对校园网网络规划与设计方案的介绍
2023-10-30
来源:步旅网
考试周刊2009年第33期(上卷)对校园网网络规划与设计方案的介绍梁志强(清远市职业技术学校,广东清远511800)摘要:本文作者对我校校园网的网络规划与设计的方案进行了介绍。关键词:校园网网络规划设计网络安全管理需求设计特点一、校园地理环境我校分为南北两个校区,南区为教学区。包括:i栋教学楼、一栋图书馆、一栋教师办公楼、一栋教工宿舍、两栋学生宿舍;北区为实训中心,与南区相隔一条街道,包括:南北两栋实训楼。二、校园网功能需求学校是以现代化手段堵养人才的地方。为了更好地使计算机及其网络在辅助教学、教学管理等方面发挥作用。我校计划在校内建立校园网,并与国际互联网相连。校园网的信息点应该普及两个校园区所有教学楼的教室.实训中心的电脑室、实训室。教师办公楼,图书馆.宿舍楼等.同时教室办公楼应该提供无线网络接入。校同内每个信息点的电脑都可以相互访问,实现广泛的软件、硬件资源共享;同时每个信息点的电脑都能接入互联网,提供基本的Intemet网络服务功能,如电子邮件、对外个人主页服务、ftp服务、域名服务等。三、校园网网络规划设计1.综合布线结构根据学校的地理位置.各栋建筑物到网络中心的距离,以及数据的流量.采取光纤+超五类综合布线系统。(1)主干网。网络巾心在图书馆四楼,对于南区教学区,因为每栋楼到网络中心都在400米左右,所以每栋楼的交换机都用12芯的室外多模光缆与网络中心的核心交换机连接;而北区实训中心因为离网络中心太远。南北楼的交换机用12芯的室外单模光缆与网络中心的核心交换机连接。主干网是由光纤构成的1000M网。(2)楼内网。每栋楼的交换机都放在四楼巾间的一间房间里.各个信息点到交换机的距离都在100米内.楼内的布线用超五类线.为每间教室、实训室、办公室等提供两个信息点。楼里面则构成1旺100M的网络。2.设备选型网络没备必须在技术上具有先进性、通用性,必须便于管理、维护。网络设备应该满足学校现有计算机设备的高速接人。应该具备未来良好的可扩展性、可升级性,保护学校的投资。网络设备必须在满足功能与性能的基础卜价格最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须有良好的市场形象与售后技术支持。器用MSR30枷.防火墙用F—1000A.核心交换机用S一7506,各根据多方面的考虑,我们确定选用华为三康的设备,路由栋楼的接入交换机用E—126A。这些设备完全满足校园各种功能需要,同时也满足未来扩展的需要。3.Interne!接入根据对全校总出口流量的估算,为确保内部网站和外部网站的连接畅通,我们用电信20M带宽的光纤专线接人,有一个Internet同定的IP地址,所有计算机都通过NAT(网络地址转换)进入Intemet。4.VLAN规划VLAN为虚拟局域网。它有如下优势:抑制网络上的广播万方数据风暴;增加网络的安全性;集中化的管理控制。基于这些优点,我们按照各栋楼的不同情况对交换机进行VLAN划分.具体是:VLANl一设备管理、VLANl¨图书馆、VLANll一教师办公楼、VIANl2一实训中心南、VlANl3一实训中心北、VLAN14—4号教学楼、VLANl5—5号教学楼、VLANl6~l号教学楼、VLANl7一教工宿舍。5.路由规划核心i层交换机S一7506实现VI。AN之间的相互访问。对于三层交换机来讲。所有VLAN(网段)都足直连的,因此只需要启动路由,而不需要设霞额外的静态或动态路由条目。我们在S一7506中创建VLAN10至VLAN17.并把与接入层交换机光纤连接的光纤端口添加到对应的VLAN中,同时给VLAN端口添加对应的网关IP作为虚拟端口的lP地址,实现整个校园网不同网段之间的相互访问。6.无线接入充分利用计算机辅助教学及利用网络软硬件的资源共享,是校园网为教学服务的一大特点,我校教师每人配备了一台手提电脑,手提电脑接入校园网,采取无线接入的方式。