英语原文共 9 页，剩余内容已隐藏，支付完成后下载完整资料

校园网络中的网络架构和安全问题

Mohammed Nadir Bin Ali

计算机科学与工程系

Daffodil International University

达卡，孟加拉国

it@daffodilvarsity.edu.bd

Prof. Dr. M. Lutfar Rahman

计算机科学与工程系

Daffodil International University

达卡，孟加拉国

vc@daffodilvarsity.edu.bd

Prof. Dr. Syed Akhter Hossain

计算机科学与工程系

Daffodil International University

达卡，孟加拉国

aktarhossain@daffodilvarsity.edu.bd

摘要—在现在，网络架构与其安全问题越来越受人关注。校园网正面临着网络架构安全的核心问题。本文主要针对需要安全性能的校园网络。这件事是至关重要的，因为它可以阻止其遭受与网络相关的任何重大攻击。一个大学网络可以有许多用途，例如教学，学习，研究，管理，电子图书馆以及外部联系等。因此，网络架构及其安全性成为了每个大学的重要课题。在这项工作中，一个网络的基础结构是基于实践与实验的。所提出的网络基础结构可以通过适应性基础设施实现。

关键词—校园网络架构，分级网络架构，冗余网络设计，网络安全，网络威胁。

I.导言

现如今一个校园网络是至关重要的，它对任何机构都能起作用。网络架构及其安全性与空气，水，食物和住所一样重要。计算机网络安全威胁和网络架构是十分严重的问题。校园网络是一个基于所在位置的大学控制的自治网络，有时也可能是大都会区域网络。

一般来说，计算机网络中的IT管理员在维护高可用性，卓越的性能，完善的基础架构和安全性的过程中面临着巨大的挑战。 保护大型网络一直是IT管理员的一个问题。 一个庞大的网络和大学网络之间有很多相似之处，但每个人都有自己的问题和挑战。 目前的教育机构十分重视网络，提高学生的学习经验。如果IT管理员坚持本参考架构所涉及的基本原则，即LAN或WAN连接设计，考虑到安全性和集中管理，校园建筑师可以实现这一点^[1]。

物理网络基础设施是当代大学网络所必需的。大学管理人员和信息技术经理可能知道他们想要设置什么样的网络，即将实现的计划，预期的增长。到目前为止，未来地区的突发事件，能力和其他地区的资源必须是大学实际计划中的一部分。建立一个当代大学的网络氛围还需要包括功能和安全因素，这也超出了IT部门的义务与能力。现代网络需要在网络拓扑和设备本身以外的许多方面开发的更加具体化，以满足当前社交媒体氛围的需求。设备问题，随机抽查以及面积和信息短缺等原因影响了稳定性，这些因素使得全球的用户数量变得令人难以置信。

II.背景

我们知道，计算机网络有许多不同的类型，如个人局域网（PAN），局域网（LAN），城域网（MAN），校园区域网络（CAN），存储区域网络（SAN）和广域网（WAN）。 局域网能够在小地理区域内进行更高的数据传输。LAN通常用于高速数据传输。CAN网络比LAN大。CAN通常在大学校园内连接许多不同的建筑物，计算机实验室，图书馆，研究实验室，注册处和不同的学术单位。

2.1 大学校园内的网络架构

我们学习的校园网络是以层次的方式设计的，这是校园和企业网络的常见做法^[2]。 它提供了构建模块的模块化拓扑，可以使网络轻松实现。 分层设计避免了对所有网络节点互连的全网状网络的需求^[3]。

2.2 网络安全

计算机和网络安全的诞生与发展中有几件关键事件。时间表可以从20世纪30年代算起。1918年，波兰密码学家创建了一个谜机，将普通消息转换为加密文本。1930年，一位辉煌的数学家艾伦·图灵（Alan Turing）打破了谜的代码。在第二次世界大战中安全的交流是至关重要的^[4]。

20世纪90年代，互联网变得大众化，安全问题也随之而来。全球约9.5亿人使用互联网^[5]。 每天都有大约225次重大安全漏洞发生^[5]。 这些安全漏洞也可能在很大程度上导致货币损失。 在安全性方面的投资也成为大型组织和普通用户优先考虑的事情。

2.3 设计指南概括

在任何网络中都应该有冗余，目的是单个链路或组件故障不会分离网络的任何部分，从而导致这些用户丢失对网络源的访问。 所需的冗余数量因网络而异。 某些网络可能需要两个网站之间的备份链路，某些网络可能需要重复的冗余链路，路由器和交换机。 冗余的数量取决于我们想要多少钱投资额外的设备，以及我们愿意在冗余方面承担什么级别的风险。

