《网络工程规划设计》PPT课件.ppt

1、12.1 网络工程概念,网络工程是从用户网络建设需求出发，充分考虑用户自身特点和行业特征，利用当前主流网路技术和网络产品，设计网络构建的解决方案，并依此方案进行整个网络建设的过程。 整个网络建设的过程可以称为PDIOO，即规划（Planning）、设计（Designing）、实施（Implementing）、运行（Operating）、以及优化（Optimizing）,12.1.1 网络工程规划,需求分析-寻找关键信息 自顶向下的分析 确定用户建设网络的目标 P219 网络的功能 网络的扩展 网络的适应能力 网络的管理,12.1.2 网络工程设计,网络设计是根据网络规划及总体方案，对网络体系结

2、构、子网划分、逻辑网络组成及网络技术和设备选型进行工程化设计的过程，并产生具体的解决方案。这部分主要包括网络设计原则、通信子网设计、资源子网设计、设备选型、网络应用设计、及网络安全设计。,12.1.2 网络工程设计-网络设计原则,网络设计要能够保证方案的切实可行、并且能够最大程度地保护用户的已有投资，在具体内容的设计上一定要遵从以下原则： 实用性 开放性 可靠性 安全性 先进性 易用性 可扩展性,12.1.2 网络工程设计-通信子网设计,图12-1 层次式模型,核心层 高速交换主干 不对包进行任何处理 分布层 地址和区域的聚合 提供部门或工作组的访问 广播域/组播域的边界划分 VLAN间路由

3、网络介质的转换 提供安全机制 接入层（园区化环境） 利用共享方式使用带宽 利用交换方式使用带宽 基于MAC层的过滤 对冲突域的微分段,层次化：按照通信子网内设备的层次划分。以规模为依据，可以放在同一设备完成不同层功能,核心层：网络骨干,用来连接建筑群（光缆）和服务器群，承担网络80%左右流量。由核心交换机/路由器完成功能 可采用不同交换技术：ATM或以太网交换技术（见图12-2)； 典型主干网技术：1000M以太网技术（最普遍），100BASE-FX，ATM，FDDI等 容错措施：冗余设计如双核心结构及冗余链路（图12-3） 。,12.1.2 网络工程设计-通信子网设计,图12-2 层次式模型

4、实施方案,分布层,用来分割接入层和核心层，区分和定义核心层的位置（图12-3）。提供基于策略的连接。划分逻辑子网的边界，执行对数据包的操作。 分布层节点：不同路由协议相互进入的节点动态路由协议和静态路由执行区域的边界远程站点访问该园区网的进入点,12.1.2 网络工程设计-通信子网设计,图12-3 层次功能的集成,接入层,本地终端用户可以接入网络的节点，可以使用访问控制列表来进一步优化特性用户群的需求。 分布层节点：不同路由协议相互进入的节点动态路由协议和静态路由执行区域的边界远程站点访问该园区网的进入点 非园区化环境（个人移动），可以利用广域网技术提供对网络的远程访问。使用技术：FR,ISD

5、N,xDSL,专线。,资源子网设计,（1）服务器的放置 （2）服务器与核心层的连接,服务器的放置,本地服务：服务器和终端在一个子网或VLAN中。该服务局限于特定区域内。服务器内流量受连接中的链路，交换机，终端用户的影响。 远程服务：服务器和终端可能靠的很近，但属于不同子网或VLAN。数据流或经过主干部分，必跨越广播域边界。需要网络层设备来提供远程服务访问。 全局服务：提供给网络中所有用户的公共服务，如email，视频会议，WWW等。提供该服务的服务器常被统一放在直接连接在主干上的一个独立子网中。（见图12-4）,12.1.2 网络工程设计-资源子网设计,图12-4 全局服务的放置,服务器与核心

6、层的连接,直接连接：可减少服务器数据流经过的网络设备，减小传输延迟。但会占用比较多核心层设备端口。 汇聚连接：适合核心层端口比较少，且接受更多传输延迟的情况。方法是先将服务器汇聚到一台交换机，再由交换机通过高带宽链路连接到核心层设备。（见图12-5）,12.1.2 网络工程设计-资源子网设计,图12-5 全局服务的子网结构,汇聚服务器设备,12.1.2 网络工程设计-设备选型,网络设备选型原则:标准化，权威性，技术简单性，环境适应性，实用性，可管理性，容错冗余性原则。（看） 核心层设备的选型要点：基于ASIC的高性能转发，融合的网络安全（核心层），无单点故障，冗余（关键部件）。 分布层设备的选

