1、第1章 局域网设计与构建本章主要内容本章学习目标1.1 确定网络设计目标1.1.1 需求分析1.1.2 工程论证1.1.3 网络设计原则1.2 确定网络设计方案1.2.1 网络标准的选择1.2.2 网络拓扑结构选择1.2.3 建立分级三层设计模型本章主要内容(续)1.2.4 IP地址规划1.2.5 网络布线设计1.2.6 安全设计1.3 网络产品选型1.3.1 网络硬件设备选型1.3.2 网络软件选择1.4 网络的安装、调试与测试1.5 用户培训1.6 工程项目文档习题与思考题一局域网组建的实现过程n在计算机网络的规划与构建过程中,首先应该建立一个“系统”的概念,并遵循一定的技术方法,让这个系
2、统有机地运转起来。n通常要采用系统工程的方法来开展网络规划与实现。考虑到大多数人员从事局域网设计的机会较多,加上现在各个单位建立Intranet时都是先建立一个局域网,再设法将局域网连入广域网以访问Internet,所以本书重点讲解局域网的组建。这里将设计方法规范化,将局域网的实现过程分为如图1-1所示的几个重要步骤。将用户需求作为设计依据,按流程图一步一步设计。图1-1 局域网组建的实现过程确定设计目标提出设计方案网络产品选型网络安装、调试与测试用户培训与文档整理网络拓扑结构选择网络标准选择建立网络分层模型IP子网设计网络布线设备连接与调试需求分析工程论证硬件选型软件选型用户培训文档整理网络
3、布线设计1.1 确定网络设计目标1.1.1 需求分析1用户需求信息的获得n对任何一项工程而言,需求分析总是首要的。在为用户设计一套局域网方案时,首先要弄清楚客户的具体需求,这对方案的设计和设备的选择起着决定性的作用。n用户需求分析首先要进行用户基本情况的调研,获取用户的需求信息。用户的问题往往是实际存在的问题或要求,往往不是用计算机网络的技术语言来表达,这就需要设计人员能够将用户的需求或问题用准确的计算机网络术语描述出来。需求分析的具体事例n以下是一个分析的具体事例,可以观察用户问题与其分析结果表达方式的不同。n用户问题:有很多文件要存储,大家都用。n分析结果:需要一个大容量服务器,估计磁盘容
4、量为XG字节。n用户问题:很多人要同时使用这个软件。n分析结果:需要该软件的多用户版本。n用户问题:应用系统要求可靠性很高,工作不能间断。n分析结果:系统需要作磁盘镜像或双机热备份处理,可以给出不同的性能/价格预算。n在用户需求分析环节中,一般有以下方面的信息需要了解:(1)地理布局。(2)用户设备类型与数量。(3)网络服务。(4)容量和性能。(5)系统兼容。(6)经费预算。(7)其他需求。2需求分析的基本工作基本的用户需求分析工作可按如下步骤进行:(1)现行计算机环境和业务的调查分析,对计算机系统和业务现状进行调查和分析。(2)调查分析和整理用户的需求与存在的问题,研究解决办法,包括对硬件环
5、境和应用软件开发的需求。(3)提出实现网络系统的设想,在需求调查的基础上对系统作概要设计,可以根据不同的要求提出多个方案。(4)计算成本、效益和投资回收期。(5)设计人员内部对所设想的网络系统进行评价,给出多种设计方案的比较。(6)编制系统概要设计书,对网络系统做出分析和说明。用户需求分析的主要结果就是“系统概要设计”,是组网工程的纲要性文件。(7)概要设计的审查,验证基本调研的结果是否与用户的需求一致,重点是对系统概要设计书进行审查。基本调研审查由设计人员、管理人员共同参与。特别是通过质量管理人员的参与来保证整个网络系统的质量。(8)把基本调研情况连同系统概要设计书提交给用户,并做出解释。(
6、9)用户对基本调研的工作和系统概要设计书进行评价,提出意见。(10)研究系统概要书,设计采纳用户意见,对系统概要设计书进行修改,使用户需求分析的工作获得用户的最终认可。用户负责人应在系统概要设计书上签字,表示认可。1.1.2 工程论证1工程论证概述n工程论证是为了弄清所定义的项目是否可能实现和值得进行研究。n在论证过程中需要从经济、技术、运行和法律等诸多方面进行论证,做出明确的结论供用户参考。n在经济方面,需要论证局域网的设计有没有经济效益,花费如何,多长时间可以收回成本。n在技术方面,包括现有技术如何实现这一方案,有没有技术难点,建议采用的技术先进程度怎样,系统有无可扩展性,可满足未来多少年
