网络工程与系统集成佟巍.docx

网络工程与系统集成佟巍.docx

《网络工程与系统集成佟巍.docx》由会员分享，可在线阅读，更多相关《网络工程与系统集成佟巍.docx（29页珍藏版）》请在冰豆网上搜索。

网络工程与系统集成佟巍

网络工程与系统集成

期末大作业

需求分析：

1）某大学具有6个二级学院，分别位于同一城市的4个园区，其中大学与两个二级学院在同一个园区（园区1），另外两个二级学院位于另一个园区（园区2），而其它两个学院分别位于园区3和园区4。

2）大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院都拥有约1500台PC机。

3）大学已从CERNET有关机构申请了IPV4地址块202.113.128.0/24~202.113.137.0/24。

4）校园网络遵循网络核心层、网络汇聚层、网络接入层的三层结构模式：

选用万兆以太网作为连接大学4个园区的高速主干；选用千兆以太网作为各个园区的主干，形成大学校园网的汇聚层；选用百兆以太网LAN作为基本接入形式。

大学校园网与因特网具有统一接口，即通过百兆以太网接入CERNET。

设计要求：

1）为校园网规划IP地址；

2）为校园网设计网络拓扑结构（用VISIO2003画图）；

3）为校园网选择适当的网络设备；

4）为校园网选择路由协议；

5）为校园网选择网络安全措施。

设计方案：

一，需求分析和设计考虑

这是当前许多大学和企业面临的一个非常典型的大型园区网设计问题。

位于同城市不同区域的4个网络自行设计，通过以太网光纤连接到核心交换机上，以及vlan间的路由技术，构成在拓扑上的统一结构。

1）由于在某个时期网络具有特定的主流技术，因此近年来建设的园区网大多采用万兆核心，千兆到楼宇，百兆到LAN/桌面的以太网解决方案。

事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了汇聚层的主干，而百兆到LAN/主机构成了接入层。

因此，一种解决方案就是选用万兆以太网作为整个核心层，形成校园网主干，并且该校园网主干采用因特网公有地址。

2）选用万兆交换机互联各个园区网的原因在于：

其一，各园区网均采用以太网技术体系，兼容性好。

其二，大学将校园网上开展教学视频观摩，远程听课等工作，提供高速率信息通道是必要的。

万兆交换机是具有路由功能的多层交换机，在校园网环境下能够提供更好的性能。

其三是价格因素，若在覆盖几十千米采用高速路由器的话，通常要采用SDH技术，这会使有关设备的价格增加2~3倍。

尽管高速路由器会使各个园区具有更好的隔离性，但在校园网中用处不大。

因此选用多层交换机作为汇聚层的节点，在各个园区划分vlan，隔离广播信息，再通过多层交换机的vlan间路由技术，进而构建跨区域的技术互联。

3）根据要求，该校园从CERNET获得的IP地址数量是无法满足需求的，只能提供向因特网发布信息和联系，或进行网络科学研究之用，因此构成校园网IP地址的主体是经过NAT或者PAT地址转换的专用网地址。

使用这些专用地址不利于与其他大学的学术交流，但也不得已而为之的方法；另一方面，可以减少网络黑客对校园网的侵扰。

4）由于网络的规模较大，考虑到以后的可扩展性，路由协议采用OSPF。

5）考虑到设备的可管理型，网络管理协议选用SNMP。

二，设备选用：

（1）交换机（多层交换机）的选用：

二层交换机用于小型的局域网络。

这个就不用多言了，在小型局域网中，广播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。

如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。

第四层交换的一个简单定义是：

它是一种功能，它决定传输不仅仅依据MAC地址（第二层网桥）或源/目标IP地址（第三层路由）,而且依据TCP/UDP（第四层）应用端口号。

第四层交换功能就象是虚IP，指向物理服务器。

它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。

这些业务在物理服务器基础上，需要复杂的载量平衡算法。

在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。

根据流量计算，每个园区网中有1500台计算机，如果同时上网，会有部分人看视频，聊QQ，浏览网页等，经过估算，带宽的平均占用为30kbps。

那么，每个园区网的总带宽应该为30kbps*1500=3.945Mbps，考虑到设备之间的通信，以及设备的冗余情况，我们应把园区网核心交换机的处理能力定位在1000Mbps。

而大学共包含6个二级学院，因此总带宽为43.945Mbps*6=263.67Mbps，同样考虑设备间的通讯以及设备冗余，我们应该把校园核心交换机的处理能力定位在10000Mbps，根据以上的数据统计，我们采用以下性能的设备。

