網(wǎng)絡總體建設目標

1、第三章 網(wǎng)絡總體建設目標3.1網(wǎng)絡建設目標本項目的目標是：“建立一個設計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率”。 搭建公司核心網(wǎng)絡及服務器,以實現(xiàn)生產(chǎn)運營系統(tǒng)的運行, 各公司用戶能夠進行資源共享，并能夠進行上網(wǎng)查資料，電子郵件，對外發(fā)布網(wǎng)站等等。按照“高效能、低成本”的要求，采用兩層網(wǎng)絡結構，按要求實現(xiàn)網(wǎng)絡安全的需求。網(wǎng)絡設備主要以核心交換區(qū)設備為主。要求計算機網(wǎng)絡系統(tǒng)滿足系統(tǒng)集成的網(wǎng)絡平臺需求，并考慮對設備投資保護，保證未來幾年的系統(tǒng)擴展。組建一個高效、穩(wěn)定、可靠、易管理

2、、安全的企業(yè)網(wǎng).3.2網(wǎng)絡及系統(tǒng)建設內(nèi)容及要求我們把整個網(wǎng)絡分為內(nèi)部交換網(wǎng)絡設計、網(wǎng)絡出口設計，網(wǎng)絡安全設計三大部分：對于內(nèi)部交換網(wǎng)絡我們采用分層設計。內(nèi)部交換網(wǎng)絡分成核心層和接入層兩大部分。核心層作為整個網(wǎng)絡系統(tǒng)的核心，其主要功能是高速、可靠的進行數(shù)據(jù)交換。為加速數(shù)據(jù)的快速轉(zhuǎn)發(fā)，我們在核心層采用以太通道技術，增加網(wǎng)絡帶寬，提高數(shù)據(jù)轉(zhuǎn)發(fā)效率。為提高網(wǎng)絡鏈路的冗余性，采用hsrp技術做熱備份，stp技術，保證鏈路的冗余性等。接入層主要提供最終用戶接入網(wǎng)絡的途徑。主要進行vlan的劃分等。對于邊界網(wǎng)絡，網(wǎng)絡的安全是一個需要考慮的重要因素，所以應部署相應的安全策略以防止黑客攻擊，邊界設備的冗余設計也

3、是需要考慮的，防止單點故障。對于服務器，采用raid5磁盤陣列，數(shù)據(jù)除第一次用完全備份后，以后每天做增量備份，備份的的服務器或設備單獨放置其他全安地點。3.3網(wǎng)絡設計原則作為一家優(yōu)秀的系統(tǒng)集成商，向用戶提供的不僅僅是設備，而是整套的技術與服務。我們始終堅持“高標準，高性能”的原則。在方案設計時，我們將嚴格遵循以下設計原則： 高可靠性-網(wǎng)絡系統(tǒng)的穩(wěn)定性是應用系統(tǒng)正常運行的關鍵保證，在網(wǎng)絡設計中選用高可靠性網(wǎng)絡產(chǎn)品，合理設計網(wǎng)絡結構，制定可靠地網(wǎng)絡備份策略，保證網(wǎng)絡具有故障自愈的能力，最大限制地支持各個系統(tǒng)的正常運行。 靈活性及可擴展性-根據(jù)未來業(yè)務的增長和變化，網(wǎng)絡可以平滑地擴展和升級，最大限制

4、地減少對網(wǎng)絡架構和設備的調(diào)整。 高性能-承載網(wǎng)絡性能是網(wǎng)絡通訊系統(tǒng)良好運行的基礎，設計中心必須保障網(wǎng)絡及設備的高吞吐能力，保證各種信息（數(shù)據(jù)，語音，圖像）的高質(zhì)量傳輸，才能使網(wǎng)絡不成為各項業(yè)務開展的瓶頸。 性價比高-網(wǎng)絡方案的設計必須充分考慮投資保護。第四章 網(wǎng)絡設計4.1背景該公司是一家即將成立的一家制造工廠，本項目的目標是：建立一個設計規(guī)范、功能完備、性能優(yōu)良、安全可靠、有良好的擴展性與可用性并且具備可管理易維護的網(wǎng)絡及系統(tǒng)平臺，以高效率，高速度，低成本的方式提高公司員工的工作效率與執(zhí)行效率。本期工程項目完成后，網(wǎng)絡平臺總部內(nèi)有大型服務器提供服務，外接分支機構網(wǎng)絡平臺的設計用戶節(jié)點數(shù)為總部

