网络系统设计.docx
《网络系统设计.docx》由会员分享,可在线阅读,更多相关《网络系统设计.docx(19页珍藏版)》请在冰豆网上搜索。
网络系统设计
网络系统设计
8.2.1网络系统架构
网络拓扑结构是企事业建设网络信息系统首先要考虑的问题,它对整个网络的运行效率、技术性发挥、可靠性、费用等方面都有着重要的影响。
确立网络的拓扑结构是整个网络方案规划设计的基础。
网络拓扑结构设计是指在给定点位置及保证一定可靠性、时延、吞吐量的情况下,服务器、工作站和网络连接设备如何通过选择合适的通路、线路的容量以及流量的分配,使网络的成本降低。
1.分层网络模型
分层网络模型是一套行之有效的高级工具,用来设计可靠的网络基础架构。
它提供网络的模块化视图,从而方便设计和构建可扩展的网络。
分层网络模型将网络分为三层:
●接入层—允许用户访问网络设备。
在网络园区中,接入层通常由LAN交换设备和端口组成,端口用于连接工作站和服务器。
在WAN环境中,可以通过WAN技术为远程工作者或远程站点提供访问公司网络的功能。
●分布层—由众多配线间聚合而成,使用交换机将工作组划分为一个个网段,并隔离园区环境中的网络问题。
同样,分布层将WAN连接聚合在园区网的边缘并进行策略性的连接。
●核心层(亦称为主干)—高速主干,其设计目标是尽可能迅速地交换数据包。
由于核心层对网络连接非常关键,因此它必须具备很高的可用性并且能够非常迅速地适应环境的变化。
还应提供良好的可扩展性和快速收敛功能。
图9-1分层网络模型
图9-1中描绘的是园区环境中的分层网络模型。
分层网络模型提供模块化的框架,可以支持灵活的网络设计,简化网络基础架构的架设和故障排除。
但应知道:
网络基础架构仅仅是整个网络体系结构的基础。
近年来,联网技术有了长足的进步,这也让网络越来越智能。
最新的网络设计更善于把握流量特性,经过配置后可以根据传输的流量类型、数据优先级甚至是安全需求等条件提供专门的服务。
尽管大多数基础架构服务都已超出本课程的范围,但您仍应了解它们对网络设计的影响。
2.企业体系结构
不同的企业需要不同类型的网络,这取决于企业的组织结构和业务目标。
但很多企业网络的发展都缺乏良好的计划,仅仅是一有需要便匆匆加入新的组件。
日积月累,这些网络会变得非常复杂而难以管理。
由于这种网络是新旧技术的大杂烩,因此网络的支持和维护非常困难。
网络瘫痪和性能低下给网络管理员带来了数不尽的麻烦。
为帮助避免出现这种情况,被称为Cisco企业体系结构的建议体系结构,该体系结构适合企业的各个发展阶段。
这种体系结构的设计目标是为网络规划提供一份与企业发展历程相称的网络发展路线图。
通过遵循路线图,管理员可对未来的网络升级进行良好的规划,以便未来能够将升级无缝集成到现有网络中并支持不断发展的业务需求。
该体系结构为网络基础架构引入网络智能技术,对分层网络模型进行了有益的扩充。
图9-2是该体系结构中适合前面提到的SpanEngineering的几个模块:
图9-2Cisco企业体系结构
3.企业体系结构中的模块
Cisco企业体系结构由若干个模块组成,这些模块是表示网络各部分的集中视图。
每个模块都有一套独立的网络基础架构及扩展该模块的服务和网络应用程序。
该企业体系结构包括以下模块。
如图9-3所示.
