一、前言
广州分院计算机网是中科院"百所联网"二期工程的一部分,网络中心设备于1998年初安装运行,随着用户接入和网络应用的开展,在运行、治理中碰到不少问题。虽然已逐渐完善网络中心设备及服务器的配置和建立了相应的治理制度,一些问题也得以解决和控制,但对防止一些不守法用户经常采用未授权ip上网问题,仍不能得到解决,网管人员为此花费不少精力。当时曾想在边界路由器上做IP-MAC绑定,但由于CSTNET从网络整体安全考虑,边界路由器治理权由院网络中心控制,对二级节点的广州分院网来说,如把IP-MAC绑定在边界路由器上,将不利于网络监控及治理,对可能发生的一些事件无法做出快速反应,因此实际是不可行的。解决问题只能在广州分院网络中心设备上入手。
二、网络结构配置及解决方案
由于4500只配高速口f0,其余为异步口,使得边界路由Cisco 2514只能接入Catalyst3200,和所有局域网形成"平构式"结构,对防止IP盗用问题造成先天不足。
从分析Catalyst 3200虚网功能上可见,除了虚网功能本身的优点外,Catalyst 3200 交换机与Cisco 4500路由器的高速口支持ISL(InterSwitch Link)及VTP(VLAN TRUNK PROTOCOL),这对强化网络治理提供有力的技术保证。通过对Catalyst 3200的端口进行虚网设置,再跟据网络用户所在的物理位置、工作性质、网络通信负载尽量均衡原则,把所有网络用户纳入不同虚拟子网,各子网经 Catalyst 3200与Cisco 4500的高速口连接--路由,再把IP-MAC绑定在Cisco 4500上就可能达到预期目的。
三、虚拟子网VLAN的配置
1).Catalyst 3200交换机上VLAN及VTP的配置 经超级终端进入Catalyst 3200控台
a).设置VLAN治理域 进入"SET VTP AND···· ",选"VTP ADMINISTRATION CONFIGURATION" 设置VALN治理域名"GIETNET";VTP方式为"SERVER"。
b).设置VLAN及TRUNK: 将所有子网的交换机、HUB上连至Catalyst 3200的10MB或100MB口,并按上述原则分配VLAN,将这些端口进行虚网划分如下:
本项设置是从控制台的CONFIGURATION选定"LOCAL VLAN PROT CONFIGURATION",进行VLAN及TRUNK口的指定,并把所有的3个VLAN填入TRUNK口的配置单中,最后显示如下
2).Cisco 4500路由器的设置
把Cisco 4500的f0口按子网数"分割"成相应的"子口", 根据其设置的ISL(InterSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router#config t
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2
. .
router(config)#int f0.2
router(config-subif)#Description VLAN2_gzbnic
router(config-subif)#ip addess 192.168.111.65 255.255.255.192
router(config-subif)#encapsulation isl 3
. .
Ctl Z
wr
设置完毕,再请北京网络中心把边界路由器中有关子网路由项全部指向Cisco 4500,用户的网关按其子网路由器地址设定。
3).在Cisco 4500路由器上建立ARP表
为强化网络治理防止IP盗用,在Cisco 4500路由器上建立ARP表,将所有子网的IP与相应的网卡MAC地址进行绑定,对于未用的IP也进行绑定,如:
ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有网卡地址)
.
ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP无网卡地址)
当注册网络用户需更换网卡时,需得到网管人员的确认、同意,对企图非法盗用者将无法进行(参见下述);另外可按具体情况设置访问控制列表等安全治理措施。
四、系统特点
经过虚网设置和IP-MAC绑定结合, 网络系统的特点:
1).发挥VLAN优势
合理分配网络资源,均衡网络负载,有效降低网上广播信息,方便对用户的分组治理。
2).增强网络安全
由于网络各子网相互隔离,网络通讯限制在子网内;子网间的交通或出境的通讯全部通过其相应的路由端口,加強了Cisco 4500对全网的控制能力,并由4500上的ARP表进行用户IP的合法性核查。
3).强化网络治理、合理记费
如2)所述,由于虚网的配置加上Cisco 4500的IP-MAC的匹配检查,使得IP盗用比一般的地址绑定更为困难,理由是这种配置结构下,即使想盗用,其通讯也只限于本子网内(活动范围大大减少,被当场抓获可能性加大) ;Cisco 4500上的IP-MAC的匹配核查,使得有计费的IP盗用无法进行(盗用变得无意义),从而达到合理记费和有效提高网络治理、控制能力。
本工作于去年完成,运行稳定,满足要求。华教公司的田戈先生对方案提供宝贵意见,在此表示感谢。
名词解释:
1).VLAN TRUNK PROTOCOL(VTP):用VTP设置和治理整个域内的VLAN,在治理域内VTP自动发布配置信息,其范围包括所有TRUNK连接,如交换互连(ISL)、802.10和ATMLAN(LANE) 当交换机加电时,它会周期性地送出VTP配置请求,直至接到近邻的配置(summary)广播信息,从而进行结构配置必要的更新。 交换机的VTP配置有三种模式:服务器、客户和透明模式。
2).ISLTRUNK ISL中继不同的VLAN多路包,包头带有"ISL VLAN数"标志(VTP VLAN ID)。