《某校园有线及无线网络规划设计毕业论文.doc》由会员分享,可在线阅读,更多相关《某校园有线及无线网络规划设计毕业论文.doc(27页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 摘 要国内的校园网绝大部分都是采用有线的方式构建的,缺少有线和无线相结合的相关方案。在有线网络中,以太网是目前应用最广泛的局域网技术,具有开放性、低成本和广泛应用的软硬件支持等明显优势。以太控制网克服了现场总线的不足,已成为控制网络的新趋势。而无线网络因为具有使用方便、不用布线、施工量少、维护轻松的特性,在未来的网络技术中必将成为主流,所以在设计无线接入的方案时,既要保证对有线网络的兼容,以最大限度地避免资源浪费,也要放眼未来,保证现有技术到未来新型网络技术的平滑过渡。构建一个优秀的有线及无线的校园网络的方案,能大大提高学生、教师们的学习和工作效率。本文通过对我国目前校园网建设情况的分析,并
2、在综合考察有线网络和无线网络技术的应用状况后,简要的介绍了学校有线及无线网络的规划与设计。本文主要从校园网建设的需求分析、校园网建设目标、组网技术要求、方案整体设计、网络设备选型、设备配置、网络测试与验收等方面进行了比较详细的分析与描述。 提出了组建有线及无线校园网的必要性、可行性以及其具体的组建方案。关键词:有线网络 无线网络 规划设计24AbstractDomestic campus network, for the most part, are all adopt the way of the cable built, related to the lack of the combina
3、tion of wired and wireless solutions. In wired networks, Ethernet is the most widely used LAN technology, openness, low cost and wide application of software and hardware support, etc. Obvious advantages. Ethernet control network to overcome the deficiency of the fieldbus, has become a new trend of
4、control network. And a wireless network because is easy to use, no wiring, less construction, easy maintenance features, in the network technology of the future will become the mainstream, so in the design of wireless access solutions, both to ensure the compatibility of cable network and to maximiz
5、e avoid resource waste, also want to look to the future, to ensure the existing technology to the smooth transition of new network technology in the future. Build a good cable and wireless campus network solution, can greatly improve students and teachers study and work efficiency.In this article, t
6、hrough the analysis of the current campus network construction situation in our country, and in a comprehensive cable network and wireless network technology application, briefly introduces the wired and wireless network planning and design in school. This article mainly from the demand analysis of
7、campus network construction, campus network construction goal, networking technical requirements, overall design scheme, equipment selection, equipment configuration, network test and acceptance and so on has carried on the comparatively detailed analysis and description. Put forward a wired and wir
