校园网整体设计计算机应用技术专业毕业论文.doc 31页

'校园网整体设计XX(计算机学院计算机应用技术专业2015级)摘要:随着计算机应用的不断普及，随着网络技术的迅速发展，校园网正逐渐成为学校必备的信息基础设施。校园网的实施，为各学校能够适应新形势发展并更充分地利用现有的教学资源进行教学、管理提供了保障。综合布线作为构建智能建筑网络的物理基础。利用各种传输介质将通信管理设备和终端连接来．其性能好坏影响到网络能否正常运行和使用寿命长短。因此。应满足以下要求：标准性：符合国际和国家相关标准，支持主流设备端口，符合世界的发展趋势。稳定性：传输性能稳定．且经久耐用，满足现在和将来高速数据传输的需要。扩展性：预留适当的传输性能，易于扩充，能适应客户未来。校园网建设中最关键的要素就是网络布线，一个学校能否建设成低成本、高性能的校园网，关键看网络布线。因此，设计科学、合理、优化的校园网络布线系统，是进一步发挥各种网络设备功能，实现学校各项业务系统的集成，提高应用水平的重点。关键词：校园网；网络布线系统设备；光线；双绞线OveralldesignofcampusnetworkXX(CollegeofComputerScienceandTechnologygraduate2015)Abstract:Withthepopularizationofcomputerapplication,alongwiththerapiddevelopmentofnetworktechnology,thecampusnetworkisbecomingtheessentialinformationinfrastructureoftheschool.. Theimplementationofthecampusnetwork,fortheschooltoadapttothenewsituationandmorefullyusetheexistingteachingresourcesforteaching,managementprovidesaguarantee. Thephysicalbasisofbuildingthenetworkasabuildingintelligentnetwork. Thecommunicationmanagementequipmentandtheterminalareconnectedbyeachtransmissionmedium,andtheperformanceofthetransmissionmediumcanaffectthenormaloperationandservicelifeofthenetwork.. So. Shouldmeetthefollowingrequirements:thestandard:accordwithinternationalandnationalstandards,supportthemainstreamequipmentport,inlinewiththeworlddevelopmenttrend. Stability:transmissionperformanceisstable,anddurable,meettheneedsofthepresentandfuturehigh-speeddatatransmission.Scalability:pre-r1etentionofappropriatetransmissionperformance,easyexpansion,toadapttothefutureofcustomers. Thekeyelementintheconstructionofcampusnetworkisthenetworkcabling,aschoolcanbuildintothecampusnetworkwithlowcostandhighperformance,thekeytoseethenetworkcabling. Therefore,30 scientificdesign,reasonableandoptimizationofthecampusnetworkwiringsystem,furtherplayavarietyofnetworkequipmentfunctionandRealizationofthebusinesssystemoftheschoolintegration,improvingtheapplicationleveloffocus.Keywords:Campusnetwork;Networkcablingsystemequipment;Light;Twistedpair30 目录摘要……………………………………………………………………………………1Abstract……………………………………………………………………………….1第一章:校园网的安全概述41.1校园网的特点41.1.1校园网结构特点：41.1.2校园网系统设计特点:41.1.3校园网的性能特点：41.2校园网的安全的重要意义51.2.1校园网安全的存在原因51.2.2校园网的安全有何意义61.2.3网络安全分析61.3校园网存在的安全风险81.3.1可能存在的网络攻击问题81.3.2网络防御技术81.4校园网系统安全设计原则81.4.1设计原则81.4.2校园网安全策略9第二章校园网整体设计112.1校园网的需求分析112.1.1总体设计分析112.1.2需求分析112.1.3应用需求分析112.1.4网络需求分析122.2校园网体系和拓扑设计132.2.1常用的拓扑结构描述和选型132.2.2网络分层设计162.3校园网IP地址规划182.4交换式园区网技术182.4.1VTP技术：182.4.2生成树协议STP技术：212.4.3以太网链路聚合技术：232.5网络可靠性和容错设计292.5.1计算机网络292.5.2计算机网络的可靠性定义292.5.3网络设计技术30参考文献:3130 第一章:校园网的安全概述1.1校园网的特点1.1.1校园网结构特点：1、网络系统分布在整个校园内，系统规模较大。2、采用综合布线系统作为网络的线路基础。3、应用以客户/服务器和浏览器/web服务器为主要模式。4、信息流动以内部为主，对网络吞吐能力要求较高。