7、内的增长需求,系统是否有冗余,所提供的稳定性能否满足用户要求。n运行可行性指工程的运行方式是否可行,如工程中有无一定的安全措施可以保证网络的正常运行,系统中有无安全漏洞。n法律可行性指工程的实施会不会在社会上或政治上引起侵权、破坏或其他责任问题。n若经过论证是可行的,则应按照国家制定的有关规定写出系统开发和建设的可行性报告。2可行性报告的撰写(1)可行性研究的前提。(2)现有状况的分析。(3)建议建立的网络系统方案。(4)可供选择的其他网络系统方案。(5)投资与效益分析。(6)社会因素。(7)结论。1.1.3 网络设计原则n要进行计算机网络设计,第一步是根据用户的需求分析,确立计算机网络的设计
8、目标,网络设计目标是建立一个可以满足客户的业务和技术需求的功能完整的网络。一个成功的网络设计要为网络容量留出余地,而且应该采用新技术,能适应网络规模扩大。设计还应该有效地利用现有的资源,保护前期投资。网络设计中遵循原则n针对不同的组织和不同情况,网络设计的目标也不尽相同,但是任何网络设计中都要遵循如下特定的原则:1功能性2可缩放性3可适应性4可管理性5成本有效性n通过需求分析和工程论证,兼顾以上设计原则,整个网络的设计目标也就确定下来了。下一步的工作是针对既定的网络设计目标进行整体网络规划与设计。1.2 确定网络设计方案n建设一个网络并不是一件简单的事,事实上需要具备网络的基本知识,知道局域网
9、络的构成部件。我们把这些知识串连起来,结合用户的需求,便可形成一个设计方案的结构。设计方案的形成,占一个网络工程的30%40%的工作量,剩下的只是付之实现的问题。1.2.1 网络标准的选择1Ethernetn当前应用最广泛的局域网是以太网家族。以太网系列技术是目前局域网组网首选的网络技术。历史上在局域网络中应用过多种网络类型,包括以太网、令牌总线、令牌环等。最后,以太网以低廉的价格、简单的配置、方便的管理成为局域网的事实标准,并占据了90%以上的市场份额,成为校园网、企业网、城域网建设中日益重要的选择。以太网家族包括以下成员:(1)10Mbps以太网。又叫传统以太网,简记为10ME,诞生于20
10、世纪70年代。1983年IEEE正式批准其为第一个以太网工业标准,确定其采用CSMA/CD作为介质访问控制方法,标准带宽是10Mbps。(2)快速以太网(Fast Ethernet,FE)n快速以太网的数据率是100Mbps。快速以太网保留了传统以太网的所有特征,即相同的帧格式、相同的介质访问方法CSMA/CD、以太网相同的组网方法。用户只要更换一张网卡,再配上一个100Mbps的集线器,就可以很方便地由10Base-T以太网直接升级到100Mbps以太网,而不必改变网络的拓扑结构。快速以太网标准又分为100Base-TX、100Base-FX、100Base-T4三个子类。这三个子类分别代表
11、可用于快速以太网的介质类型。其中100代表传输速率为100Mbps,Base代表基带传输。T4代表使用4根双绞线,这4根线是语音级的(三类双绞线);TX指用两根双绞线,这两根双绞线是数据级的(五类双绞线)。FX是光纤。100Base-TX、100Base-FX统称为100Base-X标准。(3)千兆以太网(Gigabit Ethernet,GE)n千兆以太网的数据率是1000Mbps。随着技术的发展,网络分布计算、桌面视频会议等应用对带宽提出了新的要求,同时100Mbps快速以太网也要求主干网、服务器一级有更高的带宽。人们迫切需要更高性能的网络,并且它应该与现有的以太网产品保持最大的兼容性。为
12、此,IEEE提出了千兆位以太网技术。n千兆以太网技术包括两个标准:IEEE802.3z与IEEE802.3ab。n千兆以太网是目前使用最广泛的网络技术,它在速度上比传统以太网快100倍。而在技术上却与以太网兼容,同样使用CSMA/CD和MAC协议,仍保留IEEE802.3标准规定的以太网数据帧格式及最大、最小帧长。千兆以太网最大的优点在于它对现有以太网的兼容性。它首先是用于整个企业的主干网,其次用于服务器组,在桌面机中则很少使用。(4)万兆以太网(10Gigabit Ethernet,10GE)n万兆以太网的数据率是10000Mbps。万兆以太网标准由IEEE802.ae委员会制定,于2002
13、年正式完成。万兆标准意味着以太网具有更高的带宽(10G)和更远的传输距离(最长传输距离可达40km)。万兆标准包括10GBase-X、10GBase-R、10GBase-W三种类型。n万兆以太网并非将吉比特以太网的速率简单地提高10倍,还有许多技术问题要解决。万兆以太网的帧格式与以前的以太网完全相同,还保留了IEEE802.3标准规定的以太网最小、最大帧长,保持了较好的兼容性。由于数据率很高,不再使用铜线而是使用光纤作为传输介质,它使用长距离(超过10km)的光收发器与单模光纤接口,以便能够工作在广域网和城域网的范围。10Gbps以太网也可使用较便宜的多模光纤,但传输距离为65300m。万兆以
