局域网技术与设计分析(共8篇)
1.局域网技术与设计分析 篇一
网 络 工 程 期 末 综 合 报 告
课程名称:
计算机网络工程
题 目:基于三层交换和虚拟局域网技术的校园网的设计与实现 学 院:
信息工程与自动化学院
第 1 页 / 共 29 页
前 言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,校园网的建设越来越受到各大校园的重视。校园网络的建设在全国各大校园中掀起一股热潮,许多学校都建起了自己的校园网。在校园网的建设中,应用三层交换技术作为局域网搭建方式已经成为了一种普遍流行的方式。基于三层交换的虚拟局域网技术主要采用VLAN技术对网段进行划分,可以满足校园网络应用中不同方式的网络访问与应用。其对复杂的数据和不同类型的数据都具有良好的网络传输效能。
校园网是利用Internet 技术把一个学校内的信息资源全部链接起来,使全校师生员工能共享和传递校园网络上的各种信息资源,同时又能通过通信线路与外部的Internet网络相互连接。校园网是学校教育资源的重要组成部分,已成为现代高等学校不可或缺的重要基础设施和基础条件。校园网建设为高校利用网络化、信息化手段提高教学质量、促进研究型自主学习提供了更为广阔、自由的教学与科研空间,从而推动了教育教学的整体变革。
一个学校有了自己的校园网,一方面学校的老师和学生足不出校就能及时的获取外界的信息,了解到全国各地最新的动态,方便与其他地区的联系和信息的交流,有利于提高学校的科研教学水平,另一方面也能更好的管理学校,它能为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台。建设校园网对每个学校来说都不是一件容易的事情,校园网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化、信息化教学管理环境系统。
文章首先对三层交换技术进行介绍,主要介绍涉及到的 VLAN 技术和三层交换技术原理。其次根据学校局域网应用特点设计基于三层交换技术的校园虚拟局域网,对网络结构设计和VLAN 规划设计进行介绍。最后,针对基于三层交换技术和虚拟局域网技术在虚拟机上构建校园网。
关键字:校园网;三层交换技术;虚拟局域网
第 2 页 / 共 29 页
目 录 需求分析.........................................................4 1.1.1 需求业务...................................................4 1.1.2 用户需求...................................................4 1.1.3 应用需求...................................................4 1.1.4 计算平台需求...............................................7 1.1.5 网络需求用户规模及业务状况需求.............................4 1.1.6 用户的计算机及网络应用水平需求.............................5 1.1.7 应用系统和网络服务需求.....................................5 2 网络设计........................................................14 2.1 设计目标...................................错误!未定义书签。2.2 设计细节...................................错误!未定义书签。
2.2.1 网络技术选择.........................错误!未定义书签。2.2.2 网络分层设计.........................错误!未定义书签。2.2.3 IP地址分配..........................错误!未定义书签。2.2.4 广域网接入设计......................错误!未定义书签。2.2.5 网络服务设计.........................错误!未定义书签。
2.2.6 网络安全设计..................................................................................12 2.2.7 网络冗余设计..................................................................................12 系统实现........................................错误!未定义书签。
3.1设备选择的原则..............................错误!未定义书签。3.2设备选型...................................错误!未定义书签。3.3 系统部署...................................错误!未定义书签。3.4 系统调试...................................错误!未定义书签。4 网络设计方案描述................................错误!未定义书签。
4.1网络总体规划设计............................错误!未定义书签。
4.1.1核心层设计............................错误!未定义书签。4.1.2汇聚层设计............................错误!未定义书签。4.1.3接入层设计............................错误!未定义书签。4.2软件仿真部分................................................15 4.2.1 Cisco Packet Tracer仿真软件介绍......................15 4.2.2仿真拓扑图............................................19 4.2.3主要设备介绍及配置....................................20 4.2.4一些重要的配置命令....................................22 5 性能测试........................................................24 6 总结语..........................................................27 参考文献...........................................................28
第 3 页 / 共 29 页 需求分析
业务需求、用户需求、应用需求、计算平台需求、网络需求用户规模及业务状况,用户的计算机及网络应用水平、所建设网络必须要支撑的应用系统和网络服务。
1.1.1 业务需求:
校园网必须能覆盖整个校园,包括教学楼、宿舍楼、图书馆、实验楼、办公楼等等,具备通讯、管理、教学等一个学校所需要的功能。
1.1.2 用户需求:
(1)教师通过校园网不仅能及时的掌握学生的动态,与学生及时的交流,还可以方便快捷的浏览与教学相关的网页,查询网上的资源,能够及时的了解现代教育发展的现状和本学科的一些前言知识,更好的进行教学和科研工作;
(2)学生通过校园网不仅能够及时的了解学校发布的信息、新推出的政策、学校最近一段时间的活动,还可以方便的与他人进行交流,从网上查询一些学习资料,通过网络进行网上学习,视频学习等,及时的了解教育方面前沿的信息,扩充自己的知识面,开阔视野;
(3)学校的管理人员通过校园网可以方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享。
1.1.3 应用需求:
(1)校园网应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。
(2)主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能。
1.1.4 计算平台需求:
具有先进性、成熟性和标准性的计算机,对操作系统没有要求,支持IPV4即可。
1.1.5 网络需求用户规模及业务状况需求:
考虑到校园网的用户数量,出口的速率必须在100Mbps以上,且应实现负载均衡和备份。负载均衡是指当一个出口过于拥挤时应将流量适当分流到另一个出口,备份是指当一个出口出现问题时应切换到另一个出口,只有这样才能保证可靠性、稳定性和高性能。
第 4 页 / 共 29 页
1.1.6 用户的计算机及网络应用水平需求:
校园网内部拥有大量计算机和用户,由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生的好奇心和求知欲较强,所以加强内网安全也不容忽视。内网安全应主要防范内部对服务器和网络设备的攻击、病毒在内网的传播以及内部网络管理制度上的漏洞。
1.1.7 应用系统和网络服务需求:
(1)校园网需连接到Internet,而Internet作为一种开放的、标准的技术,面向所有用户,所有资源均通过网络共享,需使用的TCP/IP协议以及网页、E_mail等方式。
应用系统的建设主要包括:
(2)公共数据存储:提供校内用户的公共存储使用,利用FTP等,目前的许多大学,新生入校交纳一定的费用就可以获得一个上网账户。大大丰富了学生使用网络的内容,也丰富了校园网上的资源;
(3)网站系统:包括学校主页,及各系部、科室的网站,对于其中的一些访问量较大的网站还应启用域名系统;
(4)一卡通系统:通过校园网实现食堂、超市、浴室、银行等的连接;
(5)教务管理系统:实现学籍管理、课程管理、成绩管理等功能;(6)数字化教学资源系统:实现数字化课程和课件,在课堂上老师可通过点播技术 或组播技术播放课件,学生也可在课后点播相应的课程自我学习;
(7)数字化图书馆:实现图书检索、电子阅览室、电子论文库等功能;
(8)办公自动化系统:实现网上公文流转、信息公布等功能。
在进行校园网设计时必须考虑到将来应用系统的建设以及应用系统的功能扩展。在安装服务器的地点应留有接口和较宽的带宽,同时还应允许在校外访问部分服务器。
第 5 页 / 共 29 页 网络设计
网络技术选择(主要包括物理层传输介质的选择,局域网技术选择)、网络分层设计、IP地址分配、广域网接入设计、网络服务设计、网络安全设计、网络冗余设计
2.1设计目标
(1)最基本的目标是:
①建设校园网络中心,并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、实验室、教学楼、办公楼、学生宿舍楼、图书馆等的校园网,使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯等基本功能
②构建普通学校校内Internet环境,并通过代理服务器接入Internet,实现与Internet 交流,实现广泛的软件、硬件资源共享,如网上冲浪、电子邮件、文件传输、远程登录、存储数据及论坛讨论等。
(2)校园网系统高可靠性
在考虑现有网络的基础上,整个业务网网络结构的拓扑结构尽量采用稳定可靠的结构形式,以保证整个网络的高可靠性。网络设备和整个网络系统必须具备高可靠性特征。
(3)校园网系统高稳定性
