《高校校园网的规划和设计》由会员分享,可在线阅读,更多相关《高校校园网的规划和设计(34页珍藏版)》请在金锄头文库上搜索。
1、摘 要校园网络可分为校园网络中心,教学子网,办公子网,图书馆子网,宿舍区子网等。业务网和管理网需要分开,所以建成后校园网能提供多个网段的划分以及隔离,并能做到灵活改变配置,适应教学环境的变化和调整。本文研究采用业界一流的骨干级交换机交叉背板交换,分布式二/三/四层处理,无阻塞交换架构,保证全网全线速10/100M接入用户桌面,在本系统中,服务器可选择接入100Base-TX、1000Base-SX、1000BaseT,骨干交换机提供线速三层交换,接入层交换机线速二层交换保证全网无阻塞性能,支持1000M上联模块,能够根据业务流量的需要采用TRUNK功能,网管简单,可选Web、CLI管理 。本文
2、还将着重讨论校园网络的安全性问题,指出校园网安全问题的重要性,威胁校园网络安全的因素,通过对校园网络系统所存在的安全问题和网络安全管理现状的分析,并在老师的指导下,能够提出利用防火墙、路由器、交换机、服务器等网络设施系统软件,构建一个具有多层次安全功能的校园网安全模型,同时采用三层交换技术可有效防止IP盗用,提高网络安全性。关键词:校园网;三层交换;网络安全目 录摘 要I目 录II第1章 绪 论11.1 校园网需求分析11.2 系统规划21.3 方案特点21.4 网络安全问题2第2章 组网技术32.1 网络组件32.1.1 交换机32.1.2 网桥32.1.3 路由器32.1.4 网关32.2
3、 校园网技术新发展32.2.1 虚拟局域网技术42.2.2 第三层交换技术4第3章 需求分析83.1 组网背景83.2 网络工程建设规划83.3 校园网技术新发展83.4 系统总体目标93.5 方案设计原则9第4章 系统总体设计114.1 “自顶向下”的设计思想114.2 分层次的设计114.2.1 网络层次结构114.2.2 网络的三层结构124.2.3 层次性网络设计的指导原则134.3 局域网技术选型144.3.1 以千兆网作校园网主干144.3.2 交换式以太网144.3.3 局域网结构分析154.4 三层结构在校园网中的应用154.4.1 第三层交换概述154.4.2 紧缩模式154
4、.4.3 全网状模式164.4.4 部分网状结构模式174.4.5 第三层交换模式174.5 高校网络拓扑结构设计184.6 多协议处理及路由能力设计194.6.1 VLAN的设计194.6.2 第三层交换技术194.6.3 支持多种路由协议194.6.4 组播支持20第5章 网络安全研究215.1 安全风险分析215.2 局域网络安全225.3 广域网络安全225.3.1 设置高性能的代理服务器225.3.2 设置防火墙235.4 安全性机制23第6章 设备选型256.1 核心主交换机256.2 接入层主交换机266.3 路由器266.4 Inter架构服务器276.5 楼层交换机技术特点2
5、7结 论29致 谢30参考文献31第1章 绪 论随着网络规模的不断扩大,多媒体应用正成为校园网应用的又一主流。多媒体的应用对校园网的网络带宽和网络速度提出了更高的要求。采用网络互连设备HUB、网桥和路由器来扩大网络的方案已不能完全适应网络规模发展的需要,使用交换机替代路由器实现大容量低延迟的局域网路由在实际中也己得到较广泛的应用,具有二层交换技术的交换机解决了网段间的信息碰撞问题,利用VLAN技术划分子网实现了管理上的灵活性,具有第三层交换能力的网络交换机可以满足不断增长的子网间的通信需要,同时实现多媒体通信所要求的低延迟量的稳定性。传统的基于共享介质的以太网逐步被交换网络所取代,第三层交换技
