首页 > 软考网络规划设计师 > 软考网络规划设计师串讲笔记2-第二章计算机网络规划与设计
2019
09-08

软考网络规划设计师串讲笔记2-第二章计算机网络规划与设计

第二章 计算机网络规划与设计

本章涉及到的知识点:

设计基础

网络分析与设计过程

通信规范

逻辑网络设计

物理网络设计

网络测试运行和维护

网络故障分析与处理

一、设计基础

1.1 网络基本元素

计算机网络是有很多种基本元素组合而成。常见的网络基本元素包括计算机平台、应用软件、物理设备和拓扑结构、网络软件和实用软件、互连设备和广域网连接等。

1.1.1 计算机平台

计算机平台是网络中的终端用户节点,是装载并运行操作系统和应用程序并为用户提供功能和服务的设备,不同的计算机平台,其形状、尺寸、性能有所不同。

1.1.2 应用软件

应用软件运行与计算机平台之上,是完成某种特定应用的软件系统,是网络系统中常见的软件之一。

1.1.3 物理设备和拓扑结构

物理设备是指连接网络端点之间的基础设施,如网卡、电缆、接插件、接插板、集线器等,而一个网络,是由各种各样的物理设备连接而成。

网络拓扑结构是指在给定终端位置的情况下网络的结构方式。拓扑结构决定了网络的工作原理及网络信息的传输方式。

常见的网络拓扑结构分为两大类:广域网络拓扑结构和局域网拓扑结构。广域网拓扑有集中式、分散式、分布式、不规则式等结构,局域网拓扑结构有星状结构、环状结构、总线结构、树状结构和网状结构。

1.1.4 网络软件和实用软件

           在设计、运行和维护网络的过程中,网络软件和实用软件占有非常重要的地位。网络软件主要是由客户机端的软件和客户机之间或客户机与服务器之间进行通信所需要的协议堆栈支撑软件组成。

       实用软件只要是用于实现网络分析、管理、监控、维护、故障发现排除等功能,而专门为网络定制的特殊软件,既包括网络管理软件等。

1.1.5 互联设备

      在不同类型的网络间进行通信时,需要使用各种互联设备来实现异构网络间的协议转换、同构网络间的网络范围延伸。网络互联设备包括:网桥、交换机、路由器、网关等。通过这些设备形成网络的框架,并用来提高网络性能。

1.1.6 广域网的连接

      广域网连接设计也是网络设计中非常关键的一步,因为大部分的网络费用是用于公共服务和设施的。而广域网的连接是利用这种潜在而且昂贵的资源,因此必须认真考虑网络应用和用户服务需求。

1.2 网络互连设备

1.2.1 中继器

      中继器的作用是放大电信号,扩大网络额地理覆盖范围。中继器工作在ISO的最底层物理层。

1.2.2 集线器

       集线器(HUB)是局域网内连接服务器与主机的主要设备,主要在OSI参考模型的物理层,有信号放大作用。

1.2.3网桥

       网桥是一种在数据链路层实现互联的设备,在网段之间进行数据帧的接收、存储与转发。数据链路层分为逻辑链路控制子层(LLC)和媒体访问控制子层(MAC)两部分,LLC用于子网间路径选择,MAC用于介质访问以及数据帧的成帧等处理。

1.2.4 以太网交换机

       交换机是一种存储转发设备,与原有的桥接器相比较,交换机每一个端口的承载能力相当于桥接器上的一段。交换机工作在ISO的第二层,根据发送帧中的目标MAC地址进行转发,在交换机内部维护着MAC地址表。

1.2.5 路由器

       路由器工作在网络层的互联设备,是可以屏蔽网络广播风暴的有效网络设备。

       无论是静态路由还是动态路由,最本质的目的都是在维护一种路由表,在数据包到来时,查找路由表,找到最匹配的路由信息而决定数据包的路由。

1.2.6网关

      网关的互联是在网络层以上,具体来说,大多数的网关是在应用层实现互联。网关通常由软件实现,运行与服务器或普通计算机上,以实现不同体系结构网络之间或LAN与主机之间的连接。

1.3 网络性能

      在进行网络设计时,对网络性能参数的考虑是设计工作的重点内容之一,需要考虑的网络参数包括:响应时间、吞吐量、延迟、带宽、容量等。

1.3.1 响应时间、延迟和等待时间

       响应时间是指以计算机或终端向远端资源发出请求时间为起始时间,以该设备接受到数据响应的时间为终点,两个时间之间的差值。

       响应时间的组成如下:轮询延迟、链路延迟、等待时间、CPU延迟。

1.3.2利用率

       利用率描述设备在使用时所能发挥的最大能力。主要包括:CPU利用率和链路利用率。

       CPU利用率:指的是在处理网络发出的请求和做出响应时处理器的繁忙程度。

       链路利用率:指的是链路总带宽的有效使用百分比。

1.3.3 网络数据传输率和吞吐量

       1)网络数据传输率

       在计算机网络中,数据传输率和带宽是两个不同,但又关联的概念。

       带宽:指某个信号具有的频带宽度,其单位是赫兹(Hz)。

       数据传输率:信道上可以传输数据的最大速率,在计算机网络中,无论数据信号、模拟信号都用于传递数字数据,因此其单位为比特每秒(bps)。

2)吞吐量

            吞吐量是指在网络用户之间有效地传输数据的能力。

       影响吞吐量的因素如下:

       协议效率,不同的协议传输数据的效率不同

       服务器/工作站CPU类型

       网卡(NIC)类型

       局域网(LAN/链路容量

       响应时间

1.3.4 可用性、可靠性和可恢复性

       可用性:是指网络或网络设备可用于执行预期任务时间所占总量的百分比。

       可靠性:是指网络设备或计算机持续执行预定功能的可能性。可靠性经常用平均故障间隔时间(MTBF)来度量。

       可恢复性:是指网络从故障中恢复的难易程度和时间。可恢复性即指平均修复时间(MTTR)。平均修复时间用来估算故障发生时,需要花多长时间来修复网络设备或系统。

1.3.5 冗余度、适应性、可伸缩性

       冗余设备:是指为避免由于单台设备故障而导致网络停止服务而增加的网络设备。

       冗余链路:是指为了防止线路或链路失效,导致网络不连通而增加的多余线路。

       冗余度:是另一个在网络设备和系统设计与实施中需要考虑的因素,主要通过在网络设计中增加冗余设备、冗余链路等方式,来避免设备或链路是校队网络产生影响。

       适应性:是指在用户改变应用要求时网络的应变能力。

       可伸缩性:是指网络技术或设备随着用户需求的增长而扩充的能力。对于许多企业网络设计而言,可伸缩性是最基本的目标。

1.3.6 效率与费用

     网络效率:是指用户传输数据流量与网络线路带宽之间的比例。不同的网络传输技术,其网络效率是不同的。网络设计时主要考虑数据链路层的网络效率。

       费用:是指建设网络时必须考虑的内容,网络建设费用主要包括:设备购置费、安装调试费用、线路租赁费用、设备运维费用。

1.4 网络设计文档

1.4.1 文档的作用

      文档是网络设计工作中的重要环节,覆盖了需求规范、通信规范、逻辑设计、物理设计、网络实施、运营维护等各个阶段。

       文档的重要性总结如下:提高网络设计过程中的可见度;提高设计效率;作为设计人员在一定阶段的工作成果和结束标识;记录设计过程中的有关信息,便于协调以后的系统设计、使用和维护;提供有关系统的运行、维护和培训的信息,便于管理人员、开发人员、操作人员、用户之间的协作、交流和了解,使网络设计活动更加科学、更加有效;便于潜在用户了解系统的功能、性能等各项指标,为他们选购或制定符合自己需要的系统提供依据。

       从形式上看,文档大致可以分为两类:一类是网络设计过程中填写的各种图表,可称为工作表格;另一类是应编制的技术资料或技术管理资料,可称为文档或文件。

1.4.2 文档的质量

       文档的编制必须保证质量,以发挥文档的指导作用,有助于管理人员监督和管理系统开发,有助于用户了解系统开发工作,有助于维护人员进行有效的修改和扩充。高质量的文档应当体现在以下方面:针对性;精确性;清晰性;完整性;灵活性;

1.4.3 文档的管理和维护

     在整个网络生存期中,各种文档需作为半成品或是最终成品不断的生成、修改或补充。为了最终得到高质量的产品,达到所提出的质量要求,必须加强对文档的管理。

二、网络分析与设计过程

2.1 网络规范

         当设计人员依据用户的特定网络需求进行分析和设计时,必须遵循一定的处理规范。在网络规划过程中,优秀的、正规的设计过程将避免设计者工作过程中产生的失误和错误,同时产生合理有效的设计方案,并保证最终根据网络设计形成满足用户需求的网络工作环境。

       以下是由于设计工作不遵循规范而产生的常见问题,这些问题将会导致用户的网络应用满意度降低。

       实施结果偏离网络需求;需求变更;延误工期或超支;网络实施和设计不一致;

2.2 网络生命周期

      一个网络系统从构思开始,到最后被淘汰的过程被称为网络的生命周期;一般来说网络的生命周期至少包括:网络系统的构思计划、分析设计、实时运行和维护的过程。

2.2.1 网络生命周期的迭代模型

       网络生命周期的迭代模型的核心思想是网络应用驱动理论和成本评价机制,当网络系统无法满足用户的需求时,就必须 进入到下一个迭代周期,经过迭代周期后,网络系统将能满足用户的网络需求。

2.2.2 迭代周期的构成

       每一个迭代周期,都是一个网络重构的过程,不同的网络设计方法中,对迭代周期的划分方式是不同的;常见的构成方式主要有三种:四阶段周期;五阶段周期;六阶段周期。

1)四阶段周期

       特点是,能够快速适应新的需求,强调网络建设周期中的宏观管理,灵活性强。

       4个阶段分别为构思与规划阶段、分析与设计阶段、实施与构建阶段、运行与维护阶段。

              四阶段周期的长处在于工作成本较低、灵活性高,适用于网络规模较小、需求较为明确、网络结构简单的网络工程。

2)五阶段周期

五阶段周期是较为常见的迭代周期规划方式,将一次迭代划分为5个阶段。需求规范;通信规范;逻辑网络设计;物理网络设计;实施阶段。

       五阶段周期的主要优势在于所有的计划在较早的阶段完成,该系统的所有负责人对系统的具体情况以及工作进度都非常清楚,更容易协调工作。五阶段周期的缺点是比较死板,不灵活。

五阶段周期由于存在较为严格的需求和通信分析规范,并且在设计过程中充分考虑了网络的逻辑特性和物理特性。因此较为严谨,适用于网络规模较大,需求较为明确,在一次迭代过程中需求变更较小的网络工程。

