需求调研与分析阶段主要完成用户方网络系统调查, 了解用户方局域网规划的要求, 或用户方对原有局域网规划升级改造的要求, 需求调研与分析包括局域网的综合布线、通信平台、服务器、网络操作系统、网络应用系统以及网络管理维护和安全方面的综合分析, 为下一步制定适合用户方需求的局域网组建方案打好基础。
笔者结合多年设计、建设和运行维护局域网的经验, 并根据Internet时代的局域网规划的需求调研与分析, 总结出局域网规划设计要从以下几个方面进行性能的分析。
(1) 实用性:网络系统的硬件设备和软件程序应易于安装、管理和维护;
(2) 先进性:采用国际先进、主流、成熟的技术、方法, 采用先进的交换机、路由器、服务器等设备, 以及先进的网络操作系统以及网络应用系统, 反映国际先进水平;
(3) 可靠性:系统必须可靠运行是网络组建与应用的生命线, 在一个完整的网络系统中, 任何一个环节出现故障将导致整个系统的不可靠;
(4) 开放性:网络通信设备如先进的交换机、路由器、服务器应使用开放的标准和技术, 有利于网络设备和系统后期扩充以及与外部互连设备互联互通;
(5) 可扩充性:不仅要考虑近期目标, 也要考虑在系统结构、产品系统、系统容量与处理能力等方面必须具有升级换代的可能, 为网络的进一步发展留有扩展的余地;
(6) 网络传输的有效性:提高网络传输的有效性, 即提高传输吞吐量除以传输利用率得到的结果。它涉及网络通信设备合理的规划与构建、网络应用系统合理的规划与构建。系统应该具有良好的网络监控、故障分析、网络管理的处理能力;
(7) 安全性:采用有效的安全保密技术以及访问控制机制, 灵活方便的权限设定和控制机制。
以校园网的规划设计为例, 进行局域网的总体结构设计。
目前, 连接校园各栋大楼的主干线路采用多模光纤作为传输材料, 校园网的主干通信线路以星形方式构成。光纤不仅具有通信容量大的优点, 而且具有通信距离长、抗干扰、抗雷电等良好的性能, 可采用架空或埋地等铺设方式。此外也可以采用超五类双绞线作为干线, 但必须做好防雷措施, 比如铁管埋地进入室内等。根据学校的实际情况, 连接校园各栋大楼的主干线路可以采用Lucent SYSTIMAX OptiSPEED室外光纤, 连接校园各栋大楼的主干线路系统结构图如图1所示。
在进行软件的选择时, 考虑到安全性和稳定性等因素。使用软件方案如下。
网络平台:Windows XP Professional Edition中文版/Linux;
工作站端:Windows XP Home Edition中文版;
数据库开发平台:Microsoft SQL Server2000/MySql;
邮件通讯软件:Microsoft Exchange Server 5.5/Sendmail;
应用软件包括:办公自动化软件:Micro soft Ofice 2000/XP。
采用了Cisco+HP方案, 星型结构。采用一台Cisco公司的Catalyst5000系列带路由的三层交换机, 支持多层交换, 内部集成路由功能, 具备高容量、无阻塞、优质的管理能力和可靠的多媒体支持等特点, 是整个校园网的数据交换中心, 为l0/l00/1000Mbit以太网交换提供智能第三层业务。可提供快速以太网、以太网的接口摸板、可定义虚拟网, 它具有十分强大的功能。
行政楼和初中教学楼以及高中教学楼采用catalyst3500系列交换机作为节点交换机, 对一些分散的节点采用D—LINK交换机。组成快速以太工作组网。
网络服务器包括文件服务器、Intenet服务器、网管工作站。采用H P服务器, 通过l00Mh/s双绞线与Catalyst5000相连。用文件服务器和Intemet服务器, 它提供DNS、E—mail、TeIIlet、WAIS、FrP、WEB等服务:一台PC机通过l00Mb/s接到Catalyst5000, 用作网络管理和应用开发平台。
采用特定的网络信息记录、特定内容过滤、特定线索跟踪和日志分析等多种技术手段进行监测控制。对网络安全的设计采取以下方案:
在校园网络的出口处, 部署外购的硬件网络防火墙, 在校园内部网络和公共网络之间形成一道安全屏障, 在保证网络性能的前提下, 通过防火墙提供有效的过滤防护功能, 高效采集进出校园网的数据, 对非法访问的用户进行第一层过滤。
