采用VLAN方式组建中小型校园网
一、需求分析
1、采用VLAN方式组网的可行性和心要性。
在传统局域网中,通常一个工作组在同一个网段上,每间个网段可以是一个逻辑工作组或子网。多个逻辑工作组之间通过边接不同网段的网桥或路由器来交换数据,如果要将一个逻辑工作组的结点转移到另一个逻辑工作组,就需要将结点计算机从一个网段撤出,连接到另一个网段上,甚至需要重新布线。因此,逻辑工作组的组成受到结点所在网段物理位置的限制。
虚拟网络是建立在局域网交换机上的,以软件方式来实现逻辑工作组的划分与管理。逻辑工作组的结点组成不受物理位置的限制。同一逻辑工作组的成员不一定要连接到同一个物理网段上,它们可以连接在同一个局域网交换机上,也可以连接到不同的局域网交换机上,只要这些交换机是互连的。当一个结点从一个逻楫工作组转移到另一个逻辑工作组时,只需要进行软件设定,而不需要改变它在网络中的物理位置。同一个逻辑工作组的成员可以分布在不同的物理网段上,而它们之间的通信就像在同一个物理网段上一样。提高信息系统的运作性能,均衡网络数据流量,合理利用硬件及信息资源。同时,利用虚拟网络技术,大大减轻了网络管理和维护工作的负担,降低了网络维护的费用。若中小型校园网的设计按照虚拟局域网组网的要求,是一种较好的组网方式。
虚拟局域网的特点
  (1)、灵活的、软定义的、边界独立于物理媒质的设备群。VLAN概念的引入,使交换机承担了网络的分段工作,而不再使用路由器来完成。通过使用VLAN,能够把原来一个物理的局域网划分成很多个逻辑意义上的子网,而不必考虑具体的物理位置,每一个VLAN都可以对应于一个逻辑单位,如办公楼、实验室、电子阅览室等。
  (2)、广播流量被限制在软定义的边界内、提高了网络的安全性。由于在相同VLAN内的主机间传送的数据不会影响到其他VLAN上的主机,因此减少了数据窃听的可能性,极大地增强了网络的安全性。
  (3)、在同一个虚拟局域网成员之间提供低延迟、线速的通信。能够在网络内划分网段或者微网段,提高网络分组的灵活性。VLAN技术通过把网络分成逻辑上的不同广播域,使网络上传送的包只在与位于同一个VLAN的端口之间交换。这样就限制了某个局域网只与同一个VLAN的其它局域网互相连,避免浪费带宽,从而消除了传统的桥接/交换网络的固有缺陷——包经常被传送到并不需要它的局域网中。这也改善了网络配置规模的灵活性,尤其是在支持广播/多播协议和应用程序的局域网环境中,会遭遇到如潮水般涌来的包。而在 VLAN结构中,可以轻松地拒绝其他VLAN的包,从而大大减少网络流量,抑广广播风暴。
以上特点,可以较好的满足校园网组网的实际需求,下面来看看ABC学院各部门信息点是如何分布的。
 
2、ABC学院内各信息点的分布
在ABC学院校园内有教学楼、实验楼、图书馆、办公楼和五座宿舍楼,其中已建成各自独立的但彼此间没有互联的局域网有图书馆网络系统,电子阅览室、各个计算机实验室等。其信息点分布如下:

建筑物名称
楼层
信息点数
信息点合计
图书馆
1、学生阅览室
6
 
 
 
86
2、电子阅览室
50
3、网络中心
20
4、借书处
4
5、办公室
6
教学楼
1、教室
20
 
130
2、多媒体教室
50
3~5:教室
60
实验楼
1:办公室
5
 
 
260
2;计算机实验室
100
3:计算机实验室
150
4:办公室
5
办公楼
1~5:办公室
40
40
宿舍楼1~宿舍楼5
 
1000
1000
合计
 
 
1516
 
二、校园网结构设计
1、      学院校园网的拓扑结构图如下:
 
