逻辑网络设计_第2章逻辑网络设计

其他范文时间：2020-02-27 20:13:07 收藏本文下载本文

【www.daodoc.com - 其他范文】

逻辑网络设计由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“第2章逻辑网络设计”。

逻辑网络设计

1.1教学楼网络系统设计原则：

由于计算机与网络技术的特殊性，网络建设需要考虑以下一些因素：系统的先进性、体统的稳定性、系统的可扩展性、系统的可维护性、应用系统和网络系统的配合度、与外界网络的连通性、建设成本的可接受度等。

（一）、选择带宽高的网络设计

多媒体课件包含了大量的声音、图象和动画等信息，需要高带宽的网络通信能力的支持。在构建网络设计时，不能由于网络传输速率的不足，而影响整个网络的整体性能，使传输速率成为网络传输的瓶颈。

（二）、选择可扩充的网络架构

一般教学楼网络的建设资金用量非常大，对于学校来说，办学资金是比较紧张的，所以在教学楼网络构建是，宜采用当时最新的网络技术，结合学校财力，实行分步实施，循序渐进。这就要求在网络构件时要选择具有良好可扩展性能的网络互连设备，一有效地保护现有的投资。

（三）、充分共享络资源

组建计算机网络的主要目的是实现资源共享，这个资源包括硬件资源、软件资源。网络用户通过网络不仅可以实现文件共享、数据共享，还可以通过网络实现网络设备的共享、存储设备的共享等。

（四）、网络可管理性，降低网络运行及维护成本

只要在网络设计时选用支持网络管理功能的网络设备，才能为将来降低网络运行及维护成本打下坚实的基础。

（五）、网络系统与应用系统的整和

网络系统与应系统要能够很好的融合能发挥教学楼网的效率和优势，构建教学楼网的目的并不是只为了人们浏览Internet的方便。更多的是方便老师和学生的使用，提高教学效率。

（六）、建设成本

考虑教学楼网工程在建设方面都希望成本较低，整个网络系统有较高的性价比，在设备选型等方面选用性价比高的网络产品。

（七）、高可靠性

网络要求具有高可靠性、高稳定性和足够设备冗余和备份，防止局部故障引起整个网络系统的瘫痪，避免网络出现单点失效的情况。应采用各种有效的安全措施，安全包括4个层面-网络安全，操作系统安全，数据库安全，应用系统安全。由于Internet的开放性，教学楼网将采用防火墙、数据加密等技术防止非法侵入、防止窃听和篡改数据、路由信息的安全保护来保证安全。同时要建立系统和数据库的磁带备份系统。

各主要楼节点的交换机分别用光纤与网络中心的中心交换机相连接，构成与校园网千兆位以太网的主干网络，各节点交换机至PC机及信息节点采用六类双绞线100Mbps交换。1.2校园网采用的协议标准：

本校园网以TCP/IP 为主要协议，因为TCP/IP协议簇是美国国防部门制定的一套计算机网络协议，是目前众多计算机网络最流行的协议，以它为基础组建的Internet网是目前国际上规模最大的计算机网间网，它虽不是国际标准，但却是一种事实上的工业标准协议，采用TCP/IP为网络主要协议，可保证与ChinaNET和Internet保持一致，还可支持IPX，DECNET等其它协议。真正实现于国际互联网的无缝连接。1.3 网络拓扑结构树型拓扑结构树型结构是分级的集中控制式网络，与星型相比，它的通信线路总长度短，成本较低，节点易于扩充，寻找路径比较方便，但除了叶节点及其相连的线路外，任一节点或其相连的线路故障都会使系统受到影响。优点：（1）连结简单，维护方便，适用于汇集信息的应用要求。（2）易于扩展。

