學(xué)校計算機(jī)網(wǎng)絡(luò)技術(shù)的選擇及安全維護(hù)

【摘要】隨著經(jīng)濟(jì)的飛速發(fā)展和社會信息化建設(shè)的大力推進(jìn)，網(wǎng)絡(luò)平臺已經(jīng)成為人們進(jìn)行業(yè)務(wù)拓展、經(jīng)營管理和進(jìn)行形象宣傳的一個獨特的窗口。建立計算機(jī)網(wǎng)絡(luò)，早已不再是為了趕潮流或是博取好聽的名聲，而是把網(wǎng)絡(luò)技術(shù)同管理體系、工作流程和商務(wù)運作等緊密地聯(lián)系在了一起，充分利用互聯(lián)網(wǎng)不受時空限制的信息平臺，建立最直接、豐富、快捷的商務(wù)溝通平臺和管理平臺，從而搭建高效的經(jīng)營管理機(jī)制和商務(wù)運作平臺。

【關(guān)鍵詞】計算機(jī)；網(wǎng)絡(luò)；技術(shù)

一、拓?fù)浣Y(jié)構(gòu)需求分析

學(xué)校共6個辦公室處于同一個樓面。針對在技術(shù)規(guī)格上的特點，我們采用了交換機(jī)用星型的拓?fù)浣Y(jié)構(gòu)，這種拓?fù)浣Y(jié)構(gòu)的優(yōu)點是：

1、容易實現(xiàn)：它所采用的傳輸介質(zhì)一般都是采用通用的雙絞線，這種傳輸介質(zhì)相對來說比較便宜，如目前正品五類雙絞線每米也僅1.5元左右，而同軸電纜最便宜的也要2.00元左右一米，光纜那更不用說了。這種拓?fù)浣Y(jié)構(gòu)主要應(yīng)用于IEEE 802.2、IEEE 802.3標(biāo)準(zhǔn)的以太局域網(wǎng)中。

2、節(jié)點擴(kuò)展、移動方便：節(jié)點擴(kuò)展時只需要從集線器或交換機(jī)等集中設(shè)備中拉一條線即可，而要移動一個節(jié)點只需要把相應(yīng)節(jié)點設(shè)備移到新節(jié)點即可，而不會像環(huán)型網(wǎng)絡(luò)那樣“牽其一而動全局”。

3、便于維護(hù)：采用星型結(jié)構(gòu)，網(wǎng)絡(luò)故障將先以層為單位被定位在不同的交換層面上，隨后在被定位的層面上很快就可以找出發(fā)生故障的交換機(jī)或節(jié)點，這種方法把復(fù)雜的維護(hù)問題簡單化。

4、采用廣播信息傳送方式：任何一個節(jié)點發(fā)送信息在整個網(wǎng)中的節(jié)點都可以收到，這在網(wǎng)絡(luò)方面存在一定的隱患，但這在局域網(wǎng)中使用影響不大。

5、網(wǎng)絡(luò)傳輸數(shù)據(jù)快：這一點可以從目前最新的1000Mbps到10G以太網(wǎng)接入速度可以看出。

二、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

無論學(xué)校規(guī)模大小，學(xué)校的網(wǎng)絡(luò)層次都應(yīng)采取核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）三個網(wǎng)絡(luò)層次的設(shè)計理念。使用層次清晰的網(wǎng)絡(luò)模式，一是方便日后的升級，二是可以減少維護(hù)成本。

1、三層交換與VLAN結(jié)合

三層交換技術(shù)，也稱多層交換技術(shù)或IP交換技術(shù)，是相對于二層交換技術(shù)提出的，因工作在OSI七層網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第三層而得名。傳統(tǒng)的路由器也工作在第三層，它可以處理大量的跨越IP子網(wǎng)的數(shù)據(jù)包，但是它的轉(zhuǎn)發(fā)效率比較低，而三層交換技術(shù)在網(wǎng)絡(luò)標(biāo)準(zhǔn)模型中的第三層實現(xiàn)了分組的高速轉(zhuǎn)發(fā)，效率大大提高。簡單地說，三層交換技術(shù)就是“二層交換技術(shù)+路由轉(zhuǎn)發(fā)”。它的出現(xiàn)，解決了二層交換技術(shù)不能處理不同IP子網(wǎng)之間的數(shù)據(jù)交換的缺點，又解決了傳統(tǒng)路由器低速、復(fù)雜所造成的網(wǎng)絡(luò)瓶頸問題。

VLAN（Virtual Local Area Network）即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個個不同的網(wǎng)段，從而實現(xiàn)虛擬工作組的技術(shù)。它不受網(wǎng)絡(luò)用戶的物理位置限制，而是根據(jù)用戶需求進(jìn)行網(wǎng)絡(luò)分段。IEEE于1999年頒布了用以標(biāo)準(zhǔn)化VLAN實現(xiàn)方案的802.1q協(xié)議標(biāo)準(zhǔn)草案。不同VLAN之間的數(shù)據(jù)傳輸是通過第三層（網(wǎng)絡(luò)層）的路由來實現(xiàn)的，因此，使用VLAN技術(shù)，結(jié)合數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的交換設(shè)備，可搭建安全可靠的網(wǎng)絡(luò)。

