【正文】 確定以后，后來的分組享有與第一個分組相同的權(quán)限，繞開了第三層處理，整體上加快了處理過程。這些后來的分組視具體情況被第二層或第三層轉(zhuǎn)發(fā)。 逐分組交換 [11] 逐分組交換發(fā)生在網(wǎng)絡(luò)層。每個單獨的分組根據(jù)其網(wǎng)絡(luò)地址被轉(zhuǎn)發(fā)至到最終的目的地址。路 由信息協(xié)議 (如 RIP 和 OSPF)被這些設(shè)備用來了解網(wǎng)絡(luò)拓撲結(jié)構(gòu)以及進行路由變更。 逐分組式交換機是有路由能力的極高速分組交換，因為其功能是由硬件實現(xiàn)的，使用特定用途集成電路而不是路由軟件。然而，這也意味著每個設(shè)備是硬件固化的，用來交換特定第三層協(xié)議 (如 IP)。 緊縮模式 緊縮骨干網(wǎng) (Collapsed Backbone)[12]的最大的特點就是將分布層和核心層功能集合在西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 16 同一設(shè)備執(zhí)行。這種設(shè)計的優(yōu)點是其經(jīng)濟性，非常適合大型大樓內(nèi)網(wǎng)絡(luò)。不過，它限制了網(wǎng)絡(luò)的擴展能力，而且骨干網(wǎng)中的第三層交換機必須為網(wǎng) 中每個在線設(shè)備維持 ARP(地址解析協(xié)議 )條目。過量的 ARP 活動會占用大量的 CPU 資源，會直接影響骨干網(wǎng)的總體性能。從風(fēng)險和性能角度出發(fā)，一種合理的方法是將網(wǎng)絡(luò)分成若干個較小的緊縮模塊，并將它們與核心層相連。 接入第二層交換機第三層交換機服務(wù)器庫 圖 緊縮骨干網(wǎng)模型 全網(wǎng)狀模式 全網(wǎng)狀骨干網(wǎng)比較適合包括 3 個模塊的網(wǎng)絡(luò)，直接相連的第三層交換機組成一個全面連接的網(wǎng)狀結(jié)構(gòu)。全網(wǎng)狀設(shè)計非常適用于將兩個或三個模塊連為一體。然而隨著模塊的增加，維持全網(wǎng)狀所需的鏈路數(shù)量以平方增長，并且，隨著鏈路數(shù)量的增加，子網(wǎng)和路由選擇等的數(shù)量也會增加， 網(wǎng)絡(luò)的復(fù)雜性也相應(yīng)提高。 全網(wǎng)狀設(shè)計還使帶寬升級變得更為困難。為了將一個模塊從快速以太網(wǎng)鏈路升級到千兆位以太網(wǎng)鏈路，相連接的其他模塊必須同時進行升級。因此，網(wǎng)絡(luò)各個部位都需要升級和變更。如圖 所示。 接入第二層交換機第三層交換機核心第三層交換機服務(wù)器庫第二層交換機 圖 全網(wǎng)狀骨干網(wǎng)模型 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 17 部分網(wǎng)狀結(jié)構(gòu)模式 部分網(wǎng)狀骨干網(wǎng)類似于全網(wǎng)狀骨干網(wǎng)，區(qū)別只是拆除了一些中繼線路。部分網(wǎng)狀骨干網(wǎng)適合用于業(yè)務(wù)主要傳輸?shù)揭粋€中央服務(wù)器庫模塊的網(wǎng)絡(luò)。在這種設(shè)計中將來自各樓第三層交換機的高容量中繼線直接與服務(wù)器庫中的第三層交換機相連。部分網(wǎng)狀設(shè)計中的一個問題是客戶機模 塊間的業(yè)務(wù)要通過邏輯中繼線才能互相訪問。實際上，服務(wù)器一側(cè)的第三層交換機是所有客戶機間業(yè)務(wù)的緊縮骨干網(wǎng)，如圖 所示。 圖 部分網(wǎng)狀骨干網(wǎng)模型 第三層交換模式 第三層交換式骨干網(wǎng) [13]可以支持任何拓撲結(jié)構(gòu)，因為一些復(fù)雜的路由協(xié)議 (如 (OSPF)被廣泛采用。骨干網(wǎng)由兩個帶有千兆位以太網(wǎng)或千兆位 Ether Channel 中繼線的第三層交換機所組成。骨干網(wǎng)中的所有鏈路均為路由鏈路，因此網(wǎng)絡(luò)中不會出現(xiàn)生成樹環(huán)路。如圖 所示。 圖 第三層交換式模型 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 18 在這種模型中，最靈活、最具可擴展性 的網(wǎng)絡(luò)是由第三層交換機組成。骨干網(wǎng)交換機之間由千兆位以太網(wǎng)或千兆位 Ether Channel鏈路相連。