XX大學校園網(wǎng)規(guī)劃設計方案成員姓名夏紅專業(yè)信息管理與信息系統(tǒng)班級B0901信息技術(shù)學院校園網(wǎng)規(guī)劃設計方案I摘要隨著現(xiàn)代化教學活動的廣泛開展，對通過網(wǎng)絡進行信息交流的需求越來越迫切，為促進教學、方便管理和進一步發(fā)揮學生的創(chuàng)造力，校園網(wǎng)絡建設成為現(xiàn)代教育機構(gòu)的必然選擇。本文主要針對中小型校園網(wǎng)建設需求提供網(wǎng)絡規(guī)劃設計方案，在該方案中主要對校園網(wǎng)的各項需求和應用特點進行仔細分析，本著開銷少收益大的原則，充分利用有限的資源，在保證網(wǎng)絡先進性的前提下，選用性價比最好的設備，并對設計目標、系統(tǒng)設計原則、設計標準、系統(tǒng)選型、組網(wǎng)技術(shù)及產(chǎn)品選擇、綜合布線系統(tǒng)、安全接入等內(nèi)容進行說明。通過此方案可以建設一個大容量的、高速率數(shù)據(jù)傳輸?shù)?、安全可靠的、操作方便，易于管理、?jīng)濟實用的校園網(wǎng)，對每個學生在個人的學習道路上都可以按照自己的速度發(fā)展給予幫助。關鍵詞校園網(wǎng)；網(wǎng)絡設計；組網(wǎng)技術(shù)安全接入綜合布線校園網(wǎng)規(guī)劃設計方案II目錄摘要I一、校園網(wǎng)建設的必要性4二、校園網(wǎng)絡需求分析5（一）用戶需求分析5（二）應用特點5（三）校區(qū)網(wǎng)絡的設計目標6（四）系統(tǒng)設計7三、校園網(wǎng)網(wǎng)絡設計9（一）網(wǎng)絡的分層設計原則91核心層CORELAYER92分布層DISTRIBUTIONLAYER93接入層ACCESSLAYER10（二）校園網(wǎng)特性分析101高性能的網(wǎng)絡設計102集成的用戶管理功能103靈活的網(wǎng)絡的可擴展性設計114完善的QOS功能115可靠的網(wǎng)絡安全設計126方便的網(wǎng)絡管理和維護127運營級的網(wǎng)絡高可靠性的設計12（三）系統(tǒng)組成與拓撲結(jié)構(gòu)13（四）IP地址規(guī)劃15四、組網(wǎng)技術(shù)及產(chǎn)品選擇17（一）組網(wǎng)技術(shù)選擇17（二）網(wǎng)絡產(chǎn)品選型181穩(wěn)定可靠的網(wǎng)絡182高帶寬183易擴展的網(wǎng)絡184QOS保證18校園網(wǎng)規(guī)劃設計方案III5安全性196容易控制管理197IPMULTICAST198符合IP發(fā)展趨勢的網(wǎng)絡19（三）系統(tǒng)平臺和應用系統(tǒng)191系統(tǒng)平臺選擇192采用WINDOWS2003SERVER建立FTP服務器19（四）軟件應用201殺毒軟件202系統(tǒng)備份軟件203系統(tǒng)破密204辦公軟件205圖形處理軟件（適合于平面設計班）20五、校園網(wǎng)絡安全接入22（一）校園網(wǎng)絡安全22（二）阻止來自網(wǎng)絡第二層攻擊的重要性24（三）MAC泛濫攻擊防范方法25（四）DHCPSNOOPING技術(shù)概述26六、綜合布線系統(tǒng)27（一）結(jié)構(gòu)化布線設計的要求27（二）系統(tǒng)設計原則271設計原則272設計目標27成績評定表29校園網(wǎng)規(guī)劃設計方案4一、校園網(wǎng)建設的必要性學校是否采用最先進的信息和傳播技術(shù)是一個有決定性意義的問題，而且十分重要的是，學校應該處于影響整個社會深刻變革的中心地位。隨著計算機多媒體和網(wǎng)絡技術(shù)的不斷發(fā)展與普及，校園網(wǎng)信息系統(tǒng)的建設，是非常必要的，也是可行的。主要表現(xiàn)在1當前校園網(wǎng)信息系統(tǒng)已經(jīng)發(fā)展到了與校際互聯(lián)、國際互聯(lián)、靜態(tài)資源共享、動態(tài)信息發(fā)布、遠程教學和協(xié)作工作的階段，發(fā)展對學校教育現(xiàn)代化的建設提出了越來越高的要求。2教育信息量的不斷增多,使各級各類學校、家庭和教育管理部門對教育信息計算機管理和教育信息服務的要求越來越強烈。個人是否具有獲得信息和處理信息的能力對于能否成功進入職業(yè)界和融入社會及文化環(huán)境都是個決定性的因素,因此學校應該培養(yǎng)所有學生具有駕馭和掌握這種技術(shù)的能力。另一方面,信息技術(shù)在作為青少年教育工具的同時也向青少年提供了前所未有的機會。新技術(shù)提供的機會以及它們在教學方面具有的優(yōu)勢都是很多的，特別是計算機和多媒體系統(tǒng)的使用有助于個人化的道路，每個學生在個人的學習道路上都可以按照自己的速度發(fā)展。3我國各級教育研究部門、軟件開發(fā)單位、教學設備供應商和各級學校不斷開發(fā)提供了各種在網(wǎng)絡上運行的軟件及多媒體系統(tǒng)，并且越來越形象化、實用化，迫切需要網(wǎng)絡環(huán)境4現(xiàn)代教育改革的需要。在校園網(wǎng)中將計算機引入教學各個環(huán)節(jié)，從而引起了教學方法，教學手段，教學工具的重大革新。對提高教學質(zhì)量，推動我國教育現(xiàn)代化的發(fā)展起著不可估量的作用。網(wǎng)絡又為學校的管理者和老師提供了獲取資源、協(xié)同工作的有效途徑。毫無疑問，校園網(wǎng)是學校提高管理水平、工作效率、改善教學質(zhì)量的有力手段，是解決信息時代教育問題的基本工具。5隨著經(jīng)濟發(fā)展，我國各級政府對教育的投入不斷加大；計算機技術(shù)的飛速發(fā)展，使相應產(chǎn)品價格不斷下降；同時人們的認識水平和經(jīng)濟實力不斷提高。大量計算機進入學校和家庭，使得計算機用于教育信息管理和信息服務是完全可行的。