智能楼宇网络设计及智能门窗建设生产项目申请报告_第1页
智能楼宇网络设计及智能门窗建设生产项目申请报告_第2页
智能楼宇网络设计及智能门窗建设生产项目申请报告_第3页
智能楼宇网络设计及智能门窗建设生产项目申请报告_第4页
智能楼宇网络设计及智能门窗建设生产项目申请报告_第5页
已阅读5页,还剩150页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

智能楼宇网络设计目录1概述 11.1楼宇智能化技术概况 11.2楼宇智能化技术中网络技术的概况 11.3研究目标 22局域网技术 32.1局域网的定义 32.2以太网技术 33VLAN技术和网络安全 153.1VLAN技术概述 153.2VLAN的划分方式 163.3VLAN在交换机上的配置 223.4网络安全 234组网方案 264.1组网设计 264.2设计总结与展望 35参考文献 36谢辞 37PAGE1概述1.1楼宇智能化技术概况随着经济的发展,人们对生活环境的安全、高效、舒适提出了要求,应运而生的楼宇智能化技术目前在我国各类建筑中得到了广泛应用,它是集建筑技术、计算机技术、自动化技术、通信技术以及系统集成技术为一体的一个新兴但发展又十分迅猛的技术领域。网络技术发展更是突飞猛进,计算机网络技术已广泛应用于工业、商业、金融、科研、教育、农业及日常生活等方面,已经在影响并逐步改变人们的工作生活方式。智能建筑在国际上又称为3A建筑,它包括以下几个部分:BAS(BuildingAutomationSystem)为楼宇自动化系统、CAS(CommunicationAutomationSystem)为通信自动化系统、OAS(OfficeAutomationSystem)为办公自动化系统,通过SCS(StructuredCablingSystem)结构化综合布线系统把上述三个系统有机结合起来。中国国家标准《智能建筑设计标准》(GB/T50314-2000)中智能建筑(IB)的定义是:它是以建筑为平台,兼备建筑设备、办公自动化及通讯网络系统,集结构、系统、服务、管理及它们之间的最优化组合,给人们提供一个安全、高效、舒适、便利的建筑环境。楼宇自动化系统是智能建筑中最基本和最重要的组成部分,它利用计算机及其网络技术、自动控制技术和通信技术构建的高度自动化的综合管理和控制系统,将大楼内部各种设备连接到一个控制网络上,通过网络对其进行综合的控制,这些设备包括空调、照明设备、电梯、消防设备、安防设备等等。它确保建筑物内的舒适和安全的办公环境,同时实现高效节能的要求。1.2楼宇智能化技术中网络技术的概况智能建筑系统是将大楼内的若干个既相对独立又相互关联的系统组成具有一定规模的大系统。这其中计算机通信网络是智能建筑系统的神经系统,它把现有的分离设备、功能、信息组合到一个相互关联的、统一的、协调的系统之中,实现语音、数据、图像的综合传输、交换、处理和应用。由于局域网具有全开放、成本低、带宽高、稳定性和可靠性高、应用广泛、共享资源丰富等优点,将其应用到工业网络己经成为国内外工业控制领域研究的热点。工业局域网可以利用互联网技术,给工业自动化领域中的每台设备赋予一个IP地址,将现场设备通过各种途径连接在互联网上。这些设备可以通过网络互相传递信息和数据,因而具有了远程维护功能并能从Internet获取信息。近年,企业、科研机构都在研究开发各种带局域网络接口的现场设备,并且这些网络接口已应用于生产现场。很自然,局域网络技术也同样进入了楼宇自动化系统的研究领域。目前,局域网多用于基于现场总线的楼宇自控网络集成到智能建筑信息管理网络这一环节,即Ethernet总线技术。在一些新开发的楼宇自控系统中,局域网直接进入了控制层,如北京楼宇自动化中心开发的基于局域网的ENC-20011P智能建筑测控系统。在楼宇自动化系统中采用局域网的优点是实现了从管理层到现场设备控制层通信协议的兼容和统一,这样,系统扩展起来也比较方便,与智能建筑中其它系统(通信自动化系统和办公自动化系统)集成起来也更加容易。但它也存在缺点:首先,目前开发基于局域网的控制系统产品的难度较大,开发费用和成本相对较高,用户可以选择的厂商也很有限,垄断利润较高,研发成本还没有被消化,这些都导致产品价格过高;其次,局域网的实时性、可靠性等方面还有待进一步完善。1.3研究目标为了实现我们的研究目标,在此将采用理论和实际相结合的原则。在理论方面,我们需要掌握和分析局域网的核心技术VLAN技术,例如为什么要采用该项技术,它存在哪些优缺点,以及整个智能楼宇通信系统在实际当中是如何规划和实现的;在实际应用中,需要将技术理论同实际情况相结合,根据具体的实际需求合理的分配有限的资源,力争达到最优的组网效果。最后,还要运用现已掌握的技术手段,对硬件系统进行合理的优化配置,尽最大努力使之实际运行效果接近理论值,也就是利用华为公司所提供的数据通信设备实现最佳的系统性能。除此之外,还需要在研究过程中不断的发现问题,解决问题,在具体的实践当中寻找“捷径”,提高我们的工作效率,寻找更有效的研究方法。在此将采用华为技术有限公司提供的数据通信设备,如二层、三层交换机,路由器,进行智能楼宇的组网设计,通过对数据通信技术原理和设备硬件知识的研究,根据实际的用户需求,合理的对硬件系统进行配置,提供最优的方案来解决实际的组网设计问题。2局域网技术2.1局域网的定义由于连接介质的不同,通信协议的不同,计算机网络的种类划分方法名目繁多。但一般来讲,计算机网络可以按照它覆盖的地理范围,划分成局域网和广域网,以及介于局域网和广域网之间的城域网(MAN,MetropolitanAreaNetwork)。本部分重点介绍局域网。局域网-LAN(LocalAreaNetwork)是将小区域内的各种通信设备互连在一起所形成的网络,覆盖范围一般局限在房间、大楼或园区内。局域网一般指分布于几公里范围内的网络,局域网的特点是:距离短、延迟小、数据速率高、传输可靠。标准(standard)是广泛使用的、或者由官方规定的一套规则和程序。标准描述了协议的规定,设定了保障网络通信的最简性能集。IEEE802.X标准是当今居于主导地位的LAN标准。目前我国常见的局域网类型包括:以太网(Ethernet)、异步传输模式(ATM,AsynchronousTransferMode)等,它们在拓扑结构、传输介质、传输速率、数据格式等多方面都有许多不同。其中应用最广泛的当属以太网——一种总线结构的LAN,是目前发展最迅速、也最经济的局域网。2.2以太网技术2.2.1以太网的应用以太网设计的初衷,就是把一些计算机联系起来进行文件共享和数据库记录的传输。到目前为止,在计算机互连这个领域,以太网仍然是最活跃的技术,但已经不再局限于这个领域,在其他一些领域,以太网也大显身手,表现不俗。下面是以太网的主要应用领域:计算机互连:这是以太网技术的主要目标,也是最成熟的应用范围。最开始的时候,许多计算机通过同轴电缆连接起来,互相访问共享的目录,或访问在同一个物理网段上的文件服务器,各个计算机(不论是服务器还是客户机)在网络上的地位相同。随着应用的发展,这种平等的结构逐渐不适应实际的需要,因为网络上的大部分流量都是客户机跟服务器之间的,这种流量模型必然在服务器上形成瓶径。当全双工以太网和以太网交换机引入以太网之后,这种情况有所改变,取代的是把服务器连接到以太网交换机的一个告诉端口(100M)上,把其他客户机连接到以太网交换机的低速端口上,这样就暂缓了瓶颈的形成。现代的操作系统提供分布式服务和数据仓库服务,基于这些操作系统的服务器除了跟客户机通信之外,还要跟其他服务器交换大量的信息进行数据的同步,这样传统的100M快速以太网就不能满足要求了,于是1000M以太网应运而生。