网络工程设计教程--系统集成方法

网络工程设计教程–系统集成方法

第一章 网络工程概述

要点:

  1. 网络工程的基本概念
  2. 网络工程的系统集成
  3. 网络工程系统集成步骤
  4. 网络系统的层次模型
  5. 网络系统集成的文档管理
  6. 网络工程招投标
  7. 网络工程设计应注意的问题
  8. 网络工程案例教学

1.1 网络工程的基本概念

1.1.1 基本概念

采用TCP/IP体系结构的互联网已经成为企业、国家乃至全球的信息基础设施。设计、建造和测试基于TCP/IP技术的计算机网络是网络工程的任务
网络工程必须总结并研究与网络设计、实施和维护有关的概念和客观规律,从而能够根据这些概念和规律来设计和建造满足用户需求的计算机网络。

1.1.2科学-技术-工程

  • 科学:科学是对各种事实和现象进行观察、分类、归纳、演绎、分析、推理、计算和实验,从而发现规律并对各种定量规律予以验证和公式化的知识体系。
  • 技术:技术是为某一目的共同协作组成的各种工具和规则体系
  • 工程:工程应用科学知识使自然资源最佳地为人类服务的专门门技术

1.1.3网络工程定义

(1)将系统化的、规范的、可度量的方法应用于网络系统的设计、建造和维护的过程,即将工程化应用于网络系统中。

●任何工程方法必须以有组织的质量保证为基础
●全面的质量管理和类似的理念刺激了过程的不断改进,正是这种改进导致了更加成熟的网络工程方法的不断出现
●网络工程的核心就是对于网络质量的关注

1.2网络工程的系统集成

1.2.1系统集成

  1. 系统:
    为实现某-一目标而形成的一-组元素的有机结合
  2. 系统集成:
    系统本身有可作为一个元素参与多次组合
  3. 系统集成是一种目前常用的实现较复杂工程的方法
    现代汽车工业
    航天飞机
  4. "系统集成”既是一种重要的工程建设思想,也是种解决问题的思想方法论

1.2.2系统集成的好处

  • 较高的质量水准
    选择有一流技术水平和质量鉴别体系资质的系统集成商
  • 系统建设速度快
    由多年从事系统集成的专家和配套的项目组进行集成,有畅通的设备进货渠道,富有处理用户关系的经验,能
    加快系统建设速度
  • 交钥匙解决方案
    全权负责处理所有的工程事宜,使用户能够将注意力放在系统的应用要求上
  • 标准化配置
    采用它成熟和稳妥的方案,由于系统集成商承担的系统存在的共性,使得系统维护及时和成本较低

1.2.3系统集成的特点

  1. 接口规范
  2. 关注系统整体性能
  3. 重视工程规范和质量管理
  4. 建立良好用户关系

1.2.4网络工程的系统集成模型

从系统级开始,接着是用户需求分析、逻辑网络设计、物理网络设计和测试。
网络工程设计教程--系统集成方法_第1张图片

1.2.5循环——线性化

  • 该模型支持带有反馈的循环,但将该模型视为严格线性关系可模型支持带有反能更易于处理
  • 该模型从系统级开始,接着是用户需求分析、逻辑网络设计、物理网络设计和测试
  • 网络设计者通常是采用系统集成方法来设计实现网络的,因此将该模型称为网络工程的系统集成模型

1.3网络工程系统集成步骤

1.3.1网络工程系统的集成过程

  1. 对于规模不同的网络,系统集成的过程差异很大
  2. 个大型网络系统的集成过程需要从技术、管理和用户关系这三个关键因素的角度考虑
    选择系统集成商或设备供货商
    网络系统的需求分析
    逻辑网络设计
    物理网络设计
    系统安装与调试
    系统测试与验收
    用户培训和系统维护

1.3.2选择二系统集成商或设备供应商

  • 用户方有可能以招标的方式选择系统集成商或设备供应商;用户方对网络系统的意愿应体现在发布的招标文件中
  • 网络系统集成商则以投标的方式来响应用户方招标
    -与用户充分交流
    -现场勘察,进行用户需求分析
    -提出初步的技术方案
    -。。。。
  • 一旦中标,则需要与用户方签署合同
  • 合同是网络系统集成商与用户方之间的一种商务活动契约,受法律保护

1.3.3网络系统的需求分析

  1. 网络系统的需求
    确定该网络系统要支持的业务
    要完成的网络功能
    要达到的性能等
  2. 用户需求分析的三个方面
    网络的应用目标
    网络的应用约束
    网络的通信特征
  3. 全面细致地勘察整个网络环境

1.3.4逻辑网络设计

  1. 重点放在网络系统部署和网络拓扑等细节设计方面
  2. 逻辑网络设计由网络设计师完成
    是采用平面结构还是采用三层结构
    如何规划IP地址
    采用何种选路协议
    采用何种网络管理方案
    以及在网络安全方面的考虑

1.3.5物理网络设计

  1. 网络环境的设计
    结构化布线系统设计
    网络机房系统设计
    供电系统的设计
  2. 网络设备选型
    具体采用哪种网络技术、哪个厂商生产的哪个型号设备

1.3.6网络安全设计

  • 网络安全已经成为网络系统集成中必须要面对的重要问题。
  • 首先要鉴别网络_上具有的各种信息资源,对它们进行风险评估,从而设计相应的安全性策略, 采用相应的安全产品,如防火墙系统、入侵检测系统、漏洞扫描系统、防病毒系统、数据备份系统和监测系统。

1.3.7网络设备安装测试与验收

  • 加电并连接到服务器和网络上进行检查
  • 当网络系统构建好后,需要进行系统测试
  • 系统测试的目的主要是检查网络系统是否达到了预定的设计目标,能否满足网络应用的性能需求,使用的技术和设备的选型是否合适
  • 网络测试通常包括网络协议测试、布线系统测试、网络设备测试、网络系统测试、网络应用测试和网络安全测试等多个方面
  • 是用户方正式认可系统集成商完成的网络工程的手续,用户方要确认工程项目是否达到了设计要求
  • 验收分为现场验收和文档验收

1.3.8用户培训和系统维护

  • 系统成功地安装后,集成商必须为用户提供必要的培训
  • 培训的对象可分为网管人员、一般用户等
  • 用户培训是系统进入日常运行的第一步,必须制定培训计划,可采用现场培训、指定地点培训等方式

1.4网络系统的层次模型

1.4.1网络信息系统集成的层次

网络工程设计教程--系统集成方法_第2张图片

1.4.2环境平台层

  • 在设计和实施网络平台前,需要考虑计算机网络到达的楼宇的结构化布线系统和机房、电源等的环境问题
  • 环境平台设计问题
    包括结构化布线系统、网络机房系统的设计和供
    电系统的设计等内容

1.4.3网络平台层

  • 网络平台目前一般应采用TCP/IP技术
    在信息高度集中的场所建立局域网
  • 采用子网互连结构的网络拓扑形式
    可使网络具有更可靠、更安全、扩展性及交互性更强的
    特点,它的成本也非常经济
    应选用成熟的网络操作系统
    选用适当的服务器、网络通信设备

1.4.4信息平台层

1.信息平台层主要是为标准因特网服务如DNS、电子邮件、Web、 FTP等和特定网络服务如P2P、 视频服务、办公系统等提供支撑的数据库技术、群件技术、网管技术和分布式中间件等的集合
2.有了这个层次的支持,设计、实现和配置各种网络应用就变得较为容易了

1.4.5应用程序层

  • 应用程序层主要容纳各种网络应用系统,而这些网络应用程序则体现了网络系统的存在价值
  • 应根据用户应用需求尽可能选用成熟的网络应用系统商品软件,如果无法找到满足需求的应用程序,则应考虑由自己或委托他人进行精心设计和实现

1.4.6网络安全结构

网络系统安全是指在网络系统中保证信息产生、处理、传输、存储过程中的机密性、鉴别、完整性和可用性的软硬件措施,它可能贯穿于网络体系结构的每一个层次

1.4.7系统集成模型的指导作用

  • 系统集成四层模型是总结大量的网络信息系统工程经验后,经过分析提升提出来的,较全面地覆盖了完成设计和管理实施网络信息系统的全过程

  • 该模型与实际工作的主要过程一致,简明、易操作

  • 按照此系统集成四层模型来规划和设计网络信息系统,便于划分子系统和确定接口参数,便于管理和控制网络信息系统的质量,使网络信息系统成为有机的整体,更有效地实现网络信息系统的应用目标

1.5网络系统集成的文档管理

1.5.1网络设计的文档管理

  • 文档指某种数据管理概要和其中所记录的数据
  • 文档是系统的一部分
  • 系统文档的编制在网络工程工作中占有突出的地位和一定的工作量
  • 高质量、高效率地开发、分发、管理和维护文档对于充分发挥系统效率有着重要的作用
  • 文档编制:自然语言、(半)形式化语言、各类图形和表格
  • 文档由人或计算机书写(生成)或阅读(识别)

1.5.2 文档的作用

  • 提高系统设计过程中的能见度。把设计过程中发生的时间以某种可阅读的形式记录在文档中。管理人员可将有关记载- - 作为检察系统设计进度和设计质量的依据。
  • 提高设计效率。开发人员基于文档,能对各阶段工作进行周密思考、全盘权衡,从而减少返工。可在开发早期发现错误和不一致,便于加工纠正。
  • 作为设计人员在一定阶段的工作成果和结束标志记录设计过程中的有关信息,便于协调以后的系统设计、使用和维护。
  • 提供对系统的运行、维护和培训的有关信息。
  • 便于潜在用户了解系统的性能、性能等各项指标。

网络工程设计教程--系统集成方法_第3张图片网络工程设计教程--系统集成方法_第4张图片

1.5.3 文档的管理和维护

  • 系统开发小组应设一位文档管理员
  • 开发小组成员保存个人文档
  • 新旧版本管理和控制
  • 修改主文档,应按照:提议一评议一审核—批准—实施的步骤严格控制
  • 项目结束后,应收回开发人员的个人文档

1.6网络工程招投标

1.6.1 招标与投标

  • 网络工程通常涉及大量资金,而根据我国有关政策规定,用户方寻找集成商要通过招标方式,而集成
    商寻找用户方要通过投标方式
  • 对于大型网络系统,招投标过程可为两步:第一步为用户方招总包单位;第二步总包单位单独或与用户方联合招分包单位
  • 总包单位代表用户方对本网络系统全面负责

1.6.2 投标书的准备

  1. 与用户方交流
  2. 需求分析
  3. 初步的技术方案设计
  4. 撰写投标书

1.6.3 投标书的内容

  1. 工程概况
  2. 投标方概况
  3. 网络系统技术方案
  4. 应用系统设计方案
  5. 项目实施进度计划
  6. 培训维修计划
  7. 设备清单报价

1.6.4 其他

述标与答疑
招标方都会组织投标的系统集成商进行述标,并回答专家组提出的问题
商务洽谈与合同签订
网络集成商一旦中标,就开始与用户方进行商务洽谈。主要是围绕价格、培训、服务、维护期以及付款方式等进行洽谈,最终达成一致后签订合同

1.7网络工程设计应注意的问题

1.7.1 应注意的问题

网络设计的目标就是用技术手段和管理手段,使工程具有良好的性能价格比
应注意以下一些问题

  1. 为树立企业形象而建造网络
  2. 盲目追求设备的超前性
  3. 盲目追求网络的规模
  4. 盲目追求网络高带宽和高服务质量等级
  5. 盲目追求系统多功能
  6. 对网络安全问题视而不见或盲目夸大因特网数据安全性威胁
  7. 一把手工程

1.8网络工程案例教学

1.8.1 视图

  • 跟踪甘特图
  • 任务分配状况
  • 日历
  • 统筹图
  • 资源工作表.
  • 资源图表
  • 组合视图

小结

1.对用系统集成方法进行计算机网络I程所涉及的些基本概念、基本过程进行定义和讨论
2.能够使用Project对网络工程项目进行规划和管理
需要掌握
●网络工程定义
●系统集成
●网络工程的系统集成模型
●网络系统的层次模型

第一章练习题

1.详细描述网络工程的系统集成模型。为何讲该模型成为网络设计的系统集成模型?该模型有哪些优缺点?
答:
网络工程设计教程--系统集成方法_第5张图片
由于在物理网络设计阶段,网络设计者通常是采用系统集成方法来设计实现网络的,因此将该模型称为网络工程的系统集成模型。
优点:系统集成模型是总结大量网络信息系统工程经验之后,经过分析提升出来的,较全面的覆盖了,完成设计和管理实施网络信息系统的全过程,该模型与实际工作的主要过程一致,简明、易操作,按照此系统集成模型来规划和设计网络系统,便于划分子系统和确认接口参数,便于管理和控制网络信息系统的质量,使网络信息系统成为有机的主体,更有效的实现网络信息系统的应用目标。
缺点:
(1)用户常常难以给出所有的网络应用需求,而该模型却需要得到所有需求,这使得该模型在项目开始阶段存在不确定性
(2)网络系统的性能一直到项目开发的后期才能实现,如果发现错误,后果可能是灾难的
(3)开发者的工作常常被不必要地延误,该模型线性特性会导致阻塞状态

2.简述网络工程系统集成步骤。
答:选择系统集成商或设备供货商
网络系统的需求分析
逻辑网络设计
物理网络设计(网络环境设计,网络设备选型)
网络安全设计
系统安装与调试
系统测试与验收
用户培训和系统维护

3.系统集成文档有哪些质量要求。
答:
1.针对性:文档编制以前应分清读者对象,按不同的类型、不同层次的读者,决定怎样适应他们的需要。
2.精确性:文档的行文应当十分确切,不能出现多义性的表述。
3.清晰性: 文档编写应力求简明,如有可能,配以适当的图表,以增强其清晰性.
4.完整行:任何一个文档都应当是完整的、独立的,应自成体系。
5.灵活性:各种不同的系统,其规模和复杂程度有着许多实际差别,需具体分析需要安排的内容。

第二章 网络工程设计基础

要点:

  1. 网络的组成
  2. 因特网的网络结构
  3. 二层交换机
  4. 路由器
  5. 高层交换机
  6. 访问服务器
  7. 联网物理介质
  8. 以太网技术

2.1 网络的组成

2.1.1 网络基本构件

从逻辑.上讲,构成因特网的所有网络实体均可以被抽象为两种基本构件:称为链路的物理介质,和称为节点的计算设备
网络工程设计教程--系统集成方法_第6张图片

2.1.2 节点与链路的链接方式

  • 点对点:一条物理链路有时仅与一对结点相连
  • 多点接入:多于两个结点共享同一条链路

网络工程设计教程--系统集成方法_第7张图片

2.1.3 网络的表示

  • 用“网络云”来表示任意类型的网络
  • 可以递归地通过互连“网络云”形成更大的“网络云”来构建任意大的网络
  • 网络能通过网络的递归来构建

网络工程设计教程--系统集成方法_第8张图片

2.2 因特网的网络结构

2.2.1 因特网的层次结构

网络工程设计教程--系统集成方法_第9张图片

2.2.2 经因特网服务提供商的链接

网络工程设计教程--系统集成方法_第10张图片

2.2.3 接入网

1.接入网是指在业务节点接口(SNI)和与其关联的每一个用户网络接口(UNI)之间,由提供网络业务的传送实体组成的系统
2.发展接入网技术包括两条技术途径:

  • 通过对现有网络技术(如电话网、有线电视网、以太网、光纤网)进行改造
  • 研制新技术,目前主要包括xDSL和无线接入技术

2.2.4 接入网的类型

  • 拨号接入
  • xDSL接入
  • 光纤同轴混合接入
  • 光纤接入
  • 无线接入

2.3 二层交换机

2.3.1 网络基本互连设备和层次

有多种类型互联设备

名称 互联层次 基本特征
网关 应用层 区分端口地址及应用信息
路由器、三层交换机 网络层 区分IP地址
网桥、交换机 数据链路层 区分MAC地址
集线器、中继器 物理层 比特复制

在局域网中,中继器已退出历史舞台,集线器也在淡出,二取而代之的是交换机的兴起
网络工程设计教程--系统集成方法_第11张图片

2.3.2 网桥

可将两个或多个地址兼容的网段连接起来
其特点是:

  • 具有过滤功能,减少网络拥塞
  • 网桥扩展了LAN的有效长度
  • 防止错误扩散,网桥隔断了某些潜在的网络故障
  • 提高了安全性,具有相同安全性数据的主机放在相同网段上,再用网桥与其他部分相连
  • 为了提供容错能力,可以用多个网桥连接网段;用了IEEE 802.1D“生成树算法”,有效防止回路的产生

2.3.3 生成树算法

复杂LAN中,无法知道整个网络的配置,交换机可能连接了多个网段,会在网络中形成回路。
为提高网络可靠性,可能需要在网络中放冗余交换机,是否会导致产生广播风暴呢?
交换机中采用了IEEE802.1D规范,该算法防止形成逻辑上的回路,即使出现了物理回路。
这意味着我们的设计中可以不顾及交换机可能出现的环路(需要对交换机进行相应的配置)。

2.3.4 全双工技术

以太网的CSMA/CD机制,任何时候只允许一台设备成功发送。连接的站点越多,冲突越频繁。
交换机每个端口只连接了一台主机,而且收发线路是分开的,只要参与通信的收发方不超过两个就不会碰撞。

用一对千兆以太网线路连接两台百兆交换机由于这两台交换机之间只有这一对线路,因此不会发生碰撞的,因此即使线路较长它们之间可采用双工方式进行无碰撞的通信。
注意:只有全双工网卡和交换机才支持这种能力。

2.3.5 碰撞域 vs.广播域

● 碰撞域描述了一组共享网络访问媒体的网络设备覆盖的区域。
● 广播域是指广播分组直接到达的区域。
红色箭头表示冲突域,当然也是广播域
网络工程设计教程--系统集成方法_第12张图片
若LAN交换机未划VLAN,它是一个广播域
网络工程设计教程--系统集成方法_第13张图片

2.3.6 链路聚合技术和弹性链路

许多交换机通常支持链路聚合(Trunk)技术和弹性链路(Resilient Link)技术。链路聚合可将多个物理连接当作一个单一的逻辑连接来处理,它允许两个交换机之间通过多个端口并行连接同时传输数据,以提供更高的带宽、更大的吞吐量

两个普通交换机连接的最大带宽取决于媒体的连接速度(双绞线为200 Mpbs)而使用链路聚合技术可以将4个200Mpbs的端口捆绑后成为一个高达800Mpbs的连接

2.3.7 交换机的类型

根据物理结构分 根据功能分
独立式 智能式
堆叠式 直通式
模块化 存储转发式

2.3.8 VLAN的一个设计实例

网络工程设计教程--系统集成方法_第14张图片

2.3.9 实现VLAN的方式及标准

  1. 基于端口的VLAN
  2. 基于MAC地址的VLAN
  3. 基于协议的VLAN
  4. 基于网络地址的VLAN
  5. 基于定义规则的VLAN
  6. 建立在801.d网桥基础.上的802.1Q和802.1p是两个IEEE的标准,它为801.d增加了更多的智能
    802.1Q根据VLAN标志符对数据帧进行过滤,仅将帧发往特定的目的地址组去,而不是向所有结点洪泛
    802.1p定义的组地址分解协议,被用于管理成员关系,以及在LAN的交换机或网桥中发布成员关系

2. 4 路由器

2.4.1 路由器的工作原理

IP层次互连设备仅有一种:即路由器

  • 路由器通过处理IP地址来转发IP分组,形成一个虚拟通信网络,将异构的多种通信网络互连起来,并使网络具有可扩展性

路由器在网络层工作的两个过程

  • 找到分组相应的出口,这可通过查找选路表即可
  • 将分组从入口送到出口,这取决于路由器的体系结构

2.4.2 路由器体系结构

网络工程设计教程--系统集成方法_第15张图片

2.4.3 三种交换技术

网络工程设计教程--系统集成方法_第16张图片

2.4.4 三种交换技术的比较

经内存交换
若内存带宽为每秒可写进或读出B个分组,则总的转发吞吐量必然小于B/2
经一根总线交换
总线带宽可达千兆比特/秒,则用于接入网或企业网的路由器来说,通过总线交换通常是足够的
经一个互联网络交换
使用一个更复杂的互联网络,具有最高的吞吐量

2.4.5 路由器分类

主要功能

  • 转发
  • 选路
  • 与网络接口
  • 网络管理

主要性能
按通信容量可分为:高档路由器、中档路由器、低挡路由器
按其功能分为:接入路由器、边界路由器或主干路由器等

主要指标
吞吐量、转发速度、时延、所支持的通讯协议、所支持的选路协议、网络接口类型、选路表的容量、最长匹配、选路协议收敛时间、对多播的支持、对Qos的支持和网管功能等。

2.5 高层交换机

2.5.1 多层交换机的概念

  • 传统交换是二层交换,而三层交换(也称多层交换技术或IP交换技术)是在网络模型中的第三层实现了数
    据包的高速转发
  • 三层交换技术的出现,解决了企业网划分子网之后,子网之间必须依赖路由器进行通信的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题
  • 一个具有三层交换功能的设备,实际上是一个带有第三层路由功能的第二层交换机,是二者的有机结合

2.5.2 三层交换机的本过程

  1. 发送方A将自己的IP地址与接收方B的IP地址比较,判断B是否与自己在同一子网内
    若B与A在同一子网内,则进行二层的转发
    若不在,A要向“默认网关”发出ARP(地址解析)分组,而“默认网关”的IP地址其实是三层交换机的第三层交换模块
  2. 如果三层交换模块已知B的MAC地址,则向A回复之;否则它向B广播一个ARP请求,B回复其MAC地址,三层交换模块保存此地址并回复A,同时将B的MAC地址发送到二层交换引擎的MAC地址表中
  3. 此后,当A与B间的数据分组全部由二层交换高速处理
  4. 仅路由过程才需要三层处理,绝大部分数据都通过二层交换转发,因此三层交换机的速度很快,同时价格也较低

示意图如下:
网络工程设计教程--系统集成方法_第17张图片

2.5.3 四层交换机

四层交换扩展了三层交换和二层交换,它支持细粒度的网络调整,以及对通信流的优先级划分
四层交换根据TCP/UDP端口号进一步确定通信量的转发目的地
为了改善IP路由器的转发速度并对IP交换技术进行标准化,IETF制定了多协议标签交换(MPLS )

2.6 访问服务器

2.6.1 访问服务器

是一种特殊的路由器,它能为远程PC用户接入企业网提供服务。可以为专用硬件设备,也可是在PC机上插入多串行口卡后运行专用软件而成。
用户通过调制解调器经电话线或ISDN等线路与访问服务器连接,再经该访问服务器接入企业网。用于零散用户远程入网。
提供的安全特性
-鉴别用户身份,即需要输入用户名和口令
-回叫安全特性

2.6.2 访问服务器的应用场合

网络工程设计教程--系统集成方法_第18张图片

各种调制解调器

  • 内置调制解调器卡
  • 外置式调制解调器
  • ISDN卡
  • ADSL调制解调器
  • 线缆调制解调器

2. 7 联网物理介质

2.7.1 物理介质

  • 比特:在传送器/接收器对间传播
  • 物理介质:位于传送器/接收器间的东西
  • 导引型介质:信息在固体介质(同轴、光纤、铜线)中传播
  • 非导引型介质:信息自由传播,例如无线电

2.7.2 双绞线

双绞线即Twisted Pair是目前结构化布线中最常用的传输媒体。
是由两根相互绝缘的铜导线按照一定的规格互相缠绕在一起而成的网络传输介质,外部包裹屏蔽层或塑橡外皮而构成。
它的原理是:如果外界电磁信号在两条导线上产生的干扰大小相等而相位相反,那么这个干扰信号就会相互抵消。
四对(或两对)放在一起,而且每对线使用不同颜色以便区分,在每对中的两根线也有不同颜色的区别。
是一种价格便宜、安装方便和可靠性高的传输媒体,适用于短距离传输。
分为屏蔽双绞线与非屏蔽双绞线两种。

2.7.3 非屏蔽双绞线

集中多对双绞线,外面包一层塑料增强保护层形成
抗干扰能力较差,误码率高,但价格便宜、安装方便。其特性阻抗为100Q
EIA为非屏蔽双绞线定义了6种质量级别:

  • 第1、2类:电话通信中的语音和低速数据线,其最高传输速率为4Mb/s
  • 第3类:计算机网络中的数据线,其最高传输速率为10Mb/s
  • 第4类:计算机网络中的数据线,其最高传输速率为16Mb/s
  • 第5类:使用最多的一类,其最高传输速率为100Mb/s
  • 第6类:具有200MHz以下的传输特性,最高传输速率1000Mb/s

2.7.4 非屏蔽双绞线的连接配件:RJ-45接头

有8个线槽分别与4对双绞线相对应
RJ-45连接实际就是与双绞线的连接
非屏蔽双绞线的塑料保护层内有4对线,其中:
白-橙色和橙色为一交扭对
白-绿色和绿色为一交扭对
白-蓝色和蓝色为一交扭对
白-棕色和棕色为一交扭对

网络工程设计教程--系统集成方法_第19张图片

2.7.5 RJ-45的两种连接标准

网络工程设计教程--系统集成方法_第20张图片**直通方式:**联线两边都是568A标准,或者568B标准
**适用场合:**主机与交换机相连
针号: 1 2 3 4 5 6 7 8
一端:白绿-绿-白橙-蓝-白蓝-橙-白棕-棕
另端:白绿-绿-白橙-蓝-白蓝-橙-白棕-棕


**交叉方式:**联线一边是568A标准,另一边568B标准
**适用场合:**两主机或交换机直接相连
针号: 1 2 3 4 5 6 7 8
一端:白绿-绿-白橙-蓝-白蓝-橙-白棕-棕
另端:白橙-橙-白绿-蓝-白蓝-绿-白棕-棕

2.7.6 光纤电缆

光缆的芯是一种传输光束的细而柔韧的光导纤维,外层是涂覆层,最外层是塑料的保护层.
光缆中传输的是光波,外界的电磁干扰与噪声都不能对光信号造成影响。传输过程中,首先需要将电信号转换成光信号再通过光缆传输,然后再经过光信号转换成电信号输出
数据的发送端或接收端需要有光电转换装置设备进行处理。光缆的数据传输速率可达几十Gpbs, 传输距离可达几十km并具有低误码率(10^9~ 10^10)

2.7.7 单模光纤和多模光纤

单模光纤
光线是以直线方式传输,频率单一,没有折射现象,传输损耗小;通常芯径小于10um

多模光纤

光线是以波浪式传输,同时传输几种颜色的光;通常芯径在50um以上,涂覆层直径在100 ~ 600μm之间

网络工程设计教程--系统集成方法_第21张图片

2.8 以太网技术

2.8.1 以太网技术

以太网(Ethernet)的工作原理为CSMAICD。目前使用的以太网采用了IEEE 802.3标准

CSMA/CD的要点

  • 发前先听(监听到信道空闲就发送数据帧)
  • 边发边听(并继续监听下去)
  • 发现冲突(如监听到发生了冲突)
  • 立即停发(则立即放弃此数据帧的发送)
  • 转发强化(同时发送强化冲突信号)

2.8.2 以太网帧格式

传送数据的最小长度为64byte
网络工程设计教程--系统集成方法_第22张图片

2.8.3 快速以太网

符合100Base-T规格的以太网
两种不兼容的标准:
(1)100Base-T的802.3u标准
(2)100VG-AnyLAN的802.12标准(应用较少)
IEEE 802.3u标准包括
(1)100Base-T4
(2)100Base-TX
(3)100Base-FX
自动协商协议
该协议适用于10/100Mb/s双速以太网卡,速率升级无需人工千预,自动检测,自行配置完成

