【文章內(nèi)容簡介】 LAN 的劃分有許多的方法，考慮到終端用戶位置的相對固定性，全網(wǎng) VLAN 的劃分的方法采用 按網(wǎng)絡端口來劃分 VLAN 的方法，這樣的方法使得 配置過程簡單明了， 而且這也 是最常用的一種方式。 考慮到 VLAN之間的數(shù)據(jù)通訊，本網(wǎng)絡上 VLAN的劃分還必須結(jié)合 IP 子網(wǎng)的劃分，即一個 VLAN同 時就是一個 IP 子網(wǎng)的網(wǎng)段。 VLAN 的劃分從理論上來說是可以跨地域范圍的，但還是建議基于一定的地理位置來劃分VLAN，這不僅可以把廣播限制在一定的區(qū)域，而且為 VLAN 到網(wǎng)絡中心的訪問提供了確定的訪問路徑，便于 troubleshooting，也為交換機式網(wǎng)絡升級到路由網(wǎng)絡提供了便利。 PVLAN 技術(shù) 當接入用戶比較多時而又要保證相互之間的安全，一般所采用的方法就是采用 VLAN 進行共同工作組的劃分。 可以將每個以太網(wǎng)接入的客戶放置于獨立的 VLAN 中，這樣客戶彼此之間是完全從L2 層隔離的。但當接入的 用戶數(shù)量多時，如果為每一個需要隔離的用戶都分配一個 VLAN，則網(wǎng)絡設備所能夠支持的最大 VLAN（通常為 256 ～ 4096 個）的數(shù)量就會不夠用，同時 IP 地址網(wǎng)段的需求量也會非常大，因此，傳統(tǒng)的做法實現(xiàn)很困難甚至不能使用。因此針對該問題，提出了 Private VLAN 技術(shù)，正好可以解決這些問題。 Private VLAN 能夠提供端口之間的第二層的隔絕，同時又使這些端口具有標準 VLAN 的特性。Private VLAN 可以把一個大的 IP地址域劃分成多個地址組，各個地址組之間不能互訪，既實現(xiàn)了安全隔離又省卻了地址 劃分及重規(guī)劃的復雜，節(jié)約了 IP 地址。 在 Private VLAN的概念中，交換機端口有三種類型： Promiscuous port（混雜端口） ， Isolated port（隔離端口） ， Community port（共有端口） ；它們分別對應不同的 VLAN 類型： Isolated port屬于 Secondary VLAN， Community port 屬于 Additional Secondary VLAN，而代表一個Private VLAN 整體的是 Primary VLAN，前面兩類 VLAN 需要和它綁定在一起，同時它 還包括Promiscuous port。在 Secondary VLAN 中， Isolated port 只能和 Promiscuous port 通訊，彼此不能交換流量；在 Additional Secondary VLAN 中， Community port 不僅可以和Promiscuous port 通信，而且彼此也可以交換流量。 建設網(wǎng)絡的目的是為了應用。無論網(wǎng)絡硬件平臺多么先進，沒有與之配套的先進應用系統(tǒng)，網(wǎng)絡的價值就無法得到真正的體現(xiàn)。 VLAN 的規(guī)劃 樓宇 部門 PC 接口數(shù)量 IP 規(guī)劃 VLAN_NUM 網(wǎng)關(guān) 教學樓 一 樓機房 100 教學樓 辦公室 60 學生宿舍 1號東區(qū) 240 學生宿舍 1號西區(qū) 240 教師公寓 東區(qū) 25 教師公寓 西區(qū) 25 實訓車間 二樓機房 10 地址規(guī)劃與路由設計 地址規(guī)劃方案 IP 地址規(guī)劃是要解決有效利用地址空間、有利于路由設計、解決公網(wǎng)地址嚴重不足等問題。 首先是校園網(wǎng)骨干設備的地址，由于校園網(wǎng)地址空間實在緊張，所有設備的管理地址可以采用私網(wǎng)地址。 校園網(wǎng)內(nèi)地址規(guī)劃的一種方式是將所有私有地址限制在各校園一定的區(qū)域內(nèi)，無論私有地址用戶訪問的目的地是校園網(wǎng)外網(wǎng)絡還是校園網(wǎng)內(nèi)網(wǎng)絡，其均要進行地址轉(zhuǎn)換。