3)六阶段周期

       6个阶段分别由需求分析、逻辑设计、物理设计、设计优化、实施及测试、监测及性能优化组成。

       六阶段周期侧重于网络的测试和优化,侧重于网络需求的不断变更,由于其严格的逻辑设计和物理设计规范,使得该种模式适用于大型网络的建设工作。

2.3 网络开发过程

      网络开发过程描述的是在开发一个网络是必须完成的基本任务,而网络生命周期的迭代模型为描绘网络项目的开发提供了特定的理论模型,因此网络开发过程主要是指一次迭代过程。

       将大型问题分解为多个小型可解的简单问题,这是解决复杂问题的常用方法,根据五阶段迭代周期的模型,网络开发过程可以被划分为5个阶段,分别是:需求分析;现有的网络体系分析,即通信规范分析;确定网络逻辑结构,即逻辑网络设计;确定网络物理结构,即物理网络设计;安装和维护。

2.3.1 需求分析

       需求分析是开发过程中最关键的阶段,所有的工程设计人员都清楚,如果在需求分析阶段没有明确需求,则会导致以后各阶段的工作严重偏移。

2.3.2 现有的网络体系分析

       现有网络体系分析工作的目的是描述资源分布,以便于在升级时尽量保护已有投资,通过该工作,可以使网络设计者掌握网络现在所处的状态和情况。

2.3.3 确定网络逻辑结构

       网络逻辑结构设计是体现网络设计核心思想的关键阶段,在这一阶段根据需求规范和通信规范,选择一种比较适宜的网络逻辑结构,实施后续的资源分配规划、安全规划等内容。

2.3.4 确定网络物理结构

       物理网络设计是对逻辑网络设计的物理实现,通过对设备的具体物理分布、运行环境等的确定,确保网络的物理连接符合逻辑连接的要求。在这一阶段,网络设计者需要确定具体的软硬件、连接设备、布线和服务。

2.3.5 安装和维护

       安装阶段:是根据前面各个阶段的工程成果,实施环境准备、设备安装调试的过程。

     网络安装完成后,接受用户的反馈意见和监控是网络管理员的任务。网络投入运行后,需要做大量的故障检测和故障恢复以及网络升级和性能优化等维护工作。网络维护又称为网络产品的售后服务。

2.4 网络设计的约束因素

      网络设计的约束因素主要来自于政策约束、预算约束、时间约束和应用约束。

       时间约束:网络设计的进度安排是需要考虑的另一个问题。项目进度表限定了项目最后得期限和重要的阶段。通常,项目进度是由客户负责管理,但网络设计者必须就该日程表是否可行提出自己的意见。

       应用目标检查:在进行下一阶段的任务之前,需要确定是否了解客户的应用目标和所关心的事项。

三、网络需求分析

         网络需求分析是网络开发过程的起始部分,应明确客户所需的网络服务和性能。

3.1 需求分析的必要性

       需求分析是用来获取网络系统需求和业务需求的方法,该过程是网络开发的基础,也是开发过程中的关键阶段。

       需求分析工作为设计师提供了以下的设计依据:能够更好的评价现有的网络体系;能够更可观地做出决策;提供完美的交互功能;提供网络的移植功能;合理使用用户资源。

3.2 收集需求分析的过程

      在需求分析过程中,需要考虑以下几个方面的需求:业务需求;用户需求;应用需求;计算机平台需求;网络需求。

3.2.1 建立业务需求

       在整个网络开发过程中,业务需求调查是理解业务本质的关键,应尽量保证设计的网络能够满足业务的需求。

1             收集用户需求

三种方式收集用户需求:观察和问卷调查;集中访谈;采访关键人物。

2             手机用户需求信息包括以下内容:确定主要相关人员;确定关键时间点;确定网络的投资规模;确定业务活动;预测增长率;确定网络的可靠性和可用性。确定web站点和Internet的连接性;确定网络安全性;确定远程访问。

3             收集应用需求:应用的类型和地点;使用方法;需求增长;可靠性和可用性需求;网络响应;

4             应用类型:应用的种类较多,其中常见的分类方式主要有四种:按功能分类;按共享分类;按响应分类;按网络模型分类。

3.2.2 对资源的存取和访问

       用户对网络资源的存取和访问,是可以通过各种指标进行量化的,这些量化的指标通过统计产生,并直接反映了用户的需求。需要考虑的指标包括:每个应用的用户数量;每个用户平均使用每个应用的频率;使用高峰期;平均访问时间长度;每个事物的平均大小;每次传输的平均通信量;影响通信的定向特性。

3.2.3 其他需求

       增长率;可靠性和可用性;对数据更新的需求。

3.2.4 计算机平台需求

       手机计算机平台需求时网络分析与设计过程中一个不可缺少的步骤,需要调查的计算机平台主要分为5类:个人计算机;工作站;小型机;中型机;大型机。

1 个人计算机

需要考虑的因素:微处理器;内存;输入输出;操作系统;网络配置;

2 工作站

是一种以个人计算机和分布式网络计算为基础,主要面向专业应用领域,具备强大的数据运算与图形、图像处理能力。

3.2.5 网络需求

     需求分析的最后工作是考虑网络管理员的需求,这些需求包括以下内容:局域网功能;网络拓扑结构;性能;网络管理;网络安全;城域网/广域网的选择;

1 局域网功能

局域网网段分布;评估局域网网段;局域网负载。

2 网络拓扑结构

网络拓扑结构分为广域网拓扑结构和局域网拓扑结构。局域网的特点:覆盖范围小、专用型强,具有较为稳定和规范的拓扑结构。广域网采用点到点方式,其连接主要依靠公用通信设施,网络拓扑结构较为复杂。

3 性能

网络需求收集工作中,针对网络的性能需求,可以考虑以下方面的内容:网络容量和响应时间;可用性;备份管理和存档。

4 网络管理

网络管理的需求主要从以下方面进行:建设思路及目的;网络管理功能要求;网络管理软件;

5 网络安全

网络安全体系是建设网络工程的有效内容之一,不管网络工程规模如何,都应该存在一个可扩展的总体安全体系框架。对于不同的网络工程,允许建设不同的安全体系框架。

3.3 编制需求说明书

       需求说明书是网络设计过程中第一个正式的可以传阅的重要文件,其目的在于对收集到的需求信息作清晰的概况整理,这也是用户管理层将正式批阅的第一个文件。

       需求说明书,以便于后期设计、实施、维护工作开展。

       需求说明书的主要阶段:第一阶段 数据准备,第二阶段:需求说明书的组成(综述;需求分析阶段概述;需求数据总结;按优先级排队的需求清单;申请批准部分;修改需求说明书。)

四、通信规范

4.1 通信规范分析

      在网络的分析和设计过程中,通信规范分析处于第二阶段,通信分析网络通信流量和通信模式,发现可能导致网络运行瓶颈的关键技术点。

4.2 通信模式

      通信模式基本与应用软件的网络处理模型相同,也分为四种:对等通信模式;客户机服务器通信模式;浏览器服务器通信模式;分布式计算通信模式。

       对等通信模式指相似计算机节点间的通信,在这种模式中,参与的网络节点都是平等角色,既是服务的提供者,也是服务的享受者。

       客户机服务器通信模式(Client/Server,C/S)是指在网络中存在一个服务器和多个客户机,由服务器负载进行应用计算、客户机进行用户交互的通信模式,也是目前最为广泛的一种通信方式。

       浏览器服务器通信模式是三层模式与四层模式的典型代表,其表现是通过客户端的浏览器,应用服务器负责业务逻辑,数据库服务器完成数据存储、计算、处理和检索。

       分布式计算通信模式是指多个计算节点协同工作来完成一项共同任务的应用,在解决分布式应用,提高性能价格比,提供共享资源的实用性、容错性以及可伸缩性方面有着巨大的发展潜力。

4.3 通信边界

      通信边界当前主要以三种形式存在:一种是局域网络中的通信边界,一种是广域网络中的通信边界;另一种是虚拟专用网络的通信边界。

4.3.1 局域网通信边界

       局域网的通信边界主要是网络中的冲突域和广播域,在局域网建设中,主要是通过划分冲突域和广播域来限制通信量。

4.3.2 广域网通信边界

       传统的广域网是由通信线路所形成的点对点网络,在这些单纯的点对点网络中,由于点对点线路的通信都是独立并且有通信服务质量保障,所以并不存在通信边界问题。广域网的通信边界,主要由路由的自治系统、路由协议中的域和各局域网构成。

       路由的自治系统(Autonomous SystemAS)是一个或多个互联的网络,其最重要的特点就是自治系统有权自主地决定本系统内应采用何种内部路由协议,一个自治系统内的所有网络一般都属于一个行政单位来管辖。

4.3.3 虚拟专用网络通信边界

       ***Virtual Private Network,虚拟专用网)的含义有两个,一是***是建立在现有物理网络之上,与物理网络具体的网络结构无关。用户一般无须关心物理网络和设备;二是***用户使用***时看到的一个可预先设定的动态的网格。

4.4 通信流量分布的简单规则

      在通信规范分析中,最终的目标是产生通信量,其中必要的工作是分析网络中信息流量的分布问题。

       对于部分较为简单的网络,可以不需要进行复杂的通信流量分布分析,仅采用一些简单的方法,例如80/20规则、20/80规则等。

4.5 通信流量分析的步骤

      对于复杂的网络,需要进行复杂的通信流量分析,通信流量分析从对本地网段上和通过网络骨干某个特定部分的通信量进行估算开始,可采用如下步骤:

       把网络分成易管理的网段

       确定个人用户和网段应用的通信流量

       确定本地和远程网段上的通信流量

       对每个网段重复以上步骤

       分析基于各网段信息的广域网和网络骨干的通信流量。

4.6 网络基准

      基准法是通过测量一个网络的容量和效率来衡量网络性能要求的方法。通过网络的测试数据,可以发现网络中存在的问题,也可以把握网络发展趋势对网络性能带来的影响。

4.6.1 测试工具

       传统的测试工具是局域网分析器。例如,网盟公司的探测器(Sniffer)、HP公司的局域网顾问(LAN Advisor),另外互联网上存在大量的类似Sniffer软件。

       设计与建模工具包

       仿真与测试工具包

4.6.2 网络基准化

       网络基准化是对网络活动和行为的测试,通过对网络行为进行提前的预测,实现周期性测量 ,并形成一系列的参数指标。

4.6.3 基准的解释

       Sniffer设备将根据收集到的数据帧,形成一系列记录网络行为的基准参数指标,这些参数指标构成了基准集合,常用的基准指标包括如下内容:全局统计数据;所有站点信息;帧大小;协议类型;报警日志;全局历史记录;输出基准报表;

