毕业设计（论文）-计算机网络基础应用的设计开发.doc

云南工商学院 计算机网络基础应用的设计开发计算机网络基础应用摘 要随着网络技术和应用的不断发展,人们对网络的依赖程度将越来越大,用户已不再满足于网络连通性的要求,他们希望以更快的速度、更高的质量、更好的安全性访问网络。但是,随着网络用户数量的不断壮大,为网络的日常管理与维护带来巨大的挑战而在“计算机网络基础”的教学中，网络协议让绝大部分学生感到抽象且难以理解，尤其是协议背后所隐藏的网络数据的变化，这直接影响到学生对网络应用软件的使用，使学生对网络的管理与维护产生了疑惑。因此，要使保证所有网络资源处于良好的运行状态，理解和掌握网络基础的应用是十分必要。通过设计和开发网络的实例软件，并将其应用到教学中，让学生对网络有更深切更真实的感受，极大地改善了学习效果。关键词: 局域网安全，VLAN，病毒防护，网络协议，网络拓扑ABSTRACTWith the development of networking technology and applications, people will become more and more dependent on network, users are no longer meets the requirements for network connectivity, they want at a faster speed, better quality, better security access to the network. But, as networkuser number of constantly grow, for network of daily management and maintenance brings huge of challenge and in computer network Foundation of teaching in the, network agreement let most students was abstract and difficult to understanding, especially agreement behind by hidden of network data of changes, this directly effect to students on network application software of using, makes students on network of management and maintenance produced has doubts. Therefore, in order to ensure that all network resources in a well run State, understand and master the application of network infrastructure is very necessary. Through the design and development network with an instance of the software, and applyit to teaching for students to network a better more realistic feel,greatly improving the learning outcomes.Keyword: local network security, VLAN, virus protection, network protocols, network topology目 录计算机网络基础应用1摘 要1第1章 绪论41.1 引言41.2 计算机网络的研究现状41.3 计算机网络的定义41.4计算机网络的发展41.5计算机网络体系结构与协议7第2章 VLAN与VPN102.1 VLAN技术及规划设计102.2 VPN技术112.2.1 VPN的介绍112.2.2 VPN功能112.2.3 VPN的性能112.2.4管理问题和解决方案11第3章 网络基础应用133.1 设备选型133.2 网络拓扑结构设计153.3网络的管理173.3.1传统的集中式网管系统173.3.2基于网管平台的集成网管系统173.3.3分布式的网管系统17第4章 网络安全设计184.1 局域网安全184.1.1 局域网安全现状184.1.2局域网安全威胁分析184.1.3 局域网安全解决办法184.2 安全网络设计原则194.3 网络应用中的安全措施20第5章 结论22参考文献23致 谢24第1章 绪论1.1 引言计算机网络对大部分大学文科生来说不是必修的课程，但随着21世纪网络时代的到来，随着以信息的获取、传输、分析、处理、发布和应用能力日益作为衡量现代人基本能力和文化水平的重要标志，并直接影响着学生在职场上的竞争力，因此，在“计算机文化”课程的基础上，很多院校针对高年级学生也逐步开设了“计算机网络应用”等相关课程，目的在于培养学生在计算机网络应用方面的兴趣和能力。 