局域网网络优化专科毕业设计.doc

局域网网络优化郑州轻院轻工职业学院专科毕业设计（论文）题 目 局域网网络优化 学生姓名 赵汉卿 专业班级 09信息安全技术 学 号 09110060 系 别 计算机系 指导教师(职称) 贺喜玲（讲师）完成时间 2012 年 4月8 日26局域网网络优化摘 要一个高性能、高可靠性的网络系统，除了必须要具备先进的网络设备外，更需要具有系统化的网络规划及先进的网络管理手段。据统计，目前有超过70%的在使用网络设备运行在设备出厂的默认配置中，也就是说，大部分客户在网络建设时只注重追求高性能的网络设备，但在使用过程中却缺乏了根据实际情况对网络进行合理规划和有效管理，导致网络设备很多很有用的功能都无法在网络系统中发挥作用。网络技术的发展和普及，为优化商丘职业校园网管理奠定了良好的基础。本文结合目前商丘职业校园网建设的现状及存在的问题，介绍了一些新技术，提出了相应的优化设计方案，旨在为校园网的建设提供一些思路，使各地商丘职业校园网的构建能够经济、实用，并具有一定的前瞻性，真正为商丘职业的教学、科研、管理发挥尽可能大的效益。关键词 校园网/VLAN技术/网络优化 LAN NETWORK OPTIMIZATIONABSTRACTA high performance, high reliability of the network system, in addition to must want to have advanced network equipment, but also have systematic network planning and advanced network management tools. According to statistics, there are currently more than 70% in the use of the network equipment running in equipment factory default configuration, that is to say, the majority of customers in network construction only pay attention to the pursuit of high performance network equipment, but in the use of the process is the lack of a according to the actual situation of network reasonable planning and effective management of network equipment, leading to many a very useful function is unable in the network system to play a role in.The development and popularization of network technology, the optimization of Shangqiu occupation campus network management has laid a good foundation. In this paper, combined with the current occupation of Shangqiu campus network construction present situation and the existing problems, introduces some new technology, put forward the corresponding optimized design scheme, aimed at the construction of the campus network to provide some ideas, make Shangqiu occupation around the campus network to construct economical, practical, and has a forward-looking, real occupation of Shangqiu teaching, scientific research, management to play as much as possible great benefit.KEY WORDS campus network ，vlan，network optimization目 录1 绪论11.1 选题背景11.2 校园网发展现状11.2.1 网络面临的威胁21.2.2 防范对策22 网络优化新技术介绍42.1 VLAN技术42.1.1 VLAN技术简介42.1.2 