【毕业论文】路由交换技术

毕业设计课题名称路由交换技术姓名学号班级专业计算机网络技术所在系网络技术系指导教师完成日期2016115摘要21世纪是一个以网络为基础的信息时代。作为计算机技术和通信技术相结合的产物，计算机网络在这个时代发挥着它不可估量的作用，对人们的工作、学习、生活、行为和思维方式都产生着重要的影响。随着网络的逐步普及，中小型企业的建设是企业向信息化发展的必然选择，企业网络系统是一个非常庞大而复杂的系统，它不仅为企业现代化、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而中小型企业工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，因此本毕业设计课题将主要以中小型局域网络建设过程可能用到的各种技术及实施方案为设计方向，为中小型企业的建设提供理论依据和实践指导。企业规模的不断壮大和业务量的不断增加，原有的工作方式已不能满足现代企业的需要，特别是对突发事件的处理能力与速度的需求。现代企业如果没有信息技术的支持，就不能称之为现代企业。随着网络技术的不断成熟、网络产品价格的不断下降，以及对数据传输和信息交换需求的不断增加，现在各企业均正在或已搭建了企业内部局域网，因为，企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。关键词局域网搭建路由交换技术配置目录一、前言4二、项目需求分析4一项目背景4二企业网络描述5三、网络总体建设目标6一网络总体规划6二网络建设8三网络设计原则以及建设目标9四网络层次化设计9四、路由、交换设计9一设备选择9二设备命名规范10三VLAN、子网及IP地址规划（1921681030）10四路由协议13五交换技术13六IPV614五、服务器设计14六、网络安全解决方案15一网络边界安全威胁分析15二网络内部安全威胁分析15三解决方法16七、关键技术介绍16一VLAN技术16二VTP协议17三TRUNK技术17四HSRP协议18五SPANNINGTREE协议18六UPLINKFAST19七ETHERCHANNEL19八NAT技术20九ACL技术20十集群技术21十一PPP技术21十二DNS服务器22十三FTP简介23十四FILE服务器24十五MAIL服务器24十六WEBSERVER与HTTP25十七AD服务器25十八DHCP26十九EASYVPN27二十VOIP27二十一QOS28八、总结28九、致谢29十、参考文献30一、前言网络改变了人们的生活，地球变成了地球村，全世界的人可以随时进行网络交流。信息资源的共享，带来社会生产力空前提高，互联网与人们生活越来越密切，如网上证券期货交易、远程电子视频会议、网上购物等应用使得人们的生活已经越来越离不开网络，由此，信息高速公路的建设变得十分重要。企业规模的不断壮大和业务量的不断增加，原有的工作方式已不能满足现代企业的需要，特别是对突发事件的处理能力与速度的需求。现代企业如果没有信息技术的支持，就不能称之为现代企业。随着网络技术的不断成熟、网络产品价格的不断下降，以及对数据传输和信息交换需求的不断增加，现在各企业均正在或已搭建了企业内部局域网，因为，企业网络的建设是企业向信息化发展的必然选择。企业网络为企业的现代化发展、综合信息管理和办公自动化等一系列应用提供了基础平台。本设计结合中小企业实际需求，举例分析、设计、配置、模拟组建了一个典型的中小企业网络。二、项目需求分析一项目背景安博公司是一个教育公司，是“以学习者为中心”面向个人及机构提供学习和教育服务的机构，致力于通过领先的技术方案、高品位的教育服务和变革性的创新资源，完善个体的终生学习和学习型组织的发展进程，助力于全社会的创新能力和国民素质的提升。集团的业务涉及基础教育服务、职业教育服务、企业培训等领域，安博高考与同步培训机构、安博国际学校、安博实训基地、安博职业教育学院、安博学习体验中心等机构已遍及全国二十多个重点城市，形成了以区域教育服务中心和实训基地为依托，以师资、课程、服务流程、IT支持、网络学习服务的标准化为载体的服务体系，通过标准品质的服务保障全国各地用户的个性化需求。安博教育集团创建专业的教育和技术研发机构安博研究院进行前瞻性教育理念和资源的创造与创新。安博数十种自主知识产权技术、产品获得国家版权认证、专利认证和科技成果鉴定。安博还与北京师范大学合作创立北师大安博教育发展研究院，开展教育政策与理论探索、国际高端项目交流，目前已参与和承办了多项国家重大教育课题、国际高端学术论坛。目前安博总部在北京，分部分别在大连及江苏的昆山。总部设有品质保障部、教学支持部、财务部、市场部，员工约有150人。分部的部门与总部相同，两个分部各有员工约50人。二企业网络描述总部、分部各个部门各属于一个VLAN，每个部门都有属于自己的交换机，通过交换机之间的相连及VLAN间路由配置保证各个部门之间能相互通信。各个部门交换机与各个公司的两台核心交换机相连通过以太网通道技术实现负载均衡。核心交换机与核心路由器相连接入到互联网实现内网与互联网通信及公司与子公司的相互通信。