目录
摘 要 1
Abstract 2
1 概论与项目背景及意义 3
1.1 概论 3
1.2 项目背景及意义 3
2 相关技术介绍 5
2.1 VLAN与中继技术 5
2.1.1 VLAN 技术 5
2.1.2 中继技术 6
2.2 以太网信道技术 7
2.3 生成树协议 8
2.4 端口 安全技术 10
2.5 多层 交换技术 10
2.6 外部网关协议——开放式最短路径优先(OSPF) 11
2.7 网络地址转换 NAT技术 11
2.8 访问控制列表 ACL技术 12
2.9 虚拟专用网络 VPN技术 12
3 需求分析与设计原则 14
3.1 校园网络需求及功能 14
3.1.1学校简介 14
3.1.2网络总体需求 14
3.1.3网络设计需求 15
3.1.4实际设备需求分析 15
3.1.5工程预算分析 18
3.1.6主要功能 18
3.2 校园网络建设思想和原则 19
3.2.1校园网络建设思想 19
3.2.2 校园建设原则 20
4 校园网络结构设计 22
4.1 校园网总体结构设计思想 22
4.1.1网络结构图简 22
4.2 拓扑结构 23
4.2.1核心拓扑结构 23
4.2.2分校区拓扑图 24
4.3 网络拓扑结构设计 25
4.4 VLAN、IP的划分 26
5 网络安全设计方案 28
5.1网络安全设计方案 28
5.2影响安全的因素分析 28
5.3各技术在安全方面的作用 28
5.3.1集成的网络安全策略 28
5.3.2防火墙技术 29
5.4网络安全采取措施 29
5.4.1应用平台安全 29
5.4.2病毒防护 29
6 综合布线系统 31
6.1 综合布线概述 31
6.1.1综合布线系统的优点 31
6.2 综合布线系统的结构 32
6.2.1 工作区子系统 33
6.2.2 水平子系统 33
6.2.3 管理间子系统 34
6.2.4 垂直干线子系统 34
6.2.5 设备间子系统 35
6.2.6 楼宇子系统 35
6.3 工程概况 36
6.3.1 站点设置 36
6.3.2 综合布线要求 36
6.3.3综合布线系统标准 37
6.4 综合布线系统设计方案 37
6.4.1 方案概述 37
6.4.2 校园主干布线设计说明 37
6.4.3 建筑物内布线设计说明 38
6.4.4 各建筑物内综合布线设计说明 40
7 系统实现及测试 42
7.1 实现原理 42
7.2关键配置命令 42
7.3测试环境 47
7.4测试记录 47
8 结论 54
致谢 55
参考文献 56
摘 要
随着网络的发展,人们需求也日益渐增,我们生活中各个领域都被网络改变着。而其中局域网的应用更是突飞猛进。比如住宅小区内、银行内部、医院、校园等更需要局域网技术的支持。网络技术的发展会给校园教育事业的发展做出很大的贡献。
校园网的应用属于局域网应用。校园局域网是将校园内的各种不同的信息有效快速的整理出来,并实现与因特网的接轨。满足学校和学生的日常的资源共享和信息上的交流。所以说校园网是局域网的综合运用。校园网多以以太网作为主要技术,因为以太网作为当今网络的主打技术支持,而且它应用的范围也很广。在校园网的建设中,局域网技术支持下,根据智能化网络的发展,设计一个智能化多校区的高校网络模型。组网采用vlan规划,保证结构的层次的清晰。采用VPN与ACL来保证系统的安全。拓扑结构多采用树状结构具有较高的灵活性、高效性、系统安全性、可扩展性、以管理、易于安装、投资小。教学楼与办公楼、宿舍楼的内部之间交换机采用三层架构交换技术。
该论文详细的讲解了多校区的校园局域网的实现的过程。着重讲解了组网的过程对局域网技术的充分应用,其中包括了子网划分和拓扑结构与技术选择的利害关系以及设备选材和布线等方面的技术。对实现过程的各个环节进行综合的阐述和详细的说明。
关键词:局域网;以太网;网络规划;综合布线;网络模型
Abstract
With the development of computer network and the promotion, we are network changes in every field of life. And the application of the LAN is by leaps and bounds. Such as residential district, bank, hospital, campus internal need more LAN technology support. The development of network technology will make a great contribution to the development of campus education career.
