《高速局域网的设计与安装》毕业论文设计

名闯府夕在求学茂毕业设计学生姓名 王愿超 学号200902081235 专 业 计算机网络技术 班 级 网络200902班 指导教师刘烽 开题时间2011年5月30日电子信息学院高速局域网的设计与安装[概述]：随着个人计算机处理能力的增强，计算机网络应用的普及，用户对计算机网络的需求日益增加，现在常规局域网已经远远不能满足要求，于是高速局域网(HighSpeedLocalNetwork)便应运而生。高速局域网的传输速率大于等于100Mbit/s，常见的高速局域网有FDDI光纤环网、100BASE-T高速以太网、千兆位以太网、10Gbit/s以太网等。目前，在建设企业局域网时都会把高速局域网技术作为首选的网络技术，随着中国加入 WTO，Internet的推广，集散控制系统DCS在生产中的广泛应用，信息技术给现代社会带来了根本性变革，信息已成为当今世界经济的战略资源和独特的生产要素。分析比较现有组网技术，确定适合企业信息建设发展需要的组网规划，采用100Mbit/s快速以太网构建集价格、性能优异、配置灵活于一体的局域网，使企业能充分应用信息技术，运用当代先进的管理理论、管理技术、管理手段，提高企业的综合素质和竞争能力，使企业的发展不断迈上新的台阶。关键词】：局域网规划设计TOC\o"1-5"\h\z引言 1需求分析 1企业在信息建设方面应用的现状 1设计原则 2网络规划 2网络结构技术分析 2交换以太网技术 2快速以太网技术 3千兆以太网技术 3综合布线 3布线系统标准的比较 3综合布线系统的优点 3网络可靠性安全性设计和容错 41网络安全和防火墙 4网络容错 4安全备份及灾难恢复 4安全管理的两个方面 4企业局域网具体设计实施方案 5技术规划 5网络层次划分 5网络IP子网划分 5网络流量规划 6以太网交换技术 8虚拟交换技术 11硬件系统结构硬件选择 12软件系统结构 15安全策略 16病毒防治 16建立防火墙 17网络的保密措施 17数据安全性和完整性措施 18此方案的系统特点 20合理的系统结构 20可靠的安全防护 20充分的扩充余地 20稳定的系统性能 20\o"CurrentDocument"结束语 21\o"CurrentDocument"参考资料 22精品文档精品文档欢迎下载。动态交换同时检查所有数据包，同时开辟许多的10Mbps专用链路以完成并行的数据通信。这样在任何时间内可以存在许多专用的源-目的以太网。动态交换以太网的这种并行的,点对点特性与电话网相似，同时也与FTMffi近。一旦一个独立的端口通信完成，动态交换释放此链路。因此,动态交换的带宽流量是按需的,这种按需带宽特性是ATM网的另一特性 .但因动态以太网交换是建立在标准以太网基础上（标准接口卡 ,驱动,电缆和应用）,用户可以保留其在原有以太网上的投资和基础上，获得像ATM一样的专用带宽及安全保密性。三、以太网交换技术分类上面已讨论了动态交换和静态交换在功能和应用上的基本差异 ,下面将着重讨论每种交换技术的两种实现方式 :动态端口交换动态段交换静态端口交换静态模块交换对静态交换而言 ,模块交换和端口交换差别很小,它们可应用于相同的场合 ,而对动态交换 ,段交换与端口交换的应用明显不同.动态端口交换动态端口交换的功能已在前面讲述过 ,每一端口联接到单一的工作站或服务器 .因为每一端口可被按需赋予一个独立的10Mbps专用以太网链路 ,这样可以赋予每一工作站或服务器更高的网络带宽。动态段交换动态段交换与动态端口交换的功能相似 ,通过交换结构,按需提供专用的端口间10Mbps专用链路.每一动态段交换端口可以连接一个网段（即传统的共享以太网）,而不只是一个工作站或服务。动态段交换通过对大量MACfe址的识别来完成此功能。用端口连结整个网段可以使动态段交换取代现今分段网络中的路由器及网桥。如果网段A的用户在网段内发送数据包 ,交换识别数据为本网段数据包而不允许这些数据包进入其它网段 .但是如果网络段 A的用户发送数据包到网络段 B,则交换机识别那些传送至网段 B的数据包,分配一专用的10Mbps链路，发送数据包到网段B的目的用户.网络分段，即将一个大的拥挤的网络分成一系列的小型网络 ,每一网络具有小的用户和小的流量。以前网络分段一般是通过网桥和路由器来实现的,而采用动态段交换对网络分段比用网桥和路由器更优越 ,理由如下:(1)价低.(2)易管理，而路由器需要OSI协议中网络层的复杂网络管理.