本科畢業(yè)設(shè)計(jì)-機(jī)電學(xué)院校園網(wǎng)安全策略的研究

遼東學(xué)院本科畢業(yè)論文（設(shè)計(jì)）機(jī)電學(xué)院校園網(wǎng)安全策略的研究TheResearchofSecurityPolicyofJidianPolytechnicCampusNetwork學(xué)生姓名：學(xué)院：專業(yè)：班級(jí)：學(xué)號(hào)：指導(dǎo)教師：審閱教師：完成日期：遼東學(xué)院EasternLiaoningUniversity獨(dú)創(chuàng)性說(shuō)明作者鄭重聲明：本畢業(yè)論文（設(shè)計(jì)）是我個(gè)人在指導(dǎo)教師指導(dǎo)下進(jìn)行的研究工作及取得研究成果。盡我所知，除了文中特別加以標(biāo)注和致謝的地方外，畢業(yè)論文（設(shè)計(jì)）中不包含其他人已經(jīng)發(fā)表或撰寫的研究成果，也不包含為獲得遼東學(xué)院或其他單位的學(xué)位或證書所使用過(guò)的材料。與我一同工作的同志對(duì)本研究所做的貢獻(xiàn)均已在論文中做了明確的說(shuō)明并表示了謝意。作者簽名：___________日期：_____________-PAGE7--PAGEI-摘要近年來(lái)校園網(wǎng)發(fā)展的非常迅速，為了提高學(xué)校的教學(xué)水平和管理能力，許多高校開始對(duì)校園實(shí)行教學(xué)手法現(xiàn)代化和校園管理網(wǎng)絡(luò)化的改革。隨著校園網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，對(duì)校園網(wǎng)的安全和性能要求也越來(lái)越高。在校園里使用校園網(wǎng)的人數(shù)眾多，網(wǎng)絡(luò)使用者的素質(zhì)卻參差不齊，造成校園網(wǎng)出現(xiàn)各種各樣的問(wèn)題。怎樣可以使校園網(wǎng)可以安全、穩(wěn)定的被大家所使用已經(jīng)成為了一個(gè)不得不解決的問(wèn)題。造成這些問(wèn)題的原因多種多樣，但究其原因，還是一些心懷不軌的人通過(guò)病毒和黑客技術(shù)擾亂了校園網(wǎng)的正常秩序。學(xué)校不可能讓每個(gè)人都遵循校園網(wǎng)的秩序，那只有將校園網(wǎng)建設(shè)的更加安全、穩(wěn)定才能最大程度的保證校園網(wǎng)的正常運(yùn)行。本論文為機(jī)電學(xué)院設(shè)計(jì)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，采用了基于防火墻和三層交換機(jī)的網(wǎng)絡(luò)架構(gòu)，安裝防火墻可以最大程度的保護(hù)校園網(wǎng)不收到來(lái)自外網(wǎng)的攻擊，使用三層交換機(jī)作為校園網(wǎng)的核心不僅可以為校園網(wǎng)的穩(wěn)定、快速、高效運(yùn)行提供了保證，這樣還可以顯著改善校園網(wǎng)絡(luò)的整體性能。本論文還對(duì)機(jī)電學(xué)院進(jìn)行了具體的VLAN劃分，并對(duì)防火墻的安全策略及功能進(jìn)行分析，以及三層交換機(jī)的安全策略分析，最后對(duì)校園網(wǎng)的安全策略進(jìn)行了總結(jié)。關(guān)鍵詞：防火墻；三層交換機(jī)；安全策略；VLAN-PAGEI-TheResearchofSecurityPolicyofJidianPolytechnicCampusNetworkAbstractInrecentyears,thecampusnetworkdevelopmentisveryrapid,inordertoimprovethestandardofteachingandmanagementcapacityoftheschool,manycollegesanduniversitiesbegantoimplementmodernmethodsofteachingandschoolmanagementreformstothecampusnetwork.Withthecontinuousexpansionofthecampusnetworkscale,securityandperformancerequirementsofthecampusnetworkarealsoincreasing.Largenumberofpeopleusingthecampusnetworkintheuniversity,butqualityofnetworkusersareuneven,causingavarietyofproblemsappearthecampusnetwork.HowcanImakethecampussafeandstableusebyeveryonehadalreadybecomeaproblem.Thereasonsfortheseproblemsvaried,butthereasonissomeofthebadguysbyvirusesandhackingtechniquesdisruptedthenormalorderofthecampusnetwork.Schoolscannotgeteveryonetofollowtheorderofthecampusnetwork,andthatonlymakethenormaloperationofthecampusnetworkconstructionmoresecureandstabletothegreatestdegreeofassuranceofthecampusnetwork.ThisthesisisdesigningforElectricalandMechanicalCollege’snetworktopology,usingthefirewallandthethree-tierswitchbasednetworkarchitecture,,installafirewallcanprotectcampusnetworkdoesnotreceiveattacksfromoutsidethenetwork,usingthree-tierswitchasthecoreofthecampusnetworknotonlyprovideforthecampusnetworkstability,fast,efficientoperationoftheguarantee,italsocanimprovetheoverallperformanceofthecampusnetwork.ThispaperhasalsocarriedontheconcreteVLAN（VirtualLocalAreaNetwork）divisionofElectricalandMechanicalCollege.Andsafestrategyandthefunctionoffirewallareanalyzed,andtheanalysisofthethree-tierswitchsecuritystrategy,finallysecuritystrategyofcampusnetworkaresummarizedKeyWords：Firewalls;Three-tierswitch;Securitypolicies;VLAN目錄6171摘要 I24620Abstract I31887一、緒論 121973（一）問(wèn)題的提出及研究意義 1230741.問(wèn)題的提出 127012.研究的意義 114410（二）研究的現(xiàn)狀 219787（三）本文研究的目的和研究?jī)?nèi)容 2251001.本文研究的目的 2238492.本文研究的主要內(nèi)容 224995二、校園網(wǎng)絡(luò)安全面對(duì)的主要問(wèn)題及原因 319698（一）主要問(wèn)題 3210541.