三企业需求分析由于安博公司正处于快速发展期，所以目前的网络规模已不能满足当前的发展需要。为了提高生产办公的效率、加强管理、加强部门间配合，提高获取知识的能力，所以需要升级网络，深化信息化应用，建设一个实用和先进、高可靠、高性能、高灵活性和扩展性、操作管理简单的信息化融合网络。本项目的网络可以划分为北京总部、南京和西安分部三个部分。北京总部分为四个部门分别是财务部、品质保证部、教学支持部、销售部；分部设有三个部门是财务部、教学支持部和销售部。原先3部分局域网只能通过互联网互联、不能适应企业的发展的需要，所以此次要建设企业的内联网，实现北京、西安、上海3部分为同一的网络系统，使用北京总公司统一出口访问因特网。北京作为总部需要对局域网进行扩容性升级，其内部为互联单位，可信度较高，因此内部网络的可用性是首要考虑因素。由于总部设有财务部、销售部等重要部门，应该考虑与其他网络的隔离，以防止对AMBOW北京总部的非法访问及网络攻击。INTERNET用户的接入，需要充分考虑安全性。当前业界的网络管理范畴较广，包括设备管理、资源管理、故障管理、性能管理、安全管理等等。在网络规模相对较大的时候，合适的网管系统可以帮助客户方便管理网络内的设备及运行情况，提高网络的运行效率具体分析如下业务需求需要实现总公司内部的互相通信，同时也要和分公司之间也能互相访问，需要邮件服务、WEB服务、视频服务。管理需求要对网络进行远程管理,远程管理可以帮助网络管理员利用远程控制软件管理网络设备,使网管工作更方便,更高效，更稳定。安全性需求因为公司的数据核心是非常重要的，为免被窃取要设置访问权限；网络可能被病毒攻击和破坏，所以安装杀毒软件和防火墙。性价比需求以尽量少的成本建成性能较好的网络。1问题分析安全性考虑到公司内被网络信息的机要性，核心部分使用带防火墙的高级路由器。稳定性为避免公司大量信息量堵塞，采用了三层交换机HSRP协议。可管理性与维护性本次还保留的部分IP是为了满足公司未来的发展要求做到可扩展性。三、网络总体建设目标一网络总体规划1拓扑图我们根据公司的基本要求，画出了简单的大致的网络拓扑图，在整个网络拓扑图中，我们在核心设备上采用的是CISCO2821的路由器和两台三层交换机，在两个三层交换机上我们做冗余备份，做链路捆绑，保证了数据的连通性，在核心设备上连接一个防火墙，保证了数据的安全性和总公司内部网络数据安全的保密性，防止了窃取公司的数据。在总公司的拓扑中，我们在接入层的CISCOWSC4506E的交换机，在交换机划分了VLAN，VLAN的划分使我们易于管理在整个网络拓扑图中，我们采用采用了层次化的设计，核心层、分布层、接入层。这样节省成本，使整个网络拓扑更加清晰，由于各个层次的功能不同，因此易于我们排错。针对实际情况我们可以采用三层模型，三层结构模型分为三个层次，即核心层、分布层、接入层。每个层次完成不同的功能。2方案描述核心层描述核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者，所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。核心层需要考虑冗余设计。汇聚层描述汇聚层的功能主要是连接接入层节点和核心层中心，汇聚层设计连接本地的逻辑中心，仍需要较高的性能和比较丰富的功能。汇聚层设备一般采用可管理的三层交换机或堆叠式交换机以达到带宽和传输性能的要求，其设备性能较好，但价格高于接入层设备，而且对环境的要求也较高，汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联，以提高系统的传输性能和吞吐量。接入层描述接入层的主要功能是完成用户流量的接入和隔离，对于无线局域网WLAN用户，用户终端通过无线网卡和无线接入点AP完成用户接入。它可以共享、独享或交换带宽的方式为用户提供入网的接口。二网络建设核心层设计核心层主要进行数据的高速路由转发，以及维护全网路由的计算，我们推荐使用CISCO2821的路由器来完成，它的高性能，可靠性，可用性，在核心层我们还应该采用两台三层的交换机CISCO3750系类的交换机来完成，在核心层为了保证数据的安全性和保密性应接入防火墙。接入层设计接入层是使用交换机相连，为用户终端提供了接入的方式，办公系统所需要的服务器群，数据中心的多种系统应用服务器，链接到会聚交换的模块上，因此，内部的局域网是采用三层结构组建。在接入层使用的是CISCOWSC4506E系列的交换机来完成。内联接入内连接入的作用是用于链接外网的网络。我们使用CISCO2800系列的路由器通过SDH/DDN线路完成此功能。由于接入外网时需要考虑到安全问题，因此，还需要接外部防火墙。三网络设计原则以及建设目标先进性计算机网络技术、软件技术的发展迅速，网络的设计要立足于较高的起点，保证系统有较长的生命力。保证满足系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到公司网络应用的现状和未来的发展趋势。