2、校园网采用星型拓扑结构,网络中心与主、次节点之间以光纤连接,主节点内部采用双绞线边接,形成星型的拓扑结构;网络结构采用三层结构设计,即核心层、汇聚层和接入层。校园网逻辑结构的设计主要是IP子网网段的划分,要根椐校园网实际应用需求实现VLAN的设置,其应依据以下原则:
l         需要对校外开放的服务器划分在同一网段,并分配给真实的IP地址;
l         除接入Internet的路由器外,将所有网络设备;划分到私有的网段;
l         将不对外开放的服务器划分到专有网段,其地址对外是隐蔽的;
l         将不同部门的机器划分到不同的网段中;
l         可使用子网掩码将几个C类地址分给同一个大的子网,或将一个C类地址分给几个小的子网。
l         VLAN的主要目的就是划分广播域,局域网交换机采用基于端口划分VLAN的方法。
3、学院划分的子网如下表所示:

序号
子网名称
包含的信息点
1
服务器子网
连接Internet的所有服务器,为真实的IP地址
2
网络设备子网
除路由器外所有的网络设备
3
办公室子网
办公楼、图书馆和实验楼的办公室计算机
4
多媒体教室子网
多媒体教室计算机
5
教室子网
所有教室计算机
6
电子阅览室子网
电子阅览室计算机
7
图书馆子网
学生阅览室和借书室计算机
8
计算机实验室1
计算机实验室1计算机
9
计算机实验室2
计算机实验室2计算机
10
计算机实验室3
计算机实验室3计算机
11
计算机实验室4
计算机实验室4计算机
12
计算机实验室5
计算机实验室5计算机
13
学生宿舍1~5
学生宿舍的计算机
 
三、校园网网络设备的选型
校园网采用分层设计,首先需要确定第一层的交换机数量,ABC学院为中等规模,采用三层结构设计,各层交换机的数目如下:
l         核心交换机只需1台;
l         汇聚层交换机,由于网络中心在图书馆,因此图书馆不需要汇聚层交换机,其余3栋楼各1台,共3台;
l         接入层交换机,选择24口百兆交换机,设综合布线交换机柜中信息点数为N,则该柜中所需交换机的个数为N/24的整数加1。
由于电子阅览室、多媒体教室和计算机实验室内部局域网已建成,因此不需要再增加交换机。在计算接入层交换机数量时,第个房间按1个信息点计算。
    教学楼的多媒体教室直接连接教学楼的汇聚层交换机,所以连接接入层交换机的信息点是44,需要2台接入层交换机。
    实验楼共有5个实验室,每个实验室用2个信息点上连,因此计算机实验室共需10个上连信息点,加上其他信息共计20个信息点,直接边接到汇聚层交换机上。
    办公楼有40个信息点,可将24个信息点连接接入层交换机,将重要部门信息点连接汇聚层交换机
综上所述,核心交换机选用Cisco Catalyst 4507R, 汇聚层交换机选用Cisco Catalyst 3550系列交换机。
 
四、IP地址规划与分配
        ABC学院校园网接入CERNET,可以向CERNET申请IP地址和域名。在对校园网系统集成之前,需要对全校的IP地址分配做充分的规划,对每台服务器、PC机、网络设备的端口IP地址均需分配。
    假若ABC学院申请的IP地址为4个C类地址,为210.28.100.0~210.28.103.255域名为ABC.edu.cn,主DNS服务器IP地址为210.28.100.10,辅DNS服务器IP地址为210.28.100.11,

类别
名称
IP地址设置
说明
核心交换机位于图书馆网络控制中心
网管中心交换机
Cisco Catalyst 4507交换机
IP:172.16.1.1/24
网关:172.16.1.254
 
