第12章网络规划与设计实例.ppt
《第12章网络规划与设计实例.ppt》由会员分享,可在线阅读,更多相关《第12章网络规划与设计实例.ppt(59页珍藏版)》请在三一文库上搜索。
1、第12章 网络规划与设计实例,规划与设计原则,每一个园区网都有自己的特殊性,包括园区网的环境和功能需求,这就要求必须针对这些特殊性进行专门的规划与设计。现在简单介绍一下进行园区网规划与设计时的基本步骤和需要考虑的主要问题。 首先,在规划和设计前必须进行详细的需求调研,搞清楚用户现有的网络状况以及建网目标。限于网络方面的专业技术水平,用户往往无法清楚地对需求进行描述,这就需要设计人员揣摩用户的意图,通过各种方式了解用户的需求。,规划与设计原则,有了需求以后,下一步就是对系统进行分析,对园区网中的主要技术进行选型,根据先进性和实用性相结合,经济性和可扩展性相结合,按可靠性、安全性、可管理性、可维护
2、性的原则进行设计。具体包括主干网技术选型、主干网拓扑结构、Internet接入方式、广域网互连方式、一些组网关键技术等。 接着是进行详细的设计。首先是设备的选型,设备选型必须在满足功能的前提下,遵循相关的设计原则;然后是VLAN的规划、IP的规划、路由的规划;接着是进行可靠性、安全性的具体规划以及网络的管理规划等。 最后,需要进行综合布线系统设计和机房设计,这是非常专业的问题,通常由专业的布线工程师协助设计和实施。,规划与设计原则,园区网在规划过程中遵循以下原则。 (1)标准化及规范化:采用开放的标准网络通信协议,选择符合工业标准的网络设备、通信介质、网络布线连接件及其相关器件器材。工程实施遵
3、照国家电信工程实施标准进行。 (2)先进性与成熟性:按照生命周期的原则,系统设计的基本思想,符合技术发展的基本潮流,使布线系统在其整个生命周期内保持一定的先进性。选择合理的网络拓扑结构,网络工程中所用的设备、器材、材料以及软件平台应选择与网络技术发展潮流相吻合的、先进的、有技术保证的、得到广大用户认可的厂家产品。 (3)安全性与可靠性:为了保证整个网络系统安全、可靠地运行,首先必须在总体设计中从整体考虑系统的安全性和可靠性。在网络设计阶段以及在工程实施各个阶段都必须考虑到所有影响系统安全、可靠性的各种因素。工程实施完成后,必须按照标准进行严格的测试。,规划与设计原则,(4)可管理性及可维护性:
4、计算机网络是一个比较复杂的系统,在设计、组建一个网络时,除了要保证联网设备便于管理与维护外,网络布线系统也必须做到走线规范、标记清楚、文件齐全,以便提高对整个系统的可管理性与可维护性。 (5)灵活性及可扩充性:为了保证用户的已有投资以及用户不断增长的业务需求,网络和布线系统必须具有灵活的结构并留有合理的扩充余地,以便用户根据需要进行适当的变动与扩充。 (6)实用性:应根据用户的应用需求,科学地、合理地、实事求是地组建一个实用的网络系统。 (7)优化性能价格比:在满足系统性能、功能以及考虑到在可预见期间内仍不失其先进性的前提下,尽量使得整个系统所需投资合理。,大学校园网设计实例,总体规划 详细设
5、计,1. 网络拓扑结构,网络拓扑结构是决定网络性能的主要技术之一,同时在很大程度是也决定了网络系统的可靠性、传输速度和通信效率。网络拓扑结构与网络布线系统也有着密切的关系,将对整个网络系统的工程投资产生重要的影响。 计算机网络拓扑结构是指网络节点与链路的几何排列。园区网一般由汇聚主干层和用户接入层两部分组成。目前,网络主干主要采用环形和星型两种拓扑结构,环形拓扑结构一般用于地理范围较大的校园网,通过多个节点进行汇聚;星型拓扑结构用于规模不大的校园网,星型拓扑由于在管理和维护上十分简单因而成为目前最常见的拓扑结构。由于每个校区规模不大,因此建议该校校园网主干采用星型拓扑结构,如图12-1所示。,
6、图12-1 大学校园网系统拓扑结构图,主干网是整个网络的信息传输主干线,如果不采取线路冗余措施,就可能由于一条线路失效而导致部分网络或整个网络瘫痪。因此,在设计上,每个二级节点至少有两条链路与中心节点相连,当一条链路发生故障时,网络信息可自动路由到另一条冗余链路上传输,提高网络可靠性。 对于接入层客户端来讲,一般采用星型拓扑结构,因为星型拓扑结构简单明了,易于管理维护,系统容易扩展,可实现带电接入与拆除,并且对整个网络运行无任何影响。 因此,整个校园网是由多个星型组成的树状拓扑,桌面计算机是叶子节点。,目前在企业或校园这样的园区网中,普遍采用无可争议的千兆以太网作为主干网技术,即所有二级节点(
