图书馆新馆网络基础架构建设方案

河南科技学院图书馆新馆网络基础架构建设项目
技术方案文件
河南文海商贸有限公司
2012年4月
目录
1概述
1.1项目建设背景需求
1.1.1项目背景
河南科技学院图书馆新馆项目背景。

1.1.2网络现状
新馆现已建有N层办公楼一栋。

为了今后新楼内部的办公、实验等等，需要进行相应的网络基础设施的建设，一个好的网络基础架构能够为将来的各种应用提供无瓶颈、安全、稳定、快捷的环境，根据新馆的特点及模式，今后新馆将会具备如下相关应用：
1、用于相关办公的自动化办公系统（OA系统）
2、用于对外宣传的网站系统
3、校内内部Email系统
4、校内内部管理系统
5、校内文件系统
6、校内内部安全系统
7、校内统一通讯系统
8、校内监控系统
9、校内考勤系统
10、校内视频监控系统
11、校内一卡通系统
12、内部需要的其它系统等
以上系统均需要工作在网络基础架构平台上，拥有一个稳定、可靠、无瓶颈的网络基础架构将成为河南科技学院图书馆新馆必不可少建设项目。

1.2网络建设目标
为了提高整网核心的可靠性，考虑设备冗余（电源、超级引擎采用双配置），在此基础上对核心层交换机进行冗余。

网管主机直接与核心交换机相连监控局域网网络状况。

在网络的整体出口上，采用一台防火墙，与内网交换机一起实现允许部分计算机的上网需求，并对网络流量进行控制。

在内网的交换机选择上，采用千兆电口接入计算机，千兆光口上联至核心交换机，并实施端口捆绑技术，提高上联速度到4G或更高,保障内网关键业务的运行。

1.3网络建设原则
我单位针对河南科技学院图书馆新馆网络工程将采用华为先进的高端电信级设备作为构建网络的基础单元，建立一个高带宽、高可用性及高可靠性的数据网络，为河南科技学院图书馆新馆业务系统提供强有力的保证，本次工程基于以下原则进行：
综合性：将网络建设成为不仅支撑现有图书馆数据业务，而且支撑未来实时业务的综合业务传送平台。

支持QOS：能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的IP QOS功能。

高可靠性：具有很高的容错能力，具有抵御外界环境和人为操作失误的能力，保证任何单点故障都不影响整个网络的正常运作。

高性能：在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。

安全性：具有保证系统安全，防止系统被人为破坏的能力。

扩展性：易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。

开放性：符合开放性规范，方便接入不同厂商的设备和网络产品。

标准化：通讯协议和接口符合国际标准。

实用性：具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的特点。

2整体方案设计
2.1组网方案
出于安全性和稳定性的要求，配置一台出口防火墙，与内网核心进行连接，统一外网出口控制。

防火墙配置多端口模块，将来用来连接各DMZ区域服务器，对内网的连接通过千兆线路连接在核心交换机上，核心交换机与接入交换机通过现有单模光纤相连，在计算机数量比较多的地方采用链路聚合功能，提供上行数据双工4G的吞吐量。

宿舍区域网络由于计算机数量比较多，在正常办公时间需要对其进行限速，并通过汇聚交换级上联到核心设备，生产车间网络以及办公区域网络直接通过接入交换级上联至核心交换，由核心交换、防火墙、汇聚交换设备共同处理相关的访问控制工作。

本次设计网络拓扑如下：
2.2方案建议及设备选型依据
根据河南科技学院图书馆新馆网络工程的技术规范要求以及华为公司全系列数通产品及解决方案特点，本着满足业务优先、先进实用、平滑演进等原则，我单位选择华为公司在本期项目中建议的设备以及相关设备的建网方案优势如下：网络档次高、层次分明：采用最高能力交换机，按照网络层次依次选择合理产品，各层次产品之间系列化程度高，可靠性强。

负载分担的网络：以最大化网络资源负载分担为原则，通过设备间链路的分配调整，实现网络资源合理分布，增加可靠性。

安全的双平面的设计：本次为网络结构通充分保证网络安全备份及冗余性，整体提高网络的可靠性等级系数。

良好网络兼容性能：在现网大量的应用环境中，华为设备表现出与其他设备厂商良好的互通性，在各大电信运营商网络都有商用。

优化的网络性能：建议的部署方案，能够保证网络在故障情况下快速实现业务流量疏导，提高整个网络质量，保证网络能够承载。

多业务的IP网络：优化后的网络具备极强的可扩展性能，除了具备大流量承载能力，还可提供IPTV等多种业务。

平滑的割接方案：我公司有丰富的网络割接经验，可以保证网络调整到合理的结构，并保证现网业务尽可能的不受影响，保证平滑割接。

3网络设计
3.1IP 地址规划
IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。

需要在所分配的IP地址网段中尽可能地利用地址空间，充分考虑地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。

IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将融高太阳能公司网络改造工程业务工作的可用性、可靠性和有效性以及保密性产生显著影响。

通常合理的地址规划是使连续的地址尽量集中在一个区域内。

因此，核心层应象一个区域或一个节点一样，被分配一段连续的地址。

IP地址规划遵循以下原则：
1.IP地址的规划与划分应该考虑到业务飞速发展，能够满足未来发展的需
要；即要满足本期工程对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；
2.IP地址的分配需要有足够的灵活性，能够满足各种用户接入；
3.IP地址的分配可以采用VLSM技术，以保证IP地址的利用效率；
4.充分合理利用已申请的地址空间，提高地址的利用效率。

本次IP地址规划是要解决有效利用地址空间、有利于路由设计、解决公网地址严重不足等问题。

首先是骨干设备的地址，由于地址空间实在紧张，所有设备的管理地址可以采用私网地址。

企业网内地址规划的一种方式是将所有私有地址限制在一定的区域内，无论私有地址用户访问的目的地是企业网外网络还是企业网内网络，其均要进行地址转换。

在企业网内骨干网上将不存在私有IP子网的路由，各片区的私有地址可自行定义使用。

其缺点是企业网内私有地址间互访的流量均经地址转换，性能受到影响，NAT设备的压力较大。

另一种方式是，无论采用公用还是私有IP地址的用户，可直接进行企业网内互访不需进行地址转换，各边界三层交换机有相应的路由信息，企业网的保留地址进行统一的规划，其路由信息可在全网络内传播。

对于访问企业网外的用户，需区分其使用的是私有还是公有IP地址，对于公有IP地址用户也无需进行地址转换，使用私有IP地址用户为访问企业网外的网络时必须进行NAT转换。

在企业网出口处应采用源路由方式(策略路由)将流量导向NAT设备。

建议采用具有硬件处理能力的线速NAT设备。

企业网络中地址分配最主要的因素是公网地址空间的缺口：
我们都知道IP网分配了公用IP地址。

用户人数在不断增长，将远远超过可用地址数，这将成为一个非常严重的问题。

由于大部分的个人用户不需要固定的IP地址，因此对个人用户采用动态的IP地址分配可以节省½到¾的地址资源。

而采用NAT/PAT的方式，可以将网络公用地址的需要节省到几十分之一甚至更多的程度。

但后一种方式的主要问题是
NAT/PAT转换的性能问题，第二个问题是可能会影响某些应用。

而实际上，地址缺口的大小不仅取决于可用空间和用户数，并且与采用的用户安全技术和产品有关。

如果采用以太网和per user perVLAN的方式，地址消耗太大，使用私网地址+NAT是合理的选择。

第二个因素是采用的产品的特性。

由于目前单台设备的NAT/PAT的性能不理想，解决的方法是由边缘层交换机分担完成该功能。

第三个因素是是否考虑NAT/PAT对应用的影响。

可能某个用户需要采用某种应用而该应用不能穿过NAT/PAT设备，如某些多媒体应用和VPN应用。

第四个因素是是否考虑可能的政策调整。

综合以上多种考虑，对于采用IP网作为企业网主要载体的企业，我们建议：
对企业内部办公网络及部门工作网络采用私有网络地址分配，由防火墙进行NAT转换，对网络服务器设备以及VPN等设备进行公网地址的分配。

3.2VLAN规划
VLAN是基于交换层（即数据链路层）划分的。

为上层提供服务，但与上层的
协议无关，VLAN能制约数据帧在本VLAN的一切活动，无需关心上层协议下传的分组类型，因此VLAN在具体的应用上将具有优越的实用性。

而更吸引人的特点是VLAN的划分可以结合先进的网络管理平台来进行。

各终端用户的变动，只需在网管工作站作相应的配置即可，使系统的可管理性、可维护性更好。

我们亦可采用虚拟局域网技术将地理位置不同的、同属一个单位的几个局域网划分成一个虚拟网段，以便单位内部的数据共享和管理。

VLAN架构的目标是使联网更加容易，从而网络管理人员能够集中精力提供应用程序和服务。

VLAN架构帮助各机构大大降低了网络移动与变更的高昂费用。

它还增强了对广播与组播通信的管理，提高了网络安全性，实现了网络管理中许多方面的自动化，并减少了局域网中对路由器的需要。

最后，VLAN架构使各机构能够在网络管理中实现极高程度的自动化。

VLAN架构全面应付解决了VLAN实施的四个关键领域：VLAN成员中如何定义的，VLAN成员信息是如何在多台交换机上交流的，VLAN配置的自动化程度如何，以及通信是如何在不同VLAN之间传输的。