高速网络设备之间互连:随着INTERNET的不断发展,一些传统的网络设备,比如路由器,之间的带宽已经不能满足要求,需要更高更有效率的互连技术来连接这些网络设备构成INTERNET的骨干,1000M以太网成了首选的技术。传统的100M也可以应用在这些场合,因为这些100M的快速以太网链路可以经过聚合,形成快速以太网通道,速度可以达到100M——1000M的范围。城域网中用户接入的手段:用户通过以太网技术接入城域网,实现上网,文件下载,视频点播等业务,已经变得越来越流行。之所以用以太网作为城域网的接入手段,是因为现在的计算机都支持以太网卡,这样对用户来说,不用更改任何软件和硬件配置就可以正常上网。可以看出,以太网技术已经覆盖了网络的方方面面,从骨干网到接入网,从计算机网络到工业应用,无处不见以太网的影子。2.2.2以太网物理层根据ISO的OSI七层参考模型,物理层规定了两个设之间的物理接口,以及该接口的电气特性,规程特性,机械特性等内容,以太网的物理层也不外乎这些内容,它主要的功能是提供一种物理层面的标准,各个厂家只要按照这个标准生产网络设备就可以进行互通。下面从介绍这些物理层标准开始,来分析一下以太网的物理层基础结构。从以太网诞生到目前为止,成熟应用的以太网物理层标准主要有以下几种:10BASE2、10BASE5、100BASE-TX、100BASE-T2、100BASE-T4、100BASE-FX、1000BASE-SX、1000BASE-LX、1000BASE-CX、1000BASE-TX,在这些标准中,前面的10,100,1000分别代表运行速率;中间的BASE指传输的信号是基带方式;后边的2,5分别代表最大距离,比如,5代表50米,2代表200米等;TX,T2,T4,FX,SX,LX,CX等应用于双绞线以太网和光纤以太网,含义如下:100BASE-TX:运行在两对五类双绞线上的快速以太网;100BASE-T4:运行在四对三类双绞线上的快速以太网;100BASE-T2:运行在2对三类双绞线上的快速以太网;100BASE-FX:运行在光纤上的快速以太网,光纤类型可以是单模也可以是多模;1000BASE-SX:运行在多模光纤上的1000M以太网,S指发出的光信号是长波长的形式;1000BASE-LX:运行在单模光纤上的1000M以太网,L指发出的光信号是短波长的形式;在这些标准中,10BASE2,10BASE5是同轴电缆的物理标准,现在已经基本被淘汰,10BASE-T和100BASE-TX都是运行在五类双绞线上的以太网标准,所不同的是线路上信号的传输速率不同,10BASE-T只能以10M的速度工作,而100BASE-TX则以100M的速度工作,其他方面没有什么两样。100BASE-T2,100BASE-T4现在很少用,所以我们这里只选择比较有代表性的100BASE-TX进行叙述。100BASE-TX是运行在两对五类双绞线上的快速以太网物理层技术,它除了规定运行的介质是五类或更高类双绞线外,还规定了设备之间的接口以及电平信号等。该标准规定设备和链路之间的接口采用RJ-45水晶头,电瓶采用+5V和-5V交替的形式。五类双绞线的8跟线压入水晶头的8个线槽中,这样可以很容易的插入网络设备的网卡。实际上,在进行数据的传输时仅仅用了五类双绞线的两对(四根)线,其中一对作为数据接收线,一对作为数据发送线,在进行数据接收和发送的时候,在一对线上传输极性相反的信号,这样可以避免互相干扰。需要注意的是,在连接两个相同的网络设备时(比如网卡),需要把线序进行交叉,因为线路两端的设备(比如网卡)的收发顺序是相同的,而两端设备要进行直接连接,其收发必须进行交叉,于是,必须在线路上进行交叉才能达到目的,如图2-1所示:图2-1RJ45交叉线示意图但在跟不同类型的网络设备互连,比如终端计算机跟HUB或以太网交换机连接时,却不需要这样,因为这些网络设备的接口上已经做了交叉,也就是说,这些设备的网络接口跟普通计算机的收发顺序是不一致的,因而只要把五类双绞线直接按照原来顺序压入水晶头,就可以把两端的设备正常连接。跟传统的同轴电缆不同的是,100BAST-TX(10BASE-T)的数据发送和数据接收使用了不同的线对,做到了分离,这样就隐含着一种全新的运做方式:全双工方式。在这种方式下,数据可以同时接收和发送而互不干扰,这样可以大大提高效率,不过这需要中间设备的支持,现在的以太网交换机就是这样一种设备。在基于双绞线的以太网上,可以存在许多种不同的运做模式,在速度上有10M,100M不等,在双工模式上有全双工和半双工等,如果对每个接入网络的设备进行配置,则必然是一项很繁重的工作,而且不容易维护。于是,人们提出了自动协商技术来解决这种矛盾。需要注意的是,自动协商只运行在基于双绞线的以太网上,是一种物理层的概念。自动协商建立在一种低层的以太网机制上。在双绞线链路上,如果没有数据传输,链路并不是一直在空闲,而是不断的互相发送一种频率相对较低的脉冲信号(称为普通链路脉冲,NLP)如图2-2所示:图2-2普通链路脉冲任何具有双绞线接口的以太网卡都应该能识别这种信号。需要注意的是,如果在这些NLP之间在插入一些(一般是16个)更小的脉冲(这些脉冲称为快速链路脉冲,FLP),两端设备应该也能识别。于是,我们可以使用这些快速链路脉冲来进行少量的数据传输,来达到自动协商的目的。在设备的网卡中有一个配置寄存器,该寄存器内部保留了该网卡能够支持的工作模式,比如该网卡可以支持100M和10M模式下运行,则把相应的寄存器内容置位。在网卡加电后,如果允许自动协商,则网卡就把自己的配置寄存器内容读出来,编码后通过FLP发送出去,如图2-3所示:图2-3FLP发送编码发送的同时,可以接收对端发送过来的自动协商数据。接收到对方发送的自动协商数据后,跟自己的配置寄存器比较,选择自己支持的且一般情况下最优的组合投入运行。比如自己支持全双工模式和100M的速率,对端也支持该配置,则选择的运行模式就是100M全双工,如果对端只支持全双工模式和10M的能力,则运行模式就定为全双工10M模式。如果两端支持的能力集合不相交,则协商不通过,两端设备不能通信。一旦协商通过,网卡就把该链路置为激活状态,可以传输数据了,如果不能协商通过,则该链路不能使用,不能再进行数据传输。如果两端的设备有一端不支持自动协商,则支持自动协商的一端选择选择一种默认的方式工作,一般情况下是10M半双工模式。2.2.3以太网数据链路层按照ISO的OSI七层参考模型,互连的各个系统把各个网络功能分七个层次实现,各个层次之间相互独立,互不干扰。这样就可以实现最大限度的开放和灵活性,设备厂家只要按照层次之间的接口生产设备,就可以做到互通。因此,这个七层模型是高效权威的,而且目前大多数网络技术都是参照这个模型进行设计和开发的。但在以太网体系结构中,七层模型中层次之间互相独立的规则就不适用了,因为开始的时候,以太网采用了一种共享介质的方式来进行数据通信,而不是传统的全双工通信,随着设备的发展,以太网中又引入了全双工模式的通信,在这样两种通信模式并存的情况下,在进行层次间的严格划分就不容易了。这里需要注意的是,在以太网中,全双工是物理层的概念,而针对物理层的双工模式提供不同访问方式则是数据链路层的概念,这样就形成了以太网的一个重要特点:数据链路层和物理层是相关的。针对物理层的不同工作模式(全双工和半双工),需要提供特定的数据链路层来访问。这样导致了数据链路层和物理层有很大的相关性,给设计和应用带来了一些不便。为了避免这种不便,一些组织和厂家提出了另外一种方式,就是把数据链路层再进行分层,分为逻辑链路控制子层(LLC)和媒体访问控制子层(MAC)。图2-4数据链路层分层结构数据链路层分层结构如图2-4所示。这样不同的物理层对应不同的MAC子层,LLC子层则可以完全独立。这样从一定程度上提高了独立性,方便了实现。面对MAC子层和LLC子层做一个详细的解释。