【正文】 況對網(wǎng)絡(luò)進(jìn)行合理規(guī)劃和有效管理，導(dǎo)致網(wǎng)絡(luò)設(shè)備很多很有用的功能都無法在網(wǎng)絡(luò)系統(tǒng)中發(fā)揮作用。本文結(jié)合目前商丘職業(yè)校園網(wǎng)建設(shè)的現(xiàn)狀及存在的問題，介紹了一些新技術(shù)，提出了相應(yīng)的優(yōu)化設(shè)計(jì)方案，旨在為校園網(wǎng)的建設(shè)提供一些思路，使各地商丘職業(yè)校園網(wǎng)的構(gòu)建能 夠經(jīng)濟(jì)、實(shí)用，并具有一定的前瞻性，真正為商丘職業(yè)的教學(xué)、科研、管理發(fā)揮盡可能大的效益。 一個高性能、高可靠性的網(wǎng)絡(luò)系統(tǒng)，除了必須要具備先進(jìn)的網(wǎng)絡(luò)設(shè)備外，更需要具有系統(tǒng)化的網(wǎng)絡(luò)規(guī)劃及先進(jìn)的網(wǎng)絡(luò)管理手段。 一個 商丘 校園網(wǎng)絡(luò)的規(guī)劃和管理，是一個涉及面廣、 技術(shù)含量高的系統(tǒng)工程。即要考慮盡量采用目前公認(rèn)的先進(jìn)網(wǎng)絡(luò)技術(shù)，又要考慮到學(xué)校經(jīng)濟(jì)上的承受能力。 校園網(wǎng)發(fā)展現(xiàn)狀 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)已經(jīng)成為 各種信息快速、方便地傳播的通道。學(xué)校師生在享受互聯(lián)網(wǎng)帶來的種種便利的同時，不安全因素也常常來到他們身邊肆意橫行，干擾系統(tǒng)的正常運(yùn)行，造成計(jì)算機(jī)運(yùn)行速度變慢、頻繁死機(jī)、一些軟件不能正常使局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 2 用等現(xiàn)象，甚至造成數(shù)據(jù)被破壞、網(wǎng)絡(luò)及服務(wù)器癱瘓等問題，影響正常的教學(xué)、科研等工作。具體來說，危害網(wǎng)絡(luò)安全的主要威脅有：非授權(quán)訪問，即對網(wǎng)絡(luò)設(shè)備及信息資源進(jìn) 行非正常使用或越權(quán)使用等；冒充合法用戶，即利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限，以達(dá)到占用合法用戶資源的目的；破壞數(shù)據(jù)的完整性，即使用非法手段，刪除、修改、重發(fā)某些重要信息，以干擾用戶的正常使用；干擾系統(tǒng)正常運(yùn)行。 IDC 的統(tǒng)計(jì)曾顯示，有 30％－ 40％的 Inter 訪問是與工作無關(guān)的，甚至有的是去訪問色情、暴力、反動等站點(diǎn)。而對校園網(wǎng)來說，面對形形色色、良莠不分的網(wǎng)絡(luò)資源，如不具有 識別和過濾作用，不但會造成大量非法內(nèi)容或郵件出入，占用大量流量資源，造成流量堵塞、上網(wǎng)速度慢等問題，而且某些網(wǎng)站如娛樂、游戲、暴力、色情、反動消息等不良網(wǎng)絡(luò)內(nèi)容，將極大地危害青少年的身心健康，導(dǎo)致無法想象的后果。安全政策描述校園網(wǎng)安全的目標(biāo)和需求，是一個組織安全管理的需求說明，它是執(zhí)行各項(xiàng)管理制度、技術(shù)措施的依據(jù)，一般規(guī)定“做什么”而不是“怎么做”，告訴用戶哪些行為是允許的、哪些行為是不允許的，違反了這些約定將會受到怎樣的處罰。