4.7 编写通信规范说明书

       需求说明书是需求 收集阶段的产物,而通信规范说明书也是通信分析阶段的主要产物。

       通信规范说明书包含了估测的或实测的网络通信容量以及大量的统计表格,记录准确归纳和分析现存网络得到的结果,并根据该结果和需求说明书提出网络设计建议方案。

       通信规范说明书记录了网络当前的状态,包括网络的配置、网络互连设备水平以及共享资源的利用率。通信规范说明书由下面主要内容组成。

       执行情况概述;分析阶段概述;分析数据总结;分析数据总结;设计目标建设;申请批准部分;修改说明书。

五、逻辑网络设计

5.1 逻辑设计过程概述

      网络的逻辑结构设计,来自于用户需求中描述的网络行为、性能等要求,逻辑设计要根据网络用户的分类、分布,选择特定的网络结构,该网络结构大致描述了设备的互联及分布,但是不对具体的物理位置和运行环境进行确定。

       逻辑设计过程主要由以下4个步骤组成:

       确定逻辑设计目标;网络服务评价;技术选项评价;进行技术决策。

5.1.1 逻辑网络设计目标

      逻辑网络的设计目标主要来自于需求分析说明书中的内容,尤其是网络需求部分,这部分内容直接体现了网络管理部门和人员对网络设计的要求。一般情况下,逻辑网络设计的目标包括以下一些内容:

       合适的应用运行环境:逻辑网络设计必须为应用系统提供环境,并可以保障用户能够顺利访问应用系统;

       成熟而稳定的技术选型:在逻辑网络设计阶段,应该选择较为成熟稳定的技术,越是大型的项目,越要考虑技术的成熟度,以避免错误投入;

       合理的网络结构:合理的网络结构不仅可以减少一次性投资,而且可以避免网络建设中出现各种复杂问题;

       合适的运营成本:逻辑网络设计不仅仅决定了一次性投资,技术选型、网络结构也直接决定了运营维护等周期性投资;

       逻辑网络的可扩充性能:网络设计必须具有较好的可扩充性,以便于满足用户增长、应用增长的需要,保证不会因为这些增长而导致网络重构;

       逻辑网络的易用性:网络对于用户是透明的,网络设计必须保证用户操作的单纯性,过多的技术型限制会导致用户对网络的满意度降低。

       逻辑网络的可管理性:对于网络管理员来说,网络必须提供高效的管理手段和途径,否则不仅会影响管理工作本身,也会直接影响用户。

       逻辑网络的安全性:网络安全应提倡适度安全,对于大多数网络来说,既要保证用户的各种安全需求,也不能给用户带来太多限制;但是对于特殊的网络,也必须采用较为严密的网络安全措施。

5.1.2 需要关注的问题

1)设计要素   

设计要素(用户需求;设计限制;现有网络;设计目标)

       设计工作的要素只要包括:用户需求;设计限制;现有网络;设计目标。

2)设计面临的冲突

       最低的安装成本

       最低的运行成本

       最高的运行性能

       最大的适应性

       最短的故障时间

       最大的可靠性

       最大的安全性

3 成本与性能

成本与性能是最为常见的冲突目标,一般来说,网段设计方案的性能越高,也就意味着更高的成本,包括建设成本和运行成本。

5.1.3 主要网络服务

      网络设计人员应在依据网段提供的服务要求来选择特定的网络技术,不同的网络,其服务的要求不同,对于大多数网络来说,都存在着两个主要的网络服务——网络管理和网络安全。

1 网络管理服务

网络管理可以根据网络的特殊需要,将其划分为几个不同的大类,其中的重点内容是网络故障诊断、网络的配置及重配置和网络监视。

2 网络安全服务

网络安全系统是网络逻辑设计的固有部分,网络设计者可以采用以下步骤来进行安全设计:(1)明确需要安全保护的系统;(2)确定潜在的网络弱电和漏洞;(3)尽量简化安全;(4)安全制度;

5.1.4 技术评价

      根据用户的需求设计逻辑网络,选择正确的网络技术比较关键,在进行选择时应考虑如下因素:(1)通信带宽;(2)技术成熟性;(3)连接服务类型;(4)可扩充性;(5)高投资产出;

5.1.5 具体工作内容

      逻辑网络设计工作主要包括如下的内容:

       网络结构的设计;

       物理层技术选择;

       局域网技术选择与应用;

       广域网技术选择与应用;

       地址设计与命名模型;

       路由选择协议;

       网络管理;

       网络安全;

       逻辑网络设计文档;

5.2  网络结构设计

      网络结构是对网络进行逻辑抽象,描述网络中主要连接设备和网络计算机节点分布而形成的网络主体框架,网络结构与网络拓扑的最大区别在于:网络拓扑结构中,只有点和县,不会出现任何的设备和计算机节点;网络结构主要是描述连接设备和计算机节点的连接关系。

5.2.1 局域网结构

      传统意义上的局域网只具备二层通信功能,现代意义上的局域网络不仅具有二层通信功能,同时具有三层甚至多层通信的功能。

1             核心局域网结构

单核心局域网结构主要由一台核心二层或三层交换设备构建局域网络的核心,通过多台接入交换机接入计算机节点,该网络一般通过与核心交换互联的路由设备接入广域网中。

2             双核心局域网结构

双核心结构主要由两台核心交换设备构建局域网核心,该网络一般也是通过与核心交换机互连的路由设备接入广域网,并且路由器与两台核心交换机设备之间都存在物理链路。

3             环型局域网结构

环型局域网结构由多台核心三层设备连接成双RPR动态性分组环,构建整个局域网的核心,该网络通过与环上交换设备互连的路由设备接入广域网络。

4             层次局域网结构

层次结构主要定义了根据功能要求不同将局域网络划分层次构建的方式,从功能上定义为核心层、汇聚层、接入层。层次局域网一般通过与核心层设备互连的路由设备进入广域网。

5.2.2 广域网结构

1)单核心广域网

       单核心结构主要由一台核心路由设备互连各局域网络

3 双核心广域网结构

双核心结构主要由两台核心路由设备构建框架,并互连各局域网。

4 半冗余广域网结构

半冗余结构主要定义了由多台核心路由设备连接各局域网并构建广域网络的方式,在半冗余结构中,任意核心路由器存在至少两条以上链接至其他路由设备;

5 对等子域广域网结构

对等子域结构是指通过将广域网的路由器划分为两个独立的子域,每个子域内路由器采用半冗余方式互连。

5.2.3 层次化网络设计模型

1)核心层设计要点

         核心层是互联网络的高速骨干,由于其重要性,因此在设计中应采用冗余组件设计,使其具备高可靠性,能快速适应变化。

         在设计核心层设备功能时,应尽量避免使用数据包过滤、策略路由等降低数据包转发处理的特性,以优化核心层获得低延迟和良好的可管理性。

3 汇聚层设计要点

汇聚层是核心层和接入层的分界点,应尽量将处于安全性原因对资源访问的控制、出于性能原因对通过核心层流量的控制等,都在汇聚层实施。

4 接入层设计要点

接入层为用户提供了在本地网段访问应用系统的能力,接入层要解决相邻用户之间的互访需要,并且为这些访问提供足够的带宽。

  接入层还应适当负责一些用户管理里功能,包括地址认证、用户认证、计费管理等内容。

  接入层还负责一些信息的用户信息收集工作,例如用户的IP地址、MAC地址、访问日志等信息。

5.2.4 层次化设计的原则

         层次化网络设计应该遵循一些简单的原则,保证设计出来的网络更加具有层次的特性:

5.2.5 网络冗余设计

         网络冗余设计允许通过设置双重网络元素来满足网络的可用性需求,冗余避免了网络的单点失效,其目标是重复设置网络组件,以避免单个组件的失效而导致应用失效。

         在网络冗余设计中,对于通信线路常见的设计目标主要有两个:一个是备用路径,另一个是负载分担;

1 备用路径

设计备用路径时,主要考虑以下因素:备用路径的带宽;切换时间;非对称;自动切换;测试;

2 负载分担

负载分担是通过冗余的形式来提高网络的性能,是对备用路径方式的扩充。负责分担是通过并行链路提供流量分担来提高性能,其主要的实现方法是利用两个或多个网络接口和路径来同时传递流量。

关于负载分担,设计时主要考虑以下因素:

1 网络中存在备用路径、备用链路时,就可以考虑加入负载分担设计。

2 对于主路径、备用路径都相同的情况,可以实施负载分担的特例——负载均衡,也就是多条路径上的流量是均衡的。

3 对于主路径、备用路径不相同的情况,可以采用策略路由机制,让一部分应用的流量分摊到备用路径上。

4 在路由算法的设计上,大多数设备制造厂商实现的路由算法,都能够在相同带宽的路径上实现负载均衡,甚至于部分特殊的路由算法,例如IGRP和增强IERP中,可以根据主路径和备用路径的带宽比例实现负载分担。

5.3 物理层技术选择

       物理层技术选择内容包括缆线类型、选用网卡等

      5.3.1 技术选择原则

       物理层技术的选择依据主要来自于需求分析说明书和通信规范说明书,这些说明书中已经明确了带宽等通信参数的要求。

       以下是对满足说明书要求的技术进行选择时的一些通用原则:(1)可扩展性与可伸缩性;(2)可靠性、可用性和可恢复性;(3)安全性;(4)节约与成本;

5.3.2 物理介质和网卡的考虑

       1)物理介质

       物理介质包括有线介质和无线介质

       2)网卡

         网卡是在介质确定后的物理层元素之一,因为网卡必须与网络的物理介质、拓扑结构和MAC层协议相匹配。

5.4 局域网技术选择与应用

5.4.1 生成树协议

       在局域网络中,交换设备间借助于生成树协议(Spanning-Tree ProtocolSTP)来完成动态“修剪”第二层交换机,而形成统一的树形结构,避免数据链路层环路的存在,其标准为IEEE802.1D

       对于采用交换机实现局域网段物理划分的网络来说,生成树协议是实现交换机设备间透明桥接的关键协议,设计人员将交换机的物理连接设计成有冗余和可扩展的结构,而协议运行的机构将禁用某些端口和连接,使得网络设备之间形成逻辑的树型结构。

       交换机之间通过发送桥接协议数据单元(BPDU)来建立和维护生成树,协议在交换机启动时就参与STP的收敛过程,当设备的端口、连接发生变化时,也会发送维护数据单位。

1 STP收敛过程

交换机遵循下面4个步骤将网络结构收敛到一棵树:

从交换机中选择一个作为根网桥;

在每台交换机上选择一个端口,被称为根端口,该端口提供到根网桥的最低开销路径;

在每个局域网段互联的多个交换机,选择一个作为指定网桥,并从该交换机上选取指定端口;

决定哪台交换机的端口添加到生成树的结构中,所有被选择的端口都应该是根端口或者指定端口;

参与STP的交换机的端口状态:

阻塞——只接受BPDU

监听——创建生成树;

学习——创建交换(桥接)表;

传输——发送和接受用户数据;

2 选择根网桥

根网桥是具有最小桥ID的交换机,桥ID有两个部分,优先权字段和交换机MAC地址,大多数厂商都带有自己的统一默认优先权,这样当这些交换机互连时,最小的MAC地址交换机就成了根网桥。