其中核心交换机采用高性能,为整个校园网提供真正的高速无阻塞的传输,保证全线速交换;不仅硬件实现三层路由和交换,关键功能均通过硬件实现,极大程度上提高了数据处理能力;而管理交换引擎、电源等关键部件的冗余,实现了系统高稳定性和可靠性。
(4)校园网系统可扩展性
网络系统应以开放性为基础,具有广泛的适应性和可扩充性, 作为一个骨干
第 6 页 / 共 29 页
网的核心,下面的一些新的应用将不断增加,系统的容量也将随之扩展,因此方案应具有良好的可扩充性适应系统不断增长的需求。
(5)校园网系统可维护性
整个业务网必须具备良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。
2.2设计细节 2.2.1 网络技术选择
1三层交换技术: ○在计算机数量众多的局域网络中,为了提高网络安全性和通信效率必须划分VLAN,而不同VLAN间的通信只有通过路由设备才能实现。
如果使用传统路由器作为VLAN间的路由设备,将由于其吞吐量太小而很难适应大规模、高速率网络传输的需要,这无疑将成为快速以太网或千兆以太网网络传输的瓶颈。于是,专门用于解决VLAN间通信的、集第三层转发与第二层交换于一身的第三层交换技术产生了。第三层交换技术实际上是使用了集成电路的路由器,但比传统的路由器提供了更高的速度和更低的成本,也比传统的路由器更易于管理。正因为第三层交换技术集成了路由器的功能,所以第三层交换机也被成为路由交换机。
2虚拟局域网(VLAN)技术: ○虚拟局域网(VLAN)技术用于在不更改网络的拓扑结构的前提下对局域网进行重组。
在以前的局域网应用中,当站与站之间的通信关系改变后,需要对网络的的物理结构进行调整,而采用虚拟局域网技术后,网管人员只需在交换机上对网络进行逻辑重构,即可使网络结构适应新的通信要求,并维持通信的高效率。
具体的讲,虚拟局域网技术是通过路由和交换设备,在网络物理拓扑的基础上建立一个逻辑网络。每个VLAN都构成一个独立的广播域,处于同一VLAN
第 7 页 / 共 29 页
中的网络用户可以不受地理位置的限制而像处于同一个VLAN上那样互相交换信息。
VLAN必须在交换网络中实现,每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发,并能将这种划分信息传递到网络中其他交换设备和路由器中。LAN交换设备在VLAN的划分及实现低延迟的报文转发方面起着重要的作用。
事实上,在网络层对网络进行互联的路由器,能够在网络层对网络进行隔离,并抑制广播数据。而VLAN则是一种不采用路由器对广播数据进行抑制的解决方案。在VLAN中,对广播数据的抑制由交换机完成。
2.2.2 网络分层设计:
本校园网主要由以下三部分构成:交换模块、广域网接入模块、服务器模块。为了简化交换网络设计、提高交换网络的可扩展性,我们采用分层的方法来设计校园网。校园网数据交换设备可以划分为三个层次:接入层、汇聚层、核心层。不同层工作在OSI模型的不同层次上。
通常将网络中直接面向用户连接或访问网络的部分称为接入层,将位于接入层和核心层之间的部分称为分布层或汇聚层。接入交换机一般用于直接连接电脑,汇聚交换机一般用于楼宇间。汇聚相当于一个局部或重要的中转站,核心相当于一个出口或总汇总。原来定义的汇聚层的目的是为了减少核心的负担,将本地数据交换机流量在本地的汇聚交换机上交换,减少核心层的工作负担,使核心层只处理到本地区域外的数据交换。核心层设计 ○设计核心层是网络建设的关键,功能是实现高性能的交换和传输。因此,核心层设备应该具有高性能的传输功能和高可靠性、可管理性以及高带宽,以达到网络的设计要求。
服务器:将选用一台小型机作为网络管理服务器,同时提供Web、E-MAIL、FTP服务。采用高性能的PC Server作为全校应用服务及信息存储的中心,包括:
第 8 页 / 共 29 页
学生信息管理子系统、教师信息管理子系统、财务管理子系统、IC卡子系统、图书馆管理子系统、多媒体网上教学系统、视频点播子系统。
中心交换机:中心交换机采用三层交换机作为校园网的主交换设备,提供划分内部虚拟网等功能,连接校园网内部各子网。它的主要工作是:提供交换区块的连接,提供到其他区块的访问,尽可能快的交换数据。核心交换机属于高端交换机,全部采用模块化的结构,可作为网络骨干构建局域网。核心层交换机可以提供用户化机制、优先级队列服务和网络安全控制,并能很快适应数据增长和改变的需要,从而满足用户的需求。对于有更多需求的网络,核心交换机不仅能够传送海量数据和控制信息,更具有硬件冗余和软件可伸缩性特点,保证网络的可靠运行。
校园网的核心层是一个数据交换枢纽,提供高速、有效地数据交换。鉴于其重要性和必要性,核心层的可用性也在设计中得到了充分的体现。核心层是一个路由域。通过在核心层配置动态路由协议,提供数据的路由和路由的迂回。
网络核心层是网络的中心,其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机,可实现高速度的交换传输,以连接服务器等核心设备;并且非常可靠,实现不间断工作。汇聚层设计 ○汇聚层主要负责汇集分散的接入点进行数据交换,提供流量控制和用户管理功能,作为校园网的业务提供层面,它是使校园网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备,也是保证校园网承载和业务安全的基本屏障,更是保障校园网安全性能的关键。
汇聚层交换机(也称汇接层或分布层交换机)提供了边界定义,并在该处对潜在的费力的数据帧操作进行处理,汇聚层交换机是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。它有如下功能:VLAN聚合、部门级或工作组接入、广播域的定义、VLAN间路由、介质转换等,汇聚层交换机被归纳为能够提供基于策略的连通性交换机。
第 9 页 / 共 29 页
汇聚层交换连接核心层和接入层,应当采用带VLAN和网管功能的中档交换机。汇聚层交换机具有快速的级联核心的以太端口以及高速堆叠模块;带VLAN子网划分功能,能很好的管理接入层用户。
○3 接入层设计
接入层,其主要功能就是实现每个合法用户的安全接入。因此,对接入层而言其关键安全要素就是用户的安全认证,管理和快速介入功能。接入层网络是纯二层交换网络,提供用户的网络接入。由于接入层设备需要部署在楼层,因此要求这些设备容易管理并且投资成本少。
在接入层根据用户类型的不同划分为不同的VLAN;在公共场合,例如:教学楼、实验室、图书馆、办公室等,部署具有接入控制功能的以太网交换机,通过对用户的身份认证及该用户在RADIUS服务器上定义的VLAN属性,划分相应的VLAN。接入层交换机是最终用户被允许接入网络节点的交换机,该层的交换机能够通过过滤或访问控制列表提供对用户流量的进一步控制,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。该层交换机的主要功能是为最终用户提供网络接入,提供共享带宽,交换带宽及第二层功能。它主要使用能够通过低成本、高端口,密度的设备来提供这些功能。
2.2.3 IP地址分配
对校园网IP 地址分配采用如下规划原则:
(1)网络系统的编址方案利用CIDR(无类型域间选路)和可变长子网掩码技术,并支持Ipv6;
(2)在整个网络环境中必须保持IP 地址的唯一性;
(3)为提高路由处理效率,实现理想的路由汇总,缩减路由表项数,尽量为同一网络分配连续地址;
第 10 页 / 共 29 页
(4)地址分配具有层次性,便于管理,局部的变动不影响网络的其他部分;(5)为了满足不断增长的 IP 地址需求,并实现与其他网络互联和内部子网互联的有效控制和管理,建议校园网采用内部保留地址,给将来的网络发展留下充分的余地;
经过一段时间的规划与分析,建立的校园网需要包括教学楼、办公楼、实验楼和图书馆四个区域内的所有计算机。我们给每个区域划分一个VLAN,教学楼是VLAN 2:17.168.2.254,办公楼属于VLAN 3:17.168.3.254,宿舍楼是VLAN 4:17.168.4.254,图书馆是VLAN 5:17.168.5.254 ;6个交换机的IP地址分别为17.168.0.1,17.168.0.3,17.168.0.4,17.168.0.5,17.168.0.6,17.168.0.7,17.168.0.8
2.2.4 广域网接入设计
采用高性能的PC Server作为全校应用服务及信息存储的中心,在拓扑图中用PC 7体现出来,PC 7的IP地址为17.168.100.1,通过路由器Router 0(17.168.0.2)接入核心交换机,广域网接入是VLAN 1:17.168.100.254。
2.2.5 网络服务设计
WEB服务器(17.168.6.1)是VLAN 6:17.168.6.254,163邮箱(17.168.7.1)是VLAN 7:17.168.7.254,FTP服务器(17.168.8.1)是VLAN 8:17.168.8.254
2.2.6 网络安全设计
作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间,在世界范围内被广泛应用的网络产品,所以在选择产品时选用国际知名厂商的产品。
当构建的校园网初具规模后,应该对校园网的整体运行情况做一下细致的测试和评估,主要的测试内容应该包括:对管理IP地址的测试;对相同VLAN内
第 11 页 / 共 29 页 的通信的测试;对不同VLAN内的通信进行测试;对冗余链路的工作状态进行测试;对各种服务器提供的服务进行访问等。
2.2.7 网络冗余设计
一些部门由于安全性和信息实时处理的需要,强调网络的高效性和安全性;另一些部门,由于物理端口可能会经常变动,要求网络配置具有较高的灵活性,而不同的VLAN划分机制又各有其优缺点,因此,应该根据实际情况考虑多种VLAN划分机制及安全策略配合使用,使整个网络性能及安全达到最优。
针对内部VLAN之间的路由瓶颈造成的网络性能问题。采用第三层交换机做为校园网核心交换机,取代传统路由器进行内部VLAN之间的路由。虚拟局域网规划中采用基于端口和基于IP子网两种方式相结合的VLAN划分方案。在设计VLAN时,尽可能地将同一工作性质的节点划分在同一VLAN内,以减少跨VLAN访问,提高网络的效率。定义VLAN后,还需在核心交换机上进行VLAN之间通信的路由配置。首先给各个VLAN配置一个相应的网关地址,然后在交换机上创建VLAN之间的静态路由表。核心交换机支持VLAN间的线速路由。从而可保证子网间信息交换的效率。
2.3设计方案
整个校园网的信息点都可接入Internet,Internet通过校园外部的路由器进入到整个校园的核心交换机上,再经核心交换机分别接入到每栋楼的交换机,校园网能够提供plex PDU(添加复杂的PDU)。(3)Realtime mode(实时模式)和Simulation mode(模拟模式)
注意到软件界面的最右下角有两个切换模式,分别是Realtime mode(实时模式)和Simulation mode(模拟模式),实时模式顾名思意即时模式,也就是说是真实模式。举个例子,两台主机通过直通双绞线连接并将他们设为同一个网段,那么A主机PingB主机时,瞬间可以完成,这就是实时模式。而模拟模式,切换到模拟模式后主机A的CMD里将不会立即显示ICMP信息,而是软件正在模拟这个瞬间的过程,以人类能够理解的方式展现出来
①有趣的Flash动画 在模拟模式时,你只需点击Auto Capture(自动捕获),那么直观、生动的Flash动画即显示了网络数据包的来龙去脉,这是该软件的一大闪光点
②单击Simulate mode会出现Event List对话框,该对话框显示当前捕获到的数据包的详细信息,包括持续时间、源设备、目的设备、协议类型和协议详细信息,非常直观!
