校园网设计方案
实践课题:校园网网络规划设计
实践小组:第五组
小组成员:孙伟男,张顺江,
朱建垚,冷静思
目 录
一、概 论……………………………………………1
二、网络总体设计…………………………………………….4
三、需求分析和方案设计综述……………………………….6
四、网络拓扑图及网络设计……………..………………… .10
五、VLAN的划分及IP地址的分配………………………..14
六、网络安全与管理………………………………………....15
七、防 雷 系 统……………………………………………..18
八、结 束 语………………………………………………….20
一、概 论
全球性的国际计算机互连网Internet的迅速发展和普及,改变了整个信息产业的面貌,使信息技术产业从以计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教育及科研等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算及技术合作等,进而推动了教育事业、科研及生产的发展。Internet是一个全球性的开放的信息互连网络,它是以一系列关键支撑技术为核心发展起来的新兴领域,为人们提供了崭新的网络计算环境。
Internet不但具有丰富的信息资源,而且为了方便信息的访问、传输和共享,已经研究并开发了各种技术,设计与实现了各种信息访问的工具。为用户的网络访问和信息交流提供了最简便的方式。
除此之外,越来越多的新技术不断出现在Internet上,如:基于WWW的搜索技术、语音通信技术、视频点播技术、三维动画技术与VRML、Java技术、网络安全技术等。
校园网就是以Internet技术在学校内部建立起使用方便、价格低廉的信息交换网络系统,并且能够方便地与Internet交换信息,查询丰富的网上资源。它主要用来为全校教职员工、学生、Internet用户等提供计算机教学和管理、校园信息、学习指导等服务。目前,各类学校建立校园网已是大势所趋,也是非常必要和迫切需要的。校园网的建成使用,对提高教学和科研质量,改善教学和科研条件,使教学多出人才,出高精尖人才,使科研出成果, 出一流成果, 有着十分重要而深远的意义。
建设校园网络信息系统,在校园内部实现资源高度共享,为教学、科研、管理提供服务;支持教育教学改革,提高教育技术的现代化水平和教育信息化程度,为学校教师的备课、课件制作、教学演示提供网络环境;通过互联网、录像机、扫描仪、数码相机等各种渠道获得多媒体资料,实现素材收集、电子备课功能;培养创新人才,提高学生收集处理信息的能力、获取新知识的能力、分析和解决问题的能力、语言文字表达能力以及团结协作和社会活动的能力,为学生的全面发展创造相应的条件;实现办公自动化,提供与上级教育部门、社会、家庭之间通讯的出入口,提供电子函件、公告牌和教育教学信息查询等服务,提高工作效率和管理水平。及时、准确、可靠地收集、处理、存储、传输学校的教育教学信息,完成与因特网的通讯和资源共享,实现社会教育、学校教育、家庭教育的有机结合。实现课堂多媒体电化教学。具备适用于双向课堂语音教学及语音室功能学习。实现音频数字化资源共享、集中管理。建立校园网管理应用系统。以顺应时代的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为培养二十一世纪人才提供一个优良的硬件教学环境。
在短短的几年中,已经从最初仅仅局限在教育科研单位的网络,迅速发展到今天遍及全国的包括教育、科研、商业、民用各个方面的数个大型网络,如Chinanet(中国邮电网)、Cernet(中国教育网)、Gbnet(金桥网络)等等。目前在网络上提供有价值、有吸引力的信息,对一个单位或学校树立自己的形象,提高自己的知名度,以及开拓和国际上其他学校、组织的联系和往来能够起到很显著的作用。
二、网络总体设计
网络构架分析
现代网络结构化布线工程中多采用星型结构,主要用于同一楼层,由各个房间的计算机间用集线器或者交换机连接产生的,它具有施工简单,扩展性高,成本低和可管理性好等优点;而校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构
校园网采用星形的网络拓扑结构,骨干网为1000M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。
因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性,我们选择热路由备份可以有效地提高核心交换的可靠性。
