第2章 网络总体规划与设计.doc

31第2章 网络总体规划与设计第2章 网络总体规划与设计任务目标在明确设计依据和规范的基础上，根据地理分布进行校园网的拓扑结构设计、IP地址及子网地址规划以及确定应用中应使用的相关技术。任务要求任务要点知识能力要求设计依据和规范明确网络系统设计依据和国家的相关规范标准综合布线技术了解网络综合布线的基本要求和方法网络结构层次设计方法掌握网络分层结构设计方法，理解核心层、汇聚层和接入层的功能IP地址与子网规划根据拓扑结构确定子网分布，并合理地分配IP地址局域网络可靠性设计理解生成树技术、端口聚合、VLAN技术2.1 任务描述在了解了用户对网络系统的要求后，应对网络工程进行分析和设计，即根据网络需求和组网策略来进行网络规划，包括确定网络体系结构、网络拓扑结构、网络操作系统、网络硬件以及使用的网络技术等。通过对这些内容的描述，要求读者理解和掌握网络总体规划与设计的各个步骤和功能。2.2设计规范和标准网络工程与同其他的系统一样，在规划、设计以及施工中要遵循相应的标准。国家的网络相关设计标准与规范有许多，本文中列举出了一些，具体内容可查看相关的标准。1. 信息及网络系统设计标准 信息技术通用多八位编码字符集（UCS）(GB 13000.1) 信息技术系统间远程通信和信息交换 局域网和城域网 (GB 15629.11-2003) 信息处理系统光纤分布式数据接口 (ISO 9314-1: 1989) 光纤分布式数据接口（FDDI）高速局域网标准（ANSIX3T9.5） 2. 结构化布线系统设计标准 建筑和建筑群综合布线系统工程设计规范 (GB/T 50311-2006) 建筑和建筑群综合布线系统工程验收规范 (GB/T 50312-2006) 信息技术 用户建筑群通用布缆 (ISO/IEC 11801: 2002) 信息技术 用户建筑群布缆的实施和运行 (ISO/IEC 14763-1: 1999) 信息技术 用户建筑群布缆配置 (ISO/IEC 14709-1: 1997) 信息技术 用户建筑群布缆的通路和空间 (ISO/IEC 18010: 2002) 光纤总规范 (GB/T 15972.2-1998) 商务楼通用信息建筑布线标准（EIA TIA568A） 民用建筑通讯通道和空间标准（EIA TIA569） 3. 机房工程系统设计标准 电子计算机场地规通用规则（GB/T2887-2000） 计算机场地安全要求（GB9361 -1988） 电子计算机机房设计规范（GB50174-1993） 防静电活动地板通用规范（SJ/T10796-2001） 电信专业房屋设计规范（YD5003-1994） 通信机房静电防护通则（YD/T754-1995）4. 通信系统设计标准 通信管道与管道工程设计规范（GB50373-2006） 视听电信业务中641 920 Kb/s 信道的帧结构 (YD/T 847-1996) 邮电部电话交换设备总技术规范书 (YDN 065-1997) 城市住宅区和办公楼电话通信设施验收规范 (YD 5048-1997) 室内电信网光纤数据传输系统工程设计暂行技术规范 (YDJ 13-1988) 综合交换机技术规范 (YD/T 1123-2001) 数字程控自动电话交换机技术要求 ( GB/T 15542-1995) 5. 信息安全设计标准 计算机软件配置管理计划规范（GB/T12505-1990） 计算机信息系统安全保护等级划分规范 （GB 17859-1999） 计算机信息系统安全专用产品分类原则 (GB 163-1997) 信息技术设备的安全 (ide IEC 60950:1999) （GB4943-2001） 信息技术 安全技术 信息技术安全性评估准则（GB/T18336.12001） 信息技术 信息安全管理实施规则 （ISO177992000） 涉及国家秘密的计算机信息系统保密技术要求 (BMZ 1-2000) 涉密信息设备使用现场的电磁泄漏发射防护要求 (BMB 5-2000) 涉及国家秘密的计算机信息系统安全保密测评指南 (BMZ 3-2001) 6. 智能化系统设计规范 智能建筑设计标准（GB/T50314-2006） 建筑及居住区数字化技术应用系列标准（GB/T20299-2006） 建筑智能化系统设计技术规程（DB/J01-615-2003）公共建筑节能标准（GB50189-2005民用建筑电气设计规范（JGJ/T）2.3 网络结构层次设计在绘制网络拓扑结构或者实际构建网络时，面对各种各样的地址分布以及众多的交换机、路由器等各种网络设备、复杂的通信协议，如果我们陷入到纷杂的细节中去的话，则会把人搞的精疲力竭，可能不会很好地完成任务。如何解决这个问题？作为业界的领袖，Cisco给我们提出了一个解决方案。在网络通信中，我们是通过分层的方法来完成数据在网络中进行传输的。通过分层的方法后，可以降低解决问题的复杂程度。