freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

鄂州經(jīng)貿(mào)學(xué)校數(shù)字化校園網(wǎng)設(shè)計(jì)方案(編輯修改稿)

2024-12-20 07:35 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 LAN 的劃分有許多的方法,考慮到終端用戶位置的相對(duì)固定性,全網(wǎng) VLAN 的劃分的方法采用 按網(wǎng)絡(luò)端口來劃分 VLAN 的方法,這樣的方法使得 配置過程簡(jiǎn)單明了, 而且這也 是最常用的一種方式。 考慮到 VLAN之間的數(shù)據(jù)通訊,本網(wǎng)絡(luò)上 VLAN的劃分還必須結(jié)合 IP 子網(wǎng)的劃分,即一個(gè) VLAN同 時(shí)就是一個(gè) IP 子網(wǎng)的網(wǎng)段。 VLAN 的劃分從理論上來說是可以跨地域范圍的,但還是建議基于一定的地理位置來劃分VLAN,這不僅可以把廣播限制在一定的區(qū)域,而且為 VLAN 到網(wǎng)絡(luò)中心的訪問提供了確定的訪問路徑,便于 troubleshooting,也為交換機(jī)式網(wǎng)絡(luò)升級(jí)到路由網(wǎng)絡(luò)提供了便利。 PVLAN 技術(shù) 當(dāng)接入用戶比較多時(shí)而又要保證相互之間的安全,一般所采用的方法就是采用 VLAN 進(jìn)行共同工作組的劃分。 可以將每個(gè)以太網(wǎng)接入的客戶放置于獨(dú)立的 VLAN 中,這樣客戶彼此之間是完全從L2 層隔離的。但當(dāng)接入的 用戶數(shù)量多時(shí),如果為每一個(gè)需要隔離的用戶都分配一個(gè) VLAN,則網(wǎng)絡(luò)設(shè)備所能夠支持的最大 VLAN(通常為 256 ~ 4096 個(gè))的數(shù)量就會(huì)不夠用,同時(shí) IP 地址網(wǎng)段的需求量也會(huì)非常大,因此,傳統(tǒng)的做法實(shí)現(xiàn)很困難甚至不能使用。因此針對(duì)該問題,提出了 Private VLAN 技術(shù),正好可以解決這些問題。 Private VLAN 能夠提供端口之間的第二層的隔絕,同時(shí)又使這些端口具有標(biāo)準(zhǔn) VLAN 的特性。Private VLAN 可以把一個(gè)大的 IP地址域劃分成多個(gè)地址組,各個(gè)地址組之間不能互訪,既實(shí)現(xiàn)了安全隔離又省卻了地址 劃分及重規(guī)劃的復(fù)雜,節(jié)約了 IP 地址。 在 Private VLAN的概念中,交換機(jī)端口有三種類型: Promiscuous port(混雜端口) , Isolated port(隔離端口) , Community port(共有端口) ;它們分別對(duì)應(yīng)不同的 VLAN 類型: Isolated port屬于 Secondary VLAN, Community port 屬于 Additional Secondary VLAN,而代表一個(gè)Private VLAN 整體的是 Primary VLAN,前面兩類 VLAN 需要和它綁定在一起,同時(shí)它 還包括Promiscuous port。在 Secondary VLAN 中, Isolated port 只能和 Promiscuous port 通訊,彼此不能交換流量;在 Additional Secondary VLAN 中, Community port 不僅可以和Promiscuous port 通信,而且彼此也可以交換流量。 建設(shè)網(wǎng)絡(luò)的目的是為了應(yīng)用。無論網(wǎng)絡(luò)硬件平臺(tái)多么先進(jìn),沒有與之配套的先進(jìn)應(yīng)用系統(tǒng),網(wǎng)絡(luò)的價(jià)值就無法得到真正的體現(xiàn)。 