【文章內(nèi)容簡介】 很快的切換到備用通路。 ? 匯聚層 匯聚層顧名思義就是作為訪問層到骨干層的匯聚，通常為訪問層與骨干層實現(xiàn)基于策略的網(wǎng)絡間連接。匯聚層主要由三層交換 機組成，提供對網(wǎng)絡流量模式控制、服務訪問控制、 QoS、定義路由路徑度量和路由協(xié)議網(wǎng)絡通告控制。 計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 14 頁 ? 接入層 接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進行邏輯子網(wǎng)劃分，并通過 VLAN 技術(shù)實現(xiàn)子網(wǎng)之間的隔離。訪問層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問層主要通過二層交換機組成。 “核心層 匯聚層 訪問層 ”網(wǎng)絡設(shè)計模型有如下優(yōu)點： ? 高可擴展性 － 遵循層次化模型網(wǎng)絡比扁平式網(wǎng)絡更具有伸縮性和可管理性，因為各功能網(wǎng)絡通過模塊化實現(xiàn)，潛在問題更易于識別。 ? 易于實施 － 每 一層的功能性清晰劃分，簡化每一層的實現(xiàn)。 ? 易于故障排除 － 每一層的功能經(jīng)過良好定義，網(wǎng)絡更為簡單，有助于故障的隔離。模塊化設(shè)計也有效限制故障影響范圍。 ? 易于規(guī)劃和管理 － 層次化的功能劃分，整個網(wǎng)絡規(guī)劃和管理更為簡單。 計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 15 頁 網(wǎng)絡拓撲圖 計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 16 頁 計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 17 頁 方案的說明 實驗室局域網(wǎng)絡 系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實現(xiàn)骨干網(wǎng)絡之間的優(yōu)化傳輸 ,骨干層設(shè)計任務的重點通常是冗余能力、可靠性和高速的傳輸。因存在大量的語音和視頻傳輸。據(jù)此，考慮匯聚層對 QoS 有良好的支持并且能提供大的帶寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應該具備即插即用特性以及易于維護的特點。根據(jù)學校建設(shè)要求與總體目標，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過定義相應的訪問策略，實現(xiàn)訪問控制，內(nèi)外隔離和抭 IP 地址。在網(wǎng)絡結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù) (第三層交換 )作為核心層，呈網(wǎng)狀拓撲結(jié)構(gòu)。以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅持開放性和標準化，采用標準的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系 統(tǒng)間易于集成，兼顧其他標準的網(wǎng)絡體系結(jié)構(gòu)，網(wǎng)絡能實現(xiàn)協(xié)議之間無縫連接。而公用服務器與每一臺核心層交換機都應該具備連接。在網(wǎng)絡硬件上采用高性能、高可靠的設(shè)備，此產(chǎn)品是具有運營商級容錯能力的高性能大型網(wǎng)絡核心交換機，可實現(xiàn)冗余備份，從而提高核心層的可靠性。 整個網(wǎng)絡通過匯聚層交換機 RGS6806E 和核心交換機 RGS6810E 之間的鏈路冗余備份和負載均衡提供安全可靠的網(wǎng)絡構(gòu)架（使用 OSPF、 ECMP、 WCMP 等技術(shù)），其安全保障技術(shù)提供一個全網(wǎng)概念的整體網(wǎng)絡安全，而通過簡單地增加萬兆模塊可以平滑升級到萬兆骨干的實驗室局域網(wǎng)。 