收藏
下载资源

网络工程设计CH7-2.pptx

上传人:赵** 文档编号:12867728 上传时间:2022-04-26 格式:PPTX 页数:59 大小:5.51MB
返回 下载 相关 举报
网络工程设计CH7-2.pptx_第1页
第1页 / 共59页
网络工程设计CH7-2.pptx_第2页
第2页 / 共59页
点击查看更多>>
资源描述

《网络工程设计CH7-2.pptx》由会员分享,可在线阅读,更多相关《网络工程设计CH7-2.pptx(59页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第7章 企业网设计网络设计生命周期PDIOO P计划:输出需求报告D设计:输出设计规范书I实现:输出验收测试报告O运营:输出运营测试报告O优化:输出优化方案R退役:输出退役原因报告网络系统设计 1 1 网络系统设计模型网络系统设计模型2 结构化网络系统设计结构化网络系统设计3 3 网络拓扑和网络拓扑和IPIP编址方案设计编址方案设计4 4 网络物理设计网络物理设计5 5 进一步部完善设计文档进一步部完善设计文档自上而下的网络设计模型自上而下的网络设计模型的要点1.确定应用的逻辑(不注重实现细节,只注重要求/目标)连接性要求。2.确定满足逻辑连接性要求所需网络的功能元素(连接范围、带宽/吞吐量、

2、路由方式、冗余保障及安全策略等对逻辑连接要求的支撑)。3.分别设计各个功能元素,同时保证与其他功能元素的整体关联性。4.按模块化和层次化结构方法设计各功能元素。将这些功能在网络的不同模块/层次设备中部署。2 结构化网络系统设计结构化网络系统设计 定义:将网络应用或服务需求融合到层次化、模块化的网络体系结构中,完成包括网络拓扑、带宽/吞吐量、编址、路由、安全、QoS、冗余等功能的设计和部署 。 包括: 1.层次化设计 2.模块化设计因为是对这些网络性能和功能的设计和部署所以也称网络系统的逻辑(结构)设计。 1.层次化设计层次化网络设计模型: 核心层:数据包的高速交换; 汇聚层:提供基于策略(聚合

3、、过滤等)的连接和交换。 接入层:提供用户本地或远程网络接入,执行网络访问控制等。可作为园区网,本地网,各级地区网等网络层次化设计的模型。优点: 网络伸缩性强 容易故障隔离 易于理解和优化 节约成本核心层核心层汇聚层汇聚层接入层接入层交换交换交换交换交换交换1G bps1000M bps1000M bps100M bps100M bps基于交换的层次结构示例注意:无须将层次结构的各层作为实体实现,只是为了合理的基于功能设计。基于路由的层次结构示例核心层核心层汇聚层汇聚层接入层接入层分布式主干设计分布式主干设计单路由器设计单路由器设计核心层设计在纯粹的分层设计中,核心层只完成数据交换的特殊任务。

4、关注于性能(吞吐量、时延)设计的需求。 主要目标: (1)高效性; (2)可靠性; (3)可扩展性; (4)适当成本。核心层核心层汇聚层汇聚层设计要点1)可达性 足够的交换能力 具有足够的路由信息来交换发往网络中任意端设备的数据包; 核心层具有备份路径到达目的地: 聚合路径能够用来减少核心层路由表; 能在多路经上提供负载平衡。 2)冗余性 (1)设备冗余; (2)模块冗余; (3)链路冗余,建议完全互联。 3)尽量不执行网络流量控制策略 如:过滤、复杂QoS处理、加密、NAT等;核心层设备的选型考虑的指标:背板带宽;(时延)包转发速率;(吞吐量)可冗余度(可靠性); 热插拔(可靠性);多余插槽

