网络系统集成（第二版） 课件第五章 网络方案设计案例

第五章网络方案设计案例【内容介绍】

在本章主要根据前面的知识点，通过列举某研究所的案例，分析和讲解了网络方案的基本设计过程，包括了：需求分析、信息点统计、网络建设的原则；网络拓扑分析及设备选型参考；网络IP和VLAN规划设计；路由设计；网络冗余设计。5.1网络建设目标及需求分析5.1.1网络建设目标加快某研究所的网络信息化建设，提高研究所的科研、管理、办公、网络视频会议的科学化服务和管理，以高质量、高可靠性、高安全性、高稳定性、可控管性的建设要求完成本所数据信息传输的基础网络建设，为日后的科学研究、后勤、采购、合同等的网络化办公提供一个安全可靠的、稳定的、高速传输网络。提示：网络系统商首先应了解用户的建设目标、网络建设背景，通过目标和背景，才能进行下一步的需求调研和调查，按照需求调研调查的方法进行，摸清用户的真实需求。通常需求调查的方法，可以通过如下方式完成：正式会议和座谈交流：相关的集成商方案设计人员、项目经理、用户方参与，提出需求、目标、标准等。用户走访和调查：到用户方，相关的行政办公区、生产工作区走访相关的基层人员、管理人员，调查用户基层的真实需求和想法，规划的网络平台更贴近用户的实际需要。实地考查：实地考查是方案设计人员获取最为真实的用户实际环境信息，比如楼层分布、楼宇分布、楼宇办公间情况、楼宇内业务分布情况、用户信息点分布等。等等。5.1.2网络建设需求分析1.基本需求为加快某研究所的网络信息化建设，响应本期数据基础网络建设工程，满足用户信息化需求，建设本期的多功能网络系统综合网，整合整个数据基础网络的资源利用最大化；保证高质量、高效率地为各个子网日常办公、VoIP、视频会议、资源共享、E-MAIL、FTP、WEB信息发布、VOD视频点播、信息传递、共享文件打印机、网络传真服务、宏观协调及科学决策服务。先进性、实用性、稳定性、可靠性、可扩展性、安全性、可管理性、可运营、可增值是本次数据基础网络络建设的首要条件。应用需求某研究所的数据基础网络络信息化建设，必须以用户的应用需求作为基础。随着网络技术的飞速发展和应用水平的逐步提高，用户的网络需求也不断的增加，应用特点也在不断变化，网络应用新特点，主要表现为：该研究所的需要接入网络数逐渐增多，扩展速度快：新建办公楼、生产工作区规模在扩大，地理分布较大，员工人数增加较快，家属生活区家庭用户需要接入该所网络，用户终端数量增大；业务应用增多，网络传输质量要求严格：工作区、行政办公区、生产区、家属生活区等需要持续不断的业务传输，传输质量要求可靠、稳定、安全，保证接入用户身份明确；安全隐患大：目前网络攻击软件泛滥，来源方便，并对技术要求更低；同时网络病毒泛滥、新病种不断呈现，危害性更强；不易管理：用户中经常发生IP地址盗用、IP地址冲突、帐号盗用、非法DHCP服务器和设置代理服务器等令网络管理及维护人员非常头疼的问题；非法组播源：从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口，无法区分合法的视频流，影响网络带宽和性能。3.网络高性能需求根据用户的基本业务，对网络性能体提出了新需求：并发性强，要求终端接入准入认证效率高，对用户的认证不会对网络性能造成瓶颈；各种流媒体的应用（比如：视频、语音、小区视频监控数据），要求全线支持组播、QoS、流量控制等流技术，使用户能正常、流畅的应用多媒体；网络设备的交换容量要足够用，保证每端口能线速转发，同时预留一定端口作为扩展余地；应用系统复杂化和多元化，需求网络具有高带宽，核心层之间必须支持万兆链路扩展，汇聚层到核心层多条千兆链路聚合，接入层到汇聚层千兆链路或链路聚合，百兆到桌面的以太网为目标。4.可靠性、稳定性需求核心层是该研究所的业务中心，如何保障网络的高效率、高可靠、高稳定运行是网络建设的前提；核心层之间设备互为备份，包括设备、链路、路由等备份，保证了网络可靠性；可提供管理模块冗余和电源模块冗余，保障网络的高可用性和稳定性；5.网络安全需求杜绝非法的组播源播放非法的组播信息；如何有效控制和预防病毒的传播和网络的攻击；由于各种病毒在被公布前是很难防范的，网络技术需要能适时的调整安全策略，并在最短的时间内部署到全网，把病毒拒绝在网络之外。建立行政办公区、生产区中各个科室之间的安全访问控制问题，做到将攻击威胁控制在子网内，甚至可以控制在子网内的交换设备的某端口。6.