IT信息化機(jī)房建設(shè)項(xiàng)目網(wǎng)絡(luò)部分設(shè)計(jì)方案

IT信息化機(jī)房建設(shè)項(xiàng)目網(wǎng)絡(luò)部分設(shè)計(jì)方案1.1.1項(xiàng)目概述按照“以信息化帶動(dòng)工業(yè)化，以工業(yè)化促進(jìn)信息化”的戰(zhàn)略，近年來，云計(jì)算、物聯(lián)網(wǎng)、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等不斷普及，信息更加舒暢，應(yīng)用日趨只能，利用新技術(shù)提升應(yīng)用效能、創(chuàng)新監(jiān)管模式、提高決策效率和服務(wù)能力，是信息化面臨的機(jī)遇與挑戰(zhàn)。園區(qū)網(wǎng)絡(luò)設(shè)備建設(shè)年限較為久遠(yuǎn)，園區(qū)網(wǎng)絡(luò)不管從性能還是穩(wěn)定性方面都已不能適應(yīng)目前快速發(fā)展的業(yè)務(wù)，本次擬對(duì)園區(qū)主干網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)，構(gòu)成萬兆互聯(lián)的園區(qū)網(wǎng)絡(luò)。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，基于網(wǎng)絡(luò)的新應(yīng)用層出不窮，相應(yīng)的對(duì)網(wǎng)絡(luò)的帶寬要求，穩(wěn)定性也要求越來越高，以高度信息化為標(biāo)志的信息社會(huì)正大步朝我們走來，而網(wǎng)絡(luò)正是信息化的基石，構(gòu)建一套安全、穩(wěn)定、可靠、高性能的基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)是此次建設(shè)的目標(biāo)。該基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)具有多業(yè)務(wù)支持、安全、穩(wěn)定、兼容性高、可靠性高、部署容易的特點(diǎn)，能支持各項(xiàng)應(yīng)用的可靠運(yùn)行。項(xiàng)目目標(biāo)建成科學(xué)的教學(xué)體系，采用數(shù)字化、信息化、網(wǎng)絡(luò)化技術(shù)，建立以業(yè)務(wù)優(yōu)先為主的信息化基礎(chǔ)設(shè)施。本次項(xiàng)目總體設(shè)計(jì)上采用國(guó)際先進(jìn)的技術(shù)，做到功能完善、系統(tǒng)先進(jìn)、安全穩(wěn)定、拓展性強(qiáng)，最終實(shí)現(xiàn)建成完整統(tǒng)一、技術(shù)先進(jìn)，覆蓋全面、應(yīng)用深入，高效穩(wěn)定、安全可靠的基礎(chǔ)網(wǎng)絡(luò)信息化系統(tǒng)。本項(xiàng)目的建設(shè)目標(biāo)如下所示：核心及網(wǎng)絡(luò)建設(shè)；此次主要對(duì)甲方單位核心網(wǎng)絡(luò)及匯聚、接入等網(wǎng)絡(luò)設(shè)備進(jìn)行升級(jí)改造，利用本項(xiàng)目所投設(shè)備及甲方單位原有設(shè)備對(duì)現(xiàn)有數(shù)據(jù)中心及骨干網(wǎng)絡(luò)系統(tǒng)進(jìn)行整體平滑升級(jí)，最終構(gòu)建甲方單位新一代園區(qū)網(wǎng)數(shù)據(jù)中心及骨干網(wǎng)絡(luò)系統(tǒng)，包括建設(shè)成為萬兆主干鏈路等。優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)：通過升級(jí)主干網(wǎng)絡(luò)核心設(shè)備，提升骨干核心網(wǎng)絡(luò)承載能力；提升網(wǎng)絡(luò)穩(wěn)定性：核心節(jié)點(diǎn)采用雙冗余架構(gòu)，網(wǎng)絡(luò)虛擬化技術(shù)將兩臺(tái)物理設(shè)備虛擬成一臺(tái)邏輯設(shè)備，增強(qiáng)了穩(wěn)定性，方便了管理；增強(qiáng)網(wǎng)絡(luò)管理：通過綜合管理平臺(tái)實(shí)現(xiàn)設(shè)備、用戶和業(yè)務(wù)的統(tǒng)一管理，實(shí)現(xiàn)設(shè)備配置，設(shè)備運(yùn)行狀態(tài)，用戶狀態(tài)，業(yè)務(wù)狀態(tài)的統(tǒng)一管理。需求分析隨著甲方單位信息化建設(shè)不斷深入，企業(yè)的生產(chǎn)業(yè)務(wù)系統(tǒng)、經(jīng)營(yíng)管理系統(tǒng)、辦公自動(dòng)化系統(tǒng)均得到大力發(fā)展，對(duì)于企業(yè)園區(qū)網(wǎng)的建設(shè)要求越來越高。