校園網設計方案精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網設計方案主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:校園網設計方案范文
關鍵詞:校園網,網絡組建,網絡管理與維護,網絡安全
第1章 網絡設計方案
1.1 設計概要
校園網的組建采用如下方案:網絡中心建設在圖文信息中心,教學樓設置分管點。建設高速、穩定和安全的網絡環境。采用主流的以太網技術核心,交換機可帶千兆三層交換模塊,二級交換機采用帶擴充槽的快速以太網交換機,可實現三層交換、百兆主干、百兆交換到桌面。教學樓與綜合樓采用Trunk技術做鏈路聚合,可達到200Mb/s的帶寬,實現了較高的性價比。可根據學校的應用類型,例如辦公、多媒體課室、課室、網絡中心等功能劃分子網。
1.2 校園網絡IP地址規劃和VLAN劃分
1.2.1校園網IP地址分配原則
校園網的IP地址規劃應該受到重視,IP地址分分配應該遵循以下幾個原則。
1. 體系化編址 體系化編址其實就是編址的結構化,組織化,以企業的具體需求和組織結構為原則對整個網絡地址進行有條理的規劃。從總體上來說,體系化的原則就是使相鄰的主機或主機群在IP地址上是連續的。這樣可以進行路由匯聚,是整個網絡的地址結構清晰明朗,路由信息清晰,從而減少路由器中路由表。使區域和區域之間的地址相互獨立,便于靈活的獨立管理。
2. 地址的持續可擴展性 IP地址規劃應該為今后的升級和網絡規模的擴大做好準備,要有全局和高瞻遠矚的眼光。
3. 按照實際需要分配公網IP地址公網IP相對于私有IP而言是不能由自己設置的,公網IP是有ISP等機構統一分配和租用的,公網IP地址是非常稀缺的,因此,對于公網的IP地址我們必須按照實際的需要分。例如對于對外提供服務的服務器,我們需要為其分配公網的IP地址,而對于學校的宿舍,教學樓,實驗樓等僅需要瀏覽互聯網信息等基本需求的計算機可以通過NAT來實現私有地址和公網地址的轉換,實現多個節點共享一個或幾個公網IP地址,從而節約公網IP地址。對于那些僅對內提供服務,或只用于內部通信的計算機就不需要分配公網IP地址。我們知道公網的IP地址是非常的稀缺的,NAT雖然能夠節約一部分的公網IP地址,但是還是不能從根本上解決現有公網IP地址越來越少的殘酷問題,所以部署IPV6已經迫在眉睫。由于現在的IPV4網絡正在向IPV6網絡過渡,這是一個很長期的過程,所以在構建網絡時我們還要考慮網絡對于IPV6的兼容性,選擇支持IPV6的設備和系統,以便今后進行升級和改造。
4. 靜態和動態分配地址動態分配IP地址是有DHCP服務器分配的,在常見的比較小的網絡中,IP地址的分配一般是采用靜態方式分配,但在大中型的網絡中,由于主機數量的增加,為每一個計算機分配IP地址會增加網絡管理員的負擔,還有可能造成IP地址沖突,因此,DHCP在大中型網絡中是非常的有效和實用的,每一個新接入的主機能夠方便的從DHCP服務器獲得主機的IP地址以及子網掩碼,缺省網關,DNS等參數,大大減輕了網絡管理員的工作量。
1.2.2 VLAN劃分
VLAN是建立在以太網交換機或ATM交換機之上的邏輯網絡,VLAN可以進行邏輯工作組的劃分和管理,是節點在邏輯上形成一個網絡,不受物理位置限制,同一邏輯工作組的成員不一定要連接在同一物理網段上,他們可以連接在同一局域網交換機上也可以連接在不同局域網交換機上,只要這些交換機是互相連接的。VLAN的優點:VLAN可以將不同地點不同用戶組合在一起,形成一個虛擬的局域網,可以提高網絡中各個邏輯組中用戶的流量。
VLAN的劃分方法:
1. 基于端口劃分VLAN這是最常用的一種方法,目前絕大多數交換機都支持這種方法,這種方法將交換機的端口劃分為不同的組,每個組構成一個虛擬局域網。這種方法配置簡單,適合于任何大小的物理,只需要將所有的端口都定義為相應的VLAN組即可。缺點是假如某個用戶離開了原來的端口,連接到另外的交換機端口,就必須對另外的端口進行配置。
2. 基于MAC地址劃分VLAN因為每一個網卡都有一個唯一的物理地址,因此可以根據網卡的物理地址來劃分VLAN,根據這種方法,可以彌補方法1帶來的缺陷,當一個計算機位置移動時,會自動保留所屬的VLAN成員身份。不需要重新配置。
3. 基于網絡層協議劃分VLAN按網絡層協議組成的VLAN,可使廣播域跨越多個VLAN交換機。
4. 基于IP組播劃分VLANIP組播實際上是一種VLAN定義,可以認為一個IP組播就是一個VLAN,這種方法將VLAN擴大到了廣域網,適合不在同一地理位置的局域網用戶組成一個VLAN,但用于局域網時效率不高。
VLAN配置原則
1. VLAN1為交換機默認VLAN,無需創建
2. VLAN組成員分布于多臺交換機上時,需在要每臺交換機上創建該VLAN,并將成員加入同一VLAN組中
3. 交換機創建的VLAN數可大于交換機端口數量
1.2.3 IP地址分配策略
IP地址分配策略
項目 IP地址范圍 備注
IP地址類型 私有B類IP地址172.18.0.0./32
網關地址 172.18.1.253/32
網絡設備IP 172.18.1.1―172.18.1.20
網絡中心服務器 172.18.1.21-172.18.1.40
內部工作站IP 剩余可用IP
備用IP 172.18.1.50-172.18.1.70
1.2.4 VLAN劃分策略
在大中型網絡中,網內的計算機數目很多,很容易引起廣播風暴,劃分VLAN之后就能夠有效的降低廣播風暴,VLAN是在交換網局域網的基礎上,采用網絡管理軟件構件構建的可跨越不同網段,不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網,它可以覆蓋多個網絡設備,VLAN允許處于不同地理位置的網絡用戶加入到一個邏輯子網中,即加入到一個VLAN中。VLAN能夠有效的控制廣播風暴,一個VLAN就是一個邏輯廣播域,通過對VLAN的創建,隔離了廣播,縮小了廣播范圍,可以控制廣播風暴的產生。VLAN提高了網絡的整體安全性,可以控制用戶訪問權限和邏輯網段大小,將不同用戶劃為不同的子VLAN,提高了交換網絡的整體性能和安全性。一個VLAN可以根據部門職能,對象,不同地理位置的用戶劃分邏輯網段。在不改變物理位置的前提下可以任意將工作站在不同組之間移動。VLAN可以大大減輕網絡管理和維護工作的負擔,降低維護費用,減輕網絡管理員的工作量。
根據NC職業學院的不同工作類型,劃分了教學樓,實驗室,圖文信息中心,學生宿舍等子網。圖文信息中心的網絡的中心,劃分為VLAN1,VLAN1為默認的虛擬局域網。圖文信息中心的所有閱覽室劃分為VLAN2,實驗樓的學生機房劃分的VLAN范圍是VLAN3~VLAN5,辦公室劃為VLAN6,教學樓劃為VLAN7,學生宿舍劃分為VLAN8~VLAN10。實驗室VLAN為VLAN11.
VLAN功能描述
VLAN ID 網段IP 網關IP 備注
1 172.18.1.0/24 172.18.1.254/24 圖文信息中心核心機房:網絡中心
2 172.18.9.0/24 172.18.1.254/24 圖文信息中心閱覽室
3 172.18.2.0/24 172.18.1.254/24 實驗樓學生機房1
4 172.18.3.0/24 172.18.1.254/24 實驗樓學生機房2
5 172.18.4.0/24 172.18.1.254/24 實驗樓學生機房3
6 172.18.5.0/24 172.18.1.254/24 實驗樓辦公室
VLAN ID 網段IP 網關IP 備注
7 172.18.6.0/24 172.18.1.254/24 教學樓
8~10 172.18.7~9.0/24 172.18.1.254/24 學生宿舍
11 172.18.10.0/24 172.18.1.254/24 實驗樓實驗室
實驗樓學生機房VLAN劃分
端口 VLAN ID 備注
Cisco2950(學生機房,IP為172.18.1.252/24)
1~3 1、3、4、5 連接網絡中心下行端口
4~8 3
9~14 4
15~24 5
圖文信息中心VLAN劃分
端口 VLAN ID 備注
Cisco2948G-L3(網絡中心,IP為172.18.1.254/24)
1~3 1、3、4、5 連接到實驗樓學生機房主交換機上行端口
4~6 1、7 連接到教學樓主交換機上行端口
7~20 1、6 連接到實驗樓辦公室主交換機上行端口
21~48 1 網絡中心
教學樓VLAN劃分
端口 VLAN ID 備注
Cisco2950(教學樓,IP為172.18.1.251/24)
1~3 1、7 連接網絡中心下行端口
4~24 7
實驗樓辦公室VLAN劃分
端口 VLAN ID 備注
Cisco2950(實驗樓辦公室,IP為172.18.1.250/24)
1~3 1、6 連接網絡中心下行端口
4~24 7
實驗樓實驗室VLAN劃分
端口 VLAN ID 備注
Cisco2950(實驗樓實驗室,IP為172.18.1.249/24)
1~3 1、11 連接網絡中心下行端口
4~24 11
學生宿舍VLAN劃分
端口 VLAN ID 備注
Cisco2950(學生宿舍,IP為172.18.1.248/24)
端口 VLAN ID 備注
1~3 1、2 連接網絡中心下行端口
4~8 8
9~16 9
16~24 10
各種設備IP地址表
主機名 設備 IP配置 備注
防火墻1 外部口S0:192.168.254.2/30
內部口e0:172.18.1.253/24
防火墻2 外部口S0:172.18.252.2/30
內部口e0:172.18.1.251/24
網絡中心交換機Cisco2948G-L3 IP:172.18.1.254/24
網關:172.18.1.254/24 網絡管理IP
教學樓交換機Cisco2950 IP: 172.18.1.251/24
網關:172.18.1.254/24 網絡管理IP
實驗樓辦公室Cisco2950 IP: 172.18.1.250/24
網關:172.18.1.254/24 網絡管理IP
實驗樓學生機房Cisco2950 IP: 172.18.1.252/24
網關:172.18.1.254/24 網絡管理IP
主機名 設備 IP配置 備注
實驗室Cisco2950 IP: 172.18.1.249/24
網關:172.18.1.254/24 網絡管理IP
數據服務 IP:172.18.1.254/24
網關:172.18.1.254/24
vod.ncxy.省略 VOD服務 IP:172.18.1.1/24
網關:172.18.1.253/24
dns.ncxy.省略 DNS服務 IP:172.18.1.1/24
網關:172.18.1.254/24
dhcp.ncxy.省略 dhcp服務 IP:172.18.1.1/24
網關:172.18.1.254/24
ncxy.省略 WEB服務 IP:172.18.1.1/24
網關:172.18.1.254/24
ftp.ncxy.省略 FTP服務 IP:172.18.1.1/24
網關:172.18.1.254/24
1.3 交換機的VLAN配置
