cisco校园网设计方案(精选6篇)
cisco校园网设计方案 第1篇
一、 路由器网络服务安全配置
1 禁止CDP(Cisco Discovery Protocol),如:
Router(Config)#no cdp run
Router(Config-if)# no cdp enable
2 禁止其他的TCP、UDP Small服务。
Router(Config)# no service tcp-small-servers
Router(Config)# no service udp-samll-servers
3 禁止Finger服务。
Router(Config)# no ip finger
Router(Config)# no service finger
4 建议禁止HTTP服务。
Router(Config)# no ip http server
如果启用了HTTP服务则需要对其进行安全配置:设置用户名和密码;采用访问列表进行控制。
5 禁止BOOTp服务。
Router(Config)# no ip bootp server
6 禁止IP Source Routing。
Router(Config)# no ip source-route
7 建议如果不需要ARP-Proxy服务则禁止它,路由器默认识开启的。
Router(Config)# no ip proxy-arp
Router(Config-if)# no ip proxy-arp
8禁止IP Directed Broadcast。
Router(Config)# no ip directed-broadcast
9 禁止IP Classless。
Router(Config)# no ip classless
10 禁止ICMP协议的IP Unreachables, Redirects, Mask Replies,
Router(Config-if)# no ip unreacheables
Router(Config-if)# no ip redirects
Router(Config-if)# no ip mask-reply
11 建议禁止SNMP协议服务。在禁止时必须删除一些SNMP服务的默认配置。如:
Router(Config)# no snmp-server community public Ro
Router(Config)# no snmp-server community admin RW
12 如果没必要则禁止WINS和DNS服务。
Router(Config)# no ip domain-lookup
如果需要则需要配置:
Router(Config)# hostname Router
Router(Config)# ip name-server 219.150.32.xxx
13 明确禁止不使用的端口。如:
Router(Config)# interface eth0/3
Router(Config)# shutdown
二、路由器访问控制的安全配置(可选)
路由器的访问控制是比较重要的安全措施,但是目前由于需求不明确,可以考虑暂时不实施。作为建议提供。
1 建议不要远程访问路由器。即使需要远程访问路由器,建议使用访问控制列表和高强度的密码控制。
2 严格控制CON端口的访问。
配合使用访问控制列表控制对CON口的访问。
如:Router(Config)#Access-list 1 permit 192.168.0.1
Router(Config)#line con 0
Router(Config-line)#Transport input none
★ 路由器配置新手上路计划配置网络知识
★ 端口数量
★ 讲解范文
★ 植物配置设计说明范文
★ 加速交换机端口初始化进程
★ 讲解工作总结范文简短
★ 导游讲解稿范文
★ cisco 快速测试工具 tclsh命令
★ 《市场配置资源》说课稿
★ 妙用瑞星防火墙封锁网络端口
cisco校园网设计方案 第2篇
许多种病毒、木马程序以及黑客攻击都会进行Arp欺骗, 在大学校园网这样的环境中, Arp攻击尤为严重。当Arp攻击泛滥的时候, 网络中拥塞了大量伪造的Arp包, 大批计算机无法正常上网。
为了对抗Arp攻击, 高校网络中心采取了多种技术措施, 例如要求所有上网电脑安装杀毒软件和Arp防火墙, 封禁Arp攻击者的交换机端口。许多学校甚至采取了对多次进行Arp攻击的计算机断网、对机主进行通告批评等行政措施。即使如此, Arp攻击现象仍然泛滥成灾。目前, 发现和防范ARP攻击依赖于安装Arp防火墙软件。
1 Arp软件防火墙的优缺点
1.1 Arp软件防火墙的优点
拦截本机对外的ARP攻击:计算机运行ARP防火墙 (例如Anti ARP Sniffer) 后, 能够在系统内核层拦截本机对外发出的ARP数据包, 既包括本机对外的ARP攻击, 也包括ARP欺骗。因此即使用户计算机中了ARP病毒或者木马程序, 也不会对外攻击;拦截外部的ARP攻击:在系统内核层拦截外部虚假ARP数据包, 保障系统不受ARP欺骗、ARP攻击影响, 保持网络畅通及通讯安全;网关ARP条目静态绑定和主动通告网关本机正确的MAC地址:ARP防火墙能够获得网关的MAC-IP, 并且静态绑定到ARP缓存条目中, 从而不会被假冒网关的Arp包欺骗。
