1、大型企业网间网设计和实现 一、 引言:在网络技术不停发展今天,大型企业网络建设面临多个网络技术选择。选择怎样网络技术来满足企业未来发展需要,是摆在各大企业面前一个课题。即使网络技术在飞速发展,但企业网络建设有其内在规律,把握这些内在规律,将有利于指导大型企业网络建设。本文定义大型企业网络是跨地域和有层次网络。企业网络层次和行政结构相对应,网络层次在二层或三层以上,网络连接可能是跨地市、跨省,也可能是全国范围。比如,银行、国税系统,民航、铁路、政府办公系统等全部是跨地域,多层次系统,在网络建设上全部有其共同特点。从总体上说,企业网络包含到系统软件平台、硬件平台,布线系统,局域网建设,广域网建设,
2、应用软件(包含业务应用和WWW服务等)、网络安全,网络管理等方方面面。本文从大型企业网络设计角度介绍大型企业网络设计和实现方法。一、 企业网络建设过程多个阶段企业网络建设总体上分为设计阶段、实施阶段和网络管理维护阶段。从网络设计角度来讲,分为应用驱动法和基础设施法。应用驱动法是采取依据应用需求,从工作组网络、楼宇网络、园区网络到广域网络由近到远设计方法。基础设施法是依据基础网络计划,采取从广域网络、园区网络到楼宇网络由远及近设计方法。企业网络建设过程分为以下多个阶段: 1、需求分析阶段。通常大型企业在网络建设中已经有部分网络环境,这些网络环境能满足当初网络应用需要。但网络可能是一个个孤立小岛,
3、只能在局部范围内实现网络应用及资源共享,企业网络没有形成一个整体。企业网络计划时,要考虑网络建设整体性,既要保护原有投资,又要在网络技术选型上有前瞻性。网络需求分析关键是依据企业业务发展需求和企业信息技术应用需求,提出企业网络建设总体目标和关键技术指标。 企业网络需求分析包含以下几方面:n 网络标准和协议要求。n 全网络信息点分布需求,包含局域网布线结构要求,广域网传输介质要求。n 网络层次划分及网络拓扑结构要求。n 结合应用网络设备处理能力和带宽要求。n 局域网和广域网要求。n Internet接入,外网接入,防火墙技术要求。n 企业网络应用要求。 n 网络设备选型要求。n 网络应用和网络技
4、术关系(如多媒体、IP话音和网络结构要求)。n 网络可靠性、扩展性和安全性要求。n 网络管理要求。2、网络计划阶段。企业网络计划是从企业网络需求分析到企业网逻辑设计中间必经阶段,关键依据企业网络需求分析得出分离、外在技术指标(如用户数、桌面微机站点数、最大响应时间要求等等)。利用企业网络本身内在规律和关联算法,得出整个企业网络内在技术框架和技术指标(如桌面带宽要求、主干带宽要求、服务器处理性能要求等等)。3、网络逻辑设计阶段。网络逻辑设计阶段关键依据企业网络需求分析结果,依据企业网络计划内在技术指标,根据计算机网络设计经验和方法,在现有可行网络技术范围内,设计企业网络连接结构、协议结构和每个网
5、络功效结构。企业网络设计关键确定网络连接结构,网络节点类型、 功效和容量。网络传输链路类型和容量,和网络安全控制结构和网络管理结构。4、 网络物理设计阶段。网络物理设计关键确定实施网络逻辑设计方案厂家产品类型、数量和具体配置,和和网络逻辑设计方案中连接结构相吻合物理拓扑结构。5、 网络实施阶段。网络实施阶段关键是采购所需硬件设备和软件系统,和安装、调试和测试网络系统。6、 网络维护和扩展阶段。在企业网络经过测试以后,网络就进入了运行、维护和扩展阶段。企业网络运行维护阶段关键工作是对企业网络日常维护和管理,包含网络配置管理、性能管理、故障管理、安全管理和用户帐户管理,对企业网络预防性测试和容量计
6、划。二、 企 业 网 络 层 次 结 构 分 析 及 其 模 块 化 设 计 思 想大型企业网络层次结构和企业行政结构相对应,通常最少有二层,也有三层和四层结构。多于四层结构作为远程访问服务层看待。我们从网络层次划分上分析探讨多层网络模块化设计思想。大多数企业网络全部能够被层次性划分为三个逻辑服务单元(Backbone)、区域网(Distribute)和访问网(Localaccess)。骨干网关键目标在于完成份布于不一样区域或逻辑组路由最优化通信;区域网关键是完成网络流量安全控制机制,以使骨干网和访问网环境隔离开来;访问网关键是支持用户机对服务器访问。2.1 模块化网络设计方法模块化网络设计方
