《第1章 构建小型校园网络》由会员分享,可在线阅读,更多相关《第1章 构建小型校园网络(73页珍藏版)》请在金锄头文库上搜索。
1、 项目一项目一 构建小型构建小型校园校园网络网络 1.1 网络场景网络场景 新江中学是某新江区一所重点中学,学校有 60 名教职员工,学校需要构建一个小型的 校园网,网络的出口设备采用的是锐捷路由器 RSR20-40,由服务提供商申请了 2M 链路作 为访问互联的链路;其核心采用的网络设备是锐捷三层交换机 RG-S3760E,其接入层网络 设备为锐捷二层交换机 RG-S2328G。 为了保障内部网络的安全, 需要对内部员工的登录身份进行验证, 并对其行为进行审计, 所以其部署 Windows 域环境,需要使用内部域名服务器为内部用户解析域名。详细网络拓 扑结构如下图 1- 1 所示: 图 1-
2、 1小型校园网设计图 1.2 用户需求用户需求 根据学校业务的需求,具体有如下需求: 1 要求按照层次型网络结构进行网络设计和网络实施; 2 内部有教学部和教务部两个行政部门,根据部门业务的不同进行区划; 3 内部用户需要使用运营商提供的地址段访问互联网; 4 内部用户只能在上班的时间才能访问互联网; 5 为了保障网络安全,需要每个交换接口只允许接入一台主机; 6 内部用户登录时,需要进行统一身份验证; 7 需要将学校教学及教改内容以门户网站的方式发布到互联网,实现宣传作用; 8 构建一个安全、畅通的校园网络。 1.3 需求分析需求分析 1 由于学校的网络规模较小, 所以采用二层的网络架构,
3、将核心层与汇聚层合为一层, 即保障业务数据流的畅通,又可以实现层次型网络架构; 根据用户数量和业务需求,核心交换机采用 RG-S3760E 三层交换机,接入层交换机采 用 RG-S2328G,出口路由器采用 RSR20-04; 为了保障网络流量畅通, 在接入交换机上行至三层核心交换的链路, 采用链路聚合技术, 实现链路带宽的增加和负载均衡。 。 2学校有两个行政部门,采用 VLAN 技术,将两个行政部门的用户主机划分到不同的 VLAN 中,即可以实现统一管理,又可以保障网络的安全性; 创建 VLAN11、VLAN12 和 VLAN13,将教学部的用户主机划分为 VLAN11,教务部的 用户主机
4、划分到 VLAN12, 服务器群中的服务器主机划分到 VLAN13。 为了便于网络管理, 为每个 VLAN 按照部门的名称汉语拼音为其命名。 3由于规模较小,网络架构采用的二层架构 ,所以在三层路由规划时,全网采用的静 态路由。 4服务提供商为学校提供了全局的 IP 地址段为 88.8.8.188.8.8.5,使用网络地址转换 (NAT)技术,将 RFC1918 的私有地址转换为合法的全局 IP 址;使用动态端口 NAT 技术 实现内部用户访问互联网资源,使用静态 NAT 技术,将 WEB 服务器发布到互联网。 内部用户访问互联时使用的合法的全局地址段为 88.8.8.288.8.8.5, 使
5、用 88.8.8.1 地址将 WEB 服务器发布互联网上,为了保障服务器的安全,采用基于端口 NAT 技术。 5在网络安全方面使用基于时间的访问控制列表,满足内部用户只能在上班的时间访 问互联网;为保障接入层安全,在每个接入接口使用端口安全技术,实现交换机接口只允许 接入一台主机。 学校的上班时间为每星期的星期一至星期五,每天的 9:0017:00,使用端口安全技术限 制主机的连接数为 1,如果有违规的用户则关闭交换机接口。 6在网络中部署 Windows 域环境,其申请的合法域名为 ,在服务器 群安装 Windows Server 2003 操作系统,并将所有的客户机加入到域环境中,使用活动
