当前位置:世纪论文>>计算机类>>网络

利用路由交换技术构建安全有效的园区网

论文核心提示:

园区网作为实际生活中的一种常见网络类型,具有非常典型的代表性。在构建一个园区网的过程中,必须要充分考虑到网络整体的使用性、安全性、可扩展性等因素。本文通过对一个典型园区网的案例拓扑分析,利用路由和交换两方面技术提出了一个比较全面的解决方案,可构建一个安全有效的园区网。   关键词:交换机端口安全;VLAN;单臂路由;ACL;Nat

1 园区网的实际意义
  
  网络的发展为人类带来了无可比拟的便捷生活,网络已经成为社会上每个企业或组织在办公中必不可少的一部分。一般企业或组织使用的网络都是局域网,大致分为小型局域网和大型局域网,其中,大型局域网就是通常所说的园区网。园区网通常是指大学的校园网及企业的内部网(Intranet)。其主要特征是:网络特别是路由结构完全由一个机构来管理,但是接入设备的数量巨大,业务需求种类较多。在实际中园区网应用非常广泛,在分析配置和实施的过程中必须考虑到网络整体的使用性、安全性、可扩展性等因素。
  
  2 典型园区网的实际需求及初步拓扑
  
  2.1 实际需求
  
  现在我们以一个学院为例,模拟一个典型园区网。
  学院目前有三栋大楼,其中两栋教学楼,一栋院部楼。每栋教学楼中既有教师办公室,也有学生教室。院部楼既有教师办公室,还有信息中心。平均每栋大楼5层高,每层有10个房间,每个房间10个接入点。
  对于整个园区网,学院作以下规定:学生之间只能在本教室内通信,教室与教室之间不能通信,但是学生可以浏览学院的内部网站;教师之间可以相互通信、信息共享,并且除了可以浏览学院的内部网站外,也可以无限制浏览外部网站。
  2.2 初步拓扑(如图)
  
  3 设备选型及采用技术
  
  3.1 分层网络设计
  
  首先我们将拓扑划分出层的概念。一个园区网拓扑中的层通常分为三类,即接入层、汇聚层和核心层。
  接入层通常指网络中直接面向用户连接或访问的部分。接入层的目的是允许终端用户连接到网络,因此,接入层交换机具有低成本和高端口密度特性,是最常见的接入层设备,大都提供多个具有10M/100M/1000M自适应能力的端口。
  汇聚层是楼群或小区的信息汇聚点,是连接接入层和核心层的网络设备,为接入层提供数据的汇聚、传输、管理、分发处理以及基于策略的连接,如地址合并、协议过滤、路由服务、认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层,保证核心层的安全和稳定。汇聚层设计为连接本地的逻辑中心需要较高的性能和比较丰富的功能。
  核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是可靠性和高速传输。网络的控制功能最好尽量少在核心层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。
  
  3.2 拓扑分析
  根据初步确定的拓扑图,从底层向上,由接入层向核心层来一层一层分析。
  接入层即D类设备,是每个房间的交换机,每台设备连接10个接入点;同时,在网络安全方面,考虑到整个园区网一共有1500个接入点,必须防止教师、学生或外来人士有可能随意接入个人电脑,对网络进行破坏,所以必须在接入层的交换机上进行端口安全设置。
  汇聚层中的C类设备,是每个楼层的交换机,每台设备连接10个D类设备;在网络性能方面,考虑到整个园区网中的接入层一共有150台交换机、1500个接入点,整个园区网处于一个广播域中,一旦整个网络泛洪,网络性能将急剧下降,同时也是为了方便管理,所以,应该在C类设备中配置VLAN。
  汇聚层中的B类设备,是每栋楼的设备,每台设备连接5个C类设备,考虑到VLAN间的通信以及实际的性能需要,所以,应该选用三层路由交换机。同时,在B类设备中配置单臂路由,B类设备间配置trunk。而由于需要对学生浏览外网有限制,所以,应该在B类设备连接A类设备一端配置ACL,使得学生所在处的VLAN只能最高访问B类设备,而无法访问A类设备。之所以在B类设备一端配置ACL而不是在A类设备一端配置,主要是考虑到节省B类设备与A类设备之间的带宽,提高整个网络的性能。这里应当提出,整个园区网的server farm也应该连接在汇聚层而不是核心层,这主要是考虑到每层的功能不同,应该尽量让核心层以内外数据交换为主。
  核心层即A类设备,是整个园区网的边缘设备,每台设备连接3个接入点,考虑到核心层以内外数据交换的功能为主以及实际的操作和性能需要,所以,应该选用三层路由交换机,同时在A类设备中配置NAT。
    

[本论文关键字]:

推荐链接