1、No：第 1 版第 1 次修改替代：無朝陽區(qū)現(xiàn)代教育網(wǎng)絡(luò)網(wǎng)絡(luò)配置規(guī)劃及配置方案2001 年 6 月朝陽區(qū)教育東大阿爾派公司系統(tǒng)集成部目錄1.朝陽現(xiàn)代教育信息網(wǎng)設(shè)備配置規(guī)劃1.41.5設(shè)備編碼規(guī)則2VLAN劃分規(guī)則3IP分配規(guī)則3骨干網(wǎng)7公共服務(wù)網(wǎng)82.設(shè)備及服務(wù)器的IP地址分配表格92.1. 骨干網(wǎng)及其它設(shè)備IP地址分配表91.2朝陽區(qū)教育網(wǎng)服務(wù)器地址分配表103. 朝陽區(qū)教育園區(qū)網(wǎng)的安全規(guī)劃123.1路由器和交換機的保護..43.1.5設(shè)立Password 和Banners。12對網(wǎng)絡(luò)設(shè)備的NET進行有限制性的。 . 13。 . 13

2、對網(wǎng)絡(luò)設(shè)備的SNMP進行有限制性的對交換機進行有限制性的。 . 13針對資源掠奪性的策略。143.2對于資源的保護144朝陽區(qū)教育園區(qū)網(wǎng)的路由策略171.朝陽現(xiàn)代教育信息網(wǎng)設(shè)備配置規(guī)劃1.1 設(shè)備編碼規(guī)則在朝陽區(qū)教育信息系統(tǒng)集成工程中，設(shè)備采用的編碼規(guī)則，要能反映設(shè)備所在設(shè)備間的位置和設(shè)備的類型。設(shè)備共分為 4 個域：VV-WWWW-YYYY-ZZ設(shè)備簡明如下：VV 域指 VTP。分類如下：WWWW 域指擁有二層交換機的匯接層學校名稱（可選，中學代碼為 M，小學為 E，中心為C)學校名稱學校名稱（WW）實驗小學SYE新源里中學XYLM教研中心JYC社區(qū)學院SQXY東方德才DFDC呼家樓中心小學

3、HZXE八十中學BSM中心小學AHLEVTPVTP（VV）骨干網(wǎng)GG公共服務(wù)網(wǎng)SV花家地用戶網(wǎng)HJD朝陽教委用戶網(wǎng)JW朝陽分院用戶網(wǎng)FY廣播局用戶網(wǎng)GBJ和平街一中用戶網(wǎng)HPJM中學用戶網(wǎng)CJLM工大附中用戶網(wǎng)GDFMYYYY 域指使用的設(shè)備。現(xiàn)在共有如下網(wǎng)絡(luò)設(shè)備：6509，6506，4006，4003，3524，3512ZZ 域指設(shè)備序號：由一位 0-9 數(shù)字構(gòu)成，從 1 向上順序排列。1.2VLAN劃分規(guī)則朝陽區(qū)教育網(wǎng)絡(luò)系統(tǒng)采用基于端口劃分虛擬網(wǎng)（VLAN），一個虛擬網(wǎng)對應一個 IP 子網(wǎng)。交換機的端口劃入相應的虛擬網(wǎng)中。朝陽區(qū)教育網(wǎng)絡(luò)的虛擬網(wǎng)不跨越骨干網(wǎng)，因此根據(jù)網(wǎng)絡(luò)邏輯結(jié)構(gòu)設(shè)置虛擬網(wǎng)域

4、。整個網(wǎng)絡(luò)劃分若干虛擬網(wǎng)域，包括骨干網(wǎng)絡(luò)虛擬網(wǎng)域、公共服務(wù)網(wǎng)絡(luò)虛擬網(wǎng)域、朝陽分院虛擬網(wǎng)域、花家地虛擬網(wǎng)域、朝陽教委虛擬網(wǎng)域、廣播局虛擬網(wǎng)域等 VTP Domain。（見設(shè)備編碼規(guī)劃 VTP Domain 命名表）1.3內(nèi)部IP分配規(guī)則朝陽區(qū)教育網(wǎng)絡(luò)內(nèi)部所有設(shè)備使用保留 A 類地址中的 14 個 B BLOCK。需要與 Internet通信的主機通過注冊 IP 地址與 Private 地址間的轉(zhuǎn)換，或者通過內(nèi)部代理訪問 Internet。IP 地址分配表如下：網(wǎng)絡(luò)層次名 稱說明內(nèi)部地址分配骨干節(jié)點 (1 個 B）網(wǎng)絡(luò)設(shè)備 骨干服務(wù)器群 教委節(jié)點直連網(wǎng) 分院校園網(wǎng) 廣播局節(jié)點直連網(wǎng) 備份地址 55

