基于思科模擬器的高校機房網(wǎng)絡(luò)安全性研究

胡元闖 千文 朱建鋒

摘要：文章通過在思科模擬器Cisco PT6.1.1上給出了高校機房VLAN典型的劃分方法，根據(jù)實際應(yīng)用通過二層交換機VLAN進行的靈活劃分，讓同一VLAN可以自由通信數(shù)據(jù)，通過對三層交換機的不同配置方法，實現(xiàn)了不同的VLAN間的數(shù)據(jù)通信，并通過測試驗證。結(jié)果表明，給出的方案可以提高網(wǎng)絡(luò)帶寬利用率，減少碰撞，提高網(wǎng)絡(luò)的靈活性，增強了網(wǎng)絡(luò)的安全性。

關(guān)鍵詞：網(wǎng)絡(luò)安全；思科模擬器；虛擬局域網(wǎng)；三層交換機；高校機房；網(wǎng)絡(luò)安全性 文獻標(biāo)識碼：A

中圖分類號：TP393 文章編號：1009-2374（2016）27-0011-02 DOI：10.13535/j.cnki.11-4406/n.2016.27.006

隨著高校規(guī)模越來越大，高校中計算機的機房室越來越多，計算機數(shù)量也不斷增多，但是由于可能有多個同一類機房，且它們分布在不同的實驗樓層或不同的教室，如何對這些類型相同而分別在不同樓宇和樓層的機房進行有效管理，在機房通信中有效抑制廣播風(fēng)暴，提高機房通信的安全性和管理效率成為各高校面臨的問題之一。

當(dāng)前很多高校機房管理員從機房建設(shè)實踐中都知道，第2層平面網(wǎng)絡(luò)的擴展性不夠好，各主機之間進行數(shù)據(jù)通信之前，都要通過廣播RARP，以便獲取目的主機的物理地址。這樣就導(dǎo)致了用來正常數(shù)據(jù)通信卻沒法利用正常帶寬，影響了網(wǎng)絡(luò)的利用效率和正常工作效果。而VLAN（Virtual Local Area Network）依靠用戶的邏輯劃分，將原來物理上互連的一個局域網(wǎng)絡(luò)劃分為多個虛擬網(wǎng)段，這樣不僅有效提高了通信效率，還可以在特定的一組端口上播出某些數(shù)據(jù)信息組，此舉措對提高校園網(wǎng)機房網(wǎng)絡(luò)安全具有重要意義。

1 基于兩層交換的Cisco VLAN的工作原理

1.1 交換機的兩層交換技術(shù)

雖然兩層交換機交換技術(shù)能夠解決局域網(wǎng)的沖突問題，但還不能解決廣播問題。整個局域網(wǎng)看起來還是屬于同一個廣播域，即使一個廣播數(shù)據(jù)包可以傳遞到局域網(wǎng)網(wǎng)絡(luò)上的所有主機，但會占用大量的網(wǎng)絡(luò)資源，這樣不僅會影響整個網(wǎng)絡(luò)的運行速度，還影響了整個網(wǎng)絡(luò)的效率和性能，然而利用VLAN技術(shù)就可以很好地解決這個問題。

1.2 VTP Domain和VLAN Trunk

在VLAN配置中要用到兩個主要技術(shù)，是VLAN Trunk和VTP Domain。在基于交換機端口劃分的VLAN中，一個端口只能屬于一個VLAN，當(dāng)有2臺交換機級聯(lián)之后，不同VLAN間的數(shù)據(jù)包如何通過級聯(lián)端口送達目的交換機以及數(shù)據(jù)包到達目的交換機時如何交付，這些都可以通過配置交換機的Trunk功能來實現(xiàn)。