1.2 计算机网络的研究现状计算机网络是门综合性很强的课程，涉及到的计算机软硬件知识很多。对大部分文科学生来说，由于没有系统地学习有关先导课程，因此对一些计算机网络体系结构的概念很难想象和理解；加之其它因素的影响，比如，学生不可能花费大量的精力用于与自身专业没有太大直接关系的课程上，最终造成教学效果不是很理想，学生反映也很一般。其实对学生来说，对学习计算机网络还是比较期待，因此，教学的关键就在于如何激发学生的兴趣，引导他们去理解计算机网络的基本概念，而不仅仅满足于形式或者几个网络工具的使用。1.3 计算机网络的定义关于计算机网络的最简单定义是：一些相互连接的、以共享资源为目的的、自治的计算机的集合。 另外，从广义上看，计算机网络是以传输信息为基础目的，用通信线路将多个计算机连接起来的计算机系统的集合。 从用户角度看，计算机网络是这样定义的：存在着一个能为用户自动管理的网络操作系统。有它调用完成用户所调用的资源，而整个网络像一个大的计算机系统一样，对用户是透明的。 一个比较通用的定义是：利用通信线路将地理上分散的、具有独立功能的计算机系统和通信设备按不同的形式连接起来，以功能完善的网络软件及协议实现资源共享和信息传递的系统 从整体上来说计算机网络就是把分布在不同地理区域的计算机与专门的外部设备用通信线路互联成一个规模大、功能强的系统，从而使众多的计算机可以方便地互相传递信息，共享硬件、软件、数据信息等资源。简单来说，计算机网络就是由通信线路互相连接的许多自主工作的计算机构成的集合体。1.4计算机网络的发展网络发展的四个阶段第一阶段20世纪50年代第二阶段从20世纪60年代的美国的APPANET与分组交换技术开始 第三阶段大致从20世纪70年代中期开始第四阶段从20世纪90年代开始网络发展的三个时期面向终端的计算机网络，计算机-计算机网络，开放标准化网络资源共享观点的定义符合目前计算机网络的基本特征；其主要表现在以下几个方面计算机网络建立的目的是实现计算机资源的共享。互连得计算机是发布在不同地理位置的多台独立的“自治计算机”联网计算机必须遵循全网统一的网络协议计算机网络中的资源共享包括硬件资源共享，软件资源共享，和数据资源共享。按照网络的分布范围不同进行分类广域网，其分布范围可达数百至数千米，可覆盖一个国家或一个洲局域网，是将小区域内的各种通讯设备互连在一起的网络，其分布范围局限在一撞大楼或一个校园内，大约在几百米到几千米的范围，主要用于连接个人计算机，工作站和各种外围设备以实现资源共享和信息交换。其传输速率比较高，通常为10MB/S以上 城域网。其分布介于以上两者之间，目的是在较大的地理区域内提供数据，声音和图像的传输按照网络的交换方式不同进行分类电路交换，用户在开始通讯前必须建立一条从发送端到接受端的物理通道，而且在双方通讯期间始终占用改通道。因此，信道的利用率低，但实时性和保密性较好报文交换，其数据单元是要发送的一个完整报文，报文长度无限制。报文交换方式不需要建立专用信通，因此，信道利用率高，传输率也高，但实时性较差,分组交换，转发速率高。按计算机网络所采用的拓扑结构分为：星型网，总线型网，环型网，树形网，网型网按所采用的传输介质分为：双绞线网，同轴电缆网，光阡网，无线网未来计算机网络发展的趋势计算机技术将向超高速、超小型、平行处理、智能化的方向发展。尽管受到物理极限的约束，采用硅芯片的计算机的核心部件CPU的性能还会持续增长。作为Moore定律驱动下成功企业的典范Inter预计2001年推出1亿个晶体管的微处理器，并预计在2010年推出集成10亿个晶体管的微处理器，其性能为10万MIPS（1000亿条指令秒）。而每秒100万亿次的超级计算机将出现在本世纪初出现。超高速计算机将采用平行处理技术，使计算机系统同时执行多条指令或同时对多个数据进行处理，这是改进计算机结构、提高计算机运行速度的关键技术。同时计算机将具备更多的智能成分，它将具有多种感知能力、一定的思考与判断能力及一定的自然语言能力。除了提供自然的输入手段（如语音输入、手写输入）外，让人能产生身临其境感觉的各种交互设备已经出现，虚拟现实技术是这一领域发展的集中体现。传统的磁存储、光盘存储容量继续攀升，新的海量存储技术趋于成熟，新型的存储器每立方厘米存储容量可达10TB（以一本书30万字计，它可存储约1500万本书）。信息的永久存储也将成为现实，千年存储器正在研制中，这样的存储器可以抗干扰、抗高温、防震、防水、防腐蚀。如是，今日的大量文献可以原汁原味保存、并流芳百世。