校园网研究内容(8篇)
篇一:校园网研究内容
华北水利水电学院水利职业学院
机电与信息工程系
计算机应用技术专业
毕业设计(论文)开题报告
姓名
赵帅超
班级
121101学号
12311013论文(设计题目)
郑州水利学校校园网络方案设计与研究
一、选题的背景和意义:
校园网络是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。Internet在学校的应用越来越普及。
目前,校园网以成为学校教学管理工作的重要平台,教学改革的重要工具。但是,有些校园网中还存在一些缺陷。如:
1.网络安全隐患;
2.没有良好的分层设计和管理制度不全;
3.布线不够科学等。
所以,现在需要重新设计一个具有高可靠性、安全性和开放性的校园网络。
意义:充分利用现代化网络技术来进一步提高教学质量和办公效率。一方面,学生可以通过它在促进学习的同时掌握丰富的计算机及网络信息知识;另一方面,基于先进的网络平台和其上的应用系统,可以实现高水平的教学和管理。
二、课题研究的主要内容:
掌握校园网的现况,然后根据学校的需求和要求来确定建设目标,全面深入分析校园网的各方面的需求,根据需求对网络进行实施。主要研究的内容有:
1.校园网的总体框架;
2.校园网的规划和建设方案;
3.网络综合布线系统的确立;
4.校园网的应用系统设计;
5.校园网的安防设计;
6.无线网络的建立;
7.对不同服务流进行详细的分类和划分优先级;
8.校园网络系统的升级策略;
9.网络的维护;
10.工程的实施。
三、主要研究(设计)方法论述:
校园网的规划设计关系到整个校园的老师的教学、校长的办公管理、师生的生活等一系列问题,因此规划设计好校园网是一个必须解决的问题。
校园网的组建主要采用理论研究,从理论上画出网络的拓扑结构图,对实验楼、公寓楼、办公楼、教学楼、机房的布线情况及路由器和交换机的分级进行设计,主要采取参观学校校园网、上网收集资料,咨询老师进行设计。
本课题研究主要采用的方法:
1.文献分析法:通过收集整理有关网络建设方面的文献,总结其相关理论实践和经验,然后根据实际情况作出决定。
2.理论与实践结合法:选用好的典型案例和理论分析,来说明网络的问题。然后,结合论题进行分析,提出自己的看法。
3.经验总结法:根据自己以往的学习和实践总结的经验得出结论,合理的运用的本课题中。
华北水利水电学院水利职业学院
机电与信息工程系
计算机应用技术专业
四、论文(设计)进度安排:
时
间
篇二:校园网研究内容
开题报告
一、论文研究的目的、意义
1、研究目的:
在教育信息化发展趋势下,校园网络已成为学校日常管理、教学、科研的重要载体,其功能和性能需求都显著提升。在此情况下,校园网络规划与设计的相关研究也受到了广泛关注,通过合理部署校园网络,可以增进校园内部的信息交流,充分利用学校教学资源,提高教学管理效率。在具体的规划与设计过程中,不仅要保证校园网络能够全面覆盖校园的宿舍区、教学区、实训楼、办公楼等各个区域,还要确保其服务性能符合实际需求。
2、研究意义:
(1)理论意义:信息技术日新月异的今天,校园建筑群的智能化管理已经得到较大的发展与普及,同时现代化智能管理已成为现代建筑发展的方向。针对校园建筑的实际需求,通过加装各种子系统进行优化处理,每个子系统相互协调运行,集中与主系统的协调管理。此次的校园网络规划与设计正是对信息技术在校园建筑群智能化管理的实际应用,通过具体实证以达到理念的证明,因此具有理论意义。
(2)现实意义:将现代化网络和学校联系在一起,使得学校实现一个网络化的校园环境,满足校园师生进行各种教学,查询各类资料的需求,可以完成各种网络任务,构建出一个全面、完整的校园网络体系因此,研究智能化综合布线系统对于现代建筑信息自动化管理具有现实意义。
二、课题研究现状
校园建筑被赋予了更多的信息化功能,故对于综合布线系统要求也越来越高。而布线系统复杂程度越高就越容易引起布线系统故障,对于综合布线系统必须易于维护和检查。因此,布线系统的管理非常重要。国外开发了许多电缆管理系统,最著名的是HP的OpenView系统,GeneralMachines的NetView系统,Cisco的CiscoWorks系统和Sun的SunNetManager系统。这些众所周知的电缆管理系统是较早开发的,具有相对较强的技术实力,但是长期的垄断导致购买昂贵的产品,并且设备网络的复杂性和规模可能不兼容。同时,中国行业的管理限制,如政府和军人的秘密部门并不能采用。因此,大多数机密服务都倾向于使用原始的手动记录来维护本地网络。当今的通信设备受到交换系统,电话网络,计算机网络,电路交换数据网络,分组交换数据网络和其他通信网络的限制。因此,同一电缆系统和同一端子插孔的传输介质较高。高质量的硬件设施。这些安装将通过每个系统的网络电缆综合到大型网络中。当使用电缆线网络,终端插座和分配器时,可以轻松地建立各种低电流传输网络系统。当识别出用户终端的设备,并且相应的适配器直接连接到终端的信息插座时,就可以完成自己的网络的创建。现有终端设备与适当的适配器耦合,然后通过简单地更改跳线就可以快速建立新的传输网络,以完成对主调度员或用户的用户终端设备的添加,更改或重新安置。
三、研究内容
1.前言
2.需求分析
2.1.校园现状
2.2.校园各区域介绍
2.3.校园各区域信息点分析
2.4.服务器需求分析
3.逻辑设计
3.1.网络拓扑设计
3.2.信息点规划
3.3.IP地址规划
3.4.VLAN规划
3.5.网络主要配置
3.6.网络技术及网络协议
4.网络综合布线系统
4.1.网络综合布线系统概括
4.2.工作区子系统
4.3.水平干线子系统
4.4.垂直干线子系统
4.5.管理间子系统
4.6.设备间子系统
5.设备选型
5.1.核心层交换机
5.2.汇聚层交换机
5.3.接入层交换机
5.4.路由器
6.测试结果
6.1.HSRP配置测试结果
6.2.路由重分布测试结果
6.3.扩展访问控制列表(ACL)测试结果
7.总结
四、研究方案
在对黄骅市M中学的网络规划中主要是要建设一个信息一体化,业务多样化、管理集中化的校园网络,该校园网络安全可靠性能高,网络结构清晰,层次规划合理,可以清晰的知道网络中的各种协议作用,了解到网络对于校园的影响。校园网的网络覆盖整个校园,学生和教师只要在校内就可以顺利联网,同时,如遇到内外部恶意攻击,内部安全协议将进行阻碍,防止非法用户的侵入。在规划和设计方面,分析了网络的用户需求,IP地址规划与不同区域的vlan划分,以及信息点数量的统计,综合布线设计,以及机房设备和核心设备的选型。此次的校园网络规划与设计正是要根据学校的实际需求,使得学校网络的规划与设计达到实用、安全的目标。
五、进度安排
序号
123456789101112毕业设计论文各阶段内容
确定毕业论文的选题,收集资料,整理资料,完成论文的任务书
编写论文提纲,撰写开题报告,进行开题。
实习期间进行一步查找资料,作社会调查。
撰写论文,完成第一稿,并交指导教师
指导教师阅改论文。
时间安排
7月初--7月18日
7月18日--7月20日
7月初--8月初
8月初
备注
2周时间整理资料,论文设计规划
开题报告和设计书整理
完善研究材料
进行论文初稿写作
修改论文,完成第2稿,并交指导教
师。
指导教师阅改论文。
修改论文,完成第3稿,并交指导教
师。
指导教师阅改论文,并返还学生,修改后立即交指导教师。
专家评阅。
毕业论文答辩。
评定学生最终论文成绩,评出院内优秀论文。
六、预期结果
本文以黄骅市M中学校园网络建设为例,探讨了该校校园网络布线的需求,详细介绍了布线过程中涉及的主要内容,讨论了设计过程中遵循的原理以及校园布线的关键技术,对于这次的网络规划,笔者决定通过查询和了解该学校的基本信息情况,来对此次的校园网络设计进行大致的规划方向,同时该网络规划与设计进行了多次的信息点的估计计算和网络拓扑图的搭建,以此为校园设计了一个具备现代化教学网络的基本框架,实现了现代化教学网络的运用。着重于工作区子系统,水平布线子系统,垂直布线子系统,设备子系统和管理子系统的设计。以实现降低管理与人力资源成本的开销,提高网络易用性、管理性,同时加强校园网络的扩展性能。本文中的研究希望能对构建校园网络的理论实践进行初步设计实践。科学技术是第一生产力,也是第一创造力,综合布线的建设与发展将有更加广泛的应用,而校园综合布线用途也将进一步扩大,以支持校园的现代化建设,为人才的发展提供坚实的支持。
七、参考文献
[1]
葛瑞平.网络规划设计在校园网建设中的应用[J].计算机与网络,2019,45(20):43.[2]
王亚飞.光接入网虚拟化与灵活专线技术研究[D].北京邮电大学,2019.[3]
徐艳.LTE深度覆盖解决方案及效果研究[D].南京邮电大学,2017.[4]
任涛.某地电子政务外网的设计与实现研究[D].南京邮电大学,2018.[5]
廖伟文.广州工商学院校园网的规划及实现[D].华南理工大学,2018.[6]
刘航.高职院校校园网络规划与设计的分析与探讨[J].信息与电脑(理论版),2018(18):157-158.[7]
王安.X高校智慧校园建设项目方案规划与实施研究[D].青岛科技大学,2018.[8]
张海秀.高校校园网规划与设计[D].青岛科技大学,2018.[9]
于魁.河北联合大学新校区校园网规划设计方案研究[D].华北理工大学,2018.[10]
晏民昌.智能综合布线管理系统的设计与研究[D].华东交通大学,2017.[11]
吕潇.楼宇综合布线系统的设计与实现[D].西安理工大学,2016.[12]
孙家琦.浅析大学校园网络的规划与设计[J].智能城市,2017,3(01):168.[13]
邵凤伟.高校校园网络升级改造方案的设计与实现[D].大连海事大学,2016.[14]
文剑平.大学校园网改造的网络规划与设计研究[J].网络安全技术与应用,2017(03):116+118.[15]
王宇航,王庆福.高校校园网络IP地址设计规划解析[J].无线互联科技,2016(05):27-28/[16]
李鸣.行业网络集成综合布线工程的方案设计[C]//第十一届全国工程建设计算机应用学术会议.2016[17]
肖坤峨.VLAN之间通信的技术分析与配置实现[J].无线互联科技,2015(17):1-3.[18]
DelingRan.DesignandPlanningofUniversityCampusNetwork[J].IOPPublishing,2020,1533(2).
篇三:校园网研究内容
精编范文
高校无线校园网方案设计研究
温馨提示:本文是笔者精心整理编制而成,有很强的的实用性和参考性,下载完成后可以直接编辑,并根据自己的需求进行修改套用。
高校无线校园网方案设计研究
本文关键词:方案设计,校园网,高校,研究
高校无线校园网方案设计研究
本文简介:摘要:在网络时代,校园网已成为大学基础设施建设的重要环节。本项目将对学生宿舍区、教学办公区建设无线WLAN校园网覆盖,根据不同场景部署室内AP、室内墙面AP、室内高密AP、室外定向AP、宿舍入室面板AP等,符合802.11acwave2技术标准的AP设备,及相应的接入交换机和汇聚交换机;部署认证网关
高校无线校园网方案设计研究
本文内容:
摘要:在网络时代,校园网已成为大学基础设施建设的重要环节。本项目将对学生宿舍区、教学办公区建设无线WLAN校园网覆盖,根据不同场景部署室内AP、室内墙面AP、室内高密AP、室外定向AP、宿舍入室面板AP等,符合802.11acwave2技术标准的AP设备,及相应的接入交换机和汇聚交换机;部署认证网关设备、代拨设备、认证计费系统、上网行为管理系统等,建设一个全校统一账户、统一接入和统一运营管理的无线校园网。
关键词:校园网;WLAN覆盖;AP部署
1校园网建设目标
精编范文
根据学校需求,建设一张由校方自主管理权限,有线无线一体化、能够进行用户认证、计费、开户、上网权限精细化管理的网络,本项目建设目标如下:(1)统一融合的校园网络环境。根据学院信息点和业务分布情况,选择合理的核心设备、接入设备;选择合理的链路及连接方式,统一建设实现办公网和宿舍网络的融合。所有网络都接入到统一的核心网关设备,统一出口。(2)覆盖校园的无线网络环境。采用先进802.11acwave2技术的企业级AP,结合学校的实际环境进行差异化的、有针对性的覆盖,根据不同场景采用不同的无线部署方案,建设覆盖全校的无线网络环境。(3)集中认证计费管理平台。为避免校园网络的不可管理,学生上网行为不可控制、不透明等问题,本次项目建设最重要的目标就是建设一个全校统一账户、统一接入和统一运营管理的无线校园网。(4)流畅的集中认证网络环境。无线网络采用扁平网络架构,无线网络环境容量可满足未来5-10年的扩容需求。高性能集中式网络可以同时访问互联网,提供50000个终端。
2校园网建设方案总体设计
此次无线网络设计,可以建立一个有线无线统一,无线网络分为AC设计方案、AP设计方案、链路带宽设计、防代理设计、运营商融合认证方案设计,无线网络通过POE交换机进行供电和转发,网络拓扑图如下所示:(1)AC设计方案。本期工程采用AC+瘦AP的组网方式,完成AP的统一管理。采用2台独立无线控制器组网,通过虚拟化的方式实现负荷均衡及互为备份功能,确保单台无线控制器既可实现对全校AP的集中管理。(2)AP设计方案。信号覆盖区域包含办公楼、运动场所、学生宿舍等其他校园内的公共区域。95%的区域信号接收电平值>75dBm,在目标覆盖区域内,在多用户接入时峰值数据传输速率不应低于精编范文
2Mbps。①办公室。在这类场景使用墙装MiNi型AP进行无线覆盖,单个AP在提供无线信号覆盖的同时,还能提供有线端口和RJ11的电话线端口供使用。②操场等室外场景。室外接入点支持802.11acwave2协议、内置定向天线和内置避雷器,最大传输速率可达2.5G。③学生宿舍。通过采用宿舍POE设备和入室AP部署方式,综合了放装解决方案和室分解决方案的优点,并加以改良,部署1分24双频双流。(3)链路带宽设计。组网架构按照“带宽需求=并发用户数量×单用户峰值平均速率”,规划每层网络设备之间的链路类型和数量,以确保所需带宽。(4)运营商融合认证。①多运营商统一认证计费运营设计。通过认证计费系统和出口设备进行对接,可实现学生在校内使用统一的学号作为用户名,灵活进行开户上网,有效进行校园内部网络和认证计费运营平台的融合。②校内校外认证融合运营设计。校内认证:校内学生采用学校分配的账号进行认证,校内网络免费使用。校外认证:当学生需要访问互联网,要到运营商进行开户,开户后根据运营商账号信息,由出口设备代理学生向运营商BRAS通过PPPOE拨号进行认证上网。(5)防代理设计。为了确保达到实名审计目的,提升学校运营收入解决不同接入认证方式的防代理支持等问题,本次部署防代理设备,旁路部署在核心交换机旁,通过和认证计费系统进行对接,对防代理现象进行管理。
3结论
首先对高校校园网现存在的问题和业务需求做出了详细的总结,对建设校园网的建设目标提出了详细的设计。无线网络的覆盖是信息时代发展的趋势,世界各地的高校都加快了“智慧校园”的建设,WLAN逐步取代原有的有线网络。
参考文献:精编范文
[1]张果.基于大数据技术的数字化校园建设探讨[J].科技传播,2021.3(98).
[2]龙飞.可运营校园网络认证计费模式探讨[J].数字通信世界,20__.5(253).
[3]张海秀.硕士论文高校校园网规划与设计[D].青岛科技大学,20__.
[4]袁林德.高校无线校园网建设及优化[J].互联网+技术,20__.5(40).
[5]程德怿.校园网建设的技术研究[J].通信电源技术,20__.2(38).
作者:宁可
张来森
陈翔翱
王忠礼
单位:北华大学
高校无线校园网方案设计研究
来源:网络整理
免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。
篇四:校园网研究内容
本科毕业设计(论文)
题
目:
校园网建设和管理研究方案
院
系:
计算机科学系
专
业:
计算机科学和技术
姓
名:xxx学
号:xxx指导教师:xxx教师职称:
xxx
填写日期:2011年5月15日
I/46摘
要
中国教育科研网(CERNET)于1994年正式启动以来,已和国内几百所学校相连,2000年该网“二期工程”完成时,除达到连接1000所大学的目标外,对有条件的中小学也将提供上网接入服务。但实际情况是我国大多数校园网却因应用水平的低下而造成资源的极大浪费。如何利用当前先进的计算机技术和校园网资源,实现学校各项业务系统的集成,提高应用水平成为学校校园网建设的工作重点。
近年来,随着网络技术、CERNET(中国教育科研网)和INTERNET的发展的迅速壮大,全国已有四百多所高校建成校园网并接入CERNET。校园网的建设已成为高校实力和发展水平的标志。我院办学的规模、层次正在迅速地扩大和提高,建设一个先进、实用的校园网,实现校内外信息的快速传递,使教学、科研、管理步入信息化、网络化,从而提高办学水平和办学效益已成为必然选择。为此,学院决定投资建设校园网。
校园网在国内发展还不成熟,学校、媒体甚至计算机业界,对校园网都缺乏全面、深入的理解和认识,带有一定的盲目性和偏见。同时因为应用软件匮乏造成了只注重有形网络建设而忽略了无形文化建设的后果,使大多数校园网失去应有功效。
建设校园网要经过周密的论证、谨慎的决策和紧张的施工。许多教训是当一堆设备变成网络的时候,学校的满腔热情也已冷却凝固;网建成了,问题也出现了:设计目标无法实现;应用软件缺乏,阻碍了设想实施;维护费用不堪承受等等。这就需要在网络建设实施前确定明确的设计目标。
关键词:校园网建设;组网技术;校园网管理;网络组建;综合布线
I/46AbstractChinaEducationandResearchNetwork(CERNET)hasbeenofficiallylaunchedin1994,hundredsofschoolshavebeenconnectedwithit.Whenthenetwork"PhaseII"hasbeencompletedin2000,expectingthetargetsofconnection1000universities,conditionssomeprimaryschoolswhichhaveconditionswillalsobeenprovidedInternetaccessservices.Buttherealityisthatthemajorityofourcampusbecauseofthelowlevelofapplicationcausedgreatwasteofresources.Howtouseadvancedcomputertechnologyandthecurrentcampusnetworkresourcestoachieveschoolintegrationofvarioussystemsandimprovetheapplicationleveloftheschoolcampusnetworkhavebecomethemainpointsofcampusnetworkconstruction.
Inrecentyears,withthehighdevelopmentofnet-technology,internetandCERNET(ChinaEducationandResearchNetwork),therearemorethan4000000universitiesusethecampusnetworkandaccesstoCERNETinourcountry.Constructionofthecampusnetworkhasbecomethestrengthanddevelopmentlevelofcollegelogo.Becauseofthescaleandlevelofourschoolarerapidlyexpandingandimproving,buildinganadvanced,practicalcampusnetworktoachieverapidtransferofinformationoutsidetheschool,andmake
teaching,researchandmanagementintotheinformationtechnologyandnetworkage,andtherebyimprovetheeducationallevelandschooleffectivenesshasbecometheinevitablechoice.Therefore,ourCollegedecidedtoinvestinthecampusnetwork.
Thedevelopmentofthecampusnetworkinthecountryisnotmatureenough,soschools,mediaandeventhecomputerindustryarelackofacomprehensiveandin-depthunderstandingandknowledgeofit,sotheremaybesomeblindnessandprejudicewhenusingit.Atthesametimebecauseoflackofapplicationsoftwaresomeschoolsonlyfocusonphysicalnetworkconstructionandneglecttheintangibleculturalconstruction,somostofthecampusnetworkslosetheireffectiveness.
Constructionofthecampusnetworkshouldgothroughcarefulargument,carefuldecision-makingandintenseconstruction.Manylessonsarethatwhenabunchofequipmentintothenetwork,theschool"senthusiasmhascooledsolidification;whennetworkiscompleted,theproblememerged:thegoalsofdesigncannotbeachieved;lackofsoftwareapplicationspreventedtheimplementation;maintenancecostsareunbearableandsoon.Thisrequiresthatcleardesigngoalsshouldbesetbeforetheimplementationofthenetworkconstruction.
