《毕业设计(论文)高校校园网的规划和设计.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)高校校园网的规划和设计.doc(34页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、摘 要校园网络可分为校园网络中心,教学子网,办公子网,图书馆子网,宿舍区子网等。业务网和管理网需要分开,所以建成后校园网能提供多个网段的划分以及隔离,并能做到灵活改变配置,适应教学环境的变化和调整。本文研究采用业界一流的骨干级交换机交叉背板交换,分布式二/三/四层处理,无阻塞交换架构,保证全网全线速10/100M接入用户桌面,在本系统中,服务器可选择接入100Base-TX、1000Base-SX、1000BaseT,骨干交换机提供线速三层交换,接入层交换机线速二层交换保证全网无阻塞性能,支持1000M上联模块,能够根据业务流量的需要采用TRUNK功能,网管简单,可选Web、CLI管理 。本文
2、还将着重讨论校园网络的安全性问题,指出校园网安全问题的重要性,威胁校园网络安全的因素,通过对校园网络系统所存在的安全问题和网络安全管理现状的分析,并在老师的指导下,能够提出利用防火墙、路由器、交换机、服务器等网络设施系统软件,构建一个具有多层次安全功能的校园网安全模型,同时采用三层交换技术可有效防止IP盗用,提高网络安全性。关键词:校园网;三层交换;网络安全目 录摘 要I目 录II第1章 绪 论11.1 校园网需求分析11.2 系统规划21.3 方案特点21.4 网络安全问题2第2章 组网技术32.1 网络组件32.1.1 交换机32.1.2 网桥32.1.3 路由器32.1.4 网关32.2
3、 校园网技术新发展32.2.1 虚拟局域网技术42.2.2 第三层交换技术4第3章 需求分析83.1 组网背景83.2 网络工程建设规划83.3 校园网技术新发展83.4 系统总体目标93.5 方案设计原则9第4章 系统总体设计114.1 “自顶向下”的设计思想114.2 分层次的设计114.2.1 网络层次结构114.2.2 网络的三层结构124.2.3 层次性网络设计的指导原则134.3 局域网技术选型144.3.1 以千兆网作校园网主干144.3.2 交换式以太网144.3.3 局域网结构分析154.4 三层结构在校园网中的应用154.4.1 第三层交换概述154.4.2 紧缩模式154
4、.4.3 全网状模式164.4.4 部分网状结构模式174.4.5 第三层交换模式174.5 高校网络拓扑结构设计184.6 多协议处理及路由能力设计194.6.1 VLAN的设计194.6.2 第三层交换技术194.6.3 支持多种路由协议194.6.4 组播支持20第5章 网络安全研究215.1 安全风险分析215.2 局域网络安全225.3 广域网络安全225.3.1 设置高性能的代理服务器225.3.2 设置防火墙235.4 安全性机制23第6章 设备选型256.1 核心主交换机256.2 接入层主交换机266.3 路由器266.4 Inter架构服务器276.5 楼层交换机技术特点2
5、7结 论29致 谢30参考文献31第1章 绪 论随着网络规模的不断扩大,多媒体应用正成为校园网应用的又一主流。多媒体的应用对校园网的网络带宽和网络速度提出了更高的要求。采用网络互连设备HUB、网桥和路由器来扩大网络的方案已不能完全适应网络规模发展的需要,使用交换机替代路由器实现大容量低延迟的局域网路由在实际中也己得到较广泛的应用,具有二层交换技术的交换机解决了网段间的信息碰撞问题,利用VLAN技术划分子网实现了管理上的灵活性,具有第三层交换能力的网络交换机可以满足不断增长的子网间的通信需要,同时实现多媒体通信所要求的低延迟量的稳定性。传统的基于共享介质的以太网逐步被交换网络所取代,第三层交换技
6、术和第三层交换机这一新的网络技术正在网络建设中得到应用和发展,如何有效地集成这些技术是校园网建设中必须考虑的问题。1.1 校园网需求分析我校是一所正在建设中的现代化综合学府,网络在学院日常教学办公中起到至关重要的作用,校园网的运作模式带来大量动态数据的传输,相当一部分住应用服务器要高速接入网络,网络要有足够的主干带宽和扩展能力。大学是一个小社会,网络应用类型非常复杂,信息媒体类型较多,且具有信息流猝发特点。在大学校园网建设中,应充分兼顾信息资源共享与服务、多媒体教学和教务管理等因素对网络的需求。大学建设校园网,一般经费比较充裕,在网络技术上应该留有一定的发展空间。校园网设计应能满足以下条件:网
