【文章內(nèi)容簡(jiǎn)介】 于擴(kuò)展和/或代替原來(lái)的技術(shù)。實(shí)驗(yàn)室局域網(wǎng)的設(shè)計(jì)可以借鑒這種思想，對(duì)各種不同種類，不同安全等級(jí)的業(yè)務(wù)進(jìn)行模塊劃分，相互之間的訪問(wèn)將受到控制。對(duì)于實(shí)驗(yàn)室局域網(wǎng)絡(luò)，我們采用業(yè)界通用“核心層匯聚層接入層”層次化網(wǎng)絡(luò)設(shè)計(jì)模型。216。 核心層：核心層的主要提供不同網(wǎng)絡(luò)模塊之間優(yōu)化傳輸服務(wù)，將分組盡可能快地從一個(gè)網(wǎng)絡(luò)傳到另一個(gè)網(wǎng)絡(luò)，通常要保證核心層具有很高的可靠性、最佳的網(wǎng)絡(luò)性能。匯聚層到核心層要具備冗余傳輸鏈路，任何單條鏈路斷連不影響網(wǎng)絡(luò)的可用性。作為所有網(wǎng)絡(luò)流量的傳輸中樞，核心層除了要求高性能交換設(shè)備和高帶寬傳輸鏈路外，還需考慮選用支持負(fù)載均衡或負(fù)載分擔(dān)特性的設(shè)備實(shí)現(xiàn)負(fù)荷均衡。此外，為了避免網(wǎng)元故障對(duì)網(wǎng)絡(luò)造成沖擊，需要網(wǎng)絡(luò)采用支持快速聚合的特性，一旦主用通路斷開(kāi)，可以很快的切換到備用通路。216。 匯聚層匯聚層顧名思義就是作為訪問(wèn)層到骨干層的匯聚，通常為訪問(wèn)層與骨干層實(shí)現(xiàn)基于策略的網(wǎng)絡(luò)間連接。匯聚層主要由三層交換機(jī)組成，提供對(duì)網(wǎng)絡(luò)流量模式控制、服務(wù)訪問(wèn)控制、QoS、定義路由路徑度量和路由協(xié)議網(wǎng)絡(luò)通告控制。216。 接入層接入層作為各模塊到交換骨干的連接，根據(jù)不同模塊進(jìn)行邏輯子網(wǎng)劃分，并通過(guò) VLAN技術(shù)實(shí)現(xiàn)子網(wǎng)之間的隔離。訪問(wèn)層主要功能在于隔離模塊間的廣播流量，避免不同模塊之間相互影響。訪問(wèn)層主要通過(guò)二層交換機(jī)組成?！昂诵膶訁R聚層訪問(wèn)層”網(wǎng)絡(luò)設(shè)計(jì)模型有如下優(yōu)點(diǎn)： u 高可擴(kuò)展性 － 遵循層次化模型網(wǎng)絡(luò)比扁平式網(wǎng)絡(luò)更具有伸縮性和可管理性，因?yàn)楦鞴δ芫W(wǎng)絡(luò)通過(guò)模塊化實(shí)現(xiàn)，潛在問(wèn)題更易于識(shí)別。 u 易于實(shí)施 － 每一層的功能性清晰劃分，簡(jiǎn)化每一層的實(shí)現(xiàn)。 u 易于故障排除 － 每一層的功能經(jīng)過(guò)良好定義，網(wǎng)絡(luò)更為簡(jiǎn)單，有助于故障的隔離。模塊化設(shè)計(jì)也有效限制故障影響范圍。 u 易于規(guī)劃和管理 － 層次化的功能劃分，整個(gè)網(wǎng)絡(luò)規(guī)劃和管理更為簡(jiǎn)單。 網(wǎng)絡(luò)拓?fù)鋱D第 32 頁(yè) 方案的說(shuō)明實(shí)驗(yàn)室局域網(wǎng)絡(luò)系統(tǒng)從結(jié)構(gòu)上分為核心層、匯聚層和接入層。核心層的功能主要是實(shí)現(xiàn)骨干網(wǎng)絡(luò)之間的優(yōu)化傳輸,骨干層設(shè)計(jì)任務(wù)的重點(diǎn)通常是冗余能力、可靠性和高速的傳輸。因存在大量的語(yǔ)音和視頻傳輸。據(jù)此，考慮匯聚層對(duì) QoS 有良好的支持并且能提供大的帶寬。接入層設(shè)備是最終用戶的最直接上聯(lián)的設(shè)備，它應(yīng)該具備即插即用特性以及易于維護(hù)的特點(diǎn)。根據(jù)學(xué)校建設(shè)要求與總體目標(biāo)，骨干網(wǎng)采用三層結(jié)構(gòu)，由核心層，匯聚層和接入層構(gòu)成。在接入層面，通過(guò)定義相應(yīng)的訪問(wèn)策略，實(shí)現(xiàn)訪問(wèn)控制，內(nèi)外隔離和抭 IP 地址。在網(wǎng)絡(luò)結(jié)構(gòu)上，采用成熟的千兆以太網(wǎng)技術(shù)(第三層交換)作為核心層，呈網(wǎng)狀拓?fù)浣Y(jié)構(gòu)。以 TCP/IP 協(xié)議為主，并輔以 IP/SPX. NETTEUI 等其他流行通信協(xié)議堅(jiān)持開(kāi)放性和標(biāo)準(zhǔn)化，采用標(biāo)準(zhǔn)的通訊規(guī)程，以有利于不同廠家之間的互連，使不同系統(tǒng)間易于集成，兼顧其他標(biāo)準(zhǔn)的網(wǎng)絡(luò)體系結(jié)構(gòu)，網(wǎng)絡(luò)能實(shí)現(xiàn)協(xié)議之間無(wú)縫連接。