校園網網絡設計方案范文

時間:2024-04-12 17:54:51

導語:如何才能寫好一篇校園網網絡設計方案,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

校園網網絡設計方案

篇1

關鍵詞: 校園網網絡規劃設計網絡安全管理需求設計特點

一、 校園地理環境

我校分為南北兩個校區,南區為教學區,包括:三棟教學樓、一棟圖書館、一棟教師辦公樓、一棟教工宿舍、兩棟學生宿舍;北區為實訓中心,與南區相隔一條街道,包括:南北兩棟實訓樓。

二、校園網功能需求

學校是以現代化手段培養人才的地方。為了更好地使計算機及其網絡在輔助教學、教學管理等方面發揮作用,我校計劃在校內建立校園網,并與國際互聯網相連。

校園網的信息點應該普及兩個校園區所有教學樓的教室,實訓中心的電腦室、實訓室,教師辦公樓,圖書館,宿舍樓等,同時教室辦公樓應該提供無線網絡接入。校園內每個信息點的電腦都可以相互訪問,實現廣泛的軟件、硬件資源共享;同時每個信息點的電腦都能接入互聯網,提供基本的Internet網絡服務功能,如電子郵件、對外個人主頁服務、ftp服務、域名服務等。

三、校園網網絡規劃設計

1.綜合布線結構

根據學校的地理位置,各棟建筑物到網絡中心的距離,以及數據的流量,采取光纖+超五類綜合布線系統。

(1)主干網。網絡中心在圖書館四樓,對于南區教學區,因為每棟樓到網絡中心都在400米左右,所以每棟樓的交換機都用12芯的室外多模光纜與網絡中心的核心交換機連接;而北區實訓中心因為離網絡中心太遠,南北樓的交換機用12芯的室外單模光纜與網絡中心的核心交換機連接。主干網是由光纖構成的1000M網。

(2)樓內網。每棟樓的交換機都放在四樓中間的一間房間里,各個信息點到交換機的距離都在100米內,樓內的布線用超五類線,為每間教室、實訓室、辦公室等提供兩個信息點。樓里面則構成10―100M的網絡。

2.設備選型

網絡設備必須在技術上具有先進性、通用性,必須便于管理、維護。網絡設備應該滿足學校現有計算機設備的高速接入,應該具備未來良好的可擴展性、可升級性,保護學校的投資。網絡設備必須在滿足功能與性能的基礎上價格最優。網絡設備應該選擇擁有足夠實力和市場份額的廠商的主流產品,同時設備廠商必須有良好的市場形象與售后技術支持。

根據多方面的考慮,我們確定選用華為三康的設備,路由器用MSR30-40,防火墻用F-1000A,核心交換機用S-7506,各棟樓的接入交換機用E-126A。這些設備完全滿足校園各種功能需要,同時也滿足未來擴展的需要。

3.Internet接入

根據對全??偝隹诹髁康墓浪?為確保內部網站和外部網站的連接暢通,我們用電信20M帶寬的光纖專線接入,有一個Internet固定的IP地址,所有計算機都通過NAT(網絡地址轉換)進入Internet。

4.VLAN規劃

VLAN為虛擬局域網,它有如下優勢:抑制網絡上的廣播風暴;增加網絡的安全性;集中化的管理控制。基于這些優點,我們按照各棟樓的不同情況對交換機進行VLAN劃分,具體是:VLAN1―設備管理、VLAN10―圖書館、VLAN11―教師辦公樓、VLAN12―實訓中心南、VLAN13―實訓中心北、VLAN14―4號教學樓、VLAN15―5號教學樓、VLAN16―1號教學樓、VLAN17―教工宿舍。

5.路由規劃

核心三層交換機S-7506實現VLAN之間的相互訪問。對于三層交換機來講,所有VLAN(網段)都是直連的,因此只需要啟動路由,而不需要設置額外的靜態或動態路由條目。我們在S-7506中創建VLAN 10至VLAN 17,并把與接入層交換機光纖連接的光纖端口添加到對應的VLAN中,同時給VLAN端口添加對應的網關IP作為虛擬端口的IP地址,實現整個校園網不同網段之間的相互訪問。

6.無線接入

充分利用計算機輔助教學及利用網絡軟硬件的資源共享,是校園網為教學服務的一大特點,我校教師每人配備了一臺手提電腦,手提電腦接入校園網,采取無線接入的方式。

構建“無線漫游”接入區,在辦公樓放置三個TP-LINK841無線路由器,SSID都是BanGong,頻道則分別為1、6、11三個互不干預的頻道,不加密碼是開放式,開啟DHCP,地址池IP為192.168.1.50/24―192.168.1.200/24,這樣教師可以很方便地接入到校園網。

7.開放計算機機房

學校內有大量的各種各樣的開放式機房,是學生學習計算機的場所,通常這些計算機連成一個局域網,除具備一般的互訪外,通常還要求這些計算機能夠訪問到Internet。為滿足教學要求,我們作了如下規劃:(1)IP地址用私有C類192.168.0.0/24。(2)實現Internet訪問,實際上是一個局域網PC如何共享上網的問題。在每一個機房部署一個信息點,相當于Internet出口,用服務器的方式通過信息點接入校園網,從而實現訪問Internet。

8.對外站點

對于一些外部站點的問題,通常放置在DMZ區內,DMZ區的安全等級高于外網,低于內網,防火墻的默認規則是允許安全等級高的訪問安全等級低的,禁止安全等級低的訪問安全等級高的。因此,防火墻不需要設置規則就可以實現內網訪問到DMZ區,但外網不能訪問到DMZ區。對于學校來講,WWW站點的主要目的就是對外信息,必須讓外網能夠訪問到,為了到達這個目的,可以在防火墻上添加一些規則,開放DMZ區所在服務器的IP,以及相應的端口。在DMZ區放置學校的服務器:郵件服務器、WWW服務器、數據服務器、文件服務器。

四、網絡安全及管理需求

校園網是巨大的資源中心,存放著各方面的信息資源,涉及學校的方方面面,同時,校園網又是一個開放的系統,有不同的人員在校內或校外訪問它,因此,校園網的建立不僅是網絡硬件和應用的建立,還應該特別重視校園網的安全問題。網絡安全是一個體系結構,涉及整個辦公環境的各個方面,包括人員和設備,信息的駐留點,以及沿途經過的各個中間環節,從物理層到應用層都要小心對待。

1.設備級安全

包括網絡中所有可管理的網絡設備、服務器和網管工作站的安全。設備級安全是網絡的第一道屏障,嚴格限制能夠遠程管理(包括Telnet方式和Web方式)網絡設備的IP地址列表,必要時關閉部分或全部遠程管理功能;對于核心網絡設備,如骨干交換機和路由器,建議不設遠程管理IP地址。

2.傳輸級安全

指敏感數據在傳輸線路中防止中途竊取或修改的安全性。解決辦法包括室外線路盡可能采用無輻射抗干擾的光纖作為傳輸介質,室內明線使用屏蔽雙絞線,中心機房加裝屏蔽網,對遠程傳輸的信息進行加密等。

3.網絡層安全

是網絡安全設計中的重要一環。網絡層攻擊是黑客最常用的攻擊方式,如外部入侵。對付這種攻擊方式最典型的解決方案是使用軟件或硬件防火墻進行內外隔離,同時內網采用保留IP地址,訪問外網時進行NAT轉換(網絡地址轉換)。除了防止外部入侵外,也要注意防止內部的越權訪問和故意破壞,一般在VLAN之間進行訪問控制。

4.應用級安全

包括防病毒和認證體系。近年來病毒多如牛毛,如:熊貓燒香、ARP地址欺騙等。對于病毒問題,有效的解決方法是安裝網絡防病毒軟件,修補系統漏洞。同時也要防范因內部人員不經意或故意“環路”,形成的“網絡震蕩”,解決辦法是設置交換機STP協議(生成樹協議)。

校園網是一個比較大型的網絡,為了保證校園網更加有效、可靠地運行,我們配置了一臺網絡管理工作站,以便更有效地對校園網進行管理。根據網絡設備選型,我們選擇華為三康管理軟件,同時用第三方管理軟件一起管理網絡,主要是solarwinds-toolset工具箱V9.2、超級PING、Sniffer Portable 4.8這三個軟件。

五、方案規劃設計特點

該校園網方案采用成熟的先進的技術,采用國際統一標準有廣泛的支持廠商;所有設備都用華為三康一線產品。Internet帶寬合理,確保網絡不出現“塞車”現象;設置三層核心交換機,將整個網絡劃分為多個VLAN,從而使網絡更加安全;同時本方案充分考慮了網絡未來的升級與發展,把網絡主干網構成了信息高速網,對未來的發展非常有利。

