项目概述
项目背景
项目背景一般是跟甲方沟通和所考察得出的结论:园区有些什么设备,存在一些什么问题。可以结合时代发展下的前景(如园区大型活动需要大带宽、高速稳定的网络传输)。考察场地内的用户需要什么样的网络服务······
项目目标
项目目标一般是根据甲方给出的网络质量需求,引申出可能需要的网络服务(带宽,稳定性,成本,安全性),本次项目的目标是:1.网络的规划与设计(从无到有),2.确保网络运行的高效、安全和可管理,3.无线网络漫游,4.高速稳定的网络连接,5.高质量的用户体验
项目对象分析
项目所需要规划设计的对象,可以分为前期和后期,前期规划一般是场地大小类型,和不同障碍物带来的影响,此项目区域的用户数量类型,以及他们对网络的要求,这些都是硬影响(改变不了的)。后期规划设计设备的位置,如何走线,设备的供电等(这些是需要规划的)。
所覆盖范围
本次项目所涵盖的范围为整个体育场片区(片区两个字很重要,片区所代表的规模很大,所以我们本次设计的是一个和校网中心有连接的分支园区网络——即四层网络)
所涉及的区域为以上区域(网络需要覆盖的范围),但是设计时我们可以借助现有建筑(动物实验中心大楼和实验楼),这里是我们没有考虑到的一个缺陷,应该借助现有建筑进行设备(室外AP)的位置摆放和就近供电。
用户数及类型
用户数需要我们对每个场地的常在人数和最大活动人数进行区分,其中重点的区域是南操场、北操场以及体育馆一楼,这些区域的常在人数和最大活动人数有很大差别,所以做地址规划时,需要考虑的是最大接入用户数量。
用户类型主要就是区分学生用户和工作用户,用户的区分在后续地址规划、访问控制设计等技术设计有大用处,同时两种用户的区分,可以分别考虑其对网络质量和服务的需求,可以设置不同的策略来满足不同的用户需求。
设备位置规划及走线
设备规划分为设备的放置位置和设备相连的线路布置。
设备摆放位置应尽量考虑其工作释放的信号是否会被阻挡(我们规划的设备位置,放射的信号有部分会被金属网阻挡,信号的衰弱是我们的一个不足点),所以设备应尽量借助现有建筑的外墙进行壁挂,设备摆放位置的高度应高于体育场外围铁丝围栏和道路周边树木。
设备的走线区别为光纤连接或者网线连接,走线分析时应借助现有的区域设计,沿墙边布线,不用格外挖掘进行线路布置,同时使用阻燃管等将其外包在内,防止潮湿、静电、粉尘等原因引起的线路损坏,走线时要进行冗余规划,即多跟线连接相同设备防止单线路损坏导致的故障,要考虑线路故障时的排查和修复要尽量便捷。
供电分析
设备的供电主要分为AP的供电和其他网络设备的供电。AP的位置一般都是在墙上或者壁挂在外墙上或者抱杆到室外各个位置,首选为网线进行poe供电,可以减少线路布置的成本,室外AP的位置距离接入交换机走线超出poe供电范围时,将室外AP重新规划位置尽量靠近到有电源供电的建筑,如我们设置的道路周边给体育场提供信号的室外AP应靠近四栋实验楼位置,进行就近电源供电。其余距离接入交换机近的室内室外AP都采用poe供电,但是同时配置对应的UPS电源避免突发断电情况。
交换机、路由器、防火墙、服务器等设备一般都放置于机柜中,就近会有电源供电,同时配置大型UPS备用电源,避免网络节点主设备断电引起的整个网络故障。
项目设计原则
项目设计的原则一般基于用户的需求,制定对应的规划原则。
用户需求分析
用户的需求分析一般分为:1.业务需求分析,2.故障恢复与容灾分析,3.网络的扩展性需求,用户体验保障需求。
业务需求分析
学生用户的业务需求主要包括实时访问实时资源,例如网站视频和 APP 视频等实时数据,以及基于手机 QQ 和微信的实时通信。学生用户对无线网络的数据保密性要求较低。学生用户在体育场园区主要通过无线网络连接校园网访问互联网,使用的主要应用程序包括 QQ、微信、哔哩哔哩、抖音等聊天和视频软件,以及运动记录软件。
工作用户的业务需求包括网站资源的下载和学校内网数据的增删改查。不同职位的工作人员对应不同的业务需求,教职工偏向内网资源访问,网管人员和信息中心技术人员偏向管理数据信息。片区内网的数据库服务器部署在体育馆配电室,在内外网之间部署了防火墙安全防护设备。
