网络构建第十章网络规划与设计

第10章网络规划与设计

10.1网络方案设计内容

10.2网络总体设计

10.3中小企业网络解决方案

10.1网络方案设计内容

1.用户需求分析与建网目标

2.建网原则

3.网络总体设计

4.综合布线系统

5.设备选型

6.系统软件

7.应用系统

8.工程实施步骤

9.培训方案

10.、测试与验收

10.1网络方案设计内容

1.用户需求分析与建网目标

(1)了解企业用户的现状

(2)弄清用户的目的

(3)掌握资金投入的额度

(4)了解企业用户环境

(5)确定企业用户的数据流管理架构

10.1网络方案设计内容

2建网原则

(1)标准化及规范化

(2)先进性

⑶扩充性

(4)可靠性

(5)安全性

(6)可管理性及可维护性

(7)实用性

(8)灵活性

(9)经济性

10.2网络总体设计

10.2.1局域网技术选型

10.2.2网络拓扑结构设计

大型网络的设计通常是从中心开始把计算机网络划分

为核心层、）匚我层和接入层（见图1-1）,每层完成的功能

不一样，各有其特点，应根据不同层次用不同的要求设计

网络，网络的层次化设计有以下优点：

1结构简单。通过将网络分成许多小单元，降低了网

络的整体复杂性，使故障排除或扩展更容易，能隔离广播

风暴的传播、防止路由循环等潜在问题。

2升级灵活。网络容易升级到最新的技术，升级任意层

的网络不会对其他层次造成影响，无须改变整个环境。

3易于管理。层次结构降低了设备配置的复杂性，使

网络更容易管理。

10.2网络总体设计

10.2.2网络拓扑结构设计

核心层的任务是为其他两层提供优化的数据传输功能。

核心层由一个高速的骨干网组成，其作用是尽可能快地交

换数据包。由于核心层对网络互连是至关重要的，因此一

般要采用冗余空件来设计核心层。核心层应具有高可靠性,

并且应能快速适应网络的变化。核心层不应卷入到对具体

的数据包的运算中去（如过滤等），否则会降低数据包的

交换速度。核心层的主干交换机一般采用最快速率的链路

连接技术，桂与汇聚层交换机相连时要考虑采用建立在生

成树基础上的多链路冗余连接,以保证与核心层交换机之

网存在备份连接和负载均衡,完成高带宽、大容量网络层

路由交换功能。这样当交换机之间的线路出现故障时，传

输的数据会快速自动切换到另外一线路上进行传输，不影

响网络系统的正常工作。

10.2网络总体设计

10.2.2网络拓扑结构设计

汇聚层是网络核心层与接入层的分界点，它扮演了许

多角色，包括对资源的控制访问，F以、配置为VLAN之间连

接的路由,汇总接入层的路由。设计时可根据网络规模和

应用情况考虑汇聚层与核心层有冗余的链路。汇聚层设计

需支持网络的高接口密度、高性能、高可用性等特性,应

该与服务质量(QoS)机制、智能应用技术以及安全性设计

结合在一起。用户可以通过汇聚层高效地利用其接入层网

络，增加终端业务(如多点广播、语音和视频应用、ERP应

用等)，而不影响网络性能。汇聚层交换机和接入层交换

机之间可以利用全双工技术和高传输率网络互联，保证分

支主干无带宽瓶颈。汇聚层的设计要满足核心层、汇聚层

交换机和服务器集合环境对千兆端口密度、可扩展性、高

可用性以及多层交换的不断增长的需求,支持大用户量、

多媒体信息传输等应用。

10.2网络总体设计