2.8.4 千兆以太网

由IEEE 802.3和IEEE 802.3ab工作组制定
载波延伸
为能检测冲突,需将最大电缆长度减到10m,这就无实际用处了。它采用办法,竞争期变为512 byte
突发模式操作模式:
站点获得访问网络媒体后,突发模式允许连续发送多帧,直到达到1500 byte为止
IEEE 802.3z标准包括
(1)1000Base-SX
(2)1000Base-LX
(3)1000Base-CX
(4)1000Base-T

2.8.5 10千兆以太网

标准由IEEE 802.3ae委员会制定,并非是简单将以太网的速率提高到每秒万兆比特,有许多技术问题需要解决
(1)向后兼容性
(2)工作在全双工方式下
(3)传输介质采用光纤
(4)定义了两种不同的物理层:

  • 局域网物理层LAN PHY
  • WAN物理层WANPHY

城域以太网

以太技术还成功地应用于城域网的设计实现中;
以太城域网具有的成本低廉、带宽分配灵活、应用广泛等优势越来越受到业界的重视;
当前主要工作是开发先进的城域网技术生成、传送新业务和传统业务,并对它们进行计费、管理,进而进行标准化工作;
国际上从事城域以太网标准研究的组织主要有:ITU-T、 IEEE、 IETF和MEF(城域以太网论坛)。

第三章 配置以太网交换机

要点:

  1. 熟悉并初步配置交换机
  2. 配置交换机的基本功能
  3. 配置二层交换机VL AN功能
  4. 配置交换机的生成树功能
  5. 配置交换机端口聚合功能
  6. 配置三层交换机
  7. 交换机间的连接
  8. 网络工程案例教学

3.1 熟悉并初步配置交换机

3.1.1 交换机组成

是一台专门用于通信的计算机,它由交换机硬件系统和交换机操作系统组成。
**硬件包括:**中央处理器、随机存储器、只读存储器、可读写存储器和外部端口等

3.1.2 配置交换机的过程

网络设备通常在其专用的操作系统如IOS( Internetwork Operating System)管理下工作。
通过IOS,网络设备能够有效运行,且IOS能随网络技术不断发展而动态升级,以适应周围网络中硬件和软件技术的不断变化。
用户配置交换机的过程,是用户通过IOS中提供的专门接口,发出标准命令(或命令集合)来配置和管理交换机的过程,以适应各种网络功能。

3.1.3 交换机的“专门接口”

运行在常用操作系统上的专用程序:
(1)Linux或Windows下的Telnet程序
(2)Windows XP下的“超级终端”程序
不同ISO存在差异,但工作机理、命令操作的过程,甚至命令形式都有相似之处,可触类旁通
交换机是一种即插即用的网络设备,不经配置,可在默认的模式下正常工作

3.1.4 通过计算机来配置交换机的3个步骤

  1. 要将该计算机与交换机相联,并使两者能够交互信息
  2. 计算机要向被配置的交换机发送配置命令
  3. 交换机的IOS能够理解这些配置命令,并改变交换机运行状态,从而达到了配置交换机的目的。

网络工程设计教程--系统集成方法_第23张图片

3.1.5 交换机命令行接口

在第二个步骤中,使用特定应用程序键入交换机能够识别的命令与交换机通信
交换机处于用户模式( User EXEC模式)下,用户可以使用用户模式的命令与交换机IOS通信
网络工程设计教程--系统集成方法_第24张图片

3.1.6 交换机可工作在不同的命令行模式下

1.为使交换机配置管理功能更为清晰,交换机可以在不同的命令模式下工作
2.用户当前所处的命令模式决定了可以使用的命令类型
3.在命令提示符(“>”或“#”)下,键入问号(?) ,交换机就可以列出当前的模式,以及该命令模式可以使用的命令种类

3.1.7 交换机命令行模式

网络工程设计教程--系统集成方法_第25张图片

3.2 配置交换机的基本功能

3.2.1 配置交换机得基本功能得方法

  • 超级终端
  • Telnet
  • TFTP
  • SNMP

3.2.2 操作基本配置功能

  • 配置交换机名
Switch>enable
Switch#                     !进入特权模式
Switch# config terminal     !进入全局模式
Switch(config)#
Switch(config)#hostname CisoS2950-1         !设置交换机名为CisoS2950-1
CisoS2950-1(config)#
  • 配置管理IP地址
Switch(config)# interface vlan 1                              //进入VLAN端口配置界面
Switch(config-if)#ip adress 192.168.201.254 255.255.255.0     //为交换机配置IP地址
  • 配置Telent登录用户及口令
Switch(config)#enable secret 1234
Switch(config)#enable password 1234
//注:以上两条命令,执行一条即可
Switch(config)#line vty 0 15        //对虚拟终端0~15开启远程登陆
Switch(config-line)#password  admin         //设置Telnet登录密码为admin
Switch(config-line)#login           //启用密码检查
Switch(config-line)#end             //退出到根目录,特权模式
  • 保存和查看配置信息

特权模式下执行write命令进行保存配置
show running-config查看当前配置

3.3 配置二层交换机VLAN功能

3.3.3 基于端口方式划分VLAN

根据交换机端口划分VLAN,这是目前定义VLAN最广泛、最简单有效的方法
交换机端口划分成不同端口集合(即它们具有相同VLAN ID),而无论交换机端口上连接着什么设备VLAN从逻辑.上把-一个LAN按照交换机的端口划分成3个VLAN ( VI AN 10、VL AN 20和默认的VLAN1),端系统则被分割成独立的逻辑子网。
网络工程设计教程--系统集成方法_第26张图片
从本部分开始实例较多,理论性知识逐渐变少,我会尽可能写的详细
端口划分其中一个实例就是实现某2个部门之间得网络隔离,另一个是配置连接跨越多台交换机的VLAN干道。然后我就不准备

3.4 配置交换机的生成树功能

3.4.1 链路环路的不良后果

为提高网络连接可靠性或因网络铺设的无序,局域网中有时会出现链路环路
会引发诸如广播风暴、多重帧复制以及MAC地址表的不稳定性等严重后果。导致广播帧的不断增长,形成广播风暴,迅速导致网的络拥塞
多重帧的复制的情况
MAC表不稳定的情况

3.4.2 交换机STP功能

  • 发现环路的存在
  • 冗余链路中的一个设为主链路,其他设为备用链路
  • 只通过主链路交换流量
  • 定期检查链路的状况
  • 如果主链路发生故障将流量切换到备用链路交换机默认关闭了STP协议,需要用交换机的“STP”命令来明确开启交换机的STP功能

3.5 配置交换机端口聚合功能

3.5.1 用交换机端口聚合功能提高网络性能

在“2.3.2二层交换机工作原理”中讲过,简单地采用交换机替代集线器不可以通过链路聚合技术(也称端口聚合)将多条
链路的能力捆绑到一起,从而大大增强了用户访问服务器的速度定能提高网络性能

3.5.2 IEEE802.3adLACP

链路聚合控制协议定义了将两条以上以太网链路组合起来为高带宽网络连接实现负载共享、负载平衡以及提供更好的弹性的能力。在交换机_上把多个物理端口的链路捆绑在一起,形成单一的逻辑连接,这个逻辑连接就被称为聚合端
口( Aggregate port ) 。减少了来自主干网络带宽的压力,在点到点链路上提供了固有的、自动的冗余性。聚合端口能根据报文的MAC地址或IP地址进行流量平衡。

3.5.3 聚合端口注意事项

交换机最大聚合端口数是有限制的,如锐捷网络RG-S3526交换机最大聚合端口数是8 )。聚合的端口的速度必须一致,
聚合的端口必须属于同一个VLAN (如果有的话)。聚合的端口使用的传输介质相同,聚合的端口必须属于网络的同一层次,并与聚合端口也要在同一层次。配置后的聚合端口可以像普通的端口- -样接受管理和使用

3.6 配置三层交换机

3.6.1 三层交换机的特点

能实现同一场点不同子网之间的信息高速传输,同时具二层交换机和三层路由器的优点。
用示例说明三层交换机工作的过程
1.在二层交换机组成的网络中,用VLAN技术能够隔离网络流量,但不同的VLAN间是不能相互通信的
2.如要实现VLAN间的通信,则必须借助于三层交换机的路由功能(可用路由器)。
3.用三层交换机实现VLAN间路由,可以通过开启三层交换机SVI接口方法实现
在这里插入图片描述

3.7 交换机间的连接

3.7.1 交换机级联

指在两台交换机的普通端口(如RJ-45端口)之间连接网线(RJ-45网线),将交换机连接在一起,实现相互之间的通信;
可解决一台交换机端口数量不足的问题,也能够延伸网络的覆盖范围。

网络工程设计教程--系统集成方法_第27张图片
通过普通端口级联
网络工程设计教程--系统集成方法_第28张图片级联端口的级联
网络工程设计教程--系统集成方法_第29张图片

3.7.2 交换机堆叠

堆叠是把交换机的背板带宽通过专用模块聚集在一起,这使堆叠交换机的总背板带宽是几台堆叠交换.机的背板带宽之和,从而使得堆叠交换机集合能够作为一个整体进行管理。不是所有的交换机都可以堆叠,只有可管理的、模块化的特定交换机才具有堆叠管理功能。

3.7.3 两种堆叠模式

  1. 菊花链式
    菊花链式堆叠是一种基于级联结构的堆叠技术,通过堆叠端口或模块首尾相联。网络工程设计教程--系统集成方法_第30张图片
  2. 星型堆叠技术
    星型堆叠技术需要堆叠中心所有的堆叠主机都通过专用的高速堆叠端口,也可以是通用,的高速端口,,上行到统一的堆叠中心。
    网络工程设计教程--系统集成方法_第31张图片

3.8 网络工程案例教学

3.8.1 跨交换机划分虚拟局域网

配置步骤

  1. 先做出设计文档,连接时注意按设计端口名称进行,否则会产生问题。交换机配置前,必须先进行初始化,清除原有的配置参数
  2. 配置交换机VLANA。在交换机SwitchA上创建VLAN 10, 并将0/5端口划分到VLAN 10中
  3. 配置交换机VLANB。在交换机SwitchB上创建VLAN 10, 并将0/5端口划分到VLAN 10中
  4. 测试连通性
  5. 将SwitchA与SwitchB相联的端口定义为tagvlan模式
  6. 将SwitchB与SwitchA相联的端口(假设为Fa0/24)定义为tag vlan模式

第四章

要点:

  1. 分析网络应用目标
  2. 分析网络应用约束
  3. 网络分析的技术指标
  4. 因特网流量的特点
  5. 分析网络流量
  6. 网络工程案例教学

4.1 分析网络应用目标

4.1.1 分析网络应用目标(1)

工作步骤
-从企业高层管理者开始收集商业需求
-收集用户群体需求
-收集支持用户和用户应用的网络需求
明确网络设计目标。典型网络设计目标包括
-加强合作交流,共享的重要数据资源
-加强对分支机构或部属的调控能力
-降低电信及网络成本,包括与语音、数据、视频等独立网络有关的开销
明确网络设计项目范围
-是设计新网络还是修改网络
-网络规模:一个网段、一个(组)局域网、一个广域网,还是远程网络或一个完整的企业网
明确用户的网络应用
网络应用统计表
网络工程设计教程--系统集成方法_第32张图片

4.2分析网络应用约束

  • 政策约束
  • 预算约束
  • 时间约束
  • 应用目标检查表

4.3网络分析的技术指标

4.3.1 网络分析的技术指标

定量地分析网络性能,首先要确定网络性能的技术指标。有很多国际组织定义了网络性能技术指标这些技术指标为我们设计网络提供了一条性能基线(baseline)
网络性能指标有两类:
**网元级:**网络设备的性能指标
**网络级:**将网络看作一个整体,其端到端的性能指标
我们这里关注的是网络级的性能指标

4.3.2网络性能参数—时延(Delay或Latency)

**时延:**从网络的一端发送一个比特到网络的另一端接收到这个比特所经历的时间
总时延=传播时延+发送时延+重传时延+分组交换时延+排队时延≈传播时延+发送时延+排队时延
网络时延可分为
往返时延(Round-trip Time, RTT)
单向时延(One-way Latency,OWL)
注意: RTT≠2 x OWL

4.3.3网络性能参数—吞吐量(Throughput)

**吞吐量:**在单位时间内传输无差错数据的能力
吞吐量可针对某个特定连接或会话定义,也可以定义网络总的吞吐量
容量(Capability): 数据通信设备发挥预定功能的能力,它经常用来描述通信信道或连接的能力
网络负载G:在单位时间内总共发送的平均帧数
吞吐量=G xP[发送成功]
有效吞吐量:表示了应用层的吞吐量

4.3.4网络性能参数—丢包率(Packet Loss Rate)

**网络丢包率(丢分组率)*在某时段内在两点间传输中丢失分组与总的分组发送量的比率
该指标是反映网络状况极为重要的指标
无拥塞时路径丢包率为0%,轻度拥塞时丢包率为1%-4%,严重拥塞时丢包率为5~15%丢包的主要原因是路由器的缓存队列溢出
与丢包率相关的一个指标称为“差 错率”, 如误码率(BER)、误帧率,通常极小

4.3.5网络性能参数—时延抖动(Jitter)

**时延抖动:**分组的单向时延的变化。
变化量应小于时延的1%~ 2%,即对于平均时延为200ms的分组,时延抖动≤2~4ms。
有一些网络应用与时延波动有关,如果因网络突发引起时延抖动,就可能使得视频和音频的通信中断。

网络工程设计教程--系统集成方法_第33张图片

4.3.6网络性能参数—路由(Route)

路由即为一个特定的“节点-链路”集合,该集合是由路由器中的选路算法决定的,选路算法决定分组所采用的路径(路由)
网络工程设计教程--系统集成方法_第34张图片
路由的变动将使时延、丢包率等指标有较大变化。IP网络路由是动态的,但是相对稳定
一种错误的观点是,IP网络的路由是动态的,研究路由没有意义;为了保持网络稳定工作,选路算法通常不会轻易改变路由,除非当资源用完(即发生拥塞)或底层网络出现故障

