胡 明

本文以?xún)伤盒^(qū)的校園網(wǎng)絡(luò)通過(guò)遠(yuǎn)程連接,形成整體的校園網(wǎng)絡(luò)為規(guī)劃目標(biāo)。網(wǎng)絡(luò)設(shè)計(jì)要求能實(shí)現(xiàn)以下目標(biāo):建設(shè)數(shù)字化新校園,為學(xué)校各部門(mén)提供快捷有效的信息服務(wù)和通信環(huán)境。實(shí)現(xiàn)集中式數(shù)據(jù)存儲(chǔ),實(shí)現(xiàn)在網(wǎng)絡(luò)系統(tǒng)上的高速互連互通,及信息資源和軟硬件資源高度共享。

一、校園網(wǎng)絡(luò)拓?fù)鋱D

網(wǎng)絡(luò)中心形成了主干網(wǎng),是整個(gè)校園網(wǎng)的總節(jié)點(diǎn),并提供連接廣域網(wǎng)和撥入服務(wù)。在主干網(wǎng)系統(tǒng)采用以太網(wǎng)結(jié)構(gòu)。中心機(jī)房放置著中心交換機(jī)、服務(wù)器群、路由器、機(jī)架MODEM等網(wǎng)絡(luò)設(shè)備,這些設(shè)備以中心交換機(jī)作為中心,以星形拓樸結(jié)構(gòu)通過(guò)雙絞電纜線連接在一起。網(wǎng)絡(luò)中心與子網(wǎng)的聯(lián)系是通過(guò)光纖和雙絞電纜線將中心交換機(jī)和子網(wǎng)的交換機(jī)或集線器連接起來(lái)。

二、校園網(wǎng)的規(guī)劃

校園網(wǎng)絡(luò)系統(tǒng)采用以星形拓?fù)浣Y(jié)構(gòu)為主的分布式三層(核心層、匯聚層、接入層)結(jié)構(gòu)。核心設(shè)備放置在網(wǎng)絡(luò)中心,在各系部設(shè)置匯聚節(jié)點(diǎn)。各樓宇設(shè)置1～3個(gè)配線間,將樓內(nèi)的信息點(diǎn)全部集中到各配線間內(nèi),采用百/千兆接入交換機(jī)提供各信息點(diǎn)接入的需要,通過(guò)千/萬(wàn)兆連接到相對(duì)應(yīng)的匯聚中心設(shè)備上。

三、校園的IP地址規(guī)劃

IPv4地址分成A、B、C三類(lèi),每類(lèi)均保留有私有地址,由于C類(lèi)的私有地址無(wú)法滿足校園網(wǎng)的實(shí)際需要,所以采用B類(lèi)私有IP(表1)。私有IP地址B類(lèi)范圍從172.16.0.0～172.31.255.255,取172.18.0.0 /24網(wǎng)段,可以分為254個(gè)子網(wǎng),每個(gè)網(wǎng)段為254臺(tái)主機(jī)。

總校區(qū)與分校區(qū)的IP地址分配情況:總校區(qū)共有20個(gè)科室和16個(gè)微機(jī)房,另外學(xué)生宿舍和教工住宅區(qū)需要50～80個(gè)網(wǎng)段。Ip地址分配網(wǎng)段為:172.18.10.0～172.18.200.0。 分校區(qū)有7個(gè)微機(jī)房和15和科室單位。另外學(xué)生宿舍和教工住宅區(qū)需要20～30個(gè)網(wǎng)段,Ip地址分配為:172.18.201.0～172.18.254.0,校園網(wǎng)的核心層,路由器、服務(wù)器的IP地址為:172.18.1.0～172.18.4.0。

四、校園網(wǎng)絡(luò)采用的網(wǎng)絡(luò)協(xié)議

校園網(wǎng)絡(luò)采用OSPF(Open Shortest Path First)協(xié)議,OSPF是鏈路狀態(tài)路有協(xié)議,是一個(gè)內(nèi)部網(wǎng)關(guān) (Interior Gateway Protocol,IGP) 協(xié)議,是通過(guò)路由器之間通告網(wǎng)絡(luò)接口的狀態(tài)來(lái)建立鏈路狀態(tài)數(shù)據(jù)庫(kù),生成最短路徑樹(shù),每個(gè)OSPF路由器使用這些最短路徑構(gòu)造路由表(表2)。

