高分求校园网规划与设计报告...

校园网规划设计~

〔摘要〕高校校园网已成为高校信息化建设的重要支撑平台，本文根据高校实际情况，从设计目标、思想和原则入手，分析并设计了高校校园网方案。
〔关键词〕校园网核心设备设计
随着计算机网络的发展，校园网已经成为高等院校走向信息化时代的必然发展趋势，使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物。校园网以信息资源为根本，硬件网络系统为物质基础，同时以网络软件系统实现系统的管理与使用，是一个具有宽带通路和交互功能的专业性局域网，应具有教学、科研、管理和通讯等四大功能。

一、设计目标

校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连:在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。

二、设计的关键

1.网络技术选型
在校园网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过度，保护用户的投资。所以要根据实际应用的需要，采用千兆以太网作为校园网的主干网，因为作为整个校园网的信息交换中心，网络的速度会直接影响到其他各子网的性能;在建设多媒体教室时，由于网络中将会有很多的图像和声音的传输，因此对带宽和传输速度有很高的要求，采用快速以太网就是最好的选择；而对于其他一些只有诸如简单文件传输之类的应用的环境，采用以太网就能满足要求。不同网络技术的复杂程度，在一定程度上直接影响校园网的维护、管理和使用效果。千兆以太网继承了以太网的技术简单，容易学习掌握的特点，是校园网的首选技术。
2.校园网的出口解决方案
目前，高校校园网IP资源及注册域名基本来源于中国教育科研计算机网——CERNET，但资费比较高，除了重点高校，带宽也受到了很大限制。而随着用户数量的不断增加，多数高校原有CERNET接入带宽已不能满足需求，扩大校园网出口带宽迫在眉睫，但扩大出口带宽带来的一个直接问题便是网络信息费的急剧增大，与CERNET相比，通过本地ISP接入CHINANET，在相同接入带宽的情况下费用较低。所以，采用双出口方案是高校校园网发展的一个新趋势，它综合运用了静态、网络地址转换和策略路由等技术，充分整合了CERNET及本地ISP的优势资源，是一种行之有效的校园网出口瓶颈解决方案。
3.网络核心设备的选择
(1)骨干带宽的选择。网络应用的增加对网络带宽提出了直接的需求。事实上，从1983年802.3标准的正是成立开始，以太网技术经过20年的发展，已进入万兆以太网（802.3ae标准）的时代。校园网络应用也是极其丰富的。并且随着组播技术在校园的应用，校园网核心层将面临严峻的考验。出于对网络发展的考虑，基于网络业务的发展，在拥有近万个信息点的高校采用万兆以太网技术构建核心层是可行的。目前业务还没完全开展起来，先采用千兆骨干，但核心设备必须支持万兆，并且在教育行业有应用，证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率，有效地保证了多媒体教学、数字图书馆等业务的开展。
(2)处理能力。核心层是网络高速交换的骨干，被设计成尽可能高速包转发率，同时能够提供高速的Internet的接入和高冗余性能，同时由于各高校基本采用了Internet和CERNET双出口，而且出口的速率不同，所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能，本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块，支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力，需要线速的数据转发和数据交换功能，即高背板带宽支持和高性能网络处理芯片的支持；由于是核心设备，还必须考虑整体网络的灾难备份和设备冗余，在设计中考虑的设备冗余需要有设备支持和协议支持，设备支持就是指在核心不能由单台设备进行整个网络的数据交换，需要有至少两台设备对整个网络进行有效的支撑，并已经具备灾难备份的硬件支撑能力。在协议上，需要支持冗余协议，实现整体网络冗余。支持在单台设备失效的同时，在最短的时间切换，避免网络损失。
对于核心交换机在整个网络的设计，还要考虑整体业务的支撑方式，因为设备只是物理承载层面，而用户需要在该物理层面实现其业务，达到职能和流程的有效快捷，这样，物理设备的业务支撑能力就至关重要。核心设备应提供分布式L2/3/4层接口板处理应用流（视频、话音、数据）、重要用户的优先级，支持NAT、MPLS、VPN、策略路由等应用；支持基于端口、MAC、VLAN、IP、应用类型等多种Qos；支持四个优先级队列和WRED、WRR、PQ、WFQ等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。
对于核心设备在网络中的举足轻重的位置，安全对于整个网络来说也整个网络的至关重要的，对于外部的黑客攻击和内部的病毒攻击的屏蔽，是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制，防止非法内容的访问；广播包抑制及广播源定位功能，保证网络用户安全。
(3)对于未来的扩展设计。对于在中心位置的核心设备的设计而言，随着时代的改变，其业务结构和规模也会改变，这样需要整个网络设备能够对未来的变化具备应对措施；由于核心设备是数据和业务的核心，所以，不能轻易的进行更换，同时，考虑到成本的因素，除非核心设备已经完全不能支撑目前业务的进行，否则，基本都会采取在原来的设备增加功能支撑来满足新业务的需求。这样，对于未来的扩展性就变得异常重要，核心设备扩展槽，接插模块类型，端口密度数应有所考虑，以保证整体设备的高性价比。
4.安全方案的部署
从各高校网络现状分析，目前面临的网络安全威胁来源主要来自以下几个方面：一是来自Internet的安全威胁，各高校有自己独立的链路通往Internet。从Internet上的任意接入点对本局域网发起的基于网络的攻击，以及对外公开的应用服务器的攻击，这样可以造成网络性能的急剧下降，应用服务器的瘫痪。使整体网络正常的内、外双向通信、存储等服务受阻或中断;二是来自校内局域网内部的恶意安全攻击，网络连接学生的计算机，学生有可能基于学习的目的可能使用各种入侵的软件，给系统造成隐含的威胁;三是高校内各相关部门的数据上报采用FTP 方式逐级复制，处于完全敞开和透明的模式，只要掌握IP地址，传输数据就可以被轻易截获，从而造成保密信息的泄露;再有来自操作系统、应用系统本身的漏洞及来自互联网、内部局域网的病毒安全威胁的攻击。学校范围内的病毒防护不能依靠个人的自觉性，应当从网关、服务器、客户端多个层面来统一部署，实施整体病毒防护解决方案。这样才能从根本上杜绝病毒的发作和传播，有效地保护学校内部资源，同时对新出现的病毒有一个很好的、快速的响应系统。 作为学校网络安全的防线，防火墙、入侵检测、防病毒系统是必不可少的，它可有效的对来自外网和内网的攻击做出及时告警，并给予一定的响应措施。
5.专网的设计
近来年，各高校依托校园网线路的其他各项应用也相继加入。如校园一卡通工程，涉及到全校师生及校财务、图书馆、餐饮等多个部门。既有用户的身份识别，有又用户的消费，所以，应考虑到此类应用的专网设计。包括设备选择、VLAN划分、IP规划、访问列表设置等。再有，校保安系统视频监控、冬季取暖温度采集系统都将工作在校园网上。
6.其他注意问题
在用户管理、计费方面，要保证计费数据的准确，交换机可以支持用户账号、IP地址、MAC地址、交换机端口、VLAN的绑定，保证了用户上网期间IP地址不被盗用，支持基于流量/时长/包月/带宽的计费及其组合计费方式。
在用户日志管理方面，业务管理平台和接入交换机配置可以实现完善的用户日志功能。用户访问日志的内容包括用户名、源MAC、VLANID、源IP、目的IP、访问时间。用户的目的IP地址改变时会产生一条日志。根据这些信息可以很方便的定位用户在某个时间段访问了那些内部服务器，与服务器的日志相对应追查出一些事故的责任人。
在网络管理方面，网络管理软件支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。
此外，高校用户数较多，所以，故障管理、集群管理、流量性能监控等也是必不可少的。

