双核心校园局域网的设计与规划.doc

《双核心校园局域网的设计与规划.doc》由会员分享，可在线阅读，更多相关《双核心校园局域网的设计与规划.doc（22页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流双核心校园局域网的设计与规划.精品文档.广东科贸职业学院 毕业设计（论文） 双核心校园网的设计与规划学生姓名： 陆机俊系 部： 计算机信息工程系 专 业： 11级网络技术1班 指导教师： 汪海涛 日 期： 2013年11月摘 要 校园网设计是一个庞大的系统工程，目前许多校园网设计方案层出不穷，每个方案都各有特点，但普遍存在网络使用效率低、可靠性和课扩展性差等问题。针对这些问题，关键是从实际出发，选择适合自己的方案。以校园网设计为例分析一下几个方面：用户需求分析、整体设计方案、系统测试方法及对可靠性和可扩展性相应的解决办法。 随着网络的逐步普及

2、，校园网络的建设是学校向信息化发展的必然选择，校园网网络系统是一个非常庞大而复杂的系统，它不仅为现代化教学、综合信息管理和办公自动化等一系列应用提供基本操作平台，而且能提供多种应用服务，使信息能及时、准确地传送给各个系统。而校园网工程建设中主要应用了网络技术中的重要分支局域网技术来建设与管理的，本文着重论述了校园网设计与建设过程中确立建设校园网的目标，校园网的组网方案设计原则和所需的网络技术选型，网络设备选择以及网络设备的配置等关键问题，并给出具体的网络拓扑结构示意图。目 录目 录3第一章引 言71.1课题背景71.2 背景需求分析71.2.1 应用背景分析71.2.2网络业务分析91.2.3

3、网络流量分析9第二章需求分析92.1设计遵循的原则102.1.1 可靠性和高性能102.1.2 可扩展性和可升级性102.1.3 可管理与易维护102.1.4 安全性与保密性102.1.5灵活性与综合性102.2技术引用112.2.1 vlan的用途及优点112.2.2 链路聚合技术122.2.3 动态路由协议（OSPF）132.2.4 问控制列表（Acl）142.2.5 网络地址转换(NAT, Network Address Translation)152.3设备选型17第三章校园网设计方案183.1网络系统拓扑183.2 网络结构设计原则193.2.1 核心层193.2.2 汇聚层213.

4、2.3 接入层213.2.4 边界路由器223.3 IP地址规划与VLAN划分23第四章 服务器的应用234.1 FTP服务器234.2 Email服务器264.3 DNS服务器274.4 DHCP服务器284.5 WEB服务器29第五章 网络维护295.1 网络的常见故障295.2 网络的故障分析及解决30结 论30致 谢31第一章引 言1.1课题背景现多所高校随着学校教学和学生网上应用的增长，校园网以光纤连接了全校近 50栋楼宇，覆盖了 65%的教学办公场所和 45%的学生宿舍。共布有9 千多个网络端口，其中约 6千多个布线端口连通了网络设备，共接入计算机3千多台，有固定注册用户约 200

5、0 人。原有网络设备已经无法满足新环境下的网络应用，因此该校决定重新规划建设校园网。建设学院千兆校园网，完成一个整体规划、分步实施、充分考虑现有设备与实际资金情况的方案，建立网络中心和主干网，然后建立学校的信息管理网络、教学网络各应用子系统，并进行教学楼、办公楼、结构化布线，将网络扩展到整个校园，实现校园网的全部功能，最后可通过路由器与CERNET和Internet接入。该方案应充分考虑到学校的应用和资金情况，建立一个普通高校千兆校园网，具有一定的科学性和参考价值。1.2 背景需求分析1.2.1 应用背景分析网络在日常教学办公环境中起着至关重要的作用，校园网的运作模式会带来大量动态的www应用

6、数据传输，会有相当一部分应用的主服务器有高速接入网络的需求（目前为100/1000Mbps，今后可会更高）。这就要求网络有足够的主干带宽和扩展能力。同时，一些新的应用类型，如网络教学、视频直播/广播等，也对网络提出了支持多点广播和宽带高速接入的要求。中心机房到汇聚层节点采用4兆光纤（多模）连接，汇聚层到接入层采用百兆的五类线（或者超五类）连接。通常考虑，建议数据信息点的接入用交换10/100Mbps自适应以太网端口接入，以便能较经济的提供较高的带宽。整个方案设计的目的是建设一个集数据传输和备份、多媒体应用、语音传输、OA应用和Internet访问等于一体的高可靠、高性能的宽带多媒体校园网。采用