Keywords:CampusNetwork;networkingtechnology;campusnetworkmanagement;networking;integratedwiring
II/46目
录
摘
要
........................................................................................................................................I
Abstract
.................................................................................................................................II
第一章
校园网概述
.............................................................................................................1第一节
校园的需求分析
...............................................................................................1一、建设校园网的必要性
.....................................................................................1二、校园网的特点
.................................................................................................1三、校园网的功能
.................................................................................................2四、校园网的需求分析
.........................................................................................2第二节
校园网的设计目标和原则
...............................................................................3第二章
校园网的建设
...........................................................................................................4第一节
校园网的设计方案
...........................................................................................4一、主干网设计
.....................................................................................................5二、第一教学楼网络设计
.....................................................................................6三、网络设备的选择
.............................................................................................6四、综合布线技术
.................................................................................................第二节
网络的主要配置
.............................................................................................12一、划分子网
.......................................................................................................12二、VLAN的配置
...............................................................................................14三、路由协议的配置
...........................................................................................2第三章
校园网的安全
.........................................................................................................2第一节
防火墙
.............................................................................................................2一、防火墙的基本类型
.......................................................................................2二、防火墙常见的网络结构
...............................................................................2三、防火墙的设置
...............................................................................................3第二节
网络安全
.........................................................................................................32一、网络安全概述
...............................................................................................32二、网络病毒
.......................................................................................................32三、校园网的安全维护措施
...............................................................................33第四章
校园网的管理方案
.................................................................................................34第一节
校园网管理的主要内容................................................................................34一、网络管理的分类
...........................................................................................34二、网络管理的功能
...........................................................................................35第二节
校园网的管理和维护措施
.............................................................................36一、硬件的管理和维护
.......................................................................................36二、软件的管理和维护
.......................................................................................3致谢
.......................................................................................................................................41参考文献
...............................................................................................................................42III/46第一章
校园网概述
校园网是指利用网络设备、通信介质和组网技术和协议以及各种系统管理软件和应用软件,将校园内的计算机和各种终端设备有机地集成在一起,并应用于教学、科研、学校管事、信息资源共享和远程教学等方面的计算机局域网系统。
第一节
校园的需求分析
一、建设校园网的必要性
校园网建设势在必行。信息时代的热潮扑面而来,计算机变得越来越强大,而应用软件使计算机变的越来越容易使用,它们正在迅速改变着人们的生活、学习、工作方式,人们能够明显感觉到这种变化,总之整个世界正进行着一次深刻的变革。在这个变革的时代里,什么都在变,作为其它行业基础的教育当然也要变,而且应该变的更早变的更快。在一个好的校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。社会变的很快,我们必须跟上时代的步伐,因此在经济条件允许的情况下,尽快尽早的建设校园网好处将是显著的和长远的。校园网里人们用计算机和网络进行工作、交流和学习,计算机改变了人的教学方式,同时也改变了人的学习方式。
二、校园网的特点
建设校园网时,对技术和相关设备的要求都较高,总体而言,大型校园网具有以下几个方面的特点:
(1)网络结构复杂
一般情况下,大型的学校校园网在网络结构上,通常都采用有两台以上的核心交换机和若干台L3交换机构成网络主干,多为千兆以太网链路,运行动态路由协议。
(2)网络覆盖面广
在网络覆盖上,通常有众多的网络媒体网络教室,大型的数字化图书馆、多种类型的基于网络化管理的实验楼群、教学楼和办公楼,以及学生和教工宿舍等都将接入校园网,所以一般来说用户数量都较大。
(3)校园网的用户需求高
在大型校园网中,由于用户多为在校大学生和教师,其在线人数、在线时长、每用户带宽、网络应用的多样化等指标都大大超过商业网络和宽带小区网络
(4)应用系统丰富
大型校园网的另外一个重要特征就是表现在应用系统上,除了DNS、WWW、FTP、E-mail等一些Internet应用服务外,一般还会规划更高层次的数字化校园网络服务。如校园身份认证,教务管理、人事、学生管理、科研、新闻发布等一系列信息化应用系统。当然,这些系统不是在所有的校园网中都是完善、健全的,很多都是分期完成的。
1/46三、校园网的功能
1.信息交流功能
(1)Internet(因特网)信息服务。老师和学生可以在学校任何一台电脑上浏览查询互联网上的信息,也可以在互联网上开设学校对外宣传的网站等。
(2)校内信息服务。校园网建成后,能为教学、科研和管理决策提供各类信息服务;师生可以在网上下载信息,部门通知、教学参考、科研信息、教师经验总结、课件数据库、BBS、学校新闻网站、学生园地等,可以丰富校园生活,进一步促进师生之间的交流。
2.教学服务功能
(1)学科园地。提供教学资料和教学课件供教师使用。
(2)多媒体教学资源库。将教学资源库建成为包括学科教材、教案、试题、录像、图片等对教师备课有参考价值的多媒体素材。
(3)电子备课室。学校设置电子备课室为教师提供优质的多媒体制作备件,教室配有多媒体计算机,还配有光盘刻录机、扫描仪和投影机等设备,以方便教师教学。
(4)电子阅览室。电子阅览室提供大量的电子出版物,发挥电子媒体容量大、体积小、成本低、检索快、易于复制和保存,易于处理等特点,使师生能够在最短的时间内获得更多的信息。
(5)远程教学功能等。
3.学生学习功能。
学生利用网络自主学习,可以提高学生的学习能力,他们可以上网查阅资料,将完成的作业利用电子邮件或FTP传送给老师,学生可以在校园网上建立自己的网页,利用网页交流学习心得、讨论问题,争取共同进步。这样可以使学生在网上自主地获取自己感兴趣的信息,最大限度地满足学生对知识的渴求,提高学生的专业知识和文化土质,培养学生终身学习的能力。
4.学校管理功能
校园网可以促使学校建立和完善及时的信息发布和体系,推动全校管理信息系统的现代化,主要包括以下几个方面:网上办公系统、教务管理系统、图书馆管理系统、教学和科研管理系统、财务管理系统、食堂管理系统以及后勤管理系统。
5.拓展图书馆功能
利用校园网可以开设向教师开放的电子备课室,开设面向学生的电子阅览室等以方便师生可以在网上实现检索图书、浏览图书、查阅借阅情况、办理预约以及续借等手续,进而实现图书现代化管理。
四、校园网的需求分析
随着计算机多媒体和网络技术的不断发展和普及,校园网信息系统的建设,是非常必要的,也是可行的。主要表现在:
1、当前校园网信息系统已经发展到了和校际互联、静态资源共享、动态信息发布、远程教学和协作工作等的阶段,发展对学校教育现代化的建设提出了越来越高的要求。
2、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。
3、我国各级教育研究部门、软件开发单位和教学设备供应商等不断开发提供了各种2/46在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。
4、现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。
5、随着经济发展,我国各级学校对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。
第二节
校园网的设计目标和原则
(一)校园网的设计目标
在知识经济和数字化生存时代,校园网在资源共享、知识传播、育人管理等方面发挥越来越重要的作用,因此其设计建设要本着高起点而又经济实用的标准。具体来说,应是一个以宽带IP网为目标建立数据、语音、视频三网合一的一体化网络;为提高网络可靠性及安全性,需要在主干网采用光纤布线,校园网应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性;主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能;主干网络应该采用成熟的、可靠的快速以太网和千兆位以太网技术作为校园网主干;校园网应选用先进的网管软件,建立完善的网络管理体系;在设备方面,应选择有校园网成功案例的网络厂商的设备,同时为Internet、拨号用户和移动用户提供接口;网络还应具有良好的扩展性。
(二)校园网的设计原则
1.学校需求为前提原则:坚持以学校具体需求为校园网信息系统方案设计的根本和前提,同时,也要注重源于需求又高于需求的原则,注意用专业化的技术思想来进行校园网的规划和设计,确保校园网的实用性、先进性和便于扩展性。
2.设备选型兼顾原则:满足学校对现代化教学手段的要求;满足校园网建设及互联网的要求;所选设备在国际上保持技术先进性;供应商有良好的商业信誉和优质的售后服务。
3.坚持标准原则:一切校园网设计和施工,均要严格遵循国际和国家标准。
统一规划,分步实施。校园网的实现要求通讯协议、网络平台等应具有世界性的开放性和标准化的特点,并且应采用统一的网络体系结构。
4.坚持先进的成熟的技术原则:采用通用的、成熟的技术方案可以降低建设成本、减小设计、施工和使用难度、缩短建设周期。
5.坚持规范布线,考虑长远发展原则:布线系统使网络的重要基础,布线系统的好坏是衡量一个网络好坏的非常重要的标志。布线系统不合理将降低网络的可靠性,使网络难以管理和维护,所以必须采用标准的综合布线系统。
6.坚持易于使用和管理原则:校园网的各种软件应用项目必须易于使用,对最终用户的起点要求不能太高,一般以熟练使用操作系统、办公软件系统、浏览器和电子邮件系统为宜;系统的日常管理和维护工作要方便、简易。
7.坚持可扩展性原则:考虑现有网络的平滑过度,使学校现有陈旧设备尽量保持较好的利用价值;选用产品应具有最佳性价比,又要应充分考虑未来可能的应用,具有高扩展性。
3/46第二章
校园网的建设
第一节
校园网的设计方案
一个好的校园网设计应该是一个分层的设计。一般为接入层、汇聚层、核心层的三层设计模型。如图所示:
图2.1常规三层园区网络模型
在图中,接入层主要包括Switch5、Switch6、Switch7、Switch8四个交换机,汇聚层主要包括Switch3、Switch4两个交换机,核心层主要包括Switch1、Switch2两个交换机和Router路由器。此外,服务器集群接到汇聚层交换机Switch3上,移动办公人员等其它远程用户通过拨号方式接入路由器来访问该校园网的内部数据。三层的功能主要如下:
接入层:
解决终端用户接入网络的问题,为它所覆盖范围内的用户提供访问Internet以及其它的信息服务,如常在这一层进行用户访问控制等;
汇聚层:
(1)汇聚接入层的用户流量,进行数据分组传输的汇聚、转发和交换;
(2)根据接入层的用户流量,进行本地路由,过滤、流量均衡、QoS优先级管理,以及安全控制、IP地址转换、流量整形等处理;
(3)根据处理结果把用户流量转发到核心交换层或在本地进行理由处理。
4/46核心层:
(1)将多个汇聚层连接起来,为汇聚层的网络提供高速分组转发,为整个局域网提供一个高速、安全和具有QoS保证能力的数据传输环境;
(2)提供宽带城域网的用户访问Internet所需的路由服务;
注意:QoS(QualityofService)服务质量,是网络的一种安全机制,是用来解决网络延迟和阻塞等问题的一种技术。
为了实现网络设备的统一,在网络的设计及构建中建议采用同一厂商的网络产品,好处在于:可以实现各种不同网络设备的互相配合和补充。
一、主干网设计
主干网在整个校园网络系统中占有举足轻重的地位,它是整个网络的中枢,它主要处于三层模型的核心层。
主干网负责学校各个局域网之间的数据传输,信息发布,资源共享,学校以后的BBS,办公自动化系统,VOD系统,远程教学系统,INTERNET接口,和其他兄弟学校的数据交换都将运行在这个网络上,因此,主干网的好坏直接影响到以后网络系统的运行效率,速度快慢,网络性能等参数。
校园内各个局域网之间通信采用基于美国CISICO公司的Catalyst5000交换机的快速交换式以太网。Catalyst5000是能支持所有主要网络技术的模块化结构的交换机。它是为数据中心提供高密度局域网交换的理想设备。它包括一个1.2Gbps的数据交换主干,最多可支持98个交换的以太网端口或50个交换的快速以太网端口。可通过交换口,原有系统可无逢地纳入整个骨干网之中。新增的系统可利用100M口,提供100M高带宽。用户可利用其内在的CISCOIOS功能,它可提供虚拟网络和多层交换的能力,组成灵活的VLAN。Catalyst5000交换机通过FDDI端口,以DAS方式接入整个校园网FDDI。Catalyst5000交换机还提供ATM模块接口,在未来升级到ATM网络。
以图书馆为主心机房,连接学校各楼宇的主干网络图如下:
图2.2学校园区主干网络概况图
5/46二、第一教学楼网络设计
第一教学楼为计算机科学系教学楼,将教学楼主要分为教师办公室、多媒体教室和机房。使用路由器,交换机以及PC机连接起来,大致概况如下图所示:
图2.3第一教学楼网络概况图
根据教学楼对网络速度要求较高的特点,可以采用了联想LS-5625智能型24+1和10/100M自适应以太网交换机,它提供24个10/100M交换式端口和一个扩展插槽,可选插1个8联的10/100Base-TX、1个2联的100Base-FX或1个1联的千兆以太网模块。
在软件方面,可选用的种类较多,如:联想传奇(ParaSago)、电子教室、海航的电子阅览室、中教的课件制作系统等。
连接图书馆中心的网络,在路由器上根据情况划分子网(第二节一小节介绍),为路由器设置路由协议(第二节三小节介绍),然后转接到相应的交换机上,根据实际需要网络情况,为交换机设置VLAN的划分(第二节二小节介绍),每一个机房划分到一个VLAN中,教师划分到每个办公室一个VLAN,把多媒体教室划分到一个VLAN中,根据综合布线的要求将网络连接到需要的教室,机房以及教师办公室。例如:各教师办公室里可以实现相互通信又能实现内部通信,就需要划分不同的VLAN,以方便教师通信等。
三、网络设备的选择
网络设备主要是指硬件系统,各种网络设备之间是有着相互关联而不是相互独立的,每一部分在网络中有着不同的作用,缺一不可,只有通过一定的形式将这些设备连起来才能组成一个完整的网络系统,网络设备主要包括网卡、集线器、交换机、路由器、传输介质等。
(一)网卡
6/46网卡(简称NIC),也称网络适配卡或网络接口卡,网卡作为计算机和网络连接的接口,是必不可少的网络设备之一。无论是双绞线网络、同轴电缆网络还是光缆网络,都必须借助于相应类型的网卡才能实现和计算机的连接,网卡是局域网和计算机相互连接的惟一接口。每块网卡上都有一个世界惟一的ID号,也就是MAC(MediaAccessControl)地址,计算机在连入网络之后,就是依靠这个ID号才能实现在不同计算机之间的通信和信息交换。网卡有很多种,不同类型的网络需要使用不同种类的网卡,不同速度的网络需求也要使用不同的网卡。如根据带宽来分的话,有10Mbit/s网卡、10/100Mit/s自适应网卡和1000Mbit/s网卡;如按总线分,有ISA总线、PCI总线、PCMCIA总线网卡等。从目前校园网建设的实际情况来看,工作站网卡选择PCI总线的10M/100Mbit/s自适应网卡最适合。
(二)交换机
交换机,也称交换式集线器,是专门设计的,使各计算机能够相互高速通信的独享带宽的网络设备。作为高性能的集线设备,随着价格的不断降低,交换机已逐步取代了集线器而成为集线设备的首选。由交换机构建的交换式网络系统不仅拥有高速的传输速率,而且交换延时很小,使得信息的传输效率大大提高,适合于大数据量并且使用非常频繁的网络通信,被广泛应用于各种类型的多媒体和数据传输网络。交换机具有很强的网络管理功能,它能自动根据网络通信的使用情况来动态管理网络,因为交换机采用了独享网络带宽的设计。
(三)路由器
路由器除了有连接不同的网络物理分支和不同的通信媒介、过滤和隔离网络数据流及建立路由表,还有控制和管理复杂的路径、控制流量、分组分段、防止网络风暴及在网络分支之间提供安全屏障层等到功能。根据路由设备的组成可以分为软路由和硬路由。根据路由表的设置方式可以将路由器分为静态的和动态的。路由器工作在网络层,因此它可以在网络层交换和路由数据帧,访问的是对方的网络地址。当数据帧到达路由器后,路由器查看数据帧的目标地址,并在路由表查看到达目标地址的路径,根据路径的代价,选择一条最佳的路径,然后把数据帧沿这条路径发送给目标地址。
(四)传输介质
网络要求把各个独立的计算机连接起来的,这样就必然要求有一种介质将计算机连接起来,这就是传输介质,局域网的传输介质可分为有线介质和无线介质两种,一般情况下都是用有线介质的,因为它的稳定性高,连接可靠等。常用的有线介质主要有以下几类。
1、同轴电缆
同轴电缆以硬铜线为芯,外包一层绝缘材料。这层绝缘材料用密织的网状导体环绕,网外又覆盖一层保护性材料。同轴电缆有许多种不同的规格,最常用是细同轴电缆和粗同轴电缆。细同轴电缆主要用于建筑物内的网络连接,而粗同轴电缆则常用于建筑物间相连。它们的区别在于粗同轴电缆屏蔽更好,能传输更远的距离。
同轴电缆是由中心导体、绝缘材料层、网状织物构成的屏蔽层以及外部隔离材料层组成,其结构如图2.4所示。
7/46图2.4同轴电缆结构
2、双绞线
双绞线是综合布线工程中最常用的一种传输介质。双绞线由两根具有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射的电波会被另一根线上发出的电波抵消,和其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受到一定限制,但价格较为低廉。目前,双绞线可分为非屏蔽双绞线和屏蔽双绞线。
双绞线的结构如图2.5如示:
图2.5双绞线结构
3、光纤
光纤是一种直接为50~100um的柔软的、能传导光波的介质,一般由玻璃制造。光纤分为:传输点模数类分单模光纤(SingleModeFiber)和多模光纤(MultiModeFiber)。单模光纤的纤芯直径很小,在给定的工作波长上只能以单一模式传输,传输频带宽,传输容量大。多模光纤是在给定的工作波长上,能以多个模式同时传输的光纤,和单模光纤相比,多模光纤的传输性能较差。光纤通信系统的基本构成如图2.6所示:
图2.6光纤结构
(五)服务器
校园网中的服务器主有数据库服务器和代理服务器,数据服务器和代理服务器主要是面向校园网内部用户的服务,对来自Internet的用户服务也很多,主要是对校园网内部用户进行Internet代理服务。目前,绝大多数校园网都要求内部服务用户通过代理访问Internet,这样内部用户就不能直接访问Internet,同时代理服务器保存着内部用户访问Internet的日志,以作为记费的依据。由于用户数量非常大,也非常集口中,所以在选型代理服务器时,主要考虑的是要有较大的容量、较高的处理速度和较高的稳定性,一般来说8/46都选用大型服务器作为代理服务器。
(六)设备选型
1、服务器端。选择微软的服务器端集成软件BackOffice.BackOffice包括了WindowsNT.IIS.FrontPage.SQLServer.Exchangeserver.SystemsManagementServer。ProxyServer以及一个统的客户/服务器软件安装程序。
其中,WINDOWNT作为网络的基础,提供文件和打印机共享,通信Internet连接和应用程序服务:IIS提供WWW和FTP服务;FrontPage提供网页制作工具和Web管理;Indexserver提供Email.时间规划和集成的群件性能;SNAServer提供主机数据和应用的连接能力;SystemsManagement集中地管理这个分布式的环境;ProxyServer提供防火墙功能,有效地将校园网和公共Internet分离,并有效地提供客户访问Internet的通路。
2、客户端。选用IE6.0以上,它提供了组用户访问Web,所有本地文件和校园网络上所有文件的集成方法。
四、综合布线技术
综合布线系统采用标准化的语音、数据、图像、监控设备,各线综合配置在一套标准的布线系统上,统一布线设计、安装施工和集中管理维护。综合布线系统以无屏蔽双绞线和光缆为传输媒介,采用分层星型结构,传送速率高。
具有布线标准化、接线灵活性、设备兼容性、模块化信息插座、能和其它拓扑结构连接及扩充设备,安全可靠性高等优点。
(一)综合布线系统的组成
图2.7综合布线六个子系统的构成图
1、工作区子系统
9/46又称为服务区子系统,由终端设备连接到信息插座的连线,以及信息插座所组成。信息点由标准RJ45插座构成。信息点数量应根据工作区的实际功能及需求确定,并预留适当数量的冗余。例:对于一个办公区内的每个公办点可配置2—3个信息点,此外应为此办公区配置3—5个专用信息点用于工作组服务器、网络打印机、传真机等等。
2、水平子系统
又称水平干线子系统,它主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统指定的拓扑结构为星形拓扑。水平干线的设计包括水平子系统的传输介质和部件集成。选择水平子系统的线缆,要根据那建筑物内具体信息点的类型、容量、带宽和传输速率来确定。在水平子系统中推荐采用的双绞电缆及光纤型号为:康宁公司FutureCom超五类或六类非屏蔽双绞线,FutureLink室内单模或多模光纤。双绞线水平布线链路中,水平电缆的最大长度为90m。若使用100欧的UTP双绞线作为水平子系统的线缆,可根据信息点类型的不同采用不同类型的电缆,例:对于语音信息点和数据信息点可采用FutureCom超五类或超六类双绞线,甚至使用FutureLink光缆:对于电磁干扰严重的场合应尽量采用超六类屏蔽双绞线,但是从系统的兼容性和信息点的灵活互换性角度出发,建议水平子系统采用同一种布线材料。
3、垂直子系统
又称干线子系统,提供建筑物的主干电缆的路由,是实现主配线架和中间配线架,计算机、PBX、控制中心和各管理子系统间的连接。干线传播电缆的设计必须满足当前的需要,又适应今后的发展。干线子系统布线走向应选择干线线缆最短、最安全和最经济的路由。干线子系统在系统设计施工时,应预留一定的线缆做冗余信道,这一点对于综合布线的可扩展性和可靠性来说是十分重要的。干线子系统可以使用的线缆主要有:HAY三类大对数电缆;FutureCom超五类或超六类双绞线;FutureCom室内单模或多模光纤。超五类双绞线可以支持1000BASE—T,但如果要求支持1000BASE—TX则必须使用六类双绞线。如果已安装的电缆仅满足五类线标准(1995),那么在连接1000BASE—T设备之前,应对布线系统按照新增加的布线参数(如:回波损耗,等级远端串扰(ELFEXT),传播延迟和延时畸变等)进行测量和认证。
4、管理子系统
管理子系统是综合布线系统中对布线电缆进行端接和配线管理的子系统.管理间子系统由交连、互联和I/O组成。管理间为连接其他子系统提供手段,它是连接垂直干线子系统和水平干线子系统的设备。
5、设备间子系统
由设备室的电缆、连接器和相关支持硬件组成,把各种公用系统设备互连起来。设备间的主要设备有数字程控交换机、计算机网络设备、服务器、楼宇自控设备主机等等。它们可以放在一起,也可以分别设置。在较大型的综合布线中,可以将计算机设备、数字程控交换机、楼宇自控设备主机分别设置机房,把和综合布线密切相关的硬件设备旋转在设备间。
6、建筑群子系统
是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件。建筑群之间可以采用有线通信的手段,也可以采用微波通信、无线电通信的手段。在康宁公司的LANscape综合布线解决方案中,康宁FUtureLink光纤不但支持FDDI主干、1000BASE—FX主干、100BASE—FX到桌面、ATM主干和ATM到桌面,还可以支持CATV/CCTV及光纤到桌面(FTTD);是建筑群群子系统和主干线子系统布线有线通信线缆中的明星。
(二)综合布线的应用
10/46学校网络结构分层主要为三层:
第一级是核心层,为中心节点。网络中心选址在学校地域的中心建筑(图书馆大楼),布置了校园网的核心设备,如路由器、交换机、服务器(www服务器、电子邮件服务器、拨号服务器、域名服务器等)。
第二级是汇聚层,为建筑群的主干结点,校园网按地域设置了几条干线光缆,从网络中心辐射到几个主要建筑群,并在二级主干节点处端接。学校校园网主干带宽全部为100Mbps,并考虑到向ATM或千兆以太网的升级。
第三级是接入层,为建筑物楼内的HUB,三级节点主要是指直接和服务器和工作站连接的局域网设备,即以太网或快速以太网集线器(3COM堆叠式集线器3COMSUPERSTACK)。设计楼内的综合布线时根据需要可进行一定取舍。如取消干线子系统;合并管理子系统和设备间子系统;将水平子系统的布线直接引入到设备间的主配线架上等等。
(三)综合布线系统的测试
双绞线的测试内容主要有:接线图(WireMap)、长度(Length)、衰减(Attenuation)、近端串扰(NEXT)等。
1、接线图
接线图是验证线对连接是否正确。接线图必须遵照
T568A或T568B的定义。接线图测试不仅仅是一个简单的逻辑连接测试,而是要确认链路的一端一个针和另一端相应针的连接。
图2.8T568A和T568B接线图
2、长度
指连接电缆的物理长度,对于线缆长度要求如下:基本回路线缆长度≤94m(包括测试跳线),通道回路线缆长度≤100m(包括设备跳线和快式跳线)。
3、衰减
由于集肤效应、绝缘损耗、阻抗不匹配、连接电阻等因素,造成信号沿链路传输损失的能量,称之为衰减,单位是dB(分贝)。
4、近端串扰
一条双绞线电缆的两对双绞线之间的耦合称为串扰,通俗讲就是一对双绞线的电信号串入另一对双绞线。由于发送端(称为近端)发送出的信号没有经过衰减的影响,串扰最大,而接收端要接收的信号来自远端,经过长距离的传输,更易受到串扰的影响,这种串扰称之为近端串扰,是最常见的影响电缆性能的因素。近端串扰(NEXT)的单位是dB,注意:NEXT的数值越大串扰越低。线路的两端都必须测量NEXT。
5、衰减串扰比(ACR)11/46衰减和串扰大小的比值就是衰减串扰比(ACR),该数值越高,所期望的性能就越好。
光缆最基本的测试是连通性测试,衰减。
第二节
网络的主要配置
一、划分子网
(一)划分子网
划分子网(subnetting)即从
1985年起在
IP地址中又增加了一个“子网号字段”,使两级的IP地址变成为三级的IP地址的做法。
划分子网纯属一个单位内部的事情。这个单位对外仍然表现为没有划分子网的网络。
从主机号借用若干个比特作为子网号
subnet-id,而主机号
host-id也就相应减少了若干个比特。IP地址结构如下:
IP地址
::={<网络号>,<子网号>,<主机号>}凡是从其他网络发送给本单位某个主机的IP数据报,仍然是根据
IP数据报的目的网络号
net-id,先找到连接在本单位网络上的路由器。然后此路由器在收到
IP数据报后,再按目的网络号
net-id和子网号
subnet-id找到目的子网。最后就将
IP数据报直接交付给目的主机。
图2.9子网划分(二)12/46(二)子网掩码