传输介质也要适合建网需要。在楼宇之间采用1000M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。
设计思路
进行校园网总体设计,首先要进行对象研究和需求调查,明确学校的性质、任务和改革发展的特点及系统建设的需求和条件,对学校的信息化环境进行准确的描述;其次,在应用需求分析的基础上,确定学校服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求;第五,规划校园网建设的实施步骤。
校园网总体设计方案的科学性,应该体现在能否满足以下基本要求方面:
(1)整体规划安排;
(2)先进性、开放性和标准化相结合;
(3)结构合理,便于维护;
(4)高效实用;
(5)支持宽带多媒体业务;
(6)能够实现快速信息交流、协同工作和形象展示。
校园网的设计原则
(1)先进性原则
以先进、成熟的网络通信技术进行组网,支持数据、语音和视频图像等多媒体应用,采用基于交换的技术代替传统的基于路由的技术,并且能确保网络技术和网络产品在几年内基本满足需求。
(2)开放性原则
校园网的建设应遵循国际标准,采用大多数厂家支持的标准协议及标准接口,从而为异种机、异种操作系统的互连提供便利和可能。
(3)可管理性原则
网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。
(4)安全性原则
信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。
(5)灵活性和可扩充性
选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。
(6)稳定性和可靠性
可靠性对于一个网络拓扑结构是至关重要的,在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。
三、需求分析和方案设计综述
网络设计应满足需求:
(一)由一个主干网和多个子网组成校园局域网(Intranet)。
(二)主干网接入全球互联信息网外接(Internet),各子网再接入主干通信网。
(三)主干网接入Internet的方式可是有线综合宽带网,速率可 在100M左右。
(四)主干为千兆线路,其它线路为超五类双绞线。
(五)每个楼中都有局域网,终端PC机都能接入主干网,通过楼内的交换机接入。
(六)网络中心和各楼层都用千兆线路连接。
(七)INTERNET服务器选用专业服务器产品,均存放在网络中心机房,网管工作站使用专业的工作站来进行管理。
(八)各应用平台的建设均可接入骨干网,构成子网应用平台。
依据标准:
1. 国家、行业及地方设计标准和规范
CECS 90:97 建筑与建筑群网络布线工程设计规范
CECS :97 建筑与建筑群网络布线工程施工及验收规范
GB/T 50311-2000 建筑与建筑群网络布线系统工程设计规范
GB/T50312-2000 建筑与建筑群网络布线系统工程验收规范
YD/T926 1-2-1997 大楼通信网络布线系统行业标准
2. 国际技术设计标准和规范
ISO/IEC 11801:1995 建筑物网络布线规范
ETA/TIA-568A/B:1995 商务建筑物电信布线标准
ETA/TIA 569 商务建筑物电信布线路由标准
ETA/TIA-606 商务建筑物电信基础设施管理标准
ETA/TIA TSB67 商务建筑物电信布线测试标准
EN50173 欧洲商务建筑电信布线标准
3. 本设计遵循的标准
ISO11801 国际建筑通用布线标准
IEEE 100 BASE-T 100兆以太网
IEEE 1000 BASE-T 1000兆以太网
CCITT ISDN 综合业务数据网络标准
IEEE 802.3 1000BASE-F 光纤分布数据接口(FDDI)标准
IEEE 802.5 TOKEN RING 网络标准
4. 设计、安装和验收规范
中国民用建筑电气设计规范(JGJ/T16-92)
智能建筑设计标准(EBD-03-95)
工业企业通信设计规范(CECS 09:)
电气装置安装工程施工及验收规范(GBJ 23282)
软件平台选择方案:
所谓开放就是要求系统的网络环境、操作系统、数据库资源以及客户端开发工具建立在有关工业标准之上,用户在软硬件的选择上有广阔的余地,而且能够在原有的系统之上方便扩充。
标准是开放的前提,只有建立在一定的标准之上,各种平台上的各种应用系统才能方便的集成在一起。Internet应用框架就是一个标准的开放系统。其中涉及的主要标准如是:
网络层/传输层协议 TCP/IP、SPX/IPX、NetBUEI
应用层协议 SNMP,FTP,HTTP,RPC
网络计算构架 JAVA、ActiveX、CGI、ASP
数据库查寻语言 SQL
数据库访问API ODBC、JDBC、DB-Library
基于Web-client/Server的体系构架
以网络为基础的、强调分布式信息处理的Web-Client/Server体系结构,已成为当前信息处理的主流,Iternet/Intranet各种服务中,E-Meil、FTP、Web、DNS、Telnet、数据库查询等都是基于Web-Clientl/Server结构有如下优点:
1、服务器作为数据处理的焦点,便于对数据处理的集中管理;
2、充分利用服务器的系统资源;
3、降低了对可户机的要求;
4、减少了网络传输的数据量,减少了网络负荷;
信息点数统计:
| 大楼 | 楼层 | 信息点 | 信息点合计 | 到网络中心距离 |
| 综合办公楼 | 办公室 | 20 | 256 | 同一栋楼内 |
| 计算机实验室1#2# | 108 | |||
| 多媒体教室1#2# | 104 | |||
| 网络中心 | 8 | |||
| 实验室 | 1~4:教室 | 16 | 16 | 50 |
| 教学楼 | 1~5:教室 | 20 | 20 | 100 |
| 图书馆 | 30 | 30 | 200 | |
| 体育馆 | 30 | 30 | 280 | |
| 学生宿舍楼1# | 60 | 60 | 300 | |
| 学生宿舍楼2# | 60 | 60 | 350 | |
| 合 计 | 472 |
| 名称 | 信息点数 | 交换机使用情况 |
| 综合办公楼 | 256 | 用5台48口、1台24口交换机 |
| 实验室 | 16 | 用1台24口交换机 |
| 教学楼 | 20 | 用1台24口交换机 |
| 图书馆 | 30 | 用1台24口、1台16口交换机 |
| 体育馆 | 30 | 用1台24口、1台16口交换机 |
| 学生宿舍1# | 60 | 用1台48口、1台24口交换机 |
| 学生宿舍1# | 60 | 用1台48口、1台24口交换机 |
| 合计 | 472 | 7台48口、7台24口、2台16口 |
| 名称 | 型号 | 单价 | 数量 | 合计 |
| 路由器 | H3C-7206VXR | 3.5万 | 1台 | 3.50 万 |
| 核心层交换机 | H3C-Quidway S9303 | 10万 | 1台 | 10.00万 |
| 分布层交换机 | WS-C2960-G-48 | 2.2万 | 3台 | 6.60 万 |
| 接入层交换机(24口) | H3C S1216 | 1300 | 7台 | 0.91 万 |
| 接入层交换机(48口) | H3C S1550 | 2800 | 7台 | 1.96 万 |
| 接入层交换机(16口) | H3C S3100 | 1100 | 2台 | 0.22 万 |
| 防火墙 | USG3030 | 3万 | 1台 | 3.00 万 |
| 服务器 | ||||
| 电子邮件服务器 | eWorld 邮件服务器M | 5.7万 | 1台 | 5.70 万 |
| 文件传输服务器 | eWorld 宽带主机S20 | 2.86万 | 1台 | 2.86 万 |
| 计费服务器 | 蓝海卓越NS-G50-2000 | 3.96万 | 1台 | 3.96 万 |
| 代理服务器 | 1250 | 1台 | 0.12 万 | |
| EEB服务器 | 1.18万 | 1台 | 1.18 万 | |
| UPS | C3KVA/2100W | 2250 | 1台 | 0.23 万 |
| 调制解调器 | ATRIE WireSpan 300E | 1000 | 1台 | 0.10万 |
| 总计:40.34万 | ||||
学校网络布局图
各个子系统布线示意图
工作区子系统(Work Area)及其网络设计:
工作区子系统,是由RJ-45跳线与信息插座所连接的设备组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。例如:对于一个办公区内的每个办公点可配置2~3个信息点,此外应为此办公区配置3~5个专用信息点用于工作组服务器、网络打印机、传真机、视频会议等。若此办公区为商务应用则信息点的带宽为100M可满足要求;若此办公区为技术开发应用则每个信息点应为交换式100M甚至是光纤信息点。