The application of campus network belongs to the LAN applications. The campus local area network (LAN) is a distribution park of various information sort out quickly and effectively and with the standards of the Internet. Satisfy the school and students' daily in the resource sharing and information exchange. So campus net is the integrated use of local area network (LAN). Campus network with Ethernet as a major technology, because the Ethernet is the main technology of network, and its application is very extensive. In the construction of campus network, on the basis of LAN technology, according to the development of intelligent network, intelligent design a multi-campus university network model. Networking USES the vlan planning, to ensure that the structure level of clarity. The VPN, ACL technology guarantee the safety of system. Topology with tree structure has high flexibility, high efficiency, system security, scalability, to manage, easy to install, small investment. Between teaching building and office building, dormitory building internal switches used three layer architecture exchange technology, can effectively improve the speed and efficiency of the network operation.
This thesis has told in detail the implementation process of multi-campus campus local area network (LAN) and meaning. Focuses on the networking in the process of the application of LAN technology, including the subnetting, topology structure, technology choice stakes, equipment selection, wiring, etc. Combined with the actual situation of school and demand of each link of the process of implementation of a comprehensive and detailed instructions.
Key words: local area network (LAN); Ethernet; Network planning; Integrated wiring; A network model
1 概论与项目背景及意义
1.1 概论
