《毕业论文校园网有线及无线网络规划设计.docx》由会员分享,可在线阅读,更多相关《毕业论文校园网有线及无线网络规划设计.docx(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、摘 要国内的校园网绝大部分都是采用有线的方式构建的,缺少有线和无线相结合的相关方案。在有线网络中,以太网是目前应用最广泛的局域网技术,具有开放性、低成本和广泛应用的软硬件支持等明显优势。以太控制网克服了现场总线的不足,已成为控制网络的新趋势。而无线网络因为具有使用方便、不用布线、施工量少、维护轻松的特性,在未来的网络技术中必将成为主流,所以在设计无线接入的方案时,既要保证对有线网络的兼容, 以最大限度地避免资源浪费,也要放眼未来,保证现有技术到未来新型网络技术的平滑过渡。构建一个优秀的有线及无线的校园网络的方案,能大大提高学生、教师们的学习和工作效率。本文通过对我国目前校园网建设情况的分析,并
2、在综合考察有线网络和无线网络技术的应用状况后,简要的介绍了学校有线及无线网络的规划与设计。本文主要从校园网建设的需求分析、校园网建设目标、组网技术要求、方案整体设计、网络设备选型、设备配置、网络测试与验收等方面进行了比较详细的分析与描述。 提出了组建有线及无线校园网的必要性、可行性以及其具体的组建方案。关键词:有线网络 无线网络 规划设计0 / 28文档可自由编辑打印AbstractDomestic campus network, for the most part, are all adopt the way of the cable built, related to the lack o
3、f the combination of wired and wireless solutions. In wired networks, Ethernet is the most widely used LAN technology, openness, low cost and wide application of software and hardware support, etc. Obvious advantages. Ethernet control network to overcome the deficiency of the fieldbus, has become a
4、new trend of control network. And a wireless network because is easy to use, no wiring, less construction, easy maintenance features, in the network technology of the future will become the mainstream, so in the design of wireless access solutions, both to ensure the compatibility of cable network a
5、nd to maximize avoid resource waste, also want to look to the future, to ensure the existing technology to the smooth transition of new network technology in the future. Build a good cable and wireless campus network solution, can greatly improve students and teachers study and work efficiency.In th
6、is article, through the analysis of the current campus network construction situation in our country, and in a comprehensive cable network and wireless network technology application, briefly introduces the wired and wireless network planning and design in school.This article mainly from the demand
7、analysis of campus network construction, campus network construction goal, networking technical requirements, overall design scheme, equipment selection, equipment configuration, network test and acceptance and so on has carried on the comparatively detailed analysis and description. Put forward a w
8、ired and wireless campus network necessity, feasibility and the concrete construction scheme.Keywords: cable networkwireless networkplanning and design文档可自由编辑打印目 录第一章前言1第二章 需求分析与建设目标22.1 需求分析22.2 建设目标2第三章 校园有线网络设计方案33.1 校园有线网的设计原则43.2 系统组成与拓扑结构43.3 VLAN 划分及子网配置53.4 IP 地址分配63.5 校园有线网络设备选型73.6 校园有线网络安
