畢業(yè)設(shè)計（論文）-高校校園網(wǎng)的規(guī)劃和設(shè)計

1、摘 要校園網(wǎng)絡可分為校園網(wǎng)絡中心，教學子網(wǎng)，辦公子網(wǎng)，圖書館子網(wǎng)，宿舍區(qū)子網(wǎng)等。業(yè)務網(wǎng)和管理網(wǎng)需要分開，所以建成后校園網(wǎng)能提供多個網(wǎng)段的劃分以及隔離，并能做到靈活改變配置，適應教學環(huán)境的變化和調(diào)整。本文研究采用業(yè)界一流的骨干級交換機交叉背板交換，分布式二/三/四層處理，無阻塞交換架構(gòu),保證全網(wǎng)全線速10/100M接入用戶桌面，在本系統(tǒng)中，效勞器可選擇接入100Base-TX、1000Base-SX、1000BaseT，骨干交換機提供線速三層交換,接入層交換機線速二層交換保證全網(wǎng)無阻塞性能，支持1000M上聯(lián)模塊，能夠根據(jù)業(yè)務流量的需要采用TRUNK功能，網(wǎng)管簡單，可選Web、CLI管理 。本文

2、還將著重討論校園網(wǎng)絡的平安性問題，指出校園網(wǎng)平安問題的重要性，威脅校園網(wǎng)絡平安的因素，通過對校園網(wǎng)絡系統(tǒng)所存在的平安問題和網(wǎng)絡平安管理現(xiàn)狀的分析，并在老師的指導下，能夠提出利用防火墻、路由器、交換機、效勞器等網(wǎng)絡設(shè)施系統(tǒng)軟件，構(gòu)建一個具有多層次平安功能的校園網(wǎng)平安模型，同時采用三層交換技術(shù)可有效防止IP盜用，提高網(wǎng)絡平安性。關(guān)鍵詞：校園網(wǎng)；三層交換；網(wǎng)絡平安目 錄 TOC o 1-3 h z u HYPERLINK l _Toc321412559 摘 要 PAGEREF _Toc321412559 h I HYPERLINK l _Toc321412560 目 錄 PAGEREF _Toc32

3、1412560 h II HYPERLINK l _Toc321412561 第1章 緒 論 PAGEREF _Toc321412561 h 1 HYPERLINK l _Toc321412562 1.1 校園網(wǎng)需求分析 PAGEREF _Toc321412562 h 1 HYPERLINK l _Toc321412563 1.2 系統(tǒng)規(guī)劃 PAGEREF _Toc321412563 h 2 HYPERLINK l _Toc321412564 1.3 方案特點 PAGEREF _Toc321412564 h 2 HYPERLINK l _Toc321412565 1.4 網(wǎng)絡平安問題 PAGE

4、REF _Toc321412565 h 2 HYPERLINK l _Toc321412566 第2章 組網(wǎng)技術(shù) PAGEREF _Toc321412566 h 3 HYPERLINK l _Toc321412567 2.1 網(wǎng)絡組件 PAGEREF _Toc321412567 h 3 HYPERLINK l _Toc321412568 2.1.1 交換機 PAGEREF _Toc321412568 h 3 HYPERLINK l _Toc321412569 2.1.2 網(wǎng)橋 PAGEREF _Toc321412569 h 3 HYPERLINK l _Toc321412570 2.1.3 路

5、由器 PAGEREF _Toc321412570 h 3 HYPERLINK l _Toc321412571 2.1.4 網(wǎng)關(guān) PAGEREF _Toc321412571 h 3 HYPERLINK l _Toc321412572 2.2 校園網(wǎng)技術(shù)新開展 PAGEREF _Toc321412572 h 3 HYPERLINK l _Toc321412573 2.2.1 虛擬局域網(wǎng)技術(shù) PAGEREF _Toc321412573 h 4 HYPERLINK l _Toc321412574 2.2.2 第三層交換技術(shù) PAGEREF _Toc321412574 h 4 HYPERLINK l _

6、Toc321412575 第3章 需求分析 PAGEREF _Toc321412575 h 8 HYPERLINK l _Toc321412576 3.1 組網(wǎng)背景 PAGEREF _Toc321412576 h 8 HYPERLINK l _Toc321412577 3.2 網(wǎng)絡工程建設(shè)規(guī)劃 PAGEREF _Toc321412577 h 8 HYPERLINK l _Toc321412578 3.3 校園網(wǎng)技術(shù)新開展 PAGEREF _Toc321412578 h 8 HYPERLINK l _Toc321412579 3.4 系統(tǒng)總體目標 PAGEREF _Toc321412579 h

7、9 HYPERLINK l _Toc321412580 3.5 方案設(shè)計原那么 PAGEREF _Toc321412580 h 9 HYPERLINK l _Toc321412581 第4章 系統(tǒng)總體設(shè)計 PAGEREF _Toc321412581 h 11 HYPERLINK l _Toc321412582 4.1 “自頂向下的設(shè)計思想 PAGEREF _Toc321412582 h 11 HYPERLINK l _Toc321412583 4.2 分層次的設(shè)計 PAGEREF _Toc321412583 h 11 HYPERLINK l _Toc321412584 4.2.1 網(wǎng)絡層次結(jié)構(gòu)

8、 PAGEREF _Toc321412584 h 11 HYPERLINK l _Toc321412585 4.2.2 網(wǎng)絡的三層結(jié)構(gòu) PAGEREF _Toc321412585 h 12 HYPERLINK l _Toc321412586 4.2.3 層次性網(wǎng)絡設(shè)計的指導原那么 PAGEREF _Toc321412586 h 13 HYPERLINK l _Toc321412587 4.3 局域網(wǎng)技術(shù)選型 PAGEREF _Toc321412587 h 14 HYPERLINK l _Toc321412588 4.3.1 以千兆網(wǎng)作校園網(wǎng)主干 PAGEREF _Toc321412588 h

9、14 HYPERLINK l _Toc321412589 4.3.2 交換式以太網(wǎng) PAGEREF _Toc321412589 h 14 HYPERLINK l _Toc321412590 4.3.3 局域網(wǎng)結(jié)構(gòu)分析 PAGEREF _Toc321412590 h 15 HYPERLINK l _Toc321412591 4.4 三層結(jié)構(gòu)在校園網(wǎng)中的應用 PAGEREF _Toc321412591 h 15 HYPERLINK l _Toc321412592 4.4.1 第三層交換概述 PAGEREF _Toc321412592 h 15 HYPERLINK l _Toc321412593 4

10、.4.2 緊縮模式 PAGEREF _Toc321412593 h 15 HYPERLINK l _Toc321412594 4.4.3 全網(wǎng)狀模式 PAGEREF _Toc321412594 h 16 HYPERLINK l _Toc321412595 4.4.4 局部網(wǎng)狀結(jié)構(gòu)模式 PAGEREF _Toc321412595 h 17 HYPERLINK l _Toc321412596 4.4.5 第三層交換模式 PAGEREF _Toc321412596 h 17 HYPERLINK l _Toc321412597 4.5 高校網(wǎng)絡拓撲結(jié)構(gòu)設(shè)計 PAGEREF _Toc321412597

11、h 18 HYPERLINK l _Toc321412598 4.6 多協(xié)議處理及路由能力設(shè)計 PAGEREF _Toc321412598 h 19 HYPERLINK l _Toc321412599 4.6.1 VLAN的設(shè)計 PAGEREF _Toc321412599 h 19 HYPERLINK l _Toc321412600 4.6.2 第三層交換技術(shù) PAGEREF _Toc321412600 h 19 HYPERLINK l _Toc321412601 4.6.3 支持多種路由協(xié)議 PAGEREF _Toc321412601 h 19 HYPERLINK l _Toc3214126

