【文章內(nèi)容簡介】 要求即使用戶通過代理上網(wǎng)（即：用戶訪問的目的 IP 是代理的IP），也能解析出用戶訪問的最終網(wǎng)站的 URL。 （六） 校園網(wǎng) VLAN 設(shè)計 VLAN 在邏輯上等價于廣播域。更具體的說，我們可以將 VLAN 類比成一組最終用戶的集合。這些用戶可以處在不同的物理 LAN 上，但他們之間可以象在同一個 LAN 上那樣自由通信而不受物理位置的限制。在這里，網(wǎng)絡(luò)的定義和劃分與物理位置和物理連接是沒有任何必然聯(lián)系的。網(wǎng)絡(luò)管理員可以根據(jù)不同的需要，通過相應(yīng)的網(wǎng)絡(luò)軟件靈活的建立和配置虛擬網(wǎng)，并為每個虛擬網(wǎng)分配它所需要的帶寬。 在膠南高職網(wǎng)絡(luò)設(shè)計中，作為教學(xué)和辦公的核心網(wǎng)絡(luò)設(shè)備，根據(jù)具體需要劃分多個 VLAN,其中 ADMIN 作為設(shè)備管理用 對這些不同 VLAN 之間的通訊進(jìn)行控制，這樣既可以節(jié)約成本，又可以保障重要網(wǎng)段的安全，同時減少廣播和沖突，提高系統(tǒng)的可用性。 在接入層交換機(jī)與分布層交換機(jī)之間采用 作為 VLAN 的傳輸協(xié)議。 根據(jù)膠南高職目前的應(yīng)用需求，在網(wǎng)絡(luò)實(shí)施前期按照需求，配置網(wǎng)絡(luò)的 VLAN。將網(wǎng)絡(luò)劃分成辦公、多媒體教室、服務(wù)區(qū)、網(wǎng)管區(qū)、教學(xué)區(qū)等幾個相對獨(dú)立的邏輯區(qū)域以方便用戶對各個區(qū)域?qū)嵤┎煌脑L問策略。 二、地址規(guī)劃設(shè)計 （一） 地址規(guī)劃的原則 IP 地址規(guī)劃應(yīng)依據(jù)科學(xué)性、系統(tǒng)性、完整性及可擴(kuò)展性原則，采用先進(jìn)的網(wǎng)絡(luò)編碼技術(shù)，保證信息交換的效率和 質(zhì)量，既要在相當(dāng)時期內(nèi)保持技術(shù)的先進(jìn)性，同時也充分考慮現(xiàn)期工程的可實(shí)施性，為了更加便于記憶和管理，在校園網(wǎng)網(wǎng)絡(luò)建設(shè)中，網(wǎng)絡(luò) IP 地址規(guī)劃采用膠南市高級職業(yè)技術(shù)學(xué)校 國家中職示范校建設(shè)材料 統(tǒng)一的 IP 地址分配方式，保證 IP 地址的唯一性。具體來說， IP 地址規(guī)劃應(yīng)該遵循以下原則： 可擴(kuò)展性： IP 地址的規(guī)劃與劃分應(yīng)該考慮到城域網(wǎng)的業(yè)務(wù)飛速發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對 IP 地址的需求，同時要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段； 唯一性：一個 IP 網(wǎng)絡(luò)中不能有兩個主機(jī)采用相同的 IP 地址； 簡單性：地址分配應(yīng)簡單、易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化 路由表的款項(xiàng)； 靈活性： IP 地址的分配需要有足夠的靈活性，能夠滿足用戶不同的聯(lián)網(wǎng)需要； 連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率。 高效性： IP 地址的分配必須采用 VLSM 技術(shù)，充分合理利用已申請的地址空間，保證 IP 地址的利用效率，采用 CIDR 技術(shù)，減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??； （二） 校園網(wǎng)內(nèi)部 IP地址具體規(guī)劃 對于校園網(wǎng)來說需要全局 IP 地址的情況有以下： 1）對互聯(lián)網(wǎng)提供信息服務(wù)的服務(wù)器，這些服務(wù)器一般放 置在防火墻的 DMZ 區(qū)； 2）內(nèi)部分配私有 IP地址的網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)時，需要全局 IP地址做 NAT；3）內(nèi)部網(wǎng)絡(luò)中對全局 IP 地址有特定需求的網(wǎng)段，比如學(xué)生經(jīng)常會玩一些網(wǎng)絡(luò)游戲，一些特定的網(wǎng)絡(luò)游戲一定要求全局的 IP 地址， NAT能夠兼容常見的應(yīng)用，但對許多特殊的應(yīng)用是不兼容。