7、双核心技术，不但可以起到让设备进行冗余备份，而且还可以进行中心数据通信负载均衡，有效减轻中心设备减清负荷，保证核心层的稳定性和可靠性。四个汇聚层到核心采用链路全冗余，汇聚层之间单独再加一条链路，使得各个汇聚层之间的访问在汇聚层终结。网络核心、楼宇汇聚和接入产品都具有病毒防范、拒绝DDOS攻击和防扫描等安全功能，不但在不同的网络环境下都能做到快速有效的控制，而且也可以应对突发性的安全的事件，确保了网络的稳定运行。 通过对学校信息化建设专业人员沟通，了解到校园宽带用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下：主要任务：（1）使用合理的三级设计结构，各部门独立成区域（2）整

8、个网络用VLAN隔离，需要各个部门通信的使用VLAN间路由解决（3）实现网络核心冗余，核心到汇聚双链路备份（4）配置相应的服务器，保证该校园网能提供校园需要的各种网络应用服务（如DNS、Email、FTP等）。（5）该校园应配备网络中心，能实现对网络的管理和维护（如实现对网络设备的远程登录等）。（6）考虑到部门较多，所分配的网段较多，建议采用动态路由协议（7）通过在出口路由上配置ACL和NAT，允许或拒绝相应的校园网内部用户访问Internet。校园网建成后将实现以下基本功能： （1）计算机教学，包括多媒体教学和远程教学 （2）网络下载、网络聊天等。 （3）电子邮件系统：主要进行与同行交往、开

9、展技术合作、学术交流等活动 （4）Internet服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。 1.2.2网络业务分析本次方案要求在铜缆、光纤的物理线路之上，用一套设备实现三套逻辑网络交换平台，实现三层路由交换机制，作为校园业务应用承载体系。 1.2.3网络流量分析 （1）网上数据流特点 大学校园网具有网络互联的广泛性和使用多样性等特点，广播包将对数据流产生较大的影响，校园网的数据并发性，一般是呈现波峰波谷的，绝大多数情况下，存在高并发性访问的因素，除了周末或者夜间学生晚自修之后的时间，某些特殊的应用也有可能对

10、负荷有突发要求，如使用空间数据，大范围数据搜索，视频方面的应用等，这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求，必须要求核心（汇聚）设备均支持万兆技术。 （2）网络流量情况 根据的业务，每位学生主要需求占用的带宽为：视频流，数据，语音（包括桌面会议），图形、空间数据，管理支撑等。考虑应用上某些并发的排斥特点，以及网络应用环境对通畅性的要求，一般每位学生占用的平均实际网络带宽约为1M左右即可以完全满足以上需求，在满足网络在有收敛比的情况下的带宽要求；这就要求汇聚、核心设备均具备万兆智能能力。 （3）校园网主干需要的数据流量 网络主干流量的是基于业务工作在

11、网上展开的情况分析，实际上对网络流量的需求是逐步提升的，特别是要协同体系出现后，干道的流量会大量的增加。考虑到信息点同时在线的收敛比，本网络已经具备极高的伸缩能力，以满足其很强的扩展性要求。第二章需求分析2.1设计遵循的原则由于学校资金有限，不可能一步到位，另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，避免出现资源浪费，因此，在校园网的建设过程中，系统建设始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。网络设计遵循下列5个基本原则：2.1.1 可靠性和高性能 网络必须是可靠的，包括网元级的可靠性，如引擎，风扇，单板，总计等；以及网络级的可靠性，如路由。交换的汇聚，

12、链路冗余、负载均衡、热备份等。网络必须具有足够高的性能，一旦网络出现故障影响甚广，严重妨碍业务的正常运转。2.1.2 可扩展性和可升级性 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。2.1.3 可管理与易维护 由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有检测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护，这里我们选用的是思科可网管的交换机和路由器。2.1.4 安全性与保密性 网络系统应具有良好的安全性，在系统设计中，既要考虑信息资源的

13、充分共享，更要注意信息的保护盒隔离，因此系统应分别针对不同的应用和不同的网络通信环境，通过划分子网，在交换机上实现vlan划分，达到网络安全性。2.1.5灵活性与综合性 通过采用结构化 模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求，以满足系统目标与功能为目标，保证总体方案的设计合理。 2.2技术引用2.2.1 vlan的用途及优点在一个物理局域网内，通过对交换机端口的逻辑划分，将局域网内的设备分割为几个各自独立的群组，群组内部的设备之间可以自由地通讯，而当分属不同群组的设备要进行通讯时，必须进行三层的路由转发；通过这种方式，一个物理局域网就如同被划分为几个相互隔离的局域

