网络工程设计课件

第7章企业网设计第7章企业网设计2网络拓扑图设计网络拓扑图是设计复杂网络重要的一步一个图G是两个不相交的集所组成的有序对<V,E>，其中V是顶点集，而E是边集，E是V元素的无序对集合的一个子集图的边表示一个网络或子网，图的顶点表示路由器等互连设备该图只说明网络的几何形状，而不表明子网或互连设备的具体位置首要问题是确定网络和互连点，明确网络的大小和范围，以及所需要的网络互连类型，但不必是具体的设备2网络拓扑图设计网络拓扑图是设计复杂网络重要的一步3平面拓扑结构

平面网络：没有层次的网络每个互连设备实质上都完成类似的工作，网络既不分层，也不划分模块平面网络结构易于设计和实现北京总部上海分部广州分部沈阳分部3平面拓扑结构平面网络：没有层次的网络北京总部上海分部广州平面局域网拓扑结构将许多微机和服务器与一个交换机连接，采用是平面结构设计为满足大量用户和高带宽应用程序对带宽要求，考虑用交换机形成高速主干，形成具有二层网络拓扑结构能够将网络分解成多个小的冲突域，使得在任何时候只有有限数量的设备争用带宽当主机数量进一步增多时，可以将路由器添加到企业网中以隔离广播通信4平面局域网拓扑结构将许多微机和服务器与一个交换机连接，采用是5二层拓扑结构：某医院网络设计例子5二层拓扑结构：某医院网络设计例子平面广域网拓扑结构小型企业网可能由连接成回路的几个场点构成，每个场点都有一个WAN路由器，通过点对点链路与相邻场点相连该平面拓扑结构具有容错的优点回路结构意味着在双向回路路由器之间有许多跳，结果将导致明显的时延和较高的差错率回路结构两侧的路由器交换了大量的流量，应当考虑使用层次结构，而不是平面结构平面广域网拓扑结构小型企业网可能由连接成回路的几个场点构成，层次型冗余拓扑结构

为避免单点故障，可在设计中采用冗余的路由器或交换机平面结构可以满足低成本和良好的可用性目标，但要求网络的范围较小冗余结构可以满足可扩展性、高可用性和低时延目标北京总部上海分部广州分部沈阳分部成都分部北京总部上海分部广州分部沈阳分部层次型冗余拓扑结构为避免单点故障，可在设计中采用冗余的路由网状拓扑结构提供了完全冗余和良好的性能使用和维护代价很高，它在性能优化、排错和升级方面也较困难限制了连接到路由器PC的数量(a)部分网状拓扑结构(b)完全网状拓扑结构网状拓扑结构提供了完全冗余和良好的性能(a)部分网状拓扑结构按三层层次模型设计网络结构处理一个大型复杂系统的最常用的方法是“分而治之”。同理，对于设计一个大型的网络系统，一个常用的方法是“分层设计”使用层次模型设计的好处减轻网络中机器的CPU负载增加网络可用带宽简化每个设计元素并且易于理解容易变更层次结构网络互连设备可以充分发挥它们的特性按三层层次模型设计网络结构处理一个大型复杂系统的最常用的方法层次型拓扑结构分层模型的每一层都有特定的作用核心层提供两个场点之间的优化传输路径汇聚层将网络服务连接到接入层，并且实现安全、流量负载和选路的策略在广域网设计中，接入层由园区边界上的路由器组成。在园区网中，接入层为端用户访问提供交换机或集线器层次型拓扑结构分层模型的每一层都有特定的作用三层层次模型网络拓扑广域网主干网园区主干网核心层汇聚层接入层后门额外链三层层次模型网络拓扑广域网主干网园区主干网核心层汇聚层接入层层次型网络设计原则原则1：控制分层企业网拓扑结构的范围。在大多数情况下，需核心层、汇聚层和接入层三个主要层次。控制网络规模的好处可提供较低的和可预测的等待时间，从而可以帮助预测选路策略、通信流量和容量需求有助于排错，并使网络文档容易编写层次型网络设计原则原则1：控制分层企业网拓扑结构的范围。在大设计接入层有两种容易犯的错误：额外的链后门注：有时需要采用链和后门的方法来设计网络。例如，可能需要一条链来增加一个国家，有时需要增加一个后门来提高同一层两个并行设备之间的性能和冗余性设计接入层有两种容易犯的错误：原则2：先设计接入层，其次设计汇聚层，最后是核心层。从接入层开始设计，可以为汇聚层和核心层进行更精确的性能和容量规划，更好地认清所需要的汇聚层和核心层优化技术应使用模块化和分层技术设计每一层，然后根据对通信加载、流量和行为的分析来规划层与层之间的互连原则2：先设计接入层，其次设计汇聚层，最后是核心层。网络结构冗余设计基本思想：通过重复设置网络链路和互连设备来满足网络的可用性需求冗余是提高网络可靠性和可用性目标的最重要方法减少由于单点故障而导致整个网络故障重复设置必需的组件，使关键应用不停运，仅性能降低冗余的对象可能是核心路由器、电源、广域主干网或ISP网络等在企业网核心层和汇聚层均可实现冗余网络结构冗余设计基本思想：通过重复设置网络链路和互连设备来满备用设备对于关键部位的路由器或交换机需要冗余有些厂商为了满足这种冗余设计的需求，设计、制造了具有双背板、双电源、双引擎的设备，这种设备实际上能被看作两台独立的设备北京总部上海分部广州分部沈阳分部右图为一个典型的分层和冗余的企业网设计，该设计使用了部分网状层次结构备用设备对于关键部位的路由器或交换机需要冗余北京总部上海分部备用路径为防止路径故障，必须提供一条备用路径。备用路径由独立备用链路构成备用路径的容量通常比主路径的要小，且使用不同技术如果需要一条与主路径性能完全相同的备用路径，即使价格昂贵也应当这样去设计若路径中断不可接受，应采用主路径与备用路径间自动切换技术。若允许短暂中断，也可手动重新启动备用路径的方法备份链路除了用于冗余外，还可用于负载平衡备用路径为防止路径故障，必须提供一条备用路径。备用路径由独立负载平衡冗余的主要目标是满足可用性需求，另一个目标就是能够通过并行链路支持负载平衡来提高性能按照获取系统状态信息与否，负载平衡算法可以分为静态算法和动态算法两类静态算法适合用于网络负载变化不剧烈，包含静态内容较多的集群系统。两种典型静态算法：随机算法循环域名(RoundRobin)算法动态算法利用系统当前状态信息作决定，负载均衡性方面较好，但开销较大负载平衡冗余的主要目标是满足可用性需求，另一个目标就是能够通解放军理工大学计算机系陈鸣：网络工程设计19网络结构冗余：某研究所网络设计例子解放军理工大学计算机系陈鸣：网络工程设计19网络结构冗余：某企业网拓扑结构设计

