网络综合解决方案.docx
《网络综合解决方案.docx》由会员分享,可在线阅读,更多相关《网络综合解决方案.docx(29页珍藏版)》请在冰豆网上搜索。
网络综合解决方案
随着时代的发展,网络的主导趋势已经毋庸置疑,针对一系列的变革,大学校园园区网
络的实施及扩充是至关重要的。
一个优秀的大学园区网络解决方案,直接影响到整个校园的办学质量及水平,再者,能
更有效率的为广大师生提供一个优质的网络环境,这当中局限性最大的就是,作为一所高校,
存在以下几个特点:
一、网络覆盖面积广且分散;
二、涉及多方面因素,网络相对比较复杂;
三、集合多种管理系统并存的大型网络;
四、学生教师分开管理,操作难度较大;
五、费用及时间的限制;
针对这些特点,一个新时代的大学校园,必须具备以下几个特性才能承当起这样一个大规模的园区:
安全性:
对于一个大学校园,其安全性尤为重要,一个是来自外面的攻击,
造成的影响有多大可想而知;
校园网络解决方案的重点之一;
四、
而现在,
错误并马上解决,是一个网络设计的核心问题,也是必须解决的问题;
可扩展性:
越大型的综合网络解决方案,都必须具备一点,就是可扩展性,随着方案的实施,很多时候,由于方方面面的问题,网络的“客户”也会增加,加入原先只是为一个未扩展的方案配置了刚刚好的机器,那一到方案变更时,只能更换机器,那就得不偿失了。
网络又发展到了“无线无局限”的时代,在众多的中小型餐厅也普及到,这也
就是意味着在一个具备时代性的校园综合性解决方案,无线技术是一定要涉及到的,而且,要非常广的覆盖,使网络更加便捷,达到随时随地校内上网无局限的目的。
关键词:
园区网络解决方案无线安全性扩展性
1引言1
2网络需求分析2
2.1高校园区基本概述2
2.2园区网络基本描述2
2.3园区网络需求分析3
3校园网的总体设计3
3.1校园网的总体概况4
3.2校园网拓扑结构5
3.3校园网网络关系图6
4校园网施工图6
4.1教学楼侧面及平面图7
4.2宿舍区楼群布线系统8
4.3核心机房结构9
5网络服务器的分析与设计10
5.1网络服务器分析10
5.2网络服务器选型及设计10
6网络管理平台的设计11
7校园网络安全方案11
7.1校园网络安全现状分析12
7.2网络攻击介绍12
7.3高校园区网络安全方案14
8核心配置16
9总结23
参考文献24
1、引言
网络对于现在的人来说已经不再陌生,几乎无时无刻不用它,手机、电视、计算机等等,全部都需要以网络为媒介来实现其功能,很难想象,没有网络的时代会是怎么样?
这样一个日新月异的时代,怎么选取合适的网络解决方案,已经成为一个最主要的话题。
多数高校,都一直在寻找一套最完整,最具备实用性的解决方案。
使用一套合适的方案,能让高校很多方面的工作轻松很多,无论是学校的教学还是学校的管理,乃至于学生的生活起居,都会起到很大的作用。
而怎样的一套方案,才能符合当前网络的需求,实现目前时代这么快的变化?