在交換機上配置VLAN就是分別在圖文信息中心的Cisco2948G-L3核心交換機,實驗樓學生機房、實驗樓辦公室、教學樓的Cisco2950交換機上進行配置。初始狀態下交換機是通過超級終端進行配置的。
為了配置方便,現定義各個VLAN交換機的hostname,學生機房1:computer-room1, 學生機房2:computer-room2, 學生機房3:computer-room3,辦公室office;閱覽室reading-room;實驗室:laboratory;教學樓:classroom-building;學生宿舍:dormitory。
交換機的超級終端配置是一種基本的配置,連接如圖所示,接好PC和交換機各自的電源線,在未開機的條件下,把PC的串口1(COM1)通過控制臺電纜(Console電纜)與交換機的Console口相連,完成PC和交換機的連接工作。交換機Console口的默認參數如下,端口速率:9600bps;數據位:8;奇偶校驗:無;停止位:1;數據流控制:無。根據Console口的默認參數,配置PC的超級終端時要將端口的屬性和上述參數相匹配,匹配后就可以訪問交換機。
圖1.3-1仿真終端與交換機連接
圖1.3-2 仿真終端端口參數
1.3.1圖文信息中心交換機Cisco2948G-L3配置
1.交換機基本配置(hostname及口令)
Switch>
Switch>enable
Switch#
Switch#config terminal
Switch(config)#hostname cisco2948
cisco2948 (config)#enable password ncxy
cisco2948 (config)#enable secret ncxy1
cisco2948 (config)#end
cisco2948 (config)#line con 0
cisco2948 (config-line)#password cisco2948
cisco2948 (config-line)#login
cisco2948 (config-line)#line vty 0 15
cisco2948 (config-line)#login
cisco2948 (config-line)#password cisco2948
cisco2948 (config-line)#end
cisco2948#
2.創建并分VLAN
Switch>
Switch>enable
Switch#
Switch#config terminal
Switch(config)#hostname cisco2948
cisco2948(config)#exit
cisco2948#vlan database
cisco2948 (vlan)#vtp mode server
cisco2948 (vlan)#vtp domain ncxy
cisco2948 (vlan)#vlan 2 name reading-room
cisco2948 (vlan)#vlan 3 name computer-room1
cisco2948 (vlan)#vlan 4 name computer-room2
cisco2948 (vlan)#vlan 5 name computer-room3
cisco2948 (vlan)#vlan 6 name office
cisco2948 (vlan)#vlan 7 name classroom-building
cisco2948 (vlan)#vlan 8-10 name dormitory
cisco2948 (vlan)#vlan 11 name laboratory
cisco2948 (vlan)#vlan apply
Apply complete
cisco2948 (vlan)#exit
cisco2948#
配置VLAN的IP地址,激活VLAN配置
VLAN1配置
cisco2948#config terminal
cisco2948 (config)#interface vlan 1
cisco2948 (config-if)# ip address 172.16.1.254 255.255.255.0
cisco2948 (config-if)#no shutdown
cisco2948 (config-if)#exit
VLAN3配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 2
Cisco2948 (config-if)# ip address 172.16.2.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN4配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 3
Cisco2948 (config-if)# ip address 172.16.3.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN5配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 4
Cisco2948 (config-if)# ip address 172.16.4.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN6配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 6
Cisco2948 (config-if)# ip address 172.16.6.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN7配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 7
Cisco2948 (config-if)# ip address 172.16.7.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN2配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 8
Cisco2948 (config-if)# ip address 172.16.8254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
配置VLAN端口
1.分別給 vlan 3 vlan4 vlan5 添 加端口
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950computer-room
Cisco2948(config-if)#swichport access vlan 2
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 3
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 4
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 5
Cisco2948(config-if)#exit
2.給VLAN 7添加端口
Cisco2948(config)#int fa0/4-6
Cisco2948(config)#description connection to 2950classroom-building
Cisco2948(config-if)#swichport access vlan 7
Cisco2948(config-if)#exit
Cisco2948#config t
3.給VLAN 6添加端口
Cisco2948(config)#int fa0/7-20
Cisco2948(config)#description connection to Intel530office
Cisco2948(config-if)#swichport access vlan 6
Cisco2948(config-if)#exit
1.4 應用服務器配置
1.4.1 windows server2003安裝
對于新服務器來說硬盤上沒有操作系統,我們要按照操作系統,按照我們的選擇,我們安裝的是windows server2003操作系統。windows server2003操作系統的安裝非常的簡單,只需要安裝提示一步一步進行下去。在設置授權模式頁面,我們選擇“每服務器。同時連接數”選框,再根據NC職業學院客戶端計算機數據合理配置連接數。
圖1.4.1-1 設置授權模式
安裝好操作系統后重新啟動計算機,首先設置服務器的IP地址,操作步驟如下1.單擊“設置設置網絡連接”,打開網絡連接對話框。2.右鍵單擊“本地連接”,選擇“屬性”命令,打開本地連接的設置對話框。3.在“常規”選項卡中,選中“Internet 協議(TCP/IP)”,
如圖1.4.1-3所示,單擊“屬性”按鈕,4.如圖1.4.1-4所示,選中“使用下面的IP地址”,并把IP地址設置已以規劃好的地址,子網掩碼會自動設置,把默認網關設置為172.18.1.254,首選服務器設置為172.18.1.1,備用DNS服務器地址設置為ISP提供的DNS服務器,南昌地區的為202.101.224.68,單擊“確定”,按鈕。5.回到本地連接對話框,單擊“確定”按鈕使配置生效。
圖1.4.1-2 網絡連接窗口
圖1.4.1-3本地連接屬性
圖1.4.1-4本地連接屬性
1.4.2 安裝DNS服務器
DNS是域名解析服務器的簡稱,它的功能是在域名和IP地址之間進行轉換,它可以把難記的IP地址轉換成人們易于記憶的域名,在校園網內提供網內的FTP服務,web服務,如果不適用DNS服務器,那么必須要記住IP地址,然而IP地址是不便于記憶的。若安裝了DNS服務器,就可以通過域名訪問相應的IP地址了。
一、 安裝DNS服務
1. 單擊“開始程序管理工具管理您的服務器向導”,啟動管理服務器向導,如圖1.4.2-1所示
2. 選擇“添加或刪除角色”,操作系統在檢查完網絡設備后,出現一個“配置您的服務器向導”,如圖1.4.2-2所示,這里我們選擇DNS服務器,再單擊“下一步”按鈕。
3. 啟動后要求用戶插入windows server2003系統光盤,插入光盤后,我們單擊“確定”確定。
圖1.4.2-1“管理您的服務器”向導
圖1.4.2-2“配置您的服務器向導”界面
4. 系統復制文件并安裝DNS服務器,如圖1.4.2-3所示
5. 安裝完后,出現配置DNS服務器向導界面,如圖1.4.2-4所示,單擊“下一步”按鈕進行DNS服務器配置,
6. 在“選擇配置操作”界面,我們選擇“只配置根提示(只適合高級用戶使用)(C)”單擊“下一步”按鈕,如圖1.4.2-5所示
圖1.4.2-3 “windows安裝―正在安裝DNS服務器”界面
圖1.4.2-4“配置DNS服務器向導”界面
圖1.4.2-5“選擇配置操作”界面
7.在“主服務器位置”界面,我們選擇“這臺服務器維護該區域(T)”選框,將該DNS服務器作為主DNS服務器使用,并單擊“下一步”按鈕,如圖1.4.2-6所示
