【正文】 幫助學(xué)校網(wǎng)管人員及時(shí)排除故障，又能大大降低學(xué)校在網(wǎng)絡(luò)維護(hù)費(fèi)用上的支出。譬南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 7 如學(xué)校領(lǐng)導(dǎo)和普通教師之間，由于職能的差異，互相之間數(shù)據(jù)不能共享，因此將他們劃分到不同的 VLAN 當(dāng)中，這樣不會(huì)造成數(shù)據(jù)的錯(cuò)誤傳播以及不必要的數(shù)據(jù)泄漏，并能有效避免廣播風(fēng)暴的形成。 一般核心層設(shè)備采用高性能的交換網(wǎng)芯片以及高性能的網(wǎng)絡(luò)處理器芯片，要求有極高的系統(tǒng)總吞吐量和背板容量，可支持多個(gè)千兆端口。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 10 三 網(wǎng)絡(luò)總體設(shè)計(jì) ： ，它是由星型、總線型等典型拓補(bǔ)結(jié)構(gòu)組成，在現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)化布線工程中多采用星型結(jié)構(gòu)，主要用于同一樓層，由各個(gè)房間的計(jì)算機(jī)間用集線器或者交換機(jī)連接產(chǎn)生的，它具有施工簡(jiǎn)單，擴(kuò)展性高，成本低和可管理性好等優(yōu)點(diǎn)；而校園網(wǎng)在分層布線主要采用樹(shù)型結(jié)構(gòu)；每個(gè)房間的計(jì)算機(jī)連接到本層的集線器或交換機(jī)，然后每層的集線器或交換機(jī)在連接到本樓出口的交換機(jī)或路由器，各個(gè)樓的交換機(jī)或路由器再連接到校園網(wǎng)的通信網(wǎng)中，由此構(gòu)成了校園網(wǎng)的拓補(bǔ)結(jié)構(gòu)。為實(shí)現(xiàn)校區(qū)內(nèi)的高速互聯(lián)，核心層由 1 個(gè)核心節(jié)點(diǎn)組成，包括教學(xué)區(qū)區(qū)域、服務(wù)器群；匯聚層設(shè)在每棟樓上，每棟樓設(shè)置一個(gè)匯聚節(jié)點(diǎn)，匯聚層為高性能“小核心”型交換機(jī)，根據(jù)各個(gè)樓的配線間的數(shù)量不同，可以分別采用 1 臺(tái)或是 2 臺(tái)匯聚層交換機(jī)進(jìn)行匯聚，為了保證數(shù)據(jù)傳輸和交換的效率，現(xiàn)在各個(gè)樓內(nèi)設(shè)置三層樓內(nèi)匯聚層，樓內(nèi)匯聚層設(shè)備不但分擔(dān)了核心設(shè)備的部分壓力，同時(shí)提高了網(wǎng)絡(luò)的安全性；接入層為每個(gè)樓的接入交換機(jī)，是直接與用戶相連的設(shè)備。 IP 地址規(guī)劃 所謂 IP 地址就是給每一個(gè)直接與 Inter 相連的主機(jī)分配一個(gè)在全世界范圍惟一的網(wǎng)絡(luò)地址。校園網(wǎng)內(nèi)部由教學(xué)樓、寢室樓組成，其中教學(xué)樓中又分為學(xué)生區(qū)和辦公區(qū)兩個(gè)部分，具體信息點(diǎn)分布如上。一但接入互聯(lián)網(wǎng)，就會(huì)涉及到很多管理、安全等方面的問(wèn)題，校園網(wǎng)除了接入 CERNET 以外，還同時(shí)選擇了中國(guó)網(wǎng)通作為出口接入點(diǎn)， 校園網(wǎng)有兩條出口，一個(gè)是光纖接入教育網(wǎng)，另一個(gè)是中國(guó)網(wǎng)通 100Mbps 專線。根據(jù)統(tǒng)計(jì)，威脅校園網(wǎng)安全的攻擊行為大概有 40％左右是來(lái)自于網(wǎng)絡(luò)內(nèi)部，如何防范來(lái)自于內(nèi)部的攻擊是校園網(wǎng)網(wǎng)絡(luò)安全防護(hù)體系需要重點(diǎn)關(guān)注的地方。指使用非法手段，刪 除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用。另外，軟件的“后門”都是軟件編程人員為了方便而設(shè)置的，一般不為外人 所知，可是一旦“后門”被發(fā)現(xiàn)，網(wǎng)絡(luò)信息將沒(méi)有什么安全可言。 5. 兼容多種平臺(tái) 6. 一體化智能服務(wù)體系 2 瑞星企業(yè)級(jí)防火墻 瑞星全功能 NP 防火墻是一款整合多種安全防護(hù)功能的智能網(wǎng)絡(luò)安全防火墻，它是瑞星公司針對(duì)中小企業(yè)級(jí)用戶定制的一款高端防火墻，型號(hào)為：RFWSME。 