網(wǎng)絡(luò)系統(tǒng)集成（第二版） 課件第五章 網(wǎng)絡(luò)方案設(shè)計案例

第五章網(wǎng)絡(luò)方案設(shè)計案例【內(nèi)容介紹】

在本章主要根據(jù)前面的知識點，通過列舉某研究所的案例，分析和講解了網(wǎng)絡(luò)方案的基本設(shè)計過程，包括了：需求分析、信息點統(tǒng)計、網(wǎng)絡(luò)建設(shè)的原則；網(wǎng)絡(luò)拓?fù)浞治黾霸O(shè)備選型參考；網(wǎng)絡(luò)IP和VLAN規(guī)劃設(shè)計；路由設(shè)計；網(wǎng)絡(luò)冗余設(shè)計。5.1網(wǎng)絡(luò)建設(shè)目標(biāo)及需求分析5.1.1網(wǎng)絡(luò)建設(shè)目標(biāo)加快某研究所的網(wǎng)絡(luò)信息化建設(shè)，提高研究所的科研、管理、辦公、網(wǎng)絡(luò)視頻會議的科學(xué)化服務(wù)和管理，以高質(zhì)量、高可靠性、高安全性、高穩(wěn)定性、可控管性的建設(shè)要求完成本所數(shù)據(jù)信息傳輸?shù)幕A(chǔ)網(wǎng)絡(luò)建設(shè)，為日后的科學(xué)研究、后勤、采購、合同等的網(wǎng)絡(luò)化辦公提供一個安全可靠的、穩(wěn)定的、高速傳輸網(wǎng)絡(luò)。提示：網(wǎng)絡(luò)系統(tǒng)商首先應(yīng)了解用戶的建設(shè)目標(biāo)、網(wǎng)絡(luò)建設(shè)背景，通過目標(biāo)和背景，才能進(jìn)行下一步的需求調(diào)研和調(diào)查，按照需求調(diào)研調(diào)查的方法進(jìn)行，摸清用戶的真實需求。通常需求調(diào)查的方法，可以通過如下方式完成：正式會議和座談交流：相關(guān)的集成商方案設(shè)計人員、項目經(jīng)理、用戶方參與，提出需求、目標(biāo)、標(biāo)準(zhǔn)等。用戶走訪和調(diào)查：到用戶方，相關(guān)的行政辦公區(qū)、生產(chǎn)工作區(qū)走訪相關(guān)的基層人員、管理人員，調(diào)查用戶基層的真實需求和想法，規(guī)劃的網(wǎng)絡(luò)平臺更貼近用戶的實際需要。實地考查：實地考查是方案設(shè)計人員獲取最為真實的用戶實際環(huán)境信息，比如樓層分布、樓宇分布、樓宇辦公間情況、樓宇內(nèi)業(yè)務(wù)分布情況、用戶信息點分布等。等等。5.1.2網(wǎng)絡(luò)建設(shè)需求分析1.基本需求為加快某研究所的網(wǎng)絡(luò)信息化建設(shè)，響應(yīng)本期數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)建設(shè)工程，滿足用戶信息化需求，建設(shè)本期的多功能網(wǎng)絡(luò)系統(tǒng)綜合網(wǎng)，整合整個數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)的資源利用最大化；保證高質(zhì)量、高效率地為各個子網(wǎng)日常辦公、VoIP、視頻會議、資源共享、E-MAIL、FTP、WEB信息發(fā)布、VOD視頻點播、信息傳遞、共享文件打印機(jī)、網(wǎng)絡(luò)傳真服務(wù)、宏觀協(xié)調(diào)及科學(xué)決策服務(wù)。先進(jìn)性、實用性、穩(wěn)定性、可靠性、可擴(kuò)展性、安全性、可管理性、可運(yùn)營、可增值是本次數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)絡(luò)建設(shè)的首要條件。應(yīng)用需求某研究所的數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)絡(luò)信息化建設(shè)，必須以用戶的應(yīng)用需求作為基礎(chǔ)。