《课程设计报告.doc》由会员分享,可在线阅读,更多相关《课程设计报告.doc(25页珍藏版)》请在三一办公上搜索。
1、注:文件名为学号+姓名电子科大成都学院经管系课程设计报告设计名称: 计算机网络技术及应用课程设计 姓 名: 学 号: 专业班级: 设计时间: 2010.4.302010.5.10 设计地点: 计算机网络实验室 成绩:指导教师评语: 签名: 年 月 日一、课程设计目的计算机网络课程设计是计算机及相关专业的实践环节之一,是学习完计算机网络课程后进行的一次全面的综合练习。其目的在于加深对OSI七层模型、TCP/IP模型的各层功能和设计思想的理解,掌握组建计算机网络的基本技术,特别是网络规划、路由器等网络设备的基本功能与选型以及网络应用服务器的基本配置,提高学生的应用能力和动手实践能力。二、设计任务与
2、要求以电子科大成都学院(也可以自行选择其它学院、公司等等)本部校园为背景,设计一个校园网方案。电子科大成都学院(也可以自行选择其它学院、公司等等)的本部分为办公区、教学区和生活区三部分。现假设:办公区中各楼宇名及需要的信息点为:教务处(15),党政办公楼(30),图书馆(60),教学区中,除计算机系大楼需要240个信息点外,其余各系部大楼及教学楼各需设置信息点的个数为100,生活区中每个建筑物里每个门洞设置1个信息点。假设使用预留的INTERNET地址,试根据本部校园网的应用需求和管理1需求、各建筑物的地理分布、信息点分布,设计出本部的校园网方案。方案中应明确学院网管中心的位置,确定拓扑方案,
3、完成设备选型,注明各种设备、设施和软件的生产商、名称、型号、配置与价格,基本确定方案的预算。要求:1、根据要求对指定园区建网进行需求分析,提交需求分析报告; 2、在需求分析的基础上进行系统设计、技术选型,规划、设计网络的逻辑拓扑方案、布线设计等,划分子网,设计子网地址、掩码和网关,为每个子网中的计算机指定IP地址;3、根据条件进行设备选型,决定各类硬件和软件的配置和经费预算方案;4、构建工作型局域网,在指定计算机内安装网络接口卡,动手制作双绞线网线,把计算机与集线器(交换机)相连;在工作组中指定的基于计算机上分别安装操作系统、TCP/IP协议,配置IP地址、掩码和网关等参数,创建一个简单的WE
4、B服务器,并制作一些网页,放入WEB服务器内以及一个FTP服务器,实现文件的上、下传;5、创建局域网内的DNS服务器,配置相关文件,可以对局域网内的主机作域名解析。三、设计说明书3.1 需求分析设计:工程项目概况: 校园计算机网络已成为学校办学的基础设施和必备条件。中国华育发展总公司是国家教育部直属的,以开发教育软件和网络集成为主,推进教育教学信息化和现代化为主要经营方向的综合型校园网。经过广泛的市场调研和针对中等学校办学特点和应用需求的潜心技术研究,中国华育开发出“中等学校千兆校园网整体解决方案”,该方案以千兆主干网络为基础平台,以校园网应用为主线,以实现广泛的教育资源共享、提高教育教学的现
5、代化水平为目的,为建设信息化学校提供了一个完整的解决方案。某校是国家级大学,为了实现该校21世纪现代化的信息网络,校园网分成三个部分,办公区网络(教务处、党政办公楼、图书馆)、教学区网络(院中各系)、生活区网络。结构化布线,将网络扩展到整个校园,实现校园网的信息网。在设计中充分考虑到教育管理和多媒体教学的要求,并且网络技术上应该具有一定的先进性,同时还要为以后的扩展留有一定的空间。信息点分布:区域部门信息点(个)信息点总数(个)办公区教务处15105党政办公楼30图书馆60教学区计算机系大楼240 740其它五个系大楼100生活区各生活大楼大楼每层楼层数1号楼305 6002号楼3053号楼3
6、054号楼305网络需求分析:面对当今现代化的信息技术,为了适应当今信息化的发展,满足日益增长的通信流量及网络的稳定性,为建设适应当今信息技术和未来十年左右的需求,主要体现在以下几个方面:1)现代校园网络应具有更高的带宽,支持10GE或将来平滑过渡到10GE,更强大的性能,以满足校园网络以后对网络升级需求。现代的计算机技术的普及及高速发展,基于网络的各种应用日益增多,校园网络已经发展成为一个多业务承载平台,它不仅要继续承载校园的办公自动化和WEB浏览等简单的数据业务,还要承载涉及校园财务部门等各部门及院系的各种业务应用系统数据,还要确保数据的安全性,以及带宽和时延都要求很高视频会议等多媒体业务
7、。因此数据流量将大大增加,尤其是对核心网络的数据交换能力提出前所未有的要求。另外,随着千兆端口的成本持续下降,千兆到桌面的应用会在不久的将来成为校园网的主流。从2005年全球交换机市场分析可以看到,增长最迅速的就是10G级别机箱式交换机,由此可见,万兆的大规模应用已经真正开始。所以当今的校园网络已经不能再用十兆到桌面百兆骨干来作为建网的标准,它的核心层及骨干层必须具有千兆级以上带宽和处理性能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务量日益增长的需要,及扩展网络性能。2)现代校园网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障校园网的通信。根随着时间推移
