校園網(wǎng) 設計方案

校園網(wǎng)設計方案學院：xxxxxx班級：xxxxxxx指導老師：xxxxxxx學號：xxxxxxxxx姓名：xxxxxx目錄【摘要】 -1-1. 校園網(wǎng)設計目的 -2-2. 校園網(wǎng)設計原則 -2-2.1統(tǒng)一規(guī)劃,分步實施 -3-2.2先進性、原則性與合用性相結合 -3-2.3可擴展性 -3-2.4安全性和可靠性 -3-2.5易管理性 -4-3. 校園網(wǎng)需求分析 -4-3.1校園網(wǎng)功效 -4-3.2主機系統(tǒng)的規(guī)定 -5-3.3網(wǎng)絡拓撲的選用 -5-3.4校園網(wǎng)的技術方案設計 -5-4. 校園網(wǎng)設計方案 -6-4.1總體架構設計 -6-4.2網(wǎng)絡體系構造的選擇 -6-4.3主干網(wǎng)設計 -7-4.4架構設計闡明 -8-4.6IP地址的規(guī)劃 -10-4.7設備的選型 -11-5.校園網(wǎng)安全管理 -12-5.1安全技術的應用 -12-5.2VLAN的劃分 -12-5.3防火墻的使用 -13-5.4管理員安全管理與服務支持 -14-5.5完善的制度 -14-6.學習心得 -15-參考文獻 -15-

校園網(wǎng)設計【摘要】：基于校園網(wǎng)的學習平臺開發(fā)設計重要是為教師和學習者提供一種網(wǎng)絡化的教學和學習環(huán)境,使學生理解、熟悉網(wǎng)絡化的學習方式,并為之提供體驗知識、技能應用的場合.而隨著全球信息化進程的快速發(fā)展，高等學校的教育網(wǎng)絡的快速擴張和各類應用的大量投入，造成校園內部在信息資源共享度、高效率工作流程上都產生了極大的變化。但在享有網(wǎng)上辦公便捷的同時，校園網(wǎng)絡中的各類問題相繼出現(xiàn)。隨著教育信息化程度的不停進一步，在提高教學質量與效率，實現(xiàn)教育資源共享與網(wǎng)絡化管理的同時，也給校園網(wǎng)的優(yōu)化與升級提出更高規(guī)定。新興的在線教學手段、教務管理系統(tǒng)和視頻點播等廣泛應用使得校園網(wǎng)絡的流量與日俱增，給學校有網(wǎng)絡系統(tǒng)帶來了巨大的壓力。同時，高校逐年擴招致使學校規(guī)模不停擴大，原有網(wǎng)絡端口數(shù)量缺少的問題日漸突出。另外，由于校園網(wǎng)絡環(huán)境的日益復雜，校園網(wǎng)絡通信將面臨嚴峻的安全挑戰(zhàn)，同時也給網(wǎng)絡管理帶來系列難題。【核心詞】校園網(wǎng)；網(wǎng)絡設計；網(wǎng)絡安全校園網(wǎng)是校園信息資源建設的基礎設施.校園網(wǎng)建設的根本目的是為學校的教學科研和管理提供一種先進實用的信息網(wǎng)絡環(huán)境.基于網(wǎng)絡的合作學習是運用計算機網(wǎng)絡以及多媒體等有關技術,使多個學習者針對同一學習內容彼此交互和合作,以達成對教學內容比較深刻理解與掌握的過程，運用計算機網(wǎng)絡建立協(xié)作學習的環(huán)境,使教師與學生、學生與學生以討論、協(xié)作和交流的方式進行學習,能夠充足發(fā)揮計算機網(wǎng)絡的優(yōu)勢,強化學習者的學習動機,使學習者更加好地建構有關所學知識的意義,從而培養(yǎng)學習者的信息能力、學習方略及社會交往技能.校園網(wǎng)設計目的確立校園網(wǎng)建設的目的，不僅要考慮技術方面，并且還要考慮環(huán)境、應用和管理等方面，必須與學校各方面改革、建設久遠發(fā)展相結合，科學論證和決策。