【正文】 所以為了滿足貴校目前的需求，立足長遠(yuǎn)發(fā)展，網(wǎng)絡(luò)設(shè)備的選型除了依據(jù)提出的需求外，還需遵循上面的設(shè)計原則。其專門為教育行業(yè)用戶定制和推出的解決方案，膠南高職網(wǎng)絡(luò)有兩個層次節(jié)點： 1）骨干層設(shè)備； 2）接入層設(shè)備。 網(wǎng)絡(luò)中心節(jié)點及其它核心節(jié)點作為校園網(wǎng)絡(luò)系統(tǒng)的心臟，必須提供全線速的數(shù)據(jù)交換，當(dāng)網(wǎng)絡(luò)流量較大時，對關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量提供保障。 骨干交換機(jī)的功能應(yīng)具有較強的擴(kuò)展性，目前網(wǎng)絡(luò)正處在IPv4IPv6 過渡期，核心設(shè)備必須在一定程度上支持 IPv6。 因此在網(wǎng)絡(luò)中心的設(shè)備選型和結(jié)構(gòu)設(shè)計上必須考慮整體網(wǎng)絡(luò)的高性能和高可靠性。考慮到后期校園網(wǎng)建設(shè)最終必將采用萬兆技術(shù)，因此需要考慮到核心設(shè)備對萬兆的支持能力。要求路由 交換機(jī)率先通過最為苛刻的國際 IPv6 Ready 第二階段認(rèn)證。 膠南市高級職業(yè)技術(shù)學(xué)校 國家中職示范校建設(shè)材料 接入交換機(jī)使用神州數(shù)碼 DCS4500 系列，實現(xiàn)用戶計算機(jī)的接入，通過千兆多模光口模塊與核心相連，該系列交換機(jī)集成堆疊模塊，可方便擴(kuò)展，滿足未來網(wǎng)絡(luò)需要。技術(shù)方案詳細(xì)設(shè)計 （ 五 ） 校園網(wǎng)出口設(shè)計 安全防護(hù)和策略路由： 在網(wǎng)絡(luò)邊界部署一臺高性能防火，負(fù)責(zé)網(wǎng)絡(luò)的安全防御。 在邊界防火墻啟用深度檢測功能，高性能防火墻進(jìn)行路由的設(shè)置根據(jù)目的地進(jìn)行出口的走向分配，達(dá)到內(nèi)網(wǎng)訪問教育網(wǎng)的地址走中國教育科研網(wǎng)，其余的訪問通過運營商出口訪問。 上網(wǎng)行 為審計系統(tǒng) 據(jù)國家公安部的規(guī)定，網(wǎng)絡(luò)管理者或者運營者必須保留 60 天的上網(wǎng)日志備查。校園網(wǎng)需要做到可信、可管理、可查詢，做到有突發(fā)事件時有據(jù)可查，此次建議推薦在方案中部署上網(wǎng)日志管理系統(tǒng)。缺省啟動數(shù)據(jù)收斂功能。很容易查詢哪些用戶是否訪問過黃色、法輪功等非法網(wǎng)站。 要求即使用戶通過代理上網(wǎng)（即：用戶訪問的目的 IP 是代理的IP），也能解析出用戶訪問的最終網(wǎng)站的 URL。更具體的說，我們可以將 VLAN 類比成一組最終用戶的集合。在這里，網(wǎng)絡(luò)的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。 在膠南高職網(wǎng)絡(luò)設(shè)計中，作為教學(xué)和辦公的核心網(wǎng)絡(luò)設(shè)備，根據(jù)具體需要劃分多個 VLAN,其中 ADMIN 作為設(shè)備管理用 對這些不同 VLAN 之間的通訊進(jìn)行控制，這樣既可以節(jié)約成本，又可以保障重要網(wǎng)段的安全，同時減少廣播和沖突，提高系統(tǒng)的可用性。 根據(jù)膠南高職目前的應(yīng)用需求，在網(wǎng)絡(luò)實施前期按照需求，配置網(wǎng)絡(luò)的 VLAN。 二、地址規(guī)劃設(shè)計 （一） 地址規(guī)劃的原則 IP 地址規(guī)劃應(yīng)依據(jù)科學(xué)性、系統(tǒng)性、完整性及可擴(kuò)展性原則，采用先進(jìn)的網(wǎng)絡(luò)編碼技術(shù)，保證信息交換的效率和 質(zhì)量，既要在相當(dāng)時期內(nèi)保持技術(shù)的先進(jìn)性，同時也充分考慮現(xiàn)期工程的可實施性，為了更加便于記憶和管理，在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò) IP 地址規(guī)劃采用膠南市高級職業(yè)技術(shù)學(xué)校 國家中職示范校建設(shè)材料 統(tǒng)一的 IP 地址分配方式，保證 IP 地址的唯一性。 