第一篇:基于三层交换和虚拟局域网技术的校园网的设计与实现
网 络 工 程 期 末 综 合 报 告
课程名称:
计算机网络工程
题 目:基于三层交换和虚拟局域网技术的校园网的设计与实现 学 院:
信息工程与自动化学院
第 1 页 / 共 29 页
前 言
当今社会已步入信息社会,信息成为社会经济发展的核心因素,校园网的建设越来越受到各大校园的重视。校园网络的建设在全国各大校园中掀起一股热潮,许多学校都建起了自己的校园网。在校园网的建设中,应用三层交换技术作为局域网搭建方式已经成为了一种普遍流行的方式。基于三层交换的虚拟局域网技术主要采用VLAN技术对网段进行划分,可以满足校园网络应用中不同方式的网络访问与应用。其对复杂的数据和不同类型的数据都具有良好的网络传输效能。
校园网是利用Internet 技术把一个学校内的信息资源全部链接起来,使全校师生员工能共享和传递校园网络上的各种信息资源,同时又能通过通信线路与外部的Internet网络相互连接。校园网是学校教育资源的重要组成部分,已成为现代高等学校不可或缺的重要基础设施和基础条件。校园网建设为高校利用网络化、信息化手段提高教学质量、促进研究型自主学习提供了更为广阔、自由的教学与科研空间,从而推动了教育教学的整体变革。
一个学校有了自己的校园网,一方面学校的老师和学生足不出校就能及时的获取外界的信息,了解到全国各地最新的动态,方便与其他地区的联系和信息的交流,有利于提高学校的科研教学水平,另一方面也能更好的管理学校,它能为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台。建设校园网对每个学校来说都不是一件容易的事情,校园网不只是涉及技术方面,而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化、信息化教学管理环境系统。
文章首先对三层交换技术进行介绍,主要介绍涉及到的 VLAN 技术和三层交换技术原理。其次根据学校局域网应用特点设计基于三层交换技术的校园虚拟局域网,对网络结构设计和VLAN 规划设计进行介绍。最后,针对基于三层交换技术和虚拟局域网技术在虚拟机上构建校园网。
关键字:校园网;三层交换技术;虚拟局域网
第 2 页 / 共 29 页
目 录 需求分析.........................................................4 1.1.1 需求业务...................................................4 1.1.2 用户需求...................................................4 1.1.3 应用需求...................................................4 1.1.4 计算平台需求...............................................7 1.1.5 网络需求用户规模及业务状况需求.............................4 1.1.6 用户的计算机及网络应用水平需求.............................5 1.1.7 应用系统和网络服务需求.....................................5 2 网络设计........................................................14 2.1 设计目标...................................错误!未定义书签。2.2 设计细节...................................错误!未定义书签。
2.2.1 网络技术选择.........................错误!未定义书签。2.2.2 网络分层设计.........................错误!未定义书签。2.2.3 IP地址分配..........................错误!未定义书签。2.2.4 广域网接入设计......................错误!未定义书签。2.2.5 网络服务设计.........................错误!未定义书签。
2.2.6 网络安全设计..................................................................................12 2.2.7 网络冗余设计..................................................................................12 系统实现........................................错误!未定义书签。
3.1设备选择的原则..............................错误!未定义书签。3.2设备选型...................................错误!未定义书签。3.3 系统部署...................................错误!未定义书签。3.4 系统调试...................................错误!未定义书签。4 网络设计方案描述................................错误!未定义书签。
4.1网络总体规划设计............................错误!未定义书签。
4.1.1核心层设计............................错误!未定义书签。4.1.2汇聚层设计............................错误!未定义书签。4.1.3接入层设计............................错误!未定义书签。4.2软件仿真部分................................................15 4.2.1 Cisco Packet Tracer仿真软件介绍......................15 4.2.2仿真拓扑图............................................19 4.2.3主要设备介绍及配置....................................20 4.2.4一些重要的配置命令....................................22 5 性能测试........................................................24 6 总结语..........................................................27 参考文献...........................................................28
第 3 页 / 共 29 页 需求分析
业务需求、用户需求、应用需求、计算平台需求、网络需求用户规模及业务状况,用户的计算机及网络应用水平、所建设网络必须要支撑的应用系统和网络服务。
1.1.1 业务需求:
校园网必须能覆盖整个校园,包括教学楼、宿舍楼、图书馆、实验楼、办公楼等等,具备通讯、管理、教学等一个学校所需要的功能。
1.1.2 用户需求:
(1)教师通过校园网不仅能及时的掌握学生的动态,与学生及时的交流,还可以方便快捷的浏览与教学相关的网页,查询网上的资源,能够及时的了解现代教育发展的现状和本学科的一些前言知识,更好的进行教学和科研工作;
(2)学生通过校园网不仅能够及时的了解学校发布的信息、新推出的政策、学校最近一段时间的活动,还可以方便的与他人进行交流,从网上查询一些学习资料,通过网络进行网上学习,视频学习等,及时的了解教育方面前沿的信息,扩充自己的知识面,开阔视野;
(3)学校的管理人员通过校园网可以方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的信息数据交换,实现网上信息采集和处理的自动化,实现信息和设备资源的共享。
1.1.3 应用需求:
(1)校园网应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。
(2)主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能。
1.1.4 计算平台需求:
具有先进性、成熟性和标准性的计算机,对操作系统没有要求,支持IPV4即可。
1.1.5 网络需求用户规模及业务状况需求:
考虑到校园网的用户数量,出口的速率必须在100Mbps以上,且应实现负载均衡和备份。负载均衡是指当一个出口过于拥挤时应将流量适当分流到另一个出口,备份是指当一个出口出现问题时应切换到另一个出口,只有这样才能保证可靠性、稳定性和高性能。
第 4 页 / 共 29 页
1.1.6 用户的计算机及网络应用水平需求:
校园网内部拥有大量计算机和用户,由于内部用户对网络的结构和应用模式都比较了解,特别是在校学生的好奇心和求知欲较强,所以加强内网安全也不容忽视。内网安全应主要防范内部对服务器和网络设备的攻击、病毒在内网的传播以及内部网络管理制度上的漏洞。
1.1.7 应用系统和网络服务需求:
(1)校园网需连接到Internet,而Internet作为一种开放的、标准的技术,面向所有用户,所有资源均通过网络共享,需使用的TCP/IP协议以及网页、E_mail等方式。
应用系统的建设主要包括:
(2)公共数据存储:提供校内用户的公共存储使用,利用FTP等,目前的许多大学,新生入校交纳一定的费用就可以获得一个上网账户。大大丰富了学生使用网络的内容,也丰富了校园网上的资源;
(3)网站系统:包括学校主页,及各系部、科室的网站,对于其中的一些访问量较大的网站还应启用域名系统;
(4)一卡通系统:通过校园网实现食堂、超市、浴室、银行等的连接;
(5)教务管理系统:实现学籍管理、课程管理、成绩管理等功能;(6)数字化教学资源系统:实现数字化课程和课件,在课堂上老师可通过点播技术 或组播技术播放课件,学生也可在课后点播相应的课程自我学习;
(7)数字化图书馆:实现图书检索、电子阅览室、电子论文库等功能;
(8)办公自动化系统:实现网上公文流转、信息公布等功能。
在进行校园网设计时必须考虑到将来应用系统的建设以及应用系统的功能扩展。在安装服务器的地点应留有接口和较宽的带宽,同时还应允许在校外访问部分服务器。
第 5 页 / 共 29 页 网络设计
网络技术选择(主要包括物理层传输介质的选择,局域网技术选择)、网络分层设计、IP地址分配、广域网接入设计、网络服务设计、网络安全设计、网络冗余设计
2.1设计目标
(1)最基本的目标是:
①建设校园网络中心,并通过一定的网络拓扑结构构建连接校园网络中心、计算机教室、实验室、教学楼、办公楼、学生宿舍楼、图书馆等的校园网,使之能通过一定的应用软件完成行政办公管理、教师备课授课、学生学习交流、校内信息公告、远程电子通讯等基本功能
②构建普通学校校内Internet环境,并通过代理服务器接入Internet,实现与Internet 交流,实现广泛的软件、硬件资源共享,如网上冲浪、电子邮件、文件传输、远程登录、存储数据及论坛讨论等。
(2)校园网系统高可靠性
在考虑现有网络的基础上,整个业务网网络结构的拓扑结构尽量采用稳定可靠的结构形式,以保证整个网络的高可靠性。网络设备和整个网络系统必须具备高可靠性特征。
(3)校园网系统高稳定性
其中核心交换机采用高性能,为整个校园网提供真正的高速无阻塞的传输,保证全线速交换;不仅硬件实现三层路由和交换,关键功能均通过硬件实现,极大程度上提高了数据处理能力;而管理交换引擎、电源等关键部件的冗余,实现了系统高稳定性和可靠性。
(4)校园网系统可扩展性
网络系统应以开放性为基础,具有广泛的适应性和可扩充性, 作为一个骨干
第 6 页 / 共 29 页
网的核心,下面的一些新的应用将不断增加,系统的容量也将随之扩展,因此方案应具有良好的可扩充性适应系统不断增长的需求。
(5)校园网系统可维护性
整个业务网必须具备良好的可管理性,网管系统应具有监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。
2.2设计细节 2.2.1 网络技术选择
1三层交换技术: ○在计算机数量众多的局域网络中,为了提高网络安全性和通信效率必须划分VLAN,而不同VLAN间的通信只有通过路由设备才能实现。
如果使用传统路由器作为VLAN间的路由设备,将由于其吞吐量太小而很难适应大规模、高速率网络传输的需要,这无疑将成为快速以太网或千兆以太网网络传输的瓶颈。于是,专门用于解决VLAN间通信的、集第三层转发与第二层交换于一身的第三层交换技术产生了。第三层交换技术实际上是使用了集成电路的路由器,但比传统的路由器提供了更高的速度和更低的成本,也比传统的路由器更易于管理。正因为第三层交换技术集成了路由器的功能,所以第三层交换机也被成为路由交换机。
2虚拟局域网(VLAN)技术: ○虚拟局域网(VLAN)技术用于在不更改网络的拓扑结构的前提下对局域网进行重组。
在以前的局域网应用中,当站与站之间的通信关系改变后,需要对网络的的物理结构进行调整,而采用虚拟局域网技术后,网管人员只需在交换机上对网络进行逻辑重构,即可使网络结构适应新的通信要求,并维持通信的高效率。
具体的讲,虚拟局域网技术是通过路由和交换设备,在网络物理拓扑的基础上建立一个逻辑网络。每个VLAN都构成一个独立的广播域,处于同一VLAN
第 7 页 / 共 29 页
中的网络用户可以不受地理位置的限制而像处于同一个VLAN上那样互相交换信息。
VLAN必须在交换网络中实现,每个交换设备均可根据网络管理人员所定义的VLAN划分方法对报文进行过滤和转发,并能将这种划分信息传递到网络中其他交换设备和路由器中。LAN交换设备在VLAN的划分及实现低延迟的报文转发方面起着重要的作用。
事实上,在网络层对网络进行互联的路由器,能够在网络层对网络进行隔离,并抑制广播数据。而VLAN则是一种不采用路由器对广播数据进行抑制的解决方案。在VLAN中,对广播数据的抑制由交换机完成。
2.2.2 网络分层设计:
本校园网主要由以下三部分构成:交换模块、广域网接入模块、服务器模块。为了简化交换网络设计、提高交换网络的可扩展性,我们采用分层的方法来设计校园网。校园网数据交换设备可以划分为三个层次:接入层、汇聚层、核心层。不同层工作在OSI模型的不同层次上。
通常将网络中直接面向用户连接或访问网络的部分称为接入层,将位于接入层和核心层之间的部分称为分布层或汇聚层。接入交换机一般用于直接连接电脑,汇聚交换机一般用于楼宇间。汇聚相当于一个局部或重要的中转站,核心相当于一个出口或总汇总。原来定义的汇聚层的目的是为了减少核心的负担,将本地数据交换机流量在本地的汇聚交换机上交换,减少核心层的工作负担,使核心层只处理到本地区域外的数据交换。核心层设计 ○设计核心层是网络建设的关键,功能是实现高性能的交换和传输。因此,核心层设备应该具有高性能的传输功能和高可靠性、可管理性以及高带宽,以达到网络的设计要求。
服务器:将选用一台小型机作为网络管理服务器,同时提供Web、E-MAIL、FTP服务。采用高性能的PC Server作为全校应用服务及信息存储的中心,包括:
第 8 页 / 共 29 页
学生信息管理子系统、教师信息管理子系统、财务管理子系统、IC卡子系统、图书馆管理子系统、多媒体网上教学系统、视频点播子系统。
中心交换机:中心交换机采用三层交换机作为校园网的主交换设备,提供划分内部虚拟网等功能,连接校园网内部各子网。它的主要工作是:提供交换区块的连接,提供到其他区块的访问,尽可能快的交换数据。核心交换机属于高端交换机,全部采用模块化的结构,可作为网络骨干构建局域网。核心层交换机可以提供用户化机制、优先级队列服务和网络安全控制,并能很快适应数据增长和改变的需要,从而满足用户的需求。对于有更多需求的网络,核心交换机不仅能够传送海量数据和控制信息,更具有硬件冗余和软件可伸缩性特点,保证网络的可靠运行。
校园网的核心层是一个数据交换枢纽,提供高速、有效地数据交换。鉴于其重要性和必要性,核心层的可用性也在设计中得到了充分的体现。核心层是一个路由域。通过在核心层配置动态路由协议,提供数据的路由和路由的迂回。
网络核心层是网络的中心,其功能是实现高性能的交换和传输。因此核心层设备应该是高性能的交换机,可实现高速度的交换传输,以连接服务器等核心设备;并且非常可靠,实现不间断工作。汇聚层设计 ○汇聚层主要负责汇集分散的接入点进行数据交换,提供流量控制和用户管理功能,作为校园网的业务提供层面,它是使校园网可运营、可管理的最重要组成部分。汇聚层设备是用户管理的基本设备,也是保证校园网承载和业务安全的基本屏障,更是保障校园网安全性能的关键。
汇聚层交换机(也称汇接层或分布层交换机)提供了边界定义,并在该处对潜在的费力的数据帧操作进行处理,汇聚层交换机是多台接入层交换机的汇聚点,它必须能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机与接入层交换机比较,需要更高的性能,更少的接口和更高的交换速率。它有如下功能:VLAN聚合、部门级或工作组接入、广播域的定义、VLAN间路由、介质转换等,汇聚层交换机被归纳为能够提供基于策略的连通性交换机。
第 9 页 / 共 29 页
汇聚层交换连接核心层和接入层,应当采用带VLAN和网管功能的中档交换机。汇聚层交换机具有快速的级联核心的以太端口以及高速堆叠模块;带VLAN子网划分功能,能很好的管理接入层用户。
○3 接入层设计
接入层,其主要功能就是实现每个合法用户的安全接入。因此,对接入层而言其关键安全要素就是用户的安全认证,管理和快速介入功能。接入层网络是纯二层交换网络,提供用户的网络接入。由于接入层设备需要部署在楼层,因此要求这些设备容易管理并且投资成本少。
在接入层根据用户类型的不同划分为不同的VLAN;在公共场合,例如:教学楼、实验室、图书馆、办公室等,部署具有接入控制功能的以太网交换机,通过对用户的身份认证及该用户在RADIUS服务器上定义的VLAN属性,划分相应的VLAN。接入层交换机是最终用户被允许接入网络节点的交换机,该层的交换机能够通过过滤或访问控制列表提供对用户流量的进一步控制,因此接入层交换机具有低成本和高端口密度特性。接入交换机是最常见的交换机,它直接与外网联系,使用最广泛,尤其是在一般办公室、小型机房和业务受理较为集中的业务部门、多媒体制作中心、网站管理中心等部门。该层交换机的主要功能是为最终用户提供网络接入,提供共享带宽,交换带宽及第二层功能。它主要使用能够通过低成本、高端口,密度的设备来提供这些功能。
2.2.3 IP地址分配
对校园网IP 地址分配采用如下规划原则:
(1)网络系统的编址方案利用CIDR(无类型域间选路)和可变长子网掩码技术,并支持Ipv6;
(2)在整个网络环境中必须保持IP 地址的唯一性;
(3)为提高路由处理效率,实现理想的路由汇总,缩减路由表项数,尽量为同一网络分配连续地址;
第 10 页 / 共 29 页
(4)地址分配具有层次性,便于管理,局部的变动不影响网络的其他部分;(5)为了满足不断增长的 IP 地址需求,并实现与其他网络互联和内部子网互联的有效控制和管理,建议校园网采用内部保留地址,给将来的网络发展留下充分的余地;
经过一段时间的规划与分析,建立的校园网需要包括教学楼、办公楼、实验楼和图书馆四个区域内的所有计算机。我们给每个区域划分一个VLAN,教学楼是VLAN 2:17.168.2.254,办公楼属于VLAN 3:17.168.3.254,宿舍楼是VLAN 4:17.168.4.254,图书馆是VLAN 5:17.168.5.254 ;6个交换机的IP地址分别为17.168.0.1,17.168.0.3,17.168.0.4,17.168.0.5,17.168.0.6,17.168.0.7,17.168.0.8
2.2.4 广域网接入设计
采用高性能的PC Server作为全校应用服务及信息存储的中心,在拓扑图中用PC 7体现出来,PC 7的IP地址为17.168.100.1,通过路由器Router 0(17.168.0.2)接入核心交换机,广域网接入是VLAN 1:17.168.100.254。
2.2.5 网络服务设计
WEB服务器(17.168.6.1)是VLAN 6:17.168.6.254,163邮箱(17.168.7.1)是VLAN 7:17.168.7.254,FTP服务器(17.168.8.1)是VLAN 8:17.168.8.254
2.2.6 网络安全设计
作为整个校园网络系统的硬件基础,网络设备必须是具备安全性、稳定性和可靠性的特点。这是网络系统稳定运行的最基本条件。最好是经过相当长时间,在世界范围内被广泛应用的网络产品,所以在选择产品时选用国际知名厂商的产品。
当构建的校园网初具规模后,应该对校园网的整体运行情况做一下细致的测试和评估,主要的测试内容应该包括:对管理IP地址的测试;对相同VLAN内
第 11 页 / 共 29 页 的通信的测试;对不同VLAN内的通信进行测试;对冗余链路的工作状态进行测试;对各种服务器提供的服务进行访问等。
2.2.7 网络冗余设计
一些部门由于安全性和信息实时处理的需要,强调网络的高效性和安全性;另一些部门,由于物理端口可能会经常变动,要求网络配置具有较高的灵活性,而不同的VLAN划分机制又各有其优缺点,因此,应该根据实际情况考虑多种VLAN划分机制及安全策略配合使用,使整个网络性能及安全达到最优。
针对内部VLAN之间的路由瓶颈造成的网络性能问题。采用第三层交换机做为校园网核心交换机,取代传统路由器进行内部VLAN之间的路由。虚拟局域网规划中采用基于端口和基于IP子网两种方式相结合的VLAN划分方案。在设计VLAN时,尽可能地将同一工作性质的节点划分在同一VLAN内,以减少跨VLAN访问,提高网络的效率。定义VLAN后,还需在核心交换机上进行VLAN之间通信的路由配置。首先给各个VLAN配置一个相应的网关地址,然后在交换机上创建VLAN之间的静态路由表。核心交换机支持VLAN间的线速路由。从而可保证子网间信息交换的效率。
2.3设计方案
整个校园网的信息点都可接入Internet,Internet通过校园外部的路由器进入到整个校园的核心交换机上,再经核心交换机分别接入到每栋楼的交换机,校园网能够提供www.xiexiebang.complex PDU(添加复杂的PDU)。(3)Realtime mode(实时模式)和Simulation mode(模拟模式)
注意到软件界面的最右下角有两个切换模式,分别是Realtime mode(实时模式)和Simulation mode(模拟模式),实时模式顾名思意即时模式,也就是说是真实模式。举个例子,两台主机通过直通双绞线连接并将他们设为同一个网段,那么A主机PingB主机时,瞬间可以完成,这就是实时模式。而模拟模式,切换到模拟模式后主机A的CMD里将不会立即显示ICMP信息,而是软件正在模拟这个瞬间的过程,以人类能够理解的方式展现出来
①有趣的Flash动画 在模拟模式时,你只需点击Auto Capture(自动捕获),那么直观、生动的Flash动画即显示了网络数据包的来龙去脉,这是该软件的一大闪光点
②单击Simulate mode会出现Event List对话框,该对话框显示当前捕获到的数据包的详细信息,包括持续时间、源设备、目的设备、协议类型和协议详细信息,非常直观!