9、全设计10第四章 校园无线网的设计方案124.1 校园无线网的设计原则124. 2 无线校园网设计方案134. 3 网络选择标准144.4 校园无线网络设备选型154.5 校园无线网络安全设计17第五章 校园网络测试与常见故障185.1 网络测试185.2 常见故障与解决方法20总 结22参考文献23致 谢24第一章前言校园网络是学校信息化建设的主体,为学校之间及学校内部各部门之间、教师与教师之间、教师与学生之间、多层次的信息交流提供很好的平台。随着近年来师生对网络需求的不断提高,由于同学们的笔记本数量的不断攀升,网络拥塞、网络资源紧张,特别是移动便捷性不够等问题给大家带来诸多不便。故对校园有
10、线无线混合网络的综合设计势在必行。近年来无线局域网技术和无线设备的成熟,在增设信息点的前提下,用有线、无线混合网络来实现校园网的扩容完全得以实施。这样不仅方便师生实时获取信息,使终端更具移动性,也在一定程度上体现学校信息化的进程。计算机网络是 20 世纪 50 年代人们为完成数据通信和计算机通信网络的研究作为理论基础而发展起来的技术。我国的计算机网络建设起步于 20 世纪 80 年代,从 1980 年铁道部广域网开始,到现在电信网、计算机网和有线电视网三大网络通过技术改造,能够提供包括语音、数据、 图像等综合多媒体的通信业务 从 1995 年问世的只能语音通话的第一代模拟制式手机, 2007
11、年国外就已经产生 4G 技术,同时无线网络也在飞速发展。我国于 2008 年正式启动 TD-SCDMA 社会化业务测试和试商用,标志着 3G 网络正式拉开序幕。它能够在全球范围内更好地实现无缝漫游,并处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。而技术较成熟的国家,如美国、日本,早在2000 年就已经着手 3G 建设。 基于有线网络和无线网络多年的发展,将二者结合使用,相辅相成使得混合更完善,体现了校园网的发展趋势。国内大部分高校都已经启动或者将要启动建设数字化信息化校园。3G 技术在传输声音和数据的速度上高效提升,它能够在全球范围内更好地实现无线漫
12、游,并处理图像、音乐、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。 由于无线局域网设备一般工作于免授权频段,在频段的使用上无需高昂的许可费用,在接入速率和适应环境上又与 3G 技术存在互补性。因此,WLAN 具有有线网、3G 不可取代的优势,成为校园网高速无线数据入网的重要手段。有线网络和无线网络相结合,扫除“网络盲点”, 使网络更合理。信息化校园主要入网区域为:教学楼(有线网)、图书馆(混合网络)、办公楼(混合网络)、信息学院和宿舍楼(有线网络)。面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠性和可控性,同时使得网
13、络结构与布局 在结合实际业务分布的前提下更加合理。4 / 28文档可自由编辑打印第二章 需求分析与建设目标2.1 需求分析2.1.1 教学功能通过校园网络覆盖到图书馆、实验室、机房等地点,为广大师生提供一个便捷有效的网络学习平台。首先,教师可以在网上查询教学资料和进行科研工作。其次,学生也可以通过网络平台更好的进行自主学习与查询学习资料或者实现远程学习。同时,网络平台加强了师生之间的互动与交流,可以有效改善学习状态及提高学习成绩。此外,可以鼓励同学运用网络建立自己的网页,如英语角、硬件家园、编程作坊等栏目,增强学生的学习互动与兴趣,提高学生实践操作能力,达到知识与实践相结合的目的。2.1.2
14、管理功能在各办公室及团委等地点的校园网络建设有利于学校的管理人员对教务、行政事务、学生学籍、财务等进行综合管理。学校管理机构作为学校的中枢管理系统,协调、组织整个学校工作的正常运行,为了能适应管理机构的功能,办公子网需要针对用户的权限,完成数据生成、修改、查询,进行办公自动化、人员资料管理、课程管理等方面的工作。同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享。校园信息化建设时高效率教学办公的有力保障。2.1.3 通讯功能校园网络在教工宿舍和学生宿舍的覆盖,满足了教师及学生在课余时间进行休闲娱乐的需求,帮助学生与外界有效的沟通与交流、及时掌握各
15、种新鲜资讯,拓宽了学生的眼界, 是学生了解世界,也使世界了解我们的学校,有利于学生和学校的未来发展。2.2 建设目标2.2.1 校园网络无盲区首先要实现宿舍区与教学区的,而有线网络尤其局限性,网线不能延伸到校园的每一个角落,所以在有线网络覆盖基础上利用无线网络的优势,扫除有线校园网络的“网络盲区”(如食堂、图书馆等不宜网络布线的场所),以改善校园信息网络建设基础设施的环境,解决何时何地都能上网的问题,进一步扩大校园网络的使用范围。2.2.2 安全性在现实世界中我们重视安全,同样的,在网络世界中我们也一定要尽量保障其安全性。校园网络作为一个支持众多用户,同时和 INTENET/CERNET 存在
16、连接的网络,网络安全性在整个网络中有着举足轻重的地位,应该采取一定的手段来保障网络的安全性,以保证网络的正常运行。在校园网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络心态还应该具有高度的数据安全性和保密性,以防止不法分子的非法入侵和信息泄露。2.2.3 可管理性对设备的管理是网络管理的重要部分。建成后的校园无线网络中,所有网络设备应当遵循统一的、标准的管理协议和兼容性,并满足集中、统一管理的功能需要,使得网络中心管理人员可以在网管工作站随时观察每一台网络设备的工作状态。第三章 校园有线网络设计方案3.1 校园有线网的设计原则根据校园网的具体要求与实际情况,此次校园网络的设计
17、应符合以下原则: 1.经济性:尽量利用性价比较高的网络设备和计算机设备,以实现用较少的投资获得较高的性能。2. 高性能:校园网网络系统要求具有较高的数据通信能力,较大的带宽及较高的网络主干速度, 以便网络管理人员和使用人员能够及时、迅速地处理网络上传送的数据,保证工作效率。3. 高可靠性:网络要求具有高可靠性,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。在网络骨干上要提供备份链路,提供冗余路由。在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,避免由于网络故障造成用户损失。4.
