毕业设计论文湖南民政职院校园网改造方案的设计与实现

《毕业设计论文湖南民政职院校园网改造方案的设计与实现》由会员分享，可在线阅读，更多相关《毕业设计论文湖南民政职院校园网改造方案的设计与实现（65页珍藏版）》请在装配图网上搜索。

1、北京邮电大学网络教育学院毕业设计论文第一章 绪论 湖南民政职业学院其前身是创建于1959年的“湖南第一民政学校”。1981年12月，学校升格为三年制高等专科学校，更名为“湖南民政专科学校”，受湖南市高教局领导。2001年4月经湖南市政府批准、国家教育部备案，成为全日制的高等职业学校，定名为湖南民政职业学院。2003年，学院被市教委列为“湖南市示范性高等职业技术学院建设单位”之一，获2004-2005年度和2006-2007年度连续两届“长沙市文明单位”称号。 在2000年6月筹建之初，学院已将校园的信息化建设列入重点，投资三百多万元人民币进行校园网建设，实现了用餐、阅览、上机一卡通。为了进一步

2、完善信息管理，还先后开发和引进了通用性更好的管理系统:图书管理系统、教务管理系统、公共信息查询系统、电子公文流转系统等，基本实现了校园一卡通的功能。2005年结合新的教学楼、实验楼建设，又出资进行了新楼网络建设和旧网改造工程。至今，光纤到楼学院建有1个网络中心，通过中心交换机和路由器，向外呈辐射状，用千兆光纤连接院内各建筑，实现了点到点的通信。学院网络采用星型结构，行政、办公和教学区使用8M带宽ATM专线上网，远程教育使用10M光纤接入教科网，计算机机房和电子阅览室使用2M宽带上网，还设有远程职业培训、白玉兰妇女培训、农村专技人员培训等的远程卫星网。校园网网络终端遍布行政、教学、实验、图书馆和

3、生活区(包括教师公寓、学生公寓、浴室和食堂等)。每个计算机机房、专业实验室、电子阅览室和近5O个多媒体教室，都能轻松上网，有效地实现了校内外的资源共享和信息交流。 但经过近几年的网络建设和运行，目前发现存在一些问题: 1.网络可靠性差 由于网络结构中没有设备、电源、线路等的冗余和负载均衡，中心核心设备或分中心设备故障等问题出现直接导致了大面积的网络中断，影响网络的正常运行，且每次出现问题后网管人员需要作出相应响应，网络不具有自动愈合功能。2.网络安全性差 由于教学、办公、公共机房等的计算机管理责任不明确，以及管理不善，经常造成IP地址冲突、计算机感染病毒造成网络拥塞、国际流量异常以及资料泄密等

4、安全事故，这些事件的发生严重影响了学院网络运行的安全性和可靠性。3.用户管理、认证效果差 上网没有计费认证系统，P2P等软件占用大量带宽，网络经常拥堵。4.网络应用平台繁多和孤立 在校园网上运行有校园卡系统一套，OA一套，教务管理系统一套，网络教学平台两套，图书馆管理系统平台一套等一系列平台，但这些平台都彼此孤立和不能互相兼容，致使用户登陆每一个平台都需要输入不同的帐户和密码，特别是网络教学平台利用率极低，使投资浪费。 所以，针对以上情况，学院信息化领导小组专门立项，要尽量避免上述问题的产生，要进行统一的规划设计，改善网络的安全性和稳定性，这就是本课题的由来。结合实际建网情况和前期网络建设，在

5、充分研究了目前国内外网络界对校园网设计所采用的各种网络主干技术，并充分考虑到技术发展的主流和趋势后，选择万兆以太网为目标构建湖南民政学院的校园网，设计“核心层之间万兆链路，核心层到汇聚层千兆主干、百兆交换桌面”的网络拓扑结构。考虑到校园网管理的智能化和校园网发展的良性循环，要求能够通过统一的用户管理平台实现基于802.1X协议的全分布式校园安全认证计费目标。整个网络能够实现:高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能安全网络。 经过未来几年的努力，校园网作为整个信息化建设的重要基础设施，将建成一个高速、开放、先进、智能的计算机信息网络平台。在将来，湖南民政职业学院的校园

6、将是一个网络化、数字化、智能化有机结合的新型校园。一 湖南民政职业学院校园建筑布局图1-1: 二 校园网所需信息点的分布图1-2：名称语音数据实训楼30382教学楼A4668行政楼48100图书馆28188学生公寓78186教工楼78192教学楼B8862信息中心1586合计4111264 65第二章 网络现状及需求分析一 网络现状现学院网络为二层扁平结构(未启用三层交换)，学生和教师网段分开，相互之间不能访问。学生采用2M FTTB+LAN接入互联网，教师采用8M电信光纤接入互联网。局域网核心采用一台锐捷56506交换机，汇聚和接入层分别是使用Cisco、锐捷等各种型号的交换机。整个校园网拓

