韓敬峰

摘要本文從校園網(wǎng)中用戶的需求分析入手,對(duì)校園網(wǎng)的設(shè)計(jì)、具體實(shí)施、以及遇到的問(wèn)題以及網(wǎng)絡(luò)安全等幾個(gè)方面進(jìn)行了論述。

關(guān)鍵詞校園網(wǎng) 網(wǎng)絡(luò)行為管理 ARP

中圖分類號(hào):G64文獻(xiàn)標(biāo)識(shí)碼:A

隨著因特網(wǎng)的普及,網(wǎng)絡(luò)技術(shù)被引入教育領(lǐng)域。一個(gè)開(kāi)放的教育教學(xué)環(huán)境的建立,不僅為學(xué)生充分、便捷地獲取及利用網(wǎng)上教育資源創(chuàng)造了條件,更為學(xué)生根據(jù)興趣與愛(ài)好選擇學(xué)習(xí)內(nèi)容,確定學(xué)習(xí)方案,規(guī)劃學(xué)習(xí)進(jìn)度提供了平臺(tái)。在全新的教學(xué)模式下,為了最大限度地發(fā)揮網(wǎng)絡(luò)設(shè)備服務(wù)于教學(xué)的宗旨,我們應(yīng)充分利用教學(xué)廣播系統(tǒng)在網(wǎng)絡(luò)教學(xué)中的作用,熟練掌握網(wǎng)絡(luò)教學(xué)的操作,將自己傳統(tǒng)的教學(xué)方式轉(zhuǎn)化為網(wǎng)絡(luò)教學(xué),真正實(shí)現(xiàn)現(xiàn)代化教學(xué)。

1 校園網(wǎng)的設(shè)計(jì)目標(biāo)

校園網(wǎng)的建設(shè)對(duì)學(xué)校來(lái)說(shuō)是一項(xiàng)系統(tǒng)工程。建設(shè)前周密的論證、謹(jǐn)慎的決策是校園網(wǎng)建設(shè)成功的關(guān)鍵。校園網(wǎng)的設(shè)計(jì)目標(biāo)是依托現(xiàn)代網(wǎng)絡(luò)技術(shù),將各種不同應(yīng)用的信息資源通過(guò)高性能的網(wǎng)絡(luò)設(shè)備相互連接起來(lái),形成校園內(nèi)部的局域網(wǎng)系統(tǒng),對(duì)外通過(guò)路由設(shè)備接入廣域網(wǎng)。為了在現(xiàn)有資金的前提下最大限度的發(fā)揮校園網(wǎng)服務(wù)于教育教學(xué)的目標(biāo),對(duì)系統(tǒng)進(jìn)行合理的規(guī)劃與布局,讓系統(tǒng)具備安全性、開(kāi)放性、可擴(kuò)展性強(qiáng)的特點(diǎn)顯得尤為重要。在設(shè)計(jì)之初對(duì)網(wǎng)絡(luò)應(yīng)用的對(duì)象進(jìn)行研究與需求分析,在此基礎(chǔ)上確定網(wǎng)絡(luò)的主要服務(wù)類型,為網(wǎng)絡(luò)選擇適當(dāng)?shù)木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能,根據(jù)應(yīng)用網(wǎng)絡(luò)的建筑布局進(jìn)行合理的布線施工。

2 具體實(shí)施

我所在學(xué)校共有PC機(jī)400余臺(tái),部門的分布比較集中。其中有三個(gè)網(wǎng)絡(luò)教室采用廣播教學(xué)的方式進(jìn)行多媒體教學(xué)。考慮實(shí)際情況將校園網(wǎng)絡(luò)系統(tǒng)分為校園網(wǎng)絡(luò)中心子網(wǎng)、教室子網(wǎng)、辦公子網(wǎng)、圖書館子網(wǎng)、財(cái)務(wù)子網(wǎng)。每個(gè)子網(wǎng)都是一個(gè)相對(duì)獨(dú)立的系統(tǒng),選擇一款具備基于端口VLAN劃分的路由器還是比較經(jīng)濟(jì)的。

每個(gè)子網(wǎng)作為一個(gè)模塊化處理,各個(gè)模塊完成各自的功能。在實(shí)施的過(guò)程中,可以根據(jù)需要將相應(yīng)的模塊添加到網(wǎng)絡(luò)中,也可以不使用某些模塊,在需要時(shí)候再添加。同時(shí),模塊化設(shè)計(jì)容易維護(hù),某個(gè)模塊出現(xiàn)故障,不會(huì)影響到整個(gè)網(wǎng)絡(luò)的安全。根據(jù)網(wǎng)絡(luò)中各個(gè)子網(wǎng)對(duì)網(wǎng)絡(luò)帶寬和服務(wù)的不同要求,網(wǎng)絡(luò)應(yīng)采用層次體系,將整個(gè)網(wǎng)絡(luò)通過(guò)主干網(wǎng)連接起來(lái),各個(gè)子網(wǎng)通過(guò)接口與主干網(wǎng)連接,實(shí)現(xiàn)各自的功能,在子網(wǎng)內(nèi)部及與主干網(wǎng)進(jìn)行數(shù)據(jù)通信。

