胡 明

本文以兩所院校區(qū)的校園網(wǎng)絡(luò)通過遠(yuǎn)程連接,形成整體的校園網(wǎng)絡(luò)為規(guī)劃目標(biāo)。網(wǎng)絡(luò)設(shè)計(jì)要求能實(shí)現(xiàn)以下目標(biāo):建設(shè)數(shù)字化新校園,為學(xué)校各部門提供快捷有效的信息服務(wù)和通信環(huán)境。實(shí)現(xiàn)集中式數(shù)據(jù)存儲,實(shí)現(xiàn)在網(wǎng)絡(luò)系統(tǒng)上的高速互連互通,及信息資源和軟硬件資源高度共享。

一、校園網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)中心形成了主干網(wǎng),是整個校園網(wǎng)的總節(jié)點(diǎn),并提供連接廣域網(wǎng)和撥入服務(wù)。在主干網(wǎng)系統(tǒng)采用以太網(wǎng)結(jié)構(gòu)。中心機(jī)房放置著中心交換機(jī)、服務(wù)器群、路由器、機(jī)架MODEM等網(wǎng)絡(luò)設(shè)備,這些設(shè)備以中心交換機(jī)作為中心,以星形拓樸結(jié)構(gòu)通過雙絞電纜線連接在一起。網(wǎng)絡(luò)中心與子網(wǎng)的聯(lián)系是通過光纖和雙絞電纜線將中心交換機(jī)和子網(wǎng)的交換機(jī)或集線器連接起來。

二、校園網(wǎng)的規(guī)劃

校園網(wǎng)絡(luò)系統(tǒng)采用以星形拓?fù)浣Y(jié)構(gòu)為主的分布式三層(核心層、匯聚層、接入層)結(jié)構(gòu)。核心設(shè)備放置在網(wǎng)絡(luò)中心,在各系部設(shè)置匯聚節(jié)點(diǎn)。各樓宇設(shè)置1～3個配線間,將樓內(nèi)的信息點(diǎn)全部集中到各配線間內(nèi),采用百/千兆接入交換機(jī)提供各信息點(diǎn)接入的需要,通過千/萬兆連接到相對應(yīng)的匯聚中心設(shè)備上。

三、校園的IP地址規(guī)劃

IPv4地址分成A、B、C三類,每類均保留有私有地址,由于C類的私有地址無法滿足校園網(wǎng)的實(shí)際需要,所以采用B類私有IP(表1)。私有IP地址B類范圍從172.16.0.0～172.31.255.255,取172.18.0.0 /24網(wǎng)段,可以分為254個子網(wǎng),每個網(wǎng)段為254臺主機(jī)。

總校區(qū)與分校區(qū)的IP地址分配情況:總校區(qū)共有20個科室和16個微機(jī)房,另外學(xué)生宿舍和教工住宅區(qū)需要50～80個網(wǎng)段。Ip地址分配網(wǎng)段為:172.18.10.0～172.18.200.0。 分校區(qū)有7個微機(jī)房和15和科室單位。另外學(xué)生宿舍和教工住宅區(qū)需要20～30個網(wǎng)段,Ip地址分配為:172.18.201.0～172.18.254.0,校園網(wǎng)的核心層,路由器、服務(wù)器的IP地址為:172.18.1.0～172.18.4.0。

四、校園網(wǎng)絡(luò)采用的網(wǎng)絡(luò)協(xié)議

校園網(wǎng)絡(luò)采用OSPF(Open Shortest Path First)協(xié)議,OSPF是鏈路狀態(tài)路有協(xié)議,是一個內(nèi)部網(wǎng)關(guān) (Interior Gateway Protocol,IGP) 協(xié)議,是通過路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫,生成最短路徑樹,每個OSPF路由器使用這些最短路徑構(gòu)造路由表(表2)。

OSPF路由進(jìn)程process-id必須指定范圍在1～65535,多個OSPF進(jìn)程可以在同一個路由器上配置,但最好不這樣做。多個OSPF進(jìn)程需要多個OSPF數(shù)據(jù)庫的副本,必須運(yùn)行多個最短路徑算法的副本。process-id只在路由器內(nèi)部起作用,不同路由器的process-id可以不同。

wildcard-mask 是子網(wǎng)掩碼的反碼,網(wǎng)絡(luò)區(qū)域ID area-id在0～4294967295內(nèi)的十進(jìn)制數(shù),也可以是帶有IP地址格式的x.x.x.x。當(dāng)網(wǎng)絡(luò)區(qū)域ID為0或0.0.0.0時(shí)為主干域。不同網(wǎng)絡(luò)區(qū)域的路由器通過主干域?qū)W習(xí)路由信息。

五、校園網(wǎng)絡(luò)安全架構(gòu)

網(wǎng)絡(luò)安全構(gòu)架采用被屏蔽子網(wǎng)(ScreenedSubnet)技術(shù),被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。在很多實(shí)現(xiàn)中,兩個分組過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個DMZ。

DMZ(Demilitarized Zone)即俗稱的非軍事區(qū),與軍事區(qū)和信任區(qū)相對應(yīng),作用是把Web,e-mail等允許外部訪問的服務(wù)器單獨(dú)接在該區(qū)端口,使整個需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后,不允許任何訪問,實(shí)現(xiàn)內(nèi)外網(wǎng)分離。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域,DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器,比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù),但不可能接觸到存放在校園內(nèi)網(wǎng)中的機(jī)密或私人信息等,即使DMZ中服務(wù)器受到破壞,也不會對內(nèi)網(wǎng)中的機(jī)密信息造成影響。

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng),但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問點(diǎn),支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻,就必須重新配置連接三個網(wǎng)的路由器,既不切斷連接又不要把自己鎖在外面,同時(shí)又不使自己被發(fā)現(xiàn),這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機(jī),然后進(jìn)入內(nèi)網(wǎng)主機(jī),再返回來破壞屏蔽路由器,并且整個過程中不能引發(fā)警報(bào)。

六、網(wǎng)絡(luò)中核心技術(shù)的配置命令

R0的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.1.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.2.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#

Router(config)#router ospf 1

Router(config-router)#network 172.18.1.0 0.0.0.255 area 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#end

R2的配置命令行:

Router>en

Router#config t

Enter configuration commands, one per line.End with CNTL/Z.

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.3.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#interface fa 0/0

Router(config-if)#ip add 172.18.4.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#end

Router#config t

Router(config)# router ospf 1

Router(config-router)#network 172.18.4.0 0.0.0.255 area 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

R1的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.2.2 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#exit

Router#config t

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.3.1 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

本文從校園網(wǎng)絡(luò)的實(shí)用性角度出來,對于總校區(qū)和分校區(qū)這種兩校區(qū)遠(yuǎn)程網(wǎng)絡(luò)的連接規(guī)劃與安全方面進(jìn)行了闡述,進(jìn)行了網(wǎng)絡(luò)私有IP地址的劃分,以及網(wǎng)絡(luò)防火墻的設(shè)計(jì)架構(gòu),最后給出路由器OSPF協(xié)議中的關(guān)鍵配置命令。

(作者單位:廣東省高級技工學(xué)校)