网络工程与组网技术课程设计文档格式.docx

1、23第二章 使用工具介绍及系统环境配置2.1 二层交换机2.1.1 二层交换机概念二层交换技术是发展比较成熟，二层交换机属数据链路层设备，可以识别数据包中的 MAC 地址信息，根据 MAC 地址进行转发，并将这些 MAC 地址与对应的端口记录在自己内部的一个地址表中。2.1.2 二层交换机原理从二层交换机的工作原理可以推知以下三点：（1） 由于交换机对多数端口的数据进行同时交换，这就要求具有很宽的交换总线带宽，如果二层交换机有 N 个端口，每个端口的带宽是 M，交换机总线带宽超过 NM，那么这交换机就可以实现线速交换；（2） 学习端口连接的机器的 MAC 地址，写入地址表，地址表的大小（一般两

2、种表示方式：一为 BUFFER RAM，一为 MAC 表项数值），地址表大小影响交换机的接入容量；（3） 还有一个就是二层交换机一般都含有专门用于处理数据包转发的ASIC （Application specific Integrated Circuit）芯片，因此转发速度可以做到非常快。由于各个厂家采用 ASIC 不同，直接影响产品性能。以上三点也是评判二三层交换机性能优劣的主要技术参数，这一点请大家在考虑设备选型时注意比较。2.1.3 路由技术路由器工作 在 OSI 模型的第三层-网络层操作，其工作模式与二层交换相似，但路由器工作在第三层，这个区别决定了路由和交换在传递包时使用不同的控制信息

3、，实现 功能的方式就不同。工作原理是在路由器的内部也有一个表，这个表所标示的是如果要去某一个地方，下一步应该向哪里走，如果能从路由表中找到数据包下一步往哪里走，把链路层信息加上转发出去；如果不能知道下一步走向哪里，则将此包丢弃，然后返回一个信息交给源地址。路由技术实质上来说不过两种功能：决定最优路由和转发数据包。路由表中写入各种信息，由路由算法计算出到达目的地址的最佳路径，然后由相对简单直接的转发机制发送数据包。接受数据的下一台路由器依照相同的工作方式继续转发，依次类推，直到数据包到达目的路由器。2.2 三层交换机2.2.1 三层交换机概念三层交换机就是具有部分路由器功能的交换机，三层交换机的

4、最重要目的是加快大型局域网内部的数据交换，所具有的路由功能也是为这目的服务的，能 够做到一次路由，多次转发。对于数据包转发等规律性的过程由硬件高速实现， 而象路由信息更新、路由表维护、路由计算、路由确定等功能，由软件实现。三层交换技术就是二层交换技术三层转发技术。传统交换技术是在 OSI 网络标准模型第二层数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发，既可实现网络路由功能，又可根据不同网络状况做到最优网络性能。2.2.2 三层交换机工作原理使用 IP 的设备 A-三层交换机-使用 IP 的设备 B比如 A 要给 B 发送数据，已知目的 IP，那么 A 就用子

5、网掩码取得网络地址，判断目的 IP 是否与自己在同一网段。如果在同一网段，但不知道转发数据所需的 MAC 地址，A 就发送一个ARP 请求，B 返回其 MAC 地址，A 用此 MAC 封装数据包并发送给交换机，交换机起用二层交换模块，查找 MAC 地址表，将数据包转发到相应的端口。如果目的 IP 地址显示不是同一网段的，那么 A 要实现和 B 的通讯，在流缓存条目中没有对应 MAC 地址条目，就将第一个正常数据包发送向一个缺省网关，这个缺省网关一般在操作系统中 已经设好，对应第三层路由模块，所以可见对于不是同一子网的数据，最先在 MAC 表中放的是缺省网关的 MAC 地址；然后就由三层模块接收

