校园网络改造方案范文
时间:2024-01-04 17:47:03
导语:如何才能写好一篇校园网络改造方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
通过建立一套功能齐全、运行流畅和随处可达的校园网,构造出一个能够满足校园长期持续发展的网络基础,通过这一稳定、可扩展的基础框架为校园的教学、管理、生活提供良好的支撑和服务。来达到校园环境数字化、管理数字化、教学数字化、学习数字化的效果
为学校的院校管理、教研各部门、与成都校区的交流、合作创造有利的条件和环境,建立一套网络环境下的管理、教育、教学的新模式;为教师进行教学研究创造便利的网络环境,促进教师的信息素养、人文素养和科技素养的提高;为学生提供界面友好的网络交互平台、丰富的学习资源和及时的学习指导,为学生提供创新学习的意识和能力,创造一个健康向上的网络文化氛围。
在校方的主导和管理下,按照学校规划要求,逐步实现校园网的全光化,建设一套技术先进、高速可靠的校园骨干网络。改造和升级校园网核心网络设备,使校园网整体具备万兆、十万兆的接入能力;建立学校网络上网行为管理系统,使校园网具备溯源能力、可管可控;实现校园有线、无线网络一体化、无缝覆盖;实现校园网VPN接入能力,满足广大教师远程办公、出差在外访问校园资源的要求。
二、方案总体设计
本次改造项目将顺庆、高坪两校区均纳入改造的范围内,其逻辑拓扑按照对称的方式进行设计,并根据“安全分级、业务分域”的设计原则,将本次建设的网络总体划分为校园网核心区域、 计费认证区域、互联网接入区域、安全审计区、学生公寓接入区、办公接入区、无线覆盖区。
本期建设的校园网核心区域、计费认证区域、互联网接入区域、安全审计区设备均部署在川北医学院的两个校区校园核心机房内。
学生公寓接入区为校园的学生公寓提供校园网接入能力,逐步实现全光网络改造;办公接入区分布在全校的20栋办公教学、实验楼处,为其提供校园网接入能力。无线WIFI覆盖区为学校公众场所(图书馆、体育场、食堂等)、每个学生寝室提供无线网络接入能力。分别对校园核心区域设计、计费认证区域设计以及校园无线覆盖区设计进行详细的介绍。
(一)校@核心区设计
核心区域主要为学生区提供数据高速转发和处理能力,在整个校园网中起到承上启下、并为办公区域、两个校区之间起着互联互通的功能作用;是整个校园网的心脏,为校园网终端系统源源不断的提供安全的信息血液。
为保证整个校园网系统的可靠运行,作为整个网络的神经中枢,学生和办公核心层是全网数据传输的中心,不仅要保证7*24小时的稳定运行,并且确保该区域的高可靠性,在网络、设备出现故障时,保证网络能快速恢复。为保证核心区域的高可靠性,本期方案设计采用了以下几种措施保证整个核心层的高可靠性。
1、采用双机、双链路组网。核心交换机均采用双链路上行,两台设备采用双机互备方式保障链路的安全,并且将两台设备虚拟成一台设备,实现设备互备的同时,通过虚拟化实现融合一体化,这样当其中一台设备出现故障时,另外一台设备仍然能为整个校园网络提供高速的数据转发能力。
2、单设备内部组件冗余。每台核心交换机设备均部署使用了冗余电源、冗余风扇、双主控、板块热插拔等,两台核心设备均采用双控引擎,双电源、冗余风扇。当单台设备模块发生故障时,冗余模块能保证该台设备依然正常使用,大大降低了发生单台设备故障的可能性。
通过以上的核心层的网络部署方式,不仅避免了网络各类业务的连续性受到设备、链路故障影响,又可成倍提高链路资源使用效率,提升网络带宽,既避免了故障发生几率,又充分为以后管理和维护工作提供了便利性。
(二)计费认证区域设计
计费认证区域为整个川北医学院提供实名认证管理、二次认证、融合计费、有线无线一体化认证的功能。
该区域由本地认证系统和电信融合认证系统组成,在校方已经在两个校区各部署了一台城市热点认证设备的基础上,新增和部署两台性能优越、功能强大的城市热点DR2166作为本地计费设备,每个校区两台设备互为备份冗余,作为整个校园网认证的本地认证系统及认证核心设备。上联通过双链路至出口防火墙,下联通过双联路至校园核心交换机。
本地认证系统负责对校园网进行首次认证和管理,并负责向电信融合认证系统发起二次认证请求,并根据两次认证结果,确定是否允许校园网使用者访问互联网。电信融合认证系统,主要作用负责二次认证,并储存校园网使用者的相关实名认证信息,为校园网网络控制、溯源提供基础信息。通过以上两套设备的相互配合及协调,以此做到整个校园网络的实名认证,并为上网行为管理溯源提供基础用户信息。
(三)无线覆盖区设计
大学校园是一个信息交流频繁的特殊场所,网络作为信息交流的重要平台是校园不可缺少的基本设施,电脑已经成为当代大学生学习、生活和娱乐的必需品。仅仅局限于一个地点上网已经不能满足同学们的需求,所以构建一个强大、无缝的无线网络成为必然。本次方案无线网络设计遵循以下原则:
在办公、教学、广场/操场、体育馆、阅览室、会议室、阶梯教室、食堂等,这些区域对于笔记本用户能够提供接入服务,并要求充分满足广大师生笔记本、手机终端、IPAD WLAN多终端上网需求。覆盖原则定为:在开阔地带(例如足球场),每500米范围建设1个无线 WIFI,同时考虑学生分布情况进行增加点位,提高接入可靠性,在室内(例如图书馆、阶梯教室、食堂等),每60米范围内,每4个房间建立一个无线WIFI。
篇2
关键词:双出口 校园网解决方案 静态路由
一、问题分析与提出
校园网是高校的信息化建设的基础设施,是教学科研管理信息化和现代化的重要平台。大部分高校校园网从初建至今已有几年的历史。我院于2005年申请一条10M的网通线路接入Internet,用于日常办公和教学使用。网络拓扑图如图1:
由于学院的发展和招生、评估等需求,我院于2007年又接入一条100M教育网。众所周知,教育网内部访问速度是非常快的,但是由于教育网与其他非教育网络如CHINANET之间存在瓶颈,所以从教育网访问新浪、搜狐等非教育网站点时速度相对较慢。在网络改造时我们同时保留网通10M线路,这样做的好处是可以同时高速访问教育网资源和非教育网资源,满足师生学习和办公的需求。
接入教育网后,校园网应满足如下需求:
(1)客户端IP地址设置不受影响,即不用重新设置地址就可以正常上网;
(2)客户端访问教育科研网的网站时,走教育网线路,访问其他站点时,走网通线路。
(3)尽可能的节约校园网调整、改造的投资。
校园网改造后结构如图2:
二、基本技术介绍
目前解决网络双出口的方案通常会使用默认路由、静态路由、NAT转换等技术。
1.静态路由
静态路由是在路由器中设置的固定的路由表。除非网络管理员干预,否则静态路由不会发生变化。静态路由的优点是简单、高效、可靠。在所有的路由中,静态路由优先级最高。当动态路由与静态路由发生冲突时,以静态路由为准。这种方式对于上网的路由选择与用户无关,用户的上网方式无需进行任何改动,可操作性较好。同时,网络管理人员可以根据两个出口的带宽和流量情况,调整路由指向。
建立静态路由的命令为:
ip route 目的地址网络 目的网络子网掩码 下一跳地址
2.默认路由
默认路由是一种特殊的静态路由,指的是当路由表中与包的目的地址之间没有匹配的表项时路由器能够做出的选择。默认路由在某些时候非常有效,当存在末梢网络时,默认路由会大大简化路由器的配置,减轻管理员的工作负担,提高网络性能.