VLAN技术的应用52.1.3 VLAN技术小结72.2 Trunking82.2.1 Trunking技术介绍82.2.2 Trunking的优点92.3 第三层交换技术92.3.1第三层交换技术简介92.3.2 实例92.3.3 过程102.3.4 概述112.3.5 第三层交换技术小结123 商丘职业校园网网络优化143.1 商丘职业校园网网络的现状分析143.2 原有网络存在的问题153.2.1安全性弱153.2.2 可靠性弱153.2.3 性能弱163.2.4 可管理性弱163.3 商丘职业校园网的网络优化升级163.3.1 网络物理结构改造163.3.2 逻辑结构改造173.3.3 网络管理183.4 网络测试193.5 优化前后网络对比224 结论22结束语23致 谢24参考文献251 绪论1.1 选题背景随着计算机及计算机网络的迅速普及，局域网的效率提高越来越受到网络工程人员的关注又由于计算机硬件的飞速发展、软件迅速更新换代和用户需求的不断提高，刚刚组建不久的局域网就有可能面临着被淘汰的危险因此，为发挥现有网络的作用，在已有的计算机体系结构、网络拓扑结构和设备基本不变的情况下， 网络工程人员总是试图通过优化现有网络以提高性能，因此确定局域网优化所需要的解决的基础存在与否，优化的关键问题和方法便受到了普通重视。一个高性能、高可靠性的网络系统，除了必须要具备先进的网络设备外，更需要具有系统化的网络规划及先进的网络管理手段。据统计，目前有超过70%的在使用网络设备运行在设备出厂的默认配置中，也就是说，大部分客户在网络建设时只注重追求高性能的网络设备，但在使用过程中却缺乏了根据实际情况对网络进行合理规划和有效管理，导致网络设备很多很有用的功能都无法在网络系统中发挥作用。一个商丘校园网络的规划和管理，是一个涉及面广、技术含量高的系统工程。即要考虑最大限度地满足学校目前教学及管理工作的需要，又要考虑学校事业发展所带来的需求增长。即要考虑尽量采用目前公认的先进网络技术，又要考虑到学校经济上的承受能力。商丘职业校园网络系统建于2000年5月，网络内所有交换设备均使用3COM公司的交换机，这些网络设备都不算落后，可以支持目前的主流以太网技术，但是网络缺乏合理规划和有效管理，一方面造成硬件资源利用不充分，降低了网络的性能，更重要的是网络存在着严重的安全性和可靠性隐患。1.2 校园网发展现状随着计算机网络的发展，网络已经成为各种信息快速、方便地传播的通道。目前，很多学校都建成了校园网，并通过各种方式联入了互联网。学校师生在享受互联网带来的种种便利的同时，不安全因素也常常来到他们身边肆意横行，干扰系统的正常运行，造成计算机运行速度变慢、频繁死机、一些软件不能正常使用等现象，甚至造成数据被破坏、网络及服务器瘫痪等问题，影响正常的教学、科研等工作。1.2.1 网络面临的威胁 与其它网络一样，校园网面临的威胁大体可分为对网络中数据信息的危害和对网络设备的危害。具体来说，危害网络安全的主要威胁有：非授权访问，即对网络设备及信息资源进行非正常使用或越权使用等；冒充合法用户，即利用各种假冒或欺骗的手段非法获得合法用户的使用权限，以达到占用合法用户资源的目的；破坏数据的完整性，即使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用；干扰系统正常运行。除此之外，Internet非法内容也形成了对网络的另一大威胁。IDC的统计曾显示，有3040的Internet访问是与工作无关的，甚至有的是去访问色情、暴力、反动等站点。在这样的情况下，Internet资源被严重浪费。而对校园网来说，面对形形色色、良莠不分的网络资源，如不具有识别和过滤作用，不但会造成大量非法内容或邮件出入，占用大量流量资源，造成流量堵塞、上网速度慢等问题，而且某些网站如娱乐、游戏、暴力、色情、反动消息等不良网络内容，将极大地危害青少年的身心健康，导致无法想象的后果。1.2.2 防范对策 (1),加强校园网安全管理政策建设。安全政策描述校园网安全的目标和需求，是一个组织安全管理的需求说明，它是执行各项管理制度、技术措施的依据，一般规定“做什么”而不是“怎么做”，告诉用户哪些行为是允许的、哪些行为是不允许的，违反了这些约定将会受到怎样的处罚。目前很多学校以安全管理规定、安全条例、安全管理办法等形式发布。一个可行的安全政策应该根据我国的相关法律、法规以及学校的管理制度和具体情况制定，不存在通用的、可实施的安全政策。安全政策应该让所有的校园网用户知道，对校园网用户，无论是内部单位还是学生个人，都可以以签署入网协议的形式让用户知道学校的安全管理政策，一方面起到提高安全意识的作用，同时明确责任和义务，便于对安全事故的处理。(2),加强安全组织建设。目前普遍认为校园网安全管理工作应该由网络/信息/计算中心承担，但是事实上，安全管理工作非常复杂，可能涉及各单位人员和业务，因此必须由学校具有决策权的机构和领导组织和协调各单位的管理工作，比如，成立信息安全管理委员会和专门的办公室。