14、网，这些不同的群组就称为虚拟局域网（VLAN）。对于以端口划分的VLAN而言，任何一个端口的集合都可以被看作是一个VLAN。VLAN的划分不受硬件设备物理连接的限制，用户可以通过命令灵活地划分端口，创建定义VLAN。创建VLAN命令如下：使用VLAN的优点如下：1. 限制广播域。广播域被限制在一个VLAN内，节省了带宽，提高了网络处理能力。2. 增强局域网的安全性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。3. 灵活构建虚拟工作组。用VLAN可以划分不同的用户到不同的工

15、作组，同一工作组的用户也不必局限于某一固定的物理范围，网络构建和维护更方便灵活。2.2.2 链路聚合技术 链路聚合技术亦称主干技术（Trunking），其实质是将两台设备间的数条物理链路组合成逻辑上的一条数据通路，称为一条聚合链路，如图4.2.1示意。交换机之间物理链路Link1、Link2和Link3组成一条聚合链路。如图4.2.1聚合内部的物理链路共同完成数据收发任务并相互备份。只要还存在能正常工作的成员，整个传输链路就不会失效。仍以上图的链路聚合为例，如果Link1和Link2先后故障，它们的数据任务会迅速转移到Link3上，因而两台交换机间的连接不会中断(参图4.2.2) 如图4.2.

16、2链路聚合的优点：(1)提高链路可用性 链路聚合中，成员互相动态备份。当某一链路中断时，其它成员能够迅速接替其工作。与生成树协议不同，链路聚合启用备份的过程对聚合之外是不可见的，而且启用备份过程只在聚合链路内，与其它链路无关，切换可在数毫秒内完成。 (2)增加链路容量 链路聚合技术的另一个明显的优点是为用户提供一种经济的提高链路传输率的方法。通过捆绑多条物理链路，用户不必升级现有设备就能获得更大带宽的数据链路，其容量等于各物理链路容量之和。聚合模块按照一定算法将业务流量分配给不同的成员，实现链路级的负载分担功能。 某些情况下，链路聚合甚至是提高链路容量的唯一方法。例如当市场上的设备都不能提供高

17、于10G的链路时，用户可以将两条10G链路聚合，获得带宽大于10G的传输线路。配置方式如下：a) 把指定端口给聚合组，并指定聚合方式SW（config）interface Ethernet0/1SW（config-ethernet0/1）#port-group group-number mode（active|passive|on）b) 进入聚合端口的配置模式SW（config）#interface port-channel group-number2.2.3 动态路由协议（OSPF）OSPF是一种基于链路状态的路由协议，需要每个路由器向其同一管理域的所有其它路由器发送链路状态广播信息。在OS

18、PF的链路状态广播中包括所有接口信息、所有的量度和其它一些变量。利用OSPF的路由器首先必须收集有关的链路状态信息，并根据一定的算法计算出到每个节点的最短路径。而基于距离向量的路由协议仅向其邻接路由器发送有关路由更新信息。 OSPF将一个自治域再划分为区，相应地即有两种类型的路由选择方式：当源和目的地在同一区时，采用区内路由选择；当源和目的地在不同区时，则采用区间路由选择。这就大大减少了网络开销，并增加了网络的稳定性。当一个区内的路由器出了故障时并不影响自治域内其它区路由器的正常工作，这也给网络的管理、维护带来方便。OSPF协议主要优点： (1)OSPF是真正的LOOP- FREE（无路由自环

19、）路由协议。源自其算法本身的优点。（链路状态及最短路径树算法） (2)OSPF收敛速度快：能够在最短的时间内将路由变化传递到整个自治系统。 (3)提出区域（area）划分的概念，将自治系统划分为不同区域后，通过区域之间的对路由信息的摘要，大大减少了需传递的路由信息数量。也使得路由信息不会随网络规模的扩大而急剧膨胀。 (4)将协议自身的开销控制到最小。OSPF协议格式如下： (Config)# router ospf id-number /进程ID 范围是 1-65535 (config-router)# network 192.168.1.0 0.0.0.255 area 0 /网络号 反向掩

