分配表网段描述所需的IP地址数
表1骨干核心层链路
下面列举几个区域的VLAN和IP地址设计:
(1)教学区
学生人数为64人,根据8人为一个项目组原则。该区域的VLAN信息和IP地址规划为:从VLAN 10~VLAN 80, IP地址段设定192.168.10.x/24~192.168.80.x/24,网关地址在核心交换机上。
(2)实训区
实训上课学生50人,8-10人为一项目组,该区域的VLAN信息和IP地址规划为:从VLAN 90~VLAN 130, IP地址段设定192.168.90.x/24~192.168.130.x/24,网关地址在核心交换机上。
(3)其他设备和IP地址
管理员地址,教育管理软件TMS系统和相关软件等服务器,使用VLAN5~VLAN9之间IP地址如表2所示。
4.3网络安全设计
校园网络建成后,为保证整个网络正常地运行,防止计算机病毒对网络的侵害及“黑客”入侵就变得特别重要。主要表现在以下几方面:身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。
网络安全是有层次的,在不同层次安全的着重点也不同,大致归纳起来可将网络安全划分成两个层次:网络层安全和应用层安全。因此,可以选用防火墙家族中的专用防火墙设施,防火墙要能提供强大的安全,且不影响网络性能。对外部世界完全隐藏了内部网体系结构,通过防火墙可以建立使用IPsec标准的虚拟专网VPN连接,防火墙加强了内部网、外部网链路和Internet之间的安全访问。如果条件许可,还可以考虑使用入侵检测防御系统(IDP)
5多校区网络互联设计
图6多校区双网络接入设计
目前,大多数高职学院都是在几所学校合并的基础上建立的,由多个校区组成。为了节约资金,在保留以前各校区投资的基础上进行改造升级非常重要。部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。如果网络中某条路径失效时,冗余链路可以提供另一条物理路径。可以采用链路聚合实现端口级冗余,以克服某个端口或线路引起的故障。也可以采用生成树提供设备级的冗余连接。而且,我们在设计中可以提供不同物理方向的双归属、双路由保护。
当前,校园网上业务量的发展都超出了过去最乐观的估计,上网热潮风起云涌,新的应用层出不穷,即使按照目前最优配置建设的网络,也很快会感到速度不够。尤其是各个网络的核心部分,其数据流量和计算强度非常之大,使得单一设备根本无法满足。而负载均衡建立是在现有网络结构之上,提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要解决网络拥塞问题、服务就近提供、实现地理位置无关性、为用户提供更好的访问质量,提高服务器响应速度、提高服务器及其他资源的利用效率、避免了网络关键部位出现单点失效。
6总结
通过对具有8000人规模的高职类专业技术学院网络的设计,在保证网络的性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,使该系统真正成为符合西部高职学院的校园网络系统。并对多校区网络的改造和扩容进行技术探讨,有针对性地对学院网络改造和扩容过程中安全性、可实施性方面进行了思考。
参考文献:
[1]廖常武,汪刚.校园网络组建[M].北京:清华大学出版社,2005.
[2]何国睿.校园网的优化与实现[D].成都:电子科技大学,2007.
[3]蔚红艳.校园网应用技术[M].北京:清华大学出版社,2005.
[4] William Stallings.Cryptography and Practice,Fifth Eedition.Beijing,publishing House of Electronics Industry.2011.
关键词:无线局域网;设计;方案
中图分类号:F251 文献标识码:A 文章编号:1005-6432(2008)36-0153-02
The Design of Campus Wireless Local Area Network in Logistics Vocational Education Institutions
Xia Xiukun1,2 Li Cun2
(1.Math and Computer Department, Hebei University; 2.Hebei Software Vocational and Technical Collegle)
Abstract: The logistics of vocational education institutions campus cable network can only access in some regions, andcan not be taken into account in all regions. Through rational design of a wireless network to meet the teachers and students“anytime, anywhere access to information” needs.
