高分求校园网毕业设计
校园网设计方案
概 述
教育系统对数据敏感性要求较低,但是通常对带宽要求较高。校园网上可能会有多媒体教学、视频点播等多种宽带应用,并且最新的应用可能首先在校园网上出现,所以校园网适合建立以交换为中心的网络,通过高性能路由器与外界互连。
设计目标
1:信息资源共享。
2:学校管理系统的信息化、自动化。
3:建立计算机网络辅助教学系统
4;建学院网站,使之成为对外宣传的重要窗口,让世界了解我们,提高学院的知名度。
设计原则
1:系统性。
2:先进性、实用性
3:开放性、发展性。
4:安全性
5:易用性、可靠性
6:经济性
7:统一规划,分步实施
需求分析
整个系统应能容纳8000台计算机连网,铺设光缆大约2000多米,程接通信息点600个,建成网络实验室子网,其余子网由相关部门建设。
网络除具有WWW、远程登录(Telnet)、文件传输(FTP)、电子邮件(E-mail )、 News、 BBS等基本功能外,还要具备视频点播(VOD)、自动化办公、网上多媒体附助教学等功能。
进行校园网应用软件建设,实现网上计算机辅助教学,建立视频点播系统,建立教务、科研、人事、学生管理系统和网上查询系统,力争自主开发部分应用软件。
校园网络:要求接入办公楼,两教学楼共计600余个信息点,以LAN方式接入,网络中心设在办公楼三楼。拟提供下列服务:internet接入,VLAN,VOD,远程教育等。
机房#1:100;#2:40;#3:40;#4:40;#5:10;#6:100;#7:40;#8:100
技术教育中心:20网络中心:10
财经系:5政文系:10
理工系:5
继教系:20
教务处 :20学生处:20
图书馆:10 电子阅览室 40
校长室:10 财务处:10
技术选择
在局域网建设中,比较流行的技术有快速以太网(100BASE-T)光纤分布数据接口(FDDI)、千兆位以太网(1000BASE-T)和异步传输模式(ATM)。
1、FDDI是一种使用光纤作为传输媒体的高速令牌环网,具有100Mbit/s的 传输速率,在九十年代初期 建设的校园中使用较多,目前有逐步被取代的趋势。兄弟院校前期采用FDDI技术建设的校园网,现已被改造或面临改造,所以我们不考虑该技术。
2、ATM技术吸收了传统网络技术的优点,以光缆作为传输介质,具有高速度Mbit/s到几十Gbit/s的传输速率。可伸缩性、实时性的特点,适合多媒体传输和作为广域网,局域网主干网络技术,被认为是下一代网络主要的关键性的技术。但作为一种新的,先进的技术,它还并不很成熟,国际上尚无统一的标准,目前多用于电信、金融业网络,且ATM造价约为传统快速以太网的三倍,十分昂贵。
3、快速以太网与千兆 位以太网技术(100BASE-T与1000BASE-T)。
在局域网方面,以太网技术经历了信息传输速率从10Mbit/s、100Mbit/s到1000Mbit/s的发展过程。100BASE-T是在传统10Mbit/s以太网基础上发展起来的,它采用双绞线或光缆作为传输介质,传输速率为100Mbit/s,支持全双工(可同时接收和发送数据)数据传输,技术成熟,硬件产品丰富。千兆位以太网技术是10BASE-T和100BASE-T标准的扩展,以光缆作为传输介质,支持全双工和半双工模式,具有良好的第三层交换能力,提供1000Mbit/s的带宽,基于光缆的千兆位以太网国际标准已经公布,由于其具有良好的兼容性和较高的可靠性,信息传送效率高,易于管理,建设成本不高等特性,最近几年来发展迅猛。
千兆位以太网是对传统以太网和快速以太网的扩展,提供1000Mbit/s的带宽,支持以太网通信原则,支持冲突检测载波监听多路访问(CSMA/CD),是一个共享网络。由于其拥有良好的应用基础,受到传统网络设备厂商和用户的支持,可方便地构建桌面(10M)工作组(100M)和数据中心(1000M)三个层次,满足不同需求,具有很高的性能价格比。其明显的不足是:1、作为一个共享介质的网络,当网络负载较重时,使用效率明显降低。这一点可依靠交换技术来弥补。2、千兆位以太网是一种传输可变长帧的分组交换技术,不能保证实时分组并优先处理,所以在 传输多媒体信息及视频信息时,不如ATM技术。