7、扑如下图2.1:湖南民政职业学院校园网拓扑该网络存在以下缺陷:1)局域网单核心架构。所有数据均通过核心交换，一旦核心出现故障，即造成网络全面瘫痪。2)内部网交换机品种繁多，新旧混杂，旧款交换机超龄使用，部分业务模块已失效。3) 学生网出口使用SOHO型路由器，负载低，抗击能力及安全防范性差。4) 缺少网络管理监控系统软件，导致网络管理不便，维护困难。5) 接入层交换机为非网管交换机，无法管理，易受攻击造成网络局部瘫痪。6) 无接入控制措施，网络安全性差，连接数与流量无法控制，容易给网络主干造成冲击。7）网络未启用三层交换，无法实现VLAN间互访与VLAN间访问控制，设备功能使用率低下。8）汇聚

8、层使用接入层设备，数据交换能力弱，易造成拥塞甚至瘫痪。二 需求分析 为建设先进、实用、可靠、安全和可扩展的校园网络，经研究，提出以下建设需求。 1)网络升级为双核心架构。 2)替换老旧交换机。 3)替换接入层非网管交换机。 4)增加高性能路由器。 5)使用堆叠技术扩展接入层容量、并提供高可管理性和减少网络直径。 6)使用认证计费软件提供安全接入。 7)替换高性能汇聚交换机，提高区域交换容量。 8)统一规划校园网地址。 9)新增连入教科网的光缆。第三章 网络改造方案的设计一 网络设计原则 计算机网络系统设计必须要求按照统一规划、统一标准的原则，总体设计，提供一个技术先进、结构合理、安全可靠的综合

9、网络平台，为网络信息的快速传递和各类应用系统建设提供有力保障。在设计网络时，需要遵循以下原则: 1)实用性和先进性 采用先进成熟的技术满足各类业务需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。 2)安全可靠性 为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施

10、提高整个网络系统的安全可靠性。 3)灵活性和可扩展性 计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据学院不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。 4)开放性和互连性 具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。 5)经济性和投资保护 应以较高的性能价格比构建本计算机网络系统

11、，使资金的产出投入比达到最大值。能以较低的成本、较少的人员投入来维持系统运转，提供高效能与高效益。尽可能保留延长己有系统的投资，充分利用以往在资金与技术方面的投入。 6)可管理性 由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的分布式管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最

12、有力的保障。二 网络改造方案概述 经过合理规划，针对学院网络系统的具体需求，在总体网络设计时采用层次化和模块化设计。从网络的逻辑结构来看，结合本校网络改造的特点，将继续采用三层结构构建核心层、汇聚层及接入层。并通过选用可扩展至万兆的核心设备，为校园网未来的升级改造预留空间。本次改造还将通过建设网管平台，接入认证，接入层可网管，替换老旧设备等工作来构建新的网络系统，使得整个网络系统具有先进性、稳定性、安全性等众多特点，完全可以满足现在及未来数年内的发展需要。 改建后的网络系统拓扑图如下图3.1:图3.1新的校园网拓扑图三 组网方案（一）核心层 整个核心层的功能主要是连接各个汇聚点和边缘路由器，实

13、现这些区域和设备的线速流量转发。采用V RRP技术，通过双核心的架构使得整个核心层既做到负载均衡又实现了冗余性。本次校园网改造采用2台锐捷S7606交换机作为网络核心首选，并提供Cisco 6509E交换机可选。核心设备采用千兆光纤连接各汇聚点，并有扩展至万兆的能力。锐捷57606系列交换机具有以下特性: RG-S7600系列交换机是锐捷网络推出的以业务为核心、面向下一代网络的万兆骨干路由交换机，提供大容量、高密度、模块化体系架构，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计，满足现代网络的多种业务承载融合

14、和业务灵活分类、分流的组网需求。可以根据用户的需求灵活配置，构建弹性可扩展的现代IP网络。 RG-S7600系列交换机为锐捷网络的高端产品之一，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是小型网络核心和大型网络骨干交换机的理想选择。 全兼容、模块化系列产品 RG-S7600系列交换机目前提供57604（4槽)、S7606（6槽)、S7610(10槽)3款模块化产品，可以满足不同规模企业不同网络层次的应用需求，同时这些模块化机架式交换机采用统一的硬件和软件平台，完全兼容的线卡，以及与锐捷面向十万兆平台的高端产品RG-S8600/S9600相同的软件

