某校园网规划设计方案

- 1 - 某校园网规划设计方案 校园网建设的必要性 学校是否采用最先进的信息和传播技术是一个有决定性意义的问题 ,而且十分重要的是 ,学校应该处于影响整个社会深刻变革的中心地位。随着计算机多媒体和网络技术的不断发展与普及，校园网信息系统的建设，是非常必要的，也是可行的。主要表现在：当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段，发展对学校教育现代化的建设提出了越来越高的要求。教育信息量的不断增多 ,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素 ,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面 ,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的 ,特别是计算机和多媒体系统的使用有助于个人化的道路 ,每个学生在个人的学习道路上都可以按照自己的速度发展。我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统， 并且越来越形象化、实用化，迫切需要网络环境 校园网中将计算机引入教学各个环节，从而引起了教学方法，教学手段，教学工具的重大革新。对提高教学质量，推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问 ,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段 ,是解决信息时代教育问题的基本工具。随着经济发展，我国各级政府对教育的投入不断加大；计算机技术的飞速发展，使相应产品价格不断下降；同时人们的认识水平和经济实力不断提高。大量 计算机进入学校和家庭，使得计算机用于教育信息管理和信息服务是完全可行的。 二、校园网络需求分析 （一）用户需求分析 设计一个网络，首先要为用户分析目前面临的主要问题，确定用户对网络的真正需求，并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术，提供用户满意的高质服务。 - 2 - 网络在日常教学办公环境中起着至关重要的作用，校园网的运作模式会带来大量动态的 用数据传输，会有相当一部分应用的主服务器有高速接入网络的需求（目前为 100/1000后可会更高）。这就要求网络有足够的主干带宽和 扩展能力。同时，一些新的应用类型，如网络教学、视频直播 /广播等，也对网络提出了支持多点广播和宽带高速接入的要求。 除上述考虑外，还要注意到由于逻辑上业务网和管理网必须分开，所以建成后校园网应能提供多个网段的划分和隔离，并能做到灵活改变配置，以适应教学办公环境的调整和变化。 中心机房到汇聚层节点采用 4 兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接入用交换10/100适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数 据传输和备份、多媒体应用、语音传输、 用和 问等于一体的高可靠、高性能的宽带多媒体校园网。 （二）应用特点 随着现代化教学活动的开展和与国内外教学机构交往的增多，对通络进行信息交流的需求越来越迫切，为促进教学、方便管理和进一步发挥学生的创造力，校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统，以园区局域网为主，一个基本的校园网具有以下的特点： 高速的局域网连接 此园区局域网是该系统的 建设重点，由于参与网络应用的师生数量众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是网络的一项基本要求。 信息结构多样化 媒体教室、电子图书馆等）、办公管理和远程通讯（远程教学、互联网接入）三大部分内容：电子教学包含大量多媒体信息，办公管理以数据库为主，远程通讯则多为 式，因此数据成分复杂，不同类型数据对网络传输有不同的质量需求。 安全可靠 论是被损坏、丢失还是被窃取，都将带来极大的损失 。 操作方便，易于管理 生和办公人员，应用和管理应简便易行，界面友好，不宜太过专业化。 经济实用 此要求建成的网络应经济实用，具备很高的性能价格比。 - 3 - （三）校区网络的设计目标 : 校区网络建设的目标应该是： 建成后的网络能充分利用 家信息网、教育网、全国高校互联网上的各种信息，实现资源共享，能够为在此校区学习的学生提供丰富的多媒体教学手段，实现高质高效的教学目标。由此，我们认为，校园网网络是一个典型的面向未来的 网络化、信息化、自动化的集娱乐、教学、办公于一体的，具备多媒体综合业务发展需求的园区网络。 系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为学校校区着想，合理使用建设资金，使系统经济可行。 学校网络应当实现如下功能： 访问互联网络 访问学校虚拟网络 校园网站建立 远程教育 播 网络安全管理 电子邮件和电子公告 计算机辅助教学 教师备课功能 对外交流 校园管理平台 信息资源库 （四）系统设计 建设校园网络，本着少花钱办大事的 原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备，我们认为校园网建设应该遵循以下原则： 先进性 以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用，用基于交换的技术替代传统的基于路由的技术。 标准化和开放性 - 4 - 网络协议采用符合 其他标准，如： 制定的协议，采用遵从国际和国家标准的网络设备。 可靠性和可用性 选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可靠。 设备的 兼容性 选用符合国际发展潮流的国际标准的软件技术，以便系统有可靠性强、可扩展和可升级等特点，保证今后可迅速采用计算机网络发展出现的新技术，同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。 实用性和经济性 从实用性和经济性出发，着眼于近期目标和长期的发展，选用先进的设备，进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。 安全性和保密性 在接入 情况下，必须保证网上信息和各种应用系统的安全。 扩展性和升级能力 网络设计应具有良好的扩展 性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。 网络的灵活性 系统的灵活性主要表现在软件配置与负载平衡等方面，配合交换机产品与路由器产品支持的最先进的虚拟网络技术，整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络，可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的变化。同时也可以通过平衡网络的流量，以提高网络的性能。 - 5 - 三、校园网网络设计 （一） 网络的分层设计原则 核心层高 速 交 换 技 术分布层基 于 策 略 的 操 作接入层本 地 / 远 程 工 作 组 接 入可扩展性：因为网络可模块化增长而不会遇到问题。 简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题。 设计的灵活性：使网络容易升级到最新的技术，升级任意层次的网络不会对其他层次造成影响，无需改变整个环境。 可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理。 1. 核心层 (核心层为下两层提供优化的数据输运功能，它是一个高速的交换骨干，其作用是尽可能快 地交换数据包而不应卷入到具体的数据包的运算中 (滤等 )，否则会降低数据包的交换速度。 2. 汇聚层 (分布层提供基于统一策略的互连性，它是核心层和访问层的分界点，定义了网络的边界，对数据包进行复杂的运算。在园区网络环境中，分布层主要提供如下功能： 地址的聚集 部门和工作组的接入 广播域 /多目传输域的定义 由 任何介质的转换 安全控制 从逻辑上，校园网络可分为核心层、分布层和接入层，每层都有其特点。层次化设计的优点可以总结为如下几点： - 6 - 3. 接入层 (接入层的主要功能是为最终用户提供对园区网络访问的途 径。本层也可以提供进一步的调整，如 。在园区网络环境中，接入层主要提供如下功能： 带宽共享（ 交换带宽（ 过滤（ 微分网段（ 在广域网环境中 ， 接入层主要提供通过 入远程节点。 （二）校园网特性分析 设备的高性能： 核 心节点的交换机是整个校园网络的核心，应当采用有多层交换功能的交换机。