【文章內(nèi)容簡(jiǎn)介】 址進(jìn)行網(wǎng)絡(luò)的攻擊，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性。銳捷產(chǎn)品均支持IMGP源端口檢查，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，指嚴(yán)格限定IGMP組播流的進(jìn)入端口。當(dāng)IGMP源端口檢查關(guān)閉時(shí)，從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會(huì)把它們轉(zhuǎn)發(fā)到已注冊(cè)的端口。當(dāng)IGMP源端口檢查打開(kāi)時(shí)，只有從路由連接口進(jìn)入的視頻流才是合法的，交換機(jī)把它們轉(zhuǎn)發(fā)向已注冊(cè)的端口；而從非路由連接口進(jìn)入的視頻流被視為是非法的，將被丟棄。銳捷產(chǎn)品支持IGMP源端口檢查，有效控制非法組播，實(shí)現(xiàn)全網(wǎng)杜絕非法組播源，更好地提高了網(wǎng)絡(luò)的安全性和全網(wǎng)的性能，而且也是網(wǎng)絡(luò)帶寬合理的分配所必須的。同時(shí)IGMP源端口檢查，具有效率更高、配置更簡(jiǎn)單、更加實(shí)用的特點(diǎn)，更加適用于校園運(yùn)營(yíng)網(wǎng)絡(luò)大規(guī)模的應(yīng)用環(huán)境。當(dāng)用戶(hù)訪(fǎng)問(wèn)完網(wǎng)絡(luò)后，會(huì)保存有完備的用戶(hù)上網(wǎng)日志紀(jì)錄，包括某個(gè)用戶(hù)名，使用那個(gè)IP地址，MAC地址是多少，通過(guò)那一臺(tái)交換機(jī)的哪一個(gè)端口，什么時(shí)候開(kāi)始訪(fǎng)問(wèn)網(wǎng)絡(luò)，什么時(shí)候結(jié)束，產(chǎn)生了多少流量。如果安全事故發(fā)生，可以通過(guò)查詢(xún)?cè)撊罩?，?lái)唯一的確定該用戶(hù)的身份，便于了事情的處理。圖22 用戶(hù)上網(wǎng)日志第三章 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 校園網(wǎng)建設(shè)需求分析 需求分析局域網(wǎng)最大的特點(diǎn)就是可以實(shí)現(xiàn)資源的最佳利用,如:共享磁盤(pán)設(shè)備、打印機(jī)等,從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺(tái)共享打印機(jī)上進(jìn)行打印。當(dāng)然也可以借助Wingate或Sygate等軟件多機(jī)共享一臺(tái)Modem上網(wǎng)；或者通過(guò)代理服務(wù)器連上Internet，享受非一般的速度。網(wǎng)卡根據(jù)傳輸速率可分為：10Mbps網(wǎng)卡（ISA 插口或PCI插口）、100Mbps PCI插口網(wǎng)卡、10Mbps/100Mbps自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。目前10Mbps ISA插口的網(wǎng)卡仍以其低廉的價(jià)格占有市場(chǎng)的一定份額，但由于10Mbps ISA插口網(wǎng)卡的網(wǎng)絡(luò)傳輸速率低，且占用大量的CPU資源，只適應(yīng)于那些對(duì)速度要求不高的局域網(wǎng)，因此用100Mbps PCI插口的網(wǎng)卡或者10Mbps/100Mbps自適應(yīng)網(wǎng)卡，夠適應(yīng)于用戶(hù)比較多，網(wǎng)上傳輸?shù)臄?shù)據(jù)量大和需要進(jìn)行多媒體信息傳輸?shù)膽?yīng)用環(huán)境。BNC口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。RJ45是采用雙絞線(xiàn)作為傳輸媒介的一種網(wǎng)卡接口，RJ45的接口酷似電話(huà)線(xiàn)的接口，但網(wǎng)絡(luò)線(xiàn)使用的是8芯的接頭，使用RJ45的缺點(diǎn)是架設(shè)成本高，但安裝和維護(hù)較為方便，因此我們一般使用RJ45接口。集線(xiàn)器 (HUB):根據(jù)微機(jī)的數(shù)量,利用 HUB構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會(huì)因 HUB的處理速率遠(yuǎn)遠(yuǎn)低于通信線(xiàn)路的傳輸速度 ,從而造成瓶頸問(wèn)題。因此有條件的話(huà)可選用交換機(jī)。