三、结束语

高校校园网是一个复杂的系统工程，构建高性能的校园网需要与新的网络设计理念紧密结合，以高性能、高可靠性、高安全性及先进的服务质量（Qos）为核心，将高校的教学、科研及管理在校园网的平台支撑下更上一个台阶。
参考文献:
[1]Douglas Comer,《Internetworking With TCP/IP Vol Ⅰ:Principles, protocols,and Architectures》,Fourth Edition,Publishing house of electronics industry,2001
[2]Andrew S.Tanenbaum,《Computer Networks》,Third Edition,Prentice-Hall International,Inc.,1997
[3]Howard C.Berkowitz,《Desingning routing and switching architectures for enterprise networks》,Publishing house of electronics industry,2000

　　〔摘要〕高校校园网已成为高校信息化建设的重要支撑平台，本文根据高校实际情况，从设计目标、思想和原则入手，分析并设计了高校校园网方案。
　　〔关键词〕校园网核心设备设计
　　随着计算机网络的发展，校园网已经成为高等院校走向信息化时代的必然发展趋势，使我国高等教育管理向智能化发展。它是网络技术和电子信息技术和高等院校发展相结合的产物。校园网以信息资源为根本，硬件网络系统为物质基础，同时以网络软件系统实现系统的管理与使用，是一个具有宽带通路和交互功能的专业性局域网，应具有教学、科研、管理和通讯等四大功能。

　　一、设计目标

　　校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区内部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建设一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连:在网上宣传和获取教育资源;在此基础上建立能满足教学、科研和管理工作需要的软、硬件环境;开发各类信息库和应用系统，为学校各类人员提供充分的网络信息服务;系统总体设计本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性、良好的开放性、可扩展性，以及建设经济性。