5、应用系统采用集中配置集中管理的模式。6、流量具有中心汇集的特点。7、适应校校通的需求，未来将与其他网络互联8、支持远程访问。9、可管理性要求较高。10、提供安全控制措施。1.1.2校园网系统设计特点:校园网已超出了传统局域网能覆盖的范围，涉及到局域网互连技术，网络层次较多。职能不同的部门分布在不同的地理位置上，需要进行子网划分，以便于管理。校园网采用星型拓扑结构。核心是主干网，周围是各个子网，子网向下连接工作组网，工作组网向下再连接基层网段。计算机根据功能和配置的情况，可以连接到不同的网络层次。主干网必需有大的带宽和很强的中心交换处理能力。子网相对独立，在主干汇接处形成子网边界。支持远程访问。1.1.3校园网的性能特点：1.提供高速的局域网连接校园网的核心为面向校园内部师生的网络，因此园区局域网是该系统的建设重点。由于参与网络应用的师生众多，而且信息中包含大量多媒体信息，故大容量、高速率的数据传输是对网络的一项重要要求。30 2.满足信息结构复杂校园网既要为学生提供电子教学和宽带增值服务，又要为职能部门提供办公管理，致使应用多样化，数据成分复杂，不同类型的数据对网络传递质量的需求也各不一样，这就要求网络产品具有高智能的QoS处理机制为不同类型的应用业务提供区别服务。3.强大的可靠性和安全性保证校园网中同样有大量的关于教学和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将带来极大的损失。这就需要网络设备能提供全面的安全保证机制，如接入用户的身份验证、接入网络的计算机设备的安全性、接入网络的交换机的安全性以及服务器集群访问权限的控制等。4.操作方便，易于管理校园网信息点多，业务种类繁杂，面对不同知识结构的教师、学生和办公人员，安全性差，管理任务繁重。如何能够在网络中心方便地实现对整个校园网的管理和维护？所以网管操作应该简单易行，友好网管的界面，不宜太专业化。5.提供可运营的特性未来的校园网实施收费是必然，而且如果不能对网络运营，学生上网时间无法控制，影响正常教学，也是学校所不愿意看到的。良好的校园网发展模式必然是“以网养网”，如：学生免费上内部网、教育网，上INTERNET网收费，运营商和校方通过合理计费（或正常收费）进而分帐的运营模式。校园网通过灵活、丰富的卡号业务也能向校园中的学生用户提供更加多的上网选择，提供真正灵活有效的运营模式。6.经济实用学校对网络建设的投入显然相对国防、金融等关键机构较低，因此要求建成的网络经济实用，具备很高的性能价格比。1.2校园网的安全的重要意义1.2.1校园网安全的存在原因30 随着计算机技术的迅速发展，在计算机上处理的业务也由基于单机的数学运算、文件处理，基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互连网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。在系统处理能力提高的同时，系统的连接能力也在不断的提高。但在连接能力信息、流通能力提高的同时，基于网络连接的安全问题也日益突出，整体的网络安全主要表现在以下几个方面：网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。因此计算机安全问题，应该象每家每户的防火防盗问题一样，做到防范于未然。甚至不会想到你自己也会成为目标的时候，威胁就已经出现了，一旦发生，常常措手不及，造成极大的损失。1.2.2校园网的安全有何意义保障计算机网络设备和配套设施的安全，保障信息的安全，运行环境的安全。保障网络系统的正常运行，保障信息系统的安全运行。免遭黑客攻击，防止档案丢失。最大可能降低校园网受故意或无意的攻击而造成的性能下降、失效、数据丢失或泄密。1.2.3网络安全分析物理安全分析网络的物理安全是整个网络系统安全的前提。在校园网工程建设中，由于网络系统属于弱电工程，耐压值很低。因此，在网络工程的设计和施工中，必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害；考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离；考虑布线系统和绝缘线、裸体线以及接地与焊接的安全；必须建设防雷系统，防雷系统不仅考虑建筑物防雷，还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安全的风险主要有，地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获；高可用性的硬件；双机多冗余的设计；机房环境及报警系统、安全意识等，因此要尽量避免网络的物理安全风险。网络结构的安全分析30 网络拓扑结构设计也直接影响到网络系统的安全性。假如在外部和内部网络进行通信时，内部网络的机器安全就会受到威胁，同时也影响在同一网络上的许多其他系统。透过网络传播，还会影响到连上Internet/Intrant的其他的网络；影响所及，还可能涉及法律、金融等安全敏感领域。因此，我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝。系统的安全分析所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。目前恐怕没有绝对安全的操作系统可以选择，无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统，其开发厂商必然有其Back-Door。因此，我们可以得出如下结论：没有完全安全的操作系统。不同的用户应从不同的方面对其网络作详尽的分析，选择安全性尽可能高的操作系统。因此不但要选用尽可能可靠的操作系统和硬件平台，并对操作系统进行安全配置。而且，必须加强登录过程的认证(特别是在到达服务器主机之前的认证)，确保用户的合法性；其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。应用系统的安全分析　　应用系统的安全跟具体的应用有关，它涉及面广。应用系统的安全是动态的、不断变化的。