15、版本，可以适应不断发展的企业网络，充分保护用户的投资。高安全保障措施1）物理安全: RG-S7606/57610提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。 主机实时检测CPU的使用状态，并提供业界领先的硬件CPU保护技术(CPP，CPU Protect Policy)，CPP技术对发往CPU的数据进行流区分和流限速，避免非法攻击包对CPU的攻击和资源消耗。 2)病毒和攻击防护: 面对现在网络环境越来越多的网络病毒和攻击威胁，RG-S7600系列交换机提供强大的网络病毒和攻击防护能力: 提供业界最为强大的ACL特性，基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间

16、、专家级等丰富的ACL技术，支持IPV4/IPV6双栈下的输入输出ACL 。支持硬件防源IP地址欺骗、防DOS/DDOS攻击，防IP扫描等功能提供多端口同步监控技术，支持灵活的网络监控，提升网络监控能力 3)设备管理安全: 提供SSH的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁Telnet/Web登录的源IP限制功能，避免非法人员对网络设备的管理 SNMPV3提供加密和鉴别功能:确保数据从合法的数据源发出(引擎ID )；确保数据在传输过程中不被篡改(采用MDS和SHA认证协议)；加密报文，确保数据的机密性(采用DES56加密协议) 4)接入安全: 硬件支持IP, MAC、端口绑定，

17、提高用户接入控制能力。 支持802.1X技术，满足6元素绑定接入限制 支持IGMP源端口检查，可有效控制非法组播源，提高网络安全。 IGMPV3支持宣告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽 通过PVLAN隔离用户之间信息互通，不必占用VLAN资源。 端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入 动态ARP检测(DAI):结合DHCP snooping数据库中，可对转发的ARP报文进行安全检测，丢弃不合法的ARP报文，预防中间人攻击 丰富的应用支持技术 1)提供完善的各种QOS技术 灵活的流分类:除了根据IP Precedence, 802.1P,

18、DSCP进行流分类，还可以根据专家级ACL, IP扩展ACL, IP标准ACL, MAC扩展ACL等进行流分类。 多种队列技术:Urgent Queue, Protocol Queue、硬件队列、FIFO, PQ, CQ 拥塞管理和控制技术:SP, RR, WRR, DRR, SP+WRR, SP+DRR, CBQ, WFQ,CBWFQ, LLQ, WRED, CAR, LR （InOut)、Traffic Shaping(GTS)、HOL, RSVP等 2)提供多种组播支持技术，包括IGMP snooping, IGMP, PIM (SSM, SM, DM)，DVMRP，保证了网络中提供组播

19、服务时的带宽合理占用，同时提供支持IGMP源端口检查、源IP检查、IGMP过滤功能等屏蔽非法组播源。 IPv6的全面支持 支持多种IPv6的过渡技术，如双栈、NAT-PT、手工隧道、GRE隧道、ISATAP,6to4隧道等，利用这些过渡技术，可有效的满足IPv4网络到IPv6网络的过渡支持多种IPv6的路由技术，如静态路由、等价路由、策略路由、OSPFV3, RIPng,BGP4+、IS-ISv6等路由技术，满足未来大规模IPv6网络的部署 此外，还支持地址自动配置、ICMPv6, ICMPv6重定向、DHCPv6, ACL for IPV6,TCP/UDP for ipv6等大量IPv6的相

20、关技术。 通过对IPv6全面的支持，在最大的限度上保护了用户己有的投资，使得目前的IPv4网络也能够平滑迁移到IPv6。同时，基于AISC的硬件IPv6转发方式，能够满足未来网络大规模的IPv6应用。 扩展的路由技术 1)基于每个SVI接口的default route配置 基于SVI接口的缺省路由优先级比基于整机的缺省路由优先级高，所以，当需要为缺省路由设置备份线路的时候可以使用该功能很好地实现。 2) ECMP/WCMP(Equal-Cost Multipath Routing/ Weight-Cost Multipath Routing ) 在拥有多条不同链路到达同一目的地址的网络环境中，

21、如果使用传统的路由技术，发往该目地址的数据包只能利用其中的一条链路，其它链路处于备份状态或无效状态，并且在动态路由环境下相互的切换需要一定时间，而等值多路径路由协议(ECMP )和权重多路径路由协议(WCMP)可以在该网络环境下同时使用多条链路，不仅增加了传输带宽，并且可以无时延无丢包地备份失效链路的数据传输。 3)基于目的IP地址的策略路由 在拥有多条不同链路到达同一目的地址的网络环境中，使用基于目的IP地址的策略路由可以在多条链路间实现等值负载均衡和相互备份。 4)策略路由 在拥有多条不同链路到达同一目的地址的网络环境中，策略路由功能可基于数据包的源IP地址、目的IP地址、协议字段、TCP

