某校园网络需求分析方案
思科系统网络技术有限公司
二零零八年十二月
一.校园网概述及分析 ......................................... 错误!未定义书签。
1.1概述 ................................................................................................... 错误!未定义书签。
1.2 校园网建设的必要性 ...................................................................... 错误!未定义书签。
1.3应用特点 ........................................................................................... 错误!未定义书签。
二、校园网络需求分析 ......................................... 错误!未定义书签。
2.1用户需求分析 ................................................................................... 错误!未定义书签。
2.2校区网络的设计目标: ...................................................................... 错误!未定义书签。
2.3系统设计指导思想 ........................................................................... 错误!未定义书签。
三、组网技术及产品选择 ..................................... 错误!未定义书签。
3.1组网技术选择 ................................................................................... 错误!未定义书签。
3.2网络产品选型 ................................................................................... 错误!未定义书签。
3.2.1稳定可靠的网络 .................................................................... 错误!未定义书签。
3.2.2高带宽 .................................................................................... 错误!未定义书签。
3.2.3易扩展的网络 ........................................................................ 错误!未定义书签。
3.2.4 QoS保证 ................................................................................ 错误!未定义书签。
3.2.5安全性 .................................................................................... 错误!未定义书签。
3.2.6容易控制管理 ........................................................................ 错误!未定义书签。
3.2.7 IP Multicast ............................................................................ 错误!未定义书签。
3.2.8符合IP发展趋势的网络 ...................................................... 错误!未定义书签。
四、校园网网络设计方案及分析 ......................... 错误!未定义书签。
4.1 网络的分层设计原则 ...................................................................... 错误!未定义书签。
4.1.1 核心层 (Core Layer) ............................................................ 错误!未定义书签。
4.1.2 分布层 (Distribution Layer)................................................. 错误!未定义书签。
4.1.3 接入层 (Access Layer) ........................................................ 错误!未定义书签。
4.2校园网方案特性分析 ....................................................................... 错误!未定义书签。
4.2.1高性能的网络设计 ................................................................ 错误!未定义书签。
4.2.2集成的用户管理功能 ............................................................ 错误!未定义书签。
4.2.3灵活的网络的可扩展性设计 ................................................ 错误!未定义书签。
4.2.4完善的QOS功能 .................................................................. 错误!未定义书签。
4.2.5可靠的网络安全设计 ............................................................ 错误!未定义书签。
4.2.6方便的网络管理和维护 ........................................................ 错误!未定义书签。
4.2.7运营级的网络高可靠性的设计 ............................................ 错误!未定义书签。
4.3系统平台和应用系统 ....................................................................... 错误!未定义书签。
4.3.1系统平台选择 ........................................................................ 错误!未定义书签。
4.3.2采用WIN2003 SERVER能建立的服务器角色 .................. 错误!未定义书签。 WEB服务器 ................................................................................... 错误!未定义书签。
五.思科公司校园网解决方案 ................................ 错误!未定义书签。
5.1 系统组成与拓扑结构 .................................................................... 错误!未定义书签。
5.2 VLAN及IP地址规划 ..................................................................... 错误!未定义书签。
六、综合布线系统 ................................................. 错误!未定义书签。
6.1 结构化布线设计的要求 ................................................................ 错误!未定义书签。
6.2系统设计原则 ................................................................................... 错误!未定义书签。
6.2.1设计原则 ................................................................................ 错误!未定义书签。
6.2.2设计目标 ................................................................................ 错误!未定义书签。
七、技术支持及售后服务 ..................................... 错误!未定义书签。
7.1 服务内容 .......................................................................................... 错误!未定义书签。
7.2 设计服务 .......................................................................................... 错误!未定义书签。
7.3 场地检查 .......................................................................................... 错误!未定义书签。
7.4 系统安装调试 .................................................................................. 错误!未定义书签。
7.5 测试和验收 ...................................................................................... 错误!未定义书签。
7.6 系统后期维护和支持 ...................................................................... 错误!未定义书签。
