宋小龙 赵肖楠
脱墨纸(长春光学精密机械学院电子与信息工程分院)
摘 要 本文从校园网体系统结构设计、服务器的选择、网络安全的实施等角度, 关键词 校园网;代理服务器;网络安全
中图分类号 T P393 文献标识码 A
建设校园网络系统是每个高校信息化建设和发展的必然抉择,它是一个现代高校的基本办学环境之一。我院从1999年开始建设校院网以来,立足于学校的现状和发展,充分考虑校园网络建设技术的发展趋势,建设一个先进、可靠、实用、安全的网络信息基础平台。我院的校院网现已做完两期工程:
第一期(1999年),这一阶段使用3台服务器以共享10Mbps 以太网组成,通过Cis co3600路由器以64K DDN 专用方式接入CERNET 。
第二期(2000年7月~2001年1月),建立了办公局域网并和Internet 相连。这一时期,增加一条128K ISDN 专线与中国电信网(CHINAET)相连;并完成了校内办公楼、教学楼等五个楼宇80多个信息点的布线工作。
1 校园网体系结构带通滤波器
1 1 主干网
主干网是数据信息流动的动脉,同时担负着信息流动的总调度任务。主干网具有如下四个功能:
为子网间互联实现核心高速交换;
提供高速路由;
连接全网共享的高性能服务器;
实现全网的系统管理和安全管理。
主干网采用快速以太网设计方案。使用高性能、高可靠性、具有冗余配置的交换机,方便管理与维护。主干交换机支持高速VLANS 路由处理,通过高速交换链路边接各交换子网,全网统一进行VLANS 划分与管理。
1 2 子网
子网按照校园内的地理分布进行划分。每个子网覆盖一栋楼。子网通过楼层间的主干与 收稿日期:2001-02-16 作者简介:宋小龙,男,主要从事校园网的运行和管理工作。
第24卷第2期
长春光学精密机械学院学报Vol 24 N o 22001年6月Journal of Changchun Institute of Optics and Fine M echanics June.2001
网络中心相连。子网是一个相对独立的局域网,内部采用以太网交换技术作为主要连接手段,通过高速交换链路与主干网汇接。
1 3 工作组网
工作组网可以根据行政部门划分,也可以按地理分布划分,是子网的组成部分,采用交换式以太网作为工作组网的组网方案。每个工作组的交换机/集线器连接到子网交换机上。
我院主干网采用6芯多模光纤为主信息通道,为长远发展留下冗余。主干采用三层交换的百兆以太网技术,为简化网络管理,网络拓扑结构设计为星型(参见图1)。在网络中心以一台BayAccelar1100路由
交换机为中心,该交换机配4口100M SC 和16个10/100M T X 口,作为百兆的星形核心;在各楼宇设一台配有24口10/100M 自适应、可堆叠、可扩展的Bay Stack450路由交换机作为楼宇局域网的中心,它通过多模光纤上连BayAccelar1100交换机,形成100M
比重瓶法的光纤主干。
图1 校园网拓扑结构
2 网络中心信息服务系统
网络中心的硬件系统包括:由三台HP E60计算机分别作为DNS (域名解析服务器)、WWW (主页服务器)、MALL (电子函件服务器);由一台HP LH3000服务器作为代理服务器;同时还包括交换机、路由器和拨号网络系统。
软件系统包括:服务器系统软件Windows 2000advance server 中文版;代理服务器软件M icrosoft Proxy Server2 0。
校园网的服务器系统是采用以代理服务器为主域控制器的单主域控制方法,校园网的所有用户均在 域中。Windows2000中的Active Directory 服务提供统一的网络查看画面和大幅减少网络管理员/用户必须处理的目录与名称空间(Name Space)数目。因此,Active Directory 扩充现有的标准规格与通讯协议、具延展性的阶层式网域、提高可用性68长春光学精密机械学院学报2001年 的最佳化复制、以及与其他目录沟通的应用程序设计界面。通过服务器间的信任关系,使校园网用户名及口令与MAIL 服务器的用户名及口令统一起来,便于用户的使用和对用户的管理。
2 1 系统实现的具体方法
我院的校园网所有用户都是通过代理服务器连入Internet 的(参见图2)
图2 连入网络路径
中国教育科研网(CERNET )和中国电信网(CHI
NANET)这两大网络体系,就其自身而言,各自的网络速度
是可惟满足用户需要的。但在这两个网络体系之间的连接带
宽却很小,这就产生了瓶颈效应。致使两网间的互访速度很
喷砂工艺
慢。
我院校园网一期工程结束时,仅以DDN 专线接入CER
NET,因此在访问CHINANET 上的网站时(如:新浪、搜
