朱建幫,何 軍

(安徽商貿(mào)職業(yè)技術(shù)學(xué)院,安徽 蕪湖 241002)

0 引言

伴隨著網(wǎng)絡(luò)時(shí)代的迅猛發(fā)展,企業(yè)的組織架構(gòu)變得相當(dāng)扁平,顯得更加靈活多變,從而使得企業(yè)的業(yè)務(wù)種類變得十分復(fù)雜,大量的業(yè)務(wù)系統(tǒng)需要遷移到云端,同時(shí)自身的一些數(shù)據(jù)和IT 資產(chǎn)要保留在內(nèi)網(wǎng)中,這樣可以對原有的網(wǎng)絡(luò)進(jìn)行減負(fù),增加現(xiàn)有網(wǎng)絡(luò)的穩(wěn)定性和安全性。 本次案例以Cisco 模擬器中的三層交換機(jī)為核心交換機(jī),使用VLAN 技術(shù)和NAT 技術(shù)實(shí)現(xiàn)內(nèi)外網(wǎng)的通信和 VLAN 之間的聯(lián)系。

1 相關(guān)知識(shí)點(diǎn)概念講解

1.1 Cisco 模擬器

Cisco Packet Tracer 是由思科系統(tǒng)設(shè)計(jì)的跨平臺(tái)可視化仿真工具,允許用戶創(chuàng)建網(wǎng)絡(luò)拓?fù)湟阅７掠?jì)算機(jī)網(wǎng)絡(luò)和使用命令行界面來模擬配置思科路由器和交換機(jī)[1]。 Packet Tracer 的用戶界面為拖放式,允許用戶根據(jù)自己的需要添加和刪除模擬的網(wǎng)絡(luò)設(shè)備。 該軟件主要面向參加思科網(wǎng)絡(luò)工程師認(rèn)證考試的學(xué)生,作為他們備考思科網(wǎng)絡(luò)工程師認(rèn)證考試的學(xué)習(xí)工具。

1.2 三層交換機(jī)與二層交換機(jī)的區(qū)別

二層交換機(jī)屬數(shù)據(jù)鏈路層設(shè)備,可以識(shí)別數(shù)據(jù)包中的MAC 地址信息,所以二層交換機(jī)的數(shù)據(jù)交換基于MAC 地址,反觀三層交換機(jī)的交換工作在OSI 七層網(wǎng)絡(luò)模型中的第3 層即網(wǎng)絡(luò)層,是利用第3 層協(xié)議中的IP 包的包頭信息來對后續(xù)數(shù)據(jù)業(yè)務(wù)流進(jìn)行標(biāo)記。 三層交換機(jī)具有VLAN 功能,交換和路由,基于IP,就是網(wǎng)絡(luò)。

1.3 VLAN 技術(shù)

虛擬局域網(wǎng)(Virtual Local Area Network,VLAN 或V-LAN)是一種建構(gòu)于局域網(wǎng)交換技術(shù)(LAN Switch)的網(wǎng)絡(luò)管理技術(shù),為實(shí)現(xiàn)交換機(jī)以太網(wǎng)的廣播隔離,一種理想的解決方案就是采用虛擬局域網(wǎng)技術(shù)。 這種對連接到第2 層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段技術(shù)實(shí)現(xiàn)非常靈活,可以不受用戶物理位置限制,根據(jù)用戶需求進(jìn)行VLAN 劃分;可在一個(gè)交換機(jī)上實(shí)現(xiàn),也可跨交換機(jī)實(shí)現(xiàn);可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門,或使用的應(yīng)用程序、上層協(xié)議,或以太網(wǎng)連接端口硬件地址進(jìn)行劃分[2]。

1.4 NAT 技術(shù)

網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation,NAT),NAT 是作為一種解決IPv4 地址短缺以避免保留IP 地址困難的方案而流行起來的,在很多國家廣泛使用。 Basic NAT 要求對每一個(gè)當(dāng)前連接都要對應(yīng)一個(gè)公網(wǎng)IP 地址,NAPT 這種方式支持端口的映射,并允許多臺(tái)主機(jī)共享一個(gè)公網(wǎng)IP 地址。 支持端口轉(zhuǎn)換的NAT 又可以分為兩類:源地址轉(zhuǎn)換和目的地址轉(zhuǎn)換。 前一種情形下發(fā)起連接的計(jì)算機(jī)的IP 地址將會(huì)被重寫,使得內(nèi)網(wǎng)主機(jī)發(fā)出的數(shù)據(jù)包能夠到達(dá)外網(wǎng)主機(jī)[3-4];后一種情況下被連接計(jì)算機(jī)的IP 地址將被重寫,使得外網(wǎng)主機(jī)發(fā)出的數(shù)據(jù)包能夠到達(dá)內(nèi)網(wǎng)主機(jī)。 實(shí)際上,以上兩種方式通常會(huì)一起被使用以支持雙向通信。