圖1.4.2-6 主服務器位置配置
8.在區域名稱對話框中輸入能夠反映NC職業學院的名稱,我們輸入ncxy.省略,并單擊“下一步”按鈕,如圖1.4.2-7所示
圖1.4.2-7 區域名稱界面
9.動態跟新界面,選擇“不允許動態更新(D)”單擊“下一步”按鈕,如圖1.4.2-8所示
圖1.4.2-8 動態更新
10.“正在完成配置DNS服務器向導”界面,單擊“完成”按鈕,如圖1.4.2-9所示
圖1.4.2-9 正在完成配置DNS服務器向導
11.最后一步,單擊“完成”如圖1.4.2-10
圖1.4.2-10此服務器現在是DNS服務器
1.4.3 域控制器安裝
1.如同安裝DNS服務器一樣,啟動“管理您的服務器向導”并單擊“添加或刪除角色”
2.在“配置您的服務器向導”頁面中選擇“域控制器(Active Directory)”然后單擊“下一步”按鈕。如圖1.4.3-1所示
圖1.4.3-1 服務器角色
3.在“選擇總結”界面單擊“下一步”按鈕如圖1.4.3-2所示
圖1.4.3-2 選擇總結
4.在彈出的“Active Directory安裝向導”界面中單擊“下一步”按鈕,如圖1.4.3-3所示
圖1.4.3-3 Active Directory安裝向導
5. 彈出“操作系統兼容性”界面,單擊“下一步”按鈕,如圖1.4.3-4所示
圖1.4.3-4 操作系統兼容性
6. 選擇“域控制器類型”,如圖1.4.3-5所示,我們選擇“新域的域控制器”,單擊“下一步”
圖1.4.3-5 域控制器類型
7. 彈出“創建一個新域”,要我們選擇創建域的類型,如圖1.4.3-6所示,這里我們選擇“在新林中的域”選框,單擊“下一步”按鈕
圖1.4.3-6創建一個新域
8.“新的域名”窗口,這里我們輸入新域的名稱,我們輸入domain.ncxy.省略,單擊“下一步”,系統給出一個提示,單擊“確定”即可。如圖1.4.3-7所示
圖1.4.3-7新的域名
9.設置NetBIOS域名,我們使用默認值,如圖1.4.3-8所示
圖1.4.3-8NetBIOS域名
10.彈出“數據庫和日志文件文件夾”對話框,使用默認設置就可以,如圖1.4.3-9所示,單擊“下一步”按鈕
圖1.4.3-9數據庫和日志文件文件夾
11.打開“共享的系統卷”對話框,保留默認設置,如圖1.4.3-10所示
圖1.4.3-10共享的系統卷
12.彈出“DNS注冊診斷”對話框,系統有一個診斷過程,通知用戶無法更新DNS區域授權,我們選中“我將在以后通過手動配置DNS來更正這個問題(c)”,單擊“下一步”如圖1.4.3-11所示
圖1.4.3-11DNS注冊診斷
13.在“權限”對話框,選擇用戶和組對象的默認權限,選擇“只與windows 2000或windows server 2003操作系統兼容的權限”,單擊“下一步”按鈕,如圖1.4.3-12所示
圖1.4.3-12權限
14.設置目錄服務還原模式的管理員密碼,如圖1.43.-13所示,單擊“下一步”按鈕
圖1.4.3-13目錄服務還原模式的管理員密碼
15.彈出“摘要”,對話框,單擊“下一步”按鈕,如圖1.4.3-14所示,
圖1.4.3-14 摘要
16.安裝完成,如圖1.4.3-15所示,單擊“完成”
圖1.4.3-15 完成界面
17.此服務器現在是域控制器,如圖1.4.3-16所示
圖1.4.3-16
1.4.4 DNS配置
1.啟動DNS服務器管理程序,單擊服務器名,展開,選擇“正向查找區域”,右擊選擇“新建區域”,如圖1.4.4-1所示
圖1.4.4-1 新建正向查找區域
2.區域類型選擇主要區域,如圖1.4.4-2所示
圖1.4.4-2 區域類型
2 在Active Directory區域復制作用域選框中選擇“至Active Directory域domain.ncxy.省略中的所有域控制器”如圖1.4.4-3所示
圖1.4.4-3 區域復制作用域
3 區域名稱中設置新的區域名稱,輸入ncxy.省略,如圖1.4.4-4所示
圖1.4.4-4 區域名稱
4 動態跟新選擇不允許動態跟新如圖1.4.4-5所示,單擊下一步
圖1.4.4-5 動態跟新
5 正在完成新建區域向導,單擊完成,如圖1.4.4-6所示
圖1.4.4-6 完成新建區域
6 在DNS管理器中,右擊剛才建立的區域名,選擇新建域,在彈出的新建DNS域對話框中輸入ncxy.省略,如圖1.4.4-7所示
圖1.4.4-7 新建DNS域
7 建立反向查找區域,反向查找的功能是實現IP地址到域名的轉換,在DNS管理器中右擊反向查找區域,選擇新建區域,進入新建區域向導,如圖1.4.4-8所示,單擊“下一步”按鈕
圖1.4.4-8 新建區域向導
8 新建反向查找區域和正向查找區域基本一致,在反向查找區域名稱對話框中輸入網絡ID,如圖1.4.4-9所示,其他過程不再簡述。
圖1.4.4-9 反向查找區域名稱
9 建立域名與FTP服務器IP地址的對應,在DNS管理器中右擊我們新建的域名,選擇“新建主機”,彈出“新建主機”對話框,如圖1.4.4-10所示
圖1.4.4-10新建FTP服務器主機
10 建立域名與dhcp服務器IP地址的對應,如圖1.4.4-11所示
圖1.4.4-11新建dhcp服務器主機
13. 建立域名與web服務器IP地址的對應,如圖1.4.4-12所示
圖1.4.4-12新建web服務器主機
14.建立域名與vod服務器IP地址的對應,如圖1.4.4-13所示
圖1.4.4-13新建vod服務器主機
15.配置好DNS服務器后,NC職業學院的其他客戶機的DNS服務器地址必須指向配置的DNS服務器的IP地址,只有這樣才能使用DNS功能。如圖1.4.4-14所示
圖1.4.4-14客戶機配置
1.4.5 web服務器配置
1.安裝IIS6.0和WEB組件IIS6.0默認沒有安裝,我們可以在控制面板的雙機“添加或刪除程序”,選擇“添加/刪除windows組件”,如圖1.4.5-1所示
圖1.4.5-1添加或刪除程序
2.在windows組建向導對話框勾選應用程序服務器,單擊“詳細信息(D)”,如圖1.4.5-2所示
圖1.4.5-2windows組件向導
3.勾選Internet信息服務(IIS),單擊“詳細信息”,如圖1.4.5-3所示
圖1.4.5-3應用程序服務器
5. 選擇“萬維網服務”,單擊“確定”按鈕,如圖1.4.5-4所示
圖1.4.5-4萬維網服務
6. 依次單擊“確定”,插入安裝光盤,開始安裝,如圖1.4.5-5所示
圖1.4.5-5安裝IIS
7. 完成安裝,如圖1.4.5-6所示
圖1.4.5-6完成安裝IIS
8. 新建WEB站點如圖1.4.5-7所示
圖1.4.5-7新建站點
9. 網站描述,如圖1.4.5-8所示
圖1.4.5-8站點描述
10. IP地址和端口設置,如圖1.4.5-9所示
圖1.4.5-9IP地址和端口設置
11. 網站主目錄設置,如圖1.4.5-10所示
圖1.4.5-10網站主目錄
12. 網站訪問權限設置,如圖1.4.5-11所示
圖1.4.5-11網站訪問權限
13.設置站點的參數比較簡單,這里不再簡述,只需要按照提示一步步進行下去就行。
1.4.6 FTP服務器配置
1.下載Serv-U并安裝,打開程序
2.單擊“新建域”按鈕,進入域向導界面,如圖1.4.5-1所示,輸入站點名稱和描述信息,單擊“下一步”按鈕
圖1.4.5-1新建域1
3.進入“域向導_步驟2總步驟4”界面,配置各種協議的端口號,這里使用默認的端口號,如圖1.4.5-2所示,單擊“下一步”按鈕
圖1.4.5-2新建域2
4.設定新建FTP站點的IP地址,如圖1.4.5-3所示,單擊“下一步”按鈕
圖1.4.5-3新建域3
5.設置密碼加密模式,我們采用默認的設置,如圖1.4.5-4所示,單擊“完成”按鈕
圖1.4.5-4新建域4
7. 新建FTP站點之后就可以添加用戶賬戶,進入“用戶向導_步驟1總步驟4”,輸入登錄ID,單擊“下一步”按鈕,如圖1.4.5-5
圖1.4.5-5創建用戶1
8. 設置用戶密碼,如圖1.4.5-6所示,單擊“下一步”按鈕
圖1.4.5-6創建用戶2
9. 設置根目錄,如圖1.4.5-7所示,單擊“下一步”按鈕
圖1.4.5-7創建用戶3
10設置訪問權限,如圖1.4.5-8所示,單擊“完成”按鈕
.
圖1.4.5-8創建用戶8
10. 雙擊新創建的用戶名,彈出“用戶屬性”對話框,如圖1.4.5-9所示,我們可以管理用戶賬戶,可以讓用戶更方便的使用FTP站點,增強FTP站點的安全性,我們可以點擊不同的選項卡,進行不同的設置,這里不再介紹。
圖1.4.5-9用戶屬性設置
1.4.7VOD服務器配置
1.下載并安裝美萍VOD點播系統,安裝非常的簡單,只需單擊“下一步”即可,如圖1.4.6-1所示
1.4.6-1 美萍VOD點播系統安裝
2.安裝完后打開程序,出現如圖1.4.6-2的界面,系統默認提供了電影,音樂,電視劇等分類,每種大的類型下還有許多的小類型
1.4.6-2 美萍VOD點播系統主界面
3.打開小類,里面還是空的,把我們要添加的內容直接拖進右邊即可,如圖1.4.6-3所示
1.4.6-2 美萍VOD點播系統添加界面
4.通過系統設置對話框可以設置系統的相關屬性,是系統更好的工作,如圖1.4.6-3所示
1.4.6-3 美萍VOD點播系統系統設置界面
5.客戶機可以不需要安裝客戶端程序,只需要安裝有較新版本的IE瀏覽器即可,在地址欄輸入服務器IP地址和端口號即可,端口號默認為6666,。
1.4.8DHCP服務器配置
DHCP是動態主機配置協議,可以動態的分配IP地址,對于需要固定ID地址的服務器和主機,我們在配置是要保留這些IP地址,是IP地址和他們的MAC地址綁定起來。其他可以自由分配的IP地址可以放在地址池中以供分配。配置非常的簡單,配置界面非常的人性化,在此不再累述。
1.4.9郵件服務器配置
NC職業校園需要提供郵件服務,因此要架設郵件服務器,我們選擇架設基于Exchange Server 2003的電子郵件服務器。首先安裝Exchange Server 2003,在安裝之前要在系統中安裝NNTP和SMTP兩種服務。安裝過程和DNS和FTP等的安裝過程類似,不再介紹。
Exchange Server 2003的安裝也是非常的簡單,就是需要比較長的時間。默認情況下,Exchange Server 2003將使用windows Server 2003的用戶庫作為自己的用戶庫,這并不意味著所有的用戶都有自己的郵箱,所以還需要手動為其他用戶建立郵箱。
建立電子郵箱非常的簡單,只需要安裝提示一步一步進行,新建用戶,設置密碼,創建郵箱,檢查用戶信息,新建之后還可以設置用戶郵箱的屬性。
可以使用兩種方法通過Exchange Server 2003服務器收發郵件。一種是通過OFFICE中的Outlook Express收發郵件,一種是直接使用IE瀏覽器收發郵件。
參考文獻
[1] 雷震甲.網絡工程師教程(第三版).北京:清華大學出版社,2009
[3] 易建勛.計算機網絡設計.北京:人民郵電出版社,2007
[4] 馬海英. 計算機網絡及應用. 北京:化學化工出版社,2007
[5] 謝希仁. 計算機網絡(第5版). 北京:電子工業出版社,2008
[6] 石志國,薛為民,尹浩. 計算機網絡安全教程(修訂本). 北京:北方交通大學出版社,2007
