第3章網(wǎng)絡系統(tǒng)設計新

1、第第3 3章章 網(wǎng)絡系統(tǒng)設計網(wǎng)絡系統(tǒng)設計第第3 3章章 網(wǎng)絡系統(tǒng)設計網(wǎng)絡系統(tǒng)設計 教學目的： 通過本章的學習可以掌握網(wǎng)絡設計的基本方法與過程。能夠根據(jù)需求說明分層設計網(wǎng)絡拓撲結構圖，能夠根據(jù)實際情況選擇合適的物理結構。 教學重點： 總體設計 分層設計 無線局域網(wǎng)方案設計3.1 總體設計 確定網(wǎng)絡拓撲結構，進行物理網(wǎng)絡設計，對網(wǎng)絡設計進行測試和優(yōu)化，寫設計文檔。1、現(xiàn)有網(wǎng)絡分析2、確定網(wǎng)絡邏輯結構3、確定網(wǎng)絡物理結構3.1.1 現(xiàn)有網(wǎng)絡分析 在進行網(wǎng)絡設計時需要對客戶現(xiàn)有網(wǎng)絡進行分析。 對網(wǎng)絡的可擴展性，可用性以及性能要求有更好的判斷，確定更為實際的設計目標。 主要分析項目包括網(wǎng)絡拓撲結構、物理

2、結構以及對網(wǎng)絡性能、網(wǎng)絡流量的評估等。1、網(wǎng)絡拓撲結構分析： 主要檢查網(wǎng)絡拓撲結構、網(wǎng)絡設備、布線情況、機房和設備間情況等。步驟如下：1)繪制網(wǎng)絡結構圖。2)分析網(wǎng)絡編址。3)分析布線方案及其特征。3.1.1 現(xiàn)有網(wǎng)絡分析（續(xù)） 繪制網(wǎng)絡結構圖 對于強調(diào)資源共享的園區(qū)網(wǎng)絡，主要是分析拓撲結構和性能，并繪制網(wǎng)絡拓撲圖。 分析網(wǎng)絡編址 編址方案會影響路由協(xié)議選擇，分析結果用列表表示。用戶可能沒有編址方案，或使用未注冊的地址，需要在新的編址方案中予以考慮。 編址方案分析，需要記錄主要的路由器，交換機的名稱，以及命名規(guī)則，記錄DNS服務器的位置和信息。 分析布線方案及其特征：建筑物之間、建筑物內(nèi)部2、

3、分析網(wǎng)絡性能 分析現(xiàn)有網(wǎng)絡性能，可以為新網(wǎng)絡提供一個參考標準，還要找出將現(xiàn)有網(wǎng)絡溶入到新網(wǎng)絡中的途徑。1)分析網(wǎng)絡的可用性 主要指標包括平均無故障時間MTBF、平均修復時間MTTR以及系統(tǒng)故障的原因等。2)分析網(wǎng)絡的利用率 是指在特定的時間間隔內(nèi)帶寬的實際使用值與帶寬的比率。通常需要網(wǎng)絡檢測工具監(jiān)測獲得數(shù)據(jù)。MTBFMTBFMTTRMTTR最近一次停機日期以及持續(xù)時間最近一次停機日期以及持續(xù)時間最近一次停機原因最近一次停機原因全網(wǎng)子網(wǎng)1子網(wǎng)23.1.1 現(xiàn)有網(wǎng)絡分析（續(xù)）3.1.1 現(xiàn)有網(wǎng)絡分析（續(xù)）3)分析延遲與響應時間 對一些重要的網(wǎng)絡設備的響應時間進行測量?？梢酝ㄟ^協(xié)議分析儀查看數(shù)據(jù)包之

4、間的時間總長。一般簡單的方法是發(fā)送Ping數(shù)據(jù)包測量從發(fā)出ICMP請求到收到響應的往返時間（RTT）。4)分析網(wǎng)絡互聯(lián)設備的狀態(tài) 對現(xiàn)有網(wǎng)絡互連設備進行分析的主要內(nèi)容是CPU的利用率（反應其忙碌程度）、數(shù)據(jù)包的處理情況（轉發(fā)、丟棄的數(shù)據(jù)包數(shù)量）以及緩存和隊列情況等，以便決定這些設備的取舍以及放置的位置。3、分析網(wǎng)絡流量 網(wǎng)絡設計者關心網(wǎng)絡中的數(shù)據(jù)流量。可能數(shù)據(jù)流量，源于何處，以及數(shù)據(jù)類型等等。1)分析流量來源 分析網(wǎng)絡流量的來源，需要對網(wǎng)絡用戶及其運行的應用程序和協(xié)議進行分析?？梢愿鶕?jù)網(wǎng)絡應用及協(xié)議將用戶劃分成用戶組，記錄其名稱、數(shù)量、位置及應用程序的名稱等。 分析網(wǎng)絡流量可以記錄主要的數(shù)據(jù)存