Key Words: wireless local area network; design; program
基于信息技术的研究成果和信息化进程加快的现状,信息电子化交换和信息资源共享已成为当今各行各业的基本需求。近年来,网络的发展极大地推动了教育系统的信息化进程,各物流职业教育院校在大力建设有线网络的同时,也日益关注无线网络在校园的应用。
一、校园局域网现状
校园网将院系学生与从事社交、学术、业务活动的行政人员紧密地联系在一起,是教职员工和学生获取资源和信息的主要途径。
无线网络技术具有无缝覆盖、可移动通信等优点,可与有线网络互为补充,但就目前无线技术的发展状况,无线最大的优势仍在于对现有有线网络的补充。在校园网络中,完善的解决方案将开辟无线网络在教育行业的应用,进而引发深刻的网络教育变革。
二、校园无线局域网设计方案
根据校园网络实际应用环境的特点,无线网络设计方案大体分为两种情况:室内和室外。
(1)室内无线局域网设计方案:室内无线局域网主要针对不方便进行大规模布线或不宜布设太多信息点的建筑,在室内部署无线局域网首先要确定无线接入点的数量和位置,也就是要将多个AP形成的各自的无线信号覆盖区域进行交叉覆盖,各覆盖区域之间无缝链接。所有A P通过双绞线与有线骨干网络相连,形成以有线网络为基础,无线覆盖为延伸的大面积服务区域。利用无线接入点来支持移动终端的移动和漫游。配有无线网卡的台式P C机、笔记本电脑或其他设备就可以与无线网络链接起来,所有无线终端通过就近的AP接入网络,访问整个网络资源。
(2)室外无线局域网设计方案:室外无线局域网主要针对分布较远的校区之间、布线不甚方便的校园建筑物之间以及适合学习的室外场所,如草坪、操场空地等。在网络的每一端接入A P,并在距离远或信号弱的地方,同时外接高增益天线,这样就可以实现几公里以内的两个网段之间的互联了。
搭建远距离无线局域网主要有以下几种结构:点对点型、点对多点型、桥接中继型和混合型。各种结构都有不同的适用场合,应根据实际情况慎重选择。
点对点型:点对点无线桥接模式常用于固定的要联网的两个位置之间,是无线联网的常用方式,使用这种联网方式建成的网络,传输距离远,传输速率高,受外界环境影响较小。这种类型结构一般由一对桥接器和一对天线组成。
点对多点型:该类型常用于有一个中心点,多个远端点的情况。其最大优点是组建网络成本低、维护简单,其次,由于中心使用了全向天线,设备调试相对容易。这种网络的缺点也是因为使用了全向天线,波束的全向扩散使得功率大大衰减,网络传输速率低,对于较远距离的远端点,网络的可靠性不能得到保证。
桥接中继型:当需要连接的两个局域网之间有障碍物遮挡而不可视时,可以考虑使用无线中继的方法绕开障碍物,来完成两点之间的无线桥接。无线中继点的位置应选择在可以同时看到网络A与网络B的位置,中继无线网桥连接的两个定向天线分别对准网络A与网络B的定向天线,无线网桥A与无线网桥B的通信通过中继无线网桥来完成。
构建中继网桥可以有两种方式:单个桥接器可以通过分路器连接两个天线构成桥接中继和采用背靠背的两个处于不同的频段的桥接器相连接,并同时工作于无线网桥模式,每个无线桥接器分别连接天线构成桥接中继。单个桥接器可以通过分路器连接两个天线。由于双向通信共享带宽的原因,对于对带宽要求不是很敏感的用户来说,此方式是非常简单实用的。
混合型:这种类型适用于所建网络中有远距离的点,近距离的点,还有建筑物或山脉阻挡的点,在组建这种网络时,综合使用上述几种类型的网络方式,对于远距离的点使用点对点方式,近距离的多个点采用点对多点方式,有阻挡的点采用中继方式。
三、网络安全问题
在任何通过无线媒介传输数据的环境中,都必须具备安全保护措施,I E E E 802.11b标准能提供保密机制,学校还可以同时借助一些管理策略和V P N来强化安全性能并对其实施有效管理。就无线局域网而言,由于不能信赖媒介的基本物理特性来提供最低层次的保护,其信任模式就与有线局域网不同。换句话说,单是因为无线的关系,无线局域网就容易招来窃听。无线局域网的安全系统要做到有效,需解决下面三个安全问题:
(1)提供接入控制:验证用户,授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。
(2)确保线路的保密与完好:防止未经授权的用户读取、引入或修改在网络上传输的数据。