12、02 4.6.4 組播支持 PAGEREF _Toc321412602 h 20 HYPERLINK l _Toc321412603 第5章 網(wǎng)絡平安研究 PAGEREF _Toc321412603 h 21 HYPERLINK l _Toc321412604 5.1 平安風險分析 PAGEREF _Toc321412604 h 21 HYPERLINK l _Toc321412605 5.2 局域網(wǎng)絡平安 PAGEREF _Toc321412605 h 22 HYPERLINK l _Toc321412606 5.3 廣域網(wǎng)絡平安 PAGEREF _Toc321412606 h 22 HYP

13、ERLINK l _Toc321412607 5.3.1 設(shè)置高性能的代理效勞器 PAGEREF _Toc321412607 h 22 HYPERLINK l _Toc321412608 5.3.2 設(shè)置防火墻 PAGEREF _Toc321412608 h 23 HYPERLINK l _Toc321412609 5.4 平安性機制 PAGEREF _Toc321412609 h 23 HYPERLINK l _Toc321412610 第6章 設(shè)備選型 PAGEREF _Toc321412610 h 25 HYPERLINK l _Toc321412611 6.1 核心主交換機 PAGER

14、EF _Toc321412611 h 25 HYPERLINK l _Toc321412612 6.2 接入層主交換機 PAGEREF _Toc321412612 h 26 HYPERLINK l _Toc321412613 6.3 路由器 PAGEREF _Toc321412613 h 26 HYPERLINK l _Toc321412614 6.4 Inter架構(gòu)效勞器 PAGEREF _Toc321412614 h 27 HYPERLINK l _Toc321412615 6.5 樓層交換機技術(shù)特點 PAGEREF _Toc321412615 h 27 HYPERLINK l _Toc3

15、21412616 結(jié) 論 PAGEREF _Toc321412616 h 29 HYPERLINK l _Toc321412617 致 謝 PAGEREF _Toc321412617 h 30 HYPERLINK l _Toc321412618 參考文獻 PAGEREF _Toc321412618 h 31第1章 緒 論隨著網(wǎng)絡規(guī)模的不斷擴大，多媒體應用正成為校園網(wǎng)應用的又一主流。多媒體的應用對校園網(wǎng)的網(wǎng)絡帶寬和網(wǎng)絡速度提出了更高的要求。采用網(wǎng)絡互連設(shè)備HUB、網(wǎng)橋和路由器來擴大網(wǎng)絡的方案已不能完全適應網(wǎng)絡規(guī)模開展的需要，使用交換機替代路由器實現(xiàn)大容量低延遲的局域網(wǎng)路由在實際中也己得到較廣泛的

16、應用，具有二層交換技術(shù)的交換機解決了網(wǎng)段間的信息碰撞問題，利用VLAN技術(shù)劃分子網(wǎng)實現(xiàn)了管理上的靈活性，具有第三層交換能力的網(wǎng)絡交換機可以滿足不斷增長的子網(wǎng)間的通信需要，同時實現(xiàn)多媒體通信所要求的低延遲量的穩(wěn)定性。傳統(tǒng)的基于共享介質(zhì)的以太網(wǎng)逐步被交換網(wǎng)絡所取代，第三層交換技術(shù)和第三層交換機這一新的網(wǎng)絡技術(shù)正在網(wǎng)絡建設(shè)中得到應用和開展，如何有效地集成這些技術(shù)是校園網(wǎng)建設(shè)中必須考慮的問題。1.1 校園網(wǎng)需求分析我校是一所正在建設(shè)中的現(xiàn)代化綜合學府，網(wǎng)絡在學院日常教學辦公中起到至關(guān)重要的作用，校園網(wǎng)的運作模式帶來大量動態(tài)數(shù)據(jù)的傳輸，相當一局部住應用效勞器要高速接入網(wǎng)絡，網(wǎng)絡要有足夠的主干帶寬和擴展能

17、力。大學是一個小社會，網(wǎng)絡應用類型非常復雜，信息媒體類型較多，且具有信息流猝發(fā)特點。在大學校園網(wǎng)建設(shè)中，應充分兼顧信息資源共享與效勞、多媒體教學和教務管理等因素對網(wǎng)絡的需求。大學建設(shè)校園網(wǎng)，一般經(jīng)費比擬充裕，在網(wǎng)絡技術(shù)上應該留有一定的開展空間。校園網(wǎng)設(shè)計應能滿足以下條件：網(wǎng)絡應具有傳遞語音、圖形、圖像等多種信息媒體功能，二級以上交換機應支持組播功能。具備性能優(yōu)越的資源共享功能,以及校園網(wǎng)中各信息點之間的快速交換功能。由于大學校園網(wǎng)規(guī)模較大，教學與科研部門眾多，如果所有信息點在同一沖突域中，網(wǎng)上播送風暴就會使網(wǎng)絡性能嚴重下降，中心系統(tǒng)交換機應支持VLAN和第三層交換技術(shù)，支持QoS，對網(wǎng)絡用戶具

18、有分類控制功能，對網(wǎng)絡資源的訪問提供完善的權(quán)限控制，以提高網(wǎng)絡的平安和性能。校園網(wǎng)與Internet網(wǎng)相連后，應具有“防火墻過濾功能，以防止網(wǎng)絡黑客入侵網(wǎng)絡系統(tǒng)。能夠?qū)尤缫蛱鼐W(wǎng)的各網(wǎng)絡用戶進行權(quán)限控制和計費管理。1.2 系統(tǒng)規(guī)劃 校園網(wǎng)絡可分為校園網(wǎng)絡中心，教學子網(wǎng)，辦公子網(wǎng)，圖書館子網(wǎng)，宿舍區(qū)子網(wǎng)等。業(yè)務網(wǎng)和管理網(wǎng)需要分開，所以建成后校園網(wǎng)能提供多個網(wǎng)段的劃分以及隔離，并能做到靈活改變配置，適應教學環(huán)境的變化和調(diào)整。所以，合理劃分虛擬網(wǎng)絡(VLAN)十分關(guān)鍵。由于劃分VLAN必須參照網(wǎng)絡平安原那么及網(wǎng)絡流量分析，因此，VLAN的劃分不是事先就能完全確定的，必須按照“事先設(shè)計，運行調(diào)整的思路

19、進行。VLAN的設(shè)計是系統(tǒng)集成的重點之一。1.3 方案特點 1、業(yè)界一流的骨干級交換機交叉背板交換，分布式二/三/四層處理，無阻塞交換架構(gòu)，保證全網(wǎng)全線速10/100M接入用戶桌面。2、效勞器可選擇接入100Base-TX、1000Base-SX、1000BaseT。3、骨干交換機提供線速三層交換，接入層交換機線速二層交換保證全網(wǎng)無阻塞性能。4、支持1000M上聯(lián)模塊，能夠根據(jù)業(yè)務流量的需要采用TRUNK功能。5、支持高速端口聚合，具有鏈路冗余和負載均衡的能力。6、高智能，支持二/三/四層線速交換，提供端到端的QoS的保證。7、高平安，802.1X基于用戶身份的認證。8、網(wǎng)管簡單，可選的Web

