梁志強(qiáng)

摘要: 本文作者對(duì)我校校園網(wǎng)的網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)的方案進(jìn)行了介紹。

關(guān)鍵詞: 校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)安全管理需求設(shè)計(jì)特點(diǎn)

一、 校園地理環(huán)境

我校分為南北兩個(gè)校區(qū),南區(qū)為教學(xué)區(qū),包括:三棟教學(xué)樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學(xué)生宿舍;北區(qū)為實(shí)訓(xùn)中心,與南區(qū)相隔一條街道,包括:南北兩棟實(shí)訓(xùn)樓。

二、校園網(wǎng)功能需求

學(xué)校是以現(xiàn)代化手段培養(yǎng)人才的地方。為了更好地使計(jì)算機(jī)及其網(wǎng)絡(luò)在輔助教學(xué)、教學(xué)管理等方面發(fā)揮作用,我校計(jì)劃在校內(nèi)建立校園網(wǎng),并與國(guó)際互聯(lián)網(wǎng)相連。

校園網(wǎng)的信息點(diǎn)應(yīng)該普及兩個(gè)校園區(qū)所有教學(xué)樓的教室,實(shí)訓(xùn)中心的電腦室、實(shí)訓(xùn)室,教師辦公樓,圖書館,宿舍樓等,同時(shí)教室辦公樓應(yīng)該提供無(wú)線網(wǎng)絡(luò)接入。校園內(nèi)每個(gè)信息點(diǎn)的電腦都可以相互訪問(wèn),實(shí)現(xiàn)廣泛的軟件、硬件資源共享;同時(shí)每個(gè)信息點(diǎn)的電腦都能接入互聯(lián)網(wǎng),提供基本的Internet網(wǎng)絡(luò)服務(wù)功能,如電子郵件、對(duì)外個(gè)人主頁(yè)服務(wù)、ftp服務(wù)、域名服務(wù)等。

三、校園網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1.綜合布線結(jié)構(gòu)

根據(jù)學(xué)校的地理位置,各棟建筑物到網(wǎng)絡(luò)中心的距離,以及數(shù)據(jù)的流量,采取光纖+超五類綜合布線系統(tǒng)。

(1)主干網(wǎng)。網(wǎng)絡(luò)中心在圖書館四樓,對(duì)于南區(qū)教學(xué)區(qū),因?yàn)槊織潣堑骄W(wǎng)絡(luò)中心都在400米左右,所以每棟樓的交換機(jī)都用12芯的室外多模光纜與網(wǎng)絡(luò)中心的核心交換機(jī)連接;而北區(qū)實(shí)訓(xùn)中心因?yàn)殡x網(wǎng)絡(luò)中心太遠(yuǎn),南北樓的交換機(jī)用12芯的室外單模光纜與網(wǎng)絡(luò)中心的核心交換機(jī)連接。主干網(wǎng)是由光纖構(gòu)成的1000M網(wǎng)。

(2)樓內(nèi)網(wǎng)。每棟樓的交換機(jī)都放在四樓中間的一間房間里,各個(gè)信息點(diǎn)到交換機(jī)的距離都在100米內(nèi),樓內(nèi)的布線用超五類線,為每間教室、實(shí)訓(xùn)室、辦公室等提供兩個(gè)信息點(diǎn)。樓里面則構(gòu)成10—100M的網(wǎng)絡(luò)。

2.設(shè)備選型

網(wǎng)絡(luò)設(shè)備必須在技術(shù)上具有先進(jìn)性、通用性,必須便于管理、維護(hù)。網(wǎng)絡(luò)設(shè)備應(yīng)該滿足學(xué)?，F(xiàn)有計(jì)算機(jī)設(shè)備的高速接入,應(yīng)該具備未來(lái)良好的可擴(kuò)展性、可升級(jí)性,保護(hù)學(xué)校的投資。網(wǎng)絡(luò)設(shè)備必須在滿足功能與性能的基礎(chǔ)上價(jià)格最優(yōu)。網(wǎng)絡(luò)設(shè)備應(yīng)該選擇擁有足夠?qū)嵙褪袌?chǎng)份額的廠商的主流產(chǎn)品,同時(shí)設(shè)備廠商必須有良好的市場(chǎng)形象與售后技術(shù)支持。

根據(jù)多方面的考慮,我們確定選用華為三康的設(shè)備,路由器用MSR30-40,防火墻用F-1000A,核心交換機(jī)用S-7506,各棟樓的接入交換機(jī)用E-126A。這些設(shè)備完全滿足校園各種功能需要,同時(shí)也滿足未來(lái)擴(kuò)展的需要。

3.Internet接入

根據(jù)對(duì)全?？偝隹诹髁康墓浪?為確保內(nèi)部網(wǎng)站和外部網(wǎng)站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個(gè)Internet固定的IP地址,所有計(jì)算機(jī)都通過(guò)NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)進(jìn)入Internet。

