網(wǎng)絡(luò)工程方案設(shè)計(jì)原則

1、網(wǎng)絡(luò)工程方案設(shè)計(jì)網(wǎng)絡(luò)工程需求分析完成后，應(yīng)形成網(wǎng)絡(luò)工程需求分析報(bào)告書(shū)，與用戶交流、修改，并通過(guò)用戶方組織的評(píng)審。網(wǎng)絡(luò)工程設(shè)計(jì)方要根據(jù)評(píng)審意見(jiàn)，形成可操作和可行性的階段網(wǎng)絡(luò)工程需求分析報(bào)告。有了網(wǎng)絡(luò)工程需求分析報(bào)告，網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)階段就會(huì)“水到渠成”。網(wǎng)絡(luò)工程設(shè)計(jì)階段包括確定網(wǎng)絡(luò)工程目標(biāo)與方案設(shè)計(jì)原則、通信平臺(tái)規(guī)劃與設(shè)計(jì)、資源平臺(tái)規(guī)劃與設(shè)計(jì)、網(wǎng)絡(luò)通信設(shè)備選型、網(wǎng)絡(luò)服務(wù)器與操作系統(tǒng)選型、綜合布線網(wǎng)絡(luò)選型和網(wǎng)絡(luò)安全設(shè)計(jì)等內(nèi)容。2.1 網(wǎng)絡(luò)工程目標(biāo)和設(shè)計(jì)原則1網(wǎng)絡(luò)工程目標(biāo)一般情況下，對(duì)網(wǎng)絡(luò)工程目標(biāo)要進(jìn)行總體規(guī)劃，分步實(shí)施。在制定網(wǎng)絡(luò)工程總目標(biāo)時(shí)應(yīng)確定采用的網(wǎng)絡(luò)技術(shù)、工程標(biāo)準(zhǔn)、網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)系統(tǒng)功能結(jié)

2、構(gòu)、網(wǎng)絡(luò)應(yīng)用目的和范圍。然后，對(duì)總體目標(biāo)進(jìn)行分解，明確各分期工程的具體目標(biāo)、網(wǎng)絡(luò)建設(shè)內(nèi)容、所需工程費(fèi)用、時(shí)間和進(jìn)度計(jì)劃等。對(duì)于網(wǎng)絡(luò)工程應(yīng)根據(jù)工程的種類和目標(biāo)大小不同，先對(duì)網(wǎng)絡(luò)工程有一個(gè)整體規(guī)劃，然后在確定總體目標(biāo)，并對(duì)目標(biāo)采用分步實(shí)施的策略。一般我們可以將工程分為三步。1) 建設(shè)計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境平臺(tái)。2) 擴(kuò)大計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境平臺(tái)。3) 進(jìn)行高層次網(wǎng)絡(luò)建設(shè)。2網(wǎng)絡(luò)工程設(shè)計(jì)原則網(wǎng)絡(luò)信息工程建設(shè)目標(biāo)關(guān)系到現(xiàn)在和今后的幾年內(nèi)用戶方網(wǎng)絡(luò)信息化水平和網(wǎng)上應(yīng)用系統(tǒng)的成敗。在工程設(shè)計(jì)前對(duì)主要設(shè)計(jì)原則進(jìn)行選擇和平衡，并排定其在方案設(shè)計(jì)中的優(yōu)先級(jí)，對(duì)網(wǎng)絡(luò)工程設(shè)計(jì)和實(shí)施將具有指導(dǎo)意義。1) 實(shí)用、好用與夠用性原則計(jì)算

3、機(jī)與外設(shè)、服務(wù)器和網(wǎng)絡(luò)通信等設(shè)備在技術(shù)性能逐步提升的同時(shí)，其價(jià)格卻在逐年或逐季下降，不可能也沒(méi)必要實(shí)現(xiàn)所謂“一步到位”。所以，網(wǎng)絡(luò)方案設(shè)計(jì)中應(yīng)采用成熟可靠的技術(shù)和設(shè)備，充分體現(xiàn)“夠用”、“好用”、“實(shí)用”建網(wǎng)原則，切不可用“今天”的錢，買“明、后天”才可用得上的設(shè)備。2) 開(kāi)放性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用開(kāi)放的標(biāo)準(zhǔn)和技術(shù)，資源系統(tǒng)建設(shè)要采用國(guó)家標(biāo)準(zhǔn)，有些還要遵循國(guó)際標(biāo)準(zhǔn)(如：財(cái)務(wù)管理系統(tǒng)、電子商務(wù)系統(tǒng))。其目的包括兩個(gè)方面：第一，有利于網(wǎng)絡(luò)工程系統(tǒng)的后期擴(kuò)充；第二，有利于與外部網(wǎng)絡(luò)互連互通，切不可“閉門造車”形成信息化孤島。3) 可靠性原則無(wú)論是企業(yè)還是事業(yè)，也無(wú)論網(wǎng)絡(luò)規(guī)模大小，網(wǎng)絡(luò)系統(tǒng)的可靠性是一個(gè)

4、工程的生命線。比如，一個(gè)網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵設(shè)備和應(yīng)用系統(tǒng)，偶爾出現(xiàn)的死鎖，對(duì)于政府、教育、企業(yè)、稅務(wù)、證券、金融、鐵路、民航等行業(yè)產(chǎn)生的將是災(zāi)難性的事故。因此，應(yīng)確保網(wǎng)絡(luò)系統(tǒng)很高的平均無(wú)故障時(shí)間和盡可能低的平均無(wú)故障率。4) 安全性原則網(wǎng)絡(luò)的安全主要是指網(wǎng)絡(luò)系統(tǒng)防病毒、防黑客等破壞系統(tǒng)、數(shù)據(jù)可用性、一致性、高效性、可信賴性及可靠性等安全問(wèn)題。為了網(wǎng)絡(luò)系統(tǒng)安全，在方案設(shè)計(jì)時(shí)，應(yīng)考慮用戶方在網(wǎng)絡(luò)安全方面可投入的資金，建議用戶方選用網(wǎng)絡(luò)防火墻、網(wǎng)絡(luò)防殺毒系統(tǒng)等網(wǎng)絡(luò)安全設(shè)施；網(wǎng)絡(luò)信息中心對(duì)外的服務(wù)器要與對(duì)內(nèi)的服務(wù)器隔離。5) 先進(jìn)性原則網(wǎng)絡(luò)系統(tǒng)應(yīng)采用國(guó)際先進(jìn)、主流、成熟的技術(shù)。比如，局域網(wǎng)可采用千兆以太

5、網(wǎng)和全交換以太網(wǎng)技術(shù)。視網(wǎng)絡(luò)規(guī)模的大小(比如網(wǎng)絡(luò)中連接機(jī)器的臺(tái)數(shù)在250臺(tái)以上時(shí))，選用多層交換技術(shù)，支持多層干道傳輸、生成樹(shù)等協(xié)議。6) 易用性原則網(wǎng)絡(luò)系統(tǒng)的硬件設(shè)備和軟件程序應(yīng)易于安裝、管理和維護(hù)。各種主要網(wǎng)絡(luò)設(shè)備，比如核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)、服務(wù)器、大功率長(zhǎng)延時(shí)UPS等設(shè)備均要支持流行的網(wǎng)管系統(tǒng)，以方便用戶管理、配置網(wǎng)絡(luò)系統(tǒng)。7) 可擴(kuò)展性原則網(wǎng)絡(luò)總體設(shè)計(jì)不僅要考慮到近期目標(biāo)，也要為網(wǎng)絡(luò)的進(jìn)一步發(fā)展留有擴(kuò)展的余地，因此要選用主流產(chǎn)品和技術(shù)。若有可能，最好選用同一品牌的產(chǎn)品，或兼容性好的產(chǎn)品。在一個(gè)系統(tǒng)中切不可選用技術(shù)和性能不兼容的產(chǎn)品。比如，對(duì)于多層交換網(wǎng)絡(luò)，若要選用兩種品牌