20、、CLI管理。1.4 網(wǎng)絡平安問題1、以太網(wǎng)固有的一些特性導致了以太網(wǎng)接入的平安問題。2、學校學生計算機水平高而且時間充裕，本身網(wǎng)絡就有很大的平安隱患。3、學校具備的Internet、Cernet、校內(nèi)三種資源的選擇性對網(wǎng)絡平安管理提出了挑戰(zhàn)， 如何處理訪問的靈活性和平安性之間的平衡是每個學校網(wǎng)管需要考慮的問題。第2章 組網(wǎng)技術(shù)2.1 網(wǎng)絡組件計算機網(wǎng)絡中存在許多不同類型的組件，這里簡單介紹最常見的網(wǎng)絡組件和每個組件的根本功能。 交換機交換機3是用來提高LAN性能的數(shù)據(jù)鏈路層設(shè)備。在許多網(wǎng)絡中，交換機己經(jīng)替代集線器來提高終端用戶的性能。交換機是一種由許多高速端口組成的設(shè)備，連接LAN網(wǎng)段或連接

21、基于端到端的獨立設(shè)備。交換機有很多類型，每種交換機支持不同的速率和LAN類型，比方以太網(wǎng)、令牌環(huán)、FDDI和ATM。交換機將整個介質(zhì)帶寬集中到一個端口上。 網(wǎng)橋網(wǎng)橋用于分割數(shù)據(jù)流以提高網(wǎng)絡的整體性能。它也用來提供跨廣域的連接并且提供了一種最簡單的將局域網(wǎng)網(wǎng)段，連接成可維護、高可靠性的擴展網(wǎng)絡的方法。網(wǎng)橋工作在OSI模型中數(shù)據(jù)鏈路層的MAC子層，網(wǎng)橋監(jiān)聽所有流經(jīng)它所連接的網(wǎng)段的數(shù)據(jù)，并檢查每個數(shù)據(jù)幀的目的網(wǎng)卡地址，以決定是否將該幀送往網(wǎng)絡的其他局部。網(wǎng)橋?qū)僮髑彝耆槐乜紤]幀的內(nèi)容，但網(wǎng)橋的操作既需要硬件也需要軟件。 路由器路由器工作在網(wǎng)絡層，通常比中繼器、網(wǎng)橋和交換機復雜，路由器是對分組(包

22、)而不是對幀進行操作的。路由器連接具有相同通信架構(gòu)的網(wǎng)絡，但這些網(wǎng)絡的低層架構(gòu)可能不同，它是從物理上和邏輯上對網(wǎng)絡進行分割的，而且常?？梢杂脕硖娲W(wǎng)橋或交換機。 網(wǎng)關(guān)網(wǎng)關(guān)又稱又稱為協(xié)議轉(zhuǎn)換器或網(wǎng)間連接器，它工作在OSI協(xié)議的傳輸層或更高層，是互聯(lián)網(wǎng)設(shè)備中最為復雜的設(shè)備，用于互聯(lián)不用體系結(jié)構(gòu)的網(wǎng)絡。2.2 校園網(wǎng)技術(shù)新開展校園網(wǎng)技術(shù)隨著時代的進步而不斷開展。虛擬局域網(wǎng)(VLAN)己經(jīng)開展成為交換式LAN方案的必不可少局部之一。用LAN交換機取代部門路由器和介質(zhì)訪問設(shè)備(如集線器)的速度在不斷增大。隨著每個端口的以太網(wǎng)和令牌環(huán)網(wǎng)的交換機價格下降，越來越多的學校和組織傾向于給每個用戶分配一個單獨的交

23、換端口，以便獲得更高的帶寬。VLAN雖然解決了在二層交換機上劃分播送域的問題，但虛擬局域網(wǎng)之間的通信仍需要借助速度較慢的傳統(tǒng)路由器。此時，三層交換技術(shù)融交換技術(shù)和路由技術(shù)為一體應運而生，給人們帶來了高速交換解決方案，并使路由器退出局域網(wǎng)技術(shù)領(lǐng)域。 虛擬局域網(wǎng)技術(shù)1、什么是VLANVLAN技術(shù)目前仍是未標準化的不開放的技術(shù)，各個廠商提供的VLAN解決方案有一定的差異。表達在VLAN的概念上也是各有不同見解。但是一個比擬通用的能被大家接受的定義是認為VLAN等同于一個播送域。具體而言，VLAN可以看作是包含一組端站點的邏輯局域網(wǎng)，這些端站點可位于不同的物理網(wǎng)段中，但它們不受物理位置的限制而互相通信

24、，就好似它們在同一個物理LAN中一樣4。2、實現(xiàn)VLAN要解決的關(guān)鍵問題1、定義VLAN成員的問題，即劃分VLAN的方法。2、在多個交換機上劃分VLAN時各個交換機之間的交換VLAN成員身份信息的問題。3、在多個VLAN之間通信的問題，即VLAN之間的路由問題。3、劃分VLAN的方法定義VLAN成員的方法多種多樣，主要有四種：按交換機的端口劃分VLAN，按MAC層地址劃分VLAN，按網(wǎng)絡層地址劃分VLAN，按IP組播劃分VLAN等。 第三層交換技術(shù)在過去的20多年中，交換技術(shù)和路由技術(shù)都得到了充分開展，交換技術(shù)的開展和對網(wǎng)絡技術(shù)的奉獻更是引人注目。到目前為止，已根本形成了“以交換機為中心的LA

25、N連接方案。尤其這些年所建成的Intranet更是離不了交換機和路由器。交換技術(shù)和路由技術(shù)的主要區(qū)別在于：交換機所處理的是以太網(wǎng)幀中MAC地址局部，而路由器不僅可以識別MAC地址，還可以進一步分析包含網(wǎng)絡類型信息的協(xié)議首部。正因為這一關(guān)鍵性的區(qū)別，使得交換機和路由器在網(wǎng)絡設(shè)計中所擔任的角色也大不相同。傳統(tǒng)的二層交換機主要區(qū)別使網(wǎng)絡通信雙方節(jié)點在通信時能夠獲得專有的連接，從而享有真正的全部帶寬，這對于共享式以太網(wǎng)而言無疑是一個大飛躍。二層交換機也可用于劃分子網(wǎng)。但是，基于二層交換機的所有子網(wǎng)在遇到數(shù)據(jù)包播送時便顯得毫無意義。因為對于二層交換機來講，與其所有端口相連的節(jié)點，無論是單一的工作站還是子

26、網(wǎng)，都共享一個播送域。當發(fā)送節(jié)點發(fā)送了一個播送包后，該包就會擴散到所有與交換機端口相連的子網(wǎng)中，而不管該子網(wǎng)是一個TCP/IP子網(wǎng)還是一個IPX子網(wǎng)。顯然，將一個TCP/IP播送包發(fā)送到IPX子網(wǎng)中是不合理的。這也會影響整個網(wǎng)絡的性能。二層交換機的這種播送控制缺陷是由其對以太網(wǎng)幀的處理能力所決定的，因為二層交換機只能識別MAC地址，不能識別數(shù)據(jù)包中的網(wǎng)絡地址信息，因而它對于區(qū)分不同類型的子網(wǎng)是無能為力的。在網(wǎng)絡設(shè)計中，路由器主要用來完成交換機所缺乏的有效子網(wǎng)劃分和播送控制功能。在通過路由器連接的兩個子網(wǎng)中，子網(wǎng)間的播送包不會互相擴散。網(wǎng)間的正常通信可通過路由器的路由來實現(xiàn)。虛擬局域網(wǎng)(VLAN

