M000 0041 局域網(wǎng)設(shè)計案例(中文版v1.0).doc

課程 XXXX局域網(wǎng)設(shè)計案例（M000 0041）Issue1.01.1 案例分析1.1.1 案例一：A基金公司A基金公司現(xiàn)有網(wǎng)絡(luò)介紹A基金公司是一家正在蓬勃發(fā)展的基金管理公司。整個公司在一座有地下室的五層樓內(nèi)?，F(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)如上圖所示，地下室布放服務(wù)器群（5臺服務(wù)器），每一層樓有大約20臺PC和一臺服務(wù)器。樓層的服務(wù)器只允許該層職員訪問。地下室的服務(wù)器群所有職員都可以訪問。所有樓層主機(jī)通過各層集線器連接到地下室的路由器。目前網(wǎng)絡(luò)鋪設(shè)電纜線類型為10Base2。大樓內(nèi)的員工主要用PC機(jī)來進(jìn)行文字處理、數(shù)據(jù)庫訪問和電子郵件發(fā)送。網(wǎng)絡(luò)協(xié)議采用TCP/IP, 地址靜態(tài)分配。每臺PC大約產(chǎn)生100kbit/s的通信量。大部分通信量（大約90%）發(fā)給本地服務(wù)器（即位于本層上的服務(wù)器），只有約10%發(fā)給地下室的服務(wù)器。可以看出，原有網(wǎng)絡(luò)大量使用集線器，整個網(wǎng)絡(luò)為一個沖突域/廣播域，大量的沖突數(shù)據(jù)包和廣播包嚴(yán)重影響了網(wǎng)絡(luò)性能，不能滿足公司未來發(fā)展的需求。需求整理為了滿足未來發(fā)展的需要，公司管理者和網(wǎng)絡(luò)設(shè)計工程師共同分析了企業(yè)未來發(fā)展需求：部署交換式以太網(wǎng)絡(luò)，提高最終用戶工作站帶寬到10Mbps；為了加強(qiáng)職員管理，提高局域網(wǎng)內(nèi)部安全性，未來的網(wǎng)絡(luò)應(yīng)該實(shí)現(xiàn)各個部門之間互相隔離；預(yù)計公司兩年內(nèi)會擴(kuò)張到目前的四倍，每層樓的PC數(shù)量達(dá)到100臺，每臺PC大約產(chǎn)生500kbit/s的通信量。此外，公司也要對應(yīng)用軟件進(jìn)行升級。因此，要求網(wǎng)絡(luò)容量能適應(yīng)未來的增長；為了加強(qiáng)對服務(wù)器的管理，減少人力資源開支，所有服務(wù)器集中放置在地下室，并且把服務(wù)器數(shù)量增加到20臺，預(yù)計兩年后增加至50臺。實(shí)現(xiàn)任意用戶都可以收發(fā)電子郵件，所有用戶都可以訪問Internet；部門之間的流量符合80/20規(guī)則；提供數(shù)據(jù)訪問的安全性和可靠性，支持多媒體應(yīng)用；對現(xiàn)有電纜線進(jìn)行升級，滿足企業(yè)未來發(fā)展需求。設(shè)計原則A基金管理公司為公司網(wǎng)絡(luò)建設(shè)提出了很高要求。為了提供更高的帶寬和快速數(shù)據(jù)轉(zhuǎn)發(fā)能力，網(wǎng)絡(luò)改造可以采用以太網(wǎng)多層交換技術(shù)。在接入層，可以考慮部署二層以太網(wǎng)交換機(jī)，為一些數(shù)據(jù)流量大的，任務(wù)關(guān)鍵性主機(jī)提供專有帶寬。二層以太網(wǎng)交換機(jī)應(yīng)該支持VLAN透傳。使用VLAN技術(shù)，依據(jù)公司各個部門主機(jī)的邏輯分布，隔離各個部門。由于各個部門服務(wù)器集中放置，所有交換機(jī)應(yīng)該支持VLAN透傳技術(shù)，使部門服務(wù)器和主機(jī)劃分為同一VLAN。接入層設(shè)計支持網(wǎng)絡(luò)管理。鑒于A公司當(dāng)前的規(guī)模，為了節(jié)省開支，我們可以考慮把匯聚層和核心層合在一起。