第7章(网络管理与维护)

第七章校园网管理案例分析7.1校园网建设方案设计7.1.1校园网建设的必要性7.1.2校园网的设计原则7.1.3校园网建设面临的问题7.1.4校园网的功能需求7.1.5校园网总体设计7.1.6校园网方案的实施步骤7.2校园网的综合管理技术7.2.1IP地址分配及规划7.2.2校园网IP盗用及防范技术7.2.3校园网及VLAN的规划及管理技术7.2.4802.1X认证管理技术7.3校园网的安全管理7.3.1互联网安全问题7.3.2校园网安全特点和校园网常见攻击7.3.3CERNET安全管理措施7.3.4校园网安全管理方法7.3.5IPv6技术对校园网安全管理的影响7.4校园网的计费管理7.4.1按流量计费的必要性7.4.2校园网的计费管理方法7.5厦门大学综合网络管理案例分析7.6北京师范大学校园网络管理员升级案例校园网管理案例分析校园网是Intranet/Internet技术在教育机构的一个应用。它是指在学校范围内，在一定的教育思想和理论指导下，为学校教学、科研和管理等教育提供资源共享、信息交流和协同工作的计算机网络。校园网是基于Intranet/Internet技术发展而来的，在功能应用上和Intranet大体上相同，都能够实现以下的功能：Web信息发布和获取、目录服务、电子邮件、安全性管理、广域网络互连、文件、打印共享和网络管理等。但它们又有根本上的不同：Intranet技术主要是应用于企业内部网，它的主要目的是在企业网络化的便利下获取更大的盈利。而学校属于一个教育机构，主要目的是实现教学的信息化和办公管理的自动化，以适应未来教学的高效率运作，提高教学与管理水平。7.1校园网建设方案设计7.1.1校园网建设的必要性随着计算机多媒体和网络技术的不断发展和普及，校园网信息系统的建设是非常必要的，也是可行的，主要表现在四个方面。7.1校园网建设方案设计7.1.2校园网的设计原则在规划校园网时，不仅考虑到现有局域网的情况，更主要的是要着眼于为未来的学校提供既符合经济原则，又具有技术先进性和实用性的发展策略。为此，在具体工作中要努力贯彻如下设计原则。•先进性、开放性、扩充性、可靠性、实用性、安全性、可维护性、可操作性、经济性。7.1校园网建设方案设计7.1.3校园网建设面临的问题高校宽带校园网建设中面临如下几方面问题。（1）网络管理、维护（2）网络安全（3）计费7.1校园网建设方案设计7.1.4校园网的功能需求校园网络建成后应提供如下功能。①连接校内所有教学楼、实验室、办公楼中的PC。②同时支持约4000用户浏览Internet。③提供丰富的网络服务，实现广泛的软、硬件资源共享。④提供基本的Internet网络服务功能。⑤提供校内各个管理机构的办公自动化⑥提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。⑦全校共享软件库服务，避免重复投资，发挥最大效益。⑧提供CAI教学和科研的便利条件。⑨经广域网接口，提供国内外计算机系统的互连，为国际间的信息交流和科研合作，为学校快速获得最新教学成果及技术合作等创新良好的信息通路。7.1校园网建设方案设计7.1.5校园网总体设计总体设计是校园网建设的总体思路和工程蓝图，是搞好校园网建设的核心任务。①进行对象研究和需求分析，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境进行准确的描述，明确系统建设的需求和条件。②在应用需求分析的基础上，确定学校Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标。7.1校园网建设方案设计7.1.5校园网总体设计③确定网络拓扑结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计。④确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求。⑤规划安排校园网建设的实施步骤。7.1校园网建设方案设计7.1.6校园网方案的实施步骤一个完整的校园网建设在实施过程中可以分成连个环节：网络集成方案设计和信息系统集成。其中信息系统集成是服务功能及建设目的，网络集成则是功能的实现手段。（1）网络集成方案设计（2）信息系统集成7.2校园网的综合管理技术7.2校园网的综合管理技术不管哪种网络类型，网络管理都是网络的灵魂，为保证校园网络稳定高效地运行，网络管理起着非常重要的作用，网络管理的好坏直接影响到网络的运行质量。校园网的稳定运行是网络管理的基本保障，其网络管理与一般企业网络管理有很大的区别，其中有大量的网络软件要维护，除了保证网内电话、电子公告牌、电子邮件实现报告、论文的无纸化传递外，更重要的是要保证网络提供的数据的共享能力，以及数据的保密性。此外，网络覆盖面广、涉及人员多，免不了有纰漏，因此必须设立网络管理员，制定一定的管理制度，以保证网络安全、可靠的运行。7.2校园网的综合管理技术7.2校园网的综合管理技术校园网管理的主要目的是保障网络运行的品质，如维护网络传送速率、降低传送错误率、确保网络安全等。所以校园网系统管理的技术人员可借网络管理工具或本身的技术经验实施网络管理，内容可基本分为以下几项：系统管理、故障管理、效率管理、安全管理、计费管理、信息管理。