利用路由交换技术构建安全有效的园区网
2014-12-09陈浩
陈浩
摘 要:在实际生活当中,园区网是一种较为常见的网络类型,其代表意义尤为显著。在园区网构建过程中,需对诸多因素进行严谨考虑,例如可拓展性、安全性等。本课题笔者在分析园区网的实际意义及一个典型园区网的案例拓扑的基础上,进一步利用路由交换技术提出了一个较为全面的解决方案,进而构建出一个既安全又有效的园区网。
关键词:园区网;拓扑;路由交换技术
目前,在我国普遍的组织或企业,所使得网络都是局域网,当中的大型局域网便是我们通常所提及的园区网[1]。在实际中园区网的运用显得极为广泛。但是,对于园区网而言,保证自身的有效性及安全性是非常有必要的,也是相关工作中所面临的巨大挑战。鉴于此,本课题对“利用路由交换技术构建安全有效的园区网”进行探讨与研究具有尤为深远的重要意义。
1 园区网的实际意义分析
在网络信息技术高速发展的背景下,人们的生活变得越来越便捷。无论是个人还是企业,均离不开网络。对于普遍的组织或企业,所应用的忘了均为局域网,局域网又细分为大型局域网与小型局域网[2]。当中,大型局域网便是常提到的园区网。园区网一般指的是大学的校园网与企业的内部网。所表现的特征为:网络,尤其是路由结构完全是由一个机构进行管理,但所接入的设备其数量非常大,业务需求种类繁多。园区网在实际中应用极具广泛性,对其配置及实施过程进行分析时,需对整体网络的安全性、可拓展新及适用性等因素进行充分考虑。
2 典型园区网的实际需求与初步拓扑分析
以某学院为例,模拟出一个典型的园区网。学院现有大楼3栋,分别为教学楼2栋,院部楼1栋。每一栋教学楼当中有教师办公室与学生教室。院部楼中有教师办公室与信息中心。每一栋大楼平均高度为5层,每一层拥有10个房间,每一个房间有10个接入点[3]。
学院对整体园区网做出的标准为:学生与学生只可在本教室之内通信,教室和教室间不可通信,但学生可对学院里的内部网站进行浏览。教师与教师可相互通信及信息共享;另外,还可对学院内部网站及外部网站内进行浏览。
对于该典型园区网的初步拓扑,如图1所示:
3 设备选择与相关技术探究
3.1 分层网络设计
对于园区网,拓扑当中的层一般划分为三类:其一,接入层;其二,汇聚层;其三,核心层。
接入层一般是指基于网络以直接的方式面向用户连接或进行访问的部分。对于接入层而言,其目的便是准许终端用户连接至网络。所以,接入层交换机存在多方面的优良特性,例如:低成本及高端口密度等。属于一种较为常见的接入层设备,大多数均提供了多个拥有10M/100M/1000M自适应能力的端口[4]。
汇聚层属于楼群或小区的信息汇聚处,属于在接入层及核心层连接时的网络设备,为接入层提供了诸多的功能,包括数据的传输、管理及处理等。以网段划分和网络隔离能够对一些网段所存在的问题起到规避作用,进一步对核心层起到了保护作用,使核心层更具稳定性与安全性。汇聚层设计是未来连接本地的逻辑中心,因此其性能要求较高,并且需要具备较为丰富的功能支持。
核心层其功能是实现骨干网络间的优化传输,在设计上骨干层需要具备可靠性与高速传输。对于网络的控制功能,应规避在核心层上落实。对于核心层,通常当作是全部流量的最终承受者及汇聚者,因此对于核心层的设计及网络设备的要求,均有着非常严格的要求。
3.2 拓扑分析
以初步确认的拓扑图为依据,从底层向上,通过接入层到核心层进行逐步分析。
接入层便是D类设备,属于房间里的交换机,每一台设备需有十个接入点连接。并且在网络安全上,由于整体园区网具备一千五百个接入点,需规避师生及外来人员随时接入个人电脑,进而对网络造成破坏,因此需在处于接入层的交换机当中实施端口安全设置。