8、eless campus network necessity, feasibility and the concrete construction scheme.Keywords: cable network wireless network planning and design目 录第一章 前言1第二章 需求分析与建设目标22.1需求分析22.2建设目标2第三章 校园有线网络设计方案43.1校园有线网的设计原则43.2系统组成与拓扑结构53.3VLAN划分及子网配置63.4IP地址分配63.5校园有线网络设备选型73.6校园有线网络安全设计10第四章 校园无线网的设计方案134.1校园无线
9、网的设计原则134. 2无线校园网设计方案144. 3网络选择标准154.4校园无线网络设备选型154.5校园无线网络安全设计17第五章 校园网络测试与常见故障195.1 网络测试195.2 常见故障与解决方法20总 结23参考文献24致 谢25第一章 前言校园网络是学校信息化建设的主体,为学校之间及学校内部各部门之间、教师与教师之间、教师与学生之间、多层次的信息交流提供很好的平台。随着近年来师生对网络需求的不断提高,由于同学们的笔记本数量的不断攀升,网络拥塞、网络资源紧张,特别是移动便捷性不够等问题给大家带来诸多不便。故对校园有线无线混合网络的综合设计势在必行。近年来无线局域网技术和无线设备
10、的成熟,在增设信息点的前提下,用有线、无线混合网络来实现校园网的扩容完全得以实施。这样不仅方便师生实时获取信息,使终端更具移动性,也在一定程度上体现学校信息化的进程。 计算机网络是20 世纪50 年代人们为完成数据通信和计算机通信网络的研究作为理论基础而发展起来的技术。我国的计算机网络建设起步于20 世纪 80 年代,从 1980 年铁道部广域网开始,到现在电信网、计算机网和有线电视网三大网络通过技术改造,能够提供包括语音、数据、 图像等综合多媒体的通信业务 从 1995 年问世的只能语音通话的第一代模拟制式手机, 2007 年国外就已经产生 4G 技术,同时无线网络也在飞速发展。我国于 20
11、08 年正式启动 TD-SCDMA 社会化业务测试和试商用,标志着3G 网络正式拉开序幕。它能够在全球范围内更好地实现无缝漫游,并处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。而技术较成熟的国家,如美国、日本,早在2000年就已经着手3G 建设。 基于有线网络和无线网络多年的发展,将二者结合使用,相辅相成使得混合更完善,体现了校园网的发展趋势。国内大部分高校都已经启动或者将要启动建设数字化信息化校园。3G 技术在传输声音和数据的速度上高效提升,它能够在全球范围内更好地实现无线漫游,并处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电
12、子商务等多种信息服务。 由于无线局域网设备一般工作于免授权频段,在频段的使用上无需高昂的许可费用,在接入速率和适应环境上又与3G 技术存在互补性。因此,WLAN 具有有线网、3G不可取代的优势,成为校园网高速无线数据入网的重要手段。有线网络和无线网络相结合,扫除“网络盲点”,使网络更合理。 信息化校园主要入网区域为:教学楼(有线网)、图书馆(混合网络)、办公楼(混合网络)、信息学院和宿舍楼(有线网络)。面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠性和可控性,同时使得网络结构与布局 在结合实际业务分布的前提下更加合理。第二章 需求分析与建设目标2
13、.1需求分析2.1.1教学功能通过校园网络覆盖到图书馆、实验室、机房等地点,为广大师生提供一个便捷有效的网络学习平台。首先,教师可以在网上查询教学资料和进行科研工作。其次,学生也可以通过网络平台更好的进行自主学习与查询学习资料或者实现远程学习。同时,网络平台加强了师生之间的互动与交流,可以有效改善学习状态及提高学习成绩。此外,可以鼓励同学运用网络建立自己的网页,如英语角、硬件家园、编程作坊等栏目,增强学生的学习互动与兴趣,提高学生实践操作能力,达到知识与实践相结合的目的。2.1.2管理功能在各办公室及团委等地点的校园网络建设有利于学校的管理人员对教务、行政事务、学生学籍、财务等进行综合管理。学
14、校管理机构作为学校的中枢管理系统,协调、组织整个学校工作的正常运行,为了能适应管理机构的功能,办公子网需要针对用户的权限,完成数据生成、修改、查询,进行办公自动化、人员资料管理、课程管理等方面的工作。同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享。校园信息化建设时高效率教学办公的有力保障。2.1.3通讯功能校园网络在教工宿舍和学生宿舍的覆盖,满足了教师及学生在课余时间进行休闲娱乐的需求,帮助学生与外界有效的沟通与交流、及时掌握各种新鲜资讯,拓宽了学生的眼界,是学生了解世界,也使世界了解我们的学校,有利于学生和学校的未来发展。2.2建设目标2.
