引入ＩＳＯ质量体系与学生参与结合管理计.doc

1、 综合性网络实验内容设计与教学方式探讨 摘要：本文提出了在使用NetSim网络模拟器构建虚拟网络实验平台的基础上进行综合性网络实验内容的设计与教学思路，并给出了内容设计方案的实例。
　　关键词
本文来自：计算机毕业网 ：虚拟平台；实验教学；内容设计；创新能力
　　　　　　
　　网络实验教学对实验环境的要求较高，需要有自己独立的网络技术实验室，因此需要大量的建设资金。实验项目设置越丰富，对硬件和相应的支撑软件的投入要求也越高。基于上述原因，目前的网络实验教学内容主要是验证性实验和简单的设计性实验，综合性创新实验内

2、容很少，而涉及大量资金投入的创新性实验几乎没有。这对网络实践教学是非常不利的。
　　
　　1虚拟网络实验平台的构建
　　
　　我们课题组曾提出过运用虚拟实验平台培养学生科技创新能力的思想，并应用于实践取得了较好的效果。目前课题组正在承担校级教改项目“计算机专业本科生产实习的改革与研究——虚拟软件工厂实习基地”，并取得了一些阶段性成果。本文所述内容涉及其中的一个子项目：用NetSim网络模拟器构建虚拟网络实验室及其创新性实验内容设计。
　　Boson NetSim for ccnp是Boson公司推出的一款路由器、交换机模拟软件，可以为我们搭建免费的网络实验室，实验

3、室中的设备和组成方式都可由我们自行决定。它是操作最接近真实环境的模拟工具，但与使用真实实验设备相比，可省去制作网线连接设备，频繁变换Console线，不停地往返于设备之间的环节。它的命令和最新的Cisco的IOS保持一致，可以模拟出Cisco的35系列交换机和45系列路由器。学生可以在自己的PC机上搭建各种实验环境，为设计综合性网络实验内容以及考核学生的创新能力提供了免费的实验环境。
　　
　　2综合性网络实验内容设计与教学
　　
　　我们这里特指涉及大量设备的综合性网络实验内容的设计，目的是培养学生创造性解决实际问题的能力。在网络实验教学体系中涉及的此类实验项目主要有

4、复杂网络的路由配置与管理、复杂VLAN的构建与维护、复杂网络的安全配置与管理等。对于这些实验项目，在真实实验环境中，难以做到每个学生拥有一套单独的设备。分组实验又使得动手能力差的学生更加依赖于动手能力强的学生，同时也不方便对同组学生的能力分别进行考核。而利用Boson Netsim for ccnp，每个学生搭建自己的网络实验环境，独立地做实验。实验过程与结果分析都带有自己实验环境的印记，学生之间难以互相抄袭。
　　为了使综合性网络实验真正发挥作用，内容的设计非常关键。下面我们针对上述列举的主要实验项目各举一例阐述。
　　2.1针对复杂网络的路由配置与管理问题
　　在实验内

5、容的设置上，首先对静态、动态路由配置给出详细的实验指导步骤。以OSPF动态路由配置为例，其指导步骤如下：
　　(1) 使用Network Designer设计拓扑图，将拓扑图装载到模拟器NetSim(或将已有的拓扑图装入)，进入路由器，对路由器进行配置。
　　(2) 按照要求配置好路由器的网络协议，即相关的IP地址，注意要和对方的地址信息一起检查，不能和对方有相同的网络号，路由器直接相连的串口要属于同一个网段。
　　(3) 查看路由器的运行配置文件，看是否有已经存在的路由信息，如果有，先删除相关的信息。静态路由器的删除方式是全局模式下，在no后面将show running-c

6、onfig中ip route的信息原样照抄即可。
　　(4) 查看路由表的信息，确保没有路由信息。进行下一步配置。
　　(5) 查看串口的封装格式，封装格式要一致。要求互连的路由器的直接相连的串口封装一致；
　　(6) 设置路由器的ID号。
　　(7) 启动OSPF协议。
　　(8) 在路由器的各个接口使能OSPF协议并将路由器的各个接口划分到不同的区域，注意骨干域的划分。
　　(9) 使用show ip route查看路由表的相关信息。
　　(10) 配置静态路由，再一次查看路由表，记录路由表信息的变化情况。
　　然后，给出一个如图1所示的网络

