中小學(xué)校園多網(wǎng)段結(jié)構(gòu)的改造和探討

網(wǎng)絡(luò)興起初期，中小學(xué)能簡(jiǎn)單地跟所屬教育局相連。但隨著學(xué)校規(guī)模擴(kuò)大和信息技術(shù)的發(fā)展，學(xué)校電腦數(shù)量劇增，網(wǎng)絡(luò)結(jié)構(gòu)從簡(jiǎn)單到復(fù)雜，從單一的租用他人空間發(fā)布網(wǎng)站到自己服務(wù)器承載多個(gè)功能，校園網(wǎng)絡(luò)面臨著巨大挑戰(zhàn)。本文結(jié)合目前大多中小學(xué)在城域網(wǎng)布局下所擁有的低端網(wǎng)絡(luò)設(shè)備（以思科R2600系列和思科S3500二層交換機(jī)為例），配置DHCP服務(wù)以解決復(fù)雜網(wǎng)絡(luò)結(jié)構(gòu)所帶來的問題。

一、環(huán)境

早期很多學(xué)校是通過路由器接入教育局，每臺(tái)電腦都配置屬于同一個(gè)網(wǎng)段的靜態(tài)IP地址，由教育局統(tǒng)一管理網(wǎng)絡(luò)。但當(dāng)機(jī)主擅自更改了某臺(tái)電腦的IP地址，則會(huì)導(dǎo)致IP地址沖突，甚至整個(gè)學(xué)校IP地址配置混亂，網(wǎng)絡(luò)問題層出不窮。管理員就要花更大的精力去解決此類問題。這給網(wǎng)絡(luò)管理和安全帶來了很多隱患。

機(jī)房的擴(kuò)建和網(wǎng)絡(luò)規(guī)模的擴(kuò)大，無形中給IP地址的管理帶來壓力，也增加了廣播風(fēng)暴發(fā)生的幾率。網(wǎng)絡(luò)病毒的盛行，給這種單一的網(wǎng)絡(luò)結(jié)構(gòu)帶來重大的沖擊，例如“ARP病毒”。以上的各種情況使得校園網(wǎng)絡(luò)性能大打折扣，中小學(xué)單一的網(wǎng)絡(luò)結(jié)構(gòu)改造迫在眉睫。

二、網(wǎng)絡(luò)結(jié)構(gòu)改造

怎樣改造能夠給學(xué)校網(wǎng)絡(luò)創(chuàng)建良好的環(huán)境，又盡可能的不浪費(fèi)原有網(wǎng)絡(luò)資源呢?我們采用的是以下方法。

1.虛擬局域網(wǎng)（Vlan）的劃分

如果一個(gè)網(wǎng)段里電腦數(shù)量太多，網(wǎng)絡(luò)里就會(huì)擁有大量的廣播包，無疑使良好的網(wǎng)絡(luò)性能受到影響，此時(shí)我們只要把一個(gè)大網(wǎng)絡(luò)分割成幾個(gè)小網(wǎng)絡(luò)既能阻隔網(wǎng)絡(luò)廣播包，又能阻止一部分網(wǎng)絡(luò)病毒的傳播。將學(xué)校里的電腦劃分到不同的邏輯網(wǎng)段內(nèi)，一個(gè)Vlan就相當(dāng)于一個(gè)邏輯網(wǎng)段，不同Vlan之間不能通信。采用劃分Vlan的方法也允許更多的主機(jī)聯(lián)網(wǎng)。

可將單網(wǎng)段結(jié)構(gòu)改造成如下內(nèi)容：

R2600

|

S3500---VLAN 10 (WIN2003 DHCP)

/

VLAN20VLAN30

/

PC1PC2

其中：vlan10的IP地址范圍：192.168.10.X/24，容納254臺(tái)電腦。

vlan20的IP地址范圍：192.168.20.X/24，容納254臺(tái)電腦。

vlan30的IP地址范圍：192.168.30.X24，容納254臺(tái)電腦。

在核心層交換機(jī)（S3500）上劃分虛擬局域網(wǎng)（vlan）即可。例如劃分為3個(gè)網(wǎng)段，vlan10、vlan20、vlan 30 ，其中DHCP服務(wù)器屬于vlan10網(wǎng)段。一批電腦劃分到Vlan10，另一批電腦劃分到Vlan20內(nèi)。將S3500的F0/1接口劃入vlan10，F(xiàn)0/2接口劃入vlan20，F(xiàn)0/3接口劃入vlan30。與F0/1口相連的電腦都屬于一個(gè)網(wǎng)段，與F0/2口相連的電腦屬于另一個(gè)網(wǎng)段，他們之間互不干擾，也可以阻隔網(wǎng)絡(luò)病毒的傳播。

過程如下：

（1）通過COM口用專用控制線連入S3500設(shè)備的CONSOLE口。

（2）進(jìn)入S3500設(shè)備特權(quán)模式命令：en

（3）創(chuàng)建vlan10、vlan20、vlan30。創(chuàng)建vlan10方法如下：

進(jìn)特權(quán)模式（en）——進(jìn)vlan數(shù)據(jù)庫（vlan database）--創(chuàng)建vlan（vlan 10）