7、楼宇)都采用多模或单模光纤进行千兆连接,采用channel技术最高可达到8000Mbit/s的速率,不仅保证了主干带宽,也保证了可靠性。 楼内局域网采用快速以太网(10/100Mbit/s自适应)通过超五类双绞线按照星型拓扑结构进行连接。 为了对操作平台和应用软件有大量的支持,以及为了和Internet实现连接,应选择TCP/IP协议作为整个网络的通信协议。,2. 综合布线,信息点分布到两个校区所有办公楼、实验楼、图书馆以及多媒体教室等,本部学生楼和家属楼要连入校园网。 综合布线系统是当今现代化建筑普遍应具备的基础性设施,它为计算机联网和话音通信提供必要的规范化的物质基础。结构化的综合布线为用
8、户提供了最合理的布线方式。 布线系统设计应按照“总体规划、分布实施,水平布线尽量一步到位”的原则进行。综合布线系统的主干线大多数都是设置在建筑物的弱电井中,更换和扩充比较省事,而水平布线是在建筑物的天花板内或PVC管槽内,如果要增加信息点数或更换水平布线,将重新损坏建筑结构,影响整体美观。国内多家布线公司的实际工程经验表明,重新增加信息点的造价,比设计时就已经纳入的造价要高出3倍。因此布线系统设计必须深刻了解用户现在和将来一段时间内在数量和质量上的可能要求。,园区大楼之间的光纤尽可能一次性铺设,避免沟道的重新挖填,光纤在长度和芯数上都应留有一定的余量和备份,以防大楼拆迁、线路故障和带宽扩容。同
9、时,布线系统必须满足灵活应用和模块化的要求,即任一信息点能够连接不同类型的设备,如计算机、打印机、终端或电话、传真机。布线系统中,除去敷设在建筑内的缆线外,其余所有的接插件都应是积木式的标准件,以方便管理和使用。当然,在满足应用要求的基础上,应尽可能降低造价。 对于会议室、报告厅以及布线不太方便只是临时需要信息点的地方可以搭建无线局域网。 对于教学楼、家属楼等信息点非常少的地方,配线间的选择非常重要。,3. Internet连接,所有校区都要能够访问Internet,并且保证本部Internet出口的鲁棒性,保证7*24小时不间断运行。 校本部给出两路分别到Chinanet和Cernet的出口
10、,到Chinanet的出口通过路由器采用ADSL专线实现与Internet连接,出口速率可达1Mbit/s,到Cernet的出口通过路由器的100M快速以太网口采用光纤与Cernet地区级节点连接。 分校通过当地电信部门通过10M的光纤专线连入Internet。,4. 校区互连,为便于管理,实行集中式管理,在本部建立网络中心,所有服务器放置本部。为了实现网上办公和相关的信息处理和查询,东区要能够安全访问到本部的教务、办公等所有必要信息。 校区之间的互连方式很多,如DDN、ISDN、FR等,但这些方式运行费用昂贵,考虑到两个分校区与本部之间的流量不是很大,主要是一些办公信息和教务信息等,目前采用
11、VPN不失为一种安全可靠、价格低廉的互连方式。,5. Internet服务,申请域名以及合法IP地址块,架设信息发布、邮件系统等常用服务器。 申请到合法域名及合法IP地址块206.0.68.0/22,拟购买服务器架设WWW、DNS、Mail等服务器。关于服务器选型本书不做论述。,6. 应用系统,能够在网络上运行各种应用系统,包括财务系统、教务系统、办公系统等,能够进行网上视频会议和视频点播等多媒体服务,并保证带宽。,7. 网络安全与管理,保证校园网内部系统的足够安全,以及校区间信息传输的安全,保证主要服务器的系统安全,建立全校防病毒系统。 提供完整和方便的网络管理功能,主要包括网络设备的管理以
12、及计费管理。 校园网是巨大的资源中心,存放着各方面的信息资源,涉及到学校的方方面面,同时,校园网又是一个开放的系统,有不同的人员在校内或校外访问它,因此,校园网的建立不仅是网络硬件和应用的建立,还应该特别重视校园网的安全问题。 网络安全是一个体系结构,涉及整个办公环境的各个方面,包括人员和设备,包括信息的驻留点以及沿途经过的各个中间环节,从物理层到应用层都要小心对待。Internet的普及以及今天校园教学、科研和办公等多方面的应用对Internet的依赖都促使校园网应该增强实施安全的措施。 不仅要防止来自校园网外部的黑客入侵,还要防止来自校园网内部的恶意破坏。既要保证信息的开放性,又要保证教务
