第 10章 网络规划与设计
10.1 网络方案设计内容
10.2 网络总体设计
10.3 中小企业网络解决方案
10.1 网络方案设计内容
1,用户需求分析与建网目标
2,建网原则
3,网络总体设计
4,综合布线系统
5,设备选型
6,系统软件
7,应用系统
8,工程实施步骤
9,培训方案
10.,测试与验收
10.1 网络方案设计内容
1.用户需求分析与建网目标
( 1) 了解企业用户的现状
( 2) 弄清用户的目的
( 3) 掌握资金投入的额度
( 4) 了解企业用户环境
( 5) 确定企业用户的数据流管理架构
10.1 网络方案设计内容
2 建网原则
(1) 标准化及规范化
(2) 先进性
(3) 扩充性
(4) 可靠性
(5) 安全性
(6) 可管理性及可维护性
(7) 实用性
(8) 灵活性
(9) 经济性
10.2 网络总体设计
10.2.1 局域网技术选型
10.2.2 网络拓扑结构设计
大型网络的设计通常是从中心开始把计算机网络划分
为核心层, 汇聚层和接入层 ( 见图 1-1), 每层完成的功能
不一样, 各有其特点, 应根据不同层次用不同的要求设计
网络, 网络的层次化设计有以下优点:
1 结构简单 。 通过将网络分成许多小单元, 降低了网
络的整体复杂性, 使故障排除或扩展更容易, 能隔离广播
风暴的传播, 防止路由循环等潜在问题 。
2 升级灵活 。 网络容易升级到最新的技术,升级任意层
的网络不会对其他层次造成影响, 无须改变整个环境 。
3 易于管理。层次结构降低了设备配置的复杂性,使
网络更容易管理。
10.2 网络总体设计
10.2.2 网络拓扑结构设计
核心层的任务是为其他两层提供优化的数据传输功能 。
核心层由一个高速的骨干网组成, 其作用是尽可能快地交
换数据包 。 由于核心层对网络互连是至关重要的, 因此一
般要采用 冗余组件 来设计核心层 。 核心层应具有高可靠性,
并且应能快速适应网络的变化 。 核心层不应卷入到对具体
的数据包的运算中去 ( 如过滤等 ), 否则会降低数据包的
交换速度 。 核心层的主干交换机一般采用最快速率的链路
连接技术, 在 与汇聚层交换机相连时要考虑采用建立在生
成树基础上的多链路冗余连接, 以保证与核心层交换机之
间存在 备份连接和负载均衡, 完成高带宽, 大容量网络层
路由交换功能 。 这样当交换机之间的线路出现故障时, 传
输的数据会快速自动切换到另外一线路上进行传输, 不影
响网络系统的正常工作 。
10.2 网络总体设计
10.2.2 网络拓扑结构设计
汇聚层是网络核心层与接入层的分界点, 它扮演了许
多角色, 包括对资源的控制访问, 可以 配置为 VLAN之间连
接的路由, 汇总接入层的路由 。 设计时可根据网络规模和
应用情况考虑汇聚层与核心层有冗余的链路 。 汇聚层设计
需 支持网络的高接口密度, 高性能, 高可用性等特性, 应
该与服务质量 ( QoS) 机制, 智能应用技术以及安全性设计
结合在一起 。 用户可以通过汇聚层高效地利用其接入层网
络, 增加终端业务 ( 如多点广播, 语音和视频应用, ERP应
用等 ), 而不影响网络性能 。 汇聚层交换机和接入层交换
机之间可以利用全双工技术和高传输率网络互联, 保证分
支主干无带宽瓶颈 。 汇聚层的设计要满足核心层, 汇聚层
交换机和服务器集合环境对千兆端口密度, 可扩展性, 高
可用性以及多层交换的不断增长的需求, 支持大用户量,
多媒体信息传输等应用 。
10.2 网络总体设计
10.2.2 网络拓扑结构设计
接入层的主要目标是为最终用户提供对网络访
问的途径, 提供了 带宽共享, 交换带宽, MAC层过
滤, 网段划分等功能 。 本层也可以提供访问列表过
滤等操作 。 接入层设计时可考虑采用 可网管, 可堆
叠的以太网交换机作为网络的接入级交换机, 以适
应高端口密度的部门级大中型网络 。 交换机的普通
端口直接与用户计算机相连, 高速端口用于上连高
速率的汇聚层的交换机, 用以有效地缓解网络骨干
的瓶颈 。
10.2 网络总体设计
10.2.3 地址分配与聚合设计
1 IP地址的划分原则如下:
? 唯一性,IP地址必须唯一, 一个 IP地址对应一台数据通讯
设备;
? 连续性:为同一网络区域分配连续的网络地址, 便于规划,
同时提高路由器寻径效率;
? 可扩充性:分配地址应预留一定量的备用地址块, 以便网
络节点增加后能保持地址的连续性;
? 可管理性:地址的分配应该有层次性, 某个局部的变动不
影响网络的其它部分;
? 高效性:可采用可变长子网掩码技术;
? 可汇聚性:网络地址的分配应有利于路由表汇聚;
10.2 网络总体设计
10.2.3 地址分配与聚合设计
2 IP地址的划分方法如下,
? 自顶向下地址规划
? 公有地址, 私有地址的结合使用
? 动态分配地址可以有效地管理用户的地址
? 混合地址分配方案
10.2.4 Internet接入设计
