计算机网络系统设计方案华为.docx
- 文档编号:8541448
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:62
- 大小:437.90KB
计算机网络系统设计方案华为.docx
《计算机网络系统设计方案华为.docx》由会员分享,可在线阅读,更多相关《计算机网络系统设计方案华为.docx(62页珍藏版)》请在冰豆网上搜索。
计算机网络系统设计方案华为
第三章计算机网络系统设计方案
1.网络设计依据
标准与协议
IEEE802系列:
IEEE802.1
IEEE802.1p
IEEE802.2
IEEE802.3
IEEE802.3u
IEEE802.3z
IEEE802.1Q
网络协议:
TCP/IP
IPX/SPX
网管协议:
SNMPagentV1(RFC1155-1157)/SNMPagentV2
RMON/ATMRMON
Telnet
TFTP,LEC,RFC1577Client
SNMPMIBII(RFC1213)
BridgeMIB(RFC1493)
802.1DSpanning-TreeMIB
EthernetMIB(RFC1398)
2.网络设计原则
多媒体技术的普及给Internet和Intranet提出了更高的发展要求。
海军工程大学校园网络应建成一个以宽带技术为基础、提供多层次服务、支持多媒体应用的信息服务网络。
数据网建设是海军工程大学数字化校园工程项目重要组成部分,为学生、教师获取各种信息资源提供通信基础,为各种上层应用提供网络平台,在校园的信息化中发挥这重要作用。
在网络的整体规划中,使用代表未来发展方向的技术,采取合理的建设步骤,最终建设一个高效、实用的校园网络,为学校的信息化建设打下坚实的基础。
海军工程大学校园网络工程将是一个满足数字、语音、图形图像等多媒体信息,以及综合业务信息传输和处理需要的综合数字网,并能符合多种网络协议,体系结构符合国际标准或事实上的国际工业标准(如TCP/IP),同时能兼容已有的网络环境。
根据海军工程大学校园网络建设目标和设计要求,和我们多年的系统集成经验,其校园网络总体设计遵循以下若干原则:
(1)先进性:
从系统体系结构和网络系统基础结构方面均采用当前国内外先进的技术,同时,在设备选型方面考虑到技术的成熟性,采用主流机型,主流系统。
校园网络传输的信息量大,要求计算机网络具备高带宽的传输主干。
随着将来用户的增加,网络也将面临多样化需求。
我们将在网络构架,硬件设备,协议选择,安全控制和网络管理等方面充分体现海军工程大学校园网络的先进性。
(2)可靠性:
我们从网络骨干线路的冗余备份、网络设备的冗余备份和电源冗余备份等方面来保证海军工程大学校园网络的可靠性。
另外,还从以下几个方面来保障:
无差错运行:
在网络设计中采用防干扰、防浪涌技术,在网络系统的配置中,严格遵循设备技术要求。
不间断运行:
对关键的部件和设备均采用冗余备份设计,同时采用UPS电源系统,确保系统安全可靠的连续运行。
(3)开放性和扩充性
在设备选型上,选择业界著名厂商的产品,以提供更为完善全面的技术支持和售后服务。
选择符合国际标准及业界流行成熟的工业标准的设备,以便对技术的未来发展提供保证。
系统结构配置,采用具有最佳升级途径的配置,一是结构合理,二是升级代价最小,保证系统具有良好的可升级性。
随着业务的发展,海军工程大学校园网络面临的任务将会愈来愈繁重,信息资源范围的扩大和用户数量的增加,将使网上信息流量成倍增长。
多元化的应用要求网络对多种协议的支持和对异种网络的兼容,无论是网络硬件还是系统软件,都须符合当今业界标准,可以方便的扩充和升级。
我们从主干网络设备的选型及其模块、插槽个数、管理软件和网络整体结构,以及技术的开放性和对相关协议的支持等方面,来保证网络系统的开放性和扩充性。
(4)易管理性:
海军工程大学校园网络物理范围广,网络的管理任务十分复杂和重要,如何有效地管理好网络关系到是否能充分有效地利用网络系统资源,优化网络性能,保障网络安全。
我们利用图形化的管理界面和简洁的操作方式,提供强大的网络管理功能。
使网络日常的维护和操作变得直观,便捷和高效。
(5)安全性:
我们可以对网络设置一定的安全访问权限,以隔离网络外部的非法访问,确保网络的安全。
(6)实用性:
根据用户需求和规划,网络系统的设计在性能价格比方面应充分体现系统的实用性,既要采用先进的技术,又能在经费允许的条件下实现建网目标。
我们将周密考虑对设备的选型和网络结构的规划,提供投资保护的较理想解决方案。
上述网络系统的设计原则将自始自终贯穿整个设计方案并具体加以实现。
(7)高质量:
网络质量不仅表现在网络设备上,也反映在网络的设计上,因此该网络过程的各个环节均要体现这一原则。