22、/UDP源端口号、TCP/UDP目的端口号等特征进行多条出口链路间的灵活选择和相互备份。（二）汇聚层 汇聚层主要承担接入设备的流量汇聚功能，主要实施流量的策略转发和服务策略的实施。校园网的部分路由策略在汇聚层上即可实现，大大减轻了核心层路由交换机的压力，提高了网络的整体性能。在汇聚层上可以实施各种不同的QoS(服务质量)，以确保不同的应用在网络中获得不同的服务等级。 本校汇聚层目前使用Cisco系列交换机，设备已使用7年之久，已无法满足日益增长的网络流量需求。本次改造采用锐捷S3760交换机作汇聚，千兆上联至网络核心，下联锐捷S21系列交换机堆叠组和原有的Cisco系列交换机。锐捷S3760系

23、列交换机具有以下特性: RG-S3760系列是锐捷网络最新推出的业界第一款硬件全面支持IPv6的机架式多层交换机系列产品。该系列产品为IPv4向IPv6网络过渡、现有的IPv4网络间通信、以及IPv6网络间的通信提供了最直接和最方便灵活的技术实现和方案保障。 RG-S3760系列交换机硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性，为IPv6网络之间的通信提供了丰富的Tunnel技术，并提供了丰富而完善的路由协议，以适合大型网络多种路由和多业务的需要。 RG-S3760系列交换机在提供高性能、多业务的同时，其内在的安全防御机制和用户管理能力，更可有效防止和控制病毒传播和网络攻击，控制

24、非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障网络安全、网络合理化使用和运营。 RG-S3760系列为方便大型网络使用和不同管理员的管理习惯，提供了多种形式的管理工具如SNMP, Telnet, Web和Console口等。 RG-S3760系列以高性能、高安全、多业务、易用性特性为大型网络汇聚和中型网络核心提供了IPv4/IPv6的多层交换、端到端的服务质量、灵活丰富的安全措施和基于策略的网管，最大化满足高速、安全、多业务的下一代企业网需求。高性能IPv4/IPv6双栈协议多层交换1)高背板带宽为所有的端口提供非阻塞性能；2)硬件支持IPv4/IPv6双协议栈多层线速交换，

25、硬件区分和处理IPv4, IPv6协议报文，支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和ISATAP隧道等等，可根据IPv6网络的需求规划和网络现状，提供灵活的IPv6网络间通信方案；3）双协议栈的支持和处理，使得无需改变网络架构，即可将现有网络无缝升级为下一代IPv6方案；4）丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由需要；5)基于LPM硬件路由转发方式使得RG-S3760系列不仅适用于大型网络环境，而且可防御各种网络病毒的侵袭，保障所有报文线速转发，有效保证了设备的安全性。灵活完备的安全控制1)具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防

26、Dos攻击、防黑客IP扫描机制等，还网络一片绿色；2)特有的CPU保护控制，对发送到CPU的数据进行带宽控制，以避免对CPU的恶意攻击；3) SSH （Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；4)控制非法用户使用网络，保证合法用户合理化使用网络，如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。5)强大的多应用支持能力6)支持各种单播和组播动态路由协议，可适应不同的网络规模和需要进行大量多播服务的环境，实现网络的可扩展

27、和多业务应用；7)支持IGMPv1 /v2/v3全部版本，适应不同组播环境，满足组播安全应用的需要；8)支持丰富的路由协议如策略路由、等价路由、权重路由等丰富的三层特性和业务特性，满足不同网络链路规划下的通信需要。9)完善的QoS策略10)以DiffServ标准为核心的QoS保障系统，支持802.1P, IP TOS、二到七层流过滤、SP, WRR等完整的QoS策略，实现基于全网系统多业务的QoS逻辑；11)具备MAC流、IP流、应用流等多层流分类和流控制能力，实现精细的流带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量特性，提供服务。高可靠性1)支持生成

28、树协议802.1d, 802.1w, 802.1s，完全保证快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，合理使用网络通道，提供冗余链路利用率；2)支持VRRP虚拟路由器冗余协议，有效保障网络稳定。3)方便易用易管理4)RG-S3760-24/48多个千兆接口形式，可灵活满足需要多个千兆链路上链或多个千兆服务器的连接，方便用户灵活选择和网络扩展；5)RG-S3760-12SFP/GT的SFP和电口任意选用的架构设计，可选配多种规格千兆接口模块，支持千兆铜缆、单/多模光纤接口模块的混合配置，支持模块热插拔，极大方便用户灵活配置和扩展网络；6)简单网络时间协议(SNTP)保证交换机时

29、间的准确性，并与网络中时间服务器时间统一化，方便日志信息和流量信息的分析、故障诊断等管理；7)Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员网络维护和管理；8)CLI界面，方便高级用户配置和使用；9)Java-based Web管理方式，实现对交换机的可视化图形界面管理，快速和高效地配置设备。(三)接入层 本校接入层设备大多为老旧的无网管交换机，需要改造为可以网管，可实施802.1 x接入认证的设备。接入层千兆上联至汇聚，并采用堆叠技术满足高接入量。本次改造采用锐捷S21系列交换机，并提供S2026G交换机可选。锐捷S21系列交换机具有以下特性: STAR-52