教学楼交换机
教学楼
Cisco Catalyst 3550交换机
IP:172.16.1.2/24
网关:172.16.1.254
 
实验楼交换机
实验楼
Cisco Catalyst 3550交换机
IP:172.16.1.3/24
网关:172.16.1.254
 
办公楼交换机
办公楼
Cisco Catalyst 3550交换机
IP:172.16.1.4/24
网关:172.16.1.254
 
Account.ABC.edu.cn
计费网关
IP:172.16.1.5/24
网关:172.16.1.254
 
Dns1.ABC.edu.cn
主DNS服务器
IP:210.28.100.10/24
 
Dns2.ABC.edu.cn
辅DNS服务器
IP:210.28.100.11/24
 
WEB服务器
IP:210.28.100.12/24
 
Mail.ABC.edu.cn
邮件服务器
IP:210.28.100.13/24
 
ftp:ABC.edu.cn
FTP服务器
IP:210.28.100.14/24
 
认证管理服务器
 
IP:210.28.100.15/24
 
数据库服务器
 
IP:210.28.100.16/24
 
直接连接Internet的设备(如各种服务器等)使用真实的IP地址,在校园网内部使用的设备使用保留地址。
ABC学院VLAN的划分如下表所示:

VLAN ID
网段IP
网关IP
说明
1
210.28.100.0/24
210.28.100.1
服务器子网
2
192.168.10.0/24
192.168.10.1
网络设备子网
3
210.28.101.0/24
210.28.101.1
办公室子网,办公楼、图书馆和实验楼的办公室计算机
4
192.168.12.0/24
192.168.12.1
多媒体教室子网
5
192.168.13.0/24
192.168.13.1
所有的教室子网
6
192.168.14.0/24
192.168.14.1
电子阅览室子网
7
192.168.15.0/24
192.168.15.1
图书馆子网(学生阅览室和借书室计算机)
8
192.168.16.0/24
192.168.16.1
计算机实验室1子网
9
192.168.17.0/24
192.168.17.1
计算机实验室2子网
10
192.168.18.0/24
192.168.18.1
计算机实验室3子网
11
192.168.19.0/24
192.168.19.1
计算机实验室4子网
12
192.168.20.0/24
192.168.20.1
计算机实验室5子网
13
192.168.21.0/24
192.168.21.1
学生宿舍1#~5#子网
 
五、系统集成
1、 主干网可采用千兆以太网结构,每栋楼与网络中心用光纤连接,要实现百兆交换到桌面。各楼网络设计如下:
l         图书馆:是接入CERNET和校园网内部网络的地方,即是全校的网络控制中心,网络中的核心交换机、路由器和各类服务器都设在此。并且数字图书馆的文献集成管理系统,也是图书馆网络的控制中心机房。设在图书馆楼的三楼。
l         教学楼:在多媒体教室按VOD视频点播系统设计,以满足远程视频点播需求,教学楼的多媒体教室直接连接教学楼的汇聚层交换机。
l         实验楼:实验楼的一层和四层作为办公室VLAN划分到办公楼的VLAN中,其他楼层的每个实验室可以划分为一个VLAN,因此,在实验楼内设置一台千兆三层交换机。
l         办公楼:办公室每个信息点均以百兆交换到桌面,楼内布线采用5类双绞线,办公楼所需的交换机集中在机柜中,再将光纤连接到网络中心。
l         ABC学院接入教育城域网,校园网核心交换机接入CERNET的交换机存放在网络中心,所有接的光纤均连接到网络中心。
 
2、网络安全与防护
(1)、网络病毒的防范。校园网络是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件,最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。

    (2)、配置防火墙。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访问的人与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络中的黑客来访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制,防止Internet上的不安全因素蔓延到局域网内部,所以,防火墙是网络安全的重要一环。

   (3)、Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络, 截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容 ,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中 心报告,采取措施。

    (4)、漏洞扫描系统。解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络 安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

    (5)、IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。

    (6)、利用网络监听维护子网系统安全。对于网络外部的入侵可以通过安装防火墙来解决,但是对于网络内部的侵袭则无能为力。在这种情况下,我们可以采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。

    总之,网络安全是一个系统的工程,不能仅仅依靠防火墙等单个的系统,而需要仔细考虑系统的安全需求,并将各种安全技术,如密码技术等结合在 一起,才能生成一个高效、通用、安全的网络系统。

 
3、当规划好全校的IP地址之后,就可以进行系统集成了。选用Cisco系列的网络产品根据所规划的IP地址和VLAN网段进行配置;网关和计费软件的调试、安装应由相应厂家配合完成;对于DNS服务器、Web服务器、FTP服务器的配置选用Windows 2003操作系统进行配置。