27、)解決了在二層交換機上劃分播送域的問題，可以替代路由器的限制播送的功能。但VLAN之間的通信仍需借助路由器。由于傳統(tǒng)路由器的路由尋址功能是通過軟件實現(xiàn)，該軟件運行于有固定內(nèi)存的CPU之上，雖然CPU和存儲器的速度越來越快，但仍趕不上網(wǎng)絡流量增加的速度。隨著用戶對網(wǎng)絡性能、網(wǎng)絡延遲和網(wǎng)絡帶寬需求的不斷增加，尤其隨著G以太網(wǎng)和Intranet及Extranet的興起，傳統(tǒng)路由器的處理速度越來越成為提高網(wǎng)絡性能的瓶頸。與路由器相比，由于二層交換機采用ASIC5Application Specific Integrated Circuit芯片來處理包轉(zhuǎn)發(fā)，因而其處理速度是非?？斓摹＝粨Q技術(shù)和路由技術(shù)在

28、當今的網(wǎng)絡設(shè)計中都是核心技術(shù)，但兩者各有優(yōu)缺點，而網(wǎng)絡需求又在不斷增長。在這種情況下，人們自然會考慮：能不能將交換機的高速性能和路由器的控制功能結(jié)合起來。第三層交換技術(shù)便在這種想法的根底上產(chǎn)生出來。1、第三層交換技術(shù)實現(xiàn)要點第三層交換是一個模型，它將第二層交換機和第三層路由器兩者的優(yōu)勢結(jié)合成一個靈活的解決方案，可在各個層次提供線速(Wire speed)性能的數(shù)據(jù)轉(zhuǎn)發(fā)。這種集成化的結(jié)構(gòu)還引進了策略(Policy)管理屬性，它不僅使第二層與第三層相互關(guān)聯(lián)起來，而且還提供流量優(yōu)先權(quán)處理、平安性處理以及多種其他的靈活功能，如中繼、虛擬網(wǎng)和內(nèi)部企業(yè)網(wǎng)的動態(tài)部署。第三層交換機的組成如圖2.1所示。圖2.

29、1 第三層交換機的組成圖2.1列出了第三層交換機的組成局部。接口層包含了所有重要的局域網(wǎng)接口：10/100M以太網(wǎng)、G以太網(wǎng)、FDDI和ATM。交換層集成了多種局域網(wǎng)接口并輔之以策略管理，同時還提供中繼、VLAN和標簽機制。路由層提供主要的LAN路由協(xié)議：IP、IPX和AppleTalk，并通過策略管理提供逐包式或直通式的第三層轉(zhuǎn)發(fā)技術(shù)。策略管理和行政管理使網(wǎng)絡管理員能根據(jù)企業(yè)上的特定需求調(diào)整網(wǎng)絡，從而給他們帶來配置和管理上的方便與靈活。將一個傳統(tǒng)的路由模塊參加到交換機中并不是真正的第三層交換。這是因為，在這種情況下，流量控制、路由尋址等功能雖然也可以實現(xiàn)，但傳統(tǒng)路由的高延遲依然存在。所以，實

30、現(xiàn)真正的第三層交換，關(guān)鍵在于要改變傳統(tǒng)路由器處理包轉(zhuǎn)發(fā)技術(shù)，也就是要實現(xiàn)線速路由。線速路由就是要使路由速度(轉(zhuǎn)發(fā)路由分組的速度)到達傳輸線上的數(shù)據(jù)傳輸速度，消除路由瓶頸?？紤]IP網(wǎng)和IPX網(wǎng)，在網(wǎng)絡中主要有四種流量類型在進行傳輸：第二層交換(純交換幀)；第三層IP路由(純IP路由分組)：第三層IPX路由(純IPX路由分組)以及同時進行的第二層交換與第三層IP路由(交換幀和路由分組的混合流量類型)。第二層LAN交換機只可以實現(xiàn)純交換幀的線速轉(zhuǎn)發(fā)，第三層交換機的優(yōu)勢在于可以實現(xiàn)剩下三種流量類型的線速轉(zhuǎn)發(fā)(當然它也可以實現(xiàn)純交換幀的線速轉(zhuǎn)發(fā))。傳統(tǒng)路由器雖然可以轉(zhuǎn)發(fā)各種路由分組，但其延遲較高，轉(zhuǎn)發(fā)速

31、度達不到線速。2、三層交換機的通信過程三層交換機的通信過程如圖2.2所示。 圖2.2 三層交換機通信過程如圖2.2，假設(shè)A和B以前通信過，中間的交換機如支持第三層交換的話，它便會把A和B的IP地址及它們的MAC地址記錄下來。當其他站點如C要與A和B通信時，C發(fā)出ARP尋址包，詢問A或B的IP地址對應的MAC地址是什么，針對C發(fā)出的尋址包，第三層交換時機不假思索的送一個回復包給C，告訴它A或B的MAC地址，以后C當然就會用A或B的MAC地址“直接與其通信。因為通信的雙方完全沒有通過路由器這樣的第三者，所以哪怕A、B或C屬于不同的子網(wǎng)，它們之間均可直接知道對方的MAC地址。更重要的是，第三層交換機

32、并沒有像普通二層交換機那樣把播送包擴散到與之相連的所有端口，由于第三層交換機能看懂第三層信息(如IP地址、ARP尋址包等)，因此第三層交換機便能洞悉ARP播送包的目的地址，而在尚未把它擴散出去的情形下，滿足了發(fā)出播送包的機器的需要，而不必在乎它們在任何子網(wǎng)里。第3章 需求分析3.1 組網(wǎng)背景二十一世紀是信息化時代，辦公自動化、網(wǎng)絡化、信息化已成為一種必備條件。作為根底教學與科研基地的學校自然會走在所有行業(yè)的最前列，全國各大、中、小學校都在積極建設(shè)和完善校園計算機網(wǎng)絡。校園網(wǎng)已成為各學校必備的重要信息根底設(shè)施，其規(guī)模和應用水平己成為衡量學校教學與科研綜合實力的一個重要標志。 3.2 網(wǎng)絡工程建設(shè)

33、規(guī)劃為了適應全國和省市州教育科研計算機網(wǎng)絡的開展，加強校內(nèi)外信息的交流，滿足校區(qū)廣闊師生的需求，充分利用網(wǎng)絡資源為全校教學、科研和管理效勞，校區(qū)網(wǎng)絡中心擬提出如下建設(shè)方案：1整個校區(qū)網(wǎng)絡結(jié)構(gòu)以網(wǎng)絡中心為核心，構(gòu)成星型結(jié)構(gòu)；2主干采用千兆路由技術(shù)，所有節(jié)點交換100Mbps到桌面；3考慮師生并發(fā)上網(wǎng)的問題，配置功能強大的代理效勞系統(tǒng)；4配置功能齊全、方便實用的網(wǎng)絡管理平臺。3.3 校園網(wǎng)技術(shù)新開展為了便于網(wǎng)絡管理和網(wǎng)絡擴展，節(jié)省用戶投資，在充分考慮建設(shè)原那么、滿足應用需要和適應網(wǎng)絡技術(shù)開展趨勢等方面后，所以選擇了Gigabit Ethernet，原因如下：1、以低廉的價格提供高帶寬。千兆以太網(wǎng)提

