第10章 网络规划与设计 10.1 网络方案设计内容 10.2 网络总体设计 10.3 中小企业网络解决方案10.1 网络方案设计内容 用户需求分析与建网目标 建网原则 网络总体设计 综合布线系统 设备选型 系统软件 应用系统 工程实施步骤 培训方案 、测试与验收10.1 网络方案设计内容 用户需求分析与建网目标（1）了解企业用户的现状 （2）弄清用户的目的（3） 掌握资金投入的额度（4）了解企业用户环境（5）确定企业用户的数据流管理架构 10.1 网络方案设计内容 2 建网原则(1) 标准化及规范化 (2) 先进性 (3) 扩充性 (4) 可靠性 (5) 安全性 (6) 可管理性及可维护性 (7) 实用性 (8) 灵活性 (9) 经济性 10.2 网络总体设计 10.2.1 局域网技术选型 10.2.2 网络拓扑结构设计 大型网络的设计通常是从中心开始把计算机网络划分 为核心层、汇聚层和接入层（见图1-1），每层完成的功 能不一样，各有其特点，应根据不同层次用不同的要求 设计网络，网络的层次化设计有以下优点：1 结构简单。通过将网络分成许多小单元，降低了 网络的整体复杂性，使故障排除或扩展更容易，能隔离 广播风暴的传播、防止路由循环等潜在问题。2 升级灵活。网络容易升级到最新的技术,升级任意 层的网络不会对其他层次造成影响，无须改变整个环境 。3 易于管理。层次结构降低了设备配置的复杂性， 使网络更容易管理。 10.2 网络总体设计 10.2.2 网络拓扑结构设计 核心层的任务是为其他两层提供优化的数据传输功能 。核心层由一个高速的骨干网组成，其作用是尽可能快 地交换数据包。由于核心层对网络互连是至关重要的， 因此一般要采用冗余组件来设计核心层。核心层应具有 高可靠性，并且应能快速适应网络的变化。核心层不应 卷入到对具体的数据包的运算中去（如过滤等），否则 会降低数据包的交换速度。核心层的主干交换机一般采 用最快速率的链路连接技术，在与汇聚层交换机相连时 要考虑采用建立在生成树基础上的多链路冗余连接，以 保证与核心层交换机之间存在备份连接和负载均衡，完 成高带宽、大容量网络层路由交换功能。这样当交换机 之间的线路出现故障时，传输的数据会快速自动切换到 另外一线路上进行传输，不影响网络系统的正常工作。 10.2 网络总体设计 10.2.2 网络拓扑结构设计 汇聚层是网络核心层与接入层的分界点，它扮演了许 多角色，包括对资源的控制访问，可以配置为VLAN之间 连接的路由，汇总接入层的路由。设计时可根据网络规 模和应用情况考虑汇聚层与核心层有冗余的链路。汇聚 层设计需支持网络的高接口密度、高性能、高可用性等 特性，应该与服务质量（QoS）机制、智能应用技术以及 安全性设计结合在一起。用户可以通过汇聚层高效地利 用其接入层网络，增加终端业务（如多点广播、语音和 视频应用、ERP应用等），而不影响网络性能。汇聚层交 换机和接入层交换机之间可以利用全双工技术和高传输 率网络互联，保证分支主干无带宽瓶颈。汇聚层的设计 要满足核心层、汇聚层交换机和服务器集合环境对千兆 端口密度、可扩展性、高可用性以及多层交换的不断增 长的需求，支持大用户量、多媒体信息传输等应用。 10.2 网络总体设计 10.2.2 网络拓扑结构设计 接入层的主要目标是为最终用户提供对网络 访问的途径，提供了带宽共享，交换带宽、MAC 层过滤、网段划分等功能。本层也可以提供访问 列表过滤等操作。接入层设计时可考虑采用可网 管、可堆叠的以太网交换机作为网络的接入级交 换机，以适应高端口密度的部门级大中型网络。 交换机的普通端口直接与用户计算机相连，高速 端口用于上连高速率的汇聚层的交换机，用以有 效地缓解网络骨干的瓶颈。 