15、2.1校园网络无盲区首先要实现宿舍区与教学区的,而有线网络尤其局限性,网线不能延伸到校园的每一个角落,所以在有线网络覆盖基础上利用无线网络的优势,扫除有线校园网络的“网络盲区”(如食堂、图书馆等不宜网络布线的场所),以改善校园信息网络建设基础设施的环境,解决何时何地都能上网的问题,进一步扩大校园网络的使用范围。2.2.2安全性在现实世界中我们重视安全,同样的,在网络世界中我们也一定要尽量保障其安全性。校园网络作为一个支持众多用户,同时和INTENET/CERNET存在连接的网络,网络安全性在整个网络中有着举足轻重的地位,应该采取一定的手段来保障网络的安全性,以保证网络的正常运行。在校园网络中应
16、采取多种技术从内部和外部同时控制用户对网络资源的访问。网络心态还应该具有高度的数据安全性和保密性,以防止不法分子的非法入侵和信息泄露。2.2.3可管理性对设备的管理是网络管理的重要部分。建成后的校园无线网络中,所有网络设备应当遵循统一的、标准的管理协议和兼容性,并满足集中、统一管理的功能需要,使得网络中心管理人员可以在网管工作站随时观察每一台网络设备的工作状态。第三章 校园有线网络设计方案3.1校园有线网的设计原则根据校园网的具体要求与实际情况,此次校园网络的设计应符合以下原则:1.经济性:尽量利用性价比较高的网络设备和计算机设备,以实现用较少的投资获得较高的性能。2.高性能:校园网网络系统要
17、求具有较高的数据通信能力,较大的带宽及较高的网络主干速度,以便网络管理人员和使用人员能够及时、迅速地处理网络上传送的数据,保证工作效率。 3.高可靠性:网络要求具有高可靠性,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。在网络骨干上要提供备份链路,提供冗余路由。在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失。4.安全性:校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一
18、定手段控制网络的安全性,以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。5扩展性:网络具有较强的可升级性。一方面,随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用。另一方面,随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,在增加新硬件设备时能方便地接入网络,软件上便于更新、维护、升级。保证现有的投资。 3.2系统组成与拓扑结构3.2.1系统组成计算机网络的拓扑结构,即是指网上计算机或设备与传输媒介形成的结点与线的物理构成模式。计算机网络的拓扑结构主要有
19、:总线型拓扑、星型拓扑、环型拓扑、树型拓扑和混合型拓扑。其中星型拓扑由中央结点集线器与各个结点连接组成。它是目前使用最多、最为普遍的局域网拓扑结构。这种网络各结点必须通过中央结点才能实现通信。星型结构的特点是结构简单、建网容易,便于控制和管理。此次校园网络拓扑结构选用的是星型拓扑结构,具体分为三级结构: 第一级是网络中心,为中心节点。网络中心选址在学校地域的中心建筑,布置了校园网的核心设备,如路由器、交换机、服务器(WWW服务器、电子邮件服务器、文件服务器等),并预留了将来与本部以外的几个园区的通信接口。第二级是建筑群的主干结点,为二级节点。校园网按地域设置了几条干线光缆,从网络中心辐射到几个
20、主要建筑群,并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第三层,它向上与网络中心的主干交换机相连,向下与各楼层的接入层交换机相连。学校校园网主干带宽全部为1000Mbps。第三级是建筑物楼内的接入层交换机,为三级节点,三级节点主要是指直接与工作站连接的局域网设备。 3.2.2拓扑结构图校园网络拓扑结构图 图1-13.3VLAN划分及子网配置VLAN(Virtual Local Area Network)称为虚拟局域网,是指在逻辑上将物理的LAN分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的
