【文章內(nèi)容簡(jiǎn)介】 教學(xué)樓行政樓教職工宿舍教學(xué)樓1圖書閱覽室實(shí)驗(yàn)樓食堂男生宿舍女生宿舍內(nèi)網(wǎng)服務(wù)器群校園網(wǎng)建設(shè)分配IP地址時(shí)，我們需要考慮到一些重要的部門或者重要的設(shè)備需要綁定一個(gè)固定的Ip地址。在網(wǎng)絡(luò)系統(tǒng)中，web。同時(shí)，為了讓校園網(wǎng)絡(luò)獲得很好的管理機(jī)制，防止網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生，提高網(wǎng)絡(luò)的可用性，我們還需要多校園網(wǎng)絡(luò)進(jìn)行VLAN的劃分。 命名設(shè)計(jì)設(shè)備命名如下：表23設(shè)備命名序號(hào)設(shè)備命名名稱1路由器Router A、Router B2核心層交換機(jī)SWA,SWB3匯聚層交換機(jī)SW1,SW2,SW3,SW4,SW5,SW6,SW7,SW8,SW9,SW104接入層交換機(jī)SWa,SWb,SWc,SWd,SWe,SWf,SWg,SWh,SWk樓宇與服務(wù)器所屬VLAN以及對(duì)應(yīng)網(wǎng)關(guān)如下：表24 樓宇與服務(wù)器所屬VLAN、網(wǎng)關(guān)樓宇/服務(wù)器VLAN科技教學(xué)樓10行政樓20教職工宿舍30教學(xué)樓140圖書閱覽室50實(shí)驗(yàn)樓60食堂70男生宿舍80女生宿舍90服務(wù)器群1 交換機(jī)和路由器協(xié)議設(shè)計(jì)規(guī)劃 交換機(jī)協(xié)議的選擇（1）VTP（VLAN Trunking Protocol）VTP（VLAN Trunking Protocol）：是VLAN中繼協(xié)議，也被稱為虛擬局域網(wǎng)干道協(xié)議。它是思科私有協(xié)議。作用是十幾臺(tái)交換機(jī)在企業(yè)網(wǎng)中，配置VLAN工作量大，可以使用VTP協(xié)議，把一臺(tái)交換機(jī)配置成VTP Server, 其余交換機(jī)配置成VTP Client,這樣他們可以自動(dòng)學(xué)習(xí)到server 上的VLAN 信息。在校園網(wǎng)的建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)中存在很大的風(fēng)險(xiǎn)。所以我們?cè)趧澐志W(wǎng)絡(luò)的同時(shí)，也會(huì)對(duì)校園網(wǎng)中各個(gè)部門或者是各個(gè)區(qū)域進(jìn)行VLAN劃分。VLAN能夠減少?gòu)V播風(fēng)暴、隔離網(wǎng)段。提供網(wǎng)絡(luò)的利用效率。采用VTP（VLAN Trunking Protocol）協(xié)議可以簡(jiǎn)化配置工作。VTP有三種工作模式：服務(wù)器模式、客戶端模式和透明（transparent）模式，默認(rèn)是服務(wù)器模式。各模式之間的區(qū)別如下：服務(wù)器模式（Server）提供VTP消息：包括VLAN ID和名字信息 學(xué)習(xí)相同域名的VTP消息 轉(zhuǎn)發(fā)相同域名的VTP消息 可以添加、刪除和更改VLAN VLAN信息寫入NVRAM 客戶機(jī)模式（Client）請(qǐng)求VTP消息 學(xué)習(xí)相同域名的VTP消息 轉(zhuǎn)發(fā)相同域名的VTP消息 不可以添加、刪除和更改VLAN VLAN信息不會(huì)寫入NVRAM透明模式不提供VTP消息 不學(xué)習(xí)VTP消息 只是轉(zhuǎn)發(fā)VTP消息 可以添加、刪除和更改VLAN，只在本地有效 VLAN信息寫入NVRAM當(dāng)交換機(jī)處于VTP服務(wù)器模式時(shí)，如果刪除一個(gè)VLAN，則該VLAN將在所有相同VTP的交換機(jī)上被刪除。