網絡設備配置與調試案例教程 課件 第一章1.1 網絡規(guī)劃與設計知識

主講人：萬鵬第一章

網絡規(guī)劃與設計網絡設備配置與調試案例教程CONTENTS教學目標

本章講解網絡規(guī)劃與設計知識，并對實際項目進行了分析、設計和模擬實現(xiàn)。【知識目標】

?掌握網絡規(guī)劃與設計的基礎知識。

?了解和掌握網絡工程分析的一般過程。

?掌握網絡需求分析的方法。

?掌握網絡規(guī)劃的原則、網絡規(guī)劃流程和網絡生命周期。

?掌握網絡設備配置中IP地址方案的規(guī)劃、分析與制定?！炯寄苣繕恕?/p>

?能夠進行網絡工程需求分析。

?能夠進行網絡IP地址設置。

?具備大、中、小型網絡方案的規(guī)劃設計能。CONTENTS1.1網絡規(guī)劃與設計知識1.21.31.4網絡IP地址規(guī)劃與分配網絡規(guī)劃與設計實訓項目網絡規(guī)劃與設計項目訓練1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

網絡工程是一項復雜的系統(tǒng)工程，涉及技術問題、管理問題等，必須遵守一定的系統(tǒng)分析和設計方法。實施網絡工程的首要工作就是要進行網絡規(guī)劃，深入細致的網絡規(guī)劃是成功構建網絡的前提。缺乏規(guī)劃的網絡必然是失敗的網絡，其穩(wěn)定性、擴展性、安全性和可管理性是無法保證的。通過科學合理的規(guī)劃能夠用最低的成本建立最佳的網絡，達到最高的性能，提供最優(yōu)的服務。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程1.1.1網絡規(guī)劃的基本原則

一般來說，在網絡工程設計前要對主要規(guī)劃設計原則進行選擇和平衡，并且應將這一步安排在其他方案設計之前，規(guī)劃設計原則的選擇與平衡對網絡工程的規(guī)劃和設計具有指導意義。網絡規(guī)劃原則要體現(xiàn)對用戶網絡技術和服務的全面支持。這些原則應該以用戶為中心，包括以下7個方面。1.可靠性原則

網絡應具有容錯功能，管理、維護方便，網絡的設計、選型、安裝和調試等各個環(huán)節(jié)都應進行統(tǒng)一的規(guī)劃和分析，確保系統(tǒng)運行可靠，這一可靠性原則需從設備本身和網絡拓撲兩方面考慮。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程2.可擴展性原則

為了保證用戶的已有投資以及用戶不斷增長的業(yè)務需求，網絡和布線系統(tǒng)必須具有靈活的結構，并留有合理的擴充余地，既能滿足用戶數(shù)量的擴展，又能滿足因技術發(fā)展需要而實現(xiàn)低成本的擴展和升級的需求。這需從設備性能、可升級能力和IP地址規(guī)劃和路由協(xié)議規(guī)劃等方面考慮。3.可運營性原則

網絡僅僅提供IP級別的連通是遠遠不夠的，還應能夠提供豐富的業(yè)務，足夠健壯的安全級別，以及對關鍵業(yè)務的QoS保證。搭建網絡的目的是真正能夠給用戶帶來效益。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程4.可管理原則

網絡應提供靈活的網絡管理平臺,利用這個平臺實現(xiàn)對系統(tǒng)中各種類型的設備統(tǒng)一管理，包括對設備進行拓撲管理、配置備份、軟件升級，實時監(jiān)控網絡中的流量及異常情況等。5.實用性原則

計算機設備、服務器設備和網絡設備在技術性能逐步提升的同時，價格卻在下降。因此，不可能也沒必要實現(xiàn)所謂“一步到位”。因此，網絡方案設計中應把握“夠用”和“實用”的原則。網絡系統(tǒng)應采用成熟可靠的技術和設備,達到實用、經濟和有效的目的。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程6.安全性原則

在企業(yè)網、政府行政辦公網、國防軍工內部網、電子商務網站以及VPN（VirtualPrivateNetwork虛擬專用網絡）等網絡方案設計中，應重點體現(xiàn)安全性原則，確保網絡系統(tǒng)和數(shù)據的安全運行。7.先進性原則

建設一個現(xiàn)代化的網絡系統(tǒng)，應盡可能采用先進而成熟的技術，應在一段時間內保持其主流地位。網絡系統(tǒng)應采用當前較先進的技術和設備，符合網絡未來發(fā)展的潮流。但是要注意太新的技術也有其不足之處：一是不成熟；二是標準還不完備；三是價格高；四是技術支持力量不足。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程1.1.3網絡規(guī)劃的相關理論知識1.網絡規(guī)劃的主要步驟

