随着信息技术的发展,各高校及有实力的其它学校均建立了各自的校园网,网络管理便成为了各校网络管理部门一个重要的任务。根据我们对校园网的管理经验看,在对用户的管理上,至少应做好以下三方面的工作:
能有效地按某种方式分隔用户群;
能方便地管理用户的入网与退网;
能有效地防止IP地址盗用。
现状
川北医校园网于2000年六月建成,网络拓扑采用全星形结构,范围覆盖了我院的办公、教学、科研、生活楼宇。在网络设备的选型上,中心交换机选用了北电网络的PASSPORT 8610,二级交换机选用北电的STACK 350-24T这一款交换机,在用户接入层上还用了大量的TP-LINK无网管功能的集线器(见图一)。这也是目前大多数高校采用的设备布局情况。
存在的问题
从OSI七层网络模型上看,我们选用的上述三种设备分别对应了模型中的交换层、链路层和物理层。我们知道,PASSPORT 8610交换机是一种线速路由交换机,它对应于网络交换模型的第三层,即网络层,在这一层上从网络管理角度上看,我们可以对IP地址进行管理,可以很方便地根据端口划分虚网并进行虚网之间的路由;STACK350-24T则对应于网络交换模型的第二层,即链路层,在这一层上我们可以针对数据包的MAC地址进行管理;而集线器则对应于网络交换模型的最低层,即物理层,它仅起一个信号的放大广播作用,从网管角度看,它是不可管理的。这就引出了下面的一些问题:
我们的二层交换机一般是每幢楼放置一个,然后再在交换机上连接数个集线器,一般每个交换机下的用户数都在数十到百来个之间。尽管我们可以在二级交换机上划分虚网来进一步减少每一个子网的用户数,但一般说来每一个子网的用户数也还是有数十个之多。当有用户入网或退网时,怎么才能有效而灵活地满足用户的这种需求,就为网络管理带来了一个很严峻的问题。
对于同一个子网的用户,怎么才能有效地防止子网内部的IP地址盗用。
解决方法
现在很多院校在建立校园网时出于经费的考虑并没有购置专用的网络管理软件,或者有的学校在网络建设过程中因多种原因造成网络设备品种繁多,各厂家各型号之间很难用某一种网络管理软件集中进行管理。实际上,我们可以使用各设备随机附带的管理软件(一般是固化在设备内,我们可以通过telnet方式登录)来进行管理,这样不仅可以节省买网管软件的费用,并且可以做到很灵活的管理,甚至可以实现许多专用网管软件不能实现的功能。
在分隔用户上,我们应用了虚网(VLAN)技术,在实现时针对用户的物理位置,在三层和二层交换机上划分对应的虚网。PASSPORT8610路由交换机随机带有一个图形化的device manager软件,用它可以很方便地划分虚网。通过这样的划分,我们将同一个子网的用户限制在一幢楼内甚至更小。
针对随时有用户要求入网或退网的情况,我们为了简化管理,在每幢楼的设备机柜内,我们将所用可能的用户先从物理线跳接到交换机或集线器上,以后在有用户申请入网或退网时也用不着再在机柜中进行跳线。在STACK 350-24T交换机上有一个功能叫 MAC Address-Based Security...,在该项内可以针对MAC地址进行安全设置,即在该项内可以对特定的端口通过交换机学习或手工输入方式建立一个MAC地址安全列表,再在MAC Address Security Port Configuration...一项中打开该端口的安全检测功能,则可以做到只有在安全列表中存在的MAC地址才能通过该交换机。这样当有用户申请入网时便根据申请时填入的MAC地址填入MAC地址列表中,便可实现用户入网的开通;而当有用户要求退网时,便在MAC地址中删除相应的MAC地址即可。图二所示的便是一个MAC地址安全列表和它所对应交换机端口,当启动交换机端口的安全策略后,则只有在列表中出现的MAC地址才可以通过相应的端口。这个表可以通过telnet 方式很方便的进行维护。
针对同一个子网内IP地址盗用问题,我们在三层交换机PASSPORT8610上将IP地址和对应的MAC地址进行绑定,同一个子网内未用的IP地址也应绑定到一个空的MAC地址上,这样就可完全杜绝IP地址的盗用问题。在passport8610的device manager软件中也很容易实现这个功能。当然,这样做是比较繁琐的,我院总共分配的IP地址有16个C类地址,要全部实现绑定,将会产生4000多条绑定记录,这将很难做到,同时也会大大降低三层交换机的性能。我们实际是在个别容易引起IP地址盗用的楼宇(比如学生宿舍)采取绑定技术,而对其它办公和教工宿舍则没有绑定来比较好地解决了这个问题。
总结:
通过这样的操作,我们就可以对用户进行灵活方便的管理。通过我们实际的使用,也达到了预期的目的。总之,认真研究网络设备提供的管理软件,我们会发现,许多有用的管理功能已经包含在其中了,完全可以做到一些其它专用网络管理软件实现的功能。
作者:四川省川北医学院网管中心 祝长林