硅芯片技术的高速发展同时也意味着硅技术越来越近其物理极限，为此，世界各国的研究人员正在加紧研究开发新型计算机，计算机从体系结构的变革到器件与技术革命都要产生一次量的乃至质的飞跃。新型的量子计算机、光子计算机、生物计算机、纳米计算机等将会在21世纪走进我们的生活，遍布各个领域。量子计算机是基于量子效应基础上开发的，它利用一种链状分子聚合物的特性来表示开与关的状态，利用激光脉冲来改变分子的状态，使信息沿着聚合物移动，从而进行运算。量子计算机中数据用量子位存储。由于量子叠加效应，一个量子位可以是0或1，也可以既存储0又存储1。因此一个量子位可以存储2个数据，同样数量的存储位，量子计算机的存储量比通常计算机大许多。同时量子计算机能够实行量子并行计算，其运算速度可能比目前个人计算机的Pentium晶片快10亿倍。目前正在开发中的量子计算机有3种类型：核磁共振(NMR)量子计算机、硅基半导体量子计算机、离子阱量子计算机。预计2030年将普及量子计算机。光子计算机即全光数字计算机，以光子代替电子，光互连代替导线互连，光硬件代替计算机中的电子硬件，光运算代替电运算。与电子计算机相比，光计算机的“无导线计算机”信息传递平行通道密度极大。一枚直径5分硬币大小的棱镜，它的通过能力超过全世界现有电话电缆的许多倍。光的并行、高速，天然地决定了光计算机的并行处理能力很强，具有超高速运算速度。超高速电子计算机只能在低温下工作，而光计算机在室温下即可开展工作。光计算机还具有与人脑相似的容错性。系统中某一元件损坏或出错时，并不影响最终的计算结果。目前，世界上第一台光计算机已由欧共体的英国、法国、比利时、德国、意大利的70多名科学家研制成功，其运算速度比电子计算机快1000倍。科学家们预计，光计算机的进一步研制将成为21世纪高科技课题之一。生物计算机的运算过程就是蛋白质分子与周围物理化学介质的相互作用过程。计算机的转换开关由酶来充当，而程序则在酶合成系统本身和蛋白质的结构中极其明显地表示出来。20世纪70年代，人们发现脱氧核糖核酸(DNA)处于不同状态时可以代表信息的有或无。DNA分子中的遗传密码相当于存储的数据，DNA分子间通过生化反应，从一种基因代玛转变为另一种基因代码。反应前的基因代码相当于输入数据，反应后的基因代码相当于输出数据。如果能控制这一反应过程，那么就可以制作成功DNA计算机。蛋白质分子比硅晶片上电子元件要小得多，彼此相距甚近，生物计算机完成一项运算，所需的时间仅为10微微秒，比人的思维速度快100万倍。DNA分子计算机具有惊人的存贮容量，1立方米的DNA溶液，可存储1万亿亿的二进制数据。DNA计算机消耗的能量非常小，只有电子计算机的十亿分之一。由于生物芯片的原材料是蛋白质分子，所以生物计算机既有自我修复的功能，又可直接与生物活体相联。预计1020年后，DNA计算机将进入实用阶段。“纳米”是一个计量单位，一个纳米等于10-9米，大约是氢原子直径的10倍。纳米技术是从80年代初迅速发展起来的新的前沿科研领域，最终目标是人类按照自己的意志直接操纵单个原子，制造出具有特定功能的产品。现在纳米技术正从MEMS（微电子机械系统）起步，把传感器、电动机和各种处理器都放在一个硅芯片上而构成一个系统。应用纳米技术研制的计算机内存芯片，其体积不过数百个原子大小，相当于人的头发丝直径的千分之一。纳米计算机不仅几乎不需要耗费任何能源，而且其性能要比今天的计算机强大许多倍。目前，纳米计算机的成功研制已有一些鼓舞人心的消息，惠普实验室的科研人员已开始应用纳米技术研制芯片，一旦他们的研究获得成功，将为其他缩微计算机元件的研制和生产铺平道路。今天人们谈到计算机必然地和网络联系起来，一方面孤立的未加入网络的计算机越来越难以见到，另一方面计算机的概念也被网络所扩展。二十世纪九十年代兴起的Internet在过去如火如荼地发展，其影响之广、普及之快是前所未有的。从没有一种技术能像Internet一样，剧烈地改变着我们的学习、生活和习惯方式。全世界几乎所有国家都有计算机网络直接或间接地与Internet相连，使之成为一个全球范围的计算机互联网络。人们可以通过Internet与世界各地的其它用户自由地进行通信，可从Internet中获得各种信息。 回顾一下我国互联网络的发展，就可以感受到互联网普及之快。近三年中国互联网络信息中心(CNNIC)对我国互联网络状况的调查表明我国的Internet发展呈现爆炸式增长，2000年1月我国上网计算机数为350万台，2001年的统计数为892万台，翻一番多；2000年1月我国上网用户人数890万；2001年1月的统计数为2250万人，接近于3倍；2000年1月CN下注册的域名数为48575，2001年1月的统计数为122099个，接近于3倍；国际线路的总容量目前达2799M，8倍于2000年1月的351M。