您好,欢迎访问三七文档
当前位置:首页 > 建筑/环境 > 设计及方案 > 网络工程设计CH7-2
第7章企业网设计网络设计生命周期PDIOOP计划:输出需求报告D设计:输出设计规范书I实现:输出验收测试报告O运营:输出运营测试报告O优化:输出优化方案R退役:输出退役原因报告网络系统设计1网络系统设计模型2结构化网络系统设计3网络拓扑和IP编址方案设计4网络物理设计5进一步部完善设计文档自上而下的网络设计模型自上而下的网络设计模型的要点1.确定应用的逻辑(不注重实现细节,只注重要求/目标)连接性要求。2.确定满足逻辑连接性要求所需网络的功能元素(连接范围、带宽/吞吐量、路由方式、冗余保障及安全策略等对逻辑连接要求的支撑)。3.分别设计各个功能元素,同时保证与其他功能元素的整体关联性。4.按模块化和层次化结构方法设计各功能元素。将这些功能在网络的不同模块/层次设备中部署。语音网关语音网关VPN网关交换机中继网关管委机关PBX移动语音终端软交换控制设备紧急呼叫点Internet异地中继网关本地PSTN异地PSTNInternet2结构化网络系统设计定义:将网络应用或服务需求融合到层次化、模块化的网络体系结构中,完成包括网络拓扑、带宽/吞吐量、编址、路由、安全、QoS、冗余等功能的设计和部署。包括:1.层次化设计2.模块化设计因为是对这些网络性能和功能的设计和部署所以也称网络系统的逻辑(结构)设计。1.层次化设计层次化网络设计模型:核心层:数据包的高速交换;汇聚层:提供基于策略(聚合、过滤等)的连接和交换。接入层:提供用户本地或远程网络接入,执行网络访问控制等。可作为园区网,本地网,各级地区网等网络层次化设计的模型。优点:网络伸缩性强容易故障隔离易于理解和优化节约成本核心层汇聚层接入层交换交换交换1Gbps1000Mbps1000Mbps100Mbps100Mbps基于交换的层次结构示例注意:无须将层次结构的各层作为实体实现,只是为了合理的基于功能设计。基于路由的层次结构示例核心层汇聚层接入层分布式主干设计单路由器设计核心层设计在纯粹的分层设计中,核心层只完成数据交换的特殊任务。关注于性能(吞吐量、时延)设计的需求。主要目标:(1)高效性;(2)可靠性;(3)可扩展性;(4)适当成本。核心层汇聚层设计要点1)可达性足够的交换能力具有足够的路由信息来交换发往网络中任意端设备的数据包;核心层具有备份路径到达目的地:聚合路径能够用来减少核心层路由表;能在多路经上提供负载平衡。2)冗余性(1)设备冗余;(2)模块冗余;(3)链路冗余,建议完全互联。3)尽量不执行网络流量控制策略如:过滤、复杂QoS处理、加密、NAT等;核心层设备的选型考虑的指标:背板带宽;(时延)包转发速率;(吞吐量)可冗余度(可靠性);热插拔(可靠性);多余插槽(可扩展性);支持较新的网络协议(可扩展性);网络管理的简单性和透明性(可管理性)。核心层设备举例:RG-S6506万兆骨干路由交换机RG-S6506万兆骨干路由交换机主要指标固定端口全模块化模块插槽6个背板768G(V3.x)交换容量576G(V3.x引擎)包转发速率L2/L3:286Mpps(V3.x引擎)L3协议OSPF、RIPV1、RIPV2、IGMPv1/v2/v3防病毒攻击全面的ACL、防源IP地址欺骗、防DOS攻击,防扫描管理方式SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSH其它协议SNTP、DHCPClient、DHCPRelay、DNSClient、ARPProxy、Radius、Syslog汇聚层设计核心与接入层的交汇点,关注网络功能和性能的需求。主要目标:(1)流量可控能力强;(2)网络可扩展性好;(3)网络安全能控制;(4)适当成本汇聚层接入层设计要点1)制定流量控制策略:基于业务或用户制定分离与过滤本地业务流量、广播和组播流量的方案,以减少对核心层的交换容量消耗。2)制定路由控制策略:静态和动态路由选择协议之间,路由过滤、路由冗余、路由汇聚,路由域之间重分布,负载均衡等功能制定路由策略方案,降低核心层的路由处理负载。