1 高校機(jī)房通信的模擬

    現(xiàn)今高校都有很多供給學(xué)生上機(jī)或?qū)嵱?xùn)的機(jī)房，單獨(dú)的一個機(jī)房儼然就是一個封閉的局域網(wǎng)，但機(jī)房人員為了工作需求通常都將幾個機(jī)房的局域網(wǎng)通過交換機(jī)或路由器連接到服務(wù)器，以便于在每次使用機(jī)房舉辦各種計(jì)算機(jī)等級考試的時候能統(tǒng)一的進(jìn)行部署，各個機(jī)房之間的相互通信及機(jī)房與服務(wù)器之間的通信就有了安全的問題，如：有些機(jī)房只允許訪問服務(wù)器不能訪問其他機(jī)房，有些機(jī)房必須和其他機(jī)房實(shí)現(xiàn)通信，采用虛擬局域網(wǎng)(VLAN)和訪問控制列表(ACL)技術(shù)能很好的解決各種通信的需求，例如某高校機(jī)房拓?fù)鋱D，見圖1。

    數(shù)據(jù)庫機(jī)房的網(wǎng)段為192．168．2．0／24

    多媒體機(jī)房的網(wǎng)段為192．168．3．0／24

    軟件工程機(jī)房的網(wǎng)段為192．168．4．0124

    網(wǎng)絡(luò)工程機(jī)房的網(wǎng)段為192．168．5．0／24

    服務(wù)器IP地址為：192．168．1．254

圖1某高校機(jī)房拓?fù)鋱D示

2 機(jī)房通信過程存在的問題及解決方案

    在日常的教學(xué)活動中，服務(wù)器需要實(shí)時監(jiān)控各個機(jī)房的運(yùn)行，同時，出于實(shí)驗(yàn)的需要必須讓軟件工程機(jī)房與數(shù)據(jù)庫機(jī)房能相互通信，其他機(jī)房之間不能相互通信，以避免影響各個機(jī)房間的教學(xué)活動。

    2．1 VLAN的創(chuàng)建

    2．1．1為每個機(jī)房分配獨(dú)立的VLAN VLAN就是將局域網(wǎng)上的用戶或資源按照一定的原則進(jìn)行劃分，把一個物理網(wǎng)絡(luò)劃分為若干個小的“邏輯網(wǎng)絡(luò)”，這種小的邏輯網(wǎng)絡(luò)就是虛擬局域網(wǎng)，虛擬局域網(wǎng)實(shí)際上就是一種利用交換機(jī)對局域網(wǎng)進(jìn)行邏輯分段的技術(shù)，交換機(jī)可以把一個局域網(wǎng)(LAN)劃分為若干個相對獨(dú)立的邏輯網(wǎng)絡(luò)，每個邏輯網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)可以直接通信，不同邏輯網(wǎng)絡(luò)的計(jì)算機(jī)之間不能直接通信，除非通過路由器或三層交換機(jī)設(shè)備。

    本文不列舉VLAN的實(shí)際配置過程，通過交換機(jī)的VLAN命令可以分別在數(shù)據(jù)庫機(jī)房創(chuàng)建VLAN1O，多媒體機(jī)房創(chuàng)建VLAN 20，軟件工程機(jī)房創(chuàng)建VLAN 30，網(wǎng)絡(luò)工程機(jī)房創(chuàng)建VLAN 40同時在核心交換機(jī)上創(chuàng)建對應(yīng)的VLAN，即同時創(chuàng)建VLAN 10、VLAN20、VLAN 30、VLAN 40。

    2．1．2 對每個機(jī)房交換機(jī)與核心交換機(jī)的接口配置為Trunk模式當(dāng)兩臺或兩臺以上的交換機(jī)相連后，在沒有劃分VLAN時，連接在各交換機(jī)上的所有計(jì)算機(jī)都可以直接通信，但劃分VLAN后，只有屬于同一個VLAN的計(jì)算機(jī)間可以通信，為了實(shí)現(xiàn)不同交換機(jī)中同一VLAN間的計(jì)算機(jī)可以相互通信，就要將交換機(jī)之間相連的端口定義為Trunk(干線)模式，而交換機(jī)間相連的線稱為VLAN中繼或VLAN干線。