4.3.7网络性能参数—带宽(Bandwidth)

瓶颈带宽和可用带宽
瓶颈带宽:两台主机之间路径.上的最小带宽链路(瓶颈链路)的值
可用带宽:沿着该路径当时能够传输的最大带宽
一些典型应用的带宽如下
●PC通信: 14.4kb/s ~ 50kb/s
.●数字音频:1~2Mb/s
●压缩视频:2~10Mb/s
●文档备份: 10~ 100Mb/s
●非压缩视频: 1 ~ 2Gb/s

4.3.8网络性能参数—响应时间(ReapondTime)

**响应时间:**从服务请求发出到接收到相应响应所花费的时间,它经常用来特指客户机向主机交互地发出请求并得到响应信息所需要的时间,用户往往比较关心这个网络性能指标。
当响应时间超过100ms或1/10 s的时候,就会引起不良反映,超过100ms,就能意识到等待网络的传输。

4.3.9网络性能参数—利用率(Utilization)

**利用率:**指定设备在使用时所能发挥的最大能力
例如,网络检测工具表明某网段的利用率是30%,这意味着有30%的容量在使用中
在网络分析与设计中,通常考虑两种类型的利用率:CPU利用率链路利用率

4.3.10网络性能参数—效率(Efficiency)

**网络效率:**为产生所需的输出要求的系统开销
网络效率明确了发送通信需要多大的系统开销,不论这些系统开销是否由冲突、差错、重定向或确认等原因所致。
提高网络性能的方法:尽可能提高MAC层允许的最大长度的帧、使用长帧要求链路具有较低的差错率

4.3.11其他网络分析的技术指标

  1. 可用性(Availablity)
    可用性是指网络或网络设备可用于执行预期任务的时间的总量(百分比)
  2. 可扩展性(Scalability)
    网络技术或设备随着用户需求的增长而扩充的能力
  3. 安全性(Security)
    总体目标是安全性问题不应干扰公司开展业务的能力
  4. 可管理性(Manageability)
    每个用户 都可能有其不同的网络可管理性目标,否则从FACPS这5个方面考虑
  5. 适应性(Aaptability)
    在用户改变应用要求时网络的应变能力
  6. 可购买性(Purchasability)
    基本目标是在给定财务成本的情况下,使通信量最大

4.4因特网流量的特点

1因特网流量一直在变化
-因特网通信量增长速率很快、不仅是通信量,而且通信量的组成、协议、应用以及用户等,都在改变、对现有网络收集的数据仅仅是在因特网的演化过程中的一个快照、不能把通信量的结构视为不变的。
2聚合的网络流量是多分型
因特网的异构特性、存在大量的、不同类的应用、 多种协议、多种接入技术和接入速率、用户行为随时间的变化,以及因特网本身随时间变化

3网络流量表现出局部性质
流量的模式远非随机的、流量的结构与用户在应用层发起的任务有关,
4分组流量是非均匀分布的
在因特网主机的分组流量很不均匀,例如: 10% 的主机占据了总流量的90% (或20-80),原因:客户机服务器方式、地理原因等。

5分组长度分布:双模态(双尖峰分布)
许多短分组包括交互式的流量和确认。这类分组约占40%,许多长分组是批量数据文件传输类型应用。这些分组尽可能长些(基于MTU)。这类分组约占50%,中等长度的分组很少,仅10%左右
6分组达到过程是突发性的
7会话达到过程遵循泊松分布
8多数TCP会话是简短的
9流量是双向的,通常是不对称的
10因特网流量主体是TCP

4.5分析网络流量

4.5.1 分析网络通信特征

分析和确定当前网络通信量和未来网络容量需求的方法:参考因特网流量当前的特征、需要通过基线(baseline)网络来确定通信数量和容量、需要估算网络流量及预测通信增长量的实际操作方法、参数的估算无疑为网络设计提供了依据。

4.5.2 网络逻辑边界

能够根据使用一个或一组特定的应用程序的用户群来区分,或者根据虚拟局域网确定的工作组来区分。
网络工程设计教程--系统集成方法_第35张图片

4.5.3 网络物理边界

可通过逐个连接来确定一个物理工作组。通过网络边界可以很容易地分割网络
网络工程设计教程--系统集成方法_第36张图片

4.5.4 分析网络通信流量特征

刻画流量特征包括:辨别网络通信的源点和目的地、分析源点和目的地之间数据传输的方向和对称性
在某些应用中,流量是双向且对称的。在另一部分应用中,流量是双向非对称的的:客户机发送少量的查询数据,而服务器则发送大量的数据。在广播式应用中,流量是单项非对称的。

4.5.5 测量现有网络的流量

测量方式大体分为两类:一种是主动式,它通过主动发送的测试分组序列来测量网络行为。另一种是被动式,它通过被动俘获流经测试点的分组来测量网络行为。
核心概念式通信流(Flow):对一个呼叫或连接的人为的逻辑对应,流属性具有聚合性质,反映了起始和停止范围内发生的发事件。填写有网络的通信流量表(有时难以测量)

4.5.6 通信流量的分类

  • 客户机/服务器方式
  • 对等方式
  • 服务器/服务器方式
  • 分布式计算方式
  • 终端/主机方式

4.5.7 估计应用的通信负载

估算:

  • 应用的性质
  • 每次通信的通信量
  • 传输对象大小
  • 并发数量
  • 每天各种应用的频度

第五章 物理网络设计:结构化布线系统和机房

要点

  1. 结构化布线系统
  2. 结构化布线系统组成
  3. 结构化布线系统的设备部件
  4. 布线系统工程设计
  5. 网络机房设计
  6. 网络机房电源设计

5.1 结构化布线系统

5.1.1结构化布线系统

布线系统是计算机网络系统和电话系统的基础设施,计算机网络布线系统有两种:结构化布线和非结构化布线。结构化布线系统是一种跨学科、跨行业的系统工程,能够满足综合性的应用布线系统所采用的结构,通常要根据技术要求、地理环境和用户分布等情况而定,设计的目标是在满足使用的技术指标的情况下,使系统布线合理,造价经济,施工及维护方便。

5.1.2 结构化布线系统的特点

  1. 具有良好的综合性和兼容性,集语音、数据、图像与监控等设备于一体,并将多种终端设备的插头、插座标准化,能够满足不同厂商终端设备的需要。
  2. 适应性强,使用灵活增减设备、变化位置或更改设备类型,只需在配线架上对相关部位跳线即可改变系统组成和功能。
  3. 易于扩容,便于维护采用模块化设计,易于扩充与重新配置。某一模块出现故障,不影响其他模块工作。
  4. 具有科学性和经济实用性。由于开放性,能够满足不同用户需求的能力。结构化布线系统构成了智能化建筑的基础,是智能化建筑的神经系统。

5.1.3结构化布线系统的应用场合

**智能化建筑的布线系统。**这些系统中通常拥有相当数量的先进设备,其通信容量大,自动化程度高
**商业贸易类型的布线系统。**商务贸易中心,商业大厦等;银行、保险公司、证券公司等金融机构;宾馆、饭店等服务行业
**机关办公类型的布线系统。**政府机关、企事业单位、群众团体、公司机关等办公大楼或综合型大厦等

5.2 结构化布线系统组成

5.2.1 结构化布线系统组成

组成结构要遵从国家标准及国际标准化组织/国际电工委员会的标准规定,有些标准以一个建筑群为设计单元,有的是以一幢建筑物为设计单元,以一个建筑群为单元的网络系统结构,其组成为

  • 工作区(终端)子系统
  • 水平布线子系统
  • 垂直干线子系统
  • 管理子系统
  • 设备间子系统
  • 建筑群子系统

### 5.2.2 工作区(终端)子系统

网络工程设计教程--系统集成方法_第37张图片

工作区布线是由终端设备到信息插座的连线组成,就是从通信的引出端到工作站之间的连接线它主要包括:

  • 与用户设备连接的各种信息插座和相关配件
  • 终端设备包括计算机、电话机、传真机等
  • 应该配备非屏蔽双绞线的RJ-45插座、RJ-11电话连接插座、图像信息连接插座以及连接这些插座与终端设备之间的连接软线和扩展连接线等

布线通常属于非永久性的,根据用户的需要随时可以移动、增加或改变,既便于连接也易于管理;种类、数量视应用而定。

5.2.3 水平布线子系统

网络工程设计教程--系统集成方法_第38张图片
是建筑物平面楼层的分支系统,它一端来自垂直干线的楼层配线间(即管理子系统)的配线架,另一端与工作区的用户信息插座相连,传输介质有光缆、同轴电缆和双绞线等。在同一楼层可以设置楼层配线架,该子系统是由楼层配线架至各个通信引出端为止的通信线路。传输介质中间不宜有转接点,布线通常有暗管预埋,墙面引线;或地下管槽,地面出线两种。

5.2.4 垂直干线子系统

网络工程设计教程--系统集成方法_第39张图片是高层建筑垂直连接的各种传输介质的组合,它将各个楼层的水平布线子系统连接起来,是结构化布线的骨干部分。千线可以是光缆、大对数电缆或双绞线。传输介质安装在沿着贯穿建筑物各个楼层的竖井之内,垂直竖井在每个楼层有连接水平子系统的分支房间,这个房间通常称为管理子系统。在多层高建筑或二层以上的低建筑中,这一系统构成垂直子系统关系。

5.2.5 管理子系统

网络工程设计教程--系统集成方法_第40张图片由各个楼层的配线架构成,实现垂直子系统与水平布线子系统之间的连接。管理子系统也称配线系统,它就像一一个楼层调度室。由它来灵活调整一层中各个房间的设备移动和网络拓扑结构的变更。管理子系统常用的设备包括双绞线配线架或跳线板、光缆配线架或跳线系统,除此之外还有一些集线器、适配器和光缆的光电转换设备等。

5.2.6 设备间子系统

网络工程设计教程--系统集成方法_第41张图片

是一幢楼中集中安装大型通信设备、主机、网络服务器、网络互连设备和配线接续设备的场所。在这里监视、管理建筑物内整个网络系统。设备间子系统所连接的设备主要是服务的提供者,并包含大量的与用户连接的端子。该机房担负户外系统与户内系统的汇合,同时集中了所有系统的传输介质公用设备和配线接续设备等。
该子系统位置通常选择在一幢楼的中部楼层

  • 便于垂直、水平布线子系统连接,满足电磁环境要求
  • 它涉及到结构化布线的投资、施工安装与维护等
  • 机房供电要求严格,通常必须配备不间断电源(UPS)。

5.2.7 建筑群子系统

网络工程设计教程--系统集成方法_第42张图片是将一个建筑物中的电缆延伸到建筑群的另一些建筑物中的通信设备和装置上。支持提供楼群之间通信所需要的硬件,如有光缆、
同轴电缆或双绞线等传输介质。采用介质,根据网络的规模、通信的传输距离和用户的容量而确定,通常优先考虑采用光缆。布线通常有通过地下管道布线和架空布线两种方式,它与户内系统的连接进入设备间子系统。

5.3 结构化布线系统的设备部件

5.3.1 结构化布线系统的设备部件

结构化布线系统中所需要的设备和部件很多,大体上划分为

  1. 传输介质。传输介质是连接网络各个站点的物理通道。提供可靠的物理通道是信息能够正确、快速传递的前提(第2章讲过)
  2. 介质之间的连接部件
  3. 配线接续设备等几类

5.3.2 结构化布线中的连接部件

  1. 配线架
    由各种各样的跳线板与跳线组成,能够方便地调整各个区域内的线路连接关系。当需要调整布线系统时,通过配线架系统的跳线
    重新配置布线的连接顺序。跳线的种类很多,如光纤跳线、电缆跳线等。为了操作方便,电缆配线架大多都采用无焊接的连接方法。
    网络工程设计教程--系统集成方法_第43张图片
  2. 双绞线连接设备
    双绞线布线系统中的连接部件主要是RJ-45,除此之外就是用户的信息接插座或叫通信引出端子,由此以便与终端设备相连接。
  3. 同轴电缆连接设备
    同轴电缆布线中所需要的连接部件比较多。如N系列和BNC系列。
  4. 光缆连接设备
    光缆布线中所需要的连接设备有光缆配线架、光纤连接器和光电转换器等设备。

5.4 布线系统工程设计

5.4.1 布线系统工程设计

几项内容:

  • 对用户通信要求的评估
  • 实地勘察建筑群或建筑物的地理环境
  • 根据地理环境选择传输介质、网络设备
  • 绘制网络工程布局、配置蓝图
  • 进行工程造价估算

5.4.2 结构化布线系统标准

  • EIA/TIA568商业建筑电信布线标准
  • ISO/IEC11801建筑物通用布线的国际标准
  • EIA/TIA TSB-67非屏蔽双绞线系统传输性能验收规范
  • EIA/TIA569民用建筑建筑通信通道和空间标准
  • EIA/TIA民用建筑中有关通信接地标准
  • EIA/TIA民用建筑通信管理标准
  • 我国于1995年3月颁布并批准《建筑与建筑群综合布线系统工程设计规范》

5.4.3 结构化布线系统的测试

分为验证测试和鉴别测试两类

  1. 验证测试就是测试线缆的基本安装情况.
  2. 鉴别测试则是在满足正确连接的同时,测试其电气特性是否达到设计要求等
    测试的内容通常包括
  3. 线缆长度
  4. 特性阻抗
  5. 噪声
  6. 衰减
  7. 近端串扰
    测试工具通常分为两类
  8. 线缆检测工具,如TESTALLIV检测仪和Fluke620检测仪等
  9. 线缆测试工具,如DSP- 100数字式测试仪、TEXT-ALL25测试仪和938系列光缆测试仪等
    网络工程设计教程--系统集成方法_第44张图片网络工程设计教程--系统集成方法_第45张图片

5.5 网络机房设计

5.5.1 网络机房电源设计

对机房的要求主要考虑面积、地面、墙壁、顶棚、门窗和照明等
机房位置的选址:通常选择在高层大楼的中层为宜。
机房面积的确定:通常网络系统机房面积设计应为设备占用面积的5~ 7倍的关系。
计算机网络系统机房装饰设计:机房地面、机房墙面、机房顶棚、机房门窗、机房照明。