7、法目标在于把一个大型网络元素划分成一个个互连网络层次。实质上,模块化方法把网络划分为一个个子网,所以网络节点和流量变得更轻易管理。层次化设计方法同时也使网络扩展更轻易处理,因为新子网模块和新网络技术能被更轻易集成进整个系统中,而不破坏已存在骨干网。层次设计方法可为网络带来以下三个优点:1、层次性网络可扩展性可扩展性是在包交换网络连接中使用层次性设计关键优点。层次性网络含有更多可扩展性是因为它能够让你用模块化方法扩展网络,而不会碰到非层次性网络或平面性网络很快所遇上问题。不过,层次性网络同时也提出了一定问题需要仔细考虑。这些问题包含:虚电路费用,层次设计(尤其是网状拓扑内在复杂联络,和需要额外路
8、由器接口来划分网络层次。为了取得层次性网络结构优点,你必需使你网络层次结构充足和你所在地域拓扑相符合。设计取决于你所使用包交换模式,和你所想要容错能力、网络性能和网络造价。2、层次性网络可管理性 使网络简单化经过把网络元素划分为小单元、层次化,降低了整个网络复杂性。这种网络单元划分使故障诊疗变得清楚和简单了,同时还能够提供预防广播风暴、路由循环等其它潜在问题内在保护机制。 使设计更灵活层次化设计使得骨干网和区域网之间包交换形式更具灵活性。很多网络全部得益于使用混合方法来结构整个网络架构。在大多数情况下,可在骨干网部分使用专线而在区域网或当地网接入部分使用包交换服务。 使路由器管理更轻易因为层次
9、化网络结构使网络分层,相对缩小网络区域使路由器邻居或对等通信端数量降低,所以路由器配置变得简单化。3、优化广播和多点广播流量控制在包交换网络中,降低路由器之间广播信息量最直接方法就是使用更少数目标路由器组,经过层次化模块设计能够很好地控制网络中广播。通常在包交换网络中最常见路由器之间广播信息流量是路由更新信息,假如在一个区域或一个层次中有太多路由器,那么就会因为广播原所以造成网络瓶颈。层次化网络结构使你能够对区域网向骨干网广播作出限制。 依据这种层次化网络设计思想标准,我们能够把企业Intranet网络工程整个网络体系结构分为以下三层或四层结构二级或三级网络主干:即由企业中心节点和二级节点组成
10、一级主干网络,由二级节点和三级节点组成二级网络,三级节点和四级节点组成三级网络。以下图2.1所表示: 图2.12.2 评定一级主干网络服务 图2.1所表示一级主干网络所能提供功效特征包含以下多个部分: 主干网络带宽管理: 为了优化主干网络操作,路由器提供多个性能调整方法,如优先权队列管理和数据压缩,动态路由协议权值定义,动态路由协议发包时间间隔优化,协议当地确定等优化和节省广域网带宽。 数据传输路径优化 路由器最关键特点之一是在逻辑网络环境内,自动选择最优路径传输信息。 路由器依靠路由协议(静态和各类动态路由协议)完成最优路径查找工作。路由协议是在网络第三层上操作,而且各类网络协议有对应路由协
11、议支持。如,在IP网络环境中,Cisco企业全部路由器支持全部路由协议,如OSPF Routing,RIP Routing,IGRP Routing,E-IGRP Routing,BGP Routing,EGP Routing and HELLO Packet。 路由收敛问题:路径选择包含相关问题是路由收敛。当网络发生改变时,如主干网上路由器关机或故障,或通信线路故障,或主干网上路由器配置改变等,全部会引发路由表改变,这种改变过程引发网络不能正常工作。所以,选择收敛速度快动态路由协议和避免路由慢收敛问题是网络设计关键问题之一。 优化传输队列主干网上信息传输能够分成不一样优先等级,将关键信息定为
