2.4 远程访问技术
远程访问也是企业网络必须提供的服务之一。 远程访问技术: 它可以为办公用户和客户远程访问企业网站获取信息服务。远程访问有三种可选的服务类型:专线连接、电路交换和包交换。在本工程案例设计中,采用专线连接(到因特网)和 电路交换(到企业网)两种方式实现远程访问需求。
2.5 链路聚合技术
链路聚合(Link Aggregation)技术,支持 IEEE802.3ad 协议,是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的 技术,也称为骨干连接。 当两台核心层交换机采用聚合链路(Link Aggregation)技术后,该技术可以使交换机之间连接最多 4 条负载均衡的冗余连接。当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时,系统将通信业务快速自动切换到另一台正常工作的核心层交换机上,以使整个网络具备高容量、无阻塞、高可靠的能力。 作为一个较为完整的企业网实现,路由、交换与远程访问技术缺一不可。在后面的内容中,我们将就每一技术领域的常用 技术的实现进行详细的讨论。
4 / 22
第3章 网络总体设计
3.1 企业网布网原则
根据电信信息化住宅小区用户业务的开展情况和发展规划,本着“经济适用、合理预留”的原则,配线电缆应满足用户通信需求,线路容量应足终期用户业务发展要求;为了最大限度的减少投资,设计的配线电缆路由应充分考虑终期敷设电缆线路的需要;配线电缆设计应满足原邮电部及信息产业部相关设计规范和技术资料的规定。
3.2 从几个方面考虑企业内网组网因素 3.2.1
网络技术选型
在企业网网络的建设中,主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合企业网络需求特点的主流网络技术,不但能保证网络的高性能,还能保证网络的先进性和扩展性,能够在未来向更新技术平滑过度,保护用户的投 资。所以要根据实际应用的需要,采用千兆以太网作为企业网的主干网,因为作为整个企业网的信息交换中心,网络的速度会直接影响到其他各子网的性能;在建设多媒体教室时,由于网络中将会有很多的图像和声音的传输,因此对带宽和传输速度有很高的要求,采用快速以太网就是最好的选择;而对于其他一些只有诸如简单文件传输之类的应用的环境,采用以太网就能满足要求。不同网络技术的复杂程度,在一定程度上直接影响企业网的维护、管理和使用效果。千兆以太网继承了以太网的技术简 单,容易学习掌握的特点,是企业网的首选技术。
3.2.2
网络核心设备的选择
骨干带宽的选择。网络应用的增加对网络带宽提出了直接的需求。事实上,从1983 年802.3标准的正是成立开始,以太网技术经过20年的发展,已进入万兆以太网(802.3ae 标准)的时代。企业网络应用也是极其丰富的。并且随着组播技术在企业的应用,企业网核心层将面临严峻的考验。出于对网络发展的考虑,基于网络业务的发展,在拥有近万个信息点的企业采用万兆以太网技术构建核心层是可行的。目前业
5 / 22
务还没完全开展起来,先采用千兆骨干,但核心设备必须支持万兆,并且在教育行业有应用,证明核心产品的成熟性和稳定性。在实现端到端的以太网访问的同时提高了传输的效率,有效地保证了多媒体办公、作业等业务的开展。
3.2.3
处理能力
核心层是网络高速交换的骨干,被设计成尽可能高速包转发率,同时能够提供高速的 Internet 的接入和高冗余性能,同时由于各企业基本采用了 Internet 和 CERNET双出口,而且出口的速率不同,所以所选择的网络核心层设备应该能够提供多网络出口的智能选择的功能,本身能够提供冗余特性。核心层设备须能够支持多种不同模块的插槽和提供多种不同的网络模块,支持到流媒体所需的网络的组播协议和网络的多播协议的处理能力,需要线速的数据转发和数据交换功能,即高背板带宽支持和高性能网络处理芯片的支持;由于是核心设备,还必须考虑整体网络的灾难备份和设备冗余,在设计中考虑的设备冗余需要有设备支持和协议支持,设备支持就是指在核心不能由单台设备进行整个网络的数据交换,需要有至少两台设备对整个网络进行有效的支撑,并已经具备灾难备份的硬件支撑能力。
3.2.4
在协议上,需要支持冗余协议