核心交换机应采用模块化设计，有良好的扩展性能、多种接入模块；具备增强的网络传输能力，支持 议、服务质量（ 播、 继和 证等功能；支持通用的管理特性（ 能使用流行的网管软件对它进行管理，如 。 会聚层交换连接核心和接入层，应当采用带 网管功能的中低档交换机。汇聚层交换机具有快速的级联核心的以太端口以及高速堆叠模块；带网划分功能，能很好的管理 接入层用户；支持 网络的高性能设计： 整个校园的建设可以采用全交换方式， 100 兆到每个接入层用户。有效的子网划分和流量控制使整个校园网络能高速、安全的运行。 提供完善的用户管理机制，实现全面的用户认证、鉴权和计费 (能。用户管理引擎实现了根据用户 址、 D 和 址的绑定关系鉴别用户的合法性的功能。可根据用户的权限，实现对用户访问资源的控制。 实现基于 址、接入模块号和接入设备号的全程用户唯一标识，便于用户管理（开户、销户、欠费停机等）和网络故障维护。 - 7 - 网络的扩展性对网络业务的发展至关重要，它直接决定了校园网是否能够在节约成本的基础上跟上网络技术的发展和满足学校信息不断增长的需要，一个扩展性差的网络不仅为学校的投资造成了巨大的浪费，同时又无法满足学校网络业务不断发展和信息的增长的需要，为了保证网络能够不断的适应学校网络业务今后发展的不断需求，可以采用以下的措施来保证网络的扩展性。 （ 1）所选择的网络设备应当具有良好的扩展性。选择的网络设备最好是模块化的，便于网络的扩大 和更改，其中核心交换机应具有多种模块类型，以满足各种网络类型的接入。汇聚层交换机可以采用一款可堆叠的网管型以太网交换机，半 /全双工模式自适应，具有扩展槽，能使用多种可选模块。 （ 2）所选择的设备都具有良好的软件再升级能力。我们所选择的网络设备都是可以通过软件升级来不断的满足客户的新的需求同时跟上网络技术的发展。由于网络的技术层出不穷，用户的需求也不断增加，现在是新的技术，再过一段时间就会落后了，为了保证用户的网络产品能够跟上这一节奏，而不需要更换网络设备，从而减少了用户的投资。 能 带宽控 制特性 以太网是一种基于广播机制的共享型技术，任何一个位于以太网上的用户均可以向网上发送信息，在以太网的技术中没有具体带宽控制的机理。网络产品应提供对用户带宽控制的功能。带宽控制通过对每一个用户的上行带宽与下行带宽进行限制，保证对每个用户的公平性，防止在共享型网络结构中某一用户长期恶意霸占带宽而导致其他用户无法享受服务的现象。 制特性 随着 上的实时业务量也在不断增长，同时网络上的应用类型多种多样，不同的应用对网络的需求也有所不同。 是为了确保实时业 务的通信质量，满足各种业务对网络资源的需求，使网上资源获得最佳利用，降低成本，改善对用户的服务 安全性是网络设计要考虑的最重要的因素之一，设计中充分考虑了网络的安全性，具体体现在以下几个方面： (1)通过 制了不同 而保证了不同网络之间不会发生未经授权的非法访问。 - 8 - (2)在核心节点可提供基于地址的 控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置 证了在 未经授权的 访问都会被禁止。 (3)通过对上网的安全教育，提高安全意识，特别是增强计算机操作人员的密码管理意识，以防止由于操作员密码有意无意泄露给他人而造成的损失。 (4)制定严格的安全制度，包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度，从制度上保证网络安全性得以实现。 (5)可以对所有的重要事件进行 样方便网络管理员进行故障查找； (6)可以对所有的 而最大程度地保证汇聚层系统地安全。 (7)可以在接入层中通过限制 （ 1） 为 了提高网络管理能力设计中所有设备最好具有网管功能，不存在光纤收发器等类似不可网管设备，提高了网络可靠性和可管理。 （ 2） 支持通用的网络管理协议如（ 方便网络的管理和维护。 （ 3） 支持通用的的网络管理软件，如 可以从两方面来考虑： 关键设备的主要模块和电源的冗余备分考虑 在网络设计中所涉及的所有主要设备，均采用高可靠设计的原则。核心关键部件的冗余备份：电源冗余、主控板冗余、模块冗余等。 