M000 0041 局域網設計案例(中文版v1.0).doc

課程 XXXX局域網設計案例（M000 0041）Issue1.01.1 案例分析1.1.1 案例一：A基金公司A基金公司現(xiàn)有網絡介紹A基金公司是一家正在蓬勃發(fā)展的基金管理公司。整個公司在一座有地下室的五層樓內?，F(xiàn)有的網絡結構如上圖所示，地下室布放服務器群（5臺服務器），每一層樓有大約20臺PC和一臺服務器。樓層的服務器只允許該層職員訪問。地下室的服務器群所有職員都可以訪問。所有樓層主機通過各層集線器連接到地下室的路由器。目前網絡鋪設電纜線類型為10Base2。大樓內的員工主要用PC機來進行文字處理、數(shù)據(jù)庫訪問和電子郵件發(fā)送。網絡協(xié)議采用TCP/IP, 地址靜態(tài)分配。每臺PC大約產生100kbit/s的通信量。大部分通信量（大約90%）發(fā)給本地服務器（即位于本層上的服務器），只有約10%發(fā)給地下室的服務器?？梢钥闯觯芯W絡大量使用集線器，整個網絡為一個沖突域/廣播域，大量的沖突數(shù)據(jù)包和廣播包嚴重影響了網絡性能，不能滿足公司未來發(fā)展的需求。需求整理為了滿足未來發(fā)展的需要，公司管理者和網絡設計工程師共同分析了企業(yè)未來發(fā)展需求：部署交換式以太網絡，提高最終用戶工作站帶寬到10Mbps；為了加強職員管理，提高局域網內部安全性，未來的網絡應該實現(xiàn)各個部門之間互相隔離；預計公司兩年內會擴張到目前的四倍，每層樓的PC數(shù)量達到100臺，每臺PC大約產生500kbit/s的通信量。此外，公司也要對應用軟件進行升級。因此，要求網絡容量能適應未來的增長；為了加強對服務器的管理，減少人力資源開支，所有服務器集中放置在地下室，并且把服務器數(shù)量增加到20臺，預計兩年后增加至50臺。實現(xiàn)任意用戶都可以收發(fā)電子郵件，所有用戶都可以訪問Internet；部門之間的流量符合80/20規(guī)則；提供數(shù)據(jù)訪問的安全性和可靠性，支持多媒體應用；對現(xiàn)有電纜線進行升級，滿足企業(yè)未來發(fā)展需求。設計原則A基金管理公司為公司網絡建設提出了很高要求。為了提供更高的帶寬和快速數(shù)據(jù)轉發(fā)能力，網絡改造可以采用以太網多層交換技術。在接入層，可以考慮部署二層以太網交換機，為一些數(shù)據(jù)流量大的，任務關鍵性主機提供專有帶寬。二層以太網交換機應該支持VLAN透傳。使用VLAN技術，依據(jù)公司各個部門主機的邏輯分布，隔離各個部門。由于各個部門服務器集中放置，所有交換機應該支持VLAN透傳技術，使部門服務器和主機劃分為同一VLAN。接入層設計支持網絡管理。鑒于A公司當前的規(guī)模，為了節(jié)省開支，我們可以考慮把匯聚層和核心層合在一起。當企業(yè)規(guī)模擴大后，我們可以再購買核心層設備。總之，匯聚層和核心層的設計應該保持足夠的靈活性和可擴展性。在匯聚層/核心層，可以考慮部署三層交換機，保證大量數(shù)據(jù)的快速交換。為了保證各個VLAN之間數(shù)據(jù)的快速轉發(fā)和收斂，三層交換機應支持VLAN聚合和VLAN路由能力。在匯聚層，我們應考慮一些軟件特性的設計，例如，實現(xiàn)合理的子網規(guī)劃，地址匯總，路由協(xié)議特性，訪問控制列表，遠程訪問等等。服務器的集中放置，勢必會帶來服務器網段大量的訪問流量，為了保證足夠的帶寬，服務器網段應直接連接到匯聚層或核心層設備上，部署1000M以太網鏈路。