第2章 中小型網(wǎng)絡(luò)系統(tǒng)總體規(guī)劃與設(shè)計方法
網(wǎng)絡(luò)運行環(huán)境是指保障網(wǎng)絡(luò)系統(tǒng)安全�、可靠與正常運行所必需的基本設(shè)施與設(shè)備條件�。它主要包括機房與電源兩個部分。機房是放置核心路由器����、交換機���、服務(wù)器等核心設(shè)備的場所,同時也包括各個建筑物中放置路由器�����、交換機與布線設(shè)施的設(shè)備間�����、配線間等場所����。關(guān)鍵的網(wǎng)絡(luò)設(shè)備對供電條件的要求是很高的�����,必須保證由專用的UPS系統(tǒng)供電��。支持信息系統(tǒng)的網(wǎng)絡(luò)包括網(wǎng)絡(luò)傳輸基礎(chǔ)設(shè)施�����、網(wǎng)絡(luò)設(shè)備兩部分��。網(wǎng)絡(luò)操作系統(tǒng)利用網(wǎng)絡(luò)通信設(shè)施所提供的數(shù)據(jù)傳輸功能,為高層網(wǎng)絡(luò)用戶提供共享資源管理服務(wù)�,以及其他網(wǎng)絡(luò)服務(wù)功能�����。主要包括網(wǎng)絡(luò)性能分析��,存儲管理����,網(wǎng)絡(luò)狀態(tài)監(jiān)控。網(wǎng)絡(luò)應(yīng)用軟件開發(fā)與運行環(huán)境包括網(wǎng)絡(luò)數(shù)據(jù)庫管理系統(tǒng)與網(wǎng)絡(luò)軟件開發(fā)工具��。
在用戶單位制定項目建設(shè)任務(wù)書之后�,并且確定網(wǎng)絡(luò)信息系統(tǒng)建設(shè)任務(wù)之后,項目承擔(dān)單位的首要任務(wù)就是網(wǎng)絡(luò)用戶調(diào)查和網(wǎng)絡(luò)工程需求分析���。網(wǎng)絡(luò)需求分析的目的是從實際出發(fā)���,通過現(xiàn)場實地調(diào)研,收集第一手資料�����,對已經(jīng)存在的網(wǎng)絡(luò)系統(tǒng)或新建的網(wǎng)絡(luò)系統(tǒng)有一個系統(tǒng)的認(rèn)知,取得對整個工程的總體認(rèn)識�,確定總體目標(biāo)和階段性目標(biāo),為系統(tǒng)總體設(shè)計打下基礎(chǔ)�����。需求分析是設(shè)計�、建設(shè)與運行網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵。網(wǎng)絡(luò)應(yīng)用需求調(diào)查就是要明晰用戶建網(wǎng)的目的��、要求與應(yīng)用��。
在確定網(wǎng)絡(luò)規(guī)模�����、布局與拓?fù)浣Y(jié)構(gòu)之前����,還需要對網(wǎng)絡(luò)結(jié)點地理位置分布情況進行調(diào)查���。(先調(diào)查�����,后布局)
1�、用戶數(shù)量及分布的位置2、建筑物內(nèi)部結(jié)構(gòu)情況調(diào)查3����、建筑物群情況調(diào)查
INTERNET/INTRANET服務(wù)主要包括:WEB服務(wù)、E-MAIL服務(wù)�、FTP服務(wù)、IP電話服務(wù)���、網(wǎng)絡(luò)電視會議服務(wù)電子商務(wù)服務(wù)���、公共信息資源的在線查詢服務(wù)數(shù)據(jù)庫服務(wù)包括:關(guān)系數(shù)據(jù)庫管理系統(tǒng)、非結(jié)構(gòu)化數(shù)據(jù)庫管理系統(tǒng)��、企業(yè)專用管理信息系統(tǒng)��。網(wǎng)絡(luò)基礎(chǔ)服務(wù)系統(tǒng)包括:網(wǎng)絡(luò)管理和服務(wù)軟件�����,網(wǎng)絡(luò)安全管理軟件��。