VTP（Vlan Trunk Protocol）即中繼協(xié)議，主要用于互聯(lián)不同VLAN時的通信。通過VTP配置可以有效地管理VLAN。

1.3 機房網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計

根據(jù)現(xiàn)有高校機房的應(yīng)用需求及布局特點，往往某一類機房包含多個機房，分布在不同的樓層，功能上既有獨立的部分，又有相同的部分，按照傳統(tǒng)的模式，給管理帶來一定不便。本文通過VLAN技術(shù)，在思科模擬器上進行機房拓撲結(jié)構(gòu)設(shè)計，圖1給出了在思科模擬器上搭建的高校機房網(wǎng)絡(luò)中VLAN的典型劃分。

2 配置實現(xiàn)

2.1 VLAN的劃分

根據(jù)實際需要，該機房一共劃分5個VLAN，即rjjf、wljf、yjjf、DNS和WEB-FTP，劃分的網(wǎng)絡(luò)分別為192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.1/24、192.168.40.2/24。每個VLAN能鏈接的主機數(shù)為254臺，能滿足目前情況的需求。

本文中按照本學(xué)院機房分布情況在思科模擬器上搭建實驗拓撲結(jié)構(gòu)圖，并通過命令進行配置。網(wǎng)絡(luò)拓撲結(jié)構(gòu)由一臺三層交換機和兩臺兩層交換機構(gòu)成。在本文中，我們將三層交換機設(shè)置成VTP服務(wù)器，將二層交換機配置為VTP客戶端，VTP域名為jfgl，同時為Web服務(wù)器和FTP服務(wù)器設(shè)置域名。在本文中，我們?yōu)槊總€VLAN劃分獨立的網(wǎng)絡(luò)地址，滿足我校機房管理的實際應(yīng)用。

2.2 網(wǎng)絡(luò)配置

在完成網(wǎng)絡(luò)搭建之后就可以進行相關(guān)配置，主要包括VLAN劃分、IP地址配置、中繼配置、802.1q配置以及其他相關(guān)配置，以下給出各項主要配置過程。