21、虚拟的局域网(VLAN)。因为交换机通信的原理就是要通过“广播”来发现通往的目的MAC地址,以便在交换机内部的MAC数据库建立MAC地址表,而广播不能跨越不同网段。通过划分VLAN子网,能划小了广播域,避免了数据碰撞在大的物理LAN内产生严重后果的可能,也避免了广播风暴的产生。提高交换网络的交换效率,保证网络稳定。提高网络安全性,通过划分VLAN,LAN被划分不同子网段,因此不能直接通信。必要的通信必须经过路由来实现,因此可在路由器上配置访问列表来进行跨子网段的授权访问,从而提高校园内部网络访问的安全性。方便网络管理:采用VLAN技术来划分校园网络,一个VLAN可以根据不同的院系、办公室或者服
22、务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN提供了网段和机构的弹性组合机制。VLAN技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。VLAN的划分方法有:包括基于端口的VLAN、基于MAC地址的VLAN和基于协议的VLAN等。由于校园中学生的流动性大(如更换寝室、毕业等),因此选择基于端口的划分,相对容易设置和监控。(1) 教学楼区:由于上课教室不固定,每个教室都需要共享一些信息,所以将教学楼的所有教室划为一个VLAN。(2) 实验楼:将实验楼划为一个VLAN,方便老师和同学做一些
23、实验,实验室做一些专项课题研究的安全性会更高。(3) 行政楼:将行政楼划为一个VLAN,方便学校办公人员的管理。(4) 宿舍区:随着信息化的不断发展,学生通过网络交换的信息量日益增长,将宿舍楼划为一个VLAN,便于学生间信息的传递与人际交流。 3.4IP地址分配3.4.1IP地址IP地址是用来标识网络中的一个通信实体,比如一台主机,或者是路由器的某一端口。而在基于IP协议网络中传输的数据包,也都必须使用IP地址来进行标识,如同我们写一封信,要标明收信人的通信地址和发信人的地址,邮政工作人员通过该地址来决定邮件的去向。在计算机网络里,每个被传输的数据包也要包括一个源IP地址和一个目的IP地址。目
24、前,IP地址使用32位二进制地址格式,为方便记忆,通常使用以点号划分的十进制来表示,如:192.168.0.205。3.4.2子网划分为了提高IP地址的使用效率,一个网络可以划分为多个子网:采用借位的方式,从主机最高位开始借位变为新的子网位,剩余部分仍为主机位。这使得IP地址的结构分为三部分:网络位、子网位和主机位。引入子网概念后,网络位加上子网位才能全局唯一地标识一个网络。这种层次结构便于IP地址分配和管理。它的使用关键在于选择合适的层次结构-如何既能适应各种现实的物理网络规模,又能充分地利用IP地址空间。子网的划分主要是根据子网掩码来区分的,掩码的作用就是用来告诉电脑把“大网”划分为多少个
25、“小网”,以及每个子网中的主机数目。学校子网的划分。把所有的网络位用1来标识,主机位用0来标识,就得到了子网掩码。校园子网的划分及IP地址如表1-1所示。VLAN划分IP分配表1-1VLAN号所属位置IP网段默认网关1教学楼区192.168.1.0/24192.168.1.2542实验楼192.168.2.0/24192.168.2.2543行政楼192.168.3.0/24192.168.3.2544宿舍区192.168.4.0/24192.168.4.2543.5校园有线网络设备选型校园网硬件主要有以下部件组成:服务器、网卡、传输介质、交换机、路由器。3.5.1网络服务器的选择服务器是一种
26、高性能计算机,作为网络的节点,存储、处理网络上的80的数据信息,因此也被称为网络的总管家,也可以说是服务器在“组织”和“领导”其它设备。为了网络内部用户访问数据库、互联网访问等功能,我们选择性能、存储性能等顶尖技术于一身的部门级方正服务器。支持双处理器,配合最高达4GB的DDRAM内存。适用于对稳定性,可靠性,处理性能要求较高的关键应用环境,结合RAID技术可进一步提高数据安全,在各行各业的应用中都能应付自如。 配置了双Xeon3.0G, 华硕NCLV-D Intel E7520服务器主板(板载双千兆网卡),Registered ECC DDR 2G,希捷SCSI 73G 10000转*6 R
27、AID0阵列+希捷80G 8M并口, SCSI 320 阵列卡+原装SCSI数据线,集成ATI rage 8M 显卡,世纪之星服务器机箱+磐石600W电源。这款机器适用于服务器整合、商业智能或企业资源规划的需求,其双倍处理能力带给您高可用性,卓越的内部规模可扩展性、高性能和优质服务能力的特点,以获得更大的带宽满足广大用户访问速率要求。3.5.2网卡的选择网卡是OSI模型中数据链路层的设备,网卡是LAN的接入设备,是单机与网间架设的桥梁。其主要功能是读入由其他网络设备( Router、Switch、Hub或其他NIC)传输过来的数据包,经过拆包,将其变成客户机或服务器可以识别的数据,通过主板上的