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和應(yīng)用水平的逐步提高，用戶的網(wǎng)絡(luò)需求也不斷的增加，應(yīng)用特點也在不斷變化，網(wǎng)絡(luò)應(yīng)用新特點，主要表現(xiàn)為：該研究所的需要接入網(wǎng)絡(luò)數(shù)逐漸增多，擴(kuò)展速度快：新建辦公樓、生產(chǎn)工作區(qū)規(guī)模在擴(kuò)大，地理分布較大，員工人數(shù)增加較快，家屬生活區(qū)家庭用戶需要接入該所網(wǎng)絡(luò)，用戶終端數(shù)量增大；業(yè)務(wù)應(yīng)用增多，網(wǎng)絡(luò)傳輸質(zhì)量要求嚴(yán)格：工作區(qū)、行政辦公區(qū)、生產(chǎn)區(qū)、家屬生活區(qū)等需要持續(xù)不斷的業(yè)務(wù)傳輸，傳輸質(zhì)量要求可靠、穩(wěn)定、安全，保證接入用戶身份明確；安全隱患大：目前網(wǎng)絡(luò)攻擊軟件泛濫，來源方便，并對技術(shù)要求更低；同時網(wǎng)絡(luò)病毒泛濫、新病種不斷呈現(xiàn)，危害性更強(qiáng)；不易管理：用戶中經(jīng)常發(fā)生IP地址盜用、IP地址沖突、帳號盜用、非法DHCP服務(wù)器和設(shè)置代理服務(wù)器等令網(wǎng)絡(luò)管理及維護(hù)人員非常頭疼的問題；非法組播源：從任何端口進(jìn)入的視頻流均是合法的，交換機(jī)會把它們轉(zhuǎn)發(fā)到已注冊的端口，無法區(qū)分合法的視頻流，影響網(wǎng)絡(luò)帶寬和性能。3.網(wǎng)絡(luò)高性能需求根據(jù)用戶的基本業(yè)務(wù)，對網(wǎng)絡(luò)性能體提出了新需求：并發(fā)性強(qiáng)，要求終端接入準(zhǔn)入認(rèn)證效率高，對用戶的認(rèn)證不會對網(wǎng)絡(luò)性能造成瓶頸；各種流媒體的應(yīng)用（比如：視頻、語音、小區(qū)視頻監(jiān)控數(shù)據(jù)），要求全線支持組播、QoS、流量控制等流技術(shù)，使用戶能正常、流暢的應(yīng)用多媒體；網(wǎng)絡(luò)設(shè)備的交換容量要足夠用，保證每端口能線速轉(zhuǎn)發(fā)，同時預(yù)留一定端口作為擴(kuò)展余地；應(yīng)用系統(tǒng)復(fù)雜化和多元化，需求網(wǎng)絡(luò)具有高帶寬，核心層之間必須支持萬兆鏈路擴(kuò)展，匯聚層到核心層多條千兆鏈路聚合，接入層到匯聚層千兆鏈路或鏈路聚合，百兆到桌面的以太網(wǎng)為目標(biāo)。4.可靠性、穩(wěn)定性需求核心層是該研究所的業(yè)務(wù)中心，如何保障網(wǎng)絡(luò)的高效率、高可靠、高穩(wěn)定運(yùn)行是網(wǎng)絡(luò)建設(shè)的前提；核心層之間設(shè)備互為備份，包括設(shè)備、鏈路、路由等備份，保證了網(wǎng)絡(luò)可靠性；可提供管理模塊冗余和電源模塊冗余，保障網(wǎng)絡(luò)的高可用性和穩(wěn)定性；5.網(wǎng)絡(luò)安全需求杜絕非法的組播源播放非法的組播信息；如何有效控制和預(yù)防病毒的傳播和網(wǎng)絡(luò)的攻擊；由于各種病毒在被公布前是很難防范的，網(wǎng)絡(luò)技術(shù)需要能適時的調(diào)整安全策略，并在最短的時間內(nèi)部署到全網(wǎng)，把病毒拒絕在網(wǎng)絡(luò)之外。建立行政辦公區(qū)、生產(chǎn)區(qū)中各個科室之間的安全訪問控制問題，做到將攻擊威脅控制在子網(wǎng)內(nèi)，甚至可以控制在子網(wǎng)內(nèi)的交換設(shè)備的某端口。6.網(wǎng)絡(luò)準(zhǔn)入控制認(rèn)證需求，便于建立一個可信網(wǎng)絡(luò)有效的對用戶進(jìn)行接入控制，保證只有申請開通的合法用戶才可以使用網(wǎng)絡(luò)，保證接入的用戶身份合法性；能夠?qū)尤胗脩暨M(jìn)行帳號與IP、MAC、端口等多元素綁定，以唯一確定用戶身份同時準(zhǔn)確定位；客戶端自動在線升級，方便網(wǎng)絡(luò)管理人員的維護(hù)，提高工作效率；對部分接入用戶權(quán)限漫游，要求IP地址與用戶一一對應(yīng)關(guān)系。7.