2 實(shí)驗(yàn)內(nèi)容

2.1 實(shí)驗(yàn)?zāi)繕?biāo)

理論知識(shí)目標(biāo)要求了解網(wǎng)絡(luò)規(guī)劃(VLSM,CIDR等)、基礎(chǔ)網(wǎng)絡(luò)(VLAN,OSFP,RIP 等)以及網(wǎng)絡(luò)平臺(tái)搭建的過程和原理。 技能知識(shí)目標(biāo)要求掌握Cisco 交換機(jī)、路由器的簡單模擬環(huán)境搭建,熟練掌握Cisco 交換機(jī)、路由器的命令配置和操作步驟。

2.2 實(shí)驗(yàn)場景及任務(wù)描述

假設(shè)某小型企業(yè)現(xiàn)有的設(shè)備為:兩臺(tái)服務(wù)器、兩臺(tái)思科服務(wù)器、一臺(tái)思科三層3 560 交換機(jī)、3 臺(tái)思科2 960 兩層交換機(jī)以及3 個(gè)部門若干電腦。 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)方案如圖1 所示,企業(yè)內(nèi)網(wǎng)地址規(guī)劃如表1所示。

表1 企業(yè)內(nèi)網(wǎng)地址規(guī)劃

圖1 企業(yè)網(wǎng)絡(luò)拓?fù)鋱D設(shè)計(jì)

任務(wù)一:3 個(gè)部門可以跨區(qū)域協(xié)同辦公。

任務(wù)二:公司員工可以進(jìn)行上網(wǎng)以及訪問內(nèi)網(wǎng)資源。

任務(wù)三:要求在外辦公的員工可以訪問到公司內(nèi)網(wǎng)的資源。

2.3 實(shí)驗(yàn)步驟

公司內(nèi)部有3 個(gè)部門需要與企業(yè)內(nèi)網(wǎng)地址規(guī)劃相對應(yīng)劃分所屬的VLAN,配置公司部門辦公電腦的IP地址,也可以使用DHCP 方式進(jìn)行IP 地址分配,部分代碼如圖2 所示。

圖2 二層交換機(jī)VLAN 配置信息

按照公司要求查看公司內(nèi)部服務(wù)器中所存在的應(yīng)用資源(FTP 服務(wù)器、Web 服務(wù)器等),配置三層交換機(jī)VLAN 信息以及網(wǎng)關(guān)地址,針對性地做ACL 策略,部分代碼如圖3 所示。

圖3 三層交換機(jī)配置網(wǎng)關(guān)地址相關(guān)信息

根據(jù)網(wǎng)絡(luò)拓?fù)鋱D配置公司內(nèi)部路由器網(wǎng)絡(luò)接口信息,對網(wǎng)絡(luò)進(jìn)行合理的分析,選用合適的路由協(xié)議,查看路由鏈接情況,并測試網(wǎng)絡(luò)的聯(lián)通性,部分代碼如圖4 所示。

圖4 企業(yè)內(nèi)部路由OSPF 路由配置信息

根據(jù)公司網(wǎng)絡(luò)的實(shí)際情況配置公司內(nèi)部路由器,添加DNAT,PNAT 策略并進(jìn)行安全性功能的相關(guān)配置,部分代碼如圖5 所示。

圖5 企業(yè)內(nèi)部路由器NAT 轉(zhuǎn)化配置信息

3 實(shí)驗(yàn)設(shè)計(jì)的實(shí)施方案測試結(jié)果

3.1 在企業(yè)內(nèi)部電腦PC0 上Ping 通PC1 和PC2 測試結(jié)果

Ping 通PC1 和 PC2 測試結(jié)果,如圖6 所示,測試結(jié)果可見,PC0 可以與PC1 和PC2 正常通行,由此可以得出,二層交換機(jī)和三層交換機(jī)的VLAN 設(shè)置正確,三層交換機(jī)VLAN 之間的路由也配置成功,這樣內(nèi)網(wǎng)之間的通信也即可保持暢通。 但是,配置太過于單一,僅局限于網(wǎng)絡(luò)的通信,在實(shí)際生產(chǎn)活動(dòng)中需要更多的需求,比如VLAN 之間的隔離、限制某時(shí)間段內(nèi)網(wǎng)上外網(wǎng)的設(shè)置、內(nèi)網(wǎng)端口安全的設(shè)置等,這些都需要在具體實(shí)施中加以體現(xiàn)。

圖6 Ping 通PC1 和PC2 測試結(jié)果

3.2 企業(yè)內(nèi)網(wǎng)客戶機(jī)Ping 通外網(wǎng)SERVER0 服務(wù)器和訪問內(nèi)網(wǎng)SERVER1 服務(wù)器Web 服務(wù)測試

