校园网设计方案精选(九篇)
前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的校园网设计方案主题范文,仅供参考,欢迎阅读并收藏。
第1篇:校园网设计方案范文
关键词:校园网,网络组建,网络管理与维护,网络安全
第1章 网络设计方案
1.1 设计概要
校园网的组建采用如下方案:网络中心建设在图文信息中心,教学楼设置分管点。建设高速、稳定和安全的网络环境。采用主流的以太网技术核心,交换机可带千兆三层交换模块,二级交换机采用带扩充槽的快速以太网交换机,可实现三层交换、百兆主干、百兆交换到桌面。教学楼与综合楼采用Trunk技术做链路聚合,可达到200Mb/s的带宽,实现了较高的性价比。可根据学校的应用类型,例如办公、多媒体课室、课室、网络中心等功能划分子网。
1.2 校园网络IP地址规划和VLAN划分
1.2.1校园网IP地址分配原则
校园网的IP地址规划应该受到重视,IP地址分分配应该遵循以下几个原则。
1. 体系化编址 体系化编址其实就是编址的结构化,组织化,以企业的具体需求和组织结构为原则对整个网络地址进行有条理的规划。从总体上来说,体系化的原则就是使相邻的主机或主机群在IP地址上是连续的。这样可以进行路由汇聚,是整个网络的地址结构清晰明朗,路由信息清晰,从而减少路由器中路由表。使区域和区域之间的地址相互独立,便于灵活的独立管理。
2. 地址的持续可扩展性 IP地址规划应该为今后的升级和网络规模的扩大做好准备,要有全局和高瞻远瞩的眼光。
3. 按照实际需要分配公网IP地址公网IP相对于私有IP而言是不能由自己设置的,公网IP是有ISP等机构统一分配和租用的,公网IP地址是非常稀缺的,因此,对于公网的IP地址我们必须按照实际的需要分。例如对于对外提供服务的服务器,我们需要为其分配公网的IP地址,而对于学校的宿舍,教学楼,实验楼等仅需要浏览互联网信息等基本需求的计算机可以通过NAT来实现私有地址和公网地址的转换,实现多个节点共享一个或几个公网IP地址,从而节约公网IP地址。对于那些仅对内提供服务,或只用于内部通信的计算机就不需要分配公网IP地址。我们知道公网的IP地址是非常的稀缺的,NAT虽然能够节约一部分的公网IP地址,但是还是不能从根本上解决现有公网IP地址越来越少的残酷问题,所以部署IPV6已经迫在眉睫。由于现在的IPV4网络正在向IPV6网络过渡,这是一个很长期的过程,所以在构建网络时我们还要考虑网络对于IPV6的兼容性,选择支持IPV6的设备和系统,以便今后进行升级和改造。
4. 静态和动态分配地址动态分配IP地址是有DHCP服务器分配的,在常见的比较小的网络中,IP地址的分配一般是采用静态方式分配,但在大中型的网络中,由于主机数量的增加,为每一个计算机分配IP地址会增加网络管理员的负担,还有可能造成IP地址冲突,因此,DHCP在大中型网络中是非常的有效和实用的,每一个新接入的主机能够方便的从DHCP服务器获得主机的IP地址以及子网掩码,缺省网关,DNS等参数,大大减轻了网络管理员的工作量。
1.2.2 VLAN划分
VLAN是建立在以太网交换机或ATM交换机之上的逻辑网络,VLAN可以进行逻辑工作组的划分和管理,是节点在逻辑上形成一个网络,不受物理位置限制,同一逻辑工作组的成员不一定要连接在同一物理网段上,他们可以连接在同一局域网交换机上也可以连接在不同局域网交换机上,只要这些交换机是互相连接的。VLAN的优点:VLAN可以将不同地点不同用户组合在一起,形成一个虚拟的局域网,可以提高网络中各个逻辑组中用户的流量。
VLAN的划分方法:
1. 基于端口划分VLAN这是最常用的一种方法,目前绝大多数交换机都支持这种方法,这种方法将交换机的端口划分为不同的组,每个组构成一个虚拟局域网。这种方法配置简单,适合于任何大小的物理,只需要将所有的端口都定义为相应的VLAN组即可。缺点是假如某个用户离开了原来的端口,连接到另外的交换机端口,就必须对另外的端口进行配置。
2. 基于MAC地址划分VLAN因为每一个网卡都有一个唯一的物理地址,因此可以根据网卡的物理地址来划分VLAN,根据这种方法,可以弥补方法1带来的缺陷,当一个计算机位置移动时,会自动保留所属的VLAN成员身份。不需要重新配置。
3. 基于网络层协议划分VLAN按网络层协议组成的VLAN,可使广播域跨越多个VLAN交换机。
4. 基于IP组播划分VLANIP组播实际上是一种VLAN定义,可以认为一个IP组播就是一个VLAN,这种方法将VLAN扩大到了广域网,适合不在同一地理位置的局域网用户组成一个VLAN,但用于局域网时效率不高。
VLAN配置原则
1. VLAN1为交换机默认VLAN,无需创建
2. VLAN组成员分布于多台交换机上时,需在要每台交换机上创建该VLAN,并将成员加入同一VLAN组中
3. 交换机创建的VLAN数可大于交换机端口数量
1.2.3 IP地址分配策略
IP地址分配策略
项目 IP地址范围 备注
IP地址类型 私有B类IP地址172.18.0.0./32
网关地址 172.18.1.253/32
网络设备IP 172.18.1.1―172.18.1.20
网络中心服务器 172.18.1.21-172.18.1.40
内部工作站IP 剩余可用IP
备用IP 172.18.1.50-172.18.1.70
1.2.4 VLAN划分策略
在大中型网络中,网内的计算机数目很多,很容易引起广播风暴,划分VLAN之后就能够有效的降低广播风暴,VLAN是在交换网局域网的基础上,采用网络管理软件构件构建的可跨越不同网段,不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网,它可以覆盖多个网络设备,VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中,即加入到一个VLAN中。VLAN能够有效的控制广播风暴,一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。VLAN提高了网络的整体安全性,可以控制用户访问权限和逻辑网段大小,将不同用户划为不同的子VLAN,提高了交换网络的整体性能和安全性。一个VLAN可以根据部门职能,对象,不同地理位置的用户划分逻辑网段。在不改变物理位置的前提下可以任意将工作站在不同组之间移动。VLAN可以大大减轻网络管理和维护工作的负担,降低维护费用,减轻网络管理员的工作量。
根据NC职业学院的不同工作类型,划分了教学楼,实验室,图文信息中心,学生宿舍等子网。图文信息中心的网络的中心,划分为VLAN1,VLAN1为默认的虚拟局域网。图文信息中心的所有阅览室划分为VLAN2,实验楼的学生机房划分的VLAN范围是VLAN3~VLAN5,办公室划为VLAN6,教学楼划为VLAN7,学生宿舍划分为VLAN8~VLAN10。实验室VLAN为VLAN11.
VLAN功能描述
VLAN ID 网段IP 网关IP 备注
1 172.18.1.0/24 172.18.1.254/24 图文信息中心核心机房:网络中心
2 172.18.9.0/24 172.18.1.254/24 图文信息中心阅览室
3 172.18.2.0/24 172.18.1.254/24 实验楼学生机房1
4 172.18.3.0/24 172.18.1.254/24 实验楼学生机房2
5 172.18.4.0/24 172.18.1.254/24 实验楼学生机房3
6 172.18.5.0/24 172.18.1.254/24 实验楼办公室
VLAN ID 网段IP 网关IP 备注
7 172.18.6.0/24 172.18.1.254/24 教学楼
8~10 172.18.7~9.0/24 172.18.1.254/24 学生宿舍
11 172.18.10.0/24 172.18.1.254/24 实验楼实验室
实验楼学生机房VLAN划分
端口 VLAN ID 备注
Cisco2950(学生机房,IP为172.18.1.252/24)
1~3 1、3、4、5 连接网络中心下行端口
4~8 3
9~14 4
15~24 5
图文信息中心VLAN划分
端口 VLAN ID 备注
Cisco2948G-L3(网络中心,IP为172.18.1.254/24)
1~3 1、3、4、5 连接到实验楼学生机房主交换机上行端口
4~6 1、7 连接到教学楼主交换机上行端口
7~20 1、6 连接到实验楼办公室主交换机上行端口
21~48 1 网络中心
教学楼VLAN划分
端口 VLAN ID 备注
Cisco2950(教学楼,IP为172.18.1.251/24)
1~3 1、7 连接网络中心下行端口
4~24 7
实验楼办公室VLAN划分
端口 VLAN ID 备注
Cisco2950(实验楼办公室,IP为172.18.1.250/24)
1~3 1、6 连接网络中心下行端口
4~24 7
实验楼实验室VLAN划分
端口 VLAN ID 备注
Cisco2950(实验楼实验室,IP为172.18.1.249/24)
1~3 1、11 连接网络中心下行端口
4~24 11
学生宿舍VLAN划分
端口 VLAN ID 备注
Cisco2950(学生宿舍,IP为172.18.1.248/24)
端口 VLAN ID 备注
1~3 1、2 连接网络中心下行端口
4~8 8
9~16 9
16~24 10
各种设备IP地址表
主机名 设备 IP配置 备注
防火墙1 外部口S0:192.168.254.2/30
内部口e0:172.18.1.253/24
防火墙2 外部口S0:172.18.252.2/30
内部口e0:172.18.1.251/24
网络中心交换机Cisco2948G-L3 IP:172.18.1.254/24
网关:172.18.1.254/24 网络管理IP
教学楼交换机Cisco2950 IP: 172.18.1.251/24
网关:172.18.1.254/24 网络管理IP
实验楼办公室Cisco2950 IP: 172.18.1.250/24
网关:172.18.1.254/24 网络管理IP
实验楼学生机房Cisco2950 IP: 172.18.1.252/24
网关:172.18.1.254/24 网络管理IP
主机名 设备 IP配置 备注
实验室Cisco2950 IP: 172.18.1.249/24
网关:172.18.1.254/24 网络管理IP
数据服务 IP:172.18.1.254/24
网关:172.18.1.254/24
vod.ncxy.省略 VOD服务 IP:172.18.1.1/24
网关:172.18.1.253/24
