《网络结构和出口设计.ppt》由会员分享,可在线阅读,更多相关《网络结构和出口设计.ppt(78页珍藏版)》请在三一办公上搜索。
1、第三章 网络结构及出口设计,几个名词,2023/10/18,2,企业网是为企业提供信息传递和资源共享的计算机网络,它通常包括若干LAN企业网是一个广义的概念,它通常可与校园网和园区网等名词互换使用将因特网的标准和技术应用于企业网,就形成了用于企业内部的专用网络内联网(Intranet)而与内联网相对应的是外联网(Extranet),它是对内联网的扩展和外延,网络安全问题,网络安全问题,网络出口设计问题,网络出口设计问题,网络性能问题,网络设备选择,骨干网技术与架构问题,骨干网技术与架构问题,扩展与升级问题,扩展与升级问题,流量控制问题,流量控制问题,网络管理问题,网络管理问题,3.1 如何构建
2、校园骨干网?,骨干设备不稳定!骨干链路不可靠!网络安全引起骨干网不稳定!如何构建一个稳定可靠,同时兼备标准性、开放性、易管理性的校园骨干网络呢?,网络管理问题,网络出口设计问题,网络性能问题,流量控制问题,骨干网技术与架构问题,扩展与升级问题,网络安全问题,骨干网技术与架构问题,校园骨干网构建技术选择,以太网,光纤环网,优势,最成熟最主流的技术,兼容性和开放性最好,带宽和性能高,前期投入的性价比高,后期管理维护简单,内外双环,可快速切换,校园骨干网构建技术选择,以太网,光纤环网,劣势,支持设备不普遍,前期设备+光纤投资成本高,后期管理维护复杂,兼容性和开放性较差,适用场合,大型园区网(校园网、
3、企业网),运营商网络,校园骨干网拓扑结构的选择,表1 各种拓扑结构分类,点到点网络,点对点结构优点:设备无关性独立性安全性非中心化负载均衡点对点结构缺点:连接较多时延较长,环形结构优点:消除了对中心设备的依赖。信号沿环单向传输,时延固定。所需光缆较少,适宜于长距离传输。各个节点负载均衡。双环或多环网络具有自愈功能。路由选择简单,不易发生地址冲突等。环形结构缺点:不适用于多用户接入的网络。增加节点时,会加大传输时延。难以进行故障诊断。结构发生变化时,需要重新配置网络。投资成本较高等。,网状结构优点:信号传输快。不需要汇接交换功能,交换开销低。冗余链路,网络可靠性高。网状结构缺点:线路多,建设和维
4、护费用大。通信量不大时,电路利用率很低。,广播网络,总线结构优点 不需要其他互联设备,组网费用低。扩展网络时,只需要添加一个网络接头。总线结构缺点 所有主机共享同一总线,主机增多时会引起网络性能下降。总线一出现故障,将导致整个网络中断。,星型结构优点:网络结构简单,建设和维护费用少。通信节点一般采用交换机,提高了链路利用率。一个节点出现故障不会影响其它节点的连接。星型结构缺点:可靠性低。中心节点负担重。使用线缆较多。,中心设备负担太重容易形成传输瓶颈不能提供可靠的传输保证不易于扩展,百兆双绞线,四川大学锦城学院,冗余设计,冗余设计是网络可靠性设计最常用的方法。冗余设计的目的:提供网络备用提供网
5、络负载均衡。,四川大学锦城学院,链路备份和负载均衡,链路备份和负载均衡在物理结构上完全一致,但完成的功能完全不同,工作模式也完全不同。冗余链路用于链路备份时,2条冗余链路只有一条工作,另外一条处于热备监控状态。冗余链路用于负载均衡时,多条冗余链路同时工作,不存在备用链路。,四川大学锦城学院,单点故障与冗余链路,单点故障指网络中某一单个节点或某一单条链路发生故障时,可能导致用户与核心设备或网络服务的隔离。冗余链路可以绕过单点故障。,四川大学锦城学院,冗余设计的内容,冗余设计包括:链路冗余、交换机冗余、路由器冗余、服务器冗余、电源系统冗余、软件冗余等。最好的冗余是多台主机互为。链路冗余可以采用 技
