无格式论文.doc

1 绪 论1.1 校园网概述以教育信息化促进教育现代化，用信息技术来改变传统教育模式，这是教育发展的必然趋势。近年来，我国的教育信息化发展十分迅速，中国教育科研网建设、现代远程教育工程、中小学信息技术教育和“校校通”工程、教育政务信息化工程先后启动，校园网、教育城域网、省域网的建设进一步促进了我国教育信息化的建设进程。建设校园网是当前学校信息系统建设的最终目标。在高等学校中组建校园网就是将校园内各种信息资源，例如服务器、工作站、磁盘阵列等设备与其上运行的程序、数据库等，通过高性能的网络设备连接起来，并通过一定的接口，连接到广域网上，建立起校园内部、校园之间、校园与社会的信息基础设施1。随着时代的进步、科技的发展，在现代化信息技术管理上，学校将面临新的挑战。为了提高学校自身的现代化管理水平，丰富教学方法和手段，提高工作效率，及时掌握各种相关信息，提高处理各种业务及突发事件的能力，加强管理，拥有现代化信息技术手段，利用计算机网络与通信技术，全面、迅速、准确地掌握信息，已成为学校内部管理和教学业务处理的迫切需要。建设校园网络是基础教育信息化的根本途径，丰富多彩、健康清新的校园网络文化成为学校培养学生思维方式、道德品质、创造能力的新环境，成为培养全面发展的高素质人才的崭新平台。全面运用各种网络技术和网站开发技术，制作出符合本校实际的网站内容，以快速、高效的操作找到需要的信息，是学院对外宣传的重要窗口。运用现代教育技术建设校园网，营造清新的校园网络文化氛围成为让学生了解世界，扩展学生视野，解放教师的生产力和培养师生的创造力的有力手段2,3。校园网建设中网络建设是基础，资源建设是核心，教学应用是目的，管理服务是保证。校园网的建设是一项系统工程，其范围一般在几十公里以内，是由各职能部门的网络通过主干网络互连而成的。校园网是一个工程产物，是一个开放、动态的系统性产品，集成了众多Internet和Extranet 技术，它具有以下特性2：系统性：校园网是由计算机及通信的硬件和技术，计算机软件和技术，计算机使用者和维护者，以及对校园网具有深刻影响的管理者组成的庞杂系统。兼容性：该特性包括时间和空间上两个方面。时间上要求整个网络能及时升级、不断吸纳新技术；空间上要求能扩展即可伸缩，包括两层含义: 其一指校园网建设不是一蹴而就的，有一个在现有网络基础上的再建设过程: 其二指校园网是开放的，功能随需求不断增加，性能随要求不断提升，设备随新技术、新标准的应用不断更新。复杂性：校园网的应用环境、业务差异大且相对独立，应用规模大且物理位置分散，子网分割较多且服务质量(QOS)要求千差万别，网络设备复杂且要求互操作性良好，就连网络技术本身也是向越来越复杂的方向发展。异构性：包括网络技术和网络结构的异构，技术异构指主干网FDDI、ATM、ATM+FDDI等形式，同时子网互连也可采用DDN、X.25、帧中继、路由、交换、微波、卫星、IP Switch等多种形式。结构方面：校园网的拓扑结构既有传统的星型、总线费、环型，也有三种类型的混合型，还体现在网络业务和使用人员的异构。层次性：校园网一般按行政级别或业务大小分级：层、段，层次性较明显4。建设校园网的根本目的是为学校的教学、科研和管理提供先进、实用的计算机网络环境，为学校的发展和全球信息资源的共享提供服务3-5。1.2 国内外校园网研究现状国外Internet起步较早，网络速度发展较快，目前形成了比较完善的校园网理论，各院校的校园网相对来讲都比较完善。而国内由于Internet起步较晚，随着中国教育科研网(CERNET)的建立，极大地促进了高校校园网的建设7。目前国内清华、北大等一些大规模院校的校园网功能开发比较完善，而大部分中小型院校由于资金、技术力量等因素，校园网建设水平还相差甚远，大多数校园网的结构、规模和应用不是很完善,网络设备、计算机设备的功能没有得到充分的挖掘和发挥。只仅提供教学管理、办公室自动化、Web等方面，还缺乏深层次的应用和开发。普遍表现在以下几个方面：1.3 课题研究的目的中国教育振兴行动计划中提出“教育信息化建设工程”：加快教育信息化基础设施、信息资源建设和人才培养；构建教育信息化公共服务体系，建设硬件、软件共享的网络教育公共服务平台；全面提高现代信息技术在教育系统的应用水平，建立网络学习与其他学习形式相互沟通的体制，推动高等学校数字化校园建设，推动网络学院的发展；建立高等学校在校生管理信息网络服务体系。通过对烟台汽车工程学院校园网络进行合理的设计以及规划，从而在烟台汽车工程职业学院校园内实现从环境(包括实验室、教 室、设备等)、资源(如公文、图书、讲义、课件等)到活动(包括教、学、科研、管理、服务、办公等)的全部数字化，拓展现实校园的时间和空间维度，提升传统校园的效率，扩展传统校园的功能，最终实现教育过程的全面信息化，达到提高教育质量和效率的目的。1.4 本文主要研究方法和内容本文采用理论联系实际的研究方法，在实际工作中对各种改进方案不断修改、不断完善，逐步确定了学院的具体校园网发展目标。随着校园网的不断使用，网络中存在的各种问题逐渐呈现出来，在我们面对这些问题的时候，采用不同的方法去解决和处理，主要的研究方法有以下几类：（1）调查法：通过大量的实际调查，从中找到最优设计方案。