根據(jù)這一規(guī)定：建設一種技術先進、擴展性強、能覆蓋全校重要樓宇的校園主干網(wǎng)絡，將學校的多個PC機、工作站、終端設備和局域網(wǎng)連接起來，并與有關廣域網(wǎng)相連，形成構造合理、內外溝通的校園計算機網(wǎng)絡系統(tǒng)。在此基礎上建立的校園網(wǎng)應含有下列3點：1）學校的目的是通過教學過程來培養(yǎng)人才，因此對教學過程提供直接支持應是校園的基本功效；2）校園網(wǎng)必須支持學校的日常辦公和管理；3）與Interent的連接也是校園網(wǎng)的基本功效之一，這樣大大擴展了師生獲取知識的途徑，增強校內外的溝通及自由地公布教育信息。校園網(wǎng)設計原則根據(jù)計算機及網(wǎng)絡技術的發(fā)展趨勢,校園網(wǎng)的設計應采用開放性的國際通用的TCP/IP合同,本著總體規(guī)劃、分步實施的總體原則,并遵照先進原則性與合用性相結合、系統(tǒng)可擴展性及安全可靠性原則來加以建設。2.1統(tǒng)一規(guī)劃,分步實施校園網(wǎng)的建設應在統(tǒng)一的總體規(guī)劃的前提下進行,這樣整個系統(tǒng)才干統(tǒng)一原則,才不會出現(xiàn)系統(tǒng)互不兼容的現(xiàn)象。同時,由于計算機網(wǎng)絡技術的更新?lián)Q代、設備價格的減少和設備性能提高的速度很快,而各學校在校園網(wǎng)建設早期網(wǎng)絡的使用率不高,因此,校園網(wǎng)普通要分步實施,避免一步到位,堅持“邊投資,邊使用”的原則,確保以最小的投資得到最快、最佳的收益。2.2先進性、原則性與合用性相結合計算機網(wǎng)絡技術發(fā)展及設備更新裁減速度很快,因此,在設計校園網(wǎng)絡系統(tǒng)時,應符合國際規(guī)范原則,并采用市場占有率高、符合國際原則和技術成熟的新型軟硬件產品。這里應注意的是,在校園網(wǎng)建設時,應充足考慮本學校實際應用的需要和現(xiàn)有設備狀況,充足發(fā)揮設備效益,充足運用現(xiàn)有資源,不超前投資硬件設備,更不做新產品2.3可擴展性校園網(wǎng)的建設是一種長久的系統(tǒng)工程,隨著網(wǎng)絡技術的發(fā)展和學校應用需求的擴展,校園網(wǎng)也需要擴展和升級。因此,在進行校園網(wǎng)規(guī)劃設計時,既要有顧客發(fā)展的配備預留,又要滿足系統(tǒng)升級的需要。2.4安全性和可靠性只有安全可靠的系統(tǒng)才干達成令人滿意的服務效果。校園網(wǎng)一經使用,學校的多個管理都會逐步依賴于網(wǎng)絡系統(tǒng)來運轉,網(wǎng)絡一旦癱瘓,將會給學校各項工作帶來不便,甚至會為學校帶來巨大損失。因此,校園網(wǎng)的系統(tǒng)構造和軟硬件設備必須含有穩(wěn)定可靠的性能,特別是網(wǎng)管中心的設備,大多需要持續(xù)運轉,面對全校服務,其可靠性更為重要。校園網(wǎng)建成后,網(wǎng)絡安全問題就成了首要問題。為確保系統(tǒng)得以安全可靠運轉,普通網(wǎng)絡中心必須配有必要的用于安全防備的軟硬件設備,以避免內外非法訪問和惡意攻打。同時,由于校園網(wǎng)遍及學校的各個地方,比較分散,因此,網(wǎng)絡系統(tǒng)中的端口設備應含有良好的可管理性。2.5易管理性隨著網(wǎng)絡規(guī)模的不停擴大,校園網(wǎng)絡的管理越來越重要,管理的事務也越來越復雜。能夠通過圖形化的配備對網(wǎng)絡進行虛網(wǎng)劃分,設立各子網(wǎng)的訪問權限,簡化網(wǎng)絡的管理。顧客應能在中心機房通過網(wǎng)管工作站上和諧的圖形界面,實施網(wǎng)絡的動態(tài)監(jiān)測、配備、數(shù)據(jù)流量的分析等。