1.2 Arp软件防火墙的缺点
占用CPU资源过大:在一台P4-2.4G机器上, 运行Anti ARP Sniffer后, 要占用2-5%的CPU资源。当网络使用率比较高的时候, 对CPU的使用率超过15%。占用CPU资源过大造成了许多用户即使安装了ARP防火墙, 也不愿开启运行。
基于计算机的Arp防火墙管理维护成本高:例如我校至少有七八千台联网计算机, 上万个网络节点, 用户使用计算机随意性强 (特别是宿舍区) , 要求每台机器都安装Arp防火墙非常困难。此外这些计算机运行Windows、Linux、Free BSD等不同的操作系统, 目前还没有一款适合多系统的Arp防火墙。一方面, 用户发现Arp攻击后只要不影响其上网, 往往不会及时上报学校网络中心。另一方面, 对同一个攻击源, 网络中心经常接到许多次重复举报。
并不能发现对宿主计算机的所有Arp攻击欺骗:Arp防火墙只能分析本机即将发出的Arp数据包和接收到的Arp数据包, 对于那些不通过本机的Arp欺骗无能为力。
假设攻击计算机A和被攻击对象B都在同一个基于交换的网段, 该网段的网关是路由器C, 如图1所示。
攻击过程:
第一步:攻击计算机B获得被攻击对象A和网关的IP地址。然后通过正常使用Arp协议, 获得计算机A和网关路由器的M A C地址。
第二步:攻击计算机B向网关发出非广播Arp响应, 即IP为192.168.1.1的机器, MAC:BB-BB-BB-BB-BB-BB。
第三步:路由器C相信了B发出的Arp包, 更新自己的Arp缓存条目。
第四部:路由器C把所有需要发送给192.168.1.1的数据发给MAC:BB-BB-BB-BB-BB-BB。
二层交换机向所有的端口转发广播包, 交换机需要知道那个MAC在交换机的那个端口, 但并不从以太中拆封出IP数据报。
计算机B通过欺骗网关来达到攻击计算机A的目的, 在此过程中, 计算机A收不到的任何Arp攻击数据包。即使计算机A安装了Arp防火墙软件也无法察觉, 他所能做的只是主动通告网关本机正确的MAC地址, 一般情况下计算机A正常发出的Arp包是竞争不过攻击者B的。
产生上述问题的原因在于, 你不能保证攻击者的计算机安装Arp防火墙, 更不可能给路由器网关安装Arp防火墙。网关能够听到所有的Arp广播, 而且大部分Arp攻击针对网关, 那么能不能在路由器网关上检测Arp攻击呢?
2 基于路由器网关的Arp攻击探测
网关用于实现跨网段的数据转发, 安装路由软件的计算机和专门的硬件路由器都可以充当网关, 除非是小型网络, 一般使用路由器。在我校的网络拓补结构中, 接入层用Cisco2950以及华为等二层交换机, 然后汇聚到六台Cisco3550三层路由器, 核心层是两台Cisco6509 (配交换和路由模块) 。针对这种网络结构我们在汇聚层路由器检测Arp攻击。
2.1 Arp攻击者的MAC-IP变化规律
Arp攻击者一般不会改变其MAC地址, 因为这对实施Arp欺骗并没有任何帮助。在接入层实现了MAC和交换机端口的绑定, 因此不可能存在仿冒的MAC地址。
Arp攻击者会发送Arp Reply欺骗包, 希望假冒成其他计算机 (或者网关) 。同时, 攻击计算机会假冒成被攻击者的IP, 或者修改本机的TCP/IP协议实现, 否则即使其他计算机上当, 改向攻击者的M A C地址发送数据, 攻击者从收到的以太桢中提取IP报文时, 会发现目的IP不是自己而抛弃掉。
Arp攻击者本身有其正常使用的IP, 当攻击某台计算机时, 他会假冒成被攻击者的IP, Arp攻击会针对网关以及同一个网段的许多台计算机 (跨网段的ARP欺骗除此之外还要利用ICMP重定向欺骗) 。因此在网络上, Arp攻击者表现为同一个MAC地址, 对应许多IP, 并且对应的IP不断的变化。
不论是以广播方式发送的Arp欺骗, 还是针对网关的非广播欺骗, 路由器都能够接收到, 并且记录在其Arp缓存中。因此, 如果每隔一个时间段向路由器发送指令, 取出路由器的MAC-IP条目表, 并把返回结果保存起来, 就能根据同一个MAC对应IP的变化记录, 来发现ARP攻击。
2.2 查看路由器ARP表中的内容
路由器同计算机一样, 都会在Arp缓存中保存当前所知道的MAC-IP条目, Arp缓存默认保存时间是20分钟, 会不断的根据接收到的Arp应答包更新缓存表内容。
对于Cisco路由器, 执行show ip arp命令能够显示出Arp缓存记录。图2是Telnet登录路由器后, 执行show ip arp的结果显示:
2.3 基于路由器检测Arp攻击
2.3.1 体系结构
捕获程序是运行在Linux机器上的Perl脚本, 该程序每隔10分钟依次登录到各个路由器 (Telnet或者SSH方式) , 执行show ip arp指令, 对于返回的结果, 用正则表达式匹配IP、MAC, 把每一个MAC-IP条目写入数据库服务器。
数据库服务器用基于Linux平台, 采用My SQL5.0。
攻击分析程序是运行在Web Server的PHP程序, 接收到用户浏览器查询请求后, 从My SQL数据库中取出一个MAC对应许多IP的记录集, 对记录集的每一条记录进行分析, 如果该MAC对应许多IP, 并且IP不断发生变化, 或者发现假冒成网关的IP, 就能判定Arp攻击。
