第一章網絡規劃與設計第一章網絡規劃與設計目錄項目1網絡規劃與設計知識1項目2網絡IP地址規劃與分配2項目3網絡規劃與設計實訓項目3項目4網絡規劃設計項目訓練4目錄項目1網絡規劃與設計知識1項目2網絡IP地21.1項目背景

某公司為了實現對內部員工的上網行為進行管理，在公司內部架設一臺Cisco安全訪問控制服務器，它可以在用戶訪問Internet時對用戶進行認證和授權，并通過路由器的IOS認證代理功能控制員工訪問Internet。1.1項目背景某公司為了實現對內部員工的上網3一網絡規劃與設計

1.1網絡規劃與設計知識

1.1.1對網絡規劃與設計的理解

隨著計算機網絡的發展，越來越多的人對網絡的依賴程度逐步增加。而網絡組建的規劃與設計的相關知識是計算機網絡組建的基礎，關系到計算機網絡各個方面的應用。

網絡工程是一項復雜的系統工程，涉及技術問題、管理問題等，必須遵守一定的系統分析和設計方法。實施網絡工程的首要工作就是要進行規劃，深入細致的規劃是成功構建網絡的一半。缺乏規劃的網絡必然是失敗的網絡。其穩定性、擴展性、安全性、可管理性沒有保證。通過科學合理的規劃能夠用最低的成本建立最佳的網絡，達到最高的性能，提供最優的服務。Page

4一網絡規劃與設計

1.1網絡規劃與設計知識

1.14

1.1.2網絡結構規劃與設計的原則與方法

一般來說，在工程設計前對主要設計原則進行選擇和平衡，并排在其他設計方案中的優先級，對網絡工程的設計和規劃具有指導意義。網絡建設原則要體現對用戶網絡技術和服務上的全面支持。這些原則應該以用戶為中心，包括下面幾個方面。

1、可靠性原則

2、可擴展性原則

3、可運營性原則

4、可管理原則

5、實用性原則

6、安全性原則

7、先進性

Page

5

1.1.2網絡結構規劃與設計的原則與方法

一般51.1.3網絡結構規劃與設計相關理論知識

1、網絡規劃的主要步驟

實施網絡工程的首要工作就是要進行規劃，深入細致的規劃是成功構建網絡的一半。缺乏規劃的網絡必然是失敗的網絡，其穩定性、擴展性、安全性、可管理性沒有保證。通過科學合理的規劃能夠用最低的成本建立最佳的網絡，達到最高的性能，提供最優的服務，對業務需求、網絡規模、網絡結構、管理需要、增長預測、安全要求、網絡互聯等指標給出盡可能明確的定量或定性分析和估計。

(1)需求分析

需求分析是從軟件工程和管理信息系統引入的概念，是任何一個工程實施的第一個環節，也是關系到一個網絡工程成功與否的最重要砝碼。

⑵

綜合布線系統

綜合布線系統是網絡工程的基礎工程，它是一種模塊化的、靈活性極高的建筑物內或建筑群之間的信息傳輸通道。綜合布線符合樓宇管理自動化、辦公自動化、通信自動化和計算機網絡化等多種需要，能支持文本、語音、圖形、圖像、安全監控、傳感等各種數據的傳輸，支持光纖、UTP、STP、同軸電纜等各種傳輸介質，支持多用戶多類型產品的應用，支持高速網絡的應用。有關這方面的內容將在第4章詳述。

⑶

設備選型

在完成需求分析、網絡設計與規劃之后，就可以結合網絡的設計功能要求選擇合適的傳輸介質、集線器、路由器、服務器、網卡、配套設備等各種硬件設備。硬件設備選型應遵從以下原則：必須綜合考慮網絡的先進合理性、擴展性和可管理性等要素；設備要既具有先進性，又具有可擴展性和技術成熟性。

Page

61.1.3網絡結構規劃與設計相關理論知識

1、網絡規劃的6⑷

系統軟件及應用系統

目前國內流行的網絡操作系統有WindowsServer2019/2019、Linux(RedHat、Ubuntu)、UNIX等，它們的應用層次各有不同。UNIX主要應用于高端服務器環境，其操作系統的安全性能級別高于其他操作系統。UNIX通常被用在系統集成的后臺，用于管理數據服務。系統集成前臺或者一般的局域網環境可采用Linux和WindowsServer2019/2019等網絡操作系統，選用哪種操作系統，還要根據用戶的應用環境來確定。另外，還要根據網絡操作系統及相關應用環境來選擇數據庫系統等系統軟件。

⑸

投資預算

網絡投資預算包括硬件設備、軟件購置、網絡工程材料、網絡工程施工、安裝調試、人員培訓、網絡運行維護等所需的費用。需要仔細分析預算成本，考慮如何滿足應用需求，又要把成本降到最低。

⑹

工程實施步驟

根據用戶的網絡應用需求和用戶投資情況，分期分批制定網絡基礎設施建設和應用系統開發的工作安排。

⑺

培訓方案

計算機網絡是高新技術，建設單位不一定有足夠的技術人員。為了讓用戶能夠管理好、使用好計算機網絡系統，在設計方案時，必須列出詳細的網絡管理與維護人員的技術培訓計劃。

⑻

測試與驗收

網絡系統的測試與驗收是保證工程質量的關鍵步驟。測試與驗收包括開工前的檢查、施工過程中的測試與驗收以及竣工測試與驗收3個階段。通過各個階段的測試與驗收，可以及時發現工程中存在的問題，并由施工方立即糾正。測試與驗收一般由用戶方、設計方、施工方和第三方人員組織。Page

7⑷系統軟件及應用系統

目前國內流行的網絡操作系統有Wind7

2、系統集成的含義

計算機網絡系統集成(ComputerNetworkSystemIntegration)通過結構化的綜合布線系統和計算機網絡技術，將各個分離的設備(如個人計算機)、功能和信息等集成到相互關聯的、統一和協調的系統之中，使資源達到充分共享，實現集中、高效、便利的管理。系統集成應采用功能集成、網絡集成、軟件界面集成等多種集成技術。

系統集成，從字面上講就是將各功能部分綜合、整合為統一的系統。系統集成的應用含義要遠遠大于字面上的含義。系統集成包含以下5大要素：

(1)客戶行業知識要求對客戶所在行業的業務、組織結構、現狀、發展，有較好的理解和掌握。

(2)應用系統模式和技術解決方案以系統的高度為客戶需求提供應用的系統模式，以及實現該系統模式的具體技術解決方案和運作方案，即為用戶提供一個全面的系統解決方案。

(3)產品技術對原始廠商提供的產品的技術掌握系統集成商自有研發產品，包括應用系統軟件的開發。

(4)項目管理對項目銷售、售前、工程、售后服務過程的統一的進程和質量的管理。

(5)服務隨著行業的健康發展和規范化，系統服務的質量已逐漸成為重要參考點。Page

8

2、系統集成的含義

計算機網絡系統集成(Computer8

3、系統集成的重要內涵

⑴

應用集成

系統集成首先要做到的是應用集成。應用集成就是系統集成商要深入地了解用戶的實際需求，協助用戶進行系統可行性分析、需求分析、總體方案設計、數據庫組織管理等，對用戶的需求重點、歷史情況、行業特點及投資預算都需有一個完整的了解，并將這些信息有機地體現在系統集成方案中。

⑵

產品功能集成

在應用集成的基礎上，為保證用戶的應用在有限資金預算內得以順利實現，系統集成商需給出一個完整的軟硬件產品清單，從型號、功能、價格到選擇理由都需有清楚的說明，并且最好是有過使用該類產品的實際經驗。系統集成商會有很多的選擇，但不管如何配置，必須遵循兩條原則，下限是用戶的需求完全滿足，上限是在有限的資金預算內。在這個范圍內系統集成商之間就設備及價格的競爭才是有意義的。

