广州分院计算机网是中科院"百所联网"二期工程的一部分,网络中心设备于1998年初安装运行,随着用户接入和网络应用的开展,在运行、管理中碰到不少问题。虽然已逐渐完善网络中心设备及服务器的配置和建立了相应的管理制度,一些问题也得以解决和控制,但对防止一些不守法用户经常采用未授权IP上网问题,仍不能得到解决,网管人员为此花费不少精力。当时曾想在边界路由器上做IP-MAC绑定,但由于CSTNET从网络整体安全考虑,边界路由器管理权由院网络中心控制,对二级节点的广州分院网来说,如把IP-MAC绑定在边界路由器上,将不利于网络监控及管理,对可能发生的一些事件无法做出快速反应,因此实际是不可行的。解决问题只能在广州分院网络中心设备上入手。
二、网络结构配置及解决方案
由于4500只配高速口f0,其余为异步口,使得边界路由Cisco 2514只能接入Catalyst3200,和所有局域网形成"平构式"结构,对防止IP盗用问题造成先天不足。
从分析Catalyst 3200虚网功能上可见,除了虚网功能本身的优点外,Catalyst 3200 交换机与Cisco 4500路由器的高速口支持ISL(InterSwitch Link)及VTP(VLAN TRUNK PROTOCOL),这对强化网络管理提供有力的技术保证。通过对Catalyst 3200的端口进行虚网设置,再跟据网络用户所在的物理位置、工作性质、网络通信负载尽量均衡原则,把所有网络用户纳入不同虚拟子网,各子网经 Catalyst 3200与Cisco 4500的高速口连接--路由,再把IP-MAC绑定在Cisco 4500上就可能达到预期目的。
三、虚拟子网VLAN的配置
1).Catalyst 3200交换机上VLAN及VTP的配置 经超级终端进入Catalyst 3200控台
a).设置VLAN管理域 进入"SET VTP AND···· ",选"VTP ADMINISTRATION CONFIGURATION" 设置VALN管理域名"GIETNET";VTP方式为"SERVER"。
b).设置VLAN及TRUNK: 将所有子网的交换机、HUB上连至Catalyst 3200的10MB或100MB口,并按上述原则分配VLAN,将这些端口进行虚网划分如下:
本项设置是从控制台的CONFIGURATION选定"LOCAL VLAN PROT CONFIGURATION",进行VLAN及TRUNK口的指定,并把所有的3个VLAN填入TRUNK口的配置单中,最后显示如下
2).Cisco 4500路由器的设置
把Cisco 4500的f0口按子网数"分割"成相应的"子口", 根据其设置的ISL(InterSwitch Link)号,与相应子网进行逻辑连接。在本例中,f0被分割为f0.1、f0.2、f0.3与VLAN1、VLAN2、VLAN3连接,其配置命令如下:
router#config t
router(config)#int f0.1
router(config-subif)#Description VLAN1_GIET
router(config-subif)#ip address 192.168.111.1 255.255.255.192
router(config-subif)#encapsulation isl 2
. .
