楼宇系统设计方案

计算机网络系统概述前景信息时代的来临，使得智能化大楼越来越受到欢迎。可以说，网络不仅是大楼传播信息的工具，也是提高办公效率的有效手段。无线网络其移动性、便利性和灵活性等特点，更是得以在大楼中大显身手。网络一方面提升了现代化大楼的服务与管理水平。同时，也为大楼经营者带来了相应的利益。建设的目标与规模设计方案的目标是通过计算机网络软件、硬件设备和相关的技术服务，建立服务中心大楼的计算机网络系统（内外网）。服务中心大楼局域网网络系统建设主要包括如下几个方面内容：服务中心大楼主机房安装一台主干交换机，主干交换机配有多个多模光纤千兆端口（根据用户需要），连接下面二级交换机；服务中心大楼共可有多个分设备间，根据用户需求来设定。网络设计思想先进性以先进、成熟的网络通信技术进行组网，所选择的设备应该是先进的产品，支持目前所有主流的技术，同时应该能够非常容易的升级，为以后的扩展提供良好的支持。标准化和开放性网络协议采用符合ISO及其他标准，如：IEEE、ITUT、ANSI等制定的协议，采用遵从国际和国家标准的网络设备。可靠性和可用性选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可靠。实用性和经济性网络的性能网络立足现状，从实用性和经济性出发，着眼于近期目标和长期的发展，充分利用有限的投资，适度超前，在保证网络先进性的前提下，选用性能价格比最好的设备。安全性计算机网络系统用户量大，网络使用频繁，需要确保网络的安全，只有经过授权的访问才是允许的。管理性局域网可管理，能够支持标准的网络管理协议，同时通过开放的网络管理平台，对全网设备进行管理。网络技术分析以太网技术以太网技术的发展以太网是当前局域网络中使用最普遍的网络技术，也是目前联网成本最低、技术发展最为迅猛的网络技术。1998年9月，颁布了千兆以太网标准，而传输速度更快的10Gbps以太网也在实验室中试验成功。迄今，以太网技术已经发展为以太、快速以太、千兆以太、交换以太等几种，下面分别予以简述。以太网以太网的传输速度为10Mbps，所使用的传输介质有：粗同轴电缆、细同轴电缆、非屏蔽双绞线。以太网以连接简便、成本低廉的特点，迅速占领了早期的计算机局域网络市场。快速以太网快速以太网标准颁布于1993年，其传输速度为100Mbps，所使用的传输介质为非屏蔽双绞线或光纤，其中非屏蔽双绞线的传输距离为100米，多模光纤的传输距离为2公里。快速以太网采用星形布线，成本低廉、结构简单、故障率较低，它沿用以太网的帧格式，可以从以太网进行无缝升级且可与以太网混合使用，有效地保护了以太网用户原有的投资。在1993年之后，快速以太网逐渐取代FDDI，成为局域网络主干的主流产品。千兆以太网1998年9月千兆以太网标准IEEE802.3z颁布，其传输速度为1000Mbps，所使用的传输介质及传输距离如下：62.5微米多模光纤260米--440米50微米多模光纤550米单模光纤传输达3公里以上，在有的环境中甚至可达几十公里千兆以太网与快速以太网的特点相同，成本相对较低，也沿用了以太网帧格式，可以与快速以太网及以太网很好地融合。在千兆以太网标准颁布后，它取代ATM技术，成为局域网主干的首选技术。以太网交换技术交换技术是当今以太网技术的又一重要组成部分，它改变了原来以太网共享信道带宽的状况，使每个网口可以独占带宽。使用交换技术，不仅可以有效地提高以太网的带宽，而且许多以太网中的新技术都是建立于交换技术基础之上的，这些技术主要有：10M/100M/1000M自适应全双工传输虚拟网络(VLAN)技术第三层交换及高层交换SpanningTree技术虚拟网（VLAN）技术计算机局域网正在从传统的基于集线器和路由器的结构，转向基于第三层路由交换机的结构。传统的局域网使用的共享式HUB对MAC地址不加分析地向所有端口传播导致有效的带宽被浪费，从而限制了用集线器组网时一个网段上的站点数。另外，传统的以太网是面向非连接的，这样一个网段必然有大量的广播信息要传输，当广播信息大到一定程度时交换机的效率必然降低。交换机上的虚拟局域网（VLAN）技术的出现，将交换机的端口划分为不同的虚拟网段，因此可将广播信息限制在不同的虚拟局限网内，从而提高了网络的传输效率。VLAN的划分可以跨越快速以太网，千兆以太网ATM等骨干网而实现，划分的方式所基于交换机端口、工作站的MAC地址，第三层协议类型和网络地址、多些广播方式、策略来完成。基于多址广播方式划分VLAN特别适合于开展视频会议。VLAN的出现为网络设计、扩展、变动提供了很大灵活性，主要特点有：提高网络组网的灵活性。处于不同物理位置的工作站可根据其应用需求划分到同一个虚拟网中，从逻辑上把应用主体有机的统一。方便网络中工作站的增减、移动等变化。在传统网络中，一个工作站从一个网段移到另一个网段时，用户需要对站点的IP地址、缺省网关进行重新配置后才能上网。如果采用基于MAC地址的VLAN划分技术，用户作任何个性后可在网上的任意位置上网。提高网络的安全性基于HUB的网络，如果利用一台PC装上协议分析软件，连接到HUB上就可以拦截该网段的所有数据。如果采用交换机并对VLAN内的数据，从而有效的提高了网络的安全性。提高网络的响应速度。将服务器划分到各个VLAN后，各VLAN的站点可直接访问服务器，提高了网络的响应速度。