③要了解协议的详细信息,请单击显示不用颜色的协议类型信息Info,这个功能非常强大:很详细的OSI模型信息和各层PDU。
(4)设备的管理
Packet Tracer 5.3提供了很多典型的网络设备,它们的功能不同,管理界面和使用方式也不同。在这里只介绍一下PC机和路由器这两个设备的设备管理方
第 17 页 / 共 29 页
法。
PC机:一般情况下,PC机没有CLI,它只需要在图形界面下简单地配置一下就行了。一般通过Desktop选项卡下面的IP Configuation就行实现简单的IP地址、子网、网关和DNS的配置。此外还提供了拨号、终端、命令行(只能执行一般的网络命令)、Web浏览器和无线网络功能。如果要设置PC机自动获取IP地址,可以在Config选项卡里的Global Settings设置。
路由器:选好设备,连好线后就可以直接进行配置了。然而有些设备,某路由器很多时候都要用到Serial口,但是如果只是把路由器放在图形界面中,而不做任何配置的话,它的Serial口是不能用的。这时候就需要对它进行一些必要的配置。点击一下路由器,进入其配置界面后,有Physical、config、CLI三个,在Physical中,MODULES(模块)下有许多模块,最常用的有WIC-1T和WIC-2T。在最下面的左边是该对该模块的文字描述,最下面的右边是该模块的图,在模块的右边是该路由器的图。配置前界面如下图4.3:
图4.3 路由器配置前界面
先关闭电源(路由器的配置界面上有个小绿点),点击一下,小绿点消失,第 18 页 / 共 29 页
说明电源被关闭了。然后用鼠标左键按住WIC-1T或WIC-2T不放,托到你想放的插槽中即可,添加完模块后重新打开电源,这个时候Serial口就能用了。配置后的界面如下图4.4:
图4.4 路由器配置后界面
4.2.2仿真拓扑图
经过一段时间的规划与分析,建立的校园网需要包括教学楼、办公楼、实验楼和图书馆四个区域内的所有计算机。我们给每个区域划分一个VLAN,教学楼是VLAN 2:192.168.2.254,办公楼属于VLAN 3:192.168.3.254,实验楼是VLAN 4:192.168.4.254,图书馆是VLAN 5:192.168.5.254,整体拓扑图如下图4.5:
第 19 页 / 共 29 页
图4.5 基于三层交换机的校园网构建的仿真拓扑图
4.2.3主要设备介绍及配置
在思科仿真软件中,用到的设备主要有:3560-24PS交换机(核心层交换机)、3560-24PS交换机(汇聚层交换机)、2960-24TT交换机(接入层交换机)、路由器2811、服务器Server-PT、和若干个PC机。
1、核心层、汇聚层交换机的选择—Cisco 3560—24PS交换机
Cisco 3560—24PS交换机是一个企业级独立式配线间交换机系列,支持安全融合应用的部署,并能根据网络和应用需求的发展,最大限度地保护投资。通过将10/100/1000和以太网供电(PoE)配置与万兆以太网上行链路相结合,Cisco 3560能够支持IP电话、无线和视频等应用,提高了员工生产率。Cisco 3560系列的主要特性:
(1)Cisco 转换器模块,将上行链路从千兆以太网移植到万兆以太网
第 20 页 / 共 29 页
(2)PoE配置,为所有48个端口提供了15.4W PoE(3)模块化电源,可带外部可用备份电源
(4)在硬件中提供组播路由、IPv6路由和访问控制列表(5)带外以太网管理端口,以及RS-232控制台端口
图4.6 Cisco 3560—24PS系列交换机
Cisco 3560—24PS交换机的优点
(1)易用性:
Cisco 3560—24PS提供了大量易用特性,能方便快捷的进行配置; 如利用DHCP,由一个引导服务器对多个交换机进行自动配置,从而简化了交换机的部署。
(2)可用性和可扩展性:
Cisco 3560—24PS系列配备了一个强大的特性集,利用IP路由和能够最大限度地提高第二层网络可用性的全套生成树协议增强特性,实现了网络可扩展性和更高可用性。在标准生成树协议基础上增强的特性,大幅度延长了网络正常运行时间。
(3)高性能IP路由: 思科快速转发硬件路由架构为Cisco 3560—24PS系列交换机提供了极高的IP路由性能。基本的IP单播路由协议(静态、RIPv1和RIPv2)能够用于小型网络路由应用;先进的IP单播路由协议(OSPF、EIGRP和BGPv4)能够用于负载均衡和建设可扩展的LAN。需要IP Services特性集。
2、接入层交换机的选择—Cisco 2960—24TT交换机
在接入层方案设计采用百兆交换机,因为 10 兆虽然在目前校园网使用中刚刚能达到要求,但是已经不适应功能越来越强的计算机与新的应用软件的发展,更不适应更快的计算机通讯产品的要求。因此方案将采用Cisco 2960 —24TT交换机作为校园网工作组级接入交换机。并且我们通过 VLAN 技术,使每个教室或每个年级之间的互访得到有效的管理和控制,提高网络的安全性。
设备介绍如下:
Cisco 2960—24TT 智能以太网交换机是一个固定配置、可堆叠的独立设备
第 21 页 / 共 29 页
系列,提供了线速快速以太网和千兆位以太网连接。这是一款最廉价的Cisco 交换产品系列,为中型网络和城域接入应用提供了智能服务。作为思科最为廉价的交换产品系列,Cisco 2960—24TT在网络或城域接入边缘实现了智能服务。
Cisco 2960—24TT交换机主要的优势:
(1)在布线室配线间中实现了智能的服务质量(QoS)、限速、访问控制列表(ACL)和多播服务。
(2)在多种介质上提供了升级到千兆位以太网的强大路径。
(3)凭借内置Cisco 集群管理套件可出色地管理并轻松地配置第2-4 层服务。
(4)与Cisco 3560 系列集中汇聚交换机相结合,用于IP 路由至网络核心 主要的城域接入优势。
(5)通过高级QoS、限速、语音及多播特性提供广泛的服务。
(6)通过生成树协议改进和访问控制参数(ACP)来提供服务可用性和安全性。
(7)通过Cisco IE 2100 系列智能引擎支持和简单网络管理协议(SNMP)来实现服务管理。
4.2.4一些重要的配置命令
(1)配置核心交换机:
三层交换机要想起到核心交换机的作用,应该把与汇聚层交换机连接的端口起成trunk端口,具体配置如下:
Switch(config)#int range f0/1-2
Switch(config-if-range)#sw mode trunk
Switch(config-if-range)#sw trunk encap dot将trunk的协议改为802.1q 注:802.1q,就是dot1q是在路由器上配置的,是vlan的一种封装模式,Dot1q是一种普遍使用的标准,适用所有交换机与路由设备。而另一种模式是ISL,CISCO设备的专用协议,适用于Cisco设备。
启用核心层交换机的路由功能,配置命令如下:
Switch(config)#ip routing
第 22 页 / 共 29 页
给核心交换机配置RIP协议:
Switch(config)#router rip
Switch(config-router)#version 2
Switch(config-router)#net 192.168.0.0
Switch(config-router)#net 192.168.2.0
Switch(config-router)#net 192.168.3.0
Switch(config-router)#net 192.168.4.0
Switch(config-router)#net 192.168.5.0
Switch(config-router)#net 192.168.6.0
Switch(config-router)#net 192.168.7.0
Switch(config-router)#net 192.168.8.0
Switch(config-router)#net 192.168.100.0
Switch(config-router)#exit(2)配置汇聚层交换机
汇聚层交换机连接核心交换机和接入层交换机,它要想起到连接作用,需要把与核心层和接入层相连的端口都启用trunk端口,配置命令如下:
Switch(config)#int range f0/1-5
Switch(config-if-range)#sw mode trunk
Switch(config-if-range)#sw trunk encap dot将trunk的协议改为802.1q 汇聚层交换机也要开通路由协议、配置RIP协议,命同核心交换机。
第 23 页 / 共 29 页 性能测试
当构建的校园网初具规模后,应该对校园网的整体运行情况做一下细致的测试和评估,主要的测试内容应该包括:对管理IP地址的测试;对相同VLAN内的通信的测试;对不同VLAN内的通信进行测试;对冗余链路的工作状态进行测试;对各种服务器提供的服务进行访问等。下面进行一些简单的测试。
用PC1 分别ping PC0、PC2,命令分别是为 ping 192.168.2.1,ping 192.168.3.1,结果显示如下:
图5.1 PC1与PC0、PC2的连通结果显示
第 24 页 / 共 29 页
用PC1 ping WEB服务器,命令为:ping 192.168.6.1,结果显示如下:
图5.1 PC1与WEB的连通结果显示
第 25 页 / 共 29 页
用PC0 ping PC7,命令为ping 192.168.100.1,结果显示如下:
图5.1 PC1与PC0、PC2的连通结果显示
第 26 页 / 共 29 页
总结语
时间过的真快,转眼间,几个月的毕业设计就快结束了。在这几个月的时间里,我对于网络知识有了一个比较系统的了解,可以说,这几个月里我学到的与网络有关的知识比我大学三年的时间学到的都多。记得当时选这个题目的时候觉得这个毕业设计题目挺简单的,因为我们以前做过一个类似的,虽然比这个题目简单的多,但是我当时对自己真的很有信心。可是,真的开始做时,却有种无从下手的感觉。于是开始去图书馆查资料,上网搜资料,看了好多与校园网构建有关的知识后,已经对校园网有了一个基本的构建,于是开始着手做仿真部分。但是后面又遇到了一系列的问题,其中最令我困扰的就是PC机与核心交换机总是拼不通,于是开始查资料看看是哪里的问题,但是改了很多次,还是不通,还好最后拼通了。这次毕业设计之所以到最后才做出来一些,我总结了一下原因有如下几点:
1、开始的时候总是换方案。在开始时只要是想到了一个方案,我便用仿真软件构建拓扑图并进行配置,但是当配置完了以后发现拼不通,如果找不到出错的地方,我便继续查资料看看有没有其他的方案,就这样换了五六种方案后还是没有做出来,最后却又回到了最初想的方案,这样一来不仅浪费了很多时间,还把整体思路弄的很乱,所以都没有什么进展。
2、对基础知识掌握的不好。开始的时候有点急于求成,总是想找现有的资料,在很多配置命令都不懂的情况下就开始对拓扑图进行配置,以至于拼不同的时候都不知道是哪出了错。认识到这一点后,就从基础知识开始,慢慢的就掌握了一些比较常用的命令的含义和用法,构建校园网的思路也清晰了很多。
3、没有及时的请教别人。跟很多人交谈的时候,他们都说我们这个题目是最简单的,所以在开始做题的时候遇到不会或不懂的地方没有向别人请教,怕别人笑话。但是眼看毕业设计就要结束了,题目还没有做出来,也不在乎别人怎么看了,就问你了很多人,听他们的讲解,才知道自己错在哪了,该怎么改。这样不仅在最后的时刻做出了题目,还让自己学到了很多知识。
总之,这次毕业设计让我学会了很多,网络知识方面、为人处世方面我学到了很多,这个就不用多说了,更重要的是我知道了很多事情只有亲自去做、亲身
第 27 页 / 共 29 页
去实践才能获得意想不到的收获。
说实话,我的题目做的并不完整,老师给我们的要求是把IPV4网和IPV6网连接起来,但是我这个只有IPV4的网,所以应该说我并没有把这个题目做出来。我现在做的网络还有一个缺点,安全度不高。但是由于我的能力有限,有很多不足的地方,敬请各位老师多多指点和更正。
参考文献
[1] 马立新.局域网组建、管理与维护.北京:机械工业出版社,2010年.[2] 赵海峰.局域网组网实训.北京:电子工业出版社,2007年 [3] 陈伟.数据通信与计算机网络.武汉:武汉理工大学出版社,2004年.[4](美)Michael Salvagno、任峥、丁青等译.Cisco网络设计手册[M],北京:
第 28 页 / 共 29 页
北京电子工业出版社,2000年.[5] 刘晓辉.交换机·路由器·防火墙.电子工业出版社,2007年.[6] 石炎生.计算机网络工程实用教程.电子工业出版社,2010年.[7] 李梅.图解局域网组建与管理.机械工业出版社,2006年.[8] Thomas A.Maufer.IP 技术基础:编址和路由[M].赵军锁等译.北京:机械工业出版社,2000年.[9] 苏英如.局域网技术与组网工程.中国水利水电出版社,2005年.[10] 刘晓辉.局域网构建与实战.北京科海电子出版社,2006年.[11] Kennedy Clark, CCIE & Kevin Hamilton.CCSI.Cisco LAN Switching.American:Pearson Education, 2003.[12] 王达.局域网组建与配置技能实训[M].北京人民邮电出版社,2006年.[13] 李建民.网络设计基础[M].北京希望电子出版社,2000.[14] 李梅.局域网组建与管理.机械工业出版社,2006年.第 29 页 / 共 29 页
第二篇:校园网的设计与实现 论文
* * * * * *大学
本科毕业设计(论文)
题
目
校园网的设计与实现 学生姓名
* * *
专业班级
网络系统管理12-01 学
号
000000000000
院(系)* * 学院 指导教师(职称)* * *(教授)完成时间 2016年 6月1日
郑州轻工业学院 毕业设计(论文)任务书
题目 校园网的设计与实现 专业 网络系统管理 学号 *********** 姓名 *** 主要内容、基本要求、主要参考资料等: 主要内容: 校园网建设的原则、目标;2 校园网总体框架;3 校园网规划、建设方案;4 校园网的安防设计;5 校园网系统预算
基本要求:
能让校园网络正常的运行,利用各种技术保证校园网络的安全性,保证能让教师、学生能够正常的访问网络。
主要参考资料:
[1]王平魏大新 李育龙 编著 Cisco网络技术教程 电子工业出版社 2012 [2]刘晓辉 张运凯 李福亮 编著 网络综合布线 清华大学出版社 2012 [3]谢希仁 编著 计算机网络 电子工业出版社 2013 完 成 期 限: 2016年5月13日 指导教师签名:
专业负责人签名:
2016 年 3 月 1 日
目 录
摘 要.......................................................I ABSTRACT....................................................II 1 引言.......................................................1 1.1 项目相关背景..........................................1 1.2 国内外现状............................................1 1.3 开发目的意义..........................................2 2 校园网络介绍...............................................3 2.1 校园网................................................3 2.2 校园网的建设原则......................................3 3 局域网简介.................................................4 3.1 局域网的特点..........................................4 3.2 网络的体系结构........................................4 3.3 网络协议..............................................5 4 校园建设的需求分析.........................................6 4.1 总体设计分析..........................................6 4.2 需求分析..............................................6 4.3 收集学院的网络需求....................................7 5 网络系统设计...............................................8 5.1 设计目标..............................................8 5.2 设计原则..............................................8 5.3 网络服务评估与总体设计................................8
5.4 主干网设计...........................................10 5.5 无线局域网设计.......................................10 5.6 网络管理设计.........................................11 5.7 网络安全设计.........................................11 5.8 地址规划.............................................11 6 网络设备选型..............................................13 6.1 网络设备选型.........................................13 6.2 中心交换机...........................................13 6.3 其它交换机选型.......................................15 6.4 服务器...............................................16 6.5 路由器...............................................17 6.6 防火墙...............................................19 6.7 电源以及其他.........................................19 7 校园网详细设计及实现......................................20 7.1 交换模块设计.........................................20 7.1.1 访问层交换服务的实现-配置访问层交换机...................20 7.1.1.1 配置访问层交换机AccessSwitch1的基本参数...............20 7.1.1.2 配置访问层交换机AccessSwitch1的管理IP、默认网关.......22 7.1.1.3 配置访问层交换机AccessSwitch1的VLAN及VTP.............22 7.1.1.4 配置访问层交换机AccessSwitch1端口基本参数.............22 7.1.1.5 配置访问层交换机AccessSwitch1的访问端口...............23 7.1.1.6 配置访问层交换机AccessSwitch1的主干道端口.............24 7.1.1.7 配置访问层交换机AccessSwitch2..........................24 7.2 广域网接入模块设计...................................25
7.2.1 配置接入路由器 InternetRouter 的基本参数.................25 7.2.2 配置接入路由器 InternetRouter 的各接口参数...............25 7.2.3 配置接入路由器 InternetRouter 的路由功能.................26 7.2.4 配置接入路由器 InternetRouter 上的 NAT...................26 7.2.5 配置接入路由器 InternetRouter 上的 ACL...................27 7.3 远程访问模块设计.....................................27
7.3.1 配置物理线路的基本参数...................................28 7.3.2 配置接口基本参数并指定 IP 地址池.........................28 7.3.3 配置身份认证.............................................28 7.4 服务器模块设计.......................................29 8 布线系统..................................................31 8.1 方案采用.............................................31 8.2 BICC Brand_Rex 结构化布线产品主要特点................31 8.3 设计依据.............................................31 8.4 技术方案.............................................32 8.5 建筑群系统设计说明...................................33 8.6 工程实施内容.........................................33 9 校园网的测试..............................................35 结束语......................................................36 致谢........................................................37 参考文献....................................................38
校园网的设计与实现
校园网的设计与实现
摘 要
20世纪后期互联网在我国得到快速发展,通过网络办公涉及到企业、单位、学校、军事等各个领域,教育发展也逐渐走上了网络化。互联网和现代化式的教育发展的结合使得校园网成为学校教育、教学的重要平台。
学校的校园网已经成为重要的信息传递设施,其规模已经成为学校实力和科研水平的重要标志,结合当前校园网的发展水平完成了本次毕业设计并得到学习为以后更好的设计校园网打下了基础。通过校园网的设计与建设的整体方案,从而完成了宽带多媒体网络,为师生提供教学、科研和综合服务信息。
