企业园区网设计及案例.pdf

企业园区网设计与案例分析企业园区网设计与案例分析 华迪实训张小平华迪实训张小平 共享式共享式共享式共享式 以太网以太网以太网以太网 交换式交换式交换式交换式 以太网以太网以太网以太网 共享式共享式共享式共享式 快速快速快速快速 以太网以太网以太网以太网 交换式交换式交换式交换式 快速快速快速快速 以太网以太网以太网以太网 速率越来越快速率越来越快 交换式交换式交换式交换式 千兆以太网千兆以太网千兆以太网千兆以太网 10 Mbps100 Mbps1000 Mbps 园区网技术 桌面桌面 主干主干 园区网采用的技术规范园区网采用的技术规范 生成树STP IEEE 802 1d 虚拟网VLAN VLAN 干线技术 IEEE 802 1q 链路聚合LACP IEEE 802 3ad 三层 多层交换技术 IP Forwarding 热备份技术 HSRP 端口认证技术 IEEE 802 1x Workstation File Server Trunk1 Trunk2 Workstation 主干上的链路汇聚主干上的链路汇聚 Multilink trunkMultilink trunk功能图示功能图示功能图示功能图示 PC2 工作组间的链路汇聚工作组间的链路汇聚 FS1 FS2 Trunk1 WorkstationWorkstationWorkstation Switch to Server VLAN1VLAN2 PC4 PC3 PC2 PC1 Port based VLAN VLAN1 VLAN2 级连端口级连端口 PC2 PC1 PC3 PC4 跨交换机的VLAN 干线 9600 8 N 1 Console VLAN 1VLAN 1VLAN 2VLAN 2VLAN 3VLAN 3 RIP OSPF 第二层交换机 vs 第三层交换机 WAN 传统二层交换机 传统路由器 传统二层交换机 传统路由器 GigabitGigabitGigabitGigabitGigabitGigabit WANWAN 传统路由器 路由交换机 传统路由器 路由交换机 IP ForwardingIP Forwarding IP ForwardingIP Forwarding 堆叠技术 交换机堆叠交换机堆叠 Stack 1 共用交换容量共用交换容量 2 集中管理集中管理 3 冗余可靠性冗余可靠性 4 千兆堆叠千兆堆叠 5 支持支持7层堆叠层堆叠 注注 低档的普通交换机不支持堆叠 需要中高挡交换机支持 专用堆叠模块 堆叠线缆 1 1 会增加信号的延迟会增加信号的延迟会增加信号的延迟会增加信号的延迟 2 2 带宽瓶颈 带宽瓶颈 带宽瓶颈 带宽瓶颈 3 3 不不不不过过过过3 3层层层层 4 4 低档交换机也可以支持低档交换机也可以支持低档交换机也可以支持低档交换机也可以支持 交换机的级连交换机的级连 Uplink 双机热备份双机热备份 双机热备份双机热备份 接入层接入层VLAN 核心层核心层 多层交换多层交换 分布层 汇聚层分布层 汇聚层 L3L3L3L3交换交换交换交换 接入层接入层 VLAN 核心层核心层 两层结构两层结构 分布层 汇聚层分布层 汇聚层 L3L3L3L3交换交换交换交换 接入层接入层VLAN 园区网层次化设计模型园区网层次化设计模型 大楼1 数据中心 大楼2 核心层为高速交换主干 必须满足快速交换报文的要求 通 常 这一层不完成报文格式变换或报文过滤以免影响报文交换 速度 核心层定义核心层定义 分布层分布层 汇聚层汇聚层 中心服务器 大容量 中心服务器 大容量 高带宽高带宽 1000M 分布层是核心层和访问层的分界线 它的作用是提供边界 定义并完成类似报文格式转换等功能 在一个典型网络中 分布层应包括以下功能 1 1 地址或区域合并地址或区域合并地址或区域合并地址或区域合并 2 2 部门或工作组访问部门或工作组访问部门或工作组访问部门或工作组访问 3 3 广播域或组播域定义广播域或组播域定义广播域或组播域定义广播域或组播域定义 4 4 VLANVLAN路由路由路由路由 5 5 介质转换介质转换介质转换介质转换 6 6 安全安全安全安全 分布层 汇聚层 定义 SiSi Internet WAN 核核心心 接入接入 工作组服务器 100M带宽 IDS web 接入层是本地终端用户的网络接入点 这一层可以用访问 列表或过滤进一步优化特定用户组 在典型的网络环境中访 问层应包括如下功能 1 1 共享带宽共享带宽共享带宽共享带宽 2 2 交换带宽交换带宽交换带宽交换带宽 3 3 MACMAC层过滤层过滤层过滤层过滤 4 4 微分网段微分网段微分网段微分网段 接入层定义 设备冗余 楼层配线架楼层配线架楼层配线架楼层配线架 主配线架主配线架主配线架主配线架 楼层配线架楼层配线架楼层配线架楼层配线架 核心层交换机核心层交换机核心层交换机核心层交换机 VLAN2 其他其他VLAN VLAN1 千兆光纤以太骨干网千兆光纤以太骨干网 1Gbps 接入层交换机接入层交换机接入层交换机接入层交换机 接入层交换机接入层交换机接入层交换机接入层交换机 分布层交换机分布层交换机分布层交换机分布层交换机 接入层交换机接入层交换机接入层交换机接入层交换机 1000M Trunk 1000M 1000M 100M UTP 5 10 100M UTP 5 10 