人们已充分领略到网络的魅力，Internet大大缩小了时空界限，通过网络人们可以共享计算机硬件资源、软件资源和信息资源。“网络就是计算机”的概念被事实一再证明，被世人逐步接受。在未来10年内，建立透明的全光网络势在必行，互联网的传输速率将提高100倍。在Internet上进行医疗诊断、远程教学、电子商务、视频会议、视频图书馆等将得以普及。同时，无线网络的构建将成为众多公司竞争的主战场，未来我们可以通过无线接入随时随地连接到Internet上，进行交流、获取信息、观看电视节目。随着因特网的迅猛发展和广泛应用、无线移动通信技术的成熟以及计算机处理能力的不断提高，新的业务和应用不断涌现。移动计算正是为提高工作效率和随时能够交换和处理信息所提出，业已成为产业发展的重要方向。移动计算包括三个要素：通信、计算和移动。这三个方面既相互独立又相互联系。移动计算概念提出之前，人们对它们的研究已经很长时间了，移动计算是第一次把它们结合起来进行研究。它们可以相互转化，例如，通信系统的容量可以通过计算处理（信源压缩，信道编码，缓存，预取）得到提高。移动性可以给计算和通信带来新的应用，但同时也带来了许多问题。最大的问题就是如何面对无线移动环境带来的挑战。在无线移动环境中，信号要受到各种各样的干扰和衰落的影响，会有多径和移动，给信号带来时域和频域弥散、频带资源受限、较大的传输时延等等问题。这样一个环境下，引出了很多在移动通信网络和计算机网络中未遇到的问题。第一，信道可靠性问题和系统配置问题。有限的无线带宽、恶劣的通信环境使各种应用必须建立在一个不可靠的、可能断开的物理连接上。在移动计算网络环境下，移动终端位置的移动要求系统能够实时进行配置和更新。第二，为了真正实现在移动中进行各种计算，必须要对宽带数据业务进行支持。第三，如何将现有的主要针对话音业务的移动管理技术拓展到宽带数据业务。第四，如何把一些在固定计算网络中的成熟技术移植到移动计算网络中。面向全球网络化应用的各类新型微机和信息终端产品将成为主要产品。便携计算机、数字基因计算机、移动手机和终端产品，以及各种手持式个人信息终端产品，将把移动计算与数字通信融合为一体，手机将被嵌入高性能芯片和软件，依据标准的无限通信协议（如蓝牙）上网，观看电视、收听广播。在Internet上成长起来的新一代自然不会把汽车仅作为代步工具，汽车将向用户提供上网、办公、家庭娱乐等功能，成为车轮上的信息平台。1.5计算机网络体系结构与协议计算机网络体系结构的相关概念协议：协议是一种通信约定。协议的三要素：语法 语义 时序OSI参考模型：OSI参考模型各层的功能： （1） 物理层：主要是利用物理传输介质为数据链路层提供物理连接，以便透明的传递比特流。 （2） 数据链路层。在通信实体之间建立数据链路连接，传送以帧为单位的数据，采用差错控制，流量控制方法。（3） 网络层：通过路由算法，为分组通过通信子网选择最适当的路径。 （4） 传输层：是向用户提供可靠的端到端服务，透明的传送报文。 （5）会话层：组织两个会话进程之间的通信，并管理数据的交换。 （6） 表示层：处理在两个通信系统中交换信息的表示方式。 （7） 应用层：应用层是OSI参考模型中的最高层。确定进程之间通信的性质，以满足用户的需要。TCP/IP参考模型：TCP/IP的层次结构：应用层：提供网络服务传输层：负责主机与主机之间的端对端通信。网际层：实现两台不同地址计算机的通信。网络接口层：提供与多种网络的接口，并负责接收数据报，以及把这些数据报发送到指定网络。TCP/IP协议集：应用层协议：远程终端协议（TELNET），文件传输协议（FTP），简单邮件传输协议（SMTP），域名服务（DNS），动态主机配置协议（DHCP），路由信息协议（RIP），超文本传输协议（HTTP），网络文件系统（NFS），引导协议（BOOTP），简单网络管理协议（SNMP），传输层协议： 传输控制协议（TCP），用户数据报协议（UDP），网际层协议：网际协议IP，网际控制报文协议ICMP，TCP/IP的安装与设置：IP地址共占用个二进制位，分为段，每节个字节。五类IP地址：A类IP地址 地址范围-54，A类IP地址的子网掩码为，每个网络支持的最大主机数为256的3次方-2=16777214台。B类IP地址地址范围-54， B类IP地址的子网掩码为，每个网络支持的最大主机数为256的2次方-2=65534台C类IP地址范围-54，C类IP地址的子网掩码为，每个网络支持的最大主机数为256-2=254台。D类用于多点播放，范围为。E类用于将来扩展用的Network，范围为。Network ID不可以为,是用来循环测试的，可以用Ping.命令测试，检查网卡和驱动程序是否正常运行。1.5.5常用网络命令的使用：Ping命令测试网络的连通性和可达性的方法。Ipconfig命令显示本地计算机IP地址和网卡MAC地址，Netstat命令显示网络连接信息的命令使用。