学院网络的设计与实现(毕业论文).doc

资源描述

****学院网络的设计与实现 ************学院毕业设计论文论文题目 *****学院网络的设计与实现指导教师 ********** 所学专业 ********** 学生班级 ********** 学生姓名 ********** 目录内容摘要关键字一基本网络组建 1.1网络需求……………………………………………………3 1.2网络拓扑结构设计…………………………………………3 1.3校园网络方案总结…………………………………………5 二组网设备的选型 2.1组网技术选择………………………………………………7 2.2设备选择……………………………………………………7 三路由与交换配置 3.1路由设置……………………………………………………10 3.2虚拟局域网设置……………………………………………11 四路由与网络规化 4.1引言…………………………………………………………12 4.2解决方案的要求和结构……………………………………12 4.3具体技术分析………………………………………………12 4.4涉及的问题及技术…………………………………………13 4.5具体配置……………………………………………………15 4.6实现的效果…………………………………………………16 五总结报告参考文献：致谢 [内容摘要] 本文介绍了用网络拓扑结构设计方法规划民政软件学院网络方案。并详细给出基于此网络组建方案的路由配置方案，以及理论上的性能优化方案。合理解决网络的组建配置问题，作出全面规划 [关键字] 校园网络网络设备路由设置性能优化一、基本网络组建 1.1 网络需求软件学院目前主要的教学、科研和办公大楼，通过建设一个高速、安全、可靠、可扩充的网络系统，实现校内信息的高度共享、传递，教学及管理信息化，校领导能及时、全面、准确地掌握全校的教学、科研、生产、管理、财务、人事等各方面情况，建立出口信道，实现与CERNET、Internet互联。同时，在组建中，对网络产品还有以下的要求： 1) 坚持开放性，采用国际标准和通用标准； 2) 采用先进而成熟的技术； 3) 易于技术的更新和网络扩展； 4) 实用性价比高。 1.2 网络拓扑结构设计 1学院网络设计原则本着少花钱办大事的原则，充分利用有限的投资，在保证网络先进性的前提下，选用性能价格比最好的设备，我们认为校园网建设应该遵循以下原则：　　 ●标准化和开放性网络协议采用符合ISO及其他标准，如：IEEE、ITUT、ANSI等制定的协议，采用遵从国际和国家标准的网络设备。 ●可靠性和可用性选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可靠。 ●灵活性和兼容性选用符合国际发展潮流的国际标准的软件技术，以便系统有可靠性强、可扩展和可升级等特点，保证今后可迅速采用计算机网络发展出现的新技术，同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。 ●实用性和经济性从实用性和经济性出发，着眼于近期目标和长期的发展，选用先进的设备，进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。 ●安全性和保密性在接入Internet的情况下，必须保证网上信息和各种应用系统的安全。 ●扩展性和升级能力网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。 ●网络的灵活性系统的灵活性主要表现在软件配置与负载平衡等方面，配合交换机产品与路由器产品支持的最先进的虚拟网络技术，整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络，可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的变化。同时也可以通过平衡网络的流量，以提高网络的性能 2 拓扑设计（一）网络选型：整个校园网络是用主干网络将各个局域网络连接起来，构成一个大范围的园区网络（二）网络中心网络中心作为整个校园网的核心，可以控制和管理整个校园网，并提供连接广域网的任务。主干网通过路由器连接到广域网。布线系统设计综合布线系统是建筑物或建筑群内的传输网络，它既能使话音和数据通信设备、交换设备和其他信息管理系统彼此连接，也能使这些设备与外部通信网络相互连接，包括建筑物到外部网络或电话局线路上的连线点，与工作区的话音或数据终端之间的所有电缆，以及相关联的布线部件。一般布线系统有六个子系统组成：建筑群间子系统，设备间子系统，管理区子系统，垂直（主干）子系统，水平子系统，工作区子系统。校园网为园区网，楼群间子系统采用光缆连接，可提供千兆位的带宽，有充分的扩展余地。垂直子系统则位于高层建筑物的竖井内，可采用多模光缆或大对数双绞线。