校園網(wǎng)絡(luò)安全設(shè)計

背景校園網(wǎng)是各種類型網(wǎng)絡(luò)中一大分支，有著非常廣泛的應(yīng)用。作為新技術(shù)的發(fā)祥地，學校、尤其是高等學校和網(wǎng)絡(luò)的關(guān)系十分密切，網(wǎng)絡(luò)最初是在校園里進行實驗并獲得成功的，許多網(wǎng)絡(luò)新技術(shù)也是首先在校園網(wǎng)中獲得成功，進而才推向社會的。我國自1993年與Internet連通以來，已建成了四大主干信息網(wǎng)：中國公眾信息網(wǎng)ChinaNET，中國金橋網(wǎng)ChinaGBN，中國教育科研網(wǎng)CERNET和中科院網(wǎng)CASNET。全國各大中城市的網(wǎng)絡(luò)節(jié)點相繼開通。Internet的開展帶動了全世界的信息產(chǎn)業(yè)的開展，也為現(xiàn)代學校應(yīng)用程序結(jié)構(gòu)提供了一個新的計算模式，這種計算模式能真正適應(yīng)學校開展的需要，使學校的計算機應(yīng)用提高到一個新的水平。將Internet技術(shù)應(yīng)用到學校內(nèi)部，并建立基于這種開放技術(shù)的學校應(yīng)用程序，使學校本身具有了Internet的特性，這種應(yīng)用體系結(jié)構(gòu)就是Intranet──學校內(nèi)部網(wǎng)。Internet和Intranet代表著全新的信息時代的到來。Intranet使實現(xiàn)學校內(nèi)部的信息化成為可能。學校工作人員和在校學生面對的信息資源已不僅僅來自于一個部門、一個學?；蛘呤且粋€行業(yè)，而是所有Internet世界上的資源，使得學校教學、科研、管理和決策更為有效。本次設(shè)計就從學校的需求分析入手，以我校為例設(shè)計出一個本校區(qū)的校園網(wǎng)，并闡述了校園網(wǎng)的網(wǎng)絡(luò)拓撲、地址規(guī)劃、設(shè)備選型以及配置等。校園網(wǎng)總體設(shè)計主干網(wǎng)設(shè)計隨著校園網(wǎng)用戶數(shù)目與新的應(yīng)用需求不斷增加，特別是網(wǎng)上多媒體及遠程教育應(yīng)用的展開，對校園網(wǎng)主干帶寬提出了新的更高的要求，因此校園網(wǎng)的主干〔即核心層交換機與會聚層交換機之間或核心層交換機與效勞器之間的連接〕采用千兆以太網(wǎng)技術(shù)，在距離允許的范圍內(nèi)，還應(yīng)當盡量采用當前性價比最好的千兆銅纜以太網(wǎng)技術(shù)〔1000Base-T〕。1000Mbps以太網(wǎng)交換技術(shù)為主干，可以做到1000Mbps全光纜到二級交換機，100Mbps到桌面。層次化網(wǎng)絡(luò)設(shè)計根據(jù)本校網(wǎng)絡(luò)的實際情況，網(wǎng)絡(luò)層次應(yīng)包括核心層、會聚層和接入層三個層次。接入層位于連接到網(wǎng)絡(luò)的最終用戶處，通常在用戶之間提供第2層連接性，該層的設(shè)備必須具備具備下述功能：低交換機端口本錢；高端口密度；連接到高層的可擴展上行鏈路；用戶接入功能，如VLAN成員資格、數(shù)據(jù)流和協(xié)議過濾以及效勞質(zhì)量〔QoS〕。會聚層將校園網(wǎng)的接入層和核心層連接起來，該層的設(shè)備必須具備下述的功能：聚集多臺接入層設(shè)備；較高的第3層分組處理吞吐量；使用訪問列表和分組過濾器提供平安和基于策略的連接；連接到核心層和接入層的高速連接具有可擴展性和彈性。校園網(wǎng)的核心層連接所有的會聚層設(shè)備，該層必須能夠盡可能高效地交換數(shù)據(jù)流。該層應(yīng)具有下述功能：第2層和第3層的吞吐量非常高；不執(zhí)行高本錢或不必要的分組處理〔訪問列表、分組過濾〕；支持高可用性的冗余和彈性；高級Qos功能。網(wǎng)絡(luò)冗余設(shè)計 由于大學網(wǎng)絡(luò)規(guī)模巨大、涉及到的用戶很多，如果網(wǎng)絡(luò)特別是骨干網(wǎng)絡(luò)出現(xiàn)任何的問題將導致很大的不良影響，因此對網(wǎng)絡(luò)的可靠性和可用性要求很高。