12、高优先等级,优先传输。路由器能够对诸如不一样协议类型,不一样传输层协议,不一样应用类型设定不一样传输优先级。对IP协议来讲,在网络应用层,可对诸如TELNET,FTP,SMTP,WWW等应用进行传输队列优先权设定,以确保关键数据优先传输。对传输队列优化是在各类协议及子协议基础上进行,以下图所表示: 负载均衡路由器支持多链路负载均衡,最多可支持四条负载均衡链路,每条链路负载阀值能够调整。 路径备份一级主干网上传输全部是关键信息,一级主干网路径备份就尤其关键。考虑到投资成本,不要求主干网上全部路由器全部双链路连接,而只考虑主干网上各中间节点到中心节点双链路连接,各中间节点之间能够无链路连接。各中间
13、节点之间通信全部跨越全国中心路由器实现。所以,全国中心路由器必需含有强大处理能力。2.3 评定二级主干网络服务 图2.1所表示,我们对二级主干网络作以下评定。 区域和服务过滤 信息流过滤是建立在区域划分和服务类型上。来自区域内部信息无须要跨越广域网一级主干网络,这么能够减缓一级主干网络通信压力。同时,在区域内部能够针对网络服务类型(如TELNET,FTP,SMTP等)和网段地址作访问控制,这么可确保关键数据访问安全性。在路由器中,设置access-list,路由器判定满足条件信息包经过网络。 基于策略信息分发基于策略信息分发目标是确保传输性能和信息完整性。在网间网中,这种策略能够定义成一个规则
14、或一组规则,以此来控制跨越广域主干端对端数据传输。比如一个部门,它可能有三种网络协议要跨越主干,但只期望携带关键应用一个特殊协议快速经过主干。另一部门,因为主干网络过于繁忙,此时只许可e-mail跨越主干等。 路由协议一致性 我们提议一级和二级广域网主干动态路由协议应是一致,并采取开放路由协议如ISIS或BGP4或OSPF。采取那种动态路由协议,要依据企业网络结构和部门间隶属关系确定。 介质转换 介质转换技术是将不一样网络链路层上帧格式转换为另一网络帧格式,比如以态网和令牌环网转换。因为区域内网络环境较为复杂,厂家必需有对应设备支持。2.4评定接入访问服务 接入访问服务包含以下内容: 网络增值
15、地址网络增值地址(helper network address)是用来处理部分特殊信息传输,使得原来是广播方法传输变为多点传输。这么,能够降低网络广播压力和路由器负载。比如,Novell用户端原来经过广播方法查找它服务器,而假如服务器不在本网段,广播信息必需经过路由器。使用helper address后,就许可在一个网络上节点直接向另一个网络上服务器发送信息,而不用经过路由器。 网段 局部访问服务基础要求是将网络分成若干网段,每个网段实施各自信息传输策略,经过路由器从而实现各网段广播信息相互隔离,降低主干网络拥塞。确定网段,是经过子网掩码实现。灵活网段划分,经过路由器access-list网段
16、地址过滤,能够实现灵活网络安全访问控制策略。 广播和多点广播 如上所说,路由器能隔离网段广播信息。然而,假如需要,路由器能够中继广播。经过路由器中继一些广播以达成一定目标。 IP多点广播是从一个站点向指定多个目标站点公布信息,而不是向每个站点公布信息。IP多点广播为视频会议,股票交易等提供出色服务。参与多点广播计算机,必需运行IGMP协议。路由器配置IGMP(Internet Group Management Protocol) 后,能够实现在不一样网段内计算机多点广播。 安全策略 假如全部信息被全部职员随意访问得到,那么安全侵犯和不正当文件访问就不可避免。为了避免这些问题,路由器要做以下工作
17、: 预防局部网络信息不正当地进入网络主干 预防网络主干信息不正当进入部门或工作组 实现这两大功效手段是路由包过滤。首先,包过滤能控制未受权用户访问,增加安全性,同时能降低网络拥塞,降低网络问题发生。 路由器有一整套信息过滤策略。如对地址访问过滤,对协议访问过滤,对应用层访问过滤。具体地说, 在以太网环境下,有一台主机能Telnet到Internet某一台主机,不许可Internet上该主机Telnet到这台主机上,但能够作SMTP访问。 只许可一个网段经过OSPF动态路由协议,其它网段OSPF被严禁。 限止一些主机访问一些网段。 限止一些网段访问另部分网段。 上述访问控制手段是常见方法。另外还