2.3.2 实现技术要点
在实现中, 路由器的IP, 管理账号和密码也保存在数据库中, Perl脚本根据这些路由器配置信息登录路由器。
执行show ip arp的时间间隔必须小于路由器Arp缓存的过期时间, 否则会丢失信息。
当Linux脚本执行show ip arp指令, 数据往往无法在一屏内显示, 脚本程序检测到在页的末尾出现--More—到时候, 发送Asc字符32 (空格) 翻页, 直到取回全部数据。
My SQL数据库服务器保存从路由器取到的MAC-IP记录, 如果每次取到MAC-IP都写入数据库的话, 数据量太大。以我校为例, 每次从路由器大概取出一万余条MAC-IP记录, 取样频率是十分钟, 一天的数据量就达到百万。但这些数据绝大多数都是重复的。如果只保存最近一次从路由器中取出的记录, 那么无法反映MAC的IP历史变化。针对这个问题, 我们编写了My SQL的存储过程 (从My SQL5.0版本开始支持存储过程) , 捕获程序调用该存储过程写MAC-IP-VLAN进入数据库。
首先MAC地址有多种格式, Windows显示为00-50-BA-69-16-BB, 在Cisco路由器中为0050.BA69.16BB, 在港湾交换机中为00:50:BA:69:16:BB, 自定义函数f_convert_mac把M A C地址转换成统一的格式。
一般而言, 网关往往有多个网络接口, 多个MAC, 不存在和路由器MAC相同的计算机, 路由器不会进行Arp欺骗。存储过程insert_cisco查询网关表select mac from gateway, 对于网关的MAC-IP记录, 不写入数据库, 以减少数据量。
对于从路由器取的每一个mac-ip, 查询该mac最近使用的IP, 如果和所要插入的IP一致, 那么不写入数据库, 如不同, 则写入数据库INSERT INTO cisco (address, mac, vlan) VAL-UES (v_address, v_mac, v_vlan) 。这样数据库既保存了MAC-IP的历史变化, 又大大减小存储的数据量。
2.3.3 根据MAC-IP数据库进行分析的技术要点
根据数据库的MAC-IP记录分析Arp功能攻击的时候需要考虑以下几点:
学生宿舍都是一个床位对应一个网络端口, 但是教学区存在多网卡的计算机, 即使是一台单网卡的机器, 如果该机器用虚拟机软件 (例如VMWare) 安装了虚拟机, 并且该虚拟机的网卡配置成桥接模式 (Bridged) , 那么从外部看, 该机器有多个M A C。由于判断A R P攻击是针对每一个M A C分析其MAC-IP变化规律, 所以不用考虑一机多网卡的情况。
有些计算机配置成一个网卡绑定多个IP, 这些IP属于相同网段。有些服务器的网卡支持Trunk, 一个网卡对应跨网段的多个IP。由于存在这种复杂情况, 根据MAC-IP数据库探测Arp攻击不能简单只看一个MAC对应多个IP, 而是看该对应关系是否发生变化。假设Arp攻击是由于中病毒所致, 中毒前该MAC对应的IP地址长时期是稳定不变的, 从某一个时刻起, IP开始无规律的变化。这时候可以断定该MAC中病毒。
3 结束语
基于Cisco路由器的Arp攻击探测系统自从2007年3月投入运行以来, 能够主动、准确的发现Arp攻击源, 取得了很好的效果。
目前校园网有近万台计算机, 有八个汇聚层路由器, 这些路由器都在网络中心的管理控制下, 通过Cisco路由器探测ARP攻击, 要比监控上万台计算机大大减少了管理工作量。
当网络管理人员通过本系统发现Arp攻击后, 现阶段是根据攻击者的MAC查询网络端口管理系统, 找到攻击者所在的交换机和端口, 然后登录到交换机, 执行指令封禁其端口 (所使用的交换机支持远程管理) 。
查找Arp攻击者所在的交换机端口, 以及登录到交换机封禁其端口, 都是重复繁琐的工作。接下来, 我们希望能够发现ARP攻击后, 程序自动查找其所在的交换机端口, 自动登录到交换机, 自动执行指令封禁该端口, 这样就可以彻底解决长期困扰校园网的ARP攻击泛滥问题。
摘要:本文首先介绍了Arp欺骗对校园网的危害, 然后介绍Arp防火墙软件。针对Arp防火墙的功能局限, 提出了基于Cisco路由器探测Arp攻击的体系结构。该体系结构由MAC-IP捕获程序、数据库服务器、攻击分析程序所组成, 接下来对各个部分进行深入研究。
关键词:网络安全,ARP,ARP欺骗,路由器
参考文献
[1]IETF.FC826h ttp://www.ietf.org/rfc/rfc0826.txt.
[2]任侠, 吕述望.协议欺骗原理分析与抵御方法ARP[J].计算机工程.2003.
[3]Whalen S.An Introduction to ARP Spoofing[EB/OL].http://www.node99.org/projects/a rpspoof/arpspoof.pdf.
[4]彩影软件.Arp防火墙AntiArp4.1介绍[EB/OL].http://www.antiarp.com/about.htm.
[5]周增国.局域网络环境下ARP欺骗攻击及安全防范策略[J].计算机与信息技术.2006.