當(dāng)在透明模式下刪除時(shí)，只在當(dāng)前交換機(jī)上被刪除。（2）STP（Spanningtree Protocol）STP 生成樹協(xié)議用于解決局域網(wǎng)的環(huán)路問題，它通過在交換機(jī)之間冗余連接的同時(shí)，避免網(wǎng)絡(luò)環(huán)路的出現(xiàn)，實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性。能夠在邏輯上斷開環(huán)路，防止二層網(wǎng)絡(luò)的廣播風(fēng)暴的產(chǎn)生。當(dāng)線路出現(xiàn)故障，斷開的接口被激活，恢復(fù)通信，起備份線路的作用。它通過在交換機(jī)之前傳遞BPDU（Bridge Protocol Data Unit，橋接協(xié)議數(shù)據(jù)單元）來互相告知諸如交換機(jī)的橋ID、鏈路性質(zhì)和根橋ID等信息，以確定根橋，決定哪些端口處于轉(zhuǎn)發(fā)狀態(tài)，哪些端口處于阻斷狀態(tài)，以免引起網(wǎng)絡(luò)環(huán)路。當(dāng)交換機(jī)之間有多個(gè)VLAN時(shí)Trunk 線路會(huì)負(fù)載過重，這時(shí)就需要設(shè)置多個(gè)Trunk端口，但這樣會(huì)形成網(wǎng)絡(luò)環(huán)路。而STP協(xié)議便可以解決這個(gè)問題。有兩種可選途徑：（1）通過配置端口權(quán)值來實(shí)現(xiàn)，權(quán)值高（數(shù)值?。┑亩丝赩LAN處于轉(zhuǎn)發(fā)狀態(tài)，權(quán)值低（數(shù)值大）的端口VLAN處于阻斷狀態(tài)，默認(rèn)的權(quán)值是128；（2）通過設(shè)置STP路徑值來實(shí)現(xiàn)，路徑值小的轉(zhuǎn)發(fā)，路徑值大的阻斷，在默認(rèn)情況下，交換STP路徑值為19。 路由器協(xié)議選擇RIP協(xié)議RIP協(xié)議的全稱是一種內(nèi)部網(wǎng)關(guān)協(xié)議（IGP），是一種動(dòng)態(tài)路由選擇，用于一個(gè)自治系統(tǒng)（AS）內(nèi)的路由信息的傳遞。RIP協(xié)議是基于距離矢量算法（DistanceVectorAlgorithms）的，它使用“跳數(shù)”，即metric來衡量到達(dá)目標(biāo)地址的路由距離。這種協(xié)議的路由器只關(guān)心自己周圍的世界，只與自己相鄰的路由器交換信息，范圍限制在15跳(15度)之內(nèi)，再遠(yuǎn)，它就不關(guān)心了。RIP應(yīng)用于OSI網(wǎng)絡(luò)七層模型的網(wǎng)絡(luò)層。RIP進(jìn)程使用UDP的520端口來發(fā)送和接收RIP分組。RIP分組每隔30s以廣播的形式發(fā)送一次，為了防止出現(xiàn)“廣播風(fēng)暴”，其后續(xù)的的分組將做隨機(jī)延時(shí)后發(fā)送。在RIP中，如果一個(gè)路由在180s內(nèi)未被刷，則相應(yīng)的距離就被設(shè)定成無窮大，并從路由表中刪除該表項(xiàng)。RIP分組分為兩種：請(qǐng)求分組和響應(yīng)分組。NAT（Network Address Translation）協(xié)議 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中。