论网络设备在校园网升级中的应用论文.docx
- 文档编号:17165765
- 上传时间:2023-07-22
- 格式:DOCX
- 页数:26
- 大小:393.20KB
论网络设备在校园网升级中的应用论文.docx
《论网络设备在校园网升级中的应用论文.docx》由会员分享,可在线阅读,更多相关《论网络设备在校园网升级中的应用论文.docx(26页珍藏版)》请在冰点文库上搜索。
论网络设备在校园网升级中的应用论文
论网络设备在校园网升级中的应用
摘要
本文在局域网技术和现今发展基础上,分析了建立校园网的意义,建设原则和目标,并详细阐述了其设计过程。
文章从系统结构、布线系统、网络方案、管理等方面讨论了校园网的设计方案。
在网络设计过程中,详细介绍了网络拓扑结构、VLAN划分、计算机的IP分配,并在部分办公室引入无线网络,实现了网络的人性化设计。
最后通过相关软件对网络进行管理以及实现网络的安全性。
关键词:
校园网规划;局域网;网络设计;拓扑结构;VLAN
前言
根据IEEE的描述,局域网LAN(LocalAreaNetwork)技术是“把分散在一个建筑物或相邻建筑物中的计算机、终端、带大容量存储器的外围设备、控制器、显示器、以及为连接其他网络而使用的网络连接器等相互连接起来,以很高速度进行通信的手段”。
显而易见,从物理意义上说,校园网络就是一种局域网。
一:
需求分析
1.1:
校园网需求分析
校园网是指利用网络设备、通信介质和适宜的组网技术与协议及各类网络系统管理软件和应用软件,将校园内计算机和各种终端有机的集成在一起,并用于教学、科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络系统。
校园网的概念最初是硬件集成为主,校园网只是一个硬件平台。
到了第二阶段,有提出了以教学应用软件集成为主的“软件建网”的校园网概念,这也大多数校园网所采用的模式。
校园网由硬件和软件这两部分共同组成,其中,硬件是基础是校园网的载体,没有硬件根本无法谈及校园网;软件是应用,是建设校园网的根本需求的体现。
就像普通的PC一样,建立在硬件上的系统软件、应用软件让我们有了利用计算机的可能。
校园网是为学校教师、学生提供教学、科研和综合信息服务的宽带多媒体网络。
校园网应为学校教学、科研提供先进的信息化教学环境。
这就要求校园网是一个宽带且具有交互功能和专业很强的局域网络。
多媒体教学、网络教学、教师电子备课、办公等等都要通过网络运行工作。
1.2:
对通信量的分析
在我们精心打造的校园网中,如果网络突然缓慢,在重要数据往来的教学时间段,留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。
而且,蠕虫病毒对网络速度的影响越来越严重,例如“网络天空”等邮件蠕虫病毒,它们导致被感染的用户只要一连上网就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户的通讯簿上,通过随机地址进行邮件发送。
成百上千的这种垃圾邮件有的排着队往外发送,有的又成批地被退回来堆在服务器上。
这都造成个教育网骨干线路出现明显拥塞,甚至在蠕虫泛滥的局域网中,瘫痪的事件屡有发生。
进行流量监控和流量分析是整个网络合理化的重要环节,它能在最短的时间内发现安全威胁,在第一时间进行分析,通过流量分析来确定攻击,然后发出预警,快速采取措施。
如何在核心的网络设备上监控流量、限制异常流量就成了大家关注的技术问题。
1.监控对象的制定
2.连接性
接性也称可用性、连通性或者可达性,学校需要高效率的带宽服务,更严格的说应该是网络服务的基本能力或属性。
比如远程教学中需要宽带连接和视频点播等服务,这些都必须以网络的连接性能为基础和保障。
3.丢包率
丢包率是指丢失的IP包与所有的IP包的比值。
许多因素会导致数据包在网络上传输时被丢弃,例如数据包的大小以及数据发送时链路的拥塞状况等。
不同业务对丢包的敏感性不同,在多媒体教学中,丢包是导致图像质量降低和断帧的根本原因。
