前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的校園網(wǎng)設計方案主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:校園網(wǎng),網(wǎng)絡組建,網(wǎng)絡管理與維護,網(wǎng)絡安全
第1章 網(wǎng)絡設計方案
1.1 設計概要
校園網(wǎng)的組建采用如下方案:網(wǎng)絡中心建設在圖文信息中心,教學樓設置分管點。建設高速、穩(wěn)定和安全的網(wǎng)絡環(huán)境。采用主流的以太網(wǎng)技術(shù)核心,交換機可帶千兆三層交換模塊,二級交換機采用帶擴充槽的快速以太網(wǎng)交換機,可實現(xiàn)三層交換、百兆主干、百兆交換到桌面。教學樓與綜合樓采用Trunk技術(shù)做鏈路聚合,可達到200Mb/s的帶寬,實現(xiàn)了較高的性價比。可根據(jù)學校的應用類型,例如辦公、多媒體課室、課室、網(wǎng)絡中心等功能劃分子網(wǎng)。
1.2 校園網(wǎng)絡IP地址規(guī)劃和VLAN劃分
1.2.1校園網(wǎng)IP地址分配原則
校園網(wǎng)的IP地址規(guī)劃應該受到重視,IP地址分分配應該遵循以下幾個原則。
1. 體系化編址 體系化編址其實就是編址的結(jié)構(gòu)化,組織化,以企業(yè)的具體需求和組織結(jié)構(gòu)為原則對整個網(wǎng)絡地址進行有條理的規(guī)劃。從總體上來說,體系化的原則就是使相鄰的主機或主機群在IP地址上是連續(xù)的。這樣可以進行路由匯聚,是整個網(wǎng)絡的地址結(jié)構(gòu)清晰明朗,路由信息清晰,從而減少路由器中路由表。使區(qū)域和區(qū)域之間的地址相互獨立,便于靈活的獨立管理。
2. 地址的持續(xù)可擴展性 IP地址規(guī)劃應該為今后的升級和網(wǎng)絡規(guī)模的擴大做好準備,要有全局和高瞻遠矚的眼光。
3. 按照實際需要分配公網(wǎng)IP地址公網(wǎng)IP相對于私有IP而言是不能由自己設置的,公網(wǎng)IP是有ISP等機構(gòu)統(tǒng)一分配和租用的,公網(wǎng)IP地址是非常稀缺的,因此,對于公網(wǎng)的IP地址我們必須按照實際的需要分。例如對于對外提供服務的服務器,我們需要為其分配公網(wǎng)的IP地址,而對于學校的宿舍,教學樓,實驗樓等僅需要瀏覽互聯(lián)網(wǎng)信息等基本需求的計算機可以通過NAT來實現(xiàn)私有地址和公網(wǎng)地址的轉(zhuǎn)換,實現(xiàn)多個節(jié)點共享一個或幾個公網(wǎng)IP地址,從而節(jié)約公網(wǎng)IP地址。對于那些僅對內(nèi)提供服務,或只用于內(nèi)部通信的計算機就不需要分配公網(wǎng)IP地址。我們知道公網(wǎng)的IP地址是非常的稀缺的,NAT雖然能夠節(jié)約一部分的公網(wǎng)IP地址,但是還是不能從根本上解決現(xiàn)有公網(wǎng)IP地址越來越少的殘酷問題,所以部署IPV6已經(jīng)迫在眉睫。由于現(xiàn)在的IPV4網(wǎng)絡正在向IPV6網(wǎng)絡過渡,這是一個很長期的過程,所以在構(gòu)建網(wǎng)絡時我們還要考慮網(wǎng)絡對于IPV6的兼容性,選擇支持IPV6的設備和系統(tǒng),以便今后進行升級和改造。
4. 靜態(tài)和動態(tài)分配地址動態(tài)分配IP地址是有DHCP服務器分配的,在常見的比較小的網(wǎng)絡中,IP地址的分配一般是采用靜態(tài)方式分配,但在大中型的網(wǎng)絡中,由于主機數(shù)量的增加,為每一個計算機分配IP地址會增加網(wǎng)絡管理員的負擔,還有可能造成IP地址沖突,因此,DHCP在大中型網(wǎng)絡中是非常的有效和實用的,每一個新接入的主機能夠方便的從DHCP服務器獲得主機的IP地址以及子網(wǎng)掩碼,缺省網(wǎng)關(guān),DNS等參數(shù),大大減輕了網(wǎng)絡管理員的工作量。
1.2.2 VLAN劃分
VLAN是建立在以太網(wǎng)交換機或ATM交換機之上的邏輯網(wǎng)絡,VLAN可以進行邏輯工作組的劃分和管理,是節(jié)點在邏輯上形成一個網(wǎng)絡,不受物理位置限制,同一邏輯工作組的成員不一定要連接在同一物理網(wǎng)段上,他們可以連接在同一局域網(wǎng)交換機上也可以連接在不同局域網(wǎng)交換機上,只要這些交換機是互相連接的。VLAN的優(yōu)點:VLAN可以將不同地點不同用戶組合在一起,形成一個虛擬的局域網(wǎng),可以提高網(wǎng)絡中各個邏輯組中用戶的流量。
VLAN的劃分方法:
1. 基于端口劃分VLAN這是最常用的一種方法,目前絕大多數(shù)交換機都支持這種方法,這種方法將交換機的端口劃分為不同的組,每個組構(gòu)成一個虛擬局域網(wǎng)。這種方法配置簡單,適合于任何大小的物理,只需要將所有的端口都定義為相應的VLAN組即可。缺點是假如某個用戶離開了原來的端口,連接到另外的交換機端口,就必須對另外的端口進行配置。
2. 基于MAC地址劃分VLAN因為每一個網(wǎng)卡都有一個唯一的物理地址,因此可以根據(jù)網(wǎng)卡的物理地址來劃分VLAN,根據(jù)這種方法,可以彌補方法1帶來的缺陷,當一個計算機位置移動時,會自動保留所屬的VLAN成員身份。不需要重新配置。
3. 基于網(wǎng)絡層協(xié)議劃分VLAN按網(wǎng)絡層協(xié)議組成的VLAN,可使廣播域跨越多個VLAN交換機。
4. 基于IP組播劃分VLANIP組播實際上是一種VLAN定義,可以認為一個IP組播就是一個VLAN,這種方法將VLAN擴大到了廣域網(wǎng),適合不在同一地理位置的局域網(wǎng)用戶組成一個VLAN,但用于局域網(wǎng)時效率不高。
VLAN配置原則
1. VLAN1為交換機默認VLAN,無需創(chuàng)建
2. VLAN組成員分布于多臺交換機上時,需在要每臺交換機上創(chuàng)建該VLAN,并將成員加入同一VLAN組中
3. 交換機創(chuàng)建的VLAN數(shù)可大于交換機端口數(shù)量
1.2.3 IP地址分配策略
IP地址分配策略
項目 IP地址范圍 備注
IP地址類型 私有B類IP地址172.18.0.0./32
網(wǎng)關(guān)地址 172.18.1.253/32
網(wǎng)絡設備IP 172.18.1.1―172.18.1.20
網(wǎng)絡中心服務器 172.18.1.21-172.18.1.40
內(nèi)部工作站IP 剩余可用IP
備用IP 172.18.1.50-172.18.1.70
1.2.4 VLAN劃分策略
在大中型網(wǎng)絡中,網(wǎng)內(nèi)的計算機數(shù)目很多,很容易引起廣播風暴,劃分VLAN之后就能夠有效的降低廣播風暴,VLAN是在交換網(wǎng)局域網(wǎng)的基礎上,采用網(wǎng)絡管理軟件構(gòu)件構(gòu)建的可跨越不同網(wǎng)段,不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個VLAN組成一個邏輯子網(wǎng),它可以覆蓋多個網(wǎng)絡設備,VLAN允許處于不同地理位置的網(wǎng)絡用戶加入到一個邏輯子網(wǎng)中,即加入到一個VLAN中。VLAN能夠有效的控制廣播風暴,一個VLAN就是一個邏輯廣播域,通過對VLAN的創(chuàng)建,隔離了廣播,縮小了廣播范圍,可以控制廣播風暴的產(chǎn)生。VLAN提高了網(wǎng)絡的整體安全性,可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小,將不同用戶劃為不同的子VLAN,提高了交換網(wǎng)絡的整體性能和安全性。一個VLAN可以根據(jù)部門職能,對象,不同地理位置的用戶劃分邏輯網(wǎng)段。在不改變物理位置的前提下可以任意將工作站在不同組之間移動。VLAN可以大大減輕網(wǎng)絡管理和維護工作的負擔,降低維護費用,減輕網(wǎng)絡管理員的工作量。
根據(jù)NC職業(yè)學院的不同工作類型,劃分了教學樓,實驗室,圖文信息中心,學生宿舍等子網(wǎng)。圖文信息中心的網(wǎng)絡的中心,劃分為VLAN1,VLAN1為默認的虛擬局域網(wǎng)。圖文信息中心的所有閱覽室劃分為VLAN2,實驗樓的學生機房劃分的VLAN范圍是VLAN3~VLAN5,辦公室劃為VLAN6,教學樓劃為VLAN7,學生宿舍劃分為VLAN8~VLAN10。實驗室VLAN為VLAN11.
VLAN功能描述
VLAN ID 網(wǎng)段IP 網(wǎng)關(guān)IP 備注
1 172.18.1.0/24 172.18.1.254/24 圖文信息中心核心機房:網(wǎng)絡中心
2 172.18.9.0/24 172.18.1.254/24 圖文信息中心閱覽室
3 172.18.2.0/24 172.18.1.254/24 實驗樓學生機房1
4 172.18.3.0/24 172.18.1.254/24 實驗樓學生機房2
5 172.18.4.0/24 172.18.1.254/24 實驗樓學生機房3
6 172.18.5.0/24 172.18.1.254/24 實驗樓辦公室
VLAN ID 網(wǎng)段IP 網(wǎng)關(guān)IP 備注
7 172.18.6.0/24 172.18.1.254/24 教學樓
8~10 172.18.7~9.0/24 172.18.1.254/24 學生宿舍
11 172.18.10.0/24 172.18.1.254/24 實驗樓實驗室
實驗樓學生機房VLAN劃分
端口 VLAN ID 備注
Cisco2950(學生機房,IP為172.18.1.252/24)
1~3 1、3、4、5 連接網(wǎng)絡中心下行端口
4~8 3
9~14 4
15~24 5
圖文信息中心VLAN劃分
端口 VLAN ID 備注
Cisco2948G-L3(網(wǎng)絡中心,IP為172.18.1.254/24)
1~3 1、3、4、5 連接到實驗樓學生機房主交換機上行端口
4~6 1、7 連接到教學樓主交換機上行端口
7~20 1、6 連接到實驗樓辦公室主交換機上行端口
21~48 1 網(wǎng)絡中心
教學樓VLAN劃分
端口 VLAN ID 備注
Cisco2950(教學樓,IP為172.18.1.251/24)
1~3 1、7 連接網(wǎng)絡中心下行端口
4~24 7
實驗樓辦公室VLAN劃分
端口 VLAN ID 備注
Cisco2950(實驗樓辦公室,IP為172.18.1.250/24)
1~3 1、6 連接網(wǎng)絡中心下行端口
4~24 7
實驗樓實驗室VLAN劃分
端口 VLAN ID 備注
Cisco2950(實驗樓實驗室,IP為172.18.1.249/24)
1~3 1、11 連接網(wǎng)絡中心下行端口
4~24 11
學生宿舍VLAN劃分
端口 VLAN ID 備注
Cisco2950(學生宿舍,IP為172.18.1.248/24)
端口 VLAN ID 備注
1~3 1、2 連接網(wǎng)絡中心下行端口
4~8 8
9~16 9
16~24 10
各種設備IP地址表
主機名 設備 IP配置 備注
防火墻1 外部口S0:192.168.254.2/30
內(nèi)部口e0:172.18.1.253/24
防火墻2 外部口S0:172.18.252.2/30
內(nèi)部口e0:172.18.1.251/24
網(wǎng)絡中心交換機Cisco2948G-L3 IP:172.18.1.254/24
網(wǎng)關(guān):172.18.1.254/24 網(wǎng)絡管理IP
教學樓交換機Cisco2950 IP: 172.18.1.251/24
網(wǎng)關(guān):172.18.1.254/24 網(wǎng)絡管理IP
實驗樓辦公室Cisco2950 IP: 172.18.1.250/24
網(wǎng)關(guān):172.18.1.254/24 網(wǎng)絡管理IP
實驗樓學生機房Cisco2950 IP: 172.18.1.252/24
網(wǎng)關(guān):172.18.1.254/24 網(wǎng)絡管理IP
主機名 設備 IP配置 備注
實驗室Cisco2950 IP: 172.18.1.249/24
網(wǎng)關(guān):172.18.1.254/24 網(wǎng)絡管理IP
數(shù)據(jù)服務 IP:172.18.1.254/24
網(wǎng)關(guān):172.18.1.254/24
vod.ncxy.省略 VOD服務 IP:172.18.1.1/24
網(wǎng)關(guān):172.18.1.253/24
dns.ncxy.省略 DNS服務 IP:172.18.1.1/24
網(wǎng)關(guān):172.18.1.254/24
dhcp.ncxy.省略 dhcp服務 IP:172.18.1.1/24
網(wǎng)關(guān):172.18.1.254/24
ncxy.省略 WEB服務 IP:172.18.1.1/24