實施方案一上圖為A基金管理公司當前網絡的規(guī)劃方案。在接入層選用Quidway S3026二層交換機，依據(jù)各層主機數(shù)量差異，選擇不同數(shù)目二層交換機。匯聚層和核心層選用Quidway S5516三層交換機，保證數(shù)據(jù)高速訪問。為了保證重要數(shù)據(jù)的高速訪問以及鏈路冗余，采用Port Trunking技術。整個網絡采用TCP/IP協(xié)議，與標準兼容。A公司原有電纜線為10Base2, 傳輸距離短，不適合星型網絡拓撲結構。接入層網絡電纜線重新鋪設為100Base-T。 服務器網段選擇1000Base-SX多模光纖，其他網段選擇100Base-T。核心層上連寬帶城域網鏈路選用1000Base-LX單模光纖。當前的實施方案也有一些問題。首先是單廣播域問題。當然可以使用VLAN技術劃分廣播域。但是當一個VLAN內主機數(shù)目增大時，廣播問題同樣存在。其次會產生單點故障。如果Quidway S5516發(fā)生故障，整個網絡將不可用。為了給網絡安全高效運行提供足夠保障，滿足企業(yè)的增長，我們還可以考慮采用下面的方案。實施方案二這種實施方案具有清晰的分層模型：接入層、匯聚層、核心層。接入層選用華為Quidway S3026二層交換機（除了服務器網段），為主機提供100Base-T線攬接入；各層主機依據(jù)部門劃分VLAN；服務器集中放置在地下室，各個服務器適用100Base-T連接到Quidway S3526三層交換機，保證服務器的帶寬；匯聚層設備選用二臺華為Quidway S5516三層交換機，與接入層交換機分別互連，提供主備鏈路，確?？煽啃?；對于數(shù)據(jù)流量大的網段，也可以同時應用鏈路聚合技術，保證帶寬；電纜線選用1000Base-SX連接到接入層設備。我們可以在Quidway S3526實施路由策略配置，合理規(guī)劃子網地址，路由協(xié)議配置（關于地址規(guī)劃請查閱IP網絡設計一章），實施安全訪問控制，QoS, 流量分類，VLAN聚合和路由。核心層應該保證足夠的帶寬，快速數(shù)據(jù)傳輸。設備可以選用華為Quidway S8016三層交換機，與匯聚層交換機和服務器網段交換機S5516采用1000Base-FX光纖連接。與服務器相連接口采用鏈路聚合技術保證鏈路冗余。S8016上行鏈路為1000BASE-FX，接入寬帶IP城域網。所有匯聚層和核心層設備，以及服務器、網管站等放置在地下室，方便統(tǒng)一管理。如果核心層設備出現(xiàn)問題，怎么辦？我們也可以考慮在核心層部署二臺Quidway S8016三層交換機，分別連接到不同ISP，確保網絡足夠可靠。這種實施方案亦即前面提到的分布式交換網絡設計方案。在這種方案中，充分考慮了各個主機的流量需求，關鍵設備實現(xiàn)冗余備份，路由技術和交換技術有機結合，為A基金公司構建了一個高速、穩(wěn)定、可靠的多業(yè)務實施解決方案。當然這種方案大量采用了較昂貴的光纖傳輸介質、三層交換機，無疑給A公司帶來了巨大的投入。因此，您應該綜合考慮您的需求，設計具有最高性價比的網絡。1.1.2 案例二：XX大學校園網絡的現(xiàn)狀 xx大學是一所綜合性大學，管轄將近30個系以及相關部門。