中职校园网络建设论文

【摘要】中职校园网络兼具教学和科研的任务，在校园网的组建和安全建设方面应该进行全面规划。本文从中职校园网设计的原则入手，分析了中职校园网的组建设计方案，提出进行中职校园网络安全建设的相应措施。下面小编整理了一些《中职校园网络建设论文(精选3篇)》，供大家参考借鉴，希望可以帮助到有需要的朋友。

中职校园网络建设论文 篇1：

高职“教研合一”的IPv6网络实验教学平台构建研究

［摘要］随着下一代网络建设的大规模展开，培养“实战型”具备IPv6技术的网络专业人才迫在眉睫。依托校内网络实训室和校园网，分析当前IPv6网络组建的典型案例，在有限的环境内构建IPv6网络实验教学平台，不但为IPv6技术的教与学提供了必要环境，也为教师科研提供了实验平台，体现了高等职业院校实训基地建设“教研合一”的理念，为培养更优秀的下一代网络应用人才创造了必要条件。

［关键词］实验教学平台 教研合一 IPv6网络

［基金项目］本文系温州职业技术学院重点科研项目“IPv6网络实验平台的研究与设计”的研究成果之一。（项目编号：WZY2007023）

［

互联网的迅速发展，使IPv6作为下一代网络的技术基础得到广泛认可，IPv4网络正逐步向IPv6网络演变。随着我国政府、企业构建下一代网络的大规模展开，培养“技能型”具备IPv6知识的网络专业技术人才迫在眉睫。高等职业院校要及时更新网络技术课程，加强实践教学，确保人才培养质量进一步提高，构建功能完善、技术领先的网络实训基地显得尤为重要。

一、高职校内网络实训基地

高等职业技术教育专业的培养目标是培养生产、服务和管理第一线的技能型实用人才，强调能力的综合与实用，实践教学是提高技能人才培养质量、实现高职教育目标的关键环节，实训基地是实施实践教学的基础和首要条件，尤其是校内实训基地的建设。

高等职业院校的校内实训基地以“学做合一”和“生产性”实训为基点，以技术开发与服务中心为支撑，为培养高技能人才创造了优越的实训条件。基地通常由“课堂与实训点合一”的学做合一基地、“实训与生产合一”的校企合一生产性基地，以及“教学与技术开发、服务合一”的教研合一基地三部分构成。在教学中，通过“学做合一”有效落实基本技能的实验与实训；通过“校企合一”有效落实校内生产性顶岗实训，使学生掌握综合操作技能，具备校外顶岗实习能力；“教研合一”，主要是指教师在完成生产、实训任务的同时，开展一些新产品、新技术研发，面向企业积极开展应用性的横向课题研究，师生共同完成科研项目或学生完成毕业设计，这就需要有新产品新技术创新平台、研究所或重点实验室支撑。

对高职院校的计算机网络及相关专业来说，功能完善、技术领先的校内网络实训基地，不但有利于实践教学体系的完善，提高学生网络专业技能，提高教师网络相关理论和应用方面的教学质量；而且具有服务社会、技术研发等生产功能，从而实现一定的经济效益。然而，当前大多数高职院校的校内网络实训基地较好地解决了“课堂与实训点合一”的学做合一和“实训与生产合一”的校企合一，却难以体现“教学与技术开发、服务合一”的教研合一。依托校内网络实训室和校园网所构建的IPv6网络实验教学平台，不但是学校的教学工具，更是科研的实验平台和新应用和业务的基础设施，是“教研合一”的支撑平台之一。

二、IPv6网络实验教学平台的构建

为了充分体现“教研合一”，构建的IPv6网络实验教学平台，不但需要能够模拟建设IPv6网络，检测网络整体建设方案的可行性；而且需要能够对网络建设过程所涉及的关键技术进行模拟测试。作为实验教学平台，它让学生有了学习和掌握最新的网络理论和实践知识的环境；作为新技术创新平台，它为教师面向企业开展应用研究、开展新技术研发等提供实验平台。