18、 安全性:校园网作为一个支持众多用户、同时和INTERNET/CERNET 存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。5. 扩展性:网络具有较强的可升级性。一方面,随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用。另一方面,随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,在增加新硬件设备时能方便地接入网络,软件上便于更新、维护、升级。保证现有的投资。3.2
19、系统组成与拓扑结构3.2.1 系统组成计算机网络的拓扑结构,即是指网上计算机或设备与传输媒介形成的结点与线的物理构成模式。计算机网络的拓扑结构主要有:总线型拓扑、星型拓扑、环型拓扑、树型拓扑和混合型拓扑。其中星型拓扑由中央结点集线器与各个结点连接组成。它是目前使用最多、最为普遍的局域网拓扑结构。这种网络各结点必须通过中央结点才能实现通信。星型结构的特点是结构简单、建网容易,便于控制和管理。此次校园网络拓扑结构选用的是星型拓扑结构,具体分为三级结构:第一级是网络中心,为中心节点。网络中心选址在学校地域的中心建筑,布置了校园网的核心设备,如路由器、交换机、服务器(WWW 服务器、电子邮件服务器、文
20、件服务器等),并预留了将来与本部以外的几个园区的通信接口。第二级是建筑群的主干结点,为二级节点。校园网按地域设置了几条干线光缆, 从网络中心辐射到几个主要建筑群,并在二级主干节点处端接。在主干网节点上安装的交换机位于网络的第三层,它向上与网络中心的主干交换机相连,向下与各楼层的接入层交换机相连。学校校园网主干带宽全部为 1000Mbps。第三级是建筑物楼内的接入层交换机,为三级节点,三级节点主要是指直接与工作站连接的局域网设备。3.2.2 拓扑结构图3.3 VLAN 划分及子网配置校园网络拓扑结构图 图 1-1VLAN(Virtual Local Area Network)称为虚拟局域网,是指
21、在逻辑上将物理的 LAN 分成不同小的逻辑子网,每一个逻辑子网就是一个单独的播域。简单地说,就是将一个大的物理的局域网(LAN)在交换机上通过软件划分成若干个小的虚拟的局域网(VLAN)。因5 / 28文档可自由编辑打印为交换机通信的原理就是要通过“广播”来发现通往的目的 MAC 地址,以便在交换机内部的 MAC 数据库建立 MAC 地址表,而广播不能跨越不同网段。通过划分 VLAN 子网,能划小了广播域,避免了数据碰撞在大的物理 LAN 内产生严重后果的可能,也避免了广播风暴的产生。提高交换网络的交换效率,保证网络稳定。提高网络安全性,通过划分VLAN,LAN 被划分不同子网段,因此不能直接
22、通信。必要的通信必须经过路由来实现,因此可在路由器上配置访问列表来进行跨子网段的授权访问,从而提高校园内部网络访问的安全性。方便网络管理:采用VLAN 技术来划分校园网络,一个 VLAN 可以根据不同的院系、办公室或者服务器组将不同地理位置的工作站划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在子网之间移动,VLAN 提供了网段和机构的弹性组合机制。VLAN 技术很好的解决了网络管理的问题,能实现网络监督与管理的自动化,从而更有效的进行网络监控。VLAN 的划分方法有:包括基于端口的 VLAN、基于 MAC 地址的 VLAN 和基于协议的 VLAN 等。由于校园中学生的流动
23、性大(如更换寝室、毕业等),因此选择基于端口的划分,相对容易设置和监控。(1) 教学楼区:由于上课教室不固定,每个教室都需要共享一些信息,所以将教学楼的所有教室划为一个 VLAN。(2) 实验楼:将实验楼划为一个 VLAN,方便老师和同学做一些实验,实验室做一些专项课题研究的安全性会更高。(3) 行政楼:将行政楼划为一个 VLAN,方便学校办公人员的管理。(4) 宿舍区:随着信息化的不断发展,学生通过网络交换的信息量日益增长,将宿舍楼划为一个 VLAN,便于学生间信息的传递与人际交流。3.4 IP 地址分配3.4.1 IP 地址IP 地址是用来标识网络中的一个通信实体,比如一台主机,或者是路由
