利用路由交換技術構建安全有效的園區網

陳浩

摘 要：在實際生活當中，園區網是一種較為常見的網絡類型，其代表意義尤為顯著。在園區網構建過程中，需對諸多因素進行嚴謹考慮，例如可拓展性、安全性等。本課題筆者在分析園區網的實際意義及一個典型園區網的案例拓撲的基礎上，進一步利用路由交換技術提出了一個較為全面的解決方案，進而構建出一個既安全又有效的園區網。

關鍵詞：園區網；拓撲；路由交換技術

目前，在我國普遍的組織或企業，所使得網絡都是局域網，當中的大型局域網便是我們通常所提及的園區網[1]。在實際中園區網的運用顯得極為廣泛。但是，對于園區網而言，保證自身的有效性及安全性是非常有必要的，也是相關工作中所面臨的巨大挑戰。鑒于此，本課題對“利用路由交換技術構建安全有效的園區網”進行探討與研究具有尤為深遠的重要意義。

1 園區網的實際意義分析

在網絡信息技術高速發展的背景下，人們的生活變得越來越便捷。無論是個人還是企業，均離不開網絡。對于普遍的組織或企業，所應用的忘了均為局域網，局域網又細分為大型局域網與小型局域網[2]。當中，大型局域網便是常提到的園區網。園區網一般指的是大學的校園網與企業的內部網。所表現的特征為：網絡，尤其是路由結構完全是由一個機構進行管理，但所接入的設備其數量非常大，業務需求種類繁多。園區網在實際中應用極具廣泛性，對其配置及實施過程進行分析時，需對整體網絡的安全性、可拓展新及適用性等因素進行充分考慮。

2 典型園區網的實際需求與初步拓撲分析

以某學院為例，模擬出一個典型的園區網。學院現有大樓3棟，分別為教學樓2棟，院部樓1棟。每一棟教學樓當中有教師辦公室與學生教室。院部樓中有教師辦公室與信息中心。每一棟大樓平均高度為5層，每一層擁有10個房間，每一個房間有10個接入點[3]。

學院對整體園區網做出的標準為：學生與學生只可在本教室之內通信，教室和教室間不可通信，但學生可對學院里的內部網站進行瀏覽。教師與教師可相互通信及信息共享；另外，還可對學院內部網站及外部網站內進行瀏覽。

對于該典型園區網的初步拓撲，如圖1所示：

3 設備選擇與相關技術探究

3.1 分層網絡設計

對于園區網，拓撲當中的層一般劃分為三類：其一，接入層；其二，匯聚層；其三，核心層。

接入層一般是指基于網絡以直接的方式面向用戶連接或進行訪問的部分。對于接入層而言，其目的便是準許終端用戶連接至網絡。所以，接入層交換機存在多方面的優良特性，例如：低成本及高端口密度等。屬于一種較為常見的接入層設備，大多數均提供了多個擁有10M/100M/1000M自適應能力的端口[4]。

匯聚層屬于樓群或小區的信息匯聚處，屬于在接入層及核心層連接時的網絡設備，為接入層提供了諸多的功能，包括數據的傳輸、管理及處理等。以網段劃分和網絡隔離能夠對一些網段所存在的問題起到規避作用，進一步對核心層起到了保護作用，使核心層更具穩定性與安全性。匯聚層設計是未來連接本地的邏輯中心，因此其性能要求較高，并且需要具備較為豐富的功能支持。

核心層其功能是實現骨干網絡間的優化傳輸，在設計上骨干層需要具備可靠性與高速傳輸。對于網絡的控制功能，應規避在核心層上落實。對于核心層，通常當作是全部流量的最終承受者及匯聚者，因此對于核心層的設計及網絡設備的要求，均有著非常嚴格的要求。

3.2 拓撲分析

以初步確認的拓撲圖為依據，從底層向上，通過接入層到核心層進行逐步分析。

接入層便是D類設備，屬于房間里的交換機，每一臺設備需有十個接入點連接。并且在網絡安全上，由于整體園區網具備一千五百個接入點，需規避師生及外來人員隨時接入個人電腦，進而對網絡造成破壞，因此需在處于接入層的交換機當中實施端口安全設置。