14、太网的出现大大扩展了校园/企业网骨干网的带宽,也对简化城域网起到了促进作用。以太网IEEE802.3标准如表1-1所示。10MEIEEE标准物理层标准802.310Base-5802.3a10Base-2802.3i10Base-T802.3j10Base-F批准时间1983年1989年1990年1993年FEIEEE标准物理层标准802.3u100Base-FX802.3u100Base-TX802.3u100Base-T4802.3x&y100Base-T2批准时间1995年1995年1995年1997年GE10GEIEEE标准物理层标准802.3z1000Base-X802.3ab100
15、0Base-T802.3ae10GBase-LR/LW802.3ae10GBase-ER/EW批准时间1998年1998年2002年2002年2FDDInFDDI(Fiber Distributed Data Interface,光纤分布式数据接口)是一个使用光纤作为传输媒体的令牌环形网。它先是在ANSI的标准委员会X3T9.5通过为美国的标准,随后被ISO通过为国际标准ISO 9314。FDDI也常被划分在城域网MAN的范围。FDDI的产品在1988年问世。FDDI主要特性nFDDI主要是用作校园环境的主干网,其主要特性如下:(1)使用基于IEEE802.5令牌环标准的MAC协议,分组长度最
16、大为4500字节。(2)利用多模光纤进行传输,并使用有容错能力的双环拓扑。(3)数据率为100Mbps,光信号码元传输速率为125MBaud。(4)可以安装1000个物理连接(若都是双连接站,则为500个站),最大站间距离为2km(多模光纤),环路长度为100km,即光纤总长度为200km。(5)具有动态分配带宽的能力,故能同时提供同步和异步数据服务。FDDI的自恢复措施nFDDI采取了自恢复措施,可以大大地提高网络的可靠性。这种措施是使用两个数据传输方向相反的环路。在正常情况下,只有一个方向的环路在工作。这个工作的环路叫做主环,而另一个不工作的环路叫做次环(见图2-2(a)。当环路出现故障时
17、,例如,A和B之间的链路断开了(见图1-2(b),那么FDDI可自动重新配置,同时启动次环工作,并在A站和B站将主环和次环接通,使整个网络的4个站点仍然保持连通。当站点出现故障时,例如,站点A不能工作了(见图2-2(c),那么FDDI同样可启动次环工作,并在B站和D站将主环和次环接通,使站点B、C和D保持连通。当出故障的链路或站点修好后,整个FDDI网络又恢复到原来的主环工作状态。图1-2 具有双环的FDDIDCBA次环DCBA主环次环DCBA主环次环(a)正常情况 (b)链路出故障 (c)站点出故障3ATMn异步传输模式ATM(Asynchronous Transfer Mode)是对网络技
18、术的革命性变革,因为ATM对局域网环境中的网络前提作了彻底的改变。在完全的ATM方案中,工作站适配器、交换机以及可能的网络层协议等全部需要更换。ATM是一种非常灵活的技术,适用于从工作组应用到WAN互联网络应用的各种情况。这种技术将提供无缝的网络结构,它可以根据需求基本上无限制地提供带宽。ATM也将成为未来的多服务网络的基础。ATM主要有以下优点:(1)选择固定长度的短信元作为信息传输的单位,有利于宽带高速交换。(2)能支持不同速率的各种业务。(3)所有信息在最低层以面向连接的方式传送,保持了电路交换在保证实时性和服务质量方面的优点。(4)ATM使用光纤信道传输。nATM网络虽然在局域网技术上
19、的应用要比FDDI晚了近10年,但实际上,其应用已有了较成功的范例。进入20世纪90年代以来,ATM在局域网方面异军突起,成为人们最关注的技术之一。虽然ATM拥有众多的优点,但是ATM设备比较昂贵,且能直接支持的应用不多,所以在局域网中很少采用,一般在城域网或国家级主干网上应用。n以上介绍了几种有线局域网可以采用的网络标准,在进行网络设计时可根据需要与具体情况进行选择。当前有线局域网主要使用以太网技术。以太网技术选型比较容易确定,例如,可以按表1-2所示的方式来搭建平台。表2-2 网络标准选择桌面/工作组部门企业普通型以太网(10Base-T)快速以太网(100Base-TX)千兆以太网(10