对于出差用户,如学生放假和校内工作人员出差或居家办公,他们仍然需要访问学校内网和体育场区内的数据和资源。VPN 技术可以在公共网络(如互联网)上创建一条安全的通信隧道,将远端用户连接到园区内部的网络,以确保通信的安全性和保密性。
因此,网络系统需要满足不同用户的需求,无论是对于即时性要求高的学生用户,还是对于安全性要求较高的工作用户和出差用户,系统都需要稳定高效地运行。
故障恢复与容灾分析
首先需要考虑设备和链路的容灾措施。这包括在网络的关键节点部署备用设备以应对可能的设备故障,并设置冗余链路来保障在链路故障情况下的连通性。这样可以保证即使发生设备或链路故障,网络也能够迅速切换到备用状态,确保业务持续运行。此外,关键数据的备份和恢复策略也是网络需求分析中的重要一环。定期备份关键数据,并建立快速、可靠的数据恢复机制。这样在发生数据丢失或损坏的情况下,能够迅速恢复到正常状态,保障业务运营不受影响。最后,网络监控系统和故障响应策略也需要被考虑进需求分析中。通过实时监控网络设备状态和性能,及时发现异常情况,并设置相应的警报机制,能够在故障发生时快速响应并采取相应措施,保障网络的稳定性和可靠性。
网络的扩展性需求
随着园区规模的扩大,会有更多的有线终端或哑终端接入网络。因此,在初步设计阶段,必须考虑到设备端口的拓展性。考虑到网络内可能出现的新终端和设备,需要预留更多的硬件设备接口和预留足够的 IP 地址空间分配给新用户接入。
随着用户数量的增加,网络带宽可能成为一个瓶颈。需要提升网络带宽、使用负载均衡设备等,以保证网络能够稳定地支持大量用户,并确保用户的网络体验得到保障。
除了设备和配置的拓展性外,还需要考虑到网络架构设计的拓展性。这包括合理的网络拓扑结构,以便在后续扩建时能够方便地添加新设备和终端,保障网络能够随着园区规模的发展保持稳定、高效运行。
园区网络未来可能会升级到 IPv6 版本,因此在设备选型时要考虑各层网络设备对 IPv6 的兼容性,以便在后期网络升级时可以在现有设备上直接升级配置,减少成本。
用户体验保障
用户体验的保障,借助于对业务需求分析进行Qos策略划分,根据业务流量类型(语音通话、视频通话、资源传输、网站访问······)设置策略(优先级、带宽、速率)保障不同用户的网络质量需求。
设计原则
策略性需求设计原则、安全性设计原则、可靠性设计原则、可扩展性设计原则、可维护可管理性设计原则。
QoS策略的原理在于通过设定不同类型业务流量的优先级和处理方式,来确保关键业务在网络拥塞或资源受限的情况下得到优先处理。通过将流量分类和标记,网络设备能够根据预先设定的策略,对不同优先级的流量进行不同程度的优先处理。
网络安全设计原则包括防御、最小权限、审计监控、数据加密、身份认证与访问控制、补丁更新、安全培训、应急响应、物理安全、持续评估与改进,以综合保障网络安全。
网络设计需注重可靠性和可用性。可靠性通过冗余设备、备份链路等手段确保网络在面对意外情况时持续稳定运行,避免故障和服务中断。可用性要求网络设计合理的负载均衡、故障转移和容错机制,降低服务中断可能性,确保用户随时获得所需服务。通过设备备份、故障恢复策略和灵活网络拓扑,可综合保障网络在各种情况下高度稳定和持续可用,提供用户稳定、高效的服务。
网络设计的可扩展性是确保网络适应未来业务增长和技术发展的关键原则。合理规划网络架构和资源分配,预留足够的硬件接口和IP地址空间,以容纳新的用户和设备接入。采用可升级的网络设备和技术,使得网络可以方便地进行扩展和升级,而不会破坏现有的基础架构。考虑业务的未来需求和灵活的拓扑结构设计,确保网络在园区规模扩大和业务增长的情况下保持稳定、高效运行。
网络设计需关注可管控性和可维护性,建立完善管理体系监控设备、流量和安全策略,设定适当权限以降低风险。同时确保网络组件方便维护和升级,包括软硬件更新,合理拓扑结构和详细记录可提高网络可维护性。这些原则有助于保障网络稳定运行、及时问题响应,并降低管理成本。
设备选择
网络节点设备
网络节点设备包括接入交换机、汇聚交换机、核心交换机、路由器、防火墙等,无线部分有室内室外AP(敏分结构式AP)。选型应该考虑设备的带宽,包转发量,接口数,上下层设备链接的端口是否可以满足流量的需要,同一个网络规划设计中尽量选择同一个品牌,有利于后期维护。
部分重要设备