5、儲。數(shù)據(jù)存儲是應用層數(shù)據(jù)駐留在網(wǎng)絡中的區(qū)域，可以是服務器，存儲區(qū)域網(wǎng)絡，或者一個存儲大量數(shù)據(jù)的數(shù)據(jù)庫。3.1.1 現(xiàn)有網(wǎng)絡分析（續(xù)）3.1.1 現(xiàn)有網(wǎng)絡分析（續(xù)）2)記錄流量為了準確記錄流量，需要對網(wǎng)絡中兩個通信設備間的流量進行測量,并繪制網(wǎng)絡流量表。 利用分析軟件MRTG等通過對網(wǎng)絡出口進行監(jiān)測，準確記錄內(nèi)部網(wǎng)絡對外部網(wǎng)絡訪問產(chǎn)生的流量。3)分析流量類型及其特征 根據(jù)應用程序的類型等對網(wǎng)絡流量的類型及特征進行分析。 目的地目的地1 1目的地目的地2 2目的地目的地3 3目的地目的地4 4Mb/s路徑Mb/s路徑Mb/s路徑Mb/s路徑源1源2 4、分析現(xiàn)有網(wǎng)絡與未來網(wǎng)絡的關系 一般來說對現(xiàn)有

6、的網(wǎng)絡有兩種處理方式，一種是保持現(xiàn)有網(wǎng)絡不變，作為未來網(wǎng)絡的子網(wǎng)整體接入到新網(wǎng)絡中。另一種是對現(xiàn)有網(wǎng)絡進行改造升級已適應未來網(wǎng)絡。前一種方式可以最大化的保持網(wǎng)絡的現(xiàn)狀，保護網(wǎng)絡的投資。后一種方式就要更換部分的網(wǎng)絡設備，追加部分投資。通常，現(xiàn)有網(wǎng)絡的電纜可能需要在新的網(wǎng)絡中繼續(xù)使用，一些網(wǎng)絡設備也需要保留，所有這些在新網(wǎng)絡中繼續(xù)使用的設備以及電纜需要進行記錄，并在以后的物理網(wǎng)絡設計中予以考慮。3.1.1 現(xiàn)有網(wǎng)絡分析（續(xù)） 網(wǎng)絡邏輯結構本質(zhì)上是網(wǎng)絡功能的邏輯描述。它的設計目標是選擇一種能夠實現(xiàn)網(wǎng)絡需求的技術與結構，即網(wǎng)絡的拓撲結構。設計人員需要考慮選擇何種網(wǎng)絡技術，設計網(wǎng)絡的整體拓撲結構、分層拓

7、撲結構、IP編址方案以及路由選擇、網(wǎng)絡安全規(guī)劃以及網(wǎng)絡管理等。1、邏輯設計的目標1)優(yōu)化的網(wǎng)絡性能 網(wǎng)絡性能可以通過帶寬、容量、吞吐量、延時、利用率及響應時間等指標來表述。2)購買與運行成本 購買與運行成本是任何一個園區(qū)網(wǎng)都追求的目標。即可購買性，又稱成本效益。指在網(wǎng)絡性能符合要求的情況下，盡可能的節(jié)省建設或運行成本。3.1.2 確定網(wǎng)絡邏輯結構3)完善的網(wǎng)絡管理 不同的用戶對網(wǎng)絡管理有不同的需求，通常與網(wǎng)絡復雜度、用戶的網(wǎng)絡管理能力以及預算等相關。 根據(jù)ISO的定義，網(wǎng)絡管理涉及到性能管理、故障管理、配置管理、安全管理等方面的內(nèi)容。實際應用中，更多考慮的是網(wǎng)絡故障查找、網(wǎng)絡配置以及網(wǎng)絡監(jiān)視等