7、拓扑，要求学生按上述步骤做路由配置并演示结果。做完后，再给出事先教师做好的演示答案供学生参考。
　　最后，从实际应用环境中提炼出典型网络路由配置与管理问题，要求学生给出解决问题的思路、实现方案、方案实施后的效果、经验总结与心得体会。我们与校网络中心合作，设计了一组有关路由配置与管理的实验题目。学生通过做这组实验题目能取得与在实际工作中独立地解决实际问题相同的效果。
　　
　　图1 路由配置拓扑图
　　
　　2.2针对复杂VLAN的构建与维护问题
　　在实验内容的设置上，首先要求学生熟悉VLAN的基本原理、IEEE 802.1Q协议、VLAN数据的封装格式，并

8、在实验前阅读“VLAN基本原理和配置指导”的相关内容，然后给出一个演示示例。某公司有若干台计算机，生产部5台，财务部4台，人事部4台，信息中心3台。分成四个组，对应的VLAN组名分别是Prod、Fina、Huma、Info。用Boson NetSim for CCNP创建拓扑图并按端口划分VLAN的方法进行配置。虚拟局域子网的拓扑图如图2所示，设计规则见表1。
　　
　　图2 虚拟局域子网的拓扑图
　　
　　VLAN的主要配置过程：
　　(1) 在Boson NetSim for CCNP上构建上述拓扑，装载后，在菜单上选中要配置的交换机。
　　(2) 按空

9、格键进入命令行：
　　> //此时进入了交换机的普通模式，只能查看。
　　(3) 在上一步“>”提示符下输入“enable”进入特权模式，命令格式为“> enable”，出现特权模式提示符：# ， 输入“config t”进入特权模式(config)#
　　(4) 起名字
　　(config)# hostname Switch1
　　Switch1(config)# enable password level 15xxxxx
　　Switch1(config)#
　　(5) 设置VLAN名称
　　Switch1(config)# Vlan 2 n

10、ame Prod
　　Switch2(config)# Vlan 3 name Fina
　　Switch3(config)# Vlan 4 name Huma
　　Switch3(config)# Vlan 5 name Info
　　以上配置按表1中的规则进行。
　　(6) 名为“Switch1”的交换机的VLAN端口配置如下：
　　Switch1(config)# int e 0/2
　　Switch1(config-if)# Vlan-membership static 2
　　Switch1(config)# int e 0/3

11、　　Switch1(config-if)# Vlan-membership static 2
　　可在特权模式下使用“show vlan vlan#”命令显示刚才所做的配置。其他交换机上的配置类似。
　　最后，从实际应用环境中提炼出典型VLAN的构建与维护问题，要求学生给出解决问题的思路、实现方案、方案实施后的效果、经验总结与心得体会。一道实验题目示例如下：某公司有三个部门，分别是生产部、销售部和财务部。三个部门都有内部资料不能对外，要求部门之间不能相互访问，但是所有的部门都可以通过一个出口访问因特网。该公司另外有两台服务器，要求大家都可以访问。要求利用Network Design

12、er画出相应的模拟环境拓扑图，并在Boson NetSim中测试方案的正确性。

实验后，给出相应的分析与思考问题检验学生做实验后的效果。一道思考题示例如下：如果希望财务部可以访问销售部，但是反过来不行，如何处理？还需要进行什么配置？
　　2.3针对复杂网络的安全配置与管理问题
　　在实验内容的设置上(以配置防火墙为例)，首先要求学生理解NAT的工作原理、工作

13、过程、NAT配置的主要命令及其含义和使用方法，并掌握标准访问控制列表和扩展访问控制列表的配置方式。然后给出一个防火墙的配置的实例：
　　(1) 组网需求
　　某公司通过一台路由器的接口Serial 0访问Internet。公司内部对外提供WWW、FTP和Telnet服务，公司内部子网为192.168.1.0，其中内部FTP服务器地址为192.168.1.1，内部Telnet服务器地址为192.168.1.2，内部WWW服务器地址为192.168.1.3，公司对外地址为202.38.160.1，在路由器上配置了地址转换。这样内部PC机可以访问Internet外部PC和内部服务器。通过