傳統(tǒng)園區(qū)網(wǎng)建設(shè)初期往往面臨如下問題：網(wǎng)絡(luò)架構(gòu)較為混亂，不便于擴(kuò)容和維護(hù)管理：園區(qū)網(wǎng)在建設(shè)初期，設(shè)備和光纖/電纜隨意布放，缺乏統(tǒng)一的網(wǎng)絡(luò)分層規(guī)劃管理，網(wǎng)絡(luò)拓?fù)湎鄬?duì)混亂，不便于對(duì)網(wǎng)絡(luò)性能瓶頸進(jìn)行正確評(píng)估和有效擴(kuò)容，給日常網(wǎng)絡(luò)管理也帶來很大難度。網(wǎng)絡(luò)可靠性規(guī)劃不合理，影響企業(yè)生產(chǎn)和經(jīng)營(yíng)管理、造成投資浪費(fèi)：由于缺乏有效的園區(qū)網(wǎng)規(guī)劃，對(duì)于網(wǎng)絡(luò)可靠性考慮不夠，網(wǎng)絡(luò)中既存在單點(diǎn)故障導(dǎo)致網(wǎng)絡(luò)可靠性低、影響企業(yè)生產(chǎn)和經(jīng)營(yíng)管理行為，同時(shí)也存在網(wǎng)絡(luò)過度冗余、造成投資浪費(fèi)的現(xiàn)象。網(wǎng)絡(luò)信息安全存在隱患：網(wǎng)絡(luò)安全性是園區(qū)網(wǎng)建設(shè)的重中之重，傳統(tǒng)園區(qū)網(wǎng)安全漏洞較多，無法應(yīng)對(duì)內(nèi)外部用戶日益猖獗的網(wǎng)絡(luò)攻擊行為（例如：對(duì)園區(qū)網(wǎng)設(shè)備進(jìn)行攻擊、消耗網(wǎng)絡(luò)帶寬、竊取企業(yè)核心電子資產(chǎn)信息），對(duì)于內(nèi)部和外部用戶缺乏有效的身份認(rèn)證手段、用戶可隨意接入網(wǎng)絡(luò)，網(wǎng)絡(luò)層面的安全保證和防御措施也不到位，造成園區(qū)網(wǎng)的脆弱和易攻擊。無法滿足日益增長(zhǎng)的網(wǎng)絡(luò)業(yè)務(wù)需求：隨著企業(yè)的業(yè)務(wù)發(fā)展，出現(xiàn)了基于園區(qū)網(wǎng)基礎(chǔ)設(shè)施的豐富增值業(yè)務(wù)需求。技術(shù)方案LL4.1設(shè)計(jì)思路進(jìn)行網(wǎng)絡(luò)總體設(shè)計(jì)，首先要進(jìn)行對(duì)象研究和需求調(diào)查，明確甲方單位的性質(zhì)、任務(wù)和改革發(fā)展的特點(diǎn)及系統(tǒng)建設(shè)的需求和條件，對(duì)甲方單位網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)環(huán)境進(jìn)行準(zhǔn)確的描述；其次，在應(yīng)用需求分析的基礎(chǔ)上，確定網(wǎng)絡(luò)服務(wù)類型，進(jìn)而確定系統(tǒng)建設(shè)的具體目標(biāo)，包括網(wǎng)絡(luò)設(shè)施和管理等方面的目標(biāo)；第三是確定網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和功能，根據(jù)應(yīng)用需求建設(shè)目標(biāo)和主要建筑分布特點(diǎn)，進(jìn)行系統(tǒng)分析和設(shè)計(jì)；第四，確定技術(shù)設(shè)計(jì)的原則要求，如在技術(shù)選型、布線設(shè)計(jì)、設(shè)備選擇、軟件配置等方面的標(biāo)準(zhǔn)和要求；第五，規(guī)劃網(wǎng)絡(luò)建設(shè)的實(shí)施步驟。網(wǎng)絡(luò)總體設(shè)計(jì)方案的科學(xué)性，應(yīng)該體現(xiàn)在能否滿足以下基本要求方面：(1)整體規(guī)劃安排；(2)先進(jìn)性、開放性和標(biāo)準(zhǔn)化相結(jié)合；(3)結(jié)構(gòu)合理，便于維護(hù)；(4)高效實(shí)用；(5)支持大帶寬業(yè)務(wù)；(6)能夠?qū)崿F(xiàn)快速信息交流、協(xié)同工作和形象展示。I..「設(shè)計(jì)原則設(shè)計(jì)和實(shí)現(xiàn)要以用戶需求為導(dǎo)向、以目標(biāo)達(dá)成為宗旨、以任務(wù)實(shí)現(xiàn)為要點(diǎn)，符合“高內(nèi)聚、低耦合”的先進(jìn)設(shè)計(jì)理念，滿足應(yīng)用及服務(wù)的擴(kuò)展與集成，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)業(yè)務(wù)運(yùn)行、數(shù)據(jù)安全傳輸，必須具備先進(jìn)性、高性能、高安全性、高可靠性，可管理、可增值特性以及開放性、兼容性、可擴(kuò)展性。