构建“无线漫游”接入区,在办公楼放置三个TP—LINK841无线路由器,SSID都是BanGong,频道则分别为l、6、1l三个互不干预的频道,不加密码是开放式,开启DHCP,地址池IP为192.168.1.50/24一192.168.1.200124.这样教师可以很方便地接入到校园网。7.开放计算机机房学校内有大量的各种各样的开放式机房,是学生学习计算机的场所,通常这些计算机连成一个局域网,除具备一般的互访外.通常还要求这些计算机能够访问至1]Intemet。为满足教学要求。我们作了如下规划:(1)IP地址用私有C类192.168.0.0,24。(2)实现Intemet访问,实际上是一个局域网PC如何共享上网的问题。在每一个机房部署一个信息点,相当于Intemet出口。用服务器代理的方式通过信息点接入校园网,从而实现访问Intemet。8.对外发布站点对于一些外部站点的问题.通常放置在DMZ区内,DMZ区的安全等级高于外网.低于内网,防火墙的默认规则足允许安全等级高的访问安全等级低的.禁止安全等级低的访问安全等级高的。因此,防火墙不需要设置规则就可以实现内网访问到DMZ区.但外网不能访问到DMZ区。对于学校来讲,WWW站点的主要目的就是对外发布信息。必须让外网能够访问到.为了到达这个目的。可以在防火墙卜添加一些规则,开放DMZ区所在服务器的IP.以及相应的端口。在DMZ区放置学校的服务器:邮件服务器、WWW服务器、数据服务器,文件服务器。四、网络安全及管理需求校园网足巨大的资源中心.存放着各方面的信息资源,涉及学校的方方面面.同时.校园网又是一个开放的系统,有不同的人员在校内或校外访问它.阂此。校园网的建立不仅足网络硬件和应用的建立,还应该特别莺视校园网的安全问题。网络安伞是一个体系结构,涉及整个办公环境的各个方面,包括人员和没备,信息的驻留点,以及沿途经过的各个中问环节,从物理层到应用层都要小心对待。1.设备级安全包括网络巾所有可管理的网络设备、服务器和网管工作1432009年第33期(上卷)考试周刊基于Libnet的网络探针构造和发送技术潘家英唐晓年(广西中医学院信息网络中心,广西南宁530001)摘要:网络管理员为了熟悉网络的运行环境、网络应3.探针的构造和发送用和服务的实际情况,必须对各种网络性能参数进行测量。利用Libnet构造易识别的包含特定信息的探针.可使网络性能数据采集和分析简单易实现。本文介绍了Libnet构造和发送数据包的原理,并以实例说明了Libnet构造和发送数据包流程。关键词:LibnetICMP探钟构造和发送1.前言2009年1月,中国互联网络信息中心(CNNIC)发布的《第23次中国互联网络发展状况统计报告》显示:截至2008年底。(1)探针的构造和发送原理利用lSbnet开发包的构造一个新的数据包,也可以修改已有的数据包,并且可以将构造的一系列的数据包发送出去。Libnet开发包构造、修改、数据包的实现原理如下:①构造任意数据内容。在Libnet开发包中不仅可以构造有固定格式的协议数据,还可以构造任意内容的负载数据。它构造的其实是一个数据块,这个数据块的内容是可以任意的,然后将该数据块作为协议的负载内容。②修改已有的数据包。Libnet开发包可以修改已经存在的网络数据包。在Libnet开发包巾,每个数据块用一个协议块标我国互联网普及率以22.6%的比例首次超过21.9%的全球平均水平。同时,我国网民数达到2.98亿,宽带网民数达到2.7亿,国家CN域名数达1357.2万,三项指标继续稳居世界排名第一。显示出中国互联网的规模价值正在日益放大…。网民人数和网记来表示。如果想对此协议块进行修改.只需要带入此协议的块标记即可.然后调用协议块构造卤数。此函数就修改已经存在的协议块。络新业务的应用迅速增加对当今网络提出了越来越高的服务质量要求。除了服务质量外.网络发展还面临着其他方面的问题,主要体现在以下三个方面:网络服务质量问题.网络的安全问题,网络的可管理『口l题。网络管理员为了解决网络故障,③从IP层构造数据包。Libnet开发包可以从原始套接层构造IP数据包.