校園網(wǎng)需求分析3.1校園網(wǎng)功效（1）支持約1000顧客瀏覽Internet。（2）連接校內全部教學樓、辦公樓、實驗室樓和學生宿舍中的計算機。（3）提供豐富的網(wǎng)絡服務，涉及：①提供國際互聯(lián)網(wǎng)ISDN專線接入（或DDN），實現(xiàn)與各公共網(wǎng)的連接。提供基本的Internet網(wǎng)絡服務功效：如電子郵件、文獻傳輸、遠程登錄等。②有綜合網(wǎng)絡辦公系統(tǒng)及各個應用管理系統(tǒng)，實現(xiàn)辦公自動化，管理信息化。③提供圖書，文獻查詢與檢索服務，增強校圖書館信息自動化能力。④全校共享軟件庫服務，避免重復投資，發(fā)揮最大效益。3.2主機系統(tǒng)的規(guī)定（1）主機系統(tǒng)應采用現(xiàn)在市場較新的主流技術，并有良好的擴展能力。（2）支持通用大型數(shù)據(jù)庫。（3）主機系統(tǒng)應有高的可靠性，能長時間持續(xù)工作，并有容錯方法。（4）含有廣泛的軟件支持，軟件兼容性好，并支持多個傳輸合同。（5）能與Internet互聯(lián)，可提供互聯(lián)網(wǎng)的應用，如WW－W瀏覽服務、FTP文獻傳輸服務、E－mail電子郵件服務3.3網(wǎng)絡拓撲的選用校園網(wǎng)絡拓撲圖當計算機的臺數(shù)較多或可靠性規(guī)定較高時，優(yōu)先考慮采用星型或樹型連接；對于含有幾臺距離較遠或可靠性規(guī)定不高的以及共享任務不繁重的，可考慮采用總線型連接。而校園網(wǎng)中的計算機數(shù)量較多，所需的功效也不同，因此實際的拓撲構造常為以上兩種方式綜合。3.4校園網(wǎng)的技術方案設計校園網(wǎng)的設計應采用符合國際工業(yè)原則的、比較成熟的技術，并能兼顧網(wǎng)絡技術的發(fā)展方向，可選擇構造化、可擴充、多用途的網(wǎng)絡產品。同時網(wǎng)絡設計應構造合理，在通信網(wǎng)絡、資源配備、系統(tǒng)服務和網(wǎng)絡管理上要有良好的分層設計，使網(wǎng)絡構造更加清晰，便于使用、管理和維護。另外，網(wǎng)絡設計應堅持高效實用的原則，著眼于教學、科研、管理的實際需要，用有限的資金優(yōu)先解決工作急需的問題。校園網(wǎng)設計方案4.1總體架構設計針對校園網(wǎng)的特點，總體設計思路分為下列幾點：（1）全方面掌握校園網(wǎng)網(wǎng)絡構造，繪制具體的校園網(wǎng)網(wǎng)絡拓撲機構圖，并在圖中標重視點設備位置及用途。（2）梳理校園網(wǎng)網(wǎng)絡通信設備、安全設備、存儲設備、服務器等信息信息。（3）根據(jù)業(yè)務或功效對校園網(wǎng)中的信息系統(tǒng)進行區(qū)域劃分，形成各自獨立的區(qū)域，這樣能夠最大程度的解決信息系統(tǒng)互相干擾問題。（4）制訂外部訪問規(guī)則，提供VPN服務供教職工訪問校內業(yè)務系統(tǒng)，嚴禁外部直接對校園網(wǎng)的訪問。（5）制訂安全管理制度，完善各環(huán)節(jié)工作規(guī)程，減少由于工作失誤造成的故障。4.2網(wǎng)絡體系構造的選擇網(wǎng)絡體系構造是指計算機通訊系統(tǒng)的整體設計，它為網(wǎng)絡軟件、硬件及網(wǎng)絡通訊合同、數(shù)據(jù)存取控制和拓撲構造提供原則。因此，網(wǎng)絡體系構造的選擇是實現(xiàn)校園網(wǎng)建設目的的核心環(huán)節(jié)。在充足理解網(wǎng)絡的特點、性能、價格的基礎上，根據(jù)學校的實際應用，考慮學校能夠投入的資金及現(xiàn)有的設備、局域網(wǎng)和其它資源狀況，進行綜合分析，并制訂有助于開發(fā)運用、發(fā)展擴充，性能價格比高的網(wǎng)絡方案?