    在交換機(jī)相互連接的端口上配置中繼模式，可使不同VLAN的數(shù)據(jù)幀通過該中繼鏈路進(jìn)行傳輸。

    2．1.3 配置網(wǎng)關(guān)地址在核心交換機(jī)上為每個VLAN配置網(wǎng)關(guān)地址，按照VLAN順序分別配為192．168．2．1、192．168．3．1、192．168．4．1、192．168．5．1之后在核心交換機(jī)上輸人IP ROUTING命令開通SVI功能．要實(shí)現(xiàn)VLAN間計(jì)算機(jī)的相互通信，除了使用路由器外，利用三層交換機(jī)的路由功能也可以實(shí)現(xiàn)VLAN間的通信．方法是通過在三層交換機(jī)上配置SVI(交換機(jī)虛擬接口)，即為不同的VLAN編號配置IP地址，不過在配置三層交換機(jī)的SVI之前，先要在交換機(jī)的全局配置模式下使用IP Routing命令啟用三層交換機(jī)的路由功能．如此各個機(jī)房之間及機(jī)房與服務(wù)器均能相互通信。

    2．2 在三層交換機(jī)上配置訪問控制列表(ACL)

    訪問控制列表技術(shù)是一種重要的軟件防火墻技術(shù)，配置在網(wǎng)絡(luò)互聯(lián)設(shè)備上，為網(wǎng)絡(luò)提供安全保護(hù)功能，訪問控制列表中包含了一組安全控制和檢查的命令列表，一般應(yīng)用在交換機(jī)或者路由器接口上，這些指令列表告訴路由器哪些數(shù)據(jù)包可以通過，哪些數(shù)據(jù)包需要拒絕，至于什么樣特征的數(shù)據(jù)包被接收還是被拒絕，可以由數(shù)據(jù)包中攜帶的源地址、目的地址、端口號、協(xié)議等包的特征信息來決定，訪問控制列表技術(shù)通過對網(wǎng)絡(luò)中所有的輸入和輸出訪問數(shù)據(jù)流進(jìn)行控制，過濾掉網(wǎng)絡(luò)中非法的未授權(quán)的數(shù)據(jù)服務(wù)，限制通過網(wǎng)絡(luò)中的流量流，對通信信息起到控制的手段，提高網(wǎng)絡(luò)安全性能。

    定義訪問列表的步驟：第一步：定義規(guī)則(哪些數(shù)據(jù)允許通過，哪些不允許)；第二步：將規(guī)則應(yīng)用在設(shè)備接口／VLAN上。

    訪問控制列表的分類：

    ① 標(biāo)準(zhǔn)ACL，標(biāo)準(zhǔn)訪問控制列表基于源IP地址進(jìn)行判定拒絕或允許數(shù)據(jù)包通過，其訪問列表編號范圍從1到99。

    ② 擴(kuò)展ACL，擴(kuò)展控制列表比標(biāo)準(zhǔn)控制列表具有更多的匹配項(xiàng)，它能夠基于協(xié)議類型、源地址、目的地址、源端口、目的端口等來控制數(shù)據(jù)包是流人還是流出，其訪問列表編號范圍從100到199。

    ③命名ACL(標(biāo)準(zhǔn)／擴(kuò)展)，所謂命名控制列表是用列表名稱代替列表編號來定義訪問控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過濾的語句與編號方式的訪問列表相同。

    ACL定義的基本準(zhǔn)則：一切未被允許的就是禁止的，路由器缺省允許所有的信息流通過；防火墻缺省封鎖所有的信息流，對希望提供的服務(wù)逐項(xiàng)開放，按規(guī)則鏈來進(jìn)行匹配，使用源地址、目的地址、源端口、目的端口、協(xié)議、時間段進(jìn)行匹配從頭到尾，至頂向下的匹配方式。