當(dāng)企業(yè)規(guī)模擴(kuò)大后，我們可以再購買核心層設(shè)備?？傊瑓R聚層和核心層的設(shè)計應(yīng)該保持足夠的靈活性和可擴(kuò)展性。在匯聚層/核心層，可以考慮部署三層交換機(jī)，保證大量數(shù)據(jù)的快速交換。為了保證各個VLAN之間數(shù)據(jù)的快速轉(zhuǎn)發(fā)和收斂，三層交換機(jī)應(yīng)支持VLAN聚合和VLAN路由能力。在匯聚層，我們應(yīng)考慮一些軟件特性的設(shè)計，例如，實(shí)現(xiàn)合理的子網(wǎng)規(guī)劃，地址匯總，路由協(xié)議特性，訪問控制列表，遠(yuǎn)程訪問等等。服務(wù)器的集中放置，勢必會帶來服務(wù)器網(wǎng)段大量的訪問流量，為了保證足夠的帶寬，服務(wù)器網(wǎng)段應(yīng)直接連接到匯聚層或核心層設(shè)備上，部署1000M以太網(wǎng)鏈路。實(shí)施方案一上圖為A基金管理公司當(dāng)前網(wǎng)絡(luò)的規(guī)劃方案。在接入層選用Quidway S3026二層交換機(jī)，依據(jù)各層主機(jī)數(shù)量差異，選擇不同數(shù)目二層交換機(jī)。匯聚層和核心層選用Quidway S5516三層交換機(jī)，保證數(shù)據(jù)高速訪問。為了保證重要數(shù)據(jù)的高速訪問以及鏈路冗余，采用Port Trunking技術(shù)。整個網(wǎng)絡(luò)采用TCP/IP協(xié)議，與標(biāo)準(zhǔn)兼容。A公司原有電纜線為10Base2, 傳輸距離短，不適合星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。接入層網(wǎng)絡(luò)電纜線重新鋪設(shè)為100Base-T。 服務(wù)器網(wǎng)段選擇1000Base-SX多模光纖，其他網(wǎng)段選擇100Base-T。核心層上連寬帶城域網(wǎng)鏈路選用1000Base-LX單模光纖。當(dāng)前的實(shí)施方案也有一些問題。首先是單廣播域問題。當(dāng)然可以使用VLAN技術(shù)劃分廣播域。但是當(dāng)一個VLAN內(nèi)主機(jī)數(shù)目增大時，廣播問題同樣存在。其次會產(chǎn)生單點(diǎn)故障。如果Quidway S5516發(fā)生故障，整個網(wǎng)絡(luò)將不可用。為了給網(wǎng)絡(luò)安全高效運(yùn)行提供足夠保障，滿足企業(yè)的增長，我們還可以考慮采用下面的方案。實(shí)施方案二這種實(shí)施方案具有清晰的分層模型：接入層、匯聚層、核心層。接入層選用華為Quidway S3026二層交換機(jī)（除了服務(wù)器網(wǎng)段），為主機(jī)提供100Base-T線攬接入；各層主機(jī)依據(jù)部門劃分VLAN；服務(wù)器集中放置在地下室，各個服務(wù)器適用100Base-T連接到Quidway S3526三層交換機(jī)，保證服務(wù)器的帶寬；匯聚層設(shè)備選用二臺華為Quidway S5516三層交換機(jī)，與接入層交換機(jī)分別互連，提供主備鏈路，確保可靠性；對于數(shù)據(jù)流量大的網(wǎng)段，也可以同時應(yīng)用鏈路聚合技術(shù)，保證帶寬；電纜線選用1000Base-SX連接到接入層設(shè)備。我們可以在Quidway S3526實(shí)施路由策略配置，合理規(guī)劃子網(wǎng)地址，路由協(xié)議配置（關(guān)于地址規(guī)劃請查閱IP網(wǎng)絡(luò)設(shè)計一章），實(shí)施安全訪問控制，QoS, 流量分類，VLAN聚合和路由。核心層應(yīng)該保證足夠的帶寬，快速數(shù)據(jù)傳輸。設(shè)備可以選用華為Quidway S8016三層交換機(jī)，與匯聚層交換機(jī)和服務(wù)器網(wǎng)段交換機(jī)S5516采用1000Base-FX光纖連接。