3 根保护

根保护可以防止低速交换机抢占根网桥。在交换机上配置根保护的端口不能作为根端口。根保护功能需要在所有不应该成为根网桥的交换机的各有端口上开启,避免这些端口可能成为根端口。

4 STP更新时间

一般情况下,STP协议更新的时间为30s——2倍的默认传送时延计时;

一些特殊的情况会导致更新时间长达50s——最大计时与2倍的默认传送时延之和;

(默认传送时延计时为15s,默认最大计时为20s

5.4.2 扩展生成树协议

1)快速生成树协议

       快速生成树协议(Rapid Spanning-Tree ProtocolPSTP)的标准为IEEE 802.1w,是对IEEE802.D的补充,通过对交换机端口的配置改变而实现STP的快速收敛。

       RSTP的核心思想是预先对生成树的拓扑结构以及可能发生的变化进行设定,一旦网络中连接关系发生变化,整个网络的生成树会依据预先设定的拓扑收敛,这样减少了STP重新配置和恢复服务所需的时间,同时也保持了STP即插即用的特点。

2)基于VLAN的扩展协议

       IEEE使用多生成树标准(MST)增强了原始的生成树算法,即IEEE802.ls,该协议提高了RSTP的扩展性,将一组基于VLAN的生成树聚合成不同的实例,可以提供多条数据转发路径,实现负载均衡。

5.4.3 虚拟局域网

       虚拟局域网(VLAN)基本上可以看作是一个广播域,是根据逻辑位置而非物理位置划分的一组客户工作站的集合,这些工作站不在同一物理网络中,但可以像在一个普通局域网上那样进行通信和信息交换。围绕VLAN的主要设计内容包括:VLAN划分方法;VLAN划分方案;VLAN的跨设备互连;VLAN间路由;

1 VLAN划分方法

基于设备端口;基于MAC地址;基于网络地址;基于IP组播;基于策略;

2 VLAN划分方案

管理VLAN:是由网络管理人员专用的网络,管理VLAN中节点主要包括以下内容:大型网络设备一般提供网络管理方式;大型服务器也提供特殊的远程管理网络端口;各种设备向网管服务器提交SNMP协议数据的网络端口;网关平台服务器和网管工作站。

服务器VLAN:服务器是向局域网提供服务的关键,大多数情况下,局域网内部的服务器都位于局域网的核心部分,针对服务器建立一个特定的VLAN,可以加强服务器之间的访问,同时提高了服务器的运行安全性。

用户的部门VLAN:在网络使用中,相同的部门用户,其所需要的应用服务基本是一致的,因此可以针对用户计算机的部门分布情况,划分不同的VLAN,针对不同部门的VLAN,制定不同的访问控制策略,已提高整个网络的安全性。

3 VLAN的跨设备互连

一般来说,在基于端口方式下,网络端口可以处于以下几种状态:静态访问端口;动态访问端口;VLAN互连端口;

4 VLAN间路由

VLAN间是无法在数据链路层连通的,只能借助于网络层协议连通。实现VLAN间路由需要借助路由器。

5.4.4 无线局域网

       在园区网络中,无线局域网可以满足移动用户对内部网络和因特网的接入需求。一个无限局域网络是由AP组成,该设备利用射频和无线用户通信,一个AP能够覆盖的区域称为无线单元。

       设计无线局域网需要考虑以下三个部分的内容:定位AP实现最大覆盖率;无线局域网中的虚拟局域网设计;冗余无线接入点;网络SSID

5.4.5 线路冗余和负载分担

       局域网交换机之间设计冗余链路是较为常见的做法,对于这些冗余链路则存在着备份和负载分担两种应用方式。

5.4.6 交换机设备应用

       交换机作为局域网的核心设备,除了常规的数据帧的存储和转发功能之外,还可以满足局域网络用户的一些特殊需求,主要包括链路聚合、冗余网关、以太网供电、多业务模块等。

1 链路聚合

链路聚合是将两个或更多数据信道结合成一个单个的信道,该信道已一个单个的更高带宽的逻辑链路出现。

2 冗余网关

对于由多个VLAN构成的局域网来说,每个VLAN的网关设备多是由核心交换机来承担,一旦核心交换机出现故障,则多个VLAN的网关都将出现问题,这些VLAN之间的通信将处于中断状态。为了避免这种情况的发生,大多数核心交换机都会提供冗余网关协议,使得网络中至少两台交换机成为各个VLAN的网关,避免网关的单点故障效应。

常见的冗余网关协议包括通用的虚拟路由器冗余协议(Virtual Router Redundancy ProtocolVRRP)和由Cisco公司提供的热备份路由器协议(Hot Standby Router ProtocolHSRP)与网关负载均衡协议(Gateway Load Balancing ProtocolGLBP)。

虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器组中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器,它负责转发数据包到这些虚拟IP地址。

热备份路由协议(HSRP)是Cisco公司独有的技术,为IP网络提供了容错和增强的路由选择功能,通过使用同一个虚拟IP地址和虚拟MAC地址,LAN网段上的两台或者多台路由器可以作为一台“虚拟”路由器而对外提供服务。HSRP中的路由器组中存在多种角色,一个HSRP路由器组中最少需要两台路由器,一个是活跃路由器,一个是备份路由器。

GLBP协议是Cisco公司提出的一种冗余网关协议,与VRRPHSRP类似,但是可以实现负载均衡。

GLBP实现负载均衡的方式是通过多个路由器使用一个虚拟的IP地址和多个虚拟的MAC地址来实现负载均衡,主机的默认网关配置相同的IP地址,在虚拟路由器组里所有的路由器参与数据转发。

3 以太网供电

以太网供电(Powder over EthernetPOE)技术是通过以太网线路为IP电话、WLAN接入点、网络摄像头等小型网络设备直接提供电源的技术。

4 多业务模块

多业务模块功能,是指交换机生产厂商提供统一的业务模块接口,并提供特殊的业务功能开发包,由各业务功能设备提供商将产品封装成统一的交换机业务模块,是的业务服务器可以直接从交换机框架上获取供电、网络数据,经业务处理后再发送至交换机框架上。

5.4.7 服务器冗余和负载均衡

       实现服务器的冗余和负载均衡有多种方式:使用负载服务器均衡器;使用网络地址转换;使用DNS服务器;高可用性技术(双机热备高可用(HAHigh Availability)系统,又称为高可用性集群);

5.5 广域网技术选择与应用

5.5.1 城域网远程接入技术

1)传统的PSTN接入技术

       PSTN接入技术是较为经典的远程连接技术,通过在客户计算机和远程的拨号服务器之间分别安装调制解调器,实现数字信号在模拟语音信道上的调制,通过公用电话网(PSTN)完成数据传输。

       常见的速率:33.6Kbps或者56Kbps;主要使用两种协议:分别为PPPSLIP协议。设计PPP协议需要考虑口令认证机制,PPP协议支持两种类型的认证机制,分别为口令认证协议(PAP)和应答握手认证协议(CHAP)。

2)综合业务数据网

综合业务数据网(ISDN)是由地区电话服务提供商提供的数字数据传输业务,支持在电话线上传输文本、图像、视频、音乐、语音和其他的媒体数据,ISDN上使用PPP协议,以实现数据封装、链路控制、口令认证、协议加载等功能。

ISDN提供B信道用于承载用户信息和D信道承载控制信息信道。同时ISDN提供两种用户接口,分别为基本速率接口和集群速率接口。

3)电缆调制解调器远程接入

电缆调制解调器运行在有线电视(CATV)使用的铜轴电缆上,可以提供比传统电话线更高的传输速率。典型的电缆网络系统提供25-50Mbps的下行带宽和2-3Mbps的上行带宽,同时电缆调制解调器不需要拨号就能实现远程站点访问。

4)数字用户线路远程接入

         数字用户线路(Digital Subscriber LineDSL)允许用户在传统的电话线上提供高速的数据传输,用户计算机借助于DSL调制解调器连接到电话线上,通过DSL连接访问互联网或者企业网。

DSL技术存在多种类型,以下是常见的技术类型:

       ADSL:非对称DSL,用户的上下行流量不对称,一般具有三个信道,分别为1.544-9Mbps16-640Kbps的双工信道、64Kbps的语音信道。

       SDSL:对称DSL,用户的上下行流量对等,最高可达到1.544Mbps

       ISDN DSL:介于ISDLDSL之间,可以提供最远距离4600-5500m128Kbps双向对称传输。

       HDSL:高比特率DSL,是在两个线上提供1.544Mbps或在三个线对上提供2.048Mbps对称通信的技术。

       VDSL:甚高比特率DSL,一种快速非对称DSL业务,可以在一对电话线上提供数据和语音业务。

5.5.2 广域网互联技术

1)数字数据网络

       数字数据网络(Digital Data NetworkDDN)是一种利用数字信道提供数据信号传输网,是一个半永久性连接电路的公共数字数据传输网络,为用户提供了一个高质量、高宽度的数字传输通道。

       DDN采用同步时分复用,对各层协议透明,支持任何传输规程,不具备交换功能,以点对点方式实现半永久性的电路连接,传输时延小。采用数字信道传输数据信号,具有传输质量高、速度快、带宽利用率高等优点。

2SDH

         SDHSynchronous Digital Hierarchy,同步数字体系)是一种将复接、线路传输及交换功能融为一体,并由统一网管系统操作的综合信息传送网络。SDH可实现网络有效管理、实时业务监控、动态网络维护、不同厂商设备间的互通等多项功能,能大大提高网络资源利用率、降低管理及维护费用、实现灵活可靠和高效的网络运行与维护。

3MSTP

基于SDH的多业务传送平台(MSTP)是指基于SDH平台同时实现TDMATM、以太网等业务的接入、处理和传送,提供统一网管的多业务节点。基于SDH的多业务传送节点除应具有标准SDH传送节点所具有的功能外,还具有以下主要功能特征:

       具有TDM业务、ATM业务或以外网业务的接入功能;

       具有TDM业务、ATM业务或以外网业务的传送功能包括点到点的透明传送功能。

       具有ATM业务或以太网业务映射到SDH虚容器的指配功能。

4)传统***技术

         虚拟专用网(***)通过公共网络实现远程用户或远程局域网之间的互联,主要采用隧道技术,让报文通过如Internet或其他商用网络等公共网络进行传输。

       传统的***技术主要基于实现数据安全传输的协议来完成,只要包括两个层次的数据安全传输协议,分别为二层协议和三层协议。

       5MPLS ***技术

         MPLS是多协议标签交换的简称,它用短而定长的标签来封装分组。MPLS 从各种链路层(如PPPATM、帧中继、以太网)得到链路层服务,又为网络层提供面向连接的服务。

       MPLS技术主要是为了提高路由器转发速度而提出的,其核心思想是利用标签交换取代复杂的路由运算和路由交换。

5.5.3 广域网性能优化

       广域网连接的可靠性和可伸缩性将决定企业内部网络是否有效地满足用户的需求,通过广域网络优化,可以分析企业通信网络的所有组成部分,并确定如何进行优化,已提高总体性能并降低综合费用。

