一种基于OSPF路由和Vlan细分的办公网设计

2015-08-02 03:58龚文涛

微型电脑应用 2015年1期

龚文涛

龚文涛

基于高校办公网中网络故障频发和管理压力大的现状，针对办公网对网络安全性和稳定性及管理便捷性的需求，提出一种基于OSPF（Open Shortest Path First）路由协议的办公网络设计，使得网络路由协议配置变得简单，在网络设计中将整栋楼宇单一Vlan规划和ip段细分，强化了网络精细化管理，提升了网络安全和稳定性。

OSPF；网络；Vlan

0 引言

随着校园信息化建设的不断深入，校园网络承载的功能越来越多，信息化校园对校园网的依赖越来越重，要求越来越高，校园网里面运行着各种专网：诸如基于网络的高校的科研管理系统，基于网络的学校无纸化办公系统，基础网络的信息化教学系统等。多业务的迅猛发展和新型应用的普及使得校园网的地位变得越来越重要，使得校园网规模越来越大，结构越来越复杂[1-2]。

各种专网均需要上网，为满足广大用户上网需求，需要配置各种路由协议，之前因为校园网组网规模小，一般是用静态路由，随着校园网络规模增大，静态路由的后期维护及前期配置工作量剧增，而且其要随着新网的组建而不断人工调整，在校园网络成一定规模后，需要一种配置简单且具备自动学习功能的路由协议来保障校园网络畅通，OSPF (Open Shortest Path First开放式最短路径优先）是业内采用较多的协议之一，网络管理者和设计者依托基于IP[2-4]协议和OSPF路由协议使各个校园网的核心主干设备和接入层互联互通，依托光纤链路将全校的交换机设备、路由设备互联互通，将校园网中各个的应用系统汇聚到校园网大平台中[5-6]。

结合各种信息化平台和系统对网络交互的实时性需求：诸如基于网络的办公视频会议等各种新型应用对稳定性需求，使得校园网的管理者对校园网的稳定性和安全性提出了更高的要求。现有的校园网的设计主要是基于局域网技术搭建，在这个过程中，随着网络规模和复杂度的提升，对校园网络的设计和管理提出了更加多元化要求：诸如安全性的要求和精细化管理要求等。早期校园网限于各种因素，对校园网的设计基于粗放管理，一般一个楼就依托一个Vlan互联互通[5]，为后期的网络安全管理和校园网稳定运行[6]埋下了各种隐患。这样隐患随着校园网的进一步发展变得日益明显。随着校园网络规模扩大，因为接入链路有限，广大教工依托自备交换机或小型路由器来拓展局域网，在私自组建的局域网中，容易因为中毒或者路由器错误配置导致其他教工无法正常上网，无法正常依托网络进行信息化办公和科研。在基于大的局域网环境下要解决这些网络故障问题需要维修的流程也是繁琐，给网络管理者带来很多繁重工作，为解决这一难题，依托互联网Vlan（Virtual Local Area Network）细分和相关安全技术来解决故障源头问题，是广大网络建设者和管理者解决问题的有效途径。

本文针对校园网络中某办公楼宇单个大局域网常见的网络故障，总结和分析基于局域网技术的办公网络的建设流程及核心要点，依托细化Vlan来提升网络安全，最终给出了一个基于OSPF路由和Vlan细分的办公网设计，并给出了配置OSPF协议核心代码和配置流程。

1 办公网细化网络管理需求和设计方案

整改的思路和流程包括如下核心步骤：首先，是要明确网络整改的需求；其次，是要做好接入交换机网络设备规划；最后，是要做好汇聚交换机端口规划。

1.1 办公网规划需求和设计方案

某办公楼网络存在如下问题：粗放似配置和诱发各种影响网络安全和稳定的隐患，有个别用户中毒或者反接路由器就会导致其他用户不能够正常获得ip地址进而不能够正常上网，导致维修频率高，给网络后期管理带来诸多不便。

网络规划的初衷是要增强网络安全和稳定，提升用户体验，杜绝用户端中毒和反接路由器对其他人正常办公和学习的影响；此外，改造还要提升网络精细化管理水平，使之前数个楼层共用一个Vlan的现象不再发生，基于大局域网的办公网络架构如图1所示：

