熟悉計算機系統的基礎知識;
熟悉網路操作系統的基礎知識;
理解計算機應用系統的設計和開發方法;
熟悉數據通信的基礎知識;
熟悉系統安全和數據安全的基礎知識;
掌握網路安全的基本技術和主要的安全協議;
掌握計算機網路體系結構和網路協議的基本原理;
掌握計算機網路有關的標准化知識;
掌握區域網組網技術,理解城域網和廣域網基本技術;
掌握計算機網路互聯技術;
掌握TCP/IP協議網路的聯網方法和網路應用技術;
理解接入網與接入技術;
掌握網路管理的基本原理和操作方法;
熟悉網路系統的性能測試和優化技術,以及可靠性設計技術;
理解網路應用的基本原理和技術;
理解網路新技術及其發展趨勢;
了解有關知識產權和互聯網的法律法規;
正確閱讀和理解本領域的英文資料。
B. 急!網路
企業網路工程解決方案
本方案是一個典型的大型企業網路工程解決方案,實際工程可以根據需要和可能,參照此方案靈活應用。
一、企業網路設計
(1)主幹網設計
採用千兆乙太網技術。千兆乙太網技術特點是具有高速數據傳輸帶寬,基本能滿足高速交換及多媒體對服務質量的要求。易於網路升級、易於維護、易於管理,具有良好的價格比。
傳輸介質。千兆傳輸距離500m以內採用50/125多模光纜;千兆傳輸距離大於500m、小於5000m時採用9/125單模光纜;百兆傳輸距離2000m以內採用50/125多模光纜;百兆傳輸距離大於2000m採用9/125單模光纜。
交換機。主幹交換機的基本要求:機箱式結構,便於擴展;支持多種網路方式,如快速乙太網、千兆乙太網等;高性能,高背板帶寬及中心交換吞吐量;支持第二、第三交換,支持各種IP應用;高可靠性設計,如多電源/管理模塊、熱插拔;豐富的可管理能力等。
中心機房配置企業級交換機作為網路中心交換機。為實現網路動態管理和虛擬區域網,在中心交換機上配置第三層交換模塊和網路監控模塊。主幹各結點採用1000Mbps連接,伺服器採用雙網卡鏈路聚合200Mbps連接,客戶採用交換式10/1000Mbps連接。
(2)樓宇內區域網設計
要求採用支持802.1Q的10/100Mbps工作組乙太網交換機,交換機的數據依據用戶埠數、可靠性及網管要求配置網路接入交換機,使10/100Mbps流量接至桌面。
(3)接入Internet設計
Internet接入系統由位於網路中心的非軍事區(DMZ)交換機、WWW服務、E-mail服務、防火牆、路由器、Internet光纖接入組成。
(4)虛擬區域網VLAN設計
通過VLAN將相同業務的用戶劃分在一個邏輯子網內,既可以防止不同業務的用戶非法監聽保密信息、又可隔離廣播風暴。不同子網的通信採用三層路由交換完成。
各工作組交換機採用基於埠的VLAN劃分策略,劃分出多個不同的VLAN組,分隔廣播域。每個VLAN是一個子網,由子網中信息點的數量確定子網的大小。
同樣在千兆/百兆乙太網上聯埠上設置802.1Q協議,設置通信幹道(Truck),將每個VLAN的數據流量添加標記,轉發到主幹交換機上實現網路多層交換。
(5)虛擬專用網VPN設計
如果公司跨地區經營,自己鋪設專線不劃算,可以通過Internet採用VPN數據加密技術,構成企業內部虛擬專用網。
(6)網路拓撲結構。這部分待續
二、網路安全性設計
網路系統的可靠與安全問題:
a. 物理信息安全,主要防止物理通路的損壞和對物理通路的攻擊(干擾等)。
b. 鏈路層的網路安全需要保證通過網路鏈路傳送的數據不被竊聽。主要採用劃分VLAN、加密通信等手段。
c. 網路層的安全需要保證網路只給授權的客戶使用授權的服務,保證網路路由正確,避免被攔截或監聽。
d. 操作系統安全要求保證客戶資料、操作系統訪問控制的安全,同時能夠對該操作系統上的應用進行審計。
e. 應用平台的安全要求保證應用軟體服務,如資料庫服務、電子郵件伺服器、Web伺服器、ERP伺服器的安全。
(1)物理安全
