校园网络设计方案范文

时间:2024-04-16 18:17:19

导语:如何才能写好一篇校园网络设计方案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

校园网络设计方案

篇1

关键词:校园网;数据中心;网络安全

中图分类号:TP393.08

本项目涉及的是某高校校园网的升级改造。近年来,随着学校校园网应用的不断增加,原学校核心网压力越来越大。同时,随着新的教学模式的应用,如很多学科视频应用逐渐常规化,大量的视频及图像数据流对原校园网中服务器、存储及核心网络设备性能都提出了更高的要求,另外校园网的网络安全也日益成为焦点。因此,该校决定对原有校园网进行改造。

1 项目需求

在此次校园网升级改造中,该校决定将各系业务进行整合,并建设一个独立、高性能的数据中心。通过数据中心统一为全校提供灵活、高效的业务支撑,满足各院系差异化需求,并保留未来强大的扩展能力。

由于新建立的数据中心需要为全校的各种视频、网络教学等关键业务提供服务,因此对数据中心服务器、存储及网络设备的性能和可靠性提出了很高的要求。

具体要求:

(1)数据中心服务器配置了大量高性能千兆网卡,因此要求新建数据中心网络能够满足高密度千兆速率接入需求。

(2)新建数据中心网络要求具备接口扩展等数据中心特性,以适应未来发展需求。

由于此次改造的重点是数据中心,因此对网络安全也提出了相应的要求:

(1)防御来自网络外部的DDoS攻击,保障数据中心的可用性。

(2)对应用层攻击进行预防和阻止。

(3)攻击防范及访问控制,抵御来自外部的各种攻击;在校园内部根据部门的不同安全区域、级别进行隔离。

(4)高密度部署,具备虚拟化能力,低成本地满足校园各部门专属安全防护的需要。

2 项目解决方案

通过对客户需求及应用场景的深入分析,最终将该公司数据中心建设的关注点放在了数据中心网络安全防护上。经过分析最终选定华为公司为运营商。

通过对数据中心的分析,目前对数据经中心的安全需求基本包括以下方面:

数据中心链路普遍采用10G链路,将要向40G/100G链路进行迁移,同时,数据中心的发展,使得大二层数据中心快速发展,东西向流量的交换集中汇聚到数据中心核心交换机,这种趋势必然要求信息安全产品需要有更高的处理能力,低性能的网络安全防护产品如FW/IPS等必制约了数据中心的平滑升级;

数据中心的发展规模越来越大,业务越来越多,数据中心数据价值也越来越高,各种对数据的攻击也日新月异,攻击呈现持续性、高流量、异变性等,如何防护这些种类繁多的攻击行为要求防护产品的快速反应和高性能的处理能力;

信息安全威胁的快速变化,需要网络防护产品能快速的安全能力升级的能力,以及要求安全厂商有更积极的安全产品升级策略;

网络安全产品能够感知不同的应用类型,在网络需要时可以对不同的应用给予不同的带宽保障,保障高价值业务的用户体验;以缓和数据中心出口带宽的压力,提升用户体验。

2.1 外联区安全防护

华为高端防火墙部署在大型数据中心出口,为客户提供高性能、高密度、高可用性、高安全的网络安全基础架构。通过部署高性能的高端墙,实现了安全域隔离,将数据中心划分为外链区和核心区,对各个域之间的流量进行安全防护,有效避免网络风暴扩散,保障网络安全。在外联区部署IPS入侵防御系统,及时判断网络或系统中是否有违反安全策略的行为和遭到攻击的迹象,并在发现威胁的情况进行阻断或告警等措施实现对网络的安全保护。通过在关键业务系统的入换机旁路部署NIP系统,对访问系统的网络流量进行实时入侵检测,实现了统计分析、入侵检测与防护、安全审计等功能。

同时在出口部署Anti-DDoS设备,可以有效识别DDoS攻击,减少恶意流量的冲击,实现对DDoS的攻击防护。

2.2 核心区网络安全解决方案

通过在核心交换机上部署各种安全业务,如防火墙、IPS/IDS等为数据中心的业务提供内部网络安全解决方案。

在核心区部署高性能USG设备,将核心区按照业务模式划分不同的区域,如测试区、托管区、运行管理区等,对不同的区域实现不同的安全策略,为不同的区域提供不同的安全防护能力。

在核心区部署高性能的IPS设备,以旁路IDS方式部署NIP产品,监控内部的攻击行为,检测异常的数据流量,同时在业务服务器群前,防御DDoS攻击,以及各种黑客攻击行为和蠕虫等,以保护高安全业务区的业务安全。

2.3 方案的优势

多种专业防护能力:采用“七层过滤”技术,秒级防御流量型、应用型、畸形报文等各种DoS/DDoS攻击;方案集成业务感知模块,超1200多种应用识别能力,能够对业务做到应用层可视化管控。

高性能:针对数据中心大数据、大流量的特点,华为数据中心网络安全解决方案依托电信级的硬件平台,提供高性能、高可靠的安全防护。在业务吞吐量、接口能力、漏洞检出率/误报率、防护响应速度等安全设备关键指标上全面领先业界水平。

高可靠:方案涉及设备的电源/风扇/主控等关键部件冗余和可热插拔,业务板间均衡负载流量,多种容错设计保证在海量复杂网络流量下可靠性和可用性,保证业务永续。

易扩展:采用插板式设计,安全隔离、IPS和Anti-DDoS的功能均能在同一硬件平台上扩展,高密度,保护客户已有投资。

虚拟化能力强:虚拟化能力是业界平均水平的4倍以上,低成本的提供多部门独享安全服务的需求。

全面的IPv6攻击防范能力:提供完善的IPv6过渡方案,确保IPv4向IPv6网络过渡期间的安全、平滑升级。

3 结束语

本文对校园网的数据中心升级做了简要的描述。在校园网的建设中,我们首先要做的是了解各项业务需求,然后从中选出最重要的点作为项目实现的重点,进行方案设计和设备选型,最后进行项目实施。

参考文献:

[1]郑叶来,陈世峻.分布式云数据中心的建设与管理[M].北京:清华大学出版社,2013.

[2]张广明,陈冰,张彦和.数据中心基础设施设计与建设[M].北京:电子工业出版社,2012.

[3]孟玲玲.校园网组建与维护[M].北京:中国人民大学出版社,2011.