图9-3企业体系结构
(1)企业园区网体系结构
园区网是指一栋大楼或一群大楼连接而成的企业网络,园区网由多个LAN组成。
园区网通常局限于固定的地理区域,但它可以跨越相邻的建筑物。
例如某个工业园区或校园区。
企业园区网体系结构说明的是能够创建可扩展网络,同时满足园区式企业运营需求的建议方法。
该体系结构是模块化的,可以随着企业的发展轻松扩展支持更多的园区大楼或楼层。
(2)企业边缘体系结构
该模块负责连接企业外部的语音、视频和数据服务。
该模块让企业能够使用Internet和合作伙伴资源并为其客户提供资源。
该模块经常作为园区模块和企业体系结构中其它模块之间的连接枢纽。
企业WAN和MAN(城域网)体系结构均可视为该模块的一部分。
(3)企业分支机构体系结构
该模块允许企业将园区网上的应用程序和服务扩展到成千上万的远程位置和用户,或者扩展到某些小分支机构。
(4)企业数据中心体系结构
数据中心负责管理和维护许多数据系统,这些系统对现代企业的运营至关重要。
员工、合作伙伴和客户依靠数据中心的数据和资源进行高效地创造、协作和交流。
近十年来,Internet和基于Web的技术的兴起让数据中心变得比以往任何时候都更重要,它带动了生产效率的提升、业务流程的改进和社会的变革。
(5)企业远程办公体系结构
如今,许多企业都为其员工提供弹性工作环境,让他们可以在家远程办公。
远程办公是指在家利用企业的网络资源工作。
远程办公模块建议在家使用宽带服务(例如电缆调制解调器modem或DSL)连接到Internet,继而连接到公司网络。
由于Internet会给企业带来严重的安全风险,因此需要采取一些特殊措施来确保远程通信的安全性和隐私性。
图9-4企业体系结构模块构建企业网络拓扑
图9-4显示的是如何使用这些企业体系结构模块来构建企业网络拓扑。
4.网络协议
网络协议分局域网协议和广域网协议,局域网协议与所选择的网络类型有关,如选择Windows为操作系统的局域网,则支持TCP/IP、NetBEUI协议,这2种协议均为Windows协议。
对于与广域网的连接,因为TCP/IP已经成为广域网协议事实上的工业标准,一般选用TCP/IP。
8.2.2网络设备选型
网络系统中主要硬件设备的选择,直接影响到网络整体的性能,其投资占有网络系统整体投资的很大比例。
在网络系统总体设计时对其进行分析和选择是很重要的。
网络设备选择一般有两种含义:
一种是从应用需要出发进行的选择;另一种是从众多厂商的产品中选择性能价格比高的产品、在组建网络时,通常涉及的主要网络硬件设备有服务器、工作站、集线器、路由器和交换机。
1.接入层交换机的功能
可以根据交换机的功能规格确定交换机是适合用作接入层交换机、分布层交换机还是核心层交换机。
接入层交换机支持将终端节点设备连接到网络。
因此,它们需要支持端口安全功能、VLAN、快速以太网/千兆以太网、链路聚合等功能。
如图9-5所示。
图9-5接入层交换机及其功能
端口安全功能允许交换机决定允许多少设备或哪些设备连接到交换机。
所有Cisco交换机都支持端口层安全功能。
端口安全功能应用于接入层。
因此,端口安全功能是保护网络的第一道重要防线。
VLAN是融合网络的重要组成部分。
通常会为语音通信单独分配一个VLAN。
这样可为语音通信提供更多的带宽支持、更多的冗余连接以及更高的安全性。
接入层交换机允许您为网络上的终端节点设备设置VLAN。
在选择接入层交换机时还需考虑的一个因素是端口速度。
根据网络的性能需求,必须在快速以太网和千兆以太网交换机端口之间做出选择。
快速以太网每个交换机端口至多支持100Mb/s的流量。
对IP电话和大多数企业网络中的数据流量来说,快速以太网已经足够,但它的速度比千兆以太网端口慢。
千兆以太网每个交换机端口至多支持1000Mb/s的流量。
大多数现代设备(例如工作站、笔记本和IP电话)支持千兆以太网。
这样可以大大提高数据传输的速度,提高用户的工作效率。
千兆以太网有一个缺点-支持千兆以太网的交换机比较昂贵。
链路聚合是大多数接入层交换机所共有的另一项功能。