網(wǎng)絡(luò)監(jiān)控管理需求需要方便的進(jìn)行用戶管理，包括開戶、銷戶、資料修改和查詢；需要能對用戶進(jìn)行分級管理，認(rèn)證系統(tǒng)需要支持遠(yuǎn)程登錄的方式進(jìn)行管理；需要能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行集中的統(tǒng)一管理，自動生成網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過顏色變化來區(qū)分設(shè)備運(yùn)行情況；組、帳號用戶管理模式，提高網(wǎng)絡(luò)的開戶效率和組管理功能；用戶能自己管理帳戶的密碼和查看上網(wǎng)記錄；可監(jiān)視和管理用戶上網(wǎng)的行為，特別是對工作區(qū)中的上班時間員工上網(wǎng)行為監(jiān)控：聊天、訪問非法網(wǎng)站、在線看電影，等等。8.QoS需求由于研究所系統(tǒng)的特殊性，其通信的類型幾乎涵蓋了Internet所有的應(yīng)用通信類型，包括Email、FTP、網(wǎng)頁瀏覽、數(shù)據(jù)庫查詢、協(xié)同計算機(jī)輔助設(shè)計（CAD）、基于計算機(jī)的企業(yè)系統(tǒng)（ERP等）、協(xié)同研究、視頻廣播、語音廣播（生產(chǎn)工作區(qū)）、IP視頻監(jiān)控、VoIP以及視頻會議等等應(yīng)用類型。其通信方式和對傳輸網(wǎng)絡(luò)的要求各不相同，為了合理利用網(wǎng)絡(luò)資源，需要為業(yè)務(wù)、VoIP、語音廣播、視頻會議等對網(wǎng)絡(luò)服務(wù)質(zhì)量要求高的應(yīng)用提供高優(yōu)先級，才能為所有這些應(yīng)用提供網(wǎng)絡(luò)傳輸保證，保障各種不同服務(wù)的流暢應(yīng)用，并實現(xiàn)端到端的QoS服務(wù)。9.組播應(yīng)用需求IP組播技術(shù)作為一種節(jié)省帶寬的網(wǎng)絡(luò)技術(shù)，最適合在流媒體應(yīng)用中使用。流媒體技術(shù)，可用于生產(chǎn)工作區(qū)語音廣播、視頻點播、遠(yuǎn)程監(jiān)控、視頻會議等應(yīng)用。需要對網(wǎng)絡(luò)設(shè)備的要求：組播協(xié)議，核心和匯聚的三層交換機(jī)支持PIM/IGMP等協(xié)議，接入的二層交換機(jī)支持IGMPSnooping協(xié)議；多媒體雙向組播，實現(xiàn)時時的交互式視頻應(yīng)用；多媒體非法組播源控制；端到端QoS保障，要求全網(wǎng)提供服務(wù)保證。10.終端桌面安全需求：研究所具有一些政策性約束條件，對接入終端的審計具有高安全性要求，因此，針對該研究所的行政辦公區(qū)、研究室、財務(wù)室等重要部門進(jìn)行用戶桌面終端行為監(jiān)控，能夠有效地審計用戶，便于事后進(jìn)行取證。5.1.3信息點分布分析信息點分布情況區(qū)域樓宇信息點（接入層）終端（含PC、手機(jī)或PAD）接入量（大約）行政辦公區(qū)1#（6層高）40間/層*6層*2點/間=480點6層*4個會議室/層*4/個會議室=96點2016臺2#（6層高）40間/層*6層*2點/間=480點6層*4個會議室/層*4/個會議室=96點2016臺3#（3層高綜合樓）12間/層*2層*6點/間=144點1層（圖書閱覽室）*40點/層=402層*2個會議室/層*4/個會議室=46點240臺生產(chǎn)工作區(qū)1#，2#120點100臺3#，4#220點200臺5#，6#220點200臺家屬生活區(qū)1#~60#60棟*48點/棟=2880點8640臺物管中心40點30臺5.2網(wǎng)絡(luò)建設(shè)設(shè)計原則該研究所網(wǎng)絡(luò)系統(tǒng)的建設(shè)在實用的前提下，應(yīng)當(dāng)在投資保護(hù)及長遠(yuǎn)性方面做適當(dāng)考慮，在技術(shù)上、系統(tǒng)能力上要保持5年左右的先進(jìn)性。并且從用戶的利益出發(fā)，系統(tǒng)具有一定的自由度，從技術(shù)上講應(yīng)該采用標(biāo)準(zhǔn)、開放、可擴(kuò)充的、能與其它廠商產(chǎn)品配套使用的設(shè)計。根據(jù)數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)的總體需求，結(jié)合對應(yīng)用系統(tǒng)的考慮，我們提出網(wǎng)絡(luò)系統(tǒng)的設(shè)計目標(biāo)是：高性能、高可靠性、高穩(wěn)定性、高安全性、可運(yùn)營、可管理、可增值的智能網(wǎng)絡(luò)。