(8)互通性:
该网络的方案设计充分保证了与其它骨干网的互连,以及与其它IP网络的互连。
本方案设计均采用了国际标准协议。
网络管理基于SNMP,随着网络标准和软件版本的更新,现有技术和设备能够向上兼容,能进行各种数据库的互操作,能支持多种介质,支持多种端口类型,能实现高速网络与低速网络的无缝连接。
3.网络层次结构
从结构上来讲,宽带综合业务骨干网络应该包括三个层次:
核心骨干层、业务汇聚层、接入层。
核心骨干层
核心骨干层是整个网络的基础,它的主要功能是作为高速互联的网络骨干,实现骨干节点之间的优化传输。
对于核心骨干层来说,互连是至关重要的,因此必须采用冗余组件、冗余链路设计核心骨干层;同样,高可靠性也是必不可少的,能快速适应网络变化,互连的链路在发生故障时,应能够实现快速自愈,最大限度地保护业务量不受影响。
核心骨干层是宽带综合业务网的关键,先进的IPQoS技术为多等级数据和多媒体业务在核心骨干网上的传输提供了必要的保证。
IP的策略服务、安全控制使得基于IP的多媒体网具有良好的延展性。
业务汇聚层
业务汇聚层是网络的核心层与接入层之间的分界点,汇聚层扮演很多角色,是网络业务汇聚、交换的场所,要求网络设备具备交换容量大、端口密度高、可靠性高等特点。
接入层
接入层设备能提供高密度的宽带端口(主要为10/100Mbps的交换以太端口),以满足基于IP的数据、语音、视频的不同业务。
本校园网采用一个中心、三个汇聚、多个接入的结构。
整个网络的设计将具有以下特点:
1)面向应用的设计方案
任何一个网络组建的目的都不是为了组网而组网,海军工程大学对业务系统支撑特性的关注,构建面向业务、面向应用的网络平台同时也是我们在网络设计时应考虑到的,我们将从以下几个方面阐述我们建议的业务支撑。
2)VLAN隔离的设计方案
VLAN(VirtualLocalAreaNetwork)是虚拟局域网的英文缩写,它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组,使它们看起来就象连接在不同的网络上一样。
在大型局域网络组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点:
在同一个物理网络实现第二层工作组划分,实现不同工作组之间第二层的完全隔离,同时,组员可以处在物理网络中的任何位置,不受同一台设备限制;
隔离广播,提高效率,避免不相关的广播帧在全网扩散,浪费有效带宽资源;
在海军工程大学校园网系统中,我们建议基于IEEE802.1Q标准实现VLAN,在VLAN设计中,我们使用VLAN达到两个目的,第一,不同部门和单位之间的隔离和通信控制;第二,广播范围抑制。
从广播控制角度出发,为了保障网络的高可用和高性能,我们建议在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机不要超过50台,最好控制在30台以内,对于主机数量超过50的业务部门,我们通过二层隔离,三层交换的方式来解决。
可以完全放心的是,华为QuidwayS系列路由交换产品提供全线速的二三层交换能力,所以,对于我们的VLAN解决方案来说,第二层和第三层处理性能是完全相同的,可以实现两种设计之间的直接融合,从而更加灵活自由。
华为iManager综合网管系统提供非常快捷的VLAN批量设置和修改工具,只需要通过图形化界面对具体端口标识选取或者非选取,就能轻松设置其VLAN归属。
具备服务质量保证的网络
根据学校发展的规划,各种网络应用将逐步开展,对网络环境也提出了进一步的要求。
目前,即将开展的网络多媒体方面的应用主要有:
网上实时交互式教学、多媒体课件点播、网络会议直播、网络电视直播、VOD视频点播、网络教学资源共享等。
多媒体数据的实时传输,对网络提出了更高的要求,为了保证实时教学的正常进行和课件点播、视频点播的传输质量,应网络设备的选择、网络带宽占用、网络协议的配置、网络系统的优化等满足一定的技术要求,以保证网络服务质量(Qos)。
在多种业务并存并且存在资源瓶颈的地方,都应该考虑相应的QOS保证机制,确保时间敏感的、关键的业务报文能够被及时、正确、有效的转发。
在我们建议的设备解决方案中,所有设备都可以支持相应的QOS/COS策略,
我们建议在网络中上实施面向服务端口的QOS保证机制,同时,系统通过WRED的方式对拥塞进行加权避免,确保网络不出现拥塞,始终保持其高吞吐率特性。
3)高安全的网络
网络安全设计包括两个大方面的内容,设备自身的安全机制和网络安全协议的设计使用,目前常见的网络安全隐患主要来自以下一些方面:
Ø网络级攻击
窃听报文--攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。