6、交換機(jī)，一定要注意他們的VLAN干道傳輸、生成樹(shù)等協(xié)議是否兼容，是否可“無(wú)縫”連接。這些問(wèn)題解決了，可擴(kuò)展性自然是“水到渠成”。2.2 網(wǎng)絡(luò)通信平臺(tái)設(shè)計(jì)1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要是指園區(qū)網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)，因?yàn)槿缃竦木钟蚓W(wǎng)技術(shù)首選的是交換以太網(wǎng)技術(shù)。采用以太網(wǎng)交換機(jī)，從物理連接看拓?fù)浣Y(jié)構(gòu)可以是星型、擴(kuò)展星型或樹(shù)型等結(jié)構(gòu)，從邏輯連接看拓?fù)浣Y(jié)構(gòu)只能是總線結(jié)構(gòu)。對(duì)于大中型網(wǎng)絡(luò)考慮鏈路傳輸?shù)目煽啃裕刹捎萌哂嘟Y(jié)構(gòu)。確立網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)是整個(gè)網(wǎng)絡(luò)方案規(guī)劃的基礎(chǔ)，物理拓?fù)浣Y(jié)構(gòu)的選擇往往和地理環(huán)境分布、傳輸介質(zhì)與距離、網(wǎng)絡(luò)傳輸可靠性等因素緊密相關(guān)。選擇拓?fù)浣Y(jié)構(gòu)時(shí)，應(yīng)該考慮的主要因素有以下幾點(diǎn)。1)

7、地理環(huán)境：不同的地理環(huán)境需要設(shè)計(jì)不同的物理網(wǎng)絡(luò)拓?fù)?，不同的網(wǎng)絡(luò)物理拓?fù)湓O(shè)計(jì)施工安裝工程的費(fèi)用也不同。一般情況下，網(wǎng)絡(luò)物理拓?fù)渥詈眠x用星型結(jié)構(gòu)，以便于網(wǎng)絡(luò)通信設(shè)備的管理和維護(hù)。2) 傳輸介質(zhì)與距離：在設(shè)計(jì)網(wǎng)絡(luò)時(shí)，考慮到傳輸介質(zhì)、距離的遠(yuǎn)近和可用于網(wǎng)絡(luò)通信平臺(tái)的經(jīng)費(fèi)投入，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)必須具有在傳輸介質(zhì)、通信距離、可投入經(jīng)費(fèi)等三者之間權(quán)衡。建筑樓之間互連應(yīng)采用多?；騿文９饫|。如果兩建筑樓間距小于90m，也可以用超五類屏蔽雙絞線，但要考慮屏蔽雙絞線兩端接地問(wèn)題。3) 可靠性：網(wǎng)絡(luò)設(shè)備損壞、光纜被挖斷、連接器松動(dòng)等這類故障是有可能發(fā)生的，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)應(yīng)避免因個(gè)別結(jié)點(diǎn)損壞而影響整個(gè)網(wǎng)絡(luò)的正常運(yùn)行。若經(jīng)

8、費(fèi)允許，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的核心層和匯聚層，最好采用全冗余連接，如圖6-1所示。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的規(guī)劃設(shè)計(jì)與網(wǎng)絡(luò)規(guī)模息息相關(guān)。一個(gè)規(guī)模較小的星型局域網(wǎng)沒(méi)有匯聚層、接入層之分。規(guī)模較大的網(wǎng)絡(luò)通常為多星型分層拓?fù)浣Y(jié)構(gòu)，如圖6-1所示。主干網(wǎng)絡(luò)稱為核心層，用以連接服務(wù)器、建筑群到網(wǎng)絡(luò)中心，或在一個(gè)較大型建筑物內(nèi)連接多個(gè)交換機(jī)配線間到網(wǎng)絡(luò)中心設(shè)備間。連接信息點(diǎn)的“毛細(xì)血管”線路及網(wǎng)絡(luò)設(shè)備稱為接入層，根據(jù)需要在中間設(shè)置匯聚層。圖6-1 網(wǎng)絡(luò)全冗余連接星型拓?fù)浣Y(jié)構(gòu)圖分層設(shè)計(jì)有助于分配和規(guī)劃帶寬，有利于信息流量的局部化，也就是說(shuō)全局網(wǎng)絡(luò)對(duì)某個(gè)部門的信息訪問(wèn)的需求根少(比如：財(cái)務(wù)部門的信息，只能在本部門內(nèi)授權(quán)訪問(wèn))，這

9、種情況下部門業(yè)務(wù)服務(wù)器即可放在匯聚層。這樣局部的信息流量傳輸不會(huì)波及到全網(wǎng)。2主干網(wǎng)絡(luò)(核心層)設(shè)計(jì)主干網(wǎng)技術(shù)的選擇，要根據(jù)以上需求分析中用戶方網(wǎng)絡(luò)規(guī)模大小、網(wǎng)上傳輸信息的種類和用戶方可投入的資金等因素來(lái)考慮。一般而言，主干網(wǎng)用來(lái)連接建筑群和服務(wù)器群，可能會(huì)容納網(wǎng)絡(luò)上5080的信息流，是網(wǎng)絡(luò)大動(dòng)脈。連接建筑群的主干網(wǎng)一般以光纜做傳輸介質(zhì)，典型的主干網(wǎng)技術(shù)主要有100Mbps-FX以太網(wǎng)、l 000Mbps以太網(wǎng)、ATM等。從易用性、先進(jìn)性和可擴(kuò)展性的角度考慮，采用百兆、千兆以太網(wǎng)是目前局域網(wǎng)構(gòu)建的流行做法。3匯聚層和接入層設(shè)計(jì)匯聚層的存在與否，取決于網(wǎng)絡(luò)規(guī)模的大小。當(dāng)建筑樓內(nèi)信息點(diǎn)較多(比如大

10、于22個(gè)點(diǎn))超出一臺(tái)交換機(jī)的端口密度，而不得不增加交換機(jī)擴(kuò)充端口時(shí)，就需要有匯聚交換機(jī)。交換機(jī)間如果采用級(jí)連方式，則將一組固定端口交換機(jī)上聯(lián)到一臺(tái)背板帶寬和性能較好的匯聚交換機(jī)上，再由匯聚交換機(jī)上聯(lián)到主干網(wǎng)的核心交換機(jī)。如果采用多臺(tái)交換機(jī)堆疊方式擴(kuò)充端口密度，其中一臺(tái)交換機(jī)上聯(lián)，則網(wǎng)絡(luò)中就只有接入層。接入層即直接信息點(diǎn)，通過(guò)此信息點(diǎn)將網(wǎng)絡(luò)資源設(shè)備(PC：等)接入網(wǎng)絡(luò)。匯聚層采用級(jí)連還是堆疊，要看網(wǎng)絡(luò)信息點(diǎn)的分布情況。如果信息點(diǎn)分布均在距交換機(jī)為中心的50m半徑內(nèi)，且信息點(diǎn)數(shù)已超過(guò)一臺(tái)或兩臺(tái)交換機(jī)的容量，則應(yīng)采用交換機(jī)堆疊結(jié)構(gòu)。堆疊能夠有充足的帶寬保證，適宜匯聚(樓宇內(nèi))信息點(diǎn)密集的情況。交換機(jī)