8、,国家先进的科学技术不断出现,校园网的各种业务应用逐渐转移到计算机网络技术上来,网络通讯的无中断运行已经成为确保当今校园网络正常运行的关键所在。现代的校园网络在可靠性设计方面主要应从几方面考虑: 网络设备的可靠性设计,这里不仅要考察网络设备,是否实现需求的网络性能关键部件的冗余链路的备份,还要从网络设备规格、性能指标参数等多方面去考察;网络业务的可靠性设计,要注意网络设备在故障倒换过程中是否对业务的正常运行有影响;网络链路的可靠性设计,快速以太网的链路安全来自于它的多路径选择,所以在校园网网络的建设时要考虑网络设备是否能够提供有效的链路自愈手段和快速重路由协议的支持,实现无缝连接。3)现代校园
9、网络需要提供完善的端到端QOS保障,以满足校园网络的多业务承载需求。校园网承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻,正如八车道的长安街也经常堵车一样,所以当今的校园网络建设必须要考虑到网络能够智能的识别应用事件的紧急和重要程度,如视频、音频、数据流(OA、备份数据),同时能够调度网络中的资源,保证重要和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度,实现校园网的“高品质”服务的保障。4)现代校园网络应提供更完善的网络安全解决方案,以阻击病毒和黑客的攻击,减少校园网的经济损失。传统校园网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交换
10、机或路由器的ACL来实现对于病毒和黑客攻击的防御,但实践证明这些被动的防御措施并不能有效的解决校园网络的安全问题。现代校园网络必须要有一整套从用户接入控制,ARP病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证网络的稳定运行。5)现代校园网络应具备网络规模扩大、维护工作的需求。当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力等方面的管理工作,由于
11、受网络设备功能本身的限制,都还属于费时、费力,有时甚至是不可能的任务,所以现代的校园网络的网络设备具备支撑“以应用为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理人员从繁重的工作中解脱出来。校园网应达到以下要求:1、网络具有传递语音、图形、图像等多种信息媒体功能,具备性能优越的资源共享功能。 2、校园网中各终端间具有快速交换功能。 3、中心系统交换机采用虚拟网技术,对网络用户具有分类控制功能。 4、对网络资源的访问提供完善的权限控制。 5、网络具有防止及便于捕杀病毒功能,以保证网络使用安全。 6、校园网与Internet网相连后具有“防火墙”过滤功能,以防止网络黑客入
12、侵网络系统。 7、可对接入因特网的各网络用户进行权限控制。 方案设计原则:本方案的设计将在追求性能优越、经济实用的前提下,本着严谨、慎重的态度,从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进行系统的总体设计,力图使该系统真正成为符合该校园网的网络系统。从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:实用性和集成性系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应企业信息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作用,协调一致的进行高效工作。
13、标准性和开放性只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。先进性和安全性系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功能也必须保证系统的安全。成熟性和高可靠性作为信息系统基础的网络结构和网络设备的配置及
14、带宽应能充分地满足网络通信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好前景的、较为先进的技术和产品,以适应系统未来的发展需要。可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达到每周7*24小时工
