校园网路由
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
概要分析
校园网路由设计
概要分析
目录
3一、 校园网与电信或联通的Internet接入方式
4二、 校园网ACL技术及应用概述
41. 利用 ACL 技术实现流量控制(双向)
52. 利用 ACL 技术实现上网时间控制
53. 用 ACL 技术实现网络设备的管理
54. 利用ACL过滤病毒
55. 利用ACL对服务器进行控制
5三、 校园网NAT技术及应用概述
61. 外网访问内网
62. 公有地址局限问题
63. 效率问题
64. 加密问题
65. 安全问题
7四、 校园网QOS技术及应用概述
71. QoS的作用
72. QoS的功能
1、 校园网与电信或联通的Internet接入方式
我们采用SDH技术接入Internet,它的优点有:
· SDH传输系统在国际上有统一的帧结构数字传输
标准
excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载
速率和标准的光路接口,使网管系统互通,因此有很好的横向兼容性,它能与现有的PDH完全兼容,并容纳各种新的业务信号,形成了全球统一的数字传输体制标准,提高了网络的可靠性。
· SDH接入系统的不同等级的码流在帧结构净负荷区内的排列非常有规律,而净负荷与网络是同步的,它利用软件能将高速信号一次直接分插出低速支路信号,实现了一次复用的特性,克服了PDH准同步复用方式对全部高速信号进行逐级分解然后再生复用的过程,由于大大简化了DXC,减少了背靠背的接口复用设备,改善了网络的业务传送透明性。
· 由于采用了较先进的分插复用器(ADM)、数字交叉连接(DXC)、网络的自愈功能和重组功能就显得非常强大,具有较强的生存率。因SDH帧结构中安排了信号的5%开销比特,它的网管功能显得特别强大,并能统一形成网络管理系统,为网络的自动化、智能化、信道的利用率以及降低网络的维管费和生存能力起到了积极作用。
· 由于SDH多种网络拓扑结构,它所组成的网络非常灵活,它能增强网监,运行管理和自动配置功能,优化了网络性能有,同时也使网络运行灵活、安全、可靠,使网络的功能非常齐全和多样化。
· SDH有传输和交换的性能它的系列设备的构成能通过功能块的自由组合,实现了不同层次和各种拓扑结构的网络,十分灵活。
· SDH并不专属于某种传输介质,它可用于双绞线、同轴电缆,但SDH用于传输高数据率则需用光纤。这一特点表明,SDH既适合用作干线通道,也可作支线通道。例如,我国的国家与省级有线电视干线网就是采用SDH,而且它也便于与光纤电缆混合网(HFC)相兼容。
· 从OSI模型的观点来看,SDH属于其最底层的物理层,并未对其高层有严格的限制,便于在SDH上采用各种网络技术,支持ATM或IP传输。
· SDH是严格同步的,从而保证了整个网络稳定可靠,误码少,且便于复用和调整。
· 标准的开放型光接口可以在基本光缆段上实现横向兼容,降低了联网成本。
运营商:
我们电信联通双线接入Internet,双线接入是指服务器所在的数据中心机房同时拥有网通与电信等多种网络出口,在机房的上层交换机上设置了全网路由技术,使服务器每次向外部网络连接时可以自动被分配到最快速的链路上。从而实现电信与网通用户都可以同时高速访问。
运营商的费用价目表
电信运营商:
联通运营商:
全校现在共有12000名学生,教职工2000人。首先为了满足日常的上网需求,每台主机分配100KB的带宽。
高峰期大概同时上网人数6350人
高峰期的总带宽需求=100*6350= 635000KB=635MB
低峰期大概同时上网人数1210人
低峰期的总带宽需求=100*3210= 121000KB=121MB
通过上面的数据,综合一下,总共需要455M的带宽就已经满足需求了。
接入Internet总费用:
总带宽455M,其中300M的电信带宽,155M的联通带宽,
总价格=150270+28000=178270元/月
2、 校园网ACL技术及应用概述