（一）当前IPv6网络建设分析

为了使建设的IPv6实验教学平台更加实用，必须综合考虑当今和未来网络技术发展方向，分析校园网、中小企业网等企业级IPv6网络建设和应用方式。当前，IPv6网络建设的方式主要有升级现有IPv4网络和建设全新的IPv6网络两种。

1.升级现有IPv4网络。当前的IPv4网络经过二十多年的建设和发展，已经比较成熟和完善，并且具备相当的用户规模，如果要实现全网升级IPv6网络，必然面临投资大、网络需要重新规划等一系列问题。因此，升级现有IPv4网络不失为一个实用的方案。

由于IPv6协议与IPv4协议的体系结构没有很大的区别，因此，在网络升级过程中主要考虑的是核心设备的升级，如路由设备、核心交换机的升级。如果原核心设备在硬件上支持IPv6协议，设备厂家可以提供较稳定IPv6版本的设备软件，那么，就可以将这些设备升级为IPv4/IPv6双协议栈工作模式，网络的其他部分保持不变。核心设备完成升级后，可以分别提供至IPv4网络和IPv6网络的出口；接入用户只需要升级自己的主机为IPv6/IPv4双协议栈主机，就可以采用隧道的方式直接接入核心交换机，而对于原有的IPv4用户又不会造成任何影响，通过升级，原有的IPv4网络下的IPv4用户的业务不受影响。新增的IPv6/IPv4双栈用户也可以正常访问IPv6网络、IPv6业务，以及IPv4网络和IPv4业务。如果现有设备无法升级到IPv6，只有用新的IPv6网络设备替换原设备，但由于网络一次性升级成本相对较高，对于大型的园区网，核心设备可考虑节点冗余，逐步地、有选择地、有重点地对核心设备进行升级。

在这种升级方案中，受到网络建设成本和服务器性能以及服务器自动配置程度的限制，效率不是很高，适合于IPv6/IPv4雙协议栈用户比较少的情况，或者在建设园区IPv6试验网初期。

2.建设全新IPv6网络。建设全新的企业级IPv6/IPv4双协议栈园区网相对于升级现有网络成本要高，但网络的实现相对简单，只需要选取支持双栈的交换机设备，按照现有的园区网建设模式组建网络即可。

核心层和汇聚层可选用双栈交换机，接入层可使用现有的二层接入交换机组网。为提高网络的可靠性，汇聚层与核心层之间、接入层与汇聚层之间采用双归链路上联实现链路冗余；汇聚设备作为用户接入点网关设备，通过运行VRRP协议实现网关冗余；核心节点采用双核心部署保证节点冗余。用户可以直接通过双栈方式完成连接，正常访问IPv6网络和IPv6业务以及IPv4网络和IPv4业务。

从技术角度来说，这是最理想的方案，不必为不同类型的用户单独部署网络配置，开销小，管理简单，IPv4和IPv6的逻辑界面也比较清晰。然而，由于原有的网络实际上都是IPv4网络，要建设全双栈网络，必须将原有网络设备淘汰弃用，投资过大，并有不同程度的设备资源浪费。实际上，这种模式只适合新建的网络。

（二）IPv6网络实验教学平台的构建

通过分析当前IPv6网络建设现状和学校教学实际，要在有限的环境下，构建“教研合一”的IPv6网络实验教学平台，使其成为功能完善的教学工具、技术领先的科研平台，从而更好地为学校的实践教学服务，为技术研发服务。整个网络拓扑结构设计，见下图。图中所示的IPv4网络部分可模拟传统的IPv4企业网，IPv6网络部分可模拟一个完整IPv4/IPv6双协议栈网络，均分为核心、汇聚和接入三层架构。整个结构充分考虑现有和下一代不同的网络环境，既可以模拟实现全新IPv6企业网络建设，也可以模拟实现从IPv4网络升级到IPv4/IPv6双协议栈网络的建设，还可以比较系统地测试IPv6网络建设所涉及的关键技术，为更稳定地从IPv4网络向IPv6网络平滑过渡或建设全新IPv6网络提供保障。