7.7 客户技术培训 .................................................................................. 错误!未定义书签。
7.8 设备保修与软件升级 ...................................................................... 错误!未定义书签。
第二篇:某校园网络需求分析
温州春华校园网络设计方案
某校园网络需求分析方案
思科系统网络技术有限公司
二零零八年十二月
- 1 -
温州春华校园网络设计方案
一.校园网概述及分析 ............................................................................ 4
1.1概述 ..................................................................................................................................... 4
1.2 校园网建设的必要性 ........................................................................................................ 5
1.3应用特点 ............................................................................................................................. 6
二、校园网络需求分析 ............................................................................ 6
2.1用户需求分析 ..................................................................................................................... 6
2.2校区网络的设计目标: ........................................................................................................ 7
2.3系统设计指导思想 ............................................................................................................. 8
三、组网技术及产品选择 ........................................................................ 9
3.1组网技术选择 ..................................................................................................................... 9
3.2网络产品选型 ................................................................................................................... 10
3.2.1稳定可靠的网络 .................................................................................................... 10
3.2.2高带宽 .................................................................................................................... 10
3.2.3易扩展的网络 ........................................................................................................ 11
3.2.4 QoS保证 ................................................................................................................ 11
3.2.5安全性 .................................................................................................................... 11
3.2.6容易控制管理 ........................................................................................................ 11
3.2.7 IP Multicast ............................................................................................................ 11
3.2.8符合IP发展趋势的网络 ...................................................................................... 12
四、校园网网络设计方案及分析 .......................................................... 12
4.1 网络的分层设计原则 ...................................................................................................... 12
4.1.1 核心层 (Core Layer) ............................................................................................ 12
4.1.2 分布层 (Distribution Layer)................................................................................. 13
4.1.3 接入层 (Access Layer) ........................................................................................ 13
4.2校园网方案特性分析 ....................................................................................................... 13
4.2.1高性能的网络设计 ................................................................................................ 13
4.2.2集成的用户管理功能 ............................................................................................ 14
4.2.3灵活的网络的可扩展性设计 ................................................................................ 14
4.2.4完善的QOS功能 .................................................................................................. 15
4.2.5可靠的网络安全设计 ............................................................................................ 15
4.2.6方便的网络管理和维护 ........................................................................................ 16
4.2.7运营级的网络高可靠性的设计 ............................................................................ 16
4.3系统平台和应用系统 ....................................................................................................... 17
4.3.1系统平台选择 ........................................................................................................ 17
4.3.2采用WIN2003 SERVER能建立的服务器角色 .................................................. 17 WEB服务器 ................................................................................... 错误!未定义书签。
- 2 -
温州春华校园网络设计方案
五.思科公司校园网解决方案 ................................................................. 17
5.1 系统组成与拓扑结构 .................................................................................................... 17
5.2 VLAN及IP地址规划 ..................................................................................................... 20