網(wǎng)絡(luò)建設(shè)遵循以下基本原則：先進(jìn)性以先進(jìn)、成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)行組網(wǎng)，支持?jǐn)?shù)據(jù)、語音和視頻圖像等多媒體應(yīng)用，采用基于交換的技術(shù)代替?zhèn)鹘y(tǒng)的基于路由的技術(shù)，并且能確保網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)產(chǎn)品在幾年內(nèi)基本滿足需求。高帶寬網(wǎng)絡(luò)平臺(tái)是一個(gè)復(fù)雜的平臺(tái)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，全網(wǎng)的組網(wǎng)設(shè)計(jì)的無瓶頸性，要求方案設(shè)計(jì)的階段就要充分考慮到，同時(shí)要求核心交換機(jī)具有高性能、高帶寬的特，整網(wǎng)的核心交換要求能夠提供無瓶頸的數(shù)據(jù)交換?？稍鲋敌跃W(wǎng)絡(luò)的建設(shè)、使用和維護(hù)需要投入大量的人力、物力，因此網(wǎng)絡(luò)的增值性是網(wǎng)絡(luò)持續(xù)發(fā)展基礎(chǔ)。所以在建設(shè)時(shí)要充分考慮業(yè)務(wù)的擴(kuò)展能力，能針對(duì)不同的用戶需求提供豐富的寬帶增值業(yè)務(wù)，使網(wǎng)絡(luò)具有自我造血機(jī)制，實(shí)現(xiàn)以網(wǎng)養(yǎng)網(wǎng)?？蓴U(kuò)充性考慮到用戶數(shù)量和業(yè)務(wù)種類發(fā)展的不確定性，要求對(duì)于核心交換機(jī)與匯聚交換機(jī)具有強(qiáng)大的擴(kuò)展功能，網(wǎng)絡(luò)要建設(shè)成完整統(tǒng)一、組網(wǎng)靈活、易擴(kuò)充的彈性網(wǎng)絡(luò)平臺(tái)，能夠隨著需求變化，充分留有擴(kuò)充余地。開放性技術(shù)選擇必須符合相關(guān)國(guó)際標(biāo)準(zhǔn)及國(guó)內(nèi)標(biāo)準(zhǔn),避免個(gè)別廠家的私有標(biāo)準(zhǔn)或內(nèi)部協(xié)議，確保網(wǎng)絡(luò)的開放性和互連互通，滿足信息準(zhǔn)確、安全、可靠、優(yōu)良交換傳送的需要；開放的接口，支持良好的維護(hù)、測(cè)量和管理手段，提供網(wǎng)絡(luò)統(tǒng)一實(shí)時(shí)監(jiān)控的遙測(cè)、遙控的信息處理功能，實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理?？晒芾硇跃W(wǎng)絡(luò)建設(shè)的一項(xiàng)重要內(nèi)容是網(wǎng)絡(luò)管理，網(wǎng)絡(luò)的建設(shè)必須保證網(wǎng)絡(luò)運(yùn)行的可管理性。在優(yōu)秀的網(wǎng)絡(luò)管理之下，將大大提高網(wǎng)絡(luò)的運(yùn)行速率，并可迅速簡(jiǎn)便地進(jìn)行網(wǎng)絡(luò)故障的診斷。安全可靠性設(shè)計(jì)應(yīng)充分考慮整個(gè)網(wǎng)絡(luò)的穩(wěn)定性，支持網(wǎng)絡(luò)節(jié)點(diǎn)的備份和線路保護(hù)，提供網(wǎng)絡(luò)安全防范措施?？煽啃詫?duì)于一個(gè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是至關(guān)重要的，在局域網(wǎng)中經(jīng)常發(fā)生節(jié)點(diǎn)故障或傳輸介質(zhì)故障，一個(gè)可靠性高的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)除了可以使這些故障對(duì)整個(gè)網(wǎng)絡(luò)的影響盡可能小以外，同時(shí)還應(yīng)具有良好的故障診斷和故障隔離功能。.1層次化設(shè)計(jì)網(wǎng)絡(luò)整體設(shè)計(jì)中，采用層次化、模塊化的網(wǎng)絡(luò)設(shè)計(jì)結(jié)構(gòu)，并嚴(yán)格定義各層功能模型，不同層次關(guān)注不同的特性配置。根據(jù)甲方單位主干網(wǎng)絡(luò)項(xiàng)目的網(wǎng)絡(luò)分布情況，網(wǎng)絡(luò)共分成核心層、匯聚層和接入層三層。核心層核心層是整個(gè)網(wǎng)絡(luò)的骨干，必須能夠提供高速數(shù)據(jù)交換和路由快速收斂，要求具有較高的可靠性、穩(wěn)定性和易擴(kuò)展性等。