15、作的要求。一个高可用性的系统才能使用户的投资真正得到回报。可维护性和可管理性整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管理员能方便进行网络管理、维护甚至修复。在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故障时能提供有效手段及时进行恢复,尽量减少损失。可扩充性和兼容性网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循通
16、用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩充的要求。为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块。3.2 网络系统的方案设计网络拓扑图:广域设计:针对于国家级的大学,校园网需要良好的出口网关设备,我们建议用户选用数码神州DCR-6004高性能全模块化多业务路由器,对于需要高安全性、可靠、高速的 IP/MPLS 来支持 WAN 连接,校园区边缘骨干来说, 神州数码DCR-6004平台都是理想的校园网路由解决方案。可以作为高性能NAT网关等,可以充分满足校园网内对网络出口的路由器具备较高的
17、转发能力和很强的多业务支持能力的需求。可以根据不同目的地址来判断选择走哪个出口去访问外网。防火墙放在路由器出口处,对外来数据进行高级的过滤及防护外网对内网的攻击等。核心层设计:校园网办公网络的核心网主要完成整个校园网内部不同地域企业之间的高速数据路由转发,以及维护全网路由的计算。鉴于大型校园网的用户数量众多,业务复杂,QOS要求比较高的特点,在本方案中采用神州数码网络设备的DCRS-6804高密度多业务IPV4和IPV6核心路由交换机组建高性能的核心网络平台。DCRS-6804是高性能、大容量的级核心路由交换机, 其采用世界最先进的硬件技术,采用全双工技术使其能够提供10G平台高速包处理技术来
18、增强海量业务处理能力,从业务驱动的角度实现IP核心网络质的飞跃。DCRS-5950系列能够提供当前主流的XFP接口,带宽和处理能力更加强大,为城域和广域的应用提供了针对性的解决措施,可以简化网络结构、降低网络维护成本。智能灵活的性能资源调度机制Flex Resource,影响交换机性能的因素有很多:CPU、内存、MAC表、IP地址表、路由表、ACL表等等。这些资源都是有代价的,它们是交换机成本的重要组成部分。所以说,能不能在有限的成本范围内,最大限度地提高交换机资源的利用率,就成为提升性能的有效之道!针对这个用户需求,神州数码网络的Flex Resource(柔性资源调度)可利用多项技术,动态
19、调整、回收和再分配交换机资源,从而成倍地提高了核心交换机资源的利用率,支撑起更大规模的网络。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等细分技术。完善的网络管理DCRS-6804支持SNMP,支持带内和带外管理,支持CLI和WEB界面,支持RMON,并可采用SMTP协议自动向管理员信箱发送相关敏感信息。DCRS-6800系列支持SSH协议,可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理,方便简捷。同时强大的安全稳定保障:关键部件的安全稳定;采用硬件方式提供多种病毒和攻击防护。设备管理安全提供SSHv
20、1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;优秀的接入安全功能,使得DCRS-6804核心路由交换机成为了核心层网络的不二选择。此外,DCRS-6804还具有如下的一些先进技术来对校园网络最为重要的核心层网络设计提供重要的支持: 丰富的应用支持技术 支持领先的万兆以太网技术(IEEE802.3ae(10Gbase)、IEEE802.3ak(10GBASE-CX4)) 扩展的路由技术 最长匹配(LPM)三层交换技术 高可靠性和冗余均衡特性(支持RSTP、MSTP,支持VRRP、LACP负载均衡,支持管理模块、电源模块)在核心层中,我们采用二台神州数码DCRS-6804核心路
21、由交换机实现负载均衡及双机热备份来保证网络通信。为提高核心网络的健壮性,实现链路的安全保障,在核心层环网中可以采用VRRP(虚拟路由器冗余协议)。对于各个业务VLAN可以指向这个虚拟的IP地址作为网关,因此应用VRRP技术为核心交换机提供一个可靠的网关地址,以实现在核心层核心交换机之间进行设备的硬件冗余,共用一个虚拟的IP地址和MAC地址,通过内部的协议传输机制可以自动进行工作角色的切换。进而双引擎、双电源的设计为网络高效处理大集中数据提供了可靠的保障。DCRS-6804基于万兆平台技术,实现业务、路由、交换一体化的设计架构,具有强大的业务和路由处交换能力,能提供如MPLS(多协议标签交换(M
