校園網絡管理方案范文

時間:2024-03-05 18:10:33

導語:如何才能寫好一篇校園網絡管理方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

校園網絡管理方案

篇1

關鍵詞:安全管理策略;防火墻;校園網安全問題

中圖分類號:G637文獻標識碼:B文章編號:1672-1578(2013)09-0285-01

隨著校園網絡工程的應用普及,很多中小學校都建設了校園網并通過各種渠道接入了Internet。現代化的信息處理方式和知識獲取手段促進了教育的發展,但隨之而來的網絡安全問題也日漸明顯地擺在了校園網絡管理員面前。

1.校園內部網絡安全環境分析與病毒預防措施

我校地處城郊兩界,其中物理環境制約了校園網絡管理的諸多不便,由于學校教育經費在校園網絡管理中投入較少、專業人員配備不足等關鍵問題,為擁有強效的網絡防護體系與購置高效的病毒軟件維護帶來許多困惑,受以上條件的制約在網絡環境下,導致入侵病毒無法及時控制、傳播擴散快,經常會遇到類似不穩定情況。例如:在公共機房中,一臺擔當著為若干個科室提供資源共享功能的主機,日常使用時僅靠一款單機版軟件進行病毒防護,它要將大量數據傳送給其他終端機時,很容易受外界存儲器內不可預知的病毒侵襲,同時感染網絡病毒,最終影響終端訪問主機無法啟動,或是正在使用數據共享資源的主機,突然出現黑屏、死機,電腦訪問緩慢等狀態。因此可見,在實際應用中,我們僅靠單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。

2.結合學校實際,采取有效的校園網絡安全的技術應用

2.1防火墻的配置。校園網絡使用頻繁,訪問部門較多,介于此情況,利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。

2.2采用入侵檢測系統。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在日常的教學中,學生的一個誤操作,最大可能的會受到不良信息的困擾,國家信息安全部門頒發的綠壩上網檢測軟件,在此入侵檢測系統中擔當了不可忽視的作用,它的主控端利用主機的IP地址進入到公安部門的信息采集中,如果其中一臺機子受到外界侵擾,此主機的IP地址的信息第一時間會出現在教師機的主控端內,同時大量的不良信息會轉送到公安部門的信息采集庫中。利用綠壩凈化版軟件進行審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。在校園網絡中采用此軟件的過濾入侵檢測技術,則會減少管理員在對學生機管理時的憂慮。

2.3漏洞掃描系統。解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠一個人的技術和經驗尋找安全漏洞、做出評估,顯然是不現實的。解決的方案是,在教育資源緊缺和要求安全程度不高的情況下,不妨管理員暫時可以利用360安全衛士,它也是一款能查找網絡安全漏洞、評估并提出修改建議的網絡安全掃描工具軟件,利用優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。

2.4IP地址的有效管理。目前學校的網絡是由教育局光纖統一接入后,由一臺主監控進行一級管理,各校通過給定的IP地址分配后,實現二級管理,這樣一來,在同一網絡監管下的網絡使用用戶增多,受到同網絡內的不法攻擊和外界侵襲的威脅也非常的大。所以解決的方法應該是,各校管理員應該及時的在本校路由器上捆綁IP和MAC地址,當某個IP通過路由器訪問Internet時,路由器要檢查發出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就放行。否則不允許通過路由器,這樣分級管理下來,同時給發出這個IP廣播包的工作站返回一個警告信息。

2.5加強師生的法制教育和德育教育。管理員經常在維護中會遇到同樣的感慨地說:"學生的破壞能力是無窮無盡的,然而老師的隨意操作也是讓人頭疼的",問題關鍵在于我們如何去正確引導他們。作為教師我們在教授網絡知識的同時,應該加強學生的法制教育和德育教育,讓學生了解我國在計算機應用方面的相應法規,做一個遵紀守法的好青年,讓每一位教師深知網絡并非是一個安全的島嶼,要想共建此島嶼就需要每一位老師的傾心傾力,加強教師正確使用優盤,不定時對自己的電腦進行安全體檢與病毒預防,最關鍵的是培訓教師不要去訪問有病毒的網站和觀看非法網站內容。

總之,任何先進的系統都是為人服務的,作為一名校園網絡管理員,還應具備扎實的專業理論與技術應用素養,我們還要關注校園網絡服務器的安全,從硬件與軟件系統的雙重保護入手,有相應的機房管理制度,防止人為的蓄意破壞和盜竊事件發生。對于服務器的管理盡可能不要設置文件共享,不要打開寫文件的權限,即使開啟共享,也應設置相應密碼。管理員要定期查看系統日志記錄,及時解決出現的問題,無法解決的問題及時向上級匯報;任何人不得動手刪除運行記錄數據庫中的文檔。因為人永遠是決定性的因素,配合先進的技術手段,建立起一整套完善的現代化網絡運行、使用、管理規范永遠是保證其發揮出最大效益的重要保障。

參考文獻

[1]《計算機網絡安全基礎》人民郵電出版社袁津生吳硯農編

[2]《網絡安全從入門到精通》北京電子工業出版社馬樹奇

[3]《計算機網絡安全與數據完整性技術》北京電子工業出版社徐超漢

篇2

目前各大高校已經完全普及校園網,基于校園網開展教學工作、教務管理、科研管理和師生之間的交流等已經成為當今高校校園網管理不可忽視的日常工作。校園網是一種利用計算機技術,將學校的各種網絡設施、工作站、局域網等連接起來的一種網絡。通過校園網,高校能順利開展教學、校園辦公,共享教學資源等各項工作。因此,進行校園網的管理和維護研究具有重要的現實意義和應用價值。

2校園網管理與維護概述

當今高校的工作幾乎都能通過校園網來完成,因此,校園網的管理和維護就顯得十分重要。校園網管理與維護的目的在于網絡全天候無故障運行,并根據不同需要及時調整或進行更新;保證各種軟件系統穩定運行、不受惡意攻擊以及各種數據的安全;確保校內網絡暢通,與互聯網安全互聯,為信息傳遞、數據共享提供安全渠道,為高校的各項工作提供網絡基礎。