dns.ncxy.省略 DNS服务 IP:172.18.1.1/24
网关:172.18.1.254/24
dhcp.ncxy.省略 dhcp服务 IP:172.18.1.1/24
网关:172.18.1.254/24
ncxy.省略 WEB服务 IP:172.18.1.1/24
网关:172.18.1.254/24
ftp.ncxy.省略 FTP服务 IP:172.18.1.1/24
网关:172.18.1.254/24
1.3 交换机的VLAN配置
在交换机上配置VLAN就是分别在图文信息中心的Cisco2948G-L3核心交换机,实验楼学生机房、实验楼办公室、教学楼的Cisco2950交换机上进行配置。初始状态下交换机是通过超级终端进行配置的。
为了配置方便,现定义各个VLAN交换机的hostname,学生机房1:computer-room1, 学生机房2:computer-room2, 学生机房3:computer-room3,办公室office;阅览室reading-room;实验室:laboratory;教学楼:classroom-building;学生宿舍:dormitory。
交换机的超级终端配置是一种基本的配置,连接如图所示,接好PC和交换机各自的电源线,在未开机的条件下,把PC的串口1(COM1)通过控制台电缆(Console电缆)与交换机的Console口相连,完成PC和交换机的连接工作。交换机Console口的默认参数如下,端口速率:9600bps;数据位:8;奇偶校验:无;停止位:1;数据流控制:无。根据Console口的默认参数,配置PC的超级终端时要将端口的属性和上述参数相匹配,匹配后就可以访问交换机。
图1.3-1仿真终端与交换机连接
图1.3-2 仿真终端端口参数
1.3.1图文信息中心交换机Cisco2948G-L3配置
1.交换机基本配置(hostname及口令)
Switch>
Switch>enable
Switch#
Switch#config terminal
Switch(config)#hostname cisco2948
cisco2948 (config)#enable password ncxy
cisco2948 (config)#enable secret ncxy1
cisco2948 (config)#end
cisco2948 (config)#line con 0
cisco2948 (config-line)#password cisco2948
cisco2948 (config-line)#login
cisco2948 (config-line)#line vty 0 15
cisco2948 (config-line)#login
cisco2948 (config-line)#password cisco2948
cisco2948 (config-line)#end
cisco2948#
2.创建并分VLAN
Switch>
Switch>enable
Switch#
Switch#config terminal
Switch(config)#hostname cisco2948
cisco2948(config)#exit
cisco2948#vlan database
cisco2948 (vlan)#vtp mode server
cisco2948 (vlan)#vtp domain ncxy
cisco2948 (vlan)#vlan 2 name reading-room
cisco2948 (vlan)#vlan 3 name computer-room1
cisco2948 (vlan)#vlan 4 name computer-room2
cisco2948 (vlan)#vlan 5 name computer-room3
cisco2948 (vlan)#vlan 6 name office
cisco2948 (vlan)#vlan 7 name classroom-building
cisco2948 (vlan)#vlan 8-10 name dormitory
cisco2948 (vlan)#vlan 11 name laboratory
cisco2948 (vlan)#vlan apply
Apply complete
cisco2948 (vlan)#exit
cisco2948#
配置VLAN的IP地址,激活VLAN配置
VLAN1配置
cisco2948#config terminal
cisco2948 (config)#interface vlan 1
cisco2948 (config-if)# ip address 172.16.1.254 255.255.255.0
cisco2948 (config-if)#no shutdown
cisco2948 (config-if)#exit
VLAN3配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 2
Cisco2948 (config-if)# ip address 172.16.2.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN4配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 3
Cisco2948 (config-if)# ip address 172.16.3.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN5配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 4
Cisco2948 (config-if)# ip address 172.16.4.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN6配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 6
Cisco2948 (config-if)# ip address 172.16.6.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN7配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 7
Cisco2948 (config-if)# ip address 172.16.7.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN2配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 8
Cisco2948 (config-if)# ip address 172.16.8254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
配置VLAN端口
1.分别给 vlan 3 vlan4 vlan5 添 加端口
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950computer-room
Cisco2948(config-if)#swichport access vlan 2
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 3
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 4
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 5
Cisco2948(config-if)#exit
2.给VLAN 7添加端口
Cisco2948(config)#int fa0/4-6
Cisco2948(config)#description connection to 2950classroom-building
Cisco2948(config-if)#swichport access vlan 7
Cisco2948(config-if)#exit
Cisco2948#config t
3.给VLAN 6添加端口
Cisco2948(config)#int fa0/7-20
Cisco2948(config)#description connection to Intel530office
Cisco2948(config-if)#swichport access vlan 6
Cisco2948(config-if)#exit
1.4 应用服务器配置
1.4.1 windows server2003安装
对于新服务器来说硬盘上没有操作系统,我们要按照操作系统,按照我们的选择,我们安装的是windows server2003操作系统。windows server2003操作系统的安装非常的简单,只需要安装提示一步一步进行下去。在设置授权模式页面,我们选择“每服务器。同时连接数”选框,再根据NC职业学院客户端计算机数据合理配置连接数。
图1.4.1-1 设置授权模式
安装好操作系统后重新启动计算机,首先设置服务器的IP地址,操作步骤如下1.单击“设置设置网络连接”,打开网络连接对话框。2.右键单击“本地连接”,选择“属性”命令,打开本地连接的设置对话框。3.在“常规”选项卡中,选中“Internet 协议(TCP/IP)”,
如图1.4.1-3所示,单击“属性”按钮,4.如图1.4.1-4所示,选中“使用下面的IP地址”,并把IP地址设置已以规划好的地址,子网掩码会自动设置,把默认网关设置为172.18.1.254,首选服务器设置为172.18.1.1,备用DNS服务器地址设置为ISP提供的DNS服务器,南昌地区的为202.101.224.68,单击“确定”,按钮。5.回到本地连接对话框,单击“确定”按钮使配置生效。
图1.4.1-2 网络连接窗口
图1.4.1-3本地连接属性
图1.4.1-4本地连接属性
1.4.2 安装DNS服务器
DNS是域名解析服务器的简称,它的功能是在域名和IP地址之间进行转换,它可以把难记的IP地址转换成人们易于记忆的域名,在校园网内提供网内的FTP服务,web服务,如果不适用DNS服务器,那么必须要记住IP地址,然而IP地址是不便于记忆的。若安装了DNS服务器,就可以通过域名访问相应的IP地址了。
一、 安装DNS服务
