【网络工程规划与设计案例教程】项目三_任务二_靳安市电视台园区网网络出口设计方案

1、靳安市电视台园区网网络出口设计方案湖南工业职业技术学院 网络技术专业教学资源库目 录1.建设目标及需求分析11.1概述11.2系统建设目标及需求分析12.网络设计22.1网络核心设计32.2网络接入层设计42.2.1各楼层接入设计42.2.2与彩田、怡景基地的网络连接52.2.3vpn远程接入方案设计52.2.4拨号接入方案72.3虚拟网络（vlan）设计及实现82.3.1vlan的优点82.3.2vlan trunk的实现92.3.3vtp技术的应用92.3.4vlan的划分原则92.3.5vlan间通信10111. 建设目标及需求分析1.1 概述靳安市电视台于1983年筹建，1984年元旦

2、正式开播；靳安有线广播电视台1994年成立。2009年3月，原靳安市电视台、与原靳安有线电视台实行整建制合并，组建成新的靳安市电视台。靳安市电视台现拥有怡景、彩田、深南、圣庭苑四大发展基地，包括电视业、网络业、广告业、报纸业、会展业、影视业等。正在建设中的某电视中心位于某市中心区，拥有先进的电视工艺系统，计算机网络系统、自动化播出系统、通讯系统、编辑系统以及办公自动化系统，是一个高智能型的电视中心。 靳安市电视台在技术上全面实行数字化和网络化。新闻综合频道的采编系统全部采用数字设备，全台共有3个非线性编辑网络为节目制作提供服务，有4个频道的播出已采用硬盘播出系统。靳安市电视台控股的天星视讯股份

3、有限公司是以有线广播电视传输、各类信息数据传输、住宅智能化服务为主业的高科技企业， 现己铺设光缆2950多公里，合计11万多纤芯公里。2009年10月1日开始，靳安市电视台数字电视在天星有线电视网试播，同时传输1套高清晰度数字电视节目和78套标准清晰度数字电视节目。 2009年底，靳安市电视台总资产达18亿人民币，比两台合并资产整合基准日2009年6月30日的总资产增长10.88；净资产增长16.07；广告经营总额比两台合并前的2008年两台的广告经营总额增长26.3。2010年上半年，全台广告经营超额完成任务。靳安市电视台的事业发展跃上了新台阶。新的电视台中心将在2011年上半年竣工；靳安市

4、电视台影视制作基地正在进行紧张的前期工作。 天星公司有线电视综合信息网络的运行速度和质量在不断提高，其股份制改造上市工作正在紧张筹备之中；靳安电视报在本市报刊发行中排名第六，在本地平面媒体中排名第五，正逐步成为当地报业的强势媒体之一。通过一系列的参股，控股等资本运营工作，靳安市电视台逐步实现了产业结构的多元化。 为适应不断的发展需求，靳安市电视台在技术上全面实行数字化和网络化，力求建设成为一个先进的多媒体数字化信息网络中心。1.2 系统建设目标及需求分析本次所建设的网络系统是靳安市电视台信息化的网络基础平台，是一个能连通某电视中心所有计算机终端、应用信息系统和其他相关it 应用的计算机网络。它

5、包括各种网络硬件设备、通信线路、将它们互连起来的拓扑结构，以及为了使自身能更好的运作而建立的网络安全系统、管理系统和相关管理测试工具；同时还要考虑和靳安市电视台在某市内的其他几个基地（怡景、彩田）计算机网络的城域范围内互联互通；本次项目一期不包括在其上运行的各种信息系统和it应用，但其建设目标就是能为各种it应用提供统一的稳定可靠、高效安全的网络服务。总的来说，系统的基本目标为：l 充分利用现有设备和资源，最大程度地发挥其作用。l 建成目前先进的多媒体网络系统，连接彩田、怡景两大基地，充分实现网络资源共享。实现千兆网络主干，百兆交换到桌面。l 系统安全性。设置防火墙，并全面部署防病毒系统，提供

6、全面病毒防御；设置ids系统，实现黑客入侵检测功能。l 远程接入系统。对远程授权客户的合法访问提供拨号接入和vpn远程访问接入功能。l 全面的网管系统。建立网管系统，为网管中心提供简便、强大的网络管理功能。并为网管中心提供线缆测试工具。l 建立internet/intranet环境。通过100mb宽带城域网接入internet，保证应用服务24小时安全不停机。利用宽带资源实现电视台本地的internet web和mail服务。建立以信息交换、信息发布和信息查询应用为主的电视台网络信息应用基础平台，为电视台的领导决策、办公系统管理和行政管理提供支持手段。本网络平台建立在中心大楼已定标的综合布线系

