第2章 中小型網(wǎng)絡(luò)系統(tǒng)總體規(guī)劃與設(shè)計(jì)方法
網(wǎng)絡(luò)運(yùn)行環(huán)境是指保障網(wǎng)絡(luò)系統(tǒng)安全����、可靠與正常運(yùn)行所必需的基本設(shè)施與設(shè)備條件。它主要包括機(jī)房與電源兩個(gè)部分����。機(jī)房是放置核心路由器、交換機(jī)���、服務(wù)器等核心設(shè)備的場(chǎng)所,同時(shí)也包括各個(gè)建筑物中放置路由器�����、交換機(jī)與布線設(shè)施的設(shè)備間�、配線間等場(chǎng)所。關(guān)鍵的網(wǎng)絡(luò)設(shè)備對(duì)供電條件的要求是很高的����,必須保證由專用的UPS系統(tǒng)供電����。支持信息系統(tǒng)的網(wǎng)絡(luò)包括網(wǎng)絡(luò)傳輸基礎(chǔ)設(shè)施�����、網(wǎng)絡(luò)設(shè)備兩部分���。網(wǎng)絡(luò)操作系統(tǒng)利用網(wǎng)絡(luò)通信設(shè)施所提供的數(shù)據(jù)傳輸功能����,為高層網(wǎng)絡(luò)用戶提供共享資源管理服務(wù)�,以及其他網(wǎng)絡(luò)服務(wù)功能。主要包括網(wǎng)絡(luò)性能分析����,存儲(chǔ)管理,網(wǎng)絡(luò)狀態(tài)監(jiān)控�。網(wǎng)絡(luò)應(yīng)用軟件開(kāi)發(fā)與運(yùn)行環(huán)境包括網(wǎng)絡(luò)數(shù)據(jù)庫(kù)管理系統(tǒng)與網(wǎng)絡(luò)軟件開(kāi)發(fā)工具。
在用戶單位制定項(xiàng)目建設(shè)任務(wù)書之后����,并且確定網(wǎng)絡(luò)信息系統(tǒng)建設(shè)任務(wù)之后��,項(xiàng)目承擔(dān)單位的首要任務(wù)就是網(wǎng)絡(luò)用戶調(diào)查和網(wǎng)絡(luò)工程需求分析�。網(wǎng)絡(luò)需求分析的目的是從實(shí)際出發(fā)�����,通過(guò)現(xiàn)場(chǎng)實(shí)地調(diào)研���,收集第一手資料��,對(duì)已經(jīng)存在的網(wǎng)絡(luò)系統(tǒng)或新建的網(wǎng)絡(luò)系統(tǒng)有一個(gè)系統(tǒng)的認(rèn)知��,取得對(duì)整個(gè)工程的總體認(rèn)識(shí)�����,確定總體目標(biāo)和階段性目標(biāo)�����,為系統(tǒng)總體設(shè)計(jì)打下基礎(chǔ)。需求分析是設(shè)計(jì)�����、建設(shè)與運(yùn)行網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵。網(wǎng)絡(luò)應(yīng)用需求調(diào)查就是要明晰用戶建網(wǎng)的目的��、要求與應(yīng)用���。
在確定網(wǎng)絡(luò)規(guī)模���、布局與拓?fù)浣Y(jié)構(gòu)之前,還需要對(duì)網(wǎng)絡(luò)結(jié)點(diǎn)地理位置分布情況進(jìn)行調(diào)查�。(先調(diào)查,后布局)
1����、用戶數(shù)量及分布的位置2、建筑物內(nèi)部結(jié)構(gòu)情況調(diào)查3��、建筑物群情況調(diào)查
INTERNET/INTRANET服務(wù)主要包括:WEB服務(wù)���、E-MAIL服務(wù)�、FTP服務(wù)����、IP電話服務(wù)、網(wǎng)絡(luò)電視會(huì)議服務(wù)電子商務(wù)服務(wù)、公共信息資源的在線查詢服務(wù)數(shù)據(jù)庫(kù)服務(wù)包括:關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)���、非結(jié)構(gòu)化數(shù)據(jù)庫(kù)管理系統(tǒng)��、企業(yè)專用管理信息系統(tǒng)��。網(wǎng)絡(luò)基礎(chǔ)服務(wù)系統(tǒng)包括:網(wǎng)絡(luò)管理和服務(wù)軟件�,網(wǎng)絡(luò)安全管理軟件����。
