1 高校機房通信的模擬

    現(xiàn)今高校都有很多供給學(xué)生上機或?qū)嵱?xùn)的機房，單獨的一個機房儼然就是一個封閉的局域網(wǎng)，但機房人員為了工作需求通常都將幾個機房的局域網(wǎng)通過交換機或路由器連接到服務(wù)器，以便于在每次使用機房舉辦各種計算機等級考試的時候能統(tǒng)一的進行部署，各個機房之間的相互通信及機房與服務(wù)器之間的通信就有了安全的問題，如：有些機房只允許訪問服務(wù)器不能訪問其他機房，有些機房必須和其他機房實現(xiàn)通信，采用虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)技術(shù)能很好的解決各種通信的需求，例如某高校機房拓撲圖，見圖1。

    數(shù)據(jù)庫機房的網(wǎng)段為192．168．2．0／24

    多媒體機房的網(wǎng)段為192．168．3．0／24

    軟件工程機房的網(wǎng)段為192．168．4．0124

    網(wǎng)絡(luò)工程機房的網(wǎng)段為192．168．5．0／24

    服務(wù)器IP地址為：192．168．1．254

圖1某高校機房拓撲圖示

2 機房通信過程存在的問題及解決方案

    在日常的教學(xué)活動中，服務(wù)器需要實時監(jiān)控各個機房的運行，同時，出于實驗的需要必須讓軟件工程機房與數(shù)據(jù)庫機房能相互通信，其他機房之間不能相互通信，以避免影響各個機房間的教學(xué)活動。

    2．1 VLAN的創(chuàng)建

    2．1．1為每個機房分配獨立的VLAN VLAN就是將局域網(wǎng)上的用戶或資源按照一定的原則進行劃分，把一個物理網(wǎng)絡(luò)劃分為若干個小的“邏輯網(wǎng)絡(luò)”，這種小的邏輯網(wǎng)絡(luò)就是虛擬局域網(wǎng)，虛擬局域網(wǎng)實際上就是一種利用交換機對局域網(wǎng)進行邏輯分段的技術(shù)，交換機可以把一個局域網(wǎng)(LAN)劃分為若干個相對獨立的邏輯網(wǎng)絡(luò)，每個邏輯網(wǎng)絡(luò)內(nèi)的計算機可以直接通信，不同邏輯網(wǎng)絡(luò)的計算機之間不能直接通信，除非通過路由器或三層交換機設(shè)備。

    本文不列舉VLAN的實際配置過程，通過交換機的VLAN命令可以分別在數(shù)據(jù)庫機房創(chuàng)建VLAN1O，多媒體機房創(chuàng)建VLAN 20，軟件工程機房創(chuàng)建VLAN 30，網(wǎng)絡(luò)工程機房創(chuàng)建VLAN 40同時在核心交換機上創(chuàng)建對應(yīng)的VLAN，即同時創(chuàng)建VLAN 10、VLAN20、VLAN 30、VLAN 40。

    2．1．2 對每個機房交換機與核心交換機的接口配置為Trunk模式當兩臺或兩臺以上的交換機相連后，在沒有劃分VLAN時，連接在各交換機上的所有計算機都可以直接通信，但劃分VLAN后，只有屬于同一個VLAN的計算機間可以通信，為了實現(xiàn)不同交換機中同一VLAN間的計算機可以相互通信，就要將交換機之間相連的端口定義為Trunk(干線)模式，而交換機間相連的線稱為VLAN中繼或VLAN干線。

    在交換機相互連接的端口上配置中繼模式，可使不同VLAN的數(shù)據(jù)幀通過該中繼鏈路進行傳輸。

    2．1.3 配置網(wǎng)關(guān)地址在核心交換機上為每個VLAN配置網(wǎng)關(guān)地址，按照VLAN順序分別配為192．168．2．1、192．168．3．1、192．168．4．1、192．168．5．1之后在核心交換機上輸人IP ROUTING命令開通SVI功能．要實現(xiàn)VLAN間計算機的相互通信，除了使用路由器外，利用三層交換機的路由功能也可以實現(xiàn)VLAN間的通信．方法是通過在三層交換機上配置SVI(交換機虛擬接口)，即為不同的VLAN編號配置IP地址，不過在配置三層交換機的SVI之前，先要在交換機的全局配置模式下使用IP Routing命令啟用三層交換機的路由功能．如此各個機房之間及機房與服務(wù)器均能相互通信。

    2．2 在三層交換機上配置訪問控制列表(ACL)

    訪問控制列表技術(shù)是一種重要的軟件防火墻技術(shù)，配置在網(wǎng)絡(luò)互聯(lián)設(shè)備上，為網(wǎng)絡(luò)提供安全保護功能，訪問控制列表中包含了一組安全控制和檢查的命令列表，一般應(yīng)用在交換機或者路由器接口上，這些指令列表告訴路由器哪些數(shù)據(jù)包可以通過，哪些數(shù)據(jù)包需要拒絕，至于什么樣特征的數(shù)據(jù)包被接收還是被拒絕，可以由數(shù)據(jù)包中攜帶的源地址、目的地址、端口號、協(xié)議等包的特征信息來決定，訪問控制列表技術(shù)通過對網(wǎng)絡(luò)中所有的輸入和輸出訪問數(shù)據(jù)流進行控制，過濾掉網(wǎng)絡(luò)中非法的未授權(quán)的數(shù)據(jù)服務(wù)，限制通過網(wǎng)絡(luò)中的流量流，對通信信息起到控制的手段，提高網(wǎng)絡(luò)安全性能。