具体的设计说明如下：（1）核心层网络为双栈网络，核心交换机为双栈设备；边缘路由器支持双栈网络，可以作为NAT-PT设备实现IPv4与IPv6的业务互访。（2）汇聚层和接入层分为两个部分，一部分是纯IPv4网络，另一部分是双栈网络；汇聚层设备为IPv4三层交换机和IPv6三层交换机，接入层设备为IPv4三层交换机或二层交换机。（3）IPv4网络下的IPv6用户可以采用ISATAP隧道接入到核心网络，双栈网络下的IPv6用户则可以直接接入。（4）为保证网络可靠性和原有IPv4业务及新增的IPv6业务的稳定性，接入层与汇聚层采用双上联实现链路冗余，鉴于构建网络实验平台的成本，核心层只采用单核心，而没有采用双节点实现节点冗余。（5）可以模拟三层到桌面，二层到桌面（在汇聚层使用三层）；在IPv4网络部分运行OSPFv2路由协议，在双栈网络和双栈核心网络上既要运行OSPFv2，也要运行OSPFv3路由协议。（6）在业务实现上应该可以保证以下几点：现有IPv4网络中的IPv4业务不受影响；IPv6/IPv4双栈用户和纯IPv6用户可以正常访问IPv6网络及IPv6业务；双栈用户可以直接访问IPv4网络及IPv4业务；通过NAT-PT设备实现IPv4用户访问IPv6业务；通过NAT-PT设备实现IPv6用户访问IPv4网络及业务；在双栈网络部分，可以在接入交换机上实现流的分类；在汇聚层交换机上实现QoS防拥塞机制。

在实际网络中，IPv4协议比较成熟而且无处不在，一般很少有纯IPv6用户，而支持IPv6协议的用户终端一般也支持IPv4协议，如果IPv6网络实验平台的用户要访问现有实际的IPv4网，以及实际的CERNET和Internet资源，直接利用IPv4协议即可。因此，在搭建IPv6网络实验教学平台时，网络中的用户PC可以直接安装IPv4/IPv6双栈协议体系，方便与外部其他网络连接。

从IPv6的技术角度看，IPv6网络实验教学平台可以模拟、验证IPv6的基本特性以及常见的IPv4/IPv6过渡策略，也可以验证基于IPv6的路由实验和双栈网络模拟、隧道技术模拟，还可以进行RIP/RIPng路由协议实验教学；OSPFv2/v3路由协议实验教学等，为师生提供的较好的IPv6技术实践教学环境。通过IPv6网络实验教学平台的模拟配置教学，不但加深了学生对IPv6相关知识和技术的理解，更加强了学生的实际操作能力。

三、IPv6网络实验教学平台的“教研合一”

IPv6网络实验教学平台除了能够完成以教学为主要目的实训项目外，还可以進行科研项目的研究，如对相关行业的组网技术、行业网络中特定的应用以及两者之间的相互影响进行研究；对IPv6技术进行深入研究并测试，提出合适的IPv6校园网的建设方案等，从而为校内外相关行业提供技术研发和支持。

此外，对校内外承揽实际业务，为社会提供技术服务，为校内的学生提供技术指导，参与科研课题的技术研发等工作，不但为师生创造了真实的职业环境，还可以利用其创造的经济效益购置设施设备、改善教学条件、加强技术研发等，这样，就变消耗性实验实习为创造效益的生产经营活动，为实训基地的可持续发展奠定了坚实的基础，充分体现教学与技术开发、服务合一的“教研合一”理念。

