第二章第二章 网络基本设计要点网络基本设计要点本章目标本章目标掌握网络拓扑结构设计掌握网络拓扑结构设计熟悉网络设计模型熟悉网络设计模型 分层设计模型分层设计模型 冗余设计模型冗余设计模型 安全设计模型安全设计模型 掌握掌握IPIP地址规划原则地址规划原则了解路由协议的选择了解路由协议的选择 网络基本设计要点网络基本设计要点 拓扑结构设计网络设计模型 分层设计模型：分层设计模型：逻辑设计基础，网络骨架模型。 冗余性设计：冗余性设计：增强网络设计可靠性，消除网络故障时间。 安全性设计：安全性设计：保证网络正常运转。 地址分配及聚合规划：减少网络变化所影响的区域。 路由协议的选择：为网络选择合适的路由协议。 网络性能计算：保证网络满足性能需求。 2.12.1 网络拓扑结构设计网络拓扑结构设计 星型结构 环型结构 树型结构 网状结构 全网状结构 部分网状结构 星型：简单(结构，管理)线路费用高，中心压力大适用：流量集中的行业网络树型1：较简单，线路费用低，大区节点有单点故障压力适用：大区制行业性网络树型2：可靠性高中心压力大，线路费用高，适用：大区制，可靠性高2.12.1 网络拓扑结构设计网络拓扑结构设计树(星)环型：可靠性高，线路费用较低，适用：可靠性要求高的全国大型行业骨干网网状树型：可靠性高，线路费用较高，结构复杂适用：节点多、流量大的运营商或行业网络环星型：简单可靠性差，中心压力大适用：流量集中的大型网络2.2 2.2 网络设计模型网络设计模型 2.2.12.2.1 分层设计模型分层设计模型 核心层高速交换分布层（汇聚层）基于政策的连接、路由聚合及流量收敛访问层本地和远程工作组接入及访问控制等2.2.1 2.2.1 分层设计模型分层设计模型 分层模型设计原则分层模型设计原则分层设计原则：分层设计原则：定义层的原则链和后门 分层模型设计顺序分层设计优点：分层设计优点：i每层完成特定功能i节省费用i网络易于理解及管理i容易扩展i隔离网络故障i目标：高速运送流量，主要工作是交换数据包。i高可靠性及冗余性i提供故障隔离i具有迅速升级能力i较少的时延和好的可管理性i有有限和一致的直径(diameter)2.2.1 2.2.1 分层设计模型分层设计模型 核心层设计核心层设计评估核心层性能包括：路径优化路径优化路由器依赖那些与各种网络协议相关联的路由协议来完成这种自动的路径优化。信息流的优先化信息流的优先化 保证那些运送重要数据的协议要优于那些不太重要的信息流。这包括：优先排队、自定义排队和基于权重的公平排队。负载均衡：负载均衡：多条链路负载均衡。按“信息包”；按“目的地”2.2.1 2.2.1 分层设计模型分层设计模型 核心层设计核心层设计评估核心层性能包括：备用路径备用路径 路由器是关键因素 硬件组件双备份 链路双备份交换式访问交换式访问 封装（隧道）封装（隧道） “封装”，指的是从一个网络系统获取信息包 或帧，然后把它们放到来自另一个网络系统的帧。 2.2.1 2.2.1 分层设计模型分层设计模型 核心层设计核心层设计2.2.1 分层设计模型分层设计模型 核心层设计策略核心层设计策略 路由聚合； 使核心层与汇聚层的连接最小化； 不执行网络策略；不执行网络策略；任何形式的策略必须在核心层外执行，如数据包的过滤和复杂QoS处理；禁止采用任何降低核心层设备处理能力或增加数据包交换延迟时间的方法；避免增加核心层路由器配置的复杂程度，可将网络策略执行放在访问层边界设备上； 对网络中每个目的地具备充分的可到达性；2.2.1 分层设计模型分层设计模型 核心层设计策略核心层设计策略 对网络中每个目的地具备充分的可到达性：具有足够的路由信息来交换发往网络中任意端设备的数据包；核心层的路由器不应该使用默认的路径到达内部的目的地；聚和路径能够用来减少核心层路由表大小：默认路径用来到达外部的目的地，如因特网上的主机。