1.4 网络工程设计方法
1.4.1 网络物理拓扑结构
网络系统集成通常采用以太网交换技术。以太网的逻辑拓扑是总线结构,以太网交换机之间的连接,可称为物理拓扑。这种物理拓扑按照网络规模的大小,可分为星状、树状及网状。
中小型、小型网络一般可采用星状结构,如图1.11所示。对于大中型网络,考虑到链路传输的可靠性,可采用网状,如图1.12所示。确定网络的物理拓扑结构是整个网络方案规划的基础。物理拓扑结构的选择往往和地理环境分布、传输介质与距离、网络传输可靠性等因素紧密相关。在选择物理拓扑结构时,应该考虑的主要因素有以下几点。
图1.11 星状拓扑图
图1.12 双星型网状拓扑图
(1)地理环境。不同的地理环境需要设计不同的网络物理拓扑,不同网络物理拓扑设计施工安装的费用也不同。一般情况下,网络物理拓扑最好选用星状或树状结构,减少单点故障,便于网络通信设备的管理和维护。
(2)传输介质与距离。在设计网络时,要考虑到传输介质、距离的远近和可用于网络通信平台的经费投入。网络拓扑结构的确定要在传输介质、通信距离、可投入经费三者之间权衡。从网络带宽、距离和防雷击等方面考虑,建筑楼之间互连应采用多模或单模光纤。
(3)可靠性。网络设备损坏、光缆被挖断、连接器松动等,这类故障是有可能发生的,网络拓扑结构设计应避免因个别节点损坏而影响整个网络的正常运行。若经费允许,网络拓扑结构最好采用双星型或多星型网状连接,参见图1.12。
1.4.2 网络层次结构
以往网络常采用典型的三层结构:核心层+汇聚层+接入层。随着核心层设备向高密度、大容量发展及光通信成本的降低,现在网络结构采用高效的扁平结构:核心层+接入层。
1.典型的三层结构
规模较大的局域网采用三层结构,如图1.13所示。主干网称为核心层,主要连接全局共享服务器、建筑楼宇的配线间设备。连接信息点的“毛细血管”线路及网络设备称为接入层。根据需要在中间设置汇聚层,汇聚层上连核心层、下连接入层。核心和汇聚采用三层交换机,接入采用二层交换机。
图1.13 典型的三层结构
分层设计有助于分配和规划带宽,有利于信息流量的局部化,也就是说全局网络对某个部门的信息访问的需求很少(如业务部门信息,只能在本部门内授权访问)。在这种情况下,部门业务服务器即可放在汇聚层,这样局部的信息流量传输不会波及全网。使部门内的信息尽可能在本部门局域网内传输,还可以减轻主干信道的压力和确保信息不被非法监听。
汇聚层的存在与否,取决于网络规模的大小。当建筑楼内信息点较多(如大于22个节点)并超出一台交换机的端口密度而不得不增加交换机扩充端口时,就需要有汇聚交换机。交换机间采用级联方式,将一组接入交换机上连到一台背板带宽和性能较高的汇聚交换机上,再由汇聚交换机上连到主干网的核心交换机,如图1.14(a)所示。如果建筑楼内用户较多,也可采用多台交换机堆叠方式扩充端口密度,如图1.14(b)所示。
图1.14 汇聚层和接入层的两种模式
接入层直连信息点,通过此信息点将网络终端设备(PC等)接入网络。汇聚层采用级联还是堆叠,要看网络信息点的分布情况。如果信息点分布均在以交换机为中心的50 m半径内,且信息点数已超过一台或两台交换机的容量,则应采用交换机堆叠结构。堆叠能够有充足的带宽保证,适宜汇聚(楼宇内)信息点密集的情况;交换机级联则适用于楼宇内。
2.高效的扁平结构
扁平化是现代管理学中频繁出现的一个新词,扁平化是指摒弃层级结构组织形式,促进快速决策的管理思想。当网络规模(信息资源、网络终端)扩大时,原来的有效办法是增加汇聚层次,而现在的有效办法是增加核心层交换幅度。即数据通过核心层高效交换与传输,改善用户机访问服务器的性能。当汇聚层次减少而核心交换幅度增加时,金字塔状的网络层次结构就被“压缩”成扁平状的层次结构。
网络结构扁平化,通过扩展核心节点、压缩汇聚节点,接入层直连核心层的技术措施,减少了网络物理和逻辑连接级数,提高了网络服务响应速度,如图1.15所示。扁平化结构中的核心设备需要高性能、大容量、高密度的以太网光接口,用于直接下连接入层设备。
图1.15 高效的扁平结构
1.4.3 有线网与无线网的融合
无线网络的出现就是为了解决有线网络无法克服的困难。无线网络首先适用于很难布线的地方,比如受保护的建筑物、机场等,或者经常需要变动布线结构的地方,如展览馆等。学校也是一个很重要的应用领域,一个无线网络系统可以使教师、学生在校园内的任何地方接入网络,如图1.16所示。另外,因为无线网络支持十几千米的区域,因此对于城市范围的网络接入也能适用,可以对任何角落提供11/22/54/108 Mbps的网络接入。
图1.16 有线网与无线网的融合示意图
1.4.4 服务器布置策略
网络资源系统的支撑环境是服务器和操作系统。服务器是网络信息资源的硬件平台,操作系统是网络信息资源的软件平台。服务器的性能及在网络中“摆放”的位置直接影响网络数据传输的效率和网络应用的效果。