IP 地址劃分 IP 地址及 VLAN 劃分原則 ? 簡單性：地址的分配應該簡單，避免在主干上采用復雜的掩碼方式； ? 連續(xù)性：為同一個網(wǎng)絡區(qū)域分配連續(xù)的網(wǎng)絡地址，便于采用路由收斂 (Summarization)CIDR(Classless InterDomain Routing)技術(shù)縮減路由表的表項，提高路由器的處理效率； ? 可擴充性：為一個網(wǎng)絡區(qū)域分配的網(wǎng)絡地址應該具有一定的容量，便于主機數(shù)量增加時仍然能夠保持地址的連續(xù)性； ? 靈活性：地址分配不應該基于某個網(wǎng)絡路由策 略的優(yōu)化方案，應該便于多數(shù)路由策略在該地址分配方案上實現(xiàn)優(yōu)化； ? 可管理性：地址的分配應該有層次，某個局部的變動不要影響上層、全局。 ? 安全性：網(wǎng)絡內(nèi)應按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進行管理。 IP 地址及 VLAN 劃分 VLAN（ Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡的端到端的邏輯網(wǎng)絡。一個 VLAN 組成一個邏輯子網(wǎng)，即一個計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 18 頁 邏輯廣播域，它可以覆蓋多個網(wǎng)絡設(shè)備，允許處于不同地理位置的網(wǎng)絡用戶 加入到一個邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要相應的支持 VLAN 技術(shù)的網(wǎng)絡設(shè)備。當網(wǎng)絡中的不同 VLAN 間進行相互通信時，需要路由的支持，這時就需要增加路由設(shè)備 ——要實現(xiàn)路由功能，既可采用路由器，也可采用三層交換機來完成。 根據(jù)我校 礦業(yè)大學南湖 的實際情況，我們對各個機房的 IP 地址劃分及 VLAN 劃分如下： 14 機房： ， vlan1 58 機房： ， vlan2 910 機房： ， vlan3 1112 機房： ， vlan4 1314 機房： ， vlan5 1516 機房： ， vlan6 1718 機房： ， vlan7 1920 機房： ， vlan8 2122 機房： ， vlan9 2324 機房： ， vlan10 2526 機房： ， vlan11 2728 機房： ， vlan12 2930 機房： ， vlan13 3132 機房： ， vlan14 3334 機房： , vlan15 3536 機房： , vlan16 NAT 的實現(xiàn) NAT，網(wǎng)絡地址轉(zhuǎn)換，是通過將專用網(wǎng)絡地址轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng) Inter），從而對外隱藏了內(nèi)部管理的 IP 地址。這樣，通過在內(nèi)部使用非注冊的 IP 地址，并將它們轉(zhuǎn)換為一小部分外部注冊的 IP 地址，從而減少了 IP 地址注冊的費用以及節(jié)省了目前越來越缺乏的地址空間（即 IPV4）。同時，這也隱藏了內(nèi)部網(wǎng)絡結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡受到攻擊的風險。 NAT 網(wǎng)絡地址轉(zhuǎn)換的 3 種實現(xiàn)方式： 靜態(tài) NAT（一對一） 動態(tài) NAT（多對多） 端口多路復用 PAT（多對一） 本網(wǎng)絡沒有考慮 NAT 的具體實現(xiàn)。 、訪問列表的實現(xiàn) 路由器和交換機所保持的列表用來針對一些進出路由器或交換機的服務（如組織某個 IP 地計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 19 頁 址的分組從路由器或交換機的特定端口出發(fā)）做訪問控制。 