本文笔者将列出一套具备可行性的综合性解决方案,针对大学园区网络的特性开发出来,能方便的解决各类高校园区存在的各种问题,同时,在操作方便的基础上,还为在校学生提供了一个很好的实践平台,让更多学生在校期间,就能享受企业管理员的工作,更早达到在社会工作的基本水平。
另外,能更好的限制学生上网的问题,防止学生沉迷网络,荒废学业。
本次,笔者对设备选型费用比较高,主要以思科(Cisco)和IBM这两家公司的设备来构造这个网络的基本骨架。
这在经济性来说确实不怎么样,但是,作为一个高效率,高容错的方案,以长期管理为目标,选择思科和IBM这两家公司的设备,从人员管理开销还有设备性能上,都能达到一个比预期更好的效果。
虽然国内很多企业都会通过使用入锐捷、华为、神州数码等厂商的设备来减少开销,降低预算,从经济考虑,确实是必须这样,但是选择思科,作为世界最大的网络设备供应商,昂贵也有其原因,首先,现在多数园区都很怕一个问题,那就是物理设备的瘫痪,而作为世界最领先的品牌,其优越性毋庸置疑;再者,在可扩充性及兼容性上,思科及IBM也是目前世界领头的企业,这个在以后对园区规划也有很大帮助,而且从设备性能上讲,这两家厂商的设备也确实是领先的,针对园区这样的开放型方案,初期投入多并不是不经济的行为,世界多家知名企业,其网络解决方案也多是优先选择思科及IBM等的设备。
从学生的角度来讲,一家能提供思科及IBM中高端设备的高校,能提供的教学资源自然也丰富很多,这样
帮助学校培养更多的高科技人才做铺垫。
在浏览了多家厂家推出的产品及解决方案的白皮书之后,加上参加了2010年思科全球在线研讨会,很清楚的理解到:
“科技以人为本”这句话的深层含义,一个无论多么合理的方案,其合理性,都是根据使用的人来决定,而一个高校园区网络综合性解决方案,其对象,或者说客户,就是处于这个园区的全体人员,其中包括在校教师、在校领导、在校学生及在校职工,作为学校,学生教育当然是根本要素,而能为学生提供最优质,最高效的学习资源及生活环境,也是国家历年来所希望的。
无论从事哪一个职业,最终都是要和网络打交道,而假如一个园区网络能给学生提供所有优质的资源及各类最先进的技术,也能让园区的学生充分的成长。
2、网络需求分析
2.1、高校园区基本概述
作为高校校园,最基本的配置设施包括:
教学楼、图书馆、实训教室、多媒体教室、学生宿舍、学生饭堂、后勤管理中心、院长办公楼等,而生活人群主要包括:
在校教师、在校领导、在校学生及在校职工,普通的学院具备的人数至少也得5000或者以上,也就是说,这个园区解决方案必须能满足大于5000以上的人口的上网需求及多座建筑物的连通需要,另外,园区的监控系统、电话语音系统、数据库系统及后勤管理系统,都必须能不间断工作。
2.2、园区网络基本描述
高校园区网络分布笔者在这里分为三个部分:
一、教学区,包括普通教室、多媒体教室、语音教室、实训教室及办公室等;
二、行政区:
包括学院领导办公室、学院后勤管理处、学院监控室、学院学生办事处等;
三、生活区:
包括学生宿舍、学生饭堂、教室宿舍、教室饭堂及生活活动中心(如礼堂、操场等);
2.3、园区网络需求分析
作为高校校园的网络,其作用可以归纳为如下几个部分:
一、教学需要:
高校以育人为主开办的,授课教学自然是最主要的部分,由于高校涉及内容较多,其教学也相对比较复杂,笔者简单分为以下几个部分:
1、多媒体教学,也就是通过影像声音等来引导学生学习,这也是多数学校都必须具备的;
2、语音教学:
多运用于语言教学训练,多数配置为配套专业语音计算机;
3、计算机实训课室:
推广计算机教学专用课室,用于计算机类技术的教学及推广;
4、办公室:
教学楼办公室多为教师休息及学生咨询用,其中应用的技术比较简单,基本只需要配备电话机及多台计算机就可以;
二、行政需要:
对于目前的高校,其运营原理其实和企业的操作相差无几,
所以,行政管理也是体现一家高校的综合水平的重要原因。
而高校的行政区,则
包括了很多个方面,简单点说就是管理层,也就是学院的领导,然后就是财务及办事单位,另外部分高校还包括了后勤科(含保安系统),也就是保卫系统。
综合这多方面的因素,行政区域的网络就一定得架设得非常完善,其中,最重要的就是电话系统及局域网共享。
三、生活需要,这个不难理解,现在谁都要上网,学生除了上课,课余多少都会使用到网络,老师、职工、领导也是同样的。
而针对这些人群,上网的时间状况,我们可以从下表得知:
时间段
人群'
00:
00-08:
00(流量)
08:
00-16:
00(流量)
16:
00-00:
00(流量)
教师
少
少
中
职工
少
少
少
学生
多
中
多
对于上网限制,主要也是用于学生,所以主要要考虑的就是夜晚学生熬夜上网的限制及夜晚学生上网高峰的分配。
3、校园网的总体设计
3.1>校园网总体概况
校园网总体概况图1
由图可知,校园网的无线信号覆盖并不涉及教学楼及办公楼,主要是因为考虑到整个园区无线信号的利用率,以生活区居多,所以只考虑投放在生活区,主要以饭堂、学生宿舍和图书馆为主,但是有线的接入,贝U相反,以行政区和教学区为主,也就是比较有效的将更多的网络带宽给予学校的办公。
3.2、校园网拓扑结构
2
校园网拓扑结构图图2
结合上图,我们可以很清楚的看到,园区是以行政区为中心扩散开来的,
园区各单位均有自由的内网,同时兼顾不同区域的连通,通过多个VLAN结
合,能非常好的管理整个园区,并且第一时间能掌握各区域的网络情况。
3.3、校园网网络关系图
胡区PC
枚园网网络关系图
图3
4、校园网施工图
4.1、教学楼侧面图及平面图
ttbiatit间.网饯
Ebu
■堯农
U4M
J吊裝60*1制mm致N枪
WfttlflSlrnmPVCff
教学楼三楼布线示意图
办公室平面图
多媒体教率平而图
jtlihiipvcfft-7?