5.3網(wǎng)絡(luò)拓?fù)湓O(shè)計5.3.1網(wǎng)絡(luò)拓?fù)浼霸O(shè)備選型分析根據(jù)需求分析、信息點的分布統(tǒng)計情況，網(wǎng)絡(luò)拓?fù)湓O(shè)計應(yīng)采用三層網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計，就是將復(fù)雜的網(wǎng)絡(luò)設(shè)計分成多個層次，每個層次只著重于某一方面特定功能的設(shè)計，這樣能夠使一個復(fù)雜網(wǎng)絡(luò)變的簡單化、有層次感的網(wǎng)絡(luò)，易于網(wǎng)絡(luò)管理和維護(hù)。所采用的三層結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)拓?fù)?，即為：核心層、匯聚層、接入層，同時考慮安全性和冗余設(shè)計。本次網(wǎng)絡(luò)方案案例設(shè)計，以選用銳捷網(wǎng)絡(luò)產(chǎn)品系列，銳捷網(wǎng)絡(luò)公司作為國內(nèi)領(lǐng)先的網(wǎng)絡(luò)設(shè)備供應(yīng)商，其產(chǎn)品具有良好的可靠性和穩(wěn)定性，可提供高性能、全方位的千兆網(wǎng)絡(luò)產(chǎn)品解決方案。其專門為企業(yè)行業(yè)用戶定制和推出的解決方案，由于貼近企業(yè)行業(yè)用戶實際需求，得到了約10000家以上單位的認(rèn)可，該設(shè)備選型也滿足了該方案前面所述的設(shè)計原則。1.核心層設(shè)備選擇核心交換機(jī)是局域網(wǎng)的基石，網(wǎng)絡(luò)信息交換、共享數(shù)據(jù)的中心樞紐，其性能決定網(wǎng)絡(luò)中各信息點的響應(yīng)速度，傳輸速度和吞吐量，網(wǎng)絡(luò)的負(fù)載能力、服務(wù)器分發(fā)、工作站訪問范圍等性能。因此，核心交換機(jī)采用多機(jī)做熱備份，保證核心層的正常運(yùn)行。根據(jù)需求，所選中心交換機(jī)應(yīng)具有模塊化設(shè)計、虛網(wǎng)劃分功能，支持第三層交換、負(fù)載均衡和冗余備份、板卡智能分布式處理、模塊熱插拔、電源冗余等功能，高密度端口、多種模塊、配置靈活，構(gòu)建彈性可擴(kuò)展的網(wǎng)絡(luò)。并且核心交換機(jī)還必須具備真正線速、超強(qiáng)分布式數(shù)據(jù)處理性能、復(fù)雜功能硬件實現(xiàn)、采用先進(jìn)的交換矩陣結(jié)構(gòu)，支持硬件ACL、硬件QoS、在進(jìn)行大量復(fù)雜數(shù)據(jù)處理的同時保持線速的交換和路由。另外作為“大數(shù)據(jù)多業(yè)務(wù)時代”對高數(shù)據(jù)處理能力的最新要求，交換機(jī)每個端口必須具備獨立的數(shù)據(jù)處理能力，將分布在線卡層面的部分功能（ACL,QOS）進(jìn)一步分布到端口，實現(xiàn)了端口級的數(shù)據(jù)同步交換。綜上所述，主干核心交換機(jī)屬于高端系列的產(chǎn)品，所以在本方案中，核心交換機(jī)采用RG-S8605E骨干萬兆交換機(jī)。RG-S8605E具有如下功能和特點：三層模塊化交換機(jī)；5個全模塊化，具有良好的擴(kuò)展性；高密度端口，交換容量最大可以達(dá)到83.4Tbit/s；包轉(zhuǎn)發(fā)率最大可以達(dá)到18,000Mpps支持網(wǎng)絡(luò)虛擬化；SDN支持具有高可用的QoS保障：支持802.1p；支持SP、WRR、DRR、SP+WRR、SP+DRR等隊列調(diào)度機(jī)制；支持RED/WRED；支持基于出端口/入端口的限速；支持基于MAC地址802.1X功能和基于端口802.1X功能；硬件實現(xiàn)端口于IP、MAC的綁定；支持RIPv1/v2、OSPF、VRRP、PIM、IGMP等多種三層協(xié)議；支持SNMPv1/v2c/v3、CLI(Telnet/Console)、RMON(1,2,3,9)等多種管理方式；硬件實現(xiàn)路由、ACL、QOS等功能；支持萬兆以太網(wǎng)，端口轉(zhuǎn)發(fā)達(dá)到線速，便于后期擴(kuò)展升級；主控、電源均可冗余備份，所有板件支持熱插拔，電信級可靠性設(shè)計保證核心節(jié)點穩(wěn)定可靠；2.