OSPF路由進(jìn)程process-id必須指定范圍在1～65535,多個(gè)OSPF進(jìn)程可以在同一個(gè)路由器上配置,但最好不這樣做。多個(gè)OSPF進(jìn)程需要多個(gè)OSPF數(shù)據(jù)庫(kù)的副本,必須運(yùn)行多個(gè)最短路徑算法的副本。process-id只在路由器內(nèi)部起作用,不同路由器的process-id可以不同。

wildcard-mask 是子網(wǎng)掩碼的反碼,網(wǎng)絡(luò)區(qū)域ID area-id在0～4294967295內(nèi)的十進(jìn)制數(shù),也可以是帶有IP地址格式的x.x.x.x。當(dāng)網(wǎng)絡(luò)區(qū)域ID為0或0.0.0.0時(shí)為主干域。不同網(wǎng)絡(luò)區(qū)域的路由器通過(guò)主干域?qū)W習(xí)路由信息。

五、校園網(wǎng)絡(luò)安全架構(gòu)

網(wǎng)絡(luò)安全構(gòu)架采用被屏蔽子網(wǎng)(ScreenedSubnet)技術(shù),被屏蔽子網(wǎng)就是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng),用兩臺(tái)分組過(guò)濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開(kāi)。在很多實(shí)現(xiàn)中,兩個(gè)分組過(guò)濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內(nèi)構(gòu)成一個(gè)DMZ。

DMZ(Demilitarized Zone)即俗稱(chēng)的非軍事區(qū),與軍事區(qū)和信任區(qū)相對(duì)應(yīng),作用是把Web,e-mail等允許外部訪問(wèn)的服務(wù)器單獨(dú)接在該區(qū)端口,使整個(gè)需要保護(hù)的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后,不允許任何訪問(wèn),實(shí)現(xiàn)內(nèi)外網(wǎng)分離。DMZ可以理解為一個(gè)不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域,DMZ內(nèi)通常放置一些不含機(jī)密信息的公用服務(wù)器,比如Web、Mail、FTP等。這樣來(lái)自外網(wǎng)的訪問(wèn)者可以訪問(wèn)DMZ中的服務(wù),但不可能接觸到存放在校園內(nèi)網(wǎng)中的機(jī)密或私人信息等,即使DMZ中服務(wù)器受到破壞,也不會(huì)對(duì)內(nèi)網(wǎng)中的機(jī)密信息造成影響。

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問(wèn)被屏蔽子網(wǎng),但禁止它們穿過(guò)被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機(jī)作為唯一可訪問(wèn)點(diǎn),支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。這種配置的危險(xiǎn)僅包括堡壘主機(jī)、子網(wǎng)主機(jī)及所有連接內(nèi)網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻,就必須重新配置連接三個(gè)網(wǎng)的路由器,既不切斷連接又不要把自己鎖在外面,同時(shí)又不使自己被發(fā)現(xiàn),這樣也還是可能的。但若禁止網(wǎng)絡(luò)訪問(wèn)路由器或只允許內(nèi)網(wǎng)中的某些主機(jī)訪問(wèn)它,則攻擊會(huì)變得很困難。在這種情況下,攻擊者得先侵入堡壘主機(jī),然后進(jìn)入內(nèi)網(wǎng)主機(jī),再返回來(lái)破壞屏蔽路由器,并且整個(gè)過(guò)程中不能引發(fā)警報(bào)。

六、網(wǎng)絡(luò)中核心技術(shù)的配置命令

R0的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.1.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.2.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#

Router(config)#router ospf 1

Router(config-router)#network 172.18.1.0 0.0.0.255 area 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#end

R2的配置命令行:

Router>en

Router#config t

Enter configuration commands, one per line.End with CNTL/Z.

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.3.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#interface fa 0/0

Router(config-if)#ip add 172.18.4.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#end

Router#config t

Router(config)# router ospf 1

Router(config-router)#network 172.18.4.0 0.0.0.255 area 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

R1的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.2.2 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#exit

Router#config t

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.3.1 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

本文從校園網(wǎng)絡(luò)的實(shí)用性角度出來(lái),對(duì)于總校區(qū)和分校區(qū)這種兩校區(qū)遠(yuǎn)程網(wǎng)絡(luò)的連接規(guī)劃與安全方面進(jìn)行了闡述,進(jìn)行了網(wǎng)絡(luò)私有IP地址的劃分,以及網(wǎng)絡(luò)防火墻的設(shè)計(jì)架構(gòu),最后給出路由器OSPF協(xié)議中的關(guān)鍵配置命令。

(作者單位:廣東省高級(jí)技工學(xué)校)