篇2

關鍵詞:校園網 網絡安全 防御系統

一、網絡安全防御系統使用的鑒別認證機制

在整個網絡防御系統中,使用了兩種鑒別認證機制。

1.從網絡部分而言,通過SSL加密通道以及證書機關,對使用本系統提供的Web服務的用戶進行服務器與外部用戶間的雙向鑒別,其實質是利用了公鑰體制的技術,結合證書機關對服務器和用戶發放的證書,實施鑒別。

2.系統鑒別部分則是利用了安全操作系統提供的鑒別機制,采用了IC卡的方式對所有內部用戶進行身份鑒別,所有內部用戶的IC卡均通過統一的發卡中心發放,只有持卡用戶才能夠進入服務器,而網絡用戶是無法通過普通的遠程登錄進入服務器的,從而保證了服務器的登錄安全。

二、網絡安全防御系統采用安全操作系統的要求

在整個防御系統的所有服務器中要使用安全操作系統,該系統應具有以下多種安全特性。

1.登錄控制

我們將登錄控制分為基于IC卡的本地系統登錄控制和基于安全存儲介質的遠程登錄系統控制。目的都是使不合法用戶不能登錄進某一系統,從而避免不合法用戶對系統造成安全事故。

(1)基于IC卡的本地系統登錄控制

整個系統有一個發卡中心。發卡中心為用戶生成用戶卡,持有用戶卡的用戶可以在一定范圍(由發卡中心限制)的計算機上登錄。持有root身份用戶卡的系統管理員可以在每臺計算機上動態的控制每一個用戶在該機上的登錄訪問。

(2)基于安全存儲介質的遠程登錄系統控制

登錄控制是系統安全中最基本的一個環節,它是一個系統的門戶,一個好的登錄控制系統可以有效的阻擊大部分的入侵者的攻擊。Chinissh-0.1是一個基于安全shell(SSH1.0. SSH2.0 )協議的遠程登錄軟件,它可以實現在不安全的信道上進行安全的通信。主要是通過在網絡上將信息以密文形式傳送達到安全目的。

2.進程權限控制

程序權限控制是系統中防止非法使用的第一道防線,Chini-os特權控制用戶界面向系統安全員SSO提供操作,維護系統中文件和用戶特權的接口。SSO首先要通過身份驗證才能使用此界面。

Chini-os特權控制用戶界面有如下4個功能:

(1)用戶程序對系統調用的訪問。

(2)為系統中每一個可執行的程序分配其系統調用訪問權限。

(3)為每一個用戶分配其使用的系統調用訪問權限。

(4)兼容現有應用程序。

3.系統完整性保護

Chini_FID是系統管理員和用戶監視被指定保護文件或目錄是否發生改變的完整性檢測工具,利用這個工具可以檢測系統被保護文件是否遭到惡意的破壞,包括文件的刪除、添加和修改,比如攻擊者是否在某個應用程序中駐留了“特洛伊木馬”,是否修改了某個文件的屬性等。管理員可以隨時對系統進行檢測也可以向系統提交定時任務定時對系統進行檢測,Chini_FID可以將檢測結果以郵件方式通知管理員哪些文件發生了改變,以便及時采取控制措施避免損失。

4.加密模塊

加密模塊分為用戶空間通用加密接口和核心空間加密模塊。分別用于用戶態和核心態模式。

(1)用戶空間通用加密接口

Chini Sec Interface可用于各種計算機安全應用,它介于各種應用系統和各種算法模塊之間,對上層應用簡化了各種安全接口、對下層算法模塊做出了相應的規范。利用Chini Sec Interface,開發應用的軟件商可以專注于應用系統的開發,無須過多地考慮算法,可在不修改應用的情況下方便地變換算法;生產算法的廠商可專注于算法的軟硬件實現,無須考慮各種應用的實現。

(2)核心空間加密模塊

核心模塊加解密時調用算法管理模塊函數,算法管理模塊再調用各種算法函數,通過這些算法函數完成加解密功能。

5.網絡安全

IP安全由IPSEC實現,己知的IPSEC具體實現有Xkenel和Frees/wan等,目前采用Frees/wan的1.5版。IPSEC功能如下:

(1)實現IP層的安全,保護IP數據包的安全。

(2)保障主機和主機之間、網絡安全網關(如路由器、防火墻)之間、主機和安全網關之間的數據包安全。

(3)實現對IP數據包的加密保護、鑒別驗證、完整性保護、抗重播等。

6.加密文件系統

對于安全敏感數據,必須采取安全的存儲方法保證數據的安全。我們的加密文件系統能夠對該文件系統中的文件提供加密保護,不知道口令的人不可能裝載該文件系統,主機或硬盤丟失后,其他人不能讀取其中的數據。

7.安全審計

在Linux日志系統的基礎上,采用密碼體系中的認證技術,在系統產生日志文件的同時產生相應的保護文件Mac文件,日志系統每產生一條日志記錄,在相應的Mac文件中就有此記錄的Mac項,來對日志文件提供完整性保護。安全審計的功能表現在:

(1)產生日志文件。

(2)使用完整性驗證程序可以驗證系統日志文件和備份日志的完整性。

(3)可以處理和分析系統日志。

三、周期性的安全掃描

由于網絡環境中的設備多種多樣,僅依靠安全操作系統并不能保證所有設備的安全性,所以需要定期對網上的各種設備實施安全掃描,來發現設備的軟件實現中存在的可被攻擊者利用的漏洞,以便及時彌補。安全掃描的基本工作原理就是模擬攻擊,一旦攻擊成功,就意味存在漏洞。

安全掃描的另一部分就是病毒防治功能。通過定期或是非定期的病毒掃描,防止病毒的進入和漫延。通過實時網上病毒掃描和防病毒軟件的定期升級功能,防止引入新的病毒。

通過以上的網絡,數據,以及系統三方面的種種安全技術手段,結合相關的安全產品,我們為校園網提供了一個完整的網絡安全防御系統的解決方案,以達到保護自己的網絡信息系統安全性的目的。

參考文獻

篇3

關鍵詞 校園網絡;網絡安全;原因;防范措施

中圖分類號TP39 文獻標識碼A 文章編號1674-6708(2014)121-0230-01

1 影響高校數字網絡安全的常見問題及其原因

目前,我國很多高校通過發展數字校園網絡來實現高校的現代化建設,但制約校園網絡發展的安全問題不可忽視。隨著近幾年網絡安全事件的頻繁發生,高校校園網也慢慢成為了關注的重點,高校校園網的安全對高校的管理、教學等產生了巨大的影響,解決高校網絡安全問題已刻不容緩。下面筆者就影響高校數字網絡安全的常見問題及其原因進行闡述。

第一,高校學生基本都不夠成熟,網絡安全意識相對薄弱。近幾年,網絡上的釣魚網站、中獎信息到處都是,很多學生都還沒有辨別真偽的能力,學生被騙事件時有發生,高校學生成為了行騙機構的重點對象,而且很多學生想找一份兼職,經不住騙子的誘惑。雖然我國互聯網技術得到了空前發展,但很多學生都不怎么懂得計算機,尤其是來自于一些農村的學生,大多數都沒接觸過電腦,又怎么談其網絡安全意識。據了解,很多高校都沒有具體的關于網絡安全的課程,導致學生網絡安全意識不強,無法辨別網絡上信息的真偽。

第二,部分高校對校園網絡安全沒有好的管理,導致檔案數據泄露。一些高校還沒有認識到網絡安全的重要性,沒有建立完善的網絡安全管理制度,沒有好的評估網絡系統安全性的手段,導致系統存在很多漏洞,大量信息就容易被篡改,甚至有一些重要的文檔資料泄密,影響到正常的辦公,使校園網絡安全受到威脅。

第三,一些計算機容易受到黑客的攻擊?,F在計算機技術發展速度很快,很多計算機安全技術并未被研究出來,從而導致一些黑客利用每一次這樣的機會,研究該系統存在的問題,對網絡系統進行破壞。這種惡意的對計算機網絡進行人為攻擊是網絡安全不可忽視的問題,黑客都擅長于對計算機進行病毒攻擊,由于病毒破壞性、隱蔽性和潛伏性的特征,人們難以對其進行有效的處理,只有等其出現,才去采取有效的手段,只能坐以待斃。