经综合各方面的因素考虑,我院校园网建设拟采用千兆位以太网技术。在实际构筑中采用三层结构。最下层到桌面为10Mb/s以太网,部分可达到100Mb/s;第二层为楼内各楼层到二级交换机,由100Mb/s的交换式快速以太网构成;各楼到网络中心(即主干)为以光缆为介质的千兆位以太网。一级交换设备具有ATM端口,二级交换设备支持ATM端口模块,可以方便的向ATM网过度。校园网建设采用分级交换千兆位以太网技术,支持虚拟网络,可向ATM平滑过渡。我校现有楼群分布较为集中,校园网一期工程重点建设现有主校区,同时为新校区预留足够的扩充余地。
网络拓扑结构
建议采用星型拓扑结构,网络中心与各楼间用光缆连接。网络中心配置一台或二台高性能企业级中心交换机,四至六台服务器分别实现域名解析、WWW、电子邮件、FTP、数据库服务及防火墙功能,并可互为备份,三至四台网管工作站,一台UPS,以一台高性能路由器跨接广域网。0M光纤接入。网络中心设两个24口MODEM池,支持家属区、学生宿舍、外出用户电话拔号上网。行政楼和每个教学楼各放置一台二级交换机。设有子网的地方,交换机具有路由功能,这样可减少主干线通信量。楼内各层集线器与二级交换机以双绞线相连。从集线器到桌面以双绞线相连,另外,在新教学楼设立网络实验室(子网) ,为学生提供上网实习和软件开发的环境。
综合布线系统方案:
主干线光缆为6芯多模光缆,连接各建筑和子网,光缆以地埋为主,部分架空。二级、三级支线为非屏蔽超五类双绞线(UTP)。光缆和双绞线均采用国际著名厂商的高质量产品,质保期不少于二十年。整个布线系统符合IEEE8023千兆位以太网标准。
网络设备方案
1:交换机:网络核心交换机选用3COM、IBM、CISCO等大公司的企业级交换机。应具有模块化高速背板连接结构并留有足够的扩展插槽,易于进行网络结构的扩展和未来技术的升级,支持多种协议和标准,可满足不断增长的网络需求,特别是要有极高的可靠性。二级交换采用的交换机适用于高速骨干网,具有1000BASE多模块光纤接口,模块化设计,性能稳定,有良好的可管理性。
2:集线器:端口为10/100Mbps双速端口,具有自动侦测功能,有较强的容错能力,支持TCI/IP协议和网络管理,可堆叠,性能稳定,有足够的冗余端口。
3:网卡:具有10/100Mbps自适应双速端口,应有较高的可靠性和广泛的软件兼容性,可提供并行处理能力,支持PCI、ASP、MAC、等各种总线和网络管理。
4:服务器和工作站:服务器可在SUN、HP或DELL系列中选择,也可根据不同需求和资金状况选择部分国产名牌产品。工作站选用前述厂家的中、高档产品。
5:路由器选用CISCO 产品。
软件建设方案
1、操作系统。网络操作系统软件选用Windows2000、LINUX、NETWARE系统。
2、网络管理系统可采用HP OpenView进行整个系统的管理。
3、数据库系统软件要求数据库软件能与WEB服务器做到良好的集成,支持多媒体,支持多种平台,支持多种网络协议,具有良好的安全性、扩展性;系统运行稳定,有良好的容错能力。
4、防火墙选用Check Point Software Tehnologies 公司的FireWall-1网络产品。
5、应用软件:在目前我校暂不具备自主开发能力的情况下,为提高网络的利用率,宜选用国产校园网管理信息系统,多媒体课件制作系统和VOD视频点播系统。
路由协议
路由器用在网络层转发数据包。它可以有效地隔离广播风暴并可以进行协议过渡。路由器可以用于主干连接,也可用于校园网络和地区网络中心的广域连接。选择路由器时应注意它支持的网络接口(如FDDI、UTP、BNC、AUI等),以及端口数目和支持的协议类型。此外,某些路由器还提供了很好的协议控制、流量统计、带宽分配等功能。 路由器的配置可以从控制口通过终端方式进人。配置路由器前的主要工作是地址的划分。 路由器都支持SNMP协议,因此可以用网络管理软件管理,如IBM的Netview、HP的Openiew。 Ip地址规划 计算机的数量超过了254台,虽然采用多个C类网可以解决问题,但是网络之间需要路由,因此不建议采用,建议采用1个B类网保留IP地址段。