工作区的终端设备(如:电话机、传真机)选用安普公司的超五类双绞线直接与工作区内的每一个信息插座相连接,或用适配器(如ISDN终端设备)、平衡/非平衡转换器进行转换连接到信息插座上。
配线子系统(Horizontal)及其网络设计:
配线子系统,是从工作区的信息插座开始到管理间子系统的配线架。选择配线子系统的线缆,要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在配线子系统中推荐采用的双绞电缆及光纤型号为: 安普公司的超五类或六类非屏蔽双绞线, TCL室内单模或多模光纤。双绞线水平布线链路中,水平电缆的最大长度为90m。若使用100ΩUTP双绞线作为配线子系统的线缆,可根据信息点类型的不同采用不同类型的电缆。该方案选择安普公司的超五类非屏蔽双绞线缆。
干线子系统(Backbone)及其网络设计:
干线子系统,负责连接管理子系统到设备间子系统的子系统。干线子系统可以使用的线缆主要有:HAY三类大对数电缆;安普公司的超五类或六类双绞线;TCL室内单模或多模光纤。该方案选择安普公司的超六类双绞线缆。
垂直干线子系统由连接主设备间至各楼层配线间之间的线缆构成。其功能主要是把各分层配线架与主配线架相连。用主干电缆提供楼层之间通信的通道,使整个布线系统组成一个有机的整体。垂直干线子系统Topology结构采用分层星型拓扑结构,每个楼层配线间均需采用垂直主干线缆连接到大楼主设备间。垂直主干采用25对大对数线缆时,每条25对大对数线缆对于某个楼层而言是不可再分的单位。垂直主干线缆和水平系统线缆之间的连接需要通过楼层管理间的跳线来实现。
设备间子系统(Equipment Room)及其网络设计:
设备间子系统,由电缆、连接器和相关支撑硬件组成。采用BIX跳接式配线架,连接交换机;采用光纤终结架连接主机及网络设备。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起,也可分别设置。在较大型的综合布线中,可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房,把与综合布线密切相关的硬件设备放置在设备间,计算机网络设备的机房放在距离设备间不远的位置。
设备间子系统是一个集中化设备区,连接系统公共设备,如局域网(LAN)、主机、建筑自动化和保安系统,及通过垂直干线子系统连接至管理子系统。
管理子系统(Administration)及其网络设计:
管理子系统,由交连、互连和I/O组成。管理是针对设备间、电信间和工作区的配线设备、缆线等设施,按-定的模式进行标识和记录的规定。跳线采用超5类非屏蔽双绞线,RJ45接头。管理间是楼层的配线间,管理子系统为其他子系统互连提供手段,它是连接垂直干线子系统和水平干线子系统的设备。管理子系统由交连、互连和输入/输出组成,实现配线管理,为连接其它子系统提供手段。包括配线架、跳线设备及光配线架等组成设备。设计管理子系统时,必需了解线路的基本设计原理,合理配置各子系统的部件。安普公司的综合布线解决方案拥有搭配科学、管理简便的成套产品用于管理子系统。
建筑群子系统(Campus Subsystem)及其网络设计:
建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段,也可采用微波通信、无线电通信的手段。传输介质采用室外六芯多模光纤。
建筑群子系统介质选择原则: 楼和楼之间在二公里以内、传输介质为室外光纤、可采用埋入地下或架空(4M以上)方式、需要避开动力线、注意光纤弯曲半径建筑群子系统施工要点:包括路由起点、终点;线缆长度、入口位置、媒介类型、所需劳动费用以及材料成本计算。建筑群子系统所在的空间还有对门窗、天花板、电源、照明、接地的要求。
建筑群子系统的设计:3号楼、5号楼与办公楼之间由于距离较远,采用单模光纤连接;3号楼使用多模光纤连至1号楼、2号楼、公共卫生学院、电镜楼和由5号楼使用多模光纤连至6号楼、7号楼和研究生楼;图书馆与办公楼距离较近,采用千兆以太网连接。考虑近期学校使用、设备投资、距离超长等各种因素,采用多模光纤和单模光纤混合的方式连接,并在每个建筑物内预留了多模光纤,以备将来整个网络系统的发展。
进线间子系统及其网络设计:
进线间一个建筑物宜设置1个,一般位于地下层,外线宜从两个不同的路由引入进线间,有利于与外部管道沟通。进线间与建筑物红外线范围内的人孔或手孔采用管道或通道的方式互连。进线间因涉及因素较多,难以统-提出具体所需面积,可根据建筑物实际情况,并参照通信行业和国家的现行标准要求进行设计,本规范只提出原则要求。
1.进线间应设置管道入口。