3校園網管理與維護方案

校園網的管理和維護是校園網能夠正常穩定運行的重要保障,下面將詳細闡述可采用的方案或策略。

3.1校園網的管理

校園網涉及的管理項目繁多,且師生們對網絡的要求各不相同。因此,對校園網開展管理工作仍具有一定難度。以下將從推進網管隊伍建設、完善網絡管理制度、提高網絡安全管理以及加強網絡資源建設幾個方面進行詳細分析。在網管隊伍建設方面,各個高校校園網所涉及的范圍、情況和需求不盡相同,如果缺少專業化的網絡管理隊伍,則難以完成有針對性的網絡配置和管理。因此,校園網的功能能否得到充分發揮,加強網絡管理隊伍建設是校園網順利運行的關鍵。在網絡管理制度建設方面,在已有制度的基礎上及時進行合理的更新完善,建立相關的應急預案,明確網管隊伍的工作職責、個人分工、突發事件的處置程序和權限,以防止或減少因制度不明而造成的混亂。在網絡安全管理方面,網絡的開放和虛擬兩種特性對網絡安全構成嚴重挑戰,這也成為了當今網絡管理的核心主題。當前高校校園網普遍都存在各類安全問題,如網站存在漏洞、計算機病毒傳播、木馬軟件的威脅和黑客的入侵等,這些問題對校園網和各類重要數據的安全都不可小覷。面對這些不同的安全威脅,需要采取有針對性的措施。對網站上的漏洞,可通過建立先進的網絡安全管理系統,定時對校園網中的各類網站進行掃描,及時發現并修復,既提高校園網的安全性,也可提高網絡的整體穩定性;針對計算機病毒和木馬軟件,可在終端計算機或服務器上安裝殺毒軟件,定期對設備進行病毒和木馬查殺,并及時更新病毒庫。同時,在高校的內部網絡和外部網絡之間配置防火墻,將內部網絡與外部網絡進行有效的隔離;此外還可以配置入侵檢測系統等設備,進一步提高網絡的安全性。對內部網絡中相對重要的教學管理部門,如領導辦公室、財務處、教務處等根據其部門特性對其進行單獨的網絡劃分和配置,保證數據安全;針對黑客的惡意攻擊,首先需要提高師生的安全意識,在設備上設置較為復雜的登錄密碼,且不訪問未知或不安全的網頁,不隨意在存儲重要數據的計算機或服務器上插拔未知的存儲設備。在網絡資源建設方面,高校時代的資源也是學生生涯中最豐富的一個時代,讓高校資源得到充分共享,提高利用率就顯得尤為重要。在當前這個信息爆炸性增長的時代,硬件建設已經不是主要困難,對校園網來說,除了要確保網絡的暢通和穩定這些基本需求外,還應當關注信息資源的利用。通過整合多元的信息資源,使教師可利用這些資源豐富教學內容,提高教學質量;讓學生選擇適合自身特點的學習方式和途徑,提升學習效率。此外,網絡信息資源的多寡對高校對外形象及其社會影響的高低也有不可低估的作用。

3.2校園網的維護

對校園網的維護工作主要從硬件和軟件兩個方面開展。3.2.1校園網硬件的維護。校園網在運行過程中,硬件設備難免會出現各種老化、損壞等現象,這就需要高校中專業的網絡維護部門或人員,對網絡設備進行監測和定期維護。在維護硬件時,重點檢查核心路由器、交換機等重要設備是否處于正常的運行狀態,及時檢測機房的環境是否整潔干燥等,另一方面要及時了解當前校園發展和各項工作推進所帶來的需求改變,及時更改提高硬件組合配置,提高其利用率,降低故障的風險。3.2.2校園網軟件的維護。校園網軟件的維護相對復雜,既需要網絡管理員根據實際情況來制定網絡管理規定,還需要師生配合。網絡管理員需要熟悉并運用病毒查殺軟件、漏洞掃描軟件以及基于SNMP的網絡管理軟件等軟件,能定期檢查軟件更新和補丁情況,確保軟件、病毒庫和漏洞補丁目錄處于最佳的工作狀態,確保能及時發現校園網中的安全隱患,使管理員能采取相應的措施;師生應當加強網絡安全防護意識,如安裝殺毒軟件并定期更新,規范上網行為等,以最大限度減少網絡不安全性因素。

4結論

由于網絡技術應用的日益普及,校園網的不可或缺性已經成為高校師生的共識。校園網的日常管理和維護是校園網能夠正常運行的基礎。面對越發復雜的社會及網絡環境,高校應當對校園網的管理和維護工作給予相應的重視,以確保高校能健康、穩定地發展。

參考文獻

[1]張娜.新形勢下高校校園網的管理與維護[J].通訊世界,2017(04):118-118.

[2]曹東朗.高校校園網絡的安全管理與維護[J].電子技術與軟件工程,2016(01):226-226.

篇3

關鍵詞:高校;校園網建設;關鍵技術;問題分析

DOI:10.16640/ki.37-1222/t.2017.03.250

0 引言

高校校園網還可以將學校的教學、娛樂、學習以及活動等資源整合在一起,成為一個能夠供學生交流、溝通的平臺,還能夠拉近教師與學生之間的距離。

1 當前我國高校校園網建設所面臨的問題

1.1 對高校校園網建設重視度不足

部分高校領導在開展校園建設時,將大多經歷集中于學校的設備資源、師資力量等方面的建設,而忽略了校園網平臺對高校教育的重要性。高校領導沒有真正領悟校園網平臺建設是校園教育信息化、現代化的重要途徑,導致在對高校校園網建設力度較低,資金投資力度小,沒有運用關鍵性建設技術進行建設,降低了高校的教育能力與質量。

1.2 高校校園網無形建設力度低

在高校校園網建設工作中,主要分為兩方面內容,分別為有形建設和無形建設。在有形建設中,主要是對網絡硬件,如網線、計算機等設備或線路的建設,而在無形建設中,主要以網絡平臺軟件、計算機系統、管理或者應用軟件等無形設備的建設。在高校校園網建設過程中,大部分資金都運用在有形建設方面,學校對無形校園網的建設力度低,導致高校校園網無法發揮出其真正的效用,降低了校園網對高校教育應有的作用。

1.3 高校校園網對關鍵性建設技術的研究度較低

高校校園網建設的關鍵性技術能夠顯著提高校園網的建設速度與質量,但是就目前的調查情況來看,我國大多數高校在開展校園網建設工作時,并沒有加深對校園網關鍵技術的研究與分析,降低了校園網的建設質量。在對高校校園網進行建設時,主要應當針對綜合布線技術、網絡安全技術、網絡管理技術三種關鍵技術進行分析與研究,將其充分應用在建設工作中,才能提高我國高校校園網的建設水平,進而提高高校的教育效率。

2 對當前我國高校校園網建設關鍵性技術的分析

2.1 對高校校園網建設中綜合布線技術進行分析

綜合布線技術在高校校園網建設中,屬于基礎建設內容。為了實現高校校園網的信息順利傳輸,需要利用光纜以及非屏蔽雙絞線來充當校園網信息傳輸的重要傳輸介質。為了能夠將信息中的聲音、圖像以及數據等內容能夠與校園網中其他的系統相關聯,必須重視綜合布線技術,充分依據合理布線設計方案,進行安裝與運行。在高校校園網建設中,采用綜合布線技術,能夠提高高校相關信息傳輸的靈活性,屬于智能化操作系統的基礎設施。

2.2 對高校校園網建設中網絡管理技術的分析

在高校校園網網絡管理技術中,主要是為了能夠確保校園網平臺的正常運行,妥善對校園網平臺中的龐大數據、信息進行有序管理。在網絡管理技術中,主要包含網絡配置管理、性能管理、故障檢測管理以及安全檢測管理等內容。其中,故障檢測管理主要起到快速定位故障區域的作用。由于高校校@網的覆蓋面積較大,若僅僅依靠人力對網絡進行定期排查,當發生故障時,可能會出現故障位置難以確認的現象。為了保障高校校園網平臺可以正常運行,減少崩潰、錯亂等故障現象,采用網絡管理技術可以在故障發生后,快速對故障問題進行分析與定位,提出相應的解決方案,在最短的時間內將故障處理好,提高高校校園網的管理水平。

2.3 對高校校園網建設中網絡安全技術的分析

在高校校園網建設時,為了提高高校學生使用網絡的安全性,避免在使用校園網的過程中受到病毒、非法人員的攻擊,需要在高校校園網建設時加強對網絡安全技術的分析。在網絡安全技術中,主要是通過網絡安全軟件,諸如校園網網絡防火墻、安全入侵檢測管理等技術來提高校園網的安全性。只有提高高校校園網的安全性,才能讓高校學生、老師等人員更放心的應用校園網,提高高校校園網的應用性。