       对于广域网性能的优化,可以从以下方面进行考虑:广域网网络瓶颈;利用路由器实现广域网预留带宽;拨号线路的应用;压缩;链路聚合;数据优先排序;协议带宽预留;对话公平;

5.6 地址设计和命名模型

5.6.1 分配网络层地址的原则

         分配规划、管理和记录网络层地址是网络管理工作的重点内容。好的网络层地址分配规划,不仅可以让管理员对地址实施便捷的管理,也为路由协议的收敛等提供好的基础。

1 使用结构化网络层编址模型;(2)通过中心授权机构管理地址,(在设计阶段,必须明确如下内容:是否需要公有地址和私有地址;只需要访问专用网络的主机分布;需要访问公网的主机分布;私有地址和公有地址如何翻译;私有地址和公有地址的边界);(3)编制的分布授权;(4)为终端系统使用动态编制;(5)私有地址(私有地址可以用于企业内部的地址,这些地址互相之间可以访问。私有地址预留地址段:10.0.0.1-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255);

5.6.2 使用层次化模型分配地址

      层次化编址是一种对地址进行结构化设计的模型,使得地址的左半部分的号码可以体现大块的网络或节点群,而右半部分可以体现半个网络或节点。层次化编址的主要优点在于可以实现层次化的路由选择,有利于网络互连设备之间分发网络拓扑结构。

1             层次化编制的优势:易于排查故障;易于管理和性能优化;加快路由选择协议收敛;需要更少的网络资源;可扩展和稳定性强;层次化编制允许对网络号进行汇总,这使得路由器在通告路由表时对路由规则条目相应进行汇总;另外该编址方式易于实现可变长度子网掩码(VLSM),为子网的划分添加了灵活度,优化可用地址空间。

2             层次化路由的含义是指对网络拓扑结构和配置的了解是局部的,一台路由器不需要知道所有的路由信息,只需要了解其管辖的路由信息。

3             无类路由器选择协议: 无类路由选择协议支持任意的前缀长度。设计人员在进行选择时,应尽量采用无类路由选择协议,包括RIP V2OSPFGBPIS-IS等。

4             路由汇聚:无类路由选择协议可以将多个子网或网络汇聚成一条路由,从而减少路由选择协议的开销。设计路由汇聚的IP规则:可以汇聚的多个网络IP地址的最左边的二进制必须相同;路由器必须依据32位的IP地址和最长可达32位长的前缀长度确定路由选择。;路由协议必须承载32位地址的前缀长度。

5             可变长度子网掩码:使用无类路由选择协议,意味着在单一网络中可以有大小不同的子网,子网大小的变化就是通常所说的可变长度子网掩码(VLSM)。VLSM依据显示提供的前缀长度信息使用地址,不同的地方可以具有不同的前缀长度提供了实用IP地址空间的效率和灵活性。

5.6.3 域名解析

      DNS用于完成难于记忆的IP地址与域名之间的转换。主要有两项功能:正向解析(forward domain)与逆向解析(reverse domain)。正向解析是将域名转换成IP地址,逆向解析是将IP地址转换成域名。

      DNS的域名服务器进程按功能可以分四类,分别为主服务器(Primary/Master DNS Server)、次服务器(Second/Slave DNS Server)、缓存服务器(Cache)和解析服务器(Resolver)。主服务器负责维护某个域的域名解析数据库,并向其他主机提供域名查询;次服务器利用区域传送,从主服务器复制网络区域内的域名解析数据,当主服务器不能正常工作时,次服务器就可以向外界提供查询;缓存服务器的功能是缓存域名解析的结果,减轻域名服务器的负荷;解析服务器是一个客户端软件,执行本机的域名查询。每台DNS服务器主机上都由两种或三种服务器进程共同提供DNS服务。

5.7 路由选择协议

路由选择协议使路由器能够自动学习如何达到网络,并与其它路由器交换路由信息,达到全网路由选择的目的。

5.7.1 路由协议选择原则

1)路由协议类型选择

路由选择协议分为两大类:距离向量协议和链路状态协议,

当满足下列条件是,可以选择使用距离向量路由选择协议:

网络使用一种简单的、扁平的结构,不需要层次化设计;

网络使用的是简单的中心辐射状结构;

管理人员缺乏对路由协议的了解。路由操作能力差;

收敛时间对网络的影响较小;

当满足下列条件时,可以选择使用链路状态路由选择协议:

网络采用层次化设计,尤其是大型网络;

管理员对链路状态路由协议理解较深;

快速收敛对网络的影响较大。

2)路由选择协议度量

当网络中存在多条路径时,路由协议适用度量值来决定使用那条路径。不同的路由选择协议的度量值不同的,传统的协议以路由器的跳数作为度量值,第一代的协议还将参考延迟、带宽、可靠性及其他因素。

3)路由选择协议顺序

路由器上可能会存在不同的路由协议,针对一个网络目标,这些路由协议都会选举出具有最小度量值的路径,一旦多个路由协议都选举了最优路径,则具有最小权值的路由协议的路径生效。

4)层次化与非层次化路由选择协议

路由协议从层次化角度可以分为支持和不支持两种;在非层次化协议中,所有路由器角色都是一样的;层次化协议中,不同路由器的角色不同,需要处理的路由信息量也不同。

5)内部与外部路由选择协议

路由协议根据自治区域的划分以及作用,可分为内部网关协议和外部网关协议,对于内部网关协议,为常见的是RIPOSPFIGRP,对于外部网关协议,多选择BGP协议。

6)分类与无类路由选择协议

前文已涉及

7)静态路由选择协议

静态路由指手工配置并且不依赖于路由选择协议进行更新的路由,静态路由经常用于连接一个末梢网络,也就是只能通过一条路径到达的网络部分,静态路由的常见使用方法就是默认路由。

静态路由一般情况下要比其他动态路由协议级别高,静态路由信息是可以导入到动态路由选择协议形成的路由表项中,形成路由信息的互补关系。

5.7.2 内部网关协议—OSPF

OSPF协议使典型的、应用最广的内部网关协议,该协议为层次化、无类路由选择协议。

1             OSPF RouterID

原则上采用网络设备的loopback0loopback1的接口地址作为设备的Router IDRouter ID应统一规划,作为路由域内的该设备的唯一地址标识以及管理地址。

2             OSPF时间参数

Hello包间隔时间为1

相邻路由器间失效时间为3

LSA更新报文时间为1

临接路由器重传LSA的间隔为5

OSPFSPF计算间隔为5

采用MD5对报文(接口、区域)验证

3             OSPF COST

COSTOSPF协议的度量值,可以根据链接的带宽设定不同链路的COST值。

4             OSPF DRBDR

OSPF DRBDR选择应遵循:

OSPF接口上所有网络类型均配置为广播;

OSPF区域支持报文验证;

ABRASBR应至顶向下通过第5LSA发布缺省路由:

在核心路由器上建议配置OSPF路由过滤,包含对引入和发布的路由都需要过滤;

禁止loopback接口发送OSPF报文;

禁止采用OSPF虚连接的方式连接区域;

5.7.3 外部网关协议—BGP

BGP是典型的外部网关协议,也是应用最广的外部网关协议。

1             BGP对等体

对不同对等体组应定义易于记忆、无歧义的组名;

建议不要将BGP对等体和EBGP对等体加入同一个组中;

不允许同不直接相连网络上的EBGP对等体(组)建立连接;

2             BGP时间参数

BGP Keepalive 报文的发送时间间隔为5秒;

保持定时器为15秒;

IBGP对等体(组)发送路由更新报文的时间间隔为1秒;

EBGP对等体(组)发送路由更新报文的时间间隔为企业网内部为5秒,企业外部为30秒。

3             BGP本地优先级

BGP要求配置本地优先级属性,本地优先级的值为100

4             BGP MED

由多个AS构成的层次模型中,下级AS上级互连MED值为1,同级间AS互连MED值为0MED值小的优先级高)

5             BGP联盟

一个IBGP域内只能存在一个联盟并且联盟ID号与AS号保持一致;

6             BGP同步

建议关闭BGPIGP的同步

7             BGP路由过滤

只在做MPLS-***时候BGPIGP进行交互,原则上只允许在PE设备上交互。

8             BGP路由过滤

BGP接受路由信息时需要做基于IP前缀的路由过滤。

9             静态路由

为避免路由环路的生成,对已部署动态路由的连接关系,不允许在动态路由部署的连接关系上重复部署静态路由。

5.8 网络管理

网络管理并不是单存的技术工作,而是行政管理工作与技术管理共同组成的复杂体。在进行网络设计时,为加强网络管理工作的有效性,应将网络的管理手段分为两大类,分别为行政管理和技术管理。技术管理又依据管理技术的层次性划分为TMS(传输管理系统)、NMS(网络管理系统)、RMS(资源管理系统)和AMS(应用管理系统)。

5.8.1 行政管理手段

通常情况下网络管理中心是企业网络管理、维护的核心部门,在网络管理中心和建立完善的行政管理制度是保证网络平台稳定运行的关键。

1             机构设置

典型的网络管理中心由办公室、网络运行室、网络信息室三个机构构成。

2             岗位职责

1          主任职责:负责处理信息网络中心重大事项

2          副主任职责:主持网管中心的日常工作,协助主任处理信息网络中心的重大事项

3          网络管理员职责:负责网络平台的系统管理与维护,确保网络安全、高效、稳定地运行

4          网络信息员职责:负责企业内外门户的建设与维护,面向各类用户提供信息服务、信息处理与统计等。

3             管理制度

 为配合网管中心工作人员实施网络管理,同时通过制度化保证管理的力度与效果,网管中心还必须制定各项管理制度,其中主要内容包括:

5.8.2 传输管理系统(TMS

传输管理系统(TMS)是网络平台传输线路管理的主要管理工具。在一个大型网络中,大量的传输线路构成了网络的基础,而TMS就是对这些传输线路进行管理的系统,这些系统含有对光纤资源、SDH电路等物理或逻辑线路状态、参数等的实时管理与监控。

5.8.3 网络管理系统(NMS

NMS是较为经典的网络管理方式,网络管理功能被划分为配置管理、安全管理、故障管理、费用管理和性能管理五大部分。目前基于网管协议SNMP-|SNMP-||SNMP-|||的网络管理产品主要有HPOpenView SunSNMIBMNetViewCiscoCiscoWorks

大多数网络平台对网络管理系统产品都有如下功能:

5.8.4 资源管理系统(RMS

资源管理系统是建立一个完整的网络视图,包括传输网络、信令网络、数据网络,同时能体现各个网络之间的关联关系。其主要功能包括:网络规划、网络设计、网络资源管理、网络资源调度、工程施工、网络维护、网络质量管理。

