【文章內(nèi)容簡(jiǎn)介】 DR(Classless InterDomain Routing)技術(shù)縮減路由表的表項(xiàng)，提高路由器的處理效率； 可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)數(shù)量增加時(shí)仍然能夠保持地址的連續(xù)性； 靈活性：地址分配不應(yīng)該基于某個(gè)網(wǎng)絡(luò)路由策略的優(yōu)化方案，應(yīng)該便于多數(shù)路由策略在該地址分配方案上實(shí)現(xiàn)優(yōu)化； 可管理性：地址的分配應(yīng)該有層次，某個(gè)局部的變動(dòng)不要影響上層、全局。 安全性：網(wǎng)絡(luò)內(nèi)應(yīng)按工作內(nèi)容劃分成不同網(wǎng)段即子網(wǎng)以便進(jìn)行管理。 校園網(wǎng)地址規(guī)劃方案 校園網(wǎng)IP地址分配總則 校園網(wǎng)IP地址分為三大塊： 校園網(wǎng)內(nèi)部的私有IP地址，采用RFC中規(guī)定的地址段，不能訪問(wèn)Internet和Cernet； Cernet分配的多個(gè)C類(lèi)公網(wǎng)IP地址，作為和國(guó)際互聯(lián)網(wǎng)互連的地址，主要供網(wǎng)絡(luò)中心和圖書(shū)館、部分實(shí)驗(yàn)室專(zhuān)用； 運(yùn)營(yíng)商分配的公網(wǎng)IP地址，用于訪問(wèn)Internet。 關(guān)鍵服務(wù)器擁有兩個(gè)公網(wǎng)IP，分別跨接在Cernet和Internet上。 校園網(wǎng)內(nèi)部私網(wǎng)IP地址的分配 內(nèi)部地址的分配原則是按建筑物進(jìn)行的，視用戶的數(shù)量，1/1/整個(gè)C的劃分。為了安全考慮對(duì)所有的都采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址、MAC地址與端口綁定。 IP地址的分配 用戶的計(jì)算機(jī)在連接到校園網(wǎng)上時(shí)，首先獲得一個(gè)校園網(wǎng)內(nèi)部的IP地址，此時(shí)該計(jì)算機(jī)只能訪問(wèn)校園網(wǎng)內(nèi)部。 用戶需要訪問(wèn)Cernet和Internet，要使用帳號(hào)登陸，認(rèn)證通過(guò)后才能訪問(wèn)。 校園網(wǎng)路由設(shè)計(jì) 不使用默認(rèn)路由，使用策略路由，防止從Internet訪問(wèn)校園網(wǎng)。 Internet路由設(shè)計(jì) 采用靜態(tài)默認(rèn)路由協(xié)議訪問(wèn)Internet 為了實(shí)現(xiàn)路由的備份，配置到Internet的兩條默認(rèn)路由，兩條路由的優(yōu)先級(jí)可以相同，可以不同。 如果相同，則兩條線路采取負(fù)載分擔(dān)方式。 如果不同，則是主備方式，其中優(yōu)先級(jí)高的稱為主路由，優(yōu)先級(jí)低的為備份路由。這樣，正常情況下，路由器采用主路由發(fā)送數(shù)據(jù)。當(dāng)線路發(fā)生故障時(shí)，該路由自動(dòng)隱藏，路由器會(huì)選擇余下的優(yōu)先級(jí)最高的備份路由作為數(shù)據(jù)發(fā)送的途徑。這樣，也就實(shí)現(xiàn)了主路由到備份路由的切換。當(dāng)主路由恢復(fù)正常時(shí)，路由器恢復(fù)相應(yīng)的路由，并重新選擇路由。由于該路由的優(yōu)先級(jí)最高，路由器選擇主路由來(lái)發(fā)送數(shù)據(jù)。 采用源地址路由，讓Internet地址訪問(wèn)Internet； 采用ACL，防止訪問(wèn)Cernet的流量通過(guò)Internet； 采用ACL，防止來(lái)自校園網(wǎng)的Internet地址。 安全與流量控制 ?? 對(duì)端口ARP檢查防止ARP攻擊； ?? 對(duì)端口安全：MAC動(dòng)態(tài)地址鎖，MAC地址靜態(tài)綁定； ?? 交換設(shè)備 BPDU Guard功能，過(guò)濾非法BPDU報(bào)文，防止STP攻擊交換機(jī)； ?? 端口安全：端口靜態(tài)綁定，自動(dòng)綁定 IP和MAC 地址防止DOS攻擊； ?? 