在本次毕业设计当中,根据校园网的需求,设计的校园网的规划;根据校园网的规划,设计的网络拓扑、IP地址划分、设备选型等,根据校园网的布线,设计了工作区子系统、管理区子系统、水平子系统等,然后根据校园网的具体实现,设计了设备的配置并有校园网的安防等。
关键词 校园网,规划,设计,网络安全,设备
I
校园网的设计与实现
CAMPUS NETWORK DESIGN AND IMPLEMENTATION
ABSTRACT
In late twentieth Century, the Internet has been rapidly developed in China, involved in various fields of enterprises, units, schools, military through the network office, education has gradually embarked on the network.The development of education combined with Internet and modern style of the campus network has become an important platform of school education, teaching.Campus network has become an important information infrastructure, the scale has become an important symbol of the school strength and level of scientific research, combined with the current development level of the campus network completed the graduation design and study for the future design of campus network better foundation.The overall design and construction of campus network, thus completing the broadband multimedia network, providing teaching, scientific research and comprehensive information service for teachers and students.In this graduation design, according to the needs of the campus network, the campus network planning;according to the campus network planning, network topology, design of IP address, equipment selection, layout of campus network based on, design work area subsystem, management subsystem, horizontal subsystem, and then according to the specific implementation of the campus network, the design of the equipment configuration and campus network security.KEY WORDS
Campus Network, the planning, Network security, equipment
II
校园网的设计与实现 引言
1.1 项目相关背景
信息时代的发展,影响着世界的每一个角落。每个人的生活和工作几乎都与计算机密切相关。在速度越来越快的计算机硬件和日益更新的软件背后,网络作为中枢神经把我们联系在一起。也正是因为网络的出现与发展,使Internet为主要标志的网络技术构成了我们现代文化的重要组成部分,联系上亿人的Internet将我们带入了一个新的网络时代。
在现今的网络建设中,企业网的建设是非常重要的,企业网内部各种不同业务的开展是企业网发展迅速的最主要原因。从早期的企业网主要是简单的数据共享,简单数据库的共享到现在内部全方位的数据共享,从过去单一的企业到现在多个分支公司的全部互连,因而对网络的覆盖面要求越来越广。这一要求最早还只局限于各分支企业内部,现在则已是整个企业、整个行业,甚至整个Internet的共同要求。
1.2 国内外现状
早期校园网络主要是共用内部教育系统主机资源,共享简单数据库,多以二层交换为主,很少有三层应用,存在访问速度慢、安全、可管理性较差等方面的问题。现在学校校园网建设要实现内部全方位的数据共享,应用三层交换,提供全面的QOS保障服务,使校园网实现安全可靠的高速访问,从而达到教育管理、多媒体教学、图书馆管理自动化的目的。而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。本着技术先进、投资合理、充分利用现有教学设备,在技术上和设备上适当超前的原则,建立规范化、技术先进、扩展性能良好、性能价格比高的校园网络信息系统。建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与信息管理系统。要在全院教学和行政管理两方面实现信息化,积极开发,广泛运用现代教育技术和信息资源,全面提高学院教师学生运用信息技术进行学习和工作的能力,全面推进信息技术与学科课程的整合、创造适应新时代要求的现代教学模式和管理模式,提高教育效益与质量,形成具有现代教育信息化
校园网的设计与实现 的新特色。
1.3 开发目的意义
校园网网络建设是一项复杂的系统工程,与一般的工程相比,它除了具有一般的工程特点外,更有其独特之处。它不仅涉及许多技术问题,而且也涉及管理、组织、经费、法律等诸多方面的其他问题,因此,必须遵循一定的网络系统分析与设计方法。网络规划的主要任务就是对一些指标给出尽可能准确的分析和评估,包括需求分析、网络规模、网络结构、网络扩充、网络安全以及外网互联等方面。对网络工程而言,网络规划并不是最终的目的,网络规划是为网络工程实施服务的,网络工程实施的主要方法是系统集成,因此,一般说来,一个完整的网络规划应该包括需求分析、网络系统设计、布线系统设计、应用系统设计和服务系统体系等多个方面的内容。
校园网是各种类型网络中的一大分支,有着非常广泛的应用。作为新技术的发祥地,学校、尤其是高等学校,和网络的关系十分密切,网络最初是在校园里进行实验并获得成功的,许多网络新技术也是首先在校园网中获得成功,进而才推向社会的。
本课题的理论意义和实践意义:
(1)校园网的建设和发展是推进素质教育的需要
互联网已成为学校培养学生道德品质、创新能力等方面的新环境,成为培养高素质人才的崭新的平台,是学校推进素质教育的需要。
(2)校园网的建设和发展是学校教育改革的战略制高点
创建丰富多彩的校园网络文化对于转变陈旧的教育思想和观念,促进教学内容、教学方法、教学结构和教学模式的改革,对于深化基础教育改革,提高教育质量,培养高素质的创新人才具有深远意义。
(3)校园网的建设和发展是学校教育现代化的重点标志
运用现代教育技术建设和发展校园网,营造清新的校园网络文化氛围,就是从根本上落实教育的战略地位,解放教师的生产力,推动和发展教师、学生的创造力的一种创新优势的重要标志。
校园网的设计与实现 校园网络介绍
2.1 校园网
计算机网络,简单地说,就是通过电缆、电话线或无线通讯将两台以上的计算机互连起来的集合。它包括:计算机、网络操作系统、传输介质(可以是有形的,也可以是无形的,如无线网络的传输介质就是空气)以及相应的应用软件四部分。
计算机网络如按网络的组建规模和地域范围来划分的话,可分为局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network, MAN)、广域网(Wide Area Network, WAN)。我们经常用到的因特网(Internet)属于广域网,校园网属局域网。未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密的方向发展。
2.2 校园网的建设原则
校园网建设是一项综合性非常强的系统工程,它包括了网络系统的总体规划、硬件的选型配置、系统管理软件的应用以及人员培训等诸多方面。因此在校园网的建设工作中必须处理好实用与发展、建设与管理、使用与培训等关系,从而使校园网的建设工作健康稳定地开展。首先,校园网的建设是一个为学校教育教学活动长期服务的工作,因此在校园网的规划建设过程中,必须从学校长远发展规划出发,以服务于教育为基本点,结合学校当前教育教学的实际需要,做出科学的规划部署。在校园网的规划建设中,一般学校应遵循“统一规划、整体设计、分步实施”的原则。其次在校园网的建设中必须坚持硬件建设与组织管理协调发展的原则,在重视硬件建设的同时,加强网络的组织管理水平,不断开发网络的功能,从而充分发挥校园网络的功效,提高校园网对学校教育的服务水平。
校园网的设计与实现 局域网简介
3.1 局域网的特点
局域网,是指范围在几百米到十几公里内办公楼群或校园内的计算机相互连接所构成的,外部设备和数据库等互相联接起来组成的计算机通信网,简称LAN。美国电气和电子工程师协会(IEEE)局域网标准委员会员会曾提出局域网一些具体特征:
(1)局域网在通信距离有一定的限制,一般在1~2Km的地域范围内。比如在一个办公楼内、一个学校等。
(2)局域网中经常使用共享信道,即所有的计算机都接在同一条电缆上。采用专用的传输媒介来构成网路,传输速率在1兆比特/秒到100兆比特/秒之间或更高。
(3)因为连接线路都比较短,中间几乎不会受任何干扰,所以局域网还具有始终一致的低误码率。
(4)局域网一般是一个单位或部门专用的,所以管理起很方便。另外局域网的拓扑结构比较简单,拓扑结构主要为总线型和环型。所支持连接的计算机数量也是有限的(一般在数十台到数百台之间)。组网时也就相对很容易连接。它可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个大范围的信息处理系统。
LAN目前广泛应用于办公室自动化、生产自动化和信息处理系统中。通过电话线上网的adsl宽带上网,上的是广域网,就是我们说的互联网。
3.2 网络的体系结构
网络通常按层或级的方式来组织,每一层都建立在它的下层之上。不同的网络,层的名字、数量、内容和功能都不尽相同。但是每一层的目的都是向它的上一层提供服务,这一点是相同的。层和协议的集合被称为网络体系结构。作为具体的网络体系结构,当前重要的和使用广泛的网络体结构是TCP/IP体系结构。
TCP/IP(Transmission Control Protocol/Internet Protocol,传输控制协议和互连网协议),TCP/IP体系结构是当前应用于Internet网络中的体系结构,它是由OSI结构演变来的,它没有表示层,只有应用层、传输层,网际层和网络接口层
校园网的设计与实现
3.3 网络协议
网络协议是网络上所有设备(网络服务器、计算机及交换机、路由器、防火墙等)之间通信规则的集合,它规定了通信时信息必须采用的格式
校园网的设计与实现 校园建设的需求分析
4.1 总体设计分析
本设计是为校园网网络规划设计,为保证学院校园网的实用性、先进性、经济性以及可延展性,现按学院的整体布局及实际需求,提出校园网综合设计方案。
4.2 需求分析
目前校园主要建筑有1号教学楼、2号教学楼、图书综合楼、实训中心、女生公寓、男生公寓、食堂。根据教育部门有关文件精神,结合学院实际情况,学院信息化建设工作的核心目标在于充分利用信息技术,建立多层次、高可靠、可管理、可运营的开放式的数字化校园,促使其提高办学质量和效益。重点体现在以下几个方面。
教学方面,利用多媒体、网络技术实现高质量的教学资源、信息资源和智力资源的共享和传播,同时促进高水平的师生互动,促进主动式、协作式、研究型的学习,从而形成开放、高效的教学模式,更好地培养学生的信息素养、问题解决能量和创新能力。
管理方面,利用信息技术实现职能信息管理的自动化,实现上下级部门之间更迅速、便捷的沟通,实现不同职能部门之间的数据共享与协调,提高决策的科学性和民主性,减员增效,形成充满活力的新型管理机制。
科研方面,促进科研资源共享,加快科研信息传播,促进院内外学术交流。公共服务体系方面,建设和维护好覆盖学院教学、科研、管理、生活等各个区域的宽带网络环境,提供面向全院师生的基本网络服务,建设高质量的数字化图书馆等应用信息资源库,以及服务于学院中心工作的基本信息资源库,实现身份认证等院内公共管理、服务功能和这些格式的意义。
在校园局域网上用到的主要协议有 TCP/IP协议IPX/SPX协议等等。一个网络协议至少包括三要素:语法,语义,时序。TCP/IP是一种分层协议,它共被分为个4层次,大约包含近期100个非专有协议,通过这些协议,可以高效和可靠地实现计算机系统之间的互连。TCP/IP协议中的核心协议有TCP(传输控制协议)、UDP(用户数据报协议)和IP(互联网协议)。
校园网的设计与实现
4.3 收集学院的网络需求
学院局域网的功能要求包括能够高速、安全、及时地传送文本、音频和视频等多种媒体信息,能够支持一定程度的突发访问。在性能和安全性上应满足10000人的网络应用需求,对响应时间不作特殊要求;为了存储数据和备份数据,网络中心需要建立磁盘列阵;为保障网络中心设备的安全运行要求在网络中心提供不间断电源;在遵循经济实用、成熟先进和安全可靠的设计原则下,最大限度地考虑采用符合发展趋势的新技术;网络设备必须采用成熟先进的技术,所采用的标要求统一,支持目前业界最新的网络协议,网络的标准必须符合国际/国家标准,并且拥有广泛的支持厂商;网络设备要求具有高可靠性、高稳定性和高可用性;网络设备要求提供足够的宽带,以适应校园网上信息结构多样化,要求支持虚拟网和第三层交换,形成公布式三层交换网;网络设备要求具有扩展性和可升级性,能够适应用户数量的扩展,能够保证未来网络升级时的平稳衔接,保证网络通信介质、网络基本设计核心的向后兼容性;要求网络易于管理,支持网络的拓扑视图、网段与端口的监控;网络流量及错误统计,具备计费管理、故障定位、诊断、修复和自动隔离等功能;要求网络具有高的安全性。在要求网络具有开放性的同时,要求保证其安全性。在广域网选择上考虑学院的实际需求我们的校园网将通过光纤接入因特网。
校园网的设计与实现 网络系统设计
5.1 设计目标
以上面需求分析的结果为依据,进行学院校园网的网络系统设计
校园网系统由硬件系统和软件系统构成。其中,硬件系统主要由网络系统(交换机、路由器、防火墙等)、主机系统(服务器、工作站等)、外部设备(打印机、UPS、磁盘阵列等)以及布线系统组成;软件系统主要由系统软件(网络操作系统、网络管理系统、安全系统等)和应用软(办公自动化系统、综合教务管理系统、图书馆自动化系统等)组成。
网络系统设计的总体目标是充分利用信息技术,建立多层次、高可靠、可管理、可运营、经济实用的开放式数字化校园,促进提高办学质量和效益。具体体现在以下4个方面。
(1)总体规划,分步实施。
(2)以教学活动为核心,以师生为主题。(3)注重应用系统建设。
(4)注重网络建设的扩展性和可升级性以及向后兼容性。
5.2 设计原则
设计原则为标准化、可扩展性、可靠性与安全性、先进性、可管理性、完善的技术支持服务。
5.3 网络服务评估与总体设计
根据需求分析可知,校园网要求覆盖学院的教学区、行政办公区以及生活后勤区,要求数据、图形、图像、语音、视频等信息都能在网络上较好地传输,考虑到需求分析中收集的师生员工规模的信息,在网络设计时将校园网分为主干网和各区子网,主干网带宽1000Mbps,子网带宽100Mbps,网络支持VLAN管理,IP组播、第三层交换以及多种路由协议;在网络技术选型上,采用目前主流的快速以太网技术。
校园网的设计与实现
千兆以太网是超高速主干网的一种选择方案,它在数据、语音、视频等实时业务方面表现优良。千兆以太网频宽较高,能够克服原以太网的弱点,提供服务保证。从网络设备投资成本与维护成本、技术的先进性与稳定性、应用系统的开发难易程度等诸多方面考虑,应选择基于1000M和100M相结合的高速以太网技术作为四川信息职业技术学院校园网的设备、选型的主要依据之一。
在网络拓扑结构方面,选用星型的扑结构,将校园网整体划分为核心层、汇聚层、接入层三个逻辑层次。各建筑物之间采用光纤进行互连,楼内采用超5类非屏蔽双绞线布线,在同一幢楼的汇聚层和接入层交换机之间也采用超5类非屏蔽双绞线进行连接。全网设一个核心层节点,位于网络中心。校内所有主干线路均汇聚于此节点,同时网络中心骨干节点也是学院广域网的唯一出口。
汇聚层又根据实际情况分为一级汇聚节点和二级汇聚根据以上分析设计结果,网络拓扑结构如图5-1所示。
教学区防火墙实心训中路由器寝室区Web服务器邮件服务器Internet核心交换机管理服务器后勤中心
图5-1网络拓扑结构
校园网的设计与实现
5.4 主干网设计
校园网将实训中心作为本校的网络中心,在设备选型时必须具有光纤接入能力以及支持VLAN划分。实训中心作为网络中心,同时必须应对整个网络进行有效的全面的管理。
5.5 无线局域网设计
校园网建设的主要目的是利用计算机网络来实现现代化的多媒体教学,让有限的教学材料资源利用网络技术、多媒体技术来激发广大教职工、学生的学习兴趣,提高教学质量;另一个重要作用是利用网络进行协同办公,不同的工作人员可以通过电子邮件或者其他方式的协作来加速工作进程等,这就涉及到各种子网的构建。
在网络中,网络用户一般分布在不同的楼宇和组织中,甚至拥有自己的服务器和应用系统(多媒体教室、电子阅览室等),而这一切都由同一个通信网络提供服务。如何将同一组织在不同楼宇中的用户群所组成的逻辑组与他们所在的物理位置关系上区分开,从而达到限定不同逻辑组间的通信流量以提高安全性和系统性能,是在网络集成和设计中必须考虑的问题。解决的手段是建设无线局域网,采用合理的划分策略,形成最佳的网络应用体系。
所谓无线局域网就是试图形成这样一种在一个大网中处于不同物理位置的各个成员可以不受位置限制而构成,即WLAN,如下图5-2。
校园网的设计与实现
图5-2 5.6 网络管理设计
根据用户需求分析的结果可知,四川信息职业技术学院的校园网必须是一个可管理的网络,因此,在我们必须进行网络管理设计 网络管理设计主要解决故障查找、配置与重配置和网络监视问题,而解决这些问题现在一般都借助网络管理软件。所以,校园网中,我们选用主干交换设备厂商提供的网络管理软件来完成网络管理工作。
5.7 网络安全设计
根据用户需求分析的结果可知,校园网必须是一个安全的网络。,因此,在逻辑网络设计时必须进行网络安全设计。提供网络安全实质上是一种平衡策略,因此,权衡网络安全需要和方便用户需要,在校园网的安全设计方面主要采用访问控制技术、用户认证技术、防火墙和安全管理技术以及病毒防范技术等来保障网络安全运行。
5.8 地址规划
采用内部地址和合法IP地址,需要向上级信息中心申请统一的内部IP地址和合
校园网的设计与实现
法的IP地址,数量大约要3段B类内部地址。需要的合法IP地址大约需要2个C类地址。域名规划要求我们申请独立域名,统一标志,全面规划,方便管理。互联网接入设计 根据用户需求分析的结果,校园网必须接入互联网。通过学院所在地区的电信业务运营商的商谈,征得学院主管领导的同意、相关职能部门认可,决定以光纤(1000M)方式接入Internet。
校园网的设计与实现 网络设备选型
6.1 网络设备选型
采用的设备主要包括:
1)整体网络系统可分为主干网络、分支网络、和广域网络三部分
2)核心网络设备采用锐捷RG-S9620路由千兆以太网交换机,负责对骨干节点网络、服务器接入以及VLAN等主要功能。
3)接入层设备采用高端密度交换机EN-2924S,实现10M/100M用户接入。
6.2 中心交换机
网络主干的网络设备选用1台锐捷RG-S9620千兆中心路由交换机,通过光纤与各楼宇二级交换机相连,形成星型结构千兆以太网的主干解决方案。它不仅可以同时满足铜缆、多模与单模接入的共存问题,而且具有较高的无阻塞的背板速率,支持全线速交换能力,较好的扩展性,可为学院的进一步扩容提供快捷与低成本的升级方式。锐捷RG-S9620千兆中心路由交换机具有以下特点:
1)最小的代价满足需求,实现主干网络的1000M连接,同时还实现线速的2、3、4层交换能力。
2)实现VLAN划分、应用级负载均衡等功能,并能保证性能不受影响。3)投入成本小,网络连接易于实现。
4)预留一定数量的100M网络端口,便于网络的扩展。该款交换机是企业级智能交换机,拥有强大的功能,为校园网的稳定、快速、高效的运行提供了保障,其参考价格为228864元。如下图6-1
校园网的设计与实现
图6-1 核心交换机
锐捷RG-S9620基本规格 交换机类型 路由交换机 交换方式 存储-转发 背板带宽 9830Gbps MAC地址表 768K 锐捷RG-S9620网络参数
包转发率 L2: 3571Mpps L3: 3571Mpps 网络标准:IEEE802.3, IEEE802.3u, IEEE802.3z, IEEE802.3ab, IEEE802.3ae, IEEE802.3ak, IEEE802.3an, IEEE802.3x, IEEE802.3ad, IEEE802.1p, IEEE802.1x, IEEE802.1Q, IEEEE802.1D, IEEEE802.1w, IEEEE802.1s 网络协议:BGP4、IS-IS、OSPFv2、RIPV1、RIPV2、IGMP v1/v2/v3、DVMRP、PIM-SSM/SM/DM MBGP、LPM Routing、Policy-based Routing、Route-policy、ECMP、WCMP、VRRP 网管功能:SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP、USB、监控显示屏
其他功能:QOS: IP Precedence、802.1P、DSCP、ACL流分类、Urgent Queue、、Protocol Queue、硬件队列、FIFO、PQ、CQ、SP、RR、WRR、DRR、SP+WRR、SP+DRR、CBQ、WFQ、CBWFQ、LL、WRED、CAR、LR(InOut)Traffic Shaping(GTS)、HOL、RSVP 锐捷RG-S9620端口参数 模块化插槽数:20个 锐捷RG-S9620电气规格
电源电压 100-240VAC 额定功率 2000W
校园网的设计与实现
锐捷RG-S9620外观参数 尺寸 448×437×1797 mm
6.3 其它交换机选型
接入层选择EN2924-SGM+型号的交换机,提供了24个10/100MbpsRJ-45端口和用于扩展及上链路模块的2个可选插槽。此外还专门提供一个专用管理插槽。其即插即用式安装、先进的网络管理和基于标准的交换能力是我们的理想选择。其参考价格为5000.00元 EN-2924 SGM+千兆交换机 图6-2
图6-2 主 要 性 能 千兆高性能以太网交换机 支持端口汇聚(Port Trunking)、VLAN、流量控制(Flow Control)、端口镜像
Port Mirror)等功能,可以提高网络性能和可监控性 支持IGMP协议,可在组播(如视频点播)时有效降低网络流量8.8Gbps大容量背板带宽19”机架式安装全双工和半双工自适应支持多达6K的MAC地址空间内建3M缓存最高支持8.8G的吞吐量自动地址学习功能安全过滤通信数据符合IEEE802.3X