⑶

技術集成

一張設備采購清單不等于系統集成。對用戶的需求及設備的技術支持，是技術集成。一個系統集成商真正的技術也就是技術集成。用戶最終需要的不是看設備的陳列，而是看系統的良好運轉。

因此，一個好的系統集成商應該能向用戶提供全面的應用集成、產品功能集成及技術集成服務。Page

9

3、系統集成的重要內涵

⑴應用集成

系統集成首先要做到的91.1.4網絡結構規劃與設計相關實踐知識

1、局域網設計

以太網技術是目前局域網設計的主要選擇。當然在一些特殊場合還可能用到FDDI、ATM或者幾種技術的混合應用。網絡技術的發展比較迅速，所以，在進行局域網設計時要注重以后網絡升級時還能夠使用現有的網絡技術和產品，否則將會帶來極大的資金浪費。

以太網技術就實現了技術的平滑升級。目前使用的有10Mb/s、100Mb/s、1Gb/s、10Gb/s的以太網4種。一般來說，目前連接桌面的網絡大多是100Mb/s以太網，關鍵是網絡主干的選擇，應根據用戶的計算機及網絡的應用水平、業務需求、技術條件和費用預算等，選擇合理的以太網技術，目前校園網絡的主干技術大多已選擇10Gb/s以太網技術，從而形成10Gb/s-1Gb/s-100Mb/s的分層網絡結構。Page

101.1.4網絡結構規劃與設計相關實踐知識

1、局域網設計102、網絡的層次化結構設計

大型網絡的設計是把整個計算機網絡劃分為核心層、匯聚層、接入層。

圖1網絡層次劃分

Page

112、網絡的層次化結構設計

大型網絡的設計是把整個計算機網絡劃11接入層：通常將網絡中直接面向用戶連接或訪問網絡的部分稱為接入層。接入層目的是允許終端用戶連接到網絡，提供了帶寬共享、交換帶寬、MAC層過濾和網段劃分等功能。同時優先級設定和帶寬交換、接入控制等優化網絡資源的設置也在接入層完成。

匯聚層：位于接入層和核心層之間的部分稱為分布層或匯聚層。匯聚層網絡組件完成了數據包處理、過濾、尋址、策略增強和其他數據處理的任務。

核心層：網絡主干部分稱為核心層。核心層的主要目的在于通過高速轉發通信，提供可靠的骨干傳輸結構，因此核心層交換機應擁有更高的可靠性，更快速率的鏈路連接技術，并且能快速適應網絡的變化。Page

12接入層：通常將網絡中直接面向用戶連接或訪問網絡的部分稱為接入12

3、地址分配設計

在網絡規劃中，IP地址方案的設計至關重要，好的IP地址方案不僅可以減少網絡負荷，還能為以后的網絡擴展打下良好的基礎。具體內容我們在“網絡IP地址規劃與分配”中有詳細介紹。

(1)IP地址分配和管理應遵循的原則

①

唯一性

②

可記錄性

③

可聚集性

④

節約性

⑤

公平性

⑥

可擴展性

(2)IP地址的劃分方法

①

根據地理范圍進行劃分，為在地理上屬于同一范圍的所有子網分配共同的網絡前綴。

②

根據組織范圍進行劃分，為屬于同一組織的所有團體分配共同的網絡前綴。

③

根據服務類型進行劃分，為預定義好的服務(如：VoIP，QoS等)分配特定的網絡前綴。Page

13

3、地址分配設計

在網絡規劃中，IP地址方案的設計至關重要13

4、網絡性能設計

網絡性能設計的目標是使網絡系統能夠滿足用戶應用對網絡各個方面的需求。為了避免網絡建成后可能出現的各種性能問題，網絡的可靠性和冗余在設計中都要考慮周到。冗余設計有以下幾種方法：

(1)增加線路、設備、部件，形成備份

硬件容錯方法之一是硬件堆積冗余，在物理級可通過元件的重復而獲得。另一個硬件容錯的方法叫待命儲備冗余。該系統中共有M＋1個模塊，其中只有一塊處于工作狀態，其余M塊都處于待命接替狀態。一旦工作模塊出了故障，立刻切換到一個待命模塊，當換上的儲備模塊發生故障時，又切換到另一儲備模塊，直到資源枯竭。

(2)數據備份

為了更有效地利用信息，通常把常用的信息放在聯機的硬盤或磁盤陣列等設備上，組成聯機的資料庫，把不常用的、但有時又要檢索的信息，放在聯機的后備設備如磁帶庫、光盤庫上。而大量的長時間不使用的信息，則保存在脫機介質上脫機備份。

(3)雙機容錯系統

系統的容錯結構能夠提供系統連續運行的能力，任何單點故障不會引起系統停機。雙機容錯系統的一個CPU板出現故障時，其他CPU板保持繼續運行，這個過程對用戶是透明的，系統沒有受到絲毫影響，更不會引起交易的丟失，充分保證數據的一致性和完整性。

(4)三機表決系統

在三機表決系統中，3臺主機同時運行，由表決器根據3臺機器的運行結果進行表決，有兩個以上的機器運行結果相同，則認定該結果為正確。現在三機系統中較多采用的是將雙機備份和三機表決兩者結合起來的方式，當三機中壞掉一臺后就當作雙機備份系統來用。

(5)集群系統

均衡負載的雙機或多機系統就是集群系統(Clusting)。多服務器集群系統的主要目的是使用戶的應用獲得更高的速度、更好的平衡和通信能力，而不僅僅是數據可靠性很好的備份系統。Page

14

4、網絡性能設計

網絡性能設計的目標是使網絡系統能夠滿足用145、網絡安全設計

網絡安全設計主要體現在4個方面：重要信息的保密性設計、網絡系統的安全性設計、數據安全設計、病毒防護設計。

圖2計算機群集管理系統

Page

155、網絡安全設計

網絡安全設計主要體現在4個方面：重要信息的15⑴

信息保密設計

在網絡操作系統或防火墻中建立網絡CA系統，構建基于PKI的鑒別及證書系統，為應用安全系統提供鑒別和證書及密鑰分發等基本安全服務，設置口令加密傳輸和對重要數據進行鏈路層數據加密措施。

在服務器設置監測和自動恢復功能，并建立審計記錄，提供針對用戶網絡操作的監視和統計，對用戶身份和活動進行審計，對信息資源的訪問進行控制及計費等。

在網絡交換及路由設備中設置三層交換協議，即路由功能，對不同網絡區域的用戶和不同網段的用戶進行身份和權限設置，對信息資源的訪問進行級別控制。

⑵

網絡系統的安全設計

要解決外部網的用戶對系統的威脅，內部網用戶對系統的泄密等問題?？梢赃M行如下安全設計：

安全策略的制定、實施及修改

抵御非法用戶對局域網的攻擊

控制內部用戶對外部的訪問

對網絡傳輸的信息內容的檢查

軟硬件防火墻的設置

遠程用戶帳號和數據加密傳輸，以防外人竊取

⑶

數據安全設計

網絡控制中心服務器的性能好壞直接關系到網絡信息訪問速度及數據文件的安全。對數據安全部分采用雙機熱備份、磁盤冗余陣列(RAID)、磁帶機備份等多種手段，確保數據的安全。