18、有远程访问控制,通常采取认证机制。对于MODEM访问方法站点,可采取TACACS(Terminal Access Controller Access Control System) 认证机制。对电话拨号站点,运行ppp协议,可采取chap或pap 认证机制。 路由器查找 主机必需知道其网关地址才能经过路由器访问别网段。能够用人工或动态路由方法配置主机网关地址。主机最少有一个路由器局域网端口地址作为其网关地址。不过,当有多个路由器时,主机怎样确定其网关地址呢?通常来说,主机选择那台能抵达目标站点最好路径路由器作为其网关,这种情况包含路由器查找。支持这种查找相关协议有以下多个: End Syste
19、m-to-Intermediate System(ES-IS)协议 ICMP Routing Discovery Protocol(IRDP)协议 Proxy Address Resolution Protocol(ARP)协议 OSPF和RIP协议 经过对上述网络分层服务分析,我们得出结论:对于大型企业Intranet网络工程来说,要想建设成为一个全国性、网络性能优良、网络控制极为灵活、含有很强扩展能力和升级能力大型企业综合性网络,那么在网络设计中就必需采取层次化网络设计思想。三、 企 业 网 间 网 路 由 协 议 我们对企业网络层次结构及对应网络服务作了系统分析,各层次网络服务是建立在网
20、络协议第三层动态路由或静态路由基础上。因为各类网络动态路由协议全部存在算法上缺点,没有一个全优网络动态路由协议能完全满足企业网络运行需要。所以,网络动态路由选择必需和整体网络结构相协调,同时和企业网络运行方法、运行成本相协调。 为此,我们简单介绍多个路由协议:3.1、RIP(Route Information Protocol) 路 由 信 息 协 议 RIP路由协议和UNIX和TCP/IP紧紧地联络在一起。在互连网中RIP是最常见路由协议。 作为广泛使用一个距离矢量(Distance Vector)路由协议,RIP路由协议有以下特 点:n 基于距离矢量路由协议路由器依据距离选择使用路由。当计
21、算那条路径为最短路径 时,路由器确定这条路径为最好路径并维持这条最好路径。当新路由比 原路由更佳时,由新路由将替换老路由。n 含有学习功效 路由器定时向每个邻近网络广播报文,经过路由器间相互学习, 不停更新自己路由。n 仅以跳数(hop count)作为距离度量在路由器路由决议中,要考虑原因能够很多( 比如:带宽、 延迟、可靠性、路由等),假如参与决议原因越多,路由策略最好路由愈加趋于合理,对网络描述愈加正确。所以RIP路由协议仅将跳数作为距离度量有缺点。n 最大站点数为15 RIP 协议许可最大站点数为15,任何超出15个站点目标地均认为不可达成。RIP最大站数大大限制了大型网间网环境应用。
22、n 每30秒向相邻路由器广播一次路由信息 RIP路由协议采取了不少计数器,路由新计数器通常被设计为30 秒。确保每个路由器在每30 秒向其邻接路由器发送一次路由表。3.2、OSPF(Open Shortest Path First)开放式最短路径优先协议 80 年代中期,因为RIP 路由器协议越来越不适应大规模异构网络互连。OSPF作为IETF(网间工程任务组织)为IP 网络开发一个IGP(内部网关协议)协议,克服了RIP 路由协议缺点。其采取SPF(Shortest Path First)算法,基于链路状态路由协议。OSPF路由协议有以下特点:n 需要每台路由器向同域(Area)全部其它路由
23、器发送链路状态广播(LSA)信息。路由器搜集相关链路状态信息,并依据SPF算法计算出到每个结点最短路径。同域内路由器共享 相同拓扑信息。n 路由选择分级 和RIP 路由协议不一样,OSPF可在一个域(Area)内进行路由选择。域最大集合是自治域(AS)。AS 是共享同一路由选择策略网络集合。 一个自治域AS可分为多个域(Area),域是由相邻网络和连接主机组成,图3.2.a所表示。 依据源点和目标地是否在同一域内,OSPF有两种类型路由 选择方法: 当源和目标在同一区域时,采取域内路由选择。 当源和目标不在同区域时,采取域间路由选择。 因为有域概念,OSPF路由协议比那些不将AS分区情况下 所