链路聚合允许交换机同时使用多条链路。
接入层交换机通过链路聚合至多可获得与分布层交换机相同的带宽。
由于通信的瓶颈通常在于接入层交换机和分布层交换机之间的上行链路连接,因此接入层交换机的内部转发速率并不需要像分布层交换机和接入层交换机之间的链路那么高。
对接入层交换机来说,内部转发速率之类的特性并不重要,因为它们仅处理来自终端设备的流量并将其转发到分布层交换机。
在支持语音、视频和数据网络流量的融合网络中,接入层交换机需要支持QoS来维护流量的优先级。
CiscoIP电话属于接入层设备。
当将CiscoIP电话插入到配置成支持语音流量的接入层交换机端口时,该交换机端口会告诉IP电话如何发送其语音流量。
需要在接入层交换机上启用QoS,以便让IP电话语音流量的优先级高于数据流量。
2.分布层交换机的功能
分布层交换机在网络中扮演着非常重要的角色。
它们收集所有接入层交换机发来的数据并将其转发到核心层交换机。
分布层交换机提供VLAN间路由功能,因此,一个VLAN可与网络上的另一个VLAN通信。
这种路由功能通常在分布层交换机上执行,因为分布层交换机的处理能力强于接入层交换机。
分布层交换机可以分担核心层交换机处理庞大流量转发的工作压力。
由于VLAN间路由在分布层执行,该层的交换机需要支持第3层功能。
如图9-6所示。
图9-6分布层交换机
安全策略
分布层交换机需要第3层功能的另一个原因是这样可以对网络流量应用高级安全策略。
访问列表用于控制流量如何在网络上传输。
访问控制列表(ACL)允许交换机阻止特定类型的流量并允许其它类型的流量。
ACL还允许控制网络设备可在网络上通信。
使用ACL需要占用大量的处理资源,因为交换机需要检查每个数据包并查看该数据包是否与交换机上定义的ACL的某个规则匹配。
这种检查在分布层执行,因为该层的交换机通常具有强大的处理能力,能够处理额外的负载,同时也简化了ACL的使用。
不是在网络中的每台接入层交换机上使用ACL,而是在数量较少的分布层交换机上定义ACL,这样可以简化ACL的管理。
服务质量
分布层交换机还需要支持QoS来维护来自实施了QoS的接入层交换机的流量优先级。
优先级策略确保有足够的带宽保证语音和视频通信使之保持可接受的服务质量。
要保证语音数据在整个网络中的优先地位,所有转发语音数据的交换机都必须支持QoS;如果并非所有的网络设备都支持QoS,那么会限制QoS优势的发挥。
这会导致语音和视频通信的性能和质量不佳。
由于分布层交换机具有丰富的功能,因此网络对分布层交换机的需求很旺盛。
分布层交换机支持冗余功能对确保充足的可用性非常重要。
由于分布层交换机是所有接入层流量的必经之路,因此分布层交换机性能不足会严重影响网络的其它部分。
为确保可用性,分布层交换机通常成对使用。
建议分布层交换机还应支持多个可热插拔的电源。
配备多个电源的好处是:
在交换机运行时,如果其中某个电源出现故障,交换机仍可继续运行。
配备可热插拔电源的好处是:
在更换故障电源时,交换机仍可继续运行。
这样,在维修故障组件的同时不会影响到网络的运行。
最后,分布层交换机需要支持链路聚合功能。
通常,接入层交换机使用多条链路连接到分布层交换机来确保为接入层上产生的流量提供足够的带宽,同时在某条链路断开时提供容错功能。
由于分布层交换机要接受多个接入层交换机发送的流量,并且需要尽快将所有流量转发到核心层交换机上,因此,分布层交换机还需要回连核心层交换机的高带宽聚合链路。
较新的分布层交换机支持连接核心层交换机的万兆以太网(10GbE)聚合上行链路。
3.核心层交换机的功能
在分层网络拓扑中,核心层是网络的高速主干,需要能够转发非常庞大的流量。
需要多少转发速率在很大程度上取决于网络中的设备数量。
通过执行和查看各种流量报告和用户群分析确定所需的转发速率。
根据分析的结果,您可以确定合适的交换机来支持网络。
认真评估您当前及近期的需求。
如果选择在网络的核心层使用性能不足的交换机,核心层将面临潜在的瓶颈问题,从而降低网络上所有通信的性能。
如图9-7所示。
图9-7核心层交换机