大连职工大学校园网设计方案 第3篇
【关键词】校园网;需求分析;设计方案;网络安全
一、校园网组建的需求分析
校园网在信息服务与应用方面应满足以下几个方面的需求:学校主页。学校应建立独立的WWW服务器,在网上提高学校主页等服务,包括学校概况、资讯中心、教学科研、组织机构、招生就业以及联系方式等查询类服务。同时考虑到师生之间共享软件,校园网还应提供文件传输服务(ftp)。文件传输服务器上存放各专业教学课件及各种各样自由软件和驱动程序,师生可以根据自己需要随时下载。校园网还应提供多媒体辅助点播教学兼远程教学即要求具有数据、图像、语音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足学生同时访问时对带宽的基本需要。
二、校园网总体设计思路
校园网在分层布线主要采用树型结构;每个房间的计算机连接到本层的集线器或交换机,然后每层的集线器或交换机在连接到本楼出口的交换机或路由器,各个楼的交换机或路由器再连接到校园网的通信网中,由此构成了校园网的拓补结构。校园网采用星形的网络拓扑结构,骨干网为100M速率具有良好的可运行性、可管理性,能够满足未来发展和新技术的应用,另外作为整个网络的交换中心,在保证高性能、无阻塞交换的同时,还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。传输介质也要适合建网需要。在楼宇之间采用100M光纤,保证了骨干网络的稳定可靠,不受外界电磁环境的干扰,覆盖距离大,能够覆盖全部校园。在楼宇内部采用超5类双绞线,其连接状态100m的传递距离能够满足室内布线的长度要求。网络建设的一项重要内容是网络管理,网络的建设必须保证网络运行的可管理性。在优秀的网络管理之下,将大大提高网络的运行速率,并可迅速简便地进行网络故障的诊断。同时还要遵循安全性原则,信息系统安全问题的中心任务是保证信息网络的畅通,确保授权实体经过该网络安全地获取信息,并保证该信息的完整和可靠。网络系统的每一个环节都可能造成安全与可靠性问题。第三个原则是灵活性和可扩充性:选择网络拓扑结构的同时还需要考虑将来的发展,由于网络中的设备不是一成不变的,如需要添加或删除一个工作站,对一些设备进行更新换代,或变动设备的位置,因此所选取的网络拓扑结构应该能够容易的进行配置以满足新的需要。第四是稳定性和可靠性,可靠性对于一个网络拓扑结构是至关重要的,在局域网中经常发生节点故障或传输介质故障,一个可靠性高的网络拓扑结构除了可以使这些故障对整个网络的影响尽可能小以外,同时还应具有良好的故障诊断和故障隔离功能。
校园网网络整体分为三个层次:核心层、汇聚层、接入层。为实现校区内的高速 互联,核心层由1个核心节点组成,包括教学区区域、服务器群;汇聚层设在每栋楼上,每栋楼设置一个汇聚节点,汇聚层为高性能“小核心”型交换机,根据各个楼的配线间的数量不同,可以分别采用1台或是2台汇聚层交换机进行汇聚,为了保证数据传输和交换的效率,现在各个楼内设置三层楼内汇聚层,楼内汇聚层设备不但分担 了核心设备的部分压力,同时提高了网络的安全性;接入层为每个楼的接入交换机,是直接与用户相连的设备。本实施方案从网络运行的稳定性、安全性及易于维护性出发进行设计,以满足需求。
三、综合布线设计
综合布线特点主要表现为它的实用性、功能性、先进性、灵活性、方便性、可靠性、扩展性、开放性、标准化、经济性和生命周期,而且在设计、施工和维护方面有一定的便利性。
实用性:实施后的校园网控制系统,其所有的子系统,诸如综合布线系统,数据 通讯,都满足国际标准,具有良好的用户使用界面。并且,网络管理功能完善且方便使用。功能性:为校内教师提供快捷、开放、易于管理的數据信息基础传输平台,为实现无纸化办公创造条件,及时传递可靠、准确的各类重要信息,最终实现办公自动化系统(OA)。
先进性:布线系统应适应综合布线技术发展的潮流,能为数据及高清晰图像信息 提供高速及宽带的传输能力,适应异步传输模式(ATM)。各性能指标满足支持高带宽的100M、1000M以太网和异步传输(ATM)应用,满足宽带综合业务数字网(B-ISDN)的要求,支持复杂的多任务的ISDN、DDN、xDSL、X.25等分组交换接入应用,能实现校内各教学楼、办公楼与Internet等全球信息高速公路接轨的需求。布线系统要既能满足现阶段应用的需要,也能满足未来多媒体大量的声音、图像、数据传输的需要。
方便性:设备变迁时要有高度的灵活性、管理的方便性,能在设备布局和需要发生变化时实施灵活的线路管理,能够保证系统很容易扩充和升级而不必变动整体配线系统,能够提供有效的工具和手段,以简单、方便地进行线路的分析、检测和故障隔离,当故障发生时,可迅速找到故障点并加以排除。
可靠性:具有对环境的良好适应能力(如防尘、防火、防水),对温度、湿度、电磁场以及建筑物的振动等的适应能力。系统可方便地设置雷电、异常电流和电压保护装置,使设备免受破坏。
扩展性:适应未来网络发展的需要,系统的扩充升级容易。系统不仅能支持现有常规的计算机网络、电脑终端、电话、传真、摄像机、控制设备等通信需要,而且能支持未来的语音、视频、数据多网融合的局域网技术和接入网技术,具有适应未来需求,平稳过度到增强型分布技术的智能型布线系统。
四、网络安全与管理
校园网的安全威胁主要来源于两大块,一块是来自于网内,一块来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。根据统计,威胁校园网安全的攻击行为大概有40%左右是来自于网络内部, 如何防范来自于内部的攻击是校园网网络安全防护体系需要重点关注的地方。
计算机网络安全受到的威胁包括: “黑客”的攻击;计算机病毒;拒绝服务攻击 。为保障网络的安全,在不改变原有网络结构的基础上实现多种信息安全,保障校园内部网络安全,我们应选购一套网络安全防范设备,即瑞星杀毒软件网络版,具有超强病毒查杀、智能主动防御、增强型全网漏洞管理等功能。同时还应安装瑞星企业级防火墙,瑞星全功能 NP防火墙整合了多种安全防护功能,是建构中小型企业网络的最佳选择。三是将瑞星入侵检测系统作为一种防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应) ,提高信息安全基础结构的完整性。
参考文献
[1]徐亚凤.解析校园网络的安全及管理[J].牡丹江大学学报,2008,17(8):118-125.