第三层交换及多层交换第二层交换在共享介质LAN中消除瓶颈方面取得的巨大的成功，它在易用性、性能价格比等方面较其它技术都明显的优势，但它有以下两个方面的局限：第二层交换只有本地不含路由器的工作组中取得性能的提高，而在工作组之间，通过路由器的端到端的性能，会因路由器阻塞而显著下降。第二层交换对基于网段所遭受的广播风暴束手无策，且缺乏安全性。第三层交换结合了第二层交换和第三层路由的功能，可以不将广播填充包扩散，直接利用动态建立的MAC地址来通信并能获取第三层IP地址，ARP等信息，具有多路广播和虚拟网间基于IP、IPX等协议的路由功能。第三层交换将传统的由软件处理的指令加入专用集成电路（ASIC）芯片中，从而加速了对包的转发和过滤，使设高速下的线性路由和Qos服务质量都有可靠的保证，第三层交换技术解决了工作组间的瓶颈问题，用户在工作组间获高100－1000Mb/s的速率，同时维持了网络整体流量等及负载的均衡。大部分的局域骨干网都是建立在传统路由器基础上的，这些路由器过去IT部门设备阵容中最贵和功能最强的网络设备。但是，曾经功能强大的路由器的数据通讯能力并不强大，这些桌面和服务器系统运行所产生的网络层交换程序的数据足以充滞网络中心。传统的路由器从来就不是为了处理如此大量的(甚至是不可预测的)业务量，而且同时还要施实如此诸多策略和控制决定而设计的。局域网演进的下一步就是构成一种比传统路由器工作效率大得高的平台。当网络核心成为多种技术，多种用户团体和大量数据汇集的一个集合中心时，这种新型平台提供IT经理们所需的容量和控制能力。在新型局域网中，传统路由器变得更加专业化。它向WAN移动，使其WAN的配置能力得到较好的利用，而且其性能限制不会降低局域网的速度。LAN的容量和控制能力现在已可以由第三层高性能交换平台替代。第三层交换机可以用作主干局域网路由设备来提供第三层的转发功能，从而取代局域网中的传统路由器，同样地，它也可以作为接入千兆以太网或ATM网的边缘设备。优先级服务（Cos）和质量服务(Qos)以太网的优先级服务（Cos）和服务质量(Qos)保证相关协议，如IEEE802.1P，IEEE802.1Q，IEEE802.3X，IEEE802.3AB和资源预留协议（RSVP）等关键协议保证了网络上对传输要求比较高应用的正常使用，优化了网络的性能。IEEE802.1P使得以太网能够及时响应独立端点主机对网络发出的某个QoS（服务质量）请求，该标准界定了组播（Multicast）分组管理。IEEE802.1P还包括了最新定义的通用分配注册协议（GARP），它专用于GARP的特定应用，如GARP组播注册协议（GMRP），GARPWAN注册协议（GVRP），GMRP为组播MAC地址分组提供了注册服务。从而保证以太网上的多媒体应用需求。IEEE802.1Q已建立起了基于标准的VLANs，该标准以帧标签机制为基础，适合于以太网，快速以太网，令牌环和FDDI，也为交换机和路由器提供一种使VLAM标签化的方法。保证了多厂商的VLAN兼容性，GVRP已由IEEE802.1Q支持，它提供了VLAN成员的注册服务。IEEE802.3X是以太网的一种流控机制。当客户终端向服务器发出请求后，自身系统或网络产生拥塞环境中，它会向服务器发出一种暂停帧，以延缓服务器的数据传输。千兆比特设备对该机制的支持，补充了千兆比以太网的控制功能。IEEE802.3AB的标准支持在5类非屏蔽双绞线上,传输千兆比以太网。RSVP-资源预留协议,以太网通过在帧位中标记数据流类型，使网络在传输中识别其优先级别，以保证高优先级的数据流优先占用带宽资源，弥补以太网对延时敏感的应用支持的不足。网络管理网络管理是计算机网络建设的一项重要内容，它对于网络的正常运行与维护有着非常重要的意义，网络越大越复杂，网络管理系统就越重要。网络管理系统包括以下几个方面的内容：网络配置管理通过网管系统对各设备进行配置，同时建立以下数据库以供系统维护之用：主要系统设备的设备数据库(ObjectDataBase)；通信和网络联接拓扑结构数据库(TopologyDataBase)；关键路由配置文件数据库；用户名、电子邮件地址、口令字数据库；初始化网络设备和结构；配置设备，定义工作方式及参数；作Download或parameterServer；维护/增加/修改网络配置；选择网络通讯协议。网络失效管理通过网络管理的失效管理功能，辅以其它手段，可以对网络的故障进行有效的管理。要建立书面和联机的工作手册，一切故障按失效管理程序进行。包括书面记录、电话报告、Email报告、出错处理等。具体功能有：确定故障节点隔离故障节点重新配置/修改配置更换/修复故障节点恢复网络初始状态网络安全管理网络安全对大楼尤其重要。主要包括网络设备安全、网络服务器安全和网络信息安全。例如：可以将中心节点的路由器和交换机集中放置在有保安措施的网络控制室，并在路由器和交换机上做出限制，只允许在控制室从内部管理网段的管理主机登录和配置这些路由器和交换机，并且只允许在授权主机上才能读取路由器和交换机的状态信息，而其余任何主机和用户均无法侵入路由器系统。网络性能管理在内部网上，对用户及单位的数据流量及流速进行定时采样记录，同时记录各个不同IP地址的通信量。