1、需求分析说明书需求分析说明书(目录目录)供参考供参考1项目综述(项目来源、范围、投资规模、时间等)2客户基本信息2.1单位组织结构(组织结构图)2.2部门管辖范围(机构、业务)2.3主要业务描述(教学、科研、人事、外事、招生、就业、后勤)2.4主要联系人员3客户商业目标3.1商业目标3.2失败后果4网络应用需求(使用网络应用需求表)表头:应用名称应用类型重要性新增应用注1:网络应用名称可参考教材P27、28页的40种参考名称注2:网络应用类型可参考教材P88表4-1中除“网络控制”、“呼叫信令”外的其余10种类型。5网络性能与非性能特征需求5.1网络性能需求带宽、时延、时延抖动、响应时间,(高
2、性能网络:丢包率、利用率、效率、往返时间)5.2网络非性能特征需求安全性、可管性、可用性、可扩展性。6项目的制约因素协议、标准、设备制造商等方面的约束,预算,客户的技术能力,。3.3 IP寻寻址设计址设计IP地址回顾地址回顾n园区网通常是多个LAN(以太网)的互联,通常为Intranet,使用TCP/IP。nIPv4发展回顾1)1)标准分类标准分类IPIP地址地址:IP地址由网络号与主机号组成标准分类IP地址中包括了特殊的IP地址:n直接广播地址:主机号全1n受限广播地址:网络号和主机号均为全1(32位全1)n“本网络上的特定主机”地址:网络号全0n回送地址(loopback address)
3、:127.0.0.02 2)划分子网)划分子网 划分子网技术的要点如下:n三级层次的IP地址:网络号(net ID)子网号(subnet ID)主机号(host ID)。n同一个子网中所有的主机必须使用相同的子网号。n子网的概念可以应用于A类、B类和C类中任意一类的IP地址中。n子网之间的距离必须很近。n分配子网是一个单位或机构内部的事情,无需向ICANN(互联网名称与数字地址分配机构,一个非营利性国际组织)申请,也不需要改变任何外部数据库。n在Internet的文献中,一个子网也称作一个IP网路或一个网路。n子网掩码英文名称subnet mask3 3)无类域间路由()无类域间路由(CIDR
4、CIDR):又叫超网技术又叫超网技术 无类域间路由(CIDR)技术的特点主要有以下两点:nCIDR使用区别于传统标准分类IP地址与划分子网概念的“网络前缀(network prefix)”,代替“网络号+子网号”,形成新的无分类的二级地址结构,即IP地址表示为+。nCIDR将网络前缀相同的连续的IP地址组成一个“CIDR地址块”。4 4)网络地址转换()网络地址转换(NATNAT)技术)技术n预留的专用(私用)IP地址n专用IP地址与全局IP地址的映射n地址重叠(内用唯一,外用重叠)nNAT方法也引起了一些问题 qNAT违反了IP地址结构模型的设计原则qNAT使得IP协议从面向无连接变成了面向
5、连接qNAT违反了基本的网络分层结构模型的设计原则qNAT使得有些应用程序出现问题qNAT同时存在对高层协议和安全性的影响问题IPv6地址回顾地址回顾1)IPv6地址主要特征地址主要特征 新的协议格式,巨大的128位地址空间,有效的分级寻址和路由结构,地址自动配置,内置的安全机制和更好地支持QoS服务。2)IPv6地址分类地址分类单播地址、多播地址、任播地址3)IPv6地址内嵌地址内嵌IPv4地址的地址的2种方式种方式 IPv4兼容地址和IPv4映射地址。3.3.2 IP编编址设计址设计n考虑到未来的扩展,在园区网IP地址设计时主要以易管理为主要目标。n园区网中的DMZ区或Internet出口
6、区有少量设备使用公网IP地址,园区内部则使用专网IP地址。IP寻址设计要点寻址设计要点园区网IP编址方案首先应明确是采用公用地址、专用地址,还是公用与专用地址的混合使用;若全部采用公用地址,当所需公用地址数量较多时可向APNIC(亚太互联网络信息中心)申请公用IP地址,一般为C类地址。否则可向ISP进行申请,一般为满足用户需要大小的CIDR地址块。由于园区网一般都会与Internet或WAN互联,园区网通常是申请少量公用地址并在园区网内部主要使用专用地址,并配合NAT实现内部专网地址的主机访问公网时的专用地址与公用地址之间的转换,NAT对外需要一个公网地址;当采用混合地址时,为便于识别和管理,
