校园网的规划与设计毕业论文.docx

本科毕业论文校园网的规划与设计the campus network planning and design学院名称： 计算机科学与信息工程学院 专业班级： 网络工程（专升本）12-1 学生姓名： 学生学号： 指导教师姓名： 李 刚 戴红旗 指导教师职称： 讲 师 高级工程师 2014 年 5 月5毕业设计（论文）原创性声明和使用授权说明原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得安阳工学院及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。作 者 签 名： 日 期： 指导教师签名： 日期： 使用授权说明本人完全了解安阳工学院关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。作者签名： 日 期： 目 录摘 要iabstractii引 言1第1章 需求分析21.1 用户需求31.2应用需求31.3服务系统需求41.4 硬件需求41.5传输介质的选择51.6 校园网安全需求5第2章 设计目标和设计原则72.1 校园网设计目标72.2设计原则72.2.1 网络设计的基本原则72.2.2 此次校园网的设计原则82.2.3模块化设计原则82.2.4层次化的设计9第3章 网络构架和主要应用技术113.1网络架构113.2网络中应用的主要技术123.2.1路由技术123.2.2 hsrp133.2.3链路聚合133.2.4交换技术143.2.5生成树技术143.2.6 vpn技术153.2.7无线接入技术153.2.8安全技术（vlan 、acl）153.2.9 nat16第4章 无线网络184.1无线局域网184.2 wlan的主要技术标准184.3为什么要构建无线校园网184.4无线校园的应用范围194.5无线网络的设计原则194.6无线网络的安全机制194.6.1密码加密机制194.6.2用户权限的分配控制机制20第5章 网络的地址规划和主要配置215.1 vlan的划分215.2设备的主要配置215.2.1基本配置215.2.2 hsrp 的配置225.2.3 链路聚合的配置235.2.4 pvst的配置245.2.5 ospf 的配置265.2.6 nat的配置275.2.7 acl的配置285.2.8 dhcp的配置295.2.9 gre-tunnel的配置30第6章 网络设备选型326.1选择防火墙的基本原则326.2 选择服务器的基本原则326.3选择交换机的基本原则326.4 选择路由器的基本原则33总 结35致 谢36参考文献37校园网的规划与设计摘要：随着信息时代的来临，信息网络在我国正处于飞速发展的阶段。学校作为教育的前沿重地，为我国未来信息化人才提供重要的学习环境。而中国教育科研网（cernet）的快速发展，则极大地促进了高校校园网的建设。校园网的建设能从根本上促进教学科研人员之间的信息交流、资源共享、科研合作，是学校教育和科研工作的最重要的基础设施之一。因此，校园网络的规模和应用水平将是体现学校教学环境和科研力量的重要组成部分。 本设计首先就安阳工学院对网络的需求做了一下调查，根据所得到的需求进行分析，并结合该校园的实际物理结构，做出相应的网络拓扑结构，方案设计。在改方案中重点对校园网建设的需求分析、网络拓扑结构以及方案中应用的技术等方面给出比较详细的分析与描述。关键词：校园网需求分析；网络技术；无线；网络安全ithe campus network planning and designabstract: with the coming of information age, information network in our country is in rapid development stage. school included, as the forefront of educational information talents to provide important learning environment for our future. and the rapid development of chinese education scientific research network (cernet), will greatly promote the construction of the campus network in colleges and universities. construction of campus network can fundamentally