鄂州经贸学校数字化校园网设计方案

鄂州经贸学校数字化校园网设计方案内容摘要：

LAN 的划分有许多的方法，考虑到终端用户位置的相对固定性，全网 VLAN 的划分的方法采用 按网络端口来划分 VLAN 的方法，这样的方法使得 配置过程简单明了， 而且这也 是最常用的一种方式。 考虑到 VLAN之间的数据通讯，本网络上 VLAN的划分还必须结合 IP 子网的划分，即一个 VLAN同 时就是一个 IP 子网的网段。 VLAN 的划分从理论上来说是可以跨地域范围的，但还是建议基于一定的地理位置来划分VLAN，这不仅可以把广播限制在一定的区域，而且为 VLAN 到网络中心的访问提供了确定的访问路径，便于 troubleshooting，也为交换机式网络升级到路由网络提供了便利。 PVLAN 技术 当接入用户比较多时而又要保证相互之间的安全，一般所采用的方法就是采用 VLAN 进行共同工作组的划分。 可以将每个以太网接入的客户放置于独立的 VLAN 中，这样客户彼此之间是完全从L2 层隔离的。 但当接入的 用户数量多时，如果为每一个需要隔离的用户都分配一个 VLAN，则网络设备所能够支持的最大 VLAN（通常为 256 ～ 4096 个）的数量就会不够用，同时 IP 地址网段的需求量也会非常大，因此，传统的做法实现很困难甚至不能使用。 因此针对该问题，提出了 Private VLAN 技术，正好可以解决这些问题。 Private VLAN 能够提供端口之间的第二层的隔绝，同时又使这些端口具有标准 VLAN 的特性。 Private VLAN 可以把一个大的 IP地址域划分成多个地址组，各个地址组之间不能互访，既实现了安全隔离又省却了地址 划分及重规划的复杂，节约了 IP 地址。 在 Private VLAN的概念中，交换机端口有三种类型： Promiscuous port（混杂端口） ， Isolated port（隔离端口） ， Community port（共有端口） ；它们分别对应不同的 VLAN 类型： Isolated port属于 Secondary VLAN， Community port 属于 Additional Secondary VLAN，而代表一个Private VLAN 整体的是 Primary VLAN，前面两类 VLAN 需要和它绑定在一起，同时它 还包括Promiscuous port。 在 Secondary VLAN 中， Isolated port 只能和 Promiscuous port 通讯，彼此不能交换流量；在 Additional Secondary VLAN 中， Community port 不仅可以和Promiscuous port 通信，而且彼此也可以交换流量。 建设网络的目的是为了应用。 无论网络硬件平台多么先进，没有与之配套的先进应用系统，网络的价值就无法得到真正的体现。 VLAN 的规划 楼宇 部门 PC 接口数量 IP 规划 VLAN_NUM 网关 教学楼 一 楼机房 100 教学楼 办公室 60 学生宿舍 1号东区 240 学生宿舍 1号西区 240 教师公寓 东区 25 教师公寓 西区 25 实训车间 二楼机房 10 地址规划与路由设计 地址规划方案 IP 地址规划是要解决有效利用地址空间、有利于路由设计、解决公网地址严重不足等问题。 首先是校园网骨干设备的地址，由于校园网地址空间实在紧张，所有设备的管理地址可以采用私网地址。 校园网内地址规划的一种方式是将所有私有地址限制在各校园一定的区域内，无论私有地址用户访问的目的地是校园网外网络还是校园网内网络，其均要进行地址转换。 在校园网内骨干网上将不存 在私有 IP 子网的路由，各片区的私有地址可自行定义使用。 其缺点是校园网内私有地址间互访的流量均经地址转换，性能受到影响， NAT 设备的压力较大。 另一种方式是，无论采用公用还是私有 IP 地址的用户，可直接进行校园网内互访不需进行地址转换，各边界三层交换机有相应的路由信息，校园网的保留地址进行统一的规划，其路由信息可在全网络内传播。 对于访问校园网外的用户，需区分其使用的是私有还是公有 IP 地址，对于公有 IP地址用户也无需进行地址转换，使用私有 IP地址用户为访问校园网外的网络时必须进行 NAT转换。 在校园网出口处应采用源 路由方式 (策略路由 )将流量导向 NAT 设备。 