5、為500或更多用戶分部地為10-50個用戶。 所以拓撲圖分為兩個部分：總公司的總部網(wǎng)絡和分公司的分部網(wǎng)絡，中間架設防火墻以防止內(nèi)部信息的泄露和防止外部閑雜人員的攻擊，所以拓撲圖這樣設計。4.2 網(wǎng)絡總體拓撲圖4.3 網(wǎng)絡層次化設計隨著網(wǎng)絡技術的迅速發(fā)展，信息化浪起潮涌。整個廣域網(wǎng)（總部網(wǎng)絡、分布網(wǎng)絡）都采用cisco層次化結構來設計，在網(wǎng)絡設計中，我們將原來的接入層，匯聚層和核心層三層構架緊縮成核心層和接入層，實現(xiàn)cisco二層緊縮式網(wǎng)絡模型，層次化的網(wǎng)絡結構結合層次化的ip編址方案，不僅能提高網(wǎng)絡的可管理性，更加提高了網(wǎng)絡的穩(wěn)定性和可擴展性，為以后網(wǎng)絡升級提供了廣闊的空間。4.4 層次網(wǎng)絡在

6、網(wǎng)絡領域，層次型設計用于將設備劃分到多個網(wǎng)絡中，這些網(wǎng)絡采用分層方法組織。層次型設計模型包含3個基本層： 核心層：連接分布層設備。 分布層：將較小的本地網(wǎng)絡互連起來。 接入層：向網(wǎng)絡中的主機和終端設備提供連接性。相對于平面網(wǎng)絡設計，層次型網(wǎng)絡有些優(yōu)點。將平面網(wǎng)絡分為易于管理的小型模塊的優(yōu)點是，本地數(shù)據(jù)流將留在本地，只有前往其他網(wǎng)絡的數(shù)據(jù)流才進入更高層。4.4.1層次化網(wǎng)絡的優(yōu)點1) 構建了確定性網(wǎng)絡，明確定義了各個模塊之間的邊界。2) 這提供了清晰的分界點，讓網(wǎng)絡設計人員能夠確切了解數(shù)據(jù)流的源 頭和去向。3) 各個模塊彼此獨立，使設計變得簡單，設計人員只需關注每個區(qū)域的需求，讓企業(yè)能夠方便地添

7、加模塊，從而提供了可擴展性，隨著網(wǎng)絡的復雜程度增加，設計人員可以添加新的功能模塊。4) 讓設計人員無需修改底層的網(wǎng)絡設計就能添加服務和解決方案。4.5 核心層設計核心層即叫網(wǎng)絡主干。核心層的路由器和交換機提供高速連接。在企業(yè)lan中，核心層可能連接多棟大樓或多個站點，通過實現(xiàn)核心層，可降低網(wǎng)絡的復雜程度，從而簡化管理和故障排除工作。4.5.1核心層的目標核心層使得能夠在網(wǎng)絡的不同部分之間高效和快速地傳輸數(shù)據(jù)。核心層的主要設計目標如下： 提供100%的正常運行時間； 最大限度地提高吞吐量； 支持網(wǎng)絡增長。4.5.2核心層技術核心層使用的技術包括： 融路由選擇和交換功能于一身的路由器或多層交換機；

8、 冗余和負載均衡； 高速和聚合鏈路。擴展性良好且會聚速度快的路由選擇協(xié)議，如增強內(nèi)部網(wǎng)關路由選擇協(xié)議（eigrp）和開放最短路徑優(yōu)先（ospf）協(xié)議。4.5.3冗余鏈路通過在核心層部署冗余鏈路，可確保發(fā)生故障時網(wǎng)絡設備能找到替代路徑來發(fā)送數(shù)據(jù)。如果核心層使用了第三層設備，則除備用外，這些冗余鏈路還可用于負載均衡。在平面型第2層網(wǎng)絡設計中，除非主鏈路發(fā)生故障，否則生成樹協(xié)議（stp）將禁用冗余鏈路。stp的這種行為導致無法在冗余鏈路上進行負載均衡。4.5.4互聯(lián)拓撲網(wǎng)絡中的大多數(shù)核心層都采用全互聯(lián)或部分互聯(lián)拓撲。在全互聯(lián)拓撲中，任何兩臺設備都直接相連。4.6 匯聚層設計匯聚層是連接接入層和核心層

