【文章內(nèi)容簡(jiǎn)介】 LAN 的劃分有許多的方法，考慮到終端用戶位置的相對(duì)固定性，全網(wǎng) VLAN 的劃分的方法采用 按網(wǎng)絡(luò)端口來(lái)劃分 VLAN 的方法，這樣的方法使得 配置過(guò)程簡(jiǎn)單明了， 而且這也 是最常用的一種方式。 考慮到 VLAN之間的數(shù)據(jù)通訊，本網(wǎng)絡(luò)上 VLAN的劃分還必須結(jié)合 IP 子網(wǎng)的劃分，即一個(gè) VLAN同 時(shí)就是一個(gè) IP 子網(wǎng)的網(wǎng)段。 VLAN 的劃分從理論上來(lái)說(shuō)是可以跨地域范圍的，但還是建議基于一定的地理位置來(lái)劃分VLAN，這不僅可以把廣播限制在一定的區(qū)域，而且為 VLAN 到網(wǎng)絡(luò)中心的訪問(wèn)提供了確定的訪問(wèn)路徑，便于 troubleshooting，也為交換機(jī)式網(wǎng)絡(luò)升級(jí)到路由網(wǎng)絡(luò)提供了便利。 PVLAN 技術(shù) 當(dāng)接入用戶比較多時(shí)而又要保證相互之間的安全，一般所采用的方法就是采用 VLAN 進(jìn)行共同工作組的劃分。 可以將每個(gè)以太網(wǎng)接入的客戶放置于獨(dú)立的 VLAN 中，這樣客戶彼此之間是完全從L2 層隔離的。但當(dāng)接入的 用戶數(shù)量多時(shí)，如果為每一個(gè)需要隔離的用戶都分配一個(gè) VLAN，則網(wǎng)絡(luò)設(shè)備所能夠支持的最大 VLAN（通常為 256 ～ 4096 個(gè)）的數(shù)量就會(huì)不夠用，同時(shí) IP 地址網(wǎng)段的需求量也會(huì)非常大，因此，傳統(tǒng)的做法實(shí)現(xiàn)很困難甚至不能使用。因此針對(duì)該問(wèn)題，提出了 Private VLAN 技術(shù)，正好可以解決這些問(wèn)題。 Private VLAN 能夠提供端口之間的第二層的隔絕，同時(shí)又使這些端口具有標(biāo)準(zhǔn) VLAN 的特性。Private VLAN 可以把一個(gè)大的 IP地址域劃分成多個(gè)地址組，各個(gè)地址組之間不能互訪，既實(shí)現(xiàn)了安全隔離又省卻了地址 劃分及重規(guī)劃的復(fù)雜，節(jié)約了 IP 地址。 在 Private VLAN的概念中，交換機(jī)端口有三種類型： Promiscuous port（混雜端口） ， Isolated port（隔離端口） ， Community port（共有端口） ；它們分別對(duì)應(yīng)不同的 VLAN 類型： Isolated port屬于 Secondary VLAN， Community port 屬于 Additional Secondary VLAN，而代表一個(gè)Private VLAN 整體的是 Primary VLAN，前面兩類 VLAN 需要和它綁定在一起，同時(shí)它 還包括Promiscuous port。在 Secondary VLAN 中， Isolated port 只能和 Promiscuous port 通訊，彼此不能交換流量；在 Additional Secondary VLAN 中， Community port 不僅可以和Promiscuous port 通信，而且彼此也可以交換流量。 建設(shè)網(wǎng)絡(luò)的目的是為了應(yīng)用。無(wú)論網(wǎng)絡(luò)硬件平臺(tái)多么先進(jìn)，沒(méi)有與之配套的先進(jìn)應(yīng)用系統(tǒng)，網(wǎng)絡(luò)的價(jià)值就無(wú)法得到真正的體現(xiàn)。 VLAN 的規(guī)劃 樓宇 部門 PC 接口數(shù)量 IP 規(guī)劃 VLAN_NUM 網(wǎng)關(guān) 教學(xué)樓 一 樓機(jī)房 100 教學(xué)樓 辦公室 60 學(xué)生宿舍 1號(hào)東區(qū) 240 學(xué)生宿舍 1號(hào)西區(qū) 240 教師公寓 東區(qū) 25 教師公寓 西區(qū) 25 實(shí)訓(xùn)車間 二樓機(jī)房 10 地址規(guī)劃與路由設(shè)計(jì) 地址規(guī)劃方案 IP 地址規(guī)劃是要解決有效利用地址空間、有利于路由設(shè)計(jì)、解決公網(wǎng)地址嚴(yán)重不足等問(wèn)題。 