7、专用地址宜采用标准分类地址+(多级)子网掩码+NAT的编址方案,也可采用CIDR。若全部采用公用地址且申请到的是C类地址,宜用标准分类地址+(多级)子网掩码的方案。3.3.3 DHCP设计设计当园区网存在下列情况时,需采用DHCP进行动态IP地址的动态配置:n主机数量较多、配置静态IP地址的工作量较大;n经常使用笔记本电脑访问园区网;n部门间人员变动较频繁;n提高网管效率。DHCP基本架构 DHCP基本架构说明n在园区数据中心(或服务器区)设置独立的DHCPServer;n在汇聚层网关部署DHCPRelay指向DHCPServer,使其能为整个园区网统一分配地址;nDHCP在园区内一般通过VL
8、AN分配地址。DHCP设计要点设计要点n每个DHCP网段应保留部分静态IP供服务器等设备使用。n固定IP地址段和动态分配IP地址段都应保持连续。n按照业务区域进行DHCP地址的划分,便于统一管理及问题定位。n若DHCP服务器故障将得不到必要的IP地址,导致设备无法正常工作。为保障高可靠性,应配置冗余的DHCP或全部使用静态IP地址。4.3.4 DNS设计设计nDNS服务器可分为3种类型(1)Master服务器(主服务器)主服务器作为DNS的管理服务器,可以增加、删除、修改域名,修改的信息可以同步到Slave服务器。(2)Slave服务器(从服务器)从服务器从主服务器获取域名信息,采用多台服务器
9、形成集群的方式,统一对外提供DNS服务。(3)Cache服务器(缓存服务器)缓存服务器用于缓存内部用户的DNS请求结果,加快后续的访问。一般部署在Slave服务器上。4.3.4 DNS设计设计nDNS服务器的IP地址(1)Master服务器的IP地址一般配置1台,采用私网地址。(2)Slave服务器的IP地址一般配置2台从服务器,分配私网地址,并在负载均衡器上分配一个虚拟的企业内网地址。4.3.4 DNS设计设计nInternet域名地址设计(2种方法)(1)在防火墙上做NAT映射,把Slave服务器的虚拟地址映射为一个公网IP地址,用于外部Internet用户的访问。(2)在链路负载均衡设备
10、上通过智能DNS为外部Internet用户提供服务。DNS可靠性设计(1)众多内部用户发送DNS请求,被均匀分担到SlaveDNS1和DNS2。当SlaveDNS1服务器故障所有的DNS请求被分发给SlaveDNS2。最后DNS服务器必须与外部DNS通讯。(2)Master服务器,建议放置在DMZ区域,并在同区内部建立SlaveDNS服务器。如只对内提供服务的DNS服务器,可以作为二级的DNS服务器,放入其他非DMZ区域。(3)当所有的SlaveDNS都故障后,用户发送的DNS请求无响应。用户就切换到备DNS,由MasterDNS处理所有的请求。园区DNS设计示意图3.4第二层设计 3.4.1
11、 第二层技术 3.4.2 第二层网络设备 3.4.3 第二层设计要点n园区网的物理网络实际上就是以太网,一般都是交换型以太网。n具体的网络工程采用何种以太网及相关技术,正是网络设计人员需要考虑解决的问题。1)第二层技术转发技术(1)存储转发方式(Store-and-Forward)(2)直通转发方式(Cut-through)(3)无碎片转发(FragmentFree)2)第二层技术破环技术网络环路n产生产生:在由交换机构成的交换网络中通常为可靠性而设计有冗余链路和设备,虽然冗余设计能消除单点故障,但也导致了交换回路的产生。n后果后果:一旦交换网络存在环路就会造成数据包在环路内不断循环和增生,甚
12、至造成广播风暴,导致网络堵塞。n破环破环:在交换型网络中必须避免出现环路,一般是通过在交换机中内置的破环协议实现的。破环协议STP系列协议nSTP系列协议:STP(生成树协议,IEEE802.1d)RSTP(快速生成树协议,IEEE802.1w)MSTP(多生成树协议,IEEE802.1s)STP协议(生成树协议)nSTP通过动态生成没有环路的逻辑树达到断开物理环路的目的,并且当线路出现故障,阻塞的端口被激活从而起到备份线路的作用。nSTP最大的缺点是当网络拓扑发生变化,需要较长的时间(协议默认值是15秒)才能消除新网络拓扑中可能的环路,而在这期间存在2个转发端口,导致出现临时环路。RSTP(