篇2

前 言 .…………………………………………………… 3

第一章 网络设计原则和需求分析………………………….4

第二章 网络系统总体设计方案…………………………….8

第三章 服务器及操作系统平台……………………………18

第四章 网络管理系统设计…………………………………23

第五章 综合布线系统解决方案……………………………27

第六章 布线系统安装、测试、验收计划…………………32

当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。其背景是:半导体集成电路、计算机、光纤、卫星、多媒体等电子信息科技发展迅猛,并迅速广泛应用于社会各领域,产生和激发出新的生产力,正引起社会经济乃至人们工作、生活方式的深刻变革。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。

点击查看全文

篇3

【关键词】校园无线网 WiFi 方案设计

1 引言

随着通信技术、计算机技术和网络技术的飞速发展,各高校逐步建立了适应行业发展的实验平台。我院广播电视工程专业建设了三网融合实验平台,并对原来的实验室进行了全面整合,形成了一套具有传媒特色的三网融合实验室系统,该系统由天线系统、卫星接收系统、数字电视前端系统、双向传输系统、OTT系统等多种系统组成,每个系统相互独立,又可串联成一个完整的大系统。在此实验系统的基础上我们需要一个无线网络,使得OTT系统经过在线转码和离线转码后输出的多格式多分辨率的视频节目,在本实验楼的所有用户可以随时随地在手机、平板、电脑上观看,也可以通过机房的10台终端(OTT机顶盒)自带的WiFi模块接收,或者直接使用手机或平板的DLAN或AirPLay功能,将视频信号在大屏上展示。

2 网络建设目标

2.1 网路建设目标

实验楼一共6层,为满足网络需求,需要对实验楼进行全面的无线网络覆盖,其中实验楼有线线路已经完成。无线局域网是整个覆盖系统的关键,其性能的好坏直接影响整个系统的运行质量。要求设计的解决方案实现以下效果:

(1)实训楼内部无死角;

(2)手提电脑测试信号在-70DB以内,最好手机测试信号在-75DB以内;

(3)功率不高于100MW;

(4)在提供无线覆盖的同时,保留有线网口可正常使用。

考虑到以上的技术需求,采用ITEM的无线覆盖解决方案,所选用的电信级设备提供了高速移动和快速漫游切换的能力,满足了室内外大规模无线组网的需求。ITEM 无线局域网作为多业务平台,具有自我组织、自动配置、性能自动调节、链路自动修复等特性,支持覆盖均衡和冗余备份功能,为各种无线覆盖提供了稳定可靠的平台。

3 无线网络覆盖规划

通过对无线网络平台应用模式的综合分析,我们总结出实训楼信息化系统对无线网络平台具体要求:

3.1 良好的无线信号覆盖效果

传统上,无线接入点的设计主要用于在相对开放的空间内提供无线连接。但在拥有众多房间的实训楼规划和安装传统无线接入系统时,却存在诸多问题。面板式AP接入点安装在实训楼里,最大限度地降低了防火墙、防火门、瓷砖和水管等造成的衰减。同时该类接入点也具备很高的接收灵敏度。一台接入点足以轻松支持实训楼里使用的平板电脑、便携式电脑及其他无线移动终端构成的高容量网络。

3.2 设备稳定可靠

稳定可靠的网络是为用户提供满意服务的基础,因此设计施工中要注重产品自身的性能及用户体验,拥有完善的产品测试流程及质量管理流程,保证产品的性能。无线网络化应用解决方案目前已广泛为实训楼用户所采用,运营使用过程中经受了各种复杂和恶劣网络环境的考验,是稳定、高性能、高安全性、高性价比的无线网络化应用解决方案。

3.3 综合投入成本低

因为实训楼设有从分线箱到实训楼的五类/六类网线,所以我们使用无线解决方案:通过五类/六类网线部署无线局域网。该解决方案能使实训楼以最低成本快速、轻松地实现实训楼的无线上网服务。该解决方案完全不需要重新布线,即免去了重新布线的材料费、人工费,又消除了对实训楼运营带来不利的影响,免除了实训楼的损失,安装完成后的维护人力和物力也大大减少。

4 无线网络覆盖方案

根据对实验楼无线覆盖设计的规划,结合实验楼的具体特点,我们采用了由前端无线AP规划设计和后端AP集中管理软件来共同构建2号实训楼无线覆盖解决方案。

4.1 实训楼无线覆盖设计实现

对于实训楼实训楼的无线信号覆盖,布放ITEM-HR面板式AP,直接安装在实训楼内部预留的86暗盒内,以确保实训楼内笔记本电脑测试信号在-70DB以内,手机测试信号在-75DB以内,保证用户能够流畅观看网上视频。

4.2 公共区域无线覆盖设计实现

对于诸如实训楼大堂、餐厅、会议室等公共区域,布放大功率吸顶式AP(ITEM-SR),采用吸顶式安装,美观、大方的同时,能够确保良好的无线覆盖效果。

4.3 无线组网实现

前端无线AP设备支持POE供电,若楼层交换机支持POE供电,则无需任何中间设备,无需重新布线,直接使用实训楼内已部署的网线即可;若楼层交换机不支持POE供电,则在楼层交换机处外接POE供电模块即可。

4.4 通过AC控制器实现设备的集中管理

AC控制器可以直接集中的管理所有的AP,查看其运行状态,以及所有连接用户的连接状态、用户权限、连接时间等,这种集中控管的能力和管理方式,将极大降低实训楼的管理难度和管理成本,提高实训楼管理效率,作为实训楼的运营来说也是非常有实际意义的。前端AP设备施工明细:安放于走廊的36台ITEM-R1型号吸顶式AP;安放于楼层弱电间的1台ZTE中兴ZXR10 2826A型号的24口POE供电交换机 ;安装于机房的1台ITEM-R1型号的AC控制器;其中根据需要还可安装路由器和认证服务器。

5 结束语

无线网络的移动性和简便性弥补了有线网络的不足。随着移动终端技术及技术的发展,依靠无线网络作为学校教学、管理、科研与娱乐的基础设施平台,已经成为近年来高校发展与改革的基石。本文以山西传媒学院实验楼无线网络覆盖为例,设计了一套无线网络建设方案,给广大师生提供了一个覆盖实验室的网络环境,为日后建设智慧校园奠定了基础。

参考文献

[1]李璐倩.VWT公司无线网络规划方案设计[D].北京邮电大学(工程硕士学位论文),2011(09).

[2]李先权.WiFi网络构建与应用研究[D].华南理工大学(工程硕士学位论文),2012(11).

[3]颜汝南.高校无线网络规划与部署[J].信息与电脑,2015(23).