校園網(wǎng)規(guī)劃設計方案5二、校園網(wǎng)絡需求分析（一）用戶需求分析設計一個網(wǎng)絡，首先要為用戶分析目前面臨的主要問題，確定用戶對網(wǎng)絡的真正需求，并在結(jié)合未來可能的發(fā)展要求的基礎上選擇、設計合適的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡技術(shù)，提供用戶滿意的高質(zhì)服務。網(wǎng)絡在教育教學中起著至關重要的決定，校園網(wǎng)的運作模式會帶來大量動態(tài)的WWW應用數(shù)據(jù)傳輸，會有相當一部分應用的主服務器有高速接入網(wǎng)絡的需求（目前為100/1000MBPS，今后可會更高）。這就要求網(wǎng)絡有足夠的主干帶寬和擴展能力。同時，一些新的應用類型，如網(wǎng)絡教學、視頻直播/廣播等，也對網(wǎng)絡提出了支持多點廣播和寬帶高速接入的要求。除上述考慮外，還要注意到由于邏輯上業(yè)務網(wǎng)和管理網(wǎng)必須分開，所以建成后校園網(wǎng)應能提供多個網(wǎng)段的劃分和隔離，并能做到靈活改變配置，以適應教學辦公環(huán)境的調(diào)整和變化。中心機房到匯聚層節(jié)點采用4兆光纖（多模）連接，匯聚層到接入層采用百兆的五類線（或者超五類）連接。通常考慮，建議數(shù)據(jù)信息點的接入用交換10/100MBPS自適應以太網(wǎng)端口接入，以便能較經(jīng)濟的提供較高的帶寬。整個方案設計的目的是建設一個集數(shù)據(jù)傳輸和備份、多媒體應用、語音傳輸、OA應用和INTERNET訪問等于一體的高可靠、高性能的寬帶多媒體校園網(wǎng)。（二）應用特點隨著現(xiàn)代化教學活動的開展和與國內(nèi)外教學機構(gòu)交往的增多，對通INTERNET/INTRANET網(wǎng)絡進行信息交流的需求越來越迫切，為促進教學、方便管理和進一步發(fā)揮學生的創(chuàng)造力，校園網(wǎng)絡建設成為現(xiàn)代教育機構(gòu)的必然選擇。校園網(wǎng)大都屬于中小型系統(tǒng)，以園區(qū)局域網(wǎng)為主，一個基本的校園網(wǎng)具有以下的特點高速的局域網(wǎng)連接校園網(wǎng)的核心為面向校園內(nèi)部師生的網(wǎng)絡，因此園區(qū)局域網(wǎng)是該系統(tǒng)的建設重點，由于參與網(wǎng)絡應用的師生數(shù)量眾多，而且信息中包含大量多媒體信息，故大容量、高速率的數(shù)據(jù)傳輸是網(wǎng)絡的一項基本要求。校園網(wǎng)規(guī)劃設計方案6信息結(jié)構(gòu)多樣化校園網(wǎng)應用分為電子教學（多媒體教室、電子圖書館等）、辦公管理和遠程通訊（遠程教學、互聯(lián)網(wǎng)接入）三大部分內(nèi)容電子教學包含大量多媒體信息，辦公管理以數(shù)據(jù)庫為主，遠程通訊則多為WWW方式，因此數(shù)據(jù)成分復雜，不同類型數(shù)據(jù)對網(wǎng)絡傳輸有不同的質(zhì)量需求。安全可靠校園網(wǎng)中同樣有大量關于教學和檔案管理的重要數(shù)據(jù)，不論是被損壞、丟失還是被竊取，都將帶來極大的損失。操作方便，易于管理校園網(wǎng)面向不同知識層次的教師、學生和辦公人員，應用和管理應簡便易行，界面友好，不宜太過專業(yè)化。經(jīng)濟實用學校對網(wǎng)絡建設的投入有限，因此要求建成的網(wǎng)絡應經(jīng)濟實用，具備很高的性能價格比。（三）校區(qū)網(wǎng)絡的設計目標校區(qū)網(wǎng)絡建設的目標應該是建成后的網(wǎng)絡能充分利用INTERNET、國家信息網(wǎng)、教育網(wǎng)、全國高?；ヂ?lián)網(wǎng)上的各種信息，實現(xiàn)資源共享，能夠為在此校區(qū)學習的學生提供豐富的多媒體教學手段，實現(xiàn)高質(zhì)高效的教學目標。由此，我們認為，校園網(wǎng)網(wǎng)絡是一個典型的面向未來的網(wǎng)絡化、信息化、自動化的集娛樂、教學、辦公于一體的，具備多媒體綜合業(yè)務發(fā)展需求的園區(qū)網(wǎng)絡。系統(tǒng)總體設計將本著總體規(guī)劃、分布實施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進性、高度的安全可靠性，同時具有良好的開放性、可擴展性。本著為學校校區(qū)著想，合理使用建設資金，使系統(tǒng)經(jīng)濟可行。學校網(wǎng)絡應當實現(xiàn)如下功能訪問互聯(lián)網(wǎng)絡訪問學校虛擬網(wǎng)絡校園網(wǎng)站建立遠程教育VOD點播網(wǎng)絡安全管理電子郵件和電子公告計算機輔助教學教師備課功能校園網(wǎng)規(guī)劃設計方案7對外交流校園管理平臺信息資源庫（四）系統(tǒng)設計建設校園網(wǎng)絡，本著少花錢辦大事的原則，充分利用有限的投資，在保證網(wǎng)絡先進性的前提下，選用性能價格比最好的設備，我們認為校園網(wǎng)建設應該遵循以下原則先進性以先進、成熟的網(wǎng)絡通信技術(shù)進行組網(wǎng)，支持數(shù)據(jù)、語音、視像等多媒體應用，用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)。標準化和開放性網(wǎng)絡協(xié)議采用符合ISO及其他標準，如IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從國際和國家標準的網(wǎng)絡設備?？煽啃院涂捎眯赃x用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)在程序運行時的應變能力和容錯能力，確保整個系統(tǒng)的安全與可靠。設備的兼容性選用符合國際發(fā)展潮流的國際標準的軟件技術(shù)，以便系統(tǒng)有可靠性強、可擴展和可升級等特點，保證今后可迅速采用計算機網(wǎng)絡發(fā)展出現(xiàn)的新技術(shù)，同時為現(xiàn)存不同的網(wǎng)絡設備、小型機、工作站、服務器、和微機等設備提供入網(wǎng)和互連手段。實用性和經(jīng)濟性從實用性和經(jīng)濟性出發(fā)，著眼于近期目標和長期的發(fā)展，選用先進的設備，進行最佳性能組合，利用有限的投資構(gòu)造一個性能最佳的網(wǎng)絡系統(tǒng)。