1. 单击“开始程序管理工具管理您的服务器向导”,启动管理服务器向导,如图1.4.2-1所示
2. 选择“添加或删除角色”,操作系统在检查完网络设备后,出现一个“配置您的服务器向导”,如图1.4.2-2所示,这里我们选择DNS服务器,再单击“下一步”按钮。
3. 启动后要求用户插入windows server2003系统光盘,插入光盘后,我们单击“确定”确定。
图1.4.2-1“管理您的服务器”向导
图1.4.2-2“配置您的服务器向导”界面
4. 系统复制文件并安装DNS服务器,如图1.4.2-3所示
5. 安装完后,出现配置DNS服务器向导界面,如图1.4.2-4所示,单击“下一步”按钮进行DNS服务器配置,
6. 在“选择配置操作”界面,我们选择“只配置根提示(只适合高级用户使用)(C)”单击“下一步”按钮,如图1.4.2-5所示
图1.4.2-3 “windows安装―正在安装DNS服务器”界面
图1.4.2-4“配置DNS服务器向导”界面
图1.4.2-5“选择配置操作”界面
7.在“主服务器位置”界面,我们选择“这台服务器维护该区域(T)”选框,将该DNS服务器作为主DNS服务器使用,并单击“下一步”按钮,如图1.4.2-6所示
图1.4.2-6 主服务器位置配置
8.在区域名称对话框中输入能够反映NC职业学院的名称,我们输入ncxy.省略,并单击“下一步”按钮,如图1.4.2-7所示
图1.4.2-7 区域名称界面
9.动态跟新界面,选择“不允许动态更新(D)”单击“下一步”按钮,如图1.4.2-8所示
图1.4.2-8 动态更新
10.“正在完成配置DNS服务器向导”界面,单击“完成”按钮,如图1.4.2-9所示
图1.4.2-9 正在完成配置DNS服务器向导
11.最后一步,单击“完成”如图1.4.2-10
图1.4.2-10此服务器现在是DNS服务器
1.4.3 域控制器安装
1.如同安装DNS服务器一样,启动“管理您的服务器向导”并单击“添加或删除角色”
2.在“配置您的服务器向导”页面中选择“域控制器(Active Directory)”然后单击“下一步”按钮。如图1.4.3-1所示
图1.4.3-1 服务器角色
3.在“选择总结”界面单击“下一步”按钮如图1.4.3-2所示
图1.4.3-2 选择总结
4.在弹出的“Active Directory安装向导”界面中单击“下一步”按钮,如图1.4.3-3所示
图1.4.3-3 Active Directory安装向导
5. 弹出“操作系统兼容性”界面,单击“下一步”按钮,如图1.4.3-4所示
图1.4.3-4 操作系统兼容性
6. 选择“域控制器类型”,如图1.4.3-5所示,我们选择“新域的域控制器”,单击“下一步”
图1.4.3-5 域控制器类型
7. 弹出“创建一个新域”,要我们选择创建域的类型,如图1.4.3-6所示,这里我们选择“在新林中的域”选框,单击“下一步”按钮
图1.4.3-6创建一个新域
8.“新的域名”窗口,这里我们输入新域的名称,我们输入domain.ncxy.省略,单击“下一步”,系统给出一个提示,单击“确定”即可。如图1.4.3-7所示
图1.4.3-7新的域名
9.设置NetBIOS域名,我们使用默认值,如图1.4.3-8所示
图1.4.3-8NetBIOS域名
10.弹出“数据库和日志文件文件夹”对话框,使用默认设置就可以,如图1.4.3-9所示,单击“下一步”按钮
图1.4.3-9数据库和日志文件文件夹
11.打开“共享的系统卷”对话框,保留默认设置,如图1.4.3-10所示
图1.4.3-10共享的系统卷
12.弹出“DNS注册诊断”对话框,系统有一个诊断过程,通知用户无法更新DNS区域授权,我们选中“我将在以后通过手动配置DNS来更正这个问题(c)”,单击“下一步”如图1.4.3-11所示
图1.4.3-11DNS注册诊断
13.在“权限”对话框,选择用户和组对象的默认权限,选择“只与windows 2000或windows server 2003操作系统兼容的权限”,单击“下一步”按钮,如图1.4.3-12所示
图1.4.3-12权限
14.设置目录服务还原模式的管理员密码,如图1.43.-13所示,单击“下一步”按钮
图1.4.3-13目录服务还原模式的管理员密码
15.弹出“摘要”,对话框,单击“下一步”按钮,如图1.4.3-14所示,
图1.4.3-14 摘要
16.安装完成,如图1.4.3-15所示,单击“完成”
图1.4.3-15 完成界面
17.此服务器现在是域控制器,如图1.4.3-16所示
图1.4.3-16
1.4.4 DNS配置
1.启动DNS服务器管理程序,单击服务器名,展开,选择“正向查找区域”,右击选择“新建区域”,如图1.4.4-1所示
图1.4.4-1 新建正向查找区域
2.区域类型选择主要区域,如图1.4.4-2所示
图1.4.4-2 区域类型
2 在Active Directory区域复制作用域选框中选择“至Active Directory域domain.ncxy.省略中的所有域控制器”如图1.4.4-3所示
图1.4.4-3 区域复制作用域
3 区域名称中设置新的区域名称,输入ncxy.省略,如图1.4.4-4所示
图1.4.4-4 区域名称
4 动态跟新选择不允许动态跟新如图1.4.4-5所示,单击下一步
图1.4.4-5 动态跟新
5 正在完成新建区域向导,单击完成,如图1.4.4-6所示
图1.4.4-6 完成新建区域
6 在DNS管理器中,右击刚才建立的区域名,选择新建域,在弹出的新建DNS域对话框中输入ncxy.省略,如图1.4.4-7所示
图1.4.4-7 新建DNS域
7 建立反向查找区域,反向查找的功能是实现IP地址到域名的转换,在DNS管理器中右击反向查找区域,选择新建区域,进入新建区域向导,如图1.4.4-8所示,单击“下一步”按钮
图1.4.4-8 新建区域向导
8 新建反向查找区域和正向查找区域基本一致,在反向查找区域名称对话框中输入网络ID,如图1.4.4-9所示,其他过程不再简述。
图1.4.4-9 反向查找区域名称
9 建立域名与FTP服务器IP地址的对应,在DNS管理器中右击我们新建的域名,选择“新建主机”,弹出“新建主机”对话框,如图1.4.4-10所示
图1.4.4-10新建FTP服务器主机
10 建立域名与dhcp服务器IP地址的对应,如图1.4.4-11所示
图1.4.4-11新建dhcp服务器主机
13. 建立域名与web服务器IP地址的对应,如图1.4.4-12所示
图1.4.4-12新建web服务器主机
14.建立域名与vod服务器IP地址的对应,如图1.4.4-13所示
图1.4.4-13新建vod服务器主机
15.配置好DNS服务器后,NC职业学院的其他客户机的DNS服务器地址必须指向配置的DNS服务器的IP地址,只有这样才能使用DNS功能。如图1.4.4-14所示
图1.4.4-14客户机配置
1.4.5 web服务器配置
1.安装IIS6.0和WEB组件IIS6.0默认没有安装,我们可以在控制面板的双机“添加或删除程序”,选择“添加/删除windows组件”,如图1.4.5-1所示
图1.4.5-1添加或删除程序
2.在windows组建向导对话框勾选应用程序服务器,单击“详细信息(D)”,如图1.4.5-2所示
图1.4.5-2windows组件向导
3.勾选Internet信息服务(IIS),单击“详细信息”,如图1.4.5-3所示
图1.4.5-3应用程序服务器
5. 选择“万维网服务”,单击“确定”按钮,如图1.4.5-4所示
图1.4.5-4万维网服务
6. 依次单击“确定”,插入安装光盘,开始安装,如图1.4.5-5所示
图1.4.5-5安装IIS
7. 完成安装,如图1.4.5-6所示
图1.4.5-6完成安装IIS
8. 新建WEB站点如图1.4.5-7所示
图1.4.5-7新建站点
9. 网站描述,如图1.4.5-8所示
图1.4.5-8站点描述
10. IP地址和端口设置,如图1.4.5-9所示
图1.4.5-9IP地址和端口设置
11. 网站主目录设置,如图1.4.5-10所示
图1.4.5-10网站主目录
12. 网站访问权限设置,如图1.4.5-11所示
图1.4.5-11网站访问权限
13.设置站点的参数比较简单,这里不再简述,只需要按照提示一步步进行下去就行。
1.4.6 FTP服务器配置
1.下载Serv-U并安装,打开程序
2.单击“新建域”按钮,进入域向导界面,如图1.4.5-1所示,输入站点名称和描述信息,单击“下一步”按钮
图1.4.5-1新建域1
3.进入“域向导_步骤2总步骤4”界面,配置各种协议的端口号,这里使用默认的端口号,如图1.4.5-2所示,单击“下一步”按钮
图1.4.5-2新建域2
4.设定新建FTP站点的IP地址,如图1.4.5-3所示,单击“下一步”按钮
图1.4.5-3新建域3
5.设置密码加密模式,我们采用默认的设置,如图1.4.5-4所示,单击“完成”按钮
图1.4.5-4新建域4
7. 新建FTP站点之后就可以添加用户账户,进入“用户向导_步骤1总步骤4”,输入登录ID,单击“下一步”按钮,如图1.4.5-5
图1.4.5-5创建用户1
8. 设置用户密码,如图1.4.5-6所示,单击“下一步”按钮
图1.4.5-6创建用户2
9. 设置根目录,如图1.4.5-7所示,单击“下一步”按钮
图1.4.5-7创建用户3
10设置访问权限,如图1.4.5-8所示,单击“完成”按钮
.
图1.4.5-8创建用户8
10. 双击新创建的用户名,弹出“用户属性”对话框,如图1.4.5-9所示,我们可以管理用户账户,可以让用户更方便的使用FTP站点,增强FTP站点的安全性,我们可以点击不同的选项卡,进行不同的设置,这里不再介绍。
图1.4.5-9用户属性设置
1.4.7VOD服务器配置
1.下载并安装美萍VOD点播系统,安装非常的简单,只需单击“下一步”即可,如图1.4.6-1所示
1.4.6-1 美萍VOD点播系统安装
2.安装完后打开程序,出现如图1.4.6-2的界面,系统默认提供了电影,音乐,电视剧等分类,每种大的类型下还有许多的小类型
1.4.6-2 美萍VOD点播系统主界面
3.打开小类,里面还是空的,把我们要添加的内容直接拖进右边即可,如图1.4.6-3所示
1.4.6-2 美萍VOD点播系统添加界面
4.通过系统设置对话框可以设置系统的相关属性,是系统更好的工作,如图1.4.6-3所示
1.4.6-3 美萍VOD点播系统系统设置界面
5.客户机可以不需要安装客户端程序,只需要安装有较新版本的IE浏览器即可,在地址栏输入服务器IP地址和端口号即可,端口号默认为6666,。
