1、系统集成技术交流-网络集成,陈刚,2,前言-时间、计划,前言15min网络集成方案350min应用集成400min小结15min,3,前言,Q1?*,4,前言-背景,国内IT硬件市场连年火爆基础网络快速增长IT周边设备保有量不断扩大,5,前言-背景,钱花下去了,带来效益情况如何?对国家对企业对IT从业人员采购网络、硬件设备+软件开发+=信息系统?,6,前言-问题,企业信息化是完整的方案,不是靠单一采购出来的硬件及网络设备、软件系统间普遍缺乏集成,7,前言-系统集成的内容,IT系统集成,是网络、所有硬件设备、软件应用的整体解决方案。,8,前言-课程目标,深刻理解系统集成的概念、范围及层次;介绍一
2、种类似软件项目推进的方法,管理集成方案、标书的制做过程。提高项目经理的投标能力;全面的介绍应用集成技术体系,拓宽相关领域的知识面,提高体系化的分析能力,以设计出更满足需求的系统集成方案。,9,前言-角色及知识背景,角色:系统集成行业管理、技术人员网络集成方案/标书的形成:对相关的专业基础知识有一定的了解应用集成:具一定的软件开发知识学习经历,10,网络集成方案,集成需求调查及分析方案设计及标书的形成,11,网络集成方案需求及分析,1需求调查2概要分析3详细需求分析4分析报告,12,1需求调查,需求调查的重要性应用需求调查方法性能需求调查地理及环境情况需求整理应用系统管理员的介入,13,1.1需
3、求调查的重要性,完整的需求描述,界定了范围内容及细节精准的需求输入,是控制项目周期的前提有效的需求控制,是项目成败的关键因素,14,1.2应用需求调查介绍,目的完整、量化的了解需要在集成系统执行的客户业务内容得出所需的网络应用类型、数据量的大小、数据的重要程度、网络应用的安全性及可靠性、实时性要点A、已/将投入使用的客户软件的需求,必须记录B、考虑客户的承受能力,冗余适可而止C、搜集的信息详细程度要均匀,面应当完整;过程避免发散,可以规避风险。,15,1.2应用需求调查(Cont),方法A、尽量多从关键的”领导”那儿听取上线人员的业务组织结构,可使后继的调查工作事半功倍。B、应在现场信息调查前
4、,明确客户的关注重点业务范围,根据调查计划表执行C、调查应使用事先准备好的表格/模板记录字段例:部门、人数、业务流程描述、涉及业务数据量、显性/隐性的网络需求(可后继整理),16,1.3性能需求调查,目的得到客户关注但不敏感,却决定项目成败的参数信息内容系统的网络执行速度可靠性/可用性伸缩性安全性,17,1.3性能需求调查(Cont-1),要点性能需求信息的准确搜集,是后继方案设计的权威输入,尽力量化所得到的信息。让客户签字确认,可以使客户给出更准确的信息,并为后期的实施工作规避风险。建议由您有丰富经验的系统架构工程师担任,Q2*,18,1.3性能需求调查(Cont-2),示例:,数据安全,链
5、路安全,安全性,365天/24小时不停机运行,可靠性/可用性,票务检索=0.5秒,售票打印处理产出B、内容:产品、市场营销和管理产品链供应链市场链管理应用:财务、HR信息安全,37,2.4例:企业网-需求分析,Internet公共服务:电子邮件系统。文件传输与共享。WEB服务。信息、电子商务系统平台。企业数据库及企业数据资源系统。专有应用系统:企业管理:PDM/ERP产品设计开发生产:CAA/CAD系统,CIMS企业信息库:产品数据信息库、客户数据库、文献情报信息服务系统等。,38,2.5例:宽带城域网-分析-1,电子商务。包括:电视购物、网上交易、EDI通信业务。包括:电话、传真、可视电话、
6、电视会议、电子邮件信息检索业务。包括:数据库查询、电子图书馆、电子报刊、气象信息、新闻、体育、股票、金融、交通、旅游等信息检索业务交互式业务。包括:远程教学、政府联网、远程医疗、专家会诊,39,2.5例:宽带城域网-分析-2,广播业务。包括:模拟音频视频广播、数字音频视频广播、数据广播、图文电视等业务点播业务。包括:视频点播、音频点播等业务网络游戏。家庭应用。远程监控,防火防盗报警,水、电、气能源管理等,40,3详细需求分析,详细分析的交付物是方案的一部分网络费用分析网络总体需求分析综合布线需求分析网络可用性/可靠性需求分析网络安全性需求分析分析结果的交付,41,3.1网络费用分析-1,网络工
