宿舍网络建设和维护技术

如何定义策略路由？
CISCO3620(conf-route-map)#match ip address 10 CISCO3620(conf-route-map)#set interface e 0/1 ！使教师内部网的机器上外网从E0/1出去（100M） CISCO3620(conf-route-map)#exit CISCO3620(conf)# route-map go-out permit 20 CISCO3620(conf-route-map)#match ip address 20 CISCO3620(conf-route-map)#set interface e 0/0 ！使学生内部网的机器从E0/0出去（10M）
如何监测网络流量？
Test.cfg举例
### Global Config Options # for UNIX # WorkDir: /home/http/mrtg ### Global Defaults # to get bits instead of bytes and graphs growing to the right # Options[_]: growright, bits ### Interface 128 >> Descr: '1000BaseF Port 2/1' | Name: 'Slot 2, Port 1' | Ip: '202.112.14.10' | Eth: '00-e0-7b-c0-b0-40' ### Target[202.115.4.1_128]: 128:community@IP.1: SetEnv[202.115.4.1_128]: MRTG_INT_IP="202.112.14.10" MRTG_INT_DESCR="1000BaseF Port 2/1" MaxBytes[202.115.4.1_128]: 125000000 Title[202.115.4.1_128]: Traffic Analysis for 128 -- Passport-8610 PageTop[202.115.4.1_128]: <H1>Traffic Analysis for 128 -- Passport-8610</H1> <TABLE>
Step Command
5 ip policy route-map maptag
6 ip route-cache policy
Purpose 在接口上启用 策略路由规则。
启用快速转发 模式。
如何定义策略路由？
基于源IP地址的策略路由
1. 目的： 根据不同的源IP地址，选择不同的校园网出口。
2. 作用： 可定义教师使用专用的校园网出口（如直接到 公众网），学生使用公用的教育网出口。
网络的结构---布线系统
布线系统 规范：超五类，六类。 点数： 教师区：单点/户 学生区：单点/室 OR 单点/人 注意点：楼宇间必须使用光缆。
单点/人与单点/室的比较
100
90
80
成
70 60
本
50 40
30
20
10
0
1
2
管 理 单 元
带宽设计
带宽设计 宿舍网络：
与校园网互联：1000M 楼宇之间：100M－－瓶颈 桌面：100M 校园网络： 增开到公众网的链路。
如何定义策略路由？
Policy Based Routing 语法规则
Step Command
1 route-map map-tag [permit | deny][sequence-number]
2
match length min max
and/or
match ip address {access-
• Step 2: 在接口应用ACL Router(config-if)# { protocol } access-group access-list-number
ACL号与协议的关系
Protocol IP Extended IP AppleTalk IPX Extended IPX IPX Service Advertising Protocol
扩展ACL举例
如何定义策略路由？
策略路由的概念
1. 根据网管定义的规则实现路由选择，而不仅仅是 根据目的IP地址进行判断。
2. 策略路由仅对incoming的数据包进行逻辑匹配和 转发。
3. 基于目的地址的路由默认的路由 基于源IP地址的策略路由 ☆ 基于数据包大小的策略路由 ☆ 基于应用的策略路由
Diablo等服务。
如何使用ACL控制访问？
ACL的定义对象
如何使用ACL控制访问？
ACL的工作过程
ACL的配置
• Step 1: 定义ACL Router(config)# access-list access-list-number { permit | deny } { test-conditions }
如何监测网络流量？
MRTG的安装和使用。 make make intall //编译并安装 ./cfgmaker community@IP >> test.cfg //生成初始配置文件。 //使用文本编辑工具打开text.cfg编辑参数。 ./indexmaker --section=title test.cfg> test.html //生成该设备端口流量统计首页。 //使用文本编辑工具打开test.html修正首页。 crontab –e //进入定时执行程序编辑模式，添加统计程序。
• 应用举例：
Router(config)# access-list 1 permit 172.16.0.0 0.0.255.255 Router(config)#int eth1 Router(config-if)#ip access-group 1 out // 限制只有172.16.0.0子网的计算机才能访问E1接口的 服务器。
问题。 ❖具有用户接入控制功能，实现用户认证和
计费。 ❖实现用户上网业务流程管理。
宿舍网络建设的要点
如何设计宿舍网络的结构？ 如何定义路由策略和策略路由,优化网络负荷状况? 如何使用ACL技术,控制恶意的网络访问? 如何统计网络流量，了解网络状况？ 如何减轻用户端配置和IP规划的压力？ 如何开展NAT业务，解决IP匮乏问题？ 如何实现用户上网的身份认证和计费？ 如何实现用户上网业务流程管理？
list-number|name}
[...access-list-number |
name]
Purpose 进入路由映射 配置模式。
定义匹配规则， 默认匹配规则 为匹配所有的 数据包。
如何定义策略路由？
Policy Based Routing 语法规则
Step Command
Purpose
3 set ip precedence [number 定义匹配数据
