学校网络系统规划与设计资料

1、学校(xuxio)网络规划与设计共七十一页网络规划(guhu)其实很难.一个合格的网络设计师需要具备如下条件：精通TCP/IP协议族中数十个协议的原理.精通N家厂商的N百种设备的性能和配置.还要具备统筹学、经济学、哲学的基本思想.丰富的实践经验和组织协调能力.对网络中的新技术(jsh)保持高度的敏感性.胆大心细、临危不乱的良好心里素质.共七十一页网络规划(guhu)其实很简单.瞎说！根本没那么恐怖：常用的协议不超过10个，了解(lioji)大概就行.主流厂商只有几家，相同厂家的产品配置相同.很多网络的模型都十分相似，照猫画虎即可.不就是画几个框框、圈几个圈圈、连几根线么.共七十一页网络规划(g

2、uhu)其实很崇高.当你进行网络规划(guhu)时，你与画“向日葵”的凡.高谱写“命运交响曲”的贝多芬唱“我的太阳”的帕瓦罗帝设计“鸟巢”的安德鲁没什么区别，因为你们都是艺术工作者！共七十一页目 录网络设计(shj)概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计共七十一页网络规划(guhu)基本原则可靠性原则从设备本身（电信级可靠性）和网络拓扑（无单点故障）两方面考虑。可扩展性原则从设备性能（是否已达到满配），可升级的能力（是否可以通过平滑的软硬件升级支持未来的新业务和新特性）和IP地址、路由协议规划等方面考虑。可运营性原则仅仅提供IP

3、级别的连通是远远不够的。网络是否能够提供丰富的业务，足够健壮的安全级别，对关键业务的QOS保证搭建网络的目的是真正能够给用户带来效益。可管理原则提供灵活的网络管理平台，利用一个平台实现(shxin)对系统中的各种类型设备进行统一管理；提供网管对设备进行拓扑管理、配置备份、软件升级、实时监控网络中的流量及异常情况。共七十一页网络(wnglu)设计规划流程设备(shbi)选型拓扑规划板卡规划物理连通路由规划IP地址规划IP连通VPN规划QoS规划策略路由高级路由协议规划业务隔离及关键业务确保带宽及流量控制网络安全部署网管规划可运营可管理的安全网络客户需求分析共七十一页需求(xqi)分析学校的情况

4、学校的规模和信息化发展的程度业务需求 分析应用系统及用户的种类和分布，确定网络带宽 明确各应用系统对网络可靠性和安全性的要求 分析对外业务交流以确定学校网络的出口结构组织结构、院内楼宇和院系分布 分析学校内楼宇和院系分布情况，确定网络核心节点、汇聚节点 现有网络情况 了解现网拓扑结构、布线情况、设备情况、应用和用户基本信息、IP地址及VLAN规划(guhu)、各设备间情况，以确定哪些基础设施可以利旧，保护前期投资内外网是否实施物理隔离 主要取决于学校的安全策略共七十一页设备(shbi)选型需要参考的因素可靠性该设备是否提供关键模块（电源、主控板）的冗余备份，具备何种级别的可靠性转发性能通常做如

5、下考虑：通过某设备的流量（该设备满配最大流量）/2。业务支持能力除了普通的IP路由功能外，是否需要该设备支持诸如(zhr)（NAT、各种VPN、策略路由）等业务属性。（CPU、ASIC、NP）端口支持是否能够提供组网所需要的端口。扩展能力是否能够提供增加板卡以及软件升级提供未来可能需要的性能支持及业务能力支持。（CPU、ASIC、NP）价格因素在综合考虑以上因素的基础上选择适当的设备。只选对的，不选贵的。共七十一页目 录网络设计概述网络拓扑结构设计板卡规划(guhu)和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计共七十一页网络拓扑层次(cngc)设计接入层汇聚(h

