基于思科模拟器的高校机房网络安全性研究
来源:用户上传
作者:
摘要:文章通过在思科模拟器Cisco PT6.1.1上给出了高校机房VLAN典型的划分方法,根据实际应用通过二层交换机VLAN进行的灵活划分,让同一VLAN可以自由通信数据,通过对三层交换机的不同配置方法,实现了不同的VLAN间的数据通信,并通过测试验证。结果表明,给出的方案可以提高网络带宽利用率,减少碰撞,提高网络的灵活性,增强了网络的安全性。
关键词:网络安全;思科模拟器;虚拟局域网;三层交换机;高校机房;网络安全性 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2016)27-0011-02 DOI:10.13535/j.cnki.11-4406/n.2016.27.006
随着高校规模越来越大,高校中计算机的机房室越来越多,计算机数量也不断增多,但是由于可能有多个同一类机房,且它们分布在不同的实验楼层或不同的教室,如何对这些类型相同而分别在不同楼宇和楼层的机房进行有效管理,在机房通信中有效抑制广播风暴,提高机房通信的安全性和管理效率成为各高校面临的问题之一。
当前很多高校机房管理员从机房建设实践中都知道,第2层平面网络的扩展性不够好,各主机之间进行数据通信之前,都要通过广播RARP,以便获取目的主机的物理地址。这样就导致了用来正常数据通信却没法利用正常带宽,影响了网络的利用效率和正常工作效果。而VLAN(Virtual Local Area Network)依靠用户的逻辑划分,将原来物理上互连的一个局域网络划分为多个虚拟网段,这样不仅有效提高了通信效率,还可以在特定的一组端口上播出某些数据信息组,此举措对提高校园网机房网络安全具有重要意义。
1 基于两层交换的Cisco VLAN的工作原理
1.1 交换机的两层交换技术
虽然两层交换机交换技术能够解决局域网的冲突问题,但还不能解决广播问题。整个局域网看起来还是属于同一个广播域,即使一个广播数据包可以传递到局域网网络上的所有主机,但会占用大量的网络资源,这样不仅会影响整个网络的运行速度,还影响了整个网络的效率和性能,然而利用VLAN技术就可以很好地解决这个问题。
1.2 VTP Domain和VLAN Trunk
在VLAN配置中要用到两个主要技术,是VLAN Trunk和VTP Domain。在基于交换机端口划分的VLAN中,一个端口只能属于一个VLAN,当有2台交换机级联之后,不同VLAN间的数据包如何通过级联端口送达目的交换机以及数据包到达目的交换机时如何交付,这些都可以通过配置交换机的Trunk功能来实现。
VTP(Vlan Trunk Protocol)即中继协议,主要用于互联不同VLAN时的通信。通过VTP配置可以有效地管理VLAN。
1.3 机房网络拓扑结构设计
根据现有高校机房的应用需求及布局特点,往往某一类机房包含多个机房,分布在不同的楼层,功能上既有独立的部分,又有相同的部分,按照传统的模式,给管理带来一定不便。本文通过VLAN技术,在思科模拟器上进行机房拓扑结构设计,图1给出了在思科模拟器上搭建的高校机房网络中VLAN的典型划分。
2 配置实现
2.1 VLAN的划分
根据实际需要,该机房一共划分5个VLAN,即rjjf、wljf、yjjf、DNS和WEB-FTP,划分的网络分别为192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.1/24、192.168.40.2/24。每个VLAN能链接的主机数为254台,能满足目前情况的需求。
本文中按照本学院机房分布情况在思科模拟器上搭建实验拓扑结构图,并通过命令进行配置。网络拓扑结构由一台三层交换机和两台两层交换机构成。在本文中,我们将三层交换机设置成VTP服务器,将二层交换机配置为VTP客户端,VTP域名为jfgl,同时为Web服务器和FTP服务器设置域名。在本文中,我们为每个VLAN划分独立的网络地址,满足我校机房管理的实际应用。
2.2 网络配置
在完成网络搭建之后就可以进行相关配置,主要包括VLAN划分、IP地址配置、中继配置、802.1q配置以及其他相关配置,以下给出各项主要配置过程。
2.2.1 PC机和服务器的配置。按照网络参数表相应参数设置计算机的IP地址。配置Web服务器、FTP服务器和DNS服务器的IP地址。
2.2.2 对VTP域进行配置。在三层交换机上配置VTP域如下所示:
SW-3(config)#vtp domain jfgl
在三个二层交换机上配置VTP如下所示:
switchA(config)#vtp domain jfgl //这是交换机A的vtp域名为jfgl
switchA(config)#vtp mode client //设置交换机A的vtp为客户机模式