应用的安全性也涉及到信息的安全性，它包括很多方面。--应用系统的安全是动态的、不断变化的。　　应用的安全涉及方面很多，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有Sendmail、NetscapeMessagingServer、Software、ComPost、Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多种。其安全手段涉及LDAP、DES、RSA等各种方式。应用系统是不断发展且应用类型是不断增加的。在应用系统的安全性上，主要考虑尽可能建立安全的系统平台，而且通过专业的安全工具不断发现漏洞，修补漏洞，提高系统的安全性。--应用的安全性涉及到信息、数据的安全性。信息的安全性涉及到机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。在某些网络系统中，涉及到很多机密信息，如果一些重要信息遭到窃取或破坏，它的经济、社会影响和政治影响将是很严重的。因此，对用户使用计算机必须进行身份认证，对于重要信息的通讯必须授权，传输必须加密。采用多层次的访问控制与权限控制手段，实现对数据的安全保护；采用加密技术，保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。30 1.3校园网存在的安全风险1.3.1可能存在的网络攻击问题1、网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其它计算机通信的数据。2、网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机作准备。3、网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。4、网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。5、网络隐身：入侵完毕推出目标计算机后，将自己入侵的痕迹清除，从而防止被管理员发现。1.3.2网络防御技术防御技术主要包括以下几个方面。1、安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。2、加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。3、防火墙技术：利用防火墙，对数据的传输数据进行限制，从而防止被入侵。4、入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报5、网络安全协议：保证传输的数据不被截获和监听。1.4校园网系统安全设计原则1.4.1设计原则体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。30 全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。可行性、可靠性原则在采用全面的网络安全措施之后，应该不会对某大学原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。可动态演进的原则方案应该针对某大学制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。1.4.2校园网安全策略配置防火墙　　利用防火墙,通过配置访问控制列表,对外来访问和对外访问进行限制。禁止无关的对外访问,减少不必要的对外访问,从而节省带宽,降低风险;严格控制核查外来的访问,最大限度地阻止黑客的攻击破坏。防火墙是一种行之有效且应用广泛的网络安全机制,对防止Internet上的不安全因素蔓延到局域网内部有很大的作用,所以,防火墙是网络安全的重要一环。采用入侵检测系统30 　　入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。Web,Email,BBS的安全监测系统　　在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时采取有效措施。漏洞扫描系统　　解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠一个人的技术和经验寻找安全漏洞、做出评估,显然是不现实的。解决的方案是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。IP盗用问题的解决　　在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。加强学生的法制教育和德育教育　　学生在使用计算机的时候基于兴趣和好奇,进行的相应的操作和验证,会给网络的管理和监测带来很多问题。如何去正确引导他们就成为我们工作的重点之一,作为教师我们在教授网络知识的同时,应该加强学生的法制教育和德育教育,让学生了解我国在计算机应用方面的相应法规,做一个遵纪守法的好青年。30 第二章校园网整体设计2.1校园网的需求分析2.1.1总体设计分析本设计是为学院的校园网络规划设计，为保证学院校园网的实用性、先进性、经济性以及可延展性，现按学院的整体布局及实际需求，提出校园网综合设计方案。2.1.2需求分析学院校区占地约100亩，现有师生10000余人，现有主要建筑37栋，包括学生公寓10栋、教学楼、实验楼、语言中心、行政楼、大礼堂、图书馆。根据教育部门有关文件精神，结合学院实际情况，学院信息化建设工作的核心目标在余充分利用信息技术，建立多层次、高可靠、可管理、可运营的开放式的数字化校园，促使其提高办学质量和效益。重点体现在以下几个方面。教学方面，利用多媒体、网络技术实现高质量的教学资源、信息资源和智力资源的共享和传播，同时促进高水平的师生互动，促进主动式、协作式、研究型的学习，从而形成开放、高效的教学模式，更好地培养学生的信息素养、问题解决能量和创新能力。管理方面，利用信息技术实现职能信息管理的自动化，实现上下级部门之间更迅速、便捷的沟通，实现不同职能部门之间的数据共享与协调，提高决策的科学性和民主性，减员增效，形成充满活力的新型管理机制。