20、00Base-X)增强型快速以太网(100Base-TX)千兆以太网(1000Base-X)万兆以太网(10GBase-L)4WLAN 802.11系列标准n目前的无线局域网技术的发展非常迅速。无线局域网所采用的802.11系列标准是由IEEE802标准委员会制定的。1990年IEEE802标准化委员会成立IEEE802.11无线局域网标准工作组,最初的无线局域网标准是IEEE802.11,于1997年正式发布,该标准定义了物理层和介质访问控制(MAC)规范。物理层定义了数据传输的信号特征和调制,工作在2.4GHz2.483GHz频段。这一最初的无线局域网标准主要用于难以布线的环境或移动环境中
21、计算机的无线接入,由于传输速率最高只能达到2Mbps,所以,它主要用于进行数据存取的业务。但随着无线局域网应用的不断深入,人们越来越认识到,2Mbps的连接速率远远不能满足实际的应用需求,于是IEEE802标准委员会推出了一系列高速的新无线局域网标准。(1)IEEE802.11b。n在WLAN的发展历史中,真正的WLAN标准是从1999年9月正式发布的IEEE802.11b开始的。该标准规定无线局域网工作频段在2.4GHz2.483GHz,数据传输速率达到11Mbps。该标准是对IEEE802.11的一个补充,采用点对点模式和基本模式两种运作模式,在数据传输速率方面可以根据实际情况在11Mbp
22、s、5.5Mbps、2Mbps、1Mbps的不同速率间自动切换,而且在2 Mbps、1 Mbps速率时与IEEE802.11兼容。IEEE802.11b使用直接序列DSSS(Direct Sequence)作为协议。nIEEE802.11b工作于免费的2.4GHz频段,所以其产品价格非常低廉,采用IEEE802.11b标准的产品已经被广泛地投入市场,在许多领域得到广泛应用。(2)IEEE802.11a。n虽然IEEE802.11b标准的11Mbps传输速率比IEEE802.11的2Mbps有了几倍的提高,但这也只是理论数值,在实际应用环境中的有效速率还不到理论值的一半。为了继续提高传输速率,I
23、EEE802工作小组继续进行下一个标准的开发,就是2001年底发布的IEEE802.11a。nIEEE802.11a标准的工作频段为商用的5GHz,数据传输速率达到54Mbps,传输距离控制在10100m(室内)。IEEE802.11a采用正交频分复用的独特扩频技术,可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口以及TDD/TDMA的空中接口;支持语音、数据、图像业务;一个扇区可接入多个用户,每个用户可带多个用户终端。(3)IEEE802.11g。n虽然IEEE802.11a标准的速度已比较高,但由于IEEE802.11b与IEEE802.11a两个标准的工作频段不一样
24、,相互不兼容,致使一些购买IEEE802.11b标准的无线网络设备在新的IEEE802.11a网络中不能用,于是推出一个兼容两个标准的新标准就成了当务之急。IEEE802工作小组于2003年6月推出了IEEE802.11g。nIEEE802.11g标准拥有IEEE802.11a的传输速率,安全性较IEEE802.11b好,采用两种调制方式,含有IEEE802.11a中采用的OFDM与IEEE802.11b中采用的CCK,做到了两者的兼容。虽然IEEE802.11a较适用于企业,但无线局域网运营商为了兼顾现有IEEE802.11b设备的投资,选用IEEE802.11g的可能性极大。由于IEEE8
25、02.11g标准同样工作于IEEE802.11b标准所用的2.4GHz免费频段,所以采用此标准的无线网络设备同样具有较低的价格。另外,它的传输速率可达到IEEE802.11a标准所具有的54Mbps,而且可根据具体的网络环境采用高速网络传输速率,以达到最佳的网络连接性能。所以说IEEE802.11g标准同时具有两个标准的主要优点,是一个非常具有发展前途的无线网络标准。802.11a+、802.11b+、802.11g+n在一些主流的无线局域网设备厂商中,除了可以见到以上三种标准的产品外,还可能见到诸如802.11a+、802.11b+、802.11g+增强版的产品,其传输速率是在对应的原有标准