promote the information exchange, resource sharing between teaching and scientific research personnel, scientific research cooperation, is the school education and scientific research work of one of the most important infrastructure. therefore, the size of the campus network and application level will be reflected the school teaching environment and an important part of scientific research strength.this design firstly for anyang institute of technology made a investigation to the network demand, according to the analysis of demand, combined with the actual physical structure of the campus, make the corresponding network topology structure, the scheme design. in the change of demand analysis of the campus network construction, network topology structure and scheme of the application of technology gives a comparatively detailed analysis and description.keywords: campus network; demand analysis; network technology; wireless; network securityii引 言 在当今信息产业蓬勃发展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的交流、经验的分享、讨论、消息的发布、和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才，在学校中建立计算机网络已经是十分迫切的需要。 计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已经成为衡量一个从业者是否合格的重要标识。作为培养人才的基地，在校园中就让学生接触计算机、计算机网络，对于培养合格的人才无疑是十分重要的。在现在这个知识爆炸的社会中，对于合格人才的要求越来越高，需要他们掌握大量的各类知识，在教育中需要提高教学效率。现在出现了许多新的教学方法，以各种方式提高学生对知识的掌握速度，在与前人同样的时间内，掌握比前人更多的知识，而这些教学方法，需要利用计算机网络才能实现。高等院校除了作为人才培养基地外，也是重要的科研基地，每年有大量的课题在高校中进行，研究人员需要收集资料、与同行交流研究心得等，促使研究的进展，作为全球最大的信息源和交流方式，计算机网络正是最合适的选择。 随着计算机技术、网络技术的发展，网络设备的价格不断下降。同时国家各级政府对于教育的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非常高。随着宽带城域网的建设，校园网的业务，也进一步向公众网扩展，其中远程教育就成为一项极富发展潜力的城域网宽带业务。1第1章 需求分析学院有北校区、新校区两个校区（我们的方案只包括新校区），占地90.1万平方米。现有教职工807名，其中具有正高职称的教师85人、具有副高职称的教师185人、具有硕士及以上学位的教师669人本部校区有学生宿舍楼6幢，教学楼11幢另外还有3幢阶梯教室，科研楼1幢，行政办公楼1幢，图书馆一幢、活动中心3幢以及餐厅1幢。安阳工学院平面图如图1-1、1-2所示。图1-1 安阳工学院平面图图1-2 安阳工学院平面图详解1.1 用户需求随着校园网用户数目与新的应用需求不断增加，特别是网上多媒体及远程教育应用的展开，对校园网主干带宽提出了新的更高的要求，因此希望： （1）支持ip多目广播（multicast）与服务质量（qos）或服务类型，具有高可靠性和开放性的校园网络，采用internet上的标准协议tcp/ip协议，提供校园内部及面向全球的www服务、ftp服务、电子邮件服务，实现与国际互联网的完全接轨。 （2）支持虚拟局域网络（vlan）。 （3）网管软件应具备对接入层交换设备进行远程可操作的能力（如在网络中心对接入交换机进行针对端口ip过滤条件的远程设置）。 （4）考虑今后会大量使用无线网，本次的组网方案在非主体区将用无线网络进行覆盖，以确保全校所有区域可以进入网络联接，如学校图书馆内、体育场、及培训中心等地方使用，以满足师生们更灵活的需求。 （5)要求管理上方便，采用模块化设计。 1.2应用需求1.电子邮件功能校园网信息平台应有功能强大的邮件系统,可以为每个使用者建立自己的信箱,安全保密又极大地方便了通信。许多事务处理均可以通过邮件提醒,高效便利。 2.科研环境应用系统 科研环境应用系统多集中在各实验室和多功能竞赛及多功能报告厅，主要是实验的环境和课外学习的环境，这类网络应用可能需要较高的带宽以满足多媒体实验环境。 3.电子教学 电子教学是搭建校园网的首要目标，这部分应用复杂多样，且有很大一部分多媒体数据的传递，因此对网络性能和传输质量有较高的要求，可以用高速以太网连接来实现。电子教学校的具体形式有：多媒体教学、多媒体网络教室、电子图书馆。 4.无线网络 随着国家对中国教育行业的更加重视并加大投入，中国教育网的建设得到了国家更大的支持并得到了更加广泛的应用，并已经成为一种其它方式不能代替的获得资源的重要手段，因此教师和学生对网络的依赖也越来越强，随时随地能够从网络获得相要的资源成为教育用户追求的目标。一般来说，如教室、图书馆、会议室等地方一般是不可能布设太多信息点的，但是随着学生中笔记本电脑的普及和现代化教学的普及，上述场所往往在同一时刻有大量的电脑，而目前的有线校园网没有办法使学生们在这些区域都能够上网。采用无线方式，在有限的信息点上连接无线接入器，就可以轻松地从一个信息点扩展到成百上千个信息点的应用。 5.宽带上网 在信息化的今天，人们已经把网络当成获取信息的重要的源泉，而web应用则起到了举足轻重的作用。绝大多数的人都是通过浏览web页面来获取新知。校园网应该是宽带上网的前沿阵地，学生们可以通过网络获取丰富的知识，增加与其他学校学生，甚至其他国家学生交流的机会。宽带的网络相比窄带的拨号有着非常大的优势，通过宽带上网就能够真正实现网上冲浪。1.3服务系统需求1.认证和计费教学区、宿舍区用户对校园网、教育网、internet的访问有相应的认证措施和计费策略。 2.上网方式多样采用双网形式，即校园网和宽带。校园网用户通过给定的帐号上网，防止盗用ip等现象的发生；宽带用户由电信分配ip，不同的上网方式对应不同的计费策略。 1.4 硬件需求 硬件是架构校园网的基础,选择硬件产品时，需要选择兼容性好、扩展性强的设备，并且在选择过程中综合设备的性能价格等多方面的因素，而且该设备厂家必须能够提供良好的售前及售后服务，解除用户的后顾之忧，所以在校园网硬件架构上，包含了许多方面，可以分成以下几个方面： 网络设备的选择主要指网络服务器、防火墙、无线控制器、交换机及路由器等，而中心交换机和网络服务器是网络的核心。 1.服务器：它是整个校园网中最重要的设备，它的选择应该遵从高可靠性、高性能、高吞吐能力和具有友好的人机界面的特点。根据校园网的特点，可设置有www服务器、ftp服务器、语音服务器等。有条件的还可以设置视频点播服务器，可以实现通过网络参与视频图像的点播和广播。 2.交换机：在选择交换机设备时用户一定要考虑管理的问题。尤其是针对规模较大的校园网络结构中，管理型的交换机被普遍使用。如果建立的只是小型网络，不需要使用中心网络管理机制，应该购买普通无管理能力的交换机，节省这笔资金 。 3.路由器(router)：它用于连接网络层、数据层、物理层，执行不同协议的网络协议转换，是内网区用户访问internet不可缺少的设备，为了内网数据的安全及限制内网区用户对外部网络的访问权限，在校园网的网络中心可以设置一台具有防火墙功能的路由器，通过广域网接口经由ddn专线（或adsl）接入中国教育科研网。路由器上的一个以太网接口作为内网连接端口，另一个可以用作校内网络中心服务器组等对外网络设备网段使用的端口。4.防火墙（fire wall）：也称防护墙，它是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。防火墙的基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙；只有符合安全策略的数据流才能通过防火墙；防火墙自身应具有非常强的抗攻击免疫力。1.5传输介质的选择 在从中心交换机到各子网的传输介质选择方面，应以应用需求为主，适当考虑成本。