《网络规划设计》PPT课件.ppt

网络规划设计,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,网络规划基本原则和目标,可靠性原则可扩展性原则可运营性原则可管理原则追求最佳性能价格比,常见网络设备,路由交换设备路由器：提供最丰富的接口连接、软件特性以太网交换机（L2/L3/LAN）：以太网接口类型的线速转发功能路由交换路由器和交换机的融合,+,常见网络设备（续）,其他设备。网管、安全、语音、视讯设备,防火墙,安全网关,入侵检测系统,语音服务器,语音网关,视频终端,MCU,PBX系统,CAMS,网络设备的分类,基于CPU的设备功能最强，由软件实现，转发性能差强基于ASIC的设备硬件芯片实现全线速的转发，灵活性和升级能力差基于NP的设备可编程网络处理器实现全线速的转发,设备选型需要参考的因素,可靠性转发性能业务支持能力端口支持扩展能力价格因素,？,局域网规划设计,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,网络拓扑层次设计,接入层,汇聚层,核心层,高速数据交换,路由汇聚及流量收敛,工作组接入和访问控制,网络设计分三层：核心层、汇聚层、接入层,网络中常用的拓扑结构,星形或双星形,星型,双星型,网络中常用的拓扑结构,环型，网状或部分网状,环型,网状,部分网状,网络中常用的拓扑结构,混合组网,STP/RSTP/MSTP规划设计原则VLAN规划设计原则VRRP/DHCP的灵活使用堆叠、聚合、IRF规划设计端口、互联方式介绍,目录,RSTP/STP规划设计原则,配置核心的设备为STP/RSTP的根桥，并指定另一核心的设备为备份根桥。全网的设备使用相同PathCost标准。(802.1D,802.1T,legacy)RSTP以其快速收敛的特性以及与STP良好的兼容性完全取代了STP。对于支持RSTP的设备，一般情况下我们不考虑运行STP。,RSTP/STP规划设计原则（续）,对于支持RSTP的设备和仅支持STP的设备混用时，RSTP的设备尽量配置在网络的中心，而STP的设备尽量配置在网络的边缘。对于直接连接主机或服务器的数据终端设备的交换机端口应配置为边缘端口，并使能BPDU-Protection。,RSTP/STP规划设计原则（续）,端口配置为边缘端口启动BPDU-Protection,端口配置STPDisable,这两种方式有何不同？,MSTP规划设计原则,多生成树一定要运行在一个域内。域和域之间的生成树为单生成树，不能实现负载均担。同一域内的交换机的域名，VLAN和STP实例的对应关系一定要保持一致。不支持MSTP的交换机一定要放在域外。域内不同生成树的树根设置要与相应业务流量重心保持一致。,STP/RSTP/MSTP规划设计原则VLAN规划设计原则VRRP/DHCP的灵活使用堆叠、聚合、IRF规划设计端口、互联方式介绍,目录,VLANID的规划原则,VLAN1一般予以保留，不分配给业务VLAN使用。VLANID的预分配应成段分配。如果VLANID足够用，尽量分配1024以下的VLANID。为每一个VLAN规划VLAN描述符。描述符的配置规范化。,VLAN的管理划分原则,基于业务需求VLAN划分基于地域管理VLAN划分基于安全要求VLAN划分,VLAN规划的限制,VLAN总数不超过4096解决方式：QinQ每个VLAN的主机数建议不超过64个解决方式：划分多个VLANVLAN划分越多，就会占用更多地IP地址解决方式：Super-VLAN,VLANperPort,STP/RSTP/MSTP规划设计原则VLAN规划设计原则VRRP/DHCP的灵活使用堆叠、聚合、IRF规划设计端口、互联方式介绍,目录,VRRP相关的设计考虑,虚拟网关的可探测性VRRPPINGenableVRRP的负载分担不同的VRRP组设置不同的MasterVRRP的稳定性设计抢占方式及延时设置VRRP通告报文间隔时间vrrpvridtimeradvertise,VRRP相关的设计考虑,安全性设计VRRP的可靠性监控指定端口。