衡阳二中校园网安全防护设计毕业论文.doc

湖南科技职业学院毕 业 设 计题 目： 衡阳二中校园网安全防护设计 专 业： 计算机网络技术 班 级： 网络安全3101 湖南科技职业学院电子信息工程与技术系二零一二年十二月 目 录摘 要1Abstract2第1章 绪 论31.1 项目研究背景、意义及特点31.1.1 项目研究背景31.1.2 项目意义31.1.3 项目特点41.2 主要研究工作和贡献41.3 设计的组织4第2章 相关知识综述52.1 网络安全52.2 网络安全技术概述52.3 网络安全关键技术52.3.1 防火墙技术52.3.2 防病毒技术62.3.3 IDS和IPS技术62.3.4 信息加密和数字签名技术6第3章 校园网络安全问题及需求分析83.1 校园网安全问题83.2 需求分析9第4章 校园网络安全整体防范及解决方案104.1 校园网络拓扑图104.1.1 现校园网络特点分析104.1.2 更新校园网络拓扑图104.2 校园网络整体解决方案114.2.1 预防校园网的网络广播风暴114.2.2 预防校园ARP欺骗攻击及解决方法124.2.3 VLAN划分134.2.4 访问控制列表144.2.5 网络监控144.2.6 备份与恢复144.2.7 安全服务配置154.2.8 防火墙的配置154.3 建立完善管理制度16总 结17致 谢18参考文献19湖南科技职业学院电子信息工程与技术系毕业设计摘 要随着教育信息化的发展，计算机校园网络系统成为学校重要的现代化基础设施，为学校建设提供安全、可靠、快捷的网络环境，学校的学生思想教育、教学、科研、管理等工作对网络的依赖性将越来越强，它己经成为高校信息化的重要组成部分。但随着黑客入侵的增多及网络病毒的泛滥，校园网的安全已成为不容忽视的问题，如何在开放网络的环境中保证校园网的安全性已经成为十分迫切的问题。本设计方案根据该校校园网网络的特点，描述了当前网络面临的一些安全问题。结合校园网的网络安全问题，网络需求分析合理地提出有效解决方案。包括防火墙的设置，入侵检测等等。使方案与实际应用相结合，满足实际需要，确切得做好安全防护。关键字：网络安全；安全防范；校园网；防火墙；入侵检测Abstract With the development of information technology in education, campus computer network system has become an important school of modern infrastructure for school construction to provide safe, reliable and efficient network environment, the schools students ideological education, teaching, research, management and other work dependent on the network sex will become increasingly strong, it has become an important college information component. But with the increase in hacking and network spread of the virus, the campus network security has become a problem can not be ignored, how to open network environment to ensure the safety of the campus network has become a very pressing issue. The design of the campus network based on Linke network characteristics, describes the current network security threats facing. Combined campus network security issues, network requirements analysis reasonably propose effective solutions. Including firewall settings, intrusion detection, etc. The program combined with the actual application, meet the actual needs, the exact security was good.Keywords: campus network; security network; security firewall; intrusion detection第1章 绪 论随着计算机网络技术的飞速发展，其实应用已逐渐渗透到经济，军事，科技，教育等各个领域。