1）需求分析需求分析是從軟件工程和管理信息系統(tǒng)引入的概念，是任何一個工程實施的第一個環(huán)節(jié)，也是關系到一個網絡工程成功與否的最重要砝碼。如果網絡工程應用需求分析做得透，網絡系統(tǒng)體系結構架構得好，網絡工程方案的設計就會贏得用戶青睞，網絡工程實施及網絡應用實施相對就容易得多。反之，如果網絡工程設計方沒有對用戶方的需求進行充分調研，不能與用戶方達成共識，那么隨意的需求更改就會貫穿整個工程項目的始終，破壞工程項目的計劃和預算。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

從事信息技術行業(yè)的技術人員都清楚，網絡產品與技術發(fā)展非?？?，通常是同一檔次網絡產品的功能和性能在提升的同時，產品的價格卻在下調。因此，網絡工程設計方和用戶方在論證工程方案時，也會一再強調工程性價比。

需求分析階段主要完成對用戶方網絡系統(tǒng)的調查,了解用戶方建設網絡的需求，或用戶方對原有網絡升級改造的要求。需求分析包括以下6個方面：用戶建網的目的和基本目標:了解用戶需要通過組建網絡解決什么樣的問題，用戶希望網絡提供哪些應用和服務。網絡的物理布局。充分考慮用戶的位置、距離、環(huán)境，并到現(xiàn)場進行實地查看。用戶的設備要求和現(xiàn)有的設備類型。了解用戶數(shù)目、現(xiàn)有物理設備情況以及還需配置設備的類型、數(shù)量等信息。通信類型和通信負載。根據數(shù)據、語音、視頻及多媒體信號的流量等因素對通信負載進行估算。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程⑤

網絡安全程度。了解網絡在安全性方面的要求，以便根據需要選用不同類型的防火墻以及采取必要的安全措施。⑥

網絡總體設計。網絡總體設計是網絡設計的主要內容，是網絡建設質量的關鍵，包括局域網技術選型、網絡拓撲結構設計、地址規(guī)劃、廣域網接入設計、網絡可靠性與容錯設計、網絡安全設計和網絡管理設計等。2）綜合布線系統(tǒng)規(guī)劃

綜合布線系統(tǒng)規(guī)劃是網絡工程的基礎工程。綜合布線系統(tǒng)是一種模塊化的、靈活性極高的建筑物內或建筑群之間的信息傳輸通道，設計時要注意其應符合樓宇管理自動化、辦公自動化、通信自動化和計算機網絡化等多種需要，能支持文本、語音、圖形、圖像、安全監(jiān)控、傳感等各種數(shù)據的傳輸，支持光纖、UTP、STP和同軸電纜等各種傳輸介質，支持多用戶多類型產品的應用，支持高速網絡的應用。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

3）設備選型

在完成需求分析、網絡設計與規(guī)劃之后，就可以結合網絡的設計功能要求選擇合適的傳輸介質、集線器、路由器、服務器、網卡、配套設備等各種硬件設備。硬件設備選型應遵從以下原則：必須綜合考慮網絡的先進性、合理性、擴展性和可管理性等要素；設備既要具有先進性，又要具有可擴展性和技術成熟性。

因此，對所選設備既要看其可擴充性和內核技術的成熟性，還要求其具備較高的性能價格比。同時，在設計方案中應對設備產品的主要技術性能指標做詳細的分析。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

4）系統(tǒng)軟件及應用系統(tǒng)規(guī)劃

目前國內流行的網絡操作系統(tǒng)有WindowsServer2012、Linux(CentOS、Ubuntu)和UNIX等，它們的應用層次各有不同。UNIX主要應用于高端服務器環(huán)境，其操作系統(tǒng)的安全性能級別高于其他操作系統(tǒng)。UNIX通常被用在系統(tǒng)集成的后臺，用于管理數(shù)據服務。系統(tǒng)集成前臺或者一般的局域網環(huán)境可采用Linux和WindowsServer2012等網絡操作系統(tǒng)，具體選用哪種操作系統(tǒng)，還要根據用戶的應用環(huán)境來確定。另外，還要根據網絡操作系統(tǒng)及相關應用環(huán)境來選擇數(shù)據庫系統(tǒng)等系統(tǒng)軟件。