漏洞與隱患 362432.網(wǎng)絡(luò)病毒泛濫 31983.來(lái)自校園網(wǎng)內(nèi)外的入侵和攻擊 382834.校園網(wǎng)硬件設(shè)備出現(xiàn)問(wèn)題 4235045.校園網(wǎng)安全管理問(wèn)題 411650（二）造成這些問(wèn)題的原因 4297361.網(wǎng)絡(luò)結(jié)構(gòu)不合理 4218112.網(wǎng)絡(luò)安全維護(hù)的投入不足 468013.師生對(duì)校園網(wǎng)安全不重視 4150184.網(wǎng)絡(luò)管理員責(zé)任心不強(qiáng) 519634（三）本章小結(jié) 514031三、機(jī)電學(xué)院網(wǎng)絡(luò)需求分析 629259（一）遼寧機(jī)電職業(yè)技術(shù)學(xué)院概況 6780（二）校園網(wǎng)絡(luò)需求 6136011.教學(xué)功能需求 6102492.管理功能需求 6208083.數(shù)據(jù)安全需求 6141694.網(wǎng)絡(luò)可靠性需求 626797（三）網(wǎng)絡(luò)設(shè)計(jì)原則 720299（四）本章小結(jié) 731764四、機(jī)電學(xué)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)劃與安全策略設(shè)計(jì) 88828（一）網(wǎng)絡(luò)設(shè)計(jì)綜述 831976（二）網(wǎng)絡(luò)設(shè)備的選擇 8186651.核心交換機(jī)的機(jī)型 8180532.匯聚層交換機(jī)的機(jī)型 937203.接入層交換機(jī)的選型 107464.防火墻的機(jī)型 1021428（三）網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 1124057（四）校園網(wǎng)絡(luò)VLAN規(guī)劃設(shè)計(jì) 1230191（五）網(wǎng)絡(luò)三層交換設(shè)計(jì)安全策略 1217323（六）本章小結(jié) 1411212五、防火墻和三層交換機(jī)在校園網(wǎng)絡(luò)中的安全策略 152271（一）防火墻的安全策略 1521750（二）防火墻在校園網(wǎng)中的主要功能 1570881.狀態(tài)檢測(cè)功能 1519732.多種過(guò)濾功能 15326333.地址綁定功能 15121334.時(shí)間段控制訪問(wèn)功能 16148265.VPN功能 16275656.入侵檢測(cè)功能 16168637.流量控制功能 1678118.支持帶寬控制功能 16178839.日志審計(jì)功能 1718237（三）三層交換機(jī)的安全策略 173912（四）三層交換機(jī)的主要功能及配置 17315531.VLAN的劃分 17125382.訪問(wèn)控制列表 1943673.VRRP技術(shù) 19252214.端口流量限制 20309025.端口聚合 20217596.路由功能 2160947.計(jì)費(fèi)功能 2117099（五）本章小結(jié) 2121381結(jié)論 2226740參考文獻(xiàn) 238129致謝 24PAGE7––PAGE1–緒論問(wèn)題的提出及研究意義1.問(wèn)題的提出近年來(lái)校園網(wǎng)發(fā)展的非常迅猛，為了提高學(xué)校的教學(xué)水平和管理能力，許多高校開始對(duì)校園實(shí)行教學(xué)手法現(xiàn)代化和校園管理網(wǎng)絡(luò)化的改革。這些改革的實(shí)施讓人們?cè)谛@內(nèi)的業(yè)余生活變得更加充實(shí)、歡樂(lè)、多變。但是，有利即有弊。由于校園網(wǎng)是共享的、開放的、自由的，所以難免會(huì)有到一些居心不良的人利用病毒、木馬以及黑客技術(shù)攻擊校園內(nèi)的計(jì)算機(jī)，讓校園網(wǎng)內(nèi)的其他用戶的計(jì)算機(jī)受到了一系列的安全威脅。最讓人感到意外的就是，調(diào)查表明，校園網(wǎng)受到的攻擊有75%是來(lái)自校園網(wǎng)絡(luò)內(nèi)部的，這些攻擊者攻擊校園網(wǎng)內(nèi)的計(jì)算機(jī)的目的各不相同，有的是為了炫耀自己高超的電腦技術(shù)，有的是為了竊取別人的個(gè)人資料，還有的就是純粹的想攻擊破壞校園網(wǎng)。我們不可能讓每個(gè)人都遵循校園網(wǎng)的秩序，我們只有將校園網(wǎng)建設(shè)的更加安全、穩(wěn)定才能最大程度的保證校園網(wǎng)的正常運(yùn)行。在這種情況下，怎樣才能讓校園網(wǎng)內(nèi)的用戶可以安全、穩(wěn)定、高效的使用校園網(wǎng)成為了學(xué)校說(shuō)面對(duì)的難題。面對(duì)這樣的難題學(xué)校的網(wǎng)絡(luò)建設(shè)和管理機(jī)構(gòu)應(yīng)該采取一些怎樣的方式和方法呢？通常在這種情況下，一般學(xué)校都會(huì)讓網(wǎng)管中心的老師來(lái)對(duì)其進(jìn)行設(shè)計(jì)，或者與一些集成商討論來(lái)一起設(shè)計(jì)解決校園網(wǎng)安全的方法。遼寧機(jī)電職業(yè)技術(shù)學(xué)院作為一所高職院校，同樣面臨著校園網(wǎng)安全上的威脅。本文所研究的課題就是在這樣的背景條件下所提出的，關(guān)于機(jī)電學(xué)院校園網(wǎng)安全策略的研究。2.研究的意義隨著更多教學(xué)應(yīng)用軟件的開發(fā)與使用，校園網(wǎng)已經(jīng)被廣泛地應(yīng)用在我國(guó)的教育系統(tǒng)中，這樣對(duì)校園網(wǎng)的安全也提出了更高的要求，一旦校園網(wǎng)受到了攻擊，將會(huì)給學(xué)校帶來(lái)非常嚴(yán)重的損失。由于校園網(wǎng)的用戶群體比較大，每個(gè)用戶的上網(wǎng)需求不同，少數(shù)用戶上網(wǎng)行為還存在惡意性，這樣使得校園網(wǎng)很難被管理。而且隨著現(xiàn)在校園網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的帶寬不斷的提高，為用戶下載提供了方便，許多人在網(wǎng)絡(luò)上下載的一些軟件中可能隱藏木馬、病毒、惡意代碼等后門程序，黑客們可以通過(guò)這些入侵、攻擊我們的計(jì)算機(jī)，從而造成計(jì)算機(jī)以及網(wǎng)絡(luò)的癱瘓。研究這一課題的意義不僅僅是為遼寧機(jī)電職業(yè)技術(shù)學(xué)院建設(shè)安全的校園網(wǎng)，更為了是給其他的一些高校建設(shè)校園網(wǎng)的一個(gè)參考。研究的現(xiàn)狀近幾年互聯(lián)網(wǎng)在校園中變得越來(lái)越重要，老師教學(xué)離不開校園網(wǎng)，學(xué)生平時(shí)的學(xué)習(xí)、娛樂(lè)離不開互聯(lián)網(wǎng)，隨著上網(wǎng)人數(shù)的增加，校園網(wǎng)內(nèi)的計(jì)算機(jī)所面臨的安全威脅也呈現(xiàn)上升趨勢(shì)。應(yīng)該如何去處理這一問(wèn)題，以及如何才能解決校園網(wǎng)的安全隱患，大部分的學(xué)校還都在理論階段而沒(méi)有進(jìn)行仔細(xì)詳盡的設(shè)計(jì)與規(guī)劃。