很多学校都建设了校园网并通过了各种渠道接入了internet，在享受internet方便快捷时，校园网络是学校重要的基础设施，担当着学校教务管理、科研、行政管理等多种角色，不仅给高校教育带来巨大的帮助，也给学生提供了大量的信息。校园网安全状况直接影响着学校的教学活动，随着现代网络应用的不断深入，使得校园网络安全问题也不断暴露、日益突出。为防止一些恶意软件和网络病毒的传播等，干扰系统正常运行造成网速变慢、信息丢失及网络瘫痪等严重后果。因此，我们设计相对可靠的校园网安全体系解决必要解决的问题。1.1 项目研究背景、意义及特点本项目主要根据衡阳二中学校园网中存在的安全隐患，从技术、系统、管理等多方面提出了改进和解决的方案，希望能对校园网的安全管理有所帮助，为师生创造一个安全、高效、干净的上网环境。1.1.1 项目研究背景随着技术的发展，针对衡阳二中校园网络的不断扩大，需要维护校园网络的安全，防范网络病毒入侵校园网，对学生用户上网时间的控制，用户网络权限的控制，有效屏蔽各种网络攻击，访问身份认证等等。1.1.2 项目意义网络技术飞速发展，以不可替代的趋势影响着人们的生活和工作，给人类带来高效和快捷。由于网络不安全状态的存在，校园网数据丢失、系统被修改或瘫痪的事情仍有发生，这对于建立一个安全，稳定高效的校园系统时，网络安全成为一个非常重要的环节。随着网络的普及，其安全问题也日益突出。如何让校园网正常高效的运行，充分发挥其教学、管理和服务等功能，已成为不可忽视的一个问题。校园网络的安全问题也逐渐突出，直接影响着学校的教学、管理、科研活动。因此，在全面了解校园网的安全现状基础上，合理构建安全体系结构，改善网络应用环网络技术飞速发展，以不可替代的趋势影响着人们的生活和工作，给人类带来高效和快捷。由于网络不安全状态的存在，校园网数据丢失、系统被修改或瘫痪的事情仍有发生，这对于建立一个安全，稳定高效的校园系统时，网络安全成为一个非常重要的环节。随着网络的普及，其安全问题也日益突出。如何让校园网正常高效的运行，充分发挥其教学、管理和服务等功能，已成为不可忽视的一个问题。校园网络的安全问题也逐渐突出，直接影响着学校的教学、管理、科研活动。因此，在全面了解校园网的安全现状基础上，合理构建安全体系结构，改善网络应用环境的工作。1.1.3 项目特点随着网络的普及和发展，高校信息化建设也在快速地进行，校园网在高校及教育系统中的作用越来越大，已经成为高校重要的基础设施，对学校的教学、科研、管理和对外交流等发挥了很好的保障作用。目前，校园网络已遍及学校的各个部门，有的学校已将网络线通入学生寝室，网络已经成为师生工作、学习、生活不可缺少的工具。校园网络的建立，能促进学校实现管理网络化和教学手段现代化，对提高学校的管理水平和教学质量具有十分重要的意义。但是，网络中的种种不安全因素（如病毒、黑客的非法入侵、有害信息等）也无时无刻不在威胁校园网络的健康发展，成为教育信息化建设过程中不容忽视的问题。如何加强校园网络的安全管理，保证校园网安全、稳定、高效地运转，使其发挥应有的作用，已经成为学校需要解决的重大问题，也是校园网络管理的重要任务。 1.2 主要研究工作和贡献本设计方案根据衡阳二种校园网讨论网络的安全问题。国内高校校园网的安全问题有其历史原因：在以前的网络时期，这方面知识因为意识与资金方面的原因，以及对技术的偏好和运营意识的不足，普遍都存在“重技术、轻安全、轻管理”的倾向，常常只是在内部网与互联网之间放一个防火墙就万事大吉，有些学校甚至直接连接互联网，这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等，这些安全隐患只要发生一次，对整个网络都将是致命性的。计算机网络安全不仅要保护计算机网络设备安全，最重要的是还要保护数据安全，系统的安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全保护方案，以保证计算机网络自身的安全性为目标。1.3 设计的组织本设计是围绕着衡阳二中校园的网络安全问题设计和实现而组织的。本设计论述了校园网安全的问题及需求功能，并对计算机网络安全进行分析。针对该校园网安全制定一些安全防范措施，对校园网安全进行方案设计，解决问题。 本设计大致分为4个内容：1. 绪论2. 相关知识综合3. 