网络准入控制认证需求，便于建立一个可信网络有效的对用户进行接入控制，保证只有申请开通的合法用户才可以使用网络，保证接入的用户身份合法性；能够对接入用户进行帐号与IP、MAC、端口等多元素绑定，以唯一确定用户身份同时准确定位；客户端自动在线升级，方便网络管理人员的维护，提高工作效率；对部分接入用户权限漫游，要求IP地址与用户一一对应关系。7.网络监控管理需求需要方便的进行用户管理，包括开户、销户、资料修改和查询；需要能对用户进行分级管理，认证系统需要支持远程登录的方式进行管理；需要能够对网络设备进行集中的统一管理，自动生成网络拓扑结构，通过颜色变化来区分设备运行情况；组、帐号用户管理模式，提高网络的开户效率和组管理功能；用户能自己管理帐户的密码和查看上网记录；可监视和管理用户上网的行为，特别是对工作区中的上班时间员工上网行为监控：聊天、访问非法网站、在线看电影，等等。8.QoS需求由于研究所系统的特殊性，其通信的类型几乎涵盖了Internet所有的应用通信类型，包括Email、FTP、网页浏览、数据库查询、协同计算机辅助设计（CAD）、基于计算机的企业系统（ERP等）、协同研究、视频广播、语音广播（生产工作区）、IP视频监控、VoIP以及视频会议等等应用类型。其通信方式和对传输网络的要求各不相同，为了合理利用网络资源，需要为业务、VoIP、语音广播、视频会议等对网络服务质量要求高的应用提供高优先级，才能为所有这些应用提供网络传输保证，保障各种不同服务的流畅应用，并实现端到端的QoS服务。9.组播应用需求IP组播技术作为一种节省带宽的网络技术，最适合在流媒体应用中使用。流媒体技术，可用于生产工作区语音广播、视频点播、远程监控、视频会议等应用。需要对网络设备的要求：组播协议，核心和汇聚的三层交换机支持PIM/IGMP等协议，接入的二层交换机支持IGMPSnooping协议；多媒体双向组播，实现时时的交互式视频应用；多媒体非法组播源控制；端到端QoS保障，要求全网提供服务保证。10.终端桌面安全需求：研究所具有一些政策性约束条件，对接入终端的审计具有高安全性要求，因此，针对该研究所的行政办公区、研究室、财务室等重要部门进行用户桌面终端行为监控，能够有效地审计用户，便于事后进行取证。5.1.3信息点分布分析信息点分布情况区域楼宇信息点（接入层）终端（含PC、手机或PAD）接入量（大约）行政办公区1#（6层高）40间/层*6层*2点/间=480点6层*4个会议室/层*4/个会议室=96点2016台2#（6层高）40间/层*6层*2点/间=480点6层*4个会议室/层*4/个会议室=96点2016台3#（3层高综合楼）12间/层*2层*6点/间=144点1层（图书阅览室）*40点/层=402层*2个会议室/层*4/个会议室=46点240台生产工作区1#，2#120点100台3#，4#220点200台5#，6#220点200台家属生活区1#~60#60栋*48点/栋=2880点8640台物管中心40点30台5.2网络建设设计原则该研究所网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持5年左右的先进性。并且从用户的利益出发，系统具有一定的自由度，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据数据基础网络的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标是：高性能、高可靠性、高稳定性、高安全性、可运营、可管理、可增值的智能网络。5.3网络拓扑设计5.3.1网络拓扑及设备选型分析根据需求分析、信息点的分布统计情况，网络拓扑设计应采用三层网络结构设计，就是将复杂的网络设计分成多个层次，每个层次只着重于某一方面特定功能的设计，这样能够使一个复杂网络变的简单化、有层次感的网络，易于网络管理和维护。所采用的三层结构设计网络拓扑，即为：核心层、汇聚层、接入层，同时考虑安全性和冗余设计。本次网络方案案例设计，以选用锐捷网络产品系列，锐捷网络公司作为国内领先的网络设备供应商，其产品具有良好的可靠性和稳定性，可提供高性能、全方位的千兆网络产品解决方案。其专门为企业行业用户定制和推出的解决方案，由于贴近企业行业用户实际需求，得到了约10000家以上单位的认可，该设备选型也满足了该方案前面所述的设计原则。1.核心层设备选择核心交换机是局域网的基石，网络信息交换、共享数据的中心枢纽，其性能决定网络中各信息点的响应速度，传输速度和吞吐量，网络的负载能力、服务器分发、工作站访问范围等性能。因此，核心交换机采用多机做热备份，保证核心层的正常运行。