24、需传送路由信息少得多。n 支持VLSM(Vanable Length Subnet Mask)可变长度子网掩码技术。 因为每个公布目标地均包含IP子网掩码,从而可利用子网掩码将IP网络分为不一样大小子网,这种方法可节省IP 地址空 间并给网络管理员管理带来灵活性。 n 对带宽和CPU等资源消耗 这个SPF 算法占用了CPU 资源,通常来说和运算量和网内链路数目和路由器数目乘积成正比。另外当SPF 路由器通电, 初始链路状态包泛滥(Floodting)占用网络带宽,这些情况全部是在网络设计中要考虑。3.3、EIGRP(enchansed Interior Gateway Routing Prot
25、ocol) EIGRP 即为CISCO企业所提出IGRP路由协议增强版。它 是 一个混合型路由选择协议,它结合了链路状态协议及距离矢量协 议优点,包含以下特点:n 快速聚合增强IGRP使用扩散更新算法(DUAL Diffusing Update Algorithm)来快速达成聚合,运行EIGRP 路由器存放有相邻路由器路由选择表,所以能快速地适应路由改变, 若不存在适宜路由,EIGRP 查询其相邻路由器,以发觉一个不一样路由,这种查询传输一直连续到新路由发觉为止。n 变长子网掩码EIGRP包含全支持变长子网掩码,子网路由 自动聚集到一个网络号边境上,除此之外,EIGRP 能被配置集中在任意接口
26、任意位边界上。n 部分、界限修改EIGRP路由并不周期性地作修改,只是当 某路由计量发生改变时,才发送部分更新。自动更新信息是自动定义其边界,所以只有那些需要这类信息路由器才修 改其路由表,因为EIGRP 含有这两种功效,所以它比IGRP、OSPF 消耗频宽更少。n 支持多个网络层EIGRP 支持Appletalk、IP和NOVELL 等 多个协议。 3.4、 静 态 路 由 协 议 以上我们介绍均为动态路由协议,当然还有另外一个路由 协议便是静态路由协议。静态路由协议是由网络系统管理员人工定 制,需要制出一切所需路由。其优点为不会产生动态路由所特 有路由信息广播或路由信息、更新或HELLO
27、从而不会在系统资 源:内存、CPU、带宽等方面制成额外开销。但其缺点为会给系统管理员管理工作带来大量工作,其次,因为路由是静态因 而不能适应网络动态改变需要而改变路由。 在上面介绍中我们能够看出,作为一个大型综合企业网内 部路由协议可供选择实际上有静态路由、IGRP、EIGRP和OSPF。而当我们进行一个大型网络IP协议选择时,需考虑以下两方面原因: 网络路由聚合时间网络路由环境可维护性3.5 动态路由比较EIGRP是Cisco企业开发一个优异路由技术,它结合了距 离向量( DV )协议和连接状态( LS )协议优点,采取了扩散更新算法(DUAL Diffusing Update Algori
28、thm)达成网络快速收敛。EIGRP 支持层次化和平面网络结构,支持VLSM 网络地址分配,可在任意位边界对直接相连网络进行路径叠合,只有在网络改变时 EIGRP才发送路由表更新信息,所以广域网带宽浪费极少,DUAL Diffusing Update 算法使其含有最好收敛性,EIGRP 采取五维参数来决定最好路径:带宽、时延、可靠性、线路负载和最大数据包尺寸,不一样带宽平行线路可负载平衡地同时传输数据 。它采取模块化软件支持IP、IPX 和AT 协议。OSPF是标准、基于最短路径优先( 连接状态) 、能快速收敛路由协议,它只适适用于IP 协议。 OSPF 网络拓朴必需是层次结构,分骨干域和边缘