14、配置防火墙希望实现以下要求：
　　● 只有特定外部网络用户可以访问内部服务器。
　　● 只有特定内部网络主机可以访问外部网络。
　　假定外部特定用户的IP地址为202.39.2.3。
　　(2) 组网图(见图3)
　　
　　图3 防火墙配置实例组网图
　　
　　(3) 配置步骤
　　● 允许防火墙
　　Router(config)# firewall enable
　　● 设置防火墙缺省过滤方式为允许包通过
　　Router(config)# firewall default permit
　　● 配置访问规则禁

15、止所有包通过
　　Router(config)# access-list 101 deny ip any any
　　……(其他配置细节略去)
　　最后，从实际应用环境中提炼出典型的安全配置与管理问题供学生实验。一个防火墙配置的题目为：某公司从ISP申请到IP地址两个，技术部门一个地址，管理部门和财务部门共用一个地址。技术部门与其它两个部门位于不同的位置，中间通过电信网络连接。技术部门大约500人，管理部门大约100人，财务部门大约60人。设计一个合适的方案，满足如下要求：① 除了财务部门外，都可以正常接入Internet；② 上班时间，技术部门不能使用QQ。分析题目给出的

16、问题，画出相关拓扑结构图，给出解决问题的思路、实现方案、方案实施后的效果、经验总结与心得体会。
　　实验后，给出相应的分析与思考问题检验学生做实验后的效果。例如，做完防火墙配置实验后，可以给出如下思考题：如何使用访问控制列表来防止DDoS攻击？
　　
　　3结束语
　　
　　通过虚拟实验平台的构建，教师在实验教学的内容上可以进行更多的设计和创新，并且可以灵活地设置教学的组织形式，而学生可以自主地构建逼真的实验环境，激发了学生学习的积极性和创造性。但虚拟实验平台只是对真实实验环境的有益补充而不能完全替代它。只有两者有机结合，才能真正对提高学生的整体素质、培养创新人才

17、发挥积极作用。
　　
　　参考 1VRML和3DS MAX简介
　　
　　1.1VRML的发展
　　虚拟现实是目前计算机界最热门的话题之一，其中如何利用VRML生成虚拟现实系统又是热点中的焦点。
　　VRML的前身是SGI公司Open Inventer系统使用的一种文档格式，后经Mark Pesce、Tony Parisi和Gavin Bell等人的改进和努力，最终发展成第二代WWW的标准语言。到目前为止，VRML标准的发展已经历了三代。
　　1994年10月公布的VRML1.0非常简单，只

18、定义了36种节点类型，涉及的对象也只有静态对象，而没有声音、动画等动态对象。实际上，由于VRML1.0近似HTML的“3D版本”，因此，当时称VRML为虚拟现实标记语言(Virsual Reality Markup Language)。目前，VRML1.0已基本被淘汰。
　　1996年8月公布的VRML2.0，名义上是VRML1.0的修订版，但两者从内容到文档结构上都很不相同。在2.0版本中，节点类型扩展为54种，支持的对象包括动态和静态两类。这个版本已经完全脱离HTML的影响，被正式命名为虚拟现实建模语言(Virsual Reality Modeling Language)。
　

19、　VRML1.0和VRML2.0并不是真正的国际标准。直到1997年12月，VRML才被国际标准化组织(ISO)和国际电子工业协会(IEC)正式接纳为国际标准，国际标准号ISO/IEC14772-1:1997，习惯上称为VRML97。
　　VRML97是在VRML2.0的基础上进行了少量功能性调整而形成的。对用户而言，两者完全一样，可以认为VRML97是VRML2.0的国际正式名称。
　　1.2VRML的特点与缺陷
　　VRML所描述的三维场景可以说是一个“节点”的集合。节点(node)是三维世界的基本元素，几何体、视点(即照相机)、灯光、接受输入的传感器(sensor)以及

20、控制动画的插件(interpolator)都以节点的形式定义和使用。节点可以引用和嵌套。这样，所有的三维场景中的对象组成一个层次的、树型的结构。
　　VRML语言的诞生为World Wide Web世界带来了新的活力：充满幻想的三维世界和更加丰富的交互功能，使得Web站点不再是单一的二维页面。综合起来，VRML具有可交互、支持多媒体、结构化、可重组、易扩展和标准化等特点。
　　VRML具有强大的编程功能，利用它完全可以构造一个虚拟现实的世界。但使用VRML编程给编程人员带来了很多困难。即使对一个有经验的程序员来说，用VRML语言编程的方式建立复杂三维模型也是相当繁杂和困难的。在VR