第四,校園網容易受到病毒感染。一些教職工和學生在使用多媒體時,網絡安全意識不夠強,在U盤插在電腦上復制資料時,沒有先檢查自己存儲器,導致有時候將病毒帶入學校電腦,從而影響數字校園網絡的正常使用,嚴重時使學校重要資料、檔案外泄,甚至導致整個校園網絡系統崩潰,嚴重干擾學校的管理與正常教學。

2 高校數字校園網絡安全系統的設計方案

目前,完全解決數字校園網絡的安全隱患是不可能的,因為開放的、虛擬的和自由的網絡使人們無法預知將會發生什么。為了有效的保護校園網絡,需要結合多種防護策略來實現。下面筆者就網絡安全問題闡述一下幾種方案。

第一,學校應該多開設關于網絡安全的課程,加強對學生網絡安全知識教育,提高學生的網絡安全意識,讓學生學會辨別網絡陷阱。同時,加強對數字多媒體的管理,讓學生與教職工能夠安全的使用校園網絡,避免有計算機病毒侵入學校網絡管理系統,從而給學校的管理和教學帶來不便。曾經就有人認為解決校園網絡安全問題必要先提高學生的網絡安全意識,這一點足以說明提高學生的網絡安全意識是多么的重要。

第二,對學校的網絡系統進行有效的管理,防止系統漏洞對網絡造成不可估量的損壞。對此,學校可以加強對校園網絡安全的風險評估,網絡安全評估能夠有效的預測網絡系統可能受到危害的風險的大小,還能估計其帶來的影響。而且它還能夠對網絡系統進行全面掌控,能夠及時發現系統漏洞并有效的進行處理。要實現這一技術,需要結合檢測網絡漏洞、模擬網絡攻擊和對服務進程進行報告等技術,從而達到最大可能的降低校園安全隱患,幫助學校控制、管理好網絡系統。

第三,對學校的電腦安裝有效的安全衛士,并采用防火墻技術,盡可能大的消除網絡安全風險。在數字校園的背景下,利用防火墻的技術,可以防止數字校園平臺的出口被不法侵入,從而從根本上解決病毒從外面入侵的風險。同時,對校園網的資料進行加密技術,這樣做可以很好的防止網絡資料的泄露,并減小被篡改的可能性。對網頁設置訪問控制,從而保護校園網上的資源被非法使用。對此,可以采用身份認證的措施,對訪問進行有效的管理,從而控制訪問權限。

第四,學校應該建立完善的校園網絡管理制度,這一點能夠有效的保障校園網絡的安全。同時組織學生對制度進行學生,加強學生對網絡安全的認識,這對解決校園網絡安全至關重要。目前,很多高校都缺少專門針對校園網絡安全的制度,因此,在一些高校建立網絡管理制度已經刻不容緩。

3結論

現如今,計算機網絡技術飛速發展,數字校園已成為許多高校共同關注的話題,對提高學校的教學水平和綜合實力產生了深遠的影響。現在數字化校園網絡安全是一個不容忽視的問題,保障校園網絡安全既要有完善的管理措施,又要采取一些防毒軟件、防火墻等技術。因此,只要我們合理的使用網絡,不斷了解網絡安全的防范措施,才能真正保障校園網絡的安全。

參考文獻

[1]任戎.淺談高校數字校園建設[J].網絡安全技術與應用,2009(5).

篇4

關鍵詞:校園網;方案;設計

1 綜述

云南體育運動職業技術學院一期校園網網絡是為了將分散在云南體育運動職業技術學院一期各棟大樓的各個班級、辦公室及各訓練網點集中到一個集中傳輸、集中監管的統一網絡平臺。

云南體育運動職業技術學院一期校園網網絡建設是保證云南體育運動職業技術學院各個部門履行職能的關鍵,實現云南體育運動職業技術學院日常管理、工作的信息化,實現云南體育運動職業技術學院總系統與各個子系統之間的信息交換,實現多途徑的對外信息,實現與因特網信息門戶信息的同步等功能。

方案作為云南體育運動職業技術學院一期校園網網絡系統的建設方案,為一框架型系統方案。

本次方案建議以國際通用標準為依據,結合市場需求和現有條件,網絡的建設原則是高速、高帶寬、高可靠性、技術先進、簡單實用、節省投資。

2 總體方案設計

2.1需求分析

云南體育運動職業技術學院一期校園網網絡分布在7棟大樓內;樓內已有部分布線;云南體育運動職業技術學院一期校園網網絡應能連接到Internet;主干1000M光纖、10/100M到桌面;保護原有設備,使之能在新大樓繼續使用;采用TCP/IP網絡協議組網;易管理、易維護;提供QoS保證;要求支持IP Multicast ;價格低廉。

2.2 網絡方案設計

2.2.1 系統設計原則

在系統設計時,主要應遵循以下原則:

實用性:建設網絡系統是一項工程,而不是一項純理論研究,因此應該注重經濟實用。本方案的設計應充分滿足系統現階段應用功能和性能要求及可預見的增長需求,在保證系統安全可靠的前提下,盡可能選用物美價廉的產品。

先進性:計算機網絡系統的結構比較復雜,只有具備足夠先進性的總體設計,才能保證分步實施過程中仍能保持技術領先。本方案的設計宗旨是“立足今日,著眼未來”,在保證技術成熟的前提下,充分利用先進技術,滿足現有需求,考慮潛在擴充。在設計中順應主流技術發展,采用最先進的技術和設備,確保網絡的高性能,同時也要采用成熟的技術,保證網絡設備的穩定。

可靠性:主要從網絡拓撲結構、網絡設備和中心主服務器系統的可靠性來考慮。對于網絡中心交換機,由于它在整個網絡環境中最為關鍵,因此,需要考慮其冗余措施(或能力),根據資金情況可以選擇實現電源、風扇、交換核心引擎等的冗余。

安全性:寬帶網絡系統是一個復雜的應用整體,系統應能提供一定的安全手段防止系統外部成員的非法侵入以及操作人員的越級操作,保護網絡建設者的合法利益。

可擴展性:網絡的方案中需充分考慮系統的擴展性,使得系統具有充分的機制。方便各網點的擴展、業務量和業務種類的擴展,保證建設完成后的網絡在向新的技術升級時,能保護現有的投資。

開放性和標準化:對計算機網絡系統而言,建立一個可靠、高效、靈活的計算機網絡,不僅著重考慮數據信息能夠訊速、準確、安全、可靠地交換,還要考慮同層次網絡互聯,遠程分部的互聯,以及與相關信息系統網際互聯,以充分共享資源。這些需求體現在系統設計上就是網絡的開放性與標準化,既要求易于內部連接和外部通訊,又要求網絡設備要具有與其它廠家設備互操作的能力。

易管理性:隨著網絡規模的不斷擴大,網絡的管理越來越重要,管理的事務也越來越復雜??梢酝ㄟ^圖形化的配置對網絡進行虛網劃分,設置各子網的訪問權限,簡化網絡的管理。用戶應能在中心機房通過網管工作站上友好的圖形界面,實施網絡的動態監測、配置、數據流量的分析等。

2.2.2 云南體育運動職業技術學院一期校園網網絡拓撲結構設計

主干計劃采用1000M光纖,并使用超5類線到桌面;共7棟樓;每個班至少配置2個信息點;

云南體育運動職業技術學院一期校園網網絡拓撲(略)。

2.2.3 云南體育運動職業技術學院一期校園網網絡Vlan、子網設計

云南體育運動職業技術學院一期校園網網絡內有多個子網的需求,如:各個班級端口、財務端口、辦公端口、管理端口等等。

各個子網如果獨立建設的話,無疑將造成資源的浪費,也使網絡的高帶寬無用武之地。因此采用全網劃分Vlan的方法無疑是最合適的子網建設方法。

要在全網實施跨樓層,跨設備的Vlan子網,需要全網交換機支持802.1Q標準的Vlan,并能支持足夠數量的802.1Q標簽。

每個Vlan可以是一個私有IP網段,如:172.16.56.0/24段,并在中心交換機上實施各個Vlan子網之間的路由和ACL訪問控制。

2.2.4廣域網安全連接設計

云南體育運動職業技術學院一期校園網網絡的廣域網安全連接主要就是Internet寬帶接入。

Internet寬帶接入:使用中國電信通過的商務光纖的Internet接入方式,配置一臺路由器就可用于Internet寬帶接入,而安全性則可以交給防火墻來實施。

Internet寬帶接入設備配置(略)。

3 產品選型及價格構成

根據學院的需求及財務狀況,設備選用了在校園網中已有多年經驗的神州數據品牌。其價位和性能剛好可以滿足本方案的要求。

3.1 網絡設備:(略)

3.2 光纖產品:(略)

3.3 德國KRONE綜合布線產品(略)

4 小結

本方案為一低價網絡實施方案,根據學院實際需求而定制的一個框架型結構方案,有很強的拓展性和可操作性,因價格偏低,因而有很強的實用性。

參考文獻

[1]廖常武,等.校園網組建――“校校通”工程系列[M].清華大學出版社,2005.