匯聚層設(shè)備選型對于樓宇或區(qū)域匯聚交換機(jī)，必須考慮到安全接入控制、QoS服務(wù)質(zhì)量保證、組播支持等技術(shù)。結(jié)合數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)的實際情況，建議在樓宇或區(qū)域匯聚節(jié)點使用匯聚層交換機(jī)RG-S5750-H系列設(shè)備。具有實現(xiàn)匯聚層具有的多種特點：RG-S5750-H系列交換機(jī)固化4端口萬兆光，可根據(jù)用戶需要靈活選擇不同數(shù)量的萬兆光口和電口，完全滿足大型企業(yè)園區(qū)網(wǎng)匯聚或中小型網(wǎng)絡(luò)核心部署需求；可支持高達(dá)64K的MAC地址容量；交換容量最大可以支持到5.98T；具有交換機(jī)應(yīng)有的VLAN、生成樹等特性；硬件支持IPv4/IPv6雙協(xié)議棧多層線速交換，硬件區(qū)分和處理IPv4、IPv6協(xié)議報文，可根據(jù)IPv6網(wǎng)絡(luò)的需求規(guī)劃網(wǎng)絡(luò)或者維持網(wǎng)絡(luò)現(xiàn)狀，提供靈活的IPv6網(wǎng)絡(luò)通信方案；支持豐富的IPv4路由協(xié)議，包括靜態(tài)路由、RIP、OSPF、IS-IS、BGP4等，滿足不同網(wǎng)絡(luò)環(huán)境中用戶選擇合適的路由協(xié)議靈活組建網(wǎng)絡(luò)。同時支持豐富的IPv6路由協(xié)議，包括靜態(tài)路由、RIPng、OSPFv3、IS-ISV6、BGP4+等，不論是在升級現(xiàn)有網(wǎng)絡(luò)至IPv6網(wǎng)絡(luò)，還是新建IPv6網(wǎng)絡(luò)，都可靈活選擇合適的路由協(xié)議組建網(wǎng)絡(luò)。完善的安全防護(hù)策略：具有的多種內(nèi)在機(jī)制可以有效防范和控制病毒傳播和黑客攻擊，如預(yù)防DoS攻擊、防黑客IP掃描機(jī)制、端口ARP報文的合法性檢查、多種硬件ACL策略等，還網(wǎng)絡(luò)一片綠色。支持基于硬件的IPv6ACL，即使在IPv4網(wǎng)絡(luò)內(nèi)有IPv6用戶，也可輕松在網(wǎng)絡(luò)邊緣實現(xiàn)對IPv6用戶的訪問控制，既可允許網(wǎng)絡(luò)內(nèi)IPv4/IPv6用戶并存，也可以對IPv6用戶的訪問權(quán)限進(jìn)行控制，比如限制對網(wǎng)絡(luò)敏感資源的訪問等。業(yè)界領(lǐng)先的硬件CPU保護(hù)機(jī)制：特有的CPU保護(hù)策略（CPP技術(shù)），對發(fā)往CPU的數(shù)據(jù)流，進(jìn)行流區(qū)分和優(yōu)先級隊列分級處理，并根據(jù)需要實施帶寬限速，充分保護(hù)CPU不被非法流量占用、惡意攻擊和資源消耗，保障了CPU安全，充分保護(hù)了交換機(jī)的安全。硬件實現(xiàn)端口或交換機(jī)整機(jī)與用戶IP地址和MAC地址的靈活綁定，嚴(yán)格限定端口上的用戶接入或交換機(jī)整機(jī)上的用戶接入問題。支持DHCPsnooping，可只允許信任端口的DHCP響應(yīng)，防止私設(shè)DHCPServer的欺騙；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動態(tài)監(jiān)測ARP和檢查用戶的IP，直接丟棄不符合綁定表項的非法報文，有效防范ARP欺騙和用戶源IP地址的欺騙問題?；谠碔P地址控制的Telnet設(shè)備訪問控制，避免非法人員和黑客惡意攻擊和控制設(shè)備，增強(qiáng)了設(shè)備網(wǎng)管的安全性。SSH（SecureShell）和SNMPv3可以通過在Telnet和SNMP進(jìn)程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備。