10.2 网络总体设计
10.2.5 网络性能设计
10.2 网络总体设计
10.2.6 网络可靠性和冗余设计
网络系统的可靠性主要有三方面:抗毁性、生存性和
有效性。
抗毁性是指系统在人为破坏下的可靠性 。 比如部分线
路或节点失效后, 系统是否仍然能够提供一定程度的服务 。
增强抗毁性可以有效地避免因各种灾害 ( 战争, 地震等 )
造成的大面积瘫痪事件 。
生存性是在随机破坏下系统的可靠性 。 生存性主要反
映随机性破坏和网络拓扑结构对系统可靠性的影响 。 这里,
随机性破坏是指系统部件因为自然老化等造成的自然失效 。
有效性是一种基于业务性能的可靠性。有效性主要反
映在网络信息系统的部件失效的情况下,满足业务性能要
求的程度。比如,网络部件失效虽然没有引起连接性故障,
但是却造成质量指标下降、平均延时增加、线路阻塞等现
象。
10.2 网络总体设计
10.2.6 网络可靠性和冗余设计
? 构建网络系统的备份体系,设计冗余部件 。
? 硬件容错、软件容错和线路容错设计
? 运行环境备份, 业务数据备份、备份策略和
恢复方案。
10.2 网络总体设计
2 冗余设计
1)硬件容余
2)软件容错
3)网络结构和线路冗余
高校图书馆冗余网络拓扑结构
10.2 网络总体设计
网络采用了两台锐捷网络的 RS-S6800系列 ( RS-S6806或 RS-
S6810) 的 10GE交换机作为网络的核心层, 实现设备冗余, 交换机之
间采用链路聚合技术相连, 两交换机间既互为备份, 又可均衡负载,
从而保证了核心层的任一台交换机出现故障都不会影响网络的运行 。
电子阅览终端查询和行政办公区的汇聚层交换机 ( 分别为 STAR-
S4909和 STAR-S3550-12G) 使用两条千兆位链路分别上连两台中心
交换机 RS-S6800,建立两条逻辑链路 。 通过配置生成树协议指定一条
链路工作, 另外一条千兆位链路将自动成为备份链路, 实现链路冗余 。
服务器是网络应用的核心, 即使所建网络的结构达到相当高的可靠
程度, 如果服务器采用一条线路接入, 网络依然可能出现单点故障,
对用户来说依然没有可靠性可主 。 解决方法是在服务器上安装两块千
兆位服务器网卡, 分别连接两台核心交换机, 利用网卡容错技术实现
两块网卡间的容错 。 当主网卡或网卡所连的交换机发生故障时, 服务
器会立刻将该网卡上的流量转移到备份网卡上 。
通过以上 3个方面, 可以看到该方案能够做到任何一台中心交换机的
故障不会导致整个网络瘫痪, 提供了最快速的故障恢复方案, 增强了
网络的容错能力, 提高了网络的可靠性 。
10.2 网络总体设计
10.2.7 网络安全性设计
? 物理安全
? 在链路层, 通过 "桥 "这一互连设备的监视和控制作用, 使我们可以建
立一定程度的虚拟局域网, 对物理和逻辑网段进行有效的分割和隔离,
消除不同安全级别逻辑网段间的窃听可能 。
? 在网络层, 可通过对不同子网的定义和对路由器的路由表控制来限制
子网间的接点通信, 通过对主机路由表的控制来控制与之直接通信的
节点 。 同时, 利用网关的安全控制能力, 可以限制节点的通信, 应用
服务, 并加强外部用户识别和验证能力 。 对网络进行级别划分与控制,
网络级别的划分大致包括 Internet/企业网, 骨干网 /区域网, 区域网 /部
门网, 部门网 /工作组网等, 其中 Internet/企业网的接口要采用专用防
火墙, 骨干网 /区域网, 区域网 /部门网的接口利用路由器的可控路由表,
安全邮件服务器, 安全拨号验证服务器和安全级别较高的操作系统 。
增强网络互连的分割和过滤控制, 也可以大大提高安全保密性 。
10.2 网络总体设计
10.2.7 网络安全性设计
? 安全设计主要遵循以下原则:通过身份验证实现网络安全
访问;通过网络隔离与控制实现边界安全;通过数据的保
密性和完整性实现网络传输安全;通过网络流量监控实现
安全监测;用策略管理实现网络综合管理 。
? 网络安全设计时应该从系统 ( 主机, 服务器 ) 安全, 系统
与网络的安全检测, 访问控制, 人侵检测 ( 监控 ), 审计
分析, 反病毒, 网络运行安全备份与恢复应急措施等几方
面考虑 。
10.3 高校校园网解决方案
10.3.1 高校校园网建设的目标和需求
1)、安全的需求
2)、运营的需求
3)、管理的需求
4)、性能的需求
5)、高智能的考虑
6)、接入方式的考虑
10.3 高校校园网解决方案
10.3.2 校园网网络设计
高校校园网采用核心层、汇聚层和接入层三级星形网
络结构,核心层采用 10Gbps或 1Gbps交换技术,汇聚层采
用 1Gbps或 100Mbps交换技术,接入层采用 100Mbps或
10Mbps交换技术。校园内采用综合布线系统,楼宇间根据
距离采用单模或多模光纤,楼宇内采用多模光纤与双绞线
混合布线方式,双绞线可根据通信情况和单位的经济实力