通过分析，可以看到网络流量的高峰和瓶颈所在，并据此优化网络性能。通过网络性能管理，还可以监视各用户IP地址的访问情况，为以后网络发展和安全保障提供依据。具体的功能有：检测瓶颈响应时间监测网上数据分析资源使用情况资源使用控制超量信息控制信息吞吐量控制网络计费管理大楼网的计费系统是必不可少的，它是网络管理的重要方面和用户管理的重要手段。可以使用市场上的网络计费系统或拨号服务器和网络设备自带的计费系统进行计费管理。特别要对拨号用户进行严格的分类记帐管理，以保证服务质量，防止非法侵入。用户可以通过WWW界面方便地了解自己帐号的使用情况。具体的功能有：定义网络资源计费系统结构定义网络资源管理系统用户使用资源控制用户使用资源进程控制详细了解资源使用状况路由协议RIP路由协议RIP（RoutingInformationProtocol）是最常使用的内部网关协议(InteriorGatewayProtocol)之一，是一种典型的基于D-V算法的动态路由协议。它通过UDP（UserDatagramProtocol）报文交换路由信息，使用跳数（HopCount）来衡量到达目的地的距离（被称为路由权－Routingcost）。由于在RIP中大于或等于16的跳数被定义为无穷大（即目的网络或主机不可达），所以RIP一般用于采用同类技术的中等规模的网络，如校园网及一个地区范围内的网络，RIP并非为复杂、大型的网络而设计。RIP有RIP-1和RIP-2两个版本，RIP-2支持明文认证和MD5密文认证，并支持可变长子网掩码。为提高性能，防止产生路由环，RIP支持水平分割（SplitHorizon）、毒性逆转（PoisonReverse），并采用触发更新（TriggeredUpdate）。RIP支持将其它路由协议发现的路由信息引入到路由表中。每个运行RIP的路由器管理一个路由数据库，该路由数据库包含了到网络所有可达目的地的一个路由项，这些路由项包含下列信息：目的地址：主机或网络的地址。下一跳地址：为到达目的地，本路由器要经过的下一个路由器地址。接口：转发报文的接口。Cost值：本路由器到达目的地的开销，可取值0～16之间的整数。定时器：该路由项最后一次被修改的时间。路由标记：区分该路由为内部路由协议路由还是外部路由协议路由的标记。RIP启动和运行的整个过程可描述如下：某路由器刚启动RIP时，以广播形式向其相邻路由器发送请求报文，相邻路由器收到请求报文后，响应该请求，并回送包含本地路由信息的响应报文。路由器收到响应报文后，修改本地路由表，同时向相邻路由器发送触发修改报文，广播路由修改信息。相邻路由器收到触发修改报文后，又向其各自的相邻路由器发送触发修改报文。在一连串的触发修改广播后，各路由器都能得到并保持最新的路由信息。同时，RIP每隔30秒向其相邻路由器广播本地路由表，相邻路由器在收到报文后，对本地路由进行维护，选择一条最佳路由，再向其各自相邻网络广播修改信息，使更新的路由最终能达到全局有效。同时，RIP采用超时机制对过时的路由进行超时处理，以保证路由的实时性和有效性。RIP作为IGP协议的一种，正是通过这些机制，使路由器能够了解到整个网络的路由信息。虽然RIP目前已被大多数路由器厂商所广泛使用，但它还是有较大的局限性：支持站点的数量有限：这就使得RIP只适用于较小的自治系统，如只用于大多数校园网及结构较简单的连续性强的地区性网络。依靠固定度量计算路由：RIP不能自动更新度量值来适应网络发生的变化，在人为更新之前，由网络管理员定义的度量值仍是固定不变的。路由表更新信息将占用较大的网络带宽：RIP每30秒就向外广播发送路由更新信息。在有许多节点的网络中，这样将消耗相当大的网络带宽。OSPF路由协议80年代中期，由于RIP路由协议越来越不适应大规模异构网络互连。OSPF作为IETF（网间工程任务组织）为IP网络开发的一种IGP（内部网关协议）协议，克服了RIP路由协议的缺点，并采用SPF（ShortestPathFirst）算法。OSPF是一种基于链路状态的动态路由协议，协议的基本思路如下：在自治系统（AS）中每一台运行OSPF的路由器收集各自的接口/邻接信息称为链路状态，通过Flooding算法在整个系统广播自己的链路状态，使得在整个系统内部维护一个同步的链路状态数据库，根据这一数据库，路由器计算出以自己为根，其它网络节点为叶的一根最短的路径树，从而计算出自己到达系统内部各可定的最佳路由。OSPF是一种内部网关协议（InteriorGatewayProtocol，IGP），它处理在一个自治系统中路由器的网络路由信息。OSPF路由协议有如下特点：同域内路由器共享相同的拓扑信息：每台路由器向同域（Area）的所有其它路由器发送链路状态广播（LSA）信息。路由器收集有关的链路状态信息，并根据SPF的算法计算出到每个结点的最短路径。路由选择的分级：OSPF可在一个域（Area）内进行路由选择。域的最大集合是自治域（AS）。AS是共享同一路由选择策略的网络集合。一个自治域AS可分为多个域（Area），域是由相邻的网络和连接的主机组成。根据源点和目的地是否在同一域内，OSPF有两种类型的路由选择方式：当源点和目的在同一区域时，采用域内路由选择当源点和目的不在同区域时，采用域间路由选择由于有域的概念，OSPF路由协议比那些不将AS分区的情况下所需传送的路由信息少得多。