為了給廣大師生創(chuàng)建良好的校園網(wǎng)絡(luò)環(huán)境，我們需要設(shè)計(jì)出一個(gè)全面的、科學(xué)的、合理的、完整的校園網(wǎng)絡(luò)安全策略的解決方案通過(guò)考察機(jī)電學(xué)院的網(wǎng)管中心，我們發(fā)現(xiàn)機(jī)電學(xué)院的網(wǎng)絡(luò)建設(shè)滯后于學(xué)校的整體發(fā)展。學(xué)校的網(wǎng)絡(luò)結(jié)構(gòu)不是非常完整，缺少一部分的網(wǎng)絡(luò)硬件設(shè)備，并且所安裝的應(yīng)用軟件也不是很多，更沒(méi)有考慮到校園網(wǎng)絡(luò)的安全[1]。本文研究的目的和研究?jī)?nèi)容1.本文研究的目的本論文的研究目的是根據(jù)遼寧機(jī)電職業(yè)技術(shù)學(xué)院校園的具體情況和其校園網(wǎng)所面對(duì)的安全威脅，研究出一個(gè)適合于機(jī)電學(xué)院校園網(wǎng)的安全策略的解決辦法。為機(jī)電學(xué)院校園網(wǎng)的網(wǎng)絡(luò)安全系統(tǒng)所存在的漏洞進(jìn)行完善，為機(jī)電學(xué)院設(shè)計(jì)一個(gè)基于防火墻和三層交換機(jī)的校園網(wǎng)拓?fù)浣Y(jié)構(gòu)。2.本文研究的主要內(nèi)容本文首先對(duì)目前校園網(wǎng)絡(luò)之中存在的安全問(wèn)題進(jìn)行了分析，并對(duì)這些問(wèn)題進(jìn)行了分析，從而得出了造成校園網(wǎng)絡(luò)安全受到威脅的原因。然后根據(jù)遼寧機(jī)電職業(yè)技術(shù)學(xué)院對(duì)網(wǎng)絡(luò)的需求，以及學(xué)校的具體地理環(huán)境，設(shè)計(jì)出具體的網(wǎng)絡(luò)拓?fù)鋱D，并對(duì)其進(jìn)行具體的IP地址及VLAN的劃分。最后對(duì)防火墻和三層交換機(jī)在校園網(wǎng)中所起到的作用進(jìn)行說(shuō)明。

校園網(wǎng)絡(luò)安全面對(duì)的主要問(wèn)題及原因主要問(wèn)題校園網(wǎng)的用戶多，規(guī)模大，人員流動(dòng)量大，因此校園網(wǎng)的計(jì)算機(jī)系統(tǒng)管理起來(lái)非常復(fù)雜。校園網(wǎng)如果受到了安全威脅將直接的影響學(xué)校的管理、教學(xué)、科研活動(dòng)等方面。有一個(gè)安全穩(wěn)定的網(wǎng)絡(luò)環(huán)境已經(jīng)成為了學(xué)校正常辦公的基礎(chǔ)。目前,對(duì)校園網(wǎng)的安全產(chǎn)生威脅的主要有以下幾種：1.漏洞與隱患目前,校園計(jì)算機(jī)使用的最普遍的操作系統(tǒng)就是WINDOWS,雖然WINDOWS已經(jīng)是目前最完善的操作系統(tǒng)了，但是WINDOWS操作系統(tǒng)還是存在著許多的漏洞。黑客們可以通過(guò)這些漏洞入侵我們的計(jì)算機(jī)，隨著時(shí)間的推進(jìn),可能會(huì)有更多的漏洞被黑客們所發(fā)現(xiàn)并且對(duì)其加以利用。微軟公司會(huì)不定時(shí)的發(fā)布一些補(bǔ)丁來(lái)修復(fù)這些漏洞，如果我們不及時(shí)對(duì)操作系統(tǒng)進(jìn)行更新,這些漏洞就會(huì)一直存在，這些漏洞對(duì)我們的計(jì)算機(jī)來(lái)說(shuō)將是很大的安全隱患。2.網(wǎng)絡(luò)病毒泛濫現(xiàn)在大家通過(guò)網(wǎng)絡(luò)可以下載到各種資源，為大家的學(xué)習(xí)、娛樂(lè)都帶來(lái)了很多方便，但其也變成了病毒傳遞的最快捷的途徑。由于網(wǎng)絡(luò)病毒的傳播直接導(dǎo)致用戶的隱私和重要數(shù)據(jù)外泄。網(wǎng)絡(luò)病毒傳播進(jìn)入校園網(wǎng)，不僅會(huì)對(duì)計(jì)算機(jī)反映速率造成大幅的下降，同時(shí)還會(huì)大量的消耗了網(wǎng)絡(luò)資源，對(duì)整個(gè)校園網(wǎng)絡(luò)產(chǎn)生影響。一些計(jì)算機(jī)病毒不單單通過(guò)網(wǎng)絡(luò)進(jìn)行傳播，還可以通過(guò)一些學(xué)生、老師用的U盤、移動(dòng)硬盤等存儲(chǔ)設(shè)備進(jìn)行傳播[2]。3.來(lái)自校園網(wǎng)內(nèi)外的入侵和攻擊由于校園網(wǎng)絡(luò)和因特網(wǎng)相連,我們?cè)谛@網(wǎng)內(nèi)可以直接訪問(wèn)因特網(wǎng)上的各種資源,于此同時(shí)，我們也面臨著遭受來(lái)自外部網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。現(xiàn)在的黑客軟件不再是那些對(duì)計(jì)算機(jī)非常精通的黑客們才會(huì)使用的了，黑客軟件變得簡(jiǎn)單化，只要學(xué)習(xí)簡(jiǎn)單的教程，就可以使用黑客軟件對(duì)互聯(lián)網(wǎng)上的其他用戶進(jìn)行入侵和攻擊。有一些不法分子為了竊取學(xué)校的重要信息通過(guò)使用黑客軟件對(duì)學(xué)校的服務(wù)器進(jìn)行攻擊，對(duì)校園網(wǎng)產(chǎn)生破壞。校園網(wǎng)絡(luò)是廣大師生進(jìn)行教學(xué)、辦公、學(xué)習(xí)、娛樂(lè)的主要平臺(tái),但是學(xué)校有一部分老師和同學(xué)具有一定的網(wǎng)絡(luò)知識(shí)和黑客技術(shù)。校園網(wǎng)內(nèi)有著大量的各種各樣的資源，這些人可能對(duì)其他校園網(wǎng)內(nèi)的用戶產(chǎn)生好奇，會(huì)有意或者無(wú)意的對(duì)校園網(wǎng)內(nèi)的其他用戶進(jìn)行攻擊，這樣嚴(yán)重的干擾了校園網(wǎng)絡(luò)正常、安全的運(yùn)行。4.校園網(wǎng)硬件設(shè)備出現(xiàn)問(wèn)題校園網(wǎng)所使用到的硬件設(shè)備分布在整個(gè)校區(qū)內(nèi),網(wǎng)絡(luò)管理員無(wú)法對(duì)所有網(wǎng)絡(luò)設(shè)備進(jìn)行妥善的管理。這些設(shè)備有的暴露在外部，可能會(huì)因?yàn)槿藶橐蛩鼗蜃匀灰蛩卦馐艿讲煌潭鹊膿p壞,如果某些關(guān)鍵的網(wǎng)絡(luò)設(shè)備出現(xiàn)問(wèn)題就有可能會(huì)給校園網(wǎng)造成一些嚴(yán)重的后果，甚至有可能會(huì)使校園網(wǎng)部分或者全部癱瘓。5.校園網(wǎng)安全管理問(wèn)題校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量是非常大的，如果沒(méi)有一個(gè)好的管理方式，隨時(shí)都有可能會(huì)造成校園網(wǎng)內(nèi)數(shù)據(jù)通信出現(xiàn)問(wèn)題。網(wǎng)絡(luò)管理員在校園網(wǎng)安全管理方面起著至關(guān)重要的作用。如果網(wǎng)絡(luò)管理員未對(duì)校園網(wǎng)的防火墻、三層交換機(jī)等進(jìn)行安全方面的配置，將直接影響整個(gè)校園網(wǎng)的安全系數(shù)[3]。造成這些問(wèn)題的原因1.網(wǎng)絡(luò)結(jié)構(gòu)不合理校園網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)對(duì)于校園網(wǎng)整個(gè)網(wǎng)絡(luò)的安全有著巨大影響，一個(gè)好的網(wǎng)絡(luò)結(jié)構(gòu)可以避免很多網(wǎng)絡(luò)問(wèn)題出現(xiàn)。