100M UTP 5 10 100M UTP 5 10 100M UTP 5 1000M 1000M 10 100M UTP 5 10 100M UTP 5 1000M 100M UTP 5 分布层交换机分布层交换机分布层交换机分布层交换机 接入层交换机接入层交换机接入层交换机接入层交换机 分布层交换机分布层交换机分布层交换机分布层交换机 1000M 典型企业典型企业 园区网园区网 WAN Internet 西区计算中心 网络管理中心 第二理科楼 Router 1G UP to 4G 1G UP to 4G 水电学院 东区图书馆 1G UP to 4G 西区一教学楼 西区二教学楼 西区三教学楼 西区四教学楼 西区五教学楼 高材所 逸夫楼 西区图书馆 高速水流实验室 城建学院 东风办公楼 滨江楼 行政楼 文科楼 外事处 成教院 外文楼 经管楼 东区三教学楼 720所 分析测试中心 物理馆 化学馆 第一理科楼 RA4000 PSTN Optivity NMS Backbone Layer Server Family Server Family Server Family 案例 四川大学校园网案例 四川大学校园网 数控厂区 SiSi SiSi SiSi SiSiSiSi A座 West top 3 2 1 VLAN 2 Soft 1 Soft 2 COLL Default 3 2 3 130 209 23 SiSi SiSi VLAN1 VLAN 3 TopxygyTopedu 1 2 SiSi 学院公寓学院公寓 学校 学院 128 13 24 130 251 23 Soft 1 SiSi SiSi SiSi SiSi SiSi West top BSL SiSi SiSi SiSi SiSi SiSi SiSi SiSiSiSi 7区 5区 4区 3区 2区1区 6区 大学 大学宿舍 dxgydxgy tpdxtpdx Vlan5 135 252 24 135 251 24 gb5 gb1 gb4 gb3gb2 A gb0 gb6 1号楼 9号楼 15号楼 6号楼 2号楼 B座 案例 西部软件园网络案例 西部软件园网络 访问服务器访问服务器 路由器路由器 Frame Relay DDN PSTN 带防火墙 的路由器 带防火墙 的路由器 Frame Relay DDN 移动办公移动办公 家庭办公 分支机构 合作伙伴 家庭办公 分支机构 合作伙伴 企业总部企业总部 Intranet Extranet Teleco 带防火墙 的路由器 带防火墙 的路由器 Internet Web 站点站点 企业典型远程联网需求示意图企业典型远程联网需求示意图 100 100 100 2 24 201 200 200 1 24202 200 200 1 24 SiSiSiSi NodemNodem 100 100 100 1 24 Tel 654321 aux Router1Router2e1 w1w1 e1 Tel 123456 aux PSTN Internet DDN 200 200 200 1 26200 200 200 2 26 总部分公司 DSU CSU DSU CSU NotepadNotepadServerServerWorkstationWorkstation 总部与分部通过总部与分部通过DDN互连互连 企业内联 广域专网 w1 SiSi SiSi SiSi SiSi SiSi Router1 Router2 Router3 Router4 Router5 10 1 1 2 w1 20 1 1 2 w1 30 1 1 2 w1 40 1 1 2 DLCI 110 DLCI 210 DLCI 310 DLCI 410 w1 10 1 1 1 DLCI 100 w2 1 20 1 1 1 DLCI 200 w3 2 30 1 1 1 DLCI 300 w4 3 40 1 1 1 DLCI 400 Frame Relay Network 总部与多个分公司通过总部与多个分公司通过FR互连互连 企业内联 广域专网 应用广泛 易于配置 异步传输 低费用 安全 低带宽访问需求 Telecommuters 公司网络 服务器 移动用户 公司网络 服务器 移动用户 Modem Pool 异步异步Modem 访问服务器访问服务器 Basic Telephone Service telecommute 在家里通过使用与 工作单位连接的计算机终端 远距 离工作 远程拨号访问 Internet ExtranetInternet Extranet DMZ WEB服务层服务层 Intranet 内部网络内部网络 Web e mail FTP 防火墙防火墙 FireWall Connection to outside network Connection to outside network Connection to inside network Connection to inside network Connection to www network Connection to www network DDN 企业外联广域网 IDS 需求了解需求了解 分析分析方案设计方案设计 技术交流 是否满足 用户要求 技术交流 是否满足 用户要求 方案确认方案确认 方案 