在主數(shù)據(jù)中心設(shè)立整個(gè)網(wǎng)絡(luò)的核心層，同時(shí)，還可在分支機(jī)構(gòu)設(shè)立分核心，如果內(nèi)部的網(wǎng)絡(luò)還劃分為內(nèi)部辦公網(wǎng)絡(luò)和外部互聯(lián)網(wǎng)區(qū)域，則需要對(duì)內(nèi)外網(wǎng)分別配置核心層節(jié)點(diǎn)。對(duì)于甲方單位主干網(wǎng)絡(luò)項(xiàng)目的核心層，必須提供高性能、高可靠的網(wǎng)絡(luò)結(jié)構(gòu)。對(duì)于網(wǎng)絡(luò)核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合了硬件IPv6、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，可為數(shù)據(jù)中心構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶實(shí)現(xiàn)IT資源整合的需求。匯聚層匯聚來自配線間的流量和執(zhí)行策略，當(dāng)路由協(xié)議應(yīng)用于這一層時(shí)，具有負(fù)載均衡、快速收斂和易于擴(kuò)展等特點(diǎn)，這一層還可作為接入設(shè)備的第一跳網(wǎng)關(guān)。目前，甲方單位主干網(wǎng)絡(luò)項(xiàng)目匯聚層主要用于辦公區(qū)域，設(shè)立將根據(jù)現(xiàn)有的信息點(diǎn)分布，結(jié)合綜合布線系統(tǒng)等多因素，一般而言，以建筑物/功能區(qū)為單位設(shè)立匯聚層，即每個(gè)單體建筑/功能區(qū)設(shè)立一個(gè)網(wǎng)絡(luò)匯聚層，如數(shù)據(jù)中心和網(wǎng)絡(luò)出口分別設(shè)于匯聚層，同時(shí)對(duì)于其他辦公區(qū)，可以采用多個(gè)辦公區(qū)共用1個(gè)網(wǎng)絡(luò)匯聚層的方式。對(duì)于網(wǎng)絡(luò)的匯聚層設(shè)備，應(yīng)該能夠承載多種融合業(yè)務(wù)，能夠融合IPv6、網(wǎng)絡(luò)安全、流量分析等多種業(yè)務(wù)，提供不間斷轉(zhuǎn)發(fā)、優(yōu)雅重啟、環(huán)網(wǎng)保護(hù)等多種高可靠技術(shù)，能夠承載融合業(yè)務(wù)的需求。接入層提供網(wǎng)絡(luò)的第一級(jí)接入功能，完成二層接入,并實(shí)現(xiàn)對(duì)終端接入的安全控制,包括ARP防御、IP/MAC/端口綁定以及POE等高級(jí)功能。在甲方單位主干網(wǎng)絡(luò)項(xiàng)目網(wǎng)絡(luò)規(guī)劃中，數(shù)據(jù)中心由接入層交換機(jī)直接連接至核心交換機(jī)，采用萬兆接入。接入層設(shè)備具有靈活的擴(kuò)展能力，支持堆疊，具有強(qiáng)安全性，可以實(shí)現(xiàn)IP、MAC、端口的綁定，支持802.lx認(rèn)證，支持DHCPSnooping,防止非法DHCP接入和ARP攻擊。1.1.4.3.2網(wǎng)絡(luò)拓?fù)鋱D網(wǎng)絡(luò)平臺(tái)將采用層次化通用結(jié)構(gòu)設(shè)計(jì)，采用核心層、匯聚層和接入層三層架構(gòu)，包括網(wǎng)絡(luò)骨干、數(shù)據(jù)中心、網(wǎng)絡(luò)出口、網(wǎng)絡(luò)接入等幾大部分。詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D如下：用戶 用戶 用戶 用戶II.I.I詳細(xì)設(shè)計(jì)網(wǎng)絡(luò)總體結(jié)構(gòu)核心交換區(qū)?功能描述核心交換區(qū)的主要功能是完成各服務(wù)器功能分區(qū)、辦公局域網(wǎng)、互聯(lián)網(wǎng)之間數(shù)據(jù)流量的高速交換，是廣域/局域縱向流量與服務(wù)功能分區(qū)間橫向流量的交匯點(diǎn)。核心交換區(qū)必須具備高速轉(zhuǎn)發(fā)的能力，同時(shí)還需要有很強(qiáng)的擴(kuò)展能力，以便應(yīng)對(duì)未來業(yè)務(wù)的快速增長(zhǎng)。核心模塊是整個(gè)平臺(tái)的樞紐。因此，可靠性是衡量核心交換區(qū)設(shè)計(jì)的關(guān)鍵指標(biāo)。否則，一旦核心模塊出現(xiàn)異常而不能及時(shí)恢復(fù)的話，會(huì)造成整個(gè)平臺(tái)業(yè)務(wù)的長(zhǎng)時(shí)間中斷，影響巨大。服務(wù)器接入?yún)^(qū)服務(wù)器接入?yún)^(qū)用于完成服務(wù)器的LAN網(wǎng)絡(luò)接入，涉及到服務(wù)器接入的業(yè)務(wù)以甲方單位的服務(wù)器資源為主，這些區(qū)域雖然部署的應(yīng)用服務(wù)器類型不一樣，設(shè)備的選型要求也不一樣，但對(duì)于網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)來說是一樣的。?