【正文】 4地址，尋址時路由器先按IP地址中的網(wǎng)絡(luò)號netid把網(wǎng)絡(luò)找到；當(dāng)找到目的網(wǎng)絡(luò)后，再用ARP協(xié)議用主機號host－id找到主機。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)： 計算機網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般有總線結(jié)構(gòu)、星型結(jié)構(gòu)、環(huán)形結(jié)構(gòu)和網(wǎng)狀結(jié)構(gòu)等。這樣，個別網(wǎng)點出現(xiàn)故障不會影響全局。在本次設(shè)計中我們采用了B類IPV4網(wǎng)絡(luò)地址作為校園網(wǎng)私網(wǎng)IP，以便于以后校園網(wǎng)電腦增多，IP需求量也越日增多。為了達到最好的網(wǎng)絡(luò)質(zhì)量和方便管理，一共分為五個網(wǎng)段。表1 IP地址規(guī)劃表IP地址網(wǎng)絡(luò)號：子網(wǎng)淹碼網(wǎng)絡(luò)中心：~交換機：~路由/交換：~教學(xué)區(qū)：~生活區(qū)：~綜合辦公區(qū)：~十三、VLAN設(shè)計虛擬網(wǎng)絡(luò)（VLAN，Virtual Local Area Network）技術(shù)在校園網(wǎng)絡(luò)中起到舉足輕重的作用，應(yīng)為VLAN技術(shù)可以提高校園網(wǎng)的效率和安全性，便于對用戶的管理。VLAN可以根據(jù)功能、用途、工作組及應(yīng)用等因素將用戶邏輯上劃分為一個相對獨立的網(wǎng)絡(luò)，使一個可跨域不同網(wǎng)段、不同網(wǎng)絡(luò)、不同位置的端到端網(wǎng)絡(luò)。在本方案中我們采用了基于端口的靜態(tài)VLAN。一但接入互聯(lián)網(wǎng)，就會涉及到很多管理、安全等方面的問題，校園網(wǎng)除了接入CERNET以外，還同時選擇了中國網(wǎng)通作為出口接入點，校園網(wǎng)有兩條出口，一個是光纖接入教育網(wǎng)，另一個是中國網(wǎng)通100Mbps專線。NAT的主要功能包括以下幾個方面：轉(zhuǎn)換內(nèi)部局部地址?？梢酝ㄟ^潤許TCP連接或UDP會話中的原端口進行轉(zhuǎn)換而節(jié)省內(nèi)部全局地址，用各個內(nèi)部主機的TCP或UDP端口號區(qū)別；TCP負(fù)載均衡。第五章 軟硬件和VLAN及IP技術(shù)的分析一、軟硬件的功能Internet是由眾多分離的網(wǎng)絡(luò)連接起來的互聯(lián)網(wǎng)絡(luò)。它具有判斷網(wǎng)絡(luò)地址和選擇路徑的功能，能在大規(guī)模的，復(fù)雜的、不同類型的網(wǎng)絡(luò)互聯(lián)環(huán)境中，建立非常靈活的連接。它的處理速度是網(wǎng)絡(luò)通信的主要瓶頸之一，它的可靠性則直接影響著網(wǎng)絡(luò)互聯(lián)的質(zhì)量。路由器應(yīng)該具有以下幾個基本功能：第一，路由器支持各種局域網(wǎng)和廣域網(wǎng)接口，主要用于互聯(lián)局域網(wǎng)和廣域網(wǎng)，實現(xiàn)不同網(wǎng)絡(luò)互相通信的功能；第二，數(shù)據(jù)處理，提供分組過濾、分組轉(zhuǎn)發(fā)、優(yōu)先級、復(fù)用、加密，壓縮和防火墻等功能；第三，網(wǎng)絡(luò)管理，路由器提供包括配置管理、性能管理、容錯管理和流量控制等功能。目前交換機還具備了一些新的功能。廣義的交換機是指一種在通信系統(tǒng)中完成信息交換功能的設(shè)備。(1)端口帶寬的獨享交換機不同于集線器，交換機的端口可以帶寬獨享。而集線器的每個端口都是共享一條帶寬，在同一時刻只能有兩個端口傳輸數(shù)據(jù)，其他端口只能等待。(3)網(wǎng)絡(luò)分段如果用戶使用帶有VLAN功能的交換機，可以把網(wǎng)絡(luò)“分段”，通過對照地址表，交換機只允許必要的網(wǎng)絡(luò)流量通過交換機。交換機實質(zhì)是多端口并行網(wǎng)橋技術(shù)的實現(xiàn)，它主要完成OSI參考模型中物理層和數(shù)據(jù)鏈路層的功能。