1、定义VLAN基本方法：通过交换端口组。

2、实现VLAN间通信的方式：
采用虚网技术对融高太阳能公司网络进行虚网划分后，可以达到以下目的：降低移动与变更的管理成本
比路由器更具成本效益的广播控制
支持多媒体应用程序与高效组播控制
增强的安全性
网络监督与管理的自动化
减少路由需要
更为有效的网络监控
VLAN划分的方法
1）按端口划分。

将VLAN交换机上的物理端口分成若干个组，每个组构成一
个虚拟网，相当于一个独立的VLAN交换机。

这种按网络端口来划分VLAN网络成员的配置过程简单明了，因此，它是最常用的一种方式。

其主要缺点在于不允许用户移动，一旦用户移动到一个新的位置，网络管理员必须配置新的VLAN。

（2）按MAC地址划分。

VLAN工作基于工作站的MAC地址，VLAN交换机跟踪属于VLAN MAC的地址，从某种意义上说，这是一种基于用户的网络划分手段，因为MAC在工作站的网卡（NIC）上。

这种方式的VLAN允许网络用户从一个物理位置移动到另一个物理位置时，自动保留其所属VLAN的成员身份，但这种方式要求网络管理员将每个用户都一一划分在某个VLAN中，在一个大规模的VLAN 中，这就有些困难。

（3）按网络协议划分。

VLAN按网络层协议来划分，可分为IP、IPX、DECnet、AppleTalk、Banyan等VLAN网络。

这种按网络层协议来组成的VLAN，可使广播域跨越多个VLAN交换机。

这对于希望针对具体应用和服务来组织用户的网络管理员来说是非常具有吸引力的，而且，用户可以在网络内部自由移动，但其VLAN成员身份仍然保留不变。

这种方式不足之处在于，可使广播域跨越多个VLAN交换机，容易造成某些VLAN站点数目较多，产生大量的广播包，使VLAN 交换机的效率降低。

（4）按IP／IPX划分。

基于IP子网的VLAN，可按照IPv4和IPv6方式来划分VLAN。

其每个VLAN都是和一段独立的IP网段相对应的，将IP的广播组和VLAN的碰撞域一对一地结合起来。

这种方式有利于在VLAN交换机内部实现路由，也有利于将动态主机配置（DHCP）技术结合起来，而且，用户可以移动工作站而不需要重新配置网络地址，便于网络管理。

其主要缺点在于效率要比第二层差，因为查看三层IP地址比查看MAC地址所消耗的时间多。

基于IPX的VLAN，也是按照OSI（开放系统互连）模型的第三层地址来设计的。

（5）按策略划分。

基于策略组成的VLAN能实现多种分配方法，包括VLAN 交换机端口、MAC地址、IP地址、网络层协议等。

网络管理人员可根据自己的管理模式和本单位的需求来决定选择哪种类型的VLAN。

（6）按用户定义、非用户授权划分。

基于用户定义、非用户授权来划分
VLAN，是指为了适应特别的VLAN网络，特别的网络用户的特别要求来定义和设计VLAN，而且可以让非VLAN群体用户访问VLAN，但是需要提供用户密码，得到VLAN管理的认证后才可以加入一个VLAN。

在融高太阳能公司中，网络的主干部分（及核心层与汇聚层之间）运行动态路由协议，每个汇聚层交换机作为第三层设备将会成为广播流量的边界，从而也中断了VLAN跨过主干网络，可以说每个汇聚点都是一个VLAN管理的域，不同的VLAN 管理域之间的VLAN从命名上或VLAN ID号的分配上都没有任何关系。

而在每个VTP域中，VLAN1专门用于交换机之间控制面板流量的传输，而不承载用户数据，也不作为管理VLAN，并在Trunk上清除了VLAN1的用户流量以减小VLAN1生成树的直径。