3.NAT技术
NAT(Network Address Translation)顾名思义就是网络IP地址的转换。NAT的出现是为了解决IP日益短缺的问题,将多个内部地址映射为少数几个甚至一个公网地址。这样,就可以让我们内部网中的计算机通过伪IP访问INTERNET的资源。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。
(1)静态地址转换
静态地址转换将内部本地地址与内部合法地址进行一对一地转换,且需要指定和哪个合法地址进行转换。如果内部网络有WWW服务器或FTP服务器等可以为外部用户提供服务,则这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
(2)动态地址转换
动态地址转换也是将内部本地地址与内部合法地址一对一地转换,但是动态地址转换是从内部合法地址池中动态地选择一个未使用的地址来对内部本地地址进行转换的。
(3)端口地址转换
端口地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。对只申请到少量IP地址但却经常同时有多个用户上外部网络的情况,这种转换极为有用。
三、具体解决方案
此技术方案采用策略路由结合网络地址转换和访问控制列表来具体实现,在本校出口采用NAT和策略路由技术,对于访问目标地址不在CERNET范围之内的,或属于公众网的地址,首先通过NAT进行网络地址转换,然后将请求通过网通出口路由出去,将计算机与CERNET及其联网单位的通信通过CERNET出口进行。
由于涉及到网络安全机密,校园网的各个接口地址均由其他地址代替。其中:校园网内部地址为59.68.0.0/24,10.0.0.0/24表示校园网内部服务器的地址,192.168.0.0/24表示网通地址。连接网通防火墙的ip地址为172.16.0.254,教育网路由器的ip地址为59.68.0.254。配置方案如下(以下配置均以思科产品为准):
1.核心交换机的配置
(1)设置默认路由指向连接网通路由器:
ip route 0.0.0.0 0.0.0.0 10.0.0.254
(2)对于所有走教育网流量设置静态路由,指向连接教育网的路由器。
ip route 4.17.184.59 255.255.255.255 59.68.0.254
ip route 12.130.28.213 255.255.255.255 59.68.0.254
ip route 58.116.0.0 255.252.0.0 59.68.0.254
……
ip route 222.204.0.0 255.254.0.0 59.68.0.254
ip route 222.206.0.0 255.254.0.0 59.68.0.254
ip route 222.248.0.0 255.254.0.0 59.68.0.254
由于教育网上经常会增删一些IP地址,未免IP地址有变化或者教育网站点不全面,可从教育科研网(省略)下载最新地址列表。同时为避免静态路由条目太多,可使用超网技术合并一些相似的IP地址。
2.在防火墙上进行NAT配置
通常的做法是将NAT放在路由器上,由于路由器采用硬件技术进行数据包转发,具有转发速度快的特点,但路由器是靠软件来实现地址转换的,当地址转换列表大量产生时,会导致路由器的CPU的利用率过高甚至产生宕机现象。
在路由器满负荷工作时,防火墙、核心交换机的负荷却很低,还没有充分发挥这些设备的性能,所以将路由器的工作分散到防火墙上。利用防火墙作NAT,无论转换速度还是处理能力都比用路由器做NAT效果好得多,不会出现占用CPU资源过高的现象。
ip address outside 172.16.0.254 255.255.255.0
ip address inside 172.16.100.1 255.255.252.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
四、结束语
校园网按新的拓扑结构改造后,很好的解决了以前在校园网双出口实施中存在的问题,运行以来效果很好,由于在核心交换机上作优化的策略路由,利用防火墙作网络地址转换,校园网用户既可以高速地访问教育网上的资源,本地ISP出口也不显得拥挤不堪。校园网的双出口已为越来越多的学校所采纳,解决方案亦是仁者见仁、智者见智。在确定方案的时候,应根据所选用的设备和设计要求,合理的进行设计。
参考文献
[1]徐宏,程代伟,池亚平译CCNA学习指南第2版电子工业出版社2005
[2]刘伟,崔永峰基于防火墙和策略路由的校园网双出口实现周口师范学院学报2006
篇3
关键词:校园网;网络安全;方案设计
当前网络技术的快速发展,大部分高校已经建立了学校校园网络,为学校师生提供了更好的工作及学习环境,有效实现了资源共享,加快了信息的处理,提高了工作效率【1】。然而校园网网络在使用过程中还存在着安全问题,极易导致学校的网络系统出现问题,因此,要想保证校园网的安全性,首先要对校园网网络安全问题深入了解,并提出有效的网络安全方案设计,合理构建网络安全体系。本文就对校园网网络安全方案设计与工程实践深入探讨。
1.校园网网络安全问题分析
1.1操作系统的漏洞
当前大多数学校的校园网都是采用windows操作系统,这就加大了安全的漏洞,服务器以及个人PC内部都会存在着大量的安全漏洞【2】。随着时间的推移,会导致这些漏洞被人发现并利用,极大的破坏了网络系统的运行,给校园网络的安全带来不利的影响。
1.2网络病毒的破坏
网络病毒是校园网络安全中最为常见的问题,其能够使校园网网络的性能变得较为低下,减慢了上网的速度,使计算机软件出现安全隐患,对其中的重要数据带来破坏,严重的情况下还会造成计算机的网络系统瘫痪。
1.3来自外部网络的入侵和攻击等恶意破坏行为
校园网只有连接到互联网上,才能实现与外界的联系,使校园网发挥出重要的作用。但是,校园网在使用过程中,会遭到外部黑客的入侵和攻击的危险,给校园互联网内部的服务器以及数据库带来不利的影响,使一些重要的数据遭到破坏,给电脑系统造成极大的危害。
1.4来自校园网内部的攻击和破坏
由于大多数高校都开设了计算机专业,一些学生在进行实验操作的时候,由于缺乏专业知识,出于对网络的兴趣,不经意间会使用一些网络攻击工具进行测试,这就给校园网络系统带来一定的安全威胁。
2.校园网网络安全的设计思路
2.1根据安全需求划分相关区域
当前高校校园网都没有重视到安全的问题,一般都是根据网络互通需要为中心进行设计的。以安全为中心的设计思路能够更好的实现校园网的安全性。将校园网络分为不同的安全区域,并对各个区域进行安全设置。其中可以对高校校园网网络安全的互联网服务区、广域网分区、远程接入区、数据中心区等进行不同的安全区域。
2.2用防火墙隔离各安全区域
通过防火墙设备对各安全区域进行隔离,同时防火墙作为不同网络或网络安全区域之间信息的出入口,配置不同的安全策略监督和控制出入网络的数据流,防火墙本身具有一定的抗攻击能力。防火墙把网络隔离成两个区域,分别为受信任的区域和不被信任的区域,其中对信任的区域将对其进行安全策略的保护,设置有效的安全保护措施,防火墙在接入的网络间实现接入访问控制。