8、。4)簡便的用戶操作 指用戶訪問網(wǎng)絡的難易程度。有時候強調(diào)安全性能會影響到用戶操作的方便性；移動性網(wǎng)絡也是用戶操作簡便性的一個重要方面，用戶希望對網(wǎng)絡的訪問不受物理位置的影響，可以考慮無線網(wǎng)絡。 3.1.2 確定網(wǎng)絡邏輯結構3.1.2 確定網(wǎng)絡邏輯結構(續(xù))5)可靠的網(wǎng)絡安全性 安全性是網(wǎng)絡設計中最重要的方面之一。需要及時更新安全規(guī)則和技術，以抵御來自網(wǎng)絡內(nèi)部和外部的威脅。 (1) 安全性設計要求對網(wǎng)絡資產(chǎn)進行評估，需要確定需要保護的軟硬件系統(tǒng)。關鍵性數(shù)據(jù)才需要集中保護。(2)要對網(wǎng)絡可能存在的威脅進行分析，檢查網(wǎng)絡安全的漏洞，制定安全審核程序及網(wǎng)絡安全策略。(3) 需要對開銷和安全性進行平衡

9、，選擇適當?shù)陌踩桨福豢擅つ壳笮?，求全?)良好的適應性與擴展性 可擴展性指網(wǎng)絡設計所能支持的網(wǎng)絡增長幅度。為了達到這一目標需要制定詳實的網(wǎng)絡發(fā)展規(guī)劃。2、網(wǎng)絡拓撲結構設計 確定好邏輯設計的目標之后，設計網(wǎng)絡拓撲結構是確定網(wǎng)絡邏輯結構的第一步。在設計拓撲結構時，需要確定網(wǎng)絡結構及其互連點，明確網(wǎng)絡的大小和范圍，網(wǎng)絡互連設備類型等。目前，園區(qū)網(wǎng)基本上以高性能交換式以太網(wǎng)組成骨干網(wǎng)，設計思路是層次化、模塊化、安全性和冗余設計等。3.1.2 確定網(wǎng)絡邏輯結構(續(xù))1)層次化 層次化模型設計方法將一個復雜的網(wǎng)絡分解為若干個特定的層，每一層專注于特定的功能，從而簡化網(wǎng)絡設計的復雜度。通常層次化拓撲結構

10、由以下幾個部分組成：核心層 由高端路由器或三層交換機組成，主要作用為高速轉發(fā)數(shù)據(jù)，并考慮冗余設計。匯聚層 又稱分布層，用于若干子網(wǎng)設備的匯聚。在匯聚層可以進行路由選擇、安全策略部署等多方面操作。由三層交換機或者二層交換機組成。接入層 接入層主要負責用戶接入。3.1.2 確定網(wǎng)絡邏輯結構(續(xù))層次化網(wǎng)絡設計2)冗余 為了保證網(wǎng)絡的可用性，在設計網(wǎng)絡拓撲結構時，一些關鍵的網(wǎng)絡節(jié)點要考慮冗余。當然冗余提高了網(wǎng)絡的穩(wěn)定性也意味著更多的經(jīng)濟開銷。因此，是否考慮冗余，考慮到什么程度，要根據(jù)實際的應用需求以及財務投資決定。3)模塊化 通常大的設計項目由不同的區(qū)域和模塊組成。每個區(qū)域的設計都可以作為一個獨立的

11、系統(tǒng)，按照自頂向下的方法進行設計，設計時同樣需要考慮層次和冗余。4)園區(qū)網(wǎng)拓撲結構設計 園區(qū)網(wǎng)的拓撲結構設計通常分層的、模塊化的。3.1.2 確定網(wǎng)絡邏輯結構(續(xù))3.1.2 確定網(wǎng)絡邏輯結構(續(xù))3、設計IP地址分配以及編址方案 IP編址方案設計通常可以分為以下幾步：1)可用地址分析 用戶可能已經(jīng)有了自己的專有地址，如果沒有，需要用到10、172、192之類的保留地址。在確定編址方案前，需要對用戶可用的地址資源進行分析，以確定如何進行編址。如用戶已有哪些地址，是私有地址還是公有地址，用戶需要多少地址等等。2)子網(wǎng)劃分 從網(wǎng)絡管理和網(wǎng)絡安全角度考慮子網(wǎng)劃分是必須的。在實際的應用中，根據(jù)職能的不

12、同，不同的部門會建立自己的業(yè)務系統(tǒng)，業(yè)務系統(tǒng)之間需要保持一定的獨立性，所以有必要將不同的應用分隔，劃分子網(wǎng)。子網(wǎng)劃分的依據(jù)是用戶的應用特征。部門IP地址子網(wǎng)掩碼辦公192.168.0.063255.255.255.192財務192.168.0.64127255.255.255.192學生管理192.168.0.128191255.255.255.192其它192.168.0.192255255.255.255.1923.1.2 確定網(wǎng)絡邏輯結構(續(xù)) 根據(jù)子網(wǎng)掩碼可以看出，一共有四個子網(wǎng)，塊尺寸的大小為64，每個子網(wǎng)主機個數(shù)為62個。子網(wǎng)地址依次為192.168.0.0/64/128/192，

