时间:2023-05-30 09:37:20
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业网络设计方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:企业产品网站;设计思路;制作方案
Abstract: webpage design as an emerging technology, has been developing rapidly in recent years, with the development of Internet, all kinds of small and medium-sized enterprises also begin to design your own website, enterprise website is an enterprise portal, design level directly reflects the image of the enterprise, to design a good business web site must be to have a good originality and design, this paper will explore the enterprise product website design ideas and concrete implementing scheme.
Keywords: enterprise website; design; production plan
[中图分类号] F72 [文献标识码]A[文章编号]
引言
随着近些年来网络的发展,网页设计作为一门新兴的技术也迅速的兴起,网络设计的功能是保证用户可以方面、快速的了解网站的相关信息,从网络水平的发展过程来看,网页设计水平与设计几乎有着密切的关系,传统的网页一般是数字和字母组成,没有现阶段的动画、图片和声音,随着设计水平的发展,现在的网页已经发展为动画、图像等多种因素整合的新型网站,对于设计人员而言,在设计网页的过程中要以用户为中心,方便用户的适应,下面就以企业网页的设计为例,探讨企业产品网站的设计方案。
企业网站的设计思路
企业网站是一个企业的门户,设计水平直接体现着企业的形象,要设计出好的企业网站必须要有一个好的创意和构思,再使用科学合理的设计方法,丰富网页的内容,其设计的思路可以沿着以下几个方向进行:
找出网站的主题
企业网站设计的主题就是企业的相关产品,因此,设计人员在设计网页时必须要考察好企业的产品以及各个产品的卖点,根据卖点和闪光点进行设计,使用图像、动画等与产品相关的链接,为网站的设计打好坚实的基础。
组织网页的结构
在了解到企业产品的卖点之后,就需要对网页结构进行整体的规划和布局,网页结构也是影响网站设计效果的重要因素,为了方面用户的使用,大部分的网站都是使用树形的组织结构。
整理资源
在对网页的内容以及结构有着明确的构思之后,就要对企业产品相关的内容进行分类和整理,根据图片、超链接以及文字内容的分类方式将资源整理好,以便进行下一步骤的设计。
选择设计方法
在完成以上所有的工作后,就需要选择合理的设计方法,目前,设计网站的工具很多,不仅可以使用FrontPage等网页制作工具进行设计,也可以使用HTML语言进行编辑,在具体的设计过程中,可以使用网页制作工作设计好网站的框架,再使用编辑语言来实现网站的各项高级功能。
企业网站的设计方案
在做好各项准备工作后,就可以着手进行下一步的工作,这也是企业网站设计中的关键工作,目前,一些大型的门户网站,搜狐网、新浪网、腾讯网等网站的页面设计十分科学,因此,在对企业网站进行设计时,可以多借鉴门户网站的制作特点,提高企业网站的信息集成性,增强网站的交互功能,网站的设计包括以下几个内容:
网站页面的设计
企业网站是企业的门户,那么页面就是网站的门户,在页面的设计过程中,一般需要遵循典雅清新、精悍简洁的原则,但是,企业网站与门户网站相比而言,具有一些特殊性,面向的受众群体有限,因此,在对页面进行设计的过程中,要以受众的特点为出发点,例如,兰芝公司作为一家主营化妆品的公司,其受众群体是18到35岁的女性群体,因此,其页面采用了清新的蓝色,这种颜色不仅象征着兰芝化妆品的卖点——补水,呈现出来也十分的美观,用户浏览起来可以赏心悦目。因此,在设计页面的过程中,要考虑到产品的卖点以及受众群体,进行针对性的设计。
交互性的体现
现代社会是一个交流沟通的社会,很多企业的网站都设置了留言板和讨论专区,并委派了相关的版主进行管控,在留言板中,用户可以发表自己对产品的意见,这就可以帮助企业更好的认识到自身生产能力的缺陷以及用户的实际需求,并及时的分析问题、解决问题,提高自身的生产能力。
定期升级
一般情况下,企业网站都会融合传统门户网站以及商业网站的优点,兼具电子商务和广告招商的功能,现在很多企业都意识到了网络销售渠道的优势,纷纷的将自己的产品放在主页上进行销售,实现营业范围的多元化,但是,由于各种因素的影响,企业网站的稳定性比起专业的门户网站而言较为逊色,且容易受到黑客、病毒的影响,因此,必须对网站进行定期的维护和更新,保证网站运行的稳定性。
提升网站的影响力
为了提高企业网站的影响力,提高产品在消费这心目中的水平,在设计方案中可以多增加一些交互功能,让用户可以在网页中了解到自己所需的内容,这也可以在一定程度上提高网站的亲和力,起到宣传文化的作用。
合理搭配,控制网页的速度
目前,视频动画、图像等已经在企业网站的设计中得到了广泛的应用,这可以增加网站的美观性,也可以丰富内容,但是,图像和视频使用的过多会在影响浏览的速度,在互联网这个快餐时代,打开页面的速度过慢,很多用户就会选择关闭,去浏览其他相关的网站,因此,在对网站进行设计时,要合理的使用视频和图像,多增加一些文字性的内容,图片则使用GIF格式,且图片的尺寸要控制到合理的范围内,这样,既可以提高网页的生动性,也不会影响浏览速度,达到两全其美的效果。
结语
总之,在制作企业网站的过程中要遵循规定的设计原则,以用户为中心,合理的规划图像和文字的使用比例,提高网页的可读性。
参考文献:
[1]王熹.企业产品网站制作方案的初探[期刊论文],西北水利发电,2005(09)
关键词:企业网络;安全;病毒;物理
在现代企业的生存与发展过程中,企业网络安全威胁与企业网络安全防护是并行存在的。虽然企业网络安全技术与以往相比取得了突破性的进展,但过去企业网络处于一个封闭或者是半封闭的状态,只需简单的防护设备和防护方案即可保证其安全性。而当今大多数企业网络几乎处于全球互联的状态,这种时空的无限制性和准入的开放性间接增加了企业网络安全的影响因素,自然给企业网络安全带来了更多的威胁。因此,企业网络安全防护一个永无止境的过程,对其进行研究无论是对于网络安全技术的应用,还是对于企业的持续发展,都具有重要的意义。
1企业网络安全问题分析
基于企业网络的构成要素以及运行维护条件,目前企业网络典型的安全问题主要表现于以下几个方面。
1.1网络设备安全问题
企业网络系统服务器、网络交换机、个人电脑、备用电源等硬件设备,时常会发生安全问题,而这些设备一旦产生安全事故很有可能会泄露企业的机密信息,进而给企业带来不可估量经济损失。以某企业为例,该企业网络的服务器及相关网络设备的运行电力由UPS接12V的SOAK蓄电池组提供,该蓄电池组使用年限行、容量低,在长时间停电的情况下,很容易由于蓄电池的电量耗尽而导致整个企业网络的停运。当然,除了电源问题外,服务器、交换机也存在诸多安全隐患。
1.2服务器操作系统安全问题
随着企业规模的壮大以及企业业务的拓展,对企业网络服务器的安全需求也有所提高。目前诸多企业网络服务器采用的是WindowsXP或Windows7操作系统,由于这些操作系统存在安全漏洞,自然会降低服务器的安全防御指数。加上异常端口、未使用端口以及不规范的高权限账号管理等问题的存在,在不同程度上增加了服务器的安全威胁。
1.3访问控制问题
企业网络访问控制安全问题也是较为常见的,以某企业为例,该企业采用Websense管理软件来监控企业内部人员的上网行为,但未限制存在安全隐患的上网活动。同时对于内部上网终端及外来电脑未设置入网认证及无线网络访问节点安全检查,任何电脑都可在信号区内接入到无线网络。
2企业网络安全防护方案
基于上述企业网络普遍性的安全问题,可以针对性的提出以下综合性的安全防护方案来提高企业网络的整体安全性能。
2.1网络设备安全方案