VLAN 的規(guī)劃 樓宇 部門 PC 接口數(shù)量 IP 規(guī)劃 VLAN_NUM 網(wǎng)關(guān) 教學(xué)樓 一 樓機(jī)房 100 教學(xué)樓 辦公室 60 學(xué)生宿舍 1號(hào)東區(qū) 240 學(xué)生宿舍 1號(hào)西區(qū) 240 教師公寓 東區(qū) 25 教師公寓 西區(qū) 25 實(shí)訓(xùn)車間 二樓機(jī)房 10 地址規(guī)劃與路由設(shè)計(jì) 地址規(guī)劃方案 IP 地址規(guī)劃是要解決有效利用地址空間、有利于路由設(shè)計(jì)、解決公網(wǎng)地址嚴(yán)重不足等問題。 首先是校園網(wǎng)骨干設(shè)備的地址,由于校園網(wǎng)地址空間實(shí)在緊張,所有設(shè)備的管理地址可以采用私網(wǎng)地址。 校園網(wǎng)內(nèi)地址規(guī)劃的一種方式是將所有私有地址限制在各校園一定的區(qū)域內(nèi),無論私有地址用戶訪問的目的地是校園網(wǎng)外網(wǎng)絡(luò)還是校園網(wǎng)內(nèi)網(wǎng)絡(luò),其均要進(jìn)行地址轉(zhuǎn)換。在校園網(wǎng)內(nèi)骨干網(wǎng)上將不存 在私有 IP 子網(wǎng)的路由,各片區(qū)的私有地址可自行定義使用。其缺點(diǎn)是校園網(wǎng)內(nèi)私有地址間互訪的流量均經(jīng)地址轉(zhuǎn)換,性能受到影響, NAT 設(shè)備的壓力較大。 另一種方式是,無論采用公用還是私有 IP 地址的用戶,可直接進(jìn)行校園網(wǎng)內(nèi)互訪不需進(jìn)行地址轉(zhuǎn)換,各邊界三層交換機(jī)有相應(yīng)的路由信息,校園網(wǎng)的保留地址進(jìn)行統(tǒng)一的規(guī)劃,其路由信息可在全網(wǎng)絡(luò)內(nèi)傳播。對(duì)于訪問校園網(wǎng)外的用戶,需區(qū)分其使用的是私有還是公有 IP 地址,對(duì)于公有 IP地址用戶也無需進(jìn)行地址轉(zhuǎn)換,使用私有 IP地址用戶為訪問校園網(wǎng)外的網(wǎng)絡(luò)時(shí)必須進(jìn)行 NAT轉(zhuǎn)換。在校園網(wǎng)出口處應(yīng)采用源 路由方式 (策略路由 )將流量導(dǎo)向 NAT 設(shè)備。 建議采用具有硬件處理能力的線速 NAT 設(shè)備。 校園網(wǎng)絡(luò)中地址分配最主要的因素是公網(wǎng)地址空間的缺口: 我們都知道 IP 網(wǎng)分配了公用 IP 地址。用戶人數(shù)在不斷增長(zhǎng),將遠(yuǎn)遠(yuǎn)超過可用地址數(shù),這將成為一個(gè)非常嚴(yán)重的問題。 由于大部分的個(gè)人用戶不需要固定的 IP 地址,因此對(duì)個(gè)人用戶采用動(dòng)態(tài)的 IP 地址分配可以節(jié)省 189。到 190。的地址資源。而采用 NAT/PAT 的方式,可以將網(wǎng)絡(luò)公用地址的需要節(jié)省到幾十分之一甚至更多的程度。但后一種方式的主要問題是 NAT/PAT 轉(zhuǎn)換的性能問題,第二個(gè)問題是可能會(huì)影 響某些應(yīng)用。 而實(shí)際上,地址缺口的大小不僅取決于可用空間和用戶數(shù),并且與采用的用戶安全技術(shù)和產(chǎn)品有關(guān)。 如果采用以太網(wǎng)和 per user perVLAN 的方式,地址消耗太大,使用私網(wǎng)地址 +NAT 是合理的選擇。 第二個(gè)因素是采用的產(chǎn)品的特性。 由于目前單臺(tái)設(shè)備的 NAT/PAT的性能不理想,解決的方法是由邊緣層交換機(jī)分擔(dān)完成該功能。 第三個(gè)因素是是否考慮 NAT/PAT 對(duì)應(yīng)用的影響。 可能某個(gè)用戶需要采用某種應(yīng)用而該應(yīng)用不能穿過 NAT/PAT 設(shè)備,如某些多媒體應(yīng)用和 VPN應(yīng)用。 第四個(gè)因素是是否考慮可能的政策調(diào)整 。 