第2章 中小型網(wǎng)絡系統(tǒng)總體規(guī)劃與設計方法
網(wǎng)絡運行環(huán)境是指保障網(wǎng)絡系統(tǒng)安全�����、可靠與正常運行所必需的基本設施與設備條件�����。它主要包括機房與電源兩個部分��。機房是放置核心路由器����、交換機�����、服務器等核心設備的場所��,同時也包括各個建筑物中放置路由器�����、交換機與布線設施的設備間、配線間等場所���。關鍵的網(wǎng)絡設備對供電條件的要求是很高的���,必須保證由專用的UPS系統(tǒng)供電。支持信息系統(tǒng)的網(wǎng)絡包括網(wǎng)絡傳輸基礎設施�、網(wǎng)絡設備兩部分。網(wǎng)絡操作系統(tǒng)利用網(wǎng)絡通信設施所提供的數(shù)據(jù)傳輸功能����,為高層網(wǎng)絡用戶提供共享資源管理服務,以及其他網(wǎng)絡服務功能����。主要包括網(wǎng)絡性能分析,存儲管理����,網(wǎng)絡狀態(tài)監(jiān)控。網(wǎng)絡應用軟件開發(fā)與運行環(huán)境包括網(wǎng)絡數(shù)據(jù)庫管理系統(tǒng)與網(wǎng)絡軟件開發(fā)工具�。
在用戶單位制定項目建設任務書之后,并且確定網(wǎng)絡信息系統(tǒng)建設任務之后,項目承擔單位的首要任務就是網(wǎng)絡用戶調查和網(wǎng)絡工程需求分析����。網(wǎng)絡需求分析的目的是從實際出發(fā)����,通過現(xiàn)場實地調研,收集第一手資料�,對已經存在的網(wǎng)絡系統(tǒng)或新建的網(wǎng)絡系統(tǒng)有一個系統(tǒng)的認知,取得對整個工程的總體認識���,確定總體目標和階段性目標�����,為系統(tǒng)總體設計打下基礎�。需求分析是設計���、建設與運行網(wǎng)絡系統(tǒng)的關鍵��。網(wǎng)絡應用需求調查就是要明晰用戶建網(wǎng)的目的���、要求與應用。
在確定網(wǎng)絡規(guī)模、布局與拓撲結構之前�����,還需要對網(wǎng)絡結點地理位置分布情況進行調查����。(先調查,后布局)
1����、用戶數(shù)量及分布的位置2、建筑物內部結構情況調查3���、建筑物群情況調查
INTERNET/INTRANET服務主要包括:WEB服務�����、E-MAIL服務�、FTP服務���、IP電話服務���、網(wǎng)絡電視會議服務電子商務服務�����、公共信息資源的在線查詢服務數(shù)據(jù)庫服務包括:關系數(shù)據(jù)庫管理系統(tǒng)����、非結構化數(shù)據(jù)庫管理系統(tǒng)����、企業(yè)專用管理信息系統(tǒng)�����。網(wǎng)絡基礎服務系統(tǒng)包括:網(wǎng)絡管理和服務軟件��,網(wǎng)絡安全管理軟件���。
網(wǎng)絡需求詳細分析主要包括:網(wǎng)絡總體需求分析�����、綜合布線需求分析�����、網(wǎng)絡可用性與可靠性分析�����、網(wǎng)絡安全性需求����,以及分析網(wǎng)絡工程造價估算。
網(wǎng)絡工程造價估算1�、網(wǎng)絡設備,如路由器���、交換機���、集線器、網(wǎng)卡�����。2���、網(wǎng)絡基礎設施�����,如UPS電源�、機房裝修、雙絞線與光纖等�。3、遠程通信線路與接入城域網(wǎng)的租用線路�����。4�、服務器與客戶端設備��,如服務器群�����、網(wǎng)絡打印機等�����。
5���、系統(tǒng)集成費用���、用戶培訓費用與系統(tǒng)維護費用���。
大型和中型網(wǎng)絡系統(tǒng)必須采用分層的設計思想,這是解決網(wǎng)絡系統(tǒng)規(guī)模���、結構和技術的復雜性的最有效方法���。