13、對應的廣播地址為192.168.0.63/127/191/255，每個子網(wǎng)可擁有主機數(shù)目為62。3.1.2 確定網(wǎng)絡邏輯結構(續(xù))3)確定編址方案 IP地址的編址設計到路由等問題，通常采用層次化編址方案。層次化編址允許對網(wǎng)絡號進行匯聚，即路由匯聚，提高了網(wǎng)絡的性能及穩(wěn)定性。 使用層次化編址還易于實現(xiàn)可變長度子網(wǎng)掩碼(VLSM)，使用VLSM，一個網(wǎng)絡可以被劃分為大小不同的子網(wǎng)，可以進一步優(yōu)化可用的地址空間，提高地址利用率。另一方面，為了解決路由選擇開銷的問題，普遍采用無類域間路由選擇(CIDR)方法匯總路由。支持CIDR和VLSM的路由選擇協(xié)議可以通過將到達多個子網(wǎng)的路由進行匯總，減少路由器中

14、路由表的大小，降低路由選擇的開銷。 3.1.2 確定網(wǎng)絡邏輯結構(續(xù))4、路由協(xié)議選擇 在不同的子網(wǎng)網(wǎng)絡中選擇合適的路由，為選擇置于此網(wǎng)絡的設備提供依據(jù)。路由選擇協(xié)議分為距離向量協(xié)議和鏈路狀態(tài)協(xié)議。 滿足以下條件的網(wǎng)絡選擇距離向量協(xié)議：(1)網(wǎng)絡使用一種簡單的、扁平的拓撲結構，不需要層次化的設計；(2)網(wǎng)絡使用簡單的hub-and-spoke星型拓撲結構；(3)管理員沒有足夠的知識來操作和對鏈路狀態(tài)數(shù)據(jù)庫進行故障排查；(4)不需要考慮最壞情況下的收斂時間。 滿足以下條件時，使用鏈路狀態(tài)路由選擇協(xié)議：(1)網(wǎng)絡設計層次化，大型網(wǎng)絡一般都是；(2)管理員對鏈路狀態(tài)路由選擇協(xié)議有足夠的了解；(3)快

15、速收斂對于網(wǎng)絡非常重要。3.1.2 確定網(wǎng)絡邏輯結構(續(xù))5、網(wǎng)絡安全設計 網(wǎng)絡安全指網(wǎng)絡硬件、軟件及數(shù)據(jù)的安全保護免受偶然或者惡意的破壞和泄露，同時保證系統(tǒng)能夠連續(xù)、穩(wěn)定地運行而不被中斷。網(wǎng)絡安全涉及技術問題，同時涉及管理制度問題，安全設計應細化為安全風險分析與折衷、制定安全計劃、制定安全策略以及制定安全流程等。6、網(wǎng)絡管理設計 網(wǎng)絡管理設計需要考慮可擴展性、流量 、數(shù)據(jù)格式及成本/性能折衷。包括： 1)設計主動式網(wǎng)絡管理 2)選擇網(wǎng)絡管理協(xié)議 3)選擇網(wǎng)絡管理軟件3.1.2 確定網(wǎng)絡邏輯結構(續(xù))1)設計主動式網(wǎng)絡管理 主動式網(wǎng)絡管理是指將網(wǎng)絡的健康檢查作為日常操作的一項內(nèi)容，收集網(wǎng)絡的統(tǒng)

16、計數(shù)據(jù)，定期對網(wǎng)絡性能進行測試，采用先進的網(wǎng)絡工具，以便及時發(fā)現(xiàn)潛在的網(wǎng)絡故障，優(yōu)化網(wǎng)絡性能，及時管理。2)選擇網(wǎng)絡管理協(xié)議 網(wǎng)絡管理協(xié)議時網(wǎng)絡管理的核心，可以選擇的網(wǎng)管協(xié)議包含SNMP與RMON兩種。其中SNMP為主流，主要網(wǎng)絡設備以及大多數(shù)網(wǎng)管軟件都支持它。3)選擇網(wǎng)絡管理工具 網(wǎng)管工具應具有性能、故障、配置、安全和記賬功能，以及故障定位和隔離功能。3.1.3 確定網(wǎng)絡物理結構 物理網(wǎng)絡結構是物理網(wǎng)絡設計的結果，它是邏輯網(wǎng)絡的具體實現(xiàn)。物理結構通常包括建筑物內(nèi)部布線方案、建筑物間內(nèi)部連接電纜布線方案、設備間、配線間以及網(wǎng)絡中心設計。一個園區(qū)網(wǎng)絡的布線系統(tǒng)包含建筑物子系統(tǒng)、設備間子系統(tǒng)、垂直