vlan 设计
根据校园网的实际需求,属于同一部门的工作人员可能在不同的建筑物中,但需要在一个逻辑子网内。网络站点的增减,人员的变动,无论从网络管理,还是用户的角度来讲,都需要虚拟网技术的支持。因此在网络主干中要支持三层交换及VLAN划分。在整个网络中使用虚拟网技术,以提高网络的安全性和灵活性。
系统安全性
网络的安全性是评价校园网的重要指标之一,对于校园网这样的大型园区网,网络的安全问题就越发重要。
本地主机系统的安全考虑:
计算机病毒是伴随着计算机而产生的,它同时随着计算机技术的发展而发展,在网络环境中,计算机病毒更易于传播,其对系统的危害也是明显的,在校园网工程中建议采用网络与单机相结合的方式来避免计算机病毒的危害。
内部网安全控制:
通过VLAN的划分,利用中心交换机上高性能路由模块的管理和控制,可以控制内部各VLAN间的访问。
外联网的安全控制:
网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网与外部网络(如因特网)之间或是内部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。
拨号访问的安全设计:
对于从外部拨号访问中心内部局域网的用户,由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性,主要措施如下:
通过在拨号访问服务器后设置防火墙来实现网络的安全性,以严格限制拨号上网用户所访问的系统信息和资源。
使用专用身份验证服务器,以加强对拨号用户的身份认证。
在数据传输过程中采用加密技术,防止数据被非法窃取。
数据的安全:
网络系统应能通过身份验证实现信息的鉴别,通过存取控制达到对信息的控制,通过数字签名或数据压缩等算法保证数据在传送过程中保持完整、保证信息的机密。在实现时重点考虑信息系统整体的安全控制策略和重要设备的安全控制。
网络管理系统:
要求校园网的网络管理软件应提供流量、错误、广播、利用率等性能分析的图表,要有支持基于WEB的网管并支持扩充性设计
根据信息点的需求情况,在网络的整体设计中要充分考虑到网络的扩展性。这包括:整个网络结构的扩展性和网络设备的扩展性。
摘要
第一章
概论
1
11
架设web网站的意义
12
web服务器的工作原理
13企业背景介绍
第二章
linux
系统的安装
21
red
hat
linux简介
22
red
hat
linux
网络功能
23
red
hat
linux
的安装和配置
第三章
web服务器的建立
31
apache的体系结构及性能
32配置并启动apache
8
321配置文件httpdconf
322设置虚拟主机
323配置dns
第四章
管理和维护web站点
41
远程管理web服务器
42
系统安全防护
总结
致谢
参考文献
计算机局域网组建与互连毕业设计论文
目 录
11计算机网络
12局域网简介
21常用网络设备
22服务器
23设备选型
31校园网的建设规划
32网络操作系统
33Internet接入技术
34防火墙
35建网方案
4总 结
[原文]
前言
当今世界,各种先进的科学技术飞速发展,给人们的生活带来了深远的影响,它极大的改善我们的生活方式。在以计算机技术为代表的信息科技的发展更是日新月异,从各个方面影响和改变着我们的生活,而其中的计算机网络技术的发展更为迅速,已经渗透到了我们生活的各个方面,人们已经离不开计算机网络,并且随着因特网的迅速普及,给我们的学习与生活条件带来更大的方便,我们与外部世界的联系将更加的紧密和快速。