VRRP的优先级设计通常要满足:Priority(master)Priority(backup),监控上行端口,接口地址：192.168.0.1/24,接口地址：192.168.0.2/24,虚拟网关IP地址：192.168.0.254/24虚拟网关MAC地址：00-00-5E-00-01-VRID,DHCP相关的设计考虑,固定IP地址段与动态分配IP地址段保持连续。动态分配IP地址的租约一般定为2-4小时。DHCP需跨网段获得IP地址时，启动DHCP-RELAY功能。禁止在同一网络上放置两台DHCP服务器。启动DHCP安全功能，禁止未通过DHCP获得的IP地址上网。,STP/RSTP/MSTP规划设计原则VLAN规划设计原则VRRP/DHCP的灵活使用堆叠、聚合、IRF规划设计端口、互联方式介绍,目录,链路聚合相关的设计考虑,在进行多个链路聚合设计时先要查询设备对链路聚合的支持规格。对于支持跨单板链路聚合的设备尽量配置跨单板链路聚合。使用LACP自动聚合，要先将端口的参数配置成一致。,交换机堆叠/IRF的设计考虑,堆叠之前应先了解设备的规格，确定最大的堆叠设备数或最大的堆叠端口数。堆叠/IRF设备的版本，配置必须相同。IRF设备堆叠端口相连时一定是UP端口和另一台设备的DOWN端口相连。,交换机堆叠/IRF的设计考虑,建议使用手工对设备编号，确定堆叠的Master交换机，不要使用自动编号功能。IRF堆叠设备与其它设备互联使用链路聚合时，尽量使用跨设备聚合。IRF堆叠设备及与其相联的设备在使用跨设备聚合时，一定使用LACP作自动聚合。,STP/RSTP/MSTP规划设计原则VLAN规划设计原则VRRP/DHCP的灵活使用堆叠、聚合、IRF规划设计端口、互联方式介绍,目录,网络中常用的高速端口,高速端口（100M以上）POS（155M、622M、2.5G）ATM（155M、622M）快速以太网（100MFE、GE、10GE）,网络中常用的中速端口,中速端口（10M100M）E3（34.368M）T3（44.736M）以太网（10M）,网络中常用的低速端口,低速端口（10M以下）PSTN异步拨号（56K）ISDN异步拨号（64K）V24同步SA（64K）V35同步SA（2M）T1（1.54M）E1（2M）ADSL（2M8M）,端口的拆分和聚合,高速端口的拆分低速端口的聚合,ATM,155MATM,30M,11M,2M,2ME1,CPOS,22ME1,N2ME1,Ethernet,互联方式,对等型互联非对等型同质接口互联非对等型异质接口互联,2ME1,2ME1,1000MEthernet,100MEthernet,100MEthernet,100MEthernet,MSTP,2ME1,CPOS,2ME1,2ME1,光模块,光模块,千兆SFP光模块,光模块,百兆SFP光模块,光模块,万兆XFP光模块,广域网规划,ISSUE5.1,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,PPP规划FrameRelay规划ATM规划拨号规划NAT规划,目录,PPP部署原则,互连的设备之间需要互相验证，应该使用PPP不同厂商设备互连环境下，PPP是很好的选择拨号链路上，PPP是唯一选择除ATM、以太网等链路特性已定的接口外，其他的接口几乎都支持PPP协议在点到点的组网中，PPP是最佳选择,PPP,PPP验证方式选择,PAP验证CHAP验证在大多数场合下，我们应该使用CHAP验证,CHAP,PAP,MP捆绑的使用,2台设备之间通过多条线路互连，可以使用MP捆绑每条线路都使用PPP封装多条PPP链路绑成一个MP组MP捆绑有2种方式VirtualTemplateMPGroup,MP,PPP与路由协议,PPP是所有路由协议都支持的基本链路类型在OSPF路由中，PPP链路的网络类型为点到点,PPP,RIPOSPFIS-ISBGP,PPP规划FrameRelay规划ATM规划拨号规划NAT规划,目录,帧中继部署原则,广域连接带宽低于2M在点到多点的组网环境中中心ATM、分支FR的混合组网用户线路投资费用有限的情况下,FrameRelay,HUB,SPOKE,SPOKE,LMI、封装格式的选择,LMI标准ANSIT1.617（推荐）ITU-TQ933AnnexACisco兼容封装格式IETF（