學校計算機網絡的安全建構范文
本站小編為你精心準備了學校計算機網絡的安全建構參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
校園網計算機網絡對一些網絡設備的具體需求
網絡設備要盡可能地具有較高的性價比;要采取國際統一的標準;要有合適的網管軟件對網絡設備進行設置、管理、監控;要采取多種容錯技術,做到高可用性和高可靠性,要有較大的吞吐量。
校園計算機網絡存在的一些問題
目前校園計算機網絡存在的問題主要有以下幾個方面:(1)校園計算機網絡應用服務沒有進行廣泛應用。校園計算機網絡建成以后,網絡應用服務不斷進行了完善,但是一些網絡應用并沒有進行廣泛地推廣應用,從而導致了網絡應用服務沒有得到有效地利用。(2)校園計算機網絡缺乏安全防范體系建設,從而造成安全防范體系還比較脆弱。(3)內網訪問速度還不是那么穩定。目前校內網絡都存在著訪問外部資源不太穩定的情況,因此網絡的穩定性還需要完善。(4)從公網訪問校園網的相關資源速度還不是很快,有時甚至出現學校主頁打不開的現象。(5)校園計算機網絡安全方面還存在著一些問題。校園計算機網絡建設過程中會存在經費不足的情況,這樣就會采取利用原有的一些設備,可能會對網絡的可靠性造成影響。網絡的管理者缺乏計算機網絡管理經驗、防范意識較為薄弱,很容易造成網絡癱瘓、系統被攻擊、數據丟失、病毒泛濫等狀態。目前,一部分學生應用黑客工具較為熟練,有個別學生利用黑客工具對校園計算機網絡進行攻擊,給校園網安全帶來隱患。
校園計算機網絡實現目標和設計原則
(一)校園計算機網絡建設的目標
根據目前網絡發展趨勢和校園計算機網絡需求,對校園計算機網絡確定以下建設目標:(1)校園計算機網絡要易于管理和使用。(2)校園計算機網絡管理體系必須完善。(3)要考慮長遠發展,布線要科學規范。(4)要統一網絡協議,堅持標準化和開放性。(5)要積極運用目前比較成熟的技術。(6)要采取分步實施,統一規劃。
(二)校園計算機網絡系統設計應遵循的一些原則
校園計算機網絡系統設計應遵循的一些原則:(1)要合理利用資源并進行優化配置,使資源能夠得到科學合理地使用,要認真考慮新建的網絡和原有設備的互通和融合,要對現有的設備能夠進行充分利用,對原有的一些資源要能夠進行認真升級改造,緩解資金帶來的壓力。(2)在進行校園網建設時應當做到重點在應用、建庫建網同行、培訓在先三個關鍵點。(3)校園計算機網絡要實現信息化教育,要能夠為教學、教育服務。
校園計算機網絡設備的整體方案設計
(一)校園計算機網絡結構設計
校園計算機網絡應當采取層次型模型。該模型具有易于管理、冗余性好、易于排除故障、易于實現、良好的伸縮能力、性能好、結構清晰等特點,可滿足校園計算機網絡的長期需求。校園計算機網絡一般采取三層層次模型,整個校園計算機網絡分為核心層、匯聚層、接入層,各層次各司其職。核心層的功能:對于通訊協調非常重要,屬于網絡高速交換的骨干。核心層中的設備不再承擔地址翻譯、數據加密、訪問列表檢查等任務。該層具有以下特征:(1)交換機功能比較強大。(2)提供故障隔離。(3)接口類型廣泛,模塊化設計。(4)提供冗余鏈路。(5)提供高可靠性。(6)完成數據流的高速轉發,提供負載平衡,連接各匯聚設備。
匯聚層的功能:該層主要是完成路由選擇,提供負載平衡、擴展性和快速收斂,匯聚接入層設備流量。接入層的功能:該層是服務器和用戶工作站連接到網絡的入口,建立匯聚層與工作組的連接,建立獨立的沖突域,在學生宿舍和教職工宿舍全部采取流量控制和認證等手段進行接入控制。
1.校園計算機中心網絡建設。核心交換機是共享數據、網絡信息交換的中心樞紐,是局域網的基石,其性能決定網絡中各信息點的工作站訪問范圍、服務器分發、網絡的負載能力、吞吐量和傳輸速度、響應速度等性能。因此要設計成雙核心的互為備份容錯結構。
