搜索
第5章网络规划与设计基础学习概述组建计算机网络是一项涉及面广、技术复杂、专业性很强的系统集成工程,包括选择网络拓扑结构、硬件设备、软件系统、结构化综合布线、成本分析、网络实施和网络管理及维护等内容。网络系统规划设计是根据用户的需求及具体情况,结合现实网络技术的发展水平及产品化程度,经过充分的需求分析和市场调研,从而确定网络建设方案,依据方案有步骤、有计划地实施网络建设的活动。知识要点网络规划与设计的基本原则网络规划与设计的具体环节网络工程结构化综合布线网络规划的典型应用结构化布线系统的测试网络设备的测试网络系统的测试网络规划网络规划任务:网络规划的主要任务是对一些指标给出尽可能准确的分析和评估,包括需求分析、网络规模、网络结构、网络管理、网络扩展、网络安全及外部网络的互联等方面。网络规划1、网络需求分析网络需求指明必须实现的网络规格参数。它描述了网络系统的行为、特征或属性,是在设计实现网络系统过程中对系统的约束。需求分析从当前业务中找出最需要重视的方面,从已经运行的网络中找出最需要改进的地方,满足客户提出的各种合理要求,依据客户要求修改已经成形的方案。网络需求分析1.应用背景分析2.业务需求分析3.管理需求分析4.安全性需求分析5.通信量需求分析6.网络环境需求分析网络规划2、系统可行性分析可行性分析的目的是用最小的代价在尽可能短的时间内确定现有系统存在的问题是否能够解决。可行性分析是结合用户单位的具体情况,论证建网目标的科学性和正确性,做出系统开发和建设的可行性报告。一般来说,应从经济可行性、技术可行性、运行可行性和开发方案可行性等方面分析可行性。系统可行性分析1.经济可行性2.技术可行性3.运行可行性4.法律可行性5.开发方案可行性可行性分析的目录网络规划3、网络扩展性分析网络的扩展性有两层含义,其一是指新的部门能够简单地接入现有网络;其二是指新的应用能够无缝地在现有网络上运行。扩展性分析要明确以下指标:①企业需求的新增长点有哪些?②已有的网络设备和计算机资源有哪些?③哪些设备需要淘汰,哪些设备还可以保留?④网络节点和布线的预留比率是多少?⑤哪些设备便于网络扩展?⑥主机设备的升级性能?⑦操作系统平台的升级性能?网络系统方案设计网络系统方案设计网络系统方案设计就是在可行性研究和需求分析的基础上,根据总体设想制定出网络实现的技术方案。网络系统方案设计包括网络拓扑结构的设计、网络主要设备的选型、系统的结构化布线、网络操作系统的选择、应用软件的集成与开发等。在设计工作完成后,要形成设计报告。该报告作为网络实现管理、维护、升级等的基础或基本框架。1、网络模式设计1)群组模式这是一种在办公室环境中用局域网技术组织计算机网络的模式,该模式的特点是用少量计算机组成一个小型局域网,提供属于办公室专用的网络平台。该模式下也可以通过电话等连接若干个远程站点,接受指定用户的访问。1、网络模式设计2)部门模式属于一个部门范围内的局域网组网模式,在部门模式中存在多个相对独立的分属于不同专业群组的局域网,各网络又通过交换机和路由器进行互连,构建成主干网。3)企业模式大中型企业的网络由多个部门模式的网络通过路由器互连组成。这些部门网络通过公共网络、专网进行互连以达到各个站点共享资源和相互通信的目的。2、网络体系结构设计网络体系结构设计主要内容:①确定网络的层次结构;②并确定各层采用的协议;3、网络拓扑结构设计层次模型核心层,提供站点之间的最佳传输。分布层,提供基于策略的连接。访问层,提供工作组/用户到网络的访问。©2000,CiscoSystems,Inc.—2-6NetworkStructureDefinedbyHierarchyNetworkStructureDefinedbyHierarchyDistributionLayer分布层CoreLayer核心层AccessLayer访问层©2000,CiscoSystems,Inc.