7、程项目本身的费用:网络设备硬件服务器及客户机设备硬件:服务器群、海量存储设备、网络打印机、客户机等。网络基础设施:UPS电源、机房装修、综合布线器材等。软件:网管、OS、数据库、应用系统、安全、定制软件等。远程通信线路或电信租用线路费用。系统集成费用:设计、方案、施工。培训费和网络维护费。,42,3.1网络费用分析-2,要点用户都想在经济方面最省,从而获得投资者和单位上级的好评。作为系统集成商主要利润的系统集成费是一种附加值(一般为外购软硬件的9%至15%)。品质与费用总是成正比。投资规模会影响网络设计、施工和服务水平。就网络项目而言,即使竞争再激烈,系统集成商也要赚钱。观点:降价是以网络性能
8、、工程质量和服务为代价的,对么?,*Q4:正比,43,3.1网络费用分析-3,要点:事实上,每个网络方案都是网络性能与用户方所能承受的费用之间进行折衷的产物。只有知道用户对网络投入的底细,才能据此确定网络硬件设备和系统集成服务的“档次”,产生与此相配的网络设计方案。由于技术进步,网络硬件设备性能越来越好,价格却逐步走低。工期越长,集成商承担的价格压力就越大。,44,3.2网络总体需求分析,运用应用概要分析和费用估算的结果,结合应用类型以及业务密集度的分析,分析估算出网络数据负载、信息包流量及流向、网络带宽、信息流特征等因素,从而确定网络总体需求框架。网络数据负载分析信息包流量及流向分析信息流特
9、征分析拓扑结构分析网络技术分析选择,45,3.2.1网络数据负载分析,根据当前的应用类型,网络数据主要有3种级别:第一,MIS/OA/Web类应用。交换频繁负载很小;第二,FTP文件传输/CAD/位图图档传输。数据发生不多且负载较大,但无同步要求,容许数据延迟;第三,流式文件。如:RM/RAM/会议电视/VOD等,数据随即发生且负载巨大,而且需要图象声音同步。数据负载以及这些数据的在网络中的传输范围决定着你要选择多高的网络带宽,选择什么样的传输介质。,46,3.2.2信息包流量及流向分析-1,主要目的是为应用“定界”,即为网络服务器指定地点。分布式存储和协同式网络信息处理是计算机网络的优势之一
10、。把服务器群集中放置在网管中心有时并不是明智的做法,很明显的缺点就有二个:信息包过分集中在网管中心子网以及那几块可怜的网卡上,会形成拥塞;天灾人祸若发生在网管中心,数据损失严重,不利于容灾。,47,3.2.2信息包流量及流向分析-2,分析信息包的流向就是为服务器定位提供依据。比如:财务系统服务器,信息流主要在财务部,少量流向企业管理子网,可以考虑放在财务部。服务器系统过于分散也会对管理带来麻烦,且使网络环境复杂化。,48,3.2.3信息流特征分析,信息流实时性信息最大响应时间和延迟时间的要求信息流的批量特性信息流交互特性:信息检索/录入不同信息流的时段性。,49,3.2.4拓扑结构分析,可从网
11、络规模、可用性要求、地理分布和房屋结构诸因素考虑来分析。比如:建筑物较多,建筑物内点数过多,交换机端口密度不足,就需要增加交换机的个数和连接方式。网络可用性要求高,不允许网络有停顿,就要采用双星结构。地理上有空隙的网络要采用特殊拓扑结构。如单位分为2处以上,业务必须一体化(1998-2000年国内的大学合并风潮造成这种状况颇多),就要考虑特殊连接方式的拓扑结构。,50,3.2.5网络技术分析选择,尽量选择当前主流的网络技术,如:千兆以太网、快速/交换式以太网等技术。一些特别的实时应用(如工业控制、数据采样、音频、视频流等)需要采用面向连接的网络技术。面向连接的网络技术能够保证数据实时传输。传统
12、技术如:IBMTokenBus,现代技术如:ATM等都可较好实现面向连接网络。,51,3.3综合布线需求分析,布线需求分析主要包括:根据造价、建筑物距离和带宽要求确定线缆的类型和光缆的芯数:6类和超5类线较贵,5类线价格稍低。单模光缆传输质量高距离远,但模块价格昂贵;光缆芯数与价格成正比。布线路由分析:根据调研中得到的建筑群间距离、马路隔离情况、电线杆、地沟和道路状况为建筑群间光缆布线方式进行分析。为光缆采用架空、直埋还是地下管道的方式铺设找到直接依据。对各建筑物的规模信息点数和层数进行统计:用以确定室内布线方式和管理间的位置。建筑物楼层较高、规模较大点数较多时宜采用分布式布线。,52,3.4