[2]黃勇,等.校園網應用技術[M].清華大學出版社,2005.

篇5

關鍵詞 虛擬局域網;校園網絡;安全體系

中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0202-02

1 網絡安全體系的定義

通常情況下,為了能夠保證校園網絡運行的安全穩定,校園網的大部分數據資源都只允許在內部中完成訪問。例如校園網絡的OA系統、校內郵件系統等等,這些系統的訪問和使用都必須在校園網內部操作,嚴重制約了教師、學生在個人家庭中通過訪問校園網來收取學校通知、查看個人成績、瀏覽校園新聞等功能。如果校園網內部應用服務器一旦發生了故障,如果專業管理人員此時也沒有在學校時,就無法完成對校園網的維護操作,如果部分教師由于需要出差完成科研交流等工作時,也無法查看關于科研項目的校內數據資源。

網絡安全體系指的是一套完整的計劃設計,主要包括能夠為網絡用戶提供安全穩定的服務;能夠保證網絡中所有系統的正常運行服務;對網絡中系統的安全級別提出要求并完成設置。一套完整的網絡安全體系中的必備設計原則有數據傳輸安全、計算機系統安全、網絡用戶安全、網絡管理安全、物理架構安全等等,既要能夠對惡意的外界入侵行為進行制止,還要能夠同時應對網絡中的其他安全威脅。

2 虛擬局域網關鍵技術

2.1用戶認證技術

虛擬局域網中的用戶身份核實確認大部分都是通過用戶認證技術實現的,對系統用戶進行相應授權之后能夠保證控制訪問資源。一般情況下,網絡認證協議采用的都是報文摘要技術,主要是用于驗證數據信息的完整性和對用戶身份進行認證,通過利用哈希(HASH)函數將數據報文的長度進行一系列變換,使其能夠成為固定長度的報文摘要,但是由于哈希函數自身的特性又難以在不同的報文信息中將報文摘要變換成固定長度。

2.2數據加密技術

虛擬局域網數據傳輸的過程中主要應用的是數據加密技術,來實現對數據的偽裝和隱藏。但是,如果在傳輸的過程中數據信息經過互聯網產生了安全威脅,那么即使已經通過了用戶認證,也不能保證數據信息的安全傳輸。因此,在網絡發送端應該將用戶認證進行加密之后再完成數據信息的傳輸,在網絡接收端通過用戶認證之后再對數據信息進行解密。密鑰類型主要包括對稱加密和非對稱加密兩種,在實際應用中大多數采用的都是對稱加密措施,如果是機密數據信息則采取公鑰加密技術。

2.3訪問控制技術

訪問控制技術主要是對用戶是否能夠對系統發起訪問進行控制,運行具有相應授權的用戶訪問系統資源,對沒有授權的用戶對系統資源發起訪問和獲取時立刻進行阻止。

3 校園網絡安全體系設計

本文設計提出的基于虛擬局域網技術的校園網絡安全體系設計方案主要是為了解決某高校老校區與新校區之間信息互通、資源共享、專網整合的問題,由此構建出一條專用的虛擬局域網安全通道,從而保證這些重要數據資源能夠在校園網中安全穩定地傳輸。

3.1系統設計原則

1)安全保障

虛擬局域網系統的重要職能就是保證網絡的安全穩定,以及在互聯網傳輸過程中數據信息的安全可靠,因此,虛擬局域網系統的安全保證必須包括用戶身份認證、數據信息保密和數據信息完整。

2)多平臺兼容

虛擬局域網系統的關鍵功能就是要保證用戶不受時間和地域的限制對系統資源發起訪問,以及當用戶進行移動辦公時要保證網絡連接的安全可靠。

3)訪問控制權限

校園網的虛擬局域網系統主要是為多個應用程序提供保護的,因此要設置不同的用戶訪問控制策略,使得擁有不同權限的用戶能夠訪問相應的系統資源。

4)平臺管理簡潔

虛擬局域網服務器應該為用戶和系統管理員提供良好的應用管理操作界面,在方便用戶對系統資源進行訪問操作的同時,還要保證系統管理員的安全維護操作簡單便捷,更要為服務器與用戶之間的通問、安全日志等做好記錄。

3.2系統功能模型

根據校園網絡的實際安全需求和虛擬局域網系統的設計原則,虛擬局域網系統的功能模型主要包括用戶身份認證模塊、數據傳輸模塊、訪問控制模塊和系統管理模塊。

1)用戶身份認證模塊

虛擬局域網系統客戶端通過采取數字證書的認證方式對用戶身份進行核實;服務器對系統客戶端進行認證時需要采取不同的認證方法,如果用戶通過遠程網絡連接到虛擬局域網中,服務器則采用用戶名+密碼的認證方式對用戶合法身份進行識別,在校園網內部則采取數字證書的方式對用戶身份進行識別。

2)數據傳輸模塊

數據傳輸模塊的主要功能是采取相應加密算法對數據進行加密之后傳輸給接收方,以及對接收到的數據進行解密。

3)訪問控制模塊

訪問控制模塊主要是根據已經設置完成的訪問控制策略來控制系統中的資源是否能夠被用戶進行訪問和操作。

4)系統管理模塊

系統管理模塊主要負責對虛擬局域網系統服務器的日常服務信息進行記錄,包括訪問日期、訪問時間、網絡使用情況等等,并生成對應的日志報告。

3.3系統詳細設計

本文提出的基于虛擬局域網技術的校園內部網設計方案如圖1所示。

學校的新校區和老校區之間通過采用虛擬局域網技術,建立起一道校園內部虛擬局域網通道,將新校區與老校區利用光纖實現網絡連接,將網絡的出口端設置在新校區。校園網中的財務管理系統、人事管理系統和一卡通管理系統都需要通過同一個鏈路與新校區進行連接,因此,我們采用虛擬局域網網絡安全標準對鏈路進行數據加密,從而保證通過這條鏈路傳輸的數據能夠安全可靠。

校園網中的一般用戶的訪問控制策略安全級別的設置可以相對較低,一般用戶安全級別如果設置過高則會耗費大量的系統資源,造成無法訪問或網絡癱瘓的情況出現。對于校園網中的財務管理部門、人事管理部門和后勤服務部門來說,應該采取兩層架構隔離的方法接入到校園網中,再通過內部網關協議與核心交換機連接,從而保證在新校區與老校區之間實現數據加密傳輸。

4結論

綜上所述,本文從校園網實際需求角度出發,將虛擬局域網技術應用到校園網建設當中,提出了一套校園網絡安全體系設計方案,能夠有效保證新校區與老校區之間的數據通信、數據共享和數據整合安全,具有較強的理論指導意義。

參考文獻

篇6

【關鍵詞】校園網;需求分析;設計方案;網絡安全

一、校園網組建的需求分析

校園網在信息服務與應用方面應滿足以下幾個方面的需求:學校主頁。學校應建立獨立的WWW服務器,在網上提高學校主頁等服務,包括學校概況、資訊中心、教學科研、組織機構、招生就業以及聯系方式等查詢類服務。同時考慮到師生之間共享軟件,校園網還應提供文件傳輸服務(ftp)。文件傳輸服務器上存放各專業教學課件及各種各樣自由軟件和驅動程序,師生可以根據自己需要隨時下載。校園網還應提供多媒體輔助點播教學兼遠程教學即要求具有數據、圖像、語音等多媒體實時通訊能力;并在主干網上提供足夠的帶寬和可保證的服務質量,滿足學生同時訪問時對帶寬的基本需要。