2.4 對高校校園網建設中網絡系統規劃設計技術分析

在高校校園網的網絡系統規劃設計技術中,主要分為兩方面設計技術內容。其一是邏輯網絡設計內容,邏輯網絡設計內容是通過網絡設計師進行設計,對高校現有的網絡結構進行分析,根據高校自身的網絡結構特點進行網絡邏輯和物理結構的設計。另一個是物理網絡設計。在物理網絡設計中,主要以結構化綜合布線設計與網絡機房系統設計、供電系統設計為住。加強這三方面的設計內容,就可以提高高校校園網建設水平,完善建設方案,推動我國高校的教育進步。

3 對我國高校校園網的應用分析

3.1 高校校園網在數字圖書館技術中的應用

利用高校校園網平臺建立數字圖書館,在數字圖書館中可以集合學校所有的書籍、文獻等資料,讓其成為電子化圖書館。現代科技在不斷進步,隨著智能手機的出現,高校師生不僅能夠在計算機中登陸數字圖書館,還可以利用手機平臺登陸數字圖書館,提高查閱資料的便利性。數字圖書館的建立能夠提高校的教育速度,讓學生隨時隨地可以進行學習。

3.2 安全網絡技術的應用

將安全網絡技術應用在校園網建設中,可以顯著提高高校校園網的安全性。首先,可以為高校校園網配備IDS入侵檢測系統,利用檢測系統信息的方法避免外來網絡中的不法分子入侵到校園網平臺中。其次可以為高校校園網安裝防火墻軟件。防火墻軟件可以智能分析外來非法用戶的數據,并且能夠及時檢測出病毒,避免出現病毒侵害。除此之外,在防火墻軟件中,還可以進行手動操作,提高安全網絡技術的人性化,能夠有針對性的進行管理,提高我國高校校園網的安全性。

4 結束語

高校在開展校園網建設工作時,只有正視建設問題,加深對建設關鍵性技術的研究與分析,應當加強對校園網綜合布線技術、網絡安全技術、網絡管理技術以及網絡系統規劃設計技術等多種關鍵技術的研究與應用,才能真正提高我國高校校園網的建設完善度,確保校園網的安全度,讓高校師生能夠安全應用。

篇4

【關鍵詞】校園信息網 無線網絡 互聯網 安全

1 校園信息網建設中無線網絡技術應用的意義

1.1 有利于降低校園網絡建設成本

與有線校園網絡不同,無線網絡可以節省網絡信號基站的定點安裝,大大節省由于網絡信息在傳輸過程中端口擴展投入的資金。我國目前處于互聯網+時代,移動網絡是時展的主流趨勢,因此從長期考慮,建設校園無線網就是針對未來校園信息網絡的投資,進而加快投資回收預期的時間,降低校園建設的成本。有線校園網絡由于網絡信號需要靠發射塔進行數據交換,因此網絡設備投資成本所占投資比重較大。而校園無線網絡,由于其覆蓋范圍大,一個無線網絡可以實現整個食堂、宿舍樓、教學樓的網絡信號全覆蓋,因此也可以減少硬件網絡設備成本的投入。

1.2 有利于提升校園網絡性能體驗

無論是教師還是學生,對于校園網絡的基本要求就是網絡信號,網絡傳輸速度較快。這樣才能滿足學生的基本用網需求和用網體驗;老師也才能更好的發揮網絡教育的優勢,提高自身的教學效率和教學質量。僅僅依靠有線校園網絡,極大限制了學生上網地點的自由和由于網絡接口數量,還極大限制了上網學生總數,因此有線網絡比較適合在學校機房進行使用。隨著無線連接、傳輸技術的不斷發展,無線網的信號要比有線網絡信號穩定,可以實現讓學生隨時隨地上網的同時,還可以體驗與有線相媲美的信號強度。

1.3 有利于穩固校園網絡安全保密

無線網絡應用與校園網絡最大的優勢就是可以實現各項性能的遠程調控,網絡安全是校園網絡建設的核心考察指標之一,只有安全等級足夠高的校園網絡,才能最大可能保護校內公共網絡資源不被盜取,才能讓學生和老師更好的接受和使用校園網絡,進而有利于發揮校園網絡的綜合優勢。一旦發生網絡安全問題,無線網絡可以快速借助局域網權限的設置保護校園網絡臨時安全性能,為彌補校園網絡的安全漏洞爭取足夠的時間。

2 校園信息網建設中的無線網絡技術應用

2.1 無線局域網與互聯網結合

本文所指的無線局域網在校園網絡中的應用主要就是指接入互聯網的無線網。可以將校園中的學校計算機房、圖書館資料建設網絡資源網絡,師生可以在學校的任何地方借助無線網瀏覽共享數據信息資源,改變傳統的資源利用方式,提升資源利用效率。因此,一方面,學校要結合當地互聯網服務的特點,合理篩選互聯網供應商,并建立合作伙伴關系,營造穩定性好,性價比高的校園網絡。另一方面,將學校的多媒體設備有效與無線網結合起來,提高多媒體設備的使用范圍和效率。

2.2 明確無線網絡功能

對于無線網絡的應用,要明確在校園網絡建設中的目標和功能設計。

(1)無線網要實現學校教與學的移動化。可以結合不同課程的教學特點來確定無線局域網的網絡屬性,對于體育教學,主要影響指標就是覆蓋范圍的大小。

(2)教師與學生進行無線網絡專業管理,借助教師網絡實現對老師的管理和支持;借助學生局域網,實現對于學生的網絡課程簽到。

(3)師生互動網絡建設。由于老師與學生的交流借助網絡平臺信息交換更高效,可以進行學習和教學難點以及學生的學習困惑的解答。

2.3 無線網絡介入網絡管理

無線網絡在校園網絡中的應用可以最為校園網絡管理的補充,使得校園網絡管理更加科學、高效。首先,對于校園網絡的安全管理,可以通過 WLAN 在訪問無線 AP 時實現密保認證管理,利用 PPPOe+WEB 的方式,實現用戶的合法認證,進而避免外來客戶進入校園網絡。其次,建立層次型網絡管理框架。借

助無線網絡遠程操控的特點,實現校園網絡的移動式管理。最后,多點接入無線連接。由于校園網絡管理需要一定的風險評估,因此就要提升校園管理靈活性。

3 校園無線網絡建設的安全技術

3.1 防火墻技術

校園網絡安全要做好防火墻設置方案,目前主要應用的是雙宿主機網關、屏蔽主網、屏蔽子網三種方式,其中屏蔽子網在保護校園網安全、提高防火墻抗攻擊能力方面作用最為顯著。校園網防火墻的設置要遵守以下幾點原則: 一是要根據校園網的用途和特點,正確設置安全過濾規則,防止公網非法訪問校園網絡;二是要對防火墻訪問日志進行定期檢測和查看,及時發現網絡攻擊行為和不良上網記錄;三是為提高防火墻管理安全性,還要加強網卡對防火墻的設置。

3.2 防病毒技術

計算機病毒嚴重威脅著網絡安全,防止計算機病毒傳播不但要建立完善的管理措施,還要有病毒掃描、病毒查殺、系統恢復等工具和技術。學校領導、教師、學生使用電子郵件的情況比較廣泛,這就造成了計算機病毒的迅速傳播,學校信息系統因此受到侵害,造成了學校的嚴重損失。隨著互聯網的快速發展,計算機病毒的種類和傳播途徑也日益多樣化,校園網的防病毒工作急需建立一個多層次、立體的病毒防護體系,并依靠先進的管理系統防止計算機病毒的侵害。防病毒軟件在校園網絡安全中得到了最為廣泛的應用,學校在對防病毒軟件進行選擇時,要充分考慮到軟件的易用性、系統的兼容性、對資源的占用情況及病毒查殺能力,同時還要綜合考慮軟件的價格、軟件開發商的實力等。

3.3 身份認證和數據加密技術

身份認證技術是指網絡用戶在使用計算機網絡時身份需要被確認并獲得準入權限的技術。在校園網絡中,每一個校園網絡使用者都需要在網絡管理員處獲得一個身份,憑借這個身份,網絡用戶在登錄校園網絡后需要首先輸入相應的帳號和密碼,通過身份認證后才被準入校園網絡而進行查找、瀏覽、下載等活動,這對網絡黑客的惡意攻擊產生了巨大的抑制作用,從而提高了校園網絡的安全性。

參考文獻

[1]蔣建峰.校園網建設方案設計與實施[J],蘇州市職業大學學報,2013.

