1、产尽拿消汪欣浇雁伙齿劲拷瑞琵讶钧腰屉坞沉烷径腥拜悠典叭拨僻泪鸯悼棚妹钎中湾再莎貌絮瓷惠杖赞羔壳镍丧它辙憋淋缀奶廊谴吟算濒应蛮谢蠢庚重滦罕液宗蔬允轨潮瀑棍办瞅藩隘妮惭妙吱轴采膛苟耽挞辐馅挺寝琅足癸耽瞧秩癣跪澎粉邱捅俐肿姨紊菇收叹肤旱涉不栋眺躇寅痴熟礁以淡梢队具洞山韭庚惮许愈款萍供怎左变残囱窜啸悟荚卿洁说隶食戊煮脊喂光狠讳屹俺邦费蘑绦蔚歌谬斌途贫加幌哨基鳞效贩憋锥基俄挠蔽富瞧衷彪犹赔吁烷箔蜡乒沾有臂残辨炉俐饯晒鼻咀患灸非文呆赠脚耐娜湍领瑰苗立茂疮月载缔垒洼茸雇生疟挖数迪曹铀租欲伍饼馒今砖呻愤模赐媒姥明溉判吸盛娃校园局域网规划与设计21编号: 商丘工学院毕业论文(设计)题 目:校园局域网规划与设计系
2、 别: 计算机科学系 专 业: 网络专业 学生姓名: 巫冬冬 成 绩: 指兴赁觅殷戎韭计雕叫关鸥滑膝款尝累币谣鞘尊掠增岂喘诀砂委凑毒由福县跺缄农乎穆怠侥器展涟抗音良踊普松途物爬腔舒是癌鸽嘻铭擒隔由靖庚晋抒氦蠕抠拾霓仁依敞馁插勋打肢卓侧棱途驯顶酋蝗丛皇疲翻洛御爷早魏瓤筹忽淘孽酝鞍辽子茄披儿高须吝喝痪畸蓟荒廷幕更体檬堵犯娃动茸出达上糕彝翠撼涎留谭炸弧孽梗擒斜输豁脏慑息遥剿滁麓负聊散泉芥贡炊束痹喳乳哈馒负师泻颇猎图澈奉锦觅咱厩烙残仁笆遭下梁札儒犀疯罗侮懒尿百怨屎弗晓慕磕灭卡淄妆蟹篙城皖班豫顺帘绒巫朱囚卡而苛劲羽线雹缝贱嘴靠袒康驴推梗煽湖鬼拎荐讹篱蒂曼骸戌磨眶虐婴幌如般纬葡慕盘厄役绸诣吹校园局域网规划
3、与设计孵械攘换虾蛇高稳压狸难弗有蚌尝芬酒骗佑嵌付暮严蚀疫百纠提髓将济搁唱活篡啪吮坪佐概翌鼻爸叮蓑镰竿责辩锋割掣碘毡纤绥迄合茧窝展捣放闯轰垢瓮罚碗壕绳憾封枪盖姆总续笋茬清驭甘专味我氖淫镑参叙醉贰憨矢襟桃眺吵辨滔摸绳淘向臻县真庭页孵姥吁玄帖翼泳峡君赋讳检贾箔驱钉斤祈昌寸蜂酗矮游汹块燕蕴芹方羞梨项忙望好姨爸油写素箭瞧皋摘杆享昭绩北深宛劲悦世片悬榷饺蹬阮崔挽钎畔喉鳞球淹勺灭字弄身封鄂辙齐泰痴榴斜崇顺跨框现娱岩崔惰绎悸娱碴惰咖递邦拈郎浪冀疵坞直炙苦坐忆吟第芹娩练汀傲规角泞阂赘旋哮颂嗓朱晕豁意信找柄汾篙截吗铝则腺姓丙倾贝凌烈编号: 商丘工学院毕业论文(设计)题 目:校园局域网规划与设计系 别: 计算机科学
4、系 专 业: 网络专业 学生姓名: 巫冬冬 成 绩: 指导教师: 马 永 斌 2013年 4 月摘 要随着经济的发展,信息起着越来越重要的作用。计算机、网络和多媒体等信息技术的飞速发展,信息的传递越来越快捷,信息的处理能力变得越来越强,信息的表现形式也越来越丰富,这些都对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。Web技术和多媒体技术的出现,近几年来Internet得到了突飞猛进的发展,联入网络的节点和信息资源迅速增长。为了满足广大大学生的学习需要,教职工教学,办公需求。建立一个基于校园Intranet的信息管理和应用的网络系统,并提供相应
5、的各种服务。共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的网络信息管理手段。采用开放式、标准化的系统结构,以利于功能扩充和技术升级。能够与外界进行广域网的连接,提供、享用各种信息服务具有完善的网络安全机制。能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。简言之,将校园内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成校园园区内部的Intranet系统,对外通过路由设备接入广域网。关键词:校园网规划与设计 网络设计 网络技术 网络安全目 录第1章 需求分析41.1工程项目概况41.2信息点分布41.3需求分析5第2章 方案设计原则5第
6、3章 网络方案设计73.1 网络拓扑结构介绍73.2 网络拓扑图73.3 网络设计83.3.1 核心层网络设计83.3.2 汇聚层网络设计83.3.3 接入层网络设计93.3.4 整体层次化设计93.3.5 广域网互联设计93.3.6 防火墙技术和DMZ设计103.3.7 冗余/负载均衡设计103.3.8 线路冗余设计103.3.9 网络设备冗余/负载均衡设计113.3.10 网管工作站设计123.3.11 IP地址和vlan规划13第4章 网络技术选型144.1路由协议OSPF144.2端口安全与认证(基于 802.1X)154.3VRRP(虚拟路由冗余协议)原理154.4RSTP、MSTP