如下图所示,子网掩码也是32位数字,由一串1和随后的一串0组成,子网掩码中1对应二级IP地址中原来的网络号和子网号,0对应的是三级地址结构中的主机号。将子网掩码和二级IP地址逐位进行AND运算后,可得到子网的网络地址。
AND运算:1AND1=11AND0=0AND0=图2.10子网掩码的划分
现在因特网规定,无论是否划分子网,都要设置子网掩码,若不划分子网,那么该网络的子网掩码就是使用默认子网掩码,即子网掩码中1的位置和二级IP地址中的网络号部分相对应。
图2.11A、B、C类网络的子网掩码
例:一直IP地址是128.127.72.32,子网掩码是255.255.192.0,试求该地址所在子网网络地址。
图2.12子网所在网络地址
13/46该B类网络能够分成的子网数量:
128.127.00000000.00000000128.127.01000000.00000000128.127.10000000.00000000128.127.11000000.00000000每一个子网能够容纳的主机数量:2的14次方-2二、VLAN的配置
VLAN是在交换机上划分广播域的一种技术。它允许一组不限物理地域的用户群共享一个独立的广播域,减少由于共享介质所形成的安全隐患。
在一个网络中,即使是不同的交换机,只要属于相同VLAN的端口,它们会应用交换机地址学习等机制相互转发数据包,工作起来就好像是在一个独立的交换机上。但在同一台交换机上属于不同VLAN的端口,它们之间不能直接通信,必须借助路由器实现通信。如某公司办公楼有三层楼,在每层楼都设有工程部、市场部和财务部的办公室,为了独立地管理各部门网络和安全方面的考虑,此公司划分VLAN网络拓扑图如图2.13所示。在图中,每个交换机的端口都被同一层楼的三个部门的计算机所分享,虽然共用了一个交换机,但是每层楼的各部门之间的计算机在局域网内却是完毕被隔离开来,不会相互影响,从整个公司来看,三个VLAN之间也互不干涉。
图2.13把交换局域网划分为VLAN(一)VLAN的划分方式
1、基于端口的VLAN划分
把一个或多个交换机上的几个端口划分一个逻辑组,这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可,不用考虑该端口所连接的设备。
2、基于MAC地址的VLAN划分
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示,前8位为厂商标识,后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。
3、基于路由的VLAN划分
路由协议工作在网络层,相应的工作设备有路由器和路由交换机(即三层交换机)。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
14/46就目前来说,对于VLAN的划分主要采取上述第1、3种方式,第2种方式为辅助性的方案。使用VLAN具有以下优点:
(1)控制广播风暴
一个VLAN就是一个逻辑广播域,通过对VLAN的创建,隔离了广播,缩小了广播范围,可以控制广播风暴的产生。
(2)提高网络整体安全性
通过路由访问列表和MAC地址分配等VLAN划分原则,可以控制用户访问权限和逻辑网段大小,将不同用户群划分在不同VLAN,从而提高交换式网络的整体性能和安全性。
(3)网络管理简单、直观
对于交换式以太网,如果对某些用户重新进行网段分配,需要网络管理员对网络系统的物理结构重新进行调整,甚至需要追加网络设备,增大网络管理的工作量。而对于采用VLAN技术的网络来说,一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护费用。在一个交换网络中,VLAN提供了网段和机构的弹性组合机制。
(二)静态VLAN的配置
静态VLAN是最常用的一种划分VLAN的方法,交换机默认只有一个VLAN,即VLANl,所有的端口都属于这个VLAN,因此VLANl无须再创建。
表2.1常用的VLAN配置命令
命令
说明
valndatabase进入VLAN配置模式
vlanVLAN_#[nameVLAN_name]创建VLAN(并命令)vlanVLAN_#创建VLANnameVLAN_name给VLAN命名
setvlanVLAN_#
nameVLAN_name给VLAN命名
switchportmodeaccess将端口设置为静态VLAN模式
switchport
accessvlanVLAN_#将端口分配给VLANsetvlanVLAN_#slot_#/port_m-port为VLAN批量分配端口
showinterfacesinterface-idswitchport显示某个端口的VLAN配置
showinterfacesinterface-idtrunk显示某个端口的trunk配置
配置案例如图2.14所示,PC1-PC4共享同一个交换机,PC1和PC2属于VLAN2,PC3和PC4属于VLAN3,4个PC机采用直连线依次连接到交换机f0/1,f0/2,f0/3,f0/4端口,交换机和计算机之间使用直连线相连接。
图2.14静态VLAN的配置
15/46采用CISCO模拟器具体配置步骤如下:
1.创建VLANMING>enableMING#vlandatabase(进入VLAN配置模式)MING(vlan)#vlan2nameNetA(创建VLAN2并改名为NetA)VLAN2added:
Name:NetA(显示VLAN名称)MING(vlan)#vlan3nameNetB(创建VLAN3并改名为NetB)VLAN3added:
Name:NetB(显示VLAN名称)MING(vlan)#exit(退出VLAN配置模式)
MING#write
(保存VLAN创建信息)2.将端口指派给VLANMING(config)#interfacef0/1(进入端口f0/1配置模式)MING(config-if)#switchportmodeaccess(将端口f0/1设置为静态VLAN模式)MING(config-if)#switchportaccessvlan2(将将端口f0/1分配给VLAN2)MING(config-if)#exit(退出端口配置模式)MING(config)#interfacef0/2(进入端口f0/2配置模式)MING(config-if)#switchportmodeaccess(将端口f0/2设置为静态VLAN模式)MING(config-if)#switchportaccessvlan2(将将端口f0/2分配给VLAN2)MING(config-if)#exit(退出端口配置模式0)MING(config)#interfacef0/3(进入端口f0/3配置模式)MING(config-if)#switchportmodeaccess(将端口f0/3设置为静态VLAN模式)MING(config-if)#switchportaccessvlan3(将将端口f0/3分配给VLAN3)MING(config-if)#exit(退出端口配置模式)MING(config)#interfacef0/4(进入端口f0/4配置模式)MING(config-if)#switchportmodeaccess(将端口f0/4设置为静态VLAN模式)MING(config-if)#switchportaccessvlan3(将将端口f0/4分配给VLAN3)MING(config)#end(返回到特权模式)MING#showvlan(查看交换机VLAN信息)3.将端口从某个VLAN中删除
默认情况下,所有的端口都属于VLANl,管理员可以将任意一个端口赋予任意一个创建的VLAN。如果需要将该端口从该VLAN中删除,可以使用switchportaccessvlan1命令将它重新赋予VLANl。
MING(config)#interfacefastEthernet0/1(进入f0/1端口模式)MING(config-if)#switchportaccessvlan1(将端口f0/1划归VLAN1,即从VLAN2“NetA”中删除)4.删除VLANMING(config)#novlan2(删除VLAN2)当删除一个VLAN时,原来属于此VLAN的端口将处于非激活状态,直到管理员将其分配给某一VLAN。
(三)VLANTrunk的配置
16/46为了让VLAN能跨越多个交换机,必须用Trunk(主干)链路将交换机连接起来。也就是说,要把用于两台交换机相互连接的端口设置成VLANTrunk端口。CISCO交换机之间的链路是否建立trunk是可以自动协商的,这个协议称为DTP(DynamicTrunkProtoc01),DTP还可以协商Trunk链路的封装类型。在默认情况下,CISCO交换机之间
的链路是Trunk链路,封装类型是ISL,允许所有VLAN通过。VLANTrunk常用的配置命令如表2.2所示。
表2.2常用VLANTrunk配置命令
命令
说明
switchporttrunkencapsulation{negotiate|is1|dot1q}设置trunk封装类型
switchportmode{trunk|dynamicdesirable|dynamicauto}设置trunk模式
switchportnonegotiate设置trunk链路不发送协商包
noswitchportnonegotiate默认trunk链路是发送协商包
switchporttrunkallowedvlanall允许所有VLAN通过trunkswitchporttrunkallowedvlanaddvlan-list允许某些VLAN通过trunkswitchporttrunkallowedvlanremovevlan-list禁止某些VLAN通过trunkswitchporttrunknativevlanvlan-id[3]指定802.1q本地vlan号
注:
[1]交换机使用switchporttrunkencapsulation命令配置Trunk的封装类型,可以双方协商确定,也可以指定是isl或dot1q,但要求Trunk链路两端端口的封装类型一致。其各参数意义如下。
negotiate:自动协商封装类型,为默认配置。该参数要求协商为对端的封装类型,若对端的封装参数也为negotiate,则两端的封装类型均为is1类型。
is1:如果是CISCO的交换机,可以吏甪CISCO的私有协议ISL进行封装。
dot1q:采用IEEE802.1q协议进行封装方式。
配置案例:如图2.15所示,VLAN2和VLAN3跨越了两个交换机SwitchA和SwitchB,两个交换机之间采用直连
线连接g1/1端口,两个交换机的g1/1端口都需要配置成Trunk端口,两个Trunk配置成允许所有的VLAN通过。
图2.15VLANTrunk17/461.在SwitchA和SwitchB上分别创建VLAN2和VLAN3,并把端口划归相应的VLANSwitchA>enableSwitchA#vlandatabase
SwitchA(vlan)#vlan2nameNetAVLAN2added:
Name:NetASwitchA(vlan)#vlan3nameNetBVLAN3added:
Name:NetBSwitchA(vlan)#exitSwitchA#configureterminalSwitchA(config)#interfacefastethernet0/1SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan2SwitchA(config-if)#exitSwitchA(config)#interfacefastethernet0/3SwitchA(config-if)#switchportmodeaccessSwitchA(config-if)#switchportaccessvlan3以上是对SwitchA进行配置,对SwitchB的配置参照SwitchA配置。
2.分别把两个两交换机的g1/1端口配置成Trunk端口,并允许所有VLAN通过
SwitchA(config)#interfaceg1/1(进入端口g1/1配置模式)SwitchA(config-if)#switchporttrunkencapsulationdot1q(使用IEEE802.1q协议封装Trunk)SwitchA(config-if)#switchportmodetrunk(将端口设置成Trunk)SwitchA(config-if)#switchporttrunkallowedvlanall(允许所有VLAN通过此Trunk)以下是把SwitchB交换机的g1/1端口配置成Trunk命令。
SwitchB>enableSwitchB#configureterminalSwitchB(config)#interfaceg1/1SwitchB(config-if)#switchmodetrunkSwitchB(config-if)#switchporttrunkallowedvlanall通过以上配置,从PC1计算机上输入ping192.168.1.3已经可以ping通PC2了,PC3和PC4也通了,但是两个之间并不通,这成功实现了对VLAN1和VLAN2的隔离,同时也实现了不同交换机之间同一VLAN内的计算机相互通信。使用以下命令可以查看交换机上的Trunk配置信息。
SwitchA#showinterfacestrunk(查看交换机SwitchA上的Trunk配置信息)如果在某一交换机(如SwitchA)上,只允许VLAN2通过,而VLAN3不能通过,则设置如下:
SwitchA(config)#interfaceg1/1SwitchA(config-if)#switchporttrunkallowedvlanremove3(在原有基础上禁止VLAN3通行)或
SwitchA(config-if)#switchporttrunkallowedvlannone(禁止所有VLAN通过Trunk)SwitchA(config-if)#switchporttrunkallowedvlanadd2(允许VLAN2通过Trunk)18/46如果要同时添加几个VLAN通过Trunk,则在VLAN编号之间用逗号隔开,如:
SwitchA(config-if)#switchporttrunkallowedvlanadd2,3(允许VLAN2,VLAN3通过Trunk)(四)VTP的配置
按照三小节的方法配置,使用中继线相连的交换机都需要进行相应的配置。如果更改
VLAN,所有的相关交换机也要做变更,这样工作就太大了。采用VTP(VLANTrunkingProtocol)协议可以简化配置工作。VTP有三种工作模式:服务器模式、客户端模式和透明(transparent)模式,默认是服务器模式。
服务器模式的交换机可以设置VLAN配置参数,服务器会将配置参数发给其他交换机。客户端模式的交换机不能设置VLAN配置参数,只能接受服务器模式的交换机发送的VLAN配置参数。透明模式的交换机是相对独立的,它允许设置VLAN配置参数,但不向其他交换机发送自己的配置参数。当透明模式的交换机收到服务器模式的交换机
发送的VLAN配置参数时,仅仅是简单地转发给其他交换机,并不用来设置自己的VLAN参数。当交换机处于VTP服务器模式时,如果删除一个VLAN,则该VLAN将在所有相同VTP的交换机上被删除。当在透明模式下删除时,只在当前交换机上被删除。VTP常用的配置命令如表2.3所示。
表2.3常用的VTP配置命令
命令
说明
vtpdomainVTP_domain_name
设置VTP的域名
vtppasswordVTP_password设置VTP密码
vtp{server|client|transparent}设置VTP工作模式
vtppruning[1启用/禁用修剪(默认启用)snmp-serverenabletrapsvtp启用SNMP陷阱(默认启用)showvtpstatus显示VTP配置
在图2.16中,把SwitchA配置成VTPServer,SwitchB配置成VTPClient,让SwitchB交换机从SwitchA交换机上学习相应的VLAN配置信息。
图2.16VTP的配置
19/461.把交换机SwitchA配置成VTPServer2.在交换机SwitchA上创建VLAN2和VLAN3,且设置VLANTrunk3.在交换机SwitchB上配置设置VLANTrunk和VTP客户端,让其学习VTPServer端的VLAN信息,到此,VTP协议配置完毕。
4.在交换机SwithA上把把相应的端口加进VLAN2和VLAN35.在交换机SwithchB上把把相应的端口加进VLAN2和VLAN3经过以上5个步骤以后,PC1和PC2,PC3和PC4可以分别实现互访,但是两组之间不能互访,因为处于不同的VLAN中。
如果要将交换机配置成透明模式,命令如下:
Switch#vlandatabase(进入VLAN配置模式)Switch(vlan)#vtptransparent(设置为VTP透明模式)Switch(vlan)#exit三、路由协议的配置
在小规模的网络互联情况下,可以使用静态建立路由表的方法来指定每一个可达目的网络的路由。但把这种方法用到较大规模的网络互联显然是不可行的。路由器一般都能够配置动态路由协议,通过和相邻的路由器交换网络信息而动态建立路由表。
路由协议定义了路由器间相互交换网络信息的规范。路由器之间通过路由协议相互交换网络的可达性信息,然后每个路由器据此计算出到达各个目的网络的路由。路由协议能够用以下度量标准的几种或全部来决定到目的网络的最优路径:路径长度、可靠程度、延迟(Delay)、带宽、负载和代价(Cost)。
管理距离(AdministrativeDistance)是衡量路由信息可信任程度的参数,管理距离越低,表明该协议提供的路由信息越可靠。静态路由的管理距离是1,动态路由协议也有自己的管理距离。C1SCO定义的管理距离如表2.4所示。
表2.4CISCO定义的管理距离
路由源
默认管理距离
路由源
默认管理距离
直接端口
0IS-IS115静态路由
1RIP120EIGRP汇总路由
5EGP170BGP20外部EIGRP170内部EIGRP90内部BGP200IGRP100未知
255OSPF11根据交换的路由信息的不同,路由协议可分为距离向量(DistanceVector)、链路状态(LinkState)和混合路由(HybridRouting)三种类型。
常用的内部网关路由协议有RIP、IGRP、EIGRP和OSPF。
(一)RIP的配置
RIP是基于D-V算法的路由协议,使用跳数(HopCount)来表示度量值(Metric)。跳数是一个数据报到达目标所必须经过的路由器的数目。
RIP认为跳数少的路径为最优路径。路由器收集所有可达目标网络的路径,从中选择去往同一个网络所用跳数最少的路径信息,生成路由表;然后把所能收集到的路由(路径)信息中的跳数加1后生成路由更新通告,发送给相邻路由器:最后依次逐渐扩散到全网。20/46RIP每30s发送一次路由信息更新。
RIP最多支持的跳数为15,即在源和目的网络可以经过的路由器的数目最多为15,跳数为16表示目的网络不可达,所以RIP只适用于小型网络。常用的RIP配置命令如表2.5所示
表2.5常用的RIP配置命令
命令
说明
routerrip指定使用RIP协议
version{1\2}指定RIP版本(默认为1)networknetwork_id指定和该路由器直接相连的网络
(config-if)#ipripsentversion{1\2}配置一个端口只发送某个版本的RIP分组
(config-if)#ipripreveiveversion{1\2}配置一个端口只接收某个版本的RIP分组
noauto-summary[1]关闭自动汇总功能
ipripauthenticationkey-chain
图2.17路由器RIP协议配置
在全局配置模式下配置RIP,首先用routerrip命令进入RIP配置模式,然后使用network命令指定和路由器相连的网段,使该网段可被R1P通告。
1.在路由器RA上配置RIP和ip地址
Router(config)#hostnameRARA(config)#routerrip(使用RIP路由协议)RA(config-router)#version2(使用RIPv2)RA(config-router)#network192.168.0.0(指定和该路由器直接相连的网络)RA(config-router)#network172.16.0.0(指定和该路由器直接相连的网络)RA(config-router)#network172.16.1.0(指定和该路由器直接相连的网络)RA(config-router)#exitRA(config)#interfacef0/1RA(config-if)#ipaddress192.168.0.1255.255.255.0RA(config-if)#noshutdownRA(config-if)#exitRA(config)#interfaces1/0RA(config-if)#ipaddress172.16.1.1255.255.255.252RA(config-if)#clockrate64000RA(config-if)#bandwidth6421/46RA(config-if)#noshutdownRA(config-if)#exitRA(config)#interfacef0/0RA(config-if)#ipaddress172.16.0.1255.255.255.252RA(config-if)#noshutdownRA(config-if)#exit2.同样在路由器RB上配置RIP3.在路由器RC上配置RIP配置完RIP后,路由器会把自己的路由信息广播给相邻的路由器,各路由器通过学习获得其他路由器的路由信息,生成各自的路由表。
4.测试路由的正确性
配置RIP后,可以使用表2.6中的命令来测试数据报是否被正确路由。
表2.6常用的RIP测试命令
命令
说明
pingIP_address测试到目的IP地址的连通性
showiproute查看路由表信息
traceroutipIP_Address跟踪到目的IP地址的路由
在PC1、PC2、PC3上使用ping命令可检查三个PC之间的网路都是连通的。如在PC1上运行以下命令结果为:
PC>ping192.168.0.2Pinging192.168.0.2with32bytesofdata:Replyfrom192.168.0.2:bytes=32time=30msTTL=126Replyfrom192.168.0.2:bytes=32time=30msTTL=126Replyfrom192.168.0.2:bytes=32time=30msTTL=126Replyfrom192.168.0.2:bytes=32time=30msTTL=126Pingstatisticsfor192.168.0.2:
Packets:Sent=4,Received=4,Lost=0(0%loss),Approximateroundtriptimesinmilli-seconds:
Minimum=30ms,Maximum=30ms,Average=30ms在各路由器的路由表中也能反映出这种连通性。以RA为例,其路由信息如下:
RA#showiproute(也可使用showiprouterip查看主要的RIP路由信息)Codes:C-connected,S-static,I-IGRP,R-RIP,M-mobile,B-BGP
……...R
192.168.2.0/24[120/1]via172.16.0.2,00:00:09,FastEthernet0/从上表可以看出,标识为“R”的路由信息为“RIP”路由信息,从路由器通过学习而自动生成的。其中:
表示从RA路由器到达目标网路
①路由信息源:该项表明此条路由是如何获得的,这里的R表示通过RIP路由协议获得,所有的信息源代码在路由表的最上方有显示。
②目的地址:该项表明此条路由的目的地。
③管理距离:该项表明获得此条路由协议的管理距离,RIP默认的管理距离为120。
22/46④度量值:该项表明获得此路由所采用的度量。
⑤下一跳地址:该项表明为了到达目的地要经历的下一跳。
⑥该路由信息的时效:该项表明此条路由距上次更新有多长时间(注意,只有动态路由才有此项)。
⑦到达下一跳的端口:该项表明数据报必须从本设备的某个端口发送到下一跳地址。
在路由表中可看到有3条RIP路由,分别可以访问到网络172.16.2.0/30、192.168.1.0/24和192.168.2.0/24,其中访问172.16.2.0/30的路由有两条。之所以保存这两条路由表项,是因为到达目的网段所需要经过的跳数相同(都为1)。而访问另外两个网段也可以经过另外两个路由器转发,但因为那样要经过2跳,RIP优先选择度量值最低的路径保留来在路由表中,其余的路径都被丢弃。
在非直连的路由条目中都有一对方括号,以[管理距离/度量值]的形式表示。例如[120/1]表示管理距离为120,度量值为1。路由器正是根据这两个数来选择路由的。先比较管理距离(在路由选择协议之间进行),再比较度量值(在去往同一网络的路径之间进行),两者都是越低越优先。
(二)IGRP的配置
IGRP也是一种基于D—V算法的路由协议。IGRP使用综合参数(带宽、时延、负载、可靠性和最大传输单元)来表示度量值,能够处理不确定的、复杂的拓扑结构,不支持VLSM和CIDR。
默认情况下,IGRP每90s发送一次路由信息更新消息。在3个更新周期(270s)若收不到更新,即没有刷新路由表中的对应路由条目,就认为该路由不可达。在7个更新周期后,还收不到更新信息,就会从路由表中将对应路由条目删除。
常用的IGRP配置命令如表2.7所示。
表2.7常用的IGRP配置命令
命令
routerigrpautonomous-system[1]showiproute说明
指定使用IGRP协议
指定和该路由器直接相连的网络
查看路由表信息
注:
[1]autonomous-system是自治系统号,具有相同自治系统号的路由器才会相互交换IGRP路由信息。
自治系统号取值范围为1~65535,而且只有64512~65535可用于私网,其他自治系统号都用于公网。
因为带宽是IGRP的度量值之一,在配置串行端口时,需要用bandwidth命令指明相应端口上的带宽为多
少来模拟实际网络带宽。当配置好路由器的端口地址后,就可以进行IGRP协议的配置。
网络拓扑图如图2.17所示,在1小节配置RIP协议的基础上,配置IGRP。RA、RB、RC路由器上各端口ip参数在1小节中已配好,这里就只需要删除各路由器上的RIP协议,然后加上IGRP协议即可。
1.在路由器RA上配置IGRP
RA(config)#norouterripRA(config)#routerigrp10023/46RA(config-router)#network192.168.0.0RA(config-router)#network172.16.0.0RA(config-router)#network172.16.1.02.在路由器RB上配置IGRP3.在路由器RC上配置IGRP
配置完成以后,可以查看到路由器自动学习到的IGRP路由信息,标记为“I”。此刻,RA访问RC,RC访问RA的路由都要经过路由器RB转发,这是因为IGRP计算度量值时需要把网络带宽因素考虑进去。这里假设以太网的带宽是100Mbps,显然比64Kbps带宽(配置RA和RBip参数时配置的)的串行端口大,所以经RB转发的路由最优,计算出来的度量值最小。从RB访问172.16.1.0/30的网段有两条路由,这是因为这两条路由具有相同的度量值,两条路由都可用。通过这种配置,可以实现从RB到172.16.1.0/30网段的链路负载均衡。
(三)EIGRP的配置
EIGRP是最典型的平衡混合路由选择协议,它融合了距离向量和链路状态两种路由选择协议的优点,实现了很高的路由性能。EIGRP支持可变长子网掩码和CIDR,支持对自动路由汇总功能的设定。EIGRP支持多种网络层协议,除IP协议外,还支持IPX、AppleTalk等协议。
常用的EIGRP配置命令如表2.8所示。
表2.8常用的EIGRP配置命令
命令
说明
routereigrpautonomous-system指定使用EIGRPnetworkaddress[wildcard-mask][1]指定和该路由器直接相连的网络
noauto-summary[2]关闭自动汇总功能
ipsummary-addresseigrpnetwork_idmask手工汇总
showiproute查看路由表信息
注:
[1]EIGRP和IGRP在network命令的区别在于多了wildcard-mask参数,这是通配符掩码。如果网络定义使用的是默认掩码,则wildcard-mask参数可以省略:如果网络定义使用的不是默认掩码,则wildcard-mask参数必须标明。
[2]EIGRP在处理有类别(A、B、C类)网络地址时,会自动地汇总路由。这意味着即使规定RTC
连接的是10.0.3.0/24这个网络,但EIGRP仍然会发布其连接整个A类网络10.0.0.0。在EIGRP中,路由自动汇总功能默认是有效的。存在不连续子网的网络中,通常需要用noauto-summary命令来关闭该功能。
下面根据图2.17所示,配置三个路由器的EIGRP,本节是在1小节的基础上进行配置。
1.在RA上配置EIGRPRA(config)#norouterripRA(config)#routereigrp100RA(config-router)#network192.168.0.00.0.0.255RA(config-router)#network172.16.1.00.0.0.3RA(config-router)#network172.16.0.00.0.0.3RA(config-router)#noauto-summaryRA(config-router)#end24/462.在RB上配置EIGRP3.在RC上配置EIGRP4.验证EIGRP配置
(四)OSPF协议的配置
OSPF(OpenShortestPathFirst,开放式最短路径优先)是一种基于L-S算法的路由协议。OSPF利用本路由器周边的网络拓扑结构生成链路状态通告,传播到整个自治系统中,同时收集其他路由器传播过来的LSA,根据所有的LSA建立链路状态数据库(LSDB);然后以自己为根节点,生成最短路径树。每个OSPF路由器都使用这种最短路径树构造路由表。OSPF是一种内部网关协议,也就是说,它只在同一自治系统内的路由器之间发布路由选择信息。
OSPF的特点是没有自环路由;具有更快的收敛速度;更有效的路由更新机制;支持多路的负载均衡;支持认证;以组播方式传播LSA路由更新。
表2.9常用的OSPF配置命令
命令
routerospfprocess_idnetworkaddresswildcard-maskareaarea_id[1]showiprouteshowipospfinterfaceint_id说明
指定使用OSPF协议
指定和该路由器直接相连的网络
查看路由表信息
查看某端口的OSPF协议路由信息
注:
[1]wildcard-mask是通配符掩码,用于告诉路由器如何处理相应的IP地址位。通配符掩码中,0表示“检查相应的位”,1表示“忽略相应的位”,也可将通配符掩码理解为标准掩码的反向。
(一)单域OSPF的配置
如图2.18所示,Area0中有三个路由器,下面根据要求在各路由器上配置OSPF协议。
图2.18单域OSPF配置过程中,每台路由器都使用routerospfprocess-id命令启动一个OSPF路由选择协议进程。process-id是本路由器上的OSPF进程ID号,它只有本地意义,即其他路由器不会关心这个数字。进程ID号码的取值范围是1~65535,用于标识一台路由器上多个OSPF进程。
使用networkaddresswildcard-maskareaarea-id命令可将网段加入到OSPF路由进程中,例如,networkl72.16.1.00.0.0.3area0命令就是将l72.16.1.0/30网段加入OSPF路由进程中,其中0.0.0.3是通配符掩码。在这里,它相当于子网掩码255.255.255.252的反掩码。25/46对于单域OSPF,其自治系统只包含一个区域,即主干区域,用area0来表示。
每个自治系统中,OSPF包含一个主干区域和若干个一般区域,单一区域只能是主干区域,主于区域用区域0表示。区域号是一个十进制数,也可用IP地址的点分十进制格式书写。这里所指定的网络都和区域0相关联。
首先按拓扑图结构配置好路由器的各端口,这里在1中RIP协议的配置结果基础上进行配置。
1.在路由器RA上配置OSPF协议
RA(config)#norouterripRA(config)#routerospf100RA(config-router)#network192.168.0.00.0.0.255area0RA(config-router)#network172.16.0.00.0.0.3area0RA(config-router)#network172.16.1.00.0.0.3area0RA(config-router)#exit2.在路由器RB上配置OSPF协议
3.在路由器RC上配置OSPF
4.在RA上查看路由
RA#showiprouteospf
172.16.0.0/30issubnetted,3subnetsO
172.16.2.0[110/2]via172.16.0.2,00:04:13,FastEthernet0/0O
192.168.1.0[110/3]via172.16.0.2,00:01:44,FastEthernet0/0O
192.168.2.0[110/2]via172.16.0.2,00:03:55,FastEthernet0/0其中“O”表示路由器通过ospf协议学习到的路由。在RB及RC路由上通过showiprouteospf或showiproute命令也可查看到相应的ospf路由信息。
(二)多域OSPF的配置
OSPF可以将自治系统细分为若干个区域,以减少LSA的数量,屏蔽网络变化影响的范围。这种划分方法是在逻辑上把这些路由器分成组,区域的边界在路由器上。边界上路由器的各端口可能会属于不同的区域,这种路由器被称作区域边界路由器(ABR,AreaBorderRouter)。
