校园网络安全规划方案研究 论文Word格式.docx
《校园网络安全规划方案研究 论文Word格式.docx》由会员分享,可在线阅读,更多相关《校园网络安全规划方案研究 论文Word格式.docx(17页珍藏版)》请在冰豆网上搜索。
遗安中学地位位置独特,现在学校不能将办公一体化,集中管理学校网络资源,学校全网畅通以后,机房电脑将实现桌面虚拟化,以此达到学校办公网络等各方面的应用需求。
1.背景分析
遗安中学坐落在钱江源头的下街口,位于浙、皖、赣三省旅游的金三角地带,区位优势独特。
学校占地13203平方米。
学校现有教学大楼幢,办公大楼幢,图书馆,实验楼,网络中心,服务器机房等。
现在学校不能将办公一体化,集中管理学校网络资源,学校全网畅通以后,机房电脑实验桌面虚拟化,以此达到学校办公网络等各方面的应用。
随着计算机、通信和多媒体技术的发展,使得网络上的应用更加丰富。
同时在多媒体教育和管理等方面的需求,对校园网络也提出进一步的要求。
因此需要一个高速的、具有先进性的、可扩展的校园计算机网络以适应当前网络技术发展的趋势并满足学校各方面应用的需要。
信息技术的普及教育已经越来越受到人们关注。
学校领导、广大师生们已经充分认识到这一点,学校未来的教育方法和手段,将是构筑在教育信息化发展战略之上,通过加大信息网络教育的投入,开展网络化教学,开展教育信息服务和远程教育服务等将成为未来建设的具体内容。
遗安中学对计算机网络的应用主要是多媒体教学和办公自动化,通过计算机网络这种先进的技术手段,实施多媒体、交互式、内容丰富、形象生动的教学,以培养出能适应社会需求的具有专业技能的人才。
根据这一实际应用情况,我们分析在网络上传输的信息是音频、视频、数据相结合的信号,这样对网络的带宽需求就较高,因此,必须对网络带宽和网络的使用性能进行分析,以保证网络满足用户应用的需求。
遗安中学网络系统网络系统应用需求是一套基于Internet的网络远程教学系统。
通过该系统,教师可以方便地从事诸如:
制作课件、备课、回答学生问题、批改学生作业等教学活动;
学生可以方便地上课、做作业、参加测试、互相讨论交流;
系统提供完善的用户管理、课件内容管理功能;
具有可靠的安全性,各级用户权限严格限制,每个用户只能访问他应该访问的内容;
系统可根据每个学生的要求和特点,推出每个学生个性化的学习环境;
系统可进行测试并半自动阅卷记录学生成绩并同时通知教师;
用户采用统一的Web界面的方式访问该系统,将所有功能集成在Web中。
2.网络系统设计原则
(1)实际原则。
一切从实际出发,遵照实际情况确定方案的选择与实施。
(2)先进原则。
利用最先进的计算机技术来建设网络平台和应用系统,并不断跟踪国内外的最新技术动态,保持系统的先进性。
(3)经济原则。
在设备选型和软件开发平台的选择上,对具有相似功能的产品进行全面的比较,用有限的资金购买更多的、性能价格比更高的产品。
(4)高效原则。
动员多方力量,团结合作,相互配合,使系统的建设得以高效率地进行。
(5)可扩展性强,通过增加新的模块和部分关键设备解决局部需求的增长。
设备稳定可靠,性能高,能承受一定程度的数据量冲击等问题。
(6)提高网络可获得性、改善运行效率。
减少系统和网络的故障时间,提高响应速度。
对网络出现的问题尽快予以回应,在多数情况下,要求对问题立刻予以解决。
(7)降低网络运行成本。
网络管理的主要目的就是费用的降低。
技术发展很快,网管部门应能够有效地管理异质系统和多种协议。
(8)降低网络瓶颈。
网络管理必须监控网络的活动,对网络的通信量予以分析,适时调整网络资源分配,消除网络瓶颈;
并为决策部门网络的调整和扩容提供依据。
(9)增加运行和集成的灵活性。
网络技术飞速发展以迎合不断变更的要求。
当引入新的应用时,联网的协议也常常改变。
必须能够以最低的代价融入新技术。
增加新技术设备以及对网络管理软件的版本升级应该容易,网络管理软件的功能不能过分依赖硬件平台。
确保网络安全。
统一分配和管理网络资源:
对网络的IP地址、域名、数据线路、带宽等等实行统一管理和分配。