網(wǎng)絡(luò)的冗余設(shè)計除了選擇具有冗余設(shè)計的網(wǎng)絡(luò)設(shè)備外，網(wǎng)絡(luò)的冗余設(shè)計也十分重要，因此，分校區(qū)與主校區(qū)之間采用雙鏈路相連，秦皇島校區(qū)和昌黎校區(qū)核心層可采用兩臺核心交換機，會聚層交換機分別用兩條線路接到這兩臺核心交換機上，即可實現(xiàn)線路的冗余。網(wǎng)絡(luò)拓撲設(shè)計圖校區(qū)拓撲圖：校區(qū)網(wǎng)絡(luò)拓撲：圖STYLEREF1\s2SEQ圖\*ARABIC\s16設(shè)備選型校園網(wǎng)絡(luò)主干為千兆網(wǎng)絡(luò)，百兆交換到桌面，保障所有用戶同時調(diào)用效勞資源時都能快速、流暢，充分發(fā)揮多媒體課室教學的作用；同時保證所有用戶同時上網(wǎng)順暢，使校園網(wǎng)絡(luò)的功能發(fā)揮得淋漓盡致。為了實現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一，本設(shè)計方案中完全采用同一廠家的網(wǎng)絡(luò)產(chǎn)品，即Cisco公司的網(wǎng)絡(luò)設(shè)備構(gòu)建。全網(wǎng)使用同一廠商設(shè)備的好處是可以實現(xiàn)各種不同網(wǎng)絡(luò)設(shè)備功能的互相配合和補充。下面就介紹本案例中的設(shè)備型號及具體參數(shù)、報價等信息：核心層設(shè)備：CISCOWS-C6509-NEB-A(CISCOWS-C6509-NEB-A)類別：交換機品牌：CISCO〔思科〕參考價格：￥5.87萬[北京]交換機類：企業(yè)級交換機應(yīng)用層級：四層傳輸速率：10Mbps/100Mbps/1000M背板帶寬：720GbpsVLAN支持：支持網(wǎng)管功能：CiscoWorks2000,RMON包轉(zhuǎn)發(fā)率：387Mpps網(wǎng)絡(luò)標準：IEEE802.3,IEEE802端口結(jié)構(gòu)：模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：512MB傳輸模式：支持全雙工QOS支持：支持網(wǎng)管支持：支持模塊化插：9電源電壓：DC,6000;AC,4000W產(chǎn)品尺寸：846×437×460會聚層設(shè)備：CISCOWS-C3560G-24TS-S(CISCOWS-C3560G-24TS-S)類別：交換機品牌：CISCO〔思科〕參考價格：￥1.5萬[北京]交換機類：企業(yè)級交換機應(yīng)用層級：三層接口介質(zhì)：10/100/1000BASE-T/10傳輸速率：10Mbps/100Mbps/1000M端口數(shù)量：24背板帶寬：32GbpsVLAN支持：支持網(wǎng)管功能：網(wǎng)管功能SNMP,CLI,包轉(zhuǎn)發(fā)率：38.7MppsMAC地址：12k網(wǎng)絡(luò)標準：IEEE802.3、IEEE802端口結(jié)構(gòu)：非模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：128MBDRAM和32MB閃傳輸模式：支持全雙工配置形式：可堆疊QOS支持：支持網(wǎng)管支持：支持模塊化插：2電源電壓：100-240VAC(自動適應(yīng)接入層設(shè)備：CISCOWS-C2960-48TT-L(CISCOWS-C2960-48TT-L)類別：交換機品牌：CISCO〔思科〕參考價格：￥7000[北京]交換機類：智能交換機應(yīng)用層級：二層接口介質(zhì)：10/100Base-T、10/100傳輸速率：10Mbps/100Mbps/1000M端口數(shù)量：48背板帶寬：6.8GbpsVLAN支持：支持網(wǎng)管功能：Web瀏覽器,SNMP,CLI包轉(zhuǎn)發(fā)率：10.1MppsMAC地址：8K網(wǎng)絡(luò)標準：IEEE802.3、IEEE802端口結(jié)構(gòu)：非模塊化交換方式：存儲-轉(zhuǎn)發(fā)產(chǎn)品內(nèi)存：64MB傳輸模式：全雙工/半雙工自適應(yīng)QOS支持：支持校園網(wǎng)詳細設(shè)計及實現(xiàn)VLAN及IP地址規(guī)劃在一個大、中型網(wǎng)絡(luò)里，VLAN的劃分是必不可少的步驟之一。