收敛性：OSPF使用泛洪（flooding）技术在一个新的路由区域中更新邻居路由器。只有受影响的路由才被更新，而且由于进行路由聚合，如果某路由是到达另一区域的聚合路由的一部分，则更新操作只局限于受影响的区域。支持VLSM（VanableLengthSubnetMask）可变长度子网掩码技术：OSPF支持可变长子网掩码，使OSPF适合于管理大型IP网络规划。由于每个发布的目的地均包括IP子网的掩码，从而可利用子网掩码将IP网络分为不同大小的子网，这种方法可节省IP地址空间并给网络管理员管理带来灵活性。带宽利用效率：由于OSPF基于链路状态进行利用更新，只有受影响的路由更新报文才被送往邻居路由器，而不是传送整个路由表。消耗路由器CPU资源：SPF算法需要占用路由器的CPU资源，一般来说CPU运算量与网内链路数目和路由器数目乘积成正比。当网络链路状态不稳定时，整个OSPF域内进行频繁的运算以选择最佳路由，这将大量的消耗路由器的CPU资源，引起网络性能的急剧下降。基于带宽的路由选择：OSPF使用带宽作为确定两个网络间最优路径的决定因素。PIM路由协议PIM-DM简简介PIM-DM（PProtoccolInndepenndentMultiicast——DenseeModee，与协议无无关的组播——密集模式）主主要适用下列列几种情况下下：发送者和接收者彼彼此非常接近近，并且网络络中组播组接接收成员的数数量很大。组播包的流量很大大。组播包的流量是持持续的。PIM-DM利利用单播路由由表，从源端端PIM路由器构建建一棵到所有有端节点的组组播转发树（DistrributiionTrree）。在发送送组播包时，PIM-DDM认为网络上上所有主机都都准备接收组组播包，组播播源一开始将将向网络所有有下游节点转转发组播包，无无组播组成员员的节点将剪剪枝报文通知知上游路由器器不用再向下下游节点转发发数据。当新的成员在剪枝枝区域中出现现时，PIM-DDM发送嫁接消消息，使被剪剪枝的路径重重新变成转发发状态。该机机制称为广播播——剪枝过程，PIM-DDM广播——剪枝机制将周周期性地不断断进行。PIM-DDM在广播——剪枝过程中中采用了逆向向路径转发（ReverrsePaathFoorwardding，RPF）技术：当当一个组播包包到达的时候候，路由器首首先判断到达达路径的正确确性。若到达达端点是由单单播路由指示示的通往组播播源的端口，那那么该组播包包被认为是从从正确路径而而来；否则该该组播包将作作为冗余报文文而被丢弃，不不进行组播转转发。PIM-DM主要要包括下列几几种报文：Hello报文文（PIMHHelloMessaage）：PIMHHello报文由运行PIM-DDM协议的路由由器接口定期期发送到同网网段其它邻居居接口，与PIM-DDM邻居建立邻邻居关系。另另外，由于IGMPvv1中需要使用DR（DesiggnedRRouterr）来发送主主机查询报文文（Host--QueryyMesssage），Helloo报文同时负负责为运行IGMPvv1的路由器选选择DR（每个PIM路由器定期期广播发送Helloo报文，IP地址较大的的路由器当选选为DR）。嫁接报文（GraaftMeessagee）：主机通通过IGMP报告报文（MembeershippReporrtMesssage）来通知路路由器它想加加入某个组播播组，此时端端口向上游路路由器发送Graftt报文，上游游路由器收到到Graftt报文后，就就将该端口加加入到组播组组转发列表中中。嫁接应答报文（GGraftACKMMessagge）：上游路路由器在收到到Graftt报文后，需需要向发送此此嫁接报文的的下路由器发发送应答报文文。剪枝报文（PruuneMeessagee）：若路由由器的接口转转发列表为空空，或接口转转发列表变为为空时，就向向上游路由器器发送Prunee报文，通知知上游路由器器将该路由器器从其接口邻邻居列表中删删除。断言报文（AsssertMMessagge）：一个共共享网段可能能同时有两个个上游路由器器，若它们都都向该网段转转发组播包的的话，该网段段的下游路由由器可能将收收到两份相同同的组播包。为为避免这种情情况，PIM-DDM采用Asserrt消息机制：：若路由器在在一个共享局局域网的转发发端口收到组组播包，它要要所运行PIM-DDM的所有路由由器（组地址址为224.00.0.133）发送Asserrt报文，下游游路由器将按按一系列规则则通过比较Asserrt报文的特定定域来决定获获胜者：报文文prefeerencee小的路由器器获胜；若报报文的prefeerencee相同，报文metriic值小的路由由器获胜；若若报文的metriic值也相相同，IP地址大的路路由器获胜。获获胜者将作为为该网段的转转发者，失败败者发送出接接口剪枝报文文。由于PIM-DM自身身不具备路由由发现机制，这这使得它不依依赖于特定的的单播路由协协议，协议的的实现也比较较简单。PIM-SM简简介PIM-SM（PProtoccolInndepenndentMultiicast，SparsseModde，与协议无无关的组播——稀疏模式）主主要适用下列列几种情况下下：组成员分布相对分分散，范围较较广。网络带宽资源有限限。