9、的網(wǎng)絡設備，為接入層提供數(shù)據(jù)的匯聚、傳輸、管理、分發(fā)處理.匯聚層為接入層提供基于策略的連接，如地址合并，協(xié)議過濾，路由服務。認證管理等.通過網(wǎng)段劃分(如vlan)與網(wǎng)絡隔離可以防止某些網(wǎng)段的問題蔓延和影響到核心層。匯聚層同時也可以提供接入層虛擬網(wǎng)之間的互連,控制和限制接入層對核心層的訪問,保證核心層的安全和穩(wěn)定。4.6.1會聚的定義及影響因素當所有路由器都獲取了有關網(wǎng)絡的完整、準確信息時，網(wǎng)絡便會聚完畢。會聚時間越短，網(wǎng)絡對拓撲變化做出反應的速度越快。影響會聚時間的因素包括： 路由選擇更新到達網(wǎng)絡中所有路由器的速度； 每臺路由器確定最佳路徑所需的時間； 選擇會聚時間可接受的路由選擇協(xié)議。在小型

10、網(wǎng)絡中，大多數(shù)動態(tài)路由選擇協(xié)議的會聚時間都是可接受的；在大型網(wǎng)絡中，路由選擇信息協(xié)議第2版（ripv2）等協(xié)議的會聚速度可能太慢，無法在鏈路發(fā)生故障時避免網(wǎng)絡服務中斷。一般而言，在大型企業(yè)網(wǎng)絡中，eigrp或ospf協(xié)議提供的路由選擇解決方案最穩(wěn)定。4.6.2會聚層的設計考慮因素大多數(shù)網(wǎng)絡同時使用動態(tài)路由和靜態(tài)路由。網(wǎng)絡設計人員必須考慮確保網(wǎng)絡中所有目的地都可達所需的路由數(shù)量。大型路由選擇表的會聚可能需要很長時間，網(wǎng)絡編址方案以及各層的匯總策略都會影響路由選擇協(xié)議對故障的反應速度。4.7 接入層設計接入層是指網(wǎng)絡中直接面向用戶連接或訪問的部分。接入層目的是允許終端用戶連接到網(wǎng)絡，因此接入層交換

11、機具有低成本和高端口密度特性。在本網(wǎng)絡中接入為各個分公司的交換機，因為分公司的所有數(shù)據(jù)流都必須經(jīng)過它來傳輸所以它同樣要求具備高穩(wěn)定性和高可靠性。4.7.1接入層的管理網(wǎng)絡設計人員的一個主要考慮因素是改進接入層的可管理性。接入層管理非常重要，其原因如下：1）接入層連接設備的數(shù)量和類型在不斷增多； 在lan中引入了無線接入點； 方便管理的設計。2）除在接入層提供基本連接性外，設計人員還需要考慮如下因素：命名結構； vlan架構； 數(shù)據(jù)流模式； 優(yōu)先級策略。對大型融合網(wǎng)絡來說，配置和使用網(wǎng)絡管理系統(tǒng)非常重要，盡可能讓配置和設備標準化也非常重要。3）遵循優(yōu)秀的設計原則可簡化網(wǎng)絡管理和支持，因為這樣可以