網(wǎng)關(guān):172.18.1.254/24
ftp.ncxy.省略 FTP服務 IP:172.18.1.1/24
網(wǎng)關(guān):172.18.1.254/24
1.3 交換機的VLAN配置
在交換機上配置VLAN就是分別在圖文信息中心的Cisco2948G-L3核心交換機,實驗樓學生機房、實驗樓辦公室、教學樓的Cisco2950交換機上進行配置。初始狀態(tài)下交換機是通過超級終端進行配置的。
為了配置方便,現(xiàn)定義各個VLAN交換機的hostname,學生機房1:computer-room1, 學生機房2:computer-room2, 學生機房3:computer-room3,辦公室office;閱覽室reading-room;實驗室:laboratory;教學樓:classroom-building;學生宿舍:dormitory。
交換機的超級終端配置是一種基本的配置,連接如圖所示,接好PC和交換機各自的電源線,在未開機的條件下,把PC的串口1(COM1)通過控制臺電纜(Console電纜)與交換機的Console口相連,完成PC和交換機的連接工作。交換機Console口的默認參數(shù)如下,端口速率:9600bps;數(shù)據(jù)位:8;奇偶校驗:無;停止位:1;數(shù)據(jù)流控制:無。根據(jù)Console口的默認參數(shù),配置PC的超級終端時要將端口的屬性和上述參數(shù)相匹配,匹配后就可以訪問交換機。
圖1.3-1仿真終端與交換機連接
圖1.3-2 仿真終端端口參數(shù)
1.3.1圖文信息中心交換機Cisco2948G-L3配置
1.交換機基本配置(hostname及口令)
Switch>
Switch>enable
Switch#
Switch#config terminal
Switch(config)#hostname cisco2948
cisco2948 (config)#enable password ncxy
cisco2948 (config)#enable secret ncxy1
cisco2948 (config)#end
cisco2948 (config)#line con 0
cisco2948 (config-line)#password cisco2948
cisco2948 (config-line)#login
cisco2948 (config-line)#line vty 0 15
cisco2948 (config-line)#login
cisco2948 (config-line)#password cisco2948
cisco2948 (config-line)#end
cisco2948#
2.創(chuàng)建并分VLAN
Switch>
Switch>enable
Switch#
Switch#config terminal
Switch(config)#hostname cisco2948
cisco2948(config)#exit
cisco2948#vlan database
cisco2948 (vlan)#vtp mode server
cisco2948 (vlan)#vtp domain ncxy
cisco2948 (vlan)#vlan 2 name reading-room
cisco2948 (vlan)#vlan 3 name computer-room1
cisco2948 (vlan)#vlan 4 name computer-room2
cisco2948 (vlan)#vlan 5 name computer-room3
cisco2948 (vlan)#vlan 6 name office
cisco2948 (vlan)#vlan 7 name classroom-building
cisco2948 (vlan)#vlan 8-10 name dormitory
cisco2948 (vlan)#vlan 11 name laboratory
cisco2948 (vlan)#vlan apply
Apply complete
cisco2948 (vlan)#exit
cisco2948#
配置VLAN的IP地址,激活VLAN配置
VLAN1配置
cisco2948#config terminal
cisco2948 (config)#interface vlan 1
cisco2948 (config-if)# ip address 172.16.1.254 255.255.255.0
cisco2948 (config-if)#no shutdown
cisco2948 (config-if)#exit
VLAN3配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 2
Cisco2948 (config-if)# ip address 172.16.2.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN4配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 3
Cisco2948 (config-if)# ip address 172.16.3.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN5配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 4
Cisco2948 (config-if)# ip address 172.16.4.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN6配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 6
Cisco2948 (config-if)# ip address 172.16.6.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN7配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 7
Cisco2948 (config-if)# ip address 172.16.7.254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
VLAN2配置
Cisco2948#config terminal
Cisco2948 (config)#interface vlan 8
Cisco2948 (config-if)# ip address 172.16.8254 255.255.255.0
Cisco2948 (config-if)#no shutdown
Cisco2948 (config-if)#exit
配置VLAN端口
1.分別給 vlan 3 vlan4 vlan5 添 加端口
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950computer-room
Cisco2948(config-if)#swichport access vlan 2
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 3
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 4
Cisco2948(config-if)#exit
Cisco2948#config t
Cisco2948(config)#int fa0/1-3
Cisco2948(config)#description connection to 2950 computer-room
Cisco2948(config-if)#swichport access vlan 5
Cisco2948(config-if)#exit
2.給VLAN 7添加端口
Cisco2948(config)#int fa0/4-6
Cisco2948(config)#description connection to 2950classroom-building
Cisco2948(config-if)#swichport access vlan 7
Cisco2948(config-if)#exit
Cisco2948#config t
3.給VLAN 6添加端口
Cisco2948(config)#int fa0/7-20
Cisco2948(config)#description connection to Intel530office
Cisco2948(config-if)#swichport access vlan 6
Cisco2948(config-if)#exit
1.4 應用服務器配置
1.4.1 windows server2003安裝
對于新服務器來說硬盤上沒有操作系統(tǒng),我們要按照操作系統(tǒng),按照我們的選擇,我們安裝的是windows server2003操作系統(tǒng)。windows server2003操作系統(tǒng)的安裝非常的簡單,只需要安裝提示一步一步進行下去。在設置授權(quán)模式頁面,我們選擇“每服務器。同時連接數(shù)”選框,再根據(jù)NC職業(yè)學院客戶端計算機數(shù)據(jù)合理配置連接數(shù)。
圖1.4.1-1 設置授權(quán)模式
安裝好操作系統(tǒng)后重新啟動計算機,首先設置服務器的IP地址,操作步驟如下1.單擊“設置設置網(wǎng)絡連接”,打開網(wǎng)絡連接對話框。2.右鍵單擊“本地連接”,選擇“屬性”命令,打開本地連接的設置對話框。3.在“常規(guī)”選項卡中,選中“Internet 協(xié)議(TCP/IP)”,
如圖1.4.1-3所示,單擊“屬性”按鈕,4.如圖1.4.1-4所示,選中“使用下面的IP地址”,并把IP地址設置已以規(guī)劃好的地址,子網(wǎng)掩碼會自動設置,把默認網(wǎng)關(guān)設置為172.18.1.254,首選服務器設置為172.18.1.1,備用DNS服務器地址設置為ISP提供的DNS服務器,南昌地區(qū)的為202.101.224.68,單擊“確定”,按鈕。5.回到本地連接對話框,單擊“確定”按鈕使配置生效。
圖1.4.1-2 網(wǎng)絡連接窗口
圖1.4.1-3本地連接屬性
圖1.4.1-4本地連接屬性
1.4.2 安裝DNS服務器
DNS是域名解析服務器的簡稱,它的功能是在域名和IP地址之間進行轉(zhuǎn)換,它可以把難記的IP地址轉(zhuǎn)換成人們易于記憶的域名,在校園網(wǎng)內(nèi)提供網(wǎng)內(nèi)的FTP服務,web服務,如果不適用DNS服務器,那么必須要記住IP地址,然而IP地址是不便于記憶的。若安裝了DNS服務器,就可以通過域名訪問相應的IP地址了。
一、 安裝DNS服務
1. 單擊“開始程序管理工具管理您的服務器向?qū)А保瑔庸芾矸掌飨驅(qū)В鐖D1.4.2-1所示
2. 選擇“添加或刪除角色”,操作系統(tǒng)在檢查完網(wǎng)絡設備后,出現(xiàn)一個“配置您的服務器向?qū)А保鐖D1.4.2-2所示,這里我們選擇DNS服務器,再單擊“下一步”按鈕。
3. 啟動后要求用戶插入windows server2003系統(tǒng)光盤,插入光盤后,我們單擊“確定”確定。
圖1.4.2-1“管理您的服務器”向?qū)?/p>
圖1.4.2-2“配置您的服務器向?qū)А苯缑?/p>
4. 系統(tǒng)復制文件并安裝DNS服務器,如圖1.4.2-3所示
5. 安裝完后,出現(xiàn)配置DNS服務器向?qū)Ы缑妫鐖D1.4.2-4所示,單擊“下一步”按鈕進行DNS服務器配置,
6. 在“選擇配置操作”界面,我們選擇“只配置根提示(只適合高級用戶使用)(C)”單擊“下一步”按鈕,如圖1.4.2-5所示
圖1.4.2-3 “windows安裝―正在安裝DNS服務器”界面
圖1.4.2-4“配置DNS服務器向?qū)А苯缑?/p>
圖1.4.2-5“選擇配置操作”界面
7.在“主服務器位置”界面,我們選擇“這臺服務器維護該區(qū)域(T)”選框,將該DNS服務器作為主DNS服務器使用,并單擊“下一步”按鈕,如圖1.4.2-6所示
圖1.4.2-6 主服務器位置配置
8.在區(qū)域名稱對話框中輸入能夠反映NC職業(yè)學院的名稱,我們輸入ncxy.省略,并單擊“下一步”按鈕,如圖1.4.2-7所示
圖1.4.2-7 區(qū)域名稱界面
9.動態(tài)跟新界面,選擇“不允許動態(tài)更新(D)”單擊“下一步”按鈕,如圖1.4.2-8所示
圖1.4.2-8 動態(tài)更新
10.“正在完成配置DNS服務器向?qū)А苯缑妫瑔螕簟巴瓿伞卑粹o,如圖1.4.2-9所示
圖1.4.2-9 正在完成配置DNS服務器向?qū)?/p>
11.最后一步,單擊“完成”如圖1.4.2-10
圖1.4.2-10此服務器現(xiàn)在是DNS服務器
1.4.3 域控制器安裝
1.如同安裝DNS服務器一樣,啟動“管理您的服務器向?qū)А辈螕簟疤砑踊騽h除角色”
2.在“配置您的服務器向?qū)А表撁嬷羞x擇“域控制器(Active Directory)”然后單擊“下一步”按鈕。如圖1.4.3-1所示