六、综合布线系统 .................................................................................. 37
6.1 结构化布线设计的要求 ................................................................................................ 37
6.2系统设计原则 ................................................................................................................... 37
6.2.1设计原则 ................................................................................................................ 37
6.2.2设计目标 ................................................................................................................ 38
七、技术支持及售后服务 ...................................................................... 38
7.1 服务内容 .......................................................................................................................... 38
7.2 设计服务 .......................................................................................................................... 39
7.3 场地检查 .......................................................................................................................... 39
7.4 系统安装调试 .................................................................................................................. 39
7.5 测试和验收 ...................................................................................................................... 40
7.6 系统后期维护和支持 ...................................................................................................... 40
7.7 客户技术培训 .................................................................................................................. 41
7.8 设备保修与软件升级 ...................................................................................................... 41
- 3 -
温州春华校园网络设计方案
校园网系统方案
一.校园网概述及分析
1.1概述
中国教育科研计算机网(CERNET)于19xx年正式启动以来,已与国内几百所学校相连。为广大师生及科研人员提供了一个全新的网络环境。19xx年10月,中国教育科研网(CERNET)二期工程正式启动,工程计划到20xx年二期工程完成时,除达到连接1000所大学的目标外,对有条件的中小学也提供接入上网服务。的确,随着信息技术的飞速发展,中小学校园网的建设已经逐渐提到议事日程上来。但是我国目前大多数校园网上的应用还不丰富,与学校原有一些计算机业务系统还没有充分发挥,应用水平的低下是对校园网资源的极大浪费。只有提高校园网上的应用水平,才能切实提高学校各项业务水平,适应信息时代的要求。因而,如何利用当前先进的计算机技术与校园网资源,实现学校各项业务系统的集成,提高应用水平将是学校校园网建设的下一个工作重点。
当前由于网络、数据库及与之相关的应用技术不断发展,尤其国际互联网(Internet)和内部网(Intranet)技术的广泛应用,世界正在迈入网络中心计算(NetworkCentricComputing)时代。人们传统的交互和工作模式正在改变。处在不同地理位置的人们可以共享数据,使用群件技术(GroupWare)进而能够协同工作;多媒体数据的存储、传输、应用技术的不断成熟;以上这些计算机技术的发展对学校传统的计算机业务系统产生影响,使用户能更方便。更直观的使用系统,也使系统的性能更完善、功能更强大。
校园网建设的目标简而言之是将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。
建设校园网对每个学校来说都不是一件容易的事情,都要经过周密的论证、谨慎的决策和紧张的施工。当一堆设备变成网络的时候,大部分学校的满腔热情也慢慢地冷却凝固。校园网建成了,各种问题也不断涌现:设计目标根本无法实现,没有合适的应用软件,许多设想根本无法实施,后续的维护费用不堪承受等等。
- 4 -
温州春华校园网络设计方案
1.2 校园网建设的必要性
是否在学校采用最先进的信息和传播技术是一个有决定性意义的问题,而且十分重要的是,学校应该处于影响整个社会深刻变革的中心地位。
随着计算机多媒体和网络技术的不断发展与普及,校园网信息系统的建设,是非常必要的,也是可行的。主要表现在:
1)、当前校园网信息系统已经发展到了与校际互联、国际互联、静态资源共享、动态信息发布、远程教学和协作工作的阶段,发展对学校教育现代化的建设提出了越来越高的要求。
2)、教育信息量的不断增多,使各级各类学校、家庭和教育管理部门对教育信息计算机管理和教育信息服务的要求越来越强烈。个人是否具有获得信息和处理信息的能力对于能否成功进入职业界和融入社会及文化环境都是个决定性的因素,因此学校应该培养所有学生具有驾驭和掌握这种技术的能力。另一方面,信息技术在作为青少年教育工具的同时也向青少年提供了前所未有的机会。新技术提供的机会以及它们在教学方面具有的优势都是很多的,特别是计算机和多媒体系统的使用有助于个人化的道路,每个学生在个人的学习道路上都可以按照自己的速度发展。
3)、我国各级教育研究部门、软件开发单位、教学设备供应商和各级学校不断开发提供了各种在网络上运行的软件及多媒体系统,并且越来越形象化、实用化,迫切需要网络环境。
4)、现代教育改革的需要。在校园网中将计算机引入教学各个环节,从而引起了教学方法,教学手段,教学工具的重大革新。对提高教学质量,推动我国教育现代化的发展起着不可估量的作用。网络又为学校的管理者和老师提供了获取资源、协同工作的有效途径。毫无疑问,校园网是学校提高管理水平、工作效率、改善教学质量的有力手段,是解决信息时代教育问题的基本工具。
5)、随着经济发展,我国各级政府对教育的投入不断加大;计算机技术的飞速发展,使相应产品价格不断下降;同时人们的认识水平和经济实力不断提高。大量计算机进入学校和家庭,使得计算机用于教育信息管理和信息服务是完全可行的。
- 5 -
温州春华校园网络设计方案
1.3应用特点
随着现代化教学活动的开展和与国内外教学机构交往的增多,对通过
Internet/Intranet网络进行信息交流的需求越来越迫切,为促进教学、方便管理和进一步发挥学生的创造力,校园网络建设成为现代教育机构的必然选择。校园网大都属于中小型系统,以园区局域网为主,一个基本的校园网具有以下的特点: 高速的局域网连接------校园网的核心为面向校园内部师生的网络,因此园区局域网是该系统的建设重点,由于参与网络应用的师生数量众多,而且信息中包含大量多媒体信息,故大容量、高速率的数据传输是网络的一项基本要求; 信息结构多样化------校园网应用分为电子教学(多媒体教室、电子图书馆等)、办公管理和远程通讯(远程教学、互联网接入)三大部分内容:电子教学包含大量多媒体信息,办公管理以数据库为主,远程通讯则多为WWW方式,因此数据成分复杂,不同类型数据对网络传输有不同的质量需求;
安全可靠------校园网中同样有大量关于教学和档案管理的重要数据,不论是被损坏、丢失还是被窃取,都将带来极大的损失;
操作方便,易于管理------校园网面向不同知识层次的教师、学生和办公人员,应用和管理应简便易行,界面友好,不宜太过专业化;
经济实用------学校对网络建设的投入有限,因此要求建成的网络应经济实用,具备很高的性能价格比。
二、校园网络需求分析
2.1用户需求分析
设计一个网络,首先要为用户分析目前面临的主要问题,确定用户对网络的真正需求,并在结合未来可能的发展要求的基础上选择、设计合适的网络结构和网络技术,提供用户满意的高质服务。
- 6 -
温州春华校园网络设计方案
网络在日常教学办公环境中起着至关重要的作用,校园网的运作模式会带来大量动态的www应用数据传输,会有相当一部分应用的主服务器有高速接入网络的需求(目前为100/1000Mbps,今后可会更高)。这就要求网络有足够的主干带宽和扩展能力。同时,一些新的应用类型,如网络教学、视频直播/广播等,也对网络提出了支持多点广播和宽带高速接入的要求。
除上述考虑外,还要注意到由于逻辑上业务网和管理网必须分开,所以建成后校园网应能提供多个网段的划分和隔离,并能做到灵活改变配置,以适应教学办公环境的调整和变化。
中心机房到汇聚层节点采用4兆光纤(多模)连接,汇聚层到接入层采用百兆的五类线(或者超五类)连接。通常考虑,建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入,以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。
2.2校区网络的设计目标:
校区网络建设的目标应该是:
建成后的网络能充分利用Internet、国家信息网、教育网、全国高校互联网上的各种信息,实现资源共享,能够为在此校区学习的学生提供丰富的多媒体教学手段,实现高质高效的教学目标。由此,我们认为,校园网网络是一个典型的面向未来的网络化、信息化、自动化的集娱乐、教学、办公于一体的,具备多媒体综合业务发展需求的园区网络。