21、ML中利用程序语言来实现一个简单的三维场景需要编写几百行甚至上千行的程序代码。由于VRML编程语言毫无直观性可言，程序的调试、修改和调整过程非常困难，花费大量的精力有时依然不能完美地完成任务。
　　1.33DS MAX的特点与优势
　　3DS MAX是Autodesk公司在Windows/NT环境下全面重新开发的一个动画制作产品。3DS MAX具有一流的三维建模和动画制作功能，可以在PC机上制作出高质量的模型和动画效果，因而深受广大用户的喜爱。
　　VRML在编程方面最复杂也是最困难的就是三维模型的创建和动画的制作，而3DS MAX正好在这方面是强手，利用3DS MAX的三维

22、建模和动画制作功能恰好可以弥补VRML编程在这方面的不足。原来在VRML中需要几百行甚至上千行程序描述才能实现的三维场景和动画，在3DS MAX中只需要几分钟时间，很简单的操作过程就可以实现了。而且3DS MAX的环境是可视的，便于修改和调试。
　　
　　23DS MAX中虚拟现实组件的基本用法
　　
　　新版本的3DS MAX，为了更好、更全面地支持VRML97，特别提供了VRML97辅助对象组件以帮助建立虚拟现实世界。VRML97组件包含了几乎全部的VRML特有造型，极大地方便了VRML世界的建立。
　　启动3DS MAX软件，打开VRML97组件，命令面板上

23、会出现12种VRML97特有造型(如图1所示)。
　　
　　“LOD”造型(level of detail)，用来描述同一造型不同细节层次的组织关系。因为人的观察力与距离有直接关系，在远处造型的细节根本看不到，所以相对于近处造型的细节可以大大减少。利用在LOD中一定的范围设定，让虚拟空间在不同的观察距离上呈现出不同的细节标准，这样既可以减轻VRML浏览器的负担，同时又不降低VRML世界的真实感。
　　“声音”造型可以利用“音频剪辑”组件来指定声源放声，并将声音控制在一个椭圆区域内，音量的大小按距离声源的距离由近到远逐渐衰减，以达到真实世界中声音传播衰减的效果。
　　“时

24、间感应器”造型用来创建一个控制虚拟空间中动画进行的时钟。由于VRML97动画采用了关键帧技术，因而必须为时间感应器所控制的造型指定关键时刻和关键值，并且能利用线性内插算法计算出这些关键值之间的值以达到动画平滑的效果。
　　“背景”造型用来描述虚拟空间中的背景特征，为VRML世界提供一个外部环境。该背景由一个天空球体、一个在天空球体内的地面球体和一个在天空与地面之间的背景立方体组成。三者在概念上均为无穷大，可以从不同的角度观察它们，但永远无法接近它们。
　　“触动感应器”造型用来创建虚拟空间中的一个接触传感器造型，用于检测参与者的动作并将其转化为适当的输出以触发一段动画。当将鼠标移到

25、该造型或从该造型上移开时，就会开始或停止一段动画。
　　“雾”造型用来描述虚拟空间中雾的特性，可以通过设置在虚拟空间中生成浓雾或薄雾，并可改变雾的颜色。雾的存在会影响虚拟空间中造型的颜色，可以增加VRML世界的真实感。但必须注意的是，雾不会对“背景”造型中所描述的背景产生任何作用，因此在设计“雾”和“背景”时必须协调，以使虚拟世界更加接近现实环境。
　　“内嵌”造型是一种虚拟空间构造技术，可在分离的VRML文件中创建VRML世界中的每一个造型，然后将这些造型组织起来构造出相当复杂的VRML世界。“内嵌”造型的使用，是一种类似于模块化的设计思想，可以免除很多重复性工作，从而极大地减轻

26、了开发负担。
　　“布告牌”造型用来创建一个始终面向参与者的布告牌，即使围绕它移动，它也始终面向用户。
　　“漫游信息”造型被用来描述虚拟空间中替身的导航信息特性。在虚拟现实技术中，替身是真实世界中的人在虚拟空间中的代表。使用替身，可以控制在虚拟空间中进行交互，“他”所看见的也就是用户所看见的。“漫游信息”造型可以指定替身外部轮廓的大小，以及在虚拟空间中的行动方式和移动速度等特性。
　　“范围感应器”造型用来创建虚拟空间中的一块不可见的矩形区域，该区域可以感知参与者的进入、离开以及参与者在该区域中移动的时间，等，以此来触发一段动画或声音。
　　“锚”造型用来创建虚拟空间

