校园网网络设计方案范文
时间:2024-04-12 17:54:51
导语:如何才能写好一篇校园网网络设计方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
一、 校园地理环境
我校分为南北两个校区,南区为教学区,包括:三栋教学楼、一栋图书馆、一栋教师办公楼、一栋教工宿舍、两栋学生宿舍;北区为实训中心,与南区相隔一条街道,包括:南北两栋实训楼。
二、校园网功能需求
学校是以现代化手段培养人才的地方。为了更好地使计算机及其网络在辅助教学、教学管理等方面发挥作用,我校计划在校内建立校园网,并与国际互联网相连。
校园网的信息点应该普及两个校园区所有教学楼的教室,实训中心的电脑室、实训室,教师办公楼,图书馆,宿舍楼等,同时教室办公楼应该提供无线网络接入。校园内每个信息点的电脑都可以相互访问,实现广泛的软件、硬件资源共享;同时每个信息点的电脑都能接入互联网,提供基本的Internet网络服务功能,如电子邮件、对外个人主页服务、ftp服务、域名服务等。
三、校园网网络规划设计
1.综合布线结构
根据学校的地理位置,各栋建筑物到网络中心的距离,以及数据的流量,采取光纤+超五类综合布线系统。
(1)主干网。网络中心在图书馆四楼,对于南区教学区,因为每栋楼到网络中心都在400米左右,所以每栋楼的交换机都用12芯的室外多模光缆与网络中心的核心交换机连接;而北区实训中心因为离网络中心太远,南北楼的交换机用12芯的室外单模光缆与网络中心的核心交换机连接。主干网是由光纤构成的1000M网。
(2)楼内网。每栋楼的交换机都放在四楼中间的一间房间里,各个信息点到交换机的距离都在100米内,楼内的布线用超五类线,为每间教室、实训室、办公室等提供两个信息点。楼里面则构成10―100M的网络。
2.设备选型
网络设备必须在技术上具有先进性、通用性,必须便于管理、维护。网络设备应该满足学校现有计算机设备的高速接入,应该具备未来良好的可扩展性、可升级性,保护学校的投资。网络设备必须在满足功能与性能的基础上价格最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须有良好的市场形象与售后技术支持。
根据多方面的考虑,我们确定选用华为三康的设备,路由器用MSR30-40,防火墙用F-1000A,核心交换机用S-7506,各栋楼的接入交换机用E-126A。这些设备完全满足校园各种功能需要,同时也满足未来扩展的需要。
3.Internet接入
根据对全校总出口流量的估算,为确保内部网站和外部网站的连接畅通,我们用电信20M带宽的光纤专线接入,有一个Internet固定的IP地址,所有计算机都通过NAT(网络地址转换)进入Internet。
4.VLAN规划
VLAN为虚拟局域网,它有如下优势:抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于这些优点,我们按照各栋楼的不同情况对交换机进行VLAN划分,具体是:VLAN1―设备管理、VLAN10―图书馆、VLAN11―教师办公楼、VLAN12―实训中心南、VLAN13―实训中心北、VLAN14―4号教学楼、VLAN15―5号教学楼、VLAN16―1号教学楼、VLAN17―教工宿舍。
5.路由规划
核心三层交换机S-7506实现VLAN之间的相互访问。对于三层交换机来讲,所有VLAN(网段)都是直连的,因此只需要启动路由,而不需要设置额外的静态或动态路由条目。我们在S-7506中创建VLAN 10至VLAN 17,并把与接入层交换机光纤连接的光纤端口添加到对应的VLAN中,同时给VLAN端口添加对应的网关IP作为虚拟端口的IP地址,实现整个校园网不同网段之间的相互访问。
6.无线接入
充分利用计算机辅助教学及利用网络软硬件的资源共享,是校园网为教学服务的一大特点,我校教师每人配备了一台手提电脑,手提电脑接入校园网,采取无线接入的方式。
构建“无线漫游”接入区,在办公楼放置三个TP-LINK841无线路由器,SSID都是BanGong,频道则分别为1、6、11三个互不干预的频道,不加密码是开放式,开启DHCP,地址池IP为192.168.1.50/24―192.168.1.200/24,这样教师可以很方便地接入到校园网。
7.开放计算机机房
学校内有大量的各种各样的开放式机房,是学生学习计算机的场所,通常这些计算机连成一个局域网,除具备一般的互访外,通常还要求这些计算机能够访问到Internet。为满足教学要求,我们作了如下规划:(1)IP地址用私有C类192.168.0.0/24。(2)实现Internet访问,实际上是一个局域网PC如何共享上网的问题。在每一个机房部署一个信息点,相当于Internet出口,用服务器的方式通过信息点接入校园网,从而实现访问Internet。
8.对外站点
对于一些外部站点的问题,通常放置在DMZ区内,DMZ区的安全等级高于外网,低于内网,防火墙的默认规则是允许安全等级高的访问安全等级低的,禁止安全等级低的访问安全等级高的。因此,防火墙不需要设置规则就可以实现内网访问到DMZ区,但外网不能访问到DMZ区。对于学校来讲,WWW站点的主要目的就是对外信息,必须让外网能够访问到,为了到达这个目的,可以在防火墙上添加一些规则,开放DMZ区所在服务器的IP,以及相应的端口。在DMZ区放置学校的服务器:邮件服务器、WWW服务器、数据服务器、文件服务器。
四、网络安全及管理需求
校园网是巨大的资源中心,存放着各方面的信息资源,涉及学校的方方面面,同时,校园网又是一个开放的系统,有不同的人员在校内或校外访问它,因此,校园网的建立不仅是网络硬件和应用的建立,还应该特别重视校园网的安全问题。网络安全是一个体系结构,涉及整个办公环境的各个方面,包括人员和设备,信息的驻留点,以及沿途经过的各个中间环节,从物理层到应用层都要小心对待。
1.设备级安全
包括网络中所有可管理的网络设备、服务器和网管工作站的安全。设备级安全是网络的第一道屏障,严格限制能够远程管理(包括Telnet方式和Web方式)网络设备的IP地址列表,必要时关闭部分或全部远程管理功能;对于核心网络设备,如骨干交换机和路由器,建议不设远程管理IP地址。
2.传输级安全
指敏感数据在传输线路中防止中途窃取或修改的安全性。解决办法包括室外线路尽可能采用无辐射抗干扰的光纤作为传输介质,室内明线使用屏蔽双绞线,中心机房加装屏蔽网,对远程传输的信息进行加密等。
3.网络层安全
是网络安全设计中的重要一环。网络层攻击是黑客最常用的攻击方式,如外部入侵。对付这种攻击方式最典型的解决方案是使用软件或硬件防火墙进行内外隔离,同时内网采用保留IP地址,访问外网时进行NAT转换(网络地址转换)。除了防止外部入侵外,也要注意防止内部的越权访问和故意破坏,一般在VLAN之间进行访问控制。
4.应用级安全
包括防病毒和认证体系。近年来病毒多如牛毛,如:熊猫烧香、ARP地址欺骗等。对于病毒问题,有效的解决方法是安装网络防病毒软件,修补系统漏洞。同时也要防范因内部人员不经意或故意“环路”,形成的“网络震荡”,解决办法是设置交换机STP协议(生成树协议)。
校园网是一个比较大型的网络,为了保证校园网更加有效、可靠地运行,我们配置了一台网络管理工作站,以便更有效地对校园网进行管理。根据网络设备选型,我们选择华为三康管理软件,同时用第三方管理软件一起管理网络,主要是solarwinds-toolset工具箱V9.2、超级PING、Sniffer Portable 4.8这三个软件。
五、方案规划设计特点
该校园网方案采用成熟的先进的技术,采用国际统一标准有广泛的支持厂商;所有设备都用华为三康一线产品。Internet带宽合理,确保网络不出现“塞车”现象;设置三层核心交换机,将整个网络划分为多个VLAN,从而使网络更加安全;同时本方案充分考虑了网络未来的升级与发展,把网络主干网构成了信息高速网,对未来的发展非常有利。