首先是校園網(wǎng)骨干設(shè)備的地址，由于校園網(wǎng)地址空間實(shí)在緊張，所有設(shè)備的管理地址可以采用私網(wǎng)地址。 校園網(wǎng)內(nèi)地址規(guī)劃的一種方式是將所有私有地址限制在各校園一定的區(qū)域內(nèi)，無(wú)論私有地址用戶訪問(wèn)的目的地是校園網(wǎng)外網(wǎng)絡(luò)還是校園網(wǎng)內(nèi)網(wǎng)絡(luò)，其均要進(jìn)行地址轉(zhuǎn)換。在校園網(wǎng)內(nèi)骨干網(wǎng)上將不存 在私有 IP 子網(wǎng)的路由，各片區(qū)的私有地址可自行定義使用。其缺點(diǎn)是校園網(wǎng)內(nèi)私有地址間互訪的流量均經(jīng)地址轉(zhuǎn)換，性能受到影響， NAT 設(shè)備的壓力較大。 另一種方式是，無(wú)論采用公用還是私有 IP 地址的用戶，可直接進(jìn)行校園網(wǎng)內(nèi)互訪不需進(jìn)行地址轉(zhuǎn)換，各邊界三層交換機(jī)有相應(yīng)的路由信息，校園網(wǎng)的保留地址進(jìn)行統(tǒng)一的規(guī)劃，其路由信息可在全網(wǎng)絡(luò)內(nèi)傳播。對(duì)于訪問(wèn)校園網(wǎng)外的用戶，需區(qū)分其使用的是私有還是公有 IP 地址，對(duì)于公有 IP地址用戶也無(wú)需進(jìn)行地址轉(zhuǎn)換，使用私有 IP地址用戶為訪問(wèn)校園網(wǎng)外的網(wǎng)絡(luò)時(shí)必須進(jìn)行 NAT轉(zhuǎn)換。在校園網(wǎng)出口處應(yīng)采用源 路由方式 (策略路由 )將流量導(dǎo)向 NAT 設(shè)備。 建議采用具有硬件處理能力的線速 NAT 設(shè)備。 校園網(wǎng)絡(luò)中地址分配最主要的因素是公網(wǎng)地址空間的缺口： 我們都知道 IP 網(wǎng)分配了公用 IP 地址。用戶人數(shù)在不斷增長(zhǎng)，將遠(yuǎn)遠(yuǎn)超過(guò)可用地址數(shù)，這將成為一個(gè)非常嚴(yán)重的問(wèn)題。 由于大部分的個(gè)人用戶不需要固定的 IP 地址，因此對(duì)個(gè)人用戶采用動(dòng)態(tài)的 IP 地址分配可以節(jié)省 189。到 190。的地址資源。而采用 NAT/PAT 的方式，可以將網(wǎng)絡(luò)公用地址的需要節(jié)省到幾十分之一甚至更多的程度。但后一種方式的主要問(wèn)題是 NAT/PAT 轉(zhuǎn)換的性能問(wèn)題，第二個(gè)問(wèn)題是可能會(huì)影 響某些應(yīng)用。 而實(shí)際上，地址缺口的大小不僅取決于可用空間和用戶數(shù)，并且與采用的用戶安全技術(shù)和產(chǎn)品有關(guān)。 如果采用以太網(wǎng)和 per user perVLAN 的方式，地址消耗太大，使用私網(wǎng)地址 +NAT 是合理的選擇。 第二個(gè)因素是采用的產(chǎn)品的特性。 由于目前單臺(tái)設(shè)備的 NAT/PAT的性能不理想，解決的方法是由邊緣層交換機(jī)分擔(dān)完成該功能。 第三個(gè)因素是是否考慮 NAT/PAT 對(duì)應(yīng)用的影響。 可能某個(gè)用戶需要采用某種應(yīng)用而該應(yīng)用不能穿過(guò) NAT/PAT 設(shè)備，如某些多媒體應(yīng)用和 VPN應(yīng)用。 第四個(gè)因素是是否考慮可能的政策調(diào)整 。 綜合以上多種考慮，對(duì)于采用 IP 網(wǎng)作為校園網(wǎng)主要載體的學(xué)校，我們建議： 對(duì)校園內(nèi)學(xué)生宿舍或教工住宅用戶采用地址 靜 態(tài)分配、以私網(wǎng)地址為主。