技师学院校园网方案设计研究 第4篇
关键词:校园网 拓扑结构 VLAN
一个高质量的校园网对于学校的发展起着重要的作用。校园网的建设与应用,能进一步推进学校的信息化建设,在充分利用教育资源的同时,促进教育的社会化,即能在网络社会中有效整合资源,为科学研究、社会再教育、共享资源搭建一个有效的平台。
一、需求分析
1.学校简介及网络总体需求分析
笔者所在学校占地450余亩,主要建筑包括教学大楼、学生公寓楼、综合办公楼、教师公寓、餐厅、科技楼图书馆。建设校园网的总体要求如下。
一是受投资规模的限制。学校的资金有限,需要利用好每一分钱。二是将学校的多媒体设备进行互联,改变传统的教学模式。因此必须根据学校的实际情况,选择恰当的应用系统。三是要有可持续发展性。需要考虑未来的可扩展性和经济可行性,校园网既要跟上时代,也需要具有良好的扩展性,对未来可能的技术实现兼容。
2.信息点分布需求分析
分析学校各信息点,确定各区域的功能、信息点、信息点合计以及距核心网络的距离。
3.VLAN需求分析
VLAN技术可以将处于同一物理局域网的用户在逻辑上划分到不同的广播域,同一个VLAN内的工作站可以从属于不同的物理局域网,不同VLAN的广播和单播流量不会相互转发。利用VLAN技术对校园网络进行划分,利用VLAN弹性组合网段和机构,可在物理网络连接不变的条件下,将工作站在任意子网之间移动。
二、校园网技术选择分析
1.网络拓扑结构
拓扑结构中的线型结构、星状结构、树状结构和环状结构都适合校园网的布局。在具体选择过程中,需要结合各种拓扑结构的优缺点和实际的网络技术。笔者结合学校的信息点分布和校园的实际需求情况,认为选用树状拓扑结构最为合适。因为树状结构能表现出很好的可扩展性、可靠性,另外其安装方便、易管理、投资小(只需要一台核心路由交换机)。
2.虚拟局域网(VLAN)技术
VLAN(Virtual Local Area Network)即虚拟局域网,它将物理上处于同一LAN的,在逻辑上分成不同子网,一个逻辑子网可以看成一个独立的播域,从而VLAN之间不同主机间的广播通信影响能降到最低。VLAN间的相互通信可以使用VLAN间路由实现。对于管理人员,可以使用VLAN中继协议(Vlan Trunking Protocol,VTP),在单独一台交换机上定义VLAN,对交换机进行有效管理,从而大大减小网络管理的工作量,并可为学校节省不少资金。
3.无线局域网技术
WLAN的基本模型由BSS组成,包含使用同一个协议的无线站点。BSS既可以是独立的,也可以使用AP连接到同一主干网上。
(1)无线网卡。对于WLAN技术,经常使用无线网卡创建功能上的网络连接,和有线局域网中的网卡类似。
(2)接入点(AP)。AP是WLAN中的小型无线基站,负责信号的调制与收发,类似于局域网中的集线器(Hub)。其主要作用如下:负责管理无线通信工作,将无线信道分配给无线节点使用;在无线和有线通信之间转换;和有线局域网中的网桥和路由器作用相似;在20~50m的半径内AP是有效的。
(3)无线网络控制器(WNC)。WNC采用自动的方式给用户分配IP地址,一旦用户连上AP,WNC会自动采用监控、探测的方式来管理无线AP。WNC在端口隔离、访问和带宽控制上有显著作用。
(4)无线局域网基本模型。多个BSS单元和分布式系统DS(连接骨干网络的作用)组成扩展服务区(ESS)。所有ESS中的AP共享同一个ESSID, DS可以是LAN,也可以是WLAN。在物理层和数据链路层上,包含扩展服务区。
(5)城域WLAN接入网设计。城域网WLAN系统接入控制器(AC),实现WLAN用户对IP或者ATM网络的接入。AC支持用户安全控制、业务控制、计费信息采集和网络监控,主要功能是对用户身份进行认证、计费等。
三、校园网总体方案设计
1.设计特点
笔者学校现有网络采用ATM主干,传输速率为155Mbp,此次的设计特点如下:使用的千兆位以太网在交换功能上表现强大;基于原来的ATM校园网,新的网络建设能实现最佳连接;在用户接入量上,新的网络可以达到20,000;IP多目广播(Multicast),使得远程教育得以顺利实现;支持虚拟网络(VLAN);网管软件可远程操作接入层交换设备。
2.分层网络设计
采用三层结构,即接入层、汇聚层、核心层。这有效地简化了网络交换设计,同时也使得网络具有良好的可扩展性。
(1)核心层。为了将分布在各层的交换机连接起来,采用双中心星形的拓扑结构,实现数据包的高速交换。
(2)汇集层。主要是VLAN在整个网络选择中具有路由选择的功能。
(3)接入层。给终端的所有用户提供一个接入点,利用VLAN划分等技术隔离网络广播风暴。
四、校园网部分功能方案设计
1.VLAN 方案设计
将所属同一个班寝室划为同一个VLAN,一栋宿舍楼划为一个大VLAN;每个老师的寝室都是一个VLAN;教学楼的所有教室为一个VLAN;科技楼划为一个大VLAN;办公楼划为一个大VLAN,每个部门划为一个小VLAN;采用基于端口的划分方法。
2.网络安全设计
网络安全保护措施的目的是确保经过网络传输和交换的数据不会被修改、丢失和泄露,且网络系统不会被破坏。该校园网的安全设计包括主机安全技术、身份认证技术、访问控制技术、防火墙技术、安全审计技术。
3.校园网应用平台建设
该校园网建设的主要目的是方便学校师生的教学和生活,因此主要应用包括信息共享、信息交流、课件系统、办公自动化、家庭办公学习、远程教学(网络课程)、教务管理、电子图书馆等功能。
五、小结
在该校园网的建设中,不仅考虑到校园建筑物分布的实际情况,还考虑到了未来网络升级的需求。在对拓扑结构的选择上进行了仔细斟酌,对网络的利用率、覆盖率和安全性方面进行了仔细设计。
cisco校园网设计方案 第5篇
关键词:Cisco Packet Tracer;6to4;隧道传输
中图分类号:TP393.4 文献标识码:A