但是一個(gè)不好的網(wǎng)絡(luò)結(jié)構(gòu)，會(huì)讓整個(gè)校園網(wǎng)的計(jì)算機(jī)的安全都受到威脅。因此根據(jù)學(xué)校的具體情況選擇一個(gè)合理的網(wǎng)絡(luò)結(jié)構(gòu)是保證校園網(wǎng)絡(luò)安全的前提和基礎(chǔ)。2.網(wǎng)絡(luò)安全維護(hù)的投入不足在有了一個(gè)合理的網(wǎng)絡(luò)結(jié)構(gòu)情況下，也不是能夠完全避免網(wǎng)絡(luò)問(wèn)題的出現(xiàn)，網(wǎng)絡(luò)安全維護(hù)也是保證校園網(wǎng)安全的重中之重。想要讓網(wǎng)絡(luò)一直保持安全穩(wěn)定,就要經(jīng)常對(duì)網(wǎng)絡(luò)進(jìn)行維護(hù)，但是網(wǎng)絡(luò)維護(hù)需要一定的物力和一定的人力。然而，大多數(shù)院校在校園網(wǎng)絡(luò)維護(hù)上的人員投入和設(shè)備投入都不是很充足,學(xué)校在校園網(wǎng)建設(shè)的經(jīng)費(fèi)往往大部分都投入到了購(gòu)買網(wǎng)絡(luò)設(shè)備上。3.師生對(duì)校園網(wǎng)安全不重視一部分的學(xué)生和老師對(duì)網(wǎng)絡(luò)安全不夠重視，經(jīng)常通過(guò)網(wǎng)絡(luò)下載一些含有病毒的文件和使用攜帶病毒的移動(dòng)存儲(chǔ)設(shè)備,造成學(xué)校的計(jì)算機(jī)中毒，導(dǎo)致校園網(wǎng)絡(luò)系統(tǒng)被攻擊,嚴(yán)重干擾了校園網(wǎng)絡(luò)安全、穩(wěn)定的運(yùn)行。4.網(wǎng)絡(luò)管理員責(zé)任心不強(qiáng)每個(gè)學(xué)校的網(wǎng)絡(luò)管理員都是對(duì)網(wǎng)絡(luò)技術(shù)非常了解的，但是對(duì)待工作的熱情、以及態(tài)度卻并不相同。一個(gè)負(fù)責(zé)任的網(wǎng)絡(luò)管理員，將會(huì)使校園的網(wǎng)絡(luò)變得無(wú)懈可擊。一個(gè)責(zé)任心不強(qiáng)的網(wǎng)絡(luò)管理員，將會(huì)使校園的網(wǎng)絡(luò)面臨著各種各樣的危險(xiǎn)[4]。本章小結(jié)本章首先闡述了目前校園網(wǎng)所面對(duì)的主要問(wèn)題，并對(duì)這些問(wèn)題進(jìn)行了分析，從而得出了造成校園網(wǎng)絡(luò)安全受到威脅的原因。機(jī)電學(xué)院網(wǎng)絡(luò)需求分析遼寧機(jī)電職業(yè)技術(shù)學(xué)院概況遼寧機(jī)電職業(yè)技術(shù)學(xué)院校園學(xué)院占地面積500余畝，建筑總面積12.98萬(wàn)平方米。在校學(xué)生人數(shù)為7216人，教師人數(shù)為395人，設(shè)有機(jī)械工程系、自動(dòng)控制工程系、信息工程系、黃海汽車工程學(xué)院、北方黃金珠寶學(xué)院、基礎(chǔ)教學(xué)部、思想政治理論課教學(xué)科研部、體育教學(xué)部共8個(gè)教學(xué)單位。現(xiàn)開設(shè)儀器儀表、自動(dòng)化技術(shù)、機(jī)械加工技術(shù)、材料成型技術(shù)、無(wú)損檢測(cè)技術(shù)、汽車工程、黃金珠寶加工、工業(yè)設(shè)計(jì)、計(jì)算機(jī)應(yīng)用、制造類服務(wù)業(yè)、應(yīng)用語(yǔ)言等遼寧11個(gè)專業(yè)群，51個(gè)專業(yè)（方向）。隨著近些年學(xué)校的發(fā)展，師生數(shù)量的增長(zhǎng)，原有的網(wǎng)絡(luò)的安全性和性能都不足以滿足現(xiàn)在學(xué)校對(duì)校園網(wǎng)的要求。需要設(shè)計(jì)新的校園網(wǎng)絡(luò)規(guī)劃，來(lái)提高校園網(wǎng)的安全性和性能。校園網(wǎng)絡(luò)需求1.教學(xué)功能需求在教學(xué)方面，要利用網(wǎng)絡(luò)技術(shù)實(shí)現(xiàn)遠(yuǎn)程教育、視頻點(diǎn)播、教學(xué)資源共享等。建立教學(xué)資源庫(kù)供老師分享其課件、試題、資料等。2.管理功能需求在管理方面，可以在校園網(wǎng)內(nèi)建立網(wǎng)上辦公系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生管理系統(tǒng)等一系列方便學(xué)校管理的系統(tǒng)。3.數(shù)據(jù)安全需求因?yàn)樾@內(nèi)連接著學(xué)校的各種服務(wù)器，所以對(duì)數(shù)據(jù)能否安全的存儲(chǔ)和傳送是非常重要的。校園網(wǎng)的安全系統(tǒng)必須保證服務(wù)器不會(huì)受到來(lái)自網(wǎng)絡(luò)的非法攻擊。4.網(wǎng)絡(luò)可靠性需求校園網(wǎng)每時(shí)每刻都在處理大量的數(shù)據(jù)，如果校園網(wǎng)系統(tǒng)如果出現(xiàn)故障，將會(huì)給學(xué)校帶來(lái)很嚴(yán)重的損失。這就要求校園網(wǎng)必須擁有一定的可靠性，在網(wǎng)絡(luò)中有設(shè)備出現(xiàn)故障時(shí)，在鏈路中要有冗余備份，來(lái)保證校園網(wǎng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)計(jì)原則機(jī)電學(xué)院校園網(wǎng)絡(luò)除滿足最基本的實(shí)現(xiàn)校園內(nèi)部網(wǎng)絡(luò)通信，連接外部網(wǎng)絡(luò)，能夠?qū)崿F(xiàn)資源共享，還應(yīng)當(dāng)能夠?yàn)樵诖诵^(qū)的老師和學(xué)生提供豐富的多媒體教學(xué)手段。因此校園網(wǎng)絡(luò)應(yīng)當(dāng)合理運(yùn)用資金，利用現(xiàn)有條件，充分實(shí)現(xiàn)教學(xué)、辦公、生活、娛樂(lè)功能，同時(shí)也應(yīng)當(dāng)具有先進(jìn)性、經(jīng)濟(jì)性、安全性，可靠性等。在保證網(wǎng)絡(luò)可靠的前提下，在原有的網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上添加性價(jià)比最好的設(shè)備。本章小結(jié)本章對(duì)遼寧機(jī)電職業(yè)技術(shù)學(xué)院的概況進(jìn)行了介紹，并給出了其校園網(wǎng)絡(luò)的需求情況以及設(shè)計(jì)原則。