路由跟踪命令trcert。第2章 VLAN与VPN2.1 VLAN技术及规划设计VLAN（虚拟局域网）是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。虽然VLAN所连接的设备来自不同的网段，但是相互之间可以进行直接通信，好像处于同一网段中一样，由此得名虚拟局域网。相比较传统的局域网布局，VLAN技术更加灵.活。一个VLAN可以在一个交换机或者跨交换机实现。域网vlan主要特点：便于管理，便于错误排除，便于流量控制VLAN可以根据网络用户的位置、作用、部门或者根据网络用户所使用的应用程序和协议来进行分组。基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现，VLAN能够将广播风暴控制在一个VLAN内部，划分VLAN后，由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLAN之间的数据传输是通过第三层（网络层）的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLAN和第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。对于不同的应用子网，我们在交换机上通常会划到不同的中进行隔离。那么采用VLAN技术究竟有什么样的优点呢？控制网络上的广播风暴，某些应用程序在发起连接的时候会采用广播的方式。客户端较少（几台到10几台设备）时可以忽略这个问题。但是当客户端较多（有上百台设备）时，这种广播流量对网络带宽的影响就不可以忽略不计。假设所有设备都在一个vlan中。那么当某台设备发出一个广播报文，当这个报文到达交换机以后会被交换机复制到除接收该报文的接口外的其余所有接口。如果本来就只应该有一台设备对该广播报文进行处理和回复，那么其余设备接收到该广播报文就是多余的，换句话说就是浪费了其余设备带宽。为了控制网络中由于应用程序本身或者其余某些不可控因素产生的大量广播报文，我们应该将不同的子系统划分到不同的vlan中。在划分vlan之后，我们就能够很好的保证一个vlan中的广播不会送到该vlan外，这样就减少广播流量，释放更多的带宽给用户应用。但是划分的时候有一点我们需要特别注意：由于划分vlan之后，不同vlan中的设备在2层是没有办法直接通信的。需要通过3层路由的方式才能实现彼此的互通。而路由接口是绝对不会转发广播报文的。因此对于那些彼此之间必须通过广播方式建立连接进而实现通信的应用程序，那么他们各自所属的设备应该是划在一个vlan当中。降低环路造成的危害。我们知道交换机在进行2层转发的时候是通过查找MAC地址表来实现的。因此MAC表的正确与否直接关系到数据能否正确的转发到目的地。而环路会造成交换机MAC地址表学习错误。这样直接造成的后果就是交换机上整个数据转发出现问题，与交换机直连的所有设备之间的通信都会中断。后果极其严重。划分vlan之后，环路造成影响的范围会缩小到vlan之内。某一vlan内部形成环路只会造成该vlan内部设备间的通信出现问题而不会影响到其余vlan。因而我们建议将各个子系统划分到不同的vlan之中并且再在各个vlan内部的端口上启用环路检测功能（或生成树协议），这样就在最大限度上缩小了环路造成的危害。增加网络的安全性。因为一个VLAN就是一个单独的广播域，VLAN之间相互隔离，这大大提高了网络的利用率，确保了网络的安全保密性。人们在LAN上经常传送一些保密的、关键性的数据。保密的数据应提供访问控制等安全手段。一个有效和容易实现的方法是将网络分段成几个不同的广播组，网络管理员限VLAN中用户的数量，禁止未经允许的用户访问VLAN中的应用。交换机上的端口可以基于应用类型和访问特权来进行分组，被限制的应用程序和资源一般置于安全性较高的VLAN中。2.2 VPN技术2.2.1 VPN的介绍 VPN 即虚拟专用网，是通过一个公用网络（通常是因特网）建立一个临时的安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常，VPN 是对企业内部网的扩展，通过它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN 可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN 架构中采用了多种安全机制，如隧道技术（ Tunneling ）、加解密技术（ Encryption ）、密钥管理技术、身份认证技术（ Authentication ）等，通过上述的各项网络安全技术，确保资料在公众网络中不被窃取，或是即使被窃取了，对方亦无法读取数据包内所传送的资料。