企业网络规划与设计

语 音 电 话 系 统
视 频 监 控 系 统
生 产 应 用 系 统
网络的逻辑结构设计
逻辑结构
通常局域网逻辑结构设计为三个层次
核心层
高速数据转发 汇聚层 路由聚合及安全管理 接入层
终端接入
逻辑结构对应物理层
核心层 核心层 (汇聚层) 汇聚层
接入层
接入层
用户终 端
用户终端 用 户 终 端 (a)
结构清晰简单
二、网络系统的结构
网络系统
网络基础与运行平台
网络安全与管理平台
网络服务与应用平台
主 干 网 络 系 统
网 络 中 心 机 房
综 合 布 线 系 统
网 络 安 全 防 御 系 统
网 络 行 为 管 理 系 证 系 统
服 务 应 用 系 统
网 络 办 动 化 系 统
网络规划与设计
主讲：陈永科 CCIE：13420
课程主要内容
课程主要内容： – 网络系统结构 – 网络逻辑结构设计 – 网络物理结构设计 – VLAN规划 – IP地址规划 – 路由协议规划 – 网络管理规划
先进的网络系统
一个先进的网络系统必须含以下几个特点： – 高性能 – 高可用性 – 高安全性 – 可扩展 – 易管理 – 结构清晰简单
如果选择使用哪种路由协议
• 厂家兼容性
– 不同厂家的产品能支持相同的路由协议
• 网络大小
– 支持的路由器数量、路由表大小、路由器的性能
• 收敛速度（更新速度）
– 收敛速度决定着网络的恢复速度
网络管理工具
部门 服务器 财务部 人力资源部 行政部 销售 …… 分厂一 分厂二 分厂三 分厂N
总部局域网IP规划 IP地址段 10.0.0.0/24-10.0.9.0/24 10.0.10.0/24-10.0.19.0/24 10.0.20.0/24-10.0.21.0/24 10.0.20.0/24-10.0.29.0/24 10.0.30.0/24-10.0.39.0/24 10.0.80.0/24-10.0.89.0/24 10.0.90.0/24-10.0.99.0/24 10.0.100.0/24-10.0.109.0/24 10.0.N.0/24-10.0.N+9.0/24
网络规划中IP地址的分类
Loopback地址 为了方便管理，系统管理员通常会为每一台路由 器创建一个Loopback 接口，并在该接口上单独指 定一个IP 地址作为管理地址。 互联地址 指两台或多台网络设备相互连接的接口所需要的 地址。 业务主机地址
是连接在以太网上的各种服务器、主机所使用的 地址以及网关的地址。
综合布线系统的组成
综合布线系统是信息系统必不可少的部分，它由六
个子系统及综合布系统管理组成： 工作区子系统 水平（配线）子系统 管理间子系统 干线子系统 设备间子系统 建筑群子系统
综合布系统管理
综合布线系统的组成
如图：
水平（配线）子系统 管理间子系统 干线子系统
工作区子系统
业务地址规划技巧
所 有 的 网 关 地 址 统 一 使 用 相 同 的 末 位 数 字 或 者 头 数 字 ， 如 ： 192.168.0.1或者192.168.0.254都是表示网关 。
IP地址的规划示例
需求： • 某集团公司总部有15个部门，终端设备10000台 • 有15个分公司，终端设备500台-2000台不等 • 总部与每个分公司有2条专线互联 • 每分公司下属有若干办事处，终端设备50-200 不等
总部保留
192.168.32.0/24-192.168.63.0/24
8160
分公司保留 192.168.122.0/24-192.168.255.0/24
IP地址总体规划
来宾/临时/测试IP址址规划 部门 总部 分公司1 分公司2 分公司3 …… 分公司N 保留 IP地址段 172.16.0.0/16-172.19.0.0/16 172.24.0.0/16-172.24.15.0/16 172.24.16.0/16-172.24.31.0/16 172.24.32.0/16-172.24.47.0/16 172.24.N.0/16-172.24.N+16.0/16 IP容量 262140 4080 4080 4080 4080
