选讲内容：园区网的构建

1、选讲内容园区网的构建,一、园区网结构及设备,园区网分层设计模型,1园区网 分层设计模型,分级设计模型的指导准则如下：,选择最合适需求的分级模型。边界作为广播的隔离点，同时还作为网络控制功能的焦点。 不要使网络的各层总是完全网状的。 不要把终端工作站安装在主干网上。 通过把80%的通信量控制在本地工作组内部，从而使工作组LAN运行良好。,访问层交换机,访问层（ACCESS LAYER）又被称为接入层。 在该层，终端用户主机通过双绞线接入该层的交换机，它的主要任务是提供一个终端用户的接入点。 接入层的基本设计目标包括三个： 将流量导入网络。 提供第2层服务，比如基于广播或MAC地址的VLAN成员资

2、格和数据流过滤。 访问控制。,需求分析,该层的主要要求是低成本、有足够的端口密度，提供级联或者堆叠口，以及高速的上连端口。 该层的冗余特性是通过通往其上层交换机的多条冗余链路来实现的，其安全特性可以通过基于VLAN成员划分以及基于端口安全的方式来实现。,堆叠扩展模式,适用的机型,CISCO低端的交换机： Catalyst Express 500系列交换机。 Catalyst 2900、2950、3500 作为小型局域网交换机。 Catalyst 4000、5000系列中端交换机作为中型、大型园区网。 Huawei-3Com公司： Quidway S3900(价格5000到1w) Quidway

3、S2100-SI（2000+） 锐捷公司的STAR-S2100系列。,适用机型,低成本网络中也可以使用集线器,Cisco Catalyst Express 500系列交换机概述,员工数量不超过250名的企业可采用该系列交换机。 表1列出了此系列中的四种产品型号。,Cisco Catalyst Express 500 系列交换机还提供了具有以太网供电 (PoE)功能的型号, 从而降低了IP通信和无线局域网部署的成本和复杂性。作为一种先进的技术，PoE使交换机能够通过5类线为馈线电源设备同时提供电力和以太网连接，例如无线接入点、闭路电视摄像头和IP电话。采用具有PoE功能的端口可以避免为馈线电源设

4、备配备昂贵而复杂的电源插座或电线。 Cisco Catalyst Express 500系列交换机可以通过嵌入式设备管理器或思科网络助理管理，适用于员工数量不超过250名的园区网。,Catalyst 2900系列交换机,Cisco的独立式Catalyst 2900系列交换机提供10/100自适应和自动协商接口，为配线间提供企业级高速配置灵活性。Catalyst 2900系列对于那些希望保护10BaseT和100BaseTX连接投资的以太网工作组和个人用户非常理想，无需替换配线间网络设备。该产品系列还提供双高速100BaseTX、100BaseFX、1000BaseSX或1000BaseLX上行

5、链路，为主干网或服务器提供配线间提升机连接。,Catalyst 2500系列,2950系列参数如下： 13.6Gbps交换矩阵 Catalyst 2950G-48：13.6Gbps最大转发带宽 Catalyst 2950G-24：8.8Gbps最大转发带宽 Catalyst 2950G-24-DC：8.8Gbps最大转发带宽 Catalyst 2950G-12：6.4Gbps最大转发带宽 Catalyst 2950T-24：8.8Gbps最大转发带宽 Catalyst 2950C-24：5.2Gbps最大转发带宽（转发速率基于64字节分组） Catalyst 2950G-48：10.1Mpps

6、线速转发速率 Catalyst 2950G-24：6.6Mpps线速转发速率 Catalyst 2950G-24-DC：6.6 Mpps线速转发速率 Catalyst 2950G-12：4.8Mpps线速转发速率 Catalyst 2950T-24：6.6Mpps线速转发速率宽 Catalyst 2950C-24：3.9 Mpps线速转发速率,Cisco Catalyst 2960系列交换机,Cisco Catalyst 2960系列智能以太网交换机是一个全新的、固定配置的独立设备系列，提供桌面快速以太网和10/100/1000千兆以太网连接，可为入门级企业、中型市场和分支机构网络提供增强LA

