網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)

1、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)日期：網(wǎng)絡(luò)規(guī)劃基本原則和目標(biāo)可靠性原則可擴(kuò)展性原則可運(yùn)營(yíng)性原則可管理原則追求最佳性能價(jià)格比常見(jiàn)網(wǎng)絡(luò)設(shè)備路由交換設(shè)備路由器： 提供最豐富的接口連接、軟件特性 以太網(wǎng)交換機(jī)（L2/L3/LAN）： 以太網(wǎng)接口類(lèi)型的線(xiàn)速轉(zhuǎn)發(fā)功能路由交換 路由器和交換機(jī)的融合+常見(jiàn)網(wǎng)絡(luò)設(shè)備（續(xù)）其他設(shè)備。網(wǎng)管、安全、語(yǔ)音、視訊設(shè)備防火墻安全網(wǎng)關(guān)入侵檢測(cè)系統(tǒng)語(yǔ)音服務(wù)器語(yǔ)音網(wǎng)關(guān)視頻終端MCUPBX系統(tǒng)CAMS網(wǎng)絡(luò)設(shè)備的分類(lèi)基于CPU的設(shè)備功能最強(qiáng)，由軟件實(shí)現(xiàn)，轉(zhuǎn)發(fā)性能差強(qiáng)基于ASIC的設(shè)備硬件芯片實(shí)現(xiàn)全線(xiàn)速的轉(zhuǎn)發(fā)，靈活性和升級(jí)能力差基于NP的設(shè)備可編程網(wǎng)絡(luò)處理器實(shí)現(xiàn)全線(xiàn)速的轉(zhuǎn)發(fā)CPU接口CPU接口CPU接口C

2、PU接口ASIC交換網(wǎng)接口ASICASIC接口ASIC接口CPU接口NP交換網(wǎng)接口NPNP接口NP接口CPU設(shè)備選型需要參考的因素可靠性轉(zhuǎn)發(fā)性能業(yè)務(wù)支持能力端口支持?jǐn)U展能力價(jià)格因素？局域網(wǎng)規(guī)劃設(shè)計(jì)日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播網(wǎng)絡(luò)拓?fù)鋵哟卧O(shè)計(jì)接入層匯聚層核心層高速數(shù)據(jù)交換路由匯聚及流量收斂工作組接入和訪(fǎng)問(wèn)控制網(wǎng)絡(luò)設(shè)計(jì)分三層：核心層、匯聚層、接入層網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)星形或雙星形星型雙星型網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)環(huán)型，網(wǎng)狀或部分網(wǎng)狀環(huán)型網(wǎng)狀部分網(wǎng)狀網(wǎng)絡(luò)中常用的拓?fù)浣Y(jié)構(gòu)混合組網(wǎng)STP/RSTP/MSTP規(guī)劃設(shè)計(jì)原則VLAN規(guī)劃設(shè)計(jì)原則VRRP/DHCP的靈活使用堆疊、

3、聚合、IRF規(guī)劃設(shè)計(jì)端口、互聯(lián)方式介紹目錄RSTP/STP規(guī)劃設(shè)計(jì)原則配置核心的設(shè)備為STP/RSTP的根橋，并指定另一核心的設(shè)備為備份根橋。 全網(wǎng)的設(shè)備使用相同Path Cost標(biāo)準(zhǔn)。(802.1D,802.1T,legacy)RSTP以其快速收斂的特性以及與STP良好的兼容性完全取代了STP。對(duì)于支持RSTP的設(shè)備，一般情況下我們不考慮運(yùn)行STP。RSTP/STP規(guī)劃設(shè)計(jì)原則（續(xù)）對(duì)于支持RSTP的設(shè)備和僅支持STP的設(shè)備混用時(shí)，RSTP的設(shè)備盡量配置在網(wǎng)絡(luò)的中心，而STP的設(shè)備盡量配置在網(wǎng)絡(luò)的邊緣。對(duì)于直接連接主機(jī)或服務(wù)器的數(shù)據(jù)終端設(shè)備的交換機(jī)端口應(yīng)配置為邊緣端口，并使能BPDU-Pro

