xx校园网络设计方案书

xx校园网络设计方案书内容摘要：

带宽 170Mbps l 网络端口 3+1个管理快速以太网端口、可升级到5个快速以太网端口、1个SSM 扩展插槽 l 用户数限制无用户数限制 l 入侵检测 DoS l 安全标准UL 1950, CSA No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001 l 控制端口console l 管理思科安全管理器 (CSManager)l VPN支持 选择该型号是因为价格适中,且功能齐全,较适合本校园网建设。 在内部网络和外网之间之间通过防火墙，建立起一个DMZ 区。 与外网关联业务的服务器都可以放在DMZ 区，Internet 上的用户只能到达DMZ区相应的服务器。 并且内部网络到Internet 的连接，是通过NAT 地址翻译的方式进行，可以充分隐藏和保护内部网络和DMZ区设备。 防火墙在内外网络连接中起两个作用：l 利用访问控制列表（Access Control List ，ACL）实安全防护防火墙操作系统IOS 通过访问控制列表（ACL）技术支持包过滤防火墙技术，根据事先确定的安全策略建立相应的访问列表，可以对数据包、路由信息包进行拦截与控制，可以根据源/目的地址、协议类型、TCP 端口号进行控制。 这样，我们就可以在Extranet 上建立第一道安全防护墙，屏蔽对内部网Intranet 的非法访问。 例如，我们可以通过ACL 限制可以进入内部网络的外部网络甚至是某一台或几台主机；限制可以被访问的内部主机的地址；为保证主机的安全，可以限制外部用户对主机的一些危险应用如TELNET 等。 l 利用地址转换（Network Address Translation，NAT）实现安全保护防火墙另外一个强大功能就是内外地址转换。 进行IP 地址转换由两个好处：其一是隐藏内部网络真正的IP 地址，这可以使黑客（hacker）无法直接攻击内部网络，因为它不知道内部网络的IP 地址及网络拓扑结构；另一个好处是可以让内部网络使用自己定义的网络地址方案，而不必考虑与外界地址冲突的情况。 地址转换（NAT）技术运用在内部主机与外部主机之间的互相访问的时候，当内部访问者想通过路由器外出时，路由器首先对其进行身份认证通过访问列表（ACL）核对其权限，如果通过，则对其进行地址转换，使其以一个对外公开的地址访问外部网络；当外部访问者想进入内部网时，路由器同样首先核对其访问权限，然后根据其目的地址（外部公开的地址），将其数据包送到经过地址转换的相应的内部主机。 在XX学院网络工程和今后各种应用系统的建设过程中，在局域网上我们可以根据不同部门、不同业务类别划分VLAN（虚网），通过把不同系统划分在不同VLAN 的方式，将各系统完全隔离，实现对跨系统访问的控制，既保证了安全性，也提高了可管理性。 l VLAN（虚网）技术和VLAN 路由技术VLAN 技术用以实现对整个局域网的集中管理和安全控制。 CISCO 局域网交换机的一大优势是具备跨交换机的VLAN（虚网）划分和VLAN 路由功能。 虚网是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，就如同是物理上完全分离的网络一样，是一种安全的防护。 通过VLAN 路由实现对跨部门访问的控制，既保证了安全性，也提高了可管理性。 l InterVLAN Routing 原理每一个VLAN 都具有一个标识，不同的VLAN 标识亦不相同，交换机在数据链路层上可以识别不同的VLAN 标识，但不能修改该VLAN 标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。 InterVLAN Routing 技术是在网络层将VLAN标识进行转换，使得不同的VLAN 间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Accesslist （访问列表限制）、FireWall(防火墙)、TACACS+等，InterVLAN Routing 技术使我们获得了对不同VLAN 间数据流动的强有力控制。 l MAC 地址过滤策略在内部网中还可以利用Cisco 交换机的MAC 地址过滤功能对局域网的访问提供链路层的安全控制。 MAC 地址过滤能进一步实现对局域网的安全控制。 CISCO局域网交换机具有MAC 地址过滤功能，通过在交换机上对每个端口进行配置，可以禁止或允许特定MAC 地址的源站点或目的站点，从而实现各站点之间的访问控制。 由于每块网卡有唯一的MAC 地址，是固定不变的，只允许特定MAC 地址的工作站通过特定的端口进行访问，所以对MAC 地址的访问控制实际上就是对指定工作站这一物理设备的访问控制，由于MAC 地址的不可改变，与对IP 地址的过滤相比，具有更高的安全性。 l 访问安全控制从确保网络访问的安全出发，路由器对所有远程拨号访问连接都由Radius设置AAA(Authentication Authorization Account，即认证、授权、记帐)级安全控制，防止非法用户的访问。 同时，在计费服务器上，也提供Radius 认证方式，两者可以配合使用。 （也可以只采用计费服务器上的Radius认证）。 具体的实现细节如下：在网络中配置一台安装Cisco Secure 软件的服务器，Cisco Secure 软件使用Radius（Remote Authentication Dialin User Service）协议提供对网络的安全控制，并对成功连接到网络的用户的操作进行记录。 对于远程拨号访问，配置PPP 协议提供的CHAP（Challenge Handshake Authorization Protocol）认证协议，该协议是一个基于标准的认证服务，而且在传输过程中使用加密保护，与在传输用户ID和口令时不使用加密的PAP 协议相比，具有更大的安全性，可提供用户ID 和口令在传输线上的安全保护。 RADIUS 提供的AAA 级安全控制首先根据用户名和口令识别在本网络中是否允许该用户访问，从而决定是否建立连接；其次对经过认证连接到网络的用户授予相应的网络服务级别，提供访问的限制；最后保留用户在本网络中的所有操作记录（日志），这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。 AAA 在Client/Server 体系中允许在一个中心数据库中存储所有的安全息，在一台装有Cisco Secure 软件的安全服务器上通过对数据库的修改和维护就可方便地对整个系统进行很好的安全控制。 Cisco Secure 软件由一个Daemon 和一个GUI 两部分组成。 Daemon 的操作依赖于两个文件，一个用于定义所有的系统参数的控制文件和一个包含了网络用户所有认证和授权信息的数据库文件。 GUI 提供给系统管理员用于维护认证和授权信息等，网络用户可被分配到具有一系列相同参数的组，GUI 使系统管理员能够修改网络中任一组和任一用户的认证和授权参数。 网络管理系统设计网络管理性能是衡量一个网络系统性能高低的重要因素之一。 网络管理系统完成设置网络设备、监控网络运行、保障网络安全，查找并隔离网络故障，记录网络中的各种事件以及划分虚拟网络等功能。 总之，对所有网络上的信息进行统一管理。 网管通常结合硬件和软件的手段来实施，对不同的拓扑结构及不同的物理和逻辑部分进行监控和分析。 OSI 定义网管系统支持传统五大网管功能：故障管理、配置管理、计费管理、安全管理以及性能管理。 这些管理功能由网管系统和网络设备共同完成。 结合校园网的实际情况，我们认为，安全管理与计费管理可以由网络管理模块配合专用的软（硬）件管理产品来共同实现，网络管理的主要任务应落实在故障管理、配置管理和性能管理这三个方面。 配置管理l 网络节点插板、端口和冗余结构的配置和管理；l 网络节点访问口。