原因很簡(jiǎn)單，NAT不僅完美地解決了lP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。NAT包括靜態(tài)NAT和動(dòng)態(tài)NAT兩種：（1）靜態(tài)NAT將一個(gè)特定的內(nèi)部本地地址（Inside Local Address）靜態(tài)地映射到一個(gè)內(nèi)部全局地址（Inside Global Address），這意味著靜態(tài)NAT中每一個(gè)被映射的內(nèi)部本地地址，一定對(duì)應(yīng)著一個(gè)固定而且唯一的內(nèi)部全局地址。這種方式不但可以讓內(nèi)網(wǎng)設(shè)備訪問外網(wǎng)，而且還可以讓外網(wǎng)直接訪問內(nèi)部設(shè)備；（2）動(dòng)態(tài)NAT又稱為動(dòng)態(tài)地址翻譯（Dynamic Address Translation），它是將內(nèi)部本地地址與內(nèi)部全局地址作一對(duì)一的替換。內(nèi)部全局地址以地址池的形式選擇，內(nèi)部全局地址只要符合訪問外網(wǎng)的條件，在做地址轉(zhuǎn)換時(shí)，就從地址池中動(dòng)態(tài)選取最小的還沒分配的內(nèi)部全局地址來替換。 安全策略設(shè)計(jì)安全策略：是指在某個(gè)安全區(qū)域內(nèi)（一個(gè)安全區(qū)域，通常是指屬于某個(gè)組織的一系列處理和通信資源），用于所有與安全相關(guān)活動(dòng)的一套規(guī)則。這些規(guī)則是由此安全區(qū)域中所設(shè)立的一個(gè)安全權(quán)力機(jī)構(gòu)建立的，并由安全控制機(jī)構(gòu)來描述、實(shí)施或?qū)崿F(xiàn)的。安全策略的實(shí)施原則：：指主題執(zhí)行操作時(shí)，按照主題所需權(quán)利的最小化原則分配給主體權(quán)利 ：指主體執(zhí)行任務(wù)時(shí)，按照主體所需要知道的信息最小化的原則分配給主體權(quán)利 ：指主體和客體間的數(shù)據(jù)流向和權(quán)限控制按照安全級(jí)別的絕密（TS）、秘密（S）、機(jī)密（C）、限制（RS）和無級(jí)別（U）5級(jí)來劃分。（1）校園網(wǎng)安全體系構(gòu)成部分校園網(wǎng)絡(luò)安全體系主要包括硬件和軟件兩方面防范體系。防火墻安全設(shè)置入侵檢測(cè)系統(tǒng)的使用漏洞掃描系統(tǒng)的使用網(wǎng)絡(luò)病毒的防范策略配置內(nèi)網(wǎng)防范安全策略（2）安全設(shè)備及軟件選擇在網(wǎng)絡(luò)安全的設(shè)備和軟件選擇方面，從兼容性考慮采用了兼容性好安全性好的設(shè)備和軟件。使用的防火墻要集成了入侵檢測(cè)系統(tǒng)。殺毒軟件采用的是Kaspersky。漏洞掃描系統(tǒng)采用的Retina Network Security是世界排名第一的網(wǎng)絡(luò)安全漏洞掃描和補(bǔ)救工具。 通信網(wǎng)絡(luò)安全通信網(wǎng)絡(luò)安全是指通信網(wǎng)絡(luò)本身的安全性，按照網(wǎng)絡(luò)對(duì)象的不同包括了PSTN網(wǎng)絡(luò)的安全、IP/Internet網(wǎng)絡(luò)安全、通信運(yùn)營(yíng)商內(nèi)部網(wǎng)絡(luò)安全等幾方面；廣義的網(wǎng)絡(luò)安全是包括了網(wǎng)絡(luò)本身安全的這個(gè)基本層面，在這個(gè)基礎(chǔ)上還有信息安全和業(yè)務(wù)安全的層面，幾個(gè)層面結(jié)合在一起才能夠?yàn)橛脩籼峁┮粋€(gè)整體的安全體驗(yàn)。