主要体现在网络的应用和网站建设方面，调查途径可以通过电子邮件、BBS论坛、实地考察等渠道，收集许多用户的反馈意见，调查其它网站的详细做法，不断充实和完善学院的网络结构。（2）实验法：随着计算机技术和网络技术的飞速发展，各种新问题、新概念会随时出现。我们只有在完善的理论支持下，尝试用不同的方法、通过不同的渠道、采用不同的设计方案，通过大量的相关实验，得到不同的结果。然后对各种结果进行分析和比较，从而得出最优化的解决方案。例如在路由器和防火墙配置中，通过各种参数的详细设置，对流量控制、带宽分配、数据的通行和阻止等方面，只有通过大量的实验才能得到适合自己的配置方法。（3）建立专家系统：成立一个由精通网络技术教师、学科带头人等组成的研究小组，专门研究支持各种网络教学模式的网络技术，开发适合学院的各类信息管理系统，真正提高学院的办公效率。本文研究的主要内容如下：（1）对烟台汽车工程职业学院校园网建设进行需求分析，并在此基础上提出校园网设计需遵循的原则。（2）对校园网络整体拓扑结构、校园无线网络、VLAN规划、路由协议、服务器及存储系统设计、认证计费系统、网络管理系统进行详细设计和规划。（3）在介绍与校园网络相关的几种安全技术之后，对烟台汽车工程职业学院整个校园网进行系统安全层次划分及规划所采取的相应策略。（4）规划烟台汽车工程职业学院校园网络中所使用的网络安全管理系统以及流量监控系统。 2 校园网建设需求分析及设计原则随着现代信息技术的高速发展，不可避免地改变着传统教育模式信息与教育相结合毫无疑问地成为了当今中国教育改革和发展的关键组成部分，当前蓬勃发展的以计算机网络为主导的现代信息技术是教育现代化必不可少的基础。烟台汽车工程职业学院校园网络建设项目的提出是学院深化教育信息化改革与发展的必然要求，是顺应学院发展的必然结果。2.1 需求分析烟台汽车工程职业学院校园网建设要求在学院建成一个以办公管理自动化、计算机网络辅助教学、现代计算机校园文化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖全校主要楼宇及公共设施的智能化数字校园。烟台汽车工程职业学院信息化建设的起点要高，要满足以下功能需求：（1）信息化应用的需求为了适应信息时代的要求，进一步转变工作方式、提高工作效率，有必要建立一个功能齐全、手段先进、安全畅通的烟台汽车工程职业学院教学系统，提高教育工作的管理水平，加强合作与交流，扩大教育的覆盖面。（2）随时随地接入的要求首先，在校师生对于网络接入有着强烈的需求，其原因主要有两个方面：一方面，随着近年来国家对高等教育的大力发展和支持，高校在校生人数普遍呈现上升趋势；另一方面，由于国家经济实力的增强，技术的发展带来的低成本，导致电脑的普及率越来越高。其次，在部分热点区域，或者难以布线的区域需要一种切实可行的高性价比的接入方式，也就是采用无线网络作为对有线网络的补充。总之，网络作为一个底层的平台，需要师生能够随时随地的方便的接入，这就要求有线网络和无线网络要合理搭配，适合用有线的地方用有线，适合用无线的地方用无线。当然，两者可以有一定的冗余，甚至部分区域会采用无线网络进行备份。目前，全国许多高校已经部署了无线网络，以作为对有线网络的补充，但是仍然存在着无线设备带机数不够、安全性不足、无法很好的进行用户和设备管理的问题。首先是高性能。随着校园网用户数在不断增加，并且随着网络应用技术的不断丰富，校园网应用也愈发复杂，例如FTP、VOD点播等大数据量的访问，尤其是目前流行的P2P的应用产生了巨大的网络流量，如何高速进行网络传输，对网络设备的性能提出了很高的要求。其次是稳定可靠。一方面，未来的社会是信息的社会，当前随着校内师生的工作、科研、学习、娱乐越来越离不开网络，网络的稳定可靠性就越发重要；另一方面，在应用丰富的同时，网络环境也变得异常恶劣，近几年，网络攻击事件呈指数级上升而所需的知识却越来越弱化，各种攻击工具在网络上可以信手拈来，这也对网络设备在网络攻击或者病毒泛滥情况下的稳定可靠提出了挑战。由此分析来看，随着用户数增加、应用的复杂，导致网络流量的飞速提升，需要保证多用户、大流量情况下骨干的高带宽，骨干设备的线速转发；随着师生日常对于网络的依赖性增强以及网络环境的日趋恶化，需要保证做到骨干网络一定级别的稳定可靠性。第一，高校面临着严峻的网络安全形势。越来越多的报道表明高校校园网已逐渐成为黑客的聚集地。这一方面是由于网络病毒、黑客工具的泛滥，用户安全意识的淡薄，而另一方面，高校学生掌握着丰富的网络知识以及对新鲜事物有着强烈的好奇心，他们有着探索的高智商和冲劲，却缺乏全面思考的责任感。有关数字显示，目前校园网遭受的恶意攻击，90%来自高校网络内部，如何保证校园网络的安全成为高校校园网络建设时不得不考虑的问题。第二，网络安全一定是全方位的安全。首先，网络出口、数据中心、服务器等重点区域要做到安全过滤；其次，不管接入设备，还是骨干设备，设备本身应具有强大的安全防护能力，并且安全策略的部署不能影响到网络的性能，不造成网络单点故障；最后，要充分考虑全局统一的安全部署，需要能够从准入控制，到对网络安全事件进行深度探测，到现有安全设备有机的联动，到对安全事件触发源的准确定位和根据身份进行隔离、修复措施，从而能对网络形成一个由内至外的整体安全架构。