园区网络设计方案

1 园区网络设计方案 第一章 绪论 况 随着计算机网络的迅速发展， 曾经在园区 网 中被大量使用的 10M/100M 以太网技术、 术 已经 渐渐不能适应 现在的 业务需求，作为园区主干 网 ，10M/100M 以太网作为主干网络核心技术带宽不足的弊病渐渐凸显，已经严重影响 着园 区网络的 运行 效率，目前仍有许多大型园区网络 在 使 用 术，这样的网络面临两个问题： 路由的性能不能满足网络 需求 ，并且 术正在逐步 被 淘汰 。 现在，千兆以至 10G 级别以太网技术正逐渐成为园区网络主干的主流技术。因此，许多大型园区网络面 临技术改造或者重新设计。 要内容 本文主要做了以下两个方面的工作： 第一，介绍了园区网络的 含义 、 特点 ，按 网络设计与组网课程的要求方法 规划设计一个完整的园区网络。 第二，使用 华为的 网络进行了简单的模拟 ，以实现网络的互通互联，对各层设备进行了配置。 2 第二章 园区网概述 区网含义 园区网是指为企事业单位组建的办公局域网。典型的园区网包括校园网、社区网、住宅小区网、企事业单位网等。 区网特点 园区网是网络的基本单元。 园区网较适合于采用三层结构设计。 园区网对线路成本 考虑的较少，对设备性能考虑的较多，追求较高的带宽和良好的扩展性。 园区网的结构比较规整。 区网发展趋势 从计算机网络应用角度来看，网络应用系统将向更深和更宽的方向发展，这也相应的影响着未来园区网的发展方向。 首先， 息服务将会得到更大发展。网上信息浏览、信息交换、资源共享等技术将进一步提高速度、容量及信息的安全性。 其次，远程会议、远程教学、远程医疗、远程购物等应用将逐步从实验室走出，不再只是幻想。网络多媒体技术的应用也将成为网络发展的热点话题。 3 第三章 园区网设计 求分析 某企业园区刚刚建成，是一大型企业的分支机构，为了实现企业的办公信息自动化，扩大企业的影响，方便和总部的信息交流，需要建立自己企业的 企业现在有 2 幢 9 层的办公大楼，分别是生产部和销售部，另外还有一个家属区，家属区有 3 幢 6 层的大楼，两个相距 300 米。企业局域网需要考虑覆盖办公区和家属区。局域网需要实现的目标如下： 实现有效的信息交换和共享。企业通过两条专线接入电信和网通。 企业需要实现办公自动化。局域网提供企业内部电子邮件收发、信息浏览、文件管理、会议管理、电子公告等多方面应用。 为了扩大企业的影响，企业对外提供自己的宣传网站，并且能够保证网站安全，不受外部或者内部攻击。 充分考虑今后各部门的接入扩展性。 充分考虑企业内部网络的安全性。 络设计原则 我们遵循以下的原则进行网络设计： 实用性 实用性是网络系统建设的首要原则，该网络必须最大限度的满足需求，保证网络服务的质量，否则就会影响日常工作效率。 标准化 整个网络从设计、技术和设备的选择，要确保将来可能的不同厂家设备、不同应用、不同协议连接的需求，必须支持国际标准的网络接口和协议，以提供高度的开放性。 先进性 先进 性主要是针对网络系统的设计思想、网络结构、软硬件设施以及所选用技术等方面。只有先进的技术才可能为网络带来更高的性能，并且能保证在技术上不容易被淘汰。 可扩展性 4 可扩展性是指该网络系统能够适应需求的变化。随着技术发展，信息量增多和业务的扩大，网络将在规模和性能两方面进行一定程度的扩展。 可靠性 网络要求具有高可靠性，高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份，为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效，核心设备需要支持冗余备份。 安全性 网络安全性在整个网络中是个很重要的问题，网 络系统建设应采取一定手段控制网络的安全性，以保证网络正常运行。 管理性 随着网络规模和复杂程度的增加，管理和故障排除就会越来越困难。为保障网络中心的正常运行，网络必须易于管理，支持网络网段与端口的监控、网络流量与出错的统计、网络故障的定位、诊断、修复。 络模型设计 图 型的 三层网络模型 5 三层网络架构采用层次化模型设计，即将复杂的网络设计分成 三 个层次，每个层次着重于某些特定的功能，这样就能够使一个复杂的大问题变成许多简单的小问题。