谈交换机在校园网中的应用与配置

2011-07-20 02:51杜玉林
武汉船舶职业技术学院学报 2011年2期
关键词:层交换机一卡通校园网

杜玉林

(武汉交通职业学院,湖北武汉 430065)

1 本院校园网的基本情况

我院新校园网络于2007年完成第一期规划建设并投入使用,目前主要包含各楼层办公网络、机房、图书馆等。

整个校园网络采用了核心——汇聚——接入的分层结构,核心交换机与汇聚交换机之间采用光纤千兆互联,汇聚交换机与楼宇接入交换机之间采用百兆互联,接入交换机到桌面信息点采用百兆互联。在入侵防御上,采用天融信防火墙,做端口过滤策略。为合理分配有限的资源,在出口做了网络流量监控设置。为使公网用户通过Internet访问内网,在网络边界做了VPN设置。出口采用双出口,分别接入CERNET(中国教育网)和中国电信,由F5设备作均衡负载。核心交换机与公网服务器、内网服务器、一卡通服务器三大服务器群之间采用千兆互联。核心交换机与IPSAN及FCSAN存储设备之间采用千兆互联。

校园网已开通的应用系统有 OA、教务、邮件、科研、财务、FTP、网络防毒、视频服务、BBS等。在已有的校园网基础上建设有一卡通专用网络,一卡通系统可以方便地通过校园卡实现消费和身份认证。学院师生员工还可以通过校园网检索图书馆的借书目录和各种文献资料,或者通过VPN系统通过Internet访问校内资源。

我院校园网的主干网采用千兆以太网的组网方式,拓扑结构采用星型拓扑结构,这一方式性能优越,价格适中,管理方便,见图1。

图1 校园网拓扑结构

2 交换机设备的选型

我院校园网在设备选型上,根据资金情况和实际功能需要,交换机系列采用的是锐捷网络的相关产品。其中核心交换机采用的是RGS7610系列交换机,汇聚层交换机采用的是RGS5760系列交换机,接入层交换机采用的是RGS2924G系列交换机。

在核心交换机的选型上,RG-S7610交换机是一款可以应用在三层的路由交换机,其具备业界领先的硬件CPU保护技术,还具备了冗余管理模块、冗余电源模块等物理安全保障措施。支持10/100/1000/10000M bps的传输速率,支持2457Gbps的背板带宽,支持VLAN技术等。

在汇聚层交换机的选型上,RG-S5760交换机是一款千兆以太网交换机,其具备48Gbps的高交换容量和36Mpps的二三层包转发能力,支持所有端口线速转发。该设备最大提供24端口10/100/1000M电接口、4个复用的SFP千兆光接口,充分满足了本校校园网对高密度千兆口的需求。该设备还支持V LAN技术,具备完善的堆叠扩展能力,极大地节省了用户对设备的投资。

在接入层交换机的选型上,RG-S2924G交换机是一款可以应用在二层上的千兆以太网交换机。该设备具备基本的存储-转发的交换方式,提供24端口的10/100/1000M 的电接口、4个复用的SFP千兆光接口。

3 交换机在校园网中相关功能的实现

在交换技术上,我校校园网主要涉及到ACL(访问控制列表)技术和VLAN(虚拟局域网)技术。针对实际需要,我校校园网在核心交换机和汇聚层交换机上主要做了ACL配置和VLAN的划分。其中访问控制列表技术主要具备安全控制、流量过滤、数据流量标识这三大作用。

一方面,建立访问控制列表的主要任务是保证网络资源不被非法使用和访问,例如通过ACL技术,我们可以限制公网用户访问内网服务器和一卡通服务器等。除此之外,我们还可以利用ACL技术来限制网络流量,提高网络性能,对通信流量起到控制的作用。在路由器的端口上配置访问控制列表后,可以对入站端口、出站端口及通过路由器中继的数据包进行安全检测等。

另一方面,通过V LAN技术,将我校校园网按区域划分成8个不相隶属的子网,分别是行政楼、教师楼、信息楼、实训楼、图书馆、后勤医院、教学楼和食堂8个子网。通过VLAN的划分,一方面大大提高了我校校园网的整体安全性,另一方面也提高了校园网内各部门的工作效率,降低了校园网建设中的成本等等。

4 交换机在校园网中的配置分析

4.1 校园网VLAN划分

本校园网的VLAN划分采用基于核心交换机的端口划分。将整个校园网划分8个VLAN,每个VLAN对应一个子网,划分情况如表1所示。

表1 校园网VLAN划分表

4.2 核心交换机配置

在核心交换机上,主要按区域做VLAN的划分并重命名。将端口号划分到相应的VLAN号中,进VLAN给予相应的IP地址。通过这些配置,以提高校园网的安全性。

(1)实现VLAN功能

Sw itch#con figure terminal

Enter configuration comm ands,one per line.End with CNTL/Z.