Abstract:The article describes the IPv6 method based on the theory of tunnel communication method,IPv6-over-IPv4 tunnel experimental design,achievement and configuration directives based on Cisco Packet Tracer 6.1 simulator.Through the interworking of IPv4 network,routing protocol and terminal tunnel.To achieve the integration and coexistence mechanism maintains full compatibility on IPv4 network protocol.Several devices can interconnection after the real test experiment.Enrich the routing configuration networking Computer Engineering Experimental Teaching Content.
Keywords:Cisco Packet Tracer;IPv6-over-IPv4;tunnel
1 引言(Introduction)
随着智能硬件产品不断涌入日常生活,基于IPv4的互联网不得不面临地址紧缺的问题。IPv6技术不断融入硬件产品,课程实践教学中,模拟IPv6地址通过隧道机制混入IPv4地址的互联网中成为重要教学知识点。在教学过程中,关于Cisco模拟器6to4的隧道实验参考偏少或无法完全实现,本文抛砖引玉拟采用隧道机制的一种基本方法来完善ipv6的教学实验。IPv6主机或者由IPv6主机、服务器和路由器组成的岛屿使用IPv4路由域作为传输层,以到达其他的IPv6孤岛和IPv6网络。当网络、连接和基础设施中不可能获得纯IPv6连接性时,IPv4基础设施上的IPv6隧道传输才被认为是一种可供选择的方法。
2 隧道(Tunnel)
2.1 隧道传输工作原理
IPv4中IPv6的数据包进行数据传输时,原始端到端IPV6会话的源和目的IPV6地址包头信息和有效载荷是不被修改的。解决的方法是在原始IPV6数据包前面加上了一个包含着隧道端点的源和目的IPv4地址信息的包头。在隧道的每个端点上,执行IPv6数据包的IPv4封装和解封装IPv6数据包。隧道两端的路由设备必须同时支持IPv4协议和IPv6协议(双栈)。
2.2 6to4 隧道传输参数
首先启用配置隧道的接口编号,然后需要确定用作隧道接口源地址的本地IPv4地址端口。Tunnel destination命令确定隧道终点的目的IPv4地址,目的IPv4地址是隧道的远端,然后给隧道接口静态分配一个IPv6地址和前缀长度,最后定义隧道接口的类型是配置隧道。
3 实验设计与实现(Experimental design andachievement)
3.1 配置要求
Cisco Packet Tracer Instructor 6.1模拟器(IOS固件升级到15.1)可进行IPv6等相关配置。因无法执行tunnel mode ipv6ip命令所以未采用5.3版本的模拟器。如图1所示,采用了模拟器中经典1841路由器三台,交换机2950-24交换机两台,终端PC机两台。此拓扑图中,自适应交换机是为扩展终端而做的假设,通过改变终端设备IPv6地址即可不断扩展。注意各路由器端口及连接。表1为图1拓扑图中各路由器端口IPv6地址。
3.2 6to4 隧道传输
(1)IPv4网络互通
如表1所示,R1的F0/0和F0/1端口都采用了IPv4地址,R2及R3的F0/1端口也同样采用了IPv4地址。为实现IPv6的隧道传输实验,首先应保证R1、R2和R3的IPv4网络是通的,可采用的路由协议很多,如路由选择信息协议路由协议配置指令。
如图2所示,对于R2路由器,启用IPv6后,先配置隧道的接口编号tunnel 0;然后需要确定用作隧道接口源地址的f0/1端口;tunnel destination命令确定隧道终点的目的IPv4地址R3的F0/1地址;给隧道tunnel0接口静态分配一个IPv6地址2001:10::2和前缀长度64,最后定义隧道接口的类型是配置隧道类型。对于R3路由器,采用类似的配置指令,注意tunnel destination命令确定隧道终点的目的IPv4地址R2的F0/1地址。
(3)终端路由协议
PC1的IPV6和PC2的IPv6网络之前目前还是不能直接通信,因为他们彼此之间还无路由信息,启用R2和R3的F0/0端口以及tunn0通道还需使用路由协议。如静态路由协议、路由选择信息协议(RIPng)或开放最短路径优先协议(OSPF)等。若采用路由选择信息协议(RIPng),R2路由器应配置以下指令。对于R3路由器,应采用类似的配置指令。经测试,PC1和PC2可以互通,实现网络路由互联通信。
4 结论(Conclusion)
本文采用Cisco Packet Tracer 6.1仿真软件对6to4隧道实验进行了设计和实现,经历了IPv4网络互通、隧道创建和终端路由协议三个过程,实现了整合和共存机制对IPv4协议网络保持完全的兼容性。以仿真软件中的三台路由器、两台交换机和两台终端设备来模拟IPv6地址终端融合到传统IPv4网络,采用了一种6to4隧道解决方案实现了融入IPv4网络,丰富了计算机网络教学中IPv6实验案例不足。
参考文献(References)
[1] regis Desmeules[加].Cisco IPv6 Self-study Implementing CiscoIPv6 Networks(IPv6)[M].北京:人民邮电出版社,2013.