[2]胡朋.防火墻安全技術探討[J].電子技術與軟件工程,2013.

篇5

目前大部分校園網架構基本采用核心層-匯聚層-接入層的三層分級交換架構,每個層次分別實現不同的業務功能。核心層作為校園網的高速交換主干層,負責數據流迅速安全地在校園的傳輸;匯聚層是核心層和接入層之間的中介,保證了整個校園網的穩定性;接入層是師生接入校園網的通道,管理者可以完成對網絡資源訪問的控制。

2校園網流量管理面臨的問題

為了解決校園網網絡速度問題,首先分析校園網絡流量產生的關鍵環節,第一是內網用戶外聯網絡時產生的接入流量,第二是內網用戶在訪問內部服務器時產生的內部流量,第三是內網用戶訪問互聯網產生的網絡出口流量。

2.1用戶接入流量問題

接入層是用戶獲取外部網絡資源的途徑,面對黑客攻擊、網絡病毒、非法訪問等威脅和攻擊,許多校園網防范措施不到位,只是簡單設置防火墻就認為可以屏蔽那些威脅和攻擊。但是有些木馬程序會產生大量的數據包去干擾和擁堵網絡出口,使得校園網無法正常運行,外界用戶無法訪問校園網絡,內部用戶也無法正常使用校園網絡去訪問外網。一旦出現上述接入流量異常情況,那就難以保證訪問質量和提高用戶體驗。這種異常情況正是流量管理所要解決的問題。

2.2內部網絡流量問題

要對內部流量管理需要引入虛擬局域網VLAN(VirtualLocalAreaNetwork)技術,將整個網絡按功能進行邏輯劃分。通過虛擬分組管理,用來減小和控制廣播流量。VLAN虛接口的終結于核心設備,該核心設備接收所有數據包,但是在組播包、廣播包的處理過程中,核心交換設備會占用大量的CPU時間,CPU占用率提高。這個影響對整個網絡的性能來說是巨大的,它會直接導致網絡傳輸速度的降低。如果網絡管理人員沒有相關的措施去控制和管理各VLAN間互訪流量,這些流量就可以使得有限的帶寬資源被大量占用。這種狀況使得各層交換設備受到沖擊,嚴重的會引發網絡安全問題。

2.3網絡出口流量問題

許多校園網接入是由中國電信、中國聯通、廣電網絡提供接入服務,接入的方式有IPv4方式和IPv6方式,未來還會連接不同的運營商網絡。普通的師生沒有考慮校園網的實際帶寬情況,他們在使用校園網時隨心所欲,加上許多用戶喜歡直接交換P2P(PeertoPeer)、在線游戲、在線視頻、即時通信等網絡應用,大量侵占網絡帶寬、濫用帶寬的現象非常嚴重,使得校園網絡出口的流量特征體現為入流量很大、出流量相對較小(從內網用戶的角度出發),因為網絡巨大的入流量導致數據延遲或丟棄,校園網對外服務受到嚴重影響。這種網絡上下行流量的不對稱及流量分布不合理情況是校園網流量管理需要注意的地方。

3校園網流量管理策略

由于通信交換技術的進步和交換設備功能的改進,VLAN的應用越來越多,從虛擬交換角度出發,采用突破物理位置限制重新劃分廣播域,在內部主干網上做到能夠劃分跨越物理子網的虛擬網,由一組任意選定的第二層網絡地址組成虛擬網段。這樣,可以將整個校園網劃分為若干個跨越物理子網的虛擬網絡VLAN網段,用來強化網間訪問、網間廣播的控制和管理,防止發生廣播風暴,實現對內網應用進行訪問控制、對學生公寓網到其他網絡的策略管控。在這個過程中,網絡管理員可以通過配置VLAN之間的路由來全面管理校園網內部不同管理單元之間的信息互訪。

3.1出口流控選擇

基于筆者所在的學院使用的設備狀況,首先進入銳捷EG1000S出口網關的管理窗口,在窗口里中選擇設備提供的智能流控方案,在該方案中,應用控制引擎ACE(ApplicationControlEngine)對協議識別能力非常強,可以實施分類和控制針對用戶的應用級IP數據流,可以全面管理和控制P2P、網絡視頻、非法網站訪問等,優化每個上網用戶的流量;身份認證系統負責定制每個用戶策略,使用戶的信息及時被ACE獲取,為了保證相應網絡服務質量為關鍵用戶所獲得,流量控制必須以用戶身份為基準;日志軟件RG-eLog了解每個用戶上網狀況,實現對于用戶上網的管控,同時通過日志便于網絡管理者進行網絡安全與管理的分析。流控方案里選擇“學校(高校)”,在這個方案中根據學院網絡應用調查結果對相應的阻斷類和抑制類的應用進行嚴格的挑選,系統會自動根據選擇保證場景下的關鍵/保證類應用的流暢,保證帶寬的合理使用,提高帶寬利用率。

3.2流控高級選項

通過上述流控方案窗口選擇其中的高級選項,打開高級選項窗口后勾選前面4項高級設置,可以在頁面添加您認為需要被阻斷的網站,如一些非法或帶病毒的網站,然后點擊“完成配置”,這樣立即回到路由器正常的觀測頁面,查看設備和人員上網情況,通過這個設置可以輕松保護內網網絡的安全。

4結束語

篇6

關鍵詞: VLAN 校園網 網絡管理

1.VLAN的概述

1.1VLAN的特點

Virtual Local Area NetworkVLAN(虛擬局域網),在邏輯上等同于廣播域,網絡中的站點按網絡用戶的性質和需要劃分成若干個“邏輯工作組”,每一個“邏輯工作組”就是一個VLAN。分隔廣播域的方式有物理分隔和邏輯分隔兩種,前者使用的是網橋和路由器技術,后者使用的就是VLAN技術。這兩種方式功能上完全相同,但是,與前者相比,VLAN技術擁有諸多優點:

1.1.1工作組分隔的靈活性。組員可以處在不同的物理連接位置上,實現了動態的網絡組織結構。

1.1.2組員變更的靈活性。變更組員工作組,無需從物理連接上重新布線,只需重新定義VLAN成員即可。

1.1.3有效控制網絡廣播。VLAN自動地形成廣播域,所有廣播都只能在本VLAN中進行,大大減少了廣播對網絡帶寬的占用,有效避免了廣播風暴的產生。

1.1.4提供額外的安全性。VLAN之間不能直接相互訪問,能從物理上防止某些非授權用戶訪問敏感數據。

1.1.5網絡監督和管理的智能化。網絡管理員通過網管軟件進行VLAN劃分,檢查VLAN間和VLAN內通信數據包、應用數據包的細目分類信息,對于確定路由系統和經常被訪問的服務器的最佳配置十分有用。通過劃分VLAN,網絡管理變得更簡單、輕松、智能化。