13、可用性/可靠性分析,采用:磁盘双工和磁盘阵列、双机容错、异地容灾、和备份减灾措施等,还可采用能力更强的大中小型Unix主机(如:IBM、SUN和SGI)。会致使费用成指数级增长。,53,3.5网络安全性需求分析,安全需求分析具体表现在以下几个方面:分析存在弱点漏洞与不当的系统配置。分析网络系统阻止外部攻击行为和防止内部职工的违规操作行为的策略。划定网络安全边界,使企业网络系统和外界的网络系统具有安全隔离。确保租用电路和无线链路的通信安全。分析如何监控企业的敏感信息、包括技术专利等信息。分析工作桌面系统安全。安全不单纯是技术问题,而是策略、技术与管理的有机结合。,54,4分析报告-需求分析的终点
14、,需求分析完成后,应产生明确的需求分析报告文档交付,并与用户交互,修改,最终应该经过由用户方组织的评审,评审过后,根据评审意见,形成最终版本不再改了!之后的需求,按需求变更实施,55,网络集成方案方案设计及标书的形成,5网络系统方案设计6施工方案设计,56,5网络系统方案设计,网络总体目标和设计原则通信子网规划设计资源子网规划设计网络方案中的系统选型网络安全设计,Q5,57,5.1网络总体目标和设计原则-1,确立网络总体实现的目标明确采用的网络技术;标准;满足哪些应用;规模目标。如果分期实施,明确分期工程的目标、建设内容、所需工程费用、时间和进度计划等。不同网络设计目标大相径庭。除应用外,主要
15、限制因素是投资规模。不仅要考虑实施成本,还要运行成本,有了投资规模,在选择技术时就会有的放矢。,58,5.1网络总体目标和设计原则-2,总体设计原则实用性原则:“够用”和“实用”原则。开放性原则:网络系统应采用开放的标准和技术,如:TCP/IP协议、IEEE802系列标准等。目的第一,有利于未来网络系统扩充;目的第二,有利于在需要时与外部网络互通。,59,5.1网络总体目标和设计原则-3,总体设计原则高可用性/可靠性原则:对于像电信、电力、证券、金融、铁路、民航等行业的网络系统应确保MTBF和MTBF,高可用性和系统可靠性应充分考虑。安全性原则:在企业网、政府行政办公网、国防军工部门内部网、电
16、子商务网站、以及VPN等网络方案设计中应重点体现安全性原则,确保网络系统和数据的安全运行。在社区网、城域网和校园网中,安全性的考虑相对较弱。,60,5.1网络总体目标和设计原则-4,先进性原则:尽可能采用先进而成熟的技术,在一段时间内保证其主流地位。慎用太新的技术:一是不成熟,二是标准还不完备不统一,三是价格高,四是技术支持力量接济不上。易用性原则:可管理,满足应用的同时,为升级奠定基础;应具有很高的资源利用率。可扩展性原则:目前网络产品标准化程度较高,因此可扩展性要求基本不成问题。冗余适可而止,61,5.2通信子网规划设计,通信子网规划设计,网络总体规划与拓扑结构主干网络(核心层)设计分布层
17、/接入层设计远程接入访问的规划设计,62,5.2.1网络总体规划与拓扑结构-1,应该考虑的主要因素有:费用采用哪种网络技术:决定着交换设备和传输介质的种类。灵活性:重新配置的难度/信息点的增删可靠性:抗异常事件/防止个别节点损坏而影响整个网络的正常运行。,63,5.2.1网络总体规划与拓扑结构-2,计算机局域网/区域网一般采用星形/树形拓扑结构或其变种。广域网是以点对点组合成的网状结构为主。网络拓扑结构与规模息息相关。小规模的星形局域网没有主干和外围网之分。规模较大的网络通常呈树状分层拓扑结构。,主干网络及网络设备被划分为核心层,用以连接服务器群、建筑群到网络中心、或在一个较大型建筑物内连接多
18、个交换机管理间到网络中心设备间。用以连接信息点的“毛细血管”线路及网络设备被划分为接入层,根据需要在中间设置分布层。分布层和接入层又称为外围网络。,64,5.2.2主干网络(核心层)设计-1,主干网技术的选择,要根据需求分析中地理距离、信息流量和数据负载的轻重而定。一般而言,主干网一般用来连接建筑群和服务器群,可能会容纳网络上4060%的信息流,是网络大动脉。连接建筑群的主干网一般以光缆作传输介质,典型的主干网技术主要有千兆以太网、10-BASE-FX、ATM、FDDI等。从易用性、先进性和可扩展性的角度考虑,采用千兆以太网是目前大家通行的做法。FDDI基本已属于昨天的技术,支持它厂商越来越少