智能安全到邊緣：多種ACL，滿足不同網(wǎng)絡(luò)應(yīng)用，過(guò)濾病毒 ?? SSH密文傳輸，限制管理IP等措施保證設(shè)備管理可靠； ?? 對(duì)網(wǎng)絡(luò)病毒的防范：采用設(shè)置ACL，對(duì)病毒進(jìn)行過(guò)濾； 我們使用的匯聚、核心交換機(jī)都支持SPOH，通過(guò)端口獨(dú)立的FFP進(jìn)行ACL處理，網(wǎng)絡(luò)設(shè)備性能不受設(shè)置 ACL 數(shù)目影響； VLAN需求 默認(rèn)時(shí)，交換機(jī)分隔沖突域；路由器分隔廣播域。第2層交換式網(wǎng)絡(luò)的最大好處是，它為插入到交換機(jī)每個(gè)端口的每臺(tái)設(shè)備創(chuàng)建了各自的沖突域。但每一個(gè)新的改進(jìn)通常都會(huì)引起新的問(wèn)題——用戶和設(shè)備的數(shù)量越大，每臺(tái)交換機(jī)必須處理的廣播和數(shù)據(jù)包就越多。 安全性也是一個(gè)問(wèn)題，因?yàn)樵诘湫偷牡?層交換式互聯(lián)網(wǎng)絡(luò)的內(nèi)部，默認(rèn)時(shí)所有用戶都可以看見(jiàn)所有的設(shè)備。你不能讓設(shè)備停止廣播，也不能讓用戶不響應(yīng)廣播。連接到物理網(wǎng)絡(luò)的任何人都可以訪問(wèn)位于物理LAN上的網(wǎng)絡(luò)資源，用戶只需將其工作站插入到現(xiàn)有的集線器中，就可以加入某個(gè)工作組。安全性選項(xiàng)只能限于在服務(wù)器和其他設(shè)備上設(shè)置口令。 通過(guò)創(chuàng)建虛擬局域網(wǎng)（VLAN），就可以在一個(gè)純交換式的互聯(lián)網(wǎng)絡(luò)中，分隔廣播域。VLAN是兩個(gè)部分的邏輯組合：一是網(wǎng)絡(luò)用戶；二是在管理上連接到交換機(jī)所定義端口的資源。 如果創(chuàng)建了VLAN，情況就可以大大改善。在虛擬創(chuàng)建局域網(wǎng)時(shí)，可以將交換機(jī)上的不同端口分派到不同的子網(wǎng)中，這樣就可以在第二層交換式互聯(lián)網(wǎng)絡(luò)中創(chuàng)建一些小的廣播域?？梢韵髮?duì)待單獨(dú)的子網(wǎng)和廣播域一樣來(lái)對(duì)待VLAN，這意味著網(wǎng)絡(luò)上的廣播域只在同一個(gè)VLAN內(nèi)部的邏輯組的端口之間進(jìn)行轉(zhuǎn)發(fā)。 用VLAN來(lái)簡(jiǎn)化網(wǎng)絡(luò)管理的方式有多種： ?? 通過(guò)將某個(gè)端口配置到合適的VLAN中，就可以實(shí)現(xiàn)網(wǎng)絡(luò)的添加、移動(dòng)和改變。 ?? 將對(duì)安全性要求高的一組用戶放入VLAN中，這樣，VALN外部的用戶就無(wú)法與他們通信。 ?? 作為功能上的邏輯用戶組，可以認(rèn)為VLAN獨(dú)立于它們的物理位置或地理位置。 ?? VLAN可以增強(qiáng)網(wǎng)絡(luò)安全性。 ?? VLAN增加了廣播域的數(shù)量，同時(shí)減少了廣播域的范圍。 使用VLAN具有以下優(yōu)點(diǎn)： 一個(gè)VLAN就是一個(gè)邏輯廣播域，通過(guò)對(duì)VLAN的創(chuàng)建，隔離了廣播，縮小了廣播范圍，可以控制廣播風(fēng)暴的產(chǎn)生。 通過(guò)路由訪問(wèn)列表和MAC地址分配等VLAN劃分原則，可以控制用戶訪問(wèn)權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。、直觀 對(duì)于交換式以太網(wǎng)，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用VLAN技術(shù)的網(wǎng)絡(luò)來(lái)說(shuō)，一個(gè)VLAN可以根據(jù)部門(mén)職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù)費(fèi)用。在一個(gè)交換網(wǎng)絡(luò)中，VLAN提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。 