网络工程设计之企业网设计概述.pptx

《网络工程设计之企业网设计概述.pptx》由会员分享，可在线阅读，更多相关《网络工程设计之企业网设计概述.pptx（99页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络工程设计概述(2学时) 网络工程设计基础(4+2学时)基本概念、基本设备简单组网技能中型网络设计知识与技能设计中型网络大型网络设计知识与技能设计大型网络网络设计综合知识与应用配置二层以太网交换机(0+4学时)网络需求分析 (4学时)结构化布线系统和机房设计(2学时)网络安全策略设计(2+0学时)网络维护与测试(2+0学时)设计性实验(0+10学时)路由器配置(0+4学时)企业网设计(4学时)第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法2企业网的概念 你能为特定网络选择一个合适的网络结构吗？IP地址作用和性质 你能合理使用IP地址吗？第7章 企业网设计陈鸣：网络工程设计教程-系统集

2、成方法3教学目的 设计由多个局域网互联而成的企业网通常比较复杂，首先要设计适当的网络拓扑结构 然后要规划好IP地址，使得网络运行更加高效和易于管理 选择选路协议和网络管理协议却是一件简单的工作 工作案例：为企业网规划IP地址；设计一个大型校园网重点 网络拓扑结构特点与设计 IP地址规划第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法4IP地址规划选择路由选择协议选择网络管理协议和系统企业网的广域网设计网络工程案例教学第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法5网络要素的分布及连接关系 分布情况及连接关系反映了不同设施在网络中的地位和作用网络规模 网络结构图应当反映用户网络的规

3、模传输性能需求 网络结构图应当根据主要传输信息类别确定链路传输带宽要求传输介质 网络结构图应当反映网络中主要链路采用的传输介质信息服务需求 网络结构图应当反映网络中需要建设的信息服务资源第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法6路由选择需求 网络结构图应当反映子网间路由选择需求，以及上下级、友邻单位之间网络的互联互通实现方式网络管理需求 如果网络规模较大，有许多路由器、交换机等，则需要配备相应的管理设备及软件，以便对各路由器、交换机的运行状态进行实时监测安全防护需求 如果需要实现用户单位网络的内部防护，则需要对进出本单位的报文进行过滤，需要在单位网络设置统一的进出口并部署防火墙或

4、入侵检测系统成本需求 网络结构图也间接地反映用户单位网络建设的主要硬件成本第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法7设计网络拓扑图是设计复杂网络重要的一步一个图G是两个不相交的集所组成的有序对，其中V是顶点集，而E是边集，E是V元素的无序对集合的一个子集图的边表示一个网络或子网，图的顶点表示路由器等互连设备该图只说明网络的几何形状，而不表明子网或互连设备的具体位置首要问题是确定网络和互连点，明确网络的大小和范围，以及所需要的网络互连类型，但不必是具体的设备 第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法8平面网络：没有层次的网络每个互连设备实质上都完成类似的工作，网络既不

5、分层，也不划分模块平面网络结构易于设计和实现第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法9北京总部上海分部广州分部沈阳分部将许多微机和服务器与一个交换机连接，采用是平面结构设计为满足大量用户和高带宽应用程序对带宽要求，考虑用交换机形成高速主干，形成具有二层网络拓扑结构能够将网络分解成多个小的冲突域，使得在任何时候只有有限数量的设备争用带宽当主机数量进一步增多时，可以将路由器添加到企业网中以隔离广播通信第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法10第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法11小型企业网可能由连接成回路的几个场点构成，每个场点都有一个WAN路由器

6、，通过点对点链路与相邻场点相连该平面拓扑结构具有容错的优点回路结构意味着在双向回路路由器之间有许多跳，结果将导致明显的时延和较高的差错率回路结构两侧的路由器交换了大量的流量，应当考虑使用层次结构，而不是平面结构第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法12为避免单点故障，可在设计中采用冗余的路由器或交换机 平面结构可以满足低成本和良好的可用性目标，但要求网络的范围较小 冗余结构可以满足可扩展性、高可用性和低时延目标第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法13北京总部上海分部广州分部沈阳分部成都分部北京总部上海分部广州分部沈阳分部提供了完全冗余和良好的性能使用和维护代价