10.2 网络总体设计 10.2.3 地址分配与聚合设计 1 IP地址的划分原则如下： 唯一性：IP地址必须唯一，一个IP地址对应一台数据通 讯设备； 连续性：为同一网络区域分配连续的网络地址，便于规 划，同时提高路由器寻径效率； 可扩充性：分配地址应预留一定量的备用地址块，以便 网络节点增加后能保持地址的连续性； 可管理性：地址的分配应该有层次性，某个局部的变动 不影响网络的其它部分； 高效性：可采用可变长子网掩码技术； 可汇聚性：网络地址的分配应有利于路由表汇聚； 10.2 网络总体设计 10.2.3 地址分配与聚合设计 2 IP地址的划分方法如下 ： 自顶向下地址规划 公有地址、私有地址的结合使用 动态分配地址可以有效地管理用户的地址 混合地址分配方案 10.2.4 Internet接入设计 10.2 网络总体设计 10.2.5 网络性能设计 10.2 网络总体设计 10.2.6 网络可靠性和冗余设计 网络系统的可靠性主要有三方面：抗毁性、生存性和 有效性。抗毁性是指系统在人为破坏下的可靠性。比如部分线 路或节点失效后，系统是否仍然能够提供一定程度的服 务。增强抗毁性可以有效地避免因各种灾害（战争、地 震等）造成的大面积瘫痪事件。生存性是在随机破坏下系统的可靠性。生存性主要反 映随机性破坏和网络拓扑结构对系统可靠性的影响。这 里，随机性破坏是指系统部件因为自然老化等造成的自 然失效。有效性是一种基于业务性能的可靠性。有效性主要反 映在网络信息系统的部件失效的情况下，满足业务性能 要求的程度。比如，网络部件失效虽然没有引起连接性 故障，但是却造成质量指标下降、平均延时增加、线路 阻塞等现象。10.2 网络总体设计 10.2.6 网络可靠性和冗余设计 构建网络系统的备份体系，设计冗余部件 。 硬件容错、软件容错和线路容错设计 运行环境备份、业务数据备份、备份策略 和恢复方案。 10.2 网络总体设计 2 冗余设计1）硬件容余 2）软件容错 3）网络结构和线路冗余 高校图书馆冗余网络拓扑结构 10.2 网络总体设计 网络采用了两台锐捷网络的RS-S6800系列（RS-S6806或RS- S6810）的10GE交换机作为网络的核心层，实现设备冗余，交换机 之间采用链路聚合技术相连，两交换机间既互为备份，又可均衡负 载，从而保证了核心层的任一台交换机出现故障都不会影响网络的 运行。电子阅览终端查询和行政办公区的汇聚层交换机（分别为STAR- S4909和STAR-S3550-12G）使用两条千兆位链路分别上连两台中 心交换机RS-S6800，建立两条逻辑链路。通过配置生成树协议指定 一条链路工作，另外一条千兆位链路将自动成为备份链路，实现链 路冗余。服务器是网络应用的核心，即使所建网络的结构达到相当高的可 靠程度，如果服务器采用一条线路接入，网络依然可能出现单点故 障，对用户来说依然没有可靠性可主。解决方法是在服务器上安装 两块千兆位服务器网卡，分别连接两台核心交换机，利用网卡容错 技术实现两块网卡间的容错。当主网卡或网卡所连的交换机发生故 障时，服务器会立刻将该网卡上的流量转移到备份网卡上。 通过以上3个方面，可以看到该方案能够做到任何一台中心交换机 的故障不会导致整个网络瘫痪，提供了最快速的故障恢复方案，增 强了网络的容错能力，提高了网络的可靠性。10.2 网络总体设计 10.2.7 网络安全性设计 物理安全 在链路层，通过“桥“这一互连设备的监视和控制作用，使我们可以 建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和 隔离，消除不同安全级别逻辑网段间的窃听可能。 在网络层，可通过对不同子网的定义和对路由器的路由表控制来限 制子网间的接点通信，通过对主机路由表的控制来控制与之直接通 信的节点。同时，利用网关的安全控制能力，可以限制节点的通信 、应用服务，并加强外部用户识别和验证能力。