一般的網絡系統(tǒng)的基本應用包括數(shù)據共享、門戶網站、電子郵件和辦公自動化系統(tǒng)等。不同性質的用戶需求也不盡相同，如校園網的網絡教學系統(tǒng)和數(shù)字化圖書館系統(tǒng)、企業(yè)的電子商務系統(tǒng)、政府的電子政務系統(tǒng)等。目前的應用系統(tǒng)都是基于服務器的，有C/S（客戶機/服務器模式）和B/S（瀏覽器/服務器模式）兩種模式。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

5）投資預算

網絡投資預算包括硬件設備、軟件購置、網絡工程材料、網絡工程施工、安裝調試、人員培訓和網絡運行維護等所需的費用。需要仔細分析預算成本，在滿足應用需求的同時，把成本降到最低。

6）制訂工程實施步驟

根據用戶的網絡應用需求和用戶投資情況，分期分批制訂網絡基礎設施建設和應用系統(tǒng)開發(fā)的工作安排。

7）培訓方案

計算機網絡是高新技術，建設單位不一定有足夠的技術人員。為了讓用戶能夠管理好、使用好計算機網絡系統(tǒng)，在設計方案時，必須列出詳細的網絡管理與維護人員的技術培訓計劃。

8）測試與驗收

網絡系統(tǒng)的測試與驗收是保證工程質量的關鍵步驟。測試與驗收包括開工前的檢查、施工過程中的測試與驗收、竣工測試與驗收3個階段。通過各個階段的測試與驗收，可以及時發(fā)現(xiàn)工程中存在的問題，并由施工方立即糾正。測試與驗收一般由用戶方、設計方、施工方和第三方人員組織。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程2.系統(tǒng)集成的重要內涵

1）應用集成

系統(tǒng)集成首先要做到的是應用集成。系統(tǒng)集成商要深入地了解用戶的實際需求，協(xié)助用戶進行系統(tǒng)可行性分析、需求分析、總體方案設計、數(shù)據庫組織管理等，對用戶的需求重點、歷史情況、行業(yè)特點及投資預算都需有一個完整的了解，并將這些信息有機地體現(xiàn)在系統(tǒng)集成方案中。

2）產品功能集成

在應用集成的基礎上，為保證用戶的應用在有限資金預算內得以順利實現(xiàn)，系統(tǒng)集成商需給出一個完整的軟硬件產品清單，從型號、功能、價格到選擇理由都需有清楚的說明，并且最好是有過使用該類產品的實際經驗。系統(tǒng)集成商會有很多的選擇，但不管如何配置，必須遵循兩條原則，下限是滿足用戶的需求，上限是在保證資金預算內。在這個范圍內系統(tǒng)集成商之間就設備及價格的競爭才是有意義的。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

3）技術集成

設備采購清單不等于系統(tǒng)集成，對用戶的需求支持及設備的技術支持是一個系統(tǒng)集成商真正的技術集成。用戶最終需要的不是設備的陳列，而是系統(tǒng)的良好運轉。

因此，一個好的系統(tǒng)集成商應該能向用戶提供全面的應用集成、產品功能集成及技術集成服務。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程1.1.3網絡規(guī)劃的相關實踐知識

以太網技術是目前局域網設計的主要選擇。當然在一些特殊場合還可能用到FDDI（光纖分布式數(shù)據接口）、ATM（異步傳輸模式）或者幾種技術的混合應用。網絡技術的發(fā)展比較迅速，因此，在進行局域網設計時要考慮網絡升級時還能夠使用現(xiàn)有的網絡技術和產品，否則將會帶來極大的資金浪費。

目前使用的以太網主要有10Mb/s、100Mb/s、1Gb/s和10Gb/s4種。一般來說，連接桌面的網絡大多是1000Mb/s以太網，網絡主干的選擇應根據用戶的計算機及網絡的應用水平、業(yè)務需求、技術條件和費用預算等，選擇合理的以太網技術，目前校園網絡的主干技術大多已選擇10Gb/s以太網技術，從而形成了10Gb/s、1Gb/s、100Mb/s的分層網絡結構。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程1.網絡基本結構大型網絡的設計是把整個計算機網絡劃分為核心層、匯聚層和接入層，如圖所示。網絡層次劃分1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

接入層：通常將網絡中直接面向用戶連接或訪問網絡的部分稱為接入層。接入層目的是允許終端用戶連接到網絡，提供了帶寬共享、交換帶寬、MAC層過濾和網段劃分等功能。同時優(yōu)先級設定和帶寬交換、接入控制等優(yōu)化網絡資源的設置也在接入層完成。