设计 定稿方案 设计 定稿 方案修改方案修改 Y N 方案修定方案修定 方案设计流程方案设计流程 1 需求分析合理需求分析合理 2 表述清楚明了表述清楚明了 3 系统设计规范标准系统设计规范标准 4 设备及配件用量计算准确 余量考虑合理设备及配件用量计算准确 余量考虑合理 5 排版整洁美观排版整洁美观 第一章 园区网络总体设计原则 1 1 1 开放性原则 1 1 2 可扩充性原则 1 1 1 3 可靠性原则 1 1 1 4 可管理性原则 2 2 1 5 采用主流厂商产品 2 2 1 6 从实际需求出发的原则 2 2 1 7 优化的网络层次结构 3 3 第二章 网络主干设计分析 5 2 1 核心层分布层主干技术的选择 5 2 2 交换式路由网络设计 6 2 3 VLAN 方案设计 7 2 4 网络管理方案设计 8 8 2 5 网络安全方案设计 8 第三章 IP 网络规划 10 3 1 网络 IP 地址数量规划 10 10 3 2 规划网络子网 VLAN 10 10 3 3 XX 基地网络结构及 IP 规划 11 11 第四章 网络设备及网络管理方案 4 1 网络设备选型分析 13 4 1 1 核心层主干交换机 17 4 1 2 分布层主干交换机 17 4 1 3 接入层设备 19 4 2 网络管理系统设计 21 第五章 网络结构综述 5 1 网络结构分析 29 5 2 网络特点分析 30 1 第一章 园区网络总体设计原则第一章 园区网络总体设计原则 在充分满足用户需求的前提下 遵循 少花钱 多办事 办好事 的精神 结合 XX 基地网络布线系统及实际网络应用的需要和发展进 行网络系统总体规划 注重考虑整个网络的包交换能力 可扩充性 易管理性等综合功能和总体性能 在设计网络时 我们将遵循以下几 个基本原则来构建 42 基地园区网络系统 1 1 开放性原则开放性原则 随着开放互边连标准的制定 只有开放的 符合国际标准的网络 系统才能能够实现多厂家产品的互边连 目前已成熟的国际标准包 括 以太网 快速以太网 FDDI 网 令牌环网 千兆以太网 ATM 异 步传输模式 等 并具这些网络系统不仅在世界范围内 即使在国内 也被广泛地采用 目前主流的采用 100M 1000Mbps 交换网络 1 2 可扩充性原则可扩充性原则 网络系统要能够灵活地扩充 能够通过扩充支持千兆网甚至 10G 网络 具有良好扩充性的网络系统能够让用户以较小的代价 通过产 品升级 采用新的技术来扩充现实有网络设备的功能 这样就能有效 地保护用户的投资 1 3 可靠性原则可靠性原则 网络系统必须具有一定的容错能力 保障在意外情况下不中断用户 的正常工作 这要求网络设备能够支持诸如 MulitiLink Trunking 多路连接复用 Spanning Tree 生成树 等增加带宽及冗余连接 2 协议 比如 在网络系统的关键部位 如服务器 园区骨干网连接 提供 2 条以上线路连接 多条链路可同时使用 当其中一条线路意外 断开的 另一条线路仍能够自动正常工作 保障系统不中断 1 4 可管理性原则可管理性原则 网络系统应该能够支持 SNMP 简单网管协议 VLAN 虚拟网络 的划分 这样便于计算机管理人员通过网管软件随时监视网络的运行 状况 一旦出现故障 可以自动报告出错位置和出错原因 管理人员 可以迅速发现故障并即时维护 同时 SNMP V2 版本的协议还支持很多 更高级的网络安全管理功能 1 5 采用主流厂商产品采用主流厂商产品 网络是用户计算机系统的中枢神经 随着企业规模的发展 企业的 网络系统也要不断扩展 不断升级 因此 选择占主导地位的网络厂 家产品的优势在于 1 产品市场占有率高 主流厂商的路由交换机产品在全球市场位 居前列 有着广泛的用户群以支持厂家经营良好 不断发展 2 拥有最先进的支持和服务 3 主流厂商具有可持续发展的策略 其产品不断升级 通过产品 升级一方面使其用户得到最先进的技术 另一方面可以保护用户以前 的设备投资 1 6 从实际需求出发的原则从实际需求出发的原则 本着从实际情况出发 采用先进的网络技术 建立一个高速 宽带 扩充性能良好的计算机网络系统 本设计注重于以下三个出发点 3 1 网络系统必须是透明的 网络的复杂性工作由信息系统管理人员 承担 对于使用者来说只需掌握用户应用界面即可 2 在进行网络结构规划设计时 必须重点达到网络系统性能的提高 网络系统范围的扩展 升级以及网络系统的可管理性 3 网络承建方将为企业网络工程提供人员培训服务及软硬件维护 服务 以确保 1 工程能够平滑流畅地实施 实现最初的设计 2 有关知识能够全部传授给管理网络系统的有关人员 以便于日 后管理能够独立操作 维护和管理 应用网络系统 3 一旦网络发生故障 有关人员能在限定的时间内修复 1 7 优化的网络层次结构优化的网络层次结构 大多数的网络都可以被层次性划分为三个逻辑层次 核心层 Core Layer 分布层 Distribute Layer 和访问层 Access Layer 1 核心层的主要目的在于完成园区各区域主干之间的路由交换的 高速优化通信和中心服务系统的访问服务 该层次必须是基于千兆高 速交换和路由的设计 设备的性能容量也是最高的 高达百 Gbps 容 量和每秒千万级数据包转发能力 主要是由全模块化的高性能多层 路由交换机和高性能服务器组成 系统带宽必须是千兆甚至 