(3)更快速,因为交换只检测其数据包头中的源及目的地址 ,而网桥及路由器则需检测整个包 ,这样交换所产生的时延比网桥及路由器小得多.3.静态端口交换静态端口交换允许网络管理员通过软件将用户工作站从一条共享以太网总线移到另一条，灵活地对网络进行增加,减少所需的交换模块订货量 .例如,在网络上增加8个用户,他们工作于 4个不同的部门,在4条不同的以太网总线上。所有这些用户可以采用一块单一的端口交换模块来实现 .与此相比,以前则需购4块新的模块并连到不同的总线,但每个新的模块的大部分端口是未用的,造成低效及浪费.4.静态模块交换静态模块交换也是由软件来实现网络的增加,移动和改变 .与静态端口交换不同的是 ,静态模块交换是将整个模块 (包括模块上的所有端口)从一条共享总线移至另一条共享总线 .6.1.5虚拟交换技术一、VLANK术的概述及其优点VLAN(虚拟局域网)是对连接到的第二层交换机端口的网络用户的逻辑分段，不受网络用户的物理位置限制而根据用户需求进行网络分段。一个VLANK以在一个交换机或者跨交换机实现。 VLANK以根据网络用户的位置、 作用、 部门或者根据网络用户所使用的应用程序和协议来进行分组。 基于交换机的虚拟局域网能够为局域网解决冲突域、广播域、带宽问题。传统的共享介质的以太网和交换式的以太网中，所有的用户在同一个广播域中，会引起网络性能的下降，浪费可贵的带宽；而且对广播风暴的控制和网络安全只能在第三层的路由器上实现。VLAN相当于OSI参考模型的第二层的广播域，能够将广播风暴控制在一个VLAN内部，划分VLANW,由于广播域的缩小，网络中广播包消耗带宽所占的比例大大降低，网络的性能得到显著的提高。不同的VLANfc间的数据传输是通过第三层(网络层)的路由来实现的，因此使用VLAN技术，结合数据链路层和网络层的交换设备可搭建安全可靠的网络。网络管理员通过控制交换机的每一个端口来控制网络用户对网络资源的访问，同时VLANff口第三层第四层的交换结合使用能够为网络提供较好的安全措施。另外，VLAN具有灵活性和可扩张性等特点，方便于网络维护和管理，这两个特点正是现代局域网设计必须实现的两个基本目标，在局域网中有效利用虚拟局域网技术能够提高网络运行效率。二、VLAN的实现VLAN的实现方式有两种：静态和动态。静态实现是网络管理员将交换机端口分配给某一个 VLAN这是一种最经常使用的配置方式，容易实现和监视，而且比较安全。动态实现方式中，管理员必须先建立一个较复杂的数据库，例如输入要连接的网络设备的MACfe址及相应的VLANt,这样当网络设备接到交换机端口时交换机自动把这个网络设备所连接的端口分配给相应的VLAN动态VLAN&勺配置可以基于网络设备的MACfe址、IP地址、应用或者所使用的协议。实现动态VLAN时候一般情况下使用管理软件来进行管理。在CISC或换机上可以使用VLANf理策略服务器（VMPS实现基于MACfe址的动态VLAN!已置。VMP系MACfc址与VLAN的映射表。这种配置的优点是网络管理员维护管理相应的数据库，而不用关心用户使用哪一个端口，但是每次新用户加入时需要做较复杂的手工配置。基于IP地址的动态配置中，交换机通过查阅网络层的地址自动将用户分配到不同的虚拟局域网。硬件系统结构硬件选择网络接入层STAR-S2100系列交换机具有高安全特性，有效防御病毒和网络攻击，控制用户非法接入；STAR-S2100系列交换机可提供多种安全机制，如专家级ACL功能（可以对MACfe址+IP地址+VLANK+传输端口号＋协议类型＋时间ACL的任意组合）可以防止红色代码病毒、冲击波病毒；端口和 MAC、IP绑定可以控制Synflood攻击；支持IGMP源端口检查，有效控制非法组播源，提高多媒体组播业务的正常运行证。种种安全策略的实施保证了数字图书馆全网的稳定、安全运行。基于流的带宽限制保证网络发挥的最大效能STAR-S210«以基于VLANID用户ID、IP地址等多种分类方式为不同应用提供不同的接入服务策略。STAR-S2100的用户带宽控制技术采用了类似ATM勺CB昉式，利用大容量的缓存为突发数据流整形，不但可以将带宽控制精确到 Kbps级别，而且有效防止了突发数据包的丢失。STAR-S210(^列交换机均支持基于流的QoS策略，具备MACE、IP流、应用流等多层流分类和流控制能力，实现带宽控制、转发优先级等多种流策略，支持网络根据不同的应用以及不同应用所需要的服务质量特性提供服务，有效地保障了用户关键业务的高速运行。接入层采用先进的堆叠技术，弹性扩展网络 cisco的29系列可以堆叠在一起来使用。