機房要上鎖,出入人員要嚴加限制。注意不可讓人從天花板、窗戶進入房間。
機房電力要充足、製冷要合適,環境要清潔。
從工作站到配線櫃的配線應該布在偷聽設備接觸不到的地方。配線不應該直接布在地板或天花板上,而應該隱藏在線槽或其他管道里。
應該包括諸如火災、水災等自然災害後的恢復流程。如美國911世貿中心崩塌,大多數公司的數據得不到恢復。
(2)防火牆
防火牆應具管理簡單、功能先進等特點,並且能夠保證對所有系統實施「防彈」保護。 一個優秀的防火牆具有內網保護、靈活的部署、非軍事區(DMZ)范圍的保護、TCP狀態提醒、包過濾技術、TCP/IP堆棧保護、網路地址翻譯、VPN等功能。
(3)網路病毒
在網路中心主機安裝一台網路病毒控制中心伺服器,該伺服器既要與Internet相連,又要與企業內網相連。該伺服器通過Internet每每更病毒代碼及相關文件,企業內部網路中的伺服器、客戶時刻處於網路病毒控制中心服務的監控下,更新本機的病毒代碼庫及相文件,對計算機的所有文件和內存實施動態、實時、定時等多種病毒防殺策略,以確保網路系統安全。
(4)網路容錯
集群技術。一個伺服器集群包含多台擁有共享數據存儲空間的伺服器,各伺服器之間通過內部區域網進行相互通信。當其中一台伺服器發生故障時,它所運行的應用程序將由其他的伺服器自動接管。在大多數情況下,集群中所有的計算機都擁有一個共同的名稱,集群系統內任意一台伺服器都可被所有的網路用戶所使用。
(5)安全備份與災難恢復
企業信息管理最重要的資產不是網路硬體,而是網路運行的數據。
理想的備份系統是在軟體備份的基礎上增加硬體容錯系統,使網路更加安全可靠。實際上,備份不僅僅是文件備份,而是整個網路的一套備份體系。備份應包括文件備份和恢復,資料庫備份和恢復、系統災難恢復和備份任務管理。
(6)網路入侵檢測、報警、審計技術
入侵檢測系統(IDS-Intrusin Detection System)執行的主要任務包括:監視、分析用戶及系統活動;審計系統構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統計分析異常行為模式;評估重要系統和數據文件的完整性;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為。
常見的IDS產品有ISS的RealSecure、CA公司的eTrust、Symantec的NetProwler、啟明星辰公司的天闐、上海金諾的網安、東軟的網眼等。
(7)區域網信息的安全保護技術
密碼採用9位以上,每周修改1次
採用多層交換網路的虛擬網劃分技術,防止在內部網監聽數據
採用NTFS磁碟分區加密技術,使網上鄰居只能是信任用戶
採用Windows域控制技術,對網路資源實行統一管理
採用SAN(Storage Area Network存儲區域網路)與NAS(Network Attached Storage網路連接存儲)保護數據。
SAN技術允許將獨立的存儲設備連接至一台或多台伺服器,專用於伺服器,而伺服器則控制了網路其他部分對它的訪問。
NAS將存儲設備直接連接至網路,使網路中的用戶和網路伺服器可以共享此設備,網路對存儲設備的訪問則由文件管理器這一類設備進行管理。
利用SAN結合集群技術提高系統可靠性、可擴充性和抗災難性;利用NAS文件服務統一存放管理全公司桌面系統數據。
(8)網路代理
採用Proxy對訪問Internet實行統一監控。限制用戶訪問的時間、訪問的內容、訪問的網址、訪問的協議等等,同時對用戶的訪問進行審計。
(9)郵件過濾技術。
採用具有過濾技術郵件管理系統,一般是針對「主題詞」、「關鍵字」、「地址(IP、域名)」等信息過濾,防止非法信息的侵入。
(10)重視網路安全的教育,提高安全意識。
三、綜合布線與機房設計
1. 把伺服器、UPS、防火牆、路由器及中心交換機放置在中心機房,把各子系統的配線櫃設置在各子系統所在的樓層。