园区网应当使用层次模型设计，使网络具有良好的性能、可维护性和可扩展性可使用如下技术：较小的广播域冗余分布子网冗余服务器等技术VLAN是经常用采用的技术企业网拓扑结构设计园区网应当使用层次模型设计，使网络具有良VLAN将一个大的平面网络分解为多个子网，缩小广播域。一个VLAN交换机不是将所有广播传送到每个端口，而是将广播只传送到同一子网的某个部分设计园区网使用交换机还是路由器？前几年很少使用路由器，主要采用交换机。由于三层交换机技术的进展，实现大型平面交换式网络的需求越来越少，对VLAN的需求也相应减少通常在接入层使用二层交换机，在汇聚层使用三层交换机VLAN将一个大的平面网络分解为多个子网，缩小广播域。一个V冗余LAN网段

这种设计能够实现负载平衡和容错。采用这种设计的结构，园区网可扩展到非常大的范围核心层汇聚层接入层与因特网相连与因特网相连……………VLAN1&2VLAN2&3VLAN3&4VLAN4&5VLAN5&6交换机A交换机B冗余LAN网段这种设计能够实现负载平衡和容错。采用这种设计冗余服务器服务器是网中最重要的设备或资源类型之一，它主要用于存放数据资源根据用户的应用需求，在园区网中，可将文件服务器、Web服务器、动态主机配置协议DHCP服务器、名字服务器、数据库服务器等设计为冗余结构冗余服务器服务器是网中最重要的设备或资源类型之一，它主要用于企业网拓扑结构：某企业网设计举例企业网拓扑结构：某企业网设计举例企业网的WAN拓扑设计

企业网通过在网络内部的种种设计，以及配置多条通向因特网的路径，来满足用户的可用性和性能目标要求为了连接企业网外部站点或合作伙伴，同时保证WAN的数据安全，可以使用专用线路或者采用虚拟专用网跨越因特网来连接企业网企业网的WAN拓扑设计企业网通过在网络内部的种种设计，以及冗余广域网链路企业级网拓扑中常包括冗余(备份)广域网链路。一个广域网可被设计为完全网状或部分网状。考虑到所付出的代价，采用分层部分网状拓扑结构一般能满足要求了解实际物理电路情况，选择物理上不同的通信设备组成的网络。应与广域网供应商讨论有关电路实际设置的问题，并写入合同从通信公司到本单位建筑物的本地电缆往往是网络中最薄弱的链路部分，它会受到建筑施工、火灾、洪水、冰雪和缆线挖断等其他许多因素的影响冗余广域网链路企业级网拓扑中常包括冗余(备份)广域网链路。一27多因特网连接指为一个企业网提供一条以上的链路进入因特网的情况。根据用户的目标，一个企业网可以采用多种不同的方式虚拟专用网参见第8章ISP2ISP1ISP2选项A企业ISP1选项CISP1选项B企业ISP1北京南京选项D北京南京企业企业27多因特网连接指为一个企业网提供一条以上的链路进入因特网的园区网拓扑结构：某政府网设计举例园区网拓扑结构：某政府网设计举例IP地址规划在因特网中，每个与网络相连主机的接口都需要有一个惟一的IP地址所谓网络地址规划是指根据IP编址特点，为所设计的网络设备分配合适的IP地址，使之能够高效地联网工作路由器的产生了几个分离的网络岛，这些分离的网络中的每个都叫做一个子网IP地址规划在因特网中，每个与网络相连主机的接口都需要有一个无类别域间选路32比特的IP地址被划分为两部分，是点分十进制数形式a.b.c.d/x，其中x指示了在地址的第一部分的比特数目x最高比特构成了IP地址的网络部分，并且经常被称为该地址的前缀剩余32-x比特用来区分该组织内部设备的，所有设备具有相同的网络前缀设某CIDR化的地址a.b.c.d/21的前21比特定义了该组织的网络前缀，对该组织中的所有主机的IP地址来说是共同的，其余的11比特标识该组织内的主机无类别域间选路32比特的IP地址被划分为两部分，是点分十进制获取一块IP地址ICANN统一负责对IP地址的分配进行管理，IANA把地址分配给地域性因特网注册机构RIR5个RIRARIN(北美地区)、LACNIC(拉丁美洲)、RIPENCC(欧洲地区)、APNIC(亚太地区)和AFRINIC(非洲地区)31获取一块IP地址ICANN统一负责对IP地址的分配进行管理，等级编址与路由聚合200.24.16.0/23200.24.18.0/23200.24.20.0/23200.24.30.0/23因特网向我发送以200.24.16.0/20开始的任何东西TELE-ISP向我发送以201.12.16.0/14开始的任何东西UCOM-ISP等级编址与路由聚合200.24.16.0/23200.24.分配企业网主机地址某企业向某ISP申请了一个地址块200.24.16.0/20，将该地址块平均分配给8个子网。33分配企业网主机地址某企业向某ISP申请了一个地址块200.2为一台主机分配一个IP地址两种方法手工配置。系统管理员手工为一台主机配置IP地址动态主机配置协议（DHCP），允许一台主机自动地获取（被分配）一个IP地址，同时还获得其他信息，如它的子网掩码，它的第一跳路由器地址（常称为默认网关）与它的本地DNS服务器的地址为一台主机分配一个IP地址两种方法分类编址的子网划分IP地址是由网络标志、主机标志和子网地址使组成的3级地址空间。因特网用32比特的子网掩码表示子网号字段长度。子网掩码的“1”对应网络号和子网号字段，“0”对应主机号字段