篇2
关键词:校园网 网络安全 防御系统
一、网络安全防御系统使用的鉴别认证机制
在整个网络防御系统中,使用了两种鉴别认证机制。
1.从网络部分而言,通过SSL加密通道以及证书机关,对使用本系统提供的Web服务的用户进行服务器与外部用户间的双向鉴别,其实质是利用了公钥体制的技术,结合证书机关对服务器和用户发放的证书,实施鉴别。
2.系统鉴别部分则是利用了安全操作系统提供的鉴别机制,采用了IC卡的方式对所有内部用户进行身份鉴别,所有内部用户的IC卡均通过统一的发卡中心发放,只有持卡用户才能够进入服务器,而网络用户是无法通过普通的远程登录进入服务器的,从而保证了服务器的登录安全。
二、网络安全防御系统采用安全操作系统的要求
在整个防御系统的所有服务器中要使用安全操作系统,该系统应具有以下多种安全特性。
1.登录控制
我们将登录控制分为基于IC卡的本地系统登录控制和基于安全存储介质的远程登录系统控制。目的都是使不合法用户不能登录进某一系统,从而避免不合法用户对系统造成安全事故。
(1)基于IC卡的本地系统登录控制
整个系统有一个发卡中心。发卡中心为用户生成用户卡,持有用户卡的用户可以在一定范围(由发卡中心限制)的计算机上登录。持有root身份用户卡的系统管理员可以在每台计算机上动态的控制每一个用户在该机上的登录访问。
(2)基于安全存储介质的远程登录系统控制
登录控制是系统安全中最基本的一个环节,它是一个系统的门户,一个好的登录控制系统可以有效的阻击大部分的入侵者的攻击。Chinissh-0.1是一个基于安全shell(SSH1.0. SSH2.0 )协议的远程登录软件,它可以实现在不安全的信道上进行安全的通信。主要是通过在网络上将信息以密文形式传送达到安全目的。
2.进程权限控制
程序权限控制是系统中防止非法使用的第一道防线,Chini-os特权控制用户界面向系统安全员SSO提供操作,维护系统中文件和用户特权的接口。SSO首先要通过身份验证才能使用此界面。
Chini-os特权控制用户界面有如下4个功能:
(1)用户程序对系统调用的访问。
(2)为系统中每一个可执行的程序分配其系统调用访问权限。
(3)为每一个用户分配其使用的系统调用访问权限。
(4)兼容现有应用程序。
3.系统完整性保护
Chini_FID是系统管理员和用户监视被指定保护文件或目录是否发生改变的完整性检测工具,利用这个工具可以检测系统被保护文件是否遭到恶意的破坏,包括文件的删除、添加和修改,比如攻击者是否在某个应用程序中驻留了“特洛伊木马”,是否修改了某个文件的属性等。管理员可以随时对系统进行检测也可以向系统提交定时任务定时对系统进行检测,Chini_FID可以将检测结果以邮件方式通知管理员哪些文件发生了改变,以便及时采取控制措施避免损失。
4.加密模块
加密模块分为用户空间通用加密接口和核心空间加密模块。分别用于用户态和核心态模式。
(1)用户空间通用加密接口
Chini Sec Interface可用于各种计算机安全应用,它介于各种应用系统和各种算法模块之间,对上层应用简化了各种安全接口、对下层算法模块做出了相应的规范。利用Chini Sec Interface,开发应用的软件商可以专注于应用系统的开发,无须过多地考虑算法,可在不修改应用的情况下方便地变换算法;生产算法的厂商可专注于算法的软硬件实现,无须考虑各种应用的实现。
(2)核心空间加密模块
核心模块加解密时调用算法管理模块函数,算法管理模块再调用各种算法函数,通过这些算法函数完成加解密功能。
5.网络安全
IP安全由IPSEC实现,己知的IPSEC具体实现有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:
(1)实现IP层的安全,保护IP数据包的安全。
(2)保障主机和主机之间、网络安全网关(如路由器、防火墙)之间、主机和安全网关之间的数据包安全。
(3)实现对IP数据包的加密保护、鉴别验证、完整性保护、抗重播等。
6.加密文件系统
对于安全敏感数据,必须采取安全的存储方法保证数据的安全。我们的加密文件系统能够对该文件系统中的文件提供加密保护,不知道口令的人不可能装载该文件系统,主机或硬盘丢失后,其他人不能读取其中的数据。
7.安全审计
在Linux日志系统的基础上,采用密码体系中的认证技术,在系统产生日志文件的同时产生相应的保护文件Mac文件,日志系统每产生一条日志记录,在相应的Mac文件中就有此记录的Mac项,来对日志文件提供完整性保护。安全审计的功能表现在:
(1)产生日志文件。
(2)使用完整性验证程序可以验证系统日志文件和备份日志的完整性。
(3)可以处理和分析系统日志。
三、周期性的安全扫描
由于网络环境中的设备多种多样,仅依靠安全操作系统并不能保证所有设备的安全性,所以需要定期对网上的各种设备实施安全扫描,来发现设备的软件实现中存在的可被攻击者利用的漏洞,以便及时弥补。安全扫描的基本工作原理就是模拟攻击,一旦攻击成功,就意味存在漏洞。
安全扫描的另一部分就是病毒防治功能。通过定期或是非定期的病毒扫描,防止病毒的进入和漫延。通过实时网上病毒扫描和防病毒软件的定期升级功能,防止引入新的病毒。
通过以上的网络,数据,以及系统三方面的种种安全技术手段,结合相关的安全产品,我们为校园网提供了一个完整的网络安全防御系统的解决方案,以达到保护自己的网络信息系统安全性的目的。
参考文献
篇3
关键词 校园网络;网络安全;原因;防范措施
中图分类号TP39 文献标识码A 文章编号1674-6708(2014)121-0230-01
1 影响高校数字网络安全的常见问题及其原因
目前,我国很多高校通过发展数字校园网络来实现高校的现代化建设,但制约校园网络发展的安全问题不可忽视。随着近几年网络安全事件的频繁发生,高校校园网也慢慢成为了关注的重点,高校校园网的安全对高校的管理、教学等产生了巨大的影响,解决高校网络安全问题已刻不容缓。下面笔者就影响高校数字网络安全的常见问题及其原因进行阐述。
第一,高校学生基本都不够成熟,网络安全意识相对薄弱。近几年,网络上的钓鱼网站、中奖信息到处都是,很多学生都还没有辨别真伪的能力,学生被骗事件时有发生,高校学生成为了行骗机构的重点对象,而且很多学生想找一份兼职,经不住骗子的诱惑。虽然我国互联网技术得到了空前发展,但很多学生都不怎么懂得计算机,尤其是来自于一些农村的学生,大多数都没接触过电脑,又怎么谈其网络安全意识。据了解,很多高校都没有具体的关于网络安全的课程,导致学生网络安全意识不强,无法辨别网络上信息的真伪。
第二,部分高校对校园网络安全没有好的管理,导致档案数据泄露。一些高校还没有认识到网络安全的重要性,没有建立完善的网络安全管理制度,没有好的评估网络系统安全性的手段,导致系统存在很多漏洞,大量信息就容易被篡改,甚至有一些重要的文档资料泄密,影响到正常的办公,使校园网络安全受到威胁。
第三,一些计算机容易受到黑客的攻击。现在计算机技术发展速度很快,很多计算机安全技术并未被研究出来,从而导致一些黑客利用每一次这样的机会,研究该系统存在的问题,对网络系统进行破坏。这种恶意的对计算机网络进行人为攻击是网络安全不可忽视的问题,黑客都擅长于对计算机进行病毒攻击,由于病毒破坏性、隐蔽性和潜伏性的特征,人们难以对其进行有效的处理,只有等其出现,才去采取有效的手段,只能坐以待毙。
第四,校园网容易受到病毒感染。一些教职工和学生在使用多媒体时,网络安全意识不够强,在U盘插在电脑上复制资料时,没有先检查自己存储器,导致有时候将病毒带入学校电脑,从而影响数字校园网络的正常使用,严重时使学校重要资料、档案外泄,甚至导致整个校园网络系统崩溃,严重干扰学校的管理与正常教学。
2 高校数字校园网络安全系统的设计方案