雙機熱備份可采用雙機雙控的服務器集群技術，保障操作系統及數據系統平臺的高可靠性、高安全性、高可用性、抗災難性。

⑷

病毒防護設計

為了防止病毒對系統安全的威脅，選用性能優越的網絡版殺毒軟件負責內部網絡系統服務器及單機的病毒防護、查殺工作。同時利用防火墻的設置對病毒的入侵進行有效的防范。Page

16⑴信息保密設計

在網絡操作系統或防火墻中建立網絡CA系統，166、網絡操作系統的選擇

在選擇網絡操作系統需要較為嚴格的安全保密等。

下面給出幾種網絡操時，首先要分析系統未來運行的應用程序：是簡單短小的，還是龐大復雜的；系統是否作系統的特點：

⑴BanyanSystem公司的VINES(VirtualNetWorkingSystems)

美國BanyanSystem公司的產品，其特點是安裝及管理簡單，可靠性高。支持對稱多處理技術，充分利用硬件處理能力，速度快。對于一臺服務器上的并發用戶和打開文件的數目沒有限制，支持多服務器，與WAN具有極強的聯網能力。VINES的技術特色已得到廣大用戶的認可，但還存在一定的局限性：多種平臺的可移植性差、容錯能力不足、與其他PC操作系統的集成能力較低、所占市場份額較小。

⑵Microsoft的WindowsServer2019/2019

WindowsServer2019/2019的特點是：硬件的獨立性較強，網絡操作系統能在不同的硬件平臺上運行；具有強大的管理特性，如系統備份、容錯性能控制等。

WindowsServer2019/2019是一個高性能的客戶/服務器應用平臺，支持多種網絡協議，具有Cz級安全性，具有目錄服務功能；通過域(domain)的概念來對用戶資源進行控制，并提供簡單的方法來控制用戶對網絡的訪問；具有良好的用戶界面，支持多窗口操作；具有自動再連接特性，即當服務器從故障中恢復正常時，能重新建立與工作站的通信。WindowsServer2019/2019對硬件的要求較高，所占的內存較大。Page

176、網絡操作系統的選擇

在選擇網絡操作系統需要較為嚴格的安全17

⑶Novell公司的NetWare

NetWare是一個真正的網絡操作系統，而不是其他操作系統下的應用程序。它直接對微處理器編程，因而伴隨著最新的微處理器一起發展，充分利用微處理器的高性能，從而達到高效的服務。

NetWare的特點是支持各種硬件，支持多種網絡平臺的互聯，如DOS、OS/2、Windows、Macintosh等具有廣泛的網絡互聯性能。Novell提供內橋、外橋、遠程橋等多種互聯選件，從而將具有相同或不同的網絡接口卡、不同協議和不同拓撲結構的網絡連接起來。另外還具有出色的容錯特性，NetWare提供一、二、三級容錯。整體系統的保密、安全性好。NetWare4.0以后的版本提供的目錄服務，將更好地支持多服務器網絡，實現單一的全局的系統管理。

⑷UNIX

UNIX是一個多用戶、多任務的操作系統。UNIX已發展為兩個重要的分支，一分支是AT&T公司的UNIXSystemV，在微機上主要采用該版本；另一分支是UNIX伯克利版本(BSD)，主要運行于大、中型機上。

UNIX操作系統可以運行在從PC到超級計算機的非常廣泛的服務器平臺上，并支持網絡文件系統(NFS)和提供數據庫應用。局域網操作系統能夠運行在UNIX環境的服務器上，許多基于UNIX系統的計算機廠家擁有功能強大、升級方便的服務器系列，隨著UNIX廠家的聯合，將使UNIX網絡服務器平臺在今后的市場上更加引人注目。

Page

18

⑶Novell公司的NetWare

NetWare是一個18

1.2網絡IP地址規劃與分配

1.2.1教學目標

通過本項目的學習，掌握網絡設備配置時IP地址方案的規劃、分析與制定。

1.2.2工作任務

某大學IP管理規劃案例

一個大型網絡的IP地址管理結構設計要充分考慮，否則很容易引起整個網絡地址重新設計和部署。這不僅會引起長時間的停機，而且還會在重新編址階段引起不穩定，這會花掉很多的人力和財力。

使用子網劃分技術，大部分網絡能夠獲得較好的地址規劃。但在大型網絡中，由于網絡的數量與主機的數量比例不平衡，這里就需要可變長的子網掩碼（VLSM）技術作為規劃的依據。Page

19

1.2網絡IP地址規劃與分配

1.2.1教學目標

19

1、網絡規劃需求

某職業院校的網絡ID為/16，此次IP規劃分配任務首先需要保留一半的地址空間供將來使用。另外，學校共有15個分學院，每個學院可能包含2000臺主機和不同用途的服務器，為此需要將網絡再劃分出為子網。

當然，不能規范每個學院的分配方案，因此，需要為其中一所學院創建8個可擁有250個主機的子網，其他學院可參照這個模板執行。Page

20

1、網絡規劃需求

某職業院校的網絡ID為180.29.20

2、VLSM技術分析

嚴格按照TCP/IP中的A、B、C、D定義給IP地址分類的環境下，全0和全1網段都不讓使用，這種環境叫做基于類的IP。在這種環境下，子網掩碼只在所定義的路由器內有效，掩碼信息無法傳遞到其他路由器。如RIPv1版本，它在做路由廣播時根本不帶掩碼信息，收到路由廣播的路由器因為無從知道這個網絡的掩碼，只好照標準TCP/IP的定義賦予它一個掩碼。

子網劃分的原始用途之一是將基于類的網絡細分為一系列同等大小的子網。例如，對B類網絡進行4位子網劃分后，會生成16個同等大小的子網?；陬惖木W絡或無類別的網絡中可以存在不同大小的子網，這一規則正好適合現實世界中的環境。因為在現實網絡中包含的主機數量不同，所以需要使用不同大小的子網來避免IPv4地址浪費的現象。從IPv4網絡創建和部署不同大小子網的做法叫做可變長度子網劃分，這種技術使用可變前綴長度，又叫做可變長度子網掩碼（VariableLengthSubnetMask，VLSM）。Page

21

2、VLSM技術分析

嚴格按照TCP/IP中的A、B、C21

3、任務實施

假定你是該學校的網絡管理員，網絡ID為/16，任務如下。

保留地址：需要保留一半的地址空間供將來使用。

分配各個學院地址：有15個子網供各個學院使用，每個學院可能包含2000臺主機和不同用途的服務器。

創建IP地址模板：為其中一所學院創建8個可擁有250個主機的子網，其他學院可參照執行。

⑴

保留地址任務

為了達到保留一半地址空間供將來使用這一要求，應當對網絡進行1位的子網劃分。這種子網劃分生成了2個子網/17和/17，將地址空間平均分成了兩部分。可以選擇/17作為保留的那一部分地址空間的網絡，從而滿足上述要求。Page

22

3、任務實施

假定你是該學校的網絡管理員，網絡ID為1822

⑵

各學院地址分配

為了達到擁有15個子網，每個子網有大約2000個主機這一要求，對子網網絡/17執行4位子網劃分，地址前綴變為21。第2次子網網劃分生成了16個子網。

/21、/21…/21和/21，每個子網可擁有多達2046個主機。可以選擇15個子網（從/21~/21）作為分院校的子網，從而完成了第二個任務。表2列出了這15個子網網絡地址，其中每個子網可擁有多達2046個主機。Page

23

⑵各學院地址分配

為了達到擁有15個子網，每個子網有23

⑶

創建地址分配模板

為達到創建8個可擁有250個主機的子網模板要求，需要對子網/21進行3位的子網劃分。第3次子網劃分會生成8個子網。

/24、/24…/24和/24，每個子網可擁有254個主機?？梢赃x擇所有8個子網，從/24~/24，作為網絡地址分配給單個子網，從而完成整個任務。表3列出了8個子網，其中每個子網可擁有254個主機。