随着计算机网络技术的飞速发展以及国家对教育行业的投入与扶持加大,我国各类院校的校园网络建设也进入到了高潮时期,校园网络系统的建设水平已经成为衡量一个学校综合办学条件的重要标准。
互联网起源于美国,美国政府在网络化在各行各业中的应用已经达到了较高的水平,其他各国也在积极推进各行业的网络化建设,但由于各国的经济发展水平层次不齐,各国国体政体有所不同所以各国在推进网络化建设和信息化建设的中采用的模式不尽相同。随着网络的发展,局域网在生活中的各个方面扮演着越来越重要的角色。医院、住宅、校区、政府等的发展也离不开局域网。网络技术的飞速发展和广泛应用和推广使我国的国民经济迎来了前所未有的机遇,但是机遇与挑战是并存的。一些网络化程度较高的国家为我们自己的网络化建设提供了一定的借鉴经验,但是我们不能全盘抄袭要取其精华去其糟粕。我国教育机构的网络化现在可以说是处在起步阶段,将来还有很长的一段路要在人们的探索与实践中前进。
网络平台的建设依赖于校园的局域网,所以校园的局域网建设将会为学校的发展提供高速,稳定的支持平台。实现学校的网络化建设可以使学生更方便快捷的利用教学资源。所以对教育机构的网络进行合理的规划与设计具有相当强的现实意义。
1.2 项目背景及意义
校园网的建设在一定程度上与经济的投入存在正比。但是各高校之间又存在差异性,盲目的跟从与追求设备的先进也不是明智的。我们应该从实际出发,结合自己高校的结构特点进行设计。起初,传统的校园网的建设是基于二层拓扑单臂路由。但是单臂路由不利于模块的拓展,灵活性上存在缺陷。三层拓扑结构也显然成为了当今网络发展的主要结构,因为它更利于校园的拓展。
(1)校园网有利于资源利用和信息交流
校园网络的建设让学生更加高效的获取与共享资源。通过校园网的平台,学生与老师的信息交流也会更加的便利,共享教学资料,使教学更加简单有效。
(2)校园网络可以丰富课堂教育的形式
与计算机网络直接相关的教学资源有PPT课件、图、文、声等,这些多媒体的应用取代了传统那种黑板板书的教学模式。极大的丰富教师的教学形式,对于一些比较抽象的内容,通过电子课件的演示。同时一些绘图工作可以通过计算机完成减少了教师的工作量。校园网的主要功能是为教育、教学服务,校园网正对教学的内容和方式方法进行着变革。
(3)便于学校管理人员对学校的各项事务的管理
有了校园网,学校的管理层人员也可以很方便。可以对学校的教学和行政与学生学籍以及财务进行综合管理。实现办公的现代化。
(4)内网与外网交流的安全
校园网可以将校园内的各种不同的信息有效快速的整理出来,并实现与因特网的接轨。校园网络将分布在校园不同地点的多台计算机通过通信设备线路连接起来能够按照相关通信协议的规定实现之间通信,实现软件、硬件、数字资源的共享。
2 相关技术介绍
2.1 VLAN与中继技术
2.1.1 VLAN 技术[1]
VLAN(Virtual Local Area Network)就是虚拟局域网,虚拟局域网技术是一种把网络在逻辑上划分为不同的广播域,可以跳过多个物理网段。在交换机网系统中有效的使用VLAN技术可以很容易进行网络分段和划分,方便管理和灵活使用。
通过VLAN 划分能够按部门功能不同以逻辑上划分在一起,而实际用户不用考虑到实际主机是否物理在一起。也可以把各个二层交换机的端口分配给固定的VLAN,从而来加强安全防护。因为每个VLAN都只属于一个冲突域,所以广播不能在不同VLAN中传播。因此划分VLAN能够有效减少广播风暴,能够极大提高网络的性能。
VLAN如何在交换机端口之间提供逻辑连接性。我们知道连在同一交换机上的主机之间是可以通信的。在下图中,左侧交换机连接的三个主机有两台划分为VLAN1,而另一台主机被划分到VLAN100中。而在右侧的交换机连接的两台主机一台划为VLAN1,另一台划为另一个VLAN VLAN200,通过VLAN划分虽然连接在不同的交换机上但是VLAN1间的主机能够相互Ping通,而不处在同一VLAN即使连接在同一交换机上的VLAN100与VLAN1,VLAN1与VLAN200则不能拼通,这样就通过逻辑上的划分实现了主机之间的隔离。如图2.1所示
图2.1 VLAN的作用
Cisco系列交换机会限制只将流量转发到与源端口位于相同的VLAN的目的端口。因此,当转发的帧到达交换机端口的时候,交换机必须将帧只重传到属于相同的VLAN端口上。
