[注意]清华的校园网络

风の流沙 · 发表于 2005-2-1 14:04:20

过材料或搞过工程的人都知道：在根据机械性能选用工程材料时,不仅要看它的参数，还要看它产生这些参数时的试件尺寸。用不同尺寸的试件所得出的参数是不同的。 
 
 
道理相似，在计算机网络中，网络规模也是一个十分重要但却容易被忽视的因素。就拿宿舍入网来说，在一般人看来，不过是几台计算机插条网线往HUB上一接，然后再有一条线接到校园网就成了，简单的很。但是，你是否注意到了网络规模这个问题？此前有网友发文称清华学生宿舍有房6500间，仅按每屋2台PC（有些人还嫌少呢）计算就有13000台计算机入网。这13000台是什么概念呢？大概让校园网现有的规模翻一翻，我记得校园网公布的入网计算机数大概就10000左右。换句话说，清华学生宿舍连网的问题，实际上是现 
 
有校园网在规模上扩大一倍的问题。你想，那和安个HUB、连条线差哪儿去了！ 
 
要知道，清华校园网的现有规模已经不算小了。不少高校全校的计算机总数也不够13000。甚至有的学校其全部IP地址还不足1300那。 
 
 
所以，请参加讨论的大侠、小虫们，脑海里时刻闪烁着“规模”这个概念。 
 
 
 
说说清华的校园网（之二） 
 
 
 
此问题关心的人比较多，在“清华特快”也见得最多。尤其看着楼里布好的网线，只觉得跳线一插网就能通，所以不知道网络中心在磨蹭什么。其实偶觉得，宿舍网通，要做的事还多着呢： 
 
 
1. 设备定货。前边说过，学生宿舍入网，大概使校园网的规模扩大一倍。这需要增加大量的网络设备。当然新增设备不会是一倍，因为新接入的基本是个人的PC机。大概11月月份有人在特快版RE说国外设备定货正在加紧进行。 
 
 
那外国定货可是没准儿的事。就是设备到了机场，由于各种原因一个月出不了关也是常有的事。之后还有设备的验收、检测、安装、连调，就批量设备而言，那工作量还是很大（别忘了前边提醒过的：规模）。 
 
 
2. 电源改造必须全部完成。许多老楼都是两个灯口、一个插座，电容量小得很。不许用电热器，节电只是一个方面。以前你私接计算机，那属于管理漏洞。出了问题，谁接的谁负责。现在学校连网，计算机合法化了。校方必须保证供电系统的电容量。首先是楼内线路线路，之后是地区容量。 
 
 
3. 管理机构。清华校园网实行多级管理体系。各楼局域网也要有各自的管理机构吧。一个楼中全是一个系的还好办，多个系的就需要协调了。所有用户的总体利益虽然一致，但局部利益还是有冲突的。没有规矩不成方圆，运行办法、规章制度总是不可少的吧。上次代理的事，让许多网友感到不平的，实际上是缺乏大家明确知晓的行为准则。一、两个人上网问题不大，几十、几百人关联着上网问题就来了。这有点象偏僻小路随便走，而城里的交通干道就必须弄出个交通规则来。据说现在的宿舍局域网管得不错。上次代理的事听说宿舍的马上把责任人交了出去，而有的单位却找不到人。 
 
 
4. 管理体制。成千上万的学生一下接入校园网，给学校的学生工作带来了新的问题。如何从整体上进行管理，如何将此工作纳入正常的工作轨道，如何与现有的规律体系相结合，具体该由哪个部门负责，职责是什么等等，这些也都是急待解决的问题。比如，一些网络使用的行为规范，以前仅涉及少数人，在他们那里定几条就行了。现在涉及到全体研究生，马上涉及全体学生，是否应该体现在XX守则中？ 
 