C类地址host-idnet-id本地分配(a)1111111111111111主机号子网号(c)(b)1111111110000000子网掩码增加了子网号字段110192.113.255host-idnet-id110192.113.255subnet-id分类编址的子网划分IP地址是由网络标志、主机标志和子网地址使分类编址的子网计算设从主机标志部分借用n位给子网，剩下m位作为主机标志，那么生成的子网数量为2n-2，每个子网具有的主机数量为2m-2台。设计的基本过程是：根据所要求的子网数和主机数量，由公式2n-2推算出n。n应是一个最小的接近要求的正整数求出相应的子网掩码，即用默认掩码加上从主机标志部分借用的n位组成新的掩码子网的部分写成二进制，列出所有子网和主机地址；去除全0和全1地址分类编址的子网计算设从主机标志部分借用n位给子网，剩下m位作C类地址划分子网一个C类地址192.168.143.0，网内可有至多140台主机。要将该网分成6个子网，每个子网能容纳25台机器要去除两个保留的特殊子网地址，需要8个子网，则n＝3，新的子网掩码为：192.168.143.0/27，每个子网可容纳的主机数量为25-2=30子网划分：

192.168.143.000XXXXX //192.168.143.0～192.168.143.31，全0需去除 001 //192.168.143.33～192.168.143.62 010 //192.168.143.65～192.168.143.94 011 //192.168.143.97～192.168.143.126 100 //192.168.143.129～192.168.143.158 101 //192.168.143.161～192.168.143.190 110 //192.168.143.193～192.168.143.2232 111 //192.168.143.224～192.168.143.255，全1需去除C类地址划分子网一个C类地址192.168.143.0，网内网络层地址分配原则对于网络层的地址应当进行规划、管理和记录。必须设计好并管理好这些网络地址在分配地址之前设计结构化寻址模型为寻址模型的扩充预留地址空间以分层方式分配地址块，以改进可扩展性和可用性为避免移动带来的问题，应根据网络物理位置分配地址块分配网络地址时尽可能使用有意义的编号可授权网管理水平较高地区管理自己的网络、子网为满足灵活性而使配置最小，端系统使用动态寻址为满足安全性和适应性，使用NAT专用地址网络层地址分配原则对于网络层的地址应当进行规划、管理和记录。使用结构化网络层寻址模型能够使地址是有意义的、分层的和良好规划的为一个企业网分配一块IP地址，然后将每块地址分成子网，再将子网划分为更小的子网，这也是一种结构化IP寻址模型优点有利于地址的管理和故障检测容易理解网络结构、操作网络管理软件和利用协议分析仪的跟踪和报告识别设备实现了网络优化和安全性使用结构化网络层寻址模型能够使地址是有意义的、分层的和良好规动态寻址网络管理员如缺少经验，尽量简化寻址和命名模型是很重要的，配置内容也要尽量简单使用动态寻址，如DHCP。动态寻址减少了将端系统连接到互连网络所需的配置工作量，能那些频繁变动、旅行或在家工作的用户带来便利动态寻址网络管理员如缺少经验，尽量简化寻址和命名模型是很重要专用网络的地址规划目前我国的许多机构都无法申请到大量的IP地址。解决有三种途径：发展IPv6使用动态地址分配技术使用网络地址转换(NAT)技术RFC1597已经将某些IP地址段划分为Intranet的专用地址。具体如下：10.0.0.0~10.255.255.255，24位，约700万个地址(A类)172.16.0.0~172.31.255.255，20位，约100万个地址(B类)192.168.0.0~192.168.255.255，16位，约6.5万个地址(C类)专用网络的地址规划目前我国的许多机构都无法申请到大量的IP地名字空间设计目的是设计一个IP互连网络设备的命名模型，满足用户易用性、可管理性、性能和可用性目标优点：使用名字而非地址能够提高系统易用性简短而有意义的名字能够提高用户的生产率，简化网络管理一个好的命名模型还可以增强网络的性能和可用性一个好的命名模型应当允许用户通过名字而不是地址透明地访问应用服务名字空间设计目的是设计一个IP互连网络设备的命名模型，满足用命名的分布授权命名分布授权的缺点是名字难以控制和管理，但如果所有的用户和组都统一使用同样的策略，那么命名分布授权有许多优点：最明显的优点是没有任何一个部门负担分配并维护所有名字的工作其他优点包括性能和可扩展性对服务器内存和处理能力的需求就会减少减少了网络通信量命名的分布授权命名分布授权的缺点是名字难以控制和管理，但如果分配名字的原则名字应当简短、有意义、无二义性并易于辨认如：路由器名字的后缀可以使用字符rtr，交换机使用sw，服务器使用svr等名字可以包括位置代码，位置代码可以使用字母，也可以使用数字，甚至使用汉字名字一般不区分大小写必须在易用性和安全性之间作一个折衷分配名字的原则名字应当简短、有意义、无二义性并易于辨认小结设计由多个局域网互联而成的企业网通常比较复杂，首先要设计适当的网络拓扑结构要规划好IP地址，使得网络运行更加高效和易于管理要对网络层地址和名字空间进行设计小结设计由多个局域网互联而成的企业网通常比较复杂，首先要设计简单网络管理协议(SNMP)实际上既是一种网络管理协议，也代表了一个标准化的因特网网络管理框架，使得对各种因特网设备的监视和控制成为可能健壮和简单，开放且实现容易，从而易于推广应用公共管理信息协议CMIP是OSI网络管理体系结构中的重要标准，它应用OSI协议栈网络及大型电信网管理部分场合简单网络管理协议(SNMP)实际上既是一种网络管理协议，也代选择SNMP网管协议SNMP是因特网事实上的标准选择网络设备要支持SNMP标准选择一种支持SNMP的网络管理工具，对这些设备进行性能管理、故障管理、配置管理、安全管理和账户管理等管理工作选择SNMP网管协议SNMP是因特网事实上的标准现有产品在市场上和技术上都占有领先地位的网管平台HP公司的OpenViewSUN公司的SUNSolsticeEnterpriseManagerIBM公司的TivoliCA公司的UnicenterTNG网络设备厂商有开发了专用的网络管理工具包Cisco公司的CiscoWorks3Com公司的Transcend现有产品在市场上和技术上都占有领先地位的网管平台网络管理平台一种开放的网络管理基础设施，提供以下功能自动发现网络拓扑结构和网络配置事件通知智能监控多厂商网络产品的集成存取控制友好的用户界面网络信息的报告生成编程接口等还各有其特点和不同的增值软件包在为企业网设计网络管理系统时，需要根据企业管理特点，先选择合适的网络管理平台和所需要的管理软件如果还需要特殊的管理需求的话，就需要进行具有特定目标的二次开发了网络管理平台一种开放的网络管理基础设施，提供以下功能还各有其某大学具有6个二级学院。在位于同一城市的4个校园中，其中大学与一个二级学院在一个园区(园区1)，另外四个二级学院俩俩位于一个园区(园区2、园区3)，而另外一个学院位于该城市的另一个园区(园区4)。大学向因特网发布信息并为全校提供有关信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院提供都有超过1500台PC。大学已从中国教育科研网CERNET有关机构申请了IPv4地址块58.193.152.0/21。规划一个校园网的IP地址某大学具有6个二级学院。在位于同一城市的4个校园中，其中大学需求分析和设计考虑这是一个IP地址规划问题，主要考虑：大学和各学院都有向因特网发布信息的需求，都需要分配因特网地址。