1 高校机房通信的模拟
现今高校都有很多供给学生上机或实训的机房,单独的一个机房俨然就是一个封闭的局域网,但机房人员为了工作需求通常都将几个机房的局域网通过交换机或路由器连接到服务器,以便于在每次使用机房举办各种计算机等级考试的时候能统一的进行部署,各个机房之间的相互通信及机房与服务器之间的通信就有了安全的问题,如:有些机房只允许访问服务器不能访问其他机房,有些机房必须和其他机房实现通信,采用虚拟局域网(VLAN)和访问控制列表(ACL)技术能很好的解决各种通信的需求,例如某高校机房拓扑图,见图1。
数据库机房的网段为192.168.2.0/24
多媒体机房的网段为192.168.3.0/24
软件工程机房的网段为192.168.4.0124
网络工程机房的网段为192.168.5.0/24
服务器IP地址为:192.168.1.254
图1某高校机房拓扑图示
2 机房通信过程存在的问题及解决方案
在日常的教学活动中,服务器需要实时监控各个机房的运行,同时,出于实验的需要必须让软件工程机房与数据库机房能相互通信,其他机房之间不能相互通信,以避免影响各个机房间的教学活动。
2.1 VLAN的创建
2.1.1为每个机房分配独立的VLAN VLAN就是将局域网上的用户或资源按照一定的原则进行划分,把一个物理网络划分为若干个小的“逻辑网络”,这种小的逻辑网络就是虚拟局域网,虚拟局域网实际上就是一种利用交换机对局域网进行逻辑分段的技术,交换机可以把一个局域网(LAN)划分为若干个相对独立的逻辑网络,每个逻辑网络内的计算机可以直接通信,不同逻辑网络的计算机之间不能直接通信,除非通过路由器或三层交换机设备。
本文不列举VLAN的实际配置过程,通过交换机的VLAN命令可以分别在数据库机房创建VLAN1O,多媒体机房创建VLAN 20,软件工程机房创建VLAN 30,网络工程机房创建VLAN 40同时在核心交换机上创建对应的VLAN,即同时创建VLAN 10、VLAN20、VLAN 30、VLAN 40。
2.1.2 对每个机房交换机与核心交换机的接口配置为Trunk模式当两台或两台以上的交换机相连后,在没有划分VLAN时,连接在各交换机上的所有计算机都可以直接通信,但划分VLAN后,只有属于同一个VLAN的计算机间可以通信,为了实现不同交换机中同一VLAN间的计算机可以相互通信,就要将交换机之间相连的端口定义为Trunk(干线)模式,而交换机间相连的线称为VLAN中继或VLAN干线。
在交换机相互连接的端口上配置中继模式,可使不同VLAN的数据帧通过该中继链路进行传输。
2.1.3 配置网关地址在核心交换机上为每个VLAN配置网关地址,按照VLAN顺序分别配为192.168.2.1、192.168.3.1、192.168.4.1、192.168.5.1之后在核心交换机上输人IP ROUTING命令开通SVI功能.要实现VLAN间计算机的相互通信,除了使用路由器外,利用三层交换机的路由功能也可以实现VLAN间的通信.方法是通过在三层交换机上配置SVI(交换机虚拟接口),即为不同的VLAN编号配置IP地址,不过在配置三层交换机的SVI之前,先要在交换机的全局配置模式下使用IP Routing命令启用三层交换机的路由功能.如此各个机房之间及机房与服务器均能相互通信。
2.2 在三层交换机上配置访问控制列表(ACL)
访问控制列表技术是一种重要的软件防火墙技术,配置在网络互联设备上,为网络提供安全保护功能,访问控制列表中包含了一组安全控制和检查的命令列表,一般应用在交换机或者路由器接口上,这些指令列表告诉路由器哪些数据包可以通过,哪些数据包需要拒绝,至于什么样特征的数据包被接收还是被拒绝,可以由数据包中携带的源地址、目的地址、端口号、协议等包的特征信息来决定,访问控制列表技术通过对网络中所有的输入和输出访问数据流进行控制,过滤掉网络中非法的未授权的数据服务,限制通过网络中的流量流,对通信信息起到控制的手段,提高网络安全性能。
定义访问列表的步骤:第一步:定义规则(哪些数据允许通过,哪些不允许);第二步:将规则应用在设备接口/VLAN上。
访问控制列表的分类:
① 标准ACL,标准访问控制列表基于源IP地址进行判定拒绝或允许数据包通过,其访问列表编号范围从1到99。
② 扩展ACL,扩展控制列表比标准控制列表具有更多的匹配项,它能够基于协议类型、源地址、目的地址、源端口、目的端口等来控制数据包是流人还是流出,其访问列表编号范围从100到199。
③命名ACL(标准/扩展),所谓命名控制列表是用列表名称代替列表编号来定义访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式的访问列表相同。