，F(xiàn)有的網(wǎng)絡技術重要有千兆以太交換網(wǎng)、ATM等。千兆以太網(wǎng)是快速以太網(wǎng)的延續(xù)，是性價比很高的一種主干網(wǎng)技術，但由于千兆以太網(wǎng)所涉及的原則還沒有完全擬定。在對傳送視頻應用等響應時間不可預測的網(wǎng)絡中，千兆以太網(wǎng)不是最佳選擇。ATM技術比千兆以太網(wǎng)早3年，ATM技術能提供較高的網(wǎng)絡帶寬和服務質量控制，含有適合于語音、視頻、數(shù)據(jù)傳輸?shù)忍攸c。因此，考慮到多媒體技術的快速發(fā)展和當代教學中大量多媒體課件的開發(fā)應用，能滿足網(wǎng)上大量多媒體信息傳遞的需要，比較先進的方案還是建議采用ATM作主干，局域網(wǎng)和顧客端仍采用以太交換網(wǎng)。4.3主干網(wǎng)設計根據(jù)分層理念，主干網(wǎng)可采用三層網(wǎng)絡架構，通過層次化模型設計，將復雜的網(wǎng)絡設計分成３個層次：接入層、匯聚層和核心層。每個層次著重于某些特定的功效，這樣就能夠使一種復雜的大問題變成許多簡樸的小問題，如圖所示。核心層（實現(xiàn)高速交換）匯聚層（實現(xiàn)基于方略的連接）接入層（實現(xiàn)本地或遠程工作組訪問）層次化網(wǎng)絡模型主干網(wǎng)采用三層網(wǎng)絡架構，能夠從下列幾個方面確保了校園網(wǎng)絡的靈活性、可擴充性、可靠性和高效性：①運用分層構造將網(wǎng)絡的功效區(qū)塊化，使得網(wǎng)絡的局部修改和擴充被隔離，使校園網(wǎng)絡更具靈活性；②運用區(qū)塊的不對稱特性優(yōu)化網(wǎng)絡的流量配備，提高校園網(wǎng)絡的性能價格比；③運用網(wǎng)絡整體的對稱性提供負載均衡，最大程度地提高網(wǎng)絡的性能；④運用網(wǎng)絡整體的對稱性提供校園網(wǎng)絡的冗余，提高網(wǎng)絡的可靠性。局域網(wǎng)的類型有多個，但性價比占優(yōu)勢的還是1000M以太網(wǎng)，其優(yōu)點就是組網(wǎng)技術簡樸、便宜，即主干網(wǎng)組網(wǎng)技術應采用千兆以太網(wǎng)技術。由于其技術含有高帶寬1000Mbps速率的主干，另首先就是做為校園網(wǎng)的構造無論在高帶寬、可適應性、高性價比、良好的管理性和可維護性等各方面都是最明智的選擇。用100Mbps交換機到桌面，這樣的構造不僅就現(xiàn)在的多個應用系統(tǒng)運行起來綽綽有余，并且還能夠輕松地應付將來一段時間內的應用規(guī)定，且非常容易升級和擴展，使顧客投資得到最大程度地保護。光纖主干網(wǎng)覆蓋整個教科院、并將光纖連接到有條件的部分大學生宿舍，從而將校園網(wǎng)建成一種含有一定規(guī)模容量、技術先進、功效齊全、優(yōu)良實用、安全可靠，并含有可擴充性的當代化網(wǎng)絡系統(tǒng)以千兆交換機作為校園網(wǎng)的中心，在此基礎上，根據(jù)不同功效的需要，把整個校園網(wǎng)分割為幾個或者幾十個以百兆交換機為核心的校園網(wǎng)中的子網(wǎng)。為滿足學校能與其它網(wǎng)絡的連接，可在百兆交換機中再布設一種子網(wǎng)，把服務器，路由器等與外部網(wǎng)相連接的應用設備用防火墻將它們與校園網(wǎng)隔離開來，以保護校園網(wǎng)內部的數(shù)據(jù)。4.4架構設計闡明互聯(lián)網(wǎng)接入域方面：此區(qū)域重要負責學院ISP接入，現(xiàn)在我院共有聯(lián)通、電信、教育信息網(wǎng)共三條線路，其中聯(lián)通、電信重要負責教職工及學生的日常網(wǎng)絡服務，由于這部分區(qū)域的特殊性區(qū)域內設備均采用主、備方式冗余布署，最大程度的解決了由于設備單點故障造成的網(wǎng)絡中斷。