【正文】 端口； 一個(gè)千兆以太網(wǎng)口和 一個(gè)百兆網(wǎng)口，用于連接 互聯(lián)網(wǎng) 。 防火墻部署方案 根據(jù)學(xué)校的具體情況，選用一臺(tái) CISCO的 企業(yè)級(jí) 防火墻： CISCO ASA 5520。 PVLAN功能可以保證同一個(gè) VLAN 中的各個(gè)端口相互之間不能通訊，但 可以穿過(guò) TRUNK端口。簡(jiǎn)單地說(shuō)，在一個(gè)專(zhuān)用 VLAN 內(nèi)， 專(zhuān)用端口收到的流量只能發(fā)往混雜端口，混雜端口收到的流量可以發(fā)往所有端口 (混雜端口和專(zhuān)用端口 )。與服務(wù)器連接的端口稱(chēng)作專(zhuān)用端口 (Private port)，一個(gè)專(zhuān)用端口限定在第 2 層，它只能發(fā)送流量到混雜端口，也只能檢測(cè)從混雜端口來(lái)的流量。這一新的 VLAN 特性就是專(zhuān)用 VLAN(private VLAN， pVLAN)。而根據(jù)IP 地址的限速就可以允許用戶(hù)復(fù)用一個(gè)物理端口。 端口級(jí)速率限制比通過(guò) IP 地址限速的好處是簡(jiǎn)單，不需要識(shí)別每個(gè)用戶(hù)的 IP地址，然后設(shè)定大量的針對(duì)每個(gè) IP 地址的速率控制內(nèi)容。如假定設(shè)定每端口同時(shí)連接的 MAC 地址上限為 2， 則用戶(hù)最多有兩臺(tái)電腦，如果超過(guò)兩臺(tái)，交換機(jī)可以自動(dòng)關(guān)閉此端口或向系統(tǒng)管理員 TRAP 告警。這種方式安全性高，但管理復(fù)雜。 1．端口與 MAC 地址的綁定 交換機(jī)的端口連接到用戶(hù)的網(wǎng)卡，每一個(gè)網(wǎng)卡都有一個(gè)全球唯一的 48 位 MAC 地址，任何用戶(hù)申請(qǐng)開(kāi)通上網(wǎng)業(yè)務(wù)時(shí)登記 MAC 地址，網(wǎng)絡(luò)管 理員注入系統(tǒng)數(shù)據(jù)庫(kù)，并起用端口的安全特性。這是必須有辦法控制此類(lèi)事件的發(fā)生。 網(wǎng)絡(luò)安全設(shè)計(jì) 方法 用戶(hù)的地址更改 /欺騙在以太網(wǎng)接入中也比較突出，尤其在用戶(hù)內(nèi)部，普通用戶(hù)冒用特權(quán)用戶(hù)的IP 地址上網(wǎng)。應(yīng)采用防火墻、服務(wù)器入侵檢測(cè)軟件、服務(wù)器進(jìn)程監(jiān)控軟件等，使服務(wù)器遭到攻擊或遇到故障之初就通過(guò) Email、電話(huà)、手機(jī)等方式在第一時(shí)間通知系統(tǒng)管理員。 （ 2）集中安全漏洞檢查和攻擊監(jiān)控 通過(guò)特定網(wǎng)段及服務(wù)建立的多種監(jiān)控體系，應(yīng)可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊并采取相應(yīng)的措施 (如斷開(kāi)連接、記錄攻擊過(guò)程及跟蹤攻擊 等 )，并能周期性地檢查安全漏洞，做到及時(shí)發(fā)現(xiàn)，及時(shí)防范。路由器用路由映象過(guò)濾數(shù)據(jù)包，根據(jù)路由映象中所定義的規(guī)則，數(shù)據(jù)包被轉(zhuǎn)發(fā)到適當(dāng)?shù)南乱惶?。通過(guò)使用基于策略的路由可以實(shí)施有選擇地讓數(shù)據(jù)包采用不同的路徑的策略。此外，還可根據(jù)應(yīng)用的類(lèi)型進(jìn)行出口路由選擇。例如，對(duì)于 CERNET 所規(guī)定的 FreeIP范圍，可選擇通過(guò) CERNET 出口。