【正文】 體規(guī)劃等提出有價值的建議或意見，以實用、先進、經(jīng)濟為設計出發(fā)點，提出建設校園局域網(wǎng)的可行性方案，結(jié)合校園局域網(wǎng)的不安全因素，制定出相應的安全策略。 校園網(wǎng)的建設將為“數(shù)字化校園”提供高可靠性的網(wǎng)絡基礎設施和高性能的服務在一個平臺上，讓整個學校的教學、科研、管理和服務工作都實現(xiàn)信息化和網(wǎng)絡化，使教師、學生、科研人員和行政管理人員等都可以最方便地實現(xiàn)信息的交流、進行協(xié)同工作和資源共享，搞好校園網(wǎng)的建設 ，有利于增強學校辦學水平與社會競爭力。 （二） 課題研究研究目標 發(fā)展校園局域網(wǎng)應有長遠的規(guī)劃，爭取利用現(xiàn)有的網(wǎng)絡技術和通信技術，將校園局域網(wǎng)建設成經(jīng)濟實用的現(xiàn)代化校園網(wǎng)，同時實現(xiàn)與其他兄弟院校之間的相互聯(lián)系和信息資源共享 ，逐漸實現(xiàn)教育科研信息共享，各種功能齊全的網(wǎng)絡管理系統(tǒng)。 校園局域網(wǎng)規(guī)劃設計目標： （ 1） 實現(xiàn)校園內(nèi)部資源共享 學校領導和教師能通過及時、準確地查詢教學活動中的信息，掌握當前教學情況。 （ 2） 完備的數(shù)據(jù)庫管 理系統(tǒng)和資源庫 5 能夠支持大量的圖文聲像素材、多媒體課件片段，數(shù)據(jù)文件的收集、管理、存儲的提取。 （ 3） 以教學資源庫為核心的教學自學環(huán)境 為學校教師提供制作環(huán)境、備課工具、良好的教學演播環(huán)境以及教學評估機制。利用現(xiàn)代教育技術，提高學生的素質(zhì)，改革課堂教學模式。 （ 5） 實現(xiàn)校園網(wǎng)與互聯(lián)網(wǎng)的連接 建 立學校主頁、教師主頁、學生個人主頁、電子郵箱、電子公告牌等信息發(fā)布窗口，發(fā)布有關教育教學信息，建立起學校、教師、家長、學生之間的信息交流平臺，并逐步發(fā)展建設成為一個面向全省、全國的教育教學信息網(wǎng)站。進行總體設計首先需要對象研究和需求調(diào)查，對學校的信息化要求有個明確的描述。 （一） 校園局域網(wǎng)需求 本文校園網(wǎng)工程假設范圍主要有教學樓、圖書管、學生宿舍樓及實驗樓在內(nèi)四個局域網(wǎng)部分。初期設計對響應時間不做特殊要求，但為了存儲數(shù)據(jù)和備份數(shù)據(jù)，網(wǎng)管中心必須建立磁盤陣列。在要求網(wǎng)絡具有開放性的同時，要求保證其安全性。三種技術比較如下表 11 所示。如今正在發(fā)展的 IP 交換技術也是基于以太網(wǎng)的，結(jié)合第三層交換機的路由功能，構造幾個乃至幾十、幾百個 G 帶寬的網(wǎng)絡。采用 標準以太網(wǎng)可以實現(xiàn) VLAN，而VLAN 在很大程度上是保證網(wǎng)絡高效和安全的重要手段。整個網(wǎng)絡結(jié)構采用兩層結(jié)構：匯聚層交換機用于匯接技術接入交換機，接入層交換機用于接到桌面的計算機，對信息點較多的部門可采用級聯(lián)下一級普通交換機進行訪問。 校園網(wǎng)總 拓撲設計 如圖 11 所示。 聯(lián)網(wǎng)技術上采用三層的交換網(wǎng)絡，主干網(wǎng)絡采用交換式 1000M 以太網(wǎng)連接技術，主要用于各樓間核心設備之間以及上連到廣域網(wǎng)設備。接入層采用快速交換式以太網(wǎng)通過 5 類雙絞線按照星型拓撲結(jié)構進行連接，使內(nèi)網(wǎng)可以達到百兆。 9 （三） 網(wǎng)絡設備選型 1. 核心層網(wǎng)絡 核心層作為校園網(wǎng)系統(tǒng)的心臟，實現(xiàn)子網(wǎng)之間的路由，提供全線速的數(shù)據(jù)交換，當網(wǎng)絡流量較大時，對關鍵業(yè)務的服務質(zhì)量提供保證。因此在核心設備的選型和結(jié)構設計上必須兼顧考慮整體網(wǎng)絡的高性能和高可靠性。 結(jié)合以上要求，本次設計選用高性能、多協(xié)議的 Cisco Catalyst 6509 模塊化交換機作為園區(qū)網(wǎng)絡的核心。 