 
偶觉得，以上这些，恐怕都是宿舍网络接通的必要条件。各位以为如何？ 
 
 
说说清华的校园网（之三）――宿舍局域网的IP地址分配 
 
 
除了哪个楼、什么时候能上网之外，大家再关心的就是IP地址分配。 
 
 
因为这直接关系到“上网者有地址”的问题。也就是说在楼里连通后，是否能保证想上网的都能连。 
 
 
据说以前网络中心在规划校园网IP地址时为学生宿舍予留了8000个IP，32C。依据一方面是IP地址资源量，另一方面是15000～20000学生，1/3～1/2上网。退一步，同时上网的人数不会超过1/3。也就是说，首先采用静态地址分配，突破后采用动态地址分配的方案。之所以定32C，主要还是地址资源紧张。清华宿舍楼共有房间6500间，去处网络零头，合一屋一个IP地址。 
 
那么清华共有多少IP地址呢？1B，65536个。现有多少计算机入网呢？据以前公布的数字是12000台，现在就算15000台吧，利用率不足1/4，为什么说IP地址紧张呢？听说清华校园网的IP地址分配网络中心早就进行了规划。哪个单位用什么地址、能用多少，早就定了。各单位申请新的IP地址，只是照单下达而已。也就是说，清华的地址分配不是按现行需要依次使用，而是“一次分光，逐批使用”。这一点可以从各系在不同时期申请到的IP地址依然保持连续得到印证。这样做的好处主要是IP地址的稳定性好，对单位变动的适应性强，原则上可以作到“一定终身”。其次是便于管理。 
 
 
这次宿舍入网工程中，地址分配的原则改为一间屋保证有两个IP。超出两个的需求视具体情况而定，不能保证。这一点以前在特快有人作出了说明。我想这是综合考虑实际地址资源和入网实际需求的结果。一屋两个IP，按6500间算，至少需要13000个地址。但考虑到子网划分,实际使用的肯定多于此数。我试分了一下，64C还不够。也就是说，一屋两个IP将至少占用16000个IP地址。许多人认为一屋两个IP地址不够。 
 
 
这16000个IP是什么含义呢？若学生总数按20000计，则每5个学生有4个IP。也就是说，若学生个人的计算机拥有率不超过80%，则每台 
 
计算机有一个IP。差别在哪里？在于规划的房间数大于现用房间数。 
 
规划嘛，总要领先于现实的。 
 
 
IP地址究竟应该如何分配？据了解网络中心现无一定之规。也就是说：有方案，但是可改的。其实，一屋一个IP也好、两个IP也好，都只是固定分配或说静态分配方式。除静态分配方式外，还有许多其它方案，如代理、动态地址分配如DHCP、NAT等。它们到底是怎么回事、什么原理和机制、有何特点或说优劣，我就说不好了，还是请各位高人指点吧。还是那句话：注意规模。比如用DHCP，网段总数约40 
 
个，需多少什么机器，如何管理？其实，一人一个IP也不是不可能的。再加32C，共96C，24000个IP，或80C，20000个IP，也都是可能的方案。不过大家认为有意义和必要 
 
么？另外，一方面清华IP地址规划中机动余地已很小，另一方面现行IP地址利用率不高，申请新地址有困难。 
 
 
各位大侠以为如何？ 
 
 
 
 
说说清华的校园网（之四）――关于子网划 
 
 
要说IP地址分配问题看似源于地址资源的紧张，各种IP地址分配方案好象是为了节约或可用IP地址，那么对网络进行子网划分又是什么原因呢？为什么要将一个校园网费劲劳神地划分为许多子网呢？不分行不行？ 
 
 
根据网络中心原先公布的资料显示，校园网在采用TCP/IP协议后的很长一个时期内是不划分子网的。全校使用相同的子网掩码255.255.0.0。 
 
 
现在看来，校园网不进行子网划分与现行方案相比至少可有如下好处： 
 
 
 