5.8.5 应用管理系统(AMS

AMS目前的概念较为模糊,与资源管理系统有一定的重合,AMS更加注重对用户服务的管理,通过对运行与服务器上的用户服务进程实施监控,来实现应用资源的管理。

应用管理系统的主要监控对象的两部分内容:一部分是向网络用户提供各种InternetIntranet上的服务,例如WWWFTPTelnetSMTP等;一部分是网络平台上运行的各类专业应用系统,例如财务系统、OA系统、生产系统、销售系统等。

5.8.6 网络安全

网络安全体系设计是逻辑设计工作的重要内容之一,安全架构模型如下进行网络安全体系设计介绍:

5.9.1 机房及物理线路安全

1、机房安全

机房、UPS电源、监控等场地设施和周围环境及消防安全,应符合国家相关标准,并满足网络平台的运行要求。

机房的安全措施应符合GB/T 9361-1988GB/T 2887-1989的要求。

2、物理线路安全

计算机通信线路安全、骨干线路冗余防护、骨干线路和主要设备的防雷击措施

5.9.2 网络安全

1、安全域划分

网络平台安全域通常可以划分为:核心局域网安全域、部门网络安全域、分支机构网络安全域、异地灾备中心安全域、通信线路运营商广域网全域等,另外,核心局域网安全域又可以划分为中心服务器子区、数据存储子区、托服务器子区、核心网络设备子区、线路设备子区等多个子区域;

2、边界安全策略

      网络的边界安全访问总体策略为:允许高安全级别的安全域访问低安全级别的安全域,限制低安全级别的安全域访问高安全级别的安全域,不同安全域内部分区进行安全防护,到安全可控。

       核心网络与互联网的边界的安全措施设计应符合以下要求:

1          应部署逻辑隔离措施,主要是防火墙隔离;

2          允许互联网用户访问网络DMZ区域的互联网门户网站等相关服务器的对外开放服务器;

3          对于特殊的应用,允许互联网移动办公公务员通过安全认证网关访问位于DMZ的业务应用;

4          禁止互联网用户访问内部网络应用系统;

5          关闭网络病毒相关端口,无特殊需求,禁止开放;

6          应对进出网络的数据流进行监控、分析和审计

7          应阻止来自互联网的各种***

核心网络与部门、分支结构网络的边界

       核心网络与部门、分支机构网络的边界安全措施设计应符合以下要求:

1          中小型网络,不需要再该边界添加任何隔离设备;

2          大型网络,可根据需要添加逻辑隔离设备(如防火墙或启用了过滤规则的路由器等)。

3          应对进出核心局域网的数据流进行监控

4          关闭网络病毒相关端口,无特殊需求,禁止开放;

5          允许核心网络访问部门或分支网络系统;

6          禁止核心网络的普通用户直接访问基础数据库服务子区域;

7          允许部门和分支网络用户在受控前提下,访问核心网络中的服务器资源。

核心网络与异地容灾中心的边界应符合以下要求:

1          如果采用数据级容灾,则不需要进行逻辑隔离,但是必须保护线路的物理安全;

2          如果采用应用级容灾,则可以添加逻辑隔离设备,只允许开放远程数据存储和备份需要的相关服务。

3、防火墙安全配置

       在不同的安全域之间或安全域内部不同安全级别的子区域之间可根据需求部署防火墙,防火墙的安全配置与路由交换设备基本相同,但是需要添加一项内容——防火墙产品应有国家相关安全部门的证书。

4、网闸安全配置

       网络中如存在安全级别较高的区域,则可以通过网闸设备进行隔离,网闸隔离尤其适用于工作性质较为特殊的单位,内部网络中含有一定的敏感信息,以通过网闸在受控的情况下与外部进行连接。

5          ***检测安全配置

***检测应符合以下要求:

中大型网络平台应部署基于网络的***检测系统(NIDS);

网络***检测系统应对核心局域网、DMZ区域进行检测;

如需要对大型网络的部门、分支机构网络进行***检测,应采用分布式方式部署***检测系统;

***检测产品应有国家相关安全部门的证书;

监控配置更改,改动***检测系统配置时,进行监控;

定期备份配置和日志;

***检测系统配置加长口令;

如采用分布式部署方式,各级***检测系统宜采用分级管理方式进行管理。

6          DDoS***安全配置

DDoS***应符合以下要求:

网络平台应针对其对外提供服务的区域,例如DMZ区域部署抗DDoS设备;

DDoS***一般不部署核心网络,而是 部署于网络边界;

对于大型网络,可以采用独立的抗DDoS***设备,中小型网络可以采用带有抗DDoS***模块的防火墙或路由器产品。

7          虚拟专网(***

***组网方式:支持IPSec ***SSL ***

支持多种认证方式:用户+口令、证书、USB+证书+口令

5.9.2 系统安全

1、身份认证

登录系统需要身份认证;

定义认证尝试允许次数;

身份认证的用户名和口令应加密传输;

对登录用户的来源进行控制和监控;

定期审计身份认证日志;

2、账户管理

建立账户管理制度,负责系统帐户的登记、分配、权限管理、注销等,定期检查系统账户分配情况及正确性;

为不同用户分配不同的用户名或用户标识符,确保唯一性;

用户名或用户标识符在系统内部全局唯一,在用户名或用户标识符被删除后,用户名或用户标识符不可再被创建;

记录用户的系统登录情况,定期审计和分析用户账户使用情况。

3、主机系统配置管理

使用正版的操作系统软件;

不同用户配备不同的使用权限;

系统的目录与文件 不能被远程用户“写/执行”共享;

限制服务器对外提供服务资源;

运行时必须开启系统日志与审计功能;

不同用户使用空间专用,且有磁盘空间限制。

4、漏洞与补丁发现系统

定期采用专业化的工具进行系统漏洞扫描;

部署补丁管理软件对系统漏洞进行集中管理和控制,自动更新补丁程序;

5、内核加固

用户身份认知,实现系统管理员、安全管理员与审计管理员的三权分立;

区分用户的文件强制访问权限控制;

区分进程的文件强制访问权限控制;

文件强制访问权限控制;

区分进程的进程强制访问权限控制;

文件完整性保护;

服务完整性保护;

服务强制访问控制;

系统日志的安全保护。

6、病毒防护

防病毒软件的部署由点及面;

在中小型网络平台中,采用扁平化方式部署;

大型网络平台中,应部署两级防病毒管理中心,采用三级体系架构方式;

两级防病毒管理中心指在网络中心建立一级系统中心,在分支机构网络中建立二级系统中心;

       三级系统架构指防病毒系统整体架构应具有管理控制中心、管理控制台、杀病毒客户端的三层结构。

7、桌面安全管理

桌面系统资源管理;

终端拓扑管理;

终端设备安全策略与接入管理;

设备行为与策略监控;

非法外联监控

8          系统备份与恢复

重要的系统必须实现确定的恢复功能;

定期对全系统的完整运行现场进行备份;

9          系统监控与审计

对审计数据进行分析,包括分类、排序和趋势分析等;

对特定异常事件进行审计分析,提高实时报警功能;

支持集中审计和事件关联分析;

提供自动响应机制。

10     访问控制

启用访问控制功能;

根据管理用户的角色分配权限,仅授予管理用户所需的最小权限

操作系统和数据特权用户权限分离

限制默认账户的访问权限;

删除多余的、过期账户;

根据安全策略控制用户对有敏感标记重要信息资源的操作。

5.9.3 应用安全

1、数据库安全

1)数据库访问控制

用数据库目录表、存取控制表、能力表等确定主体对客体的访问权限。

允许用户或用户组的身份规定并控制对客体的共享,阻止非授权用户读取信息。

访问控制应与身份认证和审计结合,通过确认用户身份的真实性和记录用户的各种成功或不成功的访问,使用户对自己的行为承担明确的责任。

应限制授权传播,要求对不可传播的授权进行明确定义提供支持。系统自动检查并限制授权的传播;

将系统的常规管理、安全管理、审计管理分别由系统管理员、安全管理员、审计管理员分别管理,三者之间形成互相制约的关系。

数据库安全级别必须高于C2安全级别;

必须对数据库进行备份。

2 数据库中的身份认证:

用户进入数据库系统首先要进行操作系统身份认证;

用户远程直接登录数据库管理系统或服务器时应进行认证;

本地登录用户,可使用用户在操作系统中的标识信息或重新进行用户标识;

数据库管理系统用户标识使用用户名和用户标识(UID),且具有唯一性;

分布式数据库系统中,全局应用的用户标识信息和认证信息应放在全局数据字典中;

数据库用户的标识和认证信息受操作系统和数据库系统双重保护;

3 数据库的安全审计

4 数据库的容灾

2、邮件服务安全

3Web服务安全

1)网页防篡改(防止非授权人员随意篡改web页面,对网页进行实时监控、保护。)

2Web日志审计(记录和收集用户登录、浏览页面及其他相关操作的过程。)

3Web业务隔离(提供面向对外部和面向内部的服务业务的独立性,防止出现问题时造成整体服务中断。)

4、应用系统的安全要求

1)应用软件的基本要求(必须是正版软件;未经认证的环境、工具需提交源代码;需现场编译后方可使用;对于新开发的软件,需保留人工工作半年;提供数据有效性检验功能;提供自动保护功能;)

2)身份识别与认证(采用数字证书的用户身份认证;应用系统登录采用用户身份、口令验证、加入验证码;具有登录失败处理功能;具有超时处理功能;采用一次性口令密码;不允许超级用户的方式连接数据库、中间件服务器等)。

3)数据库的机密性和完整性保护(基于数字证书的安全认证平台;通信过程中,对于敏感信息如账号、密码、证件号等字段进行加密;)

4)应用安全审计(身份认证审核;数据、文件的删除和修改等行为监控;对用户实施操作监控;对审计数据进行报表进行分析功能;可基于特定异常事件进行审计分析;支持将日志时间以某种通用格式输出,作为集中审计的输入。)

5)访问控制(提供访问控制功能;访问控制覆盖的范围包括与资源访问相关的主体、客体;授权主体配置访问控制策略,严格限制默认账户的访问权限;授予不同账户各自承担任务所需的最小权限;对重要信息资源设置敏感标记功能;控制用户对敏感信息资源的操作)

5.9.4 数据容灾与恢复

1、总体要求

      数据容灾机制保证企业网络核心业务数据在灾难发生后的及时恢复,数据容灾机制符合以下总体要求:

       有运行维护人员执行定期的数据备份任务;

       有专门的运维人员定期检查数据备份情况;

       应制定数据恢复预案,并由相关部门备案;

       备份的数据必须有效且能进行恢复;

2、容灾系统建设

1)建设地址的选择(与核心网络中心距离大于十公里以上;网络基础设施较完善,能够提供足够带宽;能够提供双回路电力保障;不能在地质灾害和天气灾害多发地区;不能在重要设施密集地区;不能在交通要道附近;远离标志性建筑)

2)基础建设的要求(备用基础设施包括支持灾难备份系统的机房、数据备份中心的存储设施和备份运行系统的服务器等)

3)网络线路的备份(备用网络系统包括备用网络通信设备和备用数据通信线路)