6、u j)层核心层高速数据交换路由汇聚及流量收敛工作组接入和访问控制网络设计分三层：核心层、汇聚层、接入层共七十一页网络(wnglu)中常用的拓扑结构星形或双星形常见于下层网络与上层之间的拓扑结构，主要的网络流量都在分支节点与核心节点之间发生，两个(lin )分支节点之间不通讯或流量很少。星型双星型共七十一页网络(wnglu)中常用的拓扑结构环形、网状或部分网状常见于同一层次（核心层或汇聚层）之间的设备互联，这些设备之间通常都是对等通信(tng xn)，或者这些设备之间需要确保互联而增加很多的冗余链路。环型网状部分网状共七十一页网络中常用的拓扑(tu p)结构混合组网在同一个网络中，不同的层次之

7、间通常采用(ciyng)不同的拓扑结构，通常核心层或汇聚层采用(ciyng)网状或部分网状相连，核心层与汇聚层或汇聚层与接入层之间采用(ciyng)星形或双星形相连。 共七十一页根据(gnj)具体需求选择网络层次和网络结构小型网络可以使用二层组网模型，大型网络建议使用三层组网模型核心层根据网络规模选择单核心结构、双核心结构或网状结构根据学校内的具体情况，确定汇聚节点的位置和数量根据不同区域的可靠性需求，选择到核心交换机的连接方式根据学校内服务器的数量，确定是否需要建设独立的数据中心根据外联需求，确定外联方案根据需求，部署(b sh)无线局域网系统共七十一页分区域进行(jnxng)网络规划VOD

8、信息管理中心(zhngxn)IP集合通信数据中心业务应用平台外出专家CISHISPACSLISRISGMISVPN专科分院社区教育教学楼图书馆楼宿舍科研楼行政楼RPR/RRPP高可靠性设备冗余链路冗余主要应用无线查房远程探视重症监控网络特点高带宽千兆到桌面主要系统PACS主要应用远程示教安全防护WLAN主要应用防火墙WLAN视频会议呼叫中心共七十一页医院(yyun)系统拓扑结构楼层(lu cn)接入交换机大楼汇聚节点交换机挂号、急诊外科门诊收费处药库房急救室手术室妇产科收费处内科门诊检验中心超声诊疗中心收费处中医科门诊耳鼻喉科门诊 口腔科门诊收费处核医学科皮肤科眼科收费处一层二层三层四层五层医

9、院核心网络路由交换机共七十一页校园楼层系统拓扑(tu p)结构楼层(lu cn)接入交换机大楼汇聚节点交换机一层二层三层。n层学校核心网络路由交换机AP图书馆阅览室APAPAPAP教师操场科研网络中心共七十一页PACS系统(xtng)拓扑结构B超CTX光机内窥镜显示(xinsh)工作站视频采集图像采集视频采集图像采集PACS服务器千兆交换机千兆交换机存储LAN容灾备份共七十一页对外互联拓扑(tu p)结构设计核心(hxn)交换机门诊中心数字影像中心住院中心汇聚交换机教育网社区学校社区学校使用专门的路由器，通过专线连接医保网通过互联网，采用IPsec VPN或SSL VPN的方式连接社区学校远程

10、移动办公路由器防火墙入侵防御共七十一页目 录网络设计(shj)概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计共七十一页设备(shbi)板卡规划设备的板卡布局也需要规划？当然！原则是：不要把所有的鸡蛋放在同一个篮子里；如果有M个鸡蛋和N个篮子，尽量把M个鸡蛋平均放在N个篮子里。使得当失去一个篮子时损失的鸡蛋数量(shling)Priority(backup)Priority(master）-Priority(reduced)监控上行端口接口地址：/24接口地址：/24虚拟网关IP地址：54/24虚拟网关MAC地址：00-00-5E-00-

11、01-VRID共七十一页DHCP相关(xinggun)的设计考虑固定IP地址段与动态分配IP地址段保持连续(linx)。动态分配IP地址的租约一般定为2-4小时。DHCP需跨网段获得IP地址时，启动DHCP-RELAY功能。禁止在同一网络上放置两台DHCP服务器。启动DHCP安全功能，禁止未通过DHCP获得的IP地址上网。共七十一页链路聚合相关的设计(shj)考虑在进行多个链路聚合设计时先要查询设备对链路聚合的支持规格(gug)。对于支持跨单板链路聚合的设备尽量配置跨单板链路聚合。使用LACP自动聚合，要先将端口的参数配置成一致。共七十一页目 录网络(wnglu)设计概述网络拓扑结构设计板卡规