29、域,在设计OSPF网络时最关键是域边界定义地址分配,域边界定义决定了哪些路由器和连接包 括在骨干域中,哪些包含在每一个下连域中。OSPF 支持VLSM 地址分配,其路径叠合能力有限,必需在路由器中手工设置。在大型企业网络中,RIP 因为其固有不足,它已被淘汰,最常见路由协议是OSPF 和EIGRP,它们比较以下: OSPF EIGRP 快速收敛 是 是 带宽利用率 高 高 内存使用 两 者 差 不 多 CPU使用 两 者 差 不 多 路由算法 dyjkstra DUAL 传输类型 Link State Distance Vector 路径叠合 有 限 任意边界 协议过滤 很有限 很强 rtg协
30、议速率调整 无 有 多个缺省路径 无 有 区域拓朴层次 必需要 不要 开放标准 是 不是 用户端可用 是 不是 保持邻居状态 是 是 改变只传输 不是 是 到 相 关 网 络 可用于多个 不是 是 L3 协 议 负载平衡传输 很有限 很强 网络可扩性 好 很好 从以上比较可看出,EIGRP 凝聚了距离矢量和链路状态两种 算法精华,避免了两种算法各自缺点,所以可达成最快速度 聚合。因为其采取DUAL 算法,而且只有网络拓扑改变影响到路由器才参与路由计算,仅只有拓扑改变影响到路由才进行广 播,所以EIGRP对CPU及网络带宽消耗全部将低于OSPF、IGRP、RIP 等路由协议。 在大型企业网络设计
31、中,除考虑线路带宽、延迟、可靠性等原因外,路由表大小、网络延展性、路由快速收敛一样是影响网络功效关键原因。3.5 动态路由协议选择对于大型企业网,平面结构路由协议(如RIP,IGRP)不能满足网络性能要求。我们推荐采取E-IGRP,OSPF路由协议,多于三层结构网络需采取BGP4网间网协议。OSPF协议是一层次化结构路由协议,可将大型网络分成若干区域。以下图: 区域划分可降低各路由器路由表尺寸;利于网络扩展;支持 VLSM,可经过路径叠合( summarization)优化地址设计和路由计算。 在OSPF协议中,Backbone 区域是中心主干区域(Area 0),主干区域路由器保持OSPF信
32、息,负责各路由区域间路由信息分配;跨接多个区域路由器为ABR(Area Border Router),其保持所连接区域路由信息,并完成路径叠合功效 (summarization);当网络大到需分成多个自主系统(AS)时,跨接AS 路由器为 ASBR,在一个自主系统中可依据上述方法选择路 由协议,而自主系统之间现在最好措施是采取BGP协议进行互 连。BGP最新标准是BGP4(RFC1654),它支持CIDR。在每个自主系统中要定义BGP PEER路由器,用于在自主系统之间交换路由信 息。对于OSPF区域划分标准为: 每个区域内路由器不超出100个; 每个路由器接口相邻路由器不超出60个; 每个路
33、由器所属区域不超出3个; 全部区域必物理地连接到主干区域;四、 企 业 广 域 网 链 路 选 择我们从理论上分析了大型企业网络层次结构和动态路由协议。通常企业租用ISP通信线路,根据设计好层次结构进行广域连接。在申请通信线路时要综合考虑企业业务需求、QOS、运行维护费用等多个原因。ISP提供多个通信链路来满足企业用户非实时网络应用需求,如X.25,DDN,帧中继,PSTN等。也能够选择拨号VPN技术,专线VPN技术。也可使用标识交换技术,MPLS技术等。选择通信类型要依据运行成本和运行效率综合考虑。对于广域网上实现语音、图像等多媒体应用广域网DDN,FrameRelay和ATM全部能实现,但
34、从运行费用和服务质量确保来看,采取ATM作广域链路是很好选择。现在,中国ISP没有开放ATM业务,但企业如有需要能够申请ATM服务。五、 企 业 园 区 局 域 网 设 计 (1)企业园区局域网络采取虚拟交换网络 从网络性价比来看,企业局域网络逻辑结构采取交换虚拟网技术已是大势所趋。交换虚拟网络是基于ATM和局域网交换机为平台技术,其目标是真正建立一个能够满足未来多媒体信息处理时代需要企业网络。从长远角度看,采取交换虚拟网络技术能够降低组建企业网成本、提升信息技术和企业发展适应能力。交换虚拟网能够满足企业网络在以下多个方面对计算机网络需求: 经过交换技术,向最终用户提供更高带宽。 能够向不一样