一個(gè) Hub所組成的域稱(chēng)為沖突域 ,也就是說(shuō) ,網(wǎng)絡(luò)上任何一臺(tái)計(jì)算機(jī)在收發(fā)數(shù)據(jù)時(shí) ,其他所有計(jì)算機(jī)都能夠收到 ,且這些計(jì)算機(jī)不能同時(shí)進(jìn)行數(shù)據(jù)的收發(fā) ,否則會(huì)發(fā)生碰撞(CSMA/ CD協(xié)議會(huì)阻止碰撞 )。此外每臺(tái)接入 Hub的計(jì)算機(jī) ,都要檢測(cè)接收到的數(shù)據(jù)目的地址 ,以確認(rèn)是否是收到自己的通信信息 ,因此計(jì)算機(jī) CPU占用率高 ,全網(wǎng)通信效率低 ,只適用于小型工作組級(jí)別應(yīng)用。學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項(xiàng)靈魂工程。其設(shè)計(jì)方案應(yīng)注意以下原則：實(shí)用性校園網(wǎng)設(shè)計(jì)應(yīng)能滿(mǎn)足學(xué)校目前對(duì)網(wǎng)絡(luò)應(yīng)用的要求，充分實(shí)現(xiàn)學(xué)校內(nèi)部管理、教學(xué)和科研的網(wǎng)絡(luò)化、信息化的要求，使網(wǎng)絡(luò)的整體性能盡快得到充分的發(fā)揮，并且便于掌握?？煽啃孕@網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的MTBF(平均無(wú)故障工作時(shí)間)和極低的MTBR(平均無(wú)故障率)，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。統(tǒng)一性在系統(tǒng)的設(shè)計(jì)過(guò)程中，堅(jiān)持三統(tǒng)一，即統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一出口。先進(jìn)性在系統(tǒng)的開(kāi)發(fā)過(guò)程中，既能滿(mǎn)足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來(lái)需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶(hù)的其他要求。 關(guān)鍵設(shè)備在產(chǎn)品選購(gòu)之前一定要經(jīng)過(guò)認(rèn)真的分析，這次參與組網(wǎng)的機(jī)構(gòu)選用美國(guó)Cisco公司的Catalyst 6506作為數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)的內(nèi)部核心交換機(jī)，Catalyst 6506是大容量的具有高交換能力的第三層模塊化交換機(jī)，Catalyst 6506的交換容量以及端口數(shù)量等技術(shù)指標(biāo)足以滿(mǎn)足網(wǎng)絡(luò)目前的需求。選擇Catalyst 3548作為外網(wǎng)交換機(jī)?？梢酝ㄟ^(guò)千兆的光纖鏈路連接到核心交換機(jī)，而所有的用戶(hù)終端可以通過(guò)10/100M自適應(yīng)通道接入到Cisco Catalyst 3524和Catalyst 3548交換機(jī)上。選擇Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī)，為終端用戶(hù)提供10/100M到桌面。選擇Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)DDN、ISDN訪(fǎng)問(wèn)路由器，既可以滿(mǎn)足上級(jí)單位Internet的DDN、ISDN接入的需求，又可以滿(mǎn)足繼續(xù)擴(kuò)展的需求。同時(shí)Cisco 3662作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器，提供分支機(jī)構(gòu)的撥號(hào)接入。 網(wǎng)絡(luò)核心層：用一臺(tái)Cisco的高端三層交換機(jī)Catalyst 6506作為整個(gè)交換系統(tǒng)的核心，由網(wǎng)絡(luò)中心網(wǎng)絡(luò)管理員統(tǒng)一調(diào)度，從而使計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為一個(gè)具有整合的千兆以太網(wǎng)主干并具備第三層交換功能的綜合網(wǎng)絡(luò)通信平臺(tái)。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。一塊WSX6KS1AMSFC2交換引擎是交換機(jī)的心臟，它控制交換機(jī)的尋址、數(shù)據(jù)轉(zhuǎn)發(fā)、模塊控制等。 Catalyst6506交換機(jī)引擎卡上的MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，利用Cisco特有的Netflow技術(shù)，完全滿(mǎn)足核心線(xiàn)性三層交換的能力。