綜合以上多種考慮,對(duì)于采用 IP 網(wǎng)作為校園網(wǎng)主要載體的學(xué)校,我們建議: 對(duì)校園內(nèi)學(xué)生宿舍或教工住宅用戶采用地址 靜 態(tài)分配、以私網(wǎng)地址為主。配置會(huì)聚層交換機(jī),對(duì)于目標(biāo) IP 地址不是本校園網(wǎng)內(nèi)部的會(huì)話流則采用 NAT/PAT 的方式,反之則不進(jìn)行 NAT/PAT。 Inter出口的策略路由及設(shè)計(jì) 鄂州經(jīng)貿(mào) 學(xué)校具有兩個(gè)校園網(wǎng)廣域出口,為充分利用這些網(wǎng)絡(luò)資源,在路由策略上可以進(jìn)行靈活地選擇。例如,對(duì)于 CERNET 所規(guī)定的 FreeIP范圍,可選擇通過 CERNET 出口。而非 FreeIP范圍的流量需要另外交 納流量費(fèi)用,并且?guī)捠艿接绊?,可以選擇通過電信公眾網(wǎng)出口。此外,還可根據(jù)應(yīng)用的類型進(jìn)行出口路由選擇。 在高性能的互聯(lián)網(wǎng)絡(luò)中,各個(gè)公司 /組織機(jī)構(gòu)都希望網(wǎng)絡(luò)具有一定的靈活性,以便可以根據(jù)自己定義的、在傳統(tǒng)路由選擇協(xié)議考慮之外的策略來實(shí)施數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由。通過使用基于策略的路由可以實(shí)施有選擇地讓數(shù)據(jù)包采用不同的路徑的策略。 基于策略的路由被應(yīng)用于進(jìn)入的數(shù)據(jù)包,啟用了基于策略的路由的接口所接收的所有數(shù)據(jù)包都被考慮執(zhí)行基于策略的路由。路由器用路由映象過濾數(shù)據(jù)包,根據(jù)路由映象中所定義的規(guī)則,數(shù)據(jù)包被轉(zhuǎn)發(fā)到適當(dāng)?shù)南乱惶?。 路由器通常根據(jù)其路由表中的信息將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地址,與根據(jù)目的地址進(jìn)行的路由不同,基于策略的路由使網(wǎng)絡(luò)管理員能夠決定和實(shí)施路由策略 網(wǎng)絡(luò)安全 設(shè)計(jì) 網(wǎng)絡(luò)安全的需求 ( 1)有效的訪問控制 通過特定的網(wǎng)段及服務(wù)建立訪問控制體系,實(shí)現(xiàn)如下目標(biāo):允許網(wǎng)上用戶訪問時(shí),正確、迅速可達(dá);不允許時(shí),用戶根本查找不到網(wǎng)絡(luò)目標(biāo),從而有效地阻止其訪問或攻擊。 ( 2)集中安全漏洞檢查和攻擊監(jiān)控 通過特定網(wǎng)段及服務(wù)建立的多種監(jiān)控體系,應(yīng)可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊并采取相應(yīng)的措施 (如斷開連接、記錄攻擊過程及跟蹤攻擊 等 ),并能周期性地檢查安全漏洞,做到及時(shí)發(fā)現(xiàn),及時(shí)防范。 ( 3)多層防御和完善的認(rèn)證體系 建立一個(gè)良好的認(rèn)證體系,可防止非法用戶的攻擊。應(yīng)采用防火墻、服務(wù)器入侵檢測(cè)軟件、服務(wù)器進(jìn)程監(jiān)控軟件等,使服務(wù)器遭到攻擊或遇到故障之初就通過 Email、電話、手機(jī)等方式在第一時(shí)間通知系統(tǒng)管理員。 ( 4)數(shù)據(jù)備份和恢復(fù) 應(yīng)設(shè)計(jì)良好的備份和恢復(fù)機(jī)制,一旦數(shù)據(jù)被破壞可及時(shí)得到恢復(fù),避免系統(tǒng)遭到攻擊后全網(wǎng)癱瘓。 網(wǎng)絡(luò)安全設(shè)計(jì) 方法 用戶的地址更改 /欺騙在以太網(wǎng)接入中也比較突出,尤其在用戶內(nèi)部,普通用戶冒用特權(quán)用戶的IP 地址上網(wǎng)。