校园网组网方案设计.doc
校园网组网方案设计 摘 要 本论文本着实用的原则,全面介绍了局域网组建所需要的基础知识、实战方法和操作技巧。全套论文由4章构成,分别介绍了组建局域网必须了解的基础知识,局域网的特点,网络软、硬件的选择方法,常见局域网的构建方法。其中内容丰富,叙述清楚,详细而系统的介绍了组建局域网和管理局域网方面的技术知识。校园网能促进学生尽快提高应用信息技术的水平。信息技术是一门不断发展的应用型学科,为了让学生掌握更加实用的信息技术,必须给他们提供一个信息化的环境,校园网是提供信息化环境的基础。 校园网为教师提供了一种先进的辅助教学工具、提供了丰富的教学资源库,是学校进行教学体制改革、推行素质教育一种必不可少的工具。校园网提供了学生与外界交流的桥梁,通过校园网与教育网以及互联网的连接,实现了教育资源的最大共享和信息的最快获取。关键词:虚拟局域网;网络操作系统;网卡的硬件地址;传输控制协议网际协议1绪论1.1 网络的功能 所谓计算机网络,是指将多个独立的计算机系统通过通信线路连接起来,并在网络软件的支持下能够实现数据通信和资源共享的集合。 概括地讲,计算机网络主要有如下几个方面的功能: (1) 资源共享:它主要包括硬件、软件和数据共享。例如,通过将某些文件放在网络中某台计算机的指定位置,可让网络中的全部或部分用户能够使用它们。此外,通过购买软件的多用户网络版本,可节约资金并使软件的维护和使用更加方便。 (2)通信:通过网络可以方便地进行实时通信。例如,用户可通过网络收发邮件、进行实时会话,而程序可通过网络实时传递信息。 (3)分布式处理:对于某些高强度的数据处理或数学运算,可通过网络将任务分布到多台计算机中进行处理,最后将结果进行汇总。1.2 网络的分类 网络的分类方法有多种,最常见的划分方式是依据网络的组建规模和延伸围,此时网络可以分为3类:局域网(Local Area Network, LAN)、城域网(Metropolitan Area Network, MAN)和广域网(Wide Area Network, WAN)。(1)局域网 局域网是局部地区网络的简称,此时连网计算机的距离通常应小于10km。例如,由一栋或几栋建筑物内的计算机、一个小区内的计算机或一个单位内的计算机构成的网络,基本上都属于局域网。 局域网根据其规模的大小又可以细分为小型局域网和大型局域网。其中,小型局域网的特点是地域小计算机数量不多,因而网络安装、管理都比较简单。例如,家庭、办公室、游戏厅、网吧以及计算机机房网络都属于小型局域网。 大型局域网主要是指企业Intranet网络、行政网络等,这类网络的特点是设备较多,管理和维护都比较复杂。 局域网之所以能够被广泛地应用,是因为它主要具备如下几个优势: · 极高的数据传输速率。局域网内各计算机之间的数据传输速率一般不小于10Mbit/s,最快可以达到100Mbit/s或1000Mbit/s。 · 低廉的连网成本。例如,廉价的同轴电缆、双绞线都可作为传输介质,而作为连网设备的网卡、集线器、交换机价格也不高。 · 网络安装、配置与管理比较简单,并且具有较高的稳定性和可扩充性。(2)城域网 城域网(MAN)比局域网规模大得多,采用与局域网相同的联网技术。它一般覆盖一座城市,通常采用ATM作为主干网络交换机,采用光纤通信技术,具有实时的数据传输、语音和视频等业务,提供较高的网络传输速度,干线速度一般在100Mbit/s以上。 (3)广域网 广域网(WAN)用电话线和卫星提供跨国或全球间的联系。数据传输速率通常要比局域网慢,其主干线传输速率目前仅为1284096kbit/s,而最终用户的上线速率仅为56kbit/s。1.3 局域网的特点1.3.1 局域网的组成 (1)服务器(Server):用来管理网络并为用户提供共享服务的计算机。与网络中的工作站相比,服务器通常具有更快的速率、更大的存储容量和更高的可靠性。此外,为了便于对网络进行管理,服务器中通常应安装相应的网络操作系统,如Novell Netware, Windows NT/2000 Server, UNIX等。 (2)工作站(Workstation):用户使用的计算机,又称用户机或客户机。从网络构成的角度看,任何一台计算机(如 286、386、486、P、P4等)都可作为工作站。