【導讀】{ "error_code": 17, "error_msg": "Open api daily request limit reached" }

　　

【正文】 assigned YES unset administratively down down Serial1/2 unassigned YES unset administratively down down Serial1/3 unassigned YES unset administratively down down NVI0 unassigned NO unset up up rtoispshow ip ospf nei Neighbor ID Pri State Dead Time Address Interface 1 FULL/BDR 00:00:32 FastEther0/0 2021 年中國礦業(yè)大學計算機學院網(wǎng)絡(luò)系統(tǒng)實踐成果報告 21 rtoispshow ip route Codes: C connected, S static, R RIP, M mobile, B BGP D EIGRP, EX EIGRP external, O OSPF, IA OSPF inter area N1 OSPF NSSA external type 1, N2 OSPF NSSA external type 2 E1 OSPF external type 1, E2 OSPF external type 2 i ISIS, su ISIS summary, L1 ISIS level1, L2 ISIS level2 ia ISIS inter area, * candidate default, U peruser static route o ODR, P periodic downloaded static route Gateway of last resort is to work , 1 subs O [110/2] via , 00:19:27, FastEther0/0 , 1 subs C is directly connected, Serial1/0 , 10 subs, 2 masks O [110/2] via , 00:19:27, FastEther0/0 O [110/2] via , 00:19:27, FastEther0/0 O [110/2] via , 00:19:27, FastEther0/0 O [110/2] via , 00:19:27, FastEther0/0 O [110/2] via , 00:19:27, FastEther0/0 O [110/2] via , 00:19:27, FastEther0/0 O [110/2] via , 00:19:27, FastEther0/0 C , FastEther0/0 O [110/2] via , 00:19:28, FastEther0/0 O [110/2] via , 00:19:28, FastEther0/0 S* , Serial1/0 rtoispun all All possible debugging has been turned off rtoispshow ip nat translations Pro Inside global Inside local Outside local Outside global icmp :11 :11 :11 :11 rtoispdebug ip nat de rtoispdebug ip nat detailed IP NAT detailed debugging is on rtoisp *Mar 1 00:26:: NAT: [0] Allocated Port for : wanted 12 got 12 *Mar 1 00:26:: NAT*: i: icmp (, 12) (, 12) [60] *Mar 1 00:26:: NAT*: i: icmp (, 12) (, 12) [60] *Mar 1 00:26:: NAT*: s=, d= [60] *Mar 1 00:26:: NAT*: o: icmp (, 12) (, 12) [60] *Mar 1 00:26:: NAT*: s=, d= [60] *Mar 1 00:26:: NAT*: i: icmp (, 12) (, 12) [61] 2021 年中國礦業(yè)大學計算機學院網(wǎng)絡(luò)系統(tǒng)實踐成果報告 22 *Mar 1 00:26:: NAT*: s=, d= [61] *Mar 1 00:26:: NAT*: o: icmp (, 12) (, 12) [61] *Mar 1 00:26:: NAT*: s=, d= [61] *Mar 1 00:26:: NAT*: i: icmp (, 12) (, 12) [62] *Mar 1 00:26:: NAT*: s=, d= [62] *Mar 1 00:26:: NAT*: o: icmp (, 12) (, 12) [62] *Mar 1 00:26:: NAT*: s=, d= [62] 系統(tǒng)平臺設(shè)計 網(wǎng)絡(luò)操作系統(tǒng)的選擇 網(wǎng)絡(luò)操作系統(tǒng)的選用應該能夠滿足計算機網(wǎng)絡(luò)系統(tǒng)的功能要求、性能要求，一般要做到網(wǎng)絡(luò)維護簡單，具有高級容錯功能，容易擴充，性能可靠，具有廣泛的第三方軟件產(chǎn)品支持，保密性好等特點，此外還要求費用較低。