用户终 端
用户终端 用 户 终 (b) 端
各层次的功能
层次 主要功能
详细功能
核心层
高速转发数据
高速转发数据
提供冗余能力 提供可靠传输 扩展网络
汇聚层
路由汇聚 安全管理
减少路由条目 较高转发性能 综合安全管理策略 承接核心层与接入层设备
接入层
将终端设备接入网络 接入终端设备
VLAN划分，隔离广播提高安全 POE以太网络供电
IP地址的规划示例
功能
IP地址段
IP容量
终端设备地址
互联设备地址 宾客/临时/测试地址
10.0.0.0/8
192.168.0.0/16 172.16.0.0/16-172.31.0.0/16
16711425
65535 1048560
IP地址的规划示例
部门 总部 分公司1 分公司2 分公司3 …… 分公司14 分公司15 分公司N 总部保留 分公司保留 公司终端设备IP址址规划 IP地址段 10.0.0.0/16-10.15.0.0/16 10.32.0.0/16 10.33.0.0/16 10.34.0.0/16 IP容量 1048560 65535 65535 65535
10.45.0.0/16 10.46.0.0/16 10.N.0.0/16 10.16.0.0/16-10.31.0.0/16
10.47.0.0/16-10.255.0.0/16
65535 65535 65535 1048560
N
专线互联IP地址规划
专线IP规划 部门 总部 分公司1 分公司2 …… 分公司15 192.168.120.0/24-192.168.121.0/24 512 IP地址段 192.168.0.0/24-192.168.31.0/24 192.168.64.0/24-192.168.65.0/24 192.168.66.0/24-192.168.67.0/24 可用IP容量 8160 512 512
VLAN的功能
有效控制网络广播风暴
提高网络的安全性，如限制网络中的计算 机相互访问权限、防病毒、防止信息被监 听等 有效的网络监控 流量管理 实现不同地域部门内的局域网通信
VLAN设计
制定VLAN的设计方案：
按楼层划分 部门划分 按功能
管理VLAN的交换机：
核心交换机 汇聚交换机 划分VLAN的方式： 基于端口划分VLAN 基于MAC地址划分VLAN 基于路由划分VLAN 基于策略划分VLAN
综合布线系统的组成
5.建筑群子系统 由连接多个建筑物之间的主干电缆或光缆、建筑群配线设 备及设备缆线和跳线组成。
综合布线系统的组成
6.设备间子系统（核心） 每幢建筑物的适当地点进行网络管理和信息集中交换的场地。 设备间主要安装建筑物配线设备。电话交换机、计算机主机 设备、服务器、电信线路入口设施，也可与其它配线设备安装 在一起。
可用IP容量 2560 2560 2560 2560 2560
2560 2560 2560 2560
路由协议设计
路由器
用于不同IP网段或者不同物理介质之间的数据包转发的 网络设备
路由
在路由器上用来指导IP数据包转发的路径信息
路由分为静态路由和动态路由
路由协议
运行在路由器上用来学习和得到数据包转发路径信息的 规定和标准
铜缆 光缆
建筑群子系统 设备间子系统
综合布线系统的组成
1.工作区子系统 连接终端设备的区域。由信息插座模块延伸到终端设备处 的连接缆线及适配器组成。
信息插座
工作区
2.水平（配线）子系统 由工作区的信息插座、信息插座模块到管理间配线设备的 配线电缆或光缆、管理间的配线设备及设备缆线和跳线等 组成。
IP地址规划
IP地址规划的重要性
IP地址规划的科学将对如下环节产生影响 路由协议的运行效率 网络的性能 网络的扩展 网络的管理 从IP地址规划中可以看出一个网络的规划质量、 甚至可以反映出一个网络设计师的技术水准。