27、中的一个锚点造型，用于在VRML世界之间的链接。在VRML浏览器中打开VRML文件后，单击“锚点”造型将引导VRML浏览器顺着链接检索出该链接所连的另一个VRML文件，就这样可以很方便地从一个虚拟空间跨入另一个虚拟空间。
　　“声音剪辑”造型用来描述虚拟空间中的声源特征，可以将VRML97支持的Wav文件格式或Midi文件格式的声音文件指定为声源，并且可以控制声音播放的速度和是否循环播放等内容。

28、

　　3从3DS MAX中导出VRML文件的过程
　　
　　除了利用前面介绍的VRML97虚拟现实组件创建虚拟现实三维场景外，在创建虚拟现实三维场景和制作逼真动画时，还要充分调动3DS MAX中包括标准建模、扩展建模、修改器建模、复合建模、网格建模、多边形建模、NURBS建模等在内的其他建模方法。
　　利用3DS MAX为VRML建立完毕三维虚拟场景后，就可以将其以VRML97文件格式输出了。单击菜单中“文件”选项，在下拉式菜单中单击“导出”命令，弹出“选择要导出的文件”的对话框(如图2所示)。
　　
　　在“保存类型”的下

29、拉式组合框中选择VRML97文件类型并输入文件名，单击保存，就会弹出一个“VRML97导出器”对话框(如图3所示)。
　　
　　常用项设置：
　　选择“法线”项会在输出时生成造型表面法向量。有些VRML浏览器需要利用法向量来达到造型表面平滑的效果，这时需要选择该项。
　　选择“缩进”项会使输出的VRML源代码以缩格形式编写，便于阅读和修改。
　　若选择“基本体”项，在导出时将尽可能地将三维场景造型以VRML97原始造型的形式输出，有利于减小输出的VRML文件的大小。
　　选择“每个顶点的颜色”项，将会使对话框下部的“顶点颜色源”选项有效，可以在这里指定三维场

30、景中造型顶点颜色的来源。
　　在“顶点颜色源”选项中可以选择“使用MAX的”选项，此选项表示将当前场景中造型的颜色直接输出；如果选择了“在导出时计算”选项，表示在输出时，考虑灯光以及造型材质等作用对造型顶点颜色的影响。
　　若选择“翻转书”项，创建的动画场景将会以多个VRML文件输出，文件的数目取决于该动画的帧数和采样率。还可以在对话框下部单击“采样速率…”按钮，在相应的对话框中作细节设置。
　　在三维场景中最好有一台自己创建的摄像机造型，这样不仅可以激活“初始视图”选项，还可为用户提供一个观察VRML世界的初始视点，有助于减轻浏览器的负担。当然在三维场景中也可创建多个摄像机

31、造型，并选择其中之一作为初始视图，成为浏览时进入该虚拟世界的第一视点。
　　如果在创建三维场景时使用了贴图，最好将这些贴图文件与VRML文件放在同一个文件夹中，或者在“位图URL前缀”项目的栏中指明贴图文件所在的路径。
　　其他选项还有初始漫游信息、初始背景和初始雾。当三维场景中有不止一个漫游信息、背景和雾造型时，就可以在这里选择其中之一作为VRML世界启动时的导航信息、背景和雾。
　　确认这些选项后，单击“确定”按钮，会自动生成VRML97文件，可以利用VRML浏览器打开进行浏览了(如图4所示)。
　　
　　利用VRML构建的虚拟现实世界是美丽和神秘的，但利用它

32、建立复杂三维场景和动画是相当麻烦的，并且调试、修改非常困难。如果掌握并合理运用3DS MAX的虚拟现实组件和其他建模方法，可以快速实现虚拟现实世界需要的三维场

基于大型校园网的ARP病毒防范

　　关键词:ARP;校园网;网络攻击;防范
　摘要:ARP协议的安全缺陷来源于自身设计上的不足,造成局域网频繁地被ARP病毒入侵网络,其结果轻者为网络阻塞,掉线不通,重者整个网络瘫痪。呈现出越来越严竣趋势,本文结合实际情况,分析其原理并提出切实可行的防范方法。