10Gbps 2 分布层主要是完成分支区域网络流量的汇聚和分发以及安全控 制 处于核心层和访问层中间位置 该层次一般采用 100M 或 1000M 的快速交换路由设计 设备的性能容量性也很高 主要由固定配置 可选模块的三层路由交换设备组成 4 3 访问层是由 100M 快速以太网交换机和客户机组成 该层次一般 采用 100M 快速以太网 采用可管理的固定配置的工作组级别的交换 机 能提供多层堆叠功能实现大量用户的接入 模块化网络设计方法的目标在于把一个大型的网络元素划分成 一个个互连的网络层次 实质上 模块化方式把整个园区网从核心层 分成 4 6 个大网段 VLAN 每个大网段在分布层又根据网络分布情况 具体细划分成更小的子网 这样从上到下的网络层次细化使得网络节 点和路由更容易管理 层次化的设计方法同时也使网络的扩展更容易 处理 因为新的子网模块和新的网络技术能更容易集成进整个系统 中 而不破坏已存在的骨干网 因此要建设 XX 基地园区网络成为一个网络性能优良的 具有很强扩 展能力和升级能力的综合网络 那么在网络的设计中就必须采用层次 化的网络设计原则 5 第二章 网络主干设计分析第二章 网络主干设计分析 构建 XX 基地网络主干要从应用带宽需求和主干拓扑结构考虑 在核心层骨干交换机和分布层交换机之间 分布层交换机和端口密度 大 信息量大的接入层交换机之间均应该采用千兆以太网连接 端口 密度较小 信息量较小的工作组交换机则以 100Mbps 快速以太网速 以太网通道连接到骨干交换机 以客户机 服务器为模式的分布式计算机结构使网络成为信息处 理的中枢神经 同时 CPU 和总线的处理速度也不断提高 这些对网 络带宽提出了更高的要求 这种需求促进了网络技术的繁荣和飞速发 展 现存主要的局域网技术有快速以太 100M 千兆以太 1000M 异步传输方式 ATM 等 由于全交换式的快速以太网技术以其高性能 和与 10M 以太网和 1000M 以太网技术的平滑过渡以及能在一个单一 的主体网络上携带多种信息媒体进行多种通信业务 如资源预保留技 术 RSVP 基于策略的优先排队技术等均提供对多媒体信息传送的支 持 而且 1000M 以太网技术的出现又使得 ATM 的速率优势 155M 和 622M 不再存在 近年来 100M 和 1000M 以太网以及其衍生的快 速以太网通道和千兆位以太网通道技术在国内外都是一个应用热点 2 1 核心层分布层主干技术的选择核心层分布层主干技术的选择 首先 从网络技术发展趋势看 全交换式快速以太网 千兆位以 太网技术具有较高的性能价格比 可用于桌面计算 通过快速 千兆 位以太网通道技术 又可作为主干连接 提供较高的带宽和可靠性 以太网 快速以太网 千兆以太网的平滑过渡 给用户提供了极大的 6 投资保护 其次 从实际情况看 以太网技术发展很快 已成为世界第一局 域网技术 世界上的局域网有 80 为以太网 实用性强 已有大量安 装应用程序 带宽伸缩性好 10 100 1000bps 并且以上 3 种网络是 向上兼容的 第三 从应用性看 全交换的快速 千兆位以太网技术在多媒体 应用方面有长足的进步 基于 IP 的多媒体应用正在日益被广泛采用 千兆以太网易安装 易维护且价格低廉 最后 从对多媒体应用的支持上来看 采用快速以太技术时 选 择 Qos 服务质量 支持 即对于多媒体应用或其它带宽敏感型应用 以提供各种级别的带宽保留和通信量优先排序 综上所述 再结合投资因素 本方案选用 1000M 以太网技术来构建 园区骨干网络 2 2 交换式路由网络设计交换式路由网络设计 路由交换技术 三层交换机 包含了第二层和第三层的功能 并 将路由的三个核心功能 路由表管理 路由查询和第三层转发 集于一 身 并以硬件方式实现 因而能够支持网段 VLAN 之间的通信 还 能完成广播域的隔离 并代替了传统的路由器在 VLANs 之间的互连功 能 解决了传统路由器中的瓶颈问题 大大地降低了网络时延 实现 了数据包的快速转发 对应用而言 与传统交换机加路由器方式相比 价格的优势也非 常明显 并且由于将交换和路由合二为一 管理上也更为方便 7 本网络设计中在核心层和分布层的骨干交换机上都部署了第三 层交换功能 提供 VLAN 之间的千兆交换 2 3 VLAN 方案设计方案设计 虚拟网络 VLAN 是将局域网内广播域逻辑地划分为若干子网 在 一个交换局域网中 所有局域网段通过交换机连接在一起 路由器连 在交换机上 如果是三层交换机 则不需路由器 可以按网段和站点 的逻辑分组形成广播域 通过在局域网交换机内过滤广播包 使得源 于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的 网段上 虚网之间的寻径由路由器完成 本方案采用的就是具有路由 寻址功能的路由交换机 虚网建立以后 能有效地控制网络的广播风暴 减少不必要的资 源带宽浪费 并能随着企业规模的发展和调整改变通信流的模式 在主流的交换机产品中提供多种虚网组织方法 基于端口的虚网划分 基于网络安全要求 可采用 MAC 地址方法或用户自定义方法组织 虚网 其它用户即使接入到网络交换机的端口中 也无法进入该虚网 可对每个端口设置相应的安全控制策略 防止非法用户的侵入 可借助三层交换机 实现基于 IP 子网的虚网 利用 VLAN 国际标准 