5、分布層節(jié)點（教委）每學校 2 個C55（3 個 B）實驗小學匯接節(jié)點(二期)實驗小學接入點新源里中學匯接節(jié)點(二期)新源里中學接入點教研中心匯接節(jié)點(二期)教研中心接入點社區(qū)學院匯接節(jié)點(二期)日壇中學RTM社區(qū)學院接入點和平街一中匯接節(jié)點和平街一中接入點朝師附小接入點求實學校匯接節(jié)點(二期)備份5555分布層節(jié)點（分院）每學校 2 個 C （4 個 B）八十中學匯接節(jié)點(二期)八十中學接入點東方德才學校匯接節(jié)點(二期)東方德才學校接入點呼家樓中心小學匯接節(jié)點(二期)呼家樓中心小學接入點陳經(jīng)綸中學匯接節(jié)點陳經(jīng)綸中學接入點芳草地小學接入點青少年活動中心匯接節(jié)點(二期)大望路中學匯接節(jié)點(二期)松

6、榆里中學匯接節(jié)點(二期)備份5555分布層節(jié)點（花家地）每學校 2 個 C 類 55花家地小學九十四中學接入點南湖中園小學接入點白小分校接入點分布層節(jié)點（廣播局）55安惠里中心小學匯接節(jié)點(二期)（二期教委 IP）安惠里中心小學接入點日壇中學匯接節(jié)點(二期) （二期分院 IP）日壇中學接入點工大附中匯接節(jié)點 ( 二期分院IP）工大附中接入點勁松四小接入點總備份55(4 個 B)朝陽區(qū)教育網(wǎng)絡(luò)的骨干節(jié)點劃分在一個 B BLOCK 中。其中 用于網(wǎng)絡(luò)設(shè)備。再其中的 用于骨干鏈路，每條鏈路占一個 4 地址的子網(wǎng)，用于骨干網(wǎng)核心層設(shè)備之間的互連和與匯接層三層交換機的互連。 用于三層交換機路由模塊的 L

7、OOPBACK 地址； 用于朝陽區(qū)教育管理網(wǎng)的網(wǎng)絡(luò)設(shè)備的 IP 地址,其中每個骨干節(jié)點域用一個 C 類地址； 用于花家地的網(wǎng)絡(luò)設(shè)備的 IP 地址； 用于朝陽分院的網(wǎng)絡(luò)設(shè)備的 IP 地址； 用于朝陽教委網(wǎng)絡(luò)設(shè)備的 IP 地址； 用于廣播局的網(wǎng)絡(luò)設(shè)備的 IP 地址； 用于骨干服務(wù)器群的地址。此 B BLOCK 其余的地址分配給骨干節(jié)點直連的校園網(wǎng)。在花家地、教委、分院和廣播局各分配 1個 B、3 個 B、4 個 B 和 1 個 B。各接入層學校可分配到 2 個 C 類子網(wǎng)。各 IP 子網(wǎng)的 IP 地址分配規(guī)劃如下：10.*.*.1 用于路由器的 IP地址 10.*.*.210.*.*.9 保留，1

8、0.*.*.1010.*.*.254 用于主機地址。IP 注冊地址分配規(guī)則合法 IP 地址有 7 個 C 類 IP 地址，分析需求如下：合計共需 C 類 IP 地址 67 個，部分 IP 地址用作保留未來擴展應用。根據(jù)以上需求分析，合法 IP 地址分配如下：第一個 C 類 IP 地址 第二個 C 類 IP 地址 使用。用于朝陽分院服務(wù)器群。用于朝陽分院骨干節(jié)點連接的匯接點及其接入的單位第三個 C 類 IP 地址 用于花家地骨干節(jié)點服務(wù)器群，連接的匯接點及其接節(jié)點序號說明個數(shù)骨干節(jié)點（4 個）1朝陽分院服務(wù)器群642542花家地骨干節(jié)點服務(wù)器群32643朝陽教委服務(wù)器/防火墻644廣播局骨干節(jié)點

