摘要：伴隨著Internet的日益普及，網(wǎng)絡(luò)應(yīng)用的蓬勃發(fā)展，網(wǎng)絡(luò)信息資源的安全備受關(guān)注。校園網(wǎng)網(wǎng)絡(luò)中的主機(jī)可能會(huì)受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感數(shù)據(jù)有可能泄露或被修改，保證網(wǎng)絡(luò)系統(tǒng)的保密性、完整性、可用性、可控性、可審查性方面具有其重要意義。通過網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和網(wǎng)組技術(shù)對(duì)校園網(wǎng)網(wǎng)絡(luò)進(jìn)行搭建，通過物理、數(shù)據(jù)等方面的設(shè)計(jì)對(duì)網(wǎng)絡(luò)安全進(jìn)行完善是解決上述問題的有效 措施 。

關(guān)鍵詞：校園網(wǎng)；網(wǎng)絡(luò)搭建；網(wǎng)絡(luò)安全；設(shè)計(jì)。

以Internet為代表的信息化浪潮席卷全球，信息 網(wǎng)絡(luò)技術(shù) 的應(yīng)用日益普及和深入，伴隨著網(wǎng)絡(luò)技術(shù)的高速發(fā)展，各種各樣的安全問題也相繼出現(xiàn)，校園網(wǎng)被“黑”或被病毒破壞的事件屢有發(fā)生，造成了極壞的社會(huì)影裂信畢響和巨大的經(jīng)濟(jì)損失。維護(hù)校園網(wǎng)網(wǎng)絡(luò)安全需要從網(wǎng)絡(luò)的搭建及網(wǎng)絡(luò)安全設(shè)計(jì)方面著手。

一、 基本網(wǎng)絡(luò)的搭建。

由于校園網(wǎng)網(wǎng)絡(luò)特性（數(shù)據(jù)流量大，穩(wěn)定性強(qiáng)，經(jīng)濟(jì)性和擴(kuò)充性）和各個(gè)部門的要求（制作部門和辦公部門間的訪問控制），我們采用下列方案：

1. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)選擇：網(wǎng)絡(luò)采用星型拓?fù)浣Y(jié)構(gòu)（如圖1）。它是目前使用最多，最為普遍的局域網(wǎng)拓?fù)浣Y(jié)構(gòu)。節(jié)點(diǎn)具有高度的獨(dú)立性，并且適合在中央位置放置網(wǎng)絡(luò)診斷設(shè)備。

2.組網(wǎng)技術(shù)選擇：目前，常用的主干網(wǎng)的組網(wǎng)技術(shù)有快速以太網(wǎng)（100Mbps）、FDDI、千兆以太網(wǎng)（1000Mbps）和ATM（155Mbps/622Mbps）?？焖僖蕴W(wǎng)是一種非肆芹常成熟的組網(wǎng)技術(shù)，它的造價(jià)很低，性能價(jià)格比很高；FDDI也是一種成熟的組網(wǎng)技術(shù)，但技術(shù)復(fù)雜、造價(jià)高，難以升級(jí)；ATM技術(shù)成熟，是多媒體應(yīng)用系統(tǒng)的理想網(wǎng)絡(luò)平臺(tái)，但它的網(wǎng)絡(luò)帶寬的實(shí)際利用率很低；目前千兆以太網(wǎng)已成為一種成熟的組網(wǎng)技術(shù)，造價(jià)低于ATM網(wǎng)，它的有效帶寬比622Mbps的ATM還高。因此，個(gè)人推薦采用千兆以太網(wǎng)為骨干，快速以太網(wǎng)交換到桌面組建計(jì)算機(jī)播控網(wǎng)絡(luò)。

二、網(wǎng)絡(luò)安全設(shè)計(jì)。

1.物理安全設(shè)計(jì) 為保證校園網(wǎng)信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。計(jì)算機(jī)系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的__帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號(hào)。正常的防范措施主要在三個(gè)方面：對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)、波導(dǎo)，門的關(guān)起等。對(duì)本地網(wǎng) 、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制，由于電纜傳坦游輸輻射信息的不可避免性，現(xiàn)均采用光纜傳輸?shù)姆绞?，大多?shù)均在Modem出來的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸。

2.網(wǎng)絡(luò)共享資源和數(shù)據(jù)信息安全設(shè)計(jì) 針對(duì)這個(gè)問題，我們決定使用VLAN技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)物理隔離來實(shí)現(xiàn)。VLAN（Virtual LocalArea Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段從而實(shí)現(xiàn)虛擬工作組的新興技術(shù)。

IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實(shí)現(xiàn)方案的802.1Q協(xié)議標(biāo)準(zhǔn)草案。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域（或稱虛擬LAN，即VLAN），每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。

但由于它是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會(huì)轉(zhuǎn)發(fā)到 其它 VLAN中，即使是兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā)，從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLANID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動(dòng)態(tài)管理網(wǎng)絡(luò)。從目前來看，根據(jù)端口來劃分VLAN的方式是最常用的一種方式。許多VLAN廠商都利用交換機(jī)的端口來劃分VLAN成員，被設(shè)定的端口都在同一個(gè)廣播域中。例如，一個(gè)交換機(jī)的1，2，3，4，5端口被定義為虛擬網(wǎng)AAA，同一交換機(jī)的6，7，8端口組成虛擬網(wǎng)BBB。這樣做允許各端口之間的通訊，并允許共享型網(wǎng)絡(luò)的升級(jí)。

但是，這種劃分模式將虛擬網(wǎng)絡(luò)限制在了一臺(tái)交換機(jī)上。第二代端口VLAN技術(shù)允許跨越多個(gè)交換機(jī)的多個(gè)不同端口劃分VLAN，不同交換機(jī)上的若干個(gè)端口可以組成同一個(gè)虛擬網(wǎng)。以交換機(jī)端口來劃分網(wǎng)絡(luò)成員，其配置過程簡(jiǎn)單明了。

3.計(jì)算機(jī)病毒、黑客以及電子郵件應(yīng)用風(fēng)險(xiǎn)防控設(shè)計(jì) 我們采用防病毒技術(shù)，防火墻技術(shù)和入侵檢測(cè)技術(shù)來解決相關(guān)的問題。防火墻和入侵檢測(cè)還對(duì)信息的安全性、訪問控制方面起到很大的作用。

第一，防病毒技術(shù)。病毒伴隨著計(jì)算機(jī)系統(tǒng)一起發(fā)展了十幾年，目前其形態(tài)和入侵途徑已經(jīng)發(fā)生了巨大的變化，幾乎每天都有新的病毒出現(xiàn)在INTERNET上，并且借助INTERNET上的信息往來，尤其是EMAIL進(jìn)行傳播，傳播速度極其快。計(jì)算機(jī)黑客常用病毒夾帶惡意的程序進(jìn)行攻擊。

為保護(hù)服務(wù)器和網(wǎng)絡(luò)中的工作站免受到計(jì)算機(jī)病毒的侵害，同時(shí)為了建立一個(gè)集中有效地病毒控制機(jī)制，天下論文網(wǎng)需要應(yīng)用基于網(wǎng)絡(luò)的防病毒技術(shù)。這些技術(shù)包括：基于網(wǎng)關(guān)的防病毒系統(tǒng)、基于服務(wù)器的防病毒系統(tǒng)和基于桌面的防病毒系統(tǒng)。例如，我們準(zhǔn)備在主機(jī)上統(tǒng)一安裝網(wǎng)絡(luò)防病毒產(chǎn)品套間，并在計(jì)算機(jī)信息網(wǎng)絡(luò)中設(shè)置防病毒中央控制臺(tái)，從控制臺(tái)給所有的網(wǎng)絡(luò)用戶進(jìn)行防病毒軟件的分發(fā)，從而達(dá)到統(tǒng)一升級(jí)和統(tǒng)一管理的目的。安裝了基于網(wǎng)絡(luò)的防病毒軟件后，不但可以做到主機(jī)防范病毒，同時(shí)通過主機(jī)傳遞的文件也可以避免被病毒侵害，這樣就可以建立集中有效地防病毒控制系統(tǒng)，從而保證計(jì)算機(jī)網(wǎng)絡(luò)信息安全。形成的整體拓?fù)鋱D。

第二，防火墻技術(shù)。企業(yè)防火墻一般是軟硬件一體的網(wǎng)絡(luò)安全專用設(shè)備，專門用于TCP/IP體系的網(wǎng)絡(luò)層提供鑒別，訪問控制，安全審計(jì)，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），IDS，，應(yīng)用代理等功能，保護(hù)內(nèi)部 局域網(wǎng)安全 接入INTERNET或者公共網(wǎng)絡(luò)，解決內(nèi)部計(jì)算機(jī)信息網(wǎng)絡(luò)出入口的安全問題。