四网络层次化设计随着网络技术的需速发展和网上应用量的增长，分布式的网络服务和交换已经移至用户级，有此形成一个新的、更适应现代的高速大型网络的分层设计模型，分层设计的好处1、节省成本在采用层次模型之后，各层各司其职，不再同一个平台上考虑所有的事情，层次化的模型，能更好的利用宽带，减少对系统资源的浪费。2、易于理解层次化模型使网络的拓扑更清晰明了，在不同的层次实施不同的管路，降低了管理的难度3、易于扩展在网络设计中模块化具有的特性使网络增长时网络的复杂性能够限制在子网中，而不会蔓延到网络的其他的地方4、易于排错层次化设计能够使网络拓扑结构分解成易于理解的子网，网络者能够轻易的确定网络故障的范围，从而简化了排错的过程。四、路由、交换设计一设备选择网络设备清单设备型号数量（台）单价（元）总价（元）CISCO28113520015600CISCOWSC450622200044000CISCOWSC375024TSS6900054000CISCOWSC296024TTL9360032400CISCOWSC296048TCL3750022500总计168500二设备命名规范网络设备命名设备型号北京大连昆山CISCO2811BJR001DLR001KSR001CISCOWSC4506BJS01BJS02CISCOWSC375024TSSBJS03BJS04DLS01DLS02KSS01KSS02CISCOWSC296024TTLBJS05DLS03DLS04DLS05DLS06KSS03KSS04KSS05KSS06CISCOWSC296048TCLBJS06BJS07BJS08三VLAN、子网及IP地址规划（1921681030）IP地址的规划在网络设计中举足轻重。直接影响网络运行的效率。IP地址设计的总原则是简单、易管理、易扩展。我们配IP地址按以下原则唯一性一个IP网络中不可能有两个主机采用相同的IP地址。简单性地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表的款项。连续性连续地址在此结构网络中易于进行路由总结（ROUTESUMMARIZATION）,大大缩减路由表，提高路由算法效率。可扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址总结所需的连续性。灵活性地址分配应具有灵活性，可借助可变长子网掩码技术，以满足多种路由策略的优化，充分利用地址空间。北京总部IP地址划分部门名称人数VLANID网络号可分配IP地址品质保障部47VLAN10BJPZ192168164/26192168165126教学支持部47VLAN20BJJX1921681128/261921681129190财务部8VLAN30BJCW1921681192/281921681193206市场部48VLAN40BJSC19216810/261921681162服务器1921681227239大连分部IP地址划分部门名称人数VLANID网络号可分配IP地址品质保障部13VLAN10DLPZ192168264/2719216826594教学支持部18VLAN20DLJX19216820/271921682130财务部3VLAN30DLCW192168296/29192168297102市场部16VLAN40DLSC192168232/2719216823362服务器1921682104108昆山分部IP地址划分部门名称人数VLANID网络号可分配IP地址品质保障部14VLAN10KSPZ192168332/2719216833362教学支持部19VLAN2019216830/271921683130KSJX财务部4VLAN30KSCW192168396/29192168397102市场部13VLAN40KSSC192168364/2719216836594服务器1921681104108四路由协议在本次网络项目中，北京总部的路由器BJR001和交换机BJS01、BJS02、BJS03及BJS04，我们均采用OSPF协议，分部也同样使用。使用OSPF协议可以使路由快速收敛，方便网络管理员管理。OSPF协议标准化强，支持多种厂家，受到广泛的应用。相对其他协议，OSPF有很多优点。OSPF支持各种不同鉴别机制（如简单口令验证。MD5加密认证），OSPF收敛速度快，能够在最短的时间内将路由变化传递到整个自治系统，提供负载均衡功能。安博总部规划为AREA0，其内部网络也都规划为AREA0。各区域接入路由器跟据区域不同使用动态协议，或者使用静态路由与动态路由结合的方式。五交换技术对于本次项目的核心层交换机CISCO4506，我们将采用建立在生成树基础上的多链路冗余连接。这样不仅可以避免了由于网络环路造成的广播风暴等，还可以保证骨干交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一条线路上进行传输，不影响网络系统的正常工作。而对于汇聚层交换机CISCO3750和接入层交换机CISCO2960，我们将采用VTP、VLAN、HSRP等协议。使用VTP协议，可以把一台交换机配置成VTPSERVER,其余交换机配置成VTPCLIENT,这样他们可以自动学习到SERVER上的VLAN信息。