如图2.19所示,自治系统被划分成三个区域,一个主干区域(Area0)和两个标准区域(Area1和Area2)。因为每一个路由器的端口只能属于某一个特定区域,所以一个网络只能属于一个区域。RA和RB都是区域边界路由器。
图2.19多域OSPF1.在RA上配置端口和OSPF协议
RA(config)#interfacef0/0Router(config-if)#ipaddress192.168.0.1255.255.255.0RA(config-if)#noshutdownRA(config-if)#exitRA(config)#interfaces1/0RA(config-if)#ipaddress172.16.1.1255.255.255.252RA(config-if)#clockrate6400026/46RA(config-if)#bandwidth64RA(config-if)#noshutdownRA(config-if)#exitRA(config)#routerospf100RA(config-router)#network172.16.1.00.0.0.3area0RA(config-router)#network192.168.0.00.0.0.255area12.在RB上配置OSPF协议
3.在RA上查看OSPF协议
27/46第三章
校园网的安全
第一节
防火墙
防火墙是一种网络访问控制软件或设备,是置于不同网络安全域之间的一系列部件的组合,是不同网络安全域间通信的唯一通道,能根据企业有关的安全策略控制(允许、拒绝、监视、记录)进出网络的访问行为。
一、防火墙的基本类型
1、包过滤防火墙
包过滤防火墙也称访问控制列表,它是根据已经定义好的过滤规则来审查每个数据包,并确定该数据包是否和过滤规则匹配,从而决定数据包是否能通过。
包过滤防火墙工作在网际层和传输层之间,其优点是:可以和现有的路由器集成,也可以用独立的包过滤软件来实现,而且数据包过滤对用户来说是透明的,成本低、速度快、效率高。
缺点:包过滤技术的主要依据是包含在IP报头中的各种信息,可以IP包中信息的可靠性没有保证,IP源地址可以伪造,通过内部合谋,入侵者轻易就可以绕过防火墙;并非所有的服务都和静态端口绑定,包过滤只能够过滤IP地址,所以它不能识别相同IP地址下不同的用户,从而不具备身份认证的功能;工作在网络层,不能检测那些对高层进行的攻击;如果为了提高安全性而使用很复杂的过滤规则,那么效率会大大降低;对每一个数据包单独处理,不具备防御Dos攻击和DDos攻击的能力。
2、状态检测防火墙
状态检测防火墙是一种动态包过滤防火墙,也称为自适应防火墙,它在基本包过滤防火墙的基础上增加了状态检测功能。
优点是:具备包过滤防火墙的一切优点;能够灵活地动态地生成过滤规则;具备较好的Dos攻击和DDos攻击防御能力;和应用代理防火墙相比,执行效率较高,有较好的可伸缩性和易扩展性,应用范围广。
缺点:不能对应用层数据进行控制;不能记录高层次的日志。
3、应用代理防火墙
应用代理防火墙工作在应用层,针对专门的应用层协议制定数据过滤和转发规则。其核心技术是代理服务器技术。
优点:可实现身份认证;可进行内容过滤;可记录非常详尽的应用层日志记录。
缺点:
工作效率低;对不同的应用层服务需要定制不同的应用代理防火墙软件,缺乏灵活性,不易扩展。
二、防火墙常见的网络结构
1、屏蔽路由器防火墙网络
28/462、屏蔽路由器防火墙+堡垒主机网络
3、屏蔽路由器防火墙+双宿主堡垒主机网络
4、双DMZ网络
29/46三、防火墙的设置
以CISCOPIX(PrivateInterneteXchange)为例介绍防火墙的配置和使用。CISCOPIX是一种包过滤防火墙,它由CPU、RAM、NVRAM、FIASH、ROM和一些相应的端口通过内部总线相连而构成,采用CISCOPIXOS操作系统。
表3.1防火墙常用配置命令
命令
说明
nameifinterface-number{nameif}确定以太网端口名字,并指定它的安全级别
securitysecurity[1]interfaceinterface-number{auto∣指定以太网端口,设置速度,并启用/关闭端口
100full}[shutdown][2]ipaddressnameifipmask[3]为端口(由端口名字标识)配置IP地址和掩码
nat(nameif)nat-idsubnetsubnet_mask[4]根据标号nat-id来做nat处理:为0时,对子网进行透明转发;为非0时,对子网进行地址转换(必须和相应的global匹配)global(nameif)nat-idsubnetnetmask定义地址池,并将在nat命令中定义的nat-id所标subnet_mask[5]识的子网地址转换为地址池中的一个地址
route(nameif)destination_network_id配置静态路由
subnet_masknext-address[6]static(nameif,outside)ip-nameif,ip-outsid静态地址转换。将名为nameif的端口IP地址静态enetmask255.255.255.255[7]映射到一个外部全局IP地址,使之可能有了从外部访问内部(例如inside和DMZ)的通道
conduitpermitprotocolhostip–nameifstatic命令定义了从外到内的入口,但需用本命令eqportany为相应流量配置通道
access-listacl_id{permit∣创建ACLdeny}protocolsource[source-wildcard]destination[desti30/46nation-wildcard][operatort][established][no]fixupprotocol[protocol][port]添加可监听的服务端口
showfixup显示可配置的fixupprotocol设置
access-groupacl_id[in∣out]interface将访问列表应用到端口nameif上
nameif[8]注:
[1]nameif配置的对象为硬件端口,如ethernet0、ethernet1、…。PIX防火墙的内部端口和外部端口的名字是默认的,其中ethernet0被命名为outside,安全级别为0;ethernet1被命名为inside,安全级别为100。PIX其他端口的名字和安全级别需要设置。例如将端口ethernet2命令为DMZ,并为其分配安全级别50。
nameifethernet2dmzsecurity50[2]interface配置的对象也为硬件端口,可用于确定端口类型、速度,并启用端口。例:
将端口ethernet2设为100Mb/s,全双工,并启用。
interfaceethernet2100full关闭端口ethernet2。
interfaceethernet2100fullshutdown[3]ipaddress命令配置的对象是逻辑端口,即由nameif定义的端口,如outside、inside和dmz等。PIX防火墙上的每个端口都必须配置一个IP地址。配置完成后,可用showipaddress命令查看端口分配的IP地址。例如,为端口DMZ分配IP地址。
ipaddressdmz192.168.0.1255.255.255.0[4]nat命令配置的对象也是逻辑端口,即由nameif定义的端口。nat(网络地址转换)使内部用户的私有地址转换为外部的全球唯一的公有IP地址。nat命令用来指定将转换的网段或主机地址,进行地址转换时,必须和相应的global命令联合使用。nat命令还可以单独使用,这时它不可用来进行地址的转换,而只作简单的数据转发。例如:
将DMZ的网段192.168.1.0/24进行透明转发,不作地址转换(其中0代表透明转发)。
nat(dmz)0192.168.1.0255.255.255.0将内部地址段10.1.2.0/24进行翻译(其中1代表全局地址池,必须和相应的global命令匹配)。
nat(inside)110.1.2.0255.255.255.0[5]global命令配置的对象也是逻辑端口,即由nameif定义的端口。global命令需要和nat命令配合使用来定义转换完成后的网络地址。例如:
将nat标号为1的地址段中的地址转换为202.116.64.128~202.116.64.143中的一个地址,掩码为255.255.255.24global(outside)1202.116.64.128-202.116.64.143netmask255.255.255.240将nat标号为1的地址段中的地址翻译为地址202.116.64.138,不同的地址转换到同一地址的不同端口号。
global(outside)1202.116.64.138netmask255.255.255.240[6]route命令配置的对象也是逻辑端口,即由nameif定义的端口。route命令用于配置静态路由。例如,为外部端口配置默认路由,将所有从outside端口离开的数据包发往地址202.116.64.241。
route(outside)
0.0.0.00.0.0.0202.116.64.241[7]这里的nameif主要是指inside和DMZ这些非外部端口,通过这条命令来生成一个从外到内的通道,但要真正进入内部,还必须使用access-list命令为相应的数据流配置通31/46道。
[8]outbound和conduit命令已经被标准的访问列表(类似lOS)所取代,在未来的软件版本里将不再支持。
例如,禁止对外部地址202.116.0.234的www访问的命令如下:
outbound10deny202.116.0.234255.255.255.255wwwapply(inside)10outgoing_dest采用标准的访问列表时,对应命令如下:
access-listinside_acldenytcpanyhost202.116.0.234eqwww
access-listinside_aclpermitipanyany
access-groupinside_aclininterfaceinside静态地址转换。将名为nameif的端口IP地址静态映射到一个外部全局IP地址,使之可能有了从外部访问内部(例如inside和DMZ)的通道。
例如,内部www服务器192.168.1.251静态映射到一个外部全局IP地址202.116.64.131,允许外部任何地址访问202.116.64.131的www服务,实质上就是允许访问192.168.1.251的www服务,命令如下:
static(inside,outside)192.168.1.251202.116.64.131netmask255.255.255.255conduitpermittcphost192.168.1.251eqwwwany第二节
网络安全
一、网络安全概述
网络安全的目标主要是可靠性、可用性、真实性、保密性、完整性、不可抵赖性;网络安全威胁的主要类型有内部窃密和破坏、窃听和截收、非法访问、破坏信息的完整性、冒充、流量分析攻击、其他威胁;网络攻击的主要手段有窃听、数据篡改、盗用口令攻击、中间人攻击、缓冲区溢出攻击、后门攻击、欺骗攻击、Dos、野蛮攻击、SQL注入、计算机病毒攻击、特洛伊木马;网络安全机制和技术主要有数据加密机制、访问控制机制、数据完整性机制、鉴别机制、流量填充机制、路由控制机制、防火墙、入侵检测。
对于校园内的计算机系统,安全措施是相当重要的。一方面,对于单间机房或计算机终端,必须有专人负责管理,机房要注意上锁,这是常规的安全管理;另一方面,对于校园网络,所有的计算机都连接在网络上,而且已接入了INTERNET,这样对校园网络的管理就显得难度较大,安全防护技术要求更高。
二、网络病毒
(一)网络病毒
网络病毒是造成网络遭到严重破坏的主要原因之一。因此,网络病毒的预防显得十分重要的。预防网络病毒主要在服务器和用户终端上进行。
在服务器上,使系统中毒的一般是外来的带毒软件,或者受到外来入侵者的攻击。对于工作站,一般病毒感染的途径主要有通过软盘传染(例如在计算机上使用带病毒的软盘)、通过机器传染(例如把有毒的硬盘程序复制到另一个硬盘上)、通过网络传染(例如下载网上程序文件等)等途径。
对于计算机网络,我们的主要任务是防止和消除病毒。主要做法有:
(1)在服务器和工作站上安装一些防计算机病毒软件;
32/46(2)不使用来历不明、无法确定是否带有病毒的磁盘;
(3)不做非法的软件复制,不使用盗版软件;
(4)对重要程序或数据要经常做备份,以便在感染上病毒后尽快得到恢复;
(5)严禁在计算机上玩来历不明的网络游戏、计算机游戏等软件;
(6)定期对计算机进行系统进行病毒检测等等。
如果计算机不幸感染了病毒,可以利用反病毒软件来检测和清除病毒。目前已开发出的反病毒软件有:我国公安部发行的SCAN/KILL、北京江民新技术有限责任公司的杀毒软件KV300系列、美国McAfee公司的SCAN/CLEAN、KILLV77、美国CentralPoint公司的CPAV、美国Trend公司的LANProtect和PC-cillin、DEBUG测试程序、PC-TOOLS工具软件等。
(二)网络病毒的防御
在防治网络病毒方面,接受不明电子邮件,下载软件如:.zip.exe等文件过程中应特别加以注意。都有潜伏病毒的可能性。
对于系统本身安全性,主要考虑服务器自身稳定性,增强自身抵抗能力,杜绝一切可能让黑客入侵的渠道,避免造成对系统的威胁。对重要系统,必须加上防火墙和数据加密技术加以保护。
计算机系统安全是个很大的范畴,在操作系统、应用软件、硬件本身都可能出现的一些情况,平时应重视,加以防范。
三、校园网的安全维护措施
针对以上影响校园网安全的因素,我们可采取下列措施以保证校园网安全运行。
(1)采用入侵检测系统:入侵检测技术是为保证计算机系统的安全而设计配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动保护系统安全的目的。
(2)运用过滤平台和防火墙技术:过滤技术可以屏蔽不良的网站,对网上色情、暴力、和邪教内容有强大的堵截功能。防火墙技术包含动态的包过滤、应用代理服务器、用户认证、网络地址转换、预警模块、日志及计费分析等功能。可以有效地将内部网和外部网隔离开,保护校园网络不被未授权的第三方入侵。
(3)运用VLAN技术:运用VLAN技术加强内部网络管理。VLAN技术核心是网络分段。根据不同的应用业务及不同的安全级别,将网络分段并进行隔离,实现相互间的访问控制,可以达到限制用户非法访问目的。
(4)漏洞扫描系统的设计:解决网络安全问题,首先要弄清网络中存在哪些安全隐患、脆弱点。而对大型网络的复杂性和不断变化的情况,寻找一种能查找网络安全漏洞,评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。
(5)运用跟踪手段:黑客攻击事件发生后,尽快恢复系统正常运行,并通过对跟踪记录的分析来找出黑客进入方式,然后弥补相关漏洞,防止再次受到攻击。
校园网的网络安全是一个系统性工程,不能仅仅依靠防火墙和其它网络安全技术,而需要仔细考虑系统的安全需求,建立相应的管理制度,并将各种安全技术和管理手段结合在一起,才能生成一个高效、通用、安全的校园网络系统。
33/46第四章
校园网的管理方案
借助网络管理软件是校园网管理的主要方式。如何建立一套高效、实用的网络管理系统是网络中心的一项职能,也是重要研究课题
第一节
校园网管理的主要内容
由于校园网规模、设备、技术能力等各方面的不同,致使各学校网管系统五花八门,各具特点,但总体来说,可分为三大类。
设备厂商的网管系统
主要网络设备制造厂商都提供针对其设备的网管系统,如CISCOWorks,华为的CAMS等。使用这类网管系统,校园网的设备最好是单一厂商的。
网络中心开发网管软件
有些高校网络中心自主开发网管系统,如山东大学,开发集网络管理、运行监控、流量分析、用户管理等功能为一体的网管系统,对校园网进行全方位管理。这不仅要求网络中心有较高的开发能力,还要有设备MIB库,因此自行开发难度较大。
利用现有软件组合系统
设备类型多、技术能力薄弱的高校如何选择合适的网管系统呢?实践证明,针对不同的网管需求,选用合适软件,组合形成一个综合网络管理平台,可以说是一个省时、省力又有效的方法。
一、网络管理的分类
校园网网络出现问题,往往可以根据其性质归类,按照所规划的类别找出对应的解决办法。以下从五个方面进行分析:
配置管理:配置管理是管理所有网络设备,随时掌握网络内的网络设备的增减和变动,对所有的网络设备进行参数配置,并对设备的数据参数要严格备份,当出现故障时,技术人员可以快速重设恢复,保障网络的正常运行。
性能管理:性能管理主要评估网络系统的运行性能,统计网络资源的应用及各种通信协议的传输量等,通过对性能管理的评估,使我们了解对整个网络的应用需求和存在的网络制约瓶颈,为今后网络升级或更新规划提供依据。
故障管理:为保障网络系统的高稳定性,在网络出现问题时,必须技术判断掌握故障所在节点并进行恢复。他包含所有以节点运行状态、故障记录的追踪和检查及平常对各种通信协议的测试。
安全管理:为防范不被授权的用户,擅自使用网络资源,非法登录网络核心设备,对配置参数的删改,以及用户蓄意破坏网络系统,要做好严密又规范的安全措施,如合法设备的存取访问控制和防火墙的控制策略等。
计费管理:计时计费管理可以掌握每个用户网络使用时间,对局部网络做出使用统计,控制和规范每个用户的上网。
总的来说,校园网管理分两条线,其中配置管理、性能管理、故障管理结合为一点统称为设备性能管理,另一分支则由安全管理和计费管理两个功能域组成。
网络设备性能管理方面的预期目标是:希望能实现整体监控,局部检查,做到网络出现问题时能在较短时间内找到问题所在节点,然后通过专门的检测设备对其进行检查,从34/46而缩短故障排除时间。
在安全管理方面,尽可能地在网络性能影响较少的情况下,找出合适的管理办法,使得网络更安全。
二、网络管理的功能
校园网管理不同,实现的网络管理功能也不尽相同,网络管理包括拓扑监控、网络流量监控、性能监控和流量分析四大功能。
(一)拓扑监控
对网络设备运行状态实时监控、显示动态拓扑图、警告信息等是校园网管理基本要求。网管人员利用拓扑监控软件,可以实时监控每个设备的运行状态,获得设备的可用性、稳定性、性能等;对每个设备进行ping操作,检查网络服务,如HTTP、E-mail服务和其他重要应用的状态,监控TCP/UDP端口等;生成监控设备报告。
(二)流量监控
校园网出口究竟被占用了多大带宽,校区之间流量是否已经满负荷,下连单位中哪一个流量较大?这些问题都是网管员需要了解的,流量监控成为网络管理的重要部分。
流量监控在校园网中普遍使用,其中MRTG(MultiRouterTrafficGrapher)是常用的流量监控软件,可以监视网络链路的流量负载,生成包含当前流量图形PNG图像的HTML页。
其优点是安装简单、易上手,缺点是使用较麻烦,虽然内置了几个工具,如Cfgmaker和Indexmaker等,但需使用命令行操作,生成的页面往往需要进一步加工,使其可读性更强。它使用文本式的数据库,数据不能重复使用,只能按日、周、月、年来查看数据,不能按时段随意查询。
Cacti的出现,给流量监控带来了新的活力。Cacti其实是一套php程序,它运用Snmpget采集数据,使用Rrdtool绘图。同时,它提供数据管理和用户管理功能,使用树状的管理结构,用来组织每一个接口和设备。总体来说,Cacti在管理功能上,比MRTG要完善了许多,使用起来也更方便。
(三)性能监控
网络就像公路,信息通过它进行传送。如果车辆过多,高速公路也会变得拥挤不堪;同样,日益增长的用户需求,也会使网络负担过重、设备超负荷运转、LAN和WAN的连接饱和,导致网络性能下降,访问速度下降。此时,网络性能监控就更显得更为重要。
对于网络节点运行状态的监控,如交换机的接口流量、丢包率、响应时间、利用率,路由器的CPU、内存使用率,服务器CPU、内存、磁盘利用率,各种服务的响应情况等,这些参数的获取,对于网络管理者来说十分重要。
通过分析这些数据,不仅能及时发现网络故障,还可以了解网络运行的总体趋势,网管员能及时地调整、优化网络配置,合理调度网络资源,提高校园网的使用效率。
一般所来,成功的性能监控系统应具有如下作用:
1.故障分析:利用准确的数据,进行故障分析,迅速排除故障,而不是盲目地猜测;
2.预防性:增强预防能力,防止网络出现故障,将问题解决在萌芽里;
3.提高性能:充分利用现有的带宽和设备,提高网络基础设施的性能;
4有效管理:使得网络管理人员实现更有效的管理;
5.有效规划:有效的网络规划为网络需求的增长提供基于事实的依据。
35/46对校园网主干设备进行性能监控,增大了校园网的管理“透明度”,使网管人员对于校园网各部分的时延、丢包、吞吐率、利用率、可用率有了全局的掌握,对于网络设备的负载及运行状况有了进一步的了解。这有利于查找网络使用的瓶颈,为今后网络改造、升级提供了依据。
(四)网络流量分析
随着网络流量的增大,无论在网络出口还是内部某个接口,都可能出现严重的拥堵,这时需要对网络流量进行分析,找出哪个用户或者哪种协议占用了带宽,然后再进行管理和疏导。
这就要用到流量分技术,当前比较实用的流量分析技术之一是Netflow。
NetFlow是CISCO的专属协议,已经标准化,并且Juniper、Extreme、华为等厂家也逐渐支持。
NetFlow流量信息采集是基于网络设备提供的NetFlow机制实现的。NetFlow由路由器、交换机自身对网络流量进行统计,并且把结果发送到第三方流量报告生成器和长期数据库。收集到路由器、交换机上的详细流量数据后,可以为网络流量统计、网络使用量计价、网络规划、病毒流量分析,网络监测等应用提供根据。运用NetFlow技术,可以根据不同的协议对网络流量进行划分,对不同协议流量进行分别汇总。
CISCO路由器大都支持NetFlow,Catalyst6509在IOS中内置了NetFlow功能,其它三层交换机则需要插入NFFC卡和RSM卡等,才能支持NetFlow。
NetflowAnalyzer5是一款较好的NetFlow分析软件,它可以识别出输出Netflow数据的设备和接口,按照设备和IP地址对数据分组,根据硬盘的大小,最多可以保存2周的数据,具有用户管理和接口管理功能。同时,它还可以按时段查询某个接口的流量变化、应用协议分布、源及目的地址及其数据流量、应用类型及会话等各种情况。
NetFlow应用于网络流量分析后,使网络管理员对网络运行的内在状况,有了深入的了解,尤其是针对BT等P2P流量的管理,更有针对性。
第二节
校园网的管理和维护措施
一、硬件的管理和维护
(一)路由器安全维护
利用路由器的漏洞发起攻击的事件经常发生。路由器攻击会浪费CPU周期,误导信息流量,使网络异常甚至陷于瘫痪。因此需要采取相应的安全措施来保护路由器的安全。
(1)避免口令泄露危机
据卡内基梅隆大学的CERT/CC(计算机应急反应小组/控制中心)称,80%的安全突破事件是由薄弱的口令引起的。黑客常常利用弱口令或默认口令进行攻击。加长口令、选用30到60天的口令有效期等措施有助于防止这类漏洞。
(2)禁用不必要的服务
强调路由器的安全性就不得不禁用一些不必要的本地服务,例如SNMP和DHCP这些用户很少用到的服务,都可以禁用,只有绝对必要的时候才使用。另外,可能时关闭路由器的HTTP设置,因为HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
(3)关闭IP直接广播
36/46Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMPecho”请求。这要求所有的主机对这个广播请求做出回应。这种情况会降低网络性能。使用noipsource-route关闭IP直接广播地址。
(4)限制逻辑访问
限制逻辑访问主要借助于合理处置访问控制列表,限制远程终端会话有助于防止黑客获得系统逻辑访问。SSH是优先的逻辑访问方法,但如果无法避免Telnet,不妨使用终端访问控制,以限制只能访问可信主机。因此,用户需要给Telnet在路由器上使用的虚拟终端端口添加一份访问列表。
(5)封锁ICMPping请求
控制消息协议(ICMP)有助于排除故障,识别正在使用的主机,这样为攻击者提供了用来浏览网络设备、确定本地时间戳和网络掩码以及对OS修正版本作出推测的信息。因此通过取消远程用户接收ping请求的应答能力,就能更容易的避开那些无人注意的扫描活动或者防御那些寻找容易攻击的目标的“脚本小子”(scriptkiddies)。
(6)关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络路由,而不是允许网络组件确定最佳的路径。这个功能的合法应用是诊断连接故障。但是,这种用途很少得到应用,事实上,它最常见的用途是为了侦察目的对网络进行镜像,或者用于攻击者在专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
(7)监控配置更改
用户在对路由器配置进行改动之后,需要对其进行监控。如果用户使用SNMP,那么一定要选择功能强大的共用字符串,最好是使用提供消息加密功能的SNMP。如果不通过SNMP管理对设备进行远程配置,用户最好将SNMP设备配置成只读。拒绝对这些设备进行写访问,用户就能防止黑客改动或关闭接口。
此外,用户还需将系统日志消息从路由器发送至指定服务器。
进一步确保安全管理,用户可以使用SSH等加密机制,利用SSH和路由器建立加密的远程会话。为了加强保护,用户还应该限制SSH会话协商,只允许会话用于用户经常使用的几个可信系统进行通信。
(8)地址过滤
在校园网边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的案例之外,所有试图从网络内部访问互联网的IP地址都应该有一个分配的局域网地址。例如,192.168.0.1通过这个路由器访问互联网也许是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。相反,来自互联网外部的通信的源地址应该不是内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。最后,拥有源地址的、保留的和无法路由目标地址的所有通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类地址段。
(二)WEB服务器的管理
(1)对在web服务器上开的帐户,在口令长度及定期更改方面作出要求,防止被盗用。
(2)在web服务器上去掉一些绝对不用的shell等之类解释器,即当在你的cgi的程序中没用到perl时,就尽量把perl在系统解释器中删除掉。
(3)设置好web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用的组如:www,并仅分配给它只读的权利。把所有的HTML文件归属WWW组,由WEB管理员管理WWW组。对于WEB的配置文件仅对WEB管理员有写的权利。
37/46(三)网络中心的管理
网络中心控制室是学校计算机校园网络系统的“心脏”,室内所有的设备都属于专用设备,只限有关工作人员使用。www服务器、proxy服务器、VOD视频点播服务器和工作站,有专人负责管理维护,除网络管理员外,任何人均不得擅自进行非法操作。任何无关人员都不得以任何理由随便进入,不经允许,严禁随便进入参观。网络中心机房要绝对保持清洁、卫生,严禁在室内吸烟、乱扔杂物。学校的摄像机、投影仪等专用仪器和设备,一律不外借,如有特殊情况,须经有关领导批准。
(四)网络教室的管理:
我校在每个教室都配备了计算机、电视,这里就涉及到使用、安全等以下管理问题:出于安全的考虑,教室中计算机均锁在讲台里,讲台钥匙需要管理;在教学中,哪些教师上课使用电脑了,一周使用了几课时,均需要统计;部分学生中午由于家远就不回家,在教室利用电脑看VCD、打游戏、上网聊天等做一些和学习无关的事。为了解决这些问题,减轻管理员的工作,使学生参和网络教室和管理:每班选一名电教员,由其负责保管讲台钥匙,并做出严格要求。学生上网问题可以用划分子网来解决,教师上课如用Internet资源,可在课前将其保存在自己电脑上,上课之前,只要共享保存的文件夹就可以了。如学生想上网查阅资料,可到电子阅览室去查阅。
(五)教师的计算机管理
可相应做如下规定:
1.在计算机的使用过程中有一些应注意的事项,列举如下:请按照正确的顺序开机、关机;请注意防尘、防潮、防磁、防碰撞;计算机病毒比较多,且有些病毒的危害是很大的,要求各位老师注意对病毒的防范及时升级杀毒软件。
2.由于人为因素对计算机硬件造成损坏的,要按原价赔偿。
3.在计算机的使用过程中,遇到问题,可向网络组反映。不允许做一些可能会对计算机造成伤害的操作,如私自把主机机箱盖打开等,否则后果自负。具体的规定可根据各自学校的情况制定
二、软件的管理和维护
(一)及时安装系统补丁程序(Patch)修改文件目录权限、关闭不必要的服务端口、定期对服务器进行备份、定期检查系统安全性、不要将服务器的WindowsNT设置为自动登录,应使用NTSecurity对话框(Ctrl+Alt+Del)注册、取消服务器上不用的服务和协议种类。网络上的服务和协议越多安全性越差;管理员账号仅用于网络管理,不要在任何客户机上使用管理员账号。对属于Administrator组和备份组的成员用户要特别慎重;记住口令文件保存在\\WINNT\SYSTEM32\CONFIG目录的SAM文件中,\\WINNT\REPAIR目录中有SAM备份。对SAM文件写入、更改权限等进行审计;限制Guest账号的权限,最好不允许使用Guest账号。不要在Everyone组增加任何权限,因为Guest也属于该组;新增用户时分配一个口令,并控制用户"首次登录必须更改口令",最好进一步设置成口令的不低于6个字符,杜绝安全漏洞;利用端口扫描工具,定期在防火墙外对网络内所有的服务器和客户进行端口扫描;禁止启动telnet服务。
38/46(二)应用软件的管理:
包括网络教室及计算机软件的配置更新规范,教学软件、工具软件的培训推广应用制度,光盘、音像制品、素材库软件的使用保管等。如:借用教学光盘和软盘的老师应注意保管,用完后应及时归还,如无特殊情况,损坏或丢失者,都要根据情节进行相应的处理。系统软件或价值较高的应用软件,一律不外借,如有特殊情况,须经校领导批准。
除了软件的管理以外,还要大力加强软件的建设,如软件的购买、收集、制作制度等,建议采取下面的办法:
①购买、收集、改造和自己开发相结合。购买:凡是教育部门配合教材发行的(含市场上较好的)光盘、录像、录音、投影片、应及时采购到位,如:清华同方、科利华、翰林汇、鹏博士、考易通、各种软件光盘、图形资料光盘、VCD、音像带等。收集:通过上网进入国家教育部的教育信息资源库、兄弟省市教育网页下载,在教育电视、卫星电视上转录各种资料讲座、课例等,或从国家、省、市教研、电教部门收集。改造:把购买来的课件经过编辑、增删以达到适合使用。
②设立教师电子备课系统,建立教育教学素材库,广泛收集教学需要的文字、声音、图像、图片、动画等素材,分门别类进库,方便教师备课时使用。素材库的建立也不容易,以一间学校的力量,要把所有教材的知识点有关的文字、声音、图像、图片、动画等素材都搜集齐,又把它入库,不容易,而且,各校素材库没有实现资源共享,实属浪费。和其各校搞"小而全"的素材库,不如由教育行政部门投资,学校分任务共同开发,集中建库,实现联网,资源共享或从专业教育软件开发公司购买。
(三)局域网IP地址的管理
为了避免网内IP地址冲突,防止学生用户通过网络攻击校园网、逃避学校管理或者通过私设服务器逃避运营计费,必须对网内IP地址进行有效管理。具体方法有:
1.做好整个校园网终端用户计算机的命名和IP地址指定,根据用户的类别统一命名计算机,这样一看机器名,就知道是哪个部门哪台机器,方便管理,比如教务科1号机,我们就将其命名为“jiaowuke01”。同时统一规划、分配IP地址给每台终端机器,并建立IP地址分配登记表。如果学校申请的是B类IP地址,可以根据管理方便随意指定每个部门每台机的IP地址,如果学校申请的是C类IP地址,则要根据信息点的分布进行子网划分。
2.统计每个终端机器网卡的MAC地址,建立IP地址和MAC地址对应表。Win2k/XP用户在MS-DOS方式下键入命令ipconfig/all,可以获得本机IP地址和MAC地址,其中用16进制表示的12位数就是MAC地址。我们可以将此方法公布一下,然后要求相关用户将本机MAC地址抄录上报到网管中心,进行登记汇总。也可以用Windows优化大师,点击“系统性能优化”→“系统安全优化”→“附加工具”→“Ping”,可以成批扫出IP地址和对应MAC地址。
3.将IP地址和MAC地址绑定。
这要根据局域网接入互联网的方式不同而采用不同的办法。如果是采用代理服务器接入互联网,可使用命令:
ARP-sIP地址
MAC地址
例:ARP-s192.168.1.16800-00-E8-A2-3B-9B就是将静态IP地址192.168.1.168和网卡地址00-00-E8-A2-3B-9B的计算机绑定在一起了,即使别人盗用您的IP地址也无法通过代理服务器上网。
如果是通过路由器直接接入互联网,可以通过硬件防火墙来实现IP和MAC地址的绑39/46定,一般的硬件防火墙都具有这个功能。
到这里似乎可以大功告成了,但事情并不像我们想象的那么简单。花了相当多精力构筑起来的防线不用多久又发生IP冲突了。原来,有的终端用户通过修改注册表、下载专用小工具等方法,没费多少力气就更改了本机的MAC地址,甚至于将本机的MAC地址和IP地址改得和主服务器一模一样,搞得局域网内又出现网络问题。
为此必须采用基于交换机的MAC地址和端口绑定,将MAC地址和交换机的端口绑定。这样一来,终端用户如果擅自改动本机网卡的MAC地址,该机器的网络访问将因其MAC地址被交换机认定为非法而无法实现,自然也就不会对局域网造成干扰了。
绑定方法:登录进入交换机,输入管理口令进入配置模式,敲入命令:
(config)#mac_address_tablepermanentMAC地址以太网端口号,这样逐一将每个端口和相应的MAC地址绑定,保存并退出,就可以解决IP问题了。
40/46致谢
本篇论文是在指导老师xxx的指导下完成的。在研究分析的过程中,xxx老师给予了指导,并提供了很多和该课题相关的重要信息,也在论文的写作过程中提供了多方面的建议,培养了我对做任何事情研究分析的严谨态度和创新精神,很大程度上提高了我学会分析问题,解决问题的能力,这非常有利于我现在和今后的学习和工作。在此表示衷心的感谢!