在另外两个二层交换机上进行类似相应的配置。
2.2.3 创建VLAN域。在三层交换机上创建VLAN域,主要命令如下所示:
SW-3#vlan database//进入创建vlan模式
SW-3 (vlan)#vlan 10 name rjjf //创建vlan10
SW-3 (vlan)#vlan 20 name wljf //创建vlan20
SW-3 (vlan)#vlan 30 name yjjf //创建vlan30
SW-3 (vlan)#vlan 40 name server //创建vlan40 2.2.4 在三层交换机和二层交换机之间创建中继链路。接着在三层交换机和二层交换机之间配置中继链路,主要配置命令如下所示:
在三层交换机上进行配置:
SW-3(config)#int f0/21 //进入以太网21号端口
SW-3(config-if)#switchport mode dynamic desirable //设置21号端口为动态模式
在二层交换机switchA上进行配置:
switchA(config)#interface f0/21 //进入交换机A的21号接口
switchA(config-if)#switchport mode trunk //把21交换机A的21号接口设置为trunk模式
switchA(config)#interface range f0/23-f0/24 //进入交换机A的23和24号接口
switchA(config-if-range)#switchport mode trunk//把交换机A的23和24号接口设置为trunk模式
对另外两个二层交换机进行类似的配置。
以上命令配置完之后,在三层交换机上为各个Vlan配置网关,并开启路由,整个配置工作完成。
2.3 测试及分析
在配置完成之后进行测试验证,既可以通过PING命令来测试网络连接效果,也可以用计算机的浏览器来访问域名的Web服务和FTP服务的连通性。通过PING测试网络的连通性,结果表明,VLAN10中的计算机与其他三个VLAN的计算机以及服务器能够实现通信。而PC21、PC22、PC23之间也能实现通信;PC31、PC32、PC33直接亦能通信。其中PC11、PC12、PC13属于同一VLAN,但属于不同的交换机,但能实现通信。与此同时,PC11广播的数据包,PC21、PC31虽然和PC11属于同一个交换机,但却不会接收到,因为它们分别属于不同的VLAN。同样的,对应PC21、PC22、PC23和PC31、PC32、PC33的测试,结果类似。测试结果表明,该设置方案能有效解决广播风暴,增强网络的灵活性,提高网络的工作效率。
VLAN其实就是相当于子网(Subnet)的概念,在高校机房管理的应用中,可以按照不同的机房类型来划分VLAN,不同的VLAN之间是不能随便访问的,这样就可以有效地避免广播风暴问题。这样通过VLAN技术可以确保机房管理中重要服务器及重要通信的带宽需求保持高效工作,提高网络的安全性。
3 结语
本文通过在思科模拟器PT6.1.1上对机房设计方案进行拓扑结构搭建,然后进行配置。根据典型的实际应用需要,由交换机端口进行VLAN划分,划分的结果是可以使同一VLAN内数据自由通信,然而对于不同的VLAN机房,即使连接到了相同的交换机,可在一般情况下还是不能通信的,因此这样就有效地避免了广播风暴问题。而不同VLAN之间的机房需要通信,可以通过路由器或三层交换机来实现。通过测试,结果表明,通过跨越交换机的方式来实施划分VLAN,不仅能高性能地达到VLAN之间的通信联接,还可以减少碰撞、提高带宽利用率、提高机房通信的性能、提高高校机房的管理效率、增强机房网络应用的灵活性等。
参考文献
[1] [美]刘易思.思科网络学院技术教程:LAN交换和无 线[M].北京:人民邮电出版社,2009.
[2] 朱迅.基于三层交换和虚拟局域网技术的校园网的设 计与实现[D].江南大学,2009.
[3] 李永忠.计算机网络测试与维护[M].西安:西安电 子科技大学出版社,2011.
[4] [美]瓦尚,格拉齐亚尼.思科网络学院技术教程:接 入WAN[M].北京:人民邮电出版社,2009.
基金项目:贺州学院2014年度大学生科研项目“高校机房网络安全性研究”,项目编号:2014DXSZK10;2014年国家级大学生创新创业训练计划项目“VLAN技术在高校校园网中的应用研究”,项目编号:201411838005。
作者简介:胡元闯(1983-),男,广西河池人,贺州学院计算机科学与信息工程学院高级工程师,硕士,研究方向:网络协议、无线网络可靠性、模型检测、形式化技术、云计算等。
(责任编辑:黄银芳)
转载注明来源:https://www.xzbu.com/8/view-11000272.htm
