网络结构和出口设计

网络结构和出口设计第1页，课件共78页，创作于2023年2月几个名词2023/7/192企业网是为企业提供信息传递和资源共享的计算机网络，它通常包括若干LAN企业网是一个广义的概念，它通常可与校园网和园区网等名词互换使用将因特网的标准和技术应用于企业网，就形成了用于企业内部的专用网络内联网(Intranet)而与内联网相对应的是外联网(Extranet)，它是对内联网的扩展和外延第2页，课件共78页，创作于2023年2月网络安全问题网络安全问题网络出口设计问题网络出口设计问题网络性能问题网络设备选择骨干网技术与架构问题骨干网技术与架构问题扩展与升级问题扩展与升级问题流量控制问题流量控制问题网络管理问题网络管理问题第3页，课件共78页，创作于2023年2月3.1如何构建校园骨干网？骨干设备不稳定！骨干链路不可靠！网络安全引起骨干网不稳定！如何构建一个稳定可靠，同时兼备标准性、开放性、易管理性的校园骨干网络呢？网络管理问题网络出口设计问题网络性能问题流量控制问题骨干网技术与架构问题扩展与升级问题网络安全问题骨干网技术与架构问题第4页，课件共78页，创作于2023年2月校园骨干网构建技术选择以太网光纤环网优势最成熟最主流的技术兼容性和开放性最好带宽和性能高前期投入的性价比高后期管理维护简单内外双环，可快速切换第5页，课件共78页，创作于2023年2月校园骨干网构建技术选择以太网光纤环网劣势支持设备不普遍前期设备+光纤投资成本高后期管理维护复杂兼容性和开放性较差适用场合大型园区网（校园网、企业网）运营商网络以太网及相关技术是最适合校园骨干网建设的选择！第6页，课件共78页，创作于2023年2月校园骨干网拓扑结构的选择网络类型拓扑结构类型主要应用工作机制相关标准点对点点对点型MAN、WANPPPRFC1134环型MAN、WANSDH、DWDMITU-TG.803网状型MAN、WAN多种方式多种标准广播总线型LANCSMA/CDIEEE802.3星型LANCSMA/CDIEEE802.3蜂窝型WLANCSMA/CAIEEE802.11表1各种拓扑结构分类第7页，课件共78页，创作于2023年2月点到点网络点对点结构优点：

☆设备无关性 ☆独立性 ☆安全性 ☆非中心化 ☆负载均衡点对点结构缺点： ☆连接较多 ☆时延较长环形结构优点：☆消除了对中心设备的依赖。☆信号沿环单向传输，时延固定。☆所需光缆较少，适宜于长距离传输。☆各个节点负载均衡。☆双环或多环网络具有自愈功能。☆路由选择简单，不易发生地址冲突等。环形结构缺点：☆不适用于多用户接入的网络。☆增加节点时，会加大传输时延。☆难以进行故障诊断。☆结构发生变化时，需要重新配置网络。☆投资成本较高等。网状结构优点：