7、很高，它在性能优化、排错和升级方面也较困难限制了连接到路由器PC的数量第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法14(a)部分网状拓扑结构(b)完全网状拓扑结构处理一个大型复杂系统的最常用的方法是“分而治之”。同理，对于设计一个大型的网络系统，一个常用的方法是“分层设计”使用层次模型设计的好处 减轻网络中机器的CPU负载 增加网络可用带宽 简化每个设计元素并且易于理解 容易变更层次结构 网络互连设备可以充分发挥它们的特性第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法15分层模型的每一层都有特定的作用 核心层提供两个场点之间的优化传输路径 汇聚层将网络服务连接到接入层，并且实

8、现安全、流量负载和选路的策略 在广域网设计中，接入层由园区边界上的路由器组成。在园区网中，接入层为端用户访问提供交换机或集线器第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法16第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法17原则原则1：控制分层企业网拓扑结构的范围。在大多数情况下，需核心层、汇聚层和接入层三个主要层次。控制网络规模的好处 可提供较低的和可预测的等待时间，从而可以帮助预测选路策略、通信流量和容量需求 有助于排错，并使网络文档容易编写第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法18设计接入层有两种容易犯的错误，应当避免： 额外的链 后门 注：有时需要采用

9、链和后门的方法来设计网络。例如，可能需要一条链来增加一个国家，有时需要增加一个后门来提高同一层两个并行设备之间的性能和冗余性第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法19原则原则2：先设计接入层，其次设计汇聚层，最后是核心层。从接入层开始设计，可以为汇聚层和核心层进行更精确的性能和容量规划，更好地认清所需要的汇聚层和核心层优化技术应使用模块化和分层技术设计每一层，然后根据对通信加载、流量和行为的分析来规划层与层之间的互连第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法20基本思想：通过重复设置网络链路和互连设备来满足网络的可用性需求冗余是提高网络可靠性和可用性目标的最重要方法

10、 减少由于单点故障而导致整个网络故障 重复设置必需的组件，使关键应用不停运，仅性能降低 冗余的对象可能是核心路由器、电源、广域主干网或ISP网络等在企业网核心层和汇聚层均可实现冗余第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法21对于关键部位的路由器或交换机需要冗余有些厂商为了满足这种冗余设计的需求，设计、制造了具有双背板、双电源、双引擎的设备，这种设备实际上能被看作两台独立的设备第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法22北京总部上海分部广州分部沈阳分部l右图为一个典型的分层和冗余的企业网设计，该设计使用了部分网状层次结构为防止路径故障，必须提供一条备用路径。备用路径由

11、独立备用链路构成备用路径的容量通常比主路径的要小，且使用不同技术如果需要一条与主路径性能完全相同的备用路径，即使价格昂贵也应当这样去设计若路径中断不可接受，应采用主路径与备用路径间自动切换技术。若允许短暂中断，也可手动重新启动备用路径的方法备份链路除了用于冗余外，还可用于负载平衡第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法23冗余的主要目标是满足可用性需求，另一个目标就是能够通过并行链路支持负载平衡来提高性能按照获取系统状态信息与否，负载平衡算法可以分为静态算法和动态算法两类静态算法适合用于网络负载变化不剧烈，包含静态内容较多的集群系统。两种典型静态算法： 随机算法 循环域名(Rou

12、nd Robin)算法动态算法利用系统当前状态信息作决定，负载均衡性方面较好，但开销较大第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法24第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法25园区网应当使用层次模型设计，使网络具有良好的性能、可维护性和可扩展性可使用如下技术： 较小的广播域 冗余分布子网 冗余服务器等技术VLAN是经常用采用的技术第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法26将一个大的平面网络分解为多个子网，缩小广播域。一个VLAN交换机不是将所有广播传送到每个端口，而是将广播只传送到同一子网的某个部分设计园区网使用交换机还是路由器？ 前几年很少使用路由