交換機的分類交換機的種類很多，每類都支持不同速率的LAN和以太網(wǎng)、令牌環(huán)網(wǎng)等不同的LAN類型。廣域網(wǎng)交換機主要應(yīng)用于電信領(lǐng)域，提供通信用的基礎(chǔ)平臺。(2)從傳輸速度來分：交換機可分為以太網(wǎng)交換機、快速以太網(wǎng)交換機、令牌環(huán)交換機等。交換機的設(shè)備選型核心層交換機：它是構(gòu)成網(wǎng)絡(luò)的重點，承擔(dān)著數(shù)據(jù)快速率、大容量交換，大吞吐量等重任，以使整個網(wǎng)絡(luò)高容量、無阻塞、高可靠的運行，所以選用Ciscoc atalyst6500，它與三層或二層交換機之間應(yīng)采用新增型多模光纖連接。匯聚層交換機：為滿足多媒體教學(xué)要求，且綜合考慮性價比，所以教學(xué)樓等匯聚層交換機應(yīng)選擇Cisco 365024PS。普通交換機：為不同用戶提供接入點。 服務(wù)器服務(wù)器指一個管理資源并為用戶提供服務(wù)的計算機軟件，通常分為文件服務(wù)器、數(shù)據(jù)庫服務(wù)器和應(yīng)用程序服務(wù)器。相對于普通PC來說，服務(wù)器在穩(wěn)定性、安全性、性能等方面都要求更高，因此CPU、芯片組、內(nèi)存、磁盤系統(tǒng)、網(wǎng)絡(luò)等硬件和普通PC有所不同。它是由歐洲粒子物理實驗室研制的基于Internet的信息服務(wù)系統(tǒng)。(2)FTP服務(wù)器是TCP/IP的一種具體應(yīng)用，F(xiàn)TP工作在OSI模型的第七層、TCP模型的第四層即應(yīng)用層上。它能夠動態(tài)地向網(wǎng)絡(luò)中的每臺設(shè)備分配獨一無二的IP地址，并提供安全、可靠且簡單的TCP/IP網(wǎng)絡(luò)配置，確保不發(fā)生地址沖突，幫助維護IP地址的使用。使用電子郵件具有快速、簡便、經(jīng)濟等優(yōu)點。服務(wù)器端可以為客戶端提供動態(tài)的、交互的超文本服務(wù)，默認(rèn)采用80端口進行通信，運行HTTP協(xié)議和Web服務(wù)器軟件。 (6)DNS服務(wù)器是提供字符形式的域名與IP地址之間的轉(zhuǎn)換功能，這個過程也稱作域名解析。一個VLAN組成一個邏輯子網(wǎng)，即一個邏輯廣播域，它可是覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò)用戶加入到一個邏輯子網(wǎng)中。這樣就能使得信息延遲，嚴(yán)重的可以造成網(wǎng)絡(luò)的癱瘓、堵塞，嚴(yán)重的影響了正常的網(wǎng)絡(luò)應(yīng)用，這就是所謂的網(wǎng)絡(luò)風(fēng)暴。增強了網(wǎng)絡(luò)的安全性在局域網(wǎng)中應(yīng)用VLAN技術(shù)可以把互相通信比較頻繁的用戶劃分到同一個VLAN中，這樣在同一個工作組中的信息傳輸只在同一個組內(nèi)廣播，從而也減輕了因廣播包被截獲而引起的信息泄露，增強了網(wǎng)絡(luò)的安全性。如果不使用VLAN技術(shù)就需要兩個交換機來實現(xiàn)同樣的功能，但是應(yīng)用VLAN技術(shù)節(jié)省了公司的財力。 VLAN的劃分方法VLAN技術(shù)對工作組的劃分方法有兩種：一種是基于端口的劃分方法；另外一種是基于MAC地址的劃分方法。不足之處是不夠靈活，當(dāng)一臺機器設(shè)備需要從一個端口移動到另一個新的端口，但是新端口與舊端口不在同一個VLAN之中時，要修改端口的VLAN設(shè)置，或在用戶計算機上重新配置網(wǎng)絡(luò)地址，這樣才能使這臺設(shè)備加入到新的VLAN中?；贛AC地址的劃分方法這種方法劃分VLAN，要求交換機對站點的MAC地址進行跟蹤，在新站點入網(wǎng)時,需要把它添加到相應(yīng)的VLAN中。只要MAC地址不變,就無需對它進行重新配置?；诰W(wǎng)絡(luò)協(xié)議的劃分VLAN按網(wǎng)絡(luò)層協(xié)議來劃分,可分為IP、IPX、DECnet、AppleTalk、Banyan等VLAN網(wǎng)絡(luò)。