網(wǎng)絡核心區(qū)：此區(qū)域重要為各教學樓及各校區(qū)鏈路的匯聚提供數(shù)據(jù)鏈路服務。除此之外最為校園網(wǎng)的核心部分，也是連接應用網(wǎng)路和外部網(wǎng)絡的橋梁，必須確保進入和輸出數(shù)據(jù)的安全性，因此安全審計、安全監(jiān)測設備均布署在此區(qū)域內。通過這些設備對數(shù)據(jù)的過濾、篩選。網(wǎng)絡管理區(qū)：網(wǎng)絡關系信息系統(tǒng)是保障網(wǎng)絡可靠運行的重要手段，網(wǎng)絡管理云能夠通過網(wǎng)絡關系系統(tǒng)對網(wǎng)絡進行全方面監(jiān)控，對全部網(wǎng)絡設備進行配備、運維管理，因此將這些系統(tǒng)放到獨立的區(qū)域集中管理，通過特殊的安全設備進行安全加固是保障校園網(wǎng)健康運行的前提。業(yè)務系統(tǒng)區(qū)：校園網(wǎng)全部服務器歸屬到該區(qū)域進行統(tǒng)一管理，通過邊界防火墻對外提供服務，采用基于TCP/IP的訪問方略進行數(shù)據(jù)訪問限制，提供對外單項服務，對內采用特殊授權方式解決。視頻會議區(qū)：我院現(xiàn)共有三個校區(qū)，日常會議大都通過視頻會議的方式來解決，由于視頻會議對網(wǎng)絡帶寬的規(guī)定較高因此將視頻會議區(qū)域單獨通過校區(qū)自由光纖與其它校區(qū)連接，并通過帶寬保障技術確保足夠的帶寬供應。校園卡區(qū)域：校園卡網(wǎng)絡最為消費功效有它的特殊性，必須獨立于其它的網(wǎng)絡獨立出來，采用專線網(wǎng)絡管理從而從物理層面實現(xiàn)與校園網(wǎng)的隔離，隨著學校發(fā)展的需求，賦予了校園卡更多的身份不單單只應用于消費尚有考勤、門禁等應用出現(xiàn)，此區(qū)域內應當涉及全部與校園卡有關的硬件及軟件。測試區(qū)域：測試區(qū)重要服務對象是某些處在測試階段的軟件系統(tǒng)，此區(qū)域的安全級別較低，軟件管理人員能夠隨時操作服務器調試軟件，為顧客提供良好的測試環(huán)境4.5顧客準入機制設計對于校園網(wǎng)的顧客，最重要的是對顧客準入準出進行控制，并滿足計費管理功效。因此重要解決下面的問題：將網(wǎng)絡安全接入控制、防代理、上網(wǎng)顧客的多個IP控制和管理功效、非法DHCPserver控制、認證時的綁定安全控制功效、正當顧客的授權功效、Mac地址防盜功效、主機與IP的綁定功效、多個計費控制功效、對特定顧客的強制下線功效、黑名單顧客嚴禁上網(wǎng)功效、支持顧客上網(wǎng)的時段控制，還能夠對學生的上網(wǎng)時間加以控制。這些是校園網(wǎng)普通認證計費軟件需要實現(xiàn)的功效，這是一種較為復雜的應用系統(tǒng)，需要由多方來實現(xiàn)。校園網(wǎng)另外一種問題是互聯(lián)網(wǎng)帶寬的濫用，不少學生在網(wǎng)絡中使用BT等P2P軟件，大量占用互聯(lián)網(wǎng)出口帶寬，使得全網(wǎng)訪問互聯(lián)網(wǎng)非常緩慢，有時也可能由于病毒的因素，向外大量廣播數(shù)據(jù)包，造成交換機端口堵塞，接入交換機能夠通過限制接入速度來實現(xiàn)對這些問題的克制。上述功效，能夠在接入層或者匯聚層交換機上實現(xiàn)，這樣能夠將網(wǎng)絡初始流量克制在每臺交換機上，不至于將異常流量引入核心層交換機，占用核心層交換機的解決能力，影響網(wǎng)絡性能。