当工作站登录到网络服务器后,可按规定权限存取服务器中的文件。此外,工作站通常还可以与网络中的其他用户进行通信或访问Internet。 (3) 网络通信系统(Network Communications System):连接工作站和服务器的设备。这些设备通常应包括插在服务器或工作站中的网卡,它们应与通信介质相连;用于传输数据介质,如同轴电缆、双绞线、光纤等;专用的通信设备,如集线器(HUB)、局域网交换机、路由器等。 (4) 网络操作系统(Network Operating System):对于稍在一点的网络来说,为了充分发挥网络的功能,以及更好地管理网络,通常应在服务器中安装网络操作系统。例如,基于安全起见,企业的几乎所有重要数据(如财务、销售等)都被保存在服务器中,并非每个人都能访问这些数据。通常情况下,只有企业负责人拥有最高权限,而其他人只能查看部分数据。此时就是借助网络操作系统来对资源和用户进行管理的,它规定了用户的权限,以及用户所能访问的资源。1.3.2 局域网的拓扑结构 所谓局域网的拓扑结构,是指局域网中各计算机之间的连接形式。如果抛开构建局域网时所采用的通信介质、通信设备等,局域网中各计算机之间的学用连接形式实际上只有两种,即总线型与星型。 在总线型网络中,由于各计算机共享一条通信电缆,网络中某个节点出现故障,将导致整个网络瘫痪。因此,目前这类结构的网络已趋于淘汰。 星型网络的优点是,当网络中某个节点出现故障时不会影响整个网络的运行。其缺点是每个计算机都要占用一条专用的通信线路,并且需要额外的通信设备,将导致成本的增加。但是,由于目前各种硬件设备价格都已非常便宜,所以,现在绝大部分局域网都采用了这种结构。1.3.3 什么是局域网的规范 事实上各种网络结构都是有章可循的,这就是局域网规范(或称为局域网标准)。 从大的方面讲,根据网络的工作原理,目前的局域网大致可分为三类,即以太网、令牌环网和ARCNET 网。其中,以太网是目前局域网中采用最多的通信协议标准,它采用CSMA/CD (载波监听多路访问/冲突检测) 技术进行信息传递。该标准定义了在局域网中采用的电缆类型和信息处理方法,在互联设备之间可以10100Mbit/s的速率传送信息包,目前约80的局域网都是以太网。 由于技术的发展和用户要求的多样性,以太网又被细分成了一系列规范。例如,10 Base2以太网规范定义了构建以细同轴电缆为通信介质,网络通信速率为10 Mb/s,网络拓扑结构为总线型的局域网的技术指标;10 Base T 以太网规范定义了构建以双绞线为通信介质,网络通信速率为10Mb/s ,网络拓扑结构为星型的局域网指标。 一般来说,每种局域网规范都规定了如下几项指标: · 网络通信速率,例如,10Mb/s、100 Mb/s及1000 Mb/s 等。 · 局域网的结构,例如,采用总线型或星型。 · 所使用的通信介质,例如,同轴电缆、双绞线或光纤。其中,每种介质中又包含了多个子类,例如,双绞线就包括了3类、4类、5类及超5类双绞线等。 · 所使用的网卡类型,其中包括数据传输速率与接口类型。例如,要构建10 Base T 星型以太网,网卡的数据传输速率必须为10Mb/s,且必须带有RJ-45接口。 · 网络中所能支持的最大用户数量。例如,构建廉价的细同轴电缆总线型网络时,每个网段中的用户数不能超过30。 · 距离要求。由于随着距离的增加,信号会逐渐衰减,因此,各种局域网规范都对各种距离(如通信设备与计算机之间,各种通信设备之间等)有明确的要求。例如,在构建以集线器为核心的双绞线星型网络时,集线器与计算机之间的距离通常不超过 100m。1.3.4 什么是局域网中的半双工和全双工 所谓半双工与全双工,是指通信双方信息交换的方式。其中半双工是指在同一时间通信双方只能有一方发送或接收信息,另一方只能处于等待状态。局域网中最早使用的就是这种方式。就目前来说,由于共享式局域网中的计算机都共享一条通信通道,在技术上无法实现同一时刻数据的双向通行,因此,常规的共享式网络只能工作在半双工模式。 所谓全双工是指在同一时间内,通信双方都可以同时发送与接收信息。从理论上讲,全双工通信方式的数据传输速率要比半双工通信方式提高一倍。就目前来说,很多交换机和网卡都采用了全双工模式,从而使网络速率得到大幅度提高。