與服務(wù)器相連接口采用鏈路聚合技術(shù)保證鏈路冗余。S8016上行鏈路為1000BASE-FX，接入寬帶IP城域網(wǎng)。所有匯聚層和核心層設(shè)備，以及服務(wù)器、網(wǎng)管站等放置在地下室，方便統(tǒng)一管理。如果核心層設(shè)備出現(xiàn)問題，怎么辦？我們也可以考慮在核心層部署二臺Quidway S8016三層交換機(jī)，分別連接到不同ISP，確保網(wǎng)絡(luò)足夠可靠。這種實(shí)施方案亦即前面提到的分布式交換網(wǎng)絡(luò)設(shè)計方案。在這種方案中，充分考慮了各個主機(jī)的流量需求，關(guān)鍵設(shè)備實(shí)現(xiàn)冗余備份，路由技術(shù)和交換技術(shù)有機(jī)結(jié)合，為A基金公司構(gòu)建了一個高速、穩(wěn)定、可靠的多業(yè)務(wù)實(shí)施解決方案。當(dāng)然這種方案大量采用了較昂貴的光纖傳輸介質(zhì)、三層交換機(jī)，無疑給A公司帶來了巨大的投入。因此，您應(yīng)該綜合考慮您的需求，設(shè)計具有最高性價比的網(wǎng)絡(luò)。1.1.2 案例二：XX大學(xué)校園網(wǎng)絡(luò)的現(xiàn)狀 xx大學(xué)是一所綜合性大學(xué)，管轄將近30個系以及相關(guān)部門。xx大學(xué)很早就展開了計算機(jī)輔助教學(xué)，并建立了大規(guī)模的計算機(jī)實(shí)驗(yàn)室，學(xué)校擁有計算機(jī)數(shù)千臺，但由于目前各個系都是自己組建的內(nèi)部網(wǎng)絡(luò)，采用的軟件平臺、硬件平臺和網(wǎng)絡(luò)結(jié)構(gòu)各不相同，因此隨著學(xué)校網(wǎng)絡(luò)發(fā)展和各個學(xué)校之間互連網(wǎng)絡(luò)的建成，現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)與水平已經(jīng)不能適應(yīng)高速發(fā)展的信息網(wǎng)絡(luò)建設(shè)，主要表現(xiàn)在： 1、由于各網(wǎng)絡(luò)應(yīng)用系統(tǒng)是各系根據(jù)本系自己的教學(xué)、實(shí)驗(yàn)、工作的需求組建的，因而各種信息既有大量的冗余，又有相互沖突。同時由于各套網(wǎng)絡(luò)系統(tǒng)的開發(fā)單位不同，技術(shù)水平參差不齊，因此信息的規(guī)范化程度低，各部門信息無法共享，交互操作的難度很大。 2、各系、各工作終端有自己的傳輸線路，傳輸速率不等，速率低且安全性、可靠性差，不利于統(tǒng)一管理，隨著工作終端的增多，此問題將日益突出。 3、由于當(dāng)時組建網(wǎng)絡(luò)時都是由本系自己開發(fā)，因此存在多種機(jī)型，多種操作系統(tǒng)，多種協(xié)議，網(wǎng)絡(luò)異構(gòu)等情況。所以很難實(shí)現(xiàn)資源共享、系統(tǒng)互訪、統(tǒng)一管理，對于后期的開發(fā)難度很大，這將影響實(shí)現(xiàn)辦公自動化。 4、由于大部分系統(tǒng)沒有實(shí)現(xiàn)Client/Server模式。因此系統(tǒng)遠(yuǎn)程互訪時，需要較大的帶寬。 5、由于校園內(nèi)計算機(jī)之間對INTERNET都只能通過自己使用撥號網(wǎng)絡(luò)方式連接，而目前學(xué)校已經(jīng)擁有了自己的INTERNET 網(wǎng)絡(luò)出口與自己的IP地址。但目前這些優(yōu)勢資源大家不能實(shí)現(xiàn)共享。需求分析由于現(xiàn)有應(yīng)用系統(tǒng)存在上述缺陷，因此必須對目前的現(xiàn)狀和需求進(jìn)行科學(xué)的分析，制定出全局網(wǎng)絡(luò)的規(guī)劃，既能滿足發(fā)展，又要容納現(xiàn)有系統(tǒng)，具體要求如下： 1、對目前各網(wǎng)絡(luò)系統(tǒng)做大規(guī)模修改，各系自己的網(wǎng)絡(luò)系統(tǒng)應(yīng)能平滑地過渡到整個校園網(wǎng)中。 