一種基于OSPF路由和Vlan細(xì)分的辦公網(wǎng)設(shè)計(jì)

龔文濤

一種基于OSPF路由和Vlan細(xì)分的辦公網(wǎng)設(shè)計(jì)

龔文濤

基于高校辦公網(wǎng)中網(wǎng)絡(luò)故障頻發(fā)和管理壓力大的現(xiàn)狀，針對(duì)辦公網(wǎng)對(duì)網(wǎng)絡(luò)安全性和穩(wěn)定性及管理便捷性的需求，提出一種基于OSPF（Open Shortest Path First）路由協(xié)議的辦公網(wǎng)絡(luò)設(shè)計(jì)，使得網(wǎng)絡(luò)路由協(xié)議配置變得簡單，在網(wǎng)絡(luò)設(shè)計(jì)中將整棟樓宇單一Vlan規(guī)劃和ip段細(xì)分，強(qiáng)化了網(wǎng)絡(luò)精細(xì)化管理，提升了網(wǎng)絡(luò)安全和穩(wěn)定性。

OSPF；網(wǎng)絡(luò)；Vlan

0 引言

隨著校園信息化建設(shè)的不斷深入，校園網(wǎng)絡(luò)承載的功能越來越多，信息化校園對(duì)校園網(wǎng)的依賴越來越重，要求越來越高，校園網(wǎng)里面運(yùn)行著各種專網(wǎng)：諸如基于網(wǎng)絡(luò)的高校的科研管理系統(tǒng)，基于網(wǎng)絡(luò)的學(xué)校無紙化辦公系統(tǒng)，基礎(chǔ)網(wǎng)絡(luò)的信息化教學(xué)系統(tǒng)等。多業(yè)務(wù)的迅猛發(fā)展和新型應(yīng)用的普及使得校園網(wǎng)的地位變得越來越重要，使得校園網(wǎng)規(guī)模越來越大，結(jié)構(gòu)越來越復(fù)雜[1-2]。

各種專網(wǎng)均需要上網(wǎng)，為滿足廣大用戶上網(wǎng)需求，需要配置各種路由協(xié)議，之前因?yàn)樾@網(wǎng)組網(wǎng)規(guī)模小，一般是用靜態(tài)路由，隨著校園網(wǎng)絡(luò)規(guī)模增大，靜態(tài)路由的后期維護(hù)及前期配置工作量劇增，而且其要隨著新網(wǎng)的組建而不斷人工調(diào)整，在校園網(wǎng)絡(luò)成一定規(guī)模后，需要一種配置簡單且具備自動(dòng)學(xué)習(xí)功能的路由協(xié)議來保障校園網(wǎng)絡(luò)暢通，OSPF (Open Shortest Path First開放式最短路徑優(yōu)先）是業(yè)內(nèi)采用較多的協(xié)議之一，網(wǎng)絡(luò)管理者和設(shè)計(jì)者依托基于IP[2-4]協(xié)議和OSPF路由協(xié)議使各個(gè)校園網(wǎng)的核心主干設(shè)備和接入層互聯(lián)互通，依托光纖鏈路將全校的交換機(jī)設(shè)備、路由設(shè)備互聯(lián)互通，將校園網(wǎng)中各個(gè)的應(yīng)用系統(tǒng)匯聚到校園網(wǎng)大平臺(tái)中[5-6]。