　　二、设计的关键

　　1.网络技术选型
　　在校园网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合校园网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过度，保护用户的投资。所以要根据实际应用的需要，采用千兆以太网作为校园网的主干网，因为作为整个校园网的信息交换中心，网络的速度会直接影响到其他各子网的性能;在建设多媒体教室时，由于网络中将会有很多的图像和声音的传输，因此对带宽和传输速度有很高的要求，采用快速以太网就是最好的选择；而对于其他一些只有诸如简单文件传输之类的应用的环境，采用以太网就能满足要求。不同网络技术的复杂程度，在一定程度上直接影响校园网的维护、管理和使用效果。千兆以太网继承了以太网的技术简单，容易学习掌握的特点，是校园网的首选技术。
　　2.校园网的出口解决方案
　　目前，高校校园网IP资源及注册域名基本来源于中国教育科研计算机网——CERNET，但资费比较高，除了重点高校，带宽也受到了很大限制。而随着用户数量的不断增加，多数高校原有CERNET接入带宽已不能满足需求，扩大校园网出口带宽迫在眉睫，但扩大出口带宽带来的一个直接问题便是网络信息费的急剧增大，与CERNET相比，通过本地ISP接入CHINANET，在相同接入带宽的情况下费用较低。所以，采用双出口方案是高校校园网发展的一个新趋势，它综合运用了静态、网络地址转换和策略路由等技术，充分整合了CERNET及本地ISP的优势资源，是一种行之有效的校园网出口瓶颈解决方案。
　　3.网络核心设备的选择
　　(1)骨干带宽的选择。网络应用的增加对网络带宽提出了直接的需求。事实上，从1983年802.3标准的正是成立开始，以太网技术经过20年的发展，已进入万兆以太网（802.3ae标准）的时代。校园网络应用也是极其丰富的。并且随着组播技术在校园的应用，校园网核心层将面临严峻的考验。出于对网络发展的考虑，基于网络业务的发展，在拥有近万个信息点的高校采用万兆以太网技术构建核心层是可行的。目前业务还没完全开展起来，先采用千兆骨干，但核心设备必须支持万兆，并且在教育行业有应用，证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率，有效地保证了多媒体教学、数字图书馆等业务的开展。
　　(2)处理能力。核心层是网络高速交换的骨干，被设计成尽可能高速包转发率，同时能够提供高速的Internet的接入和高冗余性能，同时由于各高校基本采用了Internet和CERNET双出口，而且出口的速率不同，所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能，本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块，支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力，需要线速的数据转发和数据交换功能，即高背板带宽支持和高性能网络处理芯片的支持；由于是核心设备，还必须考虑整体网络的灾难备份和设备冗余，在设计中考虑的设备冗余需要有设备支持和协议支持，设备支持就是指在核心不能由单台设备进行整个网络的数据交换，需要有至少两台设备对整个网络进行有效的支撑，并已经具备灾难备份的硬件支撑能力。在协议上，需要支持冗余协议，实现整体网络冗余。支持在单台设备失效的同时，在最短的时间切换，避免网络损失。
　　对于核心交换机在整个网络的设计，还要考虑整体业务的支撑方式，因为设备只是物理承载层面，而用户需要在该物理层面实现其业务，达到职能和流程的有效快捷，这样，物理设备的业务支撑能力就至关重要。核心设备应提供分布式L2/3/4层接口板处理应用流（视频、话音、数据）、重要用户的优先级，支持NAT、MPLS、VPN、策略路由等应用；支持基于端口、MAC、VLAN、IP、应用类型等多种Qos；支持四个优先级队列和WRED、WRR、PQ、WFQ等流分类、排队、调度和整形机制。赋予交换机高度的智能性，高效支持各种应用业务。
　　对于核心设备在网络中的举足轻重的位置，安全对于整个网络来说也整个网络的至关重要的，对于外部的黑客攻击和内部的病毒攻击的屏蔽，是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制，防止非法内容的访问；广播包抑制及广播源定位功能，保证网络用户安全。
　　(3)对于未来的扩展设计。对于在中心位置的核心设备的设计而言，随着时代的改变，其业务结构和规模也会改变，这样需要整个网络设备能够对未来的变化具备应对措施；由于核心设备是数据和业务的核心，所以，不能轻易的进行更换，同时，考虑到成本的因素，除非核心设备已经完全不能支撑目前业务的进行，否则，基本都会采取在原来的设备增加功能支撑来满足新业务的需求。这样，对于未来的扩展性就变得异常重要，核心设备扩展槽，接插模块类型，端口密度数应有所考虑，以保证整体设备的高性价比。
　　4.安全方案的部署
　　从各高校网络现状分析，目前面临的网络安全威胁来源主要来自以下几个方面：一是来自Internet的安全威胁，各高校有自己独立的链路通往Internet。从Internet上的任意接入点对本局域网发起的基于网络的攻击，以及对外公开的应用服务器的攻击，这样可以造成网络性能的急剧下降，应用服务器的瘫痪。使整体网络正常的内、外双向通信、存储等服务受阻或中断;二是来自校内局域网内部的恶意安全攻击，网络连接学生的计算机，学生有可能基于学习的目的可能使用各种入侵的软件，给系统造成隐含的威胁;三是高校内各相关部门的数据上报采用FTP 方式逐级复制，处于完全敞开和透明的模式，只要掌握IP地址，传输数据就可以被轻易截获，从而造成保密信息的泄露;再有来自操作系统、应用系统本身的漏洞及来自互联网、内部局域网的病毒安全威胁的攻击。学校范围内的病毒防护不能依靠个人的自觉性，应当从网关、服务器、客户端多个层面来统一部署，实施整体病毒防护解决方案。这样才能从根本上杜绝病毒的发作和传播，有效地保护学校内部资源，同时对新出现的病毒有一个很好的、快速的响应系统。作为学校网络安全的防线，防火墙、入侵检测、防病毒系统是必不可少的，它可有效的对来自外网和内网的攻击做出及时告警，并给予一定的响应措施。
　　5.专网的设计
　　近来年，各高校依托校园网线路的其他各项应用也相继加入。如校园一卡通工程，涉及到全校师生及校财务、图书馆、餐饮等多个部门。既有用户的身份识别，有又用户的消费，所以，应考虑到此类应用的专网设计。包括设备选择、VLAN划分、IP规划、访问列表设置等。再有，校保安系统视频监控、冬季取暖温度采集系统都将工作在校园网上。
　　6.其他注意问题
　　在用户管理、计费方面，要保证计费数据的准确，交换机可以支持用户账号、IP地址、MAC地址、交换机端口、VLAN的绑定，保证了用户上网期间IP地址不被盗用，支持基于流量/时长/包月/带宽的计费及其组合计费方式。
　　在用户日志管理方面，业务管理平台和接入交换机配置可以实现完善的用户日志功能。用户访问日志的内容包括用户名、源MAC、VLANID、源IP、目的IP、访问时间。用户的目的IP地址改变时会产生一条日志。根据这些信息可以很方便的定位用户在某个时间段访问了那些内部服务器，与服务器的日志相对应追查出一些事故的责任人。
　　在网络管理方面，网络管理软件支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。
　　此外，高校用户数较多，所以，故障管理、集群管理、流量性能监控等也是必不可少的。