目前,完全解决数字校园网络的安全隐患是不可能的,因为开放的、虚拟的和自由的网络使人们无法预知将会发生什么。为了有效的保护校园网络,需要结合多种防护策略来实现。下面笔者就网络安全问题阐述一下几种方案。
第一,学校应该多开设关于网络安全的课程,加强对学生网络安全知识教育,提高学生的网络安全意识,让学生学会辨别网络陷阱。同时,加强对数字多媒体的管理,让学生与教职工能够安全的使用校园网络,避免有计算机病毒侵入学校网络管理系统,从而给学校的管理和教学带来不便。曾经就有人认为解决校园网络安全问题必要先提高学生的网络安全意识,这一点足以说明提高学生的网络安全意识是多么的重要。
第二,对学校的网络系统进行有效的管理,防止系统漏洞对网络造成不可估量的损坏。对此,学校可以加强对校园网络安全的风险评估,网络安全评估能够有效的预测网络系统可能受到危害的风险的大小,还能估计其带来的影响。而且它还能够对网络系统进行全面掌控,能够及时发现系统漏洞并有效的进行处理。要实现这一技术,需要结合检测网络漏洞、模拟网络攻击和对服务进程进行报告等技术,从而达到最大可能的降低校园安全隐患,帮助学校控制、管理好网络系统。
第三,对学校的电脑安装有效的安全卫士,并采用防火墙技术,尽可能大的消除网络安全风险。在数字校园的背景下,利用防火墙的技术,可以防止数字校园平台的出口被不法侵入,从而从根本上解决病毒从外面入侵的风险。同时,对校园网的资料进行加密技术,这样做可以很好的防止网络资料的泄露,并减小被篡改的可能性。对网页设置访问控制,从而保护校园网上的资源被非法使用。对此,可以采用身份认证的措施,对访问进行有效的管理,从而控制访问权限。
第四,学校应该建立完善的校园网络管理制度,这一点能够有效的保障校园网络的安全。同时组织学生对制度进行学生,加强学生对网络安全的认识,这对解决校园网络安全至关重要。目前,很多高校都缺少专门针对校园网络安全的制度,因此,在一些高校建立网络管理制度已经刻不容缓。
3结论
现如今,计算机网络技术飞速发展,数字校园已成为许多高校共同关注的话题,对提高学校的教学水平和综合实力产生了深远的影响。现在数字化校园网络安全是一个不容忽视的问题,保障校园网络安全既要有完善的管理措施,又要采取一些防毒软件、防火墙等技术。因此,只要我们合理的使用网络,不断了解网络安全的防范措施,才能真正保障校园网络的安全。
参考文献
[1]任戎.浅谈高校数字校园建设[J].网络安全技术与应用,2009(5).
篇4
关键词:校园网;方案;设计
1 综述
云南体育运动职业技术学院一期校园网网络是为了将分散在云南体育运动职业技术学院一期各栋大楼的各个班级、办公室及各训练网点集中到一个集中传输、集中监管的统一网络平台。
云南体育运动职业技术学院一期校园网网络建设是保证云南体育运动职业技术学院各个部门履行职能的关键,实现云南体育运动职业技术学院日常管理、工作的信息化,实现云南体育运动职业技术学院总系统与各个子系统之间的信息交换,实现多途径的对外信息,实现与因特网信息门户信息的同步等功能。
方案作为云南体育运动职业技术学院一期校园网网络系统的建设方案,为一框架型系统方案。
本次方案建议以国际通用标准为依据,结合市场需求和现有条件,网络的建设原则是高速、高带宽、高可靠性、技术先进、简单实用、节省投资。
2 总体方案设计
2.1需求分析
云南体育运动职业技术学院一期校园网网络分布在7栋大楼内;楼内已有部分布线;云南体育运动职业技术学院一期校园网网络应能连接到Internet;主干1000M光纤、10/100M到桌面;保护原有设备,使之能在新大楼继续使用;采用TCP/IP网络协议组网;易管理、易维护;提供QoS保证;要求支持IP Multicast ;价格低廉。
2.2 网络方案设计
2.2.1 系统设计原则
在系统设计时,主要应遵循以下原则:
实用性:建设网络系统是一项工程,而不是一项纯理论研究,因此应该注重经济实用。本方案的设计应充分满足系统现阶段应用功能和性能要求及可预见的增长需求,在保证系统安全可靠的前提下,尽可能选用物美价廉的产品。
先进性:计算机网络系统的结构比较复杂,只有具备足够先进性的总体设计,才能保证分步实施过程中仍能保持技术领先。本方案的设计宗旨是“立足今日,着眼未来”,在保证技术成熟的前提下,充分利用先进技术,满足现有需求,考虑潜在扩充。在设计中顺应主流技术发展,采用最先进的技术和设备,确保网络的高性能,同时也要采用成熟的技术,保证网络设备的稳定。
可靠性:主要从网络拓扑结构、网络设备和中心主服务器系统的可靠性来考虑。对于网络中心交换机,由于它在整个网络环境中最为关键,因此,需要考虑其冗余措施(或能力),根据资金情况可以选择实现电源、风扇、交换核心引擎等的冗余。
安全性:宽带网络系统是一个复杂的应用整体,系统应能提供一定的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作,保护网络建设者的合法利益。
可扩展性:网络的方案中需充分考虑系统的扩展性,使得系统具有充分的机制。方便各网点的扩展、业务量和业务种类的扩展,保证建设完成后的网络在向新的技术升级时,能保护现有的投资。
开放性和标准化:对计算机网络系统而言,建立一个可靠、高效、灵活的计算机网络,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互联,远程分部的互联,以及与相关信息系统网际互联,以充分共享资源。这些需求体现在系统设计上就是网络的开放性与标准化,既要求易于内部连接和外部通讯,又要求网络设备要具有与其它厂家设备互操作的能力。
易管理性:随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂。可以通过图形化的配置对网络进行虚网划分,设置各子网的访问权限,简化网络的管理。用户应能在中心机房通过网管工作站上友好的图形界面,实施网络的动态监测、配置、数据流量的分析等。
2.2.2 云南体育运动职业技术学院一期校园网网络拓扑结构设计
主干计划采用1000M光纤,并使用超5类线到桌面;共7栋楼;每个班至少配置2个信息点;
云南体育运动职业技术学院一期校园网网络拓扑(略)。
2.2.3 云南体育运动职业技术学院一期校园网网络Vlan、子网设计
云南体育运动职业技术学院一期校园网网络内有多个子网的需求,如:各个班级端口、财务端口、办公端口、管理端口等等。
各个子网如果独立建设的话,无疑将造成资源的浪费,也使网络的高带宽无用武之地。因此采用全网划分Vlan的方法无疑是最合适的子网建设方法。
要在全网实施跨楼层,跨设备的Vlan子网,需要全网交换机支持802.1Q标准的Vlan,并能支持足够数量的802.1Q标签。
每个Vlan可以是一个私有IP网段,如:172.16.56.0/24段,并在中心交换机上实施各个Vlan子网之间的路由和ACL访问控制。
2.2.4广域网安全连接设计
云南体育运动职业技术学院一期校园网网络的广域网安全连接主要就是Internet宽带接入。
Internet宽带接入:使用中国电信通过的商务光纤的Internet接入方式,配置一台路由器就可用于Internet宽带接入,而安全性则可以交给防火墙来实施。
Internet宽带接入设备配置(略)。
3 产品选型及价格构成
根据学院的需求及财务状况,设备选用了在校园网中已有多年经验的神州数据品牌。其价位和性能刚好可以满足本方案的要求。
3.1 网络设备:(略)
3.2 光纤产品:(略)
3.3 德国KRONE综合布线产品(略)
4 小结
本方案为一低价网络实施方案,根据学院实际需求而定制的一个框架型结构方案,有很强的拓展性和可操作性,因价格偏低,因而有很强的实用性。
参考文献
[1]廖常武,等.校园网组建――“校校通”工程系列[M].清华大学出版社,2005.