本方案采用Windows 2021 Server 操作系統(tǒng)。 主域服務器是負責管理整個學校計算機和所有網(wǎng)絡(luò)產(chǎn)品的設(shè)備，要求具有較高的穩(wěn)定性，較強的 I/O 能力，提供 1000Mbps 網(wǎng)絡(luò)接口，以減輕服務器端的網(wǎng)絡(luò)瓶頸，同時它還承擔 DNS 服務器的功能。它可和其他服務器共用同一臺物理服務器。在配置它的時候要選用企業(yè)級或部門級服務器，但它的 CPU，硬盤，內(nèi)存等都不必配置太高，只需配置當前主流配置即可。 終端桌面平臺的選擇 教職工辦公電腦從運行穩(wěn)定的角度出發(fā)，選用 Windows XP 專業(yè)版；學生電腦從易于管理的角度出發(fā)，選用 Windows XP 操作系統(tǒng)。 數(shù)據(jù)庫軟件的選擇 數(shù)據(jù)庫選擇包括兩方面的內(nèi)容：即選用什么數(shù)據(jù)庫系統(tǒng)和據(jù)此而建立什么樣的本單位數(shù)據(jù)庫。數(shù)據(jù)庫是信息系統(tǒng) 的心臟，是信息資源開發(fā)和利用的基礎(chǔ)。數(shù)據(jù)庫有多種，從經(jīng)驗上考慮，微軟的 SQL Server 與自己的 Windows 操作系統(tǒng)是一種比較完美的結(jié)合，因而我們選擇 SQL Server 2021 作為我們的數(shù)據(jù)庫軟件。 防火墻軟件的選擇 防火墻具有過濾不安全服務和非法用戶、控制對特殊站點訪問、監(jiān)視INTERNET 等功能，它分為硬件防火墻和軟件防火墻兩種，在校園網(wǎng)工程中，由于資金的問題，我們先考慮軟件防火墻，硬件防火墻在后期工程中再進行添加。我們選用 NORTON 的產(chǎn)品 。 三、校園網(wǎng)的安全控制與防護 在前面章節(jié) 對 該校園網(wǎng)的需求進行分析時就提到，由于該中學專業(yè)網(wǎng)絡(luò)人員2021 年中國礦業(yè)大學計算機學院網(wǎng)絡(luò)系統(tǒng)實踐成果報告 23 較少，網(wǎng)絡(luò)的安全和方便對學校來講非常重要。因此，在本方案中，專門列出一節(jié)來討論網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全策略的設(shè)計。 校園 網(wǎng) 絡(luò) 安全威脅 分析 校園網(wǎng)整體上是由多個 局域網(wǎng) 組成的，在局域網(wǎng)中 由于通過交換機和服務器連接網(wǎng)內(nèi)每一臺電腦，因此局域網(wǎng)內(nèi)信息的傳輸速率比較高，同時局域網(wǎng)采用的技術(shù)比較簡單，安全措施較少，同樣也給病毒傳播提供了有效的通道和數(shù)據(jù)信息的安全埋下了隱患。 校園 網(wǎng)的網(wǎng)絡(luò)安全 威脅通常有以下幾類： ① 欺騙性的軟件使數(shù)據(jù)安全性降低 由于 校園 網(wǎng)很大的一部分用處是資源共享，而正是由于共享資源的 “ 數(shù)據(jù)開放性 ” ，導致數(shù)據(jù)信息容易被篡改和刪除，數(shù)據(jù)安全性較低。例如 “ 網(wǎng)絡(luò)釣魚攻擊 ” ，釣魚工具是通過大量發(fā)送聲稱來自于一些知名機構(gòu)的欺騙性垃圾郵件，意圖引誘收信人給出敏感信息：如用戶名、口令、賬號 ID、 ATM PIN 碼或信用卡詳細信息等的一種攻擊方式。最常用的手法是冒充一些真正的網(wǎng)站來騙取用戶的敏感的數(shù)據(jù)。以往此類攻擊的冒名的多是大型或著名的網(wǎng)站，但由于大型網(wǎng)站反應比較迅速，而且所提供的安全功能 不斷增強，網(wǎng)絡(luò)釣魚已越來越多地把目光對準了較小的網(wǎng)站。同時由于用戶缺乏數(shù)據(jù)備份等數(shù)據(jù)安全方面的知識和手段，因此會造成經(jīng)常性的信息丟失等現(xiàn)象發(fā)生。 ② 服務器區(qū)域沒有進行獨立防護 校園 網(wǎng)內(nèi)計算機的數(shù)據(jù)快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果 校園 網(wǎng) 中服務器區(qū)域不進行獨立保護，其中一臺電腦感染病毒，并且通過服務器進行信息傳遞，就會感染服務器，這樣 校園 網(wǎng) 中任何一臺通過服務器信息傳遞的電腦，就有可能會感染病毒。雖然在網(wǎng)絡(luò)出口有防火墻阻斷對外來攻擊，但無法抵擋來自 校園 網(wǎng) 內(nèi)部的攻擊 ③ 計算機病毒及惡意代碼的 威脅 由于網(wǎng)絡(luò)用戶不及時安裝防病毒軟件和操作系統(tǒng)補丁，或未及時更新防病毒軟件的病毒庫而造成計算機病毒的入侵。