【正文】 校園網(wǎng)的需求分析之后，就要對(duì)整個(gè)校園進(jìn)行物理結(jié)構(gòu)和邏輯結(jié)構(gòu)的設(shè)計(jì)。通過對(duì)實(shí)際需要進(jìn)行細(xì)致的分析，才能確定系統(tǒng)的總體目標(biāo)和近期目標(biāo)。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個(gè)基本的校園網(wǎng)具有以下的特點(diǎn)： 高速的局域網(wǎng)連接校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡(luò)，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設(shè)重點(diǎn)，由于參與網(wǎng)絡(luò)應(yīng)用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡(luò)的一項(xiàng)基本要求； 信息結(jié)構(gòu)多樣化校園網(wǎng)應(yīng)用分為電子教學(xué)（多媒體教室、電子圖書館等） 、學(xué)校管理和遠(yuǎn)程通訊（遠(yuǎn)程教學(xué)、互聯(lián)網(wǎng)接入）三大部分內(nèi)容：電子教學(xué)包含大量多媒體信息，學(xué)校管理以數(shù)據(jù)庫為主，遠(yuǎn)程通訊則多為 WWW 方式，因此數(shù)據(jù)成分復(fù)雜，不同類型數(shù)據(jù)對(duì)網(wǎng)絡(luò)傳輸有不同的質(zhì)量需求； 操作方便，易于管理校園網(wǎng)面向不同知識(shí)層次的教師、學(xué)生和辦公人員，應(yīng)用和管理應(yīng)簡便易行，界面友好，不宜太過專業(yè)化； 經(jīng)濟(jì)實(shí)用學(xué)校對(duì)網(wǎng)絡(luò)建設(shè)的投入有限，因此要求建成的網(wǎng)絡(luò)應(yīng)經(jīng)濟(jì)實(shí)用，具備很高的性能價(jià)格比。對(duì)于校園網(wǎng)來說，必須對(duì)技術(shù)和教育的發(fā)展前景有著清醒的認(rèn)識(shí)，只有這樣，才能從很好地為校園網(wǎng)進(jìn)行合理的規(guī)劃。網(wǎng)絡(luò)拓?fù)洳捎眯切蜆浣Y(jié)構(gòu)，網(wǎng)絡(luò)中心的交換機(jī)使用堆疊方式連接。2. FTTX+LAN 接入方式。 匯聚層：在分配線間分別設(shè)立 Cisco Catalyst 3524 和 Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)匯聚層設(shè)備，匯聚層設(shè)備將通過光纜以千兆以太網(wǎng)為主干連接到核心層設(shè)備Catalyst 6506 上去，終端用戶可以通過超 5 類 UTP 線纜連接到各層交換機(jī)中去，可以實(shí)現(xiàn) 10/100M 的自適應(yīng)通道連接到局域網(wǎng)中去。 Catalyst6506 交換機(jī)引擎卡上的 MSFC2 (Multilayer Switching Feature Card)卡具有極強(qiáng)的三層交換能力，利用 Cisco 特有的 Netflow 技術(shù)，完全滿足核心線性三層交換的能力。其中配置兩個(gè)電源同時(shí)供電，彼此分擔(dān)負(fù)荷并互為備份。同時(shí)Cisco 3662 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的撥號(hào)服務(wù)器，提供分支機(jī)構(gòu)的撥號(hào)接入。選擇 Catalyst 3524 和Catalyst 3548 作為計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的二級(jí)匯聚交換機(jī)，為終端用戶提供 10/100M 到桌面。