PIM-SM不依依赖于特定的的单播路由协协议，它假设设所有路由器器除非存在传传送的显式请请求，否则就就不向组播组组发送组播包包。PIM-SSM通过设置汇汇集点RP（RendeezvoussPoinnt）和引导路路由器BSR（BootsstrapRouteer）向所有PIM-SSM路由器通告告组播信息、并并通过让路由由器显式地加加入和退出组组播组来减少少数据报文和和控制报文占占用的网络带带宽。PIM-SSM构造以RP根的共享树RPT（RPPaathTrree），使组播播包能沿着共共享树发送，当当主机加入一一个组播组时时，直接连接接的路由器便便向汇聚点（RP）发送PIM加入报文；；发送者的第第一跳路由器器把发送者注注册到RP上；接收者者的DR（直连网络络的负责人）将将接收者加入入到共享树。使使用以RP根的共享树RPT进行报文转转发，不但减减少路由器需需要维护的协协议状态、提提高协议的可可伸缩性，降降低路由器处处理开销，还还能支持大量量同时存在的的多点广播组组。当数据流流量达到一定定程度时，数数据可从共享享树RPT（RPPaathTrree）切换到基基于源的最短短路径树SPT（ShorttPathhTreee），以减少少网络延迟。PIM-SM主要要包括下面几几种报文：Hello报文文（PIMHHelloMessaage）：PIMHHello报文由运行PIM-SSM协议的路由由器接口定期期发送到同网网段其它邻居居接口，与邻邻居建立邻居居关系，还同同时为运行IGMPvv1的版本的路路由器选择DR。注册报文（ReggisterrMesssage）：当DR收到本地网网络上主机发发出的组播报报文收到组播播报文，要将将该报文封装装在注册报文文中单播发送送给RP，以便该报报文在RP树上分发。注注册报文的IP头部中的源源地址为DR的地址，目目的地址是RP的地址。注册停止报文（RRegistter-SttopMeessagee）：由RP单播给注册册报文的发送送者，用来告告诉注册报文文的发送停止止发送注册报报文。加入/剪枝报文（Joiin/PruuneMeessagee）：该报文文被沿着源或或RP的方向发送送上去。加入入消息用来建建立RPT或SPT，当接收者者离开组时用用剪枝消息剪剪枝RPT或SPT。该报文包包含各个组播播路由项加入入和剪枝消息息。加入消息息和剪枝消息息放在一个报报文中，但是是两种报文中中任何一种都都可以为空。引导报文（BoootstraapMesssage）：路由器器要从除了接接收到这种报报文的接口外外的所有的接接口发送这种种报文。该种种报文在BSR中产生，并并被所有的路路由器转发。用用来向所有的的路由器通告告BSR收集到的RP-Seet信息。断言报文（AsssertMMessagge）：在多路路访问网络上上存在多个路路由器，并且且某个路由器器路由项的出出接口收到组组播组报文时时，要使用这这种报文来指指定转发者。候选RP信息广播报报文（Candiidate--RP-AddvertiisemenntMesssage）：由候选RP定期单播给BSR，用来通告告该候选RP服务的组地地址集合。交换机技术分析核心交换机网络主干设备即骨骨干节点设备备的系统结构构直接决定了了设备的性能能和功能水平平。因此，深深入了解设备备的系统结构构设计，客观观认知设备的的性能和功能能，对正确选选择设备极有有帮助。交换结构随着网络交换技术术不断的发展展，交换结构构在网络设备备的体系结构构中占据着极极为重要的地地位。为了便便于理解，这这里仅简述三三种典型的交交换结构的特特点：共享总线：由于近近年来网络设设备的总线技技术发展缓慢慢，所以导致致了共享总线线带宽低，访访问效率不高高；而且，它它不能用来同同时进行多点点访问。另外外，受CPUU频率和总线线位数的限制制，其性能扩扩展困难。它它适用于大部部分流量在模模块本地进行行交换的网络络模式。共享内存：其访问问效率高，适适合同时进行行多点访问（MULTIICAST）。共享内内存通常为DDRAM和SRAM两种种，DRAMM速度慢，造造价低，SRRAM速度快快，造价高。共共享内存方式式对内存芯片片的性能要求求很高，至少少为整机所有有端口带宽之之和的两倍（比比如设备支持持32个千兆以以太网端口，则则要求共享内内存的性能要要达到64GGbps）。交换矩阵（Croossbaar）：由于于ASIC技术术发展迅速，目目前ASICC芯片间的转转发性能通常常可达到几十十Gbps，甚甚至更高的性性能，于是给给交换矩阵提提供了极好的的物质基础。所所有接口模块块（包括控制制模块）都连连接到一个矩矩阵式背板上上，通过ASSIC芯片到到ASIC芯片片的直接转发发，可同时进进行多个模块块之间的通信信；每个模块块的缓存只处处理本模块上上的输入/输出队列，因因此对内存芯芯片性能的要要求大大低于于共享内存方方式。总之，交交换矩阵的特特点是访问效效率高，适合合同时进行多多点访问，容容易提供非常常高的带宽，并并且性能扩展展方便，不易易受CPU、总线线以及内存技技术的限制。目目前大部分的的专业网络厂厂商在其第三三层核心交换换设备中都越越来越多地采采用了这种技技术。阻塞与非阻塞配置置阻塞与非阻塞配置置是两种截然然不同的设计计思想，它们们各有优劣。在在选型时，一一定要根据实实际需求来选选择相应的网网络设备。