校園網(wǎng)的設(shè)計(jì)規(guī)劃

1、目 錄一、為校園網(wǎng)規(guī)劃IP地址 2二、為校園網(wǎng)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 4三、為校園網(wǎng)選擇適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備 5四、為校園網(wǎng)選擇路由協(xié)議 6五、為校園網(wǎng)選擇網(wǎng)絡(luò)安全措施 6校園網(wǎng)的設(shè)計(jì)規(guī)劃大學(xué)是一所極具現(xiàn)代意識(shí)、以現(xiàn)代化教學(xué)為特色的學(xué)校。為了更好地使計(jì)算機(jī)及其網(wǎng)絡(luò)在教學(xué)、管理等方面發(fā)揮應(yīng)有的作用，為全校教師、科研人員、管理人員、學(xué)生提供一個(gè)先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，引入教學(xué)、科研、管理和學(xué)習(xí)等各個(gè)領(lǐng)域，培養(yǎng)熟悉現(xiàn)代化的工作環(huán)境和掌握先進(jìn)的教學(xué)、科研、管理和學(xué)習(xí)手段的高層次人才。學(xué)校計(jì)劃在校內(nèi)建立校園網(wǎng)并與國際互連網(wǎng)（Internet）相連。根據(jù)學(xué)校的要求，按照“統(tǒng)一規(guī)劃、分步實(shí)施、講究實(shí)效、安全可靠”的原則，

2、進(jìn)行了該大學(xué)校園網(wǎng)綜合系統(tǒng)設(shè)計(jì)。條件如下：(1)某大學(xué)具有6個(gè)二級(jí)學(xué)院，分別位于同一城市的4個(gè)園區(qū)，其中大學(xué)與兩個(gè)二級(jí)學(xué)院在同一個(gè)園區(qū)（園區(qū)1），另外兩個(gè)二級(jí)學(xué)院位于另一個(gè)園區(qū)（園區(qū)2），而其它兩個(gè)學(xué)院分別位于園區(qū)3和園區(qū)4。(2)大學(xué)向因特網(wǎng)發(fā)布信息并為全校提供有關(guān)的信息化服務(wù)，每個(gè)學(xué)院也自行向因特網(wǎng)發(fā)布學(xué)院信息并負(fù)責(zé)學(xué)院自己的信息服務(wù)，每個(gè)學(xué)院都擁有約1500臺(tái)PC機(jī)。(3)大學(xué)已從CERNET有關(guān)機(jī)構(gòu)申請(qǐng)了IPV4地址塊202.113.128.0/24202.113.137.0/24。(4)校園網(wǎng)絡(luò)遵循網(wǎng)絡(luò)核心層、網(wǎng)絡(luò)匯聚層、網(wǎng)絡(luò)接入層的三層結(jié)構(gòu)模式：選用萬兆以太網(wǎng)作為連接大學(xué)4個(gè)園區(qū)的

3、高速主干；選用千兆以太網(wǎng)作為各個(gè)園區(qū)的主干，形成大學(xué)校園網(wǎng)的匯聚層；選用百兆以太網(wǎng)LAN作為基本接入形式。大學(xué)校園網(wǎng)與因特網(wǎng)具有統(tǒng)一接口，即通過百兆以太網(wǎng)接入CERNET。 校園網(wǎng)的設(shè)計(jì)目標(biāo)簡而言之是將各種不同應(yīng)用的信息資源通過高性能的網(wǎng)絡(luò)設(shè)備相互連接起來，形成校園內(nèi)部的Intranet系統(tǒng)，對(duì)外通過路由設(shè)備接入廣域網(wǎng)。具體而言這樣的設(shè)計(jì)目標(biāo)應(yīng)該是：建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助教學(xué)、現(xiàn)代計(jì)算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托、技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、覆蓋全校主要樓宇的校園主干網(wǎng)絡(luò)，將學(xué)校的各種PC機(jī)工作站、終端設(shè)備和局域網(wǎng)連接起來，并與有關(guān)廣域網(wǎng)相連；在網(wǎng)上宣傳和獲取教育資源；在此基礎(chǔ)上建