13、器，主要采用交换机。由于三层交换机技术的进展，实现大型平面交换式网络的需求越来越少，对VLAN的需求也相应减少 通常在接入层使用二层交换机，在汇聚层使用三层交换机第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法27这种设计能够实现负载平衡和容错。采用这种设计的结构，园区网可扩展到非常大的范围核心层汇聚层接入层与因特网相连与因特网相连VLAN1&2VLAN2&3VLAN3&4VLAN4&5VLAN5&6交换机A交换机B第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法28服务器是网中最重要的设备或资源类型之一，它主要用于存放数据资源 根据用户的应用需求，在园区网中，可将文件服务器、We

14、b服务器、动态主机配置协议DHCP服务器、名字服务器、数据库服务器等设计为冗余结构第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法29第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法30网络结构设计IP地址规划选择路由选择协议选择网络管理协议和系统企业网的广域网设计网络工程案例教学第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法31在因特网中，每个与网络相连主机的接口都需要有一个惟一的IP地址所谓网络地址规划是指根据IP编址特点，为所设计的网络设备分配合适的IP地址，使之能够高效地联网工作路由器的产生了几个分离的网络岛，这些分离的网络中的每个都叫做一个子网第7章 企业网设计陈

15、鸣：网络工程设计教程-系统集成方法3232比特的IP地址被划分为两部分，并且也具有点分十进制数形式a.b.c.d/x，其中x指示了在地址的第一部分中的比特数目x 最高比特构成了IP地址的网络部分，并且经常被称为该地址的前缀前缀一个地址的剩余32-x 比特能被认为用于区分该组织内部设备的，所有设备具有相同的网络前缀设某CIDR化的地址a.b.c.d/21的前21 比特定义了该组织的网络前缀，对该组织中的所有主机的IP地址来说是共同的，其余的11 比特标识该组织内的主机第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法33ICANN统一负责对IP地址的分配进行管理，IANA把地址分配给地域性因

16、特网注册机构RIR5个RIR ARIN(北美地区)、LACNIC(拉丁美洲)、RIPE NCC(欧洲地区)、APNIC(亚太地区)和AFRINIC(非洲地区)第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法34第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法35某企业网管理员向某ISP申请了一个地址块200.24.16.0/20，而该网管员希望将该地址块平均分配给8个子网。他该如何划分呢？第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法36两种方法 手工配置。一位系统管理员手工为一台主机配置IP地址（通常在一个文件中） 动态主机配置协议（DHCP），允许一台主机自动地获取（被

17、分配）一个IP地址，同时还获得其他信息，例如它的子网掩码，它的第一跳路由器地址（常称为默认网关）与它的本地DNS服务器的地址第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法37第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法38网络标志、主机标志和子网地址，使IP地址形成一个3级的地址空间。它比平面地址更有效因特网用32 比特的子网掩码表示子网号字段长度。 子网掩码由一连串的“1”和一连串的“0”组成 “1”对应网络号和子网号字段，而“0”对应主机号字段 C 类地址host-idnet-id本地分配(a)11111111 11111111主机号子网号(c)(b)11111111 1

18、 000 0000子网掩码增加了子网号 字段110192.113.255host-idnet-id110192.113.255subnet-id设从主机标志部分借用n位给子网，剩下m位作为主机标志，那么生成的子网数量为2n-2，每个子网具有的主机数量为2m-2台。设计的基本过程是： 根据所要求的子网数和主机数量，由公式2n-2推算出n。n应是一个最小的接近要求的正整数 求出相应的子网掩码，即用默认掩码加上从主机标志部分借用的n位组成新的掩码 子网的部分写成二进制，列出所有子网和主机地址；去除全0和全1地址第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法39一个C类地址192.168.14

19、3.0，网内可有至多140台主机。要将该网分成6个子网，每个子网能容纳25台机器解：考虑到要去除两个保留的特殊子网地址，至少需要8个子网，则n3，新的子网掩码为：192.168.143/27，而每个子网可容纳的主机数量为25-2=30子网划分： 192.168.143.000 XXXXX/ 192.168.143.0192.168.143.31 全0需去除 001/192.168.143.33192.168.143.62 010 /192.168.143.65192.168.143.94 011 /192.168.143.97192.168.143.126 100 /192.168.143.1