VLAN劃分設(shè)計(jì) VLAN概述： VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè)VLAN組成一個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個(gè)邏輯子網(wǎng)中。 組建VLAN的條件 VLAN是建立在物理網(wǎng)絡(luò)基礎(chǔ)上的一種邏輯子網(wǎng)，因此建立VLAN需要相應(yīng)的支持VLAN技術(shù)的網(wǎng)絡(luò)設(shè)備。當(dāng)網(wǎng)絡(luò)中的不同VLAN間進(jìn)行相互通信時(shí)，需要路由的支持，這時(shí)就需要增加路由設(shè)備——要實(shí)現(xiàn)路由功能，既可采用路由器，也可采用三層交換機(jī)來(lái)完成。 劃分VLAN的基本策略 從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法： 這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。該方法只需網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)設(shè)備的交換端口進(jìn)行重新分配即可，不用考慮該端口所連接的設(shè)備。 MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。MAC地址由12位16進(jìn)制數(shù)表示，前8位為廠商標(biāo)識(shí)，后4位為網(wǎng)卡標(biāo)識(shí)。網(wǎng)絡(luò)管理員可按MAC地址把一些站點(diǎn)劃分為一個(gè)邏輯子網(wǎng)。 路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。該方式允許一個(gè)VLAN跨越多個(gè)交換機(jī)，或一個(gè)端口位于多個(gè)VLAN中。 就目前來(lái)說(shuō)，對(duì)于VLAN的劃分主要采取上述第3種方式，第2種方式為輔助性的方案。 具體方案一：（見(jiàn)圖6） 1．將一個(gè)班同學(xué)的寢室劃為同一個(gè)VLAN，再將一棟宿舍樓劃為一個(gè)大VLAN。 理由：高校的學(xué)生通過(guò)網(wǎng)絡(luò)交換的信息量日益增大，特別是一個(gè)班的同學(xué)，住在一個(gè)寢室的同學(xué)不一定就是一個(gè)班的，將一個(gè)班的同學(xué)劃為同一個(gè)VLAN便于信息的傳遞。 2．將每個(gè)老師的寢室劃為一個(gè)VLAN。 理由：每個(gè)老師的計(jì)算機(jī)里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個(gè)網(wǎng)。并且學(xué)生宿舍和教師宿舍不能互相訪問(wèn)。 3．將教學(xué)樓的所有教室劃為一個(gè)VLAN。 理由：上課的教室不固定，每個(gè)教室需要共享一些信息。 4．將實(shí)驗(yàn)樓劃為一個(gè)大VLAN，再將每個(gè)實(shí)驗(yàn)室劃為一個(gè)小VLAN。 理由：方便同學(xué)和老師做一些教學(xué)實(shí)驗(yàn)，實(shí)驗(yàn)室會(huì)進(jìn)行一些專(zhuān)項(xiàng)課題研究，一個(gè)實(shí)驗(yàn)室同一個(gè)VLAN安全性更高。 5．將辦公樓劃為一個(gè)大VLAN，再將每個(gè)部門(mén)劃為一個(gè)小VLAN。 理由：方便每個(gè)部門(mén)管理，鑒于每個(gè)的不同性質(zhì)，更要提高安全性。 6．劃分方法采用基于端口的劃分。 理由：高校學(xué)生的流動(dòng)性大，例如換寢室，畢業(yè)等，而導(dǎo)致的學(xué)生的人數(shù)和班級(jí)的變動(dòng)?；诙丝诘膭澐郑鄬?duì)來(lái)說(shuō)容易設(shè)置和監(jiān)控，只需要將端口配置的VLAN重新分配。 備注：將每個(gè)小VLAN里的其中一臺(tái)交換機(jī)設(shè)為VTP SERVER，其余的為VTP CLIENT。工作在VTP服務(wù)器模式下的服務(wù)器將使用VTP共享VALN信息。