A、核心层交换机：

特征

参数

机箱

模块化交换机，插槽数9个

端口速率

1000/10000Mb、GE、10GE

端口密度

大于96个，根据模块选购GE/10GE

背板带宽

大于600Gbps

软件

全路由及QoS、安全等

其它功能

引擎、电源备份

B、汇聚层交换机：

特征

参数

机箱

模块化交换机，插槽数6个以上

端口速率

1000/10000Mb、GE、10GE

端口密度

大于48个，根据模块选购GE/10GE

背板带宽

大于120Gbps

软件

全路由及QoS、安全等

其它功能

引擎、电源备份

C、接入层交换机：

特征

参数

端口数

24~48个固定配置交换机

端口速率

10/100/1000Mb

上行端口

2~4个，GE或10GE速率

背板带宽

大于20Gbps

软件

全路由及QoS、安全等

其它功能

支持PoE

参考设备：

A、园区网核心交换机：

cisco6500系列交换机

产品规格：

特性

CiscoCatalyst6500系列

系统特性

机箱配置

3插槽

6插槽

9插槽

9个垂直插槽

13插槽

背板带宽

32Gbps共享总线

256Gbps交换矩阵

720Gbps交换矩阵

第三层转发性能

Supervisor1MSFC：

15Mpps

Supervisor2MSFC：

210Mpps

Supervisor720：

400Mpps

操作系统

CatalystOS（CatOS）

CiscoIOS

CatOS/IOS混合配置

冗余交换管理引擎

支持，支持状态化故障切换

冗余部件

电源（1+1）

交换矩阵（1+1）

可更换时钟

可更换风扇架

高可用性特性

网关负载均衡协议（GLBP）

热备份路由器协议（HSRP）

跨多模块EtherChannel

快速生成树

多生成树

每VLAN快速生成树

快速收敛的第三层协议

最高系统端口密度

10/100/1000以太网

10/100快速以太网

100-BASE-FX千兆位以太网（GBIC）

10千兆位以太网（XENPAK）

576个端口，都支持馈线电源

1152个端口，都支持馈线电源

288个端口

194个端口（在交换管理引擎上提供了2个端口）

32个端口

集成WAN模块

FlexWAN（DS0到OC-3）

OC-3POS端口

OC-12POS端口

OC-12ATM端口

OC-48POS/DPT端口

12个模块，带24个端口适配器

192

48

24

24

PSTN接口

数字T1/E1中继端口

FXS接口

高级服务模块

216

864

千兆位防火墙

千兆位VPN

高性能入侵检测

千兆位内容交换模块

高性能SSL端接

千兆位内容服务网关

B、汇聚层交换机：

CiscoCatalyst3560-X系列

产品规格：

EnhanceproductivitybyusingCiscoCatalyst3560-XSeriesSwitchestoenableapplicationssuchasIPtelephony,wireless,andvideo.Theseenterprise-classswitchesprovidehighavailability,scalability,security,energyefficiency,andeaseofoperationwithinnovativefeaturessuchas:

IEEE802.3atPoweroverEthernetPlus（PoE+）configurations

Optionalnetworkmodules

Redundantpowersupplies

MACsecurityfeatures

KeyFeatures

Connectivityoptions:

o24and4810/100/1000PoE+andnon-PoEmodels

oPoE+with30Wpoweronallportsin1rackunit（RU）formfactor

oOptionalfour1GESFP（SmallForm-FactorPluggable）ortwo10GESFP+uplinknetworkmodules

Highavailabilityduetodualredundant,modularpowersuppliesandfans

Investmentprotection:

oEnhancedlimitedlifetimewarranty

oEnhancedCiscoEnergyWisetomeasure,report,andreduceenergyusageacrossyourorganization

Security:

oMACsecurityhardware-basedencryption

oMulticastrouting,IPv6routing,andaccesscontrollistinhardware

Softwareversions:

oLANBase:

EnterpriseAccessLayer2Switching

oIPBase:

EnterpriseAccessLayer3Switching,includingOSPF（OpenShortestPathFirst）forroutedaccess

oIPServices:

AdvancedLayer3Switching（IPv4andIPv6）

C、接入层交换机：

CiscoCatalyst3750系列交换机

产品规格：

CiscoCatalyst3750系列包括以下配置：

CiscoCatalyst3750G-24TS—24个以太网10/100/1000端口和4条小型可插拔（SFP）上行链路

CiscoCatalyst3750G-24T—24个以太网10/100/1000端口

CiscoCatalyst3750G-12S—12个千兆位以太网SFP端口

CiscoCatalyst3750-48TS—48个以太网10/100端口和4条SFP上行链路

CiscoCatalyst3750-24TS—24个以太网10/100端口和2条SFP上行链路

CiscoCatalyst3750-48PS—48个以太网10/100端口，带IEEE802.3af和思科预标准以太网电源（PoE），4条SFP上行链路

CiscoCatalyst3750-24PS—24个以太网10/100端口，带IEEE802.3af和思科预标准以太网电源（PoE），2条SFP上行链路

CiscoCatalyst3750G-16TD—16个千兆位以太网10/100/1000端口和1条万兆位以太网XENPAK上行链路

CiscoCatalyst3750G-24TS-1U—24个以太网10/100/1000端口和4条SFP上行链路，1机架单元（RU）高

CiscoCatalyst3750G-24PS—24个以太网10/100/1000端口，带IEEE802.3af和思科预标准PoE，4条SFP上行链路

CiscoCatalyst3750G-48TS—48个以太网10/100/1000端口和4条SFP上行链路

CiscoCatalyst3750G-48PS—48个以太网10/100/1000端口，带IEEE802.3af和思科预标准PoE，4条SFP上行链路

（2）路由器的选用：

路由器的选用，我们考虑以下几点情况：

A、一般在核心层和分发层之间部署；

B、在冗余链路上提供等成本负载均衡时，可以快速重路由；

C、建立3角连接而不是4角连接；

D、建立路由邻居的链路用于转发流量；

E、确保冗余的3层路径不存在黑洞；

F、分发层根据可进行路由汇总；但现在不建议这么做；

G、通过调整CEF的3层/4层负载均衡hash，以获得最大的等成本开销路径的利用率（CEFpolarization）。

考虑到我们在大学与学院的汇聚层采用的是多层交换机，因此，无需在此层面花费过多的经费去采购三层设备，只需在核心层连接ISP运营上的出口配置路由器即可，同样考虑到设备处理转发数据的性能，以及对模块带宽的要求，我们选用如下设备：

Cisco7200系列路由器：

关键特性：

高性能交换－－支持高速介质和高密度配置；通过其基于RISC和SRAM配置的系统处理器，Cisco7200每秒可以交换30万个信息包。

全面的CiscoIOS软件支持和高性能网络服务增强－－高速执行服务质量、安全、压缩和加密等网络服务。

高密度端口－－提供高密度端口以及广泛的局域网和广域网介质，大大降低了每端口成本，并允许灵活地进行配置。

公用端口适配器－－利用和Cisco7200通用接口处理器（VIP）相同的端口适配器，简化了备件存储，并提供接口投资保护。

（3）防火墙的选用：

CiscoASA5500系列自适应安全设备：

防火墙版：

使企业能够安全、可靠地部署关键业务应用和网络。

独特的模块化设计能够提供卓越的投资保护，降低运作成本。

IPS版：

通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。

Anti-X版：

利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。

企业级防火墙和VPN服务提供到公司网络的安全连接。

来自TrendMicro的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。

SSL/IPsecVPN版：

使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。

安全套接字层（SSL）和IPSecurity（IPsec）VPN远程接入技术将CiscoSecureDesktop等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。

最高防火墙吞吐量（Mbps）

150

最高3DES/AESVPN吞吐量（Mbps）

100

最高连接数

10,000/25,000

集成式端口

8端口10/100交换机，带2个以太网供电端口

SSC/SSM扩展插槽

是（SSC）

应用层安全性

是

L2透明防火墙

是

（4）无线设备：

Cisco5500系列无线控制器

Cisco5500系列无线控制器实现无线配置和管理功能的自动化，为网络管理员提供更强的可视性和更大的控制能力，让管理员更有成本效益地管理无线网络和保障无线网络安全。

本控制器作为思科一体化无线网络（CiscoUnifiedWirelessNetwork）的一个组件，提供CiscoAironet®无线接入点、Cisco无线控制系统（WirelessControlSystem，WCS）与Cisco移动服务引擎（MobilityServicesEngine）之间的实时通信。

同时还提供集中化安全策略、无线入侵防御系统（IPS）能力、获奖的RF管理，以及高质量服务（QoS）。

为下一代无线网络而优化，5500系列无线控制器：

·提供改善的移动性；

·让企业做好使用最新移动设备和应用程序的准备；

·比其他无线局域网控制器支持更高密度的用户；

·提供更高效的漫游服务，吞吐量至少是现有802.11a/g网络的九倍。

（5）线缆：

根据以上对于设备占用带宽的分析，以及考虑成本和维护的费用以及方便程度，我们将在核心层、汇聚层采用“以太网光纤”，接入层采用“7类双绞线”，这样不仅能够保证网络的稳定性和冗余，而且能为以后的升级、维护提供方便。