作者简介

耿小芬(1976-),女,河北省无极县人。大学本科学历。现为山西传媒学院副教授。主要研究方向为计算机科学技术。

篇4

【关键词】数字化校园 设计方案 调研 设计 论证

数字校园是以网络为基础,利用先进的信息化手段和工具,实现从环境(包括设备、教室等)、资源(如图书、讲义、课件等)到活动(包括教、学、管理、服务、办公等)的全部数字化,在传统校园的基础上构建一个数字空间,以拓展现实校园的时间和空间维度,提升传统校园的效率,扩展传统校园的功能,最终实现教育过程的全面信息化,从而达到提高教育管理水平和效率的目的。 它是网络化的信息传输、数字化的信息资源和智能化的用户终端,三者有机的结合。如何完成数字化校园的设计工作,制定好数字化校园设计方案,成为数字化校园建设中的重头戏。

1 设计前的调研工作

调研工作是完成设计的基础,没有这项工作,设计方案将成为无源之水、无本之木。作为数字化校园工程的设计者,必须从以下几个方面进行调研:

1.1领导重视程度的调研。数字化校园建设工作投资数千万,资金数额较大,接到设计任务后,要调研业主是否成立了有主要领导担任组长、数字化校园专家担任成员的领导小组,了解领导的意图、专家的意愿,还要关注资金的落实情况。

1.2业主单位规划的调研。积极与业主单位沟通,对该单位的数字化校园建设工作是否有规划进行详细调研,了解数字化校园建设工作是分期实施还是一次建设到位,做到少走弯路,多走捷径。

1.3校园网络建设情况调研。接到数字化校园设计方案的设计任务后,必须到业主单位,深入了解目前该单位的校园网络建设情况,例如六盘水师范学院目前的网络状况如下:1、电信接入带宽100M ,教育科研网2M。2、学院目前只相当于一个大局域网或者是一个大网吧。3、硬件基础设施老化,应用系统缺乏,已建应用系统相互独立,资源不能共享,形成资源浪费。

2 数字化校园设计时的关键要素

2.1把握设计原则。设计过程中一定要把握好以下设计原则:A、总体原则:高速、安全、稳定、可靠、可管可控、可运营。B、先进性原则:校园网的设计要充分应用已经成熟的先进技术,如:IPv6技术,使校园网在未来数年内不落后,在全省甚至全国处于领先水平。C、可扩充原则:要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地;D、开放原则:开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控,实现设备的统一管理;E、安全可靠性原则:设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施;F、整体规划分步实施原则:充分考虑整体的需求,并可以实现校园网建设分步实施,后期建设不浪费原有的投资。

2.2网络拓扑结构的选择。网络拓扑结构是指网络电缆构成的几何形状,它能表示出网络服务器、工作站的网络配置与互相之间的连接,主要有星型、环型、总线型、树型及总线/星型及网络拓扑结构。六盘水师范学院数字化校园设计方案采用的是树型拓扑结构,它是一种分层网,结构对称、联系固定、容错能力强、属于广播式网络,无需对网络改动即可扩充工作站。

2.3设备的选型。设备的选型直接关系到数字化校园的成本投资,设备有高端、中端、低端三类,统一选用高端设备例如思科等设备,性能稳定,维护成本低,但造价高,安全性不理想。统一选用低端设备例如锐捷等,造价低,但维护成本高。为此,要做到高中低端设备兼容,造价合理,数字化校园设计方案才具有可行性。

2.4设计方案中的项目设计。数字化校园设计方案包括的项目主要有基础网络设计、综合布线系统设计、网络安全设计、一卡通系统设计、数字图书馆设计、OA办公系统设计、邮件系统设计、校园视频监控系统以及校园广播系统设计、录播系统设计(含微格教学系统设计)等。六盘水师范学院数字化校园设计方案中按照10000人规模,按照国家教育部对本科院校的评估要求来做。校园新的基础网络初步规划为核心十万兆,主干万兆,千兆到桌面。在初期采用百兆、千兆自适应,逐步淘汰百兆网,达到全千兆网到桌面。中心机房两个,在电信或其他运营商处租用服务器存放相关网络数据;楼宇之间采用24芯光纤,主干网之间采用64芯光纤连接,各连接之间至少留一组以上备份线路。图书馆楼将作为学院以后网络中心机房,其他楼房网络都从这里接出来。网络须考虑教育网和电信网络的双接入。

3 设计方案论证工作

3.1业主单位专家论证。设计方案完成后,立即提交业主单位,有业主单位组织本单位专家对方案作详细论证,找出设计方案的优缺点,特别是基础网络及综合布线系统中关键问题的处理,同时,让专家与后勤部门人员座谈,就一卡通中存在的问题答疑。根据业主单位提出的修改意见,多次将设计方案不断的修改,做到尽善尽美。

3.2省内外专家论证。由业主组织省内数字化校园建设工作的专家召开专家委员会议,面对面听取意见,就设计方案的科学性、可行性、安全性进行论证,形成专家组意见后,由专家签字确认,作为数字化校园设计方案的佐证。为保证方案设计理念的先进性,可征求省外专家的意见,使得修改后的设计方案更具有说服力。

4 结论

完成数字化校园设计方案的设计工作如果进行设计前调研、设计中善于把握关键问题、设计后能够通过专家论证完善设计方案,那么,该方案将具有一定的实用价值。

参考文献:

[1]张维.实战网络工程案例[M].北京:北京邮电大学出版社,2005.

篇5

[关键词]无线校园局域网 无线控制器 FAT AP FIT AP

[中图分类号]TN925.93[文献标识码]A[文章编号]1007-9416(2010)02-0090-02

1 引言

随着各高等院校信息化建设不断深入,各校园网络从网络结构、规模和带宽来看,校园有线网络已经基本形成。校园网已经成为校园生活工作的重要组成部分,是教职员工和学生获取资源和信息主要途径。无线网络技术具有无缝三维覆盖、可移动通信等优点,弥补了有线网络的不足。据统计,到2009年,国内外有1000余所学校已经建成了无线校园网络[1]。

前期已经建成的无线校园局域网由于先期资金投入不多,大多采用基于智能型的接入点--FAT AP传统分布式结构,该结构比较适合开放式或对用户行为控制不是很敏感的WLAN 网络环境。但是随无线校园局域网用户数量和各种无线网络应用增多,无线网络规模逐渐扩大,传统的无线校园局域网面临诸多问题:面对众多的无线接入点AP时缺乏集中的配置管理手段,缺乏智能的RF管理,难以进行RF设置和无法统一部署全局的安全和接入策略等。

为此本文提出了的基于以无线控制器(AC)的集中式管理架构的无线校园局域网。这种架构通过集中式管理来简化AP,仅需要在校园网络中心加入一台无线控制器,将原有的FAT AP转化为FIT AP就能解决传统的无线校园网络面临的诸多问题。

2 传统的无线校园网设计

2.1 网络现状

本文所讨论的无线校园局域网是以笔者所在学院为对象。目前学院在校学生9000余人,教职工160余人。学院一期网络是以千兆以太网多层交换技术和国内主流产品为主导的校园网系统,有线网络覆盖实训楼、学生宿舍和办公楼,基本上达到了100M到楼层,10M到桌面的有线网络体系。随学院图书馆建成和某些课程教学过程要求联网的需要,在项目资金有限的情况下,学院两年前对一期网络进行了升级改造,改造后的校园网络新增了图书馆和教学楼部分教室内的无线局域网部署。