2、提供各種靈活多變的連網(wǎng)方式，系統(tǒng)要有一定的可擴(kuò)充性和可擴(kuò)展性。 3、提供高速平臺與足夠的帶寬，為將來的OA系統(tǒng)、圖象系統(tǒng)、遠(yuǎn)程教學(xué)、多媒體教學(xué)等應(yīng)用提供一條可靠、健壯的“信息高速公路”。 4、必須對整個校園網(wǎng)進(jìn)行有效的集中網(wǎng)絡(luò)管理。 5、可以為校園內(nèi)各個系之間提供郵件服務(wù)、BBS服務(wù)、文件服務(wù)、WEB服務(wù)等多種Internet服務(wù)。6、隨著多媒體教學(xué)、遠(yuǎn)程教育、圖象監(jiān)控等業(yè)務(wù)的開展，校園網(wǎng)本身的業(yè)務(wù)范圍將不斷擴(kuò)大，對學(xué)校的網(wǎng)絡(luò)性能提出了新的要求。設(shè)計原則一、系統(tǒng)總體設(shè)計目標(biāo) 組建的整個學(xué)校的校園網(wǎng)，既能將整個學(xué)校計算機(jī)都納入整個校園網(wǎng)中，實(shí)現(xiàn)統(tǒng)一規(guī)劃、分塊工作、異地互聯(lián)、整體管理，并有可為將來的應(yīng)用擴(kuò)展和系統(tǒng)的升級預(yù)留接口。要達(dá)到以下要求： 各系組建自己相對獨(dú)立的本地局域網(wǎng)，既能滿足各系正常的教學(xué)計算機(jī)化的要求，又能通過廣域網(wǎng)完成與其他系或相關(guān)部門之間的信息交流。 網(wǎng)絡(luò)管理中心能滿足自身的正常教學(xué)計算機(jī)化的要求，又能通過局域網(wǎng)將各系、各大樓之間和本地網(wǎng)絡(luò)中心聯(lián)接成一個整體，通過網(wǎng)管系統(tǒng)監(jiān)控各個系的網(wǎng)絡(luò)運(yùn)行情況，并通過局域網(wǎng)的高速優(yōu)質(zhì)傳輸線路為各系的各種請求提供良好的服務(wù)。 二、系統(tǒng)設(shè)計原則實(shí)用性：保護(hù)各系原用的設(shè)備投資和能夠完全滿足現(xiàn)實(shí)需求的角度出發(fā)，充分集成現(xiàn)有的各種計算機(jī)和網(wǎng)絡(luò)設(shè)備，使建設(shè)的系統(tǒng)適用、安全、可靠且易管理、維護(hù)和擴(kuò)展，具有最高的性價比。 開放性：構(gòu)造一個開放的網(wǎng)絡(luò)系統(tǒng)，是當(dāng)前世界計算機(jī)技術(shù)發(fā)展的潮流，因此我們在整個系統(tǒng)的設(shè)計中采用的規(guī)范、設(shè)備與廠商無關(guān)，具有較強(qiáng)的兼容性，便于與外界異種機(jī)平滑互聯(lián)。 先進(jìn)性： 當(dāng)今的計算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展日新月異，把握不準(zhǔn)的方向則可能導(dǎo)致在很短的時間內(nèi)技術(shù)落伍，從而面臨被淘汰的危險。因此在堅持實(shí)用性的前提下盡量采用國際先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)和設(shè)備，適合未來的發(fā)展，做到一次規(guī)劃長期受益。 可擴(kuò)充性： 所選擇的聯(lián)網(wǎng)方案及設(shè)備要能適應(yīng)網(wǎng)絡(luò)規(guī)劃的不斷擴(kuò)大的要求，以便于將來設(shè)備的擴(kuò)充；要能適應(yīng)信息技術(shù)不斷發(fā)展的要求，平穩(wěn)地向未來新技術(shù)過渡。