系统总体设计将本着总体规划、分布实施的原则,充分体现系统的技术先进性、高度的安全可靠性,同时具有良好的开放性、可扩展性。本着为学校校区着想,合理使用建设资金,使系统经济可行。
学校网络应当实现如下功能:
● 访问互联网络
● 访问学校虚拟网络
● 校园网站建立
● 远程教育
● VOD点播
- 7 -
温州春华校园网络设计方案
● 网络安全管理
● 电子邮件和电子公告
● 计算机辅助教学
● 教师备课功能
● 对外交流
● 校园管理平台
● 信息资源库
2.3系统设计指导思想
建设校园网络,本着少花钱办大事的原则,充分利用有限的投资,在保证网络先进性的前提下,选用性能价格比最好的设备,我们认为校园网建设应该遵循以下原则:
●先进性
以先进、成熟的网络通信技术进行组网,支持数据、语音、视像等多媒体应用,用基于交换的技术替代传统的基于路由的技术。
●标准化和开放性
网络协议采用符合ISO及其他标准,如:IEEE、ITUT、ANSI等制定的协议,采用遵从国际和国家标准的网络设备。
●可靠性和可用性
选用高可靠的产品和技术,充分考虑系统在程序运行时的应变能力和容错能力,确保整个系统的安全与可靠。
●设备的兼容性
选用符合国际发展潮流的国际标准的软件技术,以便系统有可靠性强、可扩展和可升级等特点,保证今后可迅速采用计算机网络发展出现的新技术,同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。
●实用性和经济性
从实用性和经济性出发,着眼于近期目标和长期的发展,选用先进的设备,进行最佳性能组合,利用有限的投资构造一个性能最佳的网络系统。
●安全性和保密性
- 8 -
温州春华校园网络设计方案
在接入Internet的情况下,必须保证网上信息和各种应用系统的安全。 ●扩展性和升级能力
网络设计应具有良好的扩展性和升级能力,选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时,必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。
●网络的灵活性
系统的灵活性主要表现在软件配置与负载平衡等方面,配合交换机产品与路由器产品支持的最先进的虚拟网络技术,整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络,可以跨越办公室、办公楼,而无需任何硬件的改变,以适应机构的变化。同时也可以通过平衡网络的流量,以提高网络的性能。
三、组网技术及产品选择
3.1组网技术选择
在校园网校区网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过渡,保护用户的投资。
目前在局域网络上应用最广泛的技术有以太网、快速以太网、FDDI、Token Ring以及最新崛起的ATM(异步传输模式)、千兆以太网等。交换式以太网作为几年前主干网组网的主要技术,现在主要被用于工作组级组网,使网络交换到桌面工作站。
快速以太网是一种非常成熟的组网技术,造价很低,性能价格比很高,可作为资金不很充裕的中小型单位组建Intranet网的首选技术。快速以太网技术现在被广泛用于大型企业网的二级、三级网络组网或直接连至桌面工作站。
FDDI也是一种成熟的组网技术,但技术复杂、造价高,FDDI网络难以向更先进的网络技术升级,现在用FDDI组建主干网的情况已非常少见。
ATM技术成熟而复杂,组网成本高,是多媒体应用系统的理想网络平台。但是,网络带宽的实际利用率很低。
- 9 -
温州春华校园网络设计方案
在选择校园校区网络技术时应该考虑如下:
1)、长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样,网络技术的发展也是非常迅速的。从目前的趋势来看,采用快速以太网技术是最适宜的。
在校园网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择校园网网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过渡,保护用户的投资。
根据我们对校园网网络需求的分析并结合目前高速主干网络技术的特点,我公司建议采用快速以太网技术做为校园网的主干网络。
3.2网络产品选型
校区网络建设应该以应用为核心,在设计中充分考虑到教育管理和多媒体教学的要求,并且网络技术上应该具有一定的先进性,同时还要为以后的扩展留有一定的空间。
为此校园校区网络网应该能达到以下要求:
3.2.1稳定可靠的网络
只有运行稳定的网络才是可靠的网络,而网络的可靠运行取决于诸多因素,如网络的设计,产品的可靠,而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。
3.2.2高带宽
由于校园校区网络网络应用的特殊性,它对整个网络系统的性能要求相对来说比较高。其中,网络速率要求主要的信息点100M交换到桌面,园区网中各终端间具有快速交换功能。为了支持数据、话音、视像多媒体的传输能力,在技术上要到达当前的国际先进水平。要采用最先进的网络技术,以适应大量数据和多媒
- 10 -
温州春华校园网络设计方案
体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展。为此应选用高带宽的先进技术。
3.2.3易扩展的网络
系统要有可扩展性和可升级性。易扩展不仅仅指设备端口的扩展,还指网络结构的易扩展性:即只有在网络结构设计合理的情况下,新的网络节点才能方便地加入已有网络;网络协议的易扩展:无论是选择第三层网络路由协议,还是规划第二层虚拟网的划分,都应注意其扩展能力。对于核心网络设备,要求骨干交换机具备第三层交换能力,要求支持今后的视频点播、电视电话会议的宽带多媒体应用,并要求留有一定的扩充能力。
3.2.4 QoS保证
随着网络中多媒体的应用越来越多,这类应用对服务质量的要求较高,本网络系统应能保证QoS,以支持这类应用。
3.2.5安全性
网络系统应具有良好的安全性,由于网络连接园区内部所有用户,安全管理十分重要。网络具有防止及便于捕杀病毒功能。应支持VLAN的划分,并能在VLAN之间进行第三层交换时进行有效的安全控制,以保证系统的安全性。校区网络与校园网相连后具有“防火墙”过滤功能,以防止网络黑客入侵网络系统。可对接入因特网的各网络用户进行权限控制。
3.2.6容易控制管理
对于网络管理,要求采用智能化网络管理软件,实现对网络的自动监测和控制。并支持虚拟网络功能,对网络用户具有分类控制功能。
3.2.7 IP Multicast
由于校园校区网络中包含许多多媒体应用通信,会存在许多的广播信息,占
- 11 -
温州春华校园网络设计方案
用大量的带宽资源。所以网络系统应能支持IP Multicast,可以减少网络中不必要的广播,节省主干的带宽。
3.2.8符合IP发展趋势的网络
在当前任何一个提供服务的网络中,对IP的支持服务是最普遍的,而IP技术本身又处在发展变化中,如IpV6,IP QoS,IP Over SONET等等新兴的技术不断出现,校园网络必须跟紧IP发展的步伐,也就是必须选择处于IP发展领导地位的网络厂商。
四、校园网网络设计方案及分析
4.1 网络的分层设计原则
从逻辑上,校园网络
可分为核心层、分布层和接
入层,每层都有其特点。层
次化设计的优点可以总结
为如下几点: 可扩展性:因为网络可模块化增长而不会遇到问题;
简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题;
设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造成影响,无需改变整个环境;
可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。
4.1.1 核心层 (Core Layer)
核心层为下两层提供优化的数据输运功能,它是一个高速的交换骨干,其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等),否则会降低数据包的交换速度。
- 12 -
温州春华校园网络设计方案
4.1.2 分布层 (Distribution Layer)
分布层提供基于统一策略的互连性,它是核心层和访问层的分界点,定义了网络的边界,对数据包进行复杂的运算。在园区网络环境中,分布层主要提供如下功能:
? 地址的聚集
? 部门和工作组的接入
? 广播域/多目传输域的定义
? Inter VLAN路由
? 任何介质的转换
? 安全控制
4.1.3 接入层 (Access Layer)
接入层的主要功能是为最终用户提供对园区网络访问的途径。本层也可以提供进一步的调整,如Access-list Filtering等。在园区网络环境中,接入层主要提供如下功能:
? 带宽共享(Shared Bandwidth)
? 交换带宽(Switched Bandwidth)
? MAC层过滤(MAC Layer Filtering(possibly))
? 微分网段(Microsegmentation)
在广域网环境中,接入层主要提供通过Frame Relay、ISDN、Leased Line连入远程节点。
4.2校园网方案特性分析
4.2.1高性能的网络设计
设备的高性能:
核心节点的交换机是整个校园网络的核心,应当采用有多层交换功能的交换机。核心交换机应采用模块化设计,有良好的扩展性能、多种接入模块;具备增强的网络传输能力,支持VLAN、RIP和OSPF协议、服务质量(QOS)、IP组播、DHCP中继和AAA认证等功能;支持通用的管理特性(SNMP),能使用流
- 13 -
温州春华校园网络设计方案
行的网管软件对它进行管理,如HP OpenView等。
会聚层交换连接核心和接入层,应当采用带VLAN和网管功能的中低档交换机。汇聚层交换机具有快速的级联核心的以太端口以及高速堆叠模块;带VLAN子网划分功能,能很好的管理接入层用户;支持IEEE802.1Q、VTP、SNMP等协议。
网络的高性能设计:
整个校园的建设可以采用全交换方式,100兆到每个接入层用户。有效的子网划分和流量控制使整个校园网络能高速、安全的运行。
4.2.2集成的用户管理功能
提供完善的用户管理机制,实现全面的用户认证、鉴权和计费(AAA)功能。用户管理引擎实现了根据用户MAC地址、VLAN ID和IP地址的绑定关系鉴别用户的合法性的功能。可根据用户的权限,实现对用户访问资源的控制。
实现基于VLANID/MAC地址、接入模块号和接入设备号的全程用户唯一标识,便于用户管理(开户、销户、欠费停机等)和网络故障维护。
4.2.3灵活的网络的可扩展性设计