③要了解协议的详细信息,请单击显示不用颜色的协议类型信息Info,这个功能非常强大:很详细的OSI模型信息和各层PDU。
(4)设备的管理
Packet Tracer 5.3提供了很多典型的网络设备,它们的功能不同,管理界面和使用方式也不同。在这里只介绍一下PC机和路由器这两个设备的设备管理方
第 17 页 / 共 29 页
法。
PC机:一般情况下,PC机没有CLI,它只需要在图形界面下简单地配置一下就行了。一般通过Desktop选项卡下面的IP Configuation就行实现简单的IP地址、子网、网关和DNS的配置。此外还提供了拨号、终端、命令行(只能执行一般的网络命令)、Web浏览器和无线网络功能。如果要设置PC机自动获取IP地址,可以在Config选项卡里的Global Settings设置。
路由器:选好设备,连好线后就可以直接进行配置了。然而有些设备,某路由器很多时候都要用到Serial口,但是如果只是把路由器放在图形界面中,而不做任何配置的话,它的Serial口是不能用的。这时候就需要对它进行一些必要的配置。点击一下路由器,进入其配置界面后,有Physical、config、CLI三个,在Physical中,MODULES(模块)下有许多模块,最常用的有WIC-1T和WIC-2T。在最下面的左边是该对该模块的文字描述,最下面的右边是该模块的图,在模块的右边是该路由器的图。配置前界面如下图4.3:
图4.3 路由器配置前界面
先关闭电源(路由器的配置界面上有个小绿点),点击一下,小绿点消失,第 18 页 / 共 29 页
说明电源被关闭了。然后用鼠标左键按住WIC-1T或WIC-2T不放,托到你想放的插槽中即可,添加完模块后重新打开电源,这个时候Serial口就能用了。配置后的界面如下图4.4:
图4.4 路由器配置后界面
4.2.2仿真拓扑图
经过一段时间的规划与分析,建立的校园网需要包括教学楼、办公楼、实验楼和图书馆四个区域内的所有计算机。我们给每个区域划分一个VLAN,教学楼是VLAN 2:192.168.2.254,办公楼属于VLAN 3:192.168.3.254,实验楼是VLAN 4:192.168.4.254,图书馆是VLAN 5:192.168.5.254,整体拓扑图如下图4.5:
第 19 页 / 共 29 页
图4.5 基于三层交换机的校园网构建的仿真拓扑图
4.2.3主要设备介绍及配置
在思科仿真软件中,用到的设备主要有:3560-24PS交换机(核心层交换机)、3560-24PS交换机(汇聚层交换机)、2960-24TT交换机(接入层交换机)、路由器2811、服务器Server-PT、和若干个PC机。
1、核心层、汇聚层交换机的选择—Cisco 3560—24PS交换机
Cisco 3560—24PS交换机是一个企业级独立式配线间交换机系列,支持安全融合应用的部署,并能根据网络和应用需求的发展,最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合,Cisco 3560能够支持IP电话、无线和视频等应用,提高了员工生产率。Cisco 3560系列的主要特性:
(1)Cisco 转换器模块,将上行链路从千兆以太网移植到万兆以太网
第 20 页 / 共 29 页
(2)PoE配置,为所有48个端口提供了15.4W PoE(3)模块化电源,可带外部可用备份电源
(4)在硬件中提供组播路由、IPv6路由和访问控制列表(5)带外以太网管理端口,以及RS-232控制台端口
图4.6 Cisco 3560—24PS系列交换机
Cisco 3560—24PS交换机的优点
(1)易用性:
Cisco 3560—24PS提供了大量易用特性,能方便快捷的进行配置; 如利用DHCP,由一个引导服务器对多个交换机进行自动配置,从而简化了交换机的部署。
(2)可用性和可扩展性:
Cisco 3560—24PS系列配备了一个强大的特性集,利用IP路由和能够最大限度地提高第二层网络可用性的全套生成树协议增强特性,实现了网络可扩展性和更高可用性。在标准生成树协议基础上增强的特性,大幅度延长了网络正常运行时间。
(3)高性能IP路由: 思科快速转发硬件路由架构为Cisco 3560—24PS系列交换机提供了极高的IP路由性能。基本的IP单播路由协议(静态、RIPv1和RIPv2)能够用于小型网络路由应用;先进的IP单播路由协议(OSPF、EIGRP和BGPv4)能够用于负载均衡和建设可扩展的LAN。需要IP Services特性集。
2、接入层交换机的选择—Cisco 2960—24TT交换机
在接入层方案设计采用百兆交换机,因为 10 兆虽然在目前校园网使用中刚刚能达到要求,但是已经不适应功能越来越强的计算机与新的应用软件的发展,更不适应更快的计算机通讯产品的要求。因此方案将采用Cisco 2960 —24TT交换机作为校园网工作组级接入交换机。并且我们通过 VLAN 技术,使每个教室或每个年级之间的互访得到有效的管理和控制,提高网络的安全性。
设备介绍如下:
Cisco 2960—24TT 智能以太网交换机是一个固定配置、可堆叠的独立设备
第 21 页 / 共 29 页
系列,提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco 交换产品系列,为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列,Cisco 2960—24TT在网络或城域接入边缘实现了智能服务。
Cisco 2960—24TT交换机主要的优势:
(1)在布线室配线间中实现了智能的服务质量(QoS)、限速、访问控制列表(ACL)和多播服务。
(2)在多种介质上提供了升级到千兆位以太网的强大路径。
(3)凭借内置Cisco 集群管理套件可出色地管理并轻松地配置第2-4 层服务。
(4)与Cisco 3560 系列集中汇聚交换机相结合,用于IP 路由至网络核心 主要的城域接入优势。
(5)通过高级QoS、限速、语音及多播特性提供广泛的服务。
(6)通过生成树协议改进和访问控制参数(ACP)来提供服务可用性和安全性。
(7)通过Cisco IE 2100 系列智能引擎支持和简单网络管理协议(SNMP)来实现服务管理。
4.2.4一些重要的配置命令
(1)配置核心交换机:
三层交换机要想起到核心交换机的作用,应该把与汇聚层交换机连接的端口起成trunk端口,具体配置如下:
Switch(config)#int range f0/1-2
Switch(config-if-range)#sw mode trunk
Switch(config-if-range)#sw trunk encap dot将trunk的协议改为802.1q 注:802.1q,就是dot1q是在路由器上配置的,是vlan的一种封装模式,Dot1q是一种普遍使用的标准,适用所有交换机与路由设备。而另一种模式是ISL,CISCO设备的专用协议,适用于Cisco设备。
启用核心层交换机的路由功能,配置命令如下:
Switch(config)#ip routing
第 22 页 / 共 29 页
给核心交换机配置RIP协议:
Switch(config)#router rip
Switch(config-router)#version 2
Switch(config-router)#net 192.168.0.0
Switch(config-router)#net 192.168.2.0
Switch(config-router)#net 192.168.3.0
Switch(config-router)#net 192.168.4.0
Switch(config-router)#net 192.168.5.0
Switch(config-router)#net 192.168.6.0
Switch(config-router)#net 192.168.7.0
Switch(config-router)#net 192.168.8.0
Switch(config-router)#net 192.168.100.0
Switch(config-router)#exit(2)配置汇聚层交换机
汇聚层交换机连接核心交换机和接入层交换机,它要想起到连接作用,需要把与核心层和接入层相连的端口都启用trunk端口,配置命令如下:
Switch(config)#int range f0/1-5
Switch(config-if-range)#sw mode trunk
Switch(config-if-range)#sw trunk encap dot将trunk的协议改为802.1q 汇聚层交换机也要开通路由协议、配置RIP协议,命同核心交换机。
第 23 页 / 共 29 页 性能测试
当构建的校园网初具规模后,应该对校园网的整体运行情况做一下细致的测试和评估,主要的测试内容应该包括:对管理IP地址的测试;对相同VLAN内的通信的测试;对不同VLAN内的通信进行测试;对冗余链路的工作状态进行测试;对各种服务器提供的服务进行访问等。下面进行一些简单的测试。
用PC1 分别ping PC0、PC2,命令分别是为 ping 192.168.2.1,ping 192.168.3.1,结果显示如下:
图5.1 PC1与PC0、PC2的连通结果显示
第 24 页 / 共 29 页
用PC1 ping WEB服务器,命令为:ping 192.168.6.1,结果显示如下:
图5.1 PC1与WEB的连通结果显示
第 25 页 / 共 29 页
用PC0 ping PC7,命令为ping 192.168.100.1,结果显示如下:
图5.1 PC1与PC0、PC2的连通结果显示
第 26 页 / 共 29 页
总结语