在本校園網(wǎng)設(shè)計實例中，將整個網(wǎng)絡(luò)劃分為5個ＶＬＡＮ，具體VLAN和IP地址的劃分如下表所示：表一Vlan及IP地址編址方案Vlan號IP網(wǎng)段網(wǎng)關(guān)說明Vlan1管理VlanVlan2軟件樓VlanVlan3圖書館VlanVlan4教學樓ABCDE區(qū)VlanVlan5行政樓Vlan表二交換機IP地址劃分方案交換機名IP地址網(wǎng)關(guān)說明A(S1)教學樓A區(qū)交換機1B(S2)教學樓B區(qū)交換機2C(S1)教學樓C區(qū)交換機1D(S2)教學樓D區(qū)交換機2E(S1)教學樓E區(qū)交換機1C(S2)行政樓交換機TW(S1)圖書館交換機交換模塊設(shè)計 為了簡化交換網(wǎng)絡(luò)設(shè)計、提高交換網(wǎng)絡(luò)的可擴展性，在園區(qū)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進行的。 園區(qū)網(wǎng)數(shù)據(jù)交換設(shè)備可劃分為三個層次：訪問層、分布層、核心層。交換機配置以圖書館交換機為例Switch>enableSwitch#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablepassword123Switch(config)#linecon0Switch(config-line)#login%Logindisabledonline0,until'password'issetSwitch(config-line)#linevty04Switch(config-line)#password123Switch(config-line)#loginSwitch(config-line)#password123Switch(config-line)#exitSwitch(config)#vlan1Switch(config-vlan)#nameADMINSwitch(config-vlan)#intvlan1Switch(config-if)#%LINK-5-CHANGED:InterfaceVlan102,changedstatetoupSwitch(config-if)#ipadd192.168.3.1Switch(config-if)#exitSwitch(config)#vlan2Switch(config-vlan)#exitSwitch(config)#vlan2Switch(config-vlan)#nameTSGSwitch#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#intGig0/1Switch(config-if)#switchportmodetrunkSwitch(config-if)#exitSwitch(config)#intGig1/1Switch(config-if)#switchportaccessvlan80Switch(config-if)#exit2．配置訪問層圖書館交換機的管理IP、默認網(wǎng)關(guān)訪問層交換機是OSI參考模型的第2層設(shè)備，即數(shù)據(jù)鏈路層的設(shè)備。因此，給訪問層交換機的每個端口設(shè)置IP地址是沒意義的。但是，為了使網(wǎng)絡(luò)管理人員可以從遠程登錄到訪問層交換機上進行管理，必要給訪問層交換機設(shè)置一個管理用IP地址。這種情況下，實際上是將交換機看成和PC機一樣的主機?！瞔onfig〕#intervlan1(config-if)#noshutdown為了使網(wǎng)絡(luò)管理人員可以在不同的子網(wǎng)管理此交換機，還應(yīng)設(shè)置默認網(wǎng)關(guān)地址192.168.3.254，如下圖。