24、器的某一端口。而在基于 IP 协议网络中传输的数据包,也都必须使用 IP 地址来进行标识,如同我们写一封信,要标明收信人的通信地址和发信人的地址,邮政工作人员通过该地址来决定邮件的去向。在计算机网络里,每个被传输的数据包也要包括一个源 IP 地址和一个目的 IP 地址。目前,IP 地址使用 32 位二进制地址格式,为方便记忆,通常使用以点号划分的十进制来表示,如:192.168.0.205。3.4.2 子网划分为了提高 IP 地址的使用效率,一个网络可以划分为多个子网:采用借位的方式,从主机最高位开始借位变为新的子网位,剩余部分仍为主机位。这使得 IP 地址的结构分为三部分:网络位、子网位和主
25、机位。16 / 28文档可自由编辑打印引入子网概念后,网络位加上子网位才能全局唯一地标识一个网络。这种层次结构便于 IP 地址分配和管理。它的使用关键在于选择合适的层次结构-如何既能适应各种现实的物理网络规模,又能充分地利用 IP 地址空间。子网的划分主要是根据子网掩码来区分的,掩码的作用就是用来告诉电脑把“大网”划分为多少个“小网”,以及每个子网中的主机数目。学校子网的划分。把所有的网络位用1 来标识,主机位用0 来标识,就得到了子网掩码。校园子网的划分及 IP 地址如表 1-1 所示。VLAN 划分IP 分配表 1-1VLAN 号所属位置IP 网段默认网关1教学楼区192.168.1.0/
26、24192.168.1.2542实验楼192.168.2.0/24192.168.2.2543行政楼192.168.3.0/24192.168.3.2544宿舍区192.168.4.0/24192.168.4.2543.5 校园有线网络设备选型校园网硬件主要有以下部件组成:服务器、网卡、传输介质、交换机、路由器。3.5.1 网络服务器的选择服务器是一种高性能计算机,作为网络的节点,存储、处理网络上的 80的数据信息,因此也被称为网络的总管家,也可以说是服务器在“组织”和“领导”其它设备。为了网络内部用户访问数据库、互联网访问等功能,我们选择性能、存储性能等顶尖技术于一身的部门级方正服务器。支持
27、双处理器,配合最高达 4GB 的 DDRAM 内存。适用于对稳定性,可靠性,处理性能要求较高的关键应用环境,结合 RAID 技术可进一步提高数据安全,在各行各业的应用中都能应付自如。 配置了双 Xeon3.0G, 华硕 NCLV-D Intel E7520 服务器主板(板载双千兆网卡),Registered ECC DDR 2G,希捷 SCSI 73G 10000 转*6 RAID0 阵列+希捷 80G 8M 并口, SCSI 320 阵列卡+原装 SCSI 数据线,集成 ATI rage 8M 显卡,世纪之星服务器机箱+磐石 600W 电源。这款机器适用于服务器整合、商业智能或企业资源规划的
28、需求,其双倍处理能力带给您高可用性,卓越的内部规模可扩展性、高性能和优质服务能力的特点,以获得更大的带宽满足广大用户访问速率要求。3.5.2 网卡的选择网卡是 OSI 模型中数据链路层的设备,网卡是 LAN 的接入设备,是单机与网间架设的桥梁。其主要功能是读入由其他网络设备( Router、Switch、Hub 或其他 NIC)传输过来的数据包,经过拆包,将其变成客户机或服务器可以识别的数据,通过主板上的总线将数据传输到所需设备中(CPU、RAM 或 Hard Driver);将PC 设备(CPU、RAM 或 Hard Driver)发送的数据,打包后输送至其他网络设备中。网卡的远程开机是在无
29、盘工作站上可以借助于远程文件服务器来开启工作站。若要执行“远程开机”功能,就必须在工作站的网络卡上加装一块“Boot ROM”芯片,由于该芯片上固化有开机引导程序,故它具有开机功能。另外,须将网卡上的 Boot ROM Jumper 调整为“Enabled”。服务器所配备的网卡,Intel Pro 1000M 网卡,BroadCom 1000M 网卡,前者大多是独立网卡,需要另外购买,前面提到了服务器中已经集成了两块 BroadCom 1000M 网卡,这为购买网卡节省了一笔不小的开支。千兆网卡还有 Realtek 8169,Marvell 1000+等多种芯片,选择范围比较广,在本次校园网络