4.时延
时延定义了一个IP包穿越一个或多个网段所经历的时间。
时延由固定时延和可变时延两部分组成。
固定时延基本不变,由传播时延和传输时延构成;可变时延由中间路由器处理时延和排队等待时延两部分构成。
5.带宽分析
带宽一般分为瓶颈带宽和可用带宽。
瓶颈带宽是指当一条路径(通路)中没有其它背景流量时,网络能够提供的最大的吞吐量。
可用带宽是指在网络路径(通路)存在背景流量的情况下,能够提供给某个业务的最大吞吐量。
6.协议分析
对网络流量进行协议划分,如:
Web浏览(HTTP)、电子邮件(POP3、SMTP、WEBMAIL、文件下载(FTP)、即时聊天(MSN、QQ等)、流媒体(MMS、RTSP)等。
针对不同的网络应用协议进行流量监控和分析,如果某一个协议在一个时间段内出现超常占用可用带宽的情况,就有可能是攻击流量或蠕虫病毒出现
二:
校园网的规划设计
2.1:
网络拓扑结构设计
1.网络要求
通过对用户网络结构和应用的分析可以得出这样一个大型校园网,必须具备以下基本网络要求。
整个网络无性能瓶颈,特别是教学区中的多媒体教室。
各子网间既要保持相对独立,又要允许有权限的用户能相互访问。
各楼层都要预留一定的交换端口,以备扩展。
结构图中可清晰地知道各主要设备连接的传输介质类型。
整个网络设计的性价比要高。
2.设计思路
本示例为多个扩展型星型网络的双绞线,或者光纤互连。
根据以上网络要求可以得出以下网络结构基本设计思路。
(1)对于有多媒体教室的教学楼,在楼层交换机与建筑物设备问交换机之间,以及相应建筑物设备问交换机与总机房核心交换机之间可采用GEC技术进行多链路聚合,最高可达到8Gbps的连接性能,确保所需的高带宽。
(2)为了确保各子网问相对独立,又可以允许有权限用户问的互访,可在各区网络中采用子网划分方法,同时通过中间节点路由器可以设置允许相互访问的用户列表。
(3)根据各建筑物的相隔距离通常是这样部署各机房和设备间的:
各建筑物的设备问均设在各楼的第一层,子网设备问选择该区中位置相对中央的一建筑物第一层,与该建筑物的设备问共处一室,整个校园网的机房设在整个校园网中位置相对中央的一栋教学楼第一层,与该教学楼,甚至该建筑物所在子网的设备间区处一室。
(4)主干网络中各子网核心交换机与总机房路由器之间,以及同一子网内部建筑物设备间交换机与子网核心交换机之间都采用光纤星型连接,而同一建筑物的不同楼层则采用双绞线千兆位连接。
(5)楼层交换机所需预留的端口较多,而设备间和机房核心交换机则可预留少数端口,因为端口的使用主要体现在最终用户端。
(6)本节主要介绍各楼层交换机与建筑物设备间核心交换机,建筑物设备间交换机与子网设备问核心交换机之间,以及子网设备间核心交换机与网络总机房路由器之间的连接,具体各楼内部的星型网络结构设计思路参见3.1节介绍即可。
3.设计步骤
根据以上设计思路,作出的具体设计步骤如下。
(1)选择好用于总机房的教学楼,在其第一层某房间作为总机房,各建筑物的第一层也用一个房间用于建筑物设备问。
各建筑物设备间交换机用一条带宽为400MHz/km、波长为50/125微米的多模光纤(最大长度为500米)连接到总机房的路由器的多模光纤端口上(要求路由器支持相应的光纤连接类型)。
教学区子网由于有多媒体教室之类高带宽需求应用,所以采取GEC技术(要求相应的核心交换机和路由器都支持GEC技术和千兆位以太网技术),把两个千兆位端口聚合起来,实现2Gbps的链路。
下图是教学区、学生宿舍区、教师家属区和娱乐区4个子网设备间核心交换机与总机房路由器的连接。
各子网之间的连接
一般来说,如子网设备间会和该子网中其中一栋建筑物设备问在同一房问部署的。
因为网络总机房设在教学区的一栋建筑物中,所以在教学区中会有一个机房同时部署网络总机房、教学区子网设备和该建筑物交换设备,担当3种角色。
(2)把各子网中不同建筑物设备间的交换机通过带宽为400MHz/km、波长为50/125微米的多模光纤与子网设备间的核心交换机连接起来,并标注相应的连接介质。