然而通信網(wǎng)絡(luò)安全措施有很多種，在本方案中主要采用的措施是VPN技術(shù)，VPN虛擬專用網(wǎng)是指在一個(gè)公共IP網(wǎng)絡(luò)平臺(tái)上通過隧道以及加密技術(shù)保證專用數(shù)據(jù)的網(wǎng)絡(luò)安全性，目前許多企業(yè)及運(yùn)營(yíng)商已經(jīng)采用VPN技術(shù)。VPN可以替代連線對(duì)等保密解決方案以及物理地址過濾解決方案。采用VPN技術(shù)的另一個(gè)好處是可以提供基于Radius的用戶認(rèn)證以及計(jì)費(fèi)。，因此它是一種增強(qiáng)型網(wǎng)絡(luò)解決方案。 服務(wù)器安全服務(wù)器的安全問題控制著整個(gè)網(wǎng)絡(luò)的安全問題，所以我們需要使用切實(shí)有效的服務(wù)器安全軟件，來控制和管理服務(wù)器。在這次校園網(wǎng)設(shè)計(jì)中，選用華盾服務(wù)器管理專家。華盾服務(wù)器管理專家是一款服務(wù)器日常維護(hù)管理軟件，集華盾獨(dú)創(chuàng)的，WEB一站式管理、用戶權(quán)限管理、信息監(jiān)控管理、性能監(jiān)控管理、網(wǎng)站安全管理、主機(jī)維護(hù)管理、網(wǎng)站備案管理、網(wǎng)站維護(hù)管理、網(wǎng)絡(luò)防火墻管理、系統(tǒng)服務(wù)防護(hù)、系統(tǒng)組件防護(hù)等強(qiáng)大功能于一身，真正為每一位用戶提供全方位的服務(wù)器系統(tǒng)安全防護(hù)管理。 應(yīng)用安全網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全的目標(biāo)包括：保密性、完整性和可用性，網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)主要解決的是網(wǎng)絡(luò)環(huán)境下的完整、保密地傳遞數(shù)據(jù)的問題，而網(wǎng)絡(luò)應(yīng)用安全技術(shù)不僅需要解決網(wǎng)絡(luò)應(yīng)用系統(tǒng)本身的可用性問題。網(wǎng)絡(luò)安全方案：網(wǎng)絡(luò)應(yīng)用安全中的保密性和完整性問題比較容易解決，因?yàn)檫@方面的技術(shù)比較成熟。網(wǎng)絡(luò)應(yīng)用可以利用網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)，如傳送層安全技術(shù)，提供端到端的數(shù)據(jù)保密性和完整性服務(wù)。運(yùn)用這種方案的前提是網(wǎng)絡(luò)應(yīng)用的參與方應(yīng)該可以連接建立傳送連接，所以可以直接使用SSL安全數(shù)據(jù)傳遞技術(shù)，但是有些網(wǎng)絡(luò)應(yīng)用系統(tǒng)，不能直接利用網(wǎng)絡(luò)數(shù)據(jù)安全技術(shù)，有些網(wǎng)絡(luò)應(yīng)用只能利用應(yīng)用系統(tǒng)自身加固的安全數(shù)據(jù)傳遞機(jī)制，實(shí)現(xiàn)安全數(shù)據(jù)的傳遞。