企业网络相关设备的安全性能是保证整个企业网络安全的基本前提,为了提高网络设备的整体安全指数,可采取以下具体措施。首先,合适传输介质的选用。尽量选择抗干扰能力强、传输频带宽、传输误码率低的传输介质,例如屏蔽式双绞线、光纤等。其次是保证供电的安全可靠。企业网络相关主干设备对交流电源的生产质量、供电连续性、供电可靠性以及抗干扰性等指标提出了更高的要求,这就要求对企业网络的供电系统进行优化。以上述某企业网络系统电源供电不足问题为例,为了彻底解决传统电源供给不足问题,可以更换为大容量的蓄电池组,并安装固定式发电机组,进而保证在长时间停电状态下企业网络设备的可持续供电,避免因为断电而导致文件损坏及数据丢失等安全问题的发生。
2.2服务器系统安全方案
企业网络服务器系统的安全尤为重要,然而其安全问题的产生又是多方面因素所导致的,需要从多个层面来构建安全防护方案。
2.2.1操作系统漏洞安全
目前企业网络服务器操作系统以Windows为主,该系统漏洞的出现成为了诸多攻击者的重点对象,除了采取常规的更新Windows系统、安装系统补丁外,还应针对企业网络服务器及个人电脑的操作系统使用实际情况,实施专门的漏洞扫描和检测,并根据扫描结果做出科学、客观、全面的安全评估,如图1所示,将证书授权入侵检测系统部署在核心交换机的监控端口,并在不同网段安装由中央工作站控制的网络入侵检测,以此来检测和响应网络入侵威胁。图1漏洞扫描及检测系统
2.2.2Windows端口安全
在Windows系统中,端口是企业实现网络信息服务主要通道,一般一台服务器会绑定多个IP,而这些IP又通过多个端口来提高企业网络服务能力,这种多个端口的对外开放在一定程度反而增加了安全威胁因素。从目前各种服务器网络攻击的运行路径来看,大多数都要通过服务器TCP/UDP端口,可充分这一点来预防各种网络攻击,只需通过命令或端口管理软件来实现系统端口的控制管理即可。
2.2.3Internet信息服务安全
Internet信息服务是以TCP/IP为基础的,可通过诸多措施来提高Internet信息服务安全。(1)基于IP地址实现访问控制。通过对IIS配置,可实现对来访IP地址的检测,进而以访问权限的设置来阻止或允许某些特定计算机的访问站点。(2)在非系统分区上安装IIS服务器。若在系统分区上安装IIS,IIS就会具备非法访问属性,给非法用户侵入系统分区提供便利,因此,在非系统分区上安全IIS服务器较为科学。(3)NTFS文件系统的应用。NTFS文件系统具有文件及目录管理功能,服务器Windows2000的安全机制是基于NTFS文件系统的,因此Windows2000安装时选用NTFS文件系统,安全性能更高。(4)服务端口号的修改。虽然IIS网络服务默认端口的使用为访问提供了诸多便捷,但会降低安全性,更容易受到基于端口程序漏洞的服务器攻击,因此,通过修改部分服务器的网络服务端口可提高企业网络服务器的安全性。
2.3网络结构安全方案
2.3.1强化网络设备安全
强化企业网络设备的自身安全是保障企业网络安全的基础措施,具体包含以下措施。(1)网络设备运行安全。对各设备、各端口运行状态的实时监控能有效发现各种异常,进而预防各种安全威胁。一般可通过可视化管理软件的应用来实现上述目标,例如What’supGold能实现对企业网络设备状态的监控,而SolarWindsNetworkPerformancemonitor可实现对各个端口流量的实时监控。(2)网络设备登录安全。为了保证网络设备登录安全指数,对于企业网络中的核心设备应配置专用的localuser用户名,用户名级别设置的一级,该级别用户只具备读权限,一般用于console、远程telnet登录等需求。除此之外,还可设置一个单独的super密码,只有拥有super密码的管理员才有资格对核心交换机实施相关配置设置。(3)无线AP安全。一般在企业内部有多个无线AP设备,应采用较为成熟的加密技术设置一个较为复杂的高级秘钥,从而确保无线接入网的安全性。
2.3.2细分网络安全区域
目前,广播式局域的企业网络组网模式存在着一个严重缺陷就是当其中各个局域网存在ARP病毒时,未设置ARP本地绑定或未设置ARP防火墙的终端则无法有效访问系统,同时还可能泄露重要信息。为了解决这种问题,可对整个网络进行细分,即按某种规则如企业职能部门将企业网络终端设备划分为多个网段,在每个网段均有不同的vlan,从而保证安全性。
2.3.3加强通问控制
针对企业各个部门对网络资源的需求,在通问控制时需要注意以下几点:对内服务器应根据提供的业务与对口部门互通;对内服务器需要与互联网隔离;体验区只能访问互联网,不能访问办公网。以上功能的实现,可在核心路由器和防火墙上共同配合完成。
作者:李常福 单位:郑州市中心医院
随着企业生产经营活动与信息化的日益密切,对企业信息化基础的网络设施要求也日益苛刻,本文对如何设计健壮性网络提出解决方案。
【关键词】STP HSRP VRRP
随着企业生产经营活动与信息化的依赖性越来越高,企业网络需要保证各种系统的7*24不间断运转,对网络的稳定性与可用性提出了苛刻要求。网络冗余设计是提高网络可靠性、可用性的主要方法。网络冗余设计包括链路级冗余、设备冗余、网关级冗余等几方面。
1 链路冗余
链路冗余在现实中确实存在其必要性,举个例子来说,要从机房A至生产区B与C铺设光缆,分别铺设两根光缆A-B与A-C。现假设A-B光缆断裂,如果没有链路冗余则只能重新铺设或断裂处融接抢修,但期间B生产区存在断网现象。如果设计当初在B与C之间也铺设一根光缆,在三点之间形成三角环路。这样就保证了任意一条链路出现断裂故障,三点之间保持物理上的连通,防止整个网络的失效。但环路会引起广播风暴、多帧复制及MAC表不稳定等问题。所以才引入了生成树协议(Spanning Tree Protocol ,STP)。其主要任务是阻止在第2层网络上产生环路。阻断网络中存在的冗余链路来消除物理网络中可能存在的路径环境,并且在当前活动路径发生故障时激活被阻断的冗余备份链路来恢复网络的连通性,保障业务的不间断服务。
2 网关级冗余
通常,企业会根据自身需求设计多个网段,而实现多网段互通,则需要三层设备(路由器或三层交换机)。主机发往其他网段的报文都交给网关来处理。当网关发生故障时,本网段内所有主机将失去与外网的通信。因此有必要对企业中承担重要地位的核心交换机实现冗余解决单点故障问题,可使用HSRP(Hot Standby Router Protocol,热备份路由器协议)、GLBP(Gateway Load Balancing Protocol,网关负载均衡协议)及VRRP(Virtual Router Redundancy Protocol虚拟路由器冗余协议)要实现热备份功能。
3 基于PVST+HSRP协议搭建企业网
机房用两台同型号的Cisco Catalyst 4503E(交换机名为HA与HB)三层交换机采用HSRP交换机集群技术解决设备的单点故障问题,并在局域网中所有的交换机都使用PVST协议来解决链路冗余存在的环路问题。
在4503E核心交换机开启pvst 协议。在每个VLAN生成一棵生成树,防止链路冗余带来的一系列网络问题。
从图1可以看到本地接口Fas3/29与Fas3/10分别与交换机名H08的Gig 0/21与Gig 0/22相连,形成链路冗余,防止单点故障。
登录至H08用show spanning-tree命令查看,从图2发现在启用了STP协议后,H8交换机的Gi0/22接口是是阻塞的。有效地防止了环路发生,只有当Gi 0/21接口出现故障时,Gi0/22口才会由阻塞状态自动转换成转发状态。
解决了链路冗余问题,接下来配置网关冗余,在每个VLAN下配置网关路由地址,并用standby命令配置
interface Vlan5
ip address 172.16.5.252 255.255.255.0
standby 0 ip 172.16.5.254
standby 0 timers 1 3
standby 0 priority 125
standby 0 preempt
冗余三级交换机HB(172.16.X.253)的配置与HA(172.16.X.252)相似,只不过各VLAN的网关地址由HA的172.16. X.252改为172.16.X.253。用show standby命令查看,从图3可以看到HB处于备用状态。当HA当掉后,HB为自动激活至活动状态接管。
4 结束语
由于每种冗余技术都工作在特定层面上,所以在网络实际应用时,多种冗余技术的结合使用才能真正保证网络的可靠性。冗余热备网络设计方案成为了当今企业网络搭建的主流。避免了传统断网事件亡羊补牢式的应对。
参考文献
[1]Todd Lammle[Z].CCNA学习指南,2004.
[2]王达.Cisco/H3C交换机配置与管理完全手册[Z],2009.
[3]David Hucaby,Steve McQuerry[Z].Cisco现场手册:Catalyst交换机配置,2004.