6、术和第三层交换机这一新的网络技术正在网络建设中得到应用和发展,如何有效地集成这些技术是校园网建设中必须考虑的问题。1.1 校园网需求分析我校是一所正在建设中的现代化综合学府,网络在学院日常教学办公中起到至关重要的作用,校园网的运作模式带来大量动态数据的传输,相当一部分住应用服务器要高速接入网络,网络要有足够的主干带宽和扩展能力。大学是一个小社会,网络应用类型非常复杂,信息媒体类型较多,且具有信息流猝发特点。在大学校园网建设中,应充分兼顾信息资源共享与服务、多媒体教学和教务管理等因素对网络的需求。大学建设校园网,一般经费比较充裕,在网络技术上应该留有一定的发展空间。校园网设计应能满足以下条件:网
7、络应具有传递语音、图形、图像等多种信息媒体功能,二级以上交换机应支持组播功能。具备性能优越的资源共享功能,以及校园网中各信息点之间的快速交换功能。由于大学校园网规模较大,教学与科研部门众多,如果所有信息点在同一冲突域中,网上广播风暴就会使网络性能严重下降,中心系统交换机应支持VLAN和第三层交换技术,支持QoS,对网络用户具有分类控制功能,对网络资源的访问提供完善的权限控制,以提高网络的安全和性能。校园网与Internet网相连后,应具有“防火墙”过滤功能,以防止网络黑客入侵网络系统。能够对接如因特网的各网络用户进行权限控制和计费管理。1.2 系统规划 校园网络可分为校园网络中心,教学子网,办
8、公子网,图书馆子网,宿舍区子网等。业务网和管理网需要分开,所以建成后校园网能提供多个网段的划分以及隔离,并能做到灵活改变配置,适应教学环境的变化和调整。所以,合理划分虚拟网络(VLAN)十分关键。由于划分VLAN必须参照网络安全原则及网络流量分析,因此,VLAN的划分不是事先就能完全确定的,必须按照“事先设计,运行调整”的思路进行。VLAN的设计是系统集成的重点之一。1.3 方案特点 1、业界一流的骨干级交换机交叉背板交换,分布式二/三/四层处理,无阻塞交换架构,保证全网全线速10/100M接入用户桌面。2、服务器可选择接入100Base-TX、1000Base-SX、1000BaseT。3、
9、骨干交换机提供线速三层交换,接入层交换机线速二层交换保证全网无阻塞性能。4、支持1000M上联模块,能够根据业务流量的需要采用TRUNK功能。5、支持高速端口聚合,具有链路冗余和负载均衡的能力。6、高智能,支持二/三/四层线速交换,提供端到端的QoS的保证。7、高安全,802.1X基于用户身份的认证。8、网管简单,可选的Web、CLI管理。1.4 网络安全问题1、以太网固有的一些特性导致了以太网接入的安全问题。2、学校学生计算机水平高而且时间充裕,本身网络就有很大的安全隐患。3、学校具备的Internet、Cernet、校内三种资源的选择性对网络安全管理提出了挑战, 如何处理访问的灵活性和安全
10、性之间的平衡是每个学校网管需要考虑的问题。第2章 组网技术2.1 网络组件计算机网络中存在许多不同类型的组件,这里简单介绍最常见的网络组件和每个组件的基本功能。2.1.1 交换机交换机3是用来提高LAN性能的数据链路层设备。在许多网络中,交换机己经替代集线器来提高终端用户的性能。交换机是一种由许多高速端口组成的设备,连接LAN网段或连接基于端到端的独立设备。交换机有很多类型,每种交换机支持不同的速率和LAN类型,比如以太网、令牌环、FDDI和ATM。交换机将整个介质带宽集中到一个端口上。2.1.2 网桥网桥用于分割数据流以提高网络的整体性能。它也用来提供跨广域的连接并且提供了一种最简单的将局域