30、1266 /S21506是两款全线速可堆叠的安全智能交换机，在提供智能的流分类、完善的服务质量(QoS)和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营。 STAR-521266/521506可通过SNMP, Telnet, Web和Console口等多种配置方式提供丰富的管理。521266/S21 SOG以极高的性价比为各类型网络提供完善的端到端的QoS服务质量、灵活丰富的安全策略管理和基于策略的网管，最大化满足高速、安全、智能的企业网

31、新需求。 高性能 高背板带宽为所有的端口提供线速的交换能力。 灵活完备的安全控制策略 1)通过与锐捷网络全局安全解决方案GSN的结合，可在安全策略方面为用户提供全新的立体三维的技术特性和解决方案，完全解除安全威胁、攻击欺骗、病毒侵害等危害: 2)通过内在的多种安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化地使用网络，如端口安全、端口隔离、专家级ACL、时间ACL、端口ARP报文的合法性检查、基于数据流的带宽限速、六元素绑定等，满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求； 3)硬件实现端口与MAC地址和用户IP地址的灵活绑定，严格限

32、定端口上用户接入； 4)保护端口不必占用VLAN资源，即可非常方便地隔离用户之间信息互通，充分保护用户隐私； 5)通过锐捷安全计费管理平台SAM，不仅可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为；6)专用的硬件防范ARP网关和ARP主机欺骗功能，有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象，保障了用户的正常上网；7)支持DHCP Relay，更可支持DHCP Option 82，可方便实现对IP地址

33、的精确分配和控制，并可通过交换机硬件ARP检查，可有效防范动态分配IP地址环境下的ARP欺骗问题；8)提供极为有效的Port Blocking功能，避免和阻止端口受到其它端口发送的广播包、多播包等报文的干扰，有效减轻端口的负载负担，提高端口带宽，保护用户PC更高效安全地运行:9)基于源IP地址控制的Telnet和Web设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性；10) SSH ( Secure Shell)和SNMPv3技术可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备；11)各种类型的硬件ACL控制，可灵活

34、控制二一七层数据报文，使得任何一个用户PC上的应用报文通过网络都能得到有效控制，充分保障了网络的安全和合理化使用。完善的QoS策略1）支持802.1P, DSCP、端口优先级、IP TOS、二到七层流过滤等QoS策略，具备MAC流、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用、以及不同应用所需要的服务质量，提供服务；2）极灵活的带宽控制能力，可以基于交换机端口、MAC地址、IP地址、VLAN ID,协议、应用组合进行灵活的带宽限速，限速粒度精细:1 Mbps (128KB)粒度/百兆端口、8Mbps (1024KB)粒度/千兆端口，可根据

35、网络安全需求，设定不同业务应用的带宽流量，满足网络带宽按需所用。丰富的组播特性1）支持业界特有的IGMP源端口检查，有效杜绝非法组播源播放和大量占用大量网络带宽，提高网络安全性；2)支持和识别IGMPvl/v2和IGMPv3全部版本的组播报文，适应不同组播环境，避免非法的组播数据流占用网络带宽，满足组播安全应用的需要。高可靠性1)支持生成树协议802.1D, 802.1w, 802.1s，完全保证链路快速收敛，提高容错能力，保证网络的稳定运行和链路的负载均衡，网络通道得到合理化使用，提供冗余链路利用率；2)支持端口环路检测，可快速检测端口下联出现环路的情况，并能自动将有环路端口关闭和定时启动，

36、保障了网络的可靠。方便易用易管理1)强大的菊花链式堆叠，支持52126G/52150G的混合堆叠，保证网络的高度灵活和可扩展，网络管理更加简单；2)提供图形化的安全策略管理平台，支持安全策略自动同步下发、升级和维护功能，安全策略智能化，可大幅度提高交换机管理和配置效率，提高网络安全；3)在实施了各种安全措施基础上，S21还能根据网络管理灵活性和特殊性的需要，能为网络内的一些特殊用户，以及设备的方便管理，开启安全通道，实现安全和灵活兼并的网络管理理念；4)端口的VLAN自动跳转功能，无需网管员手工干预，即可将端口跳转到用户所在VLAN，实现用户全网漫游上网，减轻设备配置和维护量；5)多端口同步监

37、控，通过一个端口即可同时监控多个端口的数据流，可以只监控输入帧或只监控输出帧或双向帧，大大提高维护效率；6)简单网络时间协议(SNTP保证交换机时间的准确性，并与网络中时间服务器的时间统一化，方便日志信息和流量信息的分析、故障诊断；7) Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份，便于管理员进行网络维护和管理；8)独特的集群管理，通过一台命令交换机可管理多达20台的S21系列交换机，无论交换机是否在同一配线间和布线室；9)强大的集群管理方式使得网络的维护工作变得非常方便和简单，只需配置1个IP地址，即可管理多台设备，不仅成倍节省了IP地址空间，而且维护和管理量也得到极大