11、級(jí)連則適用于樓宇內(nèi)信息點(diǎn)分散，其配線間不能覆蓋全樓的信息點(diǎn)，增加匯聚層的同時(shí)也會(huì)使工程成本提高。匯聚層、接入層一般采用l00Base-Tx快速變換式以太網(wǎng)，采用10/100Mbps自適應(yīng)交換到桌面，傳輸介質(zhì)是超五類或五類雙絞線。Cisco Catalyst 3500/4000系列交換機(jī)就是專門針對(duì)中等密度匯聚層而設(shè)計(jì)的。接入層交換機(jī)可選擇的產(chǎn)品根多，但要根據(jù)應(yīng)用需求，可選擇支持l2個(gè)光端口模塊，支持堆疊的接入層變換機(jī)。4廣域網(wǎng)連接與遠(yuǎn)程訪問(wèn)設(shè)計(jì)由于布線系統(tǒng)費(fèi)用和實(shí)現(xiàn)上的限制，對(duì)于零散的遠(yuǎn)程用戶接入，利用PSTN電話網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程撥號(hào)訪問(wèn)幾乎是惟一經(jīng)濟(jì)、方便的選擇。遠(yuǎn)程撥號(hào)訪問(wèn)需要設(shè)計(jì)遠(yuǎn)程訪問(wèn)服務(wù)

12、器和Modem設(shè)備，并申請(qǐng)一組中繼線。由于撥號(hào)訪問(wèn)是整個(gè)網(wǎng)絡(luò)中惟一的窄帶設(shè)備，這一部分在未來(lái)的網(wǎng)絡(luò)中可能會(huì)逐步減少使用。遠(yuǎn)程訪問(wèn)服務(wù)器(RAS)和Modem組的端口數(shù)目一一對(duì)應(yīng)，一般按一個(gè)端口支持20個(gè)用戶計(jì)算來(lái)配置。廣域網(wǎng)連接是指園區(qū)網(wǎng)絡(luò)對(duì)外的連接通道一般采用路由器連接外部網(wǎng)絡(luò)。根據(jù)網(wǎng)絡(luò)規(guī)模的大小、網(wǎng)絡(luò)用戶的數(shù)量，來(lái)選擇對(duì)外連接通道的帶寬。如果網(wǎng)絡(luò)用戶沒(méi)有www、E-mail等具有internet功能的服務(wù)器，用戶可以采用ISDN或ADSL等技術(shù)連接外網(wǎng)。如果用戶有WWW、E-mail等具有internet功能的服務(wù)器，用戶可采用DDN(或E1)專線連接、ATM交換及永久虛電路連接外網(wǎng)。其連

13、接帶寬可根據(jù)內(nèi)外信息流的大小選擇，比如上網(wǎng)并發(fā)用戶數(shù)在150250之問(wèn)，可以租用2Mbps線路，通過(guò)同步口連接Internet。如果用戶與網(wǎng)絡(luò)接入運(yùn)營(yíng)商在同一個(gè)城市，也可以采用光纖10Mbps100Mbps的速率連接Internet。外部線路租用費(fèi)用一般與帶寬成正比，速度越快費(fèi)用越高。網(wǎng)絡(luò)工程設(shè)計(jì)方和用戶方必須清楚的一點(diǎn)就是，能給用戶方提供多大的連接外網(wǎng)的帶寬受兩個(gè)因素的制約，一是用戶方租用外連線路的速率，二是用戶方共享運(yùn)營(yíng)商連接Internet的速率。5無(wú)線網(wǎng)絡(luò)設(shè)計(jì)無(wú)線網(wǎng)絡(luò)的出現(xiàn)就是為了解決有線網(wǎng)絡(luò)無(wú)法克服的困難。無(wú)線網(wǎng)絡(luò)首先適用于很難布線的地方(比如受保護(hù)的建筑物、機(jī)場(chǎng)等)或者經(jīng)常需要變動(dòng)

14、布線結(jié)構(gòu)的地方(如展覽館等)。學(xué)校也是一個(gè)很重要的應(yīng)用領(lǐng)域，一個(gè)無(wú)線網(wǎng)絡(luò)系統(tǒng)可以使教師、學(xué)生在校園內(nèi)的任何地方接入網(wǎng)絡(luò)。另外，因?yàn)闊o(wú)線網(wǎng)絡(luò)支持十幾公里的區(qū)域，因此對(duì)于城市范圍的網(wǎng)絡(luò)接入也能適用，可以設(shè)想一個(gè)采用無(wú)線網(wǎng)絡(luò)的ISP可以為一個(gè)城市的任何角落提供高達(dá)10Mbps的互聯(lián)網(wǎng)接入。6網(wǎng)絡(luò)通信設(shè)備選型1) 網(wǎng)絡(luò)通信設(shè)備選型原則 品牌選擇：所有網(wǎng)絡(luò)設(shè)備盡可能選取同一廠家的產(chǎn)品，以便使用戶從網(wǎng)絡(luò)通信設(shè)備的性能參數(shù)、技術(shù)支持、價(jià)格等各方面獲得更多的便利。從品牌選擇惟一性這個(gè)角度來(lái)看，產(chǎn)品線齊全、技術(shù)認(rèn)證隊(duì)伍力量雄厚、產(chǎn)品市場(chǎng)占有率高的廠商是網(wǎng)絡(luò)設(shè)備品牌的首選。當(dāng)前，要選國(guó)際品牌自然首選的是Cisco

15、、3COM等。若從價(jià)格因素考慮可以首選國(guó)內(nèi)品牌，比如實(shí)達(dá)、華為、神州數(shù)碼等產(chǎn)品。 擴(kuò)展性考慮：在網(wǎng)絡(luò)的層次結(jié)構(gòu)中，主干設(shè)備選擇應(yīng)預(yù)留一定的能力，以便于將來(lái)擴(kuò)展：低端設(shè)備則夠用即可，因?yàn)榈投嗽O(shè)備更新較快，易于淘汰。 “量體裁衣”策略：根據(jù)網(wǎng)絡(luò)實(shí)際帶寬性能需求、端口類型和端口密度選型。如果是舊網(wǎng)改造項(xiàng)目，應(yīng)盡可能保留可用設(shè)備，減少在資金投入方面的浪費(fèi)。 性價(jià)比高、質(zhì)量可靠的原則：網(wǎng)絡(luò)系統(tǒng)設(shè)備應(yīng)具有較高的可靠性和性價(jià)比，工程費(fèi)用的投入產(chǎn)出應(yīng)達(dá)到最大值，能以較低的成本為用戶節(jié)約資金。2) 核心交換機(jī)選型策略核心網(wǎng)絡(luò)骨干交換機(jī)是寬帶網(wǎng)的核心，應(yīng)具備： 高性能，高速率：二層交換最好能達(dá)到線速交換，即交換機(jī)