网络的扩展性对网络业务的发展至关重要,它直接决定了校园网是否能够在节约成本的基础上跟上网络技术的发展和满足学校信息不断增长的需要,一个扩展性差的网络不仅为学校的投资造成了巨大的浪费,同时又无法满足学校网络业务不断发展和信息的增长的需要,为了保证网络能够不断的适应学校网络业务今后发展的不断需求,可以采用以下的措施来保证网络的扩展性。
(1)所选择的网络设备应当具有良好的扩展性。选择的网络设备最好是模块化的,便于网络的扩大和更改,其中核心交换机应具有多种模块类型,以满足各种网络类型的接入。汇聚层交换机可以采用一款可堆叠的网管型以太网交换机,半/全双工模式自适应,具有扩展槽,能使用多种可选模块。
- 14 -
温州春华校园网络设计方案
(2)所选择的设备都具有良好的软件再升级能力。我们所选择的网络设备都是可以通过软件升级来不断的满足客户的新的需求同时跟上网络技术的发展。由于网络的技术层出不穷,用户的需求也不断增加,现在是新的技术,再过一段时间就会落后了,为了保证用户的网络产品能够跟上这一节奏,而不需要更换网络设备,从而减少了用户的投资。
4.2.4完善的QOS功能
带宽控制特性
以太网是一种基于广播机制的共享型技术,任何一个位于以太网上的用户均可以向网上发送信息,在以太网的技术中没有具体带宽控制的机理。网络产品应提供对用户带宽控制的功能。带宽控制通过对每一个用户的上行带宽与下行带宽进行限制,保证对每个用户的公平性,防止在共享型网络结构中某一用户长期恶意霸占带宽而导致其他用户无法享受服务的现象。
Qos控制特性
随着IP网络规模的不断扩大,网上的实时业务量也在不断增长,同时网络上的应用类型多种多样,不同的应用对网络的需求也有所不同。IP网络中引入QoS技术,就是为了确保实时业务的通信质量,满足各种业务对网络资源的需求,使网上资源获得最佳利用,降低成本,改善对用户的服务。
4.2.5可靠的网络安全设计
安全性是网络设计要考虑的最重要的因素之一,设计中充分考虑了网络的安全性,具体体现在以下几个方面:
(1)通过VLAN的划分,限制了不同VLAN之间的互访,从而保证了不同网络之间不会发生未经授权的非法访问。
(2)在核心节点可提供基于地址的Access-list,以控制用户对于关键资源的访问。通过在汇聚和核心交换机上设置VLAN路由以及访问过滤,保证了在VLAN
- 15 -
温州春华校园网络设计方案
之间只有被允许的访问才能发生,而未经授权的访问都会被禁止。
(3)通过对上网的安全教育,提高安全意识,特别是增强计算机操作人员的密码管理意识,以防止由于操作员密码有意无意泄露给他人而造成的损失。
(4)制定严格的安全制度,包括人员审查制度、岗位定职定责制度、使用计算机的权限制度以及防病毒制度,从制度上保证网络安全性得以实现。
(5可以对所有的重要事件进行Log,这样方便网络管理员进行故障查找; (6可以对所有的Telnet以及SNMP的访问进行限制,从而最大程度地保证汇聚层系统地安全。
(7可以在接入层中通过限制MAC地址的访问提高网络安全。
4.2.6方便的网络管理和维护
(1)为了提高网络管理能力设计中所有设备最好具有网管功能,不存在光纤收发器等类似不可网管设备,提高了网络可靠性和可管理。
(2)支持通用的网络管理协议如(SNMP),方便网络的管理和维护。
(3)支持通用的的网络管理软件,如Cisco Ciscoworks、HP Open View、3Com Trensand。
4.2.7运营级的网络高可靠性的设计
可以从两方面来考虑:
关键设备的主要模块和电源的冗余备分考虑
在网络设计中所涉及的所有主要设备,均采用高可靠设计的原则。核心关键部件的冗余备份:电源冗余、主控板冗余、模块冗余等。
网络链路的冗余备分考虑
- 16 -
温州春华校园网络设计方案
4.3系统平台和应用系统
4.3.1系统平台选择
系统平台的建设主要包括:网络操作系统、桌面平台、数据库、防火墙等的选择。一般校园网络,服务器系统平台可以选择微软WINDOWS2003 SERVER操作系统的解决方案,提供域名服务、WWW服务、FTP服务、E-mail服务等。具有强大的网络功能和可二次开发性。桌面操作系统比较可以选择XP和LINUX等平台。
4.3.2采用WINdows2003 SERVER建立FTP服务器
一般来说,用户联网的首要目的就是实现信息共享,文件传输是信息共享非常重要的一个内容之一。在校园内部信息交流是非常频繁,所以有必要在网络中使用WINdows2003 SERVER架设起一个FTP服务器。
五.思科公司校园网解决方案
5.1 系统组成与拓扑结构
校园网的建设主要是为了教学应用,而多媒体辅助教学和多媒体教室是教学应用的核心,在网络建设时应考虑多媒体信息的特点,如信息量大,对时间延迟敏感等;在校园网中常会出现几十个学生执行相同操作的现象,所以要考虑并发信息的控制;学生利用网络做作业,教师要在家拨号访问学校网络,学籍管理信息在网上传输,所以也要考虑网络的安全性,防止黑客破坏网络,学生抄袭作业;校园网又是面向不同知识层次的教师、学生和办公人员的工具,它帮助我们更好地提高教学水平、办公效率和学习兴趣,所以应用和管理应简便易行,界面友好,不宜太专业化。考虑到春华学校的具体情况如性质、规模、财务等,
这是一个相对小型的校园网络,单一建筑内的网络应用,思科公司提出以下校园网解决方案:
方案特点如下:
(1)支持多媒体应用,包括多媒体教室、电子阅览室、多媒体教学;
- 17 -
温州春华校园网络设计方案
(2)高性能,全交换,满足用户需求;
(3)管理简单,浏览器方式无需专门培训;
(4)系统安全,保密性高;
(5)ADSL连接方式,按需建立连接降低链路费用。
(6)互联网接入,安全的广域网访问。
方案拓扑结构如下:
- 18 -
温州春华校园网络设计方案
由图可看出,网络设备组成为:
Catalyst 2900交换机 五台
Cisco850路由器 一台
思科公司的cisco850路由器是这一网络的核心设备,可降低拥有成本,简化远程管理,提供结合CSU/DSU、复用器、调制解调器、语音/数据网关、ISDN NT1、防火墙、VPN、加密和压缩设备的集成化网络。Catalyst2900交换机它提供了24个10/100M自适应的快速以太网端口,。这是一个全交换的网络,相对共享式集线器而言,交换机各端口拥有独占的带宽,能实现多路并行传输,不易发生冲突,能为多媒体信息提供更好的保障。
考虑到Internet接入是校园网的发展趋势,在这套解决方案中都用到了路由器来引入广域网的远程连接,这套方案中用到了思科公司的低端路由器Cisco 850,它提供了对内的10/100M局域网接口和对外的ADSL连接,通过Internet实现远程教学或教学演播等应用。传输稳定,连接迅速。在实现基本数据传递的基础上,用户可以根据自己的需要灵活选用上述网络设备中的某些性能。如:路由器和交换机的组内广播功能可为多媒体信息的传输提供更高的服务质量;而catalyst2900之间建立快速以太网通道,在全双工模式下达到400M的高速级联;此外, 850路由器兼任了防火墙--思科公司系列中、低端路由器都可以通过操作系统升级具备防火墙性能,在承担远程连接的同时实施数据包检验和过滤,防止非法用户侵入到内部局域网中--对连接到Internet这一开放网络的用户来说,安全性是网络设计中不容忽视的一项重要因素。
这套方案的好处是简便易行,成本很低,并且兼顾了教学、管理和通讯三方面应用。方案中所用到的产品都属思科公司产品中的低端设备,在实现高性价比的桌面应用的同时又做到易于配置和管理:catalyst2900属即插即用的设备,如果不添加特殊功能则不需任何配置,cisco850的设置和管理也十分方便,这样用户使用起来将得心应手,无后顾之忧。
- 19 -
温州春华校园网络设计方案
5.2 IP地址规划建议
在设计IP地址方案之前,应考虑以下几个问题:
1). 是否将网络用真实地址连入Internet。
2). 是否将网络划分为若干子网以方便网络管理。
3). 是采用静态IP地址分配还是动态IP地址分配。
4). 每个子网现在规划多少个信息点。
5). 每个子网将来会增加多少个信息点。
通过Proxy或NAT方式使私有地址能够访问公网资源
在申请的公网IP地址不能完全满足每个信息点一个的情况下,可以采用
公网地址与私网地址结合的方式。但是有时分配了私网地址的客户端也要访问Internet。针对这种情况,可以采用不同的技术使私有地址能够访问公网资源。通常可以利用代理服务 (Proxy) 和网络地址转换 (NAT) 这两项技术。
园区网分配IP地址方案 ,一个有效的IP地址规划或IP地址方案就是在地址资源的效率性和管理的方便性之间找到最佳的平衡点。 按行政隶属划分是指按信息节点的行政隶属关系将用户按校园各部门进行IP地址分配规划。由于各部门之间在地域位置上并不一定集中,但需要统一管理,因此我们建议采用行政隶属的方式划分IP地址段。 按楼宇规划在传统的网络平台上很难实现。主要是因为传统的网络平台局限于设备的地理位置,无法跨地域进行灵活规划。但现今的网络平台都支持虚拟网络 — VLAN技术。该技术避开了物理位置的缺陷,可以在逻辑上灵活组网。因此,IP网段规划可以与VLAN的划分相一致。 规划每个网段中的信息点数时,既要考虑到当前IP地址资源的充分利用性,又要预留出适当的扩展余地,因此如果采用私网地址分配IP,建议我们都采用
192.168.1.0 255.255.0.0的网络,根据具体的部门情况再分为具体的子网。 从经验角度,通常一个IP网段也是一个独立的VLAN,也就是一个独立的广播域。一个网段内的信息节点数在40 - 200个时,性能和地址资源的最佳利用性较理想,并且将来可扩充到254个。宽带接入用户接入宽带IP网的方式可以有多种形式:首先,用户利用固定IP地址接入,则无需其它的认证过程,只需将用户所连的交换机端口划入某一特点VLAN即可;其次用户通过PPP方式接入,即虚拟拨号方式,则需要一个专用的PPP终结设备终结PPP进程,通过对PPP进程的
- 20 -
温州春华校园网络设计方案
认证,可以确认用户身份;用户还可以利用DHCP获得IP地址。另外交换机可以实现专用VLAN技术,可以通过配置选择实现在同一VLAN内用户是否可以互通,进行数据交换。根据温州春华的教务和公务的情况,划分以下两个子网即可。
表1-1春华学校网络终端分布
- 21 -
温州春华校园网络设计方案
5.3校园网络安全接入
5.3.1校园网络安全
校园网络承担着整个校园的通讯枢纽功能,连接着所有的应用服务器和数据系统,任何网络安全问题都会扰乱学校办公、教务的正常运转,给学校带来不可弥补的损失。
目前在局域网中遇到的问题主要有以下几种:
? IP地址的管理问题,包括IP地址非法使用、IP地址冲突和
IP地址欺骗
? 利用ARP欺骗获取账号、密码、信息,甚至恶意篡改信息内
容、嫁祸他人问题
? 木马、蠕虫病毒攻击导致的信息失窃、网络瘫痪问题
? 攻击或病毒源机器的快速定位、隔离问题
IP的地址管理一直是长期困扰局域网安全稳定运行的首要
- 22 -
温州春华校园网络设计方案
问题。在局域网上任何用户使用未经授权的IP地址都应视为IP非法使用。由于终端用户可以自由修改IP地址,从而产生了IP地址非法使用问题。改动后的IP地址在局域网中运行时可能出现以下情况。