[2] Rick Graziari[美].IPv6 Fundamentals[M].北京:人民邮电出版社,2013.
cisco校园网设计方案 第6篇
关键词:高校;校园网络;安全防护方案;设计;实施
校园网络安全指的就是校园网络中硬件、软件和网络中一切数据资源都需保护,不受偶然或者有意攻击而受到破坏、更改、泄露,保证系统连续、可靠、正常地运行,网络服务不中断,而校园网络安全的核心就是校园信息安全,通过校园网络安全防护方案保证校园信息安全,提升校园网络防护水平。
一、高校校校园网络防护方案需求性研究、校园网络使用结构变化
首先,校园网络使用人广泛,原有的有线网络已经不能适应网络需求,作为一个小社会的大学校园,校园网使用人,包括有:教师、学生、办公人员以及校园工作人员,其中有很大一部分属于科研网络,其保密性在一定程度上应该得到保证。在现在情况下出现了有线网络与无线网络并行的状况,导致原有基于有线网络的网络使用结构变成了有线与无线网络混用的使用结构,在进行网络运作时,校园网出口众多,包括教育网出口、联通出口、电信出口,原有的旧式简单的防火墙设置与准入设置已经很难进行有效网络保护,而现在校园网络中学生使用的大多是无线网络,其性能不很稳定,安全问题更是由于技术发展的前进性而变得不稳定。
其次,现在网络使用人群以及主要使用方向在校园内已经发生的重大变化,简单来说,就是网络使用主体由有线向无线转换,网络使用人员主体有学生向教师转换,网络使用目的由原来较为单纯的科研向多样化转变。在2012年3月30日,中国教育与科研计算机网发布调查结果显示,校园网络支撑平台方面,已经基本实现了高带宽、可信任、可控可管,但是在进行网络校园安全防护设计时很多学校仍旧采用原有的防火墙技术,其安全隐患不容小视。
第三,校园网络使用出现峰值状态的情况已经成为常态,且峰值情况对于网络的压力耿佳佳加大。在原有以科研为主的网络使用状况中,总提升网络使用是可控的,一定程度上说也是有计划的使用网络的一部分,但是现在校园生活网络与科研网络混用的情况已经成为一种新常态,在加上网络用户增多以及大学生课时运作等原因,很容易在晚上九点到十二点之间形成网络峰值,由此导致网络状态不稳定,为网络安全留下很大的漏洞。
二、学生半社会人状态
在进行网络安全设计时,尤其应该注意的是在高校中尤其是在现在所谓的“大学城”中,学生已经成为最主要的网络用户,而网络实际上已经成为他们的重要社会工具,完成学生们大量的社会活动,所以必须进行学生社会状体的探讨。对于现而今大学生的社会状态进行讨论,由于其在大学中存在又复杂的社会分层,所以只能进行类似于整体性的研究。大学生由于大部分经济处于不独立或者半独立状态,所以虽然他们在法律上早已是民事行为能力人,但是在不论实在社会实践中,还是在他们自我潜意识中,在很大程度上仍旧视其为“半社会人”,尤其是在关于其切身利益经济与社会活动中,典型就是银行拒绝对他们进行信用卡办理,而且这种“半社会人”设定也有其合理性,如果过分强调自身社会能力就会出现类似于“易租宝”之类的事件。虽然如此,在校园网络安全设计中我们要考虑的确是大学生社会人的属性。所谓“社会人”属性,就是人在社会上旅行的义务以及享受权利的属性,在一定程度上就是人在社会中的独立性,典型就是社会隐私保护以及相应的信息保护,而社会人要求的就是自身具有自身安全状态。
在校园中大学生处于血气方刚的状态,他们学习生活基本处于慢状态,在加上大学是思考的天堂,学生与教师是思考的主体,所以大学生们也有大量的时间来进行自己学习与生活的思考,任何针对于他们的强制措施,都要做好面临巨大压力的准备,尤其是类似于网络安全设计的工作,很容易被认为是侵犯自由且是一种不尊重他们获取信息的权力的行为。在乎烧学校因为过分强调所谓的安全,而又不与学生沟通,教育官僚缺乏协商精神,只是利用所谓“学生会”一纸通告了事,不但影响学生学习状态,而且造成学生们中间议论纷纷,甚至于引发学生与学校的冲突,得不偿失。其实,这在一定程度上是对学生社会权力的漠视以及领导者们权力思维惯性在作怪,而现在大学生的社会性更胜以往,这也是在进行高校网络安全翻书设计实施时尤应注意的问题。
三、校园网络安全形势复杂