26、上翻倍,分别为22Mbps、108Mbps、108Mbps。1.2.2 网络拓扑结构选择n确立网络的拓扑结构是整个网络方案规划设计的基础。网络拓扑结构设计是指在给定节点位置及保证一定可靠性、时延、吞吐量的情况下,服务器、工作站和网络连接设备如何通过选择合适的通路、线路的容量以及流量的分配,使网络的成本降低。n在有线局域网中常用的拓扑结构有总线型结构、环型结构、星型结构、网状结构与树型结构。文件服务器工作站工作站文件服务器工作站工作站主机主机1总线型拓扑结构在总线型拓扑结构中,局域网的各个节点都连接到一个单一连续的物理线路上,如图1-3所示。由于各个节点之间通过电缆直接相连,因此,总线拓扑结构中
27、所需要的电缆长度是最小的。总线型拓扑结构特点n常见使用总线拓扑的局域网有Ethernet、ARCnet和Token Bus。总线型拓扑结构的一个重要特征就是可以在网中广播信息。网络中的每个站几乎可以同时收到每一条信息。这与下面要讲到的环型网络形成了鲜明的对比。n总线型拓扑结构最大的优点是价格低廉,用户站点入网灵活。另一个优点是某个站点失效不会影响到其他站点。但它的缺点也很明显,由于共用一条传输信道,任一个时刻只能有一个站点发送数据,而且介质访问控制比较复杂。总线型结构网是一种针对小型办公环境的成熟而又经济的解决方案。2环型拓扑结构n环型拓扑结构中,连接网络中各节点的电缆构成一个封闭的环,如图1
28、-4所示,信息在环中必须沿每个节点单向传输,因此,环中任何一段的故障都会使各站之间的通信受阻。所以在某些环型拓扑结构中,如FDDI,在各站点之间连接了一个备用环,当主环发生故障时,由备用环继续工作。环型结构适用两种场合环型结构在以下两种场合比较常见:一是工厂环境中,因为环网的抗干扰能力比较强;二是有许多大型机的场合,采用环型结构易于将局域网用于大型机网络中。3星型拓扑结构n在星型拓扑结构中,网络中的各节点都连接到一个中心设备上,由该中心设备向目的节点传送信息,如图1-5所示。星型拓扑结构方便了对大型网络的维护和调试,对电缆的安装检验也相对容易。由于所有工作站都与中心节点相连,所以,在星型拓扑结
29、构中移动某个工作站十分简单。Hub4网状拓扑结构n网状拓扑是一种无规则的连接方式,在网状结构中,每个节点均可与任何节点相连,如图1-6所示。网状拓扑结构特点n这种连接方式不经济,只是每个站点都要频繁发送信息时才使用这种方法。它的安装也复杂,但系统可靠性好、容错能力强,有时也称为分布式结构。n在网状拓扑网络中,节点间路径多,碰撞问题、阻塞问题大大减少,信息流的动态分配和路由的动态选择可以优化信息的传输;且不会因某一个局部的网络故障而影响整个网络的正常工作,可靠性高;结构优化,能通过流量分析,利用图的连通性理论,达到以最小的通信线路代价获得最高的连通性。而网状拓扑也同样存在缺点,它的网络关系复杂,
30、建网较困难,而且路由选择、网络管理等技术也相对复杂。5树型拓扑n当局域网的规模比较大,而且网络覆盖的单位存在行政或业务隶属关系时,一般采用树型拓扑结构组网。树型拓扑是星型拓扑的一种变型,它将原来用单独链路直接连接的节点通过多级处理主机进行分级连接,如图1-7所示。LAN Switch树型拓扑结构特点n树型拓扑结构的特点如下:(1)在局域网中存在主干通信介质和分支通信介质。(2)计算机和网络设备之间的连接存在分级关系,连接关系呈树状。6WLAN的拓扑结构n在无线局域网WLAN中,主要的网络结构只有两类:(1)无AP(Access Point)的Ad-Hoc模式。Ad-Hoc对等WLAN模式仅适用
31、于数量较少的计算机无线互联(通常在5台主机之内)。但由于这一模式没有中心管理单元,所以这种网络在可管理性和扩展性方面受到一定的限制,连接性能也不是很好。而且各无线节点之间只能单点通信,不能实现交换连接,就像有线网络中的对等网一样。这种无线网络模式通常只适用于临时的无线应用环境,如小型会议室、SOHO家庭无线网络等。它是独立的,不需要与其他网络连接,其网络拓扑结构如图2-8所示。当然实际上还是可以通过第二块网卡与其他有线网络连接的,通常是在台式机上进行。(2)基于AP的Infrastrucure结构。n这种基于无线AP的基础结构模式其实与有线网络中的星型拓扑相似,其中的无线AP相当于有线网络中的