22、PLS)是一种用于快速数据包交换和路由的体系)VPN、QoS、策略路由、NAT、PPPoE/Web/802.1x/L2TP认证等丰富业务能力,并可通过内置防火墙模块实现各种强大的网络安全策略,可以充分满足校园网内的不同区域网络的高速数据交换和支持多业务功能的要求,并能够提供完善的安全防御策略,保障企业园区网络的稳定运行。汇聚层设计: 汇聚层针对于学院内的接入层与核心层的数据交换,实现学院系与系之间、院与系、学院机关部门与部门、图书管电子阅览室与管理系统等网络之间的的汇聚,能够使各个系成为一个LAN,学院机关部门属于一个LAN,图书管电子阅览楼成为一个LAN。汇聚层网络主要完成校园网各楼宇内相关
23、单位的内接入交换机的汇聚及数据交换和VLAN终结,在本方案中采用神州数码网络的DCRS-5650-28交换机多层交换机作为汇聚层面的交换机。DCRS-5650-28交换机在提供高密度千兆端口接入的同时还能够满足汇聚层智能高速处理的需要,并能够加灵活的部署在网络边缘的各个位置。能够同时提供多个高速专用堆叠端口和百兆、千兆光口/电口。这些交换机都具备较强的多业务提供能力,可支持包括智能的CCL、MPLS(多协议标签交换)、组播在内的各种业务。为用户提供丰富、高性价比的组网选择。针对本地的安全防范。为了防止单点故障的发生,就要使用到冗余链路,就要用到RSTP(快速生成树协议),为了能够方便的区分不同
24、的系或部门机关就将不同的区域的划分在不同VLAN里面。保证数据能够正常通信为了更好的保证网络的安全。而且,在学院局域网中,由于机关部门里很多资料不能被一些用户或黑客看到或者窃取,所以,除机关部门的局域网络内可以互访外,其它网络均无法访问到机关部门的网络,查看网络资源。所以,在其它网络的汇聚层交换机上,配置ACL(访问控制列表)增强访问的安全性。接入层设计:以往传统校园网接入层的建设中并不关注于安全控制和QOS提供能力,而将网络的安全防御措施和QOS保障依赖于网络的汇聚层或骨干层设备,这给汇聚层和骨干层设备带来了巨大的压力,往往内网病毒泛滥成灾后导致骨干层设备瘫机,使网络没有QOS服务质量保障。
25、DCS-3950S智能宽带接入交换机是能满足高安全、多业务承载、高性能的网络环境智能交换机,具备传统二层交换机大容量、高性能等优点,同时还具有领先的安全特性,进一步加强了企业网络对边缘接入层面的安全控制能力。 用户可以根据需要来订制自身的安全策略并部署在此交换机上。该产品具备的端口带宽限制、端口镜像、QoS、802.1Q、端口安全、广播风暴抑制等功能可以很好的协助用户实现网络的管理和维护。除此之外,此交换机还具备多个专用堆叠接口,可以满足楼层,楼宇内多个交换机高性能汇聚的需要。负载均衡设计 :冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。但是投资也将增加。部分校园区网在早期的
26、建设中由于成本的原因并未在设计中考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。冗余设计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时,冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余,以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)或MSTP提供设备级的冗余连接。此外,我们在设计中提供不同物理方向的双归属、双路由保护。 线路冗余 :在校园网骨干核心层校园网络边界拓扑结构由于采用了多机热备份的核心交换机系统解决方案,所以在线路冗
27、余方面的要求较高,对于线路的冗余要求,我们采用10GE线路对二台校园网核心层设备进行环行双向备份,并使用业界领先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC作为N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;接入交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍链路聚合:DEC链路聚合IEEE802.3ad示意如图:图解:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传输效率更高