由于校园网分布范围较广，从核心交换机到汇聚交换机之间，线缆全部使用单模光纤。 1.6 校园网安全需求 校园网络作为学校重要的基础设施，担当着学校教学、科研、管理和对外交流等许多角色。校园网安全状况直接影响着学校的教学活动。 校园网络安全主要考虑以下几方面要求：各个部门、系所访问网络的控制，各单位之间在未经授权的情况下，不能相互访问。内部网中要建立防火墙，即禁止外部用户未经许可访问内部的数据，或者内部用户未经许可访问外部数据。 对安全问题的考虑主要是两个方面：校园网是一个开放的系统，它不需要与政府或商业公司的一样的网络安全保密性；校园网应该安全的，它不应该受到恶意的攻击而无法运行，一些科研成果也不应该对任何人都开放。主要利用虚拟局域网技术和防火墙技术来合理解决安全与开放的问题。 第2章 设计目标和设计原则2.1 校园网设计目标 上网主体区为学生宿舍和办公区域，所以本次重点建设针对学生宿舍和办公区以及实验楼的网络系统。考虑今后会大量使用无线网，本次的方案在非主体区将采用无线网络进行覆盖，比如图使馆、阶梯教室、活动中心等人员流动频繁的区域。 由于要保证办公网的正常使用，本次方案将把宿舍区和办公区进行分划，以确保办公区的网络不受学生宿舍区的影响。实现网络资源的最大化应用。考虑学生网络使用不同，采用双网方式，可以由学生决定上校园网或是互联网。充分考虑系统的各种应用服务器的资源占用情况，结合学校的发展配置相应得当的各种应用服务器及其相应软件。由于组网方案特殊性，把网络分成三层进行配置，核心层使双核心冗余，汇聚层和接入层均采用星型。 2.2设计原则2.2.1 网络设计的基本原则校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要具有包括图书信息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，网络设计一般应遵循下列5个基本原则： 1.可靠性和高性能 网络必须是可靠的，包括网络物理级别的可靠性，如服务器、风扇、电源、线路等；以及网络逻辑级别的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。 2.实用性和经济性 由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。 3.可扩展性和易升级性 系统要有可扩展性和易升级性，随着学院不断的扩招，业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。 4.易管理、易维护 由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。 2.2.2 此次校园网的设计原则 校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证。采用成熟、先进的技术和设计思想，运用现有的系统集成的技术，强调系统先进、实用、开放、安全、使用方便和易于扩充等特点，突出系统功能的完善，实现办公现代化、信息资源化和传输网络化。其设计方案应注意以下原则： 1.先进性 技术上的先进性将保证处理数据的高效率、系统工作的灵活性、网络的可靠性，技术上的先进性也使系统的扩充和维护变得十分简单。 2.可靠性 从网络骨干线路的冗余备份、网络核心设备的冗余备份和电源冗余备份等方面保证成都信息工程学院校园网的可靠性。 3.可管理性 网络管理基于snmp，并支持rmon和rmon2，以及标准的 mib。利用模块化的管理界面和简洁的操作方式，合理的网络规划策略，提供强大的网络管理功能。一体化的网络管理使网络日常的维护和操作变得直观，便捷和高效。 4.安全性 内部网络之间、内部网络与外部公共网之间的互联，利用vlan 、防火墙等对访问进行控制，确保网络的安全。 5.可扩展性 学校规模在不断扩大，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要继续逐步升级 。 6.实用性 网络系统的设计在性能价格比方面充分体现系统的实用性，既要采用先进的技术，又能在经费允许的条件下实现建网目标。 2.2.3模块化设计原则 所谓模块化就是将把整个网络按功能和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于： 1.解决各网络之间的冲突问题； 2.简化安装和后台设备管理； 3.易于故障检测和分离问题； 4.易于执行不同类型的服务和安全方针。 一个完整的模块化设计如图2-1所示。图 2-1 模块化网络设计图 校园网的设计可以借鉴这种思想，对各种不同种类，不同安全等级的业务进行模块划分，相互之间的访问将受到控制。