☆信号传输快。

☆不需要汇接交换功能，交换开销低。

☆冗余链路，网络可靠性高。网状结构缺点：

☆线路多，建设和维护费用大。

☆通信量不大时，电路利用率很低。第8页，课件共78页，创作于2023年2月广播网络总线结构优点

☆不需要其他互联设备，组网费用低。☆扩展网络时，只需要添加一个网络接头。总线结构缺点☆所有主机共享同一总线，主机增多时会引起网络性能下降。☆总线一出现故障，将导致整个网络中断。星型结构优点：网络结构简单，建设和维护费用少。通信节点一般采用交换机，提高了链路利用率。一个节点出现故障不会影响其它节点的连接。星型结构缺点：可靠性低。中心节点负担重。使用线缆较多。第9页，课件共78页，创作于2023年2月中心设备负担太重容易形成传输瓶颈不能提供可靠的传输保证不易于扩展百兆双绞线第10页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@冗余设计冗余设计是网络可靠性设计最常用的方法。冗余设计的目的： ☆提供网络备用 ☆提供网络负载均衡。第11页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@链路备份和负载均衡链路备份和负载均衡在物理结构上完全一致，但完成的功能完全不同，工作模式也完全不同。冗余链路用于链路备份时，2条冗余链路只有一条工作，另外一条处于热备监控状态。冗余链路用于负载均衡时，多条冗余链路同时工作，不存在备用链路。第12页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@单点故障与冗余链路单点故障指网络中某一单个节点或某一单条链路发生故障时，可能导致用户与核心设备或网络服务的隔离。冗余链路可以绕过单点故障。第13页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@冗余设计的内容冗余设计包括：链路冗余、交换机冗余、路由器冗余、服务器冗余、电源系统冗余、软件冗余等。最好的冗余是多台主机互为。链路冗余可以采用技术；服务器冗余可以采用方法；交换机、路由器、服务器都可采用；软件冗余可以采用双服务器的方法。热备链路聚合双机热备冗余电源软件镜像第14页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@冗余设计要求只有在网络链路中断时，才启用冗余链路。尽量不要将冗余链路用于负载平衡。一般在核心层采用链路聚合技术。第15页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@LAN冗余链路设计冗余链路构成了网络环路，广播信息会在环路中循环发送，导致网络性能降低。环路引起的广播风暴，可通过STP或Trunk技术解决。第16页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@WAN冗余链路设计（1）WAN拓扑结构冗余设计全连接拓扑结构适用于节点数量较少，数据流量大的网络，如大型网络的核心层设计。环型网是冗余链路最少的拓扑结构，从每个路由器到任何给定的目标都有两条路径。第17页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@（2）WAN备份冗余技术案例链路冗余备份如华为公司路由器采用备份中心技术，可为路由器上的任意接口提供备份接口。设备冗余备份可通过VRRP（虚拟路由冗余备份协议）或HSRP（热备份路由协议）来实现。第18页，课件共78页，创作于2023年2月3.2网络分层设计（1）网络分层设计模型

核心层、汇聚层和接入层。核心层主要提供节点之间的高速数据转发。汇聚层主要负责路由聚合，收敛数据流量。接入层为用户提供网络访问功能，并执行用户认证和访问控制。第19页，课件共78页，创作于2023年2月网络分层设计模型网络分层设计模型第20页，课件共78页，创作于2023年2月层次结构类型的选择交换型层次结构缺点：路由功能不强大；广播风暴。主要用于局域网设计第21页，课件共78页，创作于2023年2月路由型层次结构缺点：网络结构较复杂，易形成性能瓶颈。主要用于城域网和广域网设计。第22页，课件共78页，创作于2023年2月接入层设计（1）接入层设计目标为最终用户提供访问网络的能力。网络设计中应当注意的问题：适度超前分期实施简化设计安全隔离第23页，课件共78页，创作于2023年2月接入层设计（2）接入层拓扑结构设计一般采用星型拓扑结构。为了降低成本，接入层很少采用冗余链路。一般不提供路由功能。接入层设备应当具有良好的扩展性。用户集中的环境，交换机应提供堆叠功能。第24页，课件共78页，创作于2023年2月（3）接入层功能设计交换机端口密度是否满足用户需求交换机上行链路采用光口还是电口交换机端口是否保留了冗余端口交换机端口速率是否支持自适应交换机是否支持IEEE802.1Q（优先队列）。第25页，课件共78页，创作于2023年2月接入层堆叠设计对于计算机机房、电子阅览室、学生公寓等接入计算机数量很大的接入场所，应当采用可堆叠交换机，以提供大量的100Mbps端口。接入交换机之间以高速堆叠模块相互连接在一起，并借助1000Mbps链路实现与汇聚层交换机之间的连接。为了提高网络稳定性和网络带宽，可以将2~4条千兆位链路绑定在一起，借助链路汇聚技术实现链路冗余、负载均衡和带宽倍增，以确保所有计算机都能够无阻塞地实现与校园网络的连接。第26页，课件共78页，创作于2023年2月第27页，课件共78页，创作于2023年2月接入层链路汇聚设计如果所连接的计算机数量较多，且接入层交换机不支持堆叠，那么可以使用链路汇聚的方式实现接入层交换机之间的高速连接，既增加了接入层交换机之间的互联带宽，又提高了连接的稳定性。第28页，课件共78页，创作于2023年2月第29页，课件共78页，创作于2023年2月接入层级联设计如果接入网络的计算机数量较多，需要由多台交换机才能满足时，也可以采用最简单的级联方式。当然，如果接入层交换机拥有1000Mbps端口，那么采用级联方式也可以实现接入层交换机之间的高速连接。但是，如果交换机只拥有100Mbps端口，那么这种连接方式将无法满足接入计算机与校园网络高速通信的需求。第30页，课件共78页，创作于2023年2月第31页，课件共78页，创作于2023年2月堆叠和级联的区别堆叠是用专用的端口把交换机连接起来，当作一个交换机使用。堆叠的接口具有很高的带宽，一般在1Gbps以上。而级联通常是用普通网线把几个交换机连接起来，使用普通的网口或级联口，带宽通常为100M以下，这样下级的所有工作站就只能共享较窄的出口，从而获得较低的性能。第32页，课件共78页，创作于2023年2月堆叠实际上把每台交换机的母板总线连接在一起，不同交换机任意二端口之间的延时是相等的就是一台交换机的延时，而级联就会产生比较大的延时级联是上下级的关系。级联的层次是有限制的，而且每层的性能都不同，最后层的性能最差。而堆叠是同级关系，每台交换机的性能是一样的；是把所有堆叠的交换机的背板带宽共享。