34、供10倍與快速以太網(wǎng)的性能，而價格遠遠低于其10倍。2、良好的兼容性和管理的簡單性。3、能保證效勞質(zhì)量。目前公認，合理組織的千兆以太網(wǎng)不需要考慮QoS管理。4、支持千兆以太網(wǎng)多層交換的交換機。綜上所述，本方案主要選擇千兆以太網(wǎng)技術(shù)來構(gòu)建用戶的需求，對二層節(jié)點和桌面微機的接入也采用快速以太網(wǎng)，建立一個基于多層、全交換的虛擬園區(qū)網(wǎng)絡。采用1000M主干，光纖到各主要信息點，100M交換到桌面，逐步形成以網(wǎng)絡中心大樓為中心、輻射其它樓宇的校園網(wǎng)。3.4 系統(tǒng)總體目標對于一個校園網(wǎng)來說，系統(tǒng)的總體目標就是在一段時期內(nèi)，當校園網(wǎng)完全建設(shè)好后所要到達的功能和具有的規(guī)模。一般來說，一個校園網(wǎng)系統(tǒng)總體目標往往

35、是分布實施的，包括功能和規(guī)模的分布實施。根據(jù)高校校園網(wǎng)網(wǎng)絡建設(shè)的要求，為其設(shè)計了一整套的網(wǎng)絡設(shè)計方案，采用AVAYA公司(原朗訊企業(yè)網(wǎng)絡集團)的網(wǎng)絡設(shè)備6，為高校校園網(wǎng)絡系統(tǒng)構(gòu)建優(yōu)質(zhì)、可靠、穩(wěn)定的網(wǎng)絡平臺。提供方便、高效的網(wǎng)絡管理手段及良好的可擴展性和易維護性。3.5 方案設(shè)計原那么本方案的設(shè)計將在追求性能優(yōu)越、經(jīng)濟實用的前提下，本著嚴謹、慎重的態(tài)度，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選擇、系統(tǒng)應用、技術(shù)效勞和實施過程等方面綜合進行系統(tǒng)的總體設(shè)計，力圖使該系統(tǒng)真正成為符合高校的網(wǎng)絡系統(tǒng)。從技術(shù)措施角度來講，在系統(tǒng)的設(shè)計和實現(xiàn)中，將嚴格遵守以下原那么：1、實用性和集成性系統(tǒng)的軟硬件設(shè)計、還是集成，均應以

36、適用為第一宗旨，在系統(tǒng)充分適應教育信息化的需求的根底上再來考慮其他的性能。該系統(tǒng)所包含的內(nèi)容很多，將各種先進的軟硬件設(shè)備有效地集成在一起，使系統(tǒng)的各個組成局部能充分發(fā)揮作用，協(xié)調(diào)一致地進行高效工作。2、標準性和開放性 只有支持標準性和開放性的系統(tǒng)，才能支持與其他開放型系統(tǒng)一起協(xié)同工作。在網(wǎng)絡中采用的硬件設(shè)備及軟件產(chǎn)品應支持國際工業(yè)標準或事實上的標準，以便能和不同廠家的開放型產(chǎn)品在同一網(wǎng)絡中同時共存；通信中應采用標準的通信協(xié)議以使不同的操作系統(tǒng)與不同的網(wǎng)絡系統(tǒng)及不同的網(wǎng)絡之間順利進行通訊。3、先進性和平安性 系統(tǒng)所有的組成要素均應充分地考慮其先進性。不能一味地追求實用而忽略先進，只有將當今最先進

37、的技術(shù)和實際應用要求緊密結(jié)合，才能獲得最大的系統(tǒng)性能和效益。網(wǎng)絡的平安是至關(guān)重要的，在某些情況下，寧可犧牲系統(tǒng)的局部功能也必須保證系統(tǒng)的平安。4、成熟性和高可靠性作為信息系統(tǒng)根底的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡設(shè)備的配置及帶寬應能充分地滿足網(wǎng)絡通信的需要。網(wǎng)絡硬件體系結(jié)構(gòu)應在實際應用中能經(jīng)過較長時間的考驗，在運行速度和性能上都應是穩(wěn)定可靠的、擁有完善的、實用的解決方案，并得到較多的第三方開發(fā)商和用戶在全球范圍的廣泛支持和使用。同時，應從長遠的技術(shù)開展來選擇具有很好前景的、較為先進的技術(shù)和產(chǎn)品，以適應系統(tǒng)未來的開展需要。可靠性也是衡量一個計算機應用系統(tǒng)的重要標準之一。在確保系統(tǒng)網(wǎng)絡環(huán)境中單獨設(shè)備穩(wěn)定、可靠運行的

38、前提下，還需要考慮網(wǎng)絡整體的容錯能力、平安性及穩(wěn)定性，使系統(tǒng)出現(xiàn)問題和故障時能迅速的修復。因此需要采取一定的預防措施，如對關(guān)鍵應用和主干設(shè)備考慮有適當?shù)娜哂?。應急處理信息系統(tǒng)能夠全天候工作，到達每周7*24小時工作的要求。一個高可用性的系統(tǒng)才能使用戶的投資真正得到回報。5、可維護性和可管理性整個信息網(wǎng)絡系統(tǒng)中的互連設(shè)備，應是使用方便、操作簡單易學，并便于維護。對復雜和龐大的網(wǎng)絡，要求有強有力的網(wǎng)絡管理手段，以便合理的管理網(wǎng)絡資源，監(jiān)視網(wǎng)絡狀態(tài)及控制網(wǎng)絡的運行。因此，網(wǎng)絡所選網(wǎng)絡設(shè)備應支持SNMP、RMON、SMON等協(xié)議，管理員通過網(wǎng)管工作站就能方便的進行網(wǎng)絡管理、維護甚至修復。在設(shè)計和實現(xiàn)計

39、算機應用系統(tǒng)時，必須充分考慮整個系統(tǒng)的便于維護性，以使系統(tǒng)在萬一發(fā)生故障時能提供有效手段及時進行恢復，盡量減少損失。第4章 系統(tǒng)總體設(shè)計高校校園網(wǎng)計算機網(wǎng)絡系統(tǒng)的總體設(shè)計主要包括以下幾大局部：1、設(shè)計思想；2、分層次的設(shè)計；3、高校網(wǎng)絡拓撲結(jié)構(gòu)設(shè)計；4、多協(xié)議處理及路由能力設(shè)計。4.1 “自頂向下的設(shè)計思想在本方案中采用了“自頂向下的設(shè)計思想。自頂向下的設(shè)計方法適用于從OSI參考模型的高層開始再向較低的層次推進的網(wǎng)絡設(shè)計，它著重于在選擇運行于較低層次上的路由器、交換機和介質(zhì)之前，將重點放在應用、會話、數(shù)據(jù)的傳輸上。另外，我認為：“好的網(wǎng)絡設(shè)計必需清楚客戶的需求蘊涵著許多商業(yè)和技術(shù)的目標，包括可

40、用性、可伸縮性、可購置性、平安性和可管理性等。所以在設(shè)計高校校園網(wǎng)絡系統(tǒng)的時候，盡量站在用戶的角度考慮問題，以滿足用戶的應用需求和技術(shù)需求。4.2 分層次的設(shè)計由于高校校園網(wǎng)絡的規(guī)模較大而且應用比擬復雜，普通的平面網(wǎng)絡結(jié)構(gòu)設(shè)計模型難以滿足園區(qū)網(wǎng)絡設(shè)計的需求。層次性網(wǎng)絡設(shè)計模型，由于其良好的伸縮能力、易于實現(xiàn)、易于排除故障、可預測性、協(xié)議支持、易于管理等特點，可充分滿足園區(qū)網(wǎng)絡的長期需求。因此，在設(shè)計高校校園網(wǎng)絡的時候，采用了經(jīng)典的“三層層次模型和二層設(shè)計相結(jié)合的設(shè)計方法。 網(wǎng)絡層次結(jié)構(gòu)一個優(yōu)秀的網(wǎng)絡，不僅要有先進的設(shè)備，還要有先進的網(wǎng)絡結(jié)構(gòu)。在傳統(tǒng)的網(wǎng)絡設(shè)計中，是將根本網(wǎng)絡職能和效勞放在網(wǎng)絡的