1. 速度高。彻底淘汰低速的路由器，采用全交换体系结构，大幅提升网络传输速度。网络主干全部采用高速交换机。这里所述交换，特指L2交换。由于校内各单位内部的局域网基本都使用交换机，则校园网可以成为全交换结构。所有数据的转发直接在L2层就完成了，根本不用对数据帧进行解封、L3 路由寻径、数据的L2封装等工作。由于交换机的数据转发速度比路由器高得多的多，所以网络的最大传输速率会比划分子网后采用路由方式互连的方案高得多。 
 
 
2. 易变动。校园网各部分的具体连接方式由“外力”变为“内力”，导致网络对拓扑结构不敏感。各物理网段、各入网单位在校园网中的具体接入位置与网络层的配置无关。也就是说，当入网单位搬家、改变接入位置或端口时，用户本机的网络配置参数和网络中心的网络配置参数均保持不变。 
 
 
3. 用户界面简单。由于全校位于同一子网内，故所有人的网络掩码和网关完全相同，只有各自的IP地址不同。 
 
 
4. 移动性好。由于2和3，所以用户可以随时随地接入校园网。换句话说,用户可以在校园网的任何地方，只要有校园网的信息插座，就可以随时用跳线将自己的计算机接入校园网，而无需改动任何网络配置参数。这个性能是网络界孜孜以求的。 
 
 
5. IP地址利用率高。由于全校位于同一子网内，IP地址可以连续分配,理论上一个B类地址域的65536个IP地址中可以使用65533个，利用率达99.995%。 
 
 
而进行子网分割后的IP地址利用率则低得多，当子网数目足够多时，平均期望利用率为50%。 
 
 
6. 使用方便、管理皆简单。从上边可以看出，用户用自己的IP、通用的网关和网络掩码，随时随地可以入网，使用可谓方便。单位随便移，个人随便跑,所有参数保持不变，管理当然简单。 
 
 
不知各位有何高见？ 
 
 
 
说说清华的校园网（之五）――宿舍局域网 
 
 
 
据了解，本次学生宿舍局域网的建设为千兆位以太网一次到位，而不是 
 
原设想的先百兆，然后再升级到千兆。这也是网络连通时间推迟的原因之一.同时也是本次连网的难点之一。也正因为如此，我们在此的讨论才更有现实意义。 
 
 
以前关于宿舍局域网的速率在特快上有一些猜测。这次根据比较可靠的消息，校园网二期工程的方案是“千兆主干，百兆到层（单元），十兆到桌面。主体为全交换网络，保证每台在线PC十兆带宽”。所谓“主体为全交换网络”，我想是指现在的非全交换部分会物尽其用，而非立即扔掉吧，那毕竟是人民的血汗。不过，这并不影响现在的讨论。在这里，我们仍可以将新的校园网看作是全交换的，而忽略其非交换部分。尤其是宿舍局域网，它确是全交换。 
 
 
 
校园网交换网络的拓扑连接大概分三层。最高一层是主干交换节点，全为千兆交换机。其间以十几至二十几条千兆线路互连。第二层是地区交换节点，全为带千兆端口的千兆或百兆交换机。它们以数条千兆线路接入主交换节点。 
 
 
第三层为接入节点，是百兆交换机可能带千兆端口的。它们以一至数条百兆或千兆线接入地区交换节点，以百兆或十兆端口连接局域网或单台主机入网。就宿舍局域网而言，接入节点是有24个十兆接入和两个百兆端口的交换机。十兆端口用于连接PC机入网，至多24台。百兆端口用于上连至地区节点，根据接入PC数使用1至2条。地区节点为带24个百兆端口和两个千兆端口的交换机。每台至少可连接12台接入节点。若以8000房间16000台PC计算，共需多少交换机呢？需接入交换机16000/24=670台。需地区交换机56台。若仅考虑本次11栋研究生楼2000房间4000台PC则实际约需接入交换机100台，地区交换机约10台。 
 
这就是校园网二期、宿舍局域网及本次研究生宿舍局域网的基本情况。如有不准确的地方我想也在所难免，好在那并不影响这里讨论的有效性。 
 
 
关于这里的拓扑结构，我总感觉哪里有问题。但看来想去，又好象只能这样接，变不出其它花样。不知各位有何高见？ 
 
 
说说清华的校园网（之六）――子网的划分 
 
 
 