圖1.4.3-1 服務器角色
3.在“選擇總結(jié)”界面單擊“下一步”按鈕如圖1.4.3-2所示
圖1.4.3-2 選擇總結(jié)
4.在彈出的“Active Directory安裝向?qū)А苯缑嬷袉螕簟跋乱徊健卑粹o,如圖1.4.3-3所示
圖1.4.3-3 Active Directory安裝向?qū)?/p>
5. 彈出“操作系統(tǒng)兼容性”界面,單擊“下一步”按鈕,如圖1.4.3-4所示
圖1.4.3-4 操作系統(tǒng)兼容性
6. 選擇“域控制器類型”,如圖1.4.3-5所示,我們選擇“新域的域控制器”,單擊“下一步”
圖1.4.3-5 域控制器類型
7. 彈出“創(chuàng)建一個新域”,要我們選擇創(chuàng)建域的類型,如圖1.4.3-6所示,這里我們選擇“在新林中的域”選框,單擊“下一步”按鈕
圖1.4.3-6創(chuàng)建一個新域
8.“新的域名”窗口,這里我們輸入新域的名稱,我們輸入domain.ncxy.省略,單擊“下一步”,系統(tǒng)給出一個提示,單擊“確定”即可。如圖1.4.3-7所示
圖1.4.3-7新的域名
9.設置NetBIOS域名,我們使用默認值,如圖1.4.3-8所示
圖1.4.3-8NetBIOS域名
10.彈出“數(shù)據(jù)庫和日志文件文件夾”對話框,使用默認設置就可以,如圖1.4.3-9所示,單擊“下一步”按鈕
圖1.4.3-9數(shù)據(jù)庫和日志文件文件夾
11.打開“共享的系統(tǒng)卷”對話框,保留默認設置,如圖1.4.3-10所示
圖1.4.3-10共享的系統(tǒng)卷
12.彈出“DNS注冊診斷”對話框,系統(tǒng)有一個診斷過程,通知用戶無法更新DNS區(qū)域授權(quán),我們選中“我將在以后通過手動配置DNS來更正這個問題(c)”,單擊“下一步”如圖1.4.3-11所示
圖1.4.3-11DNS注冊診斷
13.在“權(quán)限”對話框,選擇用戶和組對象的默認權(quán)限,選擇“只與windows 2000或windows server 2003操作系統(tǒng)兼容的權(quán)限”,單擊“下一步”按鈕,如圖1.4.3-12所示
圖1.4.3-12權(quán)限
14.設置目錄服務還原模式的管理員密碼,如圖1.43.-13所示,單擊“下一步”按鈕
圖1.4.3-13目錄服務還原模式的管理員密碼
15.彈出“摘要”,對話框,單擊“下一步”按鈕,如圖1.4.3-14所示,
圖1.4.3-14 摘要
16.安裝完成,如圖1.4.3-15所示,單擊“完成”
圖1.4.3-15 完成界面
17.此服務器現(xiàn)在是域控制器,如圖1.4.3-16所示
圖1.4.3-16
1.4.4 DNS配置
1.啟動DNS服務器管理程序,單擊服務器名,展開,選擇“正向查找區(qū)域”,右擊選擇“新建區(qū)域”,如圖1.4.4-1所示
圖1.4.4-1 新建正向查找區(qū)域
2.區(qū)域類型選擇主要區(qū)域,如圖1.4.4-2所示
圖1.4.4-2 區(qū)域類型
2 在Active Directory區(qū)域復制作用域選框中選擇“至Active Directory域domain.ncxy.省略中的所有域控制器”如圖1.4.4-3所示
圖1.4.4-3 區(qū)域復制作用域
3 區(qū)域名稱中設置新的區(qū)域名稱,輸入ncxy.省略,如圖1.4.4-4所示
圖1.4.4-4 區(qū)域名稱
4 動態(tài)跟新選擇不允許動態(tài)跟新如圖1.4.4-5所示,單擊下一步
圖1.4.4-5 動態(tài)跟新
5 正在完成新建區(qū)域向?qū)В瑔螕敉瓿桑鐖D1.4.4-6所示
圖1.4.4-6 完成新建區(qū)域
6 在DNS管理器中,右擊剛才建立的區(qū)域名,選擇新建域,在彈出的新建DNS域?qū)υ捒蛑休斎雗cxy.省略,如圖1.4.4-7所示
圖1.4.4-7 新建DNS域
7 建立反向查找區(qū)域,反向查找的功能是實現(xiàn)IP地址到域名的轉(zhuǎn)換,在DNS管理器中右擊反向查找區(qū)域,選擇新建區(qū)域,進入新建區(qū)域向?qū)В鐖D1.4.4-8所示,單擊“下一步”按鈕
圖1.4.4-8 新建區(qū)域向?qū)?/p>
8 新建反向查找區(qū)域和正向查找區(qū)域基本一致,在反向查找區(qū)域名稱對話框中輸入網(wǎng)絡ID,如圖1.4.4-9所示,其他過程不再簡述。
圖1.4.4-9 反向查找區(qū)域名稱
9 建立域名與FTP服務器IP地址的對應,在DNS管理器中右擊我們新建的域名,選擇“新建主機”,彈出“新建主機”對話框,如圖1.4.4-10所示
圖1.4.4-10新建FTP服務器主機
10 建立域名與dhcp服務器IP地址的對應,如圖1.4.4-11所示
圖1.4.4-11新建dhcp服務器主機
13. 建立域名與web服務器IP地址的對應,如圖1.4.4-12所示
圖1.4.4-12新建web服務器主機
14.建立域名與vod服務器IP地址的對應,如圖1.4.4-13所示
圖1.4.4-13新建vod服務器主機
15.配置好DNS服務器后,NC職業(yè)學院的其他客戶機的DNS服務器地址必須指向配置的DNS服務器的IP地址,只有這樣才能使用DNS功能。如圖1.4.4-14所示
圖1.4.4-14客戶機配置
1.4.5 web服務器配置
1.安裝IIS6.0和WEB組件IIS6.0默認沒有安裝,我們可以在控制面板的雙機“添加或刪除程序”,選擇“添加/刪除windows組件”,如圖1.4.5-1所示
圖1.4.5-1添加或刪除程序
2.在windows組建向?qū)υ捒蚬催x應用程序服務器,單擊“詳細信息(D)”,如圖1.4.5-2所示
圖1.4.5-2windows組件向?qū)?/p>
3.勾選Internet信息服務(IIS),單擊“詳細信息”,如圖1.4.5-3所示
圖1.4.5-3應用程序服務器
5. 選擇“萬維網(wǎng)服務”,單擊“確定”按鈕,如圖1.4.5-4所示
圖1.4.5-4萬維網(wǎng)服務
6. 依次單擊“確定”,插入安裝光盤,開始安裝,如圖1.4.5-5所示
圖1.4.5-5安裝IIS
7. 完成安裝,如圖1.4.5-6所示
圖1.4.5-6完成安裝IIS
8. 新建WEB站點如圖1.4.5-7所示
圖1.4.5-7新建站點
9. 網(wǎng)站描述,如圖1.4.5-8所示
圖1.4.5-8站點描述
10. IP地址和端口設置,如圖1.4.5-9所示
圖1.4.5-9IP地址和端口設置
11. 網(wǎng)站主目錄設置,如圖1.4.5-10所示
圖1.4.5-10網(wǎng)站主目錄
12. 網(wǎng)站訪問權(quán)限設置,如圖1.4.5-11所示
圖1.4.5-11網(wǎng)站訪問權(quán)限
13.設置站點的參數(shù)比較簡單,這里不再簡述,只需要按照提示一步步進行下去就行。
1.4.6 FTP服務器配置
1.下載Serv-U并安裝,打開程序
2.單擊“新建域”按鈕,進入域向?qū)Ы缑妫鐖D1.4.5-1所示,輸入站點名稱和描述信息,單擊“下一步”按鈕
圖1.4.5-1新建域1
3.進入“域向?qū)步驟2總步驟4”界面,配置各種協(xié)議的端口號,這里使用默認的端口號,如圖1.4.5-2所示,單擊“下一步”按鈕
圖1.4.5-2新建域2
4.設定新建FTP站點的IP地址,如圖1.4.5-3所示,單擊“下一步”按鈕
圖1.4.5-3新建域3
5.設置密碼加密模式,我們采用默認的設置,如圖1.4.5-4所示,單擊“完成”按鈕
圖1.4.5-4新建域4
7. 新建FTP站點之后就可以添加用戶賬戶,進入“用戶向?qū)步驟1總步驟4”,輸入登錄ID,單擊“下一步”按鈕,如圖1.4.5-5
圖1.4.5-5創(chuàng)建用戶1
8. 設置用戶密碼,如圖1.4.5-6所示,單擊“下一步”按鈕
圖1.4.5-6創(chuàng)建用戶2
9. 設置根目錄,如圖1.4.5-7所示,單擊“下一步”按鈕
圖1.4.5-7創(chuàng)建用戶3
10設置訪問權(quán)限,如圖1.4.5-8所示,單擊“完成”按鈕
.
圖1.4.5-8創(chuàng)建用戶8
10. 雙擊新創(chuàng)建的用戶名,彈出“用戶屬性”對話框,如圖1.4.5-9所示,我們可以管理用戶賬戶,可以讓用戶更方便的使用FTP站點,增強FTP站點的安全性,我們可以點擊不同的選項卡,進行不同的設置,這里不再介紹。
圖1.4.5-9用戶屬性設置
1.4.7VOD服務器配置
1.下載并安裝美萍VOD點播系統(tǒng),安裝非常的簡單,只需單擊“下一步”即可,如圖1.4.6-1所示
1.4.6-1 美萍VOD點播系統(tǒng)安裝
2.安裝完后打開程序,出現(xiàn)如圖1.4.6-2的界面,系統(tǒng)默認提供了電影,音樂,電視劇等分類,每種大的類型下還有許多的小類型
1.4.6-2 美萍VOD點播系統(tǒng)主界面
3.打開小類,里面還是空的,把我們要添加的內(nèi)容直接拖進右邊即可,如圖1.4.6-3所示
1.4.6-2 美萍VOD點播系統(tǒng)添加界面
4.通過系統(tǒng)設置對話框可以設置系統(tǒng)的相關(guān)屬性,是系統(tǒng)更好的工作,如圖1.4.6-3所示
1.4.6-3 美萍VOD點播系統(tǒng)系統(tǒng)設置界面
5.客戶機可以不需要安裝客戶端程序,只需要安裝有較新版本的IE瀏覽器即可,在地址欄輸入服務器IP地址和端口號即可,端口號默認為6666,。
1.4.8DHCP服務器配置
DHCP是動態(tài)主機配置協(xié)議,可以動態(tài)的分配IP地址,對于需要固定ID地址的服務器和主機,我們在配置是要保留這些IP地址,是IP地址和他們的MAC地址綁定起來。其他可以自由分配的IP地址可以放在地址池中以供分配。配置非常的簡單,配置界面非常的人性化,在此不再累述。
1.4.9郵件服務器配置
NC職業(yè)校園需要提供郵件服務,因此要架設郵件服務器,我們選擇架設基于Exchange Server 2003的電子郵件服務器。首先安裝Exchange Server 2003,在安裝之前要在系統(tǒng)中安裝NNTP和SMTP兩種服務。安裝過程和DNS和FTP等的安裝過程類似,不再介紹。
Exchange Server 2003的安裝也是非常的簡單,就是需要比較長的時間。默認情況下,Exchange Server 2003將使用windows Server 2003的用戶庫作為自己的用戶庫,這并不意味著所有的用戶都有自己的郵箱,所以還需要手動為其他用戶建立郵箱。
建立電子郵箱非常的簡單,只需要安裝提示一步一步進行,新建用戶,設置密碼,創(chuàng)建郵箱,檢查用戶信息,新建之后還可以設置用戶郵箱的屬性。
可以使用兩種方法通過Exchange Server 2003服務器收發(fā)郵件。一種是通過OFFICE中的Outlook Express收發(fā)郵件,一種是直接使用IE瀏覽器收發(fā)郵件。
參考文獻
[1] 雷震甲.網(wǎng)絡工程師教程(第三版).北京:清華大學出版社,2009
[3] 易建勛.計算機網(wǎng)絡設計.北京:人民郵電出版社,2007
[4] 馬海英. 計算機網(wǎng)絡及應用. 北京:化學化工出版社,2007
[5] 謝希仁. 計算機網(wǎng)絡(第5版). 北京:電子工業(yè)出版社,2008
[6] 石志國,薛為民,尹浩. 計算機網(wǎng)絡安全教程(修訂本). 北京:北方交通大學出版社,2007
關(guān)鍵詞: 校園網(wǎng);無線局域網(wǎng);設計
中圖分類號:G728 文獻標識碼:A 文章編號:1671-7597(2012)1120080-02
1 概述
1.1 設計要求
根據(jù)惠州經(jīng)濟學院的無線局域網(wǎng)應用與建設實際,無線局域網(wǎng)在網(wǎng)絡安全上,網(wǎng)絡管理上,傳輸速率上與有線局域網(wǎng)相當。
首先,大學校園網(wǎng)的組建,應同時具備無線網(wǎng)絡和有線網(wǎng)絡,以支撐校園網(wǎng)內(nèi)用戶的不同需求。當前條件下,應以有線網(wǎng)絡為主,并擴大無線局域網(wǎng)的使用,分不同的應用需求與教學需要,結(jié)合無線網(wǎng)絡與有線網(wǎng)絡的優(yōu)點,進行科學的搭配組合。
其次,無線局域網(wǎng)傳輸?shù)姆€(wěn)定性、網(wǎng)絡傳輸?shù)乃俣取⒕W(wǎng)絡安全性達到較高的要求。同時,在校園網(wǎng)中,無線網(wǎng)絡與有線網(wǎng)絡并存的狀態(tài),應采取分網(wǎng)段IP地址管理策略,以實現(xiàn)網(wǎng)絡的安全。
最后,無線網(wǎng)絡應進行加密,以此實現(xiàn)最大限度的保護無線網(wǎng)絡中信息的安全,使其傳輸不受破壞,并能滿足1200臺終端機入網(wǎng)需求。
1.2 設計方案
采用接入無線交換機和Fit AP的方式進行局域網(wǎng)設計。主要部分包括了無線網(wǎng)絡控制器、瘦無線接入點(Fit AP)、網(wǎng)絡管理服務器。全部設備連接在一起,以無線網(wǎng)絡控制器為接入設備,瘦AP為接入邊界,構(gòu)建能夠支持統(tǒng)一的管理、移動和安全為一體等無線網(wǎng)。這一設計方案能發(fā)揮無線組網(wǎng)的靈活性和擴展性,運用RF管理的智能化,能實現(xiàn)集中式的網(wǎng)絡管理,使網(wǎng)絡具有良好的漫游性能,并能支持系統(tǒng)的自動部署與故障恢復,也能實現(xiàn)良好的負載均衡。
