1 高校機(jī)房通信的模擬

    現(xiàn)今高校都有很多供給學(xué)生上機(jī)或?qū)嵱?xùn)的機(jī)房，單獨(dú)的一個(gè)機(jī)房?jī)叭痪褪且粋�(gè)封閉的局域網(wǎng)，但機(jī)房人員為了工作需求通常都將幾個(gè)機(jī)房的局域網(wǎng)通過(guò)交換機(jī)或路由器連接到服務(wù)器，以便于在每次使用機(jī)房舉辦各種計(jì)算機(jī)等級(jí)考試的時(shí)候能統(tǒng)一的進(jìn)行部署，各個(gè)機(jī)房之間的相互通信及機(jī)房與服務(wù)器之間的通信就有了安全的問(wèn)題，如：有些機(jī)房只允許訪問(wèn)服務(wù)器不能訪問(wèn)其他機(jī)房，有些機(jī)房必須和其他機(jī)房實(shí)現(xiàn)通信，采用虛擬局域網(wǎng)(VLAN)和訪問(wèn)控制列表(ACL)技術(shù)能很好的解決各種通信的需求，例如某高校機(jī)房拓?fù)鋱D，見(jiàn)圖1。

    數(shù)據(jù)庫(kù)機(jī)房的網(wǎng)段為192．168．2．0／24

    多媒體機(jī)房的網(wǎng)段為192．168．3．0／24

    軟件工程機(jī)房的網(wǎng)段為192．168．4．0124

    網(wǎng)絡(luò)工程機(jī)房的網(wǎng)段為192．168．5．0／24

    服務(wù)器IP地址為：192．168．1．254

圖1某高校機(jī)房拓?fù)鋱D示

2 機(jī)房通信過(guò)程存在的問(wèn)題及解決方案

    在日常的教學(xué)活動(dòng)中，服務(wù)器需要實(shí)時(shí)監(jiān)控各個(gè)機(jī)房的運(yùn)行，同時(shí)，出于實(shí)驗(yàn)的需要必須讓軟件工程機(jī)房與數(shù)據(jù)庫(kù)機(jī)房能相互通信，其他機(jī)房之間不能相互通信，以避免影響各個(gè)機(jī)房間的教學(xué)活動(dòng)。

    2．1 VLAN的創(chuàng)建

    2．1．1為每個(gè)機(jī)房分配獨(dú)立的VLAN VLAN就是將局域網(wǎng)上的用戶或資源按照一定的原則進(jìn)行劃分，把一個(gè)物理網(wǎng)絡(luò)劃分為若干個(gè)小的“邏輯網(wǎng)絡(luò)”，這種小的邏輯網(wǎng)絡(luò)就是虛擬局域網(wǎng)，虛擬局域網(wǎng)實(shí)際上就是一種利用交換機(jī)對(duì)局域網(wǎng)進(jìn)行邏輯分段的技術(shù)，交換機(jī)可以把一個(gè)局域網(wǎng)(LAN)劃分為若干個(gè)相對(duì)獨(dú)立的邏輯網(wǎng)絡(luò)，每個(gè)邏輯網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)可以直接通信，不同邏輯網(wǎng)絡(luò)的計(jì)算機(jī)之間不能直接通信，除非通過(guò)路由器或三層交換機(jī)設(shè)備。

    本文不列舉VLAN的實(shí)際配置過(guò)程，通過(guò)交換機(jī)的VLAN命令可以分別在數(shù)據(jù)庫(kù)機(jī)房創(chuàng)建VLAN1O，多媒體機(jī)房創(chuàng)建VLAN 20，軟件工程機(jī)房創(chuàng)建VLAN 30，網(wǎng)絡(luò)工程機(jī)房創(chuàng)建VLAN 40同時(shí)在核心交換機(jī)上創(chuàng)建對(duì)應(yīng)的VLAN，即同時(shí)創(chuàng)建VLAN 10、VLAN20、VLAN 30、VLAN 40。

    2．1．2 對(duì)每個(gè)機(jī)房交換機(jī)與核心交換機(jī)的接口配置為T(mén)runk模式當(dāng)兩臺(tái)或兩臺(tái)以上的交換機(jī)相連后，在沒(méi)有劃分VLAN時(shí)，連接在各交換機(jī)上的所有計(jì)算機(jī)都可以直接通信，但劃分VLAN后，只有屬于同一個(gè)VLAN的計(jì)算機(jī)間可以通信，為了實(shí)現(xiàn)不同交換機(jī)中同一VLAN間的計(jì)算機(jī)可以相互通信，就要將交換機(jī)之間相連的端口定義為T(mén)runk(干線)模式，而交換機(jī)間相連的線稱為VLAN中繼或VLAN干線。