配置會(huì)聚層交換機(jī)，對(duì)于目標(biāo) IP 地址不是本校園網(wǎng)內(nèi)部的會(huì)話流則采用 NAT/PAT 的方式，反之則不進(jìn)行 NAT/PAT。 Inter出口的策略路由及設(shè)計(jì) 鄂州經(jīng)貿(mào) 學(xué)校具有兩個(gè)校園網(wǎng)廣域出口，為充分利用這些網(wǎng)絡(luò)資源，在路由策略上可以進(jìn)行靈活地選擇。例如，對(duì)于 CERNET 所規(guī)定的 FreeIP范圍，可選擇通過(guò) CERNET 出口。而非 FreeIP范圍的流量需要另外交 納流量費(fèi)用，并且?guī)捠艿接绊?，可以選擇通過(guò)電信公眾網(wǎng)出口。此外，還可根據(jù)應(yīng)用的類型進(jìn)行出口路由選擇。 在高性能的互聯(lián)網(wǎng)絡(luò)中，各個(gè)公司 /組織機(jī)構(gòu)都希望網(wǎng)絡(luò)具有一定的靈活性，以便可以根據(jù)自己定義的、在傳統(tǒng)路由選擇協(xié)議考慮之外的策略來(lái)實(shí)施數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由。通過(guò)使用基于策略的路由可以實(shí)施有選擇地讓數(shù)據(jù)包采用不同的路徑的策略。 基于策略的路由被應(yīng)用于進(jìn)入的數(shù)據(jù)包，啟用了基于策略的路由的接口所接收的所有數(shù)據(jù)包都被考慮執(zhí)行基于策略的路由。路由器用路由映象過(guò)濾數(shù)據(jù)包，根據(jù)路由映象中所定義的規(guī)則，數(shù)據(jù)包被轉(zhuǎn)發(fā)到適當(dāng)?shù)南乱惶?。 路由器通常根據(jù)其路由表中的信息將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地址，與根據(jù)目的地址進(jìn)行的路由不同，基于策略的路由使網(wǎng)絡(luò)管理員能夠決定和實(shí)施路由策略 網(wǎng)絡(luò)安全 設(shè)計(jì) 網(wǎng)絡(luò)安全的需求 （ 1）有效的訪問(wèn)控制 通過(guò)特定的網(wǎng)段及服務(wù)建立訪問(wèn)控制體系，實(shí)現(xiàn)如下目標(biāo)：允許網(wǎng)上用戶訪問(wèn)時(shí)，正確、迅速可達(dá)；不允許時(shí)，用戶根本查找不到網(wǎng)絡(luò)目標(biāo)，從而有效地阻止其訪問(wèn)或攻擊。 （ 2）集中安全漏洞檢查和攻擊監(jiān)控 通過(guò)特定網(wǎng)段及服務(wù)建立的多種監(jiān)控體系，應(yīng)可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊并采取相應(yīng)的措施 (如斷開(kāi)連接、記錄攻擊過(guò)程及跟蹤攻擊 等 )，并能周期性地檢查安全漏洞，做到及時(shí)發(fā)現(xiàn)，及時(shí)防范。 （ 3）多層防御和完善的認(rèn)證體系 建立一個(gè)良好的認(rèn)證體系，可防止非法用戶的攻擊。應(yīng)采用防火墻、服務(wù)器入侵檢測(cè)軟件、服務(wù)器進(jìn)程監(jiān)控軟件等，使服務(wù)器遭到攻擊或遇到故障之初就通過(guò) Email、電話、手機(jī)等方式在第一時(shí)間通知系統(tǒng)管理員。 （ 4）數(shù)據(jù)備份和恢復(fù) 應(yīng)設(shè)計(jì)良好的備份和恢復(fù)機(jī)制，一旦數(shù)據(jù)被破壞可及時(shí)得到恢復(fù)，避免系統(tǒng)遭到攻擊后全網(wǎng)癱瘓。 網(wǎng)絡(luò)安全設(shè)計(jì) 方法 用戶的地址更改 /欺騙在以太網(wǎng)接入中也比較突出，尤其在用戶內(nèi)部，普通用戶冒用特權(quán)用戶的IP 地址上網(wǎng)。另一種情況是，一個(gè)用戶申請(qǐng)了一個(gè)端口訪問(wèn) INTERNET，但他卻為許多其它用戶提供接入，進(jìn)行第 2 級(jí)帶寬批發(fā)或從事其它經(jīng)營(yíng)活動(dòng)。