2.校園計算機網絡匯聚層建設。校園計算機網絡匯聚層要具有可擴展性,應當選用中高密度千兆GBIC接口、模塊化的匯聚路由交換機。
3.校園計算機網絡接入層建設。由于網絡配線間面積有限、數量有限,宿舍端口有較高密度,因此應當選用48口1U交換機,并且在教職工宿舍和學生宿舍全部采取流量控制和認證等手段進行控制。
4.校園計算機網絡管理、認證計費平臺建設。管理系統要能夠實現從網絡級到設備級的全方位的網絡管理,要能夠對以太網中的SNMP管理型設備、IP設備進行科學管理,結合管理設備所能夠支持的RMON管理、Web管理、Telnet管理、SNMP管理等構成科學的網絡管理解決方案。
(二)校園計算機網絡VLAN設計
1.校園計算機網絡利用VLAN技術的原因。隨著學校對網絡需求的增加,不同部門內部數據傳輸量越來越大。由于學校規模的壯大,學校的教職工不可能集中在一起進行辦公,學生宿舍也較為分散。這就學校的財務部門以及學籍管理等要求有較高的安全性,因此就需要用到VLAN技術。VLAN技術也就是虛擬局域網技術,也就是將局域網設備從邏輯上劃分為若干子網,從而形成虛擬工作組的一種技術。VLAN技術的出現提高了網絡的性能,可以動態管理網絡,限制廣播范圍,形成虛擬工作組,從而解決了局域網的帶寬、廣播域、沖突域問題。通過VLAN技術可以使同一物理網上的計算機劃分為邏輯上相互隔離的網絡,這些VLAN在邏輯上等價于廣播域,每一個子網就是一個廣播域,這些子網在功能上與傳統物理上劃分的子網是一樣的,劃分可以根據IP地址、MAC地址、交換機的端口進行。這些VLAN之間要想通訊必須通過第三層路由才能實現。
2.VLAN的劃分。VLAN的劃分類型會因定義VLAN成員關系的方法不同而存在差異。VLAN的劃分主要有以下幾種:(1)基于端口的VLAN。這種是最有效、最簡單的劃分虛擬局域網的方法,它不管什么設備連接交換端口,網絡管理員只需要配置和管理交換端口。同一VLAN可以跨越多個交換機,屬于同一VLAN端口可以不連續。基于端口的VLAN的劃分的缺點是如果某一個VLAN用戶離開了原來的端口,移動到一個新的交換機端口就需要重新定義。它的優點是比較容易地定義VLAN成員。(2)基于MAC地址的VLAN。基于MAC地址的VLAN劃分主要是按照主機MAC地址進行劃分的。這種劃分方法的主要優點就是當用戶物理位置從一個交換機移動到其他交換機,不需要對VLAN進行重新配置,所以這種方法也可以認為是基于用戶的VLAN。(3)基于協議的VLAN。這種VLAN劃分方法適合于在一個物理網絡中既有IPX協議又有IP協議等多種協議的情況。采取上述方法進行VLAN劃分的好處主要是比較容易實施,管理起來比較方便。
3.校園計算機網絡使用VLAN技術所帶來的好處。在校園計算機整個網絡規劃中,做好VLAN的劃分是非常必要的,科學地利用VLAN技術對于整個網絡性能有著非常重要的影響。VLAN劃分突出特點主要有以下幾個方面:(1)VLAN的劃分,不同的VLAN之間通訊受到了限制,只能進行子網內通訊,增加了網絡的安全性,子網間要進行訪問,就需要通過三層交換,這樣就有效地控制了信息流。(2)VLAN的劃分,廣播數據包不會做無意義的廣播,避免了廣播風暴。(3)減少站點的改變和移動的開銷,實現虛擬的工作組,提高管理效率。(4)應當建立IP子網和VLAN的對應關系,網絡管理系統采取完全獨立的VLAN和IP子網。(5)VLAN間子網的通訊可以在匯聚設備上實現,也可以在三層交換機上實現,對于一些比較重要的資源采取專家級ACL進行訪問權限設定。
作者:周軼捷單位:南通高等師范學校數理系教師