特别是通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基本是不可能的。
IP地址欺骗--攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
源路由攻击--报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
端口扫描-通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道网络设备操作系统软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。
然后利用这些漏洞对网络设备进行攻击,使得网络设备DOWN掉或无法正常运行。
拒绝服务攻击--攻击者的目的是阻止合法用户对资源的访问。
比如通过发送大量报文使得网络带宽资源被消耗。
Ø应用层攻击
有多种形式,包括探测应用软件的漏洞、"特洛依木马"等;
Ø系统级攻击
不法分子利用操作系统的安全漏洞对内部网构成安全威胁。
另外,网络本身的可靠性与线路安全也是值得关注的问题。
由此可见,完整的安全体系结构应由“网络级安全、应用级安全、系统级安全和企业级安全”四大部分组成。
网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障海军工程大学网络的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应用层保证对海军工程大学网络各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对校园网构成安全威胁;企业级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障工行网络的安全。
通过工作组VLAN设计,我们可以依据部门和单位业务性质的不同将不同工作组划分到不同的VLAN,实现不同VLAN之间第二层的完全隔离。
4)可靠可扩展的网络
对于一个层次结构的网络,必然是可以扩展的,而对于核心设备来说,引擎可靠、设备可扩展也是本方案的一个明显的特色。
4.网络设计选择要点
根据长期网络建设经验,我们认为校园网建设原则上应贯彻在最大限度内实现资源共享的方针,是否上各信息应用系统以是否有利于提高学校管理、教学水平,是否有利于降低管理及教学成本为标准进行取舍。
鉴于此,理想的校园网应按如下几点进行设计:
Ø校园网应具有通畅的外部连接通道,同时接入Internet和CERNet,便于校内用户访问公众互联网和教育网的网络资源。
Ø校园网园区内连接方式接入层以交换为主,汇聚层以上以路由方式连接;骨干带宽建议为1000M,各单体建筑到中心机房或区域中心机房带宽初步可以为100M,业务量大的建筑应采用1000M带宽连接。
Ø各单体建筑,在可能有网络接入的可能,或者需要纳入信息管理范畴的,均应预留信息接口。
Ø网络系统必须安全,通过VLAN划分、路由策略、使用配置防火墙等保证敏感信息的安全,实现对网络资源的权限控制。
ØIP地址的分配进行整体规划,进行合理的预留;域名规划遵循一定的规则。
Ø具备完善的网络管理和计费手段。
Ø各应用系统根据实际应用需要分步实施,并采用便于二次开发的系统。
Ø采用业界应用广泛,成熟、稳定的软硬件产品。
Ø在网络规划和实施过程中,建设单位和供应商需要紧密配合,并邀请专家参与,搞好项目可行性分析,尽量避免项目的风险!
5.骨干网络技术选型
在校园网络的建设中,主干网络选择何种网络技术对网络建设的成功与否起着决定性的作用。
选择适合校园网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过渡,保护用户的投资。
目前在局域网络上应用最广泛的技术有以太网、快速以太网、FDDI、ATM(异步传输模式)以及最新崛起的千兆以太网、万兆以太网等。
在这些技术中,千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。
在园区骨干网络的应用中最广泛的技术主要为ATM和千兆以太网。
下面对这两种技术作个比较:
千兆位以太网与ATM比较表
千兆位以太网
ATM
标准
IEEE802.z
尽管已有多项标准出台,但由于ATM技术的复杂性,标准的制定仍在进行中,需要时间完善
速率
1000Mbps
155Mbps或622Mbps
竞争能力,厂家提交的交换机数目,各种NIC服务
几十家,成为技术型公司的新增长点
主要有十几家
每端口的价格
交换机端口与NIC组合一起可达3000多美元。