35、用户、不一样应用提供所需服务质量确保网络服务。 提供完整网络管理和控制系统,控制网络成本,尤其是隐含网络成本开销,比如网络管理、网络控制等方面开销。 在外围提供前面网络互连和系统集成方案,提供端到端处理方案,提升网络互连性和可靠性,降低网络扩展成本。 结构虚拟工作组网络以支持虚拟工作组工作。 (2)企业局域网络主干交换 企业局域网络主干作用就是互连网络各个部分,传输分布到网络各个部分数据流。主干网必需含有高效率、高可用性特征,在主干上任何一点不合理延迟全部是灾难性! 采取ATM交换技术能够提供边缘交换机之间高速连通性、可靠性和服务质量确保,和支持多个数据流类型,如IP、IPX、DECnet。利
36、用ATM技术高效拥挤控制和流量控制,高可用性和功效全方面网络控制,动态用户组管理及有效流量管理,满足大批量数据传输对带宽需求,同时满足多媒体应用对不一样类型信息流和不一样服务质量需求。 采取千兆以太网技术能够提供极高网络主干带宽,并融合传统以太网技术和交换技术,给终端用户提供满足应用需求带宽。即使在带宽上满足终端用户需求,但在网络流量管理上和服务质量上不及ATM。 企业局域网络还能够采取第三层或第四层交换技术,以满足网络主干在性能上需求。 (3)企业园区楼宇网络设计企业园区楼宇设计必需基于建筑物内已经有或可能设置布线结构进行设计,同时要考虑每个楼宇内信息资源中心设置,局域网之间数据通信类型和可
37、能通信量,局域网之间需要设置安全访问控制策略,确定网络互连模式和结构。楼宇内设计采取路由互连技术、ATM交换互连网技术和虚拟局域网组网技术。楼宇网络设计需要考虑以下问题: 楼宇内部假如没有干扰,而且传输距离在100米之内,通常采取双绞线作为网络传输媒体。假如楼宇内部有电磁干扰,能够采取光纤作为传输媒体。假如楼宇内部传输距离大于100米,能够采取互连设备级联,也能够采取光纤作为传输媒体。 在采取同一局域网技术工作组网络互连时,假如能够共享带宽,而且无安全控制需要,只是因为工作组网络覆盖距离不够,则能够采取级联集线器方法扩展网络。 在采取同一个局域网技术工作组网络互连时,假如各个工作组需要独立传输
38、带宽,则经过局域网交换机连接。 采取不一样局域网技术工作组网络互连时,假如互连工作组网络较少,各个工作组之间无需提供安全访问控制,而且,各个工作组网络之间需要提供快速连接,则采取支持多个局域网接口交换机。 采取不一样局域网技术工作组网络互连时,假如互连工作组网络数量较多,各个工作组网络内部有较大广播报文,或工作组网络之间需要有较为严格安全访问控制,且在工作组之间没有多媒体应用,则采取路由器互连各个工作组网络。 假如工作组站点地理分布,和其它工作组网络站点地理分布反复,则需要在同一地理区域采取同一局域网交换机连接不一样工作组网络站点,经过交换机组成符合工作组划分虚拟网络。 对于含有多媒体应用点到
39、点站点网络服务质量确保传输信道,采取ATM技术,到桌面采取25M ATM连接。 服务器设备接入:采取光纤155M ATM接入或光纤100M以太网接入。关键终端用户采取光纤接入关键交换机,实现安全传输。 (4)企业园区虚拟局域网 网络厂商相继开发了“开放”互联技术VTP(VLAN Trunking Protocol),支持标准是ISL、802.1Q,MPLS。ATM交换机和局域网交换机为虚拟局域网提供了基础平台。虚拟局域网为企业局域网络带来三个好处是: 在最大程度地降低对路由器依靠基础上,有效地控制局域网内广播流量,提升站点传输效率。 降低因为网络站点增加、移动和更改而增加网络维护成本。 业务部