結(jié)合各種信息化平臺(tái)和系統(tǒng)對(duì)網(wǎng)絡(luò)交互的實(shí)時(shí)性需求：諸如基于網(wǎng)絡(luò)的辦公視頻會(huì)議等各種新型應(yīng)用對(duì)穩(wěn)定性需求，使得校園網(wǎng)的管理者對(duì)校園網(wǎng)的穩(wěn)定性和安全性提出了更高的要求?，F(xiàn)有的校園網(wǎng)的設(shè)計(jì)主要是基于局域網(wǎng)技術(shù)搭建，在這個(gè)過程中，隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜度的提升，對(duì)校園網(wǎng)絡(luò)的設(shè)計(jì)和管理提出了更加多元化要求：諸如安全性的要求和精細(xì)化管理要求等。早期校園網(wǎng)限于各種因素，對(duì)校園網(wǎng)的設(shè)計(jì)基于粗放管理，一般一個(gè)樓就依托一個(gè)Vlan互聯(lián)互通[5]，為后期的網(wǎng)絡(luò)安全管理和校園網(wǎng)穩(wěn)定運(yùn)行[6]埋下了各種隱患。這樣隱患隨著校園網(wǎng)的進(jìn)一步發(fā)展變得日益明顯。隨著校園網(wǎng)絡(luò)規(guī)模擴(kuò)大，因?yàn)榻尤腈溌酚邢蓿瑥V大教工依托自備交換機(jī)或小型路由器來拓展局域網(wǎng)，在私自組建的局域網(wǎng)中，容易因?yàn)橹卸净蛘呗酚善麇e(cuò)誤配置導(dǎo)致其他教工無法正常上網(wǎng)，無法正常依托網(wǎng)絡(luò)進(jìn)行信息化辦公和科研。在基于大的局域網(wǎng)環(huán)境下要解決這些網(wǎng)絡(luò)故障問題需要維修的流程也是繁瑣，給網(wǎng)絡(luò)管理者帶來很多繁重工作，為解決這一難題，依托互聯(lián)網(wǎng)Vlan（Virtual Local Area Network）細(xì)分和相關(guān)安全技術(shù)來解決故障源頭問題，是廣大網(wǎng)絡(luò)建設(shè)者和管理者解決問題的有效途徑。

本文針對(duì)校園網(wǎng)絡(luò)中某辦公樓宇單個(gè)大局域網(wǎng)常見的網(wǎng)絡(luò)故障，總結(jié)和分析基于局域網(wǎng)技術(shù)的辦公網(wǎng)絡(luò)的建設(shè)流程及核心要點(diǎn)，依托細(xì)化Vlan來提升網(wǎng)絡(luò)安全，最終給出了一個(gè)基于OSPF路由和Vlan細(xì)分的辦公網(wǎng)設(shè)計(jì)，并給出了配置OSPF協(xié)議核心代碼和配置流程。

1 辦公網(wǎng)細(xì)化網(wǎng)絡(luò)管理需求和設(shè)計(jì)方案

整改的思路和流程包括如下核心步驟：首先，是要明確網(wǎng)絡(luò)整改的需求；其次，是要做好接入交換機(jī)網(wǎng)絡(luò)設(shè)備規(guī)劃；最后，是要做好匯聚交換機(jī)端口規(guī)劃。

1.1 辦公網(wǎng)規(guī)劃需求和設(shè)計(jì)方案

某辦公樓網(wǎng)絡(luò)存在如下問題：粗放似配置和誘發(fā)各種影響網(wǎng)絡(luò)安全和穩(wěn)定的隱患，有個(gè)別用戶中毒或者反接路由器就會(huì)導(dǎo)致其他用戶不能夠正常獲得ip地址進(jìn)而不能夠正常上網(wǎng)，導(dǎo)致維修頻率高，給網(wǎng)絡(luò)后期管理帶來諸多不便。

網(wǎng)絡(luò)規(guī)劃的初衷是要增強(qiáng)網(wǎng)絡(luò)安全和穩(wěn)定，提升用戶體驗(yàn)，杜絕用戶端中毒和反接路由器對(duì)其他人正常辦公和學(xué)習(xí)的影響；此外，改造還要提升網(wǎng)絡(luò)精細(xì)化管理水平，使之前數(shù)個(gè)樓層共用一個(gè)Vlan的現(xiàn)象不再發(fā)生，基于大局域網(wǎng)的辦公網(wǎng)絡(luò)架構(gòu)如圖1所示：

圖1 基于大局域網(wǎng)的辦公網(wǎng)架構(gòu)

辦公網(wǎng)設(shè)計(jì)方案是將單個(gè)大局域網(wǎng)細(xì)分為若干個(gè)網(wǎng)絡(luò)，將之前幾個(gè)接入機(jī)房劃撥為一個(gè)Vlan整改為每個(gè)接入交換機(jī)擁有單個(gè)Vlan，以此來細(xì)分和分割原有大局域網(wǎng)。