提供多種安全控制手段，包括限制和禁止主機(jī)訪問、AAA認(rèn)證、802.1X、控制臺口令保護(hù)、MAC地址鎖、VLAN劃分、ACL訪問控制等功能；；支持NFPP技術(shù)。NFPP(NetworkFoundationProtectionPolicy基礎(chǔ)網(wǎng)絡(luò)保護(hù)策略)是用來增強(qiáng)交換機(jī)安全的一種保護(hù)體系，通過對攻擊源頭采取隔離措施，可以使交換機(jī)的處理器和信道帶寬資源得到保護(hù)，從而保證報文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常。以上這些功能和特點完全滿足并超出本次項目的要求適合作為樓宇或區(qū)域匯聚交換機(jī)。3.接入層設(shè)備選擇接入交換機(jī)通過部署支持ACL的RG-S2600-E/P系列智能增強(qiáng)安全接入交換機(jī)，采用千兆上聯(lián)、百兆堆疊到桌面的解決方案。桌面接入采用10/100Mbps以太網(wǎng)技術(shù)，某些節(jié)點直接千兆到桌面。一則可實現(xiàn)彈性、平滑的基礎(chǔ)網(wǎng)絡(luò)擴(kuò)容，二則通過安全智能交換機(jī)的安全特性，將用戶報文在接入端口進(jìn)行過濾，同時釋放、降低核心層設(shè)備的性能壓力和組網(wǎng)成本。結(jié)合IEEE802.1X接入控制協(xié)議，通過安全認(rèn)證，形成合法用戶安全可信接入、高性能、可控管網(wǎng)絡(luò)系統(tǒng)；支持交換機(jī)具有的VLAN、生成樹特點。4.網(wǎng)絡(luò)邊界安全網(wǎng)關(guān)（數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)出口設(shè)備）選擇為了保護(hù)數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)和外網(wǎng)之間的安全，防止網(wǎng)絡(luò)病毒和網(wǎng)絡(luò)攻擊等行為，并實現(xiàn)Internet連接，需要在數(shù)據(jù)基礎(chǔ)網(wǎng)絡(luò)網(wǎng)絡(luò)出口部署防火墻作為安全網(wǎng)關(guān)和遠(yuǎn)程接入平臺。我們選擇RG-WALL1600作為安全網(wǎng)關(guān)，其具體特點如下：提供網(wǎng)絡(luò)接口10/100/1000BaseT≥4，Mini-GBIC接口≥6；提供并發(fā)會話數(shù)≥2000000；防火墻流量能力(單向)≥2.5Gbps；策略數(shù)（Policies）≥1,000；

支持策略路由功能；支持負(fù)載均衡；提供HA功能：支持設(shè)備故障檢測、連接故障檢測、故障切換通知提供具有完備的雙向地址翻譯NAT或PNAT功能：正向NAT支持靜態(tài)NAT和動態(tài)NAT，反向NAT支持端口映射和IP映射；支持BT/eDonkey/Kazaa等P2P軟件的禁止和帶寬限制；監(jiān)視并切斷發(fā)自不明發(fā)信地址的內(nèi)容、切斷沒有被邀請的ICMP、切斷IP流量碎片、Syncflooding攻擊、檢測并攔截掃描行為、UDPflooding郵件炸彈、支持同IDS的產(chǎn)品互動,拒絕服務(wù)和許多其他的攻擊；支持VPN功能，并發(fā)VPN通道數(shù)≥10,000tunnels，VPN吞吐量(SHA-1,3DES)≥2Gbps；支持Web、命令行、SSH、JAVA控制臺管理；可完全支持建立高安全性的企業(yè)服務(wù)器群DMZ區(qū)。5.認(rèn)證系統(tǒng)選型（建立終端可信準(zhǔn)入控制）網(wǎng)絡(luò)核心部署RG-SAM安全認(rèn)證系統(tǒng)，提供全網(wǎng)用戶管理和安全認(rèn)證管理，提升網(wǎng)絡(luò)準(zhǔn)入接入控制和安全管理，實現(xiàn)端到端的整體解決方案。根據(jù)網(wǎng)絡(luò)用戶管理應(yīng)用需求，具體要求：支持Windows操作系統(tǒng)和MSSQL數(shù)據(jù)庫，大于等于1萬用戶實現(xiàn)對接入用戶進(jìn)行帳號與IP、MAC、交換機(jī)、端口多元素的復(fù)合綁定支持自動綁定用戶IP、MAC、交換機(jī)端口、交換機(jī)ip實現(xiàn)有效的自動探測并屏蔽各種形式的代理服務(wù)器，包括單網(wǎng)卡代理，雙網(wǎng)卡代理，終端服務(wù)代理或者HTTP、Socket等各種代理形式。