20、29192.168.143.158 101 /192.168.143.161192.168.143.190 110 /192.168.143.193192.168.143.223 111 /192.168.143.224192.168.143.255 全1需去除第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法40一个具有B类地址166.113.0.0的机构，需要划分至少25个子网，每个子网需要容纳至少1500台PC。试给出子网掩码和每个子网的配置。解：由于需要25个子网，因此理论上讲，我们至少需要27个子网，以去除子网号为全1和全0子网。这样，子网掩码长度需要增加5个比特，留下11比特作

21、主机ID。而11比特可容纳的主机数量为211-2=2046台PC，符合设计要求第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法41第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法42对于网络层的地址应当进行规划、管理和记录。必须设计好并管理好这些网络地址 在分配地址之前设计结构化寻址模型 为寻址模型的扩充预留地址空间 以分层方式分配地址块，以改进可扩展性和可用性 为避免移动带来的问题，应根据网络物理位置分配地址块 分配网络地址时尽可能使用有意义的编号 可授权网管理水平较高地区管理自己的网络、子网 为满足灵活性而使配置最小，端系统使用动态寻址 为满足安全性和适应性，使用NAT专用地址

22、第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法43能够使地址是有意义的、分层的和良好规划的为一个企业网分配一块IP地址，然后将每块地址分成子网，再将子网划分为更小的子网，这也是一种结构化IP寻址模型优点 有利于地址的管理和故障检测 容易理解网络结构、操作网络管理软件和利用协议分析仪的跟踪和报告识别设备 还实现了网络优化和安全性第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法44如缺少有经验网络管理员，尽量简化寻址和命名模型是很重要的，配置内容也要尽量简单此时可使用动态寻址，如DHCP动态寻址减少了将端系统连接到互连网络所需的配置工作量，能那些频繁变动、旅行或在家工作的用户带来便利

23、第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法45目前我国的许多机构都无法申请到大量的IP地址。解决有三种途径： 发展IPv6 使用动态地址分配技术 使用网络地址转换(NAT)技术RFC1597已经将某些IP地址段划分为Intranet的专用地址。具体如下： 10.0.0.010.255.255.255，24位，约700万个地址(A类) 172.16.0.0172.31.255.255，20位，约100万个地址(B类) 192.168.0.0192.168.255.255，16位，约6.5万个地址(C类)第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法46目的是设计一个IP互连网

24、络设备的命名模型，满足用户易用性、可管理性、性能和可用性目标优点 使用名字而非地址能够提高系统易用性 简短而有意义的名字能够提高用户的生产率，简化网络管理 一个好的命名模型还可以增强网络的性能和可用性一个好的命名模型应当允许用户通过名字而不是地址透明地访问应用服务第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法47命名分布授权的缺点是名字难以控制和管理，但如果所有的用户和组都统一使用同样的策略，那么命名分布授权有许多优点 最明显的优点是没有任何一个部门负担分配并维护所有名字的工作 其他优点包括性能和可扩展性 对服务器内存和处理能力的需求就会减少 减少了网络通信量第7章 企业网设计陈鸣：网

25、络工程设计教程-系统集成方法48名字应当简短、有意义、无二义性并易于辨认 例如，路由器名字的后缀可以使用字符rtr，交换机使用sw，服务器使用svr等名字也可以包括位置代码，位置代码可以使用字母，也可以使用数字，甚至使用汉字名字一般不要区分字母的大小写必须在易用性和安全性之间作一个折衷第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法49网络结构设计IP地址规划选择网络管理协议和系统企业网的广域网设计网络工程案例教学第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法50在因特网中，通信网是通过IP路由器互连的。此时，IP网是一个虚拟网，路由器是该网的惟一互连设备第7章 企业网设计陈鸣：