4、立能滿足教學(xué)、科研和管理工作需要的軟、硬件環(huán)境；開發(fā)各類信息庫和應(yīng)用系統(tǒng)，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)；系統(tǒng)總體設(shè)計(jì)本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性、良好的開放性、可擴(kuò)展性，以及建設(shè)經(jīng)濟(jì)性。一、為校園網(wǎng)規(guī)劃IP地址有條件可知，大學(xué)已從CERNET有關(guān)機(jī)構(gòu)申請(qǐng)了IPV4地址塊202.113.128.0/24202.113.137.0/24共十個(gè)地址塊。6個(gè)二級(jí)學(xué)院、一個(gè)大學(xué)、校園網(wǎng)主干，每個(gè)分一個(gè)地址塊，共需八個(gè)地址塊。每個(gè)地址塊共有254個(gè)因特網(wǎng)IP地址（例：202.113.128.1202.113.128.254），而每個(gè)學(xué)院都擁有約1500臺(tái)

5、PC機(jī)，254個(gè)因特網(wǎng)IP地址不夠給約1500臺(tái)PC機(jī)分的。所以這里需要使用動(dòng)態(tài)地址分配技術(shù)和網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）技術(shù)。 對(duì)IP地址202.113.128.0/24202.113.137.0/24地址塊進(jìn)行分配：202.113.128.0/24 二級(jí)學(xué)院 202.113.129.0/24 二級(jí)學(xué)院園區(qū)1202.113.130.0/24 大學(xué)園區(qū)2202.113.131.0/24 二級(jí)學(xué)院202.113.132.0/24 二級(jí)學(xué)院202.113.133.0/24 二級(jí)學(xué)院園區(qū)3202.113.134.0/24 二級(jí)學(xué)院園區(qū)4202.113.135.0/24校園網(wǎng)主干剩余的202.113.136

6、.0/24和202.113.137.0/24兩個(gè)地址塊作為備用或?qū)碓黾釉O(shè)備時(shí)再使用。如果當(dāng)1500臺(tái)PC機(jī)使用的較少時(shí)，可使用動(dòng)態(tài)地址分配技術(shù)（DHCP），它可以為臨時(shí)上網(wǎng)的用戶分配一個(gè)IP地址，用戶用完后再收回該地址，在供別人使用。如果當(dāng)1500臺(tái)PC機(jī)被同時(shí)使用的個(gè)數(shù)大于254時(shí)，僅使用DHCP協(xié)議IP地址會(huì)不夠分，這時(shí)還應(yīng)使用網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）。在這種方式下，可以為大量用戶分配一個(gè)內(nèi)部IP地址，再要與因特網(wǎng)通信時(shí)，要進(jìn)行地址轉(zhuǎn)換，將內(nèi)部地址轉(zhuǎn)換為該內(nèi)部網(wǎng)絡(luò)的某個(gè)代理主機(jī)的IP地址，而該IP地址是因特網(wǎng)的某個(gè)合法IP地址 陳鳴.網(wǎng)絡(luò)工程設(shè)計(jì)教程：系統(tǒng)集成方法.北京：機(jī)械工業(yè)出版社，2

7、008,203.。將內(nèi)部地址分配給代理IP地址：1500臺(tái)PC機(jī)都分一個(gè)內(nèi)部地址，這些內(nèi)部地址平均分配給其中一個(gè)地址塊的254個(gè)IP地址192.168.0.1-192.168.0.254192.168.1.1-192.168.1.254 .共6個(gè)地址塊 .192.168.5.1-192.168.5.254 . . .192.168.35.1-192.168.35.254NAT英文全稱是“Network Address Translation”，中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”，它是一個(gè)IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn)，允許一