網(wǎng)絡(luò)需求詳細(xì)分析主要包括:網(wǎng)絡(luò)總體需求分析、綜合布線需求分析��、網(wǎng)絡(luò)可用性與可靠性分析��、網(wǎng)絡(luò)安全性需求�����,以及分析網(wǎng)絡(luò)工程造價(jià)估算���。
網(wǎng)絡(luò)工程造價(jià)估算1�����、網(wǎng)絡(luò)設(shè)備���,如路由器、交換機(jī)���、集線器���、網(wǎng)卡。2�、網(wǎng)絡(luò)基礎(chǔ)設(shè)施,如UPS電源�、機(jī)房裝修、雙絞線與光纖等���。3�、遠(yuǎn)程通信線路與接入城域網(wǎng)的租用線路��。4����、服務(wù)器與客戶端設(shè)備,如服務(wù)器群��、網(wǎng)絡(luò)打印機(jī)等。
5����、系統(tǒng)集成費(fèi)用、用戶培訓(xùn)費(fèi)用與系統(tǒng)維護(hù)費(fèi)用�����。
大型和中型網(wǎng)絡(luò)系統(tǒng)必須采用分層的設(shè)計(jì)思想���,這是解決網(wǎng)絡(luò)系統(tǒng)規(guī)模����、結(jié)構(gòu)和技術(shù)的復(fù)雜性的最有效方法����。
一個(gè)利用新一代網(wǎng)絡(luò)技術(shù)組建的大中型企業(yè)網(wǎng)、校園網(wǎng)或機(jī)關(guān)辦公網(wǎng)基本上都采用了3層網(wǎng)絡(luò)結(jié)構(gòu)����。其中,核心層網(wǎng)絡(luò)用于連接服務(wù)器集群����、各建筑物子網(wǎng)交換路由器�����,以及與城域網(wǎng)連接的出口;匯聚層網(wǎng)絡(luò)用于將分布在不同位置的子網(wǎng)連接到核心層網(wǎng)絡(luò),實(shí)現(xiàn)路由匯聚的功能;接入層網(wǎng)絡(luò)用于將終端用戶計(jì)算機(jī)接入到網(wǎng)絡(luò)之中��。典型的系統(tǒng)的核心路由器與核心路由器��、核心路由器與匯聚路由器直接使用具有冗余鏈路的光纖連接;匯聚路由器與接入路由器之間��、接入路由器與用戶計(jì)算機(jī)之間可以視情況而選擇價(jià)格較低的非屏蔽雙絞線UTP連接��。是否需要分成3層組建的經(jīng)驗(yàn)數(shù)據(jù)是:如果結(jié)點(diǎn)數(shù)為250-5000個(gè)����,一般需要按3層結(jié)構(gòu)來(lái)設(shè)計(jì);如果結(jié)點(diǎn)數(shù)為100-500個(gè),可以不必設(shè)計(jì)接入層網(wǎng)絡(luò)���,結(jié)點(diǎn)可直接通過(guò)匯聚層的路由器或交換機(jī)接入;如果結(jié)點(diǎn)數(shù)為5-250個(gè)�����,也可以不設(shè)計(jì)接入層網(wǎng)絡(luò)與匯聚層網(wǎng)絡(luò)��。
核心層網(wǎng)絡(luò)一般要承擔(dān)整個(gè)網(wǎng)絡(luò)流量的40%-60%目前應(yīng)用于核心層網(wǎng)絡(luò)的技術(shù)標(biāo)準(zhǔn)主要是GE/10GE,核心設(shè)備是高性能交換路由器�����,連接核心路由器的是具有冗余鏈路的光纖��。
核心網(wǎng)絡(luò)系統(tǒng)分層設(shè)計(jì)的另一個(gè)好處是可以方便地分配與規(guī)劃帶寬���,有利于均衡負(fù)荷�,提高網(wǎng)絡(luò)效率��。根據(jù)實(shí)際經(jīng)驗(yàn)總結(jié):層次之間的上聯(lián)帶寬與下一級(jí)帶寬之比一般控制在1:20.
在網(wǎng)絡(luò)設(shè)備的選取時(shí)�,主干設(shè)備一定要留有一定的余量��,注意系統(tǒng)的可擴(kuò)展性����。路由器一般是根據(jù)路由器背板交換能力來(lái)劃分的。背板交換能力大于40Gbps的稱做高端路由器���。背板交換能力低于40Gbps的稱做中低端路由器����。高端路由器一般用作核心層的主干路由器�,企業(yè)級(jí)路由器一般用于匯聚層的路由器���,低端路由器一般用于接入層的接入路由器。
路由器的吞吐量涉及兩個(gè)方面的內(nèi)容:端口吞吐量與整機(jī)吞吐量����。端口吞吐量是指路由器的具體一個(gè)端口的包轉(zhuǎn)發(fā)能力,而整機(jī)吞吐量是指路由器整機(jī)的包轉(zhuǎn)發(fā)能力����。高速路由器一般要求長(zhǎng)度為1518B的 IP包�����,延時(shí)要小于1ms.