40、门工作组逻辑组合更为灵活。 在VLAN划分中,全部和“群组”这个概念相关。群组是指局域网交换机一个集合。每个交换机支持群组数目有一定限制。所以,在网络计划时,必需考虑业务部门逻辑工作组数量,并选择对应交换机型号,使得交换机VLAN数量和处理性能满足业务应用需要。一个群组能够包含全网中不一样交换机端口,每个群组能够看作是一个独立通信域。假如不使用路由功效,则一个群组中通信量不能转发到另一个群组中,群组特征以下: (1)一个群组是一个广播域; (2)一个群组是交换机物理端口集合; (3)群组能够跨越多个交换机; (4)群组不能相互重合,即每个端口只能属于一个群组; (5)群组之间帧能够经过路由转发
41、; (6)同一群组中不一样VLAN帧也能够经过路由转发。 群组概念实际上是基于以端口为基础VLAN。还有其它类型VLAN划分: (1)基于MAC地址VLAN划分,这种VLAN划分方法灵活,但管理复杂; (2)基于协议规则VLAN划分,把含有相同第三层协议网络站点归并成一个VLAN。这些站点连接交换机端口组成一个广播域,以降低在同一网络环境下不一样协议栈之间相互干扰。选择不一样协议类型组成不一样VLAN:1、全部IP协议流量;2、全部IPX协议流量;3、全部DECnet协议流量;全部AppleTtalk流量;4、全部指定以太类型流量;5、全部携带指定源点和目标点SAP(服务访问点)报头流量;6、
42、全部携带指定SNAP(子网访问协议)类型流量。 (3)基于网络地址VLAN。 用IP地址和IP网络掩码划分网段。 (4)基于用户定义规则VLAN。六、 企 业 网 络 和 外 网 连 接企业网络和外网连接发生在企业网络各个层次上,其中包含Internet接入等。我们称企业内部网为内网,企业外部网为外网。显然,内网和外网间加装防火墙。通常,内网和外网间采取静态路由或缺省路由。内网和外网信息访问经过防火墙进行过滤。内网和外网连接以下图所表示:七、 企 业 网 络 安 全 访 问 控 制 机 制7.1企业安全系统设计目标是:(1)防范黑客攻击、计算机犯罪和有害信息传输(包含计算机病毒)(2)加强应用
43、和数据安全建立安全管理制度,注意内外兼防,关键在内部 7.2安全框架安全方案科学性、可行性是其顺利实施保障。安全方案必需架构在科学安全框架之上。安全框架是安全方案设计和分析基础。美国国防部DISSP(Defense Wide Information System Security Program)计划中提出三维安全框架结构,是实际上标准,反应了信息系统安全需求和体系结构共性。其简化版本说明以下(安全框架是一个三维结构): 第一维(轴)是安全特征,给出了七种安全属性;第二维(轴)是系统单元,给出了信息网络系统组成 ;第三维(轴)是结构层次,给出了国际标准化组织ISO开放系统互连(ISO)模型。网
44、络平台系统平台应用平台安全管理物理环境数据完整结构层次身份判别访问控制数据保密不可抵赖审计管理可用性、可靠性应用层表示层会话层传输层网络层链路层物理层安全特征系统单元安全框架具体模型和介绍以下:7.3安全方案制订依据安全框架制订安全方案具体思绪以下:确定安全方案包含系统单元,明确安全方案系统单元;确定安全方案系统单元在各个层次结构安全特征。安全方案组成以下:网络平台安全方案系统平台安全方案应用平台安全方案物理环境安全安全管理方案7.4网络平台安全方案7.4.1网络系统方案功效关键点 1)访问控制。经过对特定网段、服务建立访问控制体系,将绝大多数攻击阻止在抵达攻击目标之前。检验安全漏洞。经过对安全漏洞周期检验,即使攻击可抵达攻击目标,也可使绝大多数攻击无效。攻击监控。经过对特定网段、服务建立攻击监控体系,可实时检测出绝大多数攻击,并采取对应行动(如断开网络连接、统计攻击过程、跟踪攻击源等)。 2)加密通讯。主动加密通讯,可使攻击者不能了解、修改敏感信息。 3)认证。良好认证体系可预防攻击者假冒正当用户。 4)备份和恢复。良好备份和恢复机制,可在攻击造成损失时,立即地恢复数据和系统服务。 5)多层防御。攻击者在突破第一道防线后,延缓或阻断其抵达攻击目标。 6)隐藏内部信息。使攻击者不能了解系统内基础情况。
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100