电子科技大学毕业设计 校园网组网方案设计
加密算法进行数据的加密,防止各种恶意的程序的篡改和窃取,保证教学秩序顺利进行,从而保证教学质量。防火墙的选购也时必要的,硬件防火墙架在万维网和校园网之间,并且每个终端主机还要购买金山毒霸杀毒软件。
2.7网间隔离
利用网络隔离技术确保把有害的攻击进行隔离,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成校园网间与外部网络数据的安全交换传输。网络隔离的关键是在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。而由于设计原理问题使得第三代和第四代隔离产品在这方面很难突破,既便有所改进也必须付出巨大的成本,和“适度安全”理念相悖。所以网间隔离要采用放火墙技术,通过配置硬件和软件来达到网间隔离的目标。
1.3 局域网的特点 1.3.1 局域网的组成
(1)服务器(Server):用来管理网络并为用户提供共享服务的计算机。与网络中的工作站相比,服务器通常具有更快的速率、更大的存储容量和更高的可靠性。此外,为了便于对网络进行管理,服务器中通常应安装相应的网络操作系统,如Novell Netware, Windows NT/2000 Server, UNIX等。
(2)工作站(Workstation):用户使用的计算机,又称用户机或客户机。从网络构成的角度看,任何一台计算机(如 286、386、486、PⅢ、P4等)都可作为工作站。当工作站登录到网络服务器后,可按规定权限存取服务器中的文件。此外,工作站通常还可
11
电子科技大学毕业设计 校园网组网方案设计
以与网络中的其他用户进行通信或访问Internet。
(3) 网络通信系统(Network Communications System):连接工作站和服务器的设备。这些设备通常应包括插在服务器或工作站中的网卡,它们应与通信介质相连;用于传输数据介质,如同轴电缆、双绞线、光纤等;专用的通信设备,如集线器(HUB)、局域网交换机、路由器等。
(4) 网络操作系统(Network Operating System):对于稍在一点的网络来说,为了充分发挥网络的功能,以及更好地管理网络,通常应在服务器中安装网络操作系统。例如,基于安全起见,企业的几乎所有重要数据(如财务、销售等)都被保存在服务器中,并非每个人都能访问这些数据。通常情况下,只有企业负责人拥有最高权限,而其他人只能查看部分数据。此时就是借助网络操作系统来对资源和用户进行管理的,它规定了用户的权限,以及用户所能访问的资源。 1.3.2 局域网的拓扑结构
所谓局域网的拓扑结构,是指局域网中各计算机之间的连接形式。如果抛开构建局域网时所采用的通信介质、通信设备等,局域网中各计算机之间的学用连接形式实际上只有两种,即总线型与星型。
在总线型网络中,由于各计算机共享一条通信电缆,网络中某个节点出现故障,将导致整个网络瘫痪。因此,目前这类结构的网络已趋于淘汰。
星型网络的优点是,当网络中某个节点出现故障时不会影响整个网络的运行。其缺点是每个计算机都要占用一条专用的通信线路,并且需要额外的通信设备,将导致成本的增加。但是,由于目前各种硬件设备价格都已非常便宜,所以,现在绝大部分局域网都采用了这种结构。
1.3.3 什么是局域网的规范
12
电子科技大学毕业设计 校园网组网方案设计
事实上各种网络结构都是有章可循的,这就是局域网规范(或称为局域网标准)。 从大的方面讲,根据网络的工作原理,目前的局域网大致可分为三类,即以太网、令牌环网和ARCNET 网。其中,以太网是目前局域网中采用最多的通信协议标准,它采用CSMA/CD (载波监听多路访问/冲突检测) 技术进行信息传递。该标准定义了在局域网中采用的电缆类型和信息处理方法,在互联设备之间可以10~100Mbit/s的速率传送信息包,目前约80%的局域网都是以太网。
