计算机网络-网络系统集成于网络实例

计算机网络_网络系统集成于网络实例第一页，共62页。第11章网络系统集成与网络实例11.1网络工程的概念

11.1.1网络工程规划 11.1.2网络工程设计11.2局域网系统设计的主要内容 11.2.1网络拓扑结构设计 11.2.2综合布线系统设计 11.2.3网络体系架构设计 11.2.4用户系统的选择与设计 11.2.5网络设备的选型和连接第二页，共62页。 11.2.6数据备份与恢复系统设计 11.2.7网络管理系统和服务器管理系统设计11.3广域网系统设计的主要内容11.4楼宇网络的设计案例 11.4.1楼宇网络需求分析 11.4.2设计原则 11.4.3设计方案一 11.4.4设计方案二11.5园区网络的设计案例第三页，共62页。 11.5.1园区网络需求分析 11.5.2设计原则 11.5.3园区网络设计方案一 11.5.4园区网络设计案例二第四页，共62页。11.1网络工程的概念网络工程定义

从用户网络建设需求出发，充分考虑用户自身特点和行业特征，利用当前主流网络技术和网络产品，设计网络构建的解决方案，并依此方案进行整个网络建设的过程。网络建设的过程

规划（Planning）、设计（Designing）、实施（Implementing）、运行（Operating）以及优化（Optimizing）第五页，共62页。11.1.1网络工程规划网络规划首先需要进行需求分析工作，根据用户对所期望建设网络的描述以及充分的交流，找出影响网络设计的关键信息。网络建设的目标网络的功能：构建的网络必须能够正确工作，即能够帮助用户完成他们的工作网络的扩展：网络必须能够成长，即原来的设计能够在不做大刀阔斧修改的情况下，根据需要在网络规模和应用上有所增长。网络的适应能力：网络在设计上必须着眼技术的发展趋势，设计的内容中不能包含那些以后可能成为网络引入新技术的障碍的部分。网络的管理：网络在设计上应该实现对网络的监控和管理，以保证欲行的稳定性。第六页，共62页。11.1.2网络工程设计网络设计原则实用性开放性可靠性安全性先进性易用性可扩展性第七页，共62页。通信子网的设计

一个层次式的通信子网包括3个层次，即核心层、分布层、及接入层，属于不同层次的设备职责有所不同，如图所示：第八页，共62页。通信子网的设计（续）

核心层可以根据需要，选择不同的交换技术，如下图所示，可以分别使用ATM交换技术、或者以太网交换技术：第九页，共62页。通信子网的设计（续）核心层是一个快速交换主干，应该尽可能的以最快的速率交换数据包。核心层不应该执行任何对包的操作（比如用ACL进行过滤），这样会降低包交换的速度。核心层一般用来连接建筑群和服务器群，承担网络上80%左右的流量，是网络的主干。核心层的功能是由核心交换机（或路由器）来完成的。若考虑网络的容错能力，在条件允许下可以采用双核心结构，即核心层有冗余设备，并且核心层与分布层在连接上也有冗余链路。第十页，共62页。通信子网的设计（续）

分布层用来分割接入层和核心层、并且用来区分和定义核心层的位置：第十一页，共62页。通信子网的设计（续）分布层的功能：地址和区域的聚合提供部分或工作组的访问。广播域/组播域的边界划分。VLAN间路由。网络介质的转换。提供安全机制。第十二页，共62页。通信子网的设计（续）接入层的功能：利用共享方式使用带宽。利用交换方式使用带宽。基于MAC层的过滤。对冲突域的微分段。第十三页，共62页。资源子网设计服务器的放置