6、到此数据包，查询路 由表以确定到达 B 的路由，将构造一个新的帧头，其中以缺省网关的 MAC 地址为源 MAC 地址，以主机 B 的 MAC 地址为目的 MAC 地址。通过一定的识别触发机 制，确立主机 A 与 B 的 MAC 地址及转发端口的对应关系，并记录进流缓存条目表，以后的 A 到 B 的数据，就直接交由二层交换模块完成。这就通常所说的一次路由 多次转发。2.2.3 三层交换机优势除了优秀的性能之外，三层交换机还具有一些传统的二层交换机没有的特性，这些特性可以给校园网和城域教育网的建设带来许多好处，列举如下。1、高可扩充性三层交换机在连接多个子网时，子网只是与第三层交换模块建立逻辑连接

7、， 不像传统外接路由器那样需要增加端口，从而保护了用户对校园网、城域教育 网的投资。并满足学校 35 年网络应用快速增长的需要。2、高性价比三层交换机具有连接大型网络的能力，功能基本上可以取代某些传统路由 器，但是价格却接近二层交换机。现在一台百兆三层交换机的价格只有几万元， 与高端的二层交换机的价格差不多。3、内置安全机制三层交换机可以与普通路由器一样，具有访问列表的功能，可以实现不同 VLAN 间的单向或双向通讯。如果在访问列表中进行设置，可以限制用户访问特定的 IP 地址，这样学校就可以禁止学生访问不健康的站点。访问列表不仅可以用于禁止内部用户访问某些站点，也可以用于防止校园网、城域教育

8、网外部的非法用户访问校园网、城域教育网内部的网络资源，从而提高网络的安全。4、适合多媒体传输教育网经常需要传输多媒体信息，这是教育网的一个特色。三层交换机具有 QoS（服务质量）的控制功能，可以给不同的应用程序分配不同的带宽。例如，在校园网、城域教育网中传输视频流时，就可以专门为视频传输预留一定量的专用带宽，相当 于在网络中开辟了专用通道，其他的应用程序不能占用这些预留的带宽，因此能够保证视频流传输的稳定性。而普通的二层交换机就没有这种特性，因此在传输视频 数据时，就会出现视频忽快忽慢的抖动现象。另外，视频点播（VOD）也是教育网中经常使用的业务。但是由于有些视频点播系统使用广播来传输，而广播

9、包是不能实现跨网段的，这样 VOD 就不能实现跨网段进行；如果采用单播形式实现 VOD，虽然可以实现跨网段，但是支持的同时连接数就非常少，一般几十个连接就占用了全部带宽。而三层交换机具有组播功能，VOD 的数据包以组播的形式发向各个子网，既实现了跨网段传输，又保证了 VOD 的性能。5、计费功能在高校校园网及有些地区的城域教育网中，很可能有计费的需求，因为三层交换机可以识别数据包中的 IP 地址信息，因此可以统计网络中计算机的数据流量，可以按流量计费，也可以统计计算机连接在网络上的时间，按时间进行计费。而普通的二层交换机就难以同时做到这两点。2.3 路由器2.3.1 路由器的概念路由器（Rou

10、ter）是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。 路由器是互联网络的枢纽、交通警察。目前路 由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。路由和交换之间的主 要区别就是交换发生在OSI 参考模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需使用不同的控制 信息，所以两者实现各自功能的方式是不同的。2.3.2 路由器工作原理（1） 工作站 A 将工作站 B 的地址 12.0.0.5 连同数据信息

11、以数据包的形式发送给路由器 1。（2） 路由器 1 收到工作站 A 的数据包后，先从包头中取出地址12.0.0.5，并根据路径表计算出发往工作站 B 的最佳路径：R1-R2-R5-B；并将数据包发往路由器 2。（3） 路由器 2 重复路由器 1 的工作，并将数据包转发给路由器 5。（4） 路由器 5 同样取出目的地址，发现 12.0.0.5 就在该路由器所连接的网段上，于是将该数据包直接交给工作站 B。（5） 工作站 B 收到工作站 A 的数据包，一次通信过程宣告结束。事实上，路由器除了上述的路由选择这一主要功能外，还具有网络流量控制功能。有的路由器仅支持单一协议，但大部分路由器可以支持多种协