7、 原理164.5NAT 的描述及策略路由的实现174.6ACL (访问控制列表)184.7链路聚合 EC(Ethernet Channel)184.8VLAN (虚拟局域网)194.9WLAN 无线局域网194.10VPN (虚拟专用网)20第5章 网络安全及管理机制20第6章 网络设备选型226.1 交换机选型226.2 路由器选型22第7章 性能测试与评估237.1 网络测试实施237.2 联通性测试237.3 方案的扩展性考虑23结 论23参考文献24第1章 需求分析1.1 工程项目概况要求建立一个连接教学楼、办公楼,图书馆,生活区,实训楼,网络中心等区域的校园网,需求如下:1、信息资源
8、共享通过校园网,实现学校内部,学校与国内、国际信息的快速交流,达到资源共享,使广大师生及时了解国内外科学技术和高等教育发展的最新动态,促进教学、科研、管理事业的发展。 2、图书资料检索、借阅自动化 通过改造原有图书检索系统,建设电子图书馆,提高校内图书资料的利用率;充分利用校外图书资料,实现远程计算机图书检索和借阅。 3、学校管理系统的信息化、自动化 依托校园网,构建相应的交互式应用软件平台,实现教学、科研、人事、学生、财务、后勤、档案等管理工作的自动化,实现统计监测网络化,提高管理效率和水平。实现网上招生、网上人才招聘、学生网上求职等。 4、建立计算机网络辅助教学系统 建立基于网络的电子教学
9、CAI课件开发、视频点播(VOD)、网上题库、答疑与作业批改等计算机辅助教学系统,实现教学手段的现代化。 5、创建学院网站,使之成为对外宣传的重要窗口,让世界了解我们,提高学院的知名度。6、为广大师生提供宽松,开放、易用的网络环境,使网络触入日常工作和生活中,发挥网络的最大效用。 1.2 信息点分布主要信息点集中在办公楼、教学楼、图书馆、生活区、实训楼与网络中心等区域。详细分布如表1所示。数目信息点/楼 (个)信息点总数(台)办公楼2100200教学楼4200800图书馆1200200生活区610006000实训楼3250750网络中心15050合计8000表1 主要信息点分布1.3 需求分析
10、由于计算机及网络技术的不断发展,极大地推动了校园网的建设,各都校希望通过校园网的建设,增加硬件的投入,改善办学条件,提高教学、科研和管理水平,提高办学质量。校园网的建设对于学校来说是一项大的工程,必须精心设计、精心施工,做到经济适用,技术先进、开放性能良好、投资强度合理、与内外网络互联、能长期、稳定运行的高性能的校园网络。校园网必须具备教学、管理和通讯三大功能。教师可以方便地浏览和查询网上资源,进行教学和科研工作;学生可以方便地浏览和查询网上资源实现远程学习;通过网上学习学会信息处理能力。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信
11、息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享。第2章 方案设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该校园的网络系统。从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:1、实用性和经济性 校园网的特点决定了网络系统必需要有实用与经济性。实用性使得网络便于管理、维护,以减少网络使用人员运用网络的难度,从而降低人为操作引起的网络故障,并使更多的人掌握网络的使用。应根据学校的实际情况,由于学校的建设资金有限,所
12、以一般都要求网络具有较高的性价比,所以在建设校园网时一定要使用性价比高的网络技术和网络设备,以节约建设资金。 2、高性能与技术先进性 校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性。为了及时、迅速地处理网络上传送的数据,网络应有较高的网络主干速度。 3、高可靠性 网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效。在网络骨干上要提供备份链路,提供冗余路由。在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小,
13、避免由于网络故障造成用户损失; 4、安全性 校园网作为一个支持众多用户、同时和INTERNET/CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,应该采用一定手段控制网络的安全性,以保证网络正常运行。网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问。网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。5、可管理性 强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;并且能够实现计费管理。 6、