在本網(wǎng)絡拓撲中，使用訪問列表用來實 現(xiàn)網(wǎng)絡的安全。用來實現(xiàn)相當于防火墻的功能。允許內(nèi)網(wǎng)的用戶去訪問外網(wǎng)，而外網(wǎng)的用戶則是除了能訪問服務器或是通過 VPN 連接進來外，其他的訪問都是被阻止的。 設(shè)備選型與配置 我們選取其中一個機房作為示例，下圖為實驗室的三層網(wǎng)絡結(jié)構(gòu)模型： 匯聚層交換機的選擇： RG－ S6806E 要求匯聚層交換機支持廣播、組播功能。信號從核心交換機出來，在匯聚層就進行組播， 可以減輕網(wǎng)絡的負擔。 接入層交換機的選擇： STARS2126G/STARS2150G 交換機 1) RGS6800E 系列多業(yè)務萬兆核心路由 交換機提供 ，并支持將來擴展到 ，高達 572Mpps/286Mpps 的二 /三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的數(shù)據(jù)交換，強大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡核心骨干和大流量節(jié)點交換機的理想選擇。 RGS6800E 交換機通過 擴展高性能的 多業(yè)務卡支 持策略路由、 IPV MPLS 、 load balancing、 NAT、 VPN、 Firewall、 web cache redirect 等業(yè)務功能，滿足客戶環(huán)境靈活而復雜的不同應用需求。 豐富的應用支持技術(shù)（ QOS、組播） RGS6800E 提供多種流分類技術(shù)和多種 QOS 技術(shù)，包括 SP、 WRR、 WFQ、 WRED、 CAR、HOL 等，為各種應用的帶寬保障提供需要的支持技術(shù)。 流分類：可以依據(jù)數(shù)據(jù)流的源 /目的 MAC 地址、源 /目的三層 IP 地址、三層協(xié)議（ IP/IPX）、四層協(xié)議（ UDP/TCP）、源 /目的四層協(xié)議端口號、COS、 TOS 對數(shù)據(jù)流進行區(qū)分，實現(xiàn) 2/3/4 層的流分類功能。 ? 數(shù)據(jù)標記： 是二層協(xié)議，可以為數(shù)據(jù)提供 8 個級別的優(yōu)先級標記； DSCP 在三層的 IP 協(xié)議報文里進行優(yōu)先級標記，可以提供 64 個級別的優(yōu)先標記。 ? 隊列調(diào)度：嚴格優(yōu)先級隊列 SP 保證高優(yōu)先級業(yè)務總是在低優(yōu)先級業(yè)務之前處理； WRR 是一種加權(quán)循環(huán)隊列調(diào)度機制，首先處理高優(yōu)先級，但在處理高優(yōu)先級業(yè)務時，較低優(yōu)先級的業(yè)務并沒有被完全阻塞，而是按一定的比例同時進行。 WFQ 是加權(quán)公平隊列，對所有的數(shù)據(jù)流進行排隊，監(jiān)控吞吐率，并根據(jù)發(fā)送的 信息量分配權(quán)值。 WFQ 試圖公平地為每個對話分配帶寬，保證低帶寬應用可以獲得對接口的訪問權(quán)，而不會被高帶寬應用全部占用。 ? 擁塞控制： WRED 加權(quán)隨機早期檢測協(xié)議，可以設(shè)置各個數(shù)據(jù)流在擁塞發(fā)生之前自動丟失數(shù)據(jù)的閥值，避免較高優(yōu)先級應用的擁塞丟失。 HOL 通過消除 HOL 阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞。 ? 承諾信息速率： CAR 可以為重要的數(shù)據(jù)流設(shè)定固定的帶寬，如果設(shè)定的帶寬合理，滿足該數(shù)據(jù)流的需求，就可以保證重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。 提供多種組播支持技術(shù)，包括 IGMP snooping、 IGMP、PIM（ SSM、 SM、 DM）， DVMRP，保證了網(wǎng)絡中提供組播服務時的帶寬合理占用。 