现在已经知道，虽然具体用什么设备、多少端口、几条线、怎么连是可 
 
以商量的，但校园网采用全交换结构是无疑的。尽管现有网络有非交换的部分，但由于它在新网中已退化为一个子网，所以在此可不予考虑。 
 
 
在全交换网络中，子网的分割全部是基于VLAN的（是这样吧？）。VLAN的划分是第二层的问题（对吧？）。然而，在我们的IP应用中，子网的划分是在按IP地址进行的。也就是说是第三层的问题。注意，这里有一个矛盾，或说是需要协调的地方。许多问题均由此而起。在此，子网特指通过IP子网掩码分割而成的、在L3相互之间不具直接互通性的域。 
 
 
目前，我所知道的VLAN的划分主要有以下六种（不知是否完全、正确， 
 
请各位指点）： 
 
 
1. 基于端口（特指交换机上的接线插口，下同）。这是最经典、最基本的划分方式。 
 
2. 基于MAC地址。所有节点依其MAC地址而属于预先设定的VLAN。 
 
3. 基于IP地址。所有节点依其IP地址而属于预先设定的VLAN。 
 
4. 基于网络应用（亦称基于协议，指TCP/IP、IPX等）。所有相同的网络应用属于同一个VLAN。 
 
5. 基于VLAN ID（802.1Q）各节点总是属于预定的VLAN。 
 
6. 基于用户名。依据所登录的用户名而属于预定的VLAN。 
 
除非不进行VLAN划分或仅按网络应用划分VLAN，否则IP子网的划分在所难免。子网的划分主要有两类： 
 
 
1. 基于物理位置。实现简单，但使用不便。例如一栋楼或一个楼层为一个子网。 
 
如果你换个楼或楼层，你就不得不换IP地址、网关等。如果某牛系说：本系研究生的上网费偶们全包了，让他们撒开了用吧！网络中心恐怕得说：让我们想想。 
 
 
2. 基于行政隶属。实现复杂，但使用方便。例如一个系或一个系的研究生为一个子网。不同类型人员可有不同的权限。 
 
当然，要划分子网就免不了有IP地址浪费。不知您是否看出来了：IP地 
 
址分配、VLAN划分、IP子网划分三者之间是相互关联的。它们在此构成一个三元一次方程。当然它们各自还有其它的约束条件。事情到此还没完呢!您说那可怜的校园网该怎么办呢？ 
 
 
说说清华的校园网（之七）――宿舍子网划 
 
 
 