7、络应具有传递语音、图形、图像等多种信息媒体功能,二级以上交换机应支持组播功能。具备性能优越的资源共享功能,以及校园网中各信息点之间的快速交换功能。由于大学校园网规模较大,教学与科研部门众多,如果所有信息点在同一冲突域中,网上广播风暴就会使网络性能严重下降,中心系统交换机应支持VLAN和第三层交换技术,支持QoS,对网络用户具有分类控制功能,对网络资源的访问提供完善的权限控制,以提高网络的安全和性能。校园网与Internet网相连后,应具有“防火墙”过滤功能,以防止网络黑客入侵网络系统。能够对接如因特网的各网络用户进行权限控制和计费管理。1.2 系统规划 校园网络可分为校园网络中心,教学子网,办
8、公子网,图书馆子网,宿舍区子网等。业务网和管理网需要分开,所以建成后校园网能提供多个网段的划分以及隔离,并能做到灵活改变配置,适应教学环境的变化和调整。所以,合理划分虚拟网络(VLAN)十分关键。由于划分VLAN必须参照网络安全原则及网络流量分析,因此,VLAN的划分不是事先就能完全确定的,必须按照“事先设计,运行调整”的思路进行。VLAN的设计是系统集成的重点之一。1.3 方案特点 1、业界一流的骨干级交换机交叉背板交换,分布式二/三/四层处理,无阻塞交换架构,保证全网全线速10/100M接入用户桌面。2、服务器可选择接入100Base-TX、1000Base-SX、1000BaseT。3、
9、骨干交换机提供线速三层交换,接入层交换机线速二层交换保证全网无阻塞性能。4、支持1000M上联模块,能够根据业务流量的需要采用TRUNK功能。5、支持高速端口聚合,具有链路冗余和负载均衡的能力。6、高智能,支持二/三/四层线速交换,提供端到端的QoS的保证。7、高安全,802.1X基于用户身份的认证。8、网管简单,可选的Web、CLI管理。1.4 网络安全问题1、以太网固有的一些特性导致了以太网接入的安全问题。2、学校学生计算机水平高而且时间充裕,本身网络就有很大的安全隐患。3、学校具备的Internet、Cernet、校内三种资源的选择性对网络安全管理提出了挑战, 如何处理访问的灵活性和安全
10、性之间的平衡是每个学校网管需要考虑的问题。第2章 组网技术2.1 网络组件计算机网络中存在许多不同类型的组件,这里简单介绍最常见的网络组件和每个组件的基本功能。 交换机交换机3是用来提高LAN性能的数据链路层设备。在许多网络中,交换机己经替代集线器来提高终端用户的性能。交换机是一种由许多高速端口组成的设备,连接LAN网段或连接基于端到端的独立设备。交换机有很多类型,每种交换机支持不同的速率和LAN类型,比如以太网、令牌环、FDDI和ATM。交换机将整个介质带宽集中到一个端口上。 网桥网桥用于分割数据流以提高网络的整体性能。它也用来提供跨广域的连接并且提供了一种最简单的将局域网网段,连接成可维护
11、、高可靠性的扩展网络的方法。网桥工作在OSI模型中数据链路层的MAC子层,网桥监听所有流经它所连接的网段的数据,并检查每个数据帧的目的网卡地址,以决定是否将该帧送往网络的其他部分。网桥对帧操作且完全不必考虑帧的内容,但网桥的操作既需要硬件也需要软件。 路由器路由器工作在网络层,通常比中继器、网桥和交换机复杂,路由器是对分组(包)而不是对帧进行操作的。路由器连接具有相同通信架构的网络,但这些网络的低层架构可能不同,它是从物理上和逻辑上对网络进行分割的,而且常常可以用来替代网桥或交换机。 网关网关又称又称为协议转换器或网间连接器,它工作在OSI协议的传输层或更高层,是互联网设备中最为复杂的设备,用