另外，安全管理各项措施的实施,单纯依靠网络中心的力量也是不充分的。各单位安全管理分级负责的组织体系建设仍然是必要的。加强用户安全意识和管理员安全技术的培训工作非常重要。(3),病毒防范。各种类型网站和程序的应用，造成病毒泛滥，形成对网络安全的严重冲击，同时学生经常使用可以移动存储设备在不同的计算上拷贝文件，造成病毒感染。在整个网络中一旦有一个计算机中了病毒，病毒就会在网络中迅速传播，导致整个网络瘫痪，给校园网络的维护带来极大的麻烦。我们提出病毒安全智能点前置的安全方案，即在网络的汇聚三层交换机上实施不同的病毒安全策略。我们通过在交换机上设置相应的病毒策略，配合我们的认证客户端软件，能具体侦测到具体的计算机上有病毒。当交换机侦测到病毒后交换机立即给用户发布信息提示用户杀毒，并启动网络管理员配置的断开该用户的时间程序，比如管理员设定的时间是2小时，在发现有病毒2小时后，开通该用户的网络，再次检测是否有病毒，如果用户已经杀掉病毒，就为他开通。如果没有杀掉继续关闭，然后以2小时为时间段循环检测，直到病毒被杀掉。这种策略做到了有病毒的计算机不能使用网络，同时网络中心也知道具体的用户中了病毒，利于网络管理员定位和发现病毒源，保证整个网络无病毒运行。(4),安全监控。针对当前内网安全薄弱的现实情况，在业内率先推出的能够实现内网个人访问控制和访问跟踪的安全产品。是首家把宽带接入、安全控制和访问跟踪综合为一体的安全路由交换机，能把以前防火墙想做的却一直做不到的事做到了，即把出网访问安全控制前移到用户的接入点。革新了传统的网络安全模式和思维，克服了传统网络“外强中干”的缺陷。使用三层交换机的网络监控软件，实现了对网络的即时监控，这些监控包括：实时记录电脑工作台的屏幕快照；通过重播器可随时播放已记录的历史画面；可自由选择每次记荧幕快照的时间间隔；同时监控一个或多个工作站等多种功能。同时还具有对用户的控制功能。包括：只有用户持有USB密钥和密码才能在指定电脑上网，禁止使用指定的应用程式，禁止或只运行浏览指定的网站，锁定工作站和登出、重启或关闭工作站并对所监控的数据进行分析归类。我们的网络监控在校园网的应用，可以知道学生的上网的情况，即使发现并阻止学生上不健康的网站。正确引导学生使用网络，确保学生不受不良网络的影响。(5),防范代理。目前，在校园网网络建设中，利用客户端所在机器上安装代理服务器软件实现多人共用一个账号上网的现象非常普遍，如Wingate、Sygate、Windows提供的网络共享功能或是使用SOHO路由器实现网络共享。这样学校提供给学生一条上网的线路，就会给多个学生使用，大大消耗了网络资源，给学校的运营带来很大的损失。使用我们的三层交换机上的802.1x扩展功能和802.1x客户端，就能防止非认证的用户借助代理软件从已认证的端口使用服务或访问网络资源，需侦测出被代理用户和代理服务器之间代理关系，已认证通过的客户端被当作代理服务器使用。正真做到学校提供一个网络端口只能一个用户上网。(6),专业打假。学生是一个不安分、好奇心强的群体，他们会一方面把学校的网络当作一个实验环境，测试各种网络功能，另一方面，他们在不断地寻找方法摆脱学校对学生网络资源使用的控制。现在遇到的除了代理外还有假冒DHCP SEVER和假冒IP、MAC给学校的运营管理带来很大的麻烦。一些活跃的学生用自己的计算机和操作系统配置一个DHCP SEVER，使在网络上的计算机从假冒的DHCP SEVER了解到IP地址，导致合法用户不能登陆到DHCP提供的正确IP地址而无法使用网络资源。我们通过在会聚三层交换机和客户端软件配合，如果发现有假冒的DHCP SEVER，将立即封掉该账户，让他不能享用网络资源。并且，认证方式基于用户流而不是物理端口，假冒的IP和MAC在这里就起不到任何作用。2 网络优化新技术介绍2.1 VLAN技术2.1.1 VLAN技术简介VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。2.1.2 VLAN 技术的应用近来参加了不少医院网络方案的讨论和评标活动，在几乎所有医院的方案中都或多或少地采用了虚拟局域网(VLAN)技术，但笔者发现大多数方案中的VLAN设计都存在一个共同且致命的缺陷，那就是VLAN跨越网络的核心。本文就这个问题谈一谈自己的看法，供同行们参考。2.1.2.1 VLAN相互受影响根据VLAN的定义和技术规范，VLAN不是由独享的物理设备和物理链路搭建的物理子网或网段，VLAN与实实在在的物理子网的本质区别在于，VLAN之间要共享物理设备和物理链路，因此，VLAN间就会通过所共享的设备和链路相互影响。这种影响是如何产生的呢?VLAN是通过将一个物理拓扑中的两个或多个节点通过逻辑组合而形成的，要想实现这种逻辑的组合就必须使用支持VLAN的交换设备，但真正提供VLAN功能的是这些设备内部的软件。也就是说，VLAN所构造的子网(广播域)是软件实现的，而不是由网络拓扑所决定的。