作为高职院校，IPv6网络实验教学平台为今后更有效地开展IPv6的教、学、研、产打下了良好的基础。为学生提供了必要的实践环境，引导学生以探索的方式学习，提高IPv6网络应用能力，以适应将来职业的需求。为教师提供了进行下一代互联网技术研究的实验平台，帮助教师以创新的方式教学，提高他们的理论知识水平和实践能力。同时，作为尝试和部署下一代互联网新应用和业务的基础设施，还可以从中获取IPv6网络的组织管理经验，为校园网将来正式申请接入CERNET2做准备，以实现IPv6从实验教学到实际应用。

［参考文献］

［1］丁金昌，童卫军.“三个合一”校内实训基地培养高技能人才的研究与实践［J］.中国大学教学，2008（1）.

［2］华为3Com技术有限公司.IPv6技术［M］.北京：清华大学出版社，2004.

［3］杜治国,罗穗萍,梁华坤.IPv6技术与校园网的规划部署及教学改革［J］.中山大学学报论丛，2006,26（8）．

［4］（美）波波维亚.部署IPv6网络［M］.王玲芳，张武，赵志强，等，译.北京：人民邮电出版社,2007.

［5］过晓明.IPV6协议下高校校园网的接入技术研究［J］.中国现代教育装备，2005（12）.

作者：陈国浪

中职校园网络建设论文 篇2：

浅谈中职学校校园网的组建及安全

【摘要】中职校园网络兼具教学和科研的任务，在校园网的组建和安全建设方面应该进行全面规划。本文从中职校园网设计的原则入手，分析了中职校园网的组建设计方案，提出进行中职校园网络安全建设的相应措施。

【关键词】中职学校;校园网;组建;安全

【分类号】TP393.18

随着社会的进步和科技的快速发展，许多的中职学校都建立了属于自己的校园网络，并与Internet进行连接。校园网的建设不仅是现代教育改革的要求，而且也是现代教育的重点内容。但是中职学校校园网的构建是一项较为复杂的工程，需要整合网络设备、专业技术和相关的信息资源。随着信息技术的快速发展，我国已经进入了信息化的时代，计算机网络成为现代科研和现代化管理的重要手段，校园网在我国已经取得了较大的发展，但是中职学校校园网的构建仍然存在许多的缺陷。校园网络的构建应该进行全面的互通，进行信息的快速传递，提升高校的办学效率。

1 中职学校校园网设计的原则

1.1 先进性原则

中职学校的网络具有重要的科研功能，因此在进行校园网络的建设过程中应该具备较强的技术先进性。充分利用先进的计算机和网络技术，采用先进的网络设计思想，保证校园网络具有较快的传输速率，能够有效满足教学和科研的要求，在整个网络系统建成后保证整体处于先进的技术水平。

1.2 可靠性原则

中职校园网络因为具备教学和日常应用的功能，因此需要具有较为成熟的网络技术和设备。当中职学校所处的地理位置环境较差时，校园网络也能够满足教学的要求，保证教学有序的进行。校园网络还应该具备较强的抗干扰能力，网络系统能够适应不同的环境要求，保持系统的可靠运行^[1]。

1.3 可扩展性原则

校园网络的设计和规划应该综合考虑其扩展功能，不仅要满足现在的各种教学应用，而且还应该能够方便地进行升级操作，实施有效的扩展。这就要求中职学校的校园网络的结构和管理具有较强的扩展性，并且保证在较低成本的要求下能够进行快速的升级。

1.4 安全性原则

中职学校网络的数据库包涵了学校中的各种教学和科研信息，因此就需要保证校园网络系统的安全性，保证数据信息不泄露。在中职学校进行网络安全管理的过程中，应该设定严格的网络安全管理权限，非法用户不能获取到网络中的信息，保证数据的完整性。