7、型要点：模块化，全分布式体系结构及全分布式处理，高交换容量，硬件支持,软件支持。P223安全，组播，集群管理。 接入层设备的选型要点：互联电缆方式的扩展，安全，端口镜像，自适应优化，硬件支持，软件支持等P224,12.1.2 网络工程设计-网络应用平台设计,图12-6 网络应用系统层次结构 网络os选择要点：支持足够多的上层应用，os本身的生命力够强大，适应性够强，速度性能够好（支持对称处理及网络负载平衡）见P225 常见网络os：,网络应用平台：直接影响用户业务方式,12.1.2 网络工程设计-网络安全设计,风险模型的根本改变 不断变化的信任模型 不断变化的威胁模型 不断变化的业务模型 安全

8、渗透网络需要的防护模型 信任模型要求网络必须从端点开始进行行为管理 威胁模型要求网络深入到应用和业务内容进行保护 业务模型要求基础安全特性成为网络的一部分 防火墙的选择:保证安全，性能良好，选择的防火墙要具备包过滤，应用代理，状态检测功能，最好还包括身份认证，智能地址转换，丰富VPN特性，内容深度识别，流量QoS保障，强大路由能力等。 VPN产品选择：注意加密性能和比较高的最大并发隧道数，支持的协议见P226。,现状：一方面终端计算机面临越来越严重的安全威胁，另一方面，攻击工具普及且门槛放低。攻击变的容易。,网络设计,桌面网络：提供到远程办公点的连接 楼宇网络：包括高速率的数据中心及楼层电信间

9、。通常是大公司总部。 园区网络：为园区内建筑物间提供连接，以及在园区网络与楼宇网络内提供冗余措施。,12.2 桌面网络的设计,图12-7 分支机构的网络连接,桌面网络：小型远程分支机构中少量节点的联网或者是SOHO形式的小型网络。 设备：路由器，服务器等 工作方式：由边缘路由器连到总部，路由器过滤广播并转发和总部交互的数据包。 服务器提供DHCP及本地应用 （如NT备份域控制器，DNS等）,12.2.1 桌面网络设计案例,A公司是国内新兴行业的一家小型公司，为了使公司主要的产品能够具有更广阔的市场、以及与它的各地合作伙伴有更紧密的联系，公司需要通过网络连接到Internet中。公司目前在某一写

10、字楼中进行办公，约有员工40名。公司的办公都实现了计算机化，基本保证每位员工使用一台计算机。,12.2.2 桌面网络需求分析,网络连接（采用Internet）、VPN（保证安全） 业务流程的信息化：支持Web服务、email、文件传输、数据库访问、IP语音、视频会议 业务的平滑过渡：保留传统业务至少一年 带宽对新应用的支持,12.2.3 设计原则,带宽：要求不高 有线方式VS无线方式：流动性不大，有线 外部连接：宽带路由器+桌面交换机 布线：发射式组网（路由器与交换机放在中心办公室）P227 设备特性：路由器提供企业级VPN高级安全性和性能，高质量安全数据、语音、视频；可管可扩的可靠接入。交换

11、机要有大密度以太网端口，各种端口技术，VLAN等,12.2.4 设计方案,图12-8 A公司上海分部网络结构,宽带路由器： 功能：提供NAT功能（共享公网IP地址）；硬件辅助加密，状态检测防火墙，验证代理，数字证书（安全性）；低延迟排序LLQ，QoS，组播（高质量安全语音和视频）；虚拟辅助端口，模拟modem，Cisco路由器工具（网络管理）；提供多个10/100M以太网端口。 连接：上连ISP，下连交换机。,以太网交换机： 功能：提供多个以太网端口（其他办公室电脑全部连于该交换机）；实现交换式以太网构建；千兆以太网接口（扩展）；端口速率、双工模式、MDIMDIX都设置为自协商方式（提高网络适

12、应性） 连接：上连路由器，下接终端用户,1.3 楼宇网络的设计,图12-9 楼宇网络结构,楼宇网络通常包括高速接入的主设备间和各楼层的设备间的网络。间图12-9 基本连接配置情况：楼宇网络被楼层或部门分成了多个区域，主机和服务器放置在中心机房，通过物理传输介质将各区域的配线间同中心机房联网。从各配线间引出物理传输介质到工作区的办公室。,12.3.1 楼宇网络的设计案例,图12-10 某公司大楼当前的网络结构,案例描述见P229,注意这是在优化设计之前的网络,员工PC用途：文档处理，数据库访问，收发E-mail数据流走向：员工PC 主要是本层服务器，少部分全局服务器，80/20模式，楼层服务器往