校园网的设计与实现 支持存储转发模式 自适应交叉线和平行线
6.4 服务器
根据学院的实际需求情况高性能的服务器必不可少,所以我们选择了HP ProLiant DL580 G5 451993-AA1的服务器,它为校园网高效、稳定、安全地运行提供了优质服务。根据需要应配置WWW服务器、邮件服务器、管理服务器以提高整个校园网的服务效率和质量。其参考价格为140000.00元。图6-3
图6-3核心服务器
HP ProLiant DL580 G5 451993-AA1基本参数 服务器类型 机架式 结构 4U 处理器类型 Intel 至强 E7350 服务器处理器主频 2.93GHz CPU核心 四核 标配处理器 4颗 最大支持处理器 4颗 处理器二级缓存 8MB 主板芯片组 Intel 7300 芯片组
扩展插槽 PCI-Express 插槽(多达 11 个可用);标配 8 个插槽 内存类型 DDR2
校园网的设计与实现
内存容量 8G 最大内存 128GB 光驱 标配薄型 DVD 光驱
配薄型 DVD 光驱 标配支持8 个 SFF SAS/SATA,最多可支持16个SFF SAS/SATA 重量 30.8Kg 电源说明 800 瓦, 符合 CE Mark 标准(可选热插拔 AC 冗余电源)电源功率 800W 网卡数量 2个
网络控制器 NC373i 多功能千兆网络适配器
I/O接口 1 个串行端口、1 个定位设备(鼠标)、1 个
正面视频接口、1 个背面视频接口、1 个键盘、共 6 个 USB 2.0 端口:正面 2 个;背面 2 个
内部 2 个;1 个 iLO 2 远程管理端口;2 个 RJ-45 网络接口
操作系统 Microsoft Windows Server 2003;Red HatEnterprise Linux;SuSE Linux Enterprise sever;Novell NetWare;Sun Solaris Intel Platform Edition;VMware 虚拟化软件
网卡数量 2个
6.5 路由器
路由器我们根据学院的需求结果选择 H3C RT-SR6608-H3型号的核心路由器,报价为220000.00元,如下图6-4
校园网的设计与实现
图6-4核心路由器
H3C RT-SR6608-H3主要参数 路由器类型 开放多核企业级路由器 其他控制端口 Console, AUX, USB 扩展插槽 ≥18 Mpps 路由器包转发率 30个
路由器网络协议 支持静态路由, RIPv1/v2、RIPng, OSPFv2/v3, BGP、BGP4+, IS-IS、ISIS v6, 支持DHCP Server, DHCP Relay, DHCP Client, DNS Client, IPv6, NTP Server, NTP Client, Telnet Server, Telnet Client, TFTP Client, FTP Server, FTP Client, 二层协议等 VPN功能 支持VPN 防火墙功能 内置
安全标准 ACL, TCP, AAA, RADIUS, HWTACACS, IKE, PKI, RSA, SSH 1.5/2.0, IPSec 机身重量
<50kg 外观尺寸 436×468×308mm
校园网的设计与实现
6.6 防火墙
防火墙采用天融信的NGFW4000-E-VPN(E)。面向中心骨干机构和复杂的高端流量环境。拥有内置的IPSEC加密、Web页面包护和负载均衡双机热备,提供强大的功能和安全保障,其报价为140000.00元。图6-5
图6-5物理防火墙
天融信NGFW4000-E-VPN(E)主要参数如下: 防火墙类型 百兆级防火墙 网络吞吐量 100Mbps 管理 SNMP/CLI/SSH 人数限制 无用户数限制 入侵检测 IDS/Dos/DDoS 主要功能 VPN, 访问控制, 宽带管理, 防火墙功能 安全标准 UL 1950, EN 41003, AS/NZS 3260, AS/NZS 3548 Class A, CSA Class A, FCC Class A, EN 60555-2, VCCI(ClassII)控制端口 RS-232 其他端口 3个10/100BASE-TX,最多可扩展7个端口
6.7 电源以及其他
UPS电源对于机房服务器和网络设备的正常运行非常重要,而电池对于UPS电源而言至关重要,在此,我们采用爱克赛的主机,而电池采用大力神电池,提供4小时的后备电源。其它外部设备我们根据实际需要再临时购买。
校园网的设计与实现 校园网详细设计及实现
7.1 交换模块设计
校网网数据交换设备可以划分为三个层次:访问层、分布层、核心层。传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。高层交换技术的引入不但提高了校园网数据交换的效率,更大大增强了校园网数据交换服务质量,满足了不同类型网络应用程序的需要。
本网络还引入了虚拟局域网(Virtual LAN,VLAN)的概念。VLAN将广播域限制在单个VLAN内部,减小了各VLAN间主机的广播通信对其他VLAN 的影响。在 VLAN 间需要通信的时候,可以利用 VLAN 间路由技术来实现。
当网络管理人员需要管理的交换机数量众多时,可以使用 VLAN 中继协议(Vlan Trunking Protocol,VTP)简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
当校园网络的交换机数量增多、交换机间链路增加时,交换网络的复杂性可能会造成交换环路问题,这需要通过在各交换机上运行生成树协议(SpanningTree Protocol,STP)来解决。
7.1.1 访问层交换服务的实现-配置访问层交换机
访问层为所有的终端用户提供一个接入点。
这里的访问层交换机采用的CiscoCatalyst295024口交换机(WS-C2950-24)。交换机拥有24个10/100Mbps自适应快速以太网端口,运行的是Cisco的IOS操作系统。
7.1.1.1 配置访问层交换机AccessSwitch1的基本参数
(1)设置交换机名称:设置交换机名称,也就是出现在交换机CLI提示符中的名字。一般我们会以地理位置或行政划分来为交换机命名。当我们需要Telnet登录到若干台交换机以维护一个大型网络时,通过交换机名称提示符提示自己当前配置交换机的位置是很有必要的。语句如下:
校园网的设计与实现
Switch(config)#hostname accessswitch1 Accessswitch1(config)#(2)设置交换机的加密使能口令:当用户在普通用户模式而想要进入特权用户模式时,需要提供此口令。此口令会以MD5的形式加密,因此,当用户查看配置文件时,无法看到明文形式的口令。将交换机的加密使能口令设置为secretpasswd。如下:
Accessswitch1(config)#enable secret secrepaswd(3)设置登录虚拟终端线时的口令:对于一个已经运行着的交换网络来说,交换机的带内远程管理为网络管理人员提供了很多的方便。但是,处于安全考虑,在能够远程管理交换机之前网络管理人员必须设置远程登录交换机的口令。:设置登录交换机时需要验证用户身份,同时设置口令为youguess如下:
(4)设置终端线超时时间:为了安全考虑,可以设置终端线超时时间。在设置的时间内,如果没有检测到键盘输入,IOS将断开用户和交换机之间的连接。设置登录交换机的控制台终端线路及虚拟终端线的超时时间为5分30秒钟如下:
(5)设置禁用IP地址解析特性:在交换机默认配置的情况下,当我们输入一条错误的交换机命令时,交换机会尝试将其广播给网络上的DNS服务器并将其解析成对应的IP地址。利用命令noipdomain-lookup可以禁用这个特性。设置禁用IP地址解析特性如下:
(6)设置启用消息同步特性:有时,用户输入的交换机配置命令会被交换机产生的消息打乱。可以使用命令loggingsynchronous设置交换机在下一行CLI提示符后复制用户的输入。设置启用消息同步特性如下:
校园网的设计与实现
7.1.1.2 配置访问层交换机AccessSwitch1的管理IP、默认网关
访问层交换机是OSI参考模型的第2层设备,即数据链路层的设备。因此,给访问层交换机的每个端口设置IP地址是没意义的。但是,为了使网络管理人员可以从远程登录到访问层交换机上进行管理,必要给访问层交换机设置一个管理用IP地址。这种情况下,实际上是将交换机看成和PC机一样的主机。
给交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。按照表2-1,管理交换机设置管理用IP地址只能在VLAN1,即本征VLAN中进行。按照表2-1,管理VLAN所在的子网是:192.168.0.0/24,这里将访问层交换机AccessSwitch1的管理IP地址设为:192.168.0.5/24如下所示,显示了为访问层交换机AccessSwitch1设置管理IP并激活本征VLAN。
为了使网络管理人员可以在不同的子网管理此交换机,还应设置默认网关地址192.168.0.254。
7.1.1.3 配置访问层交换机AccessSwitch1的VLAN及VTP 从提高效率的角度出发,在本校园网实现实例中使用了VTP技术。同时,将分布层交换机DistributeSwitch1设置成为VTP服务器,其他交换机设置成为VTP客户机。
这里访问层交换机AccessSwitch1将通过VTP获得在分布层交换机DistributeSwitch1中定义的所有VLAN的信息。设置访问层交换机AccessSwitch1成为VTP客户机如下:
7.1.1.4 配置访问层交换机AccessSwitch1端口基本参数
(1)端口双工配置:可以设定某端口根据对端设备双工类型自动调整本端口双工模式,也可以强制将端口双工模式设为半双工或全双工模式。在了解对端设备类型
校园网的设计与实现 的情况下,建议手动设置端口双工模式。设置访问层交换机AccessSwitch1的所有端口均工作在全双工模式如下:
(2)端口速度:可以设定某端口根据对端设备速度自动调整本端口速度,也可以强制将端口速度设为10Mpbs或100Mbps。在了解对端设备速度的情况下,建议手动设置端口速度。设置访问层交换机AccessSwitch1的所有端口的速度均为100Mbps如下:
7.1.1.5 配置访问层交换机AccessSwitch1的访问端口
访问层交换机AccessSwitch1为终端用户提供接入服务。在图中,访问层交换机AccessSwitch1为VLAN10、VLAN20提供接入服务。
(1)设置访问层交换机AccessSwitch1的端口1~10:设置访问层交换机AccessSwitch1的端口1~端口10工作在访问(接入)模式。同时,设置端口1~端口10为VLAN10的成员。如下:
(2)设置访问层交换机AccessSwitch1的端口11~20:设置访问层交换机AccessSwitch1的端口11~端口20工作在访问(接入)模式。同时,设置端口1~端口10为VLAN20的成员。如下:
(3)设置快速端口:默认情况下,交换机在刚加电启动时,每个端口都要经历生成树的四个阶段:阻塞、侦听、学习、转发。在能够转发用户的数据包之前,某个端口可能最多要等50秒钟的时间(20秒的阻塞时间+15秒的侦听延迟时间+15秒的学习延迟时间)。
校园网的设计与实现
对于直接接入终端工作站的端口来说,用于阻塞和侦听的时间是不必要的。为了加速交换机端口状态转化时间,可以设置将某端口设置成为快速端口(Portfast)。设置为快速端口的端口当交换机启动或端口有工作站接入时,将会直接进入转发状态,而不会经历阻塞、侦听、学习状态(假设桥接表已经建立)。设置访问层交换机AccessSwitch1的端口1~端口20为快速端口。如下:
7.1.1.6 配置访问层交换机AccessSwitch1的主干道端口
访问层交换机AccessSwitch1通过端口FastEthernet0/23上连到分布层交换机DistributeSwitch1的端口FastEthernet0/23。同时,访问层交换机AccessSwitch1还通过端口FastEthernet0/24上连到分布层交换机DistributeSwitch2的端口FastEthernet0/23。这两条上连链路将成为主干道链路,在这两条上连链路上将运输多个VLAN的数据。设置访问层交换机AccessSwitch1的端口FastEthernet0/
23、FastEthernet0/24为主干道端口。如下:
7.1.1.7 配置访问层交换机AccessSwitch2 访问层交换机AccessSwitch2为VLAN30和VLAN40的用户提供接入服务。同时分别通过自己的FastEthernet0/
23、FastEthernet0/24上连到分布层交换机DistributeSwitch1、DistributeSwitch2的端口FastEthernet0/24。
对访问层交换机AccessSwitch2的配置步骤、命令和对访问层交换机AccessSwitch1的配置类似。这里,不再详细分析,只给出最后的配置文件内容(只留下了必要的命令)。需要指出的是,为了提供主干道的吞吐量,可以采用链路捆绑(快速以太网信道)技术增加可用带宽。例如,可以将访问层交换机AccessSwitch1的端口FastEthernet0/21和FastEthernet0/22捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch1。
校园网的设计与实现
同样,也可以将访问层交换机AccessSwitch1的端口FastEthernet0/23和FastEthernet0/24捆绑在一起实现200Mbps的快速以太网信道,然后再上连到分布层交换机DistributeSwitch2。
7.2 广域网接入模块设计
广域网接入模块的功能是由广域网接入路由器InternetRouter 来完成的。采用的是Cisco 2851 路由器。它通过自己的串行接口 serial 2/0接入 Internet。其作用主要是在 Internet和校园网内网间路由数据包。除了完成主要的路由任务外,利用访问控制列表(Access Control List,ACL),广域网接入路由器 InternetRouter 还可以用来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。
7.2.1 配置接入路由器 InternetRouter 的基本参数
对接入路由器InternetRouter的基本参数的配置步骤与对访问层交换机AccessSwitch1 的基本参数的配置类似。如图7-1
图7-1配置接入路由器 InternetRouter 的基本参数
7.2.2 配置接入路由器 InternetRouter 的各接口参数
对接入路由器InternetRouter的各接口参数的配置主要是对接口FastEthernet 0/0 以及接口 Serial 2/0 的 IP 地址、子网掩码的配置。如图7-2所示:
校园网的设计与实现
图7-2配置接入路由器 InternetRouter 的各接口参数
7.2.3 配置接入路由器 InternetRouter 的路由功能
在接入路由器 InternetRouter 上需要定义两个方向上的路由:到校园网内部的静态路由以及到 Internet 上的缺省路由。
到 Internet 上的路由需要定义一条缺省路由,其中,下一跳指定从本路由器的接口 serial 2/0 送出。到校园网内部的路由条目可以经过路由汇总后形成两条路由条目。如图7-3所示:
图7-3配置接入路由器 InternetRouter 的路由功能
7.2.4 配置接入路由器 InternetRouter 上的 NAT 由于目前 IP 地址资源非常稀缺,不可能给校园网内部的所有工作站都分配一个公有 IP(Internet 可路由的)地址。为了解决所有工作站访问 Internet 的需要,必须使用 NAT(网络地址转换)技术。
为了接入 Internet,本校园网向当地ISP申请了6个 IP 地址。其中一个IP地址:202.110.5.1 被分配给了 Internet 接入路由器的串行接口,另外 5 个 IP 地址:202.110.5.2~ 202.110.5.6 用作 NAT。
NAT 的配置可以分为以下几个步骤:
(1)定义 NAT 内部、外部接口,如图7-4所示:
校园网的设计与实现
图 7-4定义 NAT 内部、外部接口
(2)定义允许进行 NAT 的工作站的内部局部 IP 地址范围,如图7-5所示:
图 7-5定义工作站的内部局部 IP 地址范围
(3)为服务器定义静态地址转换,其他工作站定义复用地址转换。如图7.2.4-3所示:
图7-5为服务器定义静态地址转换及为工作站定义复用地址转换
7.2.5 配置接入路由器 InternetRouter 上的 ACL 路由器是外网进入校园网内网的第一道关卡,是网络防御的前沿阵地。路由器上的访问控制列表(Access Control List,ACL)是保护内网安全的有效手段。一个设计良好的访问控制列表不仅可以起到控制网络流量、流向的作用,还可以在不增加网络系统软、硬件投资的情况下完成一般软、硬件防火墙产品的功能。由于路由器介于校园内网和外网之间,是外网与内网进行通信时的第一道屏障,所以即使在网络系统安装了防火墙软件后,仍然有必要对路由器的访问控制列表进行缜密的设计,来对内网包括防火墙本身实施保护。
7.3 远程访问模块设计
远程访问也是校园网络必须提供的服务之一。它可以为家庭办公用户和出差在外的员工提供远程、移动接入服务。
远程访问有三种可选的接入方式:专线连接、电路交换和包交换。不同的广域网连接类型提供的服务质量不同,花费也不相同。在本设计中,考虑到面对的用户群规模较小、业务量较小,所以采用了异步拨号连接作为远程访问的接入方式。
异步拨号连接属于电路交换类型的广域网连接,它是在传统公共交换电话 网(Public Switched Telephone Network,PSTN)上提供服务的。传统 PSTN 提
校园网的设计与实现
供的服务也被称为简易老式电话业务(Plan Old Telephone System,POTS)。因为目前存在着大量安装好的电话线,所以这样的环境是最容易满足的。因此,异步拨号连接也就成为最方便和普遍的远程访问类型。
广域网连接可以采用不同类型的封装协议,如 HDLC、PPP 等。其中,PPP除了提供身份认证功能外,还可以提供其他很多可选项配置,包括链路压缩、多链路捆绑、回叫等,因此更具优势。本设计所采用封装协议是 PPP。
7.3.1 配置物理线路的基本参数
对物理线路的配置包括配置线路速度(DTE、DCE之间的速率)、停止位位数、流控方式、允许呼入连接的协议类型、允许流量的方向等。如图7-6所示:
图7-6配置物理线路的基本参数
7.3.2 配置接口基本参数并指定 IP 地址池
对接口基本参数的配置包括:接口封装协议类型、接口异步模式、IP 地址、为远程客户分配IP 地址的方式等。这里,设置远程客户从IP地址池 huangrong 中获得 IP 地址。并建立一个名为huangrong 的 IP 地址池。其 IP 地址范围是: 192.168.200.1~ 192.168.200.16。如图7-7所示:
图7-7配置接口基本参数并指定 IP 地址池
7.3.3 配置身份认证
PPP提供了两种可选的身份认证方法:口令验证协议PAP(Password
校园网的设计与实现
Authentication Protocol,PAP)和质询握手协议(Challenge HandshakeAuthentication Protocol,CHAP)。
PAP是一个简单的、实用的身份验证协议。PAP认证进程只在双方的通信链路建立初期进行。如果认证成功,在通信过程中不再进行认证。如果认证失败,则直接释放链路。
CHAP 认证比 PAP 认证更安全,因为 CHAP 不在线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,也被称为“挑战字符串”。同时,身份认证可以随时进行,包括在双方正常通信过程中。因此,非法用户就算截获并成功破解了一次密码,此密码也将在一段时间内失效。
CHAP对端系统要求很高,因为需要多次进行身份质询、响应。这需要耗费较多的 CPU 资源,因此只用在对安全要求很高的场合。
PAP虽然有着用户名和密码是明文发送的弱点,但是认证只在链路建立初期进行,因此节省了宝贵的链路带宽。本设计中将采用 PAP 身份认证方法。
(1)建立本地口令数据库,如图7-8所示:
图7-8建立本地口令数据库
(2)设置进行 PAP 认证,如图7-9所示:
图7-9设置进行 PAP 认证
7.4 服务器模块设计
服务器模块用来对校园网的接入用户提供各种服务。在本设计中,所有的服务器被集中到VLAN 100,构成服务器群并通过分布层交换机DistributeSwitch1 的端口F1~ 10 接入校园网。
校园网网络提供的常用服务(服务器)包括:
WEB 服务器,提供 WEB 网站服务。DNS、目录服务器,提供域名解析以及目录服务。FTP文件服务器,提供文件传输、共享服务。邮件服务器,提供邮件收发服务。数据库服务器,提供各种数据库服务。打印服务器,提供打印机共享服务。网管服务器,对校园网网络设备进行综合管理。
校园网的设计与实现
表7-10给出了所有的服务器名称及IP地址、网关:
表7-10 服务器名称及IP地址、网关
服务器编号 Server 1 Server 2 Server 3 Server 4 Server 5 Server 6 Server 7 服务器名称 WEB 服务器 FTP文件服务器 DNS、目录服务器 邮件服务器 数据库服务器 打印服务器 网管服务器
服务器IP地址 192.168.100.1 192.168.100.2 192.168.100.3 192.168.100.4 192.168.100.5 192.168.100.6 192.168.100.7
网关 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 192.168.100.254 表7-11给出了所有的服务器硬件平台、操作系统以及服务软件的选型表:
表7-11 服务器硬件平台、操作系统以及服务软件的选型表
编号 Server 1 Server 2 Server 3 Server 4 Server 5 Server 6 Server 7 服务器名称 WEB 服务器 FTP文件服务器 DNS、目录服务器 邮件服务器 数据库服务器 打印服务器 网管服务器
硬件平台 HP LH3000 HP LH3000 HP TC 4100 SUN E250 HP TC 4100 HP TC 4100 HP TC 4100
操作系统 Windows2000 Server Windows2000 Server Windows2000 Server
Solaris 8.0 Windows2000 Server Windows2000 Server Windows2000 Server
服务软件 IIS5.0 SER V-U5.0 ActiveDirectory EYOU Mail SQLServer2000
---
Cisco Works 2000
校园网的设计与实现 布线系统
8.1 方案采用