19、。ATM是面向连接的网络,能保证一些突发重负载在网上传输,但由于ATM在局域网的所有应用需要ELAN仿真来实现,不仅技术难度大,且带宽效率低,已证明不适宜用作局域网或园区网,但如果建网单位对实时传输要求极高,也可以考虑用。如果经费不足以上千兆以太网,可以采用100Base-FX,即用光传输介质上快速以太网。端口价格低,对光缆的要求也不高。是一种非常经济实惠的选择。,65,5.2.2主干网络(核心层)设计-2,双星结构和单星结构:主干网的焦点是核心交换机(或路由器)。如果考虑提供较高的可用性,而且经费允许,主干网可采用双星(树)结构,即采用2台同样的交换机,与接入层/分布层交换机分别连接。双星(
20、树)结构解决了单点故障失效问题,不仅抗毁性强,而且通过采用最新的链路聚合技术,则可以允许每条冗余连接链路实现负载分担。但双星(树)结构会占用比单星(树)结构多一倍的传输介质和光端口,除要求增加核心交换机外,二层上连的交换机也要求有2个以上的光端口。,核心层,分布层接入层,单星结构,双星结构,链路聚合,66,5.2.2主干网络(核心层)设计-3,千兆以太网一般采用光缆作传输介质。多种波长的单模和多模光纤分别用于不同的场合和距离。由于建筑群布线路径复杂的特殊性,一般直线距离超过300米的建筑物之间的千兆以太网线路就应该选用单模光纤。单模光纤本身并不贵,昂贵的是光端口及组件。,67,5.2.2主干网
21、络(核心层)设计-4,骨干网及核心交换机热点技术:PortTrunking(链路聚合技术):“拓扑环”问题由来已久,生成树(SpanningTree)尽管能解决交换设备冗余连接,但无法提高链路效率。链路聚合用于在二个交换机之间,把多个以太网链路组合起来,组成一个逻辑链路,提供多倍100/1000Mbps的全双工连接,并可负载分担。链路聚合不仅提高了连接带宽,且提高了链路可靠性,逻辑链路中任一物理链路失效仅降低链路带宽,不影响正常工作。FEC/GEC(快速以太网/千兆以太网冗余连接):FEC/GEC用来实现交换机和服务器之间的冗余连接和负载分担。使服务器的网络I/O吞吐量成倍提高。,端口链路聚合
22、,FEC/GEC,68,5.2.2主干网络(核心层)设计-5,骨干网及核心交换机热点技术:GBIC(千兆位集成电路):千兆以太网接口一般有一个GBIC卡槽,可插SX、LX/LH或ZXGBIC卡。LX/LHGBIC在单模光纤上传输距离不小于10公里。ZXGBIC传输距离50-80公里。,HSRP(热等待路由协议):Cisco的一种专有技术,HSRP提供自动路由热备份技术。在局域网上有两台以上路由器时,这个局域网上的主机只能有一个缺省路由器,当这个路由器失效时,HSRP可以使另一路由器自动承担失效的工作。,69,5.2.3分布层/接入层设计-1,接入层即直接连接信息点,使网络资源设备(PC等)接入
23、网络的部分。我们常说:“主干千兆以太网,10/100兆到桌面”。后半句话即是对接入层的描述。分布层的存在与否,取决于外围网采用的扩充互连方法。当建筑物内信息点较多(比如:220个)超出一台交换机所容纳的端口密度,而不得不增加交换机扩充端口密度时,如果采用级连方式,即将一组固定端口交换机上联到一台背板带宽和性能较好的二级交换机上,再由二级交换机上联到主干;如果采用多个并行交换机堆叠方式扩充端口密度,其中一台交换机上联,则网络中就只有接入层,没有分布层。,70,5.2.3分布层/接入层设计-2,要不要分布层,采用级连还是堆叠。要看网络信息流特点,堆叠体内能够有充足的带宽保证,适宜本地(楼宇内)信息
24、流密集、全局信息负载相对较轻的情况;级连适宜于全网信息流较平均的场合,且分布层交换机大都具有组播和初级QoS(服务质量)管理能力,适合处理一些突发的重负载(如:VOD视频点播),但增加分布层的同时也会使成本提高。分布层/接入层一般采用100Base-T(X)快速(交换式)以太网。采用10/100Mbps自适应传输速率到桌面计算机。传输介质则基本上是双绞线。CiscoCatalyst3500/4000系列交换机就是专门针对分布层而设计的。如果主干采用光介质传输,接入层交换机必须支持1-2个光端口模块,必须支持堆叠,如果主干为千兆以太网,接入层交换机还必须支持GBE模块。,71,5.2.4远程接入