13、财务等信息的完整性。不仅要保证数据的存储安全可靠。还要保证数据在传输过程中的安全保密。校园网也要保证良好的防病毒措施,防止病毒对系统以及数据的破坏。,7. 网络安全与管理,校园网是一个庞大的系统,信息点、网络设备分布在校区的各个角落,校园网用户也分很多种,有教师、学生、行政人员、普通职工,有办公楼、教学楼、宿舍楼、家属楼等,因此如何有效的管理也是园区网管理认真思考的问题。,详细设计,1. 设备选型 2. Internet接入 3. VLAN规划 4. IP地址规划 5. 路由规划 6.对外发布站点 7. 开放机房 8. 无线接入 9. 安全及管理,1. 设备选型,设备选型应该坚持两个通用的原则
14、,一是满足需求,二是经济实用。 满足需求不是指简单地满足用户现有的需求,而应该综合考虑用户在将来的一段比较长的时间内的扩展性。大多数时候,用户的投资都是分期进行的,但设计必须尽可能一步到位,不能出现一期满足要求,到了二期无法扩展的情况,重新设计更是不应该发生的,设备选型必须在最大程度上保护用户的投资。当然,设备的选型也不能超前太多,一定要经济实用。比如Cisco 2600系列路由器就能够满足用户现在以及将来的需求,如果上一个3600系列,尽管也满足了要求,但毕竟存在太大的资源浪费。 对于模块化的网络设备,要注意模块的有效利用,同时建议模块到要用的时候再购买,因为设备的价格一般是越来越便宜,同时
15、也防止厂家推出价位相同但功能更强的换代产品。,1. 设备选型,大型园区网建设中,经常会遇到用户希望在计划购买新的网络设备的同时考虑一下已有的网络设备能够得到最大程度的利用,对于设计者来说,带来两个问题,一是注意设备之间的连接模块,连接方式是否经济有效;二是在技术上,要考虑不同厂家产品的兼容性问题,也就是说,必须使用各厂商共同遵守的标准化协议与规范,而不能使用某一个厂商专有的协议和技术,如交换机之间传输多VLAN信息的Trunk协议,就必须使用IEEE 8021Q,而不能使用ISL,ISL是Cisco公司特有的,只用在Cisco 公司的网络设备之间。实际设计与实施过程中会遇到很多类似的问题,务必
16、注意。 对于园区网来讲,核心交换机必须具有3层交换功能,背板带宽和包转发速率是要考虑的两个性能特征。3om核心交换机Switch 4007,Cisco 4000系列交换机和6000交换机。 接入层交换机没有特殊要求,目前首选2950系列交换机或3550系列交换机。,2. Internet接入,作为较大的园区网,高校校园网一般采取专线接入的方式。如早期的DDN专线、微波专线,目前常用的是光纤以太网接入。 为防止单条链路出现故障,还往往申请一条ADSL线路通过Chinanet连入Internet。 这种情况下要解决两个问题,一个是多出口的问题,还有就是ADSL动态分配IP地址的问题。,3. VLA
17、N规划,通常,一个规模较大的园区网,下属很多二级单位,为保证对不同院系和处级单位进行管理的方便性、安全性以及整体网络运行的稳定性,一般采用VLAN技术,按照二级部门划分成多个相对独立的虚拟局域网。 尽管VLAN允许处于不同地理位置的网络用户加入到一个逻辑子网中,共享一个广播域,但绝大多数二级单位的用户处在同一个地理位置(如一栋大楼等),因此VLAN中与地理位置无关的逻辑概念体现得不是太明显,尽管这样,为了安全起见,仍然划分VLAN,这样可以保证网段之间在数据链路层开始真正地相对独立。,3. VLAN规划,根据该校的情况,规划4个VLAN,如表12-1所示。,表12-1 VLAN规划,4. IP