安全性和保密性在接入INTERNET的情況下，必須保證網(wǎng)上信息和各種應用系統(tǒng)的安全。擴展性和升級能力網(wǎng)絡設計應具有良好的擴展性和升級能力，選用具有良好升級能力和擴展性的設備。在以后對該網(wǎng)絡進行升級和擴展時，必須能保護現(xiàn)有投資。應支持多種網(wǎng)絡協(xié)議、多種高層協(xié)議和多媒體應用。網(wǎng)絡的靈活性校園網(wǎng)規(guī)劃設計方案8系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與負載平衡等方面，配合交換機產(chǎn)品與路由器產(chǎn)品支持的最先進的虛擬網(wǎng)絡技術(shù)，整個網(wǎng)絡系統(tǒng)可以通過軟件快速簡便地將用戶或用戶組從一個網(wǎng)絡轉(zhuǎn)移到另一個網(wǎng)絡，可以跨越辦公室、辦公樓，而無需任何硬件的改變，以適應機構(gòu)的變化。同時也可以通過平衡網(wǎng)絡的流量，以提高網(wǎng)絡的性能校園網(wǎng)規(guī)劃設計方案9三、校園網(wǎng)網(wǎng)絡設計（一）網(wǎng)絡的分層設計原則核心層高速交換技術(shù)分布層基于策略的操作接入層本地/遠程工作組接入可擴展性因為網(wǎng)絡可模塊化增長而不會遇到問題。簡單性通過將網(wǎng)絡分成許多小單元，降低了網(wǎng)絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的問題。設計的靈活性使網(wǎng)絡容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡不會對其他層次造成影響，無需改變整個環(huán)境。可管理性層次結(jié)構(gòu)使單個設備的配置的復雜性大大降低，更易管理。1核心層CORELAYER核心層為下兩層提供優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應卷入到具體的數(shù)據(jù)包的運算中ACL，過濾等，否則會降低數(shù)據(jù)包的交換速度。2分布層DISTRIBUTIONLAYER分布層提供基于統(tǒng)一策略的互連性，它是核心層和訪問層的分界點，定義了網(wǎng)絡的邊界，對數(shù)據(jù)包進行復雜的運算。在園區(qū)網(wǎng)絡環(huán)境中，分布層主要提供如下功能地址的聚集部門和工作組的接入廣播域/多目傳輸域的定義INTERVLAN路由任何介質(zhì)的轉(zhuǎn)換安全控制從邏輯上，校園網(wǎng)絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優(yōu)點可以總結(jié)為如下幾點校園網(wǎng)規(guī)劃設計方案103接入層ACCESSLAYER接入層的主要功能是為最終用戶提供對園區(qū)網(wǎng)絡訪問的途徑。本層也可以提供進一步的調(diào)整，如ACCESSLISTFILTERING等。在園區(qū)網(wǎng)絡環(huán)境中，接入層主要提供如下功能帶寬共享（SHAREDBANDWIDTH）交換帶寬（SWITCHEDBANDWIDTH）MAC層過濾（MACLAYERFILTERINGPOSSIBLY）微分網(wǎng)段（MICROSEGMENTATION）在廣域網(wǎng)環(huán)境中，接入層主要提供通過FRAMERELAY、ISDN、LEASEDLINE連入遠程節(jié)點。（二）校園網(wǎng)特性分析1高性能的網(wǎng)絡設計設備的高性能核心節(jié)點的交換機是整個校園網(wǎng)絡的核心，應當采用有多層交換功能的交換機。核心交換機應采用模塊化設計，有良好的擴展性能、多種接入模塊；具備增強的網(wǎng)絡傳輸能力，支持VLAN、RIP和OSPF協(xié)議、服務質(zhì)量（QOS）、IP組播、DHCP中繼和AAA認證等功能；支持通用的管理特性（SNMP），能使用流行的網(wǎng)管軟件對它進行管理，如HPOPENVIEW等。會聚層交換連接核心和接入層，應當采用帶VLAN和網(wǎng)管功能的中低檔交換機。匯聚層交換機具有快速的級聯(lián)核心的以太端口以及高速堆疊模塊；帶VLAN子網(wǎng)劃分功能，能很好的管理接入層用戶；支持IEEE8021Q、VTP、SNMP等協(xié)議。網(wǎng)絡的高性能設計整個校園的建設可以采用全交換方式，100兆到每個接入層用戶。有效的子網(wǎng)劃分和流量控制使整個校園網(wǎng)絡能高速、安全的運行。2集成的用戶管理功能提供完善的用戶管理機制，實現(xiàn)全面的用戶認證、鑒權(quán)和計費AAA功能。用戶管理引擎實現(xiàn)了根據(jù)用戶MAC地址、VLANID和IP地址的綁定關系鑒別用戶的合法性的功能。可根據(jù)用戶的權(quán)限，實現(xiàn)對用戶訪問資源的控制。校園網(wǎng)規(guī)劃設計方案11實現(xiàn)基于VLANID/MAC地址、接入模塊號和接入設備號的全程用戶唯一標識，便于用戶管理（開戶、銷戶、欠費停機等）和網(wǎng)絡故障維護。3靈活的網(wǎng)絡的可擴展性設計網(wǎng)絡的擴展性對網(wǎng)絡業(yè)務的發(fā)展至關重要，它直接決定了校園網(wǎng)是否能夠在節(jié)約成本的基礎上跟上網(wǎng)絡技術(shù)的發(fā)展和滿足學校信息不斷增長的需要，一個擴展性差的網(wǎng)絡不僅為學校的投資造成了巨大的浪費，同時又無法滿足學校網(wǎng)絡業(yè)務不斷發(fā)展和信息的增長的需要，為了保證網(wǎng)絡能夠不斷的適應學校網(wǎng)絡業(yè)務今后發(fā)展的不斷需求，可以采用以下的措施來保證網(wǎng)絡的擴展性。（1）所選擇的網(wǎng)絡設備應當具有良好的擴展性。選擇的網(wǎng)絡設備最好是模塊化的，便于網(wǎng)絡的擴大和更改，其中核心交換機應具有多種模塊類型，以滿足各種網(wǎng)絡類型的接入。