MAC子层是物理层相关的,也就是说,不同的物理层有不同的MAC子层来进行访问,比如物理层是工作在半双工模式的双绞线,则相应的MAC子层为半双工MAC,如果物理层是令牌环,则有令牌环MAC来进行访问。在以太网中,主要存在两种MAC:半双工MAC和全双工MAC,分别针对物理层运行模式是半双工和全双工时提供访问。需要注意的,这两种MAC都是集成在网卡中的,网卡初始化的时候一般进行自动协商,根据自动协商的结果决定运行模式,然后根据运行模式选择相应的访问MAC。全双工MAC子层相对半双工MAC子层简单,因为它不需要检测链路的空闲与忙的状态,所以就去除了上面的链路空闲信号和冲突检测信号。其工作过程如下:当MAC子层有数据要发送的时候,通过数据发送指示告诉物理层,然后把数据一个字节一个字节的通过数据发送线发送出去。如果物理层检测到了数据到达,则通过接收指示信号告诉链路层,自己接收到了数据,然后通过接收数据线把数据传到MAC子层。除了完成物理链路的访问以外,MAC子层还负责完成下列任务: 链路级的站点标识:在数据链路层识别网络上的各个站点。也就是说,在该层次保留了一个站点地址(就是所谓的MAC地址),来标识网络上的唯一一个站点; 链路级的数据传输:从上层(LLC子层)接收数据,附加上MAC地址和控制信息后把数据发送到物理链路上。在这个过程中搀杂了校验等功能。为了进行站点标识,在MAC子层保留了一个唯一的站点MAC地址,来区分该站点。MAC地址是一个48比特的数字,分为下面三种类别:1.物理MAC地址:这种类型的MAC地址唯一的标识了以太网上的一个终端(比如网卡等),实际上这样的地址是固化在硬件里面的;2.广播MAC地址:这是一个通用的MAC地址,用来表示网络上的所有终端设备;3.组播MAC地址:这是一个逻辑的MAC地址,来代表网络上的一组终端。它的特点是最左边一个字节的第一比特为1。上层要发送数据的时候,把数据提交给MAC子层,MAC子层有自己的缓冲区,把上层提交给自己的数据进行缓存,然后增加上目的MAC地址和自己的MAC地址(源MAC地址),计算出数据帧的长度,形成的数据包格式如图2-5所示。在这个图中,DMAC代表目的终端的MAC地址,SMAC代表源MAC地址,而Length/T字段则根据值的不同有不同的含义:DMACSMACLength/TDATA/PADFCS图2-5数据帧格式当Length/T>1500时,代表该数据帧的类型(比如上层协议类型),当Length/T<1500时,代表该数据帧的长度。DATA/PAD则是具体的数据,因为以太网数据帧的最小长度必须大于64字节(根据半双工模式下最大距离计算获得的),所以如果数据长度加上帧头不足64字节,需要在数据部分增加填充内容。FCS则是帧校验字段,来判断该数据帧是否出错。 上面介绍了数据的发送过程,下面说一下数据接收过程: 在计算机的网卡中维护一张接收地址列表,每当计算机网卡接收到一个数据帧之后,就把数据帧的目的MAC地址提取出来,跟列表中的条目进行比较,只要有一项匹配,则接收该数据帧,若无任何匹配的项目,则丢弃该数据帧。在这张接收地址列表中至少有下面两项:1.计算机网卡的MAC地址:该地址固化在网卡的ROM里面;2.广播MAC地址:该地址代表网络上的所有主机。如果上层应用程序加入一个组播组,则该应用程序会通知网络层,然后网络层通知数据链路层,数据链路层根据应用程序加入的组播组形成一个组播MAC地址,并把该组播MAC地址加入接收地址列表,这样当有针对该组的数据帧的时候,MAC子层就接收该数据帧并向上层发送。 在上面的介绍中提到了MAC子层形成的一个帧结构,其中有一个字段是Length/T。这个字段的长度是2字节,根据取值的范围有不同的含义,在小于或等于1500的情况下,该值代表数据帧数据部分的长度,但当大于1500的时候,则代表该帧的数据部分的类型,比如该数据帧是哪个上层协议(比如IP,IPX,DECNet,NETBEUI等)的数据单元等。 当Length/T取值大于1500的时候,MAC子层可以根据Length/T的值直接把数据帧提交给上层协议,这时候就没有必要实现LLC子层。这种结构便是目前比较流行的ETHERNET_II,大部分计算机都支持这种结构。注意,这种结构下数据链路层可以不实现LLC子层,而仅仅包含一个MAC子层。 根据Length/T字段的取值,来把接收到的数据帧提交给上层协议模块,是这样进行的:每个上层协议都提供了一个回调函数,这个回调函数在数据链路层是可见的而且可以调用的,这样当数据链路层接收到一个数据帧之后,根据数据帧里的Length/T字段的取值来判断相应的协议模块,然后调用相应协议的回调函数(把数据帧的数据部分作为参数),该回调函数执行的结果就是把数据帧的数据部分挂到上层协议的接收队列中,然后给上层协议发送一个消息,告诉上层协议有一个数据包到来,然后返回,其他的事情就由上层协议来做了。 上面介绍的都是ETHERNET_II的内容,就是当Length/T字段大于1500的时候的情况。现在来讨论一下当Length/T小于或等于1500的情况,这种类型就是所谓的ETHERNET_SNAP,是802.3委员会制定的标准,虽然目前应用不是很广泛,但是作为一种很有特色的标准,将来必会大行其道。 ETHERNET_SNAP除了定义传统的链路层服务之外,还增加了一些其他有用的特性,比如定义了下面三种类型的点到点传输服务:1.无连接的数据包传输服务:目前的以太网实现就是这种服务;2.面向连接的可靠的数据传输服务:预先建立连接再传输数据,数据在传输过程中可靠性得到保证;3.无连接的带确认的数据传输服务:该类型的数据传输服务不需要建立连接,但它在数据的传输中增加了确认机制,使可靠性大大增加。这些服务都是在LLC子层中实现的,LLC子层的帧格式如图2-6所示:图2-6LLC子层的帧格式 可以看出,该数据帧的结构在MAC子层上是保持统一的,但MAC子层数据帧的Length/T字段现在已经完全成了Length,指示MAC数据帧数据部分的长度,然后在数据部分增加了一个LLC头,这个头由DSAP(目的服务访问点),SSAP(源服务访问点)和控制字段组成。上面讲述的三种服务就是通过这三个字段完成的。2.2.4以太网交换机内部结构从外观上看,以太网交换机跟HUB差不多,也是一个多端口的深颜色盒子,但端口的数目可能比HUB要多(一般情况下是24个或更多)。但在内部结构上却比HUB复杂得多,HUB内部实际上是一条共享的总线,各个端口共享该总线进行CSMA/CD方式的通信,但以太网交换机内部可能也是一条总线,但该总线带宽要比HUB内部的总线高得多,足以让全部端口互相同时通信而没有阻塞。性能更高的交换机内部可能是一个交换网络,该网络完成任意端口之间的两两交换。以太网交换机内部结构如图2-7所示:图2-7以太网交换机的内部结构示意图由图可以看出以太网交换机使用一条高速背板总线把各个端口连接起来。实际上,这个背板总线可能是一个高性能的数字交叉网络。注意的是,各个端口针对接收线路和发送线路,各有一个缓冲队列,当数据从终端设备发往交换机的时候,发出的数据暂存在交换机的接收队列中,然后进行下一步处理。如果交换机要把接收的数据发送给某一终端,这时候,交换机把要发送的数据发往该接收终端所在端口的发送队列,然后再发送到接收终端,如果终端忙,则一直存储在发送队列中。其实,对每个接口的发送队列结构进行更改可以实现服务质量功能。比如,我们为每个接口设计不止一个发送队列,假设设置三个,则可以对这三个队列进行优先级划分,分成低,中,高三个优先级,然后根据数据帧的优先级字段(在以后介绍VLAN的时候将讲述),把数据帧放到相应的优先级队列中。在传输的时候,可以优先传输优先级高的队列,等高优先级队列内没有数据了,再传送优先级低的队列,依次类推。也可以实现一些其他的调度策略,比如WFQ(基于优先级的加权公平队列)等调度技术。