32、交换机,起着集中连接的作用。在这种结构中,除了需要像在Ad-Hoc对等结构中一样在每台主机上安装无线网卡外,还需要一个AP接入设备,俗称“AP访问点”。这个AP设备就是用于集中连接所有无线节点并进行集中管理的。一般无线AP还提供了一个有线以太网接口,用于与有线网络、工作站和路由设备的连接。这种基础结构网络如图1-9所示。拓扑结构图 AP图1-8 无AP的Ad-Hoc拓扑结构图1-9 基于AP的Infrastructure拓扑结构复合型拓扑结构n目前,一个网络往往并非以单一拓扑结构出现,在一个实际网络中,可能是上述多种网络拓扑结构的混合。在一些庞大复杂的应用系统中,有时需要将各种拓扑结构的局域网
33、连接在一起而结合成复合型的拓扑结构。比如,拓扑结构可以以“层次+网状结构(ATM的多路由、快速以太网的冗余线路备份)”的形式出现,通常采用主干网加子网(LAN)结构进行设计。子网由交换/集线设备,上连主干网络下连用户计算机,远程用户通过终端访问服务器与系统相连。1.2.3 建立分级三层设计模型n在网络设计中,没有一种设计方法可以适合所有的网络。网络设计技术非常复杂而且更新很快。Cisco提出了网络设计方法学,使用分级三层模型建立整个网络的拓扑结构。这种设计模型有时也称为结构化设计模型(Hierarchical Network Design Model)。在分级三层模型里,网络可以划分为核心层(
34、Core Layer)、分布层(Distribution Layer)、接入层(Access Layer),如图1-10所示。图1-10 分级三层设计模型接入层(access)分布层(distribution)核心层(core)n对应于网络拓扑,每一级都有一组各自不同的功能。通过采用分级方法,可以用分级设计模型建立非常灵活和可缩放性极好的网络。n分级三层设计模型既可应用于局域网,也可应用于广域网、城域网。我们不要拘泥于每一层到底是什么,而把它看作是一种化整为零的设计思想,各个层次既相对独立又相互关联,在具体实施时,可以把重点放在解决某一层次的问题上,由此把复杂的问题简单化。n在三层拓扑结构中,
35、通信数据被接入层导入网络,然后被汇聚层聚集到高速链路上流向核心层。从核心层流出的通信数据被汇聚层发散到低速链路上,经接入层流向用户。n在分层网络中,核心层处理高速数据流,其主要任务是数据的交换;汇聚层负责聚合路由路径,收敛数据流量;接入层负责将流量导入网络,执行网络访问控制等网络边缘服务。分层结构规划网络拓扑遵守的基本原则n按照分层结构规划网络拓扑时,应遵守以下基本原则:(1)网络中因为拓扑结构改变而受影响的区域应被限制到最小程度。(2)路由器(及其他网络设备)应传输尽量少的信息。n下面以园区网络设计为例来讲解分级三层结构法的使用。图1-11给出了一个简单的园区网分级模型。1核心层n核心层是园
36、区网的主干部分。主要目的是尽可能快地交换数据。核心层不应该涉及费力的数据包操作或者减慢数据交换的处理。应该避免在核心层中使用像访问控制列表和数据包过滤之类的功能。核心层主要负责以下几项工作:n提供交换区块间的连接。n提供到其他区块的访问。n尽可能快地交换数据帧或数据包。图1-11 园区网三层分级模型Si核心层分布层接入层Sin核心层一般采用高端交换机。对核心交换要求能提供线速多点广播转发和选路,以及用于可扩展的多点广播选路的独立于协议的多点广播协议。而且还要求所选用的核心交换机保证能提供园区网主干所需要的带宽和性能。2分布层n分布层也叫汇聚层,是网络接入层和核心层之间的分界点。该分层提供了边界
37、定义,并在该处对潜在的费力的数据包操作进行处理。在园区网环境中,分布层能执行众多功能,其中包括:nVLAN聚合。n部门级和工作组接入。nVLAN间的路由。n广播域或组播域的定义。n介质转换。n安全。n总之,分布层可以被归纳为能提供基于策略的连通性的分层。它可将大量接入层过来的低速链路通过少量高速链路导入核心层,实现通信量的聚合。同时,分布层可屏蔽经常处于变化之中的接入层对相对稳定的核心层的影响,从而可以隔离接入层拓扑结构的变化。3接入层n接入层是直接与用户打交道的层次,接入层的基本设计目标包括三个:n将流量导入网络。n提供第2层服务,比如基于广播或MAC地址的VLAN成员资格和数据流过滤。n访