PC0 上Ping 通SERVER0 服務(wù)器測試,如圖7 所示,測試結(jié)果可以看出,內(nèi)外網(wǎng)訪問實(shí)現(xiàn)暢通,但是在安全性方面尚欠考慮,外網(wǎng)訪問內(nèi)網(wǎng)沒有做加密處理,這樣對于黑客來說,內(nèi)網(wǎng)的重要資源直接裸露在外網(wǎng)之中,如果在真實(shí)的環(huán)境中,需要在內(nèi)網(wǎng)中加上防火墻以及安全WAF 產(chǎn)品,以此來保護(hù)企業(yè)核心資源的安全性,此次測試則受限于模擬器實(shí)驗(yàn)的局限性。

圖7 PC0 上Ping 通SERVER0 服務(wù)器和訪問Web 服務(wù)測試

4 實(shí)驗(yàn)結(jié)果分析與反思

通過客戶終端Ping 命令和客戶端瀏覽器訪問服務(wù)器網(wǎng)站的反饋,可以判斷這次實(shí)驗(yàn)的成功性和可行性,其中實(shí)驗(yàn)的重難點(diǎn)在于VLAN 的劃分以及路由協(xié)議的選擇。 在實(shí)際的生產(chǎn)活動(dòng)中可能還不夠,例如需要配置ACL 策略、帶寬策略、QoS 策略等。 隨著時(shí)代的發(fā)展需求,簡單的網(wǎng)絡(luò)配置中需要更多的安全配置以防范黑客的攻擊。 現(xiàn)有的配置中,VLAN 的放行不嚴(yán)謹(jǐn),ACL 策略顆粒度大,OSPF 路由協(xié)議存在漏洞,所以要加強(qiáng)安全的相關(guān)配置。 比如,OSPF 協(xié)議在宣告網(wǎng)段沒有進(jìn)行加密操作,黑客就可以與任何一臺(tái)路由器建立鄰居關(guān)系,從而獲取內(nèi)部信息,重要的財(cái)務(wù)部門VLAN 之間沒有做隔離,對于公司來說是非常致命的。

以上是對本實(shí)驗(yàn)技術(shù)層面的分析,但是實(shí)驗(yàn)和實(shí)踐往往存在很大的差異,實(shí)驗(yàn)的成功離實(shí)際生產(chǎn)生活還有很大一步需要去謀劃。 現(xiàn)實(shí)中的企業(yè),既需要考慮企業(yè)用戶的需求,也需要考慮企業(yè)的成本問題。 在滿足用戶需求的同時(shí),需要充分地降低成本,這就要豐

富的實(shí)踐經(jīng)驗(yàn)和扎實(shí)的理論知識(shí)。 以本實(shí)驗(yàn)為例,需要考慮如何充分地利用企業(yè)原有的設(shè)備進(jìn)行網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì);網(wǎng)絡(luò)設(shè)備是否能夠再次利用;對于樓宇之間的接入,交換機(jī)是否需要更換升級(jí)來提高傳輸?shù)乃俣?原有的設(shè)備之間的網(wǎng)線可否再次利用等。 對于特殊用戶群體,在不提高成本的情況下滿足其要求,比如企業(yè)的技術(shù)部門需要更快更穩(wěn)定的網(wǎng)絡(luò)環(huán)境,在網(wǎng)絡(luò)設(shè)計(jì)中對于帶寬的分配就要做出詳細(xì)顆粒化的動(dòng)態(tài)分配,對于網(wǎng)絡(luò)要求不是太高的部門進(jìn)行網(wǎng)絡(luò)和應(yīng)用下載限制,從而保障關(guān)鍵部門的網(wǎng)絡(luò)環(huán)境,而不是簡單地提高出口帶寬。

5 結(jié)語

本設(shè)計(jì)方案充分地利用了企業(yè)原有的設(shè)備進(jìn)行網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)分析,通過VLAN 技術(shù)將各部門的網(wǎng)絡(luò)進(jìn)行隔離,保障了日后的管理,IP 地址得到了優(yōu)化,NAT技術(shù)解決了企業(yè)內(nèi)外網(wǎng)的連通性,同時(shí)保障了外出辦公人員外出訪問公司內(nèi)網(wǎng)的基本需求。

理論與實(shí)踐相結(jié)合,是計(jì)算機(jī)有關(guān)教學(xué)課程中非常關(guān)鍵的一種方法與手段,針對高等?？茖W(xué)校的學(xué)生,使其提高動(dòng)手能力和熟練程度是適應(yīng)社會(huì)的最好方法。 實(shí)驗(yàn)類課程對于高等?？茖W(xué)校學(xué)生的技能素養(yǎng)的提高有著舉足輕重的地位,應(yīng)當(dāng)在課程和人才培養(yǎng)計(jì)劃中適當(dāng)?shù)靥岣邔?shí)驗(yàn)類課程占有的比例,同時(shí)加大加強(qiáng)實(shí)驗(yàn)室、實(shí)訓(xùn)室的建設(shè)和教師技能的培養(yǎng)工作,為高等?？茖W(xué)校大力培養(yǎng)高素質(zhì)技能型人才創(chuàng)造更好的條件。