6、术;服务器冗余可以采用方法;交换机、路由器、服务器都可采用;软件冗余可以采用双服务器的 方法。,热备,链路聚合,双机热备,冗余电源,软件镜像,四川大学锦城学院,冗余设计要求,只有在网络链路中断时,才启用冗余链路。尽量不要将冗余链路用于负载平衡。一般在核心层采用链路聚合技术。,四川大学锦城学院,LAN冗余链路设计,冗余链路构成了网络环路,广播信息会在环路中循环发送,导致网络性能降低。环路引起的广播风暴,可通过STP或Trunk技术解决。,四川大学锦城学院,WAN冗余链路设计,(1)WAN拓扑结构冗余设计全连接拓扑结构适用于节点数量较少,数据流量大的网络,如大型网络的核心层设计。环型网是冗余链路最
7、少的拓扑结构,从每个路由器到任何给定的目标都有两条路径。,四川大学锦城学院,(2)WAN备份冗余技术案例链路冗余备份 如华为公司路由器采用备份中心技术,可为路由器上的任意接口提供备份接口。设备冗余备份 可通过VRRP(虚拟路由冗余备份协议)或HSRP(热备份路由协议)来实现。,3.2 网络分层设计,(1)网络分层设计模型 核心层、汇聚层和接入层。核心层主要提供节点之间的高速数据转发。汇聚层主要负责路由聚合,收敛数据流量。接入层为用户提供网络访问功能,并执行用户认证和访问控制。,网络分层设计模型,网络分层设计模型,层次结构类型的选择,交换型层次结构缺点:路由功能不强大;广播风暴。主要用于局域网设
8、计,路由型层次结构缺点:网络结构较复杂,易形成性能瓶颈。主要用于城域网和广域网设计。,接入层设计,(1)接入层设计目标为最终用户提供访问网络的能力。网络设计中应当注意的问题:适度超前 分期实施 简化设计 安全隔离,接入层设计,(2)接入层拓扑结构设计一般采用星型拓扑结构。为了降低成本,接入层很少采用冗余链路。一般不提供路由功能。接入层设备应当具有良好的扩展性。用户集中的环境,交换机应提供堆叠功能。,(3)接入层功能设计交换机端口密度是否满足用户需求交换机上行链路采用光口还是电口交换机端口是否保留了冗余端口交换机端口速率是否支持自适应交换机是否支持IEEE 802.1Q(优先队列)。,接入层堆叠
9、设计,对于计算机机房、电子阅览室、学生公寓等接入计算机数量很大的接入场所,应当采用可堆叠交换机,以提供大量的100 Mbps端口。接入交换机之间以高速堆叠模块相互连接在一起,并借助1 000 Mbps链路实现与汇聚层交换机之间的连接。为了提高网络稳定性和网络带宽,可以将24条千兆位链路绑定在一起,借助链路汇聚技术实现链路冗余、负载均衡和带宽倍增,以确保所有计算机都能够无阻塞地实现与校园网络的连接。,接入层链路汇聚设计,如果所连接的计算机数量较多,且接入层交换机不支持堆叠,那么可以使用链路汇聚的方式实现接入层交换机之间的高速连接,既增加了接入层交换机之间的互联带宽,又提高了连接的稳定性。,接入层
10、级联设计,如果接入网络的计算机数量较多,需要由多台交换机才能满足时,也可以采用最简单的级联方式。当然,如果接入层交换机拥有1 000 Mbps端口,那么采用级联方式也可以实现接入层交换机之间的高速连接。但是,如果交换机只拥有100 Mbps端口,那么这种连接方式将无法满足接入计算机与校园网络高速通信的需求。,堆叠和级联的区别,堆叠是用专用的端口把交换机连接起来,当作一个交换机使用。堆叠的接口具有很高的带宽,一般在1Gbps以上。而级联通常是用普通网线把几个交换机连接起来,使用普通的网口或级联口,带宽通常为100M以下,这样下级的所有工作站就只能共享较窄的出口,从而获得较低的性能。,堆叠实际上把
11、每台交换机的母板总线连接在一起,不同交换机任意二端口之间的延时是相等的就是一台交换机的延时,而级联就会产生比较大的延时级联是上下级的关系。级联的层次是有限制的,而且每层的性能都不同,最后层的性能最差。而堆叠是同级关系,每台交换机的性能是一样的;是把所有堆叠的交换机的背板带宽共享。,接入层设备选择,接入层设备应当采用拥有2448个10/100 Mbps端口的固定配置可网管交换机,并拥有24个SFP、GBIC或1000BaseT端口,以实现与汇聚层交换机的相互连接,或实现彼此之间的互联。对一些需要提供远程供电的特殊需求(如IP电话和瘦无线AP),还应当支持PPoE功能。接入层交换机建议选择Cisc