另一種情況是,一個(gè)用戶申請(qǐng)了一個(gè)端口訪問 INTERNET,但他卻為許多其它用戶提供接入,進(jìn)行第 2 級(jí)帶寬批發(fā)或從事其它經(jīng)營(yíng)活動(dòng)。這是必須有辦法控制此類事件的發(fā)生。 需要指出的是,如果用戶使用代理上網(wǎng),此時(shí)無法通過普通手法進(jìn)行限制,因?yàn)榫W(wǎng)絡(luò)管理根本無法發(fā)覺,要解決這個(gè)問題,必須通過限制訪問速率進(jìn)行,所以接入交換機(jī)支持速率限制在這種場(chǎng)合顯得和重要。 1.端口與 MAC 地址的綁定 交換機(jī)的端口連接到用戶的網(wǎng)卡,每一個(gè)網(wǎng)卡都有一個(gè)全球唯一的 48 位 MAC 地址,任何用戶申請(qǐng)開通上網(wǎng)業(yè)務(wù)時(shí)登記 MAC 地址,網(wǎng)絡(luò)管 理員注入系統(tǒng)數(shù)據(jù)庫(kù),并起用端口的安全特性。 所選交換機(jī)支持端口的安全特性,每個(gè)端口可靜態(tài)設(shè)置多個(gè) MAC 地址,如果有非法 MAC 地址入侵,交換機(jī) 會(huì)通過 TRAP 告警網(wǎng)絡(luò)管理員。這種方式安全性高,但管理復(fù)雜。 2.限定端口的同時(shí)連接 MAC 數(shù) 此種方法不須要做 MAC 地址和端口的靜態(tài)綁定,只限制每端口同時(shí)連接的 MAC 地址數(shù)量。如假定設(shè)定每端口同時(shí)連接的 MAC 地址上限為 2, 則用戶最多有兩臺(tái)電腦,如果超過兩臺(tái),交換機(jī)可以自動(dòng)關(guān)閉此端口或向系統(tǒng)管理員 TRAP 告警。 對(duì)合法用戶的正常使用,我們建議采用以下技術(shù): 3.流量 限制技術(shù) 通過對(duì)用戶接入端口進(jìn)行速率限制,保證用戶不可以超越某個(gè)速率上限,一旦發(fā)覺某一端口流量異常,則可以認(rèn)為有太多突發(fā)流量通過此端口進(jìn)入業(yè)務(wù)網(wǎng)絡(luò),由可能在進(jìn)行黑客活動(dòng),也有可能在利用此端口進(jìn)行帶寬批發(fā)活動(dòng)或其他經(jīng)營(yíng)活動(dòng),網(wǎng)絡(luò)管理人員可以馬上關(guān)閉此端口,并通知客戶。 端口級(jí)速率限制比通過 IP 地址限速的好處是簡(jiǎn)單,不需要識(shí)別每個(gè)用戶的 IP地址,然后設(shè)定大量的針對(duì)每個(gè) IP 地址的速率控制內(nèi)容。當(dāng)然,缺點(diǎn)是一個(gè)用戶必須占用一個(gè)物理端口。而根據(jù)IP 地址的限速就可以允許用戶復(fù)用一個(gè)物理端口。 4. PVLAN 技術(shù) 現(xiàn)在 有了一種新的 VLAN 機(jī)制,服務(wù)器同在一個(gè)子網(wǎng)中,但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的 VLAN 特性就是專用 VLAN(private VLAN, pVLAN)。 專用 VLAN 是第 2 層的機(jī)制,在同一個(gè) 2 層域中有兩類不同安全級(jí)別的訪問端口。與服務(wù)器連接的端口稱作專用端口 (Private port),一個(gè)專用端口限定在第 2 層,它只能發(fā)送流量到混雜端口,也只能檢測(cè)從混雜端口來的流量?;祀s端口 (Promioscuous port)沒有專用端口的限定,它與路由器或第 3 層交換機(jī)接口相連。簡(jiǎn)單地說,在一個(gè)專用 VLAN 內(nèi), 專用端口收到的流量只能發(fā)往混雜端口,混雜端口收到的流量可以發(fā)往所有端口 (混雜端口和專用端口 )。