关键词: 局域网;规划设计;系统;网络;应用
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2015)06-0054-02
1 现状及需求分析
1.1计算机网络系统现状
瓦力公司的网络系统现状是,全公司约有台式电脑、笔记本电脑共300台。无核心交换机、硬件防火墙,通过Cisco 2800路由器做NAT端口复用地址转换来访问因特网,所有计算机在同一广播域内,楼宇间通过100M双绞线连接,楼宇至各办公室终端计算机通过交换机级联连接。
1.2网络系统需求分析
瓦力公司现在有计算机约220台,管理人员实现了一人一台的电脑办公环境。
目前网络系统存在的问题如下:
1)信息化的系统增加,需要更大带宽,更稳定的网络环境。
随着企业发展,网络应用越来越多,对网络的稳定性和带宽有了更高的要求。
2)所有计算机处于同一广播域,网络风暴导致局域网极不稳定。
3)楼宇间的百兆双绞线因距离较长,信号衰减严重,且百兆的核心速度已严重影响公司办公效率,成为信息化的瓶颈。
4)公司与因特网之间未架设防火墙,随时有中病毒或黑客攻击的安全隐患。
综上所述,公司网络现状与公司的规模及其他软硬件设施不相匹配,即不能适应企业现代化管理的要求,也不能满足企业日益膨胀的信息需求。
总结起来,瓦力公司对局域网的需求主要有:
1)办公自动化;一卡通系统;PDM系统、ERP系统;
2)划分VLAN,创建广播域,减少广播风暴,释放带宽;
3)改造楼宇间网络,更换不稳定的百兆双绞线为更稳定的千兆光纤;
4)规范因特网访问,架设防火墙,减少网络安全隐患。
2系统设计实现目标
针对企业实际情况和应用需求,此解决方案应达到如下目标:
1)采用先进的网络设备,通过结构化布线、模块化设计,建立一个高速、可靠、先进的网络系统。
2)网络主干采用千兆位以太网络,光缆铺设厂区主要建筑。普遍100M交换到桌面的高性能连接,充分满足各种系统对高带宽的要求。
3)建立高效的网络传输平台,实现PDM、视频监控等高速数据的传输和应用。
4)建立企业网站(可分为对内、对外两个),为外界了解企业提供一个窗口,促进企业内外及企业内部的信息交流。
5)其余可提供服务功能有:(l) E-mail(电子邮件);(2) FTP(文件传输服务); (3) DNS(域名解析);(4)TELNET(远程登录)。
3 系统总体方案设计
3.1网络拓扑结构设计
瓦力公司局域网的拓扑结构由核心层、分布层与用户层组成,其中由安装中心机房的三层交换机组成局域网的核心层,由安装在各办公楼的交换机组成网络的分布层与用户层。
3.2 VLAN划分及配置
传统的共享介质的以太网和交换式的以太网中,所有的用户在同一个广播域中,会引起网络性能的下降,浪费宝贵的带宽;而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。
VLAN相当于OSI参考模型的第二层,能够将广播风暴控制在一个VLAN内部。划分VLAN后,由于广播域缩小,网络中广播包消耗带宽所占的比例降低,网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层的路由来实现的。可以通过控制交换机的每一个端口来控制网络用户对网络资源的访问,同时VLAN和第三层交换结合使用能够为网络提供较好的安全保障。
根据该公司的网络拓扑结构及建筑物的分布情况,采用静态实现的方式。静态实现是将交换机端口分配给某一个VLAN(也称为基于端口的划分),这是一种经常使用的配置方式,比较容易实现和监视,而且安全。在地址分配的基础上进行划分,基本上一个子网划为一个VLAN,如表1中所示,还可根据需要扩充或修改。
3.3网络管理系统设计
网络平台:Windows 2008 Server中文版,客户端用Windows 7 Professional。
网络操作系统选择Windows 2008 Server。因为,Windows Server 2008通过加强操作系统和保护网络环境提高了安全性。通过加快IT系统的部署与维护、使服务器和应用程序的合并与虚拟化更加简单、提供直观管理工具,Windows Server2008还为IT专业人员提供了灵活性。Windows Server 2008为任何组织的服务器和网络基础结构奠定了最好的基础,是较为理想的应用平台。
3.4网络系统安全设计
3.4.1访问控制及内外网的隔离
配备防火墙:在内部网与外部网之间,设置防火墙实现内外网的隔离与访问控制是保护内部网安全的最主要、同时也是最有效、最经济的措施之一。可以确保网络安全,防止外部入侵。防火墙采用Juniper SRX 220H。
3.4.2内部网不同网络安全域的隔离及访问控制
利用VLAN技术和子网划分来实现对内部子网的物理隔离。通过交换机上划分VLAN可以将整个网络划分成几个不同的广播域,实现一个网段与另一个网段的隔离,限制局部网络安全问题对全局网络造成的影响。
采用防火墙,将用户区和服务器区隔离,防止不法用户对服务器的入侵攻击及病毒传播。
3.4.3上网行为管理
在出口网关出配置上网行为管理设备,通过IP/MAC认证方式对所有电脑终端进行上网行为管理,限制访问视频、游戏、股票等网站,并限制P2P下载,保证关键业务部门的网络带宽。
3.4.4网络防病毒
采用免费的金山毒霸企业版对所有终端进行部署,便于集中管控。
4总结
本次瓦力公司局域网规划设计方案在总体上达到各种先进的功能要求,如端到端的QoS、速率限制、全面的冗余能力、全面的接入能力、以标准技术实现各种功能、统一的网络管理等,将进一步促进瓦力公司的网络化进程,加强企业的内部交流与对外的经济文化联系,使瓦力公司踏上新世纪飞快的网络列车,进入崭新的境界。
参考文献:
[1] Comer D E.计算机网络与Internet[M].3版.金舒原,段海新,译.北京:清华大学出版社,2002.
[2] 谢希仁.计算机网络[M].2版.北京:电子工业出版社,1999.
[3] 王利,张玉祥,杨良怀.计算机网络实用教程[M]. 北京:清华大学出版社,1999.
[4] 倪文志,杭志,杨国锴.局域网组建、配置与管理[M].北京:清华大学出版社,2003.
关键词:可靠性;骨干网;网络设计;VRRP;OSPF;STP
1 引言
根据国家标准GB-6583的规定,产品的可靠性是指:设备在规定的条件下、在规定的时间内完成规定的功能的能力。对于网络系统的可靠性,除了耐久性外,还有容错性和可维护性方面,涉及到网络通信设备、拓扑结构、通信协议等多方面因素。
在网络架构的设计中,充分保证整网运行的可靠性是基本原则之一。网络系统可靠性设计的核心思想则是,通过合理的组网结构设计和可靠性特性应用,保证网络系统具备有效备份、自动检测和快速恢复机制,同时关注不同类型网络的适应成本。构建可靠的网络,需要从耐久性、容错性以及可维护性三个方面进行网络规划设计。
2 高可靠骨干网的典型结构设计
大型企业网通常有较大的地理覆盖范围和较多的网络设备,根据这些设备所在的位置和其所影响的范围可将它们分别称为核心层设备、汇聚层设备和接入层设备,如图1所示。在网络的方案设计中,通常采用层次化的网络设计结构,不同层次解决不同级别的可靠性要求,网络层次越高其可靠性要求也越高。
在企业的核心骨干网里,各网络节点设备都担负着重要的业务,要进行大量的数据传输和处理,因此,对这些设备自身的可靠性有很高的要求。除设备本身的可靠外,还需要设备之间的热备份,只有这样才能避免单点故障的存在。
另外,合理的子网(VLAN)划分对整个网络的可靠、安全、性能以及管理有非常重要的影响。根据企业各部门的业务性质不同以及管理的需要,通常需要把企业网划分为多个VLAN,即多个逻辑上互相隔离虚拟网络。这些虚拟子网之间必须通过路由功能才能实现彼此之间的通信。
图1 高可靠企业网络的典型结构
每个虚拟子网都有一个中心交换机,并通过两条物理链路分别上连到核心交换机上,用于提高可靠性并实现链路负载均衡。在此基础上还必须正确选择并配置相关协议,才能使冗余的设备和链路相互配合、协同工作,真正成为无单点故障的高可靠性网络。图1所示是根据上述分析设计出来的高可靠企业网的一般典型结构。
需要注意的是,可靠性技术的实施并不是设备和链路的简单叠加和无限制冗余。否则,一方面会增加网络建设整体成本,另一方面还会增加管理维护的复杂度,给网络引入潜在的故障隐患。因此在进行规划时,应该根据网络结构、网络类型和网络层次,分析网络业务模型,确定基础网络拓扑,明确对网络可靠性最佳的关键节点和链路,合理规划和部署各种网络高可用技术。
3 高可靠网络路由协议选择与分析
在高可靠企业网的设计与实现中,通常要涉及到的3个重要的协议,分别是:VRRP(Virtual Router Redundancy Protocol)、OSPF(Open Shortest Path First)和STP(Spanning Tree Protocol),正确选择并配置它们,是高可靠性网络设计的重要组成部分。
3.1 VRRP协议
虚拟路由器冗余协议VRRP[1]是一种容错协议,可以保证当主机的下一跳路由器失效时,及时的由另一台路由器来替代,从而保持通信的不间断性。VRRP的应用实际上是对网络可靠性和安全性要求的一种体现。
VRRP的运行是以路由器为基础,为了使VRRP工作,需要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器。对于运行在三层交换机上的VRRP,与路由器上的VRRP并没有本质的区别,因为虚拟IP和虚拟MAC地址是和网络接口绑定在一起的。