校园网络安全问题及需求分析4. 校园网络安全整体防范及解决方案第2章 相关知识综述2.1 网络安全安全，通常是指只有被授权的人才能使用其相应资源的一种机制。我国对于计算机安全的定义是：“计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而遭到破坏、更改、显露，系统能连续正常运行。”从技术讲，计算机安全分为3种：1）实体的安全。它保证硬件和软件本身的安全。2）运行环境的安全性。它保证计算机能在良好的环境里持续工作。3）信息的安全性。它保障信息不会被非法阅读、修改和泄漏。随着网络的发展，计算机的安全问题也延伸到了计算机网络。2.2 网络安全技术概述网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全技术分为：虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。2.3 网络安全关键技术2.3.1 防火墙技术防火墙技术分为两类：硬件防火墙和软件防火墙。1 硬件防火墙硬件防火墙主要用于对网络中的数据访问进行限制，提供对系统的访问控制和集中的安全管理，防止不安全的数据访问和服务。比如: 限制外网用户对内网服务器的访问。传统的硬件防火墙采用分组过滤或包过滤技术，工作在网络七层模型的下三层。随着流过滤等新技术的应用，目前的防火墙已经可以进行应用层的策略部署。利用硬件防火墙，可以在内网实现DMZ区的划分、NAT地址转换等功能。目前，硬件防火墙按照实现技术可分为三类: 包过滤防火墙、应用代理服务器和状态检测防火墙。按其实现架构划分，又可分为以下三类: 基于通用处理器的工控机架构（PC架构）防火墙、基于NP技术的硬件防火墙、基于ASIC芯片的硬件防火墙。工控机架构最大的优点是灵活性好，但在大数据流量的网络环境中处理效率不理想。在千兆数据流量的网络中，NP和ASIC芯片架构将成为硬件防火墙的发展方向。2 软件防火墙软件防火墙成本较低，安装方便，使用简单，能够满足个人用户单机防护的基本需求。包括防止黑客攻击、保证信息安全、监测计算机运行状况等功能。2.3.2 防病毒技术防病毒技术可分为：硬件防病毒和硬件防病毒1 硬件防病毒硬件防病毒产品主要有硬件防病毒网关、带病毒过滤功能的防火墙等，主要用于网络的入口处，采用内嵌的内容过滤、病毒过滤技术，对经过该设备的多种协议的数据进行扫描，并提供强大的审计与监控功能。能有效的防止从外网流入的病毒、蠕虫的攻击。由于硬件设备具有高速、稳定、不易受攻击等优点，硬件防病毒技术正逐渐成为一种趋势，被集成到交换机等常用网络设备中。2 4.2.2 软件防病毒针对网络病毒的泛滥，合理的部署网络版杀毒软件，从源头控制病毒的扩散，能够有效的降低蠕虫等病毒的危害程度，降低病毒造成的损失。在选择网络版杀毒软件时，病毒库的升级速度、客户端的资源占用情况、软件的易操作性以及是否有强大的管理功能都是我们需要考虑的因素。2.3.3 IDS和IPS技术入侵检测系统（IDS）是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图” （参见国标GB/T18336）。入侵检测系统只对网络上不安全的操作进行报警，与路由器或防火墙联动后，也可以进行数据的阻断。但是，由于IDS系统的被动性以及识别的准确性不高，因此在使用中仍存在很多问题。入侵防护系统（IPS）采用行为规则技术，在发现攻击事件时，立即进行阻断。而且，它能够执行一些应用层的访问策略，对来自正常端口的攻击进行有效防护。2.3.4 信息加密和数字签名技术信息加密技术是与防火墙配合使用的技术，是通过对信息的重新组合，使得只有收发双方才能解码还原信息，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。数字签名技术是基于公共密钥的身份验证，它提供了一种鉴别方法，以解决伪造、抵赖、冒充和篡改等问题。大多数电子交易采用两个密钥加密：密文和用来解码的密钥一起发送，而该密钥本身又被加密，还需要另一个密钥来解码。这种组合加密被称为数字签名，它有可能成为未来电子商业中首选的安全技术。按作用不同，信息加密和数字签名技术可分为以下四种：1、数据传输加密技术对传输中的数据流加密有线路加密和端对端加密两种方式。前者侧重在线路上而不考虑信源与信宿，是对保密信息通过各线路采用不同的加密密钥提供安全保护；后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密，把明文加密成密文，然后进入TCP/IP数据包封装穿过互联网，当这些信息一旦到达目的地，将由收件人运用相应的密钥进行解密，使密文恢复成为可读数据明文。