根据需求，所选中心交换机应具有模块化设计、虚网划分功能，支持第三层交换、负载均衡和冗余备份、板卡智能分布式处理、模块热插拔、电源冗余等功能，高密度端口、多种模块、配置灵活，构建弹性可扩展的网络。并且核心交换机还必须具备真正线速、超强分布式数据处理性能、复杂功能硬件实现、采用先进的交换矩阵结构，支持硬件ACL、硬件QoS、在进行大量复杂数据处理的同时保持线速的交换和路由。另外作为“大数据多业务时代”对高数据处理能力的最新要求，交换机每个端口必须具备独立的数据处理能力，将分布在线卡层面的部分功能（ACL,QOS）进一步分布到端口，实现了端口级的数据同步交换。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机采用RG-S8605E骨干万兆交换机。RG-S8605E具有如下功能和特点：三层模块化交换机；5个全模块化，具有良好的扩展性；高密度端口，交换容量最大可以达到83.4Tbit/s；包转发率最大可以达到18,000Mpps支持网络虚拟化；SDN支持具有高可用的QoS保障：支持802.1p；支持SP、WRR、DRR、SP+WRR、SP+DRR等队列调度机制；支持RED/WRED；支持基于出端口/入端口的限速；支持基于MAC地址802.1X功能和基于端口802.1X功能；硬件实现端口于IP、MAC的绑定；支持RIPv1/v2、OSPF、VRRP、PIM、IGMP等多种三层协议；支持SNMPv1/v2c/v3、CLI(Telnet/Console)、RMON(1,2,3,9)等多种管理方式；硬件实现路由、ACL、QOS等功能；支持万兆以太网，端口转发达到线速，便于后期扩展升级；主控、电源均可冗余备份，所有板件支持热插拔，电信级可靠性设计保证核心节点稳定可靠；2.汇聚层设备选型对于楼宇或区域汇聚交换机，必须考虑到安全接入控制、QoS服务质量保证、组播支持等技术。结合数据基础网络的实际情况，建议在楼宇或区域汇聚节点使用汇聚层交换机RG-S5750-H系列设备。具有实现汇聚层具有的多种特点：RG-S5750-H系列交换机固化4端口万兆光，可根据用户需要灵活选择不同数量的万兆光口和电口，完全满足大型企业园区网汇聚或中小型网络核心部署需求；可支持高达64K的MAC地址容量；交换容量最大可以支持到5.98T；具有交换机应有的VLAN、生成树等特性；硬件支持IPv4/IPv6双协议栈多层线速交换，硬件区分和处理IPv4、IPv6协议报文，可根据IPv6网络的需求规划网络或者维持网络现状，提供灵活的IPv6网络通信方案；支持丰富的IPv4路由协议，包括静态路由、RIP、OSPF、IS-IS、BGP4等，满足不同网络环境中用户选择合适的路由协议灵活组建网络。同时支持丰富的IPv6路由协议，包括静态路由、RIPng、OSPFv3、IS-ISV6、BGP4+等，不论是在升级现有网络至IPv6网络，还是新建IPv6网络，都可灵活选择合适的路由协议组建网络。完善的安全防护策略：具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击，如预防DoS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等，还网络一片绿色。支持基于硬件的IPv6ACL，即使在IPv4网络内有IPv6用户，也可轻松在网络边缘实现对IPv6用户的访问控制，既可允许网络内IPv4/IPv6用户并存，也可以对IPv6用户的访问权限进行控制，比如限制对网络敏感资源的访问等。业界领先的硬件CPU保护机制：特有的CPU保护策略（CPP技术），对发往CPU的数据流，进行流区分和优先级队列分级处理，并根据需要实施带宽限速，充分保护CPU不被非法流量占用、恶意攻击和资源消耗，保障了CPU安全，充分保护了交换机的安全。硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定，严格限定端口上的用户接入或交换机整机上的用户接入问题。支持DHCPsnooping，可只允许信任端口的DHCP响应，防止私设DHCPServer的欺骗；并在DHCP监听的基础上，通过动态监测ARP和检查用户的IP，直接丢弃不符合绑定表项的非法报文，有效防范ARP欺骗和用户源IP地址的欺骗问题。基于源IP地址控制的Telnet设备访问控制，避免非法人员和黑客恶意攻击和控制设备，增强了设备网管的安全性。