二、 优化设备管理加强网络安全
  
   （一）合理规划虚拟网络

   虚拟网络（VLAN）是指在物理网络基础架构上，利用交换机和路由器的功能，配置网络的逻辑拓扑结构，从而将一个局域网内的任何数量，任何位置的用户聚合成一组，就好像它们是一个单独的局域网。虚拟网络是基于局域网交换的网络技术，它处于网络管理的第二层，有以下的作用：
   能减少由于网络终端的增加、移动和更改而造成的网络维护的麻烦。
   能使网络的拓扑结构更加灵活，提高性能。

   能通过高度灵活地对网络进行分段，从而提高网络安全性。
   在同一个VLAN成员之间提供低延迟、高线速的通信。
   从网络安全的角度来看，通过合理划分VLAN来分割不同部门的网络用户，并通过访问控制列表可以有效解决网络间存在的安全隐患，提供较安全资源共享环境，控制非法恶意连接。在在网络病毒风暴发生时，还可有效地遏制网络病毒的传播。

   我院是黄委会城域网的一个子网，通过光纤和黄委会城域网连接，共用黄委互联网接口。交换设备采用CISCO产品，主交换机是三层交换机。在院网络规划与网络配置时，向委网管中心申请若干个IP地址，把院局域网按部门的业务需求划分若干个VLAN，每个VLAN分配一个IP地址，为了使全院用户都能访问共用的服务器，把服务器单独划分在一个VLAN，和、与委网管中心连接的光纤端口划分一个VLAN，该VLAN的IP地址与委网管中心分配给我院的路由地址对应，所有IP地址由委网管中心作路由的网关。这样同一VLAN中的用户可以方便的通过网上邻居实现文件和打印设备共享，拒绝其他VLAN用户的访问。所有用户都可以通过指定IP地址访问服务器，实现服务器资源共享。
  
   （二） 将IP地址和MAC地址绑定

   IP地址是每台计算机在网络上的唯一标识，在网络运用中，IP地址被滥用的行为时有发生，轻者使得同一VLAN中的2个用户都不能上网，重者使VLAN中的共享资源大家都无法使用。为了解决该问题，我们采取了软硬结合的办法：

   首先，告知用户自己合法的IP地址。我们将用户IP地址和MAC地址都放在数据库里，管理员查看的时候，可以显示所有用户的IP和MAC地址，而用户查找的时候，只能看到IP地址，看不到MAC地址，这样即使个别用户修改了MAC地址也毫无意义。其次，采取将IP地址与MAC地址绑定的方法：在交换机的配置中，采用ARP命令，先绑定不使用的地址（MAC地址使用ff:ff:ff:ff:ff:ff 广播地址）。再绑定使用的地址。如ARP 10.4.57.60 00:10:dc:a9:d6:fe。这样就完成了绑定。用户改变了自己的IP地址后，会发现根本无法使用网络，只能向网络中心申报，在这过程中其他合法用户将不受影响。实施上述办法后，有效地杜绝了IP地址被盗用的事发生，较好的保障了网络安全的可用性和完整性。