12、议的传输，即多协议路由器。由于每一种协议都有自己的规则，要在一个路由器中完成多种协议的算法，势必会降低路由器的性能。因此，我们以为，支持多协议的路由器性能相对较低。用户购买路由器时，需要根据自己的实际情况，选择自己需要的网络协议的路由器。近年来出现了交换路由器产品，从本质上来说它不是什么新技术，而是为了提高通信能力，把交换机的原理组合到路由器中，使数据传输能力更快、更好2.3.3 路由器的作用路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。1、

13、静态路径表由系统管理员事先设置好固定的路径表称之为静态（static）路径表， 一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。2、动态路径表动态（Dynamic）路径表是路由器根据网络系统的运行情况而自动调整的路径表。路由器根据路由选择协议（Routing Protocol）提供的功能，自动学习和记忆网络运行情况，在需要时自动计算数据传输的最佳路径。2.4 系统环境配置：处理器系列 英特尔 酷睿 2 双核 T5 系列处理器型号 Intel 酷睿 2 双核 T5670 标称主频 1.8GHz前端总线 800MHz二级缓存 2MB内核架构 Merom主板芯片组

14、 Intel PM45标配内存容量 1GB 内存类型 DDRII 最大支持内存 4GB 硬盘/光驱硬盘容量 160GB 硬盘描述 5400 转光驱类型 康宝设计类型 光驱内置显卡/音效显卡类型 中低端独立显卡显卡芯片 NVIDIA GeForce 9300M GS流处理器个数 16 显存 256MB/64bit 显存类型 DDRII音频系统 Intel High Definition Audio, 立体声音效扬声器 立体声扬声器显示屏屏幕尺寸 14.1 英寸屏幕比例 是屏幕分辨率 1280800 背光技术 CCFL 背光尺寸/重量笔记本重量 2.5Kg外形尺寸 33624734-39mm外壳描

15、述 钢琴漆外壳网络通信无线网卡 支持 802.11b/g（54Mbps）无线协议网卡描述 1000Mbps 以太网卡支持蓝牙 无调制解调器 56K鼠标/键盘指取设备 ThinkPad UltraNav（指点杆和触摸板 ）接口USB 接口 4USB2.0扩展接口 ExpressCard读卡器 SD 卡插槽视频输出 1 个 VGA、1 个 HDMI其他接口 IEEE1394、1RJ-11、1RJ-45、1 组音频输入输出接口电源描述电池类型 6 芯锂电池 续航时间 2-3 小时, 具体时间视使用环境而定 电源适配器 100V/240V 自适应交流电源供应器第三章 可行性分析和系统需求分析3.1 可

16、行性分析3.1.1 划分 vlan 的分析虚拟局域网 VLAN（Virtual Local Area Network）的中文名为虚拟局域网VLAN 是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中，但主流应用还是在交换机之中。但又不是所有交换机都具有此功能，只有 VLAN 协议的第三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。VLAN 的优点 1. 广播风暴防范：2. 安全：3.成本降低：4.性能提高：5.提高IT 员工效率：6.简化项目管理或应用管理：7. 增加了网络连接的灵活性。组建 VLAN

17、的条件VLAN 的划分 1.根据端口来划分 VLAN2.根据 MAC 地址划分 VLAN3.根据网络层划分 VLAN4.根据 IP 组播划分 VLAN5.基于规则的 VLAN6. 按用户定义、非用户授权划分 VLANVLAN 的标准：划分 VLAN 的基本策略 1、基于端口的 VLAN 划分 2、基于 MAC 地址的 VLAN 划分3、基于路由的 VLAN 划分VLAN 的分类及优缺点 1. 基于端口的 VLAN（1） 多交换机端口定义 VLAN（2） 单交换机端口定义 VLAN2. 基于 MAC 地址的 VLAN3. 基于路由的 VLAN4. 基于策略的VLAN3.1.2 配置 RSTP 协