10.2.2网络拓扑结构设计

接入层的主要目标是为最终用户提供对网络访

问的途径，提供了带宽,享，交换带宽、MAC层过

滤、网段划分等功能。本层也可以提供访问列表过

滤等操作。接入层设计时可考虑采用可网管、可堆

叠的以太网交换机作为网络的接入级交换机,以适

应高端口密度的部门级大中型网络。交换机的普通

端口直接与用户计算机相连，高速端口用于上连高

速率的汇聚层的交换机，用以有效地缓解网络骨干

的瓶颈。

10.2网络总体设计

10.2.3地址分配与聚合设计

1IP地址的划分原则如下：

•唯一性：IP地址必须唯一，一个IP地址对应一台数据通讯

设备；

•连续性：为同一网络区域分配连续的网络地址，便于规划,

同时提高路由器寻径效率；

•可扩充性：分配地址应预留一定量的备用地址块，以便网

络节点增加后能保持地址的连续性；

•可管理性：地址的分配应该有层次性，某个局部的变动不

影响网络的其它部分；

•高效性：可采用可变长子网掩码技术；

•可汇聚性：网络地址的分配应有利于路由表汇聚；

10.2网络总体设计

10.2.3地址分配与聚合设计

21P地址的划分方法如下：

•自顶向下地址规划

•公有地址、私有地址的结合使用

•动态分配地址可以有效地管理用户的地址

•混合地址分配方案

10.2.4Internet接入设计

10.2网络总体设计

10.2.5网络性能设计

10.2网络总体设计

10.2.6网络可靠性和冗余设计

网络系统的可靠性主要有三方面：抗毁性、生存性和

有效性。

抗毁性是指系统在人为破坏下的可靠性。比如部分线

路或节点失效后，系统是否仍然能够提供一定程度的服务。

增强抗毁性可以有效地避免因各种灾害（战争、地震等）

造成的大面积瘫痪事件。

生存性是在随机破坏下系统的可靠性。生存性主要反

映随机性破坏和网络拓扑结构对系统可靠性的影响。这里,

随机性破坏是指系统部件因为自然老化等造成的自然失效。

有效性是一种基于业务性能的可靠性。有效性主要反

映在网络信息系统的部件失效的情况下，满足业务性能要

求的程度。比如，网络部件失效虽然没有引起连接性故障，

但是却造成质量指标下降、平均延时增加、线路阻塞等现

象。

10.2网络总体设计

10.2.6网络可靠性和冗余设计

•构建网络系统的备份体系，设计冗余部件。

・硬件容错、软件容错和线路容错设计

・运行环境备份、业务数据备份、备份策略和

恢复方案。

10.2网络总体设计

2冗余设计

1）硬件容余

2）软件容错

3）网络结构和线路冗余

高校图书馆冗余网络拓扑结构

门UVc

加-3安生

[♦*青建？白

访向片人平白

（幽闻w

RGMALL1000

RG*$$80eRG<S68O6

RG^SS81G-S6810

册刖1费.电收网

■用的”•e词

STAR.S3550.12SFSTARS4909

••,

—

SIMS1NGMG•：aMi

STAN21犬口”0

10.2网络总体设计

网络采用了两台锐捷网络的RS-S6800系列（RS-S6806或RS-

S6810）的10GE交换机作为网络的核心层，实现设备冗余，交换机之

间采用链路聚合技术相连，两交换机间既互为备份，又可均衡负载，

从而保证了核心层的任一台交换机出现故障都不会影响网络的运行。

电子阅览终端查询和行政办公区的汇聚层交换机（分别为STAR.