选择 5e类或 6类双绞线电缆。网络设备应该选择高技术性能
和高可靠性的主流产品,适应今后不断升级和扩展的需求。
根据应用需求,建立对内对外服务的服务器群组。根据网
络管理和安全管理的需求将网络划分为不同的 VLAN,在
核心层和汇聚层对网络设备和通信链路作必要的冗余设计,
选择适当的防火墙、网管平台、认证记费平台等。
10.3 高校校园网解决方案
10.3.3 锐捷网络高校校园网解决方案
1 方案特点
? 高安全
1),安全认证到桌面 。 采用六元素的自动绑定, 静态
绑定, 动态绑定相结合, 可以确保用户入网时身份
唯一, 并且避免了 IP冲突 。
2),管理分级授权 。 不同职能的管理者使用同一套系
统时可以得到不同的操作界面以及使用权限, 避免
了管理的安全隐患 。
3),控制网络病毒 。 统一对接入层交换机做动态
下发安全策略, 轻松有效的控制网络病毒, 使网络
保持畅通 。
4)、抵御网络攻击。结合网络攻击的检测系统,
能够抵御日益增多的内部网络攻击,并且自动对用
户做出相应的控制动作,保证网络安全。
1 方案特点
? 可运营
1),贴切校园的运营模式 。 结合校园的实际运营, 在
原有电信策略的基础上, 开发出最为贴切校园的运
营模式, 最大程度上解决收费和缴费的矛盾 。
2),丰富的营帐及帐务功能 。 保证管理者可以随时获
得运营所需要的记录以及统计信息, 从而给运营提
供足够的数据支撑 。
3),完善的自助服务系统 。 能够让用户方便的对自
身帐号的信息以及帐务情况自助查询, 并对部分信
息做操作, 极大减轻了管理者的运营负担
1 方案特点
? 易管理
1),全网设备统一管理 。 全网拓扑发现以及对事
件, 性能, 日志的统一管理, 可以方便的对全网设
备统一管理 。
2),AGTS的用户管理模式 。 将大量的信息转化为
少量的信息做对应, 可以在设置的时候使用最少量
的对应关系, 从而大大提高用户管理的效率 。
3),接入时段管理 。 通过对日常, 周末以及节日
的一次性设置, 轻松灵活管理用户能够使用网络的
时段, 提高用户管理的力度 。
4),自动升级客户端 。 通过统一的一次性配置,
使得所有用户的客户端自动进行升级, 大大简化了
管理者及使用者的负担, 使得上网更为轻松 。
1 方案特点
? 高性能
1),整网采用万兆核心, 千兆干线, 百兆到桌面的设计
理念 。 高吞吐量, 线速转发的核心路由器和三层交换机,
所有关键器件的冗余, 包括主控板, 交换网板, 电源等,
支持板件的热插拔技术, 保证了网络的高效运转 。
2),领先的 SPOH结构设计, 基于硬件的同步式数据交换
技术 。 针对不同数据行为对端口依赖性的不同而采用各自
不同的处理方式来最大限度地提升整机处理能力 。
3),针对 ACL,QOS等针对单独端口的数据行为, 通过为
ASIC 芯 片 各 端 口 增 加 独 立 的 FFP 模块
( fast filter processor) 进行硬件处理, 各端口可以同
步地进行硬件处理 。
4),L2/L3/组播等涉及不同端口之间数据处理行为, 通
过存放在线卡 ASIC芯片的统一硬件查表项对所有端口进行
统一处理, 提供数据在不同端口之间的线速转发
1 方案特点
? 端到端 QOS
1), 从接入层交换机到核心设备, 全面覆盖端口速
率限制, 应用流分类识别, 关键业务流量带宽保证
等多层交换质量保证 。
2)、基于交换机时间、物理端口,MAC地址,IP地
址,TCP/UDP端口号的应用流分类识别和带宽限速
机制,完成了高校全网端到端的 QOS保证。
2 方案产品
1) RG-S2126G/2150G 安全智能交换机
STAR-S2126G/S2150G是两款全线速可堆叠的安
全智能交换机,在提供智能的流分类、完善的服务
质量( QoS)和组播应用管理特性同时,并可以根
据网络实际使用环境,实施灵活多样的安全控制策
略,可有效防止和控制病毒传播和网络攻击,控制
非法用户使用网络,保证合法用户合理使用网络资
源,充分保障网络安全和网络合理化使用和运营
2 方案产品
2) STAR-S3550-24安全智能多层交换机
STAR-S3550-24/S3550-48是两款全线速安全智
能多层交换机,该交换机硬件支持多层交换,提供
二到七层的智能的流分类和完善的服务质量( QoS)
以及组播管理特性,支持完善的路由协议,并可以
根据网络实际使用环境,实施灵活多样的安全控制
策略,可有效防止和控制病毒传播和网络攻击,控
制非法用户使用网络,保证合法用户合理使用网络
资源,充分保障网络安全和网络合理化使用和运营
2 方案产品
3) STAR-S4909全模块化骨干路由交换机
STAR-S4909是全模块化的核心路由交换机,丰
富的扩展模块支持灵活构建弹性可扩展的网络。
S4909支持基于 IP的运营管理、安全控制、认证计
费等各种策略,提供完备的业务控制和用户管理能
力,是大中型网络核心交换机的理想选择。
