美章网 资料文库 学校计算机网络的安全建构范文

学校计算机网络的安全建构范文

本站小编为你精心准备了学校计算机网络的安全建构参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

学校计算机网络的安全建构

校园网计算机网络对一些网络设备的具体需求

网络设备要尽可能地具有较高的性价比;要采取国际统一的标准;要有合适的网管软件对网络设备进行设置、管理、监控;要采取多种容错技术,做到高可用性和高可靠性,要有较大的吞吐量。

校园计算机网络存在的一些问题

目前校园计算机网络存在的问题主要有以下几个方面:(1)校园计算机网络应用服务没有进行广泛应用。校园计算机网络建成以后,网络应用服务不断进行了完善,但是一些网络应用并没有进行广泛地推广应用,从而导致了网络应用服务没有得到有效地利用。(2)校园计算机网络缺乏安全防范体系建设,从而造成安全防范体系还比较脆弱。(3)内网访问速度还不是那么稳定。目前校内网络都存在着访问外部资源不太稳定的情况,因此网络的稳定性还需要完善。(4)从公网访问校园网的相关资源速度还不是很快,有时甚至出现学校主页打不开的现象。(5)校园计算机网络安全方面还存在着一些问题。校园计算机网络建设过程中会存在经费不足的情况,这样就会采取利用原有的一些设备,可能会对网络的可靠性造成影响。网络的管理者缺乏计算机网络管理经验、防范意识较为薄弱,很容易造成网络瘫痪、系统被攻击、数据丢失、病毒泛滥等状态。目前,一部分学生应用黑客工具较为熟练,有个别学生利用黑客工具对校园计算机网络进行攻击,给校园网安全带来隐患。

校园计算机网络实现目标和设计原则

(一)校园计算机网络建设的目标

根据目前网络发展趋势和校园计算机网络需求,对校园计算机网络确定以下建设目标:(1)校园计算机网络要易于管理和使用。(2)校园计算机网络管理体系必须完善。(3)要考虑长远发展,布线要科学规范。(4)要统一网络协议,坚持标准化和开放性。(5)要积极运用目前比较成熟的技术。(6)要采取分步实施,统一规划。

(二)校园计算机网络系统设计应遵循的一些原则

校园计算机网络系统设计应遵循的一些原则:(1)要合理利用资源并进行优化配置,使资源能够得到科学合理地使用,要认真考虑新建的网络和原有设备的互通和融合,要对现有的设备能够进行充分利用,对原有的一些资源要能够进行认真升级改造,缓解资金带来的压力。(2)在进行校园网建设时应当做到重点在应用、建库建网同行、培训在先三个关键点。(3)校园计算机网络要实现信息化教育,要能够为教学、教育服务。

校园计算机网络设备的整体方案设计

(一)校园计算机网络结构设计

校园计算机网络应当采取层次型模型。该模型具有易于管理、冗余性好、易于排除故障、易于实现、良好的伸缩能力、性能好、结构清晰等特点,可满足校园计算机网络的长期需求。校园计算机网络一般采取三层层次模型,整个校园计算机网络分为核心层、汇聚层、接入层,各层次各司其职。核心层的功能:对于通讯协调非常重要,属于网络高速交换的骨干。核心层中的设备不再承担地址翻译、数据加密、访问列表检查等任务。该层具有以下特征:(1)交换机功能比较强大。(2)提供故障隔离。(3)接口类型广泛,模块化设计。(4)提供冗余链路。(5)提供高可靠性。(6)完成数据流的高速转发,提供负载平衡,连接各汇聚设备。

汇聚层的功能:该层主要是完成路由选择,提供负载平衡、扩展性和快速收敛,汇聚接入层设备流量。接入层的功能:该层是服务器和用户工作站连接到网络的入口,建立汇聚层与工作组的连接,建立独立的冲突域,在学生宿舍和教职工宿舍全部采取流量控制和认证等手段进行接入控制。

1.校园计算机中心网络建设。核心交换机是共享数据、网络信息交换的中心枢纽,是局域网的基石,其性能决定网络中各信息点的工作站访问范围、服务器分发、网络的负载能力、吞吐量和传输速度、响应速度等性能。因此要设计成双核心的互为备份容错结构。

