【文章內容簡介】 DR(Classless InterDomain Routing)技術縮減路由表的表項，提高路由器的處理效率； 可擴充性：為一個網絡區(qū)域分配的網絡地址應該具有一定的容量，便于主機數量增加時仍然能夠保持地址的連續(xù)性； 靈活性：地址分配不應該基于某個網絡路由策略的優(yōu)化方案，應該便于多數路由策略在該地址分配方案上實現優(yōu)化； 可管理性：地址的分配應該有層次，某個局部的變動不要影響上層、全局。 安全性：網絡內應按工作內容劃分成不同網段即子網以便進行管理。 校園網地址規(guī)劃方案 校園網IP地址分配總則 校園網IP地址分為三大塊： 校園網內部的私有IP地址，采用RFC中規(guī)定的地址段，不能訪問Internet和Cernet； Cernet分配的多個C類公網IP地址，作為和國際互聯網互連的地址，主要供網絡中心和圖書館、部分實驗室專用； 運營商分配的公網IP地址，用于訪問Internet。 關鍵服務器擁有兩個公網IP，分別跨接在Cernet和Internet上。 校園網內部私網IP地址的分配 內部地址的分配原則是按建筑物進行的，視用戶的數量，1/1/整個C的劃分。為了安全考慮對所有的都采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址、MAC地址與端口綁定。 IP地址的分配 用戶的計算機在連接到校園網上時，首先獲得一個校園網內部的IP地址，此時該計算機只能訪問校園網內部。 用戶需要訪問Cernet和Internet，要使用帳號登陸，認證通過后才能訪問。 校園網路由設計 不使用默認路由，使用策略路由，防止從Internet訪問校園網。 Internet路由設計 采用靜態(tài)默認路由協議訪問Internet 為了實現路由的備份，配置到Internet的兩條默認路由，兩條路由的優(yōu)先級可以相同，可以不同。 如果相同，則兩條線路采取負載分擔方式。 如果不同，則是主備方式，其中優(yōu)先級高的稱為主路由，優(yōu)先級低的為備份路由。這樣，正常情況下，路由器采用主路由發(fā)送數據。當線路發(fā)生故障時，該路由自動隱藏，路由器會選擇余下的優(yōu)先級最高的備份路由作為數據發(fā)送的途徑。這樣，也就實現了主路由到備份路由的切換。當主路由恢復正常時，路由器恢復相應的路由，并重新選擇路由。由于該路由的優(yōu)先級最高，路由器選擇主路由來發(fā)送數據。 采用源地址路由，讓Internet地址訪問Internet； 采用ACL，防止訪問Cernet的流量通過Internet； 采用ACL，防止來自校園網的Internet地址。 安全與流量控制 ?? 對端口ARP檢查防止ARP攻擊； ?? 對端口安全：MAC動態(tài)地址鎖，MAC地址靜態(tài)綁定； ?? 交換設備 BPDU Guard功能，過濾非法BPDU報文，防止STP攻擊交換機； ?? 端口安全：端口靜態(tài)綁定，自動綁定 IP和MAC 地址防止DOS攻擊； ?? 智能安全到邊緣：多種ACL，滿足不同網絡應用，過濾病毒 ?? SSH密文傳輸，限制管理IP等措施保證設備管理可靠； ?? 對網絡病毒的防范：采用設置ACL，對病毒進行過濾； 我們使用的匯聚、核心交換機都支持SPOH，通過端口獨立的FFP進行ACL處理，網絡設備性能不受設置 ACL 數目影響； VLAN需求 默認時，交換機分隔沖突域；路由器分隔廣播域。第2層交換式網絡的最大好處是，它為插入到交換機每個端口的每臺設備創(chuàng)建了各自的沖突域。但每一個新的改進通常都會引起新的問題——用戶和設備的數量越大，每臺交換機必須處理的廣播和數據包就越多。 安全性也是一個問題，因為在典型的第2層交換式互聯網絡的內部，默認時所有用戶都可以看見所有的設備。你不能讓設備停止廣播，也不能讓用戶不響應廣播。連接到物理網絡的任何人都可以訪問位于物理LAN上的網絡資源，用戶只需將其工作站插入到現有的集線器中，就可以加入某個工作組。安全性選項只能限于在服務器和其他設備上設置口令。 通過創(chuàng)建虛擬局域網（VLAN），就可以在一個純交換式的互聯網絡中，分隔廣播域。VLAN是兩個部分的邏輯組合：一是網絡用戶；二是在管理上連接到交換機所定義端口的資源。 如果創(chuàng)建了VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網時，可以將交換機上的不同端口分派到不同的子網中，這樣就可以在第二層交換式互聯網絡中創(chuàng)建一些小的廣播域?？梢韵髮Υ龁为毜淖泳W和廣播域一樣來對待VLAN，這意味著網絡上的廣播域只在同一個VLAN內部的邏輯組的端口之間進行轉發(fā)。 用VLAN來簡化網絡管理的方式有多種： ?? 通過將某個端口配置到合適的VLAN中，就可以實現網絡的添加、移動和改變。 ?? 將對安全性要求高的一組用戶放入VLAN中，這樣，VALN外部的用戶就無法與他們通信。 ?? 作為功能上的邏輯用戶組，可以認為VLAN獨立于它們的物理位置或地理位置。 ?? VLAN可以增強網絡安全性。 ?? VLAN增加了廣播域的數量，同時減少了廣播域的范圍。 使用VLAN具有以下優(yōu)點： 一個VLAN就是一個邏輯廣播域，通過對VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風暴的產生。 通過路由訪問列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網絡的整體性能和安全性。、直觀 對于交換式以太網，如果對某些用戶重新進行網段分配，需要網絡管理員對網絡系統的物理結構重新進行調整，甚至需要追加網絡設備，增大網絡管理的工作量。而對于采用VLAN技術的網絡來說，一個VLAN可以根據部門職能、對象組或者應用將不同地理位置的網絡用戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子網之間移動。利用虛擬網絡技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護費用。在一個交換網絡中，VLAN提供了網段和機構的彈性組合機制。 VLAN劃分設計 VLAN概述： VLAN（Virtual Local Area Network）又稱虛擬局域網，是指在交換局域網的基礎上，采用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個VLAN組成一個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡用戶加入到一個邏輯子網中。 組建VLAN的條件 VLAN是建立在物理網絡基礎上的一種邏輯子網，因此建立VLAN需要相應的支持VLAN技術的網絡設備。當網絡中的不同VLAN間進行相互通信時，需要路由的支持，這時就需要增加路由設備——要實現路由功能，既可采用路由器，也可采用三層交換機來完成。 劃分VLAN的基本策略 從技術角度講，VLAN的劃分可依據不同原則，一般有以下三種劃分方法： 這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。 MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是惟一且固化在網卡上的。MAC地址由12位16進制數表示，前8位為廠商標識，后4位為網卡標識。網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。 路由協議工作在網絡層，相應的工作設備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。 就目前來說，對于VLAN的劃分主要采取上述第3種方式，第2種方式為輔助性的方案。 具體方案一：（見圖6） 1．將一個班同學的寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN。 理由：高校的學生通過網絡交換的信息量日益增大，特別是一個班的同學，住在一個寢室的同學不一定就是一個班的，將一個班的同學劃為同一個VLAN便于信息的傳遞。 2．將每個老師的寢室劃為一個VLAN。 理由：每個老師的計算機里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個網。并且學生宿舍和教師宿舍不能互相訪問。 3．將教學樓的所有教室劃為一個VLAN。 理由：上課的教室不固定，每個教室需要共享一些信息。 4．將實驗樓劃為一個大VLAN，再將每個實驗室劃為一個小VLAN。 理由：方便同學和老師做一些教學實驗，實驗室會進行一些專項課題研究，一個實驗室同一個VLAN安全性更高。 5．將辦公樓劃為一個大VLAN，再將每個部門劃為一個小VLAN。 理由：方便每個部門管理，鑒于每個的不同性質，更要提高安全性。 6．劃分方法采用基于端口的劃分。 理由：高校學生的流動性大，例如換寢室，畢業(yè)等，而導致的學生的人數和班級的變動?；诙丝诘膭澐?，相對來說容易設置和監(jiān)控，只需要將端口配置的VLAN重新分配。 備注：將每個小VLAN里的其中一臺交換機設為VTP SERVER，其余的為VTP CLIENT。工作在VTP服務器模式下的服務器將使用VTP共享VALN信息。在VTP SERVER上進行VLAN的創(chuàng)建、添加、刪除或修改操作。每個大VLAN的劃分由上一層交換機完成。 簡易拓撲圖： 圖 6 VLAN拓撲圖 具體方案二：（見圖7） 1．將一個寢室劃為同一個VLAN，再將一棟宿舍樓劃為一個大VLAN。 理由：一個寢室的同學公用一個端口，可以節(jié)約成本。