2 方案产品
4) RG-S6506 全模块化骨干多层交换机
RG-S6506是锐捷网络推出的全模块化骨干路由
交换机,拥有 6个模块扩展槽,提供管理模块冗余,
支持千兆和百兆模块线速转发,可以根据用户的需
求灵活配置,构建弹性可扩展的现代 IP网络。
2 方案产品
5) RG-S6806/6810万兆核心路由交换机
RG-S6800系列是全模块化、高密度端口的锐捷
万兆核心路由交换机,目前提供 10竖插槽设计和 6
横插槽设计两种主机,RG-S6810和 RG-S6806。多种
模块可以根据用户的需求灵活配置,灵活构建弹性
可扩展的网络。 RG-S6800系列交换机高达
512G/256G的背板带宽和 286Mpps/143Mpps的二 /三
层包转发速率可为用户提供高速无阻塞的交换,强
大的交换路由功能、安全智能技术可同锐捷各系列
交换机配合,为用户提供完整的端到端解决方案,
是大型网络核心骨干交换机的理想选择。
2 方案产品
6) RG-WSG108R高速无线局域网宽带路由器
RG-WSG108R是锐捷网络推出的 108Mbps高速无
线局域网宽带路由器产品,采用业内最新的第二代
802.11g多模式高速芯片组,在支持当前主流的无
线局域网标准的基础上,率先推出基于 108Mbps的
高速通道传输技术,同时,内建的高速加密引擎支
持所有 TKIP及 AES协议且不会出现性能衰减。 RG-
WSG108R在提供高速无线通信的同时,为用户提供
了共享以太网络资源的宽带路由功能,方便用户在
小型办公区域、家庭、公众运营网络等场合快速构
建高速、共享的无线与有线的融合网络。外观小巧
美观,可壁挂或放置于桌面,即插即用,是用户组
建高速无线局域网络的最佳选择。
2 方案产品
7) RG-WALL 1000千兆防火墙 /VPN网关
RG-WALL系列采用锐捷网络独创的分类算法
( Classification Algorithm)设计的新一代安全产品 —
— 第三类防火墙,支持扩展的状态检测( Stateful
Inspection)技术,具备高性能的网络传输功能;同时在
启用动态端口应用程序 (如 VoIP,H323等 )时,可提供强有
力的安全信道。采用锐捷独创的分类算法使得 RG-WALL产品
的高速性能不受策略数和会话数多少的影响,产品安装前
后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所
有数据包的接收、分类、转发工作,因此不会成为网络流
量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击
并且提供解决措施,且入侵监测功能不会影响防火墙的性
能。 RG-WALL的主要功能包括:扩展的状态检测功能、防范
入侵及其它(如 URL过滤,HTTP透明代理,SMTP代理、分离
DNS,NAT功能和审计 /报告等)附加功能。
2 方案产品
8) STAR-VIEW网络管理系统
StarView网络管理系统是一套基于 Windows平台的高
度集成、功能完善、实用性强、方便易用的全中文用户界
面的网络级网络管理系统。它是由锐捷网络自主开发的软
件产品。 StarView管理系统能提供整个网络的拓扑结构,
能对以太网络中的任何通用 IP设备,SNMP管理型设备进行
管理,结合管理设备所支持的 SNMP管理,Telnet管理,Web
管理,RMON管理等构成一个功能齐全的网络管理解决方案,
实现从网络级到设备级的全方位的网络管理。 StarView可
以对整个网络上的网络设备进行集中式的配置、监视和控
制,自动检测网络拓扑结构,监视和控制网段和端口,以
及进行网络流量的统计和错误统计,网络设备事件的自动
收集和管理等一系列综合而详尽的管理和监测。通过对网
络的全面监控,网络管理员可以重构网络结构,使网络达
到最佳效果。
2 方案产品
9) RG-SAM 安全计费管理系统
锐捷网络 RG-SAM系统是一套以实现网络运营为
基础,增强全局安全为中心,提高管理效率为准则
的可灵活扩展的安全计费管理系统。 RG-SAM支持
IEEE802.1x,Radius,EAP,CHAP等多种协议标准,
与其他厂商支持相应标准的产品兼容,结合锐捷网
络安全交换机提供更加丰富的功能。以 RG-SAM为核
心软件的, 高安全、可运营、易管理, 的第二代校
园网解决方案 SAMII,为用户提供了校园网建设的
最佳选择,能够带来最优的用户体验。
10.4 中小企业网络解决方案
10.4 中小企业网络解决方案
? 该方案特点的特点
1)全网智能管理
– 采用当今, 千兆骨干,百兆接入, 的流行架构
2)网络安全性能优
– 端口镜像功能
– MAC地址过滤,动态地址锁和端口安全功能
3)优化网络性能
– 端口广播风暴动态抑制
– VLAN限制广播风暴
– VLAN间实现无阻塞数据交换
4)加速网上冲浪
– RG-NBR200电信级宽带路由器