现在的互联网是一个结构比较复杂的大的网络，它包含了许许多多小的网络，要理解或分析这样一个大的网络当然是不容易的。互联网络的结构是相当复杂的，在这个网络中集合了大量的主机、路由器、交换机及其他各种各样的网络设备。如何从全局的角度来看待和理解网络而不用过分追求网络的细节问题，如果能找出一个比较好的办法将使得对网络的理解变得容易起来，毕竟大量的协议与7层的OSI/RM模型一会就可能把大家搞得头大。针对这种情况，Cisco提出了一个从逻辑高度来看待、理解网络结构的方法或者说是理论，它把整个网络分成了3个层次的结构：核心层、汇聚层、接入层。这一思想，已被其他厂商广泛采用。1. 三层模型概述采用三层结构的这种分类方法并不与OSI/RM分层结构相矛盾，只是它们看待问题的角度不同而已。OSI/RM分层结构重点关注的是一个数据段是如何进行处理并且在网络上进行传输的，而三层结构关注的是如何看待整个网络是如何工作的，从实际的网络应用角度来看网络。这对于我们拓扑结构绘制以及构建实施网络、进行不同层次的设备选型具有指导意义。图2.1、图2.2是一个三层结构的划分示意图和设备使用的示意图。图2.1 三层结构模型图2.2 三层结构的设备模型2. 接入层接入层的英文全称是Access Layer，它主要控制用户和工作组对互联网络资源的访问，有时也被称为桌面层。接入层提供了用户从桌面连接到网络的各种方案及相应的技术规范。对于直接接入到互联网的个人用户来说，目前常用的接入层技术主要有：xSDL、ISDN等；而对于企业网来说，大多采用的是局域网接入，即将个人的计算机接入到交换设备（交换机）中，通过这种接入访问互联网，这种交换设备就称为接入层。如图2.3所示。图2.3 接入层同其他厂商一样，华为也提供了该层次的交换机。如SMB交换机（如：H3C S1000/1200、H3C S1500L/E等）、智能二层/三层交换机（如：H3C S3100、H3C3600、H3C E系列等）。例如，在企业网络和园区网中，接入层S3100交换机通过千兆上行到汇聚层交换机，进而通过千兆捆绑或万兆上联到园区骨干网络，构成万兆骨干、千兆汇聚、百兆到桌面的企业网全网解决方案，从而满足用户高带宽、多业务的需求。图2.3是华为3100系列产品。图2.3 华为3100系列交换机本层次的交换机产品主要是提供较多的端口、具有快速或千兆上行、可堆叠等功能，部分交换机还增加了其他特性：如智能型可网管、完备的安全和QoS控制策略等特点。此类产品不仅可以满足企业用户多业务融合、高安全、可扩展、易管理的建网需求，可以作为行业、企业网、宽带小区的接入以及中小企业、分支机构汇聚交换机。3. 汇聚层汇聚层的英文全称是Distribution Layer，汇聚层有时又被称为分布层、工作组层，它处在接入层与核心层之间，起到承上启下的作用，如图2.4所示。图2.4 汇聚层汇聚层主要完成下面的几个功能。(1) 为来自接入层的数据提供路由功能，通过一定的路由算法选择一个比较好的通信链路将数据传送出去。在网络的实际运行过程中，在两个通信对象之间可能同时存在多条通信链路，并且这些通信链路的状态是变化的。汇聚层必须根据实际情况来决定在某一个时刻，发往某个主机的数据分组将被路由到哪条通信链路上去。(2) 汇聚层还必须能够处理一些非正常的数据分组，对于一些数据分组根据规则不应该继续转发下去，那么汇聚层将会丢弃这些分组。这就是说汇聚层具有一定的过滤功能，该转发的数据分组按正常步骤进行转发。应该丢弃的分组就直接丢弃，不再继续转发，从而保证网络的带宽不被浪费。(3) 汇聚层还应该提供WAN接入功能。由于汇聚层会将处理的数据分组交给核心层进行传输，如果汇聚层的处理速度太慢，那么整个网络的工作速度也会大受影响，所以要求分配必须能以最快的速度来进行处理，对各种网络请求能够快速响应，从而最大程度地利用好网络带宽资源。华为的H3C5120、H3C5500、H3C5510、H3C5600等系统的全千兆智能交换机、H3C SR6600系列开放多核路由器等产品完全可充当大型企业网络和园区网的汇聚层设备。图2.5是华为的汇聚层设备。 图2.5 华为SR6604路由器与S5600交换机此类设备以高带宽、高密度、多业务为基础。如 S5600系列全千兆智能弹性交换机采用H3C公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。4核心层核心层的英文全称是Core Layer，仅仅从字面上来理解可以知道它是一个网络的核心部分。一个网络的中心工作就是能够进行数据的传送操作，因此核心层的主要任务就是要确保网络可以高速、可靠地进行数据传输。它位于三层结构的最高层，其下面的汇聚层要为它完成这个功能提供服务。这一点与OSI/RM七层结构相同，下层结构要为上层结构提供服务，如图2.6所示。