接入層的主要任務：?對匯聚層的訪問控制和策略進行支持。?建立獨立的沖突域。?建立工作組與匯聚層的連接。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

匯聚層：位于接入層和核心層之間的部分稱為分布層或匯聚層。匯聚層網絡組件完成了數(shù)據包處理、過濾、尋址、策略增強和其他數(shù)據處理的任務。

匯聚層的主要任務：?為接入層提供基于策略的連接，例如地址合并、協(xié)議過濾和路由器。?通過網段劃分與網絡隔離，可以放置某些網段的蔓延問題，或者影響到核心層。?提供接入層虛擬網直接的互連，控制和限制接入層對核心層的訪問，保證核心層

的安全和穩(wěn)定。?在路由選擇域之間重分布（redistribution,在兩個不同路由選擇協(xié)議之間）。?在靜態(tài)和動態(tài)路由選擇協(xié)議之間的劃分。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

核心層：網絡主干部分稱為核心層。核心層的主要目的在于通過高速轉發(fā)通信，提供可靠的骨干傳輸結構，因此核心層交換機應擁有更高的可靠性，更快速率的鏈路連接技術，并且能快速適應網絡的變化。性能和吞吐量應根據不同層次用不同的要求設計網絡，并且使用冗余組件來設計，在與匯聚層交換機相連時要考慮采用建立在生成樹基礎上的多鏈路冗余連接，以保證與核心層交換機之間存在備份連接和負載均衡，完成高帶寬、大容量網絡層路由交換功能。

核心層的主要任務：?提供高可靠性。?提供冗余鏈路。?提供故障隔離。?迅速適應升級。?提供較少的滯后和好的可管理性。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程2.地址分配設計

1）IP地址分配和管理應遵循的原則?唯一性。分配的IPv6地址必須保證在全球范圍內是唯一的，以保證每臺主機都能被

正確地識別。?可記錄性。已分配出去的地址塊必須記錄在數(shù)據庫中，為定位網絡故障提供依據。?可聚集性。地址空間應該盡量劃分層次，以保證聚集性，縮短路由表長度，并且對

地址的分配要盡量避免地址碎片的出現(xiàn)。?節(jié)約性。地址申請者必須提供完整的書面報告，證明其確實需要這么多地址。分配

的同時，應該避免連續(xù)出現(xiàn)間斷的情況。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程?公平性。所有團體無論其所處地理位置或所屬國家，都具有公平地使用IPv4全球單播

地址的權利。?可擴展性?？紤]到網絡的高速增長，必須在一段時間內留給地址申請者足夠的地址

增長空間，而不需要其頻繁地向上一級組織申請新的地址。

2）IP地址的劃分方法

?根據地理范圍進行劃分，為在地理上屬于同一范圍的所有子網分配共同的網絡前綴。

?根據組織范圍進行劃分，為屬于同一組織的所有團體分配共同的網絡前綴。

?根據服務類型進行劃分，為預定義好的服務（如VoIP,QoS等）分配特定的網絡前綴。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程3.網絡性能設計

網絡性能設計的目標是使網絡系統(tǒng)能夠滿足用戶應用對網絡各個方面的需求。為了避免網絡建成后可能出現(xiàn)的各種性能問題，網絡的可靠性和冗余在設計中都要考慮周到。冗余設計有以下幾種方法。1）增加線路、設備、部件，形成備份

硬件容錯方法之一是硬件堆積冗余，在物理級可通過元件的重復而獲得。

另一個硬件容錯的方法叫待命儲備冗余。該系統(tǒng)中共有M+1個模塊，其中只有一塊處于工作狀態(tài)，其余M塊都處于待命接替狀態(tài)。一旦工作模塊出了故障，立刻切換到一個待命模塊，當換上的儲備模塊發(fā)生故障時，又切換到另一儲備模塊，直到資源枯竭。

對于有人維護的系統(tǒng)，一有故障就能排除，兩模塊就能起到多模塊的作用，因此可以構成雙模冗余系統(tǒng)。在部件級和整機級可實現(xiàn)雙模結構。在整機級可采用雙機交替工作、雙機協(xié)同工作和修理不停機等工作方式。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程2）數(shù)據備份

為了更有效地利用信息，通常把常用的信息放在聯(lián)機的硬盤或磁盤陣列等設備上，組成聯(lián)機的資料庫，把不常用的但有時又要檢索的信息，放在聯(lián)機的后備設備如磁帶庫、光盤庫上。而大量的長時間不使用的信息，則保存在脫機介質上脫機備份。