二、校園網總體設計思路

校園網在分層布線主要采用樹型結構;每個房間的計算機連接到本層的集線器或交換機,然后每層的集線器或交換機在連接到本樓出口的交換機或路由器,各個樓的交換機或路由器再連接到校園網的通信網中,由此構成了校園網的拓補結構。校園網采用星形的網絡拓撲結構,骨干網為100M速率具有良好的可運行性、可管理性,能夠滿足未來發展和新技術的應用,另外作為整個網絡的交換中心,在保證高性能、無阻塞交換的同時,還必須保證穩定可靠的運行。因此在網絡中心的設備選型和結構設計上必須考慮整體網絡的高性能和高可靠性。傳輸介質也要適合建網需要。在樓宇之間采用100M光纖,保證了骨干網絡的穩定可靠,不受外界電磁環境的干擾,覆蓋距離大,能夠覆蓋全部校園。在樓宇內部采用超5類雙絞線,其連接狀態100m的傳遞距離能夠滿足室內布線的長度要求。網絡建設的一項重要內容是網絡管理,網絡的建設必須保證網絡運行的可管理性。在優秀的網絡管理之下,將大大提高網絡的運行速率,并可迅速簡便地進行網絡故障的診斷。同時還要遵循安全性原則,信息系統安全問題的中心任務是保證信息網絡的暢通,確保授權實體經過該網絡安全地獲取信息,并保證該信息的完整和可靠。網絡系統的每一個環節都可能造成安全與可靠性問題。第三個原則是靈活性和可擴充性:選擇網絡拓撲結構的同時還需要考慮將來的發展,由于網絡中的設備不是一成不變的,如需要添加或刪除一個工作站,對一些設備進行更新換代,或變動設備的位置,因此所選取的網絡拓撲結構應該能夠容易的進行配置以滿足新的需要。第四是穩定性和可靠性,可靠性對于一個網絡拓撲結構是至關重要的,在局域網中經常發生節點故障或傳輸介質故障,一個可靠性高的網絡拓撲結構除了可以使這些故障對整個網絡的影響盡可能小以外,同時還應具有良好的故障診斷和故障隔離功能。

校園網網絡整體分為三個層次:核心層、匯聚層、接入層。為實現校區內的高速 互聯,核心層由1個核心節點組成,包括教學區區域、服務器群;匯聚層設在每棟樓上,每棟樓設置一個匯聚節點,匯聚層為高性能“小核心”型交換機,根據各個樓的配線間的數量不同,可以分別采用1臺或是2臺匯聚層交換機進行匯聚,為了保證數據傳輸和交換的效率,現在各個樓內設置三層樓內匯聚層,樓內匯聚層設備不但分擔 了核心設備的部分壓力,同時提高了網絡的安全性;接入層為每個樓的接入交換機,是直接與用戶相連的設備。本實施方案從網絡運行的穩定性、安全性及易于維護性出發進行設計,以滿足需求。

三、綜合布線設計

綜合布線特點主要表現為它的實用性、功能性、先進性、靈活性、方便性、可靠性、擴展性、開放性、標準化、經濟性和生命周期,而且在設計、施工和維護方面有一定的便利性。

實用性:實施后的校園網控制系統,其所有的子系統,諸如綜合布線系統,數據 通訊,都滿足國際標準,具有良好的用戶使用界面。并且,網絡管理功能完善且方便使用。功能性:為校內教師提供快捷、開放、易于管理的數據信息基礎傳輸平臺,為實現無紙化辦公創造條件,及時傳遞可靠、準確的各類重要信息,最終實現辦公自動化系統(OA)。

先進性:布線系統應適應綜合布線技術發展的潮流,能為數據及高清晰圖像信息 提供高速及寬帶的傳輸能力,適應異步傳輸模式(ATM)。各性能指標滿足支持高帶寬的100M、1000M以太網和異步傳輸(ATM)應用,滿足寬帶綜合業務數字網(B-ISDN)的要求,支持復雜的多任務的ISDN、DDN、xDSL、X.25等分組交換接入應用,能實現校內各教學樓、辦公樓與Internet等全球信息高速公路接軌的需求。布線系統要既能滿足現階段應用的需要,也能滿足未來多媒體大量的聲音、圖像、數據傳輸的需要。

方便性:設備變遷時要有高度的靈活性、管理的方便性,能在設備布局和需要發生變化時實施靈活的線路管理,能夠保證系統很容易擴充和升級而不必變動整體配線系統,能夠提供有效的工具和手段,以簡單、方便地進行線路的分析、檢測和故障隔離,當故障發生時,可迅速找到故障點并加以排除。

可靠性:具有對環境的良好適應能力(如防塵、防火、防水),對溫度、濕度、電磁場以及建筑物的振動等的適應能力。系統可方便地設置雷電、異常電流和電壓保護裝置,使設備免受破壞。

擴展性:適應未來網絡發展的需要,系統的擴充升級容易。系統不僅能支持現有常規的計算機網絡、電腦終端、電話、傳真、攝像機、控制設備等通信需要,而且能支持未來的語音、視頻、數據多網融合的局域網技術和接入網技術,具有適應未來需求,平穩過度到增強型分布技術的智能型布線系統。

四、網絡安全與管理

校園網的安全威脅主要來源于兩大塊,一塊是來自于網內,一塊來自于網外。來源于網內的威脅主要是病毒攻擊和黑客行為攻擊。根據統計,威脅校園網安全的攻擊行為大概有40%左右是來自于網絡內部, 如何防范來自于內部的攻擊是校園網網絡安全防護體系需要重點關注的地方。

計算機網絡安全受到的威脅包括: “黑客”的攻擊;計算機病毒;拒絕服務攻擊 。為保障網絡的安全,在不改變原有網絡結構的基礎上實現多種信息安全,保障校園內部網絡安全,我們應選購一套網絡安全防范設備,即瑞星殺毒軟件網絡版,具有超強病毒查殺、智能主動防御、增強型全網漏洞管理等功能。同時還應安裝瑞星企業級防火墻,瑞星全功能 NP防火墻整合了多種安全防護功能,是建構中小型企業網絡的最佳選擇。三是將瑞星入侵檢測系統作為一種防火墻的合理補充,入侵檢測技術能夠幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應) ,提高信息安全基礎結構的完整性。

參考文獻

篇7

關鍵詞:校園網;網絡安全;邊界網

中圖分類號:TP393.08 文獻標識碼:A文章編號:1007-9599 (2011) 20-0000-01

Campus Network Security Export System

Li Caixia

(Henan Industry and Trade Vocational College,Zhengzhou450012,China)

Abstract:This paper analyzes the current university campus network exports a common problem,to address these issues,to explore the campus network security technology,hoping to build the campus boundaries to provide a high network bandwidth,security,smart,easy to manage campus network border network design.

Keywords:Campus network;Network security;Border Gateway

一、校園網建設、現狀與安全需求分析

20世紀80年代以來,世界上幾乎所有發達國家都已經建成了國家級的教育和科研計算機網絡,并相互連成覆蓋便于的國際性學術計算機網絡。這種便于計算機信息網絡環境,從根本上改變并促進了他們之間的信息交流、資源共享、科學計算和科研合作,成為這些國家教育和科研工作最重要的基礎設施,從而促進了這些國家教育和科研事業的迅速發展。在這種情況下,1994年,國家計委正式批準“中國教育和科研計算機網CERNET示范工程”項目可行性報告,截至1994年底,CERNET主干網傳輸速率達到2.5-SGbpS,成為世界上最大國家級公益性計算機互聯網。

校園網的建設也因CERNET的發展而得到了快速的發展。為充分利用優質教育資源,全國各個高校都建立了自己的校園網,通過接入中國教育科研網和與Internet的互聯,實現網絡通信和資源共享。校園網絡作為學校重要的基礎設施,擔當著教學、科研、管理和對外交流等學多角色,它具有聯結形式的多樣性、終端分布不均勻性和網絡的開放性和互聯性等特征,這些特征帶來了高校網絡具有較高的復雜性,如何構建高性能、高帶寬高、能支撐多種業務、安全、可靠、可管理的校園網絡是高校建設部門普遍關心的重要問題。