　　三、结束语

　　高校校园网是一个复杂的系统工程，构建高性能的校园网需要与新的网络设计理念紧密结合，以高性能、高可靠性、高安全性及先进的服务质量（Qos）为核心，将高校的教学、科研及管理在校园网的平台支撑下更上一个台阶。
　　参考文献:
　　[1]Douglas Comer,《Internetworking With TCP/IP Vol Ⅰ:Principles, protocols,and Architectures》,Fourth Edition,Publishing house of electronics industry,2001
　　[2]Andrew S.Tanenbaum,《Computer Networks》,Third Edition,Prentice-Hall International,Inc.,1997
　　[3]Howard C.Berkowitz,《Desingning routing and switching architectures for enterprise networks》,Publishing house of electronics industry,2000
　　供参考，需要原创的找我说

局域网络拓扑结构设计
了解STP/RSTP/MSTP设计原则
了解VLAN设计原则
理解如何进行VRRP/DHCP相关设计
了解设备堆叠,链路聚合,IRF等技术的设计方法.
学习完本课程,您应该能够:
课程内容

局域网络拓扑结构设计
STP/RSTP/MSTP规划设计原则
VLAN规划设计原则
VRRP/DHCP的灵活使用
堆叠,聚合,IRF规划设计
局域网络拓扑结构设计
接入层
汇聚层
核心层
高速数据交换
路由汇聚及流量收敛
工作组接入和访问控制
网络设计分三层:核心层,汇聚层,接入层
局域网络的拓扑选择
常见的局域网络拓扑结构
网状或部分网状,环型拓扑,星型拓扑
环型
(部分)网状
星型
局域网络的拓扑选择(续)
局域网络拓扑结构的灵活组合
双星型拓扑结构
核心网状结构/边缘星型接入
课程内容