匯聚層交換機可以采用一款可堆疊的網(wǎng)管型以太網(wǎng)交換機，半/全雙工模式自適應，具有擴展槽，能使用多種可選模塊。（2）所選擇的設備都具有良好的軟件再升級能力。我們所選擇的網(wǎng)絡設備都是可以通過軟件升級來不斷的滿足客戶的新的需求同時跟上網(wǎng)絡技術(shù)的發(fā)展。由于網(wǎng)絡的技術(shù)層出不窮，用戶的需求也不斷增加，現(xiàn)在是新的技術(shù)，再過一段時間就會落后了，為了保證用戶的網(wǎng)絡產(chǎn)品能夠跟上這一節(jié)奏，而不需要更換網(wǎng)絡設備，從而減少了用戶的投資。4完善的QOS功能帶寬控制特性以太網(wǎng)是一種基于廣播機制的共享型技術(shù)，任何一個位于以太網(wǎng)上的用戶均可以向網(wǎng)上發(fā)送信息，在以太網(wǎng)的技術(shù)中沒有具體帶寬控制的機理。網(wǎng)絡產(chǎn)品應提供對用戶帶寬控制的功能。帶寬控制通過對每一個用戶的上行帶寬與下行帶寬進行限制，保證對每個用戶的公平性，防止在共享型網(wǎng)絡結(jié)構(gòu)中某一用戶長期惡意霸占帶寬而導致其他用戶無法享受服務的現(xiàn)象。QOS控制特性隨著IP網(wǎng)絡規(guī)模的不斷擴大，網(wǎng)上的實時業(yè)務量也在不斷增長，同時網(wǎng)絡上的應用類型多種多樣，不同的應用對網(wǎng)絡的需求也有所不同。IP網(wǎng)絡中引入QOS技術(shù)，就是為了確保實時業(yè)務的通信質(zhì)量，滿足各種業(yè)務對網(wǎng)絡資源的需求，使網(wǎng)上資源獲得最佳利用，降低成本，改善對用戶的服務校園網(wǎng)規(guī)劃設計方案125可靠的網(wǎng)絡安全設計安全性是網(wǎng)絡設計要考慮的最重要的因素之一，設計中充分考慮了網(wǎng)絡的安全性，具體體現(xiàn)在以下幾個方面1通過VLAN的劃分，限制了不同VLAN之間的互訪，從而保證了不同網(wǎng)絡之間不會發(fā)生未經(jīng)授權(quán)的非法訪問。2在核心節(jié)點可提供基于地址的ACCESSLIST，以控制用戶對于關鍵資源的訪問。通過在匯聚和核心交換機上設置VLAN路由以及訪問過濾，保證了在VLAN之間只有被允許的訪問才能發(fā)生，而未經(jīng)授權(quán)的訪問都會被禁止。3通過對上網(wǎng)的安全教育，提高安全意識，特別是增強計算機操作人員的密碼管理意識，以防止由于操作員密碼有意無意泄露給他人而造成的損失。4制定嚴格的安全制度，包括人員審查制度、崗位定職定責制度、使用計算機的權(quán)限制度以及防病毒制度，從制度上保證網(wǎng)絡安全性得以實現(xiàn)。5可以對所有的重要事件進行LOG，這樣方便網(wǎng)絡管理員進行故障查找；6可以對所有的TELNET以及SNMP的訪問進行限制，從而最大程度地保證匯聚層系統(tǒng)地安全。7可以在接入層中通過限制MAC地址的訪問提高網(wǎng)絡安全。6方便的網(wǎng)絡管理和維護（1）為了提高網(wǎng)絡管理能力設計中所有設備最好具有網(wǎng)管功能，不存在光纖收發(fā)器等類似不可網(wǎng)管設備，提高了網(wǎng)絡可靠性和可管理。（2）支持通用的網(wǎng)絡管理協(xié)議如（SNMP），方便網(wǎng)絡的管理和維護。（3）支持通用的的網(wǎng)絡管理軟件，如CISCOCISCOWORKS、HPOPENVIEW、3COMTRENSAND。7運營級的網(wǎng)絡高可靠性的設計可以從兩方面來考慮關鍵設備的主要模塊和電源的冗余備份考慮在網(wǎng)絡設計中所涉及的所有主要設備，均采用高可靠設計的原則。核心關鍵部件的冗余備份電源冗余、主控板冗余、模塊冗余等。網(wǎng)絡鏈路的冗余備份考慮校園網(wǎng)規(guī)劃設計方案13（三）系統(tǒng)組成與拓撲結(jié)構(gòu)校園網(wǎng)的建設主要是為了教學應用，而多媒體輔助教學和多媒體教室是教學應用的核心，在網(wǎng)絡建設時應考慮多媒體信息的特點，如信息量大，對時間延遲敏感等；在校園網(wǎng)中常會出現(xiàn)幾十個學生執(zhí)行相同操作的現(xiàn)象，所以要考慮并發(fā)信息的控制；學生利用網(wǎng)絡做作業(yè)，教師要在家撥號訪問學校網(wǎng)絡，學籍管理信息在網(wǎng)上傳輸，所以也要考慮網(wǎng)絡的安全性，防止黑客破壞網(wǎng)絡，學生抄襲作業(yè)；校園網(wǎng)又是面向不同知識層次的教師、學生和辦公人員的工具，它幫助我們更好地提高教學水平、辦公效率和學習興趣，所以應用和管理應簡便易行，界面友好，不宜太專業(yè)化?？紤]到該學校的具體情況如性質(zhì)、規(guī)模、財務等，這是一個相對小型的校園網(wǎng)絡，單一建筑內(nèi)的網(wǎng)絡應用，我們提出以下校園網(wǎng)解決方案方案特點如下支持多媒體應用，包括多媒體教室、電子閱覽室、多媒體教學；高性能，全交換，滿足用戶需求；（3）管理簡單，瀏覽器方式無需專門培訓；（4）系統(tǒng)安全，保密性高；（5）ADSL連接方式，按需建立連接降低鏈路費用。（6）互聯(lián)網(wǎng)接入，安全的廣域網(wǎng)訪問。拓撲結(jié)構(gòu)圖31校園網(wǎng)規(guī)劃設計方案14由圖可看出，網(wǎng)絡設備組成為CATALYST2900交換機五臺,CISCO850路由器一臺。思科公司的CISCO850路由器是這一網(wǎng)絡的核心設備，可降低擁有成本，簡化遠程管理，提供結(jié)合CSU/DSU、復用器、調(diào)制解調(diào)器、語音/數(shù)據(jù)網(wǎng)關、ISDNNT1、防火墻、VPN、加密和壓縮設備的集成化網(wǎng)絡。CATALYST2900交換機它提供了24個10/100M自適應的快速以太網(wǎng)端口，。這是一個全交換的網(wǎng)絡，相對共享式集線器而言，交換機各端口擁有獨占的帶寬，能實現(xiàn)多路并行傳輸，不易發(fā)生沖突，能為多媒體信息提供更好的保障?？