28、总线将数据传输到所需设备中(CPU、RAM或Hard Driver);将PC设备(CPU、RAM或Hard Driver)发送的数据,打包后输送至其他网络设备中。网卡的远程开机是在无盘工作站上可以借助于远程文件服务器来开启工作站。若要执行“远程开机”功能,就必须在工作站的网络卡上加装一块“Boot ROM”芯片,由于该芯片上固化有开机引导程序,故它具有开机功能。另外,须将网卡上的Boot ROM Jumper调整为“Enabled”。服务器所配备的网卡,Intel Pro 1000M网卡,BroadCom 1000M网卡,前者大多是独立网卡,需要另外购买,前面提到了服务器中已经集成了两块Bro
29、adCom 1000M网卡,这为购买网卡节省了一笔不小的开支。千兆网卡还有Realtek 8169,Marvell 1000+等多种芯片,选择范围比较广,在本次校园网络设计中选用Intel Pro 1000M原装网卡,该网卡性能强劲,稳定,实际使用中该网卡的表现最为优秀。3.5.3网络传输介质的选择在计算机之间连网时,首先遇到的是通信线路和通道传输问题,在网络通信线路的选择中必须考虑网络的性能、价格、使用规则、安装难易性、可扩展性及其他一些因素。目前,校园网通信线路上使用的传输介质主要采用双绞线。双绞线( Twisted pair,T P)是一种综合布线工程中最常用的传输介质。双绞线是由两根具
30、有绝缘保护层的铜导线组成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射出来的电波会被另一根线上发出的电波抵消。如果把一对或多对双绞线放在一个绝缘套管中便成了双绞线电缆。与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受一定限制,但价格较为低廉。双绞线电缆(是否屏蔽)分为屏蔽双绞线电缆(STP)与非屏蔽双绞线电缆(UTP)。在主交换机与二级交换机,主交换机与各服务器之间选择AMP六类线,作为网络电缆的老大,AMP双绞线具有最好的用料和做工,品质相当优秀,配合AMP水晶头,为网络信号输入建立了良好的平台。二级交换机与三级交换机,三级交换
31、机与用户终端则采用AMP五类线。光纤仅用于与Internet的外部连接线路。3.5.4交换机的选择交换机也称为交换器。交换技术是一个具有简化、低价、高性能和高端口密集特点的交换产品。与桥接器一样,交换机按每一数据包中的MAC地址相对简单地决策信息转发。与桥接器不同的是交换机转发延迟很小,操作接近单个局域网性能,远远超过了普通桥接互联网络之间的转发性能。其主要功能:交换技术允许共享型和专用型的局域网段进行带宽调整。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中;交换机使用现有的电缆、中继器、集线器和工作站的网卡
32、,不必作高层的硬件升级;交换机对工作站是透明的,这样管理开销低廉,简化了网络节点的增加、移动和网络变化的操作。利用专门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息,提供了比传统桥接器高得多的操作性能。校园网主交换机选择华为S1216,这款千兆交换机有16个10M/100M/1000M自适应RJ45接口,全面兼容现在流行的网络接口,支持VLAN,支持IEEE 802.3,IEEE 802.3u,IEEE 802.3ab网络标准,该款产品最大的特点是支持IEEE 802.3x全双工流控,而且具有地址自动学习、自动老化的功能。二级交换机选用华为S1016T, 这款交换机有24个10M/
33、100M自适应RJ45接口,另外还有两个1000M端口用于连接主交换机,这两个千兆口为下级交换机大量的数据传输解开了瓶颈,几乎可以完全杜决数据拥塞,让网络上的每个用户时刻都能体验到飞一般的感觉。支持IEEE802.3x,IEEE 802.3,IEEE 802.3u,IEEE 802.3z网络标准,价格相对也算合理,二级交换机作为学生公寓,教学楼等楼群子网的主交换机。三级交换机选用D-Link DES-1048和D-Link DES-1024D这两款交换机,前者是一款48口100M交换机,用于学生公寓,由于学生公寓电脑多,而且相对集中,采用这款交换机才能满足如此多的终端用户的使用,后者是一款24
34、口100M交换机,用于其它子网的楼层交换机。这两款交换机没有什么特别的地方,属于工作组交换机,不支持VLAN等高级功能。在品牌方面,我选用了D-Link,该品牌的产品质量过硬,质保和售后服务都不错,而且D-Link网络的技术相当成熟,能提供最稳定的网络平台。3.5.5路由器的选择路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工