26、网络工程设计教程-系统集成方法51一台主机通常直接与一台路由器相连接，该路由器即为该主机的所谓默认路由器默认路由器，又称为该主机的第第一跳路由器一跳路由器每当某主机发送一个分组时，该分组被传送给它的默认路由器。我们将源主机的默认路由器称作源路源路由器由器，把目的主机的默认路由器称作目的路由器目的路由器选路算法的目的是简单的，即给定一组路由器以及连接路由器的链路，选路算法要找到一条从源路由器到目的路由器 “好的”路径第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法52全局性的还是分散式 具有全局状态信息的算法常被称作链路状态算法链路状态算法(LS) 距离向量算法距离向量算法（DV）就是一种

27、分散式选路算法静态的还是动态的 静态路由算法静态路由算法中，随时间路由的变化是非常缓慢的，通常是由于人工干预进行调整 动态选路算法动态选路算法能够当网络流量负载或拓扑发生变化时改变选路路径负载敏感的还是负载迟钝的 当今的因特网选路算法（如RIP、OSPF和BGP）都是负载负载迟钝的迟钝的第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法53每个自治系统自治系统（AS）由一组通常在相同管理者控制下的路由器组成在相同的AS内的路由器可全部运行同样的选路算法（如一种LS或DV算法），且拥有相互之间的信息在一个AS内运行的选路协议叫做自治系统内部选路自治系统内部选路协议协议，而在AS之间运行的选路

28、协议叫做自治系统间自治系统间选路协议选路协议第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法54自治系统内部选路协议有 RIP OSPF IGRP或增强型IGRP，对于Cisco路由器自治系统间选路协议则是BGP第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法55尽管选路协议工作原理可能十分复杂，但在网络设计中，为企业网选择一个选路协议实际上是一件简单的工作 RIP用于小型企业网 IGRP或增强型IGRP适用于使用Cisco路由器的小型企业网 OSPF则适用于规模较大的企业网第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法56RIP1RIP2IGRP增强型IGRPOSPFSD

29、BGP距离向量距离向量距离向量距离向量高级距离向量链路状态路径向量内部或外部内部内部内部内部内部外部分类或无类别分类无类别分类无类别无类别无类别支持的度量跳数跳数带宽、时延、可靠性、负载带宽、时延、可靠性、负载带宽、时延、可靠性、负载路径属性值和其他可配置因素规模15跳15跳255跳1,000个路由器每区大约50个路由器，大约100个区1,000个路由器收敛时间可能很长(如果没有负载平衡)可能很长(如果没有负载平衡)快(使用触发更新与毒性逆转)非常快(使用DUAL)快(使用更新和保持活动分组以及取消路由)非常快(使用DUAL)资源消耗内存：低CPU：低带宽：高内存：低CPU：低带宽：高内存：低

30、CPU：低带宽：高内存：中等CPU：低带宽：低内存：高CPU：高带宽：低内存：中等CPU：低带宽：低安全性支持与路由鉴别无无无有有有设计、配置和排错的难易程度容易容易容易中等中等中等第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法57网络结构设计IP地址规划选择路由选择协议企业网的广域网设计网络工程案例教学第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法58实际上既是一种网络管理协议，也代表了一个标准化的因特网网络管理框架，使得对各种因特网设备的监视和控制成为可能健壮和简单，开放且实现容易，从而易于推广应用公共管理信息协议CMIP是OSI网络管理体系结构中的重要标准，它应用OSI协

31、议栈网络及大型电信网管理部分场合第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法59SNMP的网络管理模型包括管理者(Manager)、代理(Agent)、管理信息库(MIB)和网络管理协议(SNMP)这四个重要元素第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法60管理者通常位于一台连网机器中，该机器称为管理工作站，网络管理工作站一般要提供以下功能： 具有数据分析、故障发现等网络应用软件 提供网络管理员监视和控制网络的接口 能够将网络管理员的命令转换成对远程网络元素的监视和控制 能与被管对象的MIB交换数据代理位于网络中被管设备中，是其中的资源的“管理表示”，代理对来自管理者的信