一個利用新一代網(wǎng)絡技術組建的大中型企業(yè)網(wǎng)、校園網(wǎng)或機關辦公網(wǎng)基本上都采用了3層網(wǎng)絡結構����。其中,核心層網(wǎng)絡用于連接服務器集群�、各建筑物子網(wǎng)交換路由器,以及與城域網(wǎng)連接的出口;匯聚層網(wǎng)絡用于將分布在不同位置的子網(wǎng)連接到核心層網(wǎng)絡��,實現(xiàn)路由匯聚的功能;接入層網(wǎng)絡用于將終端用戶計算機接入到網(wǎng)絡之中��。典型的系統(tǒng)的核心路由器與核心路由器���、核心路由器與匯聚路由器直接使用具有冗余鏈路的光纖連接;匯聚路由器與接入路由器之間���、接入路由器與用戶計算機之間可以視情況而選擇價格較低的非屏蔽雙絞線UTP連接。是否需要分成3層組建的經驗數(shù)據(jù)是:如果結點數(shù)為250-5000個���,一般需要按3層結構來設計;如果結點數(shù)為100-500個�,可以不必設計接入層網(wǎng)絡,結點可直接通過匯聚層的路由器或交換機接入;如果結點數(shù)為5-250個����,也可以不設計接入層網(wǎng)絡與匯聚層網(wǎng)絡。
核心層網(wǎng)絡一般要承擔整個網(wǎng)絡流量的40%-60%目前應用于核心層網(wǎng)絡的技術標準主要是GE/10GE,核心設備是高性能交換路由器�����,連接核心路由器的是具有冗余鏈路的光纖�����。
核心網(wǎng)絡系統(tǒng)分層設計的另一個好處是可以方便地分配與規(guī)劃帶寬��,有利于均衡負荷�����,提高網(wǎng)絡效率���。根據(jù)實際經驗總結:層次之間的上聯(lián)帶寬與下一級帶寬之比一般控制在1:20.
在網(wǎng)絡設備的選取時,主干設備一定要留有一定的余量��,注意系統(tǒng)的可擴展性。路由器一般是根據(jù)路由器背板交換能力來劃分的����。背板交換能力大于40Gbps的稱做高端路由器。背板交換能力低于40Gbps的稱做中低端路由器���。高端路由器一般用作核心層的主干路由器����,企業(yè)級路由器一般用于匯聚層的路由器�����,低端路由器一般用于接入層的接入路由器��。
路由器的吞吐量涉及兩個方面的內容:端口吞吐量與整機吞吐量���。端口吞吐量是指路由器的具體一個端口的包轉發(fā)能力���,而整機吞吐量是指路由器整機的包轉發(fā)能力。高速路由器一般要求長度為1518B的 IP包����,延時要小于1ms.
路由器是通過路由表來決定包轉發(fā)路徑的����。高速路由器應該能夠支持至少25萬條路由�。
路由器的冗余表現(xiàn)在:接口冗余、電源冗余��、系統(tǒng)板冗余���、時鐘板冗余�����、整機設備冗余等方面�。
Internet通用服務器包括:DNS���、E-MAIL�����、FTP、WWW以及遠程通信服務器���、代理服務器���。
典型的高端路由器的可靠性與可用性指標應該達到:系統(tǒng)故障恢復時間小于30分鐘���。
交換機從應用規(guī)模分類,可以分為:企業(yè)級���、部門級與工作組級交換機
一般的企業(yè)級交換機都是模塊式交換機;部門級交換機可是是固定端口�,也可以是模塊式;工作級交換機是固定端口交換機����。從應用規(guī)模上看,支持500個以上結點的大型應用可以選取企業(yè)級交換機;支持300個以下結點的中型應用要選取部門級交換機;支持100個結點以下小型應用要選取工作組級交換機�����。
背板是交換機輸入端與輸出端之間的物理通道�。背板帶寬越寬,交換機數(shù)據(jù)處理能力就越快����,數(shù)據(jù)包轉發(fā)延遲越小,性能越優(yōu)越����。全雙工端口帶寬的計算方法是:端口數(shù)X端口速率X2
VLAN的劃分可以是基于端口的����,也可以是基于MAC地址或IP地址的����。
對于作為主干設備的交換機需要注意選擇;是否每個端口都有獨立的緩沖區(qū),模塊或端口是否設計有獨立的輸入����、輸出緩沖區(qū),以及緩沖區(qū)的隊列調度算法��。
主要的網(wǎng)絡管理協(xié)議與軟件包括IBM NnetView�����、HP OPENVIEW�、SNMP等。
非對等結構網(wǎng)絡操作系統(tǒng)軟件分為兩部分��,一部分運行在服務器上����,另一部分運行在工作站上。硬盤服務器將共享的硬盤空間劃分成多個虛擬盤體���,虛擬盤體可以分為以下三個部分:專用盤體�、公用盤體與共享盤體��。
