第 10 章 网络规划与设计 10.1 网络方案设计内容10.2 网络总体设计 10.3 中小企业网络解决方案

10.1 网络方案设计内容 1. 用户需求分析与建网目标2. 建网原则3. 网络总体设计4. 综合布线系统5. 设备选型6. 系统软件7. 应用系统8. 工程实施步骤9. 培训方案10.、测试与验收

10.1 网络方案设计内容 1. 用户需求分析与建网目标 （ 1 ）了解企业用户的现状 （ 2 ）弄清用户的目的 （ 3 ） 掌握资金投入的额度 （ 4 ）了解企业用户环境 （ 5 ）确定企业用户的数据流管理架构

10.1 网络方案设计内容 2 建网原则 (1) 标准化及规范化 (2) 先进性 (3) 扩充性 (4) 可靠性 (5) 安全性 (6) 可管理性及可维护性 (7) 实用性 (8) 灵活性 (9) 经济性

10.2 网络总体设计 10.2.1 局域网技术选型 10.2.2 网络拓扑结构设计 大型网络的设计通常是从中心开始把计算机网络划分

为核心层、汇聚层和接入层（见图 1-1 ），每层完成的功能不一样，各有其特点，应根据不同层次用不同的要求设计网络，网络的层次化设计有以下优点：

1 结构简单。通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除或扩展更容易，能隔离广播风暴的传播、防止路由循环等潜在问题。

2 升级灵活。网络容易升级到最新的技术 , 升级任意层的网络不会对其他层次造成影响，无须改变整个环境。

3 易于管理。层次结构降低了设备配置的复杂性，使网络更容易管理。

10.2 网络总体设计 10.2.2 网络拓扑结构设计 核心层的任务是为其他两层提供优化的数据传输功能。核

心层由一个高速的骨干网组成，其作用是尽可能快地交换数据包。由于核心层对网络互连是至关重要的，因此一般要采用冗余组件来设计核心层。核心层应具有高可靠性，并且应能快速适应网络的变化。核心层不应卷入到对具体的数据包的运算中去（如过滤等），否则会降低数据包的交换速度。核心层的主干交换机一般采用最快速率的链路连接技术，在与汇聚层交换机相连时要考虑采用建立在生成树基础上的多链路冗余连接，以保证与核心层交换机之间存在备份连接和负载均衡，完成高带宽、大容量网络层路由交换功能。这样当交换机之间的线路出现故障时，传输的数据会快速自动切换到另外一线路上进行传输，不影响网络系统的正常工作。

10.2 网络总体设计 10.2.2 网络拓扑结构设计 汇聚层是网络核心层与接入层的分界点，它扮演了许多角

色，包括对资源的控制访问，可以配置为 VLAN 之间连接的路由，汇总接入层的路由。设计时可根据网络规模和应用情况考虑汇聚层与核心层有冗余的链路。汇聚层设计需支持网络的高接口密度、高性能、高可用性等特性，应该与服务质量（ QoS ）机制、智能应用技术以及安全性设计结合在一起。用户可以通过汇聚层高效地利用其接入层网络，增加终端业务（如多点广播、语音和视频应用、 ERP 应用等），而不影响网络性能。汇聚层交换机和接入层交换机之间可以利用全双工技术和高传输率网络互联，保证分支主干无带宽瓶颈。汇聚层的设计要满足核心层、汇聚层交换机和服务器集合环境对千兆端口密度、可扩展性、高可用性以及多层交换的不断增长的需求，支持大用户量、多媒体信息传输等应用。

10.2 网络总体设计 10.2.2 网络拓扑结构设计 接入层的主要目标是为最终用户提供对网络访问的途径，提供了带宽共享，交换带宽、 MAC层过滤、网段划分等功能。本层也可以提供访问列表过滤等操作。接入层设计时可考虑采用可网管、可堆叠的以太网交换机作为网络的接入级交换机，以适应高端口密度的部门级大中型网络。交换机的普通端口直接与用户计算机相连，高速端口用于上连高速率的汇聚层的交换机，用以有效地缓解网络骨干的瓶颈。

10.2 网络总体设计 10.2.3 地址分配与聚合设计 1 IP 地址的划分原则如下：• 唯一性： IP 地址必须唯一，一个 IP 地址对应一台数据通讯设备；

• 连续性：为同一网络区域分配连续的网络地址，便于规划，同时提高路由器寻径效率；

• 可扩充性：分配地址应预留一定量的备用地址块，以便网络节点增加后能保持地址的连续性；

• 可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其它部分；

• 高效性：可采用可变长子网掩码技术；• 可汇聚性：网络地址的分配应有利于路由表汇聚；

10.2 网络总体设计 10.2.3 地址分配与聚合设计 2 IP 地址的划分方法如下 ：• 自顶向下地址规划• 公有地址、私有地址的结合使用 • 动态分配地址可以有效地管理用户的地址 • 混合地址分配方案10.2.4 Internet接入设计