监督技术标准和规范的执行。
3.技术选型
遗安中学校园网骨干网采用千兆以太网技术,通过OSPF动态路由协议自动学习路由,完成数据转发;
汇聚层以下采用千兆接入到桌面的以太网技术,通过VLAN划分隔离广播域,优化网络管理:
外部网络主要采用默认路由通往ISP,数据中心采用两台H3C5800数据中心交换机,为IRF堆叠,环形堆叠。
4.校园网络拓扑
根据网络层次划分,遗安中学可以分成三个子模块:
底层的基础网络平台模块、中间的业务支撑模块、和上层的业务应用系统模块。
针对这个情况,提出的解决方案是以IP通信平台为基础,面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园网的各层次具有更高的可靠性和可控性,同时使得网络结构和布局在结合实际业务的分布更加合理。
下图4-1是校园网络拓扑图。
图4-1校园网络拓扑图
5.IP地址规划
为了管理遗安中学私网,如果把所有的用户集中在一个网段中,会带来很多棘手的问题,我们采用的方案是划分VLAN,这样提供了网络信息的安全,又便于网管部门管理。
在连通不同的VLAN的主交换机上配置访问控制列表(增加网络的安全,根据学校的网络拓扑图,划分出8个VLAN,分别代表的是不同的部门。
下表3-2为校园网络的具体划分。
表3-2校园网络划分
部门
所属VLAN
网关
子网掩码
机房
VLAN10
192.168.1.254
255.255.255.0
教学楼1
VLAN20
192.168.2.254
教学楼2
VLAN30
192.168.3.254
教学楼3
VLAN40
192.168.4.254
图书馆
VLAN50
192.168.5.254
女生宿舍
VLAN60
192.168.6.254
男生宿舍
VLAN70
192.168.7.254
分校区
VLAN80
192.168.8.254
6.设备选型及设备清单
遗安中心小学,校园网核心要求比较高的性能、可靠性和扩展性。
H3CS7502高达192G的交换容量,支持双主控和双电源设计,保证了校园网的高性能和高可靠性。
同时具有很高的性价比,是非常理想的中型校园网核心设备。
网络出口要求高转发性能和较强的安全控制策略。
AR18-63-1路由器是教育行业唯一一款支持千兆线速转发的路由器,转发率高达600Mpps,带机量高达500~1000人。
同时支持丰富的安全特性,支持防攻击和应用过滤等功能。
充分保证校园网的安全。
办公区、教学区、实验区、图书室等区域,一般要求千兆上行、百兆接入,同时要考虑安全。
E126SI交换机具有12。
8G的交换容量,支持端口和MAC的绑定、双向端口镜像、端口限速和广播风暴抑制,保证了教师和学生使用网络的安全。
同时E126SI支持上行口光电接口复用,灵活方便,采用无风扇静音设计,符合RoHS绿色环保标准。
多媒体教室:
S5100-24P-SI支持全千兆线速转发,强大的Qos和安全能力,充分保证多媒体课件的教学效果。
校园无线覆盖:
考虑到会议室、报告厅、图书馆、操场等公共开放场所的网络覆盖,可通过无线网络实现。
WA1208E支持802。
11a/b/g标准和802。
11i安全机制,支持远程受电,支持和有线网络统一网管和认证,支持快速无缝漫游。
下表4-1为设备清单。
表4-1设备清单
功能区
设备名称
解决方案
特点
网络中心
核心交换机
S5800
双引擎双电源设备
性价比最高
出口网关及网络安全设备
AR18-63-1
天融NGFW4000(TG-1509
支持千兆线速转发,支持防攻击和应用层过滤
办公区、教学区、试验区、图书室等
百兆接入交换机
无线
E126A/E152(高安全)
无线接入WA1208E
支持多种安全措施、
符合RoSH环保标准
有线无线一体化管理;
快速无缝漫游
多媒体教室
千兆接入交换机
S5100-24P-SI
全千兆线速转发,强大的Qos和安全能力,适合大带宽
7.校园桌面虚拟化技术
7.1桌面虚拟化技术简介