6、目录 对内部用户进行身份验证。 学校有 60 名工,教学部的员工为 28 名,其中包括一个经理,而校长主抓教学工作;而 教务部有 32 名员; 根据行政架构创建相应的组, 创建的组的名称采用其部门名称的拼音; 创建用户帐号名 称采用员工姓名的拼音字母+部门名称拼音首字母,为保障用户帐户的安全,创建用户时需 要用户登录时重新修改口令,将所有用户加入至相应的组中。 7 搭建 WEB 服务器,创建学校的门户网站,网站需要支持 ASP.net,为保障 WEB 服 务器的安全性,只允许用户使用域名来访问 WEB 站点。 为保障活动目录的安全性,DNS 服务不能安装在活动目录服务器上,所以需要在另外 一台
7、服务器上安装 DNS 服务,DNS 服务器不但解析内网中的服务器域名,也要为内部用户 解析互联网域名,所以需要配置 DNS 转发器。 1.4 培养培养目标目标 学习目标学习目标 1学习并掌握计算机网络基础; 2学习并掌握交换机工作及 VLAN 技术原理及应用; 3学习并掌握网络地址转换(NAT)技术原理及应用; 4学习并掌握基于时间的访问控制列表技术原理及应用; 5学习并掌握 Windows 操作系统安装与配置; 6学习并掌握活动目录服务、WEB 服务的安装与配置; 7学习并掌握 IP 路由选路及静态路由配置。 8学习并掌握 IP 地址子网规划; 9学习层次型网络结构的规划与设计; 能力目标能
8、力目标 1、 文档编写能力:主要让学生学会如何编写项目文档,学会文档编写工具使用方法。 2、 呈现能力:主要让学生学会呈现的方法,培养学生如何呈现。 3、 项目管理能力:通过小项目管理,主要让学生学会项目管理的步骤及方法。 4、 岗位职能能力:通过此项目的学习,让学生了解不同岗位的职责要求及职业技能。 1.5 知识准备知识准备 1.5.1 交换基础交换基础 1.5.1.1 交换机工作原理交换机工作原理 交换机和网桥根据第 2 层 MAC 地址,通过一种确定性的方法在接口之间转发帧。帧的 封装中必不可少的信息是: 源和目的 MAC 地址; 高层协议标识; 错误检测信息。 第 2 层交换机通过源
9、MAC 地址来获悉与特定接口相连设备的地址,并根据目的 MAC 地址来决定如何处理这个帧,它的 3 项主要功能如下。 学习; 转发/过滤; 消除环路。 具体来说就是:以太网交换机通过查看收到的每个帧的 MAC 地址,来学习每个接口连 接的设备 MAC 地址,地址到接口的映射被存储在被称为“MAC 地址表”的数据库中。 收到帧后,以太网交换机通过查找 MAC 地址表来确定通过哪个接口可以到达目的地。 如果在 MAC 地址表中找到了目标地址,则只将帧转发到相应的接口;如果没有找到,则将 帧转发到除入站接口外的所有接口。 当为实现冗余而在网络中有多条路径时, 以太网交换机必须防止帧不断地在多条路径之
10、 间传输。在第 2 层链路上,相同源端和目的端的多条路径被称为环路,环路导致帧不断地传 输,直到耗尽所有带宽,导致网络崩溃。由于可能出现环路,因此必须避免出现多条活动路 径,生成树协议(Spanning Tree Protocol,STP)可用于避免环路,同时允许存在多条备用 路径,供链路出现故障时使用。 STP 协议将在后面的章节中详细讨论, 现在我们着重看一下“学习”和“转发/过滤”这两个 功能是如何实现的。 (1)地址学习)地址学习 交换机通过以太网帧的源地址来确定设备的位置。交换机维护一个 MAC 地址表,用于 记录与其相连的设备的位置。 交换机根据这个表来决定是否需要将分组转发到其他
11、网段。 图 1- 2 初始的 MAC 地址表是一个初始的 MAC 地址表。初始化之前,交换机不知道主机连接 的是哪个接口。MAC 地址表为空,交换机收到帧后,将把接收到的数据帧从除了接收接口 之外的所有接口发送出去,这被称为泛洪。然后,主机 A 要给主机 C 发送数据帧,这个帧 的源地址是主机 A 的 MAC 地址 00-D0-F8-00-11-11,目的地址则是主机 C 的 MAC 地址 00-D0-F8-00-33-33。 由于此时的 MAC 地址表是空的, 所以交换机的处理方法是把帧从 E1、 E2、E3 这 3 个接口广播出去。 图 1- 2 初始的 MAC 地址表 同时,在这个过程中
