网络工程设计方案Word格式.docx
《网络工程设计方案Word格式.docx》由会员分享,可在线阅读,更多相关《网络工程设计方案Word格式.docx(42页珍藏版)》请在冰豆网上搜索。
规范性原则:
提供的技术产品应采用下列国家或组织的技术标准和规范
GB:
中华人民共和国国家标准
ISO:
国际标准组织
ITU-T:
国际电信联盟
IEEE:
国际电气与电子工程师协会
EIA:
电气工业协会
IEC:
国际电工协会
CERNET:
中国教育和科研教育网
1.3校园网网络需求
1网络的应用
1、信息的共享。
(包括教学、科研、教师、学生等信息的处理和共享。
)
2、教学管理、图书管理、人事管理、学籍管理系统及计费系统的应用。
3、办公自动化。
4、多媒体教学、远程教学。
5、电视直播和VOD视频点播系统。
6、Intranet以及Internet技术应用。
2校园网络主干
1、校园网络主要涉及40栋大楼:
网络中心设在大楼1。
2、集团共20个部门,分别在A、B、C、D楼各5各,每个部门用户数在100个左右。
1.主干采用千兆以太网,到桌面10/100兆自适应连接;
2.接入交换机至大楼交换机之间采用1000M互连;
3.大楼交换机至核心交换机之间采用10G互联;
4.通过中心路由器连接到教育科研网CERNET和其他公共网络,实现与INTERNET的互联。
5.内部网络采用Intranet应用模式架构整个应用信息系统
6.骨干网技术要求
1)满足对多媒体数据的要求,避免主干网络瓶颈的出现;
2)提供子网划分、虚拟网技术和能力,解决内部网络的路由,实现较高的内部路由性能;
3)具有高可靠性;
4)保证传输的服务质量,提供必要的服务质量(QOS)、服务级别(COS)和服务类型(TOS)等;
5)主干交换机的背叛交换容量不小于50G;
6)高性能价格比。
7.布线系统技术要求
1)布线系统全部采用符合国家标准或国际标准的产品进行完全的结构化布线;
2)在较好性能价格比的情况下,布线的标准适当超前,整个系统应提供15年以上的质量保证;
3)楼宇之间根据距离远近采用多模(MMF)或单模(SMF)光纤,大楼内部采用5类双绞线
8.网络管理技术要求
1)基于开放的校园网系统,应当支持集成化的SNMP及CMIP应用,能够全面管理TCP/IP网络设备,并且提供面向目标的图形管理接口和API编程接口;
2)网络管理员可以通过网络管理工作站,借助图形化的界面,可以对网络上的设备进行监控和集中式管理,只要对网络软件进行配置,不必到现场进行实际操作,就能重新构造网络;
3)提供方便、安全、可靠的故障和维护管理、安全管理、性能管理、统计管理、计费管理等基本管理功能。
9.系统安全控制技术要求
1)Internet的安全控制应提供地址转换、被动监厅、端口扫描和否认服务等机制、,同时划分不同级别的安全区域;
2)远程访问的安全控制应提供访问服务器的用户身份认证、用户授权及用户记账/审计等功能;
3)应提供对整个网络和工作站进行侦独、解毒和清毒等工作,防范计算机病毒。
3网络流量
学校现有师生15000人,以后用户还会增多,并有多个计算机局域网,初步估计上网高峰时约有20000台计算机需同时使用集团网络。
另外还考虑到视频会议以及文件服务得需求所以设计计算机网络系统应充分考虑每个用户的带宽和系统的响应时间。
其计算机网络的建设应达到:
网络传输速度高,不能有信息传输瓶颈,信息处理效率高,系统响应时间短,每个用户都有较高的带宽。
1.4技术方案综述
通过对集团网络建设项目系统现状和对整个网络系统建设需求的了解,以万兆主干网络为基础平台,以集团网应用为主线,以实现办公自动化、资源共享、实时新闻发布、
财务电算化和集中式的供应链管理系统和客户服务关系管理系统为目的,我公司推荐如下主要技术方案:
采用锐捷网络公司的交换机产品来构造集团内部网络:
网络核心交换机采用RG-S8600系列高密度多业务IPV6核心路由交换机;
大楼汇聚交换机采用RG-S5750系列安全智能万兆多层交换机;
接入交换机采用STAR-S2024E千兆增强网管交换机。
第二章网络系统设计
2.1网络的设计原则
根据本系统的网络建设需求和对网络需求的分析,成都东软信息技术学院区校园网系统应遵循以下建网原则:
(1)采用先进的网络技术:
主要是在网络主干技术的选型上,既要能够满足当前学校教学、科研和办公应用系统的需要,又能够满足多媒体系统对多媒体传输的需求;
(2)实用性:
本网络方案设计保证网络的实用性,并在性能接近情况下,使网络结构尽可能简洁。
(3)良好的网络可靠性:
主要体现在网络主干和网络主干交换机配置上能够避免单点故障,在关键的部分有冗余;
(4)良好的网络可用性:
在网络交换机的功能和性能方面,网络配置应尽量减少网络瓶颈,提供先进的交换机和高性能的路由配置;
(5)良好的网络可扩展性:
在网络带宽的扩展和交换端口数量的扩展方面,具有比较大的灵活性;
在网络技术的升级方面,遵循网络工业标准;
(6)良好的网络安全性:
能够在网络系统中集成防火墙功能;
(7)虚拟网:
能够提供基于不同规则的虚拟网划分手段;
(8)良好的网络可管理性和操作方便性;
(9)经济性:
本网络方案提供性能价格比高,并综合考虑到设备价格变化、设备升级扩展等因素;
2.2技术简介
2.21千兆以太网技术
千兆以太网目前正处于强劲势头,并且已被确认为IEEE802.3z标准。
千兆以太网在保持快速以太网CSMA/CD基本结构的同时,提供1000M带宽和优先级的支持,基本上兼容广泛使用的交换以太网,同时具备一定的服务质量和服务类别(Qos/Cos)能力,具有平滑的升级特性和优异的传输性能。
千兆以太网提供1000Mbps的原始带宽,并与现在广泛使用的10/100Mbps以太网标准兼容,在提供10倍于快速以太网的性能的同时价格却远低于其的10倍,显著提高了系统的性能价格比。
部分千兆以太网产品已经部分支持了Qos/Cos,并且提供了很大的带宽,拥有传输声音、图象、多媒体数据等的能力。
虽然其QoS的稳定性不如ATM,但其低价格和易使用性则优于ATM技术。
千兆以太网补充了ATM等现有的解决方案,提供了另一条增强交换式快速以太网或FDDI主干网,改善交换机与交换机之间和交换机与服务器之间连接的可靠性、经济性的途径。
随着千兆以太网主干带宽的大幅度提高,已经不堪重负的传统路由器无法再提供有效的路由服务,因此选择基于ASIC技术的新一代高功能、高性能、高处理能力的第三层路由交换机,为用户的业务应用提供了有效、经济的解决手段。
千兆技术具有以下特点:
(1)千兆位以太网将提供完美无缺的迁移途径,充分保护在现有网络基础设施上的投资。
千兆位以太网补充了ATM等现有的解决方案,提供了另一条增强交换式快速以太网或FDDI主干网并改善交换机与交换机之间和交换机与服务器之间连接的可靠、经济的途径。
网络设计人员将能够建立有效使用高速、关键任务的应用程序和文件备份的高速基础设施。
网络管理人员将为用户提供对服务器区、Intranet以及Internet与广域网的更快速的访问。
(2)在以太网网络的演进过程中,千兆位以太网的一个合乎逻辑的跃进是,如它的前几代产品所做的那样,承诺将经济、高效地满足当今的网络需求。
与快速以太网在Internet上所提供的10倍的加速类似,千兆位以太网正被设计用来为网管员提供更高的性能,同时保留现有的网络基础设施。
(3)提供更高性能和可扩展性的千兆位以太网将适用于任何规模的通用局域网。
这种技术将显著提高用户所获得的用以访问服务器和应用程序的带宽。
当一个主干网被升级至千兆位的通信处理能力时,网络便能够既不降低性能,又显著地增加它所支持的网段和节点数量。
2.22万兆以太网技术
万兆以太网是以太网世界的最新技术,它不仅速度比千兆以太网提高了十倍,在应用范围上也得到了更多的扩展。
万兆以太网不仅适合所有传统局域网的应用场合,更能延伸到传统以太网技术受到限制的城域网和广域网范围。
万兆以太网能和DWDM传输网无缝兼容,将以太网通信延伸到没有距离限制的全球范围。
在万兆以太网标准化过程中,IEEE和10GEA(万兆以太网联盟)是两个最重要的组织。
IEEE是负责制定万兆以太网标准的机构,已在2002年6月发布了万兆以太网标准IEEE802.3ae。
10GEA则是由业界领先的设备厂商组成的行业技术联盟,致力于万兆以太网的标准化和互操作性,以及推动万兆以太网在全球的应用等方面的工作。
IEEE802.3ae万兆以太网标准主要包括以下内容:
兼容802.3标准中定义的最小和最大以太网帧长度;
仅支持全双工方式;