下图仅是一个示例,图中各子网设备问与其中一个建筑物设备间在同处一室部署。
图中建筑物设备问交换机与子网核心交换机问,以及各子网核心交换机与总机房中间节点路由器之间的连接均为多模光纤千兆位连接。
校园网主干网络结构示例
(2)整个网络的主干部分设计好后,接下来就要对各建筑物内部各楼层交换网络结构进行设计。
在这样一个大型校园网络中,因为教学区子网的宽带需求较高,所以在各教学楼内部所采用的交换机档次通常要高些,当然通常也都是采用相对廉价的双绞线千兆位连接,主要不J司体现在干兆位端口的数量较多,用于高带宽需求的用户终端连接。
有时为了提高各端口的实际可用带宽而采用堆叠,或者链路聚合(包括FEC和GEC)功能。
下面分别是学生宿舍区子网和教学区子网各一建筑物主干网络结构示例,其中学生宿舍区子网建筑物内部各楼层交换机通常采用普通的双绞线千兆位以太网交换机与建筑物设备问交换机连接,而对于终端用户比较集中的教学区建筑物内部各楼层交换机则采用堆叠方式与建筑物设备问进行双绞线千岁邑位连接。
学生宿舍区子网建筑物内部主干网络示例
教学区子网建筑物内部主干网络示例
(4)整个网络的主干部分和各建筑物内部的主干网络结构确定后,接下就要进行主要网络设备,如各种服务器、边界路由器和防火墙等的连接了。
首先在整个网络的机房内把网络根域控制器和额外域控制器均连接在校园网核心交换机高速端口上,整个网络的边界路由器则根据实际需要选择,通常直接利用中间节点路由器即可,因为中间节点路由器除了具有局域网内部网段连接功能外,同样具有外部网络连接功能,支持多种接入方式。
然后再把边界防火墙接在路由器的一个WAN端口上(也可把防火墙连接在路由器与校园网核心交换机之间)。
另外,还需要配置一台管理控制台计算机,直接连接在机房校园网核心交换机的普通端口上。
在各子网设备间同样把子网的域控制器连接在子网设备问交换机高速端口上,在各建筑物设备间中分别部署一台子网额外域控制器,起到负载均衡和域控制器冗余作用,参见上面两个示例。
同样在子网设备间和建筑物设备问都可以部署一台管理控制计算机,连接在交换机的普通端口即可。
(5)最后再把各建筑物内部的用户终端连接在各建筑物内部各楼层交换机的普通端口上即可,要注意的是各交换机所连接的用户终端数和负荷要尽可能均衡,同时要为每台交换机预留至少4个以上的端口用于维护和未来扩展。
2.2:
信息流量,端口数及端口速率计算
1.应用网段流量分析
大多数学校都是将不同的业务应用通过VLAN来进行逻辑隔离的,所以可以通过流量分析系统针对不同VLAN来进行网络流量监控。
2.网络设备的流量管理
3.理解CBAC
很多中小学校受到资金的限制,网管员大多采用了路由器中CiscoIOS防火墙特性集,基于上下文的访问控制(CBAC)是最显著的新增特性。
CBAC技术的重要性在于:
使管理员能够将IOS防火墙配置为一个智能化、集成化的单框解决方案的一部分。
CBAC通过严格审查源和目的地址,增强了使用众所周知端口的TCP和UDP应用程序的安全。
CBAC通过检查整个(数据)包了解应用程序状态信息,给ACL功能增加了检查智能。
CBAC利用这种信息创建一个暂时的、会话(Session)特定的ACL入口,从而允许回返通信进入可靠网络。
这种暂时的ACL有效地在防火墙中打开了一个大门。
当一个会话结束时,ACL入口被删除,大门关闭。
CBAC在应用层审查包和维护TCP和UDP会话信息,这给CBAC提供了检测和阻止某种网络攻击的能力,比如SYNflooding。
CBAC是针对每个接口进行配置的,可以被用于控制源于防火墙另一方的通信(双向);但是,大多数客户将CBAC用于仅源于一方的通信(单向)。
CBAC可根据需要打开连接,并监视回返通信流量,但CBAC对于流量审核检查方面并不完美。
比如它只检查规定的内容,对于更多的流量类型就必须自己增加很多语句。
4.理解NBAR
网络上利用NBAR管理P2P流量的文章相当多,读者可以在操作过程中可以参阅模仿,但很多人对于NBAR到底是什么?
