小区网络规划与设计方案Word文件下载.docx
《小区网络规划与设计方案Word文件下载.docx》由会员分享,可在线阅读,更多相关《小区网络规划与设计方案Word文件下载.docx(28页珍藏版)》请在冰豆网上搜索。
此外,在接入小区内部网络的用户通过身份认证系统,防止用户账号、IP地址、MAC地址的盗用,保证用户身份的合法性。
(3)高可管理性
为方便设计的施工以及验收,乃至以后的易维护,网络系统应注意保证整个系统的可管理性,统一管理。
(4)高性能
在小区内部局域网中,不仅要求网络主干是高带宽的,作为一个网络的基础,接入层设备也应该达到高速(1Gbps)。
也就是说,交换机的接入速率应该达到千兆才能满足未来的发展趋势。
(5)可扩展性和可升级性
系统要有可扩展性和可升级性,随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。
(6)标准协议支持
网络系统应支持标准协议IP,是一个开放型的网络,支持各种协议的互联。
(7)符合国际标准
选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
3网络的设计规划
3.1网络建设设计原则
国信美邑小区网络系统具有覆盖面积大,计算机节点分散,数据交换频繁和实时性要求高等特点,所以对于计算机系统的处理能力、网络远程通讯能力及系统可靠性要求很高。
根据国信美邑小区网络系统的具体特点并结合工作的具体需求,系统的建设遵循以下原则:
(1)先进性
计算机网络技术发展很快,不断有新技术、新产品涌现,我们要采用先进的、成熟的计算机技术和网络通讯技术来满足业务的需求,保障系统有较长的生命周期,但同时要坚持采用标准化产品。
(2)可靠性
系统能长时间稳定可靠地运行,并保证系统安全,防止非法用户的非法访问。
系统不能出现故障,或者说即使有设备出现故障,对网络和网上的数据不构成大的威胁,要有设备对数据作备份。
(3)灵活性
需求会变化,计算机网络技术也在进步,需求和解决方案之间是一个动态的匹配过程,因此,一方面要构筑一个稳固(Strong)的技术平台,另一方面也要有在这平台上作调整、升级和扩充的灵活性。
系统应具有良好的可扩展性,易于升级,支持新业务发展需求,使原有投资得到保护,因此在目前选择方案和产品时要留出余地,选用的产品要有好的升级扩充能力。
(4)网络开放性
网络开放性的好坏,实际是指构造网络所选用的网络硬件、软件产品的开放性如何,网络产品是否可与其他厂商产品联网。
包括是否具有支持多种网络协议的能力,是否支持通用的国际标准,或普遍使用的工业标准等。
开放性好的网络不但可以在一个网络系统上使用其他厂家的网络产品而实现“无缝联接”,而且为进一步的网络应用环境的集成、为实现网络的可互操作性提供了技术基础条件。
网络的开放性好,也为网络的扩充、发展以及新的应用领域开阔了天地。
否则,不仅网络的应用和发展受到限制,而且会导致投资浪费。
(5)网络可互操作性
网络系统的可互操作性是指在一个网络上的不同厂商的系统之间是否可以透明的以统一界面相互访问对方的系统、文件数据以及应用系统,以达到共享资源的目的。
另一方面,可互操作性还体现在对网络管理的可互操作性上。
包括网络运行监测、网络应用管理、网络设备管理、网络安全管理以及网络维护管理等,这些管理不仅在本地网络上可以操作,而且能够在远程网络间进行互操作。
(6)网络的兼容性
当一个已有的网络在采用新技术或新的网络设备进行改进、扩充和升级时,这些新的网络设施(软、硬件)是否能与原有的或其他的网络设施兼容是非常重要的。
好的兼容性可以保护原有的设备,可使新投资与原有的设备同时发挥效益。
(7)网络的可用性
建成后网络的可用性高低是网络用户最为关心的,它也是对网络质量和网络性能的综合衡量。
可用性是网络本身很多物理特性的总体体现,如网络的带宽、网络带宽效率、网络时延、网络负载、网络故障频率等状况。
同时也是网络系统环境、网络应用环境和网络应用的支持能力、水平和质量的总体反映。
如果一个网络能支持传统的文件与数据的传输、访问和共享,同时也能支持新型文件如多媒体的传输、访问和共享服务,并且使用户的应用需求能够得到充分的满足,那么这个网络肯定是高质量、高性能的。
(8)网络的可伸缩性