根據(jù)要求設計無線局域網(wǎng),由無線交換機接入Internet網(wǎng)絡,然后接入AP控制器,再接兩個核心交換機,核心交換機與服務器群連接。整個校園將被分成三個區(qū)域公布層交換機,每個分布層交換機接入相應數(shù)量的接入交換機,最后接入多個單純的無線AP(瘦AP)進行實地覆蓋,如圖1所示。實現(xiàn)的無線局域網(wǎng)要在同一時間能滿足1200臺終端機移動連接。以考慮1200臺電腦都可以移動則采用多個AP頻率規(guī)劃實現(xiàn)對區(qū)域的全覆蓋以及高帶寬提供,用戶可熱點內(nèi)在不同AP間實現(xiàn)無縫切換,考慮到頻段干擾問題,相鄰AP不能選用同樣的Channel,并且Channel號最差要相差5,也就是構(gòu)成小區(qū)的任意三個相鄰的AP的Channel設置為1、6、11。選用支持802.11n的無線AP進行區(qū)域覆蓋,帶寬達到300M此區(qū)域可滿足幾十臺移動電腦接入網(wǎng)絡,用幾個這樣的無線路由器就可以滿足要求。為了實現(xiàn)無線網(wǎng)絡連接的統(tǒng)一,WLAN必須保證各連接的建筑物均能同時保持良好的視線。因為如果有樹木、高樓等障礙物的話,會影響到無線網(wǎng)絡的信號傳輸,導致網(wǎng)絡性能的受損,而遠距離區(qū)域則建議采用中繼器進行鏈接傳送。
在校園網(wǎng)中,任何一個AP范圍內(nèi),其無線連接采用共享模式,因此其無線終端不能太多,否則會導致所分享的帶寬過小。每個無線終端的傳輸速率或若干無線終端的速率之和,不能超過單個AP的帶寬上限,以保證網(wǎng)絡的順暢。每個AP覆蓋能提供20臺終端機接入,設置分配每臺終端機的帶寬為2M,并加以控制管理。那每個AP的出口帶寬為40兆,由于接入交換機的設備共享帶寬,那本方案的設計所需出口帶寬為40M以上,合計容納1200臺終端機。硬件設備包括:四臺無線交換機,四臺核心交換機,分由六臺分布層交換機,再用到十二臺POE接入交換機,無線AP用到60個左右。若需拓展網(wǎng)絡則可以添加AP。本設計所需的硬件設備如下:4臺MX-200R智能無線交換機、4臺H3C U200-CA核心交換機、6臺Catalyst 3550分布層交換機、12臺LREtrans 4200 POE交換機、60臺無線AP TP-LINK TL-WA801N。
2 無線局域網(wǎng)的網(wǎng)絡管理
2.1 RF智能控制管理
采用RF智能系統(tǒng)控制管理可以自動調(diào)節(jié)網(wǎng)上所有AP的電波特性,自動對網(wǎng)上所有AP的無線電波管理。
無線交換機能夠?qū)崿F(xiàn)無線校園網(wǎng)中傳輸信號的偵測和記錄。一旦某AP范圍內(nèi)的無線信號受到影響,如AP受到基本一電波信號的干擾,則無線交換機會立即對干擾電波進行采樣分析,以定位其來源,然后再與AP的無線信號進行比較,以決定是否對其進行調(diào)整。
2.2 全局性的安全管理
以往無線局域網(wǎng)一般是單純基于AP,因此無線網(wǎng)絡的管理、安全配置工作很多要在AP上進行設置和更改。在此無線網(wǎng)絡的設計中,融合了VPN、防火墻、安全認證、病毒防護、入侵監(jiān)測以及RF電磁波管理等安全功能,并將這些工作匯聚到無線交換機上,通過交換機管理模塊來實現(xiàn)全局性的安全管理。這就克服了無線網(wǎng)絡對安全的分散管理的不足與缺點,增強了無線用戶使用網(wǎng)絡的安全感,也降低了對有線網(wǎng)絡安全的依賴性。
在無線交換機管理模式基礎上,實現(xiàn)對整個網(wǎng)絡的安全管理,對于網(wǎng)管人員來說,其工作量也大為減少,僅需連接到無線交換機上,就可開通、管理、維護所有AP設備以及移動終端,包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶等,均可在無線交換機上“一站式”的完成。
3 無線局域網(wǎng)的安全認證與防范
3.1 多種用戶認證方式和用戶狀態(tài)防火墻
一個無線用戶進入無線網(wǎng)以后,會拿到一個最基本的入網(wǎng)權(quán)限,這個權(quán)限不容許用戶訪問任何網(wǎng)段,只讓用戶通過DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包,通過認證以后才可以接入無線校園網(wǎng)。當前,能支持無線網(wǎng)絡用戶認證的方式較多,可選的軟件也較多,諸如802.1認證、WEB認證、MAC認證、SSID認證、VPN認證方法,均可用于無線網(wǎng)絡的實際運行中。惠州經(jīng)濟學院在自身網(wǎng)絡運用的基礎上,選擇了802.1認證方法,在服務器上安裝了銳捷網(wǎng)絡接入認證軟件的服務器端,使得整個校園網(wǎng)內(nèi)的用戶可隨時隨地通過認證接入網(wǎng)絡。
此外,為了進一步加強對無線網(wǎng)絡的安全防范,無線網(wǎng)絡采用了用戶狀態(tài)防火墻,并將其與用戶認證程序捆綁后使用,當無線用戶通過認證后,用戶狀態(tài)防火墻會為其提供默認的若干防火墻規(guī)則,運用于用戶的無線終端中,不同的無線用戶通常適用不同的防火墻規(guī)則。
3.2 AP安全防護與偵測
由于AP暴露于無線網(wǎng)絡中,應采用RF的偵測功能,對AP啟用有效的保護,為此可實時監(jiān)測整個校園的無線網(wǎng)覆蓋區(qū)域,將所有AP接入納入偵測范圍,并與其附近的AP、設置錯誤的AP和未授權(quán)的AP進行區(qū)分。無線網(wǎng)絡通過安全管理系統(tǒng),可幫助網(wǎng)絡安全管理人員及時、有效的發(fā)現(xiàn)是否存在非法的AP接入與破壞性的數(shù)據(jù)信息,一旦發(fā)現(xiàn)此類安全狀況,則立即開啟系統(tǒng)的自我保護體系,防止無線終端通過非法AP連接,從而對無線網(wǎng)絡的運行造成安全威脅。
對于用戶認證,無線網(wǎng)絡的接入認證和加密防范可在無線交換機上實現(xiàn),而瘦AP是不儲存任何網(wǎng)絡配置(IP地址除外)和安全設置。因此管理的AP是不能單獨工作的,因此獲得和接入進AP,黑客也不會拿到無線網(wǎng)的網(wǎng)絡和安全配置參數(shù)。
3.3 無線接入的安全防范
無線終端安全防范主要是預防病毒,因此需要對接入終端進行接入檢查。在無線終端接入網(wǎng)絡后,需要用戶進行身份認證,并同時下載一個基于JAVA的檢測程序,該程序?qū)o線終端進行系統(tǒng)性的檢測,通過檢測后,提醒用戶安裝系統(tǒng)安全補丁、病毒防護軟件,在訪問網(wǎng)絡時能提醒用戶對病毒庫進行升級。如無法通過檢測,則對無線終端的系統(tǒng)安全漏提醒若干建議,并暫時禁止其訪問網(wǎng)絡。同時,要加強對無線終端的認證管理,校園網(wǎng)可通過一一對應的用戶賬號與密碼,來管理不同的用戶。在網(wǎng)上準備一臺升級服務器,將系統(tǒng)補丁、防病毒軟件、安全認證軟件、系統(tǒng)檢測程序、安全監(jiān)控程序均放置于該服務器上,當無線終端不具備接入條件時,可將其導向連接到該服務器,在安裝了服務器提供的程序后再進行新一輪的檢測,當無線終端通過接入檢查,再啟動網(wǎng)絡監(jiān)控程序,對終端的數(shù)據(jù)信息進行安全監(jiān)控。
綜上所述,根據(jù)惠州經(jīng)濟學院的無線局域網(wǎng)的運行要求,在實際中進行了此無線網(wǎng)的設計,架構(gòu)無線局域網(wǎng)應根據(jù)選型來組建,在構(gòu)建過程中應盡量考慮采用專業(yè)設施及投入,同時也應考慮無線網(wǎng)絡的支撐系統(tǒng)的持續(xù)能力,以減少網(wǎng)絡運行中的問題,保證網(wǎng)絡性能的發(fā)揮。
參考文獻:
[1]張棟軼,無線局域網(wǎng)技術(shù)與實現(xiàn)[J].科技信息,2011.15.
關(guān)鍵詞 中學校園;中小型機房;班班通;校校通;數(shù)字校園
中圖分類號:G637 文獻標識碼:B
文章編號:1671-489X(2017)09-0022-02
1 前言
中學中小型機房建設對于學校信息化應用具有重要保障作用,是學校信息化建設工作的一個重要節(jié)點。隨著計算機多媒體網(wǎng)絡通信技術(shù)越來越廣泛的應用,加強機房建設和管理可以更好地保障信息化設施為教學發(fā)展服務,提高學校的管理水平、教學水平、技術(shù)素質(zhì)和工作效率。實現(xiàn)學校教學和教學管理信息化,要切實重視機房建設,包括管理與維護。
2 機房建設和管理是剛性需求
隨著學校計算機課程的普及,網(wǎng)絡教室建設,信息化教學方式的應用,數(shù)字校園正在成為一種新的學校形態(tài)和發(fā)展趨勢,深刻改變傳統(tǒng)學校的面貌。學校機房建設和管理、維護,在這一進程中具有重要的保障功能。
良好的機房運行可保障學校信息化設施暢通無阻、穩(wěn)定高速,可以高效進行現(xiàn)代化網(wǎng)絡辦公和學校內(nèi)部的即時溝通,輕松實現(xiàn)學校對校園網(wǎng)的管理。機房良好的多媒體承載能力,保證了網(wǎng)絡教室、語音功能教室、電子閱覽室等網(wǎng)絡教學資源的共享,具備快速處理學生網(wǎng)絡電子檔案、網(wǎng)絡作業(yè)并保存相關(guān)信息的能力,滿足多媒體教學的需要。
中小型機房切合中學校的實際應用需求,體現(xiàn)了學校特點,組建一個良好的中小型機房是學校信息化發(fā)展的現(xiàn)實需求。
3 機房總體設計的指導思想
機房對教學信息化應用過程、學校的日常信息管理(包括教學資料和學生檔案、網(wǎng)絡作業(yè)等)提供直接支持,是學校各類信息的網(wǎng)絡管理中心。機房建設須按照實際情況進行選擇與實施。
實用原則,滿足實際的功能需要 機房建設要切實做到從實際需要出發(fā),在方案設計中充分體現(xiàn)“以人為本”,以有效發(fā)揮全部功能,并且有一定前瞻性,考慮未來發(fā)展需要為標準,“夠用”“實用”“可擴展”為基本要求。
具備的功能:支持利用FTP服務實現(xiàn)資料的傳輸以及學校、班級或個人主頁的上傳;支持實現(xiàn)能夠共享資源的教育資源庫,供師生檢索、查詢;支持實時或非實時方式的遠程多媒體教學,進行視頻會議;支持建立學校網(wǎng)站,可利用外部網(wǎng)學校信息,提供各類咨詢信息等;可利用內(nèi)部網(wǎng)進行管理,如通知、收集學生意見等。
濟耐用 機房不僅要兼顧美觀、實用,而且要本著嚴謹科學的態(tài)度,管理機房基礎設施建設,認真核定建設成本,做到投入合理、費用明晰、支出有序,避免造成資金浪費。機房建設的資金投入一般是比較大的,學校應從穩(wěn)定性、反應速度、擴展性和管理能力等眾多方面綜合考慮,切實把握學校的應用需求和特點,合理安排資金,做好建設規(guī)劃。
高效暢通,具備快速處理相關(guān)信息的能力 校園網(wǎng)首先應是技術(shù)先進、覆蓋全校的校園網(wǎng)絡環(huán)境,即“班班通”,同時也是分布、開放的大網(wǎng)絡環(huán)境,即“校校通”。學校師生出于教學過程的需要,往往會連接校園因特網(wǎng)進行資料查詢,這是師生快速獲取資料的最佳途徑。機房要具有將各種工作站及終端,通過高性能的網(wǎng)絡設備連接的功能,設計上應該使軟硬件在系統(tǒng)充分適應信息化要求的基礎上,使各個組成部分相互實現(xiàn)有效配合,以充分發(fā)揮出信息平臺的作用。
機房應支持同時啟用校園網(wǎng)監(jiān)控系統(tǒng),并保障系統(tǒng)的正常穩(wěn)定運行,及時排查故障,避免出現(xiàn)重復、設備丟失和損壞,造成不必要的損失;實施對校園網(wǎng)的網(wǎng)絡監(jiān)控、流量監(jiān)控,對用戶使用互聯(lián)網(wǎng)的情況進行管理和控制,避免一些用戶濫用軟件占用帶寬,拖慢其他用戶瀏覽網(wǎng)頁的速度。利用防火墻技術(shù),阻止非法用戶訪問網(wǎng)絡資源,保證數(shù)據(jù)傳輸、存儲的安全。
及時升級更新設施技術(shù) 學校機房需要全天候進行大量資料的更新、上傳、下載,越來越頻繁的網(wǎng)絡運行傳輸,需要與時代同步,適時采用先進的網(wǎng)絡通信技術(shù)支持。
管理者應不斷跟蹤國內(nèi)外的最新計算機多媒體網(wǎng)絡通信技術(shù)動態(tài),適應系統(tǒng)管理目標的發(fā)展特點及網(wǎng)絡通信技術(shù)的更新?lián)Q代,使主機系統(tǒng)的選擇、網(wǎng)絡結(jié)構(gòu)的設計、網(wǎng)絡的管理和連接方式等,始終保持一定的先進性。可以通過適時升級校園網(wǎng)的服務器等對機房進行更新管理,做到與技術(shù)發(fā)展同步,方便適用。