事情讨论到这步，我想应该可以为清华校园网选择第一个子网划分方案了。 
 
 
一. 到目前为止，我仍然认为全校一个B类网络――不进行子网划分是一个很好的方案。 
 
 
1. 网络侦听：就工作原理而言，交换机应不能被侦听。建议网络中心就Sniff进行实验。 
 
2. 网络安全：可在要害端口进行过滤或设置防火墙。重要信息有赖于数据加密传输。 
 
3. 地址盗用：子网划分仅影响范围，程度不同而已。 
 
4. 广播风暴：确实存在。但当网络带宽足够充裕时，问题并不大。你的剩余带宽有1还是5兆并不重要。 
 
5. 优点众多：不再重复。 
 
 
二. 有大侠提出了DHCP方案。DHCP只是一个IP地址分配方法，对子网的划分影响不大。一般由另外的服务器完成，与路由器无关。 
 
1. 提高IP地址利用率：当可用IP地址总数<入网计算机总数时有效，此时可能发生连不上 
 
的问题；当可用IP地址总>或=入网计算机总数时无效。也就是说，要想保证所有人随时能连通，则用DHCP并不能节省IP地址。 
 
2. 可移动性：并非必须，只是可以自动完成，免除手工操作的烦琐。可以使用DHCP的地方,自己选择一个空闲IP地址，手工配制IP地址、子网掩码和网关应该一样能通。 
 
 
3. 对于要主动设置IP地址者，这时相当于IP地址可不受限制地随便用。这对于管理需求是不能接受的。 
 
 
三. 理想方案 
 
1. 子网按行政隶属划分。如同班、同级、同系、本科、硕研、博研。 
 
2. IP地址每人一个，从入学到毕业，始终如一。 
 
3. VLAN按端口设置，属于同一子网的所有人员的端口设为一个VLAN。 
 
4. 酌情在校园网出口使用NAT 
 
5. 特点：可管理性好、费IP、随机移动性差（用802.1Q除外） 
 
 
四. 可行方案 
 
1. 按楼划分子网。 
 
2. IP固定分配。 
 
3. VLAN按端口设置。 
 
4. 简评：与现行方案最接近，各项性能中等。IP现阶段够用；学生基本按系集中住宿。 
 
 
 
说说清华的校园网（之八）――路由的设置 
 
 
看来，清华全校使用一个B类网络、不分子网的方案定是不会被采纳的，尽管它有许多诱人的性能。新的千兆校园网将划分为许多VLAN和许多子网恐怕在所难免。 
 
要划分子网就必须使用路由。那么路由放在什么地方呢？ 
 
有两种可行的方案。第一：采用集中式路由，所有子网的路由功能统一 
 
由最高层的主干节点的核心交换机完成。第二：采用分布式路由，路由功能由地区交换节点的交换机完成。 
 
 
特别需要说明的是：方案一和方案二中的核心交换机是不同的。与方案二相比,方案一中的核心交换机必须支持L3交换功能。这两方案中的交换机可能是同一系列,但不会是同一型号，价格差异很大。地区交换机亦然。 
 
 
对于方案一，优点是路由功能集中，便于系统配置和运行管理。由于仅核心交换机为L3，故投资可能较少。缺点是路由的可靠性低。所有子网间的数据交换均必须经过核心交换机，可能造成无效流量。 
 
 
对于方案二，优点是分布式路由，可靠性好；地区交换机所连各子网间的流量可在本地转发而不必先上传核心交换机再原路返回。缺点是地区交换机均为L3,投资可能较多；分布路由不便于系统配置和运行管理。 
 
 
实际情况如何呢？首先估算一下规模。若按8000间房16000台计算机，则约需接入交换机800台、地区交换机40台、核心交换机1台。若按本次11栋研究生楼2000房间4000台计算机，则约需接入交换机200台、地区交换机10台、核心交换机1台。目前,校园网的子网数有100余个，所见的最大子网有1000个IP地址，最小的子网为8个IP地址。最终的子网个数约200余个。本次研究生宿舍约需IP地址5000个20C。若按房间位 
 
置划分子网则约20个。 
 
 
由此可知，就宿舍局域网而言，首先是平均一个地区交换机对应一个VLAN。也就是说，所有VLAN基本是经核心交换机互连。这使得方案二中的本地局域网直接路由转发失去意义。其次如果核心交换机为单台连接则方案二中分布路由亦失去意义。 
 
当然，在考虑设备、链路冗余后的实际系统中，方案二似更合理些。 
 
 
顺便提一下，前段时间有网友在本版讨论路由器与交换机的区别。这在清华校园网中也可明显看出：传统路由器用于连接不同的IP子网，速度慢；传统的L2交换机用于连接同一IP子网的不同部分，速度快；最新的L3交换机用于连接以VLAN为 
 
基础的不同的IP子网，速度快。它们的价钱相差甚远。有兴趣的可访问Cisco、3COM等 
 
著名专业网络设备公司的主页。 
 
 
 
说说清华的校园网（之九）――怎么出国 
 
 
 
此前在网上不少人为何时能连网吵了半天，又为有多少IP争了一气。奇怪的是为何从未有人提起网上出国的问题。清华好象已经有四个学生宿舍接入了校园网,据信没有一个能够正常出国，也未见有谁表示不满或希望。不知作为学生对宿舍网上出国问题持什么态度？是强烈要求能出国，不让出国想方设法也要出去呢？还是坚决 
 