匯聚層當中的C類設備屬于每個樓層中的交換機，每一臺設備有十個D類設備連接[5]。基于網絡性能上，由于整個園區網當中的接入層擁有一百五十臺交換機與一千五百各接入點，整個園區網位于一個廣播域當中，若整個網絡泛洪，那么網絡性能將嚴重下滑，并且為了管理更加便利，需在C類設備當中將VLAN配置。

核心層便是A類設備，屬于整個園區網當中的邊緣設備，每一臺設備有三個接入點連接，由于在核心層當中，其主要功能是內、外數據交換及實際操作等。因此，需應用三層路由交換機，與此同時需將NAT配置在A類設備當中。

3.3 設備選型

對于C類及D類設備，所選擇的是WS-C2960-24TT-L。B類設備所選擇的是思科WS-C3560G-24TS-S。另外，A類設備，所選擇的是WS-C3750G-24TS-SIU。

3.4 所使用的相關技術

其一，交換機端口安全。其主要目的是約束接入MAC地址，對于vi-olation具備三個參數，分別為：shutdown、protecr、restrict[6]。它的典型配置如表2所示：

其二，VLAN。它是一種新興數據交換技術，主要是把局域網設備在邏輯的基礎上劃分成網段，進一步使虛擬工作組能夠有效實現。在實際使用過程中，VLAN具備多方面的優勢，例如：防止廣播風暴、增強網絡安全以及使項目管理得到簡化等。

其三，單臂路由。它是一種通信技術，主要是對不同的VLAN進行連接。基于案例當中，為了教師間能夠實現相互通信，單臂路由是必定需要配置等。

其四，ACL。即為訪問控制列表，它屬于路由器與交換機接口的指令列表，主要作用于端口進出數據包的控制，主要目的是控制某種訪問。因在案例當中，要求學生不可對外網進行訪問，因此便必須有ACL設置。

四五，NAT。它在各類型的接入方式及網絡中有著極其廣泛的應用。不但能夠使IP地址不足的問題得到有效解決，而且還可以使源自于網絡外部的攻擊實現有效規避，對網絡內部計算機起到了保護作用。

4 結語

通過本課題的分析與探究，基于拓撲中，其設備的配置已經與園區網的需求基本符合。然而，作為拓展，還能夠在A類設備或B類設備方面實現冗余配置，主要目的是使由一些設備突然發生故障而帶來的損失等情況實現有效規避。當然，這又關系到“生產樹”方面的技術。相信，在路由交換技術不斷進步的基礎上，將其應用在園區網的構建上，園區網將更具有效性與安全性。

[參考文獻]

[1]伍紹佳.路由交換技術在構建高性能校園網的應用[J].數字技術與應用.2013，03：111-112.

[2]郭濤.園區網絡性能分析與優化[J].西安電子科技大學.2011，06：34-36.

摘 要：在實際生活當中，園區網是一種較為常見的網絡類型，其代表意義尤為顯著。在園區網構建過程中，需對諸多因素進行嚴謹考慮，例如可拓展性、安全性等。本課題筆者在分析園區網的實際意義及一個典型園區網的案例拓撲的基礎上，進一步利用路由交換技術提出了一個較為全面的解決方案，進而構建出一個既安全又有效的園區網。

關鍵詞：園區網；拓撲；路由交換技術

目前，在我國普遍的組織或企業，所使得網絡都是局域網，當中的大型局域網便是我們通常所提及的園區網[1]。在實際中園區網的運用顯得極為廣泛。但是，對于園區網而言，保證自身的有效性及安全性是非常有必要的，也是相關工作中所面臨的巨大挑戰。鑒于此，本課題對“利用路由交換技術構建安全有效的園區網”進行探討與研究具有尤為深遠的重要意義。

1 園區網的實際意義分析

在網絡信息技術高速發展的背景下，人們的生活變得越來越便捷。無論是個人還是企業，均離不開網絡。對于普遍的組織或企業，所應用的忘了均為局域網，局域網又細分為大型局域網與小型局域網[2]。當中，大型局域網便是常提到的園區網。園區網一般指的是大學的校園網與企業的內部網。所表現的特征為：網絡，尤其是路由結構完全是由一個機構進行管理，但所接入的設備其數量非常大，業務需求種類繁多。園區網在實際中應用極具廣泛性，對其配置及實施過程進行分析時，需對整體網絡的安全性、可拓展新及適用性等因素進行充分考慮。