選擇 Catalyst 3548 作為外網(wǎng)交換機(jī)。先進(jìn)性在系統(tǒng)的開發(fā)過程中，既能滿足當(dāng)前院校對(duì)網(wǎng)絡(luò)的應(yīng)用需求，又可以在將來需要擴(kuò)展的時(shí)候，能方便地?cái)U(kuò)展，保護(hù)目前的所有投資；設(shè)計(jì)的配置可以靈活變通，以便適應(yīng)客戶的其他要求?？煽啃孕@網(wǎng)的系統(tǒng)及網(wǎng)絡(luò)結(jié)構(gòu)較為復(fù)雜，同時(shí)在部分子系統(tǒng)中存在較高的技術(shù)性，因此必須保證系統(tǒng)的穩(wěn)定、可靠和安全運(yùn)行，具有很高的 MTBF(平均無故障工作時(shí)間) 和極低的 MTBR(平均無故障率)，提高容錯(cuò)設(shè)計(jì)，支持故障檢測(cè)和恢復(fù)，可管理性強(qiáng)。學(xué)校校園網(wǎng)是為學(xué)校師生提供教學(xué)、管理、科研和綜合信息服務(wù)的寬帶多媒體網(wǎng)絡(luò)；是學(xué)校信息化教學(xué)環(huán)境的基礎(chǔ)設(shè)施和實(shí)現(xiàn)各項(xiàng)管理的物質(zhì)基礎(chǔ)；是建立遠(yuǎn)程教育體系的基本保證；是提高全民素質(zhì)的重要手段；也是一項(xiàng)靈魂工程。一個(gè) Hub 所組成的域稱為沖突域 ,也就是說 ,網(wǎng)絡(luò)上任何一臺(tái)計(jì)算機(jī)在收發(fā)數(shù)據(jù)時(shí) ,其他所有計(jì)算機(jī)都能夠收到 ,且這些計(jì)算機(jī)不能同時(shí)進(jìn)行數(shù)據(jù)的收發(fā) ,否則會(huì)發(fā)生碰撞(CSMA/ CD 協(xié)議會(huì)阻止碰撞 )。集線器 (HUB):根據(jù)微機(jī)的數(shù)量, 利用 HUB 構(gòu)成星形結(jié)構(gòu) ,在工作站較多的情況下 ,會(huì)因 HUB 的處理速率遠(yuǎn)遠(yuǎn)低于通信線路的傳輸速度 ,從而造成瓶頸問題。BNC 口是用細(xì)同軸電纜作為傳輸媒介的一種網(wǎng)卡接口。網(wǎng)卡根據(jù)傳輸速率可分為：10Mbps 網(wǎng)卡（ISA 插口或 PCI 插口） 、100Mbps PCI 插口網(wǎng)卡、10Mbps/100Mbps 自適應(yīng)網(wǎng)卡和千兆網(wǎng)卡。 校園網(wǎng)建設(shè)需求分析 需求分析局域網(wǎng)最大的特點(diǎn)就是可以實(shí)現(xiàn)資源的最佳利用,如:共享磁盤設(shè)備、打印機(jī)等,從而可以在組建的局域網(wǎng)內(nèi)部互相調(diào)用文件,并可在任何一臺(tái)共享打印機(jī)上進(jìn)行打印。 [6]3. 校園網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)是配合安全管理的輔助措施。加強(qiáng)網(wǎng)絡(luò)管理主要是要做好兩方面的工作。數(shù)據(jù)加密是核心的對(duì)策，是保障數(shù)據(jù)安全最基本的技術(shù)措施和理論基礎(chǔ)。隨著軟件規(guī)模的不斷增大．系統(tǒng)中的安全漏洞或“后門”也不可避免地存在．因此，應(yīng)采用先進(jìn)的漏洞掃描系統(tǒng)定期對(duì)工作站、服務(wù)器等進(jìn)行安全檢查，并寫出詳細(xì)的安全性分析報(bào)告，及時(shí)地將發(fā)現(xiàn)的安全漏洞打上“補(bǔ)丁”。入侵檢測(cè)系統(tǒng)還可以發(fā)出實(shí)時(shí)報(bào)警，使網(wǎng)絡(luò)管理員能夠及時(shí)采取應(yīng)對(duì)措施。擴(kuò)展系統(tǒng)管理員的安全管理能力．提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。