时间过的真快,转眼间,几个月的毕业设计就快结束了。在这几个月的时间里,我对于网络知识有了一个比较系统的了解,可以说,这几个月里我学到的与网络有关的知识比我大学三年的时间学到的都多。记得当时选这个题目的时候觉得这个毕业设计题目挺简单的,因为我们以前做过一个类似的,虽然比这个题目简单的多,但是我当时对自己真的很有信心。可是,真的开始做时,却有种无从下手的感觉。于是开始去图书馆查资料,上网搜资料,看了好多与校园网构建有关的知识后,已经对校园网有了一个基本的构建,于是开始着手做仿真部分。但是后面又遇到了一系列的问题,其中最令我困扰的就是PC机与核心交换机总是拼不通,于是开始查资料看看是哪里的问题,但是改了很多次,还是不通,还好最后拼通了。这次毕业设计之所以到最后才做出来一些,我总结了一下原因有如下几点:
1、开始的时候总是换方案。在开始时只要是想到了一个方案,我便用仿真软件构建拓扑图并进行配置,但是当配置完了以后发现拼不通,如果找不到出错的地方,我便继续查资料看看有没有其他的方案,就这样换了五六种方案后还是没有做出来,最后却又回到了最初想的方案,这样一来不仅浪费了很多时间,还把整体思路弄的很乱,所以都没有什么进展。
2、对基础知识掌握的不好。开始的时候有点急于求成,总是想找现有的资料,在很多配置命令都不懂的情况下就开始对拓扑图进行配置,以至于拼不同的时候都不知道是哪出了错。认识到这一点后,就从基础知识开始,慢慢的就掌握了一些比较常用的命令的含义和用法,构建校园网的思路也清晰了很多。
3、没有及时的请教别人。跟很多人交谈的时候,他们都说我们这个题目是最简单的,所以在开始做题的时候遇到不会或不懂的地方没有向别人请教,怕别人笑话。但是眼看毕业设计就要结束了,题目还没有做出来,也不在乎别人怎么看了,就问你了很多人,听他们的讲解,才知道自己错在哪了,该怎么改。这样不仅在最后的时刻做出了题目,还让自己学到了很多知识。
总之,这次毕业设计让我学会了很多,网络知识方面、为人处世方面我学到了很多,这个就不用多说了,更重要的是我知道了很多事情只有亲自去做、亲身
第 27 页 / 共 29 页
去实践才能获得意想不到的收获。
说实话,我的题目做的并不完整,老师给我们的要求是把IPV4网和IPV6网连接起来,但是我这个只有IPV4的网,所以应该说我并没有把这个题目做出来。我现在做的网络还有一个缺点,安全度不高。但是由于我的能力有限,有很多不足的地方,敬请各位老师多多指点和更正。
参考文献
[1] 马立新.局域网组建、管理与维护.北京:机械工业出版社,2010年.[2] 赵海峰.局域网组网实训.北京:电子工业出版社,2007年 [3] 陈伟.数据通信与计算机网络.武汉:武汉理工大学出版社,2004年.[4](美)Michael Salvagno、任峥、丁青等译.Cisco网络设计手册[M],北京:
第 28 页 / 共 29 页
北京电子工业出版社,2000年.[5] 刘晓辉.交换机·路由器·防火墙.电子工业出版社,2007年.[6] 石炎生.计算机网络工程实用教程.电子工业出版社,2010年.[7] 李梅.图解局域网组建与管理.机械工业出版社,2006年.[8] Thomas A.Maufer.IP 技术基础:编址和路由[M].赵军锁等译.北京:机械工业出版社,2000年.[9] 苏英如.局域网技术与组网工程.中国水利水电出版社,2005年.[10] 刘晓辉.局域网构建与实战.北京科海电子出版社,2006年.[11] Kennedy Clark, CCIE & Kevin Hamilton.CCSI.Cisco LAN Switching.American:Pearson Education, 2003.[12] 王达.局域网组建与配置技能实训[M].北京人民邮电出版社,2006年.[13] 李建民.网络设计基础[M].北京希望电子出版社,2000.[14] 李梅.局域网组建与管理.机械工业出版社,2006年.第 29 页 / 共 29 页
2.局域网技术与设计分析 篇二
1.1 无线局域网的优点
(1)灵活性和移动性。在有线网络中,网络设备的安放位置受网络位置的限制,而无线局域网在无线信号覆盖区域内的任何一个位置都可以接入网络。无线局域网另一个最大的优点在于其移动性,连接到无线局域网的用户可以移动且能同时与网络保持连接。
(2)安装方便。无线局域网可以免去或最大程度地减少网络布线的工作量,一般只要安装一个或多个接入点设备,就可建立覆盖整个区域的局域网络。
(3)易于进行网络规划和调整。对于有线网络来说,办公地点或网络拓扑的改变通常意味着重新建网。重新布线是一个昂贵、费时、浪费和琐碎的过程,无线局域网可以避免或减少以上情况的发生。
(4)易于扩展。无线局域网有多种配置方式,可以很快从只有几个用户的小型局域网扩展到上千用户的大型网络,并且能够提供节点间"漫游"等有线网络无法实现的特性。
1.2 无线局域网传输介质
目前,无线局域网采用的传输介质主要有两种,即红外线系统和无线电波。采用无线电波作为传输媒体的无线局域网又可分为扩展方式与窄带调制方式。
(1)红外线(Infrared Rays, IR)系统
红外线局域网采用小于1波长的红外线作为传输介质,最大的优点是要求视距传输,窃听困难,不受其它无线电信号干扰。但由于红外线对障碍物的透射和绕射能力很差,使得传输距离和覆盖范围都受到很大限制。
(2)扩频(Spread Spectrum, SS)局域网
(1) 扩展频谱技术简称为扩频技术,是指对发送的信息带宽进行扩展的一种技术。目前使用最多、最典型的扩频工作方式是直接序列扩频和跳频扩频方式。 (2) 窄带调制方式,数据基带信号的频谱不做任何扩展即被直接搬移到射频发射出去,窄带调制方式具有占有频带少,频带利用率高等优点。采用扩频调制的好处是增强了抗干扰能力、进行多址通信和安全保密。
1.3 无线局域网的组成结构
连接在无线局域网中的设备通常称为站,按照移动性可以把站分为三类:固定站、半移动站、移动站。无线局域网可以再普通的局域网的基础上通过无线Hub、无线接入站(AP)、无线网桥、无线(Modem)以及无线网卡等实现。
1.4 无线局域网协议标准
1) IEEE802.11是第一代无线局域网标准之一,速率最高只能达到2Mbit/s。IEEE802.11b。2)第二代无线局域网络协议标准其带宽最高可达11 Mb/s,实际的工作速度在5 Mb/s左右。IEEE802.11b使用的是开放的2.4GHz频段,不需要申请。3) IEEE802.11g的推出能够完全兼容IEEE802.11b标准且与IEEE802.11a速率。4) IEEE802.11n使用2.4GHz频段和5GHz频段,IEEE 802.11n标准的核心是MIMO (multiple-input multiple-output,多入多出)和OFDM技术,传输速度300Mbps,最高可达600Mbps,可向下兼容802.11b、802.11g。
2、蓝牙技术
2.1 蓝牙的技术发展与优势
蓝牙是一种短距无线通信的技术规范,它最初的目标是取代现有的掌上电脑、移动电话等各种数字设备上的有线电缆连接。在制定蓝牙规范之初,就建立了统一全球的目标,向全球公开发布,工作频段为全球统一开放的2.4GHz工业、科学和医学(Industrial, ScientificandMedical, ISM)频段。从目前的应用来看,由于蓝牙体积小、功率低,其应用已不局限于计算机外设,几乎可以被集成到任何数字设备之中,特别是那些对数据传输速率要求不高的移动设备和便携设备。蓝牙技术优势可归纳为如下几点:
1)开放性优势,支持的企业众多,蓝牙的支持企业几乎包括了全球各相关行业的所有著名企业。协议公开无偿使用,只要是SIG组织成员,都有权无偿使用蓝牙的新技术,无需缴纳专利费用。
2)成本优势,蓝牙能够实现低成本的原因主要体现在一下四个方面:无需基站、应用范围广。
3)便携式优势,蓝牙的便携式优势主要体现在两个方面:一是实现体积下,可以直接嵌入到小型乃至微型设备中使用;二是功耗小,可以用于电池供电的场合。这两个特点使得它非常适合用于移动设备。
4)频带优势,蓝牙工作在2.4GHz的ISM频段,全球大多数国家ISM频段的范围是2.4~2.4835GHz,使用该频段无需向各国的无线电资源管理部门申请许可证。
5)安全性优势,蓝牙技术的安全性优势体现在两个方面:一是抗干扰能力强,工作在ISM频段的无线电设备有很多种,如家用微波炉、无线局域网(WirelessLocalAreaNetwork, WLAN)和HomeRF等产品,为了很好地抵抗来自这些设备的干扰,蓝牙采用了跳频(FrequencyHopping)方式来扩展频谱(SpreadSpectrum),将2.402~2.48GHz频段分成79个频点,相邻频点间隔1MHz。蓝牙设备在某个频点发送数据之后,再跳到另一个频点发送,而频点的排列顺序则是伪随机的,每秒钟频率改变1600次,每个频率持续625μs。二是保密性好,蓝牙在其基带协议中加入了鉴权和加密措施,以此来防止任何的的窃听或破坏。
6)低辐射,蓝牙的标称输出功率为1mW,是微波炉使用功率的百万分之一,是移动电话功率的百分之一,比所有符合工业标准的无绳电话的功率都要小。
2.2 蓝牙的基本应用
根据蓝牙的显示发展状况和未来发展前景,我们将它的应用分为基本应用和创新应用两类。蓝牙的基本应用又被归纳为取消电缆、无线联网和无线上网三个方面。
1)替代电缆,主要包括电脑外设的无线连接、无线耳机、台式电脑、笔记本电脑、移动电话的无线互联、多媒体的无线传递、家电的无线互联与遥控。2)无线联网,包括基于蓝牙的局域网、无线自动接入服务。3)无线上网主要是指我们可以使用手机等设备随时随地随意的上网。
2.3 蓝牙技术对未来的影响
作为一种短距离无线通信技术,蓝牙可以将通信、个人电脑、网络、工业、自动化和家用电器等等通过语音或数据联接在一起,距离可以达到10米,甚至100米。蓝牙技术的优势就在于它使用户从纷繁复杂的连线中解放出来,商家和客户可以更简单灵活的实现同步通信,同时也更有利于在同事、朋友或办公网络中建立更快速便捷的联络。一项新技术的出现,人们对它抱的期望值往往很高,往往短期内不能令人满意,这是因为任何新技术的发展都需要有一个过程,蓝牙技术也不例外;技术标准统一,知识产权共享的优势是非常明显的,相信通过业界的共同努力,它未来的发展是不可限量的,从长远来看可能会超出人们的想象。
参考文献
[1]赵玺.一个校园无线局域网的设计与实施[d].北京:北京邮电大学优秀硕士论文, 2009:1-5.