這對于希望針對具體應(yīng)用和服務(wù)來組織用戶的網(wǎng)絡(luò)管理員來說是非常具有吸引力的。這種方法的優(yōu)點是用戶的物理位置改變了，不需要重新配置所屬的VLAN，而且可以根據(jù)協(xié)議類型來劃分VLAN，這對網(wǎng)絡(luò)管理者來說很重要，還有，這種方法不需要附加的幀標(biāo)簽來識別VLAN，這樣可以減少網(wǎng)絡(luò)的通信量。綜上所分析本設(shè)計采用劃分VLAN的方式是基于端口的方法。TCP/IP是一種分層協(xié)議，它共被分為個4層次，大約包含近期100個非專有協(xié)議，通過這些協(xié)議，可以高效和可靠地實現(xiàn)計算機系統(tǒng)之間的互連。UDP協(xié)議是一種無連接的協(xié)議，它在傳輸數(shù)據(jù)之前不建立連接，也不提供良好的可靠性和差錯檢查，只僅僅依賴于校驗來保證可靠性。IP協(xié)議的基本功能是提供數(shù)據(jù)傳輸、數(shù)據(jù)包編址、數(shù)據(jù)包路由，分段等。每個網(wǎng)絡(luò)站點具有一個32位的IP地址，它和48位MAC地址一起協(xié)作，完成網(wǎng)絡(luò)通信，IP協(xié)議也是一種無連接的協(xié)議。匯聚層交換機，因為我校教學(xué)樓有6層，所以共需要6臺。全校所需交換機數(shù)量如表所示。 S8505交換機。 S8505系列萬兆核心路由交換機是由華為3Com公司自主開發(fā)的新一代高性能路由交換機產(chǎn)品，可廣泛應(yīng)用于運營商IP城域網(wǎng)核心層、匯聚層以及行業(yè)網(wǎng)骨干層。 S8505系列基于新一代核心交換機的設(shè)計理念，具備大容量、高性能、多業(yè)務(wù)和可擴展性的特點。 S8505系列采用分布式處理、業(yè)務(wù)模塊化以及Crossbar交換網(wǎng)等設(shè)計理念，具備業(yè)界領(lǐng)先的交換容量，并且交換容量可持續(xù)平滑升級。 S8505系列支持新一代高性能萬兆接口，能夠為城域網(wǎng)、行業(yè)網(wǎng)提供超高速鏈路，可打造低成本、高性能、具有豐富業(yè)務(wù)支持能力的以太網(wǎng)絡(luò)。 S8500系列內(nèi)置高性能的業(yè)務(wù)處理引擎，能夠支持二三層報文、MPLS VPN業(yè)務(wù)、組播業(yè)務(wù)的全線速轉(zhuǎn)發(fā)。 S8505系列支持完善的QoS服務(wù)、全面的安全管理機制和電信級的高可靠性，是一款業(yè)界領(lǐng)先的萬兆核心路由交換機產(chǎn)品。本方案中采用了華為Quidway S5624P/S5624PPWR系列全千兆智能交換機，具體參數(shù)如下：表3 參數(shù)表管理端口1個Console口業(yè)務(wù)端口描述固定端口24個10/100/1000M電口＋4個SFP Combo千兆口可選模塊8端口SFP模塊1端口10GE模塊2端口10GE模塊端口類型10/100/1000BASET1000BaseSXSFP1000BaseLXSFP1000BaseLHSFP1000BaseTSFP10GBaseLRXENPAK10GBaseLRXFP10GBaseERXFP外形尺寸(mm)440420(寬深高)線速二/三層交換所有端口支持線速轉(zhuǎn)發(fā),交換容量為192Gbit/s,包轉(zhuǎn)發(fā)率66MppsVLAN4K交換模式存儲轉(zhuǎn)發(fā)模式IP路由靜態(tài)路由、RIPv1/2OSPFECMP生成樹協(xié)議支持STP/RSTP，支持VLAN的STPignore屬性端口匯聚支持通過LACP進行動態(tài)端口匯聚支持進行通過命令行手動進行端口匯聚支持堆疊范圍內(nèi)的跨設(shè)備鏈路匯聚支持GE（Gigabit Ethernet）端口匯聚支持10G（Gigabit Ethernet）端口匯聚最多32組端口匯聚組，GE匯聚組最多支持8個端口，10GE匯聚組最多4個端口，匯聚的端口必須具有相同的端口類型四、接入層設(shè)備選型接入層作為直接與終端連接的端口也不能馬虎，在這里我們使用了Quidway174。Quidway174。設(shè)備如圖62和62： 圖62交換機 圖63交換機五、路由器選型接入Internet的路由器選擇了華為公司的Quidway174。