第章网络规划与设计基础.ppt

1、第2篇 计算机网络设计与规划 本篇目的：使读者掌握网络（网站）规划与设计的基本技能。本篇重点：包括规划设计内容、IP网络地址分配、冗余设计，园区网、广域网、远程连接的设计趋势和关键技术，如何设计IP网络、ATM网络、ISDN网络、交换式网络、多媒体网络，以及网站的信息规划与组织、设计方法、信息发布、安全防护。第7章 网络规划与设计基础 本章重点：（1）网络规划：包括需求、管理、安全性、规模、结构、互联、扩展性分析（2）网络设计：包括拓扑结构设计、地址分配与聚合设计、冗余设计7.1网络规划 古人云：谋定而后动。网络规划是必不可少的，实施网络工程的首要工作就是要进行规划。深入细致的规划是成功构建计

2、算机网络的一半。缺乏规划的网络必然是失败的网络稳定性、扩展性、安全性、可管理性没有保证。7.1.1网络规划的任务和工作网络规划的主要任务是要对以下指标给出尽可能准确的定量或定性分析和估计：（1）业务的需求；（2）网络的规模；（3）网络的结构；（4）网络管理需要；（5）网络增长预测；（6）网络安全要求；（7）与外部网络的互联。网络规划需要进行的主要工作包括：（1）网络需求分析：包括环境分析、业务需求分析、管理需求分析、安全需求分析。（2）网络规模与结构分析：包括确定网络规模、拓扑结构分析、与外部网络互联方案。（3）网络扩展性分析通过科学合理的规划能够取得用最低的成本建立最佳的网络，达到最高的性能

3、提供最优的服务等完美效果。下面介绍规划的具体工作。7.1.2环境分析环境分析是指对企业的信息环境基本情况的了解和掌握，例如办公自动化情况，计算机和网络设备的数量配置和分布、技术人员掌握专业知识和工程经验的状况，以及地理环境（如建筑物）等等。通过环境分析可以对建网环境有个初步的认识，便于后续工作的开展。7.1.3业务需求分析业务需求分析的目标是明确企业的业务类型，应用系统软件种类，以及它们对网络功能指标（如带宽，服务质量QOS）的要求。业务需求是企业建网中首要的环节，是进行网络规划与设计的基本依据。那种就网络建网络，缺乏企业业务需求分析的网络规划是盲目的，会为网络建设埋下各种隐患。通过业务需求

4、分析要为以下方面提供决策依据：（1）需实现或改进的企业网络功能有哪些（2）要技术的企业应用有哪些（3）需要电子邮件服务吗？（4）需要Web 服务器吗？（5）需要上网吗？（6）需要什么样的数据共享模式（7）需要多大的带宽范围（8）需要网络升级吗？等等。7.1.4管理需求分析网络的管理是企业建网不可或缺的方面，网络是否按照设计目标提供稳定的服务主要依靠有效的网络管理。“向管理要效益”也是网络工程的真理。网络管理包括两个方面：（1）其一是人为制定的管理规定和策略，用于规范人员操作网络的行为。（2）其二是指网络管理员利用网络设备和网管软件提供的功能对网络进行的操作。通常所说的网管主要是指第二点，它在网

5、络规模较小、结构简单时，可以很好地完成网管职能。第一点随着现代企业网络规模的日益扩大，逐渐显示出它的重要性，尤其是网管策略的制定对网管的有效实施和保证网络高效运行是至关重要的。网络管理的需求分析要回答以下类似的问题：（1）是否需要对网络进行远程管理（2）谁来负责网络管理（1）需要哪些管理功能（2）选择哪个供应商的网管软件，是否有详细的评估（3）选择哪个供应商的网络设备，其可管理性如何（4）怎样跟踪和分析处理网管信息（5）如何更新网管策略等等。7.1.5安全性需求分析随着企业网络规模的扩大和开放程度的增加，网络安全的问题日益突出。网络在为企业做出贡献的同时，也为工业间谍和各种黑客提供了更加方便的

6、入侵手段和途径。早期一些没有考虑安全性的网络不但蒙受了巨额经济损失，而且使企业形象遭到无法弥补的破坏。一个著名的例子是Yahoo网站遭黑：在Yahoo举办最新网络 安 全 技 术 发 布 会 的 前 夜，黑 客 入 侵Y，更改了主页，一时举世哗然。企业网络安全性分析要明确以下安全性需求：（1）企业的敏感性数据及其分布情况（2）网络用户的安全级别（3）可能存在的安全漏洞（4）网络设备的安全功能要求（5）网络系统软件的安全评估（6）应用系统的安全要求（7）防火墙技术方案（8）安全软件系统的评估（9）网络遵循的安全规范和达到的安全级别。等等。网络安全要达到的目标（1）网络访问的控制（2）信息访问的控