图2.6 核心层核心层在设计上要尽可能保证提供高效、高速的数据传输就可以了，它可以不必关心所传送的数据的类型、内容等其他相关内容。由于核心层要对许多的用户提供服务，要尽可能保证核心层能够稳定、高效地进行工作，认真应对可能发生的各种问题，做到高效、稳定、可靠。核心层在现实的互联网络中就是常说的骨干网，它只负责数据的传输，很少处理其他问题，它能够提供高速的数据传输服务。因此，在此层不要做任何影响通信流量的事，其中包括使用访问列表，在VLAN之间进行路由选择，以及进行包过滤。此层次的设备，华为公司的有核心路由交换机S7500、S9500以及SR8800系列路由器等。H3C S7500系列交换机是H3C公司面向以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。该产品基于H3C公司自适应安全网络的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段，从而为企业IT系统构建面向业务的网络平台，实现通信整合，数据整合奠定了基础。可广泛的适用于IP城域网、大型企业园区网、中小型企业办公网络的核心层和汇聚层，为用户提供多种业务接入、交换、路由一体化的安全融合网络解决方案。图2.7是华为的核心层交换机。 图2.7 华为SR8805路由器与S7506交换机2.4 网络拓扑结构设计在明确了用户需求以及网络结构层次设计的思想后，接下来的工作就是要根据用户建筑布局进行网络拓扑结构的设计了，这是整个网络系统设计的真正开始，是后继网络系统设计和网络组建工作的依据。在确定了网络拓扑结构的基础上，才可能进行综合布线系统设计、应用系统的部署等工作。1校园布局本大学由信息技术学院、机械工程学院、城市建设学院、经济管理学院、生物工程学院以及国际文化交流学院等6个学院以及图书馆、信息中心组成，各自分布在独立的教学楼，除此之外还有1栋办公楼、2栋实验楼和4栋宿舍楼，最大楼距在1公里以内。用户要求这些楼宇要全部接入校园网。2网络拓扑结构根据网络结构层次设计的思想，结合校园建筑分布情况，设计出如图2.8所示的网络拓扑结构。图2.8 三层结构模型1）核心层以信息中心楼为核心，主要放置核心级交换机、防火墙、接入路由器、对内对外的服务器组以及网络管理平台等设备。考虑到网络的可靠性，核心交换设备采用了双机互备份的方式。同时，接入到Internet也分别经由两个不同的ISP（Internet服务提供商）接入。2）汇聚层分布在各个学院以及宿舍楼、实验楼等。根据用户多少，每栋楼配备一台或二台汇聚级级交换机，单模千兆光纤分别互联到两台核心交换机。3）接入层将用户计算机接入到网络中。以每楼层或每实验室为单位确定接入级交换机的数量。采用百兆双绞线连接到汇聚级交换机。2.5 资源子网设计资源子网主要负责全网的数据处理业务，向网络用户提供各种网络资源和网络服务。本例中提供信息资源访问的主要有三处：1）校园网WEB服务校园网WEB服务器，位于信息中心楼。主要提供对内、对外的网站访问。为保证安全，该服务器被接入到防火墙的DMZ（隔离区）区内。2）校内网服务校内网服务器群，位于核心层区域。提供校园网办公系统、教务管理系统以及课程中心服务等，需要高性能服务器组并提供备份冗余功能。3）图书馆信息服务满足电子期刊、信息情报交流的需要，方便学校各级领导和教学科研人员对各种电子期刊、信息资料、科技情报的检索和查阅，包括Web查询、电子公告、电子新闻等。为方便管理和提供高速校内用户访问，该服务器群部署在图书馆楼。2.5.1 服务器分类服务器(SERVER)发展到今天，适应各种不同功能、不同环境的服务器不断地出现，分类标准也多种多样。1. 按应用层次分分为入门级服务器、工作组级服务器、部门级服务器和企业级服务器四类。1）入门级服务器入门级服务器主要是针对基于Windows NT，NetWare等网络操作系统的用户，可以满足办公室型的中小型网络用户的文件共享、打印服务、数据处理、Internet接入及简单数据库应用的需求，也可以在小范围内完成诸如E-mail、 Proxy 、DNS等服务。入门级服务器通常只使用一块CPU，并根据需要配置相应的内存和大容量IDE硬盘，必要时也会采用IDE RAID进行数据保护。对于一个小部门的办公需要而言，服务器的主要作用是完成文件和打印服务，文件和打印服务是服务器的最基本应用之一，对硬件的要求较低，一般采用单颗或双颗CPU的入门级服务器即可。为了给打印机提供足够的打印缓冲区需要较大的内存，为了应付频繁和大量的文件存取要求有快速的硬盘子系统，而好的管理性能则可以提高服务器的使用效率。典型的有：IBM X3100 M3服务器，联想万全T100服务器，惠普ML110 G6服务器等。 图2.9 IBM X3100 M3服务器、联想万全T100服务器2）工作组级服务器工作组级服务器一般支持1至2个处理器或单颗处理器，可支持大容量的ECC内存，功能全面。