12、于互联不用体系结构的网络。2.2 校园网技术新发展校园网技术随着时代的进步而不断发展。虚拟局域网(VLAN)己经发展成为交换式LAN方案的必不可少部分之一。用LAN交换机取代部门路由器和介质访问设备(如集线器)的速度在不断增大。随着每个端口的以太网和令牌环网的交换机价格下降,越来越多的学校和组织倾向于给每个用户分配一个单独的交换端口,以便获得更高的带宽。VLAN虽然解决了在二层交换机上划分广播域的问题,但虚拟局域网之间的通信仍需要借助速度较慢的传统路由器。此时,三层交换技术融交换技术和路由技术为一体应运而生,给人们带来了高速交换解决方案,并使路由器退出局域网技术领域。 虚拟局域网技术1、什么是
13、VLANVLAN技术目前仍是未标准化的不开放的技术,各个厂商提供的VLAN解决方案有一定的差异。体现在VLAN的概念上也是各有不同见解。但是一个比较通用的能被大家接受的定义是认为VLAN等同于一个广播域。具体而言,VLAN可以看作是包含一组端站点的逻辑局域网,这些端站点可位于不同的物理网段中,但它们不受物理位置的限制而互相通信,就好像它们在同一个物理LAN中一样4。2、实现VLAN要解决的关键问题(1)、定义VLAN成员的问题,即划分VLAN的方法。(2)、在多个交换机上划分VLAN时各个交换机之间的交换VLAN成员身份信息的问题。(3)、在多个VLAN之间通信的问题,即VLAN之间的路由问题
14、。3、划分VLAN的方法定义VLAN成员的方法多种多样,主要有四种:按交换机的端口划分VLAN,按MAC层地址划分VLAN,按网络层地址划分VLAN,按IP组播划分VLAN等。 第三层交换技术在过去的20多年中,交换技术和路由技术都得到了充分发展,交换技术的发展和对网络技术的贡献更是引人注目。到目前为止,已基本形成了“以交换机为中心”的LAN连接方案。尤其这些年所建成的Intranet更是离不了交换机和路由器。交换技术和路由技术的主要区别在于:交换机所处理的是以太网帧中MAC地址部分,而路由器不仅可以识别MAC地址,还可以进一步分析包含网络类型信息的协议首部。正因为这一关键性的区别,使得交换机
15、和路由器在网络设计中所担任的角色也大不相同。传统的二层交换机主要区别使网络通信双方节点在通信时能够获得专有的连接,从而享有真正的全部带宽,这对于共享式以太网而言无疑是一个大飞跃。二层交换机也可用于划分子网。但是,基于二层交换机的所有子网在遇到数据包广播时便显得毫无意义。因为对于二层交换机来讲,与其所有端口相连的节点,无论是单一的工作站还是子网,都共享一个广播域。当发送节点发送了一个广播包后,该包就会扩散到所有与交换机端口相连的子网中,而不管该子网是一个TCP/IP子网还是一个IPX子网。显然,将一个TCP/IP广播包发送到IPX子网中是不合理的。这也会影响整个网络的性能。二层交换机的这种广播控
16、制缺陷是由其对以太网帧的处理能力所决定的,因为二层交换机只能识别MAC地址,不能识别数据包中的网络地址信息,因而它对于区分不同类型的子网是无能为力的。在网络设计中,路由器主要用来完成交换机所缺乏的有效子网划分和广播控制功能。在通过路由器连接的两个子网中,子网间的广播包不会互相扩散。网间的正常通信可通过路由器的路由来实现。虚拟局域网(VLAN)解决了在二层交换机上划分广播域的问题,可以替代路由器的限制广播的功能。但VLAN之间的通信仍需借助路由器。由于传统路由器的路由寻址功能是通过软件实现,该软件运行于有固定内存的CPU之上,虽然CPU和存储器的速度越来越快,但仍赶不上网络流量增加的速度。随着用
17、户对网络性能、网络延迟和网络带宽需求的不断增加,尤其随着G以太网和Intranet及Extranet的兴起,传统路由器的处理速度越来越成为提高网络性能的瓶颈。与路由器相比,由于二层交换机采用ASIC5(Application Specific Integrated Circuit)芯片来处理包转发,因而其处理速度是非常快的。交换技术和路由技术在当今的网络设计中都是核心技术,但两者各有优缺点,而网络需求又在不断增长。在这种情况下,人们自然会考虑:能不能将交换机的高速性能和路由器的控制功能结合起来。第三层交换技术便在这种想法的基础上产生出来。1、第三层交换技术实现要点第三层交换是一个模型,它将第二