41、中心，并將共享帶寬放在用戶級。但在過去幾年中，隨著網(wǎng)絡技術(shù)的迅速開展和網(wǎng)上應用量的增加，分布式的網(wǎng)絡效勞和交換已經(jīng)移至用戶級，由此形成了一個新的、更適應現(xiàn)代高速大型網(wǎng)絡的分層設(shè)計模型。這種分級方法被稱為“多層設(shè)計7。多層設(shè)計是模塊化的，網(wǎng)絡容量可隨日后網(wǎng)絡節(jié)點的增裝不斷擴大。多層網(wǎng)絡結(jié)構(gòu)有很大確實定性，因此在運行和擴展過程中進行故障查找和排除非常簡單。多層網(wǎng)絡結(jié)構(gòu)最有效地利用多種第三層業(yè)務，包括分段、負載分擔和故障恢復等。在分層網(wǎng)絡中運用智能第三層業(yè)務可以大大減少因配置不當或故障設(shè)備引起的一般問題。多層模式使網(wǎng)絡的移植更加簡單，因為它保存了基于路由器和集線器的網(wǎng)絡尋址方案，對以往的網(wǎng)絡有很好的

42、兼容性。另外，分層結(jié)構(gòu)也能夠?qū)W(wǎng)絡的故障進行很好的隔離。分層化的模式可以支持所有常用的網(wǎng)絡協(xié)議。 網(wǎng)絡的三層結(jié)構(gòu)網(wǎng)絡的三層結(jié)構(gòu)如圖4.1所示。圖4.1 網(wǎng)絡三層結(jié)構(gòu)1、接入層網(wǎng)絡的接入層是最終用戶被許可接入網(wǎng)絡的點。該層能通過過濾或訪問控制列表提供對用戶流量的進一步控制，不過該層的主要功能是為最終用戶提供網(wǎng)絡接入。在局域網(wǎng)環(huán)境中，接入層主要功能如下：提供交換的帶寬和第二層效勞，如基于接口或MAC地址的VLAN成員資格和數(shù)據(jù)流過濾。當然，在這一層也可以提供平安特性。接入層主要關(guān)注通過低本錢、高端口密度的設(shè)備提供的這些功能。 接入層為用戶提供了接入網(wǎng)絡的能力，接入層通過堆疊方式連接到分布層中，然后

43、再通過分布層連接到網(wǎng)絡的主干。采用堆疊的方式將大大提高接入層交換機的性能同時在信息點較多的大樓能實現(xiàn)當?shù)芈酚桑瑥亩鴾p少網(wǎng)絡主干的負載。在高校校園網(wǎng)絡中，接入層交換機包括將本地的信息點連接至骨干網(wǎng)絡，同時因為采用了堆疊的技術(shù)，可以使分布層和接入層合二為一，不僅簡化了網(wǎng)絡結(jié)構(gòu)，同時也節(jié)省了網(wǎng)絡投資。 2、分布層 網(wǎng)絡的分布層是網(wǎng)絡接入層和核心層之間的分界點。分布層也幫助定義和區(qū)分網(wǎng)絡核心層。該層提供了邊界定義，并在該處對潛在費力的數(shù)據(jù)包操作進行處理。在局域網(wǎng)環(huán)境中，分布層執(zhí)行最多的功能：1、VLAN的聚合；2、部門級或工作組接入；3、播送域或多點播送域定義；4、VLAN間路由；5、介質(zhì)轉(zhuǎn)換及平安等

44、。分布層通常是指在樓宇網(wǎng)絡環(huán)境中將多個樓層交換機連接起來的局部，分布層一方面要求和核心層保持高速可靠連接，另一方面是部署網(wǎng)絡策略的重要地方。分布交換機上行鏈路可以采用千兆捆綁技術(shù)實現(xiàn)高速骨干連接、下行為各接入層交換機提供百兆接口。同時，分布層交換機需能實現(xiàn)快速交換功能、Qos功能等其它網(wǎng)絡策略。根據(jù)網(wǎng)絡的地理環(huán)境和網(wǎng)絡需求，可以在遠程區(qū)域分中心分別放置百兆端口密度較高的交換機AVAYAP130系列可堆疊式交換機，并通過千兆光纖上連至主樓核心交換機。 3、核心層核心層是局域網(wǎng)的主干，其主要目的是能盡快的交換數(shù)據(jù)。網(wǎng)絡的這個分層不應該被牽扯到費力的數(shù)據(jù)包操作或者任何減慢數(shù)據(jù)交換的處理。應該防止在核

45、心層使用像訪問控制列表和數(shù)據(jù)包過濾這類的功能。核心層主要負責以下的工作：1、提供交換區(qū)塊間的連接；2、提供到其他區(qū)塊(如效勞器區(qū)塊)的訪問；3、盡可能快地交換數(shù)據(jù)幀或數(shù)據(jù)包；4、多層網(wǎng)絡設(shè)計最有效利用多種第三層業(yè)務，包括分段、負載分擔和故障恢復8。 層次性網(wǎng)絡設(shè)計的指導原那么1、選擇最適合需求的分級模型，一般情況下二、三層層次模型就可以充分滿足用戶的需求。2、不要使網(wǎng)絡的各層總是完全的網(wǎng)狀的，訪問層通常不必考慮為網(wǎng)狀；分布層可以考慮局部的冗余；核心層連接最好是網(wǎng)狀，其目的是考慮電路冗余和網(wǎng)絡收斂速度的原因。3、不要把終端工作站安裝在主干網(wǎng)上，如果主干網(wǎng)上沒有工作站，可以提高主干網(wǎng)的可靠性，使通

46、信量管理和增大帶寬的設(shè)計更為簡單。4、通過把80%的通信流量控制本地工作組內(nèi)部，從而使工作組LAN運行良好，這主要通過將效勞器定位在工作組中適當?shù)墓ぷ鹘M行為來實現(xiàn)。5、適當?shù)膶哟渭墑e使用具體的特征，這主要通過把不同的控制功能部署在不同的層次級別來實現(xiàn)9。4.3 局域網(wǎng)技術(shù)選型決定局域網(wǎng)特性的主要技術(shù)有：用以傳輸數(shù)據(jù)的傳輸介質(zhì)，用以連接各種設(shè)備的拓撲結(jié)構(gòu)，用以共享資源的介質(zhì)訪問控制方法。這三種技術(shù)在很大程度上決定了傳輸數(shù)據(jù)的類型、網(wǎng)絡的響應時間、吞吐率和利用率，以及網(wǎng)絡應用等各種特性，其中最重要的是介質(zhì)訪問控制方法?；诮粨Q技術(shù)的局域網(wǎng)不同于傳統(tǒng)局域網(wǎng)采用的共享介質(zhì)訪問控制技術(shù)。 以千兆網(wǎng)作校園