根據(jù)網(wǎng)絡拓撲結(jié)構，該院有教學樓、實驗樓、學生宿舍區(qū)、服務器群、圖書館等 5 個匯聚節(jié)點，均選用 Cisco Catalyst 4506 交換機提供本區(qū)域內(nèi)的第三層交換和路由功能。 Catalyst 4500 系列交換機是中端、中等密度的模塊化交換機，它們提供了強大的 2/3/4 層智能服務。 Cisco4506 主要參數(shù) ： ? 產(chǎn)品類型：企業(yè)級交換機 ? 應用層級：四層 ? 傳輸速率： 10/100/1000Mbps ? 交換方式：存儲 轉(zhuǎn)發(fā) ? 背板帶寬： 100Gbps ? 包轉(zhuǎn)發(fā)率： 75Mpps ? 端口結(jié)構：模塊化 ? 擴展模塊： 1 個超級引擎插槽數(shù) +5 個線路卡插槽 ? 傳輸模式：支持全雙工 ? 網(wǎng)絡標準： IEEE ， IEEE ， IEEE ， IEEE ， IEEE ，IEEE ? VLAN：支持 ? QOS：支持 ? 網(wǎng)絡管理： SNMP 管理信息庫 (MIB)II， SNMP MIB 擴展，橋接 MIB(RFC 1493) 11 3. 接入層網(wǎng)絡 接入層作為用戶接入網(wǎng)絡的終端，該層主要功能是：提供各種標準接口將數(shù)據(jù)接入到網(wǎng)絡和確定基于端口的 VLAN 成員及數(shù)據(jù)流過濾。其主要功能是為園區(qū)網(wǎng)用戶提供高性價比的 10/100 兆網(wǎng)絡接口，實現(xiàn)用戶的寬帶接入。 Cisco Catalyst 2960 主要參數(shù) ： ? CISCO WSC296024S 主要參數(shù)： ? 產(chǎn)品類型：智能交換機 ? 應用層級：二層 ? 傳輸速率： 10/100Mbps ? 產(chǎn)品內(nèi)存： DRAM 內(nèi)存： 64MB ? FLASH 內(nèi)存： 32MB ? 交換方式：存儲 轉(zhuǎn)發(fā) ? 背板帶寬： 16Gbps ? 包轉(zhuǎn)發(fā)率： ? MAC 地址表： 8K 4. 路由器 選擇 校園網(wǎng) 邊界 路由器選擇 CISCO 2911/K9 主要參數(shù) ： ? 路由器類型：多業(yè)務路由器 ? 網(wǎng)絡協(xié)議： IPv4， IPv6，靜態(tài)路由， IGMPv3， PIM SM， DVMRP， IPSec ? 傳輸速率： 10/100/1000Mbps ? 端口結(jié)構：模塊化 ? 廣域網(wǎng)接口： 3 個 ? 其它端口： 2 個外部 USB 閃存插槽 ? 1 個 USB 控制臺端口 12 ? 1 個串行控制臺端口 ? 1 個串行輔助端口 ? 防火墻：內(nèi)置防火墻 ? Qos 支持：支持 ? VPN 支持：支持 ? 產(chǎn)品內(nèi)存： DRAM 內(nèi)存： 512MB，最大 2GB ? FLASH 內(nèi)存： 256MB ? 其它性能：基于硬件的嵌入式密碼加速（ IPSec+SSL） 5. 服務器選擇 服務器群組統(tǒng)一使用計算機代替 ， 上面搭建 win2020 Server 企業(yè)高級版 。 （四） 校園網(wǎng)安全策略 及安全防御措施 隨著網(wǎng)絡的快速發(fā)展，網(wǎng)絡安全問題日益突出， 黑客攻擊、網(wǎng)絡病毒等在日常日常生活中屢見不鮮 ， 各種各樣的安全問題開始困擾網(wǎng)絡管理人員。隨著關鍵應用的普及和深入，網(wǎng)絡用戶的快速增加， 校園網(wǎng)絡從早期教育、科研的試驗網(wǎng)角色已經(jīng)轉(zhuǎn)變成為教育、科研和服務并重的帶有運營性質(zhì)的網(wǎng)絡，如何保證網(wǎng)絡信息安全已經(jīng)成為影響 學校的 存與 發(fā)展 亟待解決的關鍵問題之一。 本次設計的 三層校園局域網(wǎng) 中采用邊界路由、核心交換機在內(nèi)的二層安全防御。選用具有防火墻 功能的 Cisco 路由器，路由器上配置訪問控制列表，通過訪問規(guī)則，控制和過濾經(jīng)過路由器的數(shù)據(jù)流，隔離外網(wǎng)和內(nèi)網(wǎng)， 13 防止外部用戶對內(nèi)部網(wǎng)絡不安全的訪問，可有效防止各服務器受到來自外部的破壞。核心交換機上部署防火墻模塊，可有效地防止內(nèi)部攻擊 [2]。 