交换机跟HUB的最大区别就是能做到接口到接口的转发。比如接收到一个数据帧以后,交换机会根据数据帧头中的目的MAC地址,发送到适当的端口,而HUB则不然,它把接收到的数据帧向所有端口转发。交换机之所以能做到根据MAC地址进行选择端口,完全依赖内部的一个重要的数据结构:CAM表。交换机接收到一个数据帧,依靠该数据帧的目的MAC地址来查找CAM表,查找的结果是一个或一组端口,根据查找的结构,把数据包送到相应端口的发送队列。CAM表包含下面几项内容:MAC地址;一个或一组端口号;如果交换机上划分了VLAN,还包括VLANID。交换机根据接收到的数据帧的目的MAC地址,来查找该表格,根据找到的端口号,把数据帧发送出去。注意,上面一个MAC地址可能对应多个端口,这样的MAC地址一般是组播MAC地址,其中每个端口上连接一个组播组的成员。二层交换机工作过程交换机根据功能的不同,分为两类:二层交换机和三层交换机。这里先介绍一下二层交换机的相关知识。上面提到了一个重要的数据结构CAM表,该表包含了交换机用来转发数据帧所涉及到的一些信息,对于交换机怎样依据这个表格进行数据帧的交换,上面部分已经讲明白了。但这又产生一个问题:这个CAM表是怎样生成的呢?其实,这个表格可以通过两种途径生成:1.手工加入通过配置命令的形式告诉交换机MAC地址和端口的对应;2.交换机动态学习获得交换机通过查看接收的每个数据帧来学习该表。手工生成该表很简单,不过配置麻烦,所以通常情况下是交换机自动获得的。二层交换机原理交换机转发数据帧的基本规则:1.交换机查CAM表,如果查找到结构,根据查找结果进行转发;2.如果交换机在CAM表中查找不到结果,则根据配置进行处理,通常情况下是向所有的端口发送该数据帧,在发送数据帧的同时,学习到一条CAM表项。3.开始的时候,交换机的CAM表是空的,当交换机接收到第一个数据帧的时候,查找CAM表失败,于是向所有端口转发该数据帧,在转发数据帧的同时,交换机把接收到的数据帧的源MAC地址和接收端口进行关联,形成一项记录,填写到CAM表中,这个过程就是学习的过程。4.学习过程持续一段时间之后,交换机基本上把所有端口跟相应端口下终端设备的MAC地址都学习到了,于是进入稳定的转发状态,这时候,对于接收到的数据帧,总能在CAM表中查找到一个结果,于是数据帧的发送是点对点的,达到了理性的境界。5.交换机还为每个CAM表项提供了一个定时器,该定时器从一个初始值开始递减,每当使用了一次该表项(接收到了一个数据帧,查找CAM表后用该项转发),定时器被重新设置。如果长时间没有使用该CAM表的转发项,则定时器递减到零,于是该CAM表项被删除。6.一般不对帧格式进行修改(VLAN要对帧格式进行修改,打上TAG标签)交换机对接收来的数据帧会采用下述的交换模式:到目前为止,仅有三种交换模式:(1)直通模式:交换机接收到目的地址即开始转发过程。优点:延迟小;缺点:交换机不能检查出数据帧的错误。(2)储存转发模式:交换机将全部内容接收才开始转发过程。优点:交换机检查出数据帧的错误,不会有错帧;缺点:延迟大。(3)帧自由模式:交换机接收完数据包的前64字节(一个最短帧长度),然后根据头信息查表转发。优点:结合了直通模式和储存转发模式的优点;缺点:延迟介于直通模式和储存转发模式之间。全双工和二层交换机组建的以太网存在如下缺点:广播泛滥;安全性仍旧无法得到有效的保证。其中广播泛滥严重是L2以太网的主要缺点。三层交换机原理具体地说三层交换机是这样的:1.在逻辑上,三层交换和路由是等同的,三层交换的过程就是IP报文选路的过程2.三层交换机与路由器在转发操作上的主要区别在于其实现的方式:(1)三层交换机通过硬件实现查找和转发;(2)传统路由器通过微处理器上运行的软件实现查找和转发;(3)三层交换机的转发路由表与路由器一样,需要软件通过路由协议来建立和维护。3.在局域网中引入三层交换能够更加经济的替代传统路由器。注:三层交换机实质就是一种特殊的路由器,有很强交换能力而价格低廉的路由器。无论对路由器还是对三层交换机而言,接口都存在路由接口和物理接口的概念:路由接口是挂接在IP协议栈下的逻辑接口,每个接口都对应一个IP网段,通常称为Interface;物理接口是在机箱外面,看得见、摸得着、能插电缆的实际接口,通常称为Port。但是从路由器的角度理解的端口和从三层交换机的角度理解的端口是有所不同:三层交换机上,在不同的物理端口之间还提供二层交换的功能。VLAN内部通过二层交换通信,VLAN之间通过三层路由来通信。路由接口是与VLAN是对应的关系,而每个VLAN可能对应很多个物理端口,因此路由接口和物理端口没有一一对应的关系。(有关VLAN技术将在后面详细介绍)具体一台具有三层功能的交换机对帧是二层还是三层交换应遵循以下规则。IP网络的规则:1.相同网段内部的通信,通过二层功能完成互通,当主机与对端主机通信的时候,根据自身的IP地址和子网掩码来确定对方是否在系统网段内,如果判定在相同网段内,则直接通过ARP查找对方的MAC地址,然后把对方的MAC地址填入以太网帧头的目的MAC地址域;2.不同网段的主机通信的时候,主机发现对方在不同的网段内,则主机就会自动借助网关来进行通信,主机首先通过ARP来查找设定的网关的MAC地址,然后把网关的MAC地址(而不是对方主机的MAC地址,因为主机认为通信对端不是本地主机)填入以太网帧头的目的MAC地址域。根据以上规则,三层交换机根据以太网帧的目的MAC地址域的地址来判断是进行二层转发还是三层转发,如果是给某个VLAN指定的路由接口的MAC地址,则进行三层转发,否则在VLAN内部进行二层转发。3VLAN技术和网络安全3.1VLAN技术概述虚拟局域网(VLAN——VirtualLocalAreaNetwork)逻辑上把网络资源和网络用户按照一定的原则进行划分,把一个物理上实际的网络划分成多个小的逻辑的网络。这些小的逻辑的网络形成各自的广播域,也就是虚拟局域网VLAN。例如几个部门都使用一个中心交换机,但是各个部门属于不同的VLAN,形成各自的广播域,广播报文不能跨越这些广播域传送。虚拟局域网将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内,在功能和操作上与传统LAN基本相同,可以提供一定范围内终端系统的互联。VLAN与传统的LAN相比,具有以下优势:1.减少移动和改变的代价即所说的动态管理网络,也就是当一个用户从一个位置移动到另一个位置是,他的网络属性不需要重新配置,而是动态的完成,这种动态管理网络给网络管理者和使用者都带来了极大的好处,一个用户,无论他到哪里,他都能不做任何修改地接入网络,这种前景是非常美好的。当然,并不是所有的VLAN定义方法都能做到这一点。2.虚拟工作组模型使用VLAN的最终目标就是建立虚拟工作组模型,例如,在企业网中,同一个部门的就好像在同一个LAN上一样,很容易的互相访问,交流信息,同时,所有的广播包也都限制在该虚拟LAN上,而不影响其他VLAN的人。一个人如果从一个办公地点换到另外一个地点,而他仍然在该部门,那么,该用户的配置无须改变;同时,如果一个人虽然办公地点没有变,但他更换了部门,那么,只需网络管理员更改一下该用户的配置即可。这个功能的目标就是建立一个动态的组织环境,当然,这只是一个理想的目标,要实现它,还需要一些其他方面的支持。3.限制广播包,提高带宽的利用率:有效地解决了广播风暴带来的性能下降问题。一个VLAN形成一个小的广播域,同一个VLAN成员都在由所属VLAN确定的广播域内,那么,当一个数据包没有路由时,交换机只会将此数据包发送到所有属于该VLAN的其他端口,而不是所有的交换机的端口,这样,就将数据包限制到了一个VLAN内,在一定程度上可以节省带宽。4.