這種網(wǎng)絡(luò)應(yīng)用環(huán)境可以通過安全I(xiàn)P技術(shù)，建立連接用戶域和服務(wù)域的安全I(xiàn)P隧道，也可以解決網(wǎng)絡(luò)應(yīng)用安全中跨越公共網(wǎng)絡(luò)域的數(shù)據(jù)保密性和完整性問題，在該方案中，用戶域和服務(wù)域通過各自的安全I(xiàn)P網(wǎng)絡(luò)建立的安全I(xiàn)P隧道，在網(wǎng)絡(luò)域中傳遞應(yīng)用數(shù)據(jù)，這種介于安全I(xiàn)P隧道的網(wǎng)絡(luò)應(yīng)用安全方案也就是現(xiàn)在構(gòu)建廣域網(wǎng)企業(yè)網(wǎng)常用的虛擬專用網(wǎng)（VPN）方案，這種網(wǎng)絡(luò)應(yīng)用安全方案可以有效地解決跨因特網(wǎng)的、覆蓋多個(gè)企業(yè)內(nèi)部網(wǎng)的網(wǎng)絡(luò)應(yīng)用安全問題。 網(wǎng)絡(luò)接入安全通常情況下，Intranet中則存有大量的單位內(nèi)部的敏感信息，具有極高的商務(wù)、政治和軍事價(jià)值。因此，Intranet是一種半封閉甚至是全封閉的集中式可控網(wǎng)，其安全保密是至關(guān)重要的，要保證內(nèi)域網(wǎng)不被非法入侵和破壞，網(wǎng)中的敏感信息不被非法竊取和篡改，同時(shí)還要保證網(wǎng)內(nèi)用戶和網(wǎng)外用戶之間正常連通，向他們提供應(yīng)有的服務(wù)。這些安全業(yè)務(wù)都需要一個(gè)完善的接入控制機(jī)制。接入或訪問控制是保證網(wǎng)絡(luò)安全的重要手段，它通過一組機(jī)制控制不同級(jí)別的主體對(duì)目標(biāo)資源的不同授權(quán)訪問，在對(duì)主體認(rèn)證之后實(shí)施網(wǎng)絡(luò)資源的安全管理使用。下面從兩個(gè)角度討論網(wǎng)絡(luò)安全接入控制技術(shù)的實(shí)現(xiàn)。從工作方式上，網(wǎng)絡(luò)接入控制的實(shí)現(xiàn)可分為如下兩類：(1)自主式網(wǎng)絡(luò)接入控制也稱辨別接入控制，簡(jiǎn)記為DAC。它由網(wǎng)絡(luò)資源擁有者給用戶分配接入權(quán)，在辨別各用戶的基礎(chǔ)上實(shí)現(xiàn)接入控制。每個(gè)用戶的接入權(quán)由網(wǎng)絡(luò)系統(tǒng)的管理者事先建立，常以接入控制表或權(quán)限表來實(shí)現(xiàn)。這一方法靈活，便于合法用戶訪問相應(yīng)的數(shù)據(jù)，在安全性要求不高的網(wǎng)絡(luò)環(huán)境下可采用。但如果系統(tǒng)管理員疏于管理或者接入控制策略設(shè)置有誤時(shí)，就會(huì)危及到網(wǎng)絡(luò)系統(tǒng)和資源的安全。因而，DAC容易受到攻擊。(2)強(qiáng)制式網(wǎng)絡(luò)接入控制簡(jiǎn)記為MAC。它由網(wǎng)絡(luò)系統(tǒng)管理員來分配接入權(quán)限和實(shí)施控制，易于與網(wǎng)絡(luò)的安全策略協(xié)調(diào)，常用敏感標(biāo)記實(shí)現(xiàn)多級(jí)安全控制。由于它易于針對(duì)所有用戶和資源實(shí)施強(qiáng)化的安全接入策略，因而有較高的安全保障。另外，針對(duì)不同的應(yīng)用環(huán)境，網(wǎng)絡(luò)接入策略也有不同應(yīng)用模式。下面分別介紹目前有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)環(huán)境下，主要的網(wǎng)絡(luò)安全接入技術(shù)的實(shí)現(xiàn)。