论大中型网络的逻辑网络设计.doc

论计算机网络的规划和设计【摘要】 工作背景，项目背景，担任职责。我在某高校网络中心工作，2005年初，学校需要建设一个新的校区，新校区的网络进入规划和设计阶段。在这个项目中，我作为网络中心的技术骨干，我主要担任新校区网络的整体规划和设计工作。项目总体介绍。采用技术介绍。文章框架。本文以我校新校区网络建设为背景，介绍了新校区的网络规划和新老校区网络互连方案。新校区采用万兆以太网技术组建核心层和分布层，接入层则采用100Mbps/1000Mbps自适应技术。首先介绍以需求为导向分析采用技术的依据，然后分析IP地址、VLAN规划和网络层次设计，以及在此基础上的路由规划和安全设计。新校区的网络建设和全网核心改造达到了预期的目标和要求，从2006年8月运行至今，达到了规划设计的要求，满足了教学办公科研等各方面的需求。最后分析了存在的问题及改进的方向。【正文】总分总。每段以一句总起。需求分析我在某地方高校网络中心工作，随着我校教育规模的不断扩大，原设计容纳5000在校生的校园已经远远不能满足15000人目标的要求，因此，学校于2005年初启动新校区建设，两个校区间相距50公里。由于原校园网是2000年建成并投入使用的，无论是网络规模、网络结构、设备档次，还是用户数量和应用数量，都处于缓慢增长的阶段。因此在这一阶段校园网发展主要是局部的升级和改造，以适应需求不断增长的情况。随着新校区建设的起步，并且以后是以新校区为主的一种格局，所以新校区的规划主要考虑以下几个关键因素：满足10000个信息点的规模需求；技术上可以平滑升级和具互操作性；校园网拥有一个稳定、高速、安全的核心；保护原有的投资，最大化现有投资的性价比。在这个项目中，作为网络中心的技术骨干，我主要承担了网络整体规划与设计工作。2006年8月新校区网络投入运行以来，取得了良好的效果。1. 总体设计方案基于对原校园网的管理和应用上的各种认识，同时参考主流技术和整体投资情况，规划采用万兆以太网技术构建新校区的骨干网络，标准三层网络架构。万兆以太网(IEEE 802.3ae)技术可以保证和原有千兆校园网的兼容，满足了现有网络应用的需求，并在技术上保持一定的先进性，具备进一步发展的扩展性和灵活性。三层网络架构使得网络结构变得更加清晰，功能设计完备，由核心层提供充分的可达性和数据的高速交换；分布层可以隔离网络拓扑结构的变化，隐藏核心层和接入层的细节，提供路由汇聚和流量聚合；访问层可以很好地实施相应的接入控制策略。校园网和新校园网络如下图所示：新校区核心采用2台华为3com的S8512路由交换机万兆互联，并且以租用两对裸光纤的方式分别与老校区的Cisco6509和Cisco4006以1000Mbps互连，构成一个具有强大交换能力和链路冗余备份的核心层网络，分布层以三个楼群为基础，采用华为3com的S6506R与核心层设备冗余互联，接入层则采用了华为3com的S3952P-SI堆叠和E050，具有较高的端口密度和接入控制能力。校园网总的出口设备从原来的Cisco3745和天融信防火墙，升级到华为的NE40-8和Secpath1800F，同时Cisco3745则仅作为教科网出口接入省节点。出口带宽由原来的教科网2Mbps升到100Mbps，电信出口由300Mbps升到1000Mbps，以满足网络流量不断增长的需要。2. IP地址规划和逻辑设计、路由规划、网络安全对于大型校园网，其结构相当复杂，因此如何从逻辑上进行好的规划和设计，将对网络的流量、安全和管理产生很大的影响。首先，IP地址的分配策略应该有利于路由的汇聚和流量的聚合。我们学校共申请到教科网的24个C类地址段，接入电信网络分配到的32个地址。因域名是教科网的名称，所以所有对外的域名都会解析为教科网的地址，我们把一个C类地址分成二个vlan，一个vlan对外提供公共服务，一个为数字化校园建设使用。电信的IP地址用作电信接入NAT服务和对外服务地址的NAT映射。其他的IP地址分配按区域逐层分配，以分布层交换机可汇聚为原则。教学实验行政办公区采用教科网的真实IP地址，学生区采用内部地址。其次，VLAN的合理布局利于抑制广播流量，减少安全事件的发生。VLAN的划分主要是基于大楼和楼层，以地理范围接近为原则，采用基于端口的VLAN技术。VLAN的大小考虑子网的实际需求，保留一定的余量。VLAN的网关原则上设置在接入层或分布层上，不允许设置在核心层交换机上，这样既有利于减少广播流量，亦可减少近几年如ARP病毒泛滥造成的网络瘫痪。第三，路由规划和网络安全。路由的规划既要基于IP地址分配和网络的分层，又要实现稳定的核心和高速交换。在良好的IP地址分配策略、VLSM和VLAN配置下，路由表中的条目可以达到最少，保持路由的稳定和高效，又保证内网数据交换的高速进行。我们在内部网络采用了OSPF路由，并且由边界路由器NE40-8向内部网络路由重分布，在核心层，即使可能发生单台设备或者单链路故障，也会保证路由的快速收敛和可达性。全网的边界路由由NE40-8实现，在其上根据出入两个方向实现不同策略的路由。因为教科网带宽的有限及电信带宽的充裕，因此我们在出路由上采用静态方法，即凡是访问教科网的从教科网出口走，其他的采用默认路由走电信线路。校外用户访问校内公共服务，针对不同的访问者，采用基于分区解析的域名解析技术；教科网访问者解析给教科网的IP地址，访问流量从教科网线路进入；其他访问者解析给电信的IP地址，访问从电信线路进入，在电信线路secpath1800F上进行NAT转换。这样的实现结果即很好地解决了域名解析的问题，又解决了两个出口的流量负担问题，充分地利用了带宽资源，提高了出入两个方向的网络访问速度，达到了很好的设计效果。处于边界点的Secpath1800F和Cisco3745主要负责NAT和内外网间的安全策略。内网的安全采用其他措施实现，如对服务区的访问控制、安全补丁服务、网络版杀病毒服务、主机系统安全等，以及做好安全管理制度的建设和执行。3. 项目的实现效果和存在的问题新校区的网络按照规划部署实施，于2006年8月投入运行至今，达到了规划设计的要求，满足了教学办公科研等各方面的需求。校园网的建设是一个动态的过程，目的是为了满足应用的需