阻塞配置：该种设设计是指：机机箱中所有交交换端口的总总带宽，超过过前述交换结结构的转发能能力。因此，阻阻塞配置设计计容易导致数数据流从接口口模块进入交交换结构时，发发生阻塞；一一旦发生阻塞塞，便会降低低系统的交换换性能。例如如，一个交换换接口模块上上有8个千兆交换换端口，其累累加和为8GGbps，而而该模块在交交换矩阵的带带宽只有2GGbps。当当该模块满负负荷工作时，势势必发生阻塞塞。采用阻塞塞设计容易在在千兆/百兆接口模模块上提高端端口密度，十十分适合连接接服务器集群群（因为服务务器本身受到到操作系统、输输入/输出总线、磁磁盘吞吐能力力，以及应用用软件等诸多多因素的影响响，通过其网网卡进行交换换的数据不可可能达到网卡卡吞吐的标称称值）。非阻塞配置：该设设计的目标为为：机箱中全全部交换端口口的总带宽，低低于或等于交交换结构的转转发能力，这这就使得在任任何情况下，数数据流进入交交换结构时不不会发生阻塞塞。因此，非非阻塞设计的的网络设备适适用于主干连连接。在主干干设备选型时时，只需注意意接口模块的的端口密度和和交换结构的的转发能力相相匹配即可。当当要构造高性性能的网络主主干时，必须须选用非阻塞塞配置的主干干设备。L3/L4数据流流处理模式众所周知，每一次次网络通信都都是在通信的的机器之间产产生一串数据据包。这些数数据包构成的的数据流可分分别在第3..4层进行识识别。网络主干交换机的的系统结构在在设计上分成成两大类：集集中式和分布布式。即便两两者都采用了了新的技术，但但就其性能而而言，仍存在在着较大的差差异。集中式：所谓集中中式，顾名思思义，L3//L4数据流流的转发由一一个中央模块块控制处理。因因此，L3//L4层转发发能力通常为为3M－4Mppss，最多达到到15Mppps，例如cisco的集中转发发模式下的catallyst65500。分布式：将L3//L4层数据据流的转发策策略设置到接接口模块上，并并且通过专用用的ASICC芯片转发L3/LL4层数据流流，从而实现现相关控制和和服务功能。L3/L4层转发能力可达几百Mpps。系统容量由于网络规模越来来越大，网络络主干交换机机的系统容量量也成为选型型中的重要考考核指标。建建议重点考核核以下两个方方面：物理容量：各类网网络协议的端端口密度，如如千兆以太网网、快速以太太网，尤其是是非阻塞配置置下的端口密密度。逻辑容量：路由表表、MAC地址表表、应用数据据流表、访问问控制列表（ACL）大小，反映出设备支持网络规模大小的能力（先进的主干设备必须支持足够大的逻辑容量，以及非阻塞配置设计下的高端口密度）。背版带宽和L2//L3层交换速率率背板带宽背板带宽是交换机机的内部实现现。背板带宽宽能够体现在在交换机吞吐量量上。设备背背板带宽的设设计通常是根根据该设备所所要支持的端端口数量和类类型来决定，一一台设备，如如果具有24口10/1000M的以太网网和1口1000MM以太网，那那么它所需要要的背板能力力最高需要：：24×0.22G＋1×2G＝6.8G。因此根据自己的网网络情况，合合理地选择背背板带宽，使使其物尽其用用。L2/L3层交换换速率交换机最基本且最最重要的功能能是数据包转转发吞吐量。在同同样端口速率率下转发小包包是交换机包转发发能力最大的的考验。L22/L3层交换速率率是在设备满满配置的情况况下，对各端端口测得的吞吞吐量之和。因因此单纯的L2/L3层交换速率率并不是设备备性能的关键键，而每个端端口特殊的硬硬件处理设计计出的高吞吐吐量才是设备备的性能差异异所在。关键部件冗余设计计人们已经普遍认同同处于关键部部位的网络设设备不应存在在单点故障。为为此，网络主主干设备应能能实现如下三三方面的冗余余。电源和机箱风扇冗冗余控制模块冗余控制模块冗余功能能应提供对主主控制模块的的“自动切换”支持。如：：备份控制模模块连续5次没有听到到来自主控制制模块的汇报报，备份模块块将进行初始始化并执行硬硬件恢复。另另外，各种模模块均可热插插拔。交换结构冗余如果网络主干设备备忽略交换结结构的冗余设设计，就无法法达到设备冗冗余的完整性性。因此，要要充分考虑网网络主干设备备的可靠性，应应该要求该设设备支持交换换结构冗余。此此外，交换结结构冗余功能能也应具有对对主交换结构构“自动切换”的特性。结构的技术寿命所选择的网络主干干设备，其系系统结构应能能满足用户的的功能需求，并并具有足够长长的技术生命命周期。换言言之，要避免免通过硬件补补丁的办法（不不断增加新的的硬件单元对对系统结构中中存在的不足足进行补偿，或或彻底更换新新设备的方式式），才能满满足用户1至5年内不断增增长的功能需需求。业界有很多设备的的系统结构是是第2层交换的设设计概念，需需要通过增加加第3层的硬件模模块才能实现现第3层或第3/44层交换的功功能，而且第第3/4层数据据包的转发能能力远低于第第2层交换的转转发能力。另外，很多主干设设备架构上不不支持万兆模模块，当网络络升级到万兆兆后，必然替替换设备，这这对用户的投投资保护十分分不利。可堆叠接入层交换换机在一个配线间，当当网络信息点点较多的时候候，通常采用用交换机堆叠叠来扩展交换换机端口。堆堆叠交换机的的选择，可以以考虑以下一一些问题。堆叠方式堆叠交换机一般有有两种堆叠方方式：星型堆堆叠和菊花链链式堆叠。