图1 基于大局域网的办公网架构

办公网设计方案是将单个大局域网细分为若干个网络，将之前几个接入机房划拨为一个Vlan整改为每个接入交换机拥有单个Vlan，以此来细分和分割原有大局域网。

1.2 基于精细Vlan划分的接入网络规划

接入网络设备规划如下：汇聚交换机位于汇聚机房，通过光纤将信号传递到其辖区的6个接入机房，要进一步细化接入交换机上联端口的Vlan，保证每一个接入机房拥有不同的Vlan。

目前该汇聚下覆盖6个接入机房，共计20多台接入交换机：分别是2楼东南接入机房，涉及4台接入交换机；2楼西南接入机房，涉及2台接入交换机；2楼北机房，涉及4台接入交换机；4楼东南接入机房，涉及3台接入交换机；4楼北接入机房，设计5台接入交换机；4楼西南接入机房，涉及3台接入交换机。

接入机房内部网络拓扑相对简单，通过一台千兆交换机作为主交换机，一个千兆光口上联到汇聚的指定下联千兆端口，其他端口分别级联到本接入机房的其他接入交换机。

1.3 基于精细Vlan划分的汇聚网络端口规划

做好端口的规划，汇聚交换机的端口有限，从方便管理和安全运行的角度考虑，对汇聚端的某个端口下联到某个接入机房的交换机，若是端口和光纤数量和质量允许，可以考虑多路光纤传输以需要整改的汇聚网络拓扑来说，其端口规划如下：

汇聚端口GE2/0/13口下联2层东南接入交换机；汇聚端口GE2/0/14口下联2层西南接入交换机；汇聚端口GE2/0/15口下联4层西南接入交换机；汇聚端口GE2/0/16口下联4层东南接入交换机；汇聚端口GE2/0/17口下联2层北接入交换机；汇聚端口GE2/0/18口下联4层北接入交换机。

2 基于OSPF的细化Vlan办公网设计和配置

要完成基于OSPF的细化Vlan网络全网配置，需在前面章节规划基础上，进一步完成如下核心流程：首先是细化Vlan的设计流程；其次是配置每个用户Vlan下的OSPF路由协议及地址自动分配的命令；最后是完成对管理Vlan的配置。

2.1 基于细化Vlan的办公网设计流程

细化Vlan设计流程主要包括用户Vlan规划和管理Vlan规划，默认的管理Vlan是通过级联口的trunk模式透传，在接入端将用户Vlan中的数据包以静态路由方式发送到管理Vlan的接口网关上，然后在汇聚交换机上面再依靠路由协议寻址和转发，进而保障用户Vlan的网络畅通。细化Vlan设计中要注意如下问题：管理Vlan的ID号默认为1，配置的管理地址不能和其他在线IP地址冲突；用户Vlan的ID号要连续，便于管理。

细化Vlan的id规划从1276到1296近20多个Vlan，ip地址从172.19.72.0网段到172.19.92.0网段，依托细化Vlan和网段的模式，细化后的办公网如图2所示：

图2 基于Vlan细分的办公网架构

将原来办公网络中的2个大Vlan细化为20多个细小Vlan，减小局域网的广播域规模，进而降低了区域内故障主机影响其他主机的概率。

此外，还可在接入交换机端口配置隔离等安全技术进一步提升局域网内的安全和稳定。用户Vlan的配置核心环节需要声明Vlan，需要配置ip地址段，需要为其开启dhcp分配功能，且要指明具体分配ip地址的服务器组，以用户Vlan中id为1276配置为例，其核心配置命令如下：

vlan 1276

des 2F-E-1

interface Vlan-interface1276

ip address 172.19.72.254 255.255.255.0

dhcp select relay

dhcp relay server-select 0

配置完成后，需要将Vlan的permit命令配置到具体的汇聚端口上：

interface GigabitEthernet2/0/13

port link-mode bridge

description link-to-2F-E

port link-type trunk

port trunk permit vlan 1 1276 to 1279

为保证ip地址的自动分配，需要在dhcp服务器上做针对172.19.72.0网段的配置：

subnet 172.19.72.0 netmask 255.255.255.0{

pool {

failover peer "dhcp-failover";

range 172.19.72.1 172.19.72.253;

}

option broadcast-address 172.19.72.255;

option routers 172.19.72.254;

option subnet-mask 255.255.255.0;

option domain-name "upc.edu.cn";