18、层交换机和第三层路由器两者的优势结合成一个灵活的解决方案,可在各个层次提供线速(Wire speed)性能的数据转发。这种集成化的结构还引进了策略(Policy)管理属性,它不仅使第二层与第三层相互关联起来,而且还提供流量优先权处理、安全性处理以及多种其他的灵活功能,如中继、虚拟网和内部企业网的动态部署。第三层交换机的组成如图2.1所示。图2.1 第三层交换机的组成图2.1列出了第三层交换机的组成部分。接口层包含了所有重要的局域网接口:10/100M以太网、G以太网、FDDI和ATM。交换层集成了多种局域网接口并辅之以策略管理,同时还提供中继、VLAN和标签机制。路由层提供主要的LAN路由协议
19、:IP、IPX和AppleTalk,并通过策略管理提供逐包式或直通式的第三层转发技术。策略管理和行政管理使网络管理员能根据企业上的特定需求调整网络,从而给他们带来配置和管理上的方便与灵活。将一个传统的路由模块加入到交换机中并不是真正的第三层交换。这是因为,在这种情况下,流量控制、路由寻址等功能虽然也可以实现,但传统路由的高延迟依然存在。所以,实现真正的第三层交换,关键在于要改变传统路由器处理包转发技术,也就是要实现线速路由。线速路由就是要使路由速度(转发路由分组的速度)达到传输线上的数据传输速度,消除路由瓶颈。考虑IP网和IPX网,在网络中主要有四种流量类型在进行传输:第二层交换(纯交换帧);
20、第三层IP路由(纯IP路由分组):第三层IPX路由(纯IPX路由分组)以及同时进行的第二层交换与第三层IP路由(交换帧和路由分组的混合流量类型)。第二层LAN交换机只可以实现纯交换帧的线速转发,第三层交换机的优势在于可以实现剩下三种流量类型的线速转发(当然它也可以实现纯交换帧的线速转发)。传统路由器虽然可以转发各种路由分组,但其延迟较高,转发速度达不到线速。2、三层交换机的通信过程三层交换机的通信过程如图2.2所示。 图2.2 三层交换机通信过程如图2.2,假设A和B以前通信过,中间的交换机如支持第三层交换的话,它便会把A和B的IP地址及它们的MAC地址记录下来。当其他站点如C要与A和B通信时
21、,C发出ARP寻址包,询问A或B的IP地址对应的MAC地址是什么,针对C发出的寻址包,第三层交换机会不假思索的送一个回复包给C,告诉它A或B的MAC地址,以后C当然就会用A或B的MAC地址“直接”与其通信。因为通信的双方完全没有通过路由器这样的第三者,所以哪怕A、B或C属于不同的子网,它们之间均可直接知道对方的MAC地址。更重要的是,第三层交换机并没有像普通二层交换机那样把广播包扩散到与之相连的所有端口,由于第三层交换机能看懂第三层信息(如IP地址、ARP寻址包等),因此第三层交换机便能洞悉ARP广播包的目的地址,而在尚未把它扩散出去的情形下,满足了发出广播包的机器的需要,而不必在乎它们在任何
22、子网里。第3章 需求分析3.1 组网背景二十一世纪是信息化时代,办公自动化、网络化、信息化已成为一种必备条件。作为基础教学与科研基地的学校自然会走在所有行业的最前列,全国各大、中、小学校都在积极建设和完善校园计算机网络。校园网已成为各学校必备的重要信息基础设施,其规模和应用水平己成为衡量学校教学与科研综合实力的一个重要标志。 3.2 网络工程建设规划为了适应全国和省市州教育科研计算机网络的发展,加强校内外信息的交流,满足校区广大师生的需求,充分利用网络资源为全校教学、科研和管理服务,校区网络中心拟提出如下建设计划:(1)整个校区网络结构以网络中心为核心,构成星型结构;(2)主干采用千兆路由技术
23、,所有节点交换100Mbps到桌面;(3)考虑师生并发上网的问题,配置功能强大的代理服务系统;(4)配置功能齐全、方便实用的网络管理平台。3.3 校园网技术新发展为了便于网络管理和网络扩展,节省用户投资,在充分考虑建设原则、满足应用需要和适应网络技术发展趋势等方面后,所以选择了Gigabit Ethernet,原因如下:1、以低廉的价格提供高带宽。千兆以太网提供10倍与快速以太网的性能,而价格远远低于其10倍。2、良好的兼容性和管理的简单性。3、能保证服务质量。目前公认,合理组织的千兆以太网不需要考虑QoS管理。4、支持千兆以太网多层交换的交换机。综上所述,本方案主要选择千兆以太网技术来构建用