这样不仅可以少在多台设备上配置同一个VLAN信息的工作量，而且还保持了VLAN配置的统一性。而VLAN技术，则可以限制广播范围，并能够形成虚拟工作组，动态管理网络。不仅提高了网络的安全性，而且成本低，性能高，节省了人力，具有很高的灵活性。HSRP是热备份路由协议。在北京总部和分部在汇聚层的交换机上我们采用热备份协议，运用两台交换机，当其中的一台出现故障致使网络不能正常通信时，备用的那台马上起到作用，避免了网络的“短路”问题。HSRP实现容错备份功能，可以有效解决网络不畅问题，保证了网络的可靠性。六IPV6由于IPV4网络地址的资源有限，所以，为了提高网络的可扩展性，在本次网络项目中所采用的设备，均支持IPV6。IPV6以其灵活的IP报文头部格式，不仅取代了IPV4中可变长度的选项字段，而且也使路由器可以简单路过选项而不做任何处理，加快了报文处理速度，提高了吞吐量。而且IPV6还具有安全性、身份认证和隐私权等特性。支持更多的服务类型，允许协议继续演变，增加新的功能，使之适应未来技术的发展。五、服务器设计服务器群的主要功能是为客户端提供各种网络服务，包括FILESERVER、WEBSERVER、DHCPSERVER、FTPSERVER、MAILSERVER、AD及身份验证服务等等。在本次项目中，服务器全部采用WINDOWS2003操作系统，WINDOWSSERVER2003集成了多种功能且对硬件要求不高，总体成本较低。工作站普遍使用WINDOWS操作系统，服务器与客户端兼容性更好。WINDOWS服务器系统提供图形化界面，减少配置和维护的工作量，并方便以后的管理和维护，若我们使用LINUX操作系统就要要求管理员对LINUX熟练，这样的管理员目前没有WINDOWS管理员好找。六、网络安全解决方案一网络边界安全威胁分析网络的边界隔离着不同功能或地域的多个网络区域，由于职责和功能的不同，相连网络的密级也不同，这样的网络直接相连，必然存在着安全风险，下面我们将对公司网络就网络边界问题做脆弱性和风险的分析。公司网络主要存在的边界安全风险包括总网络与各级单位的连接，可能遭到来自各地的越权访问、恶意攻击和计算机病毒的入侵；例如一个不满的内部用户，利用盗版软件或从INTERNET下载的黑客程序恶意攻击内部站点，致使网络局部或整体瘫痪；内部的各个功能网络通过骨干交换相互连接，这样的话，重要的部门或者专网将遭到来自其他部门的越权访问。这些越权访问可能包括恶意的攻击、误操作等等，但是它们的后果都将导致重要信息的泄漏或者是网络的瘫痪。二网络内部安全威胁分析公司内部网络的风险分析主要针对整个内网的安全风险，主要表现为以下几个方面1、内部用户的非授权访问；内部的资源也不是对任何的员工都开放的，也需要有相应的访问权限。内部用户的非授权的访问，更容易造成资源和重要信息的泄漏。2、内部用户的误操作；由于内部用户的计算机造作的水平参差不齐，对于应用软件的理解也各不相同，如果一部分软件没有相应的对误操作的防范措施，极容易给服务系统和其他主机造成危害。内部用户的恶意攻击；就网络安全来说，据统计约有70左右的攻击来自内部用户，相比外部攻击来说，内部用户具有更得天独厚的优势，因此，对内部用户攻击的防范也很重要。3、设备的自身安全性也会直接关系到各种系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。重要服务器或操作系统自身存在安全的漏洞，如果管理员没有及时的发现并且进行修复，将会为网络的安全带来很多不安定的因素。重要服务器的当机或者重要数据的意外丢失，都将会造成内部的业务无法正常运行。4、安全管理的困难，对于众多的网络设备和网络安全设备，安全策略的配置和安全事件管理的难度很大。三解决方法外网的安靠全靠防火墙来解决。本项目用CISCOIOS内置防火墙来解决。对于非法访问用认证和数字签名技术1、认证（1）路由器认证，路由器和交换机之间的认证（2）操作系统认证，操作系统对用户的认证（3）拨号访问服务与客户之间的认证（4）电子邮件通讯双方认证2、数字签名技术认证过程通常涉及到加密和密钥交换。对于误操作，就要对内网用户有必要进行培训，让其尽量少出错。七、关键技术介绍一VLAN技术VLAN（VIRTUALLOCALAREANETWORK）即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的8021Q标准草案。VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLAN可以在一个交换机或者跨交换机实现。VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。二VTP协议VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息。VTP还提供一种映射方案，以便通信流能跨越混合介质的骨干。VTP最重要的作用是，将进行变动时可能会出现在的配置不一致性降至最低。不过，VTP也有一些缺点，这些缺点通常都与生成树协议有关。