7、制（3）信息传输的保护（4）攻击的检测和反应（5）偶然事故的防备（6）事故恢复计划和制定（7）物理安全的保护（8）灾难防备计划7.1.6确定网络的规模 确定网络的规模即明确网络建设的范围，这是通盘考虑问题的前提。网络规模一般分为以下4种：（1）工作组或小型办公室局域网（2）部门局域网（3）骨干网络（4）企业级网络明确网络规模一个明显的好处是便于制定适合的方案，选购合适的设备，提高网络的性能价格比。确定网络的规模涉及以下方面的内容：（1）哪些部门需要进入网络（2）哪些资源需要上网（3）有多少网络用户（4）采用什么档次的设备（5）网络及终端设备的数量7.1.7网络拓扑结构分析网络拓扑结构受企业的地

8、理环境制约，尤其是局域网段的拓扑结构，它几乎与建筑物的结构一致。所以，网络拓扑结构的规划要充分考虑企业的地理环境，以利于后期工作的实施，例如结构化综合布线工程设计与实施。拓扑结构分析要明确以下指标：（1）网络的接入点（访问网络的入口）的数量（2）网络接入点的分布位置（3）网络连接的转接点分布位置（4）网络设备间的位置（5）网络中各种连接的距离参数（6）其它结构化综合布线系统中的基本指标7.1.8与外部网络的互联建网的目的就是要拉近人们的交流信息的距离，网络的范围当然越大越好（尽管有时不是这样）。电子商务、家庭办公、远程教育等Internet应用的迅猛发展，使得网络互联成为企业建网一个必不可少的

9、方面。与外部网络的互联涉及以下方面的内容：（1）是否与Internet联网（2）用拨号上网还是租用专线（3）带宽多少（4）与专用网络连接吗？（5）上网用户授权和计费 7.1.9网络扩展性分析网络的扩展性有两层含义，其一是指新的部门能够简单地接入现有网络；其二是指新的应用能够无缝地在现有网络上运行。可见，在规划网络时，不但要分析网络当前的技术指标，而且还要估计网络未来的增长，以满足新的需求，保证网络的稳定性，保护企业的投资。扩展性分析要明确以下指标：（1）企业需求的新增长点有哪些（2）网络节点和布线的预留比率是多少（3）哪些设备便于网络扩展（4）带宽的增长估计（5）主机设备的性能（6）操作系统平

10、台的性能7.2网络设计 7.2.1网络拓扑结构设计 优良的拓扑结构是网络稳定可靠运行的基础。7.2.1.1分层网络设计方法一个大规模的网络系统往往被分为几个较小的部分，它们之间既相对独立又互相关联，这种化整为零的做法是分层进行的。通常网络拓扑的分层结构包括三个层次，即核心层、分布层和接入层。如图7-1所示。图7-1分层网络设计 每一层都有其自身的规划目标：（1）核心层处理高速数据流，其主要任务是数据包的交换。（2）分布层负责聚合路由路径，收敛数据流量。（3）接入层将流量馈入网络，执行网络访问控制，并且提供相关边缘服务。7.2.1.2拓扑设计原则按照分层结构规划网络拓扑时，应遵守以下两条基本原则

11、1）网络中因拓扑结构改变而受影响的区域应被限制到最小程度；（2）路由器（及其它网络设备）应传输尽量少的信息。7.2.1.3分层结构特点分层拓扑结构的优点：流量从接入层流向核心层时，被收敛在高速的链接上；流量从核心层流向接入层时，被发散到低速链接上，如图7-2所示。因此接入层路由器可以采用较小的设备，它们交换数据包需要较少的时间，具备了更强的执行网络策略的处理能力。图7-2分层网络中流量聚合分层拓扑结构固有的缺点是在物理层内隐含（或导致）单个故障点，即某个设备或某个失效的链接会导致网络遭到严重的损坏。克服单个故障点的方法是采用冗余手段，但这会导致网络复杂性的增加。7.2.1.4分层拓扑设计要