1.2 基于精細(xì)Vlan劃分的接入網(wǎng)絡(luò)規(guī)劃

接入網(wǎng)絡(luò)設(shè)備規(guī)劃如下：匯聚交換機(jī)位于匯聚機(jī)房，通過光纖將信號(hào)傳遞到其轄區(qū)的6個(gè)接入機(jī)房，要進(jìn)一步細(xì)化接入交換機(jī)上聯(lián)端口的Vlan，保證每一個(gè)接入機(jī)房擁有不同的Vlan。

目前該匯聚下覆蓋6個(gè)接入機(jī)房，共計(jì)20多臺(tái)接入交換機(jī)：分別是2樓東南接入機(jī)房，涉及4臺(tái)接入交換機(jī)；2樓西南接入機(jī)房，涉及2臺(tái)接入交換機(jī)；2樓北機(jī)房，涉及4臺(tái)接入交換機(jī)；4樓東南接入機(jī)房，涉及3臺(tái)接入交換機(jī)；4樓北接入機(jī)房，設(shè)計(jì)5臺(tái)接入交換機(jī)；4樓西南接入機(jī)房，涉及3臺(tái)接入交換機(jī)。

接入機(jī)房內(nèi)部網(wǎng)絡(luò)拓?fù)湎鄬?duì)簡單，通過一臺(tái)千兆交換機(jī)作為主交換機(jī)，一個(gè)千兆光口上聯(lián)到匯聚的指定下聯(lián)千兆端口，其他端口分別級(jí)聯(lián)到本接入機(jī)房的其他接入交換機(jī)。

1.3 基于精細(xì)Vlan劃分的匯聚網(wǎng)絡(luò)端口規(guī)劃

做好端口的規(guī)劃，匯聚交換機(jī)的端口有限，從方便管理和安全運(yùn)行的角度考慮，對(duì)匯聚端的某個(gè)端口下聯(lián)到某個(gè)接入機(jī)房的交換機(jī)，若是端口和光纖數(shù)量和質(zhì)量允許，可以考慮多路光纖傳輸以需要整改的匯聚網(wǎng)絡(luò)拓?fù)鋪碚f，其端口規(guī)劃如下：

匯聚端口GE2/0/13口下聯(lián)2層?xùn)|南接入交換機(jī)；匯聚端口GE2/0/14口下聯(lián)2層西南接入交換機(jī)； 匯聚端口GE2/0/15口下聯(lián)4層西南接入交換機(jī)；匯聚端口GE2/0/16口下聯(lián)4層?xùn)|南接入交換機(jī)；匯聚端口GE2/0/17口下聯(lián)2層北接入交換機(jī)；匯聚端口GE2/0/18口下聯(lián)4層北接入交換機(jī)。

2 基于OSPF的細(xì)化Vlan辦公網(wǎng)設(shè)計(jì)和配置

要完成基于OSPF的細(xì)化Vlan網(wǎng)絡(luò)全網(wǎng)配置，需在前面章節(jié)規(guī)劃基礎(chǔ)上，進(jìn)一步完成如下核心流程：首先是細(xì)化Vlan的設(shè)計(jì)流程；其次是配置每個(gè)用戶Vlan下的OSPF路由協(xié)議及地址自動(dòng)分配的命令；最后是完成對(duì)管理Vlan的配置。

2.1 基于細(xì)化Vlan的辦公網(wǎng)設(shè)計(jì)流程

細(xì)化Vlan設(shè)計(jì)流程主要包括用戶Vlan規(guī)劃和管理Vlan規(guī)劃，默認(rèn)的管理Vlan是通過級(jí)聯(lián)口的trunk模式透傳，在接入端將用戶Vlan中的數(shù)據(jù)包以靜態(tài)路由方式發(fā)送到管理Vlan的接口網(wǎng)關(guān)上，然后在匯聚交換機(jī)上面再依靠路由協(xié)議尋址和轉(zhuǎn)發(fā)，進(jìn)而保障用戶Vlan的網(wǎng)絡(luò)暢通。細(xì)化Vlan設(shè)計(jì)中要注意如下問題：管理Vlan的ID號(hào)默認(rèn)為1，配置的管理地址不能和其他在線IP地址沖突；用戶Vlan的ID號(hào)要連續(xù)，便于管理。