12、划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计共七十一页IP地址规划(guhu)的重要性IP地址的合理规划是网络设计中的重要一环，大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率(xio l)，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准，直接看他的IP地址规划好了。IP地址规划是一项艺术创造！共七十一页IP地址规划(guhu)的基本原则唯一性：一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址

13、重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生义”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出(d ch)一个IP地址公式，以及一些参数及系数，通过计算得出(d ch)每一个需要用到的IP地址。共七十一页IP地址的分类(fn li)loopback地址loopback地址概述为了(wi le)方便管理

14、，会为每一台路由器创建一个loopback 接口，并在该接口上单独指定一个IP 地址作为管理地址，管理员会使用该地址对路由器远程登录（telnet），该地址实际上起到了类似设备名称一类的功能。同时各种上层协议需要使用TCP或UDP来建立连接时也需要使用该地址作为源地址。loopback地址规划技巧务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机。越是核心的设备，loopback地址越小。为什么核心设备要使用较小的loopback地址 ?共七十一页IP地址的分类(fn li)互联地址互联地址概述互联地址是指两台网络设备相互连接的接口所需要的地址。互联地址规划技巧务必使用3

15、0位掩码的地址。核心设备，使用较小的一个地址（即：loopback地址较小的设备使用互联地址中较小的一个）。互联地址通常(tngchng)要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。共七十一页IP地址的分类(fn li)业务地址业务地址概述业务地址是连接在以太网上的各种( zhn)服务器、主机所使用的地址以及网关的地址。业务地址规划技巧所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。增加IP地址的分配方式和优劣对比？共七十一页目 录网络设计概述网络拓扑结构设计板卡规划和设备(shbi)命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计共七十一页路由

16、协议(xiy)的规划路由协议(xiy)的选择公欲善其事，必先利其器，不能让网络规划输在起跑线上！RIP最古老的路由协议，特点：性能低下，只适合在小型的网络中使用。IGRP在RIP的基础上稍加改进，拥有(yngyu)RIP所有的缺点。 EIGRP性能不错，但却是cisco的私有协议，互通性不好。而且容易引起法律纠纷。IS-ISISO与IETF帮派斗争的产物，本来是为OSI七层模型设计，后来强行移植到IP上。OSPF是因特网上使用最为广范的IGP，强力推荐。 BGP是目前因特网上唯一的一种EGP协议。共七十一页静态(jngti)路由设计原则静态(jngti)缺省路由的设计原则InternetRou

17、te 54 /2454/24/8Route 共七十一页静态路由设计(shj)原则静态路由的备份(bi fn)与负载分担方式ip route-static preference ?ip route-static preference ?/24/24/24R1R2R3R4共七十一页OSPF规划(guhu)router id的规划直接使用该设备的管理地址(dzh)（loopback）作为router id，并且要确保该数字与ldp的lsr id相同。区域划分区域划分是OSPF规划中最核心也是最复杂的部分。OSPF的区域划分是与网络层次密切相关的，通常核心层与汇聚层规划为区域0，汇聚层的设备规划为AB

18、R，汇聚层与接入层之间规划为非骨干区域，非骨干区域尽量规划为NSSA区域。每个区域中的设备数量最好不要超过30台，这个数字不是绝对的，主要与设备性能，链路的稳定性密切相关。非骨干区域的规划可以与网络中实际的行政，地域划分相吻合。路由聚合规划在ABR上通常需要对非骨干区域的路由聚合后发布到骨干区域。同理：骨干区域的路由也通常需要聚合后再发布到非骨干区域。在ASBR上可以对所有本地引入的路由聚合后再发布。聚合的地址范围是链路地址、业务地址，但通常不对loopback地址进行聚合。共七十一页OSPF规划(guhu)COST及路由引入规划(guhu)OSPF的COST规划为确保路由器选择最优路径，需要