2 中职学校校园网的组建设计方案

2.1 网络拓扑结构设计

中职学校校园网络的结构体系采用的分布式的结构，包括核心层、分布层和访问层。网络的核心层的主要作用是为网络提供高速的连接线路，完成信息交互。因为核心层在网络体系中占有重要的地位，因此它应该具备较为强大的扩展功能，最大程度的满足网络扩展的需求。目前，校园网中的网络交换机大多采用的是统一的数据模块和操作系统模块，可以方便地进行升级操作。校园网络的分布层主要的作用是连接接入层的各个节点，并与核心层进行交换，方便实现网络的管理。这种校园网络的交换机主要分布在校园楼层中的信息中心，在服务器中内置了各种服务的端口，可以方便进行外界设备的接入，在一定程度上提高了网络架构的灵活性。网络的接入层位于网络结构的外层，可以方便进行数据的交换，还能够支持VLAN，在进行设计过程中应该充分考虑接入节点的数量的问题，将交换机接入到终端的集线器中，核心层交换和接入层交换应该具备良好的兼容性。通过以上的分析可知，只有完善中职校园网络的核心层、分布层和接入层，才能完善整个校园网络的架构^[2]。

2.2 服务器的配置选择

为了提升校园网络的服务功能，应该在校园网中配置文件服务器、DNS服务器和MAIL服务器等，在选择校园网络配置中应该遵循的主要原则是：良好的性能、扩展能力强、良好的可靠性等。还可以根据服务器的具体型号进行骨干操作系统的选择。建立的DNS服务器中的IP地址应该根据标准的命名规则，当用户向计算机提出查询IP地址的需求时，DNS服务器应该能够较快的从数据库中提取满足用户要求的数据。邮件服务器的建立应该在网络的平台中，基于Unix平台的发送邮件系统，在有限的预算内建立这种邮件服务器，可以有效减少资金的投入。在功能和性能方面也具有良好的表现，但是其管理的难度要比UNIX低。

3 中职学校校园网的安全

中职学校的校园网络在教学、科研和管理中担任重要的角色，因此网络的安全性具有重要的意义。目前，我国的网络中存在较大安全隐患，影响网络安全的主要因素有数据的破坏、系统运行受到干扰、突然断电和非法黑客的入侵。进行中职学校园网络安全的构建，首先应该选择性能稳定的交换机，有效提升防攻击的能力。还应该为校园网络配置一个具有优良性能的电源，提升网络的配电系统。网路管理员应该树立这种网络安全的意识，对敏感的信息进行加密，提升网络服务器的容错能力，当网络出现事故时能够快速地恢复各种数据和网络信息;其次，还应该建立完善的网络安全认证机制，这也是保障网络系统安全运行的关键所在，进行身份系统的识别可以有效防止非法的用户入侵，可以对用户的权限进行设置，进行口令或者密码的设定，为用户提供完整的用户使用记录，有效保证网络的安全^[3]。最后，可以设置有效的防火墙，采用先进的网络防御技术进行数据流的监控和限制，提升网络的入侵检测系统，全面提升外界因素对网络造成的各种威胁。防火墙还应该具有较好的应用透明性，采用硬件的形式防止网络黑客的入侵。

4 总结

总而言之，中职学校校园网兼具教学和科研的任务，校园网的建设也是一项较为复杂的系统工程，具有较强的开创性。在进行校园网络的构建中应该进行综合的考虑，从长远规划，采取分步实施的方式，细心做好网络建设中的各种具体工作，只有这样才能建立性能完善、安全性高的校园网。

【参考文献】

[1]张青松.浅谈中职学校校园网之构建[J].计算机光盘软件与应用，2011，（1）：90-90.

[2]贺传举.试析中职学校校园网组建与应用[J].都市家教：下半月，2011，（9）：122-122.

[3]骆建强.中等职业学校校园网的设计与组建[J].科学导报，2013，（5）：248.