1.4.8DHCP服务器配置
DHCP是动态主机配置协议,可以动态的分配IP地址,对于需要固定ID地址的服务器和主机,我们在配置是要保留这些IP地址,是IP地址和他们的MAC地址绑定起来。其他可以自由分配的IP地址可以放在地址池中以供分配。配置非常的简单,配置界面非常的人性化,在此不再累述。
1.4.9邮件服务器配置
NC职业校园需要提供邮件服务,因此要架设邮件服务器,我们选择架设基于Exchange Server 2003的电子邮件服务器。首先安装Exchange Server 2003,在安装之前要在系统中安装NNTP和SMTP两种服务。安装过程和DNS和FTP等的安装过程类似,不再介绍。
Exchange Server 2003的安装也是非常的简单,就是需要比较长的时间。默认情况下,Exchange Server 2003将使用windows Server 2003的用户库作为自己的用户库,这并不意味着所有的用户都有自己的邮箱,所以还需要手动为其他用户建立邮箱。
建立电子邮箱非常的简单,只需要安装提示一步一步进行,新建用户,设置密码,创建邮箱,检查用户信息,新建之后还可以设置用户邮箱的属性。
可以使用两种方法通过Exchange Server 2003服务器收发邮件。一种是通过OFFICE中的Outlook Express收发邮件,一种是直接使用IE浏览器收发邮件。
参考文献
[1] 雷震甲.网络工程师教程(第三版).北京:清华大学出版社,2009
[3] 易建勋.计算机网络设计.北京:人民邮电出版社,2007
[4] 马海英. 计算机网络及应用. 北京:化学化工出版社,2007
[5] 谢希仁. 计算机网络(第5版). 北京:电子工业出版社,2008
[6] 石志国,薛为民,尹浩. 计算机网络安全教程(修订本). 北京:北方交通大学出版社,2007
第2篇:校园网设计方案范文
关键词: 校园网;无线局域网;设计
中图分类号:G728 文献标识码:A 文章编号:1671-7597(2012)1120080-02
1 概述
1.1 设计要求
根据惠州经济学院的无线局域网应用与建设实际,无线局域网在网络安全上,网络管理上,传输速率上与有线局域网相当。
首先,大学校园网的组建,应同时具备无线网络和有线网络,以支撑校园网内用户的不同需求。当前条件下,应以有线网络为主,并扩大无线局域网的使用,分不同的应用需求与教学需要,结合无线网络与有线网络的优点,进行科学的搭配组合。
其次,无线局域网传输的稳定性、网络传输的速度、网络安全性达到较高的要求。同时,在校园网中,无线网络与有线网络并存的状态,应采取分网段IP地址管理策略,以实现网络的安全。
最后,无线网络应进行加密,以此实现最大限度的保护无线网络中信息的安全,使其传输不受破坏,并能满足1200台终端机入网需求。
1.2 设计方案
采用接入无线交换机和Fit AP的方式进行局域网设计。主要部分包括了无线网络控制器、瘦无线接入点(Fit AP)、网络管理服务器。全部设备连接在一起,以无线网络控制器为接入设备,瘦AP为接入边界,构建能够支持统一的管理、移动和安全为一体等无线网。这一设计方案能发挥无线组网的灵活性和扩展性,运用RF管理的智能化,能实现集中式的网络管理,使网络具有良好的漫游性能,并能支持系统的自动部署与故障恢复,也能实现良好的负载均衡。
根据要求设计无线局域网,由无线交换机接入Internet网络,然后接入AP控制器,再接两个核心交换机,核心交换机与服务器群连接。整个校园将被分成三个区域公布层交换机,每个分布层交换机接入相应数量的接入交换机,最后接入多个单纯的无线AP(瘦AP)进行实地覆盖,如图1所示。实现的无线局域网要在同一时间能满足1200台终端机移动连接。以考虑1200台电脑都可以移动则采用多个AP频率规划实现对区域的全覆盖以及高带宽提供,用户可热点内在不同AP间实现无缝切换,考虑到频段干扰问题,相邻AP不能选用同样的Channel,并且Channel号最差要相差5,也就是构成小区的任意三个相邻的AP的Channel设置为1、6、11。选用支持802.11n的无线AP进行区域覆盖,带宽达到300M此区域可满足几十台移动电脑接入网络,用几个这样的无线路由器就可以满足要求。为了实现无线网络连接的统一,WLAN必须保证各连接的建筑物均能同时保持良好的视线。因为如果有树木、高楼等障碍物的话,会影响到无线网络的信号传输,导致网络性能的受损,而远距离区域则建议采用中继器进行链接传送。
在校园网中,任何一个AP范围内,其无线连接采用共享模式,因此其无线终端不能太多,否则会导致所分享的带宽过小。每个无线终端的传输速率或若干无线终端的速率之和,不能超过单个AP的带宽上限,以保证网络的顺畅。每个AP覆盖能提供20台终端机接入,设置分配每台终端机的带宽为2M,并加以控制管理。那每个AP的出口带宽为40兆,由于接入交换机的设备共享带宽,那本方案的设计所需出口带宽为40M以上,合计容纳1200台终端机。硬件设备包括:四台无线交换机,四台核心交换机,分由六台分布层交换机,再用到十二台POE接入交换机,无线AP用到60个左右。若需拓展网络则可以添加AP。本设计所需的硬件设备如下:4台MX-200R智能无线交换机、4台H3C U200-CA核心交换机、6台Catalyst 3550分布层交换机、12台LREtrans 4200 POE交换机、60台无线AP TP-LINK TL-WA801N。
2 无线局域网的网络管理
2.1 RF智能控制管理
采用RF智能系统控制管理可以自动调节网上所有AP的电波特性,自动对网上所有AP的无线电波管理。
无线交换机能够实现无线校园网中传输信号的侦测和记录。一旦某AP范围内的无线信号受到影响,如AP受到基本一电波信号的干扰,则无线交换机会立即对干扰电波进行采样分析,以定位其来源,然后再与AP的无线信号进行比较,以决定是否对其进行调整。
2.2 全局性的安全管理
以往无线局域网一般是单纯基于AP,因此无线网络的管理、安全配置工作很多要在AP上进行设置和更改。在此无线网络的设计中,融合了VPN、防火墙、安全认证、病毒防护、入侵监测以及RF电磁波管理等安全功能,并将这些工作汇聚到无线交换机上,通过交换机管理模块来实现全局性的安全管理。这就克服了无线网络对安全的分散管理的不足与缺点,增强了无线用户使用网络的安全感,也降低了对有线网络安全的依赖性。
在无线交换机管理模式基础上,实现对整个网络的安全管理,对于网管人员来说,其工作量也大为减少,仅需连接到无线交换机上,就可开通、管理、维护所有AP设备以及移动终端,包括无线电波频谱、无线安全、接入认证、移动漫游以及接入用户等,均可在无线交换机上“一站式”的完成。
3 无线局域网的安全认证与防范
3.1 多种用户认证方式和用户状态防火墙
一个无线用户进入无线网以后,会拿到一个最基本的入网权限,这个权限不容许用户访问任何网段,只让用户通过DHCP获取IP地址、传送DNS协议数据包,通过认证以后才可以接入无线校园网。当前,能支持无线网络用户认证的方式较多,可选的软件也较多,诸如802.1认证、WEB认证、MAC认证、SSID认证、VPN认证方法,均可用于无线网络的实际运行中。惠州经济学院在自身网络运用的基础上,选择了802.1认证方法,在服务器上安装了锐捷网络接入认证软件的服务器端,使得整个校园网内的用户可随时随地通过认证接入网络。
此外,为了进一步加强对无线网络的安全防范,无线网络采用了用户状态防火墙,并将其与用户认证程序捆绑后使用,当无线用户通过认证后,用户状态防火墙会为其提供默认的若干防火墙规则,运用于用户的无线终端中,不同的无线用户通常适用不同的防火墙规则。
3.2 AP安全防护与侦测
由于AP暴露于无线网络中,应采用RF的侦测功能,对AP启用有效的保护,为此可实时监测整个校园的无线网覆盖区域,将所有AP接入纳入侦测范围,并与其附近的AP、设置错误的AP和未授权的AP进行区分。无线网络通过安全管理系统,可帮助网络安全管理人员及时、有效的发现是否存在非法的AP接入与破坏性的数据信息,一旦发现此类安全状况,则立即开启系统的自我保护体系,防止无线终端通过非法AP连接,从而对无线网络的运行造成安全威胁。
对于用户认证,无线网络的接入认证和加密防范可在无线交换机上实现,而瘦AP是不储存任何网络配置(IP地址除外)和安全设置。因此管理的AP是不能单独工作的,因此获得和接入进AP,黑客也不会拿到无线网的网络和安全配置参数。
3.3 无线接入的安全防范
无线终端安全防范主要是预防病毒,因此需要对接入终端进行接入检查。在无线终端接入网络后,需要用户进行身份认证,并同时下载一个基于JAVA的检测程序,该程序对无线终端进行系统性的检测,通过检测后,提醒用户安装系统安全补丁、病毒防护软件,在访问网络时能提醒用户对病毒库进行升级。如无法通过检测,则对无线终端的系统安全漏提醒若干建议,并暂时禁止其访问网络。同时,要加强对无线终端的认证管理,校园网可通过一一对应的用户账号与密码,来管理不同的用户。在网上准备一台升级服务器,将系统补丁、防病毒软件、安全认证软件、系统检测程序、安全监控程序均放置于该服务器上,当无线终端不具备接入条件时,可将其导向连接到该服务器,在安装了服务器提供的程序后再进行新一轮的检测,当无线终端通过接入检查,再启动网络监控程序,对终端的数据信息进行安全监控。
综上所述,根据惠州经济学院的无线局域网的运行要求,在实际中进行了此无线网的设计,架构无线局域网应根据选型来组建,在构建过程中应尽量考虑采用专业设施及投入,同时也应考虑无线网络的支撑系统的持续能力,以减少网络运行中的问题,保证网络性能的发挥。
参考文献:
[1]张栋轶,无线局域网技术与实现[J].科技信息,2011.15.
第3篇:校园网设计方案范文
关键词 中学校园;中小型机房;班班通;校校通;数字校园
中图分类号:G637 文献标识码:B
文章编号:1671-489X(2017)09-0022-02
1 前言
中学中小型机房建设对于学校信息化应用具有重要保障作用,是学校信息化建设工作的一个重要节点。随着计算机多媒体网络通信技术越来越广泛的应用,加强机房建设和管理可以更好地保障信息化设施为教学发展服务,提高学校的管理水平、教学水平、技术素质和工作效率。实现学校教学和教学管理信息化,要切实重视机房建设,包括管理与维护。
2 机房建设和管理是刚性需求
随着学校计算机课程的普及,网络教室建设,信息化教学方式的应用,数字校园正在成为一种新的学校形态和发展趋势,深刻改变传统学校的面貌。学校机房建设和管理、维护,在这一进程中具有重要的保障功能。