38、降低。CLI界面，方便高级用户配置和使用；Java-based Web管理方式，实现对交换机的可视化图形管理，快速和高效地配置设备。（四）广域网出口 本校广域网出口采用Fttb+Lan和电信光纤两种方式接入Internet。拟改造为连接教科网和保留电信光纤线路。该出口原有SOHO路由器一台和iBlock多功能网络设备一台，分别连接Fttb+Lan和电信光纤，需增加两台路由器分别连接教科网和互联网，并把iBlock多功能网络设备移至路由器后改为旁路模式(bypass mode)，以充分发挥其性能。 改造后的校园网，边缘出口分别由两台Cisco 2811路由器承担，可有效保障互连网访问的不间断性。

39、iBlock多功能网络设备的旁路模式，可在设备宕机(多功能网络设备失效)后继续保证线路畅通，不影响互联网正常访问。Cisco 2811路由器性能如下: Cisco 2800系列由四个新平台组成:Cisco 2801, Cisco 2811, Cisco 2821和Cisco2851。与相似价位的前几代思科路由器相比，Cisco 2800系列的性能提高了五倍、安全性和话音性能提高了十倍、具有全新内嵌服务选项，且大大提高了插槽性能和密度，同时保持了对目前Cisco 1700系列和Cisco 2600系列中现有90多种模块中大多数模块的支持，从而提供了极大的性能优势。 Cisco 2800系列能以线

40、速为多条T1/E1/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器(DSP)插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。第四章 湖南民政职院校园网网络改造的实现 根据本校网络的实际状况，本方案拟采用分批次，按步骤进行网络改造，并采用模块化设计和实施方案，最大限度保障学院的投资与开销。一 第一步:网络核心的改造根据组网方案，本校可新购两台锐捷57606交换机(或Cisco 6509E交换机)作为网络核心。所有汇聚层设备采用双线路上联至核心交换机并启用VRRP

41、。二 第二步:汇聚层的改造 本校汇聚层Cisco 4000和3512均为7年前的产品，需全部替换。据统计供需6台汇聚层设备分别用于信息中心、实训楼、行政楼、图书馆、教学楼A区、教学楼B区、6号宿舍(含教工楼)，其中实训楼由于交换容量需求大(共计八百个信息点)，可把原网络核心交换机S6506移至该楼作为网络汇聚层设备，其他各汇聚点采用6台锐捷53760-24三层交换机。汇聚与核心之间采用双线路连接实现冗余。三 第三步:教师区接入认证的改造 本校教师区共有约300多个信息点，接入设备为非网管交换机。网络管理难度大，易被病毒侵扰，黑客袭击等。拟全部换用可网管可堆叠二层交换机，并架设Radius服务器

42、实现安全接入。本改造共需锐捷SAM(II)系统一套(不含服务器)，SQL 2000数据库一套，服务器2台，并采用16台锐捷S2126G交换机(4组堆叠)，或可选16台锐捷S2026G交换机(4组堆叠)。建成后，教师区即可实现安全接入。四 第四步:边缘出口的改造 本校拟增设连接教科网的光纤线路，并增强网络出口的安全与冗余。本案可选用2台Cisco 2811路由器作为Internet和Cernet(教科网)出口，替换原有的SOHO路由器与iBlock多功能网络设备。原多功能网络设备移至路由器后开启旁路模式做病毒防护、入侵检测、防垃圾邮件、限流量等工作。五 第五步:实训楼的改造 在校园网采用双核心架

43、构后，原S6506可移至实训中心做汇聚用，以满足实训大楼高达800信息点的容量。原实训大楼汇聚设备S2126G移至实训楼接入层。原实训楼接入层设备全部上联至S6506, S6506需增加24口千兆电口线卡两块。六 第六步:信息中心的改造在完成上述所有步骤或部分步骤后，信息中心需采用网络管理软件整合与管理整网设备。该改造需采用网络管理软件若干，网管服务器若干。第五章 校园网网络核心技术的研究一 冗余/负载均衡设计 冗余设计是网络设计的重要部分，是保证网络整体可靠性能的重要手段。但是投资也将增加。部分校园网在早期的建设中由于成本的原因并未在设计中考虑冗余问题，而在优化工作中则需从网络链路和网络设备