当然，在实际情况中并不一定要求严格按照上述模块划分，而是根据实际情况灵活运用，做适当的裁减与调整。 2.2.4层次化的设计 对于大型网络，可以采用典型的“核心层-汇聚层-接入层”层次化网络设计模型。如图2-2所示。 图2-2 层次化网络设计图 核心层: 核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。 核心层需要考虑冗余设计。 汇聚层: 汇聚层顾名思义就是作为接入层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、qos、定义路由路径度量（path metric）和路由协议通告网络的控制。 接入层: 接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过vlan技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。 “核心层-汇聚层-访问层”层次化网络设计模型有如下优点： 1.高可扩展性 遵循层次化模型网络比扁平式网络更具有的伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。 2.易于实施 每一层的功能性清晰划分，简化每一层的实现。 3.易于故障排除 每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。 4.易于规划和管理 层次化的功能划分，整个网络规划和管理更为简单。 第3章 网络构架和主要应用技术3.1网络架构 安阳工学院网络设计上规划为3个大的区域，分别为宿舍区、教学区和综合区。其中宿舍区包含1-6号宿舍楼；其中教学区分为11栋教学楼14个学院，综合区包括图书馆、3栋阶梯教室、1栋科研楼、1栋办公楼、餐厅和活动中心。 我们将图书馆作为中心，对全院的网络进行控制，并将网络分为：宿舍区、教学楼区、综合区，其中综合区包括有线网络和无线网络。 首先向大家大概阐述安阳工学院校园网逻辑拓扑如图3-1所示。图3-1 安阳工学院园区网逻辑拓扑图 校园网整体采用核心层、区域汇聚、楼宇汇聚、接入层4层网络架构。在每个区域的局域网采用三层网络结构即：区域核心-楼宇汇聚-楼宇接入。具体拓扑如图3-2所示。图3-2 区域拓扑图校园网的全局物理拓扑如图3-3所示。图3-3 校园网整体拓扑图3.2网络中应用的主要技术3.2.1路由技术 路由协议通过在路由器之间共享路由信息来支持可路由协议。路由信息在相邻路由器之间传递，确保所有路由器知道到其它网段的路径。总之，路由协议生成了路由表，描述了网络拓扑结构，执行路由选择和数据包转发功能。路由协议是用来确定到达路径的，它包括动态路由协议和静态路由协议。静态路由需要管理员手动指定，并且不会随网络拓扑结构的变化而变化，因此静态路由仅适用于小型网络。动态路由协议可自动根据拓扑结构的变化而调整路由，比较智能，适用于大中型网络。 本次校园网设计中采用开放最短路径优先路由协议（ospf）。ospf是动态路由协议，基于链路状态算法，可以自动根据网络拓扑结构的变化调整选择路径，不受网络规模的限制。同时，采用组播泛洪，触发更新，使网络收敛速度快。除此之外，ospf还具有如下优点：支持无类域间路由（cidr），支持区域划分，无路由自环，支持多路径等价和不等价负载均衡，支持简单口令和md5认证。3.2.2 hsrp 热备份路由器协议（hsrp）的设计目标是支持特定情况下 ip 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。实现hsrp的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任意时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。hsrp的工作原理：负责转发数据包的路由器称之为主动路由器（active router）。一旦主动路由器出现故障，hsrp 将激活备份路由器（standby routers）取代主动路由器。hsrp 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 ip 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（standby routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。hsrp协议利用一个优先级方案来决定哪个配置了hsrp协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高，则该路由器成为主动路由器。