配置會(huì)聚層交換機(jī)，對(duì)于目標(biāo) IP 地址不是本校園網(wǎng)內(nèi)部的會(huì)話(huà)流則采用 NAT/PAT 的方式，反之則不進(jìn)行 NAT/PAT。 第四個(gè)因素是是否考慮可能的政策調(diào)整 。 第三個(gè)因素是是否考慮 NAT/PAT 對(duì)應(yīng)用的影響。 第二個(gè)因素是采用的產(chǎn)品的特性。 而實(shí)際上，地址缺口的大小不僅取決于可用空間和用戶(hù)數(shù)，并且與采用的用戶(hù)安全技術(shù)和產(chǎn)品有關(guān)。而采用 NAT/PAT 的方式，可以將網(wǎng)絡(luò)公用地址的需要節(jié)省到幾十分之一甚至更多的程度。到 190。用戶(hù)人數(shù)在不斷增長(zhǎng)，將遠(yuǎn)遠(yuǎn)超過(guò)可用地址數(shù)，這將成為一個(gè)非常嚴(yán)重的問(wèn)題。 建議采用具有硬件處理能力的線(xiàn)速 NAT 設(shè)備。對(duì)于訪(fǎng)問(wèn)校園網(wǎng)外的用戶(hù)，需區(qū)分其使用的是私有還是公有 IP 地址，對(duì)于公有 IP地址用戶(hù)也無(wú)需進(jìn)行地址轉(zhuǎn)換，使用私有 IP地址用戶(hù)為訪(fǎng)問(wèn)校園網(wǎng)外的網(wǎng)絡(luò)時(shí)必須進(jìn)行 NAT轉(zhuǎn)換。其缺點(diǎn)是校園網(wǎng)內(nèi)私有地址間互訪(fǎng)的流量均經(jīng)地址轉(zhuǎn)換，性能受到影響， NAT 設(shè)備的壓力較大。 校園網(wǎng)內(nèi)地址規(guī)劃的一種方式是將所有私有地址限制在各校園一定的區(qū)域內(nèi)，無(wú)論私有地址用戶(hù)訪(fǎng)問(wèn)的目的地是校園網(wǎng)外網(wǎng)絡(luò)還是校園網(wǎng)內(nèi)網(wǎng)絡(luò)，其均要進(jìn)行地址轉(zhuǎn)換。 VLAN 的規(guī)劃 樓宇 部門(mén) PC 接口數(shù)量 IP 規(guī)劃 VLAN_NUM 網(wǎng)關(guān) 教學(xué)樓 一 樓機(jī)房 100 教學(xué)樓 辦公室 60 學(xué)生宿舍 1號(hào)東區(qū) 240 學(xué)生宿舍 1號(hào)西區(qū) 240 教師公寓 東區(qū) 25 教師公寓 西區(qū) 25 實(shí)訓(xùn)車(chē)間 二樓機(jī)房 10 地址規(guī)劃與路由設(shè)計(jì) 地址規(guī)劃方案 IP 地址規(guī)劃是要解決有效利用地址空間、有利于路由設(shè)計(jì)、解決公網(wǎng)地址嚴(yán)重不足等問(wèn)題。 建設(shè)網(wǎng)絡(luò)的目的是為了應(yīng)用。 在 Private VLAN的概念中，交換機(jī)端口有三種類(lèi)型： Promiscuous port（混雜端口） ， Isolated port（隔離端口） ， Community port（共有端口） ；它們分別對(duì)應(yīng)不同的 VLAN 類(lèi)型： Isolated port屬于 Secondary VLAN， Community port 屬于 Additional Secondary VLAN，而代表一個(gè)Private VLAN 整體的是 Primary VLAN，前面兩類(lèi) VLAN 需要和它綁定在一起，同時(shí)它 還包括Promiscuous port。 Private VLAN 能夠提供端口之間的第二層的隔絕，同時(shí)又使這些端口具有標(biāo)準(zhǔn) VLAN 的特性。