談交換機在校園網中的應用與配置

杜玉林

(武漢交通職業學院,湖北武漢 430065)

1 本院校園網的基本情況

我院新校園網絡于2007年完成第一期規劃建設并投入使用,目前主要包含各樓層辦公網絡、機房、圖書館等。

整個校園網絡采用了核心——匯聚——接入的分層結構,核心交換機與匯聚交換機之間采用光纖千兆互聯,匯聚交換機與樓宇接入交換機之間采用百兆互聯,接入交換機到桌面信息點采用百兆互聯。在入侵防御上,采用天融信防火墻,做端口過濾策略。為合理分配有限的資源,在出口做了網絡流量監控設置。為使公網用戶通過Internet訪問內網,在網絡邊界做了VPN設置。出口采用雙出口,分別接入CERNET(中國教育網)和中國電信,由F5設備作均衡負載。核心交換機與公網服務器、內網服務器、一卡通服務器三大服務器群之間采用千兆互聯。核心交換機與IPSAN及FCSAN存儲設備之間采用千兆互聯。

校園網已開通的應用系統有 OA、教務、郵件、科研、財務、FTP、網絡防毒、視頻服務、BBS等。在已有的校園網基礎上建設有一卡通專用網絡,一卡通系統可以方便地通過校園卡實現消費和身份認證。學院師生員工還可以通過校園網檢索圖書館的借書目錄和各種文獻資料,或者通過VPN系統通過Internet訪問校內資源。

我院校園網的主干網采用千兆以太網的組網方式,拓撲結構采用星型拓撲結構,這一方式性能優越,價格適中,管理方便,見圖1。

圖1 校園網拓撲結構

2 交換機設備的選型

我院校園網在設備選型上,根據資金情況和實際功能需要,交換機系列采用的是銳捷網絡的相關產品。其中核心交換機采用的是RGS7610系列交換機,匯聚層交換機采用的是RGS5760系列交換機,接入層交換機采用的是RGS2924G系列交換機。

在核心交換機的選型上,RG-S7610交換機是一款可以應用在三層的路由交換機,其具備業界領先的硬件CPU保護技術,還具備了冗余管理模塊、冗余電源模塊等物理安全保障措施。支持10/100/1000/10000M bps的傳輸速率,支持2457Gbps的背板帶寬,支持VLAN技術等。

在匯聚層交換機的選型上,RG-S5760交換機是一款千兆以太網交換機,其具備48Gbps的高交換容量和36Mpps的二三層包轉發能力,支持所有端口線速轉發。該設備最大提供24端口10/100/1000M電接口、4個復用的SFP千兆光接口,充分滿足了本校校園網對高密度千兆口的需求。該設備還支持V LAN技術,具備完善的堆疊擴展能力,極大地節省了用戶對設備的投資。

在接入層交換機的選型上,RG-S2924G交換機是一款可以應用在二層上的千兆以太網交換機。該設備具備基本的存儲-轉發的交換方式,提供24端口的10/100/1000M 的電接口、4個復用的SFP千兆光接口。

3 交換機在校園網中相關功能的實現

在交換技術上,我校校園網主要涉及到ACL(訪問控制列表)技術和VLAN(虛擬局域網)技術。針對實際需要,我校校園網在核心交換機和匯聚層交換機上主要做了ACL配置和VLAN的劃分。其中訪問控制列表技術主要具備安全控制、流量過濾、數據流量標識這三大作用。

一方面,建立訪問控制列表的主要任務是保證網絡資源不被非法使用和訪問,例如通過ACL技術,我們可以限制公網用戶訪問內網服務器和一卡通服務器等。除此之外,我們還可以利用ACL技術來限制網絡流量,提高網絡性能,對通信流量起到控制的作用。在路由器的端口上配置訪問控制列表后,可以對入站端口、出站端口及通過路由器中繼的數據包進行安全檢測等。

另一方面,通過V LAN技術,將我校校園網按區域劃分成8個不相隸屬的子網,分別是行政樓、教師樓、信息樓、實訓樓、圖書館、后勤醫院、教學樓和食堂8個子網。通過VLAN的劃分,一方面大大提高了我校校園網的整體安全性,另一方面也提高了校園網內各部門的工作效率,降低了校園網建設中的成本等等。