堆叠是通过集线器的背板连接起来的，它是一种建立在芯片级上的连接，如2个24口交换机堆叠起来的效果就像是一个48口的交换机，优点是不会产生瓶颈的问题。堆叠(Stack)和级联(Uplink)是多台交换机或集线器连接在一起的两种方式。它们的主要目的是增加端口密度。但它们的实现方法是不同的。简单地说，级联可通过一根双绞线在任何网络设备厂家的交换机之间，集线器之间，或交换机与集线器之间完成。而堆叠只有在自己厂家的设备之间，且此设备必须具有堆叠功能才可实现。级联只需单做一根双绞线 (或其他媒介 )，堆叠需要专用的堆叠模块和堆叠线缆，而这些设备可能需要单独购买。交换机的级联在理论上是没有级联个数限制的(注意：集线器级联有个数限制，且10M和100M的要求不同)，而堆叠各个厂家的设备会标明最大堆叠个数。多个设备级联会产生级联瓶颈。两个交换机通过堆叠连接在一起，堆叠线缆将能提供高于1G的背板带宽，极大地减低了瓶颈。在网络接入层选用的是锐捷网络系列千兆智能可堆叠交换机STAR-S2100系列。这个系列的产品都是全线速可堆叠千兆智能交换机，提供智能的流分类和完善的服务质量(QoS以及组播管理特性，并可以实施灵活多样的ACL访问控制。S2100系列以极高的性价比为各类型网络提供完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管，最大化满足高速、安全、智能的企业网新需求。网络会聚层千兆干线、百兆交换到桌面；彻底解决带宽问题汇聚层由锐捷网络STAR-S4909/S3550-12G全千兆路由交换机组成，负责接入层汇聚，提供高速无阻塞的链路到核心层，抑制广播风暴和分流核心数据处理压力等，可实施分布式三层，大大提升网络性强大的组播支持能力组播业务作为未来最具潜力的业务之一，得到了前所未有的重视。随着宽带技术的不断发展，FTRHTTPSMT将传统数据业务已经难以满足人们对信息业务的需求，视频点播、远程教学、新闻发布、网络电视等业务将成为新一轮运营竞争的焦点。这类新型业务的特点是，由一个服务器（媒体流服务器）发布信息，接收端数量很大，可能成千上万个，而且具体数目不固定。强大的组播支持：视频组播应用是目前高校多媒体教学和数字化企业的应用重点，企业网络对组播的支持能力是企业网建设要考虑的重点。汇聚交换机STAR-S490魏供多种组播支持技术，包括IGMPsnooping、IGMRPIM（SMDM,DVMRP保证了网络中提供组播服务时的带宽合理占用。QOSJ艮务质量保障端到端的服务质量保证 （Qos）：从核心到汇聚到接入系列智能交换机，能够自动识别数据类型，区别业务重要性，保证关键数据得到更高的网络带宽。提供多种流分类技术和多种 QO豉术，包括SRWRRWFQWREDCARHOL等，为各种应用的带宽保障提供需要的支持技术。网络核心层主干可以升级至万兆万兆以太网采用了IEEE802.3以太网媒体访问控制 （MAC）协议、IEEE802.3以太网帧格式，以及 IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步，采用全双工技术，不需要应用低速的、半双工的CSMA/CD、议。在其他方面，万兆以太网保留了初期以太网模型的精髓，因而可以和现有以太网环境无缝融合，支持客户已有应用。RG-S680源列交换机提供目前主流的三种万兆局域网传输标准：10GBASE-R10GBASE-W10GBASE-LX4三种传输标准在数据链路层以上都相同，差别在于物理层。10GBASE-R1于传统的以太网环境，而10GBASE-WT与OC-192电路、SONET/SD设备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4®使用WD峨分复用技术进行数据传输。用户数据量的大量增加，以及语音、视频多业务应用需求增加，再加上对网络安全性、可扩展性、高QoS保障等方面的日益增强和千兆到桌面的实现。另外，万兆产品价格的下调也是推动万兆产品成功应用的关键所在。在网络的核心层部署的是锐捷网络万兆核心骨干路由交换机RG-S6806RG-S6806提供了冗余管理模块、冗余电源模块、各种模块热拔插等高可靠性功能，作为一款万兆骨干核心交换机，其背板宽带为256G三层包转发速率可达143Mpps,具备128个快速以太网端口、96个千兆光纤端口和8个万兆端口，为接入层提供高速无阻塞的路由交换。同时，RG-S6806s过千兆双绞线连接服务器集群。