設(shè)計(jì)要點(diǎn)服務(wù)器接入交換機(jī)采用萬兆接入；在性能方面，服務(wù)器接入交換機(jī)所有端口線速轉(zhuǎn)發(fā)，保障多種業(yè)務(wù)進(jìn)行并發(fā)交換。在業(yè)務(wù)特性方面，服務(wù)器接入交換機(jī)支持豐富的QoS特性，可保障重要業(yè)務(wù)得到優(yōu)先轉(zhuǎn)發(fā)；支持訐丫6，可平穩(wěn)過渡到下一代網(wǎng)絡(luò)。在安全性方面，服務(wù)器接入交換機(jī)具有安全機(jī)制保障所承載業(yè)務(wù)的安全。在可擴(kuò)展性方面，服務(wù)器接入交換機(jī)應(yīng)采用模塊化設(shè)備，支持高密度、高帶寬接口，在業(yè)務(wù)系統(tǒng)不斷增長(zhǎng)時(shí)，可通過增加業(yè)務(wù)模塊來滿足服務(wù)器接入需求。匯聚區(qū)及接入?yún)^(qū)接入?yún)^(qū)用于實(shí)現(xiàn)與辦公網(wǎng)匯聚中心的互連，保證單位內(nèi)部用戶能夠訪問業(yè)務(wù)系統(tǒng)，并通過內(nèi)網(wǎng)訪問的業(yè)務(wù)系統(tǒng)的需求。第8頁?設(shè)計(jì)要點(diǎn).接入層實(shí)現(xiàn)各終端電腦的高速接入，根據(jù)各業(yè)務(wù)系統(tǒng)的分布。.接入層交換機(jī)應(yīng)具有豐富的安全特性，同時(shí)還應(yīng)具有防偽DHCPServer的接入，對(duì)終端ARP各種形式攻擊的防護(hù)。.2網(wǎng)絡(luò)邏輯設(shè)計(jì)VLAN設(shè)計(jì)VLAN技術(shù)在網(wǎng)絡(luò)領(lǐng)域等到了廣泛應(yīng)用，尤其在網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全上方面起到了不可忽視的作用。采用VLAN技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行集中管理，能夠更容易地實(shí)現(xiàn)網(wǎng)絡(luò)的管理性。例如，在添加、刪除和移動(dòng)網(wǎng)絡(luò)用戶時(shí)，不用重新布線，也不用直接對(duì)成員進(jìn)行配置。VLAN提供的安全機(jī)制，可以限制用戶對(duì)安全設(shè)備的訪問，例如，限制普通用戶對(duì)計(jì)費(fèi)服務(wù)器，安全交換機(jī)等的訪問。Vlan控制廣播組的大小和位置，甚至鎖定網(wǎng)絡(luò)成員的MAC地址，這樣，就限制了未經(jīng)安全許可的用戶和網(wǎng)絡(luò)成員對(duì)網(wǎng)絡(luò)的使用增強(qiáng)網(wǎng)絡(luò)管理。我們建議每類功能的服務(wù)器設(shè)置為一個(gè)VLAN，每個(gè)VLAN資源建議在50個(gè)地址左右，盡量減少網(wǎng)絡(luò)廣播風(fēng)暴。為了減小廣播域，建議內(nèi)部局域網(wǎng)區(qū)域的VLAN終結(jié)在接入交換機(jī)上，每個(gè)VLAN內(nèi)的主機(jī)數(shù)量原則上不要超過250臺(tái)，同時(shí)為了較少IP資源浪費(fèi)和簡(jiǎn)化設(shè)備配置，建采用26位子網(wǎng)掩碼劃分子網(wǎng)；對(duì)于數(shù)據(jù)中心和應(yīng)用中心建議采用子網(wǎng)27或者28位子網(wǎng)掩碼劃分子網(wǎng)絡(luò)。VLAN的劃分可以依據(jù)不同的業(yè)務(wù)部門進(jìn)行也可以依據(jù)用戶所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還兼顧了網(wǎng)絡(luò)安全性可控性的需要。根據(jù)實(shí)際業(yè)務(wù)部門辦公環(huán)境的分布情況來看，在大部分情況下，兩者實(shí)現(xiàn)了重合，而對(duì)于少數(shù)由于辦公地點(diǎn)不同，隔離在不同接入點(diǎn)的相同業(yè)務(wù)部門，我們則推薦第一種方式。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動(dòng)態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強(qiáng)制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN,然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。