ATM-155对于交换机端口及NIC组合为2000美元左右,ATM-622为这个价格的数倍。
媒质支持
STP,UTP5、6,多模光纤,单模光纤
ATM-622M及更高速的只在光纤上运行
复杂性
容易
复杂,较难学习
与现存的各种数据、应用程序及网络的兼容性
需作任何改动
与现有的LAN协同工作技术复杂且效率低
Qos保证不同类型应用
RSVP,RTP,RTCP,802.1p等新的技术协议以及Cisco等公司在IP优先级方面的一系列技术
在LANE的情况下,需要SVCs或IETF正在制定的RSVP的复杂映射来解决
多厂家产品的互操作性
基于标准的互联
高层的互操作性,如交换机到交换机信令,经过ATM的多种协议仍无保证,标准还在改进
VLAN的支持
与快速以太网一致,但同样的VLAN连接与组成标准可容易地覆盖以太网快速以太网及千兆位以太网
能映像基于LAN的发布领域,而与ATM的可互操作性是既枯燥又复杂的
由上表可以看出千兆以太网络比ATM网络在园区骨干网络的发展更具有生命力,性能/价格比更好。
因此,我们对海军工程大学校园网络采用:
1.千兆以太网骨干网络,具备10G扩展能力;10/100M交换到桌面;
2.核心交换机选用企业级的网络交换机;汇聚点采用中型企业级的网络交换机;
3.接入层交换机选用可堆叠、可网管的具有千兆光纤接口的10/100M网络交换机;
4.选用网管软件进行网络的可靠性和全局性管理。
6.系统设计
1)总体概述
海军工程大学校园网络系统覆盖了校园内共计30余栋楼,设立了1个核心层网络中心,3个汇聚层网络中心,30个接入层点。
从位于信息中心机房的核心交换机连接到3个汇聚点和各栋楼的接入层交换机干线速率为千兆,桌面10/100M自适应,并具备铜缆扩展到1000M的能力;接入层交换机端口数按数据信息点的实际数量配置,因此接入层交换机端口总数达到了876个,数据流量较大。
在网络中心选用Quidway®8505交换机,该交换机提供2/3/4层的线速服务功能,主要可作为企业的核心交换机或城域网区域汇聚层交换机。
Quidway®8505具备5个高扩展性插槽,高达750G的背板容量,300G的交换容量,180MPPS包的转发速率,最大支持60GE/240FE/5×10GE接口,灵活的接口配置:
提供12端口千兆接口板,1000Base-SX,1000Base-LX及1000Base-T三种接口;提供12端口千兆1000Base-T接口板;提供48端口百兆电接口板,提供100Base-TX接口;提供20端口百兆光接口板,提供100Base-FX100Base-SX接口;提供1端口10GE接口板,提供10GBase-LR,10GBase-ER,10GBase-LX4(CWDM)接口;提供32端口10/100M自适应以太网电接口+4端口千兆以太网接口线路板;提供8端口千兆以太网接口+4端口155MPOS接口线路板;提供8端口千兆以太网接口+4端口155MATM接口线路板。
Quidway®8505交换机在网络的实际应用中,我们配备了Salience引擎,并提供Console(RJ-45)控制口;用2块12口的LSB1GP12B模块,提供高达24个的光纤通道,提供高达48G的数据线形流量,5路千兆链路到5台服务器,1路千兆链路接入到综合楼的交换机上,另有扩展则增加千兆扩展模块即可;同时采用了1+1电源配备方式,提供高达2700W的电源,提供了高可靠性的网络电源支持,支持多种协议,具备网络管理功能。
在二级网络中心选用Quidway®6506交换机,该交换机提供2/3层的线速服务功能,主要可作为企业或城域网区域汇聚层交换机。
Quidway®6506具备6个高扩展性插槽。
在网络的实际应用中,我们配备了SalienceI引擎,并提供Console(RJ-45)控制口;用1块8口的LS-6506-GB8U模块,提供高达16G的数据线形流量,8路通过光缆实现1000M连接到各个建筑单元;同时采用了2+1电源配备方式,提供高达1800W的电源,提供了高可靠性的网络电源支持,可根据需要选用采用一块LS6506-FT48/24,提供48/24口10/100MRJ45接口。
根据需要在各个主干网络中心,为了避免太多占用主干交换机槽位,主交换Quidway®8505以及Quidway®6506没有使用100M模块,而是通过Quidway®3000系列交换机来实现终端接入,中心(包括汇聚层)交换机和接入层交换机在同一楼宇内通过1000BASE-T模块连接;中心(包括汇聚层)交换机和接入层交换机不在同一楼宇内通过LS-GTIU1000BASE-LX模块连接;实现网络的主干高速连接。
该交换机的其他扩展功能,在交换机选型中加以说明。