? 非法的IP地址即IP地址不在规划的局域网范围内
? 重复的IP地址与已经分配且正在局域网运行的合法的IP地址发生资源
冲突,使合法用户无法上网
? 冒用合法用户的IP地址当合法用户不在线时,冒用其IP地址联网,使
合法用户的权益受到侵害
无论是有意或无意地使用非法IP地址都可能会给企业带来严重的后果,如重复的IP地址会干扰、破坏网络服务器和网络设备的正常运行,甚至导致网络的不稳定,从而影响业务;拥有被非法使用的IP地址所拥有的特权,威胁网络安全;利用欺骗性的IP地址进行网络攻击,如富有侵略性的TCP SYN洪泛攻击来源于一个欺骗性的IP地址,它是利用TCP三次握手会话对服务器进行颠覆的一种攻击方式,一个IP地址欺骗攻击者可以通过手动修改地址或者运行一个实施地址欺骗的程序来假冒一个合法地址。
为了防止非法使用IP地址,增强网络安全,最常见的方法是采用静态的ARP命令捆绑IP地址和MAC地址,从而阻止非法用户在不修改MAC地址的情况下冒用IP地址进行的访问,同时借助交换机的端口安全即MAC地址绑定功能可以解决非法用户修改MAC地址以适应静态ARP表的问题。但这种方法由于要事先收集所有机器的MAC地址及相应的IP地址,然后还要通过人工输入方法来建立IP地址和MAC地址的捆绑表,不仅工作量繁重,而且也难以维护和管理。
另一个显著的问题就是带有攻击特性的ARP欺骗。地址解析协议(ARP,Address Resolution Protocol)最基本的功能是用来实现MAC地址和IP地址的绑定,这样两个工作站才可以通讯,通讯发起方的工作站以MAC广播方式发送ARP请求,拥有此IP地址的工作站给予ARP应答,并附上自己的IP和MAC地址。ARP协议同时支持一种无请求ARP功
- 23 -
温州春华校园网络设计方案
能,局域网段上的所有工作站收到主动ARP,会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前的同一IP地址和对应的MAC地址。术语“ARP欺骗”或者说“ARP中毒”就是指利用主动ARP来误导通信数据传往一个恶意计算机的黑客技术,该计算机就能成为某个特定局域网网段上的两台终端工作站之间IP会话的“中间人”了。
如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个ARP 应答包,让两台主机都“误”认为对方的MAC地址是第三方黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,并可以通过工具破译账号、密码、信息,另一方面,还可以恶意更改数据包中的一些信息。同时,这种ARP欺骗又极具隐蔽性,攻击完成后再恢复现场,所以不易发觉、事后也难以追查,被攻击者往往对此一无所知。
病毒入侵问题也是所有客户普遍关心的问题。这些病毒,可以在极短的时间内迅速感染大量系统,甚至造成网络瘫痪和信息失窃,给客户造成严重损失。木马病毒往往会利用ARP的欺骗获取账号和密码,而蠕虫病毒也往往利用IP地址欺骗技术来掩盖它们真实的源头主机。例如―局域网终结者‖(Win32.Hack.Arpkill)病毒,通过伪造ARP包来欺骗网络主机,使指定的主机网络中断,严重影响到网络的运行。
最后,令网络管理员头痛的问题是如何准确定位。当出现IP地址被非法使用、IP地址冲突,或网络出现异常流量包括由于网络扫描、病毒感染和网络攻击产生的流量,为了查找这些IP地址的机器,一般采用如下步骤:
1. 确定出现问题的IP地址。
2. 查看当前网络设备的ARP表,从中获得网卡的MAC地址。
3. 检查交换机的MAC地址列表,确定机器位置。
这个过程往往要花费大量的时间才能够定位机器具体连接的物理端口,而
- 24 -
温州春华校园网络设计方案
对于伪造的源IP地址要查出是从哪台机器产生的就更加困难了。如果不能及时对故障源准确地定位、迅速地隔离,将会导致严重的后果,即使在网络恢复正常后隐患依然存在。
5.3.2 阻止来自网络第二层攻击的重要性
以上所提到的攻击和欺骗行为主要来自网络的第二层。在网络实际环境中,其来源可概括为两个途径:人为实施,病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。木马、蠕虫病毒的攻击不仅仅是攻击和欺骗,同时还会带来网络流量加大、设备CPU利用率过高、二层生成树环路、网络瘫痪等现象。
网络第二层的攻击是网络安全攻击者最容易实施,也是最不容易被发现的安全威胁,它的目标是让网络失效或者通过获取诸如密码这样的敏感信息而危及网络用户的安全。因为任何一个合法用户都能获取一个以太网端口的访问权限,这些用户都有可能成为黑客,同时由于设计OSI模型的时候,允许不同通信层在相互不了解情况下也能进行工作,所以第二层的安全就变得至关重要。如果这一层受到黑客的攻击,网络安全将受到严重威胁,而且其他层之间的通信还会继续进行,同时任何用户都不会感觉到攻击已经危及应用层的信息安全。
所以,仅仅基于认证(如IEEE 802.1x)和访问控制列表(ACL,Access Control Lists)的安全措施是无法防止本文中提到的来自网络第二层的安全攻击。一个经过认证的用户仍然可以有恶意,并可以很容易地执行本文提到的所有攻击。目前这类攻击和欺骗工具已经非常成熟和易用。
归纳前面提到的局域网目前普遍存在的安全问题,根据这些安全威胁的特征分析,这些攻击都来自于网络的第二层,主要包括以下几种:
? MAC地址泛滥攻击
? DHCP服务器欺骗攻击
- 25 -
温州春华校园网络设计方案
? ARP欺骗
Cisco Catalyst交换系列的创新特性针对这类攻击提供了全面的解决方案,将发生在网络第二层的攻击阻止在通往内部网的第一入口处,主要基于下面的几个关键的技术。
? Port Security
? DHCP Snooping
? Dynamic ARP Inspection (DAI)
下面主要针对目前这些非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而防止在交换环境中的“中间人”攻击、MAC/CAM攻击、DHCP攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户IP和对应的交换机端口,防止IP地址冲突。同时对于大多数具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。
5.3.3 MAC泛滥攻击的原理和危害
交换机主动学习客户端的MAC地址,并建立和维护端口和MAC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAM表。CAM表的大小是固定的,不同的交换机的CAM表大小不同。MAC/CAM攻击是指利用工具产生欺骗MAC,快速填满CAM表,交换机CAM表被填满。黑客发送大量带有随机源MAC地址的数据包,这些新MAC地址被交换机CAM学习,很快塞满MAC地址表,这时新目的MAC地址的数据包就会广播到交换机所有端口,交换机就像共享HUB一样工作,黑客可以用sniffer工具监听所有端口的流量。此类攻击不仅造成安全性的破坏,同时大量的广播包降低了交换机的性能。
当交换机的CAM表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。更为严重的是,这种攻击也会导致所有邻接的交换机CAM表被填满,流量以洪泛方式发送到所有交换机的所
- 26 -
温州春华校园网络设计方案
有含有此VLAN的接口,从而造成交换机负载过大、网络缓慢和丢包甚至瘫痪。
5.3.4 MAC泛滥攻击防范方法
限制单个端口所连接MAC地址的数目可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击,macof可被网络用户用来产生随机源MAC地址和随机目的MAC地址的数据包,可以在不到10秒的时间内填满交换机的CAM表。Cisco Catalyst交换机的端口安全(Port Security)和动态端口安全功能可被用来阻止MAC泛滥攻击。例如交换机连接单台工作站的端口,可以限制所学MAC地址数为1;连接IP电话和工作站的端口可限制所学MAC地址数为3:IP电话、工作站和IP电话内的交换机。
通过端口安全功能,网络管理员也可以静态设置每个端口所允许连接的合法MAC地址,实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目,并以一定时间内所学习到的地址作为合法MAC地址。
通过配置Port Security可以控制:
? 端口上最大可以通过的MAC地址数量
? 端口上学习或通过哪些MAC地址
? 对于超过规定数量的MAC处理进行违背处理
端口上学习或通过哪些MAC地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAC,直到指定的MAC地址数量,交换机关机后重新学习。目前较新的技术是Sticky Port Security,交换机将学到的mac地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的MAC处理进行处理一般有三种方式(针对交换机型号会有所不同):
- 27 -
温州春华校园网络设计方案
? Shutdown:端口关闭。
? Protect:丢弃非法流量,不报警。
? Restrict:丢弃非法流量,报警。
5.3.5 DHCP欺骗攻击的防范
采用DHCP管理的常见问题
采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS等网络参数,简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题,常见的有:
? DHCP server 的冒充。
? DHCP server的DOS攻击。
? 有些用户随便指定地址,造成网络地址冲突。
? 由于DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网
络上存在多台DHCP服务器将会给网络照成混乱。
? 由于不小心配置了DHCP服务器引起的网络混乱也非常常见。
黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求,直到DHCP服务器对应网段的所有地址被占用,此类攻击既可以造成DOS的破坏,也可和DHCP服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。
DHCP服务器欺诈可能是故意的,也可能是无意启动DHCP服务器功能,恶意用户发放错误的IP地址、DNS服务器信息或默认网关信息,以此来实现流量的截取。
- 28 -
温州春华校园网络设计方案
DHCP Snooping技术概述