18、议分析配置算法协议 RSTP（Rapid Spanning Tree Algorithm and Protocol 快速生成树算法）将一个桥接 LAN （Bridged LAN）的拓扑简化为一个生成树（SpanningTree）.这里 描述的 RSTP 算法协议已经代替了 STP（Spanning Tree Algorithm and Protocol 生成树算法） 算法协议.相比 STP,RSTP 提供了非常快速的重配置功能,同时 RSTP 可以与 STP 进行互操作, 也即:运行 RSTP 的网桥可以和运行STP 的网桥协同工作。桥接 LAN:将多个独立 LAN 用网桥连起来形成的一个大的

19、 LAN1 对 RSTP 算法协议的需求a） 从任意物理拓扑结构的桥接 LAN 中选出一个简单无环,完全连通的活动拓扑:生成树b） 错误容忍:当 LAN 的成员（网桥,网桥端口或 LANs）发生故障时,可以自动重新配置生 成树拓扑;自适应:当向桥接 LAN 中加入网桥或网桥端口时,不会形成暂时环c） 活动拓扑会以一个很高的概率在一个很段的有限制（已知）的时间内稳定, 以最小化任何 两个终端站点之间的不可达时间d） 活动拓扑是可预测的,可再现的,可以通过配置算法参数来选择的:这允许配置管理程 序根据流量分析来满足性能要求e） 算法的运行对终端站点透明:当使用 MAC 服务时,它们不知道它们是接在

20、一个独立 LAN 上还是一个桥接 LAN 上f） 算法运行消耗的通信带宽非常小 下面的需求是为了降低网桥和配置网桥的复杂性g） 每个网桥端口的内存需求与网桥和 LANs 的数量无关h） 一个分配了 MAC 地址的网桥不经配置就可以加入桥接 LAN 中i） 在正常工作中,用来配置活动拓扑的时间与协议的定时间值是独立的2 对 MAC 网桥的需求a） 有一个唯一的组地址可以被桥接 LAN 中的所有网桥识别,这个组地址标识一个独立 LAN 上的所有网桥（即在一个独立 LAN 中发一个目的地址是该组地址的消息,可以被该 LAN 上的所有网桥接收,该消息不会被它们直接转发）b） 每个网桥在桥接 LAN 中

21、都有一个唯一的网桥标识,称为网桥ID（BridgeIdentifier）. 这个 ID 部分来自网桥地址,部分来自网桥优先级.并且这个值越小,这个网桥的优先 级越高c） 每个网桥的所有端口都有不同的端口标识,称为端口 ID（portId 每个网桥独立分配）. 这个 ID 部分是固定的（与其它端口不同,比如是端口号）,部分来自端口优先级.并且 这个值越小,这个端口的优先级越高 下面的需求是为了支持管理配置生成树的活动拓扑d） 可以为桥接 LAN 中的每个网桥分配一个相对优先级e） 可以为每个网桥的每个端口分配一个相对优先级f） 可以为每个网桥的每个端口分配一个路径代价（path cost）. 当

22、支持网桥管理时,这些参数可以通过管理进行配置3.1.3 RouterA 上配置 NAT 的分析1. 什么是 NAT？NAT 即 Network Address Translation,它可以让那些使用私有地址的内部网络连接到 Internet 或其它 IP 网络上。NAT 路由器在将内部网络的数据包发送到公用网络时，在 IP 包的报头把私有地址转换成合法的 IP 地址。2在 NAT 实验中需要理解的术语：1） 内部局部地址（Inside Local）：在内部网络中分配给主机的私有 IP 地址。2） 内部全局地址（Inside Global）：一个合法的 IP 地址，它对外代表一个或多个内部局部