汇聚层当中的C类设备属于每个楼层中的交换机,每一台设备有十个D类设备连接[5]。基于网络性能上,由于整个园区网当中的接入层拥有一百五十台交换机与一千五百各接入点,整个园区网位于一个广播域当中,若整个网络泛洪,那么网络性能将严重下滑,并且为了管理更加便利,需在C类设备当中将VLAN配置。
核心层便是A类设备,属于整个园区网当中的边缘设备,每一台设备有三个接入点连接,由于在核心层当中,其主要功能是内、外数据交换及实际操作等。因此,需应用三层路由交换机,与此同时需将NAT配置在A类设备当中。
3.3 设备选型
对于C类及D类设备,所选择的是WS-C2960-24TT-L。B类设备所选择的是思科WS-C3560G-24TS-S。另外,A类设备,所选择的是WS-C3750G-24TS-SIU。
3.4 所使用的相关技术
其一,交换机端口安全。其主要目的是约束接入MAC地址,对于vi-olation具备三个参数,分别为:shutdown、protecr、restrict[6]。它的典型配置如表2所示:
其二,VLAN。它是一种新兴数据交换技术,主要是把局域网设备在逻辑的基础上划分成网段,进一步使虚拟工作组能够有效实现。在实际使用过程中,VLAN具备多方面的优势,例如:防止广播风暴、增强网络安全以及使项目管理得到简化等。
其三,单臂路由。它是一种通信技术,主要是对不同的VLAN进行连接。基于案例当中,为了教师间能够实现相互通信,单臂路由是必定需要配置等。
其四,ACL。即为访问控制列表,它属于路由器与交换机接口的指令列表,主要作用于端口进出数据包的控制,主要目的是控制某种访问。因在案例当中,要求学生不可对外网进行访问,因此便必须有ACL设置。
四五,NAT。它在各类型的接入方式及网络中有着极其广泛的应用。不但能够使IP地址不足的问题得到有效解决,而且还可以使源自于网络外部的攻击实现有效规避,对网络内部计算机起到了保护作用。
4 结语
通过本课题的分析与探究,基于拓扑中,其设备的配置已经与园区网的需求基本符合。然而,作为拓展,还能够在A类设备或B类设备方面实现冗余配置,主要目的是使由一些设备突然发生故障而带来的损失等情况实现有效规避。当然,这又关系到“生产树”方面的技术。相信,在路由交换技术不断进步的基础上,将其应用在园区网的构建上,园区网将更具有效性与安全性。
[参考文献]
[1]伍绍佳.路由交换技术在构建高性能校园网的应用[J].数字技术与应用.2013,03:111-112.
[2]郭涛.园区网络性能分析与优化[J].西安电子科技大学.2011,06:34-36.
摘 要:在实际生活当中,园区网是一种较为常见的网络类型,其代表意义尤为显著。在园区网构建过程中,需对诸多因素进行严谨考虑,例如可拓展性、安全性等。本课题笔者在分析园区网的实际意义及一个典型园区网的案例拓扑的基础上,进一步利用路由交换技术提出了一个较为全面的解决方案,进而构建出一个既安全又有效的园区网。
关键词:园区网;拓扑;路由交换技术
目前,在我国普遍的组织或企业,所使得网络都是局域网,当中的大型局域网便是我们通常所提及的园区网[1]。在实际中园区网的运用显得极为广泛。但是,对于园区网而言,保证自身的有效性及安全性是非常有必要的,也是相关工作中所面临的巨大挑战。鉴于此,本课题对“利用路由交换技术构建安全有效的园区网”进行探讨与研究具有尤为深远的重要意义。
1 园区网的实际意义分析
在网络信息技术高速发展的背景下,人们的生活变得越来越便捷。无论是个人还是企业,均离不开网络。对于普遍的组织或企业,所应用的忘了均为局域网,局域网又细分为大型局域网与小型局域网[2]。当中,大型局域网便是常提到的园区网。园区网一般指的是大学的校园网与企业的内部网。所表现的特征为:网络,尤其是路由结构完全是由一个机构进行管理,但所接入的设备其数量非常大,业务需求种类繁多。园区网在实际中应用极具广泛性,对其配置及实施过程进行分析时,需对整体网络的安全性、可拓展新及适用性等因素进行充分考虑。