可管理性强、且易于维护，具备了小型服务器所必备的各种特性，如采用SCSI总线的I/O（输入/输出）系统，SMP对称多处理器结构、可选装RAID、热插拔硬盘、热插拔电源等，具有高可用性特性。适用于为中小企业提供Web、Mail等服务，也能够用于学校等教育部门的数字校园网、多媒体教室的建设等。通常情况下，如果应用不复杂，例如没有大型的数据库需要管理，那么采用工作组级服务器就可以满足要求。目前，国产服务器的质量已与国外著名品牌相差无几，特别是在中低端产品上，国产品牌的性价比具有更大的优势，中小企业可以考虑选择一些国内品牌的产品。此外，HP等大厂商甚至推出了专门为中小企业定制的服务器。3）部门级服务器部门级服务器通常可以支持2至4个处理器，具有较高的可靠性、可用性、可扩展性和可管理性。首先，集成了大量的监测及管理电路，具有全面的服务器管理能力，可监测如温度、电压、风扇、机箱等状态参数。此外，结合服务器管理软件，可以使管理人员及时了解服务器的工作状况。同时，大多数部门级服务器具有优良的系统扩展性，当用户在业务量迅速增大时能够及时在线升级系统，可保护用户的投资。目前，部门级服务器是企业网络中分散的各基层数据采集单位与最高层数据中心保持顺利连通的必要环节。适合中型企业（如金融、邮电等行业）作为数据中心、Web站点等应用。4）企业级服务器企业级服务器属于高档服务器，普遍可支持4至8个处理器，拥有独立的双PCI通道和内存扩展板设计，具有高内存带宽，大容量热插拔硬盘和热插拔电源，具有超强的数据处理能力。这类产品具有高度的容错能力、优异的扩展性能和系统性能、极长的系统连续运行时间，能在很大程度上保护用户的投资。可作为大型企业级网络的数据库服务器。目前，企业级服务器主要适用于需要处理大量数据、高处理速度和对可靠性要求极高的大型企业和重要行业（如金融、证券、交通、邮电、通信等行业），可用于提供ERP（企业资源配置）、电子商务、OA（办公自动化）等服务。如Dell的PowerEdge 910服务器，可以配置为4颗Xeon E7520处理器，最大1TB的内存。集成了RAID控制器可以为用户提供0、1、5、10四个级别的RAID，最大可以支持16个热插拔SAS硬盘。本系列典型的代表有：惠普DL5800、IBM X3850/3950、浪潮NF565P、戴尔R910等系列服务器。 图2.10 惠普ProLiant DL580和浪潮NF565P服务器2. 按服务器的处理器架构1）CISC架构服务器CISC的英文全称为“Complex Instruction Set Computer”，即“复杂指令系统计算机”。从计算机诞生以来，人们一直沿用CISC指令集方式。早期的桌面软件是按CISC设计的，并一直沿续到现在，所以，微处理器（CPU）厂商一直在走CISC的发展道路，包括Intel、AMD，还有其他一些现在已经更名的厂商，如TI（德州仪器）、Cyrix以及VIA（威盛）等。在CISC微处理器中，程序的各条指令是按顺序串行执行的，每条指令中的各个操作也是按顺序串行执行的。顺序执行的优点是控制简单，但计算机各部分的利用率不高，执行速度慢。CISC架构的服务器主要以IA-32架构（Intel Architecture，英特尔架构）为主，而且多数为中低档服务器所采用。2）RISC架构服务器 RISC的英文全称为“Reduced Instruction Set Computing”，中文即“精简指令集”，它的指令系统相对简单，它只要求硬件执行很有限且最常用的那部分执令，大部分复杂的操作则使用成熟的编译技术，由简单指令合成。目前在中高档服务器中普遍采用这一指令系统的CPU，特别是高档服务器全都采用RISC指令系统的CPU。在中高档服务器中采用RISC指令的CPU主要有Compaq（康柏，即新惠普）公司的Alpha、HP公司的PA-RISC、IBM公司的Power PC、MIPS公司的MIPS和Oracle公司的SUN Spare。SUN SPARC Enterprise T5440可以配置4颗UltraSPARC T2八核处理器，支持512G内在，运行Oracle Solaris 10 操作系统。如果企业的应用都是基于NT平台的应用，那么服务器的选择基本上就定位于IA架构（CISC架构）的服务器。如果企业的应用主要是基于Linux操作系统，那么服务器的选择也是基于IA结构的服务器。如果应用必须是基于Solaris的，那么服务器只能选择SUN服务器。如果应用基于AIX（IBM的Unix操作系统）的，那么只能选择IBM Unix服务器（RISC架构服务器）。3）VLIW架构服务器 VLIW是英文“Very Long Instruction Word”的缩写，中文意思是“超长指令集架构”，VLIW架构采用了先进的EPIC（清晰并行指令）设计，我们也把这种构架叫做“IA-64架构”。