三层网络架构设计的网络有 以下 三个层次： 心 层 核心层是网络的高速交换主干 ,对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性 :可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。 该层必须是基于千兆高速交换和路由的设计，设备的性能容量也是最高的（高达百量和每秒千万级数据包转发能力）。主要是由全模块化的高性能多层路由交换机和高性能服务器组成，系统带宽必须是千兆甚至 10 聚层 汇聚层是网络接入层和核心层的“中介”，就是在工作站接入核心层前先做汇聚，以减轻核心层设备的负荷。汇聚层具有实施路由策略、 安全、工作组接入、虚拟局域网 (间的路由、源地址或目的地址过滤等多种功能。 该层一般采用 100M 或 1000M 的快速交换路由设计，设备的性能容量性也很高，主要由固定配置 +可选模块的三层路由交换设备组成。 入层 接入层向本地网段提供工作站接入。在接入层中，减少同一网段的工作站数量 ,能够向工作组提供高速带宽。 访问层是由 100M 快速以太网交换机和客户机组成，该层次一般采用 100M 快速以太网，采用可管理的固定配置的工作组级别的交换机，能提供多层堆叠功能实现大量用户的接入。 三层网络架构 的特点是网络性能高，层次清晰，网络管理直观、方便，并合理地分散了网络设备带来的安全风险，网络结构安全可靠。 6 区网络拓扑图 图 层网络架构的 园区网拓扑图 P 地址规划 在构建基于 P 的企业网络时， 址的选择是根据企业网络规模大小从以下三类国际 织公布的私有网段中产生，这些范围内的 址不在 传输，是专门提供给企业用来建设内部网络： A 类私有 B 类私有 C 类私有 对于小型园区网络，由于上网用户少、设备数量少，6 的网络。而对于中大型园区网络，如三层结构的校园网，由于上网人数多，设备数量多，建议采用地址空间大的 的网络。 7 划 虚拟局域网 (将局域网内广播域逻辑地划分为若干子网。在一个交换局域网中，所有局域网段通过交换机连接到一起，路由器连在交换机上 (如 果是三层交换机，则不需路由器 )，可以按网段和站点的逻辑分组形成广播域，通过在局域网交换机内过滤广播包，使得源于特定虚拟局域网的信息包仅传送到那些也属于这个虚拟局域网的网段上。虚拟局域网之间的寻径由路由器完成。 虚拟局域网建立以后，能有效地控制网络的广播风暴，减少不必要的资源带宽浪费，并能随着企业规模的发展和调整改变通信流的模式。 划需要考虑如下因素： 用户 设备管理 开 (址 )。 为网络扩容进行可汇总的预留设计。 址与 号 (其它相关因素 )有一定的对照性。如图 示： 用 户 V L A N V L A N 1 0 0用 户 I P 地 址 段 1 0 . 1 . 1 0 0 . 0 / 2 4楼 号 1 图 P 和 应规则 根据具体需求与安全性要求等情况综合分析，园区网 址详细规划如表 示 ： 表 P 地址规划表 物理位置 围 段 默认网关 获取方式 住宿区 00 4 4 公区 00 4 4 务器组 态指定 由协议选择 路由协议可分为 距离矢量、链路状态和混合型路由协议 。 8 使用距离矢量路由协议时，所有路由器只能向它的邻居路由器发送 自己的整张 路由表。然后路由器使用接收到的 路由条目 确定是否需要 更新 自己的路由表。这个过程会周期性的重复进行。 与此相反，当网络使用链路状态路由协议时，每个路由器可以向其 它 所有的路由器发送自己的接口（链路）状态 信 息 ，但是这 仅仅 发生在网络 拓扑 发生变化的时候，每个路由器使用收到的 链路状态信息 重新计算 自己 到每个目标网络的最佳途径，然后把这些 路由 信息保存到 自己的 路由表中。 混合型 路由 协议，顾名思义，该协议借用了距离矢量和链路状态协议的思想。混合型协议能向邻居路由器（类似距离矢量）发送变动的信息（类似链路状态） 。 路由协议的比较 路由信息协议（ 一种简单的动态路由协议， 今有两个版本， 者是前者的改进版本， 一种有 类的距离矢量路由协议，它最显著的特点是在路由更新报文中不携带子网信息， 认的管理距离是 120，它使用跳数做为度量值，最大跳数是 15，如果超过 15 就认为目标网络不可达，所以 能适用于小型的网络中。 内部网关路由协议（ 有的协议，其目的是为了取代 也是一种距离矢量路由协议，服了 一些严重缺陷，如 计算路由度量值时没有使用跳数，而是采用链路特征，因此要优于 议。