安徽绿海商务学院信息技术系毕业论文
响应速度及收敛时间。 基于 RSTP 的交换机高级特性 Plastilina 在网络中的应用。
考虑到有冗余上行连接的网络,使用冗余连接到上层交换机,通常情况下一 个上行连接处于转发状态,另一个处于阻塞状态,如果主上行连接断开,在使用冗余连接之前所经历的时间高达 50S。
在使用 Plastilina 之后,使的具有冗余上行连接的交换机具有根端口失效 时,另一个阻塞的上行连接能够立即使用,这个时间大大缩小到 1-5S 之间,在 校园网的特殊环境之下,能大大增强网络的稳定性,加快网络收敛 。
4.5 NAT 的描述及策略路由的实现
在组建网络时,为了节约地址,我们在内部使用保留的私有地址段中的地址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地址配置在和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址转换。
NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有地址和外部公网地址之间做转换。比如我们可以把网络内部使用的 IP 翻译成外部公网的 IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址,应用程序,协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策 略。
基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络地址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访问 列表时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来转发数据流。这样可以指定范围更广泛,更细致的条件,并根据这些条件来决定下 一跳路由器。
4.6 ACL (访问控制列表)
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列 表,我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些 端口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这
第 21 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
个包。我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策 略,防止网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到 ACL 分为两种类型,他们分别是标准访问列表(Standard access lists)和扩展访问列表(Extends access lists) 前者在过滤网络的时候只使用 IP 数据报的源地址,那么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖于源 IP 地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更细的决定,它可以具体到端口,从而精确到某一个服务,比如对 WEB,FTP 的访问等,给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。
4.7 链路聚合 EC(Ethernet Channel)
以太网信道链路聚合可以让交换机之间和交换机与服务器之间的链路带宽有非常好的伸缩性,比如可以把 2 个、3 个、4 个千兆的链路绑定在一起,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。在这些千兆以太网交换机中,最多可以支持 4 组链路聚合,每组中最大 4 个端口。链路聚合一般是不允许跨芯片设置的。生成树协议和链路聚合都可以保证一个网络的冗余性。在一个网络中设置冗余链路,并用生成树协议让备份链路阻塞,在逻辑上不形成环路。而一旦出现故障,启用备份链路。
第 22 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
4.8 VLAN (虚拟局域网)
VLAN 虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种 划分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或者 把物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和做一个 逻辑层次的划分。从技术上说 VLAN 可以分为静态 VLAN 和动态 VLAN,那么静 态的 VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端口, 则进入相应的 VLAN。动态 VLAN 则更灵活,它可以根据接入计算机的 IP 地址, MAC 地址,甚至是用户的登陆账号做出相应的处理,把计算机划分进相应的 VLAN
中,这样就为我们实际的网络管理带来了比较大的方便性和灵活性。那么 在我们的校园网方案中,我们希望通过使用VLAN 技术进行划分达到以下目的: 隔离、划分广播域,减小不必要的广播流量,从而提高整个网络的利用效率。
4.9 WLAN 无线局域网
无线局域网有 4 大特点: 移动性:不受时间限制,空间限制,用户可以在网络中漫游; 灵活性:不受线缆的限制,可以随意增加和配置工作站;低成本:无线网络不再需要大量的工程布线,同时节省了线路的维护费用;易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。
结合以上特点,无线网络非常适合图书馆的环境和要求,我们在图书管布置无线网络,并且采用 Infrastructural 这种典型的 WLAN 工作模式,无线客户端可以通过无线接入器 AP(Access Point)接入以太网共享网络资源,多个 AP 分布在相邻的区域可以实现无线客户端的移动漫游。
第 23 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
第5章 网络安全及管理机制
网络的安全性是评价校园网的重要指标之一,对于校园网这样的大型园区网,网络的安全问题就越发重要。网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网与外部网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
1. 硬件实现端口与 MAC 地址和用户IP 地址的绑定,严格限定端口上用户接入;
2. 通过VLAN的划分,利用中心交换机上高性能路由模块的管理和控制,可以控制内部各VLAN间的访问;
3.通过 Private VLAN 可以在交换机的同一 VLAN 中提供端口之间的通讯 或安全隔离,确保数据流进入有效端口,而不会被发送到其它端;
口,即解决了因传统 802.1QVLAN 造成全网 VID 资源不够的问题,同时又无需利用安全规则资源即能达到隔离不同用户以及不同;组用户之间通讯的功能,充分保护用户隐私;
4.可实现用户账号、MAC 地址、IP 地址、交换机 IP、 交换机端口等六 大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;
5.提供极为有效的Port Blocking 功能,避免端口受到其它端口发送的广播包、多播包等报文的干扰,有效减轻端口负载负担,提高端口带宽,保护用户 PC 更高效安全地运行;
6. 基于源 IP 地址控制的 Telnet 和 Web 设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备;提供加密传输Secure Shell(SSH),保证管理设备信息的安全性,防止黑客攻击和控制设备;
7. 计算机病毒是伴随着计算机而产生的,它同时随着计算机技术的发展而发展,在网络环境中,计算机病毒更易于传播,其对系统的危害也是明显的,在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。 校
第 24 页 共 30 页
安徽绿海商务学院信息技术系毕业论文
园网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证网络的稳定运行。
第 25 页 共 30 页