第33页，课件共78页，创作于2023年2月接入层设备选择接入层设备应当采用拥有24~48个10/100Mbps端口的固定配置可网管交换机，并拥有2~4个SFP、GBIC或1000Base―T端口，以实现与汇聚层交换机的相互连接，或实现彼此之间的互联。对一些需要提供远程供电的特殊需求（如IP电话和瘦无线AP），还应当支持PPoE功能。接入层交换机建议选择CiscoCatalyst3560或Catalyst2960系列，或者锐捷RG―S3250、RG―S2600或RG―S2300系列产品。第34页，课件共78页，创作于2023年2月汇聚层设计（1）汇聚层设计目标高接口密度保证分支主干无带宽瓶颈满足多层交换不断增长的需求第35页，课件共78页，创作于2023年2月（2）汇聚层主要功能链路聚合减少接入层与核心层之间的链路数。流量聚合将接入层低速链路转发到核心层。路由聚合减少核心层路由器中路由表的大小。第36页，课件共78页，创作于2023年2月主干链路管理流量控制、负载均衡、QoS保证。广播域划分进行VLAN划分，定义广播域范围。VLAN路由在汇聚层进行路由处理。隔离变化隔离接入层结构变化对核心层的影响。第37页，课件共78页，创作于2023年2月单链路设计如果接入层的计算机数量较少，且对网络链路稳定性没有较高的要求，也可以采用简单链路方式，只用一条1000Mbps链路连接接入层交换机和汇聚层交换机，以节约设备购置费用。然而，一旦该链路发生故障，那么接入层交换机所连接的所有网络终端设备，都将失去与校园网络的连接。第38页，课件共78页，创作于2023年2月第39页，课件共78页，创作于2023年2月冗余链接设计如果接入层计算机对网络连接要求较高，应当采用冗余连接的方式，即每台接入层交换机都有2条1000Mbps链路连接至汇聚层交换机；当其中一条链路发生故障后，另外一条链路将迅速被激活，从而保证了网络链路的稳定。第40页，课件共78页，创作于2023年2月第41页，课件共78页，创作于2023年2月链路汇聚设计如果不仅计算机数量较多，而且对网络带宽有较高的要求，那么应当采用链路汇聚（2条或4条1000Mbps链路）的方式。这样，既可以成倍提高接入层交换机与汇聚层交换机之间的网络带宽，同时还提供了链路冗余，从而提供稳定、高速的网络连接。第42页，课件共78页，创作于2023年2月第43页，课件共78页，创作于2023年2月汇聚层设备选择根据楼宇内的计算机数量，以及子网规模和应用需求，决定应当选择汇聚层交换机的类型。对于较大规模的子网（如图书馆、计算机系、学生公寓、办公大楼等）而言，应当选择拥有较高性能的模块化三层交换机（如CiscoCatalyst4500-E系列或锐捷RG―S6800-E系列）；而对于较小规模的子网（如实验楼、阶梯教室楼等），则选择拥有2~4个10Gbps上行链路，和24~48个1000Mbps端口的固定端口三层交换机（如CiscoCatalyst3750-E系列或锐捷EG-S5750系列）。第44页，课件共78页，创作于2023年2月汇聚层交换机都应具备较强的多业务提供能力，可支持包括智能的CCL、MPLS、组播在内的各种业务，为用户提供丰富、高性价比的组网选择。第45页，课件共78页，创作于2023年2月核心层设计核心层的主要功能是实现数据包高速交换。（1）核心层网络结构设计单中心结构常用于小规模局域网设计适用于网络流量不大的局域网双中心结构常用于园区网设计可实现设备和链路冗余可很好地进行网络负载均衡第46页，课件共78页，创作于2023年2月所有的汇聚层交换机和堆叠交换机分别连接至2台核心交换机。当2台核心交换机都能正常工作时，分担所有汇聚设备的接入和数据通信，实现网络接入的负载均衡。当其中一台核心设备发生故障时，由另一台核心设备迅速承担全部交换任务，以保证网络的稳定运行。采用双核心冗余方案，任何一台核心交换机、任何一条网络链路故障，都不会影响整个网络的正常运行和网络服务的提供，从而确保网络的稳定、高速和安全。当然，由于需要购置2台核心交换机，因此该方案的投资额较大，适用于规模较大、且对稳定性有较高要求的校园网络。第47页，课件共78页，创作于2023年2月（2）核心层性能设计策略采用高带宽网络技术禁止采用降低核心层设备处理能力的策略任何策略必须在核心层外执行（如QoS处理）采用高性能的3层模块化交换机第48页，课件共78页，创作于2023年2月（3）核心层冗余设计策略增加带宽最简单的方法是增加冗余链路路由器可为多个链路提供负载均衡功能可在核心层采用设备冗余和链路冗余设计对冗余链路可利用STP进行配置处理第49页，课件共78页，创作于2023年2月（4）核心层路由设计策略尽量减少核心层路由器配置的复杂程度使用路由器分组优化特性不应使用默认路径来到达内部主机可采用默认路径来到达外部主机可利用路由聚合来减少核心层路由表的大小。第50页，课件共78页，创作于2023年2月单中心-简单链路当某台汇聚层交换机或某条骨干链路发生故障时，不会影响其他子网络的正常运行。但是，核心交换机一旦发生故障，将导致整个网络的瘫痪。