2 典型園區網的實際需求與初步拓撲分析

以某學院為例，模擬出一個典型的園區網。學院現有大樓3棟，分別為教學樓2棟，院部樓1棟。每一棟教學樓當中有教師辦公室與學生教室。院部樓中有教師辦公室與信息中心。每一棟大樓平均高度為5層，每一層擁有10個房間，每一個房間有10個接入點[3]。

學院對整體園區網做出的標準為：學生與學生只可在本教室之內通信，教室和教室間不可通信，但學生可對學院里的內部網站進行瀏覽。教師與教師可相互通信及信息共享；另外，還可對學院內部網站及外部網站內進行瀏覽。

對于該典型園區網的初步拓撲，如圖1所示：

3 設備選擇與相關技術探究

3.1 分層網絡設計

對于園區網，拓撲當中的層一般劃分為三類：其一，接入層；其二，匯聚層；其三，核心層。

接入層一般是指基于網絡以直接的方式面向用戶連接或進行訪問的部分。對于接入層而言，其目的便是準許終端用戶連接至網絡。所以，接入層交換機存在多方面的優良特性，例如：低成本及高端口密度等。屬于一種較為常見的接入層設備，大多數均提供了多個擁有10M/100M/1000M自適應能力的端口[4]。

匯聚層屬于樓群或小區的信息匯聚處，屬于在接入層及核心層連接時的網絡設備，為接入層提供了諸多的功能，包括數據的傳輸、管理及處理等。以網段劃分和網絡隔離能夠對一些網段所存在的問題起到規避作用，進一步對核心層起到了保護作用，使核心層更具穩定性與安全性。匯聚層設計是未來連接本地的邏輯中心，因此其性能要求較高，并且需要具備較為豐富的功能支持。

核心層其功能是實現骨干網絡間的優化傳輸，在設計上骨干層需要具備可靠性與高速傳輸。對于網絡的控制功能，應規避在核心層上落實。對于核心層，通常當作是全部流量的最終承受者及匯聚者，因此對于核心層的設計及網絡設備的要求，均有著非常嚴格的要求。

3.2 拓撲分析

以初步確認的拓撲圖為依據，從底層向上，通過接入層到核心層進行逐步分析。

接入層便是D類設備，屬于房間里的交換機，每一臺設備需有十個接入點連接。并且在網絡安全上，由于整體園區網具備一千五百個接入點，需規避師生及外來人員隨時接入個人電腦，進而對網絡造成破壞，因此需在處于接入層的交換機當中實施端口安全設置。

匯聚層當中的C類設備屬于每個樓層中的交換機，每一臺設備有十個D類設備連接[5]。基于網絡性能上，由于整個園區網當中的接入層擁有一百五十臺交換機與一千五百各接入點，整個園區網位于一個廣播域當中，若整個網絡泛洪，那么網絡性能將嚴重下滑，并且為了管理更加便利，需在C類設備當中將VLAN配置。

核心層便是A類設備，屬于整個園區網當中的邊緣設備，每一臺設備有三個接入點連接，由于在核心層當中，其主要功能是內、外數據交換及實際操作等。因此，需應用三層路由交換機，與此同時需將NAT配置在A類設備當中。

3.3 設備選型

對于C類及D類設備，所選擇的是WS-C2960-24TT-L。B類設備所選擇的是思科WS-C3560G-24TS-S。另外，A類設備，所選擇的是WS-C3750G-24TS-SIU。

3.4 所使用的相關技術

其一，交換機端口安全。其主要目的是約束接入MAC地址，對于vi-olation具備三個參數，分別為：shutdown、protecr、restrict[6]。它的典型配置如表2所示：

其二，VLAN。它是一種新興數據交換技術，主要是把局域網設備在邏輯的基礎上劃分成網段，進一步使虛擬工作組能夠有效實現。在實際使用過程中，VLAN具備多方面的優勢，例如：防止廣播風暴、增強網絡安全以及使項目管理得到簡化等。

