基于ipv6的校园网构建与分析答辩演示稿---部分技术.ppt

1、,基于IPV6的校园网建设与设计,计算机网络技术1001班,选题的目的 开发以IPv6为核心分析与构建校园网络。,选题的意义 随着网络的快速发展，网络的普及也越来越大，计算机、IP电话等在现实生活中各个行业的使用，使得我们需要用大量的IP地址，IPv4正在日益枯竭，互联网需要更多的IP地址。IPv4使用的是32位地址，只能支持互联网上大约43亿个拥有单独地址的设备。而IPv6使用的是128位地址，能够支持互联网上接入更多的设备。为了从根本上解决IP地址空间不足的问题，IPv6便应运而生。,要完成的任务 随着校园网规模的扩大，业务负载的不断增加，保持网络高利用率，防止关键业务受到拥塞影响以及各种

2、网络应用和资源的管理安全性变得越来越重要。因此，在校园网的进一步建设中应该充分考虑如何更好的利用Pv6的技术。而要具体掌握IPv4到IPv6网络平稳过渡、评估和改进IPv6协议、进行大规模IPv6网络应用，就必须首先要建立IPv6实验网，在实验网上获得足够的经验，然后才能进行推广。本课题主要工作就是研究IPv6网络协议特性以及IPv4向IPv6的过渡技术，在没有IPv6硬件路由设备的条件下，设法通过设置软件路由来创建学校的IPv6实验平台，在实验平台上展开关于IPv6的基础实验以及部署实验。然后在实验基础上最终建立学校的IPv6局域网，能够对校内用户提供IPv6接入服务。,论文的基本框架,Ip

3、v4 ipv6,生成树协议 配置端口安全 链路聚合 访问控制列表 双栈技术,主要用到的技术,生成树协议,IEEE 802.1d STP（生成树协议，Spanning-Tree Protocol）协议: 使冗余端口置于“阻塞状态 网络中的计算机在通信时，只有一条链路生效。 当这个链路出现故障时，将处于“阻塞状态”的端口重新打开，从而确保网络连接稳定可靠。,SW1,SW2,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,SW3,工作过程：,第一步：选举一个根网桥； 第二步：在每个非根网桥上选举一个根端口； 第三步：在每个网段上选举一个指定端口； 第四步：阻塞非根、非指定端口。,交换机或

4、者网桥之间周期性地发送STP的桥接协议数据单元（Bridge Protocol Data Unit ，BPDU），用于实现STP的功能。 每2秒发送一次的二层报文 组播发送，组播地址为：01-80-C2-00-00-00,依据网桥ID选举根网桥，ID值最小者当选 根网桥每2s发送一次BPDU,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,SW1: 32768.00-d0-f8-00-11-11,Root Bridge,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,在非根交换机上选举根

5、端口 选举依据： 根路径成本最小 发送网桥ID最小 发送端口ID最小,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,根路径成本：19,根路径成本：38,Root Bridge,每个网段中选取一个指定端口 用于向根交换机发送流量和从根交换机接收流量 选举依据： 根路径成本最小 所在交换机的网桥ID最小 端口ID最小,SW1: 32768.00-d0-f8-00-11-11,SW2:

6、4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,根路径成本：0,所在交换机网桥ID最小,阻塞非根、非指定的端口，形成逻辑上无环路的拓扑结构,SW1: 32768.00-d0-f8-00-11-11,SW2: 4096.00-d0-f8-00-22-22,SW3: 32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,1、

7、利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。 2、以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。,主要功能：,作用：,1.广播风暴 2.同一帧的多份拷贝 3.不稳定的MAC地址表 因此，在交换网络中必须有一个机制来阻止回路，而生成树协议（Spanning Tree Protocol）的作用正是在于此。,端口安全是一种基于 MAC 地址的安全机制。这种机制通过检测数据帧中的源 MAC地址来控制非授权设备对网络的访问，通过检测数据帧中的目的 MAC 地址来控制对非授权设备的访问。,端口安全的特性：,1：NeedToKnow特性 2：入侵检测（In

8、trusionProtection）特征 3：Trap特性,1：NeedToKnow特性 2：入侵检测（IntrusionProtection）特征 3：Trap特性,从基本原理上讲，Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号，并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信，端口 安全特性会阻止它。,端口安全分为： 动态绑定 静态绑定,交换机重新启动后不会从MAC 表中丢失，动态学习到MAC地址交换机重新启动后会丢失将交换机重新启动验证静态绑定MAC 。 在动态绑定的时候我们发现，第一个接入交换机的MAC地址会被绑定动态绑定