VLAN为各个VTP域的管理VLAN，专用于校园网所有交换机的telnet和SNMP 远程管理。

VLAN的划分有许多的方法，考虑到终端用户位置的相对固定性，全网VLAN 的划分的方法采用按网络端口来划分VLAN的方法，这样的方法使得配置过程简单明了，而且这也是最常用的一种方式。

考虑到VLAN之间的数据通讯，本网络上VLAN的划分还必须结合IP子网的划分，即一个VLAN同时就是一个IP子网的网段。

VLAN的划分从理论上来说是可以跨地域范围的，但还是建议基于一定的地理位置来划分VLAN，这不仅可以把广播限制在一定的区域，而且为VLAN到网络中心的访问提供了确定的访问路径，便于troubleshooting，也为交换机式网络升级到路由网络提供了便利。

PVLAN
当接入用户比较多时而又要保证相互之间的安全，一般所采用的方法就是采用VLAN进行共同工作组的划分。

可以将每个以太网接入的客户放置于独立的VLAN中，这样客户彼此之间是完全从L2层隔离的。

但当接入的用户数量多时，如果为每一个需要隔离的用户都分配一个VLAN，则网络设备所能够支持的最大VLAN（通常为256 ～ 4096个）的数量就会不够用，同时IP地址网段的需求量
也会非常大，因此，传统的做法实现很困难甚至不能使用。

因此针对该问题，提出了Private VLAN技术，正好可以解决这些问题。

Private VLAN能够提供端口之间的第二层的隔绝，同时又使这些端口具有标准VLAN的特性。

Private VLAN可以把一个大的IP地址域划分成多个地址组，各个地址组之间不能互访，既实现了安全隔离又省却了地址划分及重规划的复杂，节约了IP地址。

在Private VLAN的概念中，交换机端口有三种类型：Promiscuous port （混杂端口），Isolated port（隔离端口），Community port（共有端口）；它们分别对应不同的VLAN类型：Isolated port属于Secondary VLAN，Community port属于Additional Secondary VLAN，而代表一个Private VLAN
整体的是Primary VLAN，前面两类VLAN需要和它绑定在一起，同时它还包括Promiscuous port。

在Secondary VLAN中，Isolated port只能和Promiscuous port通讯，彼此不能交换流量；在Additional Secondary VLAN中，Community port不仅可以和Promiscuous port通信，而且彼此也可以交换流量。

建设网络的目的是为了应用。

无论网络硬件平台多么先进，没有与之配套的先进应用系统，网络的价值就无法得到真正的体现。

而本期项目中以基于端口和基于路由的VLAN划分方法为主，除了公共VLAN，网管VLAN，关键领导VLAN等特殊网段，按照部门和单位进行其他VLAN网段的划分。

3.3路由规划
3.3.1无类别的路由协议和VLSM
由于第一代路由协议Classful Routing将造成IP地址的不能有效使用，因为它要求同一主类网络（A、B、C）的IP编址在所有的路由器接口上必须使用相同的子网掩码，所以在路由规划时应该采用第二代的路由协议即无类别的路由协议，与此相配合的IP地址规划也采用VLSM，且在路由更新传播中交换子网掩码
信息。

3.3.2体系化的设计和路由总结
减少路由表项是大型路由型网络中的一个巨大的挑战，一些策略如确省路由、路由过滤、体系化IP地址编码、路由总结都可以减少路由器中路由表的条目的多少。

在校园网络中应该实现层次化的IP地址规划，以便路由总结到相应的路由前缀位。

与此同时，在OSPF网络规划中，还应尽量地划分区域，把一定的路由和路由信息限制在一定的区域内。

3.3.3企业网骨干路由设计
企业网骨干路由使用OSPF路由协议。

OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于同一个路由域内。

在这里，路由域是指一个自治系统（Autonomous System），即AS，它是指一组通过统一的路由政策或路由交换信息的网络。

在这个AS中，所有的OSPF路由器都维护一个相同的描述这个AS结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。

作为一种链路状态的路由协议，OSPF将链路状态广播数据包LSA（Link State Advertisement）传送给在某一区域内的所有路由器，这一点与距离矢量路由协议不同。

运行距离矢量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器。

随着Internet技术在全球范围的飞速发展，OSPF已成为目前Internet广域网和Intranet企业网采用最多、应用最广泛的路由协议之一。

OSPF（Open Shortest Path First）路由协议是由IETF（Internet Engineering Task Force）IGP工作小组提出的，是一种基于SPF算法的路由协议，目前使用的OSPF协议是其第二版，定义于RFC1247和RFC1583。

