[毕业论文]--园区网络规划与设计方案
电 子 科 技 大 学
毕 业 设 计(论 文)
论文题目:园区网络规划与设计方案
学习中心(或办学单位):电子科技大学网络教育学院(西区)
XXXX 称: 讲师
XXX 号: XXXX
专 业:计算机科学与技术
2011年 03月 24日
电 子 科 技 大 学
毕业设计(论文)任务书
题目: 园区网络规划与设计方案 任务与要求:
网络是现代人最常用的交流平台,是人们获取信息、丰富知识和学习交流的重要渠道,所以网络安全及其解决方案在网络中占有非常重要的地位。通过学习了解对网络安全的认识和解决方案分析,并提交完整解决方案。
时间: 2011 年 2 月 24 日 至 2010 年 4 月 6 日 共7 周 教学中心: 电子科技大学网络教育学院(西区) 学生姓名: XXXX 学 号: XXXXX 专业: 计算机科学与技术
指导单位或教研室: 电子科技大学网络教育学院(西区) 指导教师:
XXXXX
职 称: 讲师
电子科技大学网络教育学院制
2011 年 04 月06 日
毕业设计(论文)进度计划表
本表作评定学生平时成绩的依据之一。
电子科技大学毕业设计(论文)中期检查记录表
注:此表同学生毕业设计(论文)一起存档
摘 要
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终。
关键字:网络安全;防御系统;解决方案
Abstract
Along with the rapid development of information technology, many farsighted enterprises realized depends on the advanced technology enterprise itself IT business and operation platform will greatly increase the core competitiveness of the enterprise, the enterprise in brutal competition environment. Management of computer application system, enhance the dependence of computer application system is more dependent on the network. The computer network, the network structure scale unceasingly expands increasingly complex. The computer network and computer application, the normal operation of the system of network security, put forward higher request. Information security should be considered comprehensively, covering the whole level of information system, network, system, application, make a comprehensive prevention data. Information security system models show safety is a dynamic process, a series of technical means shall be complete, safety management through the security of activity.
Key words: network security, Defense system, the solution
绪 论....................................................................................1 第一章 学校网络需求分析................................................................2 第一节 校园网络需求概述...............................................................2 第二节 学校环境概述...................................................................2 一 网络功能需求分析................................................................3 二 网络性能要求....................................................................4 第二章 校园网络总体设计方案.............................................................5 第一节 校园网设计要求.................................................................5 第二节 局域网系统设计方案.............................................................6 第三节 核心层规划.....................................................................8 一 汇聚层规划.....................................................................10 二 接入层规划.....................................................................12 第四节 VLAN概述.....................................................................14 一 