10.2 网络总体设计 10.2.5 网络性能设计

10.2 网络总体设计 10.2.6 网络可靠性和冗余设计 网络系统的可靠性主要有三方面：抗毁性、生存性和

有效性。 抗毁性是指系统在人为破坏下的可靠性。比如部分线路或节点失效后，系统是否仍然能够提供一定程度的服务。增强抗毁性可以有效地避免因各种灾害（战争、地震等）造成的大面积瘫痪事件。

生存性是在随机破坏下系统的可靠性。生存性主要反映随机性破坏和网络拓扑结构对系统可靠性的影响。这里，随机性破坏是指系统部件因为自然老化等造成的自然失效。

有效性是一种基于业务性能的可靠性。有效性主要反映在网络信息系统的部件失效的情况下，满足业务性能要求的程度。比如，网络部件失效虽然没有引起连接性故障，但是却造成质量指标下降、平均延时增加、线路阻塞等现象。

10.2 网络总体设计 10.2.6 网络可靠性和冗余设计 •构建网络系统的备份体系，设计冗余部件 。•硬件容错、软件容错和线路容错设计 •运行环境备份、业务数据备份、备份策略和恢复方案。

10.2 网络总体设计 2 冗余设计 1 ）硬件容余 2 ）软件容错 3 ）网络结构和线路冗余

高校图书馆冗余网络拓扑结构

10.2 网络总体设计 网络采用了两台锐捷网络的 RS-S6800 系列（ RS-S6806 或 RS-S681

0 ）的 10GE 交换机作为网络的核心层，实现设备冗余，交换机之间采用链路聚合技术相连，两交换机间既互为备份，又可均衡负载，从而保证了核心层的任一台交换机出现故障都不会影响网络的运行。

电子阅览终端查询和行政办公区的汇聚层交换机（分别为 STAR-S4909 和 STAR-S3550-12G ）使用两条千兆位链路分别上连两台中心交换机 RS-S6800 ，建立两条逻辑链路。通过配置生成树协议指定一条链路工作，另外一条千兆位链路将自动成为备份链路，实现链路冗余。

服务器是网络应用的核心，即使所建网络的结构达到相当高的可靠程度，如果服务器采用一条线路接入，网络依然可能出现单点故障，对用户来说依然没有可靠性可主。解决方法是在服务器上安装两块千兆位服务器网卡，分别连接两台核心交换机，利用网卡容错技术实现两块网卡间的容错。当主网卡或网卡所连的交换机发生故障时，服务器会立刻将该网卡上的流量转移到备份网卡上。

通过以上 3 个方面，可以看到该方案能够做到任何一台中心交换机的故障不会导致整个网络瘫痪，提供了最快速的故障恢复方案，增强了网络的容错能力，提高了网络的可靠性。

10.2 网络总体设计 10.2.7 网络安全性设计 • 物理安全 • 在链路层，通过 " 桥 " 这一互连设备的监视和控制作用，使我们可以

建立一定程度的虚拟局域网，对物理和逻辑网段进行有效的分割和隔离，消除不同安全级别逻辑网段间的窃听可能。

• 在网络层，可通过对不同子网的定义和对路由器的路由表控制来限制子网间的接点通信，通过对主机路由表的控制来控制与之直接通信的节点。同时，利用网关的安全控制能力，可以限制节点的通信、应用服务，并加强外部用户识别和验证能力。对网络进行级别划分与控制，网络级别的划分大致包括 Internet/ 企业网、骨干网 / 区域网、区域网/ 部门网、部门网 / 工作组网等，其中 Internet/ 企业网的接口要采用专用防火墙，骨干网 / 区域网、区域网 / 部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器和安全级别较高的操作系统。增强网络互连的分割和过滤控制，也可以大大提高安全保密性。

10.2 网络总体设计 10.2.7 网络安全性设计 • 安全设计主要遵循以下原则：通过身份验证实现网络安全访问；通过网络隔离与控制实现边界安全；通过数据的保密性和完整性实现网络传输安全；通过网络流量监控实现安全监测；用策略管理实现网络综合管理。

• 网络安全设计时应该从系统（主机、服务器）安全、系统与网络的安全检测、访问控制、人侵检测（监控）、审计分析、反病毒、网络运行安全备份与恢复应急措施等几方面考虑。

