網(wǎng)絡(luò)規(guī)劃與設(shè)計課件

第7講網(wǎng)絡(luò)規(guī)劃與設(shè)計教學(xué)目標網(wǎng)絡(luò)方案設(shè)計內(nèi)容網(wǎng)絡(luò)總體設(shè)計中小企業(yè)網(wǎng)絡(luò)解決方案網(wǎng)絡(luò)方案設(shè)計內(nèi)容

用戶需求分析與建網(wǎng)目標建網(wǎng)原則網(wǎng)絡(luò)總體設(shè)計綜合布線系統(tǒng)設(shè)備選型系統(tǒng)軟件應(yīng)用系統(tǒng)工程實施步驟培訓(xùn)方案、測試與驗收2、建網(wǎng)原則

(1)標準化及規(guī)范化(2)先進性(3)擴充性(4)可靠性(5)安全性(6)可管理性及可維護性(7)實用性(8)靈活性(9)經(jīng)濟性3、網(wǎng)絡(luò)總體設(shè)計

局域網(wǎng)技術(shù)選型

網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計

大型網(wǎng)絡(luò)的設(shè)計通常是從中心開始把計算機網(wǎng)絡(luò)劃分為核心層、匯聚層和接入層（見圖1-1），每層完成的功能不一樣，各有其特點，應(yīng)根據(jù)不同層次用不同的要求設(shè)計網(wǎng)絡(luò)，網(wǎng)絡(luò)的層次化設(shè)計有以下優(yōu)點：

1結(jié)構(gòu)簡單。通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除或擴展更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在問題。

2升級靈活。網(wǎng)絡(luò)容易升級到最新的技術(shù),升級任意層的網(wǎng)絡(luò)不會對其他層次造成影響，無須改變整個環(huán)境。

3易于管理。層次結(jié)構(gòu)降低了設(shè)備配置的復(fù)雜性，使網(wǎng)絡(luò)更容易管理。

核心層的任務(wù)是為其他兩層提供優(yōu)化的數(shù)據(jù)傳輸功能。核心層由一個高速的骨干網(wǎng)組成，其作用是盡可能快地交換數(shù)據(jù)包。由于核心層對網(wǎng)絡(luò)互連是至關(guān)重要的，因此一般要采用冗余組件來設(shè)計核心層。核心層應(yīng)具有高可靠性，并且應(yīng)能快速適應(yīng)網(wǎng)絡(luò)的變化。核心層不應(yīng)卷入到對具體的數(shù)據(jù)包的運算中去（如過濾等），否則會降低數(shù)據(jù)包的交換速度。核心層的主干交換機一般采用最快速率的鏈路連接技術(shù)，在與匯聚層交換機相連時要考慮采用建立在生成樹基礎(chǔ)上的多鏈路冗余連接，以保證與核心層交換機之間存在備份連接和負載均衡，完成高帶寬、大容量網(wǎng)絡(luò)層路由交換功能。這樣當(dāng)交換機之間的線路出現(xiàn)故障時，傳輸?shù)臄?shù)據(jù)會快速自動切換到另外一線路上進行傳輸，不影響網(wǎng)絡(luò)系統(tǒng)的正常工作。

接入層的主要目標是為最終用戶提供對網(wǎng)絡(luò)訪問的途徑，提供了帶寬共享，交換帶寬、MAC層過濾、網(wǎng)段劃分等功能。本層也可以提供訪問列表過濾等操作。接入層設(shè)計時可考慮采用可網(wǎng)管、可堆疊的以太網(wǎng)交換機作為網(wǎng)絡(luò)的接入級交換機，以適應(yīng)高端口密度的部門級大中型網(wǎng)絡(luò)。交換機的普通端口直接與用戶計算機相連，高速端口用于上連高速率的匯聚層的交換機，用以有效地緩解網(wǎng)絡(luò)骨干的瓶頸。地址分配與聚合設(shè)計