VLAN的作用...................................................................15 第五节 VPN概述.....................................................................15 一 VPN决解方案..................................................................16 二 VPN的网络管理................................................................17 第三章 网络维护..........................................................19 第一节 网络管理..................................................................错误!未未
定定
义义
书书
签签
。 。
第二节 远程监控..................................................................错误! 第三节 系统结构......................................................................20 第四章 总 结..........................................................................22 谢 辞..................................................................................24
绪 论
当今社会已步入信息社会,信息成为社会经济发展的核心因素,信息化已成为当今世界潮流。自从1993年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。
近年来国家加快改革教育体系,以教育为立国之本,建设一个高度发达的国家教育体系。为提高我国教育的现代化、建立先进高效的教育体系。提供更为先进的教育手段,学校很有必要建设一个校园网络管理应用系统,这样可以达到校园资源共享、建立完备的数据交换体系、快速的传递信息等目的[2]。顺应无纸教学,无纸办公的发展趋势,充分利用现代化技术来进一步提高教学质量和办公效率,为培养二十一世纪人才提供一个优良的硬件教学环境。计算机网络的迅速发展和普及,改变了整个信息管理的面貌,使信息管理从以单个计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理等,进而推动了管理、科研及教学事业的发展。
第一章 学校网络需求分析
第一节 校园网络需求概述
早期,各高校的信息化主要集中于多媒体网络教室、公共计算机室的基础设施建设。随着高校校园网、城域网、电子图书馆、远程教育系统、e-learning培训系统等一系列新项目和新应用在各高校的陆续启动,我国高等教育信息化建设已经进入了一个深化应用的新时期。
高校校园网在建设初期是为了满足教学科研的需要。随着信息时代的到来,广大师生越来越不满足于只能在办公室、实验室上网,他们对在家里、在宿舍高速上网的要求越来越迫切。当今国内高新的校园网建设开始延伸到教学楼、学生宿舍以及教师家属区。区别于以往校园网单纯的教学区群体,当今的校园网还包括了学生宿舍区群体与教工区群体。高校校园网的用户群体开始多元化,用户需求逐渐多样化。
尤其呈爆炸性增长的是学生宿舍区。目前学生宿舍网建设使得学生数量急剧上升,引起接入端口骤增,网络中大量音频与视频数据的存在,势必要求保证网络传输无阻塞,高效地管理庞大的网络并降低网络管理成本也是当务之急。
第二节 学校环境概述
本校是一所学院系市属高校是浙江省较早开展高等职业教育的院校之一。学院现有在校生8000余人,教职工500余人。设机电工程、管理工程、信息电子、化学工程、艺术5个系,基础、体育、中专3个部和继续教育学院。学院硬件设施齐全;图书馆总藏书量达39.5万册;教学用计算机共4000余台;中心机房20余个,语音教室八个336座;多媒体教室达上百个;建有校内实验实训室79个。楼群分布主要有:教学楼群分为一至五号教学楼,呈平行分布,平行距离为50米。政行大楼、现代信息大楼(学校网络中心)呈对称分布,两个实验楼群分别分布在政行大楼与现代信息大楼两侧。
为适应教育现代化和学校信息化建设的需要,浙江科技学院准备全面改造整个校园网,旨在为我校师生提供一个先进、可靠、安全的计算机网络教学和科研环境,促进学校与外界的信息交流、资源共享和科研合作,支持学校的教学、科
研和学校各项管理工作。
整个校园网建设覆盖范围主要包括网络中心以及一至五号教学楼、两个实验楼群、电子图书馆、行政楼、现教大楼、学生公寓楼群和教师公寓楼群等等。 第三节 校园网络功能分析 一 网络功能需求分析
计算机网络的应用很多,最基本的作用是数据通信、资源共享、分布处理。在校园网络建设中具体包括功能以下几点:
1、数据通信:该功能实现计算机与终端、计算机与计算机间的数据传输,包括文字信件、新闻消息、咨询信息、图片资料等。这是计算机网络的基本功能。 2、资源共享:网络上的计算机彼此之间可以实现资源共享,包括硬件、软件和数据。信息时代的到来,资源的共享具有重大的意义。
3、办公自动化OA:按计算机系统结构来看是一个计算机网络,第个办公室相当于一个工作站。它集计算机技术、数据库、局域网、远距离通信技术以及人工智能、声音、图像、文字处理技术等到综合应用技术之大成,是一种全新的信息处理方式。办公自动化系统的核心是通信,其所提供的通信手段主要为数据/声音综合服务、可视会议服务和电子邮件服务。
4、BBS:电子公告板是一种发布并交换信息的在线服务系统。BBS可以使更多的用户通过电话线以简单的终端形式实现互联,从而得到廉价的丰富信息并为其会员提供网上交谈、发布信息讨论问题、传送文件、学习交流等机会和空间。
5、远程传输:计算机应用的发展,已经从科学计算到数据处理,从单机到网络。分布在很远位置的用户可以互相传输数据信息,互相交流,协同工作。 网络的建设可以大大扩展计算机系统的功能,扩大其应用范围,提高可靠性,为用户提供方便,同时也减少了费用,提高了性能价格比。