1.3.5 局域网的结构类型 局域网的结构决定了局域网的管理方式,当我们创建一个局域网时,通常应遵循如下步骤来进行: 明确自己的需求,即希望局域网具备哪些功能。 在综合考虑局域网功能、现有软硬件的特点与价格、网络的可管理性与可扩充性等因素的基础上决定局域网的结构。 根据选定的局域网结构决定局域网的拓扑结构,以及应选择的相关设备和软件。 对局域网进行配置和维护。 由此可以看出,决定局域网的结构是构建局域网时非常重要的一环。1.4 组网中常见技术1.4.1 双核心技术 通过双机热备VRRP和 802.1S技术实现双核心热备,不但可以让设备进行冗余备份,而且还可以使中心数据通信负载均衡,从而让中心设备减轻负荷,保证核心层的稳定性和可靠性.在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。 两台核心中央交换机本身通过OSPF路由协议对汇聚点的连接提供路由冗余和流量负载均衡。OSPF路由协议是一种典型的链路状态(Link-state)的路由协议,一般用于同一个路由域内。OSPF协议支持到同一目的地的多条等价路由,我们可以利用该特性实现路由冗余和流量的负载均衡。双核心技术目的是防止一个点的失败导致整个网络功能的丢失。虽然冗余设计可能消除的单点失败问题,但也导致了交换回路的产生,它会带来如下问题:A.广播风暴B.同一帧的多份拷贝C.不稳定的MAC地址表。因此,在交换网络中必须有一个机制来阻止回路,而生成树协议(Spanning Tree Protocol)的作用正是在于此。 1.4.2 生成树协议生成树协议的国际标准是IEEE802.1d。运行生成树算法的网桥/交换机在规定的间隔内通过网桥协议数据单元(BPDU)的组播帧与其他交换机交换配置信息,其工作的过程如下:1. 通过比较网桥/交换机优先级选取根网桥/交换机(给定广播域内只有一个根网桥/交换机);2. 其余的非根网桥/交换机只有一个通向根网桥/交换机的端口,称为根端口;3. 每个网段只有一个转发端口;4. 根网桥/交换机所有的连接端口均为转发端口。当网络的拓扑结构发生改变时,生成树协议重新计算,以生成新的生成树结构。在此期间,交换机不转发任何数据帧。当交换机的所有端口状态切换为转发或阻塞状态时,表明重计算完毕。这一状态称为会聚(Convergence)。1.4.3 链路聚合技术链路聚合技术亦称主干技术或捆绑技术,其实质是将两台设备间的数条物理链路“组合”成逻辑上的一条数据通路,称为一条聚合链路,该链路在逻辑上是一个整体,内部的组成和传输数据的细节对上层服务是透明的。聚合内部的物理链路共同完成数据收发任务并相互备份。只要还存在能正常工作的成员,整个传输链路就不会失效。链路聚合的优点从上面可以看出,链路聚合具有如下一些显著的优点: 1 提高链路可用性链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速接替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可见的,而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫秒内完成。 2 增加链路容量聚合技术的另一个明显的优点是为用户提供一种经济的提高链路传输率的方法。通过捆绑多条物理链路,用户不必升级现有设备就能获得更大带宽的数据链路,其容量等于各物理链路容量之和。聚合模块按照一定算法将业务流量分配给不同的成员,实现链路级的负载分担功能。 校园网概述2.1 项目背景及现状网络中心位于科技楼4楼,二级节点分别位于大学生活动中心、学生楼4栋、理工大学,三级节点为行政楼、生化楼、机电楼、成教楼、职教学院,网络中心与二级节点带宽为1G,理工大学 与行政楼带宽为1G,理工大学与机电楼、生化楼带宽为全双工400M(200M全双工)。网络中心配置了一台Cisco Catalyst 4006-L3交换机作为中心交换机。在理工大学、学生宿舍4栋、大学生活动中心各配置了一台汇接层交换机主要采用了Cisco Catalyst 3524XL。接入层交换机采用了Cisco Catalyst 2950交换机,和Catalyst 3524XL构成群集堆叠。