檢測(cè)引擎的接入對(duì)被保護(hù)網(wǎng)絡(luò)是 透明的，它對(duì)被保護(hù)網(wǎng)絡(luò)的任何流量和請(qǐng)求均不做反應(yīng)，不影響被保護(hù)網(wǎng)絡(luò)的性能。 2． 故障管理 故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。 6. 設(shè)備軟件升級(jí)管理 Quidview 提供完善的設(shè)備軟件備份升級(jí)控制機(jī)制。 網(wǎng)絡(luò)安全策略配置 安全接入和配置是指在物理 (控制臺(tái) )或邏輯 (tel)端口接入網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備前必須通過(guò)認(rèn)證和授 權(quán)限制，從而為網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供安全性。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 28 其校園網(wǎng)基本拓?fù)浣Y(jié)構(gòu)： 設(shè)備配置方案 (1)路由器 f1 端口接外網(wǎng)端口 （ ）， f 0 端口接 內(nèi) 網(wǎng)端口 （ ）。 電源系統(tǒng) 為保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)轉(zhuǎn)及電源發(fā)生故障時(shí)重要數(shù)據(jù)的儲(chǔ)存 ,須配置具有高可靠性的 UPS 電源 。 9. 故障定位與地址反查 針對(duì)最為常見(jiàn)的端口故障， Quidview 網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具—— 路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。這樣就給網(wǎng)絡(luò)管理員管理、維護(hù)網(wǎng)絡(luò)帶來(lái)一定的困難。支持多種操作系統(tǒng)平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。 為了加強(qiáng)對(duì)引擎進(jìn)行訪問(wèn)的用戶的管理， RIDS100 系統(tǒng)設(shè)計(jì)了一套完善的用戶 管理機(jī)制，每個(gè)管理用戶配有一把電子鑰匙（串口或 USB 接口），內(nèi)裝有該用戶的密鑰和加密算法。 網(wǎng)絡(luò)安全防范措施 在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上實(shí)現(xiàn)多種信息安全，保障 校園 內(nèi)部網(wǎng)絡(luò)安全 ，我們選購(gòu)了一套網(wǎng)絡(luò)安全防范設(shè)備。 軟件的漏洞和“后門”。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 22 五 校園網(wǎng)絡(luò)管理及安全維護(hù) 校園網(wǎng)的安全威脅主要來(lái)源于兩大塊，一塊是來(lái)自于網(wǎng)內(nèi)，一塊來(lái)自于網(wǎng)外。在本方案中我們采用了基于端口的靜態(tài) VLAN，詳細(xì)情況請(qǐng)參照?qǐng)D 。并具有可靠性高、可擴(kuò)展性好、易于管理等優(yōu)點(diǎn)。密標(biāo)準(zhǔn) AH(MD5),ESP(Null,DES,3DES,ARC4,proprietary fast encoding,+MD5/HMAC,MD5)。各樓層和各樓之間的交換設(shè)備都直接上連到核心設(shè)備上。接入層設(shè)備提 供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基于業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功能。 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 8 目前校園網(wǎng)核心層設(shè)備一般采用萬(wàn)兆核心以太網(wǎng)交換機(jī)，萬(wàn)兆以太網(wǎng)交換機(jī)構(gòu)成了網(wǎng)絡(luò)的骨干部分。 VLAN 劃分保證內(nèi)網(wǎng)訪問(wèn)安全 由于整個(gè)校園網(wǎng)節(jié)點(diǎn)數(shù)多達(dá) 2020 多 個(gè)，從保證內(nèi)網(wǎng)的訪問(wèn)安全和便于管理的角度考慮，對(duì)整個(gè)校園網(wǎng)進(jìn)行了 VLAN 的劃分。