综上所述,计算机网络首先是计算机的一个群体,是由多台计算机组成的,每台计算机的工作是独立的,任何一台计算机都不能干预其他计算机的工作,例如启动、关机和控制其运行等;其次,这些计算机是通过一定的通信媒体互连在一起,计算机间的互连是指它们彼此间能够交换信息。网络上的设备包括微机、小型机、大型机、终端、打印机,以及绘图仪、光驱等设备。用户可以通过网络共享设备资源和信息资源。网络处理的电子信息除一般文字信息外,还可以包括
声音和视频信息等。
二 网络性能要求
网络的可靠性:网络必须能够保证长期连续的运行,达到24小时不间断,无故障,稳定运行。网络的局部问题不能影响大网络的运行。
网络的可扩展性服务:满足浙江科技学院在将来3~5年的快速增长的需要,骨干节点设备的性能具有向上扩展的能力,以备将来更高带宽和应用的需要。
网络的安全性:保证用户对网络资源访问的合法性,由于整个学院的管理事务都将放在校园网上,不同部门的重要数据将要求绝对安全,可访问与不可访问将严格限制。校园网和互联网之间的数据流也将严格限制。
网络的可管理性:整个校园网将采用集中式管理,能够配置、监视、统计、管理网络的有效运行,并能找出网络节点的故障所在,迅速恢复用户的应用。
网络的实用性:建网时应充分考虑利用和保护现有资源,充分发挥设备效益,要保证系统和应用软件全中文界面且功能完善,界面友好,兼容性强,使用户最方便地实现各种功能。
网络的适应性:采用积木式模块组合和结构化设计,使系统配置灵活,使网络具有强大的可增长性和强壮性,方便管理和维护。
网络的开放性:系统设计应采用开放技术、开放结构、开放系统组件和开放用户接口,以利于网络的维护、扩展升级及与外界信息的沟通。
第二章 校园网络总体设计方案
第一节 校园网设计要求
1、高性能与技术先进性:校园网网络系统要求具有较高的数据通信能力和较大的带宽;并在主干网上提供较强的可扩展性.为了及时,迅速地处理网络上传送的数据,网络应有较高的网络主干速度.网络设备必须具备高速处理能力,提供高速数据链路,保证网络高吞吐能力,满足各种应用(如:视频会议系统)对网络带宽的需求;在各部门的工作组中采用交换技术,以保证在工作中网络的快速响应速度,用于提供较高的工作效率。
2、高可靠性:网络要求具有高可靠性,高稳定性和足够的冗余,提供拓扑结构及设备的冗余和备份,为了防止局部故障引起整个网络系统的瘫痪,要避免网络出现单点失效.在网络骨干上要提供备份链路,提供冗余路由.在网络设备上要提供冗余配置,设备在发生故障时能以热插拔的方式在最短时间内进行恢复,把故障对网络系统的影响减少到最小。
网络主干交换机等网络结点关键设备必须具备一定的容错能力.关键结点设备运行中出现故障后,能够有效,及时地进行故障恢复;要求结点设备的设置,恢复过程必须在短时间内迅速完成.基本配置的终端方式操作要简单,结点内部的配置内容可以通过笔记本电脑采用TCP/IP协议下载保存,或是上载恢复。
3、安全性:校园网网络作为一个支持众多用户,同时和CERNET存在连接的网络,网络安全性在整个网络中是个很重要的问题,我们应该采用一定手段控制网络的安全性,以保证网络正常运行.网络中应采取多种技术从内部和外部同时控制用户对网络资源的访问.可以用身份认验证,VLAN划分等技术有效地控制内部用户的行为,比如杜绝对IP地址的盗用和侦听用户口令等,同时也能够利用防火墙控制外部人员对网络的访问;网络系统还应具备高度的数据安全性和保密性,能够防止非法侵入和信息泄漏。
4、可管理性:强有力的网管软件是有效地进行网络管理的助手,网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备
的管理及配置.灵活的设置每个用户对Internet访问功能,能够对每个用户实行管理;并且能够实现复杂的计费管理。
5、可扩充性:随着用户应用规模的不断扩大,要求网络可以方便地扩充容量,支持更多的用户及应用;随着网络技术的不断发展,网络必须能够平滑地过渡到新的技术和设备,保证用户现有的投资。
6、VLAN划分:在网络主干中要支持三层交换及VLAN划分.根据管理以及各部门智能的分配或用户定义的其它策略进行相应的VLAN的灵活划分,在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性.网络中心设备和骨干设备能够提供线速的VLAN之间的路由和高性能的第三层的数据包的处理。
7、对多媒体应用的支持:校园网要求具有数据,图像,话音等多媒体实时通讯能力;并在主干网上提供足够的带宽和可保证的服务质量,满足大量用户对带宽的基本需要,并保留一定的余量供突发的数据传输使用,最大可能地降低网络传输的延迟.整个网络在服务质量(QoS),预留宽带设置,合理进行带宽管理方面应提供优良的品质。
第二节 局域网系统设计方案
局域网交换系统设计的主要模型是三层交换结构模型,即把整个网络设计成为核心层、汇聚层、接入层,三层之间以树形结构连接。核心层的主要作用是以尽可能快的速度传输数据包,所以高的交换能力是核心层交换设备的主要考虑因素;汇聚层的主要作用是与核心层和接入层连接,提供交换通道,实现三层交换和其他控制,汇聚层交换机要求综合智能能力较强;接入层的作用是接入用户端工作站,接入层交换机通常放置于分配线间,对于接入层交换机而言,主要考虑的因素是价格、上连接能力等。
校园网采用光纤为通信介质,采用高速以太网,星型连接,建设中心节点:网络中心。核心层采用两台第三层路由交换机,这两台路由器之间使用链路聚合技术。校内主干千兆,部分主干百兆。选用第三层路由交换机作为交换核心,第三层交换机可以提供线速路由,是解决Internet应用造成路由瓶颈问题的一种可行方案。汇聚层每个子网采用两台三层交换机汇接到网络信息中心的核心交换机上。接入层交换机与对应汇聚层两台交换机分别相连。
在此设计中有一个大的缺点:就是在核心与汇聚之间为了提供冗余,都采用两个相同的核心与汇聚交换机,这样的冗余拓扑设计使用网络具有容错能力,不会因为单个链路、端口或连网设备失效而导致整个网络的瘫痪。但是基于交换机的冗余拓扑,容易受到广播风暴、帧的反复传和介质访问控制数据库不稳定的影响。所以在网络设计中采用生成树协议(STP)来防止这些情况的发生。并且在两个核心交换机之间采用链路聚合,设备之间传输带宽为全双工,使困扰网络设计和实施的瓶颈问题得到一定程度上的解决。
一 校园网的拓扑结构图
图
3.1
图 3.2
第三节 核心层规划