（4）進(jìn)入端口劃入vlan中。把f0/1端口劃入vlan 10方法如下：

進(jìn)全局模式（conf t）——進(jìn)接口模式（int f0/1）——?jiǎng)澐講lan（switch access vlan 10）

2.網(wǎng)段互通

要想實(shí)現(xiàn)不同網(wǎng)段的網(wǎng)絡(luò)互聯(lián)，需要路由轉(zhuǎn)換。路由器能在不同網(wǎng)段間轉(zhuǎn)發(fā)數(shù)據(jù)，但它卻阻隔廣播包。由于3500交換機(jī)是二層的，沒有路由功能，所以只能借助路由器R2600來實(shí)現(xiàn)數(shù)據(jù)通信。R2600的以太網(wǎng)接口只有2個(gè)，一個(gè)要接外網(wǎng)，另一個(gè)接口只能跟某一網(wǎng)段相連，劃分了3個(gè)VLAN，要使得全部互通就需要路由器子接口，即把一個(gè)接口當(dāng)成多個(gè)虛擬接口。例如器R2600的f0/0口接教育局， F0/1口可以連S3500交換機(jī)的F0/24口。

配置方法如下：

（1）通過com口連入路由器的配置口。

（2）進(jìn)入路由器F0/1口并開啟子接口，配置IP地址，即各網(wǎng)段對(duì)應(yīng)的網(wǎng)關(guān)地址。

進(jìn)全局模式（conf t）——進(jìn)子接口模（int f0/1.1）——封裝dot1Q （encapsulation dot1Q 10）——配置IP地址（ip add 192.168.10.254 255.255.255.0）——開啟接口（no shut）

（3）與路由相連的交換機(jī)端口配置Trunck口。

進(jìn)接口模式（int f0/24）——開啟Trunk模式（switchport mode trunk）

3.配置DHCP服務(wù)

把Win2003系統(tǒng)的IP地址配置成192.168.10.253/24 網(wǎng)關(guān)地址192.168.10.254，接入交換機(jī)F0/1口。

配置DHCP功能，創(chuàng)建三個(gè)作用域，分別如下：

（1）名稱:服務(wù)器。

地址池：192.168.10.1-192.168.10.100

網(wǎng)關(guān)地址：192.168.10.254

（2）名稱:vlan20。

地址池：192.168.20.1-192.168.20.253

網(wǎng)關(guān)地址：192.168.20.254

（3）名稱:vlan30。

地址池：192.168.30.1-192.168.30.253

網(wǎng)關(guān)地址：192.168.30.254

在作用域的服務(wù)器選項(xiàng)里配置適當(dāng)?shù)腄NS地址，就可以使得客戶機(jī)能完整的獲得TCP/IP信息。

（4）路由器配置：由于DHCP服務(wù)工作的過程中產(chǎn)生的是廣播包，路由器的分割使得其他網(wǎng)段的電腦不能獲取DHCP廣播包，服務(wù)器也收不到客戶機(jī)發(fā)送的IP請(qǐng)求的廣播包，在這種情況下，需要用DHCP中繼功能選擇性地把有關(guān)DHCP的廣播包轉(zhuǎn)發(fā)到其他網(wǎng)段。那么需要在路由器上配置如下命令。

進(jìn)全局模式——開啟dhcp服務(wù)（service dhcp）——配置中繼地址（ip helper-address 192.168.10.253）。

若在三層交換機(jī)啟用路由后，在VLAN接口中配置中繼命令即可。

三、中小學(xué)網(wǎng)絡(luò)結(jié)構(gòu)改造的優(yōu)點(diǎn)

網(wǎng)絡(luò)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)劣至關(guān)重要。對(duì)中小學(xué)網(wǎng)絡(luò)進(jìn)行多網(wǎng)段改造具有以下優(yōu)點(diǎn)：

（1）合理利用原有資源，節(jié)約成本。

（2）有效控制廣播風(fēng)暴和網(wǎng)絡(luò)病毒的傳播增加網(wǎng)絡(luò)安全。由于把一個(gè)大網(wǎng)分割成若干個(gè)虛擬小網(wǎng)，廣播數(shù)據(jù)被限制于更小的范圍內(nèi)傳播，不會(huì)因?yàn)閺V播風(fēng)暴造成線路堵塞。

（3）高效自動(dòng)的管理IP地址。通過采用DHCP服務(wù)器來控制管理全網(wǎng)的IP地址分配，給管理員減少了大量的重復(fù)性工作，也降低網(wǎng)內(nèi)IP地址沖突的概率。

四、體會(huì)心得

經(jīng)過Vlan的劃分、路由子接口的創(chuàng)建及DHCP服務(wù)的設(shè)置，我們就可以輕松應(yīng)對(duì)一個(gè)中小網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整中所碰到的問題，更好地使用網(wǎng)絡(luò)資源。但是在網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整后，客戶機(jī)IP地址都是自動(dòng)獲取，需要服務(wù)器提供，所以改造后需要增加一臺(tái)服務(wù)器；信息的獲取也需要一定的過程，在部署了DHCP服務(wù)時(shí)，系統(tǒng)開機(jī)時(shí)間將變長(zhǎng)。

（作者單位：浙江臺(tái)州椒江職業(yè)中專）