4)建设方式(可采用单位自建、多方共建、通过互惠协议获取、租用其他机构的系统等)

3、数据备份与恢复

       提供本地数据备份与恢复功能,完全数据备份应每天一次;

       重要数据定期从运行的系统中备份到本地的存储介质中;

       应制定合理的备份策略;

       对数据备份策略的实施情况进行定期检查;

       采用异地备份方式;

       数据恢复时,应填写数据恢复申请表,制定数据恢复计划报领导审批,然后进行数据恢复操作;

       业务数据恢复前进行检查,确定数据恢复范围,检查恢复数据的有效性;

       对数据恢复工具进行严格控制,尽可能的防止误操作;

5.9.5 安全运维服务体系

信息安全风险评估工作

1 风险评估的对象(网络结构;网络系统及设备;应用系统;管理制度;人员意识与技能;安全产品和技术应用状况;安全事件处理能力);

2 评估方法(安全管理审计;工具扫描;网络架构评估;应用系统评估;主机设备和平台安全配置检查;***测试和分析)

3 评估要求(安全风险评估师网络安全服务的重要环节,每年应进行一次信息安全风险评估。)

应急服务

1 应急响应(设计应急响应中心;制定合理的应急响应预案;制定详细合理的应急响应计划;)

2 应急预案的制定(建立应急处理工作小组,负责预案的落实和实施;应急预案要在相关部门或上级部门进行备案;应急预案必须切实有效,可操作性强;在制定和实施中明确各个部门的职责,确定应急事件的风险优先次序;全面分析系统运行、信息内容和网络的管理与控制等方面的安全威胁;完善应急预案所需的备用资源;建立应急预案流程;重大事件要上报有关部门;应急预案应经常进行培训和演练)

3 应急预案的内容(标题;事件描述;涉及范围;处理概述;处理流程;流程说明;演练计划;参与人员)

4 应急预案的流程

5 应急响应步骤(保护或恢复计算机、网络服务的正常工作,进行应急准备;追查***者,识别事件;抑制缩小事件的影响范围;解决、恢复以及跟踪问题;检查所有服务是否全部恢复;漏洞是否全部解决;故障原因是否处理;生成紧急响应报告;录入专家信息知识库;)

安全监控与管理服务

1 部署要求(是通过统一集中的安全管理机制来总体配置,调控整个网络多层面、分布式的安全系统,提高安全预警能力,加强安全应急事件的处理能力;以分布式的体系架构来实现监测和管理功能;每一级设置独立的数据库;上级管理节点能对下级管理节点进行配置和监测数据同步;管理功能集成于一个管理平台;可监测和管理网络、应用系统和运行环境。)

2 监控功能要求(能够采集网络设备、安全设备、服务器和应用系统等的运行状态、性能、故障和事件信息;应能对安全事件进行过滤、关联分析和告警;应能对网络、主机、数据库、中间件、安全设备、应用系统等IT资产进行集中统一管理;安全事件处理和风险分析功能;可以统计分析所有事件、风险、通知、资产和其他资源,能够创建报表。)

3 管理功能要求(运行值班管理;事件告警管理;运行维护管理;设备辅助信息管理;事件统计与运行考核管理;告警事件处理知识管理)

其他安全服务

1)定期安全巡检;(2)安全加固服务;(3)安全信息通告服务;(4)安全培训;

5.9.6 安全管理体系

1、安全管理框架


2
、建立安全组织机构

       信息安全领导小组应明确指定专人负责信息安全工作。信息安全管理机构是负责信息安全的职能部门。

3、人员安全管理

       应该政治过硬,业务素质高,遵纪守法,格尽职守;

       应具有相关专业技术背景、工作经历和一定的信息安全资质;

       违反国家法规的人不得从事信息安全管理工作;

第三方人员管理:

       第三方人员包括:软件开发商、硬件提供商、系统集成商、设备维护商、服务提供商和临时工。

       对第三方人员的访问应进行监控和审计;给第三方人员的权限应该严格控制和检查,对第三方人员的依赖程度应该能够控制并有补救措施。

4、外部技术支持

       外部技术支持包括聘请外部信息安全顾问,委托具有资质的单位负责安全管理等。

5、安全管理规章制度

资产安全管理;运行维护管理;

6、变更管理和控制

       确保变更实施过程受到控制;变更内容审核和审批;建立变更过程日志;形成变更结果报告。

7、安全系统建设管理

       安全方案设计

安全产品采购和使用:

       确保安全产品采购和使用符合国家相关规定;确保密码产品采购和使用符合国家密码主管部门的要求;每一个网络平台,其同一类别的安全产品原则上应采用同一品牌的产品。

安全服务商选择:

       确保安全服务商的选择符合国家的有关规定;安全服务商应具备国家相关部门颁发的安全服务资质证书;签订与安全相关的协议,明确约定相关责任;与选定的安全服务商签订与安全相关的保密协议,明确保密义务。

5.10 编写逻辑设计文档

       逻辑设计文档是所有网络设计文档中技术要求最详细的文档之一,该文档是需求、通信分析到实际的物理网络建设方案的一个过渡阶段文档,也是指导实际网络建设的一个关键性文档。

       逻辑设计文档对网络设计的特点及配置情况进行了描述,它由下列主要元素组成:主管人员评价;逻辑网络设计讨论;新的逻辑设计图表;总成本估测;审批部分;修改逻辑网络设计方案。

六、物理网络设计

         物理网络设计的输入是需求说明说、通信规范说明说和物理网络设计说明书。物流网络设计的任务是为所设计的物理网络设计特定的物理环境平台,主要包括结构化布线系统设计、机房环境设计、设备选型、网络实施,这些内容要有相应的物理设计文档。

6.1 结构化布线设计

6.1.1基本概念

      结构化布线系统是一个能够支持任何用户选择的语音、数据、图形图像应用的电信布线系统。

结构化布线系统具有以下特点:实用性、灵活性、开放性、模块化、扩展性、经济性。

6.1.2系统构成

      结构化布线系统分为六个子系统:工作区子系统、水平布线子系统、干线子系统、设备间子系统、管理子系统、建筑群子系统。

1)工作区子系统(由终端设备连接到信息插座的连线组成);

2)水平布线子系统(作用是将干线子系统线路延伸到用户工作区,水平布线系统处于同一楼层,并端接在信息插座或区域布线的中转点上,水平布线系统一端接于信息插座上,另一端接在干线接线间或设备机房的管理配线架上。)

3)管理子系统(由交连、互联和配线架和信息插座式配线架以及相关跳线组成。)

4)干线子系统(是建筑内网络系统的中枢,实现各楼层的水平子系统之间的互联;提供建筑物的干线电缆的路由;通常由垂直大多数铜缆或光纤组成。)

5)设备间子系统(由设备间中的跳线电缆、适配器组成,实现中央主配线架与各种不同设备的互联。)

6)建筑群子系统(将一个建筑物中的电缆延伸到另外一些建筑物中的通信设备和装置。支持提供楼群之间通信设施所需的硬件。)

6.1.3设计要点

1)工作区子系统设计要点(布线通常不是永久性的;信息插座类型选择应根据网络系统的规模和终端设备的种类、数量而定;以方便、安全、不易损坏为目标;)

2)水平布线设计要点(传输媒体中间不宜有转折点,两端应直接从配线架连接到工作区插座。)

3)管理子系统设计要点(对于楼层较少的建筑,可以此案用悬挂式配线柜;对于大多数建筑,每一层配备一个配线间;主干子系统将根据其分布式结构独立地连接到每一个配线间;)

4)主干子系统设计要点(对于旧建筑,主要采用楼层牵引管的方式铺设;对于新式建筑,利用建筑物的线井进行铺设。)

5)设备间子系统设计要点(设备间子系统是一幢建筑物中集中存放的各种设备;设备间的选址要考虑到连接方便的要求;兼顾对电磁干扰的要求;要配备不间断电源;)

6)建筑群子系统设计要点(建筑群子系统只要由连接楼栋的线缆构成,尽量使用地下管道铺设方式;安装时至少预留1-2个备用管孔;同一管道内铺设其他电缆,应设立明显的共用标志。)

6.1.4 布线距离

       在进行结构化布线系统设计时,需要注意线缆长度对布线设计的影响。EIA/TLA-568标准提出的常用的布线距离的最大值。

       注:高速以太网对双绞线的距离限制,建筑群、干线子系统的双绞线主要用于电话、报警信号等。网络信号基本使用光纤。

6.1.5 线缆铺设准则

     铺设线缆要注意以下方面:考虑线缆的冗余;遵循国家和政府在建筑方面的政策方针;聘请经验丰富的布线铺设承包商来完成铺设工作;让数据线垂直通过电力线;避免近距离铺设铜质电缆和电力线;

       机房设计规范:

机房设计参照GB 50174-1993《电子计算机机房设计规范》

中心机房位置选择:

1)中心机房的物理位置宜设于第1-8层;(2)水源充足、电力稳定、交通通讯方便、自然环境清洁、远离危险源、远离强振源和强噪声源;(3)无法避强电磁场时,可采取有效的电磁屏蔽措施

6.2 中心机房组成

6.2.1机房组成

1 中心机房组成:主机房、基本工作间、第一类辅助房间、第二类辅助房间等组成。

2 中心机房的使用面积应根据网络与计算机设备的外形尺寸布置确定。

主机房面积可按下列方法确定:

(1)  当系统设备已选型时,可按下式计算:

(2)  当系统设备尚未选型时,可按下式计算:

6.2.2设备布置

1 网络与计算机设备分区布置,一般分为服务器区、存储器区、网络设备区、安全设备区、通信区、监控区等。

2 需要经常操作的设备,放于便于操作的位置;

3 产生尘埃的设备远离敏感设备;

4 两相对机柜正面距离不小于1.5米,侧面距离离墙不小于0.5米,走道不小于1.2米;

6.2.3环境条件

1 机房温度:18℃—22℃,湿度45%—65%

2 噪声小于68dB,电磁频率为0.15-1000MHZ时,不应大于126dB,磁场干扰环境场强不应大于800A/m,机房地板表面垂直及水平向的振动加速度值不应大于500mm/s2

3 机房装饰不起尘、易清洁、铺设活动地板。

4 主机房远离噪声源,或有效的控制噪声干扰。

5 空调系统的气流组织,根据设备对空调的要求、冷却方式、设备布置密度、设备发热量等来多方面综合考虑。

6 空调设备选择应符合运行可靠、经济和节能的原则。

6.2.4 电气技术

1、供配电:按照国家标准《供配电系统设计规范》,供配电系统应考虑计算机系统有扩散、升级等可能性,预留备用容量。配有专用电力变压器供电,能够实现不间断供电系统,计算机电源设备应靠近主机房设备,远离机房的信号线。