IP地址规划的基本原则
唯一性 连续性
实意性
扩展性
节约性
水平线缆
管理间
工作区
综合布线系统的组成
3、管理间子系统 该子系统主要由楼层间的配线架、连接配线架与设备 的电缆组成、接入层设备等组成。
管理间子系统
管理间子系统
工作区
综合布线系统的组成
4.干线子系统 由设备间至管理间的干线电缆或光缆组成
粗钢筋
竖 井
大对数电缆 或光纤
配线架
配线架
PBX HOST 主机房
汇聚层设备选型
汇聚层设备需支持的功能 不同IP网络之间的数据转发 高效的安全策略处理能力 提供高带宽链路保证高速数据转发 支持提供负载均衡和自动冗余链路 支持远程网络管理，支持SNMP协议 典型设备 三层交换机：Huawei S5700-28TP-EI（24个1000M电 口，4个光电一体口，支持基于MAC的VLAN、基于协 议的VLAN，基于IP子网的VLAN，支持时间段ACL ， 支持命令和WEB网管，支持802.1X认证/集中式MAC地 址认证，支持动态ARP检测，防止中间人攻击和ARP 拒绝服务，支持IP/Port/MAC的绑定功能。 三层交换机：CISCO WS-C3750G-48TS-E（48个 1000M口，4个1000M光口，增强软件支持动态路由协 议，安全特性功能等）
网络结构的最佳实践
网络的物理设计
传输介质设计
• 物理设计主要包括：
传输介质选型 综合布线设计 网络设备选型

传输介质
无线介质：



无线 微波 红外线 激光 蓝牙
有线介质：



双绞线 传输距离<100米 同轴电缆 50Ω细同轴电缆的最大传输距离为185米， 粗同轴电缆可达1000米 单模光纤 传输距离<100公里 多模光纤 传输距离<500米传输1000M，<2000米传输 100M
– 集中连接终端设备 – 高速转发数据 – 兼有网络安全功能
• 主要厂家
– 思科、华为、Juniper、H3C等等
VLAN规划
• VLAN，即“虚拟局域网” 即Virtual Local Area Network的缩写，它是将局 域网（LAN）设备从逻辑上划分成独立的网段（或者说是更小的局域网 LAN），从而实现虚拟工作组的数据交换技术。
接入层设备选型
• 接入层设备需支持的功能
– – – – – 二层数据的快速交换 支持多用户的接入 能够提供和汇聚层设备连接的高带宽链路 支持ACL和端口安全功能，保证用户的安全接入 支持网络远程管理，支持POE，支持SNMP协议
• 典型设备
– 设备厂家：思科、H3C、华为、D-Link、TP-LINK、 锐捷、中兴、NETGEAR – 二层交换机，如：Cisco WS-C2960-48PST-L，48个 POE 100M电口，2个1000M上行光口，基本软件）
IP地址的规划技巧
Loopback地址规划技巧
务必使用32位掩码的地址。
最后一位是奇数的表示路由器，是偶数的表示交换机。 越是核心的设备，Loopback地址越小。
互连地址规划技巧
务必使用30位掩码的地址。 相对核心的设备，使用较小的一个地址
互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。
综合布线系统的组成
综合布线管理系统 指对工作区、管理间、设备间、建筑群子系统的配线、
设备、缆线、信息插座模块等设施按一定的模式进行标识
和记录的方法。
交换机
• 概念
– 交换机Switch，将信息系统中的终端设备集中连接并将终端 设备的通迅数据转发的设备
• 工作在OSI参照模型物理层和数据链路层 • 交换机的功能
核心设备选型
核心设备需支持功能
数据的高速交换 高稳定性，保证设备的正常运行和管理 路由功能 支持提供数据负载均衡和自动冗余链路 考虑网络升级扩容功能
典型设备
核心交换机Cisco WS7609+SUP720（双引擎插槽+7个业务 模块插槽 ） 核心交换机Huawei S9306（双引擎插槽+6个业务模块插槽 ）