7、统基础上，全楼共28层，计算机中心机房（主配线间）设于第13层，有23个分配线间分布在各个楼层，主配线间同时用作第13层配线间。整个综合布线系统数据主干（垂直子系统）采用六芯多模光纤，水平采用ibdn 6类4800系统非屏蔽双绞线及多模光纤，系统总信息点为4510个，光纤直接到桌面点（从分配线间到桌面）为306个。在本项目中考虑要具体实施的网络端口总容量要求达到1500，即要求能满足1500个网络终端节点同时接入到网络中来。2. 网络设计整体网络拓朴如图1所示：图1 网络拓扑图2.1 网络核心设计靳安市电视台的网络中心，数据吞吐量将非常大，对交换机的稳定性及性能要求非常高。建议核心采用2台ci

8、sco 6509交换机作为核心交换机，核心交换机之间采用cisco的gigabit ethernet channel技术，提供高达4g的连接带宽。两台核心交换机之间互为备份，分担负载，结合spanning tree技术和hsrp技术，任何一台核心交换机发生故障，网络可以在短时间内恢复正常。核心交换机上配置有三层交换，提供vlan之间的路由和网络安全控制。每台核心6509交换机都配置了双电源，每台核心交换机配置2个ws-sup720管理引擎，其中一个引擎作为主引擎，另一个作为备份引擎，当主引擎出现故障时，备份引擎将接管主引擎进行工作，接替工作将在几秒钟内完成。ws-sup720是cisco最新的

9、控制引擎，其支持高达720gbps交换矩阵，整机包转发率高达400mpps，每个插槽可提供40g的带宽。支持ipv6、mpls、nat、gre等特性。6509支持冗余管理引擎，所有的模块支持热插拨，支持国际标准radius认证，支持多级user/password设置，支持组播igmp、dvmrp协议，支持视频传输。能够实现很好的qos，支持基于l2、l3、l4的数据分类，cisco interswitch link（isl）和802.1p帧或layer 4端口编号这样的layer 2、3、4信息，可以使qos策略得到强化。支持cbq、wfq、cbwfq、llq等队列。6509支持开放最短路径优

10、先（ospf）、内部网络路由协议（igrp）、增强igrp（eigrp）、路由信息协议（rip）、rip ii、边界网关协议 4（bgp4）；中间系统到中间系统（is-is），ipx rip或者eigrp每台核心交换机配置2个ws-x6516-gbic模块，可提供32个千兆光纤接口，支持23个楼层交换机千兆上连，1个ws-x6548-rj-45模块，提供48个10/100端口，连接服务器、网管工作站。1000base-sx模块（ws-g5484）24个，其中一台核心交换机6509配1个1000base-lx模块（ws-g5486）连彩田基地， 配1个1000base-zx模块（ws-g5487

11、）连怡景基地，其它千兆gbic端口预留。2.2 网络接入层设计2.2.1 各楼层接入设计接入层交换机主要为电视台各楼层网络终端、工作站提供10/100m的以太网连接，根据电视台网络需要，推荐性价比好的接入层交换机catalyst ws-2950g-48-ei，catalyst 2950g-48-ei具备13.6gbps的交换背板和最大10.1m pps的数据吞吐率。每个交换机配置虚拟lan（vlan）来获得更高水平的数据安全性和增强的lan性能。这就保证了数据包只传送到特定vlan内的工作站，这样相当于在网络上的各组端口之间建立了一个虚拟防火墙，从而减少了广播传输。每个vlan生成树（pvst

12、+）允许用户建立冗余的上行链路，通过多重链路分配流量负载。另外，cisco的uplink fast（快速上行链路）技术也保证了可以立即传输到辅助上行链路，远优于传统的30到60秒汇集时间。catalyst 2950交换机能够实现介质访问控制（mac）基于地址的端口级安全性可以防止未授权的工作站访问交换机。catalyst 2950系列是一个可伸缩的可堆叠10/100 和千兆位以太网交换机系列，它允许从单一ip地址管理所有 cisco 交换端口，并为互连的交换机提供一个独立高速堆叠总线。对于需要光纤到桌面的楼层，可配置一台ws-c3550-12g交换机，并将3550-12g加入到堆叠中。ws-3

13、550-12g有10个gbic端口、2个10/100/1000端口，其中两个千兆口光纤用作堆叠，可满足8个光纤到桌面的千兆连接。对于需要光纤到桌面比较多的楼层，可以考虑采用模块化的交换机，如4500系列。按照各楼层信息点的多少，分配交换机数量。（详见分配表）各配线间交换机作堆栈后，上连网络中心的核心层6509交换机。2950交换机最多可堆叠9台。catalyst 2950交换机有两种堆叠方式，如图2所示：图2 交换机两种堆叠方式在本方案中，我们选择第一种菊花链的堆叠方式，同一配线间内部的交换机之间通过堆叠电缆连接在一起，其中两台交换机通过光纤分别连接到核心层的6509交换机上。2.2.2 与彩