使用点对点链路和结构化布线组建星形物理结构的局域网;
支持802.3ad链路汇聚协议;
在MAC/PLS服务接口上实现10Gbps的速度;
定义两种PHY(物理层规范),即局域网PHY和广域网PHY;
定义将MAC/PLS的数据传送速率对应到广域网PHY数据传送速率的适配机制;
定义支持特定物理介质相关接口(PMD)的物理层规范,包括多模光纤和单模光纤以及相应传送距离;
支持ISO/IEC11801第二版中定义的光纤介质类型等等。
万兆以太网的四种物理层PHY类型包括SerialLANPHY、SerialWANPHY、4-LaneLANPHY与4-LaneWANPHY以及万兆以太网介质关联层(PMD)接口类型。
上表列举了万兆以太网PHY、PMD与光纤类型和最大传输距离的关系。
使用850nm新型的高带多模光纤(HDMMF),可以支持到最远300米的传输长度
IEEE在制定802.3ae后,现正在着手万兆以太网在铜线上传送标准的研究和制定。
2002年11月成立了两个研究铜线万兆以太网的组织,一个组织研究在Cat5e或Cat6双绞线上的10GBaseT;
另一个组织正在研究用4对同轴电缆实现万兆以太网的方法。
负责制定短程铜缆万兆(10GBase-CX4)以太网规范的IEEE802.3ak工程任务组,目前已进入到草案4.2版的审议工作,下一步的草案版本将变成5.0,然后将进入投票阶段。
IEEE预计802.3ak标准明年有望颁布实施。
802.3ak标准一旦确立,企业和服务商将可拥有昂贵的光纤万兆以太网的替代技术。
现在有一些芯片厂商和交换机厂商正在研发铜线万兆以太网的产品,如Solarflare通信公司和Broadcom公司等芯片厂商正在开发基于铜线的万兆以太网芯片,一些厂商计划在今年年底之前推出基于铜线的万兆以太网模块。
综合以上,千兆/万兆以太网的优势在于:
1)支持多种通信类型的综合;
2)为LAN、WAN的无缝连接提供单一的、公共的、简化的、统一的结构;
3)多种服务质量(QoS)类型支持;
4)可保证的带宽和资源分配;
5)千兆技术发展很快,已有大量成功的实例。
2.23VLAN技术
VLAN是交换环境中为了克服网络物理分段的限制而建立的逻辑网络段。
VLAN在物理网络的基础上,能根据需要灵活的划出许多逻辑网络,从而摆脱了建筑物、楼层、地址空间等物理地域限制,以及因为位于布线柜或路由器地理位置的固定而造成的对用户组的限制,能根据用户实际需要灵活地建立逻辑的专用网络,使网络更安全,更便于管理,更畅通和带宽更有保证。
VLAN技术为网络设计带来了实质性变化:
1)碰撞域缩小,广播隔离;
2)交换端口智能化;
3)物理边界不复存在;
4)用户按逻辑关系分组;
5)更有力地控制带宽,有在链路拥护时配置和重新分配流量;
6)简化了用户移动时配置和重新布线的过程;
7)集中式管理,提供关于流量和广播状态的详细报告以及VLAN组大小和组成的统计数据;
8)用于跨VLAN通讯的路由功能等。
VLAN的主要技术特点包括:
1.VLAN有基于网络协议类型、网络交换机端口、网络链路层地址和网络层地址定义等多种形式:
1)基于网络协议的VLAN
基于网络协议的VLAN主要有跨越快速以太网主干的ISL、跨越FDDI的802.10和跨越ATM的LANE。
这些协议可在那些与快速以太网、FDDI、ATM主干网相连接的交换机、路由器和服务器之间传送配置后的VLAN信息。
2)基于网络交换机端口的VLAN
基于交换机端口的VLAN是大多数网络交换机厂家都能提供性能。
依据端口草分网络成员关系,扩大了交换机的传输性能,便于通过GUI进行管理和网络控制,能确保数据包不会漏入其它区域增强了VLAN之间的安全性。
3)基于网络链路层地址的VLAN
基于链路层(第二层)地址的VLAN,是依据MAC地址划分网络中的成员关系,能把VLAN划分的更细、更灵活,但是增加一些开销。
它是在OSI第2层上的VLAN分段采用了一种包标识处理(包标志)。
数据包在经过整个交换网络时都携带这一标识。
从而使得唯一标识的数据包从每一个交换端口到VLAN组的处理具有极小的时延。
这种方法不需要对终端站应用进行任何修改。
可以直接进行配置和管理,并可对现有的LAN介质类型和千兆骨干网进行扩展。
