网络工程与系统集成(佟巍)

网络工程与系统集成

期末大作业

需求分析：

1）某大学具有6个二级学院，分别位于同一城市的4个园区，其中大学与两个二级学院在同一个园区（园区1），另外两个二级学院位于另一个园区（园区2），而其它两个学院分别位于园区3和园区4。

2）大学向因特网发布信息并为全校提供有关的信息化服务，每个学院也自行向因特网发布学院信息并负责学院自己的信息服务，每个学院都拥有约1500台PC机。

3)大学已从

CERNET

有关机构申请了

IPV4

地址块

202.113.128.0/24~202.113.137.0/24。

4)校园网络遵循网络核心层、网络汇聚层、网络接入层的三层结构模式：选用万兆以太网作为连接大学4个园区的高速主干；选用千兆以太网作为各个园区的主干，形成大学校园网的汇聚层；选用百兆以太网LAN作为基本接入形式。大学校园网与因特网具有统一接口，即通过百兆以太网接入 CERNET。 设计要求：

1）为校园网规划IP地址；

2）为校园网设计网络拓扑结构(用VISIO2003画图）； 3）为校园网选择适当的网络设备； 4）为校园网选择路由协议； 5）为校园网选择网络安全措施。 设计方案：

一， 需求分析和设计考虑

这是当前许多大学和企业面临的一个非常典型的大型园区网设计问题。位于同城市不同区域的4个网络自行设计，通过以太网光纤连接到核心交换机上，以及vlan间的路由技术，构成在拓扑上的统一结构。

1） 由于在某个时期网络具有特定的主流技术，因此近年来建设的园区网大

多采用万兆核心，千兆到楼宇，百兆到LAN/桌面的以太网解决方案。

事实上，这种结构是一种二层结构的网络拓扑，其中的千兆构成了汇聚层的主干，而百兆到LAN/主机构成了接入层。因此，一种解决方案就是选用万兆以太网作为整个核心层，形成校园网主干，并且该校园网主干采用因特网公有地址。

2） 选用万兆交换机互联各个园区网的原因在于：其一，各园区网均采用以

太网技术体系，兼容性好。其二，大学将校园网上开展教学视频观摩，远程听课等工作，提供高速率信息通道是必要的。万兆交换机是具有路由功能的多层交换机，在校园网环境下能够提供更好的性能。其三是价格因素，若在覆盖几十千米采用高速路由器的话，通常要采用SDH技术，这会使有关设备的价格增加2~3倍。尽管高速路由器会使各个园区具有更好的隔离性，但在校园网中用处不大。因此选用多层交换机作为汇聚层的节点，在各个园区划分vlan，隔离广播信息，再通过多层交换机的vlan间路由技术，进而构建跨区域的技术互联。

3） 根据要求，该校园从CERNET获得的IP地址数量是无法满足需求的，只

能提供向因特网发布信息和联系，或进行网络科学研究之用，因此构成校园网IP地址的主体是经过NAT或者PAT地址转换的专用网地址。使用这些专用地址不利于与其他大学的学术交流，但也不得已而为之的方法；另一方面，可以减少网络黑客对校园网的侵扰。

4） 由于网络的规模较大，考虑到以后的可扩展性，路由协议采用OSPF。 5） 考虑到设备的可管理型，网络管理协议选用SNMP。 二， 设备选用：

（1） 交换机（多层交换机）的选用：

二层交换机用于小型的局域网络。这个就不用多言了，在小型局域网中，广

播包影响不大，二层交换机的快速交换功能、多个接入端口和低谦价格为小型网络用户提供了很完善的解决方案。

路由器的优点在于接口类型丰富，支持的三层功能强大，路由能力强大，适合用于大型的网络间的路由，它的优势在于选择最佳路由，负荷分担，链路备份及和其他网络进行路由信息的交换等等路由器所具有功能。

三层交换机的最重要的功能是加快大型局域网络内部的数据的快速转发，加入路由功能也是为这个目的服务的。如果把大型网络按照部门，地域等等因素划分成一个个小局域网，这将导致大量的网际互访，单纯的使用二层交换机不能实现网际互访；如单纯的使用路由器，由于接口数量有限和路由转发速度慢，将限

制网络的速度和网络规模，采用具有路由功能的快速转发的三层交换机就成为首选。

一般来说，在内网数据流量大，要求快速转发响应的网络中，如全部由三层交换机来做这个工作，会造成三层交换机负担过重，响应速度受影响，将网间的路由交由路由器去完成，充分发挥不同设备的优点，不失为一种好的组网策略，当然，前提是客户的腰包很鼓，不然就退而求其次，让三层交换机也兼为网际互连。