3．配置訪問層交換機的VLAN及VTP從提高效率的角度出發(fā)，在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時，將分布層交換機設(shè)置成為VTP效勞器，其他交換機設(shè)置成為VTP客戶機。這里訪問層交換機將通過VTP獲得在分布層交換機中定義的所有VLAN的信息。#vlandatabase(vlan)#vtpclientDevicemodealreadyvtoclient4．配置訪問層交換機端口根本參數(shù)〔1〕端口雙工和速度配置設(shè)置訪問層交換機的所有端口均工作在全雙工模式。(config)#interrangefa0/0-15(config-if-range)#speed100(config-if-range)#dup(config-if-range)#duplexfull5．配置訪問層交換機的訪問端口訪問層交換機為終端用戶提供接入效勞。(config)#interrangefa0/0-15(config-if-range)#switchp(config-if-range)#switchportmodeaccess(config-if-range)#switchportaccessvlan2設(shè)置快速端口默認情況下，交換機在剛加電啟動時，每個端口都要經(jīng)歷生成樹的四個階段：阻塞、偵聽、學習、轉(zhuǎn)發(fā)。在能夠轉(zhuǎn)發(fā)用戶的數(shù)據(jù)包之前，某個端口可能最多要等50秒鐘的時間〔20秒的阻塞時間＋15秒的偵聽延遲時間＋15秒的學習延遲時間〕。對于直接接入終端工作站的端口來說，用于阻塞和偵聽的時間是不必要的。為了加速交換機端口狀態(tài)轉(zhuǎn)化時間，可以設(shè)置將某端口設(shè)置成為快速端口〔Portfast〕。設(shè)置為快速端口的端口當交換機啟動或端口有工作站接入時，將會直接進入轉(zhuǎn)發(fā)狀態(tài)，而不會經(jīng)歷阻塞、偵聽、學習狀態(tài)〔假設(shè)橋接表已經(jīng)建立〕。(config)#interrangefa0/0-15(config-if-range)#spann(config-if-range)#spanning-treepo(config-if-range)#spann-treeportfast6．配置訪問層交換機的trunk端口設(shè)置訪問層交換機的端口FastEthernet0/0為trunk端口。7．配置其它訪問層交換機其它訪問層交換機分別為剩余VLAN的用戶提供接入效勞。同時，它們也通過自己的fa0/0連到分布層交換機的端口上。這些剩余的訪問層交換機其配置步驟、命令與訪問層交換機的配置相似。會聚層分布層除了負責將訪問層交換機進行聚集外，還為整個交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能。1．配置分布層交換機fenbu1的根本參數(shù)對分布層交換機fenbu1的根本參數(shù)的配置步驟與對訪問層交換機的根本參數(shù)的配置類似。(config)#enablesecret123(config)#lineconsole0(config-line)#exec-timeout510(config-line)#linevty04(config-line)#password123(config-line)#login(config-line)#exec-timeout510(config-line)#exit(config)#noipdomainlookup2．配置分布層交換機的VTP當網(wǎng)絡(luò)中交換機數(shù)量很多時，需要分別在每臺交換機上創(chuàng)立很多重復(fù)的VLAN。工作量很大、過程很繁瑣，并且容易出錯。因此我們常采用VLAN中繼協(xié)議〔VlanTrunkingProtocol，VTP〕來解決這個問題。VTP允許我們在一臺交換機上創(chuàng)立所有的VLAN。然后，利用交換機之間的互相學習功能，將創(chuàng)立好的VLAN定義傳播到整個網(wǎng)絡(luò)中需要此VLAN定義的所有交換機上。同時，有關(guān)VLAN的刪除、參數(shù)更改操作均可傳播到其他交換機。