9、服務(wù)器/防火墻64128分布層接入節(jié)點（14 個）1分布層接入節(jié)點服務(wù)器群16*14各接入學校單位（350 余個）1大型校園網(wǎng)16*162中型校園網(wǎng)8*243小型校園網(wǎng)24*3004其他教育機構(gòu)網(wǎng)絡(luò)48*N入的單位使用。第四個 C 類 IP 地址 用于朝陽教委骨干節(jié)點服務(wù)器群與防火墻地址轉(zhuǎn)換，連接的匯接點及其接入的單位使用。第五，六個 C 類 IP 地址 /用于廣播局骨干節(jié)點服務(wù)器群與防火墻地址轉(zhuǎn)換，連接的匯接點及其接入的單位使用。第七個 C 類 IP 地址 用于保留擴展和臨時服務(wù)系統(tǒng)應用。為簡化網(wǎng)絡(luò)路由和方便管理，在以上的 IP 地址中使用靜態(tài)分配的方案，*.*.*.1 將用于所在 VLAN

10、 的網(wǎng)關(guān)地址，*.*.*.24 將保留到網(wǎng)絡(luò)擴展時使用。朝陽區(qū)教育網(wǎng)絡(luò)地址分配以及虛網(wǎng)劃分規(guī)劃朝陽區(qū)教育網(wǎng)絡(luò)主干網(wǎng)的網(wǎng)絡(luò)協(xié)議將采用 TCP/IP 協(xié)議（ 在子網(wǎng)內(nèi)用戶可以使用 NETBEUI 協(xié)議或者 IPX/SPX 協(xié)議等），路由協(xié)議采用 OSPF 協(xié)議和靜態(tài)路由。TCP/IP 協(xié)議需要依據(jù)源和目的 IP 地址進行信息的傳輸，所以應當為所有網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站分配 IP 地址。內(nèi)部 IP 地址以骨干節(jié)點分配。，家地、教委、分院和廣播局為骨干節(jié)點。表 2.1保留 IP 地址 B Block 分配表節(jié)點名稱地址范圍地址掩碼VTP Domain朝陽區(qū)教育骨干網(wǎng)-55朝陽教委節(jié)點-55JW朝陽分

11、院節(jié)點-55FY花家地節(jié)點-55HJD廣播局節(jié)點-55GBJ1.4骨干網(wǎng)朝陽區(qū)教育骨干網(wǎng)的地址范圍是55。骨干網(wǎng)路由協(xié)議采用OSPF，IP 地址分配如下：1骨干網(wǎng) C BLOCK 分配表表 2.2使用范圍Subnet No.Subnet Mask骨干鏈路52Loop Back 地址花家地網(wǎng)絡(luò)設(shè)備 IP 地址朝陽分院的網(wǎng)絡(luò)設(shè)備的 IP 地址；朝陽教委網(wǎng)絡(luò)設(shè)備的 IP 地址廣播局網(wǎng)絡(luò)設(shè)備 IP 地址和平街一中網(wǎng)絡(luò)設(shè)備 IP 地址陳經(jīng)綸中學網(wǎng)絡(luò)設(shè)備 IP 地址工大附中網(wǎng)絡(luò)設(shè)備 IP 地址骨干服務(wù)器群地址 教委節(jié)點直連網(wǎng) 分院校園網(wǎng) 廣播局節(jié)點直連網(wǎng) 骨干網(wǎng)路由鏈路選用 1 個 C BLOCK，每條鏈

12、路分在一個四地址的子網(wǎng)中。一期工程共 8個子網(wǎng)，不封裝 VLAN。表 2.3 骨干網(wǎng)路由鏈路子網(wǎng)表1.5公共服務(wù)網(wǎng)公共服務(wù)網(wǎng)的地址范圍是 55。公共服務(wù)器占用 4 個 C 類子網(wǎng)，分別為 、。服務(wù)器 IP 地址分別為 154、54。網(wǎng)管地址為 /24。記費服務(wù)器地址 /24。表 2.5公共服務(wù)子網(wǎng)表Vlan No.Vlan NameSubnet No.Subnet MaskROUTEIP Add.802Internet803MMedu804Netmanage805countfeeVlan No.Vlan NameSubnet No.Subnet Mask8540IP A