4.VLAN規(guī)劃

VLAN為虛擬局域網(wǎng),它有如下優(yōu)勢(shì):抑制網(wǎng)絡(luò)上的廣播風(fēng)暴;增加網(wǎng)絡(luò)的安全性;集中化的管理控制?；谶@些優(yōu)點(diǎn),我們按照各棟樓的不同情況對(duì)交換機(jī)進(jìn)行VLAN劃分,具體是:VLAN1—設(shè)備管理、VLAN10—圖書館、VLAN11—教師辦公樓、VLAN12—實(shí)訓(xùn)中心南、VLAN13—實(shí)訓(xùn)中心北、VLAN14—4號(hào)教學(xué)樓、VLAN15—5號(hào)教學(xué)樓、VLAN16—1號(hào)教學(xué)樓、VLAN17—教工宿舍。

5.路由規(guī)劃

核心三層交換機(jī)S-7506實(shí)現(xiàn)VLAN之間的相互訪問(wèn)。對(duì)于三層交換機(jī)來(lái)講,所有VLAN(網(wǎng)段)都是直連的,因此只需要啟動(dòng)路由,而不需要設(shè)置額外的靜態(tài)或動(dòng)態(tài)路由條目。我們?cè)赟-7506中創(chuàng)建VLAN 10至VLAN 17,并把與接入層交換機(jī)光纖連接的光纖端口添加到對(duì)應(yīng)的VLAN中,同時(shí)給VLAN端口添加對(duì)應(yīng)的網(wǎng)關(guān)IP作為虛擬端口的IP地址,實(shí)現(xiàn)整個(gè)校園網(wǎng)不同網(wǎng)段之間的相互訪問(wèn)。

6.無(wú)線接入

充分利用計(jì)算機(jī)輔助教學(xué)及利用網(wǎng)絡(luò)軟硬件的資源共享,是校園網(wǎng)為教學(xué)服務(wù)的一大特點(diǎn),我校教師每人配備了一臺(tái)手提電腦,手提電腦接入校園網(wǎng),采取無(wú)線接入的方式。

構(gòu)建“無(wú)線漫游”接入?yún)^(qū),在辦公樓放置三個(gè)TP-LINK841無(wú)線路由器,SSID都是BanGong,頻道則分別為1、6、11三個(gè)互不干預(yù)的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24—192.168.1.200/24,這樣教師可以很方便地接入到校園網(wǎng)。

7.開放計(jì)算機(jī)機(jī)房

學(xué)校內(nèi)有大量的各種各樣的開放式機(jī)房,是學(xué)生學(xué)習(xí)計(jì)算機(jī)的場(chǎng)所,通常這些計(jì)算機(jī)連成一個(gè)局域網(wǎng),除具備一般的互訪外,通常還要求這些計(jì)算機(jī)能夠訪問(wèn)到Internet。為滿足教學(xué)要求,我們作了如下規(guī)劃:(1)IP地址用私有C類192.168.0.0/24。(2)實(shí)現(xiàn)Internet訪問(wèn),實(shí)際上是一個(gè)局域網(wǎng)PC如何共享上網(wǎng)的問(wèn)題。在每一個(gè)機(jī)房部署一個(gè)信息點(diǎn),相當(dāng)于Internet出口,用服務(wù)器代理的方式通過(guò)信息點(diǎn)接入校園網(wǎng),從而實(shí)現(xiàn)訪問(wèn)Internet。

8.對(duì)外發(fā)布站點(diǎn)

對(duì)于一些外部站點(diǎn)的問(wèn)題,通常放置在DMZ區(qū)內(nèi),DMZ區(qū)的安全等級(jí)高于外網(wǎng),低于內(nèi)網(wǎng),防火墻的默認(rèn)規(guī)則是允許安全等級(jí)高的訪問(wèn)安全等級(jí)低的,禁止安全等級(jí)低的訪問(wèn)安全等級(jí)高的。因此,防火墻不需要設(shè)置規(guī)則就可以實(shí)現(xiàn)內(nèi)網(wǎng)訪問(wèn)到DMZ區(qū),但外網(wǎng)不能訪問(wèn)到DMZ區(qū)。對(duì)于學(xué)校來(lái)講,WWW站點(diǎn)的主要目的就是對(duì)外發(fā)布信息,必須讓外網(wǎng)能夠訪問(wèn)到,為了到達(dá)這個(gè)目的,可以在防火墻上添加一些規(guī)則,開放DMZ區(qū)所在服務(wù)器的IP,以及相應(yīng)的端口。在DMZ區(qū)放置學(xué)校的服務(wù)器:郵件服務(wù)器、WWW服務(wù)器、數(shù)據(jù)服務(wù)器、文件服務(wù)器。