所以，在对出口等重点区域进行安全部署的同时，要更加全面的考虑安全问题，让整个网络从设备级的安全上升一个台阶，摆脱仅仅局部加强某个单点的安全强度的手段。首先，校园网需要进行合理的运营。第一，校园网的投资较大，加上每年的维护成本，对于学校并不是一笔可以忽视的开支；第二，根据各校的情况，进行合理的运营收费，依靠市场化的手段能够推动校园网的运作规范化和提高建设水平。其次，有效的管理可以从用户管理和设备管理两个方面来看。对于用户管理，最重要的是能够实现事前的身份认证和准确定位、事中的实时处理、事后的完整日志审计。对于设备管理，需要的是统一有效的网络管理系统，能够直观全面地监控整个网络和各种设备的运行状态，记录和深入分析网络流量，及时报告各种故障和性能问题，协助管理员找到故障的起源，并且对网络的性能变化和故障发生提前进行预测。众多高校仍然采用的是直接存储在服务器硬盘上的方式，也就是我们所说的直接存储(DAS)。这种方式存在众多问题，一是不同的数据存储在不同的服务其硬盘上，造成有些服务器硬盘空间已满，而有些服务器硬盘空间却闲置，空间扩展比较困难，并且服务器之间无法进行空间共享；二是随着应用的不断丰富，访问量的增加，办公、教学、科研对网络的依赖，服务器的性能受到强烈的考验，最终可能成为性能的瓶颈8,9。2.2 校园网设计原则烟台汽车工程职业学院校园网建设要实现内部全方位的数据共享、应用三层交换、提供全面的QOS保障、组播服务，使网络安全可靠，从而实现教育管理、多媒体教学、信息管理自动化，而且未来还要通过Internet实现远程教学，提供可增值、可管理的业务。因此，网络建设必须具备高性能、高安全性、高可靠性、可管理、可增值特性以及开放性、兼容性、可扩展性。烟台汽车工程职业学院校园网络建设必须遵循以下基本原则：（1）统一规划原则烟台汽车工程职业学院校园网络的整体统一规划是一个衡量网络实用与否的重要标准。学院校园网络需要能够建设全面数字化校园应用平台、提供良好的先进的管理手段、支持开展良好的视频语音等多媒体应用、提供丰富的视频组播等业务、充分解决校园网络的安全性问题、全面考虑校园网络对IPV6的支持和扩展能力。（2）宽分布合理化烟台汽车工程职业学院校园网络是一个庞大而且复杂的网络，为了保障全网的高速数据转发、校园网全网组网设计的无瓶颈性，要求方案在设计阶段就要考虑周全，同时要求核心交换机具有高性能、高带宽的特性，整网的核心交换要求能够提供无瓶颈的数据交换，且提供核心到汇聚层的双线路冗余。（3）网络结构层次化采用层次化模型的设计思想，通过物理上或是逻辑上的手段将网络系统层次化，能够清楚的辨析到一个复杂的网络系统是如何由多个不同的子网互联起来的，并且这种设计还能使网络更易扩展和易于管理。（4）多业务支持平台业务可以说是网络的灵魂，宽带绝对不仅仅是上网的宽带化而应该是一个多业务的承载网，每个人对宽带的理解和应用都不一样，如何满足各种各样的业务需求。烟台汽车工程职业学院校园网是多业务应用的基础平台，是将数据、语音及视频整合在一起的融合性网络。由此，信息的数字化已然成为不可逆转的趋势，成为了工作、学习、生活、娱乐不可或缺的一部分，比如远程网路会议、IP电话等等，这些业务对网络设备和宽带以及网络服务质量的要求非常苛刻。（5）可运营性烟台汽车工程职业学院校园网网络的建设、使用和维护需要投入大量的人力、物力，因此网络的增值性是网络持续发展的基础。所以在建设时要充分考虑业务的扩展能力，能针对不同的用户需求提供丰富的宽带运营业务，使网络实现以网养网。（6）可扩充性考虑到烟台汽车工程职业学院校园网网络用户数量和业务种类的发展，要求对于核心交换机与汇聚交换机具有强大的扩展功能，特别是要全面硬件支持IPV6技术；烟台汽车工程职业学院校园网网络要建成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，留有扩充余地。（7）开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。（8）安全可靠性制订统一的网络安全策略，整体考虑网络平台的安全性。既要保障网内部访问的安全也要保障互联网接入的安全，网络分层结构、部署访问控制列表、实现工作组逻辑隔绝，最大程度的保障网络安全。（9）经济性原则对于投资的保护，是每个用户都关心的问题。每个设备都进行严格的选型，在满足设计原则的功能前提下，提供最具性价比的设备配置方案。成功的网络投资者注重的是投入收益比，而很好的投入产出比要求网络的高性能价格比和强兼容性。对不同技术和设备的兼容在很大程度上保护了用户的投资。“用最少的投入获得最高的网络性能，同时保证投入最长的生命期”是投资保护的最重要的原则。在网络系统设计和建设中，应尽可能地充分利用和保留原有各种网络资源及计算机系统资源等，避免投资浪费，节约资金。网络结构和带宽可以满足当前及今后一段时期内校园网上各种应用的需求。新增设备选用上，要充分考虑其兼容性、可扩展性及性能价格比。2.3 网络设计思想只有采用正确合理的网络设计，才能把先进的网络技术和设备的高性能和高可靠性完全的发挥出来。