11、网网段,连接成可维护、高可靠性的扩展网络的方法。网桥工作在OSI模型中数据链路层的MAC子层,网桥监听所有流经它所连接的网段的数据,并检查每个数据帧的目的网卡地址,以决定是否将该帧送往网络的其他部分。网桥对帧操作且完全不必考虑帧的内容,但网桥的操作既需要硬件也需要软件。2.1.3 路由器路由器工作在网络层,通常比中继器、网桥和交换机复杂,路由器是对分组(包)而不是对帧进行操作的。路由器连接具有相同通信架构的网络,但这些网络的低层架构可能不同,它是从物理上和逻辑上对网络进行分割的,而且常常可以用来替代网桥或交换机。2.1.4 网关网关又称又称为协议转换器或网间连接器,它工作在OSI协议的传输层或
12、更高层,是互联网设备中最为复杂的设备,用于互联不用体系结构的网络。2.2 校园网技术新发展校园网技术随着时代的进步而不断发展。虚拟局域网(VLAN)己经发展成为交换式LAN方案的必不可少部分之一。用LAN交换机取代部门路由器和介质访问设备(如集线器)的速度在不断增大。随着每个端口的以太网和令牌环网的交换机价格下降,越来越多的学校和组织倾向于给每个用户分配一个单独的交换端口,以便获得更高的带宽。VLAN虽然解决了在二层交换机上划分广播域的问题,但虚拟局域网之间的通信仍需要借助速度较慢的传统路由器。此时,三层交换技术融交换技术和路由技术为一体应运而生,给人们带来了高速交换解决方案,并使路由器退出局
13、域网技术领域。2.2.1 虚拟局域网技术1、什么是VLANVLAN技术目前仍是未标准化的不开放的技术,各个厂商提供的VLAN解决方案有一定的差异。体现在VLAN的概念上也是各有不同见解。但是一个比较通用的能被大家接受的定义是认为VLAN等同于一个广播域。具体而言,VLAN可以看作是包含一组端站点的逻辑局域网,这些端站点可位于不同的物理网段中,但它们不受物理位置的限制而互相通信,就好像它们在同一个物理LAN中一样4。2、实现VLAN要解决的关键问题(1)、定义VLAN成员的问题,即划分VLAN的方法。(2)、在多个交换机上划分VLAN时各个交换机之间的交换VLAN成员身份信息的问题。(3)、在多
14、个VLAN之间通信的问题,即VLAN之间的路由问题。3、划分VLAN的方法定义VLAN成员的方法多种多样,主要有四种:按交换机的端口划分VLAN,按MAC层地址划分VLAN,按网络层地址划分VLAN,按IP组播划分VLAN等。2.2.2 第三层交换技术在过去的20多年中,交换技术和路由技术都得到了充分发展,交换技术的发展和对网络技术的贡献更是引人注目。到目前为止,已基本形成了“以交换机为中心”的LAN连接方案。尤其这些年所建成的Intranet更是离不了交换机和路由器。交换技术和路由技术的主要区别在于:交换机所处理的是以太网帧中MAC地址部分,而路由器不仅可以识别MAC地址,还可以进一步分析包
15、含网络类型信息的协议首部。正因为这一关键性的区别,使得交换机和路由器在网络设计中所担任的角色也大不相同。传统的二层交换机主要区别使网络通信双方节点在通信时能够获得专有的连接,从而享有真正的全部带宽,这对于共享式以太网而言无疑是一个大飞跃。二层交换机也可用于划分子网。但是,基于二层交换机的所有子网在遇到数据包广播时便显得毫无意义。因为对于二层交换机来讲,与其所有端口相连的节点,无论是单一的工作站还是子网,都共享一个广播域。当发送节点发送了一个广播包后,该包就会扩散到所有与交换机端口相连的子网中,而不管该子网是一个TCP/IP子网还是一个IPX子网。显然,将一个TCP/IP广播包发送到IPX子网中是不合理的。这也会影响整个网络的性能。二层交换机的这种广播控制缺陷是由其对以太网帧的处理能力所决定的,因为二层交换机只能识别MAC地址,不能识别数据包中的网络地址信息,因而它对于区分不同类型的子网是无能为力的。在网络设计中,路由器主要用来完成交换机所缺乏的有效子网划分和广播控制功能。在通过路由器连接的两个子网中,子网间的广播包不会互相扩散。网间的正常通信可通过路由器的路由来实现。