第四层交换的一个简单定义是：它是一种功能，它决定传输不仅仅依据MAC地址(第二层网桥)或源/目标IP地址(第三层路由),而且依据TCP/UDP(第四层) 应用端口号。第四层交换功能就象是虚IP，指向物理服务器。它传输的业务服从的协议多种多样，有HTTP、FTP、NFS、Telnet或其他协议。这些业务在物理服务器基础上，需要复杂的载量平衡算法。在IP世界，业务类型由终端TCP或UDP端口地址来决定，在第四层交换中的应用区间则由源端和终端IP地址、TCP和UDP端口共同决定。

根据流量计算，每个园区网中有1500台计算机，如果同时上网，会有部分人看视频，聊QQ，浏览网页等，经过估算，带宽的平均占用为30kbps。那么，每个园区网的总带宽应该为30kbps*1500=3.945Mbps，考虑到设备之间的通信，以及设备的冗余情况，我们应把园区网核心交换机的处理能力定位在1000Mbps。而大学共包含6个二级学院，因此总带宽为43.945Mbps*6=263.67Mbps，同样考虑设备间的通讯以及设备冗余，我们应该把校园核心交换机的处理能力定位在

参考设备：

A、园区网核心交换机：cisco6500系列交换机 产品规格：

B、汇聚层交换机：Cisco Catalyst 3560-X 系列 产品规格：

Enhance productivity by using Cisco Catalyst 3560-X Series Switches to enable applications such as IP telephony, wireless, and video. These enterprise-class switches provide high availability, scalability, security, energy efficiency, and ease of operation with innovative features such as:

IEEE 802.3at Power over Ethernet Plus (PoE+) configurations Optional network modules Redundant power supplies MAC security features

Key Features

Connectivity options:

o 24 and 48 10/100/1000 PoE+ and non-PoE models

o PoE+ with 30W power on all ports in 1 rack unit (RU) form

factor

o Optional four 1 GE SFP (Small Form-Factor Pluggable) or two

10 GE SFP+ uplink network modules

High availability due to dual redundant, modular power supplies and

fans

Investment protection:

o Enhanced limited lifetime warranty

o Enhanced Cisco EnergyWise to measure, report, and reduce

energy usage across your organization

Security:

o MAC security hardware-based encryption

o Multicast routing, IPv6 routing, and access control list in

hardware

Software versions:

o LAN Base: Enterprise Access Layer 2 Switching o IP Base: Enterprise Access Layer 3 Switching, including OSPF

(Open Shortest Path First) for routed access

o IP Services: Advanced Layer 3 Switching (IPv4 and IPv6)

C、接入层交换机：Cisco Catalyst 3750系列交换机 产品规格：

Cisco Catalyst 3750系列包括以下配置：

Cisco Catalyst 3750G-24TS—24个以太网10/100/1000端口和4条小型可插拔(SFP)上行链路

Cisco Catalyst 3750G-24T—24个以太网10/100/1000端口 Cisco Catalyst 3750G-12S—12个千兆位以太网SFP端口

Cisco Catalyst 3750-48TS—48个以太网10/100端口和4条SFP上行链路

Cisco Catalyst 3750-24TS—24个以太网10/100端口和2条SFP上行链路

Cisco Catalyst 3750-48PS—48个以太网10/100端口，带IEEE 802.3af和思科预标准以太网电源 (PoE)，4条 SFP上行链路

Cisco Catalyst 3750-24PS—24个以太网10/100端口，带IEEE 802.3af和思科预标准以太网电源 (PoE)，2条 SFP上行链路

Cisco Catalyst 3750G-16TD—16个千兆位以太网10/100/1000端口和1条万兆位以太网XENPAK上行链路

Cisco Catalyst 3750G-24TS-1U—24个以太网10/100/1000端口和4条SFP上行链路，1机架单元(RU)高

Cisco Catalyst 3750G-24PS—24个以太网10/100/1000端口，带 IEEE 802.3af 和思科预标准PoE，4 条SFP上行链路

Cisco Catalyst 3750G-48TS—48个以太网10/100/1000端口和4条SFP上行链路

Cisco Catalyst 3750G-48PS—48个以太网10/100/1000端口，带 IEEE 802.3af和思科预标准PoE，4条SFP上行链路

（2） 路由器的选用：

路由器的选用，我们考虑以下几点情况： A、一般在核心层和分发层之间部署；

B、在冗余链路上提供等成本负载均衡时，可以快速重路由； C、建立3角连接而不是4角连接； D、建立路由邻居的链路用于转发流量； E、确保冗余的3层路径不存在黑洞；

F、分发层根据可进行路由汇总；但现在不建议这么做； G、通过调整CEF的3层/4层负载均衡hash，以获得最大的等成本开销路径的利用率(CEF polarization)。