核心层考虑到核心层应该具有数据快速转发、路由等主要功能,采用Cisco 6500系列三层交换机,配置第三层路由功能模块。核心层节点间可通过若干千兆端口以Channel方式互联,每个核心层节点通过千兆端口与所有汇聚层Cisco Catalyst 3750三层千兆以太网交换机互联,组成星形结构,有助于获得安全保障,同时可提高带宽,以便为用户提供安全高速的数据传输通道。
Catalyst 6500是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层交换的不端增长的需求而设计的。提供了出色的可扩展性和性能/价格比,能够支持广泛的接口密度、性能以及高可用性选项。Cisco Catalyst 6500系列能够通过多种机箱配置和LAN/WAN/MAN接口提供可扩展的性能和端口密度。
Cisco Catalyst 6500系列交换机提供3插槽、6插槽、9插槽和13插槽的机箱,以及多种集成式服务模块,包括数千兆位网络安全性、内容交换、语音和网络分析模块。从48端口到576端口的10/100/1000以太网布线室到能够支持192个1Gbps或32个10Gbps骨干端口,提供每秒数亿个数据包处理能力的网络核心,Cisco Catalyst 6500系列能够借助冗余路由与转发引擎之间的故障切换功能提高网络正常运行时间。
Cisco Catalyst 6500系列的优点:
1、在端到端Cisco Catalyst6500系列部署中的操作一致性
3插槽、6插槽、9插槽和13插槽机箱配置使用相同的模块、软件和网络管理工具。可部署在网络的任意地方--从布线室到核心、数据中心和广域网边缘。
提高网络正常运行时间,提高网络弹性,提供数据包丢失保护,能够从网络故障中快速恢复,能够在冗余控制引擎间实现快速的1~3秒状态故障切换,提供可选的高性能Cisco Catalyst 6500系列Supervisor Engine 720、无源背板、多引擎的冗余;并可利用Cisco EtherChannel技术、IEEE 802.3ad链路汇聚、IEEE 802.1s/w和热备份路由器协议/虚拟路由器冗余协议(HSRP/VRRP)达到高可用性。
2、集成式高性能的网络安全性和网络管理
不需要部署外部设备,直接在6500机箱内部署集成式的千兆位的网络服务模块,以简化网络管理,降低网络的总体成本。这些网络服务模块包括:
数千兆位防火墙模块--提供接入保护。高性能入侵检测系统(IDS)模块--提供入侵检测保护。千兆位网络分析模块--提供可管理性更高的基础设施和全面的远程超级(RMON)支持。高性能SSL模块--提供安全的高性能电子商务流量终结。千兆位VPN和基于标准的IP Security(IPSec)模块--降低的互联网和内部专网的连接成本。
3、可扩展的性能
利用分布式转发体系结构提供高达400Mpps的转发性能。支持多种Cisco Express Forwarding(CEF)实现方式和交换矩阵速率。在布线室、核心、数据中心、广域网边缘部署以及电信运营商网络均可提供最优配置。将安全和内容等高级服务与融合网络集成在一起,提供从10/100和10/100/1000以太网到万兆以太网,从DS0到OC-48的各种接口和密度,并能够在任何部署项目中端到端地执行。
4、第3层网络服务
多协议第3层路由支持满足了传统的网络要求,并能够为企业网络提供平滑的过渡机制。硬件支持的从企业级到电信运营商级的大规模路由表,硬件支持IPv6,并提供高性能的IPv6服务,在硬件中提供MPLS及MPLS/VPN的支持,可应用在高速电信运营商的网络核心和城域以太网,提供丰富的MPLS服务。
5、增强的数据、语音和视频服务
在所有Cisco Catalyst 6500系列平台上提供集成式IP通信, 提供10/100和10/100/1000接口模块,借助在接口模块内增加电源子卡就可让这些接口模块提供在线的电源,提供IEEE 802.3af的支持,保护今天的投资。提供高密度的T1/E1和FXS的VoIP语音网关接口,可与公共电话网(PSTN)、传统的电话、传真和PBX连接,提供VoIP服务。
6、支持高性能的IP组播视频和音频应用
提供一个统一管理的、经济的、可灵活扩展的网络。最高的接口灵活性、可扩展性和端口密度,满足大型关键业务布线室、企业核心层和分布层需要的端
口密度和接口类型,每台设备可提供576个支持语音的,具有在线电源的10/100/1000M铜线接口。提供192个GBIC千兆位以太网接口,万兆以太网接口,和可提供高密度的OC-3 POS接口的通道化的OC-48接口。
一 汇聚层规划
区域汇聚层采用Cisco Catalyst 3750三层全千兆以太网交换机,区域汇聚交换机以双千兆光纤与核心交换机相连,实现接入层与核心层之间的高速、高效中继,提高校园网系统的结构化层次和可管理性;
Cisco Catalyst 3750交换机它结合易用性和最高的冗余性,里程碑地提升了堆叠式交换机在局域网中的工作效率。这个产品系列采用了最新的思科StackWise智能堆叠技术,不但实现高达32Gbps的堆叠互联,还从物理上到逻辑上使若干独立交换机在堆叠时集成在一起,便于用户建立一个统一、高度灵活的交换系统 -- 就好像是一整台交换机一样。这代表了堆叠式交换机新的工业技术水平和标准。
对于中型组织和企业分支机构而言,Cisco Catalyst 3750可以通过提供配置灵活性,支持融合网络模式,已经自动配置智能化网络服务,降低融合应用的部署难度,适应不断变化的业务需求。此外,Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了专门的优化,其中包含多种可以满足接入、汇聚或者小型网络骨干网连接需求的交换机。
主要特性和优点
1、便于使用:“即插即用”配置:一个工作中的堆叠可以自行管理和配置。在用户添加或者移除交换机时,主控交换机会自动地更新所有的路由表,及时地反应堆叠结构的变化。升级信息将同时发送给堆叠的所有成员。
2、可扩展性:快速以太网到千兆位以太网:Cisco Catalyst 3750系列最多可以将9个交换机堆叠在一起,构成一个统一的逻辑单元,其中总共包含468个以太网或以太网供电10/100端口或者252个以太网10/100/1000端口、或9个10GB以太网端口。各个10/100、10/100/1000和10Gb以太网单元可以根据网络的需要任意组合。