每时钟周期例如IA-64可运行20条指令，而CISC通常只能运行1-3条指令，RISC能运行4条指令，可见VLIW要比CISC和RISC强大的多。VLIW的最大优点是简化了处理器的结构，删除了处理器内部许多复杂的控制电路，这些电路通常是超标量芯片（CISC和RISC）协调并行工作时必须使用的，VLIW的结构简单，也能够使其芯片制造成本降低，价格低廉，能耗少，而且性能也要比超标量芯片高得多。目前基于这种指令架构的微处理器主要有Intel的IA-64和AMD的x86-64两种。HP Integrity 高端服务器采用的就是安腾2（IA-64）处理器。可以运行HP-UX 11i v3 and HP-UX 11i v2；Microsoft Windows Server 2003，企业和数据中心版；Red Hat Enterprise Linux AS 4等操作系统。图2.11是惠普的HP Integrity rx9900 动能服务器。图2.11 HP Integrity rx9900 动能服务器3. 按服务器的机箱结构可以把服务器划分为“台式服务器”、“机架式服务器”，“机柜式服务器”和“刀片式服务器”四类。1）台式服务器 台式服务器也称为“塔式服务器”。有的台式服务器采用大小与普通立式计算机大致相当的机箱，有的采用大容量的机箱，像个硕大的柜子。低档服务器由于功能较弱，整个服务器的内部结构比较简单，所以机箱不大，都采用台式机箱结构。目前这类服务器在整个服务器市场中占有相当大的份额。2）机架式服务器 机架式服务器的外形看来不像计算机，而像交换机，有1U（1U=1.75英寸）、2U、4U等规格。机架式服务器安装在标准的19英寸机柜里面。这种结构的多为功能型服务器。对于信息服务企业（如ISP/ICP/ISV/IDC）而言，选择服务器时首先要考虑服务器的体积、功耗、发热量等物理参数，因为信息服务企业通常使用大型专用机房统一部署和管理大量的服务器资源，机房通常设有严密的保安措施、良好的冷却系统、多重备份的供电系统，其机房的造价相当昂贵。如何在有限的空间内部署更多的服务器直接关系到企业的服务成本，通常选用机械尺寸符合19英寸工业标准的机架式服务器。通常1U的机架式服务器最节省空间，但性能和可扩展性较差，适合一些业务相对固定的使用领域。4U以上的产品性能较高，可扩展性好，一般支持4个以上的高性能处理器和大量的标准热插拔部件。管理也十分方便，厂商通常提供人相应的管理和监控工具，适合大访问量的关键应用，但体积较大，空间利用率不高。3）机柜式服务器 在一些高档企业服务器中由于内部结构复杂，内部设备较多，有的还具有许多不同的设备单元或几个服务器都放在一个机柜中，这种服务器就是机柜式服务器。对于证券、银行、邮电等重要企业，则应采用具有完备的故障自修复能力的系统，关键部件应采用冗余措施，对于关键业务使用的服务器也可以采用双机热备份高可用系统或者是高性能计算机，这样的系统可用性就可以得到很好的保证。4）刀片式服务器刀片服务器是一种高可用高密度的低成本服务器平台，是专门为特殊应用行业和高密度计算机环境设计的，目前最适合群集计算和ISP提供互联网服务。其中每一块“刀片”实际上就是一块系统主板。它们可以通过本地硬盘启动自己的操作系统，如Windows NT/2000、Linux、Solaris等等，类似于一个个独立的服务器。在这种模式下，每一个主板运行自己的系统，服务于指定的不同用户群，相互之间没有关联。不过可以用系统软件将这些主板集合成一个服务器集群。刀片服务器近几年才刚刚兴起，我国的用户数量还不是很多，以数据中心和科研机构为多。但是由于符合未来计算模式的发展方向，国内外重要的服务器厂商Dell、HP、IBM，浪潮、联想、曙光等在国内都已纷纷推出了刀片式服务器产品。 图2.12 刀片式和机柜式服务器2.5.2 服务器的选择因素选择服务器时需考虑以下几个因素：1）支持的操作系统在选择服务器时，一个关键的考虑因素是确定采用什么操作系统。这里有几点考虑：服务器是否要增加到现有的服务器/计算机环境？把服务器增加到一个现有环境，通常意味着新服务器必须使用和现有服务器一样的操作系统，这是因为应用有所限制以及现有操作人员的技能也有限；现有或所选的应用对操作系统选择有哪些限制？如果需要新的应用，软件厂商可能会要求或强烈推荐使用特定的OS。一般用户有三种选择：Windows、Linux或Unix。这里说的Unix包括系统厂商提供的所有Unix系统，如IBM的AIX、惠普的HP/UX或SUN的Solaris。同样，Linux系统也有一些选择。但如果你可以自由选择，最好基于产品在扩展性、强健性和使用成本方面的标准，对产品进行比较。2) 支持用户的数量与可扩展性服务器选择的第一个基本步骤是判断服务器必须同时支持多少台客户机。不同的应用使用的服务器资源量不同，在配置服务器时需要用到这些信息。无论这些客户机和应用的数目是多少，都只是最初的数目。