3.校园网网络安全方案设计
3.1主干网设计主干网可采用三层网络构架,将原本较为复杂的网络设计分为三个层次,分别为接入层、汇聚层、核心层。每个层次注重特有的功能,这样就将大问题简化成多个小问题。
3.2安全技术的应用3.2.1VLAN技术的应用。虚拟网是一项广泛使用的基础,将其应用于校园网络当中,能够有效的实现虚拟网的划分,形成一个逻辑网络。使用这些技术,能够优化校园网网络的设计、管理以及维护。
3.2.2ACL技术的应用。这项技术不仅具有合理配置的功能,而且还有交换机支持的访问控制列表功能。应用于校园网络当中,能够合理的限制网络非法流量,从而实现访问控制。
3.3防火墙的使用防火墙是建立在两个不同网络的基础之间,首先对其设置安全规则,决定网络中传输的数据包是否允许通过,并对网络运行状态进行监视,使得内部的结构与运行状况都对外屏蔽,从而达到内部网络的安全防护【3】。如图一所示。防火墙的作用主要有这几个方面:一是防火墙能够把内、外网络、对外服务器网络实行分区域隔离,从而达到与外网相互隔离。二是防火墙能够将对外服务器、网络上的主机隔离在一个区域内,并对其进行安全防护,以此提升网络系统的安全性。三是防火墙能够限制用户的访问权限,有效杜绝非法用户的访问。四是防火墙能够实现对访问服务器的请求控制,一旦发现不良的行为将及时阻止。五是防火墙在各个服务器上具有审计记录,有助于完善审计体系。
4.结语
总而言之,校园网络的安全是各大院校所关注的问题,当前校园网网络安全的主要问题有操作系统的漏洞、网络病毒的破坏、来自外部网络的入侵和攻击等恶意破坏行为、来自校园网内部的攻击和破坏等【4】。要想保障校园网网络的安全性,在校园网网络安全的设计方面,应当根据安全需求划分相关区域,用防火墙隔离各安全区域。设计一个安全的校园网络方案,将重点放在主干网设计、安全技术的应用以及防火墙的使用上,不断更新与改进校园网络安全技术,从而提升校园网的安全性。
作者:金茂 单位:杭州技师学院
参考文献:
[1]余思东,黄欣.校园网网络安全方案设计[J]软件导刊,2012,06:138-139
[2]张明,姜峥嵘,陈红丽.基于WLAN的无线校园网的设计与实现[J]现代电子技术,2012,13:63-65+68
篇4
【关键词】IPv6Pv4校园网
一、向IPv6过渡的必然性
当下广泛应用的IPv4协议存在着很多固有的缺点,IPv6是下一代Internet的核心协议。IPv6具有全新的包头格式、超大的地址空间、更好的Qos支持、内置安全性(IPSec)、具有可扩充性、相邻节点连接的新通讯协议等特点。IPv6终将取代IPv4。但也必将在IPv4地址枯竭前逐步引进,会经过一个共存时代,最终完成全面过渡。
二、IPv6校园网现状
目前很多高校已经建设好了比较成熟的IPv6校园网络,这些IPv6网络都将接入第二代中国教育和科研计算机网CERNET2;但是CERNET2主干网采用的是纯IPv6协议,而且各大高校的校园网建设基本上都是遵照IPv4协议的。所以,CERNET2从试验走向运营的首要问题就是高校网络的IPv4向IPv6的过渡问题。
三、IPv6的演进过程
根据网络的发展过程和趋势,结合IPv6的特点,IPv6的发展演进过程可大致分为三个过程。(1)IPv6发展初期阶段。在IPv6发展的初期,占有主导地位的仍然是IPv4,绝大部分的应用仍是基于IPv4的,IPv6网络只是一些孤岛。(2)IPv6与IPv4共存阶段。在此阶段,IPv6得到大规模的应用,出现了骨干IPv6网络。但此时,仍有大量的IPv4网络存在。(3)IPv6占主导地位阶段。此时,IPv6成为Internet骨干网,IPv4网络成为孤岛,与初期阶段相似,只不过位置做了互换。
四、IPv6校园网的部署
IPv6校园网的部署一般分为如下两种情况:一是新建校园网,二是新老校区校园网的混合共存。
4.1新建校园网
当新建校园网时,建议采购同时支持IPv6/IPv4的网络设备进行组网,一边使校园网同时支持两种业务流的交流和互通。此时,校园网核心交换机应采用支持双栈的三层交换机,汇聚接入时采用普通的IPv4交换机即可。此时,核心层处理所有的关于IPv6的三层功能,而汇聚层并不处理。当然也可以考虑在汇聚层使用双栈三层交换机,形成层次化的IPv6网络。
4.2老校园网升级
当升级老校园网时,一般都需要购买新的双栈设备,因为只有少数设备可以通过升级软件来直接支持双栈。如果核心设备可以升级,则部署业务互通方案就类似于前述的新建校园网方案。如果增加了新的双栈设备,则应让新建的IPv6网与原有的IPv4网在各自网络内分别互通,并可以利用新增设备进行NAT- PT实现与原有的IPv6核心设备的互通,外部则可以分别经原有的核心连接的CERNET或新增的设备所连接的CERNET2与外部的IPv4网络和IPv6网络互通。
4.3老校园网升级,部分校园网新建
此种情况下,校园网内部IPv4网络与IPv4网络、IPv6网络与IPv6网络分别利用新老校园网直接互通业务。校园网内部IPv6与IPv4之间的业务则通过新建的IPv6校园网核心双栈交换机的NAT-PT与老校园网的核心层连通;内部的IPv6网络与外部的IPv4网络,通过双栈边界路由器的NAT-PT彼此互通;内部IPv6网络与外部IPv6则通过边界路由器直接互通,也可以使用隧道与非直连IPv6网络互通。
4.4老校园网升级
为了避免对原有网络线路的改造或增加,又为了让原有用户方便地接入IPv6网络,我们可以直接将核心三层交换机替换为双栈网络设备,其形式其实类似于新建IPv6校园网方案。
总之,IPv4向IPv6过渡是Internet发展过程中不可避免的一个过程,这个转换是一个相当长的过渡时期,在此过渡期间需要IPv4与IPv6共存,需要解决好彼此互相兼容的问题,从而逐步实现这一过渡,最终实现纯IPv6的全球网络。
参考文献
[1]胡建文.运营商IPv6网络过渡方案的探讨.邮电设计技术,2005(1)
篇5
关键词:校园网;网络优化;升级改造;设备升级;技术升级
中图分类号:TP393 文献标识码:A 文章编号:1673—8454(2012)17—0023—04
一、引言
随着网络技术的不断发展,人们对网络也有着不同的需求和解决方案。一个网络系统,无论当初的设计多么完善,随着网络技术和网络设备的发展,以及对系统应用的深入和应用范围的日渐扩大,在使用的过程会逐渐暴露出一些问题。在本刊2012年5月《中国海洋大学校园网现状分析》一文中,我们对中国海洋大学校园网的现状从网络结构、核心设备、路由设置、安全设置等方面进行了详细的论述,并对存在的问题进行了有效的分析。下面我们将就如何对现有的校园网进行网络优化及升级改造的思路进行一些探讨。
二、网络优化及升级改造的设计原则
校园网的网络优化及升级改造不但要解决目前校园网中存在的问题,同时还要考虑以下几个方面的技术要求:
(1)先进性和可扩充性。校园网络应采用先进成熟的技术进行组网,能够充分满足现在及将来网络及业务发展的需求,在未来几年内都不会过时,并且随着需求的变化,可以进行适时的扩充。
(2)标准化和开放性。采用通用的国际标准和协议,不采用或尽量少采用厂家特有的产品和功能。
(3)可靠性。利用物理链路备份和动态路由协议实现路由备份和负载分担,保证网络互通性;关键部件冗余配置,保证单节点的可靠性;所有模块具备热插拔的功能;系统具备99.999%以上的可用性;网络的结构设计应提供足够的路由冗余功能。
(4)可管理性。采用统一的网络及业务管理系统,支持故障管理、记账管理、配置管理、性能管理和安全管理五大功能;支持系统级的管理,包括系统分析、系统规划等;支持基于策略的管理,对策略的修改能够立即反应到所有相关设备中。
(5)安全性。在设备选型上充分考虑设备抗攻击的能力。
(6)拥塞控制与服务质量保障。拥塞控制和服务质量保障(QoS)是数据通信网的重要品质,网络必须能够对拥塞进行控制和对不同性质数据流进行不同的处理。
(7)业务分类。要求网络设备应支持4种以上业务分类。
(8)接入速率控制。接入校园网络的业务应遵守其接入速率承诺,超过承诺速率的数据将被丢弃或标以最低的优先级。
(9)通信协议的支持。设备应具有服务营运级别的网络通信软件和网际操作系统;以支持TCP/IP协议为主;支持RIPv2、OSPF、IS—IS等多种国际标准的域内路由协议;支持BGP—4等标准的域间路由协议,保证与其他IP网络的可靠互联;支持MPLS标准及相关应用;应支持丰富的组播协议。
三、网络优化及升级改造的目标
在现有网络的基础上向着高性能、精细化和易管理的方向发展,主要达到以下六个方面的目标:
(1)合理的网络结构。通过校园网的整合改造,形成合理的校园网络架构,提供稳定、可靠、高效和灵活的业务承载平台,满足学校多业务多应用的需求。
(2)先进性和实用性。网络设计应本着实用与先进的原则,一方面能满足校园网应用系统的数据传输要求,为各信息点提供网络传输服务;另一方面又要体现网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术结合起来,充分考虑到校园网络应用的现状和未来发展趋势。
(3)网络的可扩展性。由于业务的发展,对校园网的需求是不断变化的,面对不断变化的需求,网络应当能够做出快速和有效的反应。
(4)网络的可靠性。网络系统的稳定可靠是校园网络各个应用系统正常运行的保证,应采用高可靠性的网络产品和完备的网络备份策略,对于不同层次的设备和线路进行不同级别的可靠性设计,使网络具有故障自愈的能力。
(5)网络的标准化。网络设计中所用的各种管理信令、接口规程、协议须符合国际标准。网络技术选择采用开放的标准技术,并且要有适度的前瞻性。选用的网络技术必须具备开放性和通用性,能与多厂家、多品牌设备互连互通。
(6)网络的可管理性。随着网络规模的不断扩大和网络路由配置、安全措施日益复杂,网络的维护量随之增加,整个网络的可管理性变得尤为重要。因此,校园网网络运行维护管理应当具有统一的网络管理平台,不仅实现对网络设备的管理,同时实现对网络策略的管理和不同协议的多级维护。
四、网络优化及升级改造的内容
目前,中国海洋大学的校园网络由崂山校区、鱼山校区和浮山校区三个校区网络组成。升级改造后的网络拓扑如图1所示。
1.校园网核心设备升级
改变现有用户管理模式,从基于客户端软件的802.1X认证的管理模式逐步转变到基于PPPOE/IPOE的用户管理模式,由分散式管理转为集中式管理,降低管理难度。
(1)设备性能的要求
校园网核心设备的升级改造不能仅仅是单纯地更换一台更高性能的核心设备,关键是更换了核心设备后,能够为校园网增加更多的功能,并且能够满足未来几年的发展需求。
核心设备要求具有3T以上的吞吐率、960Mpps的包转发率,配置的所有板卡能够实现线速转发,在同时处理大量ACL(访问控制列表)条目(5000以上)、开启URPF(单播反向路由检测)、流量采集(net flow)、端口限速、端口镜像(port mirror)等功能时,设备仍然具有良好的性能,同时对组播具有良好的支持能力。
篇6
一、全力做好信息化基础建设工作
1.强行突击,突破信息化建设难关
时间异常紧迫、人力严重不足,是信息办公室工作伊始面临的严峻考验。对此,7月份人员逐步到位后,信息办公室就要求所有到岗人员全部盯在校区建设工地,部分岗位实行“全月无休出勤、24小时工作响应与跟踪机制”,安排极其有限的人力以极高的效率忘我工作。尤其是教学楼多媒体电子教室的改造任务,信息办公室只投入了仅有的一名人员,全程无休跟踪建设,顺利保障了正式上课。
通过两个多月的共同努力,信息化基础建设初步完成,校园网、一卡通、临时图书馆、多媒体电教等重大建设任务均顺利完成。
2.大胆创新,解决校区建设难题
信息办工作人员初步到位后,经梳理工作,发现既有的校园网建设方案根本无法开通校园网,如不尽快扭转局势,后果不堪设想!为此信息办日夜突击攻关,克服巨大困难,创新思路,重新科学组织技术方案,在不增加投入的前提下,完成了校园网技术方案的修改,科学组织实施,克服了主光缆被挖断、大量线路被建设施工破坏等巨大困难,最终确保了开学前校园网的顺利开通。
xxxx校区信息化建设存在校区网络互联等难题,而既有的设计方案并没有考虑校区互联的需求。在时间紧迫、技术复杂、无现成经验可供借鉴、租用专线代价巨大(每年需上百万元费用)的情况下,信息办公室大胆创新、科学论证,采取“vpn隧道+ 广域网加速”相结合的技术方案,通过校领导和市政府的大力支持,以相对极小的代价,顺利解决校区网络互联的难题,为顺利开学赢得大量时间、为建设方节省了大量资金、同时也为学校日后每年节省上百万元互联费用。目前,校区互联技术方案顺利实施, 实现了xxxx校区的校园网用户无阻碍访问校本部图书馆电子资源及校内其他资源,为学校发展解决了巨大的难题。
3.注重协调,顺利开通一卡通
一卡通直接关系到校区师生的生活与学习,是实现新校区正常运转的关键任务。但一卡通建设涉及部门多、与各子系统对接技术复杂,信息办以加大协调力度为突破口,群策群力,各个击破,顺利将众多子系统进行对接,保障了开学需要。
信息办公室在开学前后不到3个月的极短时间内,共计完成约700个各类一卡通消费终端建设、约3000名师生的校园卡信息收集与制卡工作。
4.全力以赴,保障新校区的开学迎新工作
今年是校区第一届招生,信息办公室除了完成信息化建设任务外,还承担了开学迎新任务。在信息与网络中心的大力支持下,迎新工作顺利完成。
5.力保教学,高效完成多媒体教室建设
校区多媒体教室因前期设计不符合教学需求,需要改造。9月15日多媒体教室改造方案确定后,仅用了20天的极短时间,信息办公室完成了93间多媒体教室设备的搭建与调试工作,成功保障了新生正式上课时能够全面用上多媒体教室展开教学。
篇7
关键词:互联网+;高职院校;校园网;安全;策略
前言