申请的58.193.152.0/21共包括了8*256个IP地址的容量，这些地址都无法直接满足该大学的IP地址需求，可考虑为大学、6个二级学院各分配256个IP地址，余下的256个IP地址用于大学校园网主干和科研。大学和同在一园区的一个二级学院的IP地址分配时应连续。由于这些IP地址无法满足实际需求，每个学院都可以采用网络地址转换(NAT)技术，增加IP地址的数量。需求分析和设计考虑这是一个IP地址规划问题，主要考虑：因特网地址的规划对IP地址块58.193.152.0/21进行划分，将其分为8*256个IP地址大小的范围。划分方法是将前缀从21比特延长为24比特因特网地址的规划对IP地址块58.193.152.0/21进专用网的IP地址规划由于分配给该大学校园网的IP地址远远不能满足需求，因此这些IP地址主要用于向因特网发布信息和进行科学研究之用而大学内部教学、科研、办公用的校园网，就需要我们采用NAT技术，根据RFC1597建议从专用的IP地址段中取出一个B类地址进行规划即可可以取172.16.0.0/23，将其分配给大学和6个二级学院。每个单位都能够分配一块IP地址，其中具有126个子网，每个子网容纳的主机数量达510台事实上，由于各学院使用的专用IP地址互不相关，可以由各个学院独立进行规划专用网的IP地址规划由于分配给该大学校园网的IP地址远远不能校园网的内部网IP地址规划校园网的内部网IP地址规划采用三层结构设计大学校园网：选用万兆以太网作为连接大学4个校区的高速主干；选用千兆以太网作为各个校区的主干，形成大学校园网的汇聚层；选用百兆以太LAN作为基本的接入形式。大学校园网与因特网具有统一接口，百兆以太网接入中国教育科研网CERNET。设计一个大型校园网采用三层结构设计大学校园网：选用万兆以太网作为连接大学4个校需求分析和设计考虑由于一个时期的网络具有特定的主流技术，因此这几年建设的园区网大多数都采用千兆到楼宇、百兆到LAN/桌面的以太网解决方案。事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了汇聚层的主干，而百兆到LAN/主机构成了接入层。因此，一种自然而然的解决方案就是选用万兆以太网作为整个核心层，形成了校园网的主干。并且该校园网主干采用因特网的公网地址需求分析和设计考虑由于一个时期的网络具有特定的主流技术，因此为何选用万兆交换机互联各个园区网，而不选用高速路由器呢？各园区网均采用的以太网技术体系，兼容性好大学可能在校园网上进行教学视频、远程听课等多媒体应用，必须提供高速率信息通道。万兆交换机为三层交换机，是具有选路功能的交换机，在校园网环境下能够具有更好的性能。价格因素。若在覆盖几十千米范围采用高速路由器的话，底层通常要采用SDH技术，这使有关设备的价格要增加2～3倍。尽管高速路由器带来的对各个园区有更好的隔离性，在该校园网中用处不大。57为何选用万兆交换机互联各个园区网，而不选用高速路由器呢？57根据分析，该校园网从CERNET获得了IP地址的数量是无法满足需求的，只能供向因特网发布信息和联系或进行网络科学研究之用，因此构成校园网IP地址的主体是经过NAT转换的专用网地址。使用专用网地址不利于与其他大学的学术交流，但也是不得已而为之的方法；另一方面，可能使得校园网受到网络黑客侵扰会少些由于网络的规模较大，考虑到以后的可扩展性，选路协议选用OSPF考虑到设备的可管理性，网络管理协议选用SNMP根据分析，该校园网从CERNET获得了IP地址的数量是无法满设计方案：公网部分校园网分为公网和专网。通过防火墙，连接各种应用服务器的非军事区部分，经路由器与CERNET相连三层校园网结构的核心层位于公网部分，可选用了Cisco公司的万兆交换机Cat6509租用电信公司的光纤裸芯，用万兆速率将4个园区的4台万兆交换机连成一个环。为提高网络可靠性，在园区2和园区4之间用千兆光缆连接起来，进行冗余。设计方案：公网部分校园网分为公网和专网。通过防火墙，连接各种校园网的核心层结构解放军理工大学计算机系陈鸣：网络工程设计60校园网的核心层结构解放军理工大学计算机系陈鸣：网络工程设计6设计方案：专网部分各园区网可基本保持原有的二层网络架构，并在自己的园区网中使用专用IP地址块。考虑将园区网汇聚层主干千兆主交换机与大学万兆交换机通过防火墙相连的问题，有些万兆交换机有内置的防火墙。它们可在内部防火墙处设置自己的非军事区，放置学院的网络应用服务器。某学院网络与新建的大学万兆核心层主干网的连接。其中计算机学院网络的主干网以3COM公司的Switch4007与交换机3C16980连接的千兆光缆构成了学院园区网的主干，向下以百兆以太网作为接入网与用户PC相连。设计方案：专网部分各园区网可基本保持原有的二层网络架构，并在计算机学院园区网的二层网络拓扑架构62计算机学院园区网的二层网络拓扑架构62设计方案：其他各二级学院的园区中具有的PC数量为300～1000台，必要时可划分为若干个子网，也可以划分为多个VLAN，以隔离广播流量，提高网络工作效率，提高安全性。网络管理协议选用SNMP。采用防火墙将校园网分为两部分，一部分为与CERNET直接相连的公网部分，另一部分为专用网部分，即我们上面所设计的部分，采用的地址可采用上面例题的方案。设计方案：其他各二级学院的园区中具有的PC数量为300～10第七章作业5,9,12,18,24第七章作业5,9,12,18,24树立质量法制观念、提高全员质量意识。12月-2212月-22Thursday,December29,2022人生得意须尽欢，莫使金樽空对月。12:20:1212:20:1212:2012/29/202212:20:12PM安全象只弓，不拉它就松，要想保安全，常把弓弦绷。12月-2212:20:1212:20Dec-2229-Dec-22加强交通建设管理，确保工程建设质量。12:20:1212:20:1212:20Thursday,December29,2022安全在于心细，事故出在麻痹。12月-2212月-2212:20:1212:20:12December29,2022踏实肯干，努力奋斗。2022年12月29日12:20下午12月-2212月-22追求至善凭技术开拓市场，凭管理增创效益，凭服务树立形象。29十二月202212:20:12下午12:20:1212月-22严格把控质量关，让生产更加有保障。十二月2212:20下午12月-2212:20December29,2022作业标准记得牢，驾轻就熟除烦恼。2022/12/2912:20:1212:20:1229December2022好的事情马上就会到来，一切都是最好的安排。12:20:12下午12:20下午12:20:1212月-22专注今天，好好努力，剩下的交给时间。12月-2212月-2212:2012:20:1212:20:12Dec-22牢记安全之责，善谋安全之策，力务安全之实。2022/12/2912:20:12Thursday,December29,2022相信相信得力量。12月-222022/12/2912:20:1212月-22谢谢大家！树立质量法制观念、提高全员质量意识。12月-2212月-22第7章企业网设计第7章企业网设计67网络拓扑图设计网络拓扑图是设计复杂网络重要的一步一个图G是两个不相交的集所组成的有序对<V,E>，其中V是顶点集，而E是边集，E是V元素的无序对集合的一个子集图的边表示一个网络或子网，图的顶点表示路由器等互连设备该图只说明网络的几何形状，而不表明子网或互连设备的具体位置首要问题是确定网络和互连点，明确网络的大小和范围，以及所需要的网络互连类型，但不必是具体的设备2网络拓扑图设计网络拓扑图是设计复杂网络重要的一步68平面拓扑结构