7、N服务。 Cisco Catalyst 2960提供： 集成安全特性，包括网络准入控制(NAC) 高级服务质量(QoS)和永续性 为网络边缘提供智能服务,配置,WS-C2960-24TT-L - 24个10/100 + 2个 10/100/1000端口，LAN基本镜像 WS-C2960-24TC-L - 24个10/100 + 2个 双介质千兆以太网上行链路端口，LAN基本镜像 WS-C2960-48TT-L - 48个10/100 + 2个 10/100/1000端口，LAN 基本镜像 WS-C2960-48TC-L - 48个10/100 + 2个双介质千兆以太网上行链路端口，LAN基本镜

8、像 WS-C2960G-24TC-L - 20个10/100/1000 + 4个双介质千兆以太网上行链路端口，LAN基本镜像,H3C Quidway S2000-EI,全线速的二层交换 6.4G/6.4G/9.6Gbps的总线带宽为交换机所有的端口提供二层线速交换能力，保证所有端口无阻塞的进行报文转发。 完备的安全智能控制策略 S2000-EI支持802.1x认证，还可以做认证Server，在用户接入网络时完成必要的身份认证，同时动态的配置VLAN，有效的控制用户访问网络资源。 该系列具备端口限速功能，可以64Kbps的精细粒度进行端口带宽分配，控制用户的接入速率，防止恶意侵占网络带宽。 交换

9、机提供512个802.1Q VLAN，支持广播风暴抑制和端口锁定功能，还可以对属于同一个802.1Q VLAN的端口之间设置隔离或互通。,分布层交换机,分布层（DISTRIBUTED LAYER）又被称为汇聚层。 在该层，网络中所有访问层交换机在该层汇聚。 该层交换机主要起到汇聚其他访问层交换机的任务，同时还为访问层交换机上的各个VLAN提供路由选择功能。,分布层能执行众多功能，其中包括：,VLAN聚合。 部门级和工作组接入。 VLAN间的路由。 广播域或组播域的定义。 介质转换。 安全。,需求分析,二层交换机不具备路由选择功能 该层必须是三层交换机。 较高的网络吞吐量 不同的网络介质转换功能

10、 安全特性可以通过定制访问控制列表的方式来实现。,适用机型,CISCO： Catalyst 5000 、6000、6500、8500等中端交换机型作为分布层交换机。（价格区间从1w5到10w不等。） 锐捷公司: S3550系列,核心层交换机,核心层（CORE LAYER）又被称为主干层。 在该层，各个分布层交换机通过核心层交换机构成的主干道进行高速的数据交换。 主要任务是尽可能快地交换数据。核心层不应该涉及费力的数据包操作或者减慢数据交换的处理。应该避免在核心层中使用像访问控制列表和数据包过滤之类的功能。 核心层主要负责以下几项工作： 提供交换区块间的连接。 提供到其他区块的访问。 尽可能快地

11、交换数据帧或数据包。,需求分析,高速率通道提供 链路冗余 线速多点广播转发 路由选择 能提供园区网主干所需要的带宽和性能,适用机型,Cisco的高端交换机路由器产品， 如GSR 12000.或者Catalyst 8500、6000系列交换机作为中小型园区网的核心层交换机。 锐捷公司 RG-S6800系列中的RG-S6810,RG-S6800,核心层采用的RG-S6800系列是全模块化、高密度端口的锐捷万兆核心路由交换机，目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810和RG-S6806。 全千兆智能多层交换机S3550系列为网络提供高性价比的多层交换解决方案，拥有多个千兆端口，提