如果网络设计的不合理，不仅不能发挥出网络技术和设备的先进性，反而会降低网络的性能、可靠性和可管理性。随着网络技术的迅速发展和网上应用量的增长，传统的网络设计概念已经难以满足现代大型园区网络对性能、规模、扩展和服务的需求。由此产生了新的更适应现代的高速大型园区网络的“分层模块化设计模型”。所谓分层化设计是指按照网络的各部分的职能、分工的不同，把网络从纵向上分成多个层次，各层之间的定义非常分明，每个层次负责网络中的特定功能和职责。模块化设计是在同一层次内，根据网络接入位置、接入用户的不同，把网络从横向上切割为多个模块，各模块虽然负责的接入位置和对象不同，但在网络中的功能类型相同。分层模块化设计具有以下几个优点：（1）可扩展性：因为网络可模块化增长而不会遇到问题，使网络容量可随着日后网络节点的增装而不断增大。（2）简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题。（3）设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境。（4）可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。按照当前网络技术和应用的发展，网络中各部分所需要承担的功能的不同，把网络分为三个层次：接入层、汇聚层、核心层。这种分层方法使网络设计人员可以定义连接用户和服务的构件区块。3 校园网络系统设计3.1 校园网整体拓扑结构设计根据烟台汽车工程职业学院建筑设计总平面图，整个校园网络系统采用先进的以太网技术，总体网络结构设计采用层次化设计思想，将整个校园网划分为三个层次：核心层、汇聚层和接入层。以教学楼为整个网络的中心，向各其他建筑物辐射并最终连接形成校园网络系统骨干。在网络终端上提供至少100M交换到桌面的接入方式。另外在校园内的一些特殊场所开通无线接入网络。图3.1描述了烟台汽车工程职业学院校园网络整体规划图。 校园网络出口采用一台思科76系列高性能路由器，硬件支持IPV6，出口路由器内置FWSM防火墙模块，配置双引擎、双电源。采用出口路由器主要是为了实现校园的双出口接入（INTERNET AND CERNET），通过部署内置防火墙实现网络地址转换，保证校园网络出口安全。采用集成的防火墙不同一般的外置防火墙，内置防火墙可以完美的于路由器集成，路由器的任一端口都可以被定义为防火墙端口，同时路由器内置防火墙可以提供强大的吞吐能力。另外，路由器内置防火墙可以实现策略路由，解决不对称路由，支持IPV6、组播等技术。虚拟交换系统（VSS）是一种网络系统虚拟化技术，将两台Cisco Catalyst6500系列交换机或者7600系列路由器组合为单一虚拟交换机/路由器，从而提高运营效率、增强不间断通信，并将系统带宽容量扩展到1.4Tbps。在初始阶段，VSS将使两台物理Cisco Catalyst 6500系列交换机作为单一逻辑虚拟交换机运行，称为虚拟交换系统1440（VSS1440）。VSS1440由两台采用Virtual Switching Supervisor 720-10GE的Cisco Catalyst 6500系列交换机构成。在一个VSS中，同时激活这两个机箱的数据平面和交换阵列，各支持720Gbps管理引擎,每VSS共1440 Gbps交换容量。只有其中一个虚拟交换机成员有激活的控制平面。这两个机箱通过机箱间状态切换（SSO）机制和不间断转发（NSF）保持同步，即使某个管理引擎或机箱发生了故障，也能提供不间断通信。虚拟交换系统 1440与传统网络设计的比较如图3.2所示。烟台汽车工程职业学院校园网核心层采用两台万兆Cisco Catalyst6509高性能交换机，通过VSS虚拟交换技术实现冗余及负载均衡，保证最大的网络高可靠性。核心交换机是整个校园网的骨干，通过双千兆链路连接汇聚交换机及服务器接入。两台核心交换机之间进行万兆双链路捆绑，内置防火墙模块、无线控制器模块及入侵检测模块，实现对网络安全区域的划分，最大程度地保障内网安全。在全网的拓扑结构中，核心交换机处于整个数据交换的中心。采用双机负载均衡并冗余的方式减少单机故障宕机的风险，提高设备的整体运行效率。核心交换机统一集成安全方案，实现对内网重要区域和应用系统的单独隔离和防护，对网络流量能够提供硬件智能检测分析，图形化管理。核心层交换机直接与安全认证平台、网管系统、服务器群组、流量控制系统相连，出口路由器通过内置高性能防火墙实现与互联网和教育网的连接，并进行NAT转换。同时，核心交换机通过单模光纤线路于其他楼宇汇聚交换机千兆双链路冗余连接，并承担本地中心机房接入层交换机的直接千兆互联10。汇聚层划分为多个区域，全网采用高性能IPV6三层汇聚交换机与核心层交换机通过双千兆单模链路连接，采用链路捆绑技术实现冗余及负载均衡。同时，汇聚层交换机负责本区域楼宇内相应接入层交换机，部分汇聚层交换机支持POE供电，为无线AP的接入提供在线供电。汇聚交换机采用Cisco CAT3560系列和Cisco CAT3750系列，两种型号交换机均要求支3.2 无线校园网络设计无线局域网络绝不是用来取代有线局域网络，而是用来弥补有线局域网络之不足，以达到网络延伸之目的。