ACL 使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。
1. 利用 ACL 技术实现流量控制(双向)
1 利用 ACL 技术来控制校园网的出口流量
一般情况下,BT 软件使用的是 6880-6890 端口,而电驴使用的是TCP 的 4662 端口和 UDP 的 4772 端口,我们只要封锁这些端口就可以达到母的。
2 利用 ACL 技术来控制校园网的入口流量
可以采取一定的
措施
《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施
,限制校园外的用户对校园网内的 BT 用户发起主动连接,从而限制出流量,进而达到限制双向 BT 流量的目的。
2. 利用 ACL 技术实现上网时间控制
利用 ACL 可以对用户限定上网的时间。 比如为防止学生凌晨不好好睡觉却上网,可以限定在周一至周五的黄金睡觉时间(0:00-6:00)不能访问外网,其他时间可以开放。而教室公寓上网时间不限制,那么教室公寓的IP网段不在受限制范围内。具体设置如下:
3. 用 ACL 技术实现网络设备的管理
网络交换设备作为校园网的核心部分,它维护着整个校园网的有效运行,只有对网络设备进行一个有效的管理,才能为校园提供一个安全、稳定的网络环境。
例如,可以限定只有网络管理员(192.168.0.1)才允许登录并配置路由器。
4. 利用ACL过滤病毒
配置 ACL 列表来关闭一些常见病毒程序端口,达到保护网络安全的目的。例如针对冲击波病毒,知道冲击波病毒常用的端口69、135,138、445、593、4444 等,所以在路由器上建立 ACL, 封锁病毒传播、扫描、攻击所利用的端口,禁止与这些目的端口匹配的数据包通过路由器,把病毒阻止在设备之外。
5. 利用ACL对服务器进行控制
除了在服务器本身做好安全措施外,还可以在路由器或交换机上建立 ACL,只放开与服务器对应的一些端口,其余都关闭,例如 WWW 服务器只开放 80 端口、DNS 服务器只开放 53 端口、Email 服务器开放 80、25、110 端口,这样一些数据包在没到达服务器之前,已经被路由器或交换机过滤掉。
3、 校园网NAT技术及应用概述
NAT设置在内部网与外部公网连接处的路由器上,负责将内部假IP源地址转换成合法地址,以及将合法目的IP地址转换成内部假地址。
NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
在配置NAT的时候我们考虑到了以下几个问题:
6. 外网访问内网
· 为了保证外网能正常访问内网主机,服务器处使用静态地址转换。
· NAT破坏了端到端的直接通信,如校内数据库信息系统,只能被校园网内用户访问,而没在校园网内的用户则不能访问。随着网络的普及,校外师生以及外出人员都有使用校园网内服务的需要,为解决这一问题,一般采用V PN 技术,V PN 技术突破校园网的校园地域限制,使网外授权用户也能访问校园网内资源。
7. 公有地址局限问题
因为公有地址有限,并且不是所有用户同时访问外网,所以我们在宿舍和教学楼采用复用动态地址转换(NAPT),同时在办公楼采取动态地址转换。
8. 效率问题
使用N A T 地址转换会使路由器处理数据包延迟增大,路由器的CPU 必须对每个数据进行检查,对需要改变地址信息的数据包进行操作,因此会加大运行负荷。每一个N A T 映射用大约160 字节的内存,为了性能或策略的原因,可能对映射的条目数目进行限制。
9. 加密问题
因为N A T 能改变许多应用中数据字段所携带的IP 地址信息,但如果数据字段被加密了,N A T 就无法阅读这个数据,所以若使用IPSec 进行加密,只能把N A T 放在安全一侧,而不能放在加密的路径上,再者,IPSec 数据包的IP 地址不能被改变,否则就会破坏V PN 的功能。
10. 安全问题
有些人会把N A T 看作是安全计划的一部分,因为它对外隐藏了内部网络的细节,一个转换过的主机会以不同的IP 出现在Internet上,但这种情况的安全性依然较差,因为N A T 不会采取任何行动来阻止普通的攻击,例如拒绝服务或窃取会话.