服务一般分三类，分别为本地服务、远程服务和全局服务。其中提供全局服务的服务器通常被统一放置在直接连接在主干上的一个独立子网上，如图所示：第十四页，共62页。资源子网设计（续）服务器与核心层的连接可以将服务器直接连接到核心层设备，这样做可以减少传输中的延迟，但会占用较多核心层设备上的端口；如果核心层端口密度低、并且可以接受增加一定的传输延迟，那么可以现将所有服务器设备汇聚到一台交换机，再由交换机通过高宽带链路连接到核心层设备，如图所示：第十五页，共62页。资源子网设计（续）全局服务的子网结构第十六页，共62页。设备类型网络设备选型原则标准化原则权威性原则技术简单性原则环境适应性原则实用性原则可管理性原则容错冗余性原则第十七页，共62页。设备类型（续）核心层设备的选型要点支持基于ASIC的高性能转发能力，包括线速的MPLS业务处理能力、线速的IPv6业务处理能力、极高速的路由交换引擎；支持融合的网络安全特性，支持集成的防火墙模块，支持集成IPSec模块，提供互联网VPN接入服务，支持端口镜像和远程端口镜像，能够与IDS联动，能够抵御网络病毒的攻击，支持路由协议报文的加密，支持以太网多种端口绑定方式，支持报文安全过滤，放置非法入侵和恶意报文攻击；产品自身的无单点故障设计，关键部分都采用冗余设计等第十八页，共62页。设备类型（续）分布层设备的选型要点支持模块化的方式支持全分布式体系结构设计有较高的交换容量最好支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并支持STP/RSTP/MSTP/VRRP等协议实现链路冗余支持遵从最小服务原则，所有可能遭受到攻击的网络在默认情况下均关闭支持安全的SSH登录、基于用户安全策略的SNMPV3、MAC+IP+VLAN绑定、802.1X认证等安全策略第十九页，共62页。设备类型（续）支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术支持EAD端点安全防御解决方案支持内容的防火墙安全模块支持组播功能、802.1X、DHCH-SERVER，NAT、PBR、POE+VoiceVlan、EPON等多种业务特性支持集群管理第二十页，共62页。设备类型（续）接入层设备的选型要点支持利用互联电缆实现多台设备的扩展具有即插即用、单一IP管理，同步升级的优点能够通过路由热备份技术，在整个堆叠架构内实现控制平面和数据平面所有信息的冗余备份和无间断三层转发能够通过分布式链路聚合技术，实现多条上行链路的负载分担和互为备份支持对恶意地址欺骗、擅自修改IP地址、私设DHCPServer等安全事件和隐患的发现第二十一页，共62页。设备类型（续）对业务变化自动感知自动适应，自动进行OoS配置和调整，对业务需要的网络参数能够自动生成、自动下发、自动调整和自动优化。支持PoE技术支持VRRP细腻路由冗余协议，与其他三层交换机构建VRRP备份组。支持ECMP（等价路由），通过配置多条等值路径实现上行路由的冗余备份和负载分担。支持交流/直流双输入设计，设备既可以采用交流电源输入，也可以采用直流电源输入，二者之间热备份。支持SNMPV1/V2/V3，可支持网管平台和网管系统，支持CLI命令行、Web网管、Telnet、集群管理第二十二页，共62页。网络应用平台设计应用平台在整个网络层次的结构：信息系统应用软件：OA、MIS、VOD、VOIP、电子商务、远程教育、电视会议等系统管理安全管理系统平台应用服务软件：DBMS、群件、开发工具、DNS、FTP、WWW、E-mail等传输平台系统软件：OS、TCP/IP协议栈等网络平台LAN、WAN、网络设备、Internet接入等综合布线系统、传输媒体等第二十三页，共62页。网络应用平台设计（续）

网络操作系统的选择：网络操作系统的主要特征能够有效地支撑用户的上层应用，除了支持常规的进程、存储、设备、文件、作业管理外，是否支持VPN、流媒体、QoS、组播、数据中心等功能；网络操作系统的生命力，即该系列操作系统维持对业务变化、增长的适应能力；支持未来网络应用所需的特征，如虚拟化技术、网络位置识别；网络操作系统的速度、性能，如支持对称多处理、支持网络负载平衡。第二十四页，共62页。网络安全设计网络风险的体现：不断变化的信任模型不断变化的威胁模型不断变化的业务模型第二十五页，共62页。网络安全设计（续）

网路安全防护模型的特征：信任模型要求网络必须从端点开始进行行为的管理：对端点的行为进行识别，让行为顺从取代简单的“口令”认证，成为安全接入网络的基本条件；威胁模型要求网络深入到应用和业务内容进行保护：根据公司安全策略，对TCP80端口的流量进行深度解析，识别出哪些是正常流量、哪些是攻击流量、哪些是网络滥用流量，从而进行精细控制，完成应用保护。业务模型要求基础安全特征称为网络的一部分：也就是基础安全特征应该邮寄的渗透到网络设备中，网络可以弹性的调整和部署，以适应因为业务变化引起的安全策略的变化。第二十六页，共62页。网络安全设计（续）

网络安全产品的选择，应当注意：防火墙的选择应该综合包括过滤功能、、应用代理功能、状态检测功能；另外最好还包括安全身份认证、智能地址转换、丰富VPN特性、内容深度识别、流量QoS保证、强大路由能力等其他特征；同时注意防火墙产品在保证网络安全性的同时还具有很好的性能，主要要求有较高的整机吞吐量、较高的最大并发连接数、及较高的每秒新建连接数。VPN产品选择上注意应具有较好的加密性能和较高的最大并发隧道数，支持的VPN协议有L2TP、IPSec、GRE、DVPN、MPLS和SSLVPN，支持的加密算法包括DES/3DES、AES、MD5、SHA-1，身份认证功能包括本地认证、RADIUS/TAACACS认证及PKI/CA认证。第二十七页，共62页。11.2局域网系统设计的主要内容