增强通讯的安全性:一个VLAN的数据包不会发送到另一个VLAN,这样,其他VLAN的用户的网络上是收不到任何该VLAN的数据包,这样就确保了该VLAN的信息不会被其他VLAN的人窃听,从而实现了信息的保密。5.增强网络的健壮性:当网络规模增大时,部分网络出现问题往往会影响整个网络,引入VLAN之后,可以将一些网络故障限制在一个VLAN之内。由于VLAN是逻辑上对网络进行划分,组网方案灵活,配置管理简单,降低了管理维护的成本。3.2VLAN的划分方式按照上面的概念,VLAN是交换机上的一个集合,该集合的元素就是端口。我们用一个VLAN标识来表示该集合,这样当在交换机上创建一个集合后,就开始确定其中的元素(端口)。下面是确定元素的最重要的几种方式:3.2.1基于端口的VLAN最简单,也是最直接的方式就是手工指定,这种方式也是最容易理解的。这也是最常用的方法,因为这种方法特别的灵活,新增用户只要连接到属于某个VLAN的端口,就可以在这个VLAN中进行内部通信,该用户若是想离开这个VLAN,只要断开与这个端口的连接就可以了。也就是说,一旦在交换机上创建一个VLAN,我们可以手工指定该VLAN包含哪些端口。在该方式下,我们只要在交换机上进行一些简单的配置就可以了。具体如图3-1和表3-1所示:图3-1基于端口划分VLAN表3-1端口与VLAN对应关系端口所属VLANE1VLAN5E2VLAN10............E7VLAN5............E10VLAN103.2.2基于MAC地址的VLAN在基于端口的VLAN方式下,我们在交换机上进行了设置,来决定VLAN包含那些端口。但有些情况下,我们希望把终端系统进行分类,使它们属于指定的VLAN。这时候,我们可以手工建立终端系统的标识跟VLAN之间的关系。在以太网上,MAC地址可以唯一的标识一个终端系统,于是,就建立MAC地址跟VLAN之间的对应关系,如图3-2和表3-2所示:图3-2基于MAC地址划分VLAN交换机仅仅根据这个MAC地址跟VLAN之间的对应关系,不能创建VLAN跟端口的对应关系,我们于是联想到交换机内部的另外一个关系:MAC地址跟端口之间的关系(也就是CAM表,交换机根据该表格进行数据帧的转发)。根据这样两个关系,交换机可以创建VLAN跟端口号之间的对应关系了,具体过程如下:表3-2MAC地址与VLAN对应关系MAC地址所属VLANMACAVLAN5MACBVLAN10MACCVLAN5MACDVLAN101.交换机把手工创建的MAC地址跟VLAN号之间的对应关系下载到本地;2.从该对应关系中读出一行,如果该行对应的VLAN不存在,则创建该VLAN,然后以MAC地址为索引依据,到CAM表中查找对应的端口号,把找到的端口号加入刚刚创建的VLAN;3.若读出的该行所包含的VLAN已经存在,则仅仅依据MAC地址查询CAM表,把找到的端口号加入已经存在的VLAN里面;4.重复这个过程,直到该对应关系扫描完毕。3.2.3基于第三层协议的VLAN有些情况下,人们往往对网络做一些限制,让网络上的终端系统只运行一种网络协议,比如,在一个有大量NOVELL服务器的网络上,可能只存在IPX协议,这样做的目的主要是节省资源,因为如果运行其他的路由协议,一些服务进程会跟所有运行的协议绑定,这样该服务就会通过该协议对应的广播地址(比如,IP协议的广播地址是55)发送通告消息,以表明自己的存在。这样必然产生大量的广播包,严重浪费资源。在这些情况下,人们可以根据运行的协议不同来划分VLAN,如下面图3-3和表3-3所示。在该种方式下,只要告诉交换机,上层协议跟VLAN之间的对应关系即可,比如,我们把所有运行IPX的计算机都划分到VLAN5里面,只要告诉交换机(通过命令行的方式)IPX和VLAN5的对应关系即可。完成这样的配置之后,交换机就进行下列工作:1.交换机检查每个端口上接收到的数据帧,判断该数据帧的类型字段,如果该类型字段是IPX,则马上把接收到该数据帧的端口加入VLAN5中;2.如果从端口上接收到的数据帧的协议类型字段不是IPX,则根据通常的步骤进行转发。这个过程延续下来,交换机就会把所有接收到IPX包的端口加入到VLAN5里面去了。图3-3基于协议类型划分VLAN表3-3协议类型与VLAN对应关系协议类型所属VLANIPX协议VLAN5IP协议VLAN10............3.2.4基于组播组的VLAN在前面介绍交换机的时候,,曾经介绍了交换机对组播数据帧的转发方式,交换机内部维护一个组播转发表,该表的内容是一个组播地址和一个接口列表,该表是根据一些二层组播协议建立的,比如IGMP窥探,CGMP,GMRP等。实际上,可以把某个组播地址对应的接口列表划分到一个VLAN里面。在该种模式下,我们需要做的就是在交换机上给出组播MAC地址和VLAN的对应关系,比如,我们给出组播MAC地址01010E1E8E98对应VLAN100,于是交换机马上创建VLAN100,根据给出的组播地址查询组播CAM表,把找到的接口列表中的所有接口都划分到VLAN100里面。3.2.5基于子网的VLAN这种方法顾名思义,就是根据不同的子网网段来划分VLAN,这种划分VLAN的方法,在整体思路上显得很清晰。此方法适合子网较多且掩码位数相同的组网设计拓扑结构。图3-4基于子网划分VLAN表3-4子网与VLAN对应关系IP网络所属VLANIP/24VLAN5IP/24VLAN10............3.2.6基于策略的VLAN这是最复杂的一种VLAN划分方式,也是最灵活的划分方式。在该种方式下,可以定义一定的策略(所谓策略,就是一些限制条件),交换机对每个接口进行检查,凡是满足策略的接口都会添加到该组策略对应的VLAN中。这种VLAN的定义方式十分灵活,但效率不是很高,因为交换机需要检查每个接口,判断该接口是否满足配置的策略,对策略的匹配是一项很耗时的工作。在上面的介绍中,可以看出,所有创建的VLAN都是集中在一个交换机上的,但实际中往往有这样的情况,就是一个物理的VLAN,可能跨越了多个交换机。在一个交换机的情况下,一个VLAN端口接收到的数据可以根据交换机内部的一张VLAN和端口对应表来确定该VLAN所有的端口,因而一个VLAN的数据在同一个交换机上不可能被错误转发到另外一个VLAN当中。但是跨越交换机的时候就不是这样了,假设有两个VLAN和两个交换机,分别记做VLANA和VLANB,SWITCHA和SWITCHB,其中VLANA和VLANB分别跨越了两个交换机,即SWITCHA和SWITCHB上既有VLANA的端口,也有VLANB的端口。在这种情况下,假如SWITCHA上VLANA的一个端口接收到了一个广播数据帧,SWITCHA除了往自己上面所有属于VLANA的端口广播该数据帧以外,还必须通过SWITCHA和SWITCHB之间的一条链路来传播该广播数据帧。如果SWITCHB接收到了该广播数据帧,SWITCHB就不知道把该数据帧发往哪个VLAN的端口,因为该广播数据帧中不包含任何VLAN有关信息。在这种情况下,可以在发给另外一个交换机的数据帧上附加VLAN信息来区分数据帧所属的VLAN,这便是802.1Q(简称1Q)帧格式。传统的以太网数据帧格式是不包含VLAN信息的,无法用这种传统的以太网数据帧来传送VLAN信息,我们要想让跨越交换机的VLAN能正常工作,必须重新提出一种帧格式,该帧格式与传统以太网帧格式不同的是,包含了VLAN信息。1Q帧格式的结构如图3-5所示:图3-5IEEE802.1Q帧格式结构这四个字节的802.1Q标签头包含了2个字节的标签协议标识(TPID)和2个字节的标签控制信息(TCI)。TPID(TagProtocolIdentifier)是IEEE定义的新的类型,表明这是一个加了802.1Q标签的帧。TPID包含了一个固定的值0x8100。