4 交換機在校園網中的配置分析

4.1 校園網VLAN劃分

本校園網的VLAN劃分采用基于核心交換機的端口劃分。將整個校園網劃分8個VLAN,每個VLAN對應一個子網,劃分情況如表1所示。

表1 校園網VLAN劃分表

4.2 核心交換機配置

在核心交換機上,主要按區域做VLAN的劃分并重命名。將端口號劃分到相應的VLAN號中,進VLAN給予相應的IP地址。通過這些配置,以提高校園網的安全性。

(1)實現VLAN功能

Sw itch#con figure terminal

Enter configuration comm ands,one per line.End with CNTL/Z.

Sw itch(con fig-if)#hostname RG-S7610

RG-S7610(config)#vlan 10

RG-S7610(config-vlan)#nam e administration

RG-S7610(config-vlan)#v lan 20

RG-S7610(config-vlan)#name teachers

劃分并命名VLAN30 40 50 60 70 80命令類似于VLAN 10,名字分配見表1。

RG-S7610(con fig-vlan)#exit

RG-S7610(config)#interface range fastEthernet 0/1-24

RG-S7610(con fig-if-range)#sw itchport mode access

RG-S7610(config-if-range)#sw itchport access v lan 10

RG-S7610(config-if-range)#exit

RG-S7610(config)#interface range fastEthernet 0/1-24

RG-S7610(config-if-range)#sw itchpo rt mode access

RG-S7610(config-if-range)#sw itchpo rt access v lan 20

RG-S7610(config-if-range)#exit

RG-S7610(config)#interface vlan 10

RG-S7610(config-if)#ip address 192.168.10.1 255.255.255.0

RG-S7610RG-S7610(config-if)#no shutdown

RG-S7610(config-if)#exit

RG-S7610(con fig)#interface vlan 20

RG-S7610(config-if)#ip address 192.168.11.1 255.255.255.0

RG-S7610(con fig-if)#no shutdown

RG-S7610(config-if)#exit

給相應的VLAN號分配IP地址V LAN30 40 50 60 70 80命令類似于V LAN 10,IP地址分配情況見表1。

(2)實現路由功能

RG-S7610(config)#router rip

RG-S7610(config-if)#version 2

RG-S7610(con fig-if)#network 192.168.0.0

(3)實現ACL功能

以下這段命令,實現ACL訪問控制列表的配置,意在除了信息樓外,其余辦公區域都不能訪問一卡通服務器。通過ACL的配置,可以大大的提高網絡的安全性。

RG-S7610(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(con fig)#access-list 110 deny tcp 192.168.11.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(con fig)#access-list 110 deny tcp 192.168.13.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.14.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.15.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.16.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.17.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 permit ip any any

RG-S7610(config-if)#exit

4.3 匯聚層交換機配置

在行政樓的匯聚層交換機上做V LAN劃分功能

Sw itch#configure terminal

Enter configuration comm ands,one per line.End with CNTL/Z.

Sw itch(config-if)#hostname RG-S5760 RG-S5760(config)#vlan 10

RG-S5760(config-vlan)#nam e xingzhenglou

RG-S5760(config-vlan)#exit

RG-S5760(config)#interface range fastEthernet 0/1-24

RG-S5760(con fig-if-range)#sw itchport mode access

RG-S5760(config-if-range)#sw itchpo rt access v lan 10

1 陸魁軍.網絡實踐指南-基于Cisco路由器和交換機[M].北京:清華大學出版社,2007

2 高 峽,李永俊.網絡設備互聯實驗指南[M].北京:科學出版社,2009.

3 楊 靖,劉亮.實用網絡技術配置指南初級篇[M].北京:北京希望電子出版社,2006

4 (美)迪爾.Cisco路由器防火墻安全[M].北京:人民郵電出版社,2006

5 (美)奧多姆.思科網絡技術學院教程CCNA 2路由器與路由基礎[M].北京:人民郵電出版社,2008