而公用服務(wù)器與每一臺(tái)核心層交換機(jī)都應(yīng)該具備連接。在網(wǎng)絡(luò)硬件上采用高性能、高可靠的設(shè)備，此產(chǎn)品是具有運(yùn)營(yíng)商級(jí)容錯(cuò)能力的高性能大型網(wǎng)絡(luò)核心交換機(jī)，可實(shí)現(xiàn)冗余備份，從而提高核心層的可靠性。 整個(gè)網(wǎng)絡(luò)通過(guò)匯聚層交換機(jī) RGS6806E 和核心交換機(jī) RGS6810E 之間的鏈路冗余備份和負(fù)載均衡提供安全可靠的網(wǎng)絡(luò)構(gòu)架（使用 OSPF、ECMP、WCMP 等技術(shù)），其安全保障技術(shù)提供一個(gè)全網(wǎng)概念的整體網(wǎng)絡(luò)安全，而通過(guò)簡(jiǎn)單地增加萬(wàn)兆模塊可以平滑升級(jí)到萬(wàn)兆骨干的實(shí)驗(yàn)室局域網(wǎng)。中國(guó)礦業(yè)大學(xué)南湖校區(qū)校園網(wǎng)一期拓?fù)鋱D 中國(guó)礦業(yè)大學(xué)南湖校區(qū)校園網(wǎng)二期拓?fù)鋱D IP地址劃分 IP地址及VLAN劃分原則178。 簡(jiǎn)單性：地址的分配應(yīng)該簡(jiǎn)單，避免在主干上采用復(fù)雜的掩碼方式； 178。 連續(xù)性：為同一個(gè)網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于采用路由收斂(Summarization)CIDR(Classless InterDomain Routing)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率； 178。 可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； 178。 靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化； 178。 可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。 178。 安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。 IP地址及VLAN劃分VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。組建 VLAN 的條件 VLAN 是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立 VLAN 需要相應(yīng)的支持 VLAN 技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同 VLAN 間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來(lái)完成。根據(jù)我校計(jì)算機(jī)實(shí)驗(yàn)室的實(shí)際情況，我們對(duì)各個(gè)機(jī)房的IP地址劃分及VLAN劃分如下：14機(jī)房： ， vlan158機(jī)房： ， vlan2910機(jī)房： ， vlan31112機(jī)房：， vlan41314機(jī)房：， vlan51516機(jī)房：， vlan61718機(jī)房：， vlan71920機(jī)房：， vlan82122機(jī)房：， vlan92324機(jī)房：， vlan102526機(jī)房：， vlan112728機(jī)房：， vlan122930機(jī)房：， vlan133132機(jī)房：， vlan143334機(jī)房：, vlan153536機(jī)房：, vlan16 NAT的實(shí)現(xiàn)NAT，網(wǎng)絡(luò)地址轉(zhuǎn)換，是通過(guò)將專用網(wǎng)絡(luò)地址轉(zhuǎn)換為公用地址（如互聯(lián)網(wǎng)Internet），從而對(duì)外隱藏了內(nèi)部管理的 IP 地址。這樣，通過(guò)在內(nèi)部使用非注冊(cè)的 IP 地址，并將它們轉(zhuǎn)換為一小部分外部注冊(cè)的 IP 地址，從而減少了IP 地址注冊(cè)的費(fèi)用以及節(jié)省了目前越來(lái)越缺乏的地址空間（即IPV4）。同時(shí)，這也隱藏了內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，從而降低了內(nèi)部網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。NAT網(wǎng)絡(luò)地址轉(zhuǎn)換的3種實(shí)現(xiàn)方式：靜態(tài)NAT（一對(duì)一）動(dòng)態(tài)NAT（多對(duì)多）端口多路復(fù)用PAT（多對(duì)一）本網(wǎng)絡(luò)沒(méi)有考慮NAT的具體實(shí)現(xiàn)。