5.5.2 机房环境设计

由于网络系统设备的高精密和系统的接插件多,所以机房环境的设计要求较高。通常需要考虑的因素有:电源、灰尘、温度与湿度腐蚀和电磁干扰等,这些方面也是造成计算机网络系统故障的主要环境因素。机房温度与湿度的环境:开机时的机房温度通常要求在15~ 30°C,停机时的机房温度要求在5~ 35°C;般湿度保持在20% ~ 80 %。

5.5.3 机房空调容量设计

机房都主要是靠空调机进行温度和湿度的调节,空调容量的设计,通常需要考虑设备发热、机房照明的发热、机房人员的热量、机房外围结构和空气流通等因素。
计算方法 K=(100 ~ 300)x 2S(大卡) 其中K为空调容量,ZS为机房面积。

5.6 网络机房电源设计

5.6.1 配电系统设计

计算机网络系统设备间或中心机房的供电系统,通常要求不间断地供电,即建立不停电系统,采用一类供电。也可以采用两路供电系统,一旦一路停电,立即自动切换到另一路供电系统。

5.6.2 供电系统的负荷计算

一个机房或一个用电系统,分为照明用电、空调用电和设备用电。负载功率有实测法和估算法两种

  1. 实测法即指在通电的情况下,测量负载电流。如果负载为单相时,则为相电流与相电压乘积的2倍作为负载功率;如果负载为三相时,则用相电流与相电压乘积的3倍作为负载功率。
  2. 估算法则是将各个单项负载功率加起来,所得的和再乘以一个保险系数(可取1.3)作为总的负载功率
    上述计算仅作为总负载功率的基数,还要考虑为以后扩容设备留余量。

5.6.3 供电方式

  1. 市电直接供电方式
    适应于电网系统运行稳定,质量又有保证,周围没有大型负载以及电磁干扰
  2. UPS系统供电
  • 在线型UPS即指其机内的逆变器串联在供电回路上,持续不间断地工作着的UPS
  • 后备型UPS是指其机内逆变器通过转换开关并联在供电回路上,只有当市电中断以后才受控工作的UPS
  1. 综合式供电方式
    机房内,电源插座应有两种。一种由UPS电源供电,另一种由市电直接供电

5.6.4 供电系统的安全

用电设备过载
配电系统的设计时,对用电的负荷量要留有充分的余地防止因用电过负荷使电力线发热而可能引发的电源火灾同时UPS和交流稳压电源的功率与负载功率相比,要有一定的余量。
电气保护措施

  • 电力线进入机房时,入口处要有保护措施。注意防止雷电影响,设计时需要增加防雷保护装置
  • 对静电干扰也要有防止措施
  • 电气保护还包括过压保护和过流保护等

5.6.5 机房供电设计

电力供应有以下要求

  1. 电网电压要稳定,通常要求在任何情况下,其偏差不得超过额定值的士5%
  2. 要求电网电压杂波少、干扰小
  3. 防止工业控制系统交变电磁场的辐射干扰
  4. 电网必须在一定的时间内不间断地连续供电
  5. 最好不要与大容量的感性负载电网并联运行,以防止高压涌流
  6. 电网的频率漂移要小,提供计算机网络系统设备的电源的频率偏差不得大于土1 %
  7. 计算机网络系统所用的电源要有良好的接地

5.6.6 电源系统接地设计

所谓接地就是设备的某一部分与土壤之间作良好的电气连接,这就叫作“接地”,与土壤直接接触的金属导体叫作接地体或接地极,连接接地体或设备接地部分的导线叫作地线。接地是以接地电流易于流动为目的,所以接地电阻越低接地电流越易于流动,通常要求接地电阻越低越好,说明接地效果好。计算机供电系统的接地,通常包括交流接地、直流接地和保护接地几种。

5.6.7 接地方式

交流接地
是将交流电电源的地线与大地相接,通常是采用较粗的导线与铜排相接之后,埋设于1.5 ~ 2m深地下,并撒放一些粗盐或木炭增加其导电性能。接地电阻小于3Ω。
直流接地
将直流电源输出端的一个极(负极或正极)与大地相接,提供稳定的零电位,以便供电压参考,可以减少数据传输中差错。通常要求直流接地电阻不得大于1Ω。
保护接地
通常是指各种设备的外壳接地。保护接地的作用是屏蔽外界各种干扰对计算机或其他设备的影响,同时防止因漏电流造成的人身安全问题。

第六章 配置路由器

要点

  1. 熟悉并初步配置路由器
  2. 配置路由器的选路功能
  3. 配置广域网接口
  4. 配置软路由器的方法

6.1 熟悉并初步配置路由器

6.1.1 认识路由器设备

路由器是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备。它能够理解不同的协议,例如某个局域网使用的以太网协议,因特网使用的TCP/IP协议。这样,路由器可以分析各种不同类型网络传来的数据包的目的地址,把非TCP/IP网络的地址转换成TCP/IP地址,或者反之;再根据选定的路由算法把各数据包按最佳路线传送到指定位置。所以路由器可以把非TCP/ IP网络连接到因特网上。
网络工程设计教程--系统集成方法_第46张图片

6.1.2 路由器不是即插即用的网络设备

为支持选路,路由器需要由人工配置相关的信息,这些信息与子网环境相关,如左侧以太端口应当配置一个在左侧网络中合法的IP地址,而右侧以太端口应当配置一个在右侧网络中合法的IP地址。路由器的强大选路功能体现在,只需配置了相邻子网的端口IP地址,再配置选路协议后,这些互联的路由器就能够自行学习到到达全网的各个子网的路由信息。

6.1.3 用路由器连接两个不同的子网

网络工程设计教程--系统集成方法_第47张图片

6.1.4 配置路由器的方式

网络工程设计教程--系统集成方法_第48张图片

6.1.5 路由器首次加电时的配置

由于其内部没有任何配置信息,路由器会自动进入setup配置模式中(也可以在特权用户模式下,随时键入setup进入交互式配置模式)。用户只需回答IOS不断提出的问题,便可轻松地完成路由器的初步配置。Setup配置模式只能配置有限的功能,也可以按Ctrl+C组合键中断Setup配置方式,转而采用命令行模式配置路由器。

6.1.6 路由器命令模式

有3种具有不同配置权限的配置模式
用户模式“Router>“
只有最低访问权限,可查看路由器的当前连接状态,访问其他网络和主机,但不能看和转发路由器的设置内容。
特权模式“Router #”
输入“enable” 命令即进入特权模式,查看路由器配置和测试路由器,若输入“exit” 或“end” 命令可返回用户模式。
全局配置模式“Router(config)#"
输入“configure terminal”命令,可配置路由器的全局参数

6.2 配置路由器的选路功能

6.2.1 配置端口地址

必须为路由器的每个端口配置一个合适的IP地址。它才能工作。以为该路由器各个端口配置如下表所列IP地址信息为例进行讲解,使这些子网之间能够互联通信。
网络工程设计教程--系统集成方法_第49张图片

Red-Giant>enable
!转入特权模式
Red-Giant#
Red-Giant#tconfigure terminal
!进入全局配置模式
Red-Giant(config)#
Red-Giant(config)#interface fastethernet 1/0
!进入路由器Fa1/0接口模式
Red- Giant(config-if) #ip address 192.168.1.1 255.255.255.0 ! 配置端口地址
Red-Giant(config-if) #no shutdown
Red-Giant(config)#interface fastethernet 1/1
!进入路由器Fa1/1接口模式.
Red-Giant(config- if) #ip address 192.168.2.1 255.255.255.0 ! 配置端口地址
Red-Giant(config-if) #no shutdown
Red-Giant(config)#interface Serial 1/2
!进入路由器Serial 1/2接口模式
Red-Giant(config-if) #ip address 192.168.3.1 255.255.255.0 ! 配置端口地址
Red-Giant(config -if) #no shutdown
Red-Giant(config-if)#end
!直接退回到特权模式
Red- Giant#

6.2.2 配置RIP协议

为路由器各个端口配置了特定的IP地址后,路由器仍不能起到联通各个子网的作用,这时需要为该路由器配置选路协议。为路由器配置一种动态选路协议后,路由器之间可以通过选路协议自行调整路由,从而使分组到达其目的地。当前比较典型的动态选路协议有OSPF和RIP等选路协议,前者比较适合大型网络,后者适合小型网络。

6.2.3 配置RIP选路协议

启用RIP选路协议,并定义与RIP进程关联的网络
Router(config)# router rip !启 用RIP选路协议
Router(config-router)# network network-number !定义关联网络
要用命令指定RIPv1和版本2版本:
Router(config)# router rip ! 启用RIP选路协议
Router(config-router)# version {112} ! 定义RIP协议版本
Router(config-router )# network network-number ! 定义关联网络

6.2.4 配置OSPF协议

OSPF适用于较大规模的网络,并一般采用分层结构,即将OSPF覆 盖的区域分割成几个区域(area),而区域之间通过一个主干区域rea0(主干区域定义为区域0) 互联。
网络工程设计教程--系统集成方法_第50张图片

6.2.5 配置OSPT

先启动OSPF协议,并配置路由器的网络地址和区域信息

Router#configure terminal
Router(config)# router ospf		!启动OSPF路由进程

定义接口所属区域如下:

Router(config-router)#network wildcard area area-id

需要定义与该OSPF路由进程关联IP地址,以及该范围IP地址所属的OSPF区域。OSPF路由进程只在属于该IP地址范 围的接口发送、接收OSPF报文, 并且对外通告该接口的链路状态

6.2.6 配置静态路由

重要干线的路由器通常要配置静态路由。静态路由优先于动态路由,无论路由器配置动态选路协议是否,它都会按静态路由来转发分组;仅当路由器配置静态路由的端口出现了故障,才后按动态选路协议给出的路由进行转发。静态路由和动态路由的结合能够提高网络可靠性
静态路由是网管人员人工配置的,一旦静态路由生效,它不会自行发生变化。在所有的路由中,静态路由优先级最高(即链路费用为0或1 )

6.2.7 配置静态路由的网络场景

为路由 器配置静态路由可使用 命令“ip route“,其格式如下:

router #configure terminal
router(config)# ip route 0.0.0.0 0.0.0.0 172.16.2.2 	!配置匹配不成功的数据都经过172.16.2.2接口转发

分别对两台路由器配置静态路由,配置完可以分别使用“showiproute”命令检查结果。

6.3 配置广域网接口

6.3.1 配置HDLC协议

高级数据链路控制( HDLC)是面向比特、同步数据传输链路层协议,是广域网数据链路层使用最广泛的协议,用于在网络节点间以全双工、点对点方式传送数据。在路由器中,连接广域网接口的数据链路层协议都默认为HDLC,可通过如下命令查询路由器状态:

RouterA # configure terminal
RouterA ( config ) #interface serial 1/2
RouterA #show interface serial 1/2 ! 查看RA serial 1/2接口的状态
serial 1/2 is UP,line protocol is UP !接口的状态,是否为UP
Hardware is PQ2 SCC HDLC CONTROLLER serial
Interface address is:1.1.1.1/24 !接口IP地址的配置
MTU 1500 bytes, BW 512 Kbit  !查看接口的带宽为512KB
Encapsulation protocol is HDLC, loopbacknotset !接口封装的是HDLC协议
Keepalive interval is 10sec , set
Carrier delay is 2 sec
RXloadis 1 ,Txload is 1Queueing strategy: WFQ
5 minutes input rate 17 bits/sec, 0 packets/sec
5 minutes output rate 17 bits/sec, 0 packets/sec
511 packets input, 1 1242 bytes, 0 no buffer
Received 511 broadcasts, 0 runts, 0 giants
0 input errors,0 CRC, 0 frame, 0 overrun,0 abort
511 packets output, 11242 bytes, 0 underruns
0 output errors, 0 collisions, 1 interface resets
1 carrier transitions
V35 DCE cable  !该接口为DCEDCD=up DSR=up DTR=up RTS=up CTS=up

如该接口封装的是PPP协议而不是HDLC协议,需要修改为HDIC协议
在接口配置状态下,使用命令“encapsulation” 完成

RouterA # configure terminal
RouterA (config)# interface serial 1/2 
RouterA (config-if)# encapsulation HDLC		!把该接口封装为HDLC协议
RouterA (config-if)#no shutdown

6.4 配置软路由器的方法

6.4.1 “软路由器”方法

如果手头没有路由器,或没有这么多台路由器,或没有经费买,如何做这些实验呢?
软路由器”是指在使用Intel架构的PC上运行Windows Server或Linux操作系统,所形成的一台“路由器“。外特性上与上述路由器没有太大差别,其转发速度和可靠性通常与路由器无法相比,是路由器的临时代用品。在一台PC上插上双网卡,然后安装并运行Windows2000/2003 Server操作系统,并进行适当配置。

6.4.2 配置”软路由器“的方法

请参阅《计算机网络实验教程:从原理到实践》”1.5 IP选路"

第七章 企业网设计

要点

  1. 网络拓扑结构设计
  2. IP地址规划

7.1网络拓扑结构设计

7.1.1 平面拓扑结构

网络拓扑图

  • 设计网络拓扑图是设计复杂网络重要的一步
  • 一个图G是两个不相交的集所组成的有序对,其中V 是顶点集,而E是边集,E是V元素的无序对集合的一个子集
  • 图的边表示一个网络或子网,图的顶点表示路由器等互连设备
  • 该图只说明网络的几何形状,而不表明子网或互连设备的具体位置
  • 首要问题是确定网络和互连点,明确网络的大小和范围,以及所需要的网络互连类型,但不必是具体的设备