4、tection。RSTP/STP規(guī)劃設(shè)計(jì)原則（續(xù)）端口配置為邊緣端口啟動(dòng)BPDU-Protection端口配置STP Disable這兩種方式有何不同？MSTP規(guī)劃設(shè)計(jì)原則多生成樹(shù)一定要運(yùn)行在一個(gè)域內(nèi)。域和域之間的生成樹(shù)為單生成樹(shù)，不能實(shí)現(xiàn)負(fù)載均擔(dān)。同一域內(nèi)的交換機(jī)的域名，VLAN和STP實(shí)例的對(duì)應(yīng)關(guān)系一定要保持一致。不支持MSTP的交換機(jī)一定要放在域外。域內(nèi)不同生成樹(shù)的樹(shù)根設(shè)置要與相應(yīng)業(yè)務(wù)流量重心保持一致。STP/RSTP/MSTP規(guī)劃設(shè)計(jì)原則VLAN規(guī)劃設(shè)計(jì)原則VRRP/DHCP的靈活使用堆疊、聚合、IRF規(guī)劃設(shè)計(jì)端口、互聯(lián)方式介紹目錄VLAN ID的規(guī)劃原則VLAN 1一般予以保留，不分

5、配給業(yè)務(wù)VLAN使用。VLAN ID的預(yù)分配應(yīng)成段分配。如果VLAN ID足夠用，盡量分配1024以下的VLAN ID。為每一個(gè)VLAN規(guī)劃VLAN描述符。描述符的配置規(guī)范化。VLAN的管理劃分原則基于業(yè)務(wù)需求VLAN劃分基于地域管理VLAN劃分基于安全要求VLAN劃分VLAN規(guī)劃的限制VLAN總數(shù)不超過(guò)4096 解決方式：QinQ每個(gè)VLAN的主機(jī)數(shù)建議不超過(guò)64個(gè) 解決方式：劃分多個(gè)VLANVLAN劃分越多，就會(huì)占用更多地IP地址 解決方式：Super-VLAN,VLAN per PortSTP/RSTP/MSTP規(guī)劃設(shè)計(jì)原則VLAN規(guī)劃設(shè)計(jì)原則VRRP/DHCP的靈活使用堆疊、聚合、IR

6、F規(guī)劃設(shè)計(jì)端口、互聯(lián)方式介紹目錄VRRP相關(guān)的設(shè)計(jì)考慮虛擬網(wǎng)關(guān)的可探測(cè)性 VRRP PING enableVRRP的負(fù)載分擔(dān) 不同的VRRP組設(shè)置不同的MasterVRRP的穩(wěn)定性設(shè)計(jì) 搶占方式及延時(shí)設(shè)置VRRP通告報(bào)文間隔時(shí)間 vrrp vrid timer advertiseVRRP相關(guān)的設(shè)計(jì)考慮安全性設(shè)計(jì)VRRP的可靠性 監(jiān)控指定端口。 VRRP的優(yōu)先級(jí)設(shè)計(jì) 通常要滿(mǎn)足: Priority(master)Priority(backup)監(jiān)控上行端口接口地址：192.168.0.1/24接口地址：192.168.0.2/24虛擬網(wǎng)關(guān)IP地址：192.168.0.254/24虛擬網(wǎng)關(guān)MAC地