根据烟台汽车工程职业学院实际应用需求，本次校园无线网络规划在接待中心、体育场以及室外公园等区域部署一体化无线网络。烟台汽车工程职业学院校园无线网络采用LWAPP体系结构，即采用无线控制器集中控制/管理无线AP的方式，具体规划由以下几个部分组成：（1）无线控制器在核心交换机CAT6509E中内置WISM无线控制器模块对无线AP进行集中管理；内置WISM无线控制器模块利用交换机的高可靠性和高稳定性（如双交换引擎、双电源等）。单个WISM模块可管理300个AP，每台核心交换机上最多可堆叠7块WISM，实现2000多个AP的管理。因为WISM内置在核心交换机内，其通过交换机背板与交换机之间形成8Gbps吞吐量连接，完全能够满足多达300个AP的线速处理要求。并且，采用内置背板连接方式，可以节省多个千兆以太网端口12。（2）无线接入点以上WLC无线控制系统形成了校园无线网络架构中重要的控制管理运维组件。根据烟台汽车工程职业学院各信息点需求和物理条件，为简单、方便、快捷地部署无线接入点设备，我们选用双频IEEE802.11n轻型无线接入点实现无线覆盖13。（3）无线网络管理系统WCS为了更好地实现对于WLAN控制器、无线接入点、无线客户端的高效统一管理，配备一套WLAN控制系统WCS系统软件。WCS软件包含无线系统配置、监控和管理的基本功能。同时，具有无线网络规划与设计、射频管理、入侵检测管理等高级功能。WCS软件可实现一体化、无边界无线网络管理14。3.3 VLAN规划设计VLAN（Virtual Local Area Network） 即虚拟局域网,是一种通过将局域网内的设备逻辑地划分成一个个网段从而实现虚拟工作组的技术,能够将网络分割成多个广播域。如果仅有一个广播域,可能会影响到网络整体的传输性能。图3.4中，是一个由5台二层交换机（交换机15）连接了大量客户机构成的网络。假设这时，计算机A需要与计算机B通信。在基于以太网的通信中，必须在数据帧中指定目标MAC地址才能正常通信，因此计算机A必须先广播“ARP请求（ARP Request）信息”，来尝试获取计算机B的MAC地址。交换机1收到广播帧（ARP请求）后，会将它转发给除接收端口外的其他所有端口，也就是Flooding了。接着，交换机2收到广播帧后也会Flooding。交换机3、4、5也还会Flooding。最终ARP请求会被转发到同一网络中的所有客户机上。如果整个网络只有一个广播域，那么一旦发出广播信息，就会传遍整个网络，并且对网络中的主机带来额外的负担。分割广播域时，一般都必须使用到路由器。使用路由器后，可以以路由器上的网络接口（LAN Interface）为单位分割广播域。但是，通常情况下路由器上不会有太多的网络接口，其数目多在14个左右。况且使用路由器分割广播域的话，所能分割的个数完全取决于路由器的网络接口个数，使得用户无法自由地根据实际需要分割广播域。与路由器相比，二层交换机一般带有多个网络接口。因此如果能使用它分割广播域，那么无疑运用上的灵活性会大大提高。用于在二层交换机上分割广播域的技术，就是VLAN。通过利用VLAN，我们可以自由设计广播域的构成，提高网络设计的自由度。首先，在一台未设置任何VLAN的二层交换机（图3.5）上，任何广播帧都会被转发给除接收端口外的所有其他端口（Flooding）。例如，计算机A发送广播信息后，会被转发给端口这时，如果在交换机上生成红、蓝两个VLAN（图3.6）；同时设置端口1、2属于红色VLAN、端口3、4属于蓝色VLAN。再从A发出广播帧的话，交换机就只会把它转发给同属于一个VLAN的其他端口也就是同属于红色VLAN的端口2，不会再转发给属于蓝色VLAN的端口。同样，C发送广播信息时，只会被转发给其他属于蓝色VLAN的端口，不会被转发给属于红色VLAN的端口。就这样，VLAN通过限制广播帧转发的范围分割了广播域。通过划分VLAN一方面用户能方便地在网络中移动和快捷地组建宽带网络，而无需改变任何硬件和通信线路；另一方面网络管理员能从逻辑上对用户和网络资源进行分配，而无需考虑物理连接方式。在烟台汽车工程职业学院网络建设中，我们采用基于IEEE802.1Q标准实现的VLAN，在VLAN设计中，我们使用VLAN达到两个目的：第一，不同业务部门之间的隔离和通信控制；第二，广播范围抑制。VLAN的划分可以依据不同的业务部门进行也可依据用户所处网络的物理结构进行，后者主要从网络性能角度出发，而前者还兼顾了网络安全性、可控性的需要。根据烟台汽车工程职业学院办公环境的分布情况来看，在大部分情况下两者实现了重合，而对于少数由于布线结构隔离在不同汇集点的相同业务部门，我们采用第一种方式。VLAN的划分方式可以分为基于端口的、基于MAC地址的以及基于IP地址的。在此次VLAN划分中，我们采用静态VLAN（基于端口），按业务部门的类别来划分VLAN，每个部门划分为不同的VLAN。从广播控制角度出发，为了保障网络的高可用性以及高性能。我们在进行具体VLAN划分时，要求同一个广播域内的通信主机40台，对于主机数量超过40台的部门，我们通过二层隔离，三层交换的方式来解决。