2.2.1 2.2.1 分层设计模型分层设计模型 核心层类型核心层类型压缩型i网络很小时，一个路由器扮演网络核心层与汇聚层上的所有其它路由器相连接。i甚至可能将汇聚层功能包含在核心层里i容易管理，但扩展性不好，存在单点故障。核心层分布层核心网型2.2.1 2.2.1 分层设计模型分层设计模型 核心层类型核心层类型i大型网络使用一组由高速局域网连接的路由器，或者一系列高速的广域网链接形成一个核心层网络。i用某个网络作为核心层，可将冗余加入到核心层规划中。2.2.1 2.2.1 分层设计模型分层设计模型 分布层设计分布层设计核心层与访问层的分界：i隔离拓扑结构的变化i控制路由表的大小i访问流量及端口的收敛主要策略：i路由聚合i使核心层与汇聚层的连接最小化。2.2.1 2.2.1 分层设计模型分层设计模型 分布层设计分布层设计分布层功能： 地址聚合或区域聚合部门访问或工作组访问广播/多点传送域的定义VLAN间路由所需的任何介质转换安全性2.2.1 分层设计模型分层设计模型 分布层设计策略分布层设计策略主干网带宽管理区域筛选和服务筛选基于政策的分布网关服务协议间路由的重新分配介质转换2.2.1 2.2.1 分层设计模型分层设计模型 访问层设计及策略访问层设计及策略i提供各种接入方式，将流量接入网络i控制访问，保证网络安全i执行其它的边缘功能（QoS等）是网络的对外可见部分，用户与网络的连接场所。接入层汇聚层核心层2.2.1 2.2.1 分层设计模型分层设计模型 设备的选择设备的选择接口类型各层设备性能设备选择特殊应用要求带宽数据2.2.1 2.2.1 分层设计模型分层设计模型 设备的选择设备的选择设备档次主要由设备的网络位置来决定，还包括：i可靠性要求可靠性要求不同的网络位置，可靠性要求不同。中心一般有主控冗余、电源冗余的要求i性能要求性能要求不同的网络位置，流量不同，性能要求也必然不同。性能是决定不同设备档次的主要环节i接口数要求接口数要求拓扑结构将影响接口密度；接口密度越高，设备档次要求越高i接口类型接口类型当有高速接口要求时，一般需要选择高档的设备2.2.2 冗余设计模型冗余设计模型 冗余网络设计应当包括：冗余链路与网状拓扑结构的选择冗余链路与网状拓扑结构的选择冗余电源系统冗余电源系统工作站到路由器的冗余服务器的冗余路由的冗余备份硬件备份硬件 容错介质容错介质冗余链路与网状拓扑结构的比较冗余链路与网状拓扑结构的比较 路由器路由器路由器远程办公室1公司办公室远程办公室2路由器路由器路由器远程办公室1公司办公室远程办公室2冗余链路与网状拓扑结构的比较冗余链路与网状拓扑结构的比较 路由器路由器远程办公室1公司办公室远程办公室2路由器路由器远程办公室1公司办公室远程办公室2ABABC路由器路由器冗余链路设计原则和目的冗余链路设计原则和目的 设计原则：设计原则：备用路径支持多大的容量网络建模工具预测网络性能网络启用备用路径需要多长时间减少自动恢复时间设计目的：设计目的：满足可用性需求并行链路支持负载均衡来提高性能冗余电源系统冗余电源系统路由器路由器路由器路由器到其它路由器到其它路由器到X+2层工作站X-1层路由器共享媒体局域网共享媒体局域网X+1层工作站工作站X层备份硬件备份硬件路由器路由器路由器路由器路由器路由器路由器路由器路由器路由器FDDI1FDDI2本地远端ABCR1R3R2R4XZY采用容错介质实现方案采用容错介质实现方案i针对介质失灵故障介质与介质到各个端点工作站的链路有关i降低介质失灵损害的方法将现有介质划分为较小的网段，使用不同的硬件某些介质访问协议具有容错功能2.2.3 安全设计模型安全设计模型 Internet内部内部LAN堡垒主机隔离局域网内部过滤路由器外部过滤路由器传统的防火墙系统成为三部分结构防火墙系统：1.一个隔离的局域网(也可称为非军事区DMZ)2.外部过滤路由器3.