30、设计中选用 Intel Pro 1000M 原装网卡,该网卡性能强劲,稳定,实际使用中该网卡的表现最为优秀。3.5.3 网络传输介质的选择在计算机之间连网时,首先遇到的是通信线路和通道传输问题,在网络通信线路的选择中必须考虑网络的性能、价格、使用规则、安装难易性、可扩展性及其他一些因素。目前,校园网通信线路上使用的传输介质主要采用双绞线。双绞线( Twisted pair,T P) 是一种综合布线工程中最常用的传输介质。双绞线是由两根具有绝缘保护层的铜导线组 成。把两根绝缘的铜导线按一定密度互相绞在一起,可降低信号干扰的程度,每一根导线在传输中辐射出来的电波会被另一根线上发出的电波抵消。如果把
31、一对或多对双绞线放在一个绝缘套管中便成了双绞线电缆。与其他传输介质相比,双绞线在传输距离、信道宽度和数据传输速度等方面均受一定限制,但价格较为低廉。双绞线电缆(是否屏蔽)分为屏蔽双绞线电缆(STP)与非屏蔽双绞线电缆(UTP)。在主交换机与二级交换机,主交换机与各服务器之间选择 AMP 六类线,作为网络电缆的老大,AMP 双绞线具有最好的用料和做工,品质相当优秀,配合AMP 水晶头,为网络信号输入建立了良好的平台。二级交换机与三级交换机,三级交换机与用户终端则采用 AMP 五类线。光纤仅用于与 Internet 的外部连接线路。3.5.4 交换机的选择交换机也称为交换器。交换技术是一个具有简化
32、、低价、高性能和高端口密集特点的交换产品。与桥接器一样,交换机按每一数据包中的 MAC 地址相对简单地决策信息转发。与桥接器不同的是交换机转发延迟很小,操作接近单个局域网性能,远远超过了普通桥接互联网络之间的转发性能。其主要功能:交换技术允许共享型和专用型的局域网段进行带宽调整。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中;交换机使用现有的电缆、中继器、集线器和工作站的网卡,不必作高层的硬件升级;交换机对工作站是透明的,这样管理开销低廉,简化了网络节点的增加、移动和网络变化的操作。利用专门设计的集成电路可使
33、交换机以线路速率在所有的端口并行转发信息,提供了比传统桥接器高得多的操作性能。校园网主交换机选择华为 S1216,这款千兆交换机有 16 个 10M/100M/1000M 自适应RJ45 接口,全面兼容现在流行的网络接口,支持 VLAN,支持 IEEE 802.3,IEEE 802.3u,IEEE 802.3ab 网络标准,该款产品最大的特点是支持 IEEE 802.3x 全双工流控,而且具有地址自动学习、自动老化的功能。二级交换机选用华为 S1016T, 这款交换机有 24 个 10M/100M 自适应 RJ45 接口,另外还有两个 1000M 端口用于连接主交换机,这两个千兆口为下级交换机
34、大量的数据传输解开了瓶颈,几乎可以完全杜决数据拥塞,让网络上的每个用户时刻都能体验到飞一般的感觉。支持 IEEE802.3x,IEEE 802.3,IEEE 802.3u,IEEE 802.3z 网络标准,价格相对也算合理, 二级交换机作为学生公寓,教学楼等楼群子网的主交换机。三级交换机选用 D-Link DES-1048 和 D-Link DES-1024D 这两款交换机,前者是一款48 口 100M 交换机,用于学生公寓,由于学生公寓电脑多,而且相对集中,采用这款交换机才能满足如此多的终端用户的使用,后者是一款 24 口 100M 交换机,用于其它子网的楼层交换机。这两款交换机没有什么特别
35、的地方,属于工作组交换机,不支持 VLAN 等高级功能。在品牌方面,我选用了D-Link,该品牌的产品质量过硬,质保和售后服务都不错, 而且 D-Link 网络的技术相当成熟,能提供最稳定的网络平台。3.5.5 路由器的选择路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,以使它们能够相互“读”懂对方的数据,从而构成一个更大的网络。路由器的主要工作就是为经过路由器的每个数据帧寻找一条最佳传输路径,并将该数据有效地传送到目的站点。由此可见,选择最佳路径的策略即路由算法是路由器的关键所在。为了完成这项工作,在路由器中保存着各种传输路径的相关数据路由表,供路由
