中小学校园多网段结构的改造和探讨 网段

中小学校园多网段结构的改造和探讨 网段 网络兴起初期，中小学能简单地跟所属教育局相连。但随着学校规模扩大和信息技术的发展，学校电脑数量剧增，网络结构从简单到复杂，从单一的租用他人空间发布网站到自己服务器承载多个功能，校园网络面临着巨大挑战。本文结合目前大多中小学在城域网布局下所拥有的低端网络设备（以思科R2600系列和思科S3500二层交换机为例），配置DHCP服务以解决复杂网络结构所带来的问题。 一、环境 早期很多学校是通过路由器接入教育局，每台电脑都配置属于同一个网段的静态IP地址，由教育局统一管理网络。但当机主擅自更改了某台电脑的IP地址，则会导致IP地址冲突，甚至整个学校IP地址配置混乱，网络问题层出不穷。管理员就要花更大的精力去解决此类问题。这给网络管理和安全带来了很多隐患。 机房的扩建和网络规模的扩大，无形中给IP地址的管理带来压力，也增加了广播风暴发生的几率。网络病毒的盛行，给这种单一的网络结构带来重大的冲击，例如“ARP病毒”。以上的各种情况使得校园网络性能大打折扣，中小学单一的网络结构改造迫在眉睫。 二、网络结构改造 怎样改造能够给学校网络创建良好的环境，又尽可能的不浪费原有网络资源呢?我们采用的是以下方法。 1.虚拟局域网（Vlan）的划分 如果一个网段里电脑数量太多，网络里就会拥有大量的广播包，无疑使良好的网络性能受到影响，此时我们只要把一个大网络分割成几个小网络既能阻隔网络广播包，又能阻止一部分网络病毒的传播。将学校里的电脑划分到不同的逻辑网段内，一个Vlan就相当于一个逻辑网段，不同Vlan之间不能通信。采用划分Vlan的方法也允许更多的主机联网。 可将单网段结构改造成如下内容： R2600 | S3500-VLAN 10 (WINxx DHCP) / VLAN20VLAN30 / PC1PC2 其中：vlan10的IP地址范围：192.168.10.X/24，容纳254台电脑。 vlan20的IP地址范围：192.168.20.X/24，容纳254台电脑。 vlan30的IP地址范围：192.168.30.X24，容纳254台电脑。 在核心层交换机（S3500）上划分虚拟局域网（vlan）即可。例如划分为3个网段，vlan10、vlan20、vlan 30 ,其中DHCP服务器属于vlan10网段。一批电脑划分到Vlan10，另一批电脑划分到Vlan20内。将S3500的F0/1接口划入vlan10，F0/2接口划入vlan20，F0/3接口划入vlan30。与F0/1口相连的电脑都属于一个网段，与F0/2口相连的电脑属于另一个网段，他们之间互不干扰，也可以阻隔网络病毒的传播。 过程如下： （1）通过口用专用控制线连入S3500设备的CONSOLE口。 （2）进入S3500设备特权模式命令：en （3）创建vlan10、vlan20、vlan30。创建vlan10方法如下： 进特权模式（en）进vlan数据库（vlan database）-创建vlan（vlan 10） （4）进入端口划入vlan中。把f0/1端口划入vlan 10方法如下： 进全局模式（conf t）进接口模式（int f0/1）划分vlan（switch aess vlan 10） 2.网段互通 要想实现不同网段的网络互联，需要路由转换。路由器能在不同网段间转发数据，但它却阻隔广播包。由于3500交换机是二层的，没有路由功能，所以只能借助路由器R2600来实现数据通信。R2600的以太网接口只有2个，一个要接外网，另一个接口只能跟某一网段相连，划分了3个VLAN，要使得全部互通就需要路由器子接口，即把一个接口当成多个虚拟接口。例如器R2600的f0/0口接教育局， F0/1口可以连S3500交换机的F0/24口。 配置方法如下： （1）通过口连入路由器的配置口。 （2）进入路由器F0/1口并开启子接口，配置IP地址，即各网段对应的网关地址。 进全局模式（conf t）进子接口模（int f0/1.1）封装dot1Q （encapsulation dot1Q 10）配置IP地址（ip add 192.168.10.254 255.255.255.0）开启接口（no shut） （3）与路由相连的交换机端口配置Trunck口。 进接口模式（int f0/24）开启Trunk模式（switchport mode trunk） 3.配置DHCP服务 把Winxx系统的IP地址配置成192.168.10.253/24 网关地址192.168.10.254，接入交换机F0/1口。 配置DHCP功能，创建三个作用域，分别如下： （1）名称:服务器。 地址池：192.168.10.1-192.168.10.100 网关地址：192.168.10.254 （2）名称:vlan20。 地址池：192.168.20.1-192.168.20.253 网关地址：192.168.20.254 （3）名称:vlan30。 地址池：192.168.30.1-192.168.30.253 网关地址：192.168.30.254 在作用域的服务器选项里配置适当的DNS地址，就可以使得客户机能完整的获得TCP/IP信息。 （4）路由器配置：由于DHCP服务工作的过程中产生的是广播包，路由器的分割使得其他网段的电脑不能获取DHCP广播包，服务器也收不到客户机发送的IP请求的广播包，在这种情况下，需要用DHCP中继功能选择性地把有关DHCP的广播包转发到其他网段。那么需要在路由器上配置如下命令。 进全局模式开启dhcp服务（service dhcp）配置中继地址（ip helper-address 192.168.10.253）。 若在三层交换机启用路由后，在VLAN接口中配置中继命令即可。 三、中小学网络结构改造的优点 网络技术飞速发展，网络结构的优劣至关重要。对中小学网络进行多网段改造具有以下优点： （1）合理利用原有资源，节约成本。 （2）有效控制广播风暴和网络病毒的传播增加网络安全。由于把一个大网分割成若干个虚拟小网，广播数据被限制于更小的范围内传播，不会因为广播风暴造成线路堵塞。 （3）高效自动的管理IP地址。通过采用DHCP服务器来控制管理全网的IP地址分配，给管理员减少了大量的重复性工作，也降低网内IP地址冲突的概率。 四、体会心得 经过Vlan的划分、路由子接口的创建及DHCP服务的设置，我们就可以轻松应对一个中小网络结构调整中所碰到的问题，更好地使