内部过滤路由器 管理便捷原则 地域原则 业务原则 地址节省原则2.3 IP地址规划地址规划 2.3.1 IP地址规划原则地址规划原则 错综复杂错综复杂的网络的网络2.3.1 IP地址规划原则地址规划原则管理便捷原则管理便捷原则i对私有网络尽量采用NAT规定的私有地址：10.X.X.X,176.16.0.0176.31.255.255,192.168.X.Xi而对上面地址进行选择时，考虑网络的扩展性i整网原则尽量一致i便于各种安全策略、路由策略的选择和设置i采用与电话区号等特殊号码一致的策略2.3.1 IP地址规划原则地址规划原则地域原则i以地域的方式进行地址规划是最为常用的一种地址划分方式。以地域的方式进行地址规划是最为常用的一种地址划分方式。i一般高位用来表示级别高的地域，低位用来标识级别低的地域一般高位用来表示级别高的地域，低位用来标识级别低的地域不同层低位不同不同层低位不同同层以同一位的不同来区别同层以同一位的不同来区别2.3.1 IP地址规划原则地址规划原则多种业务在同一网络中传输，用地址中的某位来识别业务业务原则业务原则CRM/PRM/SRMERPEnterprise BusinessPartenersShippingServiceProvidersPersonalizedPortalsCustomersSuppliersMAIN infrastructure Employee2.3.1 IP地址规划原则地址规划原则地址节省原则地址节省原则地址节省的方式：地址转换、地址委托、子网掩码目前的方式一般同时采用地址转换、子网掩码两种方式。对选定的地址也需要进行节省。地址的节省也是网络扩展性的需要。 简单性 连续性 可扩充性 灵活性 可管理性安全性IP地址规划准则地址规划准则 私有地址10.0.0.010.255.255.255172.16.0.0172.31.255.255192.168.0.0192.168.255.255 使用公有地址的设备包括: Internet上的主机; 综合接入网的关口设备;需 要对外广播的路径上的设备;企业用户;特殊需要。 IP地址规划要点地址规划要点 保留地址的特点 在技术方面 在IP地址资源占用方面 在安全方面IP子网与VLAN的划分IP地址规划要点地址规划要点 2.3.3 2.3.3 IPIP地址规划举例地址规划举例 原则：以业务为基础，结合区域规划，统一划分原则：以业务为基础，结合区域规划，统一划分A A、网络业务规划网络业务规划各业务网络划分到三类网中：营业网：电子汇兑、会计、储蓄、信用卡、ATM、POS、网银企业网：Notes、OA、Internet，把多媒体业务纳入B B、IPIP地址规划地址规划实施实施每个一级分行1个A类地址；07位：区分一级分行，如10/20.X.X.X810位：3位用于区分业务子网，可支持8大类业务1115位：5位用于区分各二级分行，可有31个1620位：5位给用于区分县支行，可有31个；21位以后：主机地址，也用于对营业网点的区分接入。3232位位IPIP地址划分示意图地址划分示意图X X XXX X XXX X XXX X XXX X XXX X XXX.网点、主机/11业务/3优点：可以以集中优点：可以以集中ACL区分业务种类，确保区分业务种类，确保Qos每类业务主机每类业务主机IP地址连续，直观，方便管理地址连续，直观，方便管理过渡到大区节点制不用重新配置，路由重新计算过渡到大区节点制不用重新配置，路由重新计算缺点：域内路由不能聚合缺点：域内路由不能聚合 在某种业务发生故障时，其影响要扩大到全省在某种业务发生故障时，其影响要扩大到全省Notes营业多媒体可8种ACL细分业务、细分业务、访问控制及保证访问控制及保证QOS；分布式处分布式处理局域网口每业理局域网口每业务端口设置出入务端口设置出入两条两条ACL区分一区分一级分行级分行二级行/5县/5二级行掩码二级行掩码/16县支行掩码县支行掩码/21静态路由 动态路由距离向量路由协议：RIP、IGRP链路状态路由协议：OSPF、IS-IS 混合型路由协议：EIGRP2.4 路由协议的选择路由协议的选择 路由协议选择一路由协议选择一静态路由i对mini小网络和网络边缘一般采用静态路由的方式来进行路由获取imini小网络采用静态路由的方式主要是减少网络的错误点、节省线路带宽和设备开销i网络边缘设备采用静态路由主要是避免边缘设备将整个网络路由表吸收过来。