一個可行的安全政策應(yīng)該根據(jù)我國的相關(guān)法律、法規(guī)以及學(xué)校的管理制度和具體情況制定，不存在通用的、可實(shí)施的安全政策。 (2),加強(qiáng)安全組織建設(shè)。另外，安全管理各項(xiàng)措施的實(shí)施 ,單純依靠網(wǎng)絡(luò)中心的力量也是不充分的。加強(qiáng)用戶安全意識和管理員安全技術(shù)的培訓(xùn)工作非常重要。 各種類型網(wǎng)站和程序的應(yīng)用，造成病毒泛濫，形成對網(wǎng)絡(luò)安全的嚴(yán)重沖擊，同時學(xué)生經(jīng)常使用可以移動存儲設(shè)備在不同的計(jì)算上拷貝文件，造成病毒感染。我們提出病毒安全智能點(diǎn)前置的安全方案，即在網(wǎng)絡(luò)的匯聚三層交換機(jī)上實(shí)施不同的病毒安全策略。當(dāng)交換機(jī)偵測到病毒后交換機(jī)立即給用戶發(fā)布信息提示用戶殺毒，并啟動網(wǎng)絡(luò)管理員配置的斷開該用戶的時間程序，比如管理員設(shè)定的時間是 2 小時，在發(fā)現(xiàn)有病毒 2 小時后，開通該用戶的網(wǎng)絡(luò)，再次檢測是否有病毒，如果用戶已經(jīng)殺掉病毒，就為他開通。這種策略做到了有病毒的計(jì)算機(jī)不能使用網(wǎng)絡(luò)，同時網(wǎng)絡(luò)中心也知道具體的用戶中了病毒，利于網(wǎng)絡(luò)管理員定位和發(fā)現(xiàn)病毒源，保證整個網(wǎng)絡(luò)無病毒運(yùn)行。 針對當(dāng)前內(nèi)網(wǎng)安全薄弱的現(xiàn)實(shí)情況，在業(yè)內(nèi)率先推出的能夠?qū)崿F(xiàn)內(nèi)網(wǎng)個人訪問控制和訪問跟蹤的安全產(chǎn)品。革新了傳統(tǒng)的網(wǎng)絡(luò)安全模式和思維，克服了傳統(tǒng)網(wǎng)絡(luò)“外強(qiáng)中干”的缺陷。同時還具有對用戶的控制功能。我們的網(wǎng)絡(luò)監(jiān)控在校園網(wǎng)的應(yīng)用，可以知道學(xué)生的上網(wǎng)的情況，即使發(fā)現(xiàn)并阻止學(xué)生上不健康局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 4 的網(wǎng)站。 (5),防范代理 。這樣學(xué)校提供給學(xué)生一條上網(wǎng)的線路，就會給多個學(xué)生使用，大大消耗了網(wǎng)絡(luò)資源，給學(xué)校的運(yùn)營帶來很大的損失。正真做到學(xué)校提供一個網(wǎng)絡(luò)端口只能一個用戶上網(wǎng)。 學(xué)生是一個不安分、好奇心強(qiáng)的群體，他們會一方面把學(xué)校的網(wǎng)絡(luò)當(dāng)作一個實(shí)驗(yàn)環(huán)境，測試各種網(wǎng)絡(luò)功能，另一方面，他們在不斷地尋找方法擺脫學(xué)校對學(xué)生網(wǎng)絡(luò)資源使用的控制。一些活躍的學(xué)生用自己的計(jì)算機(jī)和操作系統(tǒng)配置一個 DHCP SEVER，使在網(wǎng)絡(luò)上的計(jì)算機(jī)從假冒的 DHCP SEVER 了解到 IP 地址，導(dǎo)致合法用戶不能登陸到 DHCP 提供的 正確IP 地址而無法使用網(wǎng)絡(luò)資源。并且，認(rèn)證方式基于用戶流而不是物理端口，假冒的 IP 和 MAC 在這里就起不到任何作用。一個 VLAN可以在一個交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。 