隨著網絡應用的普及,網絡用戶不斷增加,網絡安全出口問題越來越明顯,從而引起國內外專家和學者的廣泛關注。國外目前校網出口瓶頸和安全問題主要表現在幾個方面:(1)有限出口帶寬和無限需求的矛盾,隨著網絡規模的日益擴大,校園出口的帶寬遠遠不能滿足用戶的需求;(2)現在大部分高校都采用了雙出口或者多出口設計,就是同時接入教育網和公網,但是在多出口情況下,如何保證各條鏈路帶寬的充分利用,是各個高校需要解決的主要問題;(3)隨著P2P技術的不斷發展,在線網絡視頻,在線下載日益普及,迅雷、PPLive、BT、電驢等軟件被校園網用戶大量使用,這些軟件的使用搶占了大量的出口帶寬資源,導致大量無效流量占據大部分有限的網絡資源,使得正常工作學習受到影響;(4)近幾年來,隨著校園網規模的不斷擴大,面臨的威脅也越來越大,校園網主頁被掛馬、被篡改,各類來自外網或者內網的病毒、木馬、惡意軟件和垃圾郵件的惡意掃描、入侵和攻擊,網絡威脅造成的危害和影響也越來越嚴重,校園網網絡出口的安全防御設備面臨著空前挑戰;(5)移動辦公遠程訪問面臨挑戰。目前高校的遠程訪問學校內部資源和應用的需要變得越來越迫切。如領導出差、學生放假、家住校外的教職工都需要在校園外部通過公網訪問校園網內部辦公系統及內部資源,這就需要構建既能實現遠程訪問,又能做好安全控制的校園網出口,這也給如何構建校園網出口帶來新的挑戰;(6)隨著對學生上網實行收費,網絡出口認證影響了訪問速度,如何構建計費認證系統,也是網絡出口需要研究的問題。

校園網絡內部部署了眾多的網絡設備、服務器,保護這些設備的正常運行,維護主要業務系統的安全,是校園網絡的基本安全需求。滿足基本的安全要求,是網絡成功運行的必要條件,在此基礎上提供強有力的安全保障,是校園網絡系統安全的重要原則。對于各種各樣的網絡攻擊,如何在提供靈活且高效的網絡通訊及信息服務的同時,抵御和發現網絡攻擊,并且提供跟蹤攻擊的手段,是校園網需要解決的問題。在對出口等重點區域進行安全部署的同時,必須更加全面的考慮安全問題,使整個網絡從設備級的安全上升一個臺階,擺脫僅僅依靠局部來加強某個單點的全強度的手段。

二、網絡安全體系建設規劃

校園網絡出口作為校園網與因特網連接的重要橋梁,伴隨的高校規模的不斷擴大,校園網出口瓶頸問題和出口的安全問題日益嚴重,如何較好地解決校園網出口瓶頸問題和出口的安全問題,保證對網絡出口進行有效地訪問控制并使其具有安全防御功能,成為各個高校在網絡建設規劃中需要解決的重要問題之一。(1)對于出口進行規范統一的管理,使校園網絡安全體系能夠得以實施。為校園網的安全提供最基礎的保障;(2)終端安全防范措施,采用合理的網絡安全出口拓樸結構,提高網絡安全性能,包括出口區域、數據中心、服務器區域等;(3)整合CERNET(中國教育科研網)及本地ISP(Internet Service Provider)提供的網絡資源和條件,使多出口接入Internet的優勢得到最大程度的發揮,也即充分利用CERNET分配的IP地址資源和本地ISP的高速出口帶寬資源;(4)進行合理的網絡審計、計費、管理功能系統設計;(5)基于防火墻的入侵檢測系統設計。(6)流量均衡問題,在多條鏈路上根據一定策略進行合理的流量分配,提高鏈路資源的利用效率。

最終通過有效合理的安全體系結構,建立一個高帶寬、安全、智能、易管理的校園網。

參考文獻:

[1]陳建.多出口校園網路由設計與優化分析設計[J].武漢科技學院學報,第19卷

[2]汪剛.多出口校園網路由技術的實現[J].南京工業職業技術學院學報,2004,4

[3]楊新泉,劉勇.基于VPN技術的多出口校園網的設計[J].計算機與網絡,2010,3

[4]黃登璽.防火墻核心技術的研究和高安全等級防火墻的設計[J].計算機科學,2002

[5]Brian Caswell.Jay Beale.James C.Foster.Jeffey Posluns.Snort2.0 Intrusion Deteion[M].Syngress Publishiong,Inc,2003

[6]陸國麗.策略路由在多網絡出口校園網中的應用[J].科技信息,2010,12

篇8

關鍵詞 校園網建設 多出口設計 路由

中圖分類號:TP3 文獻標識碼:A

網絡應用技術的快速發展,給各院校校園網的進一步完善提供了技術條件,為了提高校園網的穩定性和安全性,對于校園網出口普遍采用多鏈路方式,同時還增加了寬帶,多出口寬帶的設計質量直接影響到校園網的運行效率,對其進行研究,具有重要的現實指導意義。

1校園網建設的目標和原則

校園網建設要達到的基本目標是實現信息資源的共享,基于校園網的信息資源共享平臺的建立,不僅能夠提高校內圖書資源的利用率,還能夠通過遠程圖書檢索,充分利用校外資源,為廣大師生創建一個自由、開放的網絡環境,促進現代化網絡教學的實現。校園網建設涉及到網絡規劃、軟硬件建設、網絡擴充等內容,校園網建設應遵循一定的原則,在實用性原則指導下,搭建高效、低成本的校園網絡,確保校園網的可靠性,使校園網能夠穩定運行,此外還要遵循擴展性、安全性等原則。要想達到上述要求,在校園網建設中,應兼顧到技術的先進性和成熟度,鑒于網絡系統具有開放性特點,要想實現網絡互聯,就要遵循共同的標準,而隨著網絡使用規模的擴大,網絡也需要增長,因此在校園網建設中要對用戶需求進行分析和預測,如交換機多采用模塊化結構設計,便于寬帶和端口的擴展。

2校園網多出口寬帶的設計

(1)多出口環境及路由策略

校園網通常有三個出口,即接入教育網、中國聯通和中國電信獲得的出口,這并不是一個簡單的鏈路分配,多出口網絡要充分發揮其在各自鏈路中的特性,充分利用網絡資源,由于校園網的三個出口接入寬帶時會存在明顯的差距,因此要增加寬帶,選擇最優配置路徑,重點要加強內外部流量的管理。多出口路由策略包括基于權重的策略、NAT流量處理策略、智能DNS內部資源訪問策略,第一種路由策略是一種基于數據包IP地址的路由選擇策略,實際上是一種包轉發機制,鑒于校園網出口寬帶不均的特點,要想實現多出口負載均衡,可選擇Array APV設備來實現;第二種路由策略是一種由一個地址域映射到另一個地址域的標準辦法,通過NAT功能將內部網絡中的主機連接到公共域的主機中,即實現了IP地址的共用;第三種路由策略是針對網絡寬帶不足、訪問速度緩慢的問題提出的,為充分利用現有ISP接入優勢而應用智能DNS技術,通過減少路由轉發次數來提高網絡服務質量,該技術能夠對訪問網站的用戶進行準確判斷,然后將網站域名解析為不同的IP地址[2]。

(2)出口的安全設計

校園網建設需要遵循的一個重要原則就是安全性,因此要加強出口的安全設計,首先應加強校園網的出口管理,由于使用寬帶資源需要一定的成本,教育網對一些網址的訪問有一定的限制,為此要對校園網進行多出口寬帶設計,以解決互聯互通、平衡成本的問題,加強出口除了要控制成本支出外,還應依靠先進的技術對出口資源進行分配,對用戶行為進行管理。再有就是出口防火墻的設置,端口級的防護多基于三層防火墻的設置,但是有些攻擊并不是來自這三層,有鑒于此,校園網出口防火墻的設置也不應局限于這三層,應結合實際情況,采取防護措施。最后是對出口流量進行控制,P2P應用會占據大量的寬帶資源,應通過控制設備來對其進行管理,相關技術主要是對寬帶使用進行優化,解決不合理流量占用的問題,同時也能夠在一定程度上減少安全隱患,提高用戶的上網體驗。

(3)多出口設計應用

多出口的網絡訪問容易出現找不到正確回指路由而難以對校內服務器進行訪問的情況,因此,有必要采用基于源地址的路由策略來制定校內服務器的回指路由。為達到真實校園網運行環境的設計要求,現設計核心層、匯聚層、接入層等三層模型,對相對應的核心交換機、匯聚交換機和接入交換機進行設計。對于核心層的設計,鑒于其是校園網絡系統的樞紐中心,應采用千兆以上的高寬帶交換機,以及雙機冗余熱備份設備,同時也可以使用負載均衡功能,對網絡性能加以改善;對于匯聚層的設計,主要分為兩種情況,一種是單臂路由,選用普通的S1841路由器即可,另一種是三層交換器,應支持AS1上VLAN通信;對于接入層的設計,可采用千兆三層接入方式,使其具備線速三層交換等功能,整體設計要對IP地址進行規劃,在此只對內外網路由的設計進行探討,校園網系統比較復雜,并不適宜采用靜態路由,建議采用OSPF路由協議,防止路由回環情況的發生,由于運營商不會提供外網路由的接入節點,對此只能采用靜態路由方式,即在BR上啟用多出口路由策略,然后指向內網。

3結論

結合校園網建設的目標和原則,在校園網建設中,應選取正確的路由策略,實踐證明,多出口寬帶設計不僅能夠有效解決校園網絡多出口的瓶頸問題,而且還使校園網的訪問速度得以提升,由此可見,多出口相對自由的選擇,有利于提升校園網的運行效率。

參考文獻

[1] 郭靜,林琳,肖誠.DNS服務在多出口校園網中的應用[J].電腦知識與技術,2011,10(2):17-19.