當然，每個學院的內部還有可能對250臺主機再次進行可變長子網掩碼的操作，如劃分VLAN等。此次IP規劃任務完成情況可以根據圖3看到這次子網劃分的流程圖。

圖3子網劃分流程圖

Page

24

⑶創建地址分配模板

為達到創建8個可擁有250個主機的子241.2.3相關知識

在IP地址規劃中有些IP地址是不能被配置到網絡設備接口使用的，這些IP地址是網絡地址和廣播地址。另外，這家公司屬于典型的小型網絡，機器數量一般在50臺以下，我們需要根據網絡的規模考慮IP地址的分配與管理。Page

251.2.3相關知識

在IP地址規劃中有些IP地址是不能被25

1、確定合法地址

網絡中第一個不能使用的地址就是網絡地址。網絡地址用于表示網絡本身，主機位部分為全“0”的IP地址代表一個特定的網絡。網絡地址對于網絡通信數據量的控制非常重要，位于同一網絡中的主機必然具有相同的網絡號，它們之間可以直接相互通信。而網絡號不同的主機之間則不能直接進行通信，必須經過第3層網絡設備（如路由器）進行轉發。Page

26

1、確定合法地址

網絡中第一個不能使用的地址就是網絡地址。26如圖4的示例，上半部分的框架中表示網絡。從局域網外部看，任何發往該網絡主機~54的數據，目的網絡都是，只有數據到達上半部分的框架（局域網）時，才能進行主機位的匹配。下半部分的網絡編號用表示，數據進行比對的情況也是相同。

網絡中第二個不能使用的地址是廣播地址（BroadcastAddress）。它用于向網絡中的所有設備廣播分組，具有正常的網絡號部分，主機號部分為全“1”的IP地址代表一個在指定網絡中的廣播，被稱為廣播地址。

廣播地址對于網絡通信同樣重要。在計算機網絡通信中，經常會出現對某一指定網絡中的所有機器發送數據的情形，如果沒有廣播地址，源主機就要對所有目的主機啟動多次IP分組的封裝與發送過程。

圖4網絡地址的與尋址Page

27如圖4的示例，上半部分的框架中表示網絡7除了網絡標識地址和廣播地址之外，其他一些包含全“0”和全“1”的地址格式也是保留地址。圖5中標明了這些特殊地址的用途。

圖5

特殊的保留地址Page

28除了網絡標識地址和廣播地址之外，其他一些包含全“0”和全“128

2、選擇專用IP地址

Internet的穩定直接取決于網絡地址的唯一性。這個工作最初由InterNIC（Internet網絡信息中心）來分配IP地址，現在已被IANA（Internet地址分配中心）取代。IANA管理著剩余IP地址的分配，以確保不會發生公用地址重復使用的問題。

⑴

公用IP地址

公用IP地址在Internet上是唯一的，因為公用IP地址是全局的和標準的，所以沒有任何兩臺連到公共網絡的主機擁有相同的IP地址。所有連接Internet的主機都遵循此規則，公用IP地址是從Internet服務供應商（ISP）或地址注冊處獲得的。如果需要到Internet的直接（路由）連接，則必須使用公用地址；如果需要到Internet的間接（代理或轉換）連接，則可以使用公用地址或專用地址。Page

29

2、選擇專用IP地址

Internet的穩定直接取決于網絡29

⑵

私有IP地址

隨著Internet的發展，各個連接到Internet的組織需要為每臺設備的每個接口獲取一個公用地址。每個網絡接口都需要有一個公有IP地址是不可能的，至少在IPv4版本中。這一需求對公用地址池提出了很高的要求，A、B、C類地址的總數滿足不了全世界所有網絡設備的標識。Internet設計者注意到了這個問題，所以保留了IPv4地址空間的一部分供內部地址使用。IANA提供了一個為專用網際網絡保留網絡ID地址的方案，以下這些網絡ID是內部網絡中可任意部署的：

網絡地址池，子網掩碼為

。

網絡地址池，子網掩碼為

。

網絡地址池，子網掩碼為

。Page

30

⑵私有IP地址

隨著Internet的發展，各個連接到I30

3、地址轉換技術

有一種情況需要特別注意，如果公司網絡沒有以任何方式連接到Internet，則可以使用任何IP地址。但如果這家公司網絡需要連接到Internet，所以應當使用公用地址或地址轉換技術，以防止非法IP地址暴露在公網之上使得使用私有IP的計算機也可以接入Internet。

為了讓使用私有IP地址的計算機能夠訪問Internet，必須使用網絡地址轉換（NAT）和路由。NAT使您能夠把使用專用IP地址的客戶端計算機連接到使用公共IP地址的Internet。這需要有兩個接口來隔離本地網絡和Internet網絡。這兩個接口是必需的，因為兩個網絡之間的請求必須通過路由器服務或設備進行傳送。當路由器接收到請求時，它在兩個接口之間轉發這些請求。NAT服務幫助從源網絡到目標網絡，把IP地址轉換成正確的地址。Page

31

3、地址轉換技術

有一種情況需要特別注意，如果公司網絡沒有31

4、IP地址配置方法

⑴

手工分配

手工設置的IP地址為靜態IP地址，在沒有重新配置之前，計算機將一直擁有該IP地址。因此，既可以據此訪問網絡內的某臺計算機，也可以據此判斷計算機是否已經開機并接入網絡。不過，默認網關必須是計算機所在的網段中的IP地址，而不能填寫其他網段中的IP地址。

⑵

自動分配

動態主機配置協議（DynamicHostconfigurationProtocol，DHCP）提供了自動的TCP/IP配置。DHCP服務器為其客戶端提供IP地址、子網掩碼和默認網關地址等各種配置。網絡中的計算機可以通過DHCP服務器自動獲取IP地址信息。DHCP服務器維護著一個容納有許多IP地址的地址池，并根據計算機的請求而出租。DHCP是Windows默認采用的地址分配方式。Page

32

4、IP地址配置方法

⑴手工分配

手工設置的IP地址為靜32

5、確定IP規劃方案

在局域網內部的IP地址分配中，小型網絡可以選擇私有地址段，大中型企業由于網絡設備眾多，有的可以達到上萬臺，那么則可以選擇或地址段。

有些企業剛剛起步，所以在連接Internet的網絡帶寬不是很大，而且也沒有太多的網絡業務往來。因此，可購買一個價格比較低廉的路由器，使用NAT技術將所有客戶端共享上網，隱藏內部網絡的結構，實現比較簡單的安全防火墻作用。

IP地址配置要分別對待，文件服務器需要手工配置，這樣所有用戶都可以隨時訪問到這個靜態IP地址，而其他客戶端采用路由器上的DHCP功能，自動獲得IP。Page

33

5、確定IP規劃方案

在局域網內部的IP地址分配中，小型網33

1.3網絡規劃與設計實訓項目

1.3.1校園網

1、用戶需求分析

校園網的建設目的是給老師和學生提供相應的網絡服務。在公共區域，比如教學樓、宿舍樓等位置為老師和學生提供上網服務。而且在校園網上為學生提供FTP，郵件服務及資訊Web服務；還要方便老師和學生進行學習方面的交流，分享學習資料，老師為學生布置作業，學生上傳作業，增加學生的課余時間娛樂方式等。

在網絡搭建的過程中需要對網絡進行VLAN的劃分，從而減小廣播風暴的影響，保證教室、辦公室的網絡安全性。為方便IP地址配置，在整個網絡中實現IP的自動分配等基本功能。一個基本的校園網具有以下的特點：高速的局域網連接；信息結構多樣化；安全可靠；經濟實用。

