黄河科技学院毕业论文 第8页
另一方面,接入网需要保障用户数据(单播地址的帧)的安全性,隔离携带有用户信息的广播消息(如ARP、DHCP消息等),防止关键设备受到攻击。对每个用户而言,当然不希望他的信息被别人利用,因此需要从物理上隔离用户数据(单播地址的帧),保证用户单播地址的帧只有该用户可以接收到,不像在局域网中采用共享总线方式,使单播地址的帧能被总线上的所有用户接收。如果不隔离这些广播消息而让其他用户接收到,容易发生MAC/IP地址仿冒,影响设备的正常运行,中断合法用户的通信过程。
为了隔离第三层广播,增强安全性、提高网络性能,可以运用VLAN(虚拟局域网)技术。VLAN技术不需要特殊的设备,目前第二层交换机均支持VLAN技术。通过在一个物理网段上划分出多个逻辑网段,由每一个逻辑网段构成一个VLAN,其内部采用交换机连接,所有的广播信息只限制在本VLAN内,而之间的连接则采用路由实现,具体实施时可以外加路由器,或者直接使用第三层交换设备。使用路由器时,将这些逻辑网段连接到路由器时可以只使用一条物理链路、占用一个路由器接口,这样就节省了设备的投资,而使用三层交换设备时,不需要额外增加设备,只要交换机支持三层路由功能即可,由于三层交换设备的工作效率高于路由器,所以在本论文中推荐采用三层交换设备实现VLAN之间的路由。 3.2.2 VLAN的设计
目前,VLAN技术可以使用以下方式组建:基于交换机端口的VLAN、基于MAC地址的VLAN和基于应用协议的VLAN。
基于端口的VLAN,即静态VLAN,特点是技术简单,容易配置且维护工作量小,缺点是终端设备移动时需要更改设备配置。
基于MAC地址的VLAN,即动态VLAN,基于Vlan策略服务组建,特点是终端设备可以在整个局域网中移动而不用改变配置,适合于移动办公型的网络环境,缺点是配置工作量大、繁琐。
由于交换机为二层设备,所以基于应用协议的VLAN对于交换机来说没有任何意义,反而会造成交换机性能的下降。
考虑到本系统的特点,节点在网络中内移动的可能性较小,基于易维护、易管理方面的考虑,使用基于交换机端口的VLAN进行配置。
8
黄河科技学院毕业论文 第9页
VLAN规划参照图3.2,各个VLAN间由ACL控制,限制互访。其中VLAN10~31为部门VLAN,禁止互访,VLAN 51为文件服务器区,能被任何部门访问,VLAN 52为网管区,能单向访问各个部门。
vlan10192.168.10.0/24File ServerVlan 51192.168.51.0/24网管中心Vlan 52192.168.52.0/24vlan11192.168.11.0/24201.1.14.4/30INTERNETsw1Sw4vlan20192.168.20.0/24192.168.5.4/30Router 1192.168.45.4/24Core Sw 1192.168.5.8/30PIX防火墙vlan21192.168.21.0/24sw2192.168.5.0/30Router 2192.168.45.5/24Core Sw 2vlan30192.168.30.0/24OSPF Backbone 0192.168.40.0/24vlan31192.168.31.0/24sw3图3.2 Vlan及IP地址规划图
3.3第三层交换技术的设计
顾名思义,第三层交换器就是将第二层的交换器与第三层的路由器合二为一,使路由器根据第二层的地址转发数据包以达到快速通讯,这就形成了第三层交换器。
第三层交换出现因于ATM与交换器的技术背景,因为传统的网络是由路由器作为中心的。使用第二层交换器使网络速度提升,可是在网络中使用过多的交换器,所有交换器所架构的网络可能会形成广播风暴,所以需要路由器来隔离可能会形成的广播风暴,为了使路由器不会形成网络的瓶颈,就形成了第三层交换。VLAN将广播域进行分割,但透过VLAN进行通讯则必须通过路由器进行转发。
9
黄河科技学院毕业论文 第10页
3.4 IP multicast技术的设计
为了使企业网络系统成为能够承载多种应用的多媒体网络,使网络点播和网络会议成为办公的有力工具,网络对组播的支持是必不可少的。
传统的点对点单播通信,在发送方和每一接收方需要单独的数据通道。在这种通信方式下,源IP主机向指定的目标IP主机发送信息包。IP信息包中的目标地址就是IP网络中惟一的主机地址。从一台主机送出的每个数据包只能传送给一个目标主机,通过路由器或交换机将这些IP信息包从源主机发送到目标主机。在源主机和目标主机之间的路径上的每一个路由器都维护由单播路由协议生成的单播路由信息库,并根据数据包中的IP目标地址在单播路由信息库中查找单播包转发路径。这种传送方式称为单播。
在单播方式下,如果有另外的多个用户希望同时获得这个数据包的拷贝是不可能的。发送信息的主机必须向每个希望接收此数据包的用户发送一份单独的数据包拷贝。这种巨大的冗余会带来很大的代价,首先,会给发送数据的源主机带来沉重的负担,因为它必须对每个要求都做出响应,这使得负担过于沉重主机的响应会大大延长。其次对路由器和交换机的性能也提出了更高的要求,管理人员被迫购买本来不必要的硬件和带宽来保证一定的服务质量。
组播路由与IP单播路由有一个本质的区别就是,IP单播路由是根据网络的拓扑结构而不是实际的会话来建立路径,而IP组播路由则是根据网络的会话来动态地建立投递路径;因此,IP组播路由比IP单播路由更具有动态性。
目前可用的组播路由模型有两种:稠密分布模型和稀疏分布模型。稠密分布模型假定组播成员在网络中稠密分布,并且它们之间的网络带宽资源往往随时可用;而稀疏分布模型假定组播成员在网络中稀疏分布,而且它们之间带宽资源往往比较紧张。
组播和传统的单播数据传送方式如图3.4所示。
10
黄河科技学院毕业论文 第11页
单播通信 组播通信 图3.4 单播,组播通信示意图 从图中可以清楚的看出,单播传送发送数据的多个拷贝,每个拷贝发送到一个接收者,主机轮流发送数据的拷贝,网络分别将它们转发至每个接收者,主机一次只能发送至一个接收者。而组播传送则只把发送数据的一个拷贝发送到多个接收者,主机发送数据的一个拷贝,可同时发送到多个接收者。网络在每个接收者的最后一个路由器或主机复制它,在一个给定的网络上每一个包只传送一次。
关于组播路由设计,在企业网络核心交换机和汇聚交换机上运行PIM-DM组播协议对业务及服务进行支持,并提供优秀的可扩展性;在边缘交换机上运行IGMP Snooping组播管理协议对业务及服务进行支持。
用户通过运行组播客户端软件的PC运行IGMP协议,用户可通过IGMP协议加入某个组播组,建立成员关系。对于组播业务的具体实施及管理需根据不同的业务类型及厂家提供设备的特点具体进行分析。
目前经常被采用的稀疏分布模型的域内组播路由协议是PIM-SM,因此,使用PIM-SM作为域内组播路由协议。
PIM(RFC 2362)是IETF关于域内组播路由协议的标准,目前为大多数组播服务提供商采用。按照规划,选择核心节点作为整个企业网络组播系统的RP点,来对整个企业网络的组播进行控制。
每个部门VLAN划入一个多播地址。 Vlan10:224.1.1.1 Vlan11:224.1.1.2 Vlan20:224.1.1.3 Vlan21:224.1.1.4
11
