區域網組網方案

1．建網原則

早期的企業網主要是共用內部系統主機資源，共享簡單資料庫，多以二層交換為主，很少有三層應用，存在安全、可管理性較差、無業務增值能力等方面的問題。

現在企業網建設要實現內部全方位的資料共享，應用三層交換，提供全面的qos保障服務，使網路安全可靠，提供可增值可管理的業務，必須具備高效能、高安全性、高可靠性，可管理、可增值特性以及開放性、相容性、可擴充套件性。

基於對企業網業務需求的深入理解，結合自身產品和技術特點，華為公司推出了了完善的企業網解決方案，為企業提供「可管理、可增值、可持續發展」的精品網路。

企業網路建設遵循以下基本原則：

可管理性

企業網路是乙個龐大而且複雜的網路，為了保障網路的正常使用以及裝置的良好維護需要乙個功能強大，具有分級、分權管理能力的網管系統，實現統一的網路業務排程和管理，降低網路運營成本。同時由於企業網路的使用者數量巨大，網上開展的業務眾多，因此需要能夠提供使用者的高效管理，以確保企業資訊保安。

可增值性

企業網路的建設、使用和維護需要投入大量的人力、物力，因此網路的增值性是網路持續發展基礎。所以在建設時要充分考慮業務的擴充套件能力，能針對企業需求提供豐富的寬頻增值業務（如voip，視訊會議，三網合一等），使網路能適應未來需求並為企業節約各類費用。

可擴充性

企業網路要建設成完整統

一、組網靈活、易擴充的彈性網路平台，能夠隨著需求變化，充分留有擴充餘地。

開放性技術選擇必須符合相關國際標準及國內標準，避免個別廠家的私有標準或內部協議，確保網路的開放性和互連互通，滿足資訊準確、安全、可靠、優良交換傳送的需要；開放的介面，支援良好的維護、測量和管理手段，提供網路統一實時監控的遙測、遙控的資訊處理功能，實現網路裝置的統一管理。

安全可靠性

設計應充分考慮整個網路的穩定性，支援網路節點的備份和線路保護，提供網路安全防範措施。

2 組網方案

企業網路平台建設主要涉及區域網搭建、廣域網連線、網路管理和網路安全。區域網是企業內部資訊傳輸的基礎平台，所以區域網的建設是企業實現資訊化的第一步。通過區域網可實現企業資源共享，網路內的各個桌面使用者可共享資料庫、共享印表機，實現辦公自動化系統中的各項功能；此外任何企業都不是孤立的，企業一般有自己的分支機構、有合作夥伴、有**商、有客戶。

企業與合作夥伴、**商以及客戶之間形成乙個有形價值鏈，通過建立企業與分支機構、合作夥伴、**商以及客戶之間的廣域網連線系統，將使這個價值鏈更加緊密，通過廣域網連線可以收發電子郵件、傳遞各種資料包表、及時準確的獲得各方面訊息以便使企業的決策更準確及時、可以實現基於web應用、接入網際網路、進行安全的廣域網訪問；另外可以實現企業增值業務，借助一套廣域網系統，開展voip業務、遠端會議電視、遠端培訓等。華為網路方案支援多**組播（包括先進的可控組播技術），支援各種先進的qos技術來保證多**業務的服務質量。

大連海港公安局解決方案總體設計以高效能、高可靠性、高安全性、良好的可擴充套件性、可管理性和統一的網管系統及靈活計費為原則，以及考慮到技術的先進性、成熟性，並採用模組化的設計方法。

本次的組網方案分為兩個部分，首先是資料網路平台建設，其次是視訊網路平台建設。

2．1 資料網路建設方案

網路拓撲

組網如上圖：

對於大連海港公安局這樣大型企業在進行網路建設時必然對於網路裝置的埠密度、處理能力方面有更高的要求，而且在網路安全方面要求更嚴格，因此在大中型企業一般採用雙核心交換機的冗餘結構，務為備份。在總部網路中心和企業分部等重要部門作冗餘鏈路，保證一條線路因意外情況斷掉，另一條線路立即啟用，保證網路通暢。

因此，總體的網路方案採用雙核心的兩層網路架構，分為核心層和接入層，其中核心層負責資料的高速交換，接入層負責使用者資訊點的接入。

其中核心層為整個網路的最高層，採用華為公司的核心交換機s8512進行網路架構。兩台s8512通過千兆電口互連，之間採用vrrp協議，實現裝置之間的冗餘，保證當其中一台裝置出現故障時，網路可以平滑地切換到備用的裝置上。