随着人们对于信息资源共享以及信息交流的迫切需求,促使网络技术的产生和快速发展,计算机网络的产生和使用为人类信息文明的发展带来了革命性的变化。自1995年中国教育教研网(CERNET)建成后,校园网的建设已经进入到一个蓬勃发展的阶段。校园网的建成和使用,对于提高教学和科研的质量、改善教学和科研条件、加快学校的信息化进程,开展多媒体教学与研究以及使教学多出人才、科研多出成果有着十分重要而深远的意义。其主要包括各种局域网的技术思想、网络设计方案、网络拓扑结构、布线系统、Intranet/Internet的应用、网络安全,网络系统的维护等内容。通过本毕业设计课题的论述,希望使读者能够了解校园网的建设过程以及所涉及到的各种网络技术,并能对今后大家在学习网络技术知识或是进行校园网的工程建设中有所借鉴。
11 计算机网络
计算机网络是指通过传输媒休连接的多部计算机组成的系统,使登录其上的所有用户能够共享软硬件资源。计算机网络如按网络的组建规模和延伸范围来划分的话,可分为局域网(Local Area Network,LAN)
[参考资料]
主要参考文献:
[1]刘小辉主编:《网络硬件完全手册》,重庆大学出版社,2002年5月
[2]张公忠主编:《现代网络技术教程》,电子工业出版社,2000年1月
[3]谭珂、全惠民编著:《局域网组建与管理实手册》,中国青年出版社,2003年2月
[4]刘正勇编著:《校园网系统集成技术与应用》,清华大学出版社,2002年6月
[5]戴雄 编著:《计算机网络》,中华人事出版社,2001年1月。
[6]徐锋、杨锦川 编著:《攻克网络》,重庆出版社,2000年11月
另外,虚机团上产品团购,超级便宜
局域网络拓扑结构设计
了解STP/RSTP/MSTP设计原则
了解VLAN设计原则
理解如何进行VRRP/DHCP相关设计
了解设备堆叠,链路聚合,IRF等技术的设计方法
学习完本课程,您应该能够:
课程内容
局域网络拓扑结构设计
STP/RSTP/MSTP规划设计原则
VLAN规划设计原则
VRRP/DHCP的灵活使用
堆叠,聚合,IRF规划设计
局域网络拓扑结构设计
接入层
汇聚层
核心层
高速数据交换
路由汇聚及流量收敛
工作组接入和访问控制
网络设计分三层:核心层,汇聚层,接入层
局域网络的拓扑选择
常见的局域网络拓扑结构
网状或部分网状,环型拓扑,星型拓扑
环型
(部分)网状
星型
局域网络的拓扑选择(续)
局域网络拓扑结构的灵活组合
双星型拓扑结构
核心网状结构/边缘星型接入
课程内容
局域网络拓扑结构设计
VLAN规划设计原则
VRRP/DHCP的灵活使用
堆叠,聚合,IRF规划设计
STP/RSTP/MSTP规划设计原则
RSTP/STP规划设计原则
配置核心的设备为STP/RSTP的根桥,并指定另一核心的设备为备份根桥
全网的设备使用相同Path Cost标准(8021D,8021T,legacy)
RSTP以其快速收敛的特性以及与STP良好的兼容性完全取代了STP对于支持RSTP的设备,一般情况下我们不考虑运行STP
RSTP/STP规划设计原则(续)
对于支持RSTP的设备和仅支持STP的设备混用时,RSTP的设备尽量配置在网络的中心,而STP的设备尽量配置在网络的边缘
对于直接连接主机或服务器的数据终端设备的交换机端口应配置为边缘端口,并使能BPDU-Protection
Trunk链路应包括所有配置的VLAN(GVRP)
RSTP/STP规划设计原则(续)
端口配置为边缘端口
启动BPDU-Protection
端口配置STP Disable
这两种方式有何不同
MSTP规划设计原则
多生成树一定要运行在一个域内
域和域之间的生成树为单生成树,不能实现负载均担
同一域内的交换机的域名,VLAN和STP实例的对应关系一定要保持一致
不支持MSTP的交换机一定要放在域外
域内不同生成树的树根设置要与相应业务流量重心保持一致
课程内容
局域网络拓扑结构设计
VRRP/DHCP的灵活使用
堆叠,聚合,IRF规划设计
VLAN规划设计原则
STP/RSTP/MSTP规划设计原则
VLAN ID的规划原则
VLAN 1一般予以保留,不分配给业务VLAN使用