10.1 网络方案设计内容
10.2 网络总体设计
10.3 中小企业网络解决方案
10.1 网络方案设计内容
1,用户需求分析与建网目标
2,建网原则
3,网络总体设计
4,综合布线系统
5,设备选型
6,系统软件
7,应用系统
8,工程实施步骤
9,培训方案
10.,测试与验收
10.1 网络方案设计内容
1.用户需求分析与建网目标
( 1) 了解企业用户的现状
( 2) 弄清用户的目的
( 3) 掌握资金投入的额度
( 4) 了解企业用户环境
( 5) 确定企业用户的数据流管理架构
10.1 网络方案设计内容
2 建网原则
(1) 标准化及规范化
(2) 先进性
(3) 扩充性
(4) 可靠性
(5) 安全性
(6) 可管理性及可维护性
(7) 实用性
(8) 灵活性
(9) 经济性
10.2 网络总体设计
10.2.1 局域网技术选型
10.2.2 网络拓扑结构设计
大型网络的设计通常是从中心开始把计算机网络划分
为核心层, 汇聚层和接入层 ( 见图 1-1), 每层完成的功能
不一样, 各有其特点, 应根据不同层次用不同的要求设计
网络, 网络的层次化设计有以下优点:
1 结构简单 。 通过将网络分成许多小单元, 降低了网
络的整体复杂性, 使故障排除或扩展更容易, 能隔离广播
风暴的传播, 防止路由循环等潜在问题 。
2 升级灵活 。 网络容易升级到最新的技术,升级任意层
的网络不会对其他层次造成影响, 无须改变整个环境 。
3 易于管理。层次结构降低了设备配置的复杂性,使
网络更容易管理。
10.2 网络总体设计
10.2.2 网络拓扑结构设计
核心层的任务是为其他两层提供优化的数据传输功能 。
核心层由一个高速的骨干网组成, 其作用是尽可能快地交
换数据包 。 由于核心层对网络互连是至关重要的, 因此一
般要采用 冗余组件 来设计核心层 。 核心层应具有高可靠性,
并且应能快速适应网络的变化 。 核心层不应卷入到对具体
的数据包的运算中去 ( 如过滤等 ), 否则会降低数据包的
交换速度 。 核心层的主干交换机一般采用最快速率的链路
连接技术, 在 与汇聚层交换机相连时要考虑采用建立在生
成树基础上的多链路冗余连接, 以保证与核心层交换机之
间存在 备份连接和负载均衡, 完成高带宽, 大容量网络层
路由交换功能 。 这样当交换机之间的线路出现故障时, 传
输的数据会快速自动切换到另外一线路上进行传输, 不影
响网络系统的正常工作 。
10.2 网络总体设计
10.2.2 网络拓扑结构设计
汇聚层是网络核心层与接入层的分界点, 它扮演了许
多角色, 包括对资源的控制访问, 可以 配置为 VLAN之间连
接的路由, 汇总接入层的路由 。 设计时可根据网络规模和
应用情况考虑汇聚层与核心层有冗余的链路 。 汇聚层设计
需 支持网络的高接口密度, 高性能, 高可用性等特性, 应
该与服务质量 ( QoS) 机制, 智能应用技术以及安全性设计
结合在一起 。 用户可以通过汇聚层高效地利用其接入层网
络, 增加终端业务 ( 如多点广播, 语音和视频应用, ERP应
用等 ), 而不影响网络性能 。 汇聚层交换机和接入层交换
机之间可以利用全双工技术和高传输率网络互联, 保证分
支主干无带宽瓶颈 。 汇聚层的设计要满足核心层, 汇聚层
交换机和服务器集合环境对千兆端口密度, 可扩展性, 高
可用性以及多层交换的不断增长的需求, 支持大用户量,
多媒体信息传输等应用 。
10.2 网络总体设计
10.2.2 网络拓扑结构设计
接入层的主要目标是为最终用户提供对网络访
问的途径, 提供了 带宽共享, 交换带宽, MAC层过
滤, 网段划分等功能 。 本层也可以提供访问列表过
滤等操作 。 接入层设计时可考虑采用 可网管, 可堆
叠的以太网交换机作为网络的接入级交换机, 以适
应高端口密度的部门级大中型网络 。 交换机的普通
端口直接与用户计算机相连, 高速端口用于上连高
速率的汇聚层的交换机, 用以有效地缓解网络骨干
的瓶颈 。
10.2 网络总体设计
10.2.3 地址分配与聚合设计
1 IP地址的划分原则如下:
? 唯一性,IP地址必须唯一, 一个 IP地址对应一台数据通讯
设备;
? 连续性:为同一网络区域分配连续的网络地址, 便于规划,
同时提高路由器寻径效率;
? 可扩充性:分配地址应预留一定量的备用地址块, 以便网
络节点增加后能保持地址的连续性;
? 可管理性:地址的分配应该有层次性, 某个局部的变动不
影响网络的其它部分;
? 高效性:可采用可变长子网掩码技术;
? 可汇聚性:网络地址的分配应有利于路由表汇聚;
10.2 网络总体设计
10.2.3 地址分配与聚合设计
2 IP地址的划分方法如下,
? 自顶向下地址规划
? 公有地址, 私有地址的结合使用
? 动态分配地址可以有效地管理用户的地址
? 混合地址分配方案
10.2.4 Internet接入设计
10.2 网络总体设计