把管理区子系统并入设备间子系统，集中管理。对于多幢楼宇，可采用多设备间的方法。分为中心设备间和楼栋设备间部分，中心设备间是整个局域网的控制中心，内设有对外（Internet）对内通信的各种网络设备（交换机、路由器、视频服务器等），中心交换机通过光缆（地下直埋）与楼栋设备间的交换设备相连，以保证数据的高速传输。采用综合布线系统，其布线系统设计要点如下：（1）采用大对数3类UTP作为语音主干子系统，采用62.5/125纳米6芯室内多模光纤作为数据主干子系统；（2）水平子系统，电话和数据点全部采用5类UTP产品；（3）建筑群子系统，采用62.5/125纳米6芯多模光纤；（4）采用IBM公司的先进布线系统（ACS）。 3 网络建设拓扑总图网络建设拓扑总图 1.3 校园网络方案总结在整个方案中，采用千兆以太网交换机作为校园网的中心交换机，该交换机可提供10/100MRJ45端口，100M光纤端口，1000M光纤端口多种组合接口，并具有网络管理，控制功能，完全适用于网络中心这种要求高速传输，需要高端口密度和配置灵活的应用场合。校园网络的管理可广泛采用端口VLAN的方法。各个VLAN间的通信不经过路由器，采用采用中心交换机的第三层路由功能。网络中心与外界连接，采用Cisco的1751访问路由器，接入广域网。在中心交换机到各子网的传输介质选择方面，应以应用要求为主，适当考虑成本。由于校园一般分布较广，在中心交换机到二级交换机之间，线缆以多模光纤为主；二级交换机的选择根据应用要求，在中心交换机和二级交换机之间需要高速传输的子网中，采用3Com4950作为二级交换机，该交换机可以配置1个千兆光纤模块，与中心交换机以1000M速度进行通讯；宿舍子网，食堂子网等与中心交换机速度要求不高的场合，只要用100M速度进行通讯就可以，采用3Com4400配合使用。二级交换机起“承上启下”的作用，一端连接到中心交换机，另一端连接到网络个节点，个人计算机、终端等用户设备连接到这些网络节点，组成子系统。一般情况下选择集线器作为网络节点，采用3C1641t/3C16410/3C16753等设备。二级交换机到网络节点，用户设备到网络节点的物理介质，一般采用5类无屏蔽双交线，在距离较远、超过100米的场合，需要使用光纤作为传输介质。在校园网的组建过程中，用户需求、性能可靠、管理方便、易于升级是首先需要考虑的因素。而网络产品的品质保证、厂商对于用户的支持、厂商的持续经营，也是在组建网络过程中不可忽略的。二、组网设备的选型 2.1 组网技术选择主干网络选用千兆位以太网，它可提供足够的带宽，是建设校园网络的理想选择。 Intranet主干网的组网技术有：交换式以太网、快速以太网虚拟网虚拟网（VLAN）是将一组物理上彼此分开的用户和服务器逻辑地分成工作群组，这样的逻辑划分与物理位置无关。简单地说，就是把一组用户分配在一个单一的广播域上的广播流量只有其成员才能够收到。虽然目前各种虚拟网技术林林总总，每种技术既有其独特的一面，又有一定的局限性。但我们还是可以参照OSI模型将它们大致分成第二层（主要基于MAC层）虚拟网和第三层（主要基于网络层协议）虚拟网这两大类 2.2 设备选择网络产品选择需要路由器交换机等网络设备，基于以上设计原则，经过周密考虑，我们选用性能价格比良好的3Com公司的网络产品，3Com公司是世界上最大的网络设备供应商之一，可提供从LAN和WAN交换机、ATM交换机、第三层交换机、访问服务器到路由器到网卡的全系列网络产品。路由器采用Quidway AR46系列路由器可以提供 RPU-350kpps（固定2FE接口） ERPU-1000kpps（固定的3个光电可选的GE接口，或2个固定的GE电口与1个固定的光电可选的GE接口）两种业务处理能力的引擎主板；配备不同的机箱AR46-80、AR46-40、AR46-20分别提供8、4、2个业务槽位，根据网络规模的不同，AR 46凭借其高弹性、高性能可在企业网中作为核心路由器，也可以作为运营商边缘路由器或大型行业网汇聚层路由器。其优点具体表现在 1．端到端可靠性保证 2．关键器件冗余设计：Quidway® AR46系列路由器充分考虑网络应用对高可靠性的要求，融入了高端路由器的技术，设备关键部件如总线、电源、散热系统、BootRom等都采用冗余设计，采用互为冗余备份的双电源（1＋1备份）模块，支持交、直流输入； 3，关键模块热插拔：Quidway® AR 46系列路由器所有接口板、电源、风扇都支持热插拔功能，充分满足网络维护、升级、优化的需求； 4．软件在线补丁：Quidway® AR 46系列路由器提供独特的软件在线热补丁功能，保证软件优化时业务不会中断； 5，丰富的网络冗余：Quidway® AR 46系列路由器具备丰富的链路备份、链路捆绑、路由备份、拨号备份、VRRP等功能，保证网络节点及全网的可靠性；通过多方面的保证，Quidway® AR46系列路由器整机可实现7*24小时的不间断运行。 