杜玉林

(武漢交通職業(yè)學(xué)院,湖北武漢 430065)

1 本院校園網(wǎng)的基本情況

我院新校園網(wǎng)絡(luò)于2007年完成第一期規(guī)劃建設(shè)并投入使用,目前主要包含各樓層辦公網(wǎng)絡(luò)、機(jī)房、圖書(shū)館等。

整個(gè)校園網(wǎng)絡(luò)采用了核心——匯聚——接入的分層結(jié)構(gòu),核心交換機(jī)與匯聚交換機(jī)之間采用光纖千兆互聯(lián),匯聚交換機(jī)與樓宇接入交換機(jī)之間采用百兆互聯(lián),接入交換機(jī)到桌面信息點(diǎn)采用百兆互聯(lián)。在入侵防御上,采用天融信防火墻,做端口過(guò)濾策略。為合理分配有限的資源,在出口做了網(wǎng)絡(luò)流量監(jiān)控設(shè)置。為使公網(wǎng)用戶通過(guò)Internet訪問(wèn)內(nèi)網(wǎng),在網(wǎng)絡(luò)邊界做了VPN設(shè)置。出口采用雙出口,分別接入CERNET(中國(guó)教育網(wǎng))和中國(guó)電信,由F5設(shè)備作均衡負(fù)載。核心交換機(jī)與公網(wǎng)服務(wù)器、內(nèi)網(wǎng)服務(wù)器、一卡通服務(wù)器三大服務(wù)器群之間采用千兆互聯(lián)。核心交換機(jī)與IPSAN及FCSAN存儲(chǔ)設(shè)備之間采用千兆互聯(lián)。

校園網(wǎng)已開(kāi)通的應(yīng)用系統(tǒng)有 OA、教務(wù)、郵件、科研、財(cái)務(wù)、FTP、網(wǎng)絡(luò)防毒、視頻服務(wù)、BBS等。在已有的校園網(wǎng)基礎(chǔ)上建設(shè)有一卡通專用網(wǎng)絡(luò),一卡通系統(tǒng)可以方便地通過(guò)校園卡實(shí)現(xiàn)消費(fèi)和身份認(rèn)證。學(xué)院師生員工還可以通過(guò)校園網(wǎng)檢索圖書(shū)館的借書(shū)目錄和各種文獻(xiàn)資料,或者通過(guò)VPN系統(tǒng)通過(guò)Internet訪問(wèn)校內(nèi)資源。

我院校園網(wǎng)的主干網(wǎng)采用千兆以太網(wǎng)的組網(wǎng)方式,拓?fù)浣Y(jié)構(gòu)采用星型拓?fù)浣Y(jié)構(gòu),這一方式性能優(yōu)越,價(jià)格適中,管理方便,見(jiàn)圖1。

圖1 校園網(wǎng)拓?fù)浣Y(jié)構(gòu)

2 交換機(jī)設(shè)備的選型

我院校園網(wǎng)在設(shè)備選型上,根據(jù)資金情況和實(shí)際功能需要,交換機(jī)系列采用的是銳捷網(wǎng)絡(luò)的相關(guān)產(chǎn)品。其中核心交換機(jī)采用的是RGS7610系列交換機(jī),匯聚層交換機(jī)采用的是RGS5760系列交換機(jī),接入層交換機(jī)采用的是RGS2924G系列交換機(jī)。

在核心交換機(jī)的選型上,RG-S7610交換機(jī)是一款可以應(yīng)用在三層的路由交換機(jī),其具備業(yè)界領(lǐng)先的硬件CPU保護(hù)技術(shù),還具備了冗余管理模塊、冗余電源模塊等物理安全保障措施。支持10/100/1000/10000M bps的傳輸速率,支持2457Gbps的背板帶寬,支持VLAN技術(shù)等。

在匯聚層交換機(jī)的選型上,RG-S5760交換機(jī)是一款千兆以太網(wǎng)交換機(jī),其具備48Gbps的高交換容量和36Mpps的二三層包轉(zhuǎn)發(fā)能力,支持所有端口線速轉(zhuǎn)發(fā)。該設(shè)備最大提供24端口10/100/1000M電接口、4個(gè)復(fù)用的SFP千兆光接口,充分滿足了本校校園網(wǎng)對(duì)高密度千兆口的需求。該設(shè)備還支持V LAN技術(shù),具備完善的堆疊擴(kuò)展能力,極大地節(jié)省了用戶對(duì)設(shè)備的投資。

在接入層交換機(jī)的選型上,RG-S2924G交換機(jī)是一款可以應(yīng)用在二層上的千兆以太網(wǎng)交換機(jī)。該設(shè)備具備基本的存儲(chǔ)-轉(zhuǎn)發(fā)的交換方式,提供24端口的10/100/1000M 的電接口、4個(gè)復(fù)用的SFP千兆光接口。

3 交換機(jī)在校園網(wǎng)中相關(guān)功能的實(shí)現(xiàn)

在交換技術(shù)上,我校校園網(wǎng)主要涉及到ACL(訪問(wèn)控制列表)技術(shù)和VLAN(虛擬局域網(wǎng))技術(shù)。針對(duì)實(shí)際需要,我校校園網(wǎng)在核心交換機(jī)和匯聚層交換機(jī)上主要做了ACL配置和VLAN的劃分。其中訪問(wèn)控制列表技術(shù)主要具備安全控制、流量過(guò)濾、數(shù)據(jù)流量標(biāo)識(shí)這三大作用。