[2]黄勇,等.校园网应用技术[M].清华大学出版社,2005.
篇5
关键词 虚拟局域网;校园网络;安全体系
中图分类号TP39 文献标识码A 文章编号 1674-6708(2013)83-0202-02
1 网络安全体系的定义
通常情况下,为了能够保证校园网络运行的安全稳定,校园网的大部分数据资源都只允许在内部中完成访问。例如校园网络的OA系统、校内邮件系统等等,这些系统的访问和使用都必须在校园网内部操作,严重制约了教师、学生在个人家庭中通过访问校园网来收取学校通知、查看个人成绩、浏览校园新闻等功能。如果校园网内部应用服务器一旦发生了故障,如果专业管理人员此时也没有在学校时,就无法完成对校园网的维护操作,如果部分教师由于需要出差完成科研交流等工作时,也无法查看关于科研项目的校内数据资源。
网络安全体系指的是一套完整的计划设计,主要包括能够为网络用户提供安全稳定的服务;能够保证网络中所有系统的正常运行服务;对网络中系统的安全级别提出要求并完成设置。一套完整的网络安全体系中的必备设计原则有数据传输安全、计算机系统安全、网络用户安全、网络管理安全、物理架构安全等等,既要能够对恶意的外界入侵行为进行制止,还要能够同时应对网络中的其他安全威胁。
2 虚拟局域网关键技术
2.1用户认证技术
虚拟局域网中的用户身份核实确认大部分都是通过用户认证技术实现的,对系统用户进行相应授权之后能够保证控制访问资源。一般情况下,网络认证协议采用的都是报文摘要技术,主要是用于验证数据信息的完整性和对用户身份进行认证,通过利用哈希(HASH)函数将数据报文的长度进行一系列变换,使其能够成为固定长度的报文摘要,但是由于哈希函数自身的特性又难以在不同的报文信息中将报文摘要变换成固定长度。
2.2数据加密技术
虚拟局域网数据传输的过程中主要应用的是数据加密技术,来实现对数据的伪装和隐藏。但是,如果在传输的过程中数据信息经过互联网产生了安全威胁,那么即使已经通过了用户认证,也不能保证数据信息的安全传输。因此,在网络发送端应该将用户认证进行加密之后再完成数据信息的传输,在网络接收端通过用户认证之后再对数据信息进行解密。密钥类型主要包括对称加密和非对称加密两种,在实际应用中大多数采用的都是对称加密措施,如果是机密数据信息则采取公钥加密技术。
2.3访问控制技术
访问控制技术主要是对用户是否能够对系统发起访问进行控制,运行具有相应授权的用户访问系统资源,对没有授权的用户对系统资源发起访问和获取时立刻进行阻止。
3 校园网络安全体系设计
本文设计提出的基于虚拟局域网技术的校园网络安全体系设计方案主要是为了解决某高校老校区与新校区之间信息互通、资源共享、专网整合的问题,由此构建出一条专用的虚拟局域网安全通道,从而保证这些重要数据资源能够在校园网中安全稳定地传输。
3.1系统设计原则
1)安全保障
虚拟局域网系统的重要职能就是保证网络的安全稳定,以及在互联网传输过程中数据信息的安全可靠,因此,虚拟局域网系统的安全保证必须包括用户身份认证、数据信息保密和数据信息完整。
2)多平台兼容
虚拟局域网系统的关键功能就是要保证用户不受时间和地域的限制对系统资源发起访问,以及当用户进行移动办公时要保证网络连接的安全可靠。
3)访问控制权限
校园网的虚拟局域网系统主要是为多个应用程序提供保护的,因此要设置不同的用户访问控制策略,使得拥有不同权限的用户能够访问相应的系统资源。
4)平台管理简洁
虚拟局域网服务器应该为用户和系统管理员提供良好的应用管理操作界面,在方便用户对系统资源进行访问操作的同时,还要保证系统管理员的安全维护操作简单便捷,更要为服务器与用户之间的通问、安全日志等做好记录。
3.2系统功能模型
根据校园网络的实际安全需求和虚拟局域网系统的设计原则,虚拟局域网系统的功能模型主要包括用户身份认证模块、数据传输模块、访问控制模块和系统管理模块。
1)用户身份认证模块
虚拟局域网系统客户端通过采取数字证书的认证方式对用户身份进行核实;服务器对系统客户端进行认证时需要采取不同的认证方法,如果用户通过远程网络连接到虚拟局域网中,服务器则采用用户名+密码的认证方式对用户合法身份进行识别,在校园网内部则采取数字证书的方式对用户身份进行识别。
2)数据传输模块
数据传输模块的主要功能是采取相应加密算法对数据进行加密之后传输给接收方,以及对接收到的数据进行解密。
3)访问控制模块
访问控制模块主要是根据已经设置完成的访问控制策略来控制系统中的资源是否能够被用户进行访问和操作。
4)系统管理模块
系统管理模块主要负责对虚拟局域网系统服务器的日常服务信息进行记录,包括访问日期、访问时间、网络使用情况等等,并生成对应的日志报告。
3.3系统详细设计
本文提出的基于虚拟局域网技术的校园内部网设计方案如图1所示。
学校的新校区和老校区之间通过采用虚拟局域网技术,建立起一道校园内部虚拟局域网通道,将新校区与老校区利用光纤实现网络连接,将网络的出口端设置在新校区。校园网中的财务管理系统、人事管理系统和一卡通管理系统都需要通过同一个链路与新校区进行连接,因此,我们采用虚拟局域网网络安全标准对链路进行数据加密,从而保证通过这条链路传输的数据能够安全可靠。
校园网中的一般用户的访问控制策略安全级别的设置可以相对较低,一般用户安全级别如果设置过高则会耗费大量的系统资源,造成无法访问或网络瘫痪的情况出现。对于校园网中的财务管理部门、人事管理部门和后勤服务部门来说,应该采取两层架构隔离的方法接入到校园网中,再通过内部网关协议与核心交换机连接,从而保证在新校区与老校区之间实现数据加密传输。
4结论
综上所述,本文从校园网实际需求角度出发,将虚拟局域网技术应用到校园网建设当中,提出了一套校园网络安全体系设计方案,能够有效保证新校区与老校区之间的数据通信、数据共享和数据整合安全,具有较强的理论指导意义。
参考文献
篇6
【关键词】校园网;需求分析;设计方案;网络安全
一、校园网组建的需求分析
校园网在信息服务与应用方面应满足以下几个方面的需求:学校主页。学校应建立独立的WWW服务器,在网上提高学校主页等服务,包括学校概况、资讯中心、教学科研、组织机构、招生就业以及联系方式等查询类服务。同时考虑到师生之间共享软件,校园网还应提供文件传输服务(ftp)。文件传输服务器上存放各专业教学课件及各种各样自由软件和驱动程序,师生可以根据自己需要随时下载。校园网还应提供多媒体辅助点播教学兼远程教学即要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足学生同时访问时对带宽的基本需要。
二、校园网总体设计思路
校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构。校园网采用星形的网络拓扑结构,骨干网为100M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。传输介质也要适合建网需要。在楼宇之间采用100M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。同时还要遵循安全性原则,信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。第三个原则是灵活性和可扩充性:选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。第四是稳定性和可靠性,可靠性对于一个网络拓扑结构是至关重要的,在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。
校园网网络整体分为三个层次:核心层、汇聚层、接入层。为实现校区内的高速 互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担 了核心设备的部分压力,同时提高了网络的安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足需求。
三、综合布线设计
综合布线特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期,而且在设计、施工和维护方面有一定的便利性。