S4909和STAR・S3550・12G）使用两条千兆位链路分别上连两台中心

交换机RS-S6800,建立两条逻辑链路。通过配置生成树协议指定一条

链路工作，另外一条千兆位链路将自动成为备份链路，实现链路冗余。

服务器是网络应用的核心，即使所建网络的结构达到相当高的可靠

程度，如果服务器采用一条线路接入，网络依然可能出现单点故障，

对用户来说依然没有可靠性可主。解决方法是在服务器上安装两块千

兆位服务器网卡，分别连接两台核心交换机，利用网卡容错技术实现

两块网卡间的容错。当主网卡或网卡所连的交换机发生故障时，服务

器会立刻将该网卡上的流量转移到备份网卡上。

通过以上3个方面，可以看到该方案能够做到任何一台中心交换机的

故障不会导致整个网络瘫痪，提供了最快速的故障恢复方案，增强了

网络的容错能力，提高了网络的可靠性。

10.2网络总体设计

10.2.7网络安全性设计

•物理安全

•在链路层，通过“桥“这一互连设备的监视和控制作用，使我们可以建

立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离,

消除不同安全级别逻辑网段间的窃听可能。

•在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制

子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的

节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用

服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制,

网络级别的划分大致包括Internet/企业网、骨干网/区域网、区域网/部

门网、部门网/工作组网等，其中Internet/企业网的接口要采用专用防

火墙，骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、

安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。

增强网络互连的分割和过滤控制，也可以大大提高安全保密性。

10.2网络总体设计

10.2.7网络安全性设计

•安全设计主要遵循以下原则：通过身份验证实现网络安全

访问；通过网络隔离与控制实现边界安全；通过数据的保

密性和完整性实现网络传输安全；通过网络流量监控实现

安全监测；用策略管理实现网络综合管理。

■网络安全设计时应该从系统（主机、服务器）安全、系统

与网络的安全检测、访问控制、人侵检测（监控）、审计

分析、反病毒、网络运行安全备份与恢复应急措施等几方

面考虑。

10.3高校校园网解决方案

10.3.1高校校园网建设的目标和需求

1）、安全的需求

2）、运营的需求

3）、管理的需求

4）、性能的需求

5）、高智能的考虑

6）、接入方式的考虑

10.3高校校园网解决方案

1032校园网网络设计

高校校园网采用核心层、汇聚层和接入层三级星形网

络结构，核心层采用lOGbps或IGbps交割技术，汇聚层采

用IGbps或100Mbps交换技术，接入层采用100Mbps或

10Mbps交换技术。校园内采用综合布线系统，楼宇间根据

距离采用单模或多模光纤，楼宇内采用多模光纤与双绞线

混合布线方式，双绞线可根据通信情况和单位的经济实力

选择5e类或6类双绞线电缆。网络设备应该选择高技术性能

和高可靠性的主流产品，适应今后不断升级和扩展的需求。

根据应用需求，建立对内对外服务的服务器群组。根据网

络管理和安全管理的需求将网络划分为不同的VLAN,在

核心层和汇聚层对网络设备和通信链路作必要的冗余设计,

选择适当的防火墙、网管平台、认证记费平台等。

10.3高校校园网解决方案

10.3.3锐捷网络高校校园网解决方案

1方案特点

•高安全

1）、安全认证到桌面。采用六元素的自动绑定、静态

绑定、动态绑定相结合，可以确保用户入网时身份

唯一，并且避免了IP冲突。

2）、管理分级授权。不同职能的管理者使用同一套系

统时可以得到不同的操作界面以及使用权限，避免

了管理的安全隐患。

3）、控制网络病毒。统一对接入层交换机做动态

下发安全策略，轻松有效的控制网络病毒，使网络

保持畅通。

4）、抵御网络攻击。结合网络攻击的检测系统，

能够抵御日益增多的内部网络攻击，并且自动对用

户做出相应的控菊动作，保证网络安全。

1方案特点

•可运营

1）、贴切校园的运营模式。结合校园的实际运营，在

原有电信策略的基础上，开发出最为贴切校园的运

营模式，最大程度上解决收费和缴费的矛盾。

2）、丰富的营帐及帐务功能。保证管理者可以随时获

得运营所需要的记录以及统计信息，从而给运营提

供足够的数据支撑。

3）、完善的自助服务系统。能够让用户方便的对自

身帐号的信息以及帐务情况自助查询，并对部分信

息做操作，极大减轻了管理者的运营负担

1方案特点

•易管理

1）、全网设备统一管理。全网拓扑发现以及对事

件、性能、日志的统一管理，可以方便的对全网设

备统一管理。

2）、AGTS的用户管理模式。将大量的信息转化为

少量的信息做对应，可以在设置的时候使用最少量

的对应关系，从而大大提高用户管理的效率。

3）、接入时段管理。通过对日常、周末以及节日

的一次性设置，轻松灵活管理用户能够使用网络的

时段，提高用户管理的力度。

4）、自动升级客户端。通过统一的一次性配置，

使得所有用户的客户端自动进行升级，大大简化了

管理者及使用者的负担，使得上网更为轻松。

1方案特点

•高性能

1）、整网采用万兆核心、千兆干线、百兆到桌面的设计

理念。高吞吐量，线速转发的核心路由器和三层交换机，