    在交換機(jī)相互連接的端口上配置中繼模式，可使不同VLAN的數(shù)據(jù)幀通過(guò)該中繼鏈路進(jìn)行傳輸。

    2．1.3 配置網(wǎng)關(guān)地址在核心交換機(jī)上為每個(gè)VLAN配置網(wǎng)關(guān)地址，按照VLAN順序分別配為192．168．2．1、192．168．3．1、192．168．4．1、192．168．5．1之后在核心交換機(jī)上輸人IP ROUTING命令開(kāi)通SVI功能．要實(shí)現(xiàn)VLAN間計(jì)算機(jī)的相互通信，除了使用路由器外，利用三層交換機(jī)的路由功能也可以實(shí)現(xiàn)VLAN間的通信．方法是通過(guò)在三層交換機(jī)上配置SVI(交換機(jī)虛擬接口)，即為不同的VLAN編號(hào)配置IP地址，不過(guò)在配置三層交換機(jī)的SVI之前，先要在交換機(jī)的全局配置模式下使用IP Routing命令啟用三層交換機(jī)的路由功能．如此各個(gè)機(jī)房之間及機(jī)房與服務(wù)器均能相互通信。

    2．2 在三層交換機(jī)上配置訪問(wèn)控制列表(ACL)

    訪問(wèn)控制列表技術(shù)是一種重要的軟件防火墻技術(shù)，配置在網(wǎng)絡(luò)互聯(lián)設(shè)備上，為網(wǎng)絡(luò)提供安全保護(hù)功能，訪問(wèn)控制列表中包含了一組安全控制和檢查的命令列表，一般應(yīng)用在交換機(jī)或者路由器接口上，這些指令列表告訴路由器哪些數(shù)據(jù)包可以通過(guò)，哪些數(shù)據(jù)包需要拒絕，至于什么樣特征的數(shù)據(jù)包被接收還是被拒絕，可以由數(shù)據(jù)包中攜帶的源地址、目的地址、端口號(hào)、協(xié)議等包的特征信息來(lái)決定，訪問(wèn)控制列表技術(shù)通過(guò)對(duì)網(wǎng)絡(luò)中所有的輸入和輸出訪問(wèn)數(shù)據(jù)流進(jìn)行控制，過(guò)濾掉網(wǎng)絡(luò)中非法的未授權(quán)的數(shù)據(jù)服務(wù)，限制通過(guò)網(wǎng)絡(luò)中的流量流，對(duì)通信信息起到控制的手段，提高網(wǎng)絡(luò)安全性能。

    定義訪問(wèn)列表的步驟：第一步：定義規(guī)則(哪些數(shù)據(jù)允許通過(guò)，哪些不允許)；第二步：將規(guī)則應(yīng)用在設(shè)備接口／VLAN上。

    訪問(wèn)控制列表的分類：

    ① 標(biāo)準(zhǔn)ACL，標(biāo)準(zhǔn)訪問(wèn)控制列表基于源IP地址進(jìn)行判定拒絕或允許數(shù)據(jù)包通過(guò)，其訪問(wèn)列表編號(hào)范圍從1到99。

    ② 擴(kuò)展ACL，擴(kuò)展控制列表比標(biāo)準(zhǔn)控制列表具有更多的匹配項(xiàng)，它能夠基于協(xié)議類型、源地址、目的地址、源端口、目的端口等來(lái)控制數(shù)據(jù)包是流人還是流出，其訪問(wèn)列表編號(hào)范圍從100到199。

    ③命名ACL(標(biāo)準(zhǔn)／擴(kuò)展)，所謂命名控制列表是用列表名稱代替列表編號(hào)來(lái)定義訪問(wèn)控制列表，同樣包括標(biāo)準(zhǔn)和擴(kuò)展兩種列表，定義過(guò)濾的語(yǔ)句與編號(hào)方式的訪問(wèn)列表相同。

    ACL定義的基本準(zhǔn)則：一切未被允許的就是禁止的，路由器缺省允許所有的信息流通過(guò)；防火墻缺省封鎖所有的信息流，對(duì)希望提供的服務(wù)逐項(xiàng)開(kāi)放，按規(guī)則鏈來(lái)進(jìn)行匹配，使用源地址、目的地址、源端口、目的端口、協(xié)議、時(shí)間段進(jìn)行匹配從頭到尾，至頂向下的匹配方式。