VLAN ID的预分配应成段分配
如果VLAN ID足够用,尽量分配1024以下的VLAN ID
为每一个VLAN规划VLAN描述符描述符的配置规范化
VLAN的技术划分原则
基于端口的VLAN划分
基于协议的VLAN划分
基于IP子网的VLAN划分
基于MAC地址划分
基于组和策略划分
VLAN的管理划分原则
基于业务需求VLAN划分
基于地域管理VLAN划分
基于安全要求VLAN划分
VLAN规划的限制
VLAN总数不超过4096
解决方式:QinQ,Isolate-user-VLAN,No VLAN
每个VLAN的主机数建议不超过64个
解决方式:划分多个VLAN
VLAN划分越多,就会占用更多地IP地址
解决方式:Super-VLAN,VLAN per Port
课程内容
局域网络拓扑结构设计
VLAN规划设计原则
堆叠,聚合,IRF规划设计
STP/RSTP/MSTP规划设计原则
VRRP/DHCP的相关设计
VRRP相关的设计考虑
虚拟网关的可探测性
VRRP PING enable
VRRP的负载分担
不同的VRRP组设置不同的Master
VRRP的稳定性设计
抢占方式及延时设置
VRRP相关的设计考虑
安全性设计
VRRP的可靠性
监控指定端口
VRRP的优先级设计
通常要满足:
Priority(master)>Priority(backup)>Priority(master)-Priority(reduced)
监控上行端口
接口地址:
19216801/24
接口地址:
19216802/24
虚拟网关IP地址:1921680254/24
虚拟网关MAC地址:00-00-5E-00-01-VRID
DHCP相关的设计考虑
固定IP地址段与动态分配IP地址段保持连续
动态分配IP地址的租约一般定为2-4小时
DHCP需跨网段获得IP地址时,启动DHCP-RELAY功能
禁止在同一网络上放置两台DHCP服务器
启动DHCP安全功能,禁止未通过DHCP获得的IP地址上网
课程内容
局域网络拓扑结构设计
VLAN规划设计原则
VRRP,DHCP的相关设计
STP/RSTP/MSTP规划设计原则
聚合,堆叠/IRF规划设计
链路聚合相关的设计考虑
在进行多个链路聚合设计时先要查询设备对联路聚合的支持规格
对于支持跨单板链路聚合的设备尽量配置跨单板链路聚合
使用LACP自动聚合,要先将端口的参数配置成一致
交换机堆叠/IRF的设计考虑
堆叠之前应先了解设备的规格,确定最大的堆叠设备数或最大的堆叠端口数
堆叠/IRF设备的版本,配置必须相同
IRF设备堆叠端口相连时一定是UP端口和另一台设备的DOWN端口相连
为增加可靠性,尽量使用环形堆叠,不要使用链形堆叠
交换机堆叠/IRF的设计考虑
建议使用手工对设备编号,确定堆叠的 Master交换机,不要使用自动编号功能
IRF堆叠设备与其它设备互联使用链路聚合时,尽量使用跨设备聚合
IRF堆叠设备及与其相联的设备在使用跨设备聚合时,一定使用LACP作自动聚合
本章总结
局域网络拓扑结构设计
了解STP/RSTP/MSTP设计原则
了解VLAN设计原则
理解如何进行VRRP/DHCP相关设计
了解设备堆叠,链路聚合,IRF等技术的设计方法
华为3Com技术有限公司
华为3Com公司网址: wwwhuawei-3comcom
华为3Com技术论坛网址: forumhuawei-3comcom
通过学习本课程,应该能够:
独立完成局域网络拓扑结构设计;
了解STP/RSTP/MSTP设计原则;
了解VLAN设计原则;
理解如何进行VRRP/DHCP相关设计;
了解设备堆叠,链路聚合,IRF等技术的设计方法
局域网络拓扑结构设计是局域网络设计的基础
拓扑结构的设计将是后期VLAN,STP/RSTP/MSTP等相关协议设计的基础
局域网络设计按功能层次分一般分为三层:核心层,汇聚层,接入层
核心层:作为网络的核心部分,不仅要求实现高速的数据转发,而且要求性能高,容量大,具备高可靠性和高稳定性通常核心层设备都有设备的备份设计及线路的备份设计