從而大大減輕了網(wǎng)絡(luò)管理人員配置交換機負擔。在本校園網(wǎng)實現(xiàn)實例中使用了VTP技術(shù)。同時，將分布層交換機設(shè)置成為VTP效勞器，其他交換機設(shè)置成為VTP客戶機?！?〕配置VTP管理域共享相同VLAN定義數(shù)據(jù)庫的交換機構(gòu)成一個VTP管理域。每一個VTP管理域都有一個共同的VTP管理域域名。不同VTP管理域的交換機之間不交換VTP通告信息。將VTP管理域的域名定義為"campus"。#vlandatabase(vlan)#vtpdomaincapus〔2〕設(shè)置VTP效勞器工作在VTP效勞器模式下的交換機可以創(chuàng)立、刪除VLAN、修改VLAN參數(shù)。同時，還有責任發(fā)送和轉(zhuǎn)發(fā)VLAN更新消息。核心模塊設(shè)計核心層1．配置核心層交換機的根本參數(shù)對核心層交換機的根本參數(shù)的配置步驟與對訪問層交換機的根本參數(shù)的配置類似。根本配置如下：Switch>enableSwitch#configtEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#enablepassword123Switch(config)#linecon0Switch(config-line)#login%Logindisabledonline0,until'password'issetSwitch(config-line)#linevty04Switch(config-line)#loginSwitch(config-line)#password123圖STYLEREF1\s3SEQ圖\*ARABIC\s1202．配置核心層交換機core1的管理IP、默認網(wǎng)關(guān)如下圖，顯示了為核心層交換機core1設(shè)置管理IP并激活本征VLAN。同時，還設(shè)置了默認網(wǎng)關(guān)的地址。Switch(config)#vlan1Switch(config-vlan)#nameAdminSwitch(config-vlan)#intvlan1Switch(config-if)#ipadd192.168.3.1Switch(config-if)#noshutdown圖STYLEREF1\s3SEQ圖\*ARABIC\s1213.配置核心層交換機的的VLAN及VTP在本實例中，核心層交換機也將作為VTP客戶機。這里核心層交換機將通過VTP獲得在分布層交換機fenbu1中定義的所有VLAN的信息.4．配置核心層交換機core1的端口參數(shù)核心層交換機core1通過自己的端口f0/4同廣域網(wǎng)接入模塊〔Internet路由器〕相連。同時，核心層交換機core1的端口fa/0-6分別連到分布層交換機fenbu1和fenbu2的端口。(config)#interrangefa0/0-6(config-if-range)#speed100(config-if-range)#duplexfull(config-if-range)#switchportmodetrunk(config-if-range)noshut5.配置核心層交換機的路由功能核心層交換機通過端口FastEthernet0/4同廣域網(wǎng)接入模塊〔Internet路由器〕相連。因此，需要啟用核心層交換機的路由功能。同時，還需要定義通往Internet的路由。這里使用了一條缺省路由命令6.配置以太信道.etherchannel特性在switch到switch、switch到router之間提供冗余的、高速的連接方式，簡單說就是將兩個設(shè)備間多條FE或GE物理鏈路捆在一起組成一條設(shè)備間邏輯鏈路，從而到達增加帶寬，提供冗余的目的。(config)#interrangefa0/0,fa0/6(config-if-range)#channel-group1modeon廣域網(wǎng)接入模塊設(shè)計1．配置接入路由器router的根本參數(shù)對接入路由器router的根本參數(shù)的配置步驟與對訪問層交換機的根本參數(shù)的配置類似。這里，如下圖，只給出實際的配置步驟，不再給出解釋。