}

2.2 基于OSPF的细化用户Vlan路由协议配置

汇聚网络设备和核心网络设备普遍采用的是基于OSPF的路由协议。各个细分Vlan的OSPF路由协议体配置代码如下：

ospf 1

area 0.4.1.2

network 172.19.72.0 0.0.0.255

network 172.19.73.0 0.0.0.255

network 172.19.74.0 0.0.0.255

network 172.19.75.0 0.0.0.255

network 172.19.76.0 0.0.0.255

network 172.19.77.0 0.0.0.255

network 172.19.78.0 0.0.0.255

network 172.19.79 0 0.0.0.255

network 172.19.80.00.0.0.255

network 172.19.81.0 0.0.0.255

network 172.19.82.0 0.0.0.255

network 172.19.83.0 0.0.0.255

network 172.19.84.0 0.0.0.255

network 172.19.85.0 0.0.0.255

network 172.19.86.0 0.0.0.255

network 172.19.87.0 0.0.0.255

network 172.19.88.0 0.0.0.255

network 172.19.89.0 0.0.0.255

network 172.19.90.0 0.0.0.255

network 172.19.91.0 0.0.0.255

network 172.19.92.0 0.0.0.255

为保障所有用户Vlan能上网，需在汇聚交换机中将所有细化的Vlan网段添加到具体的OSPF的area 0.4.1.2中。

2.3 基于访问控制列表的管理Vlan权限配置

网络管理Vlan的配置要开启SNMP（Simple Network Management Protocol）协议，具体核心配置如下：

snmp-agent

snmp-agent local-engineid local-number

snmp-agent community read public acl 2002

snmp-agent community write private acl 2002

snmp-agent sys-info version all

此外，开启telnet功能及管理权限配置命令如下：

telnet server enable

user-interface vty 0 4

acl 2000 inbound

user privilege level 3

set authentication password cipher 密钥

protocol inbound telnet

通过上述配置后，该接入设备只能通过特定网络的ip网段登陆，输入合法用户名和密钥才能够进行管理，直接管理到交换机。依据精细划分Vlan和网段ip，实现了管理精细化，管理到交换机每一个接入端口的功能，满足精细化管理网络的要求，有效避免了之前一个大局域网下用户对其他众多用户正常上网的干扰，进而保证了细分Vlan网络安全和稳定。

依托精细化网络划分和端口安全隔离手段等手段，降低局域网规模，增强了局域网稳定性，进而保障了整体网络的安全。

3 总结

本文针对办公网的安全隐患问题，提出一种基于OSPF路由协议和Vlan细分的网络规划方案，对学校校园办公楼网络的整体ip段和Vlan号进行了精细化的规划和调整，对所有接入交换机的接入网络端口和Vlan进行整改，减小了单个局域网广播域规模，进一步提升校园网络平台的稳定性和安全性。

[1] Hill B.Cisco完全手册[M].北京:电子工业出版社,2002.

[2] 张宏科.IP路由原理与技术[M].北京:清华大学出版社,2000.72- 94.

[3] 龚文涛.一种基于IP网络的机房视频监控系统规划[J],微型电脑应用,2014(3):48-50.

[4] RichardStevens W.TCP/IP详解[M].北京:机械工业出版社,2000.95- 105.

[5] 赵冶东.路由交换技术[M].北京:清华大学出版社,2011.

[6] 龚文涛.一种基于资源共享的区域教育云的架构设计[J],微型电脑应用,2013(11):41-42.

The Design of Office Network Based on OSPF Routing and Vlan Subdivision

Gong Wentao
(Internet and Education Technology Center, China University of Petroleum (East China), Qingdao 266580, China)

Frequent occurrence of the office network and the network fault management based on pressure, in order to meet the needs of network security and stability and ease of office network management, the paper proposes a network design based on OSPF(Open Shortest Path First）routing protocol, which makes the network routing protocol configuration become simple, and with the network design of the entire building single vlan planning and IP subdivision, strengthening the network of fine management, and improves network security and stability.

OSPF; Network; Vlan

TP393

2014.11.08）

1007-757X(2015)01-0047-03

龚文涛（1984-），男，湖北省潜江市人，中国石油大学（华东）网络及教育技术中心，工程师，工学硕士，研究方向：计算机控制和网络安全，青岛，266580