基于思科模擬器的高校機房網絡安全性研究

胡元闖 千文 朱建鋒

摘要：文章通過在思科模擬器Cisco PT6.1.1上給出了高校機房VLAN典型的劃分方法，根據實際應用通過二層交換機VLAN進行的靈活劃分，讓同一VLAN可以自由通信數據，通過對三層交換機的不同配置方法，實現了不同的VLAN間的數據通信，并通過測試驗證。結果表明，給出的方案可以提高網絡帶寬利用率，減少碰撞，提高網絡的靈活性，增強了網絡的安全性。

關鍵詞：網絡安全；思科模擬器；虛擬局域網；三層交換機；高校機房；網絡安全性 文獻標識碼：A

中圖分類號：TP393 文章編號：1009-2374（2016）27-0011-02 DOI：10.13535/j.cnki.11-4406/n.2016.27.006

隨著高校規模越來越大，高校中計算機的機房室越來越多，計算機數量也不斷增多，但是由于可能有多個同一類機房，且它們分布在不同的實驗樓層或不同的教室，如何對這些類型相同而分別在不同樓宇和樓層的機房進行有效管理，在機房通信中有效抑制廣播風暴，提高機房通信的安全性和管理效率成為各高校面臨的問題之一。

當前很多高校機房管理員從機房建設實踐中都知道，第2層平面網絡的擴展性不夠好，各主機之間進行數據通信之前，都要通過廣播RARP，以便獲取目的主機的物理地址。這樣就導致了用來正常數據通信卻沒法利用正常帶寬，影響了網絡的利用效率和正常工作效果。而VLAN（Virtual Local Area Network）依靠用戶的邏輯劃分，將原來物理上互連的一個局域網絡劃分為多個虛擬網段，這樣不僅有效提高了通信效率，還可以在特定的一組端口上播出某些數據信息組，此舉措對提高校園網機房網絡安全具有重要意義。

1 基于兩層交換的Cisco VLAN的工作原理

1.1 交換機的兩層交換技術

雖然兩層交換機交換技術能夠解決局域網的沖突問題，但還不能解決廣播問題。整個局域網看起來還是屬于同一個廣播域，即使一個廣播數據包可以傳遞到局域網網絡上的所有主機，但會占用大量的網絡資源，這樣不僅會影響整個網絡的運行速度，還影響了整個網絡的效率和性能，然而利用VLAN技術就可以很好地解決這個問題。

1.2 VTP Domain和VLAN Trunk

在VLAN配置中要用到兩個主要技術，是VLAN Trunk和VTP Domain。在基于交換機端口劃分的VLAN中，一個端口只能屬于一個VLAN，當有2臺交換機級聯之后，不同VLAN間的數據包如何通過級聯端口送達目的交換機以及數據包到達目的交換機時如何交付，這些都可以通過配置交換機的Trunk功能來實現。

VTP（Vlan Trunk Protocol）即中繼協議，主要用于互聯不同VLAN時的通信。通過VTP配置可以有效地管理VLAN。

1.3 機房網絡拓撲結構設計

根據現有高校機房的應用需求及布局特點，往往某一類機房包含多個機房，分布在不同的樓層，功能上既有獨立的部分，又有相同的部分，按照傳統的模式，給管理帶來一定不便。本文通過VLAN技術，在思科模擬器上進行機房拓撲結構設計，圖1給出了在思科模擬器上搭建的高校機房網絡中VLAN的典型劃分。

2 配置實現

2.1 VLAN的劃分

根據實際需要，該機房一共劃分5個VLAN，即rjjf、wljf、yjjf、DNS和WEB-FTP，劃分的網絡分別為192.168.10.0/24、192.168.20.0/24、192.168.30.0/24、192.168.40.1/24、192.168.40.2/24。每個VLAN能鏈接的主機數為254臺，能滿足目前情況的需求。

本文中按照本學院機房分布情況在思科模擬器上搭建實驗拓撲結構圖，并通過命令進行配置。網絡拓撲結構由一臺三層交換機和兩臺兩層交換機構成。在本文中，我們將三層交換機設置成VTP服務器，將二層交換機配置為VTP客戶端，VTP域名為jfgl，同時為Web服務器和FTP服務器設置域名。在本文中，我們為每個VLAN劃分獨立的網絡地址，滿足我校機房管理的實際應用。