35、作,在路由器中保存着各种传输路径的相关数据路由表,供路由选择时使用。路由器有两大典型功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。 路由器方面选择思科2811,该款路由器价格适中,功能强大,采用Motorola MPC860 160MHz处理器,最大256M flash内存,最大760M DRAM内存,4个HWIC插槽+1个NM插槽,网络管理方面,支持SNMP管理,Cisco Click Start,内置了防火墙。3.6校园有线网络安全设计网络安全越来
36、越受到人们的重视,从密码安全、系统安全、共享目录安全和木马防范等方面。3.6.1密码的安全用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使 “入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为“入侵者”留下后门。比如,对WEB网页的修改权限设置,在WINDOWS NT 4 .0+IIS 4 .0版系统中,就常常将网站的修改权限设定为任何用户都能修改(可能是IIS默认安装
37、造成的),这样,任何一个用户,通过互联网连上站点后,都可以对主页进行修改删除等操作。其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。密码的长度也是设置者所要考虑的一个问题。在WINDOWS NT系统中,有一个sam文件,它是windows NT的用户帐户数据库,所有NT用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack破解时,如果使用“暴力破解” 方式对所有字符组合进行破解,那么对于5位以下的密码它最多只要用十几分钟就完成,对于6位字符
38、的密码它也只要用十几小时,但是对于7位或以上它至少耗时一个月左右,综上所述,在密码设置时一定要有足够的长度。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。3.6.2系统的安全最近流行于网络上的“冲击波”、“震荡波”及“狙击波”病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的
39、软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起“冲击波”、“震荡波”及“狙击波”病毒的传播流行的RPC漏洞和溢出漏洞,早在05年的3月就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有知道及时的发现和补丁,以至于过了一年多,还能扫描到许多机器存在该漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功
40、能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。在WINDOWS NT使用的IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的IIS默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:(1)不要将IIS安装在默认目录里(默认目录为C:Inetpub),可以在
41、其它逻辑盘中重新建一个目录,并在IIS管理器中将主目录指向新建的目录。(2)IIS在安装后,会在目录中产生如scripts等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。(3)在安装IIS后,要对应用程序进行配置,在IIS管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。 3.6.3目录共享的安全在校园网络中,利用在对等网中对计算机中的某个目录设置共享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个
42、目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。3.6.4木马的防范木马是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息中了木马你的一切秘密都将暴露在别人面前。所以木马,应该说是网络安全的大敌。并且在进行的各种入侵攻击行为中,木马都起到了开路先锋的作用。 木马感染通常是执行了一些带毒的程序,而驻留