办公空人花平面图
■b:
花•敢绞线
段世復址豁
連禅PI©梢特
多媒体載室人花平而图
教学楼三楼平面图(室内)图6
4.2、宿舍区楼群布线系统
■常I.卅洌妄佈汽拾沱「FCXBXD即i构)
宿舍区布线系统图7
4.3、核心机房结构
主机矗
咖
Mtse
/*fc/1Z*ft/
/H7
zz
It****
t4«t
Vt肛f蚊
T
■电芷军殆卑*址連辿m
沁tW**JB;Kh3nwiMf
r■rr■■I*
m*电厂
55mrffif4a
16mrr;H与閱
mrrrt
imm1")
5C16
S
16
S>35
5.柚P5足电柜f片头电酉PE数t^tSi下韭*
i.时际涓趴Mi
2BttAE*!
空MO-戟摇也庫.Xfiira.UPS电謀冋,赍比电何.4#诗.亦"岸,通憎貼,耳烙褛人時.
3.物洼賀規:
电于由设誓人匚磁入測试阿,曲/t件求芟剧覇试.运蚀岌后<\处番尬Tt行安莊•
建-
1电也號埜缶为乳输金豪苗将垢庁馬整辛电也寒
尉攻迢后,酬致赵料隹縱軾
2孔柜氣用丙思月同血的Hmm”円导蜕与辱屯位Bt站直零电代蚩崎带]电护.
3*阳中的刊女柜暗再炳吏Hit.吕科*柜不皆环岛夷氏乍时.列歩柜的7负*与UP5岸.电卡的N^tiif.
斗^fl^EO^N.PLft^*:
i駅克用毀棚艮.
5、网络服务器的分析与设计
5.1、网络服务器分析
在多数情况下,很多人都会选择用一台服务器充当多个角色来降低服务器的成本,譬如以一台服务器同时充当WEB艮务器和打印服务器,确实,分离开来的话成本至少增加60%而这种做法笔者并不提倡。
当一台服务器充当多个角色的时候,假如那台服务器瘫痪了,那意味着,这个园区的几个功能都将同时瘫痪,在多数情况下,这样造成的成本损失将更加严重。
在笔者的理解,服务器的存在应该是单独的,也就是说,服务器本身虽然具备超大容量的扩充,但是这个并不是意味着高级的服务器一台当多台使用,而是越高级的服务器可以充当越重要的角色。
在某些服务,例如DNSK务器,打印服务器这些完全是可以用家用等级的PC来解决,而例如媒体服务器,数据库服务器,Web!