VLAN技术中各端口通常只传输属于自己的单个VLAN的流量,而跨越多个交换机的VLAN则需要中继技术来连接这多个交换机。中继也可以传输多个vlan流量。[1]
2.1.2 中继技术[1]
中继是以太网交换机的接口与其他网络设备间的物理链路。以太网中一条物理链路往往承担着多个端口的通信,这些端口有可能属于不同的VLAN随意中继有事传输多个VLAN的通信,同时能够在整个网络上传输。
在接入层;用户可以直接接入接入层的交换机端口,后者提供了到单个VLAN的简单连接性。但是终端设备并不会知道在上层网络中划分了不同VLAN,这对终端设备来说是透明的,终端设备就像正常连接物理网段一样,如果在上层网络设备设上没有没有配置相关命令和配置加以相关技术实现,各VLAN间是不能够通信的。
对于网络中的多个VLAN共用一条链路通信是很正常的,网络中的VLAN间传输数据我们可以给每个VLAN一条独立的链路,但是当面对的是一个非常大的网络,其VLAN数量巨大时,为每个VLAN配置一条链路是不现实的,所以这时候我们要实现用一条链路来传输多个VLAN间的通信信息。当交换机与其他网络设备连接时中继的优势就显现出来了。[1]
下图是使用单个链路连接的交换机网络和中继链路连接的交换机网络:
图2.2 单个链路连接的交换机网络
图2.3 中继链路连接的交换机网络
2.2 以太网信道技术[2]
如果想要将链路速度一次提高一个层次,交换机使用快速以太网和吉比特以太网端口是很有必要的。另外,思科提供了一种能够提高物理传输链路带宽的方法,来突破物理线路的带宽限制,即聚合多条平行链路,被称为以太信道技术。可以将2-8条快速以太网链路、吉比特以太网 链路或10吉比特以太网链路,分别捆绑为一条快速以太信道、吉比特以太信道或10吉比特以太信道。这种捆绑可提供高达16800Mbit/s(8条快速以太网链路)、168Gbit/s(8条吉比特以太网链路)的全双工带宽。
有了这样的技术我们就可以很简单的来提高两台交换机之间的传输速率,而不用为了增加交换机的吞吐量话费大的代价去更新设备。
可是,通常情况下两个交换机之间有多条物理链路相连往往会形成环路,为了防止这种情况的发生,那么就有了以太信道技术,它将几条平行的链路通过技术进行逻辑上的捆绑使之形成单条逻辑线路,在交换机看来这几条线路不再多条而是一条,有了足够的带宽支持,那么就可以满足VLAN间数据传输的大流量支持,所以就可以作为中继链路使用。
这种捆绑同时也提供了物理上的链路冗余,当其中一条链路出现堵塞时,流量可以通过其他几条链路多余的通道来传输,而不会因为链路的终端而导致网络瘫痪,从而极大的增加了整个网络系统的稳定性与可靠性。[2]
2.3 生成树协议[3]
通常在大多数网络系统中,设计者们都会提供各种物理链路的冗余来避免单节点失效造成的网络瘫痪。可是冗余虽然能够解决某些问题,但是同样会带来一些新的问题。比如环路,广播风暴等。
网络设备上的任何转发帧,无论其目的地址是已经在路由表中还是未在路由表中,该帧都会同个某个端口转发出去,使该帧能够到达目的地址。图2.4显示了端口交换机充当网桥时在两台终端设备间转发帧的情况。当图中的链路或是交换机出现故障时,处在交换机两端的设备之间将无法通信。这种就是没有设备和线路冗余的网络的弊端,单条线路或是单个节点的故障就会导致整个网络的瘫痪。
而有冗余的网络则不会出现上述问题,如图2.5所示该网络出现单条链路或是单个交换节点出现问题则不会致使整个网络瘫痪。这样就体现出有冗余网络的优势。
图2.4 使用交换机实现透明桥接
图2.5 使用交换机实现冗余桥接
虽然冗余的目的达到了,但是这样往往伴随着一个问题,那就是环路。当一个帧从一条链路来又从另一条链路返回这样进入一个无休止的状态时就会出啊先广播风暴。这时我们就需要启用STP协议来解决冗余网络中的环路问题。
STP协议会是相互连接的交换机之间通信,他们之间通过发送BPDU来协商在网络中哪个是根桥、哪个是根端口等,这样网络系统中就不仅有了冗余同时避免了环路的产生。[3]
2.4 端口安全技术[4]
端口安全是Cisco Catolyst交换机上所支持的特性。其能在交换机端口上限制一个具体的MAC地址或者几个MAC地址。管理员可以让交换机端口自己学习这些MAC地址,也可以手动的配置。然后,这些端口就只为这些MAC地址的终端提供接入服务。