SSH（SecureShell）和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息，保证管理设备信息的安全性，防止黑客攻击和控制设备。提供多种安全控制手段，包括限制和禁止主机访问、AAA认证、802.1X、控制台口令保护、MAC地址锁、VLAN划分、ACL访问控制等功能；；支持NFPP技术。NFPP(NetworkFoundationProtectionPolicy基础网络保护策略)是用来增强交换机安全的一种保护体系，通过对攻击源头采取隔离措施，可以使交换机的处理器和信道带宽资源得到保护，从而保证报文的正常转发以及协议状态的正常。以上这些功能和特点完全满足并超出本次项目的要求适合作为楼宇或区域汇聚交换机。3.接入层设备选择接入交换机通过部署支持ACL的RG-S2600-E/P系列智能增强安全接入交换机，采用千兆上联、百兆堆叠到桌面的解决方案。桌面接入采用10/100Mbps以太网技术，某些节点直接千兆到桌面。一则可实现弹性、平滑的基础网络扩容，二则通过安全智能交换机的安全特性，将用户报文在接入端口进行过滤，同时释放、降低核心层设备的性能压力和组网成本。结合IEEE802.1X接入控制协议，通过安全认证，形成合法用户安全可信接入、高性能、可控管网络系统；支持交换机具有的VLAN、生成树特点。4.网络边界安全网关（数据基础网络出口设备）选择为了保护数据基础网络和外网之间的安全，防止网络病毒和网络攻击等行为，并实现Internet连接，需要在数据基础网络网络出口部署防火墙作为安全网关和远程接入平台。我们选择RG-WALL1600作为安全网关，其具体特点如下：提供网络接口10/100/1000BaseT≥4，Mini-GBIC接口≥6；提供并发会话数≥2000000；防火墙流量能力(单向)≥2.5Gbps；策略数（Policies）≥1,000；

支持策略路由功能；支持负载均衡；提供HA功能：支持设备故障检测、连接故障检测、故障切换通知提供具有完备的双向地址翻译NAT或PNAT功能：正向NAT支持静态NAT和动态NAT，反向NAT支持端口映射和IP映射；支持BT/eDonkey/Kazaa等P2P软件的禁止和带宽限制；监视并切断发自不明发信地址的内容、切断没有被邀请的ICMP、切断IP流量碎片、Syncflooding攻击、检测并拦截扫描行为、UDPflooding邮件炸弹、支持同IDS的产品互动,拒绝服务和许多其他的攻击；支持VPN功能，并发VPN通道数≥10,000tunnels，VPN吞吐量(SHA-1,3DES)≥2Gbps；支持Web、命令行、SSH、JAVA控制台管理；可完全支持建立高安全性的企业服务器群DMZ区。5.认证系统选型（建立终端可信准入控制）网络核心部署RG-SAM安全认证系统，提供全网用户管理和安全认证管理，提升网络准入接入控制和安全管理，实现端到端的整体解决方案。根据网络用户管理应用需求，具体要求：支持Windows操作系统和MSSQL数据库，大于等于1万用户实现对接入用户进行帐号与IP、MAC、交换机、端口多元素的复合绑定支持自动绑定用户IP、MAC、交换机端口、交换机ip实现有效的自动探测并屏蔽各种形式的代理服务器，包括单网卡代理，双网卡代理，终端服务代理或者HTTP、Socket等各种代理形式。同时，是否允许某个帐号使用代理，可以由管理员在认证服务器进行控制实现有效的屏蔽认证后拨号的功能。同时，是否允许某个帐号使用认证后拨号的功能，可以由管理员在认证服务器端进行控制有效控制IP地址冲突支持客户端软件自动在线升级支持接入时段控制（日常、周末、节日）支持组、帐号用户管理模式支持分级权限管理功能支持用户Web自助服务（提供用户修改密码，查询上网记录和缴费记录）支持消息广告支持用户自助注册帐户功能，管理员审计激活功能5.3.2网络拓扑结构设计三层结构描述如下：核心节点，完成网络区域之间的交换和路由，并承载服务器群的网络数据传输，承担该研究所的内外、内网与服务器、内网区域之间的网络数据传输。汇聚节点，完成生产工作区区域、家属生活区区域、行政办公区区域的汇聚，实现区域内的内部交换和路由，并承担区域内网络数据的流出出口，并实现高链路聚合和冗余，解决网络数据出口单点故障问题。接入节点，完成终端用户的接入，比如行政办公区房间、生产工作区、家属生活区等。根据实际内容，将该研究所分成三大区域：行政办公区；生产工作区；家属生活区。