汇聚层:要支持丰富的功能和特性汇聚层要隔离接入层的各种变化对核心层的冲击路由汇聚,路由策略,NAT,ACL等等功能通常在汇聚层实现
接入层:要提供大量的接入端口以及各种接入端口类型提供强大的各类业务类型接入
不同层次的定位,也为相应的设备选型提供了依据
对于大型的局域网络通常分为三层结构,但对于小型网络通常只存在两层结构,核心层和汇聚层合二为一
常见的网络拓扑结构有三种:网状或部分网状拓扑结构,环型拓扑结构,星型拓扑结构
网状或部分网状拓扑结构的网络冗余性较好,但整个网络主次不分明,不便于维护仅适用于高可靠性要求的小型网络,或大型网络的核心部分
环型拓扑网络冗余性较好,一般适用于各节点相距较远且线路资源紧张的情况不适用组建大型网络,适用于高可靠性要求的小型网络,或大型网络的核心部分
星型拓扑结构的网络结构清晰,便于维护但网络冗余性不够,不适合于高可靠性的网络
综合各种网络拓扑结构的优缺点,我们在设计网络拓扑结构是可以灵活选择
针对网状拓扑结构和环型拓扑结构的高冗余性,在大型网络中,可以把这种拓扑结构作为核心网络的拓扑结构针对星型拓扑结构网络的层次分明,易管理性,采用星型拓扑结构作为汇聚层或接入层拓扑结构
对于星型结构冗余性较差的问题,我们通常采用双星型拓扑结构的方式来弥补如上图所示,双星型结构的每一个分支点采用双链路上行结构,实现了链路的冗余备份和核心设备的设备备份
在大型的局域网络拓扑中,通常核心层内部或核心层与会聚层之间采用网状或部分网状拓扑结构,在汇聚层与接入层之间采用星型或双星型拓扑结构
STP在8021D标准中定义
单生成树实例生成树协议
RSTP在8021W标准中定义
单生成树实例快速生成树协议
MSTP在8021S标准中定义
多生成树实例快速生成树协议
STP/RSTP单生成树协议根桥的选取原则:
根桥一定选择网络的核心设备,并尽可能选取另一个核心设备作为备份根桥坚决避免全网交换机按照MAC地址自动选举情况的发生
STP/RSTP/MSTP的Path Cost标准选择:
目前Path Cost的标准有三个,8021D,8021T和legacy其中前两个是国际标准,后一个是华为公司私有标准所有华为品牌交换机Path Cost标准缺省值为Legacy,即华为私有标准而其他厂商Path Cost标准的缺省值或为8021D,或为8021T在互联时一定保证全网选择一致的标准
RSTP比STP的优越性:
改进一:如果旧的根端口已经进入阻塞状态,而且新根端口连接的对端交换机的指定端口处于Forwarding状态,在新拓扑结构中的根端口可以立刻进入转发状态
改进二:网络边缘的端口,即直接与终端相连,而不是和其它网桥相连的端口可以直接进入转发状态,不需要任何延时
改进三:增加了网桥之间的协商机制—Proposal/Agreement指定端口可以通过与相连的网桥进行一次握手,快速进入转发状态其中Proposal报文为正常的BPDU报文,且Proposal Bit位置位Agreement报文为Proposal报文的拷贝,且以Agreement Bit代替Proposal Bit位置位
通过以上三点重要改进,RSTP的收敛速度比STP快很多,且RSTP可以兼容STP,因此对于支持RSTP的设备,我们不考虑运行STP
对于RSTP设备和STP设备混用的情况,请尽可能将RSTP的设备放置在网络中心区域,将STP设备放置在网络的边缘,这样可以保证网络整体收敛速度较快
对于支持RSTP的交换机,应把所有连接主机或服务器的端口配置为边缘端口,以加快网络的收敛速度,降低网络的广播流量对于边缘端口可打开BPDU-Protection 功能,避免将此类端口误连到交换机上,引起暂时环路
单生成树协议STP/RSTP不能够针对不同的VLAN形成不同的生成树,所有VLAN使用同一生成树,因此所有Trunk链路应包括网络中(或局部网络中)配置的VLAN对于复杂的网络建议启动GVRP
