远程访问指能连接地理位置分散的网络用户的任何技术,一般是指通过各种类型的拨号连接或广域网连接的方式接入网络。远程访问的建立与局域网不同,局域网是由企业或学校独立完成传输网络的建设,因此传输网络的传输速率可以很高。而构建于广域网的远程访问由于受各种条件的限制,需借助公共传输网络,而且传输速率和价格紧密相关。
在规划设计网络的远程访问时,应考虑各种接入方式的应用和条件。远程拨号可以使地理位置分散的用户从家里或在路上连接企业的内部网络;数据专线连接可以将分散于各个地区的企业网分支机构互联。
对于互联网用户来说公共传输网络基本可以分成两类,一类是电路交换网络,主要是公用电话网(PSTN)和综合业务数字网(ISDN);一类是专线网络,主要是X.25分组交换网、帧中继和DDN等数据出租服务。
在家中或因出差在酒店中,在任何一个有电话的地方,都可以通过电话线利用现有的电话网络上拨号访问本单位的内部网络完成各项工作,以提高工作效率和节约费用。拨号访问是现在最便利的入网方式。由于数字信号在公共电话网络上的双绞线中不适合远程传输,用户和服务器端必须使用调制解调器进行通讯。ITU-T制定了多种调制解调器标准。 V.34 标准支持速率为28.8Kbps的线路,V.34的升级版V.34 annex 1201H支持33.6Kbps的速率,如果通过数据压缩(V.42bis),PC所能够达到最高速率为133.8Kbps。目前最新的标准是V.90, 传输速率可以达到56Kbps, 通过数据压缩传输速率还可以近一步得到提高。
ISDN可以使用拨号建立与ISP的连接。ISDN也可以做为DDN或帧中继线路的备用电路。ISDN采用计时收费,在主线路发生故障时启用ISDN,按时收取通信费用。当主线路恢复时, ISDN自动断开不再发生通信费。采用ISDN作为DDN或帧中继的备份,是十分经济的一种方式。
与使用调制解调器的拨号连接相比,由于采用与电话网络不同的交换设备,ISDN的信道建立时间很短。因为ISDN使用户与电信局间的连接采用数字信号,因此ISDN线路通讯质量较好,数据传输有更少误码和重传率。
目前,千兆以太网已经发展成为主流网络技术。大到成千上万人的大型企业,小到几十人的中小型企业,在建设企业局域网时都会把千兆以太网技术作为首选的高速网络技术。千兆以太网技术甚至正在取代ATM技术,成为城域网建设的主力军。
千兆以太网的特点主要包括如下。
1.千兆位以太网提供完美无缺的迁移途径,充分保护在现有网络基础设施上的投资。千兆位以太网将保留IEEE 802.3和以太网帧格式以及802.3受管理的对象规格,从而使企业能够在升级至千兆性能的同时,保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具;
2.千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案,提供了一条最佳的路径。至少在目前看来,是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、关键任务的应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对Internet、Intranet、城域网与广域网的更快速的访问。
3.IEEE 802.3工作组建立了802.3z和802.3ab千兆位以太网工作组,其任务是开发适应不同需求的千兆位以太网标准。该标准支持全双工和半双工1000Mbps,相应的操作采用IEEE 802.3以太网的帧格式和CSMA/CD介质访问控制方法。千兆位以太网还要与10BaseT和100BaseT向后兼容。此外,IEEE标准将支持最大距离为550米的多模光纤、最大距离为70千米的单模光纤和最大距离为100米的铜轴电缆。千兆位以太网填补了802.3以太网/快速以太网标准的不足。
网络的安全主要体现在四个方面:一、重要信息的保密性;二、网络系统的安全性;三、数据安全;四、病毒防护。
(1)信息保密
工程的实施重点主要体现在网络的以下方面,包括内部业务共享区与外部网之间、内部业务局域网与内网共享区之间、内网共享区与广域网之间信息的分级保密等。
在内部业务共享区网与外部网之间、内部业务局域网与内网共享区之间、内网共享区与广域网之间采用硬件或软件防火墙。
在网络交换及路由设备中设置三层交换协议,即:路由功能,对不同网络区域的用户和不同网段的用户进行身份和权限设置,对信息资源的访问进行级别控制等。
(2)网络系统的安全
要解决外部网的用户对系统的威胁,内部网用户对系统的泄密等问题。设置具体内容如下:
——安全策略的制定、实施及修改;
——抵御非法用户对局域网的攻击;
—— 控制内部用户对外部的访问;
——对网络传输的信息内容的检查;
——软硬件防火墙的设置;
——远程用户帐号和数据加密传输,以防外人窃取。
要确保接入Internet的安全性,采取多层防火墙保证各级网络的安全性。在接入路由器上采用了Cisco IOS包过滤防火墙系统和网络地址翻译(NAT)代理服务器,即在Cisco路由器上设置防火墙,通过地址过滤提供基本的防火墙功能,配置访问控制、身份认证、日志和入侵检测功能,以防止非法及恶意的用户入侵。
(3)数据安全
网络控制中心服务器的性能的好坏直接关系到网络信息访问速度及数据文件的安全。对数据安全部分,采用双机热备份、磁盘冗余阵列(RAID)、磁带机备份等多种手段,确保数据的安全。
双机热备份可采用双机双控的服务器集群技术,保障操作系统及数据系统平台的高可靠性、高安全性、高可用性、抗灾难性。
(4)病毒防护
为了防止病毒对系统安全的威胁,选用性能优越的网络版杀毒软件负责内部网络系统服务器及单机的病毒防护、查杀工作。同时利用防火墙的设置对病毒的入侵进行有效的防范。
根据校园网络需求,将划分6个vlan,地址如下:
|
VLAN号 |
VLAN名称 |
IP网段 |
默认网关 |
说明 |
|
1 |
Vlan1 |
192.168.0.0/24 |
192.168.0.254 |
管理VLAN |
|
10 |
Vlan10 |
192.168.10.0/24 |
192.168.10.254 |
实验楼 |
|
20 |
Vlan20 |
192.168.20.0/24 |
192.168.20.254 |
办公室 |
|
30 |
Vlan30 |
192.168.30.0/24 |
192.168.30.254 |
教学楼 |
|
40 |
Vlan40 |
192.168.40.0/24 |
192.168.40.254 |
学生公寓 |
|
100 |
Vlan100 |
192.168.100.0/24 |
192.168.100.254 |
服务器群 |
另还根据ISP所分配的地址,在路由器外部接口处设置IP:193.1.1.1。
根据目前的校园网络需要,在网络中心放置2台WWW服务器(1台作后备机),1台FTP服务器,1台E-mail服务器。
按照不同的分类标准,服务器分为许多种。
1、按网络规模划分校园网络组装方案 第3页
按网络规模划分,服务器分为工作组级服务器、部门级服务器、企业级服务器。
工作组级服务器用于联网计算机在几十台左右或者对处理速度和系统可靠性要求不高的小型网络,其硬件配置相对比较低,可靠性不是很高。
部门级服务器用于联网计算机在百台左右、对处理速度和系统可靠性中等的中型网络,其硬件配置相对较高,其可靠性居于中等水平。
企业级服务器用于联网计算机在数百台以上、对处理速度和数据安全要求最高的大型网络,硬件配置最高,系统可靠性要求最高。