网络的可伸缩性不只是一种网络设施在构造网络时,在规模上可依据需要扩大或减小,而且还应体现在网络的模块化和结构化方面。
网络体系结构的模块化、结构化是现代化网络技术产品的标志和趋势。
网络管理的任意性和网络配置的简便性等是网络可伸缩性的另一重要方面。
(9)网络的经济性
一个好的网络并不是高价网络设备的简单堆积,并不是网络设备越好,网络就越好。
衡量一个网络的好坏和它的经济性,不能单看所用的投资的多少,而应以网络所具有的功能和网络可承担的负荷,如网上的用户数、数据流量等参数去综合衡量。
以“少花钱,多办事”的原则,获得更大的经济效益和社会效益。
根据国信美邑小区局域网网络应用的特点,主干网的选择对于网络建设的成功与否起着决定性的作用。
选择先进的主流网络技术,不但能保证整个网络的正常运行,还能提供良好的可靠性,可用性,扩展性,不仅有力地保证了国信美邑小区各项活动的正常进行,而且保护小区网络的各种设备运行与使用[1]。
3.2网络的结构化设计
层次在网络设计中的作用类似于生活中的层次。
采用正确的层次,就能使网络有可预测性,具有帮助定义区域的功能。
锐捷的层次模型可以帮助设计,实现和维护可扩展的、可靠的和性能价格比高的层次化的互联网络。
小区网络的主要层次包括:
接入层(交换)、汇聚层(路由)、核心层(骨干)[2]。
核心层是1台锐捷网络RG-S-8600,虽然小区人口多,但网络带宽要求并不高,所以用1台交换机做核心。
汇聚层主要是由若干个中端锐捷设备组成,汇聚层就是小区内部每栋楼之间接入核心的一个过渡的层次。
它主要负责提供负载均衡、快速收敛和可扩展性等作用。
接入层就是用户可见的部分,主要实现用户层次的网络的接入,一般选用的都是比较简单低端的设备。
4国信美邑网络设计方案
4.1网络技术及接入方式的选择
4.1.1网络技术的选择
当前的网络技术主要有千兆以太交换网、FDDI、ATM等可供选择。
千兆以太网是快速以太网的延续,是性价比很高的一种主干网技术,千兆以太网自身提供了完整的迁移途径,通过它可以充分保护我们对现有网络设备的投资。
前卫以太网保留了IEEE802.3和以太网帧格式和管理对象规格。
这一性能可以使小区网络在进行自身升级的同时,不影响现有线缆的使用、操作系统、协议、桌面应用程序和网络管理战略与工具。
与原有的快速以太网、FDDI、ATM等主干网解决方案相比,千兆位以太网提供了一条最佳的路径。
至少在目前看来,是改善交换机与服务器之间和交换机与交换机之间骨干连接的可靠、经济的途径。
结合国信美邑小区网络的需求分析及其未来网络的发展潜力选择千兆以太网技术作为组网技术,完全可以满足国信美邑小区的组网需求,也符合当前网络技术发展的趋势。
要保证网络的传输速率,必须有一定的带宽。
千兆交换式以太网可以为每个端口提供1G的带宽,完全可以满足主干网的需要;
未来网络的发展是不可预知的,必须做好充分的向万兆以太网过度的准备,千兆以太网在向万兆以太网过渡时会免去很多麻烦事情;
在网络技术的操作性以及兼容性,最主要是技术的成熟和管理等方面综合考虑,选取千兆以太网是最佳选择。
4.1.3采用三层交换模式
三层交换技术是二层交换技术+三层转发技术。
在传统的交换技术中是第二层在OSI网络模型--数据链路层进行操作,而三层交换技术是在第三层中的网络模型中实现分组快速转发。
网络路由的功能可以通过应用第三层交换技术来实现,该网络性能可以根据不同的网络条件进行优化。
使用三层交换机的好处:
除了高性能外,与二层交换机相比,三层交换机还具有一些独有的特性,这些特性使三层交换机更有优势:
(1)高可扩展性
与传统外部路由器不同,在连接多个子网时,三层交换机的子网中仅第三层交换模块建立逻辑连接,需要增加端口,满足本地区3〜5年的互联网应用。
(2)性价比高
三层交换机在功能上比传统的二层交换机更加强大,但价格上却接近二层交换机,百兆的三层交换机几万元左右,几乎与高端的二层交换机持平。
(3)内置安全机制
三层交换机可自身具有访问列表的功能,并可以实现不同VLAN之间的单向或双向通信。
如果设置了访问列表,你可以限制访问特定的IP地址。
访问列表不仅可以为内部用户禁止访问某些站点,也可以用于防止非法用户访问社区内部网络,降低网络遭受攻击的几率,从而提高了网络的安全性[4]。