12、供高性能数据处理能力 。 STAR-S2100系列是全线速可堆叠的安全智能交换机,防火墙,第一代防火墙：几乎与路由器同时出现，采用了包过滤（Packet Filter）技术。 第二、三代防火墙：1989年，贝尔实验室的Dave.Presotto和Howard.Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙应用层防火墙（代理防火墙）的初步结构。 第四代防火墙：1992年，USC信息科学院的Bob.Braden开发出了基于动态包过滤（Dynamic Packet Filter）技术的第四代防火墙，后来演变为目前所说的状态监视（State Fulinspection）技术。

13、1994年，以色列的Check.Point公司开发出了第一个基于这种技术的商业化的产品。 第五代防火墙：1998年，NAI公司推出了一种自适应代理（Adaptive Proxy）技术，并在其产品Gauntlet Fire wall for NT中得以实现。,设置防火墙的目的和功能,通常应用防火墙的目的有以下几个方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近用户的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。 无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容

14、和活动；对网络攻击的检测和告警。 防火墙的主要功能就是控制对受保护网络的非法访问，它通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，用以防范外对内、内对外的非法访问。,防火墙的局限性,防火墙防外不防内 网络应用受到结构性限制 传统防火墙不能在有在两个内部网络之间通信需求的VPN网络中使用，否则VPN通信将被中断。虽然目前有一种SSL VPN技术可以绕过企业边界的防火墙进入内部网络VPN通信，但是应用更广泛的传统IPSec VPN通信中还是不能使用，除非是专门的VPN防火墙。 防火墙难于管理和配置，易造成安全漏洞 效率较低、故障率高 很难为用

15、户在防火墙内外提供一致的安全策略 防火墙只实现了粗粒度的访问控制,防火墙的常见体系结构,一个防火墙系统通常由屏蔽路由器和代理服务器组成。 屏蔽路由器是一个多端口的IP路由器，它通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转发。 屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志及另外一些IP选项，对IP包进行过滤。 屏蔽路由器（Screening Router）又叫包过滤路由器，是最简单、最常见的防火墙，屏蔽路由器作为内外连接的唯一通道，要求所有的报文都必须在此通过检查。 除具有路由功能外，再装上包过滤软件，利用包过滤规则完成基本的防火墙功能。如图所示

16、。,Cisco ASA 5500系列防火墙,3网络拓扑结构图,服务器选型,由于服务器在网络中占有重要地位，因此，网络服务器的选型是组建局域网的一项重要工作。服务器选型的原则可以归纳为5个字母，即MAPSS。 M代表可管理性（Management） A代表可用性（Availability) P代表性能（Performance），服务器整体性能由以下几方面因素决定： （1）芯片组。 （2）内存类型和最大容量。 （3）I/O通道。 （4）与网络的接口及计算能力。 第一个S代表服务（Service） 第二个S代表节约成本（Saving Cost），,二、无线局域网技术,概述,WLAN标准：IEEE80

17、2.11 传输介质：无线媒体 媒体访问技术：CSMA/CA 适应环境：移动、不宜布线的场合,应用场合：有线LAN的扩展；建筑物之间的互连， 漫游访问；特殊的网络应用（无线对 等网络 ）,网络结构,无中心的对等网络（自组WLAN:Ad-hoc) 接入点连接的网络(多区WLAN：AP接入） 无线网桥桥接的网络,根据不同的应用环境，目前WLAN主要的网络结构形式有：, 无中心的自组WLANAd-hoc, 所有站点共享和竞争同一个无线信道（CSMA/CA） 任意站点间经无线信道直接通信 帧中目的MAC为目的站点的MAC地址 逻辑上为共享信道的以太网, 虽共享信道，但数据不一定能到达所有站点 存在隐藏终

18、端的问题,特点,频率f, 存在无线覆盖范围外的站点 网中的站点“看不到”这些站点（称为隐藏终端）, 侦听不到隐藏终端的载波信号，无法避免冲突发生 CSMA失效，信道吞吐率严重下降 隐藏终端问题是Ad Hoc网的固有问题,隐藏终端问题,A、D、C分别都能与B通信，由于没有全覆盖，结果导致： A、D侦听不到C的载波； C侦听不到A、D的载波； 当C、A或C、D同时发送 时，彼此认为没有冲突， 实际上冲突会在B处发生, 只能在较小范围内组网 要求使用全向天线 所有站点全覆盖（避免隐藏终端） 由于信道共享，站点数不能太多，否则，由于竞 争信道会降低网络的吞吐量和信道利用率 用于站点数不多，覆盖范围较小