25、访问的规划设计,以电话线拨号方式互联:以X.25专线互联:以DDN专线互联以光纤电缆方式互联以无线扩频微波方式互联,72,5.2.4.1PSTN,说明:用PSTN市话网络访问是经济、简便的选择。需要规划远程访问服务器和Modem设备,并申请一组中继线。远程访问服务器(RAS)和Modem组的端口数目一一对应,一般按一个端口支持20个用户计算来配置。优点:投资最少,互联方便,只需两端各有电话线就能互联。缺点:设备比较简单,速率低,而且误码率很高,对大数据量的传输不适应极不安全。,73,5.2.4.2X.25专线互联(过时),同电话拨号互联几乎相同。由于在双侧的设备上采用了更加先进的设备,因而其传
26、输速率比较高,一般可达到19.2kbps,但不能实现实时通讯,通讯费用偏高。,74,5.2.4.3DDN专线互联,目前国内应用较多的专有线路互联方法。优点:其传输速率可达较高可实时通讯线路稳定可靠缺点:费用:初装和租金都较昂贵用户只有使用权而没有产权,故障的维护比较麻烦。,Q6,75,5.2.4.4光纤互连,优点:最大的传输带宽,支持包括多媒体信息的传输传输可靠性也很高保密性好。缺点:高造价大工程量是难以让用户接受的通常:一般以国家行为较多一般公司及企业很少应用此方式,除非传输距离比较短,所架设的光缆在自己的管辖之内。,76,5.2.4.5无线扩频微波方式互联,技术:计算机无线高速数据传输网络
27、采用了微波扩频技术、无线全双工高速数据传输技术,使用2.4GHz微波传输频率。使用高增益天线点对点传输距离可达2040公里,支持各种常用的网络协议。优势:特别适用于远郊、山区的大型企业单位不足:技术复杂行业标准化不高,技术专用性强稳定性受设备、厂家的影响较大,77,5.3资源子网规划设计,服务器的网络接入服务器子网连接方案服务器群的整合与均衡网络存储系统规划设计网络打印系统,78,5.3.1服务器的网络接入-1,服务器的网络接入服务器在网络中“摆放”位置的好坏直接影响网络应用的效果和网络运行效率。企业级服务器:适宜放在网管中心;部门/工作组级服务器:放在部门子网中。服务器网络接入特点:服务器是
28、网络中信息流较集中的设备磁盘系统数据吞吐量大传输速率要求高,要求绝对的高带宽接入,79,5.3.1服务器的网络接入-2,服务器的网络接入服务器接入方案主要有以下几种:千兆以太网端口接入:服务器需要配置而且必须支持GBE网卡,GBE网卡采用PCI(V2.1)接口,使用多模SX连接器接入交换机的多模光端口中。优点:性能好、数据吞吐量大,缺点:成本高,对服务器硬件有要求。适合企业级数据库服务器、流媒体服务器、和较繁忙的应用服务器。并行快速以太网冗余接入(FEC):即采用2块以上的100Mbps服务器专用高速以太网卡分别接入网络中的2台交换机中。通过FEC技术实现负载均衡或负载分担,当其中一块网卡失效
29、后不影响服务器正常运行。最近这种方案比较流行。普通接入:采用一块服务器专用网卡接入网络。是一种经济、简洁的接入方式,但可用性低,信息流密集时可能会因主机CPU占用(主要是缓存处理占用)而使服务器性能下降。适宜于数据业务量不是太大的服务器使用。,80,5.3.2服务器的子网连接方案,核心交换机直接连接方案:优点是直接利用核心交换机的高带宽,缺点是需要占太多的核心交换机端口,使成本上升。服务器子网专用交换机方案:是在核心交换机上外接一台专用服务器子网交换机,优点是可以分担带宽,减少核心交换机端口占用,可为服务器组提供充足的端口密度,缺点是容易形成带宽瓶颈,且存在单点故障。,核心交换机,服务器子网交
30、换机,81,5.3.3服务器群的整合与均衡-1,物理服务器逻辑服务器服务器整合的必要性:根据网络规模、用户数量和应用密度的需要,有时一台服务器运行多个服务程序,有时两台以上的服务器硬件安装和运行同一种服务系统。如何根据服务程序对硬件占用特点、网络规模、费用承受能力,合理搭配和规划服务器分配,在最大限度地提高效率和性能的基础上降低成本,是系统集成中不能回避的重点问题之一。,Q7,82,5.3.3服务器群的整合与均衡-2,主要服务程序类型对服务器硬件的占用特点,83,5.3.3服务器群的整合与均衡-3,网络规模因素:小型网络注重实用、易维护,Web服务DNS服务FTP服务,数据库服务Email服务