TCI是包含的是帧的控制信息,它包含了下面的一些元素:Priority:这3位指明帧的优先级。一共有8种优先级,0-7。IEEE802.1Q标准使用这三位信息。CanonicalFormatIndicator(CFI):CFI值为0说明是规范格式,1为非规范格式。它被用在令牌环/源路由FDDI介质访问方法中来指示封装帧中所带地址的比特次序信息。VLANIdentified(VLANID):这是一个12位的域,指明VLAN的ID,一共4096个,每个支持802.1Q协议的交换机发送出来的数据包都会包含这个域,以指明自己属于哪一个VLAN。在一个交换网络环境中,以太网的帧有两种格式:有些帧是没有加上这四个字节标志的,称为未标记的帧(untaggedframe),有些帧加上了这四个字节的标志,称为带有标记的帧(taggedframe)。当引入这种带VLAN标记的数据帧以后,交换机的端口就有了类别了:有些端口能够且仅仅能够识别这种带VLAN标记的数据帧,我们把这种端口称为TAG端口(标记端口),有的端口不能识别这种带标记的数据帧,我们称为非TAG端口,还有一些端口,不仅能识别带标记的数据帧,而且能识别不带标记的数据帧,这样的端口我们称为混合端口。连接两个交换机的端口一般是TAG端口或混合端口。我们把交换机的端口划分为TAG端口,非TAG端口和混合端口,交换机在不同端口类型中转发数据帧的时候,是这样处理的:1.非TAG端口和非TAG端口之间:在这种方式下转发方式最简单,交换机只根据内部的CAM表找到数据帧的出口,把该数据帧复制到出口的缓冲队列中即可;2.非TAG端口和TAG端口之间:该方式下,交换机首先判断接收到数据帧的端口所属的VLAN号,然后根据该VLAN号和物理链路类型,以及数据帧的优先级等形成一个1Q标记,把该标记插到接收到的数据帧的类型/长度字段前面,然后提交给TAG端口即可;3.TAG端口和TAG端口之间:该情况跟非TAG端口和非TAG端口之间的转发类似,交换机只把数据帧无改变的向另外一个TAG端口转发即可;4.非TAG端口和混合端口之间:该情况跟非TAG端口和TAG端口之间的转发过程类似;5.混合端口和TAG端口之间:该情况最为复杂,分两种情况讨论:如果接收的数据帧本身是个标记帧,则仅仅把该标记帧向TAG端口复制即可;如果接收到的数据帧不是标记帧,而是一般的以太网数据帧,这时候,需要给该数据帧打上一个VLAN标记再向TAG链路转发。交换机是这样确定这个VLAN标记的,混合端口有一个默认的VLAN,如果接收到的数据帧不包含TAG,则交换机根据该端口的默认VLAN形成一个标记,并插入到数据帧里面发送出去。所以,在配置混合端口的时候,一般情况下指定一个默认VLAN,如果不指定,系统可能会自己指定一个VLAN,一般是VLAN1。3.3VLAN在交换机上的配置VLAN在交换机上是这样配置的:首先,也是最基本的一步,就是在交换机上创建VLAN。默认情况下,交换机上只存在一个VLAN,即VLAN1,所有端口都属于该VLAN。创建VLAN的时候,需要给出该VLAN对应的VLAN号,根据1Q帧格式,VLAN号是有一定范围的,最大范围是2到4095,但有些厂家的特殊实现可能耗费掉了一些VLAN,故实际使用的VLAN可能还要少。其次,就是把交换机的端口加入VLAN。创建VLAN之后,该VLAN不包含任何成员,只有通过某种方式把端口加入VLAN当中,VLAN才包含了成员。这项工作可以通过许多种途径实现,比如,我们上面讲到的基于端口的静态VLAN和基于MAC地址的VLAN等。我们以基于端口的静态VLAN为例,只需要把某个端口指定为所属的VLAN即可。如果VLAN跨越了交换机,必须配置交换机之间的连接,使之能传送特定VLAN的数据。默认情况下,交换机的端口都是非TAG的,我们可以改变这种默认类型(通过配置命令),一般情况下,我们把连接两个交换机的端口配置为TAG端口,而其他连接终端或HUB的端口配置为非TAG端口。完成这些配置后,交换机就可以按照需要的方式工作了。3.4网络安全3.4.1网络安全的定义从狭义的保护角度来看,计算机网络安全是指计算机及其网络系统资源和信息资源不受自然和人为有害因素的威胁和危害,从广义来说,凡是涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是计算机网络安全的研究领域。3.4.2计算机网络安全的重要性1.网络已成为敌对势力、不法分子新的攻击目标。2.存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损失。3.计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间、核辐射环境,……,这些环境都比机房恶劣,出错率和故障的增多必将导致可靠性和安全性的降低。4.随着计算机系统的广泛应用,操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。5.计算机网络安全问题涉及许多学科领域,是一个非常复杂的综合问题,随着系统应用环境的变化而不断变化。6.从认识论的高度看,人们往往首先关注对系统的需要、功能,然后才被动地从现象注意系统应用的安全问题。3.4.3网络安全权限的两种策略1.凡是没有明确表示允许的就要被禁止;2.凡是没有明确表示禁止的就要被允许。网络安全中主要采用第一种逻辑,它赋予用户最小权限,以方便管理。3.4.4防火墙的类型和结构从实现原理上分,防火墙的技术包括3大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关,它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。1.包过滤防火墙数据报的过滤方法一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包。其次,通过定义基于TCP或UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet、FTP连接。2.应用级网关应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,能够对数据包分析并形成相关的报告。应用网关对某些易于登录和控制所有输出输入的通信的环境给予严格的控制,以防有价值的程序和数据被窃取。通过网关的数据应是具有访问权限的用户发起的连接,对其他连接将拒绝转发。3.线路级(代理)防火墙电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。代理服务器是设置在Internet防火墙网关的专用应用级程序。这种代理服务准许网管员允许或拒绝特定的应用程序或一个应用的特定功能。包过滤技术和应用网关是通过特定的逻辑判断来决定是否允许特定的数据包通过,一旦判断条件满足,防火墙内部网络的结构和运行状态便“暴露”在外来用户面前,因此引入了代理服务的概念,即防火墙内外计算机系统应用层的“链接”,由两个终止于代理服务的“链接”来实现,这就成功地实现了防火墙内外计算机系统的隔离。4组网方案4.1组网设计现有一栋14层的写字楼,每层24到40个房间,其中若干楼层已经出租给一些公司,还有两层有特殊用途(具体情况下文会详细论述),根据这种情况来设计整栋楼的组网方案,首先我们需要以下设备:1.S6506路由交换机如图4-1所示:图4-1S6506外观这种交换机定位为中型网络LAN骨干路由交换机、大型网络的汇聚层交换机、高密度LAN的用户接入交换机。它共有7个槽位,其中6个通用I/O槽,最大支持48GE或288FE。可以根据实际情况合理配备GE和FE的数量。