這是必須有辦法控制此類事件的發(fā)生。 需要指出的是，如果用戶使用代理上網(wǎng)，此時(shí)無(wú)法通過(guò)普通手法進(jìn)行限制，因?yàn)榫W(wǎng)絡(luò)管理根本無(wú)法發(fā)覺(jué)，要解決這個(gè)問(wèn)題，必須通過(guò)限制訪問(wèn)速率進(jìn)行，所以接入交換機(jī)支持速率限制在這種場(chǎng)合顯得和重要。 1．端口與 MAC 地址的綁定 交換機(jī)的端口連接到用戶的網(wǎng)卡，每一個(gè)網(wǎng)卡都有一個(gè)全球唯一的 48 位 MAC 地址，任何用戶申請(qǐng)開(kāi)通上網(wǎng)業(yè)務(wù)時(shí)登記 MAC 地址，網(wǎng)絡(luò)管 理員注入系統(tǒng)數(shù)據(jù)庫(kù)，并起用端口的安全特性。 所選交換機(jī)支持端口的安全特性，每個(gè)端口可靜態(tài)設(shè)置多個(gè) MAC 地址，如果有非法 MAC 地址入侵，交換機(jī) 會(huì)通過(guò) TRAP 告警網(wǎng)絡(luò)管理員。這種方式安全性高，但管理復(fù)雜。 2．限定端口的同時(shí)連接 MAC 數(shù) 此種方法不須要做 MAC 地址和端口的靜態(tài)綁定，只限制每端口同時(shí)連接的 MAC 地址數(shù)量。如假定設(shè)定每端口同時(shí)連接的 MAC 地址上限為 2， 則用戶最多有兩臺(tái)電腦，如果超過(guò)兩臺(tái)，交換機(jī)可以自動(dòng)關(guān)閉此端口或向系統(tǒng)管理員 TRAP 告警。 對(duì)合法用戶的正常使用，我們建議采用以下技術(shù)： 3．流量 限制技術(shù) 通過(guò)對(duì)用戶接入端口進(jìn)行速率限制，保證用戶不可以超越某個(gè)速率上限，一旦發(fā)覺(jué)某一端口流量異常，則可以認(rèn)為有太多突發(fā)流量通過(guò)此端口進(jìn)入業(yè)務(wù)網(wǎng)絡(luò)，由可能在進(jìn)行黑客活動(dòng)，也有可能在利用此端口進(jìn)行帶寬批發(fā)活動(dòng)或其他經(jīng)營(yíng)活動(dòng)，網(wǎng)絡(luò)管理人員可以馬上關(guān)閉此端口，并通知客戶。 端口級(jí)速率限制比通過(guò) IP 地址限速的好處是簡(jiǎn)單，不需要識(shí)別每個(gè)用戶的 IP地址，然后設(shè)定大量的針對(duì)每個(gè) IP 地址的速率控制內(nèi)容。當(dāng)然，缺點(diǎn)是一個(gè)用戶必須占用一個(gè)物理端口。而根據(jù)IP 地址的限速就可以允許用戶復(fù)用一個(gè)物理端口。 4． PVLAN 技術(shù) 現(xiàn)在 有了一種新的 VLAN 機(jī)制，服務(wù)器同在一個(gè)子網(wǎng)中，但服務(wù)器只能與自己的缺省網(wǎng)關(guān)通信。這一新的 VLAN 特性就是專用 VLAN(private VLAN， pVLAN)。 專用 VLAN 是第 2 層的機(jī)制，在同一個(gè) 2 層域中有兩類不同安全級(jí)別的訪問(wèn)端口。與服務(wù)器連接的端口稱作專用端口 (Private port)，一個(gè)專用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測(cè)從混雜端口來(lái)的流量?；祀s端口 (Promioscuous port)沒(méi)有專用端口的限定，它與路由器或第 3 層交換機(jī)接口相連。簡(jiǎn)單地說(shuō)，在一個(gè)專用 VLAN 內(nèi)， 專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口 (混雜端口和專用端口 )。