[2]王志新, 许林英.无线局域网安全性研究[j].微处理
[3]陈健德.移动通信技术.电子工业出版社, 2004.6
[4]邵汝峰.现代通信网.北京师范大学出版集团, 2009.8
3.企业局域网管理系统的设计与分析 篇三
一、引言
局域网是将一个小型区域内的各种设备进行数据通信而连接在一起的一个计算机网络,其覆盖范围通常为方圆十几米到几千米,将所覆盖区域内的计算机或者工作站通过数据通信线路连接在一起,以便于进行资源通信和共享[1]。随着近几年来科技的不断进步和计算机网络技术的发展,基于局域网技术的企业网络管理系统为提高企业的生产和管理效率起到了重要的促进作用。在此背景下,本文对局域网组网所需硬件设备、组网方式和企业局域网管理系统的功能和设计方法进行总结和分析。
二、企业局域网管理系统硬件设计
(一)基本设备
1、交换机
以太网交换机是一种完成数据帧交换功能的设备,它应用在OSI七层模型中的数据链路层。交换机有多个端口,可以连接电脑工作站、服务器、交换机和路由器等其他设备。交换机是基于网桥技术发展来的,不同点在于交换机采用了硬件设备完成了网桥使用软件所完成的功能,例如转发过程、学习和过滤任务等。以太网交换机的主要功能是二层数据帧的交换,还有高级的三层交换机和多层交换机,能处理第三层或者更高层的数据包。
2、路由器
路由器是将两个或多个独立的网络连接起来的设备,它工作在OSI七层模型的第三层——网络层,主要的功能是路由和转发。路由器会维护一个路由表,路由表列出了到各个目的地的最优路径,当路由器接收到数据包后,根据数据包的目标地址在路由表上选择出口路径并对数据进行转发。
(二)组建局域网
1、单臂路由实现不同VLAN间的通信
单臂路由模型是指路由器和二层交换机通过一条链路连接起来,路由器在这条链路的物理接口上启用多个逻辑子接口,形成多条逻辑链路用于传输多个vlan的数据,不同vlan之间的数据交换都能到达路由器,然后由路由器进行路由转发传到对应的目标网段。这种路由模型在一些中小型企业管理系统中的应用十分广泛,但是,由于要在单一物理链路上传输多个vlan的数据,当数据过多的时候,会造成网络瓶颈,从而阻碍整个网络的通讯。
2、三层交换机实现不同VLAN间的通信
如上所述,当一个企业内部的通信流量日益增大时,单臂路由的缺点就会暴露出来,这时候可以采用三层交换机代替路由器来实现相关功能。在三层交换机上开启路由转发功能,局域网内的流量可以从三层交换机的各个端口进入并且得到三层转发,不再局限于单一物理链路上,从而提高数据转发的速度和效率。
三、企业局域网管理系统软件设计
(一)管理功能
企业局域网管理系统设计的功能主要包括以下几点:配置管理、故障管理、性能管理、安全管理[2]。
配置管理功能是局域网管理的基本功能,主要是建立一个网络资源的信息数据库,为其他管理功能提供基本的信息,具体包括局域网管理系统中的各种设备、设备工作参数以及链接关系等。
故障管理功能主要是针对局域网管理系统运行过程中出现的故障,进行故障定位,检测并隔離,最后修复故障以恢复管理系统的正常运行。
性能管理功能主要是对管理系统运行过程中的数据进行采集、统计和分析,据此评估系统的运行状况和性能参数。
安全管理功能地位十分重要,关系到局域网管理系统自身以及被管理对象、数据等信息的安全性。
(二)局域网管理系统设计方法
1、设计原则和开发环境
局域网管理系统在设计的过程中主要遵循模块化的原则。在进行实际的设计之前,需要根据实际需求情况,按照各部分功能的不同划分模块,各模块之间分工要明确,模块间接口要规范,同时还需具备一定的可扩展能力。系统开发平台可采用Microsoft Visual Studio 2013,后台数据库的开发可采用Microsoft Access数据库。
2、系统架构及模块设计
局域网管理系统的总体设计架构可采用当前技术已经非常成熟,数据通信快速,运行可靠性也较好的客户机/服务器架构(即C/S架构)[3]。按照此架构设计的管理系统可包括三个组成部分,分别为监控管理站(SS)、监控管理中心(SC)和监控单元(SU),三部分之间通过计算机网络连接,可称之为三级管理结构,如图1所示[3]。
由于局域网管理系统的功能设计采取了高效、稳定的客户机/服务器结构,因此其功能模块也主要包括俩部分,客户端程序和服务端程序。客户端的主要功能是对主机设备的运行情况进行检测,并对运行数据进行采集,然后将采集到的数据发送至服务器进行处理。而服务器端的主要任务是负责对客户机送来的数据信息进行处理和存储,并根据需要对客户端发送指令等。
四、结束语
本文主要对局域网组网所需硬件设备、组网方式和企业局域网管理系统的功能和设计方法进行总结和分析。在未来,随着科学技术日新月异的发展和进步,计算机网络在企业管理中的应用必将更加广泛,大幅度提高企业的管理效率,提高企业的效能。
参考文献
[1]李佼辉. 企业局域网组建策略的研究[D]. 东北石油大学, 2011.
[2]程琳梅. 企业局域网监控系统的设计与实现[D]. 厦门大学, 2009.
[3]李保建. 局域网综合管理系统研究与实现 [J]. 北方工业大学, 2008.
4.局域网技术与设计分析 篇四
局域网为实现办公自动化及资源共享提供了极大的便利,作为局域网的管理员,在网络的维护过程中经常是麻烦不断。怎样尽可能地减少网络的故障,以及出现常见的故障如何排除,是每一位管理员都希望做到的。在你排除故障之前,也必须确切地知道网络上到底出了什么毛病,是不能共享资源,还是找不到另一台计算机,如此等等。知道出了什么问题并能够及时识别,是成功排除故障最重要的步骤。目前的网络大多数都围绕着Intranet/Internet体系,或者是单独一个局域网。我主要针对我校的校园网为例,来说一下常见的故障现象及排除方法。
1、网络不通。连通性的问题通常涉及到网卡、跳线、信息插座、网线、HUB、Modem等设备和通信介质。这是最常见的问题,解决问题的基本原则是先软后硬,先从软件方面去考虑,对于目前流行的Windows网络,可以先安装好TCP/IP协议,指定每台计算机的IP地址,使用Ping命令,看其它的计算机是否能够Ping得通,如果不通,则证明网络连接有问题,如果通但是有时候丢失数据包的话,证明网络传输有阻塞,或者说是网络设备接触不好,需要检查网络设备。其中,任何一个设备的损坏,都会导致网络连接的中断。
2、RJ45接口是否制作好。RJ45是10BASE-T网络标准中接口形式,现在被广泛使用。其内部有8个线槽,线槽含义遵循EIA/TIA568国际标准,在10BASE-T网络中1、2线为发送线,3、6线为接收线。在双机进行连接的时候,其中的1,3,2,6线需要对调。否则也会造成网络的不通。另外,需要检查HUB或者交换机的接头是否有问题,如果某个接口有问题,可以换一个接口来测试。
3、网卡的问题。网卡作为局域网中的一个重要的连接“枢纽”,其工作状态的好坏,直接影响着局域网的工作效率。目前我校校园网中电脑使用的都是PCI的自适应网卡,或者使用100M的网卡。网卡的问题不太明显,所以在测试的时候最好是先测试网线,再测试网卡,如果网线没问题,就要查看网卡是否正常安装了驱动程序,如果没有安装驱动程序,或者驱动程序有问题,硬件有冲突,需要查看与什么硬件冲突,然后修改对应的中断号和I/O地址来避免冲突,有些网卡还需要在CMOS中进行设置。即使网卡在系统属性中的设备管理器中显示工作正常,也不能掉以轻心。
5.证券局域网三层结构分析与研究 篇五
摘要本文着重阐述了三层结构证券局域网的结构及特点,并以一个物理上完全隔离的三层结构网络为例进行了测试和分析。
关键词三层结构中间件虚网硬三层
1. 概述
证券行业是对计算机要求很高的行业,一般说来,每个证券营业部都有自己的局域网。证券交易/行情业务数据以文字为主,仅带有少量图形信息,但数据量大,更新频繁,网络要求具有很高的可靠性、数据传输率和安全性。
2. 传统的证券局域网结构
通常,传统的证券局域网一般是以交换机作为主干的二层结构星形网络。网络环境大多采用100/1000M交换以太网做主干,10/100M交换以太网到桌面的连接方式。其拓扑结构如图1所示。
图1传统的证券局域网
网络一般采用C/S(Client/Server)模式,资金和交易数据主要保存在后台的NT Server上,无盘工作站可以直接访问前台的Novell Server,但不能直接访问后台的NT Server,而后台的PC工作站则可以在许可的权限范围内直接访问NT Server。这种网络结构具有高效、易扩展等特点,但也存在一些安全性问题,主要是由于前台系统和后台系统存在物理上的连接,因而不能完全杜绝用户操作无盘工作站利用某种非法手段进入后台系统作案的可能性。且作案后一般不会留下可供追查的线索。
3. 三层结构证券局域网分析
3.1 三层结构证券局域网的产生背景
随着近年来网络技术的飞速发展和Internet的普及,证券公司所面临的被恶意或非恶意入侵机会越来越多,特别是新技术和新思路的不断涌现,对证券网络的正常运行和日常维护提出了严重的`挑战,对信息系统的安全性、可靠性的要求越来越高,三层C/S结构的证券网络就是针对上述情况而提出来的。这种网络在数据管理层和用户界面层之间增加了一层结构――中间层。这样就将整个网络的体系结构划分为三层:服务器端、中间件(构成中间层的构件)和客户端。中间件的存在,将网络分隔为完全分离的内部网和外部网,使前端用户无法看到后台数据库服务器和文件服务器 ,有效地防止了黑客的攻击。中间件在系统处理能力上采用多线程技术,大大提高了工作效率,可靠性和扩展性也较二层结构强。符合中国证监会关于证券经营机构信息系统管理的“三分离”原则,即数据与网络分离、技术与业务分离、前台与后台分离。被证券业界一致认为是今后交易系统的发展方向。
