搜索
摘要随着网络的逐步普及,校园网络的建设是学校向信息化发展的必然选择,校园网网络系统是一个非常庞大而复杂的系统,它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台,而且能提供多种应用服务,使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的,因此本毕业设计课题将主要以校园局域网络建设过程可能用到的各种技术及实施方案为设计方向,为校园网的建设提供理论依据和实践指导。学院的网络关系到北京电子科技职业学院办公效率。在办公信息化的今天,校园网络的工作已经决定着整个北京电子科技职业学院的办公的效率化、准确化、时代化。作为示范校的北京电子科技职业学院,网络改革也是势在必行的。从网络的划分上来讲,任意一个网络都由三个基本元素组成:本地局域网、internet访问、远程访问。同时更具用户需求的不同或行业特性的差异,辅助以网络安全、网络存储、网络管理的模块共同搭建成完整的网络解决方案。校园网如同在为企业的信息化铺设公路,校园网是整个北京电子科技职业学院信息化建设的基石,将关系到后期整个信息化建设的质量,是一项重要的工程。关键词Internet接入、网络建设、防火墙ASA、VPN、MSTP、HSRP网络改造的原则和任务根据北京电子科技职业学院网络系统的现状和今后发展的需求,在充分利用有限资金和现有条件的前提下,北京电子科技职业学院决定在统一的整体规划下,对网络和应用系统进行全面的总体设计,并逐步进行重点的分期改造和扩容工作,在重点保证系统稳定运行的同时,提升网络系统的总体性能。为保证本次校园网改造的质量,我们将遵循以下原则进行整个系统的方案设计:系统的先进性与实用性相结合在系统设计上采用国内外先进的网络及应用技术,并充分借鉴以往在网络建设中的成熟经验,保证系统的先进性和稳定性。同时也要考虑到资金投入情况,将北京电子科技职业学院网络系统最终设计成一个实用、稳定、可靠的系统。扩容开发新的系统与移植旧的系统相结合,充分保证前期投资在网络系统扩容和改造工作中,不但要积极采用目前已经成熟的新技术来提升网络的总体性能,同时也要充分考虑到对网络系统中原有设备进行有选择的继续沿用,从而保护原有的投资。系统建设与培训工作相结合一个信息系统运行的好坏,不仅取决与系统建设本身。维持一个高水平应用的网络系统,需要全体人员计算机应用水平的提高,需要有一支信息维护的专业技术队伍。因此,应该把培训工作放到重要的位置上加以考虑网络示意图网络改造的主要工作增加两台核心交换机作双机热备为了保证网络的不间断运行,增加两台核心交换机作双机热备,这样其中一台核心交换机出现问题都不会影响网络的正常使用,提高了网络的稳定性。接入交换机双链路连接核心交换机接入层交换机通过两条光纤分别连接两台核心交换机,两条链路配置为负载均衡,这样其中一条链路出现问题都不会影响网络的正常使用。热待机路由协议的目的就是希望能在网络内提供趋于100%的数据转发能力,尽量保证在路由器出现故障的情况下,继续发往该路由器的数据包不会丢失,能够自动由其它路由器发送出去。这是通过一个虚拟的路由器来实现的。子网内的主机以该虚拟路由器作为缺省网关并向其发送数据,而各个启动了HSRP的路由器通过竞争来担当该虚拟路由器的角色并负责这些数据的转发。负责转发发向虚拟路由器的数据包的那台路由器为Active状态,其它一个或多个路由器作为Standby状态。当Active路由器失效时,Standby路由器通过与Active路由器的信息交互和计时器来自动取缔原来的路由器,将自身变为Active,继续负责发往虚拟路由器的数据转发工作。然而,对用户来说,这种网络的变化是透明的,亦即可以达到一种。加强网络管理在网络升级改造的过程中,信息中心做域控制管理,对各部门现有计算机进行详细统计,统一编制计算机名称,统一按照部门进行IP地址的重新规划,并登记造册,以便以后对网络系统的计算机进行监控和对出现故障的计算机进行快速查找。提高网络安全性根据网络安全防范的要求和业务应用系统发展的需求,在内网、外网、服务器区等用防火墙进行安全隔离,在不影响网络速度的前提下,重点对数据库服务器进行保护;根据需要可以在网络系统中部署“入侵检测系统”有效地阻断和隔离内外部非法用户可能进行的网络攻击;根据需要在网络中部署安全漏洞扫描系统,定期对网络及应用系统进行安全评估,及时修补系统中存在的安全漏洞,提升系统的安全性。一、系统相关技术背景综述链路负载均衡相关技术背景介绍OSPF技术OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。在这里,路由域是指一个自治系统(AutonomousSystem),即AS,它是指一组通过统一的路由政策或路由协议互相交换路由信息的网络。在这个AS中,所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库,该数据库中存放的是路由域中相应链路的状态信息,OSPF路由器正是通过这个数据库计算出其OSPF路由表的。作为一种链路状态的路由协议,OSPF将链路状态广播数据LSA(LinkStateAdvertisement)传送给在某一区域内的所有路由器,这一点与距离矢量路由协议不同。运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。OSPF协议主要优点:1、OSPF是真正的LOOP-FREE(无路由自环)路由协议。源自其算法本身的优点。