下圖示出了同一專用 VLAN中兩類端口的關(guān)系： 專用 VLAN 的應(yīng)用對(duì)于保證城域接入網(wǎng)絡(luò)的數(shù)據(jù)通訊的安全性是非常有效的用戶只需與自己的缺省網(wǎng)關(guān)連接，一個(gè)專用 VLAN 不需要多個(gè) VLAN 和 IP子 網(wǎng)就提供了具備第二層數(shù)據(jù)通訊安全性的連接，所有的用戶都接入專用 VLAN，從而實(shí)現(xiàn)了所有用戶與缺省網(wǎng)關(guān)的連接，而與專用 VLAN內(nèi)的其他用戶沒(méi)有任何訪問(wèn)。 PVLAN功能可以保證同一個(gè) VLAN 中的各個(gè)端口相互之間不能通訊，但 可以穿過(guò) TRUNK端口。這樣即使同一 VLAN 中的用戶，相互之間也不會(huì)受到廣播的影響。 防火墻部署方案 根據(jù)學(xué)校的具體情況，選用一臺(tái) CISCO的 企業(yè)級(jí) 防火墻： CISCO ASA 5520。該產(chǎn)品具有 4個(gè)千兆光纖端口， 1 個(gè)百兆端口。 一個(gè)千兆光纖端口接對(duì)外提供服務(wù)的 DMZ區(qū)，該區(qū)是對(duì)外的服務(wù)區(qū)，提供 WWW、 DNS、 Email、FTP、 BBS 等服務(wù)； 一個(gè)千兆光纖端口接內(nèi)部局域網(wǎng)，叫內(nèi)網(wǎng)區(qū)端口； 一個(gè)千兆以太網(wǎng)口和 一個(gè)百兆網(wǎng)口，用于連接 互聯(lián)網(wǎng) 。 此處可根據(jù)需要，在防火墻上設(shè)置如下安全策略： ? 解決內(nèi)外網(wǎng) 絡(luò)邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)（禁止外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)）； ? 根據(jù) IP 地址、協(xié)議類型、端口等進(jìn)行數(shù)據(jù)包過(guò)濾； ? 內(nèi)外網(wǎng)絡(luò)采用兩套 IP 地址，實(shí)現(xiàn)雙向地址轉(zhuǎn)換功能； ? 支持安全服務(wù)器網(wǎng)絡(luò)（ DMZ 區(qū)），允許內(nèi)外網(wǎng)絡(luò)訪問(wèn) DMZ 區(qū)，但禁止 DMZ 區(qū)訪問(wèn)內(nèi)部網(wǎng)絡(luò)； ? 通過(guò) IP 與 MAC 地址綁定防止 IP 盜用，避免亂用網(wǎng)絡(luò)資源； ? 防止 IP 欺騙； ? 防 DDoS 攻擊； ? 開(kāi)啟黑白名單功能，實(shí)現(xiàn) URL 過(guò)濾，過(guò)濾不健康網(wǎng)站； ? 提供應(yīng)用代理服務(wù)，隔離內(nèi)外網(wǎng)絡(luò)； ? 具有自身保護(hù)能力，可防范對(duì)防火墻的常見(jiàn)攻擊； ? 啟動(dòng)入侵檢測(cè)及告警功能； ? 學(xué)生訪 問(wèn)不良信息網(wǎng)站后的日志記錄，做到有據(jù)可查； ? 多種應(yīng)用協(xié)議的支持。 第四章 應(yīng)用系統(tǒng)的規(guī)劃與設(shè)計(jì) 信息標(biāo)準(zhǔn)系統(tǒng)建設(shè) 1．建設(shè)目標(biāo) 信息標(biāo)準(zhǔn)的建設(shè)是校園信息化建設(shè)的重要內(nèi)容。有了統(tǒng)一的信息標(biāo)準(zhǔn)，學(xué)校在數(shù)據(jù)建模、信息采集、加工處理、數(shù)據(jù)交換的過(guò)程中有統(tǒng)一的規(guī)范，最大限度地實(shí)現(xiàn)信息優(yōu)化管理和資源共享，幫助使用者方便、快捷、規(guī)范地建立應(yīng)用系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，滿足信息化建設(shè)需求。 建設(shè)統(tǒng)一的信息標(biāo)準(zhǔn)不僅需要完整的設(shè)計(jì)思想，也需要具備完善管理能力的工具作支撐，為高校信息標(biāo)準(zhǔn)的建設(shè)提供管理保障。信息標(biāo)準(zhǔn)管理系統(tǒng)即用以 幫助