學校計算機網(wǎng)絡的安全建構(gòu)范文
本站小編為你精心準備了學校計算機網(wǎng)絡的安全建構(gòu)參考范文,愿這些范文能點燃您思維的火花,激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。
校園網(wǎng)計算機網(wǎng)絡對一些網(wǎng)絡設備的具體需求
網(wǎng)絡設備要盡可能地具有較高的性價比;要采取國際統(tǒng)一的標準;要有合適的網(wǎng)管軟件對網(wǎng)絡設備進行設置、管理、監(jiān)控;要采取多種容錯技術(shù),做到高可用性和高可靠性,要有較大的吞吐量。
校園計算機網(wǎng)絡存在的一些問題
目前校園計算機網(wǎng)絡存在的問題主要有以下幾個方面:(1)校園計算機網(wǎng)絡應用服務沒有進行廣泛應用。校園計算機網(wǎng)絡建成以后,網(wǎng)絡應用服務不斷進行了完善,但是一些網(wǎng)絡應用并沒有進行廣泛地推廣應用,從而導致了網(wǎng)絡應用服務沒有得到有效地利用。(2)校園計算機網(wǎng)絡缺乏安全防范體系建設,從而造成安全防范體系還比較脆弱。(3)內(nèi)網(wǎng)訪問速度還不是那么穩(wěn)定。目前校內(nèi)網(wǎng)絡都存在著訪問外部資源不太穩(wěn)定的情況,因此網(wǎng)絡的穩(wěn)定性還需要完善。(4)從公網(wǎng)訪問校園網(wǎng)的相關(guān)資源速度還不是很快,有時甚至出現(xiàn)學校主頁打不開的現(xiàn)象。(5)校園計算機網(wǎng)絡安全方面還存在著一些問題。校園計算機網(wǎng)絡建設過程中會存在經(jīng)費不足的情況,這樣就會采取利用原有的一些設備,可能會對網(wǎng)絡的可靠性造成影響。網(wǎng)絡的管理者缺乏計算機網(wǎng)絡管理經(jīng)驗、防范意識較為薄弱,很容易造成網(wǎng)絡癱瘓、系統(tǒng)被攻擊、數(shù)據(jù)丟失、病毒泛濫等狀態(tài)。目前,一部分學生應用黑客工具較為熟練,有個別學生利用黑客工具對校園計算機網(wǎng)絡進行攻擊,給校園網(wǎng)安全帶來隱患。
校園計算機網(wǎng)絡實現(xiàn)目標和設計原則
(一)校園計算機網(wǎng)絡建設的目標
根據(jù)目前網(wǎng)絡發(fā)展趨勢和校園計算機網(wǎng)絡需求,對校園計算機網(wǎng)絡確定以下建設目標:(1)校園計算機網(wǎng)絡要易于管理和使用。(2)校園計算機網(wǎng)絡管理體系必須完善。(3)要考慮長遠發(fā)展,布線要科學規(guī)范。(4)要統(tǒng)一網(wǎng)絡協(xié)議,堅持標準化和開放性。(5)要積極運用目前比較成熟的技術(shù)。(6)要采取分步實施,統(tǒng)一規(guī)劃。
(二)校園計算機網(wǎng)絡系統(tǒng)設計應遵循的一些原則
校園計算機網(wǎng)絡系統(tǒng)設計應遵循的一些原則:(1)要合理利用資源并進行優(yōu)化配置,使資源能夠得到科學合理地使用,要認真考慮新建的網(wǎng)絡和原有設備的互通和融合,要對現(xiàn)有的設備能夠進行充分利用,對原有的一些資源要能夠進行認真升級改造,緩解資金帶來的壓力。(2)在進行校園網(wǎng)建設時應當做到重點在應用、建庫建網(wǎng)同行、培訓在先三個關(guān)鍵點。(3)校園計算機網(wǎng)絡要實現(xiàn)信息化教育,要能夠為教學、教育服務。
校園計算機網(wǎng)絡設備的整體方案設計
(一)校園計算機網(wǎng)絡結(jié)構(gòu)設計
校園計算機網(wǎng)絡應當采取層次型模型。該模型具有易于管理、冗余性好、易于排除故障、易于實現(xiàn)、良好的伸縮能力、性能好、結(jié)構(gòu)清晰等特點,可滿足校園計算機網(wǎng)絡的長期需求。校園計算機網(wǎng)絡一般采取三層層次模型,整個校園計算機網(wǎng)絡分為核心層、匯聚層、接入層,各層次各司其職。核心層的功能:對于通訊協(xié)調(diào)非常重要,屬于網(wǎng)絡高速交換的骨干。核心層中的設備不再承擔地址翻譯、數(shù)據(jù)加密、訪問列表檢查等任務。該層具有以下特征:(1)交換機功能比較強大。(2)提供故障隔離。(3)接口類型廣泛,模塊化設計。(4)提供冗余鏈路。(5)提供高可靠性。(6)完成數(shù)據(jù)流的高速轉(zhuǎn)發(fā),提供負載平衡,連接各匯聚設備。
匯聚層的功能:該層主要是完成路由選擇,提供負載平衡、擴展性和快速收斂,匯聚接入層設備流量。接入層的功能:該層是服務器和用戶工作站連接到網(wǎng)絡的入口,建立匯聚層與工作組的連接,建立獨立的沖突域,在學生宿舍和教職工宿舍全部采取流量控制和認證等手段進行接入控制。