動(dòng)態(tài)VLAN：我們知道，VLAN常常被規(guī)劃用于對(duì)“資源訪問權(quán)限”的分組，不同的VLAN具有不同的訪問權(quán)限，每個(gè)VLAN內(nèi)有一個(gè)IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲(chǔ)在網(wǎng)絡(luò)管理系統(tǒng)中，網(wǎng)絡(luò)管理系統(tǒng)根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過之后向二層交換機(jī)作動(dòng)態(tài)的VLANID下發(fā)配置。此時(shí)，二層交換機(jī)要支持VLAN的動(dòng)態(tài)配置功能。作為特殊VLAN的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)的每一臺(tái)交換機(jī)，但在第三層接口上，需要與其他業(yè)務(wù)VLAN進(jìn)行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個(gè)VLAN，例如VLANID=4000,VLAN4000與VLAN1在第三層上相通，同時(shí)，部分業(yè)務(wù)VLAN可以訪問VLAN4000，從而實(shí)現(xiàn)網(wǎng)管的分布式監(jiān)控布局。VLAN1和VLAN4000的第三層路由接口處設(shè)置訪問控制列表，只有特定的主機(jī)或者只有網(wǎng)管VLAN可以直接訪問每一臺(tái)設(shè)備，其他均在過濾之列。對(duì)于服務(wù)器等特殊設(shè)備建議單獨(dú)設(shè)置在一個(gè)VLAN中。業(yè)務(wù)VLAN可以按照部門的類別進(jìn)行劃分，每個(gè)部門劃分一個(gè)VLAN，部門人數(shù)超過62名的應(yīng)該劃分為兩個(gè)VLAN，以保證交換的性能。IP地址設(shè)計(jì)IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對(duì)IP地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址的統(tǒng)一、合理規(guī)劃以及整個(gè)網(wǎng)絡(luò)向IPv6的演進(jìn)是關(guān)系到整體分層網(wǎng)絡(luò)穩(wěn)定、快速收斂的關(guān)鍵，也是某職業(yè)技術(shù)學(xué)院校園網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)。IP地址規(guī)劃的好壞，不僅影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，更影響到網(wǎng)絡(luò)的性能和穩(wěn)定以及網(wǎng)絡(luò)的擴(kuò)展和管理，也必將直接影響到相關(guān)新業(yè)務(wù)的開拓和網(wǎng)絡(luò)應(yīng)用的進(jìn)一步可持續(xù)性發(fā)展。劃分時(shí)注意使用VLAN，充分節(jié)約IP地址，使路由交換機(jī)上能夠采用聚合進(jìn)行路由的合并，減少路由表的大小。出口到互聯(lián)網(wǎng)可以采用NAT防火墻上做地址轉(zhuǎn)換實(shí)現(xiàn)。校區(qū)內(nèi)接入到同一匯聚層交換機(jī)的區(qū)域建議采用連續(xù)IP地址段，以便做路由匯聚。IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長(zhǎng)度，減少對(duì)路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：>IP地址的分配原則如下：層次化：IP地址資源可以以園區(qū)為單位劃分、行政隸屬關(guān)系和業(yè)務(wù)種類為層次，分割為大小不同、用途各異的地址塊單元；實(shí)現(xiàn)地址的層次化劃分，以利于路由信息的聚合，減少路由表長(zhǎng)度；唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡(jiǎn)單性：地址分配應(yīng)簡(jiǎn)單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡(jiǎn)化路由表項(xiàng)；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性；靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間；＞注意事項(xiàng)：給三層交換機(jī)設(shè)備互連的點(diǎn)對(duì)點(diǎn)IP地址分配1個(gè)地址，提供足夠的擴(kuò)展性；可以考慮分配若干個(gè)私有地址段。