第2篇:校園網設計方案范文
關鍵詞: 校園網;無線局域網;設計
中圖分類號:G728 文獻標識碼:A 文章編號:1671-7597(2012)1120080-02
1 概述
1.1 設計要求
根據惠州經濟學院的無線局域網應用與建設實際,無線局域網在網絡安全上,網絡管理上,傳輸速率上與有線局域網相當。
首先,大學校園網的組建,應同時具備無線網絡和有線網絡,以支撐校園網內用戶的不同需求。當前條件下,應以有線網絡為主,并擴大無線局域網的使用,分不同的應用需求與教學需要,結合無線網絡與有線網絡的優點,進行科學的搭配組合。
其次,無線局域網傳輸的穩定性、網絡傳輸的速度、網絡安全性達到較高的要求。同時,在校園網中,無線網絡與有線網絡并存的狀態,應采取分網段IP地址管理策略,以實現網絡的安全。
最后,無線網絡應進行加密,以此實現最大限度的保護無線網絡中信息的安全,使其傳輸不受破壞,并能滿足1200臺終端機入網需求。
1.2 設計方案
采用接入無線交換機和Fit AP的方式進行局域網設計。主要部分包括了無線網絡控制器、瘦無線接入點(Fit AP)、網絡管理服務器。全部設備連接在一起,以無線網絡控制器為接入設備,瘦AP為接入邊界,構建能夠支持統一的管理、移動和安全為一體等無線網。這一設計方案能發揮無線組網的靈活性和擴展性,運用RF管理的智能化,能實現集中式的網絡管理,使網絡具有良好的漫游性能,并能支持系統的自動部署與故障恢復,也能實現良好的負載均衡。
根據要求設計無線局域網,由無線交換機接入Internet網絡,然后接入AP控制器,再接兩個核心交換機,核心交換機與服務器群連接。整個校園將被分成三個區域公布層交換機,每個分布層交換機接入相應數量的接入交換機,最后接入多個單純的無線AP(瘦AP)進行實地覆蓋,如圖1所示。實現的無線局域網要在同一時間能滿足1200臺終端機移動連接。以考慮1200臺電腦都可以移動則采用多個AP頻率規劃實現對區域的全覆蓋以及高帶寬提供,用戶可熱點內在不同AP間實現無縫切換,考慮到頻段干擾問題,相鄰AP不能選用同樣的Channel,并且Channel號最差要相差5,也就是構成小區的任意三個相鄰的AP的Channel設置為1、6、11。選用支持802.11n的無線AP進行區域覆蓋,帶寬達到300M此區域可滿足幾十臺移動電腦接入網絡,用幾個這樣的無線路由器就可以滿足要求。為了實現無線網絡連接的統一,WLAN必須保證各連接的建筑物均能同時保持良好的視線。因為如果有樹木、高樓等障礙物的話,會影響到無線網絡的信號傳輸,導致網絡性能的受損,而遠距離區域則建議采用中繼器進行鏈接傳送。
在校園網中,任何一個AP范圍內,其無線連接采用共享模式,因此其無線終端不能太多,否則會導致所分享的帶寬過小。每個無線終端的傳輸速率或若干無線終端的速率之和,不能超過單個AP的帶寬上限,以保證網絡的順暢。每個AP覆蓋能提供20臺終端機接入,設置分配每臺終端機的帶寬為2M,并加以控制管理。那每個AP的出口帶寬為40兆,由于接入交換機的設備共享帶寬,那本方案的設計所需出口帶寬為40M以上,合計容納1200臺終端機。硬件設備包括:四臺無線交換機,四臺核心交換機,分由六臺分布層交換機,再用到十二臺POE接入交換機,無線AP用到60個左右。若需拓展網絡則可以添加AP。本設計所需的硬件設備如下:4臺MX-200R智能無線交換機、4臺H3C U200-CA核心交換機、6臺Catalyst 3550分布層交換機、12臺LREtrans 4200 POE交換機、60臺無線AP TP-LINK TL-WA801N。
2 無線局域網的網絡管理
2.1 RF智能控制管理
采用RF智能系統控制管理可以自動調節網上所有AP的電波特性,自動對網上所有AP的無線電波管理。
無線交換機能夠實現無線校園網中傳輸信號的偵測和記錄。一旦某AP范圍內的無線信號受到影響,如AP受到基本一電波信號的干擾,則無線交換機會立即對干擾電波進行采樣分析,以定位其來源,然后再與AP的無線信號進行比較,以決定是否對其進行調整。
2.2 全局性的安全管理
以往無線局域網一般是單純基于AP,因此無線網絡的管理、安全配置工作很多要在AP上進行設置和更改。在此無線網絡的設計中,融合了VPN、防火墻、安全認證、病毒防護、入侵監測以及RF電磁波管理等安全功能,并將這些工作匯聚到無線交換機上,通過交換機管理模塊來實現全局性的安全管理。這就克服了無線網絡對安全的分散管理的不足與缺點,增強了無線用戶使用網絡的安全感,也降低了對有線網絡安全的依賴性。
在無線交換機管理模式基礎上,實現對整個網絡的安全管理,對于網管人員來說,其工作量也大為減少,僅需連接到無線交換機上,就可開通、管理、維護所有AP設備以及移動終端,包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶等,均可在無線交換機上“一站式”的完成。
3 無線局域網的安全認證與防范
3.1 多種用戶認證方式和用戶狀態防火墻
一個無線用戶進入無線網以后,會拿到一個最基本的入網權限,這個權限不容許用戶訪問任何網段,只讓用戶通過DHCP獲取IP地址、傳送DNS協議數據包,通過認證以后才可以接入無線校園網。當前,能支持無線網絡用戶認證的方式較多,可選的軟件也較多,諸如802.1認證、WEB認證、MAC認證、SSID認證、VPN認證方法,均可用于無線網絡的實際運行中。惠州經濟學院在自身網絡運用的基礎上,選擇了802.1認證方法,在服務器上安裝了銳捷網絡接入認證軟件的服務器端,使得整個校園網內的用戶可隨時隨地通過認證接入網絡。
此外,為了進一步加強對無線網絡的安全防范,無線網絡采用了用戶狀態防火墻,并將其與用戶認證程序捆綁后使用,當無線用戶通過認證后,用戶狀態防火墻會為其提供默認的若干防火墻規則,運用于用戶的無線終端中,不同的無線用戶通常適用不同的防火墻規則。
3.2 AP安全防護與偵測
由于AP暴露于無線網絡中,應采用RF的偵測功能,對AP啟用有效的保護,為此可實時監測整個校園的無線網覆蓋區域,將所有AP接入納入偵測范圍,并與其附近的AP、設置錯誤的AP和未授權的AP進行區分。無線網絡通過安全管理系統,可幫助網絡安全管理人員及時、有效的發現是否存在非法的AP接入與破壞性的數據信息,一旦發現此類安全狀況,則立即開啟系統的自我保護體系,防止無線終端通過非法AP連接,從而對無線網絡的運行造成安全威脅。
對于用戶認證,無線網絡的接入認證和加密防范可在無線交換機上實現,而瘦AP是不儲存任何網絡配置(IP地址除外)和安全設置。因此管理的AP是不能單獨工作的,因此獲得和接入進AP,黑客也不會拿到無線網的網絡和安全配置參數。
3.3 無線接入的安全防范
無線終端安全防范主要是預防病毒,因此需要對接入終端進行接入檢查。在無線終端接入網絡后,需要用戶進行身份認證,并同時下載一個基于JAVA的檢測程序,該程序對無線終端進行系統性的檢測,通過檢測后,提醒用戶安裝系統安全補丁、病毒防護軟件,在訪問網絡時能提醒用戶對病毒庫進行升級。如無法通過檢測,則對無線終端的系統安全漏提醒若干建議,并暫時禁止其訪問網絡。同時,要加強對無線終端的認證管理,校園網可通過一一對應的用戶賬號與密碼,來管理不同的用戶。在網上準備一臺升級服務器,將系統補丁、防病毒軟件、安全認證軟件、系統檢測程序、安全監控程序均放置于該服務器上,當無線終端不具備接入條件時,可將其導向連接到該服務器,在安裝了服務器提供的程序后再進行新一輪的檢測,當無線終端通過接入檢查,再啟動網絡監控程序,對終端的數據信息進行安全監控。
綜上所述,根據惠州經濟學院的無線局域網的運行要求,在實際中進行了此無線網的設計,架構無線局域網應根據選型來組建,在構建過程中應盡量考慮采用專業設施及投入,同時也應考慮無線網絡的支撐系統的持續能力,以減少網絡運行中的問題,保證網絡性能的發揮。
參考文獻:
[1]張棟軼,無線局域網技術與實現[J].科技信息,2011.15.
第3篇:校園網設計方案范文
關鍵詞 中學校園;中小型機房;班班通;校校通;數字校園
中圖分類號:G637 文獻標識碼:B
文章編號:1671-489X(2017)09-0022-02
1 前言
中學中小型機房建設對于學校信息化應用具有重要保障作用,是學校信息化建設工作的一個重要節點。隨著計算機多媒體網絡通信技術越來越廣泛的應用,加強機房建設和管理可以更好地保障信息化設施為教學發展服務,提高學校的管理水平、教學水平、技術素質和工作效率。實現學校教學和教學管理信息化,要切實重視機房建設,包括管理與維護。
2 機房建設和管理是剛性需求
隨著學校計算機課程的普及,網絡教室建設,信息化教學方式的應用,數字校園正在成為一種新的學校形態和發展趨勢,深刻改變傳統學校的面貌。學校機房建設和管理、維護,在這一進程中具有重要的保障功能。
良好的機房運行可保障學校信息化設施暢通無阻、穩定高速,可以高效進行現代化網絡辦公和學校內部的即時溝通,輕松實現學校對校園網的管理。機房良好的多媒體承載能力,保證了網絡教室、語音功能教室、電子閱覽室等網絡教學資源的共享,具備快速處理學生網絡電子檔案、網絡作業并保存相關信息的能力,滿足多媒體教學的需要。
中小型機房切合中學校的實際應用需求,體現了學校特點,組建一個良好的中小型機房是學校信息化發展的現實需求。
3 機房總體設計的指導思想
機房對教學信息化應用過程、學校的日常信息管理(包括教學資料和學生檔案、網絡作業等)提供直接支持,是學校各類信息的網絡管理中心。機房建設須按照實際情況進行選擇與實施。
實用原則,滿足實際的功能需要 機房建設要切實做到從實際需要出發,在方案設計中充分體現“以人為本”,以有效發揮全部功能,并且有一定前瞻性,考慮未來發展需要為標準,“夠用”“實用”“可擴展”為基本要求。
具備的功能:支持利用FTP服務實現資料的傳輸以及學校、班級或個人主頁的上傳;支持實現能夠共享資源的教育資源庫,供師生檢索、查詢;支持實時或非實時方式的遠程多媒體教學,進行視頻會議;支持建立學校網站,可利用外部網學校信息,提供各類咨詢信息等;可利用內部網進行管理,如通知、收集學生意見等。
濟耐用 機房不僅要兼顧美觀、實用,而且要本著嚴謹科學的態度,管理機房基礎設施建設,認真核定建設成本,做到投入合理、費用明晰、支出有序,避免造成資金浪費。機房建設的資金投入一般是比較大的,學校應從穩定性、反應速度、擴展性和管理能力等眾多方面綜合考慮,切實把握學校的應用需求和特點,合理安排資金,做好建設規劃。
高效暢通,具備快速處理相關信息的能力 校園網首先應是技術先進、覆蓋全校的校園網絡環境,即“班班通”,同時也是分布、開放的大網絡環境,即“校校通”。學校師生出于教學過程的需要,往往會連接校園因特網進行資料查詢,這是師生快速獲取資料的最佳途徑。機房要具有將各種工作站及終端,通過高性能的網絡設備連接的功能,設計上應該使軟硬件在系統充分適應信息化要求的基礎上,使各個組成部分相互實現有效配合,以充分發揮出信息平臺的作用。
機房應支持同時啟用校園網監控系統,并保障系統的正常穩定運行,及時排查故障,避免出現重復、設備丟失和損壞,造成不必要的損失;實施對校園網的網絡監控、流量監控,對用戶使用互聯網的情況進行管理和控制,避免一些用戶濫用軟件占用帶寬,拖慢其他用戶瀏覽網頁的速度。利用防火墻技術,阻止非法用戶訪問網絡資源,保證數據傳輸、存儲的安全。