由于技术的发展和用户要求的多样性,以太网又被细分成了一系列规范。例如, 10 Base2以太网规范定义了构建以细同轴电缆为通信介质,网络通信速率为10 Mb/s,网络拓扑结构为总线型的局域网的技术指标;10 Base T 以太网规范定义了构建以双绞线为通信介质,网络通信速率为10Mb/s ,网络拓扑结构为星型的局域网指标。 一般来说,每种局域网规范都规定了如下几项指标:
· 网络通信速率,例如,10Mb/s、100 Mb/s及1000 Mb/s 等。 · 局域网的结构,例如,采用总线型或星型。
· 所使用的通信介质,例如,同轴电缆、双绞线或光纤。其中,每种介质中又包含了多个子类,例如,双绞线就包括了3类、4类、5类及超5类双绞线等。
· 所使用的网卡类型,其中包括数据传输速率与接口类型。例如,要构建10 Base T 星型以太网,网卡的数据传输速率必须为10Mb/s,且必须带有RJ-45接口。
· 网络中所能支持的最大用户数量。例如,构建廉价的细同轴电缆总线型网络时,每个网段中的用户数不能超过30。
· 距离要求。由于随着距离的增加,信号会逐渐衰减,因此,各种局域网规范都对各种距离(如通信设备与计算机之间,各种通信设备之间等)有明确的要求。例如,在构建以集线器为核心的双绞线星型网络时,集线器与计算机之间的距离通常不超过 100m。
13
电子科技大学毕业设计 校园网组网方案设计
1.3.4 什么是局域网中的半双工和全双工
所谓半双工与全双工,是指通信双方信息交换的方式。其中半双工是指在同一时间通信双方只能有一方发送或接收信息,另一方只能处于等待状态。局域网中最早使用的就是这种方式。就目前来说,由于共享式局域网中的计算机都共享一条通信通道,在技术上无法实现同一时刻数据的双向通行,因此,常规的共享式网络只能工作在半双工模式。 所谓全双工是指在同一时间内,通信双方都可以同时发送与接收信息。从理论上讲,全双工通信方式的数据传输速率要比半双工通信方式提高一倍。就目前来说,很多交换机和网卡都采用了全双工模式,从而使网络速率得到大幅度提高。 1.3.5 局域网的结构类型
局域网的结构决定了局域网的管理方式,当我们创建一个局域网时,通常应遵循如下步骤来进行:
⑴ 明确自己的需求,即希望局域网具备哪些功能。
⑵ 在综合考虑局域网功能、现有软硬件的特点与价格、网络的可管理性与可扩充性等因素的基础上决定局域网的结构。
⑶ 根据选定的局域网结构决定局域网的拓扑结构,以及应选择的相关设备和软件。 ⑷ 对局域网进行配置和维护。
由此可以看出,决定局域网的结构是构建局域网时非常重要的一环。 1.4 组网中常见技术 1.4.1 双核心技术
通过双机热备VRRP和 802.1S技术实现双核心热备,不但可以让设备进行冗余备份,而且还可以使中心数据通信负载均衡,从而让中心设备减轻负荷,保证核心层的稳定性和可靠性.
14
电子科技大学毕业设计 校园网组网方案设计
在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
两台核心中央交换机本身通过OSPF路由协议对汇聚点的连接提供路由冗余和流量负载均衡。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。OSPF协议支持到同一目的地的多条等价路由,我们可以利用该特性实现路由冗余和流量的负载均衡。
双核心技术目的是防止一个点的失败导致整个网络功能的丢失。虽然冗余设计可能消除的单点失败问题,但也导致了交换回路的产生,它会带来如下问题:A.广播风暴B.同一帧的多份拷贝C.不稳定的MAC地址表。因此,在交换网络中必须有一个机制来阻止回路,而生成树协议(Spanning Tree Protocol)的作用正是在于此。 1.4.2 生成树协议
生成树协议的国际标准是IEEE802.1d。运行生成树算法的网桥/交换机在规定的间隔内通过网桥协议数据单元(BPDU)的组播帧与其他交换机交换配置信息,其工作的过程如下: 1. 通过比较网桥/交换机优先级选取根网桥/交换机(给定广播域内只有一个
15