却一直没有搞清楚。
基于网络的应用识别(Network-BasedApplicationRecognition,NBAR),是在CiscoIOS12.0(5)XE2中引入的,在12.3(4)T中得到了加强。
NBAR可以根据OSI参考模型的第3层到第7层信息来对流量进行分类,设置NBAR第一个步就是建立审查的流量分类。
NBAR检查可以帮助我们做很多事情,如应用类型、连接的具体地址、连接中的数据和数据包的长度。
基于匹配标准,NBAR将匹配的流量放进特定的类(或组)中。
在建立了分类规则之后,建立用来标识流量策略,对于IP流量,我们使用IP优先级来对流量进行分组(类)。
IP优先级标准(和DSCP)使用IP包头中的TOS域中的位来分类流量。
当流量进入路由器时就执行这两步,然后当流量离开路由器上的一个特定的外出接口时,定义对被标记的流量将采取什么操作。
我们在流量优先级控制上通常使用QOS,这将影响数据包被发送接口之前,首先需要排成队列。
而NBAR可以为这些流量定义其他策略,限制这们的带宽或甚至丢弃这些流量。
5.理解分析模块NAM
NAM(NetworkAnalysisModule)是一个集成的通信流监视解决方案,可以提供全面的RMONI、RMONII、NetFlow和VLAN监视、与协议相关的故障诊断以及趋势分析功能。
由于这个模块一般在高端交换机上,所有在中小学中比较少见,而区县级的教育信息中心多采用这种流量管理方案。
NAM的一个关键功能是它能够同时并实时地监控多个交换机端口或VLAN,并能够为每一个数据源提供独立的RMONI/RMONII统计数据。
例如,一个需要监视三个以太网客户机端口的网络管理员可以在一个端口上运行分组捕获应用;在另一个端口上运行IP主机和会话应用;而在第三个端口上运行协议分发和应用层矩阵表应用。
NAM是对交换环境进行监视或故障诊断的理想选择,通过加入像NAM这样的RMONI/RMONII技术,可以使Catalyst5000/6500系列交换机上的每个以太网、快速以太网和千兆位以太网交换机端口的mini-RMON统计功能得到加强,进而提供全部7个层次的监视和故障诊断功能。
更详细的信息可以参考:
用于HTTP流量的NBAR扩展检查,通过使用HTTP特定的条件识别除了众所周知的TCP端口80之外的端口上的HTTP流量
NBAR用户定义的定制应用程序分类,使用户可以指定自己的匹配条件来识别端口范围以及特定端口上基于TCP或UDP的应用程序
2.3:
应用软件及操作系统的选择
1.网络操作系统
一般采用WindowsXP或Windows2003,其主要特点是:
支持多处理器,为今后升级网络服务器提供支持;支持多任务,且多任务运行可靠;工作站端支持多种操作系统,如MS-DOS、Windows2000/98、WindowsNT、OS2和Unix等;内置Internet功能,如内置的IIS提供完整、丰富和易用的Web解决方案,实现Web、FTP等服务;中文操作界面,安装、维护和使用方便。
2.单机操作系统
采用WindowsXP,其主要特点是:
全新的图形窗口用户界面,使用简单快捷;良好的兼容性,不但能运行32位应用程序,也能兼容旧的Windows和DOS应用,支持长文件名、多任务和多媒体应用等;支持即插即用,为板卡安装带来方便;有较强的网络功能,提供简单、方便的对等网功能。
3.应用软件可以使用集成软件,如微软公司的BackOffice集成软件、CVES2000校园网软件;也可以分模块选购。
2.4:
子网及VLAN的划分
我们知道,传统的局域网Ethernet 使用具有冲突检测的载波监听多路访问( CSMA / CD )方法。
在CSMA / CD 网络中,节点可以在它们有数据需要发送的任何时候使用网络。
在节点传输数据之前,它进行"监听"以了解网络是否很繁忙。
如果不是,则节点开始传送数据。