线材选用：

华为1000BASE-LX（SFP）

技术规格：

模块类型

传输距离

传输介质

传输波长

接口类型

传输速率

工作电压

SFP

10公里

单模光纤

1310纳米

双LC接口

1.25Gb/s

3.3伏

（6）服务器：

核心服务器：

IBMSystemx3850X5（7145N12）

基本参数

产品类型

企业级

产品类别

机架式

产品结构

4U

处理器

CPU类型

Intel 至强7500

CPU型号

XeonX7560

CPU频率

2.266GHz

智能加速主频

2.666GHz

标配CPU数量

4颗

最大CPU数量

4颗

制程工艺

45nm

三级缓存

24MB

总线规格

QPI6.4GT/s

CPU核心

八核

CPU线程数

16线程

主板

扩展槽

7×半长PCI-Express（2个热插拔）

内存

内存类型

DDR3

内存容量

32GB

内存描述

8×4GB1066MHzDDR3内存

最大内存容量

1TB

存储

硬盘接口类型

SAS

标配硬盘容量

584GB

硬盘描述

4块146GBSAS硬盘

热插拔盘位

支持热插拔

RAID模式

RAID0，1，5

光驱

DVD

网络

网络控制器

两个千兆以太网卡

管理及其他

系统管理

AlertonLAN2，服务器自动重启，IBMSystemsDirector，IBMServerGuide，集成管理模块（IMM），光通路诊断（单独供电），适用于硬盘驱动器/处理器/VRM/风扇/内存的PredictiveFailureAnalysis，WakeonLAN，动态系统分析，QPIFaildown，单点故障转移

系统支持

MicrosoftWindowsServer2008（Standard，Enterprise和DataCenterEdition，32位和64位）

32位和64位RedHatEnterpriseLinux

SUSEEnterpriseLinux（Server和AdvancedServer）

VMwareESXServer/ESXi4.0

电源性能

电源类型

冗余电源

电源数量

2个

电源电压

220V

电源功率

1975W

汇聚层服务器：

IBMSystemx3650M3（7945I75）

基本参数

产品类别

机架式

产品结构

2U

处理器

CPU类型

Intel 至强5600

CPU型号

XeonX5670

CPU频率

2.93GHz

智能加速主频

3.333GHz

标配CPU数量

1颗

最大CPU数量

2颗

制程工艺

32nm

三级缓存

12MB

总线规格

QPI6.4GT/s

CPU核心

六核

CPU线程数

12线程

主板

扩展槽

4×PCI-Express（二代插槽）

内存

内存类型

DDR3

内存容量

8GB

内存描述

2×4GB1.5VDDR3RDIMM内存

内存插槽数量

18

最大内存容量

192GB

存储

硬盘接口类型

SATA/SAS/SSD

标配硬盘容量

标配不提供

最大硬盘容量

8TB

内部硬盘架数

最大支持16块2.5英寸热插拔SAS/SATA硬盘

热插拔盘位

支持热插拔

RAID模式

RAID5

网络

网络控制器

集成双端口千兆网卡

管理及其他

系统管理

IBMIMM，VirtualMediaKey用于可选的远程呈现支持，预测故障分析，诊断LED，光通路诊断，服务器自动重启，IBMSystemsDirector和IBMSystemsDirectorActiveEnergyManager，IBMServerGuide

系统支持

MicrosoftWindowsServer2008R2和2008

RedHatEnterpriseLinux

SUSELinuxEnterpriseServer

VMwareESXi4.0嵌入式虚拟化管理程序

电源性能

电源类型

热插拔电源

电源数量

1个

电源功率

675W

三，设计方案

（1）核心层：

由于考虑到核心层的性能，可靠性，安全等问题，我对于拓扑图有以下两种设计，第一种没有在核心层中另外加入核心交换机，而第二种加入了“核心中的核心”，以下是两种方案的对比：

园区网拓扑图：

A、没有核心层的情况：

B、全互连的分发层

C、物理连线很多

D、路由的复杂度增加

图1.1.1

E、专门的核心层交换机：

F、易于增加模块

G、核心层链路较少

H、易于升级带宽

I、路由协议对等体数量少

J、等开销的3层链路

图1.1.2

园区网示例图：

图1.1.3

该大学的校园网分为公网部分和专用部分。

通过防火墙，连接了该大学放置各