13、快速生成树协议)nRSTP是从STP发展出来的,其实现的基本思想一致,这种协议在网络结构发生变化时,能更快地收敛网络(最快1秒以内)。nRSTP和STP在同样环境下计算出的最终拓扑是一致的,只是它们的步骤和达到收敛所需时间不同。MSTP(多生成树协议)nMSTP协议把RSTP算法扩展到多生成树,这为VLAN提供了快速收敛和负载均衡的功能,是VLAN标记协议IEEE802.1q的扩展协议。nMSTP的目的是既能够实现同一台交换机内运行不同STP算法的协议,同时又考虑到可以将相同属性的VLAN归纳成组,在一个VLAN组内采用单一的STP算法。破环协议RRPP(华为)(RapidRingProtec
14、tionProtocol)nRRPP是一个专门应用于以太网环的二层协议,该协议提供最快50毫秒的性能。RRPP协议报文采用硬件广播转发,而非STP的逐跳处理。n与STP协议相比,RRPP协议有如下特点:(1)拓扑收敛速度快,收敛时间最小可达50毫秒。(2)收敛时间与环网上节点数无关,与网络规模无关。3)虚拟局域网技术虚拟局域网技术VLAN的作用:nVLAN是将交换型LAN内的设备逻辑地划分为若干独立网段,从而实现在一个交换型LAN内隔离广播域以及用户之间的安全隔离。n当网络规模越来越庞大时,局部网络出现的故障会影响到整个网络,VLAN的出现可以将网络故障限制在VLAN范围内,增强了网络的健壮性
15、。nVLAN的类别(1)用户VLAN(2)VoiceVLAN(3)GuestVLAN(4)MulticastVLAN(5)管理VLANn用户VLAN用户VLAN即普通VLAN,也就是通常所说的VLAN,是用来对不同端口进行隔离的一种手段。VLAN通常根据业务需要进行规划,需要隔离的端口配置不同的VLAN,需要防止广播域过大的地方配置VLAN用于减小广播域。nVoiceVLANVoiceVLAN是为用户的语音数据流划分的VLAN,用户通过创建VoiceVLAN并将连接语音设备的端口加入VoiceVLAN,可以使语音数据集中在VoiceVLAN中进行传输,便于对语音流进行有针对性的QoS配置,提高
16、语音流量的传输优先级,保证通话质量。nGuestVLAN网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN(即GuestVLAN),用户访问该VLAN内的资源不需要认证,只能访问有限的网络资源。用户从处于GuestVLAN的服务器上可获取802.1x客户端软件,升级客户端或执行其他应用升级程序(例如:防病毒软件、操作系统补丁程序等)。认证成功后,端口离开GuestVLAN加入用户VLAN,用户可以访问其特定的网络资源。nMulticastVLANMulticastVLAN即组播VLAN,组播交换机运行组播协议时需要组播VLAN来承载组播流。组播VLAN主要是用来解
17、决当客户端处于不同VLAN中时,上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。管理VLANn管理VLAN是网络管理专用的网络,用以保障网管工作的安全性。管理VLAN中通常包括以下端口和站点:a.网络设备的网管端口;b.服务器的远程管理端口;c.被管设备提交SNMP协议数据包的端口;d.网管工作站。nVLAN可根据多种原则组合划分:(1)按照逻辑区域划分VLAN范围例如:核心网络区:100199服务器区:200999,预留10001999接入网络:20003499业务网络:35003999(2)按照地理区域划分VLAN范围例如:接入网络A的地理区域使用20002199接入网络B的地理区域使用22002399(3)按照人员结构划分VLAN范围例如:接入网络A地理区域A部门使用20002009接入网络A地理区域B部门使用20102019(4)按照业务功能划分VLAN范围例如:Web服务器区域:200299APP服务器区域:300399DB服务器区域:400499