在VTP SERVER上進(jìn)行VLAN的創(chuàng)建、添加、刪除或修改操作。每個(gè)大VLAN的劃分由上一層交換機(jī)完成。 簡(jiǎn)易拓?fù)鋱D： 圖 6 VLAN拓?fù)鋱D 具體方案二：（見(jiàn)圖7） 1．將一個(gè)寢室劃為同一個(gè)VLAN，再將一棟宿舍樓劃為一個(gè)大VLAN。 理由：一個(gè)寢室的同學(xué)公用一個(gè)端口，可以節(jié)約成本。一個(gè)寢室的同學(xué)在一個(gè)網(wǎng)內(nèi)可以共享一些資源，更方便的進(jìn)行信息交流，安全性也更高。 2．將每個(gè)老師的寢室劃為一個(gè)VLAN。 理由：每個(gè)老師的計(jì)算機(jī)里可能有一些重要的科研資料，從安全性考慮，所以不能將所有老師的寢室劃為同一個(gè)網(wǎng)。并且學(xué)生宿舍和教師宿舍不能互相訪問(wèn)。 3．將教學(xué)樓的所有教室劃為一個(gè)VLAN。 理由：上課的教室不固定，每個(gè)教室需要共享一些信息。 4．將實(shí)驗(yàn)樓劃為一個(gè)大VLAN，再將每個(gè)實(shí)驗(yàn)室劃為一個(gè)小VLAN。 理由：方便同學(xué)和老師做一些教學(xué)實(shí)驗(yàn)，實(shí)驗(yàn)室會(huì)進(jìn)行一些專(zhuān)項(xiàng)課題研究，一個(gè)實(shí)驗(yàn)室同一個(gè)VLAN安全性更高。 5．將辦公樓劃為一個(gè)大VLAN，再將每個(gè)部門(mén)劃為一個(gè)小VLAN。 理由：方便每個(gè)部門(mén)管理，鑒于每個(gè)的不同性質(zhì)，更要提高安全性。 6．劃分方法采用基于端口的劃分。 理由：高校學(xué)生的流動(dòng)性大，例如換寢室，畢業(yè)等，而導(dǎo)致的學(xué)生的人數(shù)和班級(jí)的變動(dòng)。基于端口的劃分，相對(duì)來(lái)說(shuō)容易設(shè)置和監(jiān)控，只需要將端口配置的VLAN重新分配。 備注：將每個(gè)小VLAN里的其中一臺(tái)交換機(jī)設(shè)為VTP SERVER，其余的為VTP CLIENT。工作在VTP服務(wù)器模式下的服務(wù)器將使用VTP共享VALN信息。在VTP SERVER上進(jìn)行VLAN的創(chuàng)建、添加、刪除或修改操作。每個(gè)大VLAN的劃分由上一層交換機(jī)完成。 簡(jiǎn)易拓?fù)鋱D： 圖 7 VLAN拓?fù)鋱D ： 校園網(wǎng)作為學(xué)校師生及管理人員所依托的重要資源，也是學(xué)校辦學(xué)的一種重要基礎(chǔ)設(shè)施，為學(xué)校師生及科研人員提供網(wǎng)絡(luò)下載、視頻點(diǎn)播、網(wǎng)絡(luò)聊天、專(zhuān)項(xiàng)課題研究、網(wǎng)絡(luò)化教學(xué)、辦公自動(dòng)化、計(jì)算機(jī)管理、資源共享及信息交流等全方位的服務(wù)。，學(xué)校要求網(wǎng)絡(luò)具有高性能、高可用性和高安全性。學(xué)校規(guī)模在不斷擴(kuò)大中，用戶數(shù)在持續(xù)增加，要求網(wǎng)絡(luò)具有很好的擴(kuò)展性。 現(xiàn)在的應(yīng)用流量主要由三種類(lèi)型的數(shù)據(jù)構(gòu)成： ? 各種對(duì)傳送時(shí)間非常敏感的數(shù)據(jù)，其中包括各類(lèi)話音、視頻和音頻流量，例如跨越Internet進(jìn)行傳輸?shù)囊纛l流量以及通過(guò)局域網(wǎng)基礎(chǔ)網(wǎng)絡(luò)實(shí)現(xiàn)互聯(lián)的電話系統(tǒng)等 ? 各種關(guān)鍵性的業(yè)務(wù)數(shù)據(jù)，其中包括各種數(shù)據(jù)庫(kù)事物處理流量以及在線交易過(guò)程數(shù)據(jù)等 ? 各種突發(fā)性的數(shù)據(jù)流量，包括電子郵件、文件傳輸協(xié)議（FTP）以及Web瀏覽等 當(dāng)以上這些不同類(lèi)型的流量以同樣的身份爭(zhēng)用網(wǎng)絡(luò)中有限的帶寬的時(shí)候，網(wǎng)絡(luò)將會(huì)很快地過(guò)載，進(jìn)而導(dǎo)致網(wǎng)絡(luò)對(duì)用戶請(qǐng)求的響應(yīng)時(shí)間變得非常漫長(zhǎng)以及應(yīng)用請(qǐng)求的超時(shí)，并且使用戶變得焦躁煩惱。