3.2三层结构证券局域网的分类
目前,三层结构证券局域网主要有两种模式,软三层结构和硬三层结构。
3.2.1软三层结构
软三层结构主要通过虚网(VLAN)来实现。它依靠用户的逻辑设定将原来物理上互连的一个局域网划分为两个(或多个)虚拟网段,划分的依据一般是交换机的物理端口(也可以是用户节点的MAC地址等)。划分的结果使得同一虚网内数据可自由通讯,而不同虚网间的数据通讯则需要通过路由来完成。这样在一定程度上加强了虚网间隔离,能有效防止外部用户入侵,提高安全性。此外,划分虚网还可以隔离广播信息,一个虚网内节点发送的广播信息不会被转发到其他虚网上去,这对于提高证券网络的运行效率是很有帮助的。其拓扑结构如图2所示。
资金服务器(Windows NT)行情服务器(NetWare)
图2利用虚网设置的三层结构证券局域网
软三层结构具有成本低、结构简单的特点。但管理、维护较复杂,需要对交换机的端口进行设置,并建立端口与内外网之间的对应关系。
3.2.2硬三层结构
硬三层结构是物理上完全隔离的三层结构,以下是某证券营业部的网络拓扑图:
资金服务器(Windows NT)交易服务器(NetWare)行情服务器
(NetWare)
外网
图3物理上完全隔离的三层结构证券局域网
相对软三层结构来说,硬三层结构管理、维护较为简单,网络划分只需在交换机一级进行,不涉及每一具体端口。但网络结构复杂、建设成本高。
图3所示网络的外网(行情系统)和内网(交易系统)在物理上是完全隔离的,外网主干交换机是Cisco Catalyst 4006,内网交换机为Cisco3548。连接到桌面的网络设备采用Cisco1924。中间件运行平台为Windows NT4.0,中间件上安装两块网卡,分别连接内网和外网,在NT中安装IPX/SPX协议(不安装TCP/IP协议,这样可以有效防止TCP/IP数据包攻击),关闭这两块网卡的内部路由功能,这样外网的用户便无法利用中间件的软件路由功能直接访问内网数据,而客户的委托成交数据则利用中间件程序转发。为进一步增加安全性,还可将这两块网卡绑定不同的协议,如连接外网的网卡只绑定IPX/SPX协议,连接内网的网卡只绑定TCP/IP协议,由于两块网卡连接的协议不同,在一定程度上增加了系统的安全。
3.2.3 网络测试
以下是我们使用著名的Sniffer软件对该营业部网络的检测概况:
(1)Dashborad
某日在外网主干交换机上对服务器网卡进行监控,结果如下:
Network
Size Distribution
Detail Errors
Packets472,573
64s19,301
CRCs0
Drops0
65-127s20,221
Runts0
Broadcasts21,275
128-255s18,763
Oversizes0
Multicasts4,015
256-511s12,418
Fragments0
Bytes618,700,250
512-1023s3,177
Jabbers&nbs
p;0
Utilization25
1024-1518s398,693
Alignments0
Errors0
Collisions0
从表中可以看出,主干交换机4006利用率为0~25%,网络中错包和冲突包、CRC错包数都是0,网络工作状态良好。
(2)Captured Data of Server NIC(Expert分析)
在4006交换机上设置sniffer端口用来监控行情服务器网卡的端口,并捕获8M数据,进行expert的分析。结果如下:
Broadcast/Multicast Storm
Threshold
40
Peak Broadcast Rate
143
Broadcast Frames
5,996
Local Frames
11,874
Remote Frames
0
First time
/7/3 10:02:24.266
Storm Duration
2m 23s 128ms
Station1 name
0036BE51000
Station1 name
0002FDCC4029
Station1 name
0004271D3040
……
Sniffer expert分析只有广播、多目广播风暴,由于证券网中的乾隆等行情揭示系统往往采用广播方式传送行情,所以出现广播风暴是正常的
(3)Delta Time(网络延时)
……
No.
Status
Source Address
Dest Address
Summary
Len
Rel. Time
Delta Time
27
1E111.1
113.
00400565890
NCP: R OK
566
0:00:06.383
0.000.423
28
113.
000021D3E63
1E111.1
NCP: C Get current size of file F=DC4F 0300
60
0:00:06.384
0.000.068
29
1E111.1
113.
0050BA72CD1
NCP: R OK
566
0:00:06.384
0.000.425
……
从表中可以看出,Delta time值较小,没有到秒一级别,说明网络延时很小,网络工作状态良好。
(4)系统日常运行统计
服务器相关运行值
测试项目
结果
CPU利用率
一般10~30%
CPU利用率分布情况
IPX RTR NCP Work to do0~15%
Interrupt5~15%
内存占用和空闲情况
Current Service processes
<50
Dirty cache buffers
<500
Current disk requests
<51
Long term cache hits
100%
Long term cache dirty hits
100%
LRU sitting time
>1 小时
Cache buffers
>
Memory blocks free
工作站上网情况
钱龙上网速度
正常
钱龙81速度
<2秒
成交回报速度
<5秒
主干交换机相关数值
与服务器、转换机相连端口错包率、冲突率
无
交换机利用率(内存、CPU)
30~50%
4. 结论
6.医院监控系统设计方案与技术分析 篇六
某医院希望通过对各重要场所的监控,提高医院内的技防现代化水平,节约人力、物力,并能为医院的行政管理提供先进的手段。因院区占地广阔,其监控区域共划分为7个部分,分别是:医技中心、门诊区、特诊区、VIP病房、办公楼、住院区及周界围墙监控;而监控系统主要通过摄像机、监视器、录像机和控制设备等,使管理人员能实时监视和录制被监视场所的图像信息。
(一)设计思路
由于医院园区较大,监控点较多,为了能及时处理事件及履行专门的保安职责,整个系统设计为二级管理模式,即1个总控制中心和5个分控制中心,级间通过网络互联,这样既减少布线,又能集成为一个统一的管理系统。
各监控区域的摄像机图像先通过同轴电缆传输到各分控制中心(保安值班室),图像接入安装在分控中心内的矩阵和DVR主机,通过DVR实现对重点出入口(部位)的图像记录、报警图像记录,及网络传输等功能;同时各分控中心矩阵和DVR主机都接入医院局域网络,矩阵的视频输出传输到总控中心,实现集中监控与管理。
此外,各分控中心监控系统通过计算机网络与门禁控制系统、周界报警、巡更系统互联,实现联动控制,以形成一个完整的安全防范体系。
(二)监控系统结构及功能设计
整个院区的监控系统由1个主控制中心和5个分控制中心组成(见图1),其功能设计及实现方法如下:
监视设计:约1500个监控点,配6台矩阵主机和36台8路嵌入式DVR主机。根据各分控中心监控点的数量分配矩阵主机和DVR主机,供分控中心值班人员进行直接监视;其中有较多监控点及且位于医院中心的控制室作为总控制中心。
视频控制:在总控制中心设置一台主控制键盘,接入医院以太网(局域网),通过网络能控制其它五个分控中心的矩阵图像切换,并可控制摄 像机图像的切换和云台/镜头,直接操作智能球的各项功能,如: 选择预置点,运行预置点扫描,调用摄像机菜单等。
图像移动侦测报警:每路图像均可设置图像移动报警、录像,通过此功能,DVR只录 制动态图像,能够节约大量硬盘空间。
录像:可以根据需要选择不同的录像模式,如:连续录像,预报警录像、传感器录像,并可选择不同的时段进行布防/撤防,录像具有浮水印功能,能防止非法修改。
网络传输:嵌入式DVR主机能透过医院综合布线网络,被接入医院局域网,网上被授权的管理人员能够调阅每台DVR图像,并且能够控制摄 像机镜头/云台,进行DVR系统的参数设置等管理工作。
三)设备选型及技术指标
各控制中心监控设备主要由以下几个部分构成:前端设备、传输线缆,以及各控制中心内的控制、显示、记录、供电等设备。
1.前端摄像机
1)楼梯口、楼内走道、办公室等
