胶南高职校校园网建设方案

胶南高职校校园网建设方案内容摘要：

要求即使用户通过代理上网（即：用户访问的目的 IP 是代理的IP），也能解析出用户访问的最终网站的 URL。 （六） 校园网 VLAN 设计 VLAN 在逻辑上等价于广播域。 更具体的说，我们可以将 VLAN 类比成一组最终用户的集合。 这些用户可以处在不同的物理 LAN 上，但他们之间可以象在同一个 LAN 上那样自由通信而不受物理位置的限制。 在这里，网络的定义和划分与物理位置和物理连接是没有任何必然联系的。 网络管理员可以根据不同的需要，通过相应的网络软件灵活的建立和配置虚拟网，并为每个虚拟网分配它所需要的带宽。 在胶南高职网络设计中，作为教学和办公的核心网络设备，根据具体需要划分多个 VLAN,其中 ADMIN 作为设备管理用 对这些不同 VLAN 之间的通讯进行控制，这样既可以节约成本，又可以保障重要网段的安全，同时减少广播和冲突，提高系统的可用性。 在接入层交换机与分布层交换机之间采用 作为 VLAN 的传输协议。 根据胶南高职目前的应用需求，在网络实施前期按照需求，配置网络的 VLAN。 将网络划分成办公、多媒体教室、服务区、网管区、教学区等几个相对独立的逻辑区域以方便用户对各个区域实施不同的访问策略。 二、地址规划设计 （一） 地址规划的原则 IP 地址规划应依据科学性、系统性、完整性及可扩展性原则，采用先进的网络编码技术，保证信息交换的效率和 质量，既要在相当时期内保持技术的先进性，同时也充分考虑现期工程的可实施性，为了更加便于记忆和管理，在校园网网络建设中，网络 IP 地址规划采用胶南市高级职业技术学校 国家中职示范校建设材料 统一的 IP 地址分配方式，保证 IP 地址的唯一性。 具体来说， IP 地址规划应该遵循以下原则： 可扩展性： IP 地址的规划与划分应该考虑到城域网的业务飞速发展，能够满足未来发展的需要；即要满足本期工程对 IP 地址的需求，同时要充分考虑未来业务发展，预留相应的地址段； 唯一性：一个 IP 网络中不能有两个主机采用相同的 IP 地址； 简单性：地址分配应简单、易于管理，降低网络扩展的复杂性，简化 路由表的款项； 灵活性： IP 地址的分配需要有足够的灵活性，能够满足用户不同的联网需要； 连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。 高效性： IP 地址的分配必须采用 VLSM 技术，充分合理利用已申请的地址空间，保证 IP 地址的利用效率，采用 CIDR 技术，减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小； （二） 校园网内部 IP地址具体规划 对于校园网来说需要全局 IP 地址的情况有以下： 1）对互联网提供信息服务的服务器，这些服务器一般放 置在防火墙的 DMZ 区； 2）内部分配私有 IP地址的网络访问互联网时，需要全局 IP地址做 NAT；3）内部网络中对全局 IP 地址有特定需求的网段，比如学生经常会玩一些网络游戏，一些特定的网络游戏一定要求全局的 IP 地址， NAT能够兼容常见的应用，但对许多特殊的应用是不兼容。 跟 CERNET 和ChinaNet 的互联地址有 ISP 另外分配。 对于校园网的网络设备互联 IP地址，以及没有对全局 IP 地址有特定需求的网段，采用内部网络私有 IP 地址空间或者申请教育网地址块。 （三） NAT 的全局地址 在互联网出口，都需要分配 NAT 的全局 IP 地址。 胶南市高级职业技术学校 国家中职示范校建设材料 从 ISP 分配的全局 IP 地址中分配一段全局 IP 地址，作为校园网内部访问互联网的转换地址。 基于端口的 NAT 转换，一个 IP 地址可以提供 6 万余个 NAT 会话。 （四） IP 地址的分配管理 校园网的信息点多，如何对 IP 地址的分配进行有效的管理，是十分重要的。 针对不同的情况，可以对 IP 地址进行静态或动态的分配方式。 静态分配的情况： 对外提供信息服务的服务器； 校园网内提供信息及管理服务的服务器； 对于一些老师或学生用户，需要对校园网内部或外部提供信息服务的信息点。 路由器、 交换机等网络设备的 IP 地址分配。 动态分配的情况： 不提供信息服务的计算机，只访问校园网内部或互联网的资源。 本方案的接入交换机可以做到以下地址管理： 对于静态分配地址的用户，只有用预先分配的 IP 地址才可以上网；对于动态分配地址的用户，只有通过 DHCP 方式获得 IP 地址才可以上网； 获得有效 IP 地址上网后，试图修改 IP地址，均会自动与网络断线； 以上手段，保证了 IP 地址不会冲突，因而可以对 IP地址资源的使用进行有效的管理和控制。 合理的划分 IP 地址、尽量使用总结路由、可以有效地减少核心设备的负担，提高核心交 换机的效率，减少网络上的路由震荡，同时与交换机专家级 ACL 功能相结合可以对关键的、敏感的区域实现多重的防护。 三、校园网安全规划设计 网络高速畅通也给黑客们带来更多的便利，端口扫描、非法入侵、胶南市高级职业技术学校 国家中职示范校建设材料 拒绝服务、网络嗅探等攻击在高速的网络上如鱼得水。 如何有效地阻止网络的攻击行为，保证网络的高安全。 （一） 设备访问控制安全 本方案中的所有交换机支持 ACL 访问控制，可以限制哪些源地址可以访问该设备。 交换机支持的 ACLs 类型： IP ACLs：用于过滤 IP 报文，包括 TCP 和 UDP。 1. Standard IP access lists (标准 IP接入控制列表 )使用源 IP地址作为匹配的条件 2. Extended IP access lists(扩展 IP 接入控制列表 )使用源 IP地址、目的 IP 地址及可选的协议类型信息作为匹配的条件 Ether ACLs 用于过滤二层数据流： 1. MAC Extended access lists(MAC 扩展控制列表 )使用源 MAC 地址、目的 MAC 地址及可选的以太网类型作为匹配的条件 Expert ACLS 用于过滤二层和三层、二层和四层、二层和三层、四层数据流： 1. Expert Extended access lists(专家扩展控制列表 )使用源 MAC 地址、目的 MAC 地址、以太网类型、源 IP、目的 IP、及可选的协议类型信息作为匹配的条件。 通过设置 ACL 允许指定网段 IP地址访问网络设备，拒绝其它网段 IP 地址对网络设备的访问，这样即使出。