推荐）Q922AnnexACisco,PPP规划FrameRelay规划ATM规划拨号规划NAT规划,目录,ATM部署原则,高带宽广域网连接，一般为2M以上HUBSPOKE的组网中中心ATM、分支FR的混合组网稳定的线路带宽保证视频、语音、数据的综合传输线路租借费用较高，适用于高可靠性的广域互连,ATM,HUB,SPOKE,SPOKE,PPP规划FrameRelay规划ATM规划拨号规划NAT规划,目录,拨号部署原则,低速连接，小型分支的接入主链路的备份线路移动用户远程接入远程网络管理、诊断,ATM,PSTN,主线路,备份线路,移动用户,拨号线路的选择,PSTNISDNADSL,=512K,128K,56K,PSTN,ISDN,ADSL,PPP规划FrameRelay规划ATM规划拨号规划NAT规划,目录,NAT部署原则,一般应用于网络的出口处企业网内部使用私网地址，需要访问Internet基于安全性考虑，2个网络之间不能直接互访,NAT实现方式,静态NAT基于IP的动态NAT基于端口的动态NAT,NetworkA,NAT,NetworkB,单向NAT部署,LAN,企业网需要访问Internet企业内部使用私有地址企业网只拥有少量公网地址,NAT,Internet,双向NAT部署,LANA,企业网内部有2种业务，有各自的IP规划2种业务的路由完全独立，不作路由再发布2种业务之间有一些互访需求,NAT,LANB,IP地址规划,ISSUE5.1,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,IP地址规划将对如下环节产生影响路由协议的运行效率网络的性能网络的扩展网络的管理从IP地址规划中可以看出一个网络的规划质量、甚至可以反映出一个网络设计师的技术水准。,IP地址规划的重要性,唯一性连续性扩展性实意性节约性,IP地址规划的基本原则,Loopback地址为了方便管理，系统管理员通常会为每一台路由器创建一个Loopback接口，并在该接口上单独指定一个IP地址作为管理地址。互联地址指两台或多台网络设备相互连接的接口所需要的地址。业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址。,网络规划中IP地址的分类,Loopback地址规划技巧务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机。越是核心的设备，Loopback地址越小。互连地址规划技巧务必使用30位掩码的地址。相对核心的设备，使用较小的一个地址互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。业务地址规划技巧所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。,IP地址的规划技巧,路由协议规划设计,ISSUE5.1,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,路由协议的规划与选择,路由协议的规划IGP协议的选择,静态简单易行。适合于简单，稳定的小型网络。RIP最古老的动态路由协议，只适合在小型的网络中使用。IS-IS本来是为OSI七层模型设计，后来强行移植到IP上。使用范围很小。OSPF是因特网上使用最为广范的IGP，专家强力推荐。,静态路由规划RIPv1/RIPv2路由规划OSPF路由规划,目录,静态路由设计原则,静态缺省路由的设计原则,Internet,Route0.0.0.00.0.0.0100.1.1.254,Route10.0.0.0255.0.0.0100.1.1.1,100.1.1.1/24,100.1.1.254/24,10.0.0.0/8,静态路由设计原则,11.1.1.0/24,11.2.2.1/24,11.3.2.1/24,R1,R2,R3,R4,静态路由的备份与负载分担方式iproute-static11.1.1.0255.255.255.011.2.2.1preference?iproute-static11.1.1.0255.255.255.011.3.2.1preference?,静态路由规划RIPv1/RIPv2路由规划OSPF路由规划,目录,RIP路由设计原则,RIP适合于带宽类型单一，节点数较少，较稳定的网络。