（3）故障隔离较容易。

缺点：资源共享能力较低，可靠性不高，任何一个工作站或链路的故障都会影响整个网络的运行。并且各个节点对根的依赖性太大。

1.4拓扑图

接入层交换机

接入层主要用来支撑客户端机器对服务器的访问，主要是指接入路由器、交换机、终端访问用户。对上连接至汇聚层和核心层，对下进行带宽和业务分配，实现用户的接入。

汇聚层交换机

汇聚层交换机是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。

核心层交换机

核心层交换机一般都是三层交换机或者三层以上的交换机，采用机箱式外观，具有很多冗余的部件。核心层交换机也可以说是交换机的网关。

在进行网络规划设计时核心层的设备通常要占大部分投资，因为核心层设备对于冗余能力、可靠性和传输速度方面要求较高。

网关出口

两台或两台以上的路由器，组成一个备份组，配置VRRP（虚拟路由器冗余协议）VRRP协议

VRRP是一种容错协议，它保证当主机的下一跳路由器失效时，可以及时的由另一台路由器来替代，从而保持通讯的连续性和可靠性，VRRP协议通过交互报文的方法将多台物理路由器模拟成一台虚拟路由器，网络上的主机与虚拟路由器进行通信。一旦VRRP组中的某台物理路由器失效，其他路由器自动将接替其工作。

在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制。并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果“拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符)。

VRRP是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关，这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机，从而实现了主机和外部网络的通信。

1.5Internet接入采用用光纤接入

1.传输速度快：光纤接入能够提供10Mbps、100Mbps、1000Mbps的高速带宽；实现双向数据同步传输，上网速度快、质量稳定、丢包率低、更具安全性，能满足用户对各种业务的需求，比如CRM、ERP、视频、语音、VPN等。

2.传输距离远：光纤连接距离可达70公里；衰减小，光纤每公里衰减比目前容量最大的通信同轴电缆的每公里衰减要低一个数量级以上；容量大，光纤工作频率比目前电缆使用的工作频率高出8~9 个数量级，故所开发的容量很大。

3.抗扰能力强，因为光纤是非金属的介质材料，不受强电干扰、电气信号干扰和雷电干扰，抗电磁脉冲能力也很强，保密性好。

4.光纤网络提供数据业务，有完善的监控和管理系统，能适应将来宽带综合业务数字网的需要，打破“瓶颈”，使信息高速公路畅通无阻。

5.扩容便捷，一条带宽为2M的标准光纤专线很容易就可以升级到4M、10M、20M，最大可达100M，并且无需更换任何设备。

2.1VLAN划分

VLAN号

IP网段

VLAN 10 VLAN 20 VLAN 30 VLAN 40 VLAN 50

默认网关

说明

192.168.1.0/24

192.168.1.254 第一层

192.168.2.0/24 192.168.2.254 第二层

192.168.3.0/24 192.168.3.254 第三层

192.168.4.0/24 192.168.4.254 第四层

192.168.5.0/24 192.168.5.254 第五层

VLAN划分优点

1、限制网络上的广播，将网络划分为多个VLAN可减少参与广播风暴的设备数量。LAN分段可以防止广播风暴波及整个网络。VLAN可以提供建立防火墙的机制，防止交换网络的过量广播。使用VLAN，可以将某个交换端口或用户赋于某一个特定的VLAN组，该VLAN组可以在一个交换网中或跨接多个交换机，在一个VLAN中的广播不会送到VLAN之外。同样，相邻的端口不会收到其他VLAN产生的广播。这样可以减少广播流量，释放带宽给用户应用，减少广播的产生。

2、安全

增强局域网的安全性，含有敏感数据的用户组可与网络的其余部分隔离，从而降低泄露机密信息的可能性。不同VLAN内的报文在传输时是相互隔离的，即一个VLAN内的用户不能和其它VLAN内的用户直接通信，如果不同VLAN要进行通信，则需要通过路由器或三层交换机等三层设备。

成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。

VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。

VLAN 将用户和网络设备聚合到一起，以支持商业需求或地域上的需求。通过职能划分，项目管理或特殊应用的处理都变得十分方便，例如可以轻松管理教师的电子教学开发平台。此外，也很容易确定升级网络服务的影响范围。