12、o Catalyst 3560或Catalyst 2960系列,或者锐捷RGS3250、RGS2600或RGS2300系列产品。,汇聚层设计,(1)汇聚层设计目标高接口密度保证分支主干无带宽瓶颈满足多层交换不断增长的需求,(2)汇聚层主要功能链路聚合减少接入层与核心层之间的链路数。流量聚合将接入层低速链路转发到核心层。路由聚合 减少核心层路由器中路由表的大小。,主干链路管理流量控制、负载均衡、QoS保证。广播域划分进行VLAN划分,定义广播域范围。VLAN路由在汇聚层进行路由处理。隔离变化隔离接入层结构变化对核心层的影响。,单链路设计,如果接入层的计算机数量较少,且对网络链路稳定性没有较高的要
13、求,也可以采用简单链路方式,只用一条1 000 Mbps链路连接接入层交换机和汇聚层交换机,以节约设备购置费用。然而,一旦该链路发生故障,那么接入层交换机所连接的所有网络终端设备,都将失去与校园网络的连接。,冗余链接设计,如果接入层计算机对网络连接要求较高,应当采用冗余连接的方式,即每台接入层交换机都有2条1 000 Mbps链路连接至汇聚层交换机;当其中一条链路发生故障后,另外一条链路将迅速被激活,从而保证了网络链路的稳定。,链路汇聚设计,如果不仅计算机数量较多,而且对网络带宽有较高的要求,那么应当采用链路汇聚(2条或4条1 000 Mbps链路)的方式。这样,既可以成倍提高接入层交换机与汇
14、聚层交换机之间的网络带宽,同时还提供了链路冗余,从而提供稳定、高速的网络连接。,汇聚层设备选择,根据楼宇内的计算机数量,以及子网规模和应用需求,决定应当选择汇聚层交换机的类型。对于较大规模的子网(如图书馆、计算机系、学生公寓、办公大楼等)而言,应当选择拥有较高性能的模块化三层交换机(如Cisco Catalyst 4500-E系列或锐捷RGS6800-E系列);而对于较小规模的子网(如实验楼、阶梯教室楼等),则选择拥有24个10 Gbps上行链路,和2448个1 000 Mbps端口的固定端口三层交换机(如Cisco Catalyst 3750-E系列或锐捷EG-S5750系列)。,汇聚层交换
15、机都应具备较强的多业务提供能力,可支持包括智能的CCL、MPLS、组播在内的各种业务,为用户提供丰富、高性价比的组网选择。,核心层设计,核心层的主要功能是实现数据包高速交换。(1)核心层网络结构设计单中心结构常用于小规模局域网设计适用于网络流量不大的局域网双中心结构常用于园区网设计可实现设备和链路冗余可很好地进行网络负载均衡,所有的汇聚层交换机和堆叠交换机分别连接至2台核心交换机。当2台核心交换机都能正常工作时,分担所有汇聚设备的接入和数据通信,实现网络接入的负载均衡。当其中一台核心设备发生故障时,由另一台核心设备迅速承担全部交换任务,以保证网络的稳定运行。采用双核心冗余方案,任何一台核心交换
16、机、任何一条网络链路故障,都不会影响整个网络的正常运行和网络服务的提供,从而确保网络的稳定、高速和安全。当然,由于需要购置2台核心交换机,因此该方案的投资额较大,适用于规模较大、且对稳定性有较高要求的校园网络。,(2)核心层性能设计策略采用高带宽网络技术禁止采用降低核心层设备处理能力的策略任何策略必须在核心层外执行(如QoS处理)采用高性能的3层模块化交换机,(3)核心层冗余设计策略增加带宽最简单的方法是增加冗余链路路由器可为多个链路提供负载均衡功能可在核心层采用设备冗余和链路冗余设计对冗余链路可利用STP进行配置处理,(4)核心层路由设计策略尽量减少核心层路由器配置的复杂程度使用路由器分组优