(5）允許通過配置網(wǎng)卡對(duì)防火墻設(shè)置，提高防火墻管理安全性.入侵檢測(cè)。(3）如果你在局域網(wǎng)中使用你的機(jī)器，那么你就必須正確設(shè)置你在局域網(wǎng)中的IP，防火墻系統(tǒng)才能認(rèn)識(shí)哪些數(shù)據(jù)包是從局域網(wǎng)來，哪些是從互聯(lián)網(wǎng)來，從而保證你在局域網(wǎng)中正常使用網(wǎng)絡(luò)服務(wù)（如文件、打印機(jī)共享）功能。局域網(wǎng)內(nèi)部的機(jī)器只允許訪問文件、打印機(jī)共享服務(wù)。在防火墻設(shè)置上按照以下原則配置來提高網(wǎng)絡(luò)安全性:(1)根據(jù)校園網(wǎng)安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核IP 數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對(duì)校園內(nèi)部網(wǎng)不必要的、非法的訪問。防火墻。內(nèi)容過濾器是有效保護(hù)網(wǎng)絡(luò)系免于誤用和無意識(shí)服務(wù)拒絕的工具。VLAN 技術(shù)根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別，將網(wǎng)絡(luò)分段并進(jìn)行隔離，實(shí)現(xiàn)相互間的訪問控制，可以達(dá)到限制用戶非法訪問的目的。采用 VLAN 技術(shù)。（3）安裝完殺毒軟件，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。（1）在學(xué)校網(wǎng)絡(luò)中心配置一臺(tái)高效的 Windows2022 服務(wù)器安裝一個(gè)殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理校內(nèi)網(wǎng)點(diǎn)的計(jì)算機(jī)。殺毒產(chǎn)品的部署. 在該網(wǎng)絡(luò)防病毒方案中，要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作。為杜絕網(wǎng)絡(luò)威脅，主要手段就是完善網(wǎng)絡(luò)病毒監(jiān)管能力，堵塞網(wǎng)絡(luò)漏洞，從而達(dá)到網(wǎng)絡(luò)安全。 網(wǎng)絡(luò)安全的技術(shù)是多樣化的，現(xiàn)狀還是“道高一尺，魔高一丈 ”，因此管理的工作就愈發(fā)重要和艱巨，必須要做到及時(shí)進(jìn)行漏洞修補(bǔ)和定期詢檢，保證對(duì)網(wǎng)絡(luò)的監(jiān)控和管理。上網(wǎng)用戶不但要通過統(tǒng)一的校級(jí)身份認(rèn)證系統(tǒng)確認(rèn)，而且，合法用戶上網(wǎng)的行為也要受到統(tǒng)一的監(jiān)控，上網(wǎng)行為的日志要集中保存在中心服務(wù)器上，保證了這個(gè)記錄的法律性和準(zhǔn)確性。校園網(wǎng)絡(luò)必須要解決用戶上網(wǎng)身份問題，而身份認(rèn)證系統(tǒng)是整個(gè)校園網(wǎng)絡(luò)安全體系的基礎(chǔ)的基礎(chǔ)，否則即便發(fā)現(xiàn)了安全問題也大多只能不了了之，只有建立了基于校園網(wǎng)絡(luò)的全校統(tǒng)一身份認(rèn)證系統(tǒng)，才能徹底的解決用戶上網(wǎng)身份問題，同時(shí)也為校園信息化的各項(xiàng)應(yīng)用系統(tǒng)提供了安全可靠的保證。另外，通過配置安全產(chǎn)品可以實(shí)現(xiàn)對(duì)校園網(wǎng)絡(luò)進(jìn)行系統(tǒng)的防護(hù)、預(yù)警和監(jiān)控，對(duì)大量的非法訪問和不健康信息起到有效的阻斷作用，對(duì)網(wǎng)絡(luò)的故障可以迅速定位并解決。