許多網(wǎng)絡(luò)寄生犯罪軟件的攻擊，正是利用了用戶的這個弱點。寄生軟件可以修改磁盤上現(xiàn)有的軟件，在自己寄生的文件中注入新的代碼。最近幾年，隨著犯罪軟件（ crime ware）洶涌而至，寄生軟件已退居幕后，成為犯罪軟件的助手。 2021 年，兩種軟件的結(jié)合推動舊有寄生軟件變種增長 3 倍之多。 2021 年，預計犯罪軟件社區(qū)對寄生軟件的興趣將繼續(xù)增長，寄生軟件的總量預計將增長 20%。 ④ 校園 網(wǎng)用戶安全意識不強 許多用戶使 用移動存儲設(shè)備來進行數(shù)據(jù)的傳遞，經(jīng)常將外部數(shù)據(jù)不經(jīng)過必要的安全檢查通過移動存儲設(shè)備帶入內(nèi)部 校園 網(wǎng) ，同時將內(nèi)部數(shù)據(jù)帶出 校園 網(wǎng) ，這2021 年中國礦業(yè)大學計算機學院網(wǎng)絡(luò)系統(tǒng)實踐成果報告 24 給木馬、蠕蟲等病毒的進入提供了方便同時增加了數(shù)據(jù)泄密的可能性。另外一機兩用甚至多用情況普遍，筆記本電腦在內(nèi)外網(wǎng)之間平凡切換使用，許多用戶將在Inter 網(wǎng)上使用過的筆記本電腦在未經(jīng)許可的情況下擅自接入內(nèi)部局域網(wǎng)絡(luò)使用，造成病毒的傳入和信息的泄密。 ⑤ IP 地址沖突 校園 網(wǎng) 內(nèi)的一些 局域網(wǎng)用戶在同一個網(wǎng)段內(nèi)，經(jīng)常造成 IP 地址沖突，造成部分計算機無法上網(wǎng)。對于 部分 局域網(wǎng)來講， 有時會出現(xiàn) 此類 IP 地址沖突的問題，用戶規(guī)模越大，查找工作就越困難，所以網(wǎng)絡(luò)管理員必須加以解決。 正是由于 校園 網(wǎng)內(nèi)應用上這些獨特的特點，造成 校園網(wǎng) 內(nèi)的病毒快速傳遞，數(shù)據(jù)安全性低，網(wǎng)內(nèi)電腦相互感染，病毒屢殺不盡，數(shù)據(jù)經(jīng)常丟失。 校園網(wǎng)絡(luò)管理策略設(shè)計 針對這些安全威脅，我們一定要加強網(wǎng)絡(luò)管理。 網(wǎng)絡(luò)管理是監(jiān)視和控制網(wǎng)絡(luò)，以確保其正常運行，或當網(wǎng)絡(luò)出現(xiàn)故障時盡可能地發(fā)現(xiàn)故障和修復故障，使之最大限度地發(fā)揮其應有效益的過程。也就是說，網(wǎng)絡(luò)管理包括網(wǎng)絡(luò)監(jiān)視和控制兩個方面。網(wǎng)絡(luò)管理協(xié)議是保證 Manager 和 Agent 之間實現(xiàn)互 操作的基礎(chǔ)，網(wǎng)絡(luò)管理協(xié)議標準則是實現(xiàn)對多廠商設(shè)備的統(tǒng)一管理必備的條件。根據(jù)網(wǎng)絡(luò)管理需求，選擇適當?shù)臉藴驶木W(wǎng)絡(luò)管理協(xié)議是非常之重要的 網(wǎng)絡(luò)管理協(xié)議的選擇： SNMP 是目前應用最廣泛的 TCP/IP 網(wǎng)絡(luò)管理標準。 以下為 SNMP 消息的發(fā)送和接收工作過程。 SNMP 有點是簡單實用已成為流傳最廣、應用最多、獲得支持最廣泛的一個網(wǎng)絡(luò)管理協(xié)議。 SNMPv3 在提供的安全服務有數(shù)據(jù)完整性、數(shù)據(jù)源端鑒別、數(shù)據(jù)可用性、報文時效性和限制重播性防護；其安全協(xié)議由鑒別、時效性、加密 3模塊組成，具有開放和支持第三方的管理結(jié)構(gòu)支持輪詢和事 件驅(qū)動兩種訪問方法。 CMIP 是 ISO 制定的公共管理信息協(xié)議，主要是基于 OSI 七層協(xié)議模型而設(shè)計的，用于對開放系統(tǒng)互聯(lián)環(huán)境下的所有網(wǎng)絡(luò)資源進行監(jiān)測和控制，以提供標準的公共管理信息服務。 CMIP 需要傳輸層提供面向連接的傳輸服務，它 的命令和操作都是基于面向連接的協(xié)議棧，其特點是采用委托監(jiān)控，當對網(wǎng)絡(luò)進行監(jiān)控時，管理則只需向代理發(fā)出一個監(jiān)控請求，代理會自動監(jiān)控指定的管理對象，并且只是在異常事件發(fā)生時猜想管理者發(fā)出告警并且給出一段較完整的故障報告，包括故障現(xiàn)象、故障原因，使得網(wǎng)絡(luò)管理通信的開銷小，反應及時。 由于選 擇網(wǎng)絡(luò)管理協(xié)議的原則是應該盡量 選擇標準的，主流的、被廣泛認可和支持的網(wǎng)絡(luò)管理協(xié)議，又因為該校園網(wǎng) 規(guī)劃是基于 TCP/IP 企業(yè)網(wǎng)絡(luò)的網(wǎng)管系統(tǒng)，所以選用 SNMP 協(xié)議配合其他 ping 和 traceroute 等工具作為有效補充。本2021 年中國礦業(yè)大學計算機學院網(wǎng)絡(luò)系