路由器的缺省优先级是100，所以如果只设置一个路由器的优先级高于100，则该路由器将成为主动路由器。3.2.3链路聚合 链路聚合（link aggregation），是指将多个物理端口捆绑在一起，成为一个逻辑端口，以实现出/入流量在各成员端口中的负荷分担，交换机根据用户配置的端口负荷分担策略决定报文从哪一个成员端口发送到对端的交换机。当交换机检测到其中一个成员端口的链路发生故障时，就停止在此端口上发送报文，并根据负荷分担策略在剩下链路中重新计算报文发送的端口，故障端口恢复后再次重新计算报文发送端口。链路聚合在增加链路带宽、实现链路传输弹性和冗余等方面是一项很重要的技术。 链路聚合的原理：逻辑链路的带宽是原来的n倍，这里，n为聚合的路数。另外，聚合后，可靠性大大提高，因为，n条链路中只要有一条可以正常工作，则这个链路就可以工作。除此之外，链路聚合可以实现负载均衡。因为，通过链路聚合连接在一起的两个（或多个）交换机（或其他网络设备），通过内部控制，也可以合理地将数据分配在被聚合连接的设备上，实现负载分担。3.2.4交换技术 三层交换（也称多层交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在osi网络标准模型中的第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术+三层转发技术。 交换原理：假设两个使用ip协议的站点a、b通过第三层交换机进行通信，发送站点a在开始发送时，把自己的ip地址与b站的ip地址比较，判断b站是否与自己在同一子网内。若目的站b与发送站a在同一子网内，则进行二层的转发。若两个站点不在同一网段内，如发送站a要与目的站b通信，发送站a要向“缺省网关”发出arp(地址解析)封包，而“缺省网关”的ip地址其实是三层交换机的三层交换模块。当发送站a对“缺省网关”的ip地址广播出一个arp请求时，如果三层交换模块在以前的通信过程中已经知道b站的mac地址，则向发送站a回复b的mac地址。否则三层交换模块根据路由信息向b站广播一个arp请求，b站得到此arp请求后向三层交换模块回复其mac地址，三层交换模块保存此地址并回复给发送站a,同时将b站的mac地址发送到二层交换引擎的mac地址表中。从这以后，当a向b发送的数据包便全部交给二层交换处理，信息得以高速交换。由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，因此三层交换机的速度很快，接近二层交换机的速度，同时比相同路由器的价格低很多。3.2.5生成树技术 生成树协议是用来维护一个无环路的交换网络。在由网桥/交换机构成的交换网络中通常设计有冗余链路和冗余设备。这种设计的目的是防止一条链路或一台交换机发生故障导致整个网络中断。虽然冗余设计可以消除单点故障问题，但也导致了二层交换网络中环路的产生，它会带来如下问题：广播风暴，单播帧的重复传送，mac地址表不稳定。广播风暴将严重影响网络和主机性能，会导致网络瘫痪。因此，在交换网络中必须有一个机制来阻止回路，而生成树恰好是为解决这一问题而设计的。 在本次校园网设计中，采用pvst（每个vlan生成树）协议。每vlan生成树(pvst)为在网络中配置的每个vlan维护一个生成树实例。它使用isl中继和允许一个vlan中继，当被其它vlans阻塞时将一些vlans转发。尽管pvst对待每个vlan作为一个单独的网络，它有能力在一些主干和在其它主干中的不引起vlans环路的情况下来负载平衡通信。3.2.6 vpn技术vpn即虚拟专用网技术，属于远程访问技术，简单地说就是利用公用网络架设专用网络。例如某公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问。vpn有多种分类方式，主要是按协议进行分类。vpn可通过服务器、硬件、软件等多种方式实现。vpn具有成本低，易于使用的特点。3.2.7无线接入技术 无线接入技术是无线通信的关键问题。它是指通过无线介质将用户终端与网络节点连接起来，以实现用户与网络间的信息传递。无线信道传输的信号应遵循一定的协议，这些协议即构成无线接入技术的主要内容。无线接入技术与有线接入技术的一个重要区别在于可以向用户提供移动接入业务。无线接入网是指部分或全部采用无线电波这一传输媒质连接用户与交换中心的一种接入技术。 无线传输的优势：（1）综合成本低，性能更稳定。 （2）组网灵活，可扩展性好，即插即用。 （3）维护费用低。3.2.8安全技术（vlan 、acl）vlan（virtual local area network）的中文名为“虚拟局域网”。