—2-6NetworkStructureDefinedbyHierarchyNetworkStructureDefinedbyHierarchyDistributionLayer分布层CoreLayer核心层AccessLayer访问层核心层是网络的高速交换主干,对协调通信至关重要。核心层有以下特征:•提供高可靠性•提供冗余度•提供故障隔离•迅速适应升级•提供较少的滞后和好的可管理性•有有限和一致的直径(diameter)©2000,CiscoSystems,Inc.—2-6NetworkStructureDefinedbyHierarchyNetworkStructureDefinedbyHierarchyDistributionLayer分布层CoreLayer核心层AccessLayer访问层网络的分布层是网络的访问层和核心层之间的分界点。分布层起着许多作用,如因安全性原因控制通过核心层的网络通信等。分布层通常用于描述广播域。如果想计划实现一个虚拟局域网,分布层可以配置为VLAN之间的路由。©2000,CiscoSystems,Inc.—2-6NetworkStructureDefinedbyHierarchyNetworkStructureDefinedbyHierarchyDistributionLayer分布层CoreLayer核心层AccessLayer访问层访问层为用户提供对网络中的本地网段(segment)的访问。在校园环境里的交换和共享带宽LAN体现访问层的特点。使用LAN交换的微段(microsegmentation),通过在Ethernet网段上划分冲突域,减少在令牌环LAN捕获令牌的站点数,来为工作组提供高带宽。层次模型示例“轮毂─轮辐”(hub-and-spoke)结构层次模型示例交换式层次设计示例层次模型示例路由式层次设计示例4、冗余网络设计冗余网络设计的基本思想就是通过重复设置网络链路和互连设备来满足网络的可用性需求。冗余是提高网络可靠性的最重要的方法,可以减少网络上由于单点故障而导致整个网络故障的可能性。冗余的目标是重复设置任何一个必须的组件,使得它的故障不会导致网上用户的关键应用程序的停止运行,而有时仅仅是性能的降低。4、冗余网络设计主机到路由器冗余服务器冗余路由冗余介质冗余5、网络安全设计网络安全设计就是根据网络安全的概念,对用户网络应用需求的进行评估,用科学的方法,对网络上的各种数据进行风险评估,然后选择适当的网络安全机制和方法。安全设计主要包括网络层安全、系统安全、客户安全、应用程序安全和数据安全。网络安全设计的一般步骤如下:①确定网络资源,分析网络资源的安全性威胁,分析安全性需求和折中方案;②开发安全性方案,定义安全策略;③开发实现安全策略,选用适当的技术实现安全策略;④得到用户认可,培训用户,实现技术策略;⑤测试安全性发现问题并改正;⑥通过制定周期性的独立审计,阅读审计日志,响应突发事件,阅读最后的文献,不断测试和培训,更新安全计划和策略。网络安全攻击计算机网络上的通信面临以下的四种威胁:(1)截获——从网络上窃听他人的通信内容。(2)中断——有意中断他人在网络上的通信。(3)篡改——故意篡改网络上传送的报文。(4)伪造——伪造信息在网络上传送。截获信息的攻击称为被动攻击,而更改信息和拒绝用户使用资源的攻击称为主动攻击。对网络的被动攻击和主动攻击截获篡改伪造中断被动攻击主动攻击目的站源站源站源站源站目的站目的站目的站被动攻击和主动攻击在被动攻击中,攻击者只是观察和分析某一个协议数据单元PDU而不干扰信息流。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。更改报文流拒绝报文服务伪造连接初始化(1)防止析出报文内容;(2)防止通信量分析;(3)检测更改报文流;(4)检测拒绝报文服务;(5)检测伪造初始化连接。