可靠性： 系統(tǒng)設(shè)計除采用信譽(yù)好，質(zhì)量高的設(shè)備外，還采用一系列容錯、冗余技術(shù)、提高整個系統(tǒng)的可靠性。 安全性： 安全性包括兩個方面，一、網(wǎng)絡(luò)用戶級的安全性；二、數(shù)據(jù)傳輸級的安全性。網(wǎng)絡(luò)用戶級的安全性應(yīng)在網(wǎng)絡(luò)的操作系統(tǒng)中予考慮，而數(shù)據(jù)傳輸?shù)陌踩詣t必須在網(wǎng)絡(luò)傳輸時解決。設(shè)計方案應(yīng)用模式設(shè)計方案：對XX大學(xué)的校園網(wǎng)這種規(guī)模大、集成度高的網(wǎng)絡(luò)，我們建議采用Client/Server結(jié)構(gòu)模式，即將網(wǎng)絡(luò)結(jié)構(gòu)建立在各類信息分布處理和集中管理相結(jié)合的方式上；由于將數(shù)據(jù)處理工作放在各客戶機(jī)(Client)獨(dú)立處理，減輕了服務(wù)器（Server)的負(fù)擔(dān)，設(shè)備的性能可得到了良好的應(yīng)用，而且資源信息可以分布共享、集中管理，使得系統(tǒng)的可靠性、開放性不單單依賴服務(wù)器，互補(bǔ)性很強(qiáng)。這種結(jié)構(gòu)靈活性好，速度快，可靠性高，是當(dāng)今流行的網(wǎng)絡(luò)系統(tǒng)方案。網(wǎng)絡(luò)帶寬設(shè)計方案：采用交換式以太網(wǎng)方案。 交換以太網(wǎng)是以常規(guī)以太網(wǎng)為基礎(chǔ)的。它為每個節(jié)點(diǎn)提供專用的以太網(wǎng)連接，為該段確保轉(zhuǎn)有的10Mbps數(shù)量級帶寬的性能，它對要求專用服務(wù)的應(yīng)用，如電視會議和其它自然數(shù)據(jù)型應(yīng)用，是一種理想的選擇，因?yàn)樗_保應(yīng)用達(dá)到較低延時。交換以太網(wǎng)保留了傳統(tǒng)以太網(wǎng)的幀格式，因此它可以保留現(xiàn)有以太網(wǎng)的基礎(chǔ)設(shè)施。用戶接入層選用Quidway S2403F二層交換機(jī)，S3526三層交換機(jī)（如上圖所示）。由于各個主機(jī)與交換機(jī)距離較近，二層交換機(jī)下行電纜線選用5類雙絞線；而各系所在辦公樓較大，S2403F與S3526的距離已經(jīng)超過電纜線的標(biāo)準(zhǔn)100米，因此選用100Base-FX光纖，為上行線路提供100M帶寬。匯聚層設(shè)備匯聚了網(wǎng)絡(luò)的大量流量，要求較高的數(shù)據(jù)轉(zhuǎn)發(fā)速度，并且實(shí)施路由策略和安全控制。因此，匯聚層設(shè)備選用Quidway S8016三層交換機(jī)。S8016可以實(shí)現(xiàn)全GE口的IP/MPLS線速轉(zhuǎn)發(fā)，提供豐富的路由協(xié)議支持和路由策略控制。由于XX大學(xué)各個系分布較散，傳輸距離遠(yuǎn)，為了提供1000M帶寬，我們必須采用光纖1000Base-FX。核心層主要功能是實(shí)現(xiàn)遠(yuǎn)程站點(diǎn)之間的優(yōu)化傳輸，核心層設(shè)備要求很大的數(shù)據(jù)傳輸能力和路由負(fù)載平衡。我們可以選用Quidway S8016三層交換機(jī)，整機(jī)處理性能超過96Mpps。傳輸介質(zhì)選用1000Base-FX 單模光纖（最長70公里）接入Internet出口。為了保證校園網(wǎng)不受外部非法攻擊，我們部署了硬件防火墻?？煽啃栽O(shè)計方案：由于校園網(wǎng)數(shù)據(jù)量大，訪問人員多，同時承擔(dān)了大量數(shù)據(jù)的傳輸、服務(wù)等工作，對匯聚層設(shè)備的容錯性提出了很高的要求。為了加強(qiáng)網(wǎng)絡(luò)的可靠性和可擴(kuò)展性，匯聚