3、增加灵活性

借助VLAN技术，能将不同地点、不同网络、不同用户组合在一起，形成一个虚拟的网络环境，就像使用本地LAN一样方便、灵活、有效。VLAN可以降低移动或变更工作站地理位置的管理费用，特别是一些业务情况有经常性变动的公司使用了VLAN后，这部分管理费用大大降低。

4、组建条件

VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备——要实现路由功能，既可采用路由器，也可采用三层交换机来完成，同时还严格限制了用户数量。

3.1冗余性设计

（1）设备级冗余技术

设备级的冗余技术分为电源冗余和管理板卡冗余：

电源模块的冗余备份实施后，在主电源供电中断时，备用电源将继续为设备供电，不会

造成业务的中断

管理卡冗余也就是在交换机运行过程中，如果主管理板出现异常不能正常工作，交换机将自动切换到从管理板工作，同时不丢失用户的相应配置，从而保证网络能够正常运行，实现冗余功能。在实际工程中使用双管理卡的设备都是自动选择主管理卡的，先被插入设备中将会成为主管理卡，后插入的板卡自动处于冗余状态，但是也可以通过命令来选择哪块板卡成为主管理卡。

（2）链路级冗余技术

在大型园区网络中往往存在多条二层和三层链路，使用链路级冗余技术可以实现多条链路之间的备份，流量分担和环路避免。

二层设备冗余技术

生成树协议

802.1D STP作为一种纯二层协议，通过在交换网络中建立一个最佳的树型拓扑结构实现了两个重要功能：环路避免和冗余。但是纯粹的生成树协议IEEE 802.1D在实际应用中并不多，因为其有几个非常明显的缺陷:,收敛慢，而且浪费了冗余链路的带宽。作为STP的升级版本，IEEE 802.1W RSTP解决了收敛慢的问题，但是仍然不能有效利用冗余链路做负载分担。因此在实际工程应用中，往往会选用802.1S MSTP技术。MSTP技术除保留了RSTP快速收敛的优点外，同时MSTP能够使用instance（实例）关联VLAN的方式来实现多链路负载分担。

基于OSPF的三层链路冗余技术

基于OSPF的三层链路冗余技术在大型园区网络中使用广泛，通过cost值的调整可以非常容易的实现链路冗余和负载分担

3.2路由协议

OSPF（开放式最短路径优先）路由协议

1､OSPF是真正的LOOP-FREE(无路由自环)路由协议

2、OSPF收敛速度快 3､提出区域划分的概念

4､将协议自身的开销控制到最小

5､通过严格划分路由的级别(共分四极),提供更可信的路由选择 6､良好的安全性,OSPF支持基于接口的明文及md5 验证 7､OSPF适应各种规模的网络,最多可达数千台

OSPF与RIP相比的优势

RIP协议一条路由有15跳（网关或路由器）的限制，如果一个RIP网络路由跨越超过15跳（路由器），则它认为网络不可到达；对于OSPF路由协议，路由表中表示目的网络的参数为Cost，该参数为一虚拟值，与网络中链路的带宽等相关，也就是说OSPF路由信息不受物理跳数的限制；

RIP路由协议不支持变长子网屏蔽码（VLSM）,这使得RIP协议对当前IP地址的缺乏和可变长度子网掩码的灵活性缺少支持；

RIP网络是一个平面网络，对网络没有分层。OSPF在网络中建立起层次概念，在自治域中可以划分网络域，使路由的广播限制在一定的范围内，避免链路中继资源的浪费；

RIP路由协议路由收敛较慢。

OSPF与EIGRP相比的优势

EIGRP没有区域（AREA）的概念，而OSPF在大规模网络的情况下，可以通过划分区域来规划和限制网络规模。所以EIGRP适用于网络规模相对较小的网络，这也是矢量-距离路由算法的局限所在。