為校園網(wǎng)的安全提供最基礎(chǔ)的保障。以下五點(diǎn)是高校的安全策略：規(guī)范出口管理，實(shí)施校園網(wǎng)的整體安全架構(gòu)，必須解決多出口的問題。一般來說，構(gòu)筑校園網(wǎng)絡(luò)安全體系，要從兩個(gè)方面著手：一是采用先進(jìn)的技術(shù)；二是不斷改進(jìn)管理方法。而病毒泛濫、黑客攻擊、信息丟失、服務(wù)被拒絕等等，這些安全隱患只要發(fā)生一次，對(duì)整個(gè)網(wǎng)絡(luò)都將是致命性的。4) 網(wǎng)絡(luò)安全意識(shí)淡薄，校園網(wǎng)絡(luò)上的攻擊、侵入他人機(jī)器，盜用他人帳號(hào)非法使用網(wǎng)絡(luò)、非法獲取未授權(quán)的文件、通過郵件等方式進(jìn)行騷擾和人身攻擊等事件經(jīng)常發(fā)生、屢見不鮮，我校應(yīng)用服務(wù)器和普通計(jì)算機(jī)平均一個(gè)星期會(huì)經(jīng)受到數(shù)千次甚至上萬次的非常訪問嘗試，而其中一大部分的非法訪問源自校內(nèi)，說明校園網(wǎng)絡(luò)上的用戶安全意識(shí)淡??；另外，沒有制定完善而嚴(yán)格的網(wǎng)絡(luò)安全制度，各校園網(wǎng)在安全管理上也沒有任何標(biāo)準(zhǔn)，構(gòu)筑具有必要的信息安全防護(hù)體系，建立一套有效的網(wǎng)絡(luò)安全機(jī)制顯得尤其重要.2. 校園網(wǎng)絡(luò)安全策略校園網(wǎng)的安全威脅既有來自校內(nèi)的，也有來自校外的，只有將技術(shù)和管理都重視起來，才能切實(shí)構(gòu)筑一個(gè)安全的校園網(wǎng)。我曾經(jīng)搜索過外地機(jī)器的一個(gè) C 類 IP 網(wǎng)段，發(fā)現(xiàn)共享的機(jī)器就有十幾臺(tái)，而且許多機(jī)器是將整個(gè) C 盤、D 盤進(jìn)行共享，并且在共享時(shí)將屬性設(shè)置為完全共享，且不進(jìn)行密碼保護(hù)，這樣只要將其映射成一個(gè)網(wǎng)絡(luò)硬盤，就能對(duì)上面的資料、文檔進(jìn)行查看、修改、刪除。但可以說幾乎所有的人都沒有充分認(rèn)識(shí)到當(dāng)一個(gè)目錄共享后，就不光是校園網(wǎng)內(nèi)的用戶可以訪問到，而是連在網(wǎng)絡(luò)上的各臺(tái)計(jì)算機(jī)都能對(duì)它進(jìn)行訪問。校內(nèi)大部分計(jì)算機(jī)系統(tǒng)或多或少都存在著各種的漏洞，校園網(wǎng)絡(luò)又對(duì)社會(huì)開放，這樣一來只要接入 INTERNET 的用戶就可以對(duì)校園的網(wǎng)絡(luò)服務(wù)器進(jìn)行攻擊，而流行于網(wǎng)絡(luò)上的很多病毒如“震蕩波、沖擊波、尼姆達(dá)”病毒都是利用系統(tǒng)的漏洞來進(jìn)行病毒傳播的，加上帶毒的木馬程序，一感染便駐留在你的計(jì)算機(jī)當(dāng)中，在以后的計(jì)算機(jī)啟動(dòng)后，木馬就在機(jī)器中打開一個(gè)服務(wù)，通過這個(gè)服務(wù)將你計(jì)算機(jī)的信息、資料向外傳遞。 [5]3 存在的安全隱患, 以我校為例，校園網(wǎng)絡(luò)存在的安全隱患和漏洞有:1 ) 計(jì)算機(jī)與 Inter 相連，卻沒有安裝相應(yīng)的殺毒軟件及防火墻。常見的拒絕服務(wù)攻擊主要有以上幾種，攻擊者攻擊目的和攻擊水平不同，選用的方式不同。10)分布式拒絕服務(wù)攻擊。9 )急性消息攻擊。8 )電子郵件炸彈。7 ) Fraggle 攻擊。6 ) Smurf 攻擊。攻擊者通過想服務(wù)器發(fā)送連續(xù)的 SYN 握手信息來癱瘓服務(wù)器的攻擊方式。攻擊利用如 chargen 和 echo 等簡單的 TCP／IP 服務(wù)．相互發(fā)送大量數(shù)據(jù)以沾滿帶寬，從而癱瘓網(wǎng)絡(luò)的方式。