VTP是一种消息协议，使用第2层帧，在全网的基础上管理VLAN的添加、删除和重命名，以实现VLAN配置的一致性。可以用VTP管理网络中VLAN1到1005。有了VTP，在同一个VTP域就可以在一台机换上集中过时行配置变更，所作的变更会被自动传播到网络中所有其他的交换机上。为了实现此功能，必须先建立一个VTP管理域，以使它能管理网络上当前的VLAN。在同一管理域中的交换机共享它们的VLAN信息，并且，一个交换机只能参加到一个VTP管理域，不同域中的交换机不能共享VTP信息。1、VTP协议的作用VLAN中继协议（VTP）利用第2层中继帧，在一组交换机之间进行VLAN通信VTP从一个中心控制点开始，维护整个企业网VLAN的添加和重命名工作，确保配置的一致性。2、VTP的优点保持配置的一致性；提供跨不同介质类型如ATMFDDI和以太网配置虚拟局域网的方法；提供跟踪和监视虚拟局域网的方法；提供检测加到另一个交换机上的虚拟局域的方法；提供从一个交换机在整个管理域中增加虚拟局域网的方法三TRUNK技术TRUNK是端口汇聚的意思，一般的交换机端口只能属于一个VLAN，对于多个VLAN需要跨过多台交换机，就需要用到TRUNK技术。通过配置软件的设置，将2个或多个物理端口组合在一起成为一条逻辑的路径从而增加在交换机和网络节点之间的带宽，将属于这几个端口的带宽合并，给端口提供一个几倍于独立端口的独享的高带宽。TRUNK是一种封装技术，它是一条点到点的链路，链路的两端可以都是交换机，也可以是交换机和路由器，还可以是主机和交换机或路由器。基于端口汇聚（TRUNK）功能，允许交换机与交换机、交换机与路由器、主机与交换机或路由器之间通过两个或多个端口并行连接同时传输以提供更高带宽、更大吞吐量，大幅度提供整个网络能力。四HSRP协议我们使用HSRP来实现对故障路由器的接管,HSRP中文解释是热备份路由协议，其含义是系统中有多台三层交换机，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。热备份路由器协议（HSRPHOTSTANDBYROUTERPROTOCOL）该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效，备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器，将由另外的路由器被选为备份路由器。五SPANNINGTREE协议生成树算法的网桥协议STPSPANNINGTREEPROTOCOL它通过生成生成树保证一个已知的网桥在网络拓扑中沿一个环动态工作。网桥与其他网桥交换BPDU消息来监测环路，然后关闭选择的网桥接口取消环路，统指IEEE8021生成树协议标准和早期的数字设备合作生成树协议，该协议是基于后者产生的。IEEE版本的生成树协议支持网桥区域，它允许网桥在一个扩展本地网中建设自由环形拓扑结构。在局域网中是不允许出现环路的，而为了实现冗余和负载的均衡，通常会有多条链路的连接，这样就会引入环路。为了解决这个矛盾，推出了STP协议。STP算法会将网络中的连接生成一个树，通过特定的算法自动将优先权高的链路激活，将优先权低的链路阻塞，保证在网络中任何时候都不会出现环路。如果网络的连接状况发生了变化，STP算法会自动地重新计算新的连接关系，重新选出新的活动的连接。STP算法会造成网络的暂时的不稳定状态，该转换时间在30秒之内，亦即在30秒之内网络会重新恢复到稳定状态。STP对于终端是透明的，终端感觉不到STP的操作过程。在交换机上可以通过修改端口的优先级来改变连接的优先权，使得STP算法将高优先权的连接作为活动连接，这个特征是很多厂商的设备所不具备的。在交换机上对端口的优先权的设置可以基于VLAN进行，每个端口对于不同的VLAN设置不同的优先权。对于指定的VLAN，具有该VLAN最高优先权的端口转发该VLAN的信息，其它VLAN的信息则阻塞。通过这种方法，在具有冗余连接的交换机端口上分别针对不同的VLAN设置不同的优先权，既可以实现链路的冗余，又可以实现负载的均衡。CISCO交换机端口支持每VLAN的生成树协议，每个端口都可设置基于VLAN的COST或PRIORITY参数，从而实现在多条路径上的负载均衡能力。目前多数厂商都支持STP协议，但是不允许多个STP域。采用多个STP域显然可以获得比单个域高的网络可靠性。六UPLINKFAST在STP收敛过程中，一些终端站点可能会不可达，这是基于站点所连接交换机端口的STP状态而定。这打乱网络连接，于是关键是减少STP的收敛时间和网络受影响的时间。当链路或交换机故障，或STP重新配置后，UPLINKFAST可以加速选择一个新的根端口。根端口立即进入转发状态，UPLINKFAST通过减少最大更新速率来限制突发多播流量。定义了更新分组发送的最大速率，默认为150分组/秒UPLINKFAST对于网络边缘的布线间交换机非常有用。他不适用于骨干设备。UPLINKFAST在直连链路故障后提供快速的收敛能力，并通过上行链路组在冗余。七ETHERCHANNEL以太通道也称为以太端口捆绑、端口聚集或以太链路聚集。