基于思科模擬器的高校機(jī)房網(wǎng)絡(luò)安全性研究

胡元闖 千文 朱建鋒

摘要：文章通過在思科模擬器Cisco PT6.1.1上給出了高校機(jī)房VLAN典型的劃分方法，根據(jù)實(shí)際應(yīng)用通過二層交換機(jī)VLAN進(jìn)行的靈活劃分，讓同一VLAN可以自由通信數(shù)據(jù)，通過對三層交換機(jī)的不同配置方法，實(shí)現(xiàn)了不同的VLAN間的數(shù)據(jù)通信，并通過測試驗(yàn)證。結(jié)果表明，給出的方案可以提高網(wǎng)絡(luò)帶寬利用率，減少碰撞，提高網(wǎng)絡(luò)的靈活性，增強(qiáng)了網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；思科模擬器；虛擬局域網(wǎng)；三層交換機(jī)；高校機(jī)房；網(wǎng)絡(luò)安全性 文獻(xiàn)標(biāo)識碼：A

中圖分類號：TP393 文章編號：1009-2374（2016）27-0011-02 DOI：10.13535/j.cnki.11-4406/n.2016.27.006

隨著高校規(guī)模越來越大，高校中計(jì)算機(jī)的機(jī)房室越來越多，計(jì)算機(jī)數(shù)量也不斷增多，但是由于可能有多個(gè)同一類機(jī)房，且它們分布在不同的實(shí)驗(yàn)樓層或不同的教室，如何對這些類型相同而分別在不同樓宇和樓層的機(jī)房進(jìn)行有效管理，在機(jī)房通信中有效抑制廣播風(fēng)暴，提高機(jī)房通信的安全性和管理效率成為各高校面臨的問題之一。

當(dāng)前很多高校機(jī)房管理員從機(jī)房建設(shè)實(shí)踐中都知道，第2層平面網(wǎng)絡(luò)的擴(kuò)展性不夠好，各主機(jī)之間進(jìn)行數(shù)據(jù)通信之前，都要通過廣播RARP，以便獲取目的主機(jī)的物理地址。這樣就導(dǎo)致了用來正常數(shù)據(jù)通信卻沒法利用正常帶寬，影響了網(wǎng)絡(luò)的利用效率和正常工作效果。而VLAN（Virtual Local Area Network）依靠用戶的邏輯劃分，將原來物理上互連的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，這樣不僅有效提高了通信效率，還可以在特定的一組端口上播出某些數(shù)據(jù)信息組，此舉措對提高校園網(wǎng)機(jī)房網(wǎng)絡(luò)安全具有重要意義。

1 基于兩層交換的Cisco VLAN的工作原理

1.1 交換機(jī)的兩層交換技術(shù)

雖然兩層交換機(jī)交換技術(shù)能夠解決局域網(wǎng)的沖突問題，但還不能解決廣播問題。整個(gè)局域網(wǎng)看起來還是屬于同一個(gè)廣播域，即使一個(gè)廣播數(shù)據(jù)包可以傳遞到局域網(wǎng)網(wǎng)絡(luò)上的所有主機(jī)，但會(huì)占用大量的網(wǎng)絡(luò)資源，這樣不僅會(huì)影響整個(gè)網(wǎng)絡(luò)的運(yùn)行速度，還影響了整個(gè)網(wǎng)絡(luò)的效率和性能，然而利用VLAN技術(shù)就可以很好地解決這個(gè)問題。

1.2 VTP Domain和VLAN Trunk

在VLAN配置中要用到兩個(gè)主要技術(shù)，是VLAN Trunk和VTP Domain。在基于交換機(jī)端口劃分的VLAN中，一個(gè)端口只能屬于一個(gè)VLAN，當(dāng)有2臺交換機(jī)級聯(lián)之后，不同VLAN間的數(shù)據(jù)包如何通過級聯(lián)端口送達(dá)目的交換機(jī)以及數(shù)據(jù)包到達(dá)目的交換機(jī)時(shí)如何交付，這些都可以通過配置交換機(jī)的Trunk功能來實(shí)現(xiàn)。

VTP（Vlan Trunk Protocol）即中繼協(xié)議，主要用于互聯(lián)不同VLAN時(shí)的通信。通過VTP配置可以有效地管理VLAN。