5、(可扩展性);支持较新的网络协议(可扩展性) ;网络管理的简单性和透明性(可管理性)。核心层设备举例: RG-S6506万兆骨干路由交换机 RG-S6506万兆骨干路由交换机主要指标固定端口固定端口全模块化模块插槽模块插槽6个背板背板768G(V3.x)交换容量交换容量576G(V3.x引擎)包转发速率包转发速率L2/L3:286Mpps(V3.x引擎)L3L3协议协议OSPF、RIPV1、RIPV2、IGMP v1/v2/v3防病毒攻击防病毒攻击全面的ACL、防源IP地址欺骗、防DOS攻击,防扫描管理方式管理方式SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SS

6、H其它协议其它协议SNTP、DHCP Client、DHCP Relay、DNS Client、ARP Proxy、Radius、Syslog汇聚层设计汇聚层设计 核心与接入层的交汇点,关注网络功能和性能的需求。 主要目标: (1)流量可控能力强; (2)网络可扩展性好; (3)网络安全能控制; (4)适当成本汇聚层汇聚层接入层接入层设计要点 1)制定流量控制策略:基于业务或用户制定分离与过 滤本地业务流量、广播和组播流量的方案,以减少 对核心层的交换容量消耗。 2)制定路由控制策略:静态和动态路由选择协议之间,路由过滤、路由冗余、路由汇聚,路由域之间重分布,负载均衡等功能制定路由策略方案,降

7、低核心层的路由处理负载。 3)制定安全控制策略:定义恶意流量,制定限制 不安全区域扩散的方案。提高故障隔离能力。 4)制定扩展能力目标:设计部门或工作组的可伸缩性 (带宽、接口数量、接口类型等方面)接入容量,将 网络扩展区域压缩在较小的范围。以降低扩展成本 并提高扩展适应性。考虑的指标:功能的支持性包转发速率插槽数量端口密度支持较新的网络协议和流媒体处理能力;网络管理的简单性和透明性汇聚层设备的选型汇 聚 层 设 备 举 例 : RG-S3760千兆多层交换机RG-S3760千兆多层交换机主要性能固定端口固定端口24端口10/100M自适应端口,4个SFP接口、10/100/1000M复用口背

8、板背板37.6Gbps转发速率转发速率L2:线速(9.6Mpps)L3:线速(9.6Mpps)IPv4&IPvIPv4&IPv6 ACL6 ACL标准IP ACL,扩展IP ACL,MAC扩展ACL,时间ACL等,QoS L2L2协议协议IEEE802.3、IEEE802.3u、IEEE802.3z 等L3L3协议协议IPv6、OSPFv1/v2、OSPF v3、RIPv1/v2、DVMRP、VRRP、IGMPv1/v2/v3等防攻击防攻击 支持防防IPIP扫描、扫描、DoSDoS, , 控制病毒传播控制病毒传播管理协议管理协议SNMPv1-v3、Web(JAVA)、CLI、RMON(1,2,

9、3,9)、集群网络介质网络介质和最大传和最大传输距离输距离1000BASE-SX:波长850nm,50/125um-500m1000BASE-LX:波长1310nm,50/125um-550m;9/125um-10Km1000BASE-LH:波长1310nm,9/125um-40Km1000BASE-ZX:波长1550nm,9/125um-50Km和80Km两种接入层设计接入层设计 用户接入网络的集中点。 主要目标: (1) 物理接入的方便、灵活性 (2) 接入的扩展能力 (3) 接入的可管理、控制性 (4) 接入的低成本接入层接入层设计要点 1.关注与汇聚层功能可衔接性,对汇聚层的访问控制和

10、策略进行支持。 2.关注接入容量与成本的比重权衡 3.关注访问控制的能力和可管理性 4.关注接入方式的多样性 5.提供广播抑制、协议过滤、QoS标记等服务接入层设备选型考虑的指标:端口密度与类型网络管理的简单性和透明性接入访问控制技术安全技术 接入层设备举例:S2126G/S2150G安全智能交换机 S2126G/S2150G安全智能交换机主要指标 固定端口固定端口24端口10/100自适应模块插槽模块插槽2个扩展插槽背板背板12.8Gbps包转发速率包转发速率线速(6.6 Mpps)端口安全、端口隔离、访问控制硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口用户接入基于SAM平