校園網(wǎng)的一些信息不能公布于眾，因此必須對(duì)這些信息進(jìn)行嚴(yán)格的保護(hù)和保密，所以要加強(qiáng)外部人員對(duì)校園網(wǎng)網(wǎng)絡(luò)的訪問管理，杜絕敏感信息的泄漏。通過防火墻，嚴(yán)格控制外來用戶對(duì)校園網(wǎng)網(wǎng)絡(luò)的訪問，對(duì)非法訪問進(jìn)行嚴(yán)格拒絕。防火墻可以對(duì)校園網(wǎng)信息網(wǎng)絡(luò)提供各種保護(hù)，包括：過濾掉不安全的服務(wù)和非法訪問，控制對(duì)特殊站點(diǎn)的訪問，提供監(jiān)視INTERNET安全和預(yù)警，系統(tǒng)認(rèn)證，利用日志功能進(jìn)行訪問情況分析等。通過防火墻，基本可以保證到達(dá)內(nèi)部的訪問都是安全的可以有效防止非法訪問，保護(hù)重要主機(jī)上的數(shù)據(jù)，提高網(wǎng)絡(luò)完全性。校園網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)分為各部門局域網(wǎng)（內(nèi)部安全子網(wǎng)）和同時(shí)連接內(nèi)部網(wǎng)絡(luò)并向外提供各種網(wǎng)絡(luò)服務(wù)的安全子網(wǎng)。防火墻的拓?fù)浣Y(jié)構(gòu)圖。

內(nèi)部安全子網(wǎng)連接整個(gè)內(nèi)部使用的計(jì)算機(jī)，包括各個(gè)VLAN及內(nèi)部服務(wù)器，該網(wǎng)段對(duì)外部分開，禁止外部非法入侵和攻擊，并控制合法的對(duì)外訪問，實(shí)現(xiàn)內(nèi)部子網(wǎng)的安全。共享安全子網(wǎng)連接對(duì)外提供的WEB，EMAIL，F(xiàn)TP等服務(wù)的計(jì)算機(jī)和服務(wù)器，通過映射達(dá)到端口級(jí)安全。外部用戶只能訪問安全規(guī)則允許的對(duì)外開放的服務(wù)器，隱藏服務(wù)器的其它服務(wù)，減少系統(tǒng)漏洞。

參考文獻(xiàn)：

[1]Andrew S. Tanenbaum. 計(jì)算機(jī)網(wǎng)絡(luò)（第4版）[M].北京：清華大學(xué)出版社，2008.8.

[2]袁津生，吳硯農(nóng)。 計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)[M]. 北京：人民郵電出版社，2006.7.

[3]中國(guó)IT實(shí)驗(yàn)室。 VLAN及技術(shù)[J/OL], 2009.

幫忙設(shè)計(jì)一個(gè)大學(xué)校園網(wǎng)絡(luò)結(jié)構(gòu)架設(shè)設(shè)計(jì)

大型校園網(wǎng)設(shè)計(jì)方案：

案例教學(xué)要求：

掌握設(shè)計(jì)具有三層結(jié)構(gòu)的大型校園網(wǎng)的設(shè)計(jì)的基本方法，為南昌大學(xué)軟件學(xué)院同樣條件的校園網(wǎng)設(shè)計(jì)網(wǎng)絡(luò)拓?fù)洹?/p>

學(xué)會(huì)選擇適當(dāng)設(shè)備構(gòu)造該網(wǎng)絡(luò)。

案例教學(xué)環(huán)境：P C 1臺(tái)，Microsoft Visio軟件1套。

（一）需求分析

采用三層結(jié)構(gòu)為該大學(xué)設(shè)計(jì)校園網(wǎng)：選用萬兆以太網(wǎng)作為連接大學(xué)4個(gè)校區(qū)的高速主干；選用千兆以太網(wǎng)作為各個(gè)校區(qū)的主干，形成大學(xué)校園網(wǎng)的匯聚層；選用百兆以太LAN作為基本的接入形式。

大學(xué)校園網(wǎng)與因特網(wǎng)具有統(tǒng)一接口，即通過百兆以太網(wǎng)接入中國(guó)教育科研網(wǎng)CERNET。

1. 由于一個(gè)時(shí)期的網(wǎng)絡(luò)具有特定的主流技術(shù)，因此這幾年建設(shè)的園區(qū)網(wǎng)大多數(shù)都采用千兆到樓宇、百兆到LAN/桌面的以太網(wǎng)解決方案。事實(shí)上，這種結(jié)構(gòu)是一種二層結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)洌渲械那д讟?gòu)成了匯聚層的主干，而百兆到LAN/主機(jī)構(gòu)成了接入層。因此，一種自然而然的解決方案就是選用萬兆以太網(wǎng)作為整個(gè)核心層，形成了校園網(wǎng)的主干。并且該校園網(wǎng)主干采用因特網(wǎng)的公網(wǎng)地址