11.2.1网络拓扑结构设计网络拓扑结构设计是整个设计的开始。局域网和广域网拓扑结构一般有星形、总线型、树形、网状等几种，具体如何选择要根据相应的网络规模和网络应用需求而定。第二十八页，共62页。11.2.2综合布线系统设计综合布线系统设计主要考虑传输介质、中继传输系统、网络接口和速率的匹配等重要方面。最重要的是机房布线系统的设计，因为所有的关键设备通常都是集中在机房中，各种布线多而杂，如何正确标识和布线是整个布线系统的关键。综合布线系统的设计是根据网络用户的位置分布和传输距离进行的，当然还得考虑网络系统将来的扩展和其他布线系统，如强电系统、消防系统、电话系统等。第二十九页，共62页。11.2.3网络体系架构设计以Windows网络操作系统平台为例：小型局域网的域系统一般都是单域控制器系统，比较好设计。对于大中型局域网系统不止一台域控制器，还可能有多个子域、多个子网、多个DNS、DHCP、WINS服务器。所以服务器之间的关系如何，则要好好规划，不是仅通过简单的连接就可以完事的。第三十页，共62页。11.2.4用户系统的选择与设计用户系统包括用户终端计算机系统和应用系统两个方面。用户计算机系统的选择与设计主要涉及用户计算机硬件配置、操作系统、办公系统、工具软件系统的选择等方面。应用系统并不是每个用户都需要，只是对需要的用户进行选择与设计，主要就应用系统的种类和功能模块进行选择与配置。第三十一页，共62页。11.2.5网络设备的选型和连接主要的网络设备有服务器、用户计算机、网卡、交换机、路由器、防火墙等。如果有网络存储系统，则还有相应的网络存储设备，如数据存储交换机、各种媒介存储设备等。网络设备的选购最主要考虑的是网络功能和应用需求，同时兼顾设备品牌、售后服务水平和成本。在网络设备选购中还需考虑整个网络系统之间的接口和扩展性能问题，不能孤立地考虑某一个设备。第三十二页，共62页。11.2.6数据备份与恢复系统设计小型企业选择Windows网络操作系统中的"备份"工具对于有特殊要求的和大中型企业用户来说，通常是另外选择更加专业的第三方数据备份与恢复系统，甚至还可能部署复杂的网络存储系统。第三方专业的数据备份与恢复系统一般可支持异地存储、各种应用系统的数据备份与恢复、智能存储等功能。目前可选择的第三方数据备份与恢复系统有Veritas的BackupExec10.0、BrightStorARCserveBackupR11、MicrosoftSystemCenterDataProtectionManager2006、腾龙备份大师

2006、NortonGhost10.0、AcronisTrueImage9.0等多个。第三十三页，共62页。11.2.7网络管理系统和服务器管理系统设计网络管理系统也有高、中、低档之分。

高档的网络管理系统基本都是出自大的专业公司，中档的主要是国内一些厂商开发的网络管理系统，小型网络管理系统则属于网络管理工具软件。服务器管理系统是专门针对具体服务器进行管理的管理系统服务器管理系统可以根据不同服务器的主要应用进行不同的网络监控、用户权限配置等。第三十四页，共62页。11.3广域网系统设计的主要内容广域网的设计首先要确定设计的广域网系统的用途。不同的用途，广域网系统的设计方法、所选择的技术也不相同。如果仅是进行互联网连接，则只需选择一种适合用户的互联网接入方式即可。如果是想进行多局域网互联，则有专线连接和非专线连接之分。如果是非专线连接方式，不仅要考虑互联网络中各用户网络的接入方式，还要选择网络中继、数据交换方式，这就是端对端通信问题了。中继线路通常是公共骨干网络，如公用交换电话网、中国移动互联网等。第三十五页，共62页。广域网系统设计的主要内容（续）数据交换网主要是利用国内四大公用数据网：中国公用数字数据网、中国公用分组交换网、中国公用帧中继网和中国公用电子信箱系统。如果是采用专线连接方式，则要确定采用的专线方式是借助于ISP，还是自己组建。在复杂广域网应用的网络中，除了要确定具体的接入和交换方式外，另一个重点就是相应路由器设备的选型。第三十六页，共62页。11.4楼宇网络设计案例