平面网络：没有层次的网络每个互连设备实质上都完成类似的工作，网络既不分层，也不划分模块平面网络结构易于设计和实现北京总部上海分部广州分部沈阳分部3平面拓扑结构平面网络：没有层次的网络北京总部上海分部广州平面局域网拓扑结构将许多微机和服务器与一个交换机连接，采用是平面结构设计为满足大量用户和高带宽应用程序对带宽要求，考虑用交换机形成高速主干，形成具有二层网络拓扑结构能够将网络分解成多个小的冲突域，使得在任何时候只有有限数量的设备争用带宽当主机数量进一步增多时，可以将路由器添加到企业网中以隔离广播通信69平面局域网拓扑结构将许多微机和服务器与一个交换机连接，采用是70二层拓扑结构：某医院网络设计例子5二层拓扑结构：某医院网络设计例子平面广域网拓扑结构小型企业网可能由连接成回路的几个场点构成，每个场点都有一个WAN路由器，通过点对点链路与相邻场点相连该平面拓扑结构具有容错的优点回路结构意味着在双向回路路由器之间有许多跳，结果将导致明显的时延和较高的差错率回路结构两侧的路由器交换了大量的流量，应当考虑使用层次结构，而不是平面结构平面广域网拓扑结构小型企业网可能由连接成回路的几个场点构成，层次型冗余拓扑结构