23、 IP 地址。3） 外部全局地址（Outside Global）：由其所有者给外部网络上的主机分配的 IP 地址。4） 外部局部地址（Outside Local）：外部主机在内部网络中表现出来的 IP 地址。3. NAT 的优点和缺点：NAT 的优点:（1） 对于那些家庭用户或者小型的商业机构来说，使用 NAT 可以更便宜，更有效率地接入 Internet。（2） 使用 NAT 可以缓解目前全球 IP 地址不足的问题。（3） 在很多情况下，NAT 能够满足安全性的需要。（4） 使用 NAT 可以方便网络的管理，并大大提高了网络的适应性。NAT 的缺点:（1） NAT 会增加延迟,因为要转换每个

24、数据包包头的 IP 地址,自然要增加延迟. （2） NAT 会使某些要使用内嵌地址的应用不能正常工作.4. NAT 的工作原理：当内部网络中的一台主机想传输数据到外部网络时，它先将数据包传输到 NAT 路由器上，路由器检查数据包的报头，获取该数据包的源 IP 信息，并从它的 NAT 映射表中找出与该 IP 匹配的转换条目，用所选用的内部全局地址（全球唯一的 IP 地址）来替换内部局部地址，并转发数据包。当外部网络对内部主机进行应答时，数据包被送到 NAT 路由器上，路由器接收到目的地址为内部全局地址的数据包后，它将用内部全局地址通过 NAT 映射表查找出内部局部地址，然后将数据包的目的地址替换

25、成内部局部地址，并将数据包转发到内部主机。5. NAT 配置中的常用命令：ip nat inside|outside：接口配置命令。以在至少一个内部和一个外部接口上启用 NAT。ip nat inside source static local-ip global-ip：全局配置命令。在对内部局部地址使用静态地址转换时，用该命令进行地址定义。access-list access-list-number permit|deny local-ip-address：使用该命令为内部网络定义一个标准的 IP 访问控制列表。ip nat pool pool-name start-ip end-ip ne

26、tmask netmask type rotary： 使用该命令为内部网络定义一个 NAT 地址池。ip nat inside source list access-list-number pool pool-name overload：使用该命令定义访问控制列表与 NAT 内部全局地址池之间的映射。ip nat outside source list access-list-number pool pool-name overload：使用该命令定义访问控制列表与 NAT 外部局部地址池之间的映射。ip nat inside destination list access-list-numb

27、er pool pool-name：使用该命令定义访问控制列表与终端 NAT 地址池之间的映射。show ip nat translations：显示当前存在的 NAT 转换信息。show ip nat statistics：查看 NAT 的统计信息。show ip nat translations verbose：显示当前存在的 NAT 转换的详细信息。debug ip nat：跟踪 NAT 操作，显示出每个被转换的数据包。Clear ip nat translations *:删除 NAT 映射表中的所有内容.3.1.4 ACL 的相关分析什么是 ACL？访问控制列表简称为 ACL，访问控

28、制列表使用包过滤技术，在路由器上读取第三层及第四层包头中的信息如源地址，目的地址，源端口，目的端口等， 根据预先定义好的规则对包进行过滤，从而达到访问控制的目的。该技术初期仅在路由器上支持，近些年来已经扩展到三层交换机，部分最新的二层交换机也开始提 供 ACL 的支持了。访问控制列表使用原则由于 ACL 涉及的配置命令很灵活，功能也很强大，所以我们不能只通过一个小小的例子就完全掌握全部 ACL 的配置。在介绍例子前为大家将 ACL 设置原则罗列出来，方便各位读者更好的消化 ACL 知识。1、最小特权原则只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集，只满足部分条件的是不容许通过规则的。2、最靠近受控对象原则所有的网络层访问权限控制。也就是说在检查规则时是采用自上而下在 ACL 中一条条检测的，只要发现符合条件了就立刻转发，而不继续检测下面的 ACL 语句。3、默认丢弃原则在 CISCO 路由交