校園內各建筑互連形成園區主干；各建筑物內再擴展面向用戶的局域網。園區主干連接為1000Mbps，建筑物內部的用戶局域網提供到桌面的100Mbps網絡帶寬。Page

34

1.3網絡規劃與設計實訓項目

1.3.1校園網

134

校園網應以寬帶IP網為目標，具有數據、語音、圖形、圖像等多種信息媒體傳遞功能，具備性能優越的資源共享功能。校園網主干傳輸帶寬應達到1000Mbps要求，樓宇之間千兆連接。建設校園網的同時必須考慮網絡安全、資源共享和帶寬的要求。校園網建設的具體需求：

（1）學院采用1000Mbps做骨干，100Mbps到桌面。

（2）校園網內具有WWW服務器、FTP服務器、DNS服務器，用于提供一些培訓中常用的資料下載，網絡管理等。

（3）校園網采用路由器+防火墻結構進行接入，網絡互聯設備包括交換機、路由器、線纜、及其他設置。其中防火墻是路由器的內置防火墻。

（4）所有教室各自劃分VLAN，各系辦公室各自劃分VLAN，行政辦公室為一個VLAN，各宿舍為一個VLAN，服務器組為一個VLAN。

（5）做好路由器與防火墻之間的安全通信工作，防止搭線竊聽，IP盜用。

（6）選擇客戶機TCP/IP配置的最佳方案，以最大限度的減少IP地址的沖突和管理員的工作量，采用B類私有IP地址進行局域網內部IP地址分配。Page

35

校園網應以寬帶IP網為目標，具有數據、語音、圖形、圖像等多35

2、拓撲結構設計

校園網的拓撲結構基本上是混合型的，它是由星型、總線型等典型拓撲結構組成，在現代網絡結構化布線工程中多采用星型結構，主要用于同一樓層，由各個房間的計算機間用者交換機連接產生的，它具有施工簡單，擴展性高，成本低和可管理性好等優點；而校園網在分層布線主要采用樹型結構；每個房間的計算機連接到本層的交換機，然后每層的交換機在連接到本樓出口的交換機或路由器，各個樓的交換機或路由器再連接到校園網的通信網中，由此構成了校園網的拓撲結構。

目前的校園網大多數是純三層的交換網絡。由于交換機都具有三層功能，匯聚層一般已經可以與接入層歸納為一個層次。各樓層和各樓之間的交換設備都直接上連到核心設備上。

校園網簡明拓撲圖如下所示。其中校園局域網以三層交換機為交換核心，即網絡中心，下設二層交換機若干，如圖中所示兩臺交換機進行模擬，形成匯聚層。匯聚層交換機用作模擬校園中各個樓宇的網絡節點，在同一個樓宇，如教學樓、學生宿舍樓中依據需求劃分VLAN，隔離網絡風暴，提升網絡安全性和效率。

Page

36

2、拓撲結構設計

校園網的拓撲結構基本上是混合型的，它是由36

圖6校園網簡明拓撲圖Page

37

圖6校園網簡明拓撲圖Page37373、IP地址方案

IP地址規劃如下表所示：

Page

383、IP地址方案

IP地址規劃如下表所示：

Page3384、設備選型

設備選型如下表所示：

Page

394、設備選型

設備選型如下表所示：

Page3939Page

40Page40401.3.2企業網

1、用戶需求分析

某企業現有300個點，需要建設一個網絡以實現該企業內部的相互通信和與外部的聯系，通過該網絡提高企業的發展和企業內部辦公的信息化、辦公自動化。該企業有15個部門，則需要讓這15個部門能夠通過該網絡訪問互聯網，并能實現部門之間信息化的合作。所以該網絡的必須體現辦公的方便性、迅速性、高效性、可靠性、科技性、資源共享、相互通信、信息發布及查詢等功能，以作為支持企業內部辦公自動化、供應鏈管理以及各應用系統運行的基礎設施。

該網絡是一個單核心的網絡結構，采用典型的三層結構，核心、匯聚、接入。各部門獨立成區域，防止個別區域發生問題，影響整個網的穩定運行，若某匯聚交換機發生問題只會影響到某幾個部門，該網絡使用vlan進行隔離，方便員工調換部門。

核心交換機連接三臺匯聚交換機對所有數據進行接收并分流，所以該設備必須是高質量、功能具全，責任重大，通過高速轉發通信，提高優化的，可靠的傳輸結構。核心層應該盡快地交換分組。該設備不承擔訪問列表檢查、數據加密、地址翻譯或者其他影響的最快速率分組的任務。

匯聚層交換機位于接入層和核心層之間，該網絡有三臺匯聚層交換機分擔15個部門，能幫助定義和分離核心。該層的設備主要目的是提供一個邊界的定義，以在其內進行分組處理。該層將網絡分段為多個廣播域。該問控制列表可以實施策略并過濾分組。匯聚層將網絡問題限制在發生問題的工作組內，防止這些問題影響到核心層。該層的交換機運行在第二層和第三層上。

接入層為網絡提供通信，并且實現網絡入口控制。最終用戶通過接入層訪問網絡的。作為網絡的“前門”，接入層交換機使用訪問列表以阻止非授權的用戶進入網絡。

Page

411.3.2企業網

1、用戶需求分析

某企業現有300個點412、拓撲結構設計

企業網絡拓撲結構圖如下：

圖7企業網絡拓撲結構

Page

422、拓撲結構設計

企業網絡拓撲結構圖如下：

421.3.3政府上網

1、用戶需求分析

某政府機關總部在市中心某區域，分部在另一區域，分部和總部之間一條線路連接，在總部和分部間運行OSPF。在使用網絡過程中經常出現由于線路故障導致網絡中斷的情況，為了實現分部與總部之間的高可用性，所以希望在分部的網絡中通過配置VRRP，實現通過兩條線連接到總公司，兩條線路互為備份。

設計要求：

建立總部和分部之間網絡高效穩定。

鏈路可實現遇到故障自動切換。

具有完善的網絡安全機制。

Page

431.3.3政府上網

1、用戶需求分析

某政府機關總部在市432、拓撲結構設計

拓撲結構如下圖所示

圖8政府上網拓撲圖

Page

442、拓撲結構設計

拓撲結構如下圖所示

443、IP地址方案

Page

453、IP地址方案

Page45454、設備選型

路由器

寬帶路由器：銳捷網絡RG-NBR3000

傳輸速率：10/100/1000Mbps

端口結構：非模塊化

廣域網接口：3個

局域網接口：5個

防火墻：內置防火墻

網絡安全：徹底ARP防攻擊

防機器狗病毒

防內網攻擊/外網攻擊

支持安全地址綁定

網絡管理：中文WEB配置管理和監控

支持SNMPv1/v2、CLI、TFTP升級和配置文件管理Page

464、設備選型

路由器

寬帶路由器：銳捷網絡RG-NBR30046

交換機

三層智能交換機：銳捷網絡RG-S2928G-E

傳輸速率：10/100/1000Mbps

端口數量：28個

背板帶寬：208Gbps

VLAN：支持4K個802.1QVLAN

網絡管理：SNMPv1/v2C/v3CLI

包轉發率：51Mpps

端口結構：非模塊化

交換方式：存儲-轉發

QOS：支持端口流量識別

安全管理：支持IP、MAC、端口

端口描述：24個10/100/1000M自

控制端口：1個USB接口

Page

47

交換機

三層智能交換機：銳捷網絡RG-S2928G-E

傳471.3.5無線局域網

1、用戶需求分析

盡管擁有臺式機和筆記本電腦的學生越來越多，但是學生宿舍往往只提供2個信息點，當宿舍內的計算機數量越來愈多時，如果重新實施布線，不僅花費較多，而且連接非常不方便。特別對筆記本電腦，學生要頻繁出入教室、圖書館和宿舍，不斷插拔網線，非常麻煩，還容易造成網卡接口的損壞。所以，在學生宿舍網實現無線補充就成為最便捷、最節約、最可行的方式。