当交换机接收到来自任何相连终端站设备的数据包后,在每个包头部都会加上一个唯一的包标识符。
该头部信息指定了每个包的VLAN属性(即属于哪一个VLAN)。
然后,根据VLAN标识符与MAC地址,将数据包传递给相应交换机和路由器,在到达最终日的站点时,数据包在相邻的交换机中去除头部信息,并以原来的形式传递至相连的设备。
这种方法为在不干扰网络和应用的情况下控制广播和应用的信息流动提供了一种强有力的机制。
目前,绝大多数网络设备厂商还不能提供基于网络层地址定义的VLAN。
4)基于网络层地址定义的VLAN
基于网络层的VLAN通过基于协议类型和网络地址的分段,可在网络层(第3层)上得到进一步定义。
这种类型的VLAN分段需要子网地址与VLAN组映射。
交换机将终端站的MAC地址和基于子网地址的对应VLAN连接起来,同时选定在同一VLAN中的其它站的相应网络端口。
这种方法的优点在于网络管理员可根据每个包中的网络层信息对网络进行分段。
这种VLAN也是大多数厂商不能支持的。
2.VLAN之间的通信
VLAN之间的通信需要第3层的路由选择。
如果没有这个功能,VLAN将完全是相互独立的。
在今天的几乎所有网络中,无论所处地点或逻辑网段如何,访问网络所有部分的能力是至关重要的。
这就要求在一个交换机或路由器中跨主干网进行第3层。
这样,在设计配置和管理VLAN时,第3层路由选择就成为一个必不可少的组成部分。
3.VLAN的负载分布功能
VLAN的负载分布功能对局域网来说是十分重要的。
能够在两个流量密集的交换机间分布流量负载,同时又能保持这些链路完全冗余性,这对于需要在两个或一系列互连的交换机间进行大带宽通信的网管员来说是一个非常有效的机制。
将用户和流量分布在不同的VLAN中,网管员可以在交换机间添加冗余链路,并利用这些链路来分布流量。
在没布VLAN组的情况下,两交换机间的冗余链路(重复路径)并不能被交换机充分利用,这是因为生成树技术仅允许一条链路传输数据流,而禁止其它链路传输以防止形成桥接环路。
通过把一组VLAN分配给一个链路作为主要路径,并把另一个VLAN组分配到冗余链路,仍然作为主要路径,就可以在冗余链路上分布流量。
如果使用两条链路则可以将带宽加倍。
而且,可添加的链路数量是不受限制的。
通过为每个VLAN都提供一个生成树,可以保持用于负载分配的重复链路冗余功能持续有效工作。
当主链路发生故障时,配置在这个链路的VLAN可通过冗余链路重新连接。
在主要链路运行中断期间,冗余链路将担负全部VLAN流量(如果仅有两条冗余链路的话),当主链路恢复以后,生成树会重新将VLAN流量引向这一链路。
2.24STP技术
生成树协议(SpanningTree)定义在IEEE802.1D中,是一种链路管理协议,它为网络提供路径冗余同时防止产生环路。
为使以太网更好地工作,两个工作站之间只能有一条活动路径。
网络环路的发生有多种原因,最常见的一种是有意生成的冗余。
万一一个链路或交换机失败,会有另一个链路或交换机替代。
STP允许网桥之间相互通信以发现网络物理环路。
该协议定义了一种算法,网桥能够使用它创建无环路(loop-free)的逻辑拓朴结构。
换句话说,STP创建了一个由无环路树叶和树枝构成的树结构,其跨越了整个第二层网络。
生成树协议操作对终端站透明,也就是说,终端站并不知道它们自己是否连接在单个局域网段或多网段中。
当有两个网桥同时连接相同的计算机网段时,生成树协议可以允许两网桥之间相互交换信息,这样只需要其中一个网桥处理两台计算机之间发送的信息。
2.3方案描述
基于集团网络建设需求的详细分析以及对目前网络技术发展的描述,按照网络分层原则,将集团网络分为两层结构:
主干网络层和接入层。
主干网络层提供中心路由和交换能力,通过大楼之间的主干单模(MM)光纤,采用1000M/10G以太网技术相连接;
接入层提供桌面10/100M连接和交换能力,通过楼内6类/超5类双绞线将桌面系统与大楼交换机相连。
整个校园网络成星型状结构,便于管理与维护。
校园网主干设计与建设
校园主干网络由网络中心核心交换机和A、B两栋大楼的交换机构成千兆/万兆以太网交换主干网。
有关它们的选型与配置如下所述。
2.31校园网主干设计与建设
5)主干交换机的背板交换容量不小于50G;
2.4网络设备选型