20、码 area 区域号2.2.4 问控制列表（Acl）(1).标准IP访问控制列表一个标准IP访问控制列表匹配IP包中的源地址或源地址中的一部分，可对匹配的包采取拒绝或允许两个操作。编号范围是从1到99的访问控制列表是标准IP访问控制列表。 使用access-list命令创建访问控制列表Router(config)#access-list access-list-number permit | deny source source- wildcard log使用ip access-group命令把访问控制列表应用到某接口Router(config-if)#ip access-group acce

21、ss-list-number in | out (2).扩展IP访问控制列表扩展IP访问控制列表比标准IP访问控制列表具有更多的匹配项，包括协议类型、源地址、目的地址、源端口、目的端口、建立连接的和IP优先级等。编号范围是从100到199的访问控制列表是扩展IP访问控制列表。端口号关键字描述TCP/UDP20FTP-DATA（文件传输协议）FTP（数据）TCP21FTP（文件传输协议）FTPTCP23TELNET终端连接TCP25SMTP简单邮件传输协议TCP42NAMESERVER主机名字服务器UDP53DOMAIN域名服务器（DNS)TCP/UDP69TFTP普通文件传输协议（TFTP)U

22、DP80WWW万维网TCP使用access-list命令创建扩展访问控制列表Router(config)#access-list access-list-number permit | deny protocol source source-wildcard destination destination-wildcard operator port established log使用ip access-group命令将扩展访问控制列表应用到某接口Router（config-if）#ip access-group access-list-number in | out 2.2.5 网络地址转换

23、(NAT, Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。1) 静态NAT静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。Router(config)# ip

24、 nat inside source static 202.1.100.100 10.1.1.100 / 内部IP地址与外部IP地址一一对应；在边界路由上配置两端的nat inside和nat outside：interface FastEthernet0/1 ip address 202.1.100.100 255.255.255.0 ip nat inside /该边界路由的端口是NAT的内部interface Serial0/1 ip address 10.1.1.100 255.255.255.0 ip nat outside /该边界路由的端口是NAT的外部2) 动态NAT动态转换是

25、指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。Router(config)# ip nat pool pool-name 10.1.1.5 10.1.1.10 netmask 255.255.255.0 /建立一个外部地址池的范围和它们的子母掩码Router(conf

26、ig)# ip nat inside source list list-number pool pool-name /内部的ip地址转换成外部地址池的ip地址Router(config)# access-list list-number permit 192.168.10.0 0.0.0.255/建立访问控制列表，允许进行外部地址转换的内部地址3) PAT端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地

27、节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。Router(config)# ip nat pool pool-name 10.1.1.5 10.1.1.10 netmask 255.255.255.0 /建立一个外部地址池的范围和它们的子母掩码Router(config)# ip nat inside source list list-number pool pool-name overload /多个内部的ip地址可以多次使用同一个外部转换地址池中的地址Router(config)# access-l

28、ist list-number permit 192.168.10.0 0.0.0.255/建立访问控制列表，允许进行外部地址转换的内部地址2.3设备选型路由技术：路由协议工作在OSI参考模型的第3层，因此它的作用主要是在通信子网间路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务，利用访问控制列表（Access Control List，ACL），路由器还可以用来完成以路由器为中心的流量控制和过滤功能。如图1： 图1交换技术：传统意义上的数据交换发生在OSI模型的第2层。现代交换技术还实现了第3层交换和多层交换。现代交换网络还引入了虚拟局域网（Virtua

29、l LAN，VLAN）的概念。VLAN将广播域限制在单个VLAN内部，减小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候，可以利用VLAN间路由技术来实现。为了简化交换网络设计、提高交换网络的可扩展性，在园区网内部数据交换的部署是分层进行的。园区网数据交换设备可以划分为三个层次：访问层、汇聚层、核心层。访问层为所有的终端用户提供一个接入点；汇聚层除了负责将访问层交换机进行汇集外，还为整个交换网络提供VLAN间的路由选择功能；核心层将各汇聚层交换机互连起来进行高速数据交换。如图2： 图：2第三章校园网设计方案3.1网络系统拓扑系统拓扑： 实验拓扑：3.2 网络结构设

30、计原则3.2.1 核心层 核心层位于顶层，主要负责可靠和迅速的传输大量的数据流。用户的数据是在分配层进行处理的，如果需要的话，分配层会将请求发送到核心层。如果这一层出现了故障将会影响到每一个用户，所以容错也比较重要。所以在这一层不要做任何影响通讯流量的事情，如访问表，vlan和包过滤等。也不要在这一层接入工作组。当网络扩展时（比如添加路由器），应该避免扩充核心层。但是如果核心层的性能成了问题，就应该直接升级而不是扩充。在设计这一层时应该着重考虑传输速率，所以最好使用比较优秀的技术。 在本设计中，核心层将使用科技楼的路由器和各个部门的交换机相连，再通过科技楼的路由器与外网Internet连接。M

