搜索
基于IPV6的校园网建设与设计计算机网络技术1001班选题的目的、意义和要完成的任务1论文的基本框架2课题中主要用到的技术3致谢4※选题的目的开发以IPv6为核心分析与构建校园网络。选题的目的、意义和要完成的任务1※选题的意义随着网络的快速发展,网络的普及也越来越大,计算机、IP电话等在现实生活中各个行业的使用,使得我们需要用大量的IP地址,IPv4正在日益枯竭,互联网需要更多的IP地址。IPv4使用的是32位地址,只能支持互联网上大约43亿个拥有单独地址的设备。而IPv6使用的是128位地址,能够支持互联网上接入更多的设备。为了从根本上解决IP地址空间不足的问题,IPv6便应运而生。选题的目的、意义和要完成的任务1※要完成的任务随着校园网规模的扩大,业务负载的不断增加,保持网络高利用率,防止关键业务受到拥塞影响以及各种网络应用和资源的管理安全性变得越来越重要。因此,在校园网的进一步建设中应该充分考虑如何更好的利用Pv6的技术。而要具体掌握IPv4到IPv6网络平稳过渡、评估和改进IPv6协议、进行大规模IPv6网络应用,就必须首先要建立IPv6实验网,在实验网上获得足够的经验,然后才能进行推广。本课题主要工作就是研究IPv6网络协议特性以及IPv4向IPv6的过渡技术,在没有IPv6硬件路由设备的条件下,设法通过设置软件路由来创建学校的IPv6实验平台,在实验平台上展开关于IPv6的基础实验以及部署实验。然后在实验基础上最终建立学校的IPv6局域网,能够对校内用户提供IPv6接入服务。选题的目的、意义和要完成的任务1※论文的基本框架论文的基本框架和主要内容2PacketTracer5.3GNS3解决ipv4和ipv6之间的通信实现环境理论知识实现过程Ipv4ipv6生成树协议配置端口安全链路聚合访问控制列表双栈技术课题中主要用到的技术3※主要用到的技术生成树协议及工作过程3※生成树协议IEEE802.1dSTP(生成树协议,Spanning-TreeProtocol)协议:使冗余端口置于“阻塞状态网络中的计算机在通信时,只有一条链路生效。当这个链路出现故障时,将处于“阻塞状态”的端口重新打开,从而确保网络连接稳定可靠。SW1SW2F0/2F0/2F0/1F0/1F0/1F0/2SW3※工作过程:第一步:选举一个根网桥;第二步:在每个非根网桥上选举一个根端口;第三步:在每个网段上选举一个指定端口;第四步:阻塞非根、非指定端口。生成树协议的BDPU3交换机或者网桥之间周期性地发送STP的桥接协议数据单元(BridgeProtocolDataUnit,BPDU),用于实现STP的功能。每2秒发送一次的二层报文组播发送,组播地址为:01-80-C2-00-00-00选择根网桥3•依据网桥ID选举根网桥,ID值最小者当选•根网桥每2s发送一次BPDUF0/2F0/2F0/1F0/1F0/1F0/2100M100M100MSW1:32768.00-d0-f8-00-11-11RootBridgeSW2:4096.00-d0-f8-00-22-22SW3:32768.00-d0-f8-00-33-33生成根端口3•在非根交换机上选举根端口•选举依据:根路径成本最小发送网桥ID最小发送端口ID最小SW1:32768.00-d0-f8-00-11-11SW2:4096.00-d0-f8-00-22-22SW3:32768.00-d0-f8-00-33-33F0/2F0/2F0/1F0/1F0/1F0/2100M100M100M根路径成本:19根路径成本:38RootBridge生成树选举指定端口3•每个网段中选取一个指定端口•用于向根交换机发送流量和从根交换机接收流量•选举依据:–根路径成本最小–所在交换机的网桥ID最小–端口ID最小SW1:32768.00-d0-f8-00-11-11SW2:4096.00-d0-f8-00-22-22SW3:32768.00-d0-f8-00-33-33F0/2F0/2F0/1F0/1F0/1F0/2100M100M100MRootBridge根路径成本:0所在交换机网桥ID最小阻塞非根非指定端口3•阻塞非根、非指定的端口,形成逻辑上无环路的拓扑结构SW1:32768.00-d0-f8-00-11-11SW2:4096.00-d0-f8-00-22-22SW3:32768.00-d0-f8-00-33-33F0/2F0/2F0/1F0/1F0/1F0/2100M100M100MRootBridgeSTP/RSTP的主要功能及作用31、利用生成树算法、在以太网络中,创建一个以某台交换机的某个端口为根的生成树,避免环路。2、以太网络拓扑发生变化时,通过生成树协议达到收敛保护的目的。主要功能:作用:1.广播风暴2.同一帧的多份拷贝3.不稳定的MAC地址表因此,在交换网络中必须有一个机制来阻止回路,而生成树协议(SpanningTreeProtocol)的作用正是在于此。端口安全及特性3端口安全是一种基于MAC地址的安全机制。这种机制通过检测数据帧中的源MAC地址来控制非授权设备对网络的访问,通过检测数据帧中的目的MAC地址来控制对非授权设备的访问。端口安全的特性:1:NeedToKnow特性2:入侵检测(IntrusionProtection)特征3:Trap特性端口安全的特性31:NeedToKnow特性2:入侵检测(IntrusionProtection)特征3:Trap特性端口安全的原理3从基本原理上讲,PortSecurity特性记住的是连接到交换机端口的以太网MAC地址即网卡号,并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信,端口安全特性会阻止它。端口安全的分类3端口安全分为:动态绑定静态绑定交换机重新启动后不会从MAC表中丢失,动态学习到MAC地址交换机重新启动后会丢失将交换机重新启动验证静态绑定MAC。在动态绑定的时候我们发现,第一个接入交换机的MAC地址会被绑定动态绑定到设备里;在静态绑定的时候我们发现有,第一个接入交换机的MAC地址不会被绑定动态绑定到设备里。