①按備份的策略可分為完全備份、差分備份、增量備份和按需備份。完全備份對包括系統(tǒng)應用程序和數(shù)據庫等一個備份周期內的數(shù)據完全備份。

差分備份只備份上次完全備份以后有變化的數(shù)據。

增量備份只備份上次備份以后有變化的數(shù)據。

按需備份根據臨時需要有選擇地進行數(shù)據備份。

完全備份所需時間最長，但恢復時間最短，操作最方便，當系統(tǒng)中數(shù)據量不大時，適宜采用完全備份；但是隨著數(shù)據量的增大，可以采用所用時間更少的增量備份或差分備份。各種備份的數(shù)據值不同：完全備份>差分備份>增量備份。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

為防范風險，應當每天進行備份。在大多數(shù)組織中，最低的要求是一周進行一次完整的備份，之后每天再進行增量備份。至少一個月要對備份介質進行一次測試，以保證數(shù)據確實被正確保存了下來，這是最低要求。很多公司每天都進行完整的備份，并且一天就要進行多次備份。

②按備份介質存放的位置可分為本地備份和異地備份。

本地備份是在本地硬盤的特定區(qū)域備份文件。異地備份是指備份的數(shù)據存放在異地?？梢詫⑽募浞莸脚c計算機分離的存儲介質，如軟盤、Zip磁盤、光盤以及存儲卡等介質，以后轉移到異地，也可以通過網絡直接在異地備份。

考慮到本地環(huán)境安全性原因,常規(guī)數(shù)據備份一般要求一份數(shù)據至少應有兩個拷貝，一份放在生產中心，以保證數(shù)據的正?；謴秃蛿?shù)據查詢恢復，另一份則要移到異地保存。異地備份十分重要，以保證在本地出現(xiàn)災難后最低限度的數(shù)據恢復。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

③按備份后的數(shù)據是否可更改可分為活備份與死備份?；顐浞菔侵競浞莸娇刹翆懘鎯橘|，以便更新和修改。死備份是指備份到不可擦寫的存儲介質，以防錯誤刪除和別人有意篡改。

④按選擇的備份軟件的功能可分為動態(tài)備份與靜態(tài)備份。

動態(tài)備份利用軟件功能定時自動備份指定文件，或文件內容產生變化后隨時自動備份。靜態(tài)備份是指為保持文件原貌而進行人工備份。

為了有效地進行備份，應列出一份緊要系統(tǒng)的列表，然后對每一個系統(tǒng)可能遇到的風險和威脅進行分析，根據分析結果制定備份方式和策略。備份的目的是保障網絡系統(tǒng)的順利運行，在網絡出現(xiàn)故障甚至損壞時，能夠迅速地恢復。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

災難恢復在整個安全保障體系中占有重要的地位。災難恢復操作通常分為系統(tǒng)恢復和個別文件恢復兩類。

系統(tǒng)恢復：在服務器發(fā)生意外災難導致數(shù)據全部丟失、系統(tǒng)崩潰或是有計劃的系統(tǒng)升級、系統(tǒng)重組等，需要系統(tǒng)恢復。

個別文件恢復：個別文件恢復可能要比全盤恢復常見得多，利用網絡備份系統(tǒng)的恢復功能，很容易恢復受損的個別文件。只需瀏覽備份數(shù)據庫或目錄，找到該文件，觸動恢復功能，軟件將自動驅動存儲設備，加載相應的存儲媒體，然后恢復指定文件。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程3）雙機容錯系統(tǒng)

系統(tǒng)的容錯結構能夠提供系統(tǒng)連續(xù)運行的能力，任何單點故障不會引起系統(tǒng)停機。雙機容錯系統(tǒng)的一個CPU板出現(xiàn)故障時，其他CPU板保持繼續(xù)運行，這個過程對用戶是透明的，系統(tǒng)沒有受到絲毫影響，更不會引起數(shù)據的丟失，充分保證數(shù)據的一致性和完整性。4）三機表決系統(tǒng)

在三機表決系統(tǒng)中，三臺主機同時運行，由表決器根據三臺機器的運行結果進行表決，有兩臺以上的機器運行結果相同，則認定該結果為正確?，F(xiàn)在三機系統(tǒng)中較多采用的是將雙機備份和三機表決兩者結合起來的方式，當三機中的一臺壞掉后就當作雙機備份系統(tǒng)來用。

5）集群系統(tǒng)