(链路状态及最短路径树算法)2、OSPF收敛速度快:能够在最短的时间内将路由变化传递到整个自治系统。3、提出区域(area)划分的概念,将自治系统划分为不同区域后,通过区域之间的对路由信息的摘要,大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。4、将协议自身的开销控制到最小。见下:1)用于发现和维护邻居关系的是定期发送的是不含路由信息的hello报文,非常短小。包含路由信息的报文时是触发更新的机制。(有路由变化时才会发送)。但为了增强协议的健壮性,每1800秒全部重发一次。2)在广播网络中,使用组播地址(而非广播)发送报文,减少对其它不运行ospf的网络设备的干扰。3)在各类可以多址访问的网络中(广播,NBMA),通过选举DR,使同网段的路由器之间的路由交换(同步)次数由O(N*N)次减少为O(N)次。4)提出STUB区域的概念,使得STUB区域内不再传播引入的ASE路由。5)在ABR(区域边界路由器)上支持路由聚合,进一步减少区域间的路由信息传递。6)在点到点接口类型中,通过配置按需播号属性(OSPFoverOnDemandCircuits),使得ospf不再定时发送hello报文及定期更新路由信息。只在网络拓扑真正变化时才发送更新信息。5、通过严格划分路由的级别(共分四极),提供更可信的路由选择。6、良好的安全性,ospf支持基于接口的明文及md5验证。7、OSPF适应各种规模的网络,最多可达数千台。1.3.1.MSTP技术STP(SpanningTreeProtocol,生成树协议)不能使端口状态快速迁移,即使是在点对点链路或边缘端口,也必须等待2倍的Forwarddelay的时间延迟,端口才能迁移到转发状态。RSTP(RapidSpanningTreeProtocol,快速生成树协议)可以快速收敛,但是和STP一样存在以下缺陷:局域网内所有网桥共享一棵生成树,不能按VLAN阻塞冗余链路,所有VLAN的报文都沿着一棵生成树进行转发。MSTP(MultipleSpanningTreeProtocol,多生成树协议)将环路网络修剪成为一个无环的树型网络,避免报文在环路网络中的增生和无限循环,同时还提供了数据转发的多个冗余路径,在数据转发过程中实现VLAN数据的负载均衡。MSTP兼容STP和RSTP,并且可以弥补STP和RSTP的缺陷。它既可以快速收敛,也能使不同VLAN的流量沿各自的路径分发,从而为冗余链路提供了更好的负载分担机制。1.3.2.HSRP技术虚拟路由器冗余协议(HSRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的HSRP路由器中的一台。控制虚拟路由器IP地址的HSRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用HSRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。HSRP包封装在IP包中发送。VLAN技术VLAN(VirtualLocalAreaNetwork)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。VLAN在交换机上的实现方法,可以大致划分为4类:1、基于端口划分的VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分,比如QuidwayS3526的1~4端口为VLAN10,5~17为VLAN20,18~24为VLAN30,当然,这些属于同一VLAN的端口可以不连续,如何配置,由管理员决定,如果有多个交换机,例如,可以指定交换机1的1~6端口和交换机2的1~4端口为同一VLAN,即同一VLAN可以跨越数个以太网交换机,根据端口划分是目前定义VLAN的最广泛的方法,IEEE802.1Q规定了依据以太网交换机的端口来划分VLAN的国际标准。这种划分的方法的优点是定义VLAN成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果VLANA的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义.这种划分VLAN的方法是根据每个主机的MAC地址来划分,即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN不用重新配置,所以,可以认为这种根据MAC地址的划分方法是基于用户的VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个VLAN组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN就必须不停的配置。2、基于网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法是根据网络地址,比如IP地址,但它不是路由,与网络层的路由毫无关系。它虽然查看每个数据包的IP地址,但由于不是路由,所以,没有RIP,OSPF等路由协议,而是根据生成树算法进行桥交换,这种方法的优点是用户的物理位置改变了,不需要重新配置所属的VLAN,而且可以根据协议类型来划分VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的帧标签来识别VLAN,这样可以减少网络的通信量。这种方法的缺点是效率低,因为检查每一个数据包的网