朝阳教育网设计报告及配置方案7

1、No：第 1 版第 1 次修改替代：无朝阳区现代教育网络网络配置规划及配置方案2001 年 6 月朝阳区教育东大阿尔派公司系统集成部目录1.朝阳现代教育信息网设备配置规划1.41.5设备编码规则2VLAN划分规则3IP分配规则3骨干网7公共服务网82.设备及服务器的IP地址分配表格92.1. 骨干网及其它设备IP地址分配表91.2朝阳区教育网服务器地址分配表103. 朝阳区教育园区网的安全规划123.1路由器和交换机的保护..43.1.5设立Password 和Banners。12对网络设备的NET进行有限制性的。 . 13。 . 13

2、对网络设备的SNMP进行有限制性的对交换机进行有限制性的。 . 13针对资源掠夺性的策略。143.2对于资源的保护144朝阳区教育园区网的路由策略171.朝阳现代教育信息网设备配置规划1.1 设备编码规则在朝阳区教育信息系统集成工程中，设备采用的编码规则，要能反映设备所在设备间的位置和设备的类型。设备共分为 4 个域：VV-WWWW-YYYY-ZZ设备简明如下：VV 域指 VTP。分类如下：WWWW 域指拥有二层交换机的汇接层学校名称（可选，中学代码为 M，小学为 E，中心为C)学校名称学校名称（WW）实验小学SYE新源里中学XYLM教研中心JYC社区学院SQXY东方德才DFDC呼家楼中心小学

3、HZXE八十中学BSM中心小学AHLEVTPVTP（VV）骨干网GG公共服务网SV花家地用户网HJD朝阳教委用户网JW朝阳分院用户网FY广播局用户网GBJ和平街一中用户网HPJM中学用户网CJLM工大附中用户网GDFMYYYY 域指使用的设备。现在共有如下网络设备：6509，6506，4006，4003，3524，3512ZZ 域指设备序号：由一位 0-9 数字构成，从 1 向上顺序排列。1.2VLAN划分规则朝阳区教育网络系统采用基于端口划分虚拟网（VLAN），一个虚拟网对应一个 IP 子网。交换机的端口划入相应的虚拟网中。朝阳区教育网络的虚拟网不跨越骨干网，因此根据网络逻辑结构设置虚拟网域

4、。整个网络划分若干虚拟网域，包括骨干网络虚拟网域、公共服务网络虚拟网域、朝阳分院虚拟网域、花家地虚拟网域、朝阳教委虚拟网域、广播局虚拟网域等 VTP Domain。（见设备编码规划 VTP Domain 命名表）1.3内部IP分配规则朝阳区教育网络内部所有设备使用保留 A 类地址中的 14 个 B BLOCK。需要与 Internet通信的主机通过注册 IP 地址与 Private 地址间的转换，或者通过内部代理访问 Internet。IP 地址分配表如下：网络层次名 称说明内部地址分配骨干节点 (1 个 B）网络设备 骨干服务器群 教委节点直连网 分院校园网 广播局节点直连网 备份地址 55

5、分布层节点（教委）每学校 2 个C55（3 个 B）实验小学汇接节点(二期)实验小学接入点新源里中学汇接节点(二期)新源里中学接入点教研中心汇接节点(二期)教研中心接入点社区学院汇接节点(二期)日坛中学RTM社区学院接入点和平街一中汇接节点和平街一中接入点朝师附小接入点求实学校汇接节点(二期)备份5555分布层节点（分院）每学校 2 个 C （4 个 B）八十中学汇接节点(二期)八十中学接入点东方德才学校汇接节点(二期)东方德才学校接入点呼家楼中心小学汇接节点(二期)呼家楼中心小学接入点陈经纶中学汇接节点陈经纶中学接入点芳草地小学接入点青少年活动中心汇接节点(二期)大望路中学汇接节点(二期)松

