西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
在这种模型中,最灵活、最具可扩展性的网络是由第三层交换机组成。骨干网交换机之间由千兆位以太网或千兆位Ether Channel链路相连。第三层交换骨干网有以下几方面的优点:
1、更少的路由对等;
2、无生成树环路的灵活拓扑结构;
3、骨干网中对多点发送与广播业务可进行控制; 4、可扩展到任意规模:
5、每个分布层交换机有两条等成本路径与每个目的地网络相连,任何链路故障的恢复非常迅速,可为骨干网提供双倍的中继容量。
4.5 高校网络拓扑结构设计
根据以上原则,高校校园网络的结构采用二三层结合的结构,即核心层,分布层和接入层。核心层提供整个网络的中心多层路由、交换能力;分布层是网络汇聚层,提供接入层与核心层相连的光纤汇聚点,减轻了核心层路由交换机的负载,同时保证了设备的统一性,为将来网络维护和管理提供了极大的便利;接入层向用户提供桌面10/100M连接和本地的交换能力。核心层通过园区楼宇间的光纤连接(可采用多条千兆链路捆绑技术,提供高速的主干通道,未来可采用10G的万兆以太网)。接入层可采用堆叠技术,大大提高整堆叠交换机背板性能、交换能力等,同时具有更大的灵活性和可扩展性。高校网络拓扑如图4.6所示。
18
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
图4.6 高校网络拓扑图
4.6 多协议处理及路由能力设计
由于高校校园网络的用户和应用众多,需要网络能够提供各种应用和多协议的支持。因此在设计网络的时候,充分考虑了多协议支持的问题,让其能够支持IP、IPX、NetBIOS等网络协议。 4.6.1 VLAN的设计
虚拟局域网(VLAN)就是一个计算机网络,其中的计算机好像是被同一网线连接在一起,而实际上它们分别处于局域网不同区域,是一组逻辑上的设备或用户。如图4.7所示。
图4.7 VLAN图例
VLAN的概念[14]主要是根据网络管理的要求而提出来的,同时还可以提供一些安全的功能,也可以部分的优化网络的性能。AVAYA的Cajun系列交换机产品可以根据IP地址、MAC地址、端口等多种策略来划分VLAN,支持多钟路由协议来实现VALN间的路由。 4.6.2 第三层交换技术
第三层交换的实质是路由,类似于IP子网间的数据交换机制。当网络内数据流量的分布偏离规则,而且流量大量跨越子网边界时,传统的路由器就成了通信中的瓶颈。
第三层交换技术的实现可分两类:一类可归为“路由一次,交换多次”;另一类是基于高性能硬件的线速路由器。 4.6.3 支持多种路由协议
AVAYA的Cajun系列三层交换机产品,能够支持各种主要的标准路由协议实现VALN间的路由(如RIP、RIPⅡ、OSPF等)。
19
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
4.6.4 组播支持
AVAYA的Cajun交换设备支持的多播路由协议有:支持多播组用户的注册或取消的IGMP(Internet Group Management Protocol),通过IGMP实现交换机本地多播用户的监控与多播的发送。同时还提供DVMRP(距离向量多播路路由协议)和MOSPF(多播OSPF路由协议)来实现多点广播的路由。通过IGMP和DVMRP还可以实现多点广播的本地或广域传输。
20
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
第5章 网络安全研究
随着计算机网络的发展,网络的安全问题也日趋严重。网络系统中的安全问题包括网络中信息系统的安全性和网络本身固有的安全性。保证系统的安全性要从管理和技术角度同时考虑,通过指定不同的安全策略来达到特定的安全要求。
网络的安全策略主要针对两种情况,一是网络系统自身的安全问题,如路由器的安全隐患、匿名FTP的安全隐患、Telnet的安全隐患等,可以通过对各种关键系统设备加以控制来消除;另一种是给用户提供的各种服务是否安全,主要体现在网络应用上,如用户的数据或信息在网络传递过程中的安全控制。其中,网络系统自身的安全程度将直接影响整个系统的可用性和稳定性,它是系统安全的基础[15]。
一个系统存在的安全问题可能来源于两个方面:安全控制机构有故障或系统安全定义有缺陷。前者是一个软件可靠性的问题,可以用优秀的软件设计技术配合特殊的安全方针加以克服;而后者则需要精确描述安全系统。网络应用系统的安全体系应包含如表5.1所示的内容。
网络应用系统的安全如表5.1所示。
表5.1网络应用系统的安全
内 容 访 问 控 制 功 能 通过特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达目标之前 检查安全漏洞 通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效 攻 击 监 控 加 密 通 信 认 证 备份和恢复 多 层 防 御 通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取响应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等) 主动的加密通信,使攻击者不能了解、修改敏感信息 良好的认证体系可以防止攻击者假冒合法用户 良好的备份和恢复机制,可在攻击造成损失时尽快的恢复数据和系统服务 当攻击者在突破第一道防线后,延缓或阻断其到达攻击目标 设立安全监控中心 为信息系统提供安全体系管理、监控、保护及紧急情况服务 5.1 安全风险分析
由于高校校园网络用户众多,支撑着相当多的重要应用,因此高校校园网络的安全显
21
西安培华学院本科毕业论文(设计) 大学校园网网络组建及Internet接入方案
得特别重要。安全的威胁不仅来自外部网络,内部安全防范也显得十分重要。对于网络资产包括网络主机(主机的操作系统、应用程序和数据)、网络互连设备(如交换机和路由器)以及整个网络上的数据都应该采取有效的措施进行保护。
5.2 局域网络安全
由于内部网络用户通常具有较大的访问权限,因此局域网络系统的安全是整个网络系统安全中最重要的部分。但相对而言,内部的安全问题可以预测,并可依此制定相应的防范措施,防止来自单位内部的非法访问和恶意破坏。比外,以下一些措施也是提高网络安全比较有效的方法[16]。
1、在交换机上设置虚拟网,把服务器单独归于一个虚拟网内,其他可以根据不同的部门设置在不同虚拟网内,从而防止客户计算机与服务器的IP地址冲突、不同部门之间护地址盗用的问题。
2、由于虚拟网间的通信要经过路由器,所以可在路由器上配置访问控制表,以阻止来自非法地址的访问。
3、对大量上网的学生机器采用“保留地址”,这样既节省了有效的地址资源,同时也将学生机器配置为一个相对独立的网络,通过代理服务器与外部网络通信,增强了系统安全性和可管理性。
4、在服务器和网管计算机上记录对服务器的每次访问,做到“有据可查”。
5.3 广域网络安全
前面提过,来自网络内部的攻击是可以预测的,但来自网络外部的攻击则难以预测,因为技术的发展使网络攻击变得更加容易。为了防止广域网上可能出现的攻击,可以采取以下的安全措施。
5.3.1 设置高性能的代理服务器
高性能的代理服务器可以提高网络线路的利用率,而且它在安全性方面更有其优越的功能[17]。
首先,代理服务器的认证功能可以控制网络访问的随意出入,既可以授予某人上网的特权,并记录其访问的网页和流量,也可做到对相应IP地址的控制。
其次,代理服务器是处于应用传输层进行控制的,所以可以对不同类型的连接和数据包进行控制,甚至功能强大的代理服务器还可对数据的内容进行监视。
22