xx大學很早就展開了計算機輔助教學，并建立了大規(guī)模的計算機實驗室，學校擁有計算機數(shù)千臺，但由于目前各個系都是自己組建的內部網絡，采用的軟件平臺、硬件平臺和網絡結構各不相同，因此隨著學校網絡發(fā)展和各個學校之間互連網絡的建成，現(xiàn)有的網絡結構與水平已經不能適應高速發(fā)展的信息網絡建設，主要表現(xiàn)在： 1、由于各網絡應用系統(tǒng)是各系根據(jù)本系自己的教學、實驗、工作的需求組建的，因而各種信息既有大量的冗余，又有相互沖突。同時由于各套網絡系統(tǒng)的開發(fā)單位不同，技術水平參差不齊，因此信息的規(guī)范化程度低，各部門信息無法共享，交互操作的難度很大。 2、各系、各工作終端有自己的傳輸線路，傳輸速率不等，速率低且安全性、可靠性差，不利于統(tǒng)一管理，隨著工作終端的增多，此問題將日益突出。 3、由于當時組建網絡時都是由本系自己開發(fā)，因此存在多種機型，多種操作系統(tǒng)，多種協(xié)議，網絡異構等情況。所以很難實現(xiàn)資源共享、系統(tǒng)互訪、統(tǒng)一管理，對于后期的開發(fā)難度很大，這將影響實現(xiàn)辦公自動化。 4、由于大部分系統(tǒng)沒有實現(xiàn)Client/Server模式。因此系統(tǒng)遠程互訪時，需要較大的帶寬。 5、由于校園內計算機之間對INTERNET都只能通過自己使用撥號網絡方式連接，而目前學校已經擁有了自己的INTERNET 網絡出口與自己的IP地址。但目前這些優(yōu)勢資源大家不能實現(xiàn)共享。需求分析由于現(xiàn)有應用系統(tǒng)存在上述缺陷，因此必須對目前的現(xiàn)狀和需求進行科學的分析，制定出全局網絡的規(guī)劃，既能滿足發(fā)展，又要容納現(xiàn)有系統(tǒng)，具體要求如下： 1、對目前各網絡系統(tǒng)做大規(guī)模修改，各系自己的網絡系統(tǒng)應能平滑地過渡到整個校園網中。 2、提供各種靈活多變的連網方式，系統(tǒng)要有一定的可擴充性和可擴展性。 3、提供高速平臺與足夠的帶寬，為將來的OA系統(tǒng)、圖象系統(tǒng)、遠程教學、多媒體教學等應用提供一條可靠、健壯的“信息高速公路”。 4、必須對整個校園網進行有效的集中網絡管理。 5、可以為校園內各個系之間提供郵件服務、BBS服務、文件服務、WEB服務等多種Internet服務。6、隨著多媒體教學、遠程教育、圖象監(jiān)控等業(yè)務的開展，校園網本身的業(yè)務范圍將不斷擴大，對學校的網絡性能提出了新的要求。設計原則一、系統(tǒng)總體設計目標 組建的整個學校的校園網，既能將整個學校計算機都納入整個校園網中，實現(xiàn)統(tǒng)一規(guī)劃、分塊工作、異地互聯(lián)、整體管理，并有可為將來的應用擴展和系統(tǒng)的升級預留接口。要達到以下要求： 各系組建自己相對獨立的本地局域網，既能滿足各系正常的教學計算機化的要求，又能通過廣域網完成與其他系或相關部門之間的信息交流。 網絡管理中心能滿足自身的正常教學計算機化的要求，又能通過局域網將各系、各大樓之間和本地網絡中心聯(lián)接成一個整體，通過網管系統(tǒng)監(jiān)控各個系的網絡運行情況，并通過局域網的高速優(yōu)質傳輸線路為各系的各種請求提供良好的服務。 二、系統(tǒng)設計原則實用性：保護各系原用的設備投資和能夠完全滿足現(xiàn)實需求的角度出發(fā)，充分集成現(xiàn)有的各種計算機和網絡設備，使建設的系統(tǒng)適用、安全、可靠且易管理、維護和擴展，具有最高的性價比。 