下圖示出了同一專用 VLAN中兩類端口的關(guān)系: 專用 VLAN 的應(yīng)用對(duì)于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通訊的安全性是非常有效的用戶只需與自己的缺省網(wǎng)關(guān)連接,一個(gè)專用 VLAN 不需要多個(gè) VLAN 和 IP子 網(wǎng)就提供了具備第二層數(shù)據(jù)通訊安全性的連接,所有的用戶都接入專用 VLAN,從而實(shí)現(xiàn)了所有用戶與缺省網(wǎng)關(guān)的連接,而與專用 VLAN內(nèi)的其他用戶沒有任何訪問。 PVLAN功能可以保證同一個(gè) VLAN 中的各個(gè)端口相互之間不能通訊,但 可以穿過 TRUNK端口。這樣即使同一 VLAN 中的用戶,相互之間也不會(huì)受到廣播的影響。 防火墻部署方案 根據(jù)學(xué)校的具體情況,選用一臺(tái) CISCO的 企業(yè)級(jí) 防火墻: CISCO ASA 5520。該產(chǎn)品具有 4個(gè)千兆光纖端口, 1 個(gè)百兆端口。 一個(gè)千兆光纖端口接對(duì)外提供服務(wù)的 DMZ區(qū),該區(qū)是對(duì)外的服務(wù)區(qū),提供 WWW、 DNS、 Email、FTP、 BBS 等服務(wù); 一個(gè)千兆光纖端口接內(nèi)部局域網(wǎng),叫內(nèi)網(wǎng)區(qū)端口; 一個(gè)千兆以太網(wǎng)口和 一個(gè)百兆網(wǎng)口,用于連接 互聯(lián)網(wǎng) 。 此處可根據(jù)需要,在防火墻上設(shè)置如下安全策略: ? 解決內(nèi)外網(wǎng) 絡(luò)邊界安全,防止外部攻擊,保護(hù)內(nèi)部網(wǎng)絡(luò)(禁止外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)); ? 根據(jù) IP 地址、協(xié)議類型、端口等進(jìn)行數(shù)據(jù)包過濾; ? 內(nèi)外網(wǎng)絡(luò)采用兩套 IP 地址,實(shí)現(xiàn)雙向地址轉(zhuǎn)換功能; ? 支持安全服務(wù)器網(wǎng)絡(luò)( DMZ 區(qū)),允許內(nèi)外網(wǎng)絡(luò)訪問 DMZ 區(qū),但禁止 DMZ 區(qū)訪問內(nèi)部網(wǎng)絡(luò); ? 通過 IP 與 MAC 地址綁定防止 IP 盜用,避免亂用網(wǎng)絡(luò)資源; ? 防止 IP 欺騙; ? 防 DDoS 攻擊; ? 開啟黑白名單功能,實(shí)現(xiàn) URL 過濾,過濾不健康網(wǎng)站; ? 提供應(yīng)用代理服務(wù),隔離內(nèi)外網(wǎng)絡(luò); ? 具有自身保護(hù)能力,可防范對(duì)防火墻的常見攻擊; ? 啟動(dòng)入侵檢測(cè)及告警功能; ? 學(xué)生訪 問不良信息網(wǎng)站后的日志記錄,做到有據(jù)可查; ? 多種應(yīng)用協(xié)議的支持。 第四章 應(yīng)用系統(tǒng)的規(guī)劃與設(shè)計(jì) 信息標(biāo)準(zhǔn)系統(tǒng)建設(shè) 1.建設(shè)目標(biāo) 信息標(biāo)準(zhǔn)的建設(shè)是校園信息化建設(shè)的重要內(nèi)容。有了統(tǒng)一的信息標(biāo)準(zhǔn),學(xué)校在數(shù)據(jù)建模、信息采集、加工處理、數(shù)據(jù)交換的過程中有統(tǒng)一的規(guī)范,最大限度地實(shí)現(xiàn)信息優(yōu)化管理和資源共享,幫助使用者方便、快捷、規(guī)范地建立應(yīng)用系統(tǒng)的數(shù)據(jù)結(jié)構(gòu),滿足信息化建設(shè)需求。 建設(shè)統(tǒng)一的信息標(biāo)準(zhǔn)不僅需要完整的設(shè)計(jì)思想,也需要具備完善管理能力的工具作支撐,為高校信息標(biāo)準(zhǔn)的建設(shè)提供管理保障。信息標(biāo)準(zhǔn)管理系統(tǒng)即用以 幫助
點(diǎn)擊復(fù)制文檔內(nèi)容
高考資料相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1