该设备的特性较多,强大的二层特性:提供STP/RSTP,VLAN和VLANTrunk,支持802.1p、802.1q、802.1x,802.3ad端口捆绑,端口锁定及端口镜像,端口自动协商;能够抑制广播风暴。丰富的三层特性:支持IP、TCP、UDP、ICMP,OSPF、IS-IS、RIP1/2、BGP4,IGMPV1\V2,PIM-SM\DM组播协议,HGMP集群管理,静态路由,用户分级管理和口令保护,本地认证、Radius认证和扩展802.1x认证,路由协议的MD5加密认证,灵活的本地、远程诊断方式。还能够提供L2/3/4流规则过滤的安全保障。独有的资源智能调度技术克服了已有技术中槽位上行带宽分配不够灵活的缺点,可以在交换机上动态分配上行带宽:在为大流量的业务板提供无阻塞的业务的同时将上行带宽分配到更多的槽位上面,满足小业务流量槽位的要求。S6506主要业务单板如图4-2,图4-3,图4-4所示:图4-2S6506路由交换机的48端口百兆电口业务板图4-3S6506路由交换机的24端口百兆光口(单模)业务板图4-4S6506路由交换机的8端口千兆以太网电口业务板2.S3050交换机图4-5S3050前视图图4-6S3050后视图这两幅图为S3050的前视和后视图,如图4-5所示,设备的正面为48个固定的10/100Base-TX以太网端口;如图4-6所示,设备的背面为2个扩展模块插槽(能提供1000M)。该交换机还有可选模块(支持一个堆叠模块):1端口百兆以太网多模光接口模块(1310nm,2km,SC);1端口百兆以太网单模光接口模块(1310nm,15km,SC);1端口千兆以太网电接口模块(RJ45);1端口千兆以太网多模光接口模块(850nm,550m,SC);1端口千兆以太网单模光接口模块(1310nm,10km,SC);1端口千兆以太网单模光接口模块(1550nm,40km,LC);1端口千兆以太网单模光接口模块(1550nm,70km,LC);1端口LANSWITCH堆叠模块。从上面的设备说明可以看出,该交换机可以同时具备光口和电口,也就是说可以同时用光纤和电缆连接。3.S3026交换机图4-7S3026前视图图4-8S3026后视图如图4-7所示:正面24个固定的10/100Base-TX以太网端口;如图4-8所示:背面2个扩展模块插槽(100M/1000M);可选模块:1端口LANSWITCH百兆透传板;1端口LANSWITCH百兆电口板(100m,RJ45);1端口百兆以太网多模光接口模块(1310nm,2km,SC);1端口百兆以太网单模光接口模块(1310nm,15km,SC);1端口千兆以太网电接口模块(RJ45);1端口千兆以太网多模光接口模块(850nm,550m,SC);1端口千兆以太网单模光接口模块(1310nm,10km,SC);1端口千兆以太网单模光接口模块(1550nm,40km,LC);1端口千兆以太网单模光接口模块(1550nm,70km,LC);1端口LANSWITCH堆叠模块。从上面的设备说明可以看出,该交换机可以同时具备光口和电口,也就是说可以同时用光纤和电缆连接。S3050和S3026均属于S3000系列交换机,他们有着共同的特点:支持通过XModem协议实现加载升级、FTP(FileTransferProtocol)、TFTP(TrivialFileTransferProtocol),广播风暴抑制,组播技术,端口汇聚,支持用户分级管理(4级)和口令保护、802.1X认证(基于端口、基于MAC)。4.Eudemon200图4-9Eudemon200外观Eudemon系列防火墙定位于中等规模网络,该系列采用专门设计的硬件系统,整个硬件系统采用了高可靠的设计架构,这与业界许多防火墙为了降低成本,采用廉价的计算机作为硬件相比,可靠性和处理能力有天壤之别。Eudemon200外观如图4-9所示。Eudemon系列防火墙采用了具有自主知识产权的专有操作系统,在处理体系上,报文处理与操作系统没有直接关联,因此具有很高的安全性。系统设计时就考虑了各种可能攻击情况,并作了相应的优先级调度和流控等手段,有效的保证了可靠性;此外设计过程中针对防火墙的特点,采用了高速处理算法,例如ACL高速算法,可以保证无论多少条ACL,经过数次查找就可以命中。这有效保证了系统性能。5.服务器的配置要求:服务器名称:正睿产品型号:1241739S处理器:Xeon5310四核处理器可增强至八核内存:1GFB-DIMMDDR2ECC硬盘:SATAII250G该服务器做为网管服务器,连在核心交换机或路由器上,用于对整个网络的管理,可实现网络环境监控,远程登陆,ftp服务器,本地radius计费等功能。根据上述楼宇的实际条件和设备的特点,可设计出组网图如图4-10所示。从这个组网可以看出,每层楼各一台交换机,整个网络以7层的S6506为核心交换机,其它各层的交换机都用光纤与其相连,而其它交换机之间的连接用电缆。从图上可以看到,S650图4-10智能写字楼组网拓扑图6到14层的S3050没有直接用光缆相连,而是光纤先连到了10层的S3050上,然后10层再级联14层,这样的好处是节省光缆,进而节省成本。而且,14层是顶层,这里是健身运动的场所,对网络带宽的要求不高,所以用电缆是最佳也是最实惠的选择。一层主要是公共大厅,没有公司租用,所以对网络性能的要求不高,进而S6506到1层的S3050也是光缆电缆交替来用。S6506和S3050可以提供48个以上的固定电口,S3026拥有24个固定百兆电口,所以能够满足每层24个房间的基本需求,余下的端口可以为以后的扩容打基础。而且我们在综合布线的时候,已经为每个房间留出了网络接入线路,一旦每个房间的用户增多的话,接入个集线器即可。每个楼层为一个公司,所以每个楼层划到一个VLAN里,IP地址掩码24位,地址容量大,便于以后新的PC机的接入。当然,每个楼层不是必须要划到一个VLAN里的,这要根据实际情况,如果该层有两个公司的话,可以划分两个VLAN,每个公司一个,确保各自信息的保密和安全。这个写字楼8层有三个公司,网络接入用户较多,所以本层的设计采用了S3050级联三个S3026,当然也可以选择级联S3050,只不过S3050的成本比较高,用S3026节省成本。在图中没有标出的楼层是暂时没有用户的楼层,所以暂不标出,但是在我们的图中,由于交换机的端口很富余,所以即使有新加入的用户,也足够分配端口资源的。我们还要加入一个服务器,用于内部网络管理,如telnet网络中的每台设备,做内部ftp,email,web服务器,本地radius认证计费等等。本设计方案中,Internet与内网之间已经预留出硬件防火墙的位置了,这是出于对网络安全更高要求的考虑。我们在划分VLAN的时候,考虑到的是二层通信的隔离,而服务器对每台设备也就是每个楼层的管理靠的是三层的路由,各个公司如果想临时通信的话,可以临时在对应的VLAN之间建立三层路由来保证通信的畅通。6.