    定義訪問列表的步驟：第一步：定義規(guī)則(哪些數(shù)據(jù)允許通過，哪些不允許)；第二步：將規(guī)則應(yīng)用在設(shè)備接口／VLAN上。

    訪問控制列表的分類：

    ① 標準ACL，標準訪問控制列表基于源IP地址進行判定拒絕或允許數(shù)據(jù)包通過，其訪問列表編號范圍從1到99。

    ② 擴展ACL，擴展控制列表比標準控制列表具有更多的匹配項，它能夠基于協(xié)議類型、源地址、目的地址、源端口、目的端口等來控制數(shù)據(jù)包是流人還是流出，其訪問列表編號范圍從100到199。

    ③命名ACL(標準／擴展)，所謂命名控制列表是用列表名稱代替列表編號來定義訪問控制列表，同樣包括標準和擴展兩種列表，定義過濾的語句與編號方式的訪問列表相同。

    ACL定義的基本準則：一切未被允許的就是禁止的，路由器缺省允許所有的信息流通過；防火墻缺省封鎖所有的信息流，對希望提供的服務(wù)逐項開放，按規(guī)則鏈來進行匹配，使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進行匹配從頭到尾，至頂向下的匹配方式。

    2．3 ACL的定義

    依據(jù)ACL的定義規(guī)則，采用擴展ACL的定義方法在核心交換機上分別定義四條ACL：

    第一條：access—list 100 deny ip 192．168.3．0 0．0．0．255 192．168．2．0 0．0．0．255

    access-list 100 deny ip 192．168．5．O 0．O．0．255 192．168．2．0 0．0．0．255

    access-list 100 permit ip any any

    此條ACL有三條語句，實現(xiàn)拒絕192．168．3．0網(wǎng)段和192．168．5．0網(wǎng)段訪問的功能．

    第二條：access—list 101 deny ip 192．168．2．0 0．0．0．255 192．168．3．0 0．0．0．255

    access-list 101 deny ip 192．168．4．0 0．0．0．255 192．168．3．0 0．0．0．255

    access-list 101 deny ip 192．168．5．0 O．O．0．255 192．168_3．0 0．0．0．255

    access-list 101 permit ip any any

    該ACL有四條語句，實現(xiàn)拒絕192．168．2．0網(wǎng)段、192．168．4．0網(wǎng)段和192．168．5．0網(wǎng)段訪問的功能．

    第三條：access—list 102 deny ip 192．168-3．0 0．0．0．255 192．168．4．0 0．0．0255

    access—list 102 deny ip 192．168．5．0 0．0．0．255 192．168．4．0 0．0．0255

    access—-list 1 02 permit ip any any

    該語句實現(xiàn)拒絕192．168．3．0網(wǎng)段和192．168．5．0網(wǎng)段訪問的功能．

    第四條：access—list 103 deny ip 192．168．2．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 deny ip 192．168-3．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 deny ip 192．168．4．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 perm it ip any any

    該語句實現(xiàn)拒絕192．168．2．0網(wǎng)段、192．168．3．0網(wǎng)段和192．168．4．0網(wǎng)段訪問的功能。

    2．4 ACL的使用

    定義完四條ACL命令后，執(zhí)行ACL定義的第二步，將所定義的規(guī)則應(yīng)用在設(shè)備接口上，規(guī)則的應(yīng)用可以應(yīng)用在物理接口也可以應(yīng)用在邏輯接口，本例討論應(yīng)用在邏輯接口的方法，在三層交換機上對每個VLAN應(yīng)用相應(yīng)的ACL命令，語句如下：

    Int vlan 10 Int vlan 30

    Ip access-group 100 out Ip access-group 102 out

    Int vlan 20 Int vlan40

    Ip access-group 101 out Ip access-group 103 out

    以上語句把定義好的編號為100、101、102、103的ACL分別應(yīng)用在vlan 10、vlan 20、vlan 30、vlan 40的接口上，就能實現(xiàn)各個機房之間均能與服務(wù)器相互通信，機房之間除了數(shù)據(jù)庫機房與軟件工程機房能相互通信外，其余機房均不能相互通信。

    交換機的VLAN與ACL技術(shù)是網(wǎng)絡(luò)組建技術(shù)中極為重要的技術(shù)，虛擬局域網(wǎng)(VLAN)是控制廣播風暴的有效手段，同時也很好地確保了網(wǎng)絡(luò)安全，訪問控制列表技術(shù)ACL通過對網(wǎng)絡(luò)中所有的輸入和輸出訪問數(shù)據(jù)流進行控制，過濾掉網(wǎng)絡(luò)中非法的未授權(quán)的數(shù)據(jù)服務(wù)，限制通過網(wǎng)絡(luò)中的流量流，對通信信息起到控制的手段，提高網(wǎng)絡(luò)安全性能，結(jié)合虛擬局域網(wǎng)(VLAN)與ACL技術(shù)可以很好的實現(xiàn)網(wǎng)絡(luò)訪問地各種控制。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：使用虛擬局域網(wǎng)和訪問控制列表實現(xiàn)機房訪問控制

本文網(wǎng)址：http://www.ezxoed.cn/html/support/1112155403.html