服務(wù)器集群和部分辦公樓的IP獲取方式為手動(dòng)分配，其他的均為通過DHCP獲取。上網(wǎng)方式均采用NAT方式。IP地址分配表示例：網(wǎng)絡(luò)單元地址段網(wǎng)絡(luò)單元地址段地址范圍網(wǎng)關(guān)上網(wǎng)方式IP獲取方式.3路由設(shè)計(jì)在選擇及規(guī)劃路由協(xié)議時(shí)需要按照路由的總體設(shè)計(jì)原則進(jìn)行考慮和設(shè)計(jì)。目前常用的路由協(xié)議有多種，如RIP、OSPF、IS-IS、BGP等等。一般來說分為：內(nèi)部網(wǎng)關(guān)路由協(xié)議和外部網(wǎng)關(guān)路由協(xié)議。其中內(nèi)部網(wǎng)關(guān)路由協(xié)議又可以分為：距離—矢量路由協(xié)議（RIP）；鏈路狀態(tài)路由協(xié)議（OSPF和IS-IS等）。外部網(wǎng)關(guān)路由協(xié)議主要指的是BGP路由協(xié)議。域內(nèi)路由協(xié)議（IGP）在網(wǎng)中起著連通骨干、選徑和自動(dòng)迂回的作用。IGP通過計(jì)算每條路徑的權(quán)值來尋找最佳路徑。IGP并不承載外界路由與用戶路由，但所有外界路由和用戶路由在BGP-4中都有“下一跳”（next-hop）這個(gè)屬性，IGP通過對(duì)next-hop的選徑來控制到外界的數(shù)據(jù)流。Internet路由和用戶路由信息禁止加入IGP中，以確保網(wǎng)絡(luò)的穩(wěn)定性。在目前，可以用于大規(guī)模的IP網(wǎng)絡(luò)同時(shí)又基于標(biāo)準(zhǔn)的IGP的路由協(xié)議有OSPF和IS-IS。兩種路由協(xié)議均是基于鏈路狀態(tài)計(jì)算的最短路徑路由協(xié)議，采用第12頁同一種最短路徑算法（Dijkstra）。兩種協(xié)議在實(shí)現(xiàn)方法、網(wǎng)絡(luò)結(jié)構(gòu)上均相似，在大型IP網(wǎng)絡(luò)中均有成功案例。IS-IS路由協(xié)議在收斂速度、網(wǎng)絡(luò)的穩(wěn)定性、協(xié)議的擴(kuò)展性方面都優(yōu)于OSPF，因此在大型電信運(yùn)營(yíng)商的國(guó)干網(wǎng)上，都采用IS-IS做為IGP協(xié)議。而OSPF路由協(xié)議為IETF標(biāo)準(zhǔn)路由協(xié)議，開放性比較好，熟悉OSPF的工程技術(shù)人員也較熟悉ISIS的多。IS-IS路由協(xié)議為ISO標(biāo)準(zhǔn)，相對(duì)比較封閉，導(dǎo)致各廠家IS-IS實(shí)現(xiàn)的方式有所不同。因此從運(yùn)維的角度、兼容性的考慮，OSPF要優(yōu)于is-is。VLAN間路由帶有三層路由功能的交換機(jī)可以實(shí)現(xiàn)不同VLAN之間互相通信，并根據(jù)編制訪問策略達(dá)到VLAN間通信與訪問控制的功能。所以VLAN間的路由通過三層交換機(jī)實(shí)現(xiàn)，而出口路由器只負(fù)責(zé)內(nèi)外網(wǎng)的路由，因?yàn)槌隹诼酚善髋c核心交換機(jī)之間會(huì)有多個(gè)安全設(shè)備，這樣可減少跨安全設(shè)備的鏈路開銷。例如VLANID=1000，VLAN1000與VLAN2000在第三層上互通，同時(shí)在VLAN1000與VLAN2000的三層路由接口處設(shè)置訪問控制列表，實(shí)現(xiàn)只有特定的主機(jī)或者只有網(wǎng)管VLAN可以直接訪問VLAN1000內(nèi)的某臺(tái)主機(jī)，其他均在過濾之外。.4網(wǎng)絡(luò)服務(wù)質(zhì)量（QOS）設(shè)計(jì)鑒于本網(wǎng)絡(luò)未來業(yè)務(wù)應(yīng)用繁多，需要考慮到數(shù)據(jù)、語音、視頻、存儲(chǔ)以及內(nèi)外網(wǎng)訪問數(shù)據(jù)流錯(cuò)綜復(fù)雜的特點(diǎn)，保證關(guān)鍵業(yè)務(wù)和多媒體數(shù)據(jù)的實(shí)時(shí)和優(yōu)先是業(yè)務(wù)設(shè)計(jì)的重點(diǎn)。當(dāng)今最前沿的設(shè)備為通過服務(wù)質(zhì)量（QOS）技術(shù)來保證不同業(yè)務(wù)流的優(yōu)先級(jí)別，我們?cè)诰W(wǎng)絡(luò)中規(guī)劃QOS。?QOS策略設(shè)計(jì)全網(wǎng)采用DiffServ模型；主要按照業(yè)務(wù)類型確定優(yōu)先級(jí)，相應(yīng)的把視訊、語音等對(duì)實(shí)時(shí)性要求較高的業(yè)務(wù)打上高的優(yōu)先級(jí)，保證其在網(wǎng)絡(luò)傳送中處于最先傳送的有利地位。具體建設(shè)思路：