2.校园计算机网络汇聚层建设。校园计算机网络汇聚层要具有可扩展性,应当选用中高密度千兆GBIC接口、模块化的汇聚路由交换机。

3.校园计算机网络接入层建设。由于网络配线间面积有限、数量有限,宿舍端口有较高密度,因此应当选用48口1U交换机,并且在教职工宿舍和学生宿舍全部采取流量控制和认证等手段进行控制。

4.校园计算机网络管理、认证计费平台建设。管理系统要能够实现从网络级到设备级的全方位的网络管理,要能够对以太网中的SNMP管理型设备、IP设备进行科学管理,结合管理设备所能够支持的RMON管理、Web管理、Telnet管理、SNMP管理等构成科学的网络管理解决方案。

(二)校园计算机网络VLAN设计

1.校园计算机网络利用VLAN技术的原因。随着学校对网络需求的增加,不同部门内部数据传输量越来越大。由于学校规模的壮大,学校的教职工不可能集中在一起进行办公,学生宿舍也较为分散。这就学校的财务部门以及学籍管理等要求有较高的安全性,因此就需要用到VLAN技术。VLAN技术也就是虚拟局域网技术,也就是将局域网设备从逻辑上划分为若干子网,从而形成虚拟工作组的一种技术。VLAN技术的出现提高了网络的性能,可以动态管理网络,限制广播范围,形成虚拟工作组,从而解决了局域网的带宽、广播域、冲突域问题。通过VLAN技术可以使同一物理网上的计算机划分为逻辑上相互隔离的网络,这些VLAN在逻辑上等价于广播域,每一个子网就是一个广播域,这些子网在功能上与传统物理上划分的子网是一样的,划分可以根据IP地址、MAC地址、交换机的端口进行。这些VLAN之间要想通讯必须通过第三层路由才能实现。

2.VLAN的划分。VLAN的划分类型会因定义VLAN成员关系的方法不同而存在差异。VLAN的划分主要有以下几种:(1)基于端口的VLAN。这种是最有效、最简单的划分虚拟局域网的方法,它不管什么设备连接交换端口,网络管理员只需要配置和管理交换端口。同一VLAN可以跨越多个交换机,属于同一VLAN端口可以不连续。基于端口的VLAN的划分的缺点是如果某一个VLAN用户离开了原来的端口,移动到一个新的交换机端口就需要重新定义。它的优点是比较容易地定义VLAN成员。(2)基于MAC地址的VLAN。基于MAC地址的VLAN划分主要是按照主机MAC地址进行划分的。这种划分方法的主要优点就是当用户物理位置从一个交换机移动到其他交换机,不需要对VLAN进行重新配置,所以这种方法也可以认为是基于用户的VLAN。(3)基于协议的VLAN。这种VLAN划分方法适合于在一个物理网络中既有IPX协议又有IP协议等多种协议的情况。采取上述方法进行VLAN划分的好处主要是比较容易实施,管理起来比较方便。

3.校园计算机网络使用VLAN技术所带来的好处。在校园计算机整个网络规划中,做好VLAN的划分是非常必要的,科学地利用VLAN技术对于整个网络性能有着非常重要的影响。VLAN划分突出特点主要有以下几个方面:(1)VLAN的划分,不同的VLAN之间通讯受到了限制,只能进行子网内通讯,增加了网络的安全性,子网间要进行访问,就需要通过三层交换,这样就有效地控制了信息流。(2)VLAN的划分,广播数据包不会做无意义的广播,避免了广播风暴。(3)减少站点的改变和移动的开销,实现虚拟的工作组,提高管理效率。(4)应当建立IP子网和VLAN的对应关系,网络管理系统采取完全独立的VLAN和IP子网。(5)VLAN间子网的通讯可以在汇聚设备上实现,也可以在三层交换机上实现,对于一些比较重要的资源采取专家级ACL进行访问权限设定。

作者:周轶捷单位:南通高等师范学校数理系教师