、訪問(wèn)列表的實(shí)現(xiàn)路由器和交換機(jī)所保持的列表用來(lái)針對(duì)一些進(jìn)出路由器或交換機(jī)的服務(wù)（如組織某個(gè)IP地址的分組從路由器或交換機(jī)的特定端口出發(fā)）做訪問(wèn)控制。在本網(wǎng)絡(luò)拓?fù)渲?，使用訪問(wèn)列表用來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全。用來(lái)實(shí)現(xiàn)相當(dāng)于防火墻的功能。允許內(nèi)網(wǎng)的用戶去訪問(wèn)外網(wǎng)，而外網(wǎng)的用戶則是除了能訪問(wèn)服務(wù)器或是通過(guò)VPN連接進(jìn)來(lái)外，其他的訪問(wèn)都是被阻止的。 我們選取其中一個(gè)機(jī)房作為示例，下圖為實(shí)驗(yàn)室的三層網(wǎng)絡(luò)結(jié)構(gòu)模型：匯聚層交換機(jī)的選擇： RG－S6806E 要求匯聚層交換機(jī)支持廣播、組播功能。信號(hào)從核心交換機(jī)出來(lái)，在匯聚層就進(jìn)行組播，可以減輕網(wǎng)絡(luò)的負(fù)擔(dān)。接入層交換機(jī)的選擇：STARS2126G/STARS2150G 交換機(jī) RGS6800E 系列多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)提供 ，并支持將來(lái)擴(kuò)展到 ，高達(dá) 572Mpps/286Mpps 的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無(wú)阻塞的數(shù)據(jù)交換，強(qiáng)大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機(jī)配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干和大流量節(jié)點(diǎn)交換機(jī)的理想選擇。 RGS6800E 交換機(jī)通過(guò) 擴(kuò)展高性能的 多業(yè)務(wù)卡支 持策略路由、 IPV MPLS 、load balancing、NAT、VPN、Firewall、web cache redirect 等業(yè)務(wù)功能，滿足客戶環(huán)境靈活而復(fù)雜的不同應(yīng)用需求。 豐富的應(yīng)用支持技術(shù)（QOS、組播） RGS6800E 提供多種流分類技術(shù)和多種 QOS 技術(shù)，包括 SP、WRR、WFQ、WRED、CAR、HOL 等，為各種應(yīng)用的帶寬保障提供需要的支持技術(shù)。 流分類：可以依據(jù)數(shù)據(jù)流的源/目的 MAC 地址、源/目的三層 IP 地址、三層協(xié)議（IP/IPX）、四層協(xié)議（UDP/TCP）、源/目的四層協(xié)議端口號(hào)、COS、TOS 對(duì)數(shù)據(jù)流進(jìn)行區(qū)分，實(shí)現(xiàn) 2/3/4層的流分類功能。 216。 數(shù)據(jù)標(biāo)記： 是二層協(xié)議，可以為數(shù)據(jù)提供 8 個(gè)級(jí)別的優(yōu)先級(jí)標(biāo)記；DSCP 在三層的 IP 協(xié)議報(bào)文里進(jìn)行優(yōu)先級(jí)標(biāo)記，可以提供 64 個(gè)級(jí)別的優(yōu)先標(biāo)記。 216。 隊(duì)列調(diào)度：嚴(yán)格優(yōu)先級(jí)隊(duì)列 SP 保證高優(yōu)先級(jí)業(yè)務(wù)總是在低優(yōu)先級(jí)業(yè)務(wù)之前處理；WRR是一種加權(quán)循環(huán)隊(duì)列調(diào)度機(jī)制，首先處理高優(yōu)先級(jí)，但在處理高優(yōu)先級(jí)業(yè)務(wù)時(shí)，較低優(yōu)先級(jí)的業(yè)務(wù)并沒(méi)有被完全阻塞，而是按一定的比例同時(shí)進(jìn)行。WFQ 是加權(quán)公平隊(duì)列，對(duì)所有的數(shù)據(jù)流進(jìn)行排隊(duì)，監(jiān)控吞吐率，并根據(jù)發(fā)送的信息量分配權(quán)值。WFQ 試圖公平地為每個(gè)對(duì)話分配帶寬，保證低帶寬應(yīng)用可以獲得對(duì)接口的訪問(wèn)權(quán)，而不會(huì)被高帶寬應(yīng)用全部占用。 216。 擁塞控制：WRED 加權(quán)隨機(jī)早期檢測(cè)協(xié)議，可以設(shè)置各個(gè)數(shù)據(jù)流在擁塞發(fā)生之前自動(dòng)丟失數(shù)據(jù)的閥值，避免較高優(yōu)先級(jí)應(yīng)用的擁塞丟失。