3)制定安全控制策略:定义恶意流量,制定限制不安全区域扩散的方案。提高故障隔离能力。4)制定扩展能力目标:设计部门或工作组的可伸缩性(带宽、接口数量、接口类型等方面)接入容量,将网络扩展区域压缩在较小的范围。以降低扩展成本并提高扩展适应性。考虑的指标:功能的支持性包转发速率插槽数量端口密度支持较新的网络协议和流媒体处理能力;网络管理的简单性和透明性汇聚层设备的选型汇聚层设备举例:RG-S3760千兆多层交换机RG-S3760千兆多层交换机主要性能固定端口24端口10/100M自适应端口,4个SFP接口、10/100/1000M复用口背板37.6Gbps转发速率L2:线速(9.6Mpps)L3:线速(9.6Mpps)IPv4&IPv6ACL标准IPACL,扩展IPACL,MAC扩展ACL,时间ACL等,QoSL2协议IEEE802.3、IEEE802.3u、IEEE802.3z等L3协议IPv6、OSPFv1/v2、OSPFv3、RIPv1/v2、DVMRP、VRRP、IGMPv1/v2/v3等防攻击支持防IP扫描、DoS,控制病毒传播管理协议SNMPv1-v3、Web(JAVA)、CLI、RMON(1,2,3,9)、集群网络介质和最大传输距离1000BASE-SX:波长850nm,50/125um-500m1000BASE-LX:波长1310nm,50/125um-550m;9/125um-10Km1000BASE-LH:波长1310nm,9/125um-40Km1000BASE-ZX:波长1550nm,9/125um-50Km和80Km两种接入层设计用户接入网络的集中点。主要目标:(1)物理接入的方便、灵活性(2)接入的扩展能力(3)接入的可管理、控制性(4)接入的低成本接入层设计要点1.关注与汇聚层功能可衔接性,对汇聚层的访问控制和策略进行支持。2.关注接入容量与成本的比重权衡3.关注访问控制的能力和可管理性4.关注接入方式的多样性5.提供广播抑制、协议过滤、QoS标记等服务接入层设备选型考虑的指标:端口密度与类型网络管理的简单性和透明性接入访问控制技术安全技术接入层设备举例:S2126G/S2150G安全智能交换机S2126G/S2150G安全智能交换机主要指标固定端口24端口10/100自适应模块插槽2个扩展插槽背板12.8Gbps包转发速率线速(6.6Mpps)端口安全、端口隔离、访问控制硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口用户接入基于SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;L2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x等管理协议SNMPv1/v2/v3、Web(JAVA)、CLI、RMON(1,2,3,9)、集群其它协议BOOTP/DHCPRelay、DNSClient汇聚层RG-S35XXRG-S37XXRG-S49XX核心层RG-S35XXRG-S37XXRG-S49XXRG-S68XX访问层RG-S19XXRG-S21XX锐捷产品锐捷交换产品线核心层骨干层汇聚层接入层骨干路由交换机S4909智能交换机S2100系列增强网管型交换机S1926G+/F+核心万兆路由交换机S6810E全千兆智能多层交换机S3550系列智能多层交换机S3550-24/48智能网管交换机S1900系列核心万兆路由交换机S6810快速以太网交换机S1800系列全模块化三层交换机S2800-L3万兆路由交换机S6806万兆路由交换机S6806E万兆路由交换机S6506增强智能安全多层交换机S3750系列锐捷路由器STAR-R2501+STAR-R621RG-NBR1000ERG-NBR200RG-RSR-08/08ERG-RSR-04RG-RSR-16RG-RSR-02/02ERG-R1762RG-R2692RG-R2632RG-R2690STAR-R2620STAR-R2624/R2614RG-R3642RG-R3662接入路由器多业务模块化路由器高端骨干路由器2.