10.2.5 网络性能设计
10.2 网络总体设计
10.2.6 网络可靠性和冗余设计
网络系统的可靠性主要有三方面:抗毁性、生存性和
有效性。
抗毁性是指系统在人为破坏下的可靠性 。 比如部分线
路或节点失效后, 系统是否仍然能够提供一定程度的服务 。
增强抗毁性可以有效地避免因各种灾害 ( 战争, 地震等 )
造成的大面积瘫痪事件 。
生存性是在随机破坏下系统的可靠性 。 生存性主要反
映随机性破坏和网络拓扑结构对系统可靠性的影响 。 这里,
随机性破坏是指系统部件因为自然老化等造成的自然失效 。
有效性是一种基于业务性能的可靠性。有效性主要反
映在网络信息系统的部件失效的情况下,满足业务性能要
求的程度。比如,网络部件失效虽然没有引起连接性故障,
但是却造成质量指标下降、平均延时增加、线路阻塞等现
象。
10.2 网络总体设计
10.2.6 网络可靠性和冗余设计
? 构建网络系统的备份体系,设计冗余部件 。
? 硬件容错、软件容错和线路容错设计
? 运行环境备份, 业务数据备份、备份策略和
恢复方案。
10.2 网络总体设计
2 冗余设计
1)硬件容余
2)软件容错
3)网络结构和线路冗余
高校图书馆冗余网络拓扑结构
10.2 网络总体设计
网络采用了两台锐捷网络的 RS-S6800系列 ( RS-S6806或 RS-
S6810) 的 10GE交换机作为网络的核心层, 实现设备冗余, 交换机之
间采用链路聚合技术相连, 两交换机间既互为备份, 又可均衡负载,
从而保证了核心层的任一台交换机出现故障都不会影响网络的运行 。
电子阅览终端查询和行政办公区的汇聚层交换机 ( 分别为 STAR-
S4909和 STAR-S3550-12G) 使用两条千兆位链路分别上连两台中心
交换机 RS-S6800,建立两条逻辑链路 。 通过配置生成树协议指定一条
链路工作, 另外一条千兆位链路将自动成为备份链路, 实现链路冗余 。
服务器是网络应用的核心, 即使所建网络的结构达到相当高的可靠
程度, 如果服务器采用一条线路接入, 网络依然可能出现单点故障,
对用户来说依然没有可靠性可主 。 解决方法是在服务器上安装两块千
兆位服务器网卡, 分别连接两台核心交换机, 利用网卡容错技术实现
两块网卡间的容错 。 当主网卡或网卡所连的交换机发生故障时, 服务
器会立刻将该网卡上的流量转移到备份网卡上 。
通过以上 3个方面, 可以看到该方案能够做到任何一台中心交换机的
故障不会导致整个网络瘫痪, 提供了最快速的故障恢复方案, 增强了
网络的容错能力, 提高了网络的可靠性 。
10.2 网络总体设计
10.2.7 网络安全性设计
? 物理安全
? 在链路层, 通过 "桥 "这一互连设备的监视和控制作用, 使我们可以建
立一定程度的虚拟局域网, 对物理和逻辑网段进行有效的分割和隔离,
消除不同安全级别逻辑网段间的窃听可能 。
? 在网络层, 可通过对不同子网的定义和对路由器的路由表控制来限制
子网间的接点通信, 通过对主机路由表的控制来控制与之直接通信的
节点 。 同时, 利用网关的安全控制能力, 可以限制节点的通信, 应用
服务, 并加强外部用户识别和验证能力 。 对网络进行级别划分与控制,
网络级别的划分大致包括 Internet/企业网, 骨干网 /区域网, 区域网 /部
门网, 部门网 /工作组网等, 其中 Internet/企业网的接口要采用专用防
火墙, 骨干网 /区域网, 区域网 /部门网的接口利用路由器的可控路由表,
安全邮件服务器, 安全拨号验证服务器和安全级别较高的操作系统 。
增强网络互连的分割和过滤控制, 也可以大大提高安全保密性 。
10.2 网络总体设计
10.2.7 网络安全性设计
? 安全设计主要遵循以下原则:通过身份验证实现网络安全
访问;通过网络隔离与控制实现边界安全;通过数据的保
密性和完整性实现网络传输安全;通过网络流量监控实现
安全监测;用策略管理实现网络综合管理 。
? 网络安全设计时应该从系统 ( 主机, 服务器 ) 安全, 系统
与网络的安全检测, 访问控制, 人侵检测 ( 监控 ), 审计
分析, 反病毒, 网络运行安全备份与恢复应急措施等几方
面考虑 。
10.3 高校校园网解决方案
10.3.1 高校校园网建设的目标和需求
1)、安全的需求
2)、运营的需求
3)、管理的需求
4)、性能的需求
5)、高智能的考虑
6)、接入方式的考虑
10.3 高校校园网解决方案
10.3.2 校园网网络设计
高校校园网采用核心层、汇聚层和接入层三级星形网
络结构,核心层采用 10Gbps或 1Gbps交换技术,汇聚层采
用 1Gbps或 100Mbps交换技术,接入层采用 100Mbps或
10Mbps交换技术。校园内采用综合布线系统,楼宇间根据
距离采用单模或多模光纤,楼宇内采用多模光纤与双绞线
混合布线方式,双绞线可根据通信情况和单位的经济实力
选择 5e类或 6类双绞线电缆。网络设备应该选择高技术性能