6、榆里中学汇接节点(二期)备份5555分布层节点（花家地）每学校 2 个 C 类 55花家地小学九十四中学接入点南湖中园小学接入点白小分校接入点分布层节点（广播局）55安惠里中心小学汇接节点(二期)（二期教委 IP）安惠里中心小学接入点日坛中学汇接节点(二期) （二期分院 IP）日坛中学接入点工大附中汇接节点 ( 二期分院IP）工大附中接入点劲松四小接入点总备份55(4 个 B)朝阳区教育网络的骨干节点划分在一个 B BLOCK 中。其中 用于网络设备。再其中的 用于骨干链路，每条链路占一个 4 地址的子网，用于骨干网核心层设备之间的互连和与汇接层三层交换机的互连。 用于三层交换机路由模块的 L

7、OOPBACK 地址； 用于朝阳区教育管理网的网络设备的 IP 地址,其中每个骨干节点域用一个 C 类地址； 用于花家地的网络设备的 IP 地址； 用于朝阳分院的网络设备的 IP 地址； 用于朝阳教委网络设备的 IP 地址； 用于广播局的网络设备的 IP 地址； 用于骨干服务器群的地址。此 B BLOCK 其余的地址分配给骨干节点直连的校园网。在花家地、教委、分院和广播局各分配 1个 B、3 个 B、4 个 B 和 1 个 B。各接入层学校可分配到 2 个 C 类子网。各 IP 子网的 IP 地址分配规划如下：10.*.*.1 用于路由器的 IP地址 10.*.*.210.*.*.9 保留，1

8、0.*.*.1010.*.*.254 用于主机地址。IP 注册地址分配规则合法 IP 地址有 7 个 C 类 IP 地址，分析需求如下：合计共需 C 类 IP 地址 67 个，部分 IP 地址用作保留未来扩展应用。根据以上需求分析，合法 IP 地址分配如下：第一个 C 类 IP 地址 第二个 C 类 IP 地址 使用。用于朝阳分院服务器群。用于朝阳分院骨干节点连接的汇接点及其接入的单位第三个 C 类 IP 地址 用于花家地骨干节点服务器群，连接的汇接点及其接节点序号说明个数骨干节点（4 个）1朝阳分院服务器群642542花家地骨干节点服务器群32643朝阳教委服务器/防火墙644广播局骨干节点

9、服务器/防火墙64128分布层接入节点（14 个）1分布层接入节点服务器群16*14各接入学校单位（350 余个）1大型校园网16*162中型校园网8*243小型校园网24*3004其他教育机构网络48*N入的单位使用。第四个 C 类 IP 地址 用于朝阳教委骨干节点服务器群与防火墙地址转换，连接的汇接点及其接入的单位使用。第五，六个 C 类 IP 地址 /用于广播局骨干节点服务器群与防火墙地址转换，连接的汇接点及其接入的单位使用。第七个 C 类 IP 地址 用于保留扩展和临时服务系统应用。为简化网络路由和方便管理，在以上的 IP 地址中使用静态分配的方案，*.*.*.1 将用于所在 VLAN

10、 的网关地址，*.*.*.24 将保留到网络扩展时使用。朝阳区教育网络地址分配以及虚网划分规划朝阳区教育网络主干网的网络协议将采用 TCP/IP 协议（ 在子网内用户可以使用 NETBEUI 协议或者 IPX/SPX 协议等），路由协议采用 OSPF 协议和静态路由。TCP/IP 协议需要依据源和目的 IP 地址进行信息的传输，所以应当为所有网络设备、服务器、工作站分配 IP 地址。内部 IP 地址以骨干节点分配。，家地、教委、分院和广播局为骨干节点。表 2.1保留 IP 地址 B Block 分配表节点名称地址范围地址掩码VTP Domain朝阳区教育骨干网-55朝阳教委节点-55JW朝阳分