17、干線子系統(tǒng)、管理子系統(tǒng)、水平子系統(tǒng)及工作區(qū)子系統(tǒng)六部分組成。3.1.3 確定網(wǎng)絡物理結構（續(xù)）1、建筑物內(nèi)部布線方案 建筑物內(nèi)部布線即綜合布線，主要目標是確定在何處以何種方式鋪設什么樣的電纜，確定電纜應該以什么樣的方式與設備連接等。 結構化布線通常采用集中式和分布式相結合的布線方案。在建筑物內(nèi)部通常會采用集中式的布線方案，將大多數(shù)或者全部電纜都連接到設計環(huán)境中的一個區(qū)域；而在建筑物之間，對整個園區(qū)范圍內(nèi)的網(wǎng)絡布線規(guī)劃時，通常會考慮集中式與分布式相結合的方式。2、建筑物間布線設計根據(jù)建筑物間布線布線的特點，常用的傳輸介質(zhì)采用光纖，最常見的鋪設方式是通過地下通道。在進行建筑物間布線方案設計時，需要

18、根據(jù)所采用的網(wǎng)絡技術確定電纜類型、確定網(wǎng)絡的物理安裝位置以及每個連接段的長度。光纖通常分為單模光纖和多模光纖。3.1.3 確定網(wǎng)絡物理結構（續(xù)）3、網(wǎng)絡中心設計 網(wǎng)絡中心設計包括中心位置設計、基本環(huán)境設計、電力系統(tǒng)設計以及內(nèi)部結構設計等方面。 網(wǎng)絡中心的位置要遠離強干擾（電磁、噪聲等）源的園區(qū)中心位置?？紤]溫度、濕度、抗靜電以及清潔度的因素。 電力系統(tǒng)設計需要考慮電源的穩(wěn)定性、連續(xù)性以及接地性等。設計電源控制室將各種開關柜、UPS以及穩(wěn)壓電源都置于其中。 從規(guī)范化管理以及安全性考慮，將配線柜、網(wǎng)絡設備區(qū)和服務器區(qū)相對獨立的安裝。 防雷設施（根據(jù)設備重要性、雷電活動情況設計配備方案）、管理人員辦

19、公區(qū)（與網(wǎng)絡設備分開）。4、物理網(wǎng)絡圖 物理網(wǎng)絡圖用以表示網(wǎng)絡設備的物理連接方式，物理網(wǎng)絡可以獨立于綜合布線，因為通常綜合布線系統(tǒng)是在建筑施工階段就已經(jīng)設計并且鋪設安裝好了。3.2 分層設計 分層設計的目的是為了將一個復雜的網(wǎng)絡設計問題分解為多個層次上更小，更容易管理的問題。在網(wǎng)絡設計中，采用分層的概念，可以簡化設計，使得每個層次的任務都集中在一些特定的功能上。 層次化模型中不同層次解決不同的問題。核心層提供兩個站點的最優(yōu)傳送路徑；匯聚層將網(wǎng)絡業(yè)務連接到接入層，并實施與安全、流量控制和路由相關的策略。接入層為終端用戶提供訪問網(wǎng)絡的交換機。對于廣域網(wǎng)，接入層由園區(qū)網(wǎng)邊界路由器組成，提供園區(qū)網(wǎng)接入

20、廣域網(wǎng)的路徑和設備。3.2.1 核心層設計 核心層是互連網(wǎng)絡的高速主干，它對于網(wǎng)絡至關重要。因此在設計核心層時，應特別關注高可靠性，并且適當應用冗余組件。 1、核心層任務與設計原則 核心層任務是在網(wǎng)絡中的任意兩個節(jié)點之間提供最優(yōu)的傳輸路徑及高速的數(shù)據(jù)傳輸。而這兩個節(jié)點可能是在不同的子網(wǎng)中，因此核心層需要提供最佳的路由選擇。核心層設計任務是高速傳輸、冗余能力及可靠性。核心層是所有流量的最終承受者和匯聚者，因此對核心層的設計以及網(wǎng)絡設備的要求都非常嚴格，投入成本也會占投資的主要部分。3.2.1 核心層設計 核心層的性能與可靠性對整個網(wǎng)絡的性能與可靠性有著決定性的影響。核心層設計的目標如下：(1)網(wǎng)