6．突出的集成安全性 Quidway® AR 46系列路由器全面集成了包过滤防火墙、动态防火墙、ISPKeeper DOS防御系统、NAT、用户认证、安全日志、设备安全、VPN加密，业务隔离（VR）等安全特性，在时间、空间、网络层次等三个纬度为网络用户量身定制安全策略。中心交换机采用ProCurve Networking Switch 5300xl-48G （1）．架构：采用基于 ASIC 技术，通过高达 76.8 Gbps 的纵横交换结构在模块间和模块内提供线速交换，最大吞吐率为 48 Mpps；（2）．灵活而经济有效的千兆性能；（3），IP 第 3 层路由：提供介质速度的 IP 路由，支持静态路由、RIP、RIPv2 和 OSPF ；（4），路由器冗余 (XRRP)：允许 2 台路由器组动态地相互备份，以建立具有高可用性的路由环境；（5），IP 组播路由 (PIM Dense)：使用 PIM Dense 路由协议进行 IP 组播路由；（6），IP 组播（数据驱动的 IGMPv3）：自动防止 IP 组播流量的泛滥；（7）。在多个活动的冗余链路之间动态地进行负载均衡，以增加可用总带宽；（8），802.1w 快速融合生成树协议：通过加快从故障链路中恢复的速度，提高网络的正常运行时间；（9），Cisco 快速以太网通道® (FEC)：支持 Cisco 专有的 FEC 中继协议。二级交换机由于办公网络和其他分支网络的信息通信比较多，每天要访问大量的数据，还有音频，视频等方面的需求，二级交换机可以采用3com4950。 3COM4950的优点；无阻塞千兆交换性能跨所有端口提供超过每秒4100万个数据包的转发速率，最大限度地减少了网络拥塞。 Superstack 3switch 4950交换机提供24个线速固定千兆端口，包括10/100/1000，1000BASE-SE和GBIC。集成式GBIC端口提供的介质灵活性允许您在同一平台中部署其他千兆介质，这种灵活性使得Superstack 3switch 4950交换机成为企业网络理想的数据中心或大楼主干网络集中器。三、路由与交换配置首先连接好路由与计算机通过超级终端连接好 3.1 路由设置 1．在路由器是模式下的基本配置进入命令提示符号 Router>en Router#conf t Router(config)#int e0 Router(config-if)#ip address ip地址子网掩码 Router(config-if)#no shutdown Router(config)#intface token-ring Router(config-if)#ip address ip地址子网掩码 Router(config-if)#ring-speed 16 Router(config-if)#no shutdown 2．配置静态路由 Router(config-if)#ip route destination-network-network-mask interface destination-network 所要到达的目标网络号或子网号 network-mask 目标网络的子网掩码 interface 接口号 3．IGRP动态路由配置在全局模式下输入route rip 进入config-router配置模式然后输入所在网络段的IP地址。 Router(config-if)#router igrp as-number Router(config-router)#router igrp 200 Router(config-router)#network ip地址 Router(config-if)#network-network 3.2 虚拟局域网设置使用VLAN设计局域网的特点通过使用VLAN构建局域网，用户能够不受物理链路的限制而自由地分割广播域。另外，通过先前提到的路由器与三层交换机提供的VLAN间路由，能够适应灵活多变的网络构成。但是，由于利用VLAN容易导致网络构成复杂化，因此也会造成整个网络的组成难以把握。由VLAN构成的网络灵活多变在特权模式下使用vlan database 命令进入到vlan数据库配置模式设置VLAN。按照以上设置好两个vlan 即 vlan 20 和vlan 30 再把交换机其他端口按照以上代码分别归入相应的vlan 需要把某个端口分配到某个vlan内，首先进入到借口模式，把该端口设置为访问（access）模式，然后再把端口指派到某个vlan内。例如，把端口f0/1指派到vlan 20 如图上操作。四、路由与网络规化 4.1 引言：由于专用宽带网Intranet采用的是与Internet相同的服务机制，因而在使用过程中每台终端电脑上都存在两个IP地址、两个DNS解释、两个网关等矛盾，导致网络设置复杂和工作站使用不方便，有必要建立两个网络的统一机制，并简化用户端的配置。