12、点1.核心层 网络核心层的主要工作是交换数据包，核心层的设计应该注意两点：（1）不要在核心层执行网络策略：所谓策略就是一些设备支持的标准或系统管理员定制的规划。例如，一般路由器根据最终目的地的地址发送数据包，但在某些情况下，希望路由器基于源地址、流量类型或其它标准做出主动的决定，这些基于某一标准或由系统管理员配置的规则的主动决定称为基于策略的路由。牢记核心层的任务是交换数据包，应尽量避免增加核心层路由器配置的复杂程度，因为一旦核心层执行策略出错将导致整个网络瘫痪。网络策略的执行一般由接入层设备完成，在某些情况下，策略放在接入层与分布层的边界上执行。（2）核心层的所有设备应具有充分的可到达性：可

13、到达性是指核心层设备具有足够的路由信息来智能地交换发往网络中任意目的地的数据包。在具体的设计中，当网络很小时，通常核心层只包含一个路由器，该路由器与分布层上所有的路由器相连。如果网络更小的话，核心层路由器可以直接与接入层路由器连接，分层结构中的分布层就被压缩掉了。显然，这样设计的网络易于配置和管理，但是其扩展性不好，容错能力差。2.分布层分布层将大量低速的链接（与接入层设备的链接）通过少量宽带的链接接入核心层，以实现通信量的收敛，提高网络中聚合点的效率。同时减少核心层设备路由路径的数量。总之，分布层的主要设计目标包括：（1）隔离拓扑结构的变化；（2）控制路由表的大小；（3）收敛网络流量。实现分

14、布层设计目标的方法（1）路径聚合（2）使核心层与分布层的连接最小化。3.接入层接入层的设计目标包括三个，即：（1）将流量馈入网络：为确保将接入层流量馈入网络，要做到：接入层路由器所接收的链接数不要超出其与分布层之间允许的链接数。如果不是转发到局域网外主机的流量，就不要通过接入层的设备进行转发。不要将接入层设备作为两个分布层路由器之间的连接点，即不要将一个接入层路由器同时连接两分布层路由器。（1）控制访问：由于接入层是用户接入网络的入口，所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性，保护局部网段免受网络内外的攻击。基本的过滤策略包括：严禁欺骗：例如在图7-3中，仅允许来自10.

15、1.4.0/24的数据通过路由器。严禁广播源：在图7-3中，源地址不接收 来 自 255.255.255.255地 址 的 广 播 和10.1.4.255网段的广播，同时广播应被接入层的设备过滤掉。图7-3严禁直接的广播：直接的广播是指发往符合广播地址网段的数据包，不是该广播地址网段上的路由器会以单点播送转发该数据包，而该广播地址网段上的路由器会将其转化为普通的广播数据包向本网段所有主机发送。例如图7-3中的PC设备C发送一个目的地址为10.1.4.255的数据包。网络云图中的路由器会将其转发到路由器A，同时改为以普通广播包（IP为255.255.255.255和网络地址为FF.FF.FF.F

16、F）方式发送给本地的网络。减少直接广播的方法是：配置IP辅助地址时使用实际的服务器IP地址，而不使用服务器网段的广播地址 THANK YOUSUCCESS2024/5/8 周三40可编辑7.2.1.5拓扑设计总结对于大规模网络规划而言，分层拓扑结构是最有效的，它具有以下优势：（1）把一个大问题分解成几个小问题，从而容易解决。（2）将局部拓扑结构改变所产生的影响降至最小。（3）减少路由器必须存储和处理的数据量。（4）提供良好的路由聚合数据流收敛。分层网络规划的特点如表7-1所示。表7-1分层网络设计的目标和策略概述7.2.2地址的分配与聚合设计地址分配是网络规划设计中要点之一。地址分配方案将直接

17、影响网络的可靠性、稳定性和可扩展性等重要性能。因为地址一旦分配后，其更改的难度和对网络的影响程度很大。正确的地址分配方案要充分考虑对以下两个指标的影响：（1）路由表的大小；（2）拓扑结构变化后，相应信息所必须传输的距离。消除对上述指标影响的有效方法是聚合。下面我们举例分析一下聚合的含义。图7-4 7.2.2.1聚合在 如 图 7-4所 示 拓 扑 结 构 中，无 论 是10.1.4.0/24还是10.1.7.0/24链接的失败，都会使路由器H重新计算路由表。那么怎样设计才能使核心层路由器H不受接入层链接变化的影响呢？聚合是有效的方法，在分布层路由器G上把10.1.4.0/24、10.1.5.0