2. 樓宇間光纜敷設
採用4芯以上的單模或多模室外金屬光纜架空或埋地敷設。
3. 樓宇內UTP布線
採用AMP超五類UTP電纜、AMP超五類模塊、AMP信息面板、配線架、AMP超五類UTP跳線實現垂直系統、水平子系統、工作區的布線。
4. 機房裝修
(1)地板。鋪設抗靜電三防地板,規格600*600*27,板面標高0.20m,地板應符合GB6650-82《計算機機房用活動地板技術條件》
(2)吊頂。輕鋼龍骨鋁合金架頂棚、頂部礦棉吸聲板飾面。
(3)牆面。塗刮防防瓷、牆壁面刷乳膠漆。
(4)窗戶。加裝塑鋼推拉窗、木製窗簾盒、亞麻豎百葉窗簾。
(5)出入門。安裝鋁合金玻璃隔斷推拉門。
(6)照明。採用高效格柵雙管日光燈嵌入安裝。
(7)配電。機房配電採用三相五線制,多種電源(動力三相380V、普通220V和UPS輸出220V)配電箱。為UPS、空調機、照明等供電。配電箱設有空氣開關,線路全部用銅芯穿PVC管。
(8)接地。根據要求設計接地系統,其直流接地電阻小於1Ω、工作保護地和防雷地接地電阻小於4Ω。為保證優良的接地性能,採用JD—1型接地和化學降阻劑,此外,考慮機房抗靜電的需求,對抗靜電活動地板進行可靠的接地處理,以保證設備和工作人員的安全要求。
(9)空調。主機房3P櫃機;分機房1.5壁掛式空調機。
5. UPS後備電源。
採用分散保護,集中管理電源的策略,考慮APC公司提供的電源解決方案。
四、企業網應用系統
1. 應用伺服器。IBM伺服器首選,當然,也可以採用高檔PC機,PC機的優點是便於更新換代。
2. 軟體平台。採用Windows 2003(主要使用Domain域控制器,集成DNS服務),Redhat 9.0,Solaris 9.0(在unix/linux上運行Oracle資料庫,SAP/R3系統,基於Lotus Domino/Notes的OA系統)
3. 資料庫系統。採用Oracle大型資料庫,或SQL Server2000資料庫。
4. OA辦公系統。基於Lotus Domino/Notes的OA系統,Lotus Domino集成Email/HTTP等服務。
5. 企業管理綜合軟體ERP。採用SAP/R3系統,一步解決未來企業國際化問題;或是用友ERP—U8系統。
6. 網路存儲系統。
五、網路系統管理
1.交換機、路由器管理。設備均是Cisco產品,使用Cisco Works 2000。
2.網路綜合管理。HP OpenView集成網路管理和系統管理。OpenView 實現了網路運作從被動無序到主動控制的過渡,使IT部門及時了解整個網路當前的真實狀況,實現主動控制。OpenView系統產品包括了統一管理平台、全面的服務和資產管理、網路安全、服務質量保障、故障自動監測和處理、設備搜索、網路存儲、智能代理、Internet環境的開放式服務等豐富的功能特性。
3.桌面系統管理。
這是一個網上我搜索到的
!
有沒有經驗啦~~
自己能不能獨立完成啦~~~
做過項目嗎~~~~
網路設備啦~~~~
網路產品啦~~~
不知道是不是隨便說說`~~~~~~~~~~
這是某人10月初的一個面試題目,售後職位:高級網路工程師。面試官是三位CCIE,面試過程歷時2個多小時,印象非常深刻。現在這個offer基本已經確定了,事主還在考慮諸如待遇及工作壓力等情況再決定是否接這個offer.事主亦在其blog上張貼了面試題目,我故亦斗膽將其貼出。
1. 現在的6509及7609,SUP720交換帶寬去到720G,是不是可以說7609/6509可以取代一部分GSR的地位?
2. isis level1 的路由表包括哪此路由?有多個level-1-2出口時,其它路由它從哪裡學到,如何選路?
3. MPLS L3 VPN,如果我想讓兩個不同的VPN作單向互訪,怎做?
4. 跨域的MPLS L3 VPN可以談談思路嗎?