及時升級更新設施技術 學校機房需要全天候進行大量資料的更新、上傳、下載,越來越頻繁的網絡運行傳輸,需要與時代同步,適時采用先進的網絡通信技術支持。
管理者應不斷跟蹤國內外的最新計算機多媒體網絡通信技術動態,適應系統管理目標的發展特點及網絡通信技術的更新換代,使主機系統的選擇、網絡結構的設計、網絡的管理和連接方式等,始終保持一定的先進性。可以通過適時升級校園網的服務器等對機房進行更新管理,做到與技術發展同步,方便適用。
加強機房建設綜合質量管理 機房建設集建筑施工、設備安裝、電氣敷設、網絡連接等多個項目環節于一體,其整體工程質量的優劣直接關系到機房系統能否穩定可靠運行,各類信息通信能否暢通無阻,操作人員能否有一個安全無隱患的工作環境。為切實保障機房的建設質量,要注重綜合管理,加強專業監管,保證每一個環節都適應機房運行要求。機房基礎設施建設,如設備運行環境、安全防護設施、電力供配狀況、消防滅火報警、防盜報警裝置、防雷接地自動監視控制處理系統等,一定要在一個安全運行的空間里。
4 主要網絡設備的選擇原則
一個合格的機房,應該是一個實用、安全可靠、節能高效的機房。根據已制定的機房設計原則,學校選擇的網絡設備在硬件上,必須保證設置的計算機、網絡等設備能長期運行;軟件要采用技術成熟的產品選型,達到安全、耐用的目的。主要網絡設備必須具有以下四個特點。
質量安全、性能可靠 網絡設備是整個校園網絡系統的硬件基礎,是確保校園網絡系統穩定運行的物質基礎,對于安全性、穩定性和可靠性具有較高的要求。因此,在選擇網絡設備的時候需要嚴把質量關,優先選擇被用戶廣泛認可的知名網絡產品,并按照相關標準對相關設備進行檢測,確保質量達標。
技術上先進 機房所選擇的網絡設備應該采用時下較為先進的技術,使主機系統、網絡結構設計、網絡管理和連接方式具有一定的先進性,確保網絡設備在未來較長的時間內不會由于技術原因而被淘汰。在未來校園機房升級改造時,如果這些網絡設備難以滿足負荷要求,還可以降級使用,避免資源的浪費。
具備優良的擴展功能 機房必須具有良好的靈活性與可擴展性,具備支持技術升級、設備更新、多種網絡傳輸、多種物理接口的能力。為了避免不必要的重復投資,最好能夠根據需要,做到在網絡技術進一步發展,現有模塊不支持新技術的情況下,只需要更換相應模塊,而不需要更換整個設備。
便于管理,維護方便 機房的網絡系統要具有良好的可管理性,為用戶提供友善的管理界面,安裝、使用方便,還需要相配套的科學合理的管理措施,才可以充分發揮網絡設備的效用。因此,選擇的設備應該可以支持現有的、常用的網絡管理協議和多種網絡管理軟件,還要便于進行故障定位和檢修,便于管理人員的維護。
5 網絡教學系統的多樣化功能
機房建設的設計,應充分考慮學校現有教學設備的實際情況,采用的先進技術應盡可能覆蓋這些設備設施,網絡要做到全覆蓋,包括所有的辦公室、教室、多功能視聽網絡教室以及師生宿舍等,實現合理分配教學資源,學校管理工作和教學活動的全方位信息化,為學校信息化教學發展提供有力支持,實現多媒體互動教室、計算機網絡教室、多功能演播廳、視訊點播電子閱覽室、電子備課室、信息中心等設施及設備的教學應用。
完善、運行良好的中學機房最終應能實現教師機與學生機之間的多媒體教學功能,滿足教師和學生平時上課所需;運行常用軟件如Office、平面設計、網頁制作、動畫設計軟件和程序設計軟件、數據庫軟件等。學生可以在機房利用計算機做一些和課程有關的模擬實驗,以鍛煉自己的想象力和實際動手能力,還可以擴充學習課外知識,如網絡在線培訓、課件制作、多媒體制作、互聯網、計算機語言等。
第4篇:校園網設計方案范文
【關鍵詞】校園網;數據整合;中間件整合技術
1.引言
伴隨著網絡的迅猛發展,信息技術得到了前所未有的發展和應用,在信息技術發展中,開發者和使用者逐步認識到,數據是信息技術中的應用核心,沒有數據的系統,是沒有任何意義的硬件和軟件的疊加如同沒有生命的軀體,只有加上了數據在上面流通,如軀體有了血液,才有實際意義。同時為了保證系統的未定性和可用性,數據就需要有完整性、準確性、安全性、完整性等。
校園信息化從上世紀90年代開始快速發展,由于早期對數據預期不足,開發人員個體差異等各種原因,數據重復,凌亂、冗余、關聯性不夠等相關問題接踵而至。就長江職業技術學院來說,經過多年的信息化建設,學院在不同階段因為不同業務的需求,搭建了大量不同業務的系統,伴隨著系統也產生了大量的數據,在開發過程宏由于技術、需求的原因,從單個軟件系統的應用的角度看,這些數據均具有較高的完整性、準確性、安全性、一致性、可用性都不成問題,但整個學院的校園網絡來看,對于不同的領導、部門、科室,多個業務系統數據存在交叉,數據存在著種類多、關聯性差、無同步性。整體表現為缺少統一規劃和集中管理,標準化不高,大量無效冗余等問題。相關數據只為單個系統提供服務,無法實現全局同步、共享等,數據孤島現象明顯,由此產生形式上的數據冗余。因此如何從全局角度出發,對數據的完整性、準確性、安全性、一致性可用性,進行處理成了大量企事業單位面臨的一大困難,數據集成的必要性和迫切性就不言而喻,不斷被推至信息發展的首要位置。
2.數據現狀
經過學院多年的信息化發展,目前學院已開始使用,不包括正在開發的各種業務系統有20個,開發系統大部分屬于不同的開發人員、開發階段和不同的業務要求,每個應用系統均自己的數據庫。
這些系統都是學院在不同的階段為解決不同的業務需求而建設的,各系統之間沒有考慮關聯,產生的數據相互之間也沒有關聯。這造成了目前多頭存放的數據之間存在著無效冗余。
數據系統主要存在以下問題:
(1)數據共享差
隨著學院的發展,不同時期產生的系統種類繁,學院各部門、科室相互溝通較少,大多數系統基本上是針對學院某一單一管理業務,累積的數據也僅限于部門或科室內部使用,系統之間即使相同的數據也無法進行有效關聯與更新,缺乏信息的充分融合,不能實現信息互動,在實際使用中如:查詢學生是否滿足畢業條件都需查詢兩個系統以上可以得出結論;
(2)數據缺乏規劃
不同時期不同人員不同軟件開發的數據庫種類多、雜。學院數據但缺少統一規劃和集中管理,相關數據時效性不強,標準化不高,并有大量無效冗余,大量的學生及教師數據庫無法在全局內共享服務,操作人員需多處修改數據,數據孤島現象明顯;
(3)數據可用性低
在眾多系統中,同一人員進入學院的不同應用系統需不同的密碼和身份標示,應用無法有效的統計分析現有數據,提供決策支持信息。
3.數據整合
由于數據資源不能夠很好地共享,從而不能滿足各單位對信息資源整體開發利用的需求,因此需要對數據進行必要的整合。目前在數據整合領域,通常采用聯邦數據庫技術、數據倉庫、中間件技術等方法來構造集成的系統,這三種方法在不同的著重點和應用上解決數據問題。
聯邦數據庫是由Hammer和MvLeod于1979首先提出,在1985年進行了完善,在聯邦數據庫中數據源相互獨立,為了實現整合,將各個不同數據源之間用于交換的數據格式進行一一映射,提供訪問結構,分享數據,其有點事,整合的數據源保留在原有的存儲文職,減少了一定資源的浪費,缺點是擴展性差、查詢反饋較慢,由于其是基礎IBM的DB2數據庫系統,對于不用數據庫資源整合極大不利。
數據倉庫就是一種信息集合,要將處理后的數據資源存儲在相同的物理問題,使用戶訪問的復雜度得到簡化,提高訪問速度。缺點是功能邏輯復雜,開發成本較高系統運行開銷較大。
4.數據整合方案-中間件整合技術
中間件技術即當客戶端需要查詢某些數據時,相關數據或服務存在于不同的操作系統服務器上,服務器應用程序長得查詢模塊只需要調用中間件系統就能夠獲得數據或服務,并將結果返回給客戶端。其優點是可以較好應付不同平臺的數據資源整合,使程序的結構層次清晰,降低程序設計的復雜度,同時又大大節約成本。
在聯邦數據庫系統、數據倉庫技術、中間件技術三類數據整合技術中,功能和實現方式上各有所長,校園網絡發展多年,在保證大部分系統正常運行的情況,采取有效的措施解決信息孤島來實現校園網絡信息整合是關鍵所在,中間件整合技術在校園數據整合中,不但可以降低成本,還可以兼容多個數據平臺,是實現校園數據整合的關鍵所在首先重新設計數據庫開發周期長,花費高是不可取的。
開發中在不改變原有應用系統的前提下,每個系統獨立運行,對局部進行變動使用中間件技術,使得各應用系統可以通過這個中間件相互訪問,查詢各自信息資源,實現資源共享和信息傳輸,同時保證數據的一致性和完整度。其次統一開發結構和數據庫建設方案對后續開發的系統學校統一開發結構,對個數據元素按照用途劃分類別,按業務環節和流程劃分數據類、數據子類、數據項,并進行標準化統一編號。規劃設計完成后,起實施可分為轉換和統一兩個階段,逐步實施。
對象關系映射(Object Relation Mapping,簡稱ORM),面向對象的開發方法是當前商業開發應用軟件的主流開發,其注重利用元數據將數據在對象數據庫表格之間來回映射,從而確保訪問代碼不直接侵入域或對象,ORM系統一般是以中間件的形式存在,主要實現程序對象到關系數據庫數據的映射。就好比是程序中業務實體對象魚數據庫中關系數據之間的紐帶,主要作用是管理處于持久化狀態的域對象,提供通用數據訪問方法,優化數據訪問性能,極大簡化和優化了發雜的數據持久化問題,數據庫操作對業務邏輯編程透明,可以使編程人員更專注開發業務邏輯功能,提高了開發效率。
我們在校園數據整合中采用目前最為廣泛使用的 Hibernate作為中間整合件,它是使用最為廣泛的開源框架,它成功第實現透明持久化,一面向對象的HQL封裝SQL,提供了一個簡單靈活且面向對象的數據訪問接口。對象持久化就是把數據同步保存到數據庫或某些存儲設備中。在傳統的三層結構中業務邏輯層要負責業務邏輯和訪問數據庫, 對于純面向對象語言來說,三層結構沒有達到MVC 框架所要求的目標,因而演變出四層結構,在四層結構中實現了邏輯層和對象持久化層的分離。目前大多數校園網的業務系統都是獨立的,特別在持久化層,經過整合之后可以把所有系統數據層抽象為一個整體,由Hibernate 框架完成,結構如圖1所示。同時當我們只對數據庫MySQL 和SQL2000有需求時,這樣數據庫就可以保持不變,學生處或者教務處的系統進行代碼修改就可以了由于Hibernate對SQL 語句的封裝,對于這樣的改進是很容易的實現的,大大簡化了開發難度。在這種結構下可以采用XML 文件的方式來配置異構數據庫。
第5篇:校園網設計方案范文
關鍵詞:網格資源,安全策略
1引言
網格是一個集成的計算與資源環境,充分吸收各種計算資源,并將它們轉化成一種隨處可得的、可靠的、標準的同時還是經濟的計算能力。與傳統的網絡資源不同,網格資源具有異構性、動態性和自治性的特點1。
網格資源的這些特性給網格資源自身的管理帶來了實現上的困難和不可控性。同時為了滿足高性能計算的目的,必須提供高效的資源管理服務。網格系統的資源管理負責決定作業請求CPU服務等待時間、作業的內存分配、以及怎樣平衡計算負載等多方面的問題。資源管理同時負責在所有提交給系統的作業之間分配資源(作業間資源管理)以及把資源綁定給由一個單一作業提出的多個請求(作業內資源管理)。如果沒有作業間資源管理,資源將可能在用戶間錯誤的分配,這對一些用戶將失去公平性。糟糕的作業內資源管理將導致用戶程序運行性能的下降,原因是程序請求到的資源可能早已超負荷或者根本就請求不到滿足系統要求的資源。
由于存在的以上問題,網格資源的管理在網格計算環境中處于一個很重要的地位,也是網格研究的主要研究課題之一。目前我們對于網格計算環境底層的資源,主要是通過采用作業管理系統進行管理。