均衡負載的雙機或多機系統(tǒng)就是集群系統(tǒng)（Clusting）。多服務器集群系統(tǒng)的主要目的是使用戶的應用獲得更高的速度、更好的平衡和通信能力，而不僅僅是數(shù)據可靠性很好的備份系統(tǒng)。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程

如圖所示的是一個計算機集群管理系統(tǒng)。三臺服務器通過以太網相連，并通過SCSI電纜分別接到磁盤陣列柜上，磁盤陣列柜作為3臺服務器的共享數(shù)據存儲設備。

三臺服務器分別作三個應用，其中服務器A用作Sybase，服務器B用作LotusNotes,服務器C用作Internet服務，這三個應用都安裝在磁盤陣列柜上。正常工作時，三臺服務器分別作各自的應用，并通過網鏈及SCSI鏈相互偵測工作狀態(tài)。當有一臺服務器發(fā)生故障時，另外兩臺服務器中工作量較小的一臺服務器自動接管發(fā)生故障的服務器的數(shù)據、用戶及應用進程。故障服務器恢復正常后，自動恢復到初始的正常狀態(tài)。計算機集群管理系統(tǒng)1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程4.網絡安全設計

網絡安全設計主要體現(xiàn)在4個方面：重要信息的保密性設計、網絡系統(tǒng)的安全性設計、數(shù)據安全設計和病毒防護設計。1）信息保密設計

在網絡操作系統(tǒng)或防火墻中建立網絡CA系統(tǒng)，構建基于PKI的鑒別及證書系統(tǒng)，為應用安全系統(tǒng)提供鑒別和證書及密鑰分發(fā)等基本安全服務，設置口令加密傳輸和對重要數(shù)據進行鏈路層數(shù)據加密措施。

在服務器設置監(jiān)測和自動恢復功能，并建立審計記錄，提供針對用戶網絡操作的監(jiān)視和統(tǒng)計，對用戶身份和活動進行審計，對信息資源的訪問進行控制及計費等。

在網絡交換及路由設備中設置三層交換協(xié)議，即路由功能，對不同網絡區(qū)域的用戶和不同網段的用戶進行身份和權限設置，對信息資源的訪問進行級別控制。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程2）網絡系統(tǒng)的安全設計

要解決外部網的用戶對系統(tǒng)的威脅、內部網用戶對系統(tǒng)的泄密等問題?？梢赃M行如下安全設計：?安全策略的制定、實施及修改。?抵御非法用戶對局域網的攻擊。?控制內部用戶對外部的訪問。?對網絡傳輸?shù)男畔热莸臋z查。?軟硬件防火墻的設置。?遠程用戶賬號和數(shù)據加密傳輸，以防外人竊取。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程3）數(shù)據安全設計

網絡控制中心服務器的性能好壞直接關系到網絡信息訪問速度及數(shù)據文件的安全。對數(shù)據安全部分采用雙機熱備份、磁盤冗余陣列（RAID）。磁帶機備份等多種手段，確保數(shù)據的安全。

雙機熱備份可釆用雙機雙控的服務器集群技術，保障操作系統(tǒng)及數(shù)據系統(tǒng)平臺的高可靠性、高安全性、高可用性和抗災難性。4）病毒防護設計

為了防止病毒對系統(tǒng)安全的威脅，選用性能優(yōu)越的網絡版殺毒軟件負責內部網絡系統(tǒng)服務器及單機的病毒防護、查殺工作。同時利用防火墻的設置對病毒的入侵進行有效的防范。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程5.網絡操作系統(tǒng)的選擇

在選擇網絡操作系統(tǒng)時，首先要分析系統(tǒng)未來運行的應用程序：是簡單短小的，還是龐大復雜的；系統(tǒng)是否需要較為嚴格的安全保密等。

以下是幾種網絡操作系統(tǒng)的特點：1）Linux

美國BanyanSystem公司的產品，其特點是安裝及管理簡單，可靠性高。支持對稱多處理技術，充分利用硬件處理能力，速度快。對于一臺服務器上的并發(fā)用戶和打開文件的數(shù)目沒有限制，支持多服務器，與WAN具有極強的聯(lián)網能力。VINES的技術特色已得到廣大用戶的認可，但還存在一定的局限性：多種平臺的可移植性差、容錯能力不足、與其他（PC機）操作系統(tǒng)的集成能力較低以及所占市場份額較小。1.1網絡規(guī)劃與設計知識網絡設備配置與調試案例教程2）Microsoft的WindowsServer2008/2012WindowsS