VLAN 相當(dāng)于 OSI 參考模型的第二層的廣播域，能夠?qū)V播風(fēng)暴控制在一個 VLAN 內(nèi)部，劃分 VLAN 后，由于廣播域的縮小，網(wǎng)絡(luò)中廣播包消耗帶寬所占的比例大大降低，網(wǎng)絡(luò)的性能得到顯著的提高。網(wǎng)絡(luò)管理員通過控制交換機(jī)的每一個端口來控制網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)資源的訪問，同時 VLAN 和第三層第四層的交換結(jié)合使用能夠?yàn)榫W(wǎng)絡(luò)提供較好的安全措施。 VLAN 技術(shù)的應(yīng)用 近來參加了不少醫(yī)院網(wǎng)絡(luò)方案的討論和評標(biāo)活動，在幾乎所有 醫(yī)院的方案中都或多或少地采用了虛擬局域網(wǎng) (VLAN)技術(shù)，但筆者發(fā)現(xiàn)大多數(shù)方案中的VLAN 設(shè)計(jì)都存在一個共同且致命的缺陷，那就是 VLAN 跨越網(wǎng)絡(luò)的核心。 VLAN 相互受影響 根據(jù) VLAN 的定義和技術(shù)規(guī)范， VLAN 不是由獨(dú)享的物理設(shè)備和物理鏈路搭建的物理子網(wǎng)或網(wǎng)段， VLAN 與實(shí)實(shí)在在的物理子網(wǎng)的本質(zhì)區(qū)別在于， VLAN之間要共享物理設(shè)備和物理鏈路，因此， VLAN 間就會通過所共享的設(shè)備和鏈路相互影響。也就是說， VLAN 所構(gòu)造的子網(wǎng) (廣播域 )是軟件實(shí)現(xiàn)的，而不是由網(wǎng)絡(luò)拓?fù)渌鶝Q定的。 知道了 VLAN 的工作原理，就不難解釋 VLAN 間的影響了，同一交換機(jī)上的不同 VLAN 要共享交換機(jī)、要爭奪交換機(jī)的 CPU 和背板資源。另一種我們稱之為“路由共享”，也可以說是三層共享，在這種類型的共享中，不同 VLAN的數(shù)據(jù)包是以路由 (三層交換 )方式穿過交換機(jī)的 (如圖 2 中虛線所示 )，通過的包基本上不含有一般的廣播包 (DHCP 和特殊協(xié)議的廣播除外 )。 在正常情況下， VLAN 間的這種影響不被我們所注意，原因是共享的交換機(jī)有足夠的交換能力，鏈路不是很擁擠，但在某一 VLAN 出現(xiàn)異常時 (如感染病毒或出現(xiàn)環(huán)路 )情況就不同了。如果故障點(diǎn)發(fā)生在核心交換機(jī)附近，那么整個網(wǎng)絡(luò)就有可能癱瘓。 三層共享有作用 由 VLAN 的性質(zhì)所決定，完全消除 VLAN 間的鏈路和設(shè)備的共享在理論上是不可能的。如何做到這一點(diǎn)呢 ?在實(shí)踐中我們總結(jié)出如下原則 :應(yīng)盡量避免在同一交換機(jī)中配置多個 VLAN。前者較好理解，也容易實(shí)現(xiàn)，我們重點(diǎn)討論后者，即如何做到 VLAN 不跨越核心交換機(jī)和拓?fù)浣Y(jié)構(gòu)的“層”。很顯然，這時的核心交換機(jī)既阻擋了各 VLAN 的廣播包，又轉(zhuǎn)發(fā)了 VLAN 間的正常數(shù)據(jù)流，其被共享的形式由“廣播式”變成了“路由式”，受 VLAN 影響的程度變小。這種說法無疑是正確的，但這點(diǎn)性能的降低對于當(dāng)今的三層交換機(jī)所能提供的性能來說已經(jīng)局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 7 算不得什么了。 三層結(jié)構(gòu)最有效 不 同物理位置上的計(jì)算機(jī)能像在同一物理網(wǎng)中一樣相互訪問。