8、個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。如圖1如圖1 地址轉(zhuǎn)換 簡單的說，NAT就是在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部節(jié)點(diǎn)要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)（可以理解為出口，打個(gè)比方就像院子的門一樣）處，將內(nèi)部地址替換成公用地址，從而在外部公網(wǎng)（internet）上正常使用，NAT可以使多臺(tái)計(jì)算機(jī)共享Internet連接，這一功能很好地解決了公共IP地址緊缺的問題。通過這種方法，您可以只申請(qǐng)一個(gè)合法IP地址，就把整個(gè)局域網(wǎng)中的計(jì)算機(jī)接入Internet中。這時(shí)，

9、NAT屏蔽了內(nèi)部網(wǎng)絡(luò)，所有內(nèi)部網(wǎng)計(jì)算機(jī)對(duì)于公共網(wǎng)絡(luò)來說是不可見的，而內(nèi)部網(wǎng)計(jì)算機(jī)用戶通常不會(huì)意識(shí)到NAT的存在。二、為校園網(wǎng)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 圖2 層次模型拓?fù)浣Y(jié)構(gòu)圖3 校園網(wǎng)的核心層結(jié)構(gòu)圖4某學(xué)院園區(qū)網(wǎng)的二層網(wǎng)絡(luò)拓?fù)錁?gòu)架三、為校園網(wǎng)選擇適當(dāng)?shù)木W(wǎng)絡(luò)設(shè)備選用萬兆以太網(wǎng)作為核心層（連接大學(xué)4個(gè)園區(qū)的高速主干）；選用千兆以太網(wǎng)作為各個(gè)園區(qū)的主干，形成大學(xué)校園網(wǎng)的匯聚層；選用百兆以太網(wǎng)LAN作為基本接入形式。萬兆以太網(wǎng)選擇的網(wǎng)絡(luò)設(shè)備為Cisco公司的萬兆交換機(jī)Cat6509，采用租用電信公司的光線裸芯，用萬兆速率將4個(gè)園區(qū)的4個(gè)千兆交換機(jī)（園區(qū)一含一個(gè)萬兆交換機(jī)）連成一個(gè)環(huán)（如圖3），預(yù)計(jì)總速率可達(dá)到

10、40GHz的帶寬水平。千兆以太網(wǎng)選擇的網(wǎng)絡(luò)設(shè)備為各二級(jí)學(xué)院使用的交換機(jī)可為Catalyst 3524/3548，六類雙絞線或千兆光纜。此外，每個(gè)園區(qū)都須有防火墻的配置。百兆以太網(wǎng)選擇的網(wǎng)絡(luò)設(shè)備為百兆光纜，百兆交換機(jī),可為Catalyst 2924M-XL，超五類雙絞線。四、為校園網(wǎng)選擇路由協(xié)議使用開放最短路徑優(yōu)先（OSPF），OSPF是一套鏈路狀態(tài)路由協(xié)議，這意味著路由選擇的變化基于網(wǎng)絡(luò)中路由器物理連接的狀態(tài)與速度，并且變化被立即廣播到網(wǎng)絡(luò)中的每一個(gè)路由器。 當(dāng)一個(gè)OSPF路由器第一次被激活，它使用OSPF的“hello協(xié)議”來發(fā)現(xiàn)與它連接的鄰節(jié)點(diǎn)，然后用LSA(鏈路狀態(tài)廣播信息)等和這些路由

11、器交換鏈路狀態(tài)信息。每個(gè)路由器都創(chuàng)建了由每個(gè)接口、對(duì)應(yīng)鄰節(jié)點(diǎn)和接口速度組成的數(shù)據(jù)庫。每個(gè)路由器從鄰接路由器收到的LSA被繼續(xù)向各自的鄰接路由器傳遞，直到網(wǎng)絡(luò)中的每個(gè)路由器收到了所有其它路由器的LSA。鏈路狀態(tài)數(shù)據(jù)庫不同于路由表，根據(jù)數(shù)據(jù)庫中的信息，每個(gè)路由器計(jì)算到網(wǎng)絡(luò)的每一目標(biāo)的一條路徑，創(chuàng)建以它為根的路由拓?fù)浣Y(jié)構(gòu)樹，其中包含了形成路由表基礎(chǔ)的最短路徑優(yōu)先樹(SPF樹)。LSA每30分鐘被交換一次，除非網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有變化。例如，如果接口變化，信息立刻通過網(wǎng)絡(luò)廣播；如果有多余路徑，收斂將重新計(jì)算SPF樹。計(jì)算SPF樹所需的時(shí)間取決于網(wǎng)絡(luò)規(guī)模的大小。因?yàn)檫@些計(jì)算，路由器運(yùn)行OSPF需要占用更多CP