紤]到INTERNET接入是校園網(wǎng)的發(fā)展趨勢，在這套解決方案中都用到了路由器來引入廣域網(wǎng)的遠程連接，這套方案中用到了思科公司的低端路由器CISCO850，它提供了對內(nèi)的10/100M局域網(wǎng)接口和對外的ADSL連接，通過INTERNET實現(xiàn)遠程教學或教學演播等應用。傳輸穩(wěn)定，連接迅速。在實現(xiàn)基本數(shù)據(jù)傳遞的基礎上，用戶可以根據(jù)自己的需要靈活選用上述網(wǎng)絡設備中的某些性能。如路由器和交換機的組內(nèi)廣播功能可為多媒體信息的傳輸提供更高的服務質(zhì)量；而CATALYST2900之間建立快速以太網(wǎng)通道，在全雙工模式下達到400M的高速級聯(lián)；此外，850路由器兼任了防火墻思科公司系列中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在承擔遠程連接的同時實施數(shù)據(jù)包檢驗和校園網(wǎng)規(guī)劃設計方案15過濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中對連接到INTERNET這一開放網(wǎng)絡的。用戶來說，安全性是網(wǎng)絡設計中不容忽視的一項重要因素。這套方案的好處是簡便易行，成本很低，并且兼顧了教學、管理和通訊三方面應用。方案中所用到的產(chǎn)品都屬思科公司產(chǎn)品中的低端設備，在實現(xiàn)高性價比的桌面應用的同時又做到易于配置和管理CATALYST2900屬即插即用的設備，如果不添加特殊功能則不需任何配置，CISCO850的設置和管理也十分方便，這樣用戶使用起來將得心應手，無后顧之憂。（四）IP地址規(guī)劃通過PROXY或NAT方式使私有地址能夠訪問公網(wǎng)資源在申請的公網(wǎng)IP地址不能完全滿足每個信息點一個的情況下，可以采用公網(wǎng)地址與私網(wǎng)地址結(jié)合的方式。但是有時分配了私網(wǎng)地址的客戶端也要訪問INTERNET。針對這種情況，可以采用不同的技術(shù)使私有地址能夠訪問公網(wǎng)資源。通?？梢岳么矸誔ROXY和網(wǎng)絡地址轉(zhuǎn)換NAT這兩項技術(shù)。園區(qū)網(wǎng)分配IP地址方案，一個有效的IP地址規(guī)劃或IP地址方案就是在地址資源的效率性和管理的方便性之間找到最佳的平衡點。按行政隸屬劃分是指按信息節(jié)點的行政隸屬關系將用戶按校園各部門進行IP地址分配規(guī)劃。由于各部門之間在地域位置上并不一定集中，但需要統(tǒng)一管理，因此我們建議采用行政隸屬的方式劃分IP地址段。按樓宇規(guī)劃在傳統(tǒng)的網(wǎng)絡平臺上很難實現(xiàn)。主要是因為傳統(tǒng)的網(wǎng)絡平臺局限于設備的地理位置，無法跨地域進行靈活規(guī)劃。但現(xiàn)今的網(wǎng)絡平臺都支持虛擬網(wǎng)絡VLAN技術(shù)。該技術(shù)避開了物理位置的缺陷，可以在邏輯上靈活組網(wǎng)。因此，IP網(wǎng)段規(guī)劃可以與VLAN的劃分相一致。規(guī)劃每個網(wǎng)段中的信息點數(shù)時，既要考慮到當前IP地址資源的充分利用性，又要預留出適當?shù)臄U展余地，因此如果采用私網(wǎng)地址分配IP，建議我們都采用1921681025525500的網(wǎng)絡，根據(jù)具體的部門情況再分為具體的子網(wǎng)。從經(jīng)驗角度，通常一個IP網(wǎng)段也是一個獨立的VLAN，也就是一個獨立的廣播域。一個網(wǎng)段內(nèi)的信息節(jié)點數(shù)在40200個時，性能和地址資源的最佳利用性較理想，并且將來可擴充到254個。寬帶接入用戶接入寬帶IP網(wǎng)的方式可以有多種形式首先，用戶利用固定IP地址接入，則無需其它的認證過程，只需將用戶所連的交換機端口劃入某一特點VLAN即可；其次用戶通過PPP方式接入，即虛擬撥號方式，則需要一個專用的PPP終結(jié)設備終結(jié)PPP進程，通過對PPP進程的認證，可以確認用戶身份；用戶還可以利用DHCP獲得IP地址。另外交換機可以實現(xiàn)專校園網(wǎng)規(guī)劃設計方案16用VLAN技術(shù)，可以通過配置選擇實現(xiàn)在同一VLAN內(nèi)用戶是否可以互通，進行數(shù)據(jù)交換。根據(jù)學校的教務和公務的情況，劃分以下兩個子網(wǎng)即可。表32學校網(wǎng)絡終端分布專業(yè)機房臺式PC機16臺萬博機房一臺式PC機16臺萬博機房二臺式PC機18臺教室一2臺（臺式機1臺、筆記本1臺）教室二2臺（臺式機1臺、筆記本1臺）教室三臺式PC機19臺多媒體教室2臺（臺式機1臺、筆記本1臺）辦公室10臺（臺式機5臺、筆記本5臺）校長室筆記本1臺學生會辦公室臺式PC機2臺咨詢室1臺式PC機1臺咨詢室2筆記本2臺前臺臺式PC機1臺表32IP子網(wǎng)劃分方案子網(wǎng)號IP網(wǎng)段默認網(wǎng)關說明CHJW19216810/2519216811（包括教室三清華萬博六班、萬博1機房等所有的教務場所）CHGW1921681128/251921681129（包括校長室、辦公室等所有辦公場所）校園網(wǎng)規(guī)劃設計方案17四、組網(wǎng)技術(shù)及產(chǎn)品選擇（一）組網(wǎng)技術(shù)選擇在校園網(wǎng)絡的建設中，主干網(wǎng)選擇何種網(wǎng)絡技術(shù)對網(wǎng)絡建設的成功與否起著決定性的作用。選擇適合校園網(wǎng)絡需求特點的主流網(wǎng)絡技術(shù)，不但能保證網(wǎng)絡的高性能，還能保證網(wǎng)絡的先進性和擴展性，能夠在未來向更新技術(shù)平滑過渡，保護用戶的投資。目前在局域網(wǎng)絡上應用最廣泛的技術(shù)有以太網(wǎng)、快速以太網(wǎng)、FDDI、TOKENRING以及最新崛起的ATM（異步傳輸模式）、千兆以太網(wǎng)等。交換式以太網(wǎng)作為幾年前主干網(wǎng)組網(wǎng)的主要技術(shù)，現(xiàn)在主要被用于工作組級組網(wǎng)，使網(wǎng)絡交換到桌面工作站。