对网络进行级别划 分与控制，网络级别的划分大致包括Internet/企业网、骨干网/区域 网、区域网/部门网、部门网/工作组网等，其中Internet/企业网的接 口要采用专用防火墙，骨干网/区域网、区域网/部门网的接口利用路 由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全 级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大 大提高安全保密性。10.2 网络总体设计 10.2.7 网络安全性设计 安全设计主要遵循以下原则：通过身份验证实现网络安 全访问；通过网络隔离与控制实现边界安全；通过数据 的保密性和完整性实现网络传输安全；通过网络流量监 控实现安全监测；用策略管理实现网络综合管理。 网络安全设计时应该从系统（主机、服务器）安全、系 统与网络的安全检测、访问控制、人侵检测（监控）、 审计分析、反病毒、网络运行安全备份与恢复应急措施 等几方面考虑。 10.3 高校校园网解决方案 10.3.1 高校校园网建设的目标和需求 1）、安全的需求 2）、运营的需求 3）、管理的需求 4）、性能的需求 5）、高智能的考虑 6）、接入方式的考虑 10.3 高校校园网解决方案 10.3.2 校园网网络设计高校校园网采用核心层、汇聚层和接入层三级星形网 络结构，核心层采用10Gbps或1Gbps交换技术，汇聚层 采用1Gbps或100Mbps交换技术，接入层采用100Mbps或 10Mbps交换技术。校园内采用综合布线系统，楼宇间根 据距离采用单模或多模光纤，楼宇内采用多模光纤与双 绞线混合布线方式，双绞线可根据通信情况和单位的经 济实力选择5e类或6类双绞线电缆。网络设备应该选择高 技术性能和高可靠性的主流产品，适应今后不断升级和 扩展的需求。根据应用需求，建立对内对外服务的服务 器群组。根据网络管理和安全管理的需求将网络划分为 不同的VLAN，在核心层和汇聚层对网络设备和通信链路 作必要的冗余设计，选择适当的防火墙、网管平台、认 证记费平台等。10.3 高校校园网解决方案 10.3.3 锐捷网络高校校园网解决方案 1 方案特点 高安全 1)、安全认证到桌面。采用六元素的自动绑定、静 态绑定、动态绑定相结合，可以确保用户入网时 身份唯一，并且避免了IP冲突。 2)、管理分级授权。不同职能的管理者使用同一套 系统时可以得到不同的操作界面以及使用权限， 避免了管理的安全隐患。3)、控制网络病毒。统一对接入层交换机做动 态下发安全策略，轻松有效的控制网络病毒，使 网络保持畅通。4)、抵御网络攻击。结合网络攻击的检测系 统，能够抵御日益增多的内部网络攻击，并且自 动对用户做出相应的控制动作，保证网络安全。1 方案特点 可运营营 1)、贴切校园的运营模式。结合校园的实际运营， 在原有电信策略的基础上，开发出最为贴切校园 的运营模式，最大程度上解决收费和缴费的矛盾 。 2)、丰富的营帐及帐务功能。保证管理者可以随时 获得运营所需要的记录以及统计信息，从而给运 营提供足够的数据支撑。3)、完善的自助服务系统。能够让用户方便的对 自身帐号的信息以及帐务情况自助查询，并对部 分信息做操作，极大减轻了管理者的运营负担 1 方案特点 易管理 1)、全网设备统一管理。全网拓扑发现以及对 事件、性能、日志的统一管理，可以方便的对全 网设备统一管理。2)、AGTS的用户管理模式。将大量的信息转化 为少量的信息做对应，可以在设置的时候使用最 少量的对应关系，从而大大提高用户管理的效率 。3)、接入时段管理。通过对日常、周末以及节 日的一次性设置，轻松灵活管理用户能够使用网 络的时段，提高用户管理的力度。4)、自动升级客户端。通过统一的一次性配置 ，使得所有用户的客户端自动进行升级，大大简 化了管理者及使用者的负担，使得上网更为轻松 。 1 方案特点 高性能 1)、整网采用万兆核心、千兆干线、百兆到桌面的设计 理念。高吞吐量，线速转发的核心路由器和三层交换机 ，所有关键器件的冗余，包括主控板、交换网板、电源 等，支持板件的热插拔技术，保证了网络的高效运转。2)、领先的SPOH结构设计，基于硬件的