均为室内环境,物景都为反射光线,且照度均匀,因此在这些场合可选用普通型带DSP处理技术的彩色摄像机,既能节约工程造价,又能保证摄像机的图像质量。
2)出入口强逆光场合
架设于医院大楼首层大厅出入口的监控摄像机,除方向对准门口外,要求能看清进入大厅人员的面部。在这种环境中有较强的背景光,因此应选择有强逆光补偿功能的宽动态摄像机。
3)手术台
需选用配备带有可控云台及变焦镜头摄像机的智能高速球,球型摄像头可以水平方向360 度、垂直方向90度旋转,放置在手术室顶壁,摄入角度可以覆 盖整个手术室,用来对宏观活动景物的观察,可以实现远端遥控。
4)室外周界 由于监控范围广、距离远,因此亦需要选用智能高速球,以达 快速捕捉画面、能处理紧急事件的功能。并且可以将重要的 位置,设置成预置位,当紧急事件发生时,不必控制遥杆,只需按1个预置位号码,即可获得该位置图像;还可以与报警系 统实现报警联动,当紧急按钮或某个报警器发生报警时,摄像 机自动转动到该位置,捕捉该位置图像。
5)医院周界出入口、车库等
须考虑到环境光线较暗,因此在室外的摄像机选型上,要求使用超低照度彩色/黑白摄像机。
6)特殊应用场合
在某些低矮、容易遭受破坏的应用特殊场合,考虑使用少量一体化设计的防爆摄半球像机。
2.传输器材/设备
室外摄像机均安装在专用的摄像机立杆上,所有室内摄像机信号均采用75-5同轴视频电缆传输,当传输距离超过500米、且无任何补偿措施时,应采用光缆传输,光端机集中安装在指定的弱电设备间,以便于管理。3.控制中心设备
1)监视器:全部采用21英寸的纯屏彩色监视器;
2)硬盘录像机:选用嵌入式硬盘录像机,且应具有联网控制和网络图像传输功能
(四)总体效益
7.局域网技术与设计分析 篇七
1 局域网广播风暴分析
1.1 广播风暴
网络上的一个结点,它发送一个数据帧或包,被传输到由广播域定义的本地网段上的每个节点就是广播(broadcasting)。由于各种各样的原因,网络操作系统(NOS)使用了广播,TCP/IP使用广播从IP地址中解析MAC地址,还使用广播通过RIP和IGRP协议进行宣告,所以,广播是每个网络工作时的必然产物。处于同一个网络的所有设备,位于同一个广播域。也就是说,所有的广播信息会播发到网络的每一个端口,即使交换机、网桥也不能阻止广播信息的传播。因此同一时间只能有一个广播信息在网络中传送。当网络上主机数量增大时广播包会以指数级增长,占用太多带宽.降低网络效率,多到一定程度时,就会对网络上的正常信息传递产生影响,轻则造成传送信息延时,重则造成网络设备从网络上断开,甚至造成整个网络的堵塞、瘫痪,这就是广播风暴。也可以说广播风暴是由于网络拓扑的设计和连接问题,或其他原因导致广播在网段内大量复制,传播数据帧,导致网络性能下降,甚至瘫痪。
1.2 广播风暴产生的原因
1)网卡或网络设备损坏
损坏的网卡,会不停向交换机发送大量的数据包,从而产生了广播风暴。压制网线时没有做好,或者网线表面有磨损导致短路,会引起交换机的端口阻塞,当网线发生短路时,该交换机将接收到大量的不符合分装原则的包,造成交换机处理器工作繁忙,数据包来不及转发,从而导致缓冲区溢出产生丢包现象,导致广播风暴。损坏的交换机,会频繁的向与其连接的客户端发出广播信息,无形中产生了广播风暴。
2)网络环路
如果一条网线的两端同时接到同一台交换机的不同端口上,交换机发出的请求是无法得到应答的,于是就会频繁的发出请求,从而产生了广播风暴。网络环路的产生,一般是由于一条物理网络线路的两端,同时接在了一台网络设备中。在一些比较复杂的网络中,经常有多余的备用线路,如无意间连上时会构成回路。
3)网络病毒
一些诸如I-Worm/Blaster冲击波病毒、I-Worm/Chian(冲击波杀手)的蠕虫病毒通常采用广播包的形式及向外大量发邮件实现并对特定IP段进行疯狂扫描,这种病毒导致被感染的用户只要一连上网就不停地往外发邮件,成百上千的这种垃圾邮件有的排着队往外发送,有的又成批成批地被退回来堆在服务器上。造成局域网近于瘫痪。
4)网络视频
部分视频网络传输设备为了便于网络视频点播,常常采用UDP的方式,以广播数据包的形式对外进行发送,如果在专用网络中也使用这种方式,很容易引发广播风暴,导致网络阻塞。
5)人为破坏
一些上网者经常利用网络执法官、网络剪刀手等黑客软件,对网络进行攻击,只要在网络中任意一台计算机中安装相应的软件就可以对网络进行攻击,制造广播风暴。
6)恶劣环境
如不合适的温度、湿度、震动和电磁干扰等,尤其是电磁干扰比较严重的环境下,同样也有可能会使网络变得不稳定,造成数据传输错误,引发广播风暴。
1.3 局域网广播风暴的防范措施
根据广播风暴的产生的原因,可以从以下几个方面对广播风暴进行预防。
1)全面预防病毒:现在很多破坏力强大的病毒都是网络病毒,也是产生广播风暴的罪魁祸首。为此,局域网客户机必须安装功能强大的杀毒软件,对于操作系统及应用软件的漏洞要及时安装安全补丁。
2)及时更换故障网络设备:有故障的网卡或交换机都会频繁发送网络数据包,必须及时更换这些有故障的网络设备。
3)杜绝网络环路:网络环路有非常强的隐蔽性,也是引发广播风暴的一个原因。技术人员必须掌握网络的拓扑结构,设备的连接关系,记录好交换机每一个端口的连接信息,要求在铺设网线时一定养成良好的习惯:比如网线打上明显的标签,有备用线路的地方要做好记载,一定要建立详细的档案,包括网络布线图、IP及MAC对应表等,并在网线上套数码管,杜绝网络产生环路。
4)启用广播风暴控制或使用STP协议(生成树协议):广播风暴控制是允许端口对网络上出现的广播风暴进行过滤。开启广播风暴控制后,当端口收到的广播帧累计到预定门限值时,端口将自动丢弃收到的广播帧。使用STP协议,以网络中一台交换机为节点生成一棵转发树,而树是没有环路的,这样所有的数据都只在这棵树所指示的路径上传输,就不会产生广播风暴。
5)恰当使用VLAN技术:采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其他VLAN的性能。通过将局域网划分为多个VLAN,可以强化网络管理和网络安全,控制不必要的数据广播,有效地避免广播风暴的产生。
2 VLAN技术的应用
2.1 VLAN技术简介
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。
VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性,避免广播风暴的产生。
2.2 VLAN的实现方式
1)静态VLAN
静态VLAN也称为基于端口的VLAN,网络管理员首先把端口分配到不同的VLAN内,根据规划把用户的主机与相应的端口相连后,不用考虑该交换机端口连接什么设备。这是一种最经常使用的配置方式,容易实现和监视,而且比较安全,但是每一个VLAN用户的物理连接改变了,就需要重新手动分配。
2)动态VLAN
动态VLAN是基于用户VLAN,由端口自己决定它属于哪个VLAN时。动态VLAN的实现方法有多种,目前最普遍的实现方法是基于MAC地址的动态VLAN。VMPS即VLAN Management Policy Server,是一种基于源MAC地址动态的、在交换机端口上划分VLAN的方法。当某个端口的主机移动到另一个端口后,VMPS动态的为其指定VLAN。动态VLAN是根据电脑MAC来划分,要用管理工具才能实现,所以开销大,适合移动办公时用。
2.3 VLAN的划分与配置实例
某局域网基本结构如图1所示,局域网主干部部分由3台交换机(分别命名为:Switch1、Switch2和Switch3)组成,整个网络都通过路由器与外部网络互联。三台交换机分别位于三个楼层,用户按职能主要分为四个部门分散在三个楼层,为了信息安全要求相同部门之间可以通信,不同的部门之间不许通信。下面以Cisco2950交换机为例,说明局域网中VLAN的划分及基本配置。
1)VLAN的划分
由于在交换机上一个接出的端口基本上对应到一片相对固定的用户群,便采用了目前最常用的静态的按端口划分VLAN的配置方法。现将各VLAN的网络号、网络名和端口号划分如表1所示。
2)基本配置
按表1的划分,不同的交换机端口中有相同的VLAN,要让它们相互通信就需要把级联交换机的连接端口模式设置为trunk。默认状态下,Trunk端口允许所有VLAN的发送和接口传输。
(1)根据表1分别在各交换机上创建VLAN
(2)根据表1分别把各交换机端口分配到适当的VLAN中
注意:使用interface range命令端口号之间需要加入空格
(3)根据图1分别配制各交换机的Trunk接口
一般局域网都是基于端口划分VLAN,所以尽量将一座楼或一层楼设置为一个VLAN,如楼内有大的机房,应让每个机房使用单独的VLAN,使广播局部化,减少整个局域网的广播流量和广播风暴发生的可能性,这样既保证了网络的安全性、灵活性,又使网络管理员管理起来更加灵活和方便。
3 结束语
局域网环境中产生广播风暴是一种很严重的网络故障,以预防为主的防治措施应是主要对策。网管人员只要在网络维护管理过程中,适当的划分VLAN,养成良好的设备管理习惯,加强故障监控等主要的防范措施,就能在一定范围内抑制广播风暴,减少广播风暴的危害性,保证网络高效运行。
参考文献
[1]王晟.局域网广播风暴的常见原因及预防措施[J].福建电脑,2008(7).