随着国家提出“互联网+”发展战略,“互联网+”在政务、金融、教育、医疗、媒体等各个领域发挥着至关重要的作用,社会经济形态正在进行以互联网基础设施和实现工具为核心的重大转变。在“互联网+”时代,信息安全对于行业健康发展、用户安全有着重大的影响,如何提高网络信息的安全性至关重要。高职院校校园网的建立、完善、改造、升级,实现了网络的全面覆盖。校园网的利用率不断提高,随着我们访问网络更方便、随意,校园网的网络信息安全问题愈加严重。由于管理的缺位、病毒传播、恶意攻击、安全意识不强、网络道德观念淡薄等,使得校园网运行过程中出现了各种各样的问题。本文研究高职院校校园网网络信息安全现状,针对当前存在的问题,提出有效的防护策略,保障校园网正常运行,还学生一个绿色的网络环境。
1高职院校校园网网络信息安全的意义
随着互联网的高速发展,大部分高职院校建立了自己的校园网,并不断改造升级。校园网的全面覆盖,为数字化校园提供了良好的平台,为学生日常学习、生活提供了基本保障,为教师科研、教学提供了更多的便利。校园网作为学校推进信息化建设、建立数字化校园的基础设施,承担着异常艰巨的任务,扮演者非常重要的角色。所以,校园网的网络信息安全状况直接影响着高职院校的教育教学活动和未来发展。随着互联网的发展和4G手机的大面积使用,校园网网络结构发生了变化,网络结构变得更加复杂,学生的上网行为也变得更加方便、随意,随之而来的是学生失范行为越来越严重。校园网自身存在的漏洞、校园网搭建不合理、校方监管力度不够、学生自控能力差、辨别信息能力弱、失范行为严重等存在的一系列问题,严重影响了大学生身心健康、学业成绩、阻碍大学生的全面发展。因此,如何保障校园网正常运行、保障校方和学生的切身利益是一个亟待解决的问题。
2高职院校校园网安全现状
高职院校建立完善的校园网,一般都是覆盖全校的有线网络和无线网络,是数字校园的支撑平台。由于校园网的使用群体相对集中,每天都有大量用户访问,所涉及的问题大都是外部恶意攻击、内部使用不当等。(1)校园网自身存在的问题由于经费、技术等多方面限制,学校在搭建校园网时更注重实用性而忽略了安全性。有些教学楼、实训室采用了“傻瓜式”交换机直接与上层设备相连,使得校园网搭建不合理,为校园网的安全埋下隐患。同时校园网搭建过程中使用到的路由器、交换机、防火墙等硬件设备自身存在一定的安全漏洞。为了保障学校日常的科研、教学,校园网网络环境一般是呈现半开放状态。有些企业园区网为了保证自身网络安全,一般会在出口防火墙上做很多限制,但是高职院校校园网为了保障师生方便访问网络,一般不会做过多的限制,这就为不发分子提供了可乘之机,危害校园网网络安全。(2)监管力度不够、技术支持不到位由于条件限制、人员配置不合理等因素,很多高校的校园网管理者只懂管理、不懂技术,日常管理上更注重网络的实用性,忽略了日常监管,即使校园网运行中出现一些不合理的行为也不能及时制止。其次,有些高校缺乏相关的技术支持人员,校园网网络出现问题时,为了解决问题会找到相关售后或者企业人员进行支持,不能及时处理,这就降低了用户的体验,给我们的日常科研、教学带来一些不必要的麻烦。(3)学生网络道德意识淡薄、行为失范严重高职院校学生高中毕业后脱离了父母的管制,日常生活、行为更加随性,同时高职院校学生自控能力较差、好奇心较强、辨别能力较弱。网络世界的虚拟性导致大学生行为不易受控,不少大学生在面对丰富多彩、管理相对宽松的大学生活时,容易沉浸在网络的世界里迷失自己,导致网络道德意识淡薄,尤其是网络游戏更是严重弱化了大学生的网络道德意识。大学生网络道德意识淡薄直接影响着大学生的日常行为,导致越来越多的的失范行为出现。很多学生沉浸在网络的世界里不能自拔。有些学生为了打游戏逃课、旷课、网吧通宵,荒废了学业;有些同学沉迷于不良的网络社交平台和网络直播平台,影响身心健康;有些同学恶意制造和传播计算机病毒,破坏校园网网络。随着智能手机的普及和网络的全区域覆盖,学生上网更加随意,校园网网络问题更加突出。(4)内外部的恶意攻击网络中存在一个群体,他们有超高的技术,为了获取一定的利益,利用系统漏洞和已有的网络技术,窃取信息、资料,攻击别人电脑,给他人造成损失。高职校园网的招生系统、教务处网站、学生工作处网站容易受到外部的恶意攻击。高职院校内部学生计算水平参差不齐,有些学生为了展示自己的能力,恶意攻击学校服务器、攻击教师电脑,通过不正当手段获取相关信息、窜改成绩、修改选修课的选修等,严重影响了校园网的安全运行,造成了不良影响。
3校园网防护策略
(1)及时升级改造、完善校园网根据学校自身发展状况、日常工作需求,不断改造升级校园网,以便适应学校发展需求。当学生数量、上网需求发生剧烈变化时,要进行改造升级,及时更换老化的网络设备,以便满足学生日常需求和教师日常工作需要。(2)加强管理、保障技术支持高职院校应该设立独立的校园网管理中心,管理中心需配备专业的管理人员、技术支持人员。建立完善的校园网管理制度、合理的值班制度等,做到校园网管理中心时刻有人,且校园网出现问题时能及时发现并进行处理。校方应对网络设备进行定期维护、维修,对潜在的安全问题定期排查、及时处理,预防安全事故的发生。(3)加强网络道德教育、提高师生安全意识应学校发展需求,各大高职院校建立并完善了自己的校园网,给教师科研、日常工作和学生学习提供了一个良好的平台。由于校园网的用户群体大部分是学生和教师,用户的安全意识对校园网的安全起到了关键影响。学校在加强专业教育的同时,也要注重思想政治教育,充分发挥学校的育人职能,保证学生全面发展。首先,提高教师的安全意识,让教师把网络道德、安全意识融入到课堂,时刻提醒、引导学生;其次,开设网络道德教育选修课程或定期开设相关知识讲座,加强网络道德教育,提高网络安全意识,引导学生文明上网,帮助学生树立正确的网络观念;最后,对沉迷于不良网络平台的部分学生加强思想政治教育、加强管理、耐心疏导、结合家庭进行多方面干预,引导学生摆脱网络,建立良好的上网习惯、文明上网,提高安全意识,减少失范行为。(4)加强网络防范与检测、阻断恶意攻击为了阻断校内外的恶意攻击,应加强网络防范与检测。为了安全需求,选择的交换机应该支持多种硬件的安全防护技术,防DOS/DDOS攻击、防ARP攻击、交换机IP防扫描、关闭不必要的服务、可靠的管理认证、可靠的入网用户身份认证等多种技术保障校园网安全。同时,加强校园网出口防火墙管理,合理设置防火墙,一旦检测出恶意攻击和非法连接流量,限制其通过,对其进行阻断。这样软件加硬件同时工作,为校园网的正常运行提供了又一层屏障。(5)做好数据备份和应急预处理预案、保障校园网安全校园网管理过程中,数据备份是非常必要的,及时、高效的备份重要数据,可以尽量保障用户的利益。保障措施再精密也无法做到万无一失,在以上基础上,校方还应该制定完善的应急处理方案,一旦出现问题,能及时进行处理,保障校园网安全,把损失降到最低。
4结语
“互联网+”时代,高职院校校园网是一个动态的、不断发展的,高职院校校园网网络信息安全问题更是一个复杂的、多样的。各高职院校应结合自身校园网特性和自身需求,不断完善校园网的同时,加强管理、保障技术支持、提高学生网络安全意识,制定可行的安全实施方案,保证校园网安全、高效地运行。
参考文献:
[1]胡佑锋.互联网+时代下的网络信息安全挑战与思考[J].现代经济信息,2016.
