IT信息化机房建设项目网络部分设计方案

第第#页设计要点1.接入层实现各终端电脑的高速接入，根据各业务系统的分布。2.接入层交换机应具有丰富的安全特性，同时还应具有防伪DHCPServer的接入，对终端ARP各种形式攻击的防护。网络逻辑设计.2.1VLAN设计VLAN技术在网络领域等到了广泛应用，尤其在网络管理和网络安全上方面起到了不可忽视的作用。采用VLAN技术对整个网络进行集中管理，能够更容易地实现网络的管理性。例如，在添加、删除和移动网络用户时，不用重新布线，也不用直接对成员进行配置。VLAN提供的安全机制，可以限制用户对安全设备的访问，例如，限制普通用户对计费服务器，安全交换机等的访问。Vian控制广播组的大小和位置，甚至锁定网络成员的MAC地址，这样，就限制了未经安全许可的用户和网络成员对网络的使用增强网络管理。我们建议每类功能的服务器设置为一个VLAN，每个VLAN资源建议在50个地址左右，尽量减少网络广播风暴。为了减小广播域，建议内部局域网区域的VLAN终结在接入交换机上，每个VLAN内的主机数量原则上不要超过250台，同时为了较少IP资源浪费和简化设备配置，建采用26位子网掩码划分子网；对于数据中心和应用中心建议采用子网27或者28位子网掩码划分子网络。VLAN的划分可以依据不同的业务部门进行也可以依据用户所处网络的物理结构进行，后者主要是从网络性能角度出发，而前者还兼顾了网络安全性可控性的需要。根据实际业务部门办公环境的分布情况来看，在大部分情况下，两者实现了重合，而对于少数由于办公地点不同，隔离在不同接入点的相同业务部门，我们则推荐第一种方式。将端口分配给VLAN的方式有两种，分别是静态的和动态的。静态VLAN:形成静态VLAN过程是将端口强制性地分配给VLAN的过程。确定哪些端口属于哪些特定的VLAN，然后将VLAN静态映射到端口。这是将端口映射到VLAN的一种最通用的方法。动态VLAN:我们知道，VLAN常常被规划用于对“资源访问权限”的分组，不同的VLAN具有不同的访问权限，每个VLAN内有一个IP地址网段，不同的VLAN/IP地址段的用户，具有不同的访问资源的权限。用户权限数据一般存储在网络管理系统中，网络管理系统根据用户端的权限归类，在认证通过之后向二层交换机作动态的VLANID下发配置。此时，二层交换机要支持VLAN的动态配置功能。作为特殊VLAN的典型，建议保留VLAN1作为管理VLAN，管理VLAN覆盖到全网的每一台交换机，但在第三层接口上，需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN，例如VLANID=4000,VLAN4000与VLAN1在第三层上相通，同时，部分业务VLAN可以访问VLAN4000，从而实现网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表，只有特定的主机或者只有网管VLAN可以直接访问每一台设备，其他均在过滤之列。对于服务器等特殊设备建议单独设置在一个VLAN中。业务VLAN可以按照部门的类别进行划分，每个部门划分一个VLAN，部门人数超过62名的应该划分为两个VLAN，以保证交换的性能。VLAN规划如下表示例:IP地址设计IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址的统一、合理规划以及整个网络向IPv6的演进是关系到整体分层网络稳定、快速收敛的关键，也是某职业技术学院校园网网络设计中的重要一环。IP地址规划的好坏，不仅影响到网络路由协议算法的效率，更影响到网络的性能和稳定以及网络的扩展和管理，也必将直接影响到相关新业务的开拓和网络应用的进一步可持续性发展。划分时注意使用VLAN，充分节约IP地址，使路由交换机上能够采用聚合进行路由的合并，减少路由表的大小。出口到互联网可以采用NAT防火墙上做地址转换实现。