协议支持丰富提供多种生成树协议，包括 802.1D、802.1W、802.1S等协议，满足客户各种网络环境收敛需求；特色安全技术复杂功能硬件实现，做到板卡分布式处理RG-S6806对全网的数据进行高速无阻塞的交换，将原有国外设备主要负责的路由交换任务平移到RG-S6806±,在RG-S6806上实现路由管理、网络管理、网络服务和核心数据处理等， RG-S6806超强的数据处理能力，支持负载均衡、冗于备份、 QOS、ACL和策略路由等强大的功能，同时，板卡支持分布式处理和热插拔。软件系统结构一、服务器管理软件中文图形化网络管理平台：StarView网络管理软件可以提供简单、清晰的设备管理图、拓扑状态图和流量分析图，将企业网管理工作量降到最低程度；网络拓扑查看：StarView可自动生成图形化网络拓扑结构图，并且识别网络内各种网络设备和IP设备，一目了然查看整个企业网的网络拓扑情况；网络设备管理： StarView不仅可以管理锐捷系列网络设备，还可以通过公共接口提供对其他品牌网络设备和服务器的管理；网络节点监控： StarView可提供实时的网络各节点的网络性能监控，并通过矢量图的形式进行远程查看，当发生网络故障的时候，系统可以自动向网络管理员发出报警信号；二、网络服务管理1、网管工作站设计网络管理是企业网必须考虑的关键技术，这里的网络管理主要指网络设备及其系统的管理，它包括配置、性能、安全、故障管理等，网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的、驻留有网络管理协议的设备。网络管理设计的另一方面，是配置一个网络管理中心，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。网管软件应能够支持对网络进行设备级和系统级的管理，并能支持通用浏览器进行网络设备的管理及配置。2、WWW务器设计WW应用是Intranet的标志性应用，最核心的应用服务集中在WWW务器上完成。因而对于WW服务器的设计首要考虑的就是服务器性能问题，另外考虑到将来在 Intranet平台上做应用开发的可能，对于WWW务器同数据库互联的问题也应作为重点考虑。因为WWW务器是被大量实时访问的超文本服务器，它要求在支持大量网络实时访问、磁盘空间、I/O吞吐能力、快速处理能力等方面具有较高的要求。IIS服务器的配置IIS是一个信息服务系统，主要是建立在服务器一方。服务器接收从客户发来的请求并处理它们的请求，而客户机的任务是提出与服务器的对话。只有实现了服务器与客户机之间信息的交流与传递，Internet/Intranet的目的才可能实现。在 Windows2000中集成了IIS5.0版，这是Windwos2000中最重要的Web技术，同时也使得它成为一个功能强大的Internet/IntranetWeb应用服务器。安全策略病毒防治禁用没用的服务Windows提供了许许多多的服务。Telnet就是一个非常典型的例子。在 Windows2003的服务中是怎么解释的：“允许远程用户登录到系统并且使用命令行运行控制台程序”，建议禁止该服务。打补丁Microsoft公司时不时就会在网上免费提供一些补丁，可以去打补丁。除了可以增强兼容性外，更重要的是堵上已发现的安全漏洞。反病毒监控选择一流的反病毒软件。用反病毒软件的根本目的是防病毒。另外，安装反病毒软件后必须对其进行必要的设置和时刻开启反病毒监控。这样才能发挥其最大的威力。.4.2建立防火墙网络地址转化—NAT网络地址转换是一种用于把 IP地址转换成临时的、外部的、注册的IP地址标准。它允许具有私有 IP地址的内部网络访问因特网。它还意味着用户不需要为其网络中每一台机器取得注册的IP地址。在内部网络通过安全网卡访问外部网络时，将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的IP地址和端口来请求访问。OL晰火墙根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。.4.3网络的保密措施堵住服务器操作系统安全漏洞任何网络操作系统的安全性都是相对的， 无论是UNIX还是NT都存在安全漏洞，他们的站点会不定期发布系统补丁，系统管理员应定期下载，及时堵住系统漏洞。注意保护系统管理员的密码用户名和密码应当设置合理，口令应大小写混合，最好加上特殊字符和数字，至少不能少于16位，同时应定期修改；口令不得以明文方式存放在系统中；建立帐号锁定机制，当同一帐号的密码校验错误若干次时，自动断开连接并锁定该帐号。