2、数据存储加密技术防止在存储环节上的数据失密有密文存储和存取控制两种方式。前者一般是通过加密法转换、附加密码、加密模块等方法实现；如PGP加密软件，它不光可以为互联网上通信的文件进行加密和数字签名，还可以对本地硬盘文件资料进行加密，防止非法访问。3、数据完整性鉴别技术数据完整性鉴别是系统通过对比验证对象输入的特征值是否符合预先设定的参数，实现对数据的安全保护。这种鉴别技术主要应用于大型的数据库管理系统中。数据库系统会根据不同用户设置不同访问权限，并对其身份及权限的完整性进行严格识别。4、密钥管理技术运用密钥对数据进行加密，这就涉及了一个密钥的管理问题，因为用加密软件进行加密时所用的密钥通常不是我们平常所用的密码那么仅几位，至多十几位数字或字母，一般情况这种密钥达64bit，有的达到128bit，我们不可能完全用脑来记住这些密钥，只能保存在一个安全的地方，所以这就涉及到了密钥的管理技术。第3章 校园网络安全问题及需求分析3.1 校园网安全问题衡阳二中校园网具有速度快、规模大，计算机系统管理复杂，随着其应用的深入，校园网络的安全问题也逐渐突出，直接影响着学校的教学、管理、科研活动。因此，在全面了解校园网的安全现状基础上，合理构建安全体系结构，改善网络应用环境的工作迫在眉睫。当前，衡阳二中校园网网络常见的安全问题有以下几种：1计算机系统漏洞。目前，校园网中广泛使用的网络操作系统主要是Windows，存在各种各样的安全问题，服务器、操作系统、防火墙、TCP/IP协议等方面都存在大量安全漏洞。而且随着时间的推移，将会有更多漏洞被人发现并利用。许多新型计算机病毒都是利用操作系统的漏洞进行传染，如不对操作系统进行及时更新，这些漏洞就是一个个安全隐患。2计算机病毒的破坏。计算机病毒影响计算机系统的正常运行、破坏系统软件和文件系统、使网络效率下降、甚至造成计算机和网络系统的瘫痪，是影响校园网络安全的主要因素。计算机病毒具有以下特点：一是攻击隐蔽性强；二是繁殖能力强；三是传染途径广；四是潜伏期长；五是破坏力大。如ARP欺骗病毒、熊猫烧香病毒、网络执行官、网络特工、ARPKILLER等网络病毒，表现为集体掉线、部分掉线、单机掉线、游戏帐号、QQ帐号、网上银行卡等帐号和密码被盗等，严重威胁了校园网络的正常使用。3来自网络外部的入侵、攻击等恶意破坏行为。校园网与Internet相连，在享受Internet方便快捷的同时，也面临着遭遇攻击的风险。黑客也经常利用网络攻击校园网的服务器，以窃取一些重要信息。目前在因特网上，可以自由下载很多攻击工具，这类攻击工具设置简单、使用方便，破坏力大，这意味着攻击所需要的技术门槛大大降低。因此，一个技术平平的普通攻击者很可能就是对网络系统造成巨大危害的黑客。4校园网内部的攻击。高校校园网是广大师生进行教学与科研活动的主要平台，由于高校部分学生对网络知识很感兴趣，具有相当高的专业知识水平，对内部网络的结构和应用模式又比较了解，攻击校园网就成了他们表现自己能力的方式，实践自己所学知识的首选，经常有意无意的攻击校园网系统，干扰校园网的安全运行。5校园网用户对网络资源的滥用。实际上有相当一部分的Internet访问是与工作无关的，有人利用校园网资源进行商业的或免费的视频、软件资源下载服务，甚至有的是去访问色情、暴力、反动站点，导致大量非法内容或垃圾邮件出入，占用了大量珍贵的网络带宽，Internet资源严重被浪费，造成流量堵塞、上网速度慢等问题，而且不良信息内容也极大地危害青少年学生的身心健康。6非正常途径访问或内部破坏。在高校中，有人为了报复而销毁或篡改人事档案记录；有人私自改变程序设置，引起系统混乱；有人越权处理公务，为了个人私利窃取机密数据；一些学生通过非正常的手段获取习题的答案或者在考试前获得考试内容，使正常的教学练习失去意义。这些行为都严重地破坏了学校的管理秩序。7网络硬件设备受损。校园网络涉及硬件的设备分布在整个校园内，管理起来有一定的难度，暴露在外面的设施，都有可能遭到有意或无意地损坏，这样可能会造成校园网络全部或部分瘫痪的严重后果。8校园网安全管理有缺陷。随着校园内计算机应用的大范围普及，接入校园网的计算机日益增多，如果管理措施不力，随时有可能造成病毒传播泛滥、信息丢失、数据损坏、网络被攻击、系统瘫痪等严重后果。校园计算机网络建设普遍存在重视硬件投入，忽视软件投资；重运行，轻管理的现象。主要表现为对网络安全的认识不足，将网络系统作为一项纯技术工程来实施，没有一套完善的安全管理方案；网络系统管理员只将精力集中于IP的申请分配和开通、账户的维护、各服务器上应用系统日常维护、系统日志的审查和网络规范的设计及调整上，而很少去研究网络安全状态的发展变化、入侵手段、防范措施、安全机制等。