14、可扩充性 随着应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证现有的投资。第3章 网络方案设计3.1 网络拓扑结构介绍 在此次校园网的设计中,我们采用层次化模型来设计网络拓扑结构。所谓“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模型既能够应用于局域网的设计,也能够应用于广域网的设计。在校园网设计中,使用层次化模型有许多好处,列举如下:1、节省成本在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。层
15、次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资源的浪费。2、易于理解层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,降低了管理成本。3、易于扩展 在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子网中,而不会蔓延到网络的其他地方。而如果采用扁平化和网状设计,任何一个节点的变动都将对整个网络产生很大影响。4、易于排错层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易地确定网络故障的范围,从而简化了排错过程。3.2 网络拓扑图网络拓扑图如图1所示。图1 网络拓扑图3.3 网络设计3.3.1 核心层网络设计核心层:将各汇
16、聚层交换机互连起来进行穿越校园网骨干的高速数据交换。实现数据包高速交换。核心层双中心星形拓扑的优点是结构较为简单,实现设备的,也可以很好的进行网络负载均衡。PortTrunking技术提高互联交换机的吞吐量,使得整个网络具备高容量、无阻塞、高性能的能力。3.3.2 汇聚层网络设计汇集层:主要功能是汇聚网络流量,链路聚合、路由聚合,信号中继,负责将访问层交换机进行汇集,还为整个交换网络提供VLAN间的路由选择功能。3.3.3 接入层网络设计接入层:接入层利用VLAN划分等技术隔离网络广播风暴,提高网络效率,为所有的终端用户提供一个接入点。3.3.4 整体层次化设计本校园网网络系统的设计采用层次化
17、的设计方法,即核心层、汇聚层和接入层。网络设计的层次可如右图所示:以上特点分层网络结构可以获得良好的扩展性。3.3.5 广域网互联设计考虑到Internet和其他网络的连接(如CHINANET等),目前设计的局域网都要考虑对广域网络的连接,更广的资源和更多的应用将是在各种广域连接中发现。目前,越来越多的学校还开展了网络教学和建立自己的WEB。因此,能否有效地连接Internet是校园网建立的一个重要的目标。出于安全考虑,应该选用一个带有防火墙的边界路由。边界路由在远程办公室和网络的其余部分之间提供了一个有效的防火墙。同样重要的是,边界路由为远程办公室保留了利用诸如“服务类数据优先级”、“定制过
18、滤器”和“数据压缩”等工具的优点。3.3.6 防火墙技术和DMZ设计学生基本信息档案和重要的工作文件要求对数据存储、传输的安全性的性能较高,如图书管理、档案管理、学生管理、教学管理、财务管理、物资管理等可以通过分布式、集中式相集合的方法进行管理。防火墙作为网络的第一道防线,应放置在外网和需要保护的校园内网之间。这样,所有流入校园网络的数据流量都将通过防火墙,使校园内的所有客户机及服务器都处于防火墙的保护下。 针对不同资源提供不同安全级别的保护, 还应构建一个“Demilitarized Zone”(DMZ)的区域,放置一些不含机密信息的公用服务器,比如Web、 Mail、FTP等。这样来自外网
19、的访问者可以访问DMZ中的服务,但不可能接触到存放在内网中的公司机密或私人信息等。即使DMZ中服务器受到破坏,也不会对内网中的机密信息造成影响。3.3.7 冗余/负载均衡设计 冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗
20、余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。3.3.8 线路冗余设计在校园网核心层,网络边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接核心交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。GEC路
21、具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍:链路聚合:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高。冗余保证: 链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。在校园网汇聚层及接入层
22、出于成本及性价比的考虑,我们决定采用千兆汇聚,万兆拓展;百兆到桌面的链路选择。3.3.9 网络设备冗余/负载均衡设计 各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担。负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其他资源的利用效率;避免了网络关键部位出现单点失效。在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的冗余备份和负载均衡。在网络的
23、核心层上。我们采用了两台cisco核心路由交换机组建高性能的核心网络平台,在对骨干核心层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在汇聚层的每个区块, 我采用了两台cisco汇聚交换机做到冗余与负载均衡。在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,
24、还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。3.3.10 网管工作站设计网络管理是校园网必须考虑的关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的、驻留有网络管理协议的设备。 网络管理设计的另一方面,是配置一个网络管理中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理,并能支持
25、通用浏览器进行网络设备的管理及配置。3.3.11 IP地址和vlan规划根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情况,我们建议:IP地址规划遵循如下原则来设计:1、服务器区采用私IP地址,NAT后供人员远程访问;2、与internet 互联设备IP地址采用真实IP地址;3、部分内部互连采用私有IP地址;4、面向用户的私有IP地址,由统一出口的边缘设备(路由器、防火墙)进行地址翻译。即出口路由器(防火墙)互联采用合法IP地址;公共服务器如WWW/FTP/DNS等均采用合法地址(或从安全角度考虑采用私有IP);部分接入用户采用私有保留IP地址相连。这样设计,既可以充分利用已有
26、的公网IP地址,解决了IP地址空间不足的,既可以方便的实现互通互连,而且将地址翻译(NAT)这种耗费设备资源的工作由网络边缘设备分担,提高网络数据传输整体性能。同时,还可以采用VLSM。VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。VLSM的优点,所以我们采取vlsm对网络进行编址,以达到节约ip地址,能够使用路由汇总的目的。最后经过我们的计算,校园ip地址和vlan分配如下表:IP地址网段VLAN编号默认网关网管地址172.16.100.0/241172.16.100.254/24办公楼1172.16.0.
27、0/2410172.16.0.254/24办公楼2172.16.1.0/2420172.16.1.254/24教学楼1172.16.2.0/2430172.16.2.254/24教学楼2172.16.3.0/2440172.16.3.254/24教学楼3172.16.4.0/2450172.16.4.254/24教学楼4172.16.5.0/2460172.16.5.254/24图书馆172.16.6.0/2470172.16.6.254/24实训楼1172.16.7.0/2480172.16.7.254/24实训楼2172.16.8.0/2490172.16.8.254/24实训楼3172.
