學校計算機網絡技術的選擇及安全維護

【摘要】隨著經濟的飛速發展和社會信息化建設的大力推進，網絡平臺已經成為人們進行業務拓展、經營管理和進行形象宣傳的一個獨特的窗口。建立計算機網絡，早已不再是為了趕潮流或是博取好聽的名聲，而是把網絡技術同管理體系、工作流程和商務運作等緊密地聯系在了一起，充分利用互聯網不受時空限制的信息平臺，建立最直接、豐富、快捷的商務溝通平臺和管理平臺，從而搭建高效的經營管理機制和商務運作平臺。

【關鍵詞】計算機；網絡；技術

一、拓撲結構需求分析

學校共6個辦公室處于同一個樓面。針對在技術規格上的特點，我們采用了交換機用星型的拓撲結構，這種拓撲結構的優點是：

1、容易實現：它所采用的傳輸介質一般都是采用通用的雙絞線，這種傳輸介質相對來說比較便宜，如目前正品五類雙絞線每米也僅1.5元左右，而同軸電纜最便宜的也要2.00元左右一米，光纜那更不用說了。這種拓撲結構主要應用于IEEE 802.2、IEEE 802.3標準的以太局域網中。

2、節點擴展、移動方便：節點擴展時只需要從集線器或交換機等集中設備中拉一條線即可，而要移動一個節點只需要把相應節點設備移到新節點即可，而不會像環型網絡那樣“牽其一而動全局”。

3、便于維護：采用星型結構，網絡故障將先以層為單位被定位在不同的交換層面上，隨后在被定位的層面上很快就可以找出發生故障的交換機或節點，這種方法把復雜的維護問題簡單化。

4、采用廣播信息傳送方式：任何一個節點發送信息在整個網中的節點都可以收到，這在網絡方面存在一定的隱患，但這在局域網中使用影響不大。

5、網絡傳輸數據快：這一點可以從目前最新的1000Mbps到10G以太網接入速度可以看出。

二、網絡結構設計

無論學校規模大小，學校的網絡層次都應采取核心層（網絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網絡）三個網絡層次的設計理念。使用層次清晰的網絡模式，一是方便日后的升級，二是可以減少維護成本。

1、三層交換與VLAN結合

三層交換技術，也稱多層交換技術或IP交換技術，是相對于二層交換技術提出的，因工作在OSI七層網絡標準模型中的第三層而得名。傳統的路由器也工作在第三層，它可以處理大量的跨越IP子網的數據包，但是它的轉發效率比較低，而三層交換技術在網絡標準模型中的第三層實現了分組的高速轉發，效率大大提高。簡單地說，三層交換技術就是“二層交換技術+路由轉發”。它的出現，解決了二層交換技術不能處理不同IP子網之間的數據交換的缺點，又解決了傳統路由器低速、復雜所造成的網絡瓶頸問題。

VLAN（Virtual Local Area Network）即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個不同的網段，從而實現虛擬工作組的技術。它不受網絡用戶的物理位置限制，而是根據用戶需求進行網絡分段。IEEE于1999年頒布了用以標準化VLAN實現方案的802.1q協議標準草案。不同VLAN之間的數據傳輸是通過第三層（網絡層）的路由來實現的，因此，使用VLAN技術，結合數據鏈路層和網絡層的交換設備，可搭建安全可靠的網絡。

劃分VLAN的目的：一是提高網絡安全性，不同VLAN的數據不能自由交流，需要接受第三層的檢驗，因此，在一定程度上加強了虛網間的隔離，有效防止外部用戶入侵，提高了安全性。二是隔離廣播信息，劃分VLAN后，廣播域縮小，有利于改善網絡性能，能夠將廣播風暴控制在一個VLAN內部，同時使網絡管理趨于簡單。三是增強網絡應用的靈活性，VLAN是在一個有多臺交換機的局域網中統一設定的，這使得用戶可以不受所連交換機的限制，不論用戶節點移動到局域網中哪一臺交換機上，只要仍屬于原來的虛網，則應用環境沒有任何改變。在劃分VLAN時，要考慮VLAN對于網絡流量的影響，單個VLAN不宜過大。

2、層次化架構三層網絡

三層網絡架構采用層次化模型設計，即將復雜的網絡設計分成幾個層次，每個層次著重于某些特定的功能，這樣就能夠使一個復雜的大問題變成許多簡單的小問題。三層網絡架構設計的網絡有三個層次：核心層（網絡的高速交換主干）、匯聚層（提供基于策略的連接）、接入層（將工作站接入網絡）。

（1）核心層

核心層是網絡的高速交換主干，對整個網絡的連通起到至關重要的作用。核心層應該具有如下幾個特性：可靠性、高效性、冗余性、容錯性、可管理性、適應性、低延時性等。在核心層中，應該采用高帶寬的千兆以上交換機。因為核心層是網絡的樞紐中心，重要性突出。核心層設備采用雙機冗余熱備份是非常必要的，也可以使用負載均衡功能，來改善網絡性能。

（2）匯聚層

匯聚層是網絡接入層和核心層的“中介”，就是在工作站接入核心層前先做匯聚，以減輕核心層設備的負荷。匯聚層具有實施策略、安全、工作組接入、虛擬局域網（VLAN）之間的路由、源地址或目的地址過濾等多種功能。在匯聚層中，應該采用支持三層交換技術和VLAN的交換機，以達到網絡隔離和分段的目的。

（3）接入層

接入層向本地網段提供工作站接入。在接入層中，減少同一網段的工作站數量，能夠向工作組提供高速帶寬。接入層可以選擇不支持VLAN和三層交換技術的普通交換機。

三、內網安全設計

訪問控制，通過密碼、口令（不定期修改、定期保存密碼與口令）等禁止非授權用戶對服務器的訪問，以及對辦公自動化平臺、的訪問和管理、用戶身份真實性的驗證、內部用戶訪問權限設置、ARP病毒的防御、數據完整、審計記錄、防病毒入侵。

對內部采用：

網絡管理軟件系統：使網管人員對網絡中的實時數據流量情況能夠清晰了解。掌握整個網絡使用流量的平均標準，定位網絡流量的基線，及時發現網絡是否出現異常流量并控制帶寬。

四、應用安全

應用安全，顧名思義就是保障應用程序使用過程和結果的安全。簡言之，就是針對應用程序或工具在使用過程中可能出現計算、傳輸數據的泄露和失竊，通過其他安全工具或策略來消除隱患。

1、內部OA系統中資源共享

嚴格控制內部員工對網絡共享資源的使用。在內部子網中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對有經常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數據。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設得復雜些，也得花費相當長的時間。

2、信息存儲

對有涉及學校秘密信息的用戶主機，使用者在應用過程中應該做到盡量少開放一些不常用的網絡服務。對數據庫服務器中的數據庫必須做安全備份。通過網絡備份系統，可以對數據庫進行遠程備份存儲。

【參考文獻】

[1] 蘇英如， 等. 局域網技術與組網工程[M]. 北京： 中國水利水電出版社， 2006，12.

[2] 雷震甲. 計算機網絡管理[M]. 陜西： 西安電子科技大學出版社， 2006，12.

【作者簡介】

李湞（1988—），男，本科學歷，單位：張家口機械工業學校，主要研究方向：計算機網絡維護課程教學、學校網絡的安裝與維護。