3、混和搭配的交换机类型:堆叠可以由Cisco Catalyst 3750交换机的任意组合构成。需要混用10/100、10/100/1000端口以太网供电和布线室汇聚的客户
可以逐步地发展接入环境。当上行链路容量需增加时,客户可向堆叠添加一个配有10GB端口的型号产品,并用已有光纤上的10Gb以太网升级自己的一条千兆位以太网链接,从而方便地升级其带宽。
4、可用性:不中断的第二层和第三层性能:Cisco Catalyst 3750系列可以提高可堆叠交换机的可用性。每个交换机可以充当主控制器和转发处理器。堆叠中的每台交换机都可以充当一个主控交换机,从而为网络控制创建了一种1:N的可用性机制。在某个单元发生故障时(尽管发生这种情况的可能性很小),所有其他单元都可以继续转发流量和保持正常运行。
5、智能组播:利用思科StackWise技术,Cisco Catalyst 3750系列可以为组播应用(例如视频)提供更高的效率。每个数据分组只需要在堆叠互联上发送一次,从而可以为更多的数据流提供更加有效的支持。
6、出色的服务质量:覆盖堆栈和线速:Cisco Catalyst 3750系列可以提供千兆位以太网速度和智能化的服务,从而可以保持所有数据的平稳传输--即使在十倍于正常网络速度时。业界领先的标记、分类和调度机制可以为数据、语音和视频流量提供业界最佳的性能--全部都以线速提供。
7、安全性:对接入环境的精确控制:Cisco Catalyst 3750系列支持一组针对连接性和接入控制、全面的安全功能,其中包括ACL、身份认证、端口级安全和基于身份识别的的、支持802.1x及其扩展的网络服务。
8、单一IP管理:多台交换机共享一个IP地址:每个Cisco Catalyst 3750系列堆叠都作为一个统一的对象进行管理,拥有一个单一的IP地址。单一IP管理可以支持故障检测、虚拟LAN创建和更改、安全和QoS控制等功能。
9、大型帧:为要求很高的应用提供支持:Cisco Catalyst 3750系列可以在10/100/1000配置上支持大型帧,为那些需要使用很大数据帧的高级数据和视频应用提供支持。
10、管理选项:Cisco Catalyst 3750系列可以提供一个用于精确配置、出色的命令行界面(CLI)和用于根据预设模板进行快速配置的思科集群管理套件(CMS)软件,这是一种基于Web的工具。此外,CiscoWorks也可以在整个网络范围内对Cisco Catalyst 3750系列进行管理。
二 接入层规划
接入层 接入层直接面对用户,可在汇接层交换机下采用若干支持802.1q或ISL VLAN功能的二层交换机,在二层交换机上延伸汇接层交换机的VLAN,从而将用户划分在不同的子网里,防止IP地址欺骗,一方面为了安全,一方面便于计费。
固定安装的线速快速以太网桌面交换机Cisco Catalyst 2950系列,可以为局域网(LAN)提供极佳的性能和功能。这些独立的、10/100自适应交换机能够提供增强的服务质量(QoS)和组播管理特性,所有的这些都由易用、基于Web的Cisco集群管理套件(CMS)和集成Cisco IOS软件来进行管理。带有10/100/1000 BaseT上行链路的Cisco Catalyst 2950 铜线千兆位,能够利用现有的5类铜线从快速以太网升级到更高性能的千兆位以太网主干。
以线速性能将终端工作站连接到LAN
由于Catalyst 2950具备8.8Gbps的交换背板和最大4.4 Gbps的数据吞吐率,所以在它把终端工作站和用户连接到公司的LAN上时可以在各个端口提供线速连接性能。
Catalyst 2950交换机支持性能增强特性,如Fast EtherChannel(快速以太通道)和GigabitEtherChannel(千兆位以太通道)技术,可在Catalyst 2950交换机、路由器和服务器之间提供最大4 Gbps的高性能带宽。
将LAN移植到千兆速度
Catalyst 2950T-24为桌面连接准备了两个固定10/100/1000 BaseT(铜线千兆位以太网)上行链路端口,同时还有24个10/100端口。这样,就能够把LAN升级到更高性能的千兆位以太网,而每端口的成本增加量并不大。
特性和关键优点
1、各个端口包括千兆位端口的线速、无阻塞性能。 8.8Gbps交换结构和最大660万包/秒的传输速率,能够保证最大的吞吐量。12或24个10BaseT/100BaseTX自适应端口,每个可为单个用户、服务器、工作组提供最大200Mbps的带宽,完全可以支持对带宽需求苛刻的应用。
2、在硬件上,每个输出端口支持四个队列。
WRR队列算法确保低优先级端口不会被忽视。 严格的优先权安排配置保
证诸如语音等时间敏感的应用能够在交换结构中一直使用快速路径。
3、超级管理能力
简单网络管理协议(SNMP)和Telnet界面可提供综合的带内管理能力,同时,基于CLI的管理控制台可提供详尽的带外管理能力。以每个端口和每个交换机为基础的CiscoWorks Windows网络管理软件能够提供有效的管理能力,可为Cisco路由器、交换机和集线器提供通用的管理界面。内置远程监视(RMON)软件代理程序支持四种RMON组(历史、统计、告警、事件),增强了流量管理、监视和分析能力。交换机端口分析(SPAN)端口利用一个网络分析仪或RMON探测器监视单个端口的流量。自动配置通过使用一个网络根服务器对网络中的多个交换机进行自动安装配置,从而简化了交换机的配置工作。
4、增强的安全性、管理和集成的Cisco IOS特性
Cisco Catalyst 2950交换机有几个不寻常的特点来提高网络性能、可管理性和安全性。网络管理员可以为每个交换机配置最多64个虚拟LAN(VLAN)来获得更高水平的数据安全性和增强的LAN性能。这就保证了数据包只传送到特定VLAN内的工作站,这样相当于在网络上的各组端口之间建立了一个虚拟防火墙,从而减少了广播传输。VLAN主干可以利用标准的802.1Q VLAN主干结构从任何端口创建。每个VLAN生成树(PVST+)允许用户建立冗余的上行链路,通过多重链路分配流量负载。而这些都是通过标准的生成树协议(STP)无法实现的。使用Catalyst 2950交换机,网络管理员可以实现高水平的端口和控制台安全性能。介质访问控制(MAC)基于地址的端口级安全性可以防止未授权的工作站访问交换机。另外,还可以创建静态和动态地址的访问权限,为管理员提供对网络访问的强大控制能力。交换机控制台的多层访问安全性可防止未授权的用户访问或更改交换机配置;终端访问控制器访问控制系统(TACACS+)验证可集中协调大量网络设备的访问控制。