[2]王群.局域管理与维护全接触[M].北京:清华大学出版社,2004.
[3]杨家.VLAN技术在局域网的应用[J].电脑知识与技术(学术交流),2007(20).
[4]孙甲泉.VLAN技术及实现方法[J].计算机与现代化,2008(5).
8.局域网安全技术与病毒防护 篇八
关键词:局域网;安全技术;病毒防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2007)17-31302-02
The Safety Technique and Viral Protection of LAN
WANG Yan-ping1, LI Li-rong2
(1.China Heliconpter Research and Development Institute, Jingdezhen 333001, China; 2.College of Automation Engineering, Nanjing University of Aeronautics & Astronautics, Nanjing 210003, China)
Abstract: The globalization economy tide causes the enterprise and the enterprise interior need establishes one kind of highly effective relation. Local Area Network and internet has met this kind of need and develop quite rapidly, simultaneously enterprise's information security and the viral protection also appeared very important. Through to the network security technology analysis and proposed the Local Area Network safe protection solution, This article has certain significance to theLocal Area Network widespread application and enterprise's information security.
Key words: ocal Area Network; safety technique; viral protection
1 引言
随着计算机网络信息的快速发展,人们对计算机网络的依赖愈来愈大。局域网在企业内部已经相当普遍,已成为新经济时代的基础设施。企业内部借助局域网实现信息的交换和共享,但企业局域网不是一个自我封闭的网络系统,也需要通过Internet网络系统与他人实现信息传递、营销、交流、娱乐等。随着网络应用越来越深入各行各业,各种目的的网络攻击和入侵也越来越频繁,网络安全日益成为与国家、政府、企业和个人利益息息相关的大事。
Internet的美妙之处在于你能和每个人都能互相连接,Internet的可怕之处也在于每个人都能和你互相连接。网络安全是一门涉及计算机科学、网络技术、通信技术、信息安全技术等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或恶意的原因而遭受更改、破坏、泄密, 系统连续可靠正常地运行, 网络服务不中断。它有四个基本特征: 保密性、完整性、可用性、可控性。影响网络安全的因素主要有然环境引起的不安全因素,人为因素和作系统及软件本身的因素。
计算机病毒是一种常见的威胁局域网安全方式,受到越来越多的关注。当前,计算机病毒正呈现出传播方式、传播途径以及破坏方式更加多样化趋势。目前计算机病毒的网络化趋势更加明显,病毒的入侵主要来自蠕虫病毒,同时集病毒、黑客、木马等功能于一身综合型病毒不断涌现。计算机病毒表现出以下特点:传播方式和途径多样化;病毒的欺骗性日益增强;病毒的传播速度极快;病毒的制作成本降低;病毒变种增多;病毒难以控制和根治;病毒传播更具有不确定性和跳跃性;病毒版本自动在线升级和自我保护能力;病毒编制采用了集成方式等。如何加强局域网病毒防护是保障网络信息安全的关键。
知己知彼,百战不殆。了解和掌握各种网络攻击手段和病毒知识才能有针对性的提高保障局域网安全的能力。构建适合自身企业局域网信息安全的网络。
2 网络攻击方式
目前网络中常见的攻击手段主要分为三个阶段:侦察、窃听和攻击。在侦察阶段主要是端口扫描,经典的扫描命令有ping、tracert、rusers和finger。通过使用扫描可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和他们的软件版本,可以使攻击者间接或直观了解到远程主机所存在的安全问题。“嗅探器”可以很形象的比喻成打入敌人内部的特工,源源不断的将敌人的情报送出来。在网络上Sniffer是一种常用的收集有用数据的方法。这种数据可以是用户的帐户和密码,也可以是一些商用的机密数据等等。在完成侦察和窃听后,常用的侵入手段有IP欺骗、特洛伊木马、缓冲区溢出和病毒等。随着网络的不断发展,这些网络攻击手段更加多样化,其基本特征是一致的。
3 网络病毒
网络病毒的传播速度快,传播范围广,危害也大。网络病毒还特别难以清除,只要有一台工作站的病毒未被彻底清除,整个网络就有可能重新感染。
当计算机感染上病毒出现异常时,人们首先想到的是用杀毒软件来清除病毒。但令人担扰的是杀毒工具软件被广泛使用的今天,病毒的种类和数量以及所造成的损失不是逐年减少,反而是逐年增加。这表明杀毒工具软件作为病毒防范的最主要工具,已显露出重大缺陷— 对病毒的防范始终滞后于病毒的出现。
随着网络的迅速发展,网络技术的日渐更新,网络时代的计算机信息安全越来越重要,针对网络系统的安全如何研制开发出由过去被动防御为主动防御计算机病毒的新型产品显得尤为重要。特别值得一提的是能开发出通用的能对计算机网络各种病毒都有免疫作用的技术已是全球反病毒机制所面临的巨大挑战,它具有现实的网络信息安全的急迫性。
4 局域网安全技术
计算机网络安全从技术上来讲主要由防火墙、防病毒、入侵检测、网络监控、信息审计和网络加密等。网络安全体系及协议包括网络应用实体结构、ISO/OSI安全参考模型、TCP/IP安全参考模型、IPSec协议SSL协议和SOCKS协议等。要保证局域网的安全应该建立全面的安全防护体系,实现阻止入侵、检测入侵、抵抗入侵和自动恢复的功能。
5 局域网安全防护解决方案
对于局域网内,网络安全防范措施主要有防火墙、加密传输、VPN和入侵检测。
图1 Internet中安全控制过程
防火墙是设置在用户网络和外界之间的一道屏障,防止不可预料的、潜在的破坏侵入用户网络。防火墙在开放和封闭的界面上构造一个保护层,属于内部范围的业务,依照协议在授权许可下进行;外部对内部网络的访问受到防火墙的限制。防火墙的目的是过滤进出网络的数据包。管理进出网络的访问行为。封堵某些禁止的访问行为。记录通过防火墙的信息内容和活动。对网络攻击进行检测和告警。传统防火墙的优点是通过边界网关防止非法用户进入内部网络、保护网络中脆弱的服务、可监视网络的安全性,并产生报警信息审计和记录网络流量。它也有过份依赖网络拓扑结构、无法防止内部发生的攻击行为、防火墙负担过重、对防火墙的依赖性太强等缺点。最明显的是有绕过防火墙的非法访问。
图2 绕过防火墙的访问
网络数据加密主要有两种方式,即在网络上层(应用层)加密和在物理协议层(IP栈中)加密。前者网管人员可对数据有选择地加密,而后者则是对给定链路上的所有数据都加密。这两种加密方式各有优劣,在应用层加密,网管员对加密对象有选择权。由于其加密数据相对少故而对网络性能影响较小,但它对每个应用软件都必须设置加密参数,比较麻烦且网管人员必须经过培训。而在IP栈中加密由于采用的是强制加密,因此能较好地防止窃听者基于通信量进行分析等手段,保密性较好,但这种极端做法对网络性能影响较大,使网络处理能力降低不少。
VPN作为一种网络信息安全技术包含三种种方式:内部网VPN是在公司总部和它的分支机构之间建立VPN;远程访问VPN在公司总部和远地雇员之间建立VPN;外连网VPN在公司与商业伙伴、顾客、供应商、投资者之间建立VPN。它具有以下优点:能够验证用户身份并严格控制只有授权用户才能访问VPN。提供审计和记费功能,显示何人在何时访问了何种信息;为用户分配专用网络上的地址并确保地址的安全性;对通过公共互联网络传递的数据必须经过加密,确保网络其他未授权的用户无法读取该信息;能够生成并更新客户端和服务器的加密密钥;支持公共互联网络上普遍使用的协议,包括IP,IPX等。
图3 内部网VPN
任何一种局域网安全技术都有其自身的优缺点,并不是百分百的可靠。因而针对于不同的局域网应该制定不同的安全策略,实施不同的局域网安全防护解决方案。整体解决方案思路是是防止来自外部和内部的各种入侵和攻击,防止非授权的访问,防止各种冒充、篡改和抵赖等行为,防止信息泄密和被破坏。因此,在建立系统时,必须磨合用户各种需求,综合各种安全技术,整合各种安全管理措施,采取“统一规划,分布实施”的总体战略,实现对系统的总体安全防护。
图4 整体解决方案
6 结束语
网络安全技术和病毒防护是一个涉及多方面的系统工程,既需要采取必要的安全技术来抵御各种攻击,又需要规范和创建必要的安全管理模式、规章制度来约束人们的行为。因此, 局域网信息安全不是一个单纯的技术问题,它涉及整个网络安全系统,包括防范技术、规范管理等多方面因素。只要我们正视网络的脆弱性和潜在威胁,不断健全网络的相关法规,提高网络安全防范的技求是否被授权,从而阻止对信息资源的非法用户使用网络系统时所进行的所有活动的水平,才能有力地保障网络安全。
参考文献:
[1]方勇, 等. 信息系统安全导论[M]. 电子工业出版社,2003.
[2]罗国庆,陈良萍. 网站建设案例精粹[M]. 电子工业出版社,2004.
[3]奠石镁,何蓉. 计算机网络安全技术研究[J]. IT技术,2006(30).
[4]冯登国. 计算机通信网络安全[M]. 清华大学出版社,2001.
[5]李文平. 防火墙技术及其应用浅析[J]. 科技情报开发与经济,2006(20).