21、絡的可靠性(2)冗余度 ：可擴展性(3)故障隔離 ：可用性(4)高轉發(fā)速率 ：高速傳輸能力(5)能夠快速適應升級 ：可用性 & 可擴展性3.2.1 核心層設計 基于以上的任務和設計目要標，核心層設計時遵從以下原則：(1) 可到達性 要保證網(wǎng)絡中的每個目的地的可到達性，通常需要注意以下幾個方面的要求：1)具有足夠的路由信息來交換發(fā)往網(wǎng)絡中任意端設備的數(shù)據(jù)包；2)核心層路由器應該選擇最佳路徑而不是采用默認路徑到達內(nèi)部的目的地；3)聚合路徑能夠用來減少核心層路由表大??；4)默認路徑用來到達外部目的地，如互聯(lián)網(wǎng)上的主機。3.2.1 核心層設計(2)冗余性 冗余性設計的目的是為了保障核心網(wǎng)絡的可

22、靠性：1)設備冗余； 2) 模塊冗余； 3) 鏈路冗余。(3)不執(zhí)行網(wǎng)絡策略1)任何形式的策略必須在核心層外執(zhí)行，如數(shù)據(jù)包的過濾與復雜的QoS處理；2)禁止采用任何降低核心層設備處理能力或增加數(shù)據(jù)包交換延遲的方法；3)避免增加核心層路由配置的復雜度；4)將網(wǎng)絡策略執(zhí)行放在接入層邊界設備上。2、核心層設備選型核心層設計的關鍵設備選擇指標包括：(1)路由器或者交換機的背板帶寬是多少，帶寬分配原則是否合理；背板帶寬是指網(wǎng)絡設備接口處理器或接口卡和數(shù)據(jù)總線間所能吞吐的最大數(shù)據(jù)量，體現(xiàn)了設備總的交換能力。(2)包轉發(fā)速率是多少，要滿足當前以及未來一定時期內(nèi)的應用需求；(3)網(wǎng)絡設備安全性： 核心層應該考

23、慮安全性及管理性如何實現(xiàn)，如用戶的安全認證和計費政策、VLAN、訪問列表包過濾以及策略路由等。 3.2.1 核心層設計（續(xù)）3.2.1 核心層設計（續(xù)）(4)網(wǎng)絡冗余：電源模塊、交換模塊的冗余；鏈路的冗余。(5)設備的擴展性：設備是否有足夠的多余插槽以適應未來業(yè)務拓展的需要。(6)網(wǎng)絡的開放性及協(xié)議支持功能：是否支持較新的網(wǎng)絡協(xié)議和智能的流媒體處理能力。(7)網(wǎng)絡管理簡單和透明，具備優(yōu)秀的網(wǎng)絡管理軟件。 核心層設備由高端路由器或三層交換機組成。目前只有少數(shù)廠家提供全系列產(chǎn)品，例如Cisco、華為等。在核心層Cisco公司的Catalyst 6500系列是大多數(shù)網(wǎng)絡設計人員首選的產(chǎn)品。 Cisc

24、o 6500系列交換機華為 8500系列交換機3.2.1 核心層設計（續(xù)）園區(qū)網(wǎng)的主干利用10G以太網(wǎng)技術，電源、交換模塊等重要部件都設計冗余模塊。在實際應用中，冗余可以從模塊或者設備兩個方面進行設計。投資和性能需求也需要考慮。3.2.1 核心層設計（續(xù)） 一般情況下，在一個園區(qū)網(wǎng)絡中需要建立一個網(wǎng)絡中心，用于安裝核心層交換機。各種服務器一般應該鏈接到核心交換機上，或者將這些服務器組織成一個獨立的子網(wǎng)，再通過一個高性能的交換機與核心交換機的連接，以充分利用核心層交換機的路由、控制和安全的功能，達到服務器資源的有效利用。對公網(wǎng)的訪問出口也連接到核心層交換機，安防軟件或者硬件也應該安裝在網(wǎng)絡中心。