24、户的需求,对二层节点和桌面微机的接入也采用快速以太网,建立一个基于多层、全交换的虚拟园区网络。采用1000M主干,光纤到各主要信息点,100M交换到桌面,逐步形成以网络中心大楼为中心、辐射其它楼宇的校园网。3.4 系统总体目标对于一个校园网来说,系统的总体目标就是在一段时期内,当校园网完全建设好后所要达到的功能和具有的规模。一般来说,一个校园网系统总体目标往往是分布实施的,包括功能和规模的分布实施。根据高校校园网网络建设的要求,为其设计了一整套的网络设计方案,采用AVAYA公司(原朗讯企业网络集团)的网络设备6,为高校校园网络系统构建优质、可靠、稳定的网络平台。提供方便、高效的网络管理手段及良
25、好的可扩展性和易维护性。3.5 方案设计原则本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合高校的网络系统。从技术措施角度来讲,在系统的设计和实现中,将严格遵守以下原则:1、实用性和集成性系统的软硬件设计、还是集成,均应以适用为第一宗旨,在系统充分适应教育信息化的需求的基础上再来考虑其他的性能。该系统所包含的内容很多,将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致地进行高效工作。2、标准性和开放性 只有支持标准性和开放性的
26、系统,才能支持与其他开放型系统一起协同工作。在网络中采用的硬件设备及软件产品应支持国际工业标准或事实上的标准,以便能和不同厂家的开放型产品在同一网络中同时共存;通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。3、先进性和安全性 系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是至关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。4、成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通信的需要。网
27、络硬件体系结构应在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并得到较多的第三方开发商和用户在全球范围的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速的修复。因此需要采取一定的预防措施,如对关键应用和主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工作的要求。一个高可用性的系统才
28、能使用户的投资真正得到回报。5、可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行。因此,网络所选网络设备应支持SNMP、RMON、SMON等协议,管理员通过网管工作站就能方便的进行网络管理、维护甚至修复。在设计和实现计算机应用系统时,必须充分考虑整个系统的便于维护性,以使系统在万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。第4章 系统总体设计高校校园网计算机网络系统的总体设计主要包括以下几大部分:1、设计思想;2、分层次的设计;3、高校网络拓扑结
29、构设计;4、多协议处理及路由能力设计。4.1 “自顶向下”的设计思想在本方案中采用了“自顶向下”的设计思想。自顶向下的设计方法适用于从OSI参考模型的高层开始再向较低的层次推进的网络设计,它着重于在选择运行于较低层次上的路由器、交换机和介质之前,将重点放在应用、会话、数据的传输上。另外,我认为:“好的网络设计必需清楚客户的需求蕴涵着许多商业和技术的目标,包括可用性、可伸缩性、可购买性、安全性和可管理性等。”所以在设计高校校园网络系统的时候,尽量站在用户的角度考虑问题,以满足用户的应用需求和技术需求。4.2 分层次的设计由于高校校园网络的规模较大而且应用比较复杂,普通的平面网络结构设计模型难以满
30、足园区网络设计的需求。层次性网络设计模型,由于其良好的伸缩能力、易于实现、易于排除故障、可预测性、协议支持、易于管理等特点,可充分满足园区网络的长期需求。因此,在设计高校校园网络的时候,采用了经典的“三层层次模型”和二层设计相结合的设计方法。 网络层次结构一个优秀的网络,不仅要有先进的设备,还要有先进的网络结构。在传统的网络设计中,是将基本网络职能和服务放在网络的中心,并将共享带宽放在用户级。但在过去几年中,随着网络技术的迅速发展和网上应用量的增加,分布式的网络服务和交换已经移至用户级,由此形成了一个新的、更适应现代高速大型网络的分层设计模型。这种分级方法被称为“多层设计7”。多层设计是模块化