第51页，课件共78页，创作于2023年2月单核心-链路冗余当核心交换机的某个业务板、汇聚层交换机的某个模块或某条骨干链路发生故障时，另一条骨干链路及时由备份状态改变为激活状态，从而保证网络骨干的稳定连接。第52页，课件共78页，创作于2023年2月双核心第53页，课件共78页，创作于2023年2月核心交换机选购原则需求决定一切除了满足现有需求外，还应当在技术、性能和扩展性等方面适当超前，以适应未来的发展。通常情况下，核心交换机的扩展能力和性能应当略大于未来几年内网络应用和扩展的要求。稳定压倒一切对于核心交换机而言，对稳定的要求高过对性能的要求。第54页，课件共78页，创作于2023年2月最佳性价比现在的核心交换机产品中，美国的产品以其性能强劲、运行稳定、功能丰富而著称，只是价格过于昂贵。大陆产品虽然在一些参数上略逊一筹，但是拥有绝对的价格优势，而且像华为的产品具有中文管理界面，方便日常管理。所以笔者建议，如果局域网组建时欲偏重于性能，建议选择Cisco等产品；若较注重价格，则建议选择大陆产品。第55页，课件共78页，创作于2023年2月核心交换机主要参数扩展能力插槽数量。插槽用于安装各种功能模块和接口模块。由于每个接口模块所提供的端口数量是一定的，因此插槽数量也就从根本上决定着交换机所能容纳的端口数量。另外，所有功能模块（如管理引擎模块、IP语音模块、扩展服务模块、网络监控模块、安全服务模块等）都需要占用一个插槽，因此插槽数量也就从根本上决定着交换机的可扩展性。模块类型。支持的模块类型（如LAN接口模块、WAN接口模块、ATM接口模块、扩展功能模块等）越多，交换机的可扩展性越强。第56页，课件共78页，创作于2023年2月转发速率转发速率（也称吞吐量）是指在不丢包的情况下，单位时间内通过的数据包数量。吞吐量指在单位时间内传输无差错数据的能力。就像是立交桥的车流量，是三层交换机最重要的一个参数，标志着交换机的具体性能。如果吞吐量太小，就会造成网络瓶颈，给整个网络的传输效率带来负面影响。第57页，课件共78页，创作于2023年2月交换机应当能够实现线速交换，即交换速度达到传输线上的数据传输速度，从而最大限度地消除交换瓶颈。对于千兆位交换机而言，若欲实现网络的无阻塞传输，要求：吞吐量（Mpps）=万兆位端口数量×14.88Mpps＋千兆位端口数量×1.488Mpps＋百兆位端口数量×0.1488Mpps第58页，课件共78页，创作于2023年2月14.88/1.488/0.1488的由来包转发线速的衡量标准是以单位时间内发送64B的数据包（最小包）的个数作为计算基准的。再考虑8B的帧头大小，和12B的帧间隙。以千兆位以太网端口为例，其计算方法如下：1,000,000,000/8/(64+8+12)=1.488Mpps第59页，课件共78页，创作于2023年2月问题对于一台拥有24个千兆位端口的交换机而言，其满配置吞吐量应达到多少才能够确保在所有端口均线速工作时，实现无阻塞的包交换？8×1.488Mpps=35.71Mpps第60页，课件共78页，创作于2023年2月背板带宽带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量，就像是立交桥所拥有的车道的总和。带宽越大，提供给各端口的可用带宽越大，数据交换速度越快；带宽越小，给各端口提供的可用带宽越小，数据交换速度也就越慢。背板带宽决定着交换机的数据处理能力，背板带宽越高，所能处理数据的能力就越强。第61页，课件共78页，创作于2023年2月若欲实现网络的双全工无阻塞传输，必须满足最小背板带宽的要求。其计算公式如下：背板带宽=端口数量*端口速率*2第62页，课件共78页，创作于2023年2月问题如果一个有176个千兆位端口的交换机，最小背板带宽应该是多少？176×1,000,000,000×2=352KMpps第63页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@如何合理设计校园网出口？网络出口设计问题骨干网技术与架构问题扩展与升级问题网络安全问题出口设备性能不够！出口线路可靠性不够!出口安全性不够！选择路由器还是防火墙？如何设计一个多出口负载分担冗余备份的高性能高安全的网络出口呢？网络出口设计问题网络管理问题网络性能问题流量控制问题第64页，课件共78页，创作于2023年2月校园网出口网络选择CERNET（教育科研网）CHINANET（电信/网通/联通……）校园网可采取的接入方式有两种：一是只接入教育科研网，然后采取严格的计费方式，将所发生的国际流量分摊至相应的用户；二是同时接入教育科研网和其他ISP（如中国网通、中国电信等），对教育科研网的访问（包括部分其他免费列表中的IP地址）则路由至CERNET，而对其他网络的访问（如非免费列表中的IP地址）则路由至Internet；从而既保证了对所有网络的快速访问，又能将接入费用降至最低。就目前的情况来看，绝大多数大学都采用后一种方式实现校园网的出口设计。第65页，课件共78页，创作于2023年2月第一种出口拓扑设计方案-