11、院节点-55FY花家地节点-55HJD广播局节点-55GBJ1.4骨干网朝阳区教育骨干网的地址范围是55。骨干网路由协议采用OSPF，IP 地址分配如下：1骨干网 C BLOCK 分配表表 2.2使用范围Subnet No.Subnet Mask骨干链路52Loop Back 地址花家地网络设备 IP 地址朝阳分院的网络设备的 IP 地址；朝阳教委网络设备的 IP 地址广播局网络设备 IP 地址和平街一中网络设备 IP 地址陈经纶中学网络设备 IP 地址工大附中网络设备 IP 地址骨干服务器群地址 教委节点直连网 分院校园网 广播局节点直连网 骨干网路由链路选用 1 个 C BLOCK，每条链

12、路分在一个四地址的子网中。一期工程共 8个子网，不封装 VLAN。表 2.3 骨干网路由链路子网表1.5公共服务网公共服务网的地址范围是 55。公共服务器占用 4 个 C 类子网，分别为 、。服务器 IP 地址分别为 154、54。网管地址为 /24。记费服务器地址 /24。表 2.5公共服务子网表Vlan No.Vlan NameSubnet No.Subnet MaskROUTEIP Add.802Internet803MMedu804Netmanage805countfeeVlan No.Vlan NameSubnet No.Subnet Mask8540IP A

13、ddress5509 RSMIP Address900FY_6509-HJD_400652901FY_6509-GBJ_650652902GBJ_6506-JW_6596520903HJD_4006- JW_659625234904FY_6509-JW_659665278905FY_6509-FY_CJLM_400305212906GBJ_6506-GBJ_GDFM_400345256907JW_6596-JW_HPJM_4003852902.设备及服务器的 IP 地址分配表格2.1. 骨干网及其它设备IP地址分配表全网统一设备的 VLAN 号为 999Device NameInterface

14、IP SubnetworkIP AddressGateway AddressFY_6509SC00/240/32loopback/2454/32HJD_4006SC0/240loopback/2453/32JW_6506SC00/240loopback/2452/32GBJ_6506SC0/240loopback/2451/32JW_SYE_35242JW_XYLM_35243JW_JYC_35244JW_SQC_35245JW_HPJM_4003SC00loopback50/32JW_M_35121FY_M_35121FY_DFDC_35242FY_HZXE_352431.2朝阳区教育网服务

15、器地址分配表服务器内部 IP 地址外部 IP 地址TCP 端口号UDP 端口号Web Server1 4内部 DNS 主服务器9内部 DNS 辅助服务器0外部 DNS 主服务器1外部 DNS 辅助服务器2Mail 服务器5 6Mail 备份服务器7 8FY_BSM_35244FY_CJLM_4003SC00loopback49/32GBJ_M_35121GBJ_AHLE_35242GBJ_RTM_35243GBJ_GDFM_4003SC004loopback48/32VOD 服务器1 4数据库服务器5 9MCU0 1视频终端含在各学校校园网IP 中网管工作站0计费服务器03. 朝阳区教育园区网

16、的安全规划在朝阳区教育园区网的安全策略的实现中主要有以下几个方面，即对路由器和交换机自身的保护、NetEye 的设置策略及对网络资源的保护策略。3.1路由器和交换机的保护攻击者对网络设备的攻击主要从以下三个方面，即对管理界面 (如Console, Telnet, SNMP)的攻击、对数据界面的过载攻击、对处理器的过载攻击。3.1.1 设立Password 和Banners。为了控制对路由器的访问，分别对 Console、Telnet 和 SNMP 配置两级口令，即非特权口令和特权口令。非特权存取允许用户监控设备的状态，特权存取允许用户对设备进行配置。配置 SNMP 的 community st