四、網(wǎng)絡(luò)安全及管理需求

校園網(wǎng)是巨大的資源中心,存放著各方面的信息資源,涉及學(xué)校的方方面面,同時(shí),校園網(wǎng)又是一個(gè)開放的系統(tǒng),有不同的人員在校內(nèi)或校外訪問(wèn)它,因此,校園網(wǎng)的建立不僅是網(wǎng)絡(luò)硬件和應(yīng)用的建立,還應(yīng)該特別重視校園網(wǎng)的安全問(wèn)題。網(wǎng)絡(luò)安全是一個(gè)體系結(jié)構(gòu),涉及整個(gè)辦公環(huán)境的各個(gè)方面,包括人員和設(shè)備,信息的駐留點(diǎn),以及沿途經(jīng)過(guò)的各個(gè)中間環(huán)節(jié),從物理層到應(yīng)用層都要小心對(duì)待。

1.設(shè)備級(jí)安全

包括網(wǎng)絡(luò)中所有可管理的網(wǎng)絡(luò)設(shè)備、服務(wù)器和網(wǎng)管工作站的安全。設(shè)備級(jí)安全是網(wǎng)絡(luò)的第一道屏障,嚴(yán)格限制能夠遠(yuǎn)程管理(包括Telnet方式和Web方式)網(wǎng)絡(luò)設(shè)備的IP地址列表,必要時(shí)關(guān)閉部分或全部遠(yuǎn)程管理功能;對(duì)于核心網(wǎng)絡(luò)設(shè)備,如骨干交換機(jī)和路由器,建議不設(shè)遠(yuǎn)程管理IP地址。

2.傳輸級(jí)安全

指敏感數(shù)據(jù)在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無(wú)輻射抗干擾的光纖作為傳輸介質(zhì),室內(nèi)明線使用屏蔽雙絞線,中心機(jī)房加裝屏蔽網(wǎng),對(duì)遠(yuǎn)程傳輸?shù)男畔⑦M(jìn)行加密等。

3.網(wǎng)絡(luò)層安全

是網(wǎng)絡(luò)安全設(shè)計(jì)中的重要一環(huán)。網(wǎng)絡(luò)層攻擊是黑客最常用的攻擊方式,如外部入侵。對(duì)付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進(jìn)行內(nèi)外隔離,同時(shí)內(nèi)網(wǎng)采用保留IP地址,訪問(wèn)外網(wǎng)時(shí)進(jìn)行NAT轉(zhuǎn)換(網(wǎng)絡(luò)地址轉(zhuǎn)換)。除了防止外部入侵外,也要注意防止內(nèi)部的越權(quán)訪問(wèn)和故意破壞,一般在VLAN之間進(jìn)行訪問(wèn)控制。

4.應(yīng)用級(jí)安全

包括防病毒和認(rèn)證體系。近年來(lái)病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對(duì)于病毒問(wèn)題,有效的解決方法是安裝網(wǎng)絡(luò)防病毒軟件,修補(bǔ)系統(tǒng)漏洞。同時(shí)也要防范因內(nèi)部人員不經(jīng)意或故意“環(huán)路”,形成的“網(wǎng)絡(luò)震蕩”,解決辦法是設(shè)置交換機(jī)STP協(xié)議(生成樹協(xié)議)。

校園網(wǎng)是一個(gè)比較大型的網(wǎng)絡(luò),為了保證校園網(wǎng)更加有效、可靠地運(yùn)行,我們配置了一臺(tái)網(wǎng)絡(luò)管理工作站,以便更有效地對(duì)校園網(wǎng)進(jìn)行管理。根據(jù)網(wǎng)絡(luò)設(shè)備選型,我們選擇華為三康管理軟件,同時(shí)用第三方管理軟件一起管理網(wǎng)絡(luò),主要是solarwinds-toolset工具箱V9.2、超級(jí)PING、Sniffer Portable 4.8這三個(gè)軟件。

五、方案規(guī)劃設(shè)計(jì)特點(diǎn)

該校園網(wǎng)方案采用成熟的先進(jìn)的技術(shù),采用國(guó)際統(tǒng)一標(biāo)準(zhǔn)有廣泛的支持廠商;所有設(shè)備都用華為三康一線產(chǎn)品。Internet帶寬合理,確保網(wǎng)絡(luò)不出現(xiàn)“塞車”現(xiàn)象;設(shè)置三層核心交換機(jī),將整個(gè)網(wǎng)絡(luò)劃分為多個(gè)VLAN,從而使網(wǎng)絡(luò)更加安全;同時(shí)本方案充分考慮了網(wǎng)絡(luò)未來(lái)的升級(jí)與發(fā)展,把網(wǎng)絡(luò)主干網(wǎng)構(gòu)成了信息高速網(wǎng),對(duì)未來(lái)的發(fā)展非常有利。

參考文獻(xiàn):

[1]王達(dá).網(wǎng)管員必讀系列叢書(第二版).電子工業(yè)出版社.