快速以太網(wǎng)是一種非常成熟的組網(wǎng)技術(shù)，造價很低，性能價格比很高，可作為資金不很充裕的中小型單位組建INTRANET網(wǎng)的首選技術(shù)?？焖僖蕴W(wǎng)技術(shù)現(xiàn)在被廣泛用于大型企業(yè)網(wǎng)的二級、三級網(wǎng)絡組網(wǎng)或直接連至桌面工作站。FDDI也是一種成熟的組網(wǎng)技術(shù)，但技術(shù)復雜、造價高，F(xiàn)DDI網(wǎng)絡難以向更先進的網(wǎng)絡技術(shù)升級，現(xiàn)在用FDDI組建主干網(wǎng)的情況已非常少見。ATM技術(shù)成熟而復雜，組網(wǎng)成本高，是多媒體應用系統(tǒng)的理想網(wǎng)絡平臺。但是，網(wǎng)絡帶寬的實際利用率很低。在選擇校園校區(qū)網(wǎng)絡技術(shù)時應該考慮如下（1）長遠來看如何保護現(xiàn)有投資。保護現(xiàn)有投資的有效途徑就是在將來網(wǎng)絡技術(shù)升級時還能使用現(xiàn)有的網(wǎng)絡技術(shù)和產(chǎn)品。如同計算機的發(fā)展速度一樣，網(wǎng)絡技術(shù)的發(fā)展也是非常迅速的。從目前的趨勢來看，采用快速以太網(wǎng)技術(shù)是最適宜的。（2）在校園網(wǎng)網(wǎng)絡的建設中，主干網(wǎng)選擇何種網(wǎng)絡技術(shù)對網(wǎng)絡建設的成功與否起著決定性的作用。選擇校園網(wǎng)網(wǎng)絡需求特點的主流網(wǎng)絡技術(shù)，不但能保證網(wǎng)絡的高性能，還能保證網(wǎng)絡的先進性和擴展性，能夠在未來向更新技術(shù)平滑過渡，保護用戶的投資。根據(jù)我們對校園網(wǎng)網(wǎng)絡需求的分析并結(jié)合目前高速主干網(wǎng)絡技術(shù)的特點，我公司建議采用快速以太網(wǎng)技術(shù)作為校園網(wǎng)的主干網(wǎng)絡。校園網(wǎng)規(guī)劃設計方案18（二）網(wǎng)絡產(chǎn)品選型校區(qū)網(wǎng)絡建設應該以應用為核心，在設計中充分考慮到教育管理和多媒體教學的要求，并且網(wǎng)絡技術(shù)上應該具有一定的先進性，同時還要為以后的擴展留有一定的空間。為此校園校區(qū)網(wǎng)絡應該能達到以下要求1穩(wěn)定可靠的網(wǎng)絡只有運行穩(wěn)定的網(wǎng)絡才是可靠的網(wǎng)絡，而網(wǎng)絡的可靠運行取決于諸多因素，如網(wǎng)絡的設計，產(chǎn)品的可靠，而選擇一個具有運營此類網(wǎng)絡規(guī)模經(jīng)驗的網(wǎng)絡合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層的備份技術(shù)。2高帶寬由于校園校區(qū)網(wǎng)絡應用的特殊性，它對整個網(wǎng)絡系統(tǒng)的性能要求相對來說比較高。其中，網(wǎng)絡速率要求主要的信息點100M交換到桌面，園區(qū)網(wǎng)中各終端間具有快速交換功能。為了支持數(shù)據(jù)、話音、視像多媒體的傳輸能力，在技術(shù)上要到達當前的國際先進水平。要采用最先進的網(wǎng)絡技術(shù)，以適應大量數(shù)據(jù)和多媒體信息的傳輸，既要滿足目前的業(yè)務需求，又要充分考慮未來的發(fā)展。為此應選用高帶寬的先進技術(shù)。3易擴展的網(wǎng)絡系統(tǒng)要有可擴展性和可升級性。易擴展不僅僅指設備端口的擴展，還指網(wǎng)絡結(jié)構(gòu)的易擴展性即只有在網(wǎng)絡結(jié)構(gòu)設計合理的情況下，新的網(wǎng)絡節(jié)點才能方便地加入已有網(wǎng)絡；網(wǎng)絡協(xié)議的易擴展無論是選擇第三層網(wǎng)絡路由協(xié)議，還是規(guī)劃第二層虛擬網(wǎng)的劃分，都應注意其擴展能力。對于核心網(wǎng)絡設備，要求骨干交換機具備第三層交換能力，要求支持今后的視頻點播、電視電話會議的寬帶多媒體應用，并要求留有一定的擴充能力。4QOS保證隨著網(wǎng)絡中多媒體的應用越來越多，這類應用對服務質(zhì)量的要求較高，本網(wǎng)絡系統(tǒng)應能保證QOS，以支持這類應用。校園網(wǎng)規(guī)劃設計方案195安全性網(wǎng)絡系統(tǒng)應具有良好的安全性，由于網(wǎng)絡連接園區(qū)內(nèi)部所有用戶，安全管理十分重要。網(wǎng)絡具有防止及便于捕殺病毒功能。應支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統(tǒng)的安全性。校區(qū)網(wǎng)絡與校園網(wǎng)相連后具有“防火墻”過濾功能，以防止網(wǎng)絡黑客入侵網(wǎng)絡系統(tǒng)?？蓪尤胍蛱鼐W(wǎng)的各網(wǎng)絡用戶進行權(quán)限控制。6容易控制管理對于網(wǎng)絡管理，要求采用智能化網(wǎng)絡管理軟件，實現(xiàn)對網(wǎng)絡的自動監(jiān)測和控制。并支持虛擬網(wǎng)絡功能，對網(wǎng)絡用戶具有分類控制功能。7IPMULTICAST由于校園校區(qū)網(wǎng)絡中包含許多多媒體應用通信，會存在許多的廣播信息，占用大量的帶寬資源。所以網(wǎng)絡系統(tǒng)應能支持IPMULTICAST，可以減少網(wǎng)絡中不必要的廣播，節(jié)省主干的帶寬。8符合IP發(fā)展趨勢的網(wǎng)絡在當前任何一個提供服務的網(wǎng)絡中，對IP的支持服務是最普遍的，而IP技術(shù)本身又處在發(fā)展變化中，如IPV6，IPQOS，IPOVERSONET等等新興的技術(shù)不斷出現(xiàn)，校園網(wǎng)絡必須跟緊IP發(fā)展的步伐，也就是必須選擇處于IP發(fā)展領導地位的網(wǎng)絡廠商。（三）系統(tǒng)平臺和應用系統(tǒng)1系統(tǒng)平臺選擇系統(tǒng)平臺的建設主要包括網(wǎng)絡操作系統(tǒng)、桌面平臺、數(shù)據(jù)庫、防火墻等的選擇。