菊花链式堆叠是一一种基于级联联结构的堆叠叠技术，对交交换机硬件上上没有特殊的的要求，通过过相对高速的的端口串接和和软件的支持持，最终实现现构建一个多多交换机的层层叠结构，如如果实现了环环路，可以在在一定程度上上实现冗余。菊花链式堆叠模式式多层次转发发时时延极高高，如果堆叠叠8台，则从第第一台交换机机把数据传送送到第八台经经过的可能是是7跳，性能较较差。而星型型堆叠模式适适用于要求高高效率高密度度端口的单节节点LAN，通过提供供高带宽矩阵阵，克服菊花花链式堆叠模模式多层次转转发时高时延延问题。目前，市场上不少少堆叠交换机机的堆叠数量量能达到多台台，这种高堆堆叠功能可以以实现网络的的灵活扩展。但但有，在实现现高堆叠的同同时，必须兼兼顾交换机的的性能不受影影响。可管理性许多研究证明，在在产品生命期期中涉及到运运行和管理的的费用比产品品的最初购买买费用要更多多。因此，可可管理性成为为评估总体价价值的另一项项关键因素。可堆叠交换机固有有的优势，在在于管理单一一逻辑实体比比管理多台必必须独立配置置和监控的设设备更容易。但但是，这里仍仍有其它一些些需要研究的的因素，包括括用于优先数数据流的服务务质量（QoS）、执行策策略的能力、管管理VLAN传输流的能能力以及易于于管理和操作作性。为了简化管理工作作，可堆叠交交换机要能够够提供基于Web的多种管理理方式，以及及能跨交换机机作相应配置置和软件升级级等。安全性在安全问题上，交交换机最好能能够提供全面面的安全功能能，包括ACL、身份认证证、端口隔离离、支持802.11x及VLAN功能等，因因为用户对于于网络的安全全方面要求越越来越高。而而最佳的网络络安全控制应应当从网络边边缘即网络与与外网或者用用户接入处开开始，将网络络的安全屏蔽蔽及策略执行行能力分散到到网络的边缘缘。对于大楼网络来说说，通常要在在用户访问不不同的网络服服务资源时，进进行认证和访访问控制。简简单的如MAC地址与端口口绑定，限制制特定用户从从特定端口接接入。另外，接接入认证方面面，目前发展展较快的是802.11x认证标准，而而且，802.11x认证还可结结合动态VLAN划分、动态ACL等。设计根据用户的具体需需求，方案的的网络拓扑结结构都采用下下图的两层交交换网络结构构。地上五层地上五层地上四层地上三层地上二层地下一层地上一层地上四层地上二层地上三层地上一层左侧右侧各配线间接入交换换机采用一条条千兆多模光光纤上联到主主机房核心交交换机。配线间接入采用224/48端口交换机机，以满足对对接入端口的的要求。接入交换机百兆双双绞线到桌面面。方案服务中心大楼网络络采用两层结结构，接入层层交换机通过过单链路千兆兆连接到核心心交换机。接入层交换机全部部千兆上连，楼楼层交换机提提供扩展插槽槽，扩展插槽槽之一插千兆兆光模块，与与核心设备进进行连接。核心交换机提供千千兆光接口，与与接入层交换换机进行连接接。网络详细规划VLAN设计在方案中，Cissco、3COM、华为等交交换机都支持持多种VLAN功能，包括括基于端口的的VLAN,标准的802.11QVLAAN及SuppeerVLANN功能，同样样也都支持基基于协议的VLAN及动态VLAN。VLAN的合理划划分可以有效效的隔离广播播，减小冲突突域，提高网网络效率以及及安全性。VLAN设计在网网络中起到举举足轻重的作作用，目前VLAN的划分通常常基于两种方方式：按照地地理位置来划划分vlan，按照用户户群来划分vlan。按照地理位置来划划分vlan，可以简化网网络的拓朴和和配置，但这这并非一个好好的设计方法法：因为地理理位置相近的的用户不一定定有资源共享享的需求。按照用户群来划分分vlan，使通信最多多的用户群处处于同一个vlan下，一方面面可以保证通通信最多的用用户之间使用用二层交换协协议，而性质质不同的用户户之间，通信信量较少，采采用三层交换换协议，无疑疑提高了网络络的效率；通通信最多的用用户群体一般般属于相同性性质用户如同同一个部门等，相互互之间有信任任关系，网络络的安全性能能同样会提高高。但是，这这种vlan划分使得网网络拓朴和配配置变得复杂杂，增加了管管理的难度。因此如何来划分vvlan，需要我们们从管理上、配配置上、拓朴朴结构上、通通信量上和网网络安全上来来全盘权衡考考虑。针对大楼网络来说说，因为涉及及大楼行政办办公使用，在在vlan划分上采用用以下方式：：行政办公网：使用用第二种方式式按照用户群群划分VLAN，因为需要要跨越交换机机，我们采用用802.11q的VLAN方式。管理网的网络规模模小，可以让让所有端口和和设备处于同同一个Vlan中。地址设计为了合理使用IPP地址，提高高有限的IP地址资源的的使用率，本本网需要根据据各节点用户户数的数量采采用VLSM技术合理规规划IP地址，同时时还应当结合合考虑IP地址的分配配应当有利于于路由汇总，减减少路由表的的数量。大楼网地址规划采采用结构化的的方式，分层层划分。一级子网化：分配前缀为24位位的IP地址段，前前缀为24位的IP地址段将提提供超过254个可用的IP地址。二级子网化以27位的掩码为基准，进进行子网划分分，即每个子子网有30个可用地址址，中心局域域网采用第一一和第二个子子网，掩码相相应为26位。核心设设备互连地址址采用最后一一个最后一个个子网，从核核心开始，依依次分配。根根据VLAN的大小，依依次确定网段段大小。