校园网的安全规划与设计.doc

校园网的安全规划与设计 摘要:校园网已成为高校信息化建设的重要支撑平台,本文根据校园网实际情况，从设计目标、思想和原则入手，分析并设计了校园网方案. 关键字：校园网；规划；策略 1 引言 随着计算机网络的发展,充分利用各种信息正成为一种世界性行为，尽快尽早地建设校园网好处将是显著的和长远的。校园网已经成为高等院校走向信息化时代的必然发展趋势，使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物.校园网以信息资源为根本，硬件网络系统为物质基础，同时以网络软件系统实现系统的管理与使用，是一个具有宽带通路和交互功能的专业性局域网，应具有教学、科研、管理和通讯等四大功能。 2 校园网的现状 校园网建设中面临的问题有如下几个方面: （1）网络管理、维护的困难 ·课堂教学逐步走向网络化、学生在线学习、娱乐时间增加. ·校园网网络大、业务多、故障问题定位复杂、网络的安全性差、管理难度大。 ·老师要负责日常教学还要做网络的日常维护、在学校奔波。 （2）网络业务容量及资源调配的困难 ·学生发起的大量数据转移. ·网上视频点播、广播、大量的多媒体通讯,需要QoS支持. ·如何有效合理对教育网络带宽的调度和分配满足如：教育网络多媒体教学和远程教学、图书馆访问系统、大型分布式数据库系统、超性能计算资源共享/管理系统、视频会议、ePhone等等应用。 (3)网络安全、统计等运营问题 ·教学、办公、生活、娱乐、用户水平高、网络资源需求广、不能全部免费、缺乏用户认证、授权、计费体系. ·学生的安全认证以IP地址为主，存在有意和无意的攻击。 ·采用静态IP和PROXY服务器管理问题。 3 校园网的规划 3。1 校园网的设计原则 校园网络建设是一项大型网络工程，其设计是否合理对校园网络的未来发展和产生的效益起着极为重要的作用.因此,一般应采用“整体规划、分布实施”的方针. 在网络规划时率先考虑的有三个原则：实用性原则、开放性原则和先进性原则. ·实用性原则：网络应用和服务在整个网络建设中应置于非常重要的地位，这是因为只有应用才是网络建设的最终目的，网络基础设施是为最终应用服务的.因此，实用原则强调设计目标和设计结果能满足需求并且行之有效. ·开放性原则:校园网络应具有良好的开放性。这种开放性靠标准化实现,使用符合这些标准的计算机系统很容易进行网络互联。为此,必须制定全网统一的网络体系结构,并遵循统一的通信协议标准。开放性原则包括采用开放标准、开放技术、开放结构、开放系统组件、开放用户接口. ·先进性原则：建设校园网络，尽可能采用成熟先进的技术，使用具有时代先进水平的计算机系统和网络设备、各种网络应用软件。先进性原则包括设计思想先进、软硬件设备先进、网络结构先进、开发工具先进.在方案设计过程中，还有几项设计原则是必须考虑的，它们是： ·可靠原则：网络的运行是稳固的。 ·安全原则：包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密. ·高效原则:性能指标高，软硬件性能充分发挥。 ·可扩展性：能够在规模和性能两个方向上进行扩展。 　　建设原则是网络规划和方案制定的方针，不同的原则侧重会产生不同的方案.每个学校应先根据自身的情况选择合适的原则来指导校园网络规划。 3.2 网络技术选择策略 目前，在传统以太网基础上又出现了许多新的网络技术，典型的有：交换式以太网、快速以太网、千兆网和ATM等。不同网络技术的采用将直接影响到校园网络的投资和性能. 3。2。1 VLAN划分 VLAN划分的模式有：基于MAC的VLAN；基于IP地址的VLAN;基于组播的VLAN。 VLAN的好处主要有三个： （1)广播控制。通过将一个网络划分成多个VLAN(即多个广播域）。可以实现广播范围的控制,并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。 (2)灵活性.在学校里，由于教学人员的变更比较频繁,当把一台计算机从一个子网转移到另一个子网时，假若采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网;这种迁移所耗费的精力和时间相当可观的。