务器等,才需要用到真正的
服务器来支持,而把这两者分开,那即使部分服务器瘫痪,也不会对园区网络造成多大影响,一方面能非常快速的找出问题服务器,另一方面,维护也比较快捷。
5.2、网络服务器的选型及设计
根据笔者上面所提到的内容,一个综合性校园网所需要的服务功能包括:
域名服务DNS电子邮件服务E-mail、远程登录服务、电话拨号服务、WWW务、FTP服务、NEW服务、WAISI艮务、WI-FI、流媒体服务、打印服务等。
所以,服务器的选型,应充分结合以上服务,进行对号入座。
服务器类型
服务器型号
服务器数量
邮件服务器
IBMSystemX3100
1
FTP服务器
IBMSystemX3200M2
2
流媒体服务器
正睿I2496288
2
数据库服务器
IBMx3650M2
2
Web服务器
IBMSystemx3550
1
其他需求服务器
IBMM2系列
X
(2)
注:
X
(2)表示未知,根据情况确定,建议两台。
服务器安置图图10
6、网络管理平台的设计
这种综合性的校园园区管理,以计费系统为核心,整理常规代理、邮件服务、缓冲服务、防火墙系统、SOCKS代理、TACACS拨号认证以及其他网络应用系统,可以形成一套综合性的网络环境,提供更优质方便的服务。
而本套方案多数设备均采用Cisco-IBM的产品,所以,在产品上面的选择,首选当然就是IBM公司推出的TivoliNetview和TivoliSwitchAnalyzer两个解决方案来解决园区网络的管理。
另外一个则是园区的图书馆管理系统及园区计费软件,这些完全可以基于C
及ASP自主开发,更能提供学生实习机会。
7、校园网络安全方案
7.1、校园网络安全现状分析
针对目前的网络成员结构,根据CCNIC2009年1月统计,中国超过30%网民是学生,换言之,这个年龄层占人口的比例会发现,超过90%的学生是有使用网络的,而针对这样的一个群体,直至目前,仍然是网络安全隐患的重点:
一、部分人网络意识薄弱,当网络呆滞时,第一感觉只会埋怨网络供应商,
校园中多数就是学校提供的,而他们更不不会去意识到来源于自己的问题,如果早两年爆发的ARP病毒,多数用户直至现在,仍然不知道自己中过ARP病毒,都是直接打电话去咨询供应商,这种处于比较低下的网络意识,也成功的给黑客提供了无数的肉鸡,任他们任意享用,对其他用户构成了相当大的威胁;
二、信息价值促使更多黑客投入到攻击行当,对普通用户造成相当大的威
胁;
三、网络攻击永远停止不了的原因是因为任何一个程序,只要提供给人使
用,就一定会有漏洞可循,两者互相矛盾,只能通过防御来制止攻击;网络安全的特征:
保密性、完整性、可用性、可控性、可审查性。
7.2、网络攻击介绍
目前攻击的方法非常繁多,以下以时下流行的无线网络为例说明:
攻击类
型
说明
窃听
捕获未愛保护的应用层佶息流,井对其解耐’以哉得潜在的敏櫃信息°
bsd-airtaolsxEthereal、
Ettercap,Kismet商业分析齢
WEP密钥破解
使用强力或Fhihr?
r-Mantin-Shamir
(FMS)密码分析教來捕获数热并欣现设置WEP密钥
Aircrack.AirSfiort.chopehop,riwpcrac'k,,WejiArtack.
WepDecrypt、iVepLab
双子星
应接入点
通过为无线局域网的服务集标识符(SSID>设置信标,吸引用户,伪装成授权的接入点。
cqureAP>HermesAP^HostAP^
OpenAP.QuetecvWifiBSD
接入点网络钓鱼攻击
在eviltwin接入点上运廿假甘的入【1或者网络服务器.用网络钓他的方式引诱用户登录*萩得信用卡号码
Airsnarf.Hotspotter
中间人
攻击
在鹽ilt懵in病毒接入点上运行传统的中间人攻击工具,截取TCP会议或SSL/SSHfSifio
Dsniff.Ertercap
图11
攻击类型
说明
方法和工貝
802.11帧注入
编写并发送伪造的802.11Win
Airp^n,FileJair^1ibradiatE、voidll,WEPWedgie>vnet
(linject/reinject
8oa11数据重
发
捕茯RON11数据帧以备后续的
(修改)竄发。
捕捉HJV注射工貝
802.11数据删除
在〕软骗配K的同吋,千扰徴定的接收器*防止苴发送信息.
进附删除数捌帧口
干扰工民+注射工具
802+IX扩展
认证协议
(EAP)重发
捕捉802.IX的扩展认证协M(比如.EAF的身份、成功、尖
WO,进而稍后班行重发。
无线捕获工具+站点和接入点iKAT具
802.IX
RADIUS重发
捕捉RADIUS的访问-接遥或拒绝信息.以备店续的重发°
以太网捕获工具+接入点和认证服务常注射工具
图12
攻击类型
说明
方法和工具
共享密钥猜测
采用猜测、厂商默认或者破解WEP密钥•进而次现8Q2,11共享密相稱測.
WEF破解工具
PSK破解
使用字典攻击工具,从捕获的密钥同步信息交换帧那里重新获得WPAPSK
coWPAttyvKisMACswpa_crack^wpa-psk-bf
应用层登录窃取
从明丈应用协议捕获用户证书(例如,电子邮件地址和密码》.