2PBS作業管理系統分析
PBS(PortableBatchSystem)作業管理系統最初由NASA的Ames研究中心開發,為了提供一個能滿足異構計算網絡需要的軟件包,特別是滿足高性能計算的需要。它力求提供對批處理的初始化和調度執行的控制,允許作業在不同主機間的路由。PBS的獨立的調度模塊允許系統管理員定義資源和每個作業可使用的數量。調度模塊存有各個可用的排隊作業、運行作業和系統資源使用狀況信息。使用它提供的TCL、BACL、C三種過程語言,調度策略可以很容易被修改,以適應不同的計算需要和目標,即系統管理員可以方便地實現自己的調度策略。
對于PBS作業管理系統來說,它主要有以下特征:
·易用性:為所有的資源提供統一的接口,易于配置以滿足不同系統的需求,靈活的作業調度器允許不同系統采用自己的調度策略。·適配性:可以適配各種管理策略,并提供可擴展的認證和安全模型。支持廣域網上的負載的動態分發和建立在多個物理位置不同的實體上的虛擬組織。
·靈活性:支持交互和批處理作業。
一個PBS作業管理系統主要有4個部分組成:控制臺、服務進程、調度進程、執行進程。
PBS的工作過程實際上就是服務進程、調度進程、執行進程這三個進程之間,相互通信相互調用的過程。三個進程分別執行各自的職能,同時為其他進程提供服務,共同完成作業的運行。在PBS工作過程中,首先由用戶產生事件(這里指作業的提交),事件通知服務進程開始一個調度周期。然后服務器進程發送一個調度命令給作業調度進程,調度進程開始啟動調度工作。在收到服務器進程的調度命令后,作業調度進程向執行進程請求可利用的資源信息。執行進程根據本地資源信息返回給作業調度器一個資源信息。其后,得到資源信息后,調度進程向服務器進程請求作業信息。服務器進程接收請求,并發送作業信息至作業調度進程,調度進程產生執行作業的策略。作業調度器發送執行作業請求至服務進程。最后,服務器進程接收請求后,發送作業至執行進程執行作業。
3PBS與網格環境結合網格計算環境為用戶提供了強大的計算資源,將PBS融入到網格的計算環境中可以使PBS訪問到更多的計算資源,使PBS的資源提供能力得到很大的增強,使用戶可以調用不同的管理域的資源如同使用本地資源一樣。同時PBS融入到網格計算環境也擴展了網格計算環境自身的計算資源。下面以PBS與目前全球重要的網格計算項目Globus之間的結合,介紹它們之間資源調度、數據傳輸、安全認證等方面的解決方案。
Globus項目是美國Argonne國家實驗室等科研單位的研發項目,發起于20世紀90年代中期。Globus項目是目前全球重要的網格計算項目之一,其最初的目的是希望把美國境內的各個高性能計算中心通過高性能網絡連接起來,方便美國的大學和研究機構使用,提高高性能計算機的使用效率。
PBS與Globus的結合,主要目的是可以達到彼此計算資源的相互調用,PBS對Globus資源調用的實現,可以為用戶提供訪問網格計算資源建立一個門戶。用戶通過提交作業,可以像調用PBS資源一樣調用遠端的不同管理域下的資源。Globus則負責提供與底層不同資源管理者的接口,以及相應的數據傳輸、安全認證、資源調度等策略。Globus對PBS資源調用的實現,則擴展了網格計算環境下底層的計算資源2。通過結合,目的是實現網格計算環境的基本模型。
當PBS調用Globus資源時,首先需要解決的是資源的發現,PBS要對Globus資源進行調度使用,那么在提交的作業當中必須對作業的可用資源說明進行描述,使其可以尋找到Globus的資源,并加以利用。為了達到資源指定的目的,在作業資源需求描述中我們加入特定的參數“-Lsite=globus:resourcename”。這個參數僅僅是標記了作業對資源需求的期望,并未分配Globus資源。其次需要提供一個資源請求信息的接收端口,申請得到Globus資源的作業會像正常的PBS提交作業一樣,將自己的資源請求發送到PBS服務器上等待服務進程的處理,之后調度進程會根據作業的資源請求將作業傳送到與它資源匹配的執行節點,并由各節點的執行進程運行。為了提供一個專門的接收Globus資源請求的端口,在啟動服務進程的同時要啟動一個pbs_mom_globus
,進程。當調度器發現了作業特定的Globus資源請求,直接將作業發送到pbs_mom_globus進程進行處理。為了可以利用Globus資源,PBS作業必須以Globus作業的形式進入到Globus進行資源的利用,通過pbs_mom_globus進程將作業中PBS的參數全部映射成GlobusRSL的形式3。
在整個資源調度的過程中,PBS實際充當了網格計算環境的入口點,通過提交PBS作業可以實現對網格計算資源的調用,用戶可以像使用本地資源一樣去使用遠端不同資源管理者下的資源。而Globus作為一種中間件,由它來負責規劃網絡間通信的安全協議,并實現對不同的遠端資源管理者的通信接口。此外,PBS通過文件stagein和stageout配合Globus的GASS服務來進行數據的傳輸,可以解決PBS與Globus數據傳輸的問題。全局二級存儲服務GASS(GlobalAccesstoSecondaryStorage)主要用來支持網格環境下的遠程I/O問題,并針對網格計算環境中的文件訪問模式進行了優化支持。
當Globus調用PBS資源時,相對PBS對Globus資源的調用要簡單一些。Gloubs在本地提交Globus作業時,通過在命令行參數中添加PBS服務器的名稱及路徑來指定需要調用的PBS資源,并在命令結尾添加jobmanager-PBS參數開啟Gloubsy與PBS之間的端口。Globus提交作業的請求被送到GRAM,Gatekeeper判斷作業需要調用的資源,并根據RSL描述解析出的任務分配參數傳遞給新創建的任務管理者。任務管理者接到需要調用PBS資源的請求,則將作業資源信息的描述發送到jobmanager-PBS端口,jobmanager-PBS端口會產生一個新的用PBS腳本語言描述資源信息的作業腳本。任務管理者將這個腳本發往PBS服務器進行執行。4PBS系統測試與分析
硬件環境的配置方面,首先要選擇一組適合實驗過程的主機搭建實驗環境。出于對實驗穩定性與兼容性的考慮,我們選取了8臺硬件與軟件配置完全一樣的主機,硬件配置為:CPUPⅡ400MHZ內存128SDRAM;操作系統為:Linux9.0。這樣便于對PBS系統整體性能測試。其次對于主機間的通信,為了提供一個快速穩定的網絡環境,我們采用以太網的技術用5類雙絞線和一臺百兆交換機將這8臺機器組成一個小型局域網環境,并進行了相應的網絡設置。軟件環境的配置主要是對PBS系統的安裝和配置,主要包括:系統安裝、服務器配置、執行節點配置、進程啟動、建立作業隊列、實驗的內容是提交一個矩陣相乘的并行作業,矩陣運算在科學與工程計算中是最基本的核心問題之一,用它來進行測試具有代表性。本作業要完成A、B兩個1000*1000矩陣相乘目的是為了對搭建的PBS系統環境進行測試,檢驗PBS系統的正確運轉及相關性能的測試,并對實驗結果進行分析4。
首先采用并行行列劃分算法,通過MPI編寫實現矩陣相乘的并行程序pjob.c(程序代碼見附錄)。并在linux下用mpiccpjob.c進行編譯,生成a.out執行文件,將參與運算的矩陣文件A.dat、B.dat拷貝到本地。并在單機下直接運行命令./out,記錄運行產生的結果。然后,編寫作業提交腳件,在腳本中對作業進行資源需求的描述。之后,運行命令qsubparallel_job向PBS服務器提交作業,通過監控命令qstat可以看到作業已經分配到執行隊列中處于執行狀態,并且服務器分別將并行作業的子進程傳輸到各臺執行節點上運行,8臺執行節點都處于運行狀態。各節點的并行程序的子進程運行結束后,在標準輸出文件中產生運算結果,記錄運行時間。再逐步減少執行節點的數目繼續實驗,直到只剩下單機運行,記錄單機運行產生的結果及運行時間。Fig.3connectionbetweonJobtimeandnode5結束語
提出了一種適合集群環境下的高效資源分配與利用方案,并給出了詳細的設計過程。深入分析了PBS系統的內部運行機制、安全機制、調度策略等方面問題,提出了改進方案。研究PBS系統與網格計算環境的融合問題,并將PBS集群計算環境融入到了網格計算環境,將PBS系統作為網格計算環境的低層資源,并通過globus對PBS系統進行了作業提交,測試了PBS在globus下的正常運轉。
【參考文獻】
1都志輝.網格計算M.北京:清華大學出版社,2002:10.
2鄭緯民等譯.高性能集群計算M.結構與系統(第一卷),北京:電子工業出版社,2001:6.
3PBS用戶手冊:《PBSAdministratorGuide》S.2000:4.
第6篇:校園網設計方案范文
【關鍵詞】校園網 建設 網絡安全
【中圖分類號】G647 【文獻標識碼】A 【文章編號】1674-4810(2013)18-0039-01
一 校園網的功能
校園網內部通過電纜或光纜連接服務器、工作站及各種通信設備,對外通過DDN專線或其他通信線路連通Internet。學校可通過校園網查詢并統計包括學生學籍資料及學習成績、教師檔案及業務情況、學校財務數據報表等在內的各類資料;通過學校主頁進行各類信息;通過電子郵件系統收發各類通知及教學資料等。教師可通過電子備課系統、計算機輔助教學系統等開展高質量、高效率的教學工作;可通過國際互聯網查詢資料,隨時了解教科研的最新動態。學生可通過校園網學習、鞏固知識,還可根據自己的興趣在網上進行科學探索,撰寫論文。
二 校園網的建設
為實現以上功能,學校可制定如下構建方案:
1.硬件環境
第一,主干網絡技術的選擇:選用1000M交換式快速以太網。
第二,網絡集成環境的組建:(1)校園網絡控制中心。它是整個校園網的心臟,配置WWW服務器、FTP服務器、郵件服務器、文件服務器、Internet服務器、交換機(神州數碼5600)、路由器(神州數碼2626)配線機柜、UPS電源等。(2)教師辦公中心。教師可通過校園網查詢資料,了解教科研的最新動態,交流教學內容和方法,實現資源共享。(3)多媒體網絡教室。通過交換機(二層交換機),將學生用機、教師用機接入校園網,使其都能訪問網絡控制中心文件服務器的內容,并增加適當的多媒體外部設備,開展多媒體教學,提高教學質量。(4)學生機房。通過星形網絡拓撲結構將所有電腦連接到可堆疊交換機上,再通過交換機連接到校園主干網。在機房內完善多媒體教學平臺,使之成為一個既能完成信息技術學科教學,又能進行多媒體輔助教學,還能開展基于Internet的網絡活動的多媒體網絡活動室。(5)學校各機構辦公室。通過交換機與校園主干網相連,以實現學校信息管理的自動化。
2.軟件環境
第一,服務器操作系統采用Windows 2000 Server。服務軟件采用Microsoft ISA。Web服務系統選用Windows 2000 Server下的IIS信息服務系統。
第二,教師機工作站選用Winxp作為操作系統,安裝多媒體課件制作軟件、數據庫管理系統、辦公軟件和一些工具軟件等。
第三,院長和管理人員計算機選用Winxp操作系統,除安裝辦公軟件外,還可安裝一些相關的管理軟件(如教師評價系統、校園監視系統等)。