篇9

關鍵詞:智慧校園;網絡環境;設計;方案

中圖分類號:G434 文獻標識碼:A 文章編號:1009-3044(2016)17-0263-03

Abstract: In reviewing the achievements of campus information construction of Anqing Normal University in 12th Five-Year, the existing problems and challenges are analyzed. Combined with cloud computing, mobile Internet, Internet of things, virtualization and other technologies, construction objectives of Smart campus are proposed, the application of key technologies in the construction of smart campus network environment are studied, network structure optimization, the implementation of wireless network coverage planning programs are designed, carrying all kinds of things in the network support platform and a one-stop intelligent information management platforms are built. It provides a design scheme for the construction of the campus information network environment during 13th Five-Year.

Key words: intelligent campus; network environment; design; scheme

1 概述

基于云計算、物聯網、虛擬化等技術的綜合運用,智慧校園是數字校園的擴展與提升,是學校信息化發展的高級階段。智慧校園通過與物聯網相融合,實現對人、財、物等環境的主動感知;通過與無線網絡的相融合,實現網絡的無縫互聯;通過提供的統一、便捷、智能化的信息應用和資源,實現個性化服務;通過校園網內外環境的融合開放、資源支持和空間拓展,構建開放的網絡環境。網絡環境的規劃與建設是智慧校園的基礎平臺,本文在回顧安慶師范大學數十年信息化建設綜合成就的基礎上,面向十三五規劃,研究并分析智慧校園網絡環境的設計與實現。

安慶師范大學校園網絡為扁平化大二層結構,網絡主干萬兆互聯,有線網絡全校覆蓋,無線網絡覆蓋全校教學辦公區域;全網交換機超過350臺,校園網各類服務器超過80余臺,信息點超過12000個,無線AP近714個,注冊用戶數30000人;校園網絡提供四個出口(中國電信、中國移動、中國聯通、教育科研計算機網絡(含IPV6)),總帶寬5.5G;提供DNS、WWW、E-Mail、VPN、FTP、VOD、OA、教務管理系統、科研管理、圖書管理系統、學生管理系統、財務管理系統、國有資產管理系統、網絡教學平臺等應用服務;網絡出口部署萬兆防火墻、上網行為審計系統、網絡管理平臺、身份認證計費系統等;2015年6月,校園信息門戶(統一身份認證系統)和移動信息門戶順利上線,基本實現全校用戶數據共享和應用系統的信息融合。2015年12月,新建的150平方米標準機房正式投入使用,為智慧校園網絡平臺安全穩定運行提供了可靠的保障。

校園網絡拓撲結構如圖1所示。

圖1 校園網絡拓撲結構

2 存在的問題與面臨的挑戰

教育部《教育信息化十年發展規劃(2011―2020年)》提出的“推進信息技術與教育深度融合,以教育信息化帶動教育現代化”;安徽省政府《安徽省教育信息化中長期發展規劃(2013―2020年)》高等教育信息化發展預期目標:2017年,高等教育“兩平臺”接入安徽教育公共服務平臺;建成高質量的數字資源體系并與教育教學深度融合,科研創新信息化支撐體系基本建成。2020年,人才培養模式不斷創新,人才培養質量顯著提升,利用信息化手段服務社會和傳承文化能力顯著增強。

2015年7月,國務院印發《關于積極推動“互聯網+”行動的指導意見》,互聯網+已上升為國家戰略。2015年7月,清華大學舉辦了“2015智慧校園規劃與建設暨高校信息化峰會”,旨在推動智慧校園規劃與建設創新,為高校信息化建設“十三五”規劃指明方向。

結合安慶師范大學“十三五”校園信息化建設現狀和需求,提出“高感知度 強協作能力的‘智慧校園’作為學校“十三五”信息化規劃建設的重要內容。綜合分析學校支撐智慧校園的網絡環境,還面臨以下挑戰:

大二層網絡架構對核心設備依賴嚴重,單點故障將影響全網,網絡結構有待進一步優化。學校網絡由原來的三層結構改造成大二層網絡結構運行至今,期間,因設備版本自身BUG運行中兩次宕機,導致全網網絡服務中斷,后通過版本升級,問題得以較快解決。

無線網絡全校覆蓋有待進一步優化和拓展。早期四棟教學樓無線網絡AP支持802.11a/b/g,最大帶寬54M,每樓層部署2個AP。AP密度低,帶寬小,用戶體驗較差;少數公共廣場和學生食堂網絡沒有覆蓋,無感知上網存在盲區;學生宿舍區的無線網絡覆蓋有待進一步延伸。

各類專業子網需進一步整合資源,實現集約化管理,構建感知度高、協同能力強的智慧校園一體化網絡平臺。2014年12月,校園視頻監控系統一期工程投入使用,龍山校區已全覆蓋,各類攝像頭940個。二期工程正在建設中,擬覆蓋菱湖校區,各類攝像頭超過200個。建成后的校園視頻監控系統各類攝像頭將達到1200左右,為學校師生員工學習生活提供了有力安全保障。2015年9月,由后勤管理處建設并管理的水電節能監控平臺、由計算機學院建設并管理的水污染在線監控平臺、由生命科學學院建設并管理的江豚研究在線監測平臺等先后上線運行。隨著非技術部門搭建的網絡平臺,如視頻監控系統,節能監控平臺,水污染在線監控平臺,江豚研究在線監測平臺等系統因前期規劃等各種因素與校園網絡的融合存在一定的障礙,如何構建一體化網絡環境,實現智慧校園網絡無縫隙對接顯得尤其重要。

全網IPV6規劃和應用;為開放辦學提供便捷、開放的網絡環境;內外網融合,為校園卡用戶進一步拓展支付渠道等。

3 “智慧校園”網絡環境建設目標

以物聯網、云計算和虛擬化等新興技術為支撐,構建感知度高、協同能力強的智慧校園網絡基礎設施,到2020年,基本建成覆蓋全校的教學、科研、管理信息化環境;整合校內各應用系統,實現優質教學資源共享、數據集中存儲、系統安全穩定運行、信息智能推送、一站式響應服務的信息化支撐體系;進一步提升教育管理信息化水平和公共服務信息化水平,建設師生滿意的智慧校園。

4 關鍵技術設計與實現

結合學校實際情況,分析智慧校園建設存在的問題和面臨的挑戰,研究網絡環境的關鍵技術,提出以下設計方案。

4.1 優化網絡結構,夯實智慧校園支撐平臺

傳統網絡結構主要由核心、匯聚和接入三層構成,該構架的核心層主要負責高速轉發,匯聚和接入層負責用戶接入、相互隔離以及協議終結。網絡維護的主要工作量多集中在匯聚層和接入層,用戶上網行為控制較難,整網精細化管理和控制比較復雜,此類結構對規模越來越大、應用越來越復雜的高校校園網絡的發展構成瓶頸。

考慮到高校校園網絡多業務承載下的高性能、優化網絡構架和業務模式、簡化運維工作量等需求,對傳統的三層網絡結構實施扁平化改造勢在必行:將原來核心、匯聚、接入三層結構從邏輯上變成業務控制層和寬帶接入層兩層構架。

扁平化構架中的網絡核心設備功能是完成用戶業務控制和管理,主要有:ACL、QOS、帶寬控制、認證控制、上網行為控制等,有利于發揮核心設備的高性能、穩定性和可靠性的優勢;匯聚層和接入層提供用戶寬帶接入,只提供VLAN隔離功能,不涉及業務功能,有利于業務部署,同時也增強了匯聚層和接入層設備的通用性(匯聚層設備支持QinQ,接入層設備支持VLAN),簡化了設備管理,尤其是降低了接入層設備的日常維護。兩層構架的網絡層次功能更清晰,并且實現“用戶”級別的管控:用戶的賬號、MAC、IP地址、上線時間及訪問行為可跟蹤、可審計;用戶可訪問的資源權限、對網絡帶寬的占用等,實現了網絡應用的精細化管理,保障重要應用系統的網絡承載,包括安全性、穩定性和可靠性。