为避免单点故障，可在设计中采用冗余的路由器或交换机平面结构可以满足低成本和良好的可用性目标，但要求网络的范围较小冗余结构可以满足可扩展性、高可用性和低时延目标北京总部上海分部广州分部沈阳分部成都分部北京总部上海分部广州分部沈阳分部层次型冗余拓扑结构为避免单点故障，可在设计中采用冗余的路由网状拓扑结构提供了完全冗余和良好的性能使用和维护代价很高，它在性能优化、排错和升级方面也较困难限制了连接到路由器PC的数量(a)部分网状拓扑结构(b)完全网状拓扑结构网状拓扑结构提供了完全冗余和良好的性能(a)部分网状拓扑结构按三层层次模型设计网络结构处理一个大型复杂系统的最常用的方法是“分而治之”。同理，对于设计一个大型的网络系统，一个常用的方法是“分层设计”使用层次模型设计的好处减轻网络中机器的CPU负载增加网络可用带宽简化每个设计元素并且易于理解容易变更层次结构网络互连设备可以充分发挥它们的特性按三层层次模型设计网络结构处理一个大型复杂系统的最常用的方法层次型拓扑结构分层模型的每一层都有特定的作用核心层提供两个场点之间的优化传输路径汇聚层将网络服务连接到接入层，并且实现安全、流量负载和选路的策略在广域网设计中，接入层由园区边界上的路由器组成。在园区网中，接入层为端用户访问提供交换机或集线器层次型拓扑结构分层模型的每一层都有特定的作用三层层次模型网络拓扑广域网主干网园区主干网核心层汇聚层接入层后门额外链三层层次模型网络拓扑广域网主干网园区主干网核心层汇聚层接入层层次型网络设计原则原则1：控制分层企业网拓扑结构的范围。在大多数情况下，需核心层、汇聚层和接入层三个主要层次。控制网络规模的好处可提供较低的和可预测的等待时间，从而可以帮助预测选路策略、通信流量和容量需求有助于排错，并使网络文档容易编写层次型网络设计原则原则1：控制分层企业网拓扑结构的范围。在大设计接入层有两种容易犯的错误：额外的链后门注：有时需要采用链和后门的方法来设计网络。例如，可能需要一条链来增加一个国家，有时需要增加一个后门来提高同一层两个并行设备之间的性能和冗余性设计接入层有两种容易犯的错误：原则2：先设计接入层，其次设计汇聚层，最后是核心层。从接入层开始设计，可以为汇聚层和核心层进行更精确的性能和容量规划，更好地认清所需要的汇聚层和核心层优化技术应使用模块化和分层技术设计每一层，然后根据对通信加载、流量和行为的分析来规划层与层之间的互连原则2：先设计接入层，其次设计汇聚层，最后是核心层。网络结构冗余设计基本思想：通过重复设置网络链路和互连设备来满足网络的可用性需求冗余是提高网络可靠性和可用性目标的最重要方法减少由于单点故障而导致整个网络故障重复设置必需的组件，使关键应用不停运，仅性能降低冗余的对象可能是核心路由器、电源、广域主干网或ISP网络等在企业网核心层和汇聚层均可实现冗余网络结构冗余设计基本思想：通过重复设置网络链路和互连设备来满备用设备对于关键部位的路由器或交换机需要冗余有些厂商为了满足这种冗余设计的需求，设计、制造了具有双背板、双电源、双引擎的设备，这种设备实际上能被看作两台独立的设备北京总部上海分部广州分部沈阳分部右图为一个典型的分层和冗余的企业网设计，该设计使用了部分网状层次结构备用设备对于关键部位的路由器或交换机需要冗余北京总部上海分部备用路径为防止路径故障，必须提供一条备用路径。备用路径由独立备用链路构成备用路径的容量通常比主路径的要小，且使用不同技术如果需要一条与主路径性能完全相同的备用路径，即使价格昂贵也应当这样去设计若路径中断不可接受，应采用主路径与备用路径间自动切换技术。若允许短暂中断，也可手动重新启动备用路径的方法备份链路除了用于冗余外，还可用于负载平衡备用路径为防止路径故障，必须提供一条备用路径。备用路径由独立负载平衡冗余的主要目标是满足可用性需求，另一个目标就是能够通过并行链路支持负载平衡来提高性能按照获取系统状态信息与否，负载平衡算法可以分为静态算法和动态算法两类静态算法适合用于网络负载变化不剧烈，包含静态内容较多的集群系统。两种典型静态算法：随机算法循环域名(RoundRobin)算法动态算法利用系统当前状态信息作决定，负载均衡性方面较好，但开销较大负载平衡冗余的主要目标是满足可用性需求，另一个目标就是能够通解放军理工大学计算机系陈鸣：网络工程设计84网络结构冗余：某研究所网络设计例子解放军理工大学计算机系陈鸣：网络工程设计19网络结构冗余：某企业网拓扑结构设计

园区网应当使用层次模型设计，使网络具有良好的性能、可维护性和可扩展性可使用如下技术：较小的广播域冗余分布子网冗余服务器等技术VLAN是经常用采用的技术企业网拓扑结构设计园区网应当使用层次模型设计，使网络具有良VLAN将一个大的平面网络分解为多个子网，缩小广播域。一个VLAN交换机不是将所有广播传送到每个端口，而是将广播只传送到同一子网的某个部分设计园区网使用交换机还是路由器？前几年很少使用路由器，主要采用交换机。由于三层交换机技术的进展，实现大型平面交换式网络的需求越来越少，对VLAN的需求也相应减少通常在接入层使用二层交换机，在汇聚层使用三层交换机VLAN将一个大的平面网络分解为多个子网，缩小广播域。一个V冗余LAN网段

这种设计能够实现负载平衡和容错。采用这种设计的结构，园区网可扩展到非常大的范围核心层汇聚层接入层与因特网相连与因特网相连……………VLAN1&2VLAN2&3VLAN3&4VLAN4&5VLAN5&6交换机A交换机B冗余LAN网段这种设计能够实现负载平衡和容错。采用这种设计冗余服务器服务器是网中最重要的设备或资源类型之一，它主要用于存放数据资源根据用户的应用需求，在园区网中，可将文件服务器、Web服务器、动态主机配置协议DHCP服务器、名字服务器、数据库服务器等设计为冗余结构冗余服务器服务器是网中最重要的设备或资源类型之一，它主要用于企业网拓扑结构：某企业网设计举例企业网拓扑结构：某企业网设计举例企业网的WAN拓扑设计