在校園網(wǎng)內(nèi)骨干網(wǎng)上將不存 在私有 IP 子網(wǎng)的路由，各片區(qū)的私有地址可自行定義使用。其缺點是校園網(wǎng)內(nèi)私有地址間互訪的流量均經(jīng)地址轉(zhuǎn)換，性能受到影響， NAT 設備的壓力較大。 另一種方式是，無論采用公用還是私有 IP 地址的用戶，可直接進行校園網(wǎng)內(nèi)互訪不需進行地址轉(zhuǎn)換，各邊界三層交換機有相應的路由信息，校園網(wǎng)的保留地址進行統(tǒng)一的規(guī)劃，其路由信息可在全網(wǎng)絡內(nèi)傳播。對于訪問校園網(wǎng)外的用戶，需區(qū)分其使用的是私有還是公有 IP 地址，對于公有 IP地址用戶也無需進行地址轉(zhuǎn)換，使用私有 IP地址用戶為訪問校園網(wǎng)外的網(wǎng)絡時必須進行 NAT轉(zhuǎn)換。在校園網(wǎng)出口處應采用源 路由方式 (策略路由 )將流量導向 NAT 設備。 建議采用具有硬件處理能力的線速 NAT 設備。 校園網(wǎng)絡中地址分配最主要的因素是公網(wǎng)地址空間的缺口： 我們都知道 IP 網(wǎng)分配了公用 IP 地址。用戶人數(shù)在不斷增長，將遠遠超過可用地址數(shù)，這將成為一個非常嚴重的問題。 由于大部分的個人用戶不需要固定的 IP 地址，因此對個人用戶采用動態(tài)的 IP 地址分配可以節(jié)省 189。到 190。的地址資源。而采用 NAT/PAT 的方式，可以將網(wǎng)絡公用地址的需要節(jié)省到幾十分之一甚至更多的程度。但后一種方式的主要問題是 NAT/PAT 轉(zhuǎn)換的性能問題，第二個問題是可能會影 響某些應用。 而實際上，地址缺口的大小不僅取決于可用空間和用戶數(shù)，并且與采用的用戶安全技術(shù)和產(chǎn)品有關(guān)。 如果采用以太網(wǎng)和 per user perVLAN 的方式，地址消耗太大，使用私網(wǎng)地址 +NAT 是合理的選擇。 第二個因素是采用的產(chǎn)品的特性。 由于目前單臺設備的 NAT/PAT的性能不理想，解決的方法是由邊緣層交換機分擔完成該功能。 第三個因素是是否考慮 NAT/PAT 對應用的影響。 可能某個用戶需要采用某種應用而該應用不能穿過 NAT/PAT 設備，如某些多媒體應用和 VPN應用。 第四個因素是是否考慮可能的政策調(diào)整 。 綜合以上多種考慮，對于采用 IP 網(wǎng)作為校園網(wǎng)主要載體的學校，我們建議： 對校園內(nèi)學生宿舍或教工住宅用戶采用地址 靜 態(tài)分配、以私網(wǎng)地址為主。配置會聚層交換機，對于目標 IP 地址不是本校園網(wǎng)內(nèi)部的會話流則采用 NAT/PAT 的方式，反之則不進行 NAT/PAT。 Inter出口的策略路由及設計 鄂州經(jīng)貿(mào) 學校具有兩個校園網(wǎng)廣域出口，為充分利用這些網(wǎng)絡資源，在路由策略上可以進行靈活地選擇。例如，對于 CERNET 所規(guī)定的 FreeIP范圍，可選擇通過 CERNET 出口。而非 FreeIP范圍的流量需要另外交 納流量費用，并且?guī)捠艿接绊懀梢赃x擇通過電信公眾網(wǎng)出口。此外，還可根據(jù)應用的類型進行出口路由選擇。 在高性能的互聯(lián)網(wǎng)絡中，各個公司 /組織機構(gòu)都希望網(wǎng)絡具有一定的靈活性，以便可以根據(jù)自己定義的、在傳統(tǒng)路由選擇協(xié)議考慮之外的策略來實施數(shù)據(jù)包的轉(zhuǎn)發(fā)和路由。通過使用基于策略的路由可以實施有選擇地讓數(shù)據(jù)包采用不同的路徑的策略。 基于策略的路由被應用于進入的數(shù)據(jù)包，啟用了基于策略的路由的接口所接收的所有數(shù)據(jù)包都被考慮執(zhí)行基于策略的路由。路由器用路由映象過濾數(shù)據(jù)包，根據(jù)路由映象中所定義的規(guī)則，數(shù)據(jù)包被轉(zhuǎn)發(fā)到適當?shù)南乱惶?。 