实用性:实施后的校园网控制系统,其所有的子系统,诸如综合布线系统,数据 通讯,都满足国际标准,具有良好的用户使用界面。并且,网络管理功能完善且方便使用。功能性:为校内教师提供快捷、开放、易于管理的数据信息基础传输平台,为实现无纸化办公创造条件,及时传递可靠、准确的各类重要信息,最终实现办公自动化系统(OA)。
先进性:布线系统应适应综合布线技术发展的潮流,能为数据及高清晰图像信息 提供高速及宽带的传输能力,适应异步传输模式(ATM)。各性能指标满足支持高带宽的100M、1000M以太网和异步传输(ATM)应用,满足宽带综合业务数字网(B-ISDN)的要求,支持复杂的多任务的ISDN、DDN、xDSL、X.25等分组交换接入应用,能实现校内各教学楼、办公楼与Internet等全球信息高速公路接轨的需求。布线系统要既能满足现阶段应用的需要,也能满足未来多媒体大量的声音、图像、数据传输的需要。
方便性:设备变迁时要有高度的灵活性、管理的方便性,能在设备布局和需要发生变化时实施灵活的线路管理,能够保证系统很容易扩充和升级而不必变动整体配线系统,能够提供有效的工具和手段,以简单、方便地进行线路的分析、检测和故障隔离,当故障发生时,可迅速找到故障点并加以排除。
可靠性:具有对环境的良好适应能力(如防尘、防火、防水),对温度、湿度、电磁场以及建筑物的振动等的适应能力。系统可方便地设置雷电、异常电流和电压保护装置,使设备免受破坏。
扩展性:适应未来网络发展的需要,系统的扩充升级容易。系统不仅能支持现有常规的计算机网络、电脑终端、电话、传真、摄像机、控制设备等通信需要,而且能支持未来的语音、视频、数据多网融合的局域网技术和接入网技术,具有适应未来需求,平稳过度到增强型分布技术的智能型布线系统。
四、网络安全与管理
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部, 如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。
计算机网络安全受到的威胁包括: “黑客”的攻击;计算机病毒;拒绝服务攻击 。为保障网络的安全,在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们应选购一套网络安全防范设备,即瑞星杀毒软件网络版,具有超强病毒查杀、智能主动防御、增强型全网漏洞管理等功能。同时还应安装瑞星企业级防火墙,瑞星全功能 NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。三是将瑞星入侵检测系统作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应) ,提高信息安全基础结构的完整性。
参考文献
篇7
关键词:校园网;网络安全;边界网
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 20-0000-01
Campus Network Security Export System
Li Caixia
(Henan Industry and Trade Vocational College,Zhengzhou450012,China)
Abstract:This paper analyzes the current university campus network exports a common problem,to address these issues,to explore the campus network security technology,hoping to build the campus boundaries to provide a high network bandwidth,security,smart,easy to manage campus network border network design.
Keywords:Campus network;Network security;Border Gateway
一、校园网建设、现状与安全需求分析
20世纪80年代以来,世界上几乎所有发达国家都已经建成了国家级的教育和科研计算机网络,并相互连成覆盖便于的国际性学术计算机网络。这种便于计算机信息网络环境,从根本上改变并促进了他们之间的信息交流、资源共享、科学计算和科研合作,成为这些国家教育和科研工作最重要的基础设施,从而促进了这些国家教育和科研事业的迅速发展。在这种情况下,1994年,国家计委正式批准“中国教育和科研计算机网CERNET示范工程”项目可行性报告,截至1994年底,CERNET主干网传输速率达到2.5-SGbpS,成为世界上最大国家级公益性计算机互联网。
校园网的建设也因CERNET的发展而得到了快速的发展。为充分利用优质教育资源,全国各个高校都建立了自己的校园网,通过接入中国教育科研网和与Internet的互联,实现网络通信和资源共享。校园网络作为学校重要的基础设施,担当着教学、科研、管理和对外交流等学多角色,它具有联结形式的多样性、终端分布不均匀性和网络的开放性和互联性等特征,这些特征带来了高校网络具有较高的复杂性,如何构建高性能、高带宽高、能支撑多种业务、安全、可靠、可管理的校园网络是高校建设部门普遍关心的重要问题。
随着网络应用的普及,网络用户不断增加,网络安全出口问题越来越明显,从而引起国内外专家和学者的广泛关注。国外目前校网出口瓶颈和安全问题主要表现在几个方面:(1)有限出口带宽和无限需求的矛盾,随着网络规模的日益扩大,校园出口的带宽远远不能满足用户的需求;(2)现在大部分高校都采用了双出口或者多出口设计,就是同时接入教育网和公网,但是在多出口情况下,如何保证各条链路带宽的充分利用,是各个高校需要解决的主要问题;(3)随着P2P技术的不断发展,在线网络视频,在线下载日益普及,迅雷、PPLive、BT、电驴等软件被校园网用户大量使用,这些软件的使用抢占了大量的出口带宽资源,导致大量无效流量占据大部分有限的网络资源,使得正常工作学习受到影响;(4)近几年来,随着校园网规模的不断扩大,面临的威胁也越来越大,校园网主页被挂马、被篡改,各类来自外网或者内网的病毒、木马、恶意软件和垃圾邮件的恶意扫描、入侵和攻击,网络威胁造成的危害和影响也越来越严重,校园网网络出口的安全防御设备面临着空前挑战;(5)移动办公远程访问面临挑战。目前高校的远程访问学校内部资源和应用的需要变得越来越迫切。如领导出差、学生放假、家住校外的教职工都需要在校园外部通过公网访问校园网内部办公系统及内部资源,这就需要构建既能实现远程访问,又能做好安全控制的校园网出口,这也给如何构建校园网出口带来新的挑战;(6)随着对学生上网实行收费,网络出口认证影响了访问速度,如何构建计费认证系统,也是网络出口需要研究的问题。
校园网络内部部署了众多的网络设备、服务器,保护这些设备的正常运行,维护主要业务系统的安全,是校园网络的基本安全需求。满足基本的安全要求,是网络成功运行的必要条件,在此基础上提供强有力的安全保障,是校园网络系统安全的重要原则。对于各种各样的网络攻击,如何在提供灵活且高效的网络通讯及信息服务的同时,抵御和发现网络攻击,并且提供跟踪攻击的手段,是校园网需要解决的问题。在对出口等重点区域进行安全部署的同时,必须更加全面的考虑安全问题,使整个网络从设备级的安全上升一个台阶,摆脱仅仅依靠局部来加强某个单点的全强度的手段。
二、网络安全体系建设规划
校园网络出口作为校园网与因特网连接的重要桥梁,伴随的高校规模的不断扩大,校园网出口瓶颈问题和出口的安全问题日益严重,如何较好地解决校园网出口瓶颈问题和出口的安全问题,保证对网络出口进行有效地访问控制并使其具有安全防御功能,成为各个高校在网络建设规划中需要解决的重要问题之一。(1)对于出口进行规范统一的管理,使校园网络安全体系能够得以实施。为校园网的安全提供最基础的保障;(2)终端安全防范措施,采用合理的网络安全出口拓朴结构,提高网络安全性能,包括出口区域、数据中心、服务器区域等;(3)整合CERNET(中国教育科研网)及本地ISP(Internet Service Provider)提供的网络资源和条件,使多出口接入Internet的优势得到最大程度的发挥,也即充分利用CERNET分配的IP地址资源和本地ISP的高速出口带宽资源;(4)进行合理的网络审计、计费、管理功能系统设计;(5)基于防火墙的入侵检测系统设计。(6)流量均衡问题,在多条链路上根据一定策略进行合理的流量分配,提高链路资源的利用效率。