科研方面，促进科研资源共享，加快科研信息传播，促进院内外学术交流。公共服务体系方面，建设和维护好覆盖学院教学、科研、管理、生活等各个区域的宽带网络环境，提供面向全院师生的基本网络服务，建设高质量的数字化图书馆等应用信息资源库，以及服务于学院中心工作的基本信息资源库，实现身份认证等院内公共管理、服务功能。2.1.3应用需求分析对于学院本部校区校园网建设的应用系统设计，应该包含以下三个部分。1.学院办公自动化系统30 该系统能够处理院办日常工作，实现办公自动化，并能对工作流程进行全程记录。主要功能包括公文管理、公共信息管理、个人信息管理和会议管理。2.学院综合教务管理系统该系统能够处理学院教学管理的常规工作，能够适应学院教学体制的改革和学分制的实施，主要功能包括教学计划管理、学籍管理、选课管理、教学调度管理、成绩管理、教材管理以及教学信息的收集与发布等方面的内容。3.学院图书馆自动化管理系统该系统能够实现图书馆业务的自动化管理，主要功能包括采访管理、编目与典藏管理、阅览室与互借管理、流通管理、期刊管理和公共查询等方面的内容。2.1.4网络需求分析学院局域网的功能要求包括能够高速、安全、及时地传送文本、音频和视频等多种媒体信息，能够支持一定程度的突发访问。在性能和安全性上应满足15000人的网络应用需求，对相应时间不作特殊要求；为了存储数据和备份数据，网络中心需要建立磁盘阵列；为保障网络中心设备的安全运行要求在网络中心提供不间断电源；在遵循经济实用、成熟先进和安全可靠的设计原则下，最大限度地考虑采用符合发展趋势的新技术；网络设备必须采用成熟先进的技术，所采用的标准要求统一，支持目前业界最新的网络协议，网络的标准必须符合国际/国家标准，并且拥有广泛的支持厂商；网络设备要求具有高可靠性、高稳定性和高可用性；网络设备要求提供足够的带宽，以适应校园网上信息结构多样化，要求支持虚拟网和第三层交换，形成公布式三层交换网；网络设备要求具有扩展性和可升级性，能够适应用户数量的扩展，能够保证未来网络升级时的平稳衔接，保证网络通信介质、网络基本设计核心的向后兼容性；要求网络易于管理，支持网络的拓扑视图、网段与端口口的监控；网络流量及错误统计，具备计费管理、故障定位、诊断、修复和自动隔离等功能；要求网络具有高的安全性。在要求网络具有开放性的同时，要求保证其安全性。30 在广域网选择上考虑学院的实际需求和成本，我们将通过端口聚合接入Inter网。在校园网络中，对于校园网的安全保障十分重要：校园网的信息点分布很广，与企业网比较，校园网用户的流动性大，信息点存在随意接入使用的问题。学生及外来身份的用户，在校园网中找到任何一个信息点，就可以进入到校园网，可以肆意干扰破坏校园网络平台及应用系统的正常运行。另外校园网的网络安全，还需要考虑与外网及内网不同应用系统之间的安全访问控制。为了发生安全事件后，能够有效、快捷地处理事故，故采用上网审计手段是十分有必要的。2.2校园网体系和拓扑设计2.2.1常用的拓扑结构描述和选型1.总线型拓扑：总线型拓扑是采用单根传输作为共用的传输介质,将网络中所有的计算机通过相应的硬件接口和电缆直接连接到这根共享的总线上。总线型拓扑结构的特点如下：优点：（1）所需电缆数量较少。（2）结构简单，无源工作有较高可靠性。（3）易于扩充。缺点：（1）总线传输距离有限，通信范围受到限制。（2）故障诊断和隔离比较困难。（3）分布式协议不能保证信息的及时传送，不具有实时功能，站点必须有介质访问控制功能，从而增加了站点的硬件和软件开销。总线型拓扑结构适用于计算机数目相对较少的局域网络，通常这种局域网络的传输速率在100Mbps，网络连接选用同轴电缆。总线型拓扑结构曾流行了一段时间，典型的总线型局域网有以太网！2.星型拓扑结构：星型拓扑结构的网络属于集中控制型网络，整个网络由中心节点执行集中式通行控制管理，各节点间的通信都要通过中心节点。每一个要发送数据的节点都将要发送到数据发送中心节点，再由中心节点负责将数据送到目地节点。因此，中心节点相当复杂，而各个节点的通信处理负担都很小，只需要满足链路的简单通信要求。30 星型网中任何两个节点要进行通信都必须经过中央节点控制。因此，中央节点的主要功能有三项：当要求通信的站点发出通信请求后，控制器要检查中央转接站是否有空闲的通路，被叫设备是否空闲，从而决定是否能建立双方的物理连接;在两台设备通信过程中要维持这一通路;当通信完成或者不成功要求拆线时，中央转接站应能拆除上述通道。由于中央节点要与多机连接，线路较多，为便于集中连线，采用一种成为集线器（HUB）或交换设备的硬件作为中央节点。一般网络环境都被设计成星型拓朴结构。星型网是广泛而又首选使用的网络拓朴设计之一。优点：（1）控制简单。任何一站点只和中央节点相连接，因而介质访问控制方法简单，致使访问协议也十分简单。易于网络监控和管理。（2）故障诊断和隔离容易。中央节点对连接线路可以逐一隔离进行故障检测和定位，单个连接点的故障只影响一个设备，不会影响全网。（3）方便服务。中央节点可以方便地对各个站点提供服务和网络重新配置。缺点：（1）需要耗费大量的电缆，安装、维护的工作量也骤增。（2）中央节点负担重，形成“瓶颈”，一旦发生故障，则全网受影响。（3）各站点的分布处理能力较低。总的来说星型拓扑结构相对简单，便于管理，建网容易，局域网普遍采用的一种拓扑结构。采用星型拓扑结构的局域网，一般使用双绞线或光纤作为传输介质，符合综合布线标准，能够满足多种宽带需求。3.环形拓扑结构：环型拓扑结构是使用公共电缆组成一个封闭的环,各节点直接连到环上,信息沿着环按一定方向从一个节点传送到另一个节点。环接口一般由发送器、接收器、控制器、线控制器和线接收器组成。在环型拓扑结构中，有一个控制发送数据权力的“令牌”，它在后边按一定的方向单向环绕传送，每经过一个节点都要被接收，判断一次，是发给该节点的则接收，否则的话就将数据送回到环中继续往下传。环型结构中各节点通过环路接口连在一条首尾相连的闭合环型通信线路中，环路中各节点地位相同，环路上任何节点均可请求发送信息，请求一旦被批准，便可以向环路发送信息。环型网中的数据按照设计主要是单向也可以双向传输(双向环)。