局域网络拓扑结构设计
VLAN规划设计原则
VRRP/DHCP的灵活使用
堆叠,聚合,IRF规划设计
STP/RSTP/MSTP规划设计原则
RSTP/STP规划设计原则
配置核心的设备为STP/RSTP的根桥,并指定另一核心的设备为备份根桥.
全网的设备使用相同Path Cost标准.(802.1D,802.1T,legacy)
RSTP以其快速收敛的特性以及与STP良好的兼容性完全取代了STP.对于支持RSTP的设备,一般情况下我们不考虑运行STP.
RSTP/STP规划设计原则(续)
对于支持RSTP的设备和仅支持STP的设备混用时,RSTP的设备尽量配置在网络的中心,而STP的设备尽量配置在网络的边缘.
对于直接连接主机或服务器的数据终端设备的交换机端口应配置为边缘端口,并使能BPDU-Protection.
Trunk链路应包括所有配置的VLAN(GVRP).
RSTP/STP规划设计原则(续)
端口配置为边缘端口
启动BPDU-Protection
端口配置STP Disable
这两种方式有何不同
MSTP规划设计原则
多生成树一定要运行在一个域内.
域和域之间的生成树为单生成树,不能实现负载均担.
同一域内的交换机的域名,VLAN和STP实例的对应关系一定要保持一致.
不支持MSTP的交换机一定要放在域外.
域内不同生成树的树根设置要与相应业务流量重心保持一致.
课程内容

局域网络拓扑结构设计
VRRP/DHCP的灵活使用
堆叠,聚合,IRF规划设计
VLAN规划设计原则
STP/RSTP/MSTP规划设计原则
VLAN ID的规划原则
VLAN 1一般予以保留,不分配给业务VLAN使用.
VLAN ID的预分配应成段分配.
如果VLAN ID足够用,尽量分配1024以下的VLAN ID.
为每一个VLAN规划VLAN描述符.描述符的配置规范化.
VLAN的技术划分原则
基于端口的VLAN划分
基于协议的VLAN划分
基于IP子网的VLAN划分
基于MAC地址划分
基于组和策略划分
VLAN的管理划分原则
基于业务需求VLAN划分
基于地域管理VLAN划分
基于安全要求VLAN划分
VLAN规划的限制
VLAN总数不超过4096
解决方式:QinQ,Isolate-user-VLAN,No VLAN
每个VLAN的主机数建议不超过64个
解决方式:划分多个VLAN
VLAN划分越多,就会占用更多地IP地址
解决方式:Super-VLAN,VLAN per Port
课程内容

局域网络拓扑结构设计
VLAN规划设计原则
堆叠,聚合,IRF规划设计
STP/RSTP/MSTP规划设计原则
VRRP/DHCP的相关设计
VRRP相关的设计考虑
虚拟网关的可探测性
VRRP PING enable
VRRP的负载分担
不同的VRRP组设置不同的Master
VRRP的稳定性设计
抢占方式及延时设置
VRRP相关的设计考虑
安全性设计
VRRP的可靠性
监控指定端口.
VRRP的优先级设计
通常要满足:
Priority(master)>Priority(backup)>Priority(master)-Priority(reduced)
监控上行端口
接口地址:
192.168.0.1/24
接口地址:
192.168.0.2/24
虚拟网关IP地址:192.168.0.254/24
虚拟网关MAC地址:00-00-5E-00-01-VRID
DHCP相关的设计考虑
固定IP地址段与动态分配IP地址段保持连续.
动态分配IP地址的租约一般定为2-4小时.
DHCP需跨网段获得IP地址时,启动DHCP-RELAY功能.
禁止在同一网络上放置两台DHCP服务器.
启动DHCP安全功能,禁止未通过DHCP获得的IP地址上网.
课程内容