是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可行性。VPN可分为三大类：（1）企业各部门与远程分支之间的Intranet VPN；（2）企业网与远程（移动）雇员之间的远程访问（Remote Access）VPN；（3）企业与合作伙伴、客户、供应商之间的Extranet 2.2.2 VPN功能由于采用了“虚拟专用网”技术，即用户实际上并不存在一个独立专用的网络，用户既不需要建设或租用专线，也不需要装备专用的设备，就能组成一个属于用户自己专用的电信网络。 虚拟专用网是利用公用电信网组建起来的功能性网络。不同类型的公用网络，通过网络内部的软件控制就可以组建不同种类的虚拟专用网。VPN的要求VPN提供用户一种私人专用（Private）的感觉，因此建立在不安全、不可信任的公共数据网的首要任务是解决安全性问题。VPN的安全性可通过隧道技术、加密和认证技术得到解决。在Intranet VPN中，要有高强度的加密技术来保护敏感信息；在远程访问VPN中要有对远程用户可*的认证机制。2.2.3 VPN的性能VPN要发展其性能至少不应该低于传统方法。尽管网络速度不断提高，但在Internet时代，随着电子商务活动的激增，网络拥塞经常发生，这给VPN性能的稳定带来极大的影响。因此VPN解决方案应能够让管理员进行通信控制来确保其性能。通过VPN平台，管理员定义管理政策来激活基于重要性的出入口带宽分配。这样既能确保对数据丢失有严格要求和高优先级应用的性能，又不会“饿死”，低优先级的应用。2.2.4管理问题和解决方案由于网络设施、应用不断增加，网络用户所需的IP地址数量持续增长，对越来越复杂的网络管理，网络安全处理能力的大小是VPN解决方案好坏的至关紧要的区分。VPN是公司对外的延伸，因此VPN要有一个固定管理方案以减轻管理、报告等方面负担。管理平台要有一个定义安全政策的简单方法，将安全政策进行分布，并管理大量设备间。针对不同的用户要求，VPN有三种解决方案：远程访问虚拟网（Access VPN）、企业内部虚拟网（Intranet VPN）和企业扩展虚拟网（Extranet VPN），这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet（外部扩展）相对应。 对于很多IPSec VPN用户来说，IPSec VPN的解决方案的高成本和复杂的结构是很头疼的。存在如下事实：在部署和使用软硬件客户端的时候，需要大量的评价、部署、培训、升级和支持，对于用户来说，这些无论是在经济上和技术上都是个很大的负担，将远程解决方案和昂贵的内部应用相集成，对任何IT专业人员来说都是严峻的挑战。由于受到以上IPSec VPN的限制，大量的企业都认为IPSec VPN是一个成本高、复杂程度高，甚至是一个无法实施的方案。为了保持竞争力，消除企业内部信息孤岛，很多公司需要在与企业相关的不同的组织和个人之间传递信息，所以很多公司需要找一种实施简便，不需改变现有网络结构，运营成本低的解决方案。第3章 网络基础应用3.1 设备选型实验网络在初期建设阶段，方要设备有： DELL PowerEageS600服务器 表1-1 DELL PowerEageS600主要指标部件名称型号PC DELL PowerEageS600 CPU Intel P4 2.86GHZ 内存1G 硬盘32GSCSI 操作系统简体中文版Microsoft Windows 2000 Server+SP4 Catalyst 2948G-L3 中心交换机Catalyst 2948G-L3交换机是为IP协议、互联网包交换协议IPX和IP组播提供线速交换的固定配置第三层L3以太网交换机交换机。这种新的Catalyst 交换机为拥有适当端口密度的中型园区主干网提供所需的高度性能。它非常适合集合多个配线间或工作组交换机（例如Catalyst 2900 、Catalyst 1900 、Catalyst 3500、Catalyst4000或Catalyst 5000交换机）的多协议流量）。Catalyst 2948G-L3交换机不仅为IP、IPX及IP组播提供无阻塞路由和交换，同时也为不可路由的协议提供线速第二层交换，例如NetBIOS和DECnet 局域传输（LAT）。这种功能允许网络管理员通过Catalyst 2948G-L3，扩展它们的多协议主干网，而无须像仅采用IP交换机那样，通常需要建立并行网络。其特性有； 48个专用10/100Mb/s以太网端口，以及两个支持千兆位接口转换器（CBIC）的1000Base-X千兆位以太网端口，所有端口都拥有第三层交换功能。 高性能：超过IP、IPX交换机及IP组播的10Mb/s第三层交换和路由。 24Gb/s无阻塞交换矩阵。 带有CISCO IOS 系统软件的高性能CPU。 