网络链 路的冗余备分考虑 （三）系统组成与拓扑结构 校园网的建设主要是为了教学应用，而多媒体辅助教学和多媒体教室是教学应用的核心，在网络建设时应考虑多媒体信息的特点，如信息量大，对时间延迟敏感等；在校园网中常会出现几十个学生执行相同操作的现象，所以要考虑并发信息的控制；学生利用网络做作业，教师要在家拨号访问学校网络，学籍管理信息在网上传输，所以也要考虑网络的安全性，防止黑客破坏网络，学生抄袭作业；校园网又是面向不同知识层次的教师、学生和办公人员的工具，它帮助我们更好地提高教学水平、办公效率和学习兴趣，所以应用和管理 应简便易行，界面友好，不宜太专业化。考虑到该学校的具体情况如性质、规模、财务等， - 9 - 这是一个相对小型的校园网络，单一建筑内的网络应用，我们提出以下校园网解决方案： 方案特点如下： （ 1） 支持多媒体应用，包括多媒体教室、电子阅览室、多媒体教学； （ 2） 高性能，全交换，满足用户需求； （ 3）管理简单，浏览器方式无需专门培训； （ 4）系统安全，保密性高； （ 5） 需建立连接降低链路费用。 （ 6）互联网接入，安全的广域网访问。 拓扑结构图 图可看出，网络设备组成为： 900交换机 五台 ,一台。 思科公司的 降低拥有成本，简化远程管理，提供结合 用器、调制解调器、语音 /数据网关、 火墙、 密和压缩设备的集成化网络。 4个 10/100是一个全交换的网络，相对共享式集线器而言，交换机各端口拥有独占的带宽，能实现多路并行传输，不易发生冲突，能为多媒体信息提供更好的保障。 - 10 - 考虑到 园网的发展趋势，在这套解决方案中都用到了路由器来引入广域网的远程连接，这套方案中用到了思科公司的低端路由器 50，它提供了对内的 10/100过 输稳定，连接迅速。在实现基本数据传递的基础上，用户可以根据自己的需要灵活选用上述网络设备中的某些性能。如：路由器和交换机的组内广播功能可为多媒体信息的传输提供更高的服务质量；而全双工模式下达到 400外， 850路由器兼任了防火墙思科公司系列中、低端路由器都可以通过操作系统升级具备防火墙性能，在承担远程连接的同时实施数据包检验和过滤，防止非法用户侵入到内部局域网中对连接到 户来说，安全性是网络设计中不容忽视的一项重要因素。 这套方案的好处是简便易行，成本很低，并且兼顾了教学、管理和通讯三方面应用。方案中所用到的产品都属思科公司产品中的低端设备，在实现高性价比的桌面应用的同时又做到易于配置和管理： 果不添加特殊功能则不需任何配置， 样用户使用起来将得心应手，无后顾之忧。 （四） 址 规划 通过 在申请的公网 以采用 公网地址与私网地址结合的方式。但是有时分配了私网地址的客户端也要访问 对这种情况，可以采用不同的技术使私有地址能够访问公网资源。通常可以利用代理 服务 (和网络地址转换 (这两项技术。 园区网分配 ，一个有效的 按行政隶属划分是指按信息节点的行政隶属关系将用户按校园各部门进行 于各部门之间在地域位置上并不一定集中，但需要统一管理，因此我们建议采用行政隶属的方式划分 按楼宇规划在传统的网络平台上很难实现。主要是因为传统的网络平台局限于设备的地理位置，无法跨地域进行灵活规划。但现今的网络平台都支持虚拟网络 技术避开了物理位置的缺陷，可以在逻辑上灵活组网。因此， 规划每个网段中的信息点数时，既要考虑到当前 要预留出适当的扩展余地，因此如果采用私网地址分配 议我们都采用 据具体的部门情况再分为具体的子网。 从经验角度，通 - 11 - 常一个 就是一个独立的广播域。一个网段内的信息节点数在 40 - 200个时，性能和地址资源的最佳利用性较理想，并且将 来可扩充到 254个。宽带接入用户接入宽带 先，用户利用固定 无需其它的认证过程，只需将用户所连的交换机端口划入某一特点 次用户通过 虚拟拨号方式，则需要一个专用的 过对 以确认用户身份；用户还可以利用 外交换机可以实现专用 以通过配置选择实现在同一 行数据交换。根据学校的教务和公务的情况，划分以下两个子网即可。 表 校网 络终端分布 专业机房 台式 16 台 万博机房一 台式 16 台 万博机房二 台式 18 台 教室一 2 台（台式机 1 台、笔记本 1 台） 教室二 2 台（台式机 1 台、笔记本 1 台） 教室三 台式 19 台 多媒体教室 2 台（台式机 1 台、笔记本 1 台） 办公室 10 台（台式机 5 台、笔记本 5 台） 校长室 笔记本 1 台 学生会办公室 台式 2 台 咨询室 1 台式 1 台 咨询室 2 笔记本 2 台 前台 台式 1 台 - 12 - 表 网划分方案 子网号 段 默认网关 说明 5 包括教室三清华万博六班、万博 1 机房等所有的教务场所） 5 包括校长室、办公室等所有办公场所） - 13 - 四、组网技术及产品选择 （一）组网技术选择 在校园网校区网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平 滑过渡，保护用户的投资。 