本设计方案采用BICC Structured Cabling Systems(结构化综合布线系统)的设计思想,遵循国际、国内标准设计,设备采用BICC产品。BICC集团总部位于英国伦敦,BICC是英文“British Insulated Callenders Cables”的缩写,意即英国独立电缆集团。
8.2 BICC Brand_Rex 结构化布线产品主要特点
Brand_Rex结构化布线系统由非屏蔽铜缆系统、铜缆系统、普通光缆系统、吹光纤布线系统四个部分组成。它是世界少数可同时提供屏蔽线和非屏蔽线系统的厂家,更是少数可同时提供50/125、62.5/125多模和单模光纤系统的厂家。同时,在Brand_Rex系统中,涵盖了从线缆到配线架到模块、面板等端的全系列产品。
8.3 设计依据
1)标准 综合布线系统标准是一个开发系统标准,它支持广泛的应用,保护用户以往的投资,综合布线系统遵循下列标准:
EIA/TIA 568 民用建筑布线标准 EIA/TIA 569 民用建筑通信通道及空间标准 ANSI/EIA/TIA-570 住宅及商业应用 ANSI/EIA/TIA-606 商业建筑电讯设施管理标准
ANSI/EIA/TIA-607 商业建筑电讯设施接地标准 TSB-67 非屏蔽双绞线布线系统传输性能
测试标准
TSB-72 简明光纤布线指导 ISO/IEC DIS11801 建筑物通用布线系统 IEEE802.3 10BASET-T 10M双绞线以太网通信标准
校园网的设计与实现
IEEE802.3 100BASET-T 100M双绞线以太网通信标准 IEEE802.3 1000BASET-T 1000M双绞线以太网通信标准
2)安装与设计规范 目前,在国内需要遵循的主要规范如下:中国建筑电气设计规范;工业企业通信设计规范;中国工程建设标准化协会标准“建筑与建筑群综合布线系统工程设计规范”;结构化保险系统设计总则;市内电话线路工程施工及验收技术规;BICC Millennium系统设计总则。
3)BICC Millennium的优势如下:将各系统统一布线,提高全系统的性价比;具有开放性和充分的灵活性,不论各个子系统设备如何改变,位置如何移动,布线系统只需跳线而不需其任何其它改变;设计思路简洁,施工简单,施工费用低;充分适应通信和计算机网络的发展,为今后办公全面自动化打下了坚实的线路基础;大大减少维护管理人员的数量及费用;根据最终用户的不同需求进行随时改变和调整。
8.4 技术方案
1)设计范围及要求
本设计是以建筑物分布平面图为基本依据,并结合学院的实际情况而进行设计的。信息点结合平面分布图及信息中心统计数据进行配置与选型,根据用户需求,所有信息点为数据点,未考虑话音点。在设计过程中系统的主干传输介质选用多模光缆。
2)设计目标的确定
这需要充分考虑到学校对组建网络的总体要求,并最终按照哪些标准进行鉴定。总体要求为:体现适应性、先进性,满足用户网络应用未来的发展;主干网满足计算机系统高速网络的传输要求,适应未来宽带多媒体业务发展的需要;保证多个区域的网络连接清晰、明确。各层面的网络子系统尽可能科学合理,保证有足够的空间以方便维护和使用;实现每间房一条以上数据线,并预留出一定数量的接口。
3)我们为学院设计的结构化布线系统将基于以下目标:
符合当前和长远的信息传输要求;布线系统设计遵从国际(ISO/CEI1801)标准;布线系统采用国际标准建议的层层星型拓扑结构;布线系统将支持数据(计算机)、视频图像(电视会议、电视监视等)以及综合信息的高质量传输,并适应各种不同类型不同厂商的计算机及网络产品;布线系统的信息出口采用国际标准的RJ-45插座,使用统一的线路规格和设备接口使任意信息点都能接插不同类型的终端设备,以便支
校园网的设计与实现
持话音、数据、图像等数据信息或多媒体信息的传输;布线系统符合综合业务数据网ISDN的要求,以便于Internet相连;布线系统要立足开放原则,既要支持集中式网络系统,又要支持Client/Sever分布式网络系统。
4)系统性能需要满足考虑到的性能如下:实用性、灵活性、开放性、模块 化、扩展性、经济性。
5)信号种类及布线系统的要求
信号种类:学院结构化布线系统支持的信息传输类别为数据信号;布线要求:学院校园网综合布线系统主干传输介质宜选用多模光缆,数据点水平线缆至终端插座均采用BICC的千兆比产品,通过在配线间的配线架上对数据点进行方便地跳接调整即可实现数据点的任意替换。
8.5 建筑群系统设计说明
一号教学楼系统设计说明:一号教学楼内用户点数设计为90点,根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。二号教学楼系统设计说明:二号教学楼内用户点数设计为48点,根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。图书综合楼楼系统设计说明:图书综合楼内用户点数设计为100点,根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。实训中心系统设计说明:实训中心楼内用户点数设计为300点,根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。宿舍区系统设计说明: 宿舍区系统共有3幢楼,每幢楼内用户点数设计为300点,共计900点,根据该建筑物特点及实际需求设计布线系统。双绞线的敷设通过PVC材料构成的路由沿墙壁完成。
8.6 工程实施内容
按照预定方案,在具体施工过程中将按照如下顺序进行。
1)布线设计 :根据学院需求具体情况,完成布线设计配置方案,并在校方确认后,进一步完成建筑的管线设计或修正。2)铜缆施工:进行铜缆及相关管线的布放、安装
校园网的设计与实现
3)光缆施工:对光缆及相关管线的安装进行督导。
4)线路测试:工程完工后,将选用BICC公司认定的专用仪器对系统进行导通、接续测试,并提交测试证明报告。
5)系统联调:在系统的线路测试后,选择若干站点,对外部连接网络设备进行连通测试,并提供测试报告。
6)工程验收:完成上述两项测试后,双方签字认定工程验收完毕,并由工程方完成有关BICC 15年质保体系的认证工作。
7)文档:工程验收后,工程方将以文本或磁盘文件方式,向校方提供系统设计与方案配置、施工记录等在内的文档
校园网的设计与实现 校园网的测试
当校园网初具规模后,还应该对校园网的整体运行情况做一下细致的测试和评估。
1.主要的测试内容应该包括: 对设备间的物理连通性的测试。对相同VLAN内的通信进行测试。对不同VLAN内的通信进行测试。对冗余链路的工作状态进行测试。对广域网接入路由器上的NAT进行测试。对广域网接入路由器上的ACL进行测试。对远程访问服务进行测试。对各种服务器提供的服务进行测试。2.常用诊断命令 Ping 测试设备间连通性
Show running-config 显示设备运行配置文件内容 Show startup-config 显示设备启动配置文件内容 Show interface vlan vlan号 显示Vlan信息 Show interface 显示端口所有信息
校园网的设计与实现
结束语
本毕业设计从校园网的建设思想、目标、可以选用的网络技术以及对网络设备的介绍和选择等多方面的论述,使我们对校园网建设工程有了一个比较深入的了解,校园网络建设作为一项重要的系统工程,它的所用到的各种技术是多方面的,即有网络技术、工程施工技术,也有管理制度等各个方面的知识。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我们去学习与研究,并能将其应用到实际的网络工程建设之中。由于校园网功能齐全,技术含量高,接触面广,在网络设计、规划和建设中都非常复杂,在论述中不可能面面具到,同时也由于本人的知识水平有限,文中的不足和错误在所难免,敬请各位老师多多指点。
校园网的设计与实现
致谢
这篇论文的顺利完成,首先要感谢我的指导老师张建伟教授。在我做论文的初期过程中,张老师始终耐心的指出我需要改进的地方,在后期过程中,又在网络拓扑结构图、IP地址划分、结构化布线等方面给了我很多的提示,从细节上提高了论文的质量,帮我完成了这篇论文。
另外,这篇论文的完成要感谢学校的支持,为我们开辟了专门做论文的机房。还要感谢我宿舍的众多室友们,在与他们的讨论中,许多好的建议、想法都被我用运到论文中。论文还参考了许多文献资料及网站资料。
在这里我向直接或间接帮助我的老师、朋友、文献作者、网络资料共享者致以我由衷的谢意。
校园网的设计与实现
参考文献
[1]王平.Cisco网络技术教程[M].北京:电子工业出版社,2012.131-426 [2]刘晓辉.网络综合布线[M].北京:清华大学出版社,2012.17-195 [3]谢希仁.计算机网络[M].北京:电子工业出版社,2013.50-67 [4]任泰明.TCP/IP网络编程[M].北京:人民邮电出版社,2009.13-109 [5]肖清华.网络规划设计与优化[M].北京:人民邮电出版社,2014.20-56 [6]姜大庆.网络互连及路由器技术[M].北京:清华大学出版社,2014.46-126 [7]西奎拉.Cisco网络设备互连[M].北京:人民邮电出版社,2014.56-156 [8]张守祥.计算机网络技术[M].北京:清华大学出版社,2014.10-68 [9]Richard Froom.组建Cisco多层交换网络[M].北京:人民邮电出版社,2008.8-56 [10]Cisco System.思科网络技术学院教程
(四)[M].北京:人民邮电出版社,2008.13-65 [11]武装.校园网组建管理与维护[M].北京:清华大学出版社,2014.26-178 [12]常彩虹.网络安全[M].北京:清华大学出版社,2014.46-89 [13]褚建立.网络综合布线实用技术[M].北京:清华大学出版社,2014.49-187
第三篇:校园网系统安全设计与实现
本科毕业论 文
本科毕业设计 延 边 大 学(题 目:校园网系统安全设计与实现 学生姓名:赵哲俊 学 院:工学院
专 业:计算机科学与技术 班 级:2004级 指导教师:王齐 讲师 二 〇 08 摘 要
开放式一体化网络的安全问题涉及到很多方面,是一个集技术、管理、法规于一体的复杂系统工程。目前国内在这些方面的研究还不能跟上网络技术的发展。网络上大量存在的计算机病毒、黑客行为、木马等安全威胁,无时无刻不在影响着校园网络的健康发展,利用何种技术措施保证校园网安全、高效地运行,已成为目前许多学校急需解决的研究课题。
目前,常采用的保护网络安全的技术主要有数据加密,防火墙,入侵检测、杀毒、访问控制等。这些技术分别在一方面或多方面抵御着来自网络的安全威胁。然而,威胁网络安全的计算机病毒技术、黑客技术、木马技术等却在不断的发展变化之中。在校园网的建设实践中,追求百分之百的网络安全是办不到的,综合运用多种网络安全技术建成一个相对安全的、符合一定安全需求的校园网才是明智的选择。
在对各种网络安全技术进行深入地探讨后,具体分析了延边大学校园网存在的安全问题,针对校园网在运行中所遇到的实际问题,在信息系统安全理论的指导下,设计了总体网络安全体系方案。在方案中,特别对防火墙、入侵检测、病毒防治等多方面给出了具体的解决方案。另外,在安全管理方面,给出了对校园网的管理意见。
关键词:校园网;网络安全;安全需求;安全策略 Abstract The security of the Opening Network is a problem concerning many areas and also a complex project of system engineering which involves techniques,management and laws.Domestic studies can not yet keep up with the rapid development of network techniques.The threatening of the computer virus and hackers are affecting the health development of the campus network.And how to assure the security and the efficiency of the campus network is becoming the emergence research topic in lots of colleges.Recently,the popular technologies of protecting network include data-encrypting、firewall、IDS、killing-virus、access-controlling and so on.These technologies resist the security threatening from network in one aspect and some aspects respectively.However,the technologies of computer virus and hacker are also developed.In the building of the campus network,it is impossible to have the totally security.Using a lot of network security technologies to build a relatively safe network which satisfies the security request to certain extent is a wise way.After the discussing of several network security technologies,the security problem of the Campus Network of Yanbian University is analysed in detail.According to the real problem when the Campus Network is running and based on using the guidance of safe theory of information system,a overall security solution is put forward in this thesis.Especially,the necessary security assurance measures are designed in detail,including firewall,intrusion detection,anti-virus and so on.Meanwhile, suggestion for effective security management is put forward.Keywords:Campus network;Network Security;Security requirement;Security policy 目 录 引 言.....................................................................................................................................1 第一章 系统概述.................................................................................................................2 第二章 系统风险分析.........................................................................................................4 2.1 物理安全风险分析................................................................................................4 2.2 链路层脆弱性分析................................................................................................4 2.3 网络层脆弱性分析................................................................................................4 2.4 操作系统的脆弱性分析........................................................................................6 2.5 应用层安全风险分析............................................................................................6 2.6 管理的安全风险分析............................................................................................7 第三章 系统安全需求.........................................................................................................8 3.1 安全需求说明........................................................................................................8 3.2 系统安全目标........................................................................................................9 第四章 系统安全设计.......................................................................................................10 4.1 安全设计原则......................................................................................................10 4.2 安全设计标准......................................................................................................10 4.3 安全方案..............................................................................................................10 4.3.1 物理安全...................................................................................................11 4.3.2 网络安全...................................................................................................12 4.3.3 业务应用安全...........................................................................................15 4.3.4 安全管理与服务.......................................................................................16 4.4 安全方案特点......................................................................................................16 第五章 系统安全测试与实现...........................................................................................17 5.1 系统安全测试......................................................................................................17 5.2 系统安全技术实现..............................................................................................19 第六章 总结.......................................................................................................................23 参考文献.............................................................................................................................24 谢 辞...................................................................................................................................25 引 言
知识经济时代的到来和信息技术的飞速发展,以及全球经济一体化的加剧,信息传输的途径越来越依赖于电信网,尤其是计算机互联网。近十几年来,信息技术尤其是计算机网络技术得到了飞速发展。互联网提供的www.xiexiebang.com [8] 数字化校园—从网络开始.http://www.xiexiebang.com [9] Zhiqiang Cui.Security Incidents in an Academic Setting: A Case Study.East Tennessee State University, 2002:27-28 [10] Richard Froom.CCNP学习指南:BCMSN.人民邮电出版社.2007年11月 [11] Jeff Doyle,Jennifer DeHaven Carroll.TCP/IP路由技术(第2卷).人民邮电出版社.2002年8月
谢 辞
本论文是在导师王齐讲师的悉心指导下完成的,在论文的选题、撰写和定稿过程中,王老师给我提出了许多宝贵的意见,而且很耐心的指出需要改进的地方以及微小的错误。王老师兢兢业业的工作作风、严谨务实的教学风范、耐心的教导方式,给了我莫大的启迪和帮助。在此谨向王老师表示衷心的感谢和诚挚的敬意!