跟 CERNET 和ChinaNet 的互聯(lián)地址有 ISP 另外分配。 對于校園網(wǎng)的網(wǎng)絡(luò)設(shè)備互聯(lián) IP地址，以及沒有對全局 IP 地址有特定需求的網(wǎng)段，采用內(nèi)部網(wǎng)絡(luò)私有 IP 地址空間或者申請教育網(wǎng)地址塊。 （三） NAT 的全局地址 在互聯(lián)網(wǎng)出口，都需要分配 NAT 的全局 IP 地址。 膠南市高級職業(yè)技術(shù)學(xué)校 國家中職示范校建設(shè)材料 從 ISP 分配的全局 IP 地址中分配一段全局 IP 地址，作為校園網(wǎng)內(nèi)部訪問互聯(lián)網(wǎng)的轉(zhuǎn)換地址?；诙丝诘?NAT 轉(zhuǎn)換，一個 IP 地址可以提供 6 萬余個 NAT 會話。 （四） IP 地址的分配管理 校園網(wǎng)的信息點(diǎn)多，如何對 IP 地址的分配進(jìn)行有效的管理，是十分重要的。針對不同的情況，可以對 IP 地址進(jìn)行靜態(tài)或動態(tài)的分配方式。 靜態(tài)分配的情況： 對外提供信息服務(wù)的服務(wù)器； 校園網(wǎng)內(nèi)提供信息及管理服務(wù)的服務(wù)器； 對于一些老師或?qū)W生用戶，需要對校園網(wǎng)內(nèi)部或外部提供信息服務(wù)的信息點(diǎn)。路由器、 交換機(jī)等網(wǎng)絡(luò)設(shè)備的 IP 地址分配。 動態(tài)分配的情況： 不提供信息服務(wù)的計算機(jī)，只訪問校園網(wǎng)內(nèi)部或互聯(lián)網(wǎng)的資源。 本方案的接入交換機(jī)可以做到以下地址管理： 對于靜態(tài)分配地址的用戶，只有用預(yù)先分配的 IP 地址才可以上網(wǎng)；對于動態(tài)分配地址的用戶，只有通過 DHCP 方式獲得 IP 地址才可以上網(wǎng)； 獲得有效 IP 地址上網(wǎng)后，試圖修改 IP地址，均會自動與網(wǎng)絡(luò)斷線； 以上手段，保證了 IP 地址不會沖突，因而可以對 IP地址資源的使用進(jìn)行有效的管理和控制。 合理的劃分 IP 地址、盡量使用總結(jié)路由、可以有效地減少核心設(shè)備的負(fù)擔(dān)，提高核心交 換機(jī)的效率，減少網(wǎng)絡(luò)上的路由震蕩，同時與交換機(jī)專家級 ACL 功能相結(jié)合可以對關(guān)鍵的、敏感的區(qū)域?qū)崿F(xiàn)多重的防護(hù)。 三、校園網(wǎng)安全規(guī)劃設(shè)計 網(wǎng)絡(luò)高速暢通也給黑客們帶來更多的便利，端口掃描、非法入侵、膠南市高級職業(yè)技術(shù)學(xué)校 國家中職示范校建設(shè)材料 拒絕服務(wù)、網(wǎng)絡(luò)嗅探等攻擊在高速的網(wǎng)絡(luò)上如魚得水。如何有效地阻止網(wǎng)絡(luò)的攻擊行為，保證網(wǎng)絡(luò)的高安全？ （一） 設(shè)備訪問控制安全 本方案中的所有交換機(jī)支持 ACL 訪問控制，可以限制哪些源地址可以訪問該設(shè)備。 交換機(jī)支持的 ACLs 類型： IP ACLs：用于過濾 IP 報文，包括 TCP 和 UDP。 1. Standard IP access lists (標(biāo)準(zhǔn) IP接入控制列表 )使用源 IP地址作為匹配的條件 2. Extended IP access lists(擴(kuò)展 IP 接入控制列表 )使用源 IP地址、目的 IP 地址及可選的協(xié)議類型信息作為匹配的條件 Ether ACLs 用于過濾二層數(shù)據(jù)流： 1. MAC Extended access lists(MAC 擴(kuò)展控制列表 )使用源 MAC 地址、目的 MAC 地址及可選的以太網(wǎng)類型作為匹配的條件 Expert ACLS 用于過濾二層和三層、二層和四層、二層和三層、四層數(shù)據(jù)流： 1. Expert Extended access lists(專家擴(kuò)展控制列表 )使用源 MAC 地址、目的 MAC 地址、以太網(wǎng)類型、源 IP、目的 IP、及可選的協(xié)議類型信息作為匹配的條件。 通過設(shè)置 ACL 允許指定網(wǎng)段 IP地址訪問網(wǎng)絡(luò)設(shè)備，拒絕其它網(wǎng)段 IP 地址對網(wǎng)絡(luò)設(shè)備的訪問，這樣即使出