其三，單臂路由。它是一種通信技術，主要是對不同的VLAN進行連接。基于案例當中，為了教師間能夠實現相互通信，單臂路由是必定需要配置等。

其四，ACL。即為訪問控制列表，它屬于路由器與交換機接口的指令列表，主要作用于端口進出數據包的控制，主要目的是控制某種訪問。因在案例當中，要求學生不可對外網進行訪問，因此便必須有ACL設置。

四五，NAT。它在各類型的接入方式及網絡中有著極其廣泛的應用。不但能夠使IP地址不足的問題得到有效解決，而且還可以使源自于網絡外部的攻擊實現有效規避，對網絡內部計算機起到了保護作用。

4 結語

通過本課題的分析與探究，基于拓撲中，其設備的配置已經與園區網的需求基本符合。然而，作為拓展，還能夠在A類設備或B類設備方面實現冗余配置，主要目的是使由一些設備突然發生故障而帶來的損失等情況實現有效規避。當然，這又關系到“生產樹”方面的技術。相信，在路由交換技術不斷進步的基礎上，將其應用在園區網的構建上，園區網將更具有效性與安全性。

[參考文獻]

[1]伍紹佳.路由交換技術在構建高性能校園網的應用[J].數字技術與應用.2013，03：111-112.

[2]郭濤.園區網絡性能分析與優化[J].西安電子科技大學.2011，06：34-36.

摘 要：在實際生活當中，園區網是一種較為常見的網絡類型，其代表意義尤為顯著。在園區網構建過程中，需對諸多因素進行嚴謹考慮，例如可拓展性、安全性等。本課題筆者在分析園區網的實際意義及一個典型園區網的案例拓撲的基礎上，進一步利用路由交換技術提出了一個較為全面的解決方案，進而構建出一個既安全又有效的園區網。

關鍵詞：園區網；拓撲；路由交換技術

目前，在我國普遍的組織或企業，所使得網絡都是局域網，當中的大型局域網便是我們通常所提及的園區網[1]。在實際中園區網的運用顯得極為廣泛。但是，對于園區網而言，保證自身的有效性及安全性是非常有必要的，也是相關工作中所面臨的巨大挑戰。鑒于此，本課題對“利用路由交換技術構建安全有效的園區網”進行探討與研究具有尤為深遠的重要意義。

1 園區網的實際意義分析

在網絡信息技術高速發展的背景下，人們的生活變得越來越便捷。無論是個人還是企業，均離不開網絡。對于普遍的組織或企業，所應用的忘了均為局域網，局域網又細分為大型局域網與小型局域網[2]。當中，大型局域網便是常提到的園區網。園區網一般指的是大學的校園網與企業的內部網。所表現的特征為：網絡，尤其是路由結構完全是由一個機構進行管理，但所接入的設備其數量非常大，業務需求種類繁多。園區網在實際中應用極具廣泛性，對其配置及實施過程進行分析時，需對整體網絡的安全性、可拓展新及適用性等因素進行充分考慮。

2 典型園區網的實際需求與初步拓撲分析

以某學院為例，模擬出一個典型的園區網。學院現有大樓3棟，分別為教學樓2棟，院部樓1棟。每一棟教學樓當中有教師辦公室與學生教室。院部樓中有教師辦公室與信息中心。每一棟大樓平均高度為5層，每一層擁有10個房間，每一個房間有10個接入點[3]。

學院對整體園區網做出的標準為：學生與學生只可在本教室之內通信，教室和教室間不可通信，但學生可對學院里的內部網站進行瀏覽。教師與教師可相互通信及信息共享；另外，還可對學院內部網站及外部網站內進行瀏覽。

對于該典型園區網的初步拓撲，如圖1所示：

3 設備選擇與相關技術探究

3.1 分層網絡設計

對于園區網，拓撲當中的層一般劃分為三類：其一，接入層；其二，匯聚層；其三，核心層。

接入層一般是指基于網絡以直接的方式面向用戶連接或進行訪問的部分。對于接入層而言，其目的便是準許終端用戶連接至網絡。所以，接入層交換機存在多方面的優良特性，例如：低成本及高端口密度等。屬于一種較為常見的接入層設備，大多數均提供了多個擁有10M/100M/1000M自適應能力的端口[4]。