HOL 通過(guò)消除 HOL 阻塞確保最高可能的吞吐量；最大限度地減少包丟失，減少多路傳輸和廣播流量擁塞。 216。 承諾信息速率：CAR 可以為重要的數(shù)據(jù)流設(shè)定固定的帶寬，如果設(shè)定的帶寬合理，滿足該數(shù)據(jù)流的需求，就可以保證重要數(shù)據(jù)流的正常轉(zhuǎn)發(fā)。 提供多種組播支持技術(shù)，包括 IGMP snooping、IGMP、PIM（SSM、SM、DM），DVMRP，保證了網(wǎng)絡(luò)中提供組播服務(wù)時(shí)的帶寬合理占用。 STARS2126G/STARS2150G 是一款全線速可堆疊千兆智能交換機(jī)，提供智能的流分類和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，并可以實(shí)施靈活多樣的 ACL 訪問(wèn)控制?？赏ㄟ^(guò) SNMP、Telnet、Web 和 Console 口等多種方式提供豐富的管理。 路由選擇與配置 RGS6800E新一代多業(yè)務(wù)萬(wàn)兆核心路由交換機(jī)系。 網(wǎng)絡(luò)安全設(shè)計(jì)與管理１．網(wǎng)絡(luò)的基本安全需求　　滿足基本的安全要求，是該網(wǎng)絡(luò)成功運(yùn)行的必要條件，在此基礎(chǔ)上提供強(qiáng)有力的安全保障，是網(wǎng)絡(luò)系統(tǒng)安全的重要原則。網(wǎng)絡(luò)內(nèi)部部署了眾多的網(wǎng)絡(luò)設(shè)備、服務(wù)器，保護(hù)這些設(shè)備的正常運(yùn)行，維護(hù)主要業(yè)務(wù)系統(tǒng)的安全，是網(wǎng)絡(luò)的基本安全需求。對(duì)于各種各樣的網(wǎng)絡(luò)攻擊，如何在提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段。網(wǎng)絡(luò)基本安全要求主要表現(xiàn)為：　　★ 網(wǎng)絡(luò)正常運(yùn)行。在受到攻擊的情況下，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行?！　　?網(wǎng)絡(luò)管理/網(wǎng)絡(luò)部署的資料不被竊取?！　　?具備先進(jìn)的入侵檢測(cè)及跟蹤體系?！　　?提供靈活而高效的內(nèi)外通訊服務(wù)。 ２．應(yīng)用系統(tǒng)的安全需求　　與普通網(wǎng)絡(luò)應(yīng)用不同的是，應(yīng)用系統(tǒng)是網(wǎng)絡(luò)功能的核心。對(duì)于應(yīng)用系統(tǒng)應(yīng)該具有最高的網(wǎng)絡(luò)安全措施。應(yīng)用系統(tǒng)的安全體系應(yīng)包含：　　★ 訪問(wèn)控制，通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前；　　★ 檢查安全漏洞，通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效；　　★ 攻擊監(jiān)控，通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）；　　★ 加密通訊，主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息；　　★ 認(rèn)證，良好的認(rèn)證體系可防止攻擊者假冒合法用戶；　　★ 備份和恢復(fù)，良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)；　　★ 多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)；　　★ 隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況；　　★ 設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，維護(hù)及緊急情況服務(wù) ３．平臺(tái)安全的需求　　網(wǎng)絡(luò)平臺(tái)將支持多種應(yīng)用系統(tǒng)，對(duì)于每種系統(tǒng)均在不同程度上要求充分考慮平臺(tái)安全。● 平臺(tái)安全與平臺(tái)性能和功能的關(guān)系　　通常，系統(tǒng)安全與性能和功能是一對(duì)矛盾的關(guān)系。如果某個(gè)系統(tǒng)不向外界提供任何服務(wù)（斷開(kāi))，外界是不可能構(gòu)成安全威脅的。但是，若要提供更多的服務(wù)，將網(wǎng)絡(luò)建成了一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境，各種安全包