局域网络拓扑结构设计
VLAN规划设计原则
VRRP,DHCP的相关设计
STP/RSTP/MSTP规划设计原则
聚合,堆叠/IRF规划设计
链路聚合相关的设计考虑
在进行多个链路聚合设计时先要查询设备对联路聚合的支持规格.
对于支持跨单板链路聚合的设备尽量配置跨单板链路聚合.
使用LACP自动聚合,要先将端口的参数配置成一致.
交换机堆叠/IRF的设计考虑
堆叠之前应先了解设备的规格,确定最大的堆叠设备数或最大的堆叠端口数.
堆叠/IRF设备的版本,配置必须相同.
IRF设备堆叠端口相连时一定是UP端口和另一台设备的DOWN端口相连.
为增加可靠性,尽量使用环形堆叠,不要使用链形堆叠.
交换机堆叠/IRF的设计考虑
建议使用手工对设备编号,确定堆叠的 Master交换机,不要使用自动编号功能.
IRF堆叠设备与其它设备互联使用链路聚合时,尽量使用跨设备聚合.
IRF堆叠设备及与其相联的设备在使用跨设备聚合时,一定使用LACP作自动聚合.
本章总结
局域网络拓扑结构设计
了解STP/RSTP/MSTP设计原则
了解VLAN设计原则
理解如何进行VRRP/DHCP相关设计
了解设备堆叠,链路聚合,IRF等技术的设计方法.
华为3Com技术有限公司
华为3Com公司网址: www.huawei-3com.com
华为3Com技术论坛网址: forum.huawei-3com.com
通过学习本课程,应该能够:
独立完成局域网络拓扑结构设计;
了解STP/RSTP/MSTP设计原则;
了解VLAN设计原则;
理解如何进行VRRP/DHCP相关设计;
了解设备堆叠,链路聚合,IRF等技术的设计方法.
局域网络拓扑结构设计是局域网络设计的基础.
拓扑结构的设计将是后期VLAN,STP/RSTP/MSTP等相关协议设计的基础.
局域网络设计按功能层次分一般分为三层:核心层,汇聚层,接入层.
核心层:作为网络的核心部分,不仅要求实现高速的数据转发,而且要求性能高,容量大,具备高可靠性和高稳定性.通常核心层设备都有设备的备份设计及线路的备份设计.
汇聚层:要支持丰富的功能和特性.汇聚层要隔离接入层的各种变化对核心层的冲击.路由汇聚,路由策略,NAT,ACL等等功能通常在汇聚层实现.
接入层:要提供大量的接入端口以及各种接入端口类型.提供强大的各类业务类型接入.
不同层次的定位,也为相应的设备选型提供了依据.
对于大型的局域网络通常分为三层结构,但对于小型网络通常只存在两层结构,核心层和汇聚层合二为一.
常见的网络拓扑结构有三种:网状或部分网状拓扑结构,环型拓扑结构,星型拓扑结构.
网状或部分网状拓扑结构的网络冗余性较好,但整个网络主次不分明,不便于维护.仅适用于高可靠性要求的小型网络,或大型网络的核心部分.
环型拓扑网络冗余性较好,一般适用于各节点相距较远且线路资源紧张的情况.不适用组建大型网络,适用于高可靠性要求的小型网络,或大型网络的核心部分.
星型拓扑结构的网络结构清晰,便于维护.但网络冗余性不够,不适合于高可靠性的网络.
综合各种网络拓扑结构的优缺点,我们在设计网络拓扑结构是可以灵活选择.
针对网状拓扑结构和环型拓扑结构的高冗余性,在大型网络中,可以把这种拓扑结构作为核心网络的拓扑结构.针对星型拓扑结构网络的层次分明,易管理性,采用星型拓扑结构作为汇聚层或接入层拓扑结构.
对于星型结构冗余性较差的问题,我们通常采用双星型拓扑结构的方式来弥补.如上图所示,双星型结构的每一个分支点采用双链路上行结构,实现了链路的冗余备份和核心设备的设备备份.
在大型的局域网络拓扑中,通常核心层内部或核心层与会聚层之间采用网状或部分网状拓扑结构,在汇聚层与接入层之间采用星型或双星型拓扑结构.
STP在802.1D标准中定义.
单生成树实例生成树协议.
RSTP在802.1W标准中定义.
单生成树实例快速生成树协议.
MSTP在802.1S标准中定义.
多生成树实例快速生成树协议.
STP/RSTP单生成树协议根桥的选取原则:
根桥一定选择网络的核心设备,并尽可能选取另一个核心设备作为备份根桥.坚决避免全网交换机按照MAC地址自动选举情况的发生.
STP/RSTP/MSTP的Path Cost标准选择:
目前Path Cost的标准有三个,802.1D,802.1T和legacy.其中前两个是国际标准,后一个是华为公司私有标准.所有华为品牌交换机Path Cost标准缺省值为Legacy,即华为私有标准.而其他厂商Path Cost标准的缺省值或为802.1D,或为802.1T.在互联时一定保证全网选择一致的标准.
RSTP比STP的优越性:
改进一:如果旧的根端口已经进入阻塞状态,而且新根端口连接的对端交换机的指定端口处于Forwarding状态,在新拓扑结构中的根端口可以立刻进入转发状态.
改进二:网络边缘的端口,即直接与终端相连,而不是和其它网桥相连的端口可以直接进入转发状态,不需要任何延时.