企业网通过在网络内部的种种设计，以及配置多条通向因特网的路径，来满足用户的可用性和性能目标要求为了连接企业网外部站点或合作伙伴，同时保证WAN的数据安全，可以使用专用线路或者采用虚拟专用网跨越因特网来连接企业网企业网的WAN拓扑设计企业网通过在网络内部的种种设计，以及冗余广域网链路企业级网拓扑中常包括冗余(备份)广域网链路。一个广域网可被设计为完全网状或部分网状。考虑到所付出的代价，采用分层部分网状拓扑结构一般能满足要求了解实际物理电路情况，选择物理上不同的通信设备组成的网络。应与广域网供应商讨论有关电路实际设置的问题，并写入合同从通信公司到本单位建筑物的本地电缆往往是网络中最薄弱的链路部分，它会受到建筑施工、火灾、洪水、冰雪和缆线挖断等其他许多因素的影响冗余广域网链路企业级网拓扑中常包括冗余(备份)广域网链路。一92多因特网连接指为一个企业网提供一条以上的链路进入因特网的情况。根据用户的目标，一个企业网可以采用多种不同的方式虚拟专用网参见第8章ISP2ISP1ISP2选项A企业ISP1选项CISP1选项B企业ISP1北京南京选项D北京南京企业企业27多因特网连接指为一个企业网提供一条以上的链路进入因特网的园区网拓扑结构：某政府网设计举例园区网拓扑结构：某政府网设计举例IP地址规划在因特网中，每个与网络相连主机的接口都需要有一个惟一的IP地址所谓网络地址规划是指根据IP编址特点，为所设计的网络设备分配合适的IP地址，使之能够高效地联网工作路由器的产生了几个分离的网络岛，这些分离的网络中的每个都叫做一个子网IP地址规划在因特网中，每个与网络相连主机的接口都需要有一个无类别域间选路32比特的IP地址被划分为两部分，是点分十进制数形式a.b.c.d/x，其中x指示了在地址的第一部分的比特数目x最高比特构成了IP地址的网络部分，并且经常被称为该地址的前缀剩余32-x比特用来区分该组织内部设备的，所有设备具有相同的网络前缀设某CIDR化的地址a.b.c.d/21的前21比特定义了该组织的网络前缀，对该组织中的所有主机的IP地址来说是共同的，其余的11比特标识该组织内的主机无类别域间选路32比特的IP地址被划分为两部分，是点分十进制获取一块IP地址ICANN统一负责对IP地址的分配进行管理，IANA把地址分配给地域性因特网注册机构RIR5个RIRARIN(北美地区)、LACNIC(拉丁美洲)、RIPENCC(欧洲地区)、APNIC(亚太地区)和AFRINIC(非洲地区)96获取一块IP地址ICANN统一负责对IP地址的分配进行管理，等级编址与路由聚合200.24.16.0/23200.24.18.0/23200.24.20.0/23200.24.30.0/23因特网向我发送以200.24.16.0/20开始的任何东西TELE-ISP向我发送以201.12.16.0/14开始的任何东西UCOM-ISP等级编址与路由聚合200.24.16.0/23200.24.分配企业网主机地址某企业向某ISP申请了一个地址块200.24.16.0/20，将该地址块平均分配给8个子网。98分配企业网主机地址某企业向某ISP申请了一个地址块200.2为一台主机分配一个IP地址两种方法手工配置。系统管理员手工为一台主机配置IP地址动态主机配置协议（DHCP），允许一台主机自动地获取（被分配）一个IP地址，同时还获得其他信息，如它的子网掩码，它的第一跳路由器地址（常称为默认网关）与它的本地DNS服务器的地址为一台主机分配一个IP地址两种方法分类编址的子网划分IP地址是由网络标志、主机标志和子网地址使组成的3级地址空间。因特网用32比特的子网掩码表示子网号字段长度。子网掩码的“1”对应网络号和子网号字段，“0”对应主机号字段

C类地址host-idnet-id本地分配(a)1111111111111111主机号子网号(c)(b)1111111110000000子网掩码增加了子网号字段110192.113.255host-idnet-id110192.113.255subnet-id分类编址的子网划分IP地址是由网络标志、主机标志和子网地址使分类编址的子网计算设从主机标志部分借用n位给子网，剩下m位作为主机标志，那么生成的子网数量为2n-2，每个子网具有的主机数量为2m-2台。设计的基本过程是：根据所要求的子网数和主机数量，由公式2n-2推算出n。n应是一个最小的接近要求的正整数求出相应的子网掩码，即用默认掩码加上从主机标志部分借用的n位组成新的掩码子网的部分写成二进制，列出所有子网和主机地址；去除全0和全1地址分类编址的子网计算设从主机标志部分借用n位给子网，剩下m位作C类地址划分子网一个C类地址192.168.143.0，网内可有至多140台主机。要将该网分成6个子网，每个子网能容纳25台机器要去除两个保留的特殊子网地址，需要8个子网，则n＝3，新的子网掩码为：192.168.143.0/27，每个子网可容纳的主机数量为25-2=30子网划分：