在s8512上配置千兆電口板，提供高頻寬的千兆電口與核心層的伺服器單元進行互連。在每台伺服器上分別配置兩個千兆電口，分別連線到核心的兩台核心交換機s8512上，提供伺服器的鏈路冗餘保護。

在後台支撐單元主要是網路內部的網管，認證，計費等伺服器。其中網管伺服器主要完成對全網裝置進行統一管理；認證伺服器主要對全網的使用者進行統一的身份識別；計費伺服器可以針對時長，流量等引數進行使用者計費，策略伺服器可以對每乙個使用者的訪問許可權進行限制，實現使用者的受控訪問。

在出口單元是防火牆和出口路由器裝置，其中防火牆該裝置對來自外網internet的各種攻擊，病毒進行過濾，防範，保證內部網路的健壯性。路由器負責全網的nat位址解析，路由的選擇等功能。

在各個樓層分別放置華為公司的二層千兆交換機s3050c，3026c作為終端接入裝置，在每台裝置上配置兩個千兆光口，分別連線到核心交換機s8512上，之間啟用rstp協議，實現網路的線路冗餘。對於一些樓層，資訊點數量眾多，可以採用堆疊的方式進行擴充套件。

ip位址規劃

ip位址的規劃應遵循以下原則：

● ip位址的規劃與劃分應考慮到業務發展的需求，預留相應的ip位址段

● ip位址分配需要有足夠的靈活性，能滿足各種網路使用者使用需要

● ip位址分配由業務驅動，按照具體業務需求分配適合的位址資源

● ip位址分配應採用vlsm技術，保證ip位址的使用率

● ip位址的分配應便於路由裝置使用cidr技術，以減小路由表大小，加快查詢速度

● 充分合理利用已申請的位址空間，提高位址利用效率。

建議盡量遵循以上的ip位址規劃原則，並根據實際使用情況靈活配置。

vlan的劃分

工作在網路第二層的vlan技術能將一組使用者歸納到乙個廣播域當中，從而限制廣播流量，提高頻寬利用率。同時預設情況下不同vlan之間使用者是不能相互訪問的，如需通訊要通過三層裝置**，這就便於實施訪問控制，提高資料的安全性。

在網路使用者vlan規劃方面，一般可根據使用者所屬的部門，以及具體的網路應用許可權來劃分。在具體vlan規劃中，應合理規劃同一vlan內網路使用者數量。

具體vlan分配原則制定後，根據vlan內使用者分布情況，在交換機上安排相應的網路埠，在不同交換機之間，如果需要交換同一vlan的資料和資訊，則在交換機互聯的埠上設定其工作在trunk模式下，使其能**帶有802.1q標籤的不同vlan的資料報。

業務間的安全隔離

為保證各種不同業務間的安全隔離，本方案考慮採用訪問控制列表技術實現業務間的安全隔離。

acl訪問控制

在網路裝置配置中，可以利用三層裝置的acl（訪問控制列表）功能，保護那些對網路安全要求較高的主機、伺服器以及特定的網段。acl是手工配置在網路裝置上面的一組判斷條件，對於滿足條件的資料報，裝置進行「**」或者「丟棄」的處理。acl的主要作用有：

● 實施對網段的訪問控制

通過在網路裝置上配置訪問控制過濾功能，提供網路管理人員對網路資源，進行有效安全管理的技術。介紹如下：

acl：針對資料報的目的網路位址，通過ip位址的過濾，作訪問控制，包括網段和主機位址。

extended acl：針對資料報的源位址和目的網路位址的組合，對網路訪問進行控制包括網段和主機位址。

例如，可以通過在網路裝置上設定acl，允許網路給普通使用者訪問公共檔案伺服器所在的網段，但拒絕對財務或者internet等的訪問。

● 實施對網路應用的安全控制

通過網路裝置配置的extended acl，針對使用者資料報的應用型別，對網路訪問進行控制。

例如，在同一臺主機上，同時執行email和www應用，通過在網路裝置上設定控制表，可以控制使用者只能訪問email應用，而拒絕他訪問www應用。

華為3com公司推薦的網路裝置使用硬體方式實現acl功能。因此當設定了acl之後，對裝置處理資料報的速度沒有影響，依然能滿足線速**的要求，確保關鍵應用的正常開展。