良好的机房运行可保障学校信息化设施畅通无阻、稳定高速,可以高效进行现代化网络办公和学校内部的即时沟通,轻松实现学校对校园网的管理。机房良好的多媒体承载能力,保证了网络教室、语音功能教室、电子阅览室等网络教学资源的共享,具备快速处理学生网络电子档案、网络作业并保存相关信息的能力,满足多媒体教学的需要。
中小型机房切合中学校的实际应用需求,体现了学校特点,组建一个良好的中小型机房是学校信息化发展的现实需求。
3 机房总体设计的指导思想
机房对教学信息化应用过程、学校的日常信息管理(包括教学资料和学生档案、网络作业等)提供直接支持,是学校各类信息的网络管理中心。机房建设须按照实际情况进行选择与实施。
实用原则,满足实际的功能需要 机房建设要切实做到从实际需要出发,在方案设计中充分体现“以人为本”,以有效发挥全部功能,并且有一定前瞻性,考虑未来发展需要为标准,“够用”“实用”“可扩展”为基本要求。
具备的功能:支持利用FTP服务实现资料的传输以及学校、班级或个人主页的上传;支持实现能够共享资源的教育资源库,供师生检索、查询;支持实时或非实时方式的远程多媒体教学,进行视频会议;支持建立学校网站,可利用外部网学校信息,提供各类咨询信息等;可利用内部网进行管理,如通知、收集学生意见等。
济耐用 机房不仅要兼顾美观、实用,而且要本着严谨科学的态度,管理机房基础设施建设,认真核定建设成本,做到投入合理、费用明晰、支出有序,避免造成资金浪费。机房建设的资金投入一般是比较大的,学校应从稳定性、反应速度、扩展性和管理能力等众多方面综合考虑,切实把握学校的应用需求和特点,合理安排资金,做好建设规划。
高效畅通,具备快速处理相关信息的能力 校园网首先应是技术先进、覆盖全校的校园网络环境,即“班班通”,同时也是分布、开放的大网络环境,即“校校通”。学校师生出于教学过程的需要,往往会连接校园因特网进行资料查询,这是师生快速获取资料的最佳途径。机房要具有将各种工作站及终端,通过高性能的网络设备连接的功能,设计上应该使软硬件在系统充分适应信息化要求的基础上,使各个组成部分相互实现有效配合,以充分发挥出信息平台的作用。
机房应支持同时启用校园网监控系统,并保障系统的正常稳定运行,及时排查故障,避免出现重复、设备丢失和损坏,造成不必要的损失;实施对校园网的网络监控、流量监控,对用户使用互联网的情况进行管理和控制,避免一些用户滥用软件占用带宽,拖慢其他用户浏览网页的速度。利用防火墙技术,阻止非法用户访问网络资源,保证数据传输、存储的安全。
及时升级更新设施技术 学校机房需要全天候进行大量资料的更新、上传、下载,越来越频繁的网络运行传输,需要与时代同步,适时采用先进的网络通信技术支持。
管理者应不断跟踪国内外的最新计算机多媒体网络通信技术动态,适应系统管理目标的发展特点及网络通信技术的更新换代,使主机系统的选择、网络结构的设计、网络的管理和连接方式等,始终保持一定的先进性。可以通过适时升级校园网的服务器等对机房进行更新管理,做到与技术发展同步,方便适用。
加强机房建设综合质量管理 机房建设集建筑施工、设备安装、电气敷设、网络连接等多个项目环节于一体,其整体工程质量的优劣直接关系到机房系统能否稳定可靠运行,各类信息通信能否畅通无阻,操作人员能否有一个安全无隐患的工作环境。为切实保障机房的建设质量,要注重综合管理,加强专业监管,保证每一个环节都适应机房运行要求。机房基础设施建设,如设备运行环境、安全防护设施、电力供配状况、消防灭火报警、防盗报警装置、防雷接地自动监视控制处理系统等,一定要在一个安全运行的空间里。
4 主要网络设备的选择原则
一个合格的机房,应该是一个实用、安全可靠、节能高效的机房。根据已制定的机房设计原则,学校选择的网络设备在硬件上,必须保证设置的计算机、网络等设备能长期运行;软件要采用技术成熟的产品选型,达到安全、耐用的目的。主要网络设备必须具有以下四个特点。
质量安全、性能可靠 网络设备是整个校园网络系统的硬件基础,是确保校园网络系统稳定运行的物质基础,对于安全性、稳定性和可靠性具有较高的要求。因此,在选择网络设备的时候需要严把质量关,优先选择被用户广泛认可的知名网络产品,并按照相关标准对相关设备进行检测,确保质量达标。
技术上先进 机房所选择的网络设备应该采用时下较为先进的技术,使主机系统、网络结构设计、网络管理和连接方式具有一定的先进性,确保网络设备在未来较长的时间内不会由于技术原因而被淘汰。在未来校园机房升级改造时,如果这些网络设备难以满足负荷要求,还可以降级使用,避免资源的浪费。
具备优良的扩展功能 机房必须具有良好的灵活性与可扩展性,具备支持技术升级、设备更新、多种网络传输、多种物理接口的能力。为了避免不必要的重复投资,最好能够根据需要,做到在网络技术进一步发展,现有模块不支持新技术的情况下,只需要更换相应模块,而不需要更换整个设备。
便于管理,维护方便 机房的网络系统要具有良好的可管理性,为用户提供友善的管理界面,安装、使用方便,还需要相配套的科学合理的管理措施,才可以充分发挥网络设备的效用。因此,选择的设备应该可以支持现有的、常用的网络管理协议和多种网络管理软件,还要便于进行故障定位和检修,便于管理人员的维护。
5 网络教学系统的多样化功能
机房建设的设计,应充分考虑学校现有教学设备的实际情况,采用的先进技术应尽可能覆盖这些设备设施,网络要做到全覆盖,包括所有的办公室、教室、多功能视听网络教室以及师生宿舍等,实现合理分配教学资源,学校管理工作和教学活动的全方位信息化,为学校信息化教学发展提供有力支持,实现多媒体互动教室、计算机网络教室、多功能演播厅、视讯点播电子阅览室、电子备课室、信息中心等设施及设备的教学应用。
完善、运行良好的中学机房最终应能实现教师机与学生机之间的多媒体教学功能,满足教师和学生平时上课所需;运行常用软件如Office、平面设计、网页制作、动画设计软件和程序设计软件、数据库软件等。学生可以在机房利用计算机做一些和课程有关的模拟实验,以锻炼自己的想象力和实际动手能力,还可以扩充学习课外知识,如网络在线培训、课件制作、多媒体制作、互联网、计算机语言等。
第4篇:校园网设计方案范文
【关键词】校园网;数据整合;中间件整合技术
1.引言
伴随着网络的迅猛发展,信息技术得到了前所未有的发展和应用,在信息技术发展中,开发者和使用者逐步认识到,数据是信息技术中的应用核心,没有数据的系统,是没有任何意义的硬件和软件的叠加如同没有生命的躯体,只有加上了数据在上面流通,如躯体有了血液,才有实际意义。同时为了保证系统的未定性和可用性,数据就需要有完整性、准确性、安全性、完整性等。
校园信息化从上世纪90年代开始快速发展,由于早期对数据预期不足,开发人员个体差异等各种原因,数据重复,凌乱、冗余、关联性不够等相关问题接踵而至。就长江职业技术学院来说,经过多年的信息化建设,学院在不同阶段因为不同业务的需求,搭建了大量不同业务的系统,伴随着系统也产生了大量的数据,在开发过程宏由于技术、需求的原因,从单个软件系统的应用的角度看,这些数据均具有较高的完整性、准确性、安全性、一致性、可用性都不成问题,但整个学院的校园网络来看,对于不同的领导、部门、科室,多个业务系统数据存在交叉,数据存在着种类多、关联性差、无同步性。整体表现为缺少统一规划和集中管理,标准化不高,大量无效冗余等问题。相关数据只为单个系统提供服务,无法实现全局同步、共享等,数据孤岛现象明显,由此产生形式上的数据冗余。因此如何从全局角度出发,对数据的完整性、准确性、安全性、一致性可用性,进行处理成了大量企事业单位面临的一大困难,数据集成的必要性和迫切性就不言而喻,不断被推至信息发展的首要位置。
2.数据现状
经过学院多年的信息化发展,目前学院已开始使用,不包括正在开发的各种业务系统有20个,开发系统大部分属于不同的开发人员、开发阶段和不同的业务要求,每个应用系统均自己的数据库。
这些系统都是学院在不同的阶段为解决不同的业务需求而建设的,各系统之间没有考虑关联,产生的数据相互之间也没有关联。这造成了目前多头存放的数据之间存在着无效冗余。
数据系统主要存在以下问题:
(1)数据共享差
随着学院的发展,不同时期产生的系统种类繁,学院各部门、科室相互沟通较少,大多数系统基本上是针对学院某一单一管理业务,累积的数据也仅限于部门或科室内部使用,系统之间即使相同的数据也无法进行有效关联与更新,缺乏信息的充分融合,不能实现信息互动,在实际使用中如:查询学生是否满足毕业条件都需查询两个系统以上可以得出结论;
(2)数据缺乏规划
不同时期不同人员不同软件开发的数据库种类多、杂。学院数据但缺少统一规划和集中管理,相关数据时效性不强,标准化不高,并有大量无效冗余,大量的学生及教师数据库无法在全局内共享服务,操作人员需多处修改数据,数据孤岛现象明显;
(3)数据可用性低
在众多系统中,同一人员进入学院的不同应用系统需不同的密码和身份标示,应用无法有效的统计分析现有数据,提供决策支持信息。
3.数据整合
由于数据资源不能够很好地共享,从而不能满足各单位对信息资源整体开发利用的需求,因此需要对数据进行必要的整合。目前在数据整合领域,通常采用联邦数据库技术、数据仓库、中间件技术等方法来构造集成的系统,这三种方法在不同的着重点和应用上解决数据问题。
联邦数据库是由Hammer和MvLeod于1979首先提出,在1985年进行了完善,在联邦数据库中数据源相互独立,为了实现整合,将各个不同数据源之间用于交换的数据格式进行一一映射,提供访问结构,分享数据,其有点事,整合的数据源保留在原有的存储文职,减少了一定资源的浪费,缺点是扩展性差、查询反馈较慢,由于其是基础IBM的DB2数据库系统,对于不用数据库资源整合极大不利。
数据仓库就是一种信息集合,要将处理后的数据资源存储在相同的物理问题,使用户访问的复杂度得到简化,提高访问速度。缺点是功能逻辑复杂,开发成本较高系统运行开销较大。
4.数据整合方案-中间件整合技术
中间件技术即当客户端需要查询某些数据时,相关数据或服务存在于不同的操作系统服务器上,服务器应用程序长得查询模块只需要调用中间件系统就能够获得数据或服务,并将结果返回给客户端。其优点是可以较好应付不同平台的数据资源整合,使程序的结构层次清晰,降低程序设计的复杂度,同时又大大节约成本。
在联邦数据库系统、数据仓库技术、中间件技术三类数据整合技术中,功能和实现方式上各有所长,校园网络发展多年,在保证大部分系统正常运行的情况,采取有效的措施解决信息孤岛来实现校园网络信息整合是关键所在,中间件整合技术在校园数据整合中,不但可以降低成本,还可以兼容多个数据平台,是实现校园数据整合的关键所在首先重新设计数据库开发周期长,花费高是不可取的。