[2]张文明.高职学生网络道德教育现状分析及对策研究[D].武汉:华中师范大学教育信息技术学院,2016.
篇8
建设校园网要经过周密的论证、谨慎的决策和紧张的施工。许多教训是当一堆设备变成网络的时候,学校的满腔热情也已冷却凝固;网建成了,问题也出现了:设计目标无法实现;应用软件缺乏,阻碍了设想实施;维护费用不堪承受等等。这就需要在网络建设实施前确定明确的设计目标。
1 设计目标
(1) 信息资源共享。通过校园网,实现学校内部,学校与国内、国际信息的快速交流,达到资源共享,促进教学、科研、管理事业的发展。
(2) 图书资料检索、借阅自动化。通过改造原有图书检索系统,建设电子图书馆,提高校内图书资料的利用率;充分利用校外图书资料,实现远程计算机图书检索和借阅。
(3) 学校管理系统的信息化、自动化。依托校园网,构建相应的交互式应用软件平台,实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化,实现统计监测网络化,提高管理效率和水平。实现网上招生、网上人才招聘、学生网上求职等。
(4) 建立计算机网络辅助教学系统。建立基于网络的电子教学CAI课件开发、视频点播(VOD)、网上题库、答疑与作业批改等计算机辅助教学系统,实现教学手段的现代化。
(5) 依托校园网、广域网开展远程教学。
(6) 创建学院网站,使之成为对外宣传的重要窗口,让世界了解我们,提高学院的知名度。
(7) 为广大师生提供宽松、开放、易用的网络环境,使网络进入日常工作和生活中,发挥网络的最大效用。
2 设计思想
(1) 系统性
校园网建设无疑是一个复杂的系统工程。网络的规划、设计、硬件建设、软件建设以及网络的使用、扩充等均以系统的眼光来看待。
(2) 先进性、实用性
校园网规划、设计尽可能地采用先进技术,同时也要兼顾技术的成熟性和实用性。计算机网络技术的发展一日千里,不考虑技术的先进性,无疑会形成建成不久即面临淘汰的局面。而一味追求先进,不考虑技术的成熟性,将存在巨大的风险。
(3) 开放性、发展性
系统的规划、设计应采用开放技术、开放结构、开放系统组件和开放用户接口,有良好的兼容性,以利于网络的维护、扩展、升级及与外界的沟通。
(4) 安全性
系统具有多层次的安全控制手段,完善的安全管理体系,防止受到黑客攻击和破坏。
(5) 易用性、可靠性
系统要求设计简单,层次清晰,软、硬件设备性能优良,功能完善,运行稳定、可靠,易于维护。
(6) 经济性
系统设计和资金投向合理,体现良好的性能价格比。力争少花钱,多办事。
(7) 统一规划,分步实施
3 方案解析
一个完整的校园网建设主要包括两个内容:技术方案设计;应用信息系统资源建设。
技术方案设计主要包括:结构化布线与设备选择、网络技术选型等;应用信息系统资源建设主要包括:内部信息资源建设、外部信息资源建设等。这里我们介绍网络技术选型。
(1) 网络技术选型设计
目前,在局域网建设中,比较流行的技术有快速以太网(100BASE-T)、光纤分布数据接口(FDDI)、千兆位以太网(1000BASE-T)和异步传输模式(ATM)。
经综合各方面的因素考虑,校园网建设一般采用千兆位以太网技术。在实际构筑中采用三层结构。最下层到桌面为100Mb/s以太网;第二层为楼内各楼层到二级交换机,由100Mb/s的交换式快速以太网构成;各楼到网络中心(即主干)为以光缆为介质的千兆位以太网。一级交换设备具有ATM端口,二级交换设备支持ATM端口模块,可以方便地向ATM网过度。
(2) 内部信息资源建设
内部信息资源建设可分为以下几个模块:校长查询、学生管理、课程管理、思教管理、教工管理、党务管理、工资管理、财产管理、档案管理、文件管理等,各模块的功能在此不作赘述。
(3) 外部信息资源建设
外部信息资源建设应包括以下几个功能:Internet功能、远程访问功能、电子邮件功能、以多媒体方式介绍学校的功能、讨论和交流功能、信息功能。各项功能均可通过相应的网络信息平台实现。在此亦不做详细描述。
学校的网络化建设必然会对学校的信息化建设起到巨大的推动作用,同时提供简单、有效、便捷的理想办公、教学环境。校园网一方面缩短了学校与外界的距离;另一方面,构建了以 Intranet为基础的管理信息系统,推动了学校的信息化建设。随着校园网建设的普及应用,学校最终将迎来科学管理和教学的新时代。
参考文献
[1]傅秀斌.将E-learning进行到底.中国教育网络,2004,(6).