5. MPLS L3 VPN的一個用戶,他有上internet的需求,如何實現?有幾種實現方法?特點各是什麼?
6. MPLS L3 VPN,如果我想讓兩個不同的VPN作單向互訪,怎做?
7. L3 VPN與L2 VPN各自的特點是怎樣?你覺得哪一種模式運營起來比較有前景?
8. ISIS與OSPF的區別談一談吧,各個方面。
9. 一個骨幹網或城域網選ISIS及OSPF基於什麼理由?
10. BGP選路原則常用是哪些?在骨幹網與城域網間如何搭配一塊使用?
11. 如果BGP加上max path,會在哪個BGP選路屬性之前應用這個選項?
12. 為什麼骨幹網pop及城域網出口要作next-hop-self?
13. 兩個AS之間,有四台路由器口字型互聯,其中一台路由器上從EBGP學到一個網路,又從IBGP學到同一個網路,選路哪個?是哪個屬性影響?如果我在IBGP過來那個加上MED小於從EBGP過來的,又選哪個?為什麼?
14. local-pre與weight的區別是什麼?
15. BGP能不能實現負載均衡?如果可以,有哪些方法?
16. 多個AS之間,可不可以比較MED?如可以,需要前提條件嗎?如有,前提條件是什麼?
17. MED能不能和AS內的IGP度量值結合起來?如可以,如何做?
18. 割接限定回退的時間還有十分鍾,割接還未成功,局方已經催你回退了,但你覺得這些問題你再努力5分鍾可能會解決,你的選擇是什麼?
19. 骨幹網的QoS,如何部署?你認為什麼骨幹網什麼情況下是有擁塞發生了?
20. 對於工程及維護來說,你覺得l3網路和l2網路哪個比較好?
21. L3網路與L2網路對環路的處理各是什麼樣的機制?
22. 一般情況下,L2交換機的生成樹有多少數量?
23. 3550的生成樹模式是什麼?生成樹數量是怎樣的?
24. 跟據你的經驗,GE的埠,當流量達到多少時,你可以認為是有擁塞發生了?2.5G POS口,當流量達到多少時,你可以認為有擁塞?
此外,中間問了對項目實施上的一些事件的處理方式,問了有沒有一些失敗的經歷及體驗,還有問及工作中碰過最棘手的事件是什麼及如何處理等等。當然還有一些互相調戲平和氣氛的對話。
C. 學習網路安全需要學習哪些方面
1:興趣問題 興趣是我們學習的動力,只有有了興趣,我們才會去努力的學習,在這個過程中才會暴露出我們意志堅強的性格,所以說 不認為學習網路安全需要堅持,實際上堅強是我們在學習的過程中的一個副產物。 2:明確目標 網路安全太大了,好比互連網,知識的豐富是它的一個特點,但是這也是它的一個缺點就是資料太過泛濫,而在這個資料的海洋中,我們只 比如你今天想學習腳本攻擊,但是腳本攻擊又是一個很大的話題,所以又必須找到今天學習哪些知識點,比如今天我只學習暴庫,明天只學習COOOKIES欺騙,只有這樣才可以很好的學習網路安全3:實踐實踐是檢驗真理的唯一的標准,我們必須要有空實踐,但是找肉雞也不是一下兩下的問題,所以我們要擅長模擬攻擊,在自己的機器上可以安裝VMWARE,這樣我們可以根據自己想學習的入侵模式進行環境設置,避免了找肉雞中不成功的居喪心情。對於整站程序的入侵,我們完全可以下載代碼在本地計算機進行實驗。4:寫日誌做好總結
D. 網路安全工程師應具備哪些知識與技能
1.計算機應用、計算機網路、通信、信息安全等相關專業本科學歷,三年以上網路安全領域工作經驗;
2.精通網路安全技術,包括埠、服務漏洞掃描、程序漏洞分析檢測、許可權管理、入侵和攻擊分析追蹤、網站滲透、病毒木馬防範等;
3.熟悉TCP/IP協議,熟悉sql注入原理和手工檢測、熟悉內存緩沖區溢出原理和防範措施、熟悉信息存儲和傳輸安全、熟悉數據包結構、熟悉ddos攻擊類型和原理有一定的ddos攻防經驗;
4.熟悉Windows或者Linux系統,至少精通一門編程語言;
5.了解主流網路安全產品的配置及使用;