7、址：00-00-5E-00-01-VRIDDHCP相關(guān)的設(shè)計(jì)考慮固定IP地址段與動(dòng)態(tài)分配IP地址段保持連續(xù)。動(dòng)態(tài)分配IP地址的租約一般定為2-4小時(shí)。DHCP需跨網(wǎng)段獲得IP地址時(shí)，啟動(dòng)DHCP-RELAY功能。禁止在同一網(wǎng)絡(luò)上放置兩臺(tái)DHCP服務(wù)器。啟動(dòng)DHCP安全功能，禁止未通過(guò)DHCP獲得的IP地址上網(wǎng)。STP/RSTP/MSTP規(guī)劃設(shè)計(jì)原則VLAN規(guī)劃設(shè)計(jì)原則VRRP/DHCP的靈活使用堆疊、聚合、IRF規(guī)劃設(shè)計(jì)端口、互聯(lián)方式介紹目錄鏈路聚合相關(guān)的設(shè)計(jì)考慮在進(jìn)行多個(gè)鏈路聚合設(shè)計(jì)時(shí)先要查詢(xún)?cè)O(shè)備對(duì)鏈路聚合的支持規(guī)格。對(duì)于支持跨單板鏈路聚合的設(shè)備盡量配置跨單板鏈路聚合。使用LACP自動(dòng)聚合，

8、要先將端口的參數(shù)配置成一致。交換機(jī)堆疊/IRF的設(shè)計(jì)考慮堆疊之前應(yīng)先了解設(shè)備的規(guī)格，確定最大的堆疊設(shè)備數(shù)或最大的堆疊端口數(shù)。堆疊/IRF設(shè)備的版本，配置必須相同。IRF設(shè)備堆疊端口相連時(shí)一定是UP端口和另一臺(tái)設(shè)備的DOWN端口相連。交換機(jī)堆疊/IRF的設(shè)計(jì)考慮建議使用手工對(duì)設(shè)備編號(hào)，確定堆疊的 Master交換機(jī)，不要使用自動(dòng)編號(hào)功能。IRF堆疊設(shè)備與其它設(shè)備互聯(lián)使用鏈路聚合時(shí)，盡量使用跨設(shè)備聚合。IRF堆疊設(shè)備及與其相聯(lián)的設(shè)備在使用跨設(shè)備聚合時(shí)，一定使用LACP作自動(dòng)聚合。STP/RSTP/MSTP規(guī)劃設(shè)計(jì)原則VLAN規(guī)劃設(shè)計(jì)原則VRRP/DHCP的靈活使用堆疊、聚合、IRF規(guī)劃設(shè)計(jì)端口、互

9、聯(lián)方式介紹目錄網(wǎng)絡(luò)中常用的高速端口高速端口（100M以上）POS（155M、622M、2.5G）ATM（155M、622M）快速以太網(wǎng)（100MFE、GE、10GE）網(wǎng)絡(luò)中常用的中速端口中速端口（10M100M）E3（34.368M）T3（44.736M）以太網(wǎng)（10M）網(wǎng)絡(luò)中常用的低速端口低速端口（10M以下）PSTN異步撥號(hào)（56K）ISDN異步撥號(hào)（64K）V24同步SA（64K）V35同步SA（2M）T1（1.54M）E1（2M）ADSL（2M8M）端口的拆分和聚合高速端口的拆分低速端口的聚合ATM155M ATM30M11M2M2M E1CPOS22M E1N2M E1Etherne

10、t互聯(lián)方式對(duì)等型互聯(lián)非對(duì)等型同質(zhì)接口互聯(lián)非對(duì)等型異質(zhì)接口互聯(lián)2M E12M E11000M Ethernet100M Ethernet100M Ethernet100M EthernetMSTP2M E1CPOS2M E12M E1光模塊光模塊千兆SFP光模塊 屬性對(duì)外型號(hào)SFP-GE-SX-MM850-ASFP-GE-LX-SM1310-A中心波長(zhǎng)850nm1310nm傳輸距離550m10kmData Rate1250Mb/s接口連接器類(lèi)型duplex LCFiber ModeMMFSMF光纖直徑50/125m9/125m輸出光功率(-9.50) dBm(-9.5-3) dBm接收靈敏度-1

11、7dBm-20dBm光飽和度-3dBm屬性對(duì)外型號(hào)SFP-FE-SX-MM1310-ASFP-FE-LX-SM1310-A中心波長(zhǎng)1310nm傳輸距離2km15kmData Rate155Mb/s接口連接器類(lèi)型duplex LCFiber ModeMMFSMF光纖直徑62.5/125m9/125m輸出光功率(-19-14)dBm(-15-8)dBm接收靈敏度-30dBm-28dBm光飽和度-14dBm-7dBm光模塊百兆SFP光模塊 光模塊萬(wàn)兆XFP光模塊 屬性對(duì)外型號(hào)XFP-SX-MM850XFP-LX-SM1310中心波長(zhǎng)850nm1310nm傳輸距離300m10kmData Rate10