(3)防止阻断服务攻击:确保没有一个用户或一小批用户可占用某个接入点的所有可用带宽,阻断其他用户的正当接入。
四、结束语
无线局域网的架设门槛很低,但是想真正做好,做精,尤其要注意三点:①无线网络要和应用结合,要根据应用去选型;②妥善考虑无线网络的支撑系统,否则无线设备之间的不兼容性,或者网络管理的混乱会导致大量问题出现;③无线网络基础构建的时候要考虑采用专业的设施,聘请专业的队伍去操作,否则在规模扩大到一定程度时就会遇到功率控制、频率选择、环境噪声等很多问题。
作者单位:
夏秀坤 河北大学数学与计算机学院河北软件职业技术学院
李 存 河北软件职业技术学院
关键词:校园网 安全 背景分析 设计策略 特色
中图分类号:TP393 文献标识码:A 文章编号:1674-098X(2013)03(a)-0-02
汉中职业技术学院新校区弱电数字化校园网设计以“统一规划、分步实施、加强应用、资源整合、数据共享” 为指导思想,本着“数字与安全并重,常态与非常态结合的原则,建立起现代化的数字化校园”,严格按照新校区的有关要求和具体场地的使用情况进行设计和施工。具体设计原则体现了先进性、成熟性、开放性、标准化、可扩展性、安全性、可靠性、实用性、可集成性、宜管理性。同时《陕西省教育信息化十年发展规划》(2011―2020年)颁布后,我院认真组织学习,根据全国教育信息化工作电视电话会议精神,结合我院实际情况,深化实施我院信息化试点建设。为保障我院信息化试点建设和整个校园网络的正常运行,以上原则中,系统的安全性是非常重要的内容,提供机制增强整个系统的安全防范能力。主要考虑:网络设备的安全性,包括数据包过滤、防火墙等功能;用户接入的控制;实现完善的统一认证及计费系统;入侵检测和病毒防范;校园网系统对外出口及入口的安全性的考虑。所以合理,科学、全面、可操作性的校园网络安全整体设计显的尤为重要。
1 背景分析
1.1 校园网状况分析
校园网网络信息十分丰富,网络用户的活动也非常活跃,校园网内部网络数据往往用于满足学校正常的行政办公需要、广大师生的教务教学需要、学生们的课余校园文化生活等,这些信息都需要进行完整性、真实性保护和控制,这就需要对进出校园网的访问行为进行必要的控制,避免损失。
校园网络系统中计算机数量多,物理位置不同、操作用户不同、用途不同,由于这些差异,使得校园网网络中计算机中的漏洞问题十分严重。因为使用者的安全意识不强,或者采取措施不及时造成的损失在校园网内时有发生,因此采用科学管理方法和先进的技术,可以进一步提高校园网络信息安全保障水平。
网络上的信息良荞不齐,对正在形成世界观和人生观的学生来说,还不能正确地对待这类内容,这些违反道德标准和有关法律规范的不良信息对他们危害极大,如果信息安全措施不好,有部分学生会进入这些网站,还可能在校园内传播这类不良
信息。
教育信息化、校园网络化作为网络时代的教育方式和教育环境。随着各高校网络规模的膨胀、网络用户数目的快速增长,校园网网络信息安全问题已经成为当前各高校网络建设中不可忽视的首要问题。作为资源共享和信息交流的平台,校园网络的安全显的尤为重要。
1.2 校园网安全需求
1.2.1 高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网己意识的淡薄,而另一方面,高校学生―这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。有关数字显示,目前校园网遭受的恶意攻击,70%来自高校网络内部,如何保障校园网络的安全成为高校校园网络建设时不得不考虑的问题。
1.2.2 网络安全一定是全方位的安全。首先,网络出口、数据中心、服务器等重点区域要做到安全过滤;其次,不管接入设备,还是骨干设备,设备本身需要具备强大的安全防护,要具备强大的安全防护能力,并且安全策略部署不能影响到网络的性能,不造成网络单点故障;最后,要充分考虑全局统一的安全部署,需要能够从接入控制,到对网络安全事件进行深度探测,到现有安全设备有机的联动,到对安全事件触发源的准确定位和根据身份进行的隔离、修复措施,从而能对网络形成一个由内至外的整体安全架构。
1.3 校园网安全面临的威胁