VRRP将网络中的一组路由器组织成一个虚拟路由器,称之为一个备份组。其中仅有一台设备处于活动状态,称为主用设备(Master),其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。
如图2所示,路由器Ra、Rb和Rc组成了一个备份组,一个备份组相当于一台虚拟路由器,虚拟IP为192.168.16.1。备份组内Ra充当Master设备,IP地址为192.168.16.2;Rb和Rc都充当Backup设备,IP地址分别为192.168.16.3和192.168.16.4。对于VRRP而言,只有Master设备才能转发以虚拟IP为下一跳的报文。
图2 VRRP原理图
内部网络中的所有主机仅仅知道该虚拟IP为192.168.16.1,而并不知道具体的主用或备用设备的IP,因此各主机都将缺省网关配置为该虚拟IP地址。于是,内部网络中的各主机就通过该备份组与外部网络进行通信。
Master路由器的VRRP模块监视通信接口状态,并通过组播方式向Backup路由器发送通告报文。如果Master路由器故障或链路出现问题,则会导致无法正常发送VRRP通告报文。当Backup路由器在指定时间内收不到VRRP通告时,备份组内的其它Backup路由器将会根据优先级高低选出一个路由器充当新的Master,继续向网络内的主机提供路由服务。因此,采用VRRP技术可以实现内部网络中的主机不间断地与外部网络进行通信,提高了网络的可靠性与安全性。
在高可靠网络设计方案中,可以采用两台路由交换机S6810组成双核心,作为整个网络的核心,如图1所示。从位置上看,这两台设备刚好位于整个网络的中心,因此还应充分发挥它们数据中转的能力。为此,需要定义两个VRRP组,在不同的组里面,两个设备分别为Master和Backup。这样,在正常情况下,两台设备都可以进行数据包的转发,一个出故障时还有一台在转发,既实现了容错又实现了负载的均衡,充分发挥了核心数据中转的能力,提高了子网之间访问的速度。
3.2 OSPF协议
OSPF是网间工程任务组织(IETF)的内部网关协议工作组为IP网络而开发的一种动态路由协议。动态路由是指网络中的路由器之间周期性的相互传递路由信息,重新计算路由,更新路由表以适应网络结构的变化。对于规模大、网络拓扑复杂的校园网来说,采用动态路由协议能在关键链路或设备不能正常工作时,实现自动切换,保证网络的畅通。
传统的企业网络安全防范主要都是对网络病毒、系统漏洞、入侵检测等方面加以设置,安全措施和相关配置通常都在网络与外部进行连接的端口处加以实施,采取这样的网络安全防范虽然能够降低外部网络带来的安全威胁,但却忽视了企业内部网络潜在的安全问题。
目前,企业内部网络的安全问题的严重程度已经远远超过了外部网络带来的安全威胁,企业内部网络的安全威胁成为了企业信息安全面临的重大难题。但是,由于企业管理人员的网络安全防范意识不强,对于企业内部网络的安全问题不够重视,甚至没有对企业内部网络采取任何安全防范措施,因此导致了企业内部网络安全事故不断增加,给企业带来了重大经济损失和社会负面影响,怎样能够保证企业内部网络不受到任何威胁和侵害,已经成为了企业在信息化发展建设过程中亟待解决的问题。
2 企业内部网络的安全威胁
随着计算机技术和网络技术的飞速发展,企业内部网络是其信息化建设过程中必不可少的一部分。而且,网络应用程序的不断增多也使得企业网络正在面临着各种各样的安全威胁。
2.1内部网络脆弱
企业内部网络遭到攻击通常是利用企业内部网络安全防范的漏洞实现的,而且,由于部分网络管理人员对于企业内部网络安全防范不够重视,使得大部分的计算机终端都面临着严重的系统漏洞问题,随着内部网络中应用程序数量的日益增加,也给计算机终端带来了更多的系统漏洞问题。
2.2用户权限不同
企业内部网络的每个用户都拥有不同的使用权限,因此,对用户权限的统一控制和管理非常难以实现,不同的应用程序都会遭到用户密码的破译和非法越权操作。部分企业的信息安全部门对于内部网络的服务器管理不到位,更容易给网络黑客留下可乘之机。
2.3涉密信息分散
由于部分企业内部网络的涉密数据存储分布在不同的计算机终端中,没有将这些涉密信息统一存储到服务器中,又缺乏严格有效的监督控制管理办法。甚至为了方便日常办公,对于涉密数据往往不加密就在内部网络中随意传输,这就给窃取涉密信息的人员制造了大量的攻击机会。
3 企业内部网络安全防范设计方案
3.1网络安全防范总体设计
即使企业内部网络综合使用了入侵检测系统、漏洞扫描系统等防护手段,也很难保证企业内部网络之间数据通信的绝对安全。因此,在本文设计的企业内部网络安全防范方案中,部署了硬件加密机的应用,能够保证对企业内部网络中的所有数据通信进行加密处理,从而加强企业内部网络的安全保护。
3.2网络安全体系模型构建
企业内部网络安全体系属于水平与垂直分层实现的,水平层面上包括了安全管理、安全技术、安全策略和安全产品,它们之间是通过支配和被支配的模式实现使用的;垂直层面上的安全制度是负责对水平层面上的行为进行安全规范。一个企业内部网络安全体系如果想保持一致性,必须包括用户授权管理、用户身份认证、数据信息保密和实时监控审计这四个方面。这四个方面的管理功能是共同作用于同一个平台之上的,从而构建成一个安全可靠、实时可控的企业内部网络。
1)用户身份认证
用户身份认证是保证企业内部网络安全稳定运行的基础,企业内部网络中的用户身份认证包括了服务器用户、网络设备用户、网络资源用户、客户端用户等等,而且,由于网络客户端用户数量庞大,存在着更多的不安全、不确定性,因此,对于网络客户端用户的身份认证至关重要。
2)用户授权管理
用户授权管理是以用户身份认证作为基础的,主要是对用户使用企业内部网络的数据资源时进行授权,每个用户都对应着不用的权限,权限代表着能够对企业内部网络中的某些资源进行访问和使用,包括服务器数据资源的使用权限、网络数据资源使用权限和网络存储设备资源使用权限等等。
3)数据信息保密
数据信息保密作为企业内部网络中信息安全的核心部分,需要对企业内部网络中进行数据通信的所有数据进行安全管理,保证数据通信能够在企业内部网络中处于一个安全环境下进行,从而保证对企业内部网络涉密信息和知识产权信息的有效保护。
4)实时监控审计
实时监控审计作为企业内部网络中必不可少的部分,主要实现的是对企业内部网络的安全的实时监控,定期生成企业内部网络安全评估报告,一旦企业内部网络出现安全问题时,能够及时汇总数据,为安全事故的分析判断提供有效依据。
4结论
目前,关于企业内部网络的安全防范问题一直是网络信息安全领域研究的热点问题,越来越多的企业将办公系统应用于企业内部网络中,但是由于企业工作人员的安全防范意识不强,或者网络操作不规范,都给企业内部网络带来了更多的安全威胁。本文提出的企业内部网络安全防范设计方案,能够有效解决多种内部网络的安全问题,具有一定的实践应用价值。
参考文献
【摘要】本文在充分掌握了企业网络招聘实际需求基础上,结合现代信息技术和软件工程理念,提出了基于ASP技术和SQL技术的企业网上招聘信息管理系统的设计方案,解决了用户简历海量数据在检索和存储方面的效率问题,综合考虑了系统的安全性和可靠性。企业网上招聘信息管理系统改善了传统人工招聘方式存在的操作难、成本高、效率低等问题,促进企业人才招聘工作的科学化发展,有助于求职者方便快捷的实现个人职业规划。
【关键词】网络招聘;ASP.NET;SQL Server
一、企业网上招聘信息管理系统的构建意义
招聘工作是企业运营发展过程中必不可少的组成部分,企业传统的招聘方式大部分是利用广告媒体、举办招聘会等方式来选择合适的人才,这些方式不但具有耗费大量资金成本、招聘工作效率低下、招聘过程过于繁琐等问题,也越来越不能适应企业信息化快速发展。目前,网上招聘的形式已经应用于大中型企业,逐渐替代了传统人工招聘的模式,帮助企业解决了传统招聘方式耗费资金、过程繁琐、效率低下等问题。虽然,企业网上招聘仍然存在部分问题,但随着现代信息技术的飞速发展,网上招聘必然是企业招聘、人才求职的发展趋势。
总之,企业采用网上招聘的模式,具有效率高、成本低、针对性强等优势,对于社会求职人员来说,也节约了时间、资金和体力。目前,很多企业网上招聘系统仍然存在着服务体系不完善、职位要求狭窄、可信度较低等问题,同时容易造成求职人员个人隐私信息遭到泄露。因此,随着计算机网络技术和信息安全技术的迅猛发展,本文提出的企业网上招聘信息管理系统能够有效解决以上问题。
二、企业网上招聘信息管理系统的技术介绍
(一)ASP.NET技术
ASP.NET技术是由微软公司开发的应用平台,主要用于对Web应用程序的部署和管理。ASP.NET平台支持多种计算机编程语言,包括C语言、C++、VB、XML等。同时,ASP.NET平台能够与.NET进行结合,共同支持MVC架构。ASRNET页面具有面向对象的编译优势,其每一个页面都属于编译运行的对象。
(二)SQL Sever数据库技术
数据库设计是企业网上招聘信息管理系统构建中的关键部分,本系统采用的是Microsoft SQL Server 2005关系型数据库。通常情况下,关系型数据库主要是实体关系结构,但是,UML类图更适用于关系型数据库的建模,UML类图能够对关系型数据库中的数据存储过程进行建模。
(三)Web Service技术
Web Service技术指的是软件服务系统,主要用来对不同网络之间的设备互动进行支持。网络服务是通过多个应用程序接口共同组成的,利用互联网远程服务器执行用户提交的请求。Web Service技术的具体过程是通过简单对象访问协议在Web端提供应用程序服务,同时利用UDDI对用它对Web services进行注册和搜索。
三、企业网上招聘信息管理系统的总体设计
(一)系统应用架构设计