作为特殊VLAN的典型，我们保留VLAN1并作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站单独设施一个VLAN，并与VLAN1在第三层上相通，同时部分业务VLAN可以访问网管工作站所处的VLAN，从而实现网管的分布式监控布局。VLAN和网管工作站所处VLAN的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网络VLAN可以直接访问每一台设备，其他均在过滤之列。对于服务器也单独设置在一个VLAN中，通过三层交换和四层过滤机制来实现可控的用户服务。通过设置DMZ区的方式，来实现与内部网络以及外部网络的安全互联。3.4 路由协议设计在大型网络中，选择适当的路由协议是非常重要的。目前常用的路由协议主要有RIP、OSPF、IS-IS、EIGRP等。不同的路由协议有各自的特点，分别适用于不同的条件之下。选择适当的路由协议需要考虑以下因素：（1）路由协议的开放性开放性的路由协议保证了不同厂商都能对本路由协议进行支持，这不仅可以保证目前网络的互通性，而且可以保证将来网络发展的扩充能力和选择空间。（2）网络的拓扑结构网络拓扑结构直接影响协议的选择。例如RIP这样比较简单的路由协议不支持分层次的路由信息计算，对复杂网络的适应能力较弱。路由协议还必须支持网络拓扑的变化，在网络拓扑发生变化时，无论是对网络中的路由本身，还是网络设备的管理都要使影响最小。（3）网络节点数量不同的协议对于网络规模的支持能力有所不同，需要按需求适当选择，有时还需要采用一些特殊技术解决适应网络规模方面的扩展性问题。根据网络的优化设计策略，在选择及规划路由协议时需要按照这些因素进行考虑和设计18,19。路由分为静态路由和动态路由两种。静态路由表由网络管理员在系统安装时根据网络的配置情况预先设定，网络结构发生变化后由网络管理员手工修改路由表。动态路由随网络运行情况的变化而变化，路由器根据路由协议提供的功能自动计算数据传输的最佳途径，由此得到动态路由表。目前使用的内部动态路由协议主要有RIP（v2）、EIGRP、OSPF、和IS-IS，下面我们对这几种协议进行简单介绍，并为烟台汽车工程职业学院选择合适的路由协议。我们在对烟台汽车工程职业学院校园网所使用的路由协议进行选择时，应重点考虑以下几个方面：（1）网络的大小和复杂性（2）支持可变长子网掩码（VLSM）（3）网络流量大小（4）安全需要（5）网络延迟特性（6）采用适当的分层路由，尽量减少路由表的条目（7）要求结构清晰，尽量降低手工配置及维护的工作量（8）保证路由结构的弹性，便于未来网络的扩展针对烟台汽车工程职业学院校园网络系统的具体情况，并比较了各种路有技术在先进性、可靠性、实用性等方面的优劣之后，我们决定在校园网络采用OSPF路由协议，完成校园网内部路由功能，具体过程如下：（1）OSPF整体设计首先我们在所有的三层设备上建立LOOPBACK接口。在本次网络建设中网络设备的连接复杂，链路众多，如果把所有的三层设备都划分在一个骨干域里，万一链路出现问题，就会产生路由震荡，这种震荡会扩散到整个网络上，甚至会带来灾难性的后果。所以，我们按照如下规则将整个OSPF网络划分为若干个区域。Area0：核心交换机与汇聚之间的互联接口、汇聚交换机子网及LOOPBACK接口划分在该区域。Area1：与核心交换机所连接的路由器及LOOPBACK接口划分在该区域。通过以上设计，整个网络上的设备就连接起来了，所有的LOOPBACK接口之间都是互通的。所有三层设备的LOOPBACK接口作为router id，核心交换机设置为DR指定路由器，汇聚交换机可设置为stub区域。（2）出口路由规划这一部分主要包括两部分的功能设计，一是与运营商接入路由的规划；二是出口路由对校园内网的路由引入。出口路由采用哪种方式，主要取决与对端的要求，目前大部分情况是采用静态路由实现的，通过在出口路由器上设置策略路由还可以实现路由的策略转发。在OSPF规划中，出口路由器属于ASBR（自治系统边界路由器），我们只需要在核心交换机上配置一条缺省路由，再把该缺省路由引入到OSPF域中，这样该静态路由就会作为外部路由类2传递到所有OSPF进程所涉及到的设备，所有内部部门访问Internet的流量，通过出口路由器的NAT转换，通过缺省路由可以直接路由到Internet。3.5 认证计费系统设计随着Internet 技术的发展，网络已经逐渐成为人们生活的一部分。作为新技术应用的前沿阵地，校园网在这几年发展迅速。校园网是一个功能复杂的网络，教育网和Internet混合接入、免费网络资源和运营网络资源共存。而且，校园网用户是一群最有活力的用户群体，他们掌握新技术最快、最会使用新技术、最有挑战欲望。同时，以太网技术在校园网接入层被普遍采用，相对来讲，以太网技术不是一个具有严格管理能力的组网技术，这决定了校园网的安全性较低。当这些因素碰到一起的时候，校园网遇到比较突出的如下几个问题：（1）网络出口拥塞，需要对出口带宽进行有效管理。校园网Internet出口带宽有限，是校园网络最为稀缺的资源。