网络拓扑仅对由软件所建立的VLAN有所限制。知道了VLAN的工作原理，就不难解释VLAN间的影响了，同一交换机上的不同VLAN要共享交换机、要争夺交换机的CPU和背板资源。VLAN对交换机和链路的共享可分为两种类型:一种是“广播共享”，即VLAN划定的广播域贯穿共享设备和链路(如图1所示)，换句话说广播共享是二层的共享。另一种我们称之为“路由共享”，也可以说是三层共享，在这种类型的共享中，不同VLAN的数据包是以路由(三层交换)方式穿过交换机的(如图2中虚线所示)，通过的包基本上不含有一般的广播包(DHCP和特殊协议的广播除外)。VLAN在“广播共享”网络资源时的相互影响要比“路由共享”时更大。在正常情况下，VLAN间的这种影响不被我们所注意，原因是共享的交换机有足够的交换能力，链路不是很拥挤，但在某一VLAN出现异常时(如感染病毒或出现环路)情况就不同了。这时被感染VLAN(如VLAN1)中的大量数据帧将挤占该VLAN所及的所有交换机的CPU资源、背板带宽，并长时间占用物理链路，其他VLAN(如VLAN2)中的设备尽管“看”不到出现异常VLAN中的数据帧，但其所依赖的网络资源已被用尽，因此，VLAN1所覆盖的网络区域就会出现异常。如果故障点发生在核心交换机附近，那么整个网络就有可能瘫痪。这在各网络拓扑层交换机的性能相差不多的情况下尤为严重。2.1.2.2三层共享有作用由VLAN的性质所决定，完全消除VLAN间的链路和设备的共享在理论上是不可能的。我们所做的努力只能尽量减少相互影响的范围、降低相互影响的程度。如何做到这一点呢?在实践中我们总结出如下原则:应尽量避免在同一交换机中配置多个VLAN;不同物理位置上的交换机上的端口尽量不要划归到同一个VLAN。前者较好理解，也容易实现，我们重点讨论后者，即如何做到VLAN不跨越核心交换机和拓扑结构的“层”。由于VLAN1(VLAN2也是这样)的范围跨越了整个网络，如果把所有VLAN的覆盖面都限定在核心交换机的同一侧，这些资源被共享的程度不就减轻了吗?由于在这种结构中不存在跨越核心交换机的虚网，因此各VLAN的广播包就不会穿过核心交换机，但这些广播包却均能到达核心交换机，同时核心交换机上还会有ACL允许的VLAN间的正常数据流通过。很显然，这时的核心交换机既阻挡了各VLAN的广播包，又转发了VLAN间的正常数据流，其被共享的形式由“广播式”变成了“路由式”，受VLAN影响的程度变小。有人可能会说，把核心交换机从二层提到了三层，性能会下降。这种说法无疑是正确的，但这点性能的降低对于当今的三层交换机所能提供的性能来说已经算不得什么了。尽管受单个VLAN影响的程度和范围均变小，但共享链路的长度和强度并没有本质的变化。2.1.2.3三层结构最有效不同物理位置上的计算机能像在同一物理网中一样相互访问。这个问题正是本文涉及的核心问题，也是针对规划、部署VLAN提出的新观点:在网络中，特别是较大型网络，不要企图利用VLAN去实现不同物理位置上计算机的互联互通，互通性要由路由策略去实现。这在以往会有些问题，但网络技术发展到今天，交换机与路由器间的差别变得越来越小，原来用二层实现的方法很多都能够用三层技术所代替。用三层技术代替二层的功能有很多优点，主要表现在:结构更加清晰、控制更加丰富、扩展更加灵活、网络更加稳定、实现更加容易。尽管核心交换机被共享的形式改变了，但仍存在受到各VLAN出现异常情况的影响。要想避免核心交换机受到各个VLAN的影响、减小影响范围、避免全网瘫痪的发生，很容易想到在核心交换机和划有VLAN的交换机之间加上一层，以隔离核心交换机和各个VLAN。在三层网络结构中，汇聚层与核心层之间的区域不再有VLAN，汇聚层交换机的VLAN也仅限于部分端口，这时汇聚层交换机成为被“路由共享”的交换机，而且这种“路由共享”的情况更弱。如果使汇聚层交换机的性能远高于接入层的交换机，那么由VLAN的广播(多由病毒引起)所引起的整网瘫痪问题就基本解决了。任何方案都具有利的一面和不利的一面，三层拓扑结构的网络也会带来一些问题:利用一般的手段较难实现对各个VLAN进行集中式的远程管理，对于这个问题的解决方案可充分利用网管软件。由于VLAN数量的增多、路由协议等技术的引入，此时的网络会比二层平面交换网络要复杂，对网络技术人员的要求更高，管理维护成本会有所增加。这两点是大型网络管理本身的要求，大型网络的管理不可能不使用网络管理工具，技术人员的缺乏更是各个企业都面临的问题，对此有的专家提出了“IT物业”的理念，也许这就是将来解决这个问题的最终方案。2.1.3 VLAN技术小结虚拟网技术(VLAN)主要基于近年发展的局域网交换技术（ATM和以太网交换）。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制，但应用了交换机和VLAN技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入（改变）问题。