加強機房建設綜合質(zhì)量管理 機房建設集建筑施工、設備安裝、電氣敷設、網(wǎng)絡連接等多個項目環(huán)節(jié)于一體,其整體工程質(zhì)量的優(yōu)劣直接關(guān)系到機房系統(tǒng)能否穩(wěn)定可靠運行,各類信息通信能否暢通無阻,操作人員能否有一個安全無隱患的工作環(huán)境。為切實保障機房的建設質(zhì)量,要注重綜合管理,加強專業(yè)監(jiān)管,保證每一個環(huán)節(jié)都適應機房運行要求。機房基礎設施建設,如設備運行環(huán)境、安全防護設施、電力供配狀況、消防滅火報警、防盜報警裝置、防雷接地自動監(jiān)視控制處理系統(tǒng)等,一定要在一個安全運行的空間里。
4 主要網(wǎng)絡設備的選擇原則
一個合格的機房,應該是一個實用、安全可靠、節(jié)能高效的機房。根據(jù)已制定的機房設計原則,學校選擇的網(wǎng)絡設備在硬件上,必須保證設置的計算機、網(wǎng)絡等設備能長期運行;軟件要采用技術(shù)成熟的產(chǎn)品選型,達到安全、耐用的目的。主要網(wǎng)絡設備必須具有以下四個特點。
質(zhì)量安全、性能可靠 網(wǎng)絡設備是整個校園網(wǎng)絡系統(tǒng)的硬件基礎,是確保校園網(wǎng)絡系統(tǒng)穩(wěn)定運行的物質(zhì)基礎,對于安全性、穩(wěn)定性和可靠性具有較高的要求。因此,在選擇網(wǎng)絡設備的時候需要嚴把質(zhì)量關(guān),優(yōu)先選擇被用戶廣泛認可的知名網(wǎng)絡產(chǎn)品,并按照相關(guān)標準對相關(guān)設備進行檢測,確保質(zhì)量達標。
技術(shù)上先進 機房所選擇的網(wǎng)絡設備應該采用時下較為先進的技術(shù),使主機系統(tǒng)、網(wǎng)絡結(jié)構(gòu)設計、網(wǎng)絡管理和連接方式具有一定的先進性,確保網(wǎng)絡設備在未來較長的時間內(nèi)不會由于技術(shù)原因而被淘汰。在未來校園機房升級改造時,如果這些網(wǎng)絡設備難以滿足負荷要求,還可以降級使用,避免資源的浪費。
具備優(yōu)良的擴展功能 機房必須具有良好的靈活性與可擴展性,具備支持技術(shù)升級、設備更新、多種網(wǎng)絡傳輸、多種物理接口的能力。為了避免不必要的重復投資,最好能夠根據(jù)需要,做到在網(wǎng)絡技術(shù)進一步發(fā)展,現(xiàn)有模塊不支持新技術(shù)的情況下,只需要更換相應模塊,而不需要更換整個設備。
便于管理,維護方便 機房的網(wǎng)絡系統(tǒng)要具有良好的可管理性,為用戶提供友善的管理界面,安裝、使用方便,還需要相配套的科學合理的管理措施,才可以充分發(fā)揮網(wǎng)絡設備的效用。因此,選擇的設備應該可以支持現(xiàn)有的、常用的網(wǎng)絡管理協(xié)議和多種網(wǎng)絡管理軟件,還要便于進行故障定位和檢修,便于管理人員的維護。
5 網(wǎng)絡教學系統(tǒng)的多樣化功能
機房建設的設計,應充分考慮學校現(xiàn)有教學設備的實際情況,采用的先進技術(shù)應盡可能覆蓋這些設備設施,網(wǎng)絡要做到全覆蓋,包括所有的辦公室、教室、多功能視聽網(wǎng)絡教室以及師生宿舍等,實現(xiàn)合理分配教學資源,學校管理工作和教學活動的全方位信息化,為學校信息化教學發(fā)展提供有力支持,實現(xiàn)多媒體互動教室、計算機網(wǎng)絡教室、多功能演播廳、視訊點播電子閱覽室、電子備課室、信息中心等設施及設備的教學應用。
完善、運行良好的中學機房最終應能實現(xiàn)教師機與學生機之間的多媒體教學功能,滿足教師和學生平時上課所需;運行常用軟件如Office、平面設計、網(wǎng)頁制作、動畫設計軟件和程序設計軟件、數(shù)據(jù)庫軟件等。學生可以在機房利用計算機做一些和課程有關(guān)的模擬實驗,以鍛煉自己的想象力和實際動手能力,還可以擴充學習課外知識,如網(wǎng)絡在線培訓、課件制作、多媒體制作、互聯(lián)網(wǎng)、計算機語言等。
【關(guān)鍵詞】校園網(wǎng);數(shù)據(jù)整合;中間件整合技術(shù)
1.引言
伴隨著網(wǎng)絡的迅猛發(fā)展,信息技術(shù)得到了前所未有的發(fā)展和應用,在信息技術(shù)發(fā)展中,開發(fā)者和使用者逐步認識到,數(shù)據(jù)是信息技術(shù)中的應用核心,沒有數(shù)據(jù)的系統(tǒng),是沒有任何意義的硬件和軟件的疊加如同沒有生命的軀體,只有加上了數(shù)據(jù)在上面流通,如軀體有了血液,才有實際意義。同時為了保證系統(tǒng)的未定性和可用性,數(shù)據(jù)就需要有完整性、準確性、安全性、完整性等。
校園信息化從上世紀90年代開始快速發(fā)展,由于早期對數(shù)據(jù)預期不足,開發(fā)人員個體差異等各種原因,數(shù)據(jù)重復,凌亂、冗余、關(guān)聯(lián)性不夠等相關(guān)問題接踵而至。就長江職業(yè)技術(shù)學院來說,經(jīng)過多年的信息化建設,學院在不同階段因為不同業(yè)務的需求,搭建了大量不同業(yè)務的系統(tǒng),伴隨著系統(tǒng)也產(chǎn)生了大量的數(shù)據(jù),在開發(fā)過程宏由于技術(shù)、需求的原因,從單個軟件系統(tǒng)的應用的角度看,這些數(shù)據(jù)均具有較高的完整性、準確性、安全性、一致性、可用性都不成問題,但整個學院的校園網(wǎng)絡來看,對于不同的領(lǐng)導、部門、科室,多個業(yè)務系統(tǒng)數(shù)據(jù)存在交叉,數(shù)據(jù)存在著種類多、關(guān)聯(lián)性差、無同步性。整體表現(xiàn)為缺少統(tǒng)一規(guī)劃和集中管理,標準化不高,大量無效冗余等問題。相關(guān)數(shù)據(jù)只為單個系統(tǒng)提供服務,無法實現(xiàn)全局同步、共享等,數(shù)據(jù)孤島現(xiàn)象明顯,由此產(chǎn)生形式上的數(shù)據(jù)冗余。因此如何從全局角度出發(fā),對數(shù)據(jù)的完整性、準確性、安全性、一致性可用性,進行處理成了大量企事業(yè)單位面臨的一大困難,數(shù)據(jù)集成的必要性和迫切性就不言而喻,不斷被推至信息發(fā)展的首要位置。
2.數(shù)據(jù)現(xiàn)狀
經(jīng)過學院多年的信息化發(fā)展,目前學院已開始使用,不包括正在開發(fā)的各種業(yè)務系統(tǒng)有20個,開發(fā)系統(tǒng)大部分屬于不同的開發(fā)人員、開發(fā)階段和不同的業(yè)務要求,每個應用系統(tǒng)均自己的數(shù)據(jù)庫。
這些系統(tǒng)都是學院在不同的階段為解決不同的業(yè)務需求而建設的,各系統(tǒng)之間沒有考慮關(guān)聯(lián),產(chǎn)生的數(shù)據(jù)相互之間也沒有關(guān)聯(lián)。這造成了目前多頭存放的數(shù)據(jù)之間存在著無效冗余。
數(shù)據(jù)系統(tǒng)主要存在以下問題:
(1)數(shù)據(jù)共享差
隨著學院的發(fā)展,不同時期產(chǎn)生的系統(tǒng)種類繁,學院各部門、科室相互溝通較少,大多數(shù)系統(tǒng)基本上是針對學院某一單一管理業(yè)務,累積的數(shù)據(jù)也僅限于部門或科室內(nèi)部使用,系統(tǒng)之間即使相同的數(shù)據(jù)也無法進行有效關(guān)聯(lián)與更新,缺乏信息的充分融合,不能實現(xiàn)信息互動,在實際使用中如:查詢學生是否滿足畢業(yè)條件都需查詢兩個系統(tǒng)以上可以得出結(jié)論;
(2)數(shù)據(jù)缺乏規(guī)劃
不同時期不同人員不同軟件開發(fā)的數(shù)據(jù)庫種類多、雜。學院數(shù)據(jù)但缺少統(tǒng)一規(guī)劃和集中管理,相關(guān)數(shù)據(jù)時效性不強,標準化不高,并有大量無效冗余,大量的學生及教師數(shù)據(jù)庫無法在全局內(nèi)共享服務,操作人員需多處修改數(shù)據(jù),數(shù)據(jù)孤島現(xiàn)象明顯;
(3)數(shù)據(jù)可用性低
在眾多系統(tǒng)中,同一人員進入學院的不同應用系統(tǒng)需不同的密碼和身份標示,應用無法有效的統(tǒng)計分析現(xiàn)有數(shù)據(jù),提供決策支持信息。
3.數(shù)據(jù)整合
由于數(shù)據(jù)資源不能夠很好地共享,從而不能滿足各單位對信息資源整體開發(fā)利用的需求,因此需要對數(shù)據(jù)進行必要的整合。目前在數(shù)據(jù)整合領(lǐng)域,通常采用聯(lián)邦數(shù)據(jù)庫技術(shù)、數(shù)據(jù)倉庫、中間件技術(shù)等方法來構(gòu)造集成的系統(tǒng),這三種方法在不同的著重點和應用上解決數(shù)據(jù)問題。
聯(lián)邦數(shù)據(jù)庫是由Hammer和MvLeod于1979首先提出,在1985年進行了完善,在聯(lián)邦數(shù)據(jù)庫中數(shù)據(jù)源相互獨立,為了實現(xiàn)整合,將各個不同數(shù)據(jù)源之間用于交換的數(shù)據(jù)格式進行一一映射,提供訪問結(jié)構(gòu),分享數(shù)據(jù),其有點事,整合的數(shù)據(jù)源保留在原有的存儲文職,減少了一定資源的浪費,缺點是擴展性差、查詢反饋較慢,由于其是基礎IBM的DB2數(shù)據(jù)庫系統(tǒng),對于不用數(shù)據(jù)庫資源整合極大不利。
數(shù)據(jù)倉庫就是一種信息集合,要將處理后的數(shù)據(jù)資源存儲在相同的物理問題,使用戶訪問的復雜度得到簡化,提高訪問速度。缺點是功能邏輯復雜,開發(fā)成本較高系統(tǒng)運行開銷較大。
4.數(shù)據(jù)整合方案-中間件整合技術(shù)
中間件技術(shù)即當客戶端需要查詢某些數(shù)據(jù)時,相關(guān)數(shù)據(jù)或服務存在于不同的操作系統(tǒng)服務器上,服務器應用程序長得查詢模塊只需要調(diào)用中間件系統(tǒng)就能夠獲得數(shù)據(jù)或服務,并將結(jié)果返回給客戶端。其優(yōu)點是可以較好應付不同平臺的數(shù)據(jù)資源整合,使程序的結(jié)構(gòu)層次清晰,降低程序設計的復雜度,同時又大大節(jié)約成本。
在聯(lián)邦數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)倉庫技術(shù)、中間件技術(shù)三類數(shù)據(jù)整合技術(shù)中,功能和實現(xiàn)方式上各有所長,校園網(wǎng)絡發(fā)展多年,在保證大部分系統(tǒng)正常運行的情況,采取有效的措施解決信息孤島來實現(xiàn)校園網(wǎng)絡信息整合是關(guān)鍵所在,中間件整合技術(shù)在校園數(shù)據(jù)整合中,不但可以降低成本,還可以兼容多個數(shù)據(jù)平臺,是實現(xiàn)校園數(shù)據(jù)整合的關(guān)鍵所在首先重新設計數(shù)據(jù)庫開發(fā)周期長,花費高是不可取的。
開發(fā)中在不改變原有應用系統(tǒng)的前提下,每個系統(tǒng)獨立運行,對局部進行變動使用中間件技術(shù),使得各應用系統(tǒng)可以通過這個中間件相互訪問,查詢各自信息資源,實現(xiàn)資源共享和信息傳輸,同時保證數(shù)據(jù)的一致性和完整度。其次統(tǒng)一開發(fā)結(jié)構(gòu)和數(shù)據(jù)庫建設方案對后續(xù)開發(fā)的系統(tǒng)學校統(tǒng)一開發(fā)結(jié)構(gòu),對個數(shù)據(jù)元素按照用途劃分類別,按業(yè)務環(huán)節(jié)和流程劃分數(shù)據(jù)類、數(shù)據(jù)子類、數(shù)據(jù)項,并進行標準化統(tǒng)一編號。規(guī)劃設計完成后,起實施可分為轉(zhuǎn)換和統(tǒng)一兩個階段,逐步實施。
對象關(guān)系映射(Object Relation Mapping,簡稱ORM),面向?qū)ο蟮拈_發(fā)方法是當前商業(yè)開發(fā)應用軟件的主流開發(fā),其注重利用元數(shù)據(jù)將數(shù)據(jù)在對象數(shù)據(jù)庫表格之間來回映射,從而確保訪問代碼不直接侵入域或?qū)ο螅琌RM系統(tǒng)一般是以中間件的形式存在,主要實現(xiàn)程序?qū)ο蟮疥P(guān)系數(shù)據(jù)庫數(shù)據(jù)的映射。就好比是程序中業(yè)務實體對象魚數(shù)據(jù)庫中關(guān)系數(shù)據(jù)之間的紐帶,主要作用是管理處于持久化狀態(tài)的域?qū)ο螅峁┩ㄓ脭?shù)據(jù)訪問方法,優(yōu)化數(shù)據(jù)訪問性能,極大簡化和優(yōu)化了發(fā)雜的數(shù)據(jù)持久化問題,數(shù)據(jù)庫操作對業(yè)務邏輯編程透明,可以使編程人員更專注開發(fā)業(yè)務邏輯功能,提高了開發(fā)效率。