31、,基于NT,基于Linux,Web服务DNS服务FTP服务Email服务,数据库服务应用服务器,84,5.3.3服务器群的整合与均衡-4,网络规模因素:中型网络重应用中型网络重应用中型网络注重实际应用,可选择将应用分布在更多的物理服务器上。宜采用功能相关性配置方案,将相关应用集中在一起。如Web服务器需要频繁地与数据库服务器交换信息,把这2项服务安装在一台高档服务器内,会减轻网络I/O负担。对于企业网络,工作流应用需要借助底层Email服务,就可以结合群件服务器。对于像VOD这样的流媒体专用服务器,最好单列。,Email服务群件服务工作流应用服务,数据库服务Web服务,DNS服务FTP服务,流
32、媒体服务,85,5.3.3服务器群的整合与均衡-5,网络规模因素:大型网络或ISP/ICP的服务器群方案大型网络应用场合讲究安全可靠、稳定高效、功能强大。大型企业网站和ISP供应商需要向用户提供全面的服务,建设先进的电子商务系统,甚至需要向用户提供免费Email服务、免费软件下载、免费主页空间等,所以要求网站必须能够满足全方面的需求,功能完备,且具有高度的可用性和可扩展性,保证系统连续稳定地运行。,服务器集群。Web、Email、FTP和防火墙等应用结合在一起,采用具备负载均衡功能的集群系统,可提高系统的I/O能力和可用性;双机容错高可用性(HA)服务器。数据库及应用服务器系统采用双机容错高可
33、用性(HA)系统,以提高系统的可用性。机架式服务器配置。大型网络物理服务器数量过多为管理和运行带来沉重负担,导致环境恶劣,宜采用机架式服务器。,86,5.3.3服务器群的整合与均衡-6,网络规模因素:大型网络或ISP/ICP的服务器群方案,多层架构的最重要价值?-负载平衡,87,5.3.4网络存储体系的设计-1,网络存储系统的重要性:数据是网络中最宝贵的资源,因数据问题导致的损失可能使一个企业破产。据统计,如果要重新生成20MB丢失的数据,销售、市场类的数据恢复平均需要花费19个工作日和17000美元,财务类数据则需要21个工作日和20000美元,而相对较为复杂的工程数据需要花费42个工作日和
34、98000美元。随着信息化推进,日常业务对网络的依赖越来越强,数据呈指数级增长,数据管理和维护工作日益繁杂。网络存储系统是制约网络I/O吞吐量的瓶颈,合理地设计和规划网络存储系统,会最大限度地降低总体拥有成本,使网络性能得到充分发挥。,88,5.3.4网络存储体系的设计-2,网络存储系统的结构种类:DAS(直接附加存储):也称SAS(服务器附加存储)。直接连接在服务器上的内置或外置数据存储设备。它完全寄生在相应服务器上,文件系统取决于其宿主服务器安装的操作系统,并且只能通过宿主服务器系统来访问。DAS是一种传统的、也是目前最常见的网络存储设备形态。,交换机,数据库服务器,应用服务器,主干网,D
35、AS,89,5.3.4网络存储体系的设计-3,网络存储系统的结构种类:SAN(存储区域网络):服务器与存储设备之间通过具有高传输速率的独立于网络之外的专用光通道交换机直接连接,提供SAN内部节点之间的多路可选择的数据交换,将数据存储管理集中在相对独立的存储区域网内。具有传送大数据块到企业级数据密集型应用服务的能力,非常适用于存储密集型环境。且支持异地容灾。费用昂贵,成功应用罕见。,交换机,数据库服务器,RAID盘阵,应用服务器,主干网,DAS,光纤通道SAN,Linux第三方软件支持市场占有率,106,5.4.6服务器硬件选型-1,性能要求处理能力CPU速度、数据、Cache内存支持情况存储能
36、力硬盘的性能、数量硬盘的接口、是否支持热插拔,107,5.4.6服务器硬件选型-2,性能要求高可用性MTBF设备冗余情况:电源、磁盘、网络数据吞吐能力服务器I/O能力IA64架构的采用可伸缩性空间接口情况:磁盘/电源/内存插槽/主板插槽/外部接口,108,5.4.6服务器硬件选型-3,配置关键点按需配置服务器是做什么应用的?文件服务器(FTP):磁盘、I/O数据存储:磁盘、内存,I/OWEB应用:IO、内存、CPU运算、中间件等应用服务器:CPU、I/O,Q8:选型,109,5.5网络安全设计-1,网络安全设计原则遵循木桶原理对正常的业务应用,影响应尽可能小绿点、蓝点原理,安全是有等级规范的全
37、局性:安全是全体系的盾牌,是面状的政府、军队等应用,需优先考虑本土产品投入产出应付合客户意志,110,5.5网络安全设计-2,设计与实施步骤第一步:列举可能的各种攻击与风险第二步:明确安全策略由需求及环境决定整体安全性级别影响业务运营的承受能力如何进行管理及控制:配置、界面投入及允许实施周期第三步:建立安全模型安全算法、信息、界面要求连接协议、通信接口模块网络安全传输:安管系统、支撑系统、传输系统,111,5.5网络安全设计-3,设计与实施步骤第四步:选择并实现物理、链路、网络层的安全操作系统的安全应用平台的安全第五步:安全产品的选型及测试按照企业信息与网络系统安全产品的功能规范测试范围:功能