一般校園網(wǎng)絡，服務器系統(tǒng)平臺可以選擇微軟WINDOWS2003SERVER操作系統(tǒng)的解決方案，提供域名服務、WWW服務、FTP服務、EMAIL服務等。具有強大的網(wǎng)絡功能和可二次開發(fā)性。桌面操作系統(tǒng)比較可以選擇XP和LINUX等平臺。校園網(wǎng)規(guī)劃設計方案202采用WINDOWS2003SERVER建立FTP服務器一般來說，用戶聯(lián)網(wǎng)的首要目的就是實現(xiàn)信息共享，文件傳輸是信息共享非常重要的一個內(nèi)容之一。在校園內(nèi)部信息交流是非常頻繁，所以有必要在網(wǎng)絡中使用WINDOWS2003SERVER架設起一個FTP服務器。（四）軟件應用在客戶終端上還必須要安裝些應用軟件來保證和維護校園辦公和教務的正常進行1殺毒軟件360安全衛(wèi)士是國內(nèi)最受歡迎免費安全軟件，它擁有查殺流行木馬、清理惡評及系統(tǒng)插件，管理應用軟件，卡巴斯基殺毒，系統(tǒng)實時保護，修復系統(tǒng)漏洞等數(shù)個強勁功能，同時還提供系統(tǒng)全面診斷，彈出插件免疫，清理使用痕跡以及系統(tǒng)還原等特定輔助功能，并且提供對系統(tǒng)的全面診斷報告，方便用戶及時定位問題所在，真正為每一位用戶提供全方位系統(tǒng)安全保護。2系統(tǒng)備份軟件NORTONGHOST是應用最廣泛的克隆復制工具軟件。它首先將已有的硬盤創(chuàng)建映像，隨后將其自動克隆到任意數(shù)量的機器上。它可以在克隆過程中自動分區(qū)并格式化目的磁盤，而無需任何準備工作。可以說，NORTONGHOST是安裝、升級、維護計算機系統(tǒng)的最佳軟件。3系統(tǒng)破密PASSWAREKIT是世界著名的密碼恢復工具合集，幾乎可以破解當今所有文件的密碼，功能強大，不論是遺忘的OFFICE、WINDOWS、ZIP、RAR壓縮文件密碼它都能幫您統(tǒng)統(tǒng)找回來4辦公軟件OFFICE2003最流行的最實用的文字處理軟件的最新版本經(jīng)過多年的客戶體驗和反饋提供創(chuàng)新,您可以利用這些創(chuàng)新創(chuàng)建出外觀給人留下深刻印象的文件。提高你的辦事能力，為你的工作帶來方便提高的辦公效率校園網(wǎng)規(guī)劃設計方案215圖形處理軟件（適合于平面設計班）設計繪畫CORELDRAW是一個繪圖與排版的軟件，它廣泛地應用于商標設計、標志制作、模型繪制、插圖描畫、排版及分色輸出等諸多領域。作為一個強大的繪圖軟件，它被喜愛的程度可用下面的事實說明用作商業(yè)設計和美術(shù)設計的PC機幾乎都安裝了CORELDRAWCORELDRAW是基于矢量圖的軟件色。它的功能可大致分為兩大類繪圖與排版。CORELDRAW界面設計有好，操作精微細致。它提供了設計者一整套的繪圖工具包括圓形、矩形、多邊形、方格、螺旋線，并配合塑形工具，對各種基本以做出更多的變化，如圓角矩形，弧、扇形、星形等。同時也提供了特殊筆刷，如壓力筆、書寫筆、噴灑器等，以便充分地利用電腦處理信息量大，隨機控制能力高的特點。校園網(wǎng)規(guī)劃設計方案22五、校園網(wǎng)絡安全接入（一）校園網(wǎng)絡安全校園網(wǎng)絡承擔著整個校園的通訊樞紐功能，連接著所有的應用服務器和數(shù)據(jù)系統(tǒng)，任何網(wǎng)絡安全問題都會擾亂學校辦公、教務的正常運轉(zhuǎn)，給學校帶來不可彌補的損失。目前在局域網(wǎng)中遇到的問題主要有以下幾種（1）IP地址的管理問題，包括IP地址非法使用、IP地址沖突和IP地址欺騙。利用ARP欺騙獲取賬號、密碼、信息，甚至惡意篡改信息內(nèi)容、嫁禍他人問題。（2）木馬、蠕蟲病毒攻擊導致的信息失竊、網(wǎng)絡癱瘓問題。（3）攻擊或病毒源機器的快速定位、隔離問題。（4）IP的地址管理一直是長期困擾局域網(wǎng)安全穩(wěn)定運行的首要問題。在局域網(wǎng)上任何用戶使用未經(jīng)授權(quán)的IP地址都應視為IP非法使用。由于終端用戶可以自由修改IP地址，從而產(chǎn)生了IP地址非法使用問題。改動后的IP地址在局域網(wǎng)中運行時可能出現(xiàn)以下情況。（5）非法的IP地址即IP地址不在規(guī)劃的局域網(wǎng)范圍內(nèi)（6）重復的IP地址與已經(jīng)分配且正在局域網(wǎng)運行的合法的IP地址發(fā)生資源沖突，使合法用戶無法上網(wǎng)（7）冒用合法用戶的IP地址當合法用戶不在線時，冒用其IP地址聯(lián)網(wǎng)，使合法用戶的權(quán)益受到侵害無論是有意或無意地使用非法IP地址都可能會給企業(yè)帶來嚴重的后果，如重復的IP地址會干擾、破壞網(wǎng)絡服務器和網(wǎng)絡設備的正常運行，甚至導致網(wǎng)絡的不穩(wěn)定，從而影響業(yè)務；擁有被非法使用的IP地址所擁有的特權(quán)，威脅網(wǎng)絡安全；利用欺騙性的IP地址進行網(wǎng)絡攻擊，如富有侵略性的TCPSYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務器進行顛覆的一種攻擊方式，一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。校園網(wǎng)規(guī)劃設計方案23為了防止非法使用IP地址，增強網(wǎng)絡安全，最常見的方法是采用靜態(tài)的ARP命令捆綁IP地址和MAC地址，從而阻止非法用戶在不修改MAC地址的情況下冒用IP地址進行的訪問，同時借助交換機的端口安全即MAC地址綁定功能可以解決非法用戶修改MAC地址以適應靜態(tài)ARP表的問題。但這種方法由于要事先收集所有機器的MAC地址及相應的IP地址，然后還要通過人工輸入方法來建立IP地址和MAC地址的捆綁表，不僅工作量繁重，而且也難以維護和管理。另一個顯著的問題就是帶有攻擊特性的ARP欺騙。地址解析協(xié)議（ARP，ADDRESSRESOLUTIONPROTOCOL）最基本的功能是用來實現(xiàn)MAC地址和IP地址的綁定，這樣兩個工作站才可以通訊，通訊發(fā)起方的工作站以MAC廣播方式發(fā)送ARP請求，擁有此IP地址的工作站給予ARP應答，并附上自己的IP和MAC地址。