細(xì)化Vlan的id規(guī)劃從1276到1296近20多個(gè)Vlan，ip地址從172.19.72.0網(wǎng)段到172.19.92.0網(wǎng)段，依托細(xì)化Vlan和網(wǎng)段的模式，細(xì)化后的辦公網(wǎng)如圖2所示：

圖2 基于Vlan細(xì)分的辦公網(wǎng)架構(gòu)

將原來辦公網(wǎng)絡(luò)中的2個(gè)大Vlan細(xì)化為20多個(gè)細(xì)小Vlan，減小局域網(wǎng)的廣播域規(guī)模，進(jìn)而降低了區(qū)域內(nèi)故障主機(jī)影響其他主機(jī)的概率。

此外，還可在接入交換機(jī)端口配置隔離等安全技術(shù)進(jìn)一步提升局域網(wǎng)內(nèi)的安全和穩(wěn)定。用戶Vlan的配置核心環(huán)節(jié)需要聲明Vlan，需要配置ip地址段，需要為其開啟dhcp分配功能，且要指明具體分配ip地址的服務(wù)器組，以用戶Vlan中id為1276配置為例，其核心配置命令如下：

vlan 1276

des 2F-E-1

interface Vlan-interface1276

ip address 172.19.72.254 255.255.255.0

dhcp select relay

dhcp relay server-select 0

配置完成后，需要將Vlan的permit命令配置到具體的匯聚端口上：

interface GigabitEthernet2/0/13

port link-mode bridge

description link-to-2F-E

port link-type trunk

port trunk permit vlan 1 1276 to 1279

為保證ip地址的自動(dòng)分配，需要在dhcp服務(wù)器上做針對(duì)172.19.72.0網(wǎng)段的配置：

subnet 172.19.72.0 netmask 255.255.255.0{

pool {

failover peer "dhcp-failover";

range 172.19.72.1 172.19.72.253;

}

option broadcast-address 172.19.72.255;

option routers 172.19.72.254;

option subnet-mask 255.255.255.0;

option domain-name "upc.edu.cn";

}

2.2 基于OSPF的細(xì)化用戶Vlan路由協(xié)議配置

匯聚網(wǎng)絡(luò)設(shè)備和核心網(wǎng)絡(luò)設(shè)備普遍采用的是基于OSPF的路由協(xié)議。各個(gè)細(xì)分Vlan的OSPF路由協(xié)議體配置代碼如下：

ospf 1

area 0.4.1.2

network 172.19.72.0 0.0.0.255

network 172.19.73.0 0.0.0.255

network 172.19.74.0 0.0.0.255

network 172.19.75.0 0.0.0.255

network 172.19.76.0 0.0.0.255

network 172.19.77.0 0.0.0.255

network 172.19.78.0 0.0.0.255

network 172.19.79 0 0.0.0.255

network 172.19.80.00.0.0.255

network 172.19.81.0 0.0.0.255

network 172.19.82.0 0.0.0.255

network 172.19.83.0 0.0.0.255

network 172.19.84.0 0.0.0.255

network 172.19.85.0 0.0.0.255

network 172.19.86.0 0.0.0.255

network 172.19.87.0 0.0.0.255

network 172.19.88.0 0.0.0.255

network 172.19.89.0 0.0.0.255

network 172.19.90.0 0.0.0.255

network 172.19.91.0 0.0.0.255

network 172.19.92.0 0.0.0.255

為保障所有用戶Vlan能上網(wǎng)，需在匯聚交換機(jī)中將所有細(xì)化的Vlan網(wǎng)段添加到具體的OSPF的area 0.4.1.2中。

2.3 基于訪問控制列表的管理Vlan權(quán)限配置

網(wǎng)絡(luò)管理Vlan的配置要開啟SNMP（Simple Network Management Protocol）協(xié)議，具體核心配置如下：