28、冗余保证:链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综合考虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。在校园网汇聚层及接入层出于成本及性价比的考虑,我们决定采用千兆交换,千兆汇聚,千兆路由,万兆拓展,百兆到桌面的链路。网络设备冗余 :在当前的校园网,对Internet数据的流量发展都超出了过去最乐观的估计,上网热潮风起云涌,需要更快的
29、速度,新的应用层出不穷,即使按照当时最优配置建设的网络,也很快会感到吃不消。尤其是各个网络的核心部分,其数据流量和计算强度之大,使得单一设备根本无法承担。负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。它主要完成以下任务:解决网络拥塞问题,服务就近提供,实现地理位置无关性 ;为用户提供更好的访问质量;提高服务器响应速度;提高服务器及其它资源的利用效率;避免了网络关键部位出现单点失效。在此方案中,在网络的每个关键结点,我们在设计时都要做对链路的其有效冗余备份和负载均衡。在网络的核心层上。我们采用一台神州数码网络
30、的DCRS-6804高密度多业务IPV4或IPV6核心路由交换机和二台DCRS-5950-28T核心路由交换机组建高性能的核心网络平台,在对汇聚层提供足够的网络接点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载均衡。在核心层区块,我们都采用了两台神州数码网络的DCRS-5650多业务IPV4或IPV6核心路由交换机做到冗余与负载均衡。在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层的双核心配置。双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接着数目相同的子网到第三层汇聚设备上。每
31、个交换区块都有冗余的连接到核心交换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障,还是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。第3层路由选择协议在核心中起链路选择的作用,VRRP(容错协议)提供快速错误恢复。核心层不需要STP,因为在核心交换机间没有冗余的第2层连接。服务器冗余设计: 为确保校园网WEB、FTP服务器的稳定性、数据安全性,在进入网络管理中心的网络交换机外处放置防火墙,对内网及外网的数据访问进行安全的管理及防护内网的一些Ddos、ARP等的攻击;两个服务器采用双机热备份技术,双机热备份技术能够有效的快速的切换服务器,如果存储的数据服
32、务器出现宕机情况,另一台服务器很快的代替接着处理数据。此技术能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术来说,这是比较有经济价成效的技术。 服务器双机热备技术具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双网卡实现),在此基础上,以上图为例,WEB服务器与FTP服务器先分别利用自己的一个以太网接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器区的网络实现互连,以达到双机热备的目的。这样增加服务器的稳定性与高效性。网络中应具有多台服务器设备,包括DB SERVER数据库服务器,WEB,FTP,OA等应用服务器。 设备技术选型路由技术:在网络核心
33、层以及汇聚层上,需要三层的网络设备,采用OSPF协议作为路由,以此使网络内部不同的网段的数据和不同vlan间的数据转发。OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议是距离矢量协议,不能服务于大型网络。所以,IETF的IGP工作组特别开发出链路状态协议OSPF。目前广为使用的是OSPF第二版,最新标准为RFC2328。 OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),
34、OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。VRRP(虚拟路由冗余协议):VRRP给路由组提供了一个冗余网关地址,它是一种容错协议,通过定义不同的组,不同优先级的路由,它保证网络的主路由失效时,可以及时的由备分来实现路由来替代,从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。如下例:-if)#vrrp 5 ip 192.168.2.5 -if)# vrrp 6 ip 192.
