校园网组建方案

姓名:专业:计算机网络技术铺导老师:一．需求分析校园网是利用各种先进、成熟的网络技术和通信技术，采用统一的网络协议(TCP/IP)建设起来的，可实现各种综合网络应用的高速计算机网络系统。它将本学校各部分通过网络连接起来，并与CERNET、INTRENET相连，在校园网上，为本地提供可靠的、高速的和可管理的网络环境，为用户提供广泛的数据资源共享、丰富便捷的网络应用（如：实时多媒体视频/音频、网络远程教学、网络会议等），提供各种网络服务（电子邮件、文件共享、信息查询等），为各用户提供多种形式的访问，实现网络的扩展，扩大联网的范围和规模，实现本地区“校校通”工程。总结校园网组网的特点，主要有以下几个方面：1.校园网的拓扑结构可以分为核心(网)、接入(网)、资源中心、外联网四大部分。2.为了实现整个教育系统、学校网络的互联互通，校园网要在本校设置网络中心，便于各学校各部分接入。在网络中心与校园网各接入单位（学校图书馆、教学楼等）之间的IP互联线路的选择上，一般需要充分考虑到各种线路的性能价格比较和着眼于未来发展需求的思想以及当地ISP的数据通讯线路的现状。这些统一构成了校园网的核心(网)。3.接入（网）是指连接到校园网上的各接入单位（学校、教育局、电教馆），可以根据单位网络规模的不同，选择合适的校园网接入设备和接入方式，从而访问校园网资源中心。4.校园网最终需要接入到INTERNET，以后还可能接入到Cernet，同时，老师、学生在家里，领导在外面出差也有访问校园网的需求，所有这些部分构成了校园网的外联网。外联网定义为校园网与外部网络的连接。5.资源中心定义为将校园网网络中心的各种资源服务器高速、稳定的互联在一起的系统。一般也位于网络中心（机房）之内。考虑以上校园网组网特点，结合校园网在建设、运维过程中遇到的一些实际问题，其存在以下安全风险和其脆弱性：1.事实上，目前校园网内部出现的网络威胁的种类也越来越多，不仅有非法入侵、网络渗透，还有网络欺骗、DOS/DDOS攻击、各种恶意软件、垃圾邮件等。最严重的攻击是无法终止的攻击，DOS/DDOS攻击正是如此,尤其应受到重点关注。并且它还呈现出以下特点：攻击突发性强（攻击的突发性越来越强，很难预测和监控）、攻击随机性强（都可能成为攻击的目标,同时攻击的频率和持续时间也很随意，很多的攻击持续时间并不长，当意识到攻击发生时，攻击可能已经结束了）、攻击的方向不确定、攻击复杂度在提高（攻击手段和涉及的协议也在不断的提高,对防御设备的性能及部署以后的升级潜力提出更高要求）。不仅校园网内部的资源中心(服务器群)可能遭受到恶意DOS/DDOS攻击，甚至出现了对校园网网络中心内部的传统网络设备(核心交换机)的恶意DOS/DDOS攻击行为。无论是资源中心(服务器群)、校园网网络中心内部的传统网络设备(核心交换机)都应成为安全防护的重点对象。2.恶意应用消耗网络带宽（P2P等）。校园网几乎可以说是P2P应用最多的场所之一，大量的P2P等非关键应用无情地吞噬着校园网有限的带宽资源,使得网络管理人员头痛不已。在没有对P2P流量进行策略管理的时间段内，P2P等非关键应用的流量几乎占用了网络60-70％的带宽，使得关键性应用得不到保障。同时P2P软件也逐渐成为计算机病毒和木马传播的主要途径。可见，必须对特定用户或者某些特定应用进行流量的控制。3.校园网上的各接入单位（学校图书馆、教学楼等）内部网络频繁受到ARP欺骗攻击，导致内部网络不稳定，极大影响对校园网资源中心的正常访问，降低校园网的使用价值。由于ARP欺骗攻击利用了ARP协议的设计缺陷，光靠包过滤、IP＋MAC＋端口绑定等传统办法是比较难解决的。4.老师、学生在家里，领导在外面出差也有访问校园网的办公应用系统、教学资源库的需要，不仅要实现其远程安全接入，而且需要针对访问者、使用者的身份进行认证并授权，为特定用户分配特定的访问资源。5.对内网的监控以及内部用户上网行为进行有效控制。