新建的无线局域网采用Fat AP的分布式组网架构,在一期的有线局域网基础上,配以Fat AP、无线适配器、RADIUS服务器等设备组成。分布在各处的AP通过网络双绞线与教学楼或图书馆有线局域网的楼层交换机相联。AP独立地为接入的无线用户提供射频信号收发、通信、用户身份认证、数据加密、安全策略实施等工作,AP之间各自独立,互不相干。在无线网络覆盖区的配备无线网卡的PC、笔记本电脑和智能手机等移动终端设备,通过临近AP制定的安全策略连接到无线网络,访问网络资源。

目前校园网的拓朴图如图2-1所示。

2.2 存在的问题

选择Fat AP的分布式组网架构建设校园无线网络,是由于该方案技术成熟、且初期资金投入不多。现在经过2年左右时间的运行,随无线用户和各种无线应用增多、无线网络规模逐渐扩大,校园无线网络在实际运行和维护过程中面临的问题逐渐显现:

2.2.1 面对逐渐增多的无线接入点时,缺乏集中的配置管理手段

初期在图书馆部署了8个室内AP,教学楼部署了4个。网络中心管理员在进行网络维护过程中,逐个登录AP了解AP设备的运行状况,修改AP的服务与安全策略,维护各AP的IP地址和设备的映射关系。但是随新增图书馆会议室无线覆盖区域、需要无线网络覆盖教室数量增加,需要逐渐增加AP,AP数量上的增加使得管理员的维护和升级的工作相当繁琐和不便,急需集中的配置管理手段提高工作效率。

2.2.2 缺乏智能的RF管理,难以进行 RF设置

在无线网络实际运行过程,如果出现工作在同一个信道的两个AP同时传输数据的情况,导致数据传输的冲突,影响无线网络的性能。而且由于缺乏当智能的RF管理,单点AP发生故障的时候,其它附近AP不能自动的提高周围?AP?的发射功率,减少或消除无线覆盖盲区,增加了无线网络不稳定性。

2.2.3 各AP”冷热”不均,无法实现负载均衡

有的时候多个用户连到同一台AP上,而某些AP空闲,使得用户集中的AP成为了无线网络性能瓶颈。无法根据无线用户数量或者无线流量将负荷较重AP上的部分用户转移到其他AP上去,使得各个?AP?上的负载均衡。

通过经过2年左右的实际运行情况,基于传统的Fat AP架构组建的无线局域网,其网络性能和管理模式已经很难适应校园无线网络规模逐渐扩大的实际现状。

为解决以上问题,本文提出了基于无线控制器和FIT AP的无线校园局域网解决方案。

3 基于无线控制器的无线校园局域网设计方案

3.1 组网架构简述

本文提出的无线控制器+Fit AP的无线网络解决方案不会改变现有的网络结构,仅需要在网络中心加入一台无线控制器,再配以Fit AP、无线适配器等设备而成。

3.1.1 无线控制器

目前,如Cisco、H3C和锐捷等各大网络设备提供商都已经推出各种型号的无线控制器[2]。它可以完成无线网络的各种配置和管理工作,将以前在FAT AP完成的功能集中到无线控制器,简化了AP配置。

AC完成的功能包括AP的配置、管理和监控,以及无线网的接入认证、转发和统计、QoS、安全控制等功能,实现了对无线网络的集中控制和管理。

3.1.2 Fit AP

Fit AP的出现时相对于Fat AP而言的,Fit AP不需配置即可使用。Fit AP启动时自动从AC下载配置信息,Fit AP只负责射频信号的发射和接收、传输数据的加密和解密,并自动从DHCP服务器获取IP地址,相对于FAT AP而言,Fit AP的出现极大的简化了AP配置。

3.2 无线校园局域网设计方案

3.2.1 需求分析

目前,随图书馆二期工程中会议室已经基本竣工,学院召开大型会议时需要用到网络。考虑到运用传统的有线接入方式需要在每个会议座位部署网络接入点,网络布线工程较大,而图书馆在校园网一期改造完成后已经有了无线网络的特点,二期工程中会议室仅仅需要加入AP就能实现网络接入的要求。

校园网一期改造完成后,教学楼有部分教室已经实现了无线网络覆盖,但是由于越来越多的课程在课程改革过程运用了新技术,需要在课堂教学过程中接入网络,直接导致了需要无线网络覆盖教室数量增加,需要逐渐增加AP。

针对以上需求和网络现状,如果还是采用在以前无线网络中直接添加Fat AP的方式进行网络扩展的话,就会使得本文在2.2中提出的由于Fat AP逐渐增加后导致的问题更加突出,所以本文提出了无线控制器+Fit AP的无线网络解决方案。

3.2.2 设计方案

本方案在原有的网络结构基础上,在学院网络中心加入一台无线控制器,它直接连接到网络中心交换机上,对于以前无线网络中存在的FAT AP通过软件升级一次性转化成FIT AP,图书馆会议室和教室新增的AP直接配以FIT AP。

新设计方案的校园网的拓朴图如图2所示。

3.3 新方案的优势

采用无线控制器+Fit AP架构的无线网网络与传统采用FAT AP架构组网相比,仅需在学院网络中心加入一台无线控制器,就可以将传统模式的FAT?AP(仅需一次FAT?AP到FIT AP软件转换升级)或新增的?FIT AP,集中控管起来,形成一个集中配置、监控和管理的无线控制域。

新方案提出的组网架构,具备了自动的射频控制/调整,灵活的认证机制、行为控制和设备管理。校园网网管员可以通过无线控制器内部的监控界面和日志报告,实施统一的认证管理和行为控制策略,清晰的了解异常流量,未识别的攻击,以及告警的原因和分析,做出相应的决策,极大的减少人工配置和管理工作量。

可以看出本方案可以解决校园无线在本文2.2中提出的各种问题,而且还能够实施统一的认证管理和行为控制策略,对于逐渐增多的无线网络中用户和无线应用需求提供安全保障。

4 结语

随着校园网络建设深入和无线网技术的不断发展,作为有线网的扩展和补充,相信将来会有更多的学校建设自己的校园无线局域网。本文提出的基于无线控制器+FAT AP的无线校园局域网建设方案由于具有集中的管理和统一的安全控制策略和多种定制功能等优势,将成为校园无线局域网建设方案首选。但是该方案建网成本高,而且无线局域网内流量必须通过无线控制器集中转发,所以该方案更加适合在中型规模的校园无线局域网中推广使用。

[参考文献]

[1] 周立山.基于校园网的无线网络扩建方案浅析[J].电脑知识与技术,2009(5):3684-3686.

[2] 陈盈,郭文平.校园WLAN方案的AP相关问题研究[J].计算机时代,2008(10):64-65.

[3] 李浩林,沈世锦,张正凤.AP技术发展与组网应用的研究[J].电信科学,2008(5):26-27.

[4] 红斌.无线局域网设计与应用[J].长治学院学报,2alS(2):34-36.