6.善於表達溝通、誠實守信、責任心強、講求效率,具有良好的團隊協作精神。
E. 網路安全工程師的從業要求
1、計算機應用、計算機網路、通信、信息安全等相關專業本科學歷,三年以上網路安全領域工作經驗;
2、精通網路安全技術:包括埠、服務漏洞掃描、程序漏洞分析檢測、許可權管理、入侵和攻擊分析追蹤、網站滲透、病毒木馬防範等。
3、熟悉tcp/ip協議,熟悉sql注入原理和手工檢測、熟悉內存緩沖區溢出原理和防範措施、熟悉信息存儲和傳輸安全、熟悉數據包結構、熟悉ddos攻擊類型和原理有一定的ddos攻防經驗,熟悉iis安全設置、熟悉ipsec、組策略等系統安全設置;
4、熟悉windows或linux系統,精通php/shell/perl/python/c/c++ 等至少一種語言;
5、了解主流網路安全產品{如fw(firewall)、ids(入侵檢測系統)、scanner(掃描儀)、audit等}的配置及使用;
6、善於表達溝通,誠實守信,責任心強,講求效率,具有良好的團隊協作精神;
F. 網路安全工程師需具備哪些技能
1:網路
基礎知識:深刻理解網路基本概念,例如>ISO/OSI、TCP/IP、VLAN、各種LAN、WAN協議、各種路由協議、NAT等等
Cisco:熟悉Cisco產品線;會配置主要型號的交換機和路由器,不熟悉的設備能構獨立查資料配置;熟悉Cisco一些主要的技術例如VOIP、Qos、ACL等;
Nortel:熟悉Nortel產品線;會配置主要型號的交換機和路由器,不熟悉的設備能構獨立查資料配置;
Huawei-3com:熟悉Huawei-3com產品線;會配置主要型號的交換機和路由器,不熟悉的設備能構獨立查資料配置;
Foundry:熟悉Foudry產品線;會配置主要型號的交換機和路由器,不熟悉的設備能構獨立查資料配置;
2:主機
基礎知識:熟悉伺服器的基本知識,例如各種RAID、各種外設、SCSI卡等等
Sun Solaris:熟悉Sun小型機產品線,掌握各個版本的Solaris使用
IBM AIX:熟悉IBM小型機產品線,掌握各個版本的AIX使用
HP HP-UX:掌握HP-UX的基礎知識
Linux:熟悉主流版本的Linux的安裝、使用、配置
MS Windows:熟練掌握Windows NT、2000、2003的安裝、使用、配置、排錯
3:資料庫與中間件
基礎知識:深刻理解資料庫的基本概念,會使用簡單的SQL語句,了解資料庫復制、數據倉庫等高級概念
Sybase ASE:熟悉Sybase資料庫的基本概念、體系結構、安裝、配置、維護、排錯、復制
Oracle DB:熟悉Oracle資料庫的基本概念、體系結構、安裝、配置、維護、排錯、復制
MS SQL Server:熟悉MS SQL Server資料庫的基本概念、體系結構、安裝、配置、維護
IBM DB2:了解IBM DB2
MySQL:了解MySQL資料庫在Windwos和linux下的安裝和維護
Sybase EAserver:熟悉Sybase EAServer在各個平台的安裝、配置和使用
Oracle AS:了解Oracle應用伺服器的安裝和配置
IBM WebSphere:熟悉IBM Websphere各個版本在各個平台的安裝、配置和使用
Tomcat:了解Tomcat在Windwos和linux下的安裝和維護
4: 英語
在一般人的概念中,網路不過就是通過撥號上上網,發個E-Mail,聊聊天,計算機組裝與維護、組建區域網就以為是網路工程師了!其實網路工程師所具備的知識遠不只這些,具備了上述所提的只能算是具有電腦維護能力。真正的網路工程師須具備以下幾方面的知識:
讓學員了解完整的計算機網路系統如何工作
深入學習網路中最核心的路由技術和交換技術
全面掌握網路管理和網路安全知識
全面學習一個網路應用的建設過程
配置和管理你的計算機系統
使學員能夠設計一個完整的IT系統