32、息查询和动作执行请求作出响应，同时还可能异步地向管理者报告一些重要的消息第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法61在因特网管理标准中，一个对象就是代表管理代理特性的一个数据，而这些对象的集合被称为管理信息库，管理者通过读取MIB对象的值来实现监视功能；管理者通过设置MIB的对象值，使远地的代理执行一个动作或者修改代理的配置管理者和代理之间是通过SNMP网络管理协议进行通信的，它包括以下主要功能： Get：由管理者去获取代理的MIB对象值 Set：由管理者去设置代理的MIB对象值 Trap：使代理能够向管理者通告重要事件第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法62有

33、时网络管理协议无法控制某些网络元素，这时可使用委托代理(proxy agent)委托代理能提供如协议转换和过滤操作的汇集功能，然后通过委托代理来对被管对象进行管理第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法63SNMPv1的优点是简单，因此得到了广泛的使用，但其主要缺点是，不能有效地传送大块的数据，不能将网络管理的功能分散化和安全性不够好SNMPv2增加了一个叫做get-bulk-request的命令，可一次读取许多行的信息，而不是像SNMPv1那样，一次只能读取一行的信息，还增加了一个inform命令和一个管理进程到管理进程的MIB，但是新版本SNMPv2在安全方面的设计由于难以实

34、现，结果没有被市场接受SNMPv3对安全特性进行了改进，它具有三种安全功能：鉴别、保密和存取控制第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法64SNMP已经成为因特网事实上的标准,这使得为企业网选择网络管理协议变得毫无悬念选择任何网络设备时，都应当要求该设备支持SNMP标准还要选择一种支持SNMP的网络管理工具，对这些设备进行性能管理、故障管理、配置管理、安全管理和账户管理等管理工作第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法65在市场上和技术上都占有领先地位的网管平台 HP公司的OpenView SUN公司的SUN Solstice Enterprise Manager

35、IBM公司的Tivoli CA公司的Unicenter TNG网络设备厂商有开发了专用的网络管理工具包 Cisco公司的CiscoWorks 3Com公司的Transcend第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法66一种开放的网络管理基础设施，提供以下功能： 自动发现网络拓扑结构和网络配置 事件通知 智能监控 多厂商网络产品的集成 存取控制 友好的用户界面 网络信息的报告生成 编程接口等l 还各有其特点和不同的增值软件包l 在为企业网设计网络管理系统时，需要根据企业管理特点，先选择合适的网络管理平台和所需要的管理软件l 如果还需要特殊的管理需求的话，就需要进行具有特定目标的二次

36、开发了第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法67网络结构设计IP地址规划选择路由选择协议选择网络管理协议和系统网络工程案例教学第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法68企业网通过在网络内部的种种设计，以及配置多条通向因特网的路径，来满足用户的可用性和性能目标要求为了连接企业网外部站点或合作伙伴，同时保证WAN的数据安全，可以使用专用线路或者采用虚拟专用网跨越因特网来连接企业网第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法69企业级网拓扑中常包括冗余(备份)广域网链路。一个广域网可被设计为完全网状或部分网状。考虑到所付出的代价，采用分层部分网状拓扑结构一般

37、能满足要求了解实际物理电路情况，选择物理上不同的通信设备组成的网络。应与广域网供应商讨论有关电路实际设置的问题，并写入合同从通信公司到本单位建筑物的本地电缆往往是网络中最薄弱的链路部分，它会受到建筑施工、火灾、洪水、冰雪和缆线挖断等其他许多因素的影响第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法70指为一个企业网提供一条以上的链路进入因特网的情况根据用户的目标，一个企业网可以采用多种不同的方式第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法71企业的路由器数量到因特网的连接数量ISP数目优点缺点选项A121广域网备份；低成本；与一个ISP工作比与多个ISP一起工作容易。无ISP冗