38、、性能、可用性,112,5.5安全技术,防火墙技术防火墙应用展开相关技术应用说明透明访问NATVPN,113,5.5.1防火墙技术,概念防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。实现:防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。目的:在内网与外网之间设立唯一的通道,简化网络的安全管理。,114,5.5.1防火墙技术-1,功能:过滤掉不安全服务和非法用户控制对特殊站点的访问提供监视Internet安全和预警的方便端点,115,5.5.1防火墙技术-2,产品化的设备所具有的特点:服务支持:通过将
39、动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等;对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏;客户端认证只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们;C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。,116,5.5.1防火墙技术-3技术分类,报文过滤是在IP层实现的,可以只用路由器完成。应用层网关方式多种多样,117,5.5.
40、2防火墙技术展开,应用代理服务器(ApplicationGatewayProxy)回路级代理服务器代管服务器IP通道(IPTunnels)网络地址转换器(NATNetworkAddressTranslate)隔离域名服务器(SplitDomainNameServer)邮件技术(MailForwarding),118,5.5.2.1应用代理服务器,原理:在网络应用层提供授权检查及代理服务。优点:应用网关代理的优点是既可以隐藏内部IP地址,也可以给单个用户授权,即使攻击者盗用了一个合法的IP地址,也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。缺点:这种认证使得应用网关不透明用户每
41、次连接都要认证,带来许多不便。需要为每个应用写专门的程序。,119,5.5.2.2回路级代理服务器,即通常意义的代理服务器,适用于多个协议,不能解释应用协议,需要通过其他方式来获得信息,因此回路级代理服务器通常要求修改过的用户程序。应用:套接字服务器(SocketsServer)就是回路级代理服务器。,120,5.5.2.3代管服务器,技术:把不安全的服务如FTP、Telnet等放到防火墙上,使之同时充当服务器,对外部的请求作出回答。优点:不必为每种服务专门写程序。而且,受保护网内部用户想对外部网访问时,也需先登录到防火墙上,再向外提出请求,这样从外部网向内就只能看到防火墙,从而隐藏了内部地址
42、,提高了安全性。,121,5.5.2.4IP通道(IPTunnels),应用:一个大公司的两个子公司相隔较远,通过Internet通信。这种情况下,可以采用IPTunnels来防止Internet上的黑客截取信息。从而在Internet上形成一个虚拟的企业网。,122,5.5.2.5网络地址转换器,问题:当受保护网连到Internet上时,受保护网用户若要访问Internet,必须使用一个合法的IP地址。但由于合法InternetIP地址有限,而且受保护网络往往有自己的一套IP地址规划(非正式IP地址)。转换器的价值:在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时,防火