端口安全特性可以通过限制每个交换机的每个端口只允许一个MAC地址的接入,这样就可以有效减少MAC地址的欺骗攻击。这样攻击者在不知道对应端口所指定的MAC情况下是不能偶接入到网络中来,这样有效的保证了接入的主机的合法性。
在端口安全中有一种技术叫做粘性MAC地址的特点,它可以限制交换机端口模式,使其只接受单个详细的MAC地址,又不必管理员收取所有合法的设备的MAC地址,这样就减轻了管理员的工作负担。[4]
2.5 多层交换技术[5]
每个VLAN都是一个冲突域,一个VLAN可能跳过几个交换机,一个交换机的端口也可以处在不同的VLAN下,我们知道每个VLAN之间是独立并存的,如果没有技术支持的是不能通信的,想VLAN之间通信有效进行,那么就会要使用到三层交换设备,而过去的那些工作则交于路由器来完成
VLAN间路由可以通过每个VLAN间建立一条物理链路来实现,如图。也可以多个VLAN使用同一条链路使用中继技术实现,让路由器来提供路由如图的B。
图部分是3层交换机提供VLAN间路由,相比较其他几种而言,三层交换机及提供了交换机的交换功能也提供了路由器所提供的路由功能。
最后,C部分则描述了怎样将路由选择和交换功能整合在一台设备中——多层交换机。在这种情况下,不需要其他的外部路由器。如图2.6所示[5]
图2.6 VLAN间路由选择连接实例
2.6 外部网关协议——开放式最短路径优先(OSPF)[6]
OSPF是链路的状态路由协议,每个OSPF路由器都会维护与其相对的一个链路状态数据库。相邻OSPF路由器之间会相互通告各自链路状态。当该路由器收到其余路由器传入的链路状态的更新的报文之后,就会对自己的链路的状态的数据库进行更新。并使用最短路径优先算法,构建以自己作为根的最短数据路径树。该树显示了路由器到自治系统内所有目的地的最佳路径。[6]
2.7 网络地址转换NAT技术[6]
随着网络设备的越来越多,传统的IPV4IP地址数量已经不能够满足每台在网设备拥有一个属于自己的公网IP,那么这就促成了CIDR技术的形成与发展。CIDR技术的发展是为了将有限个的IP地址使尽可能多的设备能够上网,极大提高网络地址的容量。而NAT技术则可以使不同内网的设备重复使用相同IP地址,从而减少公网IP地址的注册和使用以达到使更多设备上网的目的。
网络地址转换NAT;它是一个IETF标准,NAT技术重点在于他不需要网络上的每台设备都拥有一个全球有效地公网IP地址,而仅仅是需要有一条或多条与Internet连接的链路就好,并且与该链路连接的端口至少拥有一个公网IP。使用NAT可以增加网络安全系数,NAT可以将内网的IP地址隐藏起来,使公网的设备不能识别到内网的机器。当网点使用专用保留地址时,NAT可以大大节省IP的数量。
NAT对内网上的用户是透明的,用户可以自用的访问Internet上的资源。而各主机在内网上发送数据和通信时则会使用的是内网IP。NAT技术的安全性在于外部主机无法通过内网地址直接访问内网主机。
NAT有三种类型,其中包括静态NAT和动态地址NAT以及网络地址端口转换NAPT。
其中,静态NAT是一对一的地址转换方式,它的每一个内网IP都会对应一个固定的外网的IP地址。而动态地址NAT则是一种多对多的地址转换方式,它会将一组内部的IP地址集中映射到另外一组外部IP地址中,在运行过程中是一种动态的一对一网络地址映射。NAPT是NAT的一种变形。它通过外部网络地址映射到内部网络地址的不同应用的不同端口上根据不同的需要,三种NAT方案各有利弊。[6]
2.8 访问控制列表 ACL技术[7]
在通讯协议中,有关于告知路由器对数据包的接受或者拒绝,允许或者拒绝某些设备的访问。其中标记处原地址,或者目的地址,源端口号,目的端口号来判定是否处于改列表当中来采用相应的控制命令。在理论解释方面,理解ACL是比较容易的,但相对复杂的是对ACL详细配置。
Cisco支持两种类型控制列表,它们分别是标准访问的控制列表与拓展访问的控制列表。
标准访问控制列表只会对数据包的源地址过滤,而拓展访问控制列表不仅可以对原地址过滤,还可以对目的地址和上层应用数据进行过滤。[7]