38、余；本地路由器是单故障点；该方案假设ISP有两个访问点靠近企业。选项B122广域网备份；低成本；ISP冗余。路由器是单故障点；处理两个不同的ISP的策略和协议很难。选项C221广域网备份；对地理位置分散的公司适用；中等成本；与一个ISP工作比与多个ISP一起工作容易。无ISP冗余。选项D222广域网备份；对地理位置分散的公司又为适用；ISP冗余。高成本；处理两个不同的ISP的策略和协议很难。第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法72通过E1专线互连 在这种情况下，需要通过租用电信公司的专线来互连子网 通常要使用协议转换设备如E1-V.35、E1-ETHERNET、V.35- E

39、THERNET等第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法73使用防火墙进行互连 为提高互连子网的安全，可采用防火墙设备对分组进行过滤，仅符合条件的IP报文可通过防火墙 一个企业网是否在每级子网中都配置防火墙，需要进行整体规划 防火墙并非部署得越多越好，因为防火墙部署在各子网流量进出的关键位置，会对跨子网的传输性能、网络管理、网络应用系统的运行带来一些影响第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法74第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法75使用NAT进行互连 当一个子网要与因特网相连时，但只有少量的公网IP地址时，或者企业不希望将内部网络的主机暴露给外

40、部时，可考虑采用NAT设备 采用NAT方式后，企业网可自定义一套内部IP地址，对外发起通信时，统一由NAT设备转换为公网IP地址 企业网内部的主机可主动发起到外部网络主机的通信，但外部网络主机不能主动发起到企业网内部主机的通信 为外部网络主机可访问企业网内少数服务器，如Web服务器等，可在NAT设备上配置一些映射，当外部网络主机访问NAT设备的特殊端口时，被映射到内部某个服务器的某个端口，这样就达到了由外向内发起主动通信的目的第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法76第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法77使用VPN进行互连 该方式的核心思想是利用现有的公共因

41、特网来互联各个子网，以形成企业网 目前常见的VPN组网方式主要有两类，一类是企业VPN客户通过因特网访问企业专用网，另一类是企业内部各子网在因特网上建立VPN隧道，互联成较大的企业专用网第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法78使用分区进行互连 这种方式将企业网络不同部分按安全等级划分为不同区域，区域之间仅能实现受限通信 分区方式需要使用网络隔离设备，常用的是单向隔离设备第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法79网络结构设计IP地址规划选择路由选择协议选择网络管理协议和系统企业网的广域网设计第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法80案例教学要求：

42、 掌握为大型校园网规划IP地址的技能与方法。 学会利用专用IP地址来解决IPv4地址不足的问题。案例教学环境：PC 1台，Microsoft Visio软件1套。第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法81某大学具有6个二级学院。在位于同一城市的4个校园中，其中大学与一个二级学院在一个园区(园区1)，另外四个二级学院俩俩位于一个园区(园区2、园区3)，而另外一个学院位于该城市的另一个园区(园区4)。大学向因特网发布信息并为全校提供有关信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院提供都有超过1500台PC。大学已从中国教育科研网CERNET有关机

43、构申请了IPv4地址块58.193.152.0/21。第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法82这是一个IP地址规划问题，主要考虑：1.大学和各学院都有向因特网发布信息的需求，都需要分配因特网地址。申请的58.193.152.0/21共包括了8*256个IP地址的容量，这些地址都无法直接满足该大学的IP地址需求，可考虑为大学、6个二级学院各分配256个IP地址，余下的256个IP地址用于大学校园网主干和科研。2.大学和同在一园区的一个二级学院的IP地址分配时应连续。3.由于这些IP地址无法满足实际需求，每个学院都可以采用网络地址转换(NAT)技术，增加IP地址的数量。第7章 企

44、业网设计陈鸣：网络工程设计教程-系统集成方法83对IP地址块58.193.152.0/21进行划分，将其分为8*256个IP地址大小的范围。划分方法是将前缀从21比特延长为24比特第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法84由于分配给该大学校园网的IP地址远远不能满足需求，因此这些IP地址主要用于向因特网发布信息和进行科学研究之用而大学内部教学、科研、办公用的校园网，就需要我们采用NAT技术，根据RFC1597建议从专用的IP地址段中取出一个B类地址进行规划即可 例如，我们可以取172.16.0.0/23，将其分配给大学和6个二级学院。每个单位都能够分配一块IP地址，其中具有12