由以上运行机制带来的网络安全的好处是显而易见的：信息只到达应该到达的地点。因此，防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。2.2 Trunking 2.2.1 Trunking技术介绍Trunking是用来在不同的交换机之间进行连接，以保证在跨越多个交换机上建立的同一个VLAN的成员能够相互通讯。其中交换机之间互联用的端口就称为Trunk端口。trunk这个词是干线或者树干的意思，不过一般不翻译，直接用原文。与一般的交换机的级联不同，Trunking是基于OSI第二层的。假设没有Trunking技术，如果你在2个交换机上分别划分了多个VLAN（VLAN也是基于Layer2的），那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通，就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联，端口效率就太低了。 当交换机支持Trunking的时候，事情就简单了，只需要2个交换机之间有一条级联线，并将对应的端口设置为Trunk，这条线路就可以承载交换机上所有VLAN的信息。这样的话，就算交换机上设了1024个VLAN也只用1 个端口就解决了。在Cisco的交换机上，还同时支持在EtherChannel方式下使用Trunking。例如当2或4条线路绑定成1 个FastEtherChannel或者GigaEtherChannel时，只要将Channel中的某个端口设为Trunk，Channel涉及的所有端口即变为Trunk模式。打比喻来说，链路聚合就如同超市设置多个收银台以防止收银台过少而出现消费者排队等候过长的现象。通过配置，可通过2个、3个或4个端口进行捆绑，分别负责特定端口的数据转发，防止单条链路转发速率过低而出现丢包的现象。 2.2.2 Trunking的优点(1),价格便宜，性能接近千兆以太网。(2),不需重新布线，也无须考虑千兆网令人头疼的传输距离极限。(3),Trunking可以捆绑任何相关的端口，也可以随时取消设置，这样提供了很高的灵活性。(4),Trunking可以提供负载均衡能力以及系统容错。由于Trunking实时平衡各个交换机端口和服务器接口的流量，一旦某个端口出现故障，它会自动把故障端口从Trunking组中撤消，进而重新分配各个Trunking端口的流量，从而实现系统容错。以太通道技术是通过在两点间并行多条物理链路，逻辑上合并为一条链路，增加主干带宽。采用这一技术，我们可以最多采用4条千兆线路，得到主干上的4Gbps（全双工8Gbps）高速通道。2.3 第三层交换技术2.3.1第三层交换技术简介第三层交换技术是1997年前后才开始出现的一种交换技术，最初是为了解决广播域的问题。经过多年发展，第三层交换技术已经成为构建多业务融合网络的主要力量。简单地说，可以处理网络第三层数据转发的交换技术就是第三层交换技术。所谓第三层交换技术,简单的理解就是利用交换技术实现了第三层的功能。而第三层的功能主要是利用第三层的地址实现报文的路由功能。三层交换机采用硬件技术实现对报文的路由和转发,同时采用快速的背板交换技术,使得三层交换机所提供的报文路由转发的效率要比传统的路由器高出许多倍。可以说第三层交换机本质上是用硬件实现的一种高速路由器。在今天的网络建设中，新出现的三层交换机已成为我们的首选。它以其高效的性能、优良的性能价格比得到用户的认可和赞许。目前，三层交换机在企业网/校园网建设、智能社区接入等等许多场合中得到了大量的应用，市场的需求和技术的更新推动这种应用向纵深发展。2.3.2 实例假设两个使用IP协议的站点A、B通过第三层交换机进行通信，发送站点A在开始发送时，会先拿自己的IP地址与B站的IP地址进行比较，判断B站是否与自己在同一子网内。若目的站B与发送站A在同一子网内，则进行二层的转发。具体步骤如下：为了得到站点B的 MAC地址，站点A首先发一个ARP广播报文，请求站点B的MAC地址。该ARP请求报文进入交换机后，首先进行源MAC地址学习，芯片自动把站点A的MAC地址以及进入交换机的端口号等信息填入到芯片的MAC地址表中，然后在MAC地址表中进行目的地址查找。由于此时是一个广播报文，交换机则会把这个广播报文从进入交换机端口所属的VLAN中进行广播。B站点收到这个ARP请求报文之后，会立刻发送一个ARP回复报文，这个报文是一个单播报文，目的地址为站点A的MAC地址。该包进入交换机后，同样，首先进行源MAC地址学习，然后进行目的地址查找，由于此时MAC地址表中已经存在了A站点MAC地址的匹配条目，所以交换机直接把此报文从相应的端口中转发出去。通过以上一次ARP过程，交换芯片就把站点A和B的信息保存在其MAC地址表中。以后A、B之间进行通信或者同一网段的其它站点想要与A或B通信，交换机就知道该把报文从哪个端口送出。