链路聚合
核心层交换机需要支持链路聚合功能,以确保为分布层交换机发送到核心层交换机的流量提供足够的带宽。
核心层交换机还应支持聚合万兆连接,这是当前市面上最快的以太网连接方案。
这样可让对应的分布层交换机尽可能高效地向核心层传送流量。
冗余
核心层的可用性很关键,因此,应尽可能提供较多的冗余。
相对于第2层冗余功能,第3层冗余功能在硬件出现故障时的收敛速度更快。
这里的收敛是指网络适应变化所花的时间,而不要与支持数据、语音和视频通信的融合网络相混淆。
还应确保核心层交换机支持第3层功能。
此外,寻找支持其它硬件冗余功能(如可热插拔的冗余电源,在插拔电源的同时交换机仍可继续运行)的核心层交换机。
由于核心层交换机的传输负载很高,所以它运行时的温度通常比接入层或分布层交换机的更高,因此应该配备更完善的冷却方案。
毫无疑问,核心层交换机能够支持热插拔风扇,而无需关闭交换机。
例如,某天中午为更换电源或风扇而关闭核心层交换机将会造成严重的后果。
要完成硬件更换,您可能至少需要中断网络5分钟,并且这还是假设您的维护效率非常高。
更现实的情况是,交换机可能关闭30分钟甚至更长时间,这显然难以接受。
利用可热插拔的硬件,在维护交换机时就不会中断网络。
QoS是核心层交换机提供的重要服务之一。
例如,尽管数据流量已在不断攀升,但服务提供商(IP、数据存储、电子邮件和其它服务的提供者)和企业广域网(WAN)仍然在此基础上继续添加更多的语音和视频流量。
在核心层和网络层边缘,与对时间不太敏感的流量(例如文件传输或电子邮件)相比较,任务关键型和时间敏感型流量(例如语音流量)应优先获得更高的QoS保证。
由于高速WAN接入通常价格不菲,因此增加核心层的带宽并非明智之选。
由于QoS提供基于软件的解决方案对流量界定优先级,因此核心层交换机可为优化及差异化地利用现有带宽提供一种经济而有效的方式。
4.服务器的选择
服务器是网络系统的关键设备,一般有3种类型:
PC服务器(由高档计算机担任,在LAN中用得较多)、专用服务器(根据网络的数据传输、I/O信息交换、可靠性等要求设计的专用服务器,有的还采用多CPU、多总线结构,关键部分采用了容错技术,是目前网络中应用较多的设备)和主机服务器(在大中型网络中应用的,具有高速率、大容量,有超级小型机、中型机或大型机担任的服务器)。
按其在网络中的作用和工作方式区分,又有文件服务器、数据库服务器、打印服务器、通信服务器等。
选择服务器时,应考虑的几项主要目标是:
CPU高性能、存储的大容量、高速传输总线、高效的SCSI磁盘接口和系统容错功能。
选用小型机作为服务器时,可供选择的产品如有:
SUN公司的Ultra系列、Enterprise系列;HP的HP9000V系列、K370系列;D系列等。
高档PC服务器由于微处理器性能大幅度提高及SMP技术、Cluster技术的出现,性能直逼小型机,成为许多网络系统的首选。
5.工作站的选择
工作站是客户用机,它执行用户的意旨,按用户的要求向服务器提出服务请求,同时完成部分(在C/S结构)或全部(在文件服务器结构)用户要求的数据处理和计算任务。
因此,在选择工作时,要根据用户工作环境、网络工作模式、用户的工作性质等因素,考虑选择一般档次或高档的计算机。
选择网络互连设备时,也要考虑技术发展迅速、产品更新换代越来越快的特点。
网络互连设备从二层交换机到三层交换机,路由器等,选择的余地很大,同时也带来了技术上的难度。
因此,在选择这些设备时,既要注意采用先进的技术,又要考虑实际情况,避免由于系统设备的不配套而使其中先进设备的优势难以发挥,甚至影响正常运行。
如在选择路由器和交换机时,可考虑的主要指标为:
设备的端口类型和端口数量、支持的传输协议、连接LAN的传输速率、设备的时延、背板的带宽等。
8.2.3网络软件选型
网络软件分为网络操作系统软件、网络管理软件、应用软件、工具软件、支撑软件等,正确地选择能够相互配合、完成网络系统需求功能的软件组合是网络建设的关键。
1.操作系统的选择