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。 通过截取一个虚拟局域网内的DHCP信息,交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色,―DHCP监听‖功能基于动态地址分配建立了一个DHCP绑定表,并将该表存贮在交换机里。在没有DHCP的环境中,如数据中心,绑定条目可能被静态定义,每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。
基本防范
为了防止这种类型的攻击,Catalyst DHCP侦听(DHCP Snooping)功能可有效阻止此类攻击,当打开此功能,所有用户端口除非特别设置,被认为不可信任端口,不应该作出任何DHCP响应,因此欺诈DHCP响应包被交换机阻断,合法的DHCP服务器端口或上连端口应被设置为信任端口。
Catalyst DHCP侦听(DHCP Snooping)对于下边介绍的其他阻止ARP欺骗和IP/MAC地址的欺骗是必需的。
5.3.6 ARP欺骗攻击原理和处理方法
ARP欺骗攻击原理
从影响网络连接通畅的方式来看,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。
第一种ARP欺骗的原理是——截获网关数据。它通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存
- 29 -
温州春华校园网络设计方案
在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,―网络掉线了‖。
近期,一种新型的― ARP 欺骗‖木马病毒正在校园网中扩散,严重影响了校园网的正常运行。感染此木马的计算机试图通过― ARP 欺骗‖手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。ARP欺骗木马的中毒现象表现为:使用校园网时会突然掉线,过一段时间后又会恢复正常。比如客户端状态频频变红,用户频繁断网,IE浏览器频繁出错,以及一些常用软件出现故障等。如果校园网是通过身份认证上网的,会突然出现可认证,但不能上网的现象(无法ping通网关),重启机器或在MS-DOS窗口下运行命令arp -d后,又可恢复上网。ARP欺骗木马十分猖狂,危害也特别大,各大学校园网、小区网、公司网和网吧等局域网都出现了不同程度的灾情,带来了网络大面积瘫痪的严重后果。ARP欺骗木马只需成功感染一台电脑,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。
检查和处理“ ARP 欺骗”木马的方法
1 .检查本机的― ARP 欺骗‖木马染毒进程
同时按住键盘上的― CTRL ‖和― ALT ‖键再按― DEL ‖键,选择―任务管理器‖,点选―进程‖标签。察看其中是否有一个名为― MIR0.dat ‖的进程。如果有,则说明已经中毒。右键点击此进程后选择―结束进程‖。参见右图。
2 .检查网内感染― ARP 欺骗‖木马染毒的计算机
在―开始‖ - ―程序‖ - ―附件‖菜单下调出―命令提示符‖。输入并执行以下命令:
ipconfig
- 30 -
温州春华校园网络设计方案
记录网关 IP 地址,即― Default Gateway ‖对应的值,例如― 59.66.36.1 ‖。再输入并执行以下命令:
arp –a
在― Internet Address ‖下找到上步记录的网关 IP 地址,记录其对应的物理地址,即― Physical Address ‖值,例如― 00-01-e8-1f-35-54 ‖。在网络正常时这就是网关的正确物理地址,在网络受― ARP 欺骗‖木马影响而不正常时,它就是木马所在计算机的网卡物理地址。
也可以扫描本子网内的全部 IP 地址,然后再查 ARP 表。如果有一个 IP 对应的物理地址与网关的相同,那么这个 IP 地址和物理地址就是中毒计算机的 IP 地址和网卡物理地址。
3 .设置 ARP 表避免― ARP 欺骗‖木马影响的方法
本方法可在一定程度上减轻中木马的其它计算机对本机的影响。用上边介绍的方法确定正确的网关 IP 地址和网关物理地址,然后在 ―命令提示符‖窗口中输入并执行以下命令:
arp –s 网关 IP 网关物理地址
4.态ARP绑定网关
步骤一:
在能正常上网时,进入MS-DOS窗口,输入命令:arp -a,查看网关的IP对应的正确MAC地址, 并将其记录下来。
- 31 -
温州春华校园网络设计方案
注意:如果已经不能上网,则先运行一次命令arp -d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话)。一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp -a。
步骤二:
如果计算机已经有网关的正确MAC地址,在不能上网只需手工将网关IP和正确的MAC地址绑定,即可确保计算机不再被欺骗攻击。
要想手工绑定,可在MS-DOS窗口下运行以下命令:
arp -s 网关IP 网关MAC
例如:假设计算机所处网段的网关为192.168.1.1,本机地址为192.168.1.5,在计算机上运行arp -a后输出如下:
Cocuments and Settings>arp -a
Interface:192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 dynamic
其中,00-01-02-03-04-05就是网关192.168.1.1对应的MAC地址,类型是动态(dynamic)的,因此是可被改变的。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC。如果希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为
- 32 -
温州春华校园网络设计方案
以后查找该攻击的机器做准备。
手工绑定的命令为:
arp -s 192.168.1.1 00-01-02-03-04-05
绑定完,可再用arp -a查看arp缓存:
Cocuments and Settings>arp -a
Interface: 192.168.1.5 --- 0x2
Internet Address Physical Address Type
192.168.1.1 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。
但是,需要说明的是,手工绑定在计算机关机重启后就会失效,需要再次重新绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,把病毒杀掉,才算是真正解决问题。
5 .作批处理文件
在客户端做对网关的arp绑定,具体操作步骤如下:
步骤一:
查找本网段的网关地址,比如192.168.1.1,以下以此网关为例。在正常上
- 33 -
温州春华校园网络设计方案
网时,―开始→运行→cmd→确定‖,输入:arp -a,点回车,查看网关对应的Physical Address。
比如:网关192.168.1.1 对应00-01-02-03-04-05。
步骤二:
编写一个批处理文件rarp.bat,内容如下:
@echo off
arp -d
arp -s 192.168.1.1 00-01-02-03-04-05
保存为:rarp.bat。
步骤三:
运行批处理文件将这个批处理文件拖到―Windows→开始→程序→启动‖中,如果需要立即生效,请运行此文件。
注意:以上配置需要在网络正常时进行
6.使用安全工具软件
及时下载Anti ARP Sniffer软件保护本地计算机正常运行。具体使用方法可以在网上搜索。
- 34 -
温州春华校园网络设计方案
如果已有病毒计算机的MAC地址,可使用NBTSCAN等软件找出网段内与该MAC地址对应的IP,即感染病毒的计算机的IP地址,然后报告单位的网络中心对其进行查封。
或者利用单位提供的集中网络防病毒系统来统一查杀木马。另外还可以利用木马杀客等安全工具进行查杀。
7.应急方案
网络管理管理人员利用上面介绍的ARP木马检测方法在局域网的交换机上查出受感染该病毒的端口后,立即关闭中病毒的端口,通过端口查出相应的用户并通知其彻底查杀病毒。而后,做好单机防范,在其彻底查杀病毒后再开放相应的交换机端口,重新开通上网。
5.4软件应用
在客户终端上还必须要安装些应用软件来保证和维护校园办公和教务的正常进行:
1)杀毒软件
360安全卫士是国内最受欢迎免费安全软件,它拥有查杀流行木马、清理恶评及系统插件,管理应用软件,卡巴斯基杀毒,系统实时保护,修复系统漏洞等数个强劲功能,同时还提供系统全面诊断,弹出插件免疫,清理使用痕迹以及系统还原等特定辅助功能,并且提供对系统的全面诊断报告,方便用户及时定位问题所在,真正为每一位用户提供全方位系统安全保护。
2)系统备份软件
Norton Ghost是应用最广泛的克隆(复制)工具软件。它首先将已有的硬盘创建映像,随后将其自动克隆到任意数量的机器上。它可以在克隆过程中自动分区并格式化目的磁盘,而无需任何准备工作。可以说,Norton Ghost是安装、升级、维护计算机系统的最佳软件。
3)系统破密
Passware Kit 是世界著名的密码恢复工具合集,几乎可以破解当今所有文件的密码,功能强大,不论是遗忘的 Office、Windows、Zip、RAR压缩文件密码它都能帮您统统找回来!。
- 35 -
温州春华校园网络设计方案
Passware Kit V7.7 企业版包含超过 32 个密码恢复工具,支持 Excel, Access, Outlook, Word, WinZip, Windows 2000, Windows XP, Windows NT, Acrobat WordPerfect, Lotus Notes, Quicken QuickBooks ,Quattro Pro, Internet
Explorer ,Outlook Express, ACT ,1-2-3 ,Paradox 等,该版本加强了对
Windows XP/2000/NT ,QuickBooks 和 Internet Explorer 密码的恢复功能。
4)办公软件
office2003—最流行的最实用的文字处理软件的最新版本—经过多年的客户体验和反馈提供创新,您可以利用这些创新创建出外观给人留下深刻印象的文件。提高你的办事能力,为你的工作带来方便提高的办公效率
5)图形处理软件(适合于平面设计班)
CorelDraw9.0很实用的图形处理软件。
设计绘画 CorelDraw 是一个绘图与排版的软件,它广泛地应用于商标设计、标志制作、模型绘制、插图描画、排版及分色输出等诸多领域。作为一个强大的绘图软件,它被喜爱的程度可用下面的事实说明:用作商业设计和美术设计的PC机几乎都安装了CorelDraw!