而采用基于MAC地址VLAN技术的用户则可不作任何修改，在网上的任意位置都可上网，因为VLAN成员不是捆绑在某固定工作站上的；反过来，用户的实际位置不发生改变却变更了部门，网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。这意味着迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中,对于网络管理而言，可以轻松完成变更。并且减少了日常管理开销，提供了更大的配置灵活性. (3）安全性.采用传统局域网技术的网络，只要利用一台PC装上协议分析软件,连到集线器上就可拦截该网段上的所有数据,采用基于MAC地址的VLAN技术时就不可能拦截该VLAN的数据；VLAN与VLAN间逻辑上是分开的，VLAN成员的数据包只能在同一VLAN内部传送，即使处于同一网络中，不同VLAN间也不能进行直接通信,有效的避免了广播风暴的传播；校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统，网络管理员可采用VLAN技术对广播域进行逻辑划分，达到限制用户非法访问的目的,从而确保重要部门的数据安全。除非设置了监听口，信息交换就不可能存在监听和插入问题，提高了网络的安全性能;对于内网，采用基于MAC地址的VLAN技术,可有效防止IP地址盗用问题.因此，通过划分VLAN可以提高网络的安全性。 3.2.2 OSPF路由协议 OSPF是典型的链路状态型路由协议。它使用COST（开销）作为度量，根据拓扑表通过SPF算法获得以自己为根的到达目标的最优路径.它使用三张表：邻居表，拓扑表，路由表，通过这3张表,每个路由器都能独立的获得前往每个目标的路径,而不象距离矢量协议那样依靠邻居来发现路由。确保了路由的真实可靠。本方案中路由器与Internet 网之间用OSPF路由协议,来实现它们之间的通信。OSPF路由协议的主要特点有: （1)路由器拥有整个网络的拓扑结构信息，路由收敛快速。 （2)用增量方式更新路由表，即只更新变化的路由表项，节约带宽资源。 (3）支持可变长子网掩码。 (4）支持CIDR以及路由聚合（Routing Summary）。 （5）支持路由信息验证。 3.2.3 ACL技术 ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。本方案中在汇聚层交换机上运用ACL技术,来限制校园网内部各部门的数据流通，以提高校园网信息的安全性. 3.2.4 NAT技术 NAT的主要作用是为了节约全局地址的使用，多个内部地址可共享一个全局地址上网。此外,由于采用NAT的内部主机不直接使用全局地址,故在Internet不直接可见，可以在一定程度上减小被攻击的风险，增强网络的安全性。本方案中路由器上都运用了NAT技术来实现内部网络私有地址到公有地址的转换，来节省开销和增加内部用户的安全性。NAT技术能帮助解决令人头痛的IP地址紧缺的问题,而且能使得内外网络隔离，提供一定的网络安全保障。它解决问题的办法是：在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址在Internet上使用，其具体的做法是把IP包内的地址域用合法的IP地址来替换。 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址,发往下一级，这意味着给处理器带来了一定的负担。但对于一般的网络来说，这种负担是微不足道的。 3.2。5 VLAN及 IP 地址规划 教学楼、实验楼、办公楼、宿舍楼的IP地址及VLAN规划如下表所示： 表 1核心交换机IP地址分配表 核心交换机接口 IP地址 1/1（教学楼) 192。168。2.1 1/2（实验楼) 192.168.3.1 1/3(办公楼) 192。168。4。1 1/4(宿舍楼） 192.168。5。1 表 2 VLAN规划 Vlan ID 网络地址 描述 Vlan1 192。168。1.0/24 教学楼 Vlan2 192.168.2。0/24 实验楼 Vlan3 192。168。3。0/24 办公楼 Vlan4 192。168。4。0/24 宿舍楼 Vlan5 192。