作者：龙弟彬

中职校园网络建设论文 篇3：

中职校园网络的安全与管理

摘 要：本文在分析中职校园网络安全隐患的基础上，提出了确保校园网络安全的解决方案，并重点就如何设置路由器防范拒绝服务（DoS）攻击进行了阐述，以达到硬件防火墙的效果，从而提高校园网络的安全性。

关键词：中职；校园网络；安全隐患；路由器设置

随着网络技术和internet的发展，各中职学校都建立了自己的校园网络，校园网为教师和学生的工作、学习、交流提供了许多方便，改变了传统的教学和学习方式。在中职学校，尤其是办学规模较小、经济情况较弱的学校，校园网络的构建本身存在一些缺陷，如许多学校没有购置防火墙设备。在硬件条件有限的情况下，如何搞好校园网络的安全与管理、提高校园网络运行能力是十分值得校园网管理员探讨的问题。

一、校园网的安全隐患

探讨校园网络安全首先要分析校园网络存在哪些方面的安全隐患及来源特点，笔者认为中职校园网络的安全隐患主要归于如下几种情况：

1. 病毒感染。

病毒感染是校园网中最常见、最严重的一种安全威胁，病毒防范最重要的方法是堵住它的入侵途径。而校园网病毒的主要入侵途径有以下四种：（1）浏览网页、电子邮件而感染的网络病毒，如有蠕虫类病毒、木马程序等。（2）网络共享的携带病毒文件，从而感染了使用此共享文件的系统。（3）携带病毒的盗版光盘的软件。（4）携带病毒的U盘、移动硬盘等移动存储设备。

2. 网络攻击。

随着网络技术的发展，各种网络攻击事件频频发生，黑客的恶意行为不时导致学校网络瘫痪，令校园网管理人员十分头痛。笔者分析，网络攻击主要有以下四种形式：（1）拒绝服务（DoS）：DoS攻击是利用一批受控制的机器向一台机器发起攻击，具有较大的破坏性。DoS攻击通过对服务器产生大量的服务请求，使服务器忙于响应应答讯息，造成TCP/IP栈崩溃，导致与Internet的连接中断、无数的窗口被打开、系统死机，甚至重新启动等，造成服务器系统不胜负荷，丧失提供正常服务的能力。（2）木马程序：是一种能够在受害者毫不察觉的情况下渗透到系统的程序代码。受害电脑一旦被种植了木马，就意味着控制者能够通过控制主机去控制受害系统，进行秘密信息的窃取或破坏。（3）网络嗅探器：是指嗅探类程序，它们潜伏在网络中，利用互联网透明传输的弱点，悄悄地捕获网络上的数据包。（4）黑客入侵：是指某些具有顶尖网络技术的人士，通过扫描程序发现系统开放的端口和漏洞，然后通过特殊的程序或进行特定操作控制整个系统。

3. 校园网络内部的威胁。

中职校园网的用户数量很多，包括了教师、行政人员、学生和家长等。相对企业网络，校园网来自内部的威胁更加严重。主要有如下三种情况：（1）MAC地址盗用：指上网用户通过修改注册表，将自己的MAC地址改为一个未知的MAC地址或是别人的MAC地址。MAC地址的盗用对网络安全带来巨大的隐患。（2）IP地址盗用：是指用户私自更改自己的IP地址或通过各种软件进行IP的攻击。有些用户出于某种原因，手工更改自己的IP地址，使得原本IP地址的合法用户无法正常上网，导致网络管理的混乱。DoS攻击是最常见的IP攻击方式，其原理是非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP，导致服务器无法正常工作。（3）账号盗用：这里更多的是指“账号的共享”。对于校园网的管理来说，如果没有对账号做好管理，一个账号可能被多个用户使用，账号的混乱使得管理员无法实现“网络管理到人”的目的。