一方面,建立訪問(wèn)控制列表的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn),例如通過(guò)ACL技術(shù),我們可以限制公網(wǎng)用戶訪問(wèn)內(nèi)網(wǎng)服務(wù)器和一卡通服務(wù)器等。除此之外,我們還可以利用ACL技術(shù)來(lái)限制網(wǎng)絡(luò)流量,提高網(wǎng)絡(luò)性能,對(duì)通信流量起到控制的作用。在路由器的端口上配置訪問(wèn)控制列表后,可以對(duì)入站端口、出站端口及通過(guò)路由器中繼的數(shù)據(jù)包進(jìn)行安全檢測(cè)等。

另一方面,通過(guò)V LAN技術(shù),將我校校園網(wǎng)按區(qū)域劃分成8個(gè)不相隸屬的子網(wǎng),分別是行政樓、教師樓、信息樓、實(shí)訓(xùn)樓、圖書(shū)館、后勤醫(yī)院、教學(xué)樓和食堂8個(gè)子網(wǎng)。通過(guò)VLAN的劃分,一方面大大提高了我校校園網(wǎng)的整體安全性,另一方面也提高了校園網(wǎng)內(nèi)各部門(mén)的工作效率,降低了校園網(wǎng)建設(shè)中的成本等等。

4 交換機(jī)在校園網(wǎng)中的配置分析

4.1 校園網(wǎng)VLAN劃分

本校園網(wǎng)的VLAN劃分采用基于核心交換機(jī)的端口劃分。將整個(gè)校園網(wǎng)劃分8個(gè)VLAN,每個(gè)VLAN對(duì)應(yīng)一個(gè)子網(wǎng),劃分情況如表1所示。

表1 校園網(wǎng)VLAN劃分表

4.2 核心交換機(jī)配置

在核心交換機(jī)上,主要按區(qū)域做VLAN的劃分并重命名。將端口號(hào)劃分到相應(yīng)的VLAN號(hào)中,進(jìn)VLAN給予相應(yīng)的IP地址。通過(guò)這些配置,以提高校園網(wǎng)的安全性。

(1)實(shí)現(xiàn)VLAN功能

Sw itch#con figure terminal

Enter configuration comm ands,one per line.End with CNTL/Z.

Sw itch(con fig-if)#hostname RG-S7610

RG-S7610(config)#vlan 10

RG-S7610(config-vlan)#nam e administration

RG-S7610(config-vlan)#v lan 20

RG-S7610(config-vlan)#name teachers

劃分并命名VLAN30 40 50 60 70 80命令類似于VLAN 10,名字分配見(jiàn)表1。

RG-S7610(con fig-vlan)#exit

RG-S7610(config)#interface range fastEthernet 0/1-24

RG-S7610(con fig-if-range)#sw itchport mode access

RG-S7610(config-if-range)#sw itchport access v lan 10

RG-S7610(config-if-range)#exit

RG-S7610(config)#interface range fastEthernet 0/1-24

RG-S7610(config-if-range)#sw itchpo rt mode access

RG-S7610(config-if-range)#sw itchpo rt access v lan 20

RG-S7610(config-if-range)#exit

RG-S7610(config)#interface vlan 10

RG-S7610(config-if)#ip address 192.168.10.1 255.255.255.0

RG-S7610RG-S7610(config-if)#no shutdown

RG-S7610(config-if)#exit

RG-S7610(con fig)#interface vlan 20

RG-S7610(config-if)#ip address 192.168.11.1 255.255.255.0

RG-S7610(con fig-if)#no shutdown

RG-S7610(config-if)#exit

給相應(yīng)的VLAN號(hào)分配IP地址V LAN30 40 50 60 70 80命令類似于V LAN 10,IP地址分配情況見(jiàn)表1。

(2)實(shí)現(xiàn)路由功能

RG-S7610(config)#router rip

RG-S7610(config-if)#version 2

RG-S7610(con fig-if)#network 192.168.0.0

(3)實(shí)現(xiàn)ACL功能

以下這段命令,實(shí)現(xiàn)ACL訪問(wèn)控制列表的配置,意在除了信息樓外,其余辦公區(qū)域都不能訪問(wèn)一卡通服務(wù)器。通過(guò)ACL的配置,可以大大的提高網(wǎng)絡(luò)的安全性。

RG-S7610(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(con fig)#access-list 110 deny tcp 192.168.11.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(con fig)#access-list 110 deny tcp 192.168.13.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.14.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.15.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.16.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.17.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 permit ip any any

RG-S7610(config-if)#exit

4.3 匯聚層交換機(jī)配置

在行政樓的匯聚層交換機(jī)上做V LAN劃分功能

Sw itch#configure terminal

Enter configuration comm ands,one per line.End with CNTL/Z.

Sw itch(config-if)#hostname RG-S5760 RG-S5760(config)#vlan 10

RG-S5760(config-vlan)#nam e xingzhenglou

RG-S5760(config-vlan)#exit

RG-S5760(config)#interface range fastEthernet 0/1-24

RG-S5760(con fig-if-range)#sw itchport mode access

RG-S5760(config-if-range)#sw itchpo rt access v lan 10

1 陸魁軍.網(wǎng)絡(luò)實(shí)踐指南-基于Cisco路由器和交換機(jī)[M].北京:清華大學(xué)出版社,2007

2 高 峽,李永俊.網(wǎng)絡(luò)設(shè)備互聯(lián)實(shí)驗(yàn)指南[M].北京:科學(xué)出版社,2009.

3 楊 靖,劉亮.實(shí)用網(wǎng)絡(luò)技術(shù)配置指南初級(jí)篇[M].北京:北京希望電子出版社,2006

4 (美)迪爾.Cisco路由器防火墻安全[M].北京:人民郵電出版社,2006

5 (美)奧多姆.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程CCNA 2路由器與路由基礎(chǔ)[M].北京:人民郵電出版社,2008