路由器通常根據(jù)其路由表中的信息將數(shù)據(jù)包轉(zhuǎn)發(fā)到目的地址，與根據(jù)目的地址進行的路由不同，基于策略的路由使網(wǎng)絡管理員能夠決定和實施路由策略 網(wǎng)絡安全 設計 網(wǎng)絡安全的需求 （ 1）有效的訪問控制 通過特定的網(wǎng)段及服務建立訪問控制體系，實現(xiàn)如下目標：允許網(wǎng)上用戶訪問時，正確、迅速可達；不允許時，用戶根本查找不到網(wǎng)絡目標，從而有效地阻止其訪問或攻擊。 （ 2）集中安全漏洞檢查和攻擊監(jiān)控 通過特定網(wǎng)段及服務建立的多種監(jiān)控體系，應可實時檢測出絕大多數(shù)攻擊并采取相應的措施 (如斷開連接、記錄攻擊過程及跟蹤攻擊 等 )，并能周期性地檢查安全漏洞，做到及時發(fā)現(xiàn)，及時防范。 （ 3）多層防御和完善的認證體系 建立一個良好的認證體系，可防止非法用戶的攻擊。應采用防火墻、服務器入侵檢測軟件、服務器進程監(jiān)控軟件等，使服務器遭到攻擊或遇到故障之初就通過 Email、電話、手機等方式在第一時間通知系統(tǒng)管理員。 （ 4）數(shù)據(jù)備份和恢復 應設計良好的備份和恢復機制，一旦數(shù)據(jù)被破壞可及時得到恢復，避免系統(tǒng)遭到攻擊后全網(wǎng)癱瘓。 網(wǎng)絡安全設計 方法 用戶的地址更改 /欺騙在以太網(wǎng)接入中也比較突出，尤其在用戶內(nèi)部，普通用戶冒用特權(quán)用戶的IP 地址上網(wǎng)。另一種情況是，一個用戶申請了一個端口訪問 INTERNET，但他卻為許多其它用戶提供接入，進行第 2 級帶寬批發(fā)或從事其它經(jīng)營活動。這是必須有辦法控制此類事件的發(fā)生。 需要指出的是，如果用戶使用代理上網(wǎng)，此時無法通過普通手法進行限制，因為網(wǎng)絡管理根本無法發(fā)覺，要解決這個問題，必須通過限制訪問速率進行，所以接入交換機支持速率限制在這種場合顯得和重要。 1．端口與 MAC 地址的綁定 交換機的端口連接到用戶的網(wǎng)卡，每一個網(wǎng)卡都有一個全球唯一的 48 位 MAC 地址，任何用戶申請開通上網(wǎng)業(yè)務時登記 MAC 地址，網(wǎng)絡管 理員注入系統(tǒng)數(shù)據(jù)庫，并起用端口的安全特性。 所選交換機支持端口的安全特性，每個端口可靜態(tài)設置多個 MAC 地址，如果有非法 MAC 地址入侵，交換機 會通過 TRAP 告警網(wǎng)絡管理員。這種方式安全性高，但管理復雜。 2．限定端口的同時連接 MAC 數(shù) 此種方法不須要做 MAC 地址和端口的靜態(tài)綁定，只限制每端口同時連接的 MAC 地址數(shù)量。如假定設定每端口同時連接的 MAC 地址上限為 2， 則用戶最多有兩臺電腦，如果超過兩臺，交換機可以自動關(guān)閉此端口或向系統(tǒng)管理員 TRAP 告警。 對合法用戶的正常使用，我們建議采用以下技術(shù)： 3．流量 限制技術(shù) 通過對用戶接入端口進行速率限制，保證用戶不可以超越某個速率上限，一旦發(fā)覺某一端口流量異常，則可以認為有太多突發(fā)流量通過此端口進入業(yè)務網(wǎng)絡，由可能在進行黑客活動，也有可能在利用此端口進行帶寬批發(fā)活動或其他經(jīng)營活動，網(wǎng)絡管理人員可以馬上關(guān)閉此端口，并通知客戶。 端口級速率限制比通過 IP 地址限速的好處是簡單，不需要識別每個用戶的 IP地址，然后設定大量的針對每個 IP 地址的速率控制內(nèi)容。當然，缺點是一個用戶必須占用一個物理端口。而根據(jù)IP 地址的限速就可以允許用戶復用一個物理端口。 4． PVLAN 技術(shù) 現(xiàn)在 有了一種新的 VLAN 機制，服務器同在一個子網(wǎng)中，但服務器只能與自己的缺省網(wǎng)關(guān)通信。這一新的 VLAN 特性就是專用 VLAN(private VLAN， pVLAN)。 