【文章內(nèi)容簡介】 些原則是對(duì)于那些相互之間聯(lián)系頻繁的節(jié)點(diǎn)，盡量劃分在一個(gè)網(wǎng)段，比如說可以按照部門來劃分虛擬網(wǎng)，對(duì)于較大的部門，可以進(jìn)一步細(xì)化。對(duì)于公共的服務(wù)器，盡量設(shè)置在對(duì)其訪問數(shù)據(jù)流量最大的VLAN中，對(duì)于應(yīng)用核心級(jí)的服務(wù)器，或者為多個(gè) VLAN用戶所經(jīng)常訪問的服務(wù)器，可以使用虛擬多宿主服務(wù)器技術(shù)，該技術(shù)使得一臺(tái)服務(wù)器同時(shí)存在于多個(gè) VLAN中。有下列技術(shù)可以實(shí)現(xiàn)虛擬多宿主服務(wù)器：? 通過在服務(wù)器插入多個(gè)網(wǎng)卡? 服務(wù)器使用支持 VLAN Trunking技術(shù)（ 或 ISL）對(duì)于有些部門，由于其規(guī)模比較大，必須進(jìn)一步對(duì)這些部門按其邏輯進(jìn)行劃分以建立相應(yīng)的 VLAN，劃分 VLAN之后所帶來的問題是原來在一個(gè) VLAN中的名字服務(wù)現(xiàn)在因?yàn)橐缭?VLAN而不能完全提供（通俗地說，用戶不能在 Windows9X的“網(wǎng)上鄰居”中看到其它 VLAN中的用戶） ，因?yàn)橛赏徊块T劃分出來的 VLAN往往有比較多的聯(lián)系，為方便用戶，名字服務(wù)是需要的。這個(gè)問題可以通過在網(wǎng)絡(luò)設(shè)備中設(shè)置 IP Helper Address服務(wù)，將廣播請求轉(zhuǎn)發(fā)到有特定的地址的服務(wù)器來解決。在校園網(wǎng)絡(luò)中，VLAN 主要通過以下兩種規(guī)則（Rule）的策略來實(shí)現(xiàn)：? Port Rules：學(xué)院校園網(wǎng)設(shè)計(jì)方案第 19 頁基于端口的 VLAN是最簡單的一種虛擬網(wǎng)形式。但它提供了最好的控制和安全性，它是通過配置分配連在某一端口上的設(shè)備基于它們所連接的端口來加入某一個(gè) VLAN。? Rules:根據(jù)用戶的認(rèn)證信息，由中心安全服務(wù)器預(yù)定的信息，在交換機(jī)端口上動(dòng)態(tài)設(shè)置該用戶的所屬 VLAN，相關(guān)安全設(shè)置參數(shù)以及 DHCP信息。通過虛擬網(wǎng)的靈活設(shè)置，既可為網(wǎng)絡(luò)管理帶來靈活性，使網(wǎng)絡(luò)維護(hù)工作量降低。同時(shí)通過虛擬網(wǎng)的組合設(shè)置，可實(shí)現(xiàn)安全的虛擬網(wǎng)劃分，給網(wǎng)絡(luò)帶來相對(duì)的安全性。VLAN間的路由目前實(shí)現(xiàn) VLAN互連的技術(shù)主要有：? ? IEEE ? ? InterSwitchlink（ISL）? ? 第三層交換在網(wǎng)絡(luò)方案中，由于主要使用 Cisco設(shè)備，建議采用 Cisco專有技術(shù) InterSwitchlink來實(shí)現(xiàn)跨交換機(jī) VLAN之間的通訊，對(duì)于其它廠商的交換機(jī)可采用。我們可以將兩臺(tái)交換機(jī)上的若干不同的端口劃歸同一 VLAN，同時(shí)在交換機(jī)鏈路上設(shè)置 ISL封裝，同時(shí)在交換機(jī)鏈路上設(shè)置 ISL封裝，通過 Catalyst 交換機(jī)的第三層交換模塊來實(shí)現(xiàn) VLAN間的路由。三層交換技術(shù)是第三層路由技術(shù)與第二層交換技術(shù)的有機(jī)結(jié)合，不是簡單的把路由器設(shè)備的硬件及軟件簡單地疊加在局域網(wǎng)交換機(jī)上。從硬件的實(shí)現(xiàn)上看，目前，第二層交換機(jī)的接口模塊都是通過高速背板/總線（速率可高達(dá)幾十 Gbit/s）交換數(shù)據(jù)的，在第三層交換機(jī)中，學(xué)院校園網(wǎng)設(shè)計(jì)方案第 20 頁與路由器有關(guān)的第三層路由硬件模塊也插接在高速背板/總線上，這種方式使得路由模塊可以與需要路由的其它模塊間高速的交換數(shù)據(jù)，從而突破了傳統(tǒng)的外接路由器缺陷。