由于环线公用，一个节点发出的信息必须穿越环中所有的环路接口，信息流的目的地址与环上某节点地址相符时，信息被该节点的环路接口所接收，并继续流向下一环路接口，一直流回到发送该信息的环路接口为止。30 优点：（1）电缆长度短，只需要将各节点逐次相连。（2）可使用光纤。光纤的传输速率很高，十分适合于环形拓扑的单方面传输。（3）所有站点都能公平访问网络的其他部分，网络性能稳定。缺点：（1）节点故障会引起全网故障，是因为数据传输需要通过环上的每一个节点，如某一节点故障，则引起全网故障。（2）节点的加入和撤出过程复杂。（3）介质访问控制协议采用令牌传递的方式，在负载很轻时信道利用率相对较低。环型拓扑结构是三种基本拓扑结构中最少见的一种。环型拓扑分类：这类拓扑包括了环拓扑和双环拓扑。4.树型拓扑结构：树型结构是总线型结构的扩展，它是在总线网上加上分支形成的，其传输介质可有多条分支，但不形成闭合回路;也可以把它看成是星型结构的叠加。又称为分级的集中式结构。树型拓扑以其独特的特点而与众不同，具有层次结构，是一种分层网，网络的最高层是中央处理机，最低层是终端，其他各层可以是多路转换器、集线器或部门用计算机。其结构可以对称，联系固定，具有一定容错能力，一般一个分支和节点的故障不影响另一分支节点的工作，任何一个节点送出的信息都由根接收后重新发送到所有的节点，可以传遍整个传输介质，也是广播式网络。著名的因特网(Internet)也是大多采用树型结构。树型网的优点：(1)结构比较简单，成本低。(2)网络中任意两个节点之间不产生回路，每个链路都支持双向传输。(3)网络中节点扩充方便灵活，寻找链路路径比较方便。树型网的缺点：(1)除叶节点及其相连的链路外，任何一个工作站或链路产生故障都会影响整个网络系统的正常运行。(2)对根的依赖性太大，如果根发生故障，则全网不能正常工作。因此这种结构的可靠性问题和星型结构相似。30 5.网状拓扑结构：在网状拓扑结构中，网络的每台设备之间均有点到点的链路连接，这种连接不经济，只有每个站点都要频繁发送信息时才使用这种方法。它的安装也复杂，但系统可靠性高，容错能力强。有时也称为分布式结构。 网状拓扑的优点：   (1) 网络可靠性高，一般通信子网中任意两个节点交换机之间，存在着两条或两条以上的通信路径，这样，当一条路径发生故障时，还可以通过另一条路径把信息送至节点交换机。   (2) 网络可组建成各种形状，采用多种通信信道，多种传输速率。   (3) 网内节点共享资源容易。   (4) 可改善线路的信息流量分配。   (5) 可选择最佳路径，传输延迟小。   网状拓扑的缺点：   (1) 控制复杂，软件复杂。   (2) 线路费用高，不易扩充。   网状拓扑结构一般用于Internet骨干网上，使用路由算法来计算发送数据的最佳路径。在网络拓扑结构方面，选用星型的拓扑结构，它是以一台中心处理机为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经过中央节点来处理，因此，对中央节点的要求比较高。优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须经过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。2.2.2网络分层设计将校园网整体划分为核心层、汇聚层、接入层三个逻辑层次。各建筑物之间采用光纤进行互连，楼内采用超5类非屏蔽双绞线布线，在同一幢楼的汇聚层和接入层交换机之间也采用超5类非屏蔽双绞线进行连接。全网设一个核心层节点，位于第一实验楼网络中心。校内所有主干线路均汇聚于此节点，同时网络中心骨干节点也是学院广域网的唯一出口。30 汇聚层又根据实际情况分为一级汇聚节点和二级汇聚节点，一级汇聚直接和核心层连接，二级汇聚节点则只和一级汇聚节点相连。结合需求分析结果，全网设置4个一级汇聚节点，分别分布在学生宿舍3栋区，教学行政办公区汇聚点，图书馆汇聚点，学生宿舍9栋汇聚点。二级汇聚节点分别位于树木园5栋、苗圃园7栋。接入层网络交换设备位于各个建筑物的弱点设备间，提供多组24口的RJ45端口，端口带宽为10/100Mbps，接入层的各个交换设备之间采用级联方式，与汇聚层连接通过聚合千兆口相连。全网的主干链路包括网络中心到每一级汇聚节点间的线路，根据以上分析设计结果。图2-1学院拓扑图30 2.3校园网IP地址规划图2-2IP地址表2.4交换式园区网技术2.4.1VTP技术：VTP（VLANTrunking30 Protocol）：是VLAN中继协议，也被称为虚拟局域网干道协议。它是思科私有协议。作用是十几台交换机在企业网中，配置VLAN工作量大，可以使用VTP协议，把一台交换机配置成VTPServer,其余交换机配置成VTPClient,这样他们可以自动学习到server上的VLAN信息。它是一个OSI参考模型第二层的通信协议，主要用于管理在同一个域的网络范围内VLANs的建立、删除和重命名。在一台VTPServer上配置一个新的VLAN时，该VLAN的配置信息将自动传播到本域内的其他所有交换机。这些交换机会自动地接收这些配置信息，使其VLAN的配置与VTPServer保持一致，从而减少在多台设备上配置同一个VLAN信息的工作量，而且保持了VLAN配置的统一性。VTP通过网络(ISL帧或cisco私有DTP帧)保持VLAN配置统一性。VTP在系统级管理增加，删除，调整的VLAN，自动地将信息向网络中其它的交换机广播。此外，VTP减小了那些可能导致安全问题的配置。便于管理,只要在VTPserver做相应设置,VTPclient会自动学习VTPserver上的VLAN信息*当使用多重名字VLAN能变成交叉--连接。*当它们是错误地映射在一个和其它局域网，VLAN能变成内部断开。VTP有三种工作模式：VTPServer、VTPClient和VTPTransparent。新交换机出厂时的默认配置是预配置为VLAN1，VTP模式为服务器。一般，一个VTP域内的整个网络只设一个VTPServer。VTPServer维护该VTP域中所有VLAN信息列表，VTPServer可以建立、删除或修改VLAN，发送并转发相关的通告信息，同步vlan配置，会把配置保存在NVRAM中。