計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 20 頁 STARS2126G/STARS2150G 是一款全線速可堆疊千兆智能交換機，提供智能的流分類和完善的服務質(zhì)量（ QoS）以及組播管理特性，并可以實施靈活多樣的 ACL 訪問控制。可通過 SNMP、 Tel、 Web 和 Console 口等多種方式提供豐富的管理。 路由選擇與配置 RGS6800E 新一代多業(yè)務萬兆核心路由交換機系 ，配置見附錄二。 網(wǎng)絡 安全設(shè)計與管理 安全需求分析 (1)、網(wǎng)絡病毒的防范 病毒產(chǎn)生的原因：我校實驗室局域網(wǎng)很重要的一個特征就是用戶數(shù)比較多，會有很多的 PC 機缺乏有效的病毒防范手段，這樣，當用戶在頻繁的訪問 INTERNET 的時候，通過局域網(wǎng)共享文件的時候，通過 U 盤，光盤拷貝文件的時候，系統(tǒng)都會感染上病毒，當某個學生感染上病毒后，他會向?qū)嶒炇揖钟蚓W(wǎng)的每一個角落發(fā)送，發(fā)送給其他用戶，發(fā)送給服務器。 病毒對實驗室局域網(wǎng)的影響：實驗室局域網(wǎng)萬兆、千兆、百兆的網(wǎng)絡帶寬都被大量的病毒數(shù)據(jù)包所消耗，用戶正常的網(wǎng)絡訪問得不到響應，辦公 平臺不能使用；資源庫、 VOD 不能點播； INTERNET 上不了，學生、老師面臨著看著豐富的實驗室局域網(wǎng)資源卻不能使用的尷尬境地。 (2)、防止 IP、 MAC 地址的盜用 IP、 MAC 地址的盜用的原因：實驗室局域網(wǎng)采用靜態(tài) IP 地址方案，如果缺乏有效的 IP、 MAC 地址管理手段，用戶可以隨意的更改 IP 地址，在網(wǎng)卡屬性的高級選項中可以隨意的更改 MAC 地址。如果用戶有意無意的更改自己的 IP、 MAC 地址，會引起多方?jīng)_突，如果與網(wǎng)關(guān)地址沖突，同一網(wǎng)段內(nèi)的所有用戶都不能使用網(wǎng)絡；如果惡意用戶發(fā)送虛假的 IP、 MAC 的對應關(guān)系，用戶 的大量上網(wǎng)數(shù)據(jù)包都落入惡意用戶的手中，造成 ARP 欺騙攻擊。 IP、 MAC 地址的盜用對校園網(wǎng)的影響：在用戶看來，實驗室局域網(wǎng)絡是一個很不可靠是會給我?guī)砗芏嗦闊┑木W(wǎng)絡，因為大量的 IP、 MAC 沖突的現(xiàn)象導致了用戶經(jīng)常不能使用網(wǎng)絡上的資源，而且，用戶在正常工作和學習時候，自己的電腦上會經(jīng)常彈出 MAC 地址沖突的對話框。由于擔心一些機密信息比如銀行卡賬戶、密碼、郵箱密碼泄漏，用戶會盡量減少網(wǎng)絡的使用，這樣，學生、老師對實驗室局域網(wǎng)以及網(wǎng)絡中心的信心會逐漸減弱，實驗室局域網(wǎng)也就不能充分發(fā)揮其服務于教學的作用，造成很大程 度上的資源浪費。 (3)、安全事故發(fā)生時候，需要準確定位到用戶 實驗室局域網(wǎng)正常運行的需求：如果說不能準確的定位到用戶，學生會在網(wǎng)絡中肆無忌彈進行各種非法的活動，會使得校園網(wǎng)變成 “黑客 ”娛樂的天堂，更嚴重的是，如果當某個學生在校外的某個站點發(fā)計算機網(wǎng)絡與安全實踐 課程設(shè)計 第 21 頁 布了大量涉及政治的比如法輪功的言論，這時候公安部門的網(wǎng)絡信息安全監(jiān)察科找到我們的時候，我們無法處理，學?；蛘哒f網(wǎng)絡中心只有替學生背這個黑鍋。 (4)、安全事故發(fā)生時候，不能準確定位到用戶的影響： 一旦發(fā)生這種涉及到政治的安全事情發(fā)生后，很容易在社會上廣泛傳播，上級主管部 門會對學校做出處理；同時也會大大降低學校在社會上的影響力，降低家長、學生對學校的滿意度，對以后學生的招生也是大有影響的。 (5)、用戶上網(wǎng)時間的控制 無法控制學生上網(wǎng)時間的影響：如果缺乏有效的機制來限制用戶的上網(wǎng)時間，學生可能會利用一切機會上網(wǎng)，會