第三層交換骨干網(wǎng)有以下幾方面的優(yōu)點 ： 更少的路由對等 ； 無生成樹環(huán)路的靈活拓撲結(jié)構(gòu) ； 骨干網(wǎng)中對多點發(fā)送與廣播業(yè)務(wù)可進行控制 ； 可擴展到任意規(guī)模 ： 每個分布層交換機有兩條等成本路徑與每個目的地網(wǎng)絡(luò)相連，任何鏈路故障的恢復(fù)非常迅速，可為骨干網(wǎng)提供雙倍的中繼容量。 高校網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計 根據(jù)以上原則，高校校園網(wǎng)絡(luò)的結(jié)構(gòu)采用二三層結(jié)合的結(jié)構(gòu)，即核心層，分布層和接入層。核心層提供整個 網(wǎng)絡(luò)的中心多層路由、交換能力；分布層是網(wǎng)絡(luò)匯聚層，提供接入層與核心層相連的光纖匯聚點，減輕了核心層路由交換機的負載，同時保證了設(shè)備的統(tǒng)一性，為將來網(wǎng)絡(luò)維護和管理提供了極大的便利；接入層向用戶提供桌面 10/100M連接和本地的交換能力。核心層通過園區(qū)樓宇間的光纖連接（可采用多條千兆鏈路捆綁技術(shù)，提供高速的主干通道，未來可采用 10G的萬兆以太網(wǎng) )。接入層可采用堆疊技術(shù)，大大提高整堆疊交換機背板性能、交換能力等，同時具有更大的靈活性和可擴展性。高校網(wǎng)絡(luò)拓撲如圖。 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 19 圖 高校網(wǎng)絡(luò)拓撲圖 多協(xié)議處理及路由能力設(shè)計 由于高校校園網(wǎng)絡(luò)的用戶和應(yīng)用眾多，需要網(wǎng)絡(luò)能夠提供各種應(yīng)用和多協(xié)議的支持。因此在設(shè)計網(wǎng)絡(luò)的時候，充分考慮了多協(xié)議支持的問題，讓其能夠支持 IP、 IPX、 NetBIOS等網(wǎng)絡(luò)協(xié)議。 VLAN 的設(shè)計 虛擬局域網(wǎng) (VLAN)就是一個計算機網(wǎng)絡(luò)，其中的計算機好像是被同一網(wǎng)線連接在一起，而實際上它們分別處于局域網(wǎng)不同區(qū)域，是一組邏輯上的設(shè)備或用戶。如圖 。 圖 VLAN圖例 VLAN的概念 [14]主要是根據(jù)網(wǎng)絡(luò)管理的要求而提出來 的，同時還可以提供一些安全的功能，也可以部分的優(yōu)化網(wǎng)絡(luò)的性能。 AVAYA的 Cajun系列交換機產(chǎn)品可以根據(jù) IP地址、 MAC地址、端口等多種策略來劃分 VLAN，支持多鐘路由協(xié)議來實現(xiàn) VALN間的路由。 第三層交換技術(shù) 第三層交換的實質(zhì)是路由，類似于 IP子網(wǎng)間的數(shù)據(jù)交換機制。當(dāng)網(wǎng)絡(luò)內(nèi)數(shù)據(jù)流量的分布偏離規(guī)則，而且流量大量跨越子網(wǎng)邊界時，傳統(tǒng)的路由器就成了通信中的瓶頸。 第三層交換技術(shù)的實現(xiàn)可分兩類：一類可歸為“路由一次，交換多次”；另一類是基于高性能硬件的線速路由器。 支持多種路由協(xié)議 AVAYA的 Cajun系列三層交換機產(chǎn)品，能夠支持各種主要的標準路由協(xié)議實現(xiàn) VALN間的路由 (如 RIP、 RIPⅡ、 OSPF等 )。 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 20 組播支持 AVAYA的 Cajun交換設(shè)備支持的多播路由協(xié)議有：支持多播組用戶的注冊或取消的IGMP(Inter Group Management Protocol)，通過 IGMP實現(xiàn)交換機本地多播用戶的監(jiān)控與多播的發(fā)送。同時還提供 DVMRP(距離向量多播路路由協(xié)議 )和 MOSPF(多播 OSPF路由協(xié)議 )來實現(xiàn)多點廣播的路由。通過 IGMP和 DVMRP還可以實現(xiàn)多點廣播 的本地或廣域傳輸。 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 21 第 5 章 網(wǎng)絡(luò)安全研究 隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)的安全問題也日趨嚴重。