EIGRP是Cisco公司的私有协议。Cisco公司是该协议的发明者和唯一具备该协议解释和修改权的厂商。如果要支持EIGRP协议需向Cisco公司购买相应版权，并且Cisco公司修改该协议没有义务通知任何其他厂家和使用该协议的用户。而OSPF是开放的协议，是IETF组织公布的标准。世界上主要的网络设备厂商都支持该协议，所以它的互操作性和可靠性由于公开而得到保障

4.1校园网络面临的威胁 ·操作系统的安全问题 ·病毒的破坏 ·口令入侵 ·黑客

·非正常途径访问或内部破坏 ·不良信息传播

4.2网络安全防护策略

划分子网，实现子网之间的隔离内网接口安全防护

对外网络接口的安全防护数据库的安全防护：

加密客户与服务器之间数据传送检查配置文件许可禁止远程访问服务器的安全防护：日常监控补丁管理访问控制

主机安全配置安全检查

漏洞扫描漏洞跟踪与分析安全通告

防病毒备份、日志集中客户端的安全防护

安装防火墙，杀毒软件无线网络的安全防护

MAC地址过滤隐藏SSID 5.1服务器建设需求

DHCP服务器 DNS服务器 WEB服务器 FTP服务器 E-mail服务器

6.1无线网络设计

WLAN 由以下几个部分组成： ⑴ Client（客户端）：带有无线网卡的便携机。⑵ Acce Point（无线路由器，接入点）：执行桥接操作的设备，在客户端（Client）和局域网（LAN）之间对无线帧和有线帧进行相互转换。⑶ Acce Controller（AC，无线控制管理器）：对WLAN 内所有无线路由器进行管理和控制的设备，通过与认证服务器的通信来进行信息过滤。

室内区域无线覆盖方案：采用多个无线路由器整合交叉覆盖形成大面积覆盖区域，每个无线路由器都独立接到交换机上，以保证有更高的带宽

7.1 防火墙

华为USG5160 华为USG5160详细参数主要参数

设备类型：安全网关

网络端口：4GE（Combo）VPN支持：支持

入侵检测：DoS，DDoS 管理：支持命令行、WEB方式、SNMP、TR069等配置和管理方式，这些方式提供对设备的本地配置、远程维护、集中管理等多种手段，并提供完备的诊断、告警、测试等功能安全标准：CE，ROHS，CB，UL，VCC 处理器：多核处理器一般参数电源：AC：100～240V；DC：-48～-60V 最大功率300W 产品尺寸：442*414*130.5mm 产品重量：8.3kg 适用环境：工作温度：0℃-45℃ 工作湿度：10%-90% 存储温度：-40℃-70℃ 存储湿度：5%-95% 其他性能：UTM 扩展槽位：4MIC+2FIC+4DFIC

核心交换机

需要满足三层结构、可堆叠、端口数量为

28、安全性高、支持VLAN功能、满足802.11n等

思科（Cisco）SG200-50（SLM2048T）48口千兆智能交换机价格4199元人民币主体

品牌思科 Cisco 型号 SG200-50(SLM2048T)规格

网络标准 IEEE 802.3 10BASE-T Ethernet, IEEE 802.3u 100BASE-TX Fast Ethernet, IEEE 802.3ab 1000BASE-T Gigabit Ethernet, IEEE 802.3ad LACP, IEEE 802.3z GigIEEE 802.3x , IEEE 802.1D , IEEE 802.1Q/p, IEEE 802.1w, IEEE 802.1s, IEEE 802.1X, IEEE 802.3af, 端口 48千兆以太网端口,2千兆以太网组合端口(SFP)速度 1000M MAC地址表 8000 缓存 8 Mb*2 LEDs 系统、(端口连接/工作)、速度 VLAN 256 尺寸 257x 440 x 44 mm 重量 3.96kg 特性