包括IPV4和1PV6。各种基于IP协议的数据包都可以构造。④从数据链路层构造数据包。Libnet开发包可以从链路层构造数据包。所支持链路层协议包括以太网协议、令牌环网协议、FDDI等。必须了解网络的运行环境、网络应用和服务的实际情况。因此,包含有网络性数据能数据采集和分析技术的网络性能测量技术成为r网络管理的核心技术之一。主动测量是最常用的一种网络性能测量方式。它是通过在选定的测量点L利用测量工具有目的地主动产生测蛩探针注入网络,并根据测量探针的传送情况来分析网络的各种性能参数12]。笔者从主动⑤发送多个数据包。Libnet开发包通过两种数据结构来实现多个数据包的发送。即端口链表和Libnet句柄队列。如在构造TCP或者UDP数据包,要用到端口号,可以使用端121链表发送多个不同端口的数据包。在Libnet开发包中。一个Libnet句柄就表示一个网络数据包,所以可以根据句柄队列来构造多个不同的网络数据包,在句柄队列中有多少个句柄。就代表有多少个数据包。网络上有基于各种协议的网络流量,每种协议的数据包结构都不一样,为了使该测量探针具有通用性和便于实现.在比较j,各种协议头结构之后.笔者发现ICMP时间戳数据包较适合作为测量探针。Libnet定义的IP、,4的ICMP时间戳数据包协议头格式如F:struet测最探针的角度出发,利用Libnet构造包含特定信息的探针。以便捕获和分析数据包。2.Libnet简介Libnet是由MikeD.Sehiffman开发和维护的一个专业的数据包构造、修改和发送开发包,它是一个高层次的API甬数库。Libnet提供了一个对底层网络数据包构造、修改和发送的高级接口,隐藏r很多低层细节,如多路技术、缓冲区管理、网络数据包头信息、字节流顺序、操作系统兼容性、校验和计算问题等,因此,使用Libnet开发包可以轻松快捷地构造网络探针『3j。站的安全。设备级安全是网络的第一道屏障,严格限制能够远程管理(包括Telnet方式和Web方式)网络设备的lP地址列表.必要时关闭部分或全部远程管理功能:对于核心网络设备,如骨十交换机和路由器。建议不设远程管理IP地址。2.传输级安全libnet_iempv4Ltimestamp_hdr//ICMP时间戳协议头装网络防病毒软件。修补系统漏洞。同时也要防范冈内部人员不经意或故意“环路”.形成的“网络震荡”,解决办法是设置交换qLSTP协议(生成树协议)。校园网是一个比较大型的网络.为了保证校园网更加有效、可靠地运行,我们配置了一台网络管理工作站,以便更有效地对校园网进行管理。根据网络设备选型,我们选择华为三指敏感数据在传输线路中防止中途窃取或修改的安全性。解决办法包括室外线路尽可能采用无辐射抗干扰的光纤作为传输介质,室内明线使用屏蔽双绞线。中心机房加装屏蔽网.对远程传输的信息进行加密等。3.网络层安全康管理软件.同时用第三方管理软件一起管理网络。主要是so-Iarwinds—toolset工具箱V9.2、超级PING、SnifferPortable4.8这三个软件。五、方案规划设计特点是网络安全设计中的重要一环。网络层攻击是黑客最常用的攻击方式,如外部入侵。对付这种攻击方式最典型的解决方案是使用软件或硬件防火墙进行内外隔离.同时内网采用保留IP地址,访问外网时进行NArr转换(网络地址转换)。除了防止外部入侵外,也要注意防止内部的越权访问和故意破坏。一般在VLAN之『日J进行访问控制。4.应用级安全该校同网方案采用成熟的先进的技术,采用国际统一标准有广泛的支持厂商;所有设备都用华为i康一线产品。In.ternet带宽合理.确保网络不出现“塞车”现象:设置=三层核心交换机,将褴个网络划分为多个VIAN,从而使网络更加安全:同时本方案充分考虑了网络未来的升级与发展。把网络主干网构成了信息高速网,对未来的发展非常有利。参考文献:[1J王达.网管员必读系列丛书(第二版).电子工业出版社包括防病毒和认证体系。近年来病毒多如牛毛.如:熊猫烧香、ARP地址欺骗等。对于病毒问题。有效的解决方法是安1“万方数据