鄭州市經(jīng)濟(jì)貿(mào)易學(xué)校計(jì)算機(jī)系 王松波

隨著計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)上傳輸數(shù)據(jù)量的迅速增長(zhǎng)，傳統(tǒng)的基于集線器與路由器所構(gòu)成的局域網(wǎng)已經(jīng)不能滿足規(guī)模日益擴(kuò)大的網(wǎng)絡(luò)要求，主要原因有兩方面：一方面是人們對(duì)信息資源有了更高的要求，比如更大的音視頻文件和數(shù)據(jù)傳輸需求，另一方面也是是因?yàn)楦髡军c(diǎn)共享信道引起信道沖突和廣播風(fēng)暴，傳統(tǒng)路由器基于軟件轉(zhuǎn)發(fā)的低效率等原因會(huì)造成網(wǎng)絡(luò)性能的嚴(yán)重降低。因此在現(xiàn)有的網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)信息需求的條件下如何合理地安排網(wǎng)絡(luò)體系結(jié)構(gòu)成為計(jì)算機(jī)網(wǎng)絡(luò)界研究的重點(diǎn)之一。VLAN技術(shù)正是在這一背景下成為了當(dāng)前局域網(wǎng)特別是校園網(wǎng)的一項(xiàng)關(guān)鍵應(yīng)用，可以說，當(dāng)前網(wǎng)絡(luò)的發(fā)展正在向以交換為中心的虛擬交換網(wǎng)絡(luò)方向發(fā)展。對(duì)于大部分學(xué)校來說，校園網(wǎng)絡(luò)的發(fā)展也非常迅速，剛開始都是學(xué)校內(nèi)部使用個(gè)局域網(wǎng)，到后來都是能夠和internet相連的國(guó)際互聯(lián)網(wǎng)絡(luò)。網(wǎng)絡(luò)從無到有，從局域網(wǎng)到廣域網(wǎng)，網(wǎng)絡(luò)的迅速發(fā)展給學(xué)校的教育教學(xué)帶來了很大的方便。如何改變傳統(tǒng)網(wǎng)絡(luò)的體系結(jié)構(gòu)弊，讓有限的資源盡可能滿足各種不同的服務(wù)需求。特別是如何滿足校園網(wǎng)中越來越多的數(shù)據(jù)傳輸傳輸和信息的安全問題？作者在實(shí)際工作中也遇到了類似的問題，針對(duì)出現(xiàn)的問題的我提出了自己的解決方法。有不當(dāng)之處請(qǐng)不吝賜教。

1、鄭州市經(jīng)濟(jì)貿(mào)易學(xué)校網(wǎng)絡(luò)的概況

我單位的計(jì)算機(jī)網(wǎng)絡(luò)組建的比較早。在1997年就組建了當(dāng)時(shí)比較流行的NOVELL網(wǎng)絡(luò)，后來又組建了NT網(wǎng)絡(luò)。當(dāng)時(shí)的這兩個(gè)網(wǎng)絡(luò)都是局域網(wǎng)，沒有和外部INTERNET相連。主要是利用服務(wù)器／工作站的工作方式，當(dāng)時(shí)的教學(xué)軟件都放在了服務(wù)器上，學(xué)生機(jī)配置比較低，使用的是無盤工作站，網(wǎng)絡(luò)啟動(dòng)后都是使用了服務(wù)器上的數(shù)據(jù)和信息，當(dāng)時(shí)的網(wǎng)絡(luò)管理比較簡(jiǎn)單。在2001年學(xué)校由鄭州市教育局統(tǒng)一組織接入了INTERNET網(wǎng)絡(luò)，是我校進(jìn)入廣域網(wǎng)的開始。網(wǎng)絡(luò)管理的任務(wù)就變得復(fù)雜，特別是近幾年我們學(xué)校又新建了很多實(shí)驗(yàn)室，現(xiàn)在共有7個(gè)網(wǎng)絡(luò)實(shí)驗(yàn)室，有近500臺(tái)電腦同時(shí)上網(wǎng)。并且在每個(gè)辦公室和每個(gè)教室都有寬帶的接入點(diǎn)。老師和學(xué)生都可以隨時(shí)使用信息插座提供的接入點(diǎn)進(jìn)行上網(wǎng)。尤其是在2005年學(xué)校的家屬院網(wǎng)絡(luò)接入了校園網(wǎng)，家屬院網(wǎng)絡(luò)的接入給網(wǎng)絡(luò)的管理帶來了更大的挑戰(zhàn)。因?yàn)榧覍僭豪锩娴娜藛T復(fù)雜，上網(wǎng)的時(shí)段、上網(wǎng)所需的帶寬以及訪問的網(wǎng)站都有很多不確定性。在管理的過程中也遇到了很多問題，其中最突出的問題就是信息的安全性問題。在網(wǎng)絡(luò)的使用上經(jīng)常的出現(xiàn)病毒的泛濫，用戶信息被盜用的情況。