通过认真分析可以总结出校园网主要面临如下的安全威胁:各种操作系统以及应用系统自身的漏洞带来的安全威胁;Internet网络用户对校园网存在非法访问或恶意入侵的威胁;来自校园网内外的各种病毒的威胁;内部用户下载文件可能将木马、蠕虫等程序带入校园内网;内外网恶意用户可能利用利用一些工具对网络及服务器发起DOS/DDOS攻击,导致网络及服务不可用等。
2 校园网安全设计策略
对于以上威胁,我们只有不断改进管理方法和采用先进的技术结合起来,才能切实构筑一个安全的校园网。
2.1 校园网安全管理
针对目前高校校园网安全现状,在防病毒软件、防火墙或智能网关等构成的防御体系下,对于防止来自校园网外的攻击已经足够。以下是我院的安全管理策略。
2.1.1 规范出口管理,实施校园网的整体安全架构,必须解决多出口的问题。规范统一的对出口进行管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障。
2.1.2 配备完整系统的网络安全设备,在网内和网外接口处配置一定的统一网络安全控制和监管设备,就可杜绝大部分的攻击和破坏,一般包括:防火墙、入侵检测系统、漏洞扫描系统等。另外,通过配置安全产品可以实现对校园网络进行系统的防护、预警和监控,对大量的非法访问和不健康信息起到有效的阻断作用,对网络的故障可以迅速定位并解决。
2.1.3 解决用户上网身份问题,建立全校统一的身份认证系统 。校园网络必须要解决用户上网身份问题,而身份认证系统是整个校园网络安全体系的基础,否则即便发现了安全问题也大多只能不了了之,只有建立了基于校园网络的全校统一身份认证系统,才能彻底的解决用户上网身份问题。
2.1.4 严格规范上网场所的管理,集中进行监控和管理。上网用户不但要通过统一的校级身份认证系统确认,而且,合法用户上网的行为也要受到统一的监控,上网行为的日志要集中保存在中心服务器上,保证了这个记录的法律性和准确性。
2.2 校园网络安全技术
前述各种网络安全威胁,都是通过网络安全缺陷和系统软硬件漏洞来对网络发起攻击的。为杜绝网络威胁,主要手段就是完善网络病毒监管能力,堵塞网络漏洞,从而达到网络安全。
2.2.1 杀毒产品的部署
在该网络防病毒方案中,要达到一个目的就是:要在整个局域网内杜绝病毒的感染、传播和发作。为了实现这一点,应在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段;同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、集中管理、分布查杀等多种功能。
2.2.2 采用VLAN技术
VLAN技术根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问的目的。
2.2.3 内容过滤器
内容过滤器是有效保护网络系免于误用和无意识服务拒绝的工具。同时,可以限制外来的垃圾邮件。
2.2.4 防火墙
在每一台电脑上都安装装防火墙,成为内外网之间一道牢固的安全屏障。在防火墙设置上按照以下原则配置来提高网络安全性:规划设置正确的安全过滤规则;规则审核协议、端口、源地址等IP数据包内容;严格禁止外网对校园内部网不必要的、非法的访问;使用动态规则管理,允许授权运行的程序开放的端口服务;正确设置你在局域网中的IP,防火墙系统才能识别数据包的来向,从而保证你在局域网中正常使用网络服务功能;定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
2.2.5 入侵检测
入侵检测系统是防火墙的合理补充,帮助系统对付网络攻击,提高信息安全基础结构的完整性。入侵检测系统能实时捕获内外网之间传输的数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并记录有关事件。
2.2.6 漏洞扫描
随着软件规模的不断增大.系统中的安全漏洞或“后门”会存在.因此,应采用先进的漏洞扫描系统定期对工作站、服务器等进行安全检查,并写出详细的安全性分析报告,及时地将发现的安全漏洞打上“补丁”。
2.2.7 数据加密
数据加密是核心的对策,是保障数据安全最基本的技术措施和理论基础。
2.2.8 加强网络安全管理
首先,加强网络安全知识的培训和普及;其次,是健全完善管理制度和相应的考核机制,以提高网络管理的效率。
3 特色创新点
3.1 校企合作