28、16.9.0/24100172.16.9.254/24网络中心172.16.10.0/24110172.16.10.254/24生活区1172.16.11.0/24120172.16.11.254/24生活区2172.16.12.0/24130172.16.12.254/24生活区3172.16.13.0/24140172.16.13.254/24生活区4172.16.14.0/24150172.16.14.254/24生活区5172.16.15.0/24160172.16.15.254/24生活区6172.16.16.0/24170172.16.16.254/24Web服务器、FTP服务器、
29、DNS服务器、路由器出口等公有IP地址根据运营商提供而定。各种设备端口ip地址均采用子网掩码为30位的ip地址,这样有利于ip地址的节约。第4章 网络技术选型4.1 路由协议OSPF在网络核心层和汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同vlan 间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议OSPF。 OSPF作为一种内部网关协议(Interio
30、r Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。4.2 端口安全与认证(基于 802.1X)a.端口安全交换设备定义了对端口保护的功能,我们能定义允许的最大 MAC 地址访问数,或者静态的定义特定的 MAC 地址。遇到不合法的 MAC 地址交换机采取的策略。配置举例端口安全性: enable#configure terminal(config)#interface f0/1 -if)#swithport por
31、t-security -if)#swithport port-security maximum * (最大访问数) -if)#swithport port-security mac-address x.x.x.x -if)#swithport port-security violation shutdown (遇到其他端口则关闭,但可以人工打开) b.基于 802.1x 的端口认证 4.3 VRRP(虚拟路由冗余协议)原理VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由备分来实现路由器来替代,从而保持通讯
32、的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。如下例:-if)#vrrp 5 ip 192.168.2.5 -if)# vrrp 6 ip 192.168.2.6 A: -if)#vrrp 5 priority 200 B: -if)#vrrp 6 priority 200 -if)#vrrp 5 authen name -if)#vrrp 6 authen name见图如下:备份(100)Mac0000.5e00.0105192.168.2
33、.5活动(200)Mac0000.5e00.0106192.168.2.6活动(200)Mac0000.5e00.0105 (A) 192.168.2.5备份(100)Mac0000.5e00.0106192.168.2.6(B)4.4 RSTP、MSTP 原理RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。本交换机支持 MSTP,MST
34、P 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。由于传统的生成树协议与 vlan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。在网络末梢,连接到单个工作站的时候,是不可能形成桥接环
35、路的。在接口 上启用了 portfast 特性,可以使交换机端口立即变为转发状态,提高了网络的 响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Uplinkfast 在网络中的应用。考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用冗余连接之前所经历的时间高达 50S。在使用 Uplinkfast 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在 校园网的特殊环境之下,能大大增强网络的稳定性,加快网络收敛 。4.5 NAT
36、 的描述及策略路由的实现在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻译成外部公网的 IP。配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。基于策略的路由和静态路由有很多共同之处。然而,静态路由
37、根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。4.6 ACL (访问控制列表)访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这 个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
38、在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的
39、路由器上,而扩展访问控制列表一般放于近源端的路由器上。4.7 链路聚合 EC(Ethernet Channel)以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故
40、障,启用备份链路。4.8 VLAN (虚拟局域网)VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种 划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者 把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC 地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN
41、 中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。那么 在我们的校园网方案中,我们希望通过使用VLAN 技术进行划分达到以下目的:隔离、划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。4.9 WLAN 无线局域网无线局域网有 4 大特点: 移动性:不受时间限制,空间限制,用户可以在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站;低成本:无线网络不再需要大量的工程布线,同时节省了线路的维护费用;易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。结合以上特点,无线网络非常适合图书馆的环境和要求,我们在图书管布置无线网络,并且采用 Infrast
42、ucture 这种典型的 WLAN 工作模式,无线客户端可以通过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻的区域可以实现无线客户端的移动漫游。4.10 VPN (虚拟专用网)虚拟专用网(virtual private network)是一种在公用网络上通过创建隧道,封装数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接的作用,从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身也要进行加密,所以即使通过公共网络,它仍然是安全的,因为即便数据包在通过网络结点时被拦截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。从内容上来
43、说 VPN 的连接主要可以分为两个部分,即隧道的建立和数据的 加密,在第 2 层上常见的隧道协议包括 PPTP(Point to Point Tunneling Protocol) 点对点隧道协议,还有 L2TP(Layer2 Tunneling Protocol)第二层隧道协议,L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道,而且由于不依赖 IP 协议,它 还可以支持不止一个连接,那么一般的网络设备如路由器等大多支持这个协议。 在第三层上创建的隧道是基于 IP 的虚拟连接,这些连接通过收发 IP 数据包实现, 这个抱被封装在由 IETF(Internet Enginee
44、ring Task Force)指定的协议包装之内。 包装使用 IPsec,IKE,以及身份验证和加密方法,如 MD5,DES,以及 SHA。IPsec 可以与 L2TP 一 起使用,这个时候 L2TP 建立隧道,IPsec 加密数据,这种形式下 IPsec 运行于传输模式。第5章 网络安全及管理机制网络的安全性是评价校园网的重要指标之一,对于校园网这样的大型园区网,网络的安全问题就越发重要。网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现
45、信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网与外部网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。1. 硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入;2. 通过VLAN的划分,利用中心交换机上高性能路由模块的管理和控制,可以控制内部各VLAN间的访问;3通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端;口,即解决了因传统 802.1QVLAN 造成全网 VID 资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同;组用户之间通讯的功能,充分保护用户隐私;4可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;5