VTPClient虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTPServer学到的，VTPClient不能建立、删除或修改VLAN，但可以转发通告，同步vlan配置，不保存配置到NVRAM中。VTPTransparent相当于是一项独立的交换机，它不参与VTP工作，不从VTPServer学习VLAN的配置信息，而只拥有本设备上自己维护的VLAN信息。VTPTransparent可以建立、删除和修改本机上的VLAN信息，同时会转发通告并把配置保存到NVRAM中。通常情况下，我们需要在整个园区网或者企业网中的一组的交换机中保持VLAN数据库的同步，以保证所有交换机都能从数据帧中读取相关的VLAN信息进行正确的数据转发，然而对于大型网络来说，可能有成百上千台交换机，而一台交换机上都可能存在几十乃至数百个VLAN，如果仅凭网络工程师手工配置的话是一个非常大的工作量，并且也不利于日后维护——每一次添加修改或删除VLAN都需要在所有的交换机上部署。在这种情况下，我们引入了VTP（VLANTrunkingProtocol）。30 要使用VTP，首先必须建立一个VTP管理域，在同一管理域中的交换机共享vlan信息，并且一个交换机只能参加一个管理域。不同域中的交换机不能共享vlan信息。VTP域VTP域也称为VLAN管理域，有一个以上共享VTP域名互相连接的交换机组成。也就是说，VTP域是一组VTP域名相同并通过中继链路相互连接的交换机。下面是VTP域的要求：1、域内的每台交换机都必须使用相同的域名，不论是通过配置实现，还是由交换自动学到的。2、Catalyst交换机必须是相邻的，即相邻的交换机需要具有相同的域名。3、在所有Catalyst交换机之间，必须配置中继链路。如果上述条件任何一项不满足，则VTP域不能联通，信息也就无法跨越分离部分进行传送。VTP模式有3种服务器模式（Server）客户机模式（Client）透明模式（Transparent）服务器模式（Server）提供VTP消息：包括VLANID和名字信息学习相同域名的VTP消息转发相同域名的VTP消息可以添加、删除和更改VLANVLAN信息写入NVRAM该模式下不能使用扩展客户机模式（Client）请求VTP消息学习相同域名的VTP消息转发相同域名的VTP消息不可以添加、删除和更改VLANVLAN信息不会写入NVRAM该模式下不能使用增强型软件映像提供的VID，即只能使用2-1001这一段的值。1，1002-1005均为系统默认VID。要使用1006-4096作VID的值，只能关闭VTP或采用透明模式。透明模式（Transparent）30 不提供VTP消息不学习VTP消息转发VTP消息可以添加、删除和更改VLAN，只在本地有效VLAN信息写入NVRAM新交换机出厂时的默认配置是预配置为VLAN1，VTP模式为服务器。当交换机是在VTPServer或透明的模式，能在交换机配置VLAN。当交换机配置在VTPServer或透明的模式，使用CLI、控制台菜单、MIB（当使用SNMP简单网络管理协议管理工作站）修改VLAN配置。一个配置为VTPServer模式的交换机向邻近的交换机广播VLAN配置，通过它的Trunk从邻近的交换机学习新的VLAN配置。在Server模式下可以通过MIB，CLI，或者控制台模式添加、删除和修改VLAN。2.4.2生成树协议STP技术：生成树协议（STP,SpanningTreeProtocol），又称扩展树协定，是一基于OSI网路模型的数据链路层（第二层）通讯协定，用作确保一个无回圈的区域网络环境。通过有选择性地阻塞网络冗余链路来达到消除网络二层环路的目的，同时具备链路的备份功能。工作原理：生成树协议的国际标准是IEEE802.1d.运行生成树算法的网桥/交换机在规定的间隔内通过网桥协议数据单元（BPDU）的组播帧与其他交换机交换配置信息，其工作的过程如下：　　1.通过比较网桥/交换机优先级选取根网桥/交换机（给定广播域内只有一个根网桥/交换机）；　　2.其余的非根网桥/交换机只有一个通向根网桥/交换机的端口，称为根端口；3.每个网段只有一个转发端口；　　4.根网桥/交换机所有的连接端口均为转发端口。特点：网桥使用珀尔曼博士发明的这种方法能够达到2层路由的理想境界：冗余和无环路运行。你可以把生成树协议设想为一个各网桥设备记在心里的用于进行优化和容错发送数据的过程的树型结构。生成树协议（SpanningTree30 Protocol）定义在IEEE802.1D中，是一种链路管理协议，它为网络提供路径冗余同时防止产生环路。为使以太网更好地工作，两个工作站之间只能有一条活动路径。网络环路的发生有多种原因，最常见的一种是有意生成的冗余：万一一个链路或交换机失败，会有另一个链路或交换机替代。功能：　　1、利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。2、以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。作用：　　在由交换机构成的交换网络中通常设计有冗余链路和设备。这种设计的目的是防止一个点的失败导致整个网络功能的丢失。虽然冗余设计可能消除的单点失败问题，但也导致了交换回路的产生，它会带来如下问题：　　1.广播风暴　　2.同一帧的多份拷贝　3.不稳定的MAC地址表　　因此，在交换网络中必须有一个机制来阻止回路，而生成树协议（SpanningTreeProtocol）的作用正是在于此。算法过程：　生成树协议的算法过程可以归纳为三个步骤：选择根网桥、选择根端口、选择指定端口。　　（1）选择根网桥：再全网中选择一个根网桥　　比较网桥的BID值，值越小其优先级越高。ID值是由两部分组成的：交换机的优先级和MAC地址组成的，如果交换机的优先级相同则比较其MAC地址，地址值越小，其就被选举为根网桥。　　（2）选择根端口：在每个非根交换机上选择根端口　　首先，比较根路径成本，根路径成本取决于链路的带宽，带宽越大，路径成本越低，则选该端口为根端口。　　