網(wǎng)絡(luò)需求詳細(xì)分析主要包括:網(wǎng)絡(luò)總體需求分析、綜合布線需求分析�����、網(wǎng)絡(luò)可用性與可靠性分析�、網(wǎng)絡(luò)安全性需求,以及分析網(wǎng)絡(luò)工程造價估算����。
網(wǎng)絡(luò)工程造價估算1、網(wǎng)絡(luò)設(shè)備�,如路由器、交換機��、集線器�����、網(wǎng)卡�����。2����、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,如UPS電源�����、機房裝修���、雙絞線與光纖等����。3����、遠程通信線路與接入城域網(wǎng)的租用線路。4�����、服務(wù)器與客戶端設(shè)備����,如服務(wù)器群、網(wǎng)絡(luò)打印機等����。
5����、系統(tǒng)集成費用�、用戶培訓(xùn)費用與系統(tǒng)維護費用。
大型和中型網(wǎng)絡(luò)系統(tǒng)必須采用分層的設(shè)計思想��,這是解決網(wǎng)絡(luò)系統(tǒng)規(guī)模�����、結(jié)構(gòu)和技術(shù)的復(fù)雜性的最有效方法��。
一個利用新一代網(wǎng)絡(luò)技術(shù)組建的大中型企業(yè)網(wǎng)�����、校園網(wǎng)或機關(guān)辦公網(wǎng)基本上都采用了3層網(wǎng)絡(luò)結(jié)構(gòu)�。其中,核心層網(wǎng)絡(luò)用于連接服務(wù)器集群����、各建筑物子網(wǎng)交換路由器,以及與城域網(wǎng)連接的出口;匯聚層網(wǎng)絡(luò)用于將分布在不同位置的子網(wǎng)連接到核心層網(wǎng)絡(luò)���,實現(xiàn)路由匯聚的功能;接入層網(wǎng)絡(luò)用于將終端用戶計算機接入到網(wǎng)絡(luò)之中�����。典型的系統(tǒng)的核心路由器與核心路由器�����、核心路由器與匯聚路由器直接使用具有冗余鏈路的光纖連接;匯聚路由器與接入路由器之間����、接入路由器與用戶計算機之間可以視情況而選擇價格較低的非屏蔽雙絞線UTP連接��。是否需要分成3層組建的經(jīng)驗數(shù)據(jù)是:如果結(jié)點數(shù)為250-5000個�����,一般需要按3層結(jié)構(gòu)來設(shè)計;如果結(jié)點數(shù)為100-500個����,可以不必設(shè)計接入層網(wǎng)絡(luò),結(jié)點可直接通過匯聚層的路由器或交換機接入;如果結(jié)點數(shù)為5-250個���,也可以不設(shè)計接入層網(wǎng)絡(luò)與匯聚層網(wǎng)絡(luò)�。
核心層網(wǎng)絡(luò)一般要承擔(dān)整個網(wǎng)絡(luò)流量的40%-60%目前應(yīng)用于核心層網(wǎng)絡(luò)的技術(shù)標(biāo)準(zhǔn)主要是GE/10GE,核心設(shè)備是高性能交換路由器��,連接核心路由器的是具有冗余鏈路的光纖。
核心網(wǎng)絡(luò)系統(tǒng)分層設(shè)計的另一個好處是可以方便地分配與規(guī)劃帶寬����,有利于均衡負(fù)荷,提高網(wǎng)絡(luò)效率�。根據(jù)實際經(jīng)驗總結(jié):層次之間的上聯(lián)帶寬與下一級帶寬之比一般控制在1:20.
