论文部分内容阅读
摘 要 通过对校园网发展趋势分析基础上,提出了典型校园网的的设计原则和设计思路,对校园网的配置步骤做了详细的说明。
关键词 校园网;需求分析;方案设计
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)24-0033-02
校园网作为学校的一项基础设施,对于改革教育教学模式,提高办公效率,培养合格的技术人才具有非常重要的作用。校园网是一种融合了计算机通信技术、网络互连技术,以资源共享和信息交流为核心,为学校师生提供全方位服务的计算机
网络。
1 校园网发展趋势
1)高安全性。
网络安全问题是学校信息化建设的焦点问题,病毒、木马、网络攻击等对校园网构成的威胁越来越严峻。在校园网中应考虑多种网络安全技术的综合部署,形成多级防御体系以保证用户的上网安全。
2)高可靠性。
面对越来越复杂的网络应用,如何保障数据的实时传输显得尤为关键。校园网建设应该从设备性能、技术选择、网络管理等多方面进行综合的考虑,实现校园网的线速交换和故障的自动修复,提高网络的可靠性。
3)智能化。
随着电信网、电视网和互联网的三网融合,物联网、传感网、云计算等创新技术的实现。校园网不仅要能够对多业务进行优化和融合,还要能够对不同数据流进行有效的管理,提高网络的服务质量。
2 校园网需求分析
1)网络需求。
①校园网要能够适应学校的信息化发展,为各类应用提供高速的信息通路。随着基于网络的各种应用日益增多,校园网已经成为一个多业务的应用平台,不仅要承载学校的办公自动化和Web服务等简单的数据业务,还要承载用户的各种业务数据流,包括对实时性要求很高的在线视频及各种多媒体的综合应用,这就要求校园网的核心层要具有充足的带宽和强大的处理能力。因此典型的校园网要能够提供千兆以上的主干网连接,最大限度的降低传输延迟,并具有向万兆以太网平滑过渡的能力,最终形成千兆到桌面的格局,从而适应日益增长的业务需要。
②校园网要具有全面的可靠性,实现数据的不间断传输,确保校园网正常运转。随着学校各种业务应用的增多,网络通讯的连续性已经成为学校各项工作正常开展的关键。典型校园网的可靠性设计主要应从三方面考虑:首先是设备的可靠性设计,其次是链路的可靠性设计,最后是网关级的可靠性设计,这样在校园网中就形成了多级冗余部署,强化了网络的可靠性。
③校园网要具有良好的安全机制,防止病毒和恶意攻击造成的损失。为了保障校园网用户的安全访问,典型校园网的安全措施除了部署杀毒软件之外,还应该通过在内网和外网之间架设硬件防火墙来增强对病毒和黑客攻击的防御,并形成一整套从用户接入到主动防御的安全控制手段,以保证校园网稳定运行。
2)设备需求。
①为了保证网络的扩展和升级,网络设备必须具有一定的先进性和通用性。
②为了方便对接入设备的统一管理,接入交换机要尽量选择同一型号的设备。
③核心交换机要具有高速的背板带宽以避免突发数据量和密集服务请求造成的过载和丢包现象。
④网络设备要具有良好的性价比以最大限度的节省用户
投资。
⑤网络设备要采用符合国际标准的成熟产品,兼容现有的网络环境并支持VLAN、QoS等功能。
3 校园网设计原则
根据校园网建设的总体需求,典型校园网设计应遵循以下原则。
1)独立性。采用VLAN技术,以部门为单位将校园网划分为多个虚拟网络,使各部门之间在业务上保持相对的独立性。
2)开放性。网络设备和软件要符合国际标准和规范,兼容通用的网络协议,支持异构网络的互联,便于网络的扩展和升级。
3)安全性。通过在网络上部署防火墙及端口安全等技术,消除潜在的网络威胁,增强网络的安全保障。
4)可靠性。网络设计要有一定的容错机制,通过在网络设备中部署冗余技术消除单点故障给网络造成的不利影响,从而最大限度地保证系统的正常运行。
5)实用性。网络设计不仅要考虑新技术和新设备的使用,还需要考虑对现有网络资源的充分利用,达到既能满足目前需要,又要适应未来发展的目的。
6)可管理性。网络设备要具有可网管性,要能够通过网管软件对其进行端口管理、流量分析、资源分配以及故障定位等全方位监测。
4 校园网设计思路
校园网建设一方面要满足学校的现实需求,另一方面要适应学校未来的发展。为了制定一个切实可行的校园网设计方案,要在设计原则的基础上确定网络的结构规划和拓扑图。
1)网络结构规划。