36、选择时使用。路由器有两大典型功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来完成;控制功能一般用软件来实现, 包括与相邻路由器之间的信息交换、系统配置、系统管理等。路由器方面选择思科 2811,该款路由器价格适中,功能强大,采用Motorola MPC860160MHz 处理器,最大 256M flash 内存,最大 760M DRAM 内存,4 个 HWIC 插槽+1 个 NM 插槽,网络管理方面,支持 SNMP 管理,Cisco Click Start,内置了防火墙。3.6 校园有线网络安全设计网络安全越来越受到人们的重视,从密码安全
37、、系统安全、共享目录安全和木马防范等方面。3.6.1 密码的安全用密码保护系统和数据的安全是最经常采用也是最初采用的方法之一。目前发现的大多数安全问题,是由于密码管理不严,使 “入侵者”得以趁虚而入。因此密码口令的有效管理是非常基本的,也是非常重要的。在密码的设置安全上,首先绝对杜绝不设口令的帐号存在,尤其是超级用户帐号。另外,对于系统的一些权限,如果设置不当,对用户不进行密码验证,也可能为“入侵者” 留下后门。比如,对 WEB 网页的修改权限设置,在 WINDOWS NT 4 .0+IIS 4 .0版系统中, 就常常将网站的修改权限设定为任何用户都能修改(可能是 IIS 默认安装造成的),这
38、样, 任何一个用户,通过互联网连上站点后,都可以对主页进行修改删除等操作。其次,在密码口令的设置上要避免使用弱密码,就是容易被人猜出字符作为密码。密码的长度也是设置者所要考虑的一个问题。在 WINDOWS NT 系统中,有一个 sam 文件,它是windows NT 的用户帐户数据库,所有NT 用户的登录名及口令等相关信息都会保存在这个文件中。如果“入侵者”通过系统或网络的漏洞得到了这个文件,就能通过一定的程序(如L0phtCrack)对它进行解码分析。在用L0phtCrack 破解时,如果使用“暴力破解” 方式对所有字符组合进行破解,那么对于 5 位以下的密码它最多只要用十几分钟就完成,对于
39、 6 位字符的密码它也只要用十几小时,但是对于 7 位或以上它至少耗时一个月左右,综上所述,在密码设置时一定要有足够的长度。另外,适当的交叉使用大小写字母也是增加被破解难度的好办法。3.6.2 系统的安全最近流行于网络上的“冲击波”、“震荡波”及“狙击波”病毒都利用系统的漏洞进行传播。从目前来看,各种系统或多或少都存在着各种的漏洞,系统漏洞的存在就成网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站
40、,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。比如上面提及引起“冲击波”、“震荡波”及“狙击波”病毒的传播流行的 RPC 漏洞和溢出漏洞,早在05 年的 3 月就被发现,且没隔多久就有了解决方案和补丁,但是许多的网络管理员并没有知道及时的发现和补丁,以至于过了一年多,还能扫描到许多机器存在该漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因些从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中
41、对公众通常只提供WEB 服务功能,而没有必要向公众提供FTP 功能,这样,在服务器的服务配置中,我们只开放 WEB 服务,而将 FTP 服务禁止。如果要开放 FTP 功能,就一定只能向可能信赖的用户开放,因为通过FTP 用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。在 WINDOWS NT 使用的 IIS,是微软的组件中漏洞最多的一个,平均两三个月就要出一个漏洞,而微软的 IIS 默认安装又实在不敢恭维,为了加大安全性,在安装配置时可以注意以下几个方面:(1) 不要将II
42、S 安装在默认目录里(默认目录为C:Inetpub),可以在其它逻辑盘中重新建一个目录,并在 IIS 管理器中将主目录指向新建的目录。(2) IS 在安装后,会在目录中产生如 scripts 等默认虚拟目录,而该目录有执行程序的权限,这对系统的安全影响较大,许多漏洞的利用都是通过它进行的。因此,在安装后,应将所有不用的虚拟目录都删除掉。(3) 在安装 IIS 后,要对应用程序进行配置,在 IIS 管理器中删除必须之外的任何无用映射,只保留确实需要用到的文件类型。对于各目录的权限设置一定要慎重,尽量不要给可执行权限。3.6.3 目录共享的安全在校园网络中,利用在对等网中对计算机中的某个目录设置共