2、網(wǎng)絡(luò)管理中出現(xiàn)的問題

我們學(xué)校的網(wǎng)絡(luò)由辦公樓子網(wǎng)，實(shí)驗(yàn)樓子網(wǎng)和家屬院子網(wǎng)構(gòu)成。辦公樓子網(wǎng)主要是老師辦公時(shí)使用的網(wǎng)絡(luò)，每個(gè)辦公室都有網(wǎng)絡(luò)的接入點(diǎn)若干，有的辦公室使用8口的小交換機(jī)進(jìn)行擴(kuò)展。辦公室子網(wǎng)主要特點(diǎn)是帶寬要求不是很高，大部分的工作時(shí)段都是在上班的時(shí)間，信息的安全性比較高，由于各個(gè)辦公室要相互的傳送資料，要求有比較好的資源共享功能。實(shí)驗(yàn)樓子網(wǎng)是學(xué)校里面使用帶寬最高的部分，里面有非常多機(jī)器同時(shí)上網(wǎng)，并且對(duì)網(wǎng)絡(luò)的需求比較豐富，不同的課程對(duì)網(wǎng)絡(luò)有不同的需求，他的帶寬主要集中在上課的時(shí)段，由于機(jī)房里面的USB端口沒有禁用，學(xué)生可以隨意的使用USB接口來接入外部設(shè)備。特別是在晚自習(xí)的時(shí)候?qū)W(xué)生自由開放，學(xué)生可以在機(jī)房中實(shí)習(xí)他們白天學(xué)習(xí)的任意課程，有同學(xué)就帶著U盤來來回的拷貝東西，這樣就容易造成各種各樣病毒的侵入。家屬院的網(wǎng)絡(luò)要求帶寬較高，它要求的時(shí)段不太固定，白天黑夜都有上網(wǎng)的，他訪問信息的安全性處于上述兩者的中間。但是它一旦出現(xiàn)病毒等故障時(shí)比較難以排查。不像學(xué)校機(jī)房里面可以將某個(gè)機(jī)房單獨(dú)斷掉網(wǎng)絡(luò)來隔離故障。

有一段時(shí)間，網(wǎng)絡(luò)中ARP病毒盛行。特別是在學(xué)校的機(jī)房中，在上一次課的時(shí)候會(huì)多次的被病毒侵?jǐn)_，只要一個(gè)網(wǎng)絡(luò)中的某一臺(tái)機(jī)器中了ARP病毒，那么整個(gè)校園網(wǎng)都無法上網(wǎng)。對(duì)于學(xué)校實(shí)驗(yàn)室的機(jī)器可以安裝還原卡進(jìn)行系統(tǒng)復(fù)原，并且在病毒出現(xiàn)的時(shí)候可以很準(zhǔn)確地對(duì)機(jī)房甚至某臺(tái)機(jī)器進(jìn)行定位。但是對(duì)家屬院里的機(jī)器卻很難控制。首先無法在時(shí)間的準(zhǔn)確把握，家屬院中的機(jī)器首先沒有一個(gè)上網(wǎng)的固定時(shí)間，有可能在上班時(shí)間，也有可能在半夜，所以你不可能去跟蹤誰家的機(jī)器中毒了。其次很難發(fā)現(xiàn)到底是誰家的機(jī)器中毒了，并且即便是好不容易定位到某一戶中，你也很難去把這個(gè)病毒給清除。

3、使用虛擬網(wǎng)絡(luò)來解決面臨的問題

為了解決這個(gè)問題，我想到了虛擬網(wǎng)技術(shù)。我們單位使用的是銳捷產(chǎn)品，核心交換機(jī)是銳捷RG-S3760-24，二層交換機(jī)使用的是銳捷RGS2328G。我在三層交換機(jī)上進(jìn)行了如下的配置：