為使校園網絡“無處不在,隨處可用”,學校將進一步優化網絡結構,校園網核心雙機雙路虛擬化,核心節點萬兆雙鏈路上行,使智慧校園支撐平臺更加安全、健壯,擬進一步優化的網絡拓撲結構如圖2所示。

圖2 擬進一步優化的校園網絡拓撲結構圖

4.2 構建與有線網絡相互融合、用戶體驗良好的WLAN網絡

為使用戶能便捷地訪問校內各類應用資源,暢享5A服務(Anyone、Anytime、Anywhere、Anyway、Anything),構建與有線網絡相互融合,用戶體驗良好的WLAN網絡,按照“統一規劃,分步實施”的原則,學校無線網絡(AQTCWLAN)項目分三期建設:

一期工程:教學辦公區無線網絡建設,主要覆蓋教學樓、實驗樓、辦公樓、體育場館、會議室、圖書館等區域,為學校教學、科研、管理,學生學習提供無線網絡平臺。

二期工程:學生生活區無線網絡建設,擬主要覆蓋學生宿舍區、食堂等,為學校管理,學生學習、生活、娛樂提供無線網絡平臺。

三期工程:校內公共區域無線網絡全覆蓋。

從1999年至今,無線接入已經歷了四代技術,分別是802.11b,802.11a/802.11g,802.11n,802.11ac,主要終端產品接入速率也從2Mbps,54Mbps,450Mbps到現在的1.3Gbps,最新推出的11ac wave2產品接入速率已達1.7Gbps。

在一期建設中,作為有線網絡的輔助手段,學校部分AP采用放裝模式,使用支持802.11a/b/g/n技術的無線AP,部分場所用戶體驗較差。根據規劃,在二期、三期工程中,將增加AP布放密度,增強用戶在原四棟教學樓的無線感知。增補人員密集區域的無線網絡設備覆蓋密度,延伸無線校園網絡覆蓋范圍,改善用戶的網絡體驗。

由于無線網絡與物理環境、電磁環境、人員密度、用戶需求等因素有較強的關聯,上述因素組合構成了不同的場景,導致無線網絡具有較大的彈性。在設計中,基于現場勘查,無線網絡的規劃設計主要考慮無線覆蓋的合理性、設備運行的可靠性及業務的高可用性。對一些環境面積較大、材質特別或建筑格局非常規場所,如體育館、圖書館、實習車間等場景,可考慮采取抽取樣本區域進行仿真設計。在設計AP位置和數量時,主要考慮以下因素:

保證目標區域人號全覆蓋;

考慮在線用戶數量,即高密環境下保障無線部署;

盡量避免安裝在承重柱、實心障礙物等附近,影響覆蓋;

盡量避免安裝在強烈干擾源附近。

4.3 建設融合并承載各類物聯網的泛在網絡支撐平臺和一站式智能化信息管理平臺

智慧校園對網絡需求是無所不在的連接,即泛在網絡,它能提供給用戶無論何時,無論何地都可以通過合適的終端設備與網絡相連,獲取個性化的信息需求。隨著物聯網技術的快速發展,泛在網絡與物聯網深度融合,通過采用各種不同的技術把物理世界的各種智能體、傳感器接入網絡,實現人與物、物與物、人與人之間按需進行信息獲取、傳遞、存儲、認知、決策、使用等服務。將通信網、互聯網、物聯網之間相互協同融合,具備環境感知、內容感知及智能感知,為用戶和管理者提供泛在的,無所不含的信息服務和應用。

隨著學校事業的快速發展,信息化系統得到廣泛應用,近年來,現代教育技術中心牽頭的一卡通系統從傳輸鏈路、網絡設備、管理系統到中心機房,建設有相對獨立的網絡鏈路;保衛處牽頭建設的校園視頻監控平臺、門禁系統的傳輸鏈路、網絡設備、管理平臺等相對獨立組網;后勤管理處牽頭建設的節能監控平臺通信光纜、網絡設備、服務器、采集器、機房相對獨立組網;水污染在線監控網絡、江豚研究在線監測系統均由相關學院牽頭建設并管理。整合各類資源,建設能融合并承載各類物聯網的泛在網絡支撐平臺和一站式智能化信息管理平臺,提升無縫感知效能是智慧校園網絡環境建設的重要目標。

泛在物聯網融合平臺具有支持第三方應用、終端兼容性好、基于海量的大數據分析和應用定制等特征,其基本構架如圖3所示。

4.4 建立面向業務、面向服務的快響應、高質量協同運維服務體系

為了更好地保障學生公寓網絡運維的可靠性,提高服務效率,解決業務量激增而人手不足的現狀。2015年4月,學校與專業網絡服務公司簽署了“學生公寓網絡維護協議”。維護內容包括樓棟交換機及以下的維護工作,經過半年的運維,整體效果良好,基本沒有學生投訴。

隨著智慧校園網絡基礎設施的逐漸完善,應用系統和最終用戶的快速增加,需要建立快速響應、高質量的運維體系,用于保障全網的安全、穩定、可靠的運行。部門成立運維中心,專業管理外包運維團隊,服務外包范圍將進一步擴大,將包括學生公寓網絡、教學辦公網絡、教工樓網絡、多媒體教室維護等。依托網管和運維軟件,以無線網絡為支撐,開發并運行校園網絡運維APP,改變傳統運維模式,建立面向業務、面向服務的快響應、高質量協同運維服務體系。建立統一的運維平臺后,用戶服務將更加方便快捷,智慧校園支撐平臺將更加完善。

圖3 泛在物聯網平臺構架

5 校本創新點

智慧校園支撐平臺和服務平臺建設重點體現“高感知度”,不僅體現對網絡環境的高感知度,更體現個性化定制服務的高感知度。智慧校園數據平臺和應用平臺重點體現“強協作能力”,各應用平臺和相關數據平臺分屬不同的管理部門,需要各部門通力協作,也只有充分配合,信息充分利用,才能進行智慧分析并做出智慧決策。最終實現“以物聯化、集成化、智能化為主要技術路線,以服務創新為導向,將智慧導入校園各個系統、過程和基礎設施中,將信息化深植與教學、科研、管理和生活的各個方面,全面構建智慧校園?!?/p>

參考文獻:

[1]李盧一,鄭燕林.物聯網在教育中的應用[J].現代教育技術,2010,20(2):8-10.

篇10

3.12是每年植樹節活動日,在這大地回春,世界萬物呈現勃勃生機之際,校團委、學生以植樹節契機,開展“創綠、愛綠、護綠”創意、實踐體驗系列活動。學校要求各班積極宣傳、人人參與,將學習知識與勞動實踐結合起來,增強環保意識,為創建省綠色學校添風采。

二、活動口號

建綠色校園,樹綠色理想

三、活動時間

2011年3月10日-2011年6月1日

四、活動內容與時間安排

1、“植樹節”募捐倡議書(3月10日)

結合周一主題晨會,由值周班級光榮升旗手代表班級全體同學,發出倡議,然后以團委學生代表發表“植樹節”募捐倡議書。

2、綠色環保主題班會(3月11日)

各班在周二下午主題班會上,開展有關“建綠色校園,樹綠色理想”為主題的班會活動,并以班級為單位進行“植樹節”募捐,募捐方式要強調自愿原則。

3、“植樹節”募捐活動(3月12日)

3月12日,廣播操期間,由團委、學生會組織完成“植樹節”募捐儀式;募集的全部資金用于下面的班級綠化大賽;不足部分將由政教處向學校申請補足。

4、室內綠色評比創意設計大賽(3月10日-3月21日)

以班級為單位,班級同學為各自班綠色布置做好設計,設計稿必須圖文并茂,說明設計意圖,書面或電子稿均可。我們將各班綠色創意設計作品到校園網網絡,供教師、學生、網絡游客進行網絡投票,請專業老師評價,評出最佳創意獎、優秀設計獎若干名,給與獎勵。

5、室內綠色實踐活動(3月22日-3月31日)

各班根據室內綠色設計,對班級進行綠色布置,通過購買花、草或者其它美化班級,但是班級布置不可花哨,要得體、美觀大方、經濟實惠。

6、室內綠色實踐養護(4月16日-5月30日)

請大家通過網絡搜索養護綠色生命的知識,也可以通過咨詢行家、有經驗的長輩,增長呵護綠色的知識;保護好教室的環境;確保設計方案全面得到保護。

7、室內綠化檢查、驗收評比(6月1日)

五、獎項設置