还必须说明的一点是，当查找MAC地址表的时候发现找不到匹配表项，该报文又不是广播或多播报文，此时此报文被称为DLF（Destination Lookup Failure）报文,交换机对此类报文的处理就象对收到一个广播报文处理一样，将此报文从进入端口所属的VLAN中扩散出去。从以上过程可以看出，所有二层转发都是由硬件完成的，无论是MAC地址表的学习过程还是目的地址查找确定输出端口过程都没有软件进行干预。2.3.3 过程如上例，站点A、B通过三层交换机进行通信。站点A和B所在网段都属于交换机上的直连网段，若站点A和站点B不在同一子网内，发送站A首先要向其“缺省网关”发出ARP请求报文，而“缺省网关”的IP地址其实就是三层交换机上站点A所属VLAN的IP地址。当发送站A对“缺省网关”的IP地址广播出一个ARP请求时，交换机就向发送站A回一个ARP回复报文，告诉站点A交换机此VLAN的MAC地址，同时可以通过软件把站点A的IP地址、MAC地址、与交换机直接相连的端口号等信息设置到交换芯片的三层硬件表项中。站点A收到这个ARP回复报文之后，进行目的MAC地址替换，把要发给B的包首先发给交换机。交换机收到这个包以后，同样首先进行源MAC地址学习，目的MAC地址查找，由于此时目的MAC地址为交换机的MAC地址，在这种情况下将会把该报文送到交换芯片的三层引擎处理。一般来说，三层引擎会有两个表，一个是主机路由表，这个表是以IP地址为索引的，里面存放目的IP地址、下一跳MAC地址、端口号等信息。若找到一条匹配表项，就会在对报文进行一些操作（例如目的MAC与源MAC替换、TTL减1等）之后将报文从表中指定的端口转发出去。若主机路由表中没有找到匹配条目，则会继续查找另一个表网段路由表。这个表存放网段地址、下一跳MAC地址、端口号等信息。一般来说这个表的条目要少得多，但覆盖的范围很大，只要设置得当，基本上可以保证大部分进入交换机的报文都走硬件转发，这样不仅大大提高转发速度，同时也减轻了CPU的负荷。若查找网段路由表也没有找到匹配表项，则交换芯片会把包送给CPU处理，进行软路由。由于站点B属于交换机的直连网段之一，CPU收到这个IP报文以后，会直接以B的IP为索引检查ARP缓存，若没有站点B的MAC地址，则根据路由信息向B站广播一个ARP请求，B站得到此ARP请求后向交换机回复其MAC地址，CPU在收到这个ARP回复报文的同时，同样可以通过软件把站点B的IP地址、MAC地址、进入交换机的端口号等信息设置到交换芯片的三层硬件表项中，然后把由站点A发来的IP报文转发给站点B，这样就完成了站点A到站点B的第一次单向通信。由于芯片内部的三层引擎中已经保存站点A、B的路由信息，以后站点A、B之间进行通信或其它网段的站点想要与A、B进行通信，交换芯片则会直接把包从三层硬件表项中指定的端口转发出去，而不必再把包交给CPU处理。这种通过“一次路由，多次交换”的方式，大大提高了转发速度。需要说明的是，三层引擎中的路由表项大都是通过软件设置的。2.3.4 概述至于何时设置、怎么设置并不存在一个固定的标准，我们在此也不详细讨论。一个单播IP报文从进入三层交换机到转发出去一般来说走以下流程：通过以上流程我们可以了解报文在交换机中的执行过程，同时我们也可以清楚的看出三层交换机是如何充分把传统交换机和路由器的优势有机的结合在一起。在实际应用的网络环境中，对于跨网段通信的需求不断提高，过去的网络在一般情况下按“80/20分配”规则，即只有20%的流量是通过骨干路由器与中央服务器或企业网的其他部分通信，而80%的网络流量主要仍集中在不同的部门子网内。而今天，这个比例已经提高到了50%，甚至80%（倒二八，20/80），这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电子信函，新型应用已经如此迅速和深刻地冲击着网络，比如，任何人通过任何一个浏览器便可进行访问设定的网页，支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。处于网络核心位置的路由器的高费用、低性能使其成为网络的瓶颈，但由于网络间互连的需求，它又是不可缺少的。虽然也开发了高速路由器，但是由于其成本太高，所以仅用于Internet主干部分。三层交换机将二层交换机和三层路由器两者的优势有机而智能化的结合在一起，在各个层次上提供线速性能，从而解决了传统路由器低速、复杂所造成的网络瓶颈问题。在没有广域网连接需求的场合，用于连接不同子网的传统路由器正在以极快的速度被三层交换机所代替。2.3.5 第三层交换技术小结三层交换从概念的提出到今天的普及应用，虽然只历经了几年的时间，但其在网络建设中的应用越来越广泛，从最初骨干层、中间的汇聚层一直渗透到边缘的接入层。三层交换机以其速度快、性能好、价格低等众多的优势已经把路由器排挤到网络的“边缘”。凡是没有广域网连接需求，同时又需要路由器的地方，都可以用三层交换机代替。