14、田、怡景基地的网络连接其中一台核心交换机6509配1000base-lx模块（ws-g5486）1个，连彩田基地，ws-g5486可支持10公里的距离；配1000base-zx模块（ws-g5487）1个，连稍远的怡景基地，ws-g5487可支持70公里的距离。这样将彩田、怡景基地的网络直接通过千兆光纤和核心层连接起来，提高访问服务器的速度，方便应用程序的运行。2.2.3 vpn远程接入方案设计一般说来，vpn就是指利用公共网络，如公共分组交换网、帧中继网、isdn或internet等的一部分来发送专用信息，形成逻辑上的专用网络。目前，internet已成为全球最大的网络基础设施，几乎延伸到世

15、界的各个角落，于是基于internet的vpn技术越来越受到关注。利用vpn（主要介绍ipsec）在某市电视台网络和相关客户（或移动用户）间建立安全通道，可保证数据传输安全。我们在电视台网络中可用pix525防火墙作为vpn网关，由于配置了vac（vpn硬件加速卡），能够提供达100 mbps的吞吐量和2000个ipsec隧道。如图3所示：图3 vpn远程接入在本设计方案中，远程移动用户只需安装ciscovpn客户端软件，通过拨号上网或其它方式连接internet后，再通过虚拟vpn拨号方式与靳安市电视台内部pix525vpn网关建立一条ipsec加密隧道，并通过服务器的授权认证，即可与本部建

16、立互联，进而得以访问相应内部网络资源。利用vpn，电视台内部远程出差用户或分布在各地的分支机构及合作伙伴能够以更低的成本安全地访问电视台网络，同时，使用internet访问可以大大降低通过专线或其它专用网络相关的电信费用。电视台也可不需要建立大型的modem池和访问服务器来处理远程的拨号用户，而这些都是需要花费大量资金并且让管理员头痛的事情。现在，只需要向isp进行本地呼叫，用户就可以通过internet安全的访问专用的电视台intranet。pix 525实现了在internet或所有ip网络上的安全保密通信。它集成了vpn的主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可

17、扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。525可以同时连接高达4个vpn层，为用户提供完整的ipsec标准实施方法，其中ipsec保证了保密性、完整性和认证能力。对于安全数据加密，cisco的ipsec实现方法全部支持56位数据加密标准（des）和168位三重des算法。vpn有三种解决方案，用户可以根据自己的情况进行选择。这三种解决方案分别是：远程访问虚拟网（accessvpn）、企业内部虚拟网（intranetvpn）和企业扩展虚拟网（extranetvpn），这三种类型的vpn分别与传统的远程访问网络、企业内部的intranet以及企业网和相关

18、合作伙伴的企业网所构成的extranet相对应。 本方案主要使用accessvpn。 accessvpn通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。accessvpn能使用户随时、随地以其所需的方式访问企业资源。accessvpn包括模拟、拨号、isdn、数字用户线路(xdsl)、移动ip和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。如图4所示： 图4 aceessvpn结构图accessvpn最适用于公司内部经常有流动人员远程办公的情况。出差员工利用当地isp提供的internet服务,加上安装的vpn客户端软件，就可以和公司的vpn网关建立

19、私有的隧道连接。radius服务器可对员工进行验证和授权，保证连接的安全，同时负担的电话费用大大降低。 accessvpn对用户的吸引力在于： * 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络； * 实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用； * 极大的可扩展性，简便地对加入网络的新用户进行调度； * 远端验证拨入用户服务（radius）基于标准，基于策略功能的安全服务； * 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来。 2.2.4 拨号接入方案除了提供vpn远程拉入方式外，本方案设计还提供拨号接入方式。外出

20、移动用户可利用pstn网络方便的拨号进入服务器，输入相应的用户名及密码，就可以根据所授权限访问相应的内部网络资源。1、设备选型本方案选用思科近期捆绑销售产品as3745-e1-60 ，带2x nm-30dm模块，可支持60路拨号接入，并可扩充相应模块，以满足今后的扩展需求。cisco 3700 系列应用服务路由器 (application service router) 是一系列全新的模块化路由器，可实现新的电子商务应用在集成化分支机构访问平台中的灵活、可扩展的部署。cisco 3700 系列支持cisco avvid (语音、视频和集成数据体系结构)，而 cisco avvid 则是一种覆盖

21、整个企业的、基于各种标准的网络体系结构，它可为将各种商业和技术战略组合成一个聚合模型奠定基础。2、用户端设置用户端包括远端出差在外的员工。首先在windows98/2000/xp系统中进行模拟调制解调器的硬件设置，具体设置可以参考调制解调器的使用手册。然后在控制面板的网络和拨号网络中新建一个拨号连接，输入电话号码，用户名和密码，点击连接，进行拨号验证后可进入电视台内部局域网，并可对相关授权资源进行访问。3、访问控制服务器的设置 远程访问最大的问题之一就是安全。为了保证内部资源的安全，我们可采用cisco安全访问控制服务器， cisco安全访问控制服务器是对用户进行身份验证的软件产品，支持远程认