不积跬步何以至千里,本设计能够顺利的完成,也归功于各位任课老师的认真负责和这四年来对我传授的基础知识,使我能够很好的掌握和运用专业知识,并在设计中得以体现。正是有了他们的悉心帮助和支持,才使我的毕业论文工作顺利完成,在此向xx学院,计算机科学第的全体老师表示由衷的谢意。感谢他们四年来的辛勤栽培。41/46参考文献
[1]校园网络技术和管理
张际平主编
东南大学出版社,2001年
[2]黄瑛
汪刚
王萍
廖常武
卞昌军.校园网组建.清华大学出版社,2005年
[3]姚行中
王一兵
关林风
吴士泓.计算机网络建设施工和管理.科学出版社.2006年
[4]张基温.计算机网络原理.高等教育出版社.2006年
[5]赵启升
后盾
刘海涛.网络综合布线和组网工程.科学出版社.2008年
[6]蒋先华
许以臣
卻云江.校园网络组建和应用.科学出版社.2003年
[7]胡存生.局域网组网技术和维护管理.电子工业出版社.2004年
[8]黄勇
蔚红艳
骆坚
甄海潮.校园网应用技术.清华大学出版社.2005年
[9]雷震甲.网络工程师(第三版).清华大学出版社.2009年
42/46
篇五:校园网研究内容
焦作大学
毕业设计(论文)
题目
校园网网络的安全现状及对策研究
院
系
专
业
信息管理与信息系统
年
级
学生姓名
学生学号
指导教师
完成毕业设计(论文)时间
年
月
目录
摘要...........................................................................................................................31.网络安全发展历史与现状分析
....................................................................51.1.1因特网的发展及其安全问题
...............................................................................51.1.2网络的开放性带来的安全问题
...........................................................................51.2网络安全的防护力脆弱,导致的网络危机
..........................................................61.3网络安全的主要威胁因素
......................................................................................61.4我国网络安全现状及发展趋势
..............................................................................2.校园网网络概述..............................................................................................2.1.1校园网的简介....................................................................................................2.1.2校园网概念........................................................................................................2.1.3校园网有什么作用...............................................................................................3.0校园网的网络构成..........................................................................................13.1校园网网络体系结构概述
....................................................................................13.2校园网系统功能构成............................................................................................13.3校园的应用管理平台...........................................................................................123.4典型校园网拓扑结构
.........................................................................................123.5校园网的建设目标.............................................................................................134网络安全概述.....................................................................................................144.1网络安全的含义....................................................................................................144.2网络安全的属性...................................................................................................144.3网络安全机制.......................................................................................................154.3.1网络安全技术机制............................................................................................154.3.2网络安全管理机制............................................................................................155.0校园网存在的安全隐患
..................................................................................165.1危害校园网安全的内部因素
.............................................................................165.1.1软硬件自身存在的漏洞
..................................................................................165.1.2设置上的失误..................................................................................................165.1.3管理上的漏洞..................................................................................................15.2危害校园网安全的外部因素
.............................................................................15.2.1网络黑客的侵入..............................................................................................15.2.2计算机病毒的破坏..........................................................................................16.校园网网络安全对策分析
............................................................................16.1网络攻击的概念....................................................................................................16.2校园网络安全对策概述
.......................................................................................16.2.1网络安全系统对策的制定
..............................................................................16.2.2校园网络安全的设计原则
..............................................................................26.3校园网络安全体系结构设计
...............................................................................26.3.1设计校园网络安全体系的原则
......................................................................216.3.2校园网络安全体系的设计内容
....................................................................216.4解决校园网安全问题的主要方法
.......................................................................216.4.1防火墙部署......................................................................................................216.4.2备份与恢复......................................................................................................226.4.3入侵检测(IDS)
.................................................................................................236.4.4计算机病毒防范..............................................................................................246.4.5漏洞扫描..........................................................................................................247.0其他网络安全解决方案
..................................................................................267.1关闭不必要的端口................................................................................................267.2巩固安全策略.......................................................................................................26结语.........................................................................................................................2参考文献.................................................................................................................3摘要
随着计算机和网络技术的迅猛发展,互联网成了人们快速获取,发布,传递信息的重要途径。计算机网络已渗透到社会的各个领域。各行各业都处在网络化和信息化的建设过程中。所以计算机网络在人们的生活,经济,和政治上发挥着重要的作用。
随着网络的逐步普及,校园网络的建设是学校向信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统,但是同时校园网还面临各种安全威胁
本论文从计算机网络面临的各种安全威胁,系统地介绍网络安全技术。并针对校园网络的安全问题进行研究,首先分析了高校网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。本次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析。其次,通过对网络技术的研究,得出校园网也会面临着安全上的威胁。最后,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
关键词:网络安全,安全防范,校园网,校园网安全
1.0网络安全发展历史与现状分析
1.1.1因特网的发展及其安全问题
随着计算机技术的发展,在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时,系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。主要表现在以下方面:
1.1.2网络的开放性带来的安全问题
Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题,各种安全机制、策略、管理和技术被研究和应用。然而,即使在使用了现有的安全工具和技术的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以包括为以下几点:(1)安全机制在特定环境下并非万无一失。比如防火墙,它虽然是一种有效的安全工具,可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(2)安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,WindowsNT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对WindowsNT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(3)系统的后门是难于考虑到的地方。防火墙很难考虑到这类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被察觉;比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(4)BUG难以防范。甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(5)黑客的攻击手段在不断地升级。安全工具的更新速度慢,且绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应迟钝。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
1.2网络安全的防护力脆弱,导致的网络危机
(1)根据WarroonResearch的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入。
(2)据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元。
(3)Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失。
(4)最近一次黑客大规模的攻击行动中,雅虎网站的网络停止运行3小时,这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶,亚马逊(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫,以科技股为主的那斯达克指数(Nasdaq)打破过去连续三天创下新高的升势,下挫了六十三点,杜琼斯工业平均指数周三收市时也跌了二百五十八点。
1.3网络安全的主要威胁因素
(1)软件漏洞:每一个操作系统或网络软件的出现都不可能是无缺陷和漏洞的。这就使我们的计算机处于危险的境地,一旦连接入网,将成为众矢之的。
(2)配置不当:安全配置不当造成安全漏洞,例如,防火墙软件的配置不正确,那么它根本不起作用。对特定的网络应用程序,当它启动时,就打开了一系列的安全缺口,许多与该软件捆绑在一起的应用软件也会被启用。除非用户禁止该程序或对其进行正确配置,否则,安全隐患始终存在。
(3)安全意识不强:用户口令选择不慎,或将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。
(4)病毒:目前数据安全的头号大敌是计算机病毒,它是编制者在计算机程序中
插入的破坏计算机功能或数据,影响计算机软件、硬件的正常运行并且能够自我复制的一组计算机指令或程序代码。计算机病毒具有传染性、寄生性、隐蔽性、触发性、破坏性等特点。因此,提高对病毒的防范刻不容缓。
(5)黑客:对于计算机数据安全构成威胁的另一个方面是来自电脑黑客(backer)。电脑黑客利用系统中的安全漏洞非法进入他人计算机系统,其危害性非常大。从某种意义上讲,黑客对信息安全的危害甚至比一般的电脑病毒更为严重。
1.4我国网络安全现状及发展趋势
因特网在我国的迅速普及,我国境内信息系统的攻击事件也正在呈现快速增长的势头。据了解,从1997年底到现在,我国的政府部门、证券公司、银行、ISP,ICP等机构的计算机网络相继遭到多次攻击。因此,加强网络信息安全保障已成为当前目前我国网络安全的现状和面临的威胁主要有:
(1)计算机网络系统使用的软、硬件很大一部分是国外产品,我们对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。
(2)全社会的信息安全意识虽然有所提高,但将其提到实际日程中来的依然很少。
(3)目前关于网络犯罪的法律、法规还不健全。
(4)我国信息安全人才培养还不能满足其需要。
的迫切任务。
2.0校园网网络概述
技术的不断发展,网络安全已成为一个不可忽视的问题。伴随着高校校园数字化的不断深入,校园网安全越来越成为人们关注的焦点之一。本章系统地论述了计算机网络技术的发展以及当前网络安全所面临的主要问题,校园网的发展状况,校园网的拓扑结构,功能结构,校园网的建设目标等内容。
2.1.1校园网的简介
随着网络技术的发展和网络应用的普及,校园网在国内高等学校中已经开始普及。并且随着国内高校的教学发展,高校应用水平的提高,高等学校校园网的整体水平和层次有了不小的提高。
2.1.2校园网概念
校园网是为学校师生提供教学、科研和综合信息服务的宽带多媒体网络。第一,校园网应为学校教学、科研提供先进的信息化教学环境。这就要求:校园网是一个宽带
、具有交互功能和专业性强的局域网络。多媒体教学软件开发平台、多媒体演示教室、教师备课系统、电子阅览室以及教学、考试资料库等,都可以在该网络上运行。如果一所学校有多个专业学科(或多个系),也可以形成多个局域网络,并通过有线或无线方式连接起来。第二,校园网应具有教务、行政和总务管理功能。
2.1.3校园网有什么作用
(1)信息传递
这是校园网络最基本的功能之一,用来实现电脑与电脑之间传递各种信息,使分散在校园内不同地点的电脑用户可以进行集中的控制管理。在校务部门建立网络服务器,可以为整个校园网络提供各类教学资源
(2)资源共享
?信息资源共享。通过接入DDN或ISDN,很容易将校园网连接到internet,这样,网络内的各电脑终端不但可以互通信息资源,而且可以享受网络服务器上的相关数据及internet网上取之不尽,用之不竭的巨大信息资源,校园网在教学活动中的作用也将成倍地增强
(3)网上资源提高教学质量,方便教学
以往传统的教学手段已经不能够满足时代进步的需要,如何把课本里的东西,变得生动、形象,在以前是很难的,但现在就不算什么,依靠信息技术,从互联网我们可以找到教学资源,并可应用到教学中。网络可以进行图、文、声并茂的多媒体教学,可以取代语言实验室进行更生动的语言教学,也可以利用大量现成的教学软件,提供一个良好的教学环境,这些都是以往任何教学手段所不能达到的。校园网络不但可以在校内进行网络教学,还很容易同外界大型网络连结,形成更大范围的网络交互学习环境。这样的教学方式,大大提高了学生的学习兴趣,教学效果好,老师也就提高了教学的质量,真是一举二得。
3.0校园网的网络构成
校园网的网络构成可以按照不同的标准来区分,通常可以按照网络的拓扑和网络的功能分为校园网的体系机构和校园网的功能结构。
3.1校园网网络体系结构概述
(1)校园网基础设施建设是我们数字化校园的基础,它的建设水平和效果直接影响到我们运行在校园网上的服务,影响到全校的教学、科研甚至影响到师生的日常生活。校园网的建设包括根据自身的应用需求和特点进行校园网的体系结构的设计,相关技术设备的选择,网络出口包括设备之间拓扑关系的确定、集成、调试,应用建设等关键环节,在这些环节当中也包含着对校园网络安全的考虑与设计。
(2)网络体系结构是关于如何构建网络的技术,它包括两个层次的内涵。一是要标识出网络系统由哪些部分组成,清晰地描述出各个部分的目的、功能和特点。二是要描述网络各组成部分之间的关系,如何将各部分有机地结合在一起,形成完整的网络系统,从而保证网络有效地运行,也就是将各部分进行集成的方式。
(3)校园网安全策略的制定和实施是以各高校校园网的基础体系结构和网络应用具体情况为依据和实施基础的。因此在制定各高校的网络安全策略和实施具体的安全策略之前,透彻分析校园网体系结构,网络拓扑结构,网络的路由策略,网络的区域划分,IP及VLAN的规划,网络访问策略,各应用系统的功能服务对象,访问限制等等是非常有必要的,其性能直接影响到网络安全策略的实施效果。
3.2校园网系统功能构成
校园网作为校园网络信息平台应该由一个平台和三个系统构成,即系统管理平台、校园公共信息系统、校园管理信息及办公自动化系统、校园教学资源库系统。见下图1-1图1-1校
园网系统功能结构图
3.3校园的应用管理平台
(1)校园应用系统管理平台是一个安全性好、易管理、可靠性高的操作平台。在此平台上可轻松的实现系统备份和恢复、用户权限的设置、用户注册以及资源的调整、初始化等管理工作。通过使用Intranet/Internet技术实现了与Internet的无缝连接。
(2)教学资源库系统提供一致的资源管理和使用方式,实现简便精确的资源获取与检索,全面支持教学应用,包括对各类教学软件库、教学网络平台、电子阅览室等资源的分类、检索和管理、多媒体教学、远程教育等功能。
(3)校园管理信息系统用于支持学校日常管理的各项工作。用户通过使用人事管理、教育教学管理、后勤管理、教学资源与应用平台、图书馆管理、生活管理等多个功能子系统可以方便快捷地处理各种复杂数据操作和文字录入,完成各种校园信息数据的有效管理。
3.4典型校园网拓扑结构
校园网的网络体系结构包括校园网的网络边界设备,核心及骨干设备,网络接入层设备,网络服务提供设备和这些设备的连接方式以及该结构采用的协议及技术。
当前的校园网多采用1000M以太网主干技术,1000M或100M到楼,100M或10M到桌面,部分区域采用无线接入技术(802.11)实现无线接入。校园网络一般有边界路由器,高性能的核心路由交换机,各分布层的三层路由交换机,大量的二层可网管接入交换机,以及防火墙,内容过滤系统,流量分析系统,网络设备管理系统等网络硬件设备。校园网多采用星形拓扑结构。
常见的校园网拓扑结构如图1-2图1-2校园网拓扑结构
3.5校园网的建设目标
网络安全是抵御内外部各种形式的威胁,以保证网络安全的过程。为了深入理解什么是网络安全,必须理解网络安全目的是在保护网络上所面临的威胁,理解一个能够用于阻止这些攻击的主要机制也是很重要的。通常,在网络上实现最终的安全目标可通过下面的步骤完成,每一步都是为了澄清攻击和阻止攻击的保护方法之间的关系。下面的步骤是在一个站上建立和实现安全的方法:
第1步:确定要保护的是什么;
第2步:决定尽力保护它免于什么威胁;
第3步:确定威胁的可能性;
第4步:以一种划算的方法实现保护资产的目的;
第5步:不断地检查这些步骤,每当发现一个弱点就进行改进。
校园网络系统需要实现以下安全目标:
(1)防范网络资源的非法访问及非授权访问;
(2)保护信息通过网上传输过程中的完整性、机密性。
(3)保护网络系统的可用性;
(4)防御入侵者的恶意破坏与攻击;
(5)保护网络系统服务的连续性;
4网络安全概述
4.1网络安全的含义
网络安全从其本质来讲就是网络上信息安全,它涉及的领域相当广泛,这是因为目前的公用通信网络中存在着各式各样的安全漏洞和威胁。广义上讲,凡是涉及到网络上信息的保密性、完整性、可用性和可控性的相关技术和理论,都是网络安全的研究领域。
网络安全是指网络系统的硬件,软件及数据受到保护,不遭受偶然或恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。且在不同环境和应用中又不同的解释。
(1)运行系统安全:即保证信息处理和传输系统的安全,包括计算机系统机房环境和传输环境的法律保护、计算机结构设计的安全性考虑、硬件系统的安全运行、计算机操作系统和应用软件的安全、数据库系统的安全、电磁信息泄露的防御等。
(2)网络上系统信息的安全:包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治、数据加密等。
(3)网络上信息传输的安全:即信息传播后果的安全、包括信息过滤、不良信息过滤等。
(4)网络上信息内容的安全:即我们讨论的狭义的“信息安全”;侧重于保护信息的机密性、真实性和完整性。本质上是保护用户的利益和隐私。
4.2网络安全的属性
网络安全具有三个基本的属性:机密性、完整性、可用性。
(1)机密性:是指保证信息与信息系统不被非授权者所获取与使用,主要
范措施是密码技术。
(2)完整性:是指保证信息与信息系统可被授权人正常使用,主要防范措施是确保信息与信息系统处于一个可靠的运行状态之下。
以上可以看出:在网络中,维护信息载体和信息自身的安全都包括了机密性、完整性、可用性这些重要的属性
4.3网络安全机制
网络安全机制是保护网络信息安全所采用的措施,所有的安全机制都是针
对某些潜在的安全威胁而设计的,可以根据实际情况单独或组合使用。如何在有限的投入下合理地使用安全机制,以便尽可能地降低安全风险,是值得讨论的,网络信息安全机制应包括:技术机制和管理机制两方面的内容。
4.3.1网络安全技术机制
网络安全技术机制包含以下内容:
(1)加密和隐藏。加密使信息改变,攻击者无法了解信息的内容从而达到保护;隐藏则是将有用信息隐藏在其他信息中,使攻击者无法发现。
(2)认证和授权。网络设备之间应互认证对方的身份,以保证正确的操作权力赋予和数据的存取控制;同时网络也必须认证用户的身份,以授权保证合法的用户实施正确的操作。
(3)审计和定位。通过对一些重要的事件进行记录,从而在系统中发现错误或受到攻击时能定位错误并找到防范失效的原因,作为内部犯罪和事故后调查取证的基础。
(4)完整性保证。利用密码技术的完整性保护可以很好地对付非法篡改,当信息源的完整性可以被验证却无法模仿时,可提供不可抵赖服务。
(5)权限和存取控制:针对网络系统需要定义的各种不同用户,根据正确的认证,赋予其适当的操作权力,限制其越级操作。
(6)任务填充:在任务间歇期发送无用的具有良好模拟性能的随机数据,以增加攻击者通过分析通信流量和破译密码获得信息难度。
4.3.2网络安全管理机制
网络信息安全不仅仅是技术问题,更是一个管理问题,要解决网络信息安全问题,必须制定正确的目标策略,设计可行的技术方案,确定合理的资金技术,采取相应的管理措施和依据相关法律制度。
5.0校园网存在的安全隐患
校园网在学校的日常事务中发挥着重要的作用,与此同时,校园网的安全问题也越来越突出,黑客入侵、网络病毒、管理不善等原因使得校园网络面临着严重的威胁。
5.1危害校园网安全的内部因素
在校园网所面临的威胁当中,内部因素是一个重要的方面,这其中既包括软硬件自身存在的缺陷,也包括管理者的管理水平等主观方面的因素。
5.1.1软硬件自身存在的漏洞
来自硬件系统的安全威胁。一方面是指物理安全,主要是由于网络硬件设备的放置不合适或者防御措施不得力,使得服务器、工作站、交换机、路由器等网络设备,光缆和双绞线等网络线路以及UPS和电缆线等电源设备遭受雷电、水、火意外事故或人为破坏等等而造成的校园网不能正常使用。另一方面是指设置安全,主要是在设备上进行必要的设置,防止黑客取得硬件设备的远程控制权等。硬件系统安全是制订校园网安全整体解决方案时首先应考虑的问题。
系统安全漏洞是指系统在设计时没有考虑到的缺陷,特别是操作系统,因为这些软件一般都比较的复杂、庞大,有时会因为程序员的疏忽或软件设计上的失误而留下一些漏洞。理论上讲任何一个系统都不同程度地存在着漏洞。因为系统漏洞的存在,使得针对系统漏洞的网络攻击和蠕虫病毒也层出不穷。攻击者对系统漏洞进行攻击,入侵成功后将获得系统的相应权限,进而盗取重要资料或对系统进行破坏活动。目前学校的计算机系统绝大多数都是使用Windows2000/XP操作系统,而Windows操作系统是不太安全的。因为Windows操作系统的漏洞比较多,由Windows操作系统漏洞引发的不安全问题时有发生。
5.1.2设置上的失误
合理规划配置设施是校园网发挥作用的关键。在校园网规划时,应考虑长远,因为一旦综合布线、设备配置完成后再进行调整就可能需要再重新设计网络结构,很多地方需要重新布线,网络设备也需要重新设置,这样既浪费人力,物力,也会影响到教学。对于一些重要的场所,例如图书馆、电子阅览室、资料室、电脑室、多媒体制作室、教室、办公室等应多设信息点。同时网络集成公司的技术实力、施工质量及其五花八门的解决方案大多是自吹自擂,并没有通过权威部门的评审、鉴
定,致使网络市场处于一种比较混乱的局面。
5.1.3管理上的漏洞
管理是信息网络安全中最重要的部分。管理混乱、责权不明、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险,主在体现在以下几点:(1)机房出入管理不严格,使入侵者能够接近重要设备而带来信息安全风险;
(2)一些心怀不满的内部员工,由于熟悉服务器、小程序、脚本和系统的弱点,进行如:复制、删除数据等非法数据操作,造成极大的安全风险;
(3)内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人,带来信息泄漏风险;
(4)当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的报告、监控、检测与预警。同时,当事故发生后,也无法提供攻击者攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
5.2危害校园网安全的外部因素
虽然内部因素威胁着校园网的安全,但是在绝大多情况下,黑客入侵,网络病毒等外部因素对网络也构成较大威胁。
5.2.1网络黑客的侵入
“黑客”一词是由英语Hacker英译出来的,是指专门研究、发现计算机和网络漏洞的计算机爱好者。他们伴随着计算机和网络的发展而产生并成长。黑客对计算机有着狂热的兴趣和执着的追求,他们不断地研究计算机和网络知识,发现计算机和网络中存在的漏洞,喜欢挑战高难度的网络系统并从中找到漏洞,然后向管理员提出解决和修补漏洞的方法。
由于校园网规模巨大,各种设备系统差异有很大差异,给管理带来了较大的挑战,同时也成为黑客攻击的对象。
5.2.2计算机病毒的破坏
一般来说,计算机网络的基本构成包括网络服务器和网络节点站(包括有盘工作站、无盘工作站和远程工作站)。计算机病毒一般首先通过多种途径入侵到有盘工作站,也就进入网络,然后开始在网上的传播。具体地说,其传播方式有以下几
种。
(1)病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
(2)病毒先传染工作站,在工作站内存驻留,病毒运行时直接通过映像路径传染到服务器中;
(3)病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
(4)如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。