16、背板帶寬所有端口帶寬的總和。如果網(wǎng)絡(luò)規(guī)模較大(聯(lián)網(wǎng)機(jī)器的數(shù)量超過(guò)250臺(tái))或聯(lián)網(wǎng)機(jī)器臺(tái)數(shù)較少但為安全考慮需要?jiǎng)澐痔摼W(wǎng)，這兩種情況均需要配置VLAN，則要求必須有較出色的第三層(路由)交換能力。 便于升級(jí)和擴(kuò)展：具體來(lái)說(shuō)，250個(gè)信息點(diǎn)以上的網(wǎng)絡(luò)，適宜于采用模塊化(插槽式機(jī)箱)交換機(jī)，如Cisco Catalyst 4003；500個(gè)左右的信息點(diǎn)網(wǎng)絡(luò)，交換機(jī)還必須能夠支持高密度端口和大吞吐量擴(kuò)展卡，如Cisco Catalyst 4006；250個(gè)信息點(diǎn)以下的網(wǎng)絡(luò)，為降低成本，應(yīng)選擇具有可堆疊能力的固定配置交換機(jī)作為核心交換機(jī)，如Cisco 35002900系列等。 高可靠性：應(yīng)根據(jù)經(jīng)費(fèi)許可選擇

17、冗余設(shè)計(jì)的設(shè)備，如冗余電源、風(fēng)扇等；要求設(shè)備擴(kuò)展卡支持熱插拔，易于更換維護(hù)。 強(qiáng)大的網(wǎng)絡(luò)控制能力，提供Qos和網(wǎng)絡(luò)安全，支持RADIUS、TACACS+等認(rèn)證機(jī)制。 良好的可管理性，支持通用網(wǎng)管協(xié)議，如SNMP、RMON、RMON2等。3) 匯聚層/接入層交換機(jī)選型策略匯聚層/接入層交換機(jī)亦稱二級(jí)交換機(jī)或邊緣交換機(jī)，一般都屬于可堆疊/擴(kuò)充式固定端口交換機(jī)。在大中型網(wǎng)絡(luò)中它用來(lái)構(gòu)成多層次的、結(jié)構(gòu)靈活的用戶接入網(wǎng)絡(luò)。在中小型網(wǎng)絡(luò)中它也可能用來(lái)構(gòu)成網(wǎng)絡(luò)骨干交換設(shè)備。應(yīng)具備下列要求。 靈活性：提供多種固定端口數(shù)量，可堆疊、易擴(kuò)展。 高性能：作為大中型網(wǎng)絡(luò)的二級(jí)交換設(shè)備，應(yīng)支持千兆/百兆高速上連以及同級(jí)

18、設(shè)備堆疊。當(dāng)然還要注意與核心交換機(jī)品牌的一致性。如果用做小型網(wǎng)絡(luò)的中心交換機(jī)，要求具有較高背板帶寬和三層交換能力的交換機(jī)。如Cisco Catalyst 2948G-L3和Inter Express 550T Routing Switch等。 在滿足技術(shù)性能要求的基礎(chǔ)上，最好價(jià)格便宜、使用方便、即插即用、配置簡(jiǎn)單。 具備一定的網(wǎng)絡(luò)服務(wù)質(zhì)量和控制能力以及端到端的QoS。 如果用于跨地區(qū)企業(yè)分支部門通過(guò)公網(wǎng)進(jìn)行遠(yuǎn)程上聯(lián)的交換機(jī)，還應(yīng)支持虛擬專網(wǎng)VPN標(biāo)準(zhǔn)協(xié)議。 支持多級(jí)別網(wǎng)絡(luò)管理。4) 遠(yuǎn)程接入與訪問(wèn)設(shè)備選型策略遠(yuǎn)程接入與訪問(wèn)設(shè)備可以采用路由器。在現(xiàn)今的網(wǎng)絡(luò)連接中，一般采用同步口或以太口連接廣域網(wǎng)

19、，采用異步口連接遠(yuǎn)程撥號(hào)用戶。路由器的首選品牌是Cisco。2.3 網(wǎng)絡(luò)資源平臺(tái)設(shè)計(jì)1服務(wù)器服務(wù)器系統(tǒng)是網(wǎng)絡(luò)的“靈魂”，也是網(wǎng)絡(luò)應(yīng)用的平臺(tái)。服務(wù)器在網(wǎng)絡(luò)中“擺放”位置好壞直接影響網(wǎng)絡(luò)應(yīng)用的效果和網(wǎng)絡(luò)運(yùn)行效率。服務(wù)器一般分為兩類：一類是為全網(wǎng)提供公共信息服務(wù)、文件服務(wù)和通信服務(wù)，為園區(qū)網(wǎng)絡(luò)提供集中統(tǒng)一的數(shù)據(jù)庫(kù)服務(wù)，由網(wǎng)絡(luò)中心管理維護(hù)，服務(wù)對(duì)象為網(wǎng)絡(luò)全局，適宜放在網(wǎng)管中心。另一類是部門業(yè)務(wù)和網(wǎng)絡(luò)服務(wù)相結(jié)合，主要由部門管理維護(hù)，如大學(xué)的圖書(shū)館服務(wù)器和企業(yè)的財(cái)務(wù)部服務(wù)器，適宜放在部門子網(wǎng)中。服務(wù)器是網(wǎng)絡(luò)中信息流較集中的設(shè)備。其磁盤系統(tǒng)數(shù)據(jù)吞吐量大，傳輸速率也高，要求高帶寬接入。服務(wù)器網(wǎng)絡(luò)接口主要有以下

20、幾種。1) 千兆以太網(wǎng)端口接入：服務(wù)器需要配置多模SX模塊接入交換機(jī)的多模光端口中。優(yōu)點(diǎn)：性能好、數(shù)據(jù)吞吐量大；缺點(diǎn)：成本高，對(duì)服務(wù)器硬件有要求。適合企業(yè)級(jí)數(shù)據(jù)庫(kù)服務(wù)器、流媒體服務(wù)器和較密集的應(yīng)用服務(wù)器。2) 雙網(wǎng)卡冗余接入：采用兩塊以上的100Mbps服務(wù)器專用高速以太網(wǎng)卡分別接入網(wǎng)絡(luò)中的兩臺(tái)交換機(jī)中。通過(guò)網(wǎng)絡(luò)管理系統(tǒng)的支持實(shí)現(xiàn)負(fù)載均衡，當(dāng)其中一塊網(wǎng)卡失效后不影響服務(wù)器正常運(yùn)行，這種方案比較流行。3) 單網(wǎng)卡接入：采用一塊服務(wù)器專用網(wǎng)卡接入網(wǎng)絡(luò)，是一種經(jīng)濟(jì)的接入方式。信息流密集時(shí)可能會(huì)因主機(jī)CPU占用(主要是緩存處理占用)而使服務(wù)器性能下降。適宜于數(shù)據(jù)業(yè)務(wù)量不是太大的服務(wù)器(如E-mail服