篇9
关键词: 校园网规划 网络设计 拓扑结构 VLAN划分 设备选型
一、项目背景
(一)校园网综述
校园网是为学校教师、学生提供教学、科研和综合信息服务的宽带多媒体网络。校园网应为学校教学、科研提供先进的信息化教学环境,这就要求校园网具有一个宽带、交互功能和专业很强的局域网络。
(二)某高校校园网介绍
某大学目前有两个校区:本部校区和分部校区,两个校区之间通过专有光纤连接,统一出口在本部校区,分为教育网出口和电信网出口。本部校区是一栋现代化综合办公大楼,其中1―6楼、9―21楼为办公区域,7―8楼为学生机房,10楼为中心机房。分部校区是一个包含了办公楼、实验楼、艺术楼等的校园环境。在现代教学需要的情况下,拟建立起现代的校园网。网络建成后,可以完成互联网、校园信息交流,多媒体、网络教学,学生学习等功能。
二、需求分析
(一)综合布线分析
此次校园网建设中,分部校区的网络采用升级改造的方式,主要以维护原有网络为主。改变其接入方式为与本部校区统一出口。分部校区各楼栋之间采用光纤连接,其中实验楼与办公楼网络中心之间仍然保留原有的UTP双绞线。楼内布线则采用UTP双绞线将桌面PC连至网络中心交换机,实现百兆到桌面的连接速度。对于本部校区新大楼,则整体设计其布线方案,包括了1―6层的办公室、教室、电子阅览室,7―8层的计算机房,9―10层、21层的办公室,以及10层的网络中心机房。垂直布线系统采用楼宇内软光纤,水平布线系统则采用泛达的6类UTP双绞线,理论上支持1000M到桌面的连接速度。
(二)网络结构分析
在两个校区的整体网络设计方案中,我们采用了1个防火墙、2个核心交换机(采用VSS新技术互联)、6个汇聚交换机和若干台接入交换机。其中本部校区包括了服务器区汇聚、1―6层网络的汇聚、7―8层机房网络的汇聚与9层以上的网络汇聚,分部校区则包括了办公楼的汇聚,主要负责各楼栋办公室的网络;实验楼的汇聚,主要负责各楼栋机房的网络。两个校区之间用两个Cisco Catalyst 6509,采用最新的VSS技术进行连接,可以实现更高速的交换和线路备份,确保校区之间网络的稳定运行。
(三)网络安全分析
从网络结构来看,服务器区域提供了极其重要的应用,属于最易被攻击的区域,所以我们应考虑介绍好的硬件防火墙和入侵防御系统,以保护该区域。另外为了防止校园网内部病毒泛滥,考虑部署网络版杀毒软件,对终端机器统一管理。最后,为了防止校园网机器之间相互攻击,必须有方便、直观的监控设备,以及时地发现问题并解决问题。
三、系统设计
(一)设计方案
1.VLAN和子网的划分
虚拟网络(VLAN,Virtual Local Area Network)是指一个根据功能、用途、工作组及应用等因素将用户从逻辑上划分为一个相对独立的网络,是一个可跨越不同网段、不同网络、不同位置的端到端的逻辑网络。
对于某高校校园网,我们根据功能需求可以分为以下几个大类:办公室网络、教室网络、机房网络,以及一卡通网络。这四大部分相对独立,特别是一卡通网络的安全要求比较高,所以在实际应用中还需要制定相应的访问策略来保证其安全性。
2.网络拓扑图
网络拓扑(Topology)结构是指用传输介质互连各种设备的物理布局,指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。网络拓扑图是最能够直观反映网络情况的工具,所以在校园网前期规划中是极其重要的,它将是后期施工和部署的重要参考依据,也是未来网络维护和管理的重要依据。
(二)设备选型
整个校园网的建设目标要达到“万兆主干,百兆桌面”,根据学校地理位置分布情况设计校园网。
1.核心层
在选择网络设备之前一定要估算它承载的信息流量。目前还没有任何精确估算的方法,但可以把网络看作一个黑箱,考虑位于网络边缘的计算机设备在突发性很强的情况下,全部以线速通过黑箱网络交换信息,以此计算大致流量。
Cisco Catalyst 6509E 是 Cisco Catalyst 6509 系列中的一员。Cisco Catalyst 6509 系列可以提供无阻塞的第 2/3/4层交换和集成化的永续性,因而能进一步加强对融合网络的控制,具有更高可用性的语音、视频和数据网络,能够为正在部署基于互联网业务应用的企业和城域以太网客户提供业务永续性。
2.汇聚层
汇聚层对即将接入层交换机的数据进行汇聚,对上通过高速接口将数据传输到核心交换机,起着承上启下的作用。设计汇聚层时,根据汇聚层的主要功能,我们应充分考虑以下几点:汇聚层设备要有足够的带宽;具有三层和多层交换特性;具有灵活多样的业务能力;必须具有冗余和负载均衡能力。
基于以上分析和校园网的实际情况,选择Cisco Catalyst 3560E系列三层交换机作为汇聚层交换机。其中具体端口数量规格根据网络需要来决定。主要有WS―C3560E―12SD―S和WS―C3560E―48TD―S两种选择。
3.接入层
接入层为用户提供对网络中本地网段的访问,它的主要作用是将工作组与汇聚层连接起来,主要完成逻辑网络分段、基于工作组或LAN隔离广播通信,以及在多个CPU之间分布服务。
接入层设备在市场上可选择性很大,有很多品牌都能满足要求。但是考虑到为了方便、快捷地完成系统集成和日后可管理性、升级性,我们仍然选用和核心层、汇聚层同一品牌。虽然价格较其他品牌贵了一些,可带来的方便性是不言而喻的。因此,在接入交换机上选择Cisco Catalyst 3560 24/48 TS交换机。
4.防火墙
防火墙是一种将内部网络和外部网络分开的方法,是提供信息安全服务,实现网络和信息安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取、信息传递等操作。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和外部网之间的任何活动,保证了内部网络的安全。
防火墙对于局域网络的安全至关重要,在选择上要慎重考虑。既要有效保护内部网络的安全,又要注重性价比,还要考虑其可升级性。因此,我们结合诸多实际情况,特选用Juniper厂商的硬件防火墙:NetScreen ISG 2000,其卓越的性能足以保护校园网内电脑和服务器的安全。
5.网络监控防御
在网络设计中,我们必须要考虑的一个部分就是如何及时地发现和解决出现的问题。思科安全监控分析和响应系统(MARS)是一个高性能、可扩展的威胁管理、监控和防御设备系列,将传统安全事件监控与网络智能、上下文关联、因素分析、异常流量检测、热点识别和自动防御功能相结合,可帮助客户更为高效地使用网络和安全设备。通过结合这些功能,思科安全MARS可以准确识别和消除网络攻击且保持网络的安全策略符合性。
对于服务器区的保护,我们选用Cisco的IPS(入侵防御系统),目的是对访问服务器的流量进行深入检测,过滤攻击和非法数据包,减轻服务器和网络的负载,提供更好、更稳定的网络服务。
(三)网络管理
对大中型网络而言,更需要合理、有效的组织体系和规章制度。随着信息网络规模的日益扩大,结构日趋复杂,计算机网络的管理和维护难度也会越来越大,这就要求有智能化、标准化网络挂零技术,而且要求实现对多厂商设备的统一管理,监控全网健康状况,为网管提供网络调整的依据。
根据校园网的设计方案,我们在采购硬件管理设备的基础之上,还选择了一些开源或者免费的管理系统,例如Cacti、Zenoss等。
(四)网络安全
网络安全是阻碍网络发展的一个重要因素,在校园网络的建设中,网络安全也是需要重点考虑的一个方面。网络安全主要分为内部网络安全和外部网络安全,现在大多数网络建设都使用防火墙,但多数防火墙都只能对外网安全进行控制。网络在边界有强大的防火墙,而网络内部却没有很好的监控就不能算作一个安全网络。
1.防火墙部署
我们在Internet与校园网内网之间部署一台NetScreen ISG2000防火墙,成为内外网之间一道牢固的安全屏障。其中WWW、MAIL、DNS等对外服务器连接在防火墙的DMZ区,与内、外网间进行隔离,内网口连接校园网内网交换机,外网口与Internet连接。那么,通过Internet进来的公众用户只能访问到对外公开的一些服务,既保护内网资源不被外部非授权用户非法访问或破坏,又可以阻止内部用户对外部不良资源的滥用,并能够对发生在网络中的安全事件进行跟踪和审计。
2.入侵防御系统部署
入侵防御能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵防御体系可以弥补防火墙相对静态防御的不足。根据学校网络的特点,我们采用Cisco入侵防御系统IPS―4260,对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。具体来讲,就是将Cisco IPS―4260入侵防御硬件接入到防火墙与服务器汇聚交换机之间,所有访问服务器的数据都经过IPS进行过滤。Cisco IPS―4260入侵防御系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,Cisco IPS―4260可以发出实时报警,使得管理员能够及时采取应对措施。
四、结语
本文通过分析某高校校园网的现状、水平和发展趋势,提出了一种以万兆以太网的星型连接为基础,以高速千兆主干网为网络系统核心,具有10000Mbps速率的主干,100Mbps到桌面的大型校园网解决方案。
主要网络设备选择注重性能价格比,采用成熟可靠的技术为学校设计成一个技术先进、简单易用、性能优秀、可升级扩展的校园网络。在网络设计的先进性、现实性、可靠性、保密性、易管理与维护、易扩充性方面,我们制定了一系列具有针对性的可行性方案,力求主要网络设备安全、稳定、可靠、技术先进、便于维护和管理。
参考文献:
[1]于祥.谈谈校园网络建设[J].科学教育,2004,5.