44、两方面着手。冗余设计可以贯穿整个层次化结构，每个冗余设计都有针对性，可以选择其中一部分或几部分应用到网络中以针对重要的应用。万一网络中某条路径失效时，冗余链路可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现端口级冗余，以克服某个端口或线路引起的故障。也可采用生成树协议(IEEE802.1d)提供设备级的冗余连接。此外，本方案在设计中提供不同物理方向的双归属、双核心保护。（一）线路冗余 在校园网核心层，校园网边界拓扑结构由于采用了双机热备份的核心交换机系统解决方案，所以在线路冗余方面的要求较高，对于线路的冗余要求，可对校园网骨干核心层设备进行双向备份，并使用业界领先的V

45、RRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC(Gigabit Ethereharmel)作为N*10OOM主干链路，通过这个链路连接骨干网交换机，具备万兆扩展能力；接入交换机采用10/1OOM自适应端口连接桌面系统，多千兆链路连接到汇聚层。GEC具有链路聚合和冗余保证两大特性，下面将对它们依次进行介绍:链路聚合:链路聚合IEEE802.3ad示意如图5.1: 图5.1图解:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提供聚合的高速通道，在不增加投资的情况下，扩大交换带宽，使关键连接的传输效率更高。冗余保证(见图5.2): 链路聚合中，成员互相动态备份。当某一链

46、路中断时，其它成员能够迅速接替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。 交换机上具体配置: 从性能与成本及拓展性等方面的综合考虑出发，决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择及备份选择。 在校园网汇聚层及接入层出于成本及性价比的考虑，我们决定采用千兆核心，千兆汇聚，万兆拓展；百兆到桌面的链路选择。（二）网络设备冗余/负载均衡设计1 HSRP (Hot Standby Router Protocol)热备份路由选择协议 （1）冗余性网络中的路由问题 1)缺省网关:当设置默认的网关

47、失效后，数据就不能到别的网段；即使存在作为网关使用的冗余路由器，也不能动态的将这些设备切换到新的网关地址。 2)代理ARP:如果要获得切换路由器的MAC地址，源工作站必须要么发起另一个ARP请求，要么重新启动，那么就可能在一段时间通信无法实现。导致PC机的ARP缓存可能有几个小时不能刷新ARP缓存。注:在win95, 98环境下使用代理ARP，缺省网关必须设置为该主机设备自己IP地址 3)路由选择协议:采用RIP协议，如果源工作站被配置为使用RIP，那么在RIP可以选用另一路由器之前，就会浪费很长的时间去更新。 4)IRDP(ICMP Router Discovery Protocol) 用i

48、cmp，每一个路由每7分钟发router advertisment, host就可以自动获得gateway 有支持IRDP的PC，开机发出请求（2）HSRP协议概述 实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器和备份路由器定时

49、发送HSRP报文。如果活动路由器失效，备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活动路由器，将有另外的路由器被选为备份路由器。在实际的一个特定的局域网中，可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作，它有一个Well -known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。当在一个局域网上有多个热备份组存在时，把主机分布到不同的热备份组，可以使负载得到分担。 （3） HSRP的工作原理 HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所

50、有其他路由器的优先级高，则该路由器成为主动路由器。路由器的缺省优先级是100，所以如果只设置一个路由器的优先级高于100，则该路由器将成为主动路由器。 通过在设置了HSRP协议的路由器之间广播HSRP优先级，HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时，优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。 配置了HSRP协议的路由器交换以下三种多点广播消息: 1) Hellohello消息通知其他路由器发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息；2) Coup-当

51、一个备用路由器变为一个主动路由器时发送一个coup消息；3) Resign-当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。在任一时刻，配置了HSRP协议的路由器都将处于以下六种状态之一:1) Initial HSRP启动时的状态，HSRP还没有运行，一般是在改变配置或端口刚刚启动时进入该状态。2) learn路由器己经得到了虚拟IP地址，但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。3) Listen-路由器正在监听hello消息。4) Speak在该状态下，路由器定期发送HELLO报文，

52、并且积极参加 活动路由器或等待路由器的竞选。5) Standby当主动路由器失效时路由器准备接受包传输功能。6) Active路由器执行包传输功能。 使用HSRP时，当末端工作站使用的缺省网关不可用时，可以继续在网络上进行通信。 1)在HSRP中，是采用有一套的路由器，分为活跃、备份、虚拟、其他路由器等体系，在外部看来，它是一台拥有IP和MAC地址的目标路由器。 2)活跃路由器的功能是负责转发发送到虚拟路由器的数据。它通过发送 HELLO消息(基于UDP广播)来通告它的活跃状态。 3)组中会有另外的一台路由器来作为备份路由器。它的功能是监视HSRP组中的运行状态，并且在当前活跃路由器不可用时，