我們在校園數(shù)據(jù)整合中采用目前最為廣泛使用的 Hibernate作為中間整合件,它是使用最為廣泛的開源框架,它成功第實現(xiàn)透明持久化,一面向?qū)ο蟮腍QL封裝SQL,提供了一個簡單靈活且面向?qū)ο蟮臄?shù)據(jù)訪問接口。對象持久化就是把數(shù)據(jù)同步保存到數(shù)據(jù)庫或某些存儲設備中。在傳統(tǒng)的三層結(jié)構(gòu)中業(yè)務邏輯層要負責業(yè)務邏輯和訪問數(shù)據(jù)庫, 對于純面向?qū)ο笳Z言來說,三層結(jié)構(gòu)沒有達到MVC 框架所要求的目標,因而演變出四層結(jié)構(gòu),在四層結(jié)構(gòu)中實現(xiàn)了邏輯層和對象持久化層的分離。目前大多數(shù)校園網(wǎng)的業(yè)務系統(tǒng)都是獨立的,特別在持久化層,經(jīng)過整合之后可以把所有系統(tǒng)數(shù)據(jù)層抽象為一個整體,由Hibernate 框架完成,結(jié)構(gòu)如圖1所示。同時當我們只對數(shù)據(jù)庫MySQL 和SQL2000有需求時,這樣數(shù)據(jù)庫就可以保持不變,學生處或者教務處的系統(tǒng)進行代碼修改就可以了由于Hibernate對SQL 語句的封裝,對于這樣的改進是很容易的實現(xiàn)的,大大簡化了開發(fā)難度。在這種結(jié)構(gòu)下可以采用XML 文件的方式來配置異構(gòu)數(shù)據(jù)庫。
關(guān)鍵詞:校園網(wǎng);WLAN;無線局域網(wǎng);網(wǎng)絡安全
中圖分類號:TN925.93
校園網(wǎng)不僅為在校師生對網(wǎng)絡大量資源的訪問和獲取提供了方便,更成為現(xiàn)今學校教育中的一項重要的基礎設施,為學校教育發(fā)揮著重要的作用。隨著無線網(wǎng)絡技術(shù)的普及,在有線校園網(wǎng)的基礎上構(gòu)建WLAN局域網(wǎng)絡成為現(xiàn)今校園網(wǎng)絡發(fā)展的主方向。無線網(wǎng)絡的建設,有效了彌補了有線局域網(wǎng)存在的不足,同時也使多人同時上網(wǎng)的問題得以良好的解決。
1 無線局域網(wǎng)的原理
無線局域網(wǎng),即WLAN,在我國發(fā)展已經(jīng)有較長一段時間,技術(shù)相對來說是比較成熟的,其原理是通過無線通信技術(shù)使多個計算機設備互聯(lián),形成具有能夠資源共享和互相通信能力的網(wǎng)絡體系。用戶可以采用計算機終端、掌上電腦、智能手機等多種終端設備在無線條件下對互聯(lián)網(wǎng)快速的接入并訪問。WLAN所采用的傳輸方式為紅外線傳輸或者射頻傳輸,其中射頻傳輸因其覆蓋范圍廣、有較大的帶寬且作用距離長等優(yōu)勢使用最為廣泛。WLAN在空氣中利用電磁波進行數(shù)據(jù)的接收和傳送,在室內(nèi)和室外都可實現(xiàn)數(shù)據(jù)傳輸,即使兩地相距幾十千米,如果采用無線橋接的模式依然可以實現(xiàn)數(shù)據(jù)的接收和發(fā)送。WLAN采用的協(xié)議標準目前應用最廣的是IEEE802.11系列,其中應用最普遍的是IEEE802.11b,其所采用的頻段為2.4GHz。IEEE802.11a采用的頻段是5GHz,其速率較高,最高可達到54Mbps,但是因其投入成本較高且覆蓋范圍較小,多在中繼鏈路中采用。IEEE802.11g,能夠適應以上兩種標準,既可以在2.4GHz的頻段工作,又可以提供54Mbps的速率,逐漸發(fā)展成校園和企業(yè)無線局域網(wǎng)絡的主流標準。
2 基于校園網(wǎng)的WLAN的建設原則
校園無線網(wǎng)路的建設不同于社會其它企業(yè)和單位的使用需求,因為校園網(wǎng)絡教育功能的主要特點,在校園WLAN的建設上要全面充分的考慮到校園教育的需要,最大限度的滿足校園網(wǎng)各方面的需要:(1)可靠性。必須保證系統(tǒng)運行的穩(wěn)定可靠,對于關(guān)鍵的網(wǎng)絡設備的運行要有足夠的冗余;(2)先進性。校園WLAN的建設要采用現(xiàn)今成熟和先進的信息和網(wǎng)絡技術(shù),充分考慮到日后技術(shù)發(fā)展的方向和業(yè)務的需要,盡可能的適應未來發(fā)展的需要;(3)可兼容性和可擴展性。在建設校園網(wǎng)WLAN時,要爭取做到結(jié)構(gòu)清晰,并具有良好的擴展能力,配置的硬件具有良好的可靠性,界面友好易操作;(4)安全性。對于任何一個網(wǎng)絡系統(tǒng),安全性都是非常重要也是管理最為薄弱的環(huán)節(jié)。采用有效的安全性保障手段是非常必要的,這直接關(guān)系著網(wǎng)絡整體運行的穩(wěn)定性和持續(xù)性。
3 基于校園網(wǎng)的WLAN建設方案
3.1 WLAN的組網(wǎng)。本文提出的基于校園網(wǎng)的WLAN的建設方案,采用蜂窩狀的信號對校內(nèi)的熱點區(qū)域加以覆蓋,從而實現(xiàn)校園內(nèi)的無線網(wǎng)路信號的全面的無縫的覆蓋。在校園每個熱點區(qū)域AP通過交換機在獨立的VLAN中進行劃分,此VLAN為了將校園網(wǎng)和沒有經(jīng)過認證的用戶之間做以安全隔離,在中心不進行三層交換。針對校園無線局域網(wǎng)用戶多,范圍廣的特征,要求必須嚴密的安全認證和優(yōu)質(zhì)的網(wǎng)絡性能。但是為了保證網(wǎng)絡保持良好的性能,不能在一個VLAN內(nèi)江整個無線網(wǎng)路劃入進去。因此,在校園網(wǎng)的WLAN建設方面,本文提出的方案采用將網(wǎng)絡覆蓋區(qū)域加以劃分,按照區(qū)域和用戶數(shù)進行子網(wǎng)的劃分,每個子網(wǎng)都有一立的無線網(wǎng)路控制器進行管轄控制,從而實現(xiàn)用戶分流,減少網(wǎng)絡運行的壓力。
3.2 網(wǎng)絡架構(gòu)。本文提出的基于校園網(wǎng)的WLAN建設方案采用三層網(wǎng)絡架構(gòu):第一層為管理層。此層主要負責認證、計費、管理等任務,管理層由兩臺主要服務器組成,接入服務器是運營商對接的接口,還對下一層用戶發(fā)來的認證請求進行處理,根據(jù)認證類型轉(zhuǎn)發(fā)請求到服務器本地接入,再對用戶賬號進行判別,并將結(jié)果向底層的無線網(wǎng)絡控制器進行反饋。管理層是核心層,管理層運行是否穩(wěn)定,直接關(guān)系整個無線網(wǎng)的運行,鑒于此,管理層需要保持一定的冗余,接入主、備兩臺服務器。第二層為控制曾,有多臺無線網(wǎng)絡控制器組成,每臺控制器對各自的子網(wǎng)的無線用戶進行單獨的控制,對認證請求進行接收并向認證服務器轉(zhuǎn)發(fā),同時還為上一層采集用戶計費信息。第三層接入層,由若干個AP組成,負責接入各種終端設備。
3.3 安全網(wǎng)絡認證。WLAN用戶的安全認證、數(shù)據(jù)加密比有線網(wǎng)絡更加嚴密,要求更高。本文提出的WLAN建設方案,采用利用無線網(wǎng)絡控制器,提出基于WPA2認證和和WEB+DHCP認證的用戶安全認證的方案。無線網(wǎng)絡控制器采用WPA2認證,與WPA后向兼容,但是WPA2對更高級的算法支持,對無線網(wǎng)的安全問題更有效的解決,安全保護更優(yōu)。為了使用戶用起來更便捷,操作更簡單,提出一種WEB+DHCP認證方法,此種認證方法不需要安裝軟件,只要將瀏覽器打開即有認證界面彈出,只需輸入賬號名和密碼即可。
3.4 網(wǎng)絡管理。本方案采用了網(wǎng)管系統(tǒng)WNMS,采用標準協(xié)議SNMP進行網(wǎng)絡設備的配置、管理和數(shù)據(jù)采集,而且利用WNMS對設備參數(shù)進行管理和故障診斷。同時WNMS還可以對無線網(wǎng)絡控制器、AP和相關(guān)設備的關(guān)系清晰、直觀的反映出來。由于無線AP孤立地分布在比較分散的位置,因此在一個完整的WLAN解決方案中,WNMS系統(tǒng)將成為保障無線網(wǎng)絡穩(wěn)定運行中占據(jù)十分重要的地位。
4 結(jié)束語
校園WLAN是在計算機網(wǎng)絡技術(shù)結(jié)合先進的無線通信技術(shù)基礎之上衍生出來的,是現(xiàn)今校園計算機有線網(wǎng)絡順應時展需要建立起來的一種新的傳輸方式,并為在校師生通信的移動化、個人化和多媒體應用提供了潛在的手段,發(fā)展前景。
參考文獻:
[1]王崗.WLAN的安全發(fā)展及解決方案[J].中國數(shù)據(jù)通信,2012(02):34-35.
【關(guān)鍵詞】校園網(wǎng) 建設 網(wǎng)絡安全
【中圖分類號】G647 【文獻標識碼】A 【文章編號】1674-4810(2013)18-0039-01
一 校園網(wǎng)的功能
校園網(wǎng)內(nèi)部通過電纜或光纜連接服務器、工作站及各種通信設備,對外通過DDN專線或其他通信線路連通Internet。學校可通過校園網(wǎng)查詢并統(tǒng)計包括學生學籍資料及學習成績、教師檔案及業(yè)務情況、學校財務數(shù)據(jù)報表等在內(nèi)的各類資料;通過學校主頁進行各類信息;通過電子郵件系統(tǒng)收發(fā)各類通知及教學資料等。教師可通過電子備課系統(tǒng)、計算機輔助教學系統(tǒng)等開展高質(zhì)量、高效率的教學工作;可通過國際互聯(lián)網(wǎng)查詢資料,隨時了解教科研的最新動態(tài)。學生可通過校園網(wǎng)學習、鞏固知識,還可根據(jù)自己的興趣在網(wǎng)上進行科學探索,撰寫論文。
二 校園網(wǎng)的建設
為實現(xiàn)以上功能,學校可制定如下構(gòu)建方案:
1.硬件環(huán)境
第一,主干網(wǎng)絡技術(shù)的選擇:選用1000M交換式快速以太網(wǎng)。
第二,網(wǎng)絡集成環(huán)境的組建:(1)校園網(wǎng)絡控制中心。它是整個校園網(wǎng)的心臟,配置WWW服務器、FTP服務器、郵件服務器、文件服務器、Internet服務器、交換機(神州數(shù)碼5600)、路由器(神州數(shù)碼2626)配線機柜、UPS電源等。(2)教師辦公中心。教師可通過校園網(wǎng)查詢資料,了解教科研的最新動態(tài),交流教學內(nèi)容和方法,實現(xiàn)資源共享。(3)多媒體網(wǎng)絡教室。通過交換機(二層交換機),將學生用機、教師用機接入校園網(wǎng),使其都能訪問網(wǎng)絡控制中心文件服務器的內(nèi)容,并增加適當?shù)亩嗝襟w外部設備,開展多媒體教學,提高教學質(zhì)量。(4)學生機房。通過星形網(wǎng)絡拓撲結(jié)構(gòu)將所有電腦連接到可堆疊交換機上,再通過交換機連接到校園主干網(wǎng)。在機房內(nèi)完善多媒體教學平臺,使之成為一個既能完成信息技術(shù)學科教學,又能進行多媒體輔助教學,還能開展基于Internet的網(wǎng)絡活動的多媒體網(wǎng)絡活動室。(5)學校各機構(gòu)辦公室。通過交換機與校園主干網(wǎng)相連,以實現(xiàn)學校信息管理的自動化。
2.軟件環(huán)境
第一,服務器操作系統(tǒng)采用Windows 2000 Server。服務軟件采用Microsoft ISA。Web服務系統(tǒng)選用Windows 2000 Server下的IIS信息服務系統(tǒng)。
第二,教師機工作站選用Winxp作為操作系統(tǒng),安裝多媒體課件制作軟件、數(shù)據(jù)庫管理系統(tǒng)、辦公軟件和一些工具軟件等。
第三,院長和管理人員計算機選用Winxp操作系統(tǒng),除安裝辦公軟件外,還可安裝一些相關(guān)的管理軟件(如教師評價系統(tǒng)、校園監(jiān)視系統(tǒng)等)。
第四,網(wǎng)絡機房學生機選用Winxp作為操作系統(tǒng),并安裝適當?shù)慕虒W軟件。如安裝Internet仿真教學系統(tǒng),可以進行仿真的Internet學習,將機房轉(zhuǎn)變?yōu)榭梢赃M行Internet教學的教室;在適當?shù)臅r候可直接連入Internet。安裝網(wǎng)絡考試系統(tǒng),可通過網(wǎng)絡考試系統(tǒng)進行網(wǎng)絡考試,實時得到考試分數(shù)和講評,使電腦機房在多學科的教學中發(fā)揮作用。
第五,多媒體網(wǎng)絡教室選用Winxp作為操作系統(tǒng),并安裝New Class多媒體教學系統(tǒng),實現(xiàn)管理、控制、共享和通訊等功能,進行廣播、監(jiān)看/監(jiān)聽、電子舉手、學生示范、遠端遙控等多媒體教室的教學。
三 校園網(wǎng)的安全問題
1.復雜性
現(xiàn)在大學校園的教學逐步走向網(wǎng)絡化,學生在線學習、娛樂的時間增加,所以保證校園網(wǎng)的穩(wěn)定及安全至關(guān)重要,還必須提供24小時正常和高效的網(wǎng)絡運行,因此網(wǎng)絡維護利用顯得尤為重要。
2.用戶密集性
在教學區(qū)、學生公寓區(qū)、家屬區(qū)等,出現(xiàn)網(wǎng)絡安全問題時,蔓延速度快,對網(wǎng)絡影響嚴重。某臺計算機由于各種原因出現(xiàn)故障,反過來又會影響整個網(wǎng)絡。而且大學生好奇心強、敢于嘗試,不考慮網(wǎng)絡的運行環(huán)境,在網(wǎng)上隨意下載各類資源,不顧及是否有風險,是否會對網(wǎng)絡產(chǎn)生破壞和影響。