建议采用具有硬件处理能力的线速 NAT 设备。 校园网络中地址分配最主要的因素是公网地址空间的缺口： 我们都知道 IP 网分配了公用 IP 地址。 用户人数在不断增长，将远远超过可用地址数，这将成为一个非常严重的问题。 由于大部分的个人用户不需要固定的 IP 地址，因此对个人用户采用动态的 IP 地址分配可以节省 189。 到 190。 的地址资源。 而采用 NAT/PAT 的方式，可以将网络公用地址的需要节省到几十分之一甚至更多的程度。 但后一种方式的主要问题是 NAT/PAT 转换的性能问题，第二个问题是可能会影 响某些应用。 而实际上，地址缺口的大小不仅取决于可用空间和用户数，并且与采用的用户安全技术和产品有关。 如果采用以太网和 per user perVLAN 的方式，地址消耗太大，使用私网地址 +NAT 是合理的选择。 第二个因素是采用的产品的特性。 由于目前单台设备的 NAT/PAT的性能不理想，解决的方法是由边缘层交换机分担完成该功能。 第三个因素是是否考虑 NAT/PAT 对应用的影响。 可能某个用户需要采用某种应用而该应用不能穿过 NAT/PAT 设备，如某些多媒体应用和 VPN应用。 第四个因素是是否考虑可能的政策调整。 综合以上多种考虑，对于采用 IP 网作为校园网主要载体的学校，我们建议： 对校园内学生宿舍或教工住宅用户采用地址 静 态分配、以私网地址为主。 配置会聚层交换机，对于目标 IP 地址不是本校园网内部的会话流则采用 NAT/PAT 的方式，反之则不进行 NAT/PAT。 Inter出口的策略路由及设计 鄂州经贸 学校具有两个校园网广域出口，为充分利用这些网络资源，在路由策略上可以进行灵活地选择。 例如，对于 CERNET 所规定的 FreeIP范围，可选择通过 CERNET 出口。 而非 FreeIP范围的流量需要另外交 纳流量费用，并且带宽受到影响，可以选择通过电信公众网出口。 此外，还可根据应用的类型进行出口路由选择。 在高性能的互联网络中，各个公司 /组织机构都希望网络具有一定的灵活性，以便可以根据自己定义的、在传统路由选择协议考虑之外的策略来实施数据包的转发和路由。 通过使用基于策略的路由可以实施有选择地让数据包采用不同的路径的策略。 基于策略的路由被应用于进入的数据包，启用了基于策略的路由的接口所接收的所有数据包都被考虑执行基于策略的路由。 路由器用路由映象过滤数据包，根据路由映象中所定义的规则，数据包被转发到适当的下一跳。 路由器通常根据其路由表中的信息将数据包转发到目的地址，与根据目的地址进行的路由不同，基于策略的路由使网络管理员能够决定和实施路由策略 网络安全 设计 网络安全的需求 （ 1）有效的访问控制 通过特定的网段及服务建立访问控制体系，实现如下目标：允许网上用户访问时，正确、迅速可达；不允许时，用户根本查找不到网络目标，从而有效地阻止其访问或攻击。 （ 2）集中安全漏洞检查和攻击监控 通过特定网段及服务建立的多种监控体系，应可实时检测出绝大多数攻击并采取相应的措施 (如断开连接、记录攻击过程及跟踪攻击 等 )，并能周期性地检查安全漏洞，做到及时发现，及时防范。 （ 3）多层防御和完善的认证体系 建立一个良好的认证体系，可防止非法用户的攻击。 应采用防火墙、服务器入侵检测软件、服务器进程监控软件等，使服务器遭到攻击或遇到故障之初就通过 Email、电话、手机等方式在第一时间通知系统管理员。 （ 4）数据备份和恢复 应设计良好的备份和恢复机制，一旦数据被破坏可及时得到恢复，避免系统遭到攻击后全网瘫痪。 网络安全设计 方法 用户的地址更改 /欺骗在以太网接入中也比较突出，尤其在用户内部，普通用户冒用特权用户的IP 地址上网。 另一种情况是，一个用户申请了一个端口访问 INTERNET，但他却为许多其它用户提供接入，进行第 2 级带宽批发或从事其它经营活动。 这是必须有办法控制此类事件的发生。 需要指出的是，如果用户使用代理上网，此时无法通过普通手法进行限制，因为网络管理根本无法发觉，要解决这个问题，必须通过限制访问速率进行，所以接入交换机支持速率限制在这种场合显得和重要。 1．端口与 MAC 地址的绑定 交换机的端口连接到用户的网卡，每一个网卡都有一个全球唯一的 48 位 MAC 地址，任何用户申请开通上网业务时登记 MAC 地址，网络管 理员注入系统数据库，并起用端口的安全特性。 