考虑到我们在大学与学院的汇聚层采用的是多层交换机，因此，无需在此层面花费过多的经费去采购三层设备，只需在核心层连接ISP运营上的出口配置路由器即可，同样考虑到设备处理转发数据的性能，以及对模块带宽的要求，我们 选用如下设备：

Cisco 7200系列路由器： 关键特性：

高性能交换－－支持高速介质和高密度配置；通过其基于RISC和SRAM配置的系统处理器，Cisco 7200每秒可以交换30万个信息包。

全面的Cisco IOS软件支持和高性能网络服务增强－－高速执行服务质量、安全、压缩和加密等网络服务。

高密度端口－－提供高密度端口以及广泛的局域网和广域网介质，大大降低了每端口成本，并允许灵活地进行配置。 公用端口适配器－－利用和Cisco 7200通用接口处理器（VIP）相同的端口适配器，简化了备件存储，并提供接口投资保护。

（3） 防火墙的选用：

Cisco ASA 5500系列自适应安全设备：

防火墙版：使企业能够安全、可靠地部署关键业务应用和网络。独特的模块

化设计能够提供卓越的投资保护，降低运作成本。

IPS版：通过一组防火墙、应用安全性和入侵防御服务，防止关键业务服务器和基础设施遭受蠕虫、黑客及其它威胁的袭击。

Anti-X版：利用全面的安全服务套件，为小型站点或远程站点的用户提供保护。企业级防火墙和VPN服务提供到公司网络的安全连接。来自 Trend Micro 的业内领先的Anti-X服务能够防止客户端系统遭受恶意Web站点以及病毒、间谍软件和诱骗等基于内容的威胁侵袭。 SSL/IPsec VPN版：使远程用户能够安全地访问内部网络系统和服务，为大型企业部署支持VPN集群。安全套接字层（SSL）和IP Security（IPsec）VPN 远程接入技术将Cisco Secure Desktop 等威胁迁移技术与防火墙和入侵防御服务有机地结合在一起，保证VPN流量不会给企业带来威胁。

（4） 无线设备：Cisco 5500 系列无线控制器

Cisco 5500 系列无线控制器实现无线配置和管理功能的自动化，为网络管理员提供更强的可视性和更大的控制能力，让管理员更有成本效益地管理无线网络和保障无线网络安全。 本控制器作为思科一体化无线网络 (Cisco Unified Wireless Network) 的一个组件，提供 Cisco Aironet® 无线接入点、Cisco 无线控制系统（Wireless Control System，WCS）与 Cisco 移动服务引擎 (Mobility Services Engine) 之间的实时通信。 同时还提供集中化安全策略、无线入侵防御系统 (IPS) 能力、获奖的 RF 管理，以及高质量服务 (QoS)。

为下一代无线网络而优化，5500 系列无线控制器： · 提供改善的移动性；

· 让企业做好使用最新移动设备和应用程序的准备； · 比其他无线局域网控制器支持更高密度的用户；

· 提供更高效的漫游服务，吞吐量至少是现有 802.11a/g 网络的九倍。 （5） 线缆：

根据以上对于设备占用带宽的分析，以及考虑成本和维护的费用以及方便程度，我们将在核心层、汇聚层采用“以太网光纤”，接入层采用“7类双绞线”，这样不仅能够保证网络的稳定性和冗余，而且能为以后的升级、维护提供方便。

线材选用：华为1000BASE-LX（SFP）

（6） 服务器：

核心服务器：IBM System x3850 X5(7145N12) 基本参数 产品类型

企业级

产品类别 产品结构 处理器 CPU类型 CPU型号 CPU频率 智能加速主频

标配CPU数量

最大CPU数量

制程工艺 三级缓存 总线规格 CPU核心 CPU线程数 主板 扩展槽 内存 内存类型

机架式 4U

Intel 至强7500 Xeon X7560 2.266GHz 2.666GHz 4颗 4颗 45nm 24MB

QPI 6.4GT/s 八核 16线程

7×半长PCI-Express（2个热插拔） DDR3

内存容量 32GB 内存描述 8×4GB 1066MHz DDR3 内存 最大内存容

1TB

量 存储

硬盘接口类

SAS

型

标配硬盘容

584GB

量

硬盘描述 4块146GB SAS硬盘 热插拔盘位 支持热插拔 RAID模式 RAID 0，1，5 光驱 DVD 网络

网络控制器 两个千兆以太网卡 管理及其他 系统管理

Alert on LAN 2，服务器自动重启，IBM Systems Director，IBM ServerGuide，集成管理模块（IMM），光通路诊断（单独供电），

适用于硬盘驱动器/处理器/VRM/风扇/内存的Predictive Failure Analysis，Wake on LAN，动态系统分析，QPI Faildown，单点故障转移