当使用不是最佳的拓扑结构时，由于ARP和CAM表老化定时器之间的差异，长期存在但时常出问题的情况也会发生。如果VLAN跨越多个接入层交换机，返回路径流量可以泛洪到所有接入层交换机和终点。不跨越接入层交换机的VLAN可以很容易地避免这种情况。 如果无法避免，请调整ARP老化定时器，使其小于CAM老化定时器^[1]。

路由协议和校园硬件的进步使得在接入层交换机中部署路由协议以及在接入层和分布层交换机之间使用L3点到点路由链路变得可行。这种设计可以改进几个方面，最显著的是在60-200ms的范围内可靠的收敛^[1]。

III.分层网络设计

建议校园网络设计遵循分级设计，因为它可以通过促进确定性流量模式来轻松测量，理解和排除故障。 在分层设计中，特定设备的潜在功能和性能在网络及其执行部分方面得到增强。这促进了其可扩展性和稳定性。移动数量及其相关的带宽规格随着导航收集或积累的因素而增加，并将结构从入门级别提升到初级。 每个层分配功能特性。分层设计预防了所有系统节点连接的全网状网络的大需求。

图1.校园网络分层设计

模块化网络的构建易于复制，重新设计和扩展。每次添加或删除模块时，都不需要重新设计整个网络。不同的构建块可以在服务中被取消服务而不会影响网络的其余部分。此功能便于故障排除，问题隔离和网络管理。

与其他网络设计相比，分层网络更容易管理和扩展，问题更快的得到解决。分层网络设计涉及将网络划分为不同的层。每个层都提供了定义其在整个网络中的作用的特定功能。通过分离网络中存在的各种功能，网络设计变得模块化，这有助于系统的可扩展性和性能。典型的层次设计模型分为三层：访问层，分布层和核心层^[6]，如下所述：

3.1 访问层：与终端设备相连，如PC，调制解调器和IP电话，以进入系统的其余部分。可访问部分包括有线或无线路由器，交换机和无线接入点。访问层的主要目标是提供一种将小工具与系统相连接并处理允许在网络上连接哪些小工具的方法。

3.2 分布层：分布层将从接入层交换机获得的信息接收到核心层，并将其发送到最后位置。分布层通过在访问层描述的VLAN之间进行方向调查来管理网络流量的运动。VLAN允许将交换机上的流量区分为单独的子网络。分布层的更改通常是利用具有很好的可访问性和冗余度的高性能设备，以确保稳定性。

3.3 核心层：核心层是互联网络的高速主要资源。核心层对于分布层小工具之间的互连是至关重要的，因此，对于主要的应用来说，这是非常重要的。核心领域也可以与互联网资源相联系。核心聚合来自所有分布层小工具的流量，因此它必须能够快速提供大量的详述。

3.4 使用分布式网络结构的优点：分级网络设计有许多优点。分层网络规模很大。设计的模块化允许任何人在网络增长时重复设计元素。因为组件的每个实例都是一致的，所以开发计划和实现很简单。随着网络的发展，可用性变得更加重要。通过实现分层网络的简单冗余，我们可以显著提高可用性。

通过避免使用低性能中介交换机传输数据，提高了通信性能。在大多数情况下，数据通过聚合交换机端口链路从接入层以接近线速发送到分布层。然后分配层使用其高性能切换功能将流量转发到核心，在那里它被路由到其最终目的地。由于核心层和分布层以非常高的速度执行其操作，因此对于网络带宽的要求十分高。最终，正确设计的分层网络可以实现所有设备之间传输速度接近线速度。

安全性得到改进并且易于管理。接入层交换机可以配置各种端口的安全选项，控制设备连接到网络。我们还可以灵活地在分发层使用更高级的安全策略。我们可以使用访问控制策略，定义在网络上所部署的通信协议以及那些通信协议的去往。一些接入层交换机支持第三层功能，但是通常使用分布层交换机去处理第三层数据，因为它们可以更有效地去处理问题。

分级网络上的可管理性相对较为简单。层次结构设计中每一层的特定功能都在该层上面得以实现。因此，如果需要更改访问层交换机的功能，可以在网络中的所有接入层交换机上重复该更改，因为它们可能在其层执行相同的功能。新的交换机的部署也是简化的，因为可以在几乎没有修改的设备之间复制交换机的配置。

分层网络本质上是模块化的，而且很容易扩展，因此易于维护。随着其他网络的拓扑设计与网络的发展，可管理性变得越来越复杂。除此之外，在一些网络设计模型中，网络在得到太复杂和昂贵的维护之前，可以有很大的增长。在分层设计模型中，每个层定义交换机的功能，使其选择正确的交换机变得更加容易。将交换机添加到一层不一定意味着在另一层不会有瓶颈或其他限制^[6]。