11、台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户合法性和唯一性;L2L2协议协议IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3x等管理协议管理协议SNMPv1/v2/v3、Web(JAVA)、CLI、RMON(1,2,3,9)、集群其它协议其它协议BOOTP/DHCP Relay、DNS Client汇聚层汇聚层RG-S35XXRG-S37XXRG-S49XX核心层核心层RG-S35XXRG-S37XXRG-S49XXRG-S68XX访问层访问层RG-S19XXRG-S21XX 锐捷产品锐捷交换产品

12、线锐捷交换产品线核核心心层层骨骨干干层层汇汇聚聚层层接接入入层层骨干路由交换机骨干路由交换机S4909智能交换机智能交换机S2100系列系列增强网管型交换机增强网管型交换机 S1926G/F+核心万兆路由交换机核心万兆路由交换机S6810E全千兆智能多层交换全千兆智能多层交换机机S3550系列系列智能多层交换机智能多层交换机S3550-24/48智能网管交换机智能网管交换机 S1900系列系列核心万兆路由交换机核心万兆路由交换机S6810快速以太网交换机快速以太网交换机S1800系列系列全模块化三层交换全模块化三层交换机机 S2800-L3万兆路由交换机万兆路由交换机S6806万兆路由交换机万

13、兆路由交换机S6806E万兆路由交换机万兆路由交换机S6506增强智能安全多层交换增强智能安全多层交换机机S3750系列系列 锐捷路由器STAR-R2501+STAR-R2501+STAR-R621STAR-R621RG-NBR1000ERG-NBR1000ERG-NBR200RG-NBR200RG-RSR-RG-RSR-08/08E08/08ERG-RSR-04RG-RSR-04RG-RSR-16RG-RSR-16RG-RSR-02/02ERG-RSR-02/02ERG-R1762RG-R1762RG-R2692RG-R2692RG-R2632RG-R2632RG-R2690RG-R2690

14、STAR-R2620STAR-R2620STAR-R2624/R2614STAR-R2624/R2614RG-R3642RG-R3642RG-R3662RG-R3662接入接入路由器路由器多业务多业务模块化模块化路由器路由器高端高端骨干骨干路由器路由器2.模块化设计设计要点系统划分为相对独立的功能区域或模块将总的设计任务分化为模块内和模块边缘的设计每个模块分别开展自上而下的层次化/模块化设计 基本模型: 区域或 模块内 部设计区域边缘设计外联边缘设计企业综合网络模型包括:园区基础设施模块,网络管理模块,服务站模块,边缘分布模块。服务区组园区骨干建筑分布建筑接入边缘分布网络管理WANVPN/远程

15、接入因特网连接电子商务FR/ATMPSTNISP AISP B管理区 园区网 园区边缘 服务提供商边缘网络管理域OTP 网络管理服务器 终端服务器接入控制服务器网络监控IDS控制器系统日志系统 带外管理管理接入控制:OTP:一次性口令认证控制.TACACA+:终接入控制器接入控制系统。 RADIUS:远程认证拨号接入用户服务园区网分层功能域和边缘分布域服务器组园区骨干建筑分布建筑接入边缘分布到电子商务模块到电子接入模块到WAN模块到因特网连接模块ISP A 模块边缘模块-电子商务模块边缘分布电子商务模块 数据库服务器 应用服务器 Web服务器边缘模块-因特网连接ISP B模块边缘分布因特网连接

16、模块 公共服务器(SMTP,HPPT,DNS,FTP)模块化园区网举例边缘分布模块园区园区骨干骨干帧中继PSTN网络建筑接入和分布子模块建筑接入和分布子模块服务器站子模块边缘模块中国矿业大学中国矿业大学核心层核心层汇聚层汇聚层Cernet电信电信1 1电信电信2 2RG-SAM认证计费平台STAR-S2150G/S2126G综合网络管理平台服务器群STAR-S2150G/S2126G接入层接入层2台台(RG-S6810)实验室网络结构图实际校园网拓扑示例RG-S6806ERG-S6806E万兆核心层万兆核心层STAR-S2126GSTAR-S2126GSTAR-S3550-241000M RG