计算机网络通信安全的目标有可能发生分组丢失网络安全服务安全服务包括以下几个方面:①机密性,确保在一个计算机系统中的信息和被传输的信息仅能被授权用户得到。②鉴别,确保通信的接收方能够验证所收到的报文(发送者和报文内容、发送时间、序列等)的真伪。③完整性,确保仅有授权用户能够修改计算机系统有价值的东西和传输的信息。修改包括对传输的消息的写、改变、改变状态、删除、创建和时延或重放。④认可,要求无论发送方还是接收方都不能抵赖所进行能够的传输。⑤访问控制,要求对信息源的访问可以由目标系统控制。⑥便利性,要求计算机系统的有用资源当需要就可以为授权用户使用。网络风险评估风险管理包括物质的、技术的、管理控制及过程活动的范畴,根据此范畴可得到合理的安全性解决方案。对计算机系统所受的偶然或故意的攻击,风险管理管理试图达到最有效的安全防护。一个风险管理程序包括四个基本部分:风险评估、安全防护选择、确认和鉴定及应急措施。网络安全性的折衷方案“如果一个黑客入侵了企业网,保护该网络的费用是否比恢复的费用要少?”费用应当包括不动产、名誉、信誉和其他一些潜在财富。网络安全性的折衷方案“如果一个黑客入侵了企业网,保护该网络的费用是否比恢复的费用要少?”要到达安全性目标意味着需要进行折衷。折衷必须在安全性目标和可购买性、易用性和可用性目标之间做出权衡。网络安全性的折衷方案“如果一个黑客入侵了企业网,保护该网络的费用是否比恢复的费用要少?”要到达安全性目标意味着需要进行折衷。折衷必须在安全性目标和可购买性、易用性和可用性目标之间做出权衡。安全管理还会影响网络性能。网络安全性的折衷方案例如采用分组过滤和数据加密等安全功能要消耗主机、路由器和服务器上的资源。加密可能要占用一个路由器或服务器15%的CPU资源。当然加密可以在专用设备上完成,但这仍然会对网络性能产生影响,因为数据分组在加密解密过程中产生了时延。另一个例子就是,如果在网络安全方案设计时使用了多重防火墙机制,就可能造成网络功能的紊乱甚至完全不能通信。网络安全性的折衷方案为了对网络信息进行加密,往往需要减少网络冗余。如果所有的通信都必须经过一个加密设备,该设备就会成为单故障点,从而使其很难满足可用性目标,也很难提供负载平衡。只有所有路由器都透明地提供加密时,才可以使用负载均衡。在一对提供加密的路由器之间的设备可以提供负载均衡。开发安全方案、开发安全策略和开发安全过程安全设计的第一步是开发安全方案。安全方案是一个总体文档,它指出一个机构怎样做才能满足安全性需求。文档详细说明了时间、人员和其他开发安全规则所需要的资源。作为网络设计者,方案必须基于客户的目标,并对网络资产及受到的威胁进行分析。安全方案应当参考网络拓扑结构,并包括一张它所提供的网络服务列表。在列表中应当说明谁提供了服务,谁能访问服务,如何提供这些服务和谁管理这些服务等。应当避免过度复杂的安全策略,因为这会导致自相矛盾。复杂的安全策略几乎不可避免地存在安全漏洞。开发安全方案、开发安全策略和开发安全过程安全策略是一份所有访问机构的技术和信息资源的人员都必须遵守的规则。安全策略规定了用户、管理人员和技术人员保护技术和信息资源的义务,同时也指明了完成这些义务要通过的机制。与安全方案一样,安全策略也要得到用户、管理人员和技术人员的认可。安全策略是一个不断变换的文档。因为机构不断变换,安全策论也必须定期更换,以适应业务方向的调整和技术的变化。开发安全方案、开发安全策略和开发安全过程安全策略应当包括以下几个方面的内容:1.访问策略,定义访问权限和特权。2.责任策略,定义用户、操作人员和管理层的责任。3.鉴别策略,通过有效的口令策略建立信任,并建立远程位置鉴别原则。4.计算机技术购买策略,规定计算机系统和网络的购买、配置和审计要与安全策略相符合。结构化布线系统结构化布线就是指建筑群内的线路布置标准化、简单化、统一化。结构化综合布线则是将建