43、在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递,在各种木马中,较常见的是”冰河”,笔者也曾用冰河扫描过网络上的计算机。发现每个C类IP网段中(个人用户),偶尔都会发现一、二个感染冰河的机器。由此可见,个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马,危害更是可怕。木马的清除一般可以通过各种杀毒软件来进行查杀。但对于新出现的木马防治可以通过端口的扫描来进行,端口是计算机和外部网络相连的逻辑接口,应在平时多注意一下服务器中开放的端口,如果有一些新端口的出现,就必须查看一下正在运行的程序,以及注册表中自动加载运行的程序,来
44、监测是否有木马存在。以上这些方面的安全还可以通过设置必要的防火墙,建立健全的网络管理制度来实现。但是在网络内部数据安全上,还必须定时进行数据安全备份。这样即使服务器中的一个硬盘损坏,也不至于使数据丢失。第四章 校园无线网的设计方案4.1校园无线网的设计原则(1)实用性首先,尽量实现成本最低,性价比最高。以数目尽量少的路由器为尽可能多的网络用户提供服务。如在网络用户相对疏散的地区,可以布置少数的无线路由器以保障服务即可;在网络用户相对密集的地区,可以通过增加适量无线路由器的数目为用户提供可靠地服务。其次,充分保护已有的投资。(2)高性能无线网络按照信号范围最大化,即在校园网络全面覆盖的情况下,可
45、选择重点网络区域进行更加细腻的覆盖。1、一般情况下室内允许最大覆盖距离为35100米,室外允许最大覆盖距离为100400米;2、针对障碍物阻挡无线网络信号的考虑,要对障碍物周围的无线覆盖进行观测以确定无线路由器的数量和放置位置。(3)先进性随着信息化的不断发展,计算机网络的发展速度十分迅猛,更新换代的周期逐渐缩短,所以在选择网络设备时即要考虑当今的网络发展水平,又要给未来的发展留有余地。在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适应我国实际情况,设备应具有使用灵活、操作方便的汉字、图形处理功能。(4)可扩充性目前,网络向多平台、多协议、异种
46、机、异构型网络共存方向发展,其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通讯协议要符合国际标准,为将来系统的升级、扩展打下良好的基础。(5)安全性根据无线网络的特点,为了使系统具有防备各种形式的非法入侵和机密信息的泄露的手段,无线网络系统需要具有高度的的保密机制,灵活方便的权限设定和控制机制。4.2无线校园网设计方案4.2.1主要拓扑图校园无线网络拓扑图2-14.2.2室内设计方案室内无线局域网主要是针对结构较为复杂的室内区域或者不方便进行布线的建筑,如学校食堂、图书馆、报告厅等。(1)针对难以全面布线的图书馆,由于结构较为复杂,人员流动量较大,
47、使用有线网络难以满足学生和教室的需求,所以使用无线覆盖。可以,使每个无线AP都独立接到交换机上,以保证有更高的带宽,达到室内无网络盲区,充分满足使用需求。(2)针对学校食堂和报告厅,由于室内空间较大,没有墙壁阻挡,因此在无线AP布置中不需采用多个无线AP整合交叉覆盖的方式。根据大型箭镞周围一般都有有线网络的接入点这一特点,可以使用网线实现接入点与无线AP的链接,然后将无线AP置于室内,从而达到将信号覆盖到整个室内。学校食堂和报告厅的人口密度较大,二无线AP的接入终端数量有线,可以在这里适当增加无线AP,从而保障网络性能。4.2.3室外设计方案学校学生宿舍和图书馆前后的空地及操场等地市学生课外学
48、习、休闲较为集中的地方,也是学校最为需要实现无线覆盖的室外公共区域。在这样较为开阔的区域,可以利用无线AP通过连接放大器和天线,将无线信号覆盖到公共区域。选用室外无线AP,通过天线或者放大器聚集无线信号,使无线覆盖范围更大、更远,穿透能力更强。4.3网络选择标准无线局域网有很多协议标准,目前,全球主要有3大类型:美国的IEEE802.11标准系列、欧洲ETSIBRAN的HIPERLAN标准、日本ARIB开发的MMAC标准。其中,IEEE802.11系列发展最为迅速。1997年发布的IEEE802.11是最早出现的无线局域网标准,它定义的三个物理层包括了一个红外传播规范和两个扩散频谱技术,即跳频扩频(FHSS)和直接序列扩频(DSSS)。该标准工作在2.4GHZ频段,支持