　　
　　Interne

33、t时刻面临着各种各样的攻击和威胁,网络安全是一个具有挑战性课题。其中欺骗类攻击是网络安全中常见的一种攻击方式,而ARP病毒是欺骗类攻击的典型代表。它包括伪造和应答包请求和假冒中间人两种方式。进行主机攻击从而更新目标主机的ARP缓存,赢得目标主机的信任,然后再实施有效攻击或非法监听网络数据包,造成目标主机被破坏或机密信息泄漏等一系列灾难性后果。
　　一、校园基本状况 < BR>　　我校现有两大校区,一为坐落在国际旅游城市的三亚市主校区和原坐落在“翡翠山城”五指山市老校区。两校区间相距上百公里,有学生公寓、教师住宅区、办公、公共计算机实验机房、图书馆等用户群,计算机数量庞

34、大,使得校园网内极易产生广播风暴;物理分布的不均匀,终端机群有的数量大,有的终端只有几台甚至只有台微机,有的终端机群距离中心机房数千米甚至上百千米,这使校园网布线复杂性和施工维护难度大大增加。基于我校现有的大型校园网的特殊性,本文结合实际提出了优化解决方案。
　　二、ARP工作机制原理
　　地址解析协议是在仅知道主机的IP地址时确定其物理地址的一种协议。ARP具体说来就是将网络层(IP层,也就是相当于OSI的第三层)地址解析为数据连接层(MAC层,也就是相当于OSI的第二层)的MAC地址。假设计算机A的IP为192.168.0.1,MAC地址为0a-1b-2c-3d-4e-00

35、计算机B的IP为192.168.0.2,MAC地址为0a-1b-2c-3d-4e-01。在TCP/IP协议中,A给B发送IP包,在包头中需要填写B的IP为目标地址,但这个IP包在以太网上传输的时候,还需要进行次以太包的封装,在这个以太包中,目标地址就是B的MAC地址。计算机A是如何得知B的MAC地址的呢?解决问题的关键就在于ARP协议。在A不知道B的MAC地址的情况下,A就在局域网中广播一个ARP请求包,请求包中填有B的IP(192.168.0.2),以太网中的所有计算机都会接收这个请求,而正常的情况下只有B会给出ARP应答包,包中就填充上了B的MAC地址,并回复给A,A得到ARP应答后,将

36、B的MAC地址放入本机缓存,便于下次使用。本机MAC缓存是有生存期的,生存期结束后,将再次重复上而的过程。这是一种非常高效通信机制,但存在安全隐患。它是无状态的协议,不会检查自己是否发过请求包,也不管是否是合法的应答,只要收到目标MAC是自己的ARP reply包或ARP广播包,都会接受并缓存。这就为ARP欺骗提供了方便,恶意节点可以发布虚假的ARP报文从而影响网内结点的通信,甚至可以做“中间人”。对整个校园网进行攻击,给网络管理工作者带来麻烦。
　　三、防范策略与解决方法
　　(一)建立MAC数据库
　　把校园网内所有IP地址所对应的网卡MAC地址、地理位置统统记录,

37、并装入数据库以便及时查询备案。
　　(二)建立APR静态路由表
　　网关机器关闭ARP动态刷新的过程,使用静态路由,这样的话,即使犯罪嫌疑人使用ARP欺骗攻击网关的话.这样对网关也是没有用的,确保主机安全。
　　网关建立静态IP/MAC捆绑的方法是:建立/etc/ethers文件,其中包含正确的IP/MAC对应关系,格式如下:192.168.1.2 09:01:4B:B1:23:45然后用/etc/rc.d/rc.local最后添加:arp – f生效即可。
　　(三)对三层交换机“下手”
　　APR病毒攻击是以整个校园网为目标,而三层交换机作为我校整个

38、校园网的核心,是整个校园网的出口,利用三层交换机来构建物理网络,在交换机端并且过滤掉所有非法的ARP包。并在此基础上构建虚拟局域网,这样可以让ARP攻击足不能出户,在局域网内就消除了目前的ARP病毒及其变种的攻击。三层交换技术就是:二层交换技术+三层转发技术。一个具有三层交换功能的设备,是一个带有第三层路由功能的第二层交换机,但它是二者的有机结合,并不是简单地把路由器设备的硬件和软件简单的叠加在局域网交换机上。VLAN又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,即一个逻辑广播域,它可以覆盖多个网络设备