企业网上招聘信息管理系统的应用架构设计采用的是典型的B/S架构模式,与传统的C/S架构模式相比来说,采用B/S架构模式的系统在实现部署、应用、管理和维护等方面都能节约大量劳动成本。B/S架构模式在数据传输过程中采用的是HTTP协议,由此实现了对系统组成部分的分布式管理。同时,为了有效保证数据传输的安全可靠,企业日常运行的全部数据信息都存储在Server服务器端,用户终端浏览器使用的是标准IE浏览器,真正为企业减少了系统升级和更新维护的资金成本。通常情况下,基于B/S模式架构的Web系统总共包括三个层次,如图1所示:
(1)数据层
系统数据层主要负责处理客户端浏览器的数据信息,存储系统业务层提供的数据信息,一般情况下,数据层部署于数据库服务器上。
(2)业务层
业务层主要负责接收浏览器数据信息,并将其传输给数据层,再将数据层反馈的数据通过Web用户界面传送到浏览器端。同时,业务层还负责实现各种业务规则和逻辑。
(3)Web层
Web层主要负责处理客户端提出的应用程序访问请求。用户在自己权限范围内使用浏览器访问和浏览企业网上招聘信息管理系统。系统Web层由ASPX页面和程序代码共同组成。
(二)系统安全架构设计
为了有效保证系统正常稳定运行,防止受到外界非法入侵访问,采取一定的安全措施是非常必要的。只有通过管理员授权的用户才能对系统发起访问,按照用户权限规则使用部分功能,服务器端则需要部署防火墙和杀毒软件设备,用以防止用户入侵数据库对数据信息进行篡改和窃取。由于本系统采用的是B/S架构模式,用户只要利用互联网和浏览器就可以对系统进行访问,然而,互联网具有开放性特点,因此,系统的安全防护措施更加重要。
(1)系统设置
根据系统用户角色来设定不同用户的操作权限,通过不同的操作界面进行控制。每个用户只能根据自己的所属权限使用系统提供的功能。同时,采取用户访问控制和用户身份认证等方式为不同用户设定密码和基本信息,按照用户角色完成用户授权,由此,能够真正实现对用户访问功能进行有效限制。
(2)服务器设置
a)账号策略
系统遵循的安全原则是:最少权限+最少服务等于最大安全,对用户权限进行科学合理的设置。定期完成对系统管理员账号和密码的更换,严格控制和关闭多余的网络端口,及时清除无效的用户账号,加强密码保护的强度。
b)采用NTFS文件系统支持Web应用程序所在的分区,有效防止外部非法入侵和访问。
c)将无效的文件共享、文件检索、打印共享服务暂停,防止非法用户入侵服务器数据库系统,保证整个系统安全稳定运行。
(三)系统功能架构设计
按照企业网上招聘信息管理系统的实际需求,将核心功能划分为六大模块,系统总体功能结构如图2所示:
企业网上招聘信息管理系统用户包括个人求职和人才招聘企业两个部分。个人求职人员可以在线编辑一份个人简历,求职人员通过输入不同的搜索条件来搜索职位,确定合适的职位后可以完成在线简历投递和职位收藏,也可以直接给企业留言,查看个人职位投递记录信息。企业可以多个职位供求职人员投递简历,也可以输入企业所需条件检索合适的求职人员简历,完成简历筛选后企业可以根据实际需求安排求职人员面试。
关键词:vlan;校园网设计
中图分类号:TP393.18
在90年代末期,我国高校逐步建立了校园网。起初,许多院校基本上采用服务器的上网方式,其只能满足规模小的网络,并且不便于管理,极容易导致IP冲突以及广播风爆。虽然交换技术的不断发展,高校又逐渐实现基于VLAN上网方式。它可以有效隔离广播风爆,提高个人用户安全性,又方便用户人员变动,更好的满足用户的需求。这种上网方式也逐步受到高校网络管理人员的亲睐。为了强化网络管理,管理者首先需要对其进行详尽的设计。
1 Vlan技术
VLAN(Virtual Local Area Network)的中文名为“虚拟局域网”。VLAN是一种通过局域网内的设备从逻辑地划分成一个个网段,以软件方式实现逻辑工作组的划分与管理的技术。这些网段内的机器有着共同的需求,而与物理位置无关。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN间的如果要通信就要通过必要的路由设备;通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。网络管理员可以通过配置VLAN之间的路由来全面管理企业内部不同管理单元之间的 信息互访。交换机是根据交换机的端口来划分VLAN的。所以,用户可以自由的在企业网络中移动办公,不论他在何处接入交换网络,他都可以与VLAN内其他用户自如通讯。
2 校园网网络结构设计
为了减少网络中各部分的相关性,便于网络的实施及管理,在网络的构建中,从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。采用了分层结构的校园网解决方案在性能、可靠性、扩展性等方面有无可比拟的优势,在投资保护方面,使得整个网络的性能价格比最优。整个网络的设计,采用vlan技术,逻辑地将物理网络进行划分和管理。而其整体规划、设计需要体现在路由、交换设备上详尽的配置。管理者可通过telnet或web的方式远程可以对网络进行调整,具有较强的灵活性。由于目前思科公司设备的价格不菲,很多高校都采用了价格低廉的华为、中兴交换机接入校园网,来减少经费。以某高校为例,其路由、交换设备多采用华为、H3C,其网络拓扑结构如图1所示。
2.1 核心层网络设计。核心层的主要功能是实现数据包高速交换。核心层是所有流量的最终汇聚点和处理点,它的结构应相对简单,但其性能要求较高,核心交换机一般采用高性能的多层模块化交换机,还要保证高速率的帧转发。在设计策略上一般采用设备冗余和链路冗余设计,以保证网络的QoS和可靠性。避免网络配置的复杂度,因为一旦执行策略出错,将导致整个网络瘫痪。
该校的核心层交换机启用三层功能,对VLAN进行规划,在端口中使用Trunk技术,起到隔离作用,部份VLAN的配置信息如下:
#
interface Vlanif2 //网通出口
description connect-cnc
undo shutdown
ip address 202.102.235.54 255.255.255.252
#
interface Vlanif3 //连接校内服务器组
description server-group
undo shutdown
ip address 202.102.240.80 255.255.255.0
ip address 218.28.87.17 255.255.255.240 sub
#
interface Vlanif99 //管理VLAN
undo shutdown
description guanli
ip address 192.168.100.1 255.255.255.0
#
2.2 汇聚层网络设计。汇聚层的主要功能是汇聚网络流量,屏蔽接入层变化对核心层的影响。对网络主干链路进行流量控制、负载均衡和QoS保证。不同vlan之间的计算机需要通信时,应当在汇聚层进行路由处理。
在该高校校园网中汇聚层交换机采用S6506,汇聚层交换机到每一幢楼采用光纤连接,在该高校校园网拓朴规划中,采用24芯光缆到每一幢楼,每一幢楼的每一层各使用一对光纤到汇聚层的交换机,在汇聚层的交换机端口设置不同的VLAN,给每一个VLAN配置上IP地址,再进行路由,交换机之间的连接采用TRUNK技术,每一层相互之间隔离,不允许相互间访问,汇聚层交换机VLAN的部份配置:
#
vlan 12
description to-8016-g4/0/2
#
vlan 99
description guanli
#
vlan 301
description to-3cun1#
#
interface Vlan-interface301
description to-3cun1#
ip address 59.69.129.1 255.255.255.224
#
interface Ethernet3/0/1
description to 3cun1#
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 99 301
port trunk pvid vlan 301
broadcast-suppression 10
#
2.3 接入层网络设计。接入层处理网络边缘,接入节点一般距离网络管理中心较远,而且节点分散,数量众多,接入设备良好的可管理性将大大降低网络运营成本,必须选用可网管的交换机,交换机应提供Web 、Telnet等多种管理方式。如果交换机具有远程监控功能,就可实时进行网络信息收集,有效进行故障定位。
在该高校的接入层采用华为2403H/E026/E126交换机,接入层交换机到汇聚层交换机之间采用TRUNK连接,为了方便管理,给每个交换机配置管理VLAN,可以进行远程管理,接入层交换机VLAN的配置信息如下所示:
#
vlan 99
description guanli
#
vlan 515
#
management-vlan 99
#
interface Vlan-interface99
ip address 192.168.100.119 255.255.255.0
description guanli
#
interface Ethernet1/0/2
broadcast-suppression 10
port access vlan 515
#
3 总结
基于vlan技术的网络设计在分层结构下,层次分明,便于扩展、移动,具有较强的灵活性。实践证明,设计方案是有可行的,强化了网络管理,有效控制网络流量,抑止广播风爆,提高了网络的安全性。
参考文献:
[1]易建勋,姜腊林,史长琼.计算机网络设计[M].北京:人民邮电出版社,2011.