在網(wǎng)絡(luò)設(shè)備的選取時,主干設(shè)備一定要留有一定的余量��,注意系統(tǒng)的可擴展性��。路由器一般是根據(jù)路由器背板交換能力來劃分的�����。背板交換能力大于40Gbps的稱做高端路由器���。背板交換能力低于40Gbps的稱做中低端路由器����。高端路由器一般用作核心層的主干路由器�,企業(yè)級路由器一般用于匯聚層的路由器�,低端路由器一般用于接入層的接入路由器。
路由器的吞吐量涉及兩個方面的內(nèi)容:端口吞吐量與整機吞吐量�。端口吞吐量是指路由器的具體一個端口的包轉(zhuǎn)發(fā)能力����,而整機吞吐量是指路由器整機的包轉(zhuǎn)發(fā)能力�。高速路由器一般要求長度為1518B的 IP包�����,延時要小于1ms.
路由器是通過路由表來決定包轉(zhuǎn)發(fā)路徑的�。高速路由器應(yīng)該能夠支持至少25萬條路由���。
路由器的冗余表現(xiàn)在:接口冗余���、電源冗余�、系統(tǒng)板冗余����、時鐘板冗余����、整機設(shè)備冗余等方面�。
Internet通用服務(wù)器包括:DNS��、E-MAIL、FTP���、WWW以及遠程通信服務(wù)器�、代理服務(wù)器���。
典型的高端路由器的可靠性與可用性指標(biāo)應(yīng)該達到:系統(tǒng)故障恢復(fù)時間小于30分鐘��。
交換機從應(yīng)用規(guī)模分類,可以分為:企業(yè)級�、部門級與工作組級交換機
一般的企業(yè)級交換機都是模塊式交換機;部門級交換機可是是固定端口�,也可以是模塊式;工作級交換機是固定端口交換機���。從應(yīng)用規(guī)模上看,支持500個以上結(jié)點的大型應(yīng)用可以選取企業(yè)級交換機;支持300個以下結(jié)點的中型應(yīng)用要選取部門級交換機;支持100個結(jié)點以下小型應(yīng)用要選取工作組級交換機��。
背板是交換機輸入端與輸出端之間的物理通道�����。背板帶寬越寬,交換機數(shù)據(jù)處理能力就越快�����,數(shù)據(jù)包轉(zhuǎn)發(fā)延遲越小,性能越優(yōu)越���。全雙工端口帶寬的計算方法是:端口數(shù)X端口速率X2
VLAN的劃分可以是基于端口的,也可以是基于MAC地址或IP地址的�。
對于作為主干設(shè)備的交換機需要注意選擇;是否每個端口都有獨立的緩沖區(qū)�,模塊或端口是否設(shè)計有獨立的輸入���、輸出緩沖區(qū)�����,以及緩沖區(qū)的隊列調(diào)度算法�。
主要的網(wǎng)絡(luò)管理協(xié)議與軟件包括IBM NnetView��、HP OPENVIEW���、SNMP等。
非對等結(jié)構(gòu)網(wǎng)絡(luò)操作系統(tǒng)軟件分為兩部分�,一部分運行在服務(wù)器上,另一部分運行在工作站上�。硬盤服務(wù)器將共享的硬盤空間劃分成多個虛擬盤體���,虛擬盤體可以分為以下三個部分:專用盤體�����、公用盤體與共享盤體���。
網(wǎng)絡(luò)操作系統(tǒng)分為以下兩部分:文件服務(wù)器與工作站軟件��。
Internet/Intranet通用服務(wù)器主要包括:DNS服務(wù)器、E-MAIL服務(wù)器����、FTP服務(wù)器、WWW服務(wù)器�,以及遠程通信服務(wù)器、代理服務(wù)器等�����;趶(fù)雜指令集CISC處理器的INTEL結(jié)構(gòu)的PC服務(wù)器的優(yōu)點:通用性好,配置簡單,性能價格比高��,第三方支持軟件豐富�,系統(tǒng)維護方便。基于精簡指令集RISC結(jié)構(gòu)處理器的服務(wù)器與相應(yīng)的PC服務(wù)器相比�,CPU處理能力能夠提高50%-75%.集群計算技術(shù)可以大大提高服務(wù)器的可靠性、可用性與容災(zāi)能力���。硬盤性能的參數(shù)包括:主軸轉(zhuǎn)速��、內(nèi)部傳輸率���、單碟容量�、平均巡道時間與緩存。系統(tǒng)高可用性=MTBF / (MTBF+MTBR)