关闭不必要的服务端口。谨慎开放缺乏安全保障的端口：很多黑客攻击程序是针对特定服务和特定服务端口的。a、常用服务端口有：WEB80,SMTP25,POP3110,可根据情况选择关闭。b、比较危险 （很可能存在系统漏洞 ）的服务端口： TELNET：23，FINGER：79，建议关闭掉。c、对必须打开的服务（如SQL＞据库等）进行安全检查。4制定完善的安全管理制度定期使用网络管理软件对整个局域网进行监控，发现问题及时防范。定期使用黑客软件攻击自己的系统，以便发现漏洞，及时补救。谨慎利用共享软件，不应随意下载使用共享软件。做好数据的备份工作，有了完整的数据备份。5注意WEBI艮务的安全问题WE啕程人员编写的CGkASPPH商程序存在的问题，会暴露系统结构或使服务目录可读写，这样黑客入侵的发挥空间就更大。在给WEB（艮务器上传前，要进行脚本安全检查。6警惕DOSt击和DDO散击口0破击和DDO敢击可以使网站系统失去与互联网通信的能力，甚至于系统崩溃。建议：如果有条件允许的话，可以使用具有 DoSffiDdoS防护的防火墙。6.4.4数据安全性和完整性措施数据安全性和完整性就是数据的安全技术。为了解决上述问题，就必须利用另外一种安全技术 数字签名，PKI（PublieKeyInfrastucture）技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触，因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术，他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构（ CA）、注册机构（ RA）、策略管理、密钥（ Key）与证书（Certificate）管理、密钥备份与恢复、撤消系统等功能模块的有机结合。认证机构)就是这样一个确保信任度的权CA(CertificationAuthority)就是这样一个确保信任度的权威实体，它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书，任何相信该 CA的人，按照第三方信任原则，也都应当相信持有证明的该用户。 CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的，这不仅与密码学有关系，而且与整个 PKI系统的构架和模型有关。止匕外，灵活也是 CA能否得到市场认同的一个关键，它不需支持各种通用的国际标准，能够很好地和其他厂家的CA产品兼容。注册机构RA(RegistrationAuthority)是用户和 CA的接口，它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记，也必须支持远程登记。要确保整个 PKI系统的安全、灵活，就必须设计和实现网络化、安全的且易于操作的 RA系统。策略管理在PKI系统中，制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求，并且能通过CA和RA技术融入到CA和RA的系统实现中。同时，这些策略应该符合密码学和系统安全的要求，科学地应用密码学与网络安全的理论，并且具有良好的扩展性和互用性。密钥备份和恢复为了保证数据的安全性，应定期更新密钥和恢复意外损坏的密钥是非常重要的，设计和实现健全的密钥管理方案，保证安全的密钥备份、更新、恢复，也是关系到整个 PKI系统强健性、安全性、可用性的重要因素。证书管理与撤消系统证书是用来证明证书持有者身份的电子介质，它是用来绑定证书持有者身份和其相应公钥的。通常，这种绑定在已颁发证书的整个生命周期里是有效的。但是，有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消，证书撤消的理由是各种各样的，可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的发布机制撤消证书或采用在线查询机制，随时查询被撤消的证书。7此方案的系统特点合理的系统结构企业主干采用具有第三层交换功能的千兆位以太网(GigabitEthernet)以满足广大用户的各种要求。企业网建设应能保护企业网的投资,要求企业网的管理方案与管理策略 .主干设备应能满足10,000用户接入访问的要求。支持 IP多目广播(Multicast)与服务质量(Qos)或服务类