17、化特性不应使用默认路径来到达内部主机可采用默认路径来到达外部主机可利用路由聚合来减少核心层路由表的大小。,单中心-简单链路,当某台汇聚层交换机或某条骨干链路发生故障时,不会影响其他子网络的正常运行。但是,核心交换机一旦发生故障,将导致整个网络的瘫痪。,单核心-链路冗余,当核心交换机的某个业务板、汇聚层交换机的某个模块或某条骨干链路发生故障时,另一条骨干链路及时由备份状态改变为激活状态,从而保证网络骨干的稳定连接。,双核心,核心交换机选购原则,需求决定一切除了满足现有需求外,还应当在技术、性能和扩展性等方面适当超前,以适应未来的发展。通常情况下,核心交换机的扩展能力和性能应当略大于未来几年内网络
18、应用和扩展的要求。稳定压倒一切对于核心交换机而言,对稳定的要求高过对性能的要求。,最佳性价比现在的核心交换机产品中,美国的产品以其性能强劲、运行稳定、功能丰富而著称,只是价格过于昂贵。大陆产品虽然在一些参数上略逊一筹,但是拥有绝对的价格优势,而且像华为的产品具有中文管理界面,方便日常管理。所以笔者建议,如果局域网组建时欲偏重于性能,建议选择Cisco等产品;若较注重价格,则建议选择大陆产品。,核心交换机主要参数,扩展能力插槽数量。插槽用于安装各种功能模块和接口模块。由于每个接口模块所提供的端口数量是一定的,因此插槽数量也就从根本上决定着交换机所能容纳的端口数量。另外,所有功能模块(如管理引擎模
19、块、IP语音模块、扩展服务模块、网络监控模块、安全服务模块等)都需要占用一个插槽,因此插槽数量也就从根本上决定着交换机的可扩展性。模块类型。支持的模块类型(如LAN接口模块、WAN接口模块、ATM接口模块、扩展功能模块等)越多,交换机的可扩展性越强。,转发速率转发速率(也称吞吐量)是指在不丢包的情况下,单位时间内通过的数据包数量。吞吐量指在单位时间内传输无差错数据的能力。就像是立交桥的车流量,是三层交换机最重要的一个参数,标志着交换机的具体性能。如果吞吐量太小,就会造成网络瓶颈,给整个网络的传输效率带来负面影响。,交换机应当能够实现线速交换,即交换速度达到传输线上的数据传输速度,从而最大限度地
20、消除交换瓶颈。对于千兆位交换机而言,若欲实现网络的无阻塞传输,要求:吞吐量(Mpps)=万兆位端口数量14.88 Mpps千兆位端口数量1.488 Mpps百兆位端口数量0.148 8 Mpps,14.88/1.488/0.1488的由来,包转发线速的衡量标准是以单位时间内发送64 B的数据包(最小包)的个数作为计算基准的。再考虑8B的帧头大小,和12B的帧间隙。以千兆位以太网端口为例,其计算方法如下:,1,000,000,000/8/(64+8+12)=1.488Mpps,问题,对于一台拥有24个千兆位端口的交换机而言,其满配置吞吐量应达到多少才能够确保在所有端口均线速工作时,实现无阻塞的包
21、交换?81.488 Mpps=35.71 Mpps,背板带宽带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量,就像是立交桥所拥有的车道的总和。带宽越大,提供给各端口的可用带宽越大,数据交换速度越快;带宽越小,给各端口提供的可用带宽越小,数据交换速度也就越慢。背板带宽决定着交换机的数据处理能力,背板带宽越高,所能处理数据的能力就越强。,若欲实现网络的双全工无阻塞传输,必须满足最小背板带宽的要求。其计算公式如下:,背板带宽=端口数量*端口速率*2,问题,如果一个有176个千兆位端口的交换机,最小背板带宽应该是多少?1761,000,000,0002=352KMpps,四川大学锦城学院