虚拟桌面云计算终端解决方案—学校机房建设,天源腾创虚拟桌面解决方案,采用领先的虚拟桌面技术,通过低成本的终端设备,能有效地使用PC中所闲置的资源从而释放PC强大的潜力,同时兼具个人计算机使用的便利性和亲和性,更可大幅降低IT建置的总成本、拥有集中式运算的优势。
我们以NComputing云终端产品为例:
NComputing产品采用分布式运算模式,NComputing终端到vSpace服务器、NComputing终端产品和网络连接。
应用软件和数据大部分安装在PC服务器上,众多的NComputing终端通过网络连接同时登录到服务器上,它们之间的工作是相互隔离的,NComputing终端可以访问、使用PC服务器上的所有软、硬件和数据资源,可以通过服务器端的安全机制对各个用户的权限进行定义。
产品特性如下:
(1)同时100位用户共享同一台PC
(2)结合产品vSpace虚拟化软件,提供流畅的操作体验
(3)最高支持1920×
1080解析度高分辨率,视频可以全屏流畅播放(L-300)
(4)内置背板架,轻松挂在显示器后端,节省桌面空间
(5)缩减75%的硬件开销和技术支持开销
7.2方案特点
(1)使用简单、易维护。
(2)只需定期维护并更新PC主机即可NComputing终端展品不需要硬件的维护,只需下载更新最新软件。
(3)性能强、流畅的操作体验,Flash、视频等教学课件播放非常流畅
(4)投资成本低、高可靠性
(5)每台NComputing云终端,价格只相当于普通PC价格的30%-50%。
NComputing终端高可靠性,终端不需要维护,仅需维护共享主机。
利用现有网络和硬件环境建设,无需构建新的网络环境,更大限度的节省投资。
(6)体积小、安装方便
(7)每一台NComputing产品都包含有标准的显示器安装套件,之间固定安装到到显示器背面形成一体化,节省我们的桌面空间,布局更简洁和谐。
(8)每台NComputing云终端功耗仅5W,无噪音、低辐射节能环保
7.3设计示意图
下图7-1为校园桌面虚拟化技术设计示意图
图7-1校园桌面虚拟化技术设计示意图
用户的文档和资料都存储在服务器端,不会因为突然掉电而丢失重要的资料,用户可以像使用家电一样随意开关机。
可在服务器上为每个用户配置各自的硬盘空间;
每个学生拥有独立账号和私有密码,工作相互独立,互不干扰。
(1)可作为单机独立使用;
(2)功能可按需定制;
(3)系统保护可选,避免系统病毒入侵,减少维护;
(4)支持多重终端机仿真标准;
(5)支持本地打印机,U盘及外设产品,调制解调器;
(6)支持使用Modem远程拨号登录服务器;
(7)支持完整的16位立体声播放功能;
(8)弹性选择任何厂商VESA标准的显示器,支持24位真彩色显示模式;
对终端数量庞大的学校及教育机构来说,它可以将一台云服务器在硬件资满足的前提下,同步分享给任意多的学生使用。
如此一来,学校将可以有限的经费建置更多、并维护专业的电脑教室环境。
除了建置成本的优势之外,它还具有超强的管理、监控的功能,亦有许多第三方开发的免费管理程式可搭配使用,因此教师可以在课堂中即时监控每位学生的画面,如使用非与课程相关的软体或应用程式(如:
即时通讯软体或游戏),教师可发出警告讯息或什至强迫进入关闭其程式。
天源腾创虚拟桌面解决方案将是学校以有效的经费与人力资源建置电脑教室最理想的解决方案。
遗安中学,电脑是指一位教师配置一台个人电脑;
实际上每位教师平时使用电脑的资源不超过15-20%,因此多数时间个人电脑都是处在闲置的状况下。
如果采用天源腾创虚拟桌面解决方案,将PC主机置于后端机房同步分享给多位老师使用,如此不仅可有效地运用电脑系统的资源,同时能帮助学校节省一笔庞大的建置与维护硬体成本。
遗安中学拥有2-3间以上的电脑教室,专门教授电脑应用程式等相关课程;
每间教室大约有30-40台个人电脑,而每台电脑则安装了数套应用程式。
在此环境下,学校需额外安排预算对所有电脑进行定时的维护或升级软、硬体工作。
如果采用天源腾创虚拟桌面解决方案,每次的软硬体的维护与升级仅需针对单一的服务器主机进行即可,同时易于掌控上课时学生的使用状况,如此将能省下不少的管理与维护的资源成本。