5.3校园网安全防御与应急关键设备技术
(1)防火墙及技术。它为网络通信、数据传输提供更有保障的安全性。分为包过滤防火墙(检查每个IP包的字段,如源地址、目标地址、端口等?);状态检测防火墙(动态检查网络连接和包);应用程序代理防火墙(与特定应用程序配合使用)。
防火墙性能:最大带宽、并发连接数、每秒新增连接数、丢包和延迟;自身安全性。
(2)入侵检测与防御及技术。它能及时发现网络异常行为,并阻止其进一步发展。入侵检测技术包括以下几种:基于误用检测技术(检测与异常规则相匹配的网络行为);基于异常检测技术(检测偏离了正常规则的网络行为)。入侵检测核心技术:模式匹配、基于统计方法、预测模式生成等。防火墙性能:降低误报率、漏报率。
(3)防御病毒及技术。它能及时发现病毒,并清除,阻止病毒进一步传播、扩散。防病毒核心技术有:特征代码匹配、病毒特征自动发现、启发式搜索等,防病毒产品有:Norton、金山毒霸、瑞星杀毒软件等。
(4)内容过滤及技术。它能阻止不健康、反动信息的复制、传播。过滤方法有:基于关键字、权重关键字、基于URL的过滤;基于文字内容的深度搜索;一般在防病毒网关、反垃圾邮件系统中集成。
(5)反垃圾邮件及技术。它能过滤、阻止大量的非正常的电子邮件。反垃圾邮件机理:IP地址、域名、邮件地址黑白名单方式;基于垃圾邮件行为模式识别模型;基于信头、信体、附件的内容过滤方式;反垃圾邮件产品有:防垃圾邮件网关;防垃圾邮件防火墙。
根据本章所提出的校园网所面临的安全威胁,我们除了选取良好的拓扑结构外,一般还要注意安全保密,以防止信息的非授权访问;注意其可用性,使计算机的硬件和软件保持有效的运行,并且系统在发生灾难时能够快速完全地恢复;要注意数据的完整性与精确性,使信息在存储或传输过程中不被破坏、丢失或不被未经授权的恶意或偶然的修改。要防止侵袭者通过非法途径进入计算机系统,偷盗有用的数据信息,重点保护系统中容易被攻击的脆弱点。根据目前的技术水平,我们可采取身份验证、访问控制、加密、防火墙技术、记账、双备份等安全措施来加以防范。
6.0校园网网络安全对策分析
校园网安全问题愈来愈突出的同时,校园网安全的对策也越来越引起人们的注意。本章重点讨论校园网的安全对策,并在此基础上简要地说明校园网安全体系结构的建
以及校园网网络安全体系的内容,校园网安全问题对策所用到的关键技术。
6.1网络攻击的概念
校园网的网络攻击主要来自internet中,所以对网络的攻击可以分为两种基本的类型,即服务攻击与非服务攻击。
(1)服务攻击
指对为网络提供某种服
的服务器发起攻击,遭成该网络的“拒绝服务”,使网络工作部正常。拒绝服务攻击将会带来消耗带宽、消耗计算资源、使系统和应用崩溃等后果,它是阻止针对某种服务的合法使用者访问他有权的服务。
(2)非服务攻击
非服务攻击是针对网络层等低层协议进行的,攻击者可能使用各种方法对网络通信设备发起攻击,使得网络通信设备工作严重阻塞或瘫痪,导致一个局域网或更多的网布能正常工作。与服务攻击相比,非服务攻击与特定服务无关,它往往利用协议或操作系统实现协议时的漏洞来达到目的。
(3)非授权访问
非授权访问是指存储在联网计算机中的信息或服务被未授权的网络用户非法使用,或者被授权用户越权滥用。
6.2校园网络安全对策概述
随着网络应用的开展,要建立一个安全的网络体系,首先应花较大的精力制定周密的网络安全策略。在网络安全的实施中,技术只是手段,还应该先对网络安全管理有个清晰的概念,然后制定安全策略,最后才是选择合适的产品用以具体实施和构建安全系统。要建设一个安全的网络安全体系,必须采取相应的对策,根据实际的需求不同,采取的策略可能有一些不同之处,但大都包括下述策略。
6.2.1网络安全系统对策的制定
物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等
硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击;确保网络设备有一个良好的电磁兼容工作环境;妥善保管备份磁带和文档资料;防止非法人员进入机房进行破坏活动。
最小授权原则指网络中账号设置服务配置主机间信任关系配置等应该为网络正常运行所需的最小限度。关闭网络安全策略中没有定义的网络服务并将用户的权限配置为策略定义的最小限度、及时删除不必要的账号等措施可以将系统的危险性大大降低。
采用网络隔离手段可有效减小信息的传播面,从而增加信息的安全性。应根据业务划分、保密要求等因素的差异将网络进行分段隔离,它可从底层有效地控制信号传播途径及传播范围,实现更为细化的安全控制体系,将攻击和入侵造成的威胁限制在较小的子网内,提高网络整体的安全水平。路由器、虚拟局域网(VLAN)、防火墙是当前主要的网络分段手段。
在经费允许范围内,尽可能选用安全级别较高的网络操作系统及数据库系统,以安全套件加固TCP/IP各层。如因受客观条件限制,难以对网络操作系统及数据库系统进行选择,则其他核心软件,如防火墙、入侵检测、网络安全漏洞扫描软件等应尽可能地选用经国家网络安全权威机构评审通过的优秀国产软件。
在网络安全中,除了采用技术措施之外,制定有关规章制度,对于确保网络安全、可靠地运行将起到十分有效的作用。规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。一般来说,安全与方便通常是互相矛盾的。一旦安全管理与其它管理服务存在冲突的时候,网络安全往往会作出让步,或许正是由于一个较小的让步,最后使整个系统的崩溃。因此,严格执行安全管理制度是网络可靠运行的重要保障。
6.2.2校园网络安全的设计原则
校园网覆盖整个校区,在网络性能上应该考虑以下几项要求:数据处理、通信处理能力强,响应速度快。网络运行的安全性、可靠性高。网络能够容易得进行扩容、升级和管理。主干网的带宽要高,可以支持多媒体等视频业务的开展和满足数据流量不断增长的要求。
此外,在校园网建设的具体实施中需要注意的设计原则包括:
(1)强调实用性、并尽可能达到性能价格比最优化;
(2)尽量采用先进、成熟的组网技术;
(3)坚持开放型,采用国际标准和通用标准;
(4)统一规划、分布实施。
6.3校园网络安全体系结构设计
构建安全高效的校园网络是校园网建设的目标之一,校园安全体系结构的建设
是其中的重要一环安全体系设计的好坏是校园网成败的关键。
6.3.1设计校园网络安全体系的原则
根据网络安全性设计的要求设计网络安全体系时应遵循安全性、可行性、高效性、可承担性等原则,分别阐述如下:
(1)安全性:设计网络安全体系的最终目的是为保护信息与网络系统的安全,所以安全性成为首要目标。要保证体系的安全性,必须保证体系的完备性和可扩展性。
(2)可行性:设计网络安全体系不能单纯地从理论角度考虑,再完美的方案,如果不考虑实际因素,也只是一些废纸。设计网络安全体系的目的是指导实施,如果实施的难度太大以至于无法实施,那么网络安全体系本身也就没有了实际价值。
(3)高效性:构建网络安全体系的目的是能保证系统的正常运行,如果安全影响了系统的运行,那么就需要进行权衡了,必须在安全和性能之间选择合适的平衡点。在设计网络安全体系时必须考虑系统资源的开销,要求安全防护系统本身不能妨碍网络系统的正常运转。
(4)可承担性:网络安全体系从设计到实施以及安全系统的后期维护、安全培训等各个方面的工作都要由学校来支持,要为此付出一定的代价和开销。如果我们付出的代价比从安全体系中获得的利益还要多,那么我们就不该采用这个方案。
6.3.2校园网络安全体系的设计内容
一个完整的安全体系应该包含五个安全层面,分别为数据保密层、应用层、用户层、系统层和网络层。数据保密层重点关注应用层的数据安全,因而在数据保密层优先考虑数据加密算法;应用层的重点是网络应用中的存取控制和授权;在用户层,校园网络安全体系的主要内容包括用户的管理、登录、认证;而系统层侧重与操作系统的防病毒,入侵检测,审计分析;网络层针对网络底层数据的通讯安全提出解决方案。
6.4解决校园网安全问题的主要方法
解决校园网安全问题的主要方法包括防火墙、备份与恢复、入侵检测、病毒防御、虚拟专用网、漏洞扫描等。
6.4.1防火墙部署
防火墙指隔离在本地网络与外界网络之间的一道执行控制策略的防御系统。它对网络之间传输的数据包依照一定的安全策略进行检查,以决定通信是否被允许,对外屏蔽内部网的信息、结构和运行状况,并提供单一的安全和审计的安装控制点,从而达到保护内部网络的信息不被外部非授权用户访问和过滤不良信息目的。
防火墙根据功能可以分成个人防火墙和网络防火墙,根据实现方法可以分成硬件防火墙和软件防火墙,根据结构可以分成包过滤、状态检测,状态包过滤防火墙。
图3-1典型防火墙结构
网络防火墙用以保护企业网络等较大的复杂网络,以处理更多的用户。软件防火墙和硬件防火墙是个相对概念,基本上,所有的防火墙都需要软件的处理部分。硬件防火墙指的是将防火墙软件和特定硬件平台集成在一起的应用。软件防火墙则是指对底层硬件没有特殊要求,可以安装在Windows、Unix系统直接使用的防火墙。
根据防火墙的工作原理,所有的防火墙从体系结构上都可以分为数据获取、应用处理和数据传输三大部分。通常情况下,数据获取和数据传输是由软、硬件两部分共同实现的。其中,硬件部分一般是防火墙设备的网络接口设备;数据获取的软件部分是负责将硬件获取的网络通讯信息从网络接口设备的缓冲区传送到操作系统缓冲区进行处理的软件代码,数据传输的软件部分则是执行与数据获取相反的工作的软件代码,这些代码主要作用是将防火墙需要发送的数据包从操作系统缓冲区中传送到相应的网络接口设备并传送出去。防火墙将接收到的数据包传送给应用功能模块,进行相应的处理。
6.4.2备份与恢复
建立完整的网络数据备份系统必须实现以下内容:计算机网络数据备份的自动化,以减少系统管理员的工作量,使数据备份工作制度化、科学化;网络安全技术及其在校园网中的应用与研究;对介质管理的有效化,防止读写操作的错误;对数据形成分门别类的介质存储,使数据的保存更细致、科学;自动介质的清洗轮转,提高介质的安全性和使用寿命;以备份服务器形成备份中心,对各种平台的应用系统及其他信息数据进行集中的备份,系统管理员可以在任意一台工作站上管理、监控、配置备份系统,实现分布处理,集中管理的特点;维护人员可以容易地恢复损坏的整个文件系统和各类数据。备份系统还应考虑网络带宽对备份性能的影响,备份服务器的平台选择及安全性,备份系统容量的适度冗余,备份系统良好的扩展性等因素。
6.4.3入侵检测(IDS)为进一步保护网络的安全性,需应用入侵检测技术,对网络入侵进行实时检测,即对网络活动和系统事件进行实时监控。实时入侵检测强调时间性,是连续、不间断地监控、检测、响应、防护循环过程,实时入侵检测必须实时执行。
计算机信息网络设置了防火墙后可以解决多数网络安全问题,但是防火墙不是
万能的,不能提供实时的入侵检测能力。有些攻击行为仅仅依靠防火墙是不能防范的,比如如果攻击行为从内部网络上发起,那么对主机的访问就不需要通过防火墙,防火墙也就不能对主机进行保护了。一个简单的入侵检测系统,如图3-2所示。
图3-2简单IDS系统
入侵监测的功能通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。
防火墙与入侵检测这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式可以实现,一种是实现紧密结合,即把入侵检测系统嵌入到防火墙中。所有通过的数据包不仅要接受防火墙检测规则的验证,还需要经过入侵检测,判断是否具有攻击性,以达到真正的实时阻断。但是目前还没有厂商做到这一步,仍处于理论研究阶段。但是不容否认,各个安全产品的紧密结合是一种趋势。第二种方式是通过开放接口来实现联动,即防火墙或者入侵检测系统开放一个接口供对方调用,按照一定的协议进行通讯、警报和传输。这种方式比较灵活,不影响防火墙和入侵检测系统的性能。
6.4.4计算机病毒防范
计算机病毒(ComputerVirus)是编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。具有破坏性,复制性和传染性。随着因特网技术的发展,计算机病毒的定义也在进一步扩大化,一些带有恶意性质的特洛伊木马程序,黑客程序和蠕虫程序等从广义角度也被归入计算机病毒的范畴。
从发展的角度来看,计算机病毒属于恶意代码的一种,恶意代码是一种程序,它可以表述为人为编制的,干扰计算机正常运行并造成计算机软硬件故障,甚至破坏数据的计算机程序或指令集合。恶意代码通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、程序。恶意软件的传染结果包括浪费资源、破坏系统、破坏一致性、数据丢失和被窃并能让客户端的用户失去信心。
按传播方式分类,恶意代码分成几类:病毒、木马、蠕虫、间谍软件及移动代码等。多种复合攻击技术的使用已经使安全防护不仅是针对互联网早期某种病毒防护那么简单,而计算机病毒的防御是一个系统工程,内容涉及防病毒软件、补丁升级、以及合理的安全管理规范等方面。
6.4.5漏洞扫描
计算机漏洞是系统的一组特性,恶意的主体(攻击者或者攻击程序)能够利用这组特性,通过已授权的手段和方式获取对资源的未授权访问,或者对系统造成损害。漏洞扫描的基本原理是采用模拟黑客攻击的方式对目标可能存在的己知漏洞进行逐项检测,以便对工作站、服务器等各种对象进行安全漏洞检测。网络漏洞扫描在保障网络安全方面起到越来越重要的作用。借助网络漏洞扫描,安全管理人员可以发现网络和主机存在的对外开放的端口、提供的服务某些系统信息、错误的配置、已知的安全漏洞等。面对互联网入侵,应根据具体的应用环境,尽可能早地用网络扫描来发现安全漏洞,采取适当的处理措施,有效地阻止入侵事件的发生。
6.4.6虚拟专用网(VPN)虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路。而是利用某种公众网的资源动态组成的。
VPN分为三种类型:远程访问虚拟网、企业内部虚拟网和企业扩展虚拟网,这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。
7.0其他网络安全解决方案
网络安全技术是解决校园网安全问题的基础,我们在对校园网安全分析时综合采用了防火墙、入侵检测、内容过滤和安全评价等技术,提出了一些安全解决方案,以增强校园网络的安全覆盖范围和程度。
7.1关闭不必要的端口
以下是一些可能被攻击的端口,一般情况下,应该要把这些端口屏蔽掉。
(1)23端口。若这个端口开着非常的危险,这个端口主要用做TELNET登录。Telnet服务给我们的最直接的感受就是它可以使得我们忘掉电脑与电脑之间的距离。利用23端口的Telnet我们可以象访问本机那样访问远程的计算机。Telnet协议的初衷是用来帮助我们对于计算机实现远程管理与维护,以提高我们的工作效率。但在一定情况下反而成为了一个黑客攻击最常利用的一个端口。若不怀好意的人利用Telnet服务登陆到23端口,就可以任意在对方电脑上上传与下载数据,包括上传木马与病毒等等。
(2)21端口。这个端口主要用来运行FTP服务。糟糕的是,这个端口,若管理不善的话,是可以用户进行匿名登陆的。并能够利用这个端口远程登陆并运行远程命令,这也就是说,可以在远程上传木马等工具并在远程控制其运行。同时,还可以利用FTP服务了解到攻击所需要的基本信息,如用的是什么操作系统等等;甚至能够获知可用的帐号,等等。一般情况下,没有必要开启21号端口。
(3)135端口。通过135端口入侵实际上就是在利用操作系统的RPC漏洞。一般情况下,135端口主要用来实现远程过程调用。通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码。利用这个漏洞,可以通过这个端口得到电脑上的“主机”文件。得到这个文件后,再利用一定的工具便可以知道该电脑上可用的计算机用户名与密码,甚至是管理员的用户名与密码。得到这个用户名之后,如可以上传木马工具,随意的查看重要的文件,并对进行破坏和窃取。
7.2巩固安全策略
(1)利用防火墙将内部网络、对外服务器网络和外网进行有效隔离,避免与外部网络直接通信;
(2)利用防火墙建立网络各主机和对外服务器的安全保护措施,保证系统安全;
(3)利用防火墙对网上服务请求内容进行控制,使非法访问在到达主机前被拒
绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
(4)利用防火墙全面监视对公开服务器的访问,及时发现和阻止非法操作;
(5)利用防火墙及各服务器上的审计记录,形成一个完善的审计体系,在策略之后建立第二条防线;
(6)在本校区和各校区,利用入侵检测系统,监测对内,对外服务器的访问;
(7)在本校区和各校区,利用入侵检测系统,对服务请求内容进行控制,使非法访问在到达主机前被阻断;
(8)在Internet出口处,使用NetHawk网络行为监控系统进行网络活动实时监控和内容过滤;
(9)在校区部署RJ-iTop网络隐患扫描系统,定期对整个网络的安全状况进行评估,及时弥补出现的漏洞;
(10)使用安全加固手段对现有服务器进行安全配置,保障服务器本身的安全性;
(11)加强网络安全管理,提高校园网系统全体人员的网络安全意识和防范技术。
结语
通过对这次论文编写,把平时学习中学到的知识运用了到其中。同时也加深了我对平时学习中所没有接触过的知识的一个了解。从而提升了自己各方面的能力使我收益非浅,虽然我开始时遇到了很大困难,但是通过平时的学习和老师,同学的帮忙,最终都能够解决。
通过这次的毕业设计让我明白了自己很多的不足,但是也学会了很多。如利用各种方法去解决问题,而且去寻找问题的症结才能对症下药。在那个的来说这次实践让我学会了很多要组建一个完善的校园网络我还应该考虑更多,去学习更多如校园的先进性、可靠性、经济性、可管理性、可扩展性和安全性等需要更深一步去了解。但是我对于各种网络设备的了解更进一步,以及各种设备的命令的操作更加熟练。
由于自身水平的原因以及时间的关系,对校园网技术的研究还有不尽完善的地方,以后的工作中将对存在的问题及有待完善的地方进行更深入的研究和分析,本文尽管对校园网络安全进行了较深入的研究,也提出了校园网络安全的解决办法,但是,计算机网络安全的问题是一个永久的课题,它将随着计算机技术、计算机网络的发展而一直存在、一直发展。计算机网络的威胁与计算机网络的安全防护的关系就像是“矛”和“盾”的关系一样,没有无坚不摧的矛、也没有无法攻破的盾。
致谢语
感谢老师给予的指导,在老师的精心指导下我一定会顺利的完成毕业论文。非常谢谢!!
参考文献
[1]校园网设计方案.杭州应用工程技术学院2001年
[2]刘建培.校园网信息安全探讨.网络安全技术与应用.2006,10期
[3]王峰.如何制定网络安全策略.网络通讯与安全,2006年第9期
[4]杨波.网络安全理论与应用.北京:电子工业出版社,2002年
[5]王睿、林海波编著.《网络安全与防火墙技术》.清华大学出版社,2000年
[6]吴小东.浅谈校园网安全问题及防范策略[J].福州:福建电脑,2007(2)[7]李宗峰.校园网络安全问题及对策研究[J].北京:网络安全技术与应用,2009(11)
篇六:校园网研究内容
高职院校无线校园网络建设研究论文(5篇可选)
第一篇:高职院校无线校园网络建设研究论文
1校园网络的现状
以我校为例,有线校园网络已经覆盖了办公楼、教学楼、宿舍和学生食堂等校内所有建筑物,在网上实现了OA办公,学生管理,校内监控和图书管理等日常管理。但随着Internet不断的向我们学习、工作和生活的渗透,智能手机、平板电脑等无线设备的普及化使得传统的有线网络不能满足我们的需要,不受地域的限制接入网络使得无线网络显现出优于有线网络的优势,因此无线校园网络的建设变得非常有必要。
2以我校为例对于无线网络的需求
由于我校园区面积比较大,办公楼、教学楼、宿舍和食堂分布较分散,如何能在现有的有线网络基础上扩展无线网络,设计出有效、合理、稳定的无线网络方案显得尤为重要。设计方案以有线为主线,无线为辅助,保证在公共场所和无法使用有线的智能设备都能上网。高职院校无线校园网络建设方案李晓辉(承德石油高等专科学校,河北承德067000)摘要:随着信息技术的不断发展,网络化生活方式已经全面渗透到教学生活中。校园建设由传统的有线网络悄悄的向无线转变,由于有线网络的优点是具有稳定性,但是随着信息化水平的不断提高,智能手机、笔记本电脑和平板电脑等移动终端设备在教师和学生的日常学习中大量普及,有线网络已经无法满足教师和学生的学习和工作要求。当前无线技术的改革升级为无线网络的产生提供了很好的技术支持。本文主要结合我校实际情况提出一个基于校园网络的无线方案。通过学校无线网络的实现,目的是方便学校教师和学生的学习、工作和生活,促进学校无纸化办公提高工作效率。关键词:校园网络;无线技术;设计方案DOI:10.16640/j.cnki.37-1222/t.2015.23.222因此无线网络在设计上要求1)访问网络稳定、安全、可靠,这就要求设置的热点密度合理覆盖面广,不能再用户使用过程中出现反复登录的情况。2)用户使用无线网络方便快捷,要求
网络的带宽合理,能快速访问网络又不浪费带宽;3)网络设置合理,利于管理和扩展。
3无线网络的总体设计
3.1接入层
服务器和存储设备上行接入到接入层交换机。服务器侧可以采用业务网络、管理网络、存储网络三个VLAN隔离方式进行组网。在接入交换机划分VLAN,将管理、业务、存储三个平面逻辑隔离。为简化组网提高组网可靠性,建议接入交换机采用堆叠方式:存储网络:用于承载服务器和磁盘阵列之间的专用数据访问。存储网络通过多路径确保链路冗余,服务器与存储设备通过存储网络二层直接互通。存储设备为虚拟机提供存储资源,但不直接与虚拟机通信,而通过虚拟化平台转化。业务网络:为用户提供业务通道,为虚拟机虚拟网卡的通信平面,对外提供业务应用。业务网络按应用系统的要求再细分VLAN进行访问隔离。管理网络:负责整个云计算系统的管理、业务部署、系统加载等流量的通信。BMC平面主要负责服务器的管理,BMC平面可以和管理平面隔离,也可以不进行隔离。所有服务器、存储通过接入交换机连接后,需要与客户的核心交换机对接。接入交换机通过堆叠保障可靠性。考虑后续扩展性,建议采用2*10GE上行到客户核心交换机。
3.2核心层
接入交换机上行接入核心层交换机。核心交换机也建议采用集群的方式。核心交换机采用OSPF或者静态路由的方式同上层设备进行对接:当采用OSPF对接时,OSPF发布地址包括核心交换机互联地址,直连路由地址以及loopback地址。当采用静态路由方式时,建议核心交换机同上级设备采用VRRP地址为网关地址。
4WLAN的设计
在楼内和广阔区域可以采用设置多个AP的方法,由于每个接入点只能覆盖一定的周边面积,而且受到各种因素以及障碍物的影响,各个接入点的覆盖面积还会有所差异。障碍物会造成信号衰减,引起信号反射进而影响信号覆盖范围。为了过大覆盖面积,一般将多个AP作
为独立的单元同时部署,提供重叠的覆盖区域,允许用户在几个AP的覆盖面积内移动时可以无缝漫游。合理的无线部署能够实现整个校园的全面覆盖,消除盲点。AP接入可以充分利用有线网络,即在有线处接入无线。无线网络的校园是和时代、社会接轨的重要标志,虽然无线校园的实施框架和模型已经出现,但是不同校园应用模型还会遇到各种问题,如何制定出更成熟的模型是一项长期任务和发展需要。
作者:李晓辉
单位:承德石油高等专科学校
第二篇:高职校园网络建设研究论文
1高职院校建设校园网络的作用
电脑进入大学,学校加强管理,教育,教学能力。校园网的高职院校的信息技术,提供给人们教学和研究,综合信息等多项服务,以学生和高职院校为主体,进而使教育、教学和其他类型的数据已被广泛共享,提高学习和工作速度重要教学任务。基于上述判断,我们认为,在高职院校校园网建设应该发挥以下作用:
1.1大力促进教学和科研
教育科研功能是高等职业学校网络计算机的学习方式,其中包括最基本的功能是多媒体网络教室,多媒体电子图书馆。多媒体网络教室的老师包括演示,电化白板,学生练习,教师评价,学生练习,学生们举手发言,老师个别指导,语音广播,群聊,视频直播和点播为主的教学功能,以及课件管理,座位安排,设备管理,群组管理,安全管理基础的管理能力和发送文件为基础的作业管理和辅助功能。这是高职院校计算机网络的基本功能之一。多媒体提供给整个校园网的终端用户电子书服务的电子图书馆,任何用户都可以使用校园网WEB浏览器来访问电子图书馆,完整的系统注册表,检索图书,看书、书评、书签等维护操作。服务请求和响应是所提出的标准的HTTP协议的系统的用户。图书馆用户不同级别的访问取决于权力系统。
1.2提升高职院校办公管理水平,提高工作效率
办公管理功能,包括校长查询,学生管理,教师管理,课程管理,工资管理,物业管理,公文管理,档案管理,行政管理和党的管理思想,它是实现高校网上办公和办公自动化的基础。
1.3促进教学模式的转变
通过正确、合理、有效地利用校园网,教师可以通过自己看网站获取知识,更新知识,提高自己的基本能力,我们也可以探索新的教育系统的基础上的教学模式和网络环境,从而确保通过强大的计算机网络高教学质量和效率;学生可以提高观察力,注意力和事物的分析能力,丰富他们的想象力;通过学习计算机网络技术,使学生学到更多的知识,有助于从多渠道,多角度的学生接受信息,拓展自己的知识面,提高质量的吸引力,课堂课外,学校和社区延伸,有利于整体提高学生的学习本领。计算机网络,教师在学生的自主学习和协作相结合转化的指导下,促进以教师为中心的教学模式。
2高职院校建设校园网络的要求
2.1网络的安全性和高效管理性
高职院校校园网内部存在许多保密数据,而由于大学生和强烈的好奇心和探索欲望,不少的网络大学的学生经常被*客攻击,如果大学访问互联网,也可能是由外部*客恶意攻击,造成损失的教学和研究。因此,网络安全是必不可少的高职院校校园网。合理的网络安全控制,可以使应用程序环境信息资源得到有效保护。在网络中,关键的服务器和核心网络设备,系统管理员仅具有操作和控制只能访问对共享资源的客户机的功率,网络应能防止任何非法操作。在网络设备可以根据协议和骨干老师的MAC地址,基于IP地址的分组过滤进行控制。网络上的任何设备应控制,包括网络设备状态,通过故障报警平台和网络管理平台进行探析。因此,它可以通过一个网络管理平台进行监控,以有效地提高网络管理效率。在高职院校校园网的设计方面,利用先进的网络管理软件是必不可少的工作。基于Web的网络管理接口,是网络管理软件的发展趋势,其灵活的经营方式大大简化了管理人员的工作。在选择网络设备时,不仅要求网络设备支持标准的网络管理协议SNMP,同时要支持RMON/RMONII协议,以充分发挥网络管理的功能。
2.2网络设备的先进性和实用性
在网络设备采购职业学院校园网的建设必须有战略眼光,长远的,不能急,以避免网络中使用的许多不足之处和薄弱环节出现,然后对付建设,不仅浪费了大量的设备投资,以及未来的维护、升级、扩展是一个问题。购买校园网络设备,充分考虑到了网络带宽、速度,特别是网络技术的发展趋势,再考虑装备的选择,如品牌,型号,兼容性和售后服务,最终使网络设备位于校园内,根据实际情况,适用于建筑和其他机构,先进性和实用性综合考虑优化各方面的各个方面,制定了详细的计划,奠定了学校校园网的建设打下良好的基础,与实际情况一致。网络建设的成功,对采购网络设备起到了取得成功的决定性作用。
2.3网络的可扩展性和前瞻性
高职院校校园网必须具有良好的可扩展性提升。校园网的设计必须考虑到的发展在未来的业务高职院校的开始,确保网络设备和网络升级具有良好的可扩展性,同时也保证最大限度地利用现有的设备应以保护投资升级和网络优化。同时,推进高校校园网建设项目和用于具有成熟和先进的技术和工艺,要充分考虑技术的应用和发展,在未来的设备,具有一定的前瞻性(如IPv6、三网融合等),网络使用的设备和协议应完全符合国际通用技术标准,兼容现有的网络环境,提供良好的互联性。
3结论
总而言之,未来的社会将是快速、高效的信息传播和利用信息资源为基本特征。职业学院校园网将充分体现在这个变化的时代,因此,校园网的建设是信息技术在教育中的客观要求,需要从高职院校从自身发展的需要出发,校园网的建设有其自身的特点,满足了教学,科研和信息服务需求,使职业院校真正成为“科教兴国”战略,对中国IT技术培训基地的复合型人才和专业发展的基石和先锋。
第三篇:无线数字电视覆盖网络建设研究论文
摘要:无线数字电视就是利用无线设备将电视信号发射,地面通过一定设备接收的方式实现电视信号的传递。同时无线数字电视的前景广阔,公交车、轨道列车等按照接收装置后就能实现电视节目的播放,有利于乘客们提高乘车感受。在偏远地区普及这项技术,就能大
大减少数字电视建立所需的资金。本文通过分析无线数字电视信号和网络的组成来验证无线数字网络建设的可行性。
关键词:无线数字电视;信号网络;网络组成数字电视是信息化发展的一个重要途径,首先数字信号相对于原来的模拟信号,在图像的清晰程度上更加出色,同时数字电视在信息的处理上与原来的模拟信号不同,它的信号更加准确,抗干扰能力也就越来越强。同时可以对数据进行加密,防止了偷盗电视信号的行为。所以该技术值得推广和建设。
1数字化电视的优点
数字化电视相比较传统模拟信号,其信息量更多。同时信息出现多种多样形式,同时可以针对某一地区的情况进行特别报道,不如数字化电视能够反映当地天气的实时情况,这就是模拟信号比较难以做到的。另外数字信号可以实现股票操作,电视节目录制等服务。无线数字电视的发展与有限数字电视大同小异,有限数字电视可以直接线路接入机顶盒中,无线数字化则需要增加一个无线信号接收装置,其他设备都相同。
2无线数字电视信号系统
无线数字电视的系统分为几个部分,安装信号的流向来介绍分别为信号接收装置,信号处理装置,信号管理装置,反馈天线装置。首先信号接收装置是采用数字信号的专业接收器,这种接收器很模拟信号电视接收器的外观及其相似,但是所用数据波段不同,所以信号接收的频率也不相同,无线数字化电视接收的数字化信号。是需要处理和解密才能转变为电视信号的,第二信号处理和管理装置,这些系统都被集成在机顶盒中,无线数字电视的机顶盒和有线数字电视的机顶盒完全相同,所以能够实现信息的解密和处理工作,无线数字电视也需要购买充值卡机顶盒才能正常使用,收费模式应该与普通有线数字电视相同,避免了无线数字用户偷盗国家有线数字电视的可能性,保护信号的完整和我国电视的正常收费模式。反馈信号的装置是可以根据情况选择安装的装置,如果没有反馈的系统,不会对无线数字正常收听节目造成影响,但是有限数字电视是可以发送邮件的,无线装置
想要上传数据就必须有反馈装置,但是在实际使用中,几乎没有人使用这一项功能,同时发射反馈信号的需要复杂的过程,所以在很多安装无线数字电视的用户都选择放弃这一系统的应用。但是随着数字电视的功能不断完善,利用电视购物,电视炒股等功能被人们所采用,反馈信号系统,不断的被重视起来。
3数字信号发射系统
数字MMDS发射系统由数字发射机、频率基准源、频率合成器、馈线与天线构成。早期的数字电视发射机是用外接的COFDM或8-VSB激励器简单取代模拟视音频激励器,用射频波段滤波器取代射频输出滤波器和vision/sound双工器。
4无线数字电视覆盖网络建设
一个数字电视系统的基本网络组成框图。数字电视系统可分为三大部分:电视信号的数字化及处理、数字电视信号的传送与交换、数字电视信号的接受和记录。三大部分即对应图示中的信源部分、信道部分及信宿部分。其中信源编码部分包括信源音频编码器、视频编码器和复用器。信源编码对视频/音频信号进行压缩编码,在一定压缩率前提下可得到最高解码图像质量。信道传输将传输媒体和完成各种形式的信号变换功能的设备包含在内的信道,包括信道编码与调制、发射机、传输媒质、接收机和信道解调与解码,其中传输方式可以是地表传播、对流层传播、电离层传播、视线传播及空间传播等。根据媒质的不同在信道传输部分中将会采取不同的信道编码和调制方式,信道传输部分对应不同的标准。受地面广播信道影响及其他干扰和杂波使信号的差错率增加、业务质量下降,地面广播要采用其他更复杂的技术来避免信号差问题并且支持移动接收。是一种新型接收信号方式,其传输原理是前端的各路数字电视信号源分别经调制器调制后,送入混合器混合后再通过宽带微波发射机进行功率放大,送至天线以无限发射的方式传输覆盖。在接受段,数字机顶盒对从接受天线收下的数字电视包信号进行解码,并经IC卡智能管理系统识别授权,还原成音、视频信号,供用户收看。在无线数字电视传输系统中OFDM正交频分复用技术被广为采用,它是宽带无线传输技术的发展方向,并已成为
第四代移动通信(4G)和宽带无线局域网的主流技术。实现数字电视移动接收的关键就是要解决动态多径与多普勒频移问题、从而减少符号问干扰。而OFDM的基本原理就是将高码率的串行数据流变换成N个低码率的并行数据流,并对N个彼此相互正交的载波分别进行调制,符号率降低即符号周期增大,从而减小因动态多径和多普勒频移引起的码问干扰,又因设置了保护间隔,从而减少了多径反射对多载波正交特性的影响,使码间干扰进一步减小,经过这些处理便能很好地支持移动接收。
5无线数字电视信号在特殊地带的应用
无线数字电视在一些特殊的地带有着重要的应用,其中包括长距离的隧道,高速公路的服务站,环境复杂的偏远村镇等这些如果采用架线式有限传输方式,第一点,架线的难度大,同时费用高,以高速路服务区为例,虽然沿着公路架线较为容易,但是高速公路服务器一般距离城市上百公里,另外一个服务区的人数一般就在10人作用,所以采用架线式的方式极其不合理。所以采用无线的方式,更符合数字电视发展的需求。另外因为无线电视信号时利用卫星传播的所以覆盖面积极大,所以能够长途公共汽车和轨道列车上使用,帮助客运部门提高服务的质量,为乘客带去良好的乘车体验。因此为了提高无线电视的品质,就应该加强无线信号的功率,提高无线信号的质量,减少信号中断的次数。
6结论
无线数字电视是数字电视的发展方向之一,无线数字电视对于那些不容易建立有限传输设备的地区,有着重要的意义,是偏远地区接收到高质量电视节目的唯一方式。所以必须要构建好无线数字电视的的网络,加强无线电视的基础设施的建设。
参考文献:[1]何泽清.通信工程中有线传输技术的改进研究[J].电脑知识与技术,2014(15).[2]冯文果.通信工程中有线传输技术的改进研究[J].科技创新与应用,2014(4).[3]王建旭.传输技术在信息通信工程中的有效应用分析[J].硅谷,2013(5).