[作者简介]

孟清(1980-01),男,研究生,高级工程师,研究方向无线网络安全;

篇6

以我校为例,有线校园网络已经覆盖了办公楼、教学楼、宿舍和学生食堂等校内所有建筑物,在网上实现了OA办公,学生管理,校内监控和图书管理等日常管理。但随着Internet不断的向我们学习、工作和生活的渗透,智能手机、平板电脑等无线设备的普及化使得传统的有线网络不能满足我们的需要,不受地域的限制接入网络使得无线网络显现出优于有线网络的优势,因此无线校园网络的建设变得非常有必要。

2以我校为例对于无线网络的需求

由于我校园区面积比较大,办公楼、教学楼、宿舍和食堂分布较分散,如何能在现有的有线网络基础上扩展无线网络,设计出有效、合理、稳定的无线网络方案显得尤为重要。设计方案以有线为主线,无线为辅助,保证在公共场所和无法使用有线的智能设备都能上网。高职院校无线校园网络建设方案李晓辉(承德石油高等专科学校,河北承德067000)摘要:随着信息技术的不断发展,网络化生活方式已经全面渗透到教学生活中。校园建设由传统的有线网络悄悄的向无线转变,由于有线网络的优点是具有稳定性,但是随着信息化水平的不断提高,智能手机、笔记本电脑和平板电脑等移动终端设备在教师和学生的日常学习中大量普及,有线网络已经无法满足教师和学生的学习和工作要求。当前无线技术的改革升级为无线网络的产生提供了很好的技术支持。本文主要结合我校实际情况提出一个基于校园网络的无线方案。通过学校无线网络的实现,目的是方便学校教师和学生的学习、工作和生活,促进学校无纸化办公提高工作效率。关键词:校园网络;无线技术;设计方案DOI:10.16640/ki.37-1222/t.2015.23.222因此无线网络在设计上要求1)访问网络稳定、安全、可靠,这就要求设置的热点密度合理覆盖面广,不能再用户使用过程中出现反复登录的情况。2)用户使用无线网络方便快捷,要求网络的带宽合理,能快速访问网络又不浪费带宽;3)网络设置合理,利于管理和扩展。

3无线网络的总体设计

3.1接入层

服务器和存储设备上行接入到接入层交换机。服务器侧可以采用业务网络、管理网络、存储网络三个VLAN隔离方式进行组网。在接入交换机划分VLAN,将管理、业务、存储三个平面逻辑隔离。为简化组网提高组网可靠性,建议接入交换机采用堆叠方式:存储网络:用于承载服务器和磁盘阵列之间的专用数据访问。存储网络通过多路径确保链路冗余,服务器与存储设备通过存储网络二层直接互通。存储设备为虚拟机提供存储资源,但不直接与虚拟机通信,而通过虚拟化平台转化。业务网络:为用户提供业务通道,为虚拟机虚拟网卡的通信平面,对外提供业务应用。业务网络按应用系统的要求再细分VLAN进行访问隔离。管理网络:负责整个云计算系统的管理、业务部署、系统加载等流量的通信。BMC平面主要负责服务器的管理,BMC平面可以和管理平面隔离,也可以不进行隔离。所有服务器、存储通过接入交换机连接后,需要与客户的核心交换机对接。接入交换机通过堆叠保障可靠性。考虑后续扩展性,建议采用2*10GE上行到客户核心交换机。

3.2核心层

接入交换机上行接入核心层交换机。核心交换机也建议采用集群的方式。核心交换机采用OSPF或者静态路由的方式同上层设备进行对接:当采用OSPF对接时,OSPF地址包括核心交换机互联地址,直连路由地址以及loopback地址。当采用静态路由方式时,建议核心交换机同上级设备采用VRRP地址为网关地址。

4WLAN的设计

篇7

关键词:校园网 认证计费 传输

1、概述

自中国移动提出全业务运营的发展方针以来,发展集团客户已成为移动全业务运营中的一项重要内容,也成为各地市公司重点关注的指标和业绩之一。因此,各分公司均在大力发展集团客户业务。在高校领域,校园有线宽带业务长期为竞争对手所把持,因种种原因,移动很少涉及。随着全业务运营时代到来,移动也加大了高校集客业务的开展力度,高校集客建设也呈增长趋势。因高校客户其行业特性,在进行规划设计时,会遇到与以往企业客户设计不同的难题,本文主要针对这些常见问题展开经验交流和探讨。

2、集客校园网建设经验总结

a)高校客户特点分析

(1) 高校客户因其内部管理机制等原因,存在决策周期长,协调难度大等沟通难题。因此,设计人员在与客户交流前,应充分做好思想准备,要有耐心有毅力,不但要做好反复沟通和磋商的准备,还要在项目进度安排上,充分考虑困难,预留出足够时间,避免因反复沟通导致项目进度落后于计划,打乱后续安排的情况出现。

(2)高校客户需求多样,且个性化需求多,导致一般大客户设计方案不能简单地套用于高校集客设计上。这要求设计人员需熟知一些常见的高校需求,能够将客户多样的个性化需求转化融入到标准化需求当中,以降低设计难度,减少新需求的设计数量。

(3) 高校客户对技术较敏感,会对技术方案提出要求。设计人员要掌握灵活变通的原则,在不损害移动公司利益的前提下,可适当地对技术方案进行调整,以满足客户需要。

b)高校集客常见需求汇总

高校客户需求多样,且有很多跨专业需求。作为设计人员,要熟记各种常见需求,才能驾轻就熟地进行设计。高校集客常见需求可归纳为以下几种:

(1)校园网组网

高校校园网组网多采用传统方式,即交换机+路由器组网,一般分核心、汇聚、接入三层,覆盖范围主要为教学办公区和学生公寓区两部分。有些学校将校园网与学生公寓网划分为两张独立的网,如不考虑用户防私接等问题,则学生公寓区可采用PON方式单独组网,以降低投资。此外,因IPv6的实施和部署是未来趋势,所以在考虑组网方案时,要将设备支持IPv6作为一项默认条件,以便需要时能够使网络从IPv4平滑过渡至IPv6。

(2) 多校区互联

许多高校有若干校区,地理位置分布广泛,之间甚至相隔几十公里甚至上百公里,校区间互联就需考虑传输问题。对于大型校区间互联,一般考虑将各校区就近接入移动波分汇聚机房,如条件不具备,则考虑新建波分站;如果相隔很近的两局址间,也可采用裸纤直连方式以降低投资。波分传输带宽可视需求大小采用GE或10GE。

(3)WLAN融合

随着移动WLAN校园覆盖日益完善,因此高校在进行校园网建设时,也会提出WLAN与校园网融合需求。WLAN与校园网融合,主要就是在WLAN与校园网之间新增链路,使无线上网终端能够通过移动WLAN访问校园网。一般设计方案为:在校园侧WLAN核心设备上新增一个上行出口,串接一台认证网关设备,再通过该认证设备连接至有线网核心设备上。校园侧WLAN的核心设备可以是OLT或交换机,串接的认证网关设备主要用于实现WLAN用户的校园网入网认证。