(1)有線網(wǎng)絡(luò)系統(tǒng)中的安全接入控制技術(shù)在有線網(wǎng)絡(luò)系統(tǒng)中，通常情況下安全接入控制技術(shù)都是與防火墻技術(shù)結(jié)合使用，來保障一個(gè)Intranet的內(nèi)部資源不被非法用戶獲得，同時(shí)給合法用戶提供合理的Internet接入服務(wù)。 (2)無線網(wǎng)絡(luò)系統(tǒng)中的安全接入控制技術(shù)目前，網(wǎng)絡(luò)安全接入技術(shù)主要應(yīng)用于寬帶無線接入網(wǎng)絡(luò)和無線LAN的構(gòu)建上，如藍(lán)牙、無線IP等等。通常在無線網(wǎng)絡(luò)中，不僅要考慮本地?zé)o線用戶的接入，移動(dòng)用戶的安全接入也是系統(tǒng)的一個(gè)重要安全要求。 管理策略設(shè)計(jì)管理校園網(wǎng)是為了控制校園網(wǎng)中產(chǎn)生的故障，保障校園網(wǎng)絡(luò)的安全。管理策略可分為： :理解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況，查看網(wǎng)絡(luò)故障。解決已經(jīng)發(fā)生的網(wǎng)絡(luò)故障，保障網(wǎng)絡(luò)的安全。 :為確保網(wǎng)絡(luò)系統(tǒng)的高穩(wěn)定性，在網(wǎng)絡(luò)出現(xiàn)問題時(shí)，必須及時(shí)察覺問題的所在。它包含所有節(jié)點(diǎn)動(dòng)作狀態(tài)、故障記錄的追蹤與檢查及平時(shí)對(duì)各種通訊協(xié)議的測(cè)試。 :在于評(píng)估網(wǎng)絡(luò)系統(tǒng)的運(yùn)作，統(tǒng)計(jì)網(wǎng)絡(luò)資源的運(yùn)用及各種通訊協(xié)議的傳輸量等，更可提供未來網(wǎng)絡(luò)提升或更新規(guī)劃的依據(jù)。 :為防范不被授權(quán)的用戶擅自使用網(wǎng)絡(luò)資源，以及用戶蓄意破壞網(wǎng)絡(luò)系統(tǒng)的安全，要隨時(shí)做好安全措施，如合法的設(shè)備存取控制與加密等。 :了解網(wǎng)絡(luò)使用時(shí)間，能針對(duì)各個(gè)局域網(wǎng)絡(luò)做使用統(tǒng)計(jì)。一則可作為使用網(wǎng)絡(luò)計(jì)費(fèi)的依據(jù)，更可以作為日后網(wǎng)絡(luò)升級(jí)或更新規(guī)劃的參考。 ：以信息技術(shù)為手段，對(duì)信息資源進(jìn)行計(jì)劃、組織、領(lǐng)導(dǎo)和控制的社會(huì)活動(dòng)。信息管理的過程包括信息收集、信息傳輸、信息加工和信息儲(chǔ)存。 應(yīng)用服務(wù)設(shè)計(jì) Web服務(wù)Web服務(wù)（Web Service）是基于XML和HTTPS的一種服務(wù)，其通信協(xié)議主要基于SOAP，服務(wù)的描述通過WSDL，通過UDDI來發(fā)現(xiàn)和獲得服務(wù)的元數(shù)據(jù)。 教務(wù)管理系統(tǒng)教務(wù)系統(tǒng)管理平臺(tái)充分利用互聯(lián)網(wǎng)絡(luò)B/S管理系統(tǒng)模式，以網(wǎng)絡(luò)為平臺(tái)，為各個(gè)學(xué)校教務(wù)系統(tǒng)的管理提供一個(gè)平臺(tái)，幫助學(xué)校管理教務(wù)系統(tǒng)，用一個(gè)賬號(hào)解決學(xué)校教務(wù)教學(xué)管理，并且學(xué)?？梢宰杂蛇x擇學(xué)校需要的教務(wù)管理系統(tǒng)，靈活地定制符合學(xué)校自己實(shí)際情況的教務(wù)系統(tǒng). ：教務(wù)人員通過學(xué)生信息管理