45、6个子网，每个子网容纳的主机数量达510台 事实上，由于各学院使用的专用IP地址互不相关，可以由各个学院独立进行规划第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法85第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法86案例教学要求： 掌握设计具有三层结构的大型校园网的设计的基本方法，为7.5.1同样条件的校园网设计网络拓扑。 学会选择适当设备构造该网络。案例教学环境：P C 1台，Microsoft Visio软件1套。第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法87采用三层结构为该大学设计校园网：选用万兆以太网作为连接大学4个校区的高速主干；选用千兆以太网作为各个校区

46、的主干，形成大学校园网的汇聚层；选用百兆以太LAN作为基本的接入形式。大学校园网与因特网具有统一接口，即通过百兆以太网接入中国教育科研网CERNET。第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法881.由于一个时期的网络具有特定的主流技术，因此这几年建设的园区网大多数都采用千兆到楼宇、百兆到LAN/桌面的以太网解决方案。事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了汇聚层的主干，而百兆到LAN/主机构成了接入层。因此，一种自然而然的解决方案就是选用万兆以太网作为整个核心层，形成了校园网的主干。并且该校园网主干采用因特网的公网地址第7章 企业网设计陈鸣：网络工程设计教程-系

47、统集成方法892.为何选用万兆交换机互联各个园区网，而不选用高速路由器呢？ 各园区网均采用的以太网技术体系，兼容性好 大学将在校园网上开展教学视频观摩、远程听课等多媒体应用，提供高速率信息通道是必要的。万兆交换机为三层交换机，是具有选路功能的交换机，在校园网环境下能够具有更好的性能。 价格因素。若在覆盖几十千米范围采用高速路由器的话，底层通常要采用SDH技术，这使有关设备的价格要增加23倍。尽管高速路由器带来的对各个园区有更好的隔离性，在该校园网中用处不大第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法903.根据7.5.1节的分析，该校园网从CERNET获得了IP地址的数量是无法满足需

48、求的，只能供向因特网发布信息和联系或进行网络科学研究之用，因此构成校园网IP地址的主体是经过NAT转换的专用网地址。使用专用网地址不利于与其他大学的学术交流，但也是不得已而为之的方法；另一方面，可能使得校园网受到网络黑客侵扰会少些4.由于网络的规模较大，考虑到以后的可扩展性，选路协议选用OSPF5.考虑到设备的可管理性，网络管理协议选用SNMP第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法91校园网分为公网和专网。通过防火墙，连接放置各种应用服务器的非军事区部分，并经路由器与CERNET相连该三层校园网结构中的核心层位于公网部分，可选用了Cisco公司的万兆交换机Cat6509租用电信

49、公司的光纤裸芯，用万兆速率将4个园区的4台万兆交换机连成一个环。为提高网络可靠性，还在园区2和园区4之间用千兆光缆连接起来第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法92第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法93各园区网可基本保持原有的二层网络架构，并在自己的园区网中使用专用IP地址块。考虑将园区网汇聚层主干千兆主交换机与大学万兆交换机通过防火墙相连的问题，注意到有些万兆交换机可能具有内置的防火墙。同时，它们可在内部防火墙处设置自己的非军事区，放置学院的网络应用服务器。某学院网络与新建的大学万兆核心层主干网的连接。其中计算机学院网络的主干网以3COM公司的Switch

50、 4007与交换机3C16980连接的千兆光缆构成了学院园区网的主干，向下以百兆以太网作为接入网与用户PC相连。第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法94第7章 企业网设计陈鸣：网络工程设计教程-系统集成方法953.各二级学院的园区中具有的PC数量为3001000台，必要时可划分为若干个子网，也可以划分为多个VLAN，以隔离广播流量，提高网络工作效率，并提高安全性。4.网络管理协议选用SNMP。5.采用防火墙将校园网分为两部分，一部分为与CERNET直接相连的公网部分，另一部分为专用网部分，即我们上面所设计的部分，采用的地址可采用在7.5.1节中所设计的相应方案。第7章 企业网