10.3 高校校园网解决方案 10.3.1 高校校园网建设的目标和需求 1 ）、安全的需求 2 ）、运营的需求3 ）、管理的需求 4 ）、性能的需求 5 ）、高智能的考虑 6 ）、接入方式的考虑

10.3 高校校园网解决方案 10.3.2 校园网网络设计 高校校园网采用核心层、汇聚层和接入层三级星形网络结

构，核心层采用 10Gbps 或 1Gbps 交换技术，汇聚层采用 1Gbps 或 100Mbps 交换技术，接入层采用 100Mbps 或 10Mbps 交换技术。校园内采用综合布线系统，楼宇间根据距离采用单模或多模光纤，楼宇内采用多模光纤与双绞线混合布线方式，双绞线可根据通信情况和单位的经济实力选择 5e 类或 6 类双绞线电缆。网络设备应该选择高技术性能和高可靠性的主流产品，适应今后不断升级和扩展的需求。根据应用需求，建立对内对外服务的服务器群组。根据网络管理和安全管理的需求将网络划分为不同的 VLAN ，在核心层和汇聚层对网络设备和通信链路作必要的冗余设计，选择适当的防火墙、网管平台、认证记费平台等。

10.3 高校校园网解决方案 10.3.3 锐捷网络高校校园网解决方案

1 方案特点 • 高安全 1) 、安全认证到桌面。采用六元素的自动绑定、静态绑定、动态绑定相结合，可以确保用户入网时身份唯一，并且避免了 IP冲突。2)、管理分级授权。不同职能的管理者使用同一套系统时可以得到不同的操作界面以及使用权限，避免了管理的安全隐患。

3)、控制网络病毒。统一对接入层交换机做动态下发安全策略，轻松有效的控制网络病毒，使网络保持畅通。

4)、抵御网络攻击。结合网络攻击的检测系统，能够抵御日益增多的内部网络攻击，并且自动对用户做出相应的控制动作，保证网络安全。

1 方案特点 • 可运营 1)、贴切校园的运营模式。结合校园的实际运营，在原有电信策略的基础上，开发出最为贴切校园的运营模式，最大程度上解决收费和缴费的矛盾。2)、丰富的营帐及帐务功能。保证管理者可以随时获得运营所需要的记录以及统计信息，从而给运营提供足够的数据支撑。

3)、完善的自助服务系统。能够让用户方便的对自身帐号的信息以及帐务情况自助查询，并对部分信息做操作，极大减轻了管理者的运营负担

1 方案特点 • 易管理 1)、全网设备统一管理。全网拓扑发现以及对事件、性能、日志的统一管理，可以方便的对全网设备统一管理。

2)、 AGTS的用户管理模式。将大量的信息转化为少量的信息做对应，可以在设置的时候使用最少量的对应关系，从而大大提高用户管理的效率。

3)、接入时段管理。通过对日常、周末以及节日的一次性设置，轻松灵活管理用户能够使用网络的时段，提高用户管理的力度。

4)、自动升级客户端。通过统一的一次性配置，使得所有用户的客户端自动进行升级，大大简化了管理者及使用者的负担，使得上网更为轻松。

1 方案特点 • 高性能 1)、整网采用万兆核心、千兆干线、百兆到桌面的设计

理念。高吞吐量，线速转发的核心路由器和三层交换机，所有关键器件的冗余，包括主控板、交换网板、电源等，支持板件的热插拔技术，保证了网络的高效运转。

2)、领先的 SPOH结构设计，基于硬件的同步式数据交换技术。针对不同数据行为对端口依赖性的不同而采用各自不同的处理方式来最大限度地提升整机处理能力。

3)、针对 ACL、 QOS等针对单独端口的数据行为，通过为 ASIC 芯片各端口增加独立的 FFP 模块（ fast filter processor）进行硬件处理，各端口可以同步地进行硬件处理。

4)、 L2/L3/组播等涉及不同端口之间数据处理行为，通过存放在线卡 ASIC 芯片的统一硬件查表项对所有端口进行统一处理，提供数据在不同端口之间的线速转发

1 方案特点 • 端到端 QOS1）、从接入层交换机到核心设备，全面覆盖端口速率限制，应用流分类识别，关键业务流量带宽保证等多层交换质量保证。

2）、基于交换机时间、物理端口、 MAC地址、 IP地址、 TCP/UDP 端口号的应用流分类识别和带宽限速机制，完成了高校全网端到端的 QOS保证。

2 方案产品 1 ） RG-S2126G/2150G 安全智能交换机 STAR-S2126G/S2150G 是两款全线速可堆叠的安

全智能交换机，在提供智能的流分类、完善的服务质量（ QoS ）和组播应用管理特性同时，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营