楼宇网络通常包括高速接入的主设备间和阁楼层的设备间的网络，如图所示：楼宇网络被楼层或部门分成了多个区域，主机和服务器放置在中信机房，通过物理传输介质将各区域的配线间通中信机房联网。从各配线间引出物理传输介质到工作区的办公室。第三十七页，共62页。局域网类型为10Base-T；每一楼层有大约20台计算机，通过楼层内安装的hub连接起来，每个楼层的一个工作组内都安装了一台服务器，该服务器只对工作组内的用户提供服务；公司另外在第一层的机房内还部署了一定数量的服务器，为全公司提供服务；各楼层的hub通过垂直子系统连接起来，构成整个公司的网络。整个网络的流量模式属于80/20模型，不能满足公司未来发展的需求，即20/80流量模式的发展。第三十八页，共62页。11.4.1楼宇网络需求分析

为了适应网络20/80流量模式的发展以及公司业务的发展，公司未来网络发展的需求：部署交换机以太网络，将用户终端的带宽提高至100Mb/s。加强网络管理、提高网络安全，各个部门网络之间互相隔离。适应公司网络规模的增长，包括计算机数量的增长和公司业务所需带宽的增长。专门建设服务器群，为公司提供全局服务。实现公司员工对各种Internet资源的访问。设备模型有助于适应部门之间的数据流量的20/80规则。提供数据访问的安全性和可靠性，支持多媒体应用。对现有缆线进行升级，满足公司未来发展需要。第三十九页，共62页。11.4.2设计原则采用交换式以太网技术接入层设计为终端用户提供独占带宽。将每个部门划分为独立的VLAN。网络设备支持网络管理。汇聚层/核心层设计采用三层交换技术，并提供VLAN间路由。网络关键部分提供设备和链路冗余。千兆链路上行到核心层。服务器集中放置在靠近公司网络主干的位置。第四十页，共62页。11.4.3设计方案一第四十一页，共62页。设计方案一（续）在接入层选用H3CS3600交换机。汇聚层与核心层合二为一，选用了H3CS7500交换机，提供高速的数据交换。为了保证重要数据的高速访问以及链路冗余，采用了端口聚合技术。各楼层使用的水平缆线均重新敷设为5e类双绞线，整个水平子系统和工作区子系统所用的所有配件均达到5e标准；垂直子系统中敷设为1000Base-SX双模光纤，楼层中交换机也均安装了光纤模块用于连接；服务器群中的服务器均安装多网卡实现负载均衡。第四十二页，共62页。设计方案一（续）方案一的不足：整个网络虽然通过交换机对网络进行了微分段，即将整个网络划分为尽量多的冲突域，但整个网络仍然是在一个广播域下，广播包对网络的影响依然存在；网络连接没有提供冗余，比如汇聚层/核心层的H3CS7500交换机发生故障时，将导致楼层间不能访问。第四十三页，共62页。11.4.4设计方案二第四十四页，共62页。设计方案二（续）方案二设计的网络结构模型层次划分明确，即接入层、汇聚层、与核心层。接入层选用H3CS3600交换机（除了服务器网段），为主机提供100Base-T线缆接入；各层主机依据部门划分VLAN；服务器集中放置在楼层1的机房，各个服务器使用100BaseT连接到服务器群专用的H3CS3600交换机，保证服务器的带宽。汇聚层选用两台华为QuidwayS5500交换机，与接入层交换机分别互连，提供主备链路，保证可靠性。由于使用了VLAN技术，为实现逻辑的子网划分与通信，可以在H3CS5500上配置路由策略，规划子网，配置路由协议，实施安全访问控制，配置QoS等。第四十五页，共62页。设计方案二（续）核心层应该保证足够的宽带，快速数据传输。设备可以选用H3CS7500交换机，与汇聚层交换机和服务器网段交换机采用1000Base-FX光纤连接，与服务器相连接口采用链路聚合技术保证链路冗余。所有汇聚层设备、核心层设备以及服务器、NMS等均放置在机房，方便统一管理。第四十六页，共62页。11.5园区网络的设计案例