提示：我们在设计网络拓扑图的时候，首先应该根据用户需求分析，得出网络规模、承载的业务数据、安全控制等信息，按照网络结构设计方法和思路，是构建三层结构（核心层、汇聚层、接入层），还是构建二层结构（核心层和接入层）。从该研究所的需求，适合采用三层结构，有利于区域化交换和管理、安全控制。网络拓扑结构绘制方法较多，我们可以采用专业的工程绘图工具实现，比如微软的Visio工具，或亿图工具，或WPS的演示工具（ppt），或微软的PowerPoint工具，无论使用哪一种工具，我们要绘制好的示意图，都需要一些图的元素图，比如交换机、路由器、防火墙、PC主机的元素图，通常我们的设备厂家会提供一些元素图，利用工具和元素图，参考一些网络拓扑示意图，就可以画出好的网络方案拓扑图。5.4网络IP地址及VLAN规划设计5.4.1用户信息点分类根据前面的需求分析和用户区域情况，可以实现用户信息点在区域内的分类，分类的目的有助于网络管理和方便规划设计IP地址和VLAN，也有利于实现路由和交换、安全管理的逻辑划分。从前面的信息点统计情况来看，家属生活区是比较单一的用户类，家属生活区可以按照每一栋楼的每一单元一个分类的原则；对行政办公区，结合办公区的部门和楼层情况进行用户分类的原则；对行政办公区的实验楼按照房间进行分类的原则；对生产工作区按照厂房的生产组进行分类的原则。因此，可以得到如表5.3所示的用户信息点分类示意表。提示：该表供参考，由于太多内容，仅仅提供部分内容，供学习参考。信息点分类示意表区域位置用户类说明类别编码家属生活区1#1单元家属分类#1-1Jiashu-01-011#2单元家属分类#1-2Jiashu-01-02………………2#1单元家属分类#2-1Jiashu-02-01………………生产工作区1#-生产组1生产组#01-01Shengchangzu-01-011#-生产组2生产组#01-02Shengchangzu-01-02………………行政办公区1#1楼-1-20房间XX1研究部XX1研究部Bangong-01-01-yanjiu-011#2楼-21-40房间XX2研究部XX2研究部Bangong-01-02-yanjiu-02………………2#1楼-1-10房间财务财务Bangong-02-01-caiwu………………5.4.2IP和VLAN设计1.IP及VLAN规划原则根据需求分析，当前主要为用户提供一个前期网络规划方案，方便用户对方案的认可，而不是方案实施。就该研究所IP及VLAN的规划原则作一下简要设计(仅作为参考，便于日后进一步交流)：为控制广播，也为今后的管理提供方便，一个网段内的用户量为254个信息点以下最佳；整网均采用私有IPv4地址，并通过防火墙进行NAT转换共享访问外网（Internet）；为了方便日后的管理和维护，采取IP网段和VLAN-ID相对应的策略，例如：网段/24对应VLANID11，网段/24对应VLANID12等等；2.IP及VLAN规划建议如图表5.4所示为IP和VLAN规划的示意表，并结合了用户分类，该表供后期深层次的交流。5.5路由设计5.5.1默认路由设计默认路由设计是一种网络路由配置中的特殊静态路由，可以匹配所有的目的IP网络，常常作为PC主机、网络边界唯一出口（比如内外网）的特殊静态路由，方便用户访问其他网络的时候有一条缺省的路径。该研究所所涉及的默认路由配置，主要在如下节点中：终端：所有的终端接入设备的默认网关（默认路由），均为所接交换机端口(或VLAN)所在IP的网关地址。终端包括了家属生活区、无线接入、行政办公区、生产工作区、服务器群。出口防火墙：该研究所的内网出口防火墙与外网之间相连接的默认路由设置，设置为运营商提供的默认网关IP地址。在汇聚层和核心层设备上可以根据实际情况增加静态路由，以提高路由选择速率。动态路由RIP或OSPF中会使用到相应的配置指令完成默认路由的引入，将在实际实施方案中具体体现配置，比如RIP中引入ipdefault-network或defaualt-informationoriginate配置指令，在OSPF中引入defaualt-informationoriginate配置指令。5.5.2动态路由设计动态路由在该方案可以选择RIP或OSPF，RIP路由协议有两个版本：RIPv1和RIPv2。RIP路由协议属于距离向量动态路由协议，路由度量值是根据经过的路由器节点数这一因素决定。如果有到相同目的网络的两个不等传输率线路的路由，但经过路由器节点跳数是相同的，则RIP都认为是两个等距离的路由，都是一样的优秀路由；其次，当链路在处于高流量、拥塞的情况下，RIP无从判断该条路径是否为最优秀的路由，只是简