2.2 網絡配置

在完成網絡搭建之后就可以進行相關配置，主要包括VLAN劃分、IP地址配置、中繼配置、802.1q配置以及其他相關配置，以下給出各項主要配置過程。

2.2.1 PC機和服務器的配置。按照網絡參數表相應參數設置計算機的IP地址。配置Web服務器、FTP服務器和DNS服務器的IP地址。

2.2.2 對VTP域進行配置。在三層交換機上配置VTP域如下所示：

SW-3（config）#vtp domain jfgl

在三個二層交換機上配置VTP如下所示：

switchA（config）#vtp domain jfgl //這是交換機A的vtp域名為jfgl

switchA（config）#vtp mode client //設置交換機A的vtp為客戶機模式

在另外兩個二層交換機上進行類似相應的配置。

2.2.3 創建VLAN域。在三層交換機上創建VLAN域，主要命令如下所示：

SW-3#vlan database//進入創建vlan模式

SW-3 （vlan）#vlan 10 name rjjf //創建vlan10

SW-3 （vlan）#vlan 20 name wljf //創建vlan20

SW-3 （vlan）#vlan 30 name yjjf //創建vlan30

SW-3 （vlan）#vlan 40 name server //創建vlan40

2.2.4 在三層交換機和二層交換機之間創建中繼鏈路。接著在三層交換機和二層交換機之間配置中繼鏈路，主要配置命令如下所示：

在三層交換機上進行配置：

SW-3（config）#int f0/21 //進入以太網21號端口

SW-3（config-if）#switchport mode dynamic desirable //設置21號端口為動態模式

在二層交換機switchA上進行配置：

switchA（config）#interface f0/21 //進入交換機A的21號接口

switchA（config-if）#switchport mode trunk //把21交換機A的21號接口設置為trunk模式

switchA（config）#interface range f0/23-f0/24 //進入交換機A的23和24號接口

switchA（config-if-range）#switchport mode trunk//把交換機A的23和24號接口設置為trunk模式

對另外兩個二層交換機進行類似的配置。

以上命令配置完之后，在三層交換機上為各個Vlan配置網關，并開啟路由，整個配置工作完成。

2.3 測試及分析

在配置完成之后進行測試驗證，既可以通過PING命令來測試網絡連接效果，也可以用計算機的瀏覽器來訪問域名的Web服務和FTP服務的連通性。通過PING測試網絡的連通性，結果表明，VLAN10中的計算機與其他三個VLAN的計算機以及服務器能夠實現通信。而PC21、PC22、PC23之間也能實現通信；PC31、PC32、PC33直接亦能通信。其中PC11、PC12、PC13屬于同一VLAN，但屬于不同的交換機，但能實現通信。與此同時，PC11廣播的數據包，PC21、PC31雖然和PC11屬于同一個交換機，但卻不會接收到，因為它們分別屬于不同的VLAN。同樣的，對應PC21、PC22、PC23和PC31、PC32、PC33的測試，結果類似。測試結果表明，該設置方案能有效解決廣播風暴，增強網絡的靈活性，提高網絡的工作效率。

VLAN其實就是相當于子網（Subnet）的概念，在高校機房管理的應用中，可以按照不同的機房類型來劃分VLAN，不同的VLAN之間是不能隨便訪問的，這樣就可以有效地避免廣播風暴問題。這樣通過VLAN技術可以確保機房管理中重要服務器及重要通信的帶寬需求保持高效工作，提高網絡的安全性。

3 結語

本文通過在思科模擬器PT6.1.1上對機房設計方案進行拓撲結構搭建，然后進行配置。根據典型的實際應用需要，由交換機端口進行VLAN劃分，劃分的結果是可以使同一VLAN內數據自由通信，然而對于不同的VLAN機房，即使連接到了相同的交換機，可在一般情況下還是不能通信的，因此這樣就有效地避免了廣播風暴問題。而不同VLAN之間的機房需要通信，可以通過路由器或三層交換機來實現。通過測試，結果表明，通過跨越交換機的方式來實施劃分VLAN，不僅能高性能地達到VLAN之間的通信聯接，還可以減少碰撞、提高帶寬利用率、提高機房通信的性能、提高高校機房的管理效率、增強機房網絡應用的靈活性等。

參考文獻

[1] [美]劉易思.思科網絡學院技術教程：LAN交換和無 線[M].北京：人民郵電出版社，2009.

[2] 朱迅.基于三層交換和虛擬局域網技術的校園網的設 計與實現[D].江南大學，2009.

[3] 李永忠.計算機網絡測試與維護[M].西安：西安電 子科技大學出版社，2011.

[4] [美]瓦尚，格拉齊亞尼.思科網絡學院技術教程：接 入WAN[M].北京：人民郵電出版社，2009.

基金項目：賀州學院2014年度大學生科研項目“高校機房網絡安全性研究”，項目編號：2014DXSZK10；2014年國家級大學生創新創業訓練計劃項目“VLAN技術在高校校園網中的應用研究”，項目編號：201411838005。

作者簡介：胡元闖（1983-），男，廣西河池人，賀州學院計算機科學與信息工程學院高級工程師，碩士，研究方向：網絡協議、無線網絡可靠性、模型檢測、形式化技術、云計算等。

（責任編輯：黃銀芳）