此網(wǎng)管系統(tǒng)支持 SNMP、RMON 等網(wǎng)絡(luò)管理協(xié)議，能對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行遠(yuǎn)程監(jiān)控，通過(guò)探測(cè)每臺(tái)網(wǎng)絡(luò)設(shè)備的工作狀態(tài)，來(lái)保證整個(gè)網(wǎng)絡(luò)的可靠性。 層次型拓?fù)湓O(shè)計(jì)具有如下好處。 在總體設(shè)計(jì)方面，帶寬為 100M 的節(jié)點(diǎn)的介質(zhì)傳輸采用超五類線，音頻采用五類線，視頻采用同軸電纜。學(xué)校占地 50 畝，校園覆蓋了校綜合辦公樓 1 棟，圖書館 1 棟，教學(xué)樓 3 棟，男女宿舍各 1 棟，食堂一處，體育館（操場(chǎng)處）。校園網(wǎng)的 建成和使用，對(duì)于提高教學(xué)和科研的質(zhì)量、改善教學(xué)和科研條件、加快學(xué)校的信息化進(jìn)程，開(kāi)展多媒體教學(xué)與研究以及使教學(xué)多出人才、科研多出成果有著十分重要而深遠(yuǎn)的意義。根據(jù)以上對(duì)學(xué)校現(xiàn)狀的分析并通過(guò)深入的了解，目前學(xué)校無(wú)法滿足應(yīng)用發(fā)展的需要，在教學(xué)、教育資源獲取等方面的網(wǎng)絡(luò)應(yīng)用比較落后，校園的信息化相當(dāng)閉塞。 實(shí)現(xiàn)校園全部范圍內(nèi)的無(wú)線上網(wǎng)，全網(wǎng)展開(kāi) WEB， FTP,DNS 服務(wù)； 在學(xué)校設(shè)備需求方面，第三初級(jí)中學(xué)按信息點(diǎn)覆蓋情況主要設(shè)備需求參數(shù)如 下： 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 3 本章小結(jié) 本小節(jié)以 長(zhǎng)豐 縣第三初級(jí)中學(xué)校園網(wǎng)絡(luò)為基礎(chǔ)，對(duì)網(wǎng)絡(luò)設(shè)備，計(jì)算機(jī)設(shè)備 的現(xiàn)狀及現(xiàn)有網(wǎng)絡(luò)的應(yīng)用情況進(jìn)行了簡(jiǎn)要介紹。校園網(wǎng)示意圖： 設(shè)計(jì)原則 先進(jìn)性 我校為計(jì)算機(jī)示范性軟 件學(xué)院，每名學(xué)生均配有計(jì)算機(jī)終端。 可靠性 軟件學(xué)院 校園網(wǎng)是 長(zhǎng)春工程學(xué)院 重要的信息化建設(shè)工程，所以校園網(wǎng)建設(shè)的可靠性是非常重要的， 因此 在選型時(shí)候，明確提出要求網(wǎng)絡(luò)設(shè)備廠商具備 自主研發(fā)和自主生產(chǎn) 的能力，這樣才能夠保證網(wǎng)絡(luò)產(chǎn)品的可靠運(yùn)行，同時(shí)保證后期設(shè)備的維護(hù)和升級(jí)。 系統(tǒng)需求分析 不同 應(yīng)用及數(shù)據(jù)流所占用貸款分析 基礎(chǔ)信息服務(wù)約占用 100MB； 視頻電話、網(wǎng)絡(luò)會(huì)議、數(shù)字音頻約占用 100~600M 視頻流媒體播放 500~1000M WWW、 FTP、 EMail 服務(wù)約占用 10M 文件傳輸、 Inter 訪問(wèn)約占用 15M 由以上數(shù)據(jù)可以看出如果滿足所有應(yīng)用要求，單個(gè)用戶所獨(dú)占的網(wǎng)絡(luò)帶寬必須在 10M 以上，加上網(wǎng)絡(luò)上固有的廣播風(fēng)暴， 設(shè)計(jì)目標(biāo)是使單用戶在某一個(gè)時(shí)間獨(dú)占的帶寬不小于 100M。 網(wǎng)絡(luò)核心層設(shè)備的擬態(tài)網(wǎng)交換機(jī)應(yīng)具有以下功能： 高可靠性 大容量高密度 線速轉(zhuǎn)發(fā)性能 完善的 QoS 功能 完善的安全機(jī)制 強(qiáng)大的業(yè)務(wù)能力 匯聚層及設(shè)備的選取 匯聚層設(shè) 備的選?。? 網(wǎng)絡(luò)匯聚層是網(wǎng)絡(luò)接入層和核心層之間的分界層，包括園區(qū)主干網(wǎng)絡(luò)及所有連接的路由器。當(dāng)然這其中還有對(duì) 網(wǎng)絡(luò)整體結(jié)構(gòu)的設(shè)計(jì)，如 vlan 的劃分，各不同區(qū)域的細(xì)劃分都需要根據(jù)學(xué)校情況來(lái)定。 