具体网络设备配置如下:学生宿舍4栋:配置1台Catalyst 3524和2台Catalyst 2950;Catalyst 3524配置一个千兆GBIC光接口卡连接网络中心交换机,Catalyst 2950和Catalyst 3524通过100M双绞线连接;并通过光纤收发器以100M的速率连接职教中心。大学生活动中心:配置1台Catalyst 3524和2台Catalyst 2950;Catalyst 3524配置一个千兆GBIC光接口卡连接网络中心交换机,Catalyst 2950和Catalyst 3524通过100M双绞线连接;并通过光纤收发器以100M的速率连接成教学院。成教学院:配置1 台Catalyst 2950;通过光纤收发器以100M的速率连接大学生活动中心的Catalyst 3524;通过光纤收发器以100M的速率连接职教中心作为备份连接。职教中心:配置1 台Catalyst 2950;通过光纤收发器以100M的速率连接学生宿舍4栋的Catalyst 3524;通过光纤收发器以100M的速率连接成教学院作为备份连接。理工大学 :理工大学 自己的网络系统通过INTEL交换机的千兆接口直接连接中心交换机。配置Catalyst 3524作为二级交换机;Catalyst 3524配置2个千兆GBIC光接口卡,1个连接络中心交换机,1个连接行政楼三级节点。通过光纤收发器和Fast Ether Channel技术,采用双链路连接机电楼和生化楼的三级节点交换机。行政楼:配置1台Catalyst 3524和2台Catalyst 2950以及原有的Catalyst 5000交换机;Catalyst 3524配置一个千兆GBIC光接口卡,通过理工大学 光纤配线的跳接,直接连接到中心交换机上,Catalyst 2950、Catalyst 5000和Catalyst 3524通过100M双绞线连接。生化楼:配置2台Catalyst 2950,通过光纤收发器和Fast Ether Channel技术,采用双链路连接理工大学 二级交换机。机电楼:配置2台Catalyst 2950,通过光纤收发器和Fast Ether Channel技术,采用双链路连接理工大学 二级交换机。科技楼2楼和8楼:使用原有的Catalyst 3000作为接入交换机,通过100M光纤连接中心交换机。生化楼和机电楼的三级交换机,除了可以使用上述的Fast Ether Channel技术连接理工大学 二级交换机外,还可以分别通过两个链路连接理工大学 二级交换机,然后在本地用UTP连接构成备份链路。如下拓扑图: 图 2.1 现有网络拓扑图2.2 用户需求1、采用双核心技术,不但可以起到让设备进行冗余备份,而且还可以进行中心数据通信负载均衡,有效减轻中心设备减清负荷,保证核心层的稳定性和可靠性;2、四个汇聚层到核心采用链路全冗余,汇聚层之间单独再加一条链路,使得各个汇聚层之间的访问在汇聚层终结;3、网络核心、楼宇汇聚和接入产品都具有病毒防范、拒绝DDOS攻击和防扫描等安全功能,不但在不同的网络环境下都能做到快速有效的控制,而且也可以应对突发性的安全的事件,确保了网络的稳定运行;4、校园网的信息点覆盖整个校园,教室、办公室和宿舍等地方都是十分开放的,很多人都可以自由出入这些地方,任何一个人都可以利用这些地方的信息点,通过便携连接到学校办公内部网,这将对校园网造成巨大安全隐患。全网接入采用统一认证技术,保证了只有合法授权的用户才能使用内部或外部网络,而且还能对网络的使用情况进行了审计;校园网规划和需求我设计是根据所需的功能要求与将来能支持扩展功能为依据,通过我对网络的设计,实现的信息化、自动化。设计实现的目的,一方面是建设一个完整的基础信息平台,使网络运行流畅,为应用提供一个最适合的逻辑结构。另一方面进一步发展网络的优势来开展各种丰富的业务提高学生管理与服务的质量与效率,对于技术方案设计的概述将围绕以下几点设计原则展开描述。3.1 网络规划原则3.1.1 校园网实用的投资保护对于投资的保护,是每个用户都关心的问题。每个设备都进行严格的选型,在满足设计原则的功能前提下,提供最具性价比的设备配置方案。对不同技术和设备的兼容在很大程度上保护了用户的投资。“用最少的投入获得最高的网络性能,同时保证投入最长的生命期”是投资保护的最重要的原则。