淺談校園網絡遠程拓撲規劃與安全架構

胡 明

本文以兩所院校區的校園網絡通過遠程連接,形成整體的校園網絡為規劃目標。網絡設計要求能實現以下目標:建設數字化新校園,為學校各部門提供快捷有效的信息服務和通信環境。實現集中式數據存儲,實現在網絡系統上的高速互連互通,及信息資源和軟硬件資源高度共享。

一、校園網絡拓撲圖

網絡中心形成了主干網,是整個校園網的總節點,并提供連接廣域網和撥入服務。在主干網系統采用以太網結構。中心機房放置著中心交換機、服務器群、路由器、機架MODEM等網絡設備,這些設備以中心交換機作為中心,以星形拓樸結構通過雙絞電纜線連接在一起。網絡中心與子網的聯系是通過光纖和雙絞電纜線將中心交換機和子網的交換機或集線器連接起來。

二、校園網的規劃

校園網絡系統采用以星形拓撲結構為主的分布式三層(核心層、匯聚層、接入層)結構。核心設備放置在網絡中心,在各系部設置匯聚節點。各樓宇設置1～3個配線間,將樓內的信息點全部集中到各配線間內,采用百/千兆接入交換機提供各信息點接入的需要,通過千/萬兆連接到相對應的匯聚中心設備上。

三、校園的IP地址規劃

IPv4地址分成A、B、C三類,每類均保留有私有地址,由于C類的私有地址無法滿足校園網的實際需要,所以采用B類私有IP(表1)。私有IP地址B類范圍從172.16.0.0～172.31.255.255,取172.18.0.0 /24網段,可以分為254個子網,每個網段為254臺主機。

總校區與分校區的IP地址分配情況:總校區共有20個科室和16個微機房,另外學生宿舍和教工住宅區需要50～80個網段。Ip地址分配網段為:172.18.10.0～172.18.200.0。 分校區有7個微機房和15和科室單位。另外學生宿舍和教工住宅區需要20～30個網段,Ip地址分配為:172.18.201.0～172.18.254.0,校園網的核心層,路由器、服務器的IP地址為:172.18.1.0～172.18.4.0。

四、校園網絡采用的網絡協議

校園網絡采用OSPF(Open Shortest Path First)協議,OSPF是鏈路狀態路有協議,是一個內部網關 (Interior Gateway Protocol,IGP) 協議,是通過路由器之間通告網絡接口的狀態來建立鏈路狀態數據庫,生成最短路徑樹,每個OSPF路由器使用這些最短路徑構造路由表(表2)。

OSPF路由進程process-id必須指定范圍在1～65535,多個OSPF進程可以在同一個路由器上配置,但最好不這樣做。多個OSPF進程需要多個OSPF數據庫的副本,必須運行多個最短路徑算法的副本。process-id只在路由器內部起作用,不同路由器的process-id可以不同。

wildcard-mask 是子網掩碼的反碼,網絡區域ID area-id在0～4294967295內的十進制數,也可以是帶有IP地址格式的x.x.x.x。當網絡區域ID為0或0.0.0.0時為主干域。不同網絡區域的路由器通過主干域學習路由信息。

五、校園網絡安全架構

網絡安全構架采用被屏蔽子網(ScreenedSubnet)技術,被屏蔽子網就是在內部網絡和外部網絡之間建立一個被隔離的子網,用兩臺分組過濾路由器將這一子網分別與內部網絡和外部網絡分開。在很多實現中,兩個分組過濾路由器放在子網的兩端,在子網內構成一個DMZ。

DMZ(Demilitarized Zone)即俗稱的非軍事區,與軍事區和信任區相對應,作用是把Web,e-mail等允許外部訪問的服務器單獨接在該區端口,使整個需要保護的內部網絡接在信任區端口后,不允許任何訪問,實現內外網分離。DMZ可以理解為一個不同于外網或內網的特殊網絡區域,DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在校園內網中的機密或私人信息等,即使DMZ中服務器受到破壞,也不會對內網中的機密信息造成影響。

內部網絡和外部網絡均可訪問被屏蔽子網,但禁止它們穿過被屏蔽子網通信。有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點,支持終端交互或作為應用網關代理。這種配置的危險僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。如果攻擊者試圖完全破壞防火墻,就必須重新配置連接三個網的路由器,既不切斷連接又不要把自己鎖在外面,同時又不使自己被發現,這樣也還是可能的。但若禁止網絡訪問路由器或只允許內網中的某些主機訪問它,則攻擊會變得很困難。在這種情況下,攻擊者得先侵入堡壘主機,然后進入內網主機,再返回來破壞屏蔽路由器,并且整個過程中不能引發警報。

六、網絡中核心技術的配置命令

R0的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.1.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.2.1 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#exit

Router(config)#

Router(config)#router ospf 1

Router(config-router)#network 172.18.1.0 0.0.0.255 area 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#end

R2的配置命令行:

Router>en

Router#config t

Enter configuration commands, one per line.End with CNTL/Z.

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.3.2 255.255.255.0

Router(config-if)#no shut

Router(config-if)#exit

Router(config)#interface fa 0/0

Router(config-if)#ip add 172.18.4.254 255.255.255.0

Router(config-if)#no shutdown

Router(config-if)#end

Router#config t

Router(config)# router ospf 1

Router(config-router)#network 172.18.4.0 0.0.0.255 area 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

R1的配置命令行:

Router>en

Router#config t

Router(config)#interface fa0/1

Router(config-if)#ip add 172.18.2.2 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.2.0 0.0.0.255 area 1

Router(config-router)#exit

Router#config t

Router(config)#interface fa0/0

Router(config-if)#ip add 172.18.3.1 255.255.255.0

Router(config-if)#no shutdown

Router(config)#router ospf 1

Router(config-router)#network 172.18.3.0 0.0.0.255 area 1

Router(config-router)#exit

本文從校園網絡的實用性角度出來,對于總校區和分校區這種兩校區遠程網絡的連接規劃與安全方面進行了闡述,進行了網絡私有IP地址的劃分,以及網絡防火墻的設計架構,最后給出路由器OSPF協議中的關鍵配置命令。

(作者單位:廣東省高級技工學校)