4.1.2网络的介入选择
以太网技术成熟、成本低、结构简单、稳定性、可扩充性好;
便于网络升级,同时可实现智能化物业管理、实时监控、家庭自动化小区/大楼/家庭保安(如远程遥控家电、可视门铃等)、远程抄表等,可提供智能化、信息化的办公与家居环境,以此保证不同层次用户的需求[3]。
4.1.4采用VPN方式接入
VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的不同数量居民楼内部网之间建立一条专有的通讯线路,就如同是构建了一条专线一样,但是它其实并不需要真正的去铺设光缆之类的物理线路。
一句话,VPN的核心就是在利用公共网络建立虚拟私有网。
结合国信美邑小区网络系统覆盖面积大,计算机节点分散,数据交换频繁和实时性要求高等特点,在小区网络设计中选择千兆以太网技术,考虑到三层交换技术的各种优势,我们在网络设计中将选用三层交换技术,采用VPN的接入方式支持小区内部网络通信。
4.2路由协议的选取
因为考虑到小区网络结构较复杂,并且在网络协议的选择方面要考虑到稳定和简便。
所以本次设计选取RIP-2作为路由协议。
RIP-2是一种无类别协议(路由),与RIP-1相比,它具有以下优点:
(1)支持路由标记,并可以灵活地路由标记路由策略控制。
(2)该数据包携带掩码的信息,它支持路由聚合和CIDR(无类别的域间路由)。
(3)支持下一跳的指定,并且可以被选择在广播网络的最佳下一跳地址。
(4)支持组播路由发送更新报文,减少资源消耗。
(5)支持协议消息的验证,并提供明确的认证和验证MD5加密两种方式,增强安全性[5]。
综上特点,由于RIP适合大小适中且简单的局域网,而且需要VLSM和VLAN的划分,所以国信美邑小区内网选择RIP-2更加合适。
4.3网络的拓扑结构
计算机网络的拓扑结构是指网络设备的物理连接关系。
网络的拓扑结构主要有总线网、环型网和星型网混合拓扑结构等。
借鉴现代网络建设的基本原则及比较了上述各种网络拓扑的优缺点后,本次针对小区的网络设计选择混合拓扑结构最为合理。
混合拓扑结构是由星型结构或环型结构和总线型结构结合在一起的网络结构,这样的拓扑结构更能满足较大网络的拓展,解决星型网络在传输距离上的局限,而同时又解决了总线型网络在连接用户数量上的限制。
首先由于小区分为别墅区与普通住宅,采用单一的拓扑结构根本不能满足用户的需求,所以采用混合拓扑结构,可以弥补其他拓扑的不足之处。
其次,国信美邑小区网络内物理设施的建设不是十分规律,这也就导致内部节点以及网络布线等不是十分规律,采用的信息传播方式也有很多不同。
再者由于小区的可扩展能力十分强,内部节点数量的增加和总线长度的扩展十分可能。
因此必须采用一种扩展能力相当强的网络拓扑来满足用户和未来的发展,混合拓扑结构正适合当前国信美邑小区网络的需求。
再次,网络工程师们在设计网络时不可能保证网络永远不出现故障,故障可能是线路问题也可能是设备问题。
采用混合拓扑结构可以保证一个优点,那就是容易维护。
无论哪里出现错误,在维护的过程中都是相当复杂的。
采用混合拓扑结构可以保证一个前提:
无论哪个分支网络出现故障都不会影响到整个网络的运行。
最后,现在用户对网络速度的要求越来越苛刻,如果做的不好,很可能受责骂。
采用混合拓扑结构可以保证数据传输速度,无论使用哪种线路进行网络传输都不会对整个网络的速度上进行太多的限制。
由上述可见。
这种拓扑结构主要有以下几个方面的特点:
(1)应用相当广泛。
(2)扩展相当灵活。
(3)较易维护。
(4)速度较快。
4.4网络设备的选择
设备的选择要尽量考虑到国信美邑小区网络规划的目的及未来的可扩展能力,从安全性、可靠性等多方面来考虑。
成熟实用的产品以及开放先进的技术是我们选择网络设备首先也是必须考虑的问题。
4.4.1核心设备的选择
在设备选型和结构设计中网络中心必须考虑整体网络的高性能和高可靠性。
特别是核心节点交换机,有两个基本要求:
(1)高密度的端口,也能保持端口线速转发;
(2)关键模块必须是冗余的,如引擎管理,电源,风扇管理。
在此设计中,选择锐捷2RG-S8610基于十万兆网络平台的RG-S8610网络核心路由交换机。
锐捷RG-S8600系列交换机是锐捷网络推出面向下一代融合网络的高密度多业务IPv6核心路由交换机,满足未来小区以太网的应用需求。