7.2校园网的综合管理技术7.2.1IP地址分配及规则①校园网IP地址分配总则②校园网内部私网IP地址的分配7.2校园网的综合管理技术7.2.2校园网IP盗用及防范技术①IP地址盗用的必然性②IP地址盗用方法分析③防范IP盗用的技术方法7.2校园网的综合管理技术7.2.3校园网VLAN的规划及管理技术①VLAN产生的必然性②VLAN技术简介③VLAN的划分方式④VLAN的规划与实现⑤VLAN之间的通信7.2校园网的综合管理技术7.2.4802.1x认证管理技术①认证管理的必要性②认证管理的基本功能③IEEE802.1x协议概述④以太网端口的受控和非受控接入⑤受控和非受控端口在用户认证中的应用⑥用户以太网端口认证流程⑦IEEE802.1x的主要内容⑧802.1x协议的特点⑨802.1x协议的应用7.2校园网的综合管理技术7.2.4802.1x架构图7.2校园网的综合管理技术7.2.4802.1x协议802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。7.2校园网的综合管理技术7.2.4802.1x认证特点基于以太网端口认证的802.1x协议有如下特点：IEEE802.1x协议为二层协议，不需要到达三层，对设备的整体性能要求不高，可以有效降低建网成本；借用了在RAS系统中常用的EAP（扩展认证协议），可以提供良好的扩展性和适应性，实现对传统PPP认证架构的兼容；802.1x的认证体系结构中采用了可控端口和不可控端口的逻辑功能，从而可以实现业务与认证的分离，由RADIUS和交换机利用不可控的逻辑端口共同完成对用户的认证与控制，业务报文直接承载在正常的二层报文上通过可控端口进行交换，通过认证之后的数据包是无需封装的纯数据包；可以使用现有的后台认证系统降低部署的成本，并有丰富的业务支持；可以映射不同的用户认证等级到不同的VLAN；可以使交换端口和无线LAN具有安全的认证接入功能。7.2校园网的综合管理技术7.2.4802.1x工作过程（1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。（2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。（3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。7.2校园网的综合管理技术（4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。（5.客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理（此种加密算法通常是不可逆的），并通过交换机传给认证服务器。（6.认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息，并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。7.2校园网的综合管理技术7.2.4802.1x认定的优势简洁高效、容易实现、安全可靠、行业标准、应用灵活、易于运营。7.3校园网的安全管理随着校园网服务功能的逐步增强及网络用户的急剧膨胀，网络的安全可靠运行受到了严重的威胁，严重时将会影响学校正常的工作、学习和生活。近年来大规模的网络安全事件接连发生，互联网上蠕虫、拒绝服务攻击、网络欺诈等新的攻击手段层出不穷，导致的泄密、数据破坏、业务无法正常进行等事件屡屡发生，甚至导致世界性的互联网瘫痪，造成的经济损失无法估计。网络安全引起世界各国的关注，政府、企业和研究机构等各领域的组织都对网络安全投入了大量的人力物力，而校园网作为网络研发和应用的先行者，安全管理异常重要。7.3校园网的安全管理7.3.1互联网安全问题互联网安全问题有综合技术和管理等多方面因素，归纳为以下四个方面：①互联网的开放性②自身的脆弱性③攻击的普遍性④管理的困难性7.3校园网的安全管理7.3.2校园网安全特点和校园网常见攻击与政府或企业网相比，高校校园网的以下特点导致安全管理非常复杂。①校园网的速度快和规模大。②校园网中的计算机系统管理比较复杂。③活跃的用户群体。④开放的网络环境。⑤有限的投入。⑥盗版资源泛滥。7.3校园网的安全管理以下各种原因导致校园网既是大量攻击的发源地，也是攻击者最容易攻破的目标。因此导致当前校园网常见的风险如下。①普遍存在的计算机系统的漏洞，对信息安全、系统的使用、网络的运行构成严重的威胁。②计算机蠕虫、病毒泛滥，影响用户的使用、信息安全、网络运行。③外来的系统入侵、攻击等恶意破坏行为，有些计算机已经被攻破，用作黑客攻击的工具；拒绝服务攻击目前越来越普通，不少开始针对重点高校的网站和服务器。7.3校园网的安全管理④内部用户的攻击行为，这些行为给校园网造成了不良的影响，损害了学校的声誉。⑤校园网内部用户对网络资源的滥用，有的校园网用户利用免费的校园网资源提供商业的或者免费的视频、软件资源下载，占用了大量的网络带宽，影响了校园网的应用。⑥垃圾邮件、不良信息的传播，利用校园网内无人管理的服务器作为中转，严重影响学校的声誉。7.3校园网的安全管理7.3.3CERNET安全管理措施中国教育和科研计算机网CERNET从建设之初就非常重视网络安全问题，采取的许多安全措施都是国内领先的。对于连接各大学的主干网络，CERNET最为关注的是主干网的安全性，并依靠各大学协调一致的努力保障各校园网安全可靠地运行。但是随着技术的发展，CERNET的网络安全也面临着许多挑战。7.3校园网的安全管理7.3.4校园网安全管理方法互联网的分布特性决定了不可能从CERNET主干网上解决各校园网的安全问题，加强校园网的安全管理仍然是当前形势下教育和科研网络环境安全管理的重点。加强校园网的安全管理工作需要从管理和技术两个方面综合考虑。7.3校园网的安全管理7.3.5IPv6技术对校园网安全管理的影响IPv6对网络安全的影响随着中国下一代互联网示范工程CNGI项目的建设，以IPv6技术为核心的下一代互联网建设和研究在我国已经