4.6IP地址的規(guī)劃在校園網(wǎng)的規(guī)劃設計中,IP地址方案的設計至關重要,為了便于校園網(wǎng)的管理,可將校園網(wǎng)劃分為若干網(wǎng)段,各部門各占一種網(wǎng)段,由IP地址和子網(wǎng)掩碼來擬定各子網(wǎng)中的主機地址。在信息訪問時,各子網(wǎng)段是相對獨立的,在一定程度上保護了該網(wǎng)段內的信息安全。為了確保網(wǎng)絡的擴展性和安全性,我們普通在網(wǎng)絡中設計使用C類IP地址,網(wǎng)絡中的應用服務器也使用私網(wǎng)IP地址。IP地址的分派IP地址分派是優(yōu)化路由解決的重要構成部分。在網(wǎng)絡規(guī)劃中,應盡量采用保存地址,并且地址按區(qū)域進行劃分。在地址分派過程中,各節(jié)點的保存IP地址應盡量保持持續(xù)性方便于內部路由管理,同樣,整個網(wǎng)絡內部也應盡量保持CIDR(無線域間路由)地址塊的持續(xù)性,保存IP地址的使用應為將來網(wǎng)絡發(fā)展留有余地,方便于網(wǎng)絡的統(tǒng)一規(guī)劃。4.7設備的選型網(wǎng)絡服務器普通選擇基于UNIX的中檔工作站，如SUN、HP、IBM等工作站或服務器。操作系統(tǒng)可選Solaris、HP-UNIX、AIX。這些服務器內存最少64MB，硬盤容量超出2GB以上，根據(jù)需要劃分為若干卷，匿名FTP服務器、WWW服務器及BBS服務器應含有較大的硬盤容量。普通應使用486以上機型。主干交換機是指連接服務器及樓（例如辦公樓）與樓（宿舍）之間、層（例如實驗樓一層與二層之間）與層之間的數(shù)據(jù)交換設備。校園網(wǎng)的主干交換機可選擇的1000M交換機。這樣可覺得主干校園網(wǎng)之間提供1Gb／s的寬帶。應用的主干技術可用堆疊交換技術。校園網(wǎng)服務對象最大的群體是學生，因此直接使用100M交換機到桌面上，利于解決集中突發(fā)性所造成的堵塞。為了使每個教室之間互訪得到有效的進行，提高安全性，可在校園網(wǎng)中另外采用虛網(wǎng)技術路由器選擇的是一臺IntelExpressRouter9100路由器。路由器是校園網(wǎng)對外的出口，也是為保護校園網(wǎng)的第一道防火墻。中心機房到匯聚層節(jié)點采用千兆光纖(多模)連接，匯聚層到接入層采用百兆的五類線(或者超五類)連接。普通考慮，建議數(shù)據(jù)信息點的接入用交換100/10OOMbp自適應以太網(wǎng)端口接入，方便能較經濟的提供較高的帶寬。整個方案設計的目的是建設一種集數(shù)據(jù)傳輸和備份、多媒體應用、語音傳輸、OA應用和Internet訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。5.校園網(wǎng)安全管理5.1安全技術的應用(1)VLAN技術的應用。為了有效地管理網(wǎng)絡，我們在校園網(wǎng)絡中進行虛擬網(wǎng)的劃分。虛擬網(wǎng)（VLAN）技術是現(xiàn)在局域網(wǎng)技術中發(fā)展快速的一種技術，它通過在現(xiàn)有物理網(wǎng)基礎上，根據(jù)實際網(wǎng)絡應用的需要靈活配備，將網(wǎng)絡各節(jié)點重新劃分組網(wǎng)，形成一種邏輯網(wǎng)絡。虛擬網(wǎng)技術的引入給現(xiàn)有網(wǎng)絡的設計、管理和維護帶來了某些根本性的變化。(2)ACL技術的應用。合理配備和使用交換機支持的訪問控制列表（ACL）功效，能夠合理地限制網(wǎng)絡非法流量，其重要原理為：ACL使用包過濾技術，在路由器或者核心交換機上對ISO模型的第三層、第四層的包頭信息讀取，涉及源地址與目的地址、源端口與目的端口，根據(jù)設定的規(guī)則對數(shù)據(jù)包進行過濾，從而實現(xiàn)訪問控制。