所有关键器件的冗余，包括主控板、交换网板、电源等，

支持板件的热插拔技术，保证了网络的高效运转。

2）、领先的SPOH结构设计，基于硬件的同步式数据交换

技术。针对不同数据行为对端口依赖性的不同而采用各自

不同的处理方式来最大限度地提升整机处理能力。

3）、针对ACL、QOS等针对单独端口的数据行为，通过为

ASIC芯片各端口增加独立的FFP模块

（fastfilterprocessor）进行硬件处理，各端口句以同

步地进行硬件处理。

4）、L2/L3/组播等涉及不同端口之间数据处理行为，通

过存放在线卡ASIC芯片的统一硬件查表项对所有端口进行

统一处理，提供数据在不同端口之间的线速转发

1方案特点

•端到端QOS

1）、从接入层交换机到核心设备，全面覆盖端口速

率限制，应用流分类识别，关键业务流量带宽保证

等多层交换质量保证。

2）、基于交换机时间、物理端口、MAC地址、IP地

址、TCP/UDP端口号的应用流分类识别和带宽限速

机制，完成了高校全网端到端的QOS保证。

2方案产品

1）RG-S2126G/2150G安全智能交换机

STAR-S2126G/S2150G是两款全线速可堆叠的安

全智能交换机，在提供智能的流分类、完善的服务

质量（QoS）和组播应用管理特性同时，并可以根

据网络实际使用环境，实施灵活多样的安全控制策

略，可有效防止和控制病毒传播和网络攻击，控制

非法用户使用网络，保证合法用户合理使用网络资

源，充分保障网络安全和网络合理化使用和运营

2方案产品

2）STAR-S3550-24安全智能多层交换机

STAR-S3550-24/S3550-48是两款全线速安全智

能多层交换机，该交换机硬件支持多层交换，提供

二到七层的智能的流分类和完善的服务质量（QoS）

以及组播管理特性，支持完善的路由协议，并可以

根据网络实际使用环境，实施灵活多样的安全控制

策略，可有效防止和控制病毒传播和网络攻击，控

制非法用户使用网络，保证合法用户合理使用网络

资源，充分保障网络安全和网络合理化使用和运营

2方案产品

3)STAR-S4909全模块化骨干路由交换机

STAR-S4909是全模块化的核心路由交换机，丰

富的扩展模块支持灵活构建弹性可扩展的网络。

S4909支持基于IP的运营管理、安全控制、认证计

费等各种策略，提供完备的业务控制和用户管理能

力，是大中型网络核心交换机的理想选择。

2方案产品

4)RG-S6506全模块化骨干多层交换机

RG-S6506是锐捷网络推出的全模块化骨干路由

交换机，拥有6个模块扩展槽，提供管理模块冗余,

支持千兆和百兆模块线速转发，可以根据用户的需

求灵活配置，构建弹性可扩展的现代IP网络。

2方案产品

5)RG-S6806/6810万兆核心路由交换机

RG-S6800系列是全模块化、高密度端口的锐捷

万兆核心路由交换机，目前提供10竖插槽设计和6

横插槽设计两种主机：RG-S6810和RG-S6806。多种

模块可以根据用户的需求灵活配置，灵活构建弹性

可扩展的网络。RG-S6800系列交换机高达

512G/256G的背板带宽和286Mpps/143Mpps的二/三

层包转发速率可为用户提供高速无阻塞的交换，强

大的交换路由功能、安全智能技术可同锐捷各系列

交换机配合，为用户提供完整的端到端解决方案，

是大型网络核心骨干交换机的理想选择。

2方案产品

6)RG-WSG108R高速无线局域网宽带路由器

RG-WSG108R是锐捷网络推出的108Mbps高速无

线局域网宽带路由器产品，采用业内最新的第二代

802.Hg多模式高速芯片组，在支持当前主流的无

线局域网标准的基础上，率先推出基于108Mbps的

高速通道传输技术，同时，内建的高速加密引擎支

持所有TKIP及AES协议且不会出现性能衰减。RG-

WSG108R在提供高速无线通信的同时，为用户提供

了共享以太网络资源的宽带路由功能，方便用户在

小型办公区域、家庭、公众运营网络等场合快速构

建高速、共享的无线与有线的融合网络。外观小巧

美观，可壁挂或放置于桌面，即插即用，是用户组

建高速无线局域网络的最佳选择。

2方案产品

7)RG-WALL1000千兆防火墙/VPN网关

RG-WALL系列采用锐捷网络独创的分类算法

(ClassificationAlgorithm)设计的新一代安全产品一

—第三类防火墙，支持扩展的状态检测(Stateful

Inspection)技术，具备高性能的网络传输功能；同时在

启用动态端口应用程序(如VoIP,H323等)时，可提供强有

力的安全信道。采用锐捷独创的分类算法使得RG-WALL产品

的高速性能不受策略数和会话数多少的影响，产品安装前

后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所

有数据包的接收、分类、转发工作，因此不会成为网络流

量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击

并且提供解决措施，且入侵监测功能不会影响防火墙的性

能。RG-WALL的主要功能包括：扩展的状态检测功能、防范

入侵及其它(如URL过滤、HTTP透明代理、SMTP代理、分离

DNS、NAT功能和审计/报告等)附加功能。

2方案产品

8)STAR-VIEW网络管理系统

StarView网络管理系统是一'套基于Windows平台的高

度集成、功能完善、实用性强、方便易用的全中文用户界

面的网络级网络管理系统。它是由锐捷网络自主开发的软

件产品。StarView管理系统能提供整个网络的拓扑结构，

能对以太网络中的任何通用IP设备、SNMP管理型设备进行

管理，结合管理设备所支持的SNM