31、的,网络容量可随日后网络节点的增装不断扩大。多层网络结构有很大的确定性,因此在运行和扩展过程中进行故障查找和排除非常简单。多层网络结构最有效地利用多种第三层业务,包括分段、负载分担和故障恢复等。在分层网络中运用智能第三层业务可以大大减少因配置不当或故障设备引起的一般问题。多层模式使网络的移植更加简单,因为它保留了基于路由器和集线器的网络寻址方案,对以往的网络有很好的兼容性。另外,分层结构也能够对网络的故障进行很好的隔离。分层化的模式可以支持所有常用的网络协议。 网络的三层结构网络的三层结构如图4.1所示。图4.1 网络三层结构1、接入层网络的接入层是最终用户被许可接入网络的点。该层能通过过滤或
32、访问控制列表提供对用户流量的进一步控制,不过该层的主要功能是为最终用户提供网络接入。在局域网环境中,接入层主要功能如下:提供交换的带宽和第二层服务,如基于接口或MAC地址的VLAN成员资格和数据流过滤。当然,在这一层也可以提供安全特性。接入层主要关注通过低成本、高端口密度的设备提供的这些功能。 接入层为用户提供了接入网络的能力,接入层通过堆叠方式连接到分布层中,然后再通过分布层连接到网络的主干。采用堆叠的方式将大大提高接入层交换机的性能同时在信息点较多的大楼能实现当地路由,从而减少网络主干的负载。在高校校园网络中,接入层交换机包括将本地的信息点连接至骨干网络,同时因为采用了堆叠的技术,可以使分
33、布层和接入层合二为一,不仅简化了网络结构,同时也节省了网络投资。 2、分布层 网络的分布层是网络接入层和核心层之间的分界点。分布层也帮助定义和区分网络核心层。该层提供了边界定义,并在该处对潜在费力的数据包操作进行处理。在局域网环境中,分布层执行最多的功能:(1)、VLAN的聚合;(2)、部门级或工作组接入;(3)、广播域或多点广播域定义;(4)、VLAN间路由;(5)、介质转换及安全等。分布层通常是指在楼宇网络环境中将多个楼层交换机连接起来的部分,分布层一方面要求和核心层保持高速可靠连接,另一方面是部署网络策略的重要地方。分布交换机上行链路可以采用千兆捆绑技术实现高速骨干连接、下行为各接入层交
34、换机提供百兆接口。同时,分布层交换机需能实现快速交换功能、Qos功能等其它网络策略。根据网络的地理环境和网络需求,可以在远程区域分中心分别放置百兆端口密度较高的交换机AVAYAP130系列可堆叠式交换机,并通过千兆光纤上连至主楼核心交换机。 3、核心层核心层是局域网的主干,其主要目的是能尽快的交换数据。网络的这个分层不应该被牵扯到费力的数据包操作或者任何减慢数据交换的处理。应该避免在核心层使用像访问控制列表和数据包过滤这类的功能。核心层主要负责以下的工作:(1)、提供交换区块间的连接;(2)、提供到其他区块(如服务器区块)的访问;(3)、尽可能快地交换数据帧或数据包;(4)、多层网络设计最有效
35、利用多种第三层业务,包括分段、负载分担和故障恢复8。 层次性网络设计的指导原则1、选择最适合需求的分级模型,一般情况下二、三层层次模型就可以充分满足用户的需求。2、不要使网络的各层总是完全的网状的,访问层通常不必考虑为网状;分布层可以考虑部分的冗余;核心层连接最好是网状,其目的是考虑电路冗余和网络收敛速度的原因。3、不要把终端工作站安装在主干网上,如果主干网上没有工作站,可以提高主干网的可靠性,使通信量管理和增大带宽的设计更为简单。4、通过把80%的通信流量控制本地工作组内部,从而使工作组LAN运行良好,这主要通过将服务器定位在工作组中适当的工作组行为来实现。5、适当的层次级别使用具体的特征,
36、这主要通过把不同的控制功能部署在不同的层次级别来实现9。4.3 局域网技术选型决定局域网特性的主要技术有:用以传输数据的传输介质,用以连接各种设备的拓扑结构,用以共享资源的介质访问控制方法。这三种技术在很大程度上决定了传输数据的类型、网络的响应时间、吞吐率和利用率,以及网络应用等各种特性,其中最重要的是介质访问控制方法。基于交换技术的局域网不同于传统局域网采用的共享介质访问控制技术。 以千兆网作校园网主干千兆以太网构筑于以太网协议之上,但其速度比快速以太网增加10倍,达到000Mbps或1Gbps。由于千兆以太网明显借助于以太网,因此用户能够利用现有的知识基础来管理和维护千兆网络。校园网主干采