校園網(wǎng)節(jié)點重要由資源節(jié)點與顧客節(jié)點構成，資源節(jié)點提供大量的應用服務與數(shù)據(jù)共享供顧客節(jié)點訪問。在這個過程中，ＡＣＬ技術首先對資源節(jié)點提供保護，制止非法顧客對資源節(jié)點的訪問，另首先限制特定的顧客節(jié)點所能含有的訪問權限。5.2VLAN的劃分校園網(wǎng)內部已經含有了數(shù)個相對獨立的辦公或學習單元,如果全部獨立單元的顧客無差別地處在對等網(wǎng)中,不僅使許多敏感數(shù)據(jù)容易被無關人員獲取,并且獨立單元內的大量通信也會占用諸多的網(wǎng)絡資源,使整個網(wǎng)絡的效率變低,甚至引發(fā)崩潰。為此,需要將經常進行通信的計算機構成一種子網(wǎng),使大量的內部數(shù)據(jù)局限在子網(wǎng)內傳輸,然后將各個子網(wǎng)連接在一起,形成校園局域網(wǎng)。VLAN又稱虛擬網(wǎng),從網(wǎng)絡管理上被定義為一種位置無關的局域網(wǎng)廣播域。VLAN技術是隨著交換技術的出現(xiàn)而產生的,在一種校園網(wǎng)內劃分若干虛擬子網(wǎng)有下列好處:(1)隔離廣播。(2)方便的工作組劃分和管理。(3)增強網(wǎng)絡安全性。具體在校園網(wǎng)虛擬網(wǎng)的劃分中有下列優(yōu)點:(1)使得校園網(wǎng)的劃分很容易和校內各部門的劃分一致起來,能使得同一部門在不同物理網(wǎng)段的結點可被設為同一邏輯子網(wǎng),實現(xiàn)與物理位置的無關性。(2)對于網(wǎng)絡中心,財務部門等要害部門可采用基于傳統(tǒng)的MAC地址的VLAN劃分技術,以避免非授權結點在該子網(wǎng)中的出現(xiàn)。(3)對于比較分散、物理子網(wǎng)比較多,難以有效管理的地方可采用混合方略,以盡量減少IP地址盜用和其它安全問題。5.3防火墻的使用防火墻是架構于兩個不同網(wǎng)絡之間，根據(jù)設定的安全規(guī)則，決定網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包與否允許通過，并監(jiān)視網(wǎng)絡運行狀態(tài)，內部的構造以及運行狀況均對外屏蔽，從而實現(xiàn)內部網(wǎng)絡的安全防護。防火墻的重要作用為：①防火墻能夠把內、外網(wǎng)絡、對外服務器網(wǎng)絡實施分區(qū)域隔離，從而杜絕它們與外網(wǎng)直接通信；②防火墻能夠將對外服務器、網(wǎng)絡上的主機隔離在一種區(qū)域內，通過安全保護方法，確保安全；③防火墻能夠對顧客的訪問權限進行限制，在增加正當顧客安全性的同時，也實現(xiàn)對非法顧客的回絕；④防火墻能夠實現(xiàn)對訪問服務器的請求控制，發(fā)現(xiàn)非法行為以及制止非法操作；⑤運用防火墻及各服務器上的審計統(tǒng)計，形成一種完善的審計體系，在方略之后建立第二條防線。出口防火墻重要是互聯(lián)網(wǎng)出口安全規(guī)則的檢查，由于是專用的安全設備，能夠定義許多安全規(guī)則，能夠根據(jù)需要定義較為復雜的規(guī)則，對互聯(lián)網(wǎng)訪問外網(wǎng)服務器和內部網(wǎng)絡的行為進行控制，檢測和切斷黑客的攻擊行為，從而確保網(wǎng)絡的安全運行。5.4管理員安全管理與服務支持服務器日常維護量較大，管理員需要在任何地點連接服務器進行維護，管理員+地址映射的模式安全隱患極大，基于整個