特性经济实用48千兆端口2个共享端口（铜缆和光纤）

思科（Cisco）SG300-52（SRW2048）48口千兆全网管交换机价格6499人民币主体

品牌思科（CISCO）

型号 SG300-52(SRW2048)千兆网管交换机规格

网络标准 IEEE 802.3 10BASE-T 以太网, IEEE 802.3u 100BASE-TX快速以太网, IEEE 802.3ab 1000BASE-T 千兆以太网, IEEE 802.3ad LACP, IEEE 802.3z 千兆以太网, IEEE 802.3x流量控制, IEEE 802.1D(STP, GARP, and GVRP),IEEE 802.1Q/p VLAN, IEEE 802.1w RSTP, IEEE 802.1s 多重 STP, IEEE 802.1X 端口接入授权, IEEE 802.3af, IEEE 802.3at, IPv6 端口 50 千兆以太网，2千兆以太网组合端口（SFP）速度 1000M MAC地址表 8000 缓存 8 Mb*2 LEDs System,Link/Act,PoE,Speed VLAN 256 尺寸 440×44.45×257mm 重量 3.91 kg 特性

特性 •52 个高速端口，针对网络性能而优化，并且支持带宽密集型应用 • 强大的安全性可保护网络流量，防止未经授权的用户访问网络 • 智能 QoS 可帮助确保一致的网络体验，支持包括语音、视频和数据存储在内的网络应用 • 简单的、基于 Web 的管理功能，易于安装和配置

汇聚层交换机

路由；访问表，包过滤和排序，网络安全如防火墙等；重新分配路由协议，包括静态路由；在vlan之间进行路由，以及其他工作组所支持的功能；定义组播域和广播域。CISCO WS-C3750V2-24TS-S

6800元主要参数

产品类型：快速以太网交换机应用层级：三层

传输速率：10/100Mbps 产品内存：Flash内存：32MB 交换方式：存储-转发背板带宽：32Gbps 包转发率：6.5Mpps 端口参数

端口结构：非模块化端口数量：26个

端口描述：24个10/100Mbps接口，2个小型可插拔（模块）千兆以太网端口传输模式：支持全双工功能特性

网络标准：IIEEE 802.3，IEEE 802.3u，IEEE 802.3ab，IEEE 802.1p，IEEE 802.3af，IEEE 802.1Q，IEEE 802.1D，IEEE 802.1p，IEEE 802.3，adIEEE 802.1x，IEEE 802.1w，IEEE 802.1z 堆叠功能：可堆叠其它参数

电源电压：AC 100-240V，0.7A-0.5A，50-60Hz 电源功率：36W 产品尺寸：295×443×44mm 产品重量：3.7kg 平均无故障时间：351，247小时环境标准：工作温度：0-45℃ 工作湿度：10%-85%（非冷凝）存储温度：-25-70℃

存储湿度：10%-85%（非冷凝）接入层交换机

Cisco WS-C3560-24TS-S 6000元主要参数

产品类型：企业级交换机应用层级：三层

传输速率：10Mbps/100Mbps 产品内存：128 MB DRAM和16MB闪存交换方式：存储-转发背板带宽：32Gbps 包转发率：6.5Mpps MAC地址表：12K 端口参数

端口结构：非模块化端口数量：24 扩展模块：2 接口介质：10/100 BASE-T/ 100FX/SX 传输模式：支持全双工功能特性

网络标准：IEEE 802.3, 802.3u, 802.3z, 802.3ab 堆叠功能：可堆叠 VLAN：支持 QOS：支持

网络管理：SNMP, CLI, Web, 管理软件安全管理：支持其它参数

电源电压：100-240 VAC（自动适应）50-60Hz 产品尺寸：301*445*44 产品重量：3.9

路由器

CISCO CVR328W-K9-CN 价格2600人民币基本参数路由器类型企业级路由器网络标准

IEEE 802.1n，IEEE 802.1g，IEEE 802.1b 传输速率 10/100/1000Mbps 端口结构模块化广域网接口2个局域网接口8个功能参数防火墙内置防火墙 VPN支持支持网络安全攻击防护网络过滤访问控制