若干用户无限制的使用出口带宽或者使用P2P工具进行下载，首先造成出口拥塞，出口的拥塞接着造成更多用户加入带宽的争抢，致使出口更加拥塞，这必将导致通信掉包严重，大量出现重复发送数据包，进一步拥塞整个网络，其最终结果就是整个网络出现拥塞，所有用户不能正常上网。同时，校园网的用户具有用网时间集中、并发在线人数众多、流量巨大且分布时段不均等特点，这些更加剧了网络拥塞程度。（2）用户普遍使用代理，造成管理困难和费用流失。在校园网内代理工具的使用非常严重，多个学生共享代理上网的方式，不但给校园网络的管理带来麻烦，也使学校的出口拥塞、费用流失。如何真正有效防止校园网中的代理使用，是非常重要、紧迫的需求。（3）网络的安全时刻受到威胁，网络需要安全控制。考虑到以太网技术的经济性和实用性，以及校园网用户集中的特点，以太网技术在校园网络接入层被普遍采用。以太网技术最初是为企业内部组网使用的技术，其管理能力较弱，在校园网环境下，用户对各种网络技术的掌握程度较高，管理问题尤其突出：学生活跃、好奇、敢于尝试、攻击性强，同时，计算机蠕虫、病毒泛滥、盗版资源泛滥、网络不良行为突发性高。（4）用户网络行为不规范，无法控制，无法进行有效的记录。盗用IP地址，修改MAC地址，用户名和密码的丢失，合法网络用户无法登陆网络，网络管理者如何解决，谁在访问非法网站，谁在恶意占用带宽，校园的特殊性使校园网的管理者必须对于网络上各种不规范行为进行足够的重视，一旦有相关的非法网络行为被相关部门获得，如何提交有效的网络访问记录。（5）计费数据采集难，运营管理得不到很好支持，需要对运营服务提供方便的后台支持。在最初的校园网络中，校园网络只是一个提供上网的工具，对用户的行为无法进行控制，也无法对网络进行有效运营和管理。为了满足非教学区域用户的Internet接入服务需求，校园网还必须承担一个运营网络的角色。如何为这些用户提供好的服务，同时，又方便运营人员对服务的支撑，这就需要为校园网提供简单、实用、易操作、易维护、计费数据清晰准确的认证计费管理系统。（6）CERNET和Internet同时接入，需要提供区别服务。CERNET中主要是大学、科研机构组成，为学生提供学习交流的平台，资费比较便宜。Internet是公众服务网络，收费相对比较贵。有很多校园同时接入两种网络，为区别不同的网络资源，需要运营管理系统能区别提供多种服务，访问不同的网络，收取不同的资费。（7）老师和学生要区别收费，需要提供灵活的计费方式支持。校园网络中有各种类型的用户：老师、学生、研究生、博士生及家属等，如果采用单一的包月计费方式，会使很多类型的用户产生不满。为解决对网络使用的不同需求，需要运营管理系统能提供灵活多样的计费方式，对不同的用户采用差异化的计费策略，提高网络的使用效率和可管理性。针对烟台汽车工程职业学院校园网建设要求，我们决定采用安腾校园网认证计费解决方案（CBMS），此方案使用安腾eFlow BAS接入服务器对所有接入用户进行管理，802.1x交换机进行接入管理，配置安腾计费管理系统（CBMS）进行所有用户统一管理，可满足烟台汽车工程职业学院网络现状及未来发展的需要；用安腾的eFlow BAS接入服务器把新校区网络统一管理起来，接入端采用802.1x交换机进行认证，实现一次认证，区分内外网计费功能。烟台汽车工程职业学院认证计费系统具体设计方案如下所示：（1）采用Amtium eFlow BAS 2204-，支持并发数为4000，可管理用户数为10000人，并随着网络规模的不断扩大，可在保持硬件设备不变的情况下，增加用户和并发数，来满足未来5年甚至学校后期的不断应用。（2）对于学校所有接入用户采用802.1X认证，在后台搭建统一的认证计费管理平台，采用安腾校园网宽带认证计费系统（CBMS），BAS和802.1X可共用一个认证计费平台，集中认证，统一对用户进行管理，前台不会受到网络环境，交换机品牌的限制，可与CISCO等主流品牌交换机成功对接，BAS和802.1X认证方式共用同一个安腾的客户端，极大地方便了用户的使用。（3）通过CBMS系统可对用户的上网的带宽进行灵活的限制，并能有效防止用户使用小路由、代理及P2P软件等，彻底改变网络拥塞的状况；同时，可针对P2P软件灵活控制带宽，可以根据用户指定的时段进行控制，在上网高峰期间限制用户使用P2P的带宽，而在非高峰期对用户P2P的应用不予限制。（4）CBMS系统可灵活的对上网时段进行控制，管理人员通过设置学生上网时间段，可以对学生的上网时间进行有效管理，防止学生无限制的上网；同时CBMS系统可绑定接入服务器IP、接入服务器物理端口、用户IP、用户MAC、VLAN ID等元素，使账号盗用成为不可能，充分保护用户的权益。学校不再出现盗用帐问题，即使得到账号和密码，如果不在特定的网络位置也无法认证上网。（5）CBMS系统具有多样网络费用收取策略，打破以往学校必须设置一个对外服务的窗口，人工进行收费、续费等服务的方式，通过CBMS系统学校可以生成一批卡，然后把卡分发到小卖部或者饭堂销售，不用专门设置服务窗口；CBMS系统在计费策略上，支持包月、时长、流量、国内外分开计费等多种付费策略，同时可以提供包月、时长、流量、上网卡等多种预付费策略，系统提供用户自服务子系统，可以方便用户进行充值、费用查询、上网明细查询等功能，同时可满足各种消费层次的用户，刺激学校网络使用率的提高23,24。