本文以我校校园网为例，验证了一种解决方案。 4.2 解决方案的要求和结构我校校园网在原有一条专用网帧中继接入省校虚拟专用网（VPN）链路的基础上，通过本地ISP开辟了第二出口（通过百兆光纤连接Internet）。旨在扩大校园网功能，保证内部网络与省校VPN之间信息互通，同时又能提供对互联网的服务，使广大学员能通过公众网络访问校园网资源；另外在充分利用现有设备资源条件下，降低组网费用。解决校园网络出口问题、调整原网络系统的结构方式，我们有以下几方面的要求： 1.在不修改任何客户端IP地址等设置前提下，校园网用户能正常工作。 3.校园网用户可以通过ISP访问外部公众网CHINANET，同时外部公众网的用户也可访问校园网的Web站点FTP站点及MAIL站点， 4.尽可能地节约校园网调整、改造的投资。按以上要求，我们使用了通过路由器和通过代理服务器两种方法解决专用网络与互联网的共存问题，经仔细分析、考虑，认为关键部分在路由处理，通过比较证明使用路由器可以更方便，更经济，更安全地解决 4.3 具体技术分析比如原我校是一个C类保留IP地址，校内用户都是使用此类地址。公众网的地址与我们的IP地址不同段，校内网络用户是无法直接使用ISP出口的。我们使用网络地址转换技术（NAT），将ISP提供的合法IP地址进行转换，满足了第一个要求。要满足上述的第二点要求必须做出合理的路由选择，在校园网访问省校VPN站点时我们使用静态路由；在校园网访问Internet时我们使用动态路由，结合以上两种方式保证所有用户在安全访问VPN同时还能利用第二个出口安全、高速地对外连接。我们的WEB、E－MAIL、FTP、VOD服务器是使用广域网IP地址同时也使用校园网内部地址，校内、校外用户可直接访问我校服务器而无需经过路由器，这样可大大降低路由器压力，而且在内外网间都可充分利用带宽，不会造成路由循环。在安全性问题上，我们在路由器上设置网络地址的单向转化和访问列表，只允许内部网络向外访问，限制外网对内网的访问。在服务器端安装防火墙并关闭两块网卡上的IP转发功能增加服务器安全，由此满足上述第三点要求。 4.4 涉及的问题及技术 1.NAT（Network Address Translation）技术 NAT(网络地址转换)的功能，就是指将使用私有地址的网络与公用网络Internet相连，使用私有地址的内部网络通过NAT路由器发送数据时，私有地址将被转化为合法注册的IP地址从而可以与Internet上的其他主机进行通讯。NAT路由器被置于内部网和Internet的边界上并且在把数据包发送到外部网络前将数据包的源地址转换为合法的IP地址。当多个内部主机共享一个合法IP地址时，地址转换是通过端口多路复用即改变外出数据包的源端口并进行端口映射完成。从而在外部公共网上正常使用。目前NAT功能通常被集成到路由器、防火墙等设备中。NAT设备维护一个NAT表，用它来实现全局到本地和本地到全局地址的映射。NAT设置可以分为静态地址转换、动态地址转换和端口地址转换。对于我们学校只向外访问而不允许外部网络访问的内部主机，都采用动态地址转换。在此我们使用省校分配给我们的专用网IP地址。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部Internet网络进行通讯时，具有NAT功能的路由器负责将其内部的IP地址转换为合法的IP地址（即经过ISP申请的IP地址）进行通信。 2.路由选择及策略路由静态路由是在路由器中设置的固定的路由表。除非网络管理员干预，否则静态路由不会发生变化。由于静态路由不能对网络的改变做出反映，一般用于网络规模不大、拓扑结构固定的网络中。静态路由的优点是简单、高效、可靠。在所有的路由中，静态路由优先级最高。当动态路由与静态路由发生冲突时，以静态路由为准。在路由器进行包转发决策过程中，通常是根据所接受的包的目的地址进行的。路由器根据包的目的地址查找路由表，从而做出相应的最优路由转发决策。当欲使某些包由其他路径而不是明确的最短路径路由时，就可以启用策略路由，即按照我们具体需要来决定数据包的路由。本案中的路由策略为：专用网规模小，站点少，校园网内对VPN的访问通过静态路由表完成；而对Internet的访问通过动态路由实现。 3.路由器状态检测及NAT功能改进路由器设置了NAT功能后，外部网络对内部网络的访问被限制，对路由器的安全威胁主要来自网络内部的网络病毒和黑客扫描工具的攻击，比如“红色代码”、“SQL极速漏洞王”、“冲击波”、网络蠕虫病毒等。在内部网络发出外部网络的访问请求时，路由器会为内部网络主机发起的每个TCP或UDP连接在它的地址翻译表中建立一条基于端口的连接。在正常情况下，一台主机对外维持的连接数量低于30条，而一旦该主机或服务器感染上述病毒或运行黑客程序时，路由器NAT表里维持的连接数会越来越多，可能会耗尽CPU资源，使路由器瘫痪。