反对出国，让出也不出？抑或无所谓，反正有办法？ 
 
 
其实，出国问题才真正是个大问题那。宿舍上网干什么？你不会说是为了娱乐吧。即使你的目的是娱乐，但学校肯定不会花数千万银子给你买游戏机。我认为建网的主要目的有两个：教学的自动化和便于及时获得技术信息。前者以校内应用为主,因此 
 
才有千兆主干网。后者以国外访问为主，这就需要网络能出国访问。 
 
 
事实上。出国并不难，难的是如何正确、有效地对网络应用进行计、收费。直接的办法是按IP进行计费，所有连网计算机使用固定不变IP地址，它的直接威胁是IP地址盗用。为了克服IP地址盗用，使IP与MAC地址对应。为了克服MAC地址盗用，又 
 
使MAC地址与端口对应。为了克服端口盗用，管理员将交换机锁到了机柜中。谁再想盗用他人地址，只得先撬了机柜。 
 
这是一个完整而有效的方案。所有用户具有完全的权限和正常的使用方 
 
式。也就是说，用户的使用并不因为网络计费的需要而有所改变。但是，正如前边讲过的 
 
―― 
 
注意规模，当一个网络中的实用计算机为20000台，分配IP达40000个时，上述方案将 
 
 
带来大量的管理工作并造成明显的网络时延。这还只是问题的两个方面，还有其它的问题那。 
 
 
另一个常用的方法是使用代理服务器。这是一个相对简单而有效的方法 
 
，有不少单位在使用。它的最大问题是代理的局限性，即代理是按应用类型实现的。并不是所有的应用和协议都可以通过代理服务器实现。也就是说，它会改变用户的使用权限或应用内容。这一点是致命的。有关领导曾表示：任何限制应用类型的方案都是不能被接受的。例如网络电话，不让学生用，是没道理的，作为校园网的管理方案是不能采纳的。再一点――规模：支持8000或10000用户同时使用的代理服务器应该是什么配置？ 
 
还有一类方案是用户登录。当用户需要出国时先向网关用用户名和口令 
 
进行登录。网关仅允许通过身份验证的用户通过，并对其计费。它的首要问题是如何确保用户停止应用时能及时、有效地退出连接，从而避免错计费用。在此方案中，无论是登录、退出或持线，均需用户使用专门的客户方支持软件。也就是说，它需要改变用户的使用方式。当然，规模问题依旧。 
 
后两种方式都不需要用户使用固定的合法的IP地址。由此可见，计费问 
 
题与IP地址分配方案也是相关的。到此，IP地址分配、VLAN划分、IP子网划分、网络计费四者之间是相互关联的。它们在此构成一个四元一次方程。当然它们各自还有其它的约束 
 
条件。事情到此还没完呢！ 
 
您有其它的方案或现成的计费软件吗？您对学生宿舍的出国问题有何意见和建议或者看法吗？说来看看如何？ 
 
 
 
说说清华的校园网（之十）――安全控制 
 
 
网络的安全控制属于网络管理的范畴。网络管理可以分为设备管理、用户管理和行为管理。安全控制首先涉及行为管理，其次涉及用户管理。有人一听到管理就别扭。其实，只要是有人群的地方，只要是需要不同 
 
的人遵守同一规则的地方，就需要管理。管理者与被管理者的关系就是猫与老鼠的关系。猫抓老鼠这一古老的游戏已经进行了几千年，而且还将进行下去。对网络进行严格、有效的安全控制其本身并不是目的，而只是手段。它的真正目的在于有效地预防、抑制危害网络安全的事件发生，切实保障网络安全、有效地运行，以保护大多数用户的根本利益.比如，有许多人热衷于窃取他人的拨号连网帐号，并有不少人盗用成功.其 
 