主幹鏈路冗餘設計

在本方案中為了提高系統的整體可靠性，接入交換機和匯聚交換機之間都通過雙歸屬連線，從而實際上構成物理鏈路上環狀結構，我們正是通過這個環狀結構為每個接入骨幹的使用者提供鏈路冗餘和骨幹自癒的功能。

多業務保證

ip preference －用於業務分類的ip優先順序

ip優先順序提供了將業務劃分為多個服務類的功能。網路管理員可以定義六個服務類，並利用擴充套件acl（訪問列表）定義每個類別的擁塞管理策略和頻寬分配策略。由於ip優先順序使用ip報文頭標識服務型別的位元組中的三個位元位表示，分類的結果可以在ip網路中傳播。

作為骨幹網路的入口，這個功能尤其重要。

ip優先順序的設定非常靈活，可以由網路客戶分配，也可以按照網路管理員制定的策略，根據分組的ip位址、mac位址、物理埠、服務埠（tcp、udp埠號）等特性進行再分配。

ip優先順序可以對映到鄰接技術（如標記交換、幀中繼、atm）中，在非均一的網路環境中實現端到端的qos。

car(committed access rate) －允許訪問速率

car是一種頻寬管理機制。通過配置car，網路管理員可以為不同的業務分配不同的頻寬，定義業務占用的頻寬超過分配額度時的處理策略，通過限制通過路由器某一埠的流量，很好地保證整個網路的qos。car既可用於網路的入口也可用於網路的出口，網路管理員可以根據ip位址、服務埠區分不同的業務流。

car利用令牌桶實現業務的頻寬分配和測量功能，通過限制頻寬資源的分配，以適應ip業務的流量突發的特點。對於超出分配頻寬的業務，car利用擴充套件acl（訪問列表）制定處理策略，包括修改分組的優先順序、丟棄分組等。管理員可以為不同的業務制定不同的car策略。

red －網路擁塞避免

隨機早期檢測（red）通過對網路擁塞情況的早期檢測，依據預先制定的規則按照一定的比例有選擇地丟棄某些業務的分組，智慧型地避免網路擁塞，以保證即使在網路超負載的情況下，路由器仍能保持較高的報文**效率，為網路管理員提供了靈活制定流量控制策略的能力。

wred (weighted random early detection) －加權red

wred結合了ip優先順序和red策略，為不同類別的業務提供不同的服務，優先處理優先順序高的分組。wred在檢測到網路擁塞的情況下，按照一定的策略對優先順序高的業務優先處理，既保證了高優先順序業務處理的及時性，同時也不會加劇網路的擁塞程度。網路管理員可以通過為不同服務類別定義佇列的最大閾值和最小閾值以及分組丟棄率，靈活地制定區分服務類別的流量控制策略。

佇列機制和擁塞管理

當擁塞發生時，交換機採用佇列機制對分組進行排程，決定哪些分組優先傳送、哪些分組被丟棄，以保證重要的業務對頻寬和延遲的需求，保證普通業務之間在頻寬分配上的公平。quidway 系列交換機支援sp、wrr兩種佇列機制。管理員可以通過應用不同的佇列機制，配置不同的擁塞策略，為不同的業務提供不同的服務。

sp –嚴格優先順序佇列。當擁塞發生時，分組依據預先配置的規則分成四類，按照先進先出的策略分別進入四個優先順序不同的佇列。在佇列排程上，高優先順序的佇列相對於低優先順序的佇列具有絕對的優先權。

採用這種佇列機制可以保證在網路發生擁塞的情況下，重要業務的資料傳輸不受影響。

wrr -加權迴圈佇列。 wrr將分組按照不同的業務流、不同的ip優先順序劃分到不同的埠輸出佇列。不同優先順序佇列的權重不同，獲得傳送的機會也不同。

高優先順序佇列中的資料有更多獲得傳送的機會，但低優先順序佇列中的資料在一定時段內也有獲得傳送的機會，從而避免了由於高優先順序佇列中的資料較多而使低優先順序佇列中的資料始終無法傳送從而「餓死」的情況發生。

區域網組網方案

區域網組網技術考試說明

實驗二區域網組網

實驗二區域網組網

區域網組網方案

區域網組網技術考試說明

實驗二區域網組網

實驗二區域網組網

相關推薦