目前在局域网络上应用最广泛的技术有以太网、快速以太网、 及最新崛起的 步传输模式）、千兆以太网等。交换式以太网作为几年前主干网组网的主要技术，现在主要被用于工作组级组网，使网络交换到桌面工作站。 快速以太网是一种非常成熟的组网技术，造价很低，性能价格比很高，可作为资金不很充裕的中小型单位组建 的首选技术。快速以太网技术现在被广泛用于大型企业网的二级、三级网络组网或直接连至桌面工作站。 是一种成熟的组网技术，但技术复 杂、造价高， 络难以向更先进的网络技术升级，现在用 建主干网的情况已非常少见。 术成熟而复杂，组网成本高，是多媒体应用系统的理想网络平台。但是，网络带宽的实际利用率很低。 在选择校园校区网络技术时应该考虑如下： 1)长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。从目前的趋势来看，采用快速以太网技术是最适宜的。 在校园网网络的建设中，主干网选择何种网络技术对网络建设的成 功与否起着决定性的作用。选择校园网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。 根据我们对校园网网络需求的分析并结合目前高速主干网络技术的特点，我公司建议采用快速以太网技术做为校园网的主干网络。 - 14 - （二）网络产品选型 校区网络建设应该以应用为核心，在设计中充分考虑到教育管理和多媒体教学的要求，并且网络技术上应该具有一定的先进性，同时还要为以后的扩展留有一定的空间 为此校园校区网络网应该能达到以下要求： 只 有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。 由于校园校区网络网络应用的特殊性 ,它对整个网络系统的性能要求相对来说比较高。其中，网络速率要求主要的信息点 100M 交换到桌面，园区网中各终端间具有快速交换功能。为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目 前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。 系统要有可扩展性和可升级性。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。对于核心网络设备，要求骨干交换机具备第三层交换能力，要求支持今后的视频点播、电视电话会议的宽带多媒体应用，并要求留有一定的扩充能力。 证 随着网络中多媒体的应用越来越 多，这类应用对服务质量的要求较高，本网络系统应能保证 支持这类应用。 网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。网络具有防止及便于捕杀病毒功能。应支持 划分，并能在间进行第三层交换时进行有效的安全控制，以保证系统的安全性。校区 - 15 - 网络与校园网相连后具有“防火墙”过滤功能，以防止网络黑客入侵网络系统。可对接入因特网的各网络用户进行权限控制。 对于网络管理，要求采用智能化网络管理软件，实现对网络的自动监测和控制。并支持虚拟网 络功能，对网络用户具有分类控制功能。 7. 于校园校区网络中包含许多多媒体应用通信，会存在许多的广播信息，占用大量的带宽资源。所以网络系统应能支持 以减少网络中不必要的广播，节省主干的带宽。 P 发展趋势的网络 在当前任何一个提供服务的网络中，对 支持服务是最普遍的，而 术本身又处在发展变化中，如 等新兴的技术不断出现，校园网络必须跟紧 展的步伐，也就是必须选择处于 展领导地位的网 络厂商。 （三）系统平台和应用系统 系统平台的建设主要包括：网络操作系统、桌面平台、数据库、防火墙等的选择。一般校园网络，服务器系统平台可以选择微软 供域名服务、 务、 务、 E 务等。具有强大的网络功能和可二次开发性。桌面操作系统比较可以选择 立 务器 一般来说，用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一 。在校园内部信息交流是非常频繁，所以有必要在网络中使用 设起一个 务器。 （四）软件应用 在客户终端上还必须要安装些应用软件来保证和维护校园办公和教务的正常进行： - 16 - 360 安全卫士是国内最受欢迎免费安全软件，它拥有查杀流行木马、清理恶评及系统插件，管理应用软件，卡巴斯基杀毒，系统实时保护，修复系统漏洞等数个强劲功能，同时还提供系统全面诊断，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能，并且提供对系统的全面诊断报告，方便用户及时定位问题所在，真 正为每一位用户提供全方位系统安全保护。 应用最广泛的克隆 (复制 )工具软件。它首先将已有的硬盘创建映像，随后将其自动克隆到任意数量的机器上。它可以在克隆过程中自动分区并格式化目的磁盘，而无需任何准备工作。可以说， 安装、升级、维护计算机系统的最佳软件。 世界著名的密码恢复工具合集，几乎可以破解当今所有文件的密码，功能强大，不论是遗忘的 缩文件密码它都 能帮您统统找回来！ 最流行的最实用的文字处理软件的最新版本 经过多年的客户体验和反馈提供创新 ,您可以利用这些创新创建出外观给人留下深刻印象的文件。提高你的办事能力，为你的工作带来方便提高的办公效率 合于平面设计班） 设计绘画 一个绘图与排版的软件，它广泛地应用于商标设计、标志制作、模型绘制、插图描画、排版及分色输出等诸多领域。作为一个强大的绘图软件，它被喜爱的程度可用下面的事实说明：用作商业设计和美术设计的几乎都安装了 基于矢量图的软件色。它的功能可大致分为两大类：绘图与排版。 面设计有好，操作精微细致。它提供了设计者一整套的绘图工具包括圆形、矩形、多边形、方格、螺旋线，并配合塑形工具，对各种基本以作出更多的变化，如圆角矩形，弧、扇形、星形等。同时也提供了特殊笔刷如压力笔、书写笔、喷洒器等，以便充分地利用电脑处理信息量大，随机控制能力高的特点。 - 17 - 五、校园网络安全接入 （一）校园网络安全 校园网络承担着整个校园的通讯枢纽功能，连接着所有的应用服务器和数据系 统，任何网络安全问题都会扰乱学校办公、教务的正常运转，给学校带来不可弥补的损失。 目前在局域网中遇到的问题主要有以下几种： 址的管理问题，包括 址非法使用、 址冲突和 址欺骗。 利用 骗获取账号、密码、信息，甚至恶意篡改信息内容、嫁祸他人问题。 木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题。 攻击或病毒源机器的快速定位、隔离问题。 局域网上任何用户使用未经授权的 于终端用户可以自由修改 从而产生了 动后的 非法的 址即 址不在规划的局域网范围内 重复的 址与已经分配且正在局域网运行的合法的 址发生资源冲突，使合法用户无法上网 冒用合法用户的 址当合法用户不在线时，冒用其 址联网，使合法用户的权益受到侵害 无论是有意或无意地使用非法 重复的 坏网络服务器和网络设备的正常运行，甚至导致网络的不稳定，从而影响业务；拥有被非法使用的 胁网络安全；利用欺骗性的 富有侵略性的 是利用 个 为了防止非法使用 强网络安全，最常见的方法是采用静态的 而阻止非法用户在不修改 时借助交换机的端口安全即 这种方法由于要事先收 - 18 - 集所有机器的 后还要通过人工输入方法来建立 仅工作量繁重，而且也难以维护和管理。 另一个显著的问题就是带有攻击特性的 址解析协议（ 基本的功能是用来实现 样两个工作站才可以通讯，通讯发起方的工作站以 有此 附上自己的 一种无请求 域网段上的所有工作站收到主动 将发送者的 盖以前的同一 语“ 者说“ 是指利用主动 计算机就能成为某个特定局域网网段上的两台终端工作站之间 间人”了。 如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个 答包，让两台主机都“误”认为对方的样 ，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，并可以通过工具破译账号、密码、信息，另一方面，还可以恶意更改数据包中的一些信息。同时，这种 击完成后再恢复现场，所以不易发觉、事后也难以追查，被攻击者往往对此一无所知。 病毒入侵问题也是所有客户普遍关心的问题。这些病毒，可以在极短的时间内迅速感染大量系统，甚至造成网络瘫痪和信息失窃，给客户造成严重损失。木马病毒往往会利用 欺骗获取账号和密码，而蠕虫病毒也往往利用 址欺骗技术 来掩盖它们真实的源头主机。例如“局域网终结者”（ 毒，通过伪造 来欺骗网络主机，使指定的主机网络中断，严重影响到网络的运行。 