8.网络安全
网络在给人们的生活带来便捷享受的同时,也存在很多的安全隐患。
随着网络的不断发展,逐渐产生了很多影响网络安全的问题。
下面介绍的几种办法能有效的解决这个问题:
(1)增加安全意识:
杜绝病毒,主观能动性起到很重要的作用。
病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。
查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。
平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。
(2)小心邮件:
随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。
它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。
有数据显示,如今有超过90%的病毒通过邮件进行传播。
尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。
例如,如果所有的Windows用户都关闭了VB脚本功能,像库尔尼科娃这样的病毒就不可能传播。
只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。
(3)挑选网络版杀毒软件:
选择一个功力高深的网络版病毒"
杀手"
就至关重要了。
一般而言,查杀是否彻底,界面是否友好、方便,能否实现远程控制、集中管理是决定一个网络杀毒软件的三大要素。
(4)网络构建完成,要想整网运行稳定,不受网络病毒,黑客攻击,防火墙无疑是最好的选择,也是不可缺少的一环,至关重要的一环,此次我们选购的防火墙产品是天融信NGFW4000(TG-1509),用独创的最新最先进的技术核检测技术,即基于OS内核的会话检测技术,在OS内核实现对应用层访问控制。
适用更广泛的网络及应用环境方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。
支持TOPSEC技术体系的核心技术支持TOPSEC技术体系的核心技术,并支持TopsecManager综合管理系统和SAS安全审计系统。
支持多种工作模式可以支持透明、路由和混合工作模式,方便适用于复杂网络结构和应用的接入。
支持远程集中管理实现统一的安全政策布署,保证整个系统的安全策略的一致性,提高整个系统的安全强度。
支持负载均衡和双机备份不但更好的适用不同的网络环境,且更好的提供高性能和保证可靠性。
多层次分布式带宽管理带宽管理完全虚拟了网络带宽应用的实际环境,并实现多层次的分布式管理模式,从而提高网络资源应用效率。
支持多种身份认证更好更广泛的实现了用户鉴别和访问控制。
更强的防御功能在内核上实现对病毒防护,防火墙4000不但有内置的IDS功能,还可以和IDS实现联动。
这不但提高了安全性,而且保证了性能。
行为的分析和追踪。
管理安全、方便灵活防火墙4000经过简单的配置即可接入网络进行通信和访问控制,GUI管理界面提供了清晰的管理结构,同时,可以支持TopsecManager综合管理系统方便管理和维护。
优秀的性价比强大完善的功能、优秀的性能、高的稳定性和可靠性,体现了优秀的性价比,可有效地保护客户投资。
超强的监控阻断功能实时的监控网上访问信息,利用阻断功能及时地处理如冲击波、振荡波等发作的数据报,保证局域网主干正常运行。
结论
通过这次学习,我有许多的收获。
通过理论与实际相结合,我巩固了着几年网络课程所学习知识,经过学习,我们对于计算机网络规划与设计有了更深一层次的了解。
先是从对它的基础知识的了解,再到其系统设计的深知。
我们知道了网络系统设计主要包括:
网络需求分析、网络系统方案设计及综合布线,我完成的是对校园网络的设计,其中需求分析主要完成校园网络系统调查,了解学校内的需求和人员的要求。
然后根据网络需求进行网络系统方案设计,主要包括确定网络总体目标、网络方案设计依据、网络设备选型等。