根据学院校园网建设标书要求和对网络厂商,特别是在我国校园网络建设中的应用情况综合分析后,决定选用锐捷网络的产品。
锐捷网络简介
锐捷网络成立于2000年1月,注册资金1亿元。
六年来,锐捷网络秉承“敏锐把握应用趋势,快捷满足客户需求”的核心经营理念,在激烈的市场环境中,实现了超常规、跨越式的发展。
今天的锐捷网络已经成为一家拥有1600多名高素质员工,年营业额超过15亿元的专业化网络设备厂商,在教育、金融、电信、政府、企业、医疗、军队等信息化建设领域确立了全面的领先地位。
2.41核心交换机:
RG-S8600系列高密度多业务IPV6核心路由交换机
产品外观:
产品概述
RG-S8600是锐捷网络推出的面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机,满足未来以太网络的应用需求,支持下一代的以太网100G速率接口,提供10竖插槽设计和6横插槽设计两种主机:
RG-S8606和RG-S8610。
RG-S8600系列高密度多业务IPV6核心路由交换机提供3.2T/1.6T背板带宽,并支持将来更高带宽的扩展能力,高达1190Mpps/595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。
RG-S8600系列高密度多业务IPV6核心路由交换机提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高需求。
产品特性
●
强大的处理能力
RG-S8600系列万兆核心路由交换机提供3.2T/1.6T背板带宽,并支持将来更高带宽的扩展能力,提供1190Mpps/595Mpps的数据转发能力,每线卡提供高达200G的交换能力,满足高密度的千兆/万兆端口线速转发,并且支持未来100G接口的扩展。
●
强大的安全稳定保障
1、关键部件的安全稳定:
主机支持冗余的管理模块、冗余的电源模块、各种模块热拔插等安全稳定保障技术。
主机监控显示屏可直接显示交换机名、CPU利用率、内存利用率、管理模块与线卡温度、风扇和电源工作状态、持续工作时间等,提供及时的设备关键状态查看,提升系统安全稳定的维护能力。
主机实时检测CPU的使用状态,并提供业界领先的硬件CPU保护技术(CPP,Control
PlanePolicy),CPP技术对发往CPU的数据进行流区分和流限速,避免非法攻击包对CPU的攻击和资源消耗。
2、病毒和攻击防护:
采用硬件方式提供多种安全防护能力,例如防DDOS攻击、非法数据包检测、数据加密、防源IP地址欺骗等等,避免了传统软件实现方式对整机性能的影响。
提供业界最为强大的ACL特性,基于SPOH技术提供IP标准、IP扩展、MAC扩展、时间、专家级等丰富的ACL技术,支持IPV4/IPV6双栈下的输入输出ACL。
提供线卡分布式的IPFIX监控技术,及时发现网络中的异常流量,有助于提早发现网络中病毒和攻击等不安全行为,并通过流量监控技术提供的详细异常流量数据信息,识别攻击源或攻击手段。
支持同时启用多组的多端口同步监控技术,并且支持灵活的输入、输出、双向数据镜像,满足灵活的网络监控需求,提升网络监控能力。
3、设备管理安全:
提供SSHv1/v2的加密登陆和管理功能,避免管理信息明文传输引发的潜在威胁;
Telnet/Web登录的源IP限制功能,避免非法人员对网络设备的管理;
SNMPV3提供加密和鉴别功能,可以确保数据从合法的数据源发出,确保数据在传输过程中不被篡改,并且加密报文,确保数据的机密性。
4、接入安全:
硬件支持IP、MAC、端口绑定,提高用户接入控制能力;
支持802.1X技术,满足6元素绑定接入限制;
支持IGMP源端口检查、源IP检查、IGMP过滤等功能,可有效控制非法组播源,提高网络安全;
IGMPV3支持通告客户端主机希望接收的多播源服务器的地址,避免非法的组播数据流占用网络带宽;
通过PVLAN(端口保护)隔离用户之间信息互通,不必占用VLAN资源;
支持根据带宽速率或带宽百分比进行未知名报文、多播包、广播包进行控制;
端口MAC地址锁、MAC地址过滤、端口MAC地址接入数量限制功能可以屏蔽非法主机的接入和非法数据包进入网络。
丰富的应用支持技术
1、提供完善的各种QOS技术
灵活的流分类:
除了根据IPPreceden