43、墙动态地从地址集中选一个未分配的地址分配给该用户,该用户即可使用这个合法地址进行通信。同时,对于内部的某些服务器如Web服务器,网络地址转换器允许为其分配一个固定的合法地址。,123,5.5.2.6隔离域名服务器,原理:通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离应用:外部网的域名服务器只能看到防火墙的IP地址,无法了解受保护网络的具体情况可以保证受护网络的IP地址不被外网知悉。,124,5.5.2.7邮件处理,作用:外部网络只知道防火墙的IP地址和域名时,从外部网络发来的邮件,就只能送到防火墙上。内部处理:防火墙对邮件进行检查,只有当发送邮件的源主机是被允许通过的,防火墙才对邮
44、件的目的地址进行转换,送到内部的邮件服务器,由其进行转发。,125,5.5.3透明网关方式图示,126,5.5.3透明代理模式,原来的网络拓扑和服务器IP地址都不需要改变只需在网络的边界上把内部网络和外部网络做到物理上的隔离,安全网关对每个进出网络的IP数据包进行检查和状态检测,把不合法的数据包阻挡在外。透明代理模式安全网关同样支持VPN,可以和远程点建立安全隧道。因为网关本身使用公有固定IP,总部局域网内只有公有IP的主机或服务器才能和远端进行直接安全通信其他私有IP的主机可通过代理服务器和远端进行通信。,127,5.5.4NAT模式,128,5.5.4NAT模式,将安全网关的WAN口接路由
45、器,LAN口接局域网交换机,将服务器群单独划分一个网段,将该网段的交换机接到安全网关的DMZ口上。公共服务器通过安全网关的静态地址映射功能使用电信给信息中心分配的不同的公有IP地址对外部网络提供服务。安全网关的端口映射(NAPT)功能通过把各种服务的特定端口相应地映射到每台服务器的该端口上使公有IP可以提供多种服务。,129,5.5.5VPN,类型:远程访问虚拟网(AccessVPN)企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN)分别与传统的远程访问网络企业内部的Intranet企业网和相关合作伙伴的企业网所构成的Extranet相对应。,130,5.5.5
46、VPN的设计原则,安全性VPN直接构建在公用网上,其安全问题更为突出。企业必须确保其数据不被攻击者窥视和篡改。ExtranetVPN对安全性提出了更高的要求。网络资源的优化使用构建VPN的一重要需求是充分有效地利用有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,QoS通过流量预测与流量控制策略,可以按照优先级分配带宽资源。可管理能力目标:减小网络风险、具有高扩展性、经济性、高可靠性等优点。内容:包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。,131,5.6网络系统方案设计交付,产生网络系统方案与用户交互修改,形成终稿,并确认。,13
47、2,6网络施工方案设计,布线系统的组成布线产品与整个系统的对应关系设计要点,133,6.1综合布线系统的组成,建筑群子系统,设备间子系统,垂直干线子系统,水平子系统,工作区子系统,网管中心,竖井,管理子系统,134,6.2不同子系统的产品选型,室外光缆及连接器,建筑群子系统,配线机柜、配线架、理线架、UTP跳线、光跳线,设备间子系统,双绞线、光缆及连接器,干线子系统,配线架、理线架、UTP跳线,管理子系统,双绞线,水平子系统,信息插座、UTP跳线(终端线),工作区子系统,布线产品选型内容,应用场合,135,6.3综合布线系统设计要点,线缆选择布线线路的分布及路由设计网络机房规划与设计综合布线系
48、统与网络的整合,136,6.3.1线缆选择,带宽明显,施工困难,费用较高,用于主干网络连接,建筑内主流介质,基本退出市场,评价,端口费用高,低廉,安装费低,维护费用高,费用,不受电磁干扰,不受雷击,耐受通常的电磁干扰,易受雷击,耐强电磁干扰,不合综合布线规范,电磁环境,实际达到40km,550m(1000Mhz),500m(75欧)粗缆,100Mhz以下无定义,2km(100Mhz以下),100m,188m(50欧)细缆,最大距离,10600,10400,10200,10MHz,带宽(MHz/km),单模,多模,UTP,同轴电缆,光纤,铜缆,对比项目,137,6.3.2线路的分布及路由设计-1,线缆铺设室内:布线施工中通常埋设在PVC管或线槽中室外的光缆铺设:管道:机械保护、外观好,投资较高直埋
浙ICP备2021020529号-1 | 浙B2-20240490 