最后,特别的要注重合理的分工,组建良好的团队合作关系,只有多方面的协调发展才能保证,保质的完成各方面任务,一个团队要有一个核心式的人物,不能没有核心,象一盘散沙,更要注重彼此间的相互交流统筹兼顾,协调发展,多多发现问题,多讨论,多查阅资料,虚心学习,已达到解决问题的目的。
参考文献
[1]梁广民.《思科网络路由、交换实验指南》.电子工业出版社,2010.
[2]陈向阳.《网络工程规划与设计》.北京.清华大学出版社,2011.
[3]谢希仁.《计算机网络》.电子工业出版社,2010.
[4]董宇峰.《计算机网络技术基础》.清华大学出版社,2010.
[5]袁家政.《计算机网络安全与应用技术》.北京:
清华大学出版社,2009.
[6]杨莉.《计算机网络基础》.北京:
机械工业出版社,2011.
[7]万荣泽.《网络规划与系统集成》.北京:
北京航空航天大学出版社,2012.
[8]朱根宜.《计算机网络与Internet应用基础教程》,北京:
清华大学出版社,2010.
[9]杨明福.计算机网络原理[M].经济科学出版社,2007.
[10]龙志强.计算机控制及网络技术[M].中国水利水电出版社,2007.
附录
路由器交换机配置
NAT的配置:
R1中的配置:
interfaceFastEthernet0/0
ipaddress202.100.86.98255.255.255.0
ipnatoutside
//指定nat的出接口
interfaceFastEthernet0/1
ipaddress192.168.9.2255.255.255.0
ipnatinside
//指定nat的进接口
ipnatinsidesourcelist10interfaceFastEthernet0/0overload
//配置多对一的地址转换
access-list10permit192.168.0.00.0.0.255
R3中的配置:
ipaddress192.168.1.2255.255.255.0
duplexauto
speedauto
noipaddress
interfaceFastEthernet0/1.1
encapsulationdot1Q7
ipaddress192.168.7.1255.255.255.0
interfaceFastEthernet0/1.2
encapsulationdot1Q8
ipaddress192.168.8.1255.255.255.0
ipnatinsidesourcelist1interfaceFastEthernet0/0overload
access-list1permitany
GRE-VPN的配置
interfaceTunnel0
ipaddress1.1.1.2255.255.255.252
//配置隧道的本端地址
tunnelsourceFastEthernet0/0
//指定隧道的源接口
tunneldestination192.168.1.2
//指定隧道的目的地址
iproute192.168.8.0255.255.255.01.1.1.1
iproute192.168.7.0255.255.255.01.1.1.1
ipaddress1.1.1.1255.255.255.252
tunneldestination202.100.86.98
iproute192.168.2.254255.255.255.01.1.1.2
iproute192.168.3.254255.255.255.01.1.1.2
iproute192.168.4.254255.255.255.01.1.1.2
iproute192.168.5.254255.255.255.01.1.1.2
iproute192.168.6.254255.255.255.01.1.1.2
iproute192.168.7.254255.255.255.01.1.1.2
//配置静态路由
ACL的配置
access-li
升级会员 