【導(dǎo)讀】的研究工作及取得研究成果。盡我所知，除了文中特別加以標注和致謝的。地方外，畢業(yè)論文（設(shè)計）中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果，也不包含為獲得遼東學(xué)院或其他單位的學(xué)位或證書所使用過的材料。始對校園實行教學(xué)手法現(xiàn)代化和校園管理網(wǎng)絡(luò)化的改革。隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴。大，對校園網(wǎng)的安全和性能要求也越來越高。怎樣可以使校園網(wǎng)可以安全、穩(wěn)定的被大家所使用已經(jīng)成為了一個不。造成這些問題的原因多種多樣，但究其原因，還是一些心懷不軌的人。通過病毒和黑客技術(shù)擾亂了校園網(wǎng)的正常秩序。學(xué)校不可能讓每個人都遵循校園網(wǎng)的秩。序，那只有將校園網(wǎng)建設(shè)的更加安全、穩(wěn)定才能最大程度的保證校園網(wǎng)的正常運行。行分析，以及三層交換機的安全策略分析，最后對校園網(wǎng)的安全策略進行了總結(jié)。

　　

【正文】 整個校園網(wǎng)的核心是由兩臺核心交換機 神州數(shù)碼 DCRS7604 三層交換機組成，其主要負責(zé)將校園網(wǎng)絡(luò)各部分的總數(shù)據(jù)流進行匯聚和分流。 兩臺核心交換機之間相互連接，這樣可以組成一個冗余的網(wǎng)絡(luò)結(jié)構(gòu)，保證兩臺核心交換機即使有一臺出現(xiàn)問題，校園也能正常運行。神州數(shù)碼 DCRS565028 三層交換機提供本地第三層交換和路由功能。對于校園網(wǎng)的每個子網(wǎng)，根據(jù)各個學(xué)院進行 VLAN 的劃分和管理，實現(xiàn) VLAN 間的相互通信及訪問控制。校園網(wǎng)絡(luò)的接入層由 神州數(shù)碼 DCS360026C 二層交換機構(gòu)成。接入層交換機的主要功能是為用戶提供大量的網(wǎng)絡(luò)接口 [9]。 三層交換機在諸多網(wǎng)絡(luò)設(shè)備 中起著至關(guān)重要的作用，無論是核心層還是在匯聚層，我們都需要用到三層交換機 。尤其在核心層更是有著無可取代的作用，如果沒有它，整個網(wǎng)絡(luò)內(nèi)的所有計算機都在一個子網(wǎng)中，不僅對網(wǎng)絡(luò)安全來說是個風(fēng)險，也會因為無法分割廣播域而形成廣播風(fēng)暴。雖然使用傳統(tǒng)的路由器可以防止形成廣播風(fēng)暴，但是路由器的性能卻不是很好。而三層交換機既有路由的功能，又有著路由器所無法比擬的性能。 （四） 三層交換機的主要功能及配置 1. VLAN 的劃分 說起三層交換機的功能首先要說的就是 VLAN 的劃分，三層交換機可以對網(wǎng)絡(luò)中的每個子網(wǎng)進行詳細的 VLAN 劃分，劃分完 VLAN 每個子網(wǎng)都有對應(yīng)的 VLAN 名，可以使網(wǎng)絡(luò)管理園更好的對校園 網(wǎng)進行管理。劃分 VLAN 能夠為局域網(wǎng)解決沖突域、廣播域、帶寬 等一系列 問題 ， 并 提高整個網(wǎng)絡(luò)系統(tǒng)的安全性，節(jié)省網(wǎng)絡(luò)帶寬。 VLAN 還為我們 提供 了一定的 安全機制，可以控制廣播組的大小和位置 ， 限制特定用戶的訪問，甚至 還能鎖定網(wǎng)絡(luò)成員的 MAC 地址 。 這樣，就 成功 限制了未經(jīng)安全許可的用戶對網(wǎng)絡(luò)的使用 [10]。 機電學(xué)院校園網(wǎng)安全策略的研究 –18– 根據(jù)上一章的網(wǎng)絡(luò)規(guī)劃設(shè)計，下面是以圖書館和學(xué)生宿舍的 VLAN 劃分為例的具體配置命令： 核心三層交換機的配置： Switch(config)Hostname hexin hexin(config)VLAN 80 hexin(configvlan)EXIT hexin(config)VLAN 90 hexin(configvlan)EXIT hexin(config)INT VLAN 80 hexin(configif)IP ADD hexin(config)INT VLAN 90 hexin(configif)IP ADD hexin(configif)EXIT hexin(config)INT F0/23 hexin(configif)Switchport Mode Trunk hexin(configif)Switchport Trunk Encapsulation dot1q hexin(configif)EXIT hexin(config)INT F0/24 hexin(configif)Switchport Trunk Encapsulation dot1q hexin(configif)Switchport Mode Trunk 學(xué)生宿舍 二層交換機的配置： Switch(config)hostname xsss xsss(config)vlan 90 xsss(configvlan)exit xsss(config)sw xsss(config)int f0/1 xsss(configif)Switchport mode access