12、： 避免網(wǎng)絡變得太復雜； 簡化故障排除； 以后更容易新增功能和服務。4.8 內(nèi)聯(lián)接入又稱企業(yè)內(nèi)連網(wǎng)，是用因特網(wǎng)技術建立的可支持企事業(yè)內(nèi)部業(yè)務處理和信息交流的綜合網(wǎng)絡信息系統(tǒng)，通常采用一定的安全措施與企事業(yè)外部的因特網(wǎng)用戶相隔離，對內(nèi)部用戶在信息使用的權限上也有嚴格的規(guī)定。內(nèi)聯(lián)接入的作用是用于連接總部網(wǎng)絡和分部網(wǎng)絡，這樣做的目的是保證整個網(wǎng)絡的安全性。第五章 路由設計5.1 路由協(xié)議選擇為達到路由快速收斂、尋址以及方便網(wǎng)絡管理員管理的目的，為這個網(wǎng)絡選擇ospf和靜態(tài)路由兩種協(xié)議：提供了異構網(wǎng)互聯(lián)的機制，實現(xiàn)將一個網(wǎng)絡的數(shù)據(jù)包發(fā)送到另一個網(wǎng)絡。而路由就是指導ip數(shù)據(jù)包發(fā)送的路徑信息。路由協(xié)議主要

13、運行于路由器上，就是在路由指導ip數(shù)據(jù)包發(fā)送過程中事先約定好的規(guī)定和標準。路由協(xié)議是用來確定到達路徑的，它包括rip,igrp,eigrp,ospf。它工作在網(wǎng)絡層。5.1.1靜態(tài)路由靜態(tài)路由表在開始選擇路由之前就被網(wǎng)絡管理員建立，并且只能由網(wǎng)絡管理員更改，所以只適于狀態(tài)比較簡單的環(huán)境。1）靜態(tài)路由具有以下特點： u 靜態(tài)路由無需進行路由交換，因此節(jié)省網(wǎng)絡的帶寬、cpu的利用率和路由器的內(nèi)存。 u 靜態(tài)路由具有更高的安全性。在使用靜態(tài)路由的網(wǎng)絡中，所有要連到網(wǎng)絡上的路由器都需在鄰接路由器上設置其相應的路由。因此，在某種程度上提高了網(wǎng)絡的安全性。 u 有的情況下必須使用靜態(tài)路由，如ddr、使用n

14、at技術的網(wǎng)絡環(huán)境。 2）靜態(tài)路由具有以下缺點： u 管理者必須真正理解網(wǎng)絡的拓撲并正確配置路由。 u 網(wǎng)絡的擴展性能差。如果要在網(wǎng)絡上增加一個網(wǎng)絡，管理者必須在所有路由器上加一條路由。 u 配置煩瑣，特別是當需要跨越幾臺路由器通信時，其路由配置更為復雜。5.2 ospf協(xié)議 （open shortest path first，ospf）協(xié)議是一種為開發(fā)的內(nèi)部網(wǎng)關路由選擇協(xié)議，由ietf開 發(fā)并推薦使用。由三個子協(xié)議組成：hello協(xié)議、交換協(xié)議和擴散協(xié)議。其中hello協(xié)議負責檢查鏈路是否可用，并完成指定路由器及備份指 定路由器；交換協(xié)議完成“主”、“從”路由器的指定并交換各自的路由數(shù)據(jù)庫信

15、息；擴散協(xié)議完成各路由器中路由數(shù)據(jù)庫的同步維護。 ospf 協(xié)議采用鏈路狀態(tài)協(xié)議算法，每個路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存整個as的拓撲結構（在as不劃分的情況下）。一旦每個路由器有了完整的鏈路狀態(tài)數(shù)據(jù)庫，該路由器就可以自己為根，構造最短路徑路徑樹，然后再根據(jù)最短路徑構造路徑表。對于大型的網(wǎng)絡，為了進一步減少路由協(xié)議通信流量，利于管理和計算。ospf將整個as 劃分為若干個區(qū)域 ，區(qū)域內(nèi)的路由器維護一個相同的鏈路狀態(tài)數(shù)據(jù)庫，保存該區(qū)域的拓撲圖結構。ospf 路由器相互間交換信息，但交換的信息不是路由，而是鏈路狀態(tài)。ospf 定義了5種分組：hello分組用于建立和維護鄰居關系；數(shù)據(jù)庫描