AcePasswordSniffer^
DsniffsPHoss、WinSnlffer
域登衆破
解
僮用蛮力攻击工具或者字典攻击工具,破解NetBIOS哈希密码,重新获卸用户证书
(例如,Windows登录轻和密码)□
JohntheRipper^
LOphtCrack.Cain
VPN趙录
破解
在VPN认证协议上运行蛮力攻击,获得用户证书(例如*PPTP的密码或I氐M预共享密钥)o
ike_scanandike_crack(I卩s(?
c)vang
randTiEC-pptp-bruter(PPTP)
802.IX身份窃取
从明文802.IX的身份响应数据包中捕获用户身份。
捕捉工具
802.IX密
码猜测
便用捕获的身份,务次尝试802.1XSJ份验证,进而猜測到用户的密码。
幣码字魏
802,IX
LEAP破解
使用字典攻击工其破解NT密码散列.从捕获的IXLEAP信息包中*恢复用户证书。
AnifiTap>AsleapTHC-LE^Pcracker
802.IX
EAF降级
使用仿造的EPA-响应/否定应答信息包,
迫便802.1X服务辭提供较弱的认证类型。
File2air%1ihradiate
file2air^1ihradiate
图13
I曲时少耳b■酣Sciftuw*BkglrwiNng
7.3、高校园区网络安全方案
近年来,网络威胁越来越多,详细见图:
High
FrUiUidlMRmoihlcidgfl
piickrts|pria4ng
DDQ5:
*1就畑
拿1MWW
vuiomiMMlprubu&ficjm
GUI
SupliMiiralicii
hackdk>n4>
ditubbiiu4wditt:
.•
^-■■4jrtwnrtcmgrrt.dlAgwi^hcflh..idtano、X^inwun«°L-'_
・EplGWmgknownviiini^nitwilitjrs
^wwnnicracking
Lew
:
-rrplic^tingp*9umvwiiigniR»iBinQ
Attackers
1&ft0198C1990
1996
2000
AttackSophisticationvs.Intruder
TeclmicalKnowledge
黑客攻击变化图14
安全事件趋势统计
「try世IWi
SofTMir#Ei^gimerar>gimiitvte
IncidentsReportedtoCERTCC
安全事件趋势统计图15
Numberofincidentsreported
19XN-I9N9
Year
19KS
I9sy
Inddvnls
132
V>ur
1990
199]
】992
1993
J994
1995
19%
1997
L99S
1999*
Inddtnte
252
406
773
L334
:
J40
2.412
2J73
2,134
3.731
9.S59
Year2(MM>QI£3*2001
Incidents21,75634.75J
Tn.iijncidcntsrepn-1cdi<2'»l
图16
Vulnerabilitiesreported
1995-1999
Year
1995
1996
1997
1998
1999*
Vulnerabilities
171
345
311
262
417
2000-2001
Year
2000
QUQ3r2001
Vulnerabilities
t090
L820
Totalvulne-ahthtiesreported(1995-Q3t2001):
MIG
图17
通过上面的图片,可以很清楚知道,攻击每年都在恶化,我们无时无刻不受到威胁,而作为高校校园,也是黑客攻击的大目标,所以,一个庞大的高校校园方案的产生,同时也伴随着被攻击的危险。
网络安全方案:
一、网络安全检测,也就是拓扑结构图(图2)中的IDS,即入侵检测系统;
二、硬件多层次防护:
通过本方案的拓扑结构图(图2),可以很清楚发现,笔者在三个地方都安置了硬件防火墙,这一做法,也是为了园区内的信息安全及防止外部攻击造成园区网络的不稳定。
三、数据灾备功能:
数据是一个网络的全部,通过服务器安置图(图10)可知道,笔者通过两台数据库服务器对园区的数据进行安全备份及处理;
四、认证模式:
园区敏感数据,将有一台认证服务器对其进行监控,以
防止黑客欺骗;
五、物理安全:
这个比较复杂,包括人为、天灾、环境等,可从机房组
成示意图(图8)得知本方案的安全性及可操作性。
&核心配置
核心配置图18
本校园网是采用3条百兆光纤构成的,一条走学生宿舍,一条走教学行政部分,另外一条是通过计算机管理中心连接省教育网。
其中Cisco6609为R1,向下从左到右分别为R2,R3:
OSPF配置:
r1
en
confthostr1inte0/0
ipadd192.10.1.1255.255.255.0
noshut
inte0/1
ipadd192.10.2.1255.255.255.0
noshut
inte0/2
ipadd192.10.3.1255.255.255.0
noshut
inte0/3
ipadd192.10.4.1255.255.255.0
noshut
ints1/0
ipadd200.1.1.1255.