校区内接入到同一汇聚层交换机的区域建议采用连续IP地址段，以便做路由汇聚。IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：IP地址的分配原则如下：层次化：IP地址资源可以以园区为单位划分、行政隶属关系和业务种类为层次，分割为大小不同、用途各异的地址块单元；实现地址的层次化划分，以利于路由信息的聚合，减少路由表长度；唯一性：一个IP网络中不能有两个主机采用相同的IP地址；简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性；灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间；、'八■r*注意事项：给三层交换机设备互连的点对点IP地址分配1个地址，提供足够的扩展性；可以考虑分配若干个私有地址段。服务器集群和部分办公楼的IP获取方式为手动分配，其他的均为通过DHCP获取。上网方式均采用NAT方式。IP地址分配表示例：网络单元地址段网络单元地址段地址范围网关上网方式IP获取方式.3路由设计在选择及规划路由协议时需要按照路由的总体设计原则进行考虑和设计。目前常用的路由协议有多种，如RIP、OSPF、IS-IS、BGP等等。一般来说分为：内部网关路由协议和外部网关路由协议。其中内部网关路由协议又可以分为：距离—矢量路由协议（RIP）；链路状态路由协议（OSPF和IS-IS等）。外部网关路由协议主要指的是BGP路由协议。域内路由协议（IGP）在网中起着连通骨干、选径和自动迂回的作用。IGP通过计算每条路径的权值来寻找最佳路径。IGP并不承载外界路由与用户路由，但所有外界路由和用户路由在BGP-4中都有“下一跳”（next-hop）这个属性，IGP通过对next-hop的选径来控制到外界的数据流。Internet路由和用户路由信息禁止加入IGP中，以确保网络的稳定性。在目前，可以用于大规模的IP网络同时又基于标准的IGP的路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议，采用同一种最短路径算法(Dijkstra)。两种协议在实现方法、网络结构上均相似，在大型IP网络中均有成功案例。IS-IS路由协议在收敛速度、网络的稳定性、协议的扩展性方面都优于OSPF,因此在大型电信运营商的国干网上，都采用IS-IS做为IGP协议。而OSPF路由协议为IETF标准路由协议，开放性比较好，熟悉OSPF的工程技术人员也较熟悉ISIS的多°IS-IS路由协议为ISO标准，相对比较封闭，导致各厂家IS-IS实现的方式有所不同。因此从运维的角度、兼容性的考虑，OSPF要优于IS-IS。VLAN间路由带有三层路由功能的交换机可以实现不同VLAN之间互相通信，并根据编制访问策略达到VLAN间通信与访问控制的功能。所以VLAN间的路由通过三层交换机实现，而出口路由器只负责内外网的路由，因为出口路由器与核心交换机之间会有多个安全设备，这样可减少跨安全设备的链路开销。例如VLANID=1000，VLAN1000与VLAN2000在第三层上互通，同时在VLAN1000与VLAN2000的三层路由接口处设置访问控制列表，实现只有特定的主机或者只有网管VLAN可以直接访问VLAN1000内的某台主机，其他均在过滤之外。.4网络服务质量(QOS)设计鉴于本网络未来业务应用繁多，需要考虑到数据、语音、视频、存储以及内外网访问数据流错综复杂的特点，保证关键业务和多媒体数据的实时和优先是业务设计的重点。当今最前沿的设备为通过服务质量(QOS)技术来保证不同业务流的优先级别，我们在网络中规划QOS。QOS策略设计全网采用DiffServ模型；主要按照业务类型确定优先级，相应的把视讯、语音等对实时性要求较高的业务打上高的优先级，保证其在网络传送中处于最先传送的有利地位。具体建设思路：