12、.31Gb/s10.31Gb/s接口連接器類(lèi)型duplex LCFiber ModeMMFSMF光纖直徑50/125m9/125m模式帶寬2000MHz*km-輸出光功率(-7.3-1.08)dBm(-8.2+0.5)dBm接收靈敏度-11.1dBm-12.6dBm受壓靈敏度-7.5dBm-10.3dBm光飽和度-1dBm0.5dBm廣域網(wǎng)規(guī)劃ISSUE 5.1日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播PPP規(guī)劃Frame Relay規(guī)劃ATM規(guī)劃撥號(hào)規(guī)劃NAT規(guī)劃目錄PPP部署原則互連的設(shè)備之間需要互相驗(yàn)證，應(yīng)該使用PPP不同廠(chǎng)商設(shè)備互連環(huán)境下，PPP是很好的選擇撥號(hào)鏈

13、路上，PPP是唯一選擇除ATM、以太網(wǎng)等鏈路特性已定的接口外，其他的接口幾乎都支持PPP協(xié)議在點(diǎn)到點(diǎn)的組網(wǎng)中，PPP是最佳選擇PPPPPP驗(yàn)證方式選擇PAP驗(yàn)證CHAP驗(yàn)證在大多數(shù)場(chǎng)合下，我們應(yīng)該使用CHAP驗(yàn)證CHAPPAPMP捆綁的使用2臺(tái)設(shè)備之間通過(guò)多條線(xiàn)路互連，可以使用MP捆綁每條線(xiàn)路都使用PPP封裝多條PPP鏈路綁成一個(gè)MP組MP捆綁有2種方式Virtual TemplateMP GroupMPPPP與路由協(xié)議PPP是所有路由協(xié)議都支持的基本鏈路類(lèi)型在OSPF路由中，PPP鏈路的網(wǎng)絡(luò)類(lèi)型為點(diǎn)到點(diǎn)PPPRIPOSPFIS-ISBGPPPP規(guī)劃Frame Relay規(guī)劃ATM規(guī)劃撥號(hào)規(guī)劃

14、NAT規(guī)劃目錄幀中繼部署原則廣域連接帶寬低于2M在點(diǎn)到多點(diǎn)的組網(wǎng)環(huán)境中中心ATM、分支FR的混合組網(wǎng)用戶(hù)線(xiàn)路投資費(fèi)用有限的情況下Frame RelayHUBSPOKESPOKELMI、封裝格式的選擇LMI標(biāo)準(zhǔn)ANSI T1.617 （推薦）ITU-T Q933 Annex ACisco兼容封裝格式IETF（推薦）Q922 Annex ACiscoPPP規(guī)劃Frame Relay規(guī)劃ATM規(guī)劃撥號(hào)規(guī)劃NAT規(guī)劃目錄ATM部署原則高帶寬廣域網(wǎng)連接，一般為2M以上HUB SPOKE的組網(wǎng)中中心ATM、分支FR的混合組網(wǎng)穩(wěn)定的線(xiàn)路帶寬保證視頻、語(yǔ)音、數(shù)據(jù)的綜合傳輸線(xiàn)路租借費(fèi)用較高，適用于高可靠性的廣域

