基于ipv6的校园网构建与分析答辩演示稿 部分技术ppt课件.ppt

,基于IPV6的校园网建设与设计,计算机网络技术1001班,选题的目的 开发以IPv6为核心分析与构建校园网络。,选题的意义 随着网络的快速发展，网络的普及也越来越大，计算机、IP电话等在现实生活中各个行业的使用，使得我们需要用大量的IP地址，IPv4正在日益枯竭，互联网需要更多的IP地址。IPv4使用的是32位地址，只能支持互联网上大约43亿个拥有单独地址的设备。而IPv6使用的是128位地址，能够支持互联网上接入更多的设备。为了从根本上解决IP地址空间不足的问题，IPv6便应运而生。,要完成的任务 随着校园网规模的扩大，业务负载的不断增加，保持网络高利用率，防止关键业务受到拥塞影响以及各种网络应用和资源的管理安全性变得越来越重要。因此，在校园网的进一步建设中应该充分考虑如何更好的利用Pv6的技术。而要具体掌握IPv4到IPv6网络平稳过渡、评估和改进IPv6协议、进行大规模IPv6网络应用，就必须首先要建立IPv6实验网，在实验网上获得足够的经验，然后才能进行推广。本课题主要工作就是研究IPv6网络协议特性以及IPv4向IPv6的过渡技术，在没有IPv6硬件路由设备的条件下，设法通过设置软件路由来创建学校的IPv6实验平台，在实验平台上展开关于IPv6的基础实验以及部署实验。然后在实验基础上最终建立学校的IPv6局域网，能够对校内用户提供IPv6接入服务。,论文的基本框架,Ipv4ipv6,生成树协议配置端口安全链路聚合访问控制列表双栈技术,主要用到的技术,生成树协议,IEEE 802.1d STP（生成树协议，Spanning-Tree Protocol）协议:使冗余端口置于“阻塞状态网络中的计算机在通信时，只有一条链路生效。当这个链路出现故障时，将处于“阻塞状态”的端口重新打开，从而确保网络连接稳定可靠。,SW1,SW2,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,SW3,工作过程：,第一步：选举一个根网桥；第二步：在每个非根网桥上选举一个根端口；第三步：在每个网段上选举一个指定端口；第四步：阻塞非根、非指定端口。,交换机或者网桥之间周期性地发送STP的桥接协议数据单元（Bridge Protocol Data Unit ，BPDU），用于实现STP的功能。每2秒发送一次的二层报文组播发送，组播地址为：01-80-C2-00-00-00,依据网桥ID选举根网桥，ID值最小者当选根网桥每2s发送一次BPDU,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,SW1:32768.00-d0-f8-00-11-11,Root Bridge,SW2:4096.00-d0-f8-00-22-22,SW3:32768.00-d0-f8-00-33-33,在非根交换机上选举根端口选举依据： 根路径成本最小发送网桥ID最小发送端口ID最小,SW1:32768.00-d0-f8-00-11-11,SW2:4096.00-d0-f8-00-22-22,SW3:32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,根路径成本：19,根路径成本：38,Root Bridge,每个网段中选取一个指定端口 用于向根交换机发送流量和从根交换机接收流量选举依据：根路径成本最小所在交换机的网桥ID最小端口ID最小,SW1:32768.00-d0-f8-00-11-11,SW2:4096.00-d0-f8-00-22-22,SW3:32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,根路径成本：0,所在交换机网桥ID最小,阻塞非根、非指定的端口，形成逻辑上无环路的拓扑结构,SW1:32768.00-d0-f8-00-11-11,SW2:4096.00-d0-f8-00-22-22,SW3:32768.00-d0-f8-00-33-33,F0/2,F0/2,F0/1,F0/1,F0/1,F0/2,100M,100M,100M,Root Bridge,1、利用生成树算法、在以太网络中，创建一个以某台交换机的某个端口为根的生成树，避免环路。2、以太网络拓扑发生变化时，通过生成树协议达到收敛保护的目的。,主要功能：,作用：,1.广播风暴2.同一帧的多份拷贝3.不稳定的MAC地址表 因此，在交换网络中必须有一个机制来阻止回路，而生成树协议（Spanning Tree Protocol）的作用正是在于此。,端口安全是一种基于 MAC 地址的安全机制。这种机制通过检测数据帧中的源 MAC地址来控制非授权设备对网络的访问，通过检测数据帧中的目的 MAC 地址来控制对非授权设备的访问。,端口安全的特性：,1：NeedToKnow特性2：入侵检测（IntrusionProtection）特征3：Trap特性,1：NeedToKnow特性2：入侵检测（IntrusionProtection）特征3：Trap特性,从基本原理上讲，Port Security特性记住的是连接到交换机端口的以太网MAC地址即网卡号，并只答应某个MAC地址通过本端口通信。假如任何其它MAC地址试图通过此端口通信，端口 安全特性会阻止它。,端口安全分为： 动态绑定 静态绑定,交换机重新启动后不会从MAC 表中丢失，动态学习到MAC地址交换机重新启动后会丢失将交换机重新启动验证静态绑定MAC 。在动态绑定的时候我们发现，第一个接入交换机的MAC地址会被绑定动态绑定到设备里；在静态绑定的时候我们发现有，第一个接入交换机的MAC地址不会被绑定动态绑定到设备里。,静态绑定和动态绑定的的不同点：,switchenableswitch#config tswitch(config)#interface FastEthernet0/1switch(config)#switchport mode accessswitch(config)#switchport port-securityswitch(config)#switchport port-security mac-address stickyswitch(config)#switchport port-security mac-address sticky 0001.c735.9EB9switch(config)#interface FastEthernet0/2switch(config)#switchport mode accessswitch(config)#switchport port-securityswitch(config)#switchport port-security mac-address stickyswitch(config)#switchport port-security mac-address sticky 0090.2BBC.7DC7,链路聚合技术亦称主干技术（Trunking）或捆绑技术（Bonding），其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路，称为一条聚合链路。