39、允许处于不同地理位置的网络用户加入到一个逻辑子网中。根据大型校园网的特殊性,对安全等级高流动性小终端微机结合传统的ARP绑定策略进行IP与MAC地址及端口的双向绑定;对安全等级低流动性大的终端微机从终端交换机到终端微机进行单向绑定,使ARP欺骗的影响控制在最小的范围内,即只影响存在ARP欺骗的终端交换机或其虚拟网段,这就极大减少了网络维护的难度和工作量。
　　(四)ARP病毒的自检和处理方法
　　1.自检
　　如果用户发现网络经常掉线不同等疑似情况,可以通过如下操作进行自我诊断。点击“开始”选择“运行”,输入“arp -d",点击“确定”按钮。然后重新尝试上网,如果恢

40、复正常,则说明此次掉线就是受ARP欺骗所致。
　　2.查找ARP病毒源
　　(1)使用Sniffer软件进行抓包。在校园网内任意一台主机上运行Sniffer抓包软件,捕获所有到达本机的数据包。如果发现有某个IP不断发送ARP Request请求包,那么这台电脑般就是病毒源。
　　(2)使用arp命令。任选校园网内两台不能上网的主机,在DOS命令窗口下运行“arp –a”命令,在结果中,如果两台电脑除了网关的IP ,MAC地址对应项外.都包含了相同的IP,那么就有理由认为这个IP的这台主机为病毒源的主要怀疑对象。原理:一般情况下,网内的主机只和网关通信,这台主扫的ARP缓

41、存中应该只有网关的MAC地址。如果有其他主机的MAC地址,说明本地主机和这台主机最近有过数据通信发生。如果某台主机既不是网关也不是服务器,但和网内的其他主机都有通信活动,且此时又是ARP病毒发作时期,那么病毒源极有可能就是它。
　　(3)使用tracert命令:在校园网中选一台不能上网的主机在Dos命令窗口下运行如下命令tracert 202. 100. 192. 68 ,假定设置的缺省网关为210.37.144.10而在跟踪个外网地址时第一跳却是以上检测到的IP,那么这个IP极有可能是病毒。原理:中毒主机在受影响主机和网关之间,扮演了“中间人”的角色。所有应该到达网关的数据包,由于错

42、误的MAC地址,均被发到了中毒主机。
　　(4)处理方法。编写一个批处理文件autobd.bat,内容如下:
　　 @echo off
　　 Arp –d
　　 Arp –s 网关IP网关MAC
　　以上的网关IP和MAC都是用户自己定义的,将些程序添加到Windows启动项中,这样一开机就自动批处理,用户无需重新绑定。
　　(五)大型校园局域网ARP病毒的防治工作任重而道远,仅仅依靠网络管理人员是不够的,必须提高用户的防范意识,对用户进行网络安全教育及宣传,及时发现攻击,切断攻击源。且要求每一台终端机都得安装学校网络杀毒软件,以便更新最新病毒库

43、同时安装上ARP防火墙。
　　四、总结
　　ARP病毒具有隐蔽性、随机性的特点,是校园网的安全威胁。结合学校当前实际情况,采取以上防范策略及解决方法,对ARP病毒攻击具有一定的实用意义。当然技术不断的更新,我们须及时应用新技术,来捍卫网络安全,以保证校园网的正常运行。
　　
　　参考文献:
　　[1]王燕,张新刚.基于ARP协议的攻击及其防御方法分析[J].微计算机信息2007第12-3期
　　[2]秦丰林等.基于ARP欺骗的监测与防范技术综述[J].计算机应用研究2009.1(26)1期

44、

大学生信息系统分析与设计能力的研究与实践

　　关键词:实践能力;系统分析;系统设计;信息系统;管理信息系统
　　
摘要:本文分析了大学生系统分析与设计能力的内涵,明确指出该能力是大学生分析问题和解决问题能力的具体体现,并以管理信息系统和信息系统分析与设计两门课程为案例,分析存在的教学问题,探讨了课程实践教学平台的建立方法,并提出具体改革措施。这些改革措施收到了一定的教学效果,对其他课程的实践教学也具有积极的借鉴意义。