在这里,我还要衷心地感谢延边大学的各位领导和老师,正是由于他们的热情关怀和帮助,才使我顺利完成学业。
最后对曾给予我鼓励和帮助的所有同学、同事及朋友一并表示深深的感谢!
第四篇:校园网的设计与实现 文献综述
文献综述
题
目
校园网的设计与实现 学生姓名
* * *
专业班级
网络系统管理12-01 学
号
000000000000
院(系)* * 学院 指导教师(职称)* * *(教授)完成时间 2016年 3月 25日
校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000 关于校园网建设相关技术综述 摘要
自1995年中国教育教研网(CERNET)建成后,校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。各高校及其中小学都在筹备建设校园网,希望通过校园网的建设,改善办学条件,提高教学、科研和管理水平。校园网络的建设对于学校来说是一项大的工程,必须精心设计、精心施工,做到经济适用,技术先进、开放性能良好、投资强度合理、与国内外网络互联、能长期、稳定运行的高性能的校园网络。校园网的发展过程
随着互联网的不断发展,网络已经融入到我们的生活和学习当中,高校校园网做为一个成功应用的实例,给学校的教学及管理带来了新的方式,成为学校教育活动的发展平台,因此也成为教学和管理中不可或缺的一部分。我国高校校园网的发展可分为三个阶段:第一个阶段是大部分学校没有网络设备阶段,我国已经基本渡过这个阶段。据不完全统计,我国现在大学校园网的覆盖率已经达到100%。第二个阶段是学校网络设备处于比较杂乱的阶段,我国现有高校的大部分校园网都处在这个阶段。第三个阶段是学校的校园网可以提供一个高效、安全的平台,为高校的教育事业发展提供良好的条件。这个阶段也是我们校园网发展的更高目标。校园网的发展带着高等教育走进了一个新的时代。因此,搞好校园网络建设,对教学的改革及学习方法的改进十分重要,是教育现代化的重要内容。发展校园网的重要性
3.1校园网是信息交流的平台
校园网是教育信息化、乃至教育现代化建设的重要内容,校园网在学校教育教学工作中其作用的发挥程度如何,反映出一所学校、一个地区的教育信息化水 校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000平。现在的校园网可以为师生提供教学、科研和综合信息服务的宽带多媒体网络,校园网内各计算机通过局域网进行连接,实现网络信息管理、资源共享和信息交流等,并能通过广域网实现校园内外和国内外的教育资源共享与交流等。
3.2 校园网是高等院校对外的主要窗口
高等院校的对外宣传是发展学校、建设学校的一个重要手段,有再好的教学资源和师资力量但社会大众不了解,人们也是不会认可和信赖这所学校的。现在社会各界了解学校几乎都是通过网络来完成的,网络中又以校园网为主,所以建设一个快速、稳定、方便的校园网是高等院校对外宣传的重要保障。校园局域网的规划与设计
4.1校园网的发展现状及存在的问题
目前我国高校的校园网覆盖率已达到100%。但任然存在一些问题,如学校网络设备比较杂乱,管理水平不到位等,网络速度慢,稳定性差等等。导致校园网没有得到充分的利用。
4.1.1 网络速度慢,稳定性差,制约了社会对学校的关注度
网络中经常会出现网络速度慢的情况,由于引起网络速慢的原因复杂多变,使得网络速度成了网络管理中最常见也最头疼的问题之一。因网络速度与硬件设施有着密切的关系,硬件的建设资金投入是比较大的,所以现在一些高校还没有充足的资金来建设硬件设施,保障不了通信线路的承载能力,网络的速度也跟不上。而且现在高校的网络设备的生产厂家和品牌五花八门,网络设备不能实现最优结合,也造成了校园网的稳定性差。速度慢,稳定性差,这两方面对于用户来说是非常忌讳的,没有人愿意花太多的时间去等待网页的打开,这也就导致了人们不得不放弃或用其它渠道来了解学校,这样严重影响了学校被关注的程度。4.1.2校园网的建设不能充分的为教学改革提供良好的帮助
很多学校在校园网的建设的同时,对于多媒体教学的资金投入也很多。但是在使用这两个先进的教学手段的时候却是各行其政,并没有在必要的时候将两种技术结合起来以带来更大的教学效果的发挥。校园网的普及给教育教学增添了便利和新的手段。但它并没有把师生之间的传统关系信息化,只是单纯的把老师的工作简单化、方便化,但并没有对学生的学习方式产生必要的影响。
校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000 4.2对校园网的发展的建议
校园网建设是各个高校建设的重要组成部分,它是一项基本的、长期性的工作,它的建设水平是学校整体办学水平的一个重要标志。校园网在教育教学中的有效应用,不仅可以改革传统的教学模式、教学方法,而且将促进教育观念、教学思想的转变,是推进课程改革的基础平台,是实施素质教育的重要手段,也是教育现代化的重要标志之一,只有建设合理的、符合学校发展和师生员工需求的信息化校园,才能充分发挥校园网的重要功能。4.2.1结合学校实际,科学规划完善功能
信息时代的今天,高校和网络有着息息相关的联系。但校园网的建设需要投入大量的资金,所以在建设过程中,我们要科学规划,精打细算,充分利用现有资源,发挥网络在实际运用中的功效。计算机的软硬件升级很快,价格下降也很快,只要使网络符合“开放、标准、可扩展”的建网原则,并具有较强的教学服务功能,那么,在建设校园网的时候没有必要一步到位。资金不足的学校可以分布的实现网络的每一个功能,最后达到网络的高安全、可运营、易管理。不能一哄而上,临时拼凑,购买廉价产品,更不能重复建设,造成资源的浪费,影响网络在实际应用中的功效。要做到“科学规划,逐步推进,因校而定,注重实效”。4.2.2师生共同建设高水平的管理团队,取长补短,完善网络应用及维护
网络功能的强弱,使用效率的高低,在很大程度上受限于管理人员的水平。目前,许多学校都拥有一支在网络管理和安全维护方面的高素质队伍。但在校园网应用中,很少投入人力、物力去开发创新,开发人员相对缺少,而对一般的老师和学生进行校园网使用技术的培训更是少之又少,从而影响校园网为现代教育提供及时、高效的服务。我们要加强老师与学生之间的沟通,因为他们是网站最直接的使用者,通过他们对网站的反馈来不断的使校园网的应用更加广泛、功能更加完善。软硬件的运行关键在于管理,管理水平的高低直接影响着设备的最优使用。所以,高水平的管理团队对校园网的普遍应用和正常维护是非常重要的。4.2.3实行同域内高校共建主干网,分而自治,加强网络信道的建设
网络速度的问题与网络信道有着密切的关系,我们都知道光纤的传送速度和同轴电缆的传送速度是不能用一个量级来衡量的。目前大部分院校建立的校园网都是学校单方面投入建设主干线路,由于受到资金及场地的限制,导致了主干线 校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000 路的带宽不是很大,严重影响了网络的速度。鉴于这种情况,提倡将同区域的一些院校联合起来,共同建造主干网,这样可以集各所学校的财力来建设一个带宽足够用的网络通信信道。同样的方式我们可以建造一个更加安全的中心机房,然后由各院校各自管理自己的信息,组织技术人员对自己的网站进行维护。这样就解决了网络传输速度慢的问题。
4.3校园网建设中的主要技术
4.3.1传统局域网(LAN)技术
(1)集线器加路由技术的利弊 共享带宽的 LAN设计在用户较少且设备间只需传送少量的文件时是十分有效的,但是当LAN 越来越大、越来越复杂,用户又需要实时访问网络资源时,这种体系结构固有的较大的并且不确定的延迟就会妨碍多媒体和 client/server 应用,也会妨碍主机到大型机的连接。解决这一问题的思路是对LAN分段。采用集线器加路由器术可以实现LAN分段。单个网段可能是以速度4 Mbps或16 Mbps 运行的令牌环,也可能是在双绞线或同轴电缆上运行的10 Mbps的以太网。采用集线器加路由器配置,将这些网段连接在一起。开始时,该网络可正常运行。但随着网络应用的扩大和带宽的需求增长,会产生问题。每个路由器需要从各个网段读取数据并向前传送到其域内的另一个网段,或把数据释放到公共主干上。所以每个路由器处理分组时都有一个延迟,即等待时间由数据通路上的多路由器导致长的等待时间,会使网络慢下来、大文件通过时甚至会使整个网络陷于瘫痪。为解决这个问题又提出了局域网交换的方案。
(2)局域网交换和ATM 局域网交换技术为现存的共享媒体LAN(如以太网和令牌环网)注人了新的括力,通过对共享LAN分段实现,有效地减少了每个共享网段上网络设备的数量。通过将通信量隔离到特定网段为整个网络提供更大的总带宽,并且通过下面将论述的VLAN增加了配置的灵活性。用MAC地址在网段间传送数据报。如果交换机不知道目的网段,则采用泛洪法迅速将数据报传送到除源网段外的所有网段,文件服务器直接连到交换机上,那么网络内部的通信量就会得到明显的改善,数据不需要穿过一系列的不能处理高通信量的路由器。交换机可以自动完成翻译,所以数据能快速穿过网络,不会减速。ATM是把传统的电路交换与现代的分组交换结合起来,利用电路交换的实时性好和分组交换 校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000 的灵活性强的优点而发展形成的一项新的交换技术。ATM 技术以固定长度53个字节的短信元作为信息传输的单位,有利于综合业务传输和高速交换。信元头长固定为5个字节,使结点的功能尽量减少,只用硬件就可以对信元进行处理,提高了速率。
ATM的低延迟、高带宽、高容量、可伸缩性、支持不同速率等一系列特点,使之适于多媒体通信。实时性要求不高的传统应用靠FDDI,而时性要求高的(如图像声音等)则引导上ATM主干网,负载均衡,各得其所,可以相当程度上避免瓶颈问题。一旦某一主干出现故障,其通信量即可迂回到另一主干上,因而提高了校园网的可靠性。
4.3.2新型局域网——无线局域网
随着无线局域网技术的发展,大量的成熟的产品进入了市场。越来越多的人们享受到了无线带来的便利和高效。在人们集中的地方,在人们需要大量信息的地方,在人们经常需要移动的地方,无线局域网成为人们的首选。各类校园的无线局域网覆盖已经在世界范围内成为潮流。针对不同区域的无线网络覆盖方案有所不同,各有特点。
(1)教学楼 教学楼通常主要的部分是教室,这也是学生和教师主要的活动场所。教室的结构是完整的整体空间,在每个教室安排一个或多个无线AP,无线网络就可以覆盖教室的各个角落,教室中无线上网就实现了。
(2)办公楼 办公楼通常由若干独立的办公区间构成,空间被各种功能隔墙阻断,需要使用一定数量的AP并选择适当的位置安排,才能使办公区域完全得到无线网络覆盖。
(3)图书馆 图书馆是以大的宽敞的空间为主的建筑,特别适合使用无线局域网来实现网络覆盖。使用的设备少,而且覆盖的效率还比较高。
(4)学生宿舍 现在的大学,很多学生都有自己的电脑。在宿舍当中上网是非常必要的。实现宿舍的无线网络覆盖通常是在宿舍的走廊里布局若干AP,让无线信号穿过门窗和墙壁覆盖到各个宿舍房间。还有一种是用室外无线覆盖的方法,即从宿舍楼的外面架设AP和天线,透过窗户让无线网络信号进入各个宿舍房间。相对来讲室外的方法,构成无线网络的成本相对低一些。
(5)教工住宅 教工住宅的无线覆盖与一般的家用无线网络的模式非常接 5 校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000近。主要的功能是方便在已经装修好的房间中提供无线的网络连接,也为拥有多台电脑的家庭连接宽带网提供方便。只要在每个家庭中安装无线AP即可。
(6)运动场馆、草坪、广场 这些地方可以使用室外型AP加上功率放大器和适当的天线来完成大面积的空旷地带的无线网络覆盖。4.3.3 VLAN技术的应用
计算机网络影响了现代生活的很多方面,在各大高校内部也都建立起了局域网,但是由于接入设备的越来越多,迫切需要一中技术解决在局域网内部出现的利与广播风暴一类的问题,VLAN的产生就解决这个问题。
(1)VLAN技术概述 VLAN(Virtual Local Area Network)也就是虚拟局域网,是一种建立在交换技术基础之上的,通过将局域网内的机器设备逻辑地而不是物理地划分成一个个不同的网段,以软件方式实现逻辑工作组的划分与管理的技术。IEEE于1999年颁布了用以标准化VLAN实现方案的IEEE 802.1Q协议标准草案。VLAN的作用是使得同一VLAN中的成员间能够互相通信,而不同VLAN之间则是相互隔离的,不同的VLAN间的如果要通信就要通过必要的路由设备。
(2)VLAN的优点 可以控制网络广播 在应用了VLAN技术的局域网中,缩小了广播的广播域,在一个VLAN中的广播风暴也不会影响到其他的VLAN,从而有效地减小了广播风暴对局域网网络的影响。增强了网络的安全性 在局域网中应用VLAN技术可以把互相通信比较频繁的用户划分到同一个VLAN中,这样在同一个工作组中的信息传输只在同一个组内广播,从而也减轻了因广播包被截获而引起的信息泄露,增强了网络的安全性。还有就是在学校的局域网中各个部门要求的安全等级是不一样的,例如学校图书馆和学校办公室之间的网络就有着不一样的访问者和用户,因此我们可以应用VLAN技术把办公室和图书馆网络分到不同的工作组中。如果不使用VLAN技术就需要两个交换机来实现同样的功能,但是应用VLAN技术节省了学校的财力。2.3简化网络管理员的管理工作 在应用VLAN技术后网络管理员就可以轻松的管理网络,例如学校的办公室在物理上并不处在同一个位置,在不同的教学楼和办公楼,但是应用了VLAN技术网络管理员就可以在应用了几条指令的同时完成设备在不同物理位置上的相同工作组的配置。
(3)VLAN的划分方法 VLAN技术对工作组的划分方法有三种:一是基于端 6 校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000 口的划分方法;二是基于MAC地址的划分方法;三是基于网络协议的划分方法
5校园局域网设计实例
5.1网络设计目标
主要用于多媒体教学、行政办公、学籍和人事管理、图书管理、财务管理、信息共享、视频点播、WEB服务、电子公告、科研和技术交流以及Internet应用等。提高教员的效率,允许教员和其他学院的同仁一起参与更多的项目研究,提高学生的效率,消除交作业难的问题,允许访问者使用他们的无线笔记本电脑从园区网络访问互连网络,保护网络防止入侵。
5.2系统设计原则
(1)实用性:指从实际情况出发,使之达到使用方便且能发挥效益的目的。(2)先进性:指采用当前国际先进成熟的主流技术,采用业界相关国际标准。设备选型要是先进和系列化的,系统应是可扩充的,能够便于进行升级换代。
(3)安全性:指用各种有效的安全措施,保证网络系统和应用系统安全运行。安全包括4个层面:网络安全,操作系统安全,数据库安全,应用系统安全。
(4)可扩充性:指采用符合国际和国内工业标准的协议和接口,从而使校园网具有良好的开放性,实现与其他网络和信息资源的互联互通,并可以在网络的不同层次上增加节点和子网。
5.3网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行。校园网络特别是已与INTERNET相连的校园网络,对于网络的安全防范就显得特别重要。因为一次的恶意破坏或管理人员的误操作都会带来巨大的损失。因此,一方面要加强管理人员及使用者的技术培训及有关法律和道德教育,另一方面,要建立起一套有效的软、硬件的监控、防护体系。有条件的学校可以采用高性能的防火墙软、硬件。防火墙系统是网络安全策略的一个重要方面。Internet防火墙是这样的系统(或一组系统),它能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往 校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000 Internet的信息都必须经过防火墙,接受防火墙的检查。防火墙只允许授权的数据通过,并且防火墙本身也必须能够免于渗透。教学局域网的安全与防范措施 :(1)可靠的布线是安全的重要保证。必须严把网络连线、接口部位的质量,确保信号的畅通传递。(2)采用双机容错机制。用两台服务器确保当一台发生放障时,另一台可及时投入使用。(3)采用HUB的容错功能。通过安装多个HUB将整个教学网络划分为若干个网段,使某个网段的个别点故障不至于影响到整个网络的运行。同时,故障的排除也容易。(4)上网的一切软件必须经过消毒处理,以防为主。
5.4“线”的选择
一般而言,局域网所使用的连线有双绞线、同轴电缆、光缆三种,在校园局域网中,需要根据实际情况,选择对应的布线线缆。比如对于校园内楼宇间的连接线缆,由于是暴露在室外,常年受到日晒雨淋的影响和雷电的干扰,此时使用光缆作传输介质最为适宜。因为光缆具有高带宽,传输距离远,抗干扰能力强、安全性好、抗老化和高寿命等显著特点,此外,就目前大多数校园网的应用情况而言,校园网上承载的传输信息中,多媒体信息的传输量将会越来越大,如多媒体教学,电子阅览、视屏点播等应用,主干网传输介质必须具有承载千兆速率的能力,此时只有光缆才能满足户外主干网的布线需求。
校园网为园区网,楼群间子系统采用光缆连接,可提供千兆位的带宽,有充分的扩展余地,如果选择双绞线,由于没有屏蔽层,在室外很容易感应雷电而产生干扰,甚至损坏设备。双绞线因受室外恶劣环景的影响,容易老化,寿命短。而且双绞线不容许超过100米,它不适合作连接楼与楼之间的主干电缆。不过对于校园室内的布线介质,由于需要管理区子系统并入设备间子系统,集中管理,所以线缆的长度比较大,由于光缆价格昂贵,选择双绞线是比较实际的,而且目前的屏蔽双绞铜线(STP)的抗干扰和传输距离比较好,不仅可支持一般的学校信息管理应用对网络传输带宽的要求,而且完全支持MPEG-2等格式的多媒体信息。总结