14 二、 VLAN 劃分及參數(shù)配置 （一） VLAN 劃分 VLAN（ Virtual Local Area Network）稱為虛擬局域網(wǎng)，是指在邏輯上將物理的LAN 分成不同小的邏輯子網(wǎng)，每一個邏輯子網(wǎng)就是一個單獨的播域。因為交換機通信的原理就是要通過“廣播”來發(fā)現(xiàn)通往的目的MAC 地址，以便在交換機內(nèi)部的 MAC 數(shù)據(jù)庫建立 MAC 地址表，而廣播不能跨越不同網(wǎng)段 [3]。由于它是從邏輯上劃分，而不是從物理上劃分，所以同一個 VLAN 內(nèi)的各個工作站沒有限制在同一個物理范圍中，即這些工作站可以在不同物理 LAN 網(wǎng)段 。 VLAN 除了能將網(wǎng)絡劃 分為多個廣播域，從而有效地控制廣播風暴的發(fā)生，以及使網(wǎng)絡的拓撲結(jié)構變得非常靈活的優(yōu)點外，還可以用于控制網(wǎng)絡中不同部門、不同站點之間的互相訪問 [4]。根據(jù)學院校園網(wǎng)使用實際情況，提出校園網(wǎng) VLAN 的建設規(guī)劃，見表 21。 不斷的循環(huán)這個過程，對于全網(wǎng)的 MAC 地址信息都可以學習到，二層交換機就是這樣建立和維護它自己的地址表。 三層交換機的最重要的功能是加快大型局域網(wǎng)絡內(nèi)部的數(shù)據(jù)的快速轉(zhuǎn)發(fā)，加入路由功能也是為這個目的服務的。 16 核心層的功能主要是 實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸 ,核心層 設計任務的重點通常是冗余能力、可靠性和高速的傳輸。核心層一直被認為是所有流量的最終承受者和匯聚者，所以對核心層的設計以及網(wǎng)絡設備的要求十分嚴格。這種劃分 VLAN 的方法是根據(jù)以太網(wǎng)交換機的交換端口來劃分的，它是將 VLAN 交換機上的物理端口和 VLAN 交換機內(nèi)部的 PVC（永久虛電路）端口分成若干個組，每個組構成一個虛擬網(wǎng)，相當于一個獨立的 VLAN 交換機。適合于任何大小的網(wǎng)絡。 （三） 核心交換機 CoreSW 配置 1. 核 心交換機配置 VTP Server 交換機 VTP 更新信息的所有計劃必須配置在同一管理域。 進入 VLAN 配置模式 CoreSWvlan database 設置 VTP 管理域名稱為 xiaoyuan CoreSW (vlan)vtp xiaoyuan 設置交換機為服務器模式 CoreSW (vlan)vtp server 設置交換機為 server 模式是指允許在本交換機上創(chuàng)建、修改、刪除 VLAN 及其它一些對整個 VTP 域的配置參數(shù)，同步本 VTP 域中其它交換機傳遞來的最新的 VLAN 信息； client 模式用于同步本 VTP 域中其他交換機傳遞來的 VLAN 信息，分支交換機設置為 client 模式。 Trunk 是一個在交換機之間、交換機與路由器之間傳遞 VLAN 信息和 VLAN 數(shù)據(jù)流的協(xié)議，將交換機之間直接相連的端口配置為 dot1q 封裝，就可跨越交換機進行整個網(wǎng)絡的 VLAN 設置。另外，在相應的交換機上配置將各自的端口劃入各個 VLAN。采用分配靜態(tài) IP 地址的方法，在核心交換機上設置如下： CoreSW (configif)int vlan 1 CoreSW (configif)ip address CoreSW (configif)no shut CoreSW (configif)int vlan 2 CoreSW (configif)ip address CoreSW (configif)no shut CoreSW (configif)int vlan 3 CoreSW (configif)ip address CoreSW (configif)no shut CoreSW (configif)int vlan 4 CoreSW (configif)ip address CoreSW (configif)no shut CoreSW (configif)int vlan 5 19 CoreSW (configif)ip address CoreSW (configif)no shut CoreSW (configif)int vlan 6 CoreSW (configif)ip address CoreSW (configif)no shut 5. SW1 開啟路由 中心交換機開啟路由功能 C