網(wǎng)絡(luò)系統(tǒng)中的安全問題包括網(wǎng)絡(luò)中信息系統(tǒng)的安全性和網(wǎng)絡(luò)本身固有的安全性。保證系統(tǒng)的安全性要從管理和技術(shù)角度同時考慮，通過指定不同的安全策略來達到特定的安全要求。 網(wǎng)絡(luò)的安全策略主要針對兩種情況，一是網(wǎng)絡(luò)系統(tǒng)自身的安全問題，如路由器的安全隱患、匿名 FTP的安全隱患、 Tel的安全隱患等，可以通過對各種關(guān)鍵系統(tǒng)設(shè)備加以控制來消除；另一種是給用戶提供的各種服務(wù)是否安全，主要體現(xiàn)在網(wǎng)絡(luò) 應(yīng)用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡(luò)傳遞過程中的安全控制。其中，網(wǎng)絡(luò)系統(tǒng)自身的安全程度將直接影響整個系統(tǒng)的可用性和穩(wěn)定性，它是系統(tǒng)安全的基礎(chǔ) [15]。 一個系統(tǒng)存在的安全問題可能來源于兩個方面 ： 安全控制機構(gòu)有故障或系統(tǒng)安全定義有缺陷。前者是一個軟件可靠性的問題，可以用優(yōu)秀的軟件設(shè)計技術(shù)配合特殊的安全方針加以克服 ； 而后者則需要精確描述安全系統(tǒng)。網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全體系應(yīng)包含如表 示的內(nèi)容。 網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全如表 。 表 內(nèi) 容 功 能 訪 問 控 制 通過特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達目標之前 檢查安全漏洞 通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效 攻 擊 監(jiān) 控 通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取響應(yīng)的行動 (如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等 ) 加 密 通 信 主動的加密通信，使攻擊者不能了解、修改敏感信息 認 證 良好的認證體系可以防止攻擊者假冒合法用戶 備份和恢復(fù) 良好的備份和恢復(fù)機制，可在攻擊造成損失時盡快的恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù) 多 層 防 御 當(dāng)攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標 設(shè)立安全監(jiān)控中心 為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護及緊急情況服務(wù) 安全風(fēng)險分析 由于高校校園網(wǎng)絡(luò)用戶眾多，支撐著相當(dāng)多的重要應(yīng)用，因此高校校園 網(wǎng)絡(luò)的安全顯西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 22 得特別重要。安全的威脅不僅來自外部網(wǎng)絡(luò)，內(nèi)部安全防范也顯得十分重要。對于網(wǎng)絡(luò)資產(chǎn)包括網(wǎng)絡(luò)主機 (主機的操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù) )、網(wǎng)絡(luò)互連設(shè)備 (如交換機和路由器 )以及整個網(wǎng)絡(luò)上的數(shù)據(jù)都應(yīng)該采取有效的措施進行保護。 局域網(wǎng)絡(luò)安全 由于內(nèi)部網(wǎng)絡(luò)用戶通常具有較大的訪 問權(quán)限，因此局域網(wǎng)絡(luò)系統(tǒng)的安全是整個網(wǎng)絡(luò)系統(tǒng)安全中最重要的部分。但相對而言，內(nèi)部的安全問題可以預(yù)測，并可依此制定相應(yīng)的防范措施，防止來自單位內(nèi)部的非法訪問和惡意破壞。