[2]楚书来,刘若华.vlan技术在校园网建设中的应用研究[J].电脑知识与技术,2011(2).
[3]陈凯,胡鹏.vlan技术在校园网维护管理中的应用[J].电脑知识与技术,2009(4).
[4]王魏.交换机在划分校园vlan中的应用[J].北京工业职业技术学院,2005(7).
关键词:负载均衡 流量监控 Websense
随着互联网的不断发展,企业内部的Internet访问量呈不断上升趋势,目前已经具备一条电信出口链路和一条联通出口链路。企业自行摸索建立了一套适用于企业的智能化Internet访问解决方案,方案主要亮点是1、有效利用双ISP链路,合理负载均衡网络出口,同时做到网络出口出现故障时及时翻转流量。2、更好的利用带宽,在更深层次,更小的力度上保证合法访问的流量带宽,同时限制其他非法访问流量。
一、双ISP链路负载均衡解决方案
要做到双ISP负载均衡,不能简单的指定内部不同用户使用不同出口,必须能够找到可行的智能化选路方案,让用户在访问电信网站时使用电信链路,访问联通网站时使用联通链路。
链路负载均衡完美的实现方式是使用一台高端的路由设备,通过ISP的BGP路由器将目前已经获知的所有Internet上25万条聚合路由条目通告给这台路由器,根据不同的路由条目下一条指向, 通还是电信链路。目前市场上的高端流量负载均衡设备也可以做到完美的Internet流量负载均衡。但是这些解决方案的缺点是设备投资高,而且需要Internet运营商支持和配合,可能会产生巨额的费用。
这样做的结果是,如果用户访问网站的域名经DNS解析后落在这259条聚合路由条目的范围内,其访问路径会智能化的从联通接口进入Internet,网站的回复报文自然会从联通链路返回到用户端;当用户访问的IP地址不在联通的聚合路由中时,流量会经由preference值为1的默认路由条目,从电信链路转发;当电信或联通链路有一条中断时,流量会从指向另一条链路的默认路由转发。如此一来便实现了智能化的ISP流量负责分担。
实际应用中可能还涉及到网络地址转换的具体配置,在此不作详述。
二、Internet智能流量监控
Internet流量监控设计方案主要涉及两个方面,一是对流量的深度检测和带宽控制,二是对用户访问的网站进行海量筛查。通过这两个手段在主观上或客观上都能防止网络用户的不良行为导致网络性能和安全性受到负面影响。
传统的防火墙只能针对四层会话信息对报文进行过滤和筛查,如果遇到像Bittorrent这样使用随机端口,且报文头部信息加密的数据报文是无法进行识别的,更谈不上监管和限制了。
我们在网络流量检测和带宽控制方面,应用以色列Allot公司的 NetEnforcer串接在防火墙与核心三层交换机之间。Allot NetEnforcer具备智能化的旁路功能,能够在断电或失效故障的情况下自动旁路,确保了不因为主干链路添加设备而增加故障点。
NetEnforcer的基本策略制定思路是:将系统数据库预定义的和用户自定义的各种数据流分类,然后放入各自的虚拟管道(virtual pipes)中,根据用户指定的策略对各种数据流加以区别,分别分配不同的带宽。同时系统还能够根据这些不同分类方法统计出用户链路上的数据流统计信息。现在流行的BT,edonkey和迅雷等浪费网络带宽的下载都可以得到有效的防范。
三、智能网页过滤解决方案
在网页过滤方面,企业应用Websense内容过滤解决方案和Netscreen防火墙的联动功能,所有外部访问都要经过庞大且完备的Websense数据库的筛查,杜绝了内网用户访问恶意网站的唯一途径。
举例来说,用户在浏览器中输入.cn,站点的域名首先进行DNS解析,获得站点ip地址后发起三次握手过程建立TCP连接,之后会发起一个Get/http动作。这时防火墙会智能化的扫描这个动作,然后在报文中找到“host:.cn/r/n”这个字串,并将这个字串中的url名送至websense进行查找。如果这个域名在放行列表中,则报文被转发;如果用户需要访问网站的url在websense的禁止列表当中(默认的禁止列表囊括了当今数百万条url域名中所有的成人内容、、性、滥用药物、MP3、赌博、游戏、黑客、非法的或有问题的、好战性和极端主义、服务器避免(Proxy Avoidance)、URL翻译网站、Web聊天、未分类的、种族主义和仇恨、不雅观的、暴力和武器类别的网站,同时用户还可以根据自身需求自定义一些禁止访问的网站列表。),Websense服务器会通知防火墙丢弃这个报文,这样用户将无法访问这个站点。用户的非法访问将被重新定向到一个提示网页,告知用户访问非法。
网页过滤的目的在于保护用户访问不良网站,净化网络环境,减少由外往带入的不良信息、恶意软件、以及病毒和木马程序。
四、结束语
通过上文三种手段,企业有效地利用了Internet带宽,平衡了不同ISP的链路流量,同时杜绝了内部用户对于非法外部网站的访问。应用整体Internet 访问解决方案使得企业网络访问速度提升明显,内部病毒和木马程序大为减少,网络环境得到了极大的净化,网络应用水平获得极大的提升。
参考文献:
[1]Juniper Netscreen防火墙说明书,2007.
关键词:射频技术 ;岩土剥离; 自动计量
1. 引言
岩土剥离计量是困扰我矿的一大难题。多年来,我矿一直采用人工进行计量,由于剥离运输车流量过大,而车辆在经过计量房时并不停下,只是通过人工来数过往车辆并记录下来,有时难免出现差错,甚至出现虚报的现象,而驾驶员的工资是直接与产量挂钩的。因此,计量的准确性直接关系到驾驶员的切身利益,也直接影响我矿部的成本核算。针对这一现象,我矿决定与昆明恒瑞通经贸有限公司合作,开发岩土剥离计量项目。该项目将我矿正在使用的4个排土场作为管理试点,建立4座车辆过往数据采集基站,在每辆运输车辆上安装RFIC卡。只要装有RFIC卡的车辆经过数据采集站,系统将自动记录该车辆的情况,实现了岩土剥离自动计量,做到准确无误。
2. 场地主要情况:
多尘、雷区、震动、场地多变、路径多变。
3. 技术简介
针对上述需求和设计目标,我们认为将涉及以下几方面的技术手段,并使用这些技术来实现本项目的设计目标:
(1) RFID射频识别技术;
(2) 计算机软件和数据库;
(3) WLAN无线局域网;
这些技术目前的实际应用情况已经能够满足目前的应用需求。
①、RFID是射频识别技术的英文(Radio Frequency Identification)的缩写。射频识别技术是20世纪90年代开始兴起的一种自动识别技术。该技术在世界范围内正被广泛的应用,这种技术是一项利用射频信号通过空间耦合(交变磁场或电磁场)实现无接触信息传递并通过所传递的信息达到识别目的的技术。?射频识别系统通常由电子标签(射频标签)和阅读器组成。电子标签内存有一定格式的电子数据,常以此作为待识别物品的标识性信息。应用中将电子标签附着在待识别物品上,作为待识别物品的电子标记。阅读器与电子标签可按约定的通信协议互传信息,通常的情况是由阅读器向电子标签发送命令,电子标签根据收到的阅读器的命令,将内存的标识性数据回传给阅读器。这种通信是在无接触方式下,利用交变磁场或电磁场的空间耦合及射频信号调制与解调技术实现的。射频识别系统的另一主要性能指标是阅读距离,也称为作用距离,它表示在最远为多远的距离上,阅读器能够可靠地与电子标签交换信息,即阅读器能读取标签中的数据。这里我们采用能在3~100m范围内可调的读写系统,可以在现场根据道路的实际情况来调节。
②、工业级网络数字相机,随着数码相机的日益普及,工业方面的应用产品也在市面上出现,它具有以太网络接口,高分辨率,直接连入企业网络中就能够使用,可将拍摄到的高清照片传递到指点位置。
③、计算机软件和数据库技术,目前的应用已经非常普遍,无论从操作界面,数据处理和存储能力已经非常强大,对于一般的应用通常都是过剩的
④、WLAN就是指的无线局域网,使用IEEE802.11协议的无线数字通讯方式,目前常用的有11Mbps的802.11b,54Mbps的802.11g以及300Mbps的802.11n几种速率方案,其中54Mbps的方式最常见。由于其覆盖范围较小,通常在300米的视距范围以内,一般用于有线网络的末端进行小范围的信号覆盖,比如家庭或公共热点地段使用。大功率无线局域网络设备通常是网桥,用于定向无线数据通讯。
4. 设计方案
在装载设备和排土场的关键路径上建立独立运行的基站,采集过往运载设备的识别信息和装载量图片。采用人工携带便携计算机到基站附近连接基站,将基站中采集到的数据下载到便携计算机中,带回企业网络中进行进一步的处理。
