浅谈校园网络远程拓扑规划与安全架构

　　胡明
　　本文以两所院校区的校园网络通过远程连接，形成整体的校园网络为规划目标。网络设计要求能实现以下目标：建设数字化新校园，为学校各部门提供快捷有效的信息服务和通信环境。实现集中式数据存储，实现在网络系统上的高速互连互通，及信息资源和软硬件资源高度共享。
　　一、校园网络拓扑图
　　网络中心形成了主干网，是整个校园网的总节点，并提供连接广域网和拨入服务。在主干网系统采用以太网结构。中心机房放置着中心交换机、服务器群、路由器、机架MODEM等网络设备，这些设备以中心交换机作为中心，以星形拓朴结构通过双绞电缆线连接在一起。网络中心与子网的联系是通过光纤和双绞电缆线将中心交换机和子网的交换机或集线器连接起来。
　　二、校园网的规划
　　校园网络系统采用以星形拓扑结构为主的分布式三层（核心层、汇聚层、接入层）结构。核心设备放置在网络中心，在各系部设置汇聚节点。各楼宇设置1～3个配线间，将楼内的信息点全部集中到各配线间内，采用百千兆接入交换机提供各信息点接入的需要，通过千万兆连接到相对应的汇聚中心设备上。
　　三、校园的IP地址规划
　　IPv4地址分成A、B、C三类，每类均保留有私有地址，由于C类的私有地址无法满足校园网的实际需要，所以采用B类私有IP（表1）。私有IP地址B类范围从172。16。0。0～172。31。255。255，取172。18。0。024网段，可以分为254个子网，每个网段为254台主机。
　　总校区与分校区的IP地址分配情况：总校区共有20个科室和16个微机房，另外学生宿舍和教工住宅区需要50～80个网段。Ip地址分配网段为：172。18。10。0～172。18。200。0。分校区有7个微机房和15和科室单位。另外学生宿舍和教工住宅区需要20～30个网段，Ip地址分配为：172。18。201。0～172。18。254。0，校园网的核心层，路由器、服务器的IP地址为：172。18。1。0～172。18。4。0。
　　四、校园网络采用的网络协议
　　校园网络采用OSPF（OpenShortestPathFirst）协议，OSPF是链路状态路有协议，是一个内部网关（InteriorGatewayProtocol，IGP）协议，是通过路由器之间通告网络接口的状态来建立链路状态数据库，生成最短路径树，每个OSPF路由器使用这些最短路径构造路由表（表2）。
　　OSPF路由进程processid必须指定范围在1～65535，多个OSPF进程可以在同一个路由器上配置，但最好不这样做。多个OSPF进程需要多个OSPF数据库的副本，必须运行多个最短路径算法的副本。processid只在路由器内部起作用，不同路由器的processid可以不同。
　　wildcardmask是子网掩码的反码，网络区域IDareaid在0～4294967295内的十进制数，也可以是带有IP地址格式的x。x。x。x。当网络区域ID为0或0。0。0。0时为主干域。不同网络区域的路由器通过主干域学习路由信息。
　　五、校园网络安全架构
　　网络安全构架采用被屏蔽子网（ScreenedSubnet）技术，被屏蔽子网就是在内部网络和外部网络之间建立一个被隔离的子网，用两台分组过滤路由器将这一子网分别与内部网络和外部网络分开。在很多实现中，两个分组过滤路由器放在子网的两端，在子网内构成一个DMZ。
　　DMZ（DemilitarizedZone）即俗称的非军事区，与军事区和信任区相对应，作用是把Web，email等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在校园内网中的机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。
　　内部网络和外部网络均可访问被屏蔽子网，但禁止它们穿过被屏蔽子网通信。有的屏蔽子网中还设有一堡垒主机作为唯一可访问点，支持终端交互或作为应用网关代理。这种配置的危险仅包括堡垒主机、子网主机及所有连接内网、外网和屏蔽子网的路由器。如果攻击者试图完全破坏防火墙，就必须重新配置连接三个网的路由器，既不切断连接又不要把自己锁在外面，同时又不使自己被发现，这样也还是可能的。但若禁止网络访问路由器或只允许内网中的某些主机访问它，则攻击会变得很困难。在这种情况下，攻击者得先侵入堡垒主机，然后进入内网主机，再返回来破坏屏蔽路由器，并且整个过程中不能引发警报。
　　六、网络中核心技术的配置命令
　　R0的配置命令行：
　　Routeren
　　Routerconfigt
　　Router（config）interfacefa01
　　Router（configif）ipadd172。18。1。254255。255。255。0
　　Router（configif）noshutdown
　　Router（configif）exit
　　Router（config）interfacefa00
　　Router（configif）ipadd172。18。2。1255。255。255。0
　　Router（configif）noshutdown
　　Router（configif）exit
　　Router（config）
　　Router（config）routerospf1
　　Router（configrouter）network172。18。1。00。0。0。255area1
　　Router（configrouter）network172。18。2。00。0。0。255area1
　　Router（configrouter）end
　　R2的配置命令行：
　　Routeren
　　Routerconfigt
　　Enterconfigurationcommands，oneperline。EndwithCNTLZ。
　　Router（config）interfacefa01
　　Router（configif）ipadd172。18。3。2255。255。255。0
　　Router（configif）noshut
　　Router（configif）exit
　　Router（config）interfacefa00
　　Router（configif）ipadd172。18。4。254255。255。255。0
　　Router（configif）noshutdown
　　Router（configif）end
　　Routerconfigt
　　Router（config）routerospf1
　　Router（configrouter）network172。18。4。00。0。0。255area1
　　Router（configrouter）network172。18。3。00。0。0。255area1
　　Router（configrouter）exit
　　R1的配置命令行：
　　Routeren
　　Routerconfigt
　　Router（config）interfacefa01
　　Router（configif）ipadd172。18。2。2255。255。255。0
　　Router（configif）noshutdown
　　Router（config）routerospf1
　　Router（configrouter）network172。18。2。00。0。0。255area1
　　Router（configrouter）exit
　　Routerconfigt
　　Router（config）interfacefa00
　　Router（configif）ipadd172。18。3。1255。255。255。0
　　Router（configif）noshutdown
　　Router（config）routerospf1
　　Router（configrouter）network172。18。3。00。0。0。255area1
　　Router（configrouter）exit
　　本文从校园网络的实用性角度出来，对于总校区和分校区这种两校区远程网络的连接规划与安全方面进行了阐述，进行了网络私有IP地址的划分，以及网络防火墙的设计架构，最后给出路由器OSPF协议中的关键配置命令。
　　（作者单位：广东省高级技工学校）