37、用千兆技术有利于现有技术及设备的无缝迁移,避免投资浪费,更有利于将来升级、扩展。 交换式以太网交换式以太网10是人们解决通信瓶颈问题时诞生的,它不同于传统的共享式网络。交换式网络是一种融合技术,而不是类似于FDDI专用网络技术。它提供对现有网络技术的更充分的支持。交换网络技术是目前解决网络通信瓶颈问题的切实可行的最佳方案之一,它避免了ETHERNET、FDDI的通信争用问题。交换网络具有倍增带宽、灵活的划分网段,实现VLAN的特点。使用此种技术构造网络,网络性能将主要集中在服务器一方,在以后的网络升级中,增加服务器的处理能力即可。交换网络可以平滑的过渡到千兆网络,且有强有力的工业支持,作为信息
38、办公网是一种合适的选择。将大型网络划分成小的网段,使每段拥有较少的用户,这样可解决网络的拥挤,这是交换式以太网最基本的思想。目前数据和多媒体的应用对网络带宽的要求越来越高,而各种业务对实时性要求更高。 局域网结构分析局域网的主干网络主要是指网络的核心交换机和核心链路。骨干网络负责各级交换机之间的数据传送。由于每台交换机上都与众多的客户直接相连,这样每一条主干网络链路都直接负担着数十个或更多的客户的网络流量。所以每条主干网络链路的带宽容量直接关系到整个网络的传输能力。另外,主干网络的稳定性和安全性也直接影响到整个网络的安全与稳定。局域网的接入部分直接与用户相连,每一条接入链路只负责一个用户的网络
39、数据。所以相对来说对带宽的要求不是很高。但由于网络内每个用户都需要一条接入链路,所以接入部分的链路和端口数量相当巨大。另外由于接入终端种类的多样性和接入端用户对操作的简单性要求,接入部分所采用的技术和设备应该有:使用广泛、价格低廉、操作配置简单、有很好的通用性和兼容性等特点。4.4 三层结构在校园网中的应用 第三层交换概述第三层交换技术因网络设备提供商而异。用于在子网之间交换分组的产品很多。但是,只有两个概念性的技术被用在第三层交换机上: 1、专用方法各个厂家的专用交换方法各有特点,但大致的原理基本是:绝大多数情况下,这些产品处理第一个分组,然后在一个分组序列中预测其余分组的目的地址。当分组序
40、列的目的地址确定以后,后来的分组享有与第一个分组相同的权限,绕开了第三层处理,整体上加快了处理过程。这些后来的分组视具体情况被第二层或第三层转发。2、逐分组交换11逐分组交换发生在网络层。每个单独的分组根据其网络地址被转发至到最终的目的地址。路由信息协议(如RIP和OSPF)被这些设备用来了解网络拓扑结构以及进行路由变更。逐分组式交换机是有路由能力的极高速分组交换,因为其功能是由硬件实现的,使用特定用途集成电路而不是路由软件。然而,这也意味着每个设备是硬件固化的,用来交换特定第三层协议(如IP)。 紧缩模式紧缩骨干网(Collapsed Backbone)12的最大的特点就是将分布层和核心层功
41、能集合在同一设备执行。这种设计的优点是其经济性,非常适合大型大楼内网络。不过,它限制了网络的扩展能力,而且骨干网中的第三层交换机必须为网中每个在线设备维持ARP(地址解析协议)条目。过量的ARP活动会占用大量的CPU资源,会直接影响骨干网的总体性能。从风险和性能角度出发,一种合理的方法是将网络分成若干个较小的紧缩模块,并将它们与核心层相连。图4.2 紧缩骨干网模型 全网状模式全网状骨干网比较适合包括3个模块的网络,直接相连的第三层交换机组成一个全面连接的网状结构。全网状设计非常适用于将两个或三个模块连为一体。然而随着模块的增加,维持全网状所需的链路数量以平方增长,并且,随着链路数量的增加,子网
42、和路由选择等的数量也会增加,网络的复杂性也相应提高。全网状设计还使带宽升级变得更为困难。为了将一个模块从快速以太网链路升级到千兆位以太网链路,相连接的其他模块必须同时进行升级。因此,网络各个部位都需要升级和变更。如图4.3所示。图4.3 全网状骨干网模型 部分网状结构模式部分网状骨干网类似于全网状骨干网,区别只是拆除了一些中继线路。部分网状骨干网适合用于业务主要传输到一个中央服务器库模块的网络。在这种设计中将来自各楼第三层交换机的高容量中继线直接与服务器库中的第三层交换机相连。部分网状设计中的一个问题是客户机模块间的业务要通过逻辑中继线才能互相访问。实际上,服务器一侧的第三层交换机是所有客户机