35、168.2.6 A: -if)#vrrp 5 priority 200 B: -if)#vrrp 6 priority 200 -if)#vrrp 5 authen name -if)#vrrp 6 authen name见图如下: 备份(100)Mac0000.5e00.0105192.168.2.5活动(200)Mac0000.5e00.0106192.168.2.6活动(200)Mac0000.5e00.0105 (A) 192.168.2.5备份(100)Mac0000.5e00.0106192.168.2.6(B)MSTP:RSTP 协议完全向下兼容 802.1D STP 协议,除了
36、和传统的 STP 协议一样具有避免回路、提供冗余链路的功能外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。MSTP多生成树协议(Multiple Spanning Tree Protocol)是IEEE 802.1s中定义的一种新型生成树协议,多生成树协议引入“实例”(Instance)和“域”(Region), 通过多个VLAN捆绑到一个实例中去的方法可以节省通信开销和资源占用率。交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发
37、展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。由于传统的生成树协议与VLAN没有联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 VLAN1 内,交换机 C、D 在VLAN2 内,然后连成环路。在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 VLAN1,无法转发VLAN2的数据包,这样交换机 A 的 VLAN1就无法与交换机 B 的VLAN1进行通讯。在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口上启用了 portfast 特性,可以使交换机端口立
38、即变为转发状态,提高了网络的响应速度及收敛时间。基于RSTP 的交换机高级特性 Uplinkfast 在网络中的应用。考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用冗余连接之前所经历的时间高达 50S在使用 Uplinkfast之后,使的具有冗余上行连接的交换机具有根端口失效时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在校园网的特殊环境中,能大大增强网络的稳定性,加快网络收敛 。NAT的描述、NAT映射、策略路由的实现:在组建网络时,为了节约地址,我们在内部使用保留的私有地址
39、段中的地 址,但是使用私有地址不能访问 Internet,所以必须向ISP服务提供商申请公开地址配置校园网的边缘路由设备上的出口,并应用NAT进行地址转换。NAT是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的IP翻译成外部公网的IP。配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用程序,协议或者分组长度的条件。基于策略的路由选择命令对选中的路由实现策略。基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问列表时,可根
40、据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下一跳路由器。 NAT实现IP地址映射,将校园网内部的服务器IP地址映射外网中。外网访问只能访问公网IP地址,不能访问局域网内部的。所以,通过NAT映射的方法,外网访问校园网内部的WEB服务器时,实质是访问的校园网外部的IP地址,这样,也能通过外网访问也能实现对校园网的内部WEB服务器的访问。ACL(访问控制列表):访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端口进行访问和使用,
41、如果满足条件则执行相应的操作,放行这个包或者放弃这个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止网络中的敏感设备受到非授权访问的情况。在具体实现过程中从技术上来说我们需要了解到 ACL分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对
42、 WEB,FTP 的访问等,给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。链路聚合EC(Ethernet Channel):以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每 组中最大 4 个端口。链路聚合一般
43、是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。VLAN(虚拟局域网):VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动
44、态 VLAN 则更灵活,它可以根据接入计算机的IP 地址,MAC地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的VLAN中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。 那么在的校园网方案中,希望通过使用VLAN技术进行划分达到以下目的:划分子网隔离广播域,减小不必要的广播流量,从而提高整个网络的利用效率。3.3 各楼的IP地址分配在此方案中,我们采用C类地址对校园网网络设备编址。由于网络拓扑图采用了典型的层次结构化设计,所以对IP地址的编址设计也应采取层次化的设计来完成,并采用VLSM(可变长子网掩码)来拓展有限的Ipv4地址。部门VLANIP地址段及子网掩码VLA
45、NIP地址段及子网掩码网络管理中心192.168.1.32/27党政办公大楼192.168.1.64/27教务处192.168.1.96/27图书馆VLAN10192.168.2.64/26VLAN20192.168.2.128/26生活区1号大楼VLAN20192.168.3.32/27VLAN21192.168.3.64/27VLAN22192.168.3.96/27VLAN23192.168.3.128/27VLAN24192.168.3.160/27生活区2号大楼VLAN30192.168.4.32/27VLAN31192.168.4.64/27VLAN32192.168.4.96/2
46、7VLAN33192.168.4.128/27VLAN34192.168.4.160/27生活区3号大楼VLAN40192.168.5.32/27VLAN41192.168.5.64/27VLAN42192.168.5.96/27VLAN43192.168.5.128/27VLAN44192.168.5.160/27计算机系大楼VLAN50192.168.7.0/24系1号大楼VLAN60192.168.8.64/26VLAN61192.168.8.128/26系2号大楼VLAN70192.168.9.64/26VLAN71192.168.9.128/26系3号大楼VLAN72192.168.10.64/26VLAN73192.168.10.128/26系4号大楼VLAN74192.168.11.64/26VLAN75192.168.11.128/26系5号大楼VLA