192.168.143.000XXXXX //192.168.143.0～192.168.143.31，全0需去除 001 //192.168.143.33～192.168.143.62 010 //192.168.143.65～192.168.143.94 011 //192.168.143.97～192.168.143.126 100 //192.168.143.129～192.168.143.158 101 //192.168.143.161～192.168.143.190 110 //192.168.143.193～192.168.143.2232 111 //192.168.143.224～192.168.143.255，全1需去除C类地址划分子网一个C类地址192.168.143.0，网内网络层地址分配原则对于网络层的地址应当进行规划、管理和记录。必须设计好并管理好这些网络地址在分配地址之前设计结构化寻址模型为寻址模型的扩充预留地址空间以分层方式分配地址块，以改进可扩展性和可用性为避免移动带来的问题，应根据网络物理位置分配地址块分配网络地址时尽可能使用有意义的编号可授权网管理水平较高地区管理自己的网络、子网为满足灵活性而使配置最小，端系统使用动态寻址为满足安全性和适应性，使用NAT专用地址网络层地址分配原则对于网络层的地址应当进行规划、管理和记录。使用结构化网络层寻址模型能够使地址是有意义的、分层的和良好规划的为一个企业网分配一块IP地址，然后将每块地址分成子网，再将子网划分为更小的子网，这也是一种结构化IP寻址模型优点有利于地址的管理和故障检测容易理解网络结构、操作网络管理软件和利用协议分析仪的跟踪和报告识别设备实现了网络优化和安全性使用结构化网络层寻址模型能够使地址是有意义的、分层的和良好规动态寻址网络管理员如缺少经验，尽量简化寻址和命名模型是很重要的，配置内容也要尽量简单使用动态寻址，如DHCP。动态寻址减少了将端系统连接到互连网络所需的配置工作量，能那些频繁变动、旅行或在家工作的用户带来便利动态寻址网络管理员如缺少经验，尽量简化寻址和命名模型是很重要专用网络的地址规划目前我国的许多机构都无法申请到大量的IP地址。解决有三种途径：发展IPv6使用动态地址分配技术使用网络地址转换(NAT)技术RFC1597已经将某些IP地址段划分为Intranet的专用地址。具体如下：10.0.0.0~10.255.255.255，24位，约700万个地址(A类)172.16.0.0~172.31.255.255，20位，约100万个地址(B类)192.168.0.0~192.168.255.255，16位，约6.5万个地址(C类)专用网络的地址规划目前我国的许多机构都无法申请到大量的IP地名字空间设计目的是设计一个IP互连网络设备的命名模型，满足用户易用性、可管理性、性能和可用性目标优点：使用名字而非地址能够提高系统易用性简短而有意义的名字能够提高用户的生产率，简化网络管理一个好的命名模型还可以增强网络的性能和可用性一个好的命名模型应当允许用户通过名字而不是地址透明地访问应用服务名字空间设计目的是设计一个IP互连网络设备的命名模型，满足用命名的分布授权命名分布授权的缺点是名字难以控制和管理，但如果所有的用户和组都统一使用同样的策略，那么命名分布授权有许多优点：最明显的优点是没有任何一个部门负担分配并维护所有名字的工作其他优点包括性能和可扩展性对服务器内存和处理能力的需求就会减少减少了网络通信量命名的分布授权命名分布授权的缺点是名字难以控制和管理，但如果分配名字的原则名字应当简短、有意义、无二义性并易于辨认如：路由器名字的后缀可以使用字符rtr，交换机使用sw，服务器使用svr等名字可以包括位置代码，位置代码可以使用字母，也可以使用数字，甚至使用汉字名字一般不区分大小写必须在易用性和安全性之间作一个折衷分配名字的原则名字应当简短、有意义、无二义性并易于辨认小结设计由多个局域网互联而成的企业网通常比较复杂，首先要设计适当的网络拓扑结构要规划好IP地址，使得网络运行更加高效和易于管理要对网络层地址和名字空间进行设计小结设计由多个局域网互联而成的企业网通常比较复杂，首先要设计简单网络管理协议(SNMP)实际上既是一种网络管理协议，也代表了一个标准化的因特网网络管理框架，使得对各种因特网设备的监视和控制成为可能健壮和简单，开放且实现容易，从而易于推广应用公共管理信息协议CMIP是OSI网络管理体系结构中的重要标准，它应用OSI协议栈网络及大型电信网管理部分场合简单网络管理协议(SNMP)实际上既是一种网络管理协议，也代选择SNMP网管协议SNMP是因特网事实上的标准选择网络设备要支持SNMP标准选择一种支持SNMP的网络管理工具，对这些设备进行性能管理、故障管理、配置管理、安全管理和账户管理等管理工作选择SNMP网管协议SNMP是因特网事实上的标准现有产品在市场上和技术上都占有领先地位的网管平台HP公司的OpenViewSUN公司的SUNSolsticeEnterpriseManagerIBM公司的TivoliCA公司的UnicenterTNG网络设备厂商有开发了专用的网络管理工具包Cisco公司的CiscoWorks3Com公司的Transcend现有产品在市场上和技术上都占有领先地位的网管平台网络管理平台一种开放的网络管理基础设施，提供以下功能自动发现网络拓扑结构和网络配置事件通知智能监控多厂商网络产品的集成存取控制友好的用户界面网络信息的报告生成编程接口等还各有其特点和不同的增值软件包在为企业网设计网络管理系统时，需要根据企业管理特点，先选择合适的网络管理平台和所需要的管理软件如果还需要特殊的管理需求的话，就需要进行具有特定目标的二次开发了网络管理平台一种开放的网络管理基础设施，提供以下功能还各有其某大学具有6个二级学院。在位于同一城市的4个校园中，其中大学与一个二级学院在一个园区(园区1)，另外四个二级学院俩俩位于一个园区(园区2、园区3)，而另外一个学院位于该城市的另一个园区(园区4)。大学向因特网发布信息并为全校提供有关信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院提供都有超过1500台PC。大学已从中国教育科研网CERNET有关机构申请了IPv4地址块58.193.152.0/21。规划一个校园网的IP地址某大学具有6个二级学院。在位于同一城市的4个校园中，其中大学需求分析和设计考虑这是一个IP地址规划问题，主要考虑：大学和各学院都有向因特网发布信息的需求，都需要分配因特网地址。申请的58.193.152.0/21共包括了8*256个IP地址的容量，这些地址都无法直接满足该大学的IP地址需求，可考虑为大学、6个二级学院各分配256个IP地址，余下的256个IP地址用于大学校园网主干和科研。大学和同在一园区的一个二级学院的IP地址分配时应连续。由于这些IP地址无法满足实际需求，每个学院都可以采用网络地址转换(NAT)技术，增加IP地址的数量。需求分析和设计考虑这是一个IP地址规划问题，主要考虑：因特网地址的规划对IP地址块58.193.152.0/21进行划分，将其分为8*256个IP地址大小的范围。划分方法是将前缀从21比特延长为24比特因特网地址的规划对IP地址块58.193.152.0/21进专用网的IP地址规划由于分配给该大学校园网的IP地址远远不能满足需求，因此这些IP地址主要用于向因特网发布信息和进行科学研究之用而大学内部教学、科研、办公用的校园网，就需要我们采用NAT技术，根据RFC1597建议从专用的IP地址段中取出一个B类地址进行规划即可可以取172.16.0.0/23，将其分配给大学和6个二级学院。每个单位都能够分配一块IP地址，其中具有126个子网，每个子网容纳的主机数量达510台事实上，由于各学院使用的专用IP地址互不相关，可以由各个学院独立进行规划专用网的IP地址规划由于分配给该大学校园网的IP地址远远不能校园网的内部网IP地址规划校园网的内部网IP地址规划采用三层结构设计大学校园网：选用万兆以太网作为连接大学4个校区的高速主干；选用千兆以太网作为各个校区的主干，形成大学校园网的汇聚层；选用百兆以太LAN作为基本的接入形式。大学校园网与因特网具有统一接口，百兆以太网接入中国教育科研网CERNET。设计一个大型校园网采用三层结构设计大学校园网：选用