其次，如果根路径成本相同，则要比较所在对端交换机BID值，值越小，则其优先级越高　　最后，比较端口的ID值，该值分为两部分：端口优先级和端口编号，值小的被选为根端口　　（3）选择指定端口：在每条链路上选择一个指定端口，根网桥上所有端口都是指定端口　　首先，比较根路径成本，30 其次，比较端口所在网桥的ID值最后，比较端口的ID值2.4.3以太网链路聚合技术：以太网链路聚合简称链路聚合，它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路，从而实现增加链路带宽的目的。同时，这些捆绑在一起的链路通过相互间的动态备份，可以有效地提高链路的可靠性。 Device A与Device B之间通过三条以太网物理链路相连，将这三条链路捆绑在一起，就成为了一条逻辑链路Link aggregation 1，这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和，从而达到了增加链路带宽的目的；同时，这三条以太网物理链路相互备份，有效地提高了链路的可靠性。1. 聚合组、成员端口和聚合接口 将多个以太网接口捆绑在一起所形成的组合称为聚合组，而这些被捆绑在一起的以太网接口就称为该聚合组的成员端口。每个聚合组唯一对应着一个逻辑接口，我们称之为聚合接口。聚合组/聚合接口可以分为以下两种类型：              二层聚合组/二层聚合接口：二层聚合组的成员端口全部为二层以太网接口，其对应的聚合接口称为二层聚合接口（Bridge-aggregation Interface，BAGG）。               三层聚合组/三层聚合接口：三层聚合组的成员端口全部为三层以太网接口，其对应的聚合接口称为三层聚合接口（Route-aggregation Interface，RAGG）。 2. 成员端口的状态 聚合组内的成员端口具有以下两种状态：             选中（Selected）状态：此状态下的成员端口可以参与用户数据的转发，处于此状态的成员端口简称为“选中端口”。           非选中（Unselected）状态：此状态下的成员端口不能参与用户数据的转发，处于此状态的成员端口简称为“非选中端口”。 3. 操作Key 30 操作Key是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值，它是根据成员端口上的一些信息（包括该端口的速率、双工模式等）的组合自动计算生成的，这个信息组合中任何一项的变化都会引起操作Key的重新计算。在同一聚合组中，所有的选中端口都必须具有相同的操作Key。4. 配置分类 根据对成员端口状态的影响不同，我们可以将成员端口上的配置分为以下三类： (1) 端口属性类配置：包含速率、双工模式和链路状态（up/down）这三项配置内容，是成员端口上最基础的配置内容。 (2) 第二类配置：包含的配置内容如表 1所示。在聚合组中，只有与对应聚合接口的第二类配置完全相同的成员端口才能够成为选中端口。(3)第一类配置：是相对于第二类配置而言的，包含的配置内容有GVRP、MSTP等。在聚合组中，即使某成员端口与对应聚合接口的第一类配置存在不同，也不会影响该成员端口成为选中端口。5. 参考端口 参考端口从成员端口中选出，其端口属性类配置和第二类配置将作为同一聚合组内的其它成员端口的参照，以确定这些成员端口的状态。6. LACP协议 基于IEEE802.3ad标准的LACP（Link Aggregation Control Protocol，链路聚合控制协议）协议是一种实现链路动态聚合的协议，运行该协议的设备之间通过互发LACPDU（Link Aggregation Control Protocol Data Unit，链路聚合控制协议数据单元）来交互链路聚合的相关信息。 1.LACP协议的功能 30 根据所使用的LACPDU字段的不同，可将LACP协议的功能分为基本功能和扩展功能两大类，2.LACP优先级 根据作用的不同，可以将LACP优先级分为系统LACP优先级和端口聚合优先级两类，如表 3所示。3.LACP超时时间 30 LACP超时时间是指成员端口等待接收LACPDU的超时时间。在三倍LACP超时时间之后，如果本端成员端口仍未收到来自对端的LACPDU，则认为对端成员端口已失效。LACP超时时间只有短超时（1秒）和长超时（30秒）两种取值。7. 聚合模式根据成员端口上是否启用了LACP协议，可以将链路聚合分为静态聚合和动态聚合两种模式，它们各自的特点如表 4所示。处于静态聚合模式和动态聚合模式下的聚合组分别称为静态聚合组和动态聚合组，动态聚合组内的选中端口以及处于up状态、与对应聚合接口的第二类配置相同的非选中端口均可以收发LACPDU。静态聚合模式 在静态聚合模式下，聚合组内的成员端口上不启用LACP协议，其端口状态通过手工进行维护。静态聚合模式的工作机制如下： 1. 选择参考端口 当聚合组内有处于up状态的端口时，先比较端口的聚合优先级，优先级数值最小的端口作为参考端口；如果优先级相同，再按照端口的全双工/高速率->全双工/低速率->半双工/高速率->半双工/低速率的优先次序，选择优先次序最高、且第二类配置与对应聚合接口相同的端口作为该组的参考端口；如果优先次序也相同，则选择端口号最小的端口作为参考端口。 2. 确定成员端口的状态 静态聚合组内成员端口状态的确定流程如图2-3所示。 图2-3静态聚合组内成员端口状态的确定流程30 图2-3静态聚合组内成员端口状态的确定流程动态聚合模式在动态聚合模式下，聚合组内的成员端口上均启用LACP协议，其端口状态通过该协议自动进行维护。动态聚合模式的工作机制如下： 1. 选择参考端口 (1)  首先，从聚合链路的两端选出设备ID（由系统的LACP优先级和系统的MAC地址共同构成）较小的一端：先比较两端的系统LACP优先级，优先级数值越小其设备ID越小；如果优先级相同再比较其系统MAC地址，MAC地址越小其设备ID越小。 (2)  其次，对于设备ID较小的一端，再比较其聚合组内各成员端口的端口ID（由端口的聚合优先级和端口的编号共同构成）：先比较端口的聚合优先级，优先级数值越小其端口ID越小；如果优先级相同再比较其端口号，端口号越小其端口ID越小。端口ID最小的端口作为参考端口。 2. 