随着ASIC硬件芯片技术的发展和实际应用的推广，三层交换的技术与产品会得到进一步发展。由于Internet/Intranet的迅速发展，以及多媒体应用的普及，对网络的性能提出了越来越高的要求，促使新的技术不断出现，第三层交换就是其中之一。第三层交换技术提供了广泛的第二层和第三层的功能，同时还可在多种网络接口还可在多种网络接口类型上提供线速性能。采用第二层交换和第三层交换的结合能够：大幅度提升网络性能，使升级费用保持在最低水平将网络升级至新技术，并避免复杂性、对性能的损害及瓶颈实现确保下一代网络应用安全运行的策略。第三层交换是采用Intranet的关键。第三层交换是一个模型，它将第二层交换机和第三层路由器两者的优势结合成一个灵活的解决方案，可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，它不仅使第二层与第三层相互关联起来，而且还提供流量优先化处理、安全及多种其它的灵活功能。当网络规模达到一定程度后，对子网划分的要求便提上日程。一个中、大型网络中，由于站点密布，单一网络下广播风暴的风险日益增加。因此，需要将单一网络拆分为多个子网，将广播隔离带子网内部。子网划分主要依据应用范围而定，保证同类应用能够以交换速度进行交互传输。但子网之间并非不需要通讯，透过子网间通讯过去是有大型路由器充当中心的。通常的路由器基于软件。路由器处理的路由协议主要为广域协议，种类繁多，需要极强的处理能力，这使路由器的价格十分高昂。局域网内子网之间的路由仅用到少数路由协议，采用基于路由软件的大型路由器明显比较浪费，而且处理速度并不快，导致瓶颈的产生。这就类似当初采用软件网桥处理网段间桥接的需求一样。相对第三层，第二层被采用的程度决定了所谓的网络控制分类，一个纯第二层的解决方案，却“处处交换”，是最便宜的方案，但它在划分子网和广播限制等方面提供的控制也最少。而第三交换机能为分类中的所有层次提供动态的集成和支持。传统的通用路由器与这种解决方案相比，第三层交换机需要更少的配置，最小的空间，更少的布线，价格更便宜，并能提供更高的性能。第一代交换机是分立的电子元件和原语式的软件框架的混合体。软件的功能运行在一个有固定内存的处理机上，当用户的日常业务更加依赖于网络，网络上的流量增多，网络设备便成了瓶颈。虽然处理机和存储器变得越来越快和有效，但依然赶不上流量增加的水平。解决问题的第一步是简化网络层：用交换机取代路由器，以减低处理数包的开销并显著低提高事物处理速度。第三层交换技术是通过将局域网内常用的路由协议，如IP、IPX等，固化到硬件电路中，犹如当初将网桥技术固化到交换电路中一样，这样做的结果是极大的提高了局域网子网连接中心的路由速度。因此，第三等交换技术又称为路由交换技术。接口层包含了所有重要的局域网接口：10/100以太网，千兆以太网。交换层集成了多种局域网接口并辅之以策略管理，同时还提供Trunking 、VLAN和标签机制。路由层提供主要的LAN路由协议IP、IPX和AppleTalk，并通过策略管理，提供传统路由或直通的第三层转发技术。策略管理和行政管理使到网管员能够根据企业的特定需求调整网络。第三层交换技术的出现意味着第三代交换技术的来临。这一代并不仅是建立在第二代的进展上，而且为第三层路由、组播(Multicast)及用户可选的策略（Policy）等方面提供了线速性能，第二层与第三层的性能不再是不一致的了。第三层交换技术本身不是一种新的技术分类。第三层交换技术是建筑在现有的网络技术（如以太网）之上的。现有的网络技术原则均处于网络七层协议的第二层，而第三层交换技术是将路由协议引入交换机，使网络更易于管理，工作效率更高。第三层交换技术同时具有增强网络管理和提供多主干路径自动选择的强大功能。第三层交换技术的出现使网络链路冗余的实现变得简易了。由于实现了OSPF动态路由协议，设备会自动选择最合适路径。但主路径失效后，设备会很快建立新的传输路径。因此，采用第三层交换技术，我们可以在以太主干中自由采用各种拓扑，如环型拓扑及网状拓扑等，而不局限在星型拓扑一种。3 商丘职业校园网网络优化3.1 商丘职业校园网网络的现状分析我校校园网络结构现状如图3-1所示，信息中心大楼采用一台3COM 3500交换机作为核心交换机，本大楼其余三台3COM 3300交换机分别连接本大楼桌面计算机及多台服务器，这三台3COM 3300交换机分别通过100M以太网端口上联到3COM 3500的三个100M以太网端口。1号教学楼采用了7台3COM 3300交换机连接各部门桌面计算机，1-5台分别通过100M以太网端口上联到本大楼3COM 3500的五个100M以太网端口，其他两台先级联后再通过一个100M以太网端口上联到本大楼3COM 3500的一个100M以太网端口。然后本大楼3COM 3500通过千兆光纤模块上联到信息中心大楼的3COM 3500的千兆光纤模块。