和高可靠性的主流产品,适应今后不断升级和扩展的需求。
根据应用需求,建立对内对外服务的服务器群组。根据网
络管理和安全管理的需求将网络划分为不同的 VLAN,在
核心层和汇聚层对网络设备和通信链路作必要的冗余设计,
选择适当的防火墙、网管平台、认证记费平台等。
10.3 高校校园网解决方案
10.3.3 锐捷网络高校校园网解决方案
1 方案特点
? 高安全
1),安全认证到桌面 。 采用六元素的自动绑定, 静态
绑定, 动态绑定相结合, 可以确保用户入网时身份
唯一, 并且避免了 IP冲突 。
2),管理分级授权 。 不同职能的管理者使用同一套系
统时可以得到不同的操作界面以及使用权限, 避免
了管理的安全隐患 。
3),控制网络病毒 。 统一对接入层交换机做动态
下发安全策略, 轻松有效的控制网络病毒, 使网络
保持畅通 。
4)、抵御网络攻击。结合网络攻击的检测系统,
能够抵御日益增多的内部网络攻击,并且自动对用
户做出相应的控制动作,保证网络安全。
1 方案特点
? 可运营
1),贴切校园的运营模式 。 结合校园的实际运营, 在
原有电信策略的基础上, 开发出最为贴切校园的运
营模式, 最大程度上解决收费和缴费的矛盾 。
2),丰富的营帐及帐务功能 。 保证管理者可以随时获
得运营所需要的记录以及统计信息, 从而给运营提
供足够的数据支撑 。
3),完善的自助服务系统 。 能够让用户方便的对自
身帐号的信息以及帐务情况自助查询, 并对部分信
息做操作, 极大减轻了管理者的运营负担
1 方案特点
? 易管理
1),全网设备统一管理 。 全网拓扑发现以及对事
件, 性能, 日志的统一管理, 可以方便的对全网设
备统一管理 。
2),AGTS的用户管理模式 。 将大量的信息转化为
少量的信息做对应, 可以在设置的时候使用最少量
的对应关系, 从而大大提高用户管理的效率 。
3),接入时段管理 。 通过对日常, 周末以及节日
的一次性设置, 轻松灵活管理用户能够使用网络的
时段, 提高用户管理的力度 。
4),自动升级客户端 。 通过统一的一次性配置,
使得所有用户的客户端自动进行升级, 大大简化了
管理者及使用者的负担, 使得上网更为轻松 。
1 方案特点
? 高性能
1),整网采用万兆核心, 千兆干线, 百兆到桌面的设计
理念 。 高吞吐量, 线速转发的核心路由器和三层交换机,
所有关键器件的冗余, 包括主控板, 交换网板, 电源等,
支持板件的热插拔技术, 保证了网络的高效运转 。
2),领先的 SPOH结构设计, 基于硬件的同步式数据交换
技术 。 针对不同数据行为对端口依赖性的不同而采用各自
不同的处理方式来最大限度地提升整机处理能力 。
3),针对 ACL,QOS等针对单独端口的数据行为, 通过为
ASIC 芯 片 各 端 口 增 加 独 立 的 FFP 模块
( fast filter processor) 进行硬件处理, 各端口可以同
步地进行硬件处理 。
4),L2/L3/组播等涉及不同端口之间数据处理行为, 通
过存放在线卡 ASIC芯片的统一硬件查表项对所有端口进行
统一处理, 提供数据在不同端口之间的线速转发
1 方案特点
? 端到端 QOS
1), 从接入层交换机到核心设备, 全面覆盖端口速
率限制, 应用流分类识别, 关键业务流量带宽保证
等多层交换质量保证 。
2)、基于交换机时间、物理端口,MAC地址,IP地
址,TCP/UDP端口号的应用流分类识别和带宽限速
机制,完成了高校全网端到端的 QOS保证。
2 方案产品
1) RG-S2126G/2150G 安全智能交换机
STAR-S2126G/S2150G是两款全线速可堆叠的安
全智能交换机,在提供智能的流分类、完善的服务
质量( QoS)和组播应用管理特性同时,并可以根
据网络实际使用环境,实施灵活多样的安全控制策
略,可有效防止和控制病毒传播和网络攻击,控制
非法用户使用网络,保证合法用户合理使用网络资
源,充分保障网络安全和网络合理化使用和运营
2 方案产品
2) STAR-S3550-24安全智能多层交换机
STAR-S3550-24/S3550-48是两款全线速安全智
能多层交换机,该交换机硬件支持多层交换,提供
二到七层的智能的流分类和完善的服务质量( QoS)
以及组播管理特性,支持完善的路由协议,并可以
根据网络实际使用环境,实施灵活多样的安全控制
策略,可有效防止和控制病毒传播和网络攻击,控
制非法用户使用网络,保证合法用户合理使用网络
资源,充分保障网络安全和网络合理化使用和运营
2 方案产品
3) STAR-S4909全模块化骨干路由交换机
STAR-S4909是全模块化的核心路由交换机,丰
富的扩展模块支持灵活构建弹性可扩展的网络。
S4909支持基于 IP的运营管理、安全控制、认证计
费等各种策略,提供完备的业务控制和用户管理能
力,是大中型网络核心交换机的理想选择。
2 方案产品
