校园网的安全规划与设计

校园网的安全规划与设计

摘要：校园网已成为高校信息化建设的重要支撑平台，本文根据校园网实际情况，从设计目标、思想和原则入手，分析并设计了校园网方案。

关键字：校园网；规划；策略

1 引言

随着计算机网络的发展，充分利用各种信息正成为一种世界性行为,尽快尽早地建设校园网好处将是显著的和长远的。校园网已经成为高等院校走向信息化时代的必然发展趋势，使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物。校园网以信息资源为根本，硬件网络系统为物质基础，同时以网络软件系统实现系统的管理与使用，是一个具有宽带通路和交互功能的专业性局域网，应具有教学、科研、管理和通讯等四大功能。

2 校园网的现状

校园网建设中面临的问题有如下几个方面：

（1）网络管理、维护的困难

·课堂教学逐步走向网络化、学生在线学习、娱乐时间增加。

·校园网网络大、业务多、故障问题定位复杂、网络的安全性差、管理难度大。

·老师要负责日常教学还要做网络的日常维护、在学校奔波。

（2）网络业务容量及资源调配的困难

·学生发起的大量数据转移。

·网上视频点播、广播、大量的多媒体通讯，需要QoS支持。

·如何有效合理对教育网络带宽的调度和分配满足如：教育网络多媒体教学和远程教学、图书馆访问系统、大型分布式数据库系统、超性能计算资源共享/管理系统、视频会议、ePhone等等应用。

（3）网络安全、统计等运营问题

·教学、办公、生活、娱乐、用户水平高、网络资源需求广、不能全部免费、缺乏用户认证、授权、计费体系。

·学生的安全认证以IP地址为主，存在有意和无意的攻击。

·采用静态IP和PROXY服务器管理问题。

3 校园网的规划

3.1 校园网的设计原则

校园网络建设是一项大型网络工程，其设计是否合理对校园网络的未来发展和产生的效益起着极为重要的作用。因此，一般应采用“整体规划、分布实施”的方针。

在网络规划时率先考虑的有三个原则：实用性原则、开放性原则和先进性原则。

·实用性原则：网络应用和服务在整个网络建设中应置于非常重要的地位，这是因为只有应用才是网络建设的最终目的，网络基础设施是为最终应用服务的。因此，实用原则强调设计目标和设计结果能满足需求并且行之有效。

·开放性原则：校园网络应具有良好的开放性。这种开放性靠标准化实现，使用符合这些标准的计算机系统很容易进行网络互联。为此，必须制定全网统一的网络体系结构，并遵循统一的通信协议标准。开放性原则包括采用开放标准、开放技术、开放结构、开放系统组件、开放用户接口。

·先进性原则：建设校园网络，尽可能采用成熟先进的技术，使用具有时代先进水平的计算机系统和网络设备、各种网络应用软件。先进性原则包括设计思想先进、软硬件设备先进、网络结构先进、开发工具先进。在方案设计过程中，还有几项设计原则是必须考虑的，它们是：

·可靠原则：网络的运行是稳固的。

·安全原则：包括选用安全的操作系统、设置网络防火墙、网络防杀病毒、数据加密和信息工作制度的保密。

·高效原则：性能指标高，软硬件性能充分发挥。

·可扩展性：能够在规模和性能两个方向上进行扩展。

建设原则是网络规划和方案制定的方针，不同的原则侧重会产生不同的方案。每个学校应先根据自身的情况选择合适的原则来指导校园网络规划。

3.2 网络技术选择策略

目前，在传统以太网基础上又出现了许多新的网络技术，典型的有：交换式以太网、快速以太网、千兆网和ATM等。不同网络技术的采用将直接影响到校园网络的投资和性能。

3.2.1 VLAN划分

VLAN划分的模式有：基于MAC的VLAN；基于IP地址的VLAN；基于组播的VLAN。

VLAN的好处主要有三个：

(1)广播控制。通过将一个网络划分成多个VLAN（即多个广播域）。可以实现广播范围的控制，并能够有效减少广播风暴、广播碰撞问题和网络带宽资源的浪费等问题。

(2)灵活性。在学校里，由于教学人员的变更比较频繁，当把一台计算机从一个子网转移到另一个子网时，假若采用传统局域网技术的用户需要对站点的IP地址、缺省网关进行修改后才能上网；这种迁移所耗费的精力和时间相当可观的。而采用基于MAC地址VLAN技术的用户则可不作任何修改，在网上的任意位置都可上网，因为VLAN成员不是捆绑在某固定工作站上的；反过来，用户的实际位置不发生改变却变更了部门，网络管理员也可以通过改变VLAN成员的方式让用户与VLAN的逻辑关系发生改变。这意味着迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中，对于网络管理而言，可以轻松完成变更。并且减少了日常管理开销，提供了更大的配置灵活性。

(3)安全性。采用传统局域网技术的网络，只要利用一台PC装上协议分析软件，连到集线器上就可拦截该网段上的所有数据，采用基于MAC地址的VLAN技术时就不可能拦截该VLAN的数据；VLAN与VLAN间逻辑上是分开的，VLAN成员的数据包只能在同一VLAN内部传送，即使处于同一网络中，不同VLAN间也不能进行直接通信，有效的避免了广播风暴的传播；校园网中如财务管理、人事档案管理及一些不对外公开的

科研数据资料库等应用系统，网络管理员可采用VLAN技术对广播域进行逻辑划分，达到限制用户非法访问的目的，从而确保重要部门的数据安全。除非设置了监听口，信息交换就不可能存在监听和插入问题，提高了网络的安全性能；对于内网，采用基于MAC地址的VLAN技术，可有效防止IP地址盗用问题。因此，通过划分VLAN可以提高网络的安全性。

3.2.2 OSPF路由协议

OSPF是典型的链路状态型路由协议。它使用COST（开销）作为度量，根据拓扑表通过SPF算法获得以自己为根的到达目标的最优路径。它使用三张表：邻居表，拓扑表，路由表，通过这3张表，每个路由器都能独立的获得前往每个目标的路径，而不象距离矢量协议那样依靠邻居来发现路由。确保了路由的真实可靠。本方案中路由器与Internet 网之间用OSPF路由协议，来实现它们之间的通信。OSPF路由协议的主要特点有：

(1)路由器拥有整个网络的拓扑结构信息，路由收敛快速。

(2)用增量方式更新路由表，即只更新变化的路由表项，节约带宽资源。

(3)支持可变长子网掩码。

(4)支持CIDR以及路由聚合（Routing Summary）。

(5)支持路由信息验证。

3.2.3 ACL技术

ACL使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等，根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。本方案中在汇聚层交换机上运用ACL技术，来限制校园网内部各部门的数据流通，以提高校园网信息的安全性。

3.2.4 NAT技术

NAT的主要作用是为了节约全局地址的使用，多个内部地址可共享一个全局地址上网。此外，由于采用NAT的内部主机不直接使用全局地址，故在Internet不直接可见，可以在一定程度上减小被攻击的风险，增强网络的安全性。本方案中路由器上都运用了NAT技术来实现内部网络私有地址到公有地址的转换，来节省开销和增加内部用户的安全性。NAT技术能帮助解决令人头痛的IP地址紧缺的问题，而且能使得