18、地址规划,IP规划是大型园区网设计中的另一项重要内容,这将给用户的日常管理带来直接影响。在有3层交换功能的大型园区网中,通常按部门分成若干个VLAN,VLAN成员不受地理位置的限制,通常根据接入层交换机的端口进行静态VLAN的划分,动态VLAN是根据网卡的MAC地址进行划分的,管理任务繁重,很少使用。为便于管理,Cisco建议,VLAN与IP子网之间采用一对一的对应关系。如果使用C类地址,除一个IP用于VLAN成员主机的缺省网关外,每个VLAN最多可以容纳253台主机。 当申请的合法IP数量较多时,首先主要以合法IP进行地址规划,不够时再考虑保留IP,当申请的合法IP数量很少时,用保留地址进行
19、规划,少量的合法IP用于DMZ区的Internet服务器。,4. IP地址规划,该校申请到了206.0.68.0/22地址块,也就是4个C类地址,根据每个单位信息点的数量情况,IP大致分配如表12-2所示。,表12-2 IP地址分配,4. IP地址规划,对于机房、家属楼、宿舍楼等主要以访问其他资源为主的主机来讲,建议采用保留IP地址,在边缘处启用NAT转换以节省合法IP的使用。也就是说,如果一个机房有50台计算机或更多,现在只需要一个合法IP就可以了,在使用上与使用合法IP几乎没有区别,但大大节省了合法IP地址的使用,保留IP是可以随便规划和使用的。 另外,对于用户比较集中,位置相对固定的信息
20、点,如办公室等,建议分配静态IP,这对于故障管理很重要。根据IP与信息点的对照表能够快速地确定主机所在地理位置。对于多功能厅、会议室、家属区等信息点个数无法确定的位置,建议IP动态获取,用户只需要将网络属性中的IP地址栏设成自动获取就可以了,所有属性均从DHCP服务器中获取,包括缺省网关、DNS等IP地址。管理员惟一需要做的就是在网络中设置DHCP服务,DHCP服务可以用一台专门的服务器,也可以利用接入网络设备中集成的DHCP服务完成。如果DHCP服务器与客户端不在一个VLAN,还需要在路由器或交换机的路由模块上启动DHCP广播数据包转发功能。动态IP获取,大大减轻了网管的工作量,但是采取动态
21、获取IP的VLAN 不宜过多,否则管理将比较烦乱。,5. 路由规划,园区网的路由规划比较简单,可以用图12-2表示。,图12-2 路由规划示意图,5. 路由规划,核心3层交换机实现VLAN之间的相互访问,对于3层交换机来讲,所有VLAN(网段)都是直连的,因此只需要启动路由,而不需要设置额外的静态或动态路由条目。而对于路由设备来讲,路由默认就是启动的,因此,不用作任何配置就可以实现VLAN之间的相互访问了。 由于所有用户还需要访问Internet,因此,在3层交换机、防火墙以及出口路由器上还要设置一条指向Internet的默认路由。 对于出口路由器来讲,所有内部网段,包括DMZ区都是非直连的,
22、因此,需要设置静态路由条目使它们指向这些网段,由于IP地址块的连续性,可以只设置一条汇总路由条目。 在设置防火墙的路由条目时,可以当作路由器按照前面所讲的非直连设置静态路由的方法逐一设置,如有可以汇总的再进行汇总。 需要注意的是,东区和本部通过Internet实现VPN互连,为节省费用,不使用专用VPN硬设备,而使用位于DMZ区的一台性能较好的RRAS作为VPN接入服务器,因此,丝毫不影响其他设备的路由配置,感觉VPN互连好象并不存在。,6. 对外发布站点,对于一些外部站点的问题,通常放置在DMZ区内,DMZ区的安全等级高于外网低于内网,防火墙的默认规则是允许安全等级高的访问安全等级低的,禁止
23、安全等级低的访问安全等级高的。因此,防火墙不需要设置规则就可以实现内网访问到DMZ区,但外网访问到DMZ区。对于学校来讲,WWW站点的主要目的就是对外发布信息,必须让外网能够访问到,为了到达这个目的,可以在防火墙上添加一些规则,开放DMZ区所在服务器的IP以及相应的端口。 DMZ区通常放置的服务器有邮件服务器、WWW服务器以及解析本校域名的两个DNS服务器等,当然也可以放置一些其他有特殊用途、需要外网访问的服务器。 对于某些信息化程度比较高的二级部门,如信息工程学院,为了教学和科研的需要,需要给全院教师一个独立的域名,该域名可用于HTTP和FTP。为了管理方便,该学院网管员向学校网络中心申请了
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 12 网络 规划 设计 实例
链接地址:https://www.31doc.com/p-3420088.html