Page

481.3.5無線局域網

1、用戶需求分析

盡管擁有臺482、拓撲結構設計

學生宿舍網的拓撲圖如下所示：

圖9學生宿舍網

Page

492、拓撲結構設計

學生宿舍網的拓撲圖如下所示：

493、IP地址方案

無線網絡控制器

服務接口IP地址：

管理地址：01

管理接口DHCP服務器地址：

APManager地址：03

無線AP

地址從DHCP服務器獲取

Page

503、IP地址方案

無線網絡控制器

服務接口IP地址：19504、設備選型

無線AP

室內AP：

無線AP必須選擇同一廠商、同一標準、同一型號的產品。（不同區域的無線漫游可以選擇不同的標準和型號）

Aironet1000系列1130AG

室外AP：

Aironet1240AG

無線網絡控制器

Cisco4400系列的無線局域網控制器適用于大中型機構

4402型號：兩個千兆位以太網端口，其配置可支持12、25和50個接入點

一個擴展插槽

支持一個可冗余電源

Page

514、設備選型

無線AP

室內AP：

無線AP必須選擇同一廠商511.4網絡規劃與設計項目練習

某公司要進行企業網絡改造，根據下面介紹的情況，給出網絡改造的規劃與設計方案。

網絡情況如下：

舊廠網絡現狀：

舊廠核心交換機為Cisco4006-S3三層路由交換機。Cisco4006-S3交換機上配置1塊WS-X4306-GB用于連接Cisco2950接入交換機；配置1塊WS-X4232-GB-RJ模塊和1塊WS-X4148-RJ模塊用于網絡中心及本樓層信息點的接入。

Cisco2950接入交換機通過單路光纖鏈路與核心Cisco4006-S3交換機進行連接。在用的網絡為單星型網絡結構。

原網絡配置1臺Cisco3640路由器作為廣域網接入連接設備。Cisco3640上配置了1塊NM-1FE1W-V2和1塊NM-2FE2W-V2模塊用于各專線的接入。一個倉庫與舊廠間采用HDSLDDN長途專線進行連接；舊廠與單位所在系統專網間采用光纖+LAN方式進行連接，通訊采用EIGRP動態路由協議。Page

521.4網絡規劃與設計項目練習

某公司要進行企業網絡改造，52

新廠網絡架構：

新廠區是一個全新的在建的園區，包括新的綜合辦公樓、聯合工房和廠房輔區。

新的網絡中心將定位于綜合辦公樓4層。

為了保證生產的順利進行，網絡采用全網雙冗余鏈路的雙星型網絡拓撲設計。

生產最重要的五個中控：1車間中控室、2車間中控、物流中控室、三層中控和能源動力中心，建設中需要重點考慮。牽涉到生產的關系，五個中控原有的配置盡量少改動。

聯合工房和廠房輔區相對集中，分別在這兩個地方設置一個匯聚中心。隸屬聯合工房和廠房輔區的接入交換機分別接入相應的匯聚中心。

考慮申請電信光纖+LAN專線作為新廠區的互聯網接入方式，相應的應考慮其安全設備。為加速互聯網的訪問速度，還需考慮內容緩存設備，圖11所示。

原有的省專網和國家衛星網也應該考慮相應的安全接入方式。

新廠區建設牽涉到舊廠區設備的依次遷移。舊廠區將繼續保持網絡運作直到新廠區網絡建設完全正常為止。

新舊廠區很長一段時間保持同步運作，所以，應盡量保留舊廠區的網絡規劃、IP地址分配。在新的網絡規劃中，應保留兩套網絡規劃：舊網絡的配置和新的網絡配置。隨著舊網絡的逐步遷移，舊網絡配置逐漸被新的網絡配置所取代。

Page

53

新廠網絡架構：

新廠區是一個全新的在建的園區，包括新的綜53第一章網絡規劃與設計第一章網絡規劃與設計目錄項目1網絡規劃與設計知識1項目2網絡IP地址規劃與分配2項目3網絡規劃與設計實訓項目3項目4網絡規劃設計項目訓練4目錄項目1網絡規劃與設計知識1項目2網絡IP地551.1項目背景

某公司為了實現對內部員工的上網行為進行管理，在公司內部架設一臺Cisco安全訪問控制服務器，它可以在用戶訪問Internet時對用戶進行認證和授權，并通過路由器的IOS認證代理功能控制員工訪問Internet。1.1項目背景某公司為了實現對內部員工的上網56一網絡規劃與設計

1.1網絡規劃與設計知識

1.1.1對網絡規劃與設計的理解

隨著計算機網絡的發展，越來越多的人對網絡的依賴程度逐步增加。而網絡組建的規劃與設計的相關知識是計算機網絡組建的基礎，關系到計算機網絡各個方面的應用。

網絡工程是一項復雜的系統工程，涉及技術問題、管理問題等，必須遵守一定的系統分析和設計方法。實施網絡工程的首要工作就是要進行規劃，深入細致的規劃是成功構建網絡的一半。缺乏規劃的網絡必然是失敗的網絡。其穩定性、擴展性、安全性、可管理性沒有保證。通過科學合理的規劃能夠用最低的成本建立最佳的網絡，達到最高的性能，提供最優的服務。Page

57一網絡規劃與設計

1.1網絡規劃與設計知識

1.157

1.1.2網絡結構規劃與設計的原則與方法

一般來說，在工程設計前對主要設計原則進行選擇和平衡，并排在其他設計方案中的優先級，對網絡工程的設計和規劃具有指導意義。網絡建設原則要體現對用戶網絡技術和服務上的全面支持。這些原則應該以用戶為中心，包括下面幾個方面。

1、可靠性原則

2、可擴展性原則

3、可運營性原則

4、可管理原則

5、實用性原則

6、安全性原則

7、先進性

Page

58

1.1.2網絡結構規劃與設計的原則與方法

一般581.1.3網絡結構規劃與設計相關理論知識

1、網絡規劃的主要步驟

實施網絡工程的首要工作就是要進行規劃，深入細致的規劃是成功構建網絡的一半。缺乏規劃的網絡必然是失敗的網絡，其穩定性、擴展性、安全性、可管理性沒有保證。通過科學合理的規劃能夠用最低的成本建立最佳的網絡，達到最高的性能，提供最優的服務，對業務需求、網絡規模、網絡結構、管理需要、增長預測、安全要求、網絡互聯等指標給出盡可能明確的定量或定性分析和估計。

(1)需求分析

需求分析是從軟件工程和管理信息系統引入的概念，是任何一個工程實施的第一個環節，也是關系到一個網絡工程成功與否的最重要砝碼。

⑵

綜合布線系統

綜合布線系統是網絡工程的基礎工程，它是一種模塊化的、靈活性極高的建筑物內或建筑群之間的信息傳輸通道。綜合布線符合樓宇管理自動化、辦公自動化、通信自動化和計算機網絡化等多種需要，能支持文本、語音、圖形、圖像、安全監控、傳感等各種數據的傳輸，支持光纖、UTP、STP、同軸電纜等各種傳輸介質，支持多用戶多類型產品的應用，支持高速網絡的應用。有關這方面的內容將在第4章詳述。