3 具體問(wèn)題解決一例

在實(shí)施的過(guò)程中將三個(gè)網(wǎng)絡(luò)教室各自獨(dú)立設(shè)置在一個(gè)VLAN中,老師在上課時(shí)根據(jù)課程的需要決定VLAN中的PC機(jī)是否上網(wǎng),而且對(duì)上網(wǎng)行為進(jìn)行實(shí)時(shí)控制。

為每位任課教師賦予管理路由器的權(quán)限,來(lái)關(guān)閉子網(wǎng)與廣域網(wǎng)的連接端口從安全角度來(lái)說(shuō)顯然不現(xiàn)實(shí)。最便捷的方式是安裝一個(gè)具備上網(wǎng)行為管理的路由器,為每個(gè)VLAN的上網(wǎng)行為管理書寫一個(gè)遠(yuǎn)端的批處理文件。任課教師只要運(yùn)行批處理文件就可以對(duì)VLAN中的PC機(jī)進(jìn)行上網(wǎng)管理。而資金的短缺讓我們選擇了以教師機(jī)做代理的方式對(duì)VLAN中的PC機(jī)進(jìn)行上網(wǎng)管理。在日常的教學(xué)中,FTP服務(wù)器的訪問(wèn)量比較大,而且教師要求VLAN中的PC機(jī)在不連接廣域網(wǎng)的前提下也可以訪問(wèn)主干網(wǎng)上的FTP服務(wù)器。我們的解決辦法是將VLAN中的PC機(jī)選用C類的IP地址,而將FTP服務(wù)器設(shè)置為B類的IP地址。比如VLAN中的PC機(jī)的Ip地址為:192.168.2.3 掩碼為255.255.255.0。將FTP服務(wù)器的IP地址設(shè)置為:192.168.1.10掩碼為255.255.0.0。

4 網(wǎng)絡(luò)安全建議

財(cái)務(wù)部門作為單位的安全敏感區(qū)。在當(dāng)今開(kāi)放和復(fù)雜的IT環(huán)境中,防火墻和應(yīng)用軟件安全已經(jīng)不足以保護(hù)數(shù)據(jù)。數(shù)據(jù)庫(kù)加密已經(jīng)逐漸成為目前網(wǎng)絡(luò)管理員優(yōu)先考慮的安全保障措施之一。多年來(lái),在局域網(wǎng)中ARP攻擊一直存在,卻沒(méi)有一個(gè)好的解決辦法。很多網(wǎng)絡(luò)用戶深受其害,網(wǎng)管人員更是無(wú)從下手、苦不堪言。ARP攻擊不是病毒—因而幾乎所有的殺毒軟件對(duì)之都無(wú)可奈何。但它卻勝似病毒,因?yàn)樗稍斐删W(wǎng)絡(luò)癱瘓和信息的泄密。ARP攻擊的解決辦法有很多,在此給大家介紹三種方法:第一種方法是在目標(biāo)設(shè)備(路由器或交換機(jī))和受害計(jì)算機(jī)上分別進(jìn)行IP地址和MAC地址的靜態(tài)綁定,讓非法的ARP攻擊無(wú)孔可入。最好做成一個(gè)批處理文件,每次計(jì)算機(jī)啟動(dòng)時(shí)都執(zhí)行該文件。該方法的優(yōu)點(diǎn)是小規(guī)模網(wǎng)絡(luò)比較適用。缺點(diǎn)是具體實(shí)施的難度比較大,如果上網(wǎng)主機(jī)比較多,并且主機(jī)經(jīng)常變化,靜態(tài)綁定工作量巨大,難以實(shí)施。太多的綁定條目也會(huì)影響設(shè)備的執(zhí)行速度,降低效率;第二種方法是采用動(dòng)態(tài)ARP檢察技術(shù),結(jié)合DHCP的功能,實(shí)現(xiàn)IP和MAC的自動(dòng)綁定。該方法和方法一類似,但綁定是自動(dòng)完成的,可以在接入層交換機(jī)上部署,非法的ARP包將被交換機(jī)丟棄。該方法的優(yōu)點(diǎn)是解決ARP攻擊最好的方法,不需要管理人員的協(xié)助,非法的ARP包也無(wú)法進(jìn)入網(wǎng)絡(luò)。既不會(huì)存在危害,也不會(huì)影響網(wǎng)絡(luò)性能。缺點(diǎn)是對(duì)網(wǎng)絡(luò)管理員的要求較高,而且要求網(wǎng)絡(luò)設(shè)備的支持。當(dāng)然最好的方法是局域網(wǎng)用戶的自救方法。編寫一個(gè)批處理文件,在計(jì)算機(jī)上執(zhí)行,即可解決ARP的攻擊問(wèn)題。顯然這種方法對(duì)普通用戶有一定難度。