在此我们可以使用以下两条命令检测路由器的情况： Show ip nat statistics：该命令用于显示当前NAT表里的连接数量。命令执行结果的第一行为总的活动连接数（Total active translation）如果该数值超了当前内部网络工作电脑数量的10到20倍左右，我们就应该怀疑路由器是否受到攻击。 Show ip nat translations：该命令用于NAT表里的实际连接情况。命令执行结果的第一行为连接说明，其中Pro为连接类型，Inside Global: 针对内部输出至外部需转换NAT时，所使用的合法IP；Inside Local: 针对内部输出至外部需转换NAT时，所使用的专用IP；Outside Global: 针对外部输入至内部需转换NAT时，所使用的合法IP；Outside Local: 针对外部输入至内部需转换NAT时，所使用的保留IP。从输出表里我们应留意Inside Local项，如果大部分的连接由其中一台机器发出，我们就可以检查内部网络中的这台机器，以确定其是否被病毒感染或是否在运行黑客软件。在使用以上两条命令进行手工检查NAT表外，还可通过以下配置优化路由器，以提高路由器的抗攻击能力： ip nat translation tcp-timeout 300 ：设置没有数据流的TCP连接空闲时限为5分钟，防止无效的空闲TCP连接占用NAT表资源。 ip nat translation syn-timeout 20：设置TCP连接请求当出后的等待就答时间为20秒，将超时的连接请求及时清除出NAT表。 ip nat translation icmp-timeout 10 ：将空闲10秒的ICMP连接清除出NAT表。 ip nat translation max-entries 3500 ：限制NAT表里的连接数为3500条，防止达到处理能力的有限，造成路由器瘫痪。因为本案使用单一IP作为NAT转换地址，而单一IP在普通低端路由器中通常仅可提供同时约3950个IP对应记录。 4.5 具体配置在我们对以上网络结构分析及功能分析基础上，考虑到充分利用已有设备和节省资金。我们在原有Cisco 2600路由器基础上进行了改进，并增加了低端交换机实现了校园网的改造。路由器的关键配置如下： … interface Ethernet0/0 //校园网网关 ip address 10.10.113.1 255.255.255.0 ip nat inside … interface Serial0/0 //VPN接口 bandwidth 2048 ip address 10.90.60.113 255.255.255.0 … interface Ethernet0/1 //公共网接口 ip address 61.153.*.* 255.255.255.248 ip nat outside … ip nat translation tcp-timeout 300 ip nat translation syn-timeout 20 ip nat translation icmp-timeout 10 ip nat translation max-entries 3500 ip nat pool tech 61.153.*.* 61.153.*.* netmask 255.255.255.248 ip nat inside source list 1 pool tech overload ip classless ip route 0.0.0.0 0.0.0.0 61.153.244.* //动态路由 ip route 210.33.116.0 255.255.252.0 10.90.60.100 //静态路由 … access-list 1 permit 10.10.0.0 0.0.255.255 4.6 实现的效果经过以上路由及网络配置后，专用网络的用户已可方便地访问专用网络资源和Internet资源，并能很好地保护专用网络内部通信和信息安全，减少设备投入和网络接入成本。五、总结报告 1对技术方法的评价：给出对在开发中所使用的技术、方法、工具、手段的评价。 2出错原因的分析：给出对于开发中出现的错误的原因分析。 3经验与教训：列出从这项开发工作中所得到的最主要的经验与教训及对今后的项目开发工作的建议参考文献： [1]Cisco产品配置手册. [2]黄荣怀.校校通从书[M].北京：中央广播电视大学出版社. [3]陈阿林，肖丹燕.校园网的路由策略选择及实现[J].电讯技术，2002.6 致谢感谢学院领导的关心以及学院三年的培养让我们早日成为IT行业的人才奠定了基础。尤其是****老师一直以来在我们网络技术学习过程中，给予了许多好的建议以及技术上的大力支持。由于我们的实践经验不足，此网络方案及配置还有待改进。特此向****老师及参与同学致谢。 17 **********学院

展开阅读全文