17、-S6806E10G STAR-S2126GRG-S6806ERG-S6806ERG-S6810ERG-S6810ERG-SAMRG-SAM安全安全计费管理平台计费管理平台服务器群服务器群服务器群服务器群100M STAR-S3550-24STAR-S3550-24InternetCernetRG-S6806E广东人寿全省网络采用采用S6806做核心地市做核心地市R3640STAR-S68082STAR-S3550STAR-S4909STAR-S3550RG-R6806ESTAR-S3550STAR-S2126SSTAR-S2126SSTAR-S3550RG-R6806ESTAR-S2126S

18、STAR-S2126SSDHFR采用采用S6806做核心地市做核心地市共共8台台RG-S6806分别分别使用在使用在8个核心地市个核心地市实验室网络拓扑图实验室网络拓扑图二. 网络IP编址方案设计 1.设计目标:设计目标:易维护性:按设备、设备互连、应用地址分类划分,易于分别。易扩容性:具有适应网络增长的弹性,避免重新设计。易汇聚性:易于子网边界汇聚路由,减少路由表条目。易控制性:易于制定ACL策略,减少ACL数量,提高设备效能。2.设计要点要点n基于网络拓扑结构、组织结构、应用结构设计n确定一级网络地址范围;n按应用或地理特征划一级网络为多个二级子网n将二级子网按照 用户、服务器、设备互联、

19、网管划分成多个更小的子网n注意预留地址空间,便于后期扩展。3. 设计举例:第一步第一步 规划地址总表规划地址总表用处地址范围汇总路由应用应用类类宿舍楼172.16.0.0/24172.23.0.0/24172.16.0.0/17教学楼192.168.64.0/24192.168.191.0/24192.168.0.0/24实验楼图书馆宿舍楼预留172.24.0.0/24172.31.0.0/24172.16.0.0/17教学楼预留实验楼预留图书馆预留互联地址192.168.1.0/24192.168.63.0/24设备设备互联互联可网管设备34台192.168.128.0/24192.168.

20、191.0/24网管网管运营商名称 ISP1210.210.183.0/25210.210.183.0/25外联外联第二步,应用类地址规划第二步,应用类地址规划 地理位置地理位置网段网段掩码掩码汇总汇总宿舍楼一一层172.16.1.0/24172.16.0.0/21二层172.16.2.0宿舍楼二一层172.17.1.0/24172.17.0.0/21二层172.17.2.0宿舍楼三一层172.18.1.0/24172.18.0.0/21二层172.18.2.0教学楼192.168. 64.0/24192.168. 64.0 /24应用类服务器192.168.79.0/25192.168.79

21、.0/24管理类服务器192.168.79.128/25实验楼192.168.80.0/24192.168.80.0/24图书馆应用类服务器192.168.96.0/24192.168.96.0 /24192.168.111.0.0/24192.168.111.0.0/24第三步,设备互联地址规划第三步,设备互联地址规划设备设备名称名称互联互联接口接口地址地址对端设对端设备备互联互联接口接口地址地址设备1SVI172.16.128.1/28设备10SVI172.16.128.14/28设备2F0/10 172.16.128.33/28设备20F0/10172.16.128.46/28设备*实验

22、室地址实例端口号连接地点连接设备IP地址对端/网关地址对端/所属VID端口模式F.0/10-24用户pcpc192.168.137.2-100192.168.137.1100SVIF.0/1机柜-ARCMS-A10.10.10.210.10.10.110SVIF.0/2机柜-BRCMS-B10.10.11.210.10.11.111SVIF.0/3机柜-CRCMS-C10.10.12.210.10.12.112SVIF.0/4机柜-DRCMS-D10.10.13.210.10.13.113SVIF.0/5机柜-ERCMS-E10.10.14.210.10.14.114SVIF.0/6机柜-FR