xsss(config)INT F0/24 xsss(configif)Switchport Mode Trunk xsss(config)INT F0/1 xsss(configif)Switchport Access VLAN 90 圖書館二層交換機的配置： Switch(config)hostname tsg tsg(config)vlan 80 tsg(configvlan)exit tsg(config)int f0/1 機電學(xué)院校園網(wǎng)安全策略的研究 –19– tsg(configif)Switchport Mode Access tsg(config)vlan 80 tsg(config)INT F0/24 tsg(configif)Switchport Mode Trunk tsg(config)INT F0/1 tsg(configif)Switchport Access VLAN 80 其它子網(wǎng)的 VLAN 劃分與上述配置相似。 2. 訪問控制列表 訪問控制是網(wǎng)絡(luò)安全防范的重要安全策略。訪問控制列表是應(yīng)用在接口的指令列表，它可以起到控制網(wǎng)絡(luò)流量、流向的作用，并且保護網(wǎng)絡(luò)中的設(shè)備。以下是對核心三層交換機的標準訪問控制列表配置： hexinShow Accesslists Standard IP access list 5 permit permit hexinShow Run interface FastEther0/0 ip address ip accessgroup 5 in duplex auto speed auto interface FastEther0/1 ip address ip accessgroup 5 out duplex auto speed auto 3. VRRP 技術(shù) VRRP 是一種容錯協(xié)議，適用于支持廣播的局域網(wǎng)。在本設(shè)計中使用 VRRP 技術(shù)將校園網(wǎng)的一組三層交換機組織成一個虛擬三層交換機，稱之為一個備份組。其中僅有一臺三層交換機處于活動狀態(tài)，稱為 master；另一臺三層交換機處于備份狀態(tài)，并隨時做好接替任務(wù)的準備，稱為 backup。使用 VRRP 技術(shù)主要起到主備備份和負載分擔(dān)的作用。 下面是對本設(shè)計的兩臺核心三層交換機進行 VRRP 的配置命令： hexin1interface FastEther0/0 BackUP ip address 機電學(xué)院校園網(wǎng)安全策略的研究 –20– duplex auto speed auto vrrp 3 ip vrrp 3 priority 105 hexin2interface FastEther0/0 MASTER ip address duplex auto speed auto vrrp 3 ip vrrp 3 priority 110 4. 端口流量限制 我們可以通過三層交換機對每個子網(wǎng)的端口進行流量的限制，當(dāng)一個端口的流量過大，超過了其處理能力時，就會產(chǎn)生端口堵塞。流量限制的作用就是為了防止出現(xiàn)網(wǎng)絡(luò)阻塞的情況。對端口流量限制還可以達到對個別用戶限制其流量，防止其過多的占用帶寬，影響其他用戶上網(wǎng)的速度。下面以一個端口為例，進行端口流量限制的配置： hexin(config) interface e 3/8 hexin(configif3/8) portname TO WEB hexin(config) interface e8 hexin(configif8) speedduplex 10full hexin(config) flowcontrol hexin(config) interface e 3/8 hexin(configif3/8) enable 5. 端口聚合 由于兩臺交換機之間相互連接，有多條冗余鏈路，使用端口聚合技術(shù)，可以把一組物理端口聯(lián)合起來，變成一個邏輯的鏈路通道。這樣配置有以下幾個優(yōu)點： 可以增加帶寬，帶寬為這幾條物理鏈路的總和。 提升冗余等級，只要不是 每條鏈路都壞掉，兩臺交換機之間就能互相通信。 可以在組內(nèi)的端口上 進行 配置，使這些端口 的流量自動進行負載均衡 。下面是端口聚合的配置命令： hexin(config)trunk switch|server ether 8/1 to 2/8 Trunk will be created in next trunk deploy. hexin(config)trunk deploy hexin(config) mirrorport ether 2/8 hexin(config) interface ether 4/3 hexin(configif4/3) monitor ether 4/1 both 機電學(xué)院校園網(wǎng)安全策略的研究 –21– 6. 路由功能 普通交換機并不能實現(xiàn)路由功能 ，但是 三層交換機卻據(jù)有路由功能，可以完成校園網(wǎng)的路由功能需求。 7. 