21、務(wù)器)使用。2服務(wù)器子網(wǎng)連接方案服務(wù)器子網(wǎng)連接的兩種方案如圖6-2所示。圖6-2 服務(wù)器子網(wǎng)的兩種連接方案圖中左邊的服務(wù)器直接連接核心層交換機(jī)，優(yōu)點(diǎn)是直接利用核心層交換機(jī)的高帶寬，缺點(diǎn)是需要占太多的核心層交換機(jī)端口，使成本上升。圖中右邊的服務(wù)器是在兩臺(tái)核心層交換機(jī)上連接一臺(tái)專用服務(wù)器子網(wǎng)交換機(jī)，優(yōu)點(diǎn)是可以分擔(dān)帶寬，減少核心層交換機(jī)端口占用，可為服務(wù)器組提供充足的端口密度，缺點(diǎn)是容易形成帶寬瓶頸，且存在單點(diǎn)故障。3網(wǎng)絡(luò)應(yīng)用系統(tǒng)在網(wǎng)絡(luò)方案設(shè)計(jì)中服務(wù)器的選擇配置以及服務(wù)器群的均衡技術(shù)是非常關(guān)鍵的技術(shù)之一，也是衡量網(wǎng)絡(luò)系統(tǒng)集成商水平的重要指標(biāo)。很多系統(tǒng)集成商的方案偏重的是網(wǎng)絡(luò)設(shè)備集成而不是應(yīng)用集成，在

22、應(yīng)用問(wèn)題上缺乏高度認(rèn)識(shí)和認(rèn)真細(xì)致的需求分析，待昂貴的服務(wù)器設(shè)備購(gòu)進(jìn)來(lái)后發(fā)現(xiàn)與應(yīng)用軟件不配套或不夠用或造成資源浪費(fèi)必然會(huì)使預(yù)算超支，直接導(dǎo)致網(wǎng)絡(luò)方案失敗。選擇服務(wù)器首先要看其具體的網(wǎng)絡(luò)應(yīng)用，應(yīng)用系統(tǒng)所采用的開(kāi)發(fā)工具和運(yùn)行環(huán)境建立在應(yīng)用平臺(tái)的基礎(chǔ)上。基礎(chǔ)應(yīng)用平臺(tái)與網(wǎng)絡(luò)操作系統(tǒng)關(guān)系緊密，其支持是有選擇的(如SQL Server數(shù)據(jù)庫(kù)不支持Tru64 UNIX操作系統(tǒng)等)，有時(shí)基礎(chǔ)應(yīng)用平臺(tái)也是網(wǎng)絡(luò)操作系統(tǒng)的組成部分(如IIS Web服務(wù)平臺(tái)就是Windows 2000 Server和Windows 2000 Advanced Server的一部分)。眾所周知，不同的服務(wù)器硬件支持的操作系統(tǒng)大相徑庭，因

23、此，選服務(wù)器硬件事實(shí)上將使網(wǎng)絡(luò)操作系統(tǒng)定下來(lái)。2.4 網(wǎng)絡(luò)操作系統(tǒng)與服務(wù)器配置1網(wǎng)絡(luò)操作系統(tǒng)選型目前，網(wǎng)絡(luò)操作系統(tǒng)產(chǎn)品較多，為網(wǎng)絡(luò)應(yīng)用提供了良好的可選擇性。操作系統(tǒng)對(duì)網(wǎng)絡(luò)建設(shè)的成敗至天重要，要依據(jù)具體的應(yīng)用選擇操作系統(tǒng)。一般情況下，網(wǎng)絡(luò)系統(tǒng)集成方在網(wǎng)絡(luò)工程項(xiàng)目中要完成基礎(chǔ)應(yīng)用平臺(tái)以下三層(網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層、物理層)的建構(gòu)。選擇什么操作系統(tǒng)，也要看網(wǎng)絡(luò)系統(tǒng)集成方的工程師以及用戶方系統(tǒng)管理員的技術(shù)水平和對(duì)網(wǎng)絡(luò)操作系統(tǒng)的使用經(jīng)驗(yàn)而定。如果在工程實(shí)施中選一些大家都比較生疏的服務(wù)器和操作系統(tǒng)，有可能使工期延長(zhǎng)，不可預(yù)見(jiàn)性費(fèi)用加大，可能還要請(qǐng)外援做系統(tǒng)培訓(xùn)，維護(hù)的難度和費(fèi)用也要增加。網(wǎng)絡(luò)操作系統(tǒng)分為兩個(gè)

24、大類：即面向IA架構(gòu)PC服務(wù)器的操作系統(tǒng)族和UNIX操作系統(tǒng)家族。UNIX服務(wù)器品質(zhì)較高、價(jià)格昂貴、裝機(jī)量少而且可選擇性也不高，一般根據(jù)應(yīng)用系統(tǒng)平臺(tái)的實(shí)際需求，估計(jì)好費(fèi)用，瞄準(zhǔn)某一兩家產(chǎn)品去準(zhǔn)備即可。與UNIX服務(wù)器相比，Windows 2000 Advanced Server服務(wù)器品牌和產(chǎn)品型號(hào)可謂“鋪天蓋地”， 一般在中小型網(wǎng)絡(luò)中普遍采用。同一個(gè)網(wǎng)絡(luò)系統(tǒng)中不需要采用同一種網(wǎng)絡(luò)操作系統(tǒng)，選擇中可結(jié)合Windows 2000 Advanced Server、Linux和UNIX的特點(diǎn)，在網(wǎng)絡(luò)中混合使用。通常WWW、OA及管理信息系統(tǒng)服務(wù)器上可采用Windows 2000 Advanced Se

25、rver平臺(tái)，E-mail、DNS、Proxy等Internet應(yīng)用可使用LinuxUNIX，這樣，既可以享受到Windows 2000 Advanced Server應(yīng)用豐富、界面直觀、使用方便的優(yōu)點(diǎn)，又可以享受到LinuxUNIX穩(wěn)定、高效的好處。2Windows 2000 Server 服務(wù)器配置首先，應(yīng)根據(jù)需求階段的調(diào)研成果，比如網(wǎng)絡(luò)規(guī)模、客戶數(shù)量流量、數(shù)據(jù)庫(kù)規(guī)模、所使用的應(yīng)用軟件的特殊要求等，決定Windows 2000 Advanced Server服務(wù)器的檔次、配置。例如，服務(wù)器若是用于部門的文件打印服務(wù)，那么普通單處理器Windows 2000Advanced Server服務(wù)

26、器就可以應(yīng)付自如；如果是用于小型數(shù)據(jù)庫(kù)服務(wù)器，那么服務(wù)器上至少要有256MB的內(nèi)存：作為小型數(shù)據(jù)庫(kù)服務(wù)器或者E-mail、Internet服務(wù)器，內(nèi)存要達(dá)到512MB，而且要使用ECC內(nèi)存。對(duì)于中小型企業(yè)來(lái)說(shuō)，一般的網(wǎng)絡(luò)要求是有數(shù)十個(gè)至數(shù)百個(gè)用戶，使用的數(shù)據(jù)庫(kù)規(guī)模不大，此時(shí)選擇部門級(jí)服務(wù)器。1路至2路CPU、512-1024MB ECC內(nèi)存、三個(gè)36GB(RAID5)或者五個(gè)36GB硬盤(RAID5)可以充分滿足網(wǎng)絡(luò)需求。如果希望以后擴(kuò)充的余地大一些，或者服務(wù)器還要做OA服務(wù)器、MIS服務(wù)器，網(wǎng)絡(luò)規(guī)模比較大，用戶數(shù)據(jù)量大，那么最好選擇企業(yè)級(jí)服務(wù)器，即4路或8路SMP結(jié)構(gòu)，帶有熱插拔RAID磁盤