路由器是通過(guò)路由表來(lái)決定包轉(zhuǎn)發(fā)路徑的�����。高速路由器應(yīng)該能夠支持至少25萬(wàn)條路由����。
路由器的冗余表現(xiàn)在:接口冗余、電源冗余���、系統(tǒng)板冗余�、時(shí)鐘板冗余、整機(jī)設(shè)備冗余等方面��。
Internet通用服務(wù)器包括:DNS�����、E-MAIL�、FTP、WWW以及遠(yuǎn)程通信服務(wù)器���、代理服務(wù)器����。
典型的高端路由器的可靠性與可用性指標(biāo)應(yīng)該達(dá)到:系統(tǒng)故障恢復(fù)時(shí)間小于30分鐘�����。
交換機(jī)從應(yīng)用規(guī)模分類�,可以分為:企業(yè)級(jí)、部門級(jí)與工作組級(jí)交換機(jī)
一般的企業(yè)級(jí)交換機(jī)都是模塊式交換機(jī);部門級(jí)交換機(jī)可是是固定端口��,也可以是模塊式;工作級(jí)交換機(jī)是固定端口交換機(jī)���。從應(yīng)用規(guī)模上看����,支持500個(gè)以上結(jié)點(diǎn)的大型應(yīng)用可以選取企業(yè)級(jí)交換機(jī);支持300個(gè)以下結(jié)點(diǎn)的中型應(yīng)用要選取部門級(jí)交換機(jī);支持100個(gè)結(jié)點(diǎn)以下小型應(yīng)用要選取工作組級(jí)交換機(jī)。
背板是交換機(jī)輸入端與輸出端之間的物理通道��。背板帶寬越寬���,交換機(jī)數(shù)據(jù)處理能力就越快����,數(shù)據(jù)包轉(zhuǎn)發(fā)延遲越小���,性能越優(yōu)越。全雙工端口帶寬的計(jì)算方法是:端口數(shù)X端口速率X2
VLAN的劃分可以是基于端口的�,也可以是基于MAC地址或IP地址的。
對(duì)于作為主干設(shè)備的交換機(jī)需要注意選擇;是否每個(gè)端口都有獨(dú)立的緩沖區(qū)��,模塊或端口是否設(shè)計(jì)有獨(dú)立的輸入�、輸出緩沖區(qū),以及緩沖區(qū)的隊(duì)列調(diào)度算法�����。
主要的網(wǎng)絡(luò)管理協(xié)議與軟件包括IBM NnetView�、HP OPENVIEW����、SNMP等�����。
非對(duì)等結(jié)構(gòu)網(wǎng)絡(luò)操作系統(tǒng)軟件分為兩部分�����,一部分運(yùn)行在服務(wù)器上�����,另一部分運(yùn)行在工作站上�����。硬盤服務(wù)器將共享的硬盤空間劃分成多個(gè)虛擬盤體�,虛擬盤體可以分為以下三個(gè)部分:專用盤體、公用盤體與共享盤體�����。
網(wǎng)絡(luò)操作系統(tǒng)分為以下兩部分:文件服務(wù)器與工作站軟件。
Internet/Intranet通用服務(wù)器主要包括:DNS服務(wù)器�、E-MAIL服務(wù)器、FTP服務(wù)器�����、WWW服務(wù)器���,以及遠(yuǎn)程通信服務(wù)器����、代理服務(wù)器等����;趶(fù)雜指令集CISC處理器的INTEL結(jié)構(gòu)的PC服務(wù)器的優(yōu)點(diǎn):通用性好��,配置簡(jiǎn)單���,性能價(jià)格比高,第三方支持軟件豐富���,系統(tǒng)維護(hù)方便�。基于精簡(jiǎn)指令集RISC結(jié)構(gòu)處理器的服務(wù)器與相應(yīng)的PC服務(wù)器相比�,CPU處理能力能夠提高50%-75%.集群計(jì)算技術(shù)可以大大提高服務(wù)器的可靠性、可用性與容災(zāi)能力��。硬盤性能的參數(shù)包括:主軸轉(zhuǎn)速����、內(nèi)部傳輸率、單碟容量�����、平均巡道時(shí)間與緩存��。系統(tǒng)高可用性=MTBF / (MTBF+MTBR)
MTBF為平均無(wú)故障時(shí)間��,MTBR為平均修復(fù)時(shí)間����。