本實(shí)施方案從網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性、安全性及易于維護(hù)性出發(fā)進(jìn)行設(shè)計(jì)，以滿足客戶需求。目前，大多使用的是 32 位的 IPv4 地址，尋址時(shí)路由器先按 IP地址中的網(wǎng)絡(luò)號(hào) id 把網(wǎng)絡(luò)找到；當(dāng) 找到目的網(wǎng)絡(luò)后，再用 ARP 協(xié)議用主機(jī)號(hào)host－ id 找到主機(jī)。為了達(dá)到最好的網(wǎng)絡(luò)質(zhì)量和方便管理，一共分為五個(gè)網(wǎng)段?？紤]到 IP 地址匱乏的原因校園網(wǎng)內(nèi)部采用 NAT 地址裝換方式提供 Inter 訪問(wèn)服務(wù)。 . 威脅網(wǎng)絡(luò)安全因 素分析 計(jì)算機(jī)網(wǎng)絡(luò)安全受到的威脅包括： 1.“黑客”的攻擊； 2. 計(jì)算機(jī)病毒； 3. 拒絕服務(wù)攻擊（ Denial of Service Attack）。 干擾系統(tǒng)正常運(yùn)行，破壞網(wǎng)絡(luò)系統(tǒng)的可用性。如 Windows 的安全漏洞便有很多。 瑞星全功能 NP 防火墻整合了多種安全防護(hù)功能，是建構(gòu)中小型企業(yè)網(wǎng)絡(luò)的最佳選擇。 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)管理就是指監(jiān)督、組織和控制網(wǎng)絡(luò)通信服務(wù)以及信息處理所必需的各種活動(dòng)的總稱。 3. 性能監(jiān)控 Quidview 網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。使用 Quidview，管理員可以方便地查詢?cè)O(shè)備上運(yùn)行的軟件版本，并利用升級(jí)分 析功能來(lái)確定設(shè)備運(yùn)行軟件是否需要升級(jí)。限制遠(yuǎn)程訪問(wèn)的安全設(shè)置方法如下表 19 安全接入和配置方法 訪問(wèn)方式 保證網(wǎng)絡(luò)設(shè)備安全的方法 備注 Console 控制接口的訪問(wèn) 設(shè)置密碼和超時(shí)限制 建議超時(shí)限制設(shè)成 5 分鐘 進(jìn)入特權(quán) exec 和設(shè)備配置級(jí)別的命令行 配置 Radius 來(lái)記錄 logon/logout 時(shí)間和操作活動(dòng)；配置至少一個(gè)本地賬戶作應(yīng)急之用 tel 訪問(wèn) 采用 ACL 限制，指定從特定的 IP 地址來(lái)進(jìn)行tel 訪問(wèn)；配置 Radius 安全紀(jì)錄方案；設(shè)置超時(shí)限制 南昌職業(yè)學(xué)院畢業(yè)論文設(shè)計(jì) 27 SSH 訪問(wèn) 激活 SSH 訪問(wèn)，從而允 許操作員從網(wǎng)絡(luò)的外部環(huán)境進(jìn)行設(shè)備安全登陸 WEB 管理訪問(wèn) 取消 Web 管理功能 SNMP 訪問(wèn) 常規(guī)的 SNMP 訪問(wèn)是用 ACL 限制從特定 IP 地址來(lái)進(jìn)行 SNMP 訪問(wèn)；記錄非授權(quán)的 SNMP 訪問(wèn)并禁止非授權(quán)的 SNMP 企圖和攻擊 為增加安全 ,建議更改缺省的SNMP Commutiy子串 設(shè)置不同賬號(hào) 通過(guò)設(shè)置不同的賬號(hào)的訪問(wèn)權(quán)限，提高安全性 拒絕服務(wù)的防止 網(wǎng)絡(luò)設(shè)備拒絕服務(wù)攻擊的防止主要是防止出現(xiàn) TCP SYN 泛濫攻擊、 Smurf 攻擊等；網(wǎng)絡(luò)設(shè)備的防 TCP SYN 的方法主要是配置網(wǎng)絡(luò)設(shè)備 TCP SYN 臨界值，若多于這個(gè)臨界值，則丟棄多余的 TCP SYN 數(shù)據(jù)包；防 Smurf 攻擊主要是配置網(wǎng)絡(luò)設(shè)備不轉(zhuǎn)發(fā) ICMP echo請(qǐng)求 (directed broadcast)和設(shè)置 ICMP包臨界值，避免成為一個(gè) Smurf攻擊的轉(zhuǎn)發(fā)者、受害者。 Config t Hostname 2624 Enable secret level 15 0 star Line vty 0 4 !設(shè)