⑶

設備選型

在完成需求分析、網絡設計與規劃之后，就可以結合網絡的設計功能要求選擇合適的傳輸介質、集線器、路由器、服務器、網卡、配套設備等各種硬件設備。硬件設備選型應遵從以下原則：必須綜合考慮網絡的先進合理性、擴展性和可管理性等要素；設備要既具有先進性，又具有可擴展性和技術成熟性。

Page

591.1.3網絡結構規劃與設計相關理論知識

1、網絡規劃的59⑷

系統軟件及應用系統

目前國內流行的網絡操作系統有WindowsServer2019/2019、Linux(RedHat、Ubuntu)、UNIX等，它們的應用層次各有不同。UNIX主要應用于高端服務器環境，其操作系統的安全性能級別高于其他操作系統。UNIX通常被用在系統集成的后臺，用于管理數據服務。系統集成前臺或者一般的局域網環境可采用Linux和WindowsServer2019/2019等網絡操作系統，選用哪種操作系統，還要根據用戶的應用環境來確定。另外，還要根據網絡操作系統及相關應用環境來選擇數據庫系統等系統軟件。

⑸

投資預算

網絡投資預算包括硬件設備、軟件購置、網絡工程材料、網絡工程施工、安裝調試、人員培訓、網絡運行維護等所需的費用。需要仔細分析預算成本，考慮如何滿足應用需求，又要把成本降到最低。

⑹

工程實施步驟

根據用戶的網絡應用需求和用戶投資情況，分期分批制定網絡基礎設施建設和應用系統開發的工作安排。

⑺

培訓方案

計算機網絡是高新技術，建設單位不一定有足夠的技術人員。為了讓用戶能夠管理好、使用好計算機網絡系統，在設計方案時，必須列出詳細的網絡管理與維護人員的技術培訓計劃。

⑻

測試與驗收

網絡系統的測試與驗收是保證工程質量的關鍵步驟。測試與驗收包括開工前的檢查、施工過程中的測試與驗收以及竣工測試與驗收3個階段。通過各個階段的測試與驗收，可以及時發現工程中存在的問題，并由施工方立即糾正。測試與驗收一般由用戶方、設計方、施工方和第三方人員組織。Page

60⑷系統軟件及應用系統

目前國內流行的網絡操作系統有Wind60

2、系統集成的含義

計算機網絡系統集成(ComputerNetworkSystemIntegration)通過結構化的綜合布線系統和計算機網絡技術，將各個分離的設備(如個人計算機)、功能和信息等集成到相互關聯的、統一和協調的系統之中，使資源達到充分共享，實現集中、高效、便利的管理。系統集成應采用功能集成、網絡集成、軟件界面集成等多種集成技術。

系統集成，從字面上講就是將各功能部分綜合、整合為統一的系統。系統集成的應用含義要遠遠大于字面上的含義。系統集成包含以下5大要素：

(1)客戶行業知識要求對客戶所在行業的業務、組織結構、現狀、發展，有較好的理解和掌握。

(2)應用系統模式和技術解決方案以系統的高度為客戶需求提供應用的系統模式，以及實現該系統模式的具體技術解決方案和運作方案，即為用戶提供一個全面的系統解決方案。

(3)產品技術對原始廠商提供的產品的技術掌握系統集成商自有研發產品，包括應用系統軟件的開發。

(4)項目管理對項目銷售、售前、工程、售后服務過程的統一的進程和質量的管理。

(5)服務隨著行業的健康發展和規范化，系統服務的質量已逐漸成為重要參考點。Page

61

2、系統集成的含義

計算機網絡系統集成(Computer61

3、系統集成的重要內涵

⑴

應用集成

系統集成首先要做到的是應用集成。應用集成就是系統集成商要深入地了解用戶的實際需求，協助用戶進行系統可行性分析、需求分析、總體方案設計、數據庫組織管理等，對用戶的需求重點、歷史情況、行業特點及投資預算都需有一個完整的了解，并將這些信息有機地體現在系統集成方案中。

⑵

產品功能集成

在應用集成的基礎上，為保證用戶的應用在有限資金預算內得以順利實現，系統集成商需給出一個完整的軟硬件產品清單，從型號、功能、價格到選擇理由都需有清楚的說明，并且最好是有過使用該類產品的實際經驗。系統集成商會有很多的選擇，但不管如何配置，必須遵循兩條原則，下限是用戶的需求完全滿足，上限是在有限的資金預算內。在這個范圍內系統集成商之間就設備及價格的競爭才是有意義的。

⑶

技術集成

一張設備采購清單不等于系統集成。對用戶的需求及設備的技術支持，是技術集成。一個系統集成商真正的技術也就是技術集成。用戶最終需要的不是看設備的陳列，而是看系統的良好運轉。

因此，一個好的系統集成商應該能向用戶提供全面的應用集成、產品功能集成及技術集成服務。Page

62

3、系統集成的重要內涵

⑴應用集成

系統集成首先要做到的621.1.4網絡結構規劃與設計相關實踐知識

1、局域網設計

以太網技術是目前局域網設計的主要選擇。當然在一些特殊場合還可能用到FDDI、ATM或者幾種技術的混合應用。網絡技術的發展比較迅速，所以，在進行局域網設計時要注重以后網絡升級時還能夠使用現有的網絡技術和產品，否則將會帶來極大的資金浪費。

以太網技術就實現了技術的平滑升級。目前使用的有10Mb/s、100Mb/s、1Gb/s、10Gb/s的以太網4種。一般來說，目前連接桌面的網絡大多是100Mb/s以太網，關鍵是網絡主干的選擇，應根據用戶的計算機及網絡的應用水平、業務需求、技術條件和費用預算等，選擇合理的以太網技術，目前校園網絡的主干技術大多已選擇10Gb/s以太網技術，從而形成10Gb/s-1Gb/s-100Mb/s的分層網絡結構。Page

631.1.4網絡結構規劃與設計相關實踐知識

1、局域網設計632、網絡的層次化結構設計

大型網絡的設計是把整個計算機網絡劃分為核心層、匯聚層、接入層。

圖1網絡層次劃分

Page

642、網絡的層次化結構設計

大型網絡的設計是把整個計算機網絡劃64接入層：通常將網絡中直接面向用戶連接或訪問網絡的部分稱為接入層。接入層目的是允許終端用戶連接到網絡，提供了帶寬共享、交換帶寬、MAC層過濾和網段劃分等功能。同時優先級設定和帶寬交換、接入控制等優化網絡資源的設置也在接入層完成。

匯聚層：位于接入層和核心層之間的部分稱為分布層或匯聚層。匯聚層網絡組件完成了數據包處理、過濾、尋址、策略增強和其他數據處理的任務。

核心層：網絡主干部分稱為核心層。核心層的主要目的在于通過高速轉發通信，提供可靠的骨干傳輸結構，因此核心層交換機應擁有更高的可靠性，更快速率的鏈路連接技術，并且能快速適應網絡的變化。Page

65接入層：通常將網絡中直接面向用戶連接或訪問網絡的部分稱為接入65

3、地址分配設計

在網絡規劃中，IP地址方案的設計至關重要，好的IP地址方案不僅可以減少網絡負荷，還能為以后的網絡擴展打下良好的基礎。具體內容我們在“網絡IP地址規劃與分配”中有詳細介紹。