1.2VLAN的分類

以建立VLAN的具體方式來劃分,大致有如下幾種:基于端口的VLAN、基于MAC地址的VLAN、基于第三層協議的VLAN、基于廣播地址的VLAN、基于策略的VLAN。本文僅對目前應用較多的基于端口的VLAN技術予以簡要說明,這也是我院校園網目前正在使用的一種VLAN技術。

基于端口的VLAN技術是通過把同一個交換機的端口分成若干組,每組構成一個虛擬網,也就是VLAN。該技術是目前最簡單、最有效的VLAN劃分方式,得到了所有廠家的支持。優點是:使用時相當安全,并且容易配置和維護。缺點是:需要對各端口的連接情況非常清楚,初始設置時工作量較大;當某一用戶需要從一個端口所在的虛擬網移動到另一個端口所在的虛擬網時,網管人員需要重新進行設置,這對于移動用戶量大的網絡來說不太合適。

除了將同一個交換機的不同端口劃分到同一VLAN外,許多交換機還支持將同一端口劃分至多個VLAN。這種被設置到多個VLAN中的端口,稱為公共端口,主要用于連接服務器、網絡打印機等共享資源。第二代端口VLAN技術還允許跨交換機劃分VLAN,即將不同的交換機的端口劃分至同一VLAN,從而完全擺脫了物理位置的限制,給VLAN劃分帶來了更大的靈活性。

2.VLAN在網絡管理中的優勢

VLAN是將一組位于不同物理網段上的用戶在邏輯上劃分成邏輯組,在功能上和操作上與傳統的LAN基本相同,但與后者相比具有以下優勢:

2.1提高了性能

一個VLAN就是一個小的廣播域,同一個VLAN成員都在由所屬VLAN確定的廣播域內,隔離了廣播,縮小了廣播范圍,可以控制廣播風暴的產生。因此,廣播域的分段有利于提高網絡的整體性能。

2.2提高了管理效率

采用VLAN技術來管理網絡,可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術,大大減輕了網絡管理和維護工作的負擔,降低了網絡維護費用,減少了站點移動和改變的代價。

2.3增強了網絡的安全性

將不同用戶群劃分在不同VLAN,不在同一VLAN的用戶要訪問VLAN中的主機就必須通過路由,再通過路由訪問列表和MAC地址分配等。VLAN可以控制用戶訪問權限和邏輯網段大小,從而提高交換式網絡的整體性能和安全性。

3.VLAN的設計與實現

3.1設置VTP管理域

VTP(VLAN Trunk Protocol)協議主要用于多臺局域網交換機互聯情況下有效管理VLAN的配置。VTP Domain也叫VLAN的管理域,它由具有相同管理域名稱的交換機組成,每個交換機只能位于一個VTP域中。只要在核心交換機上設置一個管理域,網絡上所有的交換機都自動加入該域,這樣管理域里所有的交換機就能夠了解彼此的VLAN列表。

3.2創建VLAN

可以在管理域中的任何一臺VTP屬性為Server的交換機上建立VLAN,它就會通過VTP通告整個管理域中的所有的交換機。但是如果要將交換機的端口劃入某個VLAN,就必須在該端口所屬的交換機上進行設置。

3.3配置管道(Trunk)

應用管道技術可以使得多個VLAN在一條鏈路上被復用。管道為端口屬于同一個VLAN的交換機之間提供VLAN間的連接。為了保證VLAN的完整性,必須應用標簽技術,Cisco采用兩種方法,其中ISL是Cisco的專有VLAN標簽協議,而IEEE802.1Q則是國際標準。

4.VLAN之間路由的配置實現

由于VLAN相當于子網(Subnet)的概念,所以不同VLAN之間的通信需要用到第三層的路由器。我們在交換機上采用路由交換模塊的方式來實現。VLAN間要實現三層(網絡層)交換,必須給各VLAN分配IP地址。給VLAN分配IP地址分兩種情況,其一,給VLAN所有的節點分配靜態IP地址;其二,給VLAN所有的節點分配動態IP地址。

VLAN配置完成,可以在三層交換模塊上用ping命令測試VLAN配置是否成功,再在各接入VLAN的計算機上設置與所屬VLAN的網絡地址一致的IP地址,并且把默認網關設置為該VLAN的接口地址。這樣,所有的VLAN就可以實現通信了。

5.結語

第三層交換技術是目前校園網建設的主流方案,并且在未來仍將是園區網應用的首選方案,該方案具有良好的性價比和較好的可管理性。以第三層交換機作為校園網的核心交換機,通過配置合適的VLAN,可以靈活地管理校園網上的用戶和子網,并實現子網間第三層協議的線速路由。在我校校園網絡VLAN的規劃與實施中,我們根據校園網絡的結構與應用,結合三層交換機的特點,保證了校園網的靈活性、可管理性及性能。

參考文獻:

[1]徐超汗.計算機網絡及其解決方案[M].北京:電子工業出版社,1999.

[2]Karen Webb.組建CISCO分層交換網絡[M].北京:人民郵電出版社,2000.

篇7

關鍵詞:無線校園網;安全;性價比

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2012)27-6470-02

現階段高職高專院校的信息技術水平的不斷提高,無線終端設備(手機、掌上電腦、筆記本)也得到廣泛的使用,教職工和學生對隨時隨地能接入網絡進行教學、科研和學習的需求也越來越普遍;而伴隨著無線網絡技術迅速發展,WLAN已經經歷了四種標準,發展到了現在802.11n標準[1];高職高專自身的需求與無線網絡技術的迅速發展相結合,促進了無線校園網的發展。

無線校園網絡的建設與有線網絡的建設不同,無線校園網應該更多的考慮可靠性、安全性、易用性、可擴展性等;另外,高職高專院校的經費主要來自財政撥款,如何建設性價比最高的無線校園網也是應該考慮的問題。

1建設的模式

與電信運營商合作:借鑒現有的無線城市的建設模式,無線基礎設施由電信運營商投資,采用移動網絡與Wi-Fi融合的方式實現。

自主建設:借助校園網的有線網絡,自主建設針對校園范圍內的無線網絡,本文主要討論針對自主建設的方案。

以上兩種模式的優缺點對比如下:

2無線校園網設計與建設

2.1設計與建設原則

校園無線網絡設計及建設應從安全性、可靠性、易用性、高性價比、可擴展性、易維護性及綠色環保等方面充分考慮。

1)安全性:在為教職工和學生提供方便的同時,一定要保障校園的網絡信息安全。

2)可靠性:無線校園網涉及網絡節點較多,整個網絡應該可靠、穩定的運行。

3)易用性:無線網絡接入認證方式在保障安全的同時要方便用戶接入,用戶接入網絡僅需一次認證,在覆蓋區域內實現無縫漫游。

4)高性價比:在降低成本的同時按照信號范圍最大化的原則實現校園的無線覆蓋。

5)可擴展性:無線校園網絡在網絡管理、網絡結構、網絡容量等方面應具有良好的擴展性。

6)易維護性:無線校園網絡的管理系統要具有優秀的監控、分析和處理能力,一旦某個無線節點出現故障,應該通過網絡管理系統自動查找故障節點,并提供恢復建議,使無線網絡系統很快恢復工作。