原因就是网络中心只知道一个帐号什么时间接到哪个端口，但却不知道他从什么地方接过来。那些无端遭人盗用的用户面对巨额帐单的愤怒与无奈，确实令人同情.据说曾有某遭盗用的老教授，到网络中心去理论，指着办公室内满屋子倒霉鬼的鼻子 
 
说：“你们这些人都不干净”、“你们没一个好东西”、“你们是团伙做案”。试想，如果电话局能够向网络中心提供主叫号码或提供主叫查询服务，加上网络中心准确的呼叫记录，结果会怎样呢？面对“抓你没商量”，谁会自投罗网呢！再比如， 
 
前些日子一位“特快名人”与他人在“清华特快”上开战，结果被他人从校外进行了网络攻击。攻击者很快让名人哑巴了。在这里，据说攻击者使用了IP地址隐藏技术，使得他所发出的攻击数据包的源IP地址全部为随意瞎设的值。这也使得攻击者无所顾忌。那么同样的事情在清华会如何呢？清华校园网作为安全控制措施之一,在所有网关启动了防火墙，不是本子网地址域内的IP地址的数据包根本出不了网关。任何人要干坏事，必须使用本子网内部的IP地址，而IP地址是按系分配的。你要干坏事吗，那你将直接面对来自本单位内部的追查与谴责。对此能不有所顾忌吗.前些日子不就有人假他人IP地址干坏事，结果导致全系被断网三天。面对全系的责骂，想必他的心理压力也不轻。由此可以看出，严格的安全控制措施，导致的不是大批的人受处罚，而是所有的人安分守己、天下太平。 
 
 
网络的安全控制是有代价的。网络的安全性与可用性、高效性是矛盾的。比如清华校园网的地址注册系统，对网络的延时、可靠性、易用性、可维护性都有明显的不良影响。因此，网络安全控制的力度有多大，选择什么样的技术与管理措施,必须与其它方面综合考虑，权衡利弊，找出一个平衡点。相对于网络的安全事件，网络的安全控制有三个方面：事前的防范、事件的及时发现与恢复、事后的责任追查与处理。用于解决网络安全问题的技术措施有很多，但是其中的许多都与具体的网络结构相关。比如校园网目前采用静态IP地址分配,直接对IP地址计费。相应地采用“IP-MAC影射与MAC-Port影射地址注册”方案。 
 
 
“双影射”作为事前的防范措施可有效抑制IP地址盗用。“地址注册”则可在发生问题后迅速准确地找到责任人。在这里“登录法”就无用武之地。然而，如果校园网在千兆交换网中采用动态地址分配，则地址注册可能就无法实现了。那时，“实时登录法”可能是合理的甚至是唯一的选择。由此可见，IP地址分配、VLAN划分、IP子网划分、网络计费、安全控制五者之间是相互关联的。它们在此至少构成一个五元一次方程。当然它们还有其它的约束条件。事情到此还没完呢！ 
 
 
作为用户，我希望自己在网上的行为不留任何痕迹。我有局域网环境，但我还是讨了一个拨号帐号来上BBS，即使花电话费也在所不惜。想必许多人也是如此。 
 
 
要不咋那多人要隐藏IP、要故意穿梭呢。然而对于别人，我却希望知道他的来历。比如有网友问有关网络性能的问题，我就希望知道他是否用的清华校园网，因为清华校园网有不同于其它网络的技术特点。如果我是有关领导或网络管理员，我可能会希望了解并记录所有用户的一切网上使用行为。当然，网络的管理方法取决于 
 
领导和管理者而不是用户。 
 
 
对于清华校园网现行的地址注册方案所造成的延时和不方便，我是深恶 
 
痛绝,欲毙之而后快。然而，我又十分欣赏它的严密与准确性。校园网后边应该采取什么安全控制策略呢？你也许说：那要看采用什么IP地址分配和网络结构方案。其实，也不妨掉过来，先确定一个适宜的安全控制方案，再按要求去定IP地址分配和网络结构等方案。

		自动登录	找回密码
密码			会员注册