2.2.1 PC機和服務(wù)器的配置。按照網(wǎng)絡(luò)參數(shù)表相應(yīng)參數(shù)設(shè)置計算機的IP地址。配置Web服務(wù)器、FTP服務(wù)器和DNS服務(wù)器的IP地址。

2.2.2 對VTP域進行配置。在三層交換機上配置VTP域如下所示：

SW-3（config）#vtp domain jfgl

在三個二層交換機上配置VTP如下所示：

switchA（config）#vtp domain jfgl //這是交換機A的vtp域名為jfgl

switchA（config）#vtp mode client //設(shè)置交換機A的vtp為客戶機模式

在另外兩個二層交換機上進行類似相應(yīng)的配置。

2.2.3 創(chuàng)建VLAN域。在三層交換機上創(chuàng)建VLAN域，主要命令如下所示：

SW-3#vlan database//進入創(chuàng)建vlan模式

SW-3 （vlan）#vlan 10 name rjjf //創(chuàng)建vlan10

SW-3 （vlan）#vlan 20 name wljf //創(chuàng)建vlan20

SW-3 （vlan）#vlan 30 name yjjf //創(chuàng)建vlan30

SW-3 （vlan）#vlan 40 name server //創(chuàng)建vlan40

2.2.4 在三層交換機和二層交換機之間創(chuàng)建中繼鏈路。接著在三層交換機和二層交換機之間配置中繼鏈路，主要配置命令如下所示：

在三層交換機上進行配置：

SW-3（config）#int f0/21 //進入以太網(wǎng)21號端口

SW-3（config-if）#switchport mode dynamic desirable //設(shè)置21號端口為動態(tài)模式

在二層交換機switchA上進行配置：

switchA（config）#interface f0/21 //進入交換機A的21號接口

switchA（config-if）#switchport mode trunk //把21交換機A的21號接口設(shè)置為trunk模式

switchA（config）#interface range f0/23-f0/24 //進入交換機A的23和24號接口

switchA（config-if-range）#switchport mode trunk//把交換機A的23和24號接口設(shè)置為trunk模式

對另外兩個二層交換機進行類似的配置。

以上命令配置完之后，在三層交換機上為各個Vlan配置網(wǎng)關(guān)，并開啟路由，整個配置工作完成。

2.3 測試及分析

在配置完成之后進行測試驗證，既可以通過PING命令來測試網(wǎng)絡(luò)連接效果，也可以用計算機的瀏覽器來訪問域名的Web服務(wù)和FTP服務(wù)的連通性。通過PING測試網(wǎng)絡(luò)的連通性，結(jié)果表明，VLAN10中的計算機與其他三個VLAN的計算機以及服務(wù)器能夠?qū)崿F(xiàn)通信。而PC21、PC22、PC23之間也能實現(xiàn)通信；PC31、PC32、PC33直接亦能通信。其中PC11、PC12、PC13屬于同一VLAN，但屬于不同的交換機，但能實現(xiàn)通信。與此同時，PC11廣播的數(shù)據(jù)包，PC21、PC31雖然和PC11屬于同一個交換機，但卻不會接收到，因為它們分別屬于不同的VLAN。同樣的，對應(yīng)PC21、PC22、PC23和PC31、PC32、PC33的測試，結(jié)果類似。測試結(jié)果表明，該設(shè)置方案能有效解決廣播風(fēng)暴，增強網(wǎng)絡(luò)的靈活性，提高網(wǎng)絡(luò)的工作效率。

VLAN其實就是相當(dāng)于子網(wǎng)（Subnet）的概念，在高校機房管理的應(yīng)用中，可以按照不同的機房類型來劃分VLAN，不同的VLAN之間是不能隨便訪問的，這樣就可以有效地避免廣播風(fēng)暴問題。這樣通過VLAN技術(shù)可以確保機房管理中重要服務(wù)器及重要通信的帶寬需求保持高效工作，提高網(wǎng)絡(luò)的安全性。

3 結(jié)語

本文通過在思科模擬器PT6.1.1上對機房設(shè)計方案進行拓撲結(jié)構(gòu)搭建，然后進行配置。根據(jù)典型的實際應(yīng)用需要，由交換機端口進行VLAN劃分，劃分的結(jié)果是可以使同一VLAN內(nèi)數(shù)據(jù)自由通信，然而對于不同的VLAN機房，即使連接到了相同的交換機，可在一般情況下還是不能通信的，因此這樣就有效地避免了廣播風(fēng)暴問題。而不同VLAN之間的機房需要通信，可以通過路由器或三層交換機來實現(xiàn)。通過測試，結(jié)果表明，通過跨越交換機的方式來實施劃分VLAN，不僅能高性能地達到VLAN之間的通信聯(lián)接，還可以減少碰撞、提高帶寬利用率、提高機房通信的性能、提高高校機房的管理效率、增強機房網(wǎng)絡(luò)應(yīng)用的靈活性等。

參考文獻

[1] [美]劉易思.思科網(wǎng)絡(luò)學(xué)院技術(shù)教程：LAN交換和無 線[M].北京：人民郵電出版社，2009.

[2] 朱迅.基于三層交換和虛擬局域網(wǎng)技術(shù)的校園網(wǎng)的設(shè) 計與實現(xiàn)[D].江南大學(xué)，2009.

[3] 李永忠.計算機網(wǎng)絡(luò)測試與維護[M].西安：西安電 子科技大學(xué)出版社，2011.

[4] [美]瓦尚，格拉齊亞尼.思科網(wǎng)絡(luò)學(xué)院技術(shù)教程：接 入WAN[M].北京：人民郵電出版社，2009.

基金項目：賀州學(xué)院2014年度大學(xué)生科研項目“高校機房網(wǎng)絡(luò)安全性研究”，項目編號：2014DXSZK10；2014年國家級大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計劃項目“VLAN技術(shù)在高校校園網(wǎng)中的應(yīng)用研究”，項目編號：201411838005。

作者簡介：胡元闖（1983-），男，廣西河池人，賀州學(xué)院計算機科學(xué)與信息工程學(xué)院高級工程師，碩士，研究方向：網(wǎng)絡(luò)協(xié)議、無線網(wǎng)絡(luò)可靠性、模型檢測、形式化技術(shù)、云計算等。

（責(zé)任編輯：黃銀芳）