snmp-agent

snmp-agent local-engineid local-number

snmp-agent community read public acl 2002

snmp-agent community write private acl 2002

snmp-agent sys-info version all

此外，開啟telnet功能及管理權(quán)限配置命令如下：

telnet server enable

user-interface vty 0 4

acl 2000 inbound

user privilege level 3

set authentication password cipher 密鑰

protocol inbound telnet

通過上述配置后，該接入設(shè)備只能通過特定網(wǎng)絡(luò)的ip網(wǎng)段登陸，輸入合法用戶名和密鑰才能夠進(jìn)行管理，直接管理到交換機(jī)。依據(jù)精細(xì)劃分Vlan和網(wǎng)段ip，實(shí)現(xiàn)了管理精細(xì)化，管理到交換機(jī)每一個(gè)接入端口的功能，滿足精細(xì)化管理網(wǎng)絡(luò)的要求，有效避免了之前一個(gè)大局域網(wǎng)下用戶對(duì)其他眾多用戶正常上網(wǎng)的干擾，進(jìn)而保證了細(xì)分Vlan網(wǎng)絡(luò)安全和穩(wěn)定。

依托精細(xì)化網(wǎng)絡(luò)劃分和端口安全隔離手段等手段，降低局域網(wǎng)規(guī)模，增強(qiáng)了局域網(wǎng)穩(wěn)定性，進(jìn)而保障了整體網(wǎng)絡(luò)的安全。

3 總結(jié)

本文針對(duì)辦公網(wǎng)的安全隱患問題，提出一種基于OSPF路由協(xié)議和Vlan細(xì)分的網(wǎng)絡(luò)規(guī)劃方案，對(duì)學(xué)校校園辦公樓網(wǎng)絡(luò)的整體ip段和Vlan號(hào)進(jìn)行了精細(xì)化的規(guī)劃和調(diào)整，對(duì)所有接入交換機(jī)的接入網(wǎng)絡(luò)端口和Vlan進(jìn)行整改，減小了單個(gè)局域網(wǎng)廣播域規(guī)模，進(jìn)一步提升校園網(wǎng)絡(luò)平臺(tái)的穩(wěn)定性和安全性。

[1] Hill B.Cisco完全手冊(cè)[M].北京:電子工業(yè)出版社,2002.

[2] 張宏科.IP路由原理與技術(shù)[M].北京:清華大學(xué)出版社,2000.72- 94.

[3] 龔文濤.一種基于IP網(wǎng)絡(luò)的機(jī)房視頻監(jiān)控系統(tǒng)規(guī)劃[J],微型電腦應(yīng)用,2014(3):48-50.

[4] RichardStevens W.TCP/IP詳解[M].北京:機(jī)械工業(yè)出版社,2000.95- 105.

[5] 趙冶東.路由交換技術(shù)[M].北京:清華大學(xué)出版社,2011.

[6] 龔文濤.一種基于資源共享的區(qū)域教育云的架構(gòu)設(shè)計(jì)[J],微型電腦應(yīng)用,2013(11):41-42.

The Design of Office Network Based on OSPF Routing and Vlan Subdivision

Gong Wentao
(Internet and Education Technology Center, China University of Petroleum (East China), Qingdao 266580, China)

Frequent occurrence of the office network and the network fault management based on pressure, in order to meet the needs of network security and stability and ease of office network management, the paper proposes a network design based on OSPF(Open Shortest Path First）routing protocol, which makes the network routing protocol configuration become simple, and with the network design of the entire building single vlan planning and IP subdivision, strengthening the network of fine management, and improves network security and stability.

OSPF; Network; Vlan

TP393

A

2014.11.08）

1007-757X(2015)01-0047-03

龔文濤（1984-），男，湖北省潛江市人，中國石油大學(xué)（華東）網(wǎng)絡(luò)及教育技術(shù)中心，工程師，工學(xué)碩士，研究方向：計(jì)算機(jī)控制和網(wǎng)絡(luò)安全，青島，266580