機(jī)電學(xué)院網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)規(guī)劃與安全策略設(shè)計(jì)網(wǎng)絡(luò)設(shè)計(jì)綜述每個(gè)校園網(wǎng)的拓?fù)浣Y(jié)構(gòu)都是不同的，根據(jù)遼寧機(jī)電職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)需求分析，為其設(shè)計(jì)出一個(gè)基于防火墻和三層交換技術(shù)的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)，在增加少量新設(shè)備的條件下提高校園整體網(wǎng)絡(luò)系統(tǒng)的性能和安全性。遼寧機(jī)電職業(yè)技術(shù)學(xué)院校園主要包括以下幾個(gè)部分：網(wǎng)絡(luò)控制中心、行政中心、信息館/機(jī)械館、儀表館/工管館、展覽中心、學(xué)生宿舍、圖書館。并根據(jù)機(jī)電學(xué)院的具體情況對(duì)其校園網(wǎng)絡(luò)子網(wǎng)絡(luò)部分的需求進(jìn)行分析，并總結(jié)出校園個(gè)區(qū)域部分的需求，如下表：表4.1校園各區(qū)域節(jié)點(diǎn)部分需求地點(diǎn)節(jié)點(diǎn)數(shù)安全性速度要求網(wǎng)絡(luò)控制中心一般高高行政中心一般高高信息館/機(jī)械館多高一般儀表館/工管館多高一般學(xué)生宿舍多一般一般圖書館多一般一般展覽中心少一般一般網(wǎng)絡(luò)設(shè)備的選擇根據(jù)遼寧機(jī)電職業(yè)機(jī)電技術(shù)學(xué)院現(xiàn)有的網(wǎng)絡(luò)設(shè)備情況，不足以完成本設(shè)計(jì)，因此我們需要現(xiàn)有設(shè)備的基礎(chǔ)上對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行添加。1.核心交換機(jī)的機(jī)型核心交換機(jī)是網(wǎng)絡(luò)的高速主干設(shè)備，核心層需要為匯聚層和接入層提供大量的數(shù)據(jù)，盡可能快的交換包，需要高速轉(zhuǎn)發(fā)數(shù)據(jù)流量。通過(guò)各種產(chǎn)品之間對(duì)比，考慮到校園網(wǎng)的穩(wěn)定性、擴(kuò)展性、兼容性，根據(jù)遼寧機(jī)電職業(yè)學(xué)院規(guī)模及應(yīng)用需求，所以本方案決定選用神舟數(shù)碼DCRS-7604三層交換機(jī)作為核心交換機(jī)。神州數(shù)碼DCRS-7604是企業(yè)級(jí)智能交換機(jī)擁有十分強(qiáng)大的功能，具有豐富的IPv6實(shí)現(xiàn)技術(shù)，完整的攻擊和病毒防范功能，完美的體系結(jié)構(gòu)，穩(wěn)定的核心保障機(jī)制，智能靈活的性能資源調(diào)度機(jī)制，便捷安全的網(wǎng)絡(luò)管理，運(yùn)營(yíng)商級(jí)的可靠性，支持VLAN配置，支持全雙工，支持網(wǎng)管功能。神州數(shù)碼DCRS-7604三層交換機(jī)為校園網(wǎng)的穩(wěn)定、快速、高效運(yùn)行提供了保證。圖4.1神州數(shù)碼DCRS-7604三層交換機(jī)2.匯聚層交換機(jī)的機(jī)型匯聚層作為多臺(tái)接入層交換機(jī)的匯聚點(diǎn)，那些來(lái)自接入層交換機(jī)的所有通信量全部由匯聚層交換機(jī)來(lái)處理，然后再將通信數(shù)據(jù)傳到核心層交換機(jī)。根據(jù)學(xué)校校園網(wǎng)需求設(shè)計(jì)，匯聚層交換機(jī)應(yīng)該采用支持三層交換技術(shù)和VLAN技術(shù)的交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的，在機(jī)電學(xué)院原來(lái)的網(wǎng)絡(luò)設(shè)備中有神州數(shù)碼DCRS5650-28三層交換機(jī)，為了節(jié)約資源節(jié)省資金，以及使校園網(wǎng)穩(wěn)定流暢運(yùn)行，我們繼續(xù)使用神州數(shù)碼DCRS5650-28三層交換機(jī)作為校園網(wǎng)的匯聚層交換機(jī)。圖4.2神州數(shù)碼DCRS5650-28三層交換機(jī)3.接入層交換機(jī)的選型接入層交換機(jī)可以選擇二層交換機(jī)，但是必須要滿足100Mbps轉(zhuǎn)發(fā)速率，支持VLAN劃分，并且可以根據(jù)數(shù)據(jù)包中的MAC地址信息進(jìn)行轉(zhuǎn)發(fā)，并自己內(nèi)部的一個(gè)地址表中把這些MAC地址與對(duì)應(yīng)的端口記錄下來(lái)。二層交換機(jī)的價(jià)格較便宜并且端口較多。在機(jī)電學(xué)院原來(lái)的網(wǎng)絡(luò)設(shè)備中有神州數(shù)碼DCS3600-26C，同樣為了節(jié)約資源節(jié)省資金，所以本方案中接入層交換機(jī)選用神州數(shù)碼DCS3600-26C。圖4.3神州數(shù)碼DCS3600-26C二層交換機(jī)4.防火墻的機(jī)型在校園網(wǎng)內(nèi)的所有計(jì)算機(jī)想要與外界網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)通信都必須經(jīng)過(guò)防火墻。防火墻可以關(guān)閉那些我們不常使用的端口，并且它還能禁止特定端口的流出通信。防火墻還會(huì)對(duì)所有流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描與檢測(cè)，這樣可以阻止許多來(lái)自外界網(wǎng)絡(luò)的攻擊，以此來(lái)保護(hù)校園網(wǎng)內(nèi)的計(jì)算機(jī)。它還可以對(duì)那些經(jīng)常攻擊校園網(wǎng)絡(luò)的IP地址進(jìn)行禁止通信的設(shè)置，來(lái)阻止攻擊者對(duì)校園網(wǎng)的攻擊。由于在機(jī)電學(xué)院原來(lái)的網(wǎng)絡(luò)設(shè)備中沒(méi)有使用到防火墻設(shè)備，因此本方案選用可以和其他網(wǎng)絡(luò)設(shè)備更好的配合的神州數(shù)碼DCFW-1800S-V2作為本方案的防火墻。圖4.4神州數(shù)碼DCFW-1800S-V2防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)根據(jù)學(xué)校地理?xiàng)l件，將整個(gè)校園分為七個(gè)部分，分別是網(wǎng)絡(luò)控制中心、行政樓、信息館/機(jī)械館、儀表館/工管館、展覽中心、圖書館、學(xué)生宿舍。其中，以網(wǎng)絡(luò)控制中心為整個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的核心，防火墻、服務(wù)器、核心交換機(jī)等構(gòu)建校園網(wǎng)的重要設(shè)備全部都在網(wǎng)絡(luò)中心。下圖為機(jī)電學(xué)院的網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D：圖4.5網(wǎng)絡(luò)拓?fù)鋱D行政樓是行政中心和系部教務(wù)處的所在是校園的核心，其網(wǎng)絡(luò)速率的快慢直接影響學(xué)校的辦公質(zhì)量，其網(wǎng)絡(luò)的安全直接關(guān)系學(xué)校的利益。因此在行政樓用神州數(shù)碼DCRS5650-28三層交換機(jī)與網(wǎng)絡(luò)中心的核心交換機(jī)相連，在通過(guò)二層交換機(jī)DCS3600-26C連接到行政中心和系教務(wù)處，這樣可以大幅的提高網(wǎng)絡(luò)效率和處理能力。在地理位置上信息館與機(jī)械館相鄰，儀表館與工管館相鄰，這是學(xué)校教學(xué)的核心位置，其網(wǎng)絡(luò)速率的快慢可以直接影響學(xué)校的教學(xué)質(zhì)量，其網(wǎng)絡(luò)的安全直接影響老師的教學(xué)效果。