CorelDraw是基于矢量图的软件色。它的功能可大致分为两大类:绘图与排版。
CorelDraw界面设计有好,操作精微细致。它提供了设计者一整套的绘图工具包括圆形、矩形、多边形、方格、螺旋线,并配合塑形工具,对各种基本以作出更多的变化,如圆角矩形,弧、扇形、星形等。同时也提供了特殊笔刷如压力笔、书写笔、喷洒器等,以便充分地利用电脑处理信息量大,随机控制能力高的特点。
为便于设计需要,CorelDraw提供了一整套的图形精确定位和变形控制方案。这给商标、标志等需要准确尺寸的设计带来极大的便利。
颜色是美术设计的视觉传达重点;CorelDraw的实色填充提供了各种模式的调色方案以及专色的应用、渐变、位图、底纹的填充,颜色变化与操作方式更是别的软件都不能及的。而CorelDraw的颜色匹管理方案让显示、打印和印刷达到颜色的一致。
CorelDraw的文字处理与图象的输出输入构成了排版功能。文字处理是迄今所有软件最为优秀的。其支持了大部分图象格式的输入与输出。几乎与其他软件可畅行无阻地交换共享文件。所以大部分与用PC机作美术设计的都直接在CorelDraw中排版,然后分色输出。
CorelDraw9.0较以前的版本增加了喷洒器等工具,更主要的是加强了pdf网络格式支持及颜色管理。对很多的功能作了深化处理使其更能适应现代美术设计的需要。
ImageReady CS是Adobe公司开发的另一款软件产品,它可以用来制作适用于网络的图像。不过到目前为止,该软件还是被作为一个单独的软件在销售,这在工作效率方面实在是一个令人头疼的瓶颈。
- 36 -
温州春华校园网络设计方案
功能
Photoshop新增加的一些功能会让每一个用户都为之而兴奋的。虽然主要是针对专业的图像制作人员而设计的,但是,我们认为,只要稍微有一点想象力,大多数的用户就能够从“层比较(Layer Comps)”这个功能中感受到它所带来的方便与乐趣。该功能能够让你定义好几组可视层,以便能够让你进行轻松的比较。另外,如果面对复杂文件,你所需要作的只是例行公事的处理,而不用关心它的具体内容是什么,那么关于层的这项功能还能够给你带来相当的方便性。Photoshop CS还集成了InDesign的字体引擎,这极大的增强了该软件的字体处理能力和质量。现在,你能够在一段曲线上填写文字了。另外,我们还非常喜欢该软件所具有的堆栈、重排,以及利用“滤镜走廊(Filter Gallery)”对格式滤镜操作进行预览的功能。
六、综合布线系统
6.1 结构化布线设计的要求
结构化布线设计应该满足以下目标
1. 满足大楼各项主要业务的需求,且兼顾未来长远发展
2. 符合当前和长远的信息传输要求
3. 布线系统设计遵从国际(ISO/IEC 11801) 标准和邮电部和建设部标准,布线系统采用国际标准建议的星型拓扑结构
4. 布线系统将支持语音、数据等综合信息(如 ADSL、B-ISDN 、ATM 等)的高质量传输,并适应各种不同类型不同厂商的电脑及网络产品
5. 布线系统的信息出口采用国际标准的RJ45插座,以同一的线路规格和设备接口,使任意信息点都能接插不同类型的终端设备,如电脑、打印机、网络终端、电话机、传真机等,以支持话音、数据、图象等数据信息和多媒体信息的传输
6. 布线系统符合综合业务数据网ISDN的要求,以便与国内国际其它网络互连。
6.2系统设计原则
6.2.1设计原则
1. 设计标准:
a) ISO 11801国际综合布线标准
- 37 -
温州春华校园网络设计方案
b) IEEE 802标准
c) EIA/TIA 568工业标准及国际商务建筑布线标准
2. 安装与设计规范
a) 建筑与建筑群综合布线系统工程设计规范CECS 72:97
b) 建筑与建筑群综合布线工程施工及验收规范CECS 89:97
c) 中国建筑电气设计规范
d) 工业企业通信设计规范
6.2.2设计目标
实用性-------实施后的布线系统,将能够在现在和将来适应技术的发展,并且实现数据通信、语音通信、图像通信。
灵活性-------布线系统能够满足灵活应用的要求,即任一信息点能够连接不同类型的设计,如计算机、打印机、终端或电话、传真机。
模块化-------布线系统中,除去敷设在建筑内的缆线外,其余所有的接插件都应是积木式的标准件,以方便管理和使用。
扩充性-------由于所有基础设施(材料、部件、通信设备)都采用国际标准,无论计算机设备、通信设备、控制设备随技术如何发展,将来都可很方便地将这些设备扩充到系统中去。
经济性-------在满足应用要求的基础上,尽可能低造价。
七、技术支持及售后服务
思科公司长期以来一直致力于提供高质量、完善的支持服务,以确保用户的成功,其目的是通过公司提供的完备的支持服务,使得用户可以集中力量投入到自己的业务应用中去。
7.1 服务内容
公司提供全面周到的服务,包括:
系统设计
安装调试
客户培训
- 38 -
温州春华校园网络设计方案
售后服务
支持设备保修
公司提供通常的网络设计、安装、维护支持外,还提供更高层的咨询服务等,以帮助用户排忧解难。
7.2 设计服务
我们将提供全套设计方案,包括布线、网络结构拓扑设计、系统产品介绍、系统方案报价、技术咨询等。可根据用户需求随时进行项目的修改。
我们的计算机网络布线集成设计将为您分析网络需求及发展方向,帮助用户设计出具有最佳性能价格比的网络系统方案。主要包括以下方面:
用户主机需求分析
用户网络需求分析
网络系统设计方案
产品报价
技术咨询
7.3 场地检查
系统安装之前,将派人进行用户现场检查,对电源、地线、散热、温度和湿度及静电、防尘等设备和环境进行测试、勘察,以确认使否满足设备工作条件要求。
7.4 系统安装调试
在确认布线系统通过、网络安装条件成熟时,本公司工程师将进入现场安装调试系统设备。主要包括:
提供机房的电源与环境指标要求
检查用户机房是否符合主机网络系统的安装调试
计算机系统现场安装调试
中央交换机安装、配置、调试
路由器安装、配置、调试
网上节点的通讯测试
异种机之间的网络连接和测试
- 39 -
温州春华校园网络设计方案
完整的网络文件档案和技术文档
7.5 测试和验收
严格按照有关技术标准和规范,以合同为依据,公司将配合和接受用户组织的全面100%严格测试,在系统正常工作后三个月内全力配合用户完成系统的考核与工程验收。在系统保修期内每季度执行一次系统例行检验。
7.6 系统后期维护和支持
针对已签合同,公司将根据用户具体问题提供详细而周密的技术服务,以确保用户的问题得到及时有效的解决,技术服务形式如下:
电话咨询
广电应确信免费提供每周5天/每天8小时不间断的电话支持服务,解答用户在系统使用、维护过程中遇到的问题,及时提出解决问题的建议和操作方法;
远程在线诊断和故障排除
在保修期内,对于电话咨询无法解决的问题,工程师经用户授权可通过电话线或Internet远程登录到用户网络系统进行免费的故障诊断和排除;
现场响应
在保修期内,自收到用户书面的服务请求起48小时内,若以上两种服务形式仍不能解决问题,可派工程师赴现场进行免费的故障处理。
和约服务
若用户需要以上三种服务承诺之外的其他服务,可根据用户具体要求经双方协商签订服务和约,工程师将按照约定向客户提供服务;
预防性维护服务
就是一种典型的和约服务,即由用户委托本公司定期地进行现场视察,了解系统运行状况,及时防止系统运行的隐患,并使系统保持高效、合理的运行状态,从而保证用户能够安全、可靠地使用系统。
原厂商服务
用户可通过本公司或直接向原厂商购买收费服务。由于在技术资料、手段和备件供应方面的优势,原厂商可以向用户提供更加可靠的服务保障。
- 40 -
温州春华校园网络设计方案
7.7 客户技术培训
为了使客户具备基本的网络后期维护的专业知识,从而在对计算机系统的投资中获得最大效益,本公司负责想用户提供网络维护培训,由具有高度专业技术知识的网络工程师进行讲授。培训内容包括:
网络管理软件调试
配置及软件调试
系统操作
安装维护
7.8 设备保修与软件升级
本公司将以合同为依据,以原厂商规定的服务承诺为基础,对所售出的产品和承担的工程承诺相应的免费保修。保修期内,公司负责维修和备件的免费更换。保修期外,将继续承诺收费服务。在系统软件保证期内及保证期后两年内,将免费为系统软件进行升级修正。
- 41 -