基站由远距离读卡器、网络数码相机、工控计算机、无线路由器和把这些设备连接在一起的基站交换机构成。当然,还有不间断电源、放置这些设备的机箱、以及将相机和读卡器安置到足够高度位置的支撑架。
在每台运载设备的合适位置安放一张电子标签,用于基站识别每一辆安装了电子标签的车辆。
按照项目要求,需要建设4座这样的基站,对不同排土场的过往车辆进行检测。当有安放了电子标签的车辆经过基站的检测范围时,会被基站内的读卡器检测到,工控机将读卡器读到的卡号信息,以及发生的时间等数据编成一组数据保存。
基站内的无线路由器,采用小功率设备,主要用于将基站内采集,编好的数据组下载到便携计算机中。基站数据采集人员定期携带便携计算机到基站附近,通过无线局域网的链接方式,连接到基站内网,将数据下载。基站内的系统在工控机操作系统没有崩溃的情况下,也可以通过wlan连接到基站服务器,采用仿真终端模式进行维护,避免在基站内部放置显示器、鼠标、键盘等设备。
本系统从物理情况来看分为后台信息处理系统,数据传输系统以及基站系统3个部分构成。
(1)后台信息处理系统。
后台信息处理是各基站数据的汇总点,是一套常见的带数据库应用的专用MIS系统,如图2所示的流程结构。各基站下载来的数据,通过便携计算机上的数据传输系统将数据导入到系统中。与调度的排班表进行合并处理以后,保存到数据库服务器上,同时,该服务器与企业局域网交换设备相互连接,将采集到的数据到企业协同平台上去。
系统中保存有运载设备,运载设备和电子标签的对照关系,驾驶员等基本信息,这些作为基础数据保存于服务器中。
日常通过输入排班表,结合车辆和电子标签的对照关系,后台处理系统就可以将基站传过来的数据进行处理,能够计算自动每个驾驶员、每车的作业往返次数。这是本项目的最终目的。
所生成的统计数据可以通过企业内局域网,在企业协同管理平台上使用,有关权限和数据安全,遵从协同平台上的对权限的设置。
(2) 数据传递系统。
由于目前采场范围内建立固定的通信通道存在一定的难度,因此,不得不采取人工获取基站数据的方式维持系统的正常运作。
由人工携带便携计算机,到达需要采集数据的基站附近,通过便携计算机上的无线网卡联通基站内网,下载基站内自上次采集以后的数据。之后,将采集了数据的便携计算机带回企业局域网内,上传到后台信息管理系统中进一步处理。
(3)基站系统
基站系统在野外运行,为 保证其可靠运行,采用工业控制用计算机作为中心控制设备和数据保存设备。用于采集读卡器检测到的电子标签信息,结合发生的时间,编成一组数据保存待取。
基站内系统无需取得后台信息管理系统的数据即可运行,这样可以使得两个基站的配置完全一致。
5. 结论:
该项目实施后,每年可减少虚方量10-20万m?,若按5元/m?的成本计算,每年可为矿里节约成本50-100万元,同时可以杜绝虚报假报等现象,真正做到按劳分配。
参考文献:
[1] 昆阳磷矿岩土剥离计量项目设计方案
[2] 昆阳磷矿剥离运输统计报表
【关键词】高职;计算机网络技术;项目化模式
近年以来,高职学校计算机专业面临着严峻的形势,毕业生就业状况不尽如人意,造成这种状况的原因,既有当前就业大形势方面的因素,也有计算机专业培养目标方面的因素,学生理论联系实际水平不高,实践性、操作性技能有待提升。实施计算机网络技术项目化模式教学,能够有效提升高职计算机专业学生实践运用能力,培养高素质的实用型技术人才,有助于提高毕业生就业水平。
1.当前高职计算机网络技术课程教学现状
目前,高职院校中使用的计算机网络技术教材有多种版本,无论运用那一种出版社的教材,其在内容编排上都具有明显的共同点,通常是从计算机网络基础知识开始,接着是数据通信知识、网络体系结构、局域网与互连设备、操作系统以及因特网运用和网络安全知识,最后是网络新技术展望等。部分学校在计算机网络技术课程教学中,将这一操作性与实践性很强的学科变成了知识点分解的理论为主的教学,或者过于重视实践操作而忽略必要的理论学习,无法全面实现理论联系实际和培养全面发展实用型人才的目标。
2.高职计算机网络技术教学项目化模式的分析
项目化教学模式实质上属于一种行动导向学习,是确定实践性和模拟性的学习任务,在教师的启发引导下,学生自主开展学习探究,在制定学习目标、确定实施步骤以及进行成效评估等方面,放手让学生来实施。项目化教学模式的中心是确定的学习任务,并结合这一中心进行内容的组织安排,以任务的全面完成作为目标。传统的教学模式中注重了知识传授为主,学生在就业之后还有一个适应期,项目化教学模式能够在计算机网络技术教学课程与实践工作之间架起一道联系的桥梁,进一步增强理论联系实际的能力,提升学生的综合素质,构建全面发展和实践性强的实用型人才,实现在校生专业学习与就业岗位之间的无缝对接,满足社会与经济发展对职业技术人才的需求。
项目化模式教学具有三个方面的显著特征:一是突出了学生的自主学习地位,全部环节与过程均是在教师指导下学生自行负责;二是强化了成员之间的合作,每一个小组成员都需要投入到方案设计以及调整完善之中,成为了一个学习的整体;三是促进了知识的融合,在项目化教学中,学生在实施项目研究的过程中,需要将所掌握的各方面知识融合起来,深入分析研究问题。
3.高职计算机网络技术教学项目化模式操作要点
3.1 充分做好项目化教学准备工作
教师应当在教学前充分准备,坚持以培养实践操作能力为主线,借助于网络和软件两个方面实验入手,实现教做学立体性成效。在理论内容确定方面,应当注重实用原则,不需要过于追求理论深奥,要结合实际,运用案例帮助学生加深理解和提高能力。对于教材中过于陈旧以及难度偏大的内容,不适宜运用这样的教学模式,要结合计算机科技发展最前沿的内容进行适当补充与调整,与时俱进地提升项目化模式教学成效。
3.2 有效开展教学内容的分解工作
将整个计算机网络技术课程设计为大项目,对其按照内容进行分解,实现各部分内容之间的有效衔接。对照高职计算机专业人才培养特点,将课程对应建立局域网,分解为多个一级项目,项目的认知顺序应当包括用户需求分析、拓扑结构设计、硬件实施、软件实施、维护管理以及广域网和网络最新科技成果等七个方面。在此基础上还要对一级项目进行深度分解,每一个一级项目也都可以分解为多个二级甚至三级项目。在各个项目的教学情境设计中,要尽可能与学生未来的工作岗位实际情况相一致,内容设计应当涵盖校园与企业网络、办公与小区网络以及政务网络和社会网吧等等,可以在项目化教学中选取与上述范围网络设计相关的生动案例作为内容,和工作岗位实际情况相吻合,以实践性较强的方式来提高学生的学习积极性,同时提升了学生学以致用效果。教师在教学中还要针对教材内容实际,进行二次深加工,使教学项目、案例与教学培养目标相一致,不仅涵盖了教学大纲提出的知识性目标要求,对于学生的能力发展还要做到统筹兼顾,实现教学项目化的目标性、生动性以及自主性和综合性、操作性的目标。
3.3 始终贯彻教学做一体化的原则
在项目化教学过程中,教师可以按照序化进度设计教学过程,首先由教师对教学项目基本知识以及目标任务进行简要讲述,接下来引导学生和教师共同开展互动,对项目进行分析,研究制定解决方案。在研究制定解决方案的过程中,教师应当发挥启发引导作用,具体的细节与操作交给学生来完成。在设计出解决方案后,教师应当针对学生的设计方案开展全班交流活动,对设计方案进一步完善与提升,让学生开展项目任务的操作。在学生完成了项目任务后,教师还要以项目评价的方式对学生的学习研究成果进行评判,指出学生在项目化学习之中存在的薄弱环节,同时对其中良好的经验进行推广介绍。在这一模式教学中,教师还应当注重为学生建立起合作学习小组这样的良好载体,每一个小组里面确定一名学生作为牵头人,其余成员之间相互帮助,在以项目任务为指引的学习活动中,理论联系实际,在操作实践之中发现自身理论学习与能力发展之中存在的薄弱环节,并给予优化。通过深入的研究、讨论与分析活动,学生之间相互合作的意识得到加强,自身各种知识的融合也更为紧密,对于学生专业技术能力提升方面具有明显促进作用。
综上所述,在高职计算机专业教学中,项目化模式教学是适应人才培养模式与学生内在学习需求、社会发展需求的新型教学模式,将相关教学内容设计为项目化模式,能够进一步激发学生学习积极性,让学生的各方面能力得到发展,尤其是能够让学生在模拟环境之中提升实践运用能力,实现教学培养目标与学生未来岗位工作实际之间的无缝对接,全面提升学生综合素养。
参考文献
关键词:工作过程导向;工作任务项目化;计算机网络与安全;实训室空间布局