在考慮網(wǎng)絡(luò)設(shè)備利用率最大化，并且取得的效果最好，將信息館的接入層交換機(jī)DCS3600-26C與機(jī)械館的接入層交換機(jī)DCS3600-26C連到一個(gè)三層交換機(jī)DCRS5650-28上，將儀表館的接入層交換機(jī)DCS3600-26C與工管館的接入層交換機(jī)DCS3600-26C連到一個(gè)三層交換機(jī)DCRS5650-28上，再將這兩個(gè)三層交換機(jī)連到網(wǎng)絡(luò)中心的核心交換機(jī)上。校園網(wǎng)絡(luò)VLAN規(guī)劃設(shè)計(jì)其中，對(duì)于整個(gè)校園規(guī)劃來(lái)講，核心交換機(jī)起著最重要的功能之一就是對(duì)于VLAN的劃分。本設(shè)計(jì)VLAN規(guī)劃如下：表4.2VLAN規(guī)劃表單位網(wǎng)段子網(wǎng)掩碼安全級(jí)別VLAN網(wǎng)絡(luò)中心192.168.0.1-192.168.3.25426高VLAN10行政中心192.168.4.1-192.168.7.25426高VLAN20系部教務(wù)處192.168.8.1-192.168.11.25426高VLAN30機(jī)械館192.168.12.1-192.168.15.25426高VLAN40信息館192.168.16.1-192.168.19.25426高VLAN50工管館192.168.20.1-192.168.23.25426高VLAN60儀表館192.168.24.1-192.168.27.25426高VLAN70圖書館192.168.28.1-192.168.31.25426中VLAN80學(xué)生宿舍192.168.32.1-192.168.45.25426中VLAN90展覽中心192.168.46.1-192.168.49.25426中VLAN100網(wǎng)絡(luò)三層交換設(shè)計(jì)安全策略在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，我們可以看出來(lái)，對(duì)于那些對(duì)網(wǎng)絡(luò)的安全性要求很高的用戶，他們所處的內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間想要實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)通信的時(shí)候，其流程如下圖所示，圖中我們可以看到虛線所圈起來(lái)一部分，這一部分在整個(gè)網(wǎng)絡(luò)數(shù)據(jù)通信的過(guò)程中主要起到了一個(gè)保護(hù)通信數(shù)據(jù)安全的作用[5]。圖4.6高安全級(jí)別用戶網(wǎng)絡(luò)通信流程圖如上圖所示：安全級(jí)別為高的用戶想要連接到網(wǎng)絡(luò)，必須經(jīng)過(guò)防火墻、核心交換機(jī)、匯聚層三層交換機(jī)、接入層交換機(jī)，外部的網(wǎng)絡(luò)想要對(duì)其攻擊要經(jīng)過(guò)重重的防御。并且，網(wǎng)絡(luò)管理員還可以根據(jù)需求對(duì)三層交換機(jī)進(jìn)行安全配置，這樣可以最大程度上的提升其安全級(jí)別，因此，即使是用戶的網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，其網(wǎng)絡(luò)安全防御能力也是很強(qiáng)的。對(duì)于安全級(jí)別為中的用戶，其它們的網(wǎng)絡(luò)數(shù)據(jù)的外部與內(nèi)部通信流程圖如下：圖4.7中安全級(jí)別用戶網(wǎng)絡(luò)通信流程圖如上圖所示：與安全級(jí)別為高的用戶相比，安全級(jí)別為中的用戶少了單獨(dú)的三層交換機(jī)。因?yàn)橹屑?jí)別用戶對(duì)安全性的要求不高，沒(méi)有安裝匯聚層的三層交換機(jī)是為了節(jié)省資金。并且，這類用戶網(wǎng)絡(luò)流量大，接入層交換機(jī)直接連接核心交換機(jī)，省去了匯聚層交換機(jī)的處理，對(duì)數(shù)據(jù)的處理速度有一定的提高。內(nèi)網(wǎng)之間高安全級(jí)別用戶與中安全級(jí)別用戶通信流程圖如下：圖4.8高安全級(jí)別用戶與中安全級(jí)別用戶內(nèi)網(wǎng)通信流程圖如上圖所示：校園網(wǎng)內(nèi)網(wǎng)的用戶之間相互通信，不同VLAN間通信是不通過(guò)防火墻的，防火墻無(wú)法起到保護(hù)作用。但是通過(guò)核心交換機(jī)和匯聚層的三層交換機(jī)，如果哪部分網(wǎng)絡(luò)出現(xiàn)異常，網(wǎng)絡(luò)管理員也可以根據(jù)VLAN的不同找到出問(wèn)題的部分。本章小結(jié)本章對(duì)遼寧機(jī)電職業(yè)技術(shù)學(xué)院進(jìn)行了具體的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，首先將學(xué)校整體分為了網(wǎng)絡(luò)控制中心、行政中心、信息館/機(jī)械館、儀表館/工管館、展覽中心、學(xué)生宿舍、圖書館等幾部分，并對(duì)這幾部分的節(jié)點(diǎn)數(shù)量、安全性要求、速度要求進(jìn)行了調(diào)查。然后再根據(jù)學(xué)?，F(xiàn)有的網(wǎng)絡(luò)設(shè)備，添加了新的網(wǎng)絡(luò)設(shè)備，并畫出了機(jī)電學(xué)院的網(wǎng)絡(luò)拓?fù)鋱D。接下來(lái)還對(duì)校園的各個(gè)部分進(jìn)行了具體的IP地址和VLAN的劃分。最后對(duì)校園網(wǎng)三層交換設(shè)計(jì)策略進(jìn)行了具體的說(shuō)明。

防火墻和三層交換機(jī)在校園網(wǎng)絡(luò)中的安全策略防火墻的安全策略在遼寧機(jī)電職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，防火墻是校園網(wǎng)絡(luò)與互聯(lián)網(wǎng)通信的出口。如果校園網(wǎng)不通過(guò)防火墻，而直接連接到互聯(lián)網(wǎng)上，那樣整個(gè)校園網(wǎng)都會(huì)直接暴露在互聯(lián)網(wǎng)上，校園網(wǎng)將會(huì)很容易的就遭受到攻擊。防火墻就是將校園的內(nèi)部網(wǎng)絡(luò)與外界的不可信的公共網(wǎng)分離開?？梢哉f(shuō)防火墻就是校園網(wǎng)的一道門，只有打開這道門才能進(jìn)入校園網(wǎng)內(nèi)，因此防火墻是保證校園網(wǎng)安全的重中之重。神州數(shù)碼DCFW-1800S-V2防火墻是一款十分優(yōu)秀的防火墻設(shè)備，可以充分的保障校園網(wǎng)內(nèi)部不會(huì)遭受到來(lái)自外部網(wǎng)絡(luò)的入侵。防火墻在校園網(wǎng)中的主要功能1.狀態(tài)檢測(cè)功能具有狀態(tài)檢測(cè)功能的防火墻不僅能夠完成簡(jiǎn)單包過(guò)濾的工作外，還可以維護(hù)一個(gè)跟蹤連接狀態(tài)的列表在自己的內(nèi)存中，這個(gè)列表可以顯示要匹配的連接狀態(tài)，基于這個(gè)列表的內(nèi)容防火墻再進(jìn)行轉(zhuǎn)發(fā)或拒絕數(shù)據(jù)包的傳送。