RSTP协议中引入边缘端口的概念,在边缘端口物理层UP的时候即进入Forwarding状态,这样可以提高网络收敛速度,降低网络中广播报文数量但如果我们误把交换机接到边缘端口上,可能会导致短暂的环路
如果我们在边缘端口上再启动BPDU-Protection的功能,则在此端口上如果接收到BPDU报文,这个端口将被自动关闭,直到人为打开为止
把端口配置为STP-disable,会导致端口丢弃BPDU报文,从而将整个二层网络切割成两个生成树,引起永久性环路,不推荐使用
多生成树协议中的CIST仍然为单生成树,不能实现不同VLAN间的负载分担如果要实现不同VLAN的负载分担,必须配置负载分担的区域为同一个域
若配置不同的交换机在同一个域内,必须保证交换机的域名相同,VLAN和STP实例的对应关系相同
不支持MSTP的交换机一定要放置在负载分担的区域外部,否则次交换机将把MSTP的域分割为两部分
同一域内的不同生成树实例可以选择不同的根桥,选择根桥的原则要与相应生成树实例对应的VLAN的业务流量重心保持一致从而使得每一个生成树实例对应的VLAN的业务流量流经最短,最有效路径
VLAN 1 通常为交换机的缺省VLAN,有时被预留做管理VLAN,一般不分配给业务VLAN使用
VLAN ID在规划分配时,对于各类相近业务的VLAN ID要连续成段分配,便于今后的配置和管理如:配置Trunk连路时,配置MSTP时,配置基于VLAN的安全策略时
如果VLAN ID足够用,尽量使用1024以下的VLAN ID有些低端交换机只支持1024个VLAN,且VLAN ID只能设置为1-1024和用Cisco交换机ISL构建的二层网络互连也相对容易
在对VLAN进行规划时,要为每一个VLAN规划VLAN描述符描述符规划的原则是简练,易懂
基于端口的VLAN划分:
是我们目前使用最多的VLAN划分方式配置起来比较简单,VLAN用户位置固定,易于维护
基于协议的VLAN划分:
适用于多协议共存的网络简单的根据通讯协议来划分VLAN,隔离不同协议的广播报文由于目前TCP/IP协议一枝独秀,其他协议应用较少,因此这种VLAN划分方式应用也相对较少
基于IP子网的VLAN划分:
适用于分配固定IP地址的网络但因用户IP地址的随意更改性以及DHCP的广泛应用,这种划分方式也较少使用
基于MAC地址的VLAN划分:
适合于节点经常移动的网络由于事先要搜集所有节点的MAC地址,对于大型网络较复杂,这种划分方式较少使用此方式不能与其他方式同时配置
基于组和策略的VLAN划分:
当同时存在多种以上VLAN划分原则时,优先级按如下顺序:
基于IP子网--〉基于协议--〉基于端口
基于业务需求VLAN划分:
通常统一业务的主机或用户属于同一VLAN,他们通常有着共同的流量特性,安全要求等,与这些主机或用户分布的地理位置无关 如企业网的不同部门属于不同VLAN
基于地域管理VLAN划分:
对于像校园网络的使用者(学生),没有明显的业务特征区分,为方便管理,可以按照地域划分VLAN比如一座宿舍楼一个VLAN或一层楼一个VLAN
基于安全要求划分VLAN:
根据不同的安全要求划分不同的VLAN如在企业网里的服务器群,一般要单独划分一个VLAN有些公共场合的网络,如ISP,或酒店里的网络要求每端口一个VLAN
8021Q协议中规定标识VLAN ID的比特数为12个,从而决定了VLAN的数目不超过4096个
对于某些应用,VLAN数量可能会超过4096
比如建设一个城域网,这个城域网可以为数十个甚至上百个企业提供互联,各个企业VLAN独立规划,且总数超过4096这种情况下应使用QinQ技术予以解决
比如ISP为安全原因配置每一端口一个VLAN,会导致全网VLAN数目不够,这种情况下使用P-VLAN等技术予以解决
每一个VLAN的主机数目建议不超过64个,主机数目过大会导致广播流量的增加,同时增加控制管理的复杂度
VLAN划分的太多,还会引来IP地址分配的问题,通常我们要为每一个VLAN接口分配一个IP地址VLAN划分得越多,就会占用更多的主机地址为解决这个问题,我们使用Super-VLAN,VLAN per Port等技术
