第2章 中小型網絡系統總體規劃與設計方法

　　網絡運行環境是指保障網絡系統安全、可靠與正常運行所必需的基本設施與設備條件。它主要包括機房與電源兩個部分。機房是放置核心路由器、交換機、服務器等核心設備的場所，同時也包括各個建筑物中放置路由器、交換機與布線設施的設備間、配線間等場所。關鍵的網絡設備對供電條件的要求是很高的，必須保證由專用的UPS系統供電。支持信息系統的網絡包括網絡傳輸基礎設施、網絡設備兩部分。網絡操作系統利用網絡通信設施所提供的數據傳輸功能，為高層網絡用戶提供共享資源管理服務，以及其他網絡服務功能。主要包括網絡性能分析，存儲管理，網絡狀態監控。網絡應用軟件開發與運行環境包括網絡數據庫管理系統與網絡軟件開發工具。

　　在用戶單位制定項目建設任務書之后，并且確定網絡信息系統建設任務之后，項目承擔單位的首要任務就是網絡用戶調查和網絡工程需求分析。網絡需求分析的目的是從實際出發，通過現場實地調研，收集第一手資料，對已經存在的網絡系統或新建的網絡系統有一個系統的認知，取得對整個工程的總體認識，確定總體目標和階段性目標，為系統總體設計打下基礎。需求分析是設計、建設與運行網絡系統的關鍵。網絡應用需求調查就是要明晰用戶建網的目的、要求與應用。

　　在確定網絡規模、布局與拓撲結構之前，還需要對網絡結點地理位置分布情況進行調查。(先調查，后布局)

　　1、用戶數量及分布的位置2、建筑物內部結構情況調查3、建筑物群情況調查

　　INTERNET/INTRANET服務主要包括：WEB服務、E-MAIL服務、FTP服務、IP電話服務、網絡電視會議服務電子商務服務、公共信息資源的在線查詢服務數據庫服務包括：關系數據庫管理系統、非結構化數據庫管理系統、企業專用管理信息系統。網絡基礎服務系統包括：網絡管理和服務軟件，網絡安全管理軟件。

　　網絡需求詳細分析主要包括：網絡總體需求分析、綜合布線需求分析、網絡可用性與可靠性分析、網絡安全性需求，以及分析網絡工程造價估算。

　　網絡工程造價估算1、網絡設備，如路由器、交換機、集線器、網卡。2、網絡基礎設施，如UPS電源、機房裝修、雙絞線與光纖等。3、遠程通信線路與接入城域網的租用線路。4、服務器與客戶端設備，如服務器群、網絡打印機等。

　　5、系統集成費用、用戶培訓費用與系統維護費用。

　　大型和中型網絡系統必須采用分層的設計思想，這是解決網絡系統規模、結構和技術的復雜性的最有效方法。

　　一個利用新一代網絡技術組建的大中型企業網、校園網或機關辦公網基本上都采用了3層網絡結構。其中，核心層網絡用于連接服務器集群、各建筑物子網交換路由器，以及與城域網連接的出口;匯聚層網絡用于將分布在不同位置的子網連接到核心層網絡，實現路由匯聚的功能;接入層網絡用于將終端用戶計算機接入到網絡之中。典型的系統的核心路由器與核心路由器、核心路由器與匯聚路由器直接使用具有冗余鏈路的光纖連接;匯聚路由器與接入路由器之間、接入路由器與用戶計算機之間可以視情況而選擇價格較低的非屏蔽雙絞線UTP連接。是否需要分成3層組建的經驗數據是：如果結點數為250-5000個，一般需要按3層結構來設計;如果結點數為100-500個，可以不必設計接入層網絡，結點可直接通過匯聚層的路由器或交換機接入;如果結點數為5-250個，也可以不設計接入層網絡與匯聚層網絡。

　　核心層網絡一般要承擔整個網絡流量的40%-60%目前應用于核心層網絡的技術標準主要是GE/10GE,核心設備是高性能交換路由器，連接核心路由器的是具有冗余鏈路的光纖。

　　核心網絡系統分層設計的另一個好處是可以方便地分配與規劃帶寬，有利于均衡負荷，提高網絡效率。根據實際經驗總結：層次之間的上聯帶寬與下一級帶寬之比一般控制在1:20.

　　在網絡設備的選取時，主干設備一定要留有一定的余量，注意系統的可擴展性。路由器一般是根據路由器背板交換能力來劃分的。背板交換能力大于40Gbps的稱做高端路由器。背板交換能力低于40Gbps的稱做中低端路由器。高端路由器一般用作核心層的主干路由器，企業級路由器一般用于匯聚層的路由器，低端路由器一般用于接入層的接入路由器。

　　路由器的吞吐量涉及兩個方面的內容：端口吞吐量與整機吞吐量。端口吞吐量是指路由器的具體一個端口的包轉發能力，而整機吞吐量是指路由器整機的包轉發能力。高速路由器一般要求長度為1518B的 IP包，延時要小于1ms.