使用的产品智能万兆平台设备,即使大学后续扩容,也是可以平滑升级到线速万兆接口的,合理而且有效的保护了高校的投资。3.1.2 校园网的先进性当今世界,通信和计算机技术发展日新月异。我们的方案要适应新技术发展的潮流。既要保证校园网的先进性,同时也要兼顾技术的成熟性。一个大型网络光是能用还不够,必须优化设计才能这真正发挥网络的功能。3.1.3 打造网络高的可用性和可靠性我们的方案对于网络的重要应用完全支持采用冗余的设计,整网具备良好的健壮性,支持对于重要交换机之间的连接支持采用多条物理链路交换机之间做标准的802.1ad的捆绑,进行逻辑Trunk的链接,既能充分利用网络端口实现成倍的带宽,同时也达到了一个负载均衡和链路备份的目的。对于服务器的可用性实现,我们的基本思想是服务器群连接到原有设备cisco4006,然后通过双链路分别连接到2台万兆核心,保证了高可用性。3.1.4 构筑高安全性网络对于安全性我们将通过对用户的区域划分,和对应用层的划分来逐级实现网络的安全性。对内的安全实施包括用交换机进行VLAN的划分,在路由中创建访问控制列表,如此可对一些网络用户实行可控的安全级别。对于业务主机,例如服务器将通过用户权限的认证,实现用户与业务的隔离,避免非法用户的侵入。对重要数据库采取安全备份的机制,避免突发事件造成重要数据的丢失。支持通过防火墙对外部网络的非法访问进行过滤,防范于未然。3.1.5 搭建多业务支持平台 业务可以说是网络的灵魂,学生宿舍和教师宿舍宽带网到底可以实现顺利运营?宽带绝对不仅仅是上网的宽带化而应该是一个多业务的承载网,每个人对宽带的理解和应用都不一样,如何满足各种各样的业务需求。信息的数字化已然成为不可逆转的趋势,成为了教师和学生工作、学习、生活、娱乐不可或缺的一部分,比如正方兴未艾的视频点播、组播,网络可视电话,远程网络会议等等,这些业务对网络设备和带宽的要求非常苛刻。3.1.6 具备后续可扩展性由于计算机通讯和多媒体应用的不断发展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,以保护用户的投资,保证用户今后三到五年的网络扩充升级能力。没有人敢说“我的网够用了”。数据网络的速度从从10M到100M、100M到1000M,到10000M,用户的数据传输需求从1K到现在的整个硬盘;网络速度在以指数级的发展,而网络需求也以指数级增长。3.2 网络需求分析3.2.1 网络业务分析本次方案要求在铜缆、光纤的物理线路之上,用一套设备实现三套逻辑网络交换平台,实现三层路由交换机制,作为校园业务应用承载体系,并通过一定的带宽控制和Qos策略保证各网络平台的足够带宽。3.2.2 网络流量分析 (一)网上数据流特点 大学校园网具有网络互联的广泛性和使用多样性等特点,广播包将对数据流产生较大的影响,校园网的数据并发性,一般是呈现波峰波谷的,绝大多数情况下,存在高并发性访问的因素,除了周末或者夜间学生晚自修之后的时间,某些特殊的应用也有可能对负荷有突发要求,如使用空间数据,大范围数据搜索,视频方面的应用等,这些突发的负荷有相当一部分转移到应用设备上。这些流量的转移对于网络设备提出了较高的要求,必须要求核心(汇聚)设备均支持万兆技术。 (二)网络流量情况根据的业务,每位学生主要需求占用的带宽为:视频流,数据,语音(包括桌面会议),图形、空间数据,管理支撑等。考虑应用上某些并发的排斥特点,以及网络应用环境对通畅性的要求,一般每位学生占用的平均实际网络带宽约为1M左右即可以完全满足以上需求,在满足网络在有收敛比的情况下的带宽要求;这就要求汇聚、核心设备均具备万兆智能能力。 (三)校园网主干需要的数据流量 网络主干流量的是基于业务工作在网上展开的情况分析,实际上对网络流量的需求是逐步提升的,特别是要协同体系出现后,干道的流量会大量的增加。考虑到信息点同时在线的收敛比,本网络已经具备极高的伸缩能力,以满足其很强的扩展性要求。3.3 网络层次分析3.3.1 核心层需求分析在校园网中骨干设备担负着连接各个汇聚设备的工作,同时通过设备的互联,将分布在各物理位置的区域网络连接在一起形成一套完整的网络。由于骨干层设备担负着整个网络的流量。骨干设备和链路的稳定性将直接影响整个网络的可靠运行。