根据网络设计原则,校园网可设计为接入层和核心层两级结构。主干网可选用千兆以太网技术,采用双核心架构通过光纤与接入交换机相连。这样在核心交换机和接入交换机之间就形成了千兆双链路工作模式,不仅提高了网络带宽而且增强了网络的可靠性。
①接入层。
接入层交换机部署在各个部门,其主要作用是为了实现局域网主机的接入。针对基于交换机端口的VLAN划分方式,可以办公室为单位划分VLAN,VLAN间路由由核心交换机负责。这样不但可以提高网络的有效带宽,还可以增强部门的安全性。
②核心层。
核心层的主要作用是对各个VLAN的流量进行控制并实现可靠传输。这就要求核心交换机要具有高速的背板带宽,另外我们可在核心交换机上配置VRRP协议来构造网关级冗余能力,增强网络的可靠性。
2)网络拓扑设计。
网络拓扑结构是指构成网络的各节点之间的一种逻辑组织形式。设计网络拓扑结构是实施网络建设的关键步骤,对网络的性能和可靠性都有着重要的影响。典型的校园网拓扑可参考下图所示。 典型校园网拓扑图
从拓扑图看出,校园网采用核心层和接入层两级结构,由DCRS-6808两台三层交换机构成校园网双核心,可部署VRRP协议实现校园网的网关级冗余。接入层交换机为DCRS-5650三层交换机,使用多模光纤以双链路方式与核心交换机连接,这样在接入层与核心层之间就形成了1000M链路级冗余;当某个核心交换机与防火墙的上联链路出现故障时,可通过两台核心交换机之间的链路,借助另一核心交换机继续访问外网。在核心交换机和出口路由器之间部署DCFW-1800E-2G防火墙,用以实现数据包的过滤,为内网提供安全保障。通过以上设计,充分保证了校园网的安全性和可靠性。
5 校园网配置步骤
针对校园网拓扑图,校园网配置可概括为以下几个步骤。
1)基本信息配置。
为了完成网络设备的配置和管理,首先要对设备进行基本信息的配置,主要包括设备命名和登录密码配置。
2)接入交换机配置。
接入交换机配置主要分为以下几个步骤。
①创建VLAN并使用基于端口的VLAN划分方法为接入主机进行端口划分。
②配置与核心交换机相连端口的模式和属性,保证链路层的连通性。
③配置生成树协议以避免冗余链路带来的广播风暴等不利影响。
④配置管理接口和路由以实现设备的远程管理。
3)核心交换机配置。
核心交换机的配置主要分为以下几个步骤。
①配置与接入交换机相连的端口模式,保证链路层的连
通性。
②创建并将端口划分给相应的VLAN。
③配置MSTP生成树协议并使之成为根交换机或备份交
换机。
④配置VRRP协议并使之成为备份组中的master或backup路由器。
⑤配置路由以实现内网主机的Internet访问。
⑥配置访问控制列表以阻止来自内网的网络攻击。
4)防火墙攻击防护配置。
为了防止来自外网的网络攻击,需要在防火墙上开启攻击防护功能,主要包括以下几个方面:
①防火墙洪水攻击防护。
主要有ICMP洪水攻击防护,UDP洪水攻击防护,ARP欺骗攻击防护,SYN洪水攻击防护。参数设置可采取系统默认值,处理行为选择丢弃。
②防火墙扫描/欺骗防护。
主要有IP地址欺骗攻击防护,IP地址扫描攻击防护,端口扫描防护,参数设置可采取系统默认值,处理行为选择丢弃。
③防火墙拒绝服务防护。
主要有Ping of Death攻击防护,Teardrop攻击防护,IP分片防护,Smurf或者Fraggle攻击防护,ICMP大包攻击防护,Land攻击防护,参数设置可采取系统默认值,处理行为选择丢弃。
5)出口路由器配置。
出口路由器的配置主要分为以下几个步骤。
①配置路由器的外网和内网接口地址。
②配置NAPT网络地址转换和路由,实现内网用户的Internet接入。
③配置静态NAT地址转换,实现外网主机对内网服务器的安全访问。
④配置访问控制列表ACL,实现来自外网的攻击防护。
6 总结与展望
本文从学校的需求出发,研究如何构建一个以教育信息化为目的,技术先进、安全、可靠的校园网络。随着网络技术的不断发展和多媒体技术的广泛应用,电信网、电视网和互联网的三网融合,物联网、传感网、云计算等创新技术的实现使得用户的业务种类和需求呈现多样化趋势,网上办公、网上管理、网上教学、网上服务、网上学习已经在越来越多的校园网当中得到实现。良好的网络环境将会有效的促进学校教育改革的发展和教学效果的提升。
参考文献
[1]刘喆.基于三层交换和虚拟局域网技术的校园网的设计[J].黑龙江科技信息,2012(24):110.
[2]李亚芳.校园网络安全现状及解决策略[D].山东师范大学,2012.
