校园网站的设计毕业设计论文(编辑修改稿)

校园网站的设计毕业设计论文(编辑修改稿)内容摘要：

聚合 可以在单台交换机中进行配置，支持聚合通道内部的负载均衡。 从核心层到汇聚层使用多条 多模光纤连接到汇聚层交换机，并实现端口聚合。 汇聚层起着承上启下的作用，负责对各种接入的汇聚，并可在该层实现对于用户的访问 控制，以及对用户的网络管理。 因此，汇聚层应考虑三层智能交换机。 在本方案中，共部署三台锐捷网络自主研发的 RGS6806E 模块化骨干路由交换机。 在汇聚层使用三层交换机的 目 的是为了减轻核心层的负担。 接入层应该能够实现对用户的访问控制，并具有较强的安全和 QOS 控制功能，支持 的认证计费，支持千兆上联 支持 SMNP 的网管。 同时 为满足学生宿舍网的高端 口密度接入的需求 接入层应考虑二层智能型可堆叠交换机。 因此，在接入层部署了锐捷网络的 STARS2126G/STARS2150G 智能型可堆叠交换机。 同时为了保证宿舍网内部网的安全 , 在内网和外网之间增加硬件防火墙，接在 INTERNET/CERNET 出口的位置 ,根据安全需求可将校园网分为内部网、外部网与 DMZ 区 等，以保护校园网的安全，防止恶意用户的攻击。 为了统一网络管理和监控，在网络中心配 置 StarView 管理平台可以对设备进行集中的管理，包括网络拓扑发现、配置管理、性能管 理、事件管理，实现全网设备的管理。 在网络中心两台核心交换机各通过两条千兆链路连接校园图书馆子网，两台核心交换机间业务量增大时，也可考虑通过上行双链路 Trunk 来连接。 其中公寓干网以千兆链路下联至公寓楼宇交换机 STARS2126G/STARS2150G；同时网络中心通过千兆连接专项课题研究楼 子网；在网络中心核心 交换机通过千兆链路连接行政 / 教 学 楼 子 网 交 换 机。 以 千 兆 链 路 下 联 至 楼 宇 交 换 机 STARS2126G/STARS2150G；计算中心子网及应用服务器群另在网络中心通 过千兆链路下行连接。 实现百兆交换到桌面。 用户上网方案 (1) 访问校园网 用户在连接到网络中时，首先获得是校园网的 IP 地址，此时用户只能访问校园网内部 的资源，并且对用户不计费。 在该方案中， S6810E 和 S6806E 起到三层交换机的功能，校园网用户之间的互访都必须通过 S6810E 和 S6806E 进行。 9 (2) CERNet 用户需要访问 CERNet 时，使用 CERNet 的域名 ,获得 CERNet 的地址后，就可以访问。 (3) INTERNET 用户需要访问 INTERNET 时，使用 INTERNET 的域名，获得 INTERNET 的地址后就可以访问。 IP 地址规划和路由设计 (1) IP 地址规划 IP 地址规划是整个网络设计中的重要组成部分，地址规划的科学性和合理性将直接反 应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。 好的地址规划同科学的分层网 络拓扑设计相辅相承，共同形成整体的 网络设计解决方案。 合理的网段划分结合灵活的 VLAN 规划，可以有效地降低网络风暴的产生，保证整个网络的稳定，同时也起到一定的网络安全功能。 ● IP 地址规划目标 建立高效的网络路由；有效利用有限的 IP 地址资源； 支持网络的扩展； 支持网络技术的演变和发展。 ● IP 地址规划原则 简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式； 连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)及 CIDR(Classless InterDomain Routing)技术缩减路由表的表项，提高路由器的处理效率； 可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性； 灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化； 可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。 安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。 ● 校园网地址规划方案 校园网 IP 地址分配总则 校园网 IP 地址分为三大块： 校园网内部的私有 IP地址，采用 RFC 中规定的地址段， 不能访问 Inter 和 Cer； Cer 分配的多个 C 类公网 IP 地址，作为和国际互联网互连的地址，域名 就解析在这片地址上，主要供网络中心和图书馆、部分实验室专用； 运营商分配的公网 IP地址，用于访问 Inter。 关键服务器拥有两个公网 IP，分别跨接在 Cer 和Inter 上。 校园网内部私网 IP 地址的分配内部地址的分配原则是按建筑物进行的，视用户的数量， 1/ 1/整个 C 的划分。 为了安全考虑对所有的都采用静态分配 IP 地址，为防止地址盗用，采用 IP 地址、 MAC 地址 与端 口绑定。 ● IP 地址的分配 用户的计算机在连接到校园网上时，首先获得一个校园网内部的 IP 地址，此时该计算 机只能访问校园网内部。 用户需要访问 Cer 和 Inter，要使用帐号登陆，认证通过后才能访问。 (2) 路由设计 ● 校园网路由设计 不使用默认路由，使用策略路由，防止从 Inter 访问校园网。 ● Inter 路由设计 采用静态默认路由协议访问 Inter， 为了实现路由的备份，配置到 Inter 的两条默认路由，两条路由的优先级可以相同， 可以不同。 10 如果相同，则两条 线路采取负载分担方式。 如果不同，则是主备方式，其中优先级高的称为主路由，优先级低的为备份路由。 这样，正常情况下，路由器采用主路由发送数据。 当线路发生故障时，该路由自动隐藏，路由 器会选择余下的优先级最高的备份路由作为数据发送的途径。 这样，也就实现了主路由到备 份路由的切换。 当主路由恢复正常时，路由器恢复相应的路由，并重新选择路由。 由于该路 由的优先级最高，路由器选择主路由来发送数据。 采用源地址路由，让 Inter 地址访问 Inter； 采用 ACL，防止访问 Cer 的流量通过 Inter； 采用 ACL，防止来自校园网的 Inter 地址。 安全与流量控制 (1) 网络安全控制 ●对端口 ARP 检查防止 ARP 攻击； ●对端口安全： MAC 动态地址锁， MAC 地址静态绑定； ●交换设备 BPDU Guard 功能，过滤非法 BPDU 报文，防止 STP 攻击交换机； ●端口安全：端口静态绑定，自动绑定 IP 和 MAC 地址防止 DOS 攻击； ●智能安全到边缘：多种 ACL，满足不同网络应用，过滤病毒 ● SSH 密文传输，限制管理 IP 等措施保证设备 管理可靠； ●对网络病毒的防范：采用设置 ACL，对病毒进行过滤；我们使用的汇聚、核心交换机都支持 SPOH，通过端口独立的 FFP 进行 ACL 处理，网络设备性 能不受设置 ACL 数目影响； (2) VLAN 需求 默认时，交换机分隔冲突域；路由器分隔广播域。 第 2 层交换式网络的最大好处是，它 为插入到交换机每个端口的每台设备创建了各自的冲突域。 但每一个新的改进通常都会引起 新的问题 —— 用户和设备的数量越大，每台交换机必须处理的广播和数据包就越多。 安全性也是一个问题，因为在典型的第 2 层交换式互 联网络的内部，默认时所有用户都 可以看见所有的设备。 你不能让设备停止广播，也不能让用户不响应广播。 连接到物理网络 的任何人都可以访问位于物理 LAN 上的网络资源，用户只需将其工作站插入到现有的集线器 中，就可以加入某个工作组。 安全性选项只能限于在服务器和其他设备上设置口令。 通过创建虚拟局域网（ VLAN），就可以在一个纯交换式的互联网络中，分隔广播域。 VLAN 是两个部分的逻辑组合：一是网络用户；二是在管理上连接到交换机所定义端口的资源。 如果创建了 VLAN，情况就可以大大改善。 在虚拟创建局域网时，可以 将交换机上的不 同端口分派到不同的子网中，这样就可以在第二层交换式互联网络中创建一些小的广播域。 可以象对待单独的子网和广播域一样来对待 VLAN，这意味着网络上的广播域只在同一个 VLAN 内部的逻辑组的端口之间进行转发。 用 VLAN 来简化网络管理的方式有多种： ●通过将某个端口配置到合适的 VLAN 中，就可以实现网络的添加、移动和改变。 ●将对安全性要求高的一组用户放入 VLAN 中，这样， VALN 外部的用户就无法与他们 通信。 ●作为功能上的逻辑用户组，可以认为 VLAN 独立于它们的物理位置 或地理位置。 ● VLAN 可以增强网络安全性。 11 ● VLAN 增加了广播域的数量，同时减少了广播域的范围。 使用 VLAN 具有以下优点： ● 控制广播风暴 一个 VLAN 就是一个逻辑广播域，通过对 VLAN 的创建，隔离了广播，缩小了广播范围， 可以控制广播风暴的产生。 ● 提高网络整体安全性 通过路由访问列表和 MAC 地址分配等 VLAN 划分原则，可以控制用户访问权限和逻辑网 段大小，将不同用户群划分在不同 VLAN，从而提高交换式网络的整体性能和安全性。 ● 网络管理简单、直观 对于交换式以太网，如果对 某些用户重新进行网段分配，需要网络管理员对网络系统的物理 结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。 而对于采用 VLAN 技 术的网络来说，一个 VLAN 可以根据部门职能、对象组或者应用将不同地理位置的网络用户 划分为一个逻辑网段。 在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网 之间移动。 利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费 用。 在一个交换网络中， VLAN 提供了网段和机构的弹性组合机制。 图 2 VLAN 拓扑图 (3) VLAN 划分设计 VLAN 概述： VLAN（ Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的 12 基础上， 采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。 一个 VLAN 组成 一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网 络用户加入到一个逻辑子网中。 组建 VLAN 的条件 VLAN 是建立在物理网络基础上的一种逻辑子网，因此建立 VLAN 需要 相应的支持 VLAN 技术的网络设备。 当网络中的不同 VLAN 间进行相互通 信时，需要路由的支 持，这时就需要增加路由设备 —— 要实现路由功能，既可采用路由器，也可采用三层交换机 来完成。 划分 VLAN 的基本策略 从技术角度讲， VLAN 的划分可依据不同原则，一般有以下三种 划分方法： ● 基于端口的 VLAN 划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。 该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端 口所连接的设备。 ● 基于 MAC 地址的 VLAN 划分 MAC 地址其实就是指网卡的标识符，每一块网卡的 MAC 地址都是惟一且固化在网卡上的。 MAC 地址由 12 位 16 进制数表示，前 8 位为厂商标识，后 4 位为网卡标识。 网络管理员可按 MAC 地址把一些站点划分为一个逻辑子网。 ● 基于路由的 VLAN 划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。 该方式允许一个 VLAN 跨越多个交换机，或一个端口位于多个 VLAN 中。 就目前来说，对于 VLAN 的划分主要采取上述第 3 种方式，第 2 种方式为辅助性的方 案。 方案特点 (1) 高带宽、高性能 该解决方案是基于标准的二、三层以太网交换技术，技术成熟度非常高。 学校网络中心放置路由交换机上行通过 GE 接至教育网， GE 可以是单模或者多模，由校园网的具体情况而定。 GE 作为整个学校出口带宽可充分满足用户对带宽的要求，使学校出口不再 成为整个校园网用户上网的瓶颈。 在学院网络中心通过下行使千兆链路连接汇聚层交换机。 汇聚层交换机下行 1000M 光纤口连接接入楼宇交换机，百兆交换到桌面， 100M 的带宽可充分满足用户高速上网，视频点播等多种宽带业务。 核心交换机拥有 1000M 出口联接校园网，各层设备全部支持线速交换，给用户提供了真正的高带宽网络，对未来高带宽的宽带业务提供了强大的支撑能力，校园宽带网的发展潜力巨大。 (2) 网络管理 校园网在为广大师生提供便捷、高效的学习、工作环境的同时，也在宽带管理、计费等 方面存在许多问题： ● 网络计费管理功能的单一 ， 随着校园网规模的不断扩大和用户群体的日益增多，原有的单一计费管理功能已不能满足要求。 ● 对带宽资源的大量占用导致重要应用无法进行 ， 对于每个学校来说，它的带宽资源都是有限的。 而上网人数的急增和各种各样在线游戏的流行使有限的带 宽资源不堪重负，由于没有带宽限制和优先级设置，一些重要用户和重要应用得不到必要的带。