5、完善的服务质量
Catalyst 2950系列能够提供完善的LAN边缘QoS,。所有的Catalyst 2950交换机支持两种模式的重新分类方法。一种模式基于IEEE 802.1p标准,遵从接入点的服务等级(CoS)值并把数据包分配到合适的队列中。第二种模式,数据包根据由网络管理员分配给接入端口的缺省CoS值来进行重新分类。如果到达
的帧没有CoS值(如未做标记的帧),Catalyst2950交换机就根据网络管理员分配给每个端口的缺省CoS值来进行分类。
一旦数据帧使用上面所说的两种模式分类或重新分类后,即被分配到最合适的输出队列中去。Catalyst 2950交换机支持四种输出队列,使网络管理员在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配可以保证诸如语音等时间敏感的应用在通过交换结构时一直使用高速路径。另外,另一种重要的增强措施即加权循环(WRR)策略也能保证低优先级的负载在没有被网络管理员进行优先级配置的情况下,能够得到重视。
这些特性使网络管理员可以把关键任务和时间敏感的流量,如ERP(Oracle,SAP等)、语音(IP电话流量)和CAD/CAM,优于低时间敏感的应用如FTP或e-mail(SMTP)等来设置更高级别的优先权。
6、安全性和冗余性
支持IEEE 802.1x。Cisco快速上行链路技术保证快速的故障恢复(典型值小于3秒),使网络的综合性能更加稳定和可靠。 专用VLAN边缘为交换机的端口间提供安全性和隔离性,同时保证语音流量从进入点通过虚拟通道直接传输到汇集设备,而不会被定位到其它无关端口。基于MAC的端口级安全性可以防止未授权的工作站访问交换机。IEEE 802.1D STP对冗余主干连接和无环路网络的支持简化了网络配置过程,提高了容错能力。支持Cisco冗余电源系统300(RPS300),配有最多可达6个单元的内置备份电源,提高了容错能力和网络正常工作时间。 控制台访问的多级安全性可以防止未授权的用户修改交换机配置。支持TACACS+验证对交换机的集中控制,防止未授权的用户更改配置。
第四节 VLAN概述
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。 VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播
流量都不会转发到其他VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。
既然VLAN隔离了广播风暴,同时也隔离了各个不同的VLAN之间的通讯,所以不同的VLAN之间的通讯是需要有路由来完成的。
一 VLAN的作用
1、降低移动和变更的管理成本:在学校里,由于教学人员的变更比较频繁,当把一台计算机从一个子网转移到另一个子网,如果使用了VLAN,迁移的工作只是在交换机上重新定义VLAN即可,尤其是采用网卡的MAC地址来划分VLAN时,交换机能够自动跟踪该终端的MAC地址,并自动将其纳如定义的VLAN中,对于网络管理而言,可以轻松完成变更。假若使用物理手段划分子网,这种迁移所耗费的精力和时间相当可观的。
2、控制广播:由于不同的VLAN都是一个独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了带宽传输效率,并可以有效地避免广播风暴的产生。
3、增强网络的安全性:由于交换机只能在同一VLAN内的端口之间交换数据,不同VLAN的端口不能直接访问,因此,通过划分VLAN可以提高网络的安全性。
4、网络监督和管理的自动化:网络管理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息,以及应用数据包的分类信息,这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变的更加简单、有效。
第五节 VPN概述
虚拟专用网络(Virtual Private Network,VPN)是利用不可靠的公用互联网络
作为信息传输媒介,通过附加的安全隧道、用户认证和访问控制等技术实现与专用网络相类似的安全性能,从而实现对重要信息的安全传输。
根据技术应用环境的特点,VPN大致包括三种典型的应用环境,即Intranet VPN, Remote Access VPN和Extranet VPN。其中Intranet VPN主要是在内部专用网络上提供虚拟子网和用户管理认证功能;Remote Access VPN侧重远程用户接入访问过程中对信息资源的保护;而Extranet VPN则需要将不同的用户子网扩展成虚拟的企业网络。这三种方式中Extranet VPN应用的功能最完善,而其他两种均可在它的基础上生成,因此,我们主要讲解Extranet VPN,同时兼顾另两种应用方式的特点。
VPN技术的优点主要包括:
1、 信息的安全性:虚拟专用网络采用安全隧道(Secure Tunnel)技术向用户提供无缝(Seamless)的和安全的端到端连接服务,确保信息资源的安全。
2、 方便的扩充性:用户可以利用虚拟专用网络技术方便地重构企业专用网络(Private Network),实现异地业务人员的远程接入,加强与客户、合作伙伴之间的联系,以进一步适应虚拟企业的新型企业组织形式。
3、 方便的管理:VPN将大量的网络管理工作放到互联网络服务提供者(ISP)一端来统一实现,从而减轻了企业内部网络管理的负担。同时VPN也提供信息传输、路由等方面的智能特性及其与其他网络设备相独立的特性,也便于用户进行网络管理。
4、 显著的成本效益:利用现有互联网络发达的网络构架组建企业内部专用网络,从而节省了大量的投资成本及后续的运营维护成本。
一 VPN决解方案
考虑到校园网内需要访问数据库、有众多应用系统,所以我推荐用隧道式SSL VPN,隧道式SSL VPN是在WEB SSL VPN的基础上发展起来的,有IPSec VPN的"网络访问"方式,可以解决所有传统的C/S应用程序的问题,支持所有应用(TCP、UDP,广播,多播等),可以访问按照安全策略允许访问的内网地址和端口。同时,客户端一次性自动安装插件,保留了WEB SSL的客户端免安装的优势。