劃分VLAN的目的：一是提高網(wǎng)絡(luò)安全性，不同VLAN的數(shù)據(jù)不能自由交流，需要接受第三層的檢驗，因此，在一定程度上加強(qiáng)了虛網(wǎng)間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網(wǎng)絡(luò)性能，能夠?qū)V播風(fēng)暴控制在一個VLAN內(nèi)部，同時使網(wǎng)絡(luò)管理趨于簡單。三是增強(qiáng)網(wǎng)絡(luò)應(yīng)用的靈活性，VLAN是在一個有多臺交換機(jī)的局域網(wǎng)中統(tǒng)一設(shè)定的，這使得用戶可以不受所連交換機(jī)的限制，不論用戶節(jié)點移動到局域網(wǎng)中哪一臺交換機(jī)上，只要仍屬于原來的虛網(wǎng)，則應(yīng)用環(huán)境沒有任何改變。在劃分VLAN時，要考慮VLAN對于網(wǎng)絡(luò)流量的影響，單個VLAN不宜過大。

2、層次化架構(gòu)三層網(wǎng)絡(luò)

三層網(wǎng)絡(luò)架構(gòu)采用層次化模型設(shè)計，即將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復(fù)雜的大問題變成許多簡單的小問題。三層網(wǎng)絡(luò)架構(gòu)設(shè)計的網(wǎng)絡(luò)有三個層次：核心層（網(wǎng)絡(luò)的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網(wǎng)絡(luò)）。

（1）核心層

核心層是網(wǎng)絡(luò)的高速交換主干，對整個網(wǎng)絡(luò)的連通起到至關(guān)重要的作用。核心層應(yīng)該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應(yīng)性、低延時性等。在核心層中，應(yīng)該采用高帶寬的千兆以上交換機(jī)。因為核心層是網(wǎng)絡(luò)的樞紐中心，重要性突出。核心層設(shè)備采用雙機(jī)冗余熱備份是非常必要的，也可以使用負(fù)載均衡功能，來改善網(wǎng)絡(luò)性能。

（2）匯聚層

匯聚層是網(wǎng)絡(luò)接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設(shè)備的負(fù)荷。匯聚層具有實施策略、安全、工作組接入、虛擬局域網(wǎng)（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應(yīng)該采用支持三層交換技術(shù)和VLAN的交換機(jī)，以達(dá)到網(wǎng)絡(luò)隔離和分段的目的。

（3）接入層

接入層向本地網(wǎng)段提供工作站接入。在接入層中，減少同一網(wǎng)段的工作站數(shù)量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術(shù)的普通交換機(jī)。

三、內(nèi)網(wǎng)安全設(shè)計

訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權(quán)用戶對服務(wù)器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內(nèi)部用戶訪問權(quán)限設(shè)置、ARP病毒的防御、數(shù)據(jù)完整、審計記錄、防病毒入侵。

對內(nèi)部采用：

網(wǎng)絡(luò)管理軟件系統(tǒng)：使網(wǎng)管人員對網(wǎng)絡(luò)中的實時數(shù)據(jù)流量情況能夠清晰了解。掌握整個網(wǎng)絡(luò)使用流量的平均標(biāo)準(zhǔn)，定位網(wǎng)絡(luò)流量的基線，及時發(fā)現(xiàn)網(wǎng)絡(luò)是否出現(xiàn)異常流量并控制帶寬。

四、應(yīng)用安全

應(yīng)用安全，顧名思義就是保障應(yīng)用程序使用過程和結(jié)果的安全。簡言之，就是針對應(yīng)用程序或工具在使用過程中可能出現(xiàn)計算、傳輸數(shù)據(jù)的泄露和失竊，通過其他安全工具或策略來消除隱患。

1、內(nèi)部OA系統(tǒng)中資源共享

嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經(jīng)常交換信息需求的用戶，在共享時也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機(jī)制不是很安全，但對一般用戶而言，還是起到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費相當(dāng)長的時間。

2、信息存儲

對有涉及學(xué)校秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。通過網(wǎng)絡(luò)備份系統(tǒng)，可以對數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲。

【參考文獻(xiàn)】

[1] 蘇英如， 等. 局域網(wǎng)技術(shù)與組網(wǎng)工程[M]. 北京： 中國水利水電出版社， 2006，12.

[2] 雷震甲. 計算機(jī)網(wǎng)絡(luò)管理[M]. 陜西： 西安電子科技大學(xué)出版社， 2006，12.

【作者簡介】

李湞（1988—），男，本科學(xué)歷，單位：張家口機(jī)械工業(yè)學(xué)校，主要研究方向：計算機(jī)網(wǎng)絡(luò)維護(hù)課程教學(xué)、學(xué)校網(wǎng)絡(luò)的安裝與維護(hù)。