由于骨干设备在网络中核心的位置需要高性能,所有的功能部件(电源、系统总线、处理器模块、网络接口模块等)均可以支持热插拔和冗余热备份等特性。完成网络骨干层高速数据交换、转发以及稳定性的要求。骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种业务的高质量传输,才能使网络不成为业务开展的瓶颈。大学网络也是学生的业务专网,实现内部高速互连。要具有构建校园各部门的虚拟业务专网的能力,可以实现部门内部及部门间的协同工作。3.3.2 区域汇聚层需求分析1、高速运送区域流量,主要工作是交换区域数据包。2、高可靠性及冗余性 3、提供故障隔离4、较少的时延和好的可管理性5、良好的路由交换能力6、良好的区域汇聚能力7、良好的万兆能力要求汇聚设备必须是纯千兆的高性能交换机;在校园网中汇聚设备担负着网络接入层和骨干设备的连接,网络汇聚层有着承上启下的重要任务。汇聚设备不但要完成接入层的链路汇聚和流量汇聚还要完成本地数据的交换以及接入和骨干之间的数据转发。作为骨干层的入口和接入层的出口,汇聚层的身份如同关卡。为保证整个网络良好运行在汇聚层同样需要高性能、关键部件冗余等特性,另外要求汇聚设备的有高端口密度可以直接连接大量的二层设备,提供更好的络品质。3.3.3 楼宇汇聚层需求分析 支持智能识别,包括用户识别和数据业务类型识别。用户识别是为了保证网络的安全。业务类型识别是保证业务数据的分类,帮助网络对业务数据的服务质量。良好的汇聚上行能力。3.3.4 接入层需求分析接入层在整个网络的边缘,学生通过接入设备接入网络。为保证整个网络安全高效的运行,作为网络的入口接入设备的智能识别是一项重要的功能。解决方案4.1 网络总体设计 根据网络需求分析网络应包括网络接入层、区域汇聚、楼宇汇聚、核心层三个层次,其中核心层交换机由万兆智能交换路由交换机BigHammer6813组成,区域汇聚由机架式万兆交换机BigHammer 6805组成,楼宇汇聚层由纯千兆交换机FlexHammer 521024组成,接入层由Uhammer2824交换机组成,具体拓扑描述如下:图 4.1 网络总体拓扑图4.2 网络结构设计4.2.1 接入层设计特点 图 4.2 接入层网络拓扑图 楼栋交换机使用FlexHammer5210,楼层交换机使用uHammer 2824。楼栋交换机双链路上连到临近的2台汇聚交换机上。4.2.2 汇聚层设计特点 图 4.3 汇聚层网络拓扑图汇聚层设备推荐使用万兆交换机BigHammer 6805。此次汇聚组网模式按照要求建议采用星形双归模式。4.2.2.1 楼宇汇聚层业务支持能力设计 万兆交换机BigHammer 6805例如可以提供真正的端到端的组播服务。支持IP;RIPV1/V2;OSPF,BGP4; IGMP;PIM-DM;PIM-SM;等协议,可以提供良好的端到端的组播特性的支持能力,方便后续开展诸如视频点播等服务能力;4.2.2.2 楼宇汇聚层扩展性设计 万兆交换机BigHammer 6805整机最大支持16个万兆接口。后续即使随着大学规模进一步扩大也是具备保护前期投资的绝对优势,因此特别适应网络拓扑结构任意改动的情况。4.2.2.3 楼宇汇聚层性能设计 万兆交换机BigHammer 6805具备强大的骨干汇聚功能,采用纯万兆平台架构进行设计,采用无阻塞设计技术进行板间通讯,高背板带宽,高交换能力,为构造一个高速交换的平台提供了稳定和高速的交换汇聚平台。4.2.3 核心层设计特点4.2.3.1 核心层交换设计 图 4.4核心层网络拓扑图核心层采用BigHammer6813万兆骨干智能路由交换机。 核心链路使用以太方式,可以运行动态路由协议、运行802.1W(RSTP)协议解决以太环路问题、链路的保护和快速收敛问题。核心层使用万兆单模光纤端口与楼宇汇聚层设备互连。4.2.3.2 核心层性能设计第三代智能万兆架构设计,板间通讯带宽达到80G(板间可支持线速4×10G接口)。BigHammer6813万兆骨干智能路由交换机支持10G以太网和10G广域网接口,大于2.4T容量的背板,当使用6800系列的第三代主控板时,BigHammer6813目前交换容量可达到1.92T,并可持续扩展到更高的容量,加上CrossBar交换网架构,实现了核心设备的无阻塞交换特性,完全分布式交换处理能力有效降低核心设备的转发引擎处理压力,支持1.43GMppsL3高速包转发,充分满足核心业务应用对高端骨干交换机性能的要求。