對技術有不一樣的追求,有理想,有目標。
增加的更為系統的內容:
網路工程師是通過學習和訓練,掌握網路技術的理論知識和操作技能的網路技術人員。網路工程師能夠從事計算機信息系統的設計、建設、運行和維護工作。
通過等級考試的合格人員能根據應用部門的要求進行網路系統的規劃、設計和網路設備的軟硬體安裝調試工作,能進行網路系統的運行、維護和管理,能高效、可靠、安全地管理網路資源,作為網路專業人員對系統開發進行技術支持和指導,具有工程師的實際工作能力和業務水平,能指導助理工程師從事網路系統的構建和管理工作。 一般具有以下能力:
(1)熟悉計算機系統的基礎知識;
(2)熟悉網路操作系統的基礎知識;
(3)理解計算機應用系統的設計和開發方法;
(4)熟悉數據通信的基礎知識;
(5)熟悉系統安全和數據安全的基礎知識;
(6)掌握網路安全的基本技術和主要的安全協議與安全系統;
(7)掌握計算機網路體系結構和網路協議的基本原理;
(8)掌握計算機網路有關的標准化知識;
(9)掌握區域網組網技術,理解城域網和廣域網基本技術;
(10)掌握計算機網路互聯技術;
(11)掌握TCP/IP協議網路的聯網方法和網路應用服務技術;
(12)理解接入網與接入技術;
(13)掌握網路管理的基本原理和操作方法;
(14)熟悉網路系統的性能測試和優化技術,以及可靠性設計技術;
(15)理解網路應用的基本原理和技術;
(16)理解網路新技術及其發展趨勢;
(17)了解有關知識產權和互聯網的法律法規;
(18)正確閱讀和理解本領域的英文資料。
G. 網路安全涉及哪幾個方面.
網路安全主要有系統安全、網路的安全、信息傳播安全、信息內容安全。具體如下:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全,側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全,包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
(7)網路安全領域的可靠性設計擴展閱讀:
維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。
1、Internet防火牆
它能增強機構內部網路的安全性。Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。
2、VIEID
在這個網路生態系統內,每個網路用戶都可以相互信任彼此的身份,網路用戶也可以自主選擇是否擁有電子標識。除了能夠增加網路安全,電子標識還可以讓網路用戶通過創建和應用更多可信的虛擬身份,讓網路用戶少記甚至完全不用去記那些煩人的密碼。
3、數字證書
CA中心採用的是以數字加密技術為核心的數字證書認證技術,通過數字證書,CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理,同時也能保障在數字傳輸的過程中不被不法分子所侵入,或者即使受到侵入也無法查看其中的內容。
H. 學習網路安全需要哪些基礎知識
學習網路安全一般來說不會需要特別的基礎知識。你可以完整性地將網路安全由基礎到高階進行學習。這里整理了一份網路安全所需學習的內容,大致可以分為以下幾個階段,你可以參考進行學習。
希望能夠幫到你!!!
I. 基於安全策略的企業網路設計的探討
目前,網路安全的技術主要包括防火牆技術、加密技術、身份驗證、存取控制、殺毒軟體、數據的完整性控制和安全協議等內容。針對校園網來說,存在較大的成本投入問題,不可能將所有的安全技術應用到網路中,在網路規劃階段可以針對最主要的安全問題進行設計防範。在網路設計階段可以採取防火牆技術、VLAN技術、殺毒軟體、網站過濾技術等。
樓主可以就上述技術在網路規劃設計階段如何進行設計進行探討。
以下參考!!!!!!!!!!!!