• 扩展ACL举例
Router(config)# access-list 101 permit TCP any 192.168.1.0 0.0.0.255 eq 21 Router(config)# access-list 101 deny TCP any 172.16.3.0 0.0.0.255 eq 21 Router(config)#int eth0 Router(config-if)#ip access-group 101 // 限制只有管理子网192.168.1.0的计算机才能访问E0接口 网络上的TELNET服务器。172.16.3.0子网上的BBS服务被 限制在网内。
如何定义策略路由？
CISCO3620(conf)#int e 1/0 CISCO3620(conf-if)#ip route-cache ！启用快速缓存交换，在其他两个接口上也
使用了同样命令 CISCO3620(conf-if)#ip policy route-map go-
out ！启用策略路由 ……
我校宿舍网流量图
东院教师宿舍年流量统计
我校宿舍网流量图
本部学生宿舍本周校内流量统计
我校宿舍网流量图
本部学生宿舍本周校外流量统计
如何设计宿舍网络的结构？
拓扑设计
采用冗余结构，提高稳定性。 使用三层设备，隔离不同宿舍区之间的广播
流量。 建立宿舍网内快速互访链路，减轻校园网核
心交换机负荷。 使用PVLAN方式，隔离用户之间的广播通信。
如何定义路由策略？
The Simplest is The Best，使用静态路由。 教师宿舍网络使用默认路由实现冗余和负 载均衡。 不同宿舍区之间使用静态路由直接交换数 据流量。
如何使用ACL控制访问？
什么是ACL？ ACL=Access Control List，是一组访问规则
定义。参数为L3和L4信息。
❖服务的用户量大，密度高，对系统容量要 求高。
❖用户群的网络应用复杂，增长快。 ❖与校园网高速互联，出网业务流量大，对
校园网出口带宽产生冲击。 ❖网络管理和用户管理的工作量大，要求高。
当前宿舍网络面临的问题
❖重性能，轻管理，不可运营。 ❖无良好的宿舍网络出网访问策略。 ❖IP地址资源不足，无法满足大量用户的需求。 ❖用户量大，管理粒度小，维护工作量剧增，
网管不堪重负。 ❖学生用户流动性大，用户管理的工作量大。 ❖学生用户盗用网络的情况严重。 ❖由宿舍网络发起的网络攻击快速增长。
宿舍网络建设的目标
❖建设可运营，可管理的网络。 ❖网络具有良好的稳定性和安全性。 ❖优化宿舍网对外访问的方式，减轻校园网
出口带宽的压力。 ❖具有开展NAT业务的能力，缓解IP地址匮乏
如何监测网络流量？
使用MRTG统计流量。 MRTG的安装和使用。 使用SNIFFER分析网络流量。 使用PORT MIRROR截获流量。
如何监测网络流量？
我校的流量统计系统。
如何监测网络流量？
MRTG的安装和使用。 下载：
http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub / UNIX下的安装： cd /usr/local/src gunzip -c mrtg-2.9.18pre1.tar.gz | tar xvf – //解开压缩包 cd mrtg-2.9.18pre1 ./configure --prefix=/usr/local/mrtg-2 //配置
Cisco IOS 11.0 以上版本支持。
如何定义策略路由？
示例拓扑图：某校园网
如何定义策略路由？
CISCO3620的配置过程如下： CISCO3620(conf)#access-list 10 permit 192.168.1.0 0.0.0.255 CISCO3620(conf)#access-list 20 permit 192.168.2.0 0.0.0.255 CISCO3620(conf)#route-map go-out permit 10 ！建立路由图go-out，实现策略路由，使教师 内部网的机器上外网从E0/1出去（100M）， 使学生内部网的机器从E0/0出去（10M）。
宿舍网络建设和维护技术
电子科技大学信息中心
系统运行部
沈学良
为什么要建设宿舍网络？
❖ 完善学校基础网络建设，让校园网络真正为学校 的教学，科研，管理等部门服务。
❖ 满足学校教师和学生个人发展的需要。 ❖ 满足各类网上教学系统的应用条件需要。 ❖ 满足校内各类信息发布系统的应用条件需要。
高校宿舍网络的特点
标准ACL举例
扩展ACL的语法
• Router(config)# access-list access-list-number { deny | permit } protocol source source-wildcard destination destination-wildcard [ operator operand ] [ established ]
Range 1-99 100-199 600-699 800-899 900-999 1000-1099
通配符定义
通配符使用举例
匹配所有主机
0.0.0.0 255.255.255.255 = any
172.30.16.29 0.0.0.0 = host 172.30.16.29
标准ACL、扩展ACL和命名ACL
| name]
包的转发操作，
set ip next-hop ip-address [... ip-address]
可设置多条。
4
interface interface-type interface-number
进入端口配置 模式。
如何定义策略路由？
Policy Based Routing 语法规则
标准ACL 仅使用源IP作为定义对象。 扩展ACL 可使用源IP，目的IP，源端口，目的端口作 为定义对象，可实现针对网络应用的访问 控制。 命名ACL ACL的一种新的格式，支持删改ACL中的 匹配项。
标准ACL的语法
• Router(config)# access-list access-listnumber { deny | permit } source [ sourcewildcard ] [ log ]
• 在路由器接口上配置 • 定义规则以分类数据包 • 可针对任何可路由协议
配置。
如何使用ACL控制访问？
ACL的作用
• 控制网络流量，提高网络性能。 • 实现基础的网络安全。 • 定义哪些流量需要转发，哪些需要丢弃。
ACL在宿舍网络上的应用
• 保护网内重要服务器免受攻击。 • 限制学生对某些保密子网的访问。 • 限制学生私自对外开设WEB，FTP，BBS，