16、述分組初始化路由器的網(wǎng)絡拓撲數(shù)據(jù)庫；當發(fā)現(xiàn)數(shù)據(jù)庫中的某部分信息已經(jīng)過時后，路由器發(fā)送鏈路狀態(tài)請求分組，請求鄰站提供更新信息；路由器使用鏈路狀態(tài)更新分組來主動擴展自己的鏈路狀態(tài)數(shù)據(jù)庫或?qū)︽溌窢顟B(tài)請求分組進行相應；由于ospf直接運行在ip層，協(xié)議本身要提供確認機制，鏈路狀態(tài)應答分組狀態(tài)更新分組進行確認。相對于其他協(xié)議，ospf有許多優(yōu)點。ospf 支持各種不同鑒別機制（如簡單口令驗證，md5加密驗證等），并且允許各個系統(tǒng)或區(qū)域采用互不相同的鑒別機制；提供負載均衡功能，如果計算出道某個目的站有若干條費用相同的路由，ospf 路由器會把通信流量均勻地分配給這幾條路由，沿這幾條路由把該分組發(fā)送出去；在

17、一個自制系統(tǒng)內(nèi)可劃分出若干個區(qū)域，每一個區(qū)域根據(jù)自己的拓撲結構計算最短路徑，這樣減少了ospf路由實現(xiàn)的工作量；ospf屬于動態(tài)的自適應協(xié)議，對于網(wǎng)絡的拓撲結構變化可以迅速的作出反應，進行相應調(diào)整，提供短的收斂期，使路由表盡快穩(wěn)定化，并且與其它路由協(xié)議相比，ospf在對網(wǎng)絡拓撲變化的處理過程中僅需要最少的通信流量；ospf 提供點到多點接口，支持cidr(無類路由)地址。我們把總部規(guī)劃為area0，內(nèi)部網(wǎng)絡設備都規(guī)劃位area0。各區(qū)域接入路由器根本區(qū)域不同使用動態(tài)協(xié)議，或者使用靜態(tài)路由與動態(tài)路由結合的方式。5.2.1 ospf協(xié)議具有以下優(yōu)點： 1. ospf能夠在自己的鏈路狀態(tài)數(shù)據(jù)庫內(nèi)表示

18、整個網(wǎng)絡，這極大地減少了收斂時間，并且支持大型的互聯(lián)，提供了一個異構網(wǎng)絡間通過同一種協(xié)議交換網(wǎng)絡信息的途徑，并且不容易出現(xiàn)的路由信息。ospf支持通往相同目的的多重路徑。 2. ospf使用路由標簽區(qū)分不同的外部路由。 3. ospf支持路由驗證，只有互相通過路由驗證的路由器之間才能交換路由信息；并且可以對不同的區(qū)域不同的驗證方式，從而提高了網(wǎng)絡的安全性。 4. ospf支持費用相同的多條鏈路上的負載均衡。 5. ospf是一個非族類路由協(xié)議，路由信息不受跳數(shù)的限制，減少了因分級路由帶來的子網(wǎng)分離問題。 6. ospf支持vlsm和非族類路由查表，有利于網(wǎng)絡地址的有效管理ospf使用area對

19、網(wǎng)絡進行分層，減少了協(xié)議對cpu處理時間和內(nèi)存的需求。 5.2.2 ospf的網(wǎng)絡類型ospf定義的5種網(wǎng)絡類型:1. 點到點網(wǎng)絡 (point-to-point)2. 廣播型網(wǎng)絡 (broadcast)3. 非廣播型(nbma)網(wǎng)絡 (non-broadcast)4. 點到多點網(wǎng)絡 (point-to-multipoint)5. 虛鏈接(virtual link)i. 點到點網(wǎng)絡, 比如t1線路,是連接單獨的一對路由器的網(wǎng)絡,點到點網(wǎng)絡上的有效鄰居總是可以形成鄰接關系的,在這種網(wǎng)絡上,ospf包的目標地址使用的是224.0.0.5,這個稱為allspfrouters.ii. 廣播型網(wǎng)絡,比如以太網(wǎng),token ring和fddi,這樣的網(wǎng)絡上會選舉一個dr和bdr,dr/bdr的發(fā)送的ospf包的目標地址為224.0.0.5,運載這些ospf包的幀的目標mac地址為0100.5e00.0005;而除了dr/bdr以外發(fā)送的ospf包的目標地址為224.0.0.6,這個地址叫alldrouters.iii.