开发中在不改变原有应用系统的前提下,每个系统独立运行,对局部进行变动使用中间件技术,使得各应用系统可以通过这个中间件相互访问,查询各自信息资源,实现资源共享和信息传输,同时保证数据的一致性和完整度。其次统一开发结构和数据库建设方案对后续开发的系统学校统一开发结构,对个数据元素按照用途划分类别,按业务环节和流程划分数据类、数据子类、数据项,并进行标准化统一编号。规划设计完成后,起实施可分为转换和统一两个阶段,逐步实施。
对象关系映射(Object Relation Mapping,简称ORM),面向对象的开发方法是当前商业开发应用软件的主流开发,其注重利用元数据将数据在对象数据库表格之间来回映射,从而确保访问代码不直接侵入域或对象,ORM系统一般是以中间件的形式存在,主要实现程序对象到关系数据库数据的映射。就好比是程序中业务实体对象鱼数据库中关系数据之间的纽带,主要作用是管理处于持久化状态的域对象,提供通用数据访问方法,优化数据访问性能,极大简化和优化了发杂的数据持久化问题,数据库操作对业务逻辑编程透明,可以使编程人员更专注开发业务逻辑功能,提高了开发效率。
我们在校园数据整合中采用目前最为广泛使用的 Hibernate作为中间整合件,它是使用最为广泛的开源框架,它成功第实现透明持久化,一面向对象的HQL封装SQL,提供了一个简单灵活且面向对象的数据访问接口。对象持久化就是把数据同步保存到数据库或某些存储设备中。在传统的三层结构中业务逻辑层要负责业务逻辑和访问数据库, 对于纯面向对象语言来说,三层结构没有达到MVC 框架所要求的目标,因而演变出四层结构,在四层结构中实现了逻辑层和对象持久化层的分离。目前大多数校园网的业务系统都是独立的,特别在持久化层,经过整合之后可以把所有系统数据层抽象为一个整体,由Hibernate 框架完成,结构如图1所示。同时当我们只对数据库MySQL 和SQL2000有需求时,这样数据库就可以保持不变,学生处或者教务处的系统进行代码修改就可以了由于Hibernate对SQL 语句的封装,对于这样的改进是很容易的实现的,大大简化了开发难度。在这种结构下可以采用XML 文件的方式来配置异构数据库。
第5篇:校园网设计方案范文
关键词:校园网;WLAN;无线局域网;网络安全
中图分类号:TN925.93
校园网不仅为在校师生对网络大量资源的访问和获取提供了方便,更成为现今学校教育中的一项重要的基础设施,为学校教育发挥着重要的作用。随着无线网络技术的普及,在有线校园网的基础上构建WLAN局域网络成为现今校园网络发展的主方向。无线网络的建设,有效了弥补了有线局域网存在的不足,同时也使多人同时上网的问题得以良好的解决。
1 无线局域网的原理
无线局域网,即WLAN,在我国发展已经有较长一段时间,技术相对来说是比较成熟的,其原理是通过无线通信技术使多个计算机设备互联,形成具有能够资源共享和互相通信能力的网络体系。用户可以采用计算机终端、掌上电脑、智能手机等多种终端设备在无线条件下对互联网快速的接入并访问。WLAN所采用的传输方式为红外线传输或者射频传输,其中射频传输因其覆盖范围广、有较大的带宽且作用距离长等优势使用最为广泛。WLAN在空气中利用电磁波进行数据的接收和传送,在室内和室外都可实现数据传输,即使两地相距几十千米,如果采用无线桥接的模式依然可以实现数据的接收和发送。WLAN采用的协议标准目前应用最广的是IEEE802.11系列,其中应用最普遍的是IEEE802.11b,其所采用的频段为2.4GHz。IEEE802.11a采用的频段是5GHz,其速率较高,最高可达到54Mbps,但是因其投入成本较高且覆盖范围较小,多在中继链路中采用。IEEE802.11g,能够适应以上两种标准,既可以在2.4GHz的频段工作,又可以提供54Mbps的速率,逐渐发展成校园和企业无线局域网络的主流标准。
2 基于校园网的WLAN的建设原则
校园无线网路的建设不同于社会其它企业和单位的使用需求,因为校园网络教育功能的主要特点,在校园WLAN的建设上要全面充分的考虑到校园教育的需要,最大限度的满足校园网各方面的需要:(1)可靠性。必须保证系统运行的稳定可靠,对于关键的网络设备的运行要有足够的冗余;(2)先进性。校园WLAN的建设要采用现今成熟和先进的信息和网络技术,充分考虑到日后技术发展的方向和业务的需要,尽可能的适应未来发展的需要;(3)可兼容性和可扩展性。在建设校园网WLAN时,要争取做到结构清晰,并具有良好的扩展能力,配置的硬件具有良好的可靠性,界面友好易操作;(4)安全性。对于任何一个网络系统,安全性都是非常重要也是管理最为薄弱的环节。采用有效的安全性保障手段是非常必要的,这直接关系着网络整体运行的稳定性和持续性。
3 基于校园网的WLAN建设方案
3.1 WLAN的组网。本文提出的基于校园网的WLAN的建设方案,采用蜂窝状的信号对校内的热点区域加以覆盖,从而实现校园内的无线网路信号的全面的无缝的覆盖。在校园每个热点区域AP通过交换机在独立的VLAN中进行划分,此VLAN为了将校园网和没有经过认证的用户之间做以安全隔离,在中心不进行三层交换。针对校园无线局域网用户多,范围广的特征,要求必须严密的安全认证和优质的网络性能。但是为了保证网络保持良好的性能,不能在一个VLAN内江整个无线网路划入进去。因此,在校园网的WLAN建设方面,本文提出的方案采用将网络覆盖区域加以划分,按照区域和用户数进行子网的划分,每个子网都有一立的无线网路控制器进行管辖控制,从而实现用户分流,减少网络运行的压力。
3.2 网络架构。本文提出的基于校园网的WLAN建设方案采用三层网络架构:第一层为管理层。此层主要负责认证、计费、管理等任务,管理层由两台主要服务器组成,接入服务器是运营商对接的接口,还对下一层用户发来的认证请求进行处理,根据认证类型转发请求到服务器本地接入,再对用户账号进行判别,并将结果向底层的无线网络控制器进行反馈。管理层是核心层,管理层运行是否稳定,直接关系整个无线网的运行,鉴于此,管理层需要保持一定的冗余,接入主、备两台服务器。第二层为控制曾,有多台无线网络控制器组成,每台控制器对各自的子网的无线用户进行单独的控制,对认证请求进行接收并向认证服务器转发,同时还为上一层采集用户计费信息。第三层接入层,由若干个AP组成,负责接入各种终端设备。
3.3 安全网络认证。WLAN用户的安全认证、数据加密比有线网络更加严密,要求更高。本文提出的WLAN建设方案,采用利用无线网络控制器,提出基于WPA2认证和和WEB+DHCP认证的用户安全认证的方案。无线网络控制器采用WPA2认证,与WPA后向兼容,但是WPA2对更高级的算法支持,对无线网的安全问题更有效的解决,安全保护更优。为了使用户用起来更便捷,操作更简单,提出一种WEB+DHCP认证方法,此种认证方法不需要安装软件,只要将浏览器打开即有认证界面弹出,只需输入账号名和密码即可。
3.4 网络管理。本方案采用了网管系统WNMS,采用标准协议SNMP进行网络设备的配置、管理和数据采集,而且利用WNMS对设备参数进行管理和故障诊断。同时WNMS还可以对无线网络控制器、AP和相关设备的关系清晰、直观的反映出来。由于无线AP孤立地分布在比较分散的位置,因此在一个完整的WLAN解决方案中,WNMS系统将成为保障无线网络稳定运行中占据十分重要的地位。
4 结束语
校园WLAN是在计算机网络技术结合先进的无线通信技术基础之上衍生出来的,是现今校园计算机有线网络顺应时展需要建立起来的一种新的传输方式,并为在校师生通信的移动化、个人化和多媒体应用提供了潜在的手段,发展前景。
参考文献:
[1]王岗.WLAN的安全发展及解决方案[J].中国数据通信,2012(02):34-35.
第6篇:校园网设计方案范文
【关键词】校园网 建设 网络安全
【中图分类号】G647 【文献标识码】A 【文章编号】1674-4810(2013)18-0039-01
一 校园网的功能
校园网内部通过电缆或光缆连接服务器、工作站及各种通信设备,对外通过DDN专线或其他通信线路连通Internet。学校可通过校园网查询并统计包括学生学籍资料及学习成绩、教师档案及业务情况、学校财务数据报表等在内的各类资料;通过学校主页进行各类信息;通过电子邮件系统收发各类通知及教学资料等。教师可通过电子备课系统、计算机辅助教学系统等开展高质量、高效率的教学工作;可通过国际互联网查询资料,随时了解教科研的最新动态。学生可通过校园网学习、巩固知识,还可根据自己的兴趣在网上进行科学探索,撰写论文。
二 校园网的建设
为实现以上功能,学校可制定如下构建方案:
1.硬件环境
第一,主干网络技术的选择:选用1000M交换式快速以太网。
第二,网络集成环境的组建:(1)校园网络控制中心。它是整个校园网的心脏,配置WWW服务器、FTP服务器、邮件服务器、文件服务器、Internet服务器、交换机(神州数码5600)、路由器(神州数码2626)配线机柜、UPS电源等。(2)教师办公中心。教师可通过校园网查询资料,了解教科研的最新动态,交流教学内容和方法,实现资源共享。(3)多媒体网络教室。通过交换机(二层交换机),将学生用机、教师用机接入校园网,使其都能访问网络控制中心文件服务器的内容,并增加适当的多媒体外部设备,开展多媒体教学,提高教学质量。(4)学生机房。通过星形网络拓扑结构将所有电脑连接到可堆叠交换机上,再通过交换机连接到校园主干网。在机房内完善多媒体教学平台,使之成为一个既能完成信息技术学科教学,又能进行多媒体辅助教学,还能开展基于Internet的网络活动的多媒体网络活动室。(5)学校各机构办公室。通过交换机与校园主干网相连,以实现学校信息管理的自动化。
2.软件环境
第一,服务器操作系统采用Windows 2000 Server。服务软件采用Microsoft ISA。Web服务系统选用Windows 2000 Server下的IIS信息服务系统。
第二,教师机工作站选用Winxp作为操作系统,安装多媒体课件制作软件、数据库管理系统、办公软件和一些工具软件等。
第三,院长和管理人员计算机选用Winxp操作系统,除安装办公软件外,还可安装一些相关的管理软件(如教师评价系统、校园监视系统等)。
第四,网络机房学生机选用Winxp作为操作系统,并安装适当的教学软件。如安装Internet仿真教学系统,可以进行仿真的Internet学习,将机房转变为可以进行Internet教学的教室;在适当的时候可直接连入Internet。安装网络考试系统,可通过网络考试系统进行网络考试,实时得到考试分数和讲评,使电脑机房在多学科的教学中发挥作用。
第五,多媒体网络教室选用Winxp作为操作系统,并安装New Class多媒体教学系统,实现管理、控制、共享和通讯等功能,进行广播、监看/监听、电子举手、学生示范、远端遥控等多媒体教室的教学。
三 校园网的安全问题
1.复杂性
现在大学校园的教学逐步走向网络化,学生在线学习、娱乐的时间增加,所以保证校园网的稳定及安全至关重要,还必须提供24小时正常和高效的网络运行,因此网络维护利用显得尤为重要。