MTBF為平均無故障時間����,MTBR為平均修復(fù)時間���。
服務(wù)器選型的基本原則1�����、根據(jù)不同的應(yīng)用特點選擇服務(wù)器2、根據(jù)不同的行業(yè)特點選擇服務(wù)器3���、根據(jù)產(chǎn)品的成熟程度選擇服務(wù)器。在INTERNET中�����,對網(wǎng)絡(luò)的攻擊可以分為兩種基本類型�����,即服務(wù)攻擊與非服務(wù)攻擊����。從黑客攻擊的手段上看��,又可以大致分為以下8種:系統(tǒng)入侵類攻擊�����、緩沖區(qū)溢出攻擊���、欺騙類攻擊、拒絕服務(wù)類攻擊、防火墻攻擊、病毒類攻擊����、木馬程序攻擊與后門攻擊。
服務(wù)攻擊是指對為網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊����,造成該服務(wù)器的“拒絕服務(wù)”,使網(wǎng)絡(luò)工作不正常。TCP/IP缺乏認(rèn)證�����、保密措施��。
非服務(wù)攻擊不針對某項具體應(yīng)用服務(wù)���,而是針對網(wǎng)絡(luò)層等低層協(xié)議進行的���。
網(wǎng)絡(luò)服務(wù)是通過各種協(xié)議來完成的。目前保證協(xié)議安全性��,有兩種基本的方法:一種是用形式化方法來證明一個協(xié)議是安全的;另一種是設(shè)計者用經(jīng)驗來分析協(xié)議的安全性���。形式化證明方法是人們所希望的,但一般的協(xié)議安全性也是不可判定的�。網(wǎng)絡(luò)協(xié)議的漏洞是當(dāng)今INTERNET面臨的一個嚴(yán)重的安全問題���。黑客的攻擊手段和方法多種多樣�����,一般可以分為主動攻擊和被動攻擊��。網(wǎng)絡(luò)中的信息安全主要包括兩個方面:信息存儲安全與信息傳輸安全�。
信息存儲安全是指如何保證靜態(tài)存儲在聯(lián)網(wǎng)計算機中的信息不會被未授權(quán)的網(wǎng)絡(luò)用戶非法使用�����。
信息傳輸安全是指如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^程中不被泄露與不被攻擊�。信息傳輸安全過程的安全威脅主要有:截獲信息、竊聽信息、篡改信息與偽造信息��。保證網(wǎng)絡(luò)系統(tǒng)中信息安全的主要技術(shù)是數(shù)據(jù)的加密與解密��。
在密碼學(xué)中,將源信息稱為明文。將明文變換成密文的過程稱為加密�����,而將密文經(jīng)過逆變換恢復(fù)成明文的過程稱為解密�����。
目前����,全球出現(xiàn)的數(shù)萬種病毒按基本類型可劃分為6種���,即引導(dǎo)型病毒�、可執(zhí)行文件病毒��、宏病毒���、混合病毒、特洛伊木馬型病毒與INTERNET語言病毒������;疑浖ㄩg諜程序、廣告程序�、后門程序、下載程序�����、植入程序等
網(wǎng)絡(luò)系統(tǒng)安全設(shè)計的原則
1��、全局考慮的原則-整體安全性取決于最薄弱環(huán)節(jié)���。2、整體設(shè)計的原則---網(wǎng)絡(luò)系統(tǒng)安全設(shè)計包括預(yù)防�、檢測、反應(yīng)與應(yīng)急處理�,因此網(wǎng)絡(luò)系統(tǒng)安全必須包括3個機制:安全防護機制、安全檢測機制與安全恢復(fù)機制��。3���、有效性與實用性的原則-網(wǎng)絡(luò)安全與網(wǎng)絡(luò)使用是矛盾的兩個方面����。4、等級性原則 5����、自主性與可控性原則6、安全有價原則-網(wǎng)絡(luò)安全系統(tǒng)的造價是與系統(tǒng)的規(guī)模����、復(fù)雜程序有關(guān)。