19、统一OSPF路由尺度（cost）的计算(j sun)。通常的做法是：取网络中带宽的最大值为度量值1，其他类型的接口按与最大带宽的比例计算(j sun)。例如：网络中最大带宽为GE。接口类型costGE1155M POS7100M FE1010M ETHERNET100NE1500/NLoopback接口的COST值通常取1。OSPF的路由引入规划OSPF可以引入直连、静态以及其他路由协议的路由。对于直连路由，如果条件允许，尽量使用network命令当作区域内路由发布，避免引入操作。对于静态和其他路由协议，引入时可以统一COST及路由类型，例如：cost为1000，type为1。如果引入BGP路

20、由，需要考虑路由表的规模，也可以使用缺省路由来避免引入。共七十一页OSPF规划(guhu)Stub区域Area 0Stub AreaNo LSA5No External Route UpdateArea 0Not So Stub AreaNo LSA5RIPBGPExternal Route Update共七十一页OSPF规划(guhu)NSSA区域OSPF的NSSA区域是一种特殊的非骨干区域，由于具备一些特殊的属性而在实际的网络网络规划中经常使用。当一个非骨干区域中不希望接收大量的自治系统外路由时，可以将其配置为STUB属性，但由于STUB中苛刻的要求所有的设备都不能引入任何外部路由，导致其

21、几乎无法使用。而NSSA无此限制，所以可以放心使用。使用NSSA区域的另外(ln wi)一个优点：对于Type5类的LSA，由于OSPF只能在ASBR处将路由聚合，发布之后就没有再次聚合的机会了。而NSSA在ABR处将Type7转成Type5时可以再一次进行聚合操作，实际上又多了一次宝贵的聚合机会。使用NSSA区域的局限性：由于协议规定，当一个NSSA区域中存在两个ABR时，只能由其中的一台（router id大的）进行type7到type5的转换操作。所以在实际使用中会受到一定的限制。共七十一页学校网络(wnglu)OSPF路由协议典型规划核心(hxn)交换机教学中心学生宿舍科研中心汇聚交换

22、机医保网社区学校社区学校远程移动办公路由器防火墙入侵防御OSPF AREA 0共七十一页目 录网络设计(shj)概述网络拓扑结构设计板卡规划和设备命名局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计共七十一页网络安全规划(guhu)的基本原则网络安全是一个复杂的体系结构，涉及到几乎全网中的任何设备以及任何层次。网络安全只是一个相对的概念，无论你付出多大的代价，都不存在绝对安全的网络。部署网络安全通常会带来副作用，例如：占用(zhn yn)带宽，降低设备的处理能力，给使用和管理网络带来诸多不便之处。所以要在网络的安全和性能之间找到恰当的平衡点。共七十一页在接入层通过VLAN进行

23、(jnxng)安全隔离普通二层以太网网络中采用VLAN进行隔离。小区(xio q)以太网接入应用中在接入层交换机上配置Isolate-user-VLAN，禁止接入用户之间互访。建议在接入交换机接入端口配置广播抑制门限1234共七十一页在交换机上启用(qyng)以下安全策略核心(hxn)层交换机汇聚层交换机汇聚设备启用以下安全特性：STP根保护和BPDU保护TC-BPDU报文处理机制OSPF/RIP路由认证SSH、SNMPv3Telnet终端限制核心交换机汇聚交换机接入交换机核心设备启用以下安全特性：OSPF/RIP路由认证SSH、SNMPv3、SFTPTelnet终端限制汇聚设备启用以下安全特

24、性：STP根保护和BPDU保护TC-BPDU报文处理机制OSPF/RIP路由认证SSH、SNMP、SFTP三层接入设备启用以下安全特性：端口MAC地址数限制OSPF/RIP路由认证ARP入侵检测（ARP、DHCP限速）DHCP Snooping Trust & Option 82SSH、SNMPv3Telnet终端限制二层接入设备启用以下安全特性：端口MAC地址数限制STP根保护和BPDU保护TC-BPDU报文处理机制SSH、SNMPv3Telnet终端限制接入交换机接入交换机接入交换机共七十一页严格(yng)的访问控制在汇聚交换机与核心交换机上配置(pizh)访问控制列表，限制不同部门之间的