13、全局服务器。协议栈：TCP/IP，并且采用静态IP分配。旧方案的缺陷：集线器使网络成为单个冲突域/广播域，大量冲突，带宽限制，广播风暴隐患。,12.3.2 楼宇网络需求分析,部署交换式以太网络，提高用户终端的带宽至100Mbps； 加强网络管理、提高网络安全，各个部门网络之间相互隔离； 适应公司网络规模的增长，包括计算机数量的增长和公司业务所需带宽的增长； 专门建设服务器群，为公司提供全局服务； 实现公司员工对各种Internet资源的访问； 设备类型有助于适应部门之间的数据流量的20/80规则； 提供数据访问的安全性和可靠性，支持多媒体应用； 对现有缆线进行升级，满足公司未来发展需要。,12

14、.3.3 设计原则,采用交换式以太网技术 接入层设计 为终端用户提供独占带宽 将每个部门划分为独立的VLAN 网络设备支持网络管理 汇聚层/核心层设计 采用三层交换技术，并提供VLAN间路由 网络关键部分提供设备和链路冗余 服务器集中放置在靠近公司网络主干的位置 千兆链路上行到核心层,大量使用2层以太网交换机。,用逻辑网络来实现网络功能，楼层服务器也同划归各VLAN内，全局服务器则集中化，部署在核心层附近,提高网络管理效率,汇聚层的网络策略：子网划分，地址汇总，路由协议，访问控制列表，远程访问等,因为服务器集中放置会使得服务器网段数据量过大。用千兆链路来连接到汇聚层/核心层设备，以保证足够的带

15、宽,12.3.4 设计方案一,图12- 1 楼宇网络设计结构一,接入层：H3C S3600交换机 汇聚层/核心层：H3C S7500三层交换机（保证高速数据交换，），采用端口聚合技术（保证数据高速访问及链路冗余） 布线：各楼层水平用5e双绞线，垂直用1000 Base-SX多模光纤。 服务器：多网卡（负载均衡） 交换机：增加光纤模块,不足：虽然通过交换机进行了微分段，冲突域增加，但广播域还是只有一个，广播风暴隐患还在。二是没有冗余连接。H3C S7500交换机的瓶颈,12.3.5 设计方案二,图12- 2 楼宇网络设计结构二,层次：设置3层的设备。 接入层：H3C S3600交换机，100Ba

16、seT接入，VLAN划分楼层，服务器集中在1楼机房，楼层服务器与全局服务器之间的连接用100BaseT 汇聚层：2台华为Quidway S5500交换机，提供主备链路（可靠性高），使用VLAN技术，该层交换机上配置路由策略如子网规划，路由协议配置，安全访问控制，QoS 配置等。 核心层：H3C S7500交换机（足够带宽与速率），与汇聚层交换机及全局服务器网段交换机采用1000BaseFX光纤连接，与楼层服务器间用聚合链路（冗余） 汇聚层，核心层设备，服务器，NMS都放在机房（统一管理）,进一步扩展可以在核心层增加冗余（双核心），采用光纤，高性能交换机，成本比较高，按需选择。,1.4 园区网络

17、的设计,图12-13 园区网络结构,12.4.1 园区网络设计案例,ABC大学是一所地方大学，由12个二级学院、及众多部门组成。 各学院自身的网络应用系统在组建时，往往只是从自身教学、科研的需要出发，因此存在大量的信息冗余和信息冲突。 各学院的各个网络终端使用自身的传输线路，传输速率和传输质量不等，不利于统一管理，随着终端数量的增多，此问题将日益突出。 由于之前的网络组建都是由本学院自己开发，因此存在多种机制、多种操作系统、多种协议、网络异构等情况。所以很难实现资源共享、系统互访、统一管理，网络系统的集成难度大大增加。 大部分系统没有设计为C/S模式、或B/S模式，系统使用不方便。 校园内大多数计算机还不能充分利用学校拥有的IP地址资源访问Internet，网络资源利用率低。,14.4.2 园区网络需求分析,对目前各网络系统做大规模修改，各学院自己的网络系统应能平滑地过渡到整个校园网中。 提供各种灵活多变的连网方式，系统要有一定的可扩充性和可扩展性。 提供高速平台和足够的带宽，为将来的OA系统、图像系统、远程教学、多媒体教学等应用提供一条可靠、健壮的“信息高速公路”。 必须对整个校园网进行有效的集中管理。 可以为校园内各个系统之间提供邮件服务、BBS服务、文件服务、web服务等多种Inte