（6）在中心机房部署一台安腾日志记录管理系统（LRMS），对用户的访问行为进行记录，将安腾eFlow BRAS设备的上网日志功能打开，同时部署一台大硬盘的服务器用于上网日志的记录和分析。4 校园网络安全防范系统设计计算机网络正面临着日益剧增的安全威胁。广为网络用户所知的黑客行为和攻击活动正以每年10倍的速度增长，网页被修改、非法进入主机、发送假冒电子邮件、窃取信息等网络攻击事件此起彼伏。计算机病毒、特洛伊木马、蠕虫、拒绝服务攻击、电子商务入侵和盗窃等，都造成了各种危害，包括机密数据被篡改和窃取。网站页面被修改或丑化、网络瘫痪等。网络与信息安全问题日益突出，已经成为影响国家安全、社会稳定和人民生活的大事，发展与现有网络技术相对应的网络安全技术，保障网络安全，是保证互联网高校、有序应用的关键之一。网络系统安全是一个复杂的系统工程，它与网络规模、结构、通信协议、应用业务程序的功能和实现方式密切相关，一个好的安全设计应该结合现有网络和业务特点充分考虑发展需求。针对烟台汽车工程职业学院校园网络这样的信息工程，需要结合网络和业务规划做好系统整体的安全规划。一方面，总体安全规划可以全面分析系统存在的安全风险，并知道全网安全工程的一次性或分布实施；另一方面，结合安全总体规划，考虑信息系统发展的需求，能使我们的安全投入不会因系统、网络和业务的发展而不适应，造成投资浪费。根据总体规划，以及有关建设原则和技术规范，设计一个合理的安全体系，并依据安全体系设计出系统的安全解决方案，以期全面解决烟台汽车工程职业学院校园网的主要安全风险，最大限度发挥网络效能28,29。4.1 校园网络安全关键技术介绍防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各校园网中实施安全保护的核心，安全管理员可以通过其选择性地拒绝进出网络的数据流量，增强了对网络的保护作用。（1）防火墙的概念防火墙是位于两个信任程度不同的网络之间的软件或硬件设备的组合，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。防火墙保护着内部网络的敏感数据不被窃取和破坏，并记录内外通信的有关状态信息日志，如通信发生的时间和进行的操作等等。新一代的防火墙甚至可以阻止内部人员将敏感数据向外传输，并对网络数据的流动实现有效地管理，如图4.1所示。（2）防火墙的类型在校园网实际使用中的防火墙以其实现形式可以分为以下三种类型：嵌入式防火墙、软件防火墙、硬件防火墙。1）嵌入式防火墙当防火墙功能被集成到路由器或者交换机上时，这种防火墙称为嵌入式（embedded）防火墙。通常其只对分组信息进行IP级的检查，可获得较高的性能，易于实现并有较好的性价比。2）软件防火墙软件防火墙又分有两种类型：一是企业级软件防火墙，其用于大型网络上并执行路由选择功能。另一种是SOHO(Small Office Home Office)级。软件防火墙通常会提供全面的防火墙功能。3）硬件防火墙硬件防火墙又称为设备防火墙。其设计成一种总体系统，不需要复杂的安装或配置就可以提供防火墙功能。基于设备的防火墙也为集成解决方案，是指运行在专用的硬件和软件上的防火墙产品，如Cisco PIX防火墙就属于这种集成设备。由于它的集成性和专用性，其速度、稳定性和安全性方面都比基于服务器的防火墙更好27。（1）入侵检测系统定义入侵检测系统IDS是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。它可以防止或减轻对网络的威胁。（2）入侵检测系统体系结构入侵检测是检测计算机网络和系统以发现违反安全策略事件的过程。作为入侵检测的系统至少应该包括三个功能模块：提供事件记录流的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应部件。CIDF(公共入侵检测框架)阐述了一个入侵检测系统的通用模型，即入侵检测系统分为四个组件：事件产生器、事件分析器、响应单元和事件数据库。CIDF将需要分析的数据统称为事件，它可以是网络中的数据，也可以是从系统日志等其他途径得到的信息。入侵检测系统通用模型如图4.2所示。（3）入侵检测系统的分类1）根据入侵检测信息源的来源不同可分为：基于主机的入侵检测系统：主要用于保护运行关键应用的服务器。它通过监视与分析主机的审计记录和日志来检测入侵。日志中记录了发生在系统上的不寻常和不期望活动的证据，这些证据可以指出有人正在入侵或已成功入侵了本系统。一旦发现这些文件发生任何变化，IDS将比较新的日志记录与攻击签名以发现它们是否匹配。如果匹配的话，检测系统就向管理员发出入侵报警并且采取相应的行动。通过查看日志文件，能够发现成功的入侵或入侵企图，并很快地启动相应的应急响应程序。基于网络的入侵检测系统：主要用于实时监控网络关键路径的信息，侦听网络上的所有分组来采集数据，使用原始的网络数据包作为检测的数据源。一般利用一个网络适配器来实时监视和分析所有通过网络进行传输的通信。一旦检