交换机之间物理链路Link1、Link2和Link3组成一条聚合链路。该链路在逻辑上是一个整体，内部的组成和传输数据的细节对上层服务是透明的。如图4-6所示：,聚合内部的物理链路共同完成数据收发任务并相互备份。只要还存在能正常工作的成员，整个传输链路就不会失效。仍以上图的链路聚合为例，如果Link1和Link2先后故障，它们的数据任务会迅速转移到Link3上，因而两台交换机间的连接不会中断。如图4-7所示：,图4-6,图4-7,提高链路的可用性增加链路的容量,链路聚合的特点：,链路聚合的标准：,IEEEStandard802.3ad ：定义了链路聚合技术的目标、聚合子层内各模块的功能和操作的原则，以及链路聚合控制的内容等。 能提高链路可用性、线性增加带宽、分担负载、实现自动配置、快速收敛、保证传输质量、对上层用户透明、向下兼容等等。,链路聚合的协议：,链路聚合控制协议（LinkAggregationControlProtocol）是IEEE802.3ad标准的主要内容之一，定义了一种标准的聚合控制方式。,SwitchenSwitch#config tSwitch#interface fastEthernet 0/14Switch#channel-group 2 mode activeSwitch#switchport trunk encapsulation dot1qSwitch#switchport mode trunkSwitch#interface fastEthernet 0/16Switch#channel-group 2 mode activeSwitch#switchport trunk encapsulation dot1qSwitch#switchport mode trunk,ACL技术在路由器中被广泛采用，它是一种基于包过滤的流控制技术。标准访问控制列表通过把源地址、目的地址及端口号作为数据包检查的基本元素，并可以规定符合条件的数据包是否允许通过。ACL通常应用在企业的出口控制上，可以通过实施ACL，可以有效的部署企业网络出网策略。随着局域网内部网络资源的增加，一些企业已经开始使用ACL来控制对局域网内部资源的访问能力，进而来保障这些资源的安全。 ACL技术可以有效的在三层上控制网络用户对网络资源的访问，他可以具体到两台网络设备间的网络应用，也可以按照网段进行大范围的访问控制管理，为网络应用提供了一个有效的安全手段。,标准IP访问控制列表扩展IP访问控制列表命名的IP访问控制列表标准IPX访问控制列表扩展IPX访问控制列表命名的IPX访问控制列表,分类：,工作原理：,它读取第三层及第四层数据包头中的信息，如源地址、目的地址、源端口、目的端口等。根据预先设定好的规则对数据包进行的过滤，从而达到访问控制的目的。,作用：,访问控制列表可以用于防火墙；访问控制列表可以用于Qos(Quality of Service)，对数据流量进行控制；在DCC中，访问控制列表还可用来规定处罚拨号的条件；访问控制列表还可以用于地址转换；在配置路由策略时，还可以利用访问控制列表来作路由信息的过滤；在配置策略路由时，可以利用访问控制列表来过滤特定的保温作特殊处理。,实际应用：,组织某个网段访问服务器；阻止一号网段访问另外二个网段，但二号网段可以访问一号网段；禁止某些端口进入网络，可达到安全性。,RoutenRout#config tRout#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255Rout#accdss-list 101 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255Rout#access-list 101 deny ip any any,双协议栈 ( Dual Stack) 采用该技术的节点上同时运行IPv4和IPv6两套协议栈。这是使IPv6节点保持与纯IPv4节点兼容最直接的方式，针对的对象是通信端节点（包括主机、路由器）。这种方式对IPv4和IPv6提供了完全的兼容，但是对于IP地址耗尽的问题却没有任何帮助。由于需要双路由基础设施，这种方式反而增加了网络的复杂度。,工作方式：,接收数据包发送数据包,应用服务：,基于双协议栈的域名服务域名系统基于双协议栈的BBS服务,在过渡过程中, IPv6网段作为孤岛接入IPv4网络, 为实现IPv6网段之间以及IPv4、IPv6网段之间的互通, 必须综合各种过渡技术, 优化网络结构, 在保证网络安全可靠运行以及逐步过渡、节约投资的前提下, 设计过渡方案。根据以上基本原则以及网络运行状况, 对于校园网络的初期过渡方案 。规划如下：( 1) 跨IPv4网络的IPv6间通信采用随到技术实现; ( 2) 基于IPv4的服务器逐步升级为双协议栈节点服务器; ( 3) IPv4/IPv6客户端互通则可以采用NAT- PT技术实现; ( 4) 本地IPv6网段联出口路由器接入上级IPv6网络。,双协议栈 ( Dual Stack) 采用该技术的节点上同时运行IPv4和IPv6两套协议栈。这是使IPv6节点保持与纯IPv4节点兼容最直接的方式，针对的对象是通信端节点（包括主机、路由器）。这种方式对IPv4和IPv6提供了完全的兼容，但是对于IP地址耗尽的问题却没有任何帮助。由于需要双路由基础设施，这种方式反而增加了网络的复杂度。,移动设备设置双栈地址,设置双栈主机,设置双栈服务器,大学本科的学习生活即将结束。在此，我要感谢所有曾经教导过我的老师和关心过我的同学，他们在我成长过程中给予了我很大的帮助。本文能够顺利完成，要特别感谢我的导师李爱国老师和李文宇老师，感谢各位系的老师的关心和帮助。最后向所有关心和帮助过我的人表示真心的感谢。,感谢各位专家老师的指导！,