RIP以跳数来定义距离RIP有15跳限制定期广播整个路由表RIP收敛速度慢,RIP路由设计原则,RIPv2在RIPv1上改进，并兼容RIPv1。RIPv2更新报文中携带子网掩码，可以支持VLSM。RIPv2支持多播路由更新，减少网络消耗RIPv2支持明文和MD5方式协议报文验证，增强了协议的安全RIPv2的改进对于路由协议来说都是必要的。如果建设一个RIP的小型网络，推荐使用RIPv2。,静态路由规划RIPv1/RIPv2路由规划OSPF路由规划,目录,OSPF规划-基本设计,RouterID的规划区域划分-是OSPF规划中最核心也是最复杂的部分路由聚合规划OSPF的COST规划,OSPF规划Stub区域,Area0,StubArea,NoLSA5,NoExternalRouteUpdate,Area0,NotSoStubArea,NoLSA5,RIP,BGP,ExternalRouteUpdate,OSPF规划犬牙交错,Area0,Area1,Area2,Area3,有时接入层的设备会以乱序的方式与汇聚层进行连接。OSPF的区域该如何划分？,OSPF规划路由引入和过滤,OSPF的路由引入规划:OSPF可以引入直连、静态以及其他路由协议的路由。OSPF的路由过滤规划:由于受到链路状态算法的限制，OSPF的路由过滤受到很多的限制，只能在区域间实现。,设备命名规划,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,设备命名规范sysname规划,为了保证以后的管理方便，通常需要为设备统一命名。可以采用以下命名方法：AA-B-YYYY-X,表示该设备所属的级别和名称,表示设备的厂商名称,表示设备型号,表示如果前三项相同的设备，用数字编号,设备命名规范接口命名与描述,除了设备固定的接口之外，我们常常会手工创建一些接口，例如：MP接口，以太网子接口，VLAN接口等。对这些接口后面分配的数字应该尽量包含实际的意义。为了准确表明每个接口对端的连接保证以及带宽，需要为每一个使用的接口配置description描述信息。,网络安全规划,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,网络安全规划的基本原则,网络安全是一个复杂的体系结构网络安全是一个相对的概念网络安全部署通常会对网络的性能造成一定的影响,在网络的安全和性能之间找到恰当的平衡点！,安全组网安全传输,安全传输当数据在网络传输的过程中无法确保安全时通常需要使用一定的安全技术。加密技术IPSec应用为IP协议组提供了网络层的安全能力，发送主机对IP报文进行加密，目的端点对源端点进行身份验证。可以确保报文的完整性和隐秘性。WLAN的报文传输过程可以使用WEP、WAP等加密手段确保报文的安全传送。采用WAP可以支持更长的加密密钥、避免采用静态加密密钥,安全组网VPN,报文在传输的过程中将其封装在隧道里，使其对沿途经过的设备不可见，从而保证其安全性。常用对安全性要求不高的简单环境。L2TP、GRE利用同IPSEC安全协议配合，实现安全保密的VPN,QOS规划,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,IPQoS,QualityofService（服务质量）是指网络通信过程中，允许用户业务在丢包率、延迟、抖动和带宽等方面获得可预期的服务水平。什么情况下需要使用QoS？网络带宽资源相对紧张网络中存在多种对带宽和时延的要求不同的业务防止异常的突发流量影响关键业务,规划1-报文分类及标记,在特定的规则（TCA）下，根据IP包头的某些内容选择分组。,LD2,LD1,LD3,LU1,流量监管（CARCommittedAccessRate）通过监督进入网络的某一流量的规格，限制它在一个允许的范围内，若某个连接的报文流量过大，就丢弃报文。通常在上级设备与下级设备相连的入接口上使用。理论依据如下：上级设备的出口带宽该设备所连接的所有下级设备的入口带宽的总合。