4. 操作系统的安全漏洞。

随着技术的发展，操作系统越来越复杂，从而导致了操作系统本身的漏洞也越来越多，这样就使得操作系统不是绝对安全、万无一失的。

二、校园网络安全解决方案

校园网络安全是一个系统的、全局管理问题，网络上的任何一个漏洞，都有可能影响整个网络的安全。一个较好的安全解决方案不但要从环境、用户、产品和意识等方面来考虑，同时要进行综合分析，逐个解决存在的问题，把可能发生的危害排除在发生之前，达到安全防护的目的，并且把网络安全理念贯穿于网络建设、使用和维护的整个过程中。

1. 选用先进的组网设备。

在校园网建设和使用过程中，设备的选用和维护至关重要。如通过三层交换机来连接电信局的服务器和校园网的各个终端用户实现宽带上网，避免以太网侦听的危险。

2. 采用虚拟局域网技术（VLAN）。

一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，控制广播风暴的产生。通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同的VLAN中，从而提高交换式网络的整体性能和安全性。

3. 加固操作系统。

针对Windows、Unix安全漏洞的各种病毒、网络攻击日益增多，因此网络管理员必须加固操作系统，可采取以下方法：（1）及时安装系统补丁程序；（2）最小化系统，提高系统的安全性；（3）进行安全设置，如用户权限的分配，共享目录的开放与否、注册表的安全配置、浏览器的安全等级等。

4. 安装杀毒软件。

现在大多数用户都安装了杀毒软件，但安装了杀毒软件后还需要及时升级杀毒软件、经常使用杀毒软件检查系统并清除病毒、开启杀毒软件的监控功能。

5. 安装防火墙。

防火墙技术是控制进和出两个方向通讯的门槛，是抵御来自网络攻击最有效的手段之一。它能够最大程度地保护你的系统信息不外泄。对通过交换机直接上宽带的用户而言，防火墙至少可以抵挡来自网络常见的攻击方式。如通过拒绝服务（DoS）、监控不明程序进程、使用防火墙的端口阻塞功能关闭不需要的端口从而达到防范的目的。

6. 加强内部管理。

对校园网络的内部威胁，只有通过制定相关的规章制度，加强内部管理，减少校园网络安全隐患。对学生的上网实施一人一个账号—密码验证身份的原则；对盗用MAC地址和IP地址的学生给予一定的处罚；同时在技术上捆绑IP地址和MAC地址，在DoS界面的提示符下输入命令：ARP-s 192.168.11.**00-50- BA-19-C3-DD，即可把MAC地址和 IP地址捆绑在一起。

三、设置路由器防范拒绝服务攻击（DoS）

上文提到的校园网络安全解决方案是一个一般性的解决方案，特别提到了防火墙在网络安全中的作用。而面对日益增多的网络攻击，特别是拒绝服务（DoS）攻击越来越严重地威胁着校园网络的安全，但许多中职学校却没有经济能力购置防火墙设备，在这种的情况下，如何解决防范拒绝服务（DoS）攻击的问题？下文笔者介绍一种利用设置路由器来防范拒绝服务（DoS）攻击的方法。设置步骤如下：

1. 使用ip verfy unicast reverse-path网络接口命令。

本命令的功能是检查每一个经过路由器的数据包。在路由器的CEF（Cisco Express Forwarding）表该数据包所到达网络接口的所有路由项中，如果没有该数据包源IP地址的路由，路由器将丢弃该数据包。如路由器接收到一个源IP地址为1.2.3.4的数据包，如果CEF路由表中没有为IP地址1.2.3.4提供任何路由（即反向数据包传输时所需的路由），则路由器会丢弃它。