“计算机网络与安全”是计算机网络技术专业的专业基础主干课程,采用传统的教学设计已经不能满足社会对网络人才的需求,笔者基于工作过程导向与工作任务项目化的思想,对这门课程进行了整体开发与设计。
1课程教学设计
1.1课程开发与设计思想
职业教育课程开发与设计是以工作过程为导向,依据并围绕职业活动中“为完成一件工作任务并获得工作成果而进行的一个完整的工作程序(工作过程)”选择课程内容,并以之为参照系对知识内容实施序化,着眼于蕴含在行动体系中的隐性实践知识的生成与构建,筑造课程内容结构[1]。
基于工作过程的课程开发,以工作过程分析为起点,选用适于教学的典型工作任务为项目载体整合教学内容,在课程教学过程中凸现以学生为主体、以职业能力的培养为主线、“教学做一体化”的特点。这一课程开发模式将职业活动中的各个元素渗透到教学的整个过程,实现学习者从经验层面向策略层面的能力发展,培养企业真正需要的人才。
课程的开发与设计以计算机网络管理员工作过程为基础,以学生组网、建网、管网能力的培养为重点,融入网络管理员岗位职业资格标准,突出理论与实践的有机结合。
1.2课程的开发与设计
图1为计算机网络管理员工作过程示意图。笔者通过分解网络管理员工作过程,确定工作任务与步骤,选取典型的工作任务设计课程学习项目;采用项目引领、任务驱动、案例教学等教学模式与方法,引导学生开展自主实践,完成学习项目。
基于对计算机网络管理员典型工作过程的分析,将课程设计成四个学习项目:中小型网络认知、组建中小型局域网环境、管理网络应用环境、局域网环境安全防护。图2是学习项目2“组建中小型有线局域网络”的整体设计方案。
2课程教学实施中若干问题的探讨
2.1围绕职业能力培养这一主线,实施课程实践教学
为实现课程教学的实践技能训练目标,进一步突出职业能力培养这一主线,课程实践教学环节的设计关注以下几个方面:
1) 拓展校企合作的形式与内容,聘请实践经验丰富的企业兼职教师与校内专任教师共同承担课程教学任务;
2) 利用现有校内外实训基地,对企业工作环境进行仿真与模拟,营造适于职业能力培养的学习情境;
3) 将学生按照4~6人一个工作组进行分组,模拟“企业项目部主管”岗位和“企业网络工程师”岗位,根据工作岗位划分学习性工作任务;
4) 通过典型示范、密切检查、适时归纳、考核验收等方式,教师发挥组织者、咨询者、指导者、促进者的作用,积极引导学生开展自主学习与实践,实现预期的课程学习目标。
2.2围绕学习项目要求,改进实训室空间布局
学习空间的布局,必须紧紧围绕学习目标和学习性工作任务。一方面,应有利于教师对于学生学习活动的掌控与指导,另一方面,应有利于学习过程中学生之间的交流和合作。
座位的位置在一定程度上影响着一个学生是否参加课堂活动及参加的程度[2]。古今中外的一些著名教育家对传统课堂中学生座位的摆放都有过研究。例如:英国人Jeremy Harmer在他所著的《How to Teach English》一书中介绍了几种不同的空间布局[3],如图3所示。其中右下图的布局方式比较常见,在世界各地被广泛使用。这一方式有利于教师组织教学并对整个教学过程进行掌控,学生也易于集中注意力;左上图的空间布局有利于学生开展小组讨论与合作,教师在小组外,以引导者与咨询者的身份参与学习活动;左下图和右上图的布局方式适合于以讨论班为主的课程教学,左下图将教师置于讨论组的核心位置,右上图则完全将教师与学生融为一体。这两种空间布局极为有效地突出了学生在学习活动中的主体地位。
课程教学在实训室中进行。因此,为完成课程学习目标,实训室空间布局力求能够创设一个仿真企业工作环境的学习情境,围绕课程学习内容及学习项目要求,突出职业能力培养这一主线,确保达到预期学习目标。
图4是课程中两种典型的实训室空间布局。左图直接将学习区安排在仿真的企业网络中心机房,配备适当的桌椅和其他必需的教学设备,学生学习活动在工作现场展开。活动结合企业真实项目、案例、职业规范和程序,学生可以发现并研究工作现场的实际问题,执行完整的任务流程、完成仿真或真实的工作任务,获得大量的技术实践知识和技术理论知识,提高技术实践能力,强化“实践工作经验”。右图的空间布局意在营造一般网络公司环境下的项目组工作氛围。传统的单人课桌转变为定制的五角型多人课桌,学生按学习项目要求组成项目小组,每组不超过6人,项目小组内部可以展开充分地交流与合作,共同完成学习项目;教师积极发挥学习顾问的作用,促进学习项目的完成和学习目标的实现。
图5是建议采用的两种课程实训室空间布局。左图中的空间布局是对图4的进一步改进与完善。这一布局不仅将学习场所安排在仿真的企业网络中心机房,同时在机房中划分出专门的学习区,并配备适当的桌椅和其他必需的教学设备。学习区、工作区的明确划分便于教师组织现场教学,也便于学生现场研究与讨论,更好地实现了学习、工作的一体化。右图的空间布局模拟一般计算机公司的工作环境,学生的课桌转变成职员的办公桌,项目小组长还获得了一张单独的“老板桌”。这一学习情境对于公司环境的模拟更加全面、真实,学生在学习过程中可以有效地感知外界环境对未来职业生涯所起的作用,也可以在心理环境中将“所学”与未来工作中“所用”建立起直接的、必然的联系。学生行为不再是单纯的学习,而是形成一种潜意识中的工作,学生主体意识被进一步唤醒。
2.3开展角色互换,突出学生的学习主体地位
为突出职业能力培养这一主线,课程教学中传统的教师与学生角色被模拟与转换为“企业项目经理”和“企业网络工程师”角色。教师以企业项目经理的身份布置工作任务、安排工作进度、开展工作检查,学生以企业网络工程师的身份接受领导交办的工作任务,制定工作计划与工作方案,运用所学知识与技能积极开展工作并接受过程监督与检查,分工协作完成工作任务。教师与学生的角色变化,使得传统教学活动中被动的学习者可以发挥更多的主观能动性,整个教学活动也得以凸显“工作学习一体化”的特征。
从另一个角度加以分析,国内目前的高职教育
大多是在普通高等教育基础上加上职业元素演化而来,高职教育领域内部存在着与普通高等教育类似的“重教轻学”问题。面向人才市场培养高技能专门人才的高等职业教育,其课程教学内容应以实际应用经验和策略的习得为主,概念和原理学习以适度够用为原则。学生在学习过程中应该是信息加工的主体,是意义的主动建构者,教师则是学生意义建构的促进者、群体的协作者、学生的学习顾问。
一般来说,缺乏教学经验的教师由于对教学内容、教学对象不熟悉、不自信,难以估计教学过程中可能出现的各种问题,更缺乏自如掌控教学活动的各项能力。这样的教师总是在不自觉地强调自身的教学主体地位,忽视学生的学习主体地位。随着教师个人职业生涯的发展、教学经验的不断积累,会逐渐有能力、有信心关注教学活动中的其他重要因素,也慢慢将自己转换为教学活动组织者的角色,将学生转换为教学活动的主体。同时,由于高职教育特别强调学生实践技能和职业意识的培养,高职教育教师除注重积累自身教学经验外,更应注意增强自身的实践经验、增强自身的实践教学能力,以更好地完成教学活动中的主体角色转换。
3结语
“计算机网络与安全”是计算机网络技术专业的专业基础主干课程,整体的教学设计要以计算机网络技术方面的能力为本位,突出理论与实践的有机交融。在教学实施过程中,模拟企业的具体岗位,以学生的实践为主体,采用合理的实验室空间布局,聘请企业兼职教师开展现场教学,改革实训课程的教学模式,培养满足社会需求的网络人才。
参考文献:
[1] 姜大源. 学科体系的解构与行动体系的重构―职业教育课程内容序化的教育学解读[J]. 教育研究,2005,307(8):53-57.
[2] 吴康宁. 教育社会学[M]. 北京:人民教育出版社,1998:344.
[3] Harmer J. How to Teach English[M]. Harlow :Addison Wesley Longman Limited,1998:18.
Curriculum Design and Implementation of Computer Networks and Security
ZHANG Juan1,2, HUANG Xinyuan2
(1.Department of Information and Engineering, Jiangsu Maritime Institute, Nanjing 211170, China;
2.School of Information Science and Technology, Beijing Forestry University, Beijing 100083, China)