品牌 型号 传输速率 传输模式 背板带宽 端口数 模块化插槽数 产品数量
2、二层交换机选择:
思科 CISCO WS-C34948-S 10/100/1000Mpps 全双工 96Gbps 48个 4个 3台 在本课题设计中,笔者选取了思科2950系列交换机。
该系列交换机拥有基于Web的Cisco集群管理套件和集成的Cisco 操作系统软件,它提供了增强的服务质量(QoS)和组播管理特性[5]。
表3-3 二层交换机主要参数
品牌 型号 思科 CISCO 2950-24 快速以太网交换机 10/100Mbps 存储转发 8.8Gbps 24个 10BASE-T/10BASE -TX 3类或3类以上UTP ,100BASE-TX五类[6]。 支持全双工 可级联 10台 产品类型 传输速率 交换方式 背板带宽 端口数量 接口介质 传输模式 堆叠功能 产品数量 3.4.2 路由器
本次设计方案选择Cisco 3925/K9路由器。
7
它可以安全、快速、高质量的为校园网络可以提供多类并发性的服务。提供VPN模块;入侵防御和防火墙功能;在各种需求的连接接口都适用;性能充足。
表3-4 路由器主要参数
品牌 型号 思科 CISCO 3925/K9 多业务路由器 10/100/1000Mbps 3个 2个基于SFP端口+2个内部USB2.0端口+1个串行控制台端口+1个串行辅助端口[7] 2个服务模块化插槽+1个双宽度服务模块插槽+4个路由器类型 传输速率 局域网接口 其它端口 扩展模块 EHWIC的模块化插槽+2个双宽度EHWIC插槽+1个ISM插槽数+4个板载DSP(PVDM)插槽[8] 防火墙 Qos支持 VPN支持 产品数量 内置防火墙 支持 支持 3台 3.5 小结
本章讲述了关于高校校园网的总体设计思想和规划的科学性,从设计拓扑图上给出IP规划以及校区的VLAN划分。其中VLAN10-21属于Campus-A,Campus-A包括数据中心、教学A区、学生宿舍区、图书馆区;VLAN22-27属于Campus--B,Campus--B包括教学B区、实验区。最后还介绍了高校校园网设备选型。下一章节主要介绍高校校园网实施技术。
8
4 高校校园网实施技术
4.1 VLAN技术
VLAN的全写就是Virtual Local Area Network,翻译成中文是虚拟局域网。VLAN是以逻辑为对象进行划分的,可以实现多网段的通信。在交换网中,通过引入VLAN技术,可以把其中各段进行灵活的划分和科学的组织。
利用对VLAN结构进行设计,可以集功能、项目组和应用程序等各种分段方法为一体,而不需要关注用户的物理位置[9]。也可以将每个二层交换机的端口只分配给一个VLAN,从而来加强安全防护。因为同一个VLAN分别归属于一个广播域,不同的VLAN中的端口难以实现广播的共享,所以可以把广播限制在一个VLAN中,以此来改进网络的整体功能。
4.2 链路聚合技术
链路聚合(Link Aggregation),把很多数据通道集在一起,形成更小的通道,该信道以某一单一的高宽路的逻辑链路的形式出现。当交换机发现到其中一个接口的链路发生故障时,就会在此接口上停止发送报文,并根据负载分担策略在剩下链路中重新计算报文发送的接口,故障接口恢复后再次重新计算报文发送接口
[10]
。
4.3 生成树协议
通常而言,复杂的网络是借助于冗余设备与实现相应的设计功能的。虽然这确实可以使一些问题得以解决,但是还是会出现问题,如产生环路,广播风暴等。生成树协议是一种工作在OSI模型第二层的链路管理协议,其主要功能就是保证在复杂的交换网络中不会再现环路现象,同时还提供了路径的冗余[11]。
不管是什么转发帧,也不管是否清楚其目标地址,都可以借助于一些合适的端口向外转发,从而确保终端设备可以获取转发帧。但是,当交换机或者链路存在故障时,这种网络设计难以使用额外的链路来实现冗余,于是这样交换机两端的网络将会被隔离。
STP让交换可以实现交换机之间的通信,借助于发送桥协议数据单元来协商根桥、根端口等信息。
9
本高校校园网设计中是采用PVST。
4.4 HSRP技术
HSRP的设计目标是支持在某些情况下的IP流量失败转移,而不会引发内部混乱,允许主机使用单路由器,以及就算路由器使用失败以后还可以实现对路由器间的连通性的维护[12]。HSRP利用优先级最高的设备成为Active路由器。其缺省优先级默认为100。若优先级相同,具有最高接口IP地址的路由器成为Ative路由器。抢占(Preempt)使得具有最高优先级的设备成为Active。
4.5 路由协议OSPF
OSPF是链路状态路由协议,同时也是内部网关协议。OSPF通过路由器之间通告网络接口的状态建立相应的数据库,每个OSPF路由器使用这些最短路径来实现路由表的构造[13]。
链路状态路由协议采用把OSPF将LSA数据包向某一区域内的所有路由器传送,这种与距离矢量路由选择协议有所区别。运行距离矢量路由协议的路由器是把路由表中的部分或者是全部传递给周边的路由器[14]。
4.6 网络地址转换NAT技术
NAT,Network Address Translation,网络地址转换。局域网内所有的IP使用NAT地址。它也可以隐藏个别IP地址,这样外界就无法访问内部网络[15]。
同时,它可以将网络的私有地址转换成公有地址。
NAT有三种类型:静态NAT、动态NAT、网络地址端口转换NAPT[16]。该校园网中心路由器与连接外网处做动态NAT(网络地址转换)。其中动态地址NAT主要是在网络外部设置了大量的合法地址[17]。
4.7 访问控制列表ACL技术
访问控制表就是路由器接口的指令列表。其功能是告知路由器是接受还是拒绝数据包。至于数据包到底是接收还是拒绝,可以由类似于源地址、端口号等各指标确定[18]。
ACL共有两种:标准ACL和扩展ACL。
标准的ACL只可以过滤源地址,且其具有的功能十分有限。扩展ACL则可
10
以过滤源地址和上层应用数据[19]。
本高校校园网在Campus-A中的两台核心交换机处做扩展ACL,限制学生宿舍区访问校园网的办公区,办公区中的财务部需要进入VLAN端口限制外网和内网对财务部的访问。
4.8 虚拟专用网络VPN技术
VPN的功能是在公用网络上建立专用网络,进行加密通讯,在校园网络中有广泛应用[20]。
对于高校校园网络来说,出差办公教师或在家办公教师通过VPN拨号进行对高校校园网内部网络的访问。而在传统的高校校园网络设计中,要进行远程访问,一般的方法就是租用DDN专业或者使用帧中继。然而,这样又会使费用高涨。就个人看来,通过电话线拨号进行该校园网,但是安全性难以保障,所以又有了VPN技术。
在高校校园网中,本设计是采用Easy VPN技术,让出差或在家办公教师通过VPN拨号对校园内部网络进行访问。
4.9 小结
本章主要介绍了高校校园网实施的技术有:VLAN技术、链路聚合技术、HSRP技术、NAT技术、ACL技术、VPN技术,还介绍了本设计用到的STP和OSPF协议。下一章介绍高校校校园网的实施与测试,其中包括高校校园网的关键配置和高校校园网的测试结果。
11