在校园的隔离区和教学区, 部署边界防火墙, 并根据需要部署主机防火墙, 对用户进行恰当的管理和监控, 这是非法访问的用户进行的第二层过滤。
在管理中心进行如下审计策略配置:
(1) Internet访问控制。依据工作站名称、设备指纹等属性, 使用“Internet访问规则”, 控制该工作站或工作站组在指定的时间段内是否允许/禁止访问模板或网址列表中所规定的Internet Web服务器。
(2) 应用访问控制。通过对网络通讯从链路层、网络层、传输层、应用层基于源地址、目标地址、端口、协议的逐层过滤与入侵监测, 控制来自局域网/Internet的应用服务请求, 如SQL数据库访问等。
(3) 网络状态监控。实时动态报告当前网络中所有的用户登陆、Internet访问、内网访问、网络入侵事件等信息。
(4) 黑客攻击的防御。抵御包括Smurf拒绝服务攻击、ARP欺骗式攻击、Ping攻击、Trojan木马攻击等来自网络内部以及来自Internet的黑客攻击手段。
(5) 日志管理。对工作站协议规则日志、用户登陆事件日志、用户Internet访问日志、指纹验证规则日志、入侵检测规则日志的记录与查询分析。
通过对审计数据进行监控和管理, 能够有效地对进出本机的数据进行获取和分析, 快速准确地对非法访问或是不良信息进行发现和响应, 既可以实时地对问题数据进行报警, 存储, 还可以依据安全策略进行即时阻断。
这样, 通过校园分布式防火墙的配置实现了对级别不同的用户群上网权限进行合理地分配, 能够对不良站点进行过滤, 分析用户上网日志, 清晰了解校园网的具体使用情况, 即时对校园网络管理采取一些有针对性的措施, 并且该系统还可以随着网络技术的发展不断进行升级改造, 具有很好的可扩展性。通过上述实施方案, 可以针对校园网应用中出现的信息安全问题建立一套立体的防护和监控体系, 确保校园网络的安全使用。
局域网的建设为学校管理现代化、图书馆电子化、教学信息化提供了重要的支撑环境, 由于网络的建设使得校内使用计算机的群体越来越大, 因此校园网大量的工作是在日常网络的管理与维护上。
(1) 建立管理机构及专兼职管理队伍, 做到人员落实。为了管理好校园网, 学校设立了校园网管理小组, 由校长、各部门负责人组成, 负责校园网的使用原则、发展规划的制定, 经费预算审批, 协调资源共享等有关问题;建立了网络信息中心, 负责校园网具体的技术和事务管理;各部门落实兼职网管员, 管理所在部门的网络计算机 (包括部门的子网) , 为校园网提供丰富的内部信息资源。这样使用较少的人力进行管理, 从而起到不仅管理了校园网, 而且推动了校园网应用的作用。
(2) 制定管理制度, 分清管理内容, 保证管理到位。俗话说:没有规矩不成方圆。要使学校网络充分发挥作用, 需要有切实可行的管理制度和管理方法来保证, 尤其是要抓好安全技术管理问题。必须考虑到两个主要的方面——物理网络管理及信息服务器管理。
实践证明, 应用本文局域网络规划、设计案完全遵循当前学校教育发展要求, 符合学校具体情况。随着各个学校对校园网的重视, Internet时代的局域网规划设计是一项系统工程, 本文浅谈了局域网规划的需求调研分析、性能分析, 最后以校园网的规划设计为例, 进行了局域网的总体结构设计。
摘要:Internet时代下, 建立一个大型的局域网是一个相当复杂的系统工程, 投资也相当可观, 因此在进行局域网规划时, 应采用一种科学而有效的方法来进行设计和实现, 以达到既先进实用、安全可靠, 又能够节约投资的目的。
关键词:计算机网络,局域网,规划
[1] 吕玉涛, 汝成友.消防局域网规划设计的若干问题[J].鸡西大学学报, 2005 (4) .
[2] 朱根宜.计算机网络与Internet应用基础教程[M].北京:清华大学出版社, 2005.
[3] 杨威.局域网组建、管理与维护[M].北京:电子工业出版社, 2004.
[4] 萧文龙, 林松儒.最新计算机网络技术与应用[M].北京:科学出版社, 2009.
[5] 张宏.网络安全基础[M].北京:机械工业出版社, 2004.