第四篇:试析高职院校学风建设论文
摘要:本文从对目前高职院校中学风状况的分析入手,从学校、教师、辅导员、学生、家长等五个方面提出了创建优良学风应采取的对策和措施。
关键词:高职院校;学风;建设途径
学风是一种氛围,是一种群体行为,是学生在校学习期间精神面貌的集中体现,也是一个学校的治学精神、治学态度、治学原则和学生行为规范与思想道德的体现。优良的学风是大学生成才的重要保证,是学校创品牌、树信誉、求生存、谋发展的基础,是学校最宝贵的精神财富之一。
一、高职院校学风建设的现状及原因分析
随着国家职业教育发展战略的顺利实施,我国高等职业教育迎来了空前的发展机遇,高职院校在校生人数连年攀升,每年向社会输送一大批较高素质的劳动者和实用人才。社会、企业也对高职教育寄予厚望,希望能从中获得较高素质的技能型人才,为企业发展引进、积蓄可靠的人力资本。但是,纵观近年来各地如雨后春笋般涌现的高职院校中,学生的学习风气和学业状况却难如人意。高职院校中学生普遍存在消极怠学现象,对学习缺乏热情,积极性不高,学习兴趣不大,缺乏学习动力,学习目的不明确,找不到学习的乐趣,抄袭作业、逃课现象、考试作弊等现象屡见不鲜。
造成这种现状的原因是多方面的,既有社会、学校的客观因素,也有学生的主观因素,是多种因素共同作用的结果。改革开放30年来,新生事物不断出现,一些消极的、陈腐落后的东西也随着市场经济直接或间接渗透到学校中来,如享乐主义、拜金主义、金钱至上等。此外,社会上普遍的浮躁情绪和急功近利的价值观或多或少的冲击着大学生的思想和信念。高职学校普遍办学时间不长,发展速度过快,在人文底蕴积累和师资力量上有所欠缺,自身教学改革滞后,专业设置不合理,课程内容陈旧,挫伤了部分学生的求知欲望。一些教师教学观念陈旧、内容老套,方式呆板,难以引起学生的学习兴趣。同时,学生自身素质不强也是一个不容忽视的问题。高职学生中普遍存在缺
乏理想和抱负、缺乏时代使命感、缺乏努力拼搏精神的现象。学生不能合理的自我定位、心理承受能力和自我管理、自我约束、自我教育的能力较差,对自己的生活和学习没有目标和计划等。加之当代许多大学生在选择专业时带有盲目性,通常在家长的要求下或分数不够等原因,填报了或被调剂到自己并不了解或不适合自己的专业。这在一定程度上使这些考生进入大学后由于没有基础,也缺少兴趣爱好,经常会有进错门或选错位的消极情绪,往往陷入一种被动、消极的的学习状态中。
二、高职院校加强学风建设的途径
学风建设是一个系统工程,需要全校师生员工全员参与,需要在课堂、宿舍、各种活动场地全程参与,需要学校、专业教师、辅导员、学生四方的共同发挥作用。
(一)学校的作用。
学校在高职学风建设过程中起着总领全局的作用。具体表现在管理制度和机制建设、校园软硬件建设以及合理开展学生活动三个方面。
1、规范学生日常管理,建立健全激励约束机制。
学风建设需要一套完善的制度来保证,学校要进一步完善《奖学金条例》等学生激励机制和《学生纪律处分条例》等学生约束机制,从正反两方面教育和警示学生严格自律,养成良好的行为习惯和学习风气。有针对性地选取学风状况观测点,对学风进行动态监控,重点考察到课率、作业上交率、考试不及格率、各种资格证书通过率等,对晚自习进行严格的考勤和管理,确保自习能取得较好的效果。
2、优化学习环境,营造良好的校园氛围。
美丽幽静的校园生活环境是优良学风建设的重要外部客体。它感染、熏陶激励学生勤奋学习、拼搏进取。高职院校宣传栏内的内容要有教育意义,而且要经常更换。教学楼、图书馆悬挂科学家和伟人的画像、名言警句。此外,高职院校要保证有足够的经费投入到改善教育教学条件,更新实验实习设备,增加图书藏量等方面上,为建设良好的学风提供物质保障。坚持全员育人,学院领导、各职能部门、系分工负责,相互配合,营造良好的育人氛围。
3、合理开展学生活动,是形成优良学风的重要途径。
学生活动要开展得好,要想与教学工作形成良性互动,必须做好以下方面的工作:
(1)将学生活动场所纳入学院基础设施建设整体规划,努力建设一批条件完备、设施齐全、相对独立的学生活动场所,满足学生综合素质拓展的内在需求。
(2)开展各类有利于专业教学的学生活动,围绕思想素质教育、职业素质教育和身心素质教育三大主题,重点扶持开展以锻炼专业技能、服务专业教学为目的的学生活动。
(3)通过就业竞争教育,让学生了解目前人才市场供需情况的严峻形势和专业技能的重要性,使学生在竞争中学习,从而深入推动学风建设。
(二)专业教师的作用。
1、帮助学生树立专业理想。
专业教师要在不同时间、不同场合以不同方式对学生从多角度、多层次地认真做好专业前景与发展的教育工作。邀请相关领域的专家学者和企业家来校举办学术报告会、专业座谈会、人文讲坛等,组织学生外出参观企业和单位,使学生明确所学专业的特点、现状和未来发展的趋势,让学生看到社会和企业对人才要求的复杂性,市场竞争的激烈程度以及个人可持续发展的需求,让学生认识到个体与外界需求之间的差异的存在,促使其产生自我提高的需要。专业教师在平时教学过程中要使学生明白只有现在努力学习,掌握过硬的本领,将来才能在社会上施展才华,发挥作用。
2、严格教风促学风。
教师的思想行为、学识水平等对学生的思想行为的形成有着潜移默化的示范作用,在教学互动过程中,严谨的教风具有启动、导向、激励和约束功能,必然对学风直接产生深刻的内化感染作用。教风的核心在于课堂教学质量,它直接影响到学生的学习积极性和效果。教师应善于掌握学生学习动机形成的规律,认真备课,教学内容紧扣行业现实,不断更新教学组织形式及采用多种教学方法,不断激起学生
的好奇心和求知欲。此外,教务处、系部定期召开学生座谈会,听取学生关于教学方面的意见和建议,促进教师更好的从事教学活动。
(三)辅导员的作用。
辅导员通过深入课堂、寝室与学生进行思想交流,掌握学生的学习基础、学习态度、学习习惯及学业动态,同时了解学生在学风建设中的意见和建议,并与任课教师交流,使他们在教学中更有针对性。对学习困难的学生,开展“一帮一、多帮一”的互帮活动,帮助他们树立学习的自信心;对学习动力不足和学习自制力较差的学生,辅导员在发现情况后,要及时掌握他们的思想动态,通过单独谈话帮助他们分析原因找到解决问题的办法,敦促他们端正学习态度。同时辅导员可以通过各种方法并根据不同年级学生的特点,组织学生开展形式多样、内容丰富的学习竞赛、学习研讨等活动;充分利用报刊、广播、橱窗和校园网等形式营造校园浓厚的学习氛围和加强学风建设的宣传;通过表彰先进、树立典型等措施带动学风建设的发展,逐步规范学生的学习行为和学习习惯,使学生在学习过程中保持一种稳定的健康的学习状态。
(四)学生的作用。
1、加强学生的自我教育。
解决学生的思想认识和心理问题,是良好学风建设的基础,要通过建立健全教育机制使学生明确学习目的,认识高职阶段学习的价值和意义,引导学生遵守纪律、自觉学习。高职院校学风建设中要尊重学生的自我与独立意识,努力创造条件让学生自己自我管理、自我约束、自我教育。要着力提高学生的自控能力和毅力,形成积极自主的学习习惯,引导学生正确认识自身的优势和不足,培养学生学会调节和控制自己的学习情绪和学习行为,不断提高学生对学习活动的自主管理能力,将“要我学习”变为“我要学习”,从被动学习转为主动学习,使学生的学习态度及行为习惯逐渐走上奋发向上、积极自主的良性发展轨道上。
2、重视发挥学生干部和学生党员的作用。
高职院校要促进良好学风的形成,必须以抓学生党员和学生干部
队伍建设为重点,在学风建设中充分发挥其先锋模范作用和学习上的榜样作用,以点带面,带动大多数学生形成符合身心发展的特点和规律的学习、生活习惯,从而对个别学生产生影响力和感染力,使之逐渐同化。一旦某种行为表现为习惯,成为一件愉快的体验,学生的学习就会进入“乐学”的境界。如建立学生党员/学生干部联系制度,每一名学生党员或学生干部联系一名学习成绩较差的同学进行辅导,潜移默化地对周围的学生产生积极的影响。
三、结语
总之,高职院校是培养技术应用能力强,有创新精神的人才的摇篮和基地。加强学风建设是高职教育的根本保证,也是提高教育质量的重要内涵。高职院校要充分认识到学风建设这一系统工程的艰巨性与长期性,要锲而不舍,长抓不懈。一个学校的优良学风不是一朝一夕形成的,而是要经过长时间的努力而逐步建立起来的。学院一切工作都要以提高学生素质、加强学风建设为出发点,充分调动一切有利因素,促进学风建设,使学生真正成为社会所需的人才。
第五篇:高职院校固定资产管理研究论文
摘要:国家对高等职业教育逐步重视,高等职业院校的固定资产也逐渐增加并且越来越多元化。高职院校固定资产对学校发展起着重要的作用,资产管理尤为重要。本文以高等职业院校为研究对象,查阅资料并结合实际,分析固定资产管理的现状,揭示存在的问题,并有针对性的提出对策建议,帮助高职院校提高固定资产管理能力,提高利用率,促进院校更好更快的发展。
关键词:高等职业院校;固定资产;管理对策;研究
一、引言
高等职业教育是高等教育的重要组成部分,2014年,国务院更下发了根据《关于加快发展现代职业教育的决定》(国发)[2014]19号,将高等职业教育的发展作为党中央、国务院的重大战略部署,提出要继续加强高职院校基础能力建设。高等职业院校近年来的发展和办学规模也越来越稳定,固定资产作为高等职业院校发展的基础条件,对固定资产的管理关系着学校的发展前景,近年来,因高等职业院校合
并、发展新校区建设以及办学水平的评估等的建设和采购,使得高职院校的固定资产管理不同程度的弱化,固定资产在管理和配置上都存在着一些问题,影响学校建设和发展,因此,加强固定资产管理具有非常重要的意义,必须不断加强和完善,以实现高职院校的内涵发展,更好的实现其社会功能。
二、高等职业院校固定资产管理现状
(一)固定资产中设备的比重逐年增加,固定资产更多元化
因为职业院校教学需要引进大量的专业设备,随着高等职业院校的办学规模和发展越来越稳定,高职院校的专业设备也越来越多,在固定资产中的比重逐年增加。由于不同专业的需要以及教育办公无纸化、信息化的发展,高职院校的固定资产也越来越多元化,改变了高职院校原有固定资产的结构和组成比例。固定资产中设备比重的增加和和资产的多元化,对院校在固定资产的管理和价值核算都提出了更多更高的要求,因此,高职院校必须要把固定资产管理作为重点工作对待。
(二)固定资产来源和管理主体多元化
高等职业院校的办学规模和发展越来越稳定,职业院校为不同行业培养了大量的专业人才,是很多企业人才输送的来源,因此,高职院校的资产来源不仅有国家的投入,因为与企业的合作关系,各种社会的资金和设备投入量也很大,而且随着社会需要的发展,这种投入也会越来越多,使得高职院校的固定资产也越来越多元化。固定资产的来源多元化也就导致了很多高职院校在资产管理主体上的多元化,比如,学校教务处、图书馆、设备处、实训中心等不同的部门都是不同的管理主体管理资产,这种管理模式,虽然看起来比较完善,但由于主体过多,也容易导致资产管理的混乱。
(三)固定资产管理制度多样化
固定资产管理制度多样化主要表现在,高职院校的固定资产管理主体多,因此,每一个管理主体都按照自己的管理方式制定了一套管理的制度,但是院校在资产管理的整体上却没有与之相适应的管理制度,这种多样化的管理制度看起来比较完善,但在实际操作中却存在
着很多问题,院校的发展需要协调各种固定资产,进行资产的合理配置,共同促进院校发展,但是由于各管理主体的管理制度不同,固定资产在使用上,经常会造成各管理主体的矛盾,各管理制度之间互相冲突,导致申请使用的审批过程过长,审批流程不畅,各管理主体之间互相推诿、扯皮的事情也时有发生,弱化了院校固定资产的管理职能,大大降低了固定资产的利用效率。
三、高等职业院校固定资产管理存在的问题
(一)内控制度不健全,管理主体分散,条块分割严重、管理体制缺少统一性
高职院校的固定资产管理在购买、报废、资产处置上的内控制度不健全。对资产损毁、老旧资产报废的处置没有严格的审批和监督制度,导致一些资产被私用或者因管理不善造成的非使用性损毁等问题得不到处置,或者处置监督缺位,执行力度不强,给高职院校的资产带来很大的损失。在资产管理方面,资产申报、销账不及时的问题非常突出,一些固定资产在申报购买或销账时不及时登记,长此以往登记记录无法核对和清查,就会导致账面不清楚,实际资产与账面资产严重不符,容易造成资产损失和资产重置,降低利用效率。
(二)资产调拨混乱无序,“非转经”过程中固定资产流失严重
国家对高职院校发展的重视以及高职院校自身发展规模的扩大,高职院校以一些主题部分进行了社会化的改革,这之中,最先进行社会化改革的就是后勤部,一些高职院校的后勤部成立了后勤服务公司等经济实体,负责后勤部门的运营。院校一部分固定资产被划拨到经济实体中,但在资产划分过程时,资产调拨手续和变更登记没有及时办理,造成资产内部在账、卡、物的管理上不一致,公务私用的现象普遍存在,给高职院校固定资产管理带来损失。而一些高职院校为了鼓励经济实体的发展,对一些固定资产实行零租赁,将学校的非经营性资产划拨发到经济实体中,转为经营性资产,但在转更的时候,没有对资产的价值进行合理的评估,没有建立有偿使用制度,导致转后的资产产权归属不清,在使用过程中,缺乏监督和约束,被无偿占用的现象普遍存在。
(三)重复购置、贪大求全,资产利用率低,且资产管理信息化和共享程度低
高职院校很多是由不同的学校合并而成,因此,高职院校的校区比较分散,基础条件较差,而高职学校为了评估和发展,不顾自身的经济和学校教学条件,盲目的通过贷款、借款添置学校固定资产。学校合并初期,可能在资产清查和盘点上做的不到位,导致一些学校账面资产与实际资产不相符,一些学校在扩大建设时,不注重对已有资产的清点和资产合并利用,反而盲目购置,贪大求全还盲目攀比,既造成了资源重置和闲置浪费,也增加了学校的贷款负担,增大经济压力。高职院校在计算机网络资产上比较丰富,也具有专业的人才,在扩张建设时完善了网络设施,但在实际情况中,高职院校在资产管理上对网络信息技术的应用却很低,管理模式还停留在传统阶段,没有建立统一的资产信息管理系统,使得学校固定资产信息得不到共享,资产无法合理利用。
(四)固定资产管理人员结构不合理,整体素质偏低
随着高职院校规模的扩大,财政投入增多,学校融资渠道拓宽,固定资产的数量和价值都在不断地增长,但学校的师资队伍和资产管理水平都还没有跟上,不符合新形势下资产管理和使用的要求。特别是一些高职院校实验室师资力量缺乏,实验设备无法发挥应用的效能。在资产管理上管理手段落后,管理人才专业程度不高,且因学校合并的影响,资产管理队伍的组成人员在工作背景、社会经验、知识结构和专业能力上都不同,因此,在管理人员结构分布上不合理,导致管理队伍的整体素质偏低,对资产的整理、分类、录入、核对、成本估算、折旧方面都不能适应现代管理的需要,导致高职院校资产管理职能弱化。
四、高等职业院校固定资产管理对策研究
(一)加强内部控制,科学设置内部机构,建立健全统一的管理制度和管理机构
加强固定资产在购买、报废、资产处置上的内部控制,对固定资产损毁、资产报废的处置实行严格的审批和监督制度,保障实施到位。
加强内部控制还要加强资产在申报采购和报销环节的登记管理,明确到相关负责人,每一笔固定资产的采购、使用和库存情况都要登记清楚,并且组织专门的人员定期进行清查,统计,避免因账面与实际不符造成学校固定资产损失,也避免资产过多重置和资源浪费,加重高职院校的经济负担。为加强固定资产的内部控制,解决管理主体分散,条块分割严重的问题,要在固定资产管理上坚持“统一领导”的原则,坚持统一管理,实行全员监督,建立健全高职院校固定资产统一的管理制度和管理机构。建立统一的管理制度可在高职院校内部设置由财务部门主导的,学校各固定资产管理的相关科室负责人共同参加的固定资产管理委员会,该委员会对学校的固定资产实行统一管理、协调和监督。在统一管理的基础上,在内部管理结构上,科学的实行分层级的管理模式,根据各类固定资产的产权归属关系和资产实际使用状况,明确各相关管理部门的职责,将管理责任明确到各责任人,这就避免了管理主体分散,条块分割的问题,明确各管理主体的责任并且进行细化,又有统一的协调、管理和监督部门进行管理,有效解决了各管理主体各自为政、缺乏信息沟通和共享的问题。
(二)加强非经营性资产转经营性资产的管理
加强对高职院校对资产调拨的管理非常重要,随着院校规模扩大的需要,会有更多的部门会进行社会化的改革,如果不加强资产非经营转经营性资产的管理,将会给学校造成巨大的损失。加强非经营性资产转经营性资产的管理,资产管理部门对学校资产的出租、出借和占用的固定资产都要找可靠的中介机构进行资产评估,明确学校所占的份额以及资产产权归属,及时并且严格按照流程办理资产变更登记和移交手续。在资产使用过程中,学校要加强管理和监督,防止学校资产被公务私用和无偿占用,切实保证学校固定资产的增值和保值。加强非经营性资产转经营性资产的管理,也是将学校经营性资产和非经营性资产剥离开,规避学校直接创办和经营企业的风险。
(三)提高利用率,避免重复购置,借助互联网优势,建立固定资产管理信息系统
为避免资产重复购置,提高利用效率,就要认真核对学校固定资
产的情况,明确使用情况、出借情况以及闲置资产的情况,定期核查清点学校固定资产,有利于学校对资产的合并利用,防止盲目的重复购置,较少学校贷款负担,减轻经济压力。在资产管理上注重计提固定资产折旧费用,并进行定期的分析、对比资产使用占用情况以合理配置固定资产。利用学校的网络资源,提高网络资源在固定资产管理方面的应用,通过信息技术设置标准化的资产管理操作流程,严格规定固定资产的管理,建立以财务部门为主导的资产管理信息系统,把固定资产从计划、购置、验收到交付使用的信息全部输入管理系统,使固定资产的信息能够公开透明,实现资源共享,提高利用效率。
(四)加强业务培训,进一步提高固定资产管理人员的素质
提高高职院校固定资产管理水平,增强资产管理能力,就要对加强资产管理人员的人才培训,进行专业知识和业务知识的培训,从整体上提升管理人员的素质。在专业知识的培训上要加强资产管理人员对资产管理的认识,学习固定资产管理法规以及相应的财务制度、会计制度;加强管理人员对信息技术和信息管理系统使用的培训,加强业务能力和专业技能。培养高职院校实验室师资队伍,让实验设备发挥应有的效能。以规范性文件的方式,规定资产管理人员的权利和义务,强化管理人在管理中的位置,责任到个人,提高资产管理的有效性和管理效率。
五、结语
高职院校的固定资产管理在学校发展中地位重要,关系着学校的发展前途,对学习的教学、科研和可持续发展都有着举足轻重的作用,因此,研究分析固定资产管理,提高管理效率和水平是学校发展的需要,是促进高职院校管理更加规范化、科学化的重要举措。
参考文献:
[1]王金玲.浅析我国高校固定资产管理的问题及对策[J].中国市场,2013(21).[2]吴秀明.基于财务管理的高校固定资产管理研究[J].中国市场,2016(17).[3]梁瑛.高校固定资产精细化管理研究[J].行政事业资产与财务,2015(31).
篇七:校园网研究内容
苏州大学计算机科学与技术学院
专升本毕业设计(论文)
题
目
校园网络安全问题及对策研究
计算机科学与技术
学生姓名
学号
所学专业
指导老师
苏州大学计算机科学与技术学院专升本毕业论文(设计)
任
务
书
论文设计题目:
校园网络安全问题及对策研究
指导教师:
学生:
专业:计算机科学与技术
职称:副教授
学号:班级:2008级
类别:毕业设计
论文(设计)类型:应用型
是否隶属于科研项目:否
1.论文(设计)的主要任务及目标
1)
网络安全发展历史与现状分析
2)网络安全概述
3)网络安全问题解决对策
4)网络安全防范
5)校园网络安全体系
2.论文(设计)的主要内容
计算机网络面临的各种安全威胁,系统地介绍网络安全技术.并针对校园
网络的安全问题进行研究,首先分析了高校网络系统安全的隐患,然后从构建安全防御体系和加强安全管理两方面设计了校园网络的安全策略。本次论文研究中,我首先了解了网络安全问题的主要威胁因素,并利用网络安全知识对安全问题进行剖析.其次,通过对网络技术的研究,得出校园网也会面临着安全上的威胁。最后,确立了用P2DR模型的思想来建立校园网的安全防御体系。并得出了构建一套有效的网络安全防御体系是解决校园网主要威胁和隐患的必要途径和措施。
3。论文(设计)的基本要求
1)
严格遵守学校和学院有关毕业设计的各项规章制度.2)以认真负责的态度,严格按照毕业设计的内容要求和进度安排开展毕业设计工作。
3)
要理论联系实际、以实事求是、勇于探索、不断创新的科学态度对待毕业设计。
4)要按照学校有关毕业论文的撰写要求,认真撰写毕业论文。
4.主要参考文献
1)《网络入侵检测》
编著:宋劲松
国防工业出版社2004.926-282)《网络安全性设计》
编著:[美]MerikeKaeo人民邮电出版社2005苏州大学计算机科学与技术学院专升本毕业设计论文
须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
3.1.2GB17859划分的特点
GB17859把计算机信息安全保护能力划分为5个等级,它们是:系统自我保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这5个级别的安全强度从低到高排列让高一级包括低一级的安全能力,GB17859的划分标准
安全能力
一级
二级
三级
四级
五级
自主访问控制
√
∈
≡
≡
≡
强制访问控制
√
∈
≡
标记
√
∈
≡
身份鉴别
√
∈
∈
≡
≡
客体重用
√
≡
≡
≡
审计
√
∈
∈
∈
数据完整
√
≡
∈
≡
≡
隐蔽信道分析
√
≡
可信路径
√
≡
可信恢复
√
注:
“√”:新增功能;“∈”:比上一级功能又所扩展;“≡":与上一级功能相同。
3。1。3安全等级标准模型
计算机信息系统的安全模型主要又访问监控器模型、军用安全模仿和信息流模型等三类模型,它们是定义计算机信息系统安全等级划分标准的依据.(1)访问监控模型:是按TCB要求设计的,受保护的客体要么允许访问,要么不允许访问。
(2)常用安全模型:是一种多级安全模型,即它所控制的信息分为绝密、机密、秘密和无密4种敏感级。
(3)信息流模型:是计算机中系统中系统中信息流动路径,它反映了用户在计算机系统中的访问意图。信息流分直接的和间接的两种.3.2防火墙技术
随着网络安全问题日益严重,网络安全技术和产品也被人们逐渐重视起来,防火墙作为最早出现的网络安全技术和使用量最大的网络安全产品,受到用户和研发机构的亲睐。
3。2.1防火墙的基本概念与作用
苏州大学计算机科学与技术学院专升本毕业设计论文
据分组,从而保护内部网络;后者则是为分组过滤提供了更大的灵活性.代理服务技术
以一个高层的应用网关作为代理服务器,接受外来的应用连接请求,在代理服务器上进行安全检查后,再与被保护的应用服务器连接,使外部用户可以在受控制的前提下使用内部网络的服务,如图3-2所示.