2.2規劃

無線校園網的前期規劃必須從用戶的業務需求、覆蓋范圍、網絡應用的密度、覆蓋建筑的結構等各方面的需求[2]。

現階段無線校園網的應用主要集中在移動教學、隨時互動輔導、電子網絡課堂教學、科研與實驗等;范圍應覆蓋全校園;高職高專院校的特點是面積大,建筑相對集中,人員主要集中在教學樓和宿舍,教學樓的教室單間面積較大用戶多,宿舍樓的單間多且面積小,教室和宿舍相應的要增加覆蓋強度;在業務需求方面,應以教學為主,提供網頁瀏覽、流媒體播放等流量較小的網絡應用,限制網絡游戲、高清電影等大流量的網絡應用。

從技術上講,無線校園的規劃應采用實地實測、現場勘測、與軟件模擬相結合的方式完成。對于校園的大部分范圍應該采用實測的辦法,主要包括操場、食堂、大

禮堂、教學樓和宿舍樓等區域,根據測試結果,確定初步的覆蓋方案;對于無法實測的區域,要進行現場勘測;同時也可以使用無線網絡規劃軟件,模擬無線校園網絡覆蓋效果;結合現場實測、勘測和規劃軟件結果,可以得到最終的無線網絡規劃方案。

2.3無線網絡部署

為了達到最優的覆蓋效果,可以采用室外直接覆蓋、室外覆蓋室內、室內直接覆蓋、室內分散式覆蓋等多種方案。

室外覆蓋方案適合于操場、花園、廣場等開闊的區域;室外覆蓋室內方案對室內覆蓋的補充,適合學生宿舍、小型教室無線覆蓋的補點;室內直接覆蓋方案適合于大禮堂、圖書館、報告廳廳、教室等用戶密度高,信號衰減小的區域;室內分散式覆蓋方案適合于辦公室、學生宿舍、家屬樓等密度不高,信號衰減大的區域。合理配置各種方案可以在實現無線信號全覆蓋的同時,保證無線信號質量。

2.4安全問題

建成的校園無線網絡系統應該具有較高的安全性,能夠提供安全可靠的接入方式,保障數據傳輸的安全性,能夠及時發現和防護常見的無線攻擊。

在接入認證和數據加密傳輸的過程中應使用安全性較好的協議,如WPA/WPA2/WAPI等協議,而非安全性較差的WEP協議;提供Web Portal認證和802.1x認證等多種方式,確保無線網絡數據傳輸的安全性[3]。能夠及時檢測和防范非法AP,防止用戶連接到非法AP上而導致泄密。

在無線校園網內部應該能夠全面防護ARP攻擊、DOS攻擊等常見的網絡攻擊保障網絡的穩定性。

2.5業務應用

無線校園網相對于有線網絡可以發揮隨時隨地方便接入的優勢,提供更多的業務,為高職高專院校的教學、科研等提供更多、更好的增值服務。如提供校園網絡直播、在線課堂、即拍即傳、提供基于位置或的頁面推送(不同專業的學生的終端界面直接彈出個性化的界面)等。

2.6管理和運營

校園無線網絡范圍覆蓋廣,無線接入點比較分散,管理存在存在一定難度。無線網絡的管理應該實現對所有涉及的設備的管理,包括核心交換機、匯聚交換機、POE交換機、無線控制器及無線AP的統一管理,使無線校園網真正成為一個完整的系統,方便管理和運營。

在運營方面,可以根據學校的實際情況采取免費提供或收費的方式。如果收費的話,應實現基于用戶、時長和流量的計費,并實現與學校的一卡通系統對接以方便計費和管理。

3結束語

總之,無線校園網絡建設對高職高專院校的信息化水平的提高及發展具有重要意義。它不僅可以滿足教職工和學生通信、教學、辦公和學習的需求,同時也對促進學校信息化,充分利用信息資源起到重要作用。無線校園的建設必須結合高職高專院校自身的實際情況,因地制宜,符合規范,在降低成本的同時最大限度的保證無線網絡的質量。

參考文獻:

篇8

【關鍵詞】校園網絡建設應用

當今社會已步入信息社會,信息成為社會經濟發展的核心因素,信息化已成為當今世界潮流。自從1993年美國政府公布實施“信息高速公路計劃”之后,在世界引起巨大反響,許多發達國家和一些發展中國家也相繼提出了本國或本地區的信息基礎設施計劃。可以說,信息化程度已成為衡量一個國家現代化水平和綜合國力強弱的重要標志。

新的世紀已經到來,信息技術所帶來的一場革命將徹底改變我們的學習、生活和工作方式,現行教育體制面臨著嚴峻挑戰。作為教育主管部門的領導、學校的校長、老師以及社會上的每一個人都必須考慮這一技術的發展給我們的教育、我們的學校、我們的教師和我們的孩子所帶來的沖擊,同時還要積極思考我們應該怎樣響應這一世紀性的挑戰,如何利用信息技術為教育行政管理、師資培訓、學校管理、教學研究乃至教學的全過程服務促進中華民族素質的整體提高。

整個高速多媒體校園網建設原則是"經濟高效、領先實惠",既要領先一步,具有發展余地,又要比較實惠。 校園網是集計算機技術、網絡技術、多媒體技術于一體的系統,能夠最大限度地調動學生對教學內容的參與性以及積極性。

校園規劃設計的總體任務:

1要進行對象研究和需求調查,明確學校的性質、任務和改革發展的主系統建設的需求和條件,對學校的信息化環境進行準確的描述。

2在應用需求分析的基礎上,確定系統建設的目標,包括網絡設施、站點設置、開發應用和管理等的目標。

3確定網絡拓撲結構和功能,根據應用需求建設目標和學校的主要建筑分布特點,進行系統分析和設計。

4確定技術設計的原則要求,如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求。

5規劃校園網建設的實施步驟。

■校園網總體設計方案的科學性,應該體現在能否滿足以下基本要求方面。

■整體規劃安排。

■先進性、開放性和標準化相結合。.

■結構合理,便于維護。

在建設校園網時,要達到以下目的:

(1) 在校園內部實現資源高度共享,為教學、科研、管理提供服務,為計劃、組織、管理與決策提供基礎信息和科學手段;

(2) 支持教育教學改革,提高教育技術的現代水平和教育信息化程度、為學校教師的備課、課件制作、教學演示提供網絡環境;

(3) 通過互聯網、錄像機、掃描儀、數碼相機等各種渠道獲得多媒體資料,實現素材收集、電子備課功能。

(4) 實現辦公自動化,提供與上級教育部門、社會、家庭之間通訊的出入口,提供電子函件、公告牌和教育教學信息查詢等服務,提高工作效率和管理水平;

(5) 及時、準備、可靠地收集、處理、存儲、傳輸學校的教育教學信息完成與因特網的通訊和資源共享,實現社會教育、學校教育、家庭教育的有機整合。

(6) 實現課堂多媒體電化教學,具備適用于雙向課堂語音教學及語音室功能學習。

校園網是為學校師生提供教學、科研和綜合信息服務的寬帶多媒體網絡。

校園網是一個以人、人與人的關系網絡和應用產品為核心,通過認證、授權與開放接口進行有機融合,形成的一個龐大綜合社區服務平臺。校園網應為學校教學、科研提供先進的信息化教學環境。這就要求:校園網是一個寬帶 、具有交互功能和專業性很強的局域網絡。多媒體教學軟件開發平臺、多媒體演示教室、教師備課系統、電子閱覽室以及教學、考試資料庫等,都可以在該網絡上運行。校園網應具有為學校和學校之間的教育提供網絡環境;實現資源共享、信息交流、協同工作等基本功能。

1.為教育信息的及時、準確、可靠地收集、處理、存儲和傳輸等提供工具和網絡環境。

2.為學校行政管理和決策提供基礎數據、手段和網絡環境,實現辦公自動化,提高工作效率、管理和決策水平。

3.為備課、課件制作、授課、學習、練習、輔導、交流、考試和統計評價等各個教學環節提供網絡平臺和環境。

4.為使用網絡通信、視頻點播和視頻廣播技術,提供符合素質教育要求的新型教育模式;