31、ultilayer Switch2配置文件：interface FastEthernet0/22 channel-group 1 mode on switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/23 channel-group 1 mode on switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/24 channel-group 1 mode on switchpor

32、t trunk encapsulation dot1q switchport mode trunkinterface GigabitEthernet0/1 channel-group 1 mode on switchport trunk encapsulation dot1q switchport mode trunkinterface GigabitEthernet0/2 channel-group 1 mode on switchport trunk encapsulation dot1q switchport mode trunkinterface Port-channel 1 swit

33、chport trunk encapsulation dot1q switchport mode trunkrouter ospf 1 log-adjacency-changes network 172.16.10.0 0.0.0.255 area 0 network 172.16.20.0 0.0.0.255 area 0 network 192.168.0.0 0.0.0.255 area 0 network 172.16.30.0 0.0.0.255 area 0 network 192.168.80.0 0.0.0.255 area 0 network 202.1.101.0 0.0.

34、0.255 area 0 3.2.2 汇聚层 汇聚层也称分配层或称工作组层，是上下2层之间的通信点，这一层的功能主要是实现一下一些策略：（1）、路由（即文件在网络中传输的最佳路径）；（2）、访问表，包过滤和排序；（3）、网络安全如防火墙等；（4）、重新分配路由协议，包括静态路由；（5）、在vlan之间进行路由，以及其他工作组所支持的功能；这一层主要是实现策略的地方。Multilayer Switch0配置文件：interface Vlan10 ip address 192.168.10.254 255.255.255.0 ip helper-address 192.168.0.5 /建立帮助地

35、址，指向中继代理DHCP服务器interface Vlan20 ip address 192.168.20.254 255.255.255.0 ip helper-address 192.168.0.5router ospf 1 log-adjacency-changes network 172.16.10.0 0.0.0.255 area 0 network 172.16.50.0 0.0.0.255 area 0 network 192.168.10.0 0.0.0.255 area 0 network 192.168.20.0 0.0.0.255 area 03.2.3 接入层 接入层有

36、时也称桌面层，是控制用户和工作组对互联网络资源的访问的。大多数的用户所需要的资源在本地就可以得到，分配层的设备才处理远程服务的数据流。接入层的功能有：连续的访问控制和策略（对分配层的延续），创建分隔的冲突域，确保工作组到分配层的连通性。Switch0配置文件：interface FastEthernet0/1 switchport access vlan 10 /接入层划分vlaninterface FastEthernet0/2 switchport access vlan 20interface FastEthernet0/3 switchport mode trunk3.2.4 边界路由

37、器是内部网络通向外部网络必经的路由器，既是内部网络的一部分同时也是外部网络的一份子。是保护内网的重要屏障，必须在边界路由设置防火墙，访问控制列表，NAT去保护内网不受外网的恶意攻击。Router0配置文件：router ospf 1 log-adjacency-changes network 172.16.30.0 0.0.0.255 area 0 network 172.16.40.0 0.0.0.255 area 0 default-information originate /注入默认路由ip nat pool pp1 10.1.1.5 10.1.1.10 netmask 255.255

38、.255.0ip nat pool pp2 10.1.1.11 10.1.1.15 netmask 255.255.255.0ip nat pool pp3 10.1.1.16 10.1.1.20 netmask 255.255.255.0ip nat pool pp4 10.1.1.21 10.1.1.25 netmask 255.255.255.0ip nat inside source list 1 pool pp1 overload /使用PAT对内部地址转换ip nat inside source list 2 pool pp2 overloadip nat inside sourc

39、e list 3 pool pp3 overloadip nat inside source list 4 pool pp4 overloadip nat inside source static 202.1.100.100 10.1.1.100 ip nat inside source static 202.1.101.100 10.1.1.101 ip classlessip route 0.0.0.0 0.0.0.0 10.1.1.2 /缺省路由access-list 1 permit 192.168.10.0 0.0.0.255 /ACL访问控制列表的应用access-list 2 p

40、ermit 192.168.20.0 0.0.0.255access-list 3 permit 192.168.30.0 0.0.0.255access-list 4 permit 192.168.40.0 0.0.0.2553.3 IP地址规划与VLAN划分设备接口IP地址S3560L3SW2Vlan10192.168.10.254/24Vlan20192.168.20.254/24F0/3172.16.10.1/24F0/4172.16.50.1/24S3560L3SW2Vlan30192.168.30.254/24Vlan40192.168.40.254/24F0/3172.16.20