2 典型园区网的实际需求与初步拓扑分析
以某学院为例,模拟出一个典型的园区网。学院现有大楼3栋,分别为教学楼2栋,院部楼1栋。每一栋教学楼当中有教师办公室与学生教室。院部楼中有教师办公室与信息中心。每一栋大楼平均高度为5层,每一层拥有10个房间,每一个房间有10个接入点[3]。
学院对整体园区网做出的标准为:学生与学生只可在本教室之内通信,教室和教室间不可通信,但学生可对学院里的内部网站进行浏览。教师与教师可相互通信及信息共享;另外,还可对学院内部网站及外部网站内进行浏览。
对于该典型园区网的初步拓扑,如图1所示:
3 设备选择与相关技术探究
3.1 分层网络设计
对于园区网,拓扑当中的层一般划分为三类:其一,接入层;其二,汇聚层;其三,核心层。
接入层一般是指基于网络以直接的方式面向用户连接或进行访问的部分。对于接入层而言,其目的便是准许终端用户连接至网络。所以,接入层交换机存在多方面的优良特性,例如:低成本及高端口密度等。属于一种较为常见的接入层设备,大多数均提供了多个拥有10M/100M/1000M自适应能力的端口[4]。
汇聚层属于楼群或小区的信息汇聚处,属于在接入层及核心层连接时的网络设备,为接入层提供了诸多的功能,包括数据的传输、管理及处理等。以网段划分和网络隔离能够对一些网段所存在的问题起到规避作用,进一步对核心层起到了保护作用,使核心层更具稳定性与安全性。汇聚层设计是未来连接本地的逻辑中心,因此其性能要求较高,并且需要具备较为丰富的功能支持。
核心层其功能是实现骨干网络间的优化传输,在设计上骨干层需要具备可靠性与高速传输。对于网络的控制功能,应规避在核心层上落实。对于核心层,通常当作是全部流量的最终承受者及汇聚者,因此对于核心层的设计及网络设备的要求,均有着非常严格的要求。
3.2 拓扑分析
以初步确认的拓扑图为依据,从底层向上,通过接入层到核心层进行逐步分析。
接入层便是D类设备,属于房间里的交换机,每一台设备需有十个接入点连接。并且在网络安全上,由于整体园区网具备一千五百个接入点,需规避师生及外来人员随时接入个人电脑,进而对网络造成破坏,因此需在处于接入层的交换机当中实施端口安全设置。
汇聚层当中的C类设备属于每个楼层中的交换机,每一台设备有十个D类设备连接[5]。基于网络性能上,由于整个园区网当中的接入层拥有一百五十台交换机与一千五百各接入点,整个园区网位于一个广播域当中,若整个网络泛洪,那么网络性能将严重下滑,并且为了管理更加便利,需在C类设备当中将VLAN配置。
核心层便是A类设备,属于整个园区网当中的边缘设备,每一台设备有三个接入点连接,由于在核心层当中,其主要功能是内、外数据交换及实际操作等。因此,需应用三层路由交换机,与此同时需将NAT配置在A类设备当中。
3.3 设备选型
对于C类及D类设备,所选择的是WS-C2960-24TT-L。B类设备所选择的是思科WS-C3560G-24TS-S。另外,A类设备,所选择的是WS-C3750G-24TS-SIU。
3.4 所使用的相关技术
其一,交换机端口安全。其主要目的是约束接入MAC地址,对于vi-olation具备三个参数,分别为:shutdown、protecr、restrict[6]。它的典型配置如表2所示:
其二,VLAN。它是一种新兴数据交换技术,主要是把局域网设备在逻辑的基础上划分成网段,进一步使虚拟工作组能够有效实现。在实际使用过程中,VLAN具备多方面的优势,例如:防止广播风暴、增强网络安全以及使项目管理得到简化等。