27、陣列、冗余風(fēng)扇和冗余電源的系統(tǒng)。其次，選擇Windows 2000 Advanced Server服務(wù)器時(shí)，對(duì)服務(wù)器上幾個(gè)關(guān)鍵部分的選取一定要把好關(guān)。因?yàn)閃indows 2000 Advanced Server雖然是兼容性相對(duì)不錯(cuò)的操作系統(tǒng)，但兼容并不保證100可用。Windows 2000 Advanced Server服務(wù)器的內(nèi)存必須是支持ECC的，如果使用非ECC的內(nèi)存，SQL數(shù)據(jù)庫(kù)等應(yīng)用就很難保證穩(wěn)定、正常地運(yùn)行。Windows 2000 Advanced server服務(wù)器的主要部件(如主板、網(wǎng)卡)一定要是通過(guò)了微軟Windows 2000 Advanced Server認(rèn)證的。只有

28、通過(guò)了微軟Windows 2000 Advanced Server部件認(rèn)證的產(chǎn)品才能保證其在Windows 2000 Advanced Server下的100可用性。另外，就是服務(wù)器的電源是否可靠，因?yàn)榉?wù)器不可能是跑幾天歇一歇的。第三，在升級(jí)已有的windows 2000 Advanced Server服務(wù)器時(shí)則要仔細(xì)分析原有網(wǎng)絡(luò)服務(wù)器的瓶頸所在，此時(shí)可簡(jiǎn)單利用Windows 2000 Advanced Server系統(tǒng)中集成的軟件工具，比如Windows 2000 Advanced Server系統(tǒng)性能監(jiān)視器等。查看系統(tǒng)的運(yùn)行狀況，分析系統(tǒng)各部分資源的使用情況。一般來(lái)說(shuō)，可供參考的Wind

29、ows 2000 Advanced Server服務(wù)器系統(tǒng)升級(jí)順序是擴(kuò)充服務(wù)器內(nèi)存容量、升級(jí)服務(wù)器處理器、增加系統(tǒng)的處理器數(shù)目。之所以這樣是因?yàn)?，?duì)于Windows 2000 Advanced Server服務(wù)器上的典型應(yīng)用(如SQL數(shù)據(jù)庫(kù)、OA服務(wù)器)來(lái)說(shuō)，這些服務(wù)占用的系統(tǒng)主要資源開(kāi)銷是內(nèi)存開(kāi)銷，對(duì)處理器的資源開(kāi)銷要求并小多，通過(guò)擴(kuò)充服務(wù)器內(nèi)存容量提高系統(tǒng)的可用內(nèi)存資源，將大大提高服務(wù)器的性能。反過(guò)來(lái)，由于多處理器系統(tǒng)其本身占用的系統(tǒng)資源開(kāi)銷大大高于單處理器的占用。所以相對(duì)來(lái)說(shuō)，增加系統(tǒng)處理器的升級(jí)方案，其性價(jià)比要比擴(kuò)充內(nèi)存容量方案差。因此，要根據(jù)網(wǎng)絡(luò)應(yīng)用系統(tǒng)實(shí)際情況來(lái)確定增加服務(wù)器處理器

30、的數(shù)目，比如網(wǎng)絡(luò)應(yīng)用服務(wù)器要處理大量的并發(fā)訪問(wèn)、復(fù)雜的算法、大量的數(shù)學(xué)模型等。3服務(wù)器群的綜合配置與均衡我們所謂的PC服務(wù)器、UNIX服務(wù)器、小型機(jī)服務(wù)器，其概念主要限于物理服務(wù)器(硬件)范疇。在網(wǎng)絡(luò)資源存儲(chǔ)、應(yīng)用系統(tǒng)集成中。通常將服務(wù)器硬件上安裝各類應(yīng)用系統(tǒng)的服務(wù)器系統(tǒng)冠以相應(yīng)的應(yīng)用系統(tǒng)的名字，如數(shù)據(jù)庫(kù)服務(wù)器、Web服務(wù)器、E-mail服務(wù)器等，其概念屬于邏輯服務(wù)器(軟件)范疇。根據(jù)網(wǎng)絡(luò)規(guī)模、用戶數(shù)量和應(yīng)用密度的需要，有時(shí)一臺(tái)服務(wù)器硬件專門運(yùn)行一種服務(wù)，有時(shí)一臺(tái)服務(wù)器硬件需安裝兩種以上的服務(wù)程序，有時(shí)兩臺(tái)以上的服務(wù)器需安裝和運(yùn)行同一種服務(wù)系統(tǒng)。也就是說(shuō)，服務(wù)器與其在網(wǎng)絡(luò)中的職能并不是一一對(duì)麻

31、的。網(wǎng)絡(luò)規(guī)模小到只用l至2臺(tái)服務(wù)器的局域網(wǎng)，大到可達(dá)十幾臺(tái)至數(shù)十臺(tái)的企業(yè)網(wǎng)和校園網(wǎng)，如何根據(jù)應(yīng)用需求、費(fèi)用承受能力、服務(wù)器性能和不同服務(wù)程序之間對(duì)硬件占用特點(diǎn)、合理搭配和規(guī)劃服務(wù)器配制，最大限度地提高效率和性能的基礎(chǔ)上降低成本，是系統(tǒng)集成方要考慮的問(wèn)題。有關(guān)服務(wù)器應(yīng)用配置與均衡的建議如下。1) 中小型網(wǎng)絡(luò)服務(wù)器應(yīng)用配置小型網(wǎng)絡(luò)由于缺乏專業(yè)的技術(shù)人員。資金相對(duì)緊張，所以要求服務(wù)器群必須易于維護(hù)，功能齊全，而且還必須考慮資金的限制。建議在費(fèi)用許可的情況下，應(yīng)盡可能提高硬件配置，利用硬件資源共享的特點(diǎn)，均衡網(wǎng)絡(luò)應(yīng)用負(fù)載，把網(wǎng)絡(luò)中所需的所有服務(wù)集成到2至3臺(tái)物理服務(wù)器上。比如，把對(duì)磁盤系統(tǒng)要求不高、對(duì)

32、內(nèi)存和CPU要求較高的DNS、Web和對(duì)磁盤系統(tǒng)和IO吞吐量要求高、對(duì)緩存和CPU要求較低的文件服務(wù)器(含F(xiàn)TP)安裝在一臺(tái)配置中等的部門級(jí)服務(wù)器內(nèi)：把對(duì)硬件整體性能要求較高的數(shù)據(jù)庫(kù)服務(wù)和Email服務(wù)安裝在一臺(tái)較高配置的高檔部門級(jí)服務(wù)器上。當(dāng)然，Web服務(wù)器對(duì)系統(tǒng)IO的需求也較高。當(dāng)用戶方訪問(wèn)數(shù)量增加時(shí)，系統(tǒng)的實(shí)時(shí)響應(yīng)和IO處理需求也會(huì)急劇增加，但FTP訪問(wèn)偶發(fā)性強(qiáng)，Web訪問(wèn)密度比較均勻，二者正好可以互補(bǔ)。另外，如果采用Linux操作系統(tǒng)，利用其資源占用低、Internet服務(wù)程序豐富的特點(diǎn)，可將所有Internet服務(wù)集中到一臺(tái)服務(wù)器上，另外再配置一臺(tái)應(yīng)用服務(wù)器，網(wǎng)絡(luò)效率可能會(huì)成倍提高。