17、ring 实现用户的特权和非特权访问。在一些情况下，仅设置 login and enable 口令不能够提供足够的安全。如果用户在离开特权状态下未退出，任何用户都可以改动设备的配置。通过设立 command exec-timeout mm ss 改变 login timeout 的缺省时间 10min 为 1min 30sec。配置 service password-encryption 命令可隐藏配置文件中的口令的明文显示。Banner motd cunauthorized use prohibitedcService password-encryption Line console 0Lo

18、ginPassword Exec-time 1 30Enable secret 5 line vty 0 4loginpassword 3.1.2 对网络设备的NET进行有限制性的。配置命令 acs-clan 可定义一个控制列表，对通过 virtual terminal lines路由器的用户进行限制。不允许通过 AUX管工作站所在的子网是 /24 通过下所示。网络设备。的在朝阳区教育园区网中，仅允许网NET网络设备。在网络设备上的配置如line vty 0 4acs-class 12 inline aux 0no loginacs-list 12 permit 553.1.3 对网络设备的S

19、NMP进行有限制性的。在朝阳区教育信息网中设置工作站，它的 IP 地址是 0。在网络设备中显示地将 SNMP 信息导向工作站，并对 SNMP 的 community 字符串加以保护。acs-list 13 permit host 0snmp-server host 0 snmp-server community R0 13snmp-server community RW 133.1.4 对交换机进行有限制性的。IP Permit list 可以的源地址通过net 和 SNMP 的inbound traffic交换机。在交换机上设置 IP Permit 后，所有其它的 TCP/IP 服务（例如

20、IP traceroute and IP）仍然可以正常工作。Outboundnet、Trivial File Transfrotocol (TFTP)和其它的基于 IP 的服务不受 IP permit list.的影响。从的源地址发出的net 连接请求将被否决，SNMP请求收不到回答从而请求超时。在朝阳区教育信息网的交换机上都设置 IP Permit list，禁用未用的端口，在交换机上的配置如下所示。set ip permit set ip permit enableset port mod/num disable3.1.5 针对资源掠夺性的策略。在 TCP/IP 协议中，者对四种服务都可以

21、进行掠夺性，即 Echo(7)、Discard(9)、Daytime(13)、Chargen(19)。在朝阳区教育园区网的网络设备中关掉这四种应用。另外还有一种应用 Finger(TCP 和 UDP 79)，者可以利用 Finger 发现某个用户在某个时刻登录到网络设备。在朝阳区教育园区网的网络设备中也关掉这种服务。no service udp-small-serversno service tcp-small-servers no service finger3.2对于资源的保护目前在朝阳区教育信息网中主要有以下几类资源，即网络设备和一些服务器，服务器主要有服务器、服务器、WWW 服务器，数

22、据库服务器和 VOD 服务器。对网络设备自身的保护如上所述，对服务器的保护需要设置控制列表。AcAcs-list 10 permit ip 55 s-list 10 deny ip anyvlan 999Ip acs-group 10 outvlan 901Ip address 52Ip acs-group 101 outAc Ac AcAcAcs-list 101 permit ip 55 55s-list 101 deny ip any 55s-list 101 permit icmp any 55 s-list 101 permit udp any host 0 eqs-list 101

23、 permit udp any host 0 eqAc Ac Ac Ac Ac Ac Ac Ac Ac Ac Ac AcAcs-list 101 permit tcp any host 0 eq smtp s-list 101 permit tcp any host 0 eq smtp s-list 101 permit tcp any host 1 eq www s-list 101 permit tcp any host 1 eq www s-list 101 permit tcp any host 2 eq pop3 s-list 101 permit tcp any host 2 eq

24、 smtp s-list 101 permit tcp any host 2 eq www s-list 101 permit tcp any host 2 eq pop3 s-list 101 permit tcp any host 2 eq smtp s-list 101 permit tcp any host 2 eq www s-list 101 deny ip any 55s-list 101 dney ip any 55s-list 101 permit ip any any在朝阳区教育园区网中，路由协议都采用 OSPF 协议，对 Route Updates 采取认证。例如，erface vlan 999Ip add Ipf