(1)IP地址分配和管理應遵循的原則

①

唯一性

②

可記錄性

③

可聚集性

④

節約性

⑤

公平性

⑥

可擴展性

(2)IP地址的劃分方法

①

根據地理范圍進行劃分，為在地理上屬于同一范圍的所有子網分配共同的網絡前綴。

②

根據組織范圍進行劃分，為屬于同一組織的所有團體分配共同的網絡前綴。

③

根據服務類型進行劃分，為預定義好的服務(如：VoIP，QoS等)分配特定的網絡前綴。Page

66

3、地址分配設計

在網絡規劃中，IP地址方案的設計至關重要66

4、網絡性能設計

網絡性能設計的目標是使網絡系統能夠滿足用戶應用對網絡各個方面的需求。為了避免網絡建成后可能出現的各種性能問題，網絡的可靠性和冗余在設計中都要考慮周到。冗余設計有以下幾種方法：

(1)增加線路、設備、部件，形成備份

硬件容錯方法之一是硬件堆積冗余，在物理級可通過元件的重復而獲得。另一個硬件容錯的方法叫待命儲備冗余。該系統中共有M＋1個模塊，其中只有一塊處于工作狀態，其余M塊都處于待命接替狀態。一旦工作模塊出了故障，立刻切換到一個待命模塊，當換上的儲備模塊發生故障時，又切換到另一儲備模塊，直到資源枯竭。

(2)數據備份

為了更有效地利用信息，通常把常用的信息放在聯機的硬盤或磁盤陣列等設備上，組成聯機的資料庫，把不常用的、但有時又要檢索的信息，放在聯機的后備設備如磁帶庫、光盤庫上。而大量的長時間不使用的信息，則保存在脫機介質上脫機備份。

(3)雙機容錯系統

系統的容錯結構能夠提供系統連續運行的能力，任何單點故障不會引起系統停機。雙機容錯系統的一個CPU板出現故障時，其他CPU板保持繼續運行，這個過程對用戶是透明的，系統沒有受到絲毫影響，更不會引起交易的丟失，充分保證數據的一致性和完整性。

(4)三機表決系統

在三機表決系統中，3臺主機同時運行，由表決器根據3臺機器的運行結果進行表決，有兩個以上的機器運行結果相同，則認定該結果為正確。現在三機系統中較多采用的是將雙機備份和三機表決兩者結合起來的方式，當三機中壞掉一臺后就當作雙機備份系統來用。

(5)集群系統

均衡負載的雙機或多機系統就是集群系統(Clusting)。多服務器集群系統的主要目的是使用戶的應用獲得更高的速度、更好的平衡和通信能力，而不僅僅是數據可靠性很好的備份系統。Page

67

4、網絡性能設計

網絡性能設計的目標是使網絡系統能夠滿足用675、網絡安全設計

網絡安全設計主要體現在4個方面：重要信息的保密性設計、網絡系統的安全性設計、數據安全設計、病毒防護設計。

圖2計算機群集管理系統

Page

685、網絡安全設計

網絡安全設計主要體現在4個方面：重要信息的68⑴

信息保密設計

在網絡操作系統或防火墻中建立網絡CA系統，構建基于PKI的鑒別及證書系統，為應用安全系統提供鑒別和證書及密鑰分發等基本安全服務，設置口令加密傳輸和對重要數據進行鏈路層數據加密措施。

在服務器設置監測和自動恢復功能，并建立審計記錄，提供針對用戶網絡操作的監視和統計，對用戶身份和活動進行審計，對信息資源的訪問進行控制及計費等。

在網絡交換及路由設備中設置三層交換協議，即路由功能，對不同網絡區域的用戶和不同網段的用戶進行身份和權限設置，對信息資源的訪問進行級別控制。

⑵

網絡系統的安全設計

要解決外部網的用戶對系統的威脅，內部網用戶對系統的泄密等問題?？梢赃M行如下安全設計：

安全策略的制定、實施及修改

抵御非法用戶對局域網的攻擊

控制內部用戶對外部的訪問

對網絡傳輸的信息內容的檢查

軟硬件防火墻的設置

遠程用戶帳號和數據加密傳輸，以防外人竊取

⑶

數據安全設計

網絡控制中心服務器的性能好壞直接關系到網絡信息訪問速度及數據文件的安全。對數據安全部分采用雙機熱備份、磁盤冗余陣列(RAID)、磁帶機備份等多種手段，確保數據的安全。

雙機熱備份可采用雙機雙控的服務器集群技術，保障操作系統及數據系統平臺的高可靠性、高安全性、高可用性、抗災難性。

⑷

病毒防護設計

為了防止病毒對系統安全的威脅，選用性能優越的網絡版殺毒軟件負責內部網絡系統服務器及單機的病毒防護、查殺工作。同時利用防火墻的設置對病毒的入侵進行有效的防范。Page

69⑴信息保密設計

在網絡操作系統或防火墻中建立網絡CA系統，696、網絡操作系統的選擇

在選擇網絡操作系統需要較為嚴格的安全保密等。

下面給出幾種網絡操時，首先要分析系統未來運行的應用程序：是簡單短小的，還是龐大復雜的；系統是否作系統的特點：

⑴BanyanSystem公司的VINES(VirtualNetWorkingSystems)

美國BanyanSystem公司的產品，其特點是安裝及管理簡單，可靠性高。支持對稱多處理技術，充分利用硬件處理能力，速度快。對于一臺服務器上的并發用戶和打開文件的數目沒有限制，支持多服務器，與WAN具有極強的聯網能力。VINES的技術特色已得到廣大用戶的認可，但還存在一定的局限性：多種平臺的可移植性差、容錯能力不足、與其他PC操作系統的集成能力較低、所占市場份額較小。

⑵Microsoft的WindowsServer2019/2019

WindowsServer2019/2019的特點是：硬件的獨立性較強，網絡操作系統能在不同的硬件平臺上運行；具有強大的管理特性，如系統備份、容錯性能控制等。

WindowsServer2019/2019是一個高性能的客戶/服務器應用平臺，支持多種網絡協議，具有Cz級安全性，具有目錄服務功能；通過域(domain)的概念來對用戶資源進行控制，并提供簡單的方法來控制用戶對網絡的訪問；具有良好的用戶界面，支持多窗口操作；具有自動再連接特性，即當服務器從故障中恢復正常時，能重新建立與工作站的通信。WindowsServer2019/2019對硬件的要求較高，所占的內存較大。Page

706、網絡操作系統的選擇

在選擇網絡操作系統需要較為嚴格的安全70

⑶Novell公司的NetWare

NetWare是一個真正的網絡操作系統，而不是其他操作系統下的應用程序。它直接對微處理器編程，因而伴隨著最新的微處理器一起發展，充分利用微處理器的高性能，從而達到高效的服務。

NetWare的特點是支持各種硬件，支持多種網絡平臺的互聯，如DOS、OS/2、Windows、Macintosh等具有廣泛的網絡互聯性能。Novell提供內橋、外橋、遠程橋等多種互聯選件，從而將具有相同或不同的網絡接口卡、不同協議和不同拓撲結構的網絡連接起來。另外還具有出色的容錯特性，NetWare提供一、二、三級容錯。整體系統的保密、安全性好。NetWare4.0以后的版本提供的目錄服務，將更好地支持多服務器網絡，實現單一的全局的系統管理。

⑷UNIX

UNIX是一個多用戶、多任務的操作系統。UNIX已發展為兩個重要的分支，一分支是AT&T公司的UNIXSystemV，在微機上主要采用該版本；另一分支是UNIX伯克利版本(BSD)，主要運行于大、中型機上。

UNIX操作系統可以運行在從PC到超級計算機的非常廣泛的服務器平臺上，并支持網絡文件系統(NFS)和提供數據庫應用。局域網操作系統能夠運行在UNIX環境的服務器上，許多基于UNIX系統的計算機廠家擁有功能強大、升級方便的服務器系列，隨著UNIX廠家的聯合，將使UNIX網絡服務器平臺在今后的市場上更加引人注目。