但當(dāng)接入的 用戶(hù)數(shù)量多時(shí)，如果為每一個(gè)需要隔離的用戶(hù)都分配一個(gè) VLAN，則網(wǎng)絡(luò)設(shè)備所能夠支持的最大 VLAN（通常為 256 ～ 4096 個(gè)）的數(shù)量就會(huì)不夠用，同時(shí) IP 地址網(wǎng)段的需求量也會(huì)非常大，因此，傳統(tǒng)的做法實(shí)現(xiàn)很困難甚至不能使用。 PVLAN 技術(shù) 當(dāng)接入用戶(hù)比較多時(shí)而又要保證相互之間的安全，一般所采用的方法就是采用 VLAN 進(jìn)行共同工作組的劃分。 考慮到 VLAN之間的數(shù)據(jù)通訊，本網(wǎng)絡(luò)上 VLAN的劃分還必須結(jié)合 IP 子網(wǎng)的劃分，即一個(gè) VLAN同 時(shí)就是一個(gè) IP 子網(wǎng)的網(wǎng)段。 VLAN 2 為各個(gè) VTP 域的管理 VLAN，專(zhuān)用于校園網(wǎng)所有交換機(jī)的 tel 和 SNMP遠(yuǎn)程管理。 在 學(xué)校 的校園網(wǎng)網(wǎng)絡(luò)中，校園的主干部分（及核心層與匯聚層之間）運(yùn)行動(dòng)態(tài)路由協(xié)議，每個(gè)匯聚層交換機(jī)作為第三層設(shè)備將會(huì)成為廣播流量的邊界，從而也中斷了 VLAN 跨過(guò)主干網(wǎng)絡(luò)，可以說(shuō)每個(gè)匯聚點(diǎn)都是一個(gè) VLAN 管理的域，不同的 VLAN 管理域之間的 VLAN 從命名上或 VLAN ID號(hào)的分配上都沒(méi)有任何關(guān)系。 （ 6）按用戶(hù)定義、非用戶(hù)授權(quán)劃分?；诓呗越M成的 VLAN 能實(shí)現(xiàn)多種分配方法，包括 VLAN 交換機(jī)端口、 MAC地址、 IP 地址、網(wǎng)絡(luò)層協(xié)議等。基于 IPX 的 VLAN，也是按照 OSI（開(kāi)放系統(tǒng)互連）模型的第三層地址來(lái)設(shè)計(jì)的。這種方式有利于在 VLAN 交換機(jī)內(nèi)部實(shí)現(xiàn)路由，也有利于將動(dòng)態(tài)主機(jī)配置（ DHCP）技術(shù)結(jié)合起來(lái)，而且，用戶(hù) 可以移動(dòng)工作站而不需要重新配置網(wǎng)絡(luò)地址，便于網(wǎng)絡(luò)管理。基于 IP 子網(wǎng)的 VLAN，可按照 IPv4 和 IPv6 方式來(lái)劃分 VLAN。這種方式不足之處在于，可使廣播域跨越多個(gè) VLAN 交換機(jī)，容易造成某些 VLAN站點(diǎn)數(shù)目較多，產(chǎn)生大量的廣播包，使 VLAN 交換機(jī)的效率降低。這種按網(wǎng)絡(luò)層協(xié)議來(lái)組成的 VLAN，可使廣播域跨越多個(gè) VLAN 交換機(jī)。 （ 3）按網(wǎng)絡(luò)協(xié)議劃分。 VLAN工作基于工作站的 MAC 地址， VLAN交換機(jī)跟蹤屬于 VLAN MAC的地址，從某種意義上說(shuō)，這是一種基于用戶(hù)的網(wǎng)絡(luò)劃分 手段，因?yàn)?MAC 在工作站的網(wǎng)卡（ NIC）上。其主要缺點(diǎn)在于不允許用戶(hù)移動(dòng)，一旦用戶(hù)移動(dòng)到一個(gè)新的位置，網(wǎng)絡(luò)管理員必須配置新的 VLAN。將 VLAN 交換機(jī)上的物理端口分成若干個(gè)組，每個(gè)組構(gòu)成一個(gè)虛擬網(wǎng)，相當(dāng)于一個(gè)獨(dú)立的 VLAN 交換機(jī)。 定義 VLAN 基本方法：通過(guò)交換端口組。最后， VLAN 架構(gòu)使各機(jī)構(gòu)能夠在網(wǎng)絡(luò)管理中實(shí)現(xiàn)極高程度的 自動(dòng)化。VLAN 架構(gòu)幫助各機(jī)構(gòu)大大降低了網(wǎng)絡(luò)移動(dòng)與變更的高昂費(fèi)用。 