3.2 需求分析衡阳二中很早就开展了计算机辅助教学，并建立了大规模的计算机实验室，学校拥有计算机上千台，但由于目前各个系统都是自己组建自己的内部网络，采用的软件平台、硬件平台和网络结构各不相同，因此随着衡阳二中学校网络发展和各个学校之间互联网络的建成，现有的网络结构与水平已经不能适应高速发展的信息网络建设。主要表现在：1 减少网络大量的冗余，防止IP相互冲突。2 确保网络长时间稳定运行。希望用户间访问网络、邮件传输、在线视频等都要高度快速和稳定。3 需要防病毒攻击加强网络安全。为保证学校网络正常稳定运行，避免发生因网络病毒洪水般袭击而时不时断线。掉线等情况的发生及内部信息的安全。4 优化网络带宽使用率。5 实现资源共享。6 防止校园网外部用户对校园网内的用户进行攻击。7 所有服务器的操作系统采用Windows Server。第4章 校园网络安全整体防范及解决方案4.1 校园网络拓扑图4.1.1 现校园网络特点分析衡阳二中校园网络具有如下特点：1、网络规模大，设备多。从网络结构上看，可分为核心、汇聚和接入3个层次，包含很多的路由器，交换机等网络设备和服务器、微机等主机设备。2、用户种类丰富。按用户类型可以划分为教学区（包括教学楼、图书馆、实验楼等）、办公区（包括财务处、学生处、食堂等）、学生宿舍等。不同用户对网络功能的要求不同。教学区和办公区要求局域网络共享，实现基于网络的应用，并能接入INTERNET。学生区和家属区主要是接入INTERNET的需求。3、应用系统丰富。校园网单位众多，有很多基于局域网的应用，如多媒体教学系统，图书馆管理系统，学生档案管理系统，财务处理系统等。这些应用之间互相隔离。还有很多基于INTERTNET的应用，如WWW、E-MAIL等，需要和INTERNET的交互。各种应用服务器，如DNS，WWW，E-MAIL，FTP等与核心交换机高速连接，对内外网提供服务。图4-1 现校园网拓扑4.1.2 更新校园网络拓扑图 根据衡阳二中学校中常见的网络安全问题和需求，合理地更新该校网络结构拓扑图4-2。图4-2 更新校园网络拓扑4.2 校园网络整体解决方案根据该校的用户增加，网络设备也随着增多。为了能能控制广播风暴，帮助控制流量，提供更高的安全性。我采取了一下防范及解决方案。4.2.1 预防校园网的网络广播风暴广播风暴指过多的广播包消耗了大量的网络带宽，导致正常的数据包无法正常在网络中传送，通常指一个广播包引起了多个的响应，而每个响应又引起了多个得响应，就像滚雪球一样，把网络的所有带宽都消耗殆尽。该现象通常是由于网络环路、故障网卡、病毒等引起的。预防（以CISCO catalyst switch为例）1、首先使用网管分析你网络的baseline，这样可以明确你的网络当中正常情况下的广播包比例是多少。2、目前绝大多数交换机都支持广播风暴抑制特性，配置了这个特性以后，你可以控制每个端口的广播包维持在特定的比例之下，这样可以保留带宽给必须的应用。配置：（以CISCO catalyst switch为例）Int XXstorm-control broadcast level 20.00switch#sh stormInterface Filter State Level Current- - - -Fa1/0/1 Forwarding 20.00% 0.00%3、针对缺省STP配置无法排除的网络环路问题，利用STP的BPDUguard特性来预防广播风暴。此种环路情况示意图如下：switch hub（portA portB）Switch启用了STP，而hub则被人有意无意的用一根网线联起来，导致引起了环路。SWITCH的端口不会收到其他交换机或本交换机其他端口的BPDU，不会触发该端口的STP决策过程，也就不可能blocking该端口，这样就会引起广播风暴。我们可以利用CISCO STP的BPDUguard特性来预防这一点。int xxxspanning-tree bpduguard enable*值得注意的是bpduguard可以在全局下配置，也可以在每端口的基础上配置。如果在全局下配置，则只对配置了portfast的端口起作用，如果在端口下配置，则不用配置portfast。4.2.2 预防校园ARP欺骗攻击及解决方法ARP攻击是当前校园网遇到的一个非常典型的安全威胁，受到ARP攻击后校园网内各终端电脑会出现大面积掉线、ARP包爆增、拷贝文件无法完成，出现错误、无法ping通网关，但重启机器后又可恢复上网等情况。欺骗木马发作时还会窃取用户密码，如盗取QQ密码、盗取各种网络游戏密码和账号，盗窃网上银行账号来做非法交易活动等。l 校园网ARP病毒的五条预防措施：措施1、及时升级客户端的操作系统和应用程序补丁。 