計費功能 神舟數(shù)碼 DCRS7604 三層交換機具有計費功能， 校園網(wǎng)有計費的需求，因為三層交換機可以識別數(shù)據(jù)包中的 IP 地址信息，因此可以統(tǒng)計 校園網(wǎng)內(nèi)用戶連接互聯(lián)網(wǎng)所使用 的數(shù)據(jù)流量， 學(xué)校 可以按流量 對用戶進行計費 ，也可以統(tǒng)計 校園網(wǎng)內(nèi)用戶 連接在 互聯(lián)網(wǎng) 上的時間， 學(xué)校也可以 按時 間 對用戶 進行計費。 （五） 本章小結(jié) 本章對遼寧機電職業(yè)技術(shù)學(xué)院網(wǎng)絡(luò)拓撲結(jié)構(gòu)中的核心設(shè)備：防火墻和三層交換機的安全策略和功能進行了具體分析。機電學(xué)院校園網(wǎng)在有了防火墻和三層交換機相結(jié)合的網(wǎng)絡(luò)結(jié)構(gòu)下，基本滿足了校園網(wǎng)絡(luò)的安全策略。防火墻可以抵御來自外部網(wǎng)絡(luò)的入侵、攻擊。三層交換機對學(xué)校的各部分進行 VLAN 劃分后，可以把學(xué)校的各部分相互隔離起來，即使某部分網(wǎng)絡(luò)出現(xiàn)問題，也不會影響其他部分的網(wǎng)絡(luò)。 機電學(xué)院校園網(wǎng)安全策略的研究 –22– 結(jié)論 本論文從目前校園網(wǎng)所面對的各種問題出發(fā)，分析出了造成這些問題的原因。得出只有校園網(wǎng)擁有一個好的網(wǎng)絡(luò)拓撲結(jié)構(gòu)是保證校 園網(wǎng)絡(luò)安全的基礎(chǔ)。 根據(jù)遼寧機電職業(yè)技術(shù)學(xué)院的具體情況，對機電學(xué)院網(wǎng)絡(luò)需求、地理位置進行了分析。為機電學(xué)院設(shè)計出了具體的網(wǎng)絡(luò)拓撲結(jié)構(gòu)。然后通過根據(jù)目前機電學(xué)院現(xiàn)有的網(wǎng)絡(luò)設(shè)備機型，為新的網(wǎng)絡(luò)拓撲結(jié)構(gòu)添加部分新的設(shè)備。新設(shè)備的選型既保證了與原設(shè)備的良好兼容性，又具有著較高的性價比。接著再對機電學(xué)院的各個部分進行了詳細的網(wǎng)絡(luò)地址設(shè)置以及 VLAN 劃分。最后對網(wǎng)絡(luò)拓撲結(jié)構(gòu)的安全核心部分防火墻和三層交換機的功能和安全策略進行了總結(jié)。 本文雖然完成了對機電學(xué)院的校園網(wǎng)絡(luò)安全策略研究，但是由于個人經(jīng)驗尚淺，對校園網(wǎng)的設(shè)計還 不夠?qū)I(yè)，在網(wǎng)絡(luò)設(shè)備的具體配置及校園網(wǎng)絡(luò)優(yōu)化上還有進一步的改進空間。以后還應(yīng)該多學(xué)習(xí)了解網(wǎng)絡(luò)安全方面的知識，來提高自己的水平，為以后工作打下良好的基礎(chǔ)。 機電學(xué)院校園網(wǎng)安全策略的研究 –23– 參考文獻 [1]陳增吉 . 萊蕪職業(yè)技術(shù)學(xué)院校園網(wǎng)絡(luò)安全策略研究與設(shè)計 . 山東大學(xué) .20xx [2]楊恩鎮(zhèn) . 木馬攻擊防范理論與技術(shù)研究 . 山東師范大學(xué) .20xx [3]韋杰 . 關(guān)于計算機網(wǎng)絡(luò)安全的分析 . 廣西輕工業(yè) .20xx,2 [4]徐國愛 . 網(wǎng)絡(luò)安全 . 北京：北京郵電大學(xué)出版社 .20xx [5]張立峰 . 基于防火墻和三層交換機的校園網(wǎng)絡(luò)安全策略研究 . 電子科技大學(xué) .20xx [6]李韋韋 . 多層特征分配網(wǎng)絡(luò)入侵檢測系統(tǒng) . 南昌大學(xué) .20xx [7]崔成 . 高等院校校園網(wǎng)中防火墻的配置與測試 . 吉林大學(xué) .20xx [8]韓鯤等 . 基于數(shù)據(jù)倉庫審計信息安全的方法 . 信息安全與通信保密 .20xx,3 [9]魏漢斌 . 計算機多層交換技術(shù)應(yīng)用分析 . 軟件導(dǎo)刊 .20xx,8 [10]楊林海 . 局域網(wǎng)安全交換機的應(yīng)用探討 . 辦公自動化（綜合版） .20xx,7 [11]Kondakci, posite work security assessment,The 4th International Symposium on Information Assurance and Security,IAS 20xx. 機電學(xué)院校園網(wǎng)安全策略的研究 –24– 致 謝 本論文是在齊智敏老師的悉心指導(dǎo)下完成的。齊智敏老師作為一名優(yōu)秀的、經(jīng)驗豐富的教師。在整個論文寫作過程中，對我進行了耐心的指導(dǎo)和幫助，以及對論文進度的關(guān)切，提出嚴格要求，多次指出我的不足，引導(dǎo)我不斷開闊思路，為我答疑解惑，鼓勵我大膽創(chuàng)新，使論文能夠順利完成，也更加完善以及具有可行性，也使我在這一段寶貴的時光中，既增長了 知識、開闊了視野、鍛煉了心態(tài)，又培養(yǎng)了良好的實驗習(xí)慣和科研精神。在此，我向我的指導(dǎo)老師表示最誠摯的謝意！ 在此，我還要感謝寢室的同學(xué)們，沒有你們不耐其煩地對我的講解也不會有我今天最終的成果。正是由于你們的幫助和支持，我才能克服一個一個的困難和疑惑，直至本文的順利完成。