ACL定义的基本准则:一切未被允许的就是禁止的,路由器缺省允许所有的信息流通过;防火墙缺省封锁所有的信息流,对希望提供的服务逐项开放,按规则链来进行匹配,使用源地址、目的地址、源端口、目的端口、协议、时间段进行匹配从头到尾,至顶向下的匹配方式。
2.3 ACL的定义
依据ACL的定义规则,采用扩展ACL的定义方法在核心交换机上分别定义四条ACL:
第一条:access—list 100 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 100 deny ip 192.168.5.O 0.O.0.255 192.168.2.0 0.0.0.255
access-list 100 permit ip any any
此条ACL有三条语句,实现拒绝192.168.3.0网段和192.168.5.0网段访问的功能.
第二条:access—list 101 deny ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip 192.168.4.0 0.0.0.255 192.168.3.0 0.0.0.255
access-list 101 deny ip 192.168.5.0 O.O.0.255 192.168_3.0 0.0.0.255
access-list 101 permit ip any any
该ACL有四条语句,实现拒绝192.168.2.0网段、192.168.4.0网段和192.168.5.0网段访问的功能.
第三条:access—list 102 deny ip 192.168-3.0 0.0.0.255 192.168.4.0 0.0.0255
access—list 102 deny ip 192.168.5.0 0.0.0.255 192.168.4.0 0.0.0255
access—-list 1 02 permit ip any any
该语句实现拒绝192.168.3.0网段和192.168.5.0网段访问的功能.
第四条:access—list 103 deny ip 192.168.2.0 0.0.0.255 192.168.5.0 0.0.0255
access-list 103 deny ip 192.168-3.0 0.0.0.255 192.168.5.0 0.0.0255
access-list 103 deny ip 192.168.4.0 0.0.0.255 192.168.5.0 0.0.0255
access-list 103 perm it ip any any
该语句实现拒绝192.168.2.0网段、192.168.3.0网段和192.168.4.0网段访问的功能。
2.4 ACL的使用
定义完四条ACL命令后,执行ACL定义的第二步,将所定义的规则应用在设备接口上,规则的应用可以应用在物理接口也可以应用在逻辑接口,本例讨论应用在逻辑接口的方法,在三层交换机上对每个VLAN应用相应的ACL命令,语句如下:
Int vlan 10 Int vlan 30
Ip access-group 100 out Ip access-group 102 out
Int vlan 20 Int vlan40
Ip access-group 101 out Ip access-group 103 out
以上语句把定义好的编号为100、101、102、103的ACL分别应用在vlan 10、vlan 20、vlan 30、vlan 40的接口上,就能实现各个机房之间均能与服务器相互通信,机房之间除了数据库机房与软件工程机房能相互通信外,其余机房均不能相互通信。
交换机的VLAN与ACL技术是网络组建技术中极为重要的技术,虚拟局域网(VLAN)是控制广播风暴的有效手段,同时也很好地确保了网络安全,访问控制列表技术ACL通过对网络中所有的输入和输出访问数据流进行控制,过滤掉网络中非法的未授权的数据服务,限制通过网络中的流量流,对通信信息起到控制的手段,提高网络安全性能,结合虚拟局域网(VLAN)与ACL技术可以很好的实现网络访问地各种控制。
核心关注:拓步ERP系统平台是覆盖了众多的业务领域、行业应用,蕴涵了丰富的ERP管理思想,集成了ERP软件业务管理理念,功能涉及供应链、成本、制造、CRM、HR等众多业务领域的管理,全面涵盖了企业关注ERP管理系统的核心领域,是众多中小企业信息化建设首选的ERP管理软件信赖品牌。
转载请注明出处:拓步ERP资讯网http://www.toberp.com/