VRRP协议增强了局域网络的冗余性通常是局域网络设计必须考虑使用的协议或功能
DHCP协议极大的简化了局域网络管理人员的工作量,增强了网络扩展的灵活性,也是局域网络设计不可或缺的协议或功能
虚拟网关的可探测性:
为保证VRRP的虚拟网关不易受到外来攻击,部分设备缺省状态不允许PING虚拟网关但是为了保证网络的可探测性,可以配置VRRP PING enable命令来允许PING虚拟网关
VRRP的负载分担:
在同一网络中配置多组VRRP时,尽量为不同的VRRP组设置不同的Master,从而实现链路和设备的负荷均担
VRRP的稳定性设计:
根据网络环境决定是否要使能VRRP抢占功能,并合理设置延时,这样可以避免由于网络状况的不稳定而引起的主被频繁倒换
安全性设计:
在同一VRRP备份组使用认证,目的是通过密码关键字来确认同一备份组成员可以避免误配置或网络上有意的攻击
监控指定端口:
根据网络的设计,通常要对某些端口进行监视,这些端口是否激活直接影响VRRP成员的优先级别,从而决定VRRP成员是否成为master我们把正常情况master的优先级称为Priority(master),把正常情况下backup的优先级称为Priority(backup),把监控端口失效时对master优先级的影响成为Priority(reduced),则它们之间应满足如下关系: Priority(master)>Priority(backup)>Priority(master)-Priority(reduced)
DHCP分配的固定地址段和动态分配地址段要保持连续,便于管理和维护
动态分配IP地址的租约要根据网络中用户的移动特性来确定租约时间太短会导致租约频繁续约,增大网络压力租约时间太长会导致长时间无法释放已经空闲的IP地址,浪费了IP地址资源对于一般的开放办公环境,我们设置IP地址租约为2-4小时
采用广播方式实现报文交互,报文一般不能跨网段,如果需要跨网段,需要使用DHCP RELAY技术实现
一般在同一网络上不放置两台DHCP服务器,如果确有需要提供高可靠的DHCP服务器,需要配置具备心跳功能的主备机方式的两台DHCP服务器,两台服务器之间及时交换信息保持同步
为了防止不经过IP申请的非法用户上网,DHCP Relay安全特性维护了一张IP和MAC的对应表在用户通过DHCP Relay申请ip地址时,会增加记录表项当在网络设备一个接口上使用了DHCP Relay安全特性后,ARP模块就会根据DHCP Relay安全特性提供的这张表对IP地址和MAC地址匹配的合法性检查,如果IP和MAC对应的关系在表中找不到匹配项时,就丢弃ARP报文
注意:如果作DHCP Relay的设备不是网关时,则报文的转发不受影响
在设计多条链路聚合时或在一台设备上设计多条聚合组时,要先查询设备的设计规格,一台设备最多支持几个聚合组,每个聚合组可以支持多少链路
为提高链路聚合的可靠性,对于那些支持跨单板链路聚合的设备,尽量配置跨单板链路聚合
对于使用LACP自动聚合的端口,这些端口设置速率相同,全双工,VLAN设置相同且端口类型相同如是Access端口或Trunk端口
在堆叠之前要先了解堆叠设备的规格,一个堆叠最多支持多少个设备,或者最多支持多少个端口
在堆叠之前要确定堆叠设备的版本,要保证所有堆叠设备的版本相同在系统启动时,新Unit加入时,merge时都会进行配置比较配置比较时将以最小ID的Unit的配置作为参照基准比较结果不同的Unit将把基准配置保存为临时文件,然后重起重起时将采用这个临时文件作为自己的配置
为增加堆叠的可靠性,尽量使用环形堆叠
为进行设备间动态备份,IRF堆叠设备与其它设备互联使用链路聚合时,尽量使用跨设备聚合
对于不支持LACP的设备,一般不用于和IRF堆叠设备做链路聚合,以避免在IRF堆叠分离的时候链路聚合不能自动识别,造成网络环路或断路
对于比较大的章,内容比较多,最好能在一章讲解完后对本章的课程内容,要达到的能力和注意事项等进行概要总结
0条评论