一方面，由内网到外网的安全威胁比较严重。学生用户电脑管理松散，电脑中装有各种软件甚至感染病毒，有可能成为攻击的跳板，因此还需要监督、控制全网应用协议的情况（流量分布、会话数量）、校园网每用户的使用情况（上下行流量、会话数量）等来作为辅助管理手段。另外一方面，学生自制力较差。有必要对其上网行为进行一定程度的控制，例如：禁止其浏览成人、娱乐等不安全或政策、法律禁止的网站，以及其他的一些上网使用行为。6.高性能、高可靠一方面，现在校园网的网络流量模型逐渐在发生着变化（小包报文比例增加，单个用户的并发连接数也在迅速增加、UDP报文在迅速增加等），另外一方面，越来越大的流量需要处理，越来越多的功能需要开启，对于设备高处理性能的需求也是越来越迫切。维护网络在高安全环境下的长期稳定性和可用性是校园网用户所期望的。单设备、单链路的现象在校园网中还占据主要位置。对于设备的冗余、链路的备份，以及在出现设备或者链路故障下的自动切换，也仅仅是少数校园网达到这样的水平。那么，如何实现高可用性？如何实现自动调整对用户的透明性？即，用户无需理解复杂的技术，只需要体验最快的网速。二．网络规划a、网络设备、介质强烈推荐学校网络采用100M网络。现行通常的做法是：集线器或交换机、以太网卡采用10/100M自适应的，网线使用超五类线。100M网络对于目前大多数学校是够用的，当机器有500台甚至更多时，网络主干网可考虑采用1000M网络。核心交换机采用思科最好的三层交换机，汇聚层和接入层采用Cisco-3550G、RG-2126G、RG-21250G、RG-6506G、RG-3752，终端交换机可采用稍次些的锐捷或华为的交换机b、服务器网络的中心是服务器。对于学校网络也是如此，即便含义有所不同。服务器的作用发挥得好，可有效地对学校进行管理网络，并且节省资源、提高学校效益。以下是笔者认为学校应该建立的三种独立服务器，学校经营者可根据自己学校的实际情况做出选择：（1）拔号代理服务器：为了提供稳定的、快速的接入Internet服务，有必要采用单独的拔号代理服务器，可用一台配置较好的PC充当，如：C1.2G＋256M内存＋SCSI硬盘。从稳定性考虑，有条件的、较大的学校，应采用小型专用服务器充当拔号代理服务器。服务器采用的操作系统首推W2K，也可考虑Linux，服务器应安装病毒、安全防火墙，如：NortonAntivirus、瑞星和BlackICE、天网；代理软件可采用W2K自带的ICS、NAT，或者单独的产品：ISA、SYGATE、WINGATE、Squid（Linux下）。（2）视频服务器：为了给网友提供更多的选择，可用一台普通PC充当视频服务器，如：i7+4G内存+20T硬盘，大容量的硬盘是用来存放电影、音乐、常用软件等的。视频服务器可可采用W2K，设置一个超级用户帐号和普通帐号，前者供学校管理员使用，后者供上网者使用（设置好权限，使其无权删除该机上的文件甚至无权访问硬盘），这样这台机器也不会因充当服务器而没有产生效益。如何将视频服务器上的视频提供给网友观看呢？主要有两种方式：一种是通过共享，另一种是作流媒体服务器，如采用微软的WindowMedia服务器、Real公司的RealServer，国内上海傲行公司的傲行服务器。前者很容易实现，后者稍微复杂，并且对机器硬件要求也高许多（流媒体要求服务器拥有大容量内存）。（3）游戏服务器：根据当地网友的爱好，单独拿台机器作一个游戏的服务器，比如：CF的、魔兽的。当然有些东西是违规或者违法的，在此并不表示鼓励，由此产生的一切后果也与本人无关：Pc、工作站由于工作站要运行上网的一些必备工具和游戏，因此，推荐安装WINXP系统，网络协议尽量少，一般只使用TCP/IP和IPX/SPX，根据我个人的经验，工作站最好不要安装“文件共享及打印协议”，可有效防止蠕虫类病毒感染网络，另外，在TCP/IP设置中，推荐采用静态IP地址（可与机号相对应），而不要在服务器中采用DHCP分配，这样做，一是有利于网络的管理，二是可以提高WIN98启动的速度。