针对此次学校的要求,完全可以实现端口捆绑,例如GE整机支持32组,捆绑支持8端口/组;百兆端口支持6组/模块,每组最大8个端口;千兆电口和千兆光口可以混合捆绑。 分布式L2/3/4层接口板处理应用流(视频、话音、数据)、重要用户的优先级,支持NAT、MPLS、VPN、策略路由等应用;支持基于端口、MAC、vlan、IP、应用类型等多种QOS;支持8个优先级队列和WRED、WRR、PQ、WFQ、FIFO等流分类、排队、调度和整形机制。赋予交换机高度的智能性,高效支持各种应用业务。68系列设备具有非常强大的ACL功能,每8个百兆端口支持256条ACL,每个GE口128条,单板最大支持3072(24×128)条ACL,业界领先。 BigHammer6813完全可以支持高达9K长度的Jumbo Frame(超长帧)。4.2.3.3 核心层设备架构设计核心交换机背板技术决定了核心产品性能,当其用于网络核心时候甚至直接决定了全网的性能。其技术经历了四代的发展:(1)共享总线技术(2)共享内存技术(3)Crosspoint架构(4)CrossBar架构。CrossBar架构采用无阻塞架构设计,完全解决了第三代技术所不能完全解决1,2代技术带来的CSMACD冲突检测机制交换效率不高的弊端,目前国内外只有少数主流厂家才能实现自主研发该项技术,BigHammer6813、6805等产品属于国内首家具备该项技术的专利产品;这样就从整体构造了一个良好的无阻塞网络平台并提升了大学网络形象。4.2.3.4 核心层设备扩展性设计 BigHammer6813整机可以提供576个千兆接口数量,96个万兆接口。4.2.3.5 核心层可靠性设计 主控引擎、交换引擎、电源、风扇、关键部件的支持冗余备份,尤其在支持BigHammer6808设备的双机热备份VRRP协议时候表现优异,业界同类设备中测试切换不丢包,不会造成业务中断。 全方位的对内容、设备、用户的安全保障,完善的ACL访问控制策略的定制,防止非法内容的访问;广播包抑制及广播源定位功能,保障网络设备安全;IP+MAC+端口绑定,支持端口反查技术,迅速定位非法用户,保证网络用户安全。校园网组网方案设计5.1 组网方案设计5.1.1 IP地址规划根据业界目前的情况和建设网络的经验,建议学校保留类地址,如10.0.0.010.255.255.255,除了几个关键单位,如网管中心,学工部等使用公网地址之外,内部使用私网网段的IP地址,整个校区出口利用高性能的GSR路由器作NAT转换,根据网络现有结构,设计比较适合的路由协议。能够实现优化的网络路径选择,在网络结构发生变化时路由能够快速收敛,保证网络的畅通。IP地址的分配采用动态分配的方式。两种分配方案:1、学校拥有的公网地址为:202.114.176.0-202.114.191.0,一共16个C类地址;网络中心、办公室、图书馆、招毕办和学工楼等使用公网地址,一共4个C类(202.114.176.0-202.114.179.0);出口使用一个C类地址,剩下的地址做为保留。 表5.1 IP地址分配表类别 地址段 数量 备注 网络中心 202.114.176.0 1个C 可以调整 办公室 202.114.177.0 1个C 可以调整 图书馆 202.114.178.0 1个C 可以调整 招毕办和学工楼 202.114.179.0 1个C 可以调整 类别 地址段 数量 备注 总 10.238.0.010.239.0.0 2个B 可以调整 各个楼宇 10.238.0.0-10.239.0.0 多个C 可以调整 网络设备采用2个C类管理地址:172.16.1.0-172.16.2.0。5.1.2 VLAN规划5.1.2.1 VLAN概述 在一个物理局域网内,通过对交换机端口的划分,将局域网内的设备分割为几个各自独立的群组,群组内部的设备之间可以自由地通讯,而当分属不同群组的设备要进行通讯时,必须进行三层的路由转发;通过这种方式,一个物理局域网就如同被划分为几个相互隔离的局域网,这些不同的群组就称为虚拟局域网(VLAN)。