引言
信息技術日新月異的今天,網路技術發展迅猛,信息傳輸已經不僅僅局限於單純文本數據,數字數據
的傳輸,隨之而來的是視頻,音頻等多媒體技術的廣泛運用。隨著技術的發展,網路設備性能和傳輸介質容量有了極大的提高,但是由於用戶需求的日益提高,網路環境的日益復雜,使得網路規劃成為一項越發困難的課題,作為校園園區網的規劃成敗與否,將直接影響到學校教育網路系統性能的高低,從而影響教學進程和教學效果,下面主要對校園園區網的規劃思想進行探討。
1. 校園園區網規劃介紹
校園園區網規劃是校園網進行工程組網的前期准備工作,它的內容涉及到整項網路工程的重要步驟,是網路設計的核心與靈魂,校園園區網優良的長遠規劃和最佳的實現選擇是校園網長期高效能運營的基礎。目前,校園園區網中技術應用主要為輔助管理,教學科研,internet信息服務,以及網路技術探索應用四大類,由於總體的規劃所涉及到的技術因數繁多,因而校園園區網規劃應當實地考察,調研,通過反復論證,結合當今技術及發展方向,提出總體規劃設想,規劃既要適應當前的應用,又要反映未來需求,規劃應當考慮經濟,環境,人文,資源等多方面因素,以合理需求為原則。
2. 校園園區網規劃實施計劃
2.1 了解用戶,收集信息
網路規劃的目的在於收集一線信息的基礎上給出合理可行的設計方案,如戰場指揮,運籌帷幄,決
勝千里,其關鍵之處在於廣泛收集信息,全面合理的規劃校園園區網需認真考慮三點因素:
(1)學校歷史網路資源信息,當前網路規劃設計計劃,領先的技術方向,運營機制和管理辦法,滿足未來網路的高度擴展計劃及其特點
(2)了解學校校園網路的使用者分別是誰?他們各自的知識層次如何?以及他們對計算機的使用觀點和使用頻率如何?他們對當前的網路態度和看法如何?這一點將為日後培訓和安排多少人員進行網路的技術支持和維護起導向作用。
(3)明確網路規模:有哪些校區,哪些部門,多少網路用戶,哪些資源需要上網,採用什麼檔次的設備而又在資金預算范圍內,不同部門之間的信息流向問題,不同時刻網路流量及流量峰值問題,確定網路終端數量及位置,共享數據的存儲位置和哪些人要用這些數據等基本狀況等
(4)找出用戶與用戶,用戶與資源,資源與資源之間的內在關系,相關信息,這是校園網設計的前提和依據,是規劃的核心思想,作為一個龐大的校園網,如何使得設計的網路便於教學需求和管理應用,教學網與管理網各自安全運作,相互兼容,而又不矛盾?這一點尤為重要。
2.2 分析需求,提出網路設計原則
2.2.1 需求分析
教育行業有著自身的特殊性,校園園區網對整個網路性能要求相對較高,校園園區網組建需滿足對數字,語音,圖形圖象等多媒體技術的寬泛應用,以及綜合科研信息的傳輸和處理需求的綜合數字網,並能符合多種協議的要求,其體系應當符合國際標准(如TCP/IP協議,Novell IPX協議等),同時能兼容已有的網路環境,因此設計組網前,應對各方面需求總結歸納,做出細致分析:
(1)內部光纜主幹需求:規劃需分析綜合布線系統及其子系統,主配線間MDF與二及配線間IDF的位置,不同類別的伺服器位置等。
(2)應用管理需求:能夠讓管理人員從繁瑣的文字處理中徹底解脫出去,以計算機信息系統交流和日常事物,構建公文系統,日常辦公系統,檔案系統,電子郵件等功能,且需操作簡單,便於使用。滿足視頻點播,語音教學,多媒體課件等教學需求,具備基本的Internet訪問等。
(3)網路流量需求:要求校園園區網有足夠的網路吞吐量來滿足教學任務,保證信息的高質高效率傳輸,校園網流量涉及到,語音教學,多媒體課件,伺服器訪問,Web瀏覽,視頻點播等,對帶寬需求和時延性要求極高。
(4)網路安全需求:校園網路必須有完善的安全管理機制,能夠確保網路內部可靠運行,還要防止來自外部的和來自內部的非法訪問和入侵,保證關鍵資料庫的存儲安全
2.2.2 提出設計原則
(1)網路可靠性原則:
網路設計過程中網路拓撲應採用穩定可靠的形式,如:雙路由網路拓撲,環行網路結構。因為它們即可冗餘備份,安全性又可以得到保障,核心層交換可採用高端交換設備和光纖技術的主幹鏈路(TRUNK)來實現較高的容錯性,這樣就可以避免單點故障的出現,網路結構使用雙鏈路,雙核心交換設備,雙路由備份可靠措施,都可以使校園網可靠性和實用性得到大大的提高