作者简介
李向东(1973-),男,河北保定人,涿州职教中心中学一级教师,计算机工程硕士,主要从事网络技术教学及研究。
关键词 校园网;需求分析;方案设计
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)24-0033-02
校园网作为学校的一项基础设施,对于改革教育教学模式,提高办公效率,培养合格的技术人才具有非常重要的作用。校园网是一种融合了计算机通信技术、网络互连技术,以资源共享和信息交流为核心,为学校师生提供全方位服务的计算机
网络。
1 校园网发展趋势
1)高安全性。
网络安全问题是学校信息化建设的焦点问题,病毒、木马、网络攻击等对校园网构成的威胁越来越严峻。在校园网中应考虑多种网络安全技术的综合部署,形成多级防御体系以保证用户的上网安全。
2)高可靠性。
面对越来越复杂的网络应用,如何保障数据的实时传输显得尤为关键。校园网建设应该从设备性能、技术选择、网络管理等多方面进行综合的考虑,实现校园网的线速交换和故障的自动修复,提高网络的可靠性。
3)智能化。
随着电信网、电视网和互联网的三网融合,物联网、传感网、云计算等创新技术的实现。校园网不仅要能够对多业务进行优化和融合,还要能够对不同数据流进行有效的管理,提高网络的服务质量。
2 校园网需求分析
1)网络需求。
①校园网要能够适应学校的信息化发展,为各类应用提供高速的信息通路。随着基于网络的各种应用日益增多,校园网已经成为一个多业务的应用平台,不仅要承载学校的办公自动化和Web服务等简单的数据业务,还要承载用户的各种业务数据流,包括对实时性要求很高的在线视频及各种多媒体的综合应用,这就要求校园网的核心层要具有充足的带宽和强大的处理能力。因此典型的校园网要能够提供千兆以上的主干网连接,最大限度的降低传输延迟,并具有向万兆以太网平滑过渡的能力,最终形成千兆到桌面的格局,从而适应日益增长的业务需要。
②校园网要具有全面的可靠性,实现数据的不间断传输,确保校园网正常运转。随着学校各种业务应用的增多,网络通讯的连续性已经成为学校各项工作正常开展的关键。典型校园网的可靠性设计主要应从三方面考虑:首先是设备的可靠性设计,其次是链路的可靠性设计,最后是网关级的可靠性设计,这样在校园网中就形成了多级冗余部署,强化了网络的可靠性。
③校园网要具有良好的安全机制,防止病毒和恶意攻击造成的损失。为了保障校园网用户的安全访问,典型校园网的安全措施除了部署杀毒软件之外,还应该通过在内网和外网之间架设硬件防火墙来增强对病毒和黑客攻击的防御,并形成一整套从用户接入到主动防御的安全控制手段,以保证校园网稳定运行。
2)设备需求。
①为了保证网络的扩展和升级,网络设备必须具有一定的先进性和通用性。
②为了方便对接入设备的统一管理,接入交换机要尽量选择同一型号的设备。
③核心交换机要具有高速的背板带宽以避免突发数据量和密集服务请求造成的过载和丢包现象。
④网络设备要具有良好的性价比以最大限度的节省用户
投资。
⑤网络设备要采用符合国际标准的成熟产品,兼容现有的网络环境并支持VLAN、QoS等功能。
3 校园网设计原则
根据校园网建设的总体需求,典型校园网设计应遵循以下原则。
1)独立性。采用VLAN技术,以部门为单位将校园网划分为多个虚拟网络,使各部门之间在业务上保持相对的独立性。
2)开放性。网络设备和软件要符合国际标准和规范,兼容通用的网络协议,支持异构网络的互联,便于网络的扩展和升级。
3)安全性。通过在网络上部署防火墙及端口安全等技术,消除潜在的网络威胁,增强网络的安全保障。
4)可靠性。网络设计要有一定的容错机制,通过在网络设备中部署冗余技术消除单点故障给网络造成的不利影响,从而最大限度地保证系统的正常运行。
5)实用性。网络设计不仅要考虑新技术和新设备的使用,还需要考虑对现有网络资源的充分利用,达到既能满足目前需要,又要适应未来发展的目的。
6)可管理性。网络设备要具有可网管性,要能够通过网管软件对其进行端口管理、流量分析、资源分配以及故障定位等全方位监测。
4 校园网设计思路
校园网建设一方面要满足学校的现实需求,另一方面要适应学校未来的发展。为了制定一个切实可行的校园网设计方案,要在设计原则的基础上确定网络的结构规划和拓扑图。
1)网络结构规划。
根据网络设计原则,校园网可设计为接入层和核心层两级结构。主干网可选用千兆以太网技术,采用双核心架构通过光纤与接入交换机相连。这样在核心交换机和接入交换机之间就形成了千兆双链路工作模式,不仅提高了网络带宽而且增强了网络的可靠性。