(4)综合布线

对待一般企业客户,移动公司通常不提供综合布线。但对于高校客户,因为有学生公寓的综合布线可能为早期他网运营商提供,所以在产权不清的情况下,为避免纠纷,通常会为高校提供新的综合布线。除非是新建楼宇,否则一般建议采用线槽方式走线,不采用桥架方式走线;如WLAN未覆盖,则设计线槽宽时应同时考虑为WLAN走线预留空间;室内综合布线,如需采用壁挂式网络箱,则要注意网络箱应尽量选择安装于隐蔽处。

(5)认证计费

移动高校校园网收费策略一般为:对办公教学用户免费,对教工宿舍及学生公寓用户收费,移动按合作模式不同,全部或按比例获取相应收益。对于一般的有线宽带,目前行业内普遍采用PPPOE拨号方式开通个人宽带业务,但该方式无法有效防止用户私接、服务器等行为,所以不适于开展校园有线宽带业务。为保证移动投资收益,一般建议采用802.1X协议作为校园有线宽带的计费认证协议,该协议可有效防私接、等行为,适用于校园有线宽带业务。但目前移动BRAS无法支持802.1X协议,升级改造大网BRAS难度大、投资高,因此较为实际可行的一种设计方案为:在客户侧新增一套计费认证系统,采用本地认证方式实现用户认证,同时将计费信息同步至移动BRAS。信息同步的方式视设备厂商实现方式有所差异,但基本思路是设置一台计费信息服务器,本地认证计费系统将计费信息上传至该计费服务器中,由移动大网BRAS定期抓取计费服务器中信息以实现信息同步。该方式目前尚不能实现信息实时同步,但能够满足校园有线宽带业务的基本需求。

(6)个性化需求

作为与移动公司合作的附带条件,高校客户往往会提出部分个性化需求。这些需求纷繁多样,作为设计人员,不可能也没必要掌握这些全部知识,只需对常见的个性化需求有一定了解,遇到具体问题具体分析即可,必要时可采纳专业厂家建议。主要涉及到视频会议、机房配套、数据中心、网络安全。

3、校园网建设思路探讨

对于目前移动校园网建设中用户的认证计费问题,前文已做阐述:即采用802.1X本地认证方式,每拓展一所高校用户,就需为其配备一套计费认证系统。这种重复建设的模式,我认为有待商榷。

在此我提出一种建设思路:在移动BRAS之外,城域网之内集中建设一套支持802.1X协议的认证计费系统,专供所在地高校集客使用。这种方式,可在大网BRAS不具备802.1X认证功能的前提下,达到满足客户需求,减少投资的目的。虽然目前这种方式在技术实现细节上可能还存在诸多问题,但我认为是一个很好的研究方向和课题,相信后期这种方式在技术上可以得以实现。

篇8

关键词:多层安全;无线网络;可靠性

中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5330-02

Design and Implementation of Multi-layered Security Protection of Wireless Network

TANG Ming-wei1, HU Jie2

(1.School of Mathematics & Computer Science Technology, Xihua University, Chengdu 610031, China; 2.Information College, Southwest Jiaotong University, Chengdu 610031, China)

Abstract: To effectively dealt with the digital campus wireless communications network instability problems, a multi-layered security protection of wireless network is present. Analysing the needs and characteristics of wireless communication network, a new communication network is proposed. The wireless communications network designed can provide more reliability, security than others. The experiment result show that it is more reliable and security.

Key words: multi-layered security; wireless network; reliability

无线网络,既包括允许用户建立远距离无线连接的语音和数据网络,也包括为近距离无线连接进行优化的红外线技术及射频技术,与有线网络的用途十分类似,最大的不同在于传输媒介的不同,利用无线电技术取代网线,可以和有线网络互为备份。

无线网络由于是通过无线信号来传送数据的,无线信号在发射出去之后就无法控制其在空间中的扩散。随着无线通信技术的发展和器件性能的提高,无线网络有能力支持更高的数据传输速率[1]。目前的802.11a/b/g均支持多速率数据传送[2-4]。只要在因而容易被接收拦截。因此,无线网络技术在提供了使用网络的便捷性和移动性的同时,也会带来安全风险[5-6]。这给无线网络的安全带来很大的安全隐患。

研究者进行相关的研究,分析影响安全的因素,并通过加密、认证等手段以及应用完整的安全解决方案,从而更好地做到无线局域网的安全防护。只要访问者及设备的身份验证和授权机制足够健全,任何具有兼容的无线网卡的用户都可以访问该网络。如果不进行有效的数据加密,无线数据就以明文方式发送,这样在某个无线访问点的信号有效距离之内的任何人都可以检测和接收往来于该无线访问点的所有数据。不速之客不需要攻进内部的有线网络就能轻而易举地在无线网络信号覆盖的范围内通过无线客户端设备接入网络。只要能破解无线网络不安全的相关安全机制就能彻底攻陷整个网络。所以说无线局域网由于通过无线信号来传送数据而天生固有不确定的安全隐患。

针对上述的问题,本文提出一种多层防护的安全无线网络的设计与实现(design and implementation ofMulti-layered Security protection of Wireless Network,简称MSWN)。MSWN网络具有高可靠性、稳定性、通用性等特点,能够提高无线通信网络的高安全支持,对于大多数学校的无线网络信息化建设提高必要帮助,具有一定的现实指导意义。

1 需求分析

现在大多数校园无线网络设计都是设计为一种简单的出口认证的层次化无线网络结构(Hierarchical Wireless Network Architecture,简称HWNA )。HWNA结构的无线网络分别由内部网(或者校园网)、出口认证和外部网络组成。这种设计方案是一种通用的设计方案,广泛的使用在现有的校园无线网络中,如图1所示。

2 多层防护的安全无线网络设计

图1所示的无线网络结构,并不能满足校园网络对安全的需求,随着计算机技术与新的应用的不断发展,这种形式更加严峻。这就更加需要新的安全的网络设计来弥补一些原来的设计缺陷,营造更加安全的校园无线网络。

在图1中,虽然,防火墙能够抵御部分外部对校园网的攻击,弱化内部的保护,但是,在有线网络的环境下,可以构建比较安全的校园网。但是,在无线网络的环境下,其内部用户是否合法是很难判断的。因此,HWNA结构,其对校园内部的攻击是没有抵御能力的,不适合在现在的无线校园网络中使用。

因此,针对上述问题,设计出MSWN结构,如图2所示。

2.1 MSWN结构无线网络

对于一个合法的校园网用户,无论是HWNA结构的无线网络,还是MSWN结构的无线网络,对不会对用户的使用产生影响。因此,MSWN结构的无线网络,体现一般无线网络的共同优点。

对于不合法的校园网用户,在是HWNA结构的无线网络中,该不合法的用户,可以获得相关的网络信息(如可以获得IP地址),可以正常的访问校园网内的服务器,进行相关的一些操作,比如,攻击校内用户,校园网服务等。但是,如果在MSWN结构下,可以避免该种情况的发生。