43、间业务的紧缩骨干网,如图4.4所示。图4.4 部分网状骨干网模型 第三层交换模式第三层交换式骨干网13可以支持任何拓扑结构,因为一些复杂的路由协议(如(OSPF)被广泛采用。骨干网由两个带有千兆位以太网或千兆位Ether Channel中继线的第三层交换机所组成。骨干网中的所有链路均为路由链路,因此网络中不会出现生成树环路。如图4.5所示。图4.5 第三层交换式模型在这种模型中,最灵活、最具可扩展性的网络是由第三层交换机组成。骨干网交换机之间由千兆位以太网或千兆位Ether Channel链路相连。第三层交换骨干网有以下几方面的优点:1、更少的路由对等;2、无生成树环路的灵活拓扑结构;3、骨干
44、网中对多点发送与广播业务可进行控制;4、可扩展到任意规模:5、每个分布层交换机有两条等成本路径与每个目的地网络相连,任何链路故障的恢复非常迅速,可为骨干网提供双倍的中继容量。 4.5 高校网络拓扑结构设计根据以上原则,高校校园网络的结构采用二三层结合的结构,即核心层,分布层和接入层。核心层提供整个网络的中心多层路由、交换能力;分布层是网络汇聚层,提供接入层与核心层相连的光纤汇聚点,减轻了核心层路由交换机的负载,同时保证了设备的统一性,为将来网络维护和管理提供了极大的便利;接入层向用户提供桌面10/100M连接和本地的交换能力。核心层通过园区楼宇间的光纤连接(可采用多条千兆链路捆绑技术,提供高速
45、的主干通道,未来可采用10G的万兆以太网)。接入层可采用堆叠技术,大大提高整堆叠交换机背板性能、交换能力等,同时具有更大的灵活性和可扩展性。高校网络拓扑如图4.6所示。 图4.6 高校网络拓扑图4.6 多协议处理及路由能力设计由于高校校园网络的用户和应用众多,需要网络能够提供各种应用和多协议的支持。因此在设计网络的时候,充分考虑了多协议支持的问题,让其能够支持IP、IPX、NetBIOS等网络协议。 VLAN的设计虚拟局域网(VLAN)就是一个计算机网络,其中的计算机好像是被同一网线连接在一起,而实际上它们分别处于局域网不同区域,是一组逻辑上的设备或用户。如图4.7所示。图4.7 VLAN图例
46、VLAN的概念14主要是根据网络管理的要求而提出来的,同时还可以提供一些安全的功能,也可以部分的优化网络的性能。AVAYA的Cajun系列交换机产品可以根据IP地址、MAC地址、端口等多种策略来划分VLAN,支持多钟路由协议来实现VALN间的路由。 第三层交换技术第三层交换的实质是路由,类似于IP子网间的数据交换机制。当网络内数据流量的分布偏离规则,而且流量大量跨越子网边界时,传统的路由器就成了通信中的瓶颈。第三层交换技术的实现可分两类:一类可归为“路由一次,交换多次”;另一类是基于高性能硬件的线速路由器。 支持多种路由协议AVAYA的Cajun系列三层交换机产品,能够支持各种主要的标准路由协
47、议实现VALN间的路由(如RIP、RIP、OSPF等)。 组播支持AVAYA的Cajun交换设备支持的多播路由协议有:支持多播组用户的注册或取消的IGMP(Internet Group Management Protocol),通过IGMP实现交换机本地多播用户的监控与多播的发送。同时还提供DVMRP(距离向量多播路路由协议)和MOSPF(多播OSPF路由协议)来实现多点广播的路由。通过IGMP和DVMRP还可以实现多点广播的本地或广域传输。 第5章 网络安全研究随着计算机网络的发展,网络的安全问题也日趋严重。网络系统中的安全问题包括网络中信息系统的安全性和网络本身固有的安全性。保证系统的安全性要从管理和技术角度同时考虑,通过指定不同的安全策略来达到特定的安全要求。网络的安全策略主要针对两种情况,一是网络系统自身的安全问题,如路由器的安全隐患、匿名FTP的安全隐患、Telnet的安全隐患等,可以通过对各种关键系统设备加以控制来消除;另一种是给用户提供的各种服务是否安全,主要体现在网络应用上,如用户的数据或信息在网络传递过程中的安