23、CMS-F10.10.15.210.10.15.115SVIF.0/7机柜-GRCMS-G10.10.16.210.10.16.116SVIF.0/8机柜-HRCMS-H10.10.17.210.10.17.117SVI第四步,设备网管地址设计第四步,设备网管地址设计 汇聚层汇聚层管理地址管理地址掩码掩码下联下联2层设备层设备管理地址管理地址掩码掩码RS31192.168.101.254/24s11192.168.101.1/24s12192.168.101.2s13192.168.101.3RS32192.168.102.254/24s21192.168.102.1/24s22192.168

24、.102.2s23192.168.102.3RS33192.168.103.254/24s31192.168.103.1/24s32192.168.103.2s33192.168.103.3RS34192.168.104.254/24s41192.168.104.1/24s42192.168.104.2第五步,外网地址第五步,外网地址接口出口地址设备名称接口互联地址F0/1210.210.183.113/30ISP1210.210.183.114/30配置NATNAT(Network Address Translation,网络地址转换)是一种将一个IP地址域(如Intranet)转换为另一个

25、IP地址域(如Internet)的技术。NAT技术的出现是为了解决IPv4地址日益短缺的问题,它将多个私有IP地址映射为一个或几个公有IP地址,从而使得内部网络中的主机可以透明的访问外部网络的资源,同时外部网络中的主机也可以有选择的访问内部网络。NAT也能使得内外网络隔离,提供一定的网络安全保障。 1. NAT相关术语 (1)内部网络(Inside)指企业或机构所拥有的网络,与NAT路由器上被定义的Inside的端口相连。(2)外部网络(Outside)指除了内部网络之外的所有网络,主要指Internet,与NAT路由器上被定义的Outside的端口相连。(3)内部本地地址(Inside Lo

26、cal Address)内部网络主机使用的IP地址,通常为私有IP地址,不能直接在Internet上路由,因而不能直接访问Internet,必须通过网络地址转换,以公有IP地址访问Internet。(4)内部全局地址(Inside Global Address)内部网络使用的公有IP地址,当使用内部本地地址的主机要访问Internet,进行网络地址转换时需要使用该地址。 (5)外部本地地址(Outside Local Address)外部网络主机使用的IP地址,这些地址不一定是公有的IP地址。(6)外部全局地址(Outside Global Address)外部网络主机使用的IP地址,这些地址

27、是全局可路由的公有IP地址。 2. NAT的工作过程 3、NAT的类型 1. 静态NAT静态NAT在地址映射表中为每一个需要转换的内部本地地址创建了一个固定的地址映射关系,映射了唯一的内部全局地址,本地地址与全局地址一一对应。也就是说,在静态NAT中,内部网络中的每一个主机都被永久映射了可以访问外部网络的某个合法地址,当内部主机访问外部网络时,内部本地地址就会转换为相应的全局地址。 2. 动态NAT动态NAT是将可用的内部全局地址的地址集定义为NAT池(NAT Pool),对于要与外界进行通信的内部主机,如果还没有建立映射关系,NAT设备将会动态的从NAT池中选择一个全局地址与内部主机的本地地

28、址进行转换。该映射关系在连接建立时动态创建,而在连接终止时将被回收。动态NAT增强了网络的灵活性,减少了所需的全局地址的数量。需要注意的是,如果NAT池中的全局地址被全部占用,则此后的地址转换申请将被拒绝,这样会造成网络连通性的问题。另外由于每次的地址转换都是动态的,所以同一主机在不同连接中的全局地址是不同的,这会增加网络管理的难度。 3. 地址端口转换(NAPT)地址端口转换是动态转换的一种变形,它可以使多个内部主机共享一个内部全局地址,而通过源地址和目的地址的TCP/UDP端口号来区分地址映射表中的映射关系和本地地址,这样就更加减少了所需的全局地址的数量。例如,假设内部主机192.168.