vlan是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。 vlan的优点： 1.限制网络上的广播 将网络划分为多个vlan可减少参与广播风暴的设备数量。防止广播风暴波及整个网络。使用vlan，可以将某个交换端口或用户赋予某一个特定的vlan组，该vlan组可以在一个交换网中跨接多个交换机，在一个vlan中的广播不会传播到其他的vlan。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。 2.增强局域网的安全性 含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同vlan内的报文在传输时是相互隔离的，即一个vlan内的用户不能和其它vlan内的用户直接通信，如果不同vlan要进行通信，则需要通过路由器或三层交换机等三层设备。 3.网络管理方便 因为有相似网络需求的用户将共享同一个vlan。4.增加灵活性 借助vlan技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地lan一样方便、灵活、有效。 acl访问控制列表 信息点间通信和内外网络的通信都是企业网络中必不可少的业务需求，为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，acl可以过滤网络中的流量，是控制访问的一种网络技术手段。 acl的作用：1.acl可以限制网络流量、提高网络性能。例如，acl可以根据数据包的协议，指定数据包的优先级。 2.acl提供对通信流量的控制手段。例如，acl可以限定或简化路由更新信息的长度，从而限制通过路由器某一网段的通信流量。 3.acl是提供网络安全访问的基本手段。acl允许主机a访问人力资源网络，而拒绝主机b访问。 4.acl可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。3.2.9 natnat（network address translation，网络地址转换）是将ip 数据包头中的ip 地址转换为另一个ip 地址的过程。在实际应用中，nat 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有ip 地址代表较多的私有ip 地址的方式，将有助于减缓可用ip地址空间的枯竭。nat不仅能解决了ip地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。nat的实现方式有三种，即静态转换static nat、动态转换dynamic nat和端口多路复用pat。nat工作原理：借助于nat，私有（保留）地址的“内部”网络通过路由器发送数据包时，私有地址被转换成合法的ip地址，一个局域网只需使用少量ip地址即可实现私有地址网络内所有计算机与internet的通信需求。nat将自动修改ip报文的源ip地址和目的ip地址，ip地址校验则在nat处理过程中自动完成。如图3-4所示。图3-4 nat的具体工作流程图图3-4 nat转化细节图第4章 无线网络4.1无线局域网 无线局域网(wireless local area networks，简称wlan)是相当便利的数据传输系统，它利用射频(radio frequency，简称rf)的技术，取代传统双绞线所构成的局域网络，它作为有线局域网的补充和延伸，使得通信的移动化和个性化成为了可能。 常用的计算机无线通信技术有光波和无线电波。光波包括红外线和激光，但由于光波易受天气影响，不具备穿透能力，难以实际应用。无线电波包括短波、超短波和微波等。4.2 wlan的主要技术标准 目前最普及、应用最广泛的是802.11b无线标准，2001年，ieee通过了802.11g标准，它向下兼容802.11a、802.11b的同时，网络吞吐速率54mbps，而802.11n标准是ieee推出的最新标准，它通过采用智能天线技术，可以将wlan的传输速率由目前802.11a及802.11g提供的54mbps、108mbps，提供到300mbps甚至是600mbps，引起了市场很大反响。4.3构建无线校园网的优势 有线网络在很多场合受到布线的制约；布线、改线工程量大；线路易于损坏；固定的网络各节点无法移动。遇到网络盲点时，须铺设专用通信线路，成本高，难度大、耗时长，线路一旦出现故障排查、维修不便，无线校园网较之有线校园网，具有以下几点优势： 1.