狐等),速度较慢。所以,在二期网建设中,加入了一条
128K 的ISDN 专线与CHINANET 连接。在代理服务器上设有两块网卡分别与DDN 和ISDN 专线连接。
并在路由器中设置了相应的路由表,使上CERNET 的用户连入DDN,上CH INANET 的用户连入ISDN 。这样就提高了用户访问中国教育研网和中国电信网的速度,同时也节省了用户的上网费用。
2 2 客户机端的设置
客户机是通过Proxy Client 软件实现与代理服务器连接的。
1)客户机首先安装Window s98操作系统,在 网络 中加入T CP/IP 协议。欧米伽3榨油机
2)通过 网上邻居 由Proxy Server 服务器在客户端安装Proxy Client 软件,网卡IP 地址设为:192 168 * *,子网掩码设为:255 255 255 0,网关为:192 168 * 1。
3)在IE 浏览器中配置代理。
3 校园网的安全性策略
为了保证我校校园网数据信息的可用性和完整性,在校园网内必须建立相应的网络安全策略和防护措施。
3 1 行政监管与用户教育
就目前国内校园网建设的经验上看,网络安全性问题,在技术手段没有完全解决情况下,行政管理手段是非常重要的,甚至是一种主要的解决手段,所以必须完善网络安全制度。并且用户的网络安全及防范意识普遍不高,定期的网络安全教育和指导是十分必要的。3 2 技术措施
从网络的使用上,技术措施分为对校园网内及对校园外安全策略和防护措施。
1)对外安全技术措施
设立包过滤路由器。在内外网交界处(边缘路由器Cisco3600)按需设立包过滤原则及访问控制原则。禁止校园网外任何对校园网上任何非Internet 主机的访问,同时禁止校园网内任何非授权主机对Internet 的直接访问。设立Internet 访问代理服务器,作为校园内访问69第2期宋小龙等:校园网的设计与实现
70长春光学精密机械学院学报2001年
Internet的桥梁。在Cisco路由器上可用Access-list及IP access-group指令组实现。
通过网络管理软件建立完善的Internet访问日志,以利网络访问的追踪。对Internet主机的访问建立访问日志,并对日志做备份。今后将随校园网应用的提高及安全性要求的提升安装专用的外防火墙系统。
2)对内安全技术措施
按IP地址划分虚网,任何校园网上的主机必须位于分配的虚网中。虚网的建立不仅提高了局域网的安全性,在一定程度上有效地防止了IP地址的盗用,非本工作组的通信,也滤掉了不必要的信息,减少了网间信息流量,节约了带宽,虚网的设立同时简化了网络的管理。
用户身份认证。用户要使用校园网上的资源,必须通过身份认证,禁止任何非授权的访问。
4 结束语
尽管我们已经建立了自己的校园网,并连入了CERNET和CH INANET;并有了一定的规模。但校园网建设是一个系统工程,是一个动态的、不断完善的过程,而不是一蹴而就,一劳永逸的。在校园网建设中不但要考虑到硬件设备的正常运行和不断升级,也要充分认识到软件应用和系统维护的重要性。网络的资源建设要跟上,人员的培训也要与之同步,不断优化网络配置,丰富网络资源,加强人员培训,才能充分发挥网络的优势,享受网络带来的诸多便利。在信息时代,网络将成为人们获取信息和交流的重要手段。
INT ERNET发展促进了CERNET的发展,CERNET的发展带动了校园网的发展,网络将延伸到社会的各个角落。网络的发展会给人们带来更多的便利,网络将成为人们生活的重要组成部分。
参 考 文 献
mp3机
1 CERN ET研究与发展(第四卷) 1999
2 周明天 T CP/I P网络理论与技术 北京:清华大学出版社1998
3 ww
Design and Implementation of Our Campus Network
Song X iaolong Zhao X iaonan
(College of Electronics and I nf or mation Engineering of Changchun I nst.Op t.and Fine M ech.) Abstract This paper describes design and implementation of our campus network,w ith its fo cus on overall framew ork of our netw ork,network security and etc.
Key words Campus netw ork;Prox y server;Netw ork administration;Network safety
