广州分院计算机网是中科院
户接入和网络应用的开展,在运
建立了相应的管理制度,一些问
,仍不能得到解决,网管人员为
网络整体安全考虑,边界路由器
在边界路由器上,将不利于网络
的。解决问题只能在广州分院网
|
"百所联网"二期工程的一部分,网络
行、管理中碰到不少问题。虽然已逐
题也得以解决和控制,但对防止一些
此花费不少精力。当时曾想在边界路
管理权由院网络中心控制,对二级节
监控及管理,对可能发生的一些事件
络中心设备上入手。
|
中心设备于1998年初安装运行,随着用
渐完善网络中心设备及服务器的配置和
不守法用户经常采用未授权IP上网问题
由器上做IP-MAC绑定,但由于CSTNET从
点的广州分院网来说,如把IP-MAC绑定
无法做出快速反应,因此实际是不可行
|
由于4500只配高速口f0,其
网形成"平构式"结构,对防止IP
|
余为异步口,使得边界路由Cisco 25
盗用问题造成先天不足。
|
14只能接入Catalyst3200,和所有局域
|
从分析Catalyst 3200虚网
4500路由器的高速口支持ISL(In
有力的技术保证。通过对Cataly
、网络通信负载尽量均衡原则,
的高速口连接--路由,再把IP-M
|
功能上可见,除了虚网功能本身的优
terSwitch Link)及VTP(VLAN TRUNK
st 3200的端口进行虚网设置,再跟
把所有网络用户纳入不同虚拟子网,
AC绑定在Cisco 4500上就可能达到预
|
点外,Catalyst 3200 交换机与Cisco
PROTOCOL),这对强化网络管理提供
据网络用户所在的物理位置、工作性质
各子网经 Catalyst 3200与Cisco 4500
期目的。
|
1).Catalyst 3200交换机上VLAN及VTP的配置
|
经超级终端进入Catalyst 3200控台
|
a).设置VLAN管理域 进入"SET VTP AND···
管理域名"GIETNET";VTP方式为"SERVER"。
|
· ",选"VTP ADMINISTRATION CONFIGURATION" 设置VALN
|
b).设置VLAN及TRUNK: 将
原则分配VLAN,将这些端口进行
|
所有子网的交换机、HUB上连至Catal
虚网划分如下:
|
yst 3200的10MB或100MB口,并按上述
|
本项设置是从控制台的CONFIGURATION选定"LO
指定,并把所有的3个VLAN填入TRUNK口的配置单中
|
CAL VLAN PROT CONFIGURATION",进行VLAN及TRUNK口的
,最后显示如下
|
把Cisco 4500的f0口按子网
相应子网进行逻辑连接。在本例
令如下:
|
数"分割"成相应的"子口", 根据其
中,f0被分割为f0.1、f0.2、f0.3与
|
设置的ISL(InterSwitch Link)号,与
VLAN1、VLAN2、VLAN3连接,其配置命
|
| router(config-subif)#Description VLAN1_GIET |
router(config-subif)#ip
|
address 192.168.111.1 255.255.25
|
5.192
|
| router(config-subif)#encapsulation isl 2 |
router(config-subif)#Des
|
cription VLAN2_gzbnic
|
router(config-subif)#ip addess 192.168.1
|
11.65 255.255.255.192
|
| router(config-subif)#encapsulation isl 3 |
设置完毕,再请北京网络中心把边界路由器中
网路由器地址设定。
|
有关子网路由项全部指向Cisco 4500,用户的网关按其子
|
为强化网络管理防止IP盗用
址进行绑定,对于未用的IP也进
|
,在Cisco 4500路由器上建立ARP表
行绑定,如:
|
,将所有子网的IP与相应的网卡MAC地
|
ARP 192.168.111.130 0800
|
.3c5d.419f ARPA (已分配的IP有网
|
卡地址)
|
ARP 192.168.111.169 0000.0000.0000 ARPA
|
(未分配的IP无网卡地址)
|
当注册网络用户需更换网卡
述);另外可按具体情况设置访
|
时,需得到网管人员的确认、同意,
问控制列表等安全管理措施。
|
对企图非法盗用者将无法进行(参见下
|
| 经过虚网设置和IP-MAC绑定结合, 网络系统的特点: |
| 合理分配网络资源,均衡网络负载,有效降低网上广播信息,方便对用户的分组管理。 |
由于网络各子网相互隔离,
端口,加強了Cisco 4500对全网
|
网络通讯限制在子网内;子网间的交
的控制能力,并由4500上的ARP表进行
|
通或出境的通讯全部通过其相应的路由
用户IP的合法性核查。
|
如2)所述,由于虚网的配置加上Cisco 4500的
难,理由是这种配置结构下,即使想盗用,其通讯
加大) ;Cisco 4500上的IP-MAC的匹配核查,使得
理记费和有效提高网络管理、控制能力。
|
IP-MAC的匹配检查,使得IP盗用比一般的地址绑定更为困
也只限于本子网内(活动范围大大减少,被当场抓获可能性
有计费的IP盗用无法进行(盗用变得无意义),从而达到合
|
本工作于去年完成,运行稳
|
定,满足要求。华教公司的田戈先生
|
对方案提供宝贵意见,在此表示感谢。
|
1).VLAN TRUNK PROTOCOL(VTP):用VTP设置
息,其范围包括所有TRUNK连接,如交换互连(ISL
期性地送出VTP配置请求,直至接到近邻的配置(s
换机的VTP配置有三种模式:服务器、客户和透明
|
和管理整个域内的VLAN,在管理域内VTP自动发布配置信
)、802.10和ATMLAN(LANE) 当交换机加电时,它会周
ummary)广播信息,从而进行结构配置必要的更新。 交
模式。
|
2).ISLTRUNK ISL中继不同
|
的VLAN多路包,包头带有"ISL VLAN
|
数"标志(VTP VLAN ID)。
|
| |