ARP協(xié)議同時支持一種無請求ARP功能，局域網(wǎng)段上的所有工作站收到主動ARP，會將發(fā)送者的MAC地址和其宣布的IP地址保存，覆蓋以前的同一IP地址和對應的MAC地址。術(shù)語“ARP欺騙”或者說“ARP中毒”就是指利用主動ARP來誤導通信數(shù)據(jù)傳往一個惡意計算機的黑客技術(shù)，該計算機就能成為某個特定局域網(wǎng)網(wǎng)段上的兩臺終端工作站之間IP會話的“中間人”了。如果黑客想探聽同一網(wǎng)絡中兩臺主機之間的通信（即使是通過交換機相連），他會分別給這兩臺主機發(fā)送一個ARP應答包，讓兩臺主機都“誤”認為對方的MAC地址是第三方黑客所在的主機，這樣，雙方看似“直接”的通信連接，實際上都是通過黑客所在的主機間接進行的。黑客一方面得到了想要的通信內(nèi)容，并可以通過工具破譯賬號、密碼、信息，另一方面，還可以惡意更改數(shù)據(jù)包中的一些信息。同時，這種ARP欺騙又極具隱蔽性，攻擊完成后再恢復現(xiàn)場，所以不易發(fā)覺、事后也難以追查，被攻擊者往往對此一無所知。病毒入侵問題也是所有客戶普遍關心的問題。這些病毒，可以在極短的時間內(nèi)迅速感染大量系統(tǒng)，甚至造成網(wǎng)絡癱瘓和信息失竊，給客戶造成嚴重損失。木馬病毒往往會利用ARP的欺騙獲取賬號和密碼，而蠕蟲病毒也往往利用IP地址欺騙技術(shù)來掩蓋它們真實的源頭主機。例如“局域網(wǎng)終結(jié)者”（WIN32HACKARPKILL）病毒，通過偽造ARP包來欺騙網(wǎng)絡主機，使指定的主機網(wǎng)絡中斷，嚴重影響到網(wǎng)絡的運行。最后，令網(wǎng)絡管理員頭痛的問題是如何準確定位。當出現(xiàn)IP地址被非法使用、IP地址沖突，或網(wǎng)絡出現(xiàn)異常流量包括由于網(wǎng)絡掃描、病毒感染和網(wǎng)絡攻擊產(chǎn)生的流量，為了查找這些IP地址的機器，一般采用如下步驟1確定出現(xiàn)問題的IP地址。校園網(wǎng)規(guī)劃設計方案242查看當前網(wǎng)絡設備的ARP表，從中獲得網(wǎng)卡的MAC地址。3檢查交換機的MAC地址列表，確定機器位置。這個過程往往要花費大量的時間才能夠定位機器具體連接的物理端口，而對于偽造的源IP地址要查出是從哪臺機器產(chǎn)生的就更加困難了。如果不能及時對故障源準確地定位、迅速地隔離，將會導致嚴重的后果，即使在網(wǎng)絡恢復正常后隱患依然存在。（二）阻止來自網(wǎng)絡第二層攻擊的重要性工具對網(wǎng)絡進行掃描和嗅探，獲取管理賬戶和相關密碼，在網(wǎng)絡上中安插木馬，從而進行進一步竊取機密文件。木馬、蠕蟲病毒的攻擊不僅僅是攻擊和欺騙，同時還會帶來網(wǎng)絡流量加大、設備CPU利用率過高、二層生成樹環(huán)路、網(wǎng)絡癱瘓等現(xiàn)象。網(wǎng)絡第二層的攻擊是網(wǎng)絡安全攻擊者最容易實施，也是最不容易被發(fā)現(xiàn)的安全威脅，它的目標是讓網(wǎng)絡失效或者通過獲取諸如密碼這樣的敏感信息而危及網(wǎng)絡用戶的安全。因為任何一個合法用戶都能獲取一個以太網(wǎng)端口的訪問權(quán)限，這些用戶都有可能成為黑客，同時由于設計OSI模型的時候，允許不同通信層在相互不了解情況下也能進行工作，所以第二層的安全就變得至關重要。如果這一層受到黑客的攻擊，網(wǎng)絡安全將受到嚴重威脅，而且其他層之間的通信還會繼續(xù)進行，同時任何用戶都不會感覺到攻擊已經(jīng)危及應用層的信息安全。所以，僅僅基于認證（如IEEE8021X）和訪問控制列表（ACL，ACCESSCONTROLLISTS）的安全措施是無法防止本文中提到的來自網(wǎng)絡第二層的安全攻擊。一個經(jīng)過認證的用戶仍然可以有惡意，并可以很容易地執(zhí)行本文提到的所有攻擊。目前這類攻擊和欺騙工具已經(jīng)非常成熟和易用。歸納前面提到的局域網(wǎng)目前普遍存在的安全問題，根據(jù)這些安全威脅的特征分析，這些攻擊都來自于網(wǎng)絡的第二層，主要包括以下幾種1MAC地址泛濫攻擊2DHCP服務器欺騙攻擊3ARP欺騙CISCOCATALYST交換系列的創(chuàng)新特性針對這類攻擊提供了全面的解決方案，將發(fā)生在網(wǎng)絡第二層的攻擊阻止在通往內(nèi)部網(wǎng)的第一入口處，主要基于下面的幾個關鍵的技術(shù)1PORTSECURITY校園網(wǎng)規(guī)劃設計方案252DHCPSNOOPING3DYNAMICARPINSPECTIONDAI下面主要針對目前這些非常典型的二層攻擊和欺騙說明如何在思科交換機上組合運用和部署上述技術(shù)，從而防止在交換環(huán)境中的“中間人”攻擊、MAC/CAM攻擊、DHCP攻擊、地址欺騙等，更具意義的是通過上面技術(shù)的部署可以簡化地址管理，直接跟蹤用戶IP和對應的交換機端口，防止IP地址沖突。同時對于大多數(shù)具有地址掃描、欺騙等特征的病毒可以有效的報警和隔離。（三）MAC泛濫攻擊防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似MACOF工具和SQL蠕蟲病毒發(fā)起的攻擊，MACOF可被網(wǎng)絡用戶用來產(chǎn)生隨機源MAC地址和隨機目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機的CAM表。CISCOCATALYST交換機的端口安全（PORTSECURITY）和動態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學MAC地址數(shù)為3IP電話、工作站和IP電話內(nèi)的交換機。通過端口安全功能，網(wǎng)絡管理員也可以靜態(tài)設置每個端口所允許連接的合法MAC地址，實現(xiàn)設備級的安全授權(quán)。動態(tài)端口安全則設置端口允許合法MAC地址的數(shù)目，并以一定時間內(nèi)所學習到的地址作為合法MAC地址。通過配置PORTSECURI