某大学由12个学院及众多部门组成。随着学校网络的发展和整个学校的网络整合，现有的网络结构与性能不能适应学校发展的需要，具体表现如下：各学院自身的网络应用系统在组建时，往往只是从自身教学、科研的需要出发，因此存在大量的信息冗余和信息冲突。各学院的各个网络终端使用自身的传输线路，传输速率和传输质量不等，不利于统一管理，随着终端数量的增多，此问题将日益突出。由于之前的网络组建都是由本学院自己开发，因此存在多种机制、多种操作系统、多种协议、网络异构等情况。所以很难实现资源共享、系统互访、统一管理，网络系统的集成难度大大增加。大部分系统没有设计为C/S模式、或B/S模式，系统使用不方便。校园内大多数计算机还不能充分利用学校拥有的IP地址资源访问Internet，网络资源利用率低。第四十七页，共62页。11.5.1园区网络需求分析对目前各网络系统做大规模修改，各学院自己的网络系统应能平滑地过渡到整个校园网中。提供各种灵活多变的连网方式，系统要有一定的可扩充性和可扩展性。提供高速平台和足够的带宽，为将来的OA系统、图像系统、远程教学、多媒体教学等应用提供一条可靠、健壮的“信息高速公路”。必须对整个校园网进行有效的集中管理。可以为校园内各个系统之间提供邮件服务、BBS服务、文件服务、web服务等多种Internet服务。随着多媒体教学、远程教育、图像监控等行业的开展，校园网本身的业务规范将不断扩大，对学校网络的性能提出了新的要求。第四十八页，共62页。11.5.2设计原则实用性开放性先进性可扩充性可靠性安全性第四十九页，共62页。11.5.3园区网络设计方案一应用模式设计方案

采用C/S结构模式，即将网络结构建立在各类信息分布处理和集中管理相结合的方式上；由于将数据处理工作放在各终端独立处理，减轻了服务器的负担，设备的性能可以得到充分的发挥，而且信息资源可以分布共享、集中管理，使得系统的可靠性、开放性不单单依赖服务器，互补性很强。这种结构灵活性好、速度快、可靠性高、是当今流行的网络系统方案。第五十页，共62页。园区网络设计方案一（续）网络带宽设计方案用户接入层选用H3CS3600交换机。由于各个主机与交换机距离较近，交换机下行电缆选用5类双绞线；而各学院所在办公大楼较大，H3CS3600的距离已经超过了电缆线的标准100米，因此选用100Base-FX，为上行线路提供100M宽带。汇聚层设备汇聚了网络的大量流量，要求较高的数据转发速度，并且实施路由策略和安全控制。因此，汇聚层设备选用H3CS7500交换机。核心层主要功能是实现远程站点之间的优化传输，核心层设备要求很大的数据传输能力和路由负载平衡。核心层选择H3CS9500交换机。第五十一页，共62页。园区网络设计方案一（续）可靠性设计方案为了增强网络的可靠性和可扩展性，汇聚层设备选用了两台H3CS7500交换机，两台交换机互为备份。接入层设备分别连接到这两台交换机上，实现冗余备份，确保网络的坚固性。合理分配路由负载的平均，控制路由表的大小，实施路由策略。服务器管理方案

为了加强管理和维护，优化服务器数据传输率，采用服务器集中放置的方式，并为服务器网段采用1000M高速带宽。第五十二页，共62页。园区网络设计方案一（续）网络管理方案

主要对网络资源的配置管理、故障管理、性能管理、记账管理、安全管理等方面有全面有效的解决方案。第五十三页，共62页。11.5.4园区网络设计案例二校园网建设的目标：连接本校总部四个教学楼内的各学院和职能部门，以及分散于各城区的校区和办学点。近期内可以支持近2000个独立用户。实现资源共享。提供丰富的网络服务。提供100Mb/s以上的高效的网络速度。与CERNET和Internet连接，与国内外其他网络连接。

第五十四页，共62页。园区网络设计案例二（续）用户需求分析使学院的教学、科研和管理规范化、信息化：建立大学的校园网，可以使学校内部各部门之间相互及时交流信息，共享网络资源。方便与外界的交流及沟通：使校园网能够实现国内、国际的信息传输，提供资源更多、范围更广的网络服务，是校园网建设的重要任务。为其他入网用户提供服务：为分散办学点的教师、科研人员、校领导以及个人办公地点提供网络服务措施，使他们通过远程入网后能访问校园网、Internet网上的信息资源，进行国内、国际的网络通信。第五十五页，共62页。园区网络设计案例二（续）设计原则结合本校现有计算机的现状和发展方向，兼容和包含现有设备，保护原有硬件和软件资源；保证网络系统先进性、稳定性、可靠性、安全性和可维持性；采用先进成熟的技术和设备，使建成的系统若干年内不落后；坚持开放性，采用国际标准，以便今后系统扩充及升级；坚持实用性原则。第五十六页，共62页。园区网络设计案例二（续）网络系统方案设计网络的结点设置及拓扑结构

本网络采用星形拓扑结构。以计算中心的主服务器为中心，呈辐射状连接到其他各学院的子网。这种拓扑的最大特点就是当一条干线出现故障时，并不会影响