络安全功能。采用传统局域网技术的网络,只要利用一台PC装上协议分析软件,连到集线器上就可拦截该网段上的所有数据,采用基于MAC地址的VLAN技术时就不可能拦截该VLAN的数据;VLAN与VLAN间逻辑上是分开的,VLAN成员的数据包只能在同一VLAN内部传送,即使处于同一网络中,不同VLAN间也不能进行直接通信,有效的避免了广播风暴的传播;校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统,网络管理员可采用VLAN技术对广播域进行逻辑划分,达到限制用户非法访问的目的,从而确保重要部门的数据安全。除非设置了监听口,信息交换就不可能存在监听和插入问题,提高了网络的安全性能;对于内网,采用基于MAC地址的VLAN技术,可有效防止IP地址盗用问题。
4)采用VLAN技术的网络中,每个VLAN内的站点可直接访问该VLAN内的服务器,提高了网络的响应速度;同时,同一个VLAN内的站点可以非常方便的进行通信。
5)简化网络管理:VLAN是一个在物理网络上根据用途、工作组、应用等来逻辑划分的局域网络,与用户的物理位置没有关系 [3][4] 。采用VLAN技术,网络管理员只需设置指令就能为某个项目或任务建立VLAN[2]。
4 VLAN技术在我校校园网中的应用
4.1我校校园网概况
校园网以设在教学楼的校园网网络中心为核心,覆盖东校区办公楼、东校区教学楼、东校区实验楼、主校区办公楼、主校区实验楼、主校区教学楼、多媒体中心、图书馆、后勤公司等主要大楼。采用CISCO 3550交换机作为中心交换机,在其他楼配置二级交换机,楼与楼之间采用START产品作为三级交换机,办公室采用TP-LINK连接各工作站。中心交换机与防火墙相连,各服务器都连到防火墙上,防火墙同时与路由器相连,通过路由器连接INTERNET。
4.2 校园网具体情况介绍
1)出口:学校与电信的网络接口带宽为100MB,与 教育网的网络接口带宽为64KB; 2)域名:hnrpc.com
3) IP地址范围:218.75.196.218-----
4)中心交换机:CISCO 3550
目前校园网覆盖的楼包括:图书馆、办公楼、各校区教学楼、实验楼、多媒体中心。学生宿舍楼没有介入校园网,由电信负责接入。
4.3 学校系统情况
目前学校运行的系统主要为:WEB服务器一台;流媒体服务器一台;图书管理系统;财务系统
就网络整体结构而言,我校校园网是一个千兆和百兆以太网链路连接的园区网络。整个网络根据范围的限制可分为两个大的部分:内网和外网。从网络安全级别的角度考虑又可将内网分为两大部分:第一部分为重点信息安全保护区,即校园网的重要应用服务器群和重要部门的网络设备和用户;第二部分为普通信息安全区,即校园网中普通应用的网络设备和用户。外网即为校园外部网络区域,也就是与校园网相连的教育网和INTERNET。校园网重点考虑网络内部安全:包括信息访问安全和物理安全。信息访问安全即为内部网络各部门和用户之间要能相互进行信息交换,又要保护重要部门数据的保密性,同时应禁止外部用户非法访问内部数据 。
4.4 校园网系统规划
安全技术:根据校园网的具体情况,为了达到信息流量的控制,并提供良好的安全性,通过对网络逻辑结构进行分析和合理划分,采用基于端口VLAN技术对校园内部网络不同部门之间进行逻辑隔离,同时抑制广播风暴。根据学校具体建筑物分布情况,每栋楼设置为一个VLAN,共设置10个,VLAN2到VLAN10,VLAN1为交换机出厂时设置,不可更改,不可删除。
拓扑结构:以太网拓扑结构主要有总线型、星型、环型、网状型、树型。总线型拓扑所有的站点都链接在同一电缆上,很难进行错误诊断和网络隔离,电缆上的一处故障可能会导致整个网络瘫痪;星型拓扑结构有一个中心控制点,连接简单,故障检测和隔离方便,网络访问协议简单,服务方便,成本低、易于管理、容易扩展,我校网络是以网络中心作为中心点,向周围建筑物辐射,所以校园网拓扑结构主体采用星型拓扑,内部网络拓扑为典型的树型拓扑结构。
图 4 校园网拓扑结构图
[1]Victor S. Frost,K.Sam Shamugan. Generic Approach to LAN Modeling. IEEE Transactions on Communications 1997.5:716
[2]林维忠.虚拟局域网(VLAN)技术.西部广播电视. 2003,3:44-45
[3]Dr.V.Rajaravivarma. Virtual Local Area Network Technology and Applications. IEEE Transactions on Communications,1997:49-52
[4]李晋平.局域网组建和安全管理的实用技术.电脑开发与应用. 2002,15(10):33-35 上一页 [1] [2]
|