服務(wù)器選型的基本原則1、根據(jù)不同的應(yīng)用特點(diǎn)選擇服務(wù)器2��、根據(jù)不同的行業(yè)特點(diǎn)選擇服務(wù)器3���、根據(jù)產(chǎn)品的成熟程度選擇服務(wù)器�����。在INTERNET中��,對(duì)網(wǎng)絡(luò)的攻擊可以分為兩種基本類型���,即服務(wù)攻擊與非服務(wù)攻擊�����。從黑客攻擊的手段上看��,又可以大致分為以下8種:系統(tǒng)入侵類攻擊����、緩沖區(qū)溢出攻擊���、欺騙類攻擊�、拒絕服務(wù)類攻擊�、防火墻攻擊�����、病毒類攻擊、木馬程序攻擊與后門攻擊�����。
服務(wù)攻擊是指對(duì)為網(wǎng)絡(luò)提供某種服務(wù)的服務(wù)器發(fā)起攻擊�����,造成該服務(wù)器的“拒絕服務(wù)”,使網(wǎng)絡(luò)工作不正常�。TCP/IP缺乏認(rèn)證、保密措施��。
非服務(wù)攻擊不針對(duì)某項(xiàng)具體應(yīng)用服務(wù)�,而是針對(duì)網(wǎng)絡(luò)層等低層協(xié)議進(jìn)行的。
網(wǎng)絡(luò)服務(wù)是通過(guò)各種協(xié)議來(lái)完成的���。目前保證協(xié)議安全性��,有兩種基本的方法:一種是用形式化方法來(lái)證明一個(gè)協(xié)議是安全的;另一種是設(shè)計(jì)者用經(jīng)驗(yàn)來(lái)分析協(xié)議的安全性���。形式化證明方法是人們所希望的,但一般的協(xié)議安全性也是不可判定的���。網(wǎng)絡(luò)協(xié)議的漏洞是當(dāng)今INTERNET面臨的一個(gè)嚴(yán)重的安全問(wèn)題��。黑客的攻擊手段和方法多種多樣����,一般可以分為主動(dòng)攻擊和被動(dòng)攻擊。網(wǎng)絡(luò)中的信息安全主要包括兩個(gè)方面:信息存儲(chǔ)安全與信息傳輸安全����。
信息存儲(chǔ)安全是指如何保證靜態(tài)存儲(chǔ)在聯(lián)網(wǎng)計(jì)算機(jī)中的信息不會(huì)被未授權(quán)的網(wǎng)絡(luò)用戶非法使用。
信息傳輸安全是指如何保證信息在網(wǎng)絡(luò)傳輸?shù)倪^(guò)程中不被泄露與不被攻擊��。信息傳輸安全過(guò)程的安全威脅主要有:截獲信息����、竊聽(tīng)信息、篡改信息與偽造信息�。保證網(wǎng)絡(luò)系統(tǒng)中信息安全的主要技術(shù)是數(shù)據(jù)的加密與解密。
在密碼學(xué)中�,將源信息稱為明文。將明文變換成密文的過(guò)程稱為加密���,而將密文經(jīng)過(guò)逆變換恢復(fù)成明文的過(guò)程稱為解密�。
目前���,全球出現(xiàn)的數(shù)萬(wàn)種病毒按基本類型可劃分為6種����,即引導(dǎo)型病毒����、可執(zhí)行文件病毒、宏病毒����、混合病毒、特洛伊木馬型病毒與INTERNET語(yǔ)言病毒������;疑浖ㄩg諜程序、廣告程序���、后門程序��、下載程序�����、植入程序等
網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)的原則
1�、全局考慮的原則-整體安全性取決于最薄弱環(huán)節(jié)。2��、整體設(shè)計(jì)的原則---網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)包括預(yù)防��、檢測(cè)���、反應(yīng)與應(yīng)急處理����,因此網(wǎng)絡(luò)系統(tǒng)安全必須包括3個(gè)機(jī)制:安全防護(hù)機(jī)制����、安全檢測(cè)機(jī)制與安全恢復(fù)機(jī)制。3��、有效性與實(shí)用性的原則-網(wǎng)絡(luò)安全與網(wǎng)絡(luò)使用是矛盾的兩個(gè)方面�����。4��、等級(jí)性原則 5����、自主性與可控性原則6���、安全有價(jià)原則-網(wǎng)絡(luò)安全系統(tǒng)的造價(jià)是與系統(tǒng)的規(guī)模、復(fù)雜程序有關(guān)����。