但 由于 有的协议，非 商的设备不能支持 议，它的改进版是 增强型内部网关路由协议（ 增强型的 议，它是一种典型的平衡混合路由选择协议，它融合了距离矢量和链路状态两种路由协议的优点，使用一种散射更新算法，实现了很高的路由性能，但由于 是 有协议，不能在其它非 备上使用，它的应用也受到了限制。 开放最短路径优先（ 一种典型的链路状态、无类别 由协议， 够适应大型 络的扩展，而基于距离矢量的 由协议如 不能适应这种网络。 于链路状态，其路由是基于网络地址及链路状态度量的。作为一种自适应协议， 以根据网络状态故障情况自动调整，具有收敛时间短的优点，有利于路由表的快速稳定，这样使 9 以支持大型的网络。 设计可以防止通信数据形成环路，这对于网状网络或由多个路由器实现的不同局域网互联非常重要。 有其它一些特性： 使用了区域的概念，有效的减少了路由选择协议对路由器的 内存的占用率，划分区域还可以降低路由协议的通信量，从而使构建层次化互联网成为可能。 完全无类别地处理地址问题，排除了有类路由协议存在的问题。 支持使用多条路由路径的、效率更高的负载均衡。 使用保留的组播地址来减少对不运行 议的设备的影响。 支持更安全的路由选择认证。 使用可以跟踪外部路由的路由标记。 经过各种路由协议的对比和选择，园区网适合采用 由协议。 置规范 主机命名规范 如果 客户有规范或明确合理要求，则按照客户的规范或要求进行配置。如金融行业规范。如果客户没有规范或明确合理要求，可参考设备位置、网络位置、设备型号、设备编号等因素，在项目中制定统一的命名规范。主机命名规范如下图 示： 图 机命名规范 10 设备互联接口描述 项目中所有涉及到可网管设备互联的端口必须配置端口描述 登陆密码配置 项目中所有可网管设备必须配置特权密码及远程登陆密码。 系统时间配置 项目中所有可网管设备必须重新设置正确的系统时间。 二层交换机管理 置 项目中可网管二交换机必须配 置管理 址，供管理员远程管理设备所用。 11 第四章 网络安全设计 园区网的安全是一个综合问题，它包含网络设备和人为因素两个方面以及与外网（ 口上的安全问题。网络的有效性和可靠性即它的可连续运行的安全性是网络建设必须考虑的首要原则，从用户的角度考虑，当网络所需的服务不可用时，不管是何种原因，网络就失去了实际价值。从另一角度看，当某种网络服务的响应时间变得变幻莫测时，网络系统也不可靠了。为此我们在网络设计上就考虑了以下的技术来提高安全性 。 术 术是通过路由和交换 设备，在网络的物理拓扑基础上建立的一个逻辑的网络。 以看作是一个广播域，它们不受地理位置的限制而像处于同一 那样相互交换信息。 在交换网络中实现的。每个交换设备均可根据网络管理人员所定义的 分方法对报文进行过滤和转发，并能将这种划分信息传递到网络中其它交换设备和路由器中去。可以限制 的用户数量，禁止那些没有得到许可的用户加入到某个 。这样，可以控制用户对网络资源的访问，控制广播组的大小和组成，并借助网管软件在发生非法入侵时通知管理员。交换机上划分 法如图 示： 1 432交 换 机广 播 域广 播 域V L A N 1 0 V L A N 2 0图 换机划分 法 12 术 虚拟专用网（ 术的基本思路是充分利用现有的公用网络来建立一个私有的、安全的连接，即建立一条穿过混乱的公用网络的安全、稳定的隧道，同时避免昂贵的专线租用费用，它使用的是建立在物理连接基础上的逻辑连接，客户并不能意识到实际的物理连接，而且在穿越 安全性与在专用网络中进行安全路由的安全性基本相同。 火墙技术 目前，在保护计算机网络安全的设备中，使用最多的就是防火墙。防火墙是在两个网络之间执行控制策略的系统，这两个网络中，通常一个是要保护的内部网，一个是外部网，防火墙在内部网和外部网之间构成一道屏障，通过检测、限制或者更改通过它的数据流，对外屏蔽内部网的信息、结构和运行状况，以防止发生网络入侵或攻击，达到对内部网的安全保护。防火墙原理如图 示： 黑 客禁 止服 务 器 或 用 户图 火墙原理图 13 第五章 网络模拟实现 拟器介绍 一款由华为提供的免费的、可扩展的、图形化操作的网络仿真工具平台，主要对企业网路由器、交换机进行软件仿真，完美呈现真实设备实景，支持大型网络模拟，让广大用户有机会在没有真实设备的情况下能够模拟演练，学习网络技术。界面如图 示： 图 5.1 界面 拟环境拓扑图 由于园区网络规模 较 大，本次只