面向学生开放的校园网络规划与管理探讨
摘要:目前校园网面向学生全面开放已是大势所趋,校园网的规模变得越来越大,如何保证畅通、安全并对学生访问Internet进行控制等问题也显得日益突出,从而也使校园网的规划设计和管理变得越来越重要。本文提出了校园网规划和管理方面的一些问题,并给出了解决方案。
关键词:校园网络;广播风暴;IP/MAC地址;ACL;IP过滤
Abstract: At present, the campus network for the full liberalization of the students has become an irresistible trend, the size of the campus network has become more and more, how to ensure smooth flow of the network, security and student Internet access control and other issues have also become increasingly prominent, and thus make the campus network The planning and management is becoming increasingly important. In this paper, campus network planning and management of a number of issues, and gives the solution.
Key words: campus network; broadcast storm; IP / MAC address; ACL; IP filtering
1. 引言
校园机网络的建设已成为学校建设中,上档次、上规模的一个重要标志。目前在各高等院校甚至在很多中学都已建立了自己的校园网,一些学校已开始将网络节点延伸至学生寝室,即将校园网面向学生全面开放,使得学校校园网真正在教学科研及管理等各方面起到重要的作用,因此校园网的规模越来越大。另一方面由于Internet的普及和学校对信息的需求,对于校园网接入Internet为整个学校的计算机用户提供Internet的访问,也已成为校园网必须具有的功能之一。而由此引出的网络如何规划和管理,如何控制学生对Internet的访问等问题也显得日益突出。本文作者集多年对校园网络的规划建设和管理控制经验,特别是对于校园中开放性网络的规划和管理经验。给出了解决方案,以共同仁们。
2. 问题的提出
面向学生开放是指将校园网络节点直接连入学生寝室,使学生可在寝室里通过接入校园网的计算机,访问校园网的各种资源,享受校园网提供的各种服务,并可通过校园网访问Internet。因此,基于如此规划的校园网具有如下特点:
① 网络用户数较多,对网络的访问相对集中,由于局域网通信多采用广播方式,因此及易在网络中引起网络阻塞和广播风暴。
② 不安全性, 由于局域网的访问方式是基于广播方式的,如果将学校里各部门的主机都放在同一个网段里是极不安全的,重要的服务器很容易受到攻击。
③ 对Internet的访问要进行管理和控制,特别是要求学生缴费上网时如何进行管理更是需要解决的问题。
下面就以上三个问题给出解决方案,并给出一个实例。
3. 解决方案
① 网络分段
网络分段可分为物理分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层(OSI/RM模型中的第一层和第二层)上分为若干网段,各网段之间相互不能直接通信。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。逻辑分段则是指将整个系统在网络层(OSI/RM模型中的第三层)上进行分段。这种方法对于IP网络行之有效,例如:可将整个网络分成多个IP子网,各子网间通过路由器、路由交换机、网管或防火墙等网络设备进行连接。网络分段不仅可以保障网络安全,将非法用户与网络资源相互隔离,而且通过按用户组进行子网划分的方法,用以减少一个网络中的用户数,可达到在整个网络中隔离广播风暴,使子网内部的用户访问只在子网内部进行。因此,建议在校园网上划分子网,子网划分的原则是:
a. 首先根据校园网的规模选定网络类型,规划好整个网络的IP地址,根据用户的数量和用户的分类确定划分子网的数量,以确定子网掩码;
b. 一个子网中的用户数不能多,一般可限制在250个左右(一个C网中主机的数量);
c. 子网中的用户尽量具有相同的类型,比如:学生、行政办公、各院系、图书馆等都应单独划分子网;
② IP/MAC地址捆绑
由于IP地址是逻辑地址,用户可随意设置,这就会发生IP地址盗用问题,即合法用户的IP地址被非法用户所占用。如何能保证缴费用户(合法的)的IP地址不被盗用呢?我们可采用IP/MAC地址捆绑的方法,即将每一个合法用户的计算机网卡的MAC地址(俗称网卡号或网卡地址与分配给该计算机的IP地址一一对应的输入到该计算机所连接的交换机的地址解析表中。为此我们必须了解地址解析协议ARP[1](Address Resolution Protocol)的工作原理,在底层的网络通信中,两个节点想要相互通信,必须先要知道源与目标的MAC地址。为了让系统能快速地找到一个远程节点的MAC地址,每一个本地的内核都保存有一个即时的查询表(称为ARP缓存)。ARP中有影射远程主机的IP地址到其对应的MAC地址的一个列表。地址解析协议(ARP)缓存是一个常驻内存的数据结构,其中的内容是由本地系统的内核来管理和维护的。默认的情况下,ARP缓存中保留有最近十分钟本地系统与之通信的节点的IP地址(和对应的MAC地址)。当一个远程主机的MAC地址存在于本地主机的ARP 缓存中,转换远程节点的IP地址为MAC地址不会遇到问题。然而在许多情况下,远程主机的MAC地址并不存在于本地的ARP缓存中,系统会怎么处理呢?在知道一个远程主机的IP地址,但是MAC地址不在本地的ARP缓存中的时候,以下的过程用来获取远程节点的MAC地址:本地主机发送一个广播包给网络中的所有的节点,询问是否有对应的IP地址。一个节点(只有一个)会回答这个ARP广播信息。在回应的信息包里就会包含有这个远程主机的MAC地址。在收到这个返回包后,本地节点就会在本地ARP缓存中记录远程节点的MAC地址。如果我们将IP/MAC地址一一对应关系在交换机中建立成固定的,也就是对那些合法IP地址建立静态的MAC一一对应关系,那么即使非法用户盗用了IP地址,虽然它的IP地址能够进入交换机端口,但交换机在回应这些IP发出的连接请求时,不会通过ARP协议询问其MAC地址,而是使用交换机建立的静态MAC地址,使盗用IP者得不到应答数据,从而不能获得所需的网络服务,这样可以防止合法用户的IP地址被盗用。