15、互連ATMHUBSPOKESPOKEPPP規(guī)劃Frame Relay規(guī)劃ATM規(guī)劃撥號(hào)規(guī)劃NAT規(guī)劃目錄撥號(hào)部署原則低速連接，小型分支的接入主鏈路的備份線(xiàn)路移動(dòng)用戶(hù)遠(yuǎn)程接入遠(yuǎn)程網(wǎng)絡(luò)管理、診斷ATMPSTN主線(xiàn)路備份線(xiàn)路移動(dòng)用戶(hù)撥號(hào)線(xiàn)路的選擇PSTNISDNADSL =512K128K56KPSTNISDNADSLPPP規(guī)劃Frame Relay規(guī)劃ATM規(guī)劃撥號(hào)規(guī)劃NAT規(guī)劃目錄NAT部署原則一般應(yīng)用于網(wǎng)絡(luò)的出口處企業(yè)網(wǎng)內(nèi)部使用私網(wǎng)地址，需要訪(fǎng)問(wèn)Internet基于安全性考慮，2個(gè)網(wǎng)絡(luò)之間不能直接互訪(fǎng)NAT實(shí)現(xiàn)方式靜態(tài)NAT基于IP的動(dòng)態(tài)NAT基于端口的動(dòng)態(tài)NATNetwork ANATNet

16、work B單向NAT部署LAN企業(yè)網(wǎng)需要訪(fǎng)問(wèn)Internet企業(yè)內(nèi)部使用私有地址企業(yè)網(wǎng)只擁有少量公網(wǎng)地址NATInternet雙向NAT部署LAN A企業(yè)網(wǎng)內(nèi)部有2種業(yè)務(wù)，有各自的IP規(guī)劃2種業(yè)務(wù)的路由完全獨(dú)立，不作路由再發(fā)布2種業(yè)務(wù)之間有一些互訪(fǎng)需求NATLAN BIP地址規(guī)劃ISSUE 5.1日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播IP地址規(guī)劃將對(duì)如下環(huán)節(jié)產(chǎn)生影響路由協(xié)議的運(yùn)行效率網(wǎng)絡(luò)的性能網(wǎng)絡(luò)的擴(kuò)展網(wǎng)絡(luò)的管理從IP地址規(guī)劃中可以看出一個(gè)網(wǎng)絡(luò)的規(guī)劃質(zhì)量、甚至可以反映出一個(gè)網(wǎng)絡(luò)設(shè)計(jì)師的技術(shù)水準(zhǔn)。IP地址規(guī)劃的重要性唯一性連續(xù)性擴(kuò)展性實(shí)意性節(jié)約性IP地址規(guī)劃的基本原則

17、Loopback地址為了方便管理，系統(tǒng)管理員通常會(huì)為每一臺(tái)路由器創(chuàng)建一個(gè)Loopback 接口，并在該接口上單獨(dú)指定一個(gè)IP 地址作為管理地址?；ヂ?lián)地址指兩臺(tái)或多臺(tái)網(wǎng)絡(luò)設(shè)備相互連接的接口所需要的地址。業(yè)務(wù)地址是連接在以太網(wǎng)上的各種服務(wù)器、主機(jī)所使用的地址以及網(wǎng)關(guān)的地址。網(wǎng)絡(luò)規(guī)劃中IP地址的分類(lèi)Loopback地址規(guī)劃技巧務(wù)必使用32位掩碼的地址。最后一位是奇數(shù)的表示路由器，是偶數(shù)的表示交換機(jī)。越是核心的設(shè)備，Loopback地址越小?；ミB地址規(guī)劃技巧務(wù)必使用30位掩碼的地址。相對(duì)核心的設(shè)備，使用較小的一個(gè)地址互聯(lián)地址通常要聚合后發(fā)布，在規(guī)劃時(shí)要充分考慮使用連續(xù)的可聚合地址。業(yè)務(wù)地址規(guī)劃技巧所有

