逻辑网络设计是网络规划与设计中的关键阶段。逻辑网络设计和规划的目标包括合理的网络结构、成熟而稳定的技术选型、合适的运营成本以及使逻辑网络具备可扩充、易用、可管理和安全等性能。请围绕 “大中型网络的逻辑网络设计” 论题,依次对以下三个方面进行论述。
- 简要叙述你参与设计和实施的大中型网络项目以及你所担任的主要工作。
- 针对大中型网络中逻辑网络设计的主要工作内容论述你是如何进行逻辑网络设计的。
- 简要介绍你在大中型网络的逻辑网络设计中遇到的棘手问题及其解决办法。
逻辑网络设计包括:网络结构的设计、物理层技术选择、局域网、广域网技术选择、地址和命名模型设计、交换和路由协议的选择、网络安全策略设计、网络管理策略设计。
从论文结构来说,可以从设备选型和网络结构设计、IP 地址和路由方案、网络安全方案、存储和数据灾备方案几个点去描述项目。
素材 1(网络结构调整)
对原有出口的教育网带宽不变,联通升级为 1G,同时新增一条电信 1G 出口。核心区域更换两台华三 S5700 交换机组成双核心热备模式,只做高速转发,不再做策略路由,多出口的路径选择交给专用负载均衡设备 radware linkproof1000,智能分析自动分配网络流量流入相应的出口,减轻了各链路承担的负载,保证网络的高效畅通和可靠性。出口至核心拓扑为 3 条分别接在三台华为 7703 上,每台 7703 分别连接两台 radware,radware 连接 paloAlot PA-4060 防火墙,防火墙连接校内两台核心交换机,相同设备两两连接,并开启 vrrp(虚拟冗余网关协议),选用性能较高的设备作为主设备,启用端口跟踪,发现链路中断时可直接切换到备用设备,保证设备或链路的冗余,防止单点失效。对原有替换下的两台 6509 下放到各校区中心机房保证人员密集校区(本部、西青校区)都有 2 台汇聚交换机,保证汇聚交换机与核心交换机之间采用全互联模式。
素材 2:无线网络结构的构建
无线核心使用两台 H3C S7508 交换机与核心交换机互联,运行 OSPF 协议,Area20,分别与各校区汇聚交换机相连。汇聚交换机直接连接各设备间的接入交换机,接入交换机全部支持 POE。接入交换机为无线 AP 供电,一般选用 802.3af 交换机。办公区、宿舍区使用支持 8 – 16 人的墙插式 AP;教学区、服务器区、食堂区使用支持 128 人的吸顶式 AP,离广场、操场近的楼宇屋顶架设室外 AP。所有 AP 均为 FIT AP 由 AC 控制器统一管理,下发用户地址段,使用 FIT AP 当用户在频点切换时,可实现不断网的无缝漫游,稳定性强不易受干扰,多用户连接同一 AP 设备时,可自动转到其他 AP 上,达到负载均衡,提高网络的可用性,此外,AC 可调整 AP 的发射功率,AP 故障时,可扩大其他 AP 发射功率覆盖信号盲点,防止单点故障。
另外,为了保证现有普通 WIFI 终端的平滑接入,对于协议标准 IEEE802.11b,IEEE802.11g,IEEE802.11n,IEEE802.11ac 的选取,同时要有扩展性,最终采用了 IEEE802.11ac,兼容了 2.4G 和 5G 两个频点。
素材 3:IP 地址的重新规划
由于前期规划不足,内网只有 10.1.0.0/16 一段,随着师生人数增多,且分配杂乱无章,没有形成统一的规划和分配方案,即影响了网络的拓展,又不利于路由汇总,也不方便管理。因此趁这次网络大规模升级改造机会对地址重新规划,同时启用 OSPF 路由协议。主要方案如下:本部校区为 ospf 骨干区域,分配的地址为 10.1.0.0/16,区域设置为 area0,内部以 10.1.X.0/24 地址形式分别分配给本部的服务器区、教学区、办公区、宿舍区、食堂区;西青校区为 ospf 区域 2,分配的地址为 10.2.0.0/16,区域设置为 area1,内部区域以 10.2.X.0/24 地址形式细分;滨海校区为 ospf 区域 3,分配地址为 10.3.0.0/16,区域设置为 area3,内部区域以 10.3.X.0/24 地址形式细分。通过重新规划后的 IP 地址清晰明了,具有层次性,对于今后该大学新增校区,可按照分配 IP 地址 10.N.0.0/16,区域分配 ospf area N 的规则来规划,便于网络的扩展,以及网络的管理维护。
素材 4:安全保护和访问控制
在现有所有的网络出口处部署防火墙外,在服务器区前端新部署一台启明星辰 IPS,对访问服务器区的数据流进行主动、实时的逐字节检测,收集相关的信息记录系统日志,深度分析,对攻击性流量可自动拦截,从而弥补了防火墙的不足,加强了对服务器区域的保护。此外,升级网络病毒防护系统,更换一台 symantec 的防病毒服务器,每天从 symantec 官方网站实时下载最新的病毒库和相应信息,保证最新的防病毒信息,为教学区、办公区、宿舍区和食堂区提供在线升级,提供终端计算机的桌面安全保护。对于无线网络的用户接入验证,采用 portal 协议的网页认证。通过在接入层设备上启动 portal 认证后,用户发出去的报文都会通过接入设备重定向到 portal 服务器,portal 服务器要求用户输入用户名和密码来进行认证,用户输入身份验证后,portal 服务器将接入用户的验证结果通过接入设备转发给用户,通过验证的用户才能访问网络中的资源,以保证合法用户的正常接入。