為何選用萬兆交換機(jī)互聯(lián)各個(gè)園區(qū)網(wǎng)，而不選用高速路由器呢？

各園區(qū)網(wǎng)均采用的以太網(wǎng)技術(shù)體系，兼容性好

大學(xué)將在校園網(wǎng)上開展教學(xué)視頻觀摩、遠(yuǎn)程聽課等多媒體應(yīng)用，提供高速率信息通道是必要的。萬兆交換機(jī)為三層交換機(jī)，是具有選路功能的交換機(jī)，在校園網(wǎng)環(huán)境下能夠具有更好的性能。

價(jià)格因素。

3. 根據(jù)南昌大學(xué)軟件學(xué)院的分析，該校園網(wǎng)從CERNET獲得了IP地址的數(shù)量是無法滿足需求的，只能供向因特網(wǎng)發(fā)布信息和聯(lián)系或進(jìn)行網(wǎng)絡(luò)科學(xué)嫌伍團(tuán)研究之用，因此構(gòu)成校園網(wǎng)IP地址的主體是經(jīng)過NAT轉(zhuǎn)芹橘換的專用網(wǎng)地址。使用專用網(wǎng)地址不利于與其他大學(xué)的學(xué)術(shù)交流，但也是不得已而為之的方法；另一方面，可能使得校園網(wǎng)受到網(wǎng)絡(luò)黑客侵?jǐn)_會(huì)少些

4. 由于網(wǎng)絡(luò)的規(guī)模較大，考慮到以后的可擴(kuò)展性，選路協(xié)議選用OSPF

5. 考慮到設(shè)備的可管理性，網(wǎng)絡(luò)管理協(xié)議選用SNMP

（二）設(shè)計(jì)方案：

1、公網(wǎng)部分

校園網(wǎng)分為公網(wǎng)和專網(wǎng)。通過防火墻，連接放置各種應(yīng)用服務(wù)器的非軍事區(qū)部分，并經(jīng)路由器與CERNET相連

該三層校園網(wǎng)結(jié)構(gòu)中的核心層位于公網(wǎng)部分，可選用了Cisco公司的萬兆交換機(jī)Cat6509

租用電信公司的光纖裸芯，用萬兆速率將4個(gè)園區(qū)的4臺(tái)萬兆交換機(jī)連成一個(gè)環(huán)。為提高網(wǎng)絡(luò)可靠性，還在園區(qū)2和園區(qū)4之間用千兆光纜連接起來

校園網(wǎng)的核心層結(jié)構(gòu)

2、專網(wǎng)部分

各園區(qū)網(wǎng)可基本保持原有的二層網(wǎng)絡(luò)架構(gòu)，并在自己的園區(qū)網(wǎng)中使用專用IP地址塊?？紤]將園區(qū)網(wǎng)匯聚層主干千兆主交換機(jī)與大學(xué)萬兆交換機(jī)通過防火墻相連的問題，注意到有些萬兆交換機(jī)可能具有內(nèi)置的防火墻。同時(shí)，它們可在內(nèi)部防火墻處設(shè)置自己的非軍事區(qū)，放置學(xué)院的網(wǎng)絡(luò)應(yīng)用服務(wù)器。

某學(xué)院網(wǎng)絡(luò)與新建的大學(xué)萬兆核心層主干網(wǎng)的連接。其中計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)的主干網(wǎng)以3COM公司的Switch 4007與交換機(jī)3C16980連接的千兆光纜構(gòu)成了學(xué)院園區(qū)網(wǎng)的主干，向下以百兆以太網(wǎng)作為接入網(wǎng)與用戶PC相連。

（1）各二級(jí)學(xué)院的園區(qū)中具有的PC數(shù)量為300～1000臺(tái)，必要時(shí)可劃分為若干個(gè)子網(wǎng)，也可以劃分為多個(gè)VLAN，以隔橘?zèng)]離廣播流量，提高網(wǎng)絡(luò)工作效率，并提高安全性。

（2）網(wǎng)絡(luò)管理協(xié)議選用SNMP。

（3）采用防火墻將校園網(wǎng)分為兩部分，一部分為與CERNET直接相連的公網(wǎng)部分，另一部分為專用網(wǎng)部分，即我們上面所設(shè)計(jì)的部分，采用的地址可采用在7.5.1節(jié)中所設(shè)計(jì)的相應(yīng)方案。

<pre id="9yzou"></pre>