最终通过有效合理的安全体系结构,建立一个高带宽、安全、智能、易管理的校园网。
参考文献:
[1]陈建.多出口校园网路由设计与优化分析设计[J].武汉科技学院学报,第19卷
[2]汪刚.多出口校园网路由技术的实现[J].南京工业职业技术学院学报,2004,4
[3]杨新泉,刘勇.基于VPN技术的多出口校园网的设计[J].计算机与网络,2010,3
[4]黄登玺.防火墙核心技术的研究和高安全等级防火墙的设计[J].计算机科学,2002
[5]Brian Caswell.Jay Beale.James C.Foster.Jeffey Posluns.Snort2.0 Intrusion Deteion[M].Syngress Publishiong,Inc,2003
[6]陆国丽.策略路由在多网络出口校园网中的应用[J].科技信息,2010,12
篇8
关键词 校园网建设 多出口设计 路由
中图分类号:TP3 文献标识码:A
网络应用技术的快速发展,给各院校校园网的进一步完善提供了技术条件,为了提高校园网的稳定性和安全性,对于校园网出口普遍采用多链路方式,同时还增加了宽带,多出口宽带的设计质量直接影响到校园网的运行效率,对其进行研究,具有重要的现实指导意义。
1校园网建设的目标和原则
校园网建设要达到的基本目标是实现信息资源的共享,基于校园网的信息资源共享平台的建立,不仅能够提高校内图书资源的利用率,还能够通过远程图书检索,充分利用校外资源,为广大师生创建一个自由、开放的网络环境,促进现代化网络教学的实现。校园网建设涉及到网络规划、软硬件建设、网络扩充等内容,校园网建设应遵循一定的原则,在实用性原则指导下,搭建高效、低成本的校园网络,确保校园网的可靠性,使校园网能够稳定运行,此外还要遵循扩展性、安全性等原则。要想达到上述要求,在校园网建设中,应兼顾到技术的先进性和成熟度,鉴于网络系统具有开放性特点,要想实现网络互联,就要遵循共同的标准,而随着网络使用规模的扩大,网络也需要增长,因此在校园网建设中要对用户需求进行分析和预测,如交换机多采用模块化结构设计,便于宽带和端口的扩展。
2校园网多出口宽带的设计
(1)多出口环境及路由策略
校园网通常有三个出口,即接入教育网、中国联通和中国电信获得的出口,这并不是一个简单的链路分配,多出口网络要充分发挥其在各自链路中的特性,充分利用网络资源,由于校园网的三个出口接入宽带时会存在明显的差距,因此要增加宽带,选择最优配置路径,重点要加强内外部流量的管理。多出口路由策略包括基于权重的策略、NAT流量处理策略、智能DNS内部资源访问策略,第一种路由策略是一种基于数据包IP地址的路由选择策略,实际上是一种包转发机制,鉴于校园网出口宽带不均的特点,要想实现多出口负载均衡,可选择Array APV设备来实现;第二种路由策略是一种由一个地址域映射到另一个地址域的标准办法,通过NAT功能将内部网络中的主机连接到公共域的主机中,即实现了IP地址的共用;第三种路由策略是针对网络宽带不足、访问速度缓慢的问题提出的,为充分利用现有ISP接入优势而应用智能DNS技术,通过减少路由转发次数来提高网络服务质量,该技术能够对访问网站的用户进行准确判断,然后将网站域名解析为不同的IP地址[2]。
(2)出口的安全设计
校园网建设需要遵循的一个重要原则就是安全性,因此要加强出口的安全设计,首先应加强校园网的出口管理,由于使用宽带资源需要一定的成本,教育网对一些网址的访问有一定的限制,为此要对校园网进行多出口宽带设计,以解决互联互通、平衡成本的问题,加强出口除了要控制成本支出外,还应依靠先进的技术对出口资源进行分配,对用户行为进行管理。再有就是出口防火墙的设置,端口级的防护多基于三层防火墙的设置,但是有些攻击并不是来自这三层,有鉴于此,校园网出口防火墙的设置也不应局限于这三层,应结合实际情况,采取防护措施。最后是对出口流量进行控制,P2P应用会占据大量的宽带资源,应通过控制设备来对其进行管理,相关技术主要是对宽带使用进行优化,解决不合理流量占用的问题,同时也能够在一定程度上减少安全隐患,提高用户的上网体验。
(3)多出口设计应用
多出口的网络访问容易出现找不到正确回指路由而难以对校内服务器进行访问的情况,因此,有必要采用基于源地址的路由策略来制定校内服务器的回指路由。为达到真实校园网运行环境的设计要求,现设计核心层、汇聚层、接入层等三层模型,对相对应的核心交换机、汇聚交换机和接入交换机进行设计。对于核心层的设计,鉴于其是校园网络系统的枢纽中心,应采用千兆以上的高宽带交换机,以及双机冗余热备份设备,同时也可以使用负载均衡功能,对网络性能加以改善;对于汇聚层的设计,主要分为两种情况,一种是单臂路由,选用普通的S1841路由器即可,另一种是三层交换器,应支持AS1上VLAN通信;对于接入层的设计,可采用千兆三层接入方式,使其具备线速三层交换等功能,整体设计要对IP地址进行规划,在此只对内外网路由的设计进行探讨,校园网系统比较复杂,并不适宜采用静态路由,建议采用OSPF路由协议,防止路由回环情况的发生,由于运营商不会提供外网路由的接入节点,对此只能采用静态路由方式,即在BR上启用多出口路由策略,然后指向内网。
3结论
结合校园网建设的目标和原则,在校园网建设中,应选取正确的路由策略,实践证明,多出口宽带设计不仅能够有效解决校园网络多出口的瓶颈问题,而且还使校园网的访问速度得以提升,由此可见,多出口相对自由的选择,有利于提升校园网的运行效率。
参考文献
[1] 郭静,林琳,肖诚.DNS服务在多出口校园网中的应用[J].电脑知识与技术,2011,10(2):17-19.
篇9
关键词:智慧校园;网络环境;设计;方案
中图分类号:G434 文献标识码:A 文章编号:1009-3044(2016)17-0263-03
Abstract: In reviewing the achievements of campus information construction of Anqing Normal University in 12th Five-Year, the existing problems and challenges are analyzed. Combined with cloud computing, mobile Internet, Internet of things, virtualization and other technologies, construction objectives of Smart campus are proposed, the application of key technologies in the construction of smart campus network environment are studied, network structure optimization, the implementation of wireless network coverage planning programs are designed, carrying all kinds of things in the network support platform and a one-stop intelligent information management platforms are built. It provides a design scheme for the construction of the campus information network environment during 13th Five-Year.