2.进线间应满足缆线的敷设路由、成端位置及数量、光缆的盘长空间和缆线的弯曲半径、充气维护设备、配线设备安装所需要的场地空间和面积。
3.进线间的大小应按进线间的进局管道最终容量及入口设施的最终容量设计。同时应考虑满足多家电信业务经营者安装入口设施等设备的面积。
4.进线间宜靠近外墙和在地下设置,以便于缆线引入。进线间设计应符合下列规定:
①进线间应防止渗水,宜设有抽排水装置。
②进线间应与布线系统垂直竖井沟通。
③进线间应采用相应防火级别的防火门,门向外开,宽度不小于1000mm。
④进线间应设置防有害气体措施和通风装置,排风量按每小时不小于5次容积计算。
5. 与进线间无关的管道不宜通过。
6. 进线间入口管道口所有布放缆线和空闲的管孔应采取防火材料封堵,做好防水处理。
7. 进线间如安装配线设备和信息通信设施时,应符合设备安装设计的要求。
五、VLAN的划分及IP地址的分配
IP地址的分配原则
IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键,也是某职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏,不仅影响到网络路由协议算法的效率,更影响到网络的性能和稳定以及网络的扩展和管理,也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。
划分时注意使用VLAN,充分节约IP地址,使路由交换机上能够采用聚合进行路由的合并,减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段,以便做路由汇聚。
IP地址的分配原则如下:
(1)每个vlan分配一个C类地址
(2)给三层交换机设备互连的点对点IP地址分配1个C类地址,提供足够的扩展性
(3)考虑到以后的网络扩展规模,二层交换机设备的管理IP地址分配1个C类IP地址;
(4)可以考虑为学校校园网分配一个C类私有地址段,如192.168.19.X/24,将192.168.19.0/24的地址段分配给网络设备使用,192.168.100.0/24的地址段分配给服务器等设备使用,其它地址分配给各办公室PC机以及其它信息点使用。
物理/链路层配置原则
1. 网络设备互连的物理端口都应该绑定端口的速率和全双工模式;
2. 建议所有的Vlan都不要穿透核心层,所有的Vlan都将在汇聚层交换机上终结;
3. 本实施方案建议不要启用STP生成树协议,由于所有的Vlan都已在汇聚层交换机终结,在二层上并没有环路存在,故无必要启用;如果开启基于每个Vlan的生成树协议,广播报文将会很多,影响核心交换机性能和网络收敛时间;
4. 所有核心层和汇聚层交换机之间的互连端口均设置为Trunk模式,但目前只容许互连Vlan通过,以应付将来有Vlan穿越核心层这种情况;
5. 汇聚层交换机和接入交换机之间的互连端口设置为Trunk模式。
具体VLAN详细表
| 楼ID及名称 | VLAN ID |
| 办公室 | VLAN 10 |
| 计算机实验室1#2# | |
| 网络中心 | |
| 实验室 | VLAN 20 |
| 教学楼 | |
| 图书馆 | VLAN 30 |
| 体育馆 | VLAN 40 |
| 学生宿舍1# | VLAN 50 |
| 学生宿舍2# | VLAN 60 |
| 服务器群 | VLAN 70 |
| 网络单元 | 地址段 | 地址范围 | 网关 | 上网方式 | IP获取方式 |
| 办公室 | 192.168.0.0/28 | 1~22 | 192.168.0.1 | NAT | DHCP |
| 计算机实验室1# | 192.168.1.0/28 | 1~55 | 192.168.1.1 | NAT | DHCP |
| 计算机实验室2# | 192.168.1.56/28 | 57~112 | 192.168.1.57 | NAT | DHCP |
| 网络中心 | 192.168.2.0/28 | 1~9 | 192.168.2.1 | NAT | 手动配置 |
| 多媒体教室1# | 192.168.3.0/28 | 1~53 | 192.168.3.1 | NAT | DHCP |
| 多媒体教室2# | 192.168.3.54/28 | 55~108 | 192.168.3.55 | NAT | DHCP |
| 实验楼 | 192.168.4.0/28 | 1~17 | 192.168.4.1 | NAT | DHCP |
| 教学楼 | 192.168.5.0/28 | 1~21 | 192.168.5.1 | NAT | DHCP |