RG-S8600系列交换机融合了VSU(VirtualSwitchingUnit)、MPLS/VPLS、网络安全、无线网络、IPv6、流量分析等多业务特性。
丰富的槽位选择给客户预留了丰富的扩展余地,VSU虚拟化特性简化客户的网络结构,MPLS/VPLS虚拟专网技术打破客户物理专网隔阂,形成融合统一网络,完善的IPv6特性满足未来的升级改造。
RG-S8600系列交换机可广泛应用于城域网、园区网和数据中心。
RG-S8600系列包括三款型号:
RG-S8614、RG-S8610和RG-S8606-BSERISE[6]。
SPOH基于标准的技术,扩大,MAC,效率,ACl80,基于一系列的ACL技术支持IPv4/IPv6堆叠VLANACL功能。
在ACL的配置也达到上千兆线速数据传输。
最长匹配(LPM)三层交换技术的IPv4/IPv6路由直接向网络的静态和动态的方式存储,目的网段使用转发条目,和未知的目的地IP地址网段的数据包直接通过硬件的默认路由转发,大大节省了硬件存储空间,避免内存溢出导致高CPU利用率的问题,以确保设备的正常运行。
RG-S8600提供各种硬件的安全功能,如防DDOS攻击,非法数据包检测,防扫描,防源IP地址欺骗等,避免了传统软件对整体性能的影响。
支持广播包抑制,有效控制流动的非法广播设备的影响。
支持IPv4、IPv6,结合多种组合,VLAN,MAC和端口,提高用户的访问控制。
RG-S8600支持IPv6协议族和地址结构,支持ND,路径MTU发现DNSv6后,DHCPv6,ICMPv6回等IPv6特性。
RG-S8600的IPv6静态路由,RIPNG的从OSPFv3,IS-ISv6的BGP4+等IPv6单播路由协议的全面支持,支持MLDV1/V2,MLD侦听和PIM-SM/DMv6,PIM-SSMv6等IPv6组播特性,为用户提供完美的IPv4/IPv6解决方案。
RG-S8600支持丰富的IPv4向IPv6过渡技术,包括:
IPv6手动隧道,6to4隧道,ISATAP隧道,IPv4overIPv6隧道技术,保证IPv4网络向IPv6网络的平滑过渡。
随着IPv6在中国的发展不断深化,在小区网络升级的未来选择转移到IPv6网络设备,为国信美邑小区以后的网络升级打下了良好的基础。
结合锐捷网络流量分析系统,IPFIX技术可以对网络进行异常检测和统计分析,输出各种丰富的网络流量分析报告,其中包括对所有流量:
流量使用情况,历史和接口报表,可解析主机地址,流量分析,可变显示的信息,这可以帮助管理员对网络异常进行分析,很快修复网络,为客户提供客观,准确的决策依据对网络容量规划,网络应用监测和故障诊断的问题,可以实现的真实网络流量的可视化。
IPFIX多业务模块作为一个独立的业务灵活扩展到锐捷交换机中,使用独立的硬件平台,保证多业务模块上的故障或维修,数据业务的核心设备的正常转发,保证核心设备的高可靠性[7]。
4.4.2汇聚层设备的选择
汇聚层节点必须提供全线速交换数据,确保顺利接入节点和核心节点的数据交换,同时,当网络流量大时,保证关键业务的服务质量。
本次国信美邑小区网络汇聚层选用的RG-S5750-E系列交换机是锐捷网络推出的融合了高性能、多业务、高安全的新一代三层交换机。
可扩展的高密度万兆端口,加上全千兆的端口形态,提供1:
1全线速多层交换,该交换机适合高性能、高带宽和灵活扩展的大型网络汇聚层,数据中心服务器群,以及中型网络核心的接入使用。
业界领先的虚拟交换单元技术(VirtualSwitchUnit),可以简化用户对网络的管理,提升用户网络架构的稳定性。
不仅如此,RG-S5750-E系列出众的安全性能和丰富的防攻击功能,全方位的保障用户的网络安全,为用户带来非凡的极速网络体验。
锐捷S7500E(X)系列包括S7510E(12槽)、S7508E-X(14槽)、S7506E(8槽)、S7506E-V(垂直8槽)、锐捷S7506E-S(8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)8款产品,除了7503E-S所有产品均支持冗余主控。
锐捷S7500E(X)可广泛应用于数据中心、城域网、小区网核心和汇聚等多种网络环境,为用户提供了有源无源一体化、有线无线一体化的行业解决方案。