学院通过招标公司面向全国分别于2011年、2012年进行规划设计及施工、监理招标。2012年下半年开始具体实施信息化建设。与此同时,学院本着长期合作、共同发展的原则,与中国移动汉中分公司、中国电信汉中分公司建立长期战略合作伙伴关系,由两家公司承担学院综合布线、一卡通等项目的建设,并长期提供技术支持。
3.2 五位一体化认证体系
多年的摸索和实践使我们认识到,校园网安全运营管理的核心需求及特点可归纳为五个方面。
准入准出一体化:准入和准出一体化采用统一的安全认证平台,用户仅需1套账号密码并能够自由、自主的在内外网访问间实现方便的切换,管理难度小、用户体验高;流控设备与网关一体化,提供精确的流量和带宽同时不影响性能,减少单点故障。保护用户投资,实现增值。
802.1x和Web一体化:在接入交换机实现802.1x准入和Web准入的同时支持,达到部署灵活、保护投资的目的。实现基于用户身份和所在区域的多种认证方式,安全性高、便于管理。可通过统一的认证管理平台进行管理减少投资成本、降低管理难度。802.1X认证方式主要适用于学生群体,控制比较严格,Web方式适用于教职工群体上网方便。
有线和无线一体化:校园网同时具备有线网络和无线网络接入能力,通过不同的认证方式,可以统一认证管理平台进行管理,可以减少成本,部署灵活,降低管理难度。使用一体化的控制器使设备的利用率升高,保护了投资。同时一体化的网管能够提供有线设备和无线设备的统一配置和管理达到减少投资成本的目的。
校内和校外一体化:VPN网关支持基于Web认证方式的SSL VPN,支持USB key等安全机制,部署灵活、便于管理。运维管理人员仅需对1套系统、1份用户身份信息进行操作,降低了运维管理复杂度。而网络用户在校内和校外仅需1套账号密码,保证了高安全性和便捷的用户体验。
IPv4和IPv6一体化:在身份认证、用户管理、安全管理、管理等方面,使校园网同时承载IPv4和IPv6协议,满足接入需求。以达到减少投资成本、降低管理难度的目的,并且优化了用户使用体验、改善了网络安全审计。
面向数字校园的校园网安全运营管理要求对这五个方面进行完整的涵盖,五个方面的分别一体化是过程、五个方面的整合一体化是目标,直至实现校园网的全网统一认证运营管理。
3.3 紧密四平台
网络设备管理平台、网络健康监控管理平台、网站安全防护平台、网络实名制平台相互依赖。
参考文献
[1] 邓小善.网络服务器配置与管理[M].北京:中国铁道出版社,2003.
[2] 刘晓辉.网络硬件设备完全技术[M].北京:中国铁道出版社,2011.
关键词:校园网 驻地网 专线 PON WLAN
中图分类号:TP3 文献标识码:A 文章编号:1007-9416(2012)01-0152-02
随着科技的飞速发展,高校的信息化建设也在如火如荼的开展。当前高校校园网内网多为校方自建,主要用来实现各职能部门(如办公室、教学楼、图书馆等)之间的网络互通、安全隔离、办公自动化、信息化应用等功能,建设方式多样灵活,需综合考虑学校的组织架构、各楼层网络接入需求等因素,情况相对复杂;因此,本文是基于高校校园内网已建的前提下,针对高校校园网学生宿舍网的不同建设场景,提出相应的解决方案。
1、背景
在高校信息化以及互联网访问需求不断增多的驱动力下,对高校校园网网络接入方式、带宽需求、数据交换能力、网络管理、网络控制、认证计费等都提出了更高的要求。
现有高校校园网主流运营模式主要分为两种:运营商独立运营以及运营商与校方联合运营两种方式;两者主要区别在于前者不仅需要负责提供专线接入,而且还要提供宿舍网的统一认证计费等服务;而联合运营中,运营商仅负责提供专线接入,其他的统一认证计费等由校方自有的认证服务器实现。下文将结合这两种运营模式场景提出相应的技术解决方案。
2、校园网技术解决方案
2.1 新建驻地网与专线
新建覆盖学生宿舍区域的驻地网络,接入运营商的互联网专线,分流宽带用户,并对分流用户进行认证、计费。新建接入网可通过“PON+交换机+WLAN”、“路由器+交换机+WLAN”以及“PON/路由器+交换机+xDSL+WLAN”等方式实现。
2.1.1 驻地网采用“PON+交换机+WLAN”方式