以太通道为交换机提供了端口捆绑的技术，将多个物理以太网端口聚合在一起形成一个逻辑上的聚合组；同一聚合组内的多条物理链路视为一条逻辑链路。链路聚合可以实现出/入负荷在聚合组中各个成员端口之间分担，以增加带宽。同时，同一聚合组的各个成员端口之间彼此动态备份，提高了连接可靠性。八NAT技术IP地址耗尽促成了CIDR的开发，但是CIDR开发的主要目的是为了有效的使用现有的INTERNET地址，而同时根据RFC1631IPNETWORKADDRESSTRANSLATOR开发的NAT却可以在多重的INTERNET子网中使用相同的IP地址，用来减少注册IP地址的使用。NAT的分为静态NAT、动态NAT、端口NATPAT。本项目用到静态NAT、端口NATPAT。静态NAT内部网络中的每个主机都被永久的映射成外部网络中的某个合法地址用于内网发布；PAT是人们比较熟悉的一种转换方式。PAT普遍应用于接入设备中，它可以将内网隐藏在一个合法的IP地址后面。PAT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。也就是采用PORTMULTIPLEXING技术，或改变外出数据的源PORT的技术将多个内部IP地址映射到同一个外部地址。九ACL技术ACL访问控制列表（“ACL”简称ACCESSCONTROLLIST）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。ACL适用于所有的被路由协议，如IP、IPX、APPLETALK等。这张表中包含了匹配关系、条件和查询语句，表只是一个框架结构，其目的是为了对某种访问进行控制。信息点间通信，内外网络的通信都是企业网络中必不可少的业务需求，但是为了保证内网的安全性，需要通过安全策略来保障非授权用户只能访问特定的网络资源，从而达到对访问进行控制的目的。简而言之，ACL可以过滤网络中的流量，控制访问的一种网络技术手段。ACL的定义也是基于每一种协议的。ACL可以限制网络流量、提高网络性能。ACL提供对通信流量的控制手段。ACL是提供网络安全访问的基本手段。ACL可以在路由器端口处决定哪种类型的通信流量被转发或被阻塞。目前有两种主要的ACL标准ACL和扩展ACL、通过命名、通过时间。标准的ACL使用199以及13001999之间的数字作为表号，扩展的ACL使用100199以及20002699之间的数字作为表号。十集群技术集群（CLUSTER）技术是一种较新的技术,通过集群技术，可以在付出较低成本的情况下获得在性能、可靠性、灵活性方面的相对较高的收益，其任务调度则是集群系统中的核心技术。本文就集群系统的定义、发展趋势、任务调度等问题进行了简要论述。集群是一组相互独立的、通过高速网络互联的计算机，它们构成了一个组，并以单一系统的模式加以管理。一个客户与集群相互作用时，集群像是一个独立的服务器。集群配置是用于提高可用性和可缩放性。采用集群的目的1、提高性能一些计算密集型应用，如天气预报、核试验模拟等，需要计算机要有很强的运算处理能力，现有的技术，即使普通的大型机其计算也很难胜任。这时，一般都使用计算机集群技术，集中几十台甚至上百台计算机的运算能力来满足要求。提高处理性能一直是集群技术研究的一个重要目标之一。2、降低成本通常一套较好的集群配置，其软硬件开销要超过100000美元。但与价值上百万美元的专用超级计算机相比已属相当便宜。在达到同样性能的条件下，采用计算机集群比采用同等运算能力的大型计算机具有更高的性价比。3、提高可扩展性用户若想扩展系统能力，不得不购买更高性能的服务器，才能获得额外所需的CPU和存储器。如果采用集群技术，则只需要将新的服务器加入集群中即可，对于客户来看，服务无论从连续性还是性能上都几乎没有变化，好像系统在不知不觉中完成了升级。4、增强可靠性集群技术使系统在故障发生时仍可以继续工作，将系统停运时间减到最小。集群系统在提高系统的可靠性的同时，也大大减小了故障损失。十一PPP技术PPP协议是目前广域网上应用最广泛的协议之一，它的优点在于简单、具备用户验证能力、可以解决IP分配等。家庭拨号上网就是通过PPP在用户端和运营商的接入服务器之间建立通信链路。目前，宽带接入正在成为取代拨号上网的趋势，在宽带接入技术日新月异的今天，PPP也衍生出新的应用。典型的应用是在ADSL（非对称数据用户环线，ASYMMETRICALDIGITALSUBSCRIBERLOOP）接入方式当中，PPP与其他的协议共同派生出了符合宽带接入要求的新的协议，利用以太网（ETHERNET）资源，在以太网上运行PPP来进行用户认证接入的方式称为PPPOE。PPPOE即保护了用户方的以太网资源，又完成了ADSL的接入要求，是目前ADSL接入方式中应用最广泛的技术标准。PPP协议的简单完整使它得到了广泛的应用，相信在未来的网络技术发展中，它还可以发挥更大的作用。