18、/24、10.1.8.0/24和10.1.7.0/24聚合成一条路径10.1.4.0/22，并把这一聚合路径只传递给路由器H。通过聚合，路由器H的路由表就可以不再包括路由器G左侧的子网细节，路由器G左侧的个别链接的改变将不再影响路由器H的路由表。另外，聚合减少了路由器H必需工作的路径数量，较小的路由表意味着较少的内存、较低的处理请求和更快的收敛过程。注：IP地址后的“/xx”表示所在子网的掩码中比特连续为1的个数（从高位算起），称为前缀长度。聚合要遵循这样一条规则：只提供网络中必要的拓扑信息，而把不必要的信息隐藏起来。例如，核心层路由器将接入层的每一组目的地聚合为简短的前缀路由，并将之传送给核

19、心层，不再向核心层传送大量的目的地信息。注：简短的前缀是指前缀中从高位算起的一部分比特，截止至何处，要看网段IP地址的具体情况而定。分布层是分层网络中最自然的聚合场所。如果拓扑结构发生变化，接入层向核心层传输相应信息之前，接入层里发生的变化会被分布层路由器聚合，将受影响的区域缩小在本地分布层范围内。一个典型的例子如图7-5所示。同样，从分布层向接入层路由器的聚合可以大大减少这些路由器所必须处理的信息。图7-5 7.2.2.2地址分配的策略地址分配可以按照以下四种方法进行，即：（1）按 申 请 顺 序 在 一 个 大 地 址 池（Address pool）中取出需要的地址。（2）按行政划分将地址

20、分开，使每一个部门都有一组供其使用的地址。（3）按地域划分将地址分开，使部门内每个办公室都有一组供其使用的地址。（4）按拓扑方式该方式基于网络的链接点（在某些网络中可能与按地址划分相似）。下面我们简要介绍每种方法的作法1.按申请顺序分配地址这种地址分配方法在网络规划中由来已久，是最常见的作法。当网络规模发生显著变化时，该方法的缺陷就会明显地暴露出来，因此该方法不是一个很好的方案。我们举例说明，如图说明7-6所示，网络管理员已按各部门的申请顺序分配地址，路由器A、B、C、D各有2个网络连接。显然，聚合每个路由器上的2个网络连接是困难的。因此，核心层至少要连接8条路径。图7-6 2.按行政机构分配

21、地址网络管理员为每个行政部门分配一个地址池，网络如图7-7所示。图7-7 总部（HQ）：10.1.0.0/16开发部：10.2.0.0/16质量部：10.3.0.0/16销售部：10.4.0.0/16生产部：10.5.0.0/16这种方法较按申请顺序分配策略有一定改进：如果10.1.3.0/24尚未被分配到别的部门的话，总部两个链接（10.1.1.0/24和10.1.2.0/24）有可能被聚合为10.1.0.0/16。但一般来讲，这种分配方案与按申请顺序分配地址的方案有相同的问题网络扩展性不好。图7-7中核心至少仍需要7或8条路径。3.按地址位置分配地址按地址位置划分地址为：日本：10.2.0

22、0/16美国：10.4.0.0/16如图7-8所示。图7-8 在 这 个 网 络 中，2个 位 于 美 国 的 网 络：10.4.1.0/24和10.4.2.0/24聚合为10.4.0.0/6，这样路由器A只需一条路径即可与核心层相连。同 样 可 以 将 2条 日 本 的 路 径 聚 合 为10.2.0.0/16，路由器D也只需一条路径即可与核 心 层 相 连。但 是 伦 敦 的 2条 路 径10.1.1.0/24（连 在 路 由 器 B上）、10.1.2.0/24（连在路由器C上）由于连在不同的路由器上，也不可能被聚合成10.1.x.x的地址接入核心层。所以，按地址位置分配地址也存在缺陷。

23、4.按拓扑结构分配地址从上面的分析不难看出：“是否便于聚合”是地址分配的基本原则，而被聚合连接又与路由器紧密相关。因此，根据拓扑结构（与路由器连接关系）分配地址是最有效的方法。如图7-9所示，路由器A、B、C、D上聚合是很容易实现的，在此意义上说，按拓扑结构分配地址策略是保证网络稳定性的最佳分配方案。图7-9 但是，按拓扑结构分配地址的方案存在这样一个问题：如果没有相应的图表或数据库参照，要确定一些连接之间的上下级关系（比如确定某个部门属于哪个网络）是相当困难的。解决（减少）这种困难的作法是将拓扑结构分配地址的方案与其它有效的方案（例如按行政机构分配地址）组合使用。具体作法如下：用IP地址的左