网络操作系统是网络信息系统的核心基础,就单一网络操作系统可供选择的有UNIX、Linux、WindowsNT/2000/Server2003、OS/2等。
UNIX是传统大、中、小型计算机使用的操作系统,优点是可靠性高,稳定,功能强大齐全,分时多用户,多进程,多任务;网络通信功能强,安全级别高;遵从所有工业标准和开放系统标准。
国内常用的有IBM的Aix、SCO公司的SCOUNIX等,采用较为普通的是SUNSolaris。
SUNSolaris工作的X86和ROSC的SUNSparc系列平台,支持多CPUA,网络功能强且操作方便,支持TCP/IP、NFS、Web及各类图形图像标准,提供GUI工作界面,支持多种数据库系统,双向Cluster,安全可靠性为C2级。
Linux是类似UNIX的免费系统,提供GUI工作面,内嵌Internet各种服务,支持多媒体;近年来发展极快,应用软件大公司如Informix、Oracle、CA等支持Linux系统,并推出应用产品、RedHatLinux是Linux系统较为典型的产品。
WindowsNT/2000/2003是一个与硬件平台无关、可伸缩的服务器网络操作系统。
系统多个CPU及Cluster,网络互连功能方便,支持多种网络传输协议,可构成多平台异种操作系统互连广域网。
WindowsNT/2000/2003的许多技术思想均来源于UNIX,用户接口方面经过易用性的包装,安装简便,易学易操作。
但从网络规模、稳定可靠及数据处理上与UNIX尚有一定的差距。
作为网络信息系统基础,选择操作系统应根据系统规模、信息处理流量、硬件服务器配置方面考虑。
目前,主干网主服务器多选UNIX或WindowsNT/2000/2003,应用服务器选择WindowsNT/2000/2003、Linux。
这样,既可以享受到Windows平台应用丰富、界面直观、使用方便的优点,也可以享受Linux、UNIX稳定、高效的好处。
2.应用软件的选择
应用软件是网络信息系统最终的价值体现,进行规划设计时,主要考虑的有数据库系统和信息服务相关软件。
常用的数据库系统有Oracle、Sybase、SQLServer、Informix。
对于具体应用,从原则上讲,它们各自都有完善的解决方案和扩展结构。
在选取时,注意各数据库所支持的技术特征和功能,特别是面向对象的处理能力。
应该指出,数据库系统选择应与网络操作系统选取相匹配。
如SQLServer仅能在Windows上运行,不能升级到UNIX环境,而Oracle、Sybase系统不仅能在Windows上运行,也能直接转移到UNIX环境下工作,Informix有UNIX和Windows两种版本,但Windows版功能相对弱些。
在信息服务相关的软件中,常规信息工具如WebServer、MailServer、FTP等在购置服务器及网络操作系统时大多已解决,这里主要指用户自己使用的信息软件,包括信息发布系统、办公自动化(OA)、各类MIS以及辅助决策软件等。
根据用户需求,应尽可能购买商品化的成熟软件。
为充分发挥信息的作用,在系统集成规划、实施时,辅助决策支持软件是应考虑的。
由于应用的多样性,系统集成的应用软件的开发不可避免,MIS系统前端开发工具选用VB、PB;OA的开发工具则首选IBM/Lotus的群件Notes;使用中间件、OLE/COM技术也是提高应用软件开发效率的有效途径。
8.2.4结构化布线
结构化布线系统是一种模块化、灵活性极高的建筑物和建筑群内的信息传输系统。
结构化综合布线系统(SCS)是一种集成化的通用传输系统,它利用双绞线或光缆来传输建筑物内的多种信息。
1.定义
结构化布线也叫综合布线,是一套标准的继承分布式布线系统。
结构化布线就是用标准化、简洁化、结构化的方式对建筑物中的各种系统(网络、电话、电源、照明、电视、监控等)所需要的各种传输线路进行统一的编制、布置和连接,形成完整、统一、高效兼容的建筑物布线系统。
2.结构化布线系统的组成
(1)户外布线:
户外电缆可采用同轴电缆、光缆、微波,尽可能用光缆。
(2)垂直布线:
垂直电缆一般用光缆和大对数的双绞线。