同時，是否允許某個帳號使用代理，可以由管理員在認(rèn)證服務(wù)器進(jìn)行控制實現(xiàn)有效的屏蔽認(rèn)證后撥號的功能。同時，是否允許某個帳號使用認(rèn)證后撥號的功能，可以由管理員在認(rèn)證服務(wù)器端進(jìn)行控制有效控制IP地址沖突支持客戶端軟件自動在線升級支持接入時段控制（日常、周末、節(jié)日）支持組、帳號用戶管理模式支持分級權(quán)限管理功能支持用戶Web自助服務(wù)（提供用戶修改密碼，查詢上網(wǎng)記錄和繳費(fèi)記錄）支持消息廣告支持用戶自助注冊帳戶功能，管理員審計激活功能5.3.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計三層結(jié)構(gòu)描述如下：核心節(jié)點，完成網(wǎng)絡(luò)區(qū)域之間的交換和路由，并承載服務(wù)器群的網(wǎng)絡(luò)數(shù)據(jù)傳輸，承擔(dān)該研究所的內(nèi)外、內(nèi)網(wǎng)與服務(wù)器、內(nèi)網(wǎng)區(qū)域之間的網(wǎng)絡(luò)數(shù)據(jù)傳輸。匯聚節(jié)點，完成生產(chǎn)工作區(qū)區(qū)域、家屬生活區(qū)區(qū)域、行政辦公區(qū)區(qū)域的匯聚，實現(xiàn)區(qū)域內(nèi)的內(nèi)部交換和路由，并承擔(dān)區(qū)域內(nèi)網(wǎng)絡(luò)數(shù)據(jù)的流出出口，并實現(xiàn)高鏈路聚合和冗余，解決網(wǎng)絡(luò)數(shù)據(jù)出口單點故障問題。接入節(jié)點，完成終端用戶的接入，比如行政辦公區(qū)房間、生產(chǎn)工作區(qū)、家屬生活區(qū)等。根據(jù)實際內(nèi)容，將該研究所分成三大區(qū)域：行政辦公區(qū)；生產(chǎn)工作區(qū)；家屬生活區(qū)。提示：我們在設(shè)計網(wǎng)絡(luò)拓?fù)鋱D的時候，首先應(yīng)該根據(jù)用戶需求分析，得出網(wǎng)絡(luò)規(guī)模、承載的業(yè)務(wù)數(shù)據(jù)、安全控制等信息，按照網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方法和思路，是構(gòu)建三層結(jié)構(gòu)（核心層、匯聚層、接入層），還是構(gòu)建二層結(jié)構(gòu)（核心層和接入層）。從該研究所的需求，適合采用三層結(jié)構(gòu)，有利于區(qū)域化交換和管理、安全控制。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)繪制方法較多，我們可以采用專業(yè)的工程繪圖工具實現(xiàn)，比如微軟的Visio工具，或億圖工具，或WPS的演示工具（ppt），或微軟的PowerPoint工具，無論使用哪一種工具，我們要繪制好的示意圖，都需要一些圖的元素圖，比如交換機(jī)、路由器、防火墻、PC主機(jī)的元素圖，通常我們的設(shè)備廠家會提供一些元素圖，利用工具和元素圖，參考一些網(wǎng)絡(luò)拓?fù)涫疽鈭D，就可以畫出好的網(wǎng)絡(luò)方案拓?fù)鋱D。5.4網(wǎng)絡(luò)IP地址及VLAN規(guī)劃設(shè)計5.4.1用戶信息點分類根據(jù)前面的需求分析和用戶區(qū)域情況，可以實現(xiàn)用戶信息點在區(qū)域內(nèi)的分類，分類的目的有助于網(wǎng)絡(luò)管理和方便規(guī)劃設(shè)計IP地址和VLAN，也有利于實現(xiàn)路由和交換、安全管理的邏輯劃分。從前面的信息點統(tǒng)計情況來看，家屬生活區(qū)是比較單一的用戶類，家屬生活區(qū)可以按照每一棟樓的每一單元一個分類的原則；對行政辦公區(qū)，結(jié)合辦公區(qū)的部門和樓層情況進(jìn)行用戶分類的原則；對行政辦公區(qū)的實驗樓按照房間進(jìn)行分類的原則；對生產(chǎn)工作區(qū)按照廠房的生產(chǎn)組進(jìn)行分類的原則。因此，可以得到如表5.3所示的用戶信息點分類示意表。