服务器、控制器、IPS等设备可以选择由接入层交换机连接到核心交换机,方便统一管理。其余光纤和网线和电源等都算是重要设备,将设备采用虚拟化设计(堆叠、集群)需要用到堆叠线缆。
园区架构规划
园区网络架构的设计在网络项目设计中具有至关重要的地位,它决定了整个园区内网络的可靠性、性能和安全性。一个合理设计的网络架构能够有效支持园区内各种业务需求,提供高速稳定的数据传输,同时考虑到未来的扩展和新技术的引入,确保网络系统能够持续满足不断变化的需求。这样的设计不仅提高了园区内部工作效率,也为企业提供了更具竞争力的数字化基础设施。
所用网络架构
选择四层园区网络架构和树型网络拓扑结构的好处在于,四层架构通过逻辑上的划分提供了更灵活和可扩展的网络管理,有效隔离了不同功能和安全层次的网络流量;而树型拓扑结构通过层级性的连接方式降低了网络复杂性,提高了网络的稳定性和可维护性,同时支持了分布式部署和更高的容错性,共同为企业或园区网络提供了高效、可靠且易于管理的解决方案。
接入层
接入层设备主要是接入交换机、室内室外AP,智分中心/远端AP。主要在有线端交换机上做配置:
VLAN划分、端口组设置、全双工模式、MAC地址表管理、端口安全配置。
AP采用数据直接转发模式,AC只通过capwap隧道对AP进行控制管理,减轻AC的负担。
汇聚层
汇聚层只有汇聚交换机设备,做三层vlanif接口配置,保障不同vlan之间的通信。配置为DHCP中继器,跟dhcp服务器一同工作,使不同网段的主机也能获取到IP地址,后期新增DHCP服务器可以使用现有的汇聚交换机作为DHCP中继器。
核心层
核心层设备分为网络节点设备和服务器网管设备。节点设备是核心交换机,服务器网管设备有FTP服务器、数据存储服务器、DHCP服务器、AC控制器、NMS服务器。核心层网络设备在网络中承担巨大容量的数据包转发和寻路。其设备的性能必须满足整个网络的最大用户数据同时转发的带宽,并且需要做强冗余备份,避免核心层设备单点故障引起的园区网络瘫痪。
DHCP服务器和中继器可以开启DHCP snooping(DHCP监听)功能,防止内网中危险用户发起的ARP欺骗,一定程度上保证内网的安全
网络出口层
网络出口层的设备是防火墙和路由器。在路由器上需要配置路由策略,NAT转换等,防火墙上需要做一系列的安全防护策略,防止内网用户访问非法外网,同时也过滤外部网络的攻击。
多节点通路配置
多节点通路配置主要是IP规划,ACL访问控制列表的设置,WLAN整体规划。
IP地址规划看工程师预估的用户类型的数量和用户数量,划分相应的网段和IP地址数量,同时基于IP地址和VLAN标签,可以配置ACL列表,在不同的区域选择放通/拒绝用户访问请求,如高权限的网络管理员需要对整个园区配置,它需要最高级权限,学生用户无法访问内网数据库服务器,在核心交换机的对应端口上就需要拒绝学生用户的请求。WLAN整体规划涉及整个无线网络,关于频段、信道、wifi协议的选择······
园区网络可靠性分析
架构可靠性分析
架构可靠性主要涉及园区网络的结构对于网络故障的限制性,如分层架构可以将各层的故障不会扩散到别的网络层,同时有利于网络的管理和运维,后期网络扩展时也可以根据扩展的需求,将新增设备连接到目标层设备上,做出相应的配置,减少了对整个网络的改动。
设备可靠性
主要是看设备的参数,支持一些什么保障性功能,如:电源备份、支持虚拟化、支持BFD检测······
其次是将各层一些设备进行冗余(一般是双机热备),避免单点故障引起的网络瘫痪,简单来说就是同时开着两台设备,一台坏了另一台自动工作。
设备逻辑化
设备逻辑化涉及设备的堆叠集群、VRRP虚拟化、链路聚合、VAP等。前三者是保障网络的稳定运行和扩展带宽等,VAP是虚拟化AP,即一个物理AP可以分成数个逻辑虚拟AP,进行不同的配置。
负载分担设计
负载分担设计分为逐包和逐流,目的是为了最大化利用服务器或节点的计算和存储能力,同时保证系统的稳定性和安全性,在链路聚合和隧道场景下广泛使用。
两种负载分担方式相比,逐包负载分担能更为均衡地分发报文,逐流的均衡程度会因为负载分担的规则和业务流量特征不同而不同。
但是由于逐包负载分担可能导致报文乱序,所以部分对报文顺序非常敏感的业务不适用于逐包负载分担。