高效性： IP 地址的分配必須采用 VLSM 技術(shù)，充分合理利用已申請的地址空間，保證 IP 地址的利用效率，采用 CIDR 技術(shù)，減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小； （二） 校園網(wǎng)內(nèi)部 IP地址具體規(guī)劃 對于校園網(wǎng)來說需要全局 IP 地址的情況有以下： 1）對互聯(lián)網(wǎng)提供信息服務(wù)的服務(wù)器，這些服務(wù)器一般放 置在防火墻的 DMZ 區(qū)； 2）內(nèi)部分配私有 IP地址的網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)時，需要全局 IP地址做 NAT；3）內(nèi)部網(wǎng)絡(luò)中對全局 IP 地址有特定需求的網(wǎng)段，比如學(xué)生經(jīng)常會玩一些網(wǎng)絡(luò)游戲，一些特定的網(wǎng)絡(luò)游戲一定要求全局的 IP 地址， NAT能夠兼容常見的應(yīng)用，但對許多特殊的應(yīng)用是不兼容。 對于校園網(wǎng)的網(wǎng)絡(luò)設(shè)備互聯(lián) IP地址，以及沒有對全局 IP 地址有特定需求的網(wǎng)段，采用內(nèi)部網(wǎng)絡(luò)私有 IP 地址空間或者申請教育網(wǎng)地址塊。 膠南市高級職業(yè)技術(shù)學(xué)校 國家中職示范校建設(shè)材料 從 ISP 分配的全局 IP 地址中分配一段全局 IP 地址，作為校園網(wǎng)內(nèi)部訪問互聯(lián)網(wǎng)的轉(zhuǎn)換地址。 （四） IP 地址的分配管理 校園網(wǎng)的信息點多，如何對 IP 地址的分配進(jìn)行有效的管理，是十分重要的。 靜態(tài)分配的情況： 對外提供信息服務(wù)的服務(wù)器； 校園網(wǎng)內(nèi)提供信息及管理服務(wù)的服務(wù)器； 對于一些老師或?qū)W生用戶，需要對校園網(wǎng)內(nèi)部或外部提供信息服務(wù)的信息點。 動態(tài)分配的情況： 不提供信息服務(wù)的計算機(jī)，只訪問校園網(wǎng)內(nèi)部或互聯(lián)網(wǎng)的資源。 合理的劃分 IP 地址、盡量使用總結(jié)路由、可以有效地減少核心設(shè)備的負(fù)擔(dān)，提高核心交 換機(jī)的效率，減少網(wǎng)絡(luò)上的路由震蕩，同時與交換機(jī)專家級 ACL 功能相結(jié)合可以對關(guān)鍵的、敏感的區(qū)域?qū)崿F(xiàn)多重的防護(hù)。如何有效地阻止網(wǎng)絡(luò)的攻擊行為，保證網(wǎng)絡(luò)的高安全？ （一） 設(shè)備訪問控制安全 本方案中的所有交換機(jī)支持 ACL 訪問控制，可以限制哪些源地址可以訪問該設(shè)備。 1. Standard IP access lists (標(biāo)準(zhǔn) IP接入控制列表 )使用源 IP地址作為匹配的條件 2. Extended IP access lists(擴(kuò)展 IP 接入控制列表 )使用源 IP地址、目的 IP 地址及可選的協(xié)議類型信息作為匹配的條件 Ether ACLs 用于過濾二層數(shù)據(jù)流： 1. MAC Extended access lists(MAC 擴(kuò)展控制列表 )使用源 MAC 地址、目的 MAC 地址及可選的以太網(wǎng)類型作為匹配的條件 Expert ACLS 用于過濾二層和三層、二層和四層、二層和三層、四層數(shù)據(jù)流： 1. Expert Extended access lists(專家擴(kuò)展控制列表 )使用源 MAC 地址、目的 MAC 地址、以太網(wǎng)類型、源 IP、目的 IP、及可選的協(xié)議類型信息作為匹配的條件。 在登錄網(wǎng)絡(luò)設(shè)備過程中，使用安全外殼 SSH，密碼在傳輸過程中不會被竊聽到。主要提供以下幾個功能： 1）預(yù) 防 PC 感染類似“沖擊波”的病毒； 2）如果某臺機(jī)器感染病毒，能夠?qū)崿F(xiàn)中毒機(jī)器隔離，限制同一網(wǎng)段中病毒的傳播。 accesslist 101 deny icmp any any 阻斷感染病毒的 PC 向外發(fā)送大量的 ICMP 報文，防止其堵塞網(wǎng)絡(luò)。 （三） 地址轉(zhuǎn)換（ NAT） 在互聯(lián)網(wǎng)出實現(xiàn) NAT， NAT 除了可以解決全局 IP 地址不足之外，還對網(wǎng)絡(luò)的安全起一定的作用， NAT 的安全性主要體現(xiàn)在以下兩點：1）以統(tǒng)一的 IP 地址訪問互聯(lián)網(wǎng)，屏蔽內(nèi)部網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)； 2）外部網(wǎng)絡(luò)不可以訪問內(nèi)部網(wǎng)絡(luò)的