4) RG-S6506 全模块化骨干多层交换机
RG-S6506是锐捷网络推出的全模块化骨干路由
交换机,拥有 6个模块扩展槽,提供管理模块冗余,
支持千兆和百兆模块线速转发,可以根据用户的需
求灵活配置,构建弹性可扩展的现代 IP网络。
2 方案产品
5) RG-S6806/6810万兆核心路由交换机
RG-S6800系列是全模块化、高密度端口的锐捷
万兆核心路由交换机,目前提供 10竖插槽设计和 6
横插槽设计两种主机,RG-S6810和 RG-S6806。多种
模块可以根据用户的需求灵活配置,灵活构建弹性
可扩展的网络。 RG-S6800系列交换机高达
512G/256G的背板带宽和 286Mpps/143Mpps的二 /三
层包转发速率可为用户提供高速无阻塞的交换,强
大的交换路由功能、安全智能技术可同锐捷各系列
交换机配合,为用户提供完整的端到端解决方案,
是大型网络核心骨干交换机的理想选择。
2 方案产品
6) RG-WSG108R高速无线局域网宽带路由器
RG-WSG108R是锐捷网络推出的 108Mbps高速无
线局域网宽带路由器产品,采用业内最新的第二代
802.11g多模式高速芯片组,在支持当前主流的无
线局域网标准的基础上,率先推出基于 108Mbps的
高速通道传输技术,同时,内建的高速加密引擎支
持所有 TKIP及 AES协议且不会出现性能衰减。 RG-
WSG108R在提供高速无线通信的同时,为用户提供
了共享以太网络资源的宽带路由功能,方便用户在
小型办公区域、家庭、公众运营网络等场合快速构
建高速、共享的无线与有线的融合网络。外观小巧
美观,可壁挂或放置于桌面,即插即用,是用户组
建高速无线局域网络的最佳选择。
2 方案产品
7) RG-WALL 1000千兆防火墙 /VPN网关
RG-WALL系列采用锐捷网络独创的分类算法
( Classification Algorithm)设计的新一代安全产品 —
— 第三类防火墙,支持扩展的状态检测( Stateful
Inspection)技术,具备高性能的网络传输功能;同时在
启用动态端口应用程序 (如 VoIP,H323等 )时,可提供强有
力的安全信道。采用锐捷独创的分类算法使得 RG-WALL产品
的高速性能不受策略数和会话数多少的影响,产品安装前
后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所
有数据包的接收、分类、转发工作,因此不会成为网络流
量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击
并且提供解决措施,且入侵监测功能不会影响防火墙的性
能。 RG-WALL的主要功能包括:扩展的状态检测功能、防范
入侵及其它(如 URL过滤,HTTP透明代理,SMTP代理、分离
DNS,NAT功能和审计 /报告等)附加功能。
2 方案产品
8) STAR-VIEW网络管理系统
StarView网络管理系统是一套基于 Windows平台的高
度集成、功能完善、实用性强、方便易用的全中文用户界
面的网络级网络管理系统。它是由锐捷网络自主开发的软
件产品。 StarView管理系统能提供整个网络的拓扑结构,
能对以太网络中的任何通用 IP设备,SNMP管理型设备进行
管理,结合管理设备所支持的 SNMP管理,Telnet管理,Web
管理,RMON管理等构成一个功能齐全的网络管理解决方案,
实现从网络级到设备级的全方位的网络管理。 StarView可
以对整个网络上的网络设备进行集中式的配置、监视和控
制,自动检测网络拓扑结构,监视和控制网段和端口,以
及进行网络流量的统计和错误统计,网络设备事件的自动
收集和管理等一系列综合而详尽的管理和监测。通过对网
络的全面监控,网络管理员可以重构网络结构,使网络达
到最佳效果。
2 方案产品
9) RG-SAM 安全计费管理系统
锐捷网络 RG-SAM系统是一套以实现网络运营为
基础,增强全局安全为中心,提高管理效率为准则
的可灵活扩展的安全计费管理系统。 RG-SAM支持
IEEE802.1x,Radius,EAP,CHAP等多种协议标准,
与其他厂商支持相应标准的产品兼容,结合锐捷网
络安全交换机提供更加丰富的功能。以 RG-SAM为核
心软件的, 高安全、可运营、易管理, 的第二代校
园网解决方案 SAMII,为用户提供了校园网建设的
最佳选择,能够带来最优的用户体验。
10.4 中小企业网络解决方案
10.4 中小企业网络解决方案
? 该方案特点的特点
1)全网智能管理
– 采用当今, 千兆骨干,百兆接入, 的流行架构
2)网络安全性能优
– 端口镜像功能
– MAC地址过滤,动态地址锁和端口安全功能
3)优化网络性能
– 端口广播风暴动态抑制
– VLAN限制广播风暴
– VLAN间实现无阻塞数据交换
4)加速网上冲浪
– RG-NBR200电信级宽带路由器