4、 校园网QOS技术及应用概述
11. QoS的作用
QoS的特点包括下列两个方面:首先是QoS允许区别对待用户和用户话务,因此能够根据不同的定价标准或针对不同的应用提供不同的服务性能;其次是QoS 能够用于优化网络的利用率以避免冗余配置网络的需求,从而能够延缓容量升级的投资。
用户差异化能够简化用户的服务提供过程,这对用户将产生吸引力并且有利于运营商的收入增长。应用差异化是在PS 网络上提供更好服务的基础,即提供实时服务而不是尽力服务。这将变得越来越重要,因为IMS控制的应用以及缺少CS 域的LTE不得不依赖PS域来提供语音和其它实时服务。
当话务负荷大量增长时,必须对网络资源的利用进行优化以控制网络成本。每个移动网络均可能存在多个资源受限或潜在的拥塞点。移动网络的主要功能是利用无线频谱为用户提供网络接入,而频谱是稀缺资源,在大多数情形下频谱是成本昂贵的资源。
回传是用于连接基站和BSC/RNC的传输资源,通常配置为相对较低的容量,因此需要不断地升级以便满足话务增长的需求。由于实施这些容量升级需要耗费成本和时间,在很多情形下,传输网络容易成为受限资源。由于所有节点(在接入网络以及核心网络中)具有受限的话务处理容量,而易于成为网络中的拥塞点。移动网络的QoS机制是利用拥塞处理程序以经济高效的方式实现服务性能和成本控制。
12. QoS的功能
QoS的功能主要有分类、标注和优先级设置等。
3 分类
分类是指具有QoS功能的网络能够识别应用产生所数据包的种类。没有分类,网络就不能确定对特殊数据包进行特殊的处理。所有应用都会在数据包上留下可以用来识别源为何种应用的标识。分类就是检查这些标识,识别数据包是由哪类应用产生的。
常见的分类方法有:
·
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
有些协议非常“健谈”,即长时间占用网络带宽,只要它们存在就会导致业务的延迟,因此根据协议对数据包进行识别并进行优先级处理可以降低延迟。应用可以通过它们的EtherType进行识别。例如,IPX使用0x8137,AppleTalk协议采用0x809B。根据协议进行优先级分类处理是控制或阻止少数较老设备所使用“健谈”协议的一种强有力方法。
· TCP和UDP端口号码
许多应用都采用一些TCP或UDP某个端口进行通信,例如 HTTP采用的是TCP端口80。通过检查IP数据包的端口号码,可以确定数据包是由哪类应用产生的,这种方法也称为第四层交换,因为TCP和UDP都位于OSI模型的第四层。
· 源IP地址
很多应用都是通过源IP地址进行识别的。因为服务器有时是专门针对单一应用而配置的,例如电子邮件服务器,所以分析数据包的源地址可以识别该数据包是由何种应用产生的。当识别交换机与应用服务器不直接相连,而许多不同服务器的数据流都通过该交换机时,这种方法就非常有用。
· 物理端口号码
与源IP地址原理类似,物理端口号码可以指示是由哪个服务器正在发送数据。这种方法取决于交换机物理端口与应用服务器的映射关系,虽然这是最简单的一种分类形式,但是它依赖于直接与该交换机连接的服务器。
4 标注
在识别数据包之后要对它进行标注,这样其他的网络设备才能方便地识别这种数据。由于分类可能会非常复杂,因此最好只进行一次。识别应用之后就必须对数据包进行标记处理,以便确保网络上的路由器或交换机可以对该应用进行判断运用何种优先级处理。通过采纳标注数据的两种行业标准,即差异化服务编码点(DSCP)或IEEE 802.1p,就可以确保多厂商的网络设备能够对该业务进行判断运用何种优先级处理。 在选择路由器或交换机等产品时,一定要确保它可以识别这两种标记
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
。虽然DSCP可以替换局域网环境下主导的标注方案IEEE 802.1p,但与IEEE 802.1p相比,实施DSCP有一定的局限性。目前,与IEEE 802.1p设备的兼容性将十分重要。作为一种过渡机制,应选择可以从一种方案向另一种方案转换的路由器或者交换机。
5 优先级设置
一旦网络可以区分网上浏览和音视频通话,优先级处理就可以确保Internet上进行大型下载的同时不中断音视频通话。为了确保准确的优先级处理,所有业务都必须在网络骨干内进行识别,在工作站终端上进行的数据优先级处理可能会因人为差错或恶意破坏而出现问题。黑客可以有意地将普通数据标注为高优先级以窃取重要商业应用的带宽,导致商业应用的失效。这种情况称为拒绝服务攻击。通过分析进入网络的所有业务,可以检查安全攻击,并在它们导致任何危害之前进行阻止。 在局域网交换机中,有多种业务队列允许数据包的优先级存在。较高优先级的业务可在不受较低优先级业务的影响下通过交换机,以减少对诸如话音或视频等对时间延迟敏感业务的延迟事故。 为了提供优先级,交换机每个端口必须都要有至少2个队列。虽然更多的队列可以提供更为精细的优先级选择,但在局域网环境中,各端口需要4个以上队列的可能性不大。因为当数据包到达交换机时,都要根据其优先级别分配到适当的队列,然后交换机再从每个队列转发数据包。交换机通过其排队机制确定下一步要服务的队列。
组别:
小组成员:
6
7