802 1Q 可实现跨交换机的 VLAN 通过 VLAN 生成树技术 PerVLANSpanningTree 可实现各 VLAN 之间的负载均 衡 并且当网络拓扑发生变化时 只影响到相关的 VLAN 的生成树重 新计算 使网络的收敛时间最短 8 采用 VLANPruning 技术来优化交换网络中广播对网络性能的影 响 使 VLAN 内部的广播包不会扩散到没有该 VLAN 成员的中继和交换 机上去 2 4 网络管理方案设计网络管理方案设计 根据客户 服务器应用模式和全网范围资源集中管理的原则 建 立网管中心 统一网络中的交换设备的管理配置 虚网设计和配置等 网管工作站对全网所有交换设备和路由设备进行统一管理 配置和维护 支持 RMON 和 RMON2 管理标准 进行故障隔离和分析 统计 报警和设置 网管软件采用图形化用户界面 支持广泛的网管平台 2 5 网络安全方案设计网络安全方案设计 1 对内安全 利用 VLAN 的安全特性 服务器访问控制 2 对外安全 采用专用防火墙 提供企业网与 Internet 之间的高安全隔离 保护 通过网管实时记录网络的运行状态 9 第三章第三章 IP 网络规划网络规划 3 1 网络 IP 地址数量规划3 1 网络 IP 地址数量规划 在构建基于 TCP IP 的企业网络时 IP 地址的选择是根据企业网络 规模大小从以下三类国际 Internet 组织公布的私有网段中产生 这 些范围内的 IP 地址不在 Internet 上传输 是专门提供给企业用来建 设内部网络 IntranetIntranet A 类私有 IP 10 0 0 0 10 255 255 255 B 类私有 IP 172 16 0 0 172 16 31 255 C 类私有 IP 192 168 0 0 192 168 255 255 从以上分类可以看出 A 类私有 IP 数量最多达到2 2424 个 B 类最少为 32x255 个 C 类居中为2 16 个 IP 地址 根据 XX 基地网络规模的大小 建议 选用 C 类私有 IP 来规划 TCP IP 设计 3 2 规划网络子网 VLAN 3 2 规划网络子网 VLAN 路由器是用于个子网 VLAN 间互连的设备 其作用是将分组从一个 VLAN 转发到另一个 VLAN 这样使分组更加接近目的网络 路由器上的每个 VLAN 都需要唯一 IP 地址 也就是说每一个子网 VLAN 接口的 IP 地址都必 须属于不同的子网 即每个路由器的网络接口定义一个子网 10 如图 总部路由交换机有 4 个分支网络 需要定义 4 个 I P 子网和 VLAN IP 地址 这 4 个 VLAN 是相邻的 及 4 个 VLAN 组合起来是个大的 VLAN VLAN 的大小是根据子网掩码 MASK 来决定的 同样的道理 在每个分支路由器也需要通过调整子网掩码 MASK 把 VLAN 再 进一步划分成更小的 VLAN 经过这种层层细分 VLAN 形成一个层次化的树 型结构的 TCP IP 网络 有利于 IP 地址的管理和扩充 优化路由交换地址 表 以实现数据包有序高效转发 11 3 3 XX 基地网络结构及 IP 规划3 3 XX 基地网络结构及 IP 规划 12 核心层核心层 VLAN 分布层分布层 VLAN IP 子网子网 数据中心 VLAN 192 168 30 0 255 255 254 0 中心楼 VLAN 192 168 16 0 255 255 254 0 科研楼 VLAN 192 168 18 0 255 255 254 0 1 2 3 栋 VLAN 192 168 20 0 255 255 254 0 科研中心 VLAN 192 168 16 0 255 255 248 0 4 5 栋 VLAN 192 168 22 0 255 255 254 0 1 4 栋 VLAN 192 168 24 0 255 255 255 0 5 9 栋 VLAN 192 168 25 0 255 255 255 0 10 16 栋 VLAN 192 168 26 0 255 255 255 0 1 区 VLAN 192 168 24 0 255 255 252 0 厂房 VLAN 192 168 27 0 255 255 255 0 栋 VLAN 192 168 28 0 255 255 255 0 2 区 VLAN 192 168 28 0 255 255 254 0 车库维修室 VLAN192 168 30 0 255 255 255 0 以上 VLAN 合集为 192 168 16 0 255 255 240 0 共计 16 个标准子网组成 13 第四章 网络设备及网络管理方案第四章 网络设备及网络管理方案 4 1 网络设备选型分析网络设备选型分析 在进行网络设备选择时 主要须考虑三个因素 设备性能 性能价格比 生产厂商的技术支持能力 规模和发展前景 根据前面网络设计原则和技术分析 本着用户的实际需求情况 重点对核心层和分布层的骨干交换机进行分析选型 通过对几大主流 网络厂商北电 思科 凯创的网络产品性能价格分析和管理的易用性 分析 本方案选用北电网络 Nortel Networks 系列产品 北电网络的 Passport 产品系列能够有效帮助企业和服务供应商 降低成本 简化网络 同时确保网络的高可靠性及可用性 