我們建議在不同 VLANs的訪問采用第三層交換的方式。 在 Catalyst 6509上配置第三層服務(wù)Catalyst 6509是 Cisco產(chǎn)品線中典型的多層路由交換平臺(tái)，因其可集成第二層和第三層模塊而使局域網(wǎng)交換和路由技術(shù)有機(jī)結(jié)合起來。因此，Catalyst 6509不單純是傳統(tǒng)意義上的局域網(wǎng)交換機(jī)，而是支持路由技術(shù)的多層交換機(jī)。Catalyst 6509交換機(jī)完全可以將其視為一個(gè)運(yùn)行著標(biāo)準(zhǔn) Cisco IOS的路由器，其作用是為基于第二層端口所劃分的 VLAN提供第三層的路由服務(wù)。如果沒有路由器的話，位于不同 VLAN間網(wǎng)絡(luò)設(shè)備不能實(shí)現(xiàn)相互之間的通訊。在多數(shù)的網(wǎng)絡(luò)環(huán)境中，VLAN 與單獨(dú)的網(wǎng)絡(luò)或子網(wǎng)相關(guān)聯(lián)。Catalyst 6509使用InterVLAN路由技術(shù)實(shí)現(xiàn)位于不同 VLAN終端之間的通訊。為了配置 Catalyst 6509的第三層服務(wù)模塊的 InterVLAN路由，首先要配置VTP，然后在交換機(jī)上創(chuàng)建和配置 VLAN。要在交換機(jī)上配置 VTP和 VLAN，需要在 Catalyst IOS的特權(quán)模式下執(zhí)行如下的任務(wù)：任務(wù) 命令第一步 指明 VTP模式 set vtp mode {server|client|transparent}第二步 創(chuàng)建一個(gè) VTP域 set vtp domain name第三步 創(chuàng)建 VLAN set vlan vlan_num第四步 為 VLAN分配物理端口 set vlan vlan_num mod_num/port_num學(xué)院校園網(wǎng)設(shè)計(jì)方案第 21 頁對(duì)于 Catalyst 6509來講，要將其視為一個(gè)配置了多個(gè)以太網(wǎng)端口的路由器。我們建議的配置方式是將千兆端口捆綁成一個(gè) portchannel。其他還有兩種配置方式可供選擇：一種是將每個(gè)千兆以太端口配置成 Independently Interface ，另一種是將千兆以太端口配置成 Trunk。這兩種方式的共同點(diǎn)是每個(gè)千兆以太端口只屬于一個(gè) VLAN的情況。顯然，這不符合實(shí)際情況，所以，在配置中心交換機(jī)Catalyst 6509時(shí)，按照我們建議按照 portchannel的配置方式進(jìn)行。這種方式的配置過程是，綁定千兆以太端口形成一個(gè)邏輯的 portchannel，在這個(gè) portchannel上啟用 trunk連接，trunk 是路由器與局域網(wǎng)交換機(jī)之間進(jìn)行通訊的邏輯鏈路，然后可以在這個(gè)邏輯的 portchannel下創(chuàng)建若干個(gè)子接口并把每個(gè)子接口配置成封裝 trunk連接，每個(gè)子接口對(duì)應(yīng)一個(gè) VLAN，相應(yīng)的每個(gè)子接口的 IP地址就是每個(gè) VLAN的網(wǎng)關(guān)。 PVLAN的應(yīng)用在一個(gè)已經(jīng)存在的 VLAN里，思科可以使用 privateVLANs為特定的網(wǎng)絡(luò)應(yīng)用提供更好的安全控制。PrivateVLANs 可以限制同一個(gè) VLAN（PirmaryVLAN）的端口之間的訪問。Isolatedports 只能和 promiscuousports通信，Communityports可以和同一個(gè)團(tuán)體的端口和 promiscuousports通信，Promiscuousports 可以和PrimaryVLAN內(nèi)所有端口通信。PrivateVLAN 也可以有效減輕被侵入的影響范圍?