下面对网络中的各种设备做如下配置:S6506具体配置如下:vlan7descriptionManagervlan1description1-3050vlan3description3-3050vlan4description4-3050vlan5description5-3050vlan6description6-3050vlan8description8-3050vlan81description8-3026-1vlan82description8-3026-2vlan83description8-3026-3vlan9description9-3050vlan10description10-3050vlan11description11-3050vlan14description14-3050interfaceVlan-interface7descriptionManageripaddressinterfaceVlan-interface1description1-3050ipaddressinterfaceVlan-interface3description3-3050ipaddressinterfaceVlan-interface4description4-3050ipaddressinterfaceVlan-interface5description5-3050ipaddressinterfaceVlan-interface6description6-3050ipaddressinterfaceVlan-interface8description8-3050ipaddressinterfaceVlan-interface81description8-3026-1ipaddressinterfaceVlan-interface82description8-3026-2ipaddressinterfaceVlan-interface83description8-3026-3ipaddressinterfaceVlan-interface9description9-3050ipaddressinterfaceVlan-interface10description10-3050ipaddressinterfaceVlan-interface14description14-3050ipaddress这部分配置操作主要是让核心交换机实现其管理功能的,从网络拓扑图上可以看出,S6506在中心节点上,各个楼层的业务VLAN都要经过它,所以核心交换机的配置做好了,有利于业务的畅通,更有利于今后网络结构的扩展。这也就实现了智能楼宇的信息快捷和网络的可扩展的特性。在端口下应用普通防毒控制列表:aclnumber3001rule0denyudpdestination-porteqtftprule1denytcpdestination-porteq135rule2denyudpdestination-porteq135rule3denytcpdestination-porteq139rule4denyudpdestination-porteqnetbios-ssnrule5denytcpdestination-porteq445rule6denyudpdestination-porteq445rule7denytcpdestination-porteq593rule8denyudpdestination-porteq593rule9denytcpdestination-porteq4444rule10denyudpdestination-porteq1434rule11denyudpdestination-porteq9995rule12denyudpdestination-porteq9996rule13permiticmprule14permitipinterfaceEthernet2/0/1qospacket-filterinboundip-group3001rule0system-index1packet-filterinboundip-group3001rule1system-index2packet-filterinboundip-group3001rule2system-index3packet-filterinboundip-group3001rule3system-index4packet-filterinboundip-group3001rule4system-index5packet-filterinboundip-group3001rule5system-index6packet-filterinboundip-group3001rule6system-index7packet-filterinboundip-group3001rule7system-index8packet-filterinboundip-group3001rule8system-index9packet-filterinboundip-group3001rule9system-index10packet-filterinboundip-group3001rule10system-index11packet-filterinboundip-group3001rule11system-index12packet-filterinboundip-group3001rule12system-index13packet-filterinboundip-group3001rule13system-index14packet-filterinboundip-group3001rule14system-index15这段配置是在核心交换机上应用软件防火墙,方法是将病毒经常攻击的端口禁掉,这样能够保证用户在上互联网时的安全,从这里可以看出智能楼宇在网络安全方面是采取了措施的,从而能够有效的保护用户。配置各楼交换机互联端口:interfaceEthernetXXdescription8-3050portlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlanX主要是为了实现1层和4层,10层和14层之间交换机的级联。配置楼层交换机:管理VLAN配置vlan7intvlan7desManageipaddress根据规划要求划分业务VLAN配置Vlan1description1-3050port配置上行口interfaceEthernetXXportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlanX路由配置iprout保存配置4.2设计总结与展望这套智能楼宇局域网组网方案设计配置成功并且稳定运行之后,能够对一栋楼内各个不同房间实现通信的二层隔离,使得同一系统内的用户可以相互通信,而不是同一系统内的用户不能实现各种高质量、高稳定性的通信业务,使信息的传递在该局域网的各个系统内更加稳定。然而这种隔离只是二层的隔离,建立三层路由能够实现各个VLAN系统的通信,从而实现整个楼宇的数据通信,进而实现共享服务办公自动化。另外,这套方案也为智能楼宇能够实现诸如安全监控等多种功能提供了一个底层的网络平台。这套智能楼宇组网方案能够适时的进行业务扩容,也就是说一旦每层的用户增加了,可以采用交换机堆叠或级联等方式来满足用户的需求。而且,这套方案能够随着用户对网络需求的不断提高及时的进行升级,这种升级包括硬件和软件的升级,硬件方面直接更换主控板或业务单板即可,不需要更换设备,以上设备的业务单板都是可拔插的,所以更换起来十分方便,软件方面就是要对更换好的主控板或业务单板进行数据配置,保证其实现相应的功能。ganemploymenttribunalclaimEmploymenttribunalssortoutdisagreementsbetweenemployersandemployees.Youmayneedtomakeaclaimtoanemploymenttribunalif:youdon'tagreewiththedisciplinaryactionyouremployerhastakenagainstyouyouremployerdismissesyouandyouthinkthatyouhavebeendismissedunfairly.Formoreinformationaboutdismissalan

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论