最后，令网络管理员头痛的问题是如何准确定位。当出现 址被非法使用、 址冲突，或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量，为了查找这些 址的机器，一般采用如下步骤： 1. 确定出现问题的 址。 2. 查看当前网络设备的 ，从中获得网卡的 址。 3. 检查交换机的 址列表，确定机器位置 。 这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口，而对于伪造的源 址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离，将会导致严重的后果，即使在网络恢复正常后隐患依然存在。 - 19 - （二） 阻止来自网络第二层攻击的重要性 以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中，其来源 可概括为两个途径：人为实施，病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探，获取管理帐户和相关密码，在网络上中安插木马，从而进行进一步窃取机密文件。木 马、蠕虫病毒的攻击不仅仅是攻击和欺骗，同时还会带来网络流量加大、设备 用率过高、二层生成树环路、网络瘫痪等现象。 网络第二层的攻击是网络安全攻击者最容易实施，也是最不容易被发现的安全威胁，它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限，这些用户都有可能成为黑客，同时由于设计 型的时候，允许不同通信层在相互不了解情况下也能进行工作，所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击，网络安全将受到严重威胁，而且 其他层之间的通信还会继续进行，同时任何用户都不会感觉到攻击已经危及应用层的信息安全。 所以，仅仅基于认证（如 访问控制列表（ 安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意，并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。 归纳前面提到的局域网目前普遍存在的安全问题，根据这些安全威胁的特征分析，这些攻击都来自于网络的第二层，主要包括以下几种： 址泛滥攻击 务器欺骗攻击 骗 换系列的创新特性针对这类攻击提供了全面的解决方案，将发生在网络第二层的攻击阻止在通往内部网的第一入口处，主要基于下面的几个关键的技术。 - 20 - 下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术，从而防止在交换环境中的“中间人”攻击、击、 击、地址欺骗等，更具意义的是通过上 面技术的部署可以简化地址管理，直接跟踪用户 对应的交换机端口，防止 址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。 （三） 滥攻击防范方法 限制单个端口所连接 址的数目可以有效防止类似 具和 被网络用户用来产生随机源 址和随机目的 址的数据包，可以在不到 10 秒的时间内填满交换机的 。 换机的端口安全（ 动态端口安全功能可被用来阻止滥攻 击。例如交换机连接单台工作站的端口，可以限制所学 址数为 1；连接 话和工作站的端口可限制所学 址数为 3： 话、工作站和 话内的交换机。 通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法址，实现设备级的安全授权。动态端口安全则设置端口允许合法 以一定时间内所学习到的地址作为合法 址。 通过配置 以控制： 端口上最大可以通过的 址数量 端口上学习或通过哪些 址 对于超过规定数量的 理进行违背处 理 端口上学习或通过哪些 址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 到指定的 址数量，交换机关机后重新学习。目前较新的技术是 换机将学到的 换机重启后配置仍然存在。 对于超过规定数量的 理进行处理一般有三种方式（针对交换机型号会有所不同）： 口关闭。 弃非法流量，不报警。 弃非法流量，报警 - 21 - （四） 术 概述 术是 全特性，通过建立和维护 息，这些信息是指来自不信任区域的 息。通过