；揪W(wǎng)絡(luò)用戶都與接入桌面交換機(jī)連接，在所有桌面用戶的端口上均可以不預(yù)設(shè) VLAN信息。在相關(guān)交換機(jī)上設(shè)置 ，僅當(dāng)用戶通過認(rèn)證之后，交換機(jī)才會(huì)根據(jù)安全服務(wù)器返回的授權(quán)信息設(shè)置該端口的 VLAN屬性，流量學(xué)院校園網(wǎng)設(shè)計(jì)方案第 22 頁限制以及針對(duì)該特定用戶所允許訪問的控制列表信息。在桌面交換機(jī)接入用戶之后，可以向中心安全服務(wù)器發(fā)送 息，當(dāng)中心安全服務(wù)器收集并記入數(shù)據(jù)庫之后，可以通過相關(guān)的記帳軟件輸出用戶的網(wǎng)絡(luò)使用情況并產(chǎn)生帳單。桌面交換機(jī)除了基本的 ，還需要設(shè)置全面的安全保護(hù)特性，其中包括：? 基于 STP協(xié)議的安全保護(hù)，例如 rootguard,portfast等，防止用戶非法成為網(wǎng)絡(luò)的 STP ROOT；? 基于 MAC CAM的安全保護(hù)，實(shí)現(xiàn) portfast功能；? 基于 ARP攻擊的保護(hù)，實(shí)現(xiàn) PVLAN的功能；? 基于 DHCP與 ，利用交換機(jī)關(guān)于 DHCP 82 option的保護(hù)特性，將 DHCP地址池與特定交換機(jī)對(duì)應(yīng)，動(dòng)態(tài)分配 IP地址，網(wǎng)關(guān)以及DNS等信息；? 利用 SSH以及思科專用的集簇管理技術(shù)，實(shí)現(xiàn)針對(duì)大量桌面交換機(jī)的帶內(nèi)管理，并且防止非法的用戶偵聽行為； 網(wǎng)絡(luò)可靠性分析網(wǎng)絡(luò)的設(shè)計(jì)和建設(shè)應(yīng)該充分考慮到網(wǎng)絡(luò)的安全性和穩(wěn)定性，應(yīng)該能保證各種在網(wǎng)數(shù)據(jù)安全、完整，保證各類網(wǎng)絡(luò)應(yīng)用的暢通和穩(wěn)定。對(duì)于單個(gè)的網(wǎng)絡(luò)設(shè)備，要求設(shè)備本身有高可用性，和長期運(yùn)行的穩(wěn)定性。對(duì)于關(guān)鍵的設(shè)備需要支持關(guān)鍵部件的冗余和熱插拔功能。另外還要求關(guān)鍵網(wǎng)絡(luò)設(shè)備必須符合安全性要求，具有能阻擋一般性網(wǎng)絡(luò)攻擊的能力。對(duì)于整個(gè)網(wǎng)絡(luò)的設(shè)計(jì)方面，使用技術(shù)成熟的網(wǎng)絡(luò)設(shè)備和通信技術(shù)，對(duì)于網(wǎng)絡(luò)學(xué)院校園網(wǎng)設(shè)計(jì)方案第 23 頁的重要部分或設(shè)備應(yīng)在網(wǎng)絡(luò)設(shè)計(jì)上考慮冗余和備份。減少單點(diǎn)故障對(duì)整個(gè)網(wǎng)絡(luò)的影響。網(wǎng)絡(luò)在硬件和軟件上考慮防止非法入侵和破壞的能力，主干網(wǎng)要能抑制廣播風(fēng)暴和地址過濾。整個(gè)網(wǎng)絡(luò)要便于統(tǒng)一管理、監(jiān)控和維護(hù)，并能跟蹤、診斷和排除故障。主要網(wǎng)絡(luò)設(shè)備要支持 SNMP和 RMON。大型的校園網(wǎng)絡(luò)，必須依靠各種網(wǎng)管軟件及特別的網(wǎng)管功能，實(shí)現(xiàn)監(jiān)控、故障診斷和排錯(cuò)。特別強(qiáng)調(diào)的是：Catalyst 交換機(jī)中 Remote SPAN功能可以遠(yuǎn)程映射端口流量進(jìn)行分析，方便故障診斷。核心交換機(jī)將來自多臺(tái)分布式主機(jī)和交換機(jī)的流量集中起來，將跨網(wǎng)絡(luò)中多個(gè)交換機(jī)實(shí)現(xiàn)源端口和目的端口之間的網(wǎng)絡(luò)通信流鏡像，以此實(shí)現(xiàn)集中管理和監(jiān)控。