一個寢室的同學在一個網內可以共享一些資源，更方便的進行信息交流，安全性也更高。 2．將每個老師的寢室劃為一個VLAN。 理由：每個老師的計算機里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個網。并且學生宿舍和教師宿舍不能互相訪問。 3．將教學樓的所有教室劃為一個VLAN。 理由：上課的教室不固定，每個教室需要共享一些信息。 4．將實驗樓劃為一個大VLAN，再將每個實驗室劃為一個小VLAN。 理由：方便同學和老師做一些教學實驗，實驗室會進行一些專項課題研究，一個實驗室同一個VLAN安全性更高。 5．將辦公樓劃為一個大VLAN，再將每個部門劃為一個小VLAN。 理由：方便每個部門管理，鑒于每個的不同性質，更要提高安全性。 6．劃分方法采用基于端口的劃分。 理由：高校學生的流動性大，例如換寢室，畢業(yè)等，而導致的學生的人數和班級的變動?；诙丝诘膭澐?，相對來說容易設置和監(jiān)控，只需要將端口配置的VLAN重新分配。 備注：將每個小VLAN里的其中一臺交換機設為VTP SERVER，其余的為VTP CLIENT。工作在VTP服務器模式下的服務器將使用VTP共享VALN信息。在VTP SERVER上進行VLAN的創(chuàng)建、添加、刪除或修改操作。每個大VLAN的劃分由上一層交換機完成。 簡易拓撲圖： 圖 7 VLAN拓撲圖 ： 校園網作為學校師生及管理人員所依托的重要資源，也是學校辦學的一種重要基礎設施，為學校師生及科研人員提供網絡下載、視頻點播、網絡聊天、專項課題研究、網絡化教學、辦公自動化、計算機管理、資源共享及信息交流等全方位的服務。，學校要求網絡具有高性能、高可用性和高安全性。學校規(guī)模在不斷擴大中，用戶數在持續(xù)增加，要求網絡具有很好的擴展性。 現在的應用流量主要由三種類型的數據構成： ? 各種對傳送時間非常敏感的數據，其中包括各類話音、視頻和音頻流量，例如跨越Internet進行傳輸的音頻流量以及通過局域網基礎網絡實現互聯的電話系統等 ? 各種關鍵性的業(yè)務數據，其中包括各種數據庫事物處理流量以及在線交易過程數據等 ? 各種突發(fā)性的數據流量，包括電子郵件、文件傳輸協議（FTP）以及Web瀏覽等 當以上這些不同類型的流量以同樣的身份爭用網絡中有限的帶寬的時候，網絡將會很快地過載，進而導致網絡對用戶請求的響應時間變得非常漫長以及應用請求的超時，并且使用戶變得焦躁煩惱。隨著學校逐漸在網絡之上加載越來越多類型的不同應用，這種因應用爭用帶寬而引起的瓶頸現象將會變得越來越嚴重。網絡管理員需要的是能夠提供更高帶寬以及對應用數據進行更好地控制的解決方案。 解決方案： 憑借著其增加了全新的智能與控制功能的銳捷68系列交換機產品，賦予了校園網利用網絡控制網絡中應用的能力，并消除了應用控制網絡的現象。通過為校園用戶構建起一個具備服務質量（QoS，Quality of Services）特性的網絡，網絡管理員將有能力使其網絡變得更加智能。通過對應用流量進行分類、標記以及為其分配不同的流量優(yōu)先級別，一個具備QoS屬性的網絡系統將會給網絡管理員帶來控制其數據流量的能力。銳捷公司功能豐富、性能極高的銳捷68系列交換機能夠在數據流經交換機各端口時保持其優(yōu)先級別屬性，從而實現了優(yōu)異的QoS特性。作為銳捷公司的專業(yè)網絡管理工具，銳捷68系列為用戶實現了易于使用的軟件界面，從而簡化了為流量數據分配優(yōu)先級別的過程，賦予了管理員對于應用流量的絕對控制能力。 ?? 服務質量（QoS）與銳捷68系列交換機 利用內置于銳捷68系列交換機中的服務質量特性，用戶能夠對通過網絡進行傳輸的應用流量優(yōu)先級進行控制，消除網絡中的瓶頸現象。銳捷公司的銳捷 銳捷68系列交換機能夠根據加載于其上的流量優(yōu)先級別辨識出不同類型的應用流量，進而實現對關鍵性數據的更快轉發(fā)。 為了進一步提高數據包的傳遞效率，銳捷基于已有交換機的第二、第三和第四層技術，賦予了產品辨識、標記數據并為不同的數據流量賦予不同的優(yōu)先級別的能力。在銳捷 銳捷68系列交換機上得到進一步改進的應用分類功能包括： ? 在第二層技術方面，加入了對IEEE ，從而在交換機上實現了簡單的流量優(yōu)先級劃分。 ? 在第三層技術方面，加入了對差別化業(yè)務編碼點（Differential Services Code Point，DSCP）技術的支持。該技術可以支持對業(yè)務級別高達64種的劃分。 ? 在第四層技術方面，交換機可以對數據流量的目的IP地址與TCP/IP端口號的組合進行分析，并利用這一分析結果將HTTP流量與FTP流量或POP3郵件流量區(qū)分開，或者為了實現更高的Internet訪問速度將用戶的Web流量重新引導至一臺Web緩存服務器上。 從接入層交換機