3.校園網(wǎng)業(yè)務多,開放性強
校園網(wǎng)是教育教學及科研的特定場所,是新知識、新技術(shù)最先應用的場所,業(yè)務項目多,網(wǎng)絡環(huán)境相對較寬松。如果哪一部分影響網(wǎng)絡的運行安全,很難簡單采取停止該服務或關(guān)閉該端口的措施,所以存在較大安全隱患。
關(guān)鍵詞:校園網(wǎng)絡安全;安全防御機制;蜜罐;蜜網(wǎng)
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2009)33-9234-03
隨著基于計算機網(wǎng)絡技術(shù)的現(xiàn)代教育手段應用的日益廣泛, 各地建設校園網(wǎng)的熱情空前高漲。校園網(wǎng)的普及對加快信息處理、合理配置教育資源、充分利用優(yōu)質(zhì)教育資源、提高工作效率、減輕勞動強度、實現(xiàn)資源共享都起到了不可估量的作用,信息安全問題也日益突出。 作為從局域網(wǎng)基礎上發(fā)展起來的校園網(wǎng)也面對這樣的安全問題。 因此, 解決網(wǎng)絡安全問題刻不容緩。網(wǎng)絡與信息安全技術(shù)的核心問題是對計算機系統(tǒng)和網(wǎng)絡進行有效地防護。網(wǎng)絡安全涉及面很廣, 從技術(shù)層面上講主要包括防火墻技術(shù)、入侵檢測技術(shù)、病毒防護技術(shù)、數(shù)據(jù)加密和認證技術(shù)、蜜罐技術(shù)等, 這些安全技術(shù)中, 大多數(shù)技術(shù)都是在攻擊者對網(wǎng)絡進行攻擊時對系統(tǒng)進行被動的防護。而可以采取主動的方式的蜜罐技術(shù)就是用特有的特征吸引攻擊者, 同時對攻擊者的各種攻擊行為進行分析并找到有效的對付方法。結(jié)合蜜罐構(gòu)建的網(wǎng)絡安全防御系統(tǒng), 可使網(wǎng)絡防御者化被動為主動, 更好地研究入侵者的行為和動機, 從而更好地保護校園網(wǎng)絡。
1 蜜罐的定義及分類
“蜜罐”的思想最早由Clifford Stoll 于1988 年6 月提出,作者在跟蹤黑客的過程中,利用了一些包含虛假信息的文件作為黑客“誘餌”來檢測入侵。明確提出蜜罐是Lance Spitzner 給出的定義:蜜罐是一種安全資源,其價值在于被探測、攻擊或者摧毀。蜜罐是一種預先配置好的系統(tǒng),系統(tǒng)內(nèi)含有各種偽造而且有價值的文件和信息,用于引誘黑客對系統(tǒng)進行攻擊和入侵。蜜罐系統(tǒng)可以記錄黑客進入系統(tǒng)的一切信息,同時還具有混浠黑客攻擊目標的功能,可以用來保護服務主機的正常運行。蜜罐系統(tǒng)收集到的信息可以作為跟蹤、研究黑客現(xiàn)有技術(shù)的重要資料,可以用來查找并確定黑客的來源;還可以用來分析黑客攻擊的目標,對可能被攻擊的系統(tǒng)提前做好防護工作。
蜜罐在編寫新的IDS特征庫、發(fā)現(xiàn)系統(tǒng)漏洞、分析分布式拒絕服務(DDOS)攻擊等方面是很有價值的。蜜罐本身并不直接增強網(wǎng)絡的安全性,將蜜罐和現(xiàn)有的安全防衛(wèi)手段如入侵檢測系統(tǒng)(IDS)、防火墻(Firewall)、殺毒軟件等結(jié)合使用,可以有效提高系統(tǒng)安全性。
按照蜜罐實現(xiàn)時,允許操作系統(tǒng)與入侵者交互的復雜程度,蜜罐系統(tǒng)可以劃分為低交互級蜜罐系統(tǒng)、中交互級蜜罐系統(tǒng)和高交互級蜜罐系統(tǒng)。
1) 低交互級蜜罐系統(tǒng):典型的低交互級蜜罐僅提供一些簡單的虛擬服務,例如在特定的端口監(jiān)聽記錄所有進入的數(shù)據(jù)包。這類蜜罐沒有向入侵者提供可以遠程登錄的真實操作系統(tǒng),因此風險最低,但是蜜罐所扮演的角色是非常被動的,就象一個單向連接,只有信息從外界流向本機,而沒有回應信息發(fā)出,無法捕捉到復雜協(xié)議下的通訊過程,所能收集到的信息有限。
2) 中交互級蜜罐系統(tǒng):中交互級蜜罐系統(tǒng)也不提供真實的操作系統(tǒng),但是卻為入侵者提供了更多復雜的誘騙進程,模擬了更多更復雜的特定服務,使攻擊者誤認為是一個真正的操作系統(tǒng),能夠收集更多數(shù)據(jù)。但同時也增加了蜜罐的風險,因此要確保在模擬服務和漏洞時不產(chǎn)生新的真實漏洞,而給黑客攻擊真實系統(tǒng)的機會。
3) 高交互級蜜罐系統(tǒng):高交互蜜罐提供了真實的操作系統(tǒng)和服務,可以了解黑客運行的全部動作,獲得更多有用信息,但遭受攻擊的可能性大,引入了更高風險,結(jié)構(gòu)較復雜。高交互蜜罐系統(tǒng)部署的代價最高,需要系統(tǒng)管理員的連續(xù)監(jiān)控。不可控制的蜜罐對任何組織來說沒有任何意義甚至可能成為網(wǎng)絡中最大的安全隱患。
從具體實現(xiàn)的角度,可以分為物理蜜罐和虛擬蜜罐。
1) 物理蜜罐:物理蜜罐通常是一臺或多臺真實的在網(wǎng)絡上存在的主機,這些主機上運行著真實的操作系統(tǒng),擁有自己的IP 地址,提供真實的網(wǎng)絡服務來吸引攻擊。
2) 虛擬蜜罐:虛擬蜜罐通常用的是虛擬的機器、虛擬的操作系統(tǒng),它會響應發(fā)送到虛擬蜜罐的網(wǎng)絡數(shù)據(jù)流,提供模擬的網(wǎng)絡服務等。
2 蜜罐的配置模式
1) 誘騙服務(deception service)
誘騙服務是指在特定的IP服務端口幀聽并像應用服務程序那樣對各種網(wǎng)絡請求進行應答的應用程序。DTK就是這樣的一個服務性產(chǎn)品。DTK吸引攻擊者的詭計就是可執(zhí)行性,但是它與攻擊者進行交互的方式是模仿那些具有可攻擊弱點的系統(tǒng)進行的,所以可以產(chǎn)生的應答非常有限。在這個過程中對所有的行為進行記錄,同時提供較為合理的應答,并給闖入系統(tǒng)的攻擊者帶來系統(tǒng)并不安全的錯覺。例如,當我們將誘騙服務配置為FTP服務的模式。當攻擊者連接到TCP/21端口的時候,就會收到一個由蜜罐發(fā)出的FTP的標識。如果攻擊者認為誘騙服務就是他要攻擊的FTP,他就會采用攻擊FTP服務的方式進入系統(tǒng)。這樣,系統(tǒng)管理員便可以記錄攻擊的細節(jié)。
2) 弱化系統(tǒng)(weakened system)
只要在外部因特網(wǎng)上有一臺計算機運行沒有打上補丁的微軟Windows或者Red Hat Linux即行。這樣的特點是攻擊者更加容易進入系統(tǒng),系統(tǒng)可以收集有效的攻擊數(shù)據(jù)。因為黑客可能會設陷阱,以獲取計算機的日志和審查功能,需要運行其他額外記錄系統(tǒng),實現(xiàn)對日志記錄的異地存儲和備份。它的缺點是“高維護低收益”。因為,獲取已知的攻擊行為是毫無意義的。
3) 強化系統(tǒng)(hardened system)
強化系統(tǒng)同弱化系統(tǒng)一樣,提供一個真實的環(huán)境。不過此時的系統(tǒng)已經(jīng)武裝成看似足夠安全的。當攻擊者闖入時,蜜罐就開始收集信息,它能在最短的時間內(nèi)收集最多有效數(shù)據(jù)。用這種蜜罐需要系統(tǒng)管理員具有更高的專業(yè)技術(shù)。如果攻擊者具有更高的技術(shù),那么,他很可能取代管理員對系統(tǒng)的控制,從而對其它系統(tǒng)進行攻擊。
4) 用戶模式服務器(user mode server)
用戶模式服務器實際上是一個用戶進程,它運行在主機上,并且模擬成一個真實的服務器。在真實主機中,每個應用程序都當作一個具有獨立IP地址的操作系統(tǒng)和服務的特定是實例。用戶模式服務器這樣一個進程就嵌套在主機操作系統(tǒng)的應用程序空間中,當INTERNET用戶向用戶模式服務器的IP地址發(fā)送請求,主機將接受請求并且轉(zhuǎn)發(fā)到用戶模式服務器上。這種模式的成功與否取決于攻擊者的進入程度和受騙程度。它的優(yōu)點體現(xiàn)在系統(tǒng)管理員對用戶主機有絕對的控制權(quán)。即使蜜罐被攻陷,由于用戶模式服務器是一個用戶進程,那么Administrator只要關(guān)閉該進程就可以了。另外就是可以將FIREWALL,IDS集中于同一臺服務器上。當然,其局限性是不適用于所有的操作系統(tǒng)。
3 蜜罐Honeypot 的在校園網(wǎng)中的實現(xiàn)
本人首先研究了宜興技師學院的網(wǎng)絡環(huán)境和面臨的安全威脅,分析了校園網(wǎng)的特殊性及校園網(wǎng)的安全需求, 根據(jù)校園網(wǎng)的需求和特點, 再結(jié)合宜興技師學院網(wǎng)絡的硬件設施和學院的具體情況, 提出了我院的網(wǎng)絡安全解決方案,構(gòu)建了本院的蜜罐系統(tǒng),取名為:HoneypotMe。我們設計該蜜罐系統(tǒng)的目的是為了研究和驗證蜜罐在校園網(wǎng)安全領(lǐng)域所起的作用,通過實踐加深對蜜罐思想的理解,并進一步在實際環(huán)境中使用它來加強網(wǎng)絡的安全性。
我們在校園網(wǎng)中搭建了如下的試驗平臺, HoneypotMe 的系統(tǒng)結(jié)構(gòu)及虛擬網(wǎng)絡拓撲結(jié)構(gòu)如圖1 所示。HoneypotMe 是由虛擬網(wǎng)絡、虛擬蜜罐、防火墻、虛擬蜜罐的日志及分析系統(tǒng)、入侵檢測系統(tǒng)及被動探測系統(tǒng)幾部分組成的綜合系統(tǒng)。
這里的虛擬蜜罐系統(tǒng)建立的是一個虛擬的網(wǎng)絡和主機環(huán)境。它通過模擬操作系統(tǒng)的TCP/IP 棧來建立蜜罐,可模擬各種不同的操作系統(tǒng)及設備,如Linux,Windows 2000,Windows NT,Cisco Switch等。它采用的方式是使用與Nmap 或Xprobe 相同的指紋(fingerprint)數(shù)據(jù)庫來模擬操作系統(tǒng),以響應針對虛擬蜜罐的網(wǎng)絡請求,這樣可以愚弄像Xprobe 或Nmap 這樣的TCP/IP 棧指紋識別工具。另一方面,這個系統(tǒng)也可以模擬虛擬網(wǎng)絡拓撲,在模擬的網(wǎng)絡配置中包含路由器,并且包含路由器的連接特性,比如反應時間、包丟失和帶寬等。這樣可以愚弄traceroute 這類工具,使網(wǎng)絡流量看起來遵循了所模擬的網(wǎng)絡拓撲。在我們的系統(tǒng)中,不僅通過棧指紋愚弄和吸引攻擊者以探測攻擊,而且還建立了一些模擬的服務,讓它們來與攻擊者進行交互作用。不同的系統(tǒng)平臺上通過腳本模擬著不同的服務,例如:在模擬的Windows 系統(tǒng)上打開NetBIOS端口,在模擬的 Linux 系統(tǒng)中激活mail 和FTP,而模擬的Cisco 路由器有一個標準的Telnet 端口,這樣可使建立起來的網(wǎng)絡環(huán)境看上去更加真實可信。每個被模擬的計算機系統(tǒng)都有一個IP 地址與之綁定,這些被綁定的地址是一些未被分配網(wǎng)絡地址。這樣配置起來的系統(tǒng)靈活多變,與真實的生產(chǎn)性系統(tǒng)混合在一起,更增加其誘捕和欺騙作用。圖3.9 虛線框中所示就是為實驗環(huán)境設計的虛擬蜜罐的網(wǎng)絡拓撲圖。Honeyd 是一個構(gòu)建虛擬蜜罐的軟件,可以利用它實現(xiàn)我們構(gòu)建虛擬蜜罐的目標。另外,作為一個開放源代碼解決方案,可為開發(fā)利用提供方便,比如,可編寫其它的服務腳本以擴充系統(tǒng)的功能等。為了防止由于攻擊者對蜜罐系統(tǒng)的破壞,使蜜罐系統(tǒng)癱瘓,可使用防火墻來保護該蜜罐系統(tǒng)。防火墻被配置成允許任何連接進入到幾個虛擬蜜罐中,但是嚴格控制到系統(tǒng)本身的訪問,本系統(tǒng)選用IPTables 來保護宿主OS 的外部IP 地址。收集和分析攻擊者的信息是HoneypotMe 能力的一項重要體現(xiàn)。由于蜜罐沒有生產(chǎn)性的活動,沒有任何正常流量會流向它正在監(jiān)視的幾個IP 地址。這使得分析它捕捉到的信息極其簡單,因此它捕捉到的任何東西很可能是具有敵意的。Honeyd軟件有生成日志的功能,日志全面描述了什么系統(tǒng)什么時候正在探測什么端口。IDS 能對已知的攻擊發(fā)出警報,同時可將所有網(wǎng)絡流量記錄到一個文件或數(shù)據(jù)庫中。為了獲得分析數(shù)據(jù)包捕獲的更詳細的信息,在HoneypotMe 蜜罐系統(tǒng)中安裝和配置了Snort 入侵檢測系統(tǒng)。Snort 收集到的信息一方面記錄到Snort 的日志文件中,另一方面記錄到Mysql 數(shù)據(jù)庫中以便觀察和統(tǒng)計分析之用。另外,我們打算利用被動探測詳細地分析攻擊者的特征。這就需要捕獲原始數(shù)據(jù)包供被動探測工具使用。可利用Snort 入侵檢測系統(tǒng)獲取Tcpdump 這樣的二進制日志記錄格式以作為被動探測工具的輸入數(shù)據(jù),獲取攻擊者更詳細的信息以實現(xiàn)隱蔽探測。