38、问控制。n需要提出的是,VLAN的划分一般是在接入层实现的,但VLAN之间的通信必须借助于分布层的三层设备才得以实现。n由于接入层是用户接入网络的入口,所以也是黑客入侵的门户。接入层通常用包过滤策略提供基本的安全性,保护局部网免受网络内外的攻击。n接入层的主要准则是能够通过低成本、高端口密度的设备提供这些功能。相对于核心层采用的是高端交换机,接入层就是“低端”设备。我们常称之为工作组交换机或接入层交换机。因为园区网接入层往往已到用户桌面,所以有人又称为桌面交换机。网络设计并非必须三层划分n上面介绍了一个典型园区网的三层划分情况,但需要注意的是,并不是所有网络都具有这三层,并且每一层的具体设备配
39、置情况也不一样。比如当网络很大时,核心层可由多个冗余的高端交换机组成,如图1-12所示;又比如当构建超级大型网络时,该网络可以进行更进一步的划分,整个网络分为四级,分别为核心层、骨干层、分布层及接入层;相反地,当网络较小时,核心层可能只包含一个核心交换机,该设备与汇聚层上所有的交换机相连;如果网络更小的话,核心层设备可以直接与接入层设备连接,分层结构中的汇聚层被压缩掉了,如图1-13所示。显然,这样设计的网络易于配置和管理,但是其扩展性不好,容错能力差。Si核心层分布层接入层Si核心层接入层图1-13 核心层与接入层连接图1-12 核心层采用冗余高端交换机分级设计模型的指导准则如下:n选择最合
40、适需求的分级模型。边界作为广播的隔离点,同时还作为网络控制功能的焦点。n不要使网络的各层总是完全网状的。n不要把终端工作站安装在主干网上。n通过把80%的通信量控制在本地工作组内部,从而使工作组LAN运行良好。1.2.4 IP地址规划nIP地址的合理分配对网络管理起到重要作用。IP地址分配需要遵守一定的规则。1体系化编址n体系化其实就是结构化、组织化,以企业的具体需求和组织结构为原则对整个网络地址进行有条理的规划。规划的一般过程是从大局、整体着眼,然后逐级由大到小分割、划分。最好在网络组建前配置一张IP地址分配表,对网络各子网指出相应的网络ID,对各子网中的主要层次指出主要设备的网络IP地址,
41、对一般设备指出所在的网段。各子网之间最好还列出与相邻子网的路由表配置,表1-3是一个示例。表1-3 IP地址编址示例子网网络ID服务器地址路由器地址客户机网段子网1192.168.1.0192.168.1.1192.168.1.5192.168.1.10192.168.1.11192.168.1.254子网2192.168.2.0192.168.2.1192.168.2.5192.168.2.10192.168.2.11192.168.2.254子网3192.168.3.0192.168.3.1192.168.3.5192.168.3.10192.168.3.11192.168.3.254n从
42、网络总体来说,体系化编址的原则是使相邻或者具有相同服务性质的主机或办公群落都在IP地址上连续,这样在各个区块的边界路由设备上便于进行有效的路由汇总,使整个网络的结构清晰,路由信息明确,也能减小路由器的路由表。每个区域的地址与其他的区域地址相对独立,也便于灵活管理。2持续可扩展性n这里所说的可扩展性就是在初期规划时为将来的网络拓展考虑,眼光要放得长远一些,在将来很可能增大规模的区块中要留出较大的余地。nIP地址最开始是按有类划分的,A、B、C各类标准网段都只能严格地按照规定使用地址。但现在发展到了无类阶段,由于可以自由规划子网的大小和实际的主机数,所以使得地址资源的分配更加合理,无形中就增大了网
43、络的可拓展性。虽然在网络初期的一段可能很长的时间里,未合理考虑余量的IP地址规划也能满足需要,但是当一个局部区域出现高增长或整体的网络规模不断增大,这时不合理的规划就很可能必须重新部署局部甚至整体的IP地址,这在一个中、大型网络中就绝不是一个轻松的工作了。nIPv4仍是现行的IP协议,其地址通常是以圆点分隔号的4个十进制数字表示,每一个数字对应于8个二进制的比特串。在早期的分类的IP地址时代,IP地址分为两部分(网络号,主机号)。网络地址分为A、B、C、D、E五类。A类地址中4个8位位组中第一个位组代表网络号,剩下的3个位组代表主机位,首字节范围是1127。B类地址的前两个字节代表网络号,剩下
44、的两个字节代表主机位,首字节范围是128191。C类地址的前3个字节代表网络号,剩下的1个字节代表主机位,首字节范围是192223。D类地址为多播地址,E类地址为保留地址,专门供实验用。n除此之外,还有一些特殊的IP地址,如IP地址127.0.0.1为本地回环测试地址,255.255.255.255为广播地址;IP地址0.0.0.0代表任何网络;网络号全为0的代表本网络或本网段;网络号全为1的代表所有的网络;主机位全为0的代表某个网段的任何主机地址;主机位全为1的代表该网段的所有主机。n随着网络的发展,出现了划分子网的IP地址。用来标识网络号位数的便是子网掩码,它用于辨别IP地址中哪部分为网络