1.3 機(jī)房網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

根據(jù)現(xiàn)有高校機(jī)房的應(yīng)用需求及布局特點(diǎn)，往往某一類機(jī)房包含多個(gè)機(jī)房，分布在不同的樓層，功能上既有獨(dú)立的部分，又有相同的部分，按照傳統(tǒng)的模式，給管理帶來一定不便。本文通過VLAN技術(shù)，在思科模擬器上進(jìn)行機(jī)房拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)，圖1給出了在思科模擬器上搭建的高校機(jī)房網(wǎng)絡(luò)中VLAN的典型劃分。

2 配置實(shí)現(xiàn)

2.1 VLAN的劃分

根據(jù)實(shí)際需要，該機(jī)房一共劃分5個(gè)VLAN，即rjjf、wljf、yjjf、DNS和WEB-FTP，劃分的網(wǎng)絡(luò)分別為192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.1/24、192.168.40.2/24。每個(gè)VLAN能鏈接的主機(jī)數(shù)為254臺，能滿足目前情況的需求。

本文中按照本學(xué)院機(jī)房分布情況在思科模擬器上搭建實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)圖，并通過命令進(jìn)行配置。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)由一臺三層交換機(jī)和兩臺兩層交換機(jī)構(gòu)成。在本文中，我們將三層交換機(jī)設(shè)置成VTP服務(wù)器，將二層交換機(jī)配置為VTP客戶端，VTP域名為jfgl，同時(shí)為Web服務(wù)器和FTP服務(wù)器設(shè)置域名。在本文中，我們?yōu)槊總€(gè)VLAN劃分獨(dú)立的網(wǎng)絡(luò)地址，滿足我校機(jī)房管理的實(shí)際應(yīng)用。

2.2 網(wǎng)絡(luò)配置

在完成網(wǎng)絡(luò)搭建之后就可以進(jìn)行相關(guān)配置，主要包括VLAN劃分、IP地址配置、中繼配置、802.1q配置以及其他相關(guān)配置，以下給出各項(xiàng)主要配置過程。

2.2.1 PC機(jī)和服務(wù)器的配置。按照網(wǎng)絡(luò)參數(shù)表相應(yīng)參數(shù)設(shè)置計(jì)算機(jī)的IP地址。配置Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器的IP地址。

2.2.2 對VTP域進(jìn)行配置。在三層交換機(jī)上配置VTP域如下所示：

SW-3（config）#vtp domain jfgl

在三個(gè)二層交換機(jī)上配置VTP如下所示：

switchA（config）#vtp domain jfgl //這是交換機(jī)A的vtp域名為jfgl

switchA（config）#vtp mode client //設(shè)置交換機(jī)A的vtp為客戶機(jī)模式

在另外兩個(gè)二層交換機(jī)上進(jìn)行類似相應(yīng)的配置。

2.2.3 創(chuàng)建VLAN域。在三層交換機(jī)上創(chuàng)建VLAN域，主要命令如下所示：

SW-3#vlan database//進(jìn)入創(chuàng)建vlan模式

SW-3 （vlan）#vlan 10 name rjjf //創(chuàng)建vlan10

SW-3 （vlan）#vlan 20 name wljf //創(chuàng)建vlan20

SW-3 （vlan）#vlan 30 name yjjf //創(chuàng)建vlan30

SW-3 （vlan）#vlan 40 name server //創(chuàng)建vlan40

2.2.4 在三層交換機(jī)和二層交換機(jī)之間創(chuàng)建中繼鏈路。接著在三層交換機(jī)和二層交換機(jī)之間配置中繼鏈路，主要配置命令如下所示：

在三層交換機(jī)上進(jìn)行配置：

SW-3（config）#int f0/21 //進(jìn)入以太網(wǎng)21號端口

SW-3（config-if）#switchport mode dynamic desirable //設(shè)置21號端口為動(dòng)態(tài)模式

在二層交換機(jī)switchA上進(jìn)行配置：

switchA（config）#interface f0/21 //進(jìn)入交換機(jī)A的21號接口

switchA（config-if）#switchport mode trunk //把21交換機(jī)A的21號接口設(shè)置為trunk模式

switchA（config）#interface range f0/23-f0/24 //進(jìn)入交換機(jī)A的23和24號接口

switchA（config-if-range）#switchport mode trunk//把交換機(jī)A的23和24號接口設(shè)置為trunk模式