另一塊WSX6408GBIC 的8端口千兆以太光纖模塊將所有的匯聚層設(shè)備、接入層設(shè)備、網(wǎng)管工作站及網(wǎng)絡(luò)應(yīng)用服務(wù)器都直接連入到核心層設(shè)備上去。 匯聚層：在分配線(xiàn)間分別設(shè)立Cisco Catalyst 3524和Catalyst 3548作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過(guò)光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506上去，終端用戶(hù)可以通過(guò)超5類(lèi)UTP線(xiàn)纜連接到各層交換機(jī)中去，可以實(shí)現(xiàn)10/100M的自適應(yīng)通道連接到局域網(wǎng)中去。接入層；在網(wǎng)絡(luò)接入層中我們選用了一臺(tái)Cisco 3660路由器作為廣域互連和外部用戶(hù)撥號(hào)訪(fǎng)問(wèn)網(wǎng)關(guān)，其中主要采用了兩種接入方式分別實(shí)現(xiàn)各自功能：1.　ADSL接入方式。2. FTTX+LAN接入方式。 校園網(wǎng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)根據(jù)校園網(wǎng)的需求分析及建設(shè)目標(biāo)，本設(shè)計(jì)方案采用交換式千兆以太網(wǎng)作為主干，百兆交換到桌面。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆?shù)結(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。 圖31（網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)） 技術(shù)方案 校園網(wǎng)的建設(shè)規(guī)劃校園網(wǎng)建設(shè)作為一項(xiàng)復(fù)雜的系統(tǒng)工程，與任何一項(xiàng)工程建設(shè)一樣，在開(kāi)始建設(shè)前都要根據(jù)工程的特點(diǎn)事先進(jìn)行詳細(xì)的工程規(guī)化與技術(shù)需求分析，它的成功與否都直接影響到工程的建設(shè)質(zhì)量以及今后網(wǎng)絡(luò)能否可靠運(yùn)行都有直接的關(guān)系，因此要特別認(rèn)真地進(jìn)行系統(tǒng)規(guī)劃。對(duì)于校園網(wǎng)來(lái)說(shuō)，必須對(duì)技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識(shí)，只有這樣，才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。1． 校園網(wǎng)的應(yīng)用特點(diǎn) 隨著現(xiàn)代化教學(xué)活動(dòng)的開(kāi)展和與國(guó)內(nèi)外教學(xué)機(jī)構(gòu)交往的增多，對(duì)通過(guò)網(wǎng)絡(luò)進(jìn)行信息交流的需求越來(lái)越迫切，為促進(jìn)教學(xué)、方便管理和進(jìn)一步發(fā)揮師生的創(chuàng)造力，校園網(wǎng)絡(luò)建設(shè)成為現(xiàn)代教育機(jī)構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn)： 高速的局域網(wǎng)連接校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)基本要求； 信息結(jié)構(gòu)多樣化校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書(shū)館等）、學(xué)校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫(kù)為主，遠(yuǎn)程通訊則多為WWW方式，因此數(shù)據(jù)成分復(fù)雜，不同類(lèi)型數(shù)據(jù)對(duì)網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 操作方便，易于管理校園網(wǎng)面向不同知識(shí)層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡(jiǎn)便易行，界面友好，不宜太過(guò)專(zhuān)業(yè)化； 經(jīng)濟(jì)實(shí)用學(xué)校對(duì)網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實(shí)用，具備很高的性能價(jià)格比。 2．