改进三:增加了网桥之间的协商机制—Proposal/Agreement.指定端口可以通过与相连的网桥进行一次握手,快速进入转发状态.其中Proposal报文为正常的BPDU报文,且Proposal Bit位置位.Agreement报文为Proposal报文的拷贝,且以Agreement Bit代替Proposal Bit位置位.
通过以上三点重要改进,RSTP的收敛速度比STP快很多,且RSTP可以兼容STP,因此对于支持RSTP的设备,我们不考虑运行STP.
对于RSTP设备和STP设备混用的情况,请尽可能将RSTP的设备放置在网络中心区域,将STP设备放置在网络的边缘,这样可以保证网络整体收敛速度较快.
对于支持RSTP的交换机,应把所有连接主机或服务器的端口配置为边缘端口,以加快网络的收敛速度,降低网络的广播流量.对于边缘端口可打开BPDU-Protection 功能,避免将此类端口误连到交换机上,引起暂时环路.
单生成树协议STP/RSTP不能够针对不同的VLAN形成不同的生成树,所有VLAN使用同一生成树,因此所有Trunk链路应包括网络中(或局部网络中)配置的VLAN.对于复杂的网络建议启动GVRP.
RSTP协议中引入边缘端口的概念,在边缘端口物理层UP的时候即进入Forwarding状态,这样可以提高网络收敛速度,降低网络中广播报文数量.但如果我们误把交换机接到边缘端口上,可能会导致短暂的环路.
如果我们在边缘端口上再启动BPDU-Protection的功能,则在此端口上如果接收到BPDU报文,这个端口将被自动关闭,直到人为打开为止.
把端口配置为STP-disable,会导致端口丢弃BPDU报文,从而将整个二层网络切割成两个生成树,引起永久性环路,不推荐使用.
多生成树协议中的CIST仍然为单生成树,不能实现不同VLAN间的负载分担.如果要实现不同VLAN的负载分担,必须配置负载分担的区域为同一个域.
若配置不同的交换机在同一个域内,必须保证交换机的域名相同,VLAN和STP实例的对应关系相同.
不支持MSTP的交换机一定要放置在负载分担的区域外部,否则次交换机将把MSTP的域分割为两部分.
同一域内的不同生成树实例可以选择不同的根桥,选择根桥的原则要与相应生成树实例对应的VLAN的业务流量重心保持一致.从而使得每一个生成树实例对应的VLAN的业务流量流经最短,最有效路径.
VLAN 1 通常为交换机的缺省VLAN,有时被预留做管理VLAN,一般不分配给业务VLAN使用.
VLAN ID在规划分配时,对于各类相近业务的VLAN ID要连续成段分配,便于今后的配置和管理.如:配置Trunk连路时,配置MSTP时,配置基于VLAN的安全策略时.
如果VLAN ID足够用,尽量使用1024以下的VLAN ID.有些低端交换机只支持1024个VLAN,且VLAN ID只能设置为1-1024.和用Cisco交换机ISL构建的二层网络互连也相对容易.
在对VLAN进行规划时,要为每一个VLAN规划VLAN描述符.描述符规划的原则是简练,易懂.
基于端口的VLAN划分:
是我们目前使用最多的VLAN划分方式.配置起来比较简单,VLAN用户位置固定,易于维护.
基于协议的VLAN划分:
适用于多协议共存的网络.简单的根据通讯协议来划分VLAN,隔离不同协议的广播报文.由于目前TCP/IP协议一枝独秀,其他协议应用较少,因此这种VLAN划分方式应用也相对较少.
基于IP子网的VLAN划分:
适用于分配固定IP地址的网络.但因用户IP地址的随意更改性以及DHCP的广泛应用,这种划分方式也较少使用.
基于MAC地址的VLAN划分:
适合于节点经常移动的网络.由于事先要搜集所有节点的MAC地址,对于大型网络较复杂,这种划分方式较少使用.此方式不能与其他方式同时配置.
基于组和策略的VLAN划分:
当同时存在多种以上VLAN划分原则时,优先级按如下顺序:
基于IP子网--〉基于协议--〉基于端口
基于业务需求VLAN划分:
通常统一业务的主机或用户属于同一VLAN,他们通常有着共同的流量特性,安全要求等,与这些主机或用户分布的地理位置无关. 如企业网的不同部门属于不同VLAN.
基于地域管理VLAN划分:
对于像校园网络的使用者(学生),没有明显的业务特征区分,为方便管理,可以按照地域划分VLAN.比如一座宿舍楼一个VLAN或一层楼一个VLAN.
基于安全要求划分VLAN:
根据不同的安全要求划分不同的VLAN.如在企业网里的服务器群,一般要单独划分一个VLAN.有些公共场合的网络,如ISP,或酒店里的网络要求每端口一个VLAN.
802.1Q协议中规定标识VLAN ID的比特数为12个,从而决定了VLAN的数目不超过4096个.
对于某些应用,VLAN数量可能会超过4096.