產(chǎn)品特點：第五代路由器：NE20不同于以往采用CPU軟件轉(zhuǎn)發(fā)的同類型路由器產(chǎn)品，采用了業(yè)界高性能網(wǎng)絡(luò)處理器技術(shù)實現(xiàn)高速接口報文的集中轉(zhuǎn)發(fā)，有機地結(jié)合了軟件的靈活性和硬件的高性能，提供線速轉(zhuǎn)發(fā)性能， 。高品質(zhì)QOS能力：完善的QoS機制、出色的QOS性能，確保重載下的不同業(yè)務(wù)的服務(wù)質(zhì)量，可以提供基于DiffServ的完善QoS機制。精確保證不同業(yè)務(wù)的帶寬、時延和抖動指標(biāo)，滿足用戶多種業(yè)務(wù)等級的“區(qū)分服務(wù)”要求。整機實現(xiàn)7x24小時的不間斷運行。業(yè)務(wù)能力: 軟件系統(tǒng)基于華為公司擁有自主知識產(chǎn)權(quán)的VRP軟件平臺，支持多種方式VPN（L2TP、GRE、MPLS VPN等），具備豐富的NAT功能，提供以太網(wǎng)/VLAN、PPP/MP、PPPoE、Frame Relay、HDLC、ATM、HDLC和LAPB等豐富的互聯(lián)功能?？删S護性：支持自動的故障診斷功能。六、防火墻設(shè)備的選型為了保證校園網(wǎng)安全，方便對于訪問Internet的管理在本方案中使用了防火墻。 SecPath 500F防火墻是華為3Com公司面向大型企業(yè)用戶開發(fā)的新一代專業(yè)千兆防火墻設(shè)備。表4 數(shù)據(jù)表固定接口1個配置口（CON）1個備份口（AUX）2個10/100/1000M以太網(wǎng)口（支持光口或者電口）2個10/100/1000M以太網(wǎng)口（支持電口）插槽2個MIM插槽,可選的接口模塊包括1FE/2FE/4FE/1GE/2GE FLASH16MBSDRAM缺?。?12MB 最大：1GB外型尺寸（H WD）44 x 436mm x420mm重量6kg電源模塊輸入交流主機：100240V ；50/60Hz 直流主機：48V－60V輸出電壓：12VAAA服務(wù)RADIUS認(rèn)證HWTACACS認(rèn)證域認(rèn)證CHAP驗證PAP驗證防火墻包過濾基礎(chǔ)和擴展的訪問控制列表基于接口的訪問控制列表基于時間段的訪問控制列表動態(tài)包過濾ASPF應(yīng)用層報文過濾 應(yīng)用層協(xié)議：FTP、HTTP、SMTP、RTSP、（， RTP/RTCP） 傳輸層協(xié)議：TCP、UDP防攻擊特性Land、Smurf、Fraggle、WinNuke、Ping of Death、Tear Drop、IP Spoofing、SYN Flood、ICMP Flood、UDP Flood、ARP欺騙攻擊防范ARP主動反向查詢TCP報文標(biāo)志位不合法攻擊防范超大ICMP報文攻擊防范地址/端口掃描的防范DoS/DDoS攻擊防范ICMP重定向或不可達報文控制功能Tracert報文控制功能帶路由記錄選項IP報文控制功能靜態(tài)和動態(tài)黑名單功能MAC和IP綁定功能透明防火墻 基于MAC的訪問控制列表郵件/網(wǎng)頁/應(yīng)用層過濾郵件過濾SMTP郵件地址過濾SMTP郵件標(biāo)題過濾SMTP郵件內(nèi)容過濾網(wǎng)頁過濾HTTP URL過濾HTTP內(nèi)容過濾應(yīng)用層過濾Java BlockingActiveX BlockingSQL注入攻擊防范安全管理攻擊實時日志黑名單日志地址綁定日志流量告警日志會話日志進制格式日志功能流量統(tǒng)計和分析功能全局/基于安全域連接數(shù)率監(jiān)控全局/基于安全域協(xié)議報文比例監(jiān)控安全事件統(tǒng)計功能EMAIL郵件實時告警功能EMAIL郵件定期信息發(fā)布功能七、服務(wù)器設(shè)備選型服務(wù)器是網(wǎng)絡(luò)中關(guān)鍵設(shè)備之一，通常，服務(wù)器向工作站提供處理器、內(nèi)存、硬盤、打印機、軟件、數(shù)據(jù)庫等資源和服務(wù)，并負(fù)責(zé)協(xié)調(diào)管理這些資源。根據(jù)網(wǎng)絡(luò)的應(yīng)用和規(guī)模，可選用高檔PC服務(wù)器、UNIX工作站、