(1)高性能
万兆端口为“千兆汇聚,万兆核心”提供可能,适应了网络应用高速发展,网络带宽不断增加的需要。
而万兆端口的可扩展性既方便用户现在使用万兆网络,也方便用户后续升级网络到万兆。
(2)IPv4/IPv6双协议栈多层交换
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,可根据IPv6网络的需求规划网络或者维持网络现状,提供灵活的IPv6网络通信方案。
支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF、BGP4等,满足不同网络环境中用户选择合适的路由协议灵活组建网络。
支持丰富的IPv6路由协议,包括静态路由、RIPNG、OSPFv3、BGP4+等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络。
(3)虚拟化技术
支持VSU(VirtualSwitchUnit)即虚拟交换单元技术。
通过聚合链路连接,将多台物理设备虚拟为一台逻辑上统一的设备,使其能够实现统一的运行,利用单一IP地址、单一Telnet进程、单一命令行接口(CLI)、自动版本检查、自动配置等特性简化了管理。
聚合链路可以是千兆接口,也可以是万兆接口,最大限度保护用户的投资。
(4)灵活完备的安全策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防DOS攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还网络一片绿色。
支持基于硬件的IPv6ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等。
业界领先的硬件CPU保护机制:
特有的CPU保护策略(CPP)技术,流向CPU的数据,采用流动分离和优先级队列分级,并根据需要实施带宽限制,充分保护CPU是不被占用,恶意攻击和资源消耗,以确保CPU的安全,充分保护交换机安全。
硬件实现的端口或交换机与用户的IP地址和MAC地址柔性结合,端口上严格限制用户访问或交换机上的用户访问的问题。
支持DHCPsnooping,可只允许信任端口的DHCP响应,防止私设DHCPServer的欺骗;
并在DHCP监听的基础上,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题。
基于源IP地址控制的Telnet设备访问控制,防止非法人员和黑客恶意攻击和控制设备,提高网络管理的安全性。
SSH(SecureShell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备。
控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足小区网加强对访问者进行控制、限制非授权用户通信的需求。
支持NFPP技术。
NFPP(NetworkFoundationProtectionPolicy基础网络保护策略)是用来增强交换机安全的一种保护体系,通过对攻击源头采取隔离措施,可以使交换机的处理器和信道带宽资源得到保护,从而保证报文的正常转发以及协议状态的正常。
(5)强大的多业务支撑能力
支持IPv4、IPv6组播功能,包含丰富的组播协议。
比如IGMPSnooping、IGMP、MLD、PIM、PIMforIPv6、MSDP等协议族,为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。
支持IGMP源端口和源IP检查功能,有效地杜绝非法的组播源,提高网络的安全性。
支持等价路由(ECMP)等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。
支持丰富的MPLSVPN功能,智能侦测MPLS断网,智能选择冗余线路保持MPLSVPN的连通性。
支持在三层MPLSVPN中作为PE,MVRF使用。
支持国际流量监测标准IPFIX(IP流信息导出),锐捷流量分析系统的结合,IPFIX技术可以对网络进行统
升级会员 