19、，要求快速组网 的通信的场合,Ad-hoc网络的组网要求与应用场合, AP接入的无线网络,AP1,AP2,频率f1,频率f2,A,移动,AP(Access Point)位置固定 带有无线网卡的站点可移动 一个移动站点可以从一个AP移到另一个AP 通信范围覆盖整个网络 用于有线LAN的扩充, 类似于蜂窝通信网的方式 AP类似与基站，移动站点类似与手机,AP接入的特点, 每个AP覆盖一定范围，在此范围的移动站点接入 此AP，AP接收所辖范围站点的信息，再通过有线 网将信号根据目的地址传到有线终端或另一个AP 的无线用户, 可实现漫游 ：图中A站可从AP1所辖范围移到AP2 范围，则A站此时选择AP

20、2作为接入设备, AP成为移动站点的中心接入设备，不进行无线站点 之间的转发，完成有、无线的桥接, AP接入方式中，站点之间不直接通信，只考虑站点 到AP之间的通信, 无线网桥连接的网络, 采用无线桥接扩大无线 LAN的覆盖范围 被桥接的网络为Ad-hoc网络 无线网桥根据目标MAC地址 决定是否转发和应答 无线网桥实现不同信道的透明中继,无线LAN的桥接,有线LAN的无线桥接, 采用无线桥接难于架线的有线LAN 被桥接的网络为有线LAN 无线网桥根据目标MAC地址决定是否转发 无线网桥实现有线LAN到无线LAN帧格式的转换 用于不宜铺线的建筑物之间,性能与技术, 无线LAN的性能要求,吞吐量

21、：信道速率、介质访问效率 节点数：同时容纳的无线站点数（几个？几十个？） 覆盖范围：无线通信的距离（几十米、几百米、或 几公里） 传输安全：抗干扰能力、防入侵、防窃取 漫游：移动站从多个AP接入的能力 动态配置：网络本身是动态的，允许动态、自动地 对站点进行加入、删除或者重新定位而 不影响其他站 频率资源：占用的频率带宽、需许可证的频段获可 自由使用的频段, 无线LAN技术, 红外线LAN，范围一个房间内 扩频LAN，目前最为流行的WLAN 窄带微波LAN,按传输技术可分为三类, 扩频LAN, 工作频段: 2.4GHz 发射功率：100mW 传输距离：100m(全向天线） 20 Km（高增益定

22、向天线） 数据传输速率：2Mbps、5.5Mbps、11Mbps 每个无线LAN的站点共享一个无线信道 信道访问方式：CSMA/CA（CSMA/Collusion Avoid）,标准：IEEE802.11b,直接序列扩频DSSS，适用于Ad-hoc,跳频扩频FHSS，适用于AP接入, 信道访问技术（MAC协议）,无线LAN的MAC协议与有线LAN的MAC协议无本质差别,由于无线介质及移动特性的影响，加上存在隐藏终端的问题，WLAN的MAC协议与LAN的仍有差别,IEEE802.11定义了WLAN的MAC协议CSMA/CA, 载波侦听：发前侦听信道，确认信道空闲, 冲突避免：信道空闲后发送前，后