45、P>　　当前我国高等教育正处于新的历史发展时期,高等教育已由过去的精英教育逐步向大众化教育转变。同时,在以信息技术为核心的新技术推动下,经济全球化趋势逐渐加快,正在也必将对我国高等教育带来极大的冲击和严峻的挑战,高等学校如何找准自己的目标,科学定位,关系到学校的生存与发展,关系到办学特色的形成[1]。
　　
　　1系统分析与设计能力的内涵
　　
　　大学生的系统分析与设计能力本质上是学生分析问题和解决问题的能力,在不同的学科,其展现形态是不同的。同时,它也是大学教育重要的目标之一和大学生重要能力之一。
　　分析是把整体分解为部分加以认识的过程,设计是将一

46、个想法或计划转变成详细的实施生产计划或方案,设计包括计划技术和计划过程两个内容[2]。能力是指顺利完成某一活动所必需的心理条件,能直接影响活动效率,并使活动顺利完成的个性心理特征。在信息管理领域中,系统分析是一种解决问题的技术,是将系统分解成为若干组成部分,研究各个组成部分是如何工作、如何交互来实现系统目标的技术。系统设计也是一种解决问题的技术,是将系统各个组成部分重新装配成为一个完整的整体所实施的改进(如增加、删除、修改等操作)技术,系统设计与系统分析是互为补充。当然,在对实际工程项目进行具体系统分析时,还需要分析者具备一定其他能力,如创新能力、交流与沟通能力等。
　　信息系统分析与

47、设计能力是借助信息系统这个企业、组织的信息管理平台,培养学生信息系统的系统分析与设计能力,是系统分析与设计在信息管理学科的具体体现。在大学教育中,通常以管理信息系统、信息系统分析与设计等课程为培养介质。信息系统分析与设计本质上是分析企业、组织在信息系统建设、使用、维护过程中存在的问题和需求,发现适合具体企业、组织所需求的信息技术的应用解决方案、行动计划和实施步骤。因此,本文以信管专业的核心课程信息系统分析与设计和我校经管类专业的精品课程管理信息系统为案例,展开研究工作,对其他专业课程的教学也具有积极的借鉴意义。
　　
　　2课程现状分析
　　
　　管理信息系统课

48、程是我校主要面对经管类专业的精品课程,我们为不同专业和不同层次的学生,制定了不同的教学计划。该课程是为未来的管理者设置,要求学生了解信息系统的基本理论知识、建设过程及其可能存在的困难,通常仅仅要求能设计系统的实施计划,对系统的详细实施计划和具体实现不作要求。而信息系统分析与设计课程是为将从事信息系统开发建设和系统分析工作的专业学生设置的,要求这些学生必须对信息系统的分析和设计过程及其相关的工具、技术有相当深度的理解和比较熟练的运用,是信管专业学生的核心课程,通常既要求学生具备初步的系统分析技能,还要求能具备初步实现的能力。两门课程都对学生的信息系统分析与设计能力培养有极大的帮助,在两门课程的教

49、学过程中,学生对理论知识绝大多数都能理解、清楚,但是在实践活动中要具体应用时,常常就不能达到要求。因此,本文重点探讨两门课程的实践教学过程[3]。
　　信息系统分析与设计课程的实验主要是通过2～3人/组的分组形式,完成选定实验题目的如下实验内容:系统可行性分析、系统需求分析、系统设计报告。对部分编程能力强的学生,还要求完成系统实施和系统测试。由于在校大学生没有企业管理、信息系统开发的实际经验,上述实验内容极易“流于形式”,不能实现课程目标。因此,需要教师在实验教学中加强实验过程的管理和师生交流、探讨,以弥补学生实验过程的“空虚”,同时,需要加强课程的理论教学,特别是实验教学的研究。从课

50、程实验教学的实施情况看,学生对定量的、具体的任务,如业务流程图、数据流程图、数据字典、功能结构图等,能较好掌握,但对定性的、抽象性的分析任务,就不能或不能较好地完成。比如对信息系统开发过程中需求的获取、存在的困难、潜在的风险、业务流程的分析、系统结构的构造等,学生常常能在软件编程实现上表现出创新的冲动和干劲,但对信息系统软件模型的设计、良好的表述就比较匮乏,这说明培养学生的系统分析与设计能力还存在一些亟待解决的问题。
　　管理信息系统课程的实验也主要通过分组形式,完成选定实验题目的如下实验内容:系统可行性分析、系统需求分析、数据库设计/系统界面设计。同样因为学生没有企业管理、软件开发的