现在网络安全形式较之以往更加复杂。首先,应该注意的就是电脑病毒,现在的电脑病毒具有传播速度快、查杀难度大、传播方式隐蔽的特点,由于学校处于电脑网络密集区,所以一旦發生电脑病毒感染,很容易引发连锁反应,引发电脑与网络大面积瘫痪,以蠕虫病毒为例,现在蠕虫病毒的传播更加隐蔽,而触发几率以及造成危害却更大,有些蠕虫病毒甚至于在重新更换系统之后仍旧停留在电脑内,窥一斑可见全豹,由此可见技术手段对校园网络安全形势的影响。
其次,就是所谓的意识形态渗透。其中的典型就是敏感事件与敏感词汇在校园网络的中的屏蔽问题,这也是校园网络安全中最复杂和最困难的方面,如何区分学术自由与意识形态渗透,如何让向学生解释敏感词汇,如何通过技术手段进行传播阻断而又不被道德谴责,都是在进行网络安全设计中必须要考虑的问题,更重要的是,在此过程中可能会出现全体型事件的诱因,引发学生与一部分教师对校园网络安全设计目的初衷的思考,对于未来校园网络安全防护实施有重大的影响。
nlc202309082138
四、现有高校校园网络方案整体性研究
1、現有校园网络安全方案建立基础。在现在的校园网络安全方案中,其建立的基础可以分为技术基础与伦理基础。所谓技术基础指的就是以网络分层结构设计思想为主要设计理念,通过密码学以及加密技术、防火墙技术、身份认证、入侵检测、扫描漏洞等进行,通过技术防范以病毒为代表技术性破坏,同时也以此为技术手段进行敏感词语与敏感事件的屏蔽,这些技术在现在基本都趋于成熟,但是在应用层面也存在因为程序漏洞而造成的安全危机的状况。
伦理基础,就是进行该行为的正当性,大学生处于人生观与价值观形成的重要阶段,在这一阶段中由于大学身价值观的不确定,同时也造成了大学生行为的不可预测性大大增强,这就要求高校在进行网络安全防护建设与实施时,充分与学生进行对话,了解他们对于此种防护方案的接受能力,并且积极做好相应的透明化措施,做到防护“防外不防内”,通过中国文化中固有的内外相制的文化结构,完成校园内部和谐。
2、现有网络安全方案典型状态。在现在的国内高校管理设置中,基本结构采用的都是三层交换网络,并且在标准化的大旗下,完成对病毒以及其他形式系统性攻击,保证系统安全,同时在此基础上以标准化为蓝本完成安全联动系统,进行源头组织,完成学校网络安全的保障,通过校园骨干网设计,提升网络安全性建立起坚强的校园网络传输体系,并且在此处上建立相配套的源头设计完成安全性整体性构建,核心交换机通过设备冗余进行故障避免,加强准入终端控制,完成源头控制,进行安全化的 NAT 配置,进行安全性稳定化。
3、现有网络安全方案带来的经验教训。现有网络安全方案使用讨论多集中于技术层面,从上文中可得现有网络安全方案使用的都是较为成熟的技术,但是其整体化设计颇显不足,存在“头痛医头脚痛医脚”的情况,但是在具体技术上可以说完全能够适应现在网络安全防护方案设计情况以及具体工程实施;但是现在对技术的关注明显多于对防护方案伦理合法性的关注,在设计方案时很多情况下,存在主观目的决定论,即我认为是在对你好,你必须无条件服从我。这使高校网络安全方案在实施过程中可能面临巨大的舆论压力,加上某些学校在实施过程中不透明,导致学生更加不信任所谓的“网络安全防护”由此造成方案实施困难。同时,我们也要看到在高校网络安全设计过程中形成了一套行之有效的制度,即通过安全策略的风险分析——扫描技术漏洞检测——启动防火墙预警——检测入侵设置——系统响应然后进行反击,对于现在网络安全方案中应该进行有机继承。在对高校校园网络防护方案未来发展以校园整体社会共识为基础,充分实现技术与尊严统一,实现技术与制度整体化操作。
三、结语
在本文以高校校园网络安全防护方案设计与实施过程中人文性为切入点,通过一部分技术性讨论,认为在现实高校环境下网络安全技术已经成熟,但是重要的就是进行校园社会共识的凝聚,实现技术与尊严的统一。
参考文献
[1] 李影.分析计算机网络的安全漏洞及对策[J].信息与电脑,2010,(9):56~58.
[2] 贺卫红.“数字湖工”校园网中安全策略的设计与实现[D].成都:电子科技大学,2010:25~30.由小编红尘旧梦整理的文章cisco校园网设计方案6篇(全文)分享结束了,希望给你学习生活工作带来帮助。