這樣在網(wǎng)絡(luò)出現(xiàn)故障的時(shí)候，在核心交換機(jī)的一點(diǎn)上就可以查找到網(wǎng)絡(luò)中的故障設(shè)備和故障端口，不需要進(jìn)行多個(gè)物理點(diǎn)的監(jiān)控檢查，極大降低網(wǎng)絡(luò)管理的成本，提高網(wǎng)絡(luò)使用效率。對(duì)于三層協(xié)議，路由協(xié)議可以負(fù)載均衡、鏈路備份、快速的故障恢復(fù)；對(duì)于二層協(xié)議，可以通過 現(xiàn)負(fù)載均衡、鏈路備份、快速的故障恢復(fù)。對(duì)于三層協(xié)議：通過某些動(dòng)態(tài)路由協(xié)議，如 EIGRP，可以配置相應(yīng)的 Metric值，使兩條鏈路可以同時(shí)工作，當(dāng)某條鏈路壞時(shí)，可以自動(dòng)備份到余下的鏈路上。即實(shí)現(xiàn)了負(fù)載均衡、鏈路備份、快速的故障恢復(fù)。對(duì)于二層協(xié)議：，可以自定義一部分 VLAN以鏈路 1為主鏈路，鏈路 2為備份；對(duì)另一部分 VLAN以鏈路 2為主鏈路，鏈路 1為備份。則實(shí)現(xiàn)了負(fù)載均衡、鏈路備份、快速的故障恢復(fù)。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 24 頁 網(wǎng)絡(luò)可擴(kuò)展性分析 IP地址擴(kuò)展分析根據(jù)經(jīng)典的 TCP/IP協(xié)議， 全球公共網(wǎng)絡(luò)（Inter）設(shè)備和用戶的 IP地址是按照相應(yīng)編址規(guī)則分類的： 地址類型 IP地址 子網(wǎng)掩碼 網(wǎng)段數(shù)量 每段主機(jī)數(shù)量A類地址 126 16,777,214B類地址 16384 65,532C類地址 2097152 254D類地址 網(wǎng)絡(luò)廣播專用地址E類地址 保留地址分解到每個(gè)組織或園區(qū)網(wǎng)絡(luò)的公網(wǎng)地址往往不能滿足其網(wǎng)絡(luò)設(shè)備和用戶的需求。學(xué)校在 IP地址設(shè)計(jì)時(shí)，針對(duì)現(xiàn)有網(wǎng)絡(luò)設(shè)備和用戶規(guī)模，可以根據(jù)表中 IP地址分類特點(diǎn)，選擇私網(wǎng)的 IP地址，通過 NAT再將校園中每個(gè)用戶轉(zhuǎn)換為公網(wǎng)合法地址進(jìn)行訪問。舉例說明網(wǎng)絡(luò)地址的優(yōu)化：如果選擇 C類地址，網(wǎng)段很多而每個(gè)網(wǎng)段的主機(jī)卻很少，就可以考慮將校園網(wǎng)絡(luò)地址改為 B類地址。思科的路由設(shè)備（含高端三層交換機(jī)）支持先進(jìn)的可變長度的子網(wǎng)掩碼技術(shù)（VLSM） ，多數(shù)路由協(xié)議如 OSPF、EIGRP、RIP v2，IS－IS，BGP 都支持此項(xiàng)技術(shù)。傳統(tǒng)路由協(xié)議和設(shè)備在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中，只記錄 IP地址，子網(wǎng)掩碼采用默認(rèn)固定的格式，每個(gè)網(wǎng)段就只能有固定的主機(jī)數(shù)量，如 C類地址默認(rèn)每個(gè)網(wǎng)段就只學(xué)院校園網(wǎng)設(shè)計(jì)方案第 25 頁有 254的主機(jī)。而支持 VLSM的設(shè)備在網(wǎng)絡(luò)數(shù)據(jù)傳輸過程中，除了記錄 IP地址，還附帶子網(wǎng)掩碼的長度，其格式如 ，這個(gè)網(wǎng)段下就可以有 30個(gè)主機(jī)，而 ，這個(gè)網(wǎng)段下就只有 2個(gè)主機(jī)。通過 VLSM，網(wǎng)絡(luò)地址得到進(jìn)一步的優(yōu)化，避免有的網(wǎng)段主機(jī)地址不足，而有的網(wǎng)段地址浪費(fèi)。 