对于以端口划分的VLAN而言,任何一个端口的集合(甚至交换机上的所有端口)都可以被看作是一个VLAN。VLAN的划分不受硬件设备物理连接的限制,用户可以通过命令灵活地划分端口,创建定义VLAN。使用VLAN的优点如下:1VLAN能帮助控制流量 在传统网络中,不管是否必要,大量广播数据被直接送往所有网络设备,从而导致网络堵塞。而VLAN的设置能够使每个VLAN只包含那些必须相互通信的设备,从而减少广播、提高网络效率。2VLAN提供更高的安全性 每个VLAN中的设备只能与本VLAN中的设备通信。例如,如果VLAN Market 的设备要和VLAN Sales 的设备通信,则只有通过路由器才能进行,在没有三层路由设备的情况下两个部门不能直接通信,从而提高了网络安全性能。3VLAN使网络设备的变更和移动更加方便 在传统网络中,网络管理员不得不在网络设备的变更和移动上花费大量的时间和精力。如果用户移动到另一个不同的子网,那么每个终端的地址都得重新设置。而使用VLAN则不需要这些复杂繁琐的设置。5.1.2.1 港湾交换机的VLAN配置介绍我们以一个实例来说明: 图 5.1 VLAN原理图 环境说明:这是一个跨交换机创建VLAN的实例,交换机1的1、2、3端口和交换机2的1、2、3端口以Untagged方式属于VLAN1,并且VLAN1的Tag值设置为10;交换机1的端口4、5、6和交换机2的端口4、5、6以Untagged方式属于VLAN2,并且VLAN2的Tag值设置为20;两台交换机通过24端口相连,当然我们需要给两台交换机的24端口设置为Tagged端口,并且Tag值分别是10和20。 1.现在如果PC1向PC2发一帧数据,由于PC1是一个普通PC(没有安装支持802.1Q标准的以太网卡),所以它发出的是一个标准的以太网数据帧(不带Tag值)。 2.交换机1收到该帧数据后会给该帧数据插入一个Tag值,当然插入的应该是10(该数据的源端口所在的VLAN ID)。 3.交换机查找本机的FDB表,找不到该表项,于是交换机将该帧数据交给24端口,因为24端口以Tagged方式属于VLAN1,所以该帧数据可以送达。交换机1通过24端口将该数据帧转发到交换机2中,注意此时该帧数据是带Tag标记的。交换机2收到该帧数据后首先要根据Tag值的标记进行转发,于是交换机会将该帧数据在Tag值为10的VLAN(VLAN1)中进行转发。交换机2根据FDB地址表项进行转发,由于PC2所连接的交换机2的端口1以Untagged方式属于VLAN1,所以当数据被转发到端口1的时候交换机会去掉数据帧的标签10,这样PC2就可以正确接收该数据帧了。5.2 组网方案实现5.2.1 创建一个VLAN 通过以下命令可以创建一个普通VLAN或者一个Supervlan,并且进入到该VLAN接口配置模式。 interface vlan <vlanname> supervlan*1 <2-4094>*1 <vlanname>的说明:每个VLAN的名字可以是由以字母开头的至30个字符组成,这些字符只能是字母、数字或者下划线“_”。空格符、逗号、引号等字符都是不合法的。同一台交换机上的VLAN名称不能重复。 VLAN的名字只是本地标志。也就是说,在一台交换机上设置的VLAN的名字只对该交换机有意义。如果两台交换机相连,其中一台交换机上VLAN的名字对另一台交换机来讲毫无意义。 VLAN ID值的说明:BigHammer6800系列交换机的VLAN ID值的范围是1-4094,我们可以手工指定该值,如果不指定,系统可以给VLAN自动分配一个ID值。5.2.2 向VLAN中添加端口 BigHammer6808交换机的端口可以以两种形式属于某个VLAN,分别是:IEEE 802.1Q tagged 模式 和IEEE 802.1Q untagged 模式。一个端口在IEEE 802.1Q untagged 模式下只能属于一个VLAN,以IEEE 802.1Q tagged 模式可以属于多个VLAN。 普通端口必须以Untagged方式加入到VLAN中,中继端口或者安装有支持802.1Q网卡的主机端口需要配置成Tagged端口。 在VLAN接口配置模式下利用如下命令,可以完成VLAN端口的添加。 ad