這在以往會有些問題，但網(wǎng)絡(luò)技術(shù)發(fā)展到今天，交換機(jī)與路由器間的差別變得越來越小，原來用二層實(shí)現(xiàn)的方法很多都能夠用三層技術(shù)所代替。 盡管核心交換機(jī)被共享的形式改變 了，但仍存在受到各 VLAN 出現(xiàn)異常情況的影響。 在三層網(wǎng)絡(luò)結(jié)構(gòu)中，匯聚層與核心層之間的區(qū)域不再有 VLAN，匯聚層交換機(jī)的 VLAN 也僅限于部分端口，這時匯聚層交換機(jī)成為被“路由共享”的交換機(jī)，而且這種“路由共享”的情況更弱。 任何 方案都具有利的一面和不利的一面，三層拓?fù)浣Y(jié)構(gòu)的網(wǎng)絡(luò)也會帶來一些問題 :利用一般的手段較難實(shí)現(xiàn)對各個 VLAN 進(jìn)行集中式的遠(yuǎn)程管理，對于這個問題的解決方案可充分利用網(wǎng)管軟件。 這兩點(diǎn)是大型網(wǎng)絡(luò)管理本身的要求，大型網(wǎng)絡(luò)的管理不可能不使用網(wǎng)絡(luò)管理工具，技術(shù)人員的缺乏更是各個企業(yè)都面臨的問題，對此有的專家提出了“ IT物業(yè)”的理念，也許這就是將來解決這個問題的最終方案。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和 VLAN 技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。因此，防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。 Trunking Trunking 技術(shù)介紹 Trunking 是用來在不同的交換機(jī)之間進(jìn)行連接，以保證在跨越多個交換機(jī)上建立的同一個 VLAN 的成員能夠相互通訊。 trunk 這個詞是干線或者樹干的意思，不過一般不翻譯，直接用原文。假設(shè)沒有Trunking 技術(shù)，如果你在 2 個交換機(jī)上分別劃分了多個 VLAN（ VLAN 也是基于Layer2 的），那 么分別在兩個交換機(jī)上的 VLAN10 和 VLAN20 的各自的成員如果要互通，就需要在 A 交換機(jī)上設(shè)為 VLAN10 的端口中取一個和交換機(jī) B 上設(shè)為 VLAN10 的某個端口作級聯(lián)連接。那么如果交換機(jī)上劃了 10 個 VLAN 就需要分別連 10 條線作級聯(lián)，端口效率就太低了。這樣的話，就算交換機(jī)上設(shè)了 1024 個 VLAN 也只用 1 個端口就解決了。例如當(dāng) 2 或 4 條線路綁定成 1 個 FastEtherChannel 或者 GigaEtherChannel 時，只要將 Channel 中的某個端口設(shè)為 Trunk， Channel 涉及的所有端口即變?yōu)?Trunk模式。通過配置，可通過 2 個、 3 個或 4 個端口進(jìn)行捆綁，分別負(fù)責(zé)特定端口的數(shù)據(jù)轉(zhuǎn)發(fā)，防止單條鏈路轉(zhuǎn)發(fā)速率過低而出現(xiàn)丟包的現(xiàn)象。 (2),不需重新布線，也無須考慮千兆網(wǎng)令人頭疼的傳輸距離極限。 (4),Trunking 可以提供負(fù)載均衡能力以及系統(tǒng)容錯。 以太通道技術(shù)是通過在兩點(diǎn)間并行多條物 理鏈路，邏輯上合并為一條鏈路，增加主干帶寬。 第三層交換技術(shù) 第三層交換技術(shù)簡介 第三層交換技術(shù)是 1997 年前后才開始出現(xiàn)的一種交換技術(shù)，最初是為了解決廣播域的問題。