2 方案产品 2 ） STAR-S3550-24 安全智能多层交换机 STAR-S3550-24/S3550-48 是两款全线速安全智

能多层交换机，该交换机硬件支持多层交换，提供二到七层的智能的流分类和完善的服务质量（ QoS ）以及组播管理特性，支持完善的路由协议，并可以根据网络实际使用环境，实施灵活多样的安全控制策略，可有效防止和控制病毒传播和网络攻击，控制非法用户使用网络，保证合法用户合理使用网络资源，充分保障网络安全和网络合理化使用和运营

2 方案产品 3 ） STAR-S4909 全模块化骨干路由交换机 STAR-S4909 是全模块化的核心路由交换机，丰

富的扩展模块支持灵活构建弹性可扩展的网络。 S4909 支持基于 IP 的运营管理、安全控制、认证计费等各种策略，提供完备的业务控制和用户管理能力，是大中型网络核心交换机的理想选择。

2 方案产品 4 ） RG-S6506 全模块化骨干多层交换机 RG-S6506 是锐捷网络推出的全模块化骨干路由交

换机，拥有 6 个模块扩展槽，提供管理模块冗余，支持千兆和百兆模块线速转发，可以根据用户的需求灵活配置，构建弹性可扩展的现代 IP 网络。

2 方案产品 5 ） RG-S6806/6810 万兆核心路由交换机 RG-S6800 系列是全模块化、高密度端口的锐捷万

兆核心路由交换机，目前提供 10 竖插槽设计和 6横插槽设计两种主机： RG-S6810 和 RG-S6806 。多种模块可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。 RG-S6800 系列交换机高达 512G/256G 的背板带宽和 286Mpps/143Mpps 的二/ 三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。

2 方案产品 6 ） RG-WSG108R 高速无线局域网宽带路由

器 RG-WSG108R 是锐捷网络推出的 108Mbps 高速

无线局域网宽带路由器产品，采用业内最新的第二代 802.11g 多模式高速芯片组，在支持当前主流的无线局域网标准的基础上，率先推出基于 108Mbps 的高速通道传输技术，同时，内建的高速加密引擎支持所有 TKIP 及 AES 协议且不会出现性能衰减。RG-WSG108R 在提供高速无线通信的同时，为用户提供了共享以太网络资源的宽带路由功能，方便用户在小型办公区域、家庭、公众运营网络等场合快速构建高速、共享的无线与有线的融合网络。外观小巧美观，可壁挂或放置于桌面，即插即用，是用户组建高速无线局域网络的最佳选择。

2 方案产品 7 ） RG-WALL 1000 千兆防火墙 /VPN 网关 RG-WALL 系列采用锐捷网络独创的分类算法（ Classification Algorithm ）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（ Stateful Inspection ）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序 ( 如 VoIP, H323 等 ) 时，可提供强有力的安全信道。采用锐捷独创的分类算法使得 RG-WALL 产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时， RG-WALL 在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外， RG-WALL 具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。RG-WALL 的主要功能包括：扩展的状态检测功能、防范入侵及其它（如 URL 过滤、 HTTP透明代理、 SMTP代理、分离DNS 、 NAT 功能和审计 / 报告等）附加功能。

2 方案产品 8 ） STAR-VIEW 网络管理系统 StarView 网络管理系统是一套基于 Windows平台的高

度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。它是由锐捷网络自主开发的软件产品。 StarView管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用 IP 设备、 SNMP管理型设备进行管理，结合管理设备所支持的 SNMP管理、 Telnet管理、 Web管理、 RMON管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。 StarView 可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。

2 方案产品 9 ） RG-SAM 安全计费管理系统 锐捷网络 RG-SAM 系统是一套以实现网络运营为

基础，增强全局安全为中心，提高管理效率为准则的可灵活扩展的安全计费管理系统。 RG-SAM 支持 IEEE802.1x、 Radius 、 EAP 、 CHAP 等多种协议标准，与其他厂商支持相应标准的产品兼容，结合锐捷网络安全交换机提供更加丰富的功能。以RG-SAM 为核心软件的“高安全、可运营、易管理”的第二代校园网解决方案 SAMII ，为用户提供了校园网建设的最佳选择，能够带来最优的用户体验。

10.4 中小企业网络解决方案

10.4 中小企业网络解决方案 • 该方案特点的特点 1 ）全网智能管理

– 采用当今 “千兆骨干，百兆接入”的流行架构2 ）网络安全性能优

– 端口镜像功能 – MAC 地址过滤，动态地址锁和端口安全功能

3 ）优化网络性能 – 端口广播风暴动态抑制 – VLAN限制广播风暴– VLAN间实现无阻塞数据交换

4 ）加速网上冲浪 – RG-NBR200电信级宽带路由器