2、照明:主机房的平均照明度200300500lx取值;机房照度标准取值应符合:间歇运行的机房取低值、持续运行的机房取中值、连续运行得机房取高值。

3、静电防护:地址铺设导静电地板。

4、接地:接电装置的设置应满足人身的安全及电子计算机正常运行和系统设备的安全要求。

6.2.5 给水排水:与机房无关的给排水管道不得穿过机房;给排水管道管道采用难燃烧材料保温。

6.2.6 消防与安全:主机房、基本工作间应设洁净气体灭火系统;机房应设火灾自动报警系统;报警系统和自动灭火系统与空调、通风系统联锁;

6.2.7 机房区域划分

       机房应根据功能和设备类别实现区域划分,实现模块化一体管理。

1          机房服务功能划分:中心服务器区、数据存储区、托管服务器区、托管服务器区、核心网络区、线路设备区、安全系统去以及设备配线区。

2          机房配套设施划分:强电配电区、不间断电源保障区(UPS)、其他区域包括新风空调区、消防设施区域。

6.2.8 机柜使用规范

1)服务器设备部署:每个服务器机柜安装服务器数目以4-5台,配线架间隔2U,托盘间隔6U

2)网络机柜设备部署:若设备大小为6-10U,则不宜超过2台;若大小为4U,不宜超过4台;若大小为1U,不宜超过8台;

3)电口配线柜设备部署:电口配线柜应独立设置;

6.2.9 标签牌使用规范

1)机柜标签:用于标识机柜功能区域和机柜编号。

2)设备标签:用于标识机柜内设备,如型号、名称、管理地址等;

3)线缆标签:用于标识机房内线路,如:线路类别、机柜号、设备号、端口号等。

6.2.10 设计图纸:需要独立成图的内容如下:(1)室内装饰效果图;(2)区域划分及隔断设计图;(3)空调设计图;(4)机房新风设计图;(5)机房强电系统设计图;(6)机房弱电系统设计图;(7)机房照明系统设计图;(8)机房静电及防雷设计图;(9)机房给排水设计图;(10)机房防水设计图;(11)机房消防设计图;(12)机房防雷设计图;(13)机房安防设计图;(14)机房监控设计图。

6.3 设备选型

       根据通信规范说明书和物理网络说明书选择设备的品牌和型号的工作。在进行设备选型时应该考虑:

1 产品技术指标:是决定设备选型的关键,必须满足通信规范分析中产生的技术指标,必须满足物理网络设计中形成的逻辑功能。

2 成本因素:成本因素包括:购置成本、安装成本、使用成本

3 原有设备的兼容性:在产品选型过程中,与原有设备的兼容性是设计人员必须要考虑的内容。

4 产品的延续性:主要体现在厂商对某种型号的产品是否继续研发、继续生产、继续保证备品配件供应、继续提供技术服务。

5 设备可管理性:是一个非关键因素,但也是必须考虑的内容。

6 厂商的技术支持:对于部分网络集成商,不能提供有效合理的技术支持,就必须考虑厂商的技术支持。

7 产品的备品备件库:形成常备空闲的设备及其配件,能够在故障时及时更换设备及其配件。

8 综合满意度分析:针对不同的角度制定特定的满意度评估标准。

6.4 物理网络设计文档

      物理网络设计文档的作用是说明在什么样的特定物理位置实现物理网络设计方案中的相应内容,及怎样有逻辑、有步骤地实现每一步的设计。

       物理网络设计文档的要求:主管人员评价;物理网络设计图表;注释和说明;软硬件清单;最终费用估计;审批部分。

七、网络测试运行和维护

7.1 网络测试概述

7.1.1、网络测试现状

       网络运行质量好坏直接关系到网络运行及用户体验,在网络建设之初及网络运行过程中有必要进行网络测试。网络测试能获得第一手网络运行数据,为合理规划、建设网络、有效管理、维护网络奠定基础。

7.1.2、网络测试方法

1)主动测试:利用测试工具有目的地往网络内注入测试流量,根据流量的传送情况来分析网络技术参数;缺点是:存在安全隐患

2)被动测试:利用特定工具收集网络中活动的元素(包括路由器、交换机、服务器等设备)的特定信息,以这些信息作为参考,通过量化分析,对网络性能、功能进行测量的方法。优点:不存在安全隐患。缺点是不够灵活,局限性大。

3)网络测试工具:主要有线缆测试(检测线缆质量,判断线缆通断情况)、网络协议分析仪(多用于网络的被动测试,分析捕获网络上的数据报和数据帧)、网络测试仪(是专用的软硬件结合的测试,具有特殊的测试板卡和测试软件,多用于主动测试,对网络设备、网络系统及网络应用进行综合测试,多用于大型网络的测试)。

7.2 线路与设备测试

      7.2.1 线路测试

网络线路测试是基础测试,跳线、插座、模块等网络部件被测试。

7.2.2 网络设备测试

      对网络设备如交换机、路由器、防火墙等进行性能测试,目的是了解设备完成各项功能时的性能情况。性能测试参数包括吞吐量、时延、帧丢失率、背靠背数据帧处理能力、地址缓冲容量、地址学习速率、协议的一致性等。

7.3 网络系统测试

      网络系统测试主要是网络是否为应用系统提供了稳定、高效的网络平台。对于常规的以太网进行系统测试,主要包括系统连通性、链路传输速率、吞吐率、传输时延及链路健康状况测试等基本功能。

7.3.1 系统连通性

       所有联网的终端都必须按使用要求全部连通

1)系统连接测试方法

      注:测试路径覆盖所有的子网和VLAN

2)抽样规则:以不低于接入层设备总是10%的比例进行抽样测试。每台抽样设备至少选择一个端口。

3)合格标准:单项合格判据,测试关键点的连通率达100%;综合合格判据,所有测试点的连通率都达到100%

7.3.2 链路传输速率

       是指设备间通过网络传输数字信息的速率。

1)链路传输速率测试方法:

2)抽样规则

       对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。

7.3.3 吞吐率

       吞吐率是指空载网络在没有丢包的情况下,被测网络链路所能达到的最大数据包转发率。

1)网络吞吐率测试方法:

2)抽样测试

对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。

7.3.4 传输时延

       传输时延是指数据包从发送端口(地址)到目的端口(地址)所需经历的时间。传输时延与传输距离、经过的设备和信道的利用率有关。考虑的发送端测试工具和接受端测试工具实现精确时钟同步的复杂性,传输时延一般通过环回的方式进行测量。

1)传输时延测试方法:

2)抽样规则

对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。

7.3.5 丢包率

       丢包率是指网络在70%流量负荷情况下,由于网络性能问题造成部分数据包无法被转发的比例。

1)丢包率测试方法

2)抽样规则

       对于核心的骨干链路,应全部测试;对于汇聚成到核心层的上联链路应全部测试;对于接入层到汇聚层的上联链路,不低于10%的比例进行抽样测试。

7.3.6 以太网链路层健康状况指标

       1)链路利用率:指网络链路上实际传送的数据吞吐率与该链路所能支持的最大物理带宽之比,也可理解为网络从事传输数据时间与网络运行时间之比。

       2)错误率及各类错误:是指网络中所产生的各类错误帧占总数帧的比率。

       3)广播帧和组播帧

       4)冲突(碰撞)率:处于同一网段的两个站点如果同时发送以太网数据帧,就会产生冲突。冲突帧指在数据帧到达目的站点之前与其他数据帧相碰撞,而造成其内容被破坏的帧。

7.4 网络应用测试

      网络系统应用的性能测试是为确保网络在实际运行状况下,各种基本应用服务能够达到用户可以接受的性能和服务质量。

       网络系统的基本应用服务只要包括DHCP服务、DNS服务、Web服务、E-mail服务和文件服务。

7.4.1 应用服务标准

1DHCP服务性能指标:DHCP服务器响应时间不大于0.5s

2DNS服务性能指标:DNS服务器响应时间不大于0.5s

3web访问服务性能指标:HTTP第一响应时间:内部网络站点访问时间应不大于1sHTTP接受率:内部网站点访问速率应不小于10000Byte/s

4Email服务性能指标:主要指SMTP服务器和POP3服务器。

5)文件服务性能指标

7.4.2 应用服务性能测试方法

7.5 测试报告

       测试完成后最终应提供一份完整的测试报告,测试报告应对这次测试中的测试对象、测试工具、测试环境、测试内容、测试结果进行详细论述。

       测试报告包含以下信息:测试目的;测试结论;测试结果总结;测试内容和方法;测试配置;

八、网络故障分析与处理

网络环境越复杂,发生故障的可能性就越大,引发故障的原因越难确定。

8.1 网络故障分析与处理

       在排除网络故障时,使用非系统化的 进行故障排除,可能会浪费大量的时间和资源;使用系统化的方法更有效。系统化的方法如下图:定义特定的故障现象,根据特定现象推断出可能发生故障的所有潜在的问题,直到故障现象不再出现。

8.2 网络故障排除工具

       网络故障排除工具分为三类:设备或系统诊断命令、网络管理工具以及专用故障排除工具。

1、设备或系统诊断命令

主要命令有:showdebugpingtrace命令。

1show(是一个功能非常强大的监测及故障排除工具。)

       监测路由的工作情况;监测正常的网络运行状况;分离存在问题的接口、节点、介质或者应用程序;确定网络是否存在拥塞现象;确定服务器、客户机以及其他邻接设备的工作状态。

2debug命令(查看大量有用信息,包括网络接口的通信过程、网络节点产生的错误信息等。)

3ping命令(检查主机及网络的连通性。)

4trace命令(显示出发出的分组向目的地址传送时所走得路线。当数据包超过生命周期时,将产生错误信息。)

2、网络管理工具

       网络管理工具,含有监测及故障排除功能,有利于对网络互联环境的管理和故障及时排除。

1Cisco View 提供动态监视和故障排除功能;

2)网络性能监视器(Internetwork Performance Monitor)是网络工程师能够利用实时和历史报告主动对网络响应进行故障诊断和排除

3TrafficDirector RMON是一个远程监测工具。

4VLANDirector 针对VLAN的管理工具,能够VLAN进行精确描绘。

3、专用故障排除工具

       欧姆表、数字万用表、电缆测试器;

       时域反射计、断接盒、智能测试盘、BERT/BLERT

       网络测试器;网络分析仪;

8.3 网络故障分层诊断

1、物理层及其诊断

       物理层为最基础层,建立在通信媒体的基础上,实现系统遇通信媒体的物理接口,为数据传输进行透明传输,主要表现物理连接方式是否正确、线缆是否正常、接口是否正常等。

2、数据链路层及其诊断

       主要任务使网络层无需了解物理层特性而获得可靠的传输。数据链路层就是对数据进行打包、解包、差错检查和一定的校正能力。

3、网络层及其诊断

       提供建立、保持和释放网络层连接的手段,包括路由选择、流量控制、传输确认、中断、差错及故障恢复等。

4、应用层及其诊断

       提供最终用户服务,如文件传输、电子信息、电子邮件、虚拟终端等。

最后编辑:
作者:jacky
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。