如果网络正在使用,则节点等待。
如果两个节点进行监听,没有听到任何东西,而开始同时使用线路,则会出现冲突。
在发送数据时,它如果使用广播地址,那么在此网段上的所有PC都将收到数据包,这样一来如果该网段PC众多,很容易引起广播风暴。
而冲突和广播风暴是影响网络性能的重要因素。
为 解 决这一问题,引入了虚拟局域网(VLAN的概念。
)
虚拟网络是在整个网络中通过网络交换设备建立的虚拟工作组。
虚拟网在逻辑上等于OSI模型的第二层的广播域,与具体的物理网及地理位置无关。
虚拟工作组可以包含不同位置的部门和工作组,不必在物理上重新配置任何端口,真正实现了网络用户与它们的物理位置无关。
虚拟网技术把传统的广播域按需要分割成各个独立的子广播域,将广播限制在虚拟工作组中,由于广播域的缩小,网络中广播包消耗带宽所占的比例大大降低,网络的性能得到显著的提高。
所以VLAN有效的分割了冲突域和广播域。
我们可以在交换机的某个端口上定义VLAN ,所有连接到这个特定端口的终端都是虚拟网络的一部分,并且整个网络可以支持多个VLAN。
VLAN通过建立网络防火墙使不必要的数据流量减至最少,隔离各个VLAN间的传输和可能出现的问题,使网络吞吐量大大增加,减少了网络延迟。
在虚拟网络环境中,可以通过划分不同的虚拟网络来控制处于同一物理网段中的用户之间的通信。
这样一来有效的实现了数据的保密工作,而且配置起来并不麻烦,网络管理员可以逻辑上重新配置网络,迅速、简单、有效地平衡负载流量,轻松自如地增加、删除和修改用户,而不必从物理上调整网络配置。
2.5:
IP地址的规划及分配
NGN业务具有端到端(Peer-to-Peer)及永久在线(Always-on-Line)的通信模式,需要分配大量IP地址,存在公网IP地址不足的问题。
同时运营商在城域网中必须采用静态路由、动态路由、策略路由和路由策略等技术设置城域网路由,以保证用户业务接入相应的业务网。
1、IP地址分配
IP地址范围
在城域网内将NGN业务与数据业务二层隔离,NGN业务网是一个独立逻辑网,可以独立规划IP地址,可采用私网地址,也可采用公网地址,还可采用公网地址私用。
公网地址私用的优点是地址数量大,理论上40亿个地址,方便规划和扩容,但与其它公网互通时需要IP-IP互通网关。
地址分配方式
NGN业务网核心设备如较交换、TMG、AG、服务器可以分配静态IP地址,大量楼道IAD、SIP智能终端及PC机通过城域汇聚层的BAS设备接入NGN业务网和数据业务网,由BAS对接入的设备进行认证和IP地址分配。
BAS应为IAD分配NGN业务网IP地址,为PC分配数据业务网IP地址,两个IP地址池不能重叠。
从运营商可运营、可管理的角度出发,IAD的IP地址可以通过DHCP进行动态分配。
BAS支持内置DHCPSEVER或DHCPRELAY。
BAS通过DHCPRELAY,可以从集中的DHCP服务器为IAD或PC机分配IP地址,更符合运营商集中管理IP地址的思路。
BAS在IP地址分配中的作用
在城域接入层NGN业务和数据业务通过VLAN二层隔离,再通过PE设备映射到城域骨干层的MPLSVPN中。
如果IAD和PE之间完全是二层设备,这时大量的IAD的VLAN就会终结到PE上,一方面PE支持VLAN的数目有限(VLAN<4096),另一方面每个VLAN都需要一个地址段,使得DHCP的作用域非常多,地址块非常碎,地址浪费严重,每个IAD至少占用4个IP地址。
如果在IAD和PE之间增加了BAS设备,通过内置DHCPServer或DHCPRelay功能,可根据VLAN来识别不同的业务,分配不同的IP地址域,进行业务汇聚后分流到相应的上行物理接口和VLAN子接口,再接入PE设备,使PE能将NGN业务流映射到NGN业务网相应的MPLSVPN。
通过BAS上的SuperVlan技术可以解决VLAN隔离用户时存在的地址块碎的问题,在同IP网段的VLAN用户之间通过ARPPROXY解决互通问题。