    2．3 ACL的定義

    依據(jù)ACL的定義規(guī)則，采用擴(kuò)展ACL的定義方法在核心交換機(jī)上分別定義四條ACL：

    第一條：access—list 100 deny ip 192．168.3．0 0．0．0．255 192．168．2．0 0．0．0．255

    access-list 100 deny ip 192．168．5．O 0．O．0．255 192．168．2．0 0．0．0．255

    access-list 100 permit ip any any

    此條ACL有三條語(yǔ)句，實(shí)現(xiàn)拒絕192．168．3．0網(wǎng)段和192．168．5．0網(wǎng)段訪問(wèn)的功能．

    第二條：access—list 101 deny ip 192．168．2．0 0．0．0．255 192．168．3．0 0．0．0．255

    access-list 101 deny ip 192．168．4．0 0．0．0．255 192．168．3．0 0．0．0．255

    access-list 101 deny ip 192．168．5．0 O．O．0．255 192．168_3．0 0．0．0．255

    access-list 101 permit ip any any

    該ACL有四條語(yǔ)句，實(shí)現(xiàn)拒絕192．168．2．0網(wǎng)段、192．168．4．0網(wǎng)段和192．168．5．0網(wǎng)段訪問(wèn)的功能．

    第三條：access—list 102 deny ip 192．168-3．0 0．0．0．255 192．168．4．0 0．0．0255

    access—list 102 deny ip 192．168．5．0 0．0．0．255 192．168．4．0 0．0．0255

    access—-list 1 02 permit ip any any

    該語(yǔ)句實(shí)現(xiàn)拒絕192．168．3．0網(wǎng)段和192．168．5．0網(wǎng)段訪問(wèn)的功能．

    第四條：access—list 103 deny ip 192．168．2．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 deny ip 192．168-3．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 deny ip 192．168．4．0 0．0．0．255 192．168．5．0 0．0．0255

    access-list 103 perm it ip any any

    該語(yǔ)句實(shí)現(xiàn)拒絕192．168．2．0網(wǎng)段、192．168．3．0網(wǎng)段和192．168．4．0網(wǎng)段訪問(wèn)的功能。

    2．4 ACL的使用

    定義完四條ACL命令后，執(zhí)行ACL定義的第二步，將所定義的規(guī)則應(yīng)用在設(shè)備接口上，規(guī)則的應(yīng)用可以應(yīng)用在物理接口也可以應(yīng)用在邏輯接口，本例討論應(yīng)用在邏輯接口的方法，在三層交換機(jī)上對(duì)每個(gè)VLAN應(yīng)用相應(yīng)的ACL命令，語(yǔ)句如下：

    Int vlan 10 Int vlan 30

    Ip access-group 100 out Ip access-group 102 out

    Int vlan 20 Int vlan40

    Ip access-group 101 out Ip access-group 103 out

    以上語(yǔ)句把定義好的編號(hào)為100、101、102、103的ACL分別應(yīng)用在vlan 10、vlan 20、vlan 30、vlan 40的接口上，就能實(shí)現(xiàn)各個(gè)機(jī)房之間均能與服務(wù)器相互通信，機(jī)房之間除了數(shù)據(jù)庫(kù)機(jī)房與軟件工程機(jī)房能相互通信外，其余機(jī)房均不能相互通信。

    交換機(jī)的VLAN與ACL技術(shù)是網(wǎng)絡(luò)組建技術(shù)中極為重要的技術(shù)，虛擬局域網(wǎng)(VLAN)是控制廣播風(fēng)暴的有效手段，同時(shí)也很好地確保了網(wǎng)絡(luò)安全，訪問(wèn)控制列表技術(shù)ACL通過(guò)對(duì)網(wǎng)絡(luò)中所有的輸入和輸出訪問(wèn)數(shù)據(jù)流進(jìn)行控制，過(guò)濾掉網(wǎng)絡(luò)中非法的未授權(quán)的數(shù)據(jù)服務(wù)，限制通過(guò)網(wǎng)絡(luò)中的流量流，對(duì)通信信息起到控制的手段，提高網(wǎng)絡(luò)安全性能，結(jié)合虛擬局域網(wǎng)(VLAN)與ACL技術(shù)可以很好的實(shí)現(xiàn)網(wǎng)絡(luò)訪問(wèn)地各種控制。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：使用虛擬局域網(wǎng)和訪問(wèn)控制列表實(shí)現(xiàn)機(jī)房訪問(wèn)控制

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112155403.html