對另外兩個(gè)二層交換機(jī)進(jìn)行類似的配置。

以上命令配置完之后，在三層交換機(jī)上為各個(gè)Vlan配置網(wǎng)關(guān)，并開啟路由，整個(gè)配置工作完成。

2.3 測試及分析

在配置完成之后進(jìn)行測試驗(yàn)證，既可以通過PING命令來測試網(wǎng)絡(luò)連接效果，也可以用計(jì)算機(jī)的瀏覽器來訪問域名的Web服務(wù)和FTP服務(wù)的連通性。通過PING測試網(wǎng)絡(luò)的連通性，結(jié)果表明，VLAN10中的計(jì)算機(jī)與其他三個(gè)VLAN的計(jì)算機(jī)以及服務(wù)器能夠?qū)崿F(xiàn)通信。而PC21、PC22、PC23之間也能實(shí)現(xiàn)通信；PC31、PC32、PC33直接亦能通信。其中PC11、PC12、PC13屬于同一VLAN，但屬于不同的交換機(jī)，但能實(shí)現(xiàn)通信。與此同時(shí)，PC11廣播的數(shù)據(jù)包，PC21、PC31雖然和PC11屬于同一個(gè)交換機(jī)，但卻不會(huì)接收到，因?yàn)樗鼈兎謩e屬于不同的VLAN。同樣的，對應(yīng)PC21、PC22、PC23和PC31、PC32、PC33的測試，結(jié)果類似。測試結(jié)果表明，該設(shè)置方案能有效解決廣播風(fēng)暴，增強(qiáng)網(wǎng)絡(luò)的靈活性，提高網(wǎng)絡(luò)的工作效率。

VLAN其實(shí)就是相當(dāng)于子網(wǎng)（Subnet）的概念，在高校機(jī)房管理的應(yīng)用中，可以按照不同的機(jī)房類型來劃分VLAN，不同的VLAN之間是不能隨便訪問的，這樣就可以有效地避免廣播風(fēng)暴問題。這樣通過VLAN技術(shù)可以確保機(jī)房管理中重要服務(wù)器及重要通信的帶寬需求保持高效工作，提高網(wǎng)絡(luò)的安全性。

3 結(jié)語

本文通過在思科模擬器PT6.1.1上對機(jī)房設(shè)計(jì)方案進(jìn)行拓?fù)浣Y(jié)構(gòu)搭建，然后進(jìn)行配置。根據(jù)典型的實(shí)際應(yīng)用需要，由交換機(jī)端口進(jìn)行VLAN劃分，劃分的結(jié)果是可以使同一VLAN內(nèi)數(shù)據(jù)自由通信，然而對于不同的VLAN機(jī)房，即使連接到了相同的交換機(jī)，可在一般情況下還是不能通信的，因此這樣就有效地避免了廣播風(fēng)暴問題。而不同VLAN之間的機(jī)房需要通信，可以通過路由器或三層交換機(jī)來實(shí)現(xiàn)。通過測試，結(jié)果表明，通過跨越交換機(jī)的方式來實(shí)施劃分VLAN，不僅能高性能地達(dá)到VLAN之間的通信聯(lián)接，還可以減少碰撞、提高帶寬利用率、提高機(jī)房通信的性能、提高高校機(jī)房的管理效率、增強(qiáng)機(jī)房網(wǎng)絡(luò)應(yīng)用的靈活性等。

參考文獻(xiàn)

[1] [美]劉易思.思科網(wǎng)絡(luò)學(xué)院技術(shù)教程：LAN交換和無 線[M].北京：人民郵電出版社，2009.

[2] 朱迅.基于三層交換和虛擬局域網(wǎng)技術(shù)的校園網(wǎng)的設(shè) 計(jì)與實(shí)現(xiàn)[D].江南大學(xué)，2009.

[3] 李永忠.計(jì)算機(jī)網(wǎng)絡(luò)測試與維護(hù)[M].西安：西安電 子科技大學(xué)出版社，2011.

[4] [美]瓦尚，格拉齊亞尼.思科網(wǎng)絡(luò)學(xué)院技術(shù)教程：接 入WAN[M].北京：人民郵電出版社，2009.

基金項(xiàng)目：賀州學(xué)院2014年度大學(xué)生科研項(xiàng)目“高校機(jī)房網(wǎng)絡(luò)安全性研究”，項(xiàng)目編號：2014DXSZK10；2014年國家級大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目“VLAN技術(shù)在高校校園網(wǎng)中的應(yīng)用研究”，項(xiàng)目編號：201411838005。

作者簡介：胡元闖（1983-），男，廣西河池人，賀州學(xué)院計(jì)算機(jī)科學(xué)與信息工程學(xué)院高級工程師，碩士，研究方向：網(wǎng)絡(luò)協(xié)議、無線網(wǎng)絡(luò)可靠性、模型檢測、形式化技術(shù)、云計(jì)算等。

（責(zé)任編輯：黃銀芳）