53、迅速承担起负责数据转发的任务。备份路由器也发送HELLO消息来通告组中其他的路由器它备份路由器的角色。 4)虚拟路由器的功能是向最终的用户来代表一台能持续工作的路由器设备。它有自己的MAC和IP地址。但是实际上它是不用来转发数据包，它的作用仅仅是代表一台可用的路由设备。5)其他路由器也监听HELLO消息，但是不作应答，这样它就不会在备份组有身份的概念，同时它也不参与发送到虚拟路由器的数据包，但是还是转发其他路由器发来的数据包。注:在每个VLAN子网配置一个单独的HSRP组。活跃路由器的竞争机制1)默认状态的情况下，MAC地址最小的路由器将成为活跃的路由器。2)当活跃路由器失效的情况下，备份路由

54、器将成为活跃路由器。但是如果在活跃和备份路由器都失效的情况下，路由器身份的竞争依照如下的原则:在HSRP中有最高备份优先级的路由器将成为活跃/备份路由器，缺省的优先级是100，优先级从0255 。当优先级相同的情况下，具有最高IP地址的路由器将成为活跃的路由器默认还是MAC地址最小的成为活跃路由器（4）配置HSRP热备份路由协议1)配置一个接口以参与HSRP备份组2)配置HSRP的备份优先级。Router (config-if) Standby group-number priority priority-number3)配置HSRP组中的备份占先权Router (config-if) sta

55、ndby group-number preempt4)配置HELLO消息计时器:前面讲过活跃路由器和备份路由器通过发送HELLO消息来说明它现在的身份。HELLO消息当中包括了路由器的优先级、HELLO时间、保持时间等(默认的保持时间是HELLO消息的3倍)。 Router (config)#standby group-number timers hellotime holdtime Hellotime:是以秒来计算的，来定义HELLO消息之间的间隔；默认是3秒 Holdtime:是以秒来计算的，来定义活跃或是备份路由器在宣布失效之前的时间，从1255，缺省为10秒。也就是说:路由器在3个HE

56、LLO消息的间隔内如果还是没有收到HELLO包，宣告现在这台路由器己经失效了。 要恢复到缺省的备份计时器值:no standby group timers命令。 HSRP接口跟踪:配置HSRP的功能是为了解决如下的问题: 在某些情况下，端口的状态直接的影响了路由器的身份即哪台路由器要变成活跃的路由器。尤其是在每台路由器有到某个目的地的不同路径时。因为当启用了HSRP的路由器的端口是关闭了端口的工CMP的重定向的功能的，因此，当有链路发生了错误时，活跃路由器将不会对数据包进行重定向，导致了数据包的人为不可到达。通过启用接口跟踪时，可以根据接口的状态自动的调整路由器的优先级，当被跟踪的端口变成不可

57、用时，将自动的降低其路由器的优先级。这样就降低了它继续成为活跃路由器的可能性， 接口配置的模式下作以下的配置: Router(config-if)# standby group-number track type number interface-priority type:跟踪的接口的类型，与接口号一起使用如s0 number:被跟踪的接口的号，与接口类型一起使用 interface-priority:路由器要被降低的优先级的值，缺省为10 要关闭此功能的话使用:no standby group track命令。（5） HSRP存在的问题 对于HSRP协议，最大的问题是没有提供安全防护，在一

58、个局域网内部，通过发送虚假的UDP多播数据包很容易对局域网中的路由器实施攻击，导致数据包黑洞(Packet Black Hole)和拒绝服务攻击(Denial-of-Service Attack)。一般无法从一个局域网的外部实施攻击，因为大多数路由器都不转发目的地址为所有路由器的多播地址(224.0.0.2) 。 HSRP只是实现了路由器的平滑切换，使用户感觉不到这种切换，保证了网络的稳定性。但是，一个HSRP组内的路由器不能互通它们的其他网络配置信息，例如访问控制列表等。所以在管理实施管理时，为了保证一致性，必须对它们进行相同的修改，增加了管理的复杂性，这也许是为了提高性能而付出的代价吧。2

59、 VRRP虚拟路由器备份协议 （1） VRRP简介 在V RRP即irtual Router Redundancy Protocol)协议中，有两组重要的概念:VRRP路由器和虚拟路由器，主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。V

60、RRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。 （2）工作原理: 一个VRRP路由器有唯一的标识:VRID，范围为0-255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-00-01-VRID。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响

61、。VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内。这保证了V RID在不同网络中可以重复使用、为了减少网络带宽消耗只有主控路由器才可以周期性的发送V RRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮V RRP选举。 在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0-255。如VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级:2

62、55。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1-254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。V RRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。 为了保证VRRP协议的安全性，提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时

63、，必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。 （3）实际应用: 最典型的VRRP应用:RTA, RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，H1, H2, H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。 在VRRP应用中，RTB在线时RTA只是作为后备，不参与转发工作，闲置了路由器RTA和链路L1。通过合理的网络设计，可以达到备份和负载分担双重效果。让RTA, RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1