1.校園計算機中心網(wǎng)絡建設。核心交換機是共享數(shù)據(jù)、網(wǎng)絡信息交換的中心樞紐,是局域網(wǎng)的基石,其性能決定網(wǎng)絡中各信息點的工作站訪問范圍、服務器分發(fā)、網(wǎng)絡的負載能力、吞吐量和傳輸速度、響應速度等性能。因此要設計成雙核心的互為備份容錯結(jié)構(gòu)。
2.校園計算機網(wǎng)絡匯聚層建設。校園計算機網(wǎng)絡匯聚層要具有可擴展性,應當選用中高密度千兆GBIC接口、模塊化的匯聚路由交換機。
3.校園計算機網(wǎng)絡接入層建設。由于網(wǎng)絡配線間面積有限、數(shù)量有限,宿舍端口有較高密度,因此應當選用48口1U交換機,并且在教職工宿舍和學生宿舍全部采取流量控制和認證等手段進行控制。
4.校園計算機網(wǎng)絡管理、認證計費平臺建設。管理系統(tǒng)要能夠?qū)崿F(xiàn)從網(wǎng)絡級到設備級的全方位的網(wǎng)絡管理,要能夠?qū)σ蕴W(wǎng)中的SNMP管理型設備、IP設備進行科學管理,結(jié)合管理設備所能夠支持的RMON管理、Web管理、Telnet管理、SNMP管理等構(gòu)成科學的網(wǎng)絡管理解決方案。
(二)校園計算機網(wǎng)絡VLAN設計
1.校園計算機網(wǎng)絡利用VLAN技術(shù)的原因。隨著學校對網(wǎng)絡需求的增加,不同部門內(nèi)部數(shù)據(jù)傳輸量越來越大。由于學校規(guī)模的壯大,學校的教職工不可能集中在一起進行辦公,學生宿舍也較為分散。這就學校的財務部門以及學籍管理等要求有較高的安全性,因此就需要用到VLAN技術(shù)。VLAN技術(shù)也就是虛擬局域網(wǎng)技術(shù),也就是將局域網(wǎng)設備從邏輯上劃分為若干子網(wǎng),從而形成虛擬工作組的一種技術(shù)。VLAN技術(shù)的出現(xiàn)提高了網(wǎng)絡的性能,可以動態(tài)管理網(wǎng)絡,限制廣播范圍,形成虛擬工作組,從而解決了局域網(wǎng)的帶寬、廣播域、沖突域問題。通過VLAN技術(shù)可以使同一物理網(wǎng)上的計算機劃分為邏輯上相互隔離的網(wǎng)絡,這些VLAN在邏輯上等價于廣播域,每一個子網(wǎng)就是一個廣播域,這些子網(wǎng)在功能上與傳統(tǒng)物理上劃分的子網(wǎng)是一樣的,劃分可以根據(jù)IP地址、MAC地址、交換機的端口進行。這些VLAN之間要想通訊必須通過第三層路由才能實現(xiàn)。
2.VLAN的劃分。VLAN的劃分類型會因定義VLAN成員關(guān)系的方法不同而存在差異。VLAN的劃分主要有以下幾種:(1)基于端口的VLAN。這種是最有效、最簡單的劃分虛擬局域網(wǎng)的方法,它不管什么設備連接交換端口,網(wǎng)絡管理員只需要配置和管理交換端口。同一VLAN可以跨越多個交換機,屬于同一VLAN端口可以不連續(xù)。基于端口的VLAN的劃分的缺點是如果某一個VLAN用戶離開了原來的端口,移動到一個新的交換機端口就需要重新定義。它的優(yōu)點是比較容易地定義VLAN成員。(2)基于MAC地址的VLAN。基于MAC地址的VLAN劃分主要是按照主機MAC地址進行劃分的。這種劃分方法的主要優(yōu)點就是當用戶物理位置從一個交換機移動到其他交換機,不需要對VLAN進行重新配置,所以這種方法也可以認為是基于用戶的VLAN。(3)基于協(xié)議的VLAN。這種VLAN劃分方法適合于在一個物理網(wǎng)絡中既有IPX協(xié)議又有IP協(xié)議等多種協(xié)議的情況。采取上述方法進行VLAN劃分的好處主要是比較容易實施,管理起來比較方便。
3.校園計算機網(wǎng)絡使用VLAN技術(shù)所帶來的好處。在校園計算機整個網(wǎng)絡規(guī)劃中,做好VLAN的劃分是非常必要的,科學地利用VLAN技術(shù)對于整個網(wǎng)絡性能有著非常重要的影響。VLAN劃分突出特點主要有以下幾個方面:(1)VLAN的劃分,不同的VLAN之間通訊受到了限制,只能進行子網(wǎng)內(nèi)通訊,增加了網(wǎng)絡的安全性,子網(wǎng)間要進行訪問,就需要通過三層交換,這樣就有效地控制了信息流。(2)VLAN的劃分,廣播數(shù)據(jù)包不會做無意義的廣播,避免了廣播風暴。(3)減少站點的改變和移動的開銷,實現(xiàn)虛擬的工作組,提高管理效率。(4)應當建立IP子網(wǎng)和VLAN的對應關(guān)系,網(wǎng)絡管理系統(tǒng)采取完全獨立的VLAN和IP子網(wǎng)。(5)VLAN間子網(wǎng)的通訊可以在匯聚設備上實現(xiàn),也可以在三層交換機上實現(xiàn),對于一些比較重要的資源采取專家級ACL進行訪問權(quán)限設定。
作者:周軼捷單位:南通高等師范學校數(shù)理系教師