比如建设一个城域网,这个城域网可以为数十个甚至上百个企业提供互联,各个企业VLAN独立规划,且总数超过4096.这种情况下应使用QinQ技术予以解决.
比如ISP为安全原因配置每一端口一个VLAN,会导致全网VLAN数目不够,这种情况下使用P-VLAN等技术予以解决.
每一个VLAN的主机数目建议不超过64个,主机数目过大会导致广播流量的增加,同时增加控制管理的复杂度.
VLAN划分的太多,还会引来IP地址分配的问题,通常我们要为每一个VLAN接口分配一个IP地址.VLAN划分得越多,就会占用更多的主机地址.为解决这个问题,我们使用Super-VLAN,VLAN per Port等技术.
VRRP协议增强了局域网络的冗余性.通常是局域网络设计必须考虑使用的协议或功能.
DHCP协议极大的简化了局域网络管理人员的工作量,增强了网络扩展的灵活性,也是局域网络设计不可或缺的协议或功能.
虚拟网关的可探测性:
为保证VRRP的虚拟网关不易受到外来攻击,部分设备缺省状态不允许PING虚拟网关.但是为了保证网络的可探测性,可以配置VRRP PING enable命令来允许PING虚拟网关.
VRRP的负载分担:
在同一网络中配置多组VRRP时,尽量为不同的VRRP组设置不同的Master,从而实现链路和设备的负荷均担.
VRRP的稳定性设计:
根据网络环境决定是否要使能VRRP抢占功能,并合理设置延时,这样可以避免由于网络状况的不稳定而引起的主被频繁倒换.
安全性设计:
在同一VRRP备份组使用认证,目的是通过密码关键字来确认同一备份组成员.可以避免误配置或网络上有意的攻击.
监控指定端口:
根据网络的设计,通常要对某些端口进行监视,这些端口是否激活直接影响VRRP成员的优先级别,从而决定VRRP成员是否成为master.我们把正常情况master的优先级称为Priority(master),把正常情况下backup的优先级称为Priority(backup),把监控端口失效时对master优先级的影响成为Priority(reduced),则它们之间应满足如下关系: Priority(master)>Priority(backup)>Priority(master)-Priority(reduced)
DHCP分配的固定地址段和动态分配地址段要保持连续,便于管理和维护.
动态分配IP地址的租约要根据网络中用户的移动特性来确定.租约时间太短会导致租约频繁续约,增大网络压力.租约时间太长会导致长时间无法释放已经空闲的IP地址,浪费了IP地址资源.对于一般的开放办公环境,我们设置IP地址租约为2-4小时.
采用广播方式实现报文交互,报文一般不能跨网段,如果需要跨网段,需要使用DHCP RELAY技术实现 .
一般在同一网络上不放置两台DHCP服务器,如果确有需要提供高可靠的DHCP服务器,需要配置具备心跳功能的主备机方式的两台DHCP服务器,两台服务器之间及时交换信息保持同步.
为了防止不经过IP申请的非法用户上网,DHCP Relay安全特性维护了一张IP和MAC的对应表.在用户通过DHCP Relay申请ip地址时,会增加记录表项.当在网络设备一个接口上使用了DHCP Relay安全特性后,ARP模块就会根据DHCP Relay安全特性提供的这张表对IP地址和MAC地址匹配的合法性检查,如果IP和MAC对应的关系在表中找不到匹配项时,就丢弃ARP报文.
注意:如果作DHCP Relay的设备不是网关时,则报文的转发不受影响.
在设计多条链路聚合时或在一台设备上设计多条聚合组时,要先查询设备的设计规格,一台设备最多支持几个聚合组,每个聚合组可以支持多少链路.
为提高链路聚合的可靠性,对于那些支持跨单板链路聚合的设备,尽量配置跨单板链路聚合.
对于使用LACP自动聚合的端口,这些端口设置速率相同,全双工,VLAN设置相同且端口类型相同.如是Access端口或Trunk端口.
在堆叠之前要先了解堆叠设备的规格,一个堆叠最多支持多少个设备,或者最多支持多少个端口.
在堆叠之前要确定堆叠设备的版本,要保证所有堆叠设备的版本相同.在系统启动时,新Unit加入时,merge时都会进行配置比较.配置比较时将以最小ID的Unit的配置作为参照基准.比较结果不同的Unit将把基准配置保存为临时文件,然后重起.重起时将采用这个临时文件作为自己的配置.
为增加堆叠的可靠性,尽量使用环形堆叠.
为进行设备间动态备份,IRF堆叠设备与其它设备互联使用链路聚合时,尽量使用跨设备聚合.
对于不支持LACP的设备,一般不用于和IRF堆叠设备做链路聚合,以避免在IRF堆叠分离的时候链路聚合不能自动识别,造成网络环路或断路.
对于比较大的章,内容比较多,最好能在一章讲解完后对本章的课程内容,要达到的能力和注意事项等进行概要总结.

---

高分求校园网规划与设计报告...视频