    2．3 ACL的定義

    依據(jù)ACL的定義規(guī)則，采用擴(kuò)展ACL的定義方法在核心交換機(jī)上分別定義四條ACL：

    第一條：access—list 100 deny ip 192．168.3．0 0．0．0．255 192．168．2．0 0．0．0．255

    access-list 100 deny ip 192．168．5．O 0．O．0．255 192．168．2．0 0．0．0．255

    access-list 100 permit ip any any

    此條ACL有三條語句，實(shí)現(xiàn)拒絕192．168．3．0網(wǎng)段和192．168．5．0網(wǎng)段訪問的功能．

    第二條：access—list 101 deny ip 192．168．2．0 0．0．0．255 192．168．3．0 0．0．0．255

    access-list 101 deny ip 192．168．4．0 0．0．0．255 192．168．3．0 0．0．0．255

    access-list 101 deny ip 192．168．5．0 O．O．0．255 192．168_3．0 0．0．0．255

    access-list 101 permit ip any any

    該ACL有四條語句，實(shí)現(xiàn)拒絕192．168．2．0網(wǎng)段、192．168．4．0網(wǎng)段和192．168．5．0網(wǎng)段訪問的功能．

    第三條：access—list 102 deny ip 192．168-3．0 0．0．0．255 192．168．4．0 0．0．0255

    access—list 102 deny ip 192．168．5．0 0．0．0．255 192．168．4．0 0．0．0255

    access—-list 1 02 permit ip any any

    該語句實(shí)現(xiàn)拒絕192．168．3．0網(wǎng)段和192．168．5．0網(wǎng)段訪問的功能．

    第四條：access—list 103 deny ip 192．168．2．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 deny ip 192．168-3．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 deny ip 192．168．4．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 perm it ip any any

    該語句實(shí)現(xiàn)拒絕192．168．2．0網(wǎng)段、192．168．3．0網(wǎng)段和192．168．4．0網(wǎng)段訪問的功能。

    2．4 ACL的使用

    定義完四條ACL命令后，執(zhí)行ACL定義的第二步，將所定義的規(guī)則應(yīng)用在設(shè)備接口上，規(guī)則的應(yīng)用可以應(yīng)用在物理接口也可以應(yīng)用在邏輯接口，本例討論應(yīng)用在邏輯接口的方法，在三層交換機(jī)上對每個VLAN應(yīng)用相應(yīng)的ACL命令，語句如下：

    Int vlan 10 Int vlan 30

    Ip access-group 100 out Ip access-group 102 out

    Int vlan 20 Int vlan40

    Ip access-group 101 out Ip access-group 103 out

    以上語句把定義好的編號為100、101、102、103的ACL分別應(yīng)用在vlan 10、vlan 20、vlan 30、vlan 40的接口上，就能實(shí)現(xiàn)各個機(jī)房之間均能與服務(wù)器相互通信，機(jī)房之間除了數(shù)據(jù)庫機(jī)房與軟件工程機(jī)房能相互通信外，其余機(jī)房均不能相互通信。

    交換機(jī)的VLAN與ACL技術(shù)是網(wǎng)絡(luò)組建技術(shù)中極為重要的技術(shù)，虛擬局域網(wǎng)(VLAN)是控制廣播風(fēng)暴的有效手段，同時也很好地確保了網(wǎng)絡(luò)安全，訪問控制列表技術(shù)ACL通過對網(wǎng)絡(luò)中所有的輸入和輸出訪問數(shù)據(jù)流進(jìn)行控制，過濾掉網(wǎng)絡(luò)中非法的未授權(quán)的數(shù)據(jù)服務(wù)，限制通過網(wǎng)絡(luò)中的流量流，對通信信息起到控制的手段，提高網(wǎng)絡(luò)安全性能，結(jié)合虛擬局域網(wǎng)(VLAN)與ACL技術(shù)可以很好的實(shí)現(xiàn)網(wǎng)絡(luò)訪問地各種控制。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：使用虛擬局域網(wǎng)和訪問控制列表實(shí)現(xiàn)機(jī)房訪問控制

本文網(wǎng)址：http://www.oesoe.com/html/support/1112155403.html