安徽绿海商务学院信息技术系毕业论文
3.3.10 网管工作站设计
网络管理是校园网必须考虑的关键技术,这里的网络管理主要指网络设备及其系统的管理,它包括配置、性能、安全、故障管理等,网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的、驻留有网络管理协议的设备。
网络管理设计的另一方面,是配置一个网络管理中心,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理,并能支持通用浏览器进行网络设备的管理及配置。
3.3.11 IP地址和Alan规划
根据互联网络技术发展的趋势,结合学校网络目前真实IP地址的现实情况,我们建议:
IP地址规划遵循如下原则来设计:
1、服务器区采用私IP地址,NAT后供人员远程访问; 2、与internet 互联设备IP地址采用真实IP地址; 3、部分内部互连采用私有IP地址;
4、面向用户的私有IP地址,由统一出口的边缘设备(路由器、防火墙)进行地址翻译。即出口路由器(防火墙)互联采用合法IP地址;公共服务器如WWW/FTP/DNS等均采用合法地址(或从安全角度考虑采用私有IP);部分接入用户采用私有保留IP地址相连。
这样设计,既可以充分利用已有的公网IP地址,解决了IP地址空间不足的,既可以方便的实现互通互连,而且将地址翻译(NAT)这种耗费设备资源的工作由网络边缘设备分担,提高网络数据传输整体性能。
同时,还可以采用VLSM。VLSM是可变长子网掩码的英文缩写,它提供了一个主类(A类、B类、C类)网络内包含多个子网掩码的能力,可以对一个子网再进行子网划分。
VLSM的优点,所以我们采取VLSI对网络进行编址,以达到节约i地址,能够使用路由汇总的目的。
最后经过我们的计算,校园i地址和Alan分配如下表:
第 16 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
教学实训 学生公寓 教师公寓 IP地址网段 172.16.1.0/24 172.16.2.0/24 172.16.3.0/24 VLAN编号 20 30 40 默认网关 172.16.1.254/24 172.16.2.254/24 172.16.3.254/24 192.168.1.0网段用做行政办公,网关192.168.1.1 192.168.2.0网段用做服务器群,网关192.168.2.1 192.168.3.0网段用于连接路由器r1和 r2
50.1.1.0/24网段为公网地址。内网通过NAT转化成它们上网
Web服务器、FTP服务器、DNS服务器、路由器出口等公有IP地址根据运营商提供而定。
各种设备端口i地址均采用子网掩码为30位的i地址,这样有利于i地址的节约。
第 17 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
第4章 网络技术选型
4.1
路由协议——OSPF
在网络核心层和汇聚层上需要使用三层设备为网络内部不同的网段的数据和不同Alan 间的数据转发而需要路由协议时,我们采用OSPF协议作为路由协议。
OSPF是一种典型的链路状态路由协议。采用OSPF的路由器彼此交换并保存整个网络的链路信息,从而掌握全网的拓扑结构,独立计算路由。因为RIP路由协议不能服务于大型网络,所以,IETF的IGP工作组特别开发出链路状态协议——OSPF。
OSPF作为一种内部网关协议(Interior Gateway Protocol,IGP),用于在同一个自治域(AS)中的路由器之间发布路由信息。区别于距离矢量协议(RIP),OSPF具有支持大型网络、路由收敛快、占用网络资源少等优点,在目前应用的路由协议中占有相当重要的地位。
4.2 端口安全与认证(基于 802.1X)
a.端口安全
交换设备定义了对端口保护的功能,我们能定义允许的最大 MAC 地址访问数,或者静态的定义特定的 MAC 地址。遇到不合法的 MAC 地址交换机采取的策略。
配置举例 端口安全性:
>enable
#configure terminal
(con fig)#interface f0/1
-if)#Corwith port-security
-if)#Corwith port-security maximum * (最大访问数) -if)#Corwith port-security mac-address x.x.x.x
第 18 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
(该端口的mac地址)
-if)#Corwith port-security violation shutdown (遇到其他端口则关闭,但可以人工打开)
b.基于 802.1x 的端口认证
4.3 VRRP(虚拟路由冗余协议)原理
VRRP给路由器组提供了一个冗余网关地址,它是一种容错协议,通过定义不同的组,不同优先级的路由器,它保证网络的主路由器失效时,可以及时的由备分来实现路由器来替代,从而保持通讯的连续性和可靠性。并可以在该协议上实现负载均衡等高级交换特性。
VRRP 技术的实现: 汇聚到核心冗余连接及 VRRP 的实现通过 VRRP 技术将多个设备虚拟成为一台逻辑设备,实现汇聚/接入链路冗余。
如下例:
-if)#RPV 5 i 192.168.2.5
-if)# RPV 6 i 192.168.2.6 A: -if)#RPV 5 priority 200 B: -if)#RPV 6 priority 200 -if)#RPV 5 auth en name -if)#RPV 6 auth en name 见图如下:
第 19 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
活动(200)
Mac0000.5e00.0105 (A) 192.168.2.5 备份(100)
Mac0000.5e00.0106 192.168.2.6
备份(100)
Mac0000.5e00.0105 (B)
192.168.2.5 活动(200)
Mac0000.5e00.0106 192.168.2.6
4.4 RSTP、MSTP 原理
RSTP 协议完全向下兼容 802.1D STP 协议,除了和传统的 STP 协议一样具有避免回路、提供冗余链路的功能外,最主要的特点就是“快”。如果一个局域网内的网桥都支持 RSTP 协议且管理员配置得当,一旦网络拓朴改变而要重新生成拓朴树只需要不超过 1 秒的时间(传统的 STP 需要大约 50 秒)。
本交换机支持 MSTP,MSTP 是在传统的 STP、RSTP 的基础上发展而来的新的生成树协议,本身就包含了 RSTP的快速 FORWARDING 机制。
由于传统的生成树协议与 Alan 没有任何联系,因此在特定网络拓朴下就会产生以下问题: 如下图 所示,交换机 A、B 在 vlan1 内,交换机 C、D 在 vlan2 内,然后连成环路。
在某种情况的配置下,会造成把交换机 A 和 B 间的链路给 DISCARDING.由于交换机 C、D 不包含 vlan1,无法转发 vlan1 的数据包,这样交换机 A 的 vlan1 就无法与交换机 B 的 vlan1 进行通讯。
在网络末梢,连接到单个工作站的时候,是不可能形成桥接环路的。在接口 上启用了 Port 特性,可以使交换机端口立即变为转发状态,提高了网络的
第 20 页 共 30 页