(3)水平布线:
水平电缆均采用双绞线。
户外电缆和户内电缆间要安装跳线设备、分线设备、电气保护设备和专用传输设备(多路复用器、光端机等)。
3.结构化布线系统的国际标准
结构化布线系统的国际标准有以下几种。
●ISO/IEC11801国际标准
●EIA/TIA-568民用建筑线缆标准
●EIA/TIA-569民用建筑通信信道和空间标准
●EIA/TIA-606民用建筑通信管理标准
●IEEE802.3总线局域网网络标准
●IEEE802.5环线局域网网络标准
●EN50173综合布线系统设计欧洲标准
4.结构化布线系统的组成
(1)工作区子系统(用户端子系统)
工作区子系统是指从终端设备出线到信息插座的区域,用来将终端与各楼层的水平布线系统相连。
常用的设备有适配器、连接器、计算机和交换机等。
(2)水平布线系统
水平布线系统由楼层配线室至各工作区之间的电缆构成,用来实现通信插座与垂直干线子系统在连接。
通常由双绞线、电缆和光缆构成。
(3)垂直布线系统
垂直布线子系统由连接设备间与各楼层配线室间的干线电缆构成,是整个结构化布线系统的主干系统,主要有主配线架、光缆和双绞线。
(4)设备间系统
设备间系统是楼宇大型通信设备与服务器的布线系统。
所有的楼层资料都经过电缆或光缆传输到此系统,主要设备有交换机、大型计算机、网络设备和UPS(不间断电源)。
(5)布线配置系统
布线配置系统由各层分设的配线间构成,可用来调整各层中各房间的设备移动和网络拓扑结构的变更,主要设备由跳线盒、配线架、配线箱等组成。
(6)户外布线系统
户外布线系统是连接楼宇间的通信设备,实现建筑物的相互连接,由同轴电缆、光缆组成。
结构化布线系统的总体结构如图9-8所示。
8.2.5网络安全设计
从本质上讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,系统能够连续可靠地正常运行。
广义上来说,凡是涉及网络上信息的保密性、安全性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。
网络安全的内容即有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。
技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。
如何有效的保护重要的信息数据、提高计算机网络系统的安全性,已成为所有计算机网络技术人员必须考虑和必须解决的一个重要问题。
1.安全体系结构
网络安全体系机构主要考虑安全对象的安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治。
2.安全体系层次模型
按照网络OSI的七层模型,网络安全贯穿于整个七层。
针对网络系统实际运行TCP/IP,网络安全贯穿于信息系统的4个层次。
因此,网络的安全体系结构也可以用层次模型表示,如图9-9所示。
图9-9安全层次体系模型
(1)物理层
物理层信息安全主要是防止物理通路的损坏、物理通路的窃听和对物理通路的攻击。
(2)链路层
链路层的网络安全需要保证通过网络链路传送的数据不被窃听,主要采用划分VLAN、(局域网)加密通信(远程网)等手段。
(3)网络层
网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。
(4)操作系统
操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。
(5)应用平台
应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器和Web服务器。
由于应用平台的系统非常复杂,通常采用多种技术(如SSL等)来增强应用平台的安全性。
(6)应用系统
应用系统的安全与系统设计和实现关系密切。
应用系统使用应用平台提供的安全服务来保证基本安全,如通信内容安全,通信双方的认证、审计等手段。
3.网络信息安全
升级会员 