i节省网络开销路由协议选择一路由协议选择一静态路由缺省路由静态路由动态路由静态路由引入动态路由协议Iproute0.0.0.00.0.0.0serial0Iproutex.x.x.xx.x.x.xserial1ospfredistributestatic路由协议选择二路由协议选择二RIP、IGRP距离向量路由协议，定期广播路由信息时，网络小时发布信息距离向量路由协议，定期广播路由信息时，网络小时发布信息量小；网络大时，信息量迅速增长。量小；网络大时，信息量迅速增长。特征：配置简单协议简单设备少时，报文信息量小主要用于50台路由器以下的网络路由协议选择三路由协议选择三OSPF、EIGRPOSPF为链路状态协议为链路状态协议(L-S)，EIGRP采用散播更新算法采用散播更新算法(DUAL)。发布的信息量对网络大小的变化不敏感。发布的信息量对网络大小的变化不敏感。特征：适应更为复杂的网络协议相对复杂设备多时，报文信息量相对小路由协议选择四路由协议选择四BGP一般不单独使用一般不单独使用BGPOSPF BGPEIGRPBGPOSPF静态路由静态路由BGPEIGRP静态路由静态路由特征：适应大型网络协议相对复杂设备多时，报文信息量相对小大型网络动态路由协议设计大型网络动态路由协议设计AS n总行城域网总行城域网ASIBGP一级分行一级分行area0一级分行一级分行area0二级分行二级分行二级分行二级分行县支行县支行县支行县支行EBGParea1area2网点网点网点网点静态路由静态路由AS1EBGPEBGPOSPFOSPFIBGPIBGPPVCPVCxx学校要求建设成一个技术较先进、扩展性强、能覆盖全校主要楼宇的校园网主干网络，将学校的各种PC机、工作站等终端设备及局域网连接起来，并与中国教育科研网（CERNET）相连，形成结构合理、内外沟通的校园计算机网络系统。在此基础上实现教学管理、行政管理、图书资料检索、多媒体教学等业务的网络化和信息化。设计个校园网看看设计个校园网看看ixx学校拟分二至三期工程进行，第一期工程主要完成网络中心建设和校园网主干网络建设，重点建立学校信息管理网络、办公自动化系统及图书情报管理系统，进行校内所有办公地点的网线布线及主要教学楼宇和图书馆的结构化综合布线。i主教学楼（网管中心），图书馆，成教理化实验室，3号教工住宅，1号学生宿舍共4处建筑。i总点数需求约：300点需求分析做些什么需求分析做些什么需求分析做些什么需求分析做些什么 ？ 设计个校园网看看设计个校园网看看i设计目标设计目标i设计原则设计原则设计个校园网看看设计个校园网看看可靠性实用性先进性扩展性安全性主教学楼与图书馆，成教理化实验室，3号教工住宅，1号学生宿舍分别相距约500米。详细终端点数需求：i主教学楼：共三层，每层20个点i3号教工住宅：5层，共二个单元，每单元20个点i总点数约：300点i服务器 总体设计、详细设计总体设计、详细设计总体设计、详细设计总体设计、详细设计 设计个校园网看看设计个校园网看看“ “没有文档的工作是无效的工作没有文档的工作是无效的工作没有文档的工作是无效的工作没有文档的工作是无效的工作” ” 设计个校园网看看设计个校园网看看i全面的设计，还应包括：安全性设计思路、QOS的设计思路、可靠性方面的考虑、扩展性方面的考虑、设备的介绍。i设计文档 本章总结本章总结网络拓扑结构网络设计模型 分层设计模型冗余设计模型 安全设计模型 IP地址规划原则路由协议的选择