47、網(wǎng)主干千兆以太網(wǎng)構(gòu)筑于以太網(wǎng)協(xié)議之上，但其速度比快速以太網(wǎng)增加10倍，到達000Mbps或1Gbps。由于千兆以太網(wǎng)明顯借助于以太網(wǎng)，因此用戶能夠利用現(xiàn)有的知識根底來管理和維護千兆網(wǎng)絡。校園網(wǎng)主干采用千兆技術(shù)有利于現(xiàn)有技術(shù)及設(shè)備的無縫遷移，防止投資浪費，更有利于將來升級、擴展。 交換式以太網(wǎng)交換式以太網(wǎng)10是人們解決通信瓶頸問題時誕生的，它不同于傳統(tǒng)的共享式網(wǎng)絡。交換式網(wǎng)絡是一種融合技術(shù)，而不是類似于FDDI專用網(wǎng)絡技術(shù)。它提供對現(xiàn)有網(wǎng)絡技術(shù)的更充分的支持。交換網(wǎng)絡技術(shù)是目前解決網(wǎng)絡通信瓶頸問題的切實可行的最正確方案之一，它防止了ETHERNET、FDDI的通信爭用問題。交換網(wǎng)絡具有倍增帶寬、

48、靈活的劃分網(wǎng)段，實現(xiàn)VLAN的特點。使用此種技術(shù)構(gòu)造網(wǎng)絡，網(wǎng)絡性能將主要集中在效勞器一方，在以后的網(wǎng)絡升級中，增加效勞器的處理能力即可。交換網(wǎng)絡可以平滑的過渡到千兆網(wǎng)絡，且有強有力的工業(yè)支持，作為信息辦公網(wǎng)是一種適宜的選擇。將大型網(wǎng)絡劃分成小的網(wǎng)段，使每段擁有較少的用戶，這樣可解決網(wǎng)絡的擁擠，這是交換式以太網(wǎng)最根本的思想。目前數(shù)據(jù)和多媒體的應用對網(wǎng)絡帶寬的要求越來越高，而各種業(yè)務對實時性要求更高。 局域網(wǎng)結(jié)構(gòu)分析局域網(wǎng)的主干網(wǎng)絡主要是指網(wǎng)絡的核心交換機和核心鏈路。骨干網(wǎng)絡負責各級交換機之間的數(shù)據(jù)傳送。由于每臺交換機上都與眾多的客戶直接相連，這樣每一條主干網(wǎng)絡鏈路都直接負擔著數(shù)十個或更多的客戶的

49、網(wǎng)絡流量。所以每條主干網(wǎng)絡鏈路的帶寬容量直接關(guān)系到整個網(wǎng)絡的傳輸能力。另外，主干網(wǎng)絡的穩(wěn)定性和平安性也直接影響到整個網(wǎng)絡的平安與穩(wěn)定。局域網(wǎng)的接入局部直接與用戶相連，每一條接入鏈路只負責一個用戶的網(wǎng)絡數(shù)據(jù)。所以相對來說對帶寬的要求不是很高。但由于網(wǎng)絡內(nèi)每個用戶都需要一條接入鏈路，所以接入局部的鏈路和端口數(shù)量相當巨大。另外由于接入終端種類的多樣性和接入端用戶對操作的簡單性要求，接入局部所采用的技術(shù)和設(shè)備應該有：使用廣泛、價格低廉、操作配置簡單、有很好的通用性和兼容性等特點。4.4 三層結(jié)構(gòu)在校園網(wǎng)中的應用 第三層交換概述第三層交換技術(shù)因網(wǎng)絡設(shè)備提供商而異。用于在子網(wǎng)之間交換分組的產(chǎn)品很多。但是，

50、只有兩個概念性的技術(shù)被用在第三層交換機上： 1、專用方法各個廠家的專用交換方法各有特點，但大致的原理根本是：絕大多數(shù)情況下，這些產(chǎn)品處理第一個分組，然后在一個分組序列中預測其余分組的目的地址。當分組序列的目的地址確定以后，后來的分組享有與第一個分組相同的權(quán)限，繞開了第三層處理，整體上加快了處理過程。這些后來的分組視具體情況被第二層或第三層轉(zhuǎn)發(fā)。2、逐分組交換11逐分組交換發(fā)生在網(wǎng)絡層。每個單獨的分組根據(jù)其網(wǎng)絡地址被轉(zhuǎn)發(fā)至到最終的目的地址。路由信息協(xié)議(如RIP和OSPF)被這些設(shè)備用來了解網(wǎng)絡拓撲結(jié)構(gòu)以及進行路由變更。逐分組式交換機是有路由能力的極高速分組交換，因為其功能是由硬件實現(xiàn)的，使用特

51、定用途集成電路而不是路由軟件。然而，這也意味著每個設(shè)備是硬件固化的，用來交換特定第三層協(xié)議(如IP)。 緊縮模式緊縮骨干網(wǎng)(Collapsed Backbone)12的最大的特點就是將分布層和核心層功能集合在同一設(shè)備執(zhí)行。這種設(shè)計的優(yōu)點是其經(jīng)濟性，非常適合大型大樓內(nèi)網(wǎng)絡。不過，它限制了網(wǎng)絡的擴展能力，而且骨干網(wǎng)中的第三層交換機必須為網(wǎng)中每個在線設(shè)備維持ARP(地址解析協(xié)議)條目。過量的ARP活動會占用大量的CPU資源，會直接影響骨干網(wǎng)的總體性能。從風險和性能角度出發(fā)，一種合理的方法是將網(wǎng)絡分成假設(shè)干個較小的緊縮模塊，并將它們與核心層相連。圖4.2 緊縮骨干網(wǎng)模型 全網(wǎng)狀模式全網(wǎng)狀骨干網(wǎng)比擬適合

52、包括3個模塊的網(wǎng)絡，直接相連的第三層交換機組成一個全面連接的網(wǎng)狀結(jié)構(gòu)。全網(wǎng)狀設(shè)計非常適用于將兩個或三個模塊連為一體。然而隨著模塊的增加，維持全網(wǎng)狀所需的鏈路數(shù)量以平方增長，并且，隨著鏈路數(shù)量的增加，子網(wǎng)和路由選擇等的數(shù)量也會增加，網(wǎng)絡的復雜性也相應提高。全網(wǎng)狀設(shè)計還使帶寬升級變得更為困難。為了將一個模塊從快速以太網(wǎng)鏈路升級到千兆位以太網(wǎng)鏈路，相連接的其他模塊必須同時進行升級。因此，網(wǎng)絡各個部位都需要升級和變更。如圖4.3所示。圖4.3 全網(wǎng)狀骨干網(wǎng)模型 局部網(wǎng)狀結(jié)構(gòu)模式局部網(wǎng)狀骨干網(wǎng)類似于全網(wǎng)狀骨干網(wǎng)，區(qū)別只是撤除了一些中繼線路。局部網(wǎng)狀骨干網(wǎng)適合用于業(yè)務主要傳輸?shù)揭粋€中央效勞器庫模塊的網(wǎng)絡。

53、在這種設(shè)計中將來自各樓第三層交換機的高容量中繼線直接與效勞器庫中的第三層交換機相連。局部網(wǎng)狀設(shè)計中的一個問題是客戶機模塊間的業(yè)務要通過邏輯中繼線才能互相訪問。實際上，效勞器一側(cè)的第三層交換機是所有客戶機間業(yè)務的緊縮骨干網(wǎng)，如圖4.4所示。圖4.4 局部網(wǎng)狀骨干網(wǎng)模型 第三層交換模式第三層交換式骨干網(wǎng)13可以支持任何拓撲結(jié)構(gòu)，因為一些復雜的路由協(xié)議(如(OSPF)被廣泛采用。骨干網(wǎng)由兩個帶有千兆位以太網(wǎng)或千兆位Ether Channel中繼線的第三層交換機所組成。骨干網(wǎng)中的所有鏈路均為路由鏈路，因此網(wǎng)絡中不會出現(xiàn)生成樹環(huán)路。如圖4.5所示。圖4.5 第三層交換式模型在這種模型中，最靈活、最具可擴