其三,单臂路由。它是一种通信技术,主要是对不同的VLAN进行连接。基于案例当中,为了教师间能够实现相互通信,单臂路由是必定需要配置等。
其四,ACL。即为访问控制列表,它属于路由器与交换机接口的指令列表,主要作用于端口进出数据包的控制,主要目的是控制某种访问。因在案例当中,要求学生不可对外网进行访问,因此便必须有ACL设置。
四五,NAT。它在各类型的接入方式及网络中有着极其广泛的应用。不但能够使IP地址不足的问题得到有效解决,而且还可以使源自于网络外部的攻击实现有效规避,对网络内部计算机起到了保护作用。
4 结语
通过本课题的分析与探究,基于拓扑中,其设备的配置已经与园区网的需求基本符合。然而,作为拓展,还能够在A类设备或B类设备方面实现冗余配置,主要目的是使由一些设备突然发生故障而带来的损失等情况实现有效规避。当然,这又关系到“生产树”方面的技术。相信,在路由交换技术不断进步的基础上,将其应用在园区网的构建上,园区网将更具有效性与安全性。
[参考文献]
[1]伍绍佳.路由交换技术在构建高性能校园网的应用[J].数字技术与应用.2013,03:111-112.
[2]郭涛.园区网络性能分析与优化[J].西安电子科技大学.2011,06:34-36.
摘 要:在实际生活当中,园区网是一种较为常见的网络类型,其代表意义尤为显著。在园区网构建过程中,需对诸多因素进行严谨考虑,例如可拓展性、安全性等。本课题笔者在分析园区网的实际意义及一个典型园区网的案例拓扑的基础上,进一步利用路由交换技术提出了一个较为全面的解决方案,进而构建出一个既安全又有效的园区网。
关键词:园区网;拓扑;路由交换技术
目前,在我国普遍的组织或企业,所使得网络都是局域网,当中的大型局域网便是我们通常所提及的园区网[1]。在实际中园区网的运用显得极为广泛。但是,对于园区网而言,保证自身的有效性及安全性是非常有必要的,也是相关工作中所面临的巨大挑战。鉴于此,本课题对“利用路由交换技术构建安全有效的园区网”进行探讨与研究具有尤为深远的重要意义。
1 园区网的实际意义分析
在网络信息技术高速发展的背景下,人们的生活变得越来越便捷。无论是个人还是企业,均离不开网络。对于普遍的组织或企业,所应用的忘了均为局域网,局域网又细分为大型局域网与小型局域网[2]。当中,大型局域网便是常提到的园区网。园区网一般指的是大学的校园网与企业的内部网。所表现的特征为:网络,尤其是路由结构完全是由一个机构进行管理,但所接入的设备其数量非常大,业务需求种类繁多。园区网在实际中应用极具广泛性,对其配置及实施过程进行分析时,需对整体网络的安全性、可拓展新及适用性等因素进行充分考虑。
2 典型园区网的实际需求与初步拓扑分析
以某学院为例,模拟出一个典型的园区网。学院现有大楼3栋,分别为教学楼2栋,院部楼1栋。每一栋教学楼当中有教师办公室与学生教室。院部楼中有教师办公室与信息中心。每一栋大楼平均高度为5层,每一层拥有10个房间,每一个房间有10个接入点[3]。
学院对整体园区网做出的标准为:学生与学生只可在本教室之内通信,教室和教室间不可通信,但学生可对学院里的内部网站进行浏览。教师与教师可相互通信及信息共享;另外,还可对学院内部网站及外部网站内进行浏览。
对于该典型园区网的初步拓扑,如图1所示:
3 设备选择与相关技术探究
3.1 分层网络设计
对于园区网,拓扑当中的层一般划分为三类:其一,接入层;其二,汇聚层;其三,核心层。
接入层一般是指基于网络以直接的方式面向用户连接或进行访问的部分。对于接入层而言,其目的便是准许终端用户连接至网络。所以,接入层交换机存在多方面的优良特性,例如:低成本及高端口密度等。属于一种较为常见的接入层设备,大多数均提供了多个拥有10M/100M/1000M自适应能力的端口[4]。