在本次网络QOS规划中，要求接入层设备可以进行流分类和限流，并采用WRED技术避免拥塞。在接入层交换机进行流分类，根据不同的IP子网、IP地址或TCP/UDP端口号，区分出不同的业务，然后根据每种业务的重要性的不同设置不同的IpPrecedence或者802.1P优先级。例如：实时IP语音业务：IpPrecedence=7VPN业务：IpPrecedence=5电子邮寄等业务：IPPrecedence=3绩效考核管理等业务：IPPrecedence"主要的QOS月服务模型Differserv方式Differentiatedservice是一个多服务模型，它可以满足不同的QoS需求。与Integratedservice不同，它不需要信令，即应用程序在发出报文前，不需要通知路由器。对Differentiatedservice，网络不需要为每个流维护状态，它根据每个报文指定的QoS，来提供特定的服务。可以用不同的方法来指定报文的QoS，如IP包的优先级位(IPPrecedence),报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。其模型如下图：入接口

皿

接收报文/Wit*目田地址5翳口分举目輔口TOS丢弃VD分类V入接口

皿

接收报文/Wit*目田地址5翳口分举目輔口TOS丢弃VD分类V拥塞检测「避免丢弃CARGTS币QueueOQueuelQueue2令牌1=1□出接口ftIDI沁流量监控蹩形继续发送区分服务QOS模型报文分类报文分类是QoS的基础，只有区分了不同的报文业务，才能进行分别处理及保障相应业务的服务质量。一般在网络边界，利用ACL等技术，根据物理接口、源地址、目的地址、MAC地址、IP协议或应用程序的端口号等依据对报文进行分类，并同时设置报文IP头的TOS字段作为报文的IP优先级；在网络的内部则可使用边缘设置好的IP优先级作为分类的标准，以提高网络的处理效率。2）拥塞管理网络资源总是有限的，当网上业务流量超过网络提供的能力时，即发生了拥塞。在发生拥塞时，如何进行管理和控制呢？处理的方法是使用队列技术。在一个接口没有发生拥塞的时候，报文在到达接口后立即就被发送出去；在报文到达的速度超过接口发送报文的速度时，接口就发生了拥塞。拥塞管理就会将这些报文进行分类，送入不同的队列；而队列调度对不同优先级的报文进行分别处理，优先级高的报文会得到优先处理。不同的队列算法用来解决不同的问题，并产生不同的效果。3）拥塞避免据统计，互联网上发生70％的报文丢弃原因是由于拥塞造成的，对造成拥塞的原因进行分析，并制定避免拥塞的策略，将大大提高网络的可用性。当拥塞发生时，如果按照传统的队列尾丢弃处理方式，对于TCP报文，会引发TCP的慢启动和拥塞避免机制，使TCP减少报文的发送。当同时丢弃多个TCP连接的报文时，将造成多个TCP连接同时进入慢启动和拥塞避免，称之为：TCP全局同步。这使得发向网络的报文流量总是忽大忽小，线路上的流量总在极少和饱满之间波动，造成网络利用率降低。为了避免这种拥塞情况的发生，可以采用随机早期检测（RED）或加权随机早期检测（WRED）的丢弃策略。可避免使多个TCP连接同时降低发送速度，避免TCP的全局同步现象。这样，无论什么时候，总有TCP连接在进行较快的发送，提高了线路带宽的利用率，降低拥塞的发生。丢弃策略对网络中TCP方式的应用有比较好的效果，但对网络中UDP数据产生的拥塞则不会有很大的改善。4）流量监管和整形流量监管的作用是限制进入网络的某一连接流量与突发，在报文满足一定的条件下，如某个连接的报文流量过大，流量监管就可以选择丢弃报文，或重新设置报文的优先级。通常是使用CAR来限制某类报文的流量，如限制FTP报文不能占用超过50%的网络带宽。如果需要限制流出网络的某一连接流量报文，以比较均匀的速度向外发送，则使用流量整形。约定访问速率（CAR）――是一种带宽管理机制，利用令牌桶技术来实现带宽的分配和测量。网络管理员可以为不同的业务分配不同的带宽，定义业务占用的带宽超过分配额度时的处理策略，通过限制通过路由器某一端口的流量，很好地保证整个网络的QOS。CAR既可用于网络的入口也可用于网络的出口，可以报文分类完成的结果区分不同的业务流。另外，它还可以对报文的IP优先级根据需要加以重新标记。CAR技术是目前网络进行QoS管理的核心技术之一，通过CAR，我们可以保证在网络发生拥塞时，确保优先业务正常运行所需带宽。通常的CAR技术由软件来实现，需要花费路由器较多的处理能力，由于集中式转发路由器处理能力有限，采用CAR将严重的影响整个路由器的转发效率。此次核心、汇聚采用了分布式转发体系，每块业务板均有CPU负责本板的C