2.用户密集性
在教学区、学生公寓区、家属区等,出现网络安全问题时,蔓延速度快,对网络影响严重。某台计算机由于各种原因出现故障,反过来又会影响整个网络。而且大学生好奇心强、敢于尝试,不考虑网络的运行环境,在网上随意下载各类资源,不顾及是否有风险,是否会对网络产生破坏和影响。
3.校园网业务多,开放性强
校园网是教育教学及科研的特定场所,是新知识、新技术最先应用的场所,业务项目多,网络环境相对较宽松。如果哪一部分影响网络的运行安全,很难简单采取停止该服务或关闭该端口的措施,所以存在较大安全隐患。
第7篇:校园网设计方案范文
关键词:校园网络安全;安全防御机制;蜜罐;蜜网
中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)33-9234-03
随着基于计算机网络技术的现代教育手段应用的日益广泛, 各地建设校园网的热情空前高涨。校园网的普及对加快信息处理、合理配置教育资源、充分利用优质教育资源、提高工作效率、减轻劳动强度、实现资源共享都起到了不可估量的作用,信息安全问题也日益突出。 作为从局域网基础上发展起来的校园网也面对这样的安全问题。 因此, 解决网络安全问题刻不容缓。网络与信息安全技术的核心问题是对计算机系统和网络进行有效地防护。网络安全涉及面很广, 从技术层面上讲主要包括防火墙技术、入侵检测技术、病毒防护技术、数据加密和认证技术、蜜罐技术等, 这些安全技术中, 大多数技术都是在攻击者对网络进行攻击时对系统进行被动的防护。而可以采取主动的方式的蜜罐技术就是用特有的特征吸引攻击者, 同时对攻击者的各种攻击行为进行分析并找到有效的对付方法。结合蜜罐构建的网络安全防御系统, 可使网络防御者化被动为主动, 更好地研究入侵者的行为和动机, 从而更好地保护校园网络。
1 蜜罐的定义及分类
“蜜罐”的思想最早由Clifford Stoll 于1988 年6 月提出,作者在跟踪黑客的过程中,利用了一些包含虚假信息的文件作为黑客“诱饵”来检测入侵。明确提出蜜罐是Lance Spitzner 给出的定义:蜜罐是一种安全资源,其价值在于被探测、攻击或者摧毁。蜜罐是一种预先配置好的系统,系统内含有各种伪造而且有价值的文件和信息,用于引诱黑客对系统进行攻击和入侵。蜜罐系统可以记录黑客进入系统的一切信息,同时还具有混浠黑客攻击目标的功能,可以用来保护服务主机的正常运行。蜜罐系统收集到的信息可以作为跟踪、研究黑客现有技术的重要资料,可以用来查找并确定黑客的来源;还可以用来分析黑客攻击的目标,对可能被攻击的系统提前做好防护工作。
蜜罐在编写新的IDS特征库、发现系统漏洞、分析分布式拒绝服务(DDOS)攻击等方面是很有价值的。蜜罐本身并不直接增强网络的安全性,将蜜罐和现有的安全防卫手段如入侵检测系统(IDS)、防火墙(Firewall)、杀毒软件等结合使用,可以有效提高系统安全性。
按照蜜罐实现时,允许操作系统与入侵者交互的复杂程度,蜜罐系统可以划分为低交互级蜜罐系统、中交互级蜜罐系统和高交互级蜜罐系统。
1) 低交互级蜜罐系统:典型的低交互级蜜罐仅提供一些简单的虚拟服务,例如在特定的端口监听记录所有进入的数据包。这类蜜罐没有向入侵者提供可以远程登录的真实操作系统,因此风险最低,但是蜜罐所扮演的角色是非常被动的,就象一个单向连接,只有信息从外界流向本机,而没有回应信息发出,无法捕捉到复杂协议下的通讯过程,所能收集到的信息有限。
2) 中交互级蜜罐系统:中交互级蜜罐系统也不提供真实的操作系统,但是却为入侵者提供了更多复杂的诱骗进程,模拟了更多更复杂的特定服务,使攻击者误认为是一个真正的操作系统,能够收集更多数据。但同时也增加了蜜罐的风险,因此要确保在模拟服务和漏洞时不产生新的真实漏洞,而给黑客攻击真实系统的机会。
3) 高交互级蜜罐系统:高交互蜜罐提供了真实的操作系统和服务,可以了解黑客运行的全部动作,获得更多有用信息,但遭受攻击的可能性大,引入了更高风险,结构较复杂。高交互蜜罐系统部署的代价最高,需要系统管理员的连续监控。不可控制的蜜罐对任何组织来说没有任何意义甚至可能成为网络中最大的安全隐患。
从具体实现的角度,可以分为物理蜜罐和虚拟蜜罐。
1) 物理蜜罐:物理蜜罐通常是一台或多台真实的在网络上存在的主机,这些主机上运行着真实的操作系统,拥有自己的IP 地址,提供真实的网络服务来吸引攻击。
2) 虚拟蜜罐:虚拟蜜罐通常用的是虚拟的机器、虚拟的操作系统,它会响应发送到虚拟蜜罐的网络数据流,提供模拟的网络服务等。
2 蜜罐的配置模式
1) 诱骗服务(deception service)
诱骗服务是指在特定的IP服务端口帧听并像应用服务程序那样对各种网络请求进行应答的应用程序。DTK就是这样的一个服务性产品。DTK吸引攻击者的诡计就是可执行性,但是它与攻击者进行交互的方式是模仿那些具有可攻击弱点的系统进行的,所以可以产生的应答非常有限。在这个过程中对所有的行为进行记录,同时提供较为合理的应答,并给闯入系统的攻击者带来系统并不安全的错觉。例如,当我们将诱骗服务配置为FTP服务的模式。当攻击者连接到TCP/21端口的时候,就会收到一个由蜜罐发出的FTP的标识。如果攻击者认为诱骗服务就是他要攻击的FTP,他就会采用攻击FTP服务的方式进入系统。这样,系统管理员便可以记录攻击的细节。
2) 弱化系统(weakened system)
只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。这样的特点是攻击者更加容易进入系统,系统可以收集有效的攻击数据。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,需要运行其他额外记录系统,实现对日志记录的异地存储和备份。它的缺点是“高维护低收益”。因为,获取已知的攻击行为是毫无意义的。
3) 强化系统(hardened system)
强化系统同弱化系统一样,提供一个真实的环境。不过此时的系统已经武装成看似足够安全的。当攻击者闯入时,蜜罐就开始收集信息,它能在最短的时间内收集最多有效数据。用这种蜜罐需要系统管理员具有更高的专业技术。如果攻击者具有更高的技术,那么,他很可能取代管理员对系统的控制,从而对其它系统进行攻击。
4) 用户模式服务器(user mode server)
用户模式服务器实际上是一个用户进程,它运行在主机上,并且模拟成一个真实的服务器。在真实主机中,每个应用程序都当作一个具有独立IP地址的操作系统和服务的特定是实例。用户模式服务器这样一个进程就嵌套在主机操作系统的应用程序空间中,当INTERNET用户向用户模式服务器的IP地址发送请求,主机将接受请求并且转发到用户模式服务器上。这种模式的成功与否取决于攻击者的进入程度和受骗程度。它的优点体现在系统管理员对用户主机有绝对的控制权。即使蜜罐被攻陷,由于用户模式服务器是一个用户进程,那么Administrator只要关闭该进程就可以了。另外就是可以将FIREWALL,IDS集中于同一台服务器上。当然,其局限性是不适用于所有的操作系统。
3 蜜罐Honeypot 的在校园网中的实现
本人首先研究了宜兴技师学院的网络环境和面临的安全威胁,分析了校园网的特殊性及校园网的安全需求, 根据校园网的需求和特点, 再结合宜兴技师学院网络的硬件设施和学院的具体情况, 提出了我院的网络安全解决方案,构建了本院的蜜罐系统,取名为:HoneypotMe。我们设计该蜜罐系统的目的是为了研究和验证蜜罐在校园网安全领域所起的作用,通过实践加深对蜜罐思想的理解,并进一步在实际环境中使用它来加强网络的安全性。
我们在校园网中搭建了如下的试验平台, HoneypotMe 的系统结构及虚拟网络拓扑结构如图1 所示。HoneypotMe 是由虚拟网络、虚拟蜜罐、防火墙、虚拟蜜罐的日志及分析系统、入侵检测系统及被动探测系统几部分组成的综合系统。
这里的虚拟蜜罐系统建立的是一个虚拟的网络和主机环境。它通过模拟操作系统的TCP/IP 栈来建立蜜罐,可模拟各种不同的操作系统及设备,如Linux,Windows 2000,Windows NT,Cisco Switch等。它采用的方式是使用与Nmap 或Xprobe 相同的指纹(fingerprint)数据库来模拟操作系统,以响应针对虚拟蜜罐的网络请求,这样可以愚弄像Xprobe 或Nmap 这样的TCP/IP 栈指纹识别工具。另一方面,这个系统也可以模拟虚拟网络拓扑,在模拟的网络配置中包含路由器,并且包含路由器的连接特性,比如反应时间、包丢失和带宽等。这样可以愚弄traceroute 这类工具,使网络流量看起来遵循了所模拟的网络拓扑。在我们的系统中,不仅通过栈指纹愚弄和吸引攻击者以探测攻击,而且还建立了一些模拟的服务,让它们来与攻击者进行交互作用。不同的系统平台上通过脚本模拟着不同的服务,例如:在模拟的Windows 系统上打开NetBIOS端口,在模拟的 Linux 系统中激活mail 和FTP,而模拟的Cisco 路由器有一个标准的Telnet 端口,这样可使建立起来的网络环境看上去更加真实可信。每个被模拟的计算机系统都有一个IP 地址与之绑定,这些被绑定的地址是一些未被分配网络地址。这样配置起来的系统灵活多变,与真实的生产性系统混合在一起,更增加其诱捕和欺骗作用。图3.9 虚线框中所示就是为实验环境设计的虚拟蜜罐的网络拓扑图。Honeyd 是一个构建虚拟蜜罐的软件,可以利用它实现我们构建虚拟蜜罐的目标。另外,作为一个开放源代码解决方案,可为开发利用提供方便,比如,可编写其它的服务脚本以扩充系统的功能等。为了防止由于攻击者对蜜罐系统的破坏,使蜜罐系统瘫痪,可使用防火墙来保护该蜜罐系统。防火墙被配置成允许任何连接进入到几个虚拟蜜罐中,但是严格控制到系统本身的访问,本系统选用IPTables 来保护宿主OS 的外部IP 地址。收集和分析攻击者的信息是HoneypotMe 能力的一项重要体现。由于蜜罐没有生产性的活动,没有任何正常流量会流向它正在监视的几个IP 地址。这使得分析它捕捉到的信息极其简单,因此它捕捉到的任何东西很可能是具有敌意的。Honeyd软件有生成日志的功能,日志全面描述了什么系统什么时候正在探测什么端口。IDS 能对已知的攻击发出警报,同时可将所有网络流量记录到一个文件或数据库中。为了获得分析数据包捕获的更详细的信息,在HoneypotMe 蜜罐系统中安装和配置了Snort 入侵检测系统。Snort 收集到的信息一方面记录到Snort 的日志文件中,另一方面记录到Mysql 数据库中以便观察和统计分析之用。另外,我们打算利用被动探测详细地分析攻击者的特征。这就需要捕获原始数据包供被动探测工具使用。可利用Snort 入侵检测系统获取Tcpdump 这样的二进制日志记录格式以作为被动探测工具的输入数据,获取攻击者更详细的信息以实现隐蔽探测。