簡單地說，可以處理網(wǎng)絡(luò)第三層數(shù)據(jù)轉(zhuǎn)發(fā)的交換技術(shù)就是第三層交換技術(shù)。而第三層的功能主要是利用第三層的 地址實(shí)現(xiàn)報(bào)文的路由功能。可以說第三層交換機(jī)本質(zhì)上是用硬件實(shí)現(xiàn)的一種高速路由器。它以其高效的性能、優(yōu)良的性能價格比得到用戶的認(rèn)可和贊許。 實(shí)例 局域網(wǎng)網(wǎng)絡(luò)優(yōu)化 10 假設(shè)兩個使用 IP 協(xié)議的站點(diǎn) A、 B 通過第三層交換機(jī)進(jìn)行通信，發(fā)送站點(diǎn)A 在開始發(fā)送時，會先拿自己的 IP 地址與 B 站的 IP 地址進(jìn)行比較，判斷 B 站是否與自己在同一子網(wǎng)內(nèi)。具體步驟如下：為了得到站點(diǎn) B 的 MAC 地址，站點(diǎn) A 首先發(fā)一個 ARP廣播報(bào)文，請求站點(diǎn) B 的 MAC 地址。由于此時是一個廣播報(bào)文 ，交換機(jī)則會把這個廣播報(bào)文從進(jìn)入交換機(jī)端口所屬的VLAN 中進(jìn)行廣播。該包進(jìn)入交換機(jī)后，同樣，首先進(jìn)行源 MAC 地址學(xué)習(xí)，然后進(jìn)行目的地址查找，由于此時 MAC 地址表中已經(jīng)存在了 A 站點(diǎn) MAC 地址的匹配條目，所以交換機(jī)直接把此報(bào)文從相應(yīng)的端口中轉(zhuǎn)發(fā)出去。以后 A、 B 之間進(jìn)行通信或者同一網(wǎng)段的其它站點(diǎn)想要與 A 或 B 通信，交換機(jī)就知 道該把報(bào)文從哪個端口送出。從以上過程可以看出，所有二層轉(zhuǎn)發(fā)都是由硬件完成的，無論是 MAC 地址表的學(xué)習(xí)過程還是目的地址查找確定輸出端口過程都沒有軟件進(jìn)行干預(yù)。站點(diǎn) A 和 B 所在網(wǎng)段都 屬于交換機(jī)上的直連網(wǎng)段，若站點(diǎn) A 和站點(diǎn) B 不在同一子網(wǎng)內(nèi)，發(fā)送站 A 首先要向其“缺省網(wǎng)關(guān)”發(fā)出 ARP 請求報(bào)文，而“缺省網(wǎng)關(guān)”的 IP 地址其實(shí)就是三層交換機(jī)上站點(diǎn) A 所屬 VLAN 的 IP 地址。站點(diǎn) A 收到這個 ARP 回復(fù)報(bào)文之后，進(jìn)行目的 MAC 地址替換，把要發(fā)給B 的包首先發(fā)給交換 機(jī)。一般來說，三層引擎會有兩個表，一個是主機(jī)路由表，這個表是以 IP 地址為索引的，里面存放目的 IP地址、下一跳 MAC 地址、端口號等信息。若主機(jī)路由表中沒有找到匹配條目，則會繼續(xù)查找另一個表――網(wǎng)段路由表。一般來說這個表的條目要少得多，但覆蓋的范圍很大，只要設(shè)置得當(dāng)，基本上可以保證大部分進(jìn)入交換機(jī)的報(bào)文都走硬件轉(zhuǎn)發(fā)，這樣不僅大大提高轉(zhuǎn)發(fā)速度，同時也減輕了 CPU 的負(fù)荷。由于站點(diǎn) B 屬于交換機(jī)的直連網(wǎng)段之一，CPU 收到這個 IP 報(bào)文以后，會直接以 B 的 IP 為索引檢查 ARP 緩存，若沒有站點(diǎn) B 的 MAC 地址，則根據(jù)路由信息向 B 站廣播一個 ARP 請求， B 站得到此 ARP請求后向交換機(jī)回復(fù)其 MAC 地址， CPU 在收到這個 ARP 回復(fù)報(bào)文的同時，同樣可以通過軟件把站點(diǎn) B 的 IP 地址、 MAC 地址、進(jìn)入交換機(jī)