13、ddress5509 RSMIP Address900FY_6509-HJD_400652901FY_6509-GBJ_650652902GBJ_6506-JW_6596520903HJD_4006- JW_659625234904FY_6509-JW_659665278905FY_6509-FY_CJLM_400305212906GBJ_6506-GBJ_GDFM_400345256907JW_6596-JW_HPJM_4003852902.設(shè)備及服務(wù)器的 IP 地址分配表格2.1. 骨干網(wǎng)及其它設(shè)備IP地址分配表全網(wǎng)統(tǒng)一設(shè)備的 VLAN 號為 999Device NameInterface

14、IP SubnetworkIP AddressGateway AddressFY_6509SC00/240/32loopback/2454/32HJD_4006SC0/240loopback/2453/32JW_6506SC00/240loopback/2452/32GBJ_6506SC0/240loopback/2451/32JW_SYE_35242JW_XYLM_35243JW_JYC_35244JW_SQC_35245JW_HPJM_4003SC00loopback50/32JW_M_35121FY_M_35121FY_DFDC_35242FY_HZXE_352431.2朝陽區(qū)教育網(wǎng)服務(wù)

15、器地址分配表服務(wù)器內(nèi)部 IP 地址外部 IP 地址TCP 端口號UDP 端口號Web Server1 4內(nèi)部 DNS 主服務(wù)器9內(nèi)部 DNS 輔助服務(wù)器0外部 DNS 主服務(wù)器1外部 DNS 輔助服務(wù)器2Mail 服務(wù)器5 6Mail 備份服務(wù)器7 8FY_BSM_35244FY_CJLM_4003SC00loopback49/32GBJ_M_35121GBJ_AHLE_35242GBJ_RTM_35243GBJ_GDFM_4003SC004loopback48/32VOD 服務(wù)器1 4數(shù)據(jù)庫服務(wù)器5 9MCU0 1視頻終端含在各學校校園網(wǎng)IP 中網(wǎng)管工作站0計費服務(wù)器03. 朝陽區(qū)教育園區(qū)網(wǎng)

16、的安全規(guī)劃在朝陽區(qū)教育園區(qū)網(wǎng)的安全策略的實現(xiàn)中主要有以下幾個方面，即對路由器和交換機自身的保護、NetEye 的設(shè)置策略及對網(wǎng)絡(luò)資源的保護策略。3.1路由器和交換機的保護攻擊者對網(wǎng)絡(luò)設(shè)備的攻擊主要從以下三個方面，即對管理界面 (如Console, Telnet, SNMP)的攻擊、對數(shù)據(jù)界面的過載攻擊、對處理器的過載攻擊。3.1.1 設(shè)立Password 和Banners。為了控制對路由器的訪問，分別對 Console、Telnet 和 SNMP 配置兩級口令，即非特權(quán)口令和特權(quán)口令。非特權(quán)存取允許用戶監(jiān)控設(shè)備的狀態(tài)，特權(quán)存取允許用戶對設(shè)備進行配置。配置 SNMP 的 community st

17、ring 實現(xiàn)用戶的特權(quán)和非特權(quán)訪問。在一些情況下，僅設(shè)置 login and enable 口令不能夠提供足夠的安全。如果用戶在離開特權(quán)狀態(tài)下未退出，任何用戶都可以改動設(shè)備的配置。通過設(shè)立 command exec-timeout mm ss 改變 login timeout 的缺省時間 10min 為 1min 30sec。配置 service password-encryption 命令可隱藏配置文件中的口令的明文顯示。Banner motd cunauthorized use prohibitedcService password-encryption Line console 0Lo