当合法用户既可以正常访问校外资源,也可以访问校内资源,不会出现资源受限的情况。

对于不合法的校园网用户,在是MSWN结构的无线网络中,该不合法的用户,就会出现访问受限。比如,不合法的用户接入无线网络,首先会是获得IP地址,但是,从MSWN结构中,可以看出,如果其获得IP地址,就必须访问DHCP服务器。但是,访问DHCP服务器就必须先认证。因此,不是合法用户,就不可能得到IP,更不可能进行破坏操作。因此,MSWN结构是一种较安全的无线网络。

3 MSWN网络实现

从图2中,可知核心C1的设计是MSWN网络实现的关键环节。

核心C1

interface GigabitEthernet1/0/0

description UP-TO-**DX-ME60-G1/0/4

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 101 to 356 400 to 404 505 to 756 2000 2999 3694

undo negotiation auto

#

interface GigabitEthernet1/0/1

description DOWN-TO-JSGY-24-4

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 333 733 2999 3892

undo negotiation auto

#

interface GigabitEthernet1/0/2

description TO-JSGY-24-5

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 333 733 2999 3892

undo negotiation auto

#

interface GigabitEthernet1/0/3

description TO-JSGY-24-6

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 333 733 2999 3892

undo negotiation auto

#

interface GigabitEthernet1/0/4

description TO-JSGY-25-1

port link-type trunk

undo port trunk allow-pass vlan 1

port trunk allow-pass vlan 338 738 2999 3892

undo negotiation auto

4 结论

通过一段时间的运行与测试,MSWN网络可以达到设计要求,提高无线网络的安全性。但是,对于用户来说,同时使用两套认证账号,会产生一定影响,这是下一步的研究工作。

参考文献:

[1] 徐卓农,王建新,黄家玮.无线网络中的多速率调整机制综述[J].计算机科学,2011,38(4):43-47.

[2] 代亚非.P2P存储在云计算时代的新的机遇[J].中国计算机学会通讯,2009,6(5):54-56.

[3] Adamic L A,Lukose R M.Eearch in Power Claw Networks[J].Physicasl Review,2001,E64.

[4] Qin L,Pei C,Edith C,et al.Search and replication in unstructured peer-to-peer networks[C]//proceedings of 16th International Conference on Supercomputing.New York:ACM press,2002:84-95.

[5] 陈杨柳.浅析无线局域网安全隐患之七大“罩门”[J].教育教学论坛,2010,18:161-162.

篇9

关键词:高校;校园网建设;关键技术;问题分析

DOI:10.16640/ki.37-1222/t.2017.03.250

0 引言

高校校园网还可以将学校的教学、娱乐、学习以及活动等资源整合在一起,成为一个能够供学生交流、沟通的平台,还能够拉近教师与学生之间的距离。

1 当前我国高校校园网建设所面临的问题

1.1 对高校校园网建设重视度不足

部分高校领导在开展校园建设时,将大多经历集中于学校的设备资源、师资力量等方面的建设,而忽略了校园网平台对高校教育的重要性。高校领导没有真正领悟校园网平台建设是校园教育信息化、现代化的重要途径,导致在对高校校园网建设力度较低,资金投资力度小,没有运用关键性建设技术进行建设,降低了高校的教育能力与质量。

1.2 高校校园网无形建设力度低

在高校校园网建设工作中,主要分为两方面内容,分别为有形建设和无形建设。在有形建设中,主要是对网络硬件,如网线、计算机等设备或线路的建设,而在无形建设中,主要以网络平台软件、计算机系统、管理或者应用软件等无形设备的建设。在高校校园网建设过程中,大部分资金都运用在有形建设方面,学校对无形校园网的建设力度低,导致高校校园网无法发挥出其真正的效用,降低了校园网对高校教育应有的作用。

1.3 高校校园网对关键性建设技术的研究度较低

高校校园网建设的关键性技术能够显著提高校园网的建设速度与质量,但是就目前的调查情况来看,我国大多数高校在开展校园网建设工作时,并没有加深对校园网关键技术的研究与分析,降低了校园网的建设质量。在对高校校园网进行建设时,主要应当针对综合布线技术、网络安全技术、网络管理技术三种关键技术进行分析与研究,将其充分应用在建设工作中,才能提高我国高校校园网的建设水平,进而提高高校的教育效率。

2 对当前我国高校校园网建设关键性技术的分析

2.1 对高校校园网建设中综合布线技术进行分析

综合布线技术在高校校园网建设中,属于基础建设内容。为了实现高校校园网的信息顺利传输,需要利用光缆以及非屏蔽双绞线来充当校园网信息传输的重要传输介质。为了能够将信息中的声音、图像以及数据等内容能够与校园网中其他的系统相关联,必须重视综合布线技术,充分依据合理布线设计方案,进行安装与运行。在高校校园网建设中,采用综合布线技术,能够提高高校相关信息传输的灵活性,属于智能化操作系统的基础设施。

2.2 对高校校园网建设中网络管理技术的分析

在高校校园网网络管理技术中,主要是为了能够确保校园网平台的正常运行,妥善对校园网平台中的庞大数据、信息进行有序管理。在网络管理技术中,主要包含网络配置管理、性能管理、故障检测管理以及安全检测管理等内容。其中,故障检测管理主要起到快速定位故障区域的作用。由于高校校@网的覆盖面积较大,若仅仅依靠人力对网络进行定期排查,当发生故障时,可能会出现故障位置难以确认的现象。为了保障高校校园网平台可以正常运行,减少崩溃、错乱等故障现象,采用网络管理技术可以在故障发生后,快速对故障问题进行分析与定位,提出相应的解决方案,在最短的时间内将故障处理好,提高高校校园网的管理水平。

2.3 对高校校园网建设中网络安全技术的分析

在高校校园网建设时,为了提高高校学生使用网络的安全性,避免在使用校园网的过程中受到病毒、非法人员的攻击,需要在高校校园网建设时加强对网络安全技术的分析。在网络安全技术中,主要是通过网络安全软件,诸如校园网网络防火墙、安全入侵检测管理等技术来提高校园网的安全性。只有提高高校校园网的安全性,才能让高校学生、老师等人员更放心的应用校园网,提高高校校园网的应用性。

2.4 对高校校园网建设中网络系统规划设计技术分析

在高校校园网的网络系统规划设计技术中,主要分为两方面设计技术内容。其一是逻辑网络设计内容,逻辑网络设计内容是通过网络设计师进行设计,对高校现有的网络结构进行分析,根据高校自身的网络结构特点进行网络逻辑和物理结构的设计。另一个是物理网络设计。在物理网络设计中,主要以结构化综合布线设计与网络机房系统设计、供电系统设计为住。加强这三方面的设计内容,就可以提高高校校园网建设水平,完善建设方案,推动我国高校的教育进步。