這樣那些受保護(hù)網(wǎng)絡(luò)發(fā)出的數(shù)據(jù)包的狀態(tài)信息會(huì)被防火墻的狀態(tài)表所記錄，然后返回的受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包會(huì)與防火墻的狀態(tài)表進(jìn)行對(duì)比，防火墻進(jìn)行分析判斷只有通過(guò)的才能被放行。對(duì)校園網(wǎng)來(lái)說(shuō)，狀態(tài)檢測(cè)不但能提高網(wǎng)絡(luò)的安全性，還能增強(qiáng)網(wǎng)絡(luò)的性能。2.多種過(guò)濾功能神州數(shù)碼DCFW-1800S-V2防火墻除了支持包過(guò)濾功能，還支持內(nèi)容過(guò)濾、命令過(guò)濾、URL過(guò)濾、色情網(wǎng)站過(guò)濾、文件過(guò)濾、文件長(zhǎng)度過(guò)濾、郵件過(guò)濾、郵件長(zhǎng)度過(guò)濾等多種過(guò)濾功能。能夠充分的對(duì)經(jīng)過(guò)防火墻的數(shù)據(jù)進(jìn)行過(guò)濾，讓校園網(wǎng)的安全得到保障。3.地址綁定功能地址綁定就是將主機(jī)IP地址和網(wǎng)卡的MAC地址一一對(duì)應(yīng)起來(lái)。在廣域網(wǎng)中，它的主要作用是保護(hù)合法用戶的IP地址不讓非法用戶所盜用；在局域網(wǎng)中，主要用來(lái)防止內(nèi)部用戶之間的地址欺騙。地址綁定功能方便了校園網(wǎng)內(nèi)部網(wǎng)絡(luò)的管理，由于每塊網(wǎng)卡的MAC地址都是固定的，經(jīng)過(guò)地址綁定后，IP地址就與計(jì)算機(jī)或用戶的對(duì)應(yīng)關(guān)系固定起來(lái)。管理員通過(guò)制定IP地址的訪問(wèn)規(guī)則，就能夠確定用戶的網(wǎng)絡(luò)使用權(quán)限。4.時(shí)間段控制訪問(wèn)功能用戶可根據(jù)單位或個(gè)人的工作時(shí)間設(shè)置網(wǎng)絡(luò)服務(wù)的開放時(shí)段，從而限制網(wǎng)絡(luò)的開放程度，降低網(wǎng)絡(luò)風(fēng)險(xiǎn)及運(yùn)行費(fèi)用，方便了校園網(wǎng)絡(luò)管理員的管理，增加了網(wǎng)絡(luò)系統(tǒng)的安全性。5.VPN功能隨著Internet的發(fā)展，特別是由于電子商務(wù)、網(wǎng)上金融等的推波助瀾，Internet缺少對(duì)網(wǎng)絡(luò)安全呢在支持的固有弱點(diǎn)正越來(lái)越明顯地顯露出來(lái)。而虛擬專用網(wǎng)，即VPN技術(shù)是解決Internet安全問(wèn)題的重要手段之一。VPN是一個(gè)構(gòu)建在公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的，同時(shí)具有私有網(wǎng)絡(luò)安全特征的網(wǎng)絡(luò)或網(wǎng)絡(luò)環(huán)境。對(duì)于這一點(diǎn)神州數(shù)碼DCFW-1800S-V2防火墻是采用安全的加密算法和傳輸體制來(lái)完成的。這樣不但會(huì)大大降低網(wǎng)絡(luò)設(shè)備的成本，還能夠使數(shù)據(jù)通信更加安全。6.入侵檢測(cè)功能入侵檢測(cè)功能就是防火墻對(duì)入侵行為的發(fā)覺(jué)。防火墻通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點(diǎn)進(jìn)行收集信息并對(duì)收集來(lái)的信息進(jìn)行分析，通過(guò)分析發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否存在有被攻擊的跡象以及違反安全策略的行為[6]。為了盡可能的提高防火墻的運(yùn)行效率，神州數(shù)碼DCFW-1800S-V2防火墻本身集成了入侵檢測(cè)系統(tǒng)，可以檢測(cè)部分常見(jiàn)的攻擊及非法掃描[7]。7.流量控制功能神州數(shù)碼DCFW-1800S-V2防火墻具有實(shí)時(shí)檢測(cè)用戶流量的功能。它能夠?qū)Σ煌脩簦刻旆峙涔潭ǖ牧髁?，?dāng)這個(gè)用戶通過(guò)防火墻對(duì)外通信時(shí)，防火墻會(huì)對(duì)用戶所產(chǎn)生的流量進(jìn)行統(tǒng)計(jì)，當(dāng)累計(jì)到固定限額時(shí)，防火墻會(huì)立即切斷該用戶的對(duì)外訪問(wèn)，這對(duì)于某些異常的訪問(wèn)可以起到很好的控制作用。神州數(shù)碼DCFW-1800S-V2防火墻的日志管理系統(tǒng)還能夠把每天每個(gè)用戶的實(shí)際流量保存起來(lái)，在月末匯總出每個(gè)用戶的當(dāng)月總流量，極大的方便了網(wǎng)絡(luò)管理員的流量統(tǒng)計(jì)工作。8.支持帶寬控制功能帶寬控制功能可以根據(jù)校園網(wǎng)的用戶級(jí)別進(jìn)行分類，對(duì)不同類別的用戶進(jìn)行不一樣的帶寬控制，限制其數(shù)據(jù)包的發(fā)送速率，達(dá)到保證網(wǎng)絡(luò)穩(wěn)定的目的。提供帶寬管理，保證關(guān)鍵業(yè)務(wù)的服務(wù)質(zhì)量，是神州數(shù)碼DCFW-1800S-V2防火墻的一項(xiàng)重要功能[7]。神州數(shù)碼防火墻支持帶寬控制，通過(guò)合理配置、分配帶寬資源，使網(wǎng)絡(luò)資源得到合理、充分的使用。使得受防火墻保護(hù)的服務(wù)器都能充分地發(fā)揮作用。9.日志審計(jì)功能從安全的角度將，審計(jì)日志主要是起到抗抵賴的作用的，因?yàn)榉阑饓Φ膶徲?jì)日志記錄了用戶的網(wǎng)絡(luò)使用情況，如果有人對(duì)校園網(wǎng)絡(luò)進(jìn)行了入侵、攻擊等一系列的非法行為，攻擊時(shí)我們沒(méi)有發(fā)現(xiàn)，在事后我們可以通過(guò)對(duì)審計(jì)日志的查詢，了解其使用網(wǎng)絡(luò)的信息，據(jù)此對(duì)這樣的主機(jī)設(shè)置防范措施，以防再次遭到攻擊[8]。三層交換機(jī)的安全策略在遼寧機(jī)電職業(yè)技術(shù)學(xué)院的網(wǎng)絡(luò)架構(gòu)中，有核心層、匯聚層、接入層等三個(gè)層次。在核心層和匯聚層都是使用的三層交換機(jī)。因此三層交換機(jī)在整個(gè)網(wǎng)絡(luò)中起著非常重要的作用。整個(gè)校園網(wǎng)的核心是由兩臺(tái)核心交換機(jī)神州數(shù)碼DCRS-7604三層交換機(jī)組成，其主要負(fù)責(zé)將校園網(wǎng)絡(luò)各部分的總數(shù)據(jù)流進(jìn)行匯聚和分流。兩臺(tái)核心交換機(jī)之間相互連接，這樣可以組成一個(gè)冗余的網(wǎng)絡(luò)結(jié)構(gòu)，保證兩臺(tái)核心交換機(jī)即使有一臺(tái)出現(xiàn)問(wèn)題，校園也能正常運(yùn)行。神州數(shù)碼DCRS5650-28三層交換機(jī)提供本地第三層交換和路由功能。對(duì)于校園網(wǎng)的每個(gè)子網(wǎng)，根據(jù)各個(gè)學(xué)院進(jìn)行VLAN的劃分和管理，實(shí)現(xiàn)VLAN間的相互通信及訪問(wèn)控制。校園網(wǎng)絡(luò)的接入層由神州數(shù)碼DCS-3600-26C二層交換機(jī)構(gòu)成。接入層交換機(jī)的主要功能是為用戶提供大量的網(wǎng)絡(luò)接口[9]。