43、享进行资料的传输与共享是人们常采用的一个方法。但在设置过程中,要充分认识到当一个目录共享后,就不光是校园网内的用户可以访问到,而是连在网络上的各台计算机都能对它进行访问。这也成了数据资料安全的一个隐患。所以,为了防止资料的外泄,在设置共享时一定要设定访问密码。只有这样,才能保证共享目录资料的安全。3.6.4 木马的防范木马是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息中了木马你的一切秘密都将暴露在别人面前。所以木马,应该说是网络安全的大敌。并且在进行的各种入侵攻
44、击行为中,木马都起到了开路先锋的作用。木马感染通常是执行了一些带毒的程序,而驻留在你的计算机当中,在以后的计算机启动后,木马就在机器中打开一个服务,通过这个服务将你计算机的信息、资料向外传递, 在各种木马中,较常见的是”冰河”,笔者也曾用冰河扫描过网络上的计算机。发现每个 C 类 IP 网段中(个人用户),偶尔都会发现一、二个感染冰河的机器。由此可见,个人用户中感染木马的可能性还是比较高的。如果是服务器感染了木马,危害更是可怕。木马的清除一般可以通过各种杀毒软件来进行查杀。但对于新出现的木马防治可以通过端口的扫描来进行,端口是计算机和外部网络相连的逻辑接口,应在平时多注意一下服务器中开放的端口
45、,如果有一些新端口的出现,就必须查看一下正在运行的程序,以及注册表中自动加载运行的程序,来监测是否有木马存在。以上这些方面的安全还可以通过设置必要的防火墙,建立健全的网络管理制度来实现。但是在网络内部数据安全上,还必须定时进行数据安全备份。这样即使服务器中的一个硬盘损坏,也不至于使数据丢失。第四章 校园无线网的设计方案4.1 校园无线网的设计原则(1) 实用性首先,尽量实现成本最低,性价比最高。以数目尽量少的路由器为尽可能多的网络用户提供服务。如在网络用户相对疏散的地区,可以布置少数的无线路由器以保障服务即可; 在网络用户相对密集的地区,可以通过增加适量无线路由器的数目为用户提供可靠地服 务。
46、其次,充分保护已有的投资。(2) 高性能无线网络按照信号范围最大化,即在校园网络全面覆盖的情况下,可选择重点网络区域进行更加细腻的覆盖。1、一般情况下室内允许最大覆盖距离为 35100 米,室外允许最大覆盖距离为 100400 米;2、针对障碍物阻挡无线网络信号的考虑,要对障碍物周围的无线覆盖进行观测以确定无线路由器的数量和放置位置。(3) 先进性随着信息化的不断发展,计算机网络的发展速度十分迅猛,更新换代的周期逐渐缩短, 所以在选择网络设备时即要考虑当今的网络发展水平,又要给未来的发展留有余地。在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适
47、应我国实际情况,设备应具有使用灵活、操作方便的汉字、图形处理功能。(4) 可扩充性目前,网络向多平台、多协议、异种机、异构型网络共存方向发展,其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通讯协议要符合国际标准,为将来系统的升级、扩展打下良好的基础。(5) 安全性根据无线网络的特点,为了使系统具有防备各种形式的非法入侵和机密信息的泄露的手段,无线网络系统需要具有高度的的保密机制,灵活方便的权限设定和控制机制。4.2 无线校园网设计方案4.2.1 主要拓扑图校园无线网络拓扑图 2-14.2.2 室内设计方案室内无线局域网主要是针对结构较为复杂的室内区域或者不方便进行布线的建筑,如学校食堂、图书馆、报告厅等。(1) 针对难以全面布线的图书馆,由于结构较为复杂,人员流动量较大,使用有线网络难以满足学生和教室的需求,所以使用无线覆盖。可以,使每个无线 AP 都独立接到交换机上,以保证有更高的带宽,达到室内无网络盲区,充分满足使用需求。(2) 针对学校食堂和报告厅,由于室内空间较大,没有墙壁阻挡,因此在无线 AP 布置中不需采用多个无线 AP 整合交叉覆盖的方式。根据大型箭镞周围一般