图3-2代理服务器原理示意
代理服务技术工作在应用层,代理服务技术工作特点。
5、应用层
4、TCP层
3、IP层
2、数据链路层
1、物理层
由于代理服务作用于应用层,它能解释应用层上的协议,能够作复杂和更细粒度的访问控制;同时,由于所有进出服务器的客户请求必须通过代理网关的检查,可以作出精细的注册和审计记录,并且可以与认证、授权等安全手段方便地集成,为客户和服务提供更高层次的安全保护.(3)状态检测技术
此技术工作在IP/TCP/应用层,它结合了分组过滤和代理服务技术的特点,它同分组过滤一样,在应用层上检查数据包的内容,分析高层的协议数据,查看内容是否符合网络安全策略。状态检测技术工作情况
5、应用层
4、TCP层
3、IP层
2、数据链路层
1、物理层
3.3入侵检测技术
苏州大学计算机科学与技术学院专升本毕业设计论文
仅仅依赖防火墙并不能保证足够的安全,为了解决非法入侵所造成的各种安全问题,安全厂商提出了建立入侵检测系统的解决方法.入侵检测技术是防火墙技术的有效补充,通过对计算机或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络中或系统中潜在的违反安全策略的行为和被攻击的迹象。
3。3。1入侵检测系统
入侵检测系统功能构成,包括事件提取、入侵分析、入侵响应和远程管理四部分如图3—3所示。
图3-3入侵检测系统组成
入侵检测所利用的信息一般来自以下四个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。
3。3.2入侵检测分类
入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。根据不同的检测方法,将入侵检测分为异常入侵检测和误用人侵检测。
异常检测
又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常"行为特征轮廓,通过比较当前的系统或用户的行为是否苏州大学计算机科学与技术学院专升本毕业设计论文
偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
采用异常检测的关键问题有如下两个方面:
(1)
特征量的选择
在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征.(2)
参考阈值的选定
由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素.由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。
(二)误用检测
又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法.常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析、误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和
应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为.由于只需要收集苏州大学计算机科学与技术学院专升本毕业设计论文
相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。
3。3。3入侵检测系统
入侵检测就是通过对系统数据的分析、发现非授权的网络访问和攻击行为,然后采取报警、切断入侵线路等对抗措施。为此目的而设计的系统称为入侵检测系统。一个简单的入侵检测系统。
入侵检测系统的基本任务:通过实时检测网络系统状态,判断入侵行为发生,并产生报警。从功能实现的角度可以把这个系统划分为三大模块:信息收集模块、信息处理与通讯模块、入侵判断与反应模块。其中信息收集模块与特定的环境,监视的对象有比较密切的关系:信息处理与通讯模块,是对所收集到的数据进行预处理和分类,然后把处理的结果按照一定的格式传输给检测判断模块。最后由检测判断模块根据一定的安全策略判断入侵行为的发生并采取相应的反击。随着网络系统结构的复杂化和大型化,系统的弱点或漏洞将趋向于分布式。另外,入侵行为不再是单一的行为,而是表现出相互协作入侵的特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息,协同检测.3。3.4代理(Agent)技术
代理(Ageni)是指能在特定的环境下无须人工干预和监督完成某项工作的实体.它具有自适应性、智能性和协作性.代理既能独立地完成自己的工作,又能与其它代理协作共同完成某项任务,且代理能够接受控制并能感知环境的变化而影响环境。代理分布于系统中的关键点及关键服务器,包括防火墙、对外提供各项服务的服务器、内部网关和服务器,完成绝大多数的入侵检测和响应任务。代理可以针对特定的应用环境进行配置和编程,使得代理占用负载最小。同时,代理可以与其它代理和中心服务器进行有限的交互,交换数据和控制信息。由于代理是独立的功能实体,在一个多代理系统中,单个的功能代理能够增加到系统中去或从系统中删除,并且能够对某个代理进行重配置,而不会影响到系统的其它部分。可以看到,在一个由多代理组成的入侵检测系统中,单个代理的失效只会影响到该代理和与之协作的部分代理,系统的其它部分仍能正常工作。如果能将入侵检测系统的功能合理地分配给各个代理,就能大大减少系统失效的风险.多代理系统所具有的这些优点使之能较好地解决常规入侵检测系统的缺陷.3。3。5入侵检测与防火墙实现联动
防火墙与入侵检测这两种技术具有较强的互补性。目前,实现入侵检测和防火墙之间的联动有两种方式可以实现,一种是实现紧密结合,即把入侵检测系统嵌入到苏州大学计算机科学与技术学院专升本毕业设计论文
防火墙中,即入侵检测系统的数据来源不再来源于抓包,而是流经防火墙的数据流。所有通过的包不仅要接受防火墙检测规则的验证,还需要经过入侵检测,判断是否具有攻击性,以达到真正的实时阻断,这实际上是把两个产品合成一体。但是,由于入侵检测系统本身也是一个很庞大的系统,所以无论从实施难度、合成后的性能等方面都会因此受到很大影响.所以,目前还没有厂商做到这一步,仍处于理论研究阶段。但是不容否认,各个安全产品的紧密结合是一种趋势。苏州大学计算机科学与技术学院专升本毕业设计论文
在对称密码体系中,最为著名的是DES分组算法,DES将二进制序列明文分为每64位一组,使用64位的密钥,对64位二进制数进行分组加密,每轮产生一个48位的“每轮”密钥值,并参与下一轮的加密过程,经过16轮的迭代、乘积变换、压缩等处理后产生64位密文数据。
另一个成功的分组加密算法,它的核心是一个乘法/加法非线性构件,通过8轮迭代,能使明码数据更好地扩散和混淆[16]。
3。4。3非对称密钥体系
非对称加密技术将加密和解密分开并采用一对不同的密钥进行。
RSA算法的原理是数论的欧拉原理:寻求两个大的素数容易,将它们的乘积分解开及其困难,具体做法是:选择两个100位的十进制大素数p和q,计算出它们的积N=pq,将N公开;再计算出N的欧拉函数,Φ(N)=(p—1)*(q—1),定义Φ(N)为小于等于N且与N互素的数个数;然后,用户从[0,Φ(N)—1]
中任选一个与Φ(N)互素的数e,同时根据下式计算出另一个数d:ed=1modΦ(N)这样就产生了一对密钥:pk=(e,N),sk=(d,N).若用整数X表示明文,Y表示密文,则有,加密:Y=XemodN;解密:X=YemodN.3.4。4数据信封技术
数字信封中采用了单钥密码体制和公钥密码体制。信息发送者首先利用随机产生的对称密码加密信息,再利用接收方的公钥加密对称密码,被公钥加密后的对称密码称之为数字信封.信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,再利用对称密码解密所得到的信息,这样就保证了数据传输的真实性和完整性。
3.5反病毒技术
3.5.1计算机病毒的介绍
计算机病毒就是能够通过某种途径潜伏在计算机存储介质里,当达到某种条件时,即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。
随着计算机技术的发展尤其是网络技术的普及,计算机病毒进入了一个新的阶段—--网络蠕虫病毒暴发阶段,2001至今,网络蠕虫已经成为网络病毒的主流。
3.5.2计算机病毒的组成与分类
经对目前出现的计算机病毒的分析发现,所有计算机病毒都是由三部分组成的,即病毒引导模块、病毒传染模块和病毒表现模块。
(1)引导模块:负责将病毒引导到内存,并向系统中请求一定的存储空间,对相应的存储空间实施保护,以防止其他程序覆盖,并且修改系统的一些功能入口,在这些入口处引导病毒传染模块和病毒实现模块。
苏州大学计算机科学与技术学院专升本毕业设计论文
逻辑备份也可以称作“基于文件的备份”。每个文件都是由不同的逻辑块组成的,每个逻辑块存储在连续的物理磁盘块上,基于文件的备份系统能识别文件结构,并拷贝所有的文件和目录到备份资源上.系统顺序读取每个文件的物理块,然后备份软件连续地将文件写入到备份介质上,从而使得每个单独文件的恢复变得更快。
(2)物理备份。
物理又称“基于块的备份”或“基于设备的备份",其在拷贝磁盘块到备份介质上时忽略文件结构,从而提高备份的性能。因为备份软件在执行过程中,花费在搜索操作上的开销很少。
(3)完全备份
完全备份是指整个系统或用户指定的所有文件数据进行一次全面的备份,这是一种最基本,也是最简单的备份方式。这种备份方式的好处就是很直观,容易理解。如果在备份间隔期间出现数据丢失等问题,可以只使用一份备份文件快速地恢复所丢失的数据。
(4)增量备份
为了解决上述完全备份的两个缺点,出现了更快、更小的增量备份。增量备份只备份相对于上次备份操作以来新创建或者更新过的数据。因为在特定的时间段内只有少量的文件发生改变,没有重复的备份数据,因此既节省空间,又缩短了备份的时间。因而这种备份方法比较经济,可以频繁地进行。
(5)差异备份
差异备份即备份上一次完全备份后产生和更新的所有新的数据。它的主要目的是将完全恢复时涉及到备份记录数量限制在两个,以简化恢复的复杂性。
5.3.4防火墙技术
防火墙是在网络之间通过执行控制策略来保护网络的系统,它包括硬件和软件。
设置防火墙的目的是保护内部网络资源不被外部非授权用户使用。防火墙的功能包括:
(1)检查所有从外部网络进入内部网络流出到外部网络的数据包。
(2)执行安全策略,限制所有不符合安全策略要求的数据包通过。
(3)具有防攻击能力,保证自身的安全性.防火墙是一个由软件与硬件组成的系统。由于不同内部网的安全策略与防护目的不同,防火墙系统的配置与实现方式也有很大的区别.简单的一个包过滤路由器或应用网关、应用代理服务器都可以作为防火墙使用。
5.3。5入侵检测技术
苏州大学计算机科学与技术学院专升本毕业设计论文
利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全"和“风险最低"的状态。防护、检测和响应组成了一个完整的、动态的安全循环,在安全策略的指导下保证信息系统的安全。
该理论的最基本原理就是认为,信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体系的安全性和安全能力.作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间.当然攻击成功花费的时间就是安全体系提供的防护时间Pt;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间―检测时间Dt;在检测到入侵后,系统会做出应有的响应动作,这也要花费时间―响应时间Rt。
P2DR模型就可以用一些典型的数学公式来表达安全的要求:
(1)公式1:Pt>Dt+Rt。
Pt代表系统为了保护安全目标设置各种保护后的防护时间;或者理解为在这样的保护方式下,黑客(入侵者)攻击安全目标所花费的时间.Dt代表从入侵者开始发动入侵开始,系统能够检测到入侵行为所花费的时间.Rt代表从发现入侵行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间。那么,针对于需要保护的安全目标,如果上述数学公式满足防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能被检测到并及时处理.(2)公式2:Et=Dt+Rt,如果Pt=0。
公式的前提是假设防护时间为0。Dt代表从入侵者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系统能够做出足够的响应,将系统调整到正常状态的时间。比如,对WebServer被破坏的页面进行恢复。那么,Dt与Rt的和就是该安全目标系统的暴露时间Et。针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义:“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。而且,这样的定义为安全问题的解决给出了明确的方向:提高系统的防护时间Pt,降低检测时间Dt和响应时间
Rt。
5。5.2校园网络安全防范体系
安全模型中的安全策略、防护、检测、响应始终贯穿着安全技术和安全管理两个方面的重要内容,校园网络安全防范体系构建是以安全策略为核心,防护,检测和响应为实施方法,并通过安全培训加强所有人员的安全意识,完善安全体系安全单元环境.安全体系的示意图如图5—3所示。
苏州大学计算机科学与技术学院专升本毕业设计论文
软件要有效、快速地升级病毒定义码和扫描引擎.网络的安全管理是一个长期的、动态的过程。本网络系统的安全性还存在不少问题,比如说防止网络攻击方面,尽管使用了入侵检测系统和防火墙的联动技术,但是,目前的入侵检测系统对未知的攻击检测能力较弱,且存在误报率太高的缺点。这些问题有待我们作进一步的探讨和改进,不断的分阶段完善安全防范体系。
(5)制定安全策略
安全策略是赋予了组织机构技术人员或信息资产使用权的人员必须履行的准则的正规陈述它是一个成功的网络安全体系的基础与核心.业务需求和风险分析是安全策略的主要制定依据。校园网络的安全策略是依据校园网的业务需求描述了校园网近期安全目标和长期安全目标,以及安全风险评估分析,不同安全评估标准中保护对象的安全等级方面的内容.5.5。3完善安全制度与管理
安全管理贯穿整个安全防范体系,是安全防范体系的核心,代表了安全防范体系中人的因素。网络系统的安全性不只是技术方面的问题,如果日常管理上没有相应规章制度来管理约束,再先进的软件技术,硬件设备对网络系统的安全来说也是不安全的.一个有效的安全防范体系应该是以安全策略为核心,以安全技术为支撑,以安全管理为落实,安全管理主要是对安全技术和安全策略的管理,安全策略为安全管理提供管理方向,安全技术是辅助安全管理的措施.当网络出现攻击行为或其它一些安全威胁时,无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索,即缺乏对网络的可控性与可审查性。这就要求网络管理员经常通过网络攻击扫描器提前识别弱点区域,入侵检测系统监控和响应安全事件,必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
安全管理主要是对安全策略的一系列实施操作,这些操作是构建网络安全体系必不可少的。没有完善的安全管理体系,很难保证网络系统的安全。必须制定详细的安全管理制度,如机房管理制度、病毒防范制度等,并采
取切实有效的措施保证制度的执行。学院网络安全防范体系建立以后,学院的网络控制中心负责网络设备的运行管理,信息中心负责网络教学资源的安全管理。规定系统管理员要进行日常的网络安全管理,实时地、动态地监控网络运行情况,每日必须检查服务器的日志,对重要的数据服务器,每日必须进行异地数据备份.同时管理员的密码必须达到一定的长度并且建议每周修改一次.管理员需及时对操作系统打补丁和防病毒软件包的升级,不断完善和优化网络安全防范体系。
5。6其他网络安全解决方案
网络安全技术是解决校园网安全问题的基础,我们在对校园网安全分析时综合苏州大学计算机科学与技术学院专升本毕业设计论文
采用了防火墙、入侵检测、内容过滤和安全评价等技术,提出了一些安全解决方案,以增强校园网络的安全覆盖范围和程度。
5。6。1关闭不必要的端口
以下是一些可能被攻击的端口,一般情况下,应该要把这些端口屏蔽掉.(1)23端口。若这个端口开着非常的危险,这个端口主要用做TELNET登录.Telnet服务给我们的最直接的感受就是它可以使得我们忘掉电脑与电脑之间的距离。利用23端口的Telnet我们可以象访问本机那样访问远程的计算机。Telnet协议的初衷是用来帮助我们对于计算机实现远程管理与维护,以提高我们的工作效率。但在一定情况下反而成为了一个黑客攻击最常利用的一个端口。若不怀好意的人利用Telnet服务登陆到23端口,就可以任意在对方电脑上上传与下载数据,包括上传木马与病毒等等。
(2)21端口。这个端口主要用来运行FTP服务。糟糕的是,这个端口,若管理不善的话,是可以用户进行匿名登陆的。并能够利用这个端口远程登陆并运行远程命令,这也就是说,可以在远程上传木马等工具并在远程控制其运行。同时,还可以利用FTP服务了解到攻击所需要的基本信息,如用的是什么操作系统等等;甚至能够获知可用的帐号,等等.一般情况下,没有必要开启21号端口。
(3)135端口.通过135端口入侵实际上就是在利用操作系统的RPC漏洞。一般情况下,135端口主要用来实现远程过程调用。通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码.利用这个漏洞,可以通过这个端口得到电脑上的“主机”文件。得到这个文件后,再利用一定的工具便可以知道该电脑上可用的计算机用户名与密码,甚至是管理员的用户名与密码。得到这个用户名之后,如可以上传木马工具,随意的查看重要的文件,并对进行破坏和窃取。
5。6。2巩固安全策略
(1)利用防火墙将内部网络、对外服务器网络和外网进行有效隔离,避免与外部网络直接通信;
(2)利用防火墙建立网络各主机和对外服务器的安全保护措施,保证系统安全;
(3)利用防火墙对网上服务请求内容进行控制,使非法访问在到达主机前被拒绝;利用防火墙加强合法用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
(4)利用防火墙全面监视对公开服务器的访问,及时发现和阻止非法操作;
(5)利用防火墙及各服务器上的审计记录,形成一个完善的审计体系,在策略之后建立苏州大学计算机科学与技术学院专升本毕业设计论文
题是一个永久的课题,它将随着计算机技术、计算机网络的发展而一直存在、一直发展。计算机网络的威胁与计算机网络的安全防护会一直较量下去,本文采用的技术也不能说是非常完善的,一方面因为网络攻防技术都是在不断发展中,另一方面是因为设计者的水平有限。且网络安全本身是一个十分复杂的技术问题,解决的手段也是多样的.所以,计算机网络安全技术是个永无止境的研究课题。
苏州大学计算机科学与技术学院专升本毕业设计论文
致
谢
时光飞逝,转眼间我们就要大学毕业了.这次毕业设计给了我很大的感想!通过这次的毕业设计真的让我学到了很多东西。在毕业设计的这段时间里,我发现自己了的缺陷和不足,而且还非常的缺乏经验,令我印象最深刻的是在设计过程中会遇到各中各样细节上的问题,这些问题给我的进度造成了一些很大的影响,但我并没有气馁,在查阅了大量资料反复演算,点点滴滴的修改后终于解决。绘图过程中也会遇到麻烦,比如怎样最清晰的表达自己的设计思路,如何去解决面临的以前自己没有涉及的领域!甚至有些参考书上的很多东西部是标准的。幸亏有我们的指导老师的教导,使我改正了在书上看到的不正确的知识。老师的知识真的很渊博!经验也特别丰富.我的论文,老师很快就发现我存在的问题。并对我进行了耐心的指导!
通过这次毕业设计,提高了我的独立思考分析以及解决问题的能力,在设计的整个过程中,能够进一步将所学的设计软件熟练运用,对以往学过的理论基础知识进行复习运用,对未涉及过的知识领域做了一次大胆的尝试,并通过此次毕业设计对计算机知识有一个拓展,了解网络安全的前沿技术,以理论结合实际进一步提高自己的动手能力,为将来进入工作岗位打好基础。
苏州大学计算机科学与技术学院专升本毕业设计论文
参考文献
[1]
邵波,王其和。计算机网络安全技术及应用.北京:电子工业出版社,2005。11:17—18[2]蔡立军.计算机网络安全技术[M]。北京:中国水利水电出版社,2005,52—56[3]
陈健伟,张辉。计算机网络与信息安全[M]。北京:希望电子出版社,2006。2:42—43[4]
王锐,陈靓,靳若明,周刚。网络最高安全技术指南[M]。北京:机械工业出版社,1998,12-14[5]王宇,卢昱.计算机网络安全与控制技术[M].北京:科学出版社,2005.6:19—20[6]
ClarkMPNetwork&teleeonrnunieationsdesignandoPeration[M]。Chiehester:JolinWiley&Sons,1997,25-27[7]贾晶,陈元,王丽娜.信息系统的安全与保密[M]。北京:清华大学出版社,2003,62-68[8][美]MarcFarley.LANTimesGuidetoseetyandDataIntegrity[M]。北京:机械工
业出版社,1998,82—85[9]宋劲松.网络入侵检测:分析、发现和报告攻击[M].国防工业出版社,2004.9:26—28[10]冯登国。计算机通信网络安全[M].北京:清华大学出版社,2001,3[11][美]斯托林斯.密码编码学与网络安全—-原理与实践(第三版)[M].电子工业出版社,2005,12-14[12]张小斌,严望佳.黑客分析与防范技术[M]。北京:清华大学出版社,1999,22-23[13]PtacekT,NewshamN。Insertion.EvasionandDenialofServiee:EludingNetworkIntrUsioneteetion[M]。SeeureNetworkslnc,1998,59-60[14]刘冰.计算机网络技术与应用[M].北京:机械工业出版社,2008。1:36-38[15]影印.密码学与网络安全[M].清华大学出版社,2005。1:99—102[16]
卡哈特.密码学与网络安全[M].清华大学出版社,2005.9:100—102[17]关桂霞。网络安全概论[M]。
电子工业出版社,2004.10:23-24第
43页
篇八:校园网研究内容
毕业设计开题报告
毕业设计题目
校园网的构建与实现
院(系)
指导教师
姓
名
计算机科学系与通信学院
专
业
计算机科学与技术
一、研究背景、目的和意义:校园尤其是大学校园的网络应用类型非常复杂,信息媒体类型较多,且具有信息流猝发特点。在大学校园网建设中,应充分兼顾信息资源共享与服务、多媒体教学和教务管理等因素对网络的需求。
湖南工学院是一所极具现代意识、以现代化教学为特色的学校。为了推进教育学信息化和现代化,在校内建立校园内部网并通过千兆位链路连接与国际互联网相连。
按照“统一规划、讲究实效、安全可靠”的原则,进行湖南工学院校园网综合系统设计,以满足校园内计算机网络系统的需要。对于湖南工学院来说,由于将有越来越多的资料信息和管理平台放到校园网上,越来越多的用户使用校园网,校园网的可扩展性和可靠性成为选择合作伙伴的重要标准。
大学校园网建设的目标就是要在校内构筑一套高性能、全交换、以千兆以太网结合全双工快速以太网为主体、以双星(树)结构为主干的遍布整个校园的信息网络系统,以满足大负载网络的访问需求。在校外,采用宽带接入方案连接到CERNET,实现高校之间和国际间的高效率资源共享和学术交流。
大学校园网的建设不仅能满足学生即将进入社会、面临网络信息时代激烈的知识竞争的需要,又能满足教师教学活动和研究售货员迅速吸收最新知识、进行学术交流和创造的需要,同时还能达到在面积较大、环境较为复杂的校园内,进行行政、生活、教务管理以及开展多种业务活动的目的。
二、课题研究现状:
我国从1994年开始启动中国教育科研计算机网CERENT,现已基本完成了国内绝大部分重点高校的连接。目前,在国家教委211工程的支持下,全国各大专院校基本都有了自己的校园网,同时,地方所属的专业/职业院校和中小学校的校园网建设如火如荼,系统集成商应利用当前的大好机会大展宏图。
校园网是一个宽带具有交互功能和专业性很强的局域网络。教学管理系统、多媒体教室、教育视频点播系统、电子阅览室以及教学、考试资料库等都可以通过网络运行。
虽然同样称为校园,但一方面中小学校校园网、中等专业/职业学校校园网和高等院校校园网无论在经费、规模、技术水平、应用、建设内容上有很大不同,另一方面没有两个校园网的需求是一模一样的。因此必须根据校园网的具体情况进行规划。一般地,将校园网归纳为3类:小规模校园网、中等规模校园网和大型校园网。
三、课题研究指导思想:
通过
四、课题研究的目标:
五、课题研究的基本内容:
六、课题研究的方法:
七、课题研究的步骤:
第一阶段,3月6日—3月26日,分析毕业设计任务书,收集资料,熟悉软硬件环境。
第二阶段,3月27日—4月7日,进行软件网络规划分析、方案论证。
第三阶段,4月8日—4月16日,进行各种服务器的规划与设计。
第四阶段,4月17日—5月8日,自主构建网络环境、进行相应的设置与调试。
第五阶段,5月9日—5月31日,整理、完善毕业设计说明书。
第六阶段,6月上旬,论文答辩。
八、参考文献:
[1]雷震甲.网络工程师教程.北京:清华大学出版社,2004[2]王文寿,王珂.网管员必备宝典.北京:清华大学出版社,2006[3]兰少华,杨余旺,吕建勇.TCP/IP网络与协议.北京:清华大学出版社,2006[4]崔轩辉,徐立新,孙修东.计算机组网工程.湖北:武汉理工大学出版社,2004[5]郝文化.网络综合布线实用教程.北京.机械工业出版社,2006[6]曾碧卿.计算机网络.长沙.中南大学出版社,2005[7]AndrewS.Tanenbaum.计算机网络(第三版).北京:清华大学出版社,PrenticeHall1998[8]Forouzan,B.A.TCP/IPProtocolSuite.Prentice-HallInc.,2001[9]戚文静.网络安全与管理.北京:中国水利水电出版社,2003[10]RatnasamyS,FrancisP,HandleyM,KarpR,ShenkerS.Ascalablecontent-addressablenetwork.In:GovindanR,ed.proc.oftheACMSIGCOMM2001.ACMPress,2001.161-172
热门文章:
- 食堂工作人员年度个人总结4篇2024-01-29
- 小学数学教师年度个人工作总结9篇2024-01-29
- 英语教师学期个人总结14篇【优秀范文】2024-01-29
- 2023最新医药销售代表个人工作总结3篇(范文推荐)2024-01-29
- 2023年度杜绝麻痹思想大反思报告6篇2024-01-29
- 新时代青年如何弘扬劳模精神6篇(2023年)2024-01-29
- 2023年真抓实干方面存在的问题及整改措施4篇2024-01-28
- 民警思想状况分析报告民警队伍状况分析报告15篇(完整)2024-01-28
- 幼儿园大班班主任个人工作总结6篇【完整版】2024-01-28
- 2023行政部年终总结模板13篇【通用文档】2024-01-28
相关文章:
- 2023年安全培训内容5篇(范文推荐)2023-11-23
- 2023年商务工作个人总结内容4篇(范文推荐)2024-01-07
- 小学生安全知识调查研究报告2022-06-19
- 2022地税部门办税服务厅管理调查研究报告(2022年)2022-06-20
- 2022年研究生工作技术实践报告7篇(精选文档)2022-08-05
- 2022市委研究室主任抓党建述职报告2022-11-14
- 学术研究会会长在状元奖学金颁奖仪式上讲话【完整版】2022-11-20
- 2022年全省政府系统秘书长办公室(研究室)主任会议发言交流材料6篇汇编(全文完整)2022-11-23
- 关于市青年创新创业调查研究报告(完整)2022-12-10
- 市人民政府研究室工作打算汇报材料(完整)2023-02-03
- 2023年度市人民政府研究室工作打算汇报材料2023-02-06
- 2023年全省政府系统秘书长办公室(研究室)主任会议发言交流材料6篇汇编(全文完整)2023-03-09