比外，以下一些措施也是提高網(wǎng)絡(luò)安全比較有效的方法 [16]。 在交換機上設(shè)置虛擬網(wǎng)，把服務(wù)器單獨歸于一個虛擬網(wǎng)內(nèi)，其他可以根據(jù)不同的部門設(shè)置在不同虛擬網(wǎng)內(nèi)，從而防止客戶計算機與服務(wù)器的 IP地址沖突、不同部門之間護地址盜用的問題。 由于虛擬網(wǎng)間的通信要經(jīng)過路由器，所以可在路由器上配置訪問控制表，以阻止來自非法地址的訪問。 對大量上網(wǎng)的學(xué) 生機器采用 “ 保留地址 ” ，這樣既節(jié)省了有效的地址資源，同時也將學(xué)生機器配置為一個相對獨立的網(wǎng)絡(luò)，通過代理服務(wù)器與外部網(wǎng)絡(luò)通信，增強了系統(tǒng)安全性和可管理性。 在服務(wù)器和網(wǎng)管計算機上記錄對服務(wù)器的每次訪問，做到 “ 有據(jù)可查 ” 。 廣域網(wǎng)絡(luò)安全 前面提過，來自網(wǎng)絡(luò)內(nèi)部的攻擊是可以預(yù)測的，但來自網(wǎng)絡(luò)外部的攻擊則難以預(yù)測，因為技術(shù)的發(fā)展使網(wǎng)絡(luò)攻擊變得更加容易。為了防止廣域網(wǎng)上可能出現(xiàn)的攻擊，可以采取以下的安全措施。 設(shè)置高性能的代理服務(wù)器 高性能的代理服務(wù)器可以提高網(wǎng)絡(luò)線路的利用率，而且它在安全性方 面更有其優(yōu)越的功能 [17]。 首先，代理服務(wù)器的認證功能可以控制網(wǎng)絡(luò)訪問的隨意出入，既可以授予某人上網(wǎng)的特權(quán)，并記錄其訪問的網(wǎng)頁和流量，也可做到對相應(yīng) IP地址的控制。 其次，代理服務(wù)器是處于應(yīng)用傳輸層進行控制的，所以可以對不同類型的連接和數(shù)據(jù)包進行控制，甚至功能強大的代理服務(wù)器還可對數(shù)據(jù)的內(nèi)容進行監(jiān)視。 西安培華學(xué)院本科畢業(yè)論文（設(shè)計） 大學(xué)校園網(wǎng)網(wǎng)絡(luò)組建及 Inter 接入方案 23 相對于防火墻，代理服務(wù)器則更注重對整個系統(tǒng)的管理功能，而不僅僅是發(fā)揮 “ 看門 ” 的功能。代理服務(wù)器需要配置高性能的服務(wù)器。 設(shè)置防火墻 防火墻是在開放與封閉的界面上構(gòu)造一個保護層，以防止不可預(yù)料的、 潛在的破壞侵入網(wǎng)絡(luò)，通常起著一個 “ 看門 ” 人的作用。 應(yīng)注意的是，防火墻不是路由器、堡壘主機或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，它是安全策略的一個有機的組成部分。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣完全級別加以保護。只設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻也形同虛設(shè)。 防火墻的作用是以額外的軟硬件設(shè)備和系統(tǒng)性能的下降為代價的，因此防火墻的設(shè)置取決于對網(wǎng)絡(luò)的安全防衛(wèi)要求和所能承受的經(jīng)濟能力，以及系統(tǒng)被攻破之后可能產(chǎn)生后果的嚴重性。 防火墻的防衛(wèi)重點是網(wǎng)絡(luò)傳輸，因此它不能保證高層協(xié)議及傳輸內(nèi)容的安全，另外 ，它也不能防止來自內(nèi)部破壞者帶來的威脅。 從上述內(nèi)容來看，整個校園網(wǎng)的安全結(jié)構(gòu)不應(yīng)是僅僅添置某一安全設(shè)備，而需要建立在整個網(wǎng)絡(luò)系統(tǒng)的平臺上，服務(wù)器、交換機、路由器到撥號服務(wù)器及相關(guān)的軟硬件都應(yīng)該被視為網(wǎng)絡(luò)安全的一部分。由于校園網(wǎng)是一個相對比較開放的系統(tǒng)，它和企業(yè)網(wǎng)有一定的區(qū)別，因此建議采用以下的安全結(jié)構(gòu)體系 [18]。 整個安全結(jié)構(gòu)由主機系統(tǒng)認證、虛擬網(wǎng) VLAN的設(shè)置、代理服務(wù)器的設(shè)置、路由系統(tǒng)的過濾功能撥號認證系統(tǒng)等幾大部分組成，如表 。 表 安全結(jié)構(gòu)體系的組成 安全體