匯聚層屬于樓群或小區的信息匯聚處，屬于在接入層及核心層連接時的網絡設備，為接入層提供了諸多的功能，包括數據的傳輸、管理及處理等。以網段劃分和網絡隔離能夠對一些網段所存在的問題起到規避作用，進一步對核心層起到了保護作用，使核心層更具穩定性與安全性。匯聚層設計是未來連接本地的邏輯中心，因此其性能要求較高，并且需要具備較為豐富的功能支持。

核心層其功能是實現骨干網絡間的優化傳輸，在設計上骨干層需要具備可靠性與高速傳輸。對于網絡的控制功能，應規避在核心層上落實。對于核心層，通常當作是全部流量的最終承受者及匯聚者，因此對于核心層的設計及網絡設備的要求，均有著非常嚴格的要求。

3.2 拓撲分析

以初步確認的拓撲圖為依據，從底層向上，通過接入層到核心層進行逐步分析。

接入層便是D類設備，屬于房間里的交換機，每一臺設備需有十個接入點連接。并且在網絡安全上，由于整體園區網具備一千五百個接入點，需規避師生及外來人員隨時接入個人電腦，進而對網絡造成破壞，因此需在處于接入層的交換機當中實施端口安全設置。

匯聚層當中的C類設備屬于每個樓層中的交換機，每一臺設備有十個D類設備連接[5]。基于網絡性能上，由于整個園區網當中的接入層擁有一百五十臺交換機與一千五百各接入點，整個園區網位于一個廣播域當中，若整個網絡泛洪，那么網絡性能將嚴重下滑，并且為了管理更加便利，需在C類設備當中將VLAN配置。

核心層便是A類設備，屬于整個園區網當中的邊緣設備，每一臺設備有三個接入點連接，由于在核心層當中，其主要功能是內、外數據交換及實際操作等。因此，需應用三層路由交換機，與此同時需將NAT配置在A類設備當中。

3.3 設備選型

對于C類及D類設備，所選擇的是WS-C2960-24TT-L。B類設備所選擇的是思科WS-C3560G-24TS-S。另外，A類設備，所選擇的是WS-C3750G-24TS-SIU。

3.4 所使用的相關技術

其一，交換機端口安全。其主要目的是約束接入MAC地址，對于vi-olation具備三個參數，分別為：shutdown、protecr、restrict[6]。它的典型配置如表2所示：

其二，VLAN。它是一種新興數據交換技術，主要是把局域網設備在邏輯的基礎上劃分成網段，進一步使虛擬工作組能夠有效實現。在實際使用過程中，VLAN具備多方面的優勢，例如：防止廣播風暴、增強網絡安全以及使項目管理得到簡化等。

其三，單臂路由。它是一種通信技術，主要是對不同的VLAN進行連接。基于案例當中，為了教師間能夠實現相互通信，單臂路由是必定需要配置等。

其四，ACL。即為訪問控制列表，它屬于路由器與交換機接口的指令列表，主要作用于端口進出數據包的控制，主要目的是控制某種訪問。因在案例當中，要求學生不可對外網進行訪問，因此便必須有ACL設置。

四五，NAT。它在各類型的接入方式及網絡中有著極其廣泛的應用。不但能夠使IP地址不足的問題得到有效解決，而且還可以使源自于網絡外部的攻擊實現有效規避，對網絡內部計算機起到了保護作用。

4 結語

通過本課題的分析與探究，基于拓撲中，其設備的配置已經與園區網的需求基本符合。然而，作為拓展，還能夠在A類設備或B類設備方面實現冗余配置，主要目的是使由一些設備突然發生故障而帶來的損失等情況實現有效規避。當然，這又關系到“生產樹”方面的技術。相信，在路由交換技術不斷進步的基礎上，將其應用在園區網的構建上，園區網將更具有效性與安全性。

[參考文獻]

[1]伍紹佳.路由交換技術在構建高性能校園網的應用[J].數字技術與應用.2013，03：111-112.

[2]郭濤.園區網絡性能分析與優化[J].西安電子科技大學.2011，06：34-36.