5.為科學研究的資料檢索、收集和分析;成果的交流、研討;模擬實驗等提供環境和手段

總之,校園網的建設能促進教師和學生盡快提高應用信息技術的水平,為學生提供了一個實踐的環境,為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫。

校園網的總體設計思想:

校園網不只是涉及技術方面,而是包括網絡設施、應用平臺、信息資源、專業應用、人員素質等眾多成份的綜合化以及信息化教學環境系統。因此,在總體上如何籌劃、組織網絡建設和開發應用的設計思想是校園網建設中的最重要的問題。

總體設計是校園網建設的總體思路和工程藍圖,是搞好校園網建設的核心任務。進行校園網總體設計,首先是進行對象研究和需求調查,弄清學校的性質、任務和改革發展的特點,對學校的信息化環境進行準確的描述,明確系統建設的需求和條件;其次,在應用需求分析的基礎上,確定學校Intranet服務類型,進而確定系統建設的具體目標,包括網絡設施、站點設置、開發應用和管理等方面的目標;第三是確定網絡拓撲結構和功能,根據應用需求、建設目標和學校主要建筑分布特點,進行系統分析和設計;第四,確定技術設計的原則要求,如在技術選型、布線設計、設備選擇、軟件配置等方面的標準和要求;第五,規劃安排校園網建設的實施步驟。

網絡建設的幾個原則

1 網絡系統的高性能

網絡系統設計中的設備高可靠性要求和系統高可用性要求:核心交換機所有關鍵部件可以實現冗余工作,可以在線更換(插拔),故障的恢復時間在秒級間隔內完成。多級容錯設計基于單個設備高可靠性的基礎之上進一步提高系統的可用性。

就學校應用來說,其通過先進的計算機、網絡等信息技術,實現辦公自動化,可以提高學校的管理效率和水平。支持校園應用的基礎設施是校園的園區網絡,它的工作狀況會直接影響到校園的辦公應用環境,教學、管理、開發、設計等業務環境,財務管理、部門管理等環境,信息檢索、數據庫查詢、Internet瀏覽等支持校園正常運行是必要服務設施功能。網絡的可靠性要求是保障校園應用環境正常運行的首要條件,網絡要求可靠性的同時,要求網絡具有高可用性。不僅要求設備的部件冗余,同時要求網絡的鏈路冗余,可結合物理層、鏈路層及第三層技術實現,以保證網絡可以在任何時間、任何地點提供信息訪問服務。

2 網絡系統的可擴展性

網絡設計的可擴展性要求包括交換機硬件的擴展能力以及網絡設施新應用的能力。核心交換機的靈活擴充性要求:核心交換機應該具有靈活的端口擴充能力,模塊擴充能力,滿足網絡規模的擴充;同時提高性能,滿足更高性能的要求。支持新應用的能力:產品具有支持新應用的技術設備,能夠方便快捷地實施新應用。 在設計網絡方案時,首先是滿足現有規模的網絡用戶的需求,同時考慮到未來業務發展、規模的擴大,設計網絡具有用戶端口靈活的擴充能力。核心設備是整個網絡的樞紐,用戶端口數的擴充,需要增加配線間邊緣工作組的設備,增加邊緣設備的同時,要求連接核心骨干設備的端口數相應增加,因此核心設備應該可以通過增加的負載插槽容量。對于交換機來說,核心交換引擎應該可以滿足最大配置下,無阻塞的進行端口數據飽交換,模塊的擴充不影響交換性能。采用分布式交換結構可以實現了交換機的并行數據交換處理,優化網絡的性能,本地交換和全局交換相結合的分布式交換實現靈活的模塊、端口擴充能力。

3 網絡系統的安全性

網絡系統的安全性要求可以有效的控制網絡的訪問。靈活的實施安全控制策略。網絡的安全性對網絡設計是非常重要的,合理的網絡安全控制,可以使應用環境中的信息資源得到有效的保護。在校園園區網絡中,關鍵應用服務器、核心網絡設備,只有系統管理人員才有操作、控制的權力。應用客戶端只有訪問共享資源的權限,網絡應該能夠阻止任何非法的操作。在園區網絡設備上應該可以進行基于協議、基于Mac地址、基于IP地址的包過濾控制功能。在大規模園區網絡的設計上,劃分vlan,一方面可以有效的隔離子網內的大量廣播,另一方面隔離網絡子網間的通訊,控制了資源的訪問權限,提高了網絡的安全性。在設計園區網的原則上必須強調網絡安全性控制能力,使網絡可以任意連接,又可以從第二層、第三層控制網絡的訪問。

4 網絡的可管理性

網絡的可管理性要求網絡中的任何設備均可以通過網絡管理平臺進行控制,網絡的設備狀態,故障報警等都可以通過網絡平臺進行控制,通過網絡管理平臺簡化管理工作,提高網絡管理的效率。

篇9

【關鍵詞】 校園網 網絡管理 信息交流

校園網是面向校園內部師生的網絡,應該為校園內的廣大師生提供一個信息化教學環境,促進信息交流,資源共享和技術科研合作,同時根據實際所需,在必要的地方實現安全認證和計費管理,使建成的校園網形成可管理、易維護、安全、高效的新一代網絡體系。

一、校園網的設計原則和網絡結構

校園網設計時應遵從以下原則:1、先進性;2、標準化和開放性;3、可靠性和可用性;4、靈活性和兼容性;5、實用性和經濟性;6、安全性和保密性;7、擴展性和升級能力;8、網絡的靈活性及可管理性[1]。

目前,各個學校的校園網的結構基本相同,大多采用以下結構:(1)主干網采用千兆以太網,10M/100M自適應交換到桌面。 (2)整個網絡由網絡主控室、教學子網、辦公子網、圖書館子網、學生宿舍樓子網等組成,其中網絡主控室是整個網絡的主干,是網絡的總節點,其余各個子網的中心為二級節點。(3)校園網實現辦公自動化、學校內部主頁、內部電子郵件、電子教室、電子圖書館、內部信息服務等主要功能。

二、建設目標

網絡建設總體目標是采用先進實用的計算機技術及網絡通信技術,建立一個覆蓋全校所有建筑和部門的綜合網絡,建立一個技術先進、安全可靠、高效優質的校園網絡系統,為廣大師生、教研和管理人員提供一個先進的網絡環境,使學校的教學、管理和科研達到一個高效的層次。同時,通過校園網與國內外通信網絡的連通,共享國內外資源,建立一個滿實用校園網絡[2]。

三、網絡管理

3.1網絡安全的管理

校園網中的各信息點一般使用固定IP地址,科學的VLAN劃分和規范有序的IP地址管理是網絡安全管理工作的基礎,在構建網絡時要做好規劃、制定切實可行的實施方案。VLAN劃分要做到既滿足使用要求又方便網絡管理。要注意校園網VLAN劃分的策略、VLAN劃分的方法、VLAN之間的路由策略。IP地址管理要做到對網絡中所有的網絡設備的MAC地址進行登記、進行IP地址與MAC地址綁定、進行用戶認證。這樣可以有效預防局域網內發生IP地址沖突、盜用造成ARP攻擊等問題。