| 图书馆 | 192.168.6.0/28 | 1~31 | 192.168.6.1 | NAT | DHCP |
| 体育馆 | 192.168.7.0/28 | 1~31 | 192.168.7.1 | NAT | DHCP |
| 学生宿舍1# | 192.168.8.0/28 | 1~61 | 192.168.8.1 | NAT | DHCP |
| 学生宿舍2# | 192.168.8.63/28 | 62~122 | 192.168.8.62 | NAT | DHCP |
| 服务器群 | 10.8.0.0/28 | 1~5 | 10.8.0.1 | NAT | 手动配置 |
六、网络安全与管理
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部,如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。高校是计算机网络诞生的摇篮,也是最早应用网络技术的地方。校园网是当代高校重要基础设施之一,是促进学校提升教学质量、提高管理效率和加强对外交流合作的重要平台,校园网的安全状况直接影响着学校的各项工作。在校园网建设初期,网络安全问题可能还不突出,但随着应用的不断深入和用户的不断增加,高校校园网上的数据信息急剧增长,各种各样的安全问题层出不穷。“校园网既是大量攻击的发源地,也是攻击者最容易攻破的目标”。校园网络安全已经引起了各高校的高度重视。
高校校园网用户群体以高校学生为主。一方面,用户数量大、网络水平较高。随着高校的扩招,现在各高校的在校学生规模越来越大,校园网用户少则几千,多则几万,而且往往比较集中。高校学习以自主性学习为主,决定了高校学生可供自主支配的时间宽裕。通过学习,高校学生普遍掌握了一定的计算机基础知识和网络知识,其计算机水平比普通商业用户要高,而且他们对网络新技术充满好奇,勇于尝试,通常是最活跃的网络用户。
另一方面,校园网建设需要投入大量的经费,少则几百万,多则几千万,而高校的经费普遍是比较紧张的,有限的投入往往用于扩展网络规模、增加网络应用这些师生都能看到成果的方面,而往往忽视或轻视师生不容易看到成果的网络安全方面。
威胁网络安全因素分析
计算机网络安全受到的威胁包括:
1.“黑客”的攻击;
2. 计算机病毒;
3. 拒绝服务攻击(Denial of Service Attack)。
安全威胁的类型:
1、非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。如操作员安全配置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享。
2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
3、破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
4、干扰系统正常运行,破坏网络系统的可用性。指改变系统的正常运行方法,减慢系统的响应时间等手段。这会使合法用户不能正常访问网络资源,使有严格响应时间要求的服务不能及时得到响应。
5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等,其破坏性非常高,而且用户很难防范。
6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷,这些漏洞和缺陷最易受到黑客的利用。另外,软件的“后门”都是软件编程人员为了方便而设置的,一般不为外人所知,可是一旦“后门”被发现,网络信息将没有什么安全可言。如Windows的安全漏洞便有很多。
7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面,电磁辐射能够破坏网络中的数据和软件,这种辐射的来源主要是网络周围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐射源。另一方面,电磁泄漏可以导致信息泄露。
网络安全策略配置
1、拒绝服务的防止
网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、Smurf攻击等;网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN临界值,若多于这个临界值,则丢弃多余的TCP SYN数据包;防Smurf攻击主要是配置网络设备不转发ICMP echo请求(directed broadcast)和设置ICMP包临界值,避免成为一个Smurf攻击的转发者、受害者。