12、,交换机也获得了这个帧的源地址,在 MAC 地址表中增加一个条 目,将这个 MAC 地址和接收接口对应起来。至此,交换机就知道主机 A 位于接口 E0 了, 如图 1- 3 所示。 图 1- 3 在 MAC 地址表中添加地址 网段上的其余的主机收到这个帧之后,只有真正的目的端主机 C 会响应这个帧,其余 的主机则是丢弃这个帧。 返回的响应帧到达交换机后, 它的目的 MAC 地址为主机 A 的 MAC 地址,由于这个地址已经存在于 MAC 地址表中,交换机就可以把它按照表中对应的接口 E0 转发出去。同时,交换机在 MAC 地址表中再将添加一条新的记录,将响应帧的源 MAC 地址(主机 C 的
13、MAC 地址)和接口(E2)对应起来。 随着网络中的主机不断发送帧,这个学习的过程也将不断进行下去,最终,交换机得到 了一张完整的 MAC 地址表,如图 1- 4 所示。表中的条目将被用于做出转发和过滤决策。 图 1- 4 完整的 MAC 地址表 需要注意的是,MAC 地址表中的条目是有生命周期的,如果在一定的时间内(锐捷交 换机的 MAC 地址老化时间为 300 秒)交换机没有从该接口接收到一个相同源地址的帧(用 于刷新 MAC 地址表中记录) ,交换机会认为该主机已经不再连接在这个接口上,于是这个 条目将从 MAC 地址表中移除。 相应的,如果从该接口收到帧的源地址发生了改变,交换机也会用
14、新的源地址去改写 MAC 地址表中该接口对应的 MAC 地址。这样,交换机中的 MAC 地址表就一直能够保持 最新,以提供更准确的转发依据。 (2)转发)转发/过滤决策过滤决策 交换机收到目标 MAC 地址已知的帧后,将其从相应的接口而不是所有接口,转发出 去。 例如,在图 1- 5 所示的网络中,主机 A 再次将一个帧发送给主机 C。由于目标 MAC 地 址(主机 C 的 MAC 地址:00-D0-F8-00-33-33)已经存在于 MAC 地址表中,交换机可以通 过查找 MAC 地址表直接将帧从相应接口转发出去。主机 A 向主机 C 发送帧的过程可以描 述如下。 交换机将帧的目的 MAC
15、地址和 MAC 地址表中的条目进行比较。 发现可以通过接口 E2 到达该目的主机,于是将帧从该接口转发 出去。 交换机不会将帧从接口 E1 和 E3 转发出去,这节省了带宽,这种操作被称为 帧过滤。 图 1- 5 交换机的转发/过滤决策 如果交换机接口连接的是一台集线器, 同时有多台主机与集线器相连, 则当交换机学习 到这些主机的地址后,对于这些主机之间传输的帧,交换机不会将它们转发到其他接口,如 图 1- 6 所示。 图 1- 6 交换机接口连接多台主机 在以太网中,广播地址为 FF-FF-FF-FF-FF-FF。目的地址为 FF-FF-FF-FF-FF-FF 的帧是 发送给所有设备的,而组
16、播地址则以 01 打头,代表多台主机。广播地址和组播地址只能用 于目标地址, 对于目标为这两种地址的帧, 交换机的处理方式相同把它从除了接收接口之 外的所有接口转发出去。 1.5.1.2.帧转发方式帧转发方式 交换机收到帧后,必须根据 MAC 地址表中的信息将帧从合适的接口转发出去。交换机 在接口之间传递帧的方式被称为转发模式或交换模式,主要的转发模式有 3 种。 直通转发; 存储转发; 无碎片直通转发。 直通转发(Cut Through) ,也被称为快速转发,是指交换机收到帧头(通常只检查 14 个字节)后立刻察看目的 MAC 地址并进行转发。这可以极大地降低从入站接口到出站接口 的延迟,交换速度较快。快速转发时的延迟是固定的,与帧长无关。这种方式的缺点是,冲 突产生的碎片和出错的(校验不正确的)帧也将被转发。 另外,如果要连到高速网络上,如交换机同时提供快速以太网(100Base-TX)和千兆 以太网(1000Base-TX)连接时,就不能简单地将输入、输出接口“接
