胡 明

本文以兩所院校區(qū)的校園網(wǎng)絡通過遠程連接,形成整體的校園網(wǎng)絡為規(guī)劃目標。網(wǎng)絡設計要求能實現(xiàn)以下目標:建設數(shù)字化新校園,為學校各部門提供快捷有效的信息服務和通信環(huán)境。實現(xiàn)集中式數(shù)據(jù)存儲,實現(xiàn)在網(wǎng)絡系統(tǒng)上的高速互連互通,及信息資源和軟硬件資源高度共享。

一、校園網(wǎng)絡拓撲圖

網(wǎng)絡中心形成了主干網(wǎng),是整個校園網(wǎng)的總節(jié)點,并提供連接廣域網(wǎng)和撥入服務。在主干網(wǎng)系統(tǒng)采用以太網(wǎng)結構。中心機房放置著中心交換機、服務器群、路由器、機架MODEM等網(wǎng)絡設備,這些設備以中心交換機作為中心,以星形拓樸結構通過雙絞電纜線連接在一起。網(wǎng)絡中心與子網(wǎng)的聯(lián)系是通過光纖和雙絞電纜線將中心交換機和子網(wǎng)的交換機或集線器連接起來。

二、校園網(wǎng)的規(guī)劃

校園網(wǎng)絡系統(tǒng)采用以星形拓撲結構為主的分布式三層(核心層、匯聚層、接入層)結構。核心設備放置在網(wǎng)絡中心,在各系部設置匯聚節(jié)點。各樓宇設置1～3個配線間,將樓內的信息點全部集中到各配線間內,采用百/千兆接入交換機提供各信息點接入的需要,通過千/萬兆連接到相對應的匯聚中心設備上。

三、校園的IP地址規(guī)劃

IPv4地址分成A、B、C三類,每類均保留有私有地址,由于C類的私有地址無法滿足校園網(wǎng)的實際需要,所以采用B類私有IP(表1)。私有IP地址B類范圍從172.16.0.0～172.31.255.255,取172.18.0.0 /24網(wǎng)段,可以分為254個子網(wǎng),每個網(wǎng)段為254臺主機。

總校區(qū)與分校區(qū)的IP地址分配情況:總校區(qū)共有20個科室和16個微機房,另外學生宿舍和教工住宅區(qū)需要50～80個網(wǎng)段。Ip地址分配網(wǎng)段為:172.18.10.0～172.18.200.0。 分校區(qū)有7個微機房和15和科室單位。另外學生宿舍和教工住宅區(qū)需要20～30個網(wǎng)段,Ip地址分配為:172.18.201.0～172.18.254.0,校園網(wǎng)的核心層,路由器、服務器的IP地址為:172.18.1.0～172.18.4.0。

四、校園網(wǎng)絡采用的網(wǎng)絡協(xié)議

校園網(wǎng)絡采用OSPF(Open Shortest Path First)協(xié)議,OSPF是鏈路狀態(tài)路有協(xié)議,是一個內部網(wǎng)關 (Interior Gateway Protocol,IGP) 協(xié)議,是通過路由器之間通告網(wǎng)絡接口的狀態(tài)來建立鏈路狀態(tài)數(shù)據(jù)庫,生成最短路徑樹,每個OSPF路由器使用這些最短路徑構造路由表(表2)。

OSPF路由進程process-id必須指定范圍在1～65535,多個OSPF進程可以在同一個路由器上配置,但最好不這樣做。多個OSPF進程需要多個OSPF數(shù)據(jù)庫的副本,必須運行多個最短路徑算法的副本。process-id只在路由器內部起作用,不同路由器的process-id可以不同。

wildcard-mask 是子網(wǎng)掩碼的反碼,網(wǎng)絡區(qū)域ID area-id在0～4294967295內的十進制數(shù),也可以是帶有IP地址格式的x.x.x.x。當網(wǎng)絡區(qū)域ID為0或0.0.0.0時為主干域。不同網(wǎng)絡區(qū)域的路由器通過主干域學習路由信息。

五、校園網(wǎng)絡安全架構

網(wǎng)絡安全構架采用被屏蔽子網(wǎng)(ScreenedSubnet)技術,被屏蔽子網(wǎng)就是在內部網(wǎng)絡和外部網(wǎng)絡之間建立一個被隔離的子網(wǎng),用兩臺分組過濾路由器將這一子網(wǎng)分別與內部網(wǎng)絡和外部網(wǎng)絡分開。在很多實現(xiàn)中,兩個分組過濾路由器放在子網(wǎng)的兩端,在子網(wǎng)內構成一個DMZ。

DMZ(Demilitarized Zone)即俗稱的非軍事區(qū),與軍事區(qū)和信任區(qū)相對應,作用是把Web,e-mail等允許外部訪問的服務器單獨接在該區(qū)端口,使整個需要保護的內部網(wǎng)絡接在信任區(qū)端口后,不允許任何訪問,實現(xiàn)內外網(wǎng)分離。DMZ可以理解為一個不同于外網(wǎng)或內網(wǎng)的特殊網(wǎng)絡區(qū)域,DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在校園內網(wǎng)中的機密或私人信息等,即使DMZ中服務器受到破壞,也不會對內網(wǎng)中的機密信息造成影響。

內部網(wǎng)絡和外部網(wǎng)絡均可訪問被屏蔽子網(wǎng),但禁止它們穿過被屏蔽子網(wǎng)通信。有的屏蔽子網(wǎng)中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網(wǎng)關代理。這種配置的危險僅包括堡壘主機、子網(wǎng)主機及所有連接內網(wǎng)、外網(wǎng)和屏蔽子網(wǎng)的路由器。如果攻擊者試圖完全破壞防火墻,就必須重新配置連接三個網(wǎng)的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發(fā)現(xiàn),這樣也還是可能的。但若禁止網(wǎng)絡訪問路由器或只允許內網(wǎng)中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然后進入內網(wǎng)主機,再返回來破壞屏蔽路由器,并且整個過程中不能引發(fā)警報。

六、網(wǎng)絡中核心技術的配置命令

R0的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.1.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.2.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#

Router(config)#router ospf 1

Router(config-router)#network 172.18.1.0 0.0.0.255 area 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#end

R2的配置命令行:

Router>en

Router#config t

Enter configuration commands, one per line.End with CNTL/Z.

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.3.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#interface fa 0/0

Router(config-if)#ip add 172.18.4.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#end

Router#config t

Router(config)# router ospf 1

Router(config-router)#network 172.18.4.0 0.0.0.255 area 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

R1的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.2.2 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#exit

Router#config t

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.3.1 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

本文從校園網(wǎng)絡的實用性角度出來,對于總校區(qū)和分校區(qū)這種兩校區(qū)遠程網(wǎng)絡的連接規(guī)劃與安全方面進行了闡述,進行了網(wǎng)絡私有IP地址的劃分,以及網(wǎng)絡防火墻的設計架構,最后給出路由器OSPF協(xié)議中的關鍵配置命令。

(作者單位:廣東省高級技工學校)