Sw itch(con fig-if)#hostname RG-S7610

RG-S7610(config)#vlan 10

RG-S7610(config-vlan)#nam e administration

RG-S7610(config-vlan)#v lan 20

RG-S7610(config-vlan)#name teachers

划分并命名VLAN30 40 50 60 70 80命令类似于VLAN 10,名字分配见表1。

RG-S7610(con fig-vlan)#exit

RG-S7610(config)#interface range fastEthernet 0/1-24

RG-S7610(con fig-if-range)#sw itchport mode access

RG-S7610(config-if-range)#sw itchport access v lan 10

RG-S7610(config-if-range)#exit

RG-S7610(config)#interface range fastEthernet 0/1-24

RG-S7610(config-if-range)#sw itchpo rt mode access

RG-S7610(config-if-range)#sw itchpo rt access v lan 20

RG-S7610(config-if-range)#exit

RG-S7610(config)#interface vlan 10

RG-S7610(config-if)#ip address 192.168.10.1 255.255.255.0

RG-S7610RG-S7610(config-if)#no shutdown

RG-S7610(config-if)#exit

RG-S7610(con fig)#interface vlan 20

RG-S7610(config-if)#ip address 192.168.11.1 255.255.255.0

RG-S7610(con fig-if)#no shutdown

RG-S7610(config-if)#exit

给相应的VLAN号分配IP地址V LAN30 40 50 60 70 80命令类似于V LAN 10,IP地址分配情况见表1。

(2)实现路由功能

RG-S7610(config)#router rip

RG-S7610(config-if)#version 2

RG-S7610(con fig-if)#network 192.168.0.0

(3)实现ACL功能

以下这段命令,实现ACL访问控制列表的配置,意在除了信息楼外,其余办公区域都不能访问一卡通服务器。通过ACL的配置,可以大大的提高网络的安全性。

RG-S7610(config)#access-list 110 deny tcp 192.168.10.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(con fig)#access-list 110 deny tcp 192.168.11.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(con fig)#access-list 110 deny tcp 192.168.13.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.14.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.15.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.16.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 deny tcp 192.168.17.0 0.0.0.255 192.168.3.254 0.0.0.255 eq ftp

RG-S7610(config)#access-list 110 permit ip any any

RG-S7610(config-if)#exit

4.3 汇聚层交换机配置

在行政楼的汇聚层交换机上做V LAN划分功能

Sw itch#configure terminal

Enter configuration comm ands,one per line.End with CNTL/Z.

Sw itch(config-if)#hostname RG-S5760 RG-S5760(config)#vlan 10

RG-S5760(config-vlan)#nam e xingzhenglou

RG-S5760(config-vlan)#exit

RG-S5760(config)#interface range fastEthernet 0/1-24

RG-S5760(con fig-if-range)#sw itchport mode access

RG-S5760(config-if-range)#sw itchpo rt access v lan 10

1 陆魁军.网络实践指南-基于Cisco路由器和交换机[M].北京:清华大学出版社,2007

2 高 峡,李永俊.网络设备互联实验指南[M].北京:科学出版社,2009.

3 杨 靖,刘亮.实用网络技术配置指南初级篇[M].北京:北京希望电子出版社,2006

4 (美)迪尔.Cisco路由器防火墙安全[M].北京:人民邮电出版社,2006

5 (美)奥多姆.思科网络技术学院教程CCNA 2路由器与路由基础[M].北京:人民邮电出版社,2008

猜你喜欢
层交换机一卡通校园网
数字化校园网建设及运行的几点思考
试论最大匹配算法在校园网信息提取中的应用
基于VRRP和MSTP协议实现校园网高可靠性
初识vPC
应用与配置实例
NAT技术在校园网中的应用
巧用批处理查找端口
交换机级联端口被绑之后
基于“一卡通”开发的员工信息识别系统
公共交通一卡通TSM平台研究