18、的網(wǎng)關(guān)地址統(tǒng)一使用相同的末位數(shù)字，如：.254都是表示網(wǎng)關(guān)。IP地址的規(guī)劃技巧路由協(xié)議規(guī)劃設(shè)計(jì)ISSUE 5.1日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播路由協(xié)議的規(guī)劃與選擇BGPRIPOSPFIS-ISTCPUDPIP鏈路層物理層路由協(xié)議的規(guī)劃IGP協(xié)議的選擇靜態(tài)簡(jiǎn)單易行。適合于簡(jiǎn)單，穩(wěn)定的小型網(wǎng)絡(luò)。RIP最古老的動(dòng)態(tài)路由協(xié)議，只適合在小型的網(wǎng)絡(luò)中使用。IS-IS本來(lái)是為OSI七層模型設(shè)計(jì)，后來(lái)強(qiáng)行移植到IP上。使用范圍很小。OSPF是因特網(wǎng)上使用最為廣范的IGP，專(zhuān)家強(qiáng)力推薦。靜態(tài)路由規(guī)劃RIPv1/RIPv2路由規(guī)劃OSPF路由規(guī)劃目錄靜態(tài)路由設(shè)計(jì)原則靜態(tài)缺省路由的

19、設(shè)計(jì)原則InternetRoute 0.0.0.0 0.0.0.0 100.1.1.254 Route 10.0.0.0 255.0.0.0 100.1.1.1 100.1.1.1/24100.1.1.254/2410.0.0.0/8靜態(tài)路由設(shè)計(jì)原則11.1.1.0/2411.2.2.1/2411.3.2.1/24R1R2R3R4靜態(tài)路由的備份與負(fù)載分擔(dān)方式ip route-static 11.1.1.0 255.255.255.0 11.2.2.1 preference ?ip route-static 11.1.1.0 255. 255.255.0 11.3.2.1 preference

20、?靜態(tài)路由規(guī)劃RIPv1/RIPv2路由規(guī)劃OSPF路由規(guī)劃目錄RIP路由設(shè)計(jì)原則RIP適合于帶寬類(lèi)型單一，節(jié)點(diǎn)數(shù)較少，較穩(wěn)定的網(wǎng)絡(luò)。RIP以跳數(shù)來(lái)定義距離RIP有15跳限制定期廣播整個(gè)路由表RIP收斂速度慢RIP路由設(shè)計(jì)原則RIPv2在RIPv1上改進(jìn)，并兼容RIPv1。RIPv2更新報(bào)文中攜帶子網(wǎng)掩碼，可以支持 VLSM。RIPv2支持多播路由更新，減少網(wǎng)絡(luò)消耗 RIPv2支持明文和MD5方式協(xié)議報(bào)文驗(yàn)證，增強(qiáng)了協(xié)議的安全RIPv2的改進(jìn)對(duì)于路由協(xié)議來(lái)說(shuō)都是必要的。如果建設(shè)一個(gè)RIP的小型網(wǎng)絡(luò)，推薦使用RIPv2。 靜態(tài)路由規(guī)劃RIPv1/RIPv2路由規(guī)劃OSPF路由規(guī)劃目錄OSPF規(guī)劃

21、-基本設(shè)計(jì)Router ID的規(guī)劃區(qū)域劃分-是OSPF規(guī)劃中最核心也是最復(fù)雜的部分路由聚合規(guī)劃OSPF的COST規(guī)劃OSPF規(guī)劃Stub區(qū)域Area 0Stub AreaNo LSA5No External Route UpdateArea 0Not So Stub AreaNo LSA5RIPBGPExternal Route UpdateOSPF規(guī)劃犬牙交錯(cuò)Area 0Area 1Area 2Area 3有時(shí)接入層的設(shè)備會(huì)以亂序的方式與匯聚層進(jìn)行連接。OSPF的區(qū)域該如何劃分？OSPF規(guī)劃路由引入和過(guò)濾OSPF的路由引入規(guī)劃: OSPF可以引入直連、靜態(tài)以及其他路由協(xié)議的路由。OSPF的路