網絡安全要求保證網絡不被攻擊,保證重要信息不被篡改。網管人員設計并實施網絡安全解決方案,以降低被攻擊和侵害的風險。可以采取的措施有:標識重要的網絡資源,設置訪問權限;確定重要的網絡資源與其用戶間的映射關系;監視對重要資源的訪問;記錄非法登錄及對重要網絡資源的非法訪問等。

3.2校園網設備的管理

組建校園網的設備多,信息點分散,應該將網絡設備集中建立檔案,進行統一管理。主要做法如下:

(1)了解不同設備的各自性能并建立檔案備查。(2)建立每臺設備的配置檔案及更換記錄。(3)將所有網絡設備的驅動程序收集起來集中放到某臺工作站中,方便日后機器重裝。(4)將安裝好系統軟件及常用軟件的各種配置的計算機硬盤都通過GHOST軟件將其鏡像成一個文件放到服務器中。

3.3網絡管理軟件的使用

網絡管理軟件屬于網絡軟件(通信支撐平臺軟件、網絡服務支撐平臺軟件、網絡應用支撐平臺軟件、網絡應用系統、網絡管理系統以及用于特殊網絡站點)的一種,即通過軟件來支持行為,提高工作效率。借助此網管系統,網絡管理人員不僅可以進行自動化的網絡監測和管理,而且可以開發網絡管理應用程序,按照網絡管理的對象,它可以分為系統管理軟件和設備管理軟件[4]。

四、網站管理

4.1 WWW服務管理

1、IIS管理

WWW服務器為更新網站內容,一般會安裝FTP服務,所以管理WWW服務要和FTP服務協同管理。(1)只安裝必須的服務。 (2)停止默認的FTP站點、默認的Web站點、管理Web站點,在新的目錄下新建WWW服務與FTP服務。(3)安裝新的Service Pack后,重設IIS的應用程序映射。(4)設置IP拒絕訪問列表。(5)禁止對FTP服務的匿名訪問。(6)記錄并審查日志。(7)慎重設置WEB站點目錄的訪問權限。

2、網頁編程安全管理

數據檢查和文件檢查有利于防止SQL注入、防止跨站腳本攻擊、防止存在源文件的文本。

3、數據庫的安全配置]

數據庫服務是Intranet應用的基礎,也是平常維護網絡安全時容易忽視的問題,這里介紹SQL Server數據庫服務器的安全配置。(1)在服務器端腳本上過濾一些類似 , ‘ ; @/ 等字符,防止破壞者構造惡意的SQL語句。(2)安裝SQL Server的最新補丁。(3)使用安全的密碼策略。(4)使用安全的帳號策略。(5)加強數據庫日志的記錄。(6)管理擴展存儲過程。(7)使用協議加密。(8)更改原默認的1433端口,拒絕來自1434端口的探測。

4、FTP服務管理

FTP服務容易產生較大的網絡流量,如果管理不好,就會造成網絡堵塞、服務器死機等問題。FTP服務管理涉及Serv-U的安裝、用戶的管理、域的設置等。

5、防止垃圾郵件

網絡技術的飛速發展,人類進入互聯網時代,電子郵件在人們的生活中逐漸取代傳統郵件,成為企業、個人工作生活不可或缺的聯絡方式,隨之而來出現大量垃圾郵件,占用大量傳輸、存儲和運算資源,造成資源和空間浪費。垃圾郵件還具有欺騙性,成為不良信息的主要傳播載體。因此,要制定垃圾郵件過濾規則,通過對發件人,收件人,郵件頭,郵件正文等進行比較分析,通過白名單、黑名單結合,定義過濾規則對違規郵件過濾[5]。

6、被入侵系統的恢復

網站要經常進行數據備份,萬一被入侵遭到破壞,就可以進行恢復。恢復工作不能簡單地還原系統了事,要進行認真地分析原因、采取措施、追根尋源,防止以后的入侵或對其它網絡用戶的入侵。系統恢復應該包含以下幾個方面的工作:制定安全策略;記錄恢復過程中所有的步驟;奪回對系統的控制權;將被侵入的系統從網絡上斷開;復制一份被侵入系統。

7、計費管理

計費管理是校園網管理的重要工作,計費系統的特點也可以反映出校園網管理和結構的特點。校園網及其管理要注意它的特點:獨特的計費方式;網絡出口帶寬逐步擴展;多個網絡出口的需求;接入方式多樣化;提供服務多樣化;用戶層次多樣化;管理對象多樣化;付費類型多樣化;網絡結構多樣化等。

五、入侵分析及策略研究

通過審查日志文件和系統配置文件,檢查入侵的蛛絲馬跡、入侵者對系統的修改和系統配置的脆弱性。主要檢查入侵者對系統配置文件的修改、被修改的數據、入侵者留下的工具和數據,同時審查系統日志文件,檢查網絡嗅探器程序、網絡上的其它系統和涉及到的或者受到威脅的遠程站點。具體策略首先是重裝操作系統,安裝所有補丁,及時關注系統的升級和補丁信息,取消不必要的服務,只配置系統所需要提供的服務,查閱CERT(計算機緊急響應組)的安全建議和供應商的安全提示。其次是安裝安全工具,啟動日志、檢查、記帳程序,將它們設置到準確的級別,配置防火墻對網絡進行防御,根據權威的安全指南檢查系統的安全性,從而加強系統和網絡的安全。最后,總結教訓,從記錄中總結出這起事故的教訓,有助于檢討自己的安全策略。計算事故的代價,改進安全策略,所做的修改要讓組織內的所有成員都知道,還要讓他們知道修改后對他們的影響。

參 考 文 獻

篇10

北京郵電大學校園網從誕生到2005年,經歷了互聯網飛速發展的階段,為了滿足飛速增長的校內用戶和網絡業務的需求,北京郵電大學校園網總共經歷了三次規模比較大的重建,即校園的一、二、三期。

北京郵電大學校園網一期工程從1994開始啟動,到2000年結束歷史使命。校園網的核心設備是思科公司的高端路由器。

北京郵電大學二期校園網從1999年開始建設,到2005年停止使用。二期校園網的建設大大提高了網絡的性能,緩解了校內網絡業務增長壓力,成為當時國內比較先進的校園網絡之一。

隨著一期、二期校園網成功建設運行,北郵校園網絡規模逐步擴大,在用戶不斷增加的同時,網絡使用中的管理隱患也逐步增大,三期校園網應運而生。三期校園網改造的主要目的是將整個校園網的性能、帶寬進行全網的改造。

方案實施

三期校園網的主干采用環狀拓撲結構,核心層骨干設備之間提升至萬兆互聯。核心層由教學區、學生宿舍區、服務器群3個核心節點組成,采用華為3Com萬兆交換機S8500,環網的構成大大提高了網絡的可靠性。在教學區內,教學樓采用原有的部分交換機產品,使用千兆交換機與核心交換機相連,各辦公室、教室百兆接入;宿舍網在二期的基礎上學生宿舍區又新增2個宿舍樓,均使用華為3Com系列產品。每個宿舍樓采用千兆交換機與核心交換機相連,各宿舍百兆接入。在防止MAC地址及IP地址的盜用;防止私起DHCP服務器;防病毒攻擊;對惡意用戶監控等方面也應用了很多先進的網絡管理手段,使校園網絡的安全性有了很大的提高。

鑒于IPv4向IPv6過渡的長遠考慮,校園網3期中建設了IPv6環境,使得師生可以對IPv6網絡進行訪問,同時逐步在IPv6網絡當中開展IPv6業務,如:組播、FTP、流媒體等。

三期校園網的建設大大提高了網絡的性能和帶寬,實現了校區內的高速互聯,使北郵校園網成為可管理、可增值、可持續發展的校園網絡。