1、IP地址的劃分原則如下：唯一性：IP地址必須唯一，一個IP地址對應(yīng)一臺數(shù)據(jù)通訊設(shè)備；連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于規(guī)劃，同時提高路由器尋徑效率；可擴充性：分配地址應(yīng)預(yù)留一定量的備用地址塊，以便網(wǎng)絡(luò)節(jié)點增加后能保持地址的連續(xù)性；可管理性：地址的分配應(yīng)該有層次性，某個局部的變動不影響網(wǎng)絡(luò)的其它部分；高效性：可采用可變長子網(wǎng)掩碼技術(shù)；可匯聚性：網(wǎng)絡(luò)地址的分配應(yīng)有利于路由表匯聚；2、IP地址的劃分方法如下：自頂向下地址規(guī)劃公有地址、私有地址的結(jié)合使用動態(tài)分配地址可以有效地管理用戶的地址混合地址分配方案10.2網(wǎng)絡(luò)總體設(shè)計

10.2.6網(wǎng)絡(luò)可靠性和冗余設(shè)計

網(wǎng)絡(luò)系統(tǒng)的可靠性主要有三方面：抗毀性、生存性和有效性。

抗毀性是指系統(tǒng)在人為破壞下的可靠性。比如部分線路或節(jié)點失效后，系統(tǒng)是否仍然能夠提供一定程度的服務(wù)。增強抗毀性可以有效地避免因各種災(zāi)害（戰(zhàn)爭、地震等）造成的大面積癱瘓事件。生存性是在隨機破壞下系統(tǒng)的可靠性。生存性主要反映隨機性破壞和網(wǎng)絡(luò)拓撲結(jié)構(gòu)對系統(tǒng)可靠性的影響。這里，隨機性破壞是指系統(tǒng)部件因為自然老化等造成的自然失效。有效性是一種基于業(yè)務(wù)性能的可靠性。有效性主要反映在網(wǎng)絡(luò)信息系統(tǒng)的部件失效的情況下，滿足業(yè)務(wù)性能要求的程度。比如，網(wǎng)絡(luò)部件失效雖然沒有引起連接性故障，但是卻造成質(zhì)量指標下降、平均延時增加、線路阻塞等現(xiàn)象。網(wǎng)絡(luò)可靠性和冗余設(shè)計

構(gòu)建網(wǎng)絡(luò)系統(tǒng)的備份體系，設(shè)計冗余部件。硬件容錯、軟件容錯和線路容錯設(shè)計運行環(huán)境備份、業(yè)務(wù)數(shù)據(jù)備份、備份策略和恢復(fù)方案。冗余設(shè)計1）硬件容余2）軟件容錯3）網(wǎng)絡(luò)結(jié)構(gòu)和線路冗余

網(wǎng)絡(luò)采用了兩臺銳捷網(wǎng)絡(luò)的RS-S6800系列（RS-S6806或RS-S6810）的10GE交換機作為網(wǎng)絡(luò)的核心層，實現(xiàn)設(shè)備冗余，交換機之間采用鏈路聚合技術(shù)相連，兩交換機間既互為備份，又可均衡負載，從而保證了核心層的任一臺交換機出現(xiàn)故障都不會影響網(wǎng)絡(luò)的運行。 電子閱覽終端查詢和行政辦公區(qū)的匯聚層交換機（分別為STAR-S4909和STAR-S3550-12G）使用兩條千兆位鏈路分別上連兩臺中心交換機RS-S6800，建立兩條邏輯鏈路。通過配置生成樹協(xié)議指定一條鏈路工作，另外一條千兆位鏈路將自動成為備份鏈路，實現(xiàn)鏈路冗余。服務(wù)器是網(wǎng)絡(luò)應(yīng)用的核心，即使所建網(wǎng)絡(luò)的結(jié)構(gòu)達到相當(dāng)高的可靠程度，如果服務(wù)器采用一條線路接入，網(wǎng)絡(luò)依然可能出現(xiàn)單點故障，對用戶來說依然沒有可靠性可主。解決方法是在服務(wù)器上安裝兩塊千兆位服務(wù)器網(wǎng)卡，分別連接兩臺核心交換機，利用網(wǎng)卡容錯技術(shù)實現(xiàn)兩塊網(wǎng)卡間的容錯。當(dāng)主網(wǎng)卡或網(wǎng)卡所連的交換機發(fā)生故障時，服務(wù)器會立刻將該網(wǎng)卡上的流量轉(zhuǎn)移到備份網(wǎng)卡上。通過以上3個方面，可以看到該方案能夠做到任何一臺中心交換機的故障不會導(dǎo)致整個網(wǎng)絡(luò)癱瘓，提供了最快速的故障恢復(fù)方案，增強了網(wǎng)絡(luò)的容錯能力，提高了網(wǎng)絡(luò)的可靠性。網(wǎng)絡(luò)安全性設(shè)計