模块化设计设计要点系统划分为相对独立的功能区域或模块将总的设计任务分化为模块内和模块边缘的设计每个模块分别开展自上而下的层次化/模块化设计基本模型:区域或模块内部设计区域边缘设计外联边缘设计企业综合网络模型包括:园区基础设施模块,网络管理模块,服务站模块,边缘分布模块。服务区组园区骨干建筑分布建筑接入边缘分布网络管理WANVPN/远程接入因特网连接电子商务FR/ATMPSTNISPAISPB管理区园区网园区边缘服务提供商边缘网络管理域OTP网络管理服务器终端服务器接入控制服务器网络监控IDS控制器系统日志系统带外管理管理接入控制:OTP:一次性口令认证控制.TACACA+:终接入控制器接入控制系统。RADIUS:远程认证拨号接入用户服务园区网分层功能域和边缘分布域服务器组园区骨干建筑分布建筑接入边缘分布到电子商务模块到电子接入模块到WAN模块到因特网连接模块ISPA模块边缘模块----电子商务模块边缘分布电子商务模块数据库服务器应用服务器Web服务器边缘模块----因特网连接ISPB模块边缘分布因特网连接模块公共服务器(SMTP,HPPT,DNS,FTP)模块化园区网举例边缘分布模块园区骨干帧中继PSTN网络建筑接入和分布子模块建筑接入和分布子模块服务器站子模块边缘模块中国矿业大学核心层汇聚层Cernet电信1电信2RG-SAM认证计费平台STAR-S2150G/S2126G综合网络管理平台服务器群STAR-S2150G/S2126G接入层2台(RG-S6810)一卡通核心学院中心行政楼中心图书馆中心实验室一卡通核心双核心实验室网络结构图实际校园网拓扑示例大连海事大学RG-S6806ERG-S6806E万兆核心层STAR-S2126GSTAR-S2126GSTAR-S3550-241000MRG-S6806E10GSTAR-S2126GRG-S6806ERG-S6806ERG-S6810ERG-S6810ERG-SAM安全计费管理平台服务器群服务器群100MSTAR-S3550-24STAR-S3550-24InternetCernetRG-S6806E广东人寿全省网络采用S6806做核心地市R3640STAR-S6808×2STAR-S3550STAR-S4909STAR-S3550RG-R6806ESTAR-S3550STAR-S2126SSTAR-S2126SSTAR-S3550RG-R6806ESTAR-S2126SSTAR-S2126SSDHFR采用S6806做核心地市共8台RG-S6806分别使用在8个核心地市实验室网络拓扑图二.网络IP编址方案设计1.设计目标:易维护性:按设备、设备互连、应用地址分类划分,易于分别。易扩容性:具有适应网络增长的弹性,避免重新设计。易汇聚性:易于子网边界汇聚路由,减少路由表条目。易控制性:易于制定ACL策略,减少ACL数量,提高设备效能。2.设计要点基于网络拓扑结构、组织结构、应用结构设计确定一级网络地址范围;按应用或地理特征划一级网络为多个二级子网将二级子网按照用户、服务器、设备互联、网管划分成多个更小的子网注意预留地址空间,便于后期扩展。3.设计举例:第一步规划地址总表用处地址范围汇总路由应用类宿舍楼172.16.0.0/24~172.23.0.0/24172.16.0.0/17教学楼192.168.64.0/24~192.168.191.0/24192.168.0.0/24~实验楼图书馆宿舍楼预留172.24.0.0/24~172.31.0.0/24172.16.0.0/17教学楼预留实验楼预留图书馆预留互联地址192.168.1.0/24~192.168.63.0/24设备互联可网管设备
本文标题:网络工程设计CH7-2
链接地址:https://www.777doc.com/doc-152733 .html