随着时间的推移，业务活动的增多，或基于计算机的活动增多。这种自然增长使得系统的扩展性显得尤为重要。扩展性是衡量系统在不同方面升级能力的一个标准，包括处理能力、存储容量、主存大小和网络连通性与带宽。与更换为更大的系统相比，可以进行扩展的系统是一个更省钱、间断性小的选择。扩展性很关键，但如何合理地估计服务器系统的扩展性，目前并没有太多的信息，也没有什么实用的经验方法。而且，也没有既定的衡量扩展性的测试标准。3）服务应用类型使用服务器通常可以充当以下类型：文件、打印或通信服务器，数据库服务器，应用服务器，计算密集型服务器等。这个分类并不是说不同类的应用不能同时存在于同一个服务器。但是，不同用途的系统很容易达到它们的极限，因为很难在不同类别的应用之间确定资源分配优先顺序，除非使用资源管理程序。 为了评估客户机的资源使用情况，首先弄清楚哪些客户机会使用每个应用。每个应用可能需要服务器提供不同的资源组合。4）财务问题虽然服务器和必要软件的购买成本明显是总成本的一个很大组成部分，不过在做购买决策时应该对总体拥有成本（Total cost of ownership，简称TCO）进行评估。TCO包括直接成本和间接成本。主要直接成本包括：软件和硬件的购买成本；运行和管理系统；应用开发、支持和通信；运行和冷却系统的电力费用；系统占用空间费用等。间接成本更难以量化，包括系统停机的成本。停机成本不仅包括处理系统不可用性的成本，还包括不可用性导致的软性成本。2.5.3 服务器选择方案本案例中，考虑服务器选择因素，各服务器的建议选择方案如下：1）校园网WEB服务器此服务器对内、对外提供WEB服务，主要是宣传学校的一些基本内容，没有涉及复杂应用，访问量不大。选择工作组级服务器即可。2）校内网服务服务器校内网服务器群要提供校园网办公系统、教务管理系统以及课程中心服务等，有多媒体、大量数据库等访问，涉及的服务类型较多，需要高性能服务器组且具有备份冗余功能。选择多台企业级服务器进行冗余备份，并配有大容量网络存储设备。3）图书馆信息服务器图书馆服务器要提供电子期刊、科技情报的检索和查阅等功能，保存的电子期刊数据量较大，需要大型数据库的支持。选择两台企业级服务器进行冗余备份。2.6 子网与IP地址规划通过划分子网可以减少网络流量、提高网络性能以及简化管理等。在子网地址规划需要考虑以下5个方面的问题：（1）这个被选定的子网掩码可以产生多少个子网；（2）每个子网内部能有多少个合法的子网号；（3）这些合法的主机地址是什么；（4）每个子网的广播地址是什么；（5）每个子网内部合法的网络号是什么。本案例中由于核心设备采用了三层交换机，由此在交换机上作了VLAN的划分。整个校园网中VLAN及IP编址方案如表2.1所示。表2.1VLAN及IP编址方案VLAN IDVLAN NAME网络地址/掩码默认网关说明VLAN 1xinxizhongxi10.1.0.0/2410.1.0.254信息中心核心区（DMZ等各区的IP地址皆以10.1开头再进一步划分）VLAN 2bangong10.2.0.0/2410.2.0.254办公楼VLAN 3Xinxijishu310.3.0.0/2410.3.0.254信息技术学院VLAN103Xinxijishu10310.103.0.0/2410.103.0.254信息技术学院VLAN4jixiexueyuan10.4.0.0/2410.4.0.254机械工程学院VLAN5chengshijianshe10.5.0.0/2410.5.0.254城市建设学院VLAN6jingjiguanli10.6.0.0/2410.6.0.254经济管理学院VLAN7shengwugongcheng10.7.0.0/2410.7.0.254生物工程学院VLAN8guojiwenhua10.8.0.0/2410.8.0.254国际文化交流学院VLAN 9Tushuguan310.9.0.0/2410.9.0.254图书馆VLAN109Tushuguan10910.109.0.0/2410.109.0.254图书馆VLAN10Shiyan110.10.0.0/2410.10.0.254实验楼1VLAN11Shiyan210.11.0.0/2410.11.0.254实验楼2VLAN12Sushe110.12.0.0/2410.12.0.254宿舍楼1VLAN13Sushe210.13.0.0/2410.13.0.254宿舍楼2VLAN14Sushe310.14.0.0/2410.14.0.254宿舍楼3VLAN15Sushe410.15.0.0/2410.15.0.254宿舍楼4两台核心主交换的每个端口都划分为一个独立的VLAN，连接至其它各个楼宇，且此端口的IP地址是该网段的最后一个IP地址：即254，也就是本网段的网关地址。253则分配给各汇聚层的交换机。