物理安全在鏈路層，通過"橋"這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對物理和邏輯網(wǎng)段進行有效的分割和隔離，消除不同安全級別邏輯網(wǎng)段間的竊聽可能。在網(wǎng)絡(luò)層，可通過對不同子網(wǎng)的定義和對路由器的路由表控制來限制子網(wǎng)間的接點通信，通過對主機路由表的控制來控制與之直接通信的節(jié)點。同時，利用網(wǎng)關(guān)的安全控制能力，可以限制節(jié)點的通信、應(yīng)用服務(wù)，并加強外部用戶識別和驗證能力。對網(wǎng)絡(luò)進行級別劃分與控制，網(wǎng)絡(luò)級別的劃分大致包括Internet/企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)、部門網(wǎng)/工作組網(wǎng)等，其中Internet/企業(yè)網(wǎng)的接口要采用專用防火墻，骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號驗證服務(wù)器和安全級別較高的操作系統(tǒng)。增強網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。安全設(shè)計主要遵循以下原則：通過身份驗證實現(xiàn)網(wǎng)絡(luò)安全訪問；通過網(wǎng)絡(luò)隔離與控制實現(xiàn)邊界安全；通過數(shù)據(jù)的保密性和完整性實現(xiàn)網(wǎng)絡(luò)傳輸安全；通過網(wǎng)絡(luò)流量監(jiān)控實現(xiàn)安全監(jiān)測；用策略管理實現(xiàn)網(wǎng)絡(luò)綜合管理。網(wǎng)絡(luò)安全設(shè)計時應(yīng)該從系統(tǒng)（主機、服務(wù)器）安全、系統(tǒng)與網(wǎng)絡(luò)的安全檢測、訪問控制、人侵檢測（監(jiān)控）、審計分析、反病毒、網(wǎng)絡(luò)運行安全備份與恢復(fù)應(yīng)急措施等幾方面考慮。

校園網(wǎng)網(wǎng)絡(luò)設(shè)計高校校園網(wǎng)采用核心層、匯聚層和接入層三級星形網(wǎng)絡(luò)結(jié)構(gòu)，核心層采用10Gbps或1Gbps交換技術(shù)，匯聚層采用1Gbps或100Mbps交換技術(shù)，接入層采用100Mbps或10Mbps交換技術(shù)。校園內(nèi)采用綜合布線系統(tǒng)，樓宇間根據(jù)距離采用單?；蚨嗄９饫w，樓宇內(nèi)采用多模光纖與雙絞線混合布線方式，雙絞線可根據(jù)通信情況和單位的經(jīng)濟實力選擇5e類或6類雙絞線電纜。網(wǎng)絡(luò)設(shè)備應(yīng)該選擇高技術(shù)性能和高可靠性的主流產(chǎn)品，適應(yīng)今后不斷升級和擴展的需求。根據(jù)應(yīng)用需求，建立對內(nèi)對外服務(wù)的服務(wù)器群組。根據(jù)網(wǎng)絡(luò)管理和安全管理的需求將網(wǎng)絡(luò)劃分為不同的VLAN，在核心層和匯聚層對網(wǎng)絡(luò)設(shè)備和通信鏈路作必要的冗余設(shè)計，選擇適當(dāng)?shù)姆阑饓Α⒕W(wǎng)管平臺、認證記費平臺等。10.3.3銳捷網(wǎng)絡(luò)高校校園網(wǎng)解決方案