(1)方案描述。1)采用PON结合交换机的组网方式,在学校中心机房部署OLT,大楼部署ONU作为楼层汇聚;2)部署AP接入楼层接入交换机,为布线困难或代价高的区域进行无线信号覆盖,实现宿舍楼全面覆盖;3)重新进行楼内综合布线;4)OLT通过互联网专线出口接入运营商城域网,在运营商侧完成用户认证与计费;5)在已有PON+WLAN覆盖的校园内可利旧原楼内ONU设备,如ONU端口不足,则替换或升级ONU;6)为覆盖宿舍内每一名学生用户,可采取 “以宿舍为单位布线(家庭交换机扩展端口)”和“以学生为单位布线(布线至床头)”两种模式;其中“以宿舍为单位布线(家庭交换机扩展端口)”模式可采用“PON+楼层交换机+家庭交换机扩展端口”和“PON+家庭交换机扩展端口”两种组网方式;“以学生为单位布线(布线至床头)”模式可采用“PON+楼层交换机+直接布线”组网方式。
(2)数据访问流向。1)访问互联网:校园宽带用户通过运营商的接入网接入城域网,进行用户认证后访问互联网资源。2)访问校园内网(教育网):根据校园自身规划,存在以下三种情况:①校园宽带用户通过连接运营商宽带访问互联网,经过校园内网的互联网出口访问校园内网;②校园宽带用户通过运营商接入网与校园内网的直连线路,无需认证,能够直接访问校园内网资源(大部分学校从内网安全、网络复杂度等因素考虑,此模式实际中基本不采用);③校园在规划建设时已统一为宿舍预留校园内网接入端口,与宿舍宽带相互隔离,独立接入校园内网中,通过校内身份认证访问内网(教育网)资源,即无需运营商考虑校园内网与教育访问。3)用户互访:校园内用户互访、文件互传等将占用大量楼层交换机性能开销,影响正常业务开展、且无法计费,因此原则上限制大量用户互访(端口VLAN方式),仅允许同楼层甚至更小范围内用户通过楼层交换机二层功能互访。校园用户实际互访均通过互联网进行,例如利用IM软件进行文件互传、利用对战平台等实现局域网游戏。目前运营商对校园宽带用户互访均采取上述策略,图1。
2.1.2 驻地网采用“路由器+交换机+WLAN”方式
这种方式与“PON+交换机+WLAN”方式主要区别在于采用传统路由器+交换机组网替换PON+交换机组网,即在在校园内设置核心/出口路由器作为接入网出口,而不是采用OLT设备实现,其余的AP部署、楼内综合布线、数据访问流向等方式两者均相同。
2.1.3 驻地网采用“PON+xDSL+WLAN”方式
此方式组网与LAN组网相比带宽受限,速率较慢;根据已实施经验,PON+xDSL方式单用户覆盖成本超过PON+LAN方式;另外xDSL组网对电话线路质量要求较高,如电话线路质量不好易造成xDSL工作不稳定或断线,增加维护难度。因此,基本上不建议采用该方式。
2.2 利旧驻地网
(1)方案描述。1)利旧宿舍区域现有接入网络,新增三层汇聚设备,接入新增的运营商互联网专线出口;2)部署AP接入楼层接入交换机,为布线困难或代价高的区域进行无线信号覆盖,实现宿舍楼全面覆盖;3)利旧宿舍区原有综合布线,同时新建其余组网设备;4)出口路由器互联网专线出口接入运营商城域网,在运营商侧完成用户认证与计费;5)根据网络现状情况,需要对现有接入网络中不符合要求设备进行一定的设置改动。
(2)数据访问流向。与上述“PON+交换机+WLAN”方式相同。
2.3 仅新增专线
(1)方案描述。在学校全盘控制校园内网、宿舍生活区网络的政策下,仅需新增运营商互联网专线即可,接入校园网统一出口(学校不允许宿舍区域存在互联网直连接口的情况)。
(2)数据访问流向1)访问互联网:校园宽带用户通过校园网络在校方自建的认证服务器上进行身份认证,获得访问权限后访问互联网(通常分为教育内网权限、互联网权限两种);2)访问校园内网:校园宽带用户通过校园网络在校方自建的认证服务器上进行身份认证,获得访问权限后访问校园内网资源;3)用户互访:用户间通过校园内网进行互访。
3、方案比较
不同的运营场景可以采用不同技术解决方案,以下将从组网和宿舍覆盖布线模式两个维度进行比较分析。
3.1 组网方案比较,表1
3.2 宿舍覆盖布线模式比较,表2
4、结语
本文以研究高校校园网建设为主题,根据新建驻地网、利旧驻地网、仅新增专线等多种建设场景,提出了多种校园网技术解决方案,并进行技术可行性的论证。同时,根据不同的宿舍覆盖布线方式,进行了综合比较。本文涉及到的多种解决方案,可以满足当前主流网络运营商为高校进行校园网建设的需要,不仅可以满足高校的信息化需求,提升高校的教学与科研水平,更可以满足运营商发展高校用户、提高信息化收入的需求,最终实现高校和运营商双赢。
参考文献
[1]陈军民,刘建辉.基于SOA构建数字校园网[J/OL].科技广场,2008,第8期:10-35.