我們亦可采用虛擬局域網(wǎng)技術(shù)將地理位置不同的、同屬一個(gè)單位的幾個(gè)局域網(wǎng)劃分成一個(gè)虛擬網(wǎng)段，以便單位內(nèi)部的數(shù)據(jù)共享和管理。 而更吸引人的特點(diǎn)是 VLAN 的劃分可以結(jié)合先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)來(lái)進(jìn)行。 校園網(wǎng)邏輯設(shè)計(jì) VLAN 是基于交換層（即數(shù)據(jù)鏈路層）劃分的。 5．校園網(wǎng)出口 在防火墻上進(jìn)行內(nèi)網(wǎng) IP 地址的 NAT 轉(zhuǎn)換，使內(nèi)網(wǎng)用戶(hù)能訪(fǎng)問(wèn)互聯(lián)網(wǎng)。 S2126G/S2150G 以極高的性?xún)r(jià)比為各類(lèi)型網(wǎng)絡(luò)提供 完善的端到端的 QoS 服務(wù)質(zhì)量、靈活豐富的安全策略管理和基于策略的網(wǎng)管，最大化滿(mǎn)足高速、安全、智能的網(wǎng)絡(luò)新需求。 STARS2126G /S2150G 是兩款全線(xiàn)速可堆疊的安全智能交換機(jī)，在提供智能的流分類(lèi)、完善的服務(wù)質(zhì)量（ QoS）和組播應(yīng)用管理特性同時(shí)，并可以根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，實(shí)施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶(hù)使用網(wǎng)絡(luò)，保證合法用戶(hù)合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng) 。 RGS3760 系列以高性能、高安全、多業(yè)務(wù)、易用性特性為大型網(wǎng)絡(luò)匯聚和中型網(wǎng)絡(luò)核心提供了 IPv4/IPv6 的多層交換、端到端的服務(wù)質(zhì)量、靈活豐富的安全措施和基于策略的網(wǎng)管，最大化滿(mǎn)足高速、安全、多業(yè)務(wù)的下一代企業(yè)網(wǎng)需求。 RGS3760 系列交換機(jī)在提供高性能、多業(yè)務(wù)的同時(shí)，其內(nèi)在的安全防御機(jī)制和用戶(hù)管理能力，更可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶(hù)接入和使用網(wǎng)絡(luò)，保證合法 用戶(hù)合理化使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全、網(wǎng)絡(luò)合理化使用和運(yùn)營(yíng)。 2．匯聚層 匯聚層采用千兆三層交換機(jī) RGS3760。 RGS6800 系列是銳捷網(wǎng)絡(luò)的全模塊化、高密度端口萬(wàn)兆核心路由交換機(jī)。 具體 網(wǎng)絡(luò)拓?fù)鋱D如下： （修改） C H I N A N E TC E R N E T1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV D M 0OK M O DOKPV D M 1OK 1010SL O T 0OK SL O T 1OK SL O T 2OK 0 1 SL O T 3OK 0 1C I S C O 1 7 0 0 SER I EST H ESE SL O T S A C C EPT O N L Y V O I C E I N T ER F A C E C A R D S1 0 / 1 0 0 ET H ER N ET A U XC O N SO L EL I N K100A C T C O L F D XOKPW R PV