①接入层。
接入层交换机部署在各个部门,其主要作用是为了实现局域网主机的接入。针对基于交换机端口的VLAN划分方式,可以办公室为单位划分VLAN,VLAN间路由由核心交换机负责。这样不但可以提高网络的有效带宽,还可以增强部门的安全性。
②核心层。
核心层的主要作用是对各个VLAN的流量进行控制并实现可靠传输。这就要求核心交换机要具有高速的背板带宽,另外我们可在核心交换机上配置VRRP协议来构造网关级冗余能力,增强网络的可靠性。
2)网络拓扑设计。
网络拓扑结构是指构成网络的各节点之间的一种逻辑组织形式。设计网络拓扑结构是实施网络建设的关键步骤,对网络的性能和可靠性都有着重要的影响。典型的校园网拓扑可参考下图所示。 典型校园网拓扑图
从拓扑图看出,校园网采用核心层和接入层两级结构,由DCRS-6808两台三层交换机构成校园网双核心,可部署VRRP协议实现校园网的网关级冗余。接入层交换机为DCRS-5650三层交换机,使用多模光纤以双链路方式与核心交换机连接,这样在接入层与核心层之间就形成了1000M链路级冗余;当某个核心交换机与防火墙的上联链路出现故障时,可通过两台核心交换机之间的链路,借助另一核心交换机继续访问外网。在核心交换机和出口路由器之间部署DCFW-1800E-2G防火墙,用以实现数据包的过滤,为内网提供安全保障。通过以上设计,充分保证了校园网的安全性和可靠性。
5 校园网配置步骤
针对校园网拓扑图,校园网配置可概括为以下几个步骤。
1)基本信息配置。
为了完成网络设备的配置和管理,首先要对设备进行基本信息的配置,主要包括设备命名和登录密码配置。
2)接入交换机配置。
接入交换机配置主要分为以下几个步骤。
①创建VLAN并使用基于端口的VLAN划分方法为接入主机进行端口划分。
②配置与核心交换机相连端口的模式和属性,保证链路层的连通性。
③配置生成树协议以避免冗余链路带来的广播风暴等不利影响。
④配置管理接口和路由以实现设备的远程管理。
3)核心交换机配置。
核心交换机的配置主要分为以下几个步骤。
①配置与接入交换机相连的端口模式,保证链路层的连
通性。
②创建并将端口划分给相应的VLAN。
③配置MSTP生成树协议并使之成为根交换机或备份交
换机。
④配置VRRP协议并使之成为备份组中的master或backup路由器。
⑤配置路由以实现内网主机的Internet访问。
⑥配置访问控制列表以阻止来自内网的网络攻击。
4)防火墙攻击防护配置。
为了防止来自外网的网络攻击,需要在防火墙上开启攻击防护功能,主要包括以下几个方面:
①防火墙洪水攻击防护。
主要有ICMP洪水攻击防护,UDP洪水攻击防护,ARP欺骗攻击防护,SYN洪水攻击防护。参数设置可采取系统默认值,处理行为选择丢弃。
②防火墙扫描/欺骗防护。
主要有IP地址欺骗攻击防护,IP地址扫描攻击防护,端口扫描防护,参数设置可采取系统默认值,处理行为选择丢弃。
③防火墙拒绝服务防护。
主要有Ping of Death攻击防护,Teardrop攻击防护,IP分片防护,Smurf或者Fraggle攻击防护,ICMP大包攻击防护,Land攻击防护,参数设置可采取系统默认值,处理行为选择丢弃。
5)出口路由器配置。
出口路由器的配置主要分为以下几个步骤。
①配置路由器的外网和内网接口地址。
②配置NAPT网络地址转换和路由,实现内网用户的Internet接入。
③配置静态NAT地址转换,实现外网主机对内网服务器的安全访问。
④配置访问控制列表ACL,实现来自外网的攻击防护。
6 总结与展望
本文从学校的需求出发,研究如何构建一个以教育信息化为目的,技术先进、安全、可靠的校园网络。随着网络技术的不断发展和多媒体技术的广泛应用,电信网、电视网和互联网的三网融合,物联网、传感网、云计算等创新技术的实现使得用户的业务种类和需求呈现多样化趋势,网上办公、网上管理、网上教学、网上服务、网上学习已经在越来越多的校园网当中得到实现。良好的网络环境将会有效的促进学校教育改革的发展和教学效果的提升。
参考文献
[1]刘喆.基于三层交换和虚拟局域网技术的校园网的设计[J].黑龙江科技信息,2012(24):110.
[2]李亚芳.校园网络安全现状及解决策略[D].山东师范大学,2012.
作者简介
李向东(1973-),男,河北保定人,涿州职教中心中学一级教师,计算机工程硕士,主要从事网络技术教学及研究。