网络综合成本低 随着近几年无线网络设备不断普及，无线网络成本已经接近甚至低于传统有线网络成本，而在网络施工上，无线网络最大的优势就是免去或减少了网络布线的工作量，铺设无须掘沟埋管，省去了大量线路铺设的费用和时间。 2.网络覆盖面广 只要安装了一个或多个无线接入点ap设备，就可建立覆盖整个建筑或地区的局域网络，它不受环境条件制约，网络的传输范围得到了拓宽，借助于外接天线（做链接），传输距离则可以达到3050公里甚至更远，这要视天线本身的增益而定。 3.组网灵活方便 无线局域网可以按当时的需要容量来安装设备，甚至可以“现用现装”而传统有线网络，网络设备的安放位置受到网络信息点位置的限制，一旦无线局域网建成后，在无线网的信号覆盖区域内任何一个位置都可以接入网络，进行通讯。 4.强大的移动性 无线局域网的一个重大特性就是可以“随时、随地”地实现无线通信。voip、资源共享、网络教学、视频会议等许多基于无线通信的技术将大大方便了师生们工作、学习。4.4无线校园的应用范围基础无线应用 多数高校建设无线网的目的，主要是解决难于进行综合布线的公共区域（如会议中心、图书馆等）上网问题。无线化教学 无线校园网可以对教学资源进行有效地整合和利用，其中包括已经存储在服务器中的资料，以及正在上的某一节课，从而改变传统的教学方式，解决了很多学校学生多机器少，排课困难的问题。而且可以有更多的交互性，学校精品课程、优秀教师的课堂录像资料等可以通过vod视频点播、aod音频点播，学生可以分享优秀教学资源提高了学习的效率和质量。4.5无线网络的设计原则 依照802.11b/g无线局域网的国际规范和国家无线电管理委员会的标准，在进行实际的网络设计时，我们会遵循下列原则： 1.先进性原则 采用先进的设计思想，选用先进的网络设备，使网络在今后一定时期内保持技术上的先进性。 2.可伸展性原则 网络设计在充分考虑当前情况的同时，必须考虑到今后较长时期内业务发展的需要，留有充分的升级和扩充的可能性。 3.安全性原则 网络系统的设计必须贯彻安全性原则，以防止来自网络内部和外部的各种破坏。 4.可靠性原则 网络系统的设计必须贯彻可靠性原则，使网络系统具有很高的可用性。 5.可管理性原则 网络系统应具有良好的可管理性，使得网络管理人员能方便及时地掌握诸如网络拓扑结构、网络性能统计、网络故障等信息，能简便地对网络进行配置和调整，确保网络工作在良好状态。 6.灵活性原则 在本无线网络的设计中采用定点无线网络和移动无线网络相结合的特点。这样可以使无线网络更加灵活，尤其是活动热点地区。4.6无线网络的安全机制4.6.1密码加密机制 因为无线网络是一个大的共享式网络，在无线信号覆盖范围内，终端设备发送和接受的信息都是以广播形式传递。这导致了无线网络的很不安全，因为任何一个终端发送的数据包，都会在无线网络中广播发送，若其他别有用心的人用抓包软件抓包，就可以窃取别人数据包中的信息。这种不安全性给无线网络带来了巨大的安全威胁。然而，也不必过度担忧，我们可以给无线网络加密，提高无线网络的安全性。比如： 1.使用wpa2加密wpa2是最新的安全运算法则，它贯彻到了整个无线系统，可以从配置屏幕中进行选取。 2.使用十个字符以上的密码即便是比较新的加密方案，如wpa2，也可以被那些自动套取密码的进程攻克。不见得要用长而难记的密码，大可以使用一些表达，如“makemywirelessnetworksecure”等取代原来较短的密码。或者使用更为复杂的密码，如“w1f1p4ss”。这类密码更具安全性。 3.不要使用标准的ssid许多无线路由器都自带默认的无线网络名称，也就是我们所知道的ssid，如“netgear”或“linksys”，大多数用户都不会想到要对这些名称进行更改。 wpa2加密将ssid作为密码的一部分来使用。 4.在密码中，添加数字，特殊符号和大小写字母复杂的密码增加了字符数，这样便会增加密码破解的难度。例如，如果你的密码包含四个字节，但你仅使用了数字，那么可能的密码就是10的四次方，即10000个。如果你只使用小写字母，那么密码的可能性达到36的四次方。这样就迫使攻击者测试巨大数量的密码，从而增加他解密的时间。4.6.2用户权限的分配控制机制 为何要进行用户权限的分配控制？ 校园网面对的是处于青春躁动期的年轻学生，他们求知欲强，好奇心重，精力旺盛，更有强烈的表现欲，校园网首当其冲容易成为他们实验的目标。 在校园里，不知来源的广播风暴扰乱整个网络运行，一些自诩“民间高手”的学生对节点发起攻击，大量的p2p应用，私设dhcp服务器过一把瘾的情况时有发生，加上横行不绝的垃圾邮件，蠕虫病毒扩散，让校园网这个青春时尚的网络表现得和它的使用者一样多变而躁动，令校园网管理人员防不胜防。如何实现用户权限的分配控制？结合802.1x用户认证可以实现对用户权限的灵活分配。目前可基