22、由過(guò)濾規(guī)劃:由于受到鏈路狀態(tài)算法的限制，OSPF的路由過(guò)濾受到很多的限制，只能在區(qū)域間實(shí)現(xiàn)。設(shè)備命名規(guī)劃日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播設(shè)備命名規(guī)范sysname規(guī)劃為了保證以后的管理方便，通常需要為設(shè)備統(tǒng)一命名?？梢圆捎靡韵旅椒ǎ?AA-B-YYYY-X表示該設(shè)備所屬的級(jí)別和名稱(chēng)表示設(shè)備的廠(chǎng)商名稱(chēng)表示設(shè)備型號(hào)表示如果前三項(xiàng)相同的設(shè)備，用數(shù)字編號(hào)設(shè)備命名規(guī)范接口命名與描述除了設(shè)備固定的接口之外，我們常常會(huì)手工創(chuàng)建一些接口，例如：MP接口，以太網(wǎng)子接口，VLAN接口等。對(duì)這些接口后面分配的數(shù)字應(yīng)該盡量包含實(shí)際的意義。為了準(zhǔn)確表明每個(gè)接口對(duì)端的連接保證以及帶寬，

23、需要為每一個(gè)使用的接口配置description描述信息。網(wǎng)絡(luò)安全規(guī)劃日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播網(wǎng)絡(luò)安全規(guī)劃的基本原則網(wǎng)絡(luò)安全是一個(gè)復(fù)雜的體系結(jié)構(gòu)網(wǎng)絡(luò)安全是一個(gè)相對(duì)的概念網(wǎng)絡(luò)安全部署通常會(huì)對(duì)網(wǎng)絡(luò)的性能造成一定的影響在網(wǎng)絡(luò)的安全和性能之間找到恰當(dāng)?shù)钠胶恻c(diǎn)！安全組網(wǎng)安全傳輸安全傳輸當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中無(wú)法確保安全時(shí)通常需要使用一定的安全技術(shù)。加密技術(shù)IPSec 應(yīng)用為IP協(xié)議組提供了網(wǎng)絡(luò)層的安全能力，發(fā)送主機(jī)對(duì)IP報(bào)文進(jìn)行加密，目的端點(diǎn)對(duì)源端點(diǎn)進(jìn)行身份驗(yàn)證?？梢源_保報(bào)文的完整性和隱秘性。WLAN的報(bào)文傳輸過(guò)程可以使用WEP、WAP等加密手段確保報(bào)文的安全傳

24、送。采用WAP可以支持更長(zhǎng)的加密密鑰、避免采用靜態(tài)加密密鑰4132lqfqfh%&$財(cái)務(wù)報(bào)告銷(xiāo)售額: 1860$利潤(rùn): 360$加密密鑰安全組網(wǎng)VPN報(bào)文在傳輸?shù)倪^(guò)程中將其封裝在隧道里，使其對(duì)沿途經(jīng)過(guò)的設(shè)備不可見(jiàn)，從而保證其安全性。常用對(duì)安全性要求不高的簡(jiǎn)單環(huán)境。L2TP、GRE利用同IPSEC安全協(xié)議配合，實(shí)現(xiàn)安全保密的VPNInternet出差員工總部合作伙伴QOS規(guī)劃日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播IP QoSQuality of Service（服務(wù)質(zhì)量）是指網(wǎng)絡(luò)通信過(guò)程中，允許用戶(hù)業(yè)務(wù)在丟包率、延遲、抖動(dòng)和帶寬等方面獲得可預(yù)期的服務(wù)水平。什么情況下需要

25、使用QoS？網(wǎng)絡(luò)帶寬資源相對(duì)緊張網(wǎng)絡(luò)中存在多種對(duì)帶寬和時(shí)延的要求不同的業(yè)務(wù)防止異常的突發(fā)流量影響關(guān)鍵業(yè)務(wù)規(guī)劃1-報(bào)文分類(lèi)及標(biāo)記在特定的規(guī)則（TCA）下，根據(jù)IP包頭的某些內(nèi)容選擇分組。LD2LD1LD3LU1流量監(jiān)管（CARCommitted Access Rate）通過(guò)監(jiān)督進(jìn)入網(wǎng)絡(luò)的某一流量的規(guī)格，限制它在一個(gè)允許的范圍內(nèi)，若某個(gè)連接的報(bào)文流量過(guò)大，就丟棄報(bào)文。通常在上級(jí)設(shè)備與下級(jí)設(shè)備相連的入接口上使用。理論依據(jù)如下：上級(jí)設(shè)備的出口帶寬該設(shè)備所連接的所有下級(jí)設(shè)備的入口帶寬的總合。物理接口限速（LRLine Rate）與CAR相比，LR能夠限制在物理接口上通過(guò)的所有報(bào)文。CAR在IP層實(shí)現(xiàn)，對(duì)