22、证拨号用户服务（radius）和tacacs+。tacacs+是一种安全应用程序，它为用户获得对路由器或网络访问服务器的服务提供集中化的验证。tacacs+服务在tacacs+后台程序的数据库中进行维护，本方案的后台程序运行在一台windows 2000 server服务器上。 在ciscosecure acs软件中设置这台windows 2000 server服务器作为aaa服务器，并且设置aaa服务器验证类型为ciscosecure acs for windows2000，即通过windows2000域用户管理器对拨号用户进行验证和管理。在windows 2000域用户管理器建立用户，将用

23、户加入user组，并给予用户拨入的权限，将这个用户作为路由器拨号用户使用。 2.3 虚拟网络（vlan）设计及实现为了便于管理，并提高网络的效率和安全性，我们对电视台网络进行逻辑设计，即划分虚拟网（vlan）。我们可按部门划分vlan，如财务部vlan、人事部vlan等；也可按楼层划分vlan，如vlan 2 对应 2层、vlan 3 对应 3、4层。这方面，可根据电视台信息系统的实际情况决定。虚拟网技术是将网络的物理基础设施与网络的逻辑基础设施相分离，使得网管人员能方便而动态地建立和重构虚拟网络，以适应今天部门机构的协作与变动，方便网络管理，降低网络管理的成本。2.3.1 vlan的优点主要

24、有下列因素促使我们采用虚拟网技术：l 一个平台多种应用。由于各个应用相互之间相对独立，各应用要求有自己独立的子网；l 提高带宽利用效率。单个网络的规模如果过大，网络中会存在大量的广播包，这些广播包会占用大量的带宽资源，为提高带宽的利用率，必须将这些广播包限制于一定的范围内；l 提高网络安全性。网络中有些信息不是向所有人开放的，必须对网络中的某些资源采取特殊的安全措施保证其安全性；l 方便网络管理。网络规模过于庞大，往往会变得不易管理和维护，通过将网络划分为一些相对独立的子网，有利于网络的管理维护工作。l 虚拟网络的划分有两种方式，可以按交换机端口划分和按mac地址划分。虚拟网的划分可以跨多个交

25、换机，也可一个交换机内划分出多个虚拟网。2.3.2 vlan trunk的实现由于需要跨越多个交换机设备进行各个vlan的传输，因此需要在交换机之间进行vlan trunk的设置。目前vlan trunk的实现技术主要有：ieee 802.10和802.1q；inter-switch link(isl)；lan emulation。cisco支持以上所有的vlan trunk技术。其中isl是cisco专有的协议，用于多个switch的连接和维护vlan信息当交通流量发生在交换机之间，在快速以太中定义。该技术的实现和ieee 802.10类似。isl技术得到了intel，hp等厂商的大力支持。

26、在本方案中我们选择802.1q来实现vlan trunk。在交换机之间采用802.1q作为vlan trunk。2.3.3 vtp技术的应用在本设计方案中，针对交换式的网络结构，采用了vtp技术vlan trunk protocol。vtp协议在一个交换机构成的网络中进行传输，将交换机上的各种vlan信息在一个vtp管理域中进行通告，可以使vtp域内的设备能动态的学习到其余设备上的vlan信息，方便管理和操作。每个交换机都了解网络中的vlan状况，所以无论是单台设备内的vlan划分，还是跨多个交换机的vlan，在本网络中都可以简单地实现。vtp协议是一个第二层的消息协议。同时，我们建议将vtp

27、管理域中的核心交换机的vtp模式设置为vtp server，其他楼层交换机设为vtp client，所有交换机处于一个vtp域中。2.3.4 vlan的划分原则我们可按部门划分vlan，如财务部vlan、人事部vlan等；也可按楼层划分vlan，如vlan 2 对应 2层、vlan 3 对应 3、4层。可根据电视台信息系统的实际情况决定。由于受到网络协议和网络管理因素影响，网络规模有一定的限制，这些限制也同样也适用于虚拟网络。依据经验值，对于只使用tcp/ip协议的网络，单个网段可以支持1000个用户，ipx协议的网络为500个用户，使用netbeui协议的网络则规模为300个用户。当单网段节点规模大于这个数目时，网络被节点广播包所淹没，网络性能一般不能为用户所接受。计算机网络由于同时有windows 客户机、windows nt服务器、（netware服务器、）unix服务器和工作站。也就是说，同时有ip，（ipx，）netbeui等协议运行于网络上，单个