22、,如何合理设计校园网出口?,网络出口设计问题,骨干网技术与架构问题,扩展与升级问题,网络安全问题,出口设备性能不够!出口线路可靠性不够!出口安全性不够!选择路由器还是防火墙?如何设计一个多出口负载分担冗余备份的高性能高安全的网络出口呢?,网络出口设计问题,网络管理问题,网络性能问题,流量控制问题,校园网出口网络选择,CERNET(教育科研网)CHINANET(电信/网通/联通)校园网可采取的接入方式有两种:一是只接入教育科研网,然后采取严格的计费方式,将所发生的国际流量分摊至相应的用户;二是同时接入教育科研网和其他ISP(如中国网通、中国电信等),对教育科研网的访问(包括部分其他免费列表中的I
23、P地址)则路由至CERNET,而对其他网络的访问(如非免费列表中的IP地址)则路由至Internet;从而既保证了对所有网络的快速访问,又能将接入费用降至最低。,就目前的情况来看,绝大多数大学都采用后一种方式实现校园网的出口设计。,第一种出口拓扑设计方案-双路由设计,两台核心交换机分别连接至网络防火墙和路由器,并且在核心交换机设置策略路由,实现Internet访问的分流。同时,实现Internet连接冗余,确保Internet连接的稳定和可靠。,第二种出口拓扑设计方案-双路由设计,如果校园网对Internet连接要求不是很高,同时投入的资金也非常有限,可以采用单路由方案,并在路由器上设置路由策
24、略,以实现对CERNET和Internet的访问。,四川大学锦城学院,校园网络出口设备的选择,高端路由器,高性能防火墙,优点,ASIC实现,NAT、策略路由功能强,对IPv6的支持已经非常好,路由协议支持最完善,线速转发,接口类型丰富,支持多种线路,包过滤、内容过滤、病毒及攻击检测方面优于路由器,四川大学锦城学院,校园网络出口设备的选择,高端路由器,高性能防火墙,不足,价格相对比较高,NAT多采用CPU或NP实现,性能不如ASIC的路由器,在一些新功能方面(如IPv6)开发慢于路由器,路由协议的支持相比路由器支持的协议类型少,容量少,网络接口类型少,CERNET接入路由器,校园网接入CERNE
25、T的用途大多用于图书馆或报刊数据库资料检索,因此,数据流量往往并不大,因此,对路由器的性能要求也不高。通常情况下,可以选择中低端的Cisco 3800系列集成多业务路由器或锐捷RGNPE50系列网络出口引擎。,Internet接入路由器,由于Internet通常采用LAN或城域网接入方式(光纤接入),而且ISP提供的合法IP地址有限,因此,必须采用NAT方式实现IP地址转换,或者采用代理服务器实现Internet连接共享。如果采用NAT地址转换方式,需要选择性能较高的路由器(如Cisco 7200VXR或锐捷)。,事实上,由于采用代理服务器较之路由器拥有更高的性价比,因此,通常采用代理服务器实
26、现Internet连接共享。不过,由于代理服务器的性能有限,而校园网的接入用户众多,所以,必须创建代理服务器群集,以提高处理性能并实现负载均衡。当采用代理服务器实现Internet连接共享时,可以同时充当软件网络防火墙,因此,不必再使用硬件网络防火墙。,双路由代理服务器集群,单路由代理服务器集群,网络防火墙,由于CERNET采取国内流量包月、国际流量按流量计费的方式,所以许多学校都采用两条Internet链路,一条接入CERNET,一条接入城域网。因此,通常也就需要两台网络防火墙,分别置于CERNET路由器的后端和城域网光电收发器的后端。鉴于校园网数据流量较大的情况,建议购置高性能的硬件防火墙。,四川大学锦城学院,校园网络出口方案负载均衡设计,对外服务器群(DMZ),Chinanet1,CERNET,校园网络信息中心,CERNET2,Chinanet2,学生用户区,教学办公科研区,四川大学锦城学院,校园网络出口方案冗余备份设计,对外服务器群(DMZ),RG-S6810E,RG-S6810E,Chinanet1,RG-S6806E,RG-S2916G,CERNET,RG-WALL系列,校园网络信息中心,RSR-08E/M10i,CERNET2,RSR-04E/M7i,Chinanet2,学生用户区,教学办公科研区,校园网总体拓扑图,