33、2) 中型網(wǎng)絡(luò)服務(wù)器應(yīng)用配置中型網(wǎng)絡(luò)注重實(shí)際應(yīng)用，可將應(yīng)用分布在更多的物理服務(wù)器上。宜采用功能相關(guān)性配置方案，將相關(guān)應(yīng)用集成在一起。比如，遠(yuǎn)程同絡(luò)應(yīng)用主要是Web平臺(tái)，Web服務(wù)器需要頻繁地與數(shù)據(jù)庫(kù)服務(wù)器交換信息，把Web服務(wù)和數(shù)據(jù)庫(kù)服務(wù)安裝在一臺(tái)高檔服務(wù)器內(nèi)，毫無(wú)疑問(wèn)會(huì)提高效率，減輕網(wǎng)絡(luò)IO負(fù)擔(dān)。對(duì)于企業(yè)網(wǎng)絡(luò)，可能需要一些工作流應(yīng)用系統(tǒng)(如OA系統(tǒng)的公文審批流轉(zhuǎn)、文件下發(fā)等)，需要依賴E-mail服務(wù)時(shí)，就可以采用群件服務(wù)器(如Lotus Notes DoMino)，把E-mail和News服務(wù)集成進(jìn)去。對(duì)于像VOD這樣的流媒體專用服務(wù)器，必須要單列，并發(fā)用戶多時(shí)還要采用服務(wù)器集群技術(shù)。3)

34、 大中型網(wǎng)絡(luò)或ISP/ICP的服務(wù)器群配置大中型網(wǎng)絡(luò)應(yīng)用場(chǎng)合要求系統(tǒng)安全可靠、穩(wěn)定高效。大型企業(yè)網(wǎng)站和ISP供應(yīng)商需要向用戶提供多種服務(wù)，建設(shè)先進(jìn)的電子商務(wù)系統(tǒng)，甚至需要向用戶提供免費(fèi)E-mail服務(wù)、免費(fèi)軟件下載、免費(fèi)主頁(yè)空間等。所以要求網(wǎng)站服務(wù)器必須能夠滿足全方面的需求、功能完備、具有高度的可用性和可擴(kuò)展性，保證系統(tǒng)連續(xù)穩(wěn)定地運(yùn)行。如果服務(wù)器數(shù)量過(guò)多則會(huì)為管理和運(yùn)行帶來(lái)沉重負(fù)擔(dān)，導(dǎo)致環(huán)境惡劣(僅機(jī)房噪聲就令人無(wú)法忍受)。為此，建議采用機(jī)架式服務(wù)器。其Web、E-mail、FTP和防火墻等應(yīng)用均采用負(fù)載均衡集群系統(tǒng)，以提高系統(tǒng)的I/O能力和可用性；數(shù)據(jù)庫(kù)及應(yīng)用服務(wù)器系統(tǒng)采用雙機(jī)容錯(cuò)高可用性(

35、HA)系統(tǒng)，以提高系統(tǒng)的可用性。專業(yè)的數(shù)據(jù)庫(kù)系統(tǒng)為用戶方提供了強(qiáng)大的數(shù)據(jù)底層支持，專業(yè)E-mail系統(tǒng)可提供大規(guī)模郵件服務(wù)，防火墻系統(tǒng)可以保證用戶方網(wǎng)絡(luò)和數(shù)據(jù)的安全。2.5 網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全體系設(shè)計(jì)的重點(diǎn)在于根據(jù)安全設(shè)計(jì)的基本原則，制定出網(wǎng)絡(luò)各層次的安全策略和措施，然后確定出選用什么樣的網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品。1網(wǎng)絡(luò)安全設(shè)計(jì)原則盡管沒(méi)有絕對(duì)安全的網(wǎng)絡(luò)，但是，如果在網(wǎng)絡(luò)方案設(shè)計(jì)之初就遵從一些安全原則，那么網(wǎng)絡(luò)系統(tǒng)的安全就會(huì)有保障。設(shè)計(jì)時(shí)如不全面考慮，消極地將安全和保密措施寄托在網(wǎng)管階段，這種事后“打補(bǔ)丁”的思路是相當(dāng)危險(xiǎn)的。從工程技術(shù)角度出發(fā)，在設(shè)計(jì)網(wǎng)絡(luò)方案時(shí)，應(yīng)該遵守以下原則。1) 網(wǎng)絡(luò)安全前期

36、防范強(qiáng)調(diào)對(duì)信息系統(tǒng)全面地進(jìn)行安全保護(hù)。大家都知道“木桶的最大容積取決于最短的一塊木板”，此道理對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)也是有效的。網(wǎng)絡(luò)信息系統(tǒng)是一個(gè)復(fù)雜的計(jì)算機(jī)系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性，使單純的技術(shù)保護(hù)防不勝防。攻擊者使用的是“最易滲透性”，自然在系統(tǒng)中最薄弱的地方進(jìn)行攻擊。因此，充分、全面、完整地對(duì)系統(tǒng)的安全漏洞和安全威脅進(jìn)行分析、評(píng)估和檢測(cè)(包括模擬攻擊)，是設(shè)計(jì)網(wǎng)絡(luò)安全系統(tǒng)的必要前提條件。2) 網(wǎng)絡(luò)安全在線保護(hù)強(qiáng)調(diào)安全防護(hù)、監(jiān)測(cè)和應(yīng)急恢復(fù)。要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞的情況下，必須盡可能快地恢復(fù)網(wǎng)絡(luò)信息系統(tǒng)的服

37、務(wù)。減少損失。所以，網(wǎng)絡(luò)安全系統(tǒng)應(yīng)該包括3種機(jī)制：安全防護(hù)機(jī)制、安全監(jiān)測(cè)機(jī)制、安全恢復(fù)機(jī)制。安全防護(hù)機(jī)制是根據(jù)具體系統(tǒng)存在的各種安全漏洞和安全威脅采取的相應(yīng)防護(hù)措施，避免非法攻擊的進(jìn)行：安全監(jiān)測(cè)機(jī)制是監(jiān)測(cè)系統(tǒng)的運(yùn)行，及時(shí)發(fā)現(xiàn)和制止對(duì)系統(tǒng)進(jìn)行的各種攻擊；安全恢復(fù)機(jī)制是在安全防護(hù)機(jī)制失效的情況下，進(jìn)行應(yīng)急處理和及時(shí)地恢復(fù)信息，減少攻擊的破壞程度。3) 網(wǎng)絡(luò)安全有效性與實(shí)用性網(wǎng)絡(luò)安全應(yīng)以不能影響系統(tǒng)的正常運(yùn)行和合法用戶方的操作活動(dòng)為前提。網(wǎng)絡(luò)中的信息安全和信息應(yīng)用是一對(duì)矛盾。一方面，為健全和彌補(bǔ)系統(tǒng)缺陷的漏洞，會(huì)采取多種技術(shù)手段和管理措施：另一方面，勢(shì)必給系統(tǒng)的運(yùn)行和用戶方的使用造成負(fù)擔(dān)和麻煩，“越