所选交换机支持端口的安全特性，每个端口可静态设置多个 MAC 地址，如果有非法 MAC 地址入侵，交换机 会通过 TRAP 告警网络管理员。 这种方式安全性高，但管理复杂。 2．限定端口的同时连接 MAC 数 此种方法不须要做 MAC 地址和端口的静态绑定，只限制每端口同时连接的 MAC 地址数量。 如假定设定每端口同时连接的 MAC 地址上限为 2， 则用户最多有两台电脑，如果超过两台，交换机可以自动关闭此端口或向系统管理员 TRAP 告警。 对合法用户的正常使用，我们建议采用以下技术： 3．流量 限制技术 通过对用户接入端口进行速率限制，保证用户不可以超越某个速率上限，一旦发觉某一端口流量异常，则可以认为有太多突发流量通过此端口进入业务网络，由可能在进行黑客活动，也有可能在利用此端口进行带宽批发活动或其他经营活动，网络管理人员可以马上关闭此端口，并通知客户。 端口级速率限制比通过 IP 地址限速的好处是简单，不需要识别每个用户的 IP地址，然后设定大量的针对每个 IP 地址的速率控制内容。 当然，缺点是一个用户必须占用一个物理端口。 而根据IP 地址的限速就可以允许用户复用一个物理端口。 4． PVLAN 技术 现在 有了一种新的 VLAN 机制，服务器同在一个子网中，但服务器只能与自己的缺省网关通信。 这一新的 VLAN 特性就是专用 VLAN(private VLAN， pVLAN)。 专用 VLAN 是第 2 层的机制，在同一个 2 层域中有两类不同安全级别的访问端口。 与服务器连接的端口称作专用端口 (Private port)，一个专用端口限定在第 2 层，它只能发送流量到混杂端口，也只能检测从混杂端口来的流量。 混杂端口 (Promioscuous port)没有专用端口的限定，它与路由器或第 3 层交换机接口相连。 简单地说，在一个专用 VLAN 内， 专用端口收到的流量只能发往混杂端口，混杂端口收到的流量可以发往所有端口 (混杂端口和专用端口 )。 下图示出了同一专用 VLAN中两类端口的关系： 专用 VLAN 的应用对于保证城域接入网络的数据通讯的安全性是非常有效的用户只需与自己的缺省网关连接，一个专用 VLAN 不需要多个 VLAN 和 IP子 网就提供了具备第二层数据通讯安全性的连接，所有的用户都接入专用 VLAN，从而实现了所有用户与缺省网关的连接，而与专用 VLAN内的其他用户没有任何访问。 PVLAN功能可以保证同一个 VLAN 中的各个端口相互之间不能通讯，但 可以穿过 TRUNK端口。 这样即使同一 VLAN 中的用户，相互之间也不会受到广播的影响。 防火墙部署方案 根据学校的具体情况，选用一台 CISCO的 企业级 防火墙： CISCO ASA 5520。 该产品具有 4个千兆光纤端口， 1 个百兆端口。 一个千兆光纤端口接对外提供服务的 DMZ区，该区是对外的服务区，提供 WWW、 DNS、 Email、FTP、 BBS 等服务； 一个千兆光纤端口接内部局域网，叫内网区端口； 一个千兆以太网口和 一个百兆网口，用于连接 互联网。 此处可根据需要，在防火墙上设置如下安全策略：  解决内外网 络边界安全，防止外部攻击，保护内部网络（禁止外部网络访问内部网络）；  根据 IP 地址、协议类型、端口等进行数据包过滤；  内外网络采用两套 IP 地址，实现双向地址转换功能；  支持安全服务器网络（ DMZ 区），允许内外网络访问 DMZ 区，但禁止 DMZ 区访问内部网络；  通过 IP 与 MAC 地址绑定防止 IP 盗用，避免乱用网络资源；  防止 IP 欺骗；  防 DDoS 攻击；  开启黑白名单功能，实现 URL 过滤，过滤不健康网站；  提供应用代理服务，隔离内外网络；  具有自身保护能力，可防范对防火墙的常见攻击；  启动入侵检测及告警功能；  学生访 问不良信息网站后的日志记录，做到有据可查；  多种应用协议的支持。 第四章 应用系统的规划与设计 信息标准系统建设 1．建设目标 信息标准的建设是校园信息化建设的重要内容。 有了统一的信息标准，学校在数据建模、信息采集、加工处理、数据交换的过程中有统一的规范，最大限度地实现信息优化管理和资源共享，帮助使用者方便、快捷、规范地建立应用系统的数据结构，满足信息化建设需求。 建设统一的信息标准不仅需要完整的设计思想，也需要具备完善管理能力的工具作支撑，为高校信息标准的建设提供管理保障。 信息标准管理系统即用以 帮助。