開放性：構造一個開放的網絡系統(tǒng)，是當前世界計算機技術發(fā)展的潮流，因此我們在整個系統(tǒng)的設計中采用的規(guī)范、設備與廠商無關，具有較強的兼容性，便于與外界異種機平滑互聯(lián)。 先進性： 當今的計算機網絡技術發(fā)展日新月異，把握不準的方向則可能導致在很短的時間內技術落伍，從而面臨被淘汰的危險。因此在堅持實用性的前提下盡量采用國際先進成熟的網絡技術和設備，適合未來的發(fā)展，做到一次規(guī)劃長期受益。 可擴充性： 所選擇的聯(lián)網方案及設備要能適應網絡規(guī)劃的不斷擴大的要求，以便于將來設備的擴充；要能適應信息技術不斷發(fā)展的要求，平穩(wěn)地向未來新技術過渡?？煽啃裕?系統(tǒng)設計除采用信譽好，質量高的設備外，還采用一系列容錯、冗余技術、提高整個系統(tǒng)的可靠性。 安全性： 安全性包括兩個方面，一、網絡用戶級的安全性；二、數(shù)據(jù)傳輸級的安全性。網絡用戶級的安全性應在網絡的操作系統(tǒng)中予考慮，而數(shù)據(jù)傳輸?shù)陌踩詣t必須在網絡傳輸時解決。設計方案應用模式設計方案：對XX大學的校園網這種規(guī)模大、集成度高的網絡，我們建議采用Client/Server結構模式，即將網絡結構建立在各類信息分布處理和集中管理相結合的方式上；由于將數(shù)據(jù)處理工作放在各客戶機(Client)獨立處理，減輕了服務器（Server)的負擔，設備的性能可得到了良好的應用，而且資源信息可以分布共享、集中管理，使得系統(tǒng)的可靠性、開放性不單單依賴服務器，互補性很強。這種結構靈活性好，速度快，可靠性高，是當今流行的網絡系統(tǒng)方案。網絡帶寬設計方案：采用交換式以太網方案。 交換以太網是以常規(guī)以太網為基礎的。它為每個節(jié)點提供專用的以太網連接，為該段確保轉有的10Mbps數(shù)量級帶寬的性能，它對要求專用服務的應用，如電視會議和其它自然數(shù)據(jù)型應用，是一種理想的選擇，因為它確保應用達到較低延時。交換以太網保留了傳統(tǒng)以太網的幀格式，因此它可以保留現(xiàn)有以太網的基礎設施。用戶接入層選用Quidway S2403F二層交換機，S3526三層交換機（如上圖所示）。由于各個主機與交換機距離較近，二層交換機下行電纜線選用5類雙絞線；而各系所在辦公樓較大，S2403F與S3526的距離已經超過電纜線的標準100米，因此選用100Base-FX光纖，為上行線路提供100M帶寬。匯聚層設備匯聚了網絡的大量流量，要求較高的數(shù)據(jù)轉發(fā)速度，并且實施路由策略和安全控制。因此，匯聚層設備選用Quidway S8016三層交換機。S8016可以實現(xiàn)全GE口的IP/MPLS線速轉發(fā)，提供豐富的路由協(xié)議支持和路由策略控制。由于XX大學各個系分布較散，傳輸距離遠，為了提供1000M帶寬，我們必須采用光纖1000Base-FX。核心層主要功能是實現(xiàn)遠程站點之間的優(yōu)化傳輸，核心層設備要求很大的數(shù)據(jù)傳輸能力和路由負載平衡。我們可以選用Quidway S8016三層交換機，整機處理性能超過96Mpps。傳輸介質選用1000Base-FX 單模光纖（最長70公里）接入Internet出口。為了保證校園網不受外部非法攻擊，我們部署了硬件防火墻?？煽啃栽O計方案：由于校園網數(shù)據(jù)量大，訪問人員多，同時承擔了大量數(shù)據(jù)的傳輸、服務等工作，對匯聚層設備的容錯性提出了很高的要求。為了加強網絡的可靠性和可擴展性，匯聚