(2)網路可擴展性原則:
校園園區網擴展性包含2層意思(一):新的教學部門能簡單的接入現有網路 (二):升級新技術的應用能夠無逢的在現有網路上運行
可見,規劃校園園區網路時不但要分析當前的技術指標,而且要對未來的網路增長情況做出估計和預算,以滿足新的需求,保證網路可靠性,從而保證校園正常的教學秩序
(3)網路實用性和可管理性原則:
校園園區網系統設計在性能價格比方面要體現系統的實用性,可採用先進的設備,但有要在資金允許的條件下實現建網的目標,校園園區網應基於簡單網路管理協議(SNMP),並支持管理信息庫(MIB),利用圖形化,可視化管理界面和操作方式,易於管理,這也正體現出了實用性原則,合理的網路規劃策略,可提供強大的管理
功能,能使管理一體化進行,這就便於日後的校園網更新與維護
(4)網路安全性原則
1.對物理層及網路拓撲結構,操作系統及應用軟體要求具備相應的安全檢測機制,邊界網關應該構築防火牆,安裝殺毒軟體,對網關路由器進行必要的安全性過濾,如訪問控制列表ACL配置,用戶身份認證,數據加密,密鑰等技術來實現校園園區網的安全化
2.採用靜態虛擬區域網技術(靜態VLAN)加強內網的管理,因為VLAN是基於邏輯劃分而非物理地理劃分,這就有效的控制了各個網段的相互訪問,從而保證了內網的安全性,同時VLAN又可抑制不必要的廣播,從而節約了帶寬,又便於管理
3.以TCP/IP四層網際模型為框架建立持續過程的網路安全性措施運行機制,做到維護網路,監測網路,測試網路,改進網路四位一體的網路持續性保衛工作,它是網路安全性管理的核心思想,如圖所示:
應用層
傳輸層
網際層
internet層
網路接入
圖(1)以TCP/IP模型構建持續性網路安全管理方式
3. 總結失敗項目,明確網路規劃的必要性
當前很多學校紛紛建立自己的校園網,但由於組網設計前期規劃工作做的不徹底,不扎實,使得校園
網發揮效益不大,巨大的投資沒有換來實實在在的成效收益。這一點在中小學校園網建設上體現的較為明顯,其原因主要三點:
(1)認識不到為
學校對校園網概念定義缺乏認識,帶有盲目性和自我偏見性,沒有明確建校園網的目的,不曉得校
園網到底起什麼樣的實質性作用。
(2)投資方案不合理
由於對校園園區網建設認識不正確,使得很多學校出現「重硬體,輕軟體」的現象,結果校園園區網建設成了基於硬體設備的校園網組網解決方案,是純粹的設備集合。而對建網後的維護極不重視,後期的管理投入所佔比例微乎其微,所以使得校園網不能很好的服務與教學和管理,甚至還會使整個網路趨於崩潰。
(3)缺乏有效的組織管理和實施手段
校園園區網的建設不僅僅涉及到技術問題,還會引起更深層次的變革,而學校在建設校園園區網時,認識不充分,在新技術,新思想面前不能及時轉變觀念,沒有行之有效的組織管理和實施手段。
基於上述三點指出:盲目的進行校園網建設,不採取合理的規劃,都會導致校園網建設失敗,一個成功的校園網規劃應當是集穩定開放的網路平台,量身定製的應用軟體,有效的組織實施方案三位於一體的的校園園區網建設過程。
4. 總結
校園園區網應順應時代教育思想的革命,在網路技術上具備響應的本質特徵,教育的一個基本特徵是打破時間和地域的限制,面向全體社會成員,這就要求規劃校園園區網路時必須站的高,看的遠,時刻明確思想定位和技術定位,本文主要探討了如何行之有效的規劃一個滿足教學,科研,管理全方面高效新型校園園區網,並指明規劃思想。總之,未來校園園區區域網的規劃目標,規劃方向應該是建成一個集IP服務,寬頻光傳輸且提供服務的運營級多功能網路
參考文獻:[1]王竹林等 . 校園網組網與管理<M> 清華大學出版社 . 2001出版
[2]思科網路技術教程(三. 四)學期 人民郵電出版社 2002出版
[3]http://www.net130.com.cn
[4]方東權 . 楊巋 . 校園網路安全與管理[J]. 網路安全與技術 2005第51期