SPF算法是OSPF路由协议的基础。

SPF算法有时也被称为Dijkstra算法，这是因为最短路径优先算法SPF是Dijkstra发明的。

SPF算法将每一个路由器作为根（ROOT）来计算其到每一个目的地路由器的距离，每一个路由器根据一个统
一的数据库会计算出路由域的拓扑结构图，该结构图类似于一棵树，在SPF算法中，被称为最短路径树。

在OSPF路由协议中，最短路径树的树干长度，即OSPF 路由器至每一个目的地路由器的距离，称为OSPF的Cost，缺省算法为：Cost = 100×106/链路带宽。

在这里，链路带宽以bps来表示。

也就是说，OSPF的Cost 与链路的带宽成反比，带宽越高，Cost越小，表示OSPF到目的地的距离越近。

举例来说，在参考带宽为100Mbps时，FDDI或快速以太网的Cost为1，2M串行链路的Cost为48，10M以太网的Cost为10等。

作为一种典型的链路状态的路由协议，OSPF还得遵循链路状态路由协议的统一算法。

链路状态的算法非常简单，在这里将链路状态算法概括为以下四个步骤：
当路由器初始化或当网络结构发生变化（例如增减路由器，链路状态发生变化等）时，路由器会产生链路状态广播数据包LSA（Link-State Advertisement），该数据包里包含路由器上所有相连链路，也即为所有端口的状态信息。

所有路由器会通过一种被称为刷新（Flooding）的方法来交换链路状态数据。

Flooding是指路由器将其LSA数据包传送给所有与其相邻的OSPF路由器，相邻路由器根据其接收到的链路状态信息更新自己的数据库，并将该链路状态信息转送给与其相邻的路由器，直至稳定的一个过程。

当网络重新稳定下来，也可以说OSPF路由协议收敛下来时，所有的路由器会根据其各自的链路状态信息数据库计算出各自的路由表。

该路由表中包含路由器到每一个可到达目的地的Cost以及到达该目的地所要转发的下一个路由器（next-hop）。

第4个步骤实际上是指OSPF路由协议的一个特性。

当网络状态比较稳定时，网络中传递的链路状态信息是比较少的，或者可以说，当网络稳定时，网络中是比较安静的。

这也正是链路状态路由协议区别与距离矢量路由协议的一大特点。

OSPF路由协议 vs. RIP
前文已经说明了OSPF路由协议是一种链路状态的路由协议，为了更好地说明OSPF路由协议的基本特征，我们将OSPF路由协议与距离矢量路由协议之一的RIP（Routing Information Protocol）作一比较，归纳为如下几点：RIP路由协议中用于表示目的网络远近的唯一参数为跳（HOP），也即到达目的网络所要经过的路由器个数。

在RIP路由协议中，该参数被限制为最大15，也就是说RIP路由信息最多能传递至第16个路由器；对于OSPF路由协议，路由表中表示目的网络的参数为Cost，该参数为一虚拟值，与网络中链路的带宽等相关，也就是说OSPF路由信息不受物理跳数的限制。

并且，OSPF路由协议还支持TOS（Type of Service）路由，因此，OSPF比较适合应用于大型网络中。

RIP路由协议不支持变长子网掩码（VLSM），这被认为是RIP路由协议不适用于大型网络的又一重大原因。

采用变长子网屏蔽码可以在最大限度上节约IP 地址。

OSPF路由协议对VLSM有良好的支持性。

RIP路由协议路由收敛较慢。

RIP路由协议周期性地将整个路由表作为路由信息广播至网络中，该广播周期为30秒。

在一个较为大型的网络中，RIP协议会产生很大的广播信息，占用较多的网络带宽资源；并且由于RIP协议30秒的广播周期，影响了RIP路由协议的收敛，甚至出现不收敛的现象。

而OSPF是一种链路状态的路由协议，当网络比较稳定时，网络中的路由信息是比较少的，并且其广播也不是周期性的，因此OSPF路由协议即使是在大型网络中也能够较快地收敛。

在RIP协议中，网络是一个平面的概念，并无区域及边界等的定义。

随着无级路由CIDR概念的出现，RIP协议就明显落伍了。

在OSPF路由协议中，一个网络，或者说是一个路由域可以划分为很多个区域area，每一个区域通过OSPF边界路由器相连，区域间可以通过路由总结（Summary）来减少路由信息，减小路由表，提高路由器的运算速度。

OSPF路由协议支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息。

并且OSPF可以对不同的区域定义不同的验证方式，提高网络的安全。