实现整体网络冗余。支持在单台设备失效的同时,在最短的时间切换,避免网络损失。对于核心交换机在整个网络的设计,还要考虑整体业务的支撑方式,因为设备只是物理承载层面,而用户需要在该物理层面实现其业务,达到职能和流程的有效快捷,这样,物理设备的业务支撑能力就至关重要。核心设备应提供分布式 L2/3/4 层接口板处理应用流(视频、话音、数据)、重要用户的优先级,支持 NAT、MPLS、VPN、策略路由等应用;支持基于端口、MAC、 VLAN、IP、应用类型等多种 Qos;支持四个优先级队列和 WRED、WRR、PQ、WFQ 等流分类、排队、调度和整形机制。赋予交换机高度的智能性,高效支持各种应用业务。对于核心设备在网络中的举足轻重的位置,安全对于整个网络来说也整个网络的至关重要的,对于外部的黑客攻击和内部的病毒攻击的屏蔽,是保证整个网络运行的关键。核心设备要提供完善的ACL访问控制策略的定制,防止非法内容的访问;广播 包抑制及广播源定位功能,保证网络用户安全。
6 / 22
3.2.5 对于未来的扩展设计
对于在中心位置的核心设备的设计而言,随着时代的改变,其业务结构和规模也会改变,这样需要整个网络设备能够对未来的变化具备应对措施;由于核心设备是数据和业务的核心,所以,不能轻易的进行更换,同时,考虑到成本的因素,除非核心设备已经完全不能支撑目前业务的进行,否则,基本都会采取在原来的设备增加功能支撑来满足新业务的需求。这样,对于未来的扩展性就变得异常重要,核心设备扩展槽,接插模块类型,端口密度数应有所考虑,以保证整体设备的高性价比。
3.2.6
安全方案的部署
从各企业网络现状分析,目前面临的网络安全威胁来源主要来自以下几个方面:一是来自 Internet 的安全威胁,各企业有自己独立的链路通往 Internet。Internet 上的任意接入点对本局域网发起的基于网络的攻击,以及对外公开的应用服务器的攻击,这样可以造成网络性能的急剧下降,应用服务器的瘫痪。使整体网络正常的内、外双向通信、存储等服务受阻或中断。二是来自企业局域网内部的恶意安全攻击,网络连接员工的计算机,员工有可能基于学习的目的可能使用各种入侵的软件,给系统造成隐含的威胁。三是企业内各相关部门的数据上报采用FTP方式逐级复制,处于完全敞开和透明的模式,只要掌握IP地址,传输数据就可以被轻易截获,从而造成保密信息的泄露;再有来自操作系统、应用系统本身的漏洞及来自互联网、内部局域网的病毒安全威胁的攻击。企业范围内的病毒防护不能依靠个人的自觉性,应当从网关、服务器、客户端多个层面来统一部署,实施整体病毒防护解决方案。这样才能从根本上降低病毒的发作和传播几率,有效地保护企业内部资源,同时对新出现的病毒有一个很好的、快速的响应系统。作为企业网络安全的防线,防火墙、入侵检测、防病毒系统是必不可少的,它可有效的对来自外网和内网的攻击做出及时告警,并给予一定的响应措施。
3.3 初步确定网络拓扑图
在用户管理、计费方面,要保证计费数据的准确,交换机可以支持用户账号、IP 地址、MAC 地址、交换机端口、VLAN 的绑定,保证了用户上网期间 IP 地址不被盗用,支持基于流量/时长/包月/带宽的计费及其组合计费方式。 在用户日志管理方
7 / 22
面,业务管理平台和接入交换机配置可以实现完善的用户日志功能。用户访问日志的内容包括用户名、源 MAC、VLANID、源 IP、目的IP、访问时间。用户的目的IP地址改变时会产生一条日志。根据这些信息可以很方便的定位用户在某个时间段访问了那些内部服务器,与服务器的日志相对应追查出一些事故的责任人。在网络管理方面,网络管理软件支持多种操作平台,并能够与多种通用网管平台集成,实现从设备级到网络级全方位的网络管理。提供统一拓扑发现功能,实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。模型见图3-1
图3-1 初步确认网络拓扑
3.4 IP地址划分 3.4.1
为什么要做好IP地址规划
在网络规划中,IP地址方案的设计至关重要,好的IP地址方案不仅可以减少网络负荷,还能为以后的网络扩展打下良好的基础。
IP地址用于在网络上标识唯一一台机器。根据RFC791的定义,IP地址由32位二进制数组成(四个字节),表示为用圆点分成每组3位的12位十进制数字
8 / 22