RG-S3760(CONFIG)# VLAN 10

RG-S3760(CONFIG-VLAN)# NAME BANGONG

RG-S3760(CONFIG-VLAN)#EXIT

RG-S3760(CONFIG)# VLAN 20

RG-S3760(CONFIG-VLAN)# NAME SHIYAN

RG-S3760(CONFIG-VLAN)#EXIT

RG-S3760(CONFIG)# VLAN 30

RG-S3760(CONFIG-VLAN)# NAME JIASHU

RG-S3760(CONFIG-VLAN)# EXIT

RG-S3760(CONFIG)# INTERFACE RANGE FASTETHERNET 0/1-6

RG-S3760(CONFIG)# SWITCHPORT MODE ACCESS

RG-S3760(CONFIG)# SWITCHPORT ACCESS VLAN 10

以此類推將交換機(jī)的端口分別的分配給三個(gè)不同的子網(wǎng)。

這樣我們就在三層交換機(jī)上為辦公室、實(shí)驗(yàn)樓和家屬院分別建立了BANGONG、 SHIYAN和JIASHU三個(gè)虛擬網(wǎng)，并且將三層交換機(jī)的1-6端口分給了BANGONG虛擬網(wǎng)，類似的將7-14端口分給SHIYAN虛擬網(wǎng)，將15-21端口分給JIASHU虛擬網(wǎng)。同時(shí)在二層交換機(jī)上也做上類似的虛擬網(wǎng)設(shè)置。從辦公室、實(shí)驗(yàn)樓和家屬院的網(wǎng)線都按照要求接入自己的虛擬網(wǎng)絡(luò)。這樣就把我們學(xué)校的網(wǎng)絡(luò)分成了三個(gè)虛擬網(wǎng)。三個(gè)虛擬網(wǎng)絡(luò)相對(duì)獨(dú)立，在功能上都很完備，在信息的傳輸都比較安全。每個(gè)子網(wǎng)都只能在自己的網(wǎng)絡(luò)內(nèi)傳輸數(shù)據(jù)，有效的隔離了廣播信息和病毒的泛濫。

4、使用虛擬網(wǎng)絡(luò)管理的后果

使用虛擬網(wǎng)絡(luò)極大的方便了管理。 劃分的三個(gè)虛擬網(wǎng)有效的分離了各個(gè)局域網(wǎng)之間的廣播風(fēng)暴，特別在我們學(xué)校的家屬院中再出現(xiàn)的ARP病毒將會(huì)被限制在家屬院子網(wǎng)的范圍內(nèi)，對(duì)教學(xué)和辦公都不會(huì)產(chǎn)生影響。在學(xué)生機(jī)房里面出現(xiàn)的病毒事件也不會(huì)影響到老師的辦公室和家屬院的網(wǎng)絡(luò)使用。虛擬網(wǎng)的使用同時(shí)也提高了網(wǎng)絡(luò)資源的安全性，通過設(shè)置我設(shè)定家屬院的機(jī)器不能訪問學(xué)校的FTP和WWW服務(wù)器，這樣就保證了學(xué)校信息的安全性，而辦公子網(wǎng)和實(shí)驗(yàn)室子網(wǎng)在訪問時(shí)卻不受任何的影響。這對(duì)于有效的利用網(wǎng)絡(luò)資源非常有利。

同時(shí)通過將校園網(wǎng)絡(luò)劃分為虛擬子網(wǎng)，可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全，控制不必要的數(shù)據(jù)廣播。數(shù)據(jù)廣播在網(wǎng)絡(luò)中起著非常重要的作用，隨著校園網(wǎng)內(nèi)的計(jì)算機(jī)數(shù)量的增加，VOD視頻點(diǎn)播在課堂教學(xué)上的大量應(yīng)用，廣播包的數(shù)量也會(huì)急劇增加，當(dāng)廣播包的數(shù)量占到總量的30%時(shí)，網(wǎng)絡(luò)的傳輸效率將會(huì)明顯下降。特別是當(dāng)某網(wǎng)絡(luò)設(shè)備出現(xiàn)故障后，會(huì)不停地向網(wǎng)絡(luò)發(fā)送廣播，從而導(dǎo)致網(wǎng)絡(luò)風(fēng)暴，使網(wǎng)絡(luò)通信陷于癱瘓。當(dāng)校園網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)數(shù)超過200臺(tái)后，就需要采取措施將網(wǎng)絡(luò)分隔開來，將一個(gè)大的廣播域劃分成若干個(gè)小的廣播域。

我們學(xué)校的校園網(wǎng)具有用戶多、通信量大、通信種類多樣化的特點(diǎn)。在傳統(tǒng)結(jié)構(gòu)的校園網(wǎng)設(shè)計(jì)中由于學(xué)校內(nèi)部建筑較多，教學(xué)科研、行政管理、實(shí)驗(yàn)室和家屬院的信息點(diǎn)相對(duì)分散，不利于校園內(nèi)部IP地址的分配。使用VLAN后就保證系統(tǒng)的安全性，同時(shí)也方便了網(wǎng)絡(luò)的管理和使用。

[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)(第二版)[M].北京:電子工業(yè)出版社,2001.

[2]陳應(yīng)明.計(jì)算機(jī)網(wǎng)絡(luò)與應(yīng)用[M].冶金工業(yè)出版社,2005.

[3]林全新,周圍.計(jì)算機(jī)網(wǎng)絡(luò)工程[M].人民郵電出版社,2003.

[4]雷震甲.網(wǎng)絡(luò)工程師教程[M].北京:清華大學(xué)出版社,2006.

[5]張恒杰,曹雋.計(jì)算機(jī)網(wǎng)絡(luò)工程[M].大連理工大學(xué)出版社,2006.