24、边两个字节标识地理结构，用第三个字节标识部门结构（或其它的组合方式）。仍使用上述例子，分配方案如下：部门编码为：管理部：031开发部：3263销售部：6495生产部：96127接入点编址为：路由器A：10.4路由器B：10.1路由器C：10.3路由器D：10.2这样得到：路由器A上的管理部地址：10.4.0.0/2410.4.31.0/24路由器A上的开发部地址：10.4.32.0/2410.4.63.0/24路由器C上的生产部地址：10.3.96.0/2410.3.127.0/24。上述组合分配地址方案带来了易管理性，但牺牲了部分聚合。上述分配方案的比较如表7-2所示。7.2.2.3地址分配

25、的一般性原则上面已经提到，“是否便于聚合”是地址分配的一个基本原则，进一步的分析表明，此原则的代价是地址的浪费某些被分配的地址尽管实际没有使用，也不会被重新分配。原则上说，网络聚合（稳定性）、扩展性的分配原则与节约地址的原则相悖。为解决上述两难问题，提出地址分配的一般原则，即：（1）使用尽可能大的地址空间，如IP6地址空间；（2）留下空间以供将来扩展。7.2.3冗余设计冗余可以简单地理解为备用。7.2.3.1为什么需要冗余为什么需要冗余呢？这是因为网络中存在单故障点，即使是强壮的分层结构设计的网络也存在。所谓单故障点是指其故障能导致隔离用户和服务的任意设备、设备上的接口或链接。冗余提供备用链接

26、以绕过那些故障点，冗余还提供安全的方法以防止服务丢失。但是如果缺乏恰当的规划和实施，冗余的链接和连接点会削弱网络的层次性和降低网络的稳定性。7.2.3.2冗余设计要求如何进行冗余规划设计而不破坏网络的稳定性呢？首先的一点是要遵循以下两个要求：（1）只有在正常路径断掉时，才使用冗余路径，除非冗余路径用作平衡负载之用。一般不要将冗余路径用于负载平衡，否则当发生网络故障需要征用冗余路径时，网络由于负载失衡而产生不稳定性。7.2.3.3冗余设计要点下面我们简要分析一下如何在分层结构网络中规划冗余。1.核心层冗余 核心层冗余规划要综合考虑下面三个目标：（1）减少跳（hop）数。（2）减少可用的路径数量。

27、3）增加核心层可承受的故障数量。常见的核心冗余规划以下两种：（1）完全网状核心层规划：如图7-10所示。在完全网状规划中，每个核心层路由器都与相关核心层路由器相连接，提供了最大的冗余可能性。它的特点是：多个到任意目的地的可用路径；正常情况下，到任意目的地要2跳；最坏的情况下，最大的跳数为4。图7-10 完全网状核心层规划的优点是提供了最大的冗余度和最少的跳数。缺点是采用完全网状结构的大型网络会产生过多的冗余路径，增加了核心层路由器选择最佳路径的计算量，加大了收敛的时间。（2）部分网状结构的核心层规划：如图7-11所示。该方案是折衷了跳数、冗余和网络中路径数量的好方案。图7-11 正常情况下，

28、该网络中数据传输不会超过3跳。当部分网状结构的网络扩大后，相应的跳数依旧比较小。部分网状结构的缺点是：某些路由协议不能很好地处理多点到多点的部分网状规划，因此在某些核心层里最好仍使用点到点的链接。2.分布层冗余在分布层提供冗余的两种最普通的方法是“双归”和“到其它分布层路由器的备份链接”。（1）双归接入核心层：如图7-12所示，分布层路由器A通过连接到2个核心层路由器接入核心层。图7-12 双归接入提供了非常好的冗余，当一个路由器或一个链接丢失时，不会削弱路由器后任何目的地的可到达性。双归接入的问题有2个，其一是网络收敛速度问题，每个双归的分布层路由器可能增加一倍路径，因而降低收敛速度；其二是

29、双归路由器“升级”问题，如果路由器B和C之间的链接断了，双归路由器A就会升级到核心层，传输路由器B和C之间的数据。防止这个问题的方法是配置核心层路由器D。（2）到其它分布层设备的冗余链接：如图7-13所示，在分布层路由器之间安装链接来提供冗余。该方法的优点是明显的，缺点如下：核心层路由表的大小增加了一倍。路由器A和B可能“升级”到核心层。冗余路径可能替代正常核心层路径。分布层分支之间路由信息泄漏分支里的路由器会通过冗余链接发布作为可到达目的地的另一分支中的目的地。（3）接入层冗余：接入层面临许多与分布层相同的问题。常见的接入层冗余方法也是双归。如图7-14所示，前文已述，不再重复。图7-13 图7-14 THANK YOUSUCCESS2024/5/8 周三79可编辑