提示：該表供參考，由于太多內(nèi)容，僅僅提供部分內(nèi)容，供學(xué)習(xí)參考。信息點分類示意表區(qū)域位置用戶類說明類別編碼家屬生活區(qū)1#1單元家屬分類#1-1Jiashu-01-011#2單元家屬分類#1-2Jiashu-01-02………………2#1單元家屬分類#2-1Jiashu-02-01………………生產(chǎn)工作區(qū)1#-生產(chǎn)組1生產(chǎn)組#01-01Shengchangzu-01-011#-生產(chǎn)組2生產(chǎn)組#01-02Shengchangzu-01-02………………行政辦公區(qū)1#1樓-1-20房間XX1研究部XX1研究部Bangong-01-01-yanjiu-011#2樓-21-40房間XX2研究部XX2研究部Bangong-01-02-yanjiu-02………………2#1樓-1-10房間財務(wù)財務(wù)Bangong-02-01-caiwu………………5.4.2IP和VLAN設(shè)計1.IP及VLAN規(guī)劃原則根據(jù)需求分析，當(dāng)前主要為用戶提供一個前期網(wǎng)絡(luò)規(guī)劃方案，方便用戶對方案的認(rèn)可，而不是方案實施。就該研究所IP及VLAN的規(guī)劃原則作一下簡要設(shè)計(僅作為參考，便于日后進(jìn)一步交流)：為控制廣播，也為今后的管理提供方便，一個網(wǎng)段內(nèi)的用戶量為254個信息點以下最佳；整網(wǎng)均采用私有IPv4地址，并通過防火墻進(jìn)行NAT轉(zhuǎn)換共享訪問外網(wǎng)（Internet）；為了方便日后的管理和維護(hù)，采取IP網(wǎng)段和VLAN-ID相對應(yīng)的策略，例如：網(wǎng)段/24對應(yīng)VLANID11，網(wǎng)段/24對應(yīng)VLANID12等等；2.IP及VLAN規(guī)劃建議如圖表5.4所示為IP和VLAN規(guī)劃的示意表，并結(jié)合了用戶分類，該表供后期深層次的交流。5.5路由設(shè)計5.5.1默認(rèn)路由設(shè)計默認(rèn)路由設(shè)計是一種網(wǎng)絡(luò)路由配置中的特殊靜態(tài)路由，可以匹配所有的目的IP網(wǎng)絡(luò)，常常作為PC主機(jī)、網(wǎng)絡(luò)邊界唯一出口（比如內(nèi)外網(wǎng)）的特殊靜態(tài)路由，方便用戶訪問其他網(wǎng)絡(luò)的時候有一條缺省的路徑。該研究所所涉及的默認(rèn)路由配置，主要在如下節(jié)點中：終端：所有的終端接入設(shè)備的默認(rèn)網(wǎng)關(guān)（默認(rèn)路由），均為所接交換機(jī)端口(或VLAN)所在IP的網(wǎng)關(guān)地址。終端包括了家屬生活區(qū)、無線接入、行政辦公區(qū)、生產(chǎn)工作區(qū)、服務(wù)器群。出口防火墻：該研究所的內(nèi)網(wǎng)出口防火墻與外網(wǎng)之間相連接的默認(rèn)路由設(shè)置，設(shè)置為運(yùn)營商提供的默認(rèn)網(wǎng)關(guān)IP地址。在匯聚層和核心層設(shè)備上可以根據(jù)實際情況增加靜態(tài)路由，以提高路由選擇速率。動態(tài)路由RIP或OSPF中會使用到相應(yīng)的配置指令完成默認(rèn)路由的引入，將在實際實施方案中具體體現(xiàn)配置，比如RIP中引入ipdefault-network或defaualt-informationoriginate配置指令，在OSPF中引入defaualt-informationoriginate配置指令。5.5.2動態(tài)路由設(shè)計動態(tài)路由在該方案可以選擇RIP或OSPF，RIP路由協(xié)議有兩個版本：RIPv1和RIPv2。RIP路由協(xié)議屬于距離向量動態(tài)路由協(xié)議，路由度量值是根據(jù)經(jīng)過的路由器節(jié)點數(shù)這一因素決定。如果有到相同目的網(wǎng)絡(luò)的兩個不等傳輸率線路的路由，但經(jīng)過路由器節(jié)點跳數(shù)是相同的，則RIP都認(rèn)為是兩個等距離的路由，都是一樣的優(yōu)秀路由；其次，當(dāng)鏈路在處于高流量、擁塞的情況下，RIP無從判斷該條路徑是否為最優(yōu)秀的路由，只是簡