12、U資源。 一種彌補(bǔ)OSPF協(xié)議占用CPU和內(nèi)存資源的方法是將網(wǎng)絡(luò)分成獨(dú)立的層次域，稱為區(qū)域(Area)。每個(gè)路由器僅與它們自己區(qū)域內(nèi)的其它路由器交換LSA。Area0被作為主干區(qū)域，所有區(qū)域必須與Area0相鄰接。在ABR(區(qū)域邊界路由器，AreaBorderRouter)上定義了兩個(gè)區(qū)域之間的邊界。ABR與Area0和另一個(gè)非主干區(qū)域至少分別有一個(gè)接口。最優(yōu)設(shè)計(jì)的OSPF網(wǎng)絡(luò)包含通過VLSM與每個(gè)區(qū)域鄰接的主干網(wǎng)絡(luò)。這使得在路由表的一個(gè)條目中描述多個(gè)網(wǎng)絡(luò)成為可能。雖然OSPF協(xié)議是RIP協(xié)議強(qiáng)大的替代品，但是它執(zhí)行時(shí)需要更多的路由器資源。如果網(wǎng)絡(luò)中正在運(yùn)轉(zhuǎn)的是RIP協(xié)議，并且沒有發(fā)生任何問題

13、，仍然可以繼續(xù)使用。但是如果想在網(wǎng)絡(luò)中利用基于標(biāo)準(zhǔn)協(xié)議的多余鏈路，OSPF協(xié)議是更好的選擇。 五、為校園網(wǎng)選擇網(wǎng)絡(luò)安全措施隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的日益普及，許多學(xué)校都建立了校園網(wǎng)絡(luò)并投入使用，這無疑對(duì)加快信息處理，提高工作效率，減輕勞動(dòng)強(qiáng)度，實(shí)現(xiàn)資源共享都起到了無法估量的作用。但教師和學(xué)生在使用校園網(wǎng)絡(luò)的同時(shí)卻忽略了網(wǎng)絡(luò)安全問題，登陸了一些非法網(wǎng)站和使用了帶病毒的軟件，導(dǎo)致了校園計(jì)算機(jī)系統(tǒng)的崩潰，給計(jì)算機(jī)教師帶來了大量的工作負(fù)擔(dān)，也嚴(yán)重影響了校園網(wǎng)的正常運(yùn)行。所以在積極發(fā)展辦公自動(dòng)化、實(shí)現(xiàn)資源共享的同時(shí)，教師和學(xué)生都應(yīng)加強(qiáng)對(duì)校園網(wǎng)絡(luò)的安全重視。正如人們經(jīng)常所說的：網(wǎng)絡(luò)的生命在

14、于其安全性。因此，如何在現(xiàn)有的條件下，如何搞好網(wǎng)絡(luò)的安全，就成了校園網(wǎng)絡(luò)管理人員的一個(gè)重要課題。網(wǎng)絡(luò)安全主要是網(wǎng)絡(luò)信息系統(tǒng)的安全性，包括系統(tǒng)安全、網(wǎng)絡(luò)運(yùn)行安全和內(nèi)部網(wǎng)絡(luò)安全。系統(tǒng)安全包括主機(jī)和服務(wù)器的運(yùn)行安全，主要措施有反病毒。入侵檢測、審計(jì)分析等技術(shù)。 反病毒技術(shù)：計(jì)算機(jī)病毒是引起計(jì)算機(jī)故障、破壞計(jì)算機(jī)數(shù)據(jù)的程序，它能夠傳染其它程序，并進(jìn)行自我復(fù)制，特別是要網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有著不可估量的威脅性和破壞力，因此對(duì)計(jì)算機(jī)病毒的防范是校園網(wǎng)絡(luò)安全建設(shè)的一個(gè)重要環(huán)節(jié)，具體方法是使用防病毒軟件對(duì)服務(wù)器中的文件進(jìn)行頻繁掃描和監(jiān)測，或者在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問權(quán)限等。如安裝遠(yuǎn)程