25、互访。在汇聚路由器和核心交换机上配置访问控制列表，封掉常见的病毒传播端口所有的网络设备必须配置super密码，telnet的口令及密码，并定期修改。telnet需要在VTY中设置访问列表，对无访问需求的源地址进行过滤。例如：在连接内外网的防火墙上禁止来自外网的telnet访问。共七十一页认证(rnzhng)授权（WLAN接入）在WLAN中，当无法从物理上控制访问者的来源时，务必要使用相应的鉴权及认证手段进行识别服务：在AP上禁止(jnzh)ESSID广播MAC过滤对接入用户进行802.1x身份认证使用加密无线信道共七十一页认证(rnzhng)授权（移动办公用户）通过RADIUS实现AAA认证，

26、可以对各种接入用户统一集中进行认证和授权采用TACACS协议代替RADIUS实现对验证报文主体全部进行加密支持(zhch)对路由器上的配置实现分级授权使用认证服务器Modem 接入ADSL 接入LAN 接入WLAN 接入共七十一页非军事区：DMZ de-militarized zone, 用以隔离内部和外部网络内部网络只允许内部用户访问，DMZ区提供有条件的对外服务外部过滤器只允许外部流量(liling)进入，内部过滤器只允许内部流量(liling)进入DMZ从不启动与内部网络的连接当DMZ中的主机受到威胁时内部流量也不会受到监听、内部过滤器仍然受到保护受保护(boh)服务器受保护客户机内部网

27、络可信任区外部网络不可信任区周边网络 DMZ区WWW服务器MAIL服务器入侵检测服务器漏洞扫描服务器互联网接入服务器互联网连接路由器对外连接正常无法直接向内连接防火墙Internet利用防火墙进行安全分区共七十一页利用入侵防御进行应用层安全(nqun)防护攻击库协议库病毒库综合(zngh)防御三库合一实现综合防御现在的很多安全威胁都是综合网络蠕虫、木马、病毒等技术的复合威胁，只有将攻击特征和病毒特征结合在一起进行检测，才能全面防御这类安全威胁。攻击者在利用漏洞的攻击之后，往往马上伴随着木马、病毒等恶意代码样本的下载，只有将攻击特征和病毒特征结合在一起，才能做到层层防御，确保安全。因为攻击是有特

28、定的协议上下文的，将应用层协议特征分析与攻击特征、病毒特征分析结合起来，可确保检测精度。共七十一页目 录网络设计概述网络拓扑结构设计板卡规划和设备命名(mng mng)局域网规划设计IP地址规划设计IP路由规划网络安全设计网络管理设计其他的相关业务系统（DNS、DHCP、NTP)共七十一页网管规划基本(jbn)原则哪些设备需要管理如果网络规模不大，可以管理全网所有的三层设备（包括部分支持三层访问功能的二层交换机）。如果网络规模很大，可以只选择比较重要的设备，但通常应该包含所有的路由器。网管设备如何与网络设备连接通常网管工作站直接与网络中最核心的设备相连，直接连接到该设备的以太网口或通过交换机与之相连。使用带内网管还是带外网管带内网管网管的相关报文流量与网络中的数据流量等同对待。优点是充分利用网络中的设备和带宽。缺点是设备或链路故障会导致网管中断。通常都使用带内网管。带外网管即：为了网管流量而单独建立一套数据通道。优点是确保网管数据的绝对安全可靠和优先级，缺点是代价过于昂贵。几乎不会使用带外网管。网管设备的IP地址规划取出特定的一个网段，专门为网管工作站使用。该地址尽量固定，不要(byo)随意更改。共七十一页网管规划基本(jbn)原则RMON的使用是一种在网络设备侧的探针技术，根据事先定义好的数据组类型采集设备的告警、性能等信息，以MIB的形