容灾与故障恢复
为提高网络可靠性,采取冗余设备和链路方案是关键之举。通过在关键位置部署备用设备,如备用交换机和防火墙,以及采用链路冗余技术,如链路聚合和备用链路配置,可以在主设备或链路故障时实现快速切换,确保网络持续稳定运行。同时,采用NMS服务器和SNMP协议进行故障检测与通知,实时监测设备工作状态,及时收集和报告故障信息,有助于迅速响应和解决问题。另外,云备份和恢复机制通过将关键数据备份到云存储服务器,使得在设备数据故障时能够迅速回复应用和配置文件,最大程度减少损失,提高网络的容错性和可维护性。
Qos策略制定
为满足不同类型用户的需求,制定了相应的QoS策略。对学生用户,优先分配带宽给实时资源和实时通信,降低数据安全性以提高整体性能;工作用户得到高带宽,加强对网站资源下载和内网数据访问的支持,提高数据中心访问效率;对出差用户,采用IPsec VPN技术确保在公共网络上安全访问学校内网,保障通信的安全性和保密性。这些策略综合考虑不同用户的需求,实现了网络服务的个性化和最佳体验。
安全性分析
安全性分析
安全性分析主要是对内网中可能存在的风险做出预估,对外网可能存在的攻击进行预设,制定出相应的安全性策略应用到各个设备(一般为防火墙)。对后续运维管理人员给出相应的建议,应对不同的外网攻击,定期对网络整体受到的攻击做出评测,改动网络的安全策略对外网攻击进行更可靠的抵御。
用户认证方案
用户认证方案建议采用Web认证,分发给学生用户和工作用户账号密码,通过认证之后会分配相应的学生用户IP地址和工作用户IP地址和相应VLAN。由此可以设计ACL规则控制不同用户对各资源区域的访问。
一体化建设与项目创新
一体化是本次园区设计的关键词,我们分为安全防控一体化、设备兼容一体化、网络中控一体化、资源整合一体化进行概括。
新型网络控制一体化完美体现是SDN(软件定义网络)架构,但这项技术实施起来难度颇高,并且现在暂未成熟,并未广泛使用。我方采用NMS服务器系统基于SNMPv2c协议对整个园区网络进行中央控制,在网络各处设备开启后,仅需配置SNMPv2c协议,便可在NMS服务器上对这些被管设备进行配置。NMS服务器是在传统园区网络的基础上实现网络中控一体化的良好体现。
网络结构创新
此次网络结构的创新体现在DHCP服务的中继,敏分结构式AP架构的使用。
逻辑配置创新
本次逻辑配置创新主要是使用了网管协议对整个园区网络进行统一管理控制,并且可以及时收到设备的告警信息。
项目实践中的心得
第一次做这种项目规划设计,考虑的并不是很全面,有半个月的精力投入。前期有沟通的矛盾(主要是一直没有敲定,一直在新增设备和技术设计),小组有跟老师多次沟通,后期检查我们进度的时候说我们“是不是少了什么东西”,我们经过内部的讨论,对项目题目的研究,向老师提出了我们的疑惑,然后老师告诉我们这是个开放性的题目,我们做什么做到哪一层的设计看我们自己想法,后来我们还是选择了做一个完整的园区网络(分支园区),刚好押中了“片区”这个关键词,它决定了我们的网络是个大型分支园区。
项目的不足首先是我们将方案书打印成了黑白(这是我的锅),其次是室外AP的位置规划和走线供电,然后我们也并未做室外AP的防雷。老师建议我们选择同一种品牌的设备,然后我们的核心路由器选型过高(华为NetEngine 8000 M8这种路由器用在省级节点),杀鸡用了牛刀。
后续我们对于本次项目的不足做出补充设计:
重构拓扑图(将路由器作为出口),重新选型设备。
硬件方面:1.室外AP的防雷设计。2.室外AP就近建筑物放置,由建筑内电源直接供电。3.将路由器作为网络出口连接校网中心和互联网。4.服务器和管控区先连接到接入交换机在由其连接到核心交换机。
技术配置:1.VAP配置,AP虚拟化,多服务集。2.VRRP虚拟化冗余备份。3.开启AP上的DHCP中继,使后期小办公室扩建可以新增路由器不需要连线到其他设备,由现有AP中继信号。4.静态绑定部分主机地址,便于放通高权限管理员和校领导的访问权限。5.DHCP snooping监听开启,防止内网中的ARP攻击。
3186
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