平面拓扑结构

  • 平面网络:没有层次的网络
  • 每个互连设备实质.上都完成类似的工作,网络既不分层,也不划分模块
  • 平面网络结构易于设计和实现

网络工程设计教程--系统集成方法_第51张图片平面局域网拓扑结构
将许多微机和服务器与一个交换机连接,采用是平面结构设计;为满足大量用户和高带宽应用程序对带宽要求,考虑用交换机形成高速主干,形成具有二层网络拓扑结构能够将网络分解成多个小的冲突域,使得在任何时候只有有限数量的设备争用带宽;当主机数量进一步增多时,可以将路由器添加到企业网中以隔离广播通信。

平面光广域网拓扑结构
小型企业网可能由连接成回路的几个场点构成,每个场点都有一个WAN路由器,通过点对点链路与相邻场点相连;该平面拓扑结构具有容错的优点;回路结构意味着在双向回路路由器之间有许多跳,结果将导致明显的时延和较高的差错率;回路结构两侧的路由器交换了大量的流量,应当考层次结构,而不是平面结构。

层次型冗余拓扑结构
为避免单点故障,可在设计中采用冗余的路由器或交换机

  • 平面结构可以满足低成本和良好的可用性目标,但要求网络的范围较小
  • 冗余结构可以满足可扩展性、高可用性和低时延目标。

网状拓扑结构
提供了完全冗余和良好的性能;
使用和维护代价很高,它在性能优化、排错和升级方面也较困难;
限制了连接到路由器PC的数量;
网络工程设计教程--系统集成方法_第52张图片

7.1.2 按三层层次模型设计网络结构

处理一个大型复杂系统的最常用的方法是“分而治之”同理,对于设计一个大型的网络系统,一个常用的方法是“分层设计”使用层次模型设计的好处:

  1. 减轻网络中机器的CPU负载
  2. 增加网络可用带宽
  3. 简化每个设计元素并且易于理解
  4. 容易变更层次结构
  5. 网络互连设备可以充分发挥它们的特性

层次型拓扑结构
分层模型的每一层都有特定的作用
核心层提供两个场点之间的优化传输路径;汇聚层将网络服务连接到接入层,并且实现安全、流量负载和选路的策略;在广域网设计中,接入层由园区边界,上的路由器组成。在园区网中,接入层为端用户访问提供交换机或集线器。

三层层次模型网络拓扑
网络工程设计教程--系统集成方法_第53张图片层次型网络设计原则

**原则1:**控制分层企业网拓扑结构的范围。在大多数情况下,需核心层、汇聚层和接入层三个主要层次。
控制网络规模的好处
可提供较低的和可预测的等待时间,从而可以帮助预测选路策略、通信流量和容量需求;有助于排错,并使网络文档容易编写。
设计接入层有两种容易犯的错误,应当避免:

  • 额外的链
  • 后门
    注:有时需要采用链和后门的方法来设计网络。例如,可能需要一条链来增加一个国家,有时需要增加一个后门来提高同一层两个并行设备之间的性能和冗余性。
    **原则2:**先设计接入层,其次设计汇聚层,最后是核心层。
    从接入层开始设计,可以为汇聚层和核心层进行更精确的性能和容量规划,更好地认清所需要的汇聚层和核心层优化技术;应使用模块化和分层技术设计每一层,然后根据对通信加载、流量和行为的分析来规划层与层之间的互连。

7.1.3 网络结构的冗余设计

基本思想:通过重复设置网络链路和互连设备来满足网络的可用性需求。冗余是提高网络可靠性和可用性目标的最重要方法。减少由于单点故障而导致整个网络故障;重复设置必需的组件,使关键应用不停运,仅性能降低冗余的对象可能是核心路由器、电源、广域主干网或ISP网络等。在企业网核心层和汇聚层均可实现冗余。

备用设备
对于关键部位的路由器或交换机需要冗余。有些厂商为了满足这种冗余设计的需求,设计、制造了具有双背板、双电源、双引擎的设备,这种设备实际.上能被看作两台独立的设备右图为一个典型的分层和冗余的企业网设计,该设计使用了部分网状层次结构部。

网络工程设计教程--系统集成方法_第54张图片网络工程设计教程--系统集成方法_第55张图片备用路径
为防止路径故障,必须提供一条备用路径。备用路径由独立备用链路构成
备用路径的容量通常比,主路径的要小,且使用不同技术。如果需要一条与主路径性能完全相同的备用路径,即使价格昂贵也应当这样去设计若路径中断不可接受,应采用主路径与备用路径间自动切换技术。若允许短暂中断,也可手动重新启动备用路径的方法。备份链路除了用于冗余外,还可用于负载平衡。
负载平衡
冗余的主要目标是满足可用性需求,另一个目标就是能够通过并行链路支持负载平衡来提高性能。按照获取系统状态信息与否,负载平衡算法可以分为静态算法和动态算法两类。
静态算法适合用于网络负载变化不剧烈,包含静态.内容较多的集群系统。两种典型静态算法:随机算法、循环域名(Round Robin)算法。
动态算法利用系统当前状态信息作决定,负载均衡性方面较好,但开销较大。
网络工程设计教程--系统集成方法_第56张图片

7.1.4 企业网络拓扑结构设计

园区网应当使用层次模型设计,使网络具有良好的性能、可维护性和可扩展性
可使用如下技术:

  • 较小的广播域
  • 冗余分布子网
  • 冗余服务器等技术
    VLAN是经常用采用的技术
    将一个大的平面网络分解为多个子网,缩小广播域。一个VLAN交换机不是将所有广播传送到每个端口,而是将广播只传送到同一子网的某个部分。
    设计园区网使用交换机还是路由器?
  • 主要使用交换机,尤其是三次交换机的出现,很大程度上替代了路由器;
  • 通常在接入层使用二层交换机,在汇聚层使用三层交换机。

冗余LAN网段
这种设计能够实现负载平衡和容错。采用这种设计的结构 ,园区可以扩展到非常大的范围。
网络工程设计教程--系统集成方法_第57张图片冗余服务器
服务器是网中最重要的设备或资源类型之一,它主要用于存放数据资源。
根据用户的应用需求,在园区网中,可将文件服务器、Web服务器、动态主机配置协议DHCP服务器、名字服务器、数据库服务器等设计为冗余结构。

7.1.5 企业网的WAN拓扑设计

企业网通过在网络内部的种种设计,以及配置多条通向因特网的路径,来满足用户的可用性和性能目标要求为了连接企业网外部站点或合作伙伴,同时保证WAN的数据安全,可以使用专用线路或者采用虚拟专用网跨越因特网来连接企业网。

冗余广域网链路
企业级网拓扑中常包括冗余(备份)广域网链路。一个广域网可被设计为完全网状或部分网状。考虑到所付出的代价,采用分层部分网状拓扑结构一般能满足要求。了解实际物理电路情况,选择物理上不同的通信设备组成的网络。应与广域网供应商讨论有关电路实际设置的问题,并写入合同。从通信公司到本单位建筑物的本地电缆往往是网络中最薄弱的链路部分,它会受到建筑施工、火灾、洪水、冰雪和缆线挖断等其他许多因素的影响。
多因特网连接
指为一个企业网提供一条以上的链路进入因特网的情况。根据用户的目标,一个企业网可以采用多种不同的方式。
虚拟专用网参见第8章
网络工程设计教程--系统集成方法_第58张图片

7.2 IP地址规划

7.2.1 网络寻址基本概念

在因特网中,每个与网络相连主机的接口都需要有一个惟一的P地址。所谓网络地址规划是指根据P编址特点,为所设计的网络设备分配合适的IP地址,使之能够高效地联网工作。路由器的产生了几个分离的网络岛,这些分离的网络中的每个都叫做一个子网。
无类别域间选路
32比特的IP地址被划分为两部分,并且也具有点分十进制数形式a.b.c.d/x,其中x指示了在地址的第一部分中的比特数目x最高比特构成了P地址的网络部分,并且经常被称为该地址的前缀。一个地址的剩余32-x 比特能被认为用于区分该组织内部设备的,所有设备具有相同的网络前缀。设某CIDR化的地址a.b.c.d/21的前21比特定义了该组织的网络前缀,对该组织中的所有主机的IP地址来说是共同的,其余的11比特标识该组织内的主机。
获取一块IP地址
ICANN统一负责对IP地址的分配进行管理,IANA把地址分配给地域性因特网注册机构RIR。
等级编址与路由聚合
网络工程设计教程--系统集成方法_第59张图片分配企业网主机地址
某企业网管理员向某ISP申请了一个地址块 200.24.16.0/20,而该网管员希望将该地址块平均分配给8个子网。他该如何划分呢?
网络工程设计教程--系统集成方法_第60张图片为一台主机分配一个IP地址
两种方法

  • 手工配置。一位系统管理员手工为一台主机配置IP地址(通常在一个文件中);
  • 动态主机配置协议(DHCP),允许一台主机自动地获取(被分配)一个IP地址,同时还获得其他信息,例如它的子网掩码,它的第一跳路由器地址(常称为默认网关)与它的本地DNS服务器的地址。

分类编址方案中的子网划分
网络标志、主机标志和子网地址,使IP地址形成一个3级的地址空间。它比平面地址更有效。因特网用32比特的子网掩码表示子网号字段长度。

  • 子网掩码由一连串的“1”和一连串的“0”组成
  • “1"对应网络号和子网号字段,而“0"”对应主机号字段
    网络工程设计教程--系统集成方法_第61张图片分类编址方案中的子网计算
    设从主机标志部分借用n位给子网,剩下m位作为主机标志,那么生成的子网数量为2n-2,每个子网具有的主机数量为2m-2台。设计的基本过程是:
  • 根据所要求的子网数和主机数量,由公式2n-2推算出n。n应是一个最小的接近要求的正整数
  • 求出相应的子网掩码,即用默认掩码加上从主机标志部分借用的n位组成新的掩码
  • 子网的部分写成二进制,列出所有子网和主机地址;去除全0和全1地址
    例子:C类地址划分子网
    一个C类地址192.168.143.0,网内可有至多254台主机。要将该网分成6个子网,每个子网能容纳25台机器
    **解:**考虑到要去除两个保留的特殊子网地址,至少需要8个子网,则n- 3,新的子网掩码为:192.168.143/27,而每个子网可容纳的主机数量为25-2=30。
    子网划分:
    192.168.143.000XXXXX//192.168.143.0~192.168.143.31,全0需去除
    001 //192.168.143.33~192.168.143.62
    010 //192.168.143.65~192.168.143.94
    011 //192.168.143.97~192.168.143.126
    100 //192.168.143.129~192.168.143.158
    101 //192.168.143.161 ~192.168.143.190
    110 //192.168.143.193~192.168.143.2232
    111 //192.168.143.224~192.168.143.255,全1需去除
    例子:B类地址划分子网
    网络工程设计教程--系统集成方法_第62张图片

7.2.2 网络层址分配原则

对于网络层的地址应当进行规划、管理和记录。必须设计好并管理好这些网络地址

  • 在分配地址之前设计结构化寻址模型-为寻址模型的扩充预留地址空间
  • 以分层方式分配地址块,以改进可扩展性和可用性-为避免移动带来的问题,应根据网络物理位置分配地址块
  • 分配网络地址时尽可能使用有意义的编号
  • 可授权网管理水平较高地区管理自己的网络、子网-为满足灵活性而使配置最小,端系统使用动态寻址-为满足安全性和适应性,使用NAT专用地址

使用结构化网络层寻址模型
能够使地址是有意义的、分层的和良好规划的为一个企业网分配一块IP地址,然后将每块地址分成子网,再将子网划分为更小的子网,这也是一种结构化IP寻址模型
优点

  • 有利于地址的管理和故障检测
  • 容易理解网络结构、操作网络管理软件和利用协议分析仪的跟踪和报告识别设备
  • 还实现了网络优化和安全性

动态寻址
如缺少有经验网络管理员,尽量简化寻址和命名模型是很重要的,配置内容也要尽量简单;
此时可使用动态寻址,如DHCP;
动态寻址减少了将端系统连接到互连网络所需的配置工作量,能那些频繁变动、旅行或在家工作的用户带来便利。

7.2.3 名字空间设计

目的是设计一个IP互连网络设备的命名模型,满足用户易用性、可管理性、性能和可用性目标
优点

  • 使用名字而非地址能够提高系统易用性
  • 简短而有意义的名字能够提高用户的生产率,简化网络管理
  • 一个好的命名模型还可以增强网络的性能和可用性一个好的命名模型应当允许用户通过名字而不是地址透明地访问应用服务

命名的分布授权
命名分布授权的缺点是名字难以控制和管理,但如果所有的用户和组都统一使用同样的策略,那么命名分布授权有许多优点

  • 最明显的优点是没有任何一个部门负担分配并维护所有名字的工作
  • 其他优点包括性能和可扩展性
  • 对服务器内存和处理能力的需求就会减少-减少了网络通信量

分配名字的原则
名字应当简短、有意义、无二义性并易于辨认

  • 例如,路由器名字的后缀可以使用字符rtr,交换机使用sw,服务器使用svr等
    名字也可以包括位置代码,位置代码可以使用字母,也可以使用数字,甚至使用汉字;名字一般不要区分字母的大小写;必须在易用性和安全性之间作一个折衷。

第八章 网络安全设计

要点
网络安全设计的步骤
选择网络安全机制
选择数据备份和容错技术
设计网络安全方案
网络工程案例教学

8.1 网络安全设计的步骤

8.1.1 网络安全问题的起源

ARPAnet设计初期没有考虑网络安全问题

  • 网络规模小而且专用,物理控制计算机和通信硬件,门锁和警卫即可保证安全
    因特网已成为世界上第一大网并向世界开放,应用领域不断扩展,安全性需求随之日益增加
  • 保证网络整体的物理安全性已经不可能
  • 网上居心叵测的人位于大部分其他设备之间,无法保证发送和接收的数据是安全的
    我们访问网络获取信息的方式越便捷,保护网络各种资源的安全也就越困难

8.1.2 信息安全性的3个方面

-安全攻击:危及由某个机构拥有的信息安全的任何行为
-安全机制:设计用于检测、防止或从安全攻击中恢复的机制
-安全服务:目标是对抗安全攻击,它们利用一个或多个安全机制来提供该服务