[2]中国通信企业协会.FTTx PON技术与应用[M].北京:人民邮电出版社,2010.
[3]王庆,胡卫,程博雅.光纤接入网规划设计手册[M].北京:人民邮电出版社,2009.
[4]孟玲玲.校园网组建与维护[M].北京:中国人民大学出版社,2011.
[5]历晓华,段炼,段水福.无线局域网(WLAN)设计与实现[M].浙江:浙江大学出版社,2007.
关键词:网络攻击网络安全防火墙安全防护
一、校园网现状
目前国内校园网建设的蓬勃发展正在告诉我们这样一个事实:未来教育将从传统“课堂”教育向网上教育发展,而校园网的建设正是这一重大转变的开端。教育也要“上网”在世界各发达国家,校园网的建设速度似乎不亚于其他如政府网的兴建速度。现代教育的实施程度也与校园网络建设直接相关联。
随着计算机网络的广泛使用和网络之间信息传输量的急剧增长,一些机构和部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,或被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。
校园网也同样不能幸免。黑客入侵校园网的新闻也时有发生,非更改考试成绩;更改英语全国四、六级统考成绩;更改考研成绩;非法盗取学校招生、分配机密……
二、校园网中主要安全隐患
校园网中主要安全隐患主要为以下几个方面:(1)病毒的危害。(2)黑客攻击。(3)不良信息的传播。(4)设备的损坏。网络必须有足够强的安全措施。无论是公众网还是校园网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。
三、校园网络安全
作为一种丰富学习资源、拓展教学空间、提高教育效率的有效手段,信息化为教育的创新与普及提供了新的突破口。与此同时,网络社会与生俱来的不安全因素,如病毒、黑客、非法入侵,不健康信息等。也无时无刻不在威胁教育网络的健康发展,成为教育信息化建设中不容忽视的问题。与其他网络一样,校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说,危害网络安全的主要威胁有:非授权访问,冒充合法用户,破坏数据的完整性,干扰系统正常运行,减慢系统的响应时间等;病毒与恶意攻击,线路窃听。许多校园网络由于意识与资金方面的原因,它们在安全方面往往没有太多的设置,包括一些高校在内,常常只是在内部网与互联网之间放一个防火墙就了事了,甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。
四、校园网安全防御措施
1.防火墙设置
防火墙是设置在不同网络之间的一系列软硬件的组合,它在校园网与Internet网络之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受外部非法用户的入侵。设计防火墙的目的就是不让那些来自不受保护的网络如因特网上的多余的未授权的信息进入专用网络,如LAN或WAN,而仍能允许本地网络上的你以及其他用户访问因特网服务。大多数防火墙就是一些路由器,它们根据数据报的源地址、目的地址、更高级的协议,专用标准或安全策略来过滤进入网络的数据报。
2.采用入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
3.漏洞扫描系统
基于网络系统漏洞库,漏洞扫描大体包括CGI漏洞扫描、POP3漏洞扫描、FTP漏洞扫描、SSH漏洞扫描、HTTP漏洞扫描等。这些漏洞扫描是基于漏洞库,将扫描结果与漏洞库相关数据匹配比较得到漏洞信息;漏洞扫描还包括没有相应漏洞库的各种扫描,比如Unicode遍历目录漏洞探测、FTP弱势密码探测、OPENRelay邮件转发漏洞探测等,这些扫描通过使用插件(功能模块技术)进行模拟攻击,测试出目标主机的漏洞信息。
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
4.网络病毒的防范
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网(校园网络)的全方位防病毒产品。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件,防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使校园网络免受病毒的侵袭。