现如今,计算机网络已经深入到人们生活的方方面面,局域网与人们的生活的联系最为密切。局域网的规模大到企业级局域网,小到家庭式局域网。对局域 校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000 网的掌握是每个当代大学生应必备的基础知识。局域网的组建涉及到功能分析、设计原则、拓扑结构、IP地址分配、系统选择、安全策略、系统扩容等方方面面。校园局域网主要功能包括:视频点播功能、PPP拨号服务、E-MAIL、FTP服务等。在组建校园局域网时,对每一个方面如果分析不到位,就不能充分发挥校园局域网的功能,甚至造成网络瘫痪。组建局域网,首先要分析单位需求和单位提供的资金的多少,然后为单位提供解决方案,选择性价比高的策略。近几年,虚拟局域网技术的产生,打破了同一局域网内物理位置的限制;无线局域网的发展,使局域网的组建更加灵活,使局域网和移动通信网的缺点相互补充。
校园网的设计与实现 专业班级:网络系统管理12-1姓名:* * * 学号:000000000000
参考文献
[1]王平.Cisco网络技术教程[M].北京:电子工业出版社,2012.131-426 [2]刘晓辉.网络综合布线[M].北京:清华大学出版社,2012.17-195 [3]谢希仁.计算机网络[M].北京:电子工业出版社,2013.50-67 [4]任泰明.TCP/IP网络编程[M].北京:人民邮电出版社,2009.13-109 [5]肖清华.网络规划设计与优化[M].北京:人民邮电出版社,2014.20-56 [6]姜大庆.网络互连及路由器技术[M].北京:清华大学出版社,2014.46-126 [7]西奎拉.Cisco网络设备互连[M].北京:人民邮电出版社,2014.56-156 [8]张守祥.计算机网络技术[M].北京:清华大学出版社,2014.10-68 [9]Richard Froom.组建Cisco多层交换网络[M].北京:人民邮电出版社,2008.8-56 [10]Cisco System.思科网络技术学院教程
(四)[M].北京:人民邮电出版社,2008.13-65 [11]武装.校园网组建管理与维护[M].北京:清华大学出版社,2014.26-178 [12]常彩虹.网络安全[M].北京:清华大学出版社,2014.46-89 [13]褚建立.网络综合布线实用技术[M].北京:清华大学出版社,2014.49-187 10
第五篇:毕业论文设计:家庭无线局域网的设计与实现
论文题目:家庭无线局域网的设计与实现
目 录 绪论..................................................................................................................................................................1
1.1选题背景................................................................................................................................................1 1.2课题研究的目的和意义........................................................................................................................1 1.3 IEEE802.11系列标准...........................................................................................................................1 1.4国内相关研究现状...............................................................................................................................2 1.5家庭无线网络的发展前景...................................................................................................................2 2 无线局域网的特点..........................................................................................................................................3
2.1无线网络特点.......................................................................................................................................3
2.1.1 传输方式..................................................................................................................................3 2.1.2网络拓扑...................................................................................................................................3 2.2几种主要的WLAN技术.........................................................................................................................4 2.3无线局域网安全状况...........................................................................................................................5
2.3.1无线局域网安全技术...............................................................................................................5 2.3.2无线局域网安全隐患...............................................................................................................7 家庭无线局域网方案设计..............................................................................................................................7
3.1 需求设计...............................................................................................................................................7 3.2 IEEE802.11无线局域网设备介绍.....................................................................................................8 3.3无线AP的配置.....................................................................................................................................8 3.4无线网卡设置.......................................................................................................................................9 结论及存在的问题............................................................................................................................................10 参考文献.............................................................................................................................................................11 致
谢................................................................................................................................................................13
河北司法警官学院 绪论
1.1选题背景
近年来,信息技术的发展日新月异,正以不可抗拒的力量改变着人们的生产方式、生活方式,目前除少数家庭外,大部分家庭都实现了家庭网络的普及。随着家庭网络的进一步普及,硬件环境逐渐完善,家庭网络的应用也在逐步深化。
时至今日,无线越来越普及,主流配置的笔记本、电脑、手机、PDA等设备都具备了蓝牙和Wi-Fi无线功能,特别是针对无线网络来说,无线越来越贴近我们的生活,尽管现在很多家庭用户都选择了有线的方式来组建局域网,但同时也会受到种种限制,例如,布线会影响房间的整体设计,而且也不雅观等。通过家庭无线局域网不仅可以解决线路布局,在实现有线网络所有功能的同时,还可以实现无线共享上网。凭借着种种优点和优势,越来越多的用户开始把注意力转移到了无线局域网上,也越来越多的家庭用户开始组建无线局域网了。但是对于一些普通的家庭用户来说,如何很好的设计与实现家庭无线局域网,还是一个问题。
如何解决此类问题,已成为家庭无线局域网建设应该考虑的一个问题,传统有线家庭网的“网络盲点”问题,与人们“随时随地获取信息”的新需求之间的矛盾一直困扰着我们,如今随着无线技术的快速发展和日趋成熟,无线网络虽然还不能完全脱离有线网络,但无线网络已经成功的服务于家庭,以它的高速传输能力和灵活性发挥日趋重要的作用。1.2课题研究的目的和意义
随着社会对计算机的依赖性的迅速增加,用户要求的互联的计算机数量更多,类型也更复杂,尤其是这些年出现的手机,平板的一系列电子产品。但传统有线网络由于受设计或环境条件的制约,以不能满足人们的需要。自从上个世纪90年代以来,随着个人数据通信的发展,为了实现任何人在任何时间、任何地点均能实现数据通信的目标,要求传统计算机网络由有线向无线,由固定向移动发展,更进一步实现有线局域网向无线局域网的发展。与有线局域网相比,无线局域网具有移动性高、传输距离长、网络保密性好、开发运营成本低、易扩展、受自然环境影响小,组网方式灵活、管理方便等特点,弥补了传统有线局域网的不足。
1.3 IEEE802.11系列标准
IEEE802.11[1]标准由很多子集构成,它己经历了十多年的发展,目前仍在不断的改进和修订之中,以适应提升网络速度、安全认证、漫游和QoS等方面的要求,它们各有侧重,下面简要介绍这些标准的基本内容。IEEE802.llb-它是802.11协议1999版的修改与补充,也叫Wi-Fi(Wireless Fidelity)。802.llb工作在2.4GHz频段,建立在直接序列扩频(DSSS,Direct Sequence Spread Spectrum)的加强版本CCK(补充编码键控)基础上,河北司法警官学院
它是当前应用最为广泛的WLAN标准。该标准在物理层部分在原来802.11标准的 1Mbit/s,2Mbit/s传输速率之外,增加了5.SMbit/s和 11Mbit/s的高速数据传输速率。IEEE802.1la协议-它工作在5GHzU-NII频带,物理层速率数据速率从6Mbit/s直到54Mbit/s,传输层可达 25Mbit/s。采用正交频分复用(OFDM)的独特的扩频技术;可提供25Mbit/S的无线ATM接口和10Mbit/s的以太网无线帧结构接口,以及 TDD/TDMA的空中接口;支持语音、数据、图像业务。IEEE802.11g-该标准于2003年6月16日正式定案,它工作在2.4GHz频段,使用CCK技术以与802.11b标准后向兼容,同时为支持54Mbit/S的高速率,802.11g又采用了OFDM技术。802.11g的兼容性和高数据速率弥补了802.11a和802.11b各自的缺陷,一方面使得802.llb产品可以平稳向高数据速率升级,满足日益增加的带宽需求,另一方面使得802.11a实现与802.11的互通,克服了802.11a一直难以进入市场主流的难题。1.4国内相关研究现状
目前无线局域网仍处于众多标准共存时期,IEEE发布的最新标准为 802.11g。现在,支持11Mbps以上用户传输速率的系统相当成熟;速率在40MbpS甚至80MbpS及以上的系统实现己在加拿大、美国、欧洲、日本等国家的专门实验室展开。研究的范围从无线电设计、物理层实现、媒体接入控制(MAC)技术直至网络对无线多媒体的支持。根据技术发展趋势和研究情况,在未来10年左右的时间里,为用户提供高达1Gbps速率的系统是可能的。正是这样的发展速度刺激了今天无线网络快速的发展和应用 1.5家庭无线网络的发展前景
家庭无线网络是落实信息化家庭的重要一步,现在无线网络在技术上已日益成熟, 有着非常光明的前途, 在家庭中的应用将会有更引人入胜的前景。无线网络为通信的移动化、个性化和多媒体应用提供了可能。目前全世界每天新增无线网用户约3 万人,全球总数量已超过4亿。随着3G技术的成熟与国家产业政策的扶持,我国也正在大规模建设3G无线互联接入网络, 中国电信、中国移动、中国联通相继推出3G 网络应用,今后无线网络将会有更广泛的发展空间。
无线局域网设计特点、安全状况及方案设计方式。
河北司法警官学院 无线局域网的特点
2.1无线网络特点 2.1.1 传输方式
传输方式涉及无线网采用的传输媒体、选择的频段及调制方式。目前无线网采用的传输媒体主要有两种,即无线电波与红外线。在采用无线电波作为传输媒体的无线网根据调制方式不同,又可分为扩展频谱方式与窄带调制方式。
(1)扩展频谱方式 在扩展频谱方式中,数据基带信号的频谱被扩展至几倍至几十倍后再被搬移至射频发射出去。这一作法虽然牺牲了频带带宽,却提高了通信系统的抗干扰能力和安全性。由于单位频带内的功率降低,对其它电子设备的干扰也减小了。采用扩展频谱方式的无线局域网一般选择所谓ISM频段,这里ISM分别取于Industrial,Scientific及Medical的第一个字母。许多工业、科研和医疗设备辐射的能量集中于该频段,例如美国ISM频段由902MHz-928MHz,2.4GHz-2.48GHZ,5.725GHz-5.850GHz三个频段组成。如果发射功率及带宽辐射满足美国联邦通信委员会(FCC)的要求,则无须向FCC提出专门的申请即可使用ISM频段。
(2)窄带调制方式 在窄带调制方式中,数据基带信号的频谱不做任何扩展即被直接搬移到射频发射出去。与扩展频谱方式相比,窄带调制方式占用频带少,频带利用率高。采用窄带调制方式的无线局域网一般选用专用频段,需要经过国家无线电管理部门的许可方可使用。当然,也可选用ISM频段,这样可免去向无线电管理委员会申请。但带来的问题是,当临近的仪器设备或通信设备也在使用这一频段时,会严重影响通信质量,通信的可靠性无法得到保障。
(3)红外线方式 基于红外线的传输技术最近几年有了很大发展。目前广泛使用的家电遥控器几乎都是采用红外线传输技术。作为无线局域网的传输方式,红外线的最大优点是这种传输方式不受无线电干扰,且红外线的使用不受国家无线电管理委员会的限制。然而,红外线对非透明物体的透过性极差,这导致传输距离 2.1.2网络拓扑
要组建一个无线局域网,设备是它的重要的硬件基础。然而无线局域网设备有很多,而且在实际的产品设计和发展过程中,产品提供商不断为这些设备提供新的功能。往往一种产品的形态,在不同的环境和配置下会体现不同的功能。在不同的应用中,也会需要不同的设备。就一个简单的无线局域网而言,一般包括无线局域网客户端和无线局域网基站。无线局域网客户端的作用是与无线基站进行管理关联,使设备具有无线接入功能并接入到无线局域网中进行通信。它包含了多种类型的设备,但最常见的是具有各种接口类型的无线网卡。无线局域网基站设备指的是处于网络拓扑中心位置的设备,通常按功能划分为无
河北司法警官学院
线局域网接入点、无线局域网桥、无线局域网路由器。这些功能上的划分,有时仅仅是一种工作模式上的划分,设备硬件本身并没有区别,也就是说,在同一设备上有可能实现多种功能。无线网卡包括PCMCIA,ISA,PCI和USB等,提供与有线网卡一样丰富的系统接口。在有线局域网中,网卡是网络操作系统与网线之间的接口。在无线局域网中,它们是操作系统与天线之间的接口,用来创建透明的网络连接。在无线局域网中最一般的构成PCMCIA无线网卡,通常被简称为“PC”卡,通常被用在笔记本计算机上。
无线接入点提供一个无线客户端设备进入无线局域网的“接入点”,是协调无线与有线网络之间通信的关键部件。它在无线局域网和有线网络之间接收、缓冲存储和 传输数据,以支持一组无线用户设备。接入点通常是通过标准以太网线连接到有线网络上,并通过天线与无线设备进行通信。在有多个接入点时,用户可以在接入点之间漫游切换。接入点的有效范围是20-500m。根据技术、配置和使用情况,一个接入点可以支持15~250个用户,通过添加更多的接入点,可以比较轻松地扩充无线局域网,从而减少网络拥塞并扩大网络的覆盖范围。目前无线局域网的组网方式主要有点对点模式、基础架构模式、多AP模式、无线网桥模式和无线中继器模式五种组网方式。点对点模式也称为 Ad hoC模式,该模式要求网中的任意两个无线客户端之间均可直接通信,网络中的所有无线客户端的地位平等,无需设置任何的中心控制节点。每个无线客户端均配有无线网卡,但不连接到接入点和有线网络,而是通过无线网卡相互间进行通信。点对点中的一个无线客户端必须能同时“看”到网络中的其他无线客户端,否则就认为网络中断。它主要用来在没有基础设施的地方快速而轻松地建无线局域网。点对点模式的组网模式。