③ IP地址过滤,控制对Internet的访问
在交换机的第二层做到了IP/MAC地址的捆绑,可防止IP地址被盗用,但还不能控制哪些IP允许访问外部网络,哪些IP只能访问内部网络,这一问题需要在交换机的第三层设置访问控制列表(ACL)来解决。ACL通过在路由器的接口上控制是否转发或阻止路由包来过滤信息包。路由器检查每一个路由包并基于访问控制列表(ACL)中指定的规则来决定是否转发或丢弃这个包[2]。通过ACL对IP的过滤可达到控制访问外部网络的IP。对于具有第三层交换能力的路由交换机来说都可以使用该方法达到控制的目的。
4. 解决方案实例
我院是以Intranet模式构造的较大型的校园网络,有用户数近四千个,网络信息点直接接入了学生寝室,学院网络可为全院师生提供E-mail、FTP、WWW等Internet常规服务,为教学服务还提供了网上视频点播和直播、网上图书馆以及文件服务器等网络服务。
连接学生寝室的主要设备是北电的Accelar Bay1100三层交换机,按寝室楼划分成多个VLAN[3],以减少整个网上的广播数据并将他们与行政办公及教师子网分开以保证安全性。使用凯创的路由交换机SR2000,即作为校园网络内部(学生寝室子网,机房子网,行政办公及教师子网,服务器子网)的内部路由,又作为连接Internet的边缘路由器。
以太网是基于CSMA/CD机制的网络,不可避免的会产生包的广播和冲突,学生寝室的机器数量较多,产生的数据广播占用了大量的带宽,极大的影响了网络的性能,Accelar Bay1100支持基于端口的VLAN划分,并在交换机内集成了路由器的功能(第三层交换),我们将学生寝室网段按寝室楼划分VLAN子网,再利用集成的路由器功能,建立起即相互独立,又能相互通信的VLAN子网,这样做,有效的减少了网络的广播通信量,提高了网络的总体性能。
学院网络通过宽带连接到Internet后,内部局域网上所有的机器均可访问Internet,为了对学生寝室网络进行控制,使收费用户连接Internet, 普通用户上学院内部网络,需要建立一定的合法IP地址列表, 使IP地址与学生网卡MAC地址捆绑,在连接Internet的边缘路由器SR2000中建立ACL(访问控制列表),使内部合法IP通过NAT转换为Internet上的公用地址。具体做法是:
① Accelar Bay1100上的IP/MAC地址捆绑
在Accelar Bay1100上有一条命令用来建立静态的ARP对照表:
add ports <value> ip <value> mac <value> [vlan <value>]
其中ports <value>为交换机的端口号,表示为<端口号/槽号>;vlan <value>为该IP所在的虚网;例如:
现有一个IP地址172.18.34.25分配给MAC地址为0050BA719E97,其所在虚网为VLAN1,连接交换机的端口号为3/2,则建立静态ARP表的命令是:
add ports 3/2 ip 172.18.34.25 mac 0050BA719E97 vlan 1
② 网络地址转换(NAT)与IP过滤
NAT(Network address translation) 的功能就是指将使用私有地址的网络与公有网络Internet相连,使用私有地址的内部网络通过NAT路由器发送数据时,私有地址将被转换为合法注册的IP地址从而可以与Internet上的其他主机进行通讯。NAT地址转换有两种主要类型:静态转换(Static Translation),动态转换(Dynamic Translations)。
静态转换是最简单的一种转换方式,它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目,映射唯一的全局地址,内部地址与全局地址一一对应。
动态转换,它将可用的全局地址地址集定义成NAT池(NAT pool)。对于要与外界进行通信的内部节点,如果还没有建立转换映射,NAT路由器将会动态的从NAT池中选择全局地址对内部地址进行转换。每个转换条目在连接建立时动态建立,而在连接终止时会被回收,这样,网络的灵活性大大增强了,所需要的全局地址也可进一步的减少。
SR2000路由交换机支持在动态NAT转换中运用ACL策略,即可以通过ACL(访问控制列表)来对内部地址访问外部网络时进行过滤,从而保证只有缴费用户的合法IP地址才能通过NAT转换为外部Internet的公用地址。如图所示:
例如:172.18.34.1和172.18.34.2为合法地址,可以访问Internet。而地址172.18.34.3的用户没有缴费,因此不允许访问Internet。可在SR2000建立名为local的ACL访问列表:
acl local permit ip 172.18.34.1
acl local permit ip 172.18.34.2
acl local deny ip any
再通过建立动态NAT转换:
nat create dynamic local-acl-pool local global-pool 202.107.208.71
把访问控制列表 local里定义的IP地址作为内部地址池, 这里202.107.208.71是一个合法的公网上的IP地址,从而将内部的合法IP转换成外部IP,这样就使得只有缴费用户的IP地址才能访问Internet,而没缴费的其它内部IP只能访问内部网络而不能访问外部网。
资料
[1]TCP/IP for NT Server 4 学习指南 [美]Tood Lammle Monica Lammle James Chellis著 王应超 史宗海 等译 出版社 北京
[2]网络核心技术内幕 Cisco 网络安全解决方案 (上册)[美]Cisco Systems公司 著 希望图书创作室 译 北京希望电子出版社 北京
[3] Accelar Bay1100 文档资料