第四,網絡機房學生機選用Winxp作為操作系統,并安裝適當的教學軟件。如安裝Internet仿真教學系統,可以進行仿真的Internet學習,將機房轉變為可以進行Internet教學的教室;在適當的時候可直接連入Internet。安裝網絡考試系統,可通過網絡考試系統進行網絡考試,實時得到考試分數和講評,使電腦機房在多學科的教學中發揮作用。
第五,多媒體網絡教室選用Winxp作為操作系統,并安裝New Class多媒體教學系統,實現管理、控制、共享和通訊等功能,進行廣播、監看/監聽、電子舉手、學生示范、遠端遙控等多媒體教室的教學。
三 校園網的安全問題
1.復雜性
現在大學校園的教學逐步走向網絡化,學生在線學習、娛樂的時間增加,所以保證校園網的穩定及安全至關重要,還必須提供24小時正常和高效的網絡運行,因此網絡維護利用顯得尤為重要。
2.用戶密集性
在教學區、學生公寓區、家屬區等,出現網絡安全問題時,蔓延速度快,對網絡影響嚴重。某臺計算機由于各種原因出現故障,反過來又會影響整個網絡。而且大學生好奇心強、敢于嘗試,不考慮網絡的運行環境,在網上隨意下載各類資源,不顧及是否有風險,是否會對網絡產生破壞和影響。
3.校園網業務多,開放性強
校園網是教育教學及科研的特定場所,是新知識、新技術最先應用的場所,業務項目多,網絡環境相對較寬松。如果哪一部分影響網絡的運行安全,很難簡單采取停止該服務或關閉該端口的措施,所以存在較大安全隱患。
第7篇:校園網設計方案范文
關鍵詞:校園網絡安全;安全防御機制;蜜罐;蜜網
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9234-03
隨著基于計算機網絡技術的現代教育手段應用的日益廣泛, 各地建設校園網的熱情空前高漲。校園網的普及對加快信息處理、合理配置教育資源、充分利用優質教育資源、提高工作效率、減輕勞動強度、實現資源共享都起到了不可估量的作用,信息安全問題也日益突出。 作為從局域網基礎上發展起來的校園網也面對這樣的安全問題。 因此, 解決網絡安全問題刻不容緩。網絡與信息安全技術的核心問題是對計算機系統和網絡進行有效地防護。網絡安全涉及面很廣, 從技術層面上講主要包括防火墻技術、入侵檢測技術、病毒防護技術、數據加密和認證技術、蜜罐技術等, 這些安全技術中, 大多數技術都是在攻擊者對網絡進行攻擊時對系統進行被動的防護。而可以采取主動的方式的蜜罐技術就是用特有的特征吸引攻擊者, 同時對攻擊者的各種攻擊行為進行分析并找到有效的對付方法。結合蜜罐構建的網絡安全防御系統, 可使網絡防御者化被動為主動, 更好地研究入侵者的行為和動機, 從而更好地保護校園網絡。
1 蜜罐的定義及分類
“蜜罐”的思想最早由Clifford Stoll 于1988 年6 月提出,作者在跟蹤黑客的過程中,利用了一些包含虛假信息的文件作為黑客“誘餌”來檢測入侵。明確提出蜜罐是Lance Spitzner 給出的定義:蜜罐是一種安全資源,其價值在于被探測、攻擊或者摧毀。蜜罐是一種預先配置好的系統,系統內含有各種偽造而且有價值的文件和信息,用于引誘黑客對系統進行攻擊和入侵。蜜罐系統可以記錄黑客進入系統的一切信息,同時還具有混浠黑客攻擊目標的功能,可以用來保護服務主機的正常運行。蜜罐系統收集到的信息可以作為跟蹤、研究黑客現有技術的重要資料,可以用來查找并確定黑客的來源;還可以用來分析黑客攻擊的目標,對可能被攻擊的系統提前做好防護工作。
蜜罐在編寫新的IDS特征庫、發現系統漏洞、分析分布式拒絕服務(DDOS)攻擊等方面是很有價值的。蜜罐本身并不直接增強網絡的安全性,將蜜罐和現有的安全防衛手段如入侵檢測系統(IDS)、防火墻(Firewall)、殺毒軟件等結合使用,可以有效提高系統安全性。
按照蜜罐實現時,允許操作系統與入侵者交互的復雜程度,蜜罐系統可以劃分為低交互級蜜罐系統、中交互級蜜罐系統和高交互級蜜罐系統。
1) 低交互級蜜罐系統:典型的低交互級蜜罐僅提供一些簡單的虛擬服務,例如在特定的端口監聽記錄所有進入的數據包。這類蜜罐沒有向入侵者提供可以遠程登錄的真實操作系統,因此風險最低,但是蜜罐所扮演的角色是非常被動的,就象一個單向連接,只有信息從外界流向本機,而沒有回應信息發出,無法捕捉到復雜協議下的通訊過程,所能收集到的信息有限。
2) 中交互級蜜罐系統:中交互級蜜罐系統也不提供真實的操作系統,但是卻為入侵者提供了更多復雜的誘騙進程,模擬了更多更復雜的特定服務,使攻擊者誤認為是一個真正的操作系統,能夠收集更多數據。但同時也增加了蜜罐的風險,因此要確保在模擬服務和漏洞時不產生新的真實漏洞,而給黑客攻擊真實系統的機會。
3) 高交互級蜜罐系統:高交互蜜罐提供了真實的操作系統和服務,可以了解黑客運行的全部動作,獲得更多有用信息,但遭受攻擊的可能性大,引入了更高風險,結構較復雜。高交互蜜罐系統部署的代價最高,需要系統管理員的連續監控。不可控制的蜜罐對任何組織來說沒有任何意義甚至可能成為網絡中最大的安全隱患。
從具體實現的角度,可以分為物理蜜罐和虛擬蜜罐。
1) 物理蜜罐:物理蜜罐通常是一臺或多臺真實的在網絡上存在的主機,這些主機上運行著真實的操作系統,擁有自己的IP 地址,提供真實的網絡服務來吸引攻擊。
2) 虛擬蜜罐:虛擬蜜罐通常用的是虛擬的機器、虛擬的操作系統,它會響應發送到虛擬蜜罐的網絡數據流,提供模擬的網絡服務等。
2 蜜罐的配置模式
1) 誘騙服務(deception service)
誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網絡請求進行應答的應用程序。DTK就是這樣的一個服務性產品。DTK吸引攻擊者的詭計就是可執行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統進行的,所以可以產生的應答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應答,并給闖入系統的攻擊者帶來系統并不安全的錯覺。例如,當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP,他就會采用攻擊FTP服務的方式進入系統。這樣,系統管理員便可以記錄攻擊的細節。
2) 弱化系統(weakened system)
只要在外部因特網上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統,系統可以收集有效的攻擊數據。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統,實現對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
3) 強化系統(hardened system)
強化系統同弱化系統一樣,提供一個真實的環境。不過此時的系統已經武裝成看似足夠安全的。當攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內收集最多有效數據。用這種蜜罐需要系統管理員具有更高的專業技術。如果攻擊者具有更高的技術,那么,他很可能取代管理員對系統的控制,從而對其它系統進行攻擊。
4) 用戶模式服務器(user mode server)
用戶模式服務器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務器。在真實主機中,每個應用程序都當作一個具有獨立IP地址的操作系統和服務的特定是實例。用戶模式服務器這樣一個進程就嵌套在主機操作系統的應用程序空間中,當INTERNET用戶向用戶模式服務器的IP地址發送請求,主機將接受請求并且轉發到用戶模式服務器上。這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優點體現在系統管理員對用戶主機有絕對的控制權。即使蜜罐被攻陷,由于用戶模式服務器是一個用戶進程,那么Administrator只要關閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然,其局限性是不適用于所有的操作系統。
3 蜜罐Honeypot 的在校園網中的實現
本人首先研究了宜興技師學院的網絡環境和面臨的安全威脅,分析了校園網的特殊性及校園網的安全需求, 根據校園網的需求和特點, 再結合宜興技師學院網絡的硬件設施和學院的具體情況, 提出了我院的網絡安全解決方案,構建了本院的蜜罐系統,取名為:HoneypotMe。我們設計該蜜罐系統的目的是為了研究和驗證蜜罐在校園網安全領域所起的作用,通過實踐加深對蜜罐思想的理解,并進一步在實際環境中使用它來加強網絡的安全性。
我們在校園網中搭建了如下的試驗平臺, HoneypotMe 的系統結構及虛擬網絡拓撲結構如圖1 所示。HoneypotMe 是由虛擬網絡、虛擬蜜罐、防火墻、虛擬蜜罐的日志及分析系統、入侵檢測系統及被動探測系統幾部分組成的綜合系統。
這里的虛擬蜜罐系統建立的是一個虛擬的網絡和主機環境。它通過模擬操作系統的TCP/IP 棧來建立蜜罐,可模擬各種不同的操作系統及設備,如Linux,Windows 2000,Windows NT,Cisco Switch等。它采用的方式是使用與Nmap 或Xprobe 相同的指紋(fingerprint)數據庫來模擬操作系統,以響應針對虛擬蜜罐的網絡請求,這樣可以愚弄像Xprobe 或Nmap 這樣的TCP/IP 棧指紋識別工具。另一方面,這個系統也可以模擬虛擬網絡拓撲,在模擬的網絡配置中包含路由器,并且包含路由器的連接特性,比如反應時間、包丟失和帶寬等。這樣可以愚弄traceroute 這類工具,使網絡流量看起來遵循了所模擬的網絡拓撲。在我們的系統中,不僅通過棧指紋愚弄和吸引攻擊者以探測攻擊,而且還建立了一些模擬的服務,讓它們來與攻擊者進行交互作用。不同的系統平臺上通過腳本模擬著不同的服務,例如:在模擬的Windows 系統上打開NetBIOS端口,在模擬的 Linux 系統中激活mail 和FTP,而模擬的Cisco 路由器有一個標準的Telnet 端口,這樣可使建立起來的網絡環境看上去更加真實可信。每個被模擬的計算機系統都有一個IP 地址與之綁定,這些被綁定的地址是一些未被分配網絡地址。這樣配置起來的系統靈活多變,與真實的生產性系統混合在一起,更增加其誘捕和欺騙作用。圖3.9 虛線框中所示就是為實驗環境設計的虛擬蜜罐的網絡拓撲圖。Honeyd 是一個構建虛擬蜜罐的軟件,可以利用它實現我們構建虛擬蜜罐的目標。另外,作為一個開放源代碼解決方案,可為開發利用提供方便,比如,可編寫其它的服務腳本以擴充系統的功能等。為了防止由于攻擊者對蜜罐系統的破壞,使蜜罐系統癱瘓,可使用防火墻來保護該蜜罐系統。防火墻被配置成允許任何連接進入到幾個虛擬蜜罐中,但是嚴格控制到系統本身的訪問,本系統選用IPTables 來保護宿主OS 的外部IP 地址。收集和分析攻擊者的信息是HoneypotMe 能力的一項重要體現。由于蜜罐沒有生產性的活動,沒有任何正常流量會流向它正在監視的幾個IP 地址。這使得分析它捕捉到的信息極其簡單,因此它捕捉到的任何東西很可能是具有敵意的。Honeyd軟件有生成日志的功能,日志全面描述了什么系統什么時候正在探測什么端口。IDS 能對已知的攻擊發出警報,同時可將所有網絡流量記錄到一個文件或數據庫中。為了獲得分析數據包捕獲的更詳細的信息,在HoneypotMe 蜜罐系統中安裝和配置了Snort 入侵檢測系統。Snort 收集到的信息一方面記錄到Snort 的日志文件中,另一方面記錄到Mysql 數據庫中以便觀察和統計分析之用。另外,我們打算利用被動探測詳細地分析攻擊者的特征。這就需要捕獲原始數據包供被動探測工具使用。可利用Snort 入侵檢測系統獲取Tcpdump 這樣的二進制日志記錄格式以作為被動探測工具的輸入數據,獲取攻擊者更詳細的信息以實現隱蔽探測。