8.1.3 要防止两种极端认识

  • 对信息安全问题麻木不仁,不承认或逃避网络安全问题。
  • 盲目夸大信息可能遇到的威胁。如对一些无关紧要的数据采用极复杂的保护措施。
  • 解决任何网络安全的问题都是要付出代价;某些威胁需要投入大量精力来控制,另一些则相反。

8.1.4 网络风险评估

风险管理包括一些物质的、技术的、管理控制及过程活动的范畴,根据此范畴可得到合算的安全性解决方法。对计算机系统所受的偶然或故意的攻击,风险管理试图达到最有效的安全防护
一个风险管理程序包括四个基本部分

  • 风险评估(或风险分析)
  • 安全防护选择
  • 确认和鉴定
  • 应急措施

8.1.5 风险分析

风险指损失的程度;
风险分析的目的是帮助选择安全防护措施,将风险降到可接受的程度;
大多数风险分析的方法先都要对资产进行确认和评估;可分为定量(如货币的)的或定性(估计)的方法选择一系列节约费用的控制方法或安全防护方法,为信息提供必要级别的保护;
网络资产可以包括网络主机,网络互联设备以及网络上的数据,以及知识产权、商业秘密和公司名誉。

8.1.6 安全防护选择

必须选择安全防护来减轻相应的威胁。通常,将威胁减小到零并不合算。管理者决定可承受风险的级别,采用省钱的安全防护措施将损失减少到可接受的级别。安全防护的几种方法:

  • 减少威胁发生的可能性
  • 减少威胁发生后造成的影响
  • 威胁发生后的恢复

8.1.7 确认和鉴定

是进行计算机环境的风险管理的重要步骤

  • 确认是指一种技术确认,用以证明为应用或计算机系统所选择的安全防护或控制是合适的,并且运行正常
  • 鉴定是指对操作、安全性纠正或对某种行为终止的官方授权
  • 应急措施是指发生意外事件时,确保主系统连续处理事务的能力

8.1.8 分析安全性的折衷方案

保护该网的费用是否比恢复的费用要少

  • 费用:不动产、名誉、信誉和其他一些潜在财富
    折衷必须在安全性目标和可购买性、易用性、性能和可用性目标之间做出权衡
  • 维护用户注册IP、口令和审计日志,安全管理增加了管理工作量
  • 安全管理还会影响网络性能
  • 往往需要减少网络冗余,增加单故障点

8.1.9 开发安全方案

安全设计的第一步是开发安全方案。安全方案是一个总体文档,它指出一个机构怎样做才能满足安全性需求。计划详细说明了时间、人员和其他开发安全规则所需要的资源。安全方案应当参考网络拓扑结构,并包括一张它所提供的网络服务列表。应当根据用户的应用目标和技术目标,帮助用户估计需要哪些服务。应当避免过度复杂的安全策略一个重要方面是对参与实现网络安全性人员的认定。

8.1.10 开发安全策略

安全策略是所有人员都必须遵守的规则;安全策略规定了用户、管理人员和技术人员保护技术和信息资源的义务,也指明了完成这些义务要通过的机制;开发安全策略是网络安全员和网络管理员的任务,并广泛征求各方面的意见。网络安全的设计者应当与网络管理员密切合作,充分理解安全策略是如何影响网络设计的;开发出了安全策略之后,由高层管理人员向所有人进行解释,并由相关人员认可;安全策略是一个不断变化的文档。

8.1.11 开发安全过程

开发安全过程实现安全策略。该过程定义了配置、登录、审计和维护的过程;安全过程是为端用户、网络管理员和安全管理员开发的;安全过程指出了如何处理偶发事件,如果检测到非法入侵,应当做什么以及与何人联系;需要安排用户和管理员培训安全过程。

8.2 选择网络安全机制

8.2.1数据加密和数字签名

加密算法

  • 对称密钥算法和公开密钥加密体制-计算不可破
    信息加密解密的模型
    网络工程设计教程--系统集成方法_第63张图片

8.2.2 鉴别

鉴别(authentication)就是向其他人证明一个人身份的过程
鉴别协议首先建立满足通信对方要求的身份标识;鉴别完成之后通信实体才开始具体的工作。

8.2.3 报文完整性协议

有时通信的双方并不关心是否有人在窃听,而只关心发送过来的报文是否是真的,从真实的对方发送过来的报文中途是否没有被改变;这就是要确保报文完整性的问题。

8.2.4 完整性:报文摘要

公钥技术的加、解密的计算代价昂贵,有时数据不需要加密,但不能篡改;报文摘要不用加密全部报文就可以实现签名和防篡改;MD5摘要算法正在广泛使用。

8.2.5 密钥分发

公钥密码也有其自身的缺陷,特别是如何获取某一方真正的公钥的问题。确定用于对称密钥密码的共享密钥和安全获取公钥密码的正确公钥的问题,都可通过使用一个可信中介(trustedintermediary)得到解决。对于对称密钥密码体制,可信中介被称为密钥分发中心(keydistribution center, KDC),它是唯一可信的网络实体,任一方能与它创建一个共享密钥。对公钥密码而言,KDC被称为证书权威机构(certification authority,CA)。

8.2.6 公钥认证

用户可以多种方式公开发布其公钥

  • 放在其个人网页上、把公钥放置在公钥服务器上、或通过电子邮件把公钥发送给对方
    要使公钥密码有用,实体(用户、浏览器和路由器等)必须能够确定它们所得到的公钥确实来自其通信的对方由证书权威机构(CA)把一个特定实体与其公钥绑定到一起,CA的职责就是使得实体身份和其发出的证书有效
    ITU X.509 [ITU 1993]规定了证书的一种鉴别服务和特定的证书语法。

8.2.7 授权:访问控制

鉴别控制谁能访问网络资源,而授权则指出一旦它们可以访问网络资源时,它们能做些什么。安全管理员为进程或用户设置权限,授权是控制网络安全的一部分。根据用户的部门或工作性质,能为不同用户授予不同的权限。
基于角色的访问控制(RBAC)是自主访问控制(DAC)和强制访问控制(MAC)策略的另一种选择。

  • 将代表行为的“操作”与角色相关联,而角色的成员由适当的用户组成,这可大大简化安全管理。

8.2.8 审计

为有效地分析网络安全性和响应安全性事件,安全过程应当收集有关的网络活动数据。这种收集数据的过程就被称为审计。
对于使用安全性策略的网络,审计数据应当包括任何个人获得鉴别和授权的所有尝试。
收集的数据应当包括试图登录和注销的用户名以及改变前后的访问权限。审计记录中的每一个等级项都应当有时间戳。审计过程不应收集口令。审计的进一步扩展是安全性评估。

8.2.9 恶意软件

恶意软件就是恶意的程序代码,通常是以某种方式悄然安装在计算机系统内的软件。这些程序代码具有一些人们所不希望的功能,影响网络系统的数据安全性和资源可用性
恶意软件大体可以分为5大类

  • 病毒
  • 蠕虫
  • 特洛伊木马
  • 恶意远程程序
  • 追踪Cookie

8.2.10 恶意软件的定义(中国互联网协会)

特征

  • 强制安装
  • 难以卸载
  • 浏览器劫持
  • 广告弹出
    -恶意收集用户信息
    恶意卸载
  • 恶意捆绑
    流氓软件:常常介于病毒程序和正常程序之间的程序

8.2.11 防火墙的定义

防火墙(firewall)是把一个组织的内部网络与整个Internet隔离开的软件和硬件的组合,它允许一些数据分组通过,禁止另一些数据分组通过。
防火墙允许网络管理员控制对外部网络和被管理网络内部资源之间的访问,这种控制是通过管理流入和流出这些资源的流量实现的。
三种类型

  • 分组过滤防火墙
  • 应用程序级网关
  • 电路级网关
    网络工程设计教程--系统集成方法_第64张图片

8.2.12 入侵检测

网络内部人员滥用职权往往对网络安全危害性很大入侵检测用于识别未经授权使用计算机系统资源的行为;识别有权使用计算机系统资源但滥用特权的行为(如内部威胁);识别未成功的入侵尝试行为即使一个系统中不存在某个特定的漏洞,入侵检测系统仍然可以检测到特定的攻击事件,并自动调整系统状态对未来可能发生的侵入做出警告预报它是一种利用入侵留下的痕迹,如试图登录的失败记录等信息来有效地发现来自外部或内部的非法入侵的技术。它以探测、控制为技术本质,起着主动防御的作用。

8.2.13 入侵检测系统的类型

通常分为基于主机和基于网络两类
基于主机的IDS

  • 早期用于审计用户的活动,如用户的登录、命令操作行和应用程序使用等。一般主要使用操作系统的审计跟踪日志作为输入。
    基于网络的IDS
  • 在网络中某点被动地监听网络上传输的原始流量,通过对俘获的网络分组进行处理,从中得到有用信息。
    入侵检测方法一般可以分为基于异常的入侵检测和基于特征的入侵检测两种方式。

8.2.14 虚拟专用网VPN

**基本思想:**跨越费用低廉的公网来扩展信任关系而不牺牲安全性。理想的VPN应当像一个专网一样,它应当是安全的、高度可用的和具有可预测的性能。
网络工程设计教程--系统集成方法_第65张图片

8.2.15 物理安全性

指将资源保护在加锁的门里来限制对网络关键资源的访问;
也指保护资源免受诸如洪水、火灾、暴风雪和地震等自然灾害的侵害;
它是一个当然的需求,很容易熟视无睹而忘记对它进行设计,非常重要;
网络安全性设计要考虑------网络设备放置的问题、网络数据的异地备份问题。

8.3 选择数据备份和容错技术

8.3.1 数据备份和容错设计

“幸运的是那些做了数据备份的悲观主义者”
如果我们通过有效而简单的数据备份,就能具有更强的数据恢复能力,很容易找回失去的数据;而如果有了坚实的容错手段,数据丢失也许就不会发生了。
数据备份:

  • 备份通常要按日、按周或按月做备份
  • 对最为重要的文件进行更为频繁的备份

8.3.2 系统容错技术

容错是指系统在部分出现故障的情况下仍能提供正确功能的能力;
RAID技术通过冗余具有可靠性和可用性方面的优势
RAID分为几级,不同的级实现不同的可靠性,但是工作的基本思想是相同的,即用冗余来保证在个别驱动器故障的情况下,仍然维持数据的可访问性。

8.3.3 RAID级别

得到业界广泛认同的有4种,即RAID0,RAID 1,RAID O+1和RAID 5。
RAID0是无数据冗余的存储空间条带化,具有成本低、读写性能极高以及存储空间利用率高等特点;
RAID 1是两块硬盘数据的完全镜像,其优点是安全性好、技术简单、管理方便以及读写性能较好;
RAID0+1综合了RAID0和RAID 1的特点,独立磁盘配置成RAID 0,两套完整的RAID0互相镜像;
RAID 5应用最广泛,各块独立硬盘进行条带化分割,具有数据安全、读写速度快和空间利用率高等优点。
网络工程设计教程--系统集成方法_第66张图片网络工程设计教程--系统集成方法_第67张图片
网络工程设计教程--系统集成方法_第68张图片
网络工程设计教程--系统集成方法_第69张图片

8.3.4 数据存储方式

存储区域网络(SAN)

  • 是储存资料所要流通的网域
  • SAN基于光纤信道,采用光纤通道(Fiber Channel)标准协议
    因特网数据中心(IDC)
  • 为因特网内容提供商(ICP)、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及动态服务器主页、电子商务等业务
  • 数据中心在大型主机时代就已出现,那时是为了通过托管、外包或集中方式向企业提供大型主机的管理维护,以达到专业化管理和降低运行成本的目的
    网络工程设计教程--系统集成方法_第70张图片

8.3.5 服务器容错

网络工程设计教程--系统集成方法_第71张图片

8.3.6 异地容灾系统

关键技术包括网络技术、存储技术与解决方案网络技术

  • 无论ATM网络还是光纤网络,都已经广泛应用于存储技术领域
  • RAID和磁盘等技术已经成熟
  • 存储区域网络也已经得到认可
    实现异地容灾两类方式:
  • 基于主机系统的数据复制
  • 基于存储系统的远地镜像

8.3.7 容错电源

没有电力,网络就会瘫痪;电压过高或过低,网络设备就会损坏,特别是如果服务器遭受破坏,损失就可能难以估计。据统计,大量的计算机损坏是由电涌引起的。
有几种设备能够保持电源的稳定供给

  • 电涌抑制器、稳压电源、交流滤波器或不间断电源(UPS)
  • UPS通常能够提供上述几种设备的功能,因此得到了广泛的使用

8.4 设计网络安全方案

8.4.1 选择网络安全解决方案

与因特网的连接应当采用一种多重安全机制来保证其安全性,包括火墙、入侵检测系统、审计、鉴别和授权甚至物理安全性。
提供公用信息的公用服务器如Web服务器和FTP服务器,可以允许无鉴别访问,但是其他的服务器一般都需要鉴别和授权机制
即使是公用服务器也应当放在非军事区中,用防火墙对其进行保护。

8.4.2 非军事区DMZ

网络工程设计教程--系统集成方法_第72张图片
网络工程设计教程--系统集成方法_第73张图片

8.4.3 拨号安全性

对Intranet而言,拨号访问是造成系统安全威胁的重要原因。
提高拨号访问安全性,应当综合采用防火墙技术、物理安全性、鉴别和授权机制、审计技术以及加密技术等。
鉴别和授权是拨号访问安全性最重要的功能。在这种情况使用安全卡提供的一次性口令是最好的方法

  • 对于远程用户和远程路由器,应使用询问握手鉴别协议鉴别(CHAP)。
  • 鉴别、授权和审计的另一个选择是远程鉴别拨入用户服务器(RADIUS)协议。

8.4.4 网络服务安全性

内部网络服务可以使用鉴别和授权、分组过滤、审计日志、物理安全性和加密等安全手段;
不论用户是通过控制台端口还是通过网络访问这些设备,都需要注册ID和口令。有权查看或修改配置的管理员可使用安全等级更高的第二级口令;
可使用终端访问控制器访问控制系统(TACACS)来管理中心中的大量路由器和交换机用户的IP地址和口令。TACACS还提供审计功能;
限制使用SNMPv3以下的set操作修改管理和配置数据。