168.5.0/24 服务器组 3.3 结构化布线策略 校园网的信息通道是整个校园网的基础，因此，由各种传输介质(光纤、电缆等)、线路管理硬件、连接器、插座等一系列设备组成的布线系统就成为整个信息流通的必经之路，一旦通道阻塞，整个校园网就会陷于瘫痪。布线的混乱会埋下事故的隐患。好的布线系统不仅方便日后校园网的维护、检修故障，更有利于未来校园网的扩充和升级。因此，校园网的设计与建设中,要首先考虑校园建筑物地理位置特点，科学、合理、规范、有序的建设符合标准的布线系统。只要先打好路基，才能修起通畅的高速公路。所以,网络中心连接各建筑物用6芯多模光纤。楼内采用5类双绞线。每个信息点配有一个RJ—258针模式插座。每个插座由4对非屏蔽线缆单独配线,可用于数据和图像等连接应用。信息点实用的标准8针模式连接插座,应符合ISO8877标准和EIA/TIA568协会的机械性能和电器性能标准。 4 校园网解决方案 4。1 解决方案特点 高智能：在网络的核心和汇聚层提供的TFS9000系列接入层智能网交换机可以智能识别应用业务流，按照全网策略赋予各种应用业务不同的优先级，提供二层802。1P优先级、三层的DiffServer TOS字段的DSCP标记，完成全网端到端的QoS保证. 高安全：接入层TFS7000系列智能型交换机支持端口＋MAC地址绑定技术；支持802。1X基于用户身份的认证；支持SSL、SSH、TACACS 等安全认证技术,可以对于WEB管理进行加密，大大提高了交换机网管的安全性。 高性能:全系列以太网交换机都支持线速无阻塞交换。对于大用户量和大数据量的教育网来说，这一点尤其重要。 多业务:支持多媒体应用，包括视频点播、视频会议、远程教育等。可以对这些业务进行差别服务,提供端到端的QoS保障. 4。2 典型校园网络设计模式 根据学校的实际应用，配服务器7台,用途如下: （1）主服务器2台:装有Solaris操作系统，负责整个校园网的管理，教育资源管理等。其中一台服务器装有DNS服务,负责整个校园网中各个域名的解析。另一台服务器装有电子邮件系统，负责整个校园网中各个用户的邮件管理。 （2）WWW服务器1台：装有Linux操作系统，负责远程服务管理及WEB站点的管理。WEB服务器采用现在比较流行的APACHE服务器，用PHP语言进行开发，连接MYSQL数据库，形成了完整的动态网站。 (3）电子阅览服务器1台：多媒体资料的阅览、查询及文件管理等; （4）教师备课服务器1台：教师备课、课件制作、资料查询等文件管理以及Proxy服务等. (5)光盘服务器1台:负责多媒体光盘及视频点播服务。 (6）图书管理服务器1台:负责图书资料管理。 图 1 校园网络设计图 5 校园网的维护管理 校园网的建设为现代教育提供了优越的条件。要使它发挥出应有的作用，必须强化管理，制订一系列的管理措施，实行按章治校,依规办事。 硬件维护管理包括网络的使用规范、上网的规范、场地的使用管理制度，信息点、教学平台、电子讲台、计算机的管理操作制度，维修保养制度等. 软件维护管理包括网络教室及计算机软件的配置更新规范，教学软件、工具软件的培训推广应用制度，软件的购买、收集、操作制度,光盘、音像制品、素材库软件的使用保管制度等。 此外，还建议学校拟订出一套确实可行的校园网管理机制，防止校园网被破坏,建立设备的使用和保管制度、网络安全制度，以确保校园网运行畅通无阻。并且为了更好地实施上述管理方案，必须充分发动全校的教师，实行全员管理,人人定岗明确，职责分明，有奖有罚，只有这样才能达到强化管理的效果。 6 结论 校园网的建设任重而道远,它的功能有待于不断的开发、探索和创新.学校领导应以充分的支持和实践,带领广大教师确立现代教育的新思想、新观念,深入现代教育技术的研究和实践,建好、管好、用好校园网,推动现代教育技术的不断发展. 参考文献 ［1］刘晓辉，李利军:《局域网组网技术大全》，人民邮电出版社，2007。 [2］沈鑫剡:《交换式以太网原理、技术及实现》，人民邮电出版社， 2000 . [3］郭军：《网络管理与控制技术》,人民邮电出版社,1999. ［4］ Marina Smith 著黄锡伟王涛译《虚拟局域网》，清华大学出版社,2003。 ［5］石硕：《交换机/路由器及其配置》，电子工业出版社，2009。