Key words: intelligent campus; network environment; design; scheme
1 概述
基于云计算、物联网、虚拟化等技术的综合运用,智慧校园是数字校园的扩展与提升,是学校信息化发展的高级阶段。智慧校园通过与物联网相融合,实现对人、财、物等环境的主动感知;通过与无线网络的相融合,实现网络的无缝互联;通过提供的统一、便捷、智能化的信息应用和资源,实现个性化服务;通过校园网内外环境的融合开放、资源支持和空间拓展,构建开放的网络环境。网络环境的规划与建设是智慧校园的基础平台,本文在回顾安庆师范大学数十年信息化建设综合成就的基础上,面向十三五规划,研究并分析智慧校园网络环境的设计与实现。
安庆师范大学校园网络为扁平化大二层结构,网络主干万兆互联,有线网络全校覆盖,无线网络覆盖全校教学办公区域;全网交换机超过350台,校园网各类服务器超过80余台,信息点超过12000个,无线AP近714个,注册用户数30000人;校园网络提供四个出口(中国电信、中国移动、中国联通、教育科研计算机网络(含IPV6)),总带宽5.5G;提供DNS、WWW、E-Mail、VPN、FTP、VOD、OA、教务管理系统、科研管理、图书管理系统、学生管理系统、财务管理系统、国有资产管理系统、网络教学平台等应用服务;网络出口部署万兆防火墙、上网行为审计系统、网络管理平台、身份认证计费系统等;2015年6月,校园信息门户(统一身份认证系统)和移动信息门户顺利上线,基本实现全校用户数据共享和应用系统的信息融合。2015年12月,新建的150平方米标准机房正式投入使用,为智慧校园网络平台安全稳定运行提供了可靠的保障。
校园网络拓扑结构如图1所示。
图1 校园网络拓扑结构
2 存在的问题与面临的挑战
教育部《教育信息化十年发展规划(2011―2020年)》提出的“推进信息技术与教育深度融合,以教育信息化带动教育现代化”;安徽省政府《安徽省教育信息化中长期发展规划(2013―2020年)》高等教育信息化发展预期目标:2017年,高等教育“两平台”接入安徽教育公共服务平台;建成高质量的数字资源体系并与教育教学深度融合,科研创新信息化支撑体系基本建成。2020年,人才培养模式不断创新,人才培养质量显著提升,利用信息化手段服务社会和传承文化能力显著增强。
2015年7月,国务院印发《关于积极推动“互联网+”行动的指导意见》,互联网+已上升为国家战略。2015年7月,清华大学举办了“2015智慧校园规划与建设暨高校信息化峰会”,旨在推动智慧校园规划与建设创新,为高校信息化建设“十三五”规划指明方向。
结合安庆师范大学“十三五”校园信息化建设现状和需求,提出“高感知度 强协作能力的‘智慧校园’作为学校“十三五”信息化规划建设的重要内容。综合分析学校支撑智慧校园的网络环境,还面临以下挑战:
大二层网络架构对核心设备依赖严重,单点故障将影响全网,网络结构有待进一步优化。学校网络由原来的三层结构改造成大二层网络结构运行至今,期间,因设备版本自身BUG运行中两次宕机,导致全网网络服务中断,后通过版本升级,问题得以较快解决。
无线网络全校覆盖有待进一步优化和拓展。早期四栋教学楼无线网络AP支持802.11a/b/g,最大带宽54M,每楼层部署2个AP。AP密度低,带宽小,用户体验较差;少数公共广场和学生食堂网络没有覆盖,无感知上网存在盲区;学生宿舍区的无线网络覆盖有待进一步延伸。
各类专业子网需进一步整合资源,实现集约化管理,构建感知度高、协同能力强的智慧校园一体化网络平台。2014年12月,校园视频监控系统一期工程投入使用,龙山校区已全覆盖,各类摄像头940个。二期工程正在建设中,拟覆盖菱湖校区,各类摄像头超过200个。建成后的校园视频监控系统各类摄像头将达到1200左右,为学校师生员工学习生活提供了有力安全保障。2015年9月,由后勤管理处建设并管理的水电节能监控平台、由计算机学院建设并管理的水污染在线监控平台、由生命科学学院建设并管理的江豚研究在线监测平台等先后上线运行。随着非技术部门搭建的网络平台,如视频监控系统,节能监控平台,水污染在线监控平台,江豚研究在线监测平台等系统因前期规划等各种因素与校园网络的融合存在一定的障碍,如何构建一体化网络环境,实现智慧校园网络无缝隙对接显得尤其重要。
全网IPV6规划和应用;为开放办学提供便捷、开放的网络环境;内外网融合,为校园卡用户进一步拓展支付渠道等。
3 “智慧校园”网络环境建设目标
以物联网、云计算和虚拟化等新兴技术为支撑,构建感知度高、协同能力强的智慧校园网络基础设施,到2020年,基本建成覆盖全校的教学、科研、管理信息化环境;整合校内各应用系统,实现优质教学资源共享、数据集中存储、系统安全稳定运行、信息智能推送、一站式响应服务的信息化支撑体系;进一步提升教育管理信息化水平和公共服务信息化水平,建设师生满意的智慧校园。
4 关键技术设计与实现
结合学校实际情况,分析智慧校园建设存在的问题和面临的挑战,研究网络环境的关键技术,提出以下设计方案。
4.1 优化网络结构,夯实智慧校园支撑平台
传统网络结构主要由核心、汇聚和接入三层构成,该构架的核心层主要负责高速转发,汇聚和接入层负责用户接入、相互隔离以及协议终结。网络维护的主要工作量多集中在汇聚层和接入层,用户上网行为控制较难,整网精细化管理和控制比较复杂,此类结构对规模越来越大、应用越来越复杂的高校校园网络的发展构成瓶颈。
考虑到高校校园网络多业务承载下的高性能、优化网络构架和业务模式、简化运维工作量等需求,对传统的三层网络结构实施扁平化改造势在必行:将原来核心、汇聚、接入三层结构从逻辑上变成业务控制层和宽带接入层两层构架。
扁平化构架中的网络核心设备功能是完成用户业务控制和管理,主要有:ACL、QOS、带宽控制、认证控制、上网行为控制等,有利于发挥核心设备的高性能、稳定性和可靠性的优势;汇聚层和接入层提供用户宽带接入,只提供VLAN隔离功能,不涉及业务功能,有利于业务部署,同时也增强了汇聚层和接入层设备的通用性(汇聚层设备支持QinQ,接入层设备支持VLAN),简化了设备管理,尤其是降低了接入层设备的日常维护。两层构架的网络层次功能更清晰,并且实现“用户”级别的管控:用户的账号、MAC、IP地址、上线时间及访问行为可跟踪、可审计;用户可访问的资源权限、对网络带宽的占用等,实现了网络应用的精细化管理,保障重要应用系统的网络承载,包括安全性、稳定性和可靠性。
为使校园网络“无处不在,随处可用”,学校将进一步优化网络结构,校园网核心双机双路虚拟化,核心节点万兆双链路上行,使智慧校园支撑平台更加安全、健壮,拟进一步优化的网络拓扑结构如图2所示。
图2 拟进一步优化的校园网络拓扑结构图
4.2 构建与有线网络相互融合、用户体验良好的WLAN网络