核心层设备与汇聚聚层设备互连连，VLAN地址采用子子网最后一个个IP地址。设备备地址采用子子网第一个IP地址。管理网可以用一个个26位前缀的地地址块进行分分配。网络安全设计建设成的网络，将将服务于大楼楼的对外联络络和信息交互互。复杂的应应用和多样的的访问使得在在进行网络设设计时，需要要充分考虑网网络的安全，保保证信息和资资源被合法的的利用。网络安全从用户层层、网络层与与应用层这三三个层次来共共同保证。在网络方案中我们们只考虑用户户层安全和网网络层安全。用户层安全采用二种技术保证证用户层安全全：802.1x认证证：确保网络络被授权的人人使用。802.11x的部署，使使得网络使用用者是谁的问问题得到了解解决。为了进进一步提供安安全性，建议议对交换机端端口、IP地址、Mac地址和用户户名进行捆绑绑。基于端口VLANN：控制用户户行为，禁止止用户之间的的访问。网络层安全设备安全控制、广广播攻击防范范保证网络层层的安全：设备安全控制：关闭不必要的服务务：关闭所以以路由器上的的不必要的服服务，如Fingeer、Bootp、Http等。设置加密特权秘密密：使用加密密的特权秘密密，注意密码码的选择。不使用登录名，不不管以何种形形式（如原样样或颠倒、大大写和重复等等）不用名字的第一个个、中间一个个或最后一个个字不要用最亲近的家家人的名字不要用其他任何容容易得到的关关于你的信息息不要使用纯数字或或完全同一个个字母组成的的口令不使用英文单词不使用短于6位的的口令不要把口令告诉任任何人设置NTPservver：为了保证证全网网络设设备时钟同步步，必须在网网络设备上配配置NTP。配置日志：在所有有的路由器上上配置相应的的日志选项。设置LOG和DEBUUG的时间标记记：为了方便便排错和管理理日志，在Log和DEBUG信息上加上上时间戳。配置Consle，VVty，Aux等的登录控控制：配置conslle，vty，Aux的登录控制制，避免非法法访问。限制远程登录的范范围：缺省情情况下，从任任何地方都可可以登录网络络设备。为了了增加网络设设备的安全性性，需要对远远程登录的范范围进行限制制。配置SNMP：设置SSNMP只读和读写写串，启用ACL限制可以通通过SNMP的访问。配置特权等级：合合理设置管理理员的操作权权限。广播攻击防范：对对网络非正常常广播和攻击击进行主动控控制。用户接入端口绑定与认证交换机支持对maac＋ip＋port的绑定，同同时提供基于于端口的IEEE8802.1xx认证。建议在新网所有ppc进行802.11x的认证，同同时，为某些些特殊的应用用，进行mac+iip＋port的绑定。在网络管理中心，可可以学习第一一次接入网络络的pc的mac地址，因此此网络管理员员不需要手动动的大量输入入mac地址。广播抑制以太网是一个广播播型网络，虽虽然VLAN的划分可以以有效的减小小广播域，但但是针对终端端恶意的广播播攻击，同一一VLAN中的所有用用户都要受到到广播风暴的的影响，为了了避免该问题题的发生，在在端口上进行行广播抑制。网络管理系统我们以Ciscoo公司CisccoWorkks20000网管软件为为例说明。Cisco坚决贯贯彻19977年AssurredNeetworkkServvices倡倡议中规定的的设计原则，转转变了传统的的网络管理模模式。AsssuredNetwoorkSeervicees宣布新推推出的Cissco管理工工具具有以下下特点：Internett式结构良好集成可扩展到迅速变化化的intrranet或或extraanet环境境中可管理路由器、交交换机及接入入服务器使用一套公用业务务CiscoWoorks20000应用程程序中包含上上述特性后可可减少管理您您的网络所需需的时间和与与此相关的错错误，同时提提高工作人员员的工作效率率和网络可用用性。CiscoWoorks20000系列产产品继承了CCiscoWorkss、Ciscoo资源管理器器[CRM((CiscooResoourceManagger)]及及CWSI((CiscooWorkssforSwitcchedIInternnetworrks)的的功能。新推推出的管理产产品包括功能能增强的工具具、重要的新新功能及基于于标准的第三三方集成工具具。尤为重要要的是CisscoWoorks20000还包括括：用于关键管理工具具和产品的基基于Web接入的的RME((ResouurceMManageerEsssentiaals)管理交换机和网络络业务的CWWSI园区网网建立管理内部网的的Ciscoo管理连接CiscoVieew图形设备备管理工具将来增加功能时可可插入的模块块将网络作为一个完完整的系统而而非许多零散散的元件或设设备进行管理理－－网络在在继续发展而而且变得日益益复杂，同时时对商务的作作用也日益重重要，有鉴于于此，网络管管理应从一系系列与单个设设备相关的任任务演变成一一种更为系统统的方法。CCiscoWorkss2000产产品的发展趋趋势也反应这这一需求，CCisco正正将现有设备备管理工具的的丰富特性纳纳入新产品，使使这些新产品品带有管理整整个网络的全全新功能。CCiscoWorkss2000产产品有着通过过诸如库存、拓拓扑结构及改改变管理等应应用程序对多多种设备进行行。管理一体体化的特性。CiscoWorks2000产品以不断积累