十二DNS服务器DNS是域名系统DOMAINNAMESYSTEM的缩写，它是由解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址，而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器为客户机/服务器模式中的服务器方，它主要有两种形式主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。在INTERNET上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。DNS命名用于INTERNET等TCP/IP网络中，通过用户友好的名称查找计算机和服务。当用户在应用程序中输入DNS名称时，DNS服务可以将此名称解析为与之相关的其他信息，如IP地址。因为，你在上网时输入的网址，是通过域名解析系统解析找到了相对应的IP地址，这样才能上网。其实，域名的最终指向是IP。在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0255之间。因为，8个二进制数转化为十进制数的最大范围就是0255。现在已开始试运行、将来必将代替IPV4的IPV6中，将以128位二进制数表示一个IP地址。大家都知道，当我们在上网的时候，通常输入的是如网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。DNSDOMAINNAMESYSTEM域名管理系统域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。十三FTP简介用户联网的首要目的就是实现信息共享，文件传输是信息共享非常重要的一个内容之一。INTERNET上早期实现传输文件，并不是一件容易的事，我们知道INTERNET是一个非常复杂的计算机环境，有PC，有工作站，有MAC，有大型机，据统计连接在INTERNET上的计算机已有上千万台，而这些计算机可能运行不同的操作系统，有运行UNIX的服务器，也有运行DOS、WINDOWS的PC机和运行MACOS的苹果机等等，而各种操作系统之间的文件交流问题，需要建立一个统一的文件传输协议，这就是所谓的FTP。基于不同的操作系统有不同的FTP应用程序，而所有这些应用程序都遵守同一种协议，这样用户就可以把自己的文件传送给别人，或者从其它的用户环境中获得文件。FTP也是一个客户机/服务器系统。用户通过一个支持FTP协议的客户机程序，连接到在远程主机上的FTP服务器程序。用户通过客户机程序向服务器程序发出命令，服务器程序执行用户所发出的命令，并将执行的结果返回到客户机。比如说，用户发出一条命令，要求服务器向用户传送某一个文件的一份拷贝，服务器会响应这条命令，将指定文件送至用户的机器上。客户机程序代表用户接收到这个文件，将其存放在用户目录中。为了实现WINDOWS环境下的FTP服务器配置，绝大多数的WINDOWS发行套装中都选用的是WASHINGTONUNIVERSITYFTP（WUFTPD），这是一个性能优秀的服务器软件，由于它具有众多强大功能和超大的吞吐量，INTERNET上的FTP服务器有60以上采用了它。FTP的使用在FTP的使用当中，用户经常遇到两个概念“下载“（DOWNLOAD）和“上载“（UPLOAD）。“下载“文件就是从远程主机拷贝文件至自己的计算机上；“上载“文件就是将文件从自己的计算机中拷贝至远程主机上。用INTERNET语言来说，用户可通过客户机程序向（从）远程主机上载（下载）文件。十四FILE服务器本地文件传输协议，FILE协议主要用于访问本地计算机中的文件，就如同在WINDOWS资源管理器中打开文件一样。LINUX命令FILE，FILE命令读取用FILE参数或者FILELIST变量指定的文件，在每个文件上执行一系列测试，然后将它们按照类型分类。然后此命令将文件类型写入标准输出。文件可以是常规文件、目录、FIFO（指定的管道）、块特殊文件、字符特别文件、符号链接或者套接字类型。十五MAIL服务器邮件服务器是一种用来负责电子邮件收发管理的设备。它比网络上的免费邮箱更安全和高效，因此一直是企业公司的必备设备。电子邮件是因特网上最为流行的应用之一。如同邮递员分发投递传统邮件一样，电子邮件也是异步的，也就是说人们是在方便的时候发送和阅读邮件的，无须预先与别人协同。与传统邮件不同的是，电子邮件既迅速，又易于分发，而且成本低廉。另外，现代的电子邮件消息可以包含超链接、HTML格式文本、图像、声音甚至视频数据。我们将在本文中查看处于因特网电子邮件核心地位的应用层协议。但在深入讨论这些协议之前，让我们先概览一下因特网邮件系统及其重要部件。邮件结构系统由三类主要部件构成用户代理、邮件服务器和简单邮件传送协议SIMPLEMAILTRANSFERPROTOCOL，简称SMTP。20世纪90年代后期，图形用户界面GUI的电子邮件用户代理变得流行起来，它们允许用户阅读和编写多媒体消息。当前流行的用户代理包括OUTLOOK,FOXMAIL等。公共域中还有许多基于文本的电于邮件用户代理，包括MAIL、PINE和ELM。邮件服务器构成了电子邮件系统的核心。简单邮件传送协议SMTP是因特网电子邮件系统首要的应用层协议。