15、教育中心配置的金山毒霸進(jìn)行實(shí)時(shí)監(jiān)控，效果不錯(cuò)。入侵檢測：入侵檢測指對(duì)入侵行為的發(fā)現(xiàn)。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)它們進(jìn)行分析，從中發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象，以提高系統(tǒng)管理員的安全管理能力，及時(shí)對(duì)系統(tǒng)進(jìn)行安全防范。入侵檢測系統(tǒng)包括進(jìn)行入侵檢測的軟件和硬件，主要功能有：檢測并分析用戶和系統(tǒng)的活動(dòng)；檢查系統(tǒng)的配置和操作系統(tǒng)的日志；發(fā)現(xiàn)漏洞、統(tǒng)計(jì)分析異常行為等等。審計(jì)監(jiān)控技術(shù)。審計(jì)是記錄用戶使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰訪問了系統(tǒng)，還能指出系統(tǒng)正被怎樣地使用。對(duì)于確定是否有網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問

16、題和攻擊源很重要。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問題，并且它是后面階段事故處理的重要依據(jù)。另外，通過對(duì)安全事件的不斷收集、積聚和分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，可以及早發(fā)現(xiàn)可能產(chǎn)生的破壞性行為。因此，除使用一般的網(wǎng)管軟件系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前已較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。 網(wǎng)絡(luò)運(yùn)行安全除了采用各種安全檢測和控制技術(shù)來防止各種安全隱患外，還要有備份與恢復(fù)等應(yīng)急措施來保證網(wǎng)絡(luò)受到攻擊后，能盡快地全盤恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)。一般數(shù)據(jù)備份操作有三種。一是全盤備份，

17、即將所有文件寫入備份介質(zhì)；二是增量備份，只備份那些上次備份之后更改過的文件，這種備份是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文件。根據(jù)備份的存儲(chǔ)媒介不同，有“冷備份”和“熱備份”兩種方案。“熱備份”是指下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過傳到另一個(gè)非工作的分區(qū)或是另一個(gè)非實(shí)時(shí)處理的業(yè)務(wù)系統(tǒng)中存放，具有速度快和調(diào)用方便的特點(diǎn)?！袄鋫浞荨笔菍⑾螺d的備份存入到安全的存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝。其特點(diǎn)是便于保管，用以彌補(bǔ)了熱備份的一些不足。進(jìn)行備份的過程中，常使用備份軟件，如GHOST等。內(nèi)部網(wǎng)絡(luò)安

18、全為了保證局域網(wǎng)安全，內(nèi)網(wǎng)和外網(wǎng)最好進(jìn)行訪問隔離，常用的措施是在內(nèi)部網(wǎng)與外部網(wǎng)之間采用訪問控制和進(jìn)行網(wǎng)絡(luò)安全檢測，以增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)的安全性。訪問控制：在內(nèi)外網(wǎng)隔離及訪問系統(tǒng)中，采用防火墻技術(shù)是目前保護(hù)內(nèi)部網(wǎng)安全的最主要的，同時(shí)也是最在效和最經(jīng)濟(jì)的措施之一。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)安全政策控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)。實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻技術(shù)可以決定哪些內(nèi)部服務(wù)可以被外界訪問，外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。其基本功能有：過濾進(jìn)、出的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)等。應(yīng)該強(qiáng)調(diào)的是，防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分，而不