静态绑定和动态绑定的的不同点:端口安全的配置3switchenableswitch#configtswitch(config)#interfaceFastEthernet0/1switch(config)#switchportmodeaccessswitch(config)#switchportport-securityswitch(config)#switchportport-securitymac-addressstickyswitch(config)#switchportport-securitymac-addresssticky0001.c735.9EB9switch(config)#interfaceFastEthernet0/2switch(config)#switchportmodeaccessswitch(config)#switchportport-securityswitch(config)#switchportport-securitymac-addressstickyswitch(config)#switchportport-securitymac-addresssticky0090.2BBC.7DC7链路聚合3链路聚合技术亦称主干技术(Trunking)或捆绑技术(Bonding),其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路,称为一条聚合链路。交换机之间物理链路Link1、Link2和Link3组成一条聚合链路。该链路在逻辑上是一个整体,内部的组成和传输数据的细节对上层服务是透明的。如图4-6所示:聚合内部的物理链路共同完成数据收发任务并相互备份。只要还存在能正常工作的成员,整个传输链路就不会失效。仍以上图的链路聚合为例,如果Link1和Link2先后故障,它们的数据任务会迅速转移到Link3上,因而两台交换机间的连接不会中断。如图4-7所示:图4-6图4-7链路聚合的特点、标准及协议3提高链路的可用性增加链路的容量链路聚合的特点:链路聚合的标准:IEEEStandard802.3ad:定义了链路聚合技术的目标、聚合子层内各模块的功能和操作的原则,以及链路聚合控制的内容等。能提高链路可用性、线性增加带宽、分担负载、实现自动配置、快速收敛、保证传输质量、对上层用户透明、向下兼容等等。链路聚合的协议:链路聚合控制协议(LinkAggregationControlProtocol)是IEEE802.3ad标准的主要内容之一,定义了一种标准的聚合控制方式。链路聚合的配置3SwitchenSwitch#configtSwitch#interfacefastEthernet0/14Switch#channel-group2modeactiveSwitch#switchporttrunkencapsulationdot1qSwitch#switchportmodetrunkSwitch#interfacefastEthernet0/16Switch#channel-group2modeactiveSwitch#switchporttrunkencapsulationdot1qSwitch#switchportmodetrunk访问控制列表3ACL技术在路由器中被广泛采用,它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素,并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上,可以通过实施ACL,可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加,一些企业已经开始使用ACL来控制对局域网内部资源的访问能力,进而来保障这些资源的安全。ACL技术可以有效的在三层上控制网络用户对网络资源的访问,他可以具体到两台网络设备间的网络应用,也可以按照网段进行大范围的访问控制管理,为网络应用提供了一个有效的安全手段。访问控制列表分类及工作原理3◆标准IP访问控制列表◆扩展IP访问控制列表◆命名的IP访问控制列表◆标准IPX访问控制列表◆扩展IPX访问控制列表◆命名的IPX访问控制列表分类:工作原理:它读取第三层及第四层数据包头中的信息,如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对数据包进行的过滤,从而达到访问控制的目的。端口安全的作用及实际应用3作用:访问控制列表可以用于防火墙;访问控制列表可以用于Qos(QualityofService),对数据流量进行控制;在DCC中,访问控制列表还可用来规定处罚拨号的条件;访问控制列表还可以用于地址转换;在配置路由策略时,还可以利用访问控制列表来作路由信息的过滤;在配置策略路由时,可以利用访问控制列表来过滤特定的保温作特殊处理。实际应用:组织某个网段访问服务器;阻止一号网段访问另外二个网段,但二号网段可以访问一号网段;禁止某些端口进入网络,可达到安全性。访问控制列表的配置3RoutenRout#configtRout#access-list101permitip192.168.1.00.0.0.255192.168.2.00.0.0.255Rout#accdss-list101permitip192.168.2.00.0.0.255192.168.1.00.0.0.255Rout#access-list101denyipanyany双栈3双协议栈(DualStack)采用该技术的节点上同时运行IPv4和IPv6两套协议栈。这是使IPv6节点保持与纯IPv4节点兼容最直接的方式,针对的对象是通信端节点(包括主机、路由器)。这种方式对IPv4和IPv6提供了完全的兼容,但是对于IP地址耗尽的问题却没有任何帮助。由于需要双路由基础设施,这种方式反而增加了网络的复杂度。工作方式:双栈的工作方式及应用