攻擊者采用修改包片段字頭的方式，使得包無法正確組裝．導(dǎo)致網(wǎng)絡(luò)訪問失敗的方式。目前的網(wǎng)絡(luò)已經(jīng)能夠支持大包，這種方式已經(jīng)不再出現(xiàn)。就其攻擊手段來說．主要有以下幾種：1）死亡之 Ping。拒絕服務(wù)攻擊的方法多樣。拒絕服務(wù)攻擊是通過攻擊主機(jī)、服務(wù)器、路由器等網(wǎng)絡(luò)設(shè)備，導(dǎo)致被攻擊網(wǎng)絡(luò)無法提供服務(wù)的一種攻擊方式。這是因?yàn)樾@網(wǎng)用戶集中度高、密度大．為拒絕服務(wù)攻擊提供了天然條件。這里結(jié)合校園網(wǎng)絡(luò)安全的特點(diǎn)，重點(diǎn)介紹拒絕服務(wù)(DoS，Daniel of Service)攻擊。2 網(wǎng)絡(luò)攻擊校園網(wǎng)面臨的另一個(gè)安全威脅就是網(wǎng)絡(luò)攻擊。在現(xiàn)有的各計(jì)算機(jī)系統(tǒng)中都存在著一定的缺陷，尤其是網(wǎng)絡(luò)系統(tǒng)軟件方面存在著漏洞。隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，計(jì)算機(jī)病毒傳播主要是通過磁盤拷貝、互聯(lián)網(wǎng)上的文件傳輸、硬件設(shè)備中的固化病毒程序等方式實(shí)現(xiàn)。計(jì)算機(jī)病毒最初傳播主要是通過被病毒感染的軟件的相互拷貝、攜帶病毒的盜版光盤的使用等傳播。激發(fā)性是指病毒程序可以按照沒計(jì)者的要求，例如指定的日期、時(shí)間或特定的條件出現(xiàn)在某個(gè)點(diǎn)激活并發(fā)起攻擊。寄生性表現(xiàn)為病毒程序一般不獨(dú)立存在．而是寄生在磁盤系統(tǒng)區(qū)或文件中。破壞性是指計(jì)算機(jī)病毒可能會(huì)干擾軟件的運(yùn)行，或者無限制地侵占系統(tǒng)資源使系統(tǒng)無法運(yùn)行，又或者毀掉部分?jǐn)?shù)據(jù)或程序，使之無法恢復(fù)，甚至可以毀壞整個(gè)系統(tǒng)，導(dǎo)致系統(tǒng)崩潰。當(dāng)程序運(yùn)行時(shí)，嵌入的病毒也隨之運(yùn)行并感染其它程序。無論是公眾網(wǎng)還是校園網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。黑客入侵校園網(wǎng)的新聞也時(shí)有發(fā)生，非更改考試成績；更改英語全國四、六級(jí)統(tǒng)考成績；更改考研成績；非法盜取學(xué)校招生、分配機(jī)密等。隨著計(jì)算機(jī)網(wǎng)絡(luò)的廣泛使用和網(wǎng)絡(luò)之間信息傳輸量的急劇增長，一些機(jī)構(gòu)和部門在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時(shí)，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,或被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅?？梢哉f，在國家政策扶持下，我國校園網(wǎng)建設(shè)取得了飛速發(fā)展。 1996 年，教育部提出要以全國 1000 所中小學(xué)校作為試點(diǎn)，建立起各自的校園網(wǎng)絡(luò)?，F(xiàn)代教育的實(shí)施程度也與校園網(wǎng)絡(luò)建設(shè)直接相關(guān)聯(lián)。各校在實(shí)踐中逐漸意識(shí)到：一所學(xué)校教育質(zhì)量的好壞，學(xué)術(shù)水平層次的高低，與教學(xué)手段的先進(jìn)程度有一定關(guān)系，教學(xué)手段對(duì)學(xué)校整體的發(fā)展有著直接影響。1999 年 9 月，教育部決定正式啟動(dòng)國家現(xiàn)代遠(yuǎn)