措施2、安装和更新杀毒软件及ARP专用防火墙。措施3、如果网络规模较小，尽量使用手动指定IP设臵，而不是使用DHCP来分配IP地址。措施4、如果交换机或路由器支持，在交换机或路由器上绑定MAC地址与IP地址。措施5、在校园网正常运行时，备份一份网关与知终端的IP地址与MAC地址正常对应表，最好包含计算机名信息。现今学校一般都通过路由器上网，两地址信息均可在路由器的WEB设臵页面中找到，也可以使用网上常见的一些专业MAC地址扫描工具得到正确的地址信息。l ARP病毒感染后的分析及处理校园网如果还是不幸中招，出现本文第一段所说的那些症状时，我们首先应该判断是否为ARP病毒的原因，点击“开始”按钮-选择“运行”-输入“arpd”-点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。arp-d命令用于清除并重建本机arp表。arpd命令并不能抵御ARP欺骗，执行后仍有可能再次遭受ARP攻击。如果计算机安装有ARP防火墙的话，也会在屏幕的右下角跳出报警信息，当确诊为ARP病毒是时，我们可以采取以下方法进行校园网的修复处理。4.2.3 VLAN划分VLAN（Virtual Local Area Network）即虚拟局域网，是指在交换式网络机构中，将局域网分成若干个小的逻辑子网，每一个逻辑子网就是一个单独的广播域。将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。VLAN要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的VLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内，这样就大大的增加了局域网内部的此信息安全性。将各部门划属不同的VLAN，它们之间是不能通信的，这样能有效避免部门间的越权访问，特别是像资产管理部这样的数据比较敏感的部门，对于那些与他不属于一个VLAN的电脑是无法访问它的。同时，这样还防止广播风暴的发生，避免过多广播包占据带宽造成网络拥塞。另外，VLAN为网络管理带来了很大的方便，将每个部门划分为一个VLAN，每个VLAN内的客户终端需求是基本相似的，对于故障排查或者软件升级等都比较方便，大大提高了网络管理人员的工作效率。各个vlan之间数据的传输，必须经过trunk链路。Trunk是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器。基于端口汇聚的功能，允许交换机与交换机、交换机与路由器、交换机与主机或路由之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提高整个网络的能力。Trunk端口一般为交换机和交换机之间的级联端口，用于传递所有vlan信息。Trunk链路配置命令：Switch(config)#interface range interface-number Switch (config-if-range)#switchport trunk encapsulation dot1q Switch (config-if-range)#switchport mode trunkSwitch (config-if-range)#exitVLAN技术中用到的协议有vtp(vlan trunking protocol)，这是vlan中继协议，也被称为虚拟局域网干道协议。它是思科的专有协议，vtp可以减少vlan的相关人物管理。VTP基本配置命令：Switch (vlan) # vtp domain domain-nameSwitch (vlan) # vtp mode server/client/transparent Switch (vlan) # vtp password passwordSwitch (vlan) #trunk on | off | desirable | auto | nonegotiate Switch (vlan) # exitSwitch (vlan)#vlan vlan-id name vlan-name 当处于同一个网络的设备不断增多， 网络上产生的广播数据也不断增加。一般来说，设备数量大于400台后，就容易形成广播风暴，造成网络传输延时甚至引起网络设备的连接中断。将接入层交换机按使用单位的不同划分为多个VLAN，能够有效的降低广播风暴的影响，同时也保证了信息的安全。4.2.4 访问控制列表访问控制列表ACL （access control list） 是Internet接入设备路由器的一项重要功能，目前有许多交换机也具备了这一功能。