Microsoft Windows Server 2008（Standard，Enterprise 和 Data Center Edition，32位和64位）

32位和64位 Red Hat Enterprise Linux

SUSE Enterprise Linux（Server 和 Advanced Server） VMware ESX Server/ESXi 4.0 冗余电源 2个

系统支持

电源性能 电源类型 电源数量

电源电压 220V 电源功率 1975W

汇聚层服务器：IBM System x3650 M3(7945I75) 基本参数 产品类别 产品结构 处理器 CPU类型 CPU型号 CPU频率 智能加速主频

标配CPU数量

最大CPU数量 制程工艺 三级缓存 总线规格 CPU核心 CPU线程数 主板 扩展槽 内存 内存类型

机架式 2U

Intel 至强5600 Xeon X5670 2.93GHz 3.333GHz 1颗 2颗 32nm 12MB

QPI 6.4GT/s 六核 12线程

4×PCI-Express（二代插槽） DDR3

内存容量 8GB

内存描述 2×4GB 1.5V DDR3 RDIMM内存 内存插槽数

18

量

最大内存容

192GB

量 存储

硬盘接口类

SATA/SAS/SSD

型

标配硬盘容

标配不提供

量

最大硬盘容量

内部硬盘架数

热插拔盘位 RAID模式 网络

8TB

最大支持16块2.5英寸热插拔SAS/SATA硬盘 支持热插拔 RAID 5

网络控制器 集成双端口千兆网卡 管理及其他

IBM IMM，Virtual Media Key 用于可选的远程呈现支持，预测故障

系统管理

分析，诊断LED，光通路诊断，服务器自动重启，IBM Systems Director和IBM Systems Director Active Energy Manager，IBM ServerGuide Microsoft Windows Server 2008 R2 和 2008 Red Hat Enterprise Linux SUSE Linux Enterprise Server

VMware ESXi 4.0 嵌入式虚拟化管理程序 热插拔电源 1个 675W

系统支持

电源性能 电源类型 电源数量 电源功率

三，设计方案 （1）核心层：

由于考虑到核心层的性能，可靠性，安全等问题，我对于拓扑图有以下两种设计，第一种没有在核心层中另外加入核心交换机，而第二种加入了“核心中的核心”，以下是两种方案的对比：

园区网拓扑图：

A、没有核心层的情况：

全互连的分发层 物理连线很多 路由的复杂度增加

图1.1.1

B、专门的核心层交换机：

易于增加模块 核心层链路较少 易于升级带宽

路由协议对等体数量少 等开销的3层链路

图1.1.2

园区网示例图：

图1.1.3

该大学的校园网分为公网部分和专用部分。通过防火墙，连接了该大学放置各种应用服务器的非军事区部分，并通过路由器与CERNET相连。该三层校园网结构中的核心层位于公网部分。

如图所示，四个园区的核心多层交换机分别连接到大学主干交换机上，并且各个学院之间也通过万兆光纤互联，构成冗余的网络拓扑结构，保证了网络的高可用性。设计中的多层交换机采用Cisco公司的万兆交换机cisco6500系列交换机，防火墙使用的是Cisco的IOS Firewall，为了增加核心层的可靠性，采用租用电信公司的光纤裸芯，用万兆速率将4个园区的8台万兆交换机与核心的两台交换机连成环。 （2）汇聚层：

图2.1.1

图2.1.2

图2.1.3

各园区可以基本保持原有的二层网络结构，并且在自己园区网中使用专用IP地址块。园区网要考虑将汇聚层主干兆交换机与大学万兆交换机通过防火墙相连的问题，注意到有些万兆交换机可能具有内置的防火墙。同时，他们在内部防火墙处设置自己的非军事区，放置学院网络应用服务器。

园区中的各个服务器，教学楼，办公楼，宿舍楼等的交换机，还有包括像cisco IP电话，无线路由器等，都连接到网管中心的主服务器上，然后再向下划分各个楼层的交换机。

如图例所示，是理工学院与大学万兆核心层主干网的连接。其中理工学院园区网的主干网由IBM的主服务器与cisco公司的VN6500交换机连接的千兆光纤构成，以百兆以太网作为接入网与用户PC，IP电话等相连。

各二级学院的校中具有的PC数量为1500台，我们可以根据不同部门，不同楼宇位置划分为若干子网，然后划分vlan，以隔离广播流量，提高网络工作效率，同时，像各个学院办公室，实验室，网管中心，或者宿舍楼等，可以把这些vlan子网通过VPN与其他学院，大学独立的组成自己的虚拟局域网。

网络管理协议援用SNMP技术。 （3）接入层：

图3.1.1