羅梅
摘 要:隨著計算機信息網絡的飛速發(fā)展和應用的不斷推廣,充分利用各種網絡已逐漸成為一種世界性行為,及時地建設校園網的好處將是顯著的和長遠的。校園網的利用在今天還沒有能夠全面的推廣,我們要依據(jù)其系統(tǒng)需求分析來確定設計的目標與原則,規(guī)劃合理的拓撲結構,以實現(xiàn)校園網的總體設計方案及利用打下基礎,然而,管理好、維護好校園網也是網絡建設的關鍵所在。
關鍵詞:校園網;建設;安全;維護
一、計算機使用現(xiàn)狀
1.網絡平臺使用效率較低,沒有充分發(fā)揮網絡優(yōu)勢。
2.網絡使用者缺乏相關技術、技能的培訓。
3.網絡軟件建設投入較少,網絡資源嚴重不足。
4.校園網內容單一,更新緩慢。
二、校園網系統(tǒng)設計目標與原則
(一)校園網系統(tǒng)設計目標
在當今這個知識和數(shù)字經濟時代,校園網的建設應是一個以寬帶IP地址為目標建立數(shù)據(jù)、語音、視頻三者合一的一體化網絡;為提高網絡可靠性及安全性,需要在主干網采用光纖網線,校園網應實現(xiàn)虛擬局域網(VLAN)的功能,以保證全網的良好性能及網絡安全性;主干網交換機應具有很高的包交換速度,整個網絡應具有高速的三層交換功能;主干網絡應該采用成熟的、可靠的快速以太網和千兆位以太網技術作為校園網主干;校園網應選用先進的網管軟件,建立完善的網絡管理體系。
(二)校園網系統(tǒng)設計原則
1.開放性。采用開放性的網絡體系,以方便網絡的升級、擴展和互聯(lián);同時在選擇服務器、網絡產品時,強調產品支持的網絡協(xié)議的國際標準化。
2.可擴充性。從主干網絡設備的選型及其模塊、插槽個數(shù)、管理軟件和網絡整體結構,以及技術的開放性和對相關協(xié)議的支持等方面,來保證網絡系統(tǒng)的可擴充性。
3.可管理性。利用圖形化的管理界面和簡潔的操作方式,合理地網絡規(guī)劃策略,提供強大的網絡管理功能;使日常的維護和操作變得直觀,便捷和高效。
4.安全性。內部網絡之間、內部網絡與外部公共網之間的互聯(lián),利用VLAN/ELAN、防火墻等對訪問進行控制,確保網絡的安全。
三、校園網絡建設與管理案例分析
(一)案例背景
安徽某職業(yè)學校是公辦國家級重點學校,學校已有三十多年辦學經驗。學校設有各專業(yè)的實習實驗室,學校師生總人數(shù)近萬人。學校共有四個校區(qū),分布在合肥不同區(qū)域。需建設統(tǒng)一的校園網絡,實現(xiàn)四個校區(qū)互連互通,為學校各類應用系統(tǒng)運行提供智能信息化校園網絡平臺。
(二)設計要求
因為校園的建設各期不同,所以要解決各區(qū)域網絡系統(tǒng)的連接,實現(xiàn)學校各區(qū)域的信息交流和資源共享。實現(xiàn)全校各種計算機設備和網絡互連設備的通信;網絡能同時支持用戶計算機設備的有線接入和無線接入;充分考慮網絡系統(tǒng)的可擴展性,能滿足未來系統(tǒng)擴充發(fā)展和升級的需要;滿足多媒體信息化教學系統(tǒng)的網絡要求;滿足智能化教務、教室管理系統(tǒng)網絡要求;滿足辦公管理自動化網絡要求;能為用戶提供優(yōu)良的公共多媒體信息。
(三)組網技術選擇
整網采用萬兆核心、千兆骨干、百兆到桌面的設計理念。高吞吐量,線速轉發(fā)的核心路由器和三層交換機,保證了網絡的高效運轉。網絡接口處配置高性能防火墻,支持應用層報文過濾;配置四臺路由器,可通過動態(tài)獲取對端的信息建立VPN連接。在邊界防火墻后面配置專用VPN網關,各校區(qū)之間建立VPN隧道,進行數(shù)據(jù)封裝、加密和傳輸;在局域網數(shù)據(jù)中心部署VPN管理組件,實現(xiàn)對VPN網關的部署管理和監(jiān)控。
(四)網絡中心節(jié)點設計
中心節(jié)點是整個校園網絡的心臟部分,其主要功能是安全、快速地進行大量數(shù)據(jù)的傳送。網絡設備既做到雙機備份,又同時進行負載均衡。中心節(jié)點選用四臺高端核心交換機。通過高速的核心交換來實現(xiàn)整個網絡的高速交換和網絡管理。四臺核心交換機之間用多個萬兆鏈路連接,互為備份,實現(xiàn)整個網絡的高可靠性。
(五)網絡接入節(jié)點設計
每個接入節(jié)點分別配備一批可疊加交換機,每臺交換機配置兩塊千兆多模光纖模塊,采用多模光纖接入到分中心節(jié)點交換機上,以I0001vl速率通信。每臺交換機可提供24/48個100MR,J45端口,供各信息點接入。每個接入節(jié)點,可根據(jù)用戶數(shù)量的多少和接入用戶的擴展,選擇堆疊。每個接入節(jié)點單元,可采用雙管理模塊,實現(xiàn)互為冗余備份的管理結構,以提高接入節(jié)點運行的可靠性。
四、校園教學網的安全與維護
1.采用入侵檢測系統(tǒng)。入侵檢測系統(tǒng)是為保證網絡系統(tǒng)的安全而設計配置的一種能夠及時檢測并報告系統(tǒng)中未授權或異?,F(xiàn)象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何異常的活動,從而達到禁止這些活動保護系統(tǒng)安全的目的。
2.運用過濾平臺和防火墻技術。過濾技術可以把不良的網站以及網上色情、暴力有強大的攔截功能。防火墻技術包含動態(tài)的包過濾、應用代理服務器、用戶認證、網絡地址轉換、預警模塊、日志及計費分析等功能。可以有效地將內部網與外部網隔離開,保護校園網絡不被未授權的第三方入侵。
3.運用VLAN技術。VLAN技術核心是網絡分段。根據(jù)不同的應用業(yè)務及不同的安全級別,將網絡分段并進行隔離,實現(xiàn)相互間的訪問控制,可以達到限制用戶非法訪問目的。
4.漏洞掃描系統(tǒng)的設計。對大型網絡的復雜性和不斷變化的情況,尋找一種能查找網絡安全漏洞,評估并提出修改建議的網絡安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。
5.運用跟蹤手段。黑客攻擊事件發(fā)生后,盡快恢復系統(tǒng)正常運行,并通過對跟蹤記錄的分析來找出黑客進入方式,然后彌補相關漏洞,防止再次受到攻擊。
總之校園網的安全問題是一個全面系統(tǒng)性的工程,不能單單靠網絡入侵檢測和其它網絡安全技術,而是要仔細思考系統(tǒng)的安全需求,建立相應的管理制度,并將各種安全措施與管理制度相結合在一起,這樣才能形成一個可靠、高效、大眾化的校園網絡系統(tǒng)。