三層交換機(jī)在諸多網(wǎng)絡(luò)設(shè)備中起著至關(guān)重要的作用，無(wú)論是核心層還是在匯聚層，我們都需要用到三層交換機(jī)。尤其在核心層更是有著無(wú)可取代的作用，如果沒(méi)有它，整個(gè)網(wǎng)絡(luò)內(nèi)的所有計(jì)算機(jī)都在一個(gè)子網(wǎng)中，不僅對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)是個(gè)風(fēng)險(xiǎn)，也會(huì)因?yàn)闊o(wú)法分割廣播域而形成廣播風(fēng)暴。雖然使用傳統(tǒng)的路由器可以防止形成廣播風(fēng)暴，但是路由器的性能卻不是很好。而三層交換機(jī)既有路由的功能，又有著路由器所無(wú)法比擬的性能。三層交換機(jī)的主要功能及配置1.VLAN的劃分說(shuō)起三層交換機(jī)的功能首先要說(shuō)的就是VLAN的劃分，三層交換機(jī)可以對(duì)網(wǎng)絡(luò)中的每個(gè)子網(wǎng)進(jìn)行詳細(xì)的VLAN劃分，劃分完VLAN每個(gè)子網(wǎng)都有對(duì)應(yīng)的VLAN名，可以使網(wǎng)絡(luò)管理園更好的對(duì)校園網(wǎng)進(jìn)行管理。劃分VLAN能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬等一系列問(wèn)題，并提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性，節(jié)省網(wǎng)絡(luò)帶寬。VLAN還為我們提供了一定的安全機(jī)制，可以控制廣播組的大小和位置，限制特定用戶的訪問(wèn)，甚至還能鎖定網(wǎng)絡(luò)成員的MAC地址。這樣，就成功限制了未經(jīng)安全許可的用戶對(duì)網(wǎng)絡(luò)的使用[10]。根據(jù)上一章的網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)，下面是以圖書館和學(xué)生宿舍的VLAN劃分為例的具體配置命令：核心三層交換機(jī)的配置：Switch(config)#Hostnamehexinhexin(config)#VLAN80hexin(config-vlan)#EXIThexin(config)#VLAN90hexin(config-vlan)#EXIThexin(config)#INTVLAN80hexin(config-if)#IPADD192.168.28.1255.255.255.192hexin(config)#INTVLAN90hexin(config-if)#IPADD192.168.32.1255.255.255.192hexin(config-if)#EXIThexin(config)#INTF0/23hexin(config-if)#SwitchportModeTrunkhexin(config-if)#SwitchportTrunkEncapsulationdot1qhexin(config-if)#EXIThexin(config)#INTF0/24hexin(config-if)#SwitchportTrunkEncapsulationdot1qhexin(config-if)#SwitchportModeTrunk學(xué)生宿舍二層交換機(jī)的配置：Switch(config)#hostnamexsssxsss(config)#vlan90xsss(config-vlan)#exitxsss(config)#swxsss(config)#intf0/1xsss(config-if)#Switchportmodeaccessxsss(config)#INTF0/24xsss(config-if)#SwitchportModeTrunkxsss(config)#INTF0/1xsss(config-if)#SwitchportAccessVLAN90圖書館二層交換機(jī)的配置：Switch(config)#hostnametsgtsg(config)#vlan80tsg(config-vlan)#exittsg(config)#intf0/1tsg(config-if)#SwitchportModeAccesstsg(config)#vlan80tsg(config)#INTF0/24tsg(config-if)#SwitchportModeTrunktsg(config)#INTF0/1tsg(config-if)#SwitchportAccessVLAN80其它子網(wǎng)的VLAN劃分與上述配置相似。2.訪問(wèn)控制列表訪問(wèn)控制是網(wǎng)絡(luò)安全防范的重要安全策略。訪問(wèn)控制列表是應(yīng)用在接口的指令列表，它可以起到控制網(wǎng)絡(luò)流量、流向的作用，并且保護(hù)網(wǎng)絡(luò)中的設(shè)備。以下是對(duì)核心三層交換機(jī)的標(biāo)準(zhǔn)訪問(wèn)控制列表配置：hexin#ShowAccess-listsStandardIPaccesslist5permit192.168.28.00.0.3.255permit192.168.32.00.0.3.255hexin#ShowRuninterfaceFastEthernet0/0ipaddress192.168.28.1255.255.255.192ipaccess-group5induplexautospeedautointerfaceFastEthernet0/1ipaddress192.168.32.1255.255.255.192ipaccess-group5outduplexautospeedautoVRRP技術(shù)VRRP是一種容錯(cuò)協(xié)議，適用于支持廣播的局域網(wǎng)。在本設(shè)計(jì)中使用VRRP技術(shù)將校園網(wǎng)的一組三層交換機(jī)組織成一個(gè)虛擬三層交換機(jī)，稱之為一個(gè)備份組。其中僅有一臺(tái)三層交換機(jī)處于活動(dòng)狀態(tài)，稱為master；另一臺(tái)三層交換機(jī)處于備份狀態(tài)，并隨時(shí)做好接替任務(wù)的準(zhǔn)備，稱為backup。使用VRRP技術(shù)主要起到主備備份和負(fù)載分擔(dān)的作用。下面是對(duì)本設(shè)計(jì)的兩臺(tái)核心三層交換機(jī)進(jìn)行VRRP的配置命令：hexin1#interfaceFastEthernet0/0BackUPipaddress192.168.1.2255.255.255.0duplexautospeedautovrrp3ip192.168.1.3vrrp3priority105hexin2#interfaceFastEthernet0/0MASTERipaddress192.168.1.1255.255.255.0duplexautospeedautovrrp3ip192.168.1.3vrrp3priority1104.端口流量限制我們可以通過(guò)三層交換機(jī)對(duì)每個(gè)子網(wǎng)的端口進(jìn)行流量的限制，當(dāng)一個(gè)端口的流量過(guò)大，超過(guò)了其處理能力時(shí)，就會(huì)產(chǎn)生端口堵塞。流量限制的作用就是為了防止出現(xiàn)網(wǎng)絡(luò)阻塞的情況。對(duì)端口流量限制還可以達(dá)到對(duì)個(gè)別用戶限制其流量，防止其過(guò)多的占用帶寬，影響其他用戶上網(wǎng)的速度。下面以一個(gè)端口為例，進(jìn)行端口流量限制的配置：hexin(config)#interfacee3/8hexin(config-if-3/8)#port-name