41、.1/24F0/5172.16.60.1/24S356024PSVlan100192.168.80.1/24Fa0/1172.16.10.1/24Fa0/2172.16.20.1/24Fa0/3172.16.30.1/24Fa0/4172.16.40.1/24Fa0/5202.1.101.1/24S356024PSVlan100192.168.80.2/24Fa0/1172.16.40.1/24Fa0/2192.168.100.5/24Fa0/3202.1.100.1/24Fa0/4172.16.50.2/24Fa0/5172.16.60.2/24Route0-2621Fa0/0172.16.

42、30.2/24Fa0/1172.16.40.2/24S0/110.1.1.1/24Route1-2621S0/110.1.1.2/24Fa0/01.1.1.5/24Fa0/12.2.2.5/24第四章 服务器的应用4.1 FTP服务器FTP 是 TCP/IP 协议组中的协议之一，是英文File Transfer Protocol的缩写。该协议是Internet文件传送的基础，它由一系列规格说明文档组成，目标是提高文件的共享性，提供非直接使用远程计算机，使存储介质对用户透明和可靠高效地传送数据。简单的说，FTP就是完成两台计算机之间的拷贝，从远程计算机拷贝文件至自己的计算机上，称之为“下载（do

43、wnload）”文件。若将文件从自己计算机中拷贝至远程计算机上，则称之为“上载（upload）”文件。在TCP/IP协议中，FTP标准命令TCP端口号为21，Port方式数据端口为20。从根本上说，FTP协议就是在网络中各种不同的计算机之间按照TCP/IP协议来传输文件。FTP协议采用客户机/服务器 (Client/Sever)模式，由FTP客户端程序和FTP服务器端程序组成。使用时，先启动FTP客户端程序与远程主机建立连接，然后向远程主机发出传输命令，远程主机在收到命令后就给予响应，并执行正确的命令。但是FTP有一个根本的限制，那就是，如果用户在某个主机上没有注册获得授权，即没有用户名和口令

44、，就不能与该主机进行文件传输。但匿名FTP服务器除外，它能够使用户与远程主机建立连接并以匿名身份从远程主机上拷贝文件，而不必是该远程主机的注册用户。用户使用特殊的用户名“Anonymous”或“guest”就可有限制地访问远程主机上公开的文件。现在许多系统要求用户将Emai1地址作为口令，以便更好地对访问者进行跟踪。出于安全的目的，大部分匿名FTP主机一般只允许远程用户下载(download)文件，而不允许上载(upload)文件。也就是说，用户只能从匿名FTP主机拷贝其需要的文件而不能把文件拷贝到匿名FTP主机。另外，匿名FTP主机还采用了其他一些保护措施以保护自己的文件不至于被用户修改和删

45、除，并防止计算机病毒的侵入。匿名FTP一直是Internet上获取信息资源的最主要方式，在Internet成千上万的匿名FTP主机中存储着无以计数的文件，这些文件包含了各种各样的信息、数据和软件。人们只要知道特定信息资源的主机地址，就可以用匿名FTP登录。FTP支持两种模式，一种方式叫做Standard(也就是 PORT方式，主动方式)，一种是Passive(也就是PASV，被动方式)。Standard模式FTP的客户端发送PORT命令到FTP服务器。Passive模式FTP的客户端发送PASV命令到FTP Server。1.主动方式的FTP工作过程：Port模式FTP客户端首先和FTP服务器

46、的TCP 21端口建立连接，通过这个通道发送命令，客户端需要接收数据的时候在这个通道上发送PORT命令。PORT命令包含了客户端用什么端口接收数据。在传送数据的时候，服务器端通过自己的TCP20端口连接至客户端的指定端口发送数据。FTP server必须和客户端建立一个新的连接用来传送数据。针对FTP服务器前面的防火墙来说，必须允许以下通讯才能支持主动方式FTP：（1).任何端口到FTP服务器的21端口（客户端初始化的连接SC）。（2).FTP服务器的21端口到大于1023的端口（服务器响应客户端的控制端口SC）。（3)FTP服务器的20端口到大于1023的端口（服务器端初始化数据连接到客户端的数据端口SC）。（4).大于1023端口到FTP服务器的20端口（客户端发送ACK响应到服务器的数据端口SC）。连接过程如下图1：图1 FTP主动模式连接过程图在第1步