[2]周兆祥.校园网络的安全[J].广西大学学报(自然科学版),第30卷第3期.
[3]方芳.校园网建设的规划与研究[J].中南民族学院学报(自然科学版),第20卷增刊.
[4]童舜海.校园网建设的规划问题[J].福建电脑,2003,8.
篇10
关键词 校园网 设计方案 组网
中图分类号:G712 文献标识码:A DOI:10.16400/ki.kjdkx.2015.05.011
Hubei Land Resources Vocational College Campus
Network Planning and Design
HU Zhifang
(Hubei Land Resources Vocational College, Wuhan, Hubei 430090)
Abstract In the increasingly well-developed network technology today has become a college campus network daily office, important service platform management, teaching resource library construction, digital libraries and other needs, the paper focuses on the actual situation of school, from the campus network needs analysis, the campus network several aspects of the network structure, network topology describes the overall planning, planning and design of the campus network.
Key words network; design program; networking
1 校园网背景概述
湖北国土资源职业学院由于新校区搬迁,为了保证多媒体教学的顺利进行,满足教科研工作的持续进行,建设一个功能完善的校园网已成为新校区建设的重要工作之一。校园网连接校内各建筑物,包括图文信息中心、教学楼、实验楼、系(部)办公楼,学生食堂、学生宿舍、教职工宿舍、门卫室、体育场等,并考虑校园整体规划中二期工程待建建筑物的预留。
在新的校园网建设中,要摒弃原来校园网中存在的弊端,如:校园网络结构相对简单,各部门相对孤立,不能实现资源共享。学校的网络安全存在隐患,没有良好的分层设计和管理制度,网络速度慢,稳定性差等。另建设一个满足师生教科研要求的校园网。
2 校园网功能需求分析
校园网建设的主要目的是要实现以下功能:(1)网络公共服务平台。包括DNS服务、WEB服务、FTP服务、流媒体服务、邮件服务等。(2)智能化校园管理信息系统。包括:教学管理信息系统、学生工作管理信息系统、招生管理信息系统、迎新管理信息系统、设备资产管理信息系统、科研管理信息系统等。(3)网络教学平台系统,数据中心平台及数字资源管理平台。(4)图书管理系统,数字化图书馆。(5)校园“一卡通”系统。
3 校园网建设方案
3.1 校园网的覆盖范围
校园网连接校内各建筑物,包括图文信息中心、教学楼、实验楼、系(部)办公楼,学生食堂、学生宿舍、教职工宿舍、门卫室、体育场等,并考虑校园整体规划中二期工程待建建筑物预留。校园网总结点数约2100个,其中网络设备85个结点,服务器设备30个结点,无盘工作站1200个结点,有盘工作站900个结点,基于网络的一卡通、门禁。
3.2 校园网网络结构
校园网分为核心层、汇聚层、接入层三层。核心层由2台10万兆三层交换机及数据核心交换机组成,核心层设备间由多路万兆链路连接。两台核心交换机分别架设于图文信息中心和实验楼。
汇聚层由9台汇聚交换机组成,其中学院自购6台,架设在图文信息中心、实验楼、教学楼、系(部)办公楼,相关营运商购置2台,安放在学生宿舍楼和教职工宿舍楼,学生食堂、门卫、体育场汇聚交换机采用老校区校园网核心设备。各汇聚交换机根据需要通过单万兆或多万兆链路连接至核心交换机。学生食堂各交换机通过单千兆或多千兆光链路连接至教学楼汇聚交换机。
接入层由若干台全1000M或100M二层交换机组成,其数量根据需要确定,其中全1000M交换机主要用于无盘工作站连接。接入层交换机以单1000M、多1000M或万兆连接至汇聚交换机
3.3 网络拓扑
校园网网络拓扑图如图1。
校园网整体采用10G以太网技术,其基本拓扑为总线型网络拓扑,用交换机连接为星形拓扑结构。核心至汇聚、汇聚至接入层,均采用单模光纤连接,在保证校园网性能高速、稳定的前提下,方便今后仅需更换交换机毋须重新布线简单升级到更高性能的网络。
从接入交换机到各信息点均采用六类双绞线连接,以适应无盘工作站高数据传输速率的需要。服务器群通过万兆数据中心交换机汇聚后通过多万兆链路连接至核心交换机。
使用独立流控设备进行流量控制和上网行为控制。网络出口使用双路出口,分别上连至教育科研网和公众网。配置网络监控设备,能够实行上网日志记录。能够实现上网用户认证管理。
3.4 主干线路要求
汇聚交换机与接入交换机间配置光纤模块,采用光纤线路连接,汇聚设备尽量保证与学院使用设备为同一生产厂产品。各信息点布线电缆采用6类双绞线。主干线路光纤连接如图2所示。
线路说明:(1)图文信息中心与实验楼间布设2根48芯单模光纤。(2)图文信息中心至办公楼1采用8芯光纤;(3)办公楼之间均采用4芯多模光纤;(4)实验楼至教学楼、学生食堂采用12芯单模光纤;(5)学生食堂至学生服务区 、教学楼至教学职工超市采用8芯单模光纤;(6)教职工超市至运动场、图文信息中心至门卫采用4芯单模光纤;(7)各楼宇采用光纤光纤直熔方式分别连至核心图文和实验楼;(8)学生宿舍及教职工宿舍分别用8芯单模光纤连接到电信机房。
4 结束语
校园网是保证学院日常教学的重要组成部分,本文针对学院实际环境,从校园网建设应满足的要求,校园网结构等几个方面出发制定了整体方案,在设备及线路选择上也考虑到了日后校园网的扩展,对于网络现阶段的正常运转及今后的升级改造都具有重要意义。
参考文献
[1] 易建勋.计算机网络设计[M].北京:人民邮电出版社,2011.
- 上一篇:多媒体技术的基本概念
- 下一篇:对外贸易存在的问题