IP v6是為解決 Inter網(wǎng)公網(wǎng)地址不足而產(chǎn)生的新一代 IP地址編址規(guī)則，思科中高端交換機(jī)都支持 IP v6，這對(duì)于校園網(wǎng)采用 IP v6進(jìn)行 IP地址擴(kuò)展提供硬件保障，同時(shí)對(duì)于網(wǎng)絡(luò)現(xiàn)在的投資有長遠(yuǎn)的保護(hù)。 網(wǎng)絡(luò)拓?fù)鋽U(kuò)展分析在某學(xué)院校園網(wǎng)設(shè)計(jì)中，網(wǎng)絡(luò)可擴(kuò)展性由以下幾點(diǎn)保證：? 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為樹型結(jié)構(gòu)即兩級(jí)星型結(jié)構(gòu)，具有良好的網(wǎng)絡(luò)規(guī)模擴(kuò)展性。? 網(wǎng)絡(luò)主干交換設(shè)備 Catalyst6509及分中心設(shè)備 Catalyst4506為插槽式模塊化設(shè)備，在滿足現(xiàn)有網(wǎng)絡(luò)需求的基礎(chǔ)上仍有空余插槽，在添加端口模塊、升級(jí)網(wǎng)絡(luò)技術(shù)時(shí)只需更改或增加模塊甚至無需改動(dòng)即可進(jìn)行，具有良好的擴(kuò)展性。由上可見，本網(wǎng)絡(luò)設(shè)計(jì)方案具有很高的可擴(kuò)展性，可以有效地保護(hù)某學(xué)院校園網(wǎng)系統(tǒng)的長期投資除了拓?fù)浣Y(jié)構(gòu)的擴(kuò)展，思科核心交換機(jī) WSC6509目前全面支持萬兆線速交換，在未來校園網(wǎng)更新或升級(jí)為萬兆主干時(shí)，只需要更新交換模塊，原有的模塊仍然可以使用。這種交換容量的擴(kuò)展性是真正對(duì)學(xué)院投資的保護(hù)。學(xué)院校園網(wǎng)設(shè)計(jì)方案第 26 頁3 網(wǎng) 絡(luò) 安 全 性 分 析網(wǎng)絡(luò)安全越來越成為企業(yè)網(wǎng)絡(luò)成功運(yùn)行的關(guān)鍵因素。特別是隨著多協(xié)議新業(yè)務(wù)的發(fā)展、網(wǎng)上教學(xué)、遠(yuǎn)程教育等各種應(yīng)用使教育網(wǎng)絡(luò)不再是一個(gè)封閉的網(wǎng)絡(luò)，網(wǎng)絡(luò)設(shè)計(jì)中必須制定網(wǎng)絡(luò)安全策略，保證內(nèi)部網(wǎng)絡(luò)的完整性和安全性。建議采用 Cisco SAFE（Security Architecture for Enterprise企業(yè)安全體系結(jié)構(gòu)）為某學(xué)院校園網(wǎng)提供整體的、可擴(kuò)展的、高性能的、靈活的安全解決方案。SAFE 采用模塊化的方法根據(jù)用戶需求制定安全的設(shè)計(jì)、實(shí)施和管理。在設(shè)計(jì) SAFE的每個(gè)模塊時(shí)，Cisco 都考慮到一些關(guān)鍵的因素，包括潛在可能的威脅或侵入及相應(yīng)的對(duì)策、性能（不能因?yàn)榘踩刂茙聿豢山邮艿男阅芟陆担?、可擴(kuò)展性、可管理性、服務(wù)質(zhì)量和語音的支持等。我們?yōu)槟硨W(xué)院校園網(wǎng)提出的網(wǎng)絡(luò)安全策略正是基于 SAFE企業(yè)安全體系結(jié)構(gòu)而設(shè)計(jì)，滿足某學(xué)院校園網(wǎng)對(duì)網(wǎng)絡(luò)安全的要求。 網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)系統(tǒng)的安全主要涉及到應(yīng)用系統(tǒng)信息傳輸?shù)陌踩?、信息存?chǔ)的安全、對(duì)信息內(nèi)容的審計(jì)以及鑒別與授權(quán)、用戶訪問控制等。本質(zhì)上，網(wǎng)絡(luò)的安全性就是指系統(tǒng)和信息的安全，一般的系統(tǒng)攻擊能使系統(tǒng)不能正常工作，但不導(dǎo)致數(shù)據(jù)泄密，而信息的安全與否直接關(guān)系數(shù)據(jù)的泄密。下面是一些常規(guī)的網(wǎng)絡(luò)安全解決手段：? 信息傳輸安全（動(dòng)態(tài)