北电网络的 Passport 8600 路由交换机可以为企业和运营商提供 高密度 高性能的 2 7 层交换 路由及流量分级 北电网络的 Passport 1600 系列是基于硬件的第三层路由交换机 为带宽需求较高的应用提供最大限度的质量保证和数据安全性 北电网络的 Baystack 系列交换机是一种堆叠式 10 100 1000 第二 层网管型交换机 它同时具备较高的端口密度与较低的端口价格 适 用于中小型企业及分支机构 14 综上所述 北电网络拥有世界上最先进的网络技术和网络产品 特别 是在千兆路由交换交换技术 北电网络产品均采用标准开放技术 满足各 种不同层次的企业网高性能 可用性和互操作性要求 因此本方案推荐使 用北电网络两款高性能骨干路由交换机和可管理堆叠工作组交换机来构件 整个园区网络的三个层次体系 4 1 1 核心层骨干交换机 核心层骨干交换机 Nortel Nortel Passport 8000 4 1 1 1 Passport8000 设备说明 4 1 1 1 Passport8000 设备说明 Passport 8000 交换机的配置是由北电网络 领先业界 市场一流的 Optivity 网络管理系统和北 电网络企业产品系列的通用命令界面 CLI 支持 每 个Passport 8000交换机端口可以支持4组远程监控 RMON 和Conversation Steerting 以便与Optivity 中基于 Web 的帧测器一同使用 是网络管理人员无需 离开办公桌便可诊断网络故障 Passport 8000 系列提供了高性能 高密 度的线速第 2 层和第 3 层交换以太网解决方案 借助分布式交换结构 Passport 8000 可以提供前所未有的故障恢复功能和可用性 通过支持以 太网第 2 层和第 3 层交换技术 路由交换技术和多业务 LAN WAN 连接 它 可以实现投资保护 同时 它可以支持高达 128Gbps 的交换容量 将来可 以扩展到 256Gbps 15 高可用性 高可用性 全冗余机柜 N 1 电源 双重风扇托架 可选用 AC 或 DC 电源 电源及风扇托架等机柜组件的热交换 交换矩阵 CPU 模块的热切换 使用 MLT 和 LinSafe 具有恢复功能的上连到骨干网和服务器的连接 增强型生成树 FastStart 以缩短第 2 层链路上的会聚时间 虚拟路由冗余协议 VRRP 提供负载平衡和 Passport 8600 中缺省网关故 障的自动恢复 操作简便性操作简便性 所有机柜组件 包括系统和接口模块 都可以从机柜前端接入 可扩展到 128Gbps 的交换容量 将来可扩展到 256Gbps 24M 96M 个数据包 秒的无阻塞的线速交换 Passport 8600带有eXPress Classification XC 线速过滤支持基于第 2 3 或 4 层信息的安全性及业务分级 MLT 集合最多 8 个端口构成一条 Passport 8000 中容量高达 16Gbps 高性 能链路 从而提高上连 Uplink 骨干网和服务器 的可扩展性 使用标准的 IETF 协议的高效 自动组播应用控制 Passport 8000 中每 台交换机硬件最多可扩展到 16 000 个组播群 支持 Optivity 设备 网络 配置和业务级别管理 包括通用命令行界面 支持 Optivity 端到端策略管理 每端口最多支持 8 个队列 Passport 8600 支持 IEEE 802 1P 业务分级 16 和 IETF 差分业务 投资成本低 投资成本低 面向未来的机柜 支持将来的技术 机柜 电源 风扇托架和接口模块使用 基于 Web 的 Optivtiy 设备和网络管理 支持 Optivity 端到端策略管理 4 1 1 2 Passport8000 配置说明 4 1 1 2 Passport8000 配置说明 北电 Passport 8000 系列根据机箱模块插槽 Slot 数量分为 8003 3 slot 8006 6 slot 8006 6 slot 和 8010 10 slot 三种型号 其中 slot1 和 slot2 是 专用于主 备 CPU 核心模块 其他 slot 用于以太网接口模块 如图 本方案核心层网络主干包括 5 条主干光纤 Passport8000 的千兆光 纤模块有 8 个接口 因此只需要配置 1 块 千兆 GBIC 模块就足够满足目前 和未来扩展的需要 这样计算下来 CPU 模块加光纤模块占用 3 个 slot 因此本方案建议使用 6 slot 的 passport 8006 型号 余下的 3 个 slot 可 以再配置 100M 或千兆以太网络模块进行网络扩展 17 核心层设备详细配置 共占用 4 个模块插槽 部件名称 产品号 详细配置 核心层设备详细配置 共占用 4 个模块插槽 部件名称 产品号 详细配置 主机箱 DS1402002 8006 6 slot chassis 6 槽机框 双背板 双风扇 双电源槽位 核心软件 DS1410003 3 Passport 8000 路由交换软件许可 电源 DS1405F08 8004ACPS 100 240 VAC 大陆用交流电源模块 2 个 CPU 模块 DS1404025 Passport 8691SF Routing Switch