9、到设备里；在静态绑定的时候我们发现有，第一个接入交换机的MAC地址不会被绑定动态绑定到设备里。,静态绑定和动态绑定的的不同点：,switchenable switch#config t switch(config)#interface FastEthernet0/1 switch(config)#switchport mode access switch(config)#switchport port-security switch(config)#switchport port-security mac-address sticky switch(config)#switchport por

10、t-security mac-address sticky 0001.c735.9EB9 switch(config)#interface FastEthernet0/2 switch(config)#switchport mode access switch(config)#switchport port-security switch(config)#switchport port-security mac-address sticky switch(config)#switchport port-security mac-address sticky 0090.2BBC.7DC7,链路聚

11、合技术亦称主干技术（Trunking）或捆绑技术（Bonding），其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路，称为一条聚合链路。交换机之间物理链路Link1、Link2和Link3组成一条聚合链路。该链路在逻辑上是一个整体，内部的组成和传输数据的细节对上层服务是透明的。如图4-6所示：,聚合内部的物理链路共同完成数据收发任务并相互备份。只要还存在能正常工作的成员，整个传输链路就不会失效。仍以上图的链路聚合为例，如果Link1和Link2先后故障，它们的数据任务会迅速转移到Link3上，因而两台交换机间的连接不会中断。如图4-7所示：,图4-6,图4-7,提高链路的可用性

12、 增加链路的容量,链路聚合的特点：,链路聚合的标准：,IEEEStandard802.3ad ：定义了链路聚合技术的目标、聚合子层内各模块的功能和操作的原则，以及链路聚合控制的内容等。 能提高链路可用性、线性增加带宽、分担负载、实现自动配置、快速收敛、保证传输质量、对上层用户透明、向下兼容等等。,链路聚合的协议：,链路聚合控制协议（LinkAggregationControlProtocol）是IEEE802.3ad标准的主要内容之一，定义了一种标准的聚合控制方式。,Switchen Switch#config t Switch#interface fastEthernet 0/14 Swit

13、ch#channel-group 2 mode active Switch#switchport trunk encapsulation dot1q Switch#switchport mode trunk Switch#interface fastEthernet 0/16 Switch#channel-group 2 mode active Switch#switchport trunk encapsulation dot1q Switch#switchport mode trunk,ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端

14、口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全。 ACL技术可以有效的在三层上控制网络用户对网络资源的访问，他可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。,标准IP访问控制列表 扩展IP访问控制列表 命名的IP访问控制列表 标准IPX访问控制列表 扩展IPX访问控制列表 命名的IPX访问控制列表,分类：,工

15、作原理：,它读取第三层及第四层数据包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对数据包进行的过滤，从而达到访问控制的目的。,作用：,访问控制列表可以用于防火墙； 访问控制列表可以用于Qos(Quality of Service)，对数据流量进行控制； 在DCC中，访问控制列表还可用来规定处罚拨号的条件； 访问控制列表还可以用于地址转换； 在配置路由策略时，还可以利用访问控制列表来作路由信息的过滤； 在配置策略路由时，可以利用访问控制列表来过滤特定的保温作特殊处理。,实际应用：,组织某个网段访问服务器； 阻止一号网段访问另外二个网段，但二号网段可以访问一号网段； 禁

16、止某些端口进入网络，可达到安全性。,Routen Rout#config t Rout#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 Rout#accdss-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 Rout#access-list 101 deny ip any any,双协议栈 ( Dual Stack) 采用该技术的节点上同时运行IPv4和IPv6两套协议栈。这是使IPv6节点保持与纯IPv4节点兼容最直接的方式

17、，针对的对象是通信端节点（包括主机、路由器）。这种方式对IPv4和IPv6提供了完全的兼容，但是对于IP地址耗尽的问题却没有任何帮助。由于需要双路由基础设施，这种方式反而增加了网络的复杂度。,工作方式：,接收数据包 发送数据包,应用服务：,基于双协议栈的域名服务域名系统 基于双协议栈的BBS服务,在过渡过程中, IPv6网段作为孤岛接入IPv4网络, 为实现IPv6网段之间以及IPv4、IPv6网段之间的互通, 必须综合各种过渡技术, 优化网络结构, 在保证网络安全可靠运行以及逐步过渡、节约投资的前提下, 设计过渡方案。根据以上基本原则以及网络运行状况, 对于校园网络的初期过渡方案 。 规划如下： ( 1) 跨IPv4网络的IPv6间通信采用随到技术实现; ( 2) 基于IPv4的服务器逐步升级为双协议栈节点服务器; ( 3) IPv4/IPv6客户端互通则可以采用NAT- PT技术实现; ( 4) 本地IPv6网段联出口路由器接入上级IPv6网络。,双协议栈 ( Dual Stack) 采用该技术的节点上同时运行IPv4和IPv6两套协议栈。这是使IPv6节点保持与纯