双路由设计两台核心交换机分别连接至网络防火墙和路由器，并且在核心交换机设置策略路由，实现Internet访问的分流。同时，实现Internet连接冗余，确保Internet连接的稳定和可靠。第66页，课件共78页，创作于2023年2月第二种出口拓扑设计方案-

双路由设计如果校园网对Internet连接要求不是很高，同时投入的资金也非常有限，可以采用单路由方案，并在路由器上设置路由策略，以实现对CERNET和Internet的访问。第67页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@校园网络出口设备的选择高端路由器高性能防火墙优点ASIC实现，NAT、策略路由功能强对IPv6的支持已经非常好路由协议支持最完善，线速转发接口类型丰富，支持多种线路包过滤、内容过滤、病毒及攻击检测方面优于路由器第68页，课件共78页，创作于2023年2月四川大学锦城学院xinxinli@校园网络出口设备的选择高端路由器高性能防火墙不足价格相对比较高NAT多采用CPU或NP实现，性能不如ASIC的路由器在一些新功能方面（如IPv6）开发慢于路由器路由协议的支持相比路由器支持的协议类型少，容量少网络接口类型少可见，路由器、防火墙的定位以及功能/性能各有侧重，共同组网，效果最佳！第69页，课件共78页，创作于2023年2月CERNET接入路由器校园网接入CERNET的用途大多用于图书馆或报刊数据库资料检索，因此，数据流量往往并不大，因此，对路由器的性能要求也不高。通常情况下，可以选择中低端的Cisco3800系列集成多业务路由器或锐捷RG―NPE50系列网络出口引擎。第70页，课件共78页，创作于2023年2月Internet接入路由器由于Internet通常采用LAN或城域网接入方式（光纤接入），而且ISP提供的合法IP地址有限，因此，必须采用NAT