正如我們所看到的,蜜罐系統(tǒng)使用許多獨立的工具和腳本創(chuàng)建,在其中還包括一些日志文件和數(shù)據(jù)庫供分析之用。開發(fā)圖形用戶界面來配置、管理蜜罐以及集中管理所有信息來源是我們的目標。蜜罐收集了許多來自不同來源的信息,將它們存儲到多個日志文件和數(shù)據(jù)庫中。用GUI 來分析這些文件和使所收集的數(shù)據(jù)相關(guān)聯(lián)是會有很大的幫助的,這樣的話管理員就不需要記住存儲數(shù)據(jù)的所有文件。另一個很主要的優(yōu)點是其外觀,在基于web 的GUI 上表示信息比訪問日志文件清晰整潔的多。目前,我們僅實現(xiàn)了在web 界面上瀏覽Honeyd 日志的功能。
4 實驗過程及結(jié)果分析
為了驗證該系統(tǒng),虛擬蜜罐宿主機被連接到校園網(wǎng)的物理網(wǎng)絡環(huán)境中,并為其分配一個真實的分配給物理計算機的IP 地址,在這里我們給其分配的IP 地址為192.168.40.7。所有實現(xiàn)虛擬蜜罐系統(tǒng)的軟件都將運行在Linux9.0 操作系統(tǒng)下。圖3.9 的虛線部分顯示出我們要模擬的虛擬網(wǎng)絡結(jié)構(gòu)及各個虛擬蜜罐。從圖中可以看出虛擬蜜罐1(IP 地址為192.168.40.56)、虛擬蜜罐2(IP 地址為192.168.40.57)、虛擬蜜罐3(IP 地址為192.168.40.58)和虛擬蜜罐4(IP 地址為192.168.40.59)與虛擬蜜罐宿主機處于同一個網(wǎng)段。從這個網(wǎng)段通過一個IP 地址為192.168.40.123 的路由器(路由器1)模擬一個地址空間為10.0.1.0/24 的網(wǎng)絡,在這個網(wǎng)段中包括兩個虛擬蜜罐:虛擬蜜罐5(10.0.1.51)和虛擬蜜罐6(10.0.1.52)。從這個網(wǎng)段通過一個IP 地址為10.0.1.100 的路由器(路由器2)又增加了另一個地址范圍為10.1.0.0/16 的網(wǎng)絡,在此網(wǎng)絡中分布了兩個蜜罐虛擬蜜罐7(10.1.0.51)和虛擬蜜罐8(10.1.0.52)。
我們知道虛擬蜜罐系統(tǒng)是一個完全被配置起來的計算機系統(tǒng),它在配置文件中描述每一個引用。
每個樣本定義了每個模擬的操作系統(tǒng)的性能。“特征(personality)”這就是操作系統(tǒng)在IP 堆棧層要模擬的東西,可利用Nmap 指紋數(shù)據(jù)庫里相同的描述作為它的OS 類型。在樣本windows 里,特征為“Windows NT 4.0 Server SP5-SP6”,在linux樣本里,它的特征為“Linux 2.4.16 C 2.4.18”。注意,特征并不影響所模擬的服務的行為,僅僅修改IP 棧的行為。對于所模擬的服務,必須根據(jù)想要模擬的OS 的類型選擇不同的腳本。換句話說就是,如果特征是Windows,不要綁定一個模擬的Apache 腳本到HTTP 端口,而是綁定一個IIS 腳本到HTTP 端口。應該說,這些服務都是入侵者在相應的操作系統(tǒng)中希望找到的。在樣本中,你可以為端口規(guī)定明確的行為,也可以定義為一般的行為。兩個樣本中將TCP 和UDP 的缺省行為定義為reset,因此在一般情況下,對于TCP 來講將用RST(連接復位)去響應任意的連接企圖,對于UDP,將用ICMP 端口不可達去響應。對于定義為open 行為的端口,對于TCP 將用ACK 響應,而UDP 將什么也不響應。從樣本中可以看出,Windows系統(tǒng)的NetBIOS 端口處于打開狀態(tài);當一個機器與這個蜜罐的80 端口連接時,該蜜罐用IIS 仿真程序perl 腳本與客戶機進行交互;另外Linux 系統(tǒng)的mail 和FTP服務被激活。上面的兩個樣本分別被綁定在不同的IP 地址上。
5 結(jié)論
總之蜜罐技術(shù)是靈活的,我們可以按照自己的實現(xiàn)目標來構(gòu)建自己的蜜罐系統(tǒng)。在這里我們利用虛擬蜜罐框架來構(gòu)建我們校園網(wǎng)的蜜罐,以實現(xiàn)蜜罐的欺騙和誘騙功能。為了控制黑客的行為,防止黑客對蜜罐系統(tǒng)的破壞和利用,在蜜罐系統(tǒng)中加入了防火墻,并選用了Linux 2.4 自帶的內(nèi)核包過濾的工具iptables。為了了解黑客的行為,在蜜罐系統(tǒng)中加入了信息收集和統(tǒng)計分析功能。通過開發(fā)web 接口的日志文件查詢工具,使蜜罐管理員能夠方便快捷地查詢虛擬蜜罐框架收集的日志信息。為了獲得更詳細的黑客攻擊和掃描信息并及時得到報警,使用入侵檢測系統(tǒng)Snort 來滿足我們的需求。最終,為了獲取黑客自身的信息而又不被其發(fā)現(xiàn),我們使用被動探測工具p0f 來獲取黑客的操作系統(tǒng)指紋。這是實現(xiàn)隱蔽探測的一個很好的思路,即利用蜜罐來引誘攻擊者的掃描和攻擊,然后使用被動探測工具探查攻擊者的信息。這也是我們構(gòu)建蜜罐系統(tǒng)的一個創(chuàng)新點。綜上所述,我們構(gòu)建的蜜罐系統(tǒng)是一個實現(xiàn)了欺騙和誘騙、行為控制、入侵檢測、被動探測、數(shù)據(jù)分析等功能的綜合性蜜罐系統(tǒng)。
參考文獻:
[1] 夏明,趙小敏.基于蜜罐技術(shù)的病毒樣本采集系統(tǒng)的設計和實現(xiàn)[J].信息網(wǎng)絡安全,2008(10).
>> 基于ISA的虛擬校園網(wǎng)構(gòu)建及應用 高校校園網(wǎng)建設與發(fā)展狀況的思考 基于WLAN的高校無線校園網(wǎng)的構(gòu)建與探討 構(gòu)建基于校園網(wǎng)的校本培訓新模式 構(gòu)建高校校園網(wǎng) 基于VLAN技術(shù)的高校校園網(wǎng)設計 基于新型VPN 技術(shù)的高校校園網(wǎng)改造 基于高校校園網(wǎng)的安全與對策 基于高校校園網(wǎng)的網(wǎng)絡問卷調(diào)查系統(tǒng)的發(fā)展趨勢 基于校園網(wǎng)的高校數(shù)據(jù)庫發(fā)展與展望 VPN技術(shù)對于高校校園網(wǎng)發(fā)展的意義 基于Citrix XenApp的高校校園網(wǎng)應用虛擬化設計及研究 淺談校園網(wǎng)的構(gòu)建 淺談高校校園網(wǎng)的建設 淺談基于我國高校校園網(wǎng)的電子商務發(fā)展?jié)摿?校園網(wǎng)的安全及對策 地方高校校園網(wǎng)安全體系的構(gòu)建與維護 基于MHN蜜網(wǎng)的校園網(wǎng)防御部署及入侵分析 基于校園網(wǎng)的多媒體大學英語學習平臺的構(gòu)建 基于流媒體技術(shù)的校園網(wǎng)WebVOD的構(gòu)建 常見問題解答 當前所在位置:l
[2] 范文杰.淺談校園局域網(wǎng)方案[J].科技信息,2011.30:253
[3] 吳旭東,柳炳祥.校園網(wǎng)網(wǎng)絡規(guī)劃的設計與實現(xiàn)[J],電腦開發(fā)與應用,2011.24(11):64-65
[4] 劉彥會.淺探IPv6過渡技術(shù)在校園網(wǎng)升級中的應用[J].信息與電腦,2011.11:116
關(guān)鍵詞:QoS;擁塞管理;流量監(jiān)管
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2014)34-8131-02
QoS(Quality of service)是網(wǎng)絡的一種安全機制,是用來解決網(wǎng)絡延遲、阻塞等問題的一種技術(shù)。QoS在不增加鏈路帶寬的情況下,通過對網(wǎng)絡的監(jiān)測和管理提高網(wǎng)絡的性能,它是網(wǎng)絡中管理數(shù)據(jù)流的帶寬、延遲、抖動及可靠性等技術(shù)參數(shù)的集合。
造成校園網(wǎng)絡阻塞的主要原因是沒有合理的分配和管理帶寬的使用,讓部分應用服務長時間占用大量帶寬資源。如,大量的P2P下載、在線視頻等非關(guān)鍵應用服務占用大量帶寬,而遠程登錄、HTTP等關(guān)鍵服務卻得不到保障。校園是P2P、在線視頻應用最多的場所之一,如何有效的保障校園內(nèi)的關(guān)鍵服務,是校園將要面對的一個問題。利用QoS對校園進行優(yōu)化管理可很好的解決這個問題,為不同類型用戶或網(wǎng)絡應用服務分配不同的帶寬,并對非正常的帶寬使用進行控制,保證網(wǎng)絡的正常運行。
1 QoS的服務模型
QoS的服務模型有下面三種:
1) 盡力而為服務模型(Best-effort):盡力而為服務模型其實沒有QoS,路由器平等對待所有數(shù)據(jù)包,通過FIFO隊列來實現(xiàn)。它適合大多數(shù)網(wǎng)絡應用,如FTp、E-mail等。
2) 集成服務模型(Int-Serv):Int-Serv是一個綜合服務模型,它使用資源預留協(xié)議(RVSP)。發(fā)送方在發(fā)送數(shù)據(jù)包前,需要向網(wǎng)絡申請?zhí)囟ǖ姆眨凑镜侥康恼竞吐窂缴系拿恳粋€路由器需要預留足夠的資源,以保證端到端的服務質(zhì)量要求。
3) 區(qū)分服務模型(Diff-Serv):區(qū)分服務實現(xiàn)簡單,在路由器中增加區(qū)分服務功能,利用DS字段的不同數(shù)值可提供不同等級的服務質(zhì)量,應用程序在發(fā)出數(shù)據(jù)包前,不需要通知網(wǎng)絡為其預留資源,網(wǎng)絡中各個設備可獨立對待不同類型的數(shù)據(jù)包,即每個路由器對不同的數(shù)據(jù)包定義的服務優(yōu)先級是可以不相同的,區(qū)分服務通常使用隊列、流量控制和流量整形等來實現(xiàn)區(qū)分服務功能。
2 QoS數(shù)據(jù)包處理過程
QoS數(shù)據(jù)包處理包含以下幾個方面
1) 分類:流量分類是將數(shù)據(jù)報文劃分多個優(yōu)先級或多個服務類。管理員可以根據(jù)IP數(shù)據(jù)報的IP優(yōu)先級或DSCP、802.1Q的CoS、輸入接口、源IP地址、目的IP地址、IP協(xié)議和應用程序端口號等設置分類策略。
2) 監(jiān)管:通過對流量規(guī)格的監(jiān)管,來限制流量及其資源使用的流量控制策略。
3) 標記:為3層的DSCP或2層的CoS或兩者分配一個值。
4) 調(diào)度:當發(fā)生擁塞時如何制定一個資源的調(diào)度策略,以決定報文的處理順序,對擁塞管理一般采用隊列技術(shù)。
5) 擁塞避免:通過監(jiān)視網(wǎng)絡通信流,使用復雜的算法丟棄數(shù)據(jù)包使交換機和路由器避免擁塞。
3 校園網(wǎng)QoS設計方案
在校園網(wǎng)中HTTP應用大概占用30%帶寬,P2P下載、在線視頻等占用60%以上的帶寬,其它服務大約占10%的帶寬。P2P下載、在線視頻等占用校園網(wǎng)大部分帶寬,主要應用服務HTTP的帶寬得不到保障。通過QoS對P2P下載等需要消耗大量資源的應用服務進行流量控制,對主要的應用服務設置較高的優(yōu)先級,使其數(shù)據(jù)包能盡快傳遞出去。根據(jù)校園網(wǎng)流量的特點設計出相應的QoS方案。圖2是一個校園網(wǎng)QoS設計方案。
校園網(wǎng)中各層設置的QoS服務:
1) 校園網(wǎng)接入層的QoS:在校園網(wǎng)的接入層主要進行數(shù)據(jù)分類、數(shù)據(jù)標記和流量監(jiān)管。
2) 校園網(wǎng)主干層的QoS:主干網(wǎng)收到的數(shù)據(jù)包在接入層已被分類和標記,所在主干層主要的工作是流量監(jiān)控、流量整形、隊列調(diào)度、擁塞控制和避免。
3) 校園網(wǎng)邊界出口節(jié)點的QoS:邊界出口節(jié)點的主要工作是數(shù)據(jù)分類、數(shù)據(jù)標記、流量監(jiān)控、流量整形。
4 QoS實現(xiàn)方法
由于QoS有太多概念和工具,在設備上應用靈活,涉及知識面廣,實現(xiàn)方法多樣化,所以本文只給出QoS部分功能的實現(xiàn)方法。
1) 分類與標記:
如,把Telnet數(shù)據(jù)包DSCP標記為AF11,其它數(shù)據(jù)包的IP優(yōu)先級設置為1。
5 結(jié)束語
通過配置QoS服務,對不同的數(shù)據(jù)流進行分類標記,限制部分應用服務的帶寬,如BT、在線視頻等,把不同的數(shù)據(jù)流加入不同的優(yōu)先級的隊列中,優(yōu)先處理優(yōu)先級高的數(shù)據(jù)流,如語音通信數(shù)據(jù)流,避免優(yōu)先級低的數(shù)據(jù)流長期占用鏈路帶寬等,從而使校園網(wǎng)的性能得到了明顯的提高。
參考文獻:
[1] 郭廓.QoS服務質(zhì)量及流量控制設備在校園網(wǎng)中的應用[J].價值工程,2010(2).
[2] 李向來.付合軍.基于銳捷網(wǎng)絡設備的QoS技術(shù)在校園網(wǎng)中的應用[J].寧波職業(yè)技術(shù)學院學報,2013(3).
[3] 李宏.路由交換設備QoS應用技術(shù)分析[J].計算機與網(wǎng)絡,2012(3).