Module CPU Switch Fabric module 路由交换引擎 2 个 光纤模块 DS1404038 Passport 8608GBE Routing Switch Module 8 口 1000 Base GBIC 模块 短程 GBIC AA1419001 1 口短波千兆多模 GBIC 550M 1 个 长程 GBIC AA1419002 1 口长波千兆单模 GBIC 5000M 4 个 服务器主干 DS1404044 Passport 8608GTE Routing Switch Module 8 port 1000BASE T Gigabit Ethernet interface module 4 1 2 分布层主干交换机分布层主干交换机 Nortel Passport 1600 Nortel Passport 1600 4 1 2 1 Passport1600 设备简介 4 1 2 1 Passport1600 设备简介 Passport 1600 是一种 基于硬件的第 3 层路由交换机 它采用 1 个机架单元高度的设计 为 融合网络应用提供了高弹性 性能和安全性 主要功能 主要功能 增强网络核心的弹性 提供跨交换机多链路中继 SMLT 支持冗余负载均衡 高应用性能 借助线速路由和 QoS 机制 无拥塞交换体系结构和 硬件路由可减少因交换机流量负载增加导致的数据包丢失现象 18 高达 24G 48G 交换容量和 18M 36M 数据包 秒的无拥塞线速交换 确保网络流量的安全 支持 SNMPv3 SSH TACACS 和 RADIUS 4 1 2 2 Passport1600 设备配置 4 1 2 2 Passport1600 设备配置 Passport1600 系列是非插槽式的固定配置模块化设备 根据 模块接口的数量和类型分为 1612G 12 口千兆 GBIC 1624G 24 口千 兆 GBIC 1648T 48 口 100 兆 如图所示 科研区和 2 区分支较少 配置 Passport1612G 1 区分支众多 需要配置端口较多的 Passport1624G 19 分布层详细配置 分布层详细配置 分布层区域 产品号 详细配置 分布层区域 产品号 详细配置 DJ1412F04 Passport 1612G 12 口千兆三层交换机 冗余电源 科研区 AA1419014 1000Base SX 短程 GBIC 5 个 包括上联核心层 1 个 GBIC DJ1412F04 Passport 1624G 24 口千兆三层交换机 冗余电源 AA1419014 1000Base SX 短程 GBIC 7 个 1 区分布层 AA1419015 1000Base LX 长程 GBIC 7 个 包括上联核心层 1 个 GBIC DJ1412F04 Passport 1612G 12 口千兆三层交换机 冗余电源 AA1419014 1000Base SX 短程 GBIC 3 个 2 区分布层 AA1419015 上联核心层 1000Base LX 长程 GBIC 1 个 4 1 3 接入层设备接入层设备 Nortel Bay425 4 1 3 1 Bay425 设备简介 Nortel Bay425 4 1 3 1 Bay425 设备简介 BayStack 425 24T 交换机具 有 24 个 10BASE T 100BASE TX 自感 应端口 2 个灵活的 Combo 上行链路端口 内置堆栈端口 它既可单 独使用 也可在 8 台交换机的堆栈中使用 并作为一个单元轻松管理 支持 192 个 10 100 Mbps 端口 主要功能 主要功能 1 经高效的10 100M以太网交换机提供24个10BASE T 100BASE TX自 感应端口 2 个灵活的GBIC 1000BaseT上行链路端口 内置堆栈端口 无需购买级联模块 从而降低了成本 2 可扩展 可堆栈的体系结构使用户能使用千兆电缆连接8台交换 机 支持多达192个端口 20 3 提供两个灵活的上行链路端口 用于高速连接到布线柜或骨干网 设备 借助16千兆 秒 Gbps 的交换矩阵和专用集成电路ASIC 能提 供高达每秒转发660万个数据包的线速性能 4 基于WEB的轻松管理 提供整个设备的摘要 配置 故障 统计 应用 管理和支持网页 实时取样信息 5 高安全性 Basy425交换机具备最高级安全功能 包括Secure Shell SSH V2 0 基于IEEE802 1x的安全接入验证 SNMP3 0 基于MAC地址安全 远程验证拨入 RADIUS 6 端口监控功能将某个交换机端口指定为特定端口的流量监控器 端口镜像可以复制流入特定端口的信息包 并将复制数据发送到镜像 端口进行分析 从而解决网络问题并优化网络 4 1 3 2 Bay425 设备配置 4 1 3 2 Bay425 设备配置 接入层交换机是直接和客户计算机连接 每栋楼内用户众多 因此 为了能提供众多用户接入 每栋楼内都需要 使用好几台交换机 Bay425 交换机内置堆栈 端口的堆叠功能将所有交换机合成一个逻辑 整体 具有以下优势 1 堆叠而成的交换机集合可以看作是 一个高端口密度的逻辑交换机 只需对该逻辑组合设置 IP 就可以对 交换机集合和每个单独的交换机进行管理 2 堆叠而成的交换机集群总交换容量是每个交换机 