单一地址反向传输路径转发在ISP（局端）实现阻止SMURF攻击和其它基于IP地址伪装的攻击。这能够保护网络和客户免受来自互联网其它地方的侵扰。使用Unicast RPF需要打开路由器的“CEF swithing”或“CEF distributed switching”选项。不需要将输入接口配置为CEF交换。只要该路由器打开了CEF功能，所有独立的网络接口都可以配置为其它交换模式。RPF（反向传输路转发）属于在一个网络接口或子接口上激活的输入端功能，处理路由器接收的数据包。在路由器上打开CEF功能是非常重要的，因为RPF必须依靠CEF。Unicast RPF的 Cisco IOS 12.0及以上版本中，但不支持Cisco IOS 11.2或11.3版本。

2. 使用访问控制列表（ACL）过滤RFC 1918中列出的所有地址。

配置命令如下：

interface xy

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

3. 参照RFC 2267，使用访问控制列表（ACL）过滤进出报文。

{ISP中心}-—ISP端边界路由器—-客户端边界路由器—-{客户端网络}

ISP端边界路由器应该只接受源地址属于客户端网络的通信，而客户端网络则应该只接受源地址未被客户端网络过滤的通信。以下是ISP端边界路由器的访问控制列表（ACL）例子：

access-list 190 permit ip{客户端网络} {客户端网络掩码}any

access-list 190 deny ip any any[log]

interface{内部网络接口} {网络接口号}

ip access-group 190 in

以下是客户端边界路由器的ACL例子：

access-list 187 deny ip{客户端网络} {客户端网络掩码}any

access-list 187 permit ip any any

access-list 188 permit ip{客户端网络} {客户端网络掩码）any

access-list 188 deny ip any any

interface{外部网络接口} {网络接口号}

ip access-group 187 in

ip access-group 188 out

如果打开了CEF功能，通过使用单一地址反向路径转发（Unicast RPF），能够充分地缩短访问控制列表（ACL）的长度以提高路由器性能。为了支持Unicast RPF，只需在路由器完全打开CEF：打开这个功能的网络接口并不需要CEF交换接口。

4. 使用CAR（Control Access Rate）限制ICMP数据包流量速率。

配置命令如下：

interface xy

rate-limit output access-group 2020 3000000 512000 786000 conform-action

transmit exceed-action drop

access-list 2020 permit icmp any any echo-reply

5. 设置SYN数据包流量速率。

配置命令如下：

interface{int}

rate-limit output access-group 153 45000000 100000 100000 conform-action

transmit exceed-action drop

rate-limit output access-group 152 1000000 100000 100000 conform-actiOn

transmit exceed-action drop

access-list 152 permit tcp any host eq www

access-list 153 permit tcp any host eq www established

在实现应用中需要进行必要的修改，替换45000000为最大连接带宽，1000000为SYN flood流量速率的30%到50%之间的数值。

burst normal（正常突变）和burst max（最大突变）两个速率为正确的数值。

注意：一般推荐在网络正常工作时测量SYN数据包流量速率，以此基准数值加以调整。必须在进行测量时确保网络的正常工作以避免出现较大误差，并建议考虑在可能成为SYN攻击的主机上安装IP Filter等IP过滤工具包。

四、结语

校园网络安全管理是一个系统的工程，学校不但要建立一套校园网络安全管理模式，制定详细的安全管理制度，全面考虑系统的安全需求，并将各种安全技术结合在一起，才能形成一个有效、通用、安全的网络系统。同时作为校园网络技术管理人员，如果学校没有经济能力购置硬件设备，应更多地考虑用“软件”方法构建一个比较安全的校园网络系统。如本文简介的“设置路由器防范拒绝服务（DoS）攻击”就是一个典型例子，其设置不是很复杂，既能节约经费又可以达到硬件防火墙的效果。

（作者单位：广州市土地房产管理职业学校）

参考文献：

[1]汤明亮.面向DoS攻击的路由回溯技术研究[J].国防科学技术大学，2009，（1）.

[2]王会林.计算机网络黑客攻击与防范技术研究探索[J].民营科技，2010，（5）.

[3]李鹏.校园网络安全管理[J].科技创业月刊，2007，（6）.

责任编辑 何丽华

作者：郭伊葭