1、身份验证:使用已经存在的用户信息数据或与学校统一的身份认证系统
对接进行身份认证。
2、多种用户环境支持:支持专线宽带接入、小区宽带接入、ADSL宽带接入、CABLE MODEM宽带接入、ISDN拨号接入、普通电话拨号接入、GPRS接入、CDMA接入等多种因特网接入方式;满足校外老师网络接入复杂、多样的问题。
3、多线路最优选路设计:因为用户接入有以上多种方式,实现了“智能自动选择”功能,以实现多线路最优选路。所谓“智能自动选择”是指,利用负载均衡技术,在各分支节点在与总部构建VPN隧道时,总部VPN设备能智能分析判断客户机的外网访问请求及线路状况,并分配合理线路,以实现最快速度访问。此设计能够能增强中心节点的出口带宽分配和网络稳定性。如果某一条线路中断,有策略协议对VPN客户端切换到无故障线路上,反应速度非常快,中间几乎没有任何延迟,可以最大程度地减少费用和故障切换时间。这样既保证了数据安全无间断的传输,又有效地实现了数据在各条线路上的分流,同时保证大量客户端都能正常访问总部应用服务器。
4、多应用支持:因系统采用隧道式SSL VPN解决方案,所以支持教学视频点播、图书馆系统、数字图书馆系统、数据库资源共享系统、游戏等多种应用,同时,也可通过共享等方式访问其它计算机资源。
二 VPN的网络管理
用户IP地址管理:对于用户IP地址管理,主要体现在用户网络和公共同网络之间的IP地址分配办法。根据隧道协议的不同,采用不同的用户IP地址分配策略。对于用户内部网络的管理,可采用合法或保留IP地址策略。校园内部的IP地址对于公网来说是透明的。VPN将企业内部的数据进行重新封装之后在公网之上传输。对于远程用户来讲,其分配的IP地址策略根据VPN连接所采用的隧道协议而变化。
网络层地址管理:网络层地址管理(NLAM)是指拨号VPN建立远端节点的网络层有关协议配置和域名登记的能力。
VPN成员的管理:对VPN成员的管理,主要包括用户连接的认证、授权以及内部IP地址分配,VPN隧道建立,数据加密,用户访问权限管理等多个重要功能。
1、成员认证:在远程成员接入企业内部之前必须对其进行用户身份认证。用户数据集中存储于外部的数据库中。对用户数据库的访问需要一个中间协议来完成,如LDAP或者RADIUS等认证协议。
2、访问控制过滤和用户优先级定义:用户接入之后,要对用户进行访问控制过滤,主要过滤内容为用户源、目的IP、目的端号、TCP连接定制等。在对用户进行访问之后,要根据用户认证数据库内容对用户进行呼叫先级定义,主要是解决大量用户接入带来的网络拥塞问题,在网络拥塞到一定程度之后,将只允许优先级较高的连接建立,但一旦连接建立之后就不再中断。
第三章 网络维护
第一节 网络管理
网络管理包括对硬件、软件和人力的使用、综合与协调,以便对网络资源进行监视、测试、配置、分析、评价和控制,这样就能以合理的价格满足网络的一些需求,如实时运行性能、服务质量等。网络管理常简称为网管。
网络管理,是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性。
而交换机的管理功能是指交换机如何控制用户访问交换机,以及用户对交换机的可视程度如何。通常,交换机厂商都提供管理软件或满足第三方管理软件远程管理交换机。一般的交换机满足SNMP MIB I / MIB II统计管理功能。而复杂一些的交换机会增加通过内置RMON组(mini-RMON)来支持RMON主动监视功能。有的交换机还允许外接RMON探监视可选端口的网络状况。常见的网络管理方式有以下几种:
(1)SNMP管理技术
(2)RMON管理技术
(3)基于WEB的网络管理
SNMP是英文“Simple Network Management Protocol”的缩写,中文意思是“简单网络管理协议”。SNMP首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。
SNMP是目前最常用的环境管理协议。SNMP被设计成与协议无关,所以它可以在IP,IPX,AppleTalk,OSI以及其他用到的传输协议上被使用。SNMP是一系列协议组和规范(见下表),它们提供了一种从网络上的设备中收集网络管理信息的方法。SNMP也为设备向网络管理工作站报告问题和错误提供了一种方法。
目前,几乎所有的网络设备生产厂家都实现了对SNMP的支持。领导潮流的SNMP是一个从网络上的设备收集管理信息的公用通信协议。设备的管理者收集这些信息并记录在管理信息库(MIB)中。这些信息报告设备的特性、数据吞吐量、通信超载和错误等。MIB有公共的格式,所以来自多个厂商的SNMP管理工具可以收集MIB信息,在管理控制台上呈现给系统管理员。
通过将SNMP嵌入数据通信设备,如交换机或集线器中,就可以从一个中心站管理这些设备,并以图形方式查看信息。目前可获取的很多管理应用程序通常可在大多数当前使用的操作系统下运行,如Windows3.11、Windows95 、
Windows NT和不同版本UNIX的等。
一个被管理的设备有一个管理代理,它负责向管理站请求信息和动作,代理还可以借助于陷阱为管理站提供站动提供的信息,因此,一些关键的网络设备(如集线器、路由器、交换机等)提供这一管理代理,又称SNMP代理,以便通过SNMP管理站进行管理。
第二节 远程监控
1、 什么是远程监控
远程监控从字面上理解可以分为“监”和“控”两部分,其中“监”也就是远程监视,可以分为两大部分:一是对环境的监视,二是对计算机系统及网络设备的监视,不管怎么说远程监视就是指通过网络获得信息为主:而“控”也就是指远程控制,是指通过网络对远程计算机进行操作的方法,它不仅仅包括对远程计算机进行重新启动、关机等操作、还包括对远端计算机进行日常设置的工作。通过硬件的配和还可以实现远程开机的功能。总而言之,要想完全控制远端的计算机,首先应该能够对其监视,也就是可以看到该计算机的屏幕显示,然后才谈得上“控制”,远程控制必须做到“监”、“控”结合,因此我们通常说的远程监控一般泛指就是这种远程控制。除此之外,对于网络管理员来说,远程控制还包括对网络设备的控制,现今大多数网络设备都支持Telnet,甚至Web方式对其进行远程管理,这也是一种远程控制的方法。