服务质量（QoS）：带有加权轮询（WRR）调度的多个阵列。 基于标准CISCO WORKS2000 应用程序的全面管理工具。 可选的冗余外部电源。 线速第三层交换机。CISCO Catalyst 2950 系列工作组交换机Catalyst 2950系列交换机属于快速以太网桌面交换机CISCO Catalyst 2900系列，可以为局域网（LAN）提供极佳的性能和功能。 些独立的、10/100Mb/s自适应交换机能够提供增强的服务质量（QoS）和组播管理特性，所有的这些都由易用、基于Web的CISCO集群管理套件（CMS）和集成CISCO IOS软件来进行管理。带有10/100/1000Mbase-T 上行链路的CISCO Catalyst 2950千兆位铜线，可为中等规模的公司和企业分支机构办公室提供理想的解决方案，以使他们能够利用现有的5类铜线从快速以太网升级到更高性能的千兆位以太网主干。Catalyst 2900系列常见的产品包括：12个10/100M端口独立式，24个10/100端口独立式，24个10/100M端口加2个100Base-FX端口，12个端口加2个GBIC端口，24个10/100端口加2个10/100/1000Base-T端口。主要特性包括：线速第二层交换功能。带GBIC口的2950系列可以通过在GBIC GigaStack模块堆叠，每交换机组最多可堆叠16台。支持802.1p。支持802.1Q VLAN、ISL VLAN。支持EtherChannel（链路会聚）.支持802.1P STP协议。支持SNMP、Telnet、RMON、Web等方式进行网管。1.2 Mb/s转换器SMART BX06 E1转V.35接口SMART BX06是一种高性能、低价位2Mb/s转换器，通过G.730 2Mb/s网或DD专用网实现两个以太网的连接。主要技术指标如下：E1接口，符合ITU-T G.730相关建议。接口速率：2048Kb/s+/-50ppm。传输码型：HDB3。线路时钟：内时钟/恢复时钟可选。V.35同步数据接口。符合ITU-T V.35的相关建议以太网接口具有以下特性：符合IEEE802.3/10Base-T标准。网口类型：10Base-T（UTP）。最大过滤及转发速率；15000pps。帧缓冲器：256帧。吞吐时延：1帧。CISCO 2500系列路由器Cisco 2500系列路由器是固定接口的多协议路由器，它采用了可重写Flash Memory技术来简化软件维护，支持Cisco IOS的全部功能组，根据特定的协议环境可从几个不同的功能组中选择其一，规格如下：Single LAN RoutersModel 2501-1 Ethernet，2 Serial， 1 Console，1 Anxilary*Router/HUB CombinationsModel 2505-1Ethernet,2 Serial, 8 hub PortsModel 2507-1 Ethernet, 2 Serial,16 hub Ports* Access ServersModel 2509-1 Ethernet,2 Serial 16Async PortsModel2511 -Ethernet, 2 Serial 16 Async Ports * Dual LAN RoutersModel25031Ethernet, 2 serial,1 ISDN BRIModel25l3-1Ethernet, l Token Ring, 2 SerialModel2514-Ethernet,2 Serial * SyflcAsync ROuterModel2520-lEthernet,2 Serial,2 A/S Serial,1 ISDN BRIModel2522-1 Ethernet, 2 Serial,8A/SSerial1ISDN BRI特点是：（1）固定配置，种类齐全，支持各种类型接口的组合（2）采用Flash Memory技术（3）20 Mhz 68030 Procelssor（4）DRAM配置与IOS功能组有关，可扩展的18MB（5）4或8MB FIash Memory，与IOS功能组有关，可升级到8或16MB（5）支持所有Cisco IOS功能Cisco PIX防火墙Cisco公司的PIX防火墙对外部网络来说它完全隐蔽了其内部的网络机构。并且它运行安全的实时内核，而不是Unix。Cisco公司的PIX防火墙允许已经存在的私人或企业网络安全的访问Internet，因为它采用了一种称为NAT（ Network Address Translation，网络地址转换）的技术，方便大型的企业网络接入Internet，并且可于五分钟内完成配置。透明的支持通用的TCPIP Internet服务，如： World Wide Web， FTP， Telnet， Archie， Gopher和Rlogin等等。