IV.校园网络基础设施的安全问题

在处理计算机，网络和主机相关问题时会发生安全威胁。网络威胁有两种类型：

1. 内部：内部威胁发生在有人通过帐号或物理访问权限进入网络时。
2. 外部：这些威胁的类型是由在没有授权进入网络的外部人员进行的。他们大多通过互联网破解了校园网络系统。

图2.校园网络中的安全威胁

4.1 终端用户计算机的主要漏洞是病毒，蠕虫和特洛伊木马攻击

图3. 校园网络中的安全威胁^[7]

4.2 病毒，蠕虫和特洛伊木马的解决方案

大部分应用程序漏洞都是从缓冲区溢出的。当固定长度的缓冲区达到它的能力然而进程依旧存储数据使其高于它的最高限制时会发生缓冲区溢出的现象。溢出的缓冲流通常是病毒，蠕虫和特洛伊木马造成损害的重要场所。实际上，有观点认为通过国家应急中心的应用程序漏洞中三分之一都与缓冲区溢出有关。病毒，蠕虫和特洛伊木马可能会给网络和终端系统造成严重问题。IT管理员有几种办法可以减轻这种攻击。

减轻病毒和特洛伊木马攻击的最重要手段是防病毒软件。防病毒应用可以防止感染和有害病毒的增加。我们需要花费更多的时间来清理受污染的计算机系统，而不是在同一设备上维持最新的防病毒应用程序和说明。防病毒应用程序是最常用的保护产品。制造防病毒应用程序的几家公司，如赛门铁克，计算机协会，迈克菲和趋势科技，多年来一直致力于发现和删除病毒的研究。许多组织与学校都为其用户购买了许可证。用户可以使用账户登录到网站并在个人计算机系统和笔记本电脑或者主机上获取防病毒应用程序。

防病毒程序具有自动升级选项，以便能够在发现新病毒或者需要升级时得到及时更新。这个程序最紧要的需求就是保持系统没有病毒并且在网络安全策略中具有一定的形式。反病毒应用是基于主机的。这些项目在计算机系统和主机上设置，以识别和删除病毒。另一方面，蠕虫比病毒更为网络化。蠕虫的极小化需要网络安全专家方面保持持久性和同步性。

遏制阶段包括将蠕虫感染的传播限制在已经受到影响的网络区域。这需要对网络进行分区和分段，以减慢或停止蠕虫传染，并防止当前感染的主机定位和感染其他系统。遏制政策设置在网络中的控制点路由器和防火墙上传入和传出控制访问列表。

V.冗余校园网络建设的建议

我们的重点应该主要集中在网络设计的冗余方面。分层网络模型在多个层次上强调冗余，以便我们失败时能够在最严重的地方消除单点故障。至少，该模式需要在核心层和分布层的交换机上面冗余以及在整个设计中实现冗余上行链路。

图4.分层校园网络架构

5.1 建设校园网络的需求

校园网络基础设施包括各种设备如电子邮件和网络服务器，网络存储设备，目录服务器，布线系统，网络交换机和路由器等。我们必须小心确定和选择第三层设备。

在通用的分层校园网中，分布层被认为是第二层与第三层之间的分界点，其中第3层上行链路参与校园网核心路由使用内部路由协议（IGP），这可以帮助几个校园分布层互连，从而实现校园网的端到端连接。因此，IGP的选择对于校园网络的重复和高效路由至关重要。为大学网络选择IGP可以考虑的一些方面：网络的大小，收敛时间，如 OSPF和EIGRP可以在链路故障时快于RIP，拥有认证支持，VLSM的支持等。

完成校园拓扑结构设计后，可以决定布局结构与交换机，路由器，防火墙设备的厂商。产品应根据需求分析进行选择。根据需求，我们将以下产品用于水仙国际大学校园网络：第二层交换机：Cisco 2960，第三层交换机：C3750，防火墙：ASA5520。

5.2 设计建议和条件

现在我们想说明为什么使用这个图表以及使用这些设备的原因。该图展示了具有两个独立设备的冗余网络图的示例，现在我们将说明如何从这个体系结构中获益。

●具有冗余链接的两个独立设备设施。

●两个独立的路由器和两个独立的核心交换机。建议使用BGP进行冗余路由。

●校园网的第三层冗余设计可使用IS-I

剩余内容已隐藏，支付完成后下载完整资料

资料编号：[25603]，资料为PDF文档或Word文档，PDF文档可免费转换为Word