摘 要：針對目前我校機房網(wǎng)絡構建存在的主要問題，對問題進行一一分析，尋找原因，并在此基礎上，提出了新的網(wǎng)絡構建方法，對設計過程進行了詳細的闡述；最后，分析了如何通過VLAN和設置防火墻來提高網(wǎng)絡安全性能。

關鍵詞：網(wǎng)絡構建；拓撲結構；VLAN；防火墻

中圖分類號：TP308

機房網(wǎng)絡的是否合理，關系到整個高校的實驗教學，因此，設計良好的機房網(wǎng)絡結構和網(wǎng)絡安全對于高校的實驗教學來說，就顯得非常的重要。在我校目前的機房網(wǎng)絡結構中，存在一些非常大的問題，缺乏對網(wǎng)絡資源的合理應用，同時在網(wǎng)絡安全方面也沒有合理的設計，網(wǎng)絡非常容易陷入癱瘓。在本文中，首先詳細分析網(wǎng)絡結構和安全存在的主要問題，在此基礎上，設計出符合學校要求的網(wǎng)絡結構和安全架構，同時就后期的網(wǎng)絡維護提出一些建議和措施[1]。

1 現(xiàn)狀分析

目前，我校的網(wǎng)絡架構是每個機房被劃分成為一個網(wǎng)段以及一個VLAN，實現(xiàn)不同VLAN的方式是通過網(wǎng)絡服務器上的多塊網(wǎng)卡來完成不同IP的設置。各個不同的VLAN直接是通過操作系統(tǒng)提供的LAN路由完成。這個網(wǎng)絡結構主要的問題可以歸納為以下幾個方面：（1）在互聯(lián)網(wǎng)訪問控制方面存在一定的問題：每個不同的虛擬局域網(wǎng)直接的相互訪問是不存在問題的，但是在虛擬局域網(wǎng)對外網(wǎng)的訪問卻不能合理的控制，例如假設了限制一個虛擬局域網(wǎng)來訪問外網(wǎng)，需要進行物理隔斷，這無疑是對物理設備的損傷，同時對于網(wǎng)絡的管理也帶來眾多的不便。（2）由于本網(wǎng)絡的劃分和設置是基于網(wǎng)絡服務器的多網(wǎng)卡進行的，不同的網(wǎng)卡上面需要設置很多虛擬局域網(wǎng)的網(wǎng)關。在網(wǎng)絡吞吐量非常大的時候，極易形成網(wǎng)絡風暴，造成網(wǎng)絡的堵塞。（3）在虛擬局域網(wǎng)劃分上也存在不小的問題：例如，如果修改某一個虛擬局域網(wǎng)的IP，可能會和其他網(wǎng)內(nèi)的IP造成沖突，無法嚴謹?shù)膭澐帧?/p>

2 網(wǎng)絡設計目標

基于上述討論的問題，本文所構建的新的網(wǎng)絡結構基于三層交換機來實現(xiàn)，對于Internet的訪問，通過ACL來實現(xiàn)。其具體目標可以表現(xiàn)在以下幾個方面：

（1）經(jīng)過授權的學生機器可以對整個的因特網(wǎng)和校園網(wǎng)絡進行訪問。為了解決IP地址數(shù)目限制的問題，學生機可以利用免費的網(wǎng)絡代理服務器來完成網(wǎng)絡資源的訪問。但是需要設置網(wǎng)絡代理服務器的訪問控制權限；（2）利用網(wǎng)絡對學生用機進行遠程系統(tǒng)維護。由于學生用機較為統(tǒng)一，故可為使用遠程克隆軟件完成學生用機的系統(tǒng)維護提供了可能；（3）為對計算中心內(nèi)部的教師辦公網(wǎng)絡環(huán)境給予保護，要將學生用機同教師用機在網(wǎng)絡上予以隔離。

3 網(wǎng)絡設計

3.2 實現(xiàn)過程

三層交換機級聯(lián)端口配置：為了節(jié)省資源浪費，充分利用現(xiàn)在的二層傻瓜式交換機，因此需要將二層交換機與三層交換機進行級聯(lián)鏈接，所以與三層交換機級聯(lián)的端口不需做TRUNK模式配置。

（2）防火墻配置。防火墻配置關鍵在訪問控制列表（ACL）的制定。訪問控制列表通過在路由器接口處防火墻控制路由數(shù)據(jù)包是被轉發(fā)還是被阻塞來過濾網(wǎng)絡通信流量。如果防火墻出口配置了公網(wǎng)IP，還需要做NAT地址映射；

4 基于網(wǎng)絡的維護

4.1 通過VLAN提高網(wǎng)絡安全性能。我們平時所說的虛擬局域網(wǎng)VLAN，它在網(wǎng)絡管理上被定義為廣播域，在網(wǎng)絡應用上面可看成一個邏輯相關的用戶組。而高校選擇哪一種VLAN來實現(xiàn)交換局域網(wǎng)是非常重要的。（1）對高校所有部門的網(wǎng)絡進行VLAN分劃，同時要嚴格監(jiān)控每個部門網(wǎng)絡區(qū)域的流量；（2）嚴格防止黑客的非法IP盜用，因此要實時對網(wǎng)絡進行實時監(jiān)聽，一旦發(fā)現(xiàn)問題，要及時進行保護和數(shù)據(jù)的備份，防止網(wǎng)絡癱瘓；（3）各個虛擬局域網(wǎng)直接的網(wǎng)絡傳輸也要進行嚴格控制，盡量避免通過交換機第三層的網(wǎng)絡交換。

4.2 設置防火墻。普通的防火墻主要包括四大部分[3]：（1）安全操作系統(tǒng)；（2）過濾器；（3）網(wǎng)關；（4）域名服務。高校機房之所以可以采用防火墻技術是因為防火墻技術可以對與外界網(wǎng)絡的傳輸進行防護，通過分析，防火墻技術主要有以下幾個方面：1）包過濾技術。該技術對于防火墻來說，是核心技術，是一項可以人為控制的選擇性過濾技術。在進行機房網(wǎng)絡構建的時候，需要設定好防護的規(guī)則，確定哪些是可用的信息，哪些是垃圾信息。2）代理技術。該技術最大的好處是可以減少工作人員的工作量，同時可以對校園外的請求作出自動應答。但是在執(zhí)行的過程中，需要對其請求作出檢查和驗證，確保安全。

5 結束語

基于本文所研究的方案，在學校進行了實際的測試，效果達到了實際的需求，具有非常大的可行性。本方案的設計，不僅提高了實驗室網(wǎng)絡的安全性，同時也為學生提供了良好的學習和實驗環(huán)境，具有非常高的實用價值。

參考文獻：

[1]魏峻，趙暉，楊曉.校園網(wǎng)安全中的問題與策略[J].科技信息（學術研究），2008（27）：38-40.

[2]韓文智，傅得月.核心交換機在校園網(wǎng)絡安全中的作用[J].實驗科學與技術，2004（28）：1-3.

[3]張智剛，譚智敏，徐向紅.淺議網(wǎng)絡信息的安全保護[J].現(xiàn)代經(jīng)濟信息，2009（18）：5-9.

作者單位：中州大學，鄭州 450044