專用 VLAN 是第 2 層的機制，在同一個 2 層域中有兩類不同安全級別的訪問端口。與服務器連接的端口稱作專用端口 (Private port)，一個專用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測從混雜端口來的流量?；祀s端口 (Promioscuous port)沒有專用端口的限定，它與路由器或第 3 層交換機接口相連。簡單地說，在一個專用 VLAN 內(nèi)， 專用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口 (混雜端口和專用端口 )。下圖示出了同一專用 VLAN中兩類端口的關(guān)系： 專用 VLAN 的應用對于保證城域接入網(wǎng)絡的數(shù)據(jù)通訊的安全性是非常有效的用戶只需與自己的缺省網(wǎng)關(guān)連接，一個專用 VLAN 不需要多個 VLAN 和 IP子 網(wǎng)就提供了具備第二層數(shù)據(jù)通訊安全性的連接，所有的用戶都接入專用 VLAN，從而實現(xiàn)了所有用戶與缺省網(wǎng)關(guān)的連接，而與專用 VLAN內(nèi)的其他用戶沒有任何訪問。 PVLAN功能可以保證同一個 VLAN 中的各個端口相互之間不能通訊，但 可以穿過 TRUNK端口。這樣即使同一 VLAN 中的用戶，相互之間也不會受到廣播的影響。 防火墻部署方案 根據(jù)學校的具體情況，選用一臺 CISCO的 企業(yè)級 防火墻： CISCO ASA 5520。該產(chǎn)品具有 4個千兆光纖端口， 1 個百兆端口。 一個千兆光纖端口接對外提供服務的 DMZ區(qū)，該區(qū)是對外的服務區(qū)，提供 WWW、 DNS、 Email、FTP、 BBS 等服務； 一個千兆光纖端口接內(nèi)部局域網(wǎng)，叫內(nèi)網(wǎng)區(qū)端口； 一個千兆以太網(wǎng)口和 一個百兆網(wǎng)口，用于連接 互聯(lián)網(wǎng) 。 此處可根據(jù)需要，在防火墻上設置如下安全策略： ? 解決內(nèi)外網(wǎng) 絡邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡（禁止外部網(wǎng)絡訪問內(nèi)部網(wǎng)絡）； ? 根據(jù) IP 地址、協(xié)議類型、端口等進行數(shù)據(jù)包過濾； ? 內(nèi)外網(wǎng)絡采用兩套 IP 地址，實現(xiàn)雙向地址轉(zhuǎn)換功能； ? 支持安全服務器網(wǎng)絡（ DMZ 區(qū)），允許內(nèi)外網(wǎng)絡訪問 DMZ 區(qū)，但禁止 DMZ 區(qū)訪問內(nèi)部網(wǎng)絡； ? 通過 IP 與 MAC 地址綁定防止 IP 盜用，避免亂用網(wǎng)絡資源； ? 防止 IP 欺騙； ? 防 DDoS 攻擊； ? 開啟黑白名單功能，實現(xiàn) URL 過濾，過濾不健康網(wǎng)站； ? 提供應用代理服務，隔離內(nèi)外網(wǎng)絡； ? 具有自身保護能力，可防范對防火墻的常見攻擊； ? 啟動入侵檢測及告警功能； ? 學生訪 問不良信息網(wǎng)站后的日志記錄，做到有據(jù)可查； ? 多種應用協(xié)議的支持。 第四章 應用系統(tǒng)的規(guī)劃與設計 信息標準系統(tǒng)建設 1．建設目標 信息標準的建設是校園信息化建設的重要內(nèi)容。有了統(tǒng)一的信息標準，學校在數(shù)據(jù)建模、信息采集、加工處理、數(shù)據(jù)交換的過程中有統(tǒng)一的規(guī)范，最大限度地實現(xiàn)信息優(yōu)化管理和資源共享，幫助使用者方便、快捷、規(guī)范地建立應用系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，滿足信息化建設需求。 建設統(tǒng)一的信息標準不僅需要完整的設計思想，也需要具備完善管理能力的工具作支撐，為高校信息標準的建設提供管理保障。信息標準管理系統(tǒng)即用以 幫助