2号楼采用4台3COM 3300连接桌面计算机，4台交换机级联后通过一个千兆光纤模块上联到信息中心大楼3COM 3500交换机的千兆模块。3号楼采用1台3COM 3300连接桌面计算机，这台交换机通过一个百兆光纤模块上联到信息中心大楼3COM 3300交换机的百兆光纤模块。目前网络结构规划采用IP划分子网方式，整个网络按不同部门划分了3个C类地址的网段(192.168.0.0/24，192.168.1.0/24，192.168.2.0/24),防火墙、服务器等共享资源在网段192.168.0.0/22内。各交换机均使用产品出厂配置，没有配置VLAN，三层交换等功能。 图3-1 商丘职业校园网现状3.2 原有网络存在的问题3.2.1安全性弱网络通过划分IP子网进行访问控制，只能在理想状态下实现安全的访问控制。一旦电脑使用者私自改动IP地址，这种控制方式就显得无能为力，存放敏感数据的电脑就随便可供访问了。3.2.2 可靠性弱单链路上联容易出现单点故障，一旦链路出现故障，所连的交换机将停止工作，严重影响了网络的正常运作。3.2.3 性能弱单链路上联在信息点密集的地方会出现瓶颈，当网络集中向上联链路访问时，会严重影响网络性能。纯粹依靠IP划分子网并不能彻底解决广播风暴问题，广播风暴严重降低了网络性能，严重时会堵塞网络。3.2.4 可管理性弱网络缺乏有效的管理手段，不能提前预测网络潜在的问题，当网络出现故障时，故障点难以判断，让网络管理者无从下手。上述我校校园网的现状及存在的问题，更加说明了校园网的优化及管理工作是十分重要和十分复杂的。当前，商丘职业校园网在管理方面亟待加强。很多学校建成校园网后，对于网络管理基本上是对硬件网络资源的维护和利用一些管理软件进行一些简单的管理，校园的很多功能被闲置。3.3 商丘职业校园网的网络优化升级3.3.1 网络物理结构改造如图3-2所示，边缘交换机3COM 3300采用堆叠方式连接，为了节省堆叠矩阵模块的费用投入，每个堆叠直接通过堆叠电缆堆叠2台。每个堆叠中各交换机之间的交换可提升到1G。各个堆叠利用Trunking技术采用3条100M链路级连后再利用Trunking技术采用3条100M链路上联到上一级交换机，上联速度从原来的100M提升到300M(全双工600M)，并且即使1条或2条上联连路出现故障时，仍然可以保证网络正常运行。信息中心楼2台边缘交换机3COM 3300组成一个堆叠，再Trunking到第3台，然后通过3个快速以太网通道利用Trunking上联到核心3500交换机上。1号楼7台边缘交换机3COM 3300组成3个堆叠，然后每个堆叠分别Trunking后通过3个快速以太网通道利用Trunking上联到本大楼核心3500交换机上，然后通过千兆光纤模块上联到信息中心楼的核心交换机3500。2号楼2台边缘交换机3COM 3300组成1个堆叠，再级连2台Baseline系列交换机（不支持堆叠及Trunking）然后直接接通过千兆光纤模块上联到信息中心楼的核心交换机3500。3号楼1台边缘交换机3COM 3300直接通过百兆光纤模块上联到信息中心楼的3300心交换机。 图3-2 商丘职业校园网屋里结构改造 3.3.2 逻辑结构改造如图3-3所示，把校园网内所有工作站及服务器连接的交换端口按不同的职能部门及应用需求，划分不同的VLAN，如财务、校长、教师、学生、服务器、测试等等。VLAN的划分，有效控制了广播风暴对网络的严重影响。不同VLAN之间的相互通讯，通过3500交换机的第三层交换功能实现。第三层交换使各个不同网段的VLAN通过RIP、OSPF等动态路由协议实现快速路由。当某些敏感部门的VLAN需要限制其它VLAN访问时，可通过QOS服务控制禁止某些受限制的数据通过。如财务VLAN应该禁止其它所有VLAN的访问。 图3-3 商丘职业校园网逻辑结构改造3.3.3 网络管理网络管理是维持网络正常运行的一个有效手段。科学的网络管理有助于提高网络性能，提前预测网络故障，并在网络出现故障时最短时间排除故障。实施办法是：设置一台PC作为网管工作站，并运行3COM网管软件3NS。 图3-4 网管软件3NS演示1 图3-5 网管软件3NS演示23NS使用管理简单，可实现自动搜索所有3COM网络设备、绘制网络拓扑图、网络状态监测、网络统计数据、事件记录与报警系统等功能。由于3COM设备都内置WEB管理引擎，因此还可通过网管工作站对所有3COM设备进行统一管理。3.4 网络测试我们对商丘职业校园网络优化之后，有必要进行网络连通测试，检验网络是不是连通状态。下面我们进行分步骤地进行网络测试：第一、一般都是使用LAN电缆测试器，我们知道电缆测试器是一种比较便宜的专用网络测试工具。通常电缆测试器有两个部分组成：一个是主测试器，另一个是远程测试端，主测试器或远程测试端上有一组指示灯（有的电缆测试器主测试器和远程测试端各有一组指示灯）、RJ-45接头的插口、BNC接头的插口。检测时将LAN电缆两端的接头插入对应的插口中，打开电缆测试器电源，当网络传输介质LAN电缆导通正常