　　路由器是通過路由表來決定包轉發路徑的。高速路由器應該能夠支持至少25萬條路由。

　　路由器的冗余表現在：接口冗余、電源冗余、系統板冗余、時鐘板冗余、整機設備冗余等方面。

　　Internet通用服務器包括：DNS、E-MAIL、FTP、WWW以及遠程通信服務器、代理服務器。

　　典型的高端路由器的可靠性與可用性指標應該達到：系統故障恢復時間小于30分鐘。

　　交換機從應用規模分類，可以分為：企業級、部門級與工作組級交換機

　　一般的企業級交換機都是模塊式交換機;部門級交換機可是是固定端口，也可以是模塊式;工作級交換機是固定端口交換機。從應用規模上看，支持500個以上結點的大型應用可以選取企業級交換機;支持300個以下結點的中型應用要選取部門級交換機;支持100個結點以下小型應用要選取工作組級交換機。

　　背板是交換機輸入端與輸出端之間的物理通道。背板帶寬越寬，交換機數據處理能力就越快，數據包轉發延遲越小，性能越優越。全雙工端口帶寬的計算方法是：端口數X端口速率X2

　　VLAN的劃分可以是基于端口的，也可以是基于MAC地址或IP地址的。

　　對于作為主干設備的交換機需要注意選擇;是否每個端口都有獨立的緩沖區，模塊或端口是否設計有獨立的輸入、輸出緩沖區，以及緩沖區的隊列調度算法。

　　主要的網絡管理協議與軟件包括IBM NnetView、HP OPENVIEW、SNMP等。

　　非對等結構網絡操作系統軟件分為兩部分，一部分運行在服務器上，另一部分運行在工作站上。硬盤服務器將共享的硬盤空間劃分成多個虛擬盤體，虛擬盤體可以分為以下三個部分：專用盤體、公用盤體與共享盤體。

　　網絡操作系統分為以下兩部分：文件服務器與工作站軟件。

　　Internet/Intranet通用服務器主要包括：DNS服務器、E-MAIL服務器、FTP服務器、WWW服務器，以及遠程通信服務器、代理服務器等。基于復雜指令集CISC處理器的INTEL結構的PC服務器的優點：通用性好，配置簡單，性能價格比高，第三方支持軟件豐富，系統維護方便。基于精簡指令集RISC結構處理器的服務器與相應的PC服務器相比，CPU處理能力能夠提高50%-75%.集群計算技術可以大大提高服務器的可靠性、可用性與容災能力。硬盤性能的參數包括：主軸轉速、內部傳輸率、單碟容量、平均巡道時間與緩存。系統高可用性=MTBF / (MTBF+MTBR)

　　MTBF為平均無故障時間，MTBR為平均修復時間。

　　服務器選型的基本原則1、根據不同的應用特點選擇服務器2、根據不同的行業特點選擇服務器3、根據產品的成熟程度選擇服務器。在INTERNET中，對網絡的攻擊可以分為兩種基本類型，即服務攻擊與非服務攻擊。從黑客攻擊的手段上看，又可以大致分為以下8種：系統入侵類攻擊、緩沖區溢出攻擊、欺騙類攻擊、拒絕服務類攻擊、防火墻攻擊、病毒類攻擊、木馬程序攻擊與后門攻擊。

　　服務攻擊是指對為網絡提供某種服務的服務器發起攻擊，造成該服務器的“拒絕服務”,使網絡工作不正常。TCP/IP缺乏認證、保密措施。

　　非服務攻擊不針對某項具體應用服務，而是針對網絡層等低層協議進行的。

　　網絡服務是通過各種協議來完成的。目前保證協議安全性，有兩種基本的方法：一種是用形式化方法來證明一個協議是安全的;另一種是設計者用經驗來分析協議的安全性。形式化證明方法是人們所希望的，但一般的協議安全性也是不可判定的。網絡協議的漏洞是當今INTERNET面臨的一個嚴重的安全問題。黑客的攻擊手段和方法多種多樣，一般可以分為主動攻擊和被動攻擊。網絡中的信息安全主要包括兩個方面：信息存儲安全與信息傳輸安全。

　　信息存儲安全是指如何保證靜態存儲在聯網計算機中的信息不會被未授權的網絡用戶非法使用。

　　信息傳輸安全是指如何保證信息在網絡傳輸的過程中不被泄露與不被攻擊。信息傳輸安全過程的安全威脅主要有：截獲信息、竊聽信息、篡改信息與偽造信息。保證網絡系統中信息安全的主要技術是數據的加密與解密。

　　在密碼學中，將源信息稱為明文。將明文變換成密文的過程稱為加密，而將密文經過逆變換恢復成明文的過程稱為解密。

　　目前，全球出現的數萬種病毒按基本類型可劃分為6種，即引導型病毒、可執行文件病毒、宏病毒、混合病毒、特洛伊木馬型病毒與INTERNET語言病毒。灰色軟件包括間諜程序、廣告程序、后門程序、下載程序、植入程序等

　　網絡系統安全設計的原則

　　1、全局考慮的原則-整體安全性取決于最薄弱環節。2、整體設計的原則---網絡系統安全設計包括預防、檢測、反應與應急處理，因此網絡系統安全必須包括3個機制：安全防護機制、安全檢測機制與安全恢復機制。3、有效性與實用性的原則-網絡安全與網絡使用是矛盾的兩個方面。4、等級性原則 5、自主性與可控性原則6、安全有價原則-網絡安全系統的造價是與系統的規模、復雜程序有關。