方案特點

高安全

安全認證到桌面。采用六元素的自動綁定、靜態(tài)綁定、動態(tài)綁定相結(jié)合，可以確保用戶入網(wǎng)時身份唯一，并且避免了IP沖突。管理分級授權(quán)。不同職能的管理者使用同一套系統(tǒng)時可以得到不同的操作界面以及使用權(quán)限，避免了管理的安全隱患。控制網(wǎng)絡(luò)病毒。統(tǒng)一對接入層交換機做動態(tài)下發(fā)安全策略，輕松有效的控制網(wǎng)絡(luò)病毒，使網(wǎng)絡(luò)保持暢通。抵御網(wǎng)絡(luò)攻擊。結(jié)合網(wǎng)絡(luò)攻擊的檢測系統(tǒng)，能夠抵御日益增多的內(nèi)部網(wǎng)絡(luò)攻擊，并且自動對用戶做出相應(yīng)的控制動作，保證網(wǎng)絡(luò)安全。易管理全網(wǎng)設(shè)備統(tǒng)一管理。全網(wǎng)拓撲發(fā)現(xiàn)以及對事件、性能、日志的統(tǒng)一管理，可以方便的對全網(wǎng)設(shè)備統(tǒng)一管理。AGTS的用戶管理模式。將大量的信息轉(zhuǎn)化為少量的信息做對應(yīng)，可以在設(shè)置的時候使用最少量的對應(yīng)關(guān)系，從而大大提高用戶管理的效率。接入時段管理。通過對日常、周末以及節(jié)日的一次性設(shè)置，輕松靈活管理用戶能夠使用網(wǎng)絡(luò)的時段，提高用戶管理的力度。自動升級客戶端。通過統(tǒng)一的一次性配置，使得所有用戶的客戶端自動進行升級，大大簡化了管理者及使用者的負擔(dān)，使得上網(wǎng)更為輕松。高性能

整網(wǎng)采用萬兆核心、千兆干線、百兆到桌面的設(shè)計理念。高吞吐量，線速轉(zhuǎn)發(fā)的核心路由器和三層交換機，所有關(guān)鍵器件的冗余，包括主控板、交換網(wǎng)板、電源等，支持板件的熱插拔技術(shù)，保證了網(wǎng)絡(luò)的高效運轉(zhuǎn)。領(lǐng)先的SPOH結(jié)構(gòu)設(shè)計，基于硬件的同步式數(shù)據(jù)交換技術(shù)。針對不同數(shù)據(jù)行為對端口依賴性的不同而采用各自不同的處理方式來最大限度地提升整機處理能力。針對ACL、QOS等針對單獨端口的數(shù)據(jù)行為，通過為ASIC芯片各端口增加獨立的FFP模塊（fast

filter

processor）進行硬件處理，各端口可以同步地進行硬件處理。L2/L3/組播等涉及不同端口之間數(shù)據(jù)處理行為，通過存放在線卡ASIC芯片的統(tǒng)一硬件查表項對所有端口進行統(tǒng)一處理，提供數(shù)據(jù)在不同端口之間的線速轉(zhuǎn)發(fā)2）STAR-S3550-24安全智能多層交換機STAR-S3550-24/S3550-48是兩款全線速安全智能多層交換機，該交換機硬件支持多層交換，提供二到七層的智能的流分類和完善的服務(wù)質(zhì)量（QoS）以及組播管理特性，支持完善的路由協(xié)議，并可以根據(jù)網(wǎng)絡(luò)實際使用環(huán)境，實施靈活多樣的安全控制策略，可有效防止和控制病毒傳播和網(wǎng)絡(luò)攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理使用網(wǎng)絡(luò)資源，充分保障網(wǎng)絡(luò)安全和網(wǎng)絡(luò)合理化使用和運營3）STAR-S4909全模塊化骨干路由交換機STAR-S4909是全模塊化的核心路由交換機，豐富的擴展模塊支持靈活構(gòu)建彈性可擴展的網(wǎng)絡(luò)。S4909支持基于IP的運營管理、安全控制、認證計費等各種策略，提供完備的業(yè)務(wù)控制和用戶管理能力，是大中型網(wǎng)絡(luò)核心交換機的理想選擇。

4）RG-S6506 全模塊化骨干多層交換機RG-S6506是銳捷網(wǎng)絡(luò)推出的全模塊化骨干路由交換機，擁有6個模塊擴展槽，提供管理模塊冗余，支持千兆和百兆模塊線速轉(zhuǎn)發(fā)，可以根據(jù)用戶的需求靈活配置，構(gòu)建彈性可擴展的現(xiàn)代IP網(wǎng)絡(luò)。