正如我們所看到的,蜜罐系統使用許多獨立的工具和腳本創建,在其中還包括一些日志文件和數據庫供分析之用。開發圖形用戶界面來配置、管理蜜罐以及集中管理所有信息來源是我們的目標。蜜罐收集了許多來自不同來源的信息,將它們存儲到多個日志文件和數據庫中。用GUI 來分析這些文件和使所收集的數據相關聯是會有很大的幫助的,這樣的話管理員就不需要記住存儲數據的所有文件。另一個很主要的優點是其外觀,在基于web 的GUI 上表示信息比訪問日志文件清晰整潔的多。目前,我們僅實現了在web 界面上瀏覽Honeyd 日志的功能。
4 實驗過程及結果分析
為了驗證該系統,虛擬蜜罐宿主機被連接到校園網的物理網絡環境中,并為其分配一個真實的分配給物理計算機的IP 地址,在這里我們給其分配的IP 地址為192.168.40.7。所有實現虛擬蜜罐系統的軟件都將運行在Linux9.0 操作系統下。圖3.9 的虛線部分顯示出我們要模擬的虛擬網絡結構及各個虛擬蜜罐。從圖中可以看出虛擬蜜罐1(IP 地址為192.168.40.56)、虛擬蜜罐2(IP 地址為192.168.40.57)、虛擬蜜罐3(IP 地址為192.168.40.58)和虛擬蜜罐4(IP 地址為192.168.40.59)與虛擬蜜罐宿主機處于同一個網段。從這個網段通過一個IP 地址為192.168.40.123 的路由器(路由器1)模擬一個地址空間為10.0.1.0/24 的網絡,在這個網段中包括兩個虛擬蜜罐:虛擬蜜罐5(10.0.1.51)和虛擬蜜罐6(10.0.1.52)。從這個網段通過一個IP 地址為10.0.1.100 的路由器(路由器2)又增加了另一個地址范圍為10.1.0.0/16 的網絡,在此網絡中分布了兩個蜜罐虛擬蜜罐7(10.1.0.51)和虛擬蜜罐8(10.1.0.52)。
我們知道虛擬蜜罐系統是一個完全被配置起來的計算機系統,它在配置文件中描述每一個引用。
每個樣本定義了每個模擬的操作系統的性能。“特征(personality)”這就是操作系統在IP 堆棧層要模擬的東西,可利用Nmap 指紋數據庫里相同的描述作為它的OS 類型。在樣本windows 里,特征為“Windows NT 4.0 Server SP5-SP6”,在linux樣本里,它的特征為“Linux 2.4.16 C 2.4.18”。注意,特征并不影響所模擬的服務的行為,僅僅修改IP 棧的行為。對于所模擬的服務,必須根據想要模擬的OS 的類型選擇不同的腳本。換句話說就是,如果特征是Windows,不要綁定一個模擬的Apache 腳本到HTTP 端口,而是綁定一個IIS 腳本到HTTP 端口。應該說,這些服務都是入侵者在相應的操作系統中希望找到的。在樣本中,你可以為端口規定明確的行為,也可以定義為一般的行為。兩個樣本中將TCP 和UDP 的缺省行為定義為reset,因此在一般情況下,對于TCP 來講將用RST(連接復位)去響應任意的連接企圖,對于UDP,將用ICMP 端口不可達去響應。對于定義為open 行為的端口,對于TCP 將用ACK 響應,而UDP 將什么也不響應。從樣本中可以看出,Windows系統的NetBIOS 端口處于打開狀態;當一個機器與這個蜜罐的80 端口連接時,該蜜罐用IIS 仿真程序perl 腳本與客戶機進行交互;另外Linux 系統的mail 和FTP服務被激活。上面的兩個樣本分別被綁定在不同的IP 地址上。
5 結論
總之蜜罐技術是靈活的,我們可以按照自己的實現目標來構建自己的蜜罐系統。在這里我們利用虛擬蜜罐框架來構建我們校園網的蜜罐,以實現蜜罐的欺騙和誘騙功能。為了控制黑客的行為,防止黑客對蜜罐系統的破壞和利用,在蜜罐系統中加入了防火墻,并選用了Linux 2.4 自帶的內核包過濾的工具iptables。為了了解黑客的行為,在蜜罐系統中加入了信息收集和統計分析功能。通過開發web 接口的日志文件查詢工具,使蜜罐管理員能夠方便快捷地查詢虛擬蜜罐框架收集的日志信息。為了獲得更詳細的黑客攻擊和掃描信息并及時得到報警,使用入侵檢測系統Snort 來滿足我們的需求。最終,為了獲取黑客自身的信息而又不被其發現,我們使用被動探測工具p0f 來獲取黑客的操作系統指紋。這是實現隱蔽探測的一個很好的思路,即利用蜜罐來引誘攻擊者的掃描和攻擊,然后使用被動探測工具探查攻擊者的信息。這也是我們構建蜜罐系統的一個創新點。綜上所述,我們構建的蜜罐系統是一個實現了欺騙和誘騙、行為控制、入侵檢測、被動探測、數據分析等功能的綜合性蜜罐系統。
參考文獻:
[1] 夏明,趙小敏.基于蜜罐技術的病毒樣本采集系統的設計和實現[J].信息網絡安全,2008(10).
第8篇:校園網設計方案范文
>> 基于ISA的虛擬校園網構建及應用 高校校園網建設與發展狀況的思考 基于WLAN的高校無線校園網的構建與探討 構建基于校園網的校本培訓新模式 構建高校校園網 基于VLAN技術的高校校園網設計 基于新型VPN 技術的高校校園網改造 基于高校校園網的安全與對策 基于高校校園網的網絡問卷調查系統的發展趨勢 基于校園網的高校數據庫發展與展望 VPN技術對于高校校園網發展的意義 基于Citrix XenApp的高校校園網應用虛擬化設計及研究 淺談校園網的構建 淺談高校校園網的建設 淺談基于我國高校校園網的電子商務發展潛力 校園網的安全及對策 地方高校校園網安全體系的構建與維護 基于MHN蜜網的校園網防御部署及入侵分析 基于校園網的多媒體大學英語學習平臺的構建 基于流媒體技術的校園網WebVOD的構建 常見問題解答 當前所在位置:l
[2] 范文杰.淺談校園局域網方案[J].科技信息,2011.30:253
[3] 吳旭東,柳炳祥.校園網網絡規劃的設計與實現[J],電腦開發與應用,2011.24(11):64-65
[4] 劉彥會.淺探IPv6過渡技術在校園網升級中的應用[J].信息與電腦,2011.11:116
第9篇:校園網設計方案范文
關鍵詞:QoS;擁塞管理;流量監管
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)34-8131-02
QoS(Quality of service)是網絡的一種安全機制,是用來解決網絡延遲、阻塞等問題的一種技術。QoS在不增加鏈路帶寬的情況下,通過對網絡的監測和管理提高網絡的性能,它是網絡中管理數據流的帶寬、延遲、抖動及可靠性等技術參數的集合。
造成校園網絡阻塞的主要原因是沒有合理的分配和管理帶寬的使用,讓部分應用服務長時間占用大量帶寬資源。如,大量的P2P下載、在線視頻等非關鍵應用服務占用大量帶寬,而遠程登錄、HTTP等關鍵服務卻得不到保障。校園是P2P、在線視頻應用最多的場所之一,如何有效的保障校園內的關鍵服務,是校園將要面對的一個問題。利用QoS對校園進行優化管理可很好的解決這個問題,為不同類型用戶或網絡應用服務分配不同的帶寬,并對非正常的帶寬使用進行控制,保證網絡的正常運行。
1 QoS的服務模型
QoS的服務模型有下面三種:
1) 盡力而為服務模型(Best-effort):盡力而為服務模型其實沒有QoS,路由器平等對待所有數據包,通過FIFO隊列來實現。它適合大多數網絡應用,如FTp、E-mail等。
2) 集成服務模型(Int-Serv):Int-Serv是一個綜合服務模型,它使用資源預留協議(RVSP)。發送方在發送數據包前,需要向網絡申請特定的服務,源站到目的站和路徑上的每一個路由器需要預留足夠的資源,以保證端到端的服務質量要求。
3) 區分服務模型(Diff-Serv):區分服務實現簡單,在路由器中增加區分服務功能,利用DS字段的不同數值可提供不同等級的服務質量,應用程序在發出數據包前,不需要通知網絡為其預留資源,網絡中各個設備可獨立對待不同類型的數據包,即每個路由器對不同的數據包定義的服務優先級是可以不相同的,區分服務通常使用隊列、流量控制和流量整形等來實現區分服務功能。
2 QoS數據包處理過程
QoS數據包處理包含以下幾個方面
1) 分類:流量分類是將數據報文劃分多個優先級或多個服務類。管理員可以根據IP數據報的IP優先級或DSCP、802.1Q的CoS、輸入接口、源IP地址、目的IP地址、IP協議和應用程序端口號等設置分類策略。
2) 監管:通過對流量規格的監管,來限制流量及其資源使用的流量控制策略。
3) 標記:為3層的DSCP或2層的CoS或兩者分配一個值。
4) 調度:當發生擁塞時如何制定一個資源的調度策略,以決定報文的處理順序,對擁塞管理一般采用隊列技術。
5) 擁塞避免:通過監視網絡通信流,使用復雜的算法丟棄數據包使交換機和路由器避免擁塞。
3 校園網QoS設計方案
在校園網中HTTP應用大概占用30%帶寬,P2P下載、在線視頻等占用60%以上的帶寬,其它服務大約占10%的帶寬。P2P下載、在線視頻等占用校園網大部分帶寬,主要應用服務HTTP的帶寬得不到保障。通過QoS對P2P下載等需要消耗大量資源的應用服務進行流量控制,對主要的應用服務設置較高的優先級,使其數據包能盡快傳遞出去。根據校園網流量的特點設計出相應的QoS方案。圖2是一個校園網QoS設計方案。
校園網中各層設置的QoS服務:
1) 校園網接入層的QoS:在校園網的接入層主要進行數據分類、數據標記和流量監管。
2) 校園網主干層的QoS:主干網收到的數據包在接入層已被分類和標記,所在主干層主要的工作是流量監控、流量整形、隊列調度、擁塞控制和避免。
3) 校園網邊界出口節點的QoS:邊界出口節點的主要工作是數據分類、數據標記、流量監控、流量整形。
4 QoS實現方法
由于QoS有太多概念和工具,在設備上應用靈活,涉及知識面廣,實現方法多樣化,所以本文只給出QoS部分功能的實現方法。
1) 分類與標記:
如,把Telnet數據包DSCP標記為AF11,其它數據包的IP優先級設置為1。
5 結束語
通過配置QoS服務,對不同的數據流進行分類標記,限制部分應用服務的帶寬,如BT、在線視頻等,把不同的數據流加入不同的優先級的隊列中,優先處理優先級高的數據流,如語音通信數據流,避免優先級低的數據流長期占用鏈路帶寬等,從而使校園網的性能得到了明顯的提高。
參考文獻:
[1] 郭廓.QoS服務質量及流量控制設備在校園網中的應用[J].價值工程,2010(2).
[2] 李向來.付合軍.基于銳捷網絡設備的QoS技術在校園網中的應用[J].寧波職業技術學院學報,2013(3).
[3] 李宏.路由交換設備QoS應用技術分析[J].計算機與網絡,2012(3).
相關文章閱讀
相關期刊推薦
精選范文推薦
- 1校園春色作文
- 2校園短篇小說
- 3校園消防安全論文
- 4校園趣事
- 5校園暴力課題研究
- 6校園安全工作的重要意義
- 7校園暴力對策建議
- 8校園勞動實踐成果
- 9校園綠化景觀設計方案
- 10校園安全管理案例