25、匯聚層又稱分布層，它是核心層和接入層的分界點。1、匯聚層任務： 匯聚層的主要任務是提供與流量控制、安全及路由相關的策略。(1)定義廣播和組播域(2)安全策略。執(zhí)行安全和網(wǎng)絡策略，包括地址翻譯和防火墻策略。(3)VLAN間路由選擇(4)部門或者工作組級別的訪問(5)布線間連接的匯聚和需要進行的各種介質(zhì)轉換3.2.2 匯聚層設計2、匯聚層的設計方法 匯聚層設計時，主要考慮的是如何保證提供進行流量控制及安全控制策略。通?？紤]的主要因素有QoS、靜態(tài)或者動態(tài)路由選擇、地址過濾等。而這些因素的考慮最終都會轉化為交換機的選擇。 從物理位置看，匯聚層交換機屬于樓層的核心交換機；從邏輯上看，他可以是應用系統(tǒng)的

26、匯聚。匯聚層交換機可以通過兩條上行線路連接到核心層，以保證線路的冗余。匯聚層交換機的上行端口一般是千兆光口或者百兆電口，下行端口為百兆電口，連接接入層交換機。3.2.2 匯聚層設計3.2.2 匯聚層設計（續(xù)）3、匯聚層設備選型 匯聚層既可以選用3層交換機也可以選用2層的交換機。這取決于預算與核心層交換能力，接入層用戶發(fā)出的流量也將影響匯聚層交換機的選擇。 如果選擇3層交換機，則在全網(wǎng)絡的設計上體現(xiàn)了分布式路由思想，大大減輕核心層交換機的路由壓力，有效地進行路由流量的均衡。如果選擇分布式路由方式，可以降低核心交換機的投資費用。 需要提高核心層交換機的成本投入，選擇穩(wěn)定、可靠、性能高的設備。在投資

27、上，建議在匯聚層選擇性價比較高的設備，功能性能也不能太低。作為本地網(wǎng)絡的邏輯中心，如果本地應用復雜，流量大，可以考慮選用高性能的交換機。 3.2.2 匯聚層設計（續(xù)）3、匯聚層設備選型 匯聚層設備對網(wǎng)絡下層VLAN信息和生成樹協(xié)議具有收斂功能，能實現(xiàn)簡單的用戶管理和控制功能，如用戶的安全接入，下層網(wǎng)絡不同層次的屏蔽和接入，對不同物理鏈路、不同特性的網(wǎng)絡設備進行統(tǒng)一管理等。匯聚層網(wǎng)絡設備要求具備多物理接口來完成眾多設備的接入工作。 匯聚層設備非常容易造成網(wǎng)絡瓶頸。需要根據(jù)匯聚層網(wǎng)絡流量選擇交換機類型。如可以選擇Cisco的Catalyst 4000或者3500系列，華為的S5000或S3000系

28、列交換機。 接入層為用戶提供本地網(wǎng)絡訪問網(wǎng)絡的能力，它是最終用戶的網(wǎng)絡接入點。它可以共享、獨享或者交換帶寬的方式為用戶提供入網(wǎng)的接口。接入層通過接入交換機的上行端口（100M/1000M以太網(wǎng)）連接到匯聚層。接入層一般通過二層交換技術實現(xiàn)。1、接入層任務 接入層直接面對各個信息節(jié)點的接入，控制用戶和工作組對園區(qū)網(wǎng)絡資源的訪問。(1)到匯聚層的工作組連接(2)建立單獨的沖突域（分段）(3)共享式帶寬或交換式帶寬(4)提供靈活的用戶接入及擴展 接入層需要考慮用戶數(shù)量、用戶帶寬要求和安全控制等，同時對接入層也有QoS及安全方面的要求。3.2.3 接入層設計2、接入層設計和設備選型 對廣域網(wǎng)來說，接入

29、層設備可能是路由器，對于局域網(wǎng)來說，接入層可能是交換機或者集線器。 接入層是網(wǎng)絡的最末端，首先要考慮的就是需要接入的用戶端數(shù)量，確定需要的端口數(shù)；其次要考慮的是用戶帶寬以及匯聚層交換機提供的帶寬；而后是安全性考慮，是否需要管理，管理其端口還是IP。如果需要管理用戶端，接入層交換機的選擇也是非常重要的。 接入層設備需要具有以下特性：(1)能夠提供多網(wǎng)絡接入端口，擁有更加靈活的端口性能，如線纜自適應功能。(2)能夠提供遠程用戶接入能力，如實現(xiàn)超長距離的以太網(wǎng)接入特性。(3)能夠提供高速的上聯(lián)端口，支持長距離的連接。(4)能夠兼容和識別來自上層網(wǎng)絡的一些功能，如不同的VLAN信息等。(5)提供用戶最