确定成员端口的状态 30 在设备ID较小的一端，动态聚合组内成员端口状态的确定流程如图2-4所示。图2-4动态聚合组内成员端口状态的确定流程聚合负载分担类型 通过采用不同的聚合负载分担类型及其组合，可以灵活地实现对聚合组内流量的负载分担。聚合负载分担的类型包括以下几种：            根据报文的MAC地址进行聚合负载分担 l              根据报文的VLAN标签进行聚合负载分担 l              根据报文的服务端口号进行聚合负载分担 l              根据报文的入端口进行聚合负载分担 l              根据报文的IP地址进行聚合负载分担 l              30 根据报文的IP协议类型进行聚合负载分担 l              根据报文的MPLS标签进行聚合负载分担 用户可以指定系统按照上述聚合负载分担类型的其中之一或其组合来进行负载分担，此外用户也可以指定系统按照报文类型（如二层、IPv4、IPv6、MPLS等）自动选择聚合负载分担的类型，还可以指定系统对每个报文逐包进行聚合负载分担2.5网络可靠性和容错设计2.5.1计算机网络在一些重要场合的网络系统，如国防、交通、金融证劵等部门，会对系统的可靠性提出很高的要求，如能够适应复杂环境、长时间不中断地运行，系统即使发生故障也能继续运行等。在一般的具有一定规模的网络系统中，也应要求网络的核心层和关键设备具有一定的可靠性，使得整个网络系统能够平稳地运行。2.5.2计算机网络的可靠性定义从工程的角度，可以把计算机的可靠性定义为：“在给定的时间间隔及给定的环境条件下，网络按设计目标成功运行的概率”可见网络的可靠性和环境、时间、设计目标有关。而成功运行包括两个方面的含义：一是正确无误地完成规定的功能；二是具有一定程度的容错能力，即当网络系统发生故障时，系统能够继续工作及迅速恢复的能力。网络系统的可靠性主要有3方面：抗毁性、生存性和有效性。抗毁性是指系统在人为破坏下的可靠性。比如，部分线路或结点失效后，系统是否能提供一定程度的服务。增强抗毁性可以有效地避免因各种灾难（战争、地震等）造成的大面积瘫痪事件。在学校的校园网中为了实现抗毁性我们决定在学校中实施灾难恢复系统用以保证系统在遭受毁灭性攻击时可以实现恢复。生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构队系统可靠性的影响。这里，随机破坏性是指系统部件因为自然老化等造成的自然失效。为了保证校园网络的生存性我们定时定期对校园网络中设备进行检查，对已经老旧或破损的设备进行维修或者更换。30 有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效的情况下，满足业务性能要求的程度。比如，网络部件失效虽然没有引起连接性故障，但是却造成质量指标下降、平均延时增加、线路阻塞等现象。提高网络系统可靠性的方法，除了保证系统本身的质量和规范管理外，网络设计中主要是设计冗余部件，即构建网络系统的备份体系，增强系统的容错能力。具体的容错能力设计又可分为硬件容错、软件容错和线路容错设计。在信息系统中完整的设备系统应该包括运行环境备份、业务数据备份和恢复方案。运行环境和业务数据的完整备份，再加上周密的恢复方案可使系统在出现故障后迅速恢复，而这一切又依赖于良好的备份策略和严格的日常管理。网络系统是信息系统的子系统。2.5.3网络设计技术网络的设计和建设应该充分考虑到网络的安全性和稳定性，应该能保证各种在网数据安全、完整，保证各类网络应用的畅通和稳定。对于单个的网络设备，要求设备本身有高可用性，和长期运行的稳定性。对于关键的设备需要支持关键部件的冗余和热插拔功能。另外还要求关键网络设备必须符合安全性要求，具有能阻挡一般性网络攻击的能力。对于整个网络的设计方面，使用设计成熟的网络设备和通信技术，对于网络的重要部分或设备应在网络设计上考虑冗余和备份。减少单点故障对整个网络的影响。网络在硬件和软件上考虑防止非法入侵和破坏的能力，主干网要能抑制广播风暴和地址过滤。整个网络要便于统一管理、监控、和维护，并能跟踪、诊断和排除故障。主要网络设备要支持SNMP和RMON。大型的校园网络，必须依靠各种网管软件及特别的网管功能，实现监控、故障诊断和排错。特别强调的是：Catalyst交换机中RemoteSPAN功能可以远程映射端口流量进行分析，方便故障诊断。核心交换机将来自多台分布式主机和交换机的流量集中起来，将跨网络中多个交换机实现源端口和目的端口之间的网络通信流镜像，以此实现集中管理和监控。这样在网络出现故障的时候，在核心交换机的一点上就可以查找到网络中的故障设备和故障端口，不需要进行多个物理点的监控检查，极大降低网络管理的成本，提高网络使用效率。对于三层协议，路由协议可以负载均衡、链路备份、快速的故障恢复;对于二层协议，可以通过820.1s/802.1w或PVST/uplinkfast/backbonefast技术实现负载均衡、链路备份、快速的故障恢复。30 对于三层协议:通过某些动态路由协议，如EIGRP，可以配置相应的Metric值，使两条链路可以同时工作，当某条链路坏时，可以自动备份到余下的链路上。即实现了负载均衡、链路备份、快速的故障恢复.对于二层协议：820.1s/802.1w或PVST/uplinkfast/backbonefast技术，可以自定义一部分VLAN以主链路，链路2为备份；对另一部分VLAN以链路2为主链路，链路1为备份。则实现了负载均衡、链路备份、快速的故障恢复参考文献:[1]高阳，王坚强．计算机网络原理与实用技术(第二版)．电子工业出版社．2009.8[2]谢希仁．计算机网络．电子工业出版社2013.6第三版[3]杜思深.综合布线.清华大学出版社2006.1第三版[4]万晓榆．下一代网络技术与应用．人民邮电出版社．2003.3第一版[5]陈明．网络协议教程．清华大学出版社2004.6第一版[6]沈鑫剡．IP交换网原理、技术及实现．人民邮电出版社[7]DOUGLASE．COMER著，徐良贤，张声坚，吴海通译．计算机网络与互联网．电子工业出版社．1998.4第一版[8]DOUGLASE．COMER著，徐良贤，唐英，王勋译．计算机网络与因特网．机械工业出版社2000.8第一版30'