这种方式避免了大量IAD的VLAN直接终结在PE上,同时节约了大量的IP地址。
如果BAS支持PE时,也可直接将NGN业务与城域网MPLSVPN进行映射。
2、路由规划
BAS设备为IAD分配IP地址,所以IAD的路由在BAS上是直达路由。
城域汇聚层的BAS不仅对接入的IAD进行认证,分配IP地址,还对接入的PC机进行认证,分配IP地址。
通过认证,BAS可以识别出接入设备的业务属性,通过策略路由,可以将不同的业务分流到不同的上行物理口或VLAN子接口,通过PE接入相应的业务网中。
对于下行流,PE通过静态路由将下行流路由到BAS,BAS根据直达路由,将下行流路由到相应的用户端口。
3.路由器的基本配置命令
router>用户模式
1:
进入特权模式enable
router>enable
router#
2:
进入全局配置模式configureterminal
router>enable
router#configureterminal
router(conf)#
3:
交换机命名hostnameroutera以routerA为例
router>enable
router#configureterminal
router(conf)#hostnamerouterA
routera(conf)#
4:
配置使能口令enablepasswordcisco以cisco为例
router>enable
router#configureterminal
router(conf)#hostnamerouterA
routerA(conf)#enablepasswordcisco
5:
配置使能密码enablesecretciscolab以cicsolab为例
router>enable
router#configureterminal
router(conf)#hostnamerouterA
routerA(conf)#enablesecretciscolab
6:
进入路由器某一端口interfacefastehernet0/17以17端口为例
router>enable
router#configureterminal
router(conf)#hostnamerouterA
routerA(conf)#interfacefastehernet0/17
routerA(conf-if)#
进入路由器的某一子端口interfacefastethernet0/17.1以17端口的1子端口为例
router>enable
router#configureterminal
router(conf)#hostnamerouterA
routerA(conf)#interfacefastehernet0/17.1
7:
设置端口ip地址信息
router>enable
router#configureterminal
router(conf)#hostnamerouterA
routerA(conf)#interfacefastehernet0/17以17端口为例
routerA(conf-if)#ipaddress192.168.1.1255.255.255.0配置交换机端口ip和子网掩码
routerA(conf-if)#noshut是配置处于运行中
routerA(conf-if)#exit
8:
查看命令show
router>enable
router#showversion察看系统中的所有版本信息
showinterfacevlan1查看交换机有关ip协议的配置信息
showrunning-configure查看交换机当前起作用的配置信息
s
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络设备 校园网 升级 中的 应用 论文