机房通信网设计

　　上一段时间忙于开发设计，一直没有更新博客，发现学的很多东西过了一段时间就忘记了，一部分原因是当时学的时候就没有深入，另一部分原因是没有做知识总结。最近开始一个新的项目，决定多总结，多累计。项目伊始，不谈具体编程，先从架构部分学习。

　　新的项目是建设一个新的机房，我负责通信设计部分。先学习了一下通信设计原理，总结如下三点：

1. 设计的网络具有高可靠性、高稳定性和足够的冗余，提供拓扑结构及设备的冗余和备份。要防止因局部故障而引起整个网络系统的瘫痪，避免出现单点失效。

2. 设计的网络要有较高的数据通信能力和较大的带宽，为了能及时、迅速地处理网络上传送的数据，网络主干应有较高的速度。

3. 设计的网络可以随着业务规模的扩大而进行方便的扩容，支持更多未来业务。同时随着网络技术的不断发展，该网络必须能平滑地过渡到新的技术，并最大限度的利用已有的投资。 

　　根据上述要求，将网络划分成三个设计层次，即核心层、分布层、接入层。核心层负责交换整个机房高速数据流，分布层负责汇聚办公、业务路由路径，向上直接与核心层设备相连，接入层负责站点、机房办公、业务设备的流量导入。

1． 网络核心层设计

　　机房网络核心层为下两层提供优化的数据转移功能。硬件设备使用三层核心交换机和核心路由器，设计采用双星冗余组件，防止出现单点故障失效，通过链路聚合技术，允许冗余链路实现负载分担。核心层设备尽量不参加数据包的计算，诸如包过滤筛选等计算会降低核心层数据交换速率。

通信链路取光纤链路，并对以太网接口有兼容功能，可以兼容机房传统业务交换机10Mb/s、100Mb/s和快速以太网的技术特征，对未来可能的扩容需求留有扩展接口。

2． 网络分布层设计

　　分布层提供基于统一策略的互联性，它连接核心层和接入层，可对数据包进行复杂的决策运算。该层主要提供以下功能：地址聚集、VLAN划分、安全控制、介质接入、工作业务接入等。本次网络设计的分布层设备主要为工作汇聚交换机、业务汇聚交换机，其中业务汇聚交换机除了连接本地业务网络，还提供远程站点访问网络汇聚。

3． 网络接入层设计

　　接入层主要负责为业务或工作终端提供网络接入，提供带宽分配、MAC层过滤等功能。采用可网管、可堆叠的高性能交换机，以便于扩展。

 

　　下图为本次设计的网络拓扑图，采用双星冗余结构的中心快速交换机位于网络的核心层，两个二级交换机位于分布层，主要完成数据流的汇聚，其余交换机位于接入层。远程遥控站点出口路由通过相关运营商专网通过光纤传到本地网络，因为远程站点访问存在不安全性，故接入本地网络前应通过防火墙检测。

 上述模型中，需要注意一下几点：

　　1.业务核心交换机虽然位于汇聚层，但机房的核心业务实现都在一这个交换机为中心的子网中，故这台交接机要求性能高，可维护性强，最好具有一定的包过滤功能，其与核心层交换机和接入层业务交换机之间最好采用冗余链路连接，提高业务系统的抗毁性。

　　2.文件服务器网络服务器等业务、办公都需要访问的共享资源直接接入核心交换机，而数据仓库系统需要业务数据和外部流量数据，并输出分析数据给办公系统，故也直接接入核心交换机，实现负载均衡。

　　3.网络的安全主要靠内网路由器、防火墙和IDS保障，网路由器进行基本安全过滤，实现网络层、传输层包过滤控制，防火墙应支持代理服务，可根据需求可配置应用层安全过滤。外部路由和防火墙用于防止外部攻击，IDS用于防范内部破坏，IDS最好采取分布式系统，HostBase IDS直接与核心交换机连接，业务和办公子网各配置一个NetworkBased IDS，对内部网络实施分布式监控，对内部攻击有主动防范以及应对措施。

　　以上就是我初步设计的网络机构，还在学习中，有不足之处还请指教-:)