3 对我国高校校园网的应用分析

3.1 高校校园网在数字图书馆技术中的应用

利用高校校园网平台建立数字图书馆,在数字图书馆中可以集合学校所有的书籍、文献等资料,让其成为电子化图书馆。现代科技在不断进步,随着智能手机的出现,高校师生不仅能够在计算机中登陆数字图书馆,还可以利用手机平台登陆数字图书馆,提高查阅资料的便利性。数字图书馆的建立能够提高校的教育速度,让学生随时随地可以进行学习。

3.2 安全网络技术的应用

将安全网络技术应用在校园网建设中,可以显著提高高校校园网的安全性。首先,可以为高校校园网配备IDS入侵检测系统,利用检测系统信息的方法避免外来网络中的不法分子入侵到校园网平台中。其次可以为高校校园网安装防火墙软件。防火墙软件可以智能分析外来非法用户的数据,并且能够及时检测出病毒,避免出现病毒侵害。除此之外,在防火墙软件中,还可以进行手动操作,提高安全网络技术的人性化,能够有针对性的进行管理,提高我国高校校园网的安全性。

4 结束语

高校在开展校园网建设工作时,只有正视建设问题,加深对建设关键性技术的研究与分析,应当加强对校园网综合布线技术、网络安全技术、网络管理技术以及网络系统规划设计技术等多种关键技术的研究与应用,才能真正提高我国高校校园网的建设完善度,确保校园网的安全度,让高校师生能够安全应用。

篇10

关键词:校园网络;安全体系;网络安全

中图分类号:TP393.18

随着网络技术的发展,计算机网络的安全问题也日益突出。因为网络的开放性一方面促进了信息的共享,但另一方面也正因为这种开放性而给计算机网络带来了安全方面的脆弱性。近几年,我国各个学校普遍建立了校园网,并成为了教育科研网中的一分子。校园网已经成为学校的关键设施,承担着学校教学、科研以及交流的多种角色。因此,如何保证校园网络的安全已经成为一个迫切需要解决的问题。本文就是针对校园网络,探讨校园网安全体系的设计。

1 校园网络安全技术概述

校园网络的安全性应该从整体上加以分析,并借助于多种网络安全技术,这样才能有效保证校园网的可靠、安全以及稳定。下面,简要分析一下校园网络体系设计中所涉及到的相关安全技术。

1.1 防火墙技术

防火墙就是位于内部网及外部网之间的一个保护层,限定所有的网络连接都需要经过该保护层,从而实现内外网数据通信的有效检测。设置防火墙的目的是确保不同网络区域间信息传递的安全性,终端可通过唯一通道对数据流进行允许、拒绝以及重定向传输等处理,从而实现网络服务的有效控制与审计。同时,防火墙设备本身也具有一定的抗攻击能力,可进一步提高网络区域间的访问安全性,更好地阻隔一些非法的访问及入侵。

1.2 入侵检测技术

入侵检测就是借助于计算机网络系统中的一些关键点获取信息,并进行分析,从而发现网络中存在的安全隐患。针对于入侵检测功能的软件与硬件的结合,我们称之为入侵检测系统(IDS)。入侵检测系统的处理过程由四大部分所组成,分别是:数据采集、数据处理、入侵分析以及反馈响应。其中,数据采集是对于网络数据的审核,主要收集相关的通讯数据包;数据处理主要是针对获取的数据包进行格式转换;入侵分析主要是根据转换后的数据判断是否会发生入侵,该部分是IDS的核心;而反馈响应主要是针对检测结果做出响应,比如:通知网络管理人员以及时采取措施。

1.3 防病毒技术

计算机病毒是计算机网络安全威胁中较为严重的一个方面,因为其发生的频率比较高,而且覆盖面广。通常情况下,计算机病毒的防护主要有两种形式:主机防病毒以及网关防病毒。其中,主机防病毒主要是借助于主机防病毒的引擎,对网络文件访问以及交换进行实时监测,并对可疑信息与相关病毒特征码进行匹配处理,如有问题可将文件进行隔离等操作。网关防病毒是直接将计算机病毒阻挡于网关之外,在网关处对可能的病毒入侵途径实施截留、查杀。

2 校园网络安全体系的设计

根据校园网的结构特点,结合上一节的网络安全技术,本节提出相关的校园网络安全体系设计方案。

2.1 学校网络拓扑结构的设计

校园网络包括多种网络设备(如:交换机、防水墙、服务器等)与若干个应用系统(如:奥鹏远程教育管理系统、OA办公应用软件等)。目前,我国多数的校园网是基于交换式以太网进行构建的,并借助于光缆以不同的带宽接入互联网。同时,为了确保校园网内数据的安全性,可采取安装杀毒软件与系统还原卡等方法。

根据笔者多年的工作经历,下面简单探讨一下校园网络拓扑结构的设计需求:可扩展性与延伸性,能满足校园网络的日益发展;安全性与稳定性,能满足一定数量师生同时访问与下载资源时的速率与质量要求;流量可管理性,能支持较多类型的网络应用,可合理分配校园网络内外用户的信息流量。本文设计的校园网络拓扑结构如图1所示:

图1 校园网络安全系统的拓扑示意图

2.2 校园网防火墙的部署

首先,制定并落实校园网络防火墙相关的安全策略,如:校园网络内外数据进行传输时必须经过防火墙的检测与过滤;对默认的服务进行更改,只开放一些必需的服务端口。其次,合理部署校园网络中的各种设备,如:校园网内部的Web、FTP等服务器可放置在防火墙的孤立网段,一方面可阻止内网和外网直接通信,另一方面也在一定程度上保证了内网的安全。这样,通过互联网访问校园网的外网用户只能被限制于一些公开的服务端口,而校园网的内网用户也不可随意访问外网的一些不良资源。校园网防火墙部署如图2所示。

图2 校园网防火墙部署示意图

2.3 入侵检测系统的设计

入侵检测系统的目的是对校园网络中各系统进行实时检测,第一时间发现校园网网络异常或者识别一些攻击者的企图,并做出及时有效的响应,尽可能保证校园网网络未受影响或者将网络损失降低到最小。本文研究的校园网络安全体系方案是在校园网与互联网间设置1台瑞星入侵检测系统,用来实时监测来自互联网、内网的异常与攻击行为,一旦发现入侵,及时阻断攻击源。

3 结束语

总之,校园网络安全体系方案的建立,必将为教学信息系统、行政管理、信息交换提供一个安全的环境和完整的平台。可以从根本上解决来自网络外部对网络安全造成的各种威胁,形成一个更加完善的教学与管理自动化系统。利用高性能的网络安全环境,有效地保证秘密、机密文件的安全传输,保证教学与管理工作的正常运行。

参考文献:

[1]肖阳,李阳.校园网络的多层安全体系研究[J].中南林业科技大学学报,2010(04).