汇聚层属于楼群或小区的信息汇聚处,属于在接入层及核心层连接时的网络设备,为接入层提供了诸多的功能,包括数据的传输、管理及处理等。以网段划分和网络隔离能够对一些网段所存在的问题起到规避作用,进一步对核心层起到了保护作用,使核心层更具稳定性与安全性。汇聚层设计是未来连接本地的逻辑中心,因此其性能要求较高,并且需要具备较为丰富的功能支持。
核心层其功能是实现骨干网络间的优化传输,在设计上骨干层需要具备可靠性与高速传输。对于网络的控制功能,应规避在核心层上落实。对于核心层,通常当作是全部流量的最终承受者及汇聚者,因此对于核心层的设计及网络设备的要求,均有着非常严格的要求。
3.2 拓扑分析
以初步确认的拓扑图为依据,从底层向上,通过接入层到核心层进行逐步分析。
接入层便是D类设备,属于房间里的交换机,每一台设备需有十个接入点连接。并且在网络安全上,由于整体园区网具备一千五百个接入点,需规避师生及外来人员随时接入个人电脑,进而对网络造成破坏,因此需在处于接入层的交换机当中实施端口安全设置。
汇聚层当中的C类设备属于每个楼层中的交换机,每一台设备有十个D类设备连接[5]。基于网络性能上,由于整个园区网当中的接入层拥有一百五十台交换机与一千五百各接入点,整个园区网位于一个广播域当中,若整个网络泛洪,那么网络性能将严重下滑,并且为了管理更加便利,需在C类设备当中将VLAN配置。
核心层便是A类设备,属于整个园区网当中的边缘设备,每一台设备有三个接入点连接,由于在核心层当中,其主要功能是内、外数据交换及实际操作等。因此,需应用三层路由交换机,与此同时需将NAT配置在A类设备当中。
3.3 设备选型
对于C类及D类设备,所选择的是WS-C2960-24TT-L。B类设备所选择的是思科WS-C3560G-24TS-S。另外,A类设备,所选择的是WS-C3750G-24TS-SIU。
3.4 所使用的相关技术
其一,交换机端口安全。其主要目的是约束接入MAC地址,对于vi-olation具备三个参数,分别为:shutdown、protecr、restrict[6]。它的典型配置如表2所示:
其二,VLAN。它是一种新兴数据交换技术,主要是把局域网设备在逻辑的基础上划分成网段,进一步使虚拟工作组能够有效实现。在实际使用过程中,VLAN具备多方面的优势,例如:防止广播风暴、增强网络安全以及使项目管理得到简化等。
其三,单臂路由。它是一种通信技术,主要是对不同的VLAN进行连接。基于案例当中,为了教师间能够实现相互通信,单臂路由是必定需要配置等。
其四,ACL。即为访问控制列表,它属于路由器与交换机接口的指令列表,主要作用于端口进出数据包的控制,主要目的是控制某种访问。因在案例当中,要求学生不可对外网进行访问,因此便必须有ACL设置。
四五,NAT。它在各类型的接入方式及网络中有着极其广泛的应用。不但能够使IP地址不足的问题得到有效解决,而且还可以使源自于网络外部的攻击实现有效规避,对网络内部计算机起到了保护作用。
4 结语
通过本课题的分析与探究,基于拓扑中,其设备的配置已经与园区网的需求基本符合。然而,作为拓展,还能够在A类设备或B类设备方面实现冗余配置,主要目的是使由一些设备突然发生故障而带来的损失等情况实现有效规避。当然,这又关系到“生产树”方面的技术。相信,在路由交换技术不断进步的基础上,将其应用在园区网的构建上,园区网将更具有效性与安全性。
[参考文献]
[1]伍绍佳.路由交换技术在构建高性能校园网的应用[J].数字技术与应用.2013,03:111-112.
[2]郭涛.园区网络性能分析与优化[J].西安电子科技大学.2011,06:34-36.