一、前言
　　
　　廣州分院計算機網是中科院"百所聯網"二期工程的一部分，網絡中心設備于1998年初安裝運行，隨著用戶接入和網絡應用的開展，在運行、管理中碰到不少問題。雖然已逐漸完善網絡中心設備及服務器的配置和建立了相應的管理制度，一些問題也得以解決和控制，但對防止一些不守法用戶經常采用未授權IP上網問題，仍不能得到解決，網管人員為此花費不少精力。當時曾想在邊界路由器上做IP-MAC綁定，但由于CSTNET從網絡整體安全考慮，邊界路由器管理權由院網絡中心控制，對二級節點的廣州分院網來說,如把IP-MAC綁定在邊界路由器上，將不利于網絡監控及管理,對可能發生的一些事件無法做出快速反應，因此實際是不可行的。解決問題只能在廣州分院網絡中心設備上入手。
　　
　　二、網絡結構配置及解決方案
　　　
　　由于4500只配高速口f0，其余為異步口，使得邊界路由Cisco 2514只能接入Catalyst3200，和所有局域網形成"平構式"結構，對防止IP盜用問題造成先天不足。
　　
　　從分析Catalyst 3200虛網功能上可見，除了虛網功能本身的優點外，Catalyst 3200 交換機與Cisco 4500路由器的高速口支持ISL(InterSwitch Link)及VTP（VLAN TRUNK PROTOCOL），這對強化網絡管理提供有力的技術保證。通過對Catalyst 3200的端口進行虛網設置，再跟據網絡用戶所在的物理位置、工作性質、網絡通信負載盡量均衡原則，把所有網絡用戶納入不同虛擬子網,各子網經 Catalyst 3200與Cisco 4500的高速口連接--路由，再把IP-MAC綁定在Cisco 4500上就可能達到預期目的。
　　
　　三、虛擬子網VLAN的配置
　　
　　1).Catalyst 3200交換機上VLAN及VTP的配置 經超級終端進入Catalyst 3200控臺
　　
　　a).設置VLAN管理域 進入"SET VTP AND···· ",選"VTP ADMINISTRATION CONFIGURATION" 設置VALN管理域名"GIETNET"；VTP方式為"SERVER"。
　　
　　b).設置VLAN及TRUNK： 將所有子網的交換機、HUB上連至Catalyst 3200的10MB或100MB口，并按上述原則分配VLAN，將這些端口進行虛網劃分如下：
　　　
　　本項設置是從控制臺的CONFIGURATION選定"LOCAL VLAN PROT CONFIGURATION"，進行VLAN及TRUNK口的指定，并把所有的3個VLAN填入TRUNK口的配置單中，最后顯示如下
　　
　　2).Cisco 4500路由器的設置
　　
　　把Cisco 4500的f0口按子網數"分割"成相應的"子口"， 根據其設置的ISL（InterSwitch Link）號,與相應子網進行邏輯連接。在本例中，f0被分割為f0.1、f0.2、f0.3與VLAN1、VLAN2、VLAN3連接，其配置命令如下：
　　
　　router#config t
　　
　　router(config)#int f0.1
　　
　　router(config-subif)#Description VLAN1_GIET
　　
　　router(config-subif)#ip address 192.168.111.1 255.255.255.192
　　
　　router(config-subif)#encapsulation isl 2
　　
　　. .
　　
　　router(config)#int f0.2
　　
　　router(config-subif)#Description VLAN2_gzbnic
　　
　　router(config-subif)#ip addess 192.168.111.65 255.255.255.192
　　
　　router(config-subif)#encapsulation isl 3
　　
　　. .
　　
　　Ctl Z
　　
　　wr
　　
　　設置完畢,再請北京網絡中心把邊界路由器中有關子網路由項全部指向Cisco 4500,用戶的網關按其子網路由器地址設定。
　　3).在Cisco 4500路由器上建立ARP表
　　為強化網絡管理防止IP盜用，在Cisco 4500路由器上建立ARP表，將所有子網的IP與相應的網卡MAC地址進行綁定，對于未用的IP也進行綁定，如：
　　ARP 192.168.111.130 0800.3c5d.419f ARPA (已分配的IP有網卡地址)
　　.
　　
　　ARP 192.168.111.169 0000.0000.0000 ARPA (未分配的IP無網卡地址)
　　當注冊網絡用戶需更換網卡時，需得到網管人員的確認、同意，對企圖非法盜用者將無法進行（參見下述）；另外可按具體情況設置訪問控制列表等安全管理措施。
　　四、系統特點
　　經過虛網設置和IP-MAC綁定結合, 網絡系統的特點：
　　
　　1).發揮VLAN優勢
　　
　　合理分配網絡資源，均衡網絡負載，有效降低網上廣播信息,方便對用戶的分組管理。
　　2).增強網絡安全
　　
　　由于網絡各子網相互隔離，網絡通訊限制在子網內；子網間的交通或出境的通訊全部通過其相應的路由端口,加強了Cisco 4500對全網的控制能力,并由4500上的ARP表進行用戶IP的合法性核查。
　　
　　3).強化網絡管理、合理記費
　　如2)所述，由于虛網的配置加上Cisco 4500的IP-MAC的匹配檢查，使得IP盜用比一般的地址綁定更為困難，理由是這種配置結構下，即使想盜用，其通訊也只限于本子網內(活動范圍大大減少,被當場抓獲可能性加大) ；Cisco 4500上的IP-MAC的匹配核查，使得有計費的IP盜用無法進行(盜用變得無意義)，從而達到合理記費和有效提高網絡管理、控制能力。
　　本工作于去年完成，運行穩定，滿足要求。華教公司的田戈先生對方案提供寶貴意見，在此表示感謝。
　　名詞解釋：
　　1).VLAN TRUNK PROTOCOL（VTP）：用VTP設置和管理整個域內的VLAN，在管理域內VTP自動發布配置信息，其范圍包括所有TRUNK連接，如交換互連（ISL）、802.10和ATMLAN（LANE） 當交換機加電時，它會周期性地送出VTP配置請求，直至接到近鄰的配置（summary）廣播信息，從而進行結構配置必要的更新。 交換機的VTP配置有三種模式：服務器、客戶和透明模式。
　　2).ISLTRUNK ISL中繼不同的VLAN多路包，包頭帶有"ISL VLAN數"標志（VTP VLAN ID）。