在工作站的非系统逻辑盘里，一般存放一个使用GHOST制作的镜像文件，以备系统损坏时快速恢复。d、网络安全随着Internet的普及，网络攻击事件越来越多。对于学校这个大众上网的场所，很多时候扮演着“练兵”的角色，不仅影响着被攻击一方，有时候出于个人私怨、兴趣、爱好等，学校成了这些Cracker的最佳攻击对象。这些需要引起学校经营者的高度注意。服务器的安全拔号代理服务器的安全是最重要的，因为一旦它被人攻击或者控制，整个学校就无法正常营业。其它的视频服务器也可参照。对于拔号代理服务器的安全，有以下几点需要注意的：（1）帐号的安全性：特别是有管理员权限的帐号应该被少数网络管理员所拥有；并且该网管不在此学校工作后，用户名和密码均要更换；用户名不要使用默认的，比如：administrator应更换成：admin_88800,ipuwirj等不规则不常用的，密码要设复杂并且位数要多；（2）服务的安全性：拔号代理服务器尽量不要安装任何服务，如、FTP等，即使出于工作需要，要安装某个服务，也要想办法降低风险，如，更改该服务的监听端口、对该服务提供审计措施、限制远程访问者的IP；（3）禁止默认的服务：这个主要是针对W2K的。W2K下有许多默认服务是自启动或者手工启动的服务，有许多是作为拔号代理服务器而不需要的，不仅不需要，还有可能成为安全的隐患，比如：RemoteRegistryService、TaskScheduler等；（4）安装防火墙：安装一个最新的病毒防火墙是必要的，另个，装一个安全防火墙也是必要的；（5）打补丁：作为网络管理员，经常及时地打补丁可以防止很多攻击，比如：打过sp3的W2K就没有输入法漏洞了；（6）其它：其它安全措施有许多，如：关闭不必要的端口139、445（对于AD），关闭IPC$，利用W2K的IPSEC技术等，这些都有赖于学习与提高。工作站的安全可能你会觉得作为学校，工作站（特别是安装的WIN系统）无须作安全设置，那你就错了。因为很多攻击往往是来自内部的。笔者亲历过这么一个攻击者：先到收银台交钱选择一个偏僻的地方上机，下载一个黑客软件，它会使WIN蓝屏，在攻击范围内填写的是127.0.0.1，两秒钟内，学校80%的机器蓝屏并且断网。他自己的机器也断了，因此你无法找到“真凶”，这是我经历过的事。另外，这个攻击者还可以有这样的选择，选择ARP攻击，攻击是效果：被攻击的机器不断的提示“IP地址冲突”而无法上网，更加高明者，可以选择欺骗，原理是：原来正常的数据包是通过网关（即拔号代理服务器）出去的，而攻击者可以欺骗整个网络，并让数据包转向攻击机器，结果是：整个学校不能上网！由此可见，工作站也要做好基本的安全措施：（1）禁止下载：从上面那位攻击者过程得知，禁止下载是必要的，另外，工作站最好不要安装解压缩软件；（2）给WIN打补丁：刚才举的WIN蓝屏事件，就是因为WIN少打了一个补丁，利用WIN开始菜单的“windowsupdate”连入微软网站进行在线升级；（3）有关注册表的：有很多网页通过脚本、ActiveX等入侵WIN机器，比如：更改默认首页就是一例。有很多攻击者就是采取这种方式破第一道防护：学校管理软件，比如获得学校管理软件的退出密码。因此，如果对付这种破解方式，是很重要的。遗憾的是，目前为止，还没有十全十美的办法，一个比较可行的措施是：将WIN本机的常见注册表选项保存成.reg文件，每次开机时利用regedit.exe导入一次。该举解决了一些常见的注册表被修改的情况，比如首页被改、IE标题被改等，但如何阻止攻击者获得密码、解除禁止下载呢？一个办法是将此网站加入到IE的受限站点中，另一种办法是干脆把IE里的有关脚本、ActiveX、JAVA小程序等全部禁止，前者需要人工添加并且肯定有遗漏，后者可百分之百防住，但给普通上网者带来不方便；（4）有关学校管理软件：学校管理类软件有很多，学校管理软件对于WIN系统的保护虽然不到位，但也是必要