16G 相加 之总合 因此综合性能将达到极限的高度 21 3 最多达 8 个交换机 每个 24 口的堆叠组合提供 192 个接入已 经能最大限度的满足普通建筑物楼内信息点的接入 接入层交换机详细配置 接入层交换机详细配置 接入层 产品号 详细配置 接入层 产品号 详细配置 AL2012F41 BayStack 425 24T Switch 24 10 100 Base TX 2 uplinks 1000Base SX 短程 GBIC 上联分布层 500 米 或 1000Base LX 长程 GBIC 上联分布层 500 5000 米 每栋楼接入 交换机堆叠 BayStack 420 Stack Cable 30 厘米或 100 厘米 4 2 网络管理系统设计网络管理系统设计 4 2 1 网络管理选型网络管理选型 随着网络技术的普及 各企业都竞相上网 网络规模日益扩大 网络产品也越来越丰富 对大型企业来说 网络规模较大 网络结构复杂 一旦网络出现 故障 查找和维护起来都很困难 对小型企业和 SOHO 用户来说 他们技术水平不高 聘请专业网络管理员费用太高 因此 网络管理 软件已成为网络必不可少的一部分 正如市场上网络产品种类繁多一样 网管软件的种类也很多 不 同厂家都纷纷推出自己的网管软件 如何选择网管软件 已成为越来 越多的用户关心的话题 首先我们先讨论一下网管软件的结构组成 网管软件一般都支持 SNMP 简单网络管理协议 能与网络厂商的网管专业程序集结合 22 并提供 MiB 管理信息基地 RMON 远程监控 等功能 SNMP 简单网络管理协议 是一种广为执行的网络协议 它使 用嵌入到网络设施中的代理软件来收集网络的通信信息和有关网络 设备的统计数据 代理软件不断地收集统计数据 并把这些数据记录 到一个管理信息库 MiB 中 网管员通过向代理的 MiB 发出查询 信号可以得到这些信息 这个过程叫轮询 polling 虽然 MiB 计数 器将统计数据的总和记录下来了 但它无法对日常通信量进行历史分 析 为了能全面地查看一天的通信流量和变化率 管理人员必须不断 地轮询 SNMP 代理 每分钟就轮询一次 这样 网管员可以使用 SNMP 来评价网络的运行状况 并揭示出通信的趋势 如哪一个网段接近通 信负载的最大能力或正使通信出错等 先进的 SNMP 网管站甚至可 以通过编程来自动关闭端口或采取其它矫正措施来处理历史的网络 数据 然而 SNMP 轮询有个明显的弱点 它没有伸缩性 在大型的 网络中 轮询会产生巨大的网络管理通信量 因而导致通信拥挤情况 的发生 它将收集数据的负担加在网络管理控制台上 管理站也许能 轻松地收集 8 个网段的信息 当它们监控 48 个网段时 恐怕就应付 不下来 RMON MiB internet 工程特别小组 iETF 于 1991 年 11 月公布 RMON MiB 来解决 SNMP 在日益扩大的分布式网络中所面临的局限 性 RMON MiB 的目的在于使 SNMP 更为有效 更为积极主动地监 控远程设备 RMON MiB 由一组统计数据 分析数据和诊断数据构 成 利用许多供应商生产的标准工具都可以显示出这些数据 因而它 23 具有独立于供应商的远程网络分析功能 RMON 探测器和 RMON 客 户机软件结合在一起在网络环境中实施 RMON RMON 的监控功能 是否有效 关键在于其探测器要具有存储统计数据历史的能力 这样 就不需要不停地轮询才能生成一个有关网络运行状况趋势的视图 RMON MiB功能组 功能框可以对通过RMOM MiB收集的网络管理 信息类型进行描述 探测器的过滤功能使它根据用户定义的参数来捕 获特定类型的数据 当一个探测器发现一个网段处于一种不正常状态 时 它会主动与在中心的网络管理控制台的 RMON 客户应用程序联 系 并将描述不正常状况的捕获信息转发 网管平台软件的主要作用是收集网络设备的硬件信息 通过这些 网管软件可以观看网络拓扑图 设置警报等 由于各厂家都只提供管 理自己产品的 MiB 库 因此当我们使用 Nortel 或 Cisco 等厂商的网 管软件时 它们都自带 MiB 库 其中装有本厂家产品的硬件信息 通过网管平台虽然能发现不同厂商的产品 但是它们只能识别本厂家 的产品 除此之外 各厂家都有自己的网管设置分析软件 例如 3Com 的 Trensand Cisco 的 Ciscoworks 北电的 Optivity Cabletron 的 Spectrum 等 它们可帮助网络管理员分析网络流量 甚至交换机 路 由器各端口的流量 因此 选择网管软件时 应遵循以下原则 1 该种网管软件是否支持 SNMP RMON 等网络管理协议 2 是否基于网管平台软件之上 3 网管软件的厂商要和网络产品的厂商 Nortel 相对应 因此 本方案采用 Nortel Networks Optivity NMS 来构建 XX 基地园区网络 24 管理系统 4 2 2 Nortel Networks OptivityNMS 管理功能管理功能 Nortel N Nortel NetworksOptivityNMS 是一个功能强大而且易于使用的 业界管理解决方案 提供一套开放综合的网络管理方案 OptivityEnterprise 系列网络管理产品 Optivity 局域网 Optivity