正如我们所看到的,蜜罐系统使用许多独立的工具和脚本创建,在其中还包括一些日志文件和数据库供分析之用。开发图形用户界面来配置、管理蜜罐以及集中管理所有信息来源是我们的目标。蜜罐收集了许多来自不同来源的信息,将它们存储到多个日志文件和数据库中。用GUI 来分析这些文件和使所收集的数据相关联是会有很大的帮助的,这样的话管理员就不需要记住存储数据的所有文件。另一个很主要的优点是其外观,在基于web 的GUI 上表示信息比访问日志文件清晰整洁的多。目前,我们仅实现了在web 界面上浏览Honeyd 日志的功能。
4 实验过程及结果分析
为了验证该系统,虚拟蜜罐宿主机被连接到校园网的物理网络环境中,并为其分配一个真实的分配给物理计算机的IP 地址,在这里我们给其分配的IP 地址为192.168.40.7。所有实现虚拟蜜罐系统的软件都将运行在Linux9.0 操作系统下。图3.9 的虚线部分显示出我们要模拟的虚拟网络结构及各个虚拟蜜罐。从图中可以看出虚拟蜜罐1(IP 地址为192.168.40.56)、虚拟蜜罐2(IP 地址为192.168.40.57)、虚拟蜜罐3(IP 地址为192.168.40.58)和虚拟蜜罐4(IP 地址为192.168.40.59)与虚拟蜜罐宿主机处于同一个网段。从这个网段通过一个IP 地址为192.168.40.123 的路由器(路由器1)模拟一个地址空间为10.0.1.0/24 的网络,在这个网段中包括两个虚拟蜜罐:虚拟蜜罐5(10.0.1.51)和虚拟蜜罐6(10.0.1.52)。从这个网段通过一个IP 地址为10.0.1.100 的路由器(路由器2)又增加了另一个地址范围为10.1.0.0/16 的网络,在此网络中分布了两个蜜罐虚拟蜜罐7(10.1.0.51)和虚拟蜜罐8(10.1.0.52)。
我们知道虚拟蜜罐系统是一个完全被配置起来的计算机系统,它在配置文件中描述每一个引用。
每个样本定义了每个模拟的操作系统的性能。“特征(personality)”这就是操作系统在IP 堆栈层要模拟的东西,可利用Nmap 指纹数据库里相同的描述作为它的OS 类型。在样本windows 里,特征为“Windows NT 4.0 Server SP5-SP6”,在linux样本里,它的特征为“Linux 2.4.16 C 2.4.18”。注意,特征并不影响所模拟的服务的行为,仅仅修改IP 栈的行为。对于所模拟的服务,必须根据想要模拟的OS 的类型选择不同的脚本。换句话说就是,如果特征是Windows,不要绑定一个模拟的Apache 脚本到HTTP 端口,而是绑定一个IIS 脚本到HTTP 端口。应该说,这些服务都是入侵者在相应的操作系统中希望找到的。在样本中,你可以为端口规定明确的行为,也可以定义为一般的行为。两个样本中将TCP 和UDP 的缺省行为定义为reset,因此在一般情况下,对于TCP 来讲将用RST(连接复位)去响应任意的连接企图,对于UDP,将用ICMP 端口不可达去响应。对于定义为open 行为的端口,对于TCP 将用ACK 响应,而UDP 将什么也不响应。从样本中可以看出,Windows系统的NetBIOS 端口处于打开状态;当一个机器与这个蜜罐的80 端口连接时,该蜜罐用IIS 仿真程序perl 脚本与客户机进行交互;另外Linux 系统的mail 和FTP服务被激活。上面的两个样本分别被绑定在不同的IP 地址上。
5 结论
总之蜜罐技术是灵活的,我们可以按照自己的实现目标来构建自己的蜜罐系统。在这里我们利用虚拟蜜罐框架来构建我们校园网的蜜罐,以实现蜜罐的欺骗和诱骗功能。为了控制黑客的行为,防止黑客对蜜罐系统的破坏和利用,在蜜罐系统中加入了防火墙,并选用了Linux 2.4 自带的内核包过滤的工具iptables。为了了解黑客的行为,在蜜罐系统中加入了信息收集和统计分析功能。通过开发web 接口的日志文件查询工具,使蜜罐管理员能够方便快捷地查询虚拟蜜罐框架收集的日志信息。为了获得更详细的黑客攻击和扫描信息并及时得到报警,使用入侵检测系统Snort 来满足我们的需求。最终,为了获取黑客自身的信息而又不被其发现,我们使用被动探测工具p0f 来获取黑客的操作系统指纹。这是实现隐蔽探测的一个很好的思路,即利用蜜罐来引诱攻击者的扫描和攻击,然后使用被动探测工具探查攻击者的信息。这也是我们构建蜜罐系统的一个创新点。综上所述,我们构建的蜜罐系统是一个实现了欺骗和诱骗、行为控制、入侵检测、被动探测、数据分析等功能的综合性蜜罐系统。
参考文献:
[1] 夏明,赵小敏.基于蜜罐技术的病毒样本采集系统的设计和实现[J].信息网络安全,2008(10).
第8篇:校园网设计方案范文
>> 基于ISA的虚拟校园网构建及应用 高校校园网建设与发展状况的思考 基于WLAN的高校无线校园网的构建与探讨 构建基于校园网的校本培训新模式 构建高校校园网 基于VLAN技术的高校校园网设计 基于新型VPN 技术的高校校园网改造 基于高校校园网的安全与对策 基于高校校园网的网络问卷调查系统的发展趋势 基于校园网的高校数据库发展与展望 VPN技术对于高校校园网发展的意义 基于Citrix XenApp的高校校园网应用虚拟化设计及研究 浅谈校园网的构建 浅谈高校校园网的建设 浅谈基于我国高校校园网的电子商务发展潜力 校园网的安全及对策 地方高校校园网安全体系的构建与维护 基于MHN蜜网的校园网防御部署及入侵分析 基于校园网的多媒体大学英语学习平台的构建 基于流媒体技术的校园网WebVOD的构建 常见问题解答 当前所在位置:l
[2] 范文杰.浅谈校园局域网方案[J].科技信息,2011.30:253
[3] 吴旭东,柳炳祥.校园网网络规划的设计与实现[J],电脑开发与应用,2011.24(11):64-65
[4] 刘彦会.浅探IPv6过渡技术在校园网升级中的应用[J].信息与电脑,2011.11:116
第9篇:校园网设计方案范文
关键词:QoS;拥塞管理;流量监管
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)34-8131-02
QoS(Quality of service)是网络的一种安全机制,是用来解决网络延迟、阻塞等问题的一种技术。QoS在不增加链路带宽的情况下,通过对网络的监测和管理提高网络的性能,它是网络中管理数据流的带宽、延迟、抖动及可靠性等技术参数的集合。
造成校园网络阻塞的主要原因是没有合理的分配和管理带宽的使用,让部分应用服务长时间占用大量带宽资源。如,大量的P2P下载、在线视频等非关键应用服务占用大量带宽,而远程登录、HTTP等关键服务却得不到保障。校园是P2P、在线视频应用最多的场所之一,如何有效的保障校园内的关键服务,是校园将要面对的一个问题。利用QoS对校园进行优化管理可很好的解决这个问题,为不同类型用户或网络应用服务分配不同的带宽,并对非正常的带宽使用进行控制,保证网络的正常运行。
1 QoS的服务模型
QoS的服务模型有下面三种:
1) 尽力而为服务模型(Best-effort):尽力而为服务模型其实没有QoS,路由器平等对待所有数据包,通过FIFO队列来实现。它适合大多数网络应用,如FTp、E-mail等。
2) 集成服务模型(Int-Serv):Int-Serv是一个综合服务模型,它使用资源预留协议(RVSP)。发送方在发送数据包前,需要向网络申请特定的服务,源站到目的站和路径上的每一个路由器需要预留足够的资源,以保证端到端的服务质量要求。
3) 区分服务模型(Diff-Serv):区分服务实现简单,在路由器中增加区分服务功能,利用DS字段的不同数值可提供不同等级的服务质量,应用程序在发出数据包前,不需要通知网络为其预留资源,网络中各个设备可独立对待不同类型的数据包,即每个路由器对不同的数据包定义的服务优先级是可以不相同的,区分服务通常使用队列、流量控制和流量整形等来实现区分服务功能。
2 QoS数据包处理过程
QoS数据包处理包含以下几个方面
1) 分类:流量分类是将数据报文划分多个优先级或多个服务类。管理员可以根据IP数据报的IP优先级或DSCP、802.1Q的CoS、输入接口、源IP地址、目的IP地址、IP协议和应用程序端口号等设置分类策略。
2) 监管:通过对流量规格的监管,来限制流量及其资源使用的流量控制策略。
3) 标记:为3层的DSCP或2层的CoS或两者分配一个值。
4) 调度:当发生拥塞时如何制定一个资源的调度策略,以决定报文的处理顺序,对拥塞管理一般采用队列技术。
5) 拥塞避免:通过监视网络通信流,使用复杂的算法丢弃数据包使交换机和路由器避免拥塞。
3 校园网QoS设计方案
在校园网中HTTP应用大概占用30%带宽,P2P下载、在线视频等占用60%以上的带宽,其它服务大约占10%的带宽。P2P下载、在线视频等占用校园网大部分带宽,主要应用服务HTTP的带宽得不到保障。通过QoS对P2P下载等需要消耗大量资源的应用服务进行流量控制,对主要的应用服务设置较高的优先级,使其数据包能尽快传递出去。根据校园网流量的特点设计出相应的QoS方案。图2是一个校园网QoS设计方案。
校园网中各层设置的QoS服务:
1) 校园网接入层的QoS:在校园网的接入层主要进行数据分类、数据标记和流量监管。
2) 校园网主干层的QoS:主干网收到的数据包在接入层已被分类和标记,所在主干层主要的工作是流量监控、流量整形、队列调度、拥塞控制和避免。
3) 校园网边界出口节点的QoS:边界出口节点的主要工作是数据分类、数据标记、流量监控、流量整形。
4 QoS实现方法
由于QoS有太多概念和工具,在设备上应用灵活,涉及知识面广,实现方法多样化,所以本文只给出QoS部分功能的实现方法。
1) 分类与标记:
如,把Telnet数据包DSCP标记为AF11,其它数据包的IP优先级设置为1。
5 结束语
通过配置QoS服务,对不同的数据流进行分类标记,限制部分应用服务的带宽,如BT、在线视频等,把不同的数据流加入不同的优先级的队列中,优先处理优先级高的数据流,如语音通信数据流,避免优先级低的数据流长期占用链路带宽等,从而使校园网的性能得到了明显的提高。
参考文献:
[1] 郭廓.QoS服务质量及流量控制设备在校园网中的应用[J].价值工程,2010(2).
[2] 李向来.付合军.基于锐捷网络设备的QoS技术在校园网中的应用[J].宁波职业技术学院学报,2013(3).
[3] 李宏.路由交换设备QoS应用技术分析[J].计算机与网络,2012(3).
- 上一篇:护士见习小结范文
- 下一篇:普通话命题说话训练范文