8.4.5 用户服务安全性

用户服务包括端系统、应用程序、主机、文件服务器、数据库服务器和其他服务等;
提供这些服务的服务器通常能够提供鉴别和授权功能。如果用户关心使用该系统的人员的话,端系统也可以提供该功能:

  • 当用户长时间离开自己的办公室时,建议用户退出会话。不工作时应关闭机器,以免未授权用户进入系统去访问服务和应用程序。也可使用自动退出功能在长时间没有用户活动时,自动退出一个会话。
  • 安全策略和过程应当说明可接受的有关口令的规则:何时使用口令,如何格式化口令,如何修改口令等。一般说来,口令应当包括字符和数字,至少6个字符,而且不是通常使用的词汇,且需经常修改。

8.4.6 网络物理隔离

大致有如下几种方法

  • 集中上因特网:在专门的办公室,用指定专人负责的专用计算机,供大家访问因特网。这些专用计算机不得用于处理涉密内容
  • 完全冗余的主机:使用具有双主板、双硬盘和双网卡的主机;启动时,选择某台机器与某网络相连。该法节省空间、安全保密,但不够方便

8.5 网络工程案例教学

8.5.1 设计一个高可靠性的网络

案例教学要求:

  • 掌握设计高可靠性网络的基本方法。
    用Visio绘制该网络拓扑图
  • 案例教学环境:PC1台,Microsoft Visio软件1套。
    设计要点:
  • 某金融机构的A办公楼和B办公楼中的网络不仅要求有高传输速率,而且要求有高可靠性。
  • 用千兆到交换机,百兆到桌面的传输方案。
  • 采用双交换机互为高速备份的联网方案。
  • 保障金融信息安全至关重要。
    需求分析和设计考虑
    对于需要高可靠性的网络最基本的方法就是采用冗余设计;
    为A办公楼和B办公楼各配置1台主交换机,为每个楼层配置1台楼层交换机,楼层交换机分别与两台主交换机用千兆光缆相连;
    将两台主交换机用链路聚合技术连接起来,并将各种服务器与主交换机相连。一旦某台主交换机出现问题,网络不会全面瘫痪;
    为了保障网络中金融信息的安全,应采取服务器异地互为备份等其他容错技术;
    由于IEEE 802.1D规范,我们不必担心交换机环路。

网络工程设计教程--系统集成方法_第74张图片方案说明
其中2台主交换机分别位于A、B两座办公楼,每台主交换机都用千兆光缆与本办公楼以及另一座办公楼的楼层交换机相连;
两台主交换机之间采用链路聚合技术形成速率更高的通道;
在A、B两个主交换机上都连接了各种重要的服务器,这两个服务器池中的服务器中的信息互为备份系统中还采用了容错电源等措施。

第九章 测试验收与维护管理

要点
网络工程的测试
网络工程的验收
网络维护和管理
网络工程案例教学

9.1 网络工程的测试

9.1.1 网络工程的测试

没有两个系统是完全相同的:没有一种方法或工具能完全适合所有项目或网络设计人员由于设备是按型号系列生产的,系列化设备导致设计的差别看起来并不大;需求留有的余量,导致用户感觉到这些设计之间的差异不是很大。一个小的设计差异就可能为日后的网络应用带来较大的差别,这就需要用测试的手段来加以鉴别和验证设计的正确性。

9.1.2 测试网络系统

正确选择测试方法和测试工具取决于所要测试项目的目的,通常包括:

  • 验证该设计是否满足主要的商务技术目标。
  • 验证选择的局域网技术、广域网技术和设备是否合适。
  • 验证服务提供者是否能够提供要求的服务。
  • 找出系统瓶颈或连通性问题。
  • 测试网络冗余程度。
  • 分析网络链路故障对性能的影响。
  • 确定必要的优化技术,满足性能和其他技术目标。
  • 分析网络链路和设备升级对性能的影响。
  • 证明该设计优于其他的竞争方案。
  • 通过“验收测试”以验证进行下一步的网络实现。
  • 发现可能妨碍网络工程执行的风险,并拟订相应的应急措施。
  • 决定还需要多少其他测试。

9.1.3 建立和测试原型网络系统

建立网络原型系统

  • 能检查和验证所设计系统的性能
  • 确定为达到验证设计的目的,需要在多大程度上实现原型系统
    全面地实现系统往往是不切实际的。建立的原型要验证重要的性能和功能
    有3种实现和测试原型系统的方法
  • 作为实验室中的测试网络
  • 与运行的网络集成,利用空闲时间进行测试
  • 与运行的网络集成,在正常工作时间内测试

9.1.4 测试计划

在确定了原型系统的测试范围后,应当编写一份计划,说明如何测试该原型系统
测试计划应当包括下列各方面-测试目标和验收标准。

  • 测试人员
  • 所要进行测试的种类
  • 网络设备和所需的其他资源-测试脚本
  • 测试项目的时间划分和阶段划分

9.1.5 网络设计的测试工具

网络管理和监控工具

  • 如HP Open View,能够在网络测试运行过程中提示某些问题的网络事件的出现
    建模和仿真工具
  • 更为先进但有些理想化的技术
    服务质量和服务级别管理工具
  • 用来分析网络应用的端到端性能,管理服务质量和服务级别

9.2 网络工程的验收

9.2.1 网络工程验收过程

网络工程验收可达到投资确认、认定工程质量和网络工程性能达标等三方面的目的,它是日后网络维护管理的基础,也是系统集成商和用户确认项目完成的标志之一。

9.2.2 验收的工作流程

包括测试验收和鉴定验收等两种验收方式;
当网络工程项目完成后,系统集成商和用户双方要组织测试验收;
测试验收要在有资质的专门测试机构或有关专家进行的网络工程测试基础上,由有关专家和系统集成商及用户进行共同认定,并在验收文档上签字认可验收通过后,为了防止网络工程出现未能及时发现的问题,还需要设定半年或一年的质保期。用户应留有约10%的网络工程尾款,直至质保期结柬后再支付。

9.2.3 网络工程验收的内容

确定验收测试内容。包括线缆(光缆、铜缆和双绞线)性能测试,网络性能指标(网络吞吐量、丢包率等)检查,流量分析以及协议分析等项目。
制定验收测试方案。这通常包括使用哪些测试流程和实施的方法等。
确定验收测试指标。参照国家工程标准,检测系统是否达标。
安排验收测试进度。完成具体的测试验收。
分析并提交验收测试数据。对测试所得到的数据进行综合分析,产生验收测试报告。
布线系统的验收

  • 环境、施工材料、安装、设备检查等
    机房电源的验收
  • 通风、温湿度、灰尘度、经典、雷击、功率余量、安保等
    网络系统的验收
  • 运行、配置,压力测试等
  • 拓扑、配置信息、流量趋势及网络协议等
    - 应用系统的验收等

9.2.4 验收测试中的有关问题

检查已建成的网络工程项目是否达到了一定的水准,是在可以控制的环境下满足用户需求的最低性能,所有的测试都应当得到高于这个最低性能的参数;不存在适用于各个不同环境、不同类型的统一的验收标准;无论如何,设计实现的网络工程应当到达应有的设计要求。

9.2.5 验收文档

文档的验收是网络工程验收的重要组成部分。网络工程文档通常包括以下内容。

  • 结构化布线系统相关文档
    ●信息点、配线架、结构化布线、设备分布等
  • 设备技术文档
    ●操作维护、使用说明、安装附件、保修单等
  • 设计与配置资料
    ●需求书、设计与实施方案、拓扑图、详细配置
  • 用户培训及使用手册
    ●培训手册、使用手册
  • 各种签收单
    ●硬件设备、系统软件、应用系统等

9.3 网络维护和管理

9.3.1 网络维护的目的

通过某种方式对网络状态进行调整,使网络能正常、高效地运行;当网络出现故障时能够及时发现并得到处理,保持网络系统的协调高效地运行;网络维护工作包括:

  • 制定相应的管理制度,有针对性地培养用户,完善网络维护的技术手段和工具等方面

9.3.2 网络维护的措施

建立完整的网络技术档案。如网络类型、拓扑结构、网络配置参数、网络设备及网络应用程序的名称、用途、版本号、厂商运行参数等;常规网络维护。定期进行计算机网络的检查和维护,现场监测网络系统的运营情况,及时解决发现的问题;紧急现场维护。在用户遇到网络严重问题时,集成商技术人员应在规定的时间内上门排除故障;重大活动现场保障。当用户有重大活动或遇到网络要做重大调整或升级等情况,需要集成商的技术人员现场维护。

9.3.3 网络管理

一个网络系统建立以后,它的85%以上的工作都与网络管理有关;国际标准化组织开放系统互联将网络管理功能定义为5种类型的功能域。

  • 故障管理(Fault management)
  • 配置管理(Configure management)
  • 账户管理(Accounting management)
  • 性能管理(Performance management)
  • 安全管理( Security management)

9.4 网络工程案例教学

9.4.1 网络工程案例教学指导

案例教学要求:

  • 掌握“IP网络性能监测系统”的基本使用方法。
  • 能够使用系统的相关功能测试网络性能参数。
    案例教学环境:
    装有Windows Server 2003操作系统的PC服务器或PC1台,该机器与网络连接,安装好Oracle 9i数据库和IP网络性能监测系统软件。

9.4.2 网络工程案例教学指导

设计要点:

  • 系统能够正常工作并与网络通过交换机相连。-阅读系统在线电子文档,打开系统相关测量功能。
  • 对要测量的网络性能,正确选择系统的适当功能,并注意到有些测量项目需要持续一段时间。

9.4.3 《互联网性能监测系统》概况

一种易于实施、操作的自动化系统,以端到端、定量、可视化的方式监视、分析、管理互连网运营的性能参数;
理工大学计算机系网络监测研究室研发,具有产品的独立知识产权,申请了多项国家发明专利;
国家863项目和江苏省自然科学基金的资助,得到了总参通信部的支持,已经有了两年多的实用经验。

9.4.4 系统组成

监测服务器和被测对象两部分组成
本系统的核心部分是监测服务器
网络工程设计教程--系统集成方法_第75张图片

9.4.5 性能检测系统工作过程

网络工程设计教程--系统集成方法_第76张图片

9.4.6 大规模性能检测系统的等级结构

网络工程设计教程--系统集成方法_第77张图片

9.4.7 系统功能

IP层测量功能

  • 测量往返时延-测量双向丢包率
  • 测量路由和该路径上的结点数量
  • 测量路径容量
  • 测量路由器输入/输出流量
    运输层测量功能
  • 测量TCP/UDP带宽、丢包率、时延
  • 测量TCP单向丢包率
    导出测量参数
    -可用率,非忙率,不可预测性,时延抖动

9.4.8 系统功能

监视和分析功能

  • 实时测量数据显示与分析-历史测量数据显示与分析
  • Web实时测量数据监测
  • 往返时延、双向丢包率、可达性、非忙率、不可预测性和时延抖动参数分析
  • 数据汇总分析、多种表格报告的显示、打印、电子邮件发送
  • 路由分析
  • 用户视图(网络拓扑发现工具、网络作图工具、故障可视化显示)
  • 故障定位
  • 告警处理(声音提示、颜色提示、电子邮件转发);各种测量记录查询

9.4.9 系统功能系统管理功能

  • 测量域和测量策略的定义和管理
  • 网络设备信息管理
  • 系统管理员管理
  • Web用户管理
  • 系统安全性管理
  • 操作日志管理
  • 数据字典管理
  • 电子邮件配置
  • 数据库表备份/恢复、导入/导出
  • 联机帮助

9.4.10 互联网性能监测系统:主界面

网络工程设计教程--系统集成方法_第78张图片

9.4.11 B/S主操作界面

网络工程设计教程--系统集成方法_第79张图片

9.4.12 以图形方式监测网络性能

网络工程设计教程--系统集成方法_第80张图片

9.4.13 网络性能统计

网络工程设计教程--系统集成方法_第81张图片

9.4.14 节点主域阻断情况统计表

网络工程设计教程--系统集成方法_第82张图片

9.4.15 系统功能:路由器输入/输出流量

在这里插入图片描述

9.4.16 系统功能:性能测量记录分析

网络工程设计教程--系统集成方法_第83张图片

9.4.17 测试网络系统性能的主要步骤

输入被测网络设备参数;根据测试要求建立监测域,并为这些域设置测试策略;激活监测域,系统将自动收集该监测域范围的网络系统性能参数,并能自动产生各种报表;如果该网络系统没有流量,可使用该系统提供的功能,产生各种强度的测试流量,并在这种情况下,测试网络系统的性能指标。

9.4.18 小结

测试是网络工程最后一个关键步骤,验证解决方案是否能够满足用户的业务目标和技术目标,然后通过一定的验收形式加以确认。
任何网络系统都可能发生差错和故障,对网络的维护管理的过程就是对一个给定的网络系统的日常保障和检测、隔离及排除故障的过程。
这些既是完成网络工程项目的必要步骤,也是保障网络长期稳定运行的必然要求。


阅读到这里的话,恭喜您对网络工程设计教程的内容已尽收眼底!!

冬季的黑暗尽管漫长,但永远遮挡不住黎明的曙光。纵然山河有恙,不敌世间盛情。春已至,花已开,国早安泰,祥和人间。在此最后向此次逆行者们致以最崇高的敬意,幸得有你,山河无恙。在撰写本文期间,深感祖国之强大,为祖国为骄傲,祝愿祖国繁荣昌盛国泰民安!

争取做出一套比较完善的网络工程设计教程–系统集成方法
注:本来是该知识点和练习分开写后来不知道怎么了突发其想的都拼到了一起啊哈哈哈哈哈
这门知识点在我的博客中应该只会出现一次,所以请您在阅读的时候忽略其中的问题。

你可能感兴趣的:(网络工程设计教程)