3.2 网络拓扑结构设计计算机网络的拓扑结构是指网络中各个站点相互连接的形式,在局域网中明确一点讲就是文件服务器、工作站和电缆等的连接形式，把网络中的计算机和通信设备抽象为一个点，把传输介质抽象为一条线。网络的拓扑结构反映出网中个实体的结构关系，是建设计算机网络的第一步，是实现各种网络协议的基础，它对网络的性能，系统的可靠性与通信费用都有重大影响。大型网络的设计是把整个计算机网络划分为核心层、汇聚层、接入层。网络的层次化设计具有以下优点。(1) 结构简单：通过网络分成许多小单元，降低了网络的整体复杂性，使故障排除或扩展更容易，能隔离广播风暴的传播、防止路由循环等潜在问题。(2) 升级灵活：网络容易升级到最新的技术，升级任意层的网络不会对其他层造成影响，无需改变整个网络环境。（3) 易于管理：层次结构降低了设备配置的复杂性，使网络更容易管理。通常将网络中直接面向用户连接或访问网络的部分称为接入层。接入层目的是允许终端 用户连接到网络，提供了带宽共享、交换带宽、MAC层过滤和网段划分等功能。接入层交换机具有低成本和高端口密度特点，考虑采用可网管、可堆叠的接入级交换机。交换机的高速端口用于上连高速率的汇聚层交换机，普通端口直接与用户计算机相连，以有效地缓解网络骨干的瓶颈。位于接入层和核心层之间的部分称为分布层或汇聚层。汇聚层交换层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能、更少的接口和更高的交换速率。汇聚层的设计要满足核心层、汇聚层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求，支持大用户量、多媒体信息传输等应用。网络主干部分称为核心层。核心层的主要目的在于通过高速转发通信，提供可靠的骨干传输结构，因此核心层交换机应拥有更高的可靠性，更快速率的链路连接技术，并且能快速适应网络的变化。性能和吞吐量应根据不同层次用不同的要求设计网络，并且使用冗余组件来设计，在与汇聚层交换机相连时要考虑采用建立在生成树基础上的多链路冗余连接，以保证与核心层交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能电信提供商实训楼 分校区转换器E1转换器 VLAN1管理计算机服务器服务器防火墙壁Vlan9图书馆 VLAN图书馆交换机PCPC 中心交换机CISCO2948G-L3Vlan7教学楼（26个信息点）实验楼Vlan8实 验楼交换机交换机PCPC宿舍楼群 Vlan 10Vlan19宿舍主交换机宿舍交换机宿舍交换机教学楼交换机PCPC综合楼Vlan2Vlan5四个电脑室交换机AD学生机房交换机交换机D交换机A办公室交换机PCPC办公室Vlan6 学生机房交换机 校园网工程拓扑图 100Mb/s双绞线 SDH 2Mb/s 1000Mb/s千兆光纤3.3网络的管理3.3.1传统的集中式网管系统最初的网管维护活动通过命令行实现，阿络管理人员利用shell命令书写管理应用程序的情况很常见。之后，随着网管标准出台；基于网管标准的通用网管系统受到普遍欢迎；早期的网管系统是集中式的系统。所谓集中式的网管系统指的是绝大多数的管理任务处理都由一台核心网管服务器来执行；而被管理的设备只是负责机械地收集数据并按管理服务器的要求提供数据，几乎没有管理功能。由于早期的网络规模一般较小，通常一台NMS就可以胜任网络管理工作，因此，网管系统采取集中式的结构。比如，按照Internet网管标准SNMPvl的设计，管理者位于一台NMS中，通过多个位于被管理设备中的代理机械地收集信息，获取、设置或修改有关的管理参数，从而达到了解并控制被管理网络的状态的目标。 3.3.2基于网管平台的集成网管系统基于网管平台的网管系统采取了类似ISO系统管理相似的功能层次结构，将传统的网管功能进一步划分为两类，即平台功能和网管应用功能。其中，类似于ISO系统管理框架中的系统管理功能层，网管平台负责收集信息并作简单处理，提供各种网管应用所需的一些基础服务，为上层应用屏蔽底层协议的复杂性等。网管平台的集成目标主要体现在3个方面。协议、功能和用户界面。在协议方面，主要的方法是通过为各类协议构建专门的协议网管模块，以便使各类协议为应用层提供相同的应用程序接口APII在功能方面，主要尝试提供一些通用的服务，提高应用的利用率；在用户界面方面，则尝试为各种网管系统提供统一的界面。 3.3.3分布式的网管系统根据网管工作站之间的相互关系不同，又可以进一步分为层次式、对等体式和网络式网臂系统。层次式的网管系统增加了一个新的概念“管理者的管理者”，这个高层的管理者负责从其下层的网管服务器获取信息并管理一个尺度较大的网络系统。对等体式的网管系统没有明确的层次划分，各个网管服务器之间可以根