2、访问控制
1 允许从内网访问internet,端口全开放。
2 允许从公网到DMZ(非军事)区的访问请求:WEB服务器只开放80端口,mail服务器只开放25和110端口。
禁止从公网到内部区的访问请求,端口全关闭。
4 允许从内网访问DMZ(非军事)区,端口全开放
5 允许从DMZ(非军事)区访问internet,端口全开放
6 禁止从DMZ(非军事)区访问内网,端口全关闭。
3、安全接入和配置
安全接入和配置是指在物理(控制台)或逻辑(telnet)端口接入网络基础设施设备前必须通过认证和授权,从而为网络基础设施提供安全性。远程访问的安全设置方法如下表
安全接入和配置方法
| 访问方式 | 保证网络设备安全的方法 | 备注 |
| Console控制接口的访问 | 设置密码和超时 | 建议超时设成5分钟 |
| 进入exec和设备配置级别的命令行 | 配置Radius来记录logon/logout时间和操作活动;配置至少一个本地账户作应急之用 | |
| telnet访问 | 采用ACL,指定从特定的IP地址来进行telnet访问;配置Radius安全纪录方案;设置超时 | |
| SSH访问 | 激活SSH访问,从而允许操作员从网络的外部环境进行设备安全登陆 | |
| WEB管理访问 | 取消Web管理功能 | |
| SNMP访问 | 常规的SNMP访问是用ACL从特定的IP地址来进行SNMP访问;记录非授权的SNMP访问并禁止非授权的SNMP企图和攻击 | 为增加安全,建议更改缺省的SNMP Commutiy子串 |
| 设置不同账号 | 通过设置不同的账号的访问权限,提高安全性 |
随着计算机和网络通信技术的高速发展,现代机房网络设备对防雷过电压的要求越来越高。为较好地维护机房网络设备的安全,最大限度地抑制雷击对机房设备的伤害,从雷击的危害、入侵途径入手进行分析,提出了对计算机网络机房的内外部防雷系统进行综合设计,确保计算机网络信息系统的安全运行。
雷电防护包括针对建筑物的直击雷防护,以及针对建筑物内设备、人员的雷电波侵入防护和雷击电磁脉冲防护(简称为“弱电防护”)两大部分。现代防雷技术已将传统的直击雷防护和近年来不断受到重视的弱电防护视为并重的两大部分,强调全方位防护,综合治理,把防雷看作一个系统工程。因此,对雷电防护要引起足够重视,做到有备无患,对不符合要求的防雷设施进行整改,做好整体防护措施,才能更好地维护计算机网络机房系统设备的安全运行。
设计原则
由于机房雷电防护系统对所保护系统的业务正常运行具有非常重要的作用,因此雷电防护系统应具备先进性、可靠性、易维护、易升级等方面的突出特性。防雷工程设计及设备的选择应遵从以下的原则:
1. 可靠性原则
设计系统雷电防护工程应最先考虑的问题就是可靠性。在工程的设计中不一定要求最先进,但一定要用最成熟可靠的产品和技术,有些新技术确实在某些方面有优势,但还需要更多的时间去考验,在网络系统的雷电防护中应选择被广泛应用和证实的可靠产品和技术。
2. 实用性原则
本着一切从用户实际角度出发,配置防雷保护系统不是给用户花钱,而是在保护用户的投资,保证网络系统的正确运行;实用性就是能够最大限度的满足实际工作要求,从实际应用的角度来看,这个性能更加重要。
3. 开放性、可扩充、可维护性原则
雷电防护技术是不断发展变化的,为了保证用户的投资,所选产品必须符合国际标准及流行的工业标准,这样才能对网络的未来发展提供保证。
4. 经济性原则
整个防雷保护的建设要坚持实用为主, 根据投资的强度选择有实用价值,在满足系统需求和前提下,应尽可能选用性能价格最好,可靠性高、可维护性好的产品,选用性能价格比高的设备,尽快投入使用,并使整个系统能安全可靠地运行,以便节省投资,以最低成本来完成计算机网络系统防护的建设。
防雷防浪涌
实施防雷工程主要就是要保证机房设备安全运行,保证计算机网络的传输质量,在各点进行不同等级的防雷保护。根据办公楼的实际情况,提出以下防雷措施:
1) 对信息中心机房进行全方位的防雷接地保护;
2) 对监控机房等进行全方位的防雷接地保护;
3) 对室外摄像头进行电源、视频、控制线路进行全面保护;
4) 对其它区域进行普通电源保护。
电源系统防雷
我们将电源系统防雷分成三级来设计。三级防雷原理如下:
雷电流能量大一般在≈200KA、电压高达≈10000V、频率高≈800M-1G、通过时间短≈8/12μs一般的空气开关,保险丝、稳压设备等是无法防护的。所以必须加装避雷针、带、网防御直击雷,内部加装三级高反应速度的防止感应雷泻放设备。分流感应到线路的雷电流将雷电在1000V以下。具体三级电源防护措施如下:
第一级:作为主级电源防雷设备根据 IEC 61312-3《雷电电磁脉冲的防护 第三部分 过电压保护装置的要求》防雷设备泻放电流在150-100KA,电压在2800V-2500V以内。
具体措施:在大楼总配电柜处加装电源防雷模块做为大楼的第一级电源防雷。
第二级:次级电源防雷要求防雷设备泻放电流在70-40KA,电压在1800-1500V以内。
具体措施:在4楼信息中心机房配电箱的三项空开出线处加装V25-B/3+NPE电源防雷模块做为第二级电源防雷。
第三级:末级防雷要求防雷设备泻放电流在40-20KA,电压在1000-600V以内。
具体措施:在4楼信息中心机房配电箱的单相空开出线处加装V20-C/2电源防雷模块做为第三级电源防雷,另外在综合布线FD1配线间电源线路进入端串联加装抗浪涌电源插座。
通讯线路雷电防护
通讯、信号主要是通过电信部门通讯线路连接到设备端,进行网络通讯。通讯线路大多是挂空线缆,内部网络系统各通讯点的连接大多也是挂空双绞线线缆。根据IEC 61312-1《雷电电磁脉冲的防护 第一部分 通则》中提供的模拟公式可进行估算:高约4米长50米的挂空电缆在一公里雷击范围内线路感应电压约为800V。所以在通讯线路的入户端,出户端必须加装防雷设备。
主要保护对象为信息中心机房
具体措施:对于采用光纤通信的线路可以不另外加装防雷器,只需在光纤入户端将光纤内的钢筋做良好接地即可。但应考虑到做为备份通信的其它线路,如DDN等,因此对非光纤的通讯线路做防雷保护是有必要而且是必需的。可在专线通讯线路入户端加装RJ45-ISDN/4-F通讯专线防雷器一套。
机房内部防雷辅助措施
为了保证在机房内的工作人员不受静电及电磁脉冲的危害,需在静电地板下做均压网,且均压网与接地做良好的连接。使整个机房内地板的电位一致。
需将静电地板下方的支撑钢架与均压网做良好的电气连接,使静电地板上积累的电荷有良好的泻放通道。
将机房内所有需要接地的设备的金属表面与均压网汇流排做良好的电气连接。
八、结束语
该方案通过对大学高校现状需求分析及网络需求分析,绘制了校园平面图,制定了 适合该校园的网络设计方案。该方案涉及了网络三层结构的设计、网络拓扑图的绘制、网络安全与管理、综合布线设计及六个子系统图的绘制、防雷接地设计等。学校校园网络安全、稳定、快速发展,网内的数据资料实现一个安全、合理、有效的存储和备份,从而提高了学校校园网内教学资源的传送速度,节省了时间,提高了教学的质量,为我国教育事业的发展插上了有力的翅膀。可以想象,校园网络技术的发展解决了中国教育信息化进程中的应用,将有助于为我国培养出更多的栋梁之材。
(附)工程进度表
| 阶 段 | 工作内容 | 时间进度 |
| 初步调研 | 用户调查,项目调研,系统规划 | 1周 |
| 需求分析 | 现状分析,功能需求,成本/效益分析,需求报告 | 2周 |
| 初步设计 | 确定网络规模,建立网络模型,拿出初步方案 | 1周 |
| 详细调研 | 用户详细情况调查,系统分析,用户业务分析 | 2周 |
| 系统详细设计 | 网络协议体系确定,拓扑设计,选择网络操作系统,选定通信媒介,结构化布线设计,确定详细方案 | 1周 |
| 系统集成设计 | 计算机系统设计,系统软件选择,网络最终方案确定,硬件选型设备和配置,确定系统集成详细方案 | 2周 |
| 应用系统设计 | 设备定货,软件定货,安装前检查,设备验收,软件安装,网络分调,应用系统开发安装,调试,系统联调,系统验收 | 6周 |
| 系统维护和服务 | 系统培训,网络培训,应用系统培训,预防性维护故障问题处理 | 3周 |
【1】杨 威 《网络工程设计与系统集成(第二版)》北京:人民邮电出版社 2011
【2】沈海娟 《网路互联技术————路由与交换》 浙江:浙江大学出版社 2009
【3】肖建良 敖 磊 石 磊 《网络技术实验教程》 北京:清华大学出版社 2009
【4】石 磊 赵慧然 《网络安全技术》 北京:清华大学出版社 2009
【5】URL:http://www.pconline.com.cn/ 太平洋电脑网
【6】URL:http://bbs.51cto.com/ 网络技术论坛
2011.12.07
Copyright © 2019-2025 51dongshi.net 版权所有
违法及侵权请联系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市万商天勤律师事务所王兴未律师提供法律服务