隨著學(xué)校逐漸在網(wǎng)絡(luò)之上加載越來(lái)越多類(lèi)型的不同應(yīng)用，這種因應(yīng)用爭(zhēng)用帶寬而引起的瓶頸現(xiàn)象將會(huì)變得越來(lái)越嚴(yán)重。網(wǎng)絡(luò)管理員需要的是能夠提供更高帶寬以及對(duì)應(yīng)用數(shù)據(jù)進(jìn)行更好地控制的解決方案。 解決方案： 憑借著其增加了全新的智能與控制功能的銳捷68系列交換機(jī)產(chǎn)品，賦予了校園網(wǎng)利用網(wǎng)絡(luò)控制網(wǎng)絡(luò)中應(yīng)用的能力，并消除了應(yīng)用控制網(wǎng)絡(luò)的現(xiàn)象。通過(guò)為校園用戶構(gòu)建起一個(gè)具備服務(wù)質(zhì)量（QoS，Quality of Services）特性的網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員將有能力使其網(wǎng)絡(luò)變得更加智能。通過(guò)對(duì)應(yīng)用流量進(jìn)行分類(lèi)、標(biāo)記以及為其分配不同的流量?jī)?yōu)先級(jí)別，一個(gè)具備QoS屬性的網(wǎng)絡(luò)系統(tǒng)將會(huì)給網(wǎng)絡(luò)管理員帶來(lái)控制其數(shù)據(jù)流量的能力。銳捷公司功能豐富、性能極高的銳捷68系列交換機(jī)能夠在數(shù)據(jù)流經(jīng)交換機(jī)各端口時(shí)保持其優(yōu)先級(jí)別屬性，從而實(shí)現(xiàn)了優(yōu)異的QoS特性。作為銳捷公司的專(zhuān)業(yè)網(wǎng)絡(luò)管理工具，銳捷68系列為用戶實(shí)現(xiàn)了易于使用的軟件界面，從而簡(jiǎn)化了為流量數(shù)據(jù)分配優(yōu)先級(jí)別的過(guò)程，賦予了管理員對(duì)于應(yīng)用流量的絕對(duì)控制能力。 ?? 服務(wù)質(zhì)量（QoS）與銳捷68系列交換機(jī) 利用內(nèi)置于銳捷68系列交換機(jī)中的服務(wù)質(zhì)量特性，用戶能夠?qū)νㄟ^(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)膽?yīng)用流量?jī)?yōu)先級(jí)進(jìn)行控制，消除網(wǎng)絡(luò)中的瓶頸現(xiàn)象。銳捷公司的銳捷 銳捷68系列交換機(jī)能夠根據(jù)加載于其上的流量?jī)?yōu)先級(jí)別辨識(shí)出不同類(lèi)型的應(yīng)用流量，進(jìn)而實(shí)現(xiàn)對(duì)關(guān)鍵性數(shù)據(jù)的更快轉(zhuǎn)發(fā)。 為了進(jìn)一步提高數(shù)據(jù)包的傳遞效率，銳捷基于已有交換機(jī)的第二、第三和第四層技術(shù)，賦予了產(chǎn)品辨識(shí)、標(biāo)記數(shù)據(jù)并為不同的數(shù)據(jù)流量賦予不同的優(yōu)先級(jí)別的能力。在銳捷 銳捷68系列交換機(jī)上得到進(jìn)一步改進(jìn)的應(yīng)用分類(lèi)功能包括： ? 在第二層技術(shù)方面，加入了對(duì)IEEE ，從而在交換機(jī)上實(shí)現(xiàn)了簡(jiǎn)單的流量?jī)?yōu)先級(jí)劃分。 ? 在第三層技術(shù)方面，加入了對(duì)差別化業(yè)務(wù)編碼點(diǎn)（Differential Services Code Point，DSCP）技術(shù)的支持。該技術(shù)可以支持對(duì)業(yè)務(wù)級(jí)別高達(dá)64種的劃分。 ? 在第四層技術(shù)方面，交換機(jī)可以對(duì)數(shù)據(jù)流量的目的IP地址與TCP/IP端口號(hào)的組合進(jìn)行分析，并利用這一分析結(jié)果將HTTP流量與FTP流量或POP3郵件流量區(qū)分開(kāi)，或者為了實(shí)現(xiàn)更高的Internet訪問(wèn)速度將用戶的Web流量重新引導(dǎo)至一臺(tái)Web緩存服務(wù)器上。 從接入層交換機(jī)