45、地址,哪部分为主机地址,是由连续的1和连续的0组成的32位地址。划分子网可以将原有的A、B、C类网段进行进一步的划分,而原来的A、B、C三类地址分别对应的子网掩码称为默认子网掩码,全1位数分别为8、16、24位。n而现在,无类别的IP地址得到广泛使用,子网掩码变为“掩码”可以自由划分网络位和主机位,完全打破了A、B、C这样的固定类别划分,如192.168.10.32/28,它的掩码是255.255.255.240,最后一个字节是11110000,也就是只剩4位为主机位,前28位为网络位。由于192.*.*.*属于C类地址,24位掩码,也就是说多用了4位作为网络位。使用这样的子网掩码可得到2x-
46、2(x代表多占的掩码位)个子网,这里减掉的两个是主机位全0和全1的地址。这样本来一个C类子网被划分成为多个可用的小子网。n如果网络中使用的路由选择协议支持VLSM(变长子网掩码),就可以使用真正的分级寻址设计方法。在TCP/IP中,可以在核心层使用8位子网掩码,在分布层使用16位子网掩码,而在接入层使用24位子网掩码。在分级设计中认真分配地址可以实现路由选择表中路由的有效汇总。n当使用分级地址设计来实现IP地址分配时,可以实现网络的可缩放性和稳定性要求。使用该模型的网络可以增长到容纳数千个节点而且具有非常高的稳定性。3按需分配公网IPn相对于私有IP而言,公网IP不能由自己设置,而是由ISP等
47、机构统一分配和租用的。这就造成了公网IP要稀缺得多,所以对公网IP必须按实际需求分配。如:对外提供服务的服务器群组区域,不仅要够用,还要预留出余量:而员工部门仅需要浏览Internet等基本需求的区域,可以通过NAT来多个节点共享一个或几个公网IP;最后,那些只对内部提供服务,或只限于内部通信的主机自然不用分配公网IP。具体的分配必须根据实际的需求进行合理的规划。当然,如果企业内部网络不与外网连接,则不用申请就可以利用公网IP地址,如A、B类地址,这样的网络所连接的用户比C类网络大许多,可以满足一些大中型企业的网络规划需求。n另外,由于现在的IPv4网络正在向IPv6过渡,将来很可能出现一段很
48、长的IPv4和IPv6共存的时期,所以现在构建网络时尽量考虑到对IPv6的兼容性,选择能支持IPv6的设备和系统,以降低升级过渡时的成本。4静态和动态分配地址的选择n首先,动态分配地址由于地址是由DHCP服务器分配的,便于集中化统一管理,并且每个新接入的主机通过非常简单的操作就可以正确获得IP地址、子网掩码、默认网关、DNS等参数,在管理的工作量上比静态地址要减少很多,而且越大的网络越明显。而静态分配地址就正好相反,需要先指定好哪些主机要用到哪些IP,绝对不能重复,然后再去客户机上逐个设置必要的网络参数,并且当主机区域迁移时,还要记住释放IP,并重新分配新的区域IP和配置网络参数。这需要一张详
49、细记录IP地址资源使用情况的表格,并且要根据变动实时更新,否则很容易出现IP冲突等问题。n其次,动态分配IP地址可以做到按需分配,当某个IP地址不被主机使用时,能释放出来供别的新接入主机使用,这样可以在一定程度上高效地利用好IP资源。DHCP的地址池只要能满足同时使用的IP峰值就可以。静态分配必须考虑更大的使用余量,很多临时不接入网络的主机并不会释放掉IP,而且由于是临时性的断开和接入,手动释放和添加IP等参数明显是受累不讨好的工作,所以这时必须考虑使用更大的IP地址段,确保有足够多的IP资源。n最后,动态分配要求网络中必须有一台或几台稳定且高效的DHCP服务器,因为当IP管理和分配集中的同时
50、,故障点也相应集中起来了,只要网络中的DHCP服务器出现故障,整个网络都有可能瘫痪,所以在很多网络中DHCP服务器不止一台,而是另有一台或一组热备份的DHCP服务器,在平时还可以分担地址分配的工作量。另外,客户机在与DHCP服务器通信时,如地址申请、续约和释放等,都会产生一定的网络流量,虽然不大,但还是要考虑到。而静态分配就没有上面的这两个缺点,而且静态地址还有一个最吸引人的优点就是比动态分配更容易定位故障点。n到底何种情况使用动态分配,何种情况使用静态分配呢?肯定要按实际的网络结构和需求来考虑,其中最重要的一个决定因素应该是网络规模的大小,这直接决定了网络管理的工作量。简单地说,大型企业和远