通过访问控制列表，我们可以根据数据报中的不同信息特征，有选择的放行或阻断数据报。在访问控制列表中，可以选择将数据的源地址、目的地址、端口等信息综合在一起，制定科学的访问控制策略。例如: 针对常见的网络攻击和蠕虫病毒，可以在接入层交换机设置以下访问控制列表，并应用到接入层的每个端口，达到限制病毒传播的目的。以CISCO2950交换机为例，可进行如下设置:ip access-list extended accesslistnamedeny tcp any any eq 137deny tcp any any eq 138deny tcp any any eq 135deny udp any any eq 135deny tcp any any eq 445deny udp any any eq 445deny udp any any eq 1434deny tcp any any eq 1434permit ip any any exit4.2.5 网络监控利用SOLARWINDS等网络监控工具，对核心层、汇聚层和接入层的交换设备进行实时监控，包括流量变化情况、CPU占用情况等。及时发现网络流量及设备的异常变化，及早发现网络中的病毒传播或网络攻击现象，从而为我们找到病毒源或攻击源，维护网络正常运行创造条件。此外，在关键区域部署网络版杀毒软件，采用集中管理与分级管理相结合的管理模式；部署SUS 补丁分发服务器，及时给客户机安装系统补丁；定期进行网络的漏洞扫描和安全评估。4.2.6 备份与恢复 建立完整的网络数据备份系统必须实现以下内容：计算机网络数据备份的自动化，以减少系统管理员的工作量；使数据备份工作制度化，科学化；网络安全技术及其在校园网中的应用与研究；对介质管理的有效化，防止读写操作的错误；对数据形成分门别类的介质存储，使数据的保存更细致、科学；自动介质的清洗轮转，提高介质的安全性和使用寿命；以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理，集中管理的特点；维护人员可以容易地恢复损坏的整个文件系统和各类数据。备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素。4.2.7 安全服务配置安全服务隔离区(DMZ)把服务器机群和系统管理机群单独划分出来，设置为安全服务隔离区，它既是内部网络的一部分，又是一个独立的局域网，单独划分出来是为了更好的保护服务器上数据和系统管理的正常运行。建议通过NAT(网络地址转换)技术将受保护的内部网络的全部主机地址映射成防火墙上设置的少数几个有效公网IP地址。这不仅可以对外屏蔽内部网络结构和IP地址，保护内部网络的安全，也可以大大节省公网IP地址的使用，节省了投资成本。如果单位原来已有边界路由器，则可充分利用原有设备，利用边界路由器的包过滤功能，添加相应的防火墙配置，这样原来的路由器也就具有防火墙功能了。然后再利用防火墙与需要保护的内部网络连接。对于DMZ区中的公用服务器，则可直接与边界路由器相连，不用经过防火墙。它可只经过路由器的简单防护。在此拓扑图4-2结构中，边界路由器与防火墙就一起组成了两道安全防线，并且在这两者之间可以设置一个DMZ区，用来放置那些允许外部用户访问的公用服务器设施。4.2.8 防火墙的配置防火墙的具体配置步骤如下：1 将防火墙的Console端口用一条防火墙自带的串行电缆连接到笔记本电脑的一个空余串口上。2 打开PIX防火电源，让系统加电初始化，然后开启与防火墙连接的主机。3 运行笔记本电脑Windows系统中的超级终端（HyperTerminal）程序（通常在“附件”程序组中）。对超级终端的配置与交换机或路由器的配置一样。4 当PIX防火墙进入系统后即显示“pixfirewall”的提示符，这就证明防火防火墙在网络安全中的应用墙已启动成功，所进入的是防火墙用户模式。可以进行进一步的配置了。5 输入命令：enable，进入特权用户模式，此时系统提示为：pixfirewall#。6 输入命令：configure terminal，进入全局配置模式，对系统进行初始化设置。1 首先配置防火墙的网卡参数（以只有1个LAN和1个WAN接口的防火墙配置为例）Interface ethernet0 auto # 0号网卡系统自动分配为WAN网卡，“auto”选项为系统自适应网卡类型Interface ethernet1 auto2 配置防火墙内、外部网卡的IP地址IP address inside ip_address netmask # Inside 代表内部网卡IP address outside ip_ad