23、退一随机时间， 以避免可能的冲突, ACK确认：收到数据帧后立即发送ACK确认通知发送方,带有确认帧ACK的CSMA/CA的工作过程, 发送方在发送数据帧前先发送一个短的RTS控制帧,包括：待发数据长度及信源信宿地址, 接收方收到该RTS后，返回一个CTS控制帧, 所有站都监控信道，发现信道忙，推迟接入, 发送方收到CTS后，发送数据帧, 接收方收到数据帧后，进行校验,正确：发ACK进行确认 错误：丢弃该帧, 发送方定时没有收到ACK，则重发该帧,RTS,CTS,DATA,ACK,t1对应DIFS：接入帧间隔时间,t1,t2,t2,t2,t1,Defer 接入,发送站,接收站,其他站,t2对应

24、SIFS：短帧间隔时间, 帧格式,标准以太网帧结构 无线方式特殊头部, 标准以太网MAC地址方式 单播、组播、广播 较小的数据帧长以适应无线信道,分段/重装功能，克服信道较高的误码率,无线设备,无线局域网设备主要包括无线网卡、无线访问点（Access Point，AP）、无线桥接设备（Bridging）、无线宽带路由器（Wireless Broadband Router）和天线等设备。,1无线网卡,WLAN网卡的作用与有线网卡一样，WLAN主机通过WLAN网卡发送和接收无线信号。无线网卡主要包括NIC单元、扩频通信机和天线三个功能模块。NIC单元完成数据链路层功能，如建立主机与物理层之间的连接

25、、载波侦听。扩频通信机实现无线电信号的接收与发射，同时负责无线信号的差错判断与处理。3COM 11Mbps PCI WLAN网卡的产品外观如图所示。,2无线访问点（AP）,无线访问点AP负责为其所有关联的无线客户端之间进行数据通信，也负责将无线客户端桥接到有线以太网，是架构无线局域网模式的中心设备。无线访问点还兼有网络管理的功能，可对无线节点实施控制。无线访问点都带有天线，天线有内置和外置的，如图3-11所示是一款外置天线的无线访问点。,3无线桥接设备,无线桥接设备（如图3-12所示）用于将分布在不同地方的局域网通过无线桥接设备进行连接，可分为点对点的桥接（将两个局域网互联）和点对多点的桥接（

26、将多个局域网进行互联）两种方式。 无线网桥的应用使WLAN不需要租用专线或者自己布线，就可以把网络扩展到以前难以到达的用户那里，应用时只需要把一个网桥连接到局域网A上，把另一个网桥连接到另一座楼里面的局域网B上就可以了，另外WLAN网络也非常适合连接多个建筑物、临时教室和临时网络。如果网络需求或地点发生改变，无线楼到楼网桥可以很方便地重新布署。,无线访问点AP 无线网桥,4无线宽带路由器,无线宽带路由器具有多种功能，它是一个宽带路由器，具有多种宽带接入能力以让一个局域网的所有用户共用一个宽带账号访问Internet，它同时也是一个无线访问点，方便用户在小型办公区域、家庭和公众运营网络等场合快速

27、构建高速共享的无线与有线融合网络。,5高增益天线,无线局域网使用频率较高的2.4GHz或5GHz的微波频段，它所使用的天线与一般收音机、电视机或移动电话所用的天线不同，设计和构造都有自身的特点。天线的功能是将载有源数据的高频电流，藉由天线本身的特性转换成电磁波而发送出去，发送的距离与发射的功率和天线的增益成正向变化。天线的增益用分贝表示，分贝愈高，所能发送的距离也就愈远。天线有指向性天性与全向性天线两种。前者在某一指向上的发送信号强度远远大于其他方向，适合于长距离使用；而后者的发送强度在各个方向上相同，适合于区域性的应用。如图3-13所示为高增益天线的示意图。,图3-13 天线,三、园区网技术应用,FDDI,FDDI（Fiber Distributed Data Interface，光纤分布式数据接口）是一个使用光纤作为传输媒体的令牌环形网。它先是在ANSI的标准委员会X3T9.5通过为美国的标准，随后被ISO通过为国际标准ISO 9314。FDDI也常被划分在城域网MAN的范围。FDDI的产品在1988年问世。,FDDI主要特性,FDDI主要是用作校园环境的主干网，其主要特性如下： （1）