5）RG-S6806/6810萬兆核心路由交換機RG-S6800系列是全模塊化、高密度端口的銳捷萬兆核心路由交換機，目前提供10豎插槽設(shè)計和6橫插槽設(shè)計兩種主機：RG-S6810和RG-S6806。多種模塊可以根據(jù)用戶的需求靈活配置，靈活構(gòu)建彈性可擴展的網(wǎng)絡(luò)。RG-S6800系列交換機高達512G/256G的背板帶寬和286Mpps/143Mpps的二/三層包轉(zhuǎn)發(fā)速率可為用戶提供高速無阻塞的交換，強大的交換路由功能、安全智能技術(shù)可同銳捷各系列交換機配合，為用戶提供完整的端到端解決方案，是大型網(wǎng)絡(luò)核心骨干交換機的理想選擇。

6）RG-WSG108R高速無線局域網(wǎng)寬帶路由器RG-WSG108R是銳捷網(wǎng)絡(luò)推出的108Mbps高速無線局域網(wǎng)寬帶路由器產(chǎn)品，采用業(yè)內(nèi)最新的第二代802.11g多模式高速芯片組，在支持當(dāng)前主流的無線局域網(wǎng)標準的基礎(chǔ)上，率先推出基于108Mbps的高速通道傳輸技術(shù)，同時，內(nèi)建的高速加密引擎支持所有TKIP及AES協(xié)議且不會出現(xiàn)性能衰減。RG-WSG108R在提供高速無線通信的同時，為用戶提供了共享以太網(wǎng)絡(luò)資源的寬帶路由功能，方便用戶在小型辦公區(qū)域、家庭、公眾運營網(wǎng)絡(luò)等場合快速構(gòu)建高速、共享的無線與有線的融合網(wǎng)絡(luò)。外觀小巧美觀，可壁掛或放置于桌面，即插即用，是用戶組建高速無線局域網(wǎng)絡(luò)的最佳選擇。

7）RG-WALL1000 千兆防火墻/VPN網(wǎng)關(guān)RG-WALL系列采用銳捷網(wǎng)絡(luò)獨創(chuàng)的分類算法（ClassificationAlgorithm）設(shè)計的新一代安全產(chǎn)品——第三類防火墻，支持擴展的狀態(tài)檢測（StatefulInspection）技術(shù)，具備高性能的網(wǎng)絡(luò)傳輸功能；同時在啟用動態(tài)端口應(yīng)用程序(如VoIP,H323等)時，可提供強有力的安全信道。采用銳捷獨創(chuàng)的分類算法使得RG-WALL產(chǎn)品的高速性能不受策略數(shù)和會話數(shù)多少的影響，產(chǎn)品安裝前后絲毫不會影響網(wǎng)絡(luò)速度；同時，RG-WALL在內(nèi)核層處理所有數(shù)據(jù)包的接收、分類、轉(zhuǎn)發(fā)工作，因此不會成為網(wǎng)絡(luò)流量的瓶頸。另外，RG-WALL具有入侵監(jiān)測功能，可判斷攻擊并且提供解決措施，且入侵監(jiān)測功能不會影響防火墻的性能。RG-WALL的主要功能包括：擴展的狀態(tài)檢測功能、防范入侵及其它（如URL過濾、HTTP透明代理、SMTP代理、分離DNS、NAT功能和審計/報告等）附加功能。8）STAR-VIEW網(wǎng)絡(luò)管理系統(tǒng)StarView網(wǎng)絡(luò)管理系統(tǒng)是一套基于Windows平臺的高度集成、功能完善、實用性強、方便易用的全中文用戶界面的網(wǎng)絡(luò)級網(wǎng)絡(luò)管理系統(tǒng)。它是由銳捷網(wǎng)絡(luò)自主開發(fā)的軟件產(chǎn)品。StarView管理系統(tǒng)能提供整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，能對以太網(wǎng)絡(luò)中的任何通用IP設(shè)備、S