26、于不經(jīng)過(guò)IP層處理的報(bào)文不起作用。當(dāng)用戶(hù)只要求對(duì)所有報(bào)文限速時(shí)，使用LR比較簡(jiǎn)單。 使用理論依據(jù)及方法同上。規(guī)劃2-流量監(jiān)管CAR與LR規(guī)劃3-擁塞管理與隊(duì)列調(diào)度LD輸出隊(duì)列優(yōu)先隊(duì)列金牌服務(wù)銀牌服務(wù)銅牌服務(wù)LU流分類(lèi)FIFO（ First In First Out ）PQ（ Priority Queue ）CQ（ Custom Queue ）WFQ（ Weighted Fair Queuing ）CBWFQ（ Class Based Weighted Fair Queuing ）D0011 網(wǎng)管規(guī)劃日期：杭州華三通信技術(shù)有限公司 版權(quán)所有，未經(jīng)授權(quán)不得使用與傳播網(wǎng)管規(guī)劃內(nèi)容 確定哪些設(shè)備需要管

27、理何時(shí)采用分級(jí)網(wǎng)管，如何規(guī)劃？采用帶內(nèi)網(wǎng)管還是帶外網(wǎng)管確立網(wǎng)管位置網(wǎng)管IP地址規(guī)劃SNMP規(guī)劃網(wǎng)管功能規(guī)劃哪些設(shè)備需要管理網(wǎng)絡(luò)規(guī)模不大，可以管理全網(wǎng)所有的網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)規(guī)模很大，可以只選擇比較重要的網(wǎng)絡(luò)設(shè)備，至少包括匯聚層和核心層設(shè)備必要時(shí)，關(guān)鍵服務(wù)器的“健康”狀況也需要關(guān)注CPU內(nèi)存磁盤(pán) 服務(wù)器管理時(shí)，也占用管理容量的license分級(jí)網(wǎng)管何時(shí)需要分級(jí)網(wǎng)管網(wǎng)絡(luò)規(guī)模過(guò)于龐大，需要管理的網(wǎng)絡(luò)設(shè)備數(shù)量遠(yuǎn)遠(yuǎn)超過(guò)了單機(jī)網(wǎng)管所能管理的最大節(jié)點(diǎn)數(shù)分級(jí)管理按照網(wǎng)絡(luò)本身的地域特點(diǎn)或?qū)哟翁攸c(diǎn)進(jìn)行分級(jí)部署多套網(wǎng)管上級(jí)網(wǎng)管只管理核心層的全部設(shè)備以及匯聚層的關(guān)鍵設(shè)備下級(jí)網(wǎng)管管理本區(qū)域內(nèi)的全部設(shè)備以及與本區(qū)域相連的核心設(shè)備帶內(nèi)網(wǎng)管和帶外網(wǎng)管帶內(nèi)網(wǎng)管：網(wǎng)管流量與網(wǎng)絡(luò)中的業(yè)務(wù)流量共享一套數(shù)據(jù)通道。帶外網(wǎng)管：網(wǎng)管流量獨(dú)占一套數(shù)據(jù)通道。通常都使用帶內(nèi)網(wǎng)管，而幾乎不會(huì)使用帶外網(wǎng)管。網(wǎng)管位置網(wǎng)管工作站應(yīng)置于服務(wù)器專(zhuān)區(qū)（server farm），與網(wǎng)絡(luò)中核心層設(shè)備相連。確保網(wǎng)管工作站與被管設(shè)備之間路由可達(dá)，且SNMP操作報(bào)文不能被其間防火墻或ACL過(guò)濾掉。網(wǎng)管IP地址規(guī)劃全網(wǎng)統(tǒng)一網(wǎng)管VLAN分配特定的