各网段的主机IP地址的最末位范围是：1252，即每个网段容纳的主机台数为252。信息技术学院和图书馆的主机数各近400台，给予分配了两个网段。各设备的IP地址分配如表2.2所示。表2.2设备IP编址方案设备名称端口IP地址/掩码网关地址说明路由器C_R_1E0/0(Internet端口)202.70.40.2/29202.70.40.1ISP1分配接入到InternetE0/1(内网端口)10.1.1.254/24202.70.40.1连接防火墙防火墙C_F_1E1/0/010.1.1.253/2410.1.1.254防火墙与C_R_1连接端口E0/0/010.1.0.253/2410.1.1.254防火墙的与内网接口E0/0/110.1.3.254/2410.1.1.254防火墙的DMZ接口路由器防火墙C_R_2E0/0(Internet端口)40.240.35.2/3040.240.35.1ISP2分配接入到InternetE0/1(内网端口)10.1.4.254/2440.240.35.1连接防火墙防火墙C_F_2E1/0/010.1.4.253/2410.1.1.254防火墙与C_R_2连接端口E0/0/010.1.0.252/2410.1.1.254防火墙的与内网接口WEB服务器网卡外:202.70.40.2202.70.40.6内:10.1.3.210.1.3.610.1.3.254校园网内、外WEB服务器主交换C_S_1VLAN110.1.0.243/24-主交换机管理IP地址主交换C_S_2VLAN110.1.0.242/24-主交换机管理IP地址校内服务器组网卡10.1.0.23010.1.0.23910.1.0.243校内服务器组IP地址汇聚层交换机D_S_XVLAN110.x.0.253/2410.x.0.254各汇聚层交换机管理IP地址，x为VLAN号图书馆服务器组网卡10.9.0.24010.9.0.249/2410.9.0.254图书馆服务器群的IP地址2.7 局域网可靠性设计网络主要是由全部的节点设备以及设备之间的传输介质组成的。因此,网络中的故障也主要包括节点设备的故障与传输介质故障两种。任何一种故障的出现，都可能造成整个网络的停止。为防止这种情况的发生，网络中必须使用必要的技术来提高可靠性。通常，我们使用“冗余”技术来完成。所谓“冗余”，就是一个具有相同设备功能的备用设备系统，当主设备出现故障时，冗余设备是可以立刻使用的替代设备。在网络中，为节点设备增加冗余，可以避免因设备故障带来的网络停止；为传输介质增加冗余，同样也能够在传输介质出现故障时避免网络停止。本案例中使用的相关技术主要有以下几种：1. 端口聚合（端口汇聚）端口聚合也称端口汇聚，它可将多物理连接当作一个单一的逻辑连接来处理，它允许两个交换机之间通过多个端口并行连接同时传输数据以提供更高的带宽、更大的吞吐量和可恢复性的技术。 例如，两个普通交换机连接的最大带宽取决于媒介的连接速度（100BAST-TX双绞线为200M），而使用端口聚合技术可以将4个200M的端口捆绑后成为一个高达800M的连接。这一技术的优点是以较低的成本通过捆绑多端口提高带宽，而其增加的开销只是连接用的普通五类网线和多占用的端口，它可以有效地提高子网的上行速度，从而消除网络访问中的瓶颈。另外端口聚合还具有自动带宽平衡，即容错功能：即使聚合只有一个连接存在时，仍然会工作，这无形中增加了系统的可靠性。端口聚合的图示见图2.13。图2.13 端口聚合本案例中，在核心的两台主交换之间使用了该技术，将两个千兆端口聚合到了一起，使它们之间能够高速互通且冗余。2. 生成树技术在实际的网络环境中，物理环路可以提高网络的可靠性，当一条物理线路断掉的时候，另外一条线路仍然可以传输数据。但是，在交换的网络中，当交换机接收到一个目的地址未知的数据帧时，交换机会将这个数据帧广播出去，这样，在存在物理环路的交换网络中，就会产生双向的广播环，甚至产生广播风暴，导致交换机资源耗尽而宕机。这样就产生了一个矛盾，需要物理环路来提高网络的可靠性，而环路又有可能产生广播风暴，怎样才能两全其美呢？ STP（Spanning Tree Protocol，生成树协议），就是用来解决这个矛盾的。STP协议在逻辑上断开网络的环路，防止广播风暴产生，而一旦正在使用的线路出现故障，被逻辑上断开的线路又会恢复畅通，继续传输数据。生成树技术图示见图2.14。图2.14 生成树技术本案例中，汇聚层交换机分别与两个核心层交换机连接，而两个核心层交换机之间又连通，存在物理环路，所以会使用STP技术来解决出现的广播风暴问题。3. 虚拟路由器冗余协议（VRRP）VRRP是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。其如图2.15所示。