(1)、灵活的、软定义的、边界独立于物理媒质的设备群。VLAN概念的引入,使交换机承担了网络的分段工作,而不再使用路由器来完成。通过使用VLAN,能够把原来一个物理的局域网划分成很多个逻辑意义上的子网,而不必考虑具体的物理位置,每一个VLAN都可以对应于一个逻辑单位,如办公楼、实验室、电子阅览室等。
(2)、广播流量被限制在软定义的边界内、提高了网络的安全性。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机,因此减少了数据窃听的可能性,极大地增强了网络的安全性。
(3)、在同一个虚拟局域网成员之间提供低延迟、线速的通信。能够在网络内划分网段或者微网段,提高网络分组的灵活性。VLAN技术通过把网络分成逻辑上的不同广播域,使网络上传送的包只在与位于同一个VLAN的端口之间交换。这样就限制了某个局域网只与同一个VLAN的其它局域网互相连,避免浪费带宽,从而消除了传统的桥接/交换网络的固有缺陷——包经常被传送到并不需要它的局域网中。这也改善了网络配置规模的灵活性,尤其是在支持广播/多播协议和应用程序的局域网环境中,会遭遇到如潮水般涌来的包。而在 VLAN结构中,可以轻松地拒绝其他VLAN的包,从而大大减少网络流量,抑广广播风暴。
建筑物名称
|
楼层
|
信息点数
|
信息点合计
|
图书馆
|
1、学生阅览室
|
6
|
86
|
2、电子阅览室
|
50
|
||
3、网络中心
|
20
|
||
4、借书处
|
4
|
||
5、办公室
|
6
|
||
教学楼
|
1、教室
|
20
|
130
|
2、多媒体教室
|
50
|
||
3~5:教室
|
60
|
||
实验楼
|
1:办公室
|
5
|
260
|
2;计算机实验室
|
100
|
||
3:计算机实验室
|
150
|
||
4:办公室
|
5
|
||
办公楼
|
1~5:办公室
|
40
|
40
|
宿舍楼1~宿舍楼5
|
|
1000
|
1000
|
合计
|
|
|
1516
|
序号
|
子网名称
|
包含的信息点
|
1
|
服务器子网
|
连接Internet的所有服务器,为真实的IP地址
|
2
|
网络设备子网
|
除路由器外所有的网络设备
|
3
|
办公室子网
|
办公楼、图书馆和实验楼的办公室计算机
|
4
|
多媒体教室子网
|
多媒体教室计算机
|
5
|
教室子网
|
所有教室计算机
|
6
|
电子阅览室子网
|
电子阅览室计算机
|
7
|
图书馆子网
|
学生阅览室和借书室计算机
|
8
|
计算机实验室1
|
计算机实验室1计算机
|
9
|
计算机实验室2
|
计算机实验室2计算机
|
10
|
计算机实验室3
|
计算机实验室3计算机
|
11
|
计算机实验室4
|
计算机实验室4计算机
|
12
|
计算机实验室5
|
计算机实验室5计算机
|
13
|
学生宿舍1~5
|
学生宿舍的计算机
|
类别
|
名称
|
IP地址设置
|
说明
|
核心交换机位于图书馆网络控制中心
|
网管中心交换机
Cisco Catalyst 4507交换机
|
IP:172.16.1.1/24
网关:172.16.1.254
|
|
教学楼交换机
|
教学楼
Cisco Catalyst 3550交换机
|
IP:172.16.1.2/24
网关:172.16.1.254
|
|
实验楼交换机
|
实验楼
Cisco Catalyst 3550交换机
|
IP:172.16.1.3/24
网关:172.16.1.254
|
|
办公楼交换机
|
办公楼
Cisco Catalyst 3550交换机
|
IP:172.16.1.4/24
网关:172.16.1.254
|
|
Account.ABC.edu.cn
|
计费网关
|
IP:172.16.1.5/24
网关:172.16.1.254
|
|
Dns1.ABC.edu.cn
|
主DNS服务器
|
IP:210.28.100.10/24
|
|
Dns2.ABC.edu.cn
|
辅DNS服务器
|
IP:210.28.100.11/24
|
|
WEB服务器
|
IP:210.28.100.12/24
|
|
|
Mail.ABC.edu.cn
|
邮件服务器
|
IP:210.28.100.13/24
|
|
ftp:ABC.edu.cn
|
FTP服务器
|
IP:210.28.100.14/24
|
|
认证管理服务器
|
|
IP:210.28.100.15/24
|
|
数据库服务器
|
|
IP:210.28.100.16/24
|
|
VLAN ID
|
网段IP
|
网关IP
|
说明
|
1
|
210.28.100.0/24
|
210.28.100.1
|
服务器子网
|
2
|
192.168.10.0/24
|
192.168.10.1
|
网络设备子网
|
3
|
210.28.101.0/24
|
210.28.101.1
|
办公室子网,办公楼、图书馆和实验楼的办公室计算机
|
4
|
192.168.12.0/24
|
192.168.12.1
|
多媒体教室子网
|
5
|
192.168.13.0/24
|
192.168.13.1
|
所有的教室子网
|
6
|
192.168.14.0/24
|
192.168.14.1
|
电子阅览室子网
|
7
|
192.168.15.0/24
|
192.168.15.1
|
图书馆子网(学生阅览室和借书室计算机)
|
8
|
192.168.16.0/24
|
192.168.16.1
|
计算机实验室1子网
|
9
|
192.168.17.0/24
|
192.168.17.1
|
计算机实验室2子网
|
10
|
192.168.18.0/24
|
192.168.18.1
|
计算机实验室3子网
|
11
|
192.168.19.0/24
|
192.168.19.1
|
计算机实验室4子网
|
12
|
192.168.20.0/24
|
192.168.20.1
|
计算机实验室5子网
|
13
|
192.168.21.0/24
|
192.168.21.1
|
学生宿舍1#~5#子网
|
(2)、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。
(3)、Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络, 截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中 心报告,采取措施。
(4)、漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络 安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
(5)、IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
(6)、利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
总之,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在 一起,才能生成一个高效、通用、安全的网络系统。