物理接口限速（LRLineRate）与CAR相比，LR能够限制在物理接口上通过的所有报文。CAR在IP层实现，对于不经过IP层处理的报文不起作用。当用户只要求对所有报文限速时，使用LR比较简单。使用理论依据及方法同上。,规划2-流量监管CAR与LR,规划3-拥塞管理与队列调度,LD,输出队列,优先队列,金牌服务,银牌服务,铜牌服务,LU,流分类,FIFO（FirstInFirstOut）PQ（PriorityQueue）CQ（CustomQueue）WFQ（WeightedFairQueuing）CBWFQ（ClassBasedWeightedFairQueuing）,D0011网管规划,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,网管规划内容,确定哪些设备需要管理何时采用分级网管，如何规划？采用带内网管还是带外网管确立网管位置网管IP地址规划SNMP规划网管功能规划,哪些设备需要管理,网络规模不大，可以管理全网所有的网络设备网络规模很大，可以只选择比较重要的网络设备，至少包括汇聚层和核心层设备必要时，关键服务器的“健康”状况也需要关注CPU内存磁盘服务器管理时，也占用管理容量的license,分级网管,何时需要分级网管网络规模过于庞大，需要管理的网络设备数量远远超过了单机网管所能管理的最大节点数分级管理按照网络本身的地域特点或层次特点进行分级部署多套网管上级网管只管理核心层的全部设备以及汇聚层的关键设备下级网管管理本区域内的全部设备以及与本区域相连的核心设备,带内网管和带外网管,带内网管：网管流量与网络中的业务流量共享一套数据通道。带外网管：网管流量独占一套数据通道。通常都使用带内网管，而几乎不会使用带外网管。,网管位置,网管工作站应置于服务器专区（serverfarm），与网络中核心层设备相连。确保网管工作站与被管设备之间路由可达，且SNMP操作报文不能被其间防火墙或ACL过滤掉。,网管IP地址规划,全网统一网管VLAN分配特定的IP地址段专门用于网管交换机使用网管VLAN对应的IP地址参与网管路由器使用loopback地址参与网管,SNMP规划,SNMP是被广泛用于网络管理的工业标准SNMP基于UDP传输，采用请求与应答模式保证管理信息在任意两点间传送SNMP规划主要涉及：版本团体名Trap,SNMP版本,推荐使用SNMPv2c,SNMP目前有v1、v2c、v3三个版本，比较如下：,SNMP团体名,SNMP团体名用来定义SNMP网管（Manager）和SNMP代理（Agent）之间的关系配置团体名时，应考虑：读、写团体名分别设置，且不要简单的使用public和private；可以为团体指定访问的MIB子集视图；可以为团体配置ACL仅允许指定网管访问SNMP代理,SNMPTrap,Trap是SNMP代理主动向网管发送的不经请求的信息，不是完全可靠的配置Trap时，应考虑：不要轻易改变接收trap的网管缺省UDP端口号（162）；尽量使用设备的loopback接口作为发送trap的源地址；为避免PC机开启和关闭引起频繁告警，可在接入层交换机上配置禁止发送端口UP/DOWN的trap,网管功能规划,拓扑管理故障管理性能管理配置管理,拓扑管理,发现设备自动发现手工添加构建拓扑自动拓扑自定义拓扑,故障管理,告警接收设备上报trap网管主动轮询告警通知告警板、声光提醒和设备图标颜色变化转发至Email、短信和其他网管故障处理获取告警信息分析告警排除故障确认告警告警统计与查询（实时、当前和历史)告警删除与转储,性能管理,性能管理至少能监视CPU和内存的利用率设备/接口流量设备/接口异常监视任务应设定任务具体的开始时间、结束时间和采集周期阈值告警报表统计与导出定期（日、周、月、年）和实时报表报表可保存为文本、Excel或HTML文件,配置管理,业务配置图形化方式取代CLI完成设备业务配置设备配置文件管理对设备配置文件进行备份、恢复等集中管理配置文件的基线化管理设备软件管理备份和批量升级设备软件配置管理通过厂商私有MIB实现，一般互不兼容,网络规划、设计要点：可靠性(网络设备、拓扑、线路)命名规划IP地址规划路由协议安全布署QoS设计网管布署,总结,杭州华三通信技术有限公司,