校園網(wǎng)的需求分析 在著手設(shè)計(jì)一個(gè)校園網(wǎng)或者計(jì)算機(jī)局域網(wǎng)時(shí)，其主要依據(jù)就是網(wǎng)絡(luò)用戶(hù)（學(xué)校）的需求及將要建設(shè)的網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)。通過(guò)對(duì)實(shí)際需要進(jìn)行細(xì)致的分析，才能確定系統(tǒng)的總體目標(biāo)和近期目標(biāo)。需求分析是如何設(shè)計(jì)、建設(shè)和應(yīng)用校園網(wǎng)的關(guān)鍵。在完成校園網(wǎng)的需求分析之后，就要對(duì)整個(gè)校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計(jì)。校園網(wǎng)具體的需求分析有如下幾點(diǎn)：（1） 總體目標(biāo)對(duì)于一個(gè)校園網(wǎng)來(lái)說(shuō)，系統(tǒng)的總體目標(biāo)就是在一個(gè)時(shí)期內(nèi)，當(dāng)校園網(wǎng)完全建設(shè)好后所要達(dá)到的功能和具有的規(guī)模。一般來(lái)說(shuō)，一個(gè)校園網(wǎng)系統(tǒng)總體目標(biāo)是分步實(shí)施的，包括功能的分步實(shí)施和規(guī)模的分步實(shí)施。主要原因是受資金的限制（這是在建設(shè)校園網(wǎng)時(shí)普遍遇到的問(wèn)題）和技術(shù)發(fā)展的影響（因?yàn)殡S著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，校園網(wǎng)總會(huì)有進(jìn)行升級(jí)的需求）。因此我們?cè)谠O(shè)計(jì)一個(gè)校園網(wǎng)時(shí)，要充分考慮到對(duì)已有校園網(wǎng)資源的再次利用，又要考慮到將來(lái)對(duì)校園網(wǎng)進(jìn)一步的升級(jí)改造。（2）近期目標(biāo)近期目標(biāo)就是根據(jù)實(shí)際需求來(lái)設(shè)計(jì)和建設(shè)校園網(wǎng)，使建設(shè)好后的校園網(wǎng)能滿(mǎn)足實(shí)際需求所應(yīng)有的功能和規(guī)模，同時(shí)又要考慮將來(lái)能對(duì)校園網(wǎng)進(jìn)一步的升級(jí)改造或者是后期工程的建設(shè)，系統(tǒng)近期目標(biāo)是需求分析的重點(diǎn)。3． 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 校園網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)主要是進(jìn)行網(wǎng)絡(luò)的物理設(shè)計(jì)和邏輯設(shè)計(jì)，在完成結(jié)構(gòu)設(shè)計(jì)后才能對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行選型。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)對(duì)于整個(gè)網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)是十分重要的，它設(shè)計(jì)的成功與否都直接影響網(wǎng)絡(luò)的使用功能的實(shí)現(xiàn)以及網(wǎng)絡(luò)是否能滿(mǎn)足網(wǎng)絡(luò)的需求。（1）物理設(shè)計(jì)根據(jù)需求分析，可以知道整個(gè)校園網(wǎng)信息點(diǎn)的數(shù)目，同時(shí)也知道這些信息點(diǎn)在整個(gè)校園內(nèi)的分布情況。當(dāng)我們確定網(wǎng)絡(luò)控制中心的位置后，就應(yīng)該考慮如何把校園內(nèi)的信息點(diǎn)連到網(wǎng)絡(luò)控制中心以及各種設(shè)備的連接速率和網(wǎng)絡(luò)使用的拓?fù)浣Y(jié)構(gòu)等，網(wǎng)絡(luò)系統(tǒng)所使用來(lái)連接各種網(wǎng)絡(luò)設(shè)備的傳輸介質(zhì)也是需要考慮的問(wèn)題。（2）邏輯設(shè)計(jì)網(wǎng)絡(luò)的邏輯設(shè)計(jì)主要考慮校園網(wǎng)的IP子網(wǎng)網(wǎng)段的劃分，通過(guò)實(shí)際的網(wǎng)絡(luò)物理連接，依據(jù)實(shí)際需求來(lái)實(shí)現(xiàn)虛擬網(wǎng)絡(luò)(VLAN)的設(shè)置。無(wú)論從網(wǎng)絡(luò)的安全性和IP地址的可管理性來(lái)考慮，還是從有效利用IP地址資源的角度來(lái)考慮，將整個(gè)校園網(wǎng)劃分為多