網(wǎng)絡操作系統(tǒng)分為以下兩部分:文件服務器與工作站軟件��。
Internet/Intranet通用服務器主要包括:DNS服務器����、E-MAIL服務器、FTP服務器��、WWW服務器����,以及遠程通信服務器、代理服務器等����。基于復雜指令集CISC處理器的INTEL結構的PC服務器的優(yōu)點:通用性好����,配置簡單�,性能價格比高����,第三方支持軟件豐富,系統(tǒng)維護方便������;诰喼噶罴疪ISC結構處理器的服務器與相應的PC服務器相比,CPU處理能力能夠提高50%-75%.集群計算技術可以大大提高服務器的可靠性���、可用性與容災能力����。硬盤性能的參數(shù)包括:主軸轉速���、內部傳輸率����、單碟容量�、平均巡道時間與緩存。系統(tǒng)高可用性=MTBF / (MTBF+MTBR)
MTBF為平均無故障時間��,MTBR為平均修復時間。
服務器選型的基本原則1��、根據(jù)不同的應用特點選擇服務器2���、根據(jù)不同的行業(yè)特點選擇服務器3、根據(jù)產品的成熟程度選擇服務器��。在INTERNET中��,對網(wǎng)絡的攻擊可以分為兩種基本類型����,即服務攻擊與非服務攻擊。從黑客攻擊的手段上看���,又可以大致分為以下8種:系統(tǒng)入侵類攻擊�、緩沖區(qū)溢出攻擊�、欺騙類攻擊、拒絕服務類攻擊����、防火墻攻擊、病毒類攻擊�����、木馬程序攻擊與后門攻擊。
服務攻擊是指對為網(wǎng)絡提供某種服務的服務器發(fā)起攻擊����,造成該服務器的“拒絕服務”,使網(wǎng)絡工作不正常。TCP/IP缺乏認證��、保密措施���。
非服務攻擊不針對某項具體應用服務����,而是針對網(wǎng)絡層等低層協(xié)議進行的���。
網(wǎng)絡服務是通過各種協(xié)議來完成的��。目前保證協(xié)議安全性���,有兩種基本的方法:一種是用形式化方法來證明一個協(xié)議是安全的;另一種是設計者用經驗來分析協(xié)議的安全性。形式化證明方法是人們所希望的�����,但一般的協(xié)議安全性也是不可判定的。網(wǎng)絡協(xié)議的漏洞是當今INTERNET面臨的一個嚴重的安全問題�����。黑客的攻擊手段和方法多種多樣����,一般可以分為主動攻擊和被動攻擊�����。網(wǎng)絡中的信息安全主要包括兩個方面:信息存儲安全與信息傳輸安全�����。
信息存儲安全是指如何保證靜態(tài)存儲在聯(lián)網(wǎng)計算機中的信息不會被未授權的網(wǎng)絡用戶非法使用�����。
信息傳輸安全是指如何保證信息在網(wǎng)絡傳輸?shù)倪^程中不被泄露與不被攻擊����。信息傳輸安全過程的安全威脅主要有:截獲信息、竊聽信息���、篡改信息與偽造信息����。保證網(wǎng)絡系統(tǒng)中信息安全的主要技術是數(shù)據(jù)的加密與解密。
在密碼學中�,將源信息稱為明文。將明文變換成密文的過程稱為加密��,而將密文經過逆變換恢復成明文的過程稱為解密��。
目前����,全球出現(xiàn)的數(shù)萬種病毒按基本類型可劃分為6種,即引導型病毒����、可執(zhí)行文件病毒、宏病毒���、混合病毒���、特洛伊木馬型病毒與INTERNET語言病毒。灰色軟件包括間諜程序�、廣告程序、后門程序���、下載程序�、植入程序等
網(wǎng)絡系統(tǒng)安全設計的原則
1��、全局考慮的原則-整體安全性取決于最薄弱環(huán)節(jié)�。2、整體設計的原則---網(wǎng)絡系統(tǒng)安全設計包括預防����、檢測�、反應與應急處理,因此網(wǎng)絡系統(tǒng)安全必須包括3個機制:安全防護機制���、安全檢測機制與安全恢復機制����。3��、有效性與實用性的原則-網(wǎng)絡安全與網(wǎng)絡使用是矛盾的兩個方面�。4、等級性原則 5、自主性與可控性原則6�、安全有價原則-網(wǎng)絡安全系統(tǒng)的造價是與系統(tǒng)的規(guī)模、復雜程序有關�����。