首先,将来自各摄像机的视频信号输入RV-2000视频采集终端,然后,RV-2000视频采集终端通过MPEG-4图像压缩算法,将视频信号转换为25帧/秒的数字图像,并将经压缩后的音视频数据流通过光纤网转发到视频监控中心;最后,视频监控中心的监控计算机对收到的来自前端的图像和声音数据,进行解压缩并通过计算机显示屏幕和声卡进行实时监控。
当发生报警时,报警解码器将联动报警输出设备,并通过报警解码器将报警信号输入RV-2000视频终端,并传输到监控中心,监控中心的视频服务器接收到报警信号后立即发出声音信号、记录报警事件、进行硬盘录像等报警操作。
摄像机控制、布防等控制信号是下行传输的,由监控中心监控主机发出各种控制信号,RV-2000视频采集终端收到控制信号后,通过云台镜头控制器或直接控制摄像机,或完成布防操作。
系统采用硬件压缩软件解压技术,在相关科室的计算机终端上增加相应的软件或者通过Windows自带的IE浏览器的Web功能就可实现远程视频监控功能,设置成视频监控工作站。
网络通信采用TCP/IP和网络组播(Multicast)技术,最大限度地利用了网络的传输性能和网络带宽,避免网络的拥塞。
第三节 系统结构
RV-2000远程视频监控系统由系统子站和调度中心主站组成。系统子站设置在监控生产单位如炼焦车间,粗苯车间,甲醇等需要监控的场所,主要由视频采集终端、计算机网络连接设备、摄像机、报警探头、报警解码器等组成,负责音视频信号和报警信号的采集和数字化,并利用现有的计算机网络实现站点之间与调度中心的视频/报警信息传输及远程监控。监控调度中心主站主要由视频管理服务器、浏览器、计算机网络连接设备、远程监控和视频服务器软件等组成。监控中心可以通过网络管理多个采集站,能切换并控制至任何一个监控点现场,实施总体监控,从而实现对整个地区进行视频监控。它通过网络,不但可以实时浏览各个监控点现场的视频,还可以远程访问采集站的录像文件,并下载录像文件,还可以在监控中心进行录像。
RV-2000远程视频监控系统能适应不同的通讯网络,可以是以太网、E1、无线局域网或其他传输通道。
RV-2000视频采集终端提供视频和音频输入/输出接口,分别连接到摄像机视频输出或多画面处理器、拾音器及音箱;并提供RJ45接口与监控终端及服务器联接;它主要实现视音频信号的采集和压缩,并将压缩好的数据通过光纤网络发送到监控中心。
第四章 总 结
校园网是各种类型网络中一大分支,有着非常广泛的应用。作为新技术的发祥地,学校、尤其是高等学校,和网络的关系十分密切,网络最初是在校园里进行实验并获得成功的,许多网络新技术也是首先在校园网中获得成功,进而才推向社会的。另一方面,作为"高新技术孵化器"的学校,知识、人才的资源十分丰富,比其他行业更渴求信息、希望能有渠道获得各种各样的信息来促进自身在研究、学术上的进步。正是因为看到网络与学校之间的密切关系,国家从1994年正式启动中国教育科研计算机网(CERNET)以来,已与国内几百所学校相连,为广大师生及科研人员提供了一个全新的网络环境。1998年10月,中国教育科研网二期工程正式启动,到2002年二期工程完成,除达到连接1000所大学的目标外,对有条件的中小学也提供接入上网服务。随着信息技术的飞速发展,中小学校园网的建设已经逐渐提到议事日程上来。对比国外校园网的建设和使用情况,我国目前的大多数校园网的结构、规模和应用都不是很完整,网络设备、计算机设备的功能没有得到充分地挖掘和发挥。怎样利用网络设备,进一步发挥各种设备的功能,实现学校各项业务系统的集成,提高应用水平将是学校校园网建设的下一个工作重点。
校园网从功能架构上来分,大致分为对内部分、对外部分和信息中心。对内部分主要是指校园Intranet,主要包括多媒体教室、备课室、电子办公室、电子图书馆和多功能教室的建设,服务于学校的教学和管理;对外部分包括与Internet的连接和与其它兄弟校以及上级主管的连接,提供家庭和移动用户的接入服务等;而信息中心则是这两部分的桥梁和核心,担负着整个网络系统的管理和安全工作。
在我这个学校网络解决方案总体设计以高性能、高可靠性、高安全性、高冗余性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。学校办公楼计算机网络项目以高性能、高带宽为目标,网络整体为星型结构,网络总体分为三个层次,即核心层、汇聚层、接入层。汇聚分为行政区、教学区、学生社区、实验实训区、服务器区五大区域,连接网络中心核心交换机,对学校教学楼与办公楼每层采用
一个接入层交换机与相对应的汇聚层交换机相连。接入层至区域汇聚层、汇聚层至核心层为千兆光纤或千兆双绞线连接。为实现校区内的高速互联,学校学信息中心采用两台cisco6509高端三层路由交换机作为总汇聚节点,承担各区域所接入的数据信息到校园核心网的高速转发。楼宇汇聚层设在相应的应用区域,汇聚层为能够实现VLAN划分支持接入层的堆叠,采用了cisco3750作为区域汇聚交换机;接入层是每个楼的接入交换机,接入层交换机的选择仍然非常重要,到接入层交换机的对于终端用户接入的控制起着非常重要的作用,因此建议采用安全性、控制性较高的设备,在这次设计中我采用了cisco2950接入交换机作为楼层接入交换机,cisco2950 具备24口,最多可支持48口的10/100M电口,并具有两个扩展槽;用户可以根据接入信息点的数量配置相应的cisco2950,满足实际网络应用需求。
谢 辞
一个月来,从开始接到论文题目开始对项目的选择构思到毕业论文的完成,都离不开XX老师的细心指导和严格要求。衷心感谢指导老师XX老师,我的毕业论文是在他的悉心关怀和精心指导下完成的。毕业论文中的许多思想和方法都得益于XX老师的指导和启发,从设计选题到论文写作都倾注了指导老师的巨大心血,知识愈加丰富使我的毕业论文更加完善。
参考文献
[1]沈大林.中小型企业网组建与维护[M].北京:中国铁道出版社,2007.
[2]王宝智.局域网设计与组网实用教程[M].北京:清华大学出版社,2004.
[3]冯昊.交换机/路由器的配置与管理[M].北京:清华大学出版社,2005.
[4]冯博琴.计算机网络[M].北京:高等教育出版社,2007.
[5]吴学毅.计算机网络规划与设计[M].北京:机械工业出版社,2009.
[6]苗凤君.局域网技术与组网工程[M].北京:清华大学出版社,2010.
[7]余明辉,汪双顶.中小型网络组建技术[M].北京:人民邮电出版社,2009.
[8]吴建胜.路由交换技术[M].北京:清华大学出版社,2010.