29、1.2和192.168.1.3都使用源端口1723向外发送数据包,NAPT路由器把这两个内部本地地址都转换为全局地址202.10.50.2,而使用不同的端口号1492和1723。当接收方收到源端口为1492的报文时,则返回的报文在到达NAPT路由器后,其目的地址和端口将被转换为192.168.1.2:1723。当接收方收到源端口为1723的报文时,则返回的报文在到达NAPT路由器后,其目的地址和端口将被转换为192.168.1.3:1723。 案例1 配置静态NAT 在图所示的网络中,一台Cisco 2811路由器通过串行端口S0/0/0接入Internet,内部网络有两台PC,它们使用的是内

30、部本地地址,要求在路由器上配置静态NAT,使这两台PC都能够访问Internet。其中PC1和PC2使用的内部全局地址分别为210.30.192.2和210.30.192.3,路由器内部网络接口F0/0的IP地址为192.168.1.1,外部网络接口S0/0/0的IP地址为210.30.192.1。 在路由器的配置过程为:Router(config)#ip route 0.0.0.0 0.0.0.0 s0/0/0 /配置默认路由Router(config)#ip nat inside source static 192.168.1.2 210.30.192.2/配置将内部本地地址192.168

31、.1.2静态转换为内部全局地址210.30.192.2Router(config)#ip nat inside source static 192.168.1.3 210.30.192.3/配置将内部本地地址192.168.1.3静态转换为内部全局地址210.30.192.3Router(config)#interface FastEthernet0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat inside /定义F0/0端口连接内部网络Router(config-if)#no

32、shutdownRouter(config-if)#interface Serial0/0/0Router(config-if)#ip address 210.30.192.1 255.255.255.0Router(config-if)#ip nat outside /定义S0/0/0端口连接外部网络Router(config-if)#no shutdown案例2配置动态NAT 在上图所示的网络中,如果内部网络使用的内部本地地址为192.168.1.0/24,申请到的内部全局地址范围为210.30.192.2210.30.192.8,如果要在边界路由器上配置动态NAT,实现内部网络与Inte

33、rnet的通信 。Router(config)#ip route 0.0.0.0 0.0.0.0 s0/0/0 /配置默认路由Router(config)#ip nat pool out 210.30.192.2 210.30.192.8 netmask 255.255.255.0/定义全局地址池“out”,地址池中的地址范围为210.30.192.2210.30.192.8Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255/用标准ACL定义允许转换的内部本地地址范围为192.168.1.0/24Router(config)#ip

34、 nat inside source list 1 pool out/地址池“out”启用NAT私有IP地址的来源来自标准ACL1Router(config)#interface FastEthernet0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat inside Router(config-if)#no shutdownRouter(config-if)#interface Serial0/0/0Router(config-if)#ip address 210.30.192.1

35、 255.255.255.0Router(config-if)#ip nat outside Router(config-if)#no shutdown 案例3配置NAPT 在上图所示的网络中,如果内部网络使用的内部本地地址为192.168.1.0/24,现申请到的内部全局地址只有210.30.192.1,这个地址配置在路由器的S0/0/0端口上,如果要在边界路由器上配置NAPT,实现内部网络与Internet的通信。Router(config)#ip route 0.0.0.0 0.0.0.0 s0/0/0 /默认路由Router(config)#access-list 1 permit 1

36、92.168.1.0 0.0.0.255/用标准ACL定义允许转换的内部本地地址范围为192.168.1.0/24Router(config)#ip nat inside source list 1 interface s0/0/0 overload/将来自于ACL1中的私有IP地址,使用s0/0/0端口上的IP地址进行转换,overload表示使用端口号进行转换。Router(config)#interface FastEthernet0/0Router(config-if)#ip address 192.168.1.1 255.255.255.0Router(config-if)#ip nat inside Router(config-if)#no shutdownRouter(config-if)#interface Serial0/0/0Router(config-if)#ip address 210.30.192.1 255.255.255.0Router(config-if)#ip nat outside Router(config-if)#no shutdown

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 研究报告 > 其他报告

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