基础架构模式是目前最常见的一种架构,这种架构包含一个接入点和多个无线终端,接入点一方面可以通过电缆连线与有线网络建立连接,一方面可以通过无线电波与无线终端连接,实现了无线终端之间的通信,以及无线终端与有线网络之间的通信。基础架构网络的组网模式。该图由无线访问点(AP),无线工作站(STA)以及分布式系统(DSS)构成,覆盖的区域称基本服务区(BSS)。无线访问点也称无线hub,用于在无线STA和有线网络之间接收、缓存和转发数据,所有的无线通讯都经过AP完成。无线访问点通常能够覆盖几十至几百用户,覆盖半径达上百米。AP可以连接到有线网络,实现无线网络和有线网络的互联。
多AP模式是指由多个AP以及连接他们的分布式系统组成的基础勾结模式网络,也称为扩展服务区。扩展服务区中的每个AP都是一个独立的无线网络基本服务区,所有AP共享同一个扩展服务区标示符(ESSID)。虽然在802.11标准中并没有定义分布式系统,但现在大都是指以太网。相同ESSID的无线网络间可以进行漫游,不同ESSID的无线网络形成逻辑子网。
2.2几种主要的WLAN技术
(1)IrDA IrDA(Infrared Data Association)是一种利用红外线进行点到点通信的技术。其优点是体积小,功率低,传输速率可达16Mbps,成本低。超过95%的手提电脑安装了IrDA接口。市场上推出了可以通过USB接口与PC相连的USB-IrDA设备。IrDA是一种视
河北司法警官学院
距传输技术,通信设备间不能有阻挡物。不适合多点到点通信。另外IrDA的核心部件——红外线LED还不是一种耐用器件。
(2)BlueTooth BlueTooth技术是用于数字设备间的低成本、近距离传输的无线通信连接技术。其程序写在微型芯片上,可以方便地嵌入到设备之中。BlueTooth技术工作在2.4GHz频率上。采用调频技术,理想连接范围为10cm~10m,带宽为1Mb/s。(3)802.11/802.11a/b/g 采用802.11协议族的WLAN设备以其覆盖距离广,传输速率高的特点,成为了市面上的主流产品,将是本文介绍的重点。2.3无线局域网安全状况
由于无线局域网通过无线电波在空中传输数据,所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。无论接触数据者是在另外一个房间、另一层楼或是在本建筑之外,无线就意味着会让人接触到数据。与此同时,要将无线局域网发射的数据仅仅传送给一名目标接收者是不可能的。而防火墙对通过无线电波进行的网络通讯起不了作用,任何人都可以截获和插入数据。
因此,虽然无线网络和无线局域网的应用扩展了网络用户的自由,它安装时间短,增加用户或更改网络结构时灵活、经济,可提供无线覆盖范围内的全功能漫游服务。然而,这种自由也同时带来了新的挑战,这些挑战其中就包括安全性。无线局域网必须考虑的安全要素有三个:信息保密、身份验证和访问控制。如果这三个要素都没有问题了,就不仅能保护传输中的信息免受危害,还能保护网络和移动设备免受危害。难就难在如何使用一个简单易用的解决方案,同时获得这三个安全要素。影响无线局域网安全的问题主要在以下方面: 数据保密。无线LAN网络通信安全会受到几方面的危害,例如传输中数据被人查看或捕获,传输中数据被人改动、重新发送。
访问和验证。每个访问点形成了通向网络的一个新的入口。正因为如此就会受到下列漏洞的威胁:首先,未授权实体进入网络,浏览存放在网络上的信息,或者是让网络感染上病毒。其次,未授权实体进入网络,利用该网络作为攻击第三方网络的出发点(致使受危害的网络却被误认为攻击始发者)。第三,入侵者对移动终端发动攻击,或为了浏览移动终端上的信息,或为了通过受危害的移动设备访问网络。2.3.1无线局域网安全技术
在开始应用无线局域网时,应该充分考虑其安全性。常见的无线局域网安全技术有以下几种: 服务集标识符(SSID)通过对多个无线接入点AP设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。
河北司法警官学院
物理地址(MAC)过滤
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物理地址过滤。
有线等效加密(WEP)在链路层采用RC4对称加密技术,用户的密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授权用户的监听以及非法用户的访问。
计算校验和(Check Summing)(1)对输入数据进行完整性校验和计算。
(2)把输入数据和计算得到的校验和组合起来得到新的加密数据,也称之为明文,明文作为下一步加密过程的输入。
加密。在这个过程中,将第一步得到的数据明文采用算法加密。对明文的加密有两层含义:明文数据的加密,保护未经认证的数据。
(3)将24位的初始化向量和40位的密钥连接进行校验和计算,得到64位的数据。(4)将这个64位的数据输入到虚拟随机数产生器中,它对初始化向量和密钥的校验和计算值进行加密计算。
(5)经过校验和计算的明文与虚拟随机数产生器的输出密钥流进行按位异或运算得到加密后的信息,即密文。
将初始化向量和密文串接起来,得到要传输的加密数据帧,在无线链路上传输
无线设备接收到一个加密数据包ENCRYPTED后,首先会提取出IV,再把它与共享密码合并。其结果值用于重建KSA 中使用的RC4 状态,后者由PRGA 用于创建Keystream。然后这个流与密文进行XOR 运算,从而还原明文P1',明文中包含数据和数据的CRC-32 值,最后,数据被分离出来,并应用CRC 算法创建一个新的CRC-32 值,与原来的CRC-32值进行比较。若两者相符则数据有效;否则丢弃。
WEP的密钥是可以被解出来的。所以在安全性要求比较高的企业和部门,可以采用802.1X认证或者WPA 客户端向接入设备发送一个EAPOL-Start 报文,开始802.1x 认证接入
接入设备向客户端发送EAP-Request/Identity 报文,要求客户端将用户名送上来;(3)客户端回应一个EAP-Response/Identity 给接人设备的请求,其中包括用户名;(4)接入设备将EAP-Response/Identity 报文封装到RADIUSAccess.Request 报文中,发 送给认证服务器;
(5)认证服务器产生一个Challenge,通过接人设备将RA DIUSAccess—Challenge 报文发 送给客户端,其中包含有EAP-Request/MD5-Challenge;
(6)接入设备通过EAP-Request/MD5-Challenge 发送给客户端,要求客户端进行认证;(7)客户端收到EAP-Request/MD5-Challenge 报文后,将密码和Challenge 做MD5 算法后 的Challenged-Password,在EAP-Response/MD5-Challenge 回应给接入设备;(8)接入设备将Challenge,Challenged Password 和用户名一起送到RADIUS 服务器,由 RADIUS 服务器进行认证;
(9)RADIUS 服务器根据用户信息,做MD5 算法,判断用户是否合法,然后回应认证成 功/失败报文到接入设备。如果成功,携带协商参数,以及用户的相关业务属性给用户授
河北司法警官学院
权。如果认证失败,则流程到此结束;
(10)如果认证通过,用户通过标准的DHCP 协议(可以是DHCPRelay),通过接入设备获取规划的IP 地址;
(11)如果认证通过,接入设备发起计费开始请求给RADIUS 用户认证服务器;
(12)RADIUS 用户认证服务器回应计费开始请求报文。用户上线完毕 WPA 显著改善了WEP 的安全性能,并且可以与原有采用WEP 协议的Wi-Fi 产品兼容。Wi-Fi 联盟2003 年4 月在一份文件中为WPA定义了一个公式: WPA=802.1x+EAP+TKIP+MIC(2-5)这个公式大致说明了WPA 对原有WEP 协议的主要:引入临时密钥完整性协议TKIP[4](Temporal Key Integrity Protocol),加强了密钥破解的难度。TKIP 与WEP 一样基于RC4 流加密算法,但是将密钥位数从40 位增加到128 位,将IV的长度也由24 位加长到48 位,并采用动态生成以及通过认证服务器来分配的多组密钥取代了WEP 的单一静态密钥。TKIP使用一种密钥层以及一套密钥管理方法,去掉了入侵者通过可预测性来破解的部分。
2.3.2无线局域网安全隐患
服务集标识符(SSID)只是一个简单的口令,只能提供一定的安全;而且如果配置AP向外广播其SSID,那么安全程度还将下降。
物理地址(MAC)过滤要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这也是较低级别的授权认证。
有线对等加密(WEP)提供了40位(有时也称为64位)或128位长度的密钥机制,但是它仍然存在许多缺陷,例如一个服务区内的所有用户都共享一个密钥,一个用户丢失钥匙将使整个网络不安全。家庭无线局域网方案设计
3.1 需求设计
通过征询用户来了解所要建设的网络需要满足的需求。
(1)功能需求 应该能满足家庭多用户的需求,满足不同电子设备对无线局域网的要求。
(2)性能要求 性能直接决定了家庭无线网络的服务质量,因此必须明确家庭无线网络的性能要求,(3)网络运行环境的要求 根据具体情况而定,如果对网络安全性和服务性能要求较高,一般选择UNIX 类(含Linux、FreeBSD 等)操作系统,因为该系统比较灵活、安全性好、而且服务质量高;而如果要求不高,则可选择微软的Windows Server 2003或Windows Server 2008。在其他软件的选择上则可根据具体应用需求而定,例如Linux 下,若需提供电子邮件服务可使用Qmail、Sendmail 等,架设Web 服务器可使用Apache,提供DNS 服
河北司法警官学院
务一般选择Bind 等。另外还可以根据需要选用账户认证软件、计费软件等。
(4)网络的可扩展性和可维护性要求 家庭无线网络在扩展性和维护性上要求较高:在扩展性上,家庭内无线网络的用户不确定且访问的人数不确定,因此要求较高;在维护上,专业维护人员较少,3.2 IEEE802.11无线局域网设备介绍
无线局域网设备主要有两种,下面分别介绍:(1)无线接入点AP。无线接入点作为无线局域网连接其他有线网络的桥梁,就是一个二端口网桥,这种网桥能把数据从有线网络中继转发到无线网络,也能从无线网络中继转发到有线网络。这种作用使移动设备接收到有线网络里的通信流量,同时也使有线网络上的设备能接收到移动设备的数据。
(2)无线网卡。无线网卡与普通的以太网网卡的作用基本相同,差别是在于前者传送数据是通过无线电波,而后者则是通过一般的网线。无线网卡作为无线局域网的接口,能够实现无线局域网各客户机之间的连接与通讯。目前市场上出现的无线网络卡可根据接目的不同分为 PCMCIA,ISA,PCI,USB四种类型。
室内型无线接入点
AP设备为TL-641G/642G 108M无线宽带路由器,其采用了802.11g协议的增强模式,可以提供高达108MbpS的信道带宽,同时支持802.llb和802.11g协议的用户适配器,并支持先进的WDS(无线分布式网络)技术,可支持AP覆盖和网桥功能。室外型设备采用RG-P-780高性能双路双频三模基站型AP,该设备通过双路 802.11g可支持108MbpS信道带宽,并可提供 802.1la/b/g三频技术,提供基于 802.1Q VLAN划分,同时可适应-40℃一+65℃的高温度范围,可完全提供大量的并发用户流畅的上网访问 3.3无线AP的配置
(1)设备的连接: 使用一台笔记本,用一根网线将笔记本的网络接口和无线路由器的LAN接口进行连接。
打开“控制面板”→“网络连接”中,单击右键“本地连接”,在右键菜单中选择“属性”命令,打开“Internet 协议属性”对话框。在此我们对该电脑的“本地连接”进行IP设置,笔记本电脑的IP地址设置为和无线路由器在同一IP段,如,无线路由器默认的IP地址为192.168.1.1,那么该电脑的本地连接的IP地址为192.168.1.2等。在“默认网关”中输入无线路由器的IP地址。随后单击“确定”即可。
设置后,在IE地址栏中键入无线路由器默认IP地址,如http://192.168.1.1,回车后弹出一个用户登陆界面,如图所示。输入用户名和密码即可登录到配置界面。
选择上网方式:家庭中多用于“自动从网络服务商获取IP地址”。
(2)无线网络基本设置:SSID(无线标识符)是用于无线终端与接入点匹配以获得通信的明文密码,对于初级安全防范有一定作用,且配置快速简单,非常适合室外无线覆盖使用。启用了SSID广播禁止功能后,由于空中不再广播明文的SSID号码,使得那些拥有截
河北司法警官学院
获SSID密码的无线终端非法访问网络。安全方式我们采用目前最常用WEP128位加密方法,以13个ASCII码字符作为密钥使用。
(3)高级安全设置:DoS攻击防范是开启下面几个防范措施的总开关,只有选择此项后,以下的几种防范措施才能生效。下面的几种的防范措施我们全部开启,闭值一般采用了默认值,并且忽略来自WAN口的ping和禁止来自LAN口的ping包通过路由器,使得局域网内的计算机与广域网的计算机不能互相ping通。
(4)控制上网权限:有时候为了控制某些电脑的上网权限,我们可以通过无线路由器来过滤一些局域网内的IP地址和端口方式来达到限制用户的上网权限。单击“访问控制”命令,打开的设置界面,如图2-25所示。程序提供了IP访问设置、URL访问设置、MAC访问设置三个过滤方式。在“IP地址访问设置”中我们可填写不允许连接Internet的局域网IP地址范围。在该范围内的电脑,均不能够上网。如果我们只想限制一些用户的上网操作,如ftp下载等。也可以通过下面的“禁用的端口范围”填写受限端口,如: 20-80这些端口是常用的上网端口。在此我们根据需要进行设置。3.4无线网卡设置
无线网卡设置后,要想正常上网我们还要对无线网卡进行设置。
(1)在笔记本上如果你的无线网卡还没有启用,我们先进行启用。打开“控制面板”→“网络连接”中,单击右键“无线连接”,在右键菜单中选择“启用”,开启无线网卡。之后在任务栏中多出一个“无线网卡”的显示图标
(2)启用无线网卡后,下面我们还要为无线网卡指定IP地址,设置时按照上面的方法打开无线网卡的“Internet 协议属性”对话框,在此指定该无线网卡的的IP地址、子网掩码、默认网管、默认DNS等项即可。
(3)右键单击系统任务栏中的无线连接的图标,在弹出的右键菜单中选择“查找可用无线网络”),在打开的“选择无线连接”窗口中,选择搜索的无线网络,随后单击“连接”,这样该电脑的无线网卡和无线路由已经连接。随后按照上面的方法对其他笔记本进行设置。
河北司法警官学院
结论及存在的问题
无线网络应用于家庭,如同计算机网络应用于家庭一样,是一项系统工程,是实现家庭信息化的有效途径。在家庭无线网络建设中,我们可以借鉴已经实现无线网络家庭的应用经验,力争最大限度的发挥无线网络的功能,使之成为广大家庭得心应手的交流平台和应用平台。虽然无线网络应用广泛,并从根本上解除了网线对电脑的束缚,但是在无线网络的运用过程中,也出现了一些迫切需要解决的问题,其中诸如如何提高无线网络的速率和传输安全性等热点问题。正是由于这些关注,无线网络正朝着更快速、更安全、更廉价的方向发展。
河北司法警官学院
注释
[1]段水福:《无线局域网(WLAN)设计与实践》,杭州浙江大学出版社,2007年,第3页。[2]麻信洛:《无线局域网构建及应用》,北京国防工业出版社,2009年,第3页。[3]、[4]刘乃安:《无线局域网:WLAN原理技术与应用》,西安电子科技大学出版社,2004年,第8页。
[5]陈庆章:《局域网的新形势-无线局域网》,计算机世界,1995年,第3页。[6]Cisco Systems 公司:《无线局域网基础》,人民邮电出版社,2005年,第3页。[7]、[8]同上,第3页。[9]李志球:《计算机网络基础》,北京电子工业出出版社,2006年,第4页。[10]、[11]、[12]曹秀英:无线局域网安全技术.电信技术,2003 [13]、同上,第7页。[14]、[15]周靖等:无线网络安全.第1版.北京:电子工业出版社,2004
河北司法警官学院
参考文献
①邓永红:详述无线局域网安全协议.有线电视技术,2004 ②Kavel Pahlavan,Prashant Krishnamurthy著,刘剑、安晓波、李春生等译,无线网络通信原理与应用.Princeples of Wireless Networks,2002 ③曹秀英:无线局域网安全技术.电信技术,2003 ④刘乃安:无线局域网——原理,技术及应用[M].西安电子科技大学出版社,2004.⑤张振川:无线局域网络.沈阳:东北大学出版社,2003 ⑥周靖等:无线网络安全.第1版.北京:电子工业出版社,2004 ⑦金纯、郑武、陈林星:无线网络安全一一技术与策略.第1版.北京:电子工业出版社,2004 ⑧金纯、陈林星、杨吉云:IEEE802.11无线局域网.第1版.北京:电子工业出版社,2004 ⑨周贵堂:无线局域网密钥管理机制研究.福州大学硕士研究生学位论文,2005 ⑩李翠然、李承恕:浅析无线局域网的主要标准.中国数据通信,2003
河北司法警官学院
致
谢
时间过得很快,几个月来的毕业设计已经接近尾声了,在这个过程中我感受到了艰辛,也感受到了解决问题后的那种成就感与喜悦感。我充分运用到了大学中所积累的知识,同时我也发现自己在很多方面的不足,知识积累还不够全面。通过此次的毕业论文,我的知识量确实也增加了不少。感谢老师在我学习、工作研究上给予了无微不至的关心和帮助。对我的耐心指点和不倦教诲,使我加深了对问题的思考,拓宽了对问题的研究思路。同时在此也要感谢学校的各位授课老师对我们的关心教导。
点击咨询 