在各个工作区网络系统中,我们采用了Quidway®LS-3000系列交换机,主要使用Quidway®LS-3026E和Quidway®LS-3050,该交换机具备24或48口10/100M的RJ45接口,实现10/100M交换到桌面,同时提供2个GBIC插槽,通过Quidway®LS-GSIU多膜模块,连接到核心交换机,实现1000M的光缆通道;在同一楼宇内部的多台交换机通过LS-LSIULANSWITCH堆叠模块进行堆叠,形成高速背板带宽,实现无缝线速连接;该系列交换机还可与核心交换机通过Quidway®SWP-6506管理软件,实现网络的整合管理。
全网可交换端口数:
序号
交换机位置
GB端口数
百兆端口数
1
综合楼主交换机
18
0
2
综合楼接入交换机
1
2*48
3
电院主交换机
7
0
4
电院接入交换机
1
7*48
5
1号楼
7
0
6
1号楼接入交换机
1
2*48
7
五系
13
0
8
五系接入交换机
1
2*48+24
9
教学主楼
1
2*48
5
老图书馆
1
1*48
6
2号楼
1
3*48
7
120楼
1
5*48
8
学员宿舍1
1
1*24
9
学员宿舍2
1
1*24
10
学员宿舍3
1
1*24
11
研究生公寓1
1
6*48
12
研究生公寓2
1
6*48
13
电子电力研究所
1
2*48
14
消磁研究所
1
1*24
15
医院
1
1*24
16
俱乐部
1
1*24
17
招待所
1
1*24+48
18
警通连
1
1*24
19
体育馆
1
1*24
20
仓库
1
1*24
21
学生宿舍
2
2*24
2)核心交换机选型QUIDWAYS8505
对于中配置的方案,我公司推荐采用核心采用QUIDWAYS8505设备,汇聚层采用QUIDWAYS6506三层交换机,接入层采用QUIDWAYS3026E交换机,具体网络结构如下:
采用华为的S8505作为核心设备,设备性能相对前一个方案没有任何的降低,而且还有所上升,而且,由于采用了国产设备,成本相对有所下降。
对于华为的S8505设备,该设备具有电信级的可靠性设计,可以提供分布式的转发以及实现主控、交换、电源等关键部件的冗余,提供主控板、业务板热插拔特性,保证网络核心的稳定和关键业务的可靠运行;720G的备板、180Mpps的处理能力保证网络核心的线速交换性能;提供最大60个千兆端口、5个万兆端口,并可以进一步扩展到更高的端口密度;具有强大的业务能力,支持MPLS、VPN、策略路由等功能。
S8505设备如下图所示:
本方案设计特点:
二层功能:
S8500万兆核心路由交换机实现了高密度10GE、GE接口之间的全线速二层交换,提供整机180Mpps-432Mpps的报文处理性能。
支持802.1QVLAN协议,支持4K个VLAN;每接口板支持16K个MAC地址表项,并具有源MAC地址学习、静态MAC地址配置的功能。
三层交换与路由:
S8500万兆核心路由交换机除了实现三层交换外,还具备了高端路由器的路由功能。
具体的特性有:
支持基本的TCP/IP及常规应用协议;支持丰富的路由协议:
RIP1/RIP2、OSPF、IS-IS和BGP4等,以适应不同的网络环境;支持静态路由,管理员手工配置,简化网络配置,提高网络性能;支持128K路由表项,适应城域网/大型企业园区网的复杂环境;支持不同子网VLAN的三层互通功能。
Diff-Serv/QoS
S8500核心万兆路由交换机作为城域网络的汇聚中心设备和企业网的骨干核心设备除具备强大的二/三层转发能力与性能外,还具备完善的服务保证功能,确保不同业务流享受不同级别的服务。
支持基于端口、MAC地址、IP地址、TCP/UDP端口号、ToS(TypeofService)/Diffserv值和CAR(CommittedAccessRate)的带宽管理,带宽管理的粒度为64kbit/s
安全特性
支持配置安全,对登录用户进行认证,不同级别的用户有不同的配置权限,提供两种用户认证方式——本地认证和RADIUS认证;
支持受限的IP地址的Telnet的登录和口令机制;
支持协议报文认证,支持OSPF、RIP2及BGP4的报文明文认证和MD5密文认证;
支持基于用户定义的策略,可以对报文进行过滤,支持ACL包过滤;。
支持防火墙具备的一些报文过滤机制
支持安全过滤,可以将过滤的报文重定向到某个固定端口,便于利用仪器设备抓包分析;
支持数据同步机制,定期检查配置信息,提供主备机数据备份机制,对程序、配置数据定时和人工备份,提供对程序、配置数据的掉电保护能力。
支持组播业务
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 计算机网络 系统 设计方案 华为