30、終控制。例如設置靜態(tài)的MAC地址映射功能，便于管理。3.2.3 接入層設計 外連設計主要考慮網(wǎng)絡與互聯(lián)網(wǎng)的連接性問題。 對單個遠程用戶而言，可以用PPP，ISDN，以及DSL等技術遠程接入公司網(wǎng)絡。 對于小型局域網(wǎng)而言，只需要考慮內(nèi)部網(wǎng)絡用戶對外部訪問，其路由協(xié)議與路由的選擇等問題，成本較低。 對于大型園區(qū)網(wǎng)絡而言，與外部的連接要復雜的多。要考慮選擇什么樣的接入技術，安全性等多方面的內(nèi)容。涉及到廣域網(wǎng)服務提供商、路由器及路由協(xié)議的選擇，以及一些廣域網(wǎng)技術的選擇問題。 3.2.4 外連設計3.2.4 外連設計（續(xù)） 1、設計目標與基本原則 就外部接入而言，設計目標是給定成本前提下，盡可能尋求較高

31、的接入帶寬，需求較高的可靠性。 1)速率： 高速率是任何一個網(wǎng)絡設計者追求的目標，設計人員要根據(jù)網(wǎng)絡需求分析的結果確定與其他網(wǎng)絡或者Internet的連接速率。在成本允許的前提下盡量設計較高的速率。 目前，高速率的接入方式主要有以太網(wǎng)接入和基于光纖的WDM、SDH等方式。3.2.4 外連設計（續(xù)）2)成本 設計人員要在性能和成本之間或者速率與成本之間尋求折衷?；蛘哒f，在給定成本下，追求更可能高的速率與性能。 一般來說，通過以太網(wǎng)接入互聯(lián)網(wǎng)成本要低一些，而選擇基于光網(wǎng)絡的接入方式成本要高很多。3)可靠性 對外部接入的可靠性甚至超過了內(nèi)部的可靠性，因為一旦外部接入出現(xiàn)了故障，就會影響整個內(nèi)部網(wǎng)絡的

32、外部訪問。 可靠性不完全取決于接入方式，與運營商的服務質(zhì)量也有很大關系。 2、服務提供商的選擇 任何一個網(wǎng)絡需要與國內(nèi)的互聯(lián)網(wǎng)連接，隨后通過這些網(wǎng)絡實現(xiàn)對Internet的訪問。目前，ISP可以分為以下兩類。1) 傳統(tǒng)的電信運營商 主要有中國電信、中國移動和中國聯(lián)通等電信運營商。2) 專業(yè)網(wǎng)絡 專業(yè)網(wǎng)絡通常被認為是行業(yè)網(wǎng)絡。包括金稅網(wǎng)、金盾網(wǎng)、中國教育與科研計算機網(wǎng)絡CERNET、中國科技網(wǎng)等。3、聯(lián)接方式的選擇 大部分園區(qū)網(wǎng)都是采用以太網(wǎng)接入技術。對于園區(qū)網(wǎng)如校園網(wǎng)，接入主干網(wǎng)絡如省網(wǎng)中心、地區(qū)網(wǎng)中心通常采用光接入技術，可以獲得更高的帶寬。4、外連設計中的安全考慮 內(nèi)部網(wǎng)絡與外部網(wǎng)絡相連時，

33、需要考慮安全問題。通常可以采用在網(wǎng)絡出口處設置防火墻等設施實現(xiàn)。3.2.4 外連設計（續(xù)）3、聯(lián)接方式的選擇 從技術角度看可以分為窄帶和寬帶技術。 窄帶的接入技術主要有：有源光網(wǎng)絡DLC，無源光網(wǎng)絡PON和固定無線WLL等。其中DLC適用于用戶比較密集的地區(qū)；PON適用于用戶比較分散的區(qū)域；WLL適用于邊遠地區(qū)、不宜鋪設光纜的地區(qū)、城市新居民區(qū)應急通話和小范圍有移動要求的用戶。窄帶接入技術比較成熟，也相對落后。 寬帶接入技術主要有基于雙絞線xDSL傳輸?shù)慕尤?、基于光傳輸?shù)慕尤搿⒒谕S電纜傳輸?shù)慕尤牒突跓o線傳輸?shù)慕尤搿?從目前市場實際情況看，園區(qū)網(wǎng)可以選擇的接入方案包括以太網(wǎng)、DDN接入以及其它廣域網(wǎng)技術。1)DDN接入 由于DDN接入的速率較低，目前一般將其作為備份線路使用。類似的還有幀中繼（Frame Relay）、X.25等