54、展性的網(wǎng)絡是由第三層交換機組成。骨干網(wǎng)交換機之間由千兆位以太網(wǎng)或千兆位Ether Channel鏈路相連。第三層交換骨干網(wǎng)有以下幾方面的優(yōu)點：1、更少的路由對等；2、無生成樹環(huán)路的靈活拓撲結(jié)構(gòu)；3、骨干網(wǎng)中對多點發(fā)送與播送業(yè)務可進行控制；4、可擴展到任意規(guī)模：5、每個分布層交換機有兩條等本錢路徑與每個目的地網(wǎng)絡相連，任何鏈路故障的恢復非常迅速，可為骨干網(wǎng)提供雙倍的中繼容量。 4.5 高校網(wǎng)絡拓撲結(jié)構(gòu)設(shè)計根據(jù)以上原那么，高校校園網(wǎng)絡的結(jié)構(gòu)采用二三層結(jié)合的結(jié)構(gòu)，即核心層，分布層和接入層。核心層提供整個網(wǎng)絡的中心多層路由、交換能力；分布層是網(wǎng)絡會聚層，提供接入層與核心層相連的光纖會聚點，減輕了核心層

55、路由交換機的負載，同時保證了設(shè)備的統(tǒng)一性，為將來網(wǎng)絡維護和管理提供了極大的便利；接入層向用戶提供桌面10/100M連接和本地的交換能力。核心層通過園區(qū)樓宇間的光纖連接可采用多條千兆鏈路捆綁技術(shù)，提供高速的主干通道，未來可采用10G的萬兆以太網(wǎng))。接入層可采用堆疊技術(shù)，大大提高整堆疊交換機背板性能、交換能力等，同時具有更大的靈活性和可擴展性。高校網(wǎng)絡拓撲如圖4.6所示。 圖4.6 高校網(wǎng)絡拓撲圖4.6 多協(xié)議處理及路由能力設(shè)計由于高校校園網(wǎng)絡的用戶和應用眾多，需要網(wǎng)絡能夠提供各種應用和多協(xié)議的支持。因此在設(shè)計網(wǎng)絡的時候，充分考慮了多協(xié)議支持的問題，讓其能夠支持IP、IPX、NetBIOS等網(wǎng)絡協(xié)

56、議。 VLAN的設(shè)計虛擬局域網(wǎng)(VLAN)就是一個計算機網(wǎng)絡，其中的計算機好似是被同一網(wǎng)線連接在一起，而實際上它們分別處于局域網(wǎng)不同區(qū)域，是一組邏輯上的設(shè)備或用戶。如圖4.7所示。圖4.7 VLAN圖例VLAN的概念14主要是根據(jù)網(wǎng)絡管理的要求而提出來的，同時還可以提供一些平安的功能，也可以局部的優(yōu)化網(wǎng)絡的性能。AVAYA的Cajun系列交換機產(chǎn)品可以根據(jù)IP地址、MAC地址、端口等多種策略來劃分VLAN，支持多鐘路由協(xié)議來實現(xiàn)VALN間的路由。 第三層交換技術(shù)第三層交換的實質(zhì)是路由，類似于IP子網(wǎng)間的數(shù)據(jù)交換機制。當網(wǎng)絡內(nèi)數(shù)據(jù)流量的分布偏離規(guī)那么，而且流量大量跨越子網(wǎng)邊界時，傳統(tǒng)的路由器就成

57、了通信中的瓶頸。第三層交換技術(shù)的實現(xiàn)可分兩類：一類可歸為“路由一次，交換屢次；另一類是基于高性能硬件的線速路由器。 支持多種路由協(xié)議AVAYA的Cajun系列三層交換機產(chǎn)品，能夠支持各種主要的標準路由協(xié)議實現(xiàn)VALN間的路由(如RIP、RIP、OSPF等)。 組播支持AVAYA的Cajun交換設(shè)備支持的多播路由協(xié)議有：支持多播組用戶的注冊或取消的IGMP(Internet Group Management Protocol)，通過IGMP實現(xiàn)交換機本地多播用戶的監(jiān)控與多播的發(fā)送。同時還提供DVMRP(距離向量多播路路由協(xié)議)和MOSPF(多播OSPF路由協(xié)議)來實現(xiàn)多點播送的路由。通過IGMP

58、和DVMRP還可以實現(xiàn)多點播送的本地或廣域傳輸。 第5章 網(wǎng)絡平安研究隨著計算機網(wǎng)絡的開展，網(wǎng)絡的平安問題也日趨嚴重。網(wǎng)絡系統(tǒng)中的平安問題包括網(wǎng)絡中信息系統(tǒng)的平安性和網(wǎng)絡本身固有的平安性。保證系統(tǒng)的平安性要從管理和技術(shù)角度同時考慮，通過指定不同的平安策略來到達特定的平安要求。網(wǎng)絡的平安策略主要針對兩種情況，一是網(wǎng)絡系統(tǒng)自身的平安問題，如路由器的平安隱患、匿名FTP的平安隱患、Telnet的平安隱患等，可以通過對各種關(guān)鍵系統(tǒng)設(shè)備加以控制來消除；另一種是給用戶提供的各種效勞是否平安，主要表達在網(wǎng)絡應用上，如用戶的數(shù)據(jù)或信息在網(wǎng)絡傳遞過程中的平安控制。其中，網(wǎng)絡系統(tǒng)自身的平安程度將直接影響整個系統(tǒng)的

59、可用性和穩(wěn)定性，它是系統(tǒng)平安的根底15。一個系統(tǒng)存在的平安問題可能來源于兩個方面：平安控制機構(gòu)有故障或系統(tǒng)平安定義有缺陷。前者是一個軟件可靠性的問題，可以用優(yōu)秀的軟件設(shè)計技術(shù)配合特殊的平安方針加以克服；而后者那么需要精確描述平安系統(tǒng)。網(wǎng)絡應用系統(tǒng)的平安體系應包含如表5.1所示的內(nèi)容。網(wǎng)絡應用系統(tǒng)的平安如表5.1所示。表5.1網(wǎng)絡應用系統(tǒng)的平安內(nèi) 容功 能訪 問 控 制通過特定網(wǎng)段、效勞建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達目標之前檢查平安漏洞通過對平安漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數(shù)攻擊無效攻 擊 監(jiān) 控通過對特定網(wǎng)段、效勞建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻

60、擊，并采取響應的行動(如斷開網(wǎng)絡連接、記錄攻擊過程、跟蹤攻擊源等)加 密 通 信主動的加密通信，使攻擊者不能了解、修改敏感信息認 證良好的認證體系可以防止攻擊者假冒合法用戶備份和恢復良好的備份和恢復機制，可在攻擊造成損失時盡快的恢復數(shù)據(jù)和系統(tǒng)效勞多 層 防 御當攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標設(shè)立平安監(jiān)控中心為信息系統(tǒng)提供平安體系管理、監(jiān)控、保護及緊急情況效勞5.1 平安風險分析由于高校校園網(wǎng)絡用戶眾多，支撐著相當多的重要應用，因此高校校園網(wǎng)絡的平安顯得特別重要。平安的威脅不僅來自外部網(wǎng)絡，內(nèi)部平安防范也顯得十分重要。對于網(wǎng)絡資產(chǎn)包括網(wǎng)絡主機(主機的操作系統(tǒng)、應用程序和數(shù)據(jù))