18、ginPassword Exec-time 1 30Enable secret 5 line vty 0 4loginpassword 3.1.2 對網(wǎng)絡(luò)設(shè)備的NET進行有限制性的。配置命令 acs-clan 可定義一個控制列表，對通過 virtual terminal lines路由器的用戶進行限制。不允許通過 AUX管工作站所在的子網(wǎng)是 /24 通過下所示。網(wǎng)絡(luò)設(shè)備。的在朝陽區(qū)教育園區(qū)網(wǎng)中，僅允許網(wǎng)NET網(wǎng)絡(luò)設(shè)備。在網(wǎng)絡(luò)設(shè)備上的配置如line vty 0 4acs-class 12 inline aux 0no loginacs-list 12 permit 553.1.3 對網(wǎng)絡(luò)設(shè)備的S

19、NMP進行有限制性的。在朝陽區(qū)教育信息網(wǎng)中設(shè)置工作站，它的 IP 地址是 0。在網(wǎng)絡(luò)設(shè)備中顯示地將 SNMP 信息導向工作站，并對 SNMP 的 community 字符串加以保護。acs-list 13 permit host 0snmp-server host 0 snmp-server community R0 13snmp-server community RW 133.1.4 對交換機進行有限制性的。IP Permit list 可以的源地址通過net 和 SNMP 的inbound traffic交換機。在交換機上設(shè)置 IP Permit 后，所有其它的 TCP/IP 服務(wù)（例如

20、IP traceroute and IP）仍然可以正常工作。Outboundnet、Trivial File Transfrotocol (TFTP)和其它的基于 IP 的服務(wù)不受 IP permit list.的影響。從的源地址發(fā)出的net 連接請求將被否決，SNMP請求收不到回答從而請求超時。在朝陽區(qū)教育信息網(wǎng)的交換機上都設(shè)置 IP Permit list，禁用未用的端口，在交換機上的配置如下所示。set ip permit set ip permit enableset port mod/num disable3.1.5 針對資源掠奪性的策略。在 TCP/IP 協(xié)議中，者對四種服務(wù)都可以

21、進行掠奪性，即 Echo(7)、Discard(9)、Daytime(13)、Chargen(19)。在朝陽區(qū)教育園區(qū)網(wǎng)的網(wǎng)絡(luò)設(shè)備中關(guān)掉這四種應用。另外還有一種應用 Finger(TCP 和 UDP 79)，者可以利用 Finger 發(fā)現(xiàn)某個用戶在某個時刻登錄到網(wǎng)絡(luò)設(shè)備。在朝陽區(qū)教育園區(qū)網(wǎng)的網(wǎng)絡(luò)設(shè)備中也關(guān)掉這種服務(wù)。no service udp-small-serversno service tcp-small-servers no service finger3.2對于資源的保護目前在朝陽區(qū)教育信息網(wǎng)中主要有以下幾類資源，即網(wǎng)絡(luò)設(shè)備和一些服務(wù)器，服務(wù)器主要有服務(wù)器、服務(wù)器、WWW 服務(wù)器，數(shù)

22、據(jù)庫服務(wù)器和 VOD 服務(wù)器。對網(wǎng)絡(luò)設(shè)備自身的保護如上所述，對服務(wù)器的保護需要設(shè)置控制列表。AcAcs-list 10 permit ip 55 s-list 10 deny ip anyvlan 999Ip acs-group 10 outvlan 901Ip address 52Ip acs-group 101 outAc Ac AcAcAcs-list 101 permit ip 55 55s-list 101 deny ip any 55s-list 101 permit icmp any 55 s-list 101 permit udp any host 0 eqs-list 101

23、 permit udp any host 0 eqAc Ac Ac Ac Ac Ac Ac Ac Ac Ac Ac AcAcs-list 101 permit tcp any host 0 eq smtp s-list 101 permit tcp any host 0 eq smtp s-list 101 permit tcp any host 1 eq www s-list 101 permit tcp any host 1 eq www s-list 101 permit tcp any host 2 eq pop3 s-list 101 permit tcp any host 2 eq

24、 smtp s-list 101 permit tcp any host 2 eq www s-list 101 permit tcp any host 2 eq pop3 s-list 101 permit tcp any host 2 eq smtp s-list 101 permit tcp any host 2 eq www s-list 101 deny ip any 55s-list 101 dney ip any 55s-list 101 permit ip any any在朝陽區(qū)教育園區(qū)網(wǎng)中，路由協(xié)議都采用 OSPF 協(xié)議，對 Route Updates 采取認證。例如，erface vlan 999Ip add Ipf