它使用由TCP提供的可靠的数据传输服务把邮件消息从发信人的邮件服务器传送到收信人的邮件服务器。跟大多数应用层协议一样，SMTP也存在两个端在发信人的邮件服务器上执行的客户端和在收信人的邮件服务器上执行的服务器端。SMLP的客户端和服务器端同时运行在每个邮件服务器上。当一个邮件服务器在向其他邮件服务器发送邮件消息时，它是作为SMTP客户在运行。当一个邮件服务器从其他邮件服务器接收邮件消息时，它是作为SMTP服务器在运行。十六WEBSERVER与HTTP超文本传输协议HTTP，HYPERTEXTTRANSFERPROTOCOL是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。HTTP的发展是万维网协会（WORLDWIDEWEBCONSORTIUM）和INTERNET工作小组（INTERNETENGINEERINGTASKFORCE）合作的结果，最终发布了一系列的RFC，其中最著名的就是RFC2616。RFC2616定义了HTTP协议的我们今天普遍使用的一个版本HTTP11。HTTP是一个客户端和服务器端请求和应答的标准（TCP）。客户端是终端用户，服务器端是网站。通过使用WEB浏览器、网络爬虫或者其它的工具，客户端发起一个到服务器上指定端口（默认端口为80）的HTTP请求。（我们称这个客户端）叫用户代理（USERAGENT）。应答的服务器上存储着（一些）资源，比如HTML文件和图像。（我们称）这个应答服务器为源服务器（ORIGINSERVER）。在用户代理和源服务器中间可能存在是用于从WWW服务器传输超文本到本地浏览器的传送协议。它可以使浏览器更加高效，使网络传输减少。它不仅保证计算机正确快速地传输超文本文档，还确定传输文档中的哪一部分，以及哪部分内容首先显示如文本先于图形等。这就是你为什么在浏览器中看到的网页地址都是以HTTP/开头的原因。十七AD服务器活动目录（ACTIVEDIRECTORY）是面向WINDOWSSTANDARDSERVER、WINDOWSENTERPRISESERVER以及WINDOWSDATACENTERSERVER的目录服务。（ACTIVEDIRECTORY不能运行在WINDOWSWEBSERVER上，但是可以通过它对运行WINDOWSWEBSERVER的计算机进行管理。）ACTIVEDIRECTORY存储了有关网络对象的信息，并且让管理员和用户能够轻松地查找和使用这些信息。ACTIVEDIRECTORY使用了一种结构化的数据存储方式，并以此作为基础对目录信息进行合乎逻辑的分层组织。在计算机网络术语中，目录代表存储网络上对象信息的一种层次结构。网络上的对象包括共享资源（例如服务器、打印机、网络用户以及计算机帐号等）、域、应用程序、服务、安全方针等等的你的网络中的一切事物。一个最典型的例子就是一个网络目录存储一个用户帐号时，它存储了用户的姓名、密码、电子邮件地址、电话号码等等。目录服务区别于目录的地方在于，目录服务能够把目录中存储的信息提供给管理员，用户，网络服务或应用程序。理想情况下，目录服务使网络的物理拓扑结构和协议对用户来说是透明的，用户可以进入任何资源而不用知道它们之间是怎样以及在哪里连接的。如上面提到的那个例子，正是目录服务才使得同一网络中的其它授权用户能够了解到该用户目录中存储的信息（如电子邮件地址）。目录服务具有广泛的接受力，可以与操作系统结合，也可以与应用程序结合。WINDOWS2000成功的把目录服务与操作系统结合在一起，生成了活动目录，它提供了对用户，计算机和共享资源的管理。就象MICROSOFTEXCHANGE的EMAIL目录服务，它使用户能够查找其它用户的电子邮件地址以便于发送电子邮件。活动目录，WINDOWS2000服务器版操作系统的一种新的目录服务，只能运在域控制器上，它除了能够提供存储信息的场所，提供服务以使信息可用外，还可以保护网络对象不被非授权用户进入，通过网络复制对象以便在域控制器崩溃时数据不会丢失。十八DHCP动态主机设置协议（DYNAMICHOSTCONFIGURATIONPROTOCOL,DHCP）是一个局域网的网络协议，使用UDP协议工作，主要有两个用途给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。DHCP是DYNAMICHOSTCONFIGURATIONPROTOCOL动态主机配置协议缩写，它的前身是BOOTP。BOOTP原本是用于无磁盘主机连接的网络上面的。DHCP比较起BOOTP，透过“租约“的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP也完全照顾了BOOTPCLIENT的需求。DHCP的分配形式首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。它提供三种IP定位方式动态分配，当DHCP第一次从DHCP服务器端租用到IP地址之后，并非永久的使用该地址，只要租约到期，客户端就得释放RELEASE这个IP地址，以给其它工作站使用。当然，客户端