在本次網(wǎng)絡(luò)QOS規(guī)劃中，要求接入層設(shè)備可以進(jìn)行流分類和限流，并采用WRED技術(shù)避免擁塞。在接入層交換機(jī)進(jìn)行流分類，根據(jù)不同的IP子網(wǎng)、IP地址或TCP/UDP端口號(hào)，區(qū)分出不同的業(yè)務(wù)，然后根據(jù)每種業(yè)務(wù)的重要性的不同設(shè)置不同的IpPrecedence或者802.IP優(yōu)先級(jí)。例如：實(shí)時(shí)IP語音業(yè)務(wù)：IpPrecedence=7VPN業(yè)務(wù)：IpPrecedence=5電子郵寄等業(yè)務(wù)：IPPrecedence=3績(jī)效考核管理等業(yè)務(wù)：IPPrecedence=l?主要的QOS服務(wù)模型一一Differserv方式Differentiatedservice是一一個(gè)多服務(wù)模型，它可以滿足不同的QoS需求。與Integratedservice不同，它不需要信令，即應(yīng)用程序在發(fā)出報(bào)文前，不需要通知路由器。對(duì)Differentiatedservice,網(wǎng)絡(luò)不需要為每個(gè)流維護(hù)狀態(tài)，它根據(jù)每個(gè)報(bào)文指定的QoS,來提供特定的服務(wù)?？梢杂貌煌姆椒▉碇付▓?bào)文的QoS,如IP包的優(yōu)先級(jí)位(IPPrecedence),報(bào)文的源地址和目的地址等。網(wǎng)絡(luò)通過這些信息來進(jìn)行報(bào)文的分類、流量整形、流量監(jiān)管和排隊(duì)。其模型如下圖：丟棄入接口II接收?qǐng)?bào)文A目微比:麒口目僦口TOS隊(duì)列隊(duì)丟棄入接口II接收?qǐng)?bào)文A目微比:麒口目僦口TOS隊(duì)列隊(duì)令牌流量監(jiān)控f整形繼續(xù)發(fā)送區(qū)分服務(wù)QOS模型1)報(bào)文分類報(bào)文分類是QoS的基礎(chǔ)，只有區(qū)分了不同的報(bào)文業(yè)務(wù)，才能進(jìn)行分別處理及保障相應(yīng)業(yè)務(wù)的服務(wù)質(zhì)量。一般在網(wǎng)絡(luò)邊界，利用ACL等技術(shù)，根據(jù)物理接口、源地址、目的地址、MAC地址、IP協(xié)議或應(yīng)用程序的端口號(hào)等依據(jù)對(duì)報(bào)文進(jìn)行分類，并同時(shí)設(shè)置報(bào)文IP頭的TOS字段作為報(bào)文的IP優(yōu)先級(jí)；在網(wǎng)絡(luò)的內(nèi)部則可使用邊緣設(shè)置好的IP優(yōu)先級(jí)作為分類的標(biāo)準(zhǔn)，以提高網(wǎng)絡(luò)的處理效率。2）擁塞管理網(wǎng)絡(luò)資源總是有限的，當(dāng)網(wǎng)上業(yè)務(wù)流量超過網(wǎng)絡(luò)提供的能力時(shí)，即發(fā)生了擁塞。在發(fā)生擁塞時(shí)，如何進(jìn)行管理和控制呢？處理的方法是使用隊(duì)列技術(shù)。在一個(gè)接口沒有發(fā)生擁塞的時(shí)候，報(bào)文在到達(dá)接口后立即就被發(fā)送出去；在報(bào)文到達(dá)的速度超過接口發(fā)送報(bào)文的速度時(shí)，接口就發(fā)生了擁塞。擁塞管理就會(huì)將這些報(bào)文進(jìn)行分類，送入不同的隊(duì)列；而隊(duì)列調(diào)度對(duì)不同優(yōu)先級(jí)的報(bào)文進(jìn)行分別處理，優(yōu)先級(jí)高的報(bào)文會(huì)得到優(yōu)先處理。不同的隊(duì)列算法用來解決不同的問題，并產(chǎn)生不同的效果。3）擁塞避免據(jù)統(tǒng)計(jì)，互聯(lián)網(wǎng)上發(fā)生70％的報(bào)文丟棄原因是由于擁塞造成的，對(duì)造成擁塞的原因進(jìn)行分析，并制定避免擁塞的策略，將大大提高網(wǎng)絡(luò)的可用性。當(dāng)擁塞發(fā)生時(shí)，如果按照傳統(tǒng)的隊(duì)列尾丟棄處理方式，對(duì)于TCP報(bào)文，會(huì)引發(fā)TCP的慢啟動(dòng)和擁塞避免機(jī)制，使TCP減少報(bào)文的發(fā)送。當(dāng)同時(shí)丟棄多個(gè)TCP連接的報(bào)文時(shí)，將造成多個(gè)TCP連接同時(shí)進(jìn)入慢啟動(dòng)和擁塞避免，稱之為：TCP全局同步。這使得發(fā)向網(wǎng)絡(luò)的報(bào)文流量總是忽大忽小，線路上的流量總在極少和飽滿之間波動(dòng)，造成網(wǎng)絡(luò)利用率降低。為了避免這種擁塞情況的發(fā)生