38、安全就意味著使用越不方便”。尤其在網(wǎng)絡(luò)環(huán)境下，實(shí)時(shí)性要求很高的業(yè)務(wù)不能容忍安全連接和安全處理造成的時(shí)延。網(wǎng)絡(luò)安全采用分布式監(jiān)控、集中式管理。4) 網(wǎng)絡(luò)安全等級(jí)劃分與管理良好的網(wǎng)絡(luò)安全系統(tǒng)必然是分為不同級(jí)別的，包括對(duì)信息保密程度分級(jí)(絕密、機(jī)密、秘密、普密)，對(duì)用戶操作權(quán)限分級(jí)(面向個(gè)人及面向群組)，對(duì)網(wǎng)絡(luò)安全程度分級(jí)(安全子網(wǎng)和安全區(qū)域)，對(duì)系統(tǒng)結(jié)構(gòu)層分級(jí)(應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等)的安全策略。針對(duì)不同級(jí)別的安全對(duì)象，提供全面的、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實(shí)際需求。網(wǎng)絡(luò)總體設(shè)計(jì)時(shí)要考慮安全系統(tǒng)的設(shè)計(jì)。避免因考慮不周，出了問(wèn)題之后“拆東墻補(bǔ)西墻”的做法。避免造成經(jīng)濟(jì)上的

39、巨大損失，避免對(duì)國(guó)家、集體和個(gè)人造成無(wú)法挽回的損失。由于安全與保密問(wèn)題是一個(gè)相當(dāng)復(fù)雜的問(wèn)題。因此必須注重網(wǎng)絡(luò)安全管理。要安全策略到設(shè)備、安全責(zé)任到人、安全機(jī)制貫穿整個(gè)網(wǎng)絡(luò)系統(tǒng)，這樣才能保證網(wǎng)絡(luò)的安全性。5) 網(wǎng)絡(luò)安全經(jīng)濟(jì)實(shí)用網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)是受經(jīng)費(fèi)限制的。因此在考慮安全問(wèn)題解決方案時(shí)必須考慮性能價(jià)格的平衡，而且不同的網(wǎng)絡(luò)系統(tǒng)所要求的安全側(cè)重點(diǎn)各不相同。一般園區(qū)網(wǎng)絡(luò)要具有身份認(rèn)證、網(wǎng)絡(luò)行為審計(jì)、網(wǎng)絡(luò)容錯(cuò)、防黑客、防病毒等功能。網(wǎng)絡(luò)安全產(chǎn)品實(shí)用、好用、夠用即可。2網(wǎng)絡(luò)信息安全設(shè)計(jì)與實(shí)施步驟第一步、確定面臨的各種攻擊和風(fēng)險(xiǎn)。第二步、確定安全策略。安全策略是網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)的目標(biāo)和原則，是對(duì)應(yīng)用系統(tǒng)完整

40、的安全解決方案。安全策略的制定要綜合以下幾方面的情況。(1) 系統(tǒng)整體安全性，由應(yīng)用環(huán)境和用戶方需求決定，包括各個(gè)安全機(jī)制的子系統(tǒng)的安全目標(biāo)和性能指標(biāo)。(2) 對(duì)原系統(tǒng)的運(yùn)行造成的負(fù)荷和影響(如網(wǎng)絡(luò)通信時(shí)延、數(shù)據(jù)擴(kuò)展等)。(3) 便于網(wǎng)絡(luò)管理人員進(jìn)行控制、管理和配置。(4) 可擴(kuò)展的編程接口，便于更新和升級(jí)。(5) 用戶方界面的友好性和使用方便性。(6) 投資總額和工程時(shí)間等。第三步、建立安全模型。模型的建立可以使復(fù)雜的問(wèn)題簡(jiǎn)化，更好地解決和安全策略有關(guān)的問(wèn)題。安全模型包括網(wǎng)絡(luò)安全系統(tǒng)的各個(gè)子系統(tǒng)。網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)可以分為安全體制、網(wǎng)絡(luò)安全連接和網(wǎng)絡(luò)安全傳輸三部分。(1) 安全體制：包

41、括安全算法庫(kù)、安全信息庫(kù)和用戶方接口界面。(2) 網(wǎng)絡(luò)安全連接：包括安全協(xié)議和網(wǎng)絡(luò)通信接口模塊。(3) 網(wǎng)絡(luò)安全傳輸：包括網(wǎng)絡(luò)安全管理系統(tǒng)、網(wǎng)絡(luò)安全支撐系統(tǒng)和網(wǎng)絡(luò)安全傳輸系統(tǒng)。第四步、選擇并實(shí)現(xiàn)安全服務(wù)。(1) 物理層的安爭(zhēng)：物理層信息安全主要防止物理通路的損壞、物理通路的竊聽(tīng)和對(duì)物理通路的攻擊(干擾等)。(2) 鏈路層的安全：鏈路層的網(wǎng)絡(luò)安全需要保證通過(guò)網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽(tīng)。主要采用劃分VLAN(局域網(wǎng))、加密通信(遠(yuǎn)程網(wǎng))等手段。(3)網(wǎng)絡(luò)層的安全：網(wǎng)絡(luò)層的安全需要保證網(wǎng)絡(luò)只給授權(quán)的客戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)傳輸正確，避免被攔截或監(jiān)聽(tīng)。(4) 操作系統(tǒng)的安全：操作系統(tǒng)安全要求保證客

42、戶資料、操作系統(tǒng)訪問(wèn)控制的安令，同時(shí)能夠?qū)υ摬僮飨到y(tǒng)上的應(yīng)用進(jìn)行審計(jì)。(5) 應(yīng)用平臺(tái)的安全：應(yīng)用平臺(tái)指建立在網(wǎng)絡(luò)系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫(kù)服務(wù)器，電子郵件服務(wù)器，Web服務(wù)器等。由于應(yīng)用平臺(tái)的系統(tǒng)非常復(fù)雜，通常采用多種技術(shù)(如SSL等)來(lái)增強(qiáng)應(yīng)用平臺(tái)的安全性。(6) 應(yīng)用系統(tǒng)的安全：應(yīng)用系統(tǒng)是為用戶提供服務(wù)，應(yīng)用系統(tǒng)的安全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。應(yīng)用系統(tǒng)使用應(yīng)用平臺(tái)提供的安全服務(wù)來(lái)保證基本安全，如通信內(nèi)容安全、通信雙方的認(rèn)證和審計(jì)等手段。第五步、安全產(chǎn)品的選型網(wǎng)絡(luò)安全產(chǎn)品主要包括防火墻、用戶身份認(rèn)證、網(wǎng)絡(luò)防病系統(tǒng)統(tǒng)等。安全產(chǎn)品的選型工作要嚴(yán)格按照企業(yè)(學(xué)校)信息與網(wǎng)絡(luò)系統(tǒng)安全產(chǎn)品的功能規(guī)范要求，利用綜合的技術(shù)手段，對(duì)產(chǎn)品功能、性能與可用性等方面進(jìn)行測(cè)試，為企業(yè)、學(xué)校選出符合功能要求的安全產(chǎn)品。網(wǎng)絡(luò)工程設(shè)計(jì)方案書(shū)寫(xiě)2008-02-13 11:313.1 方案的基本內(nèi)容一個(gè)完整的設(shè)計(jì)