为使用户能便捷地访问校内各类应用资源,畅享5A服务(Anyone、Anytime、Anywhere、Anyway、Anything),构建与有线网络相互融合,用户体验良好的WLAN网络,按照“统一规划,分步实施”的原则,学校无线网络(AQTCWLAN)项目分三期建设:
一期工程:教学办公区无线网络建设,主要覆盖教学楼、实验楼、办公楼、体育场馆、会议室、图书馆等区域,为学校教学、科研、管理,学生学习提供无线网络平台。
二期工程:学生生活区无线网络建设,拟主要覆盖学生宿舍区、食堂等,为学校管理,学生学习、生活、娱乐提供无线网络平台。
三期工程:校内公共区域无线网络全覆盖。
从1999年至今,无线接入已经历了四代技术,分别是802.11b,802.11a/802.11g,802.11n,802.11ac,主要终端产品接入速率也从2Mbps,54Mbps,450Mbps到现在的1.3Gbps,最新推出的11ac wave2产品接入速率已达1.7Gbps。
在一期建设中,作为有线网络的辅助手段,学校部分AP采用放装模式,使用支持802.11a/b/g/n技术的无线AP,部分场所用户体验较差。根据规划,在二期、三期工程中,将增加AP布放密度,增强用户在原四栋教学楼的无线感知。增补人员密集区域的无线网络设备覆盖密度,延伸无线校园网络覆盖范围,改善用户的网络体验。
由于无线网络与物理环境、电磁环境、人员密度、用户需求等因素有较强的关联,上述因素组合构成了不同的场景,导致无线网络具有较大的弹性。在设计中,基于现场勘查,无线网络的规划设计主要考虑无线覆盖的合理性、设备运行的可靠性及业务的高可用性。对一些环境面积较大、材质特别或建筑格局非常规场所,如体育馆、图书馆、实习车间等场景,可考虑采取抽取样本区域进行仿真设计。在设计AP位置和数量时,主要考虑以下因素:
保证目标区域人号全覆盖;
考虑在线用户数量,即高密环境下保障无线部署;
尽量避免安装在承重柱、实心障碍物等附近,影响覆盖;
尽量避免安装在强烈干扰源附近。
4.3 建设融合并承载各类物联网的泛在网络支撑平台和一站式智能化信息管理平台
智慧校园对网络需求是无所不在的连接,即泛在网络,它能提供给用户无论何时,无论何地都可以通过合适的终端设备与网络相连,获取个性化的信息需求。随着物联网技术的快速发展,泛在网络与物联网深度融合,通过采用各种不同的技术把物理世界的各种智能体、传感器接入网络,实现人与物、物与物、人与人之间按需进行信息获取、传递、存储、认知、决策、使用等服务。将通信网、互联网、物联网之间相互协同融合,具备环境感知、内容感知及智能感知,为用户和管理者提供泛在的,无所不含的信息服务和应用。
随着学校事业的快速发展,信息化系统得到广泛应用,近年来,现代教育技术中心牵头的一卡通系统从传输链路、网络设备、管理系统到中心机房,建设有相对独立的网络链路;保卫处牵头建设的校园视频监控平台、门禁系统的传输链路、网络设备、管理平台等相对独立组网;后勤管理处牵头建设的节能监控平台通信光缆、网络设备、服务器、采集器、机房相对独立组网;水污染在线监控网络、江豚研究在线监测系统均由相关学院牵头建设并管理。整合各类资源,建设能融合并承载各类物联网的泛在网络支撑平台和一站式智能化信息管理平台,提升无缝感知效能是智慧校园网络环境建设的重要目标。
泛在物联网融合平台具有支持第三方应用、终端兼容性好、基于海量的大数据分析和应用定制等特征,其基本构架如图3所示。
4.4 建立面向业务、面向服务的快响应、高质量协同运维服务体系
为了更好地保障学生公寓网络运维的可靠性,提高服务效率,解决业务量激增而人手不足的现状。2015年4月,学校与专业网络服务公司签署了“学生公寓网络维护协议”。维护内容包括楼栋交换机及以下的维护工作,经过半年的运维,整体效果良好,基本没有学生投诉。
随着智慧校园网络基础设施的逐渐完善,应用系统和最终用户的快速增加,需要建立快速响应、高质量的运维体系,用于保障全网的安全、稳定、可靠的运行。部门成立运维中心,专业管理外包运维团队,服务外包范围将进一步扩大,将包括学生公寓网络、教学办公网络、教工楼网络、多媒体教室维护等。依托网管和运维软件,以无线网络为支撑,开发并运行校园网络运维APP,改变传统运维模式,建立面向业务、面向服务的快响应、高质量协同运维服务体系。建立统一的运维平台后,用户服务将更加方便快捷,智慧校园支撑平台将更加完善。
图3 泛在物联网平台构架
5 校本创新点
智慧校园支撑平台和服务平台建设重点体现“高感知度”,不仅体现对网络环境的高感知度,更体现个性化定制服务的高感知度。智慧校园数据平台和应用平台重点体现“强协作能力”,各应用平台和相关数据平台分属不同的管理部门,需要各部门通力协作,也只有充分配合,信息充分利用,才能进行智慧分析并做出智慧决策。最终实现“以物联化、集成化、智能化为主要技术路线,以服务创新为导向,将智慧导入校园各个系统、过程和基础设施中,将信息化深植与教学、科研、管理和生活的各个方面,全面构建智慧校园。”
参考文献:
[1]李卢一,郑燕林.物联网在教育中的应用[J].现代教育技术,2010,20(2):8-10.
篇10
3.12是每年植树节活动日,在这大地回春,世界万物呈现勃勃生机之际,校团委、学生以植树节契机,开展“创绿、爱绿、护绿”创意、实践体验系列活动。学校要求各班积极宣传、人人参与,将学习知识与劳动实践结合起来,增强环保意识,为创建省绿色学校添风采。
二、活动口号
建绿色校园,树绿色理想
三、活动时间
2011年3月10日-2011年6月1日
四、活动内容与时间安排
1、“植树节”募捐倡议书(3月10日)
结合周一主题晨会,由值周班级光荣升旗手代表班级全体同学,发出倡议,然后以团委学生代表发表“植树节”募捐倡议书。
2、绿色环保主题班会(3月11日)
各班在周二下午主题班会上,开展有关“建绿色校园,树绿色理想”为主题的班会活动,并以班级为单位进行“植树节”募捐,募捐方式要强调自愿原则。
3、“植树节”募捐活动(3月12日)
3月12日,广播操期间,由团委、学生会组织完成“植树节”募捐仪式;募集的全部资金用于下面的班级绿化大赛;不足部分将由政教处向学校申请补足。
4、室内绿色评比创意设计大赛(3月10日-3月21日)
以班级为单位,班级同学为各自班绿色布置做好设计,设计稿必须图文并茂,说明设计意图,书面或电子稿均可。我们将各班绿色创意设计作品到校园网网络,供教师、学生、网络游客进行网络投票,请专业老师评价,评出最佳创意奖、优秀设计奖若干名,给与奖励。
5、室内绿色实践活动(3月22日-3月31日)
各班根据室内绿色设计,对班级进行绿色布置,通过购买花、草或者其它美化班级,但是班级布置不可花哨,要得体、美观大方、经济实惠。
6、室内绿色实践养护(4月16日-5月30日)
请大家通过网络搜索养护绿色生命的知识,也可以通过咨询行家、有经验的长辈,增长呵护绿色的知识;保护好教室的环境;确保设计方案全面得到保护。
7、室内绿化检查、验收评比(6月1日)
五、奖项设置
- 上一篇:社区卫生服务中心基本情况
- 下一篇:黄瓜栽培技术要点