图2.15 VRRP技术使用VRRP，可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享，其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址（这个备份路由器就成为了主路由器）。VRRP 也可用于负载均衡。CISCO公司的HSRP（Hot Standby Routing Protocol）与VRRP协议的工作机理与有许多相似之处。本案例中，各汇聚层交换机与核心层的两台交换机分别连接，这两台核心交换机使用VRRP协议，互为备份，为汇聚层交换机提供冗余和负载均衡。2.8 校园网安全设计校园网安全状况直接影响着学校的教学活动。在网络建成的初期，安全问题可能还不突出，随着应用的深入，校园网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。为避免这各情况的出现，我们在进行校园网规划设计时，就要充分地考虑到存在的网络安全问题。1. 校园网的安全问题由于学校是以教学活动为中心的场所，网络的安全问题也有自己的特点。主要的安全问题表现在以下几个方面：1）物理安全物理安全是指由于物理设备的放置不合适、规章制度不健全、防范措施不得力而使网络资源遭到意外事故或人为破坏，从而造成校园网不能正常运行。2）非授权访问没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。3）拒绝服务攻击拒绝服务攻击即攻击者想办法让目标机器停止提供服务，其实对网络带宽进行的消耗性攻击只是拒绝服务攻击的一小部分，只要能够对目标造成麻烦，使某些服务被暂停甚至主机死机，都属于拒绝服务攻击。拒绝服务攻击实际上让服务器实现两种效果：一是迫使服务器的缓冲区满，不接收新的请求；二是使用IP欺骗，迫使服务器把合法用户的连接复位，影响合法用户的连接。4）计算机网络病毒互联网已经成为计算机病毒传播的最大来源。互联网上出现的各种新的病毒利用电子邮件和网络信息传播，感染快、危害严重，其破坏性大大地高于单机系统，而且用户很难防范。校园网上的主机与用户众多，且用户水平参差不齐，计算机病毒更易爆发且清除困难。2. 安全管理的策略网络的安全问题需要从网络规划设计阶段就仔细考虑，并在实际运行中严格管理。为保证校园网络的安全性，一般采用以下一些策略： 1）设备安全 在校园网规划设计阶段就应该充分考虑到网络设备的安全问题。将一些重要的设备，如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空，并有明显标记，防止无意损坏。对于终端设备，如工作站、小型交换机和其他转接设备要落实到人，进行严格管理。2）技术保证 目前，网络安全的技术主要包括杀毒软件、防火墙技术、加密技术、身份验证、存取控制、数据的完整性控制和安全协议等内容。针对校园网来说，最主要应该采取以下一些技术措施：（1）运用内容过滤器和防火墙，应用访问控制列表技术，对一些网络攻击、网络病毒进行过滤。（2）运用VLAN技术，进行安全保护，广播信息隔离。（3）安装杀毒软件。3）网络的管理 这种管理除了建立起一套严格的安全管理规章制度外，还必须培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令，对用户名和口令进行加密存储、传输，提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。 网管人员还需要建立与维护完整的网络用户数据库，严格对系统日志进行管理，对公共机房实行精确到人、到机位的使用登记制度，则可对网络用户和服务账号进行精确的控制。定时对校园网系统的安全状况做出评估和审核，关注网络安全动态，调整相关安全设置，进行入侵防范，发出安全公告，紧急修复系统。 4）用户教育 除了对用户进行有关网络安全的法律法规和规章制度进行宣传教育外，还必须让用户知道如何使用密码、管理文件、收发邮件和正确地运行应用程序。对于非法访问和黑客攻击事件，一旦发现要严肃处理。2.9 综合布线技术校园网通信线缆的铺设采用综合布线技术。综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。通过它可使话音设备、数据设备、交换设备及各种控制设备与信息管理系统连接起 来，同时也使这些设备与外部通信网络相连的综合布线。它还包括建筑物外部网络或电信线路的连接点与应用系统设备之间的所有线缆及相关的连接部件。综合布线由不同系列和规格的部件组成,其中包括：传输介质、相关连接硬件(如配线架、连接器、插座、插头、适配器)以及电气保护设备等。这些部件可用来构建各种子系统,它们都有各自的具体用途,不仅易于实施,而且能随需求的变化而平稳升级。1. 综合布线的特点相对于以往的布线，综合布线 的特点可以概况为： 1）实用性实施后,布线系统将能够适应现代和未来通信技术的发展，并且实现