服务器一般分为两类:一类是为整体局域网提供公共信息服务、文件服务和通信服务的通用数据库,由网络中心管理维护,服务对象为网络全局,适宜放在网管中心;另一类是部门业务和网络服务相结合,主要由部门管理维护,如大学的图书馆服务器和企业的财务部服务器,适宜放在部门子网中。服务器是网络中信息流较集中的设备,其磁盘系统数据吞吐量大,传输速率也高,要求高带宽接入。服务器在网络中的位置如图1.17所示。
图1.17 服务器在网络中的位置
1.4.5 网络安全措施
尽管没有绝对安全的网络,但是,如果在网络方案设计之初就遵从一些安全要求,那么网络系统的安全就会有保障。规划设计时考虑不全面,消极地将安全和保密措施寄托在网络管理阶段,这种事后“打补丁”的思路是相当危险的。从工程技术角度出发,在规划设计网络方案时,应该考虑以下问题。
(1)网络安全的前期防范。强调对信息系统全面地进行安全保护。大家都知道“木桶的最大容积取决于木桶最短的一块木板”,此事例对网络安全来说也是十分形象的类比。网络信息系统是一个复杂的计算机系统,它本身在物理、操作和管理上的种种漏洞构成了系统的安全脆弱性,尤其是多用户网络系统自身的复杂性、资源共享性使单纯的技术保护防不胜防。攻击者使用的是“最易渗透性”,自然在系统中最薄弱的地方进行攻击。因此,充分、全面、完整地对系统的安全漏洞和安全威胁进行分析、评估和检测(包括模拟攻击),是设计网络安全系统的必要前提。
(2)网络安全的在线保护。强调安全防护、监测和应急恢复,要求在网络发生被攻击、破坏的情况下,尽可能快地恢复网络信息系统的服务,减少损失。所以,网络安全系统应该包括三种机制:安全防护机制、安全监测机制和安全恢复机制。安全防护机制根据具体系统存在的各种安全漏洞和安全威胁采取的相应防护措施,避免非法攻击的进行;安全监测机制用来监测系统的运行,及时发现和制止对系统进行的各种攻击;安全恢复机制用于在安全防护机制失效的情况下,进行应急处理,尽量、及时地恢复信息,减小攻击的破坏程度。
(3)网络安全的有效性与实用性。网络安全应以不影响系统的正常运行和合法用户的操作活动为前提。网络中的信息安全和信息应用是一对矛盾。一方面,为健全和弥补系统缺陷的漏洞,会采取多种技术手段和管理措施;另一方面,势必给系统的运行和用户使用造成负担和麻烦,这就是说,“越安全就意味着使用越不方便”。尤其在网络环境下,实时性要求很高的业务不能容忍安全连接和安全处理造成的时延。网络安全采用分布式监控、集中式管理,可以有效地保护系统的安全。
(4)网络安全的等级划分与管理。良好的网络安全系统必然是分为不同级别的,包括对信息保密程度的分级(绝密、机密、秘密和普通),对用户操作权限的分级(面向个人及面向群组),对网络安全程度的分级(安全子网和安全区域),以及对系统结构(应用层、网络层、数据链路层等)的安全策略。针对不同级别的安全对象,提供全面的、可选的安全算法和安全体制,以满足网络中不同层次的各种实际需求。
网络总体规划设计时要考虑安全系统的设计,避免因考虑不周,出了问题之后“拆东墙补西墙”的做法;避免造成经济上的巨大损失;避免对国家、集体和个人造成无法挽回的损失。由于安全与保密是一个相当复杂的问题,因此必须注重网络安全管理。要安全策略到设备、安全责任到个人、安全机制贯穿整个网络系统,才能切实保证网络的安全性。
1.4.6 设计与实施流程
网络工程设计与实施流程(也称“网络系统集成”)可采用如图1.18所示的方法。这一方法总体上可分为三个阶段,每个阶段又可分解为若干步骤。
图1.18 网络工程设计与实施流程
1.网络工程设计阶段
(1)用户建网需求分析。用户网络应用原始问题叙述,了解用户网络系统建构的现有条件,定义用户建网的需求问题。
(2)系统集成方案设计。网络工程技术人员进行“脑力激荡”(激励技术人员迸发好的灵感,思考不受制约,思路连接有序,大胆思考,畅所欲言),提出各种可能的解决方案,选择最可行的解决方案。
(3)方案论证。由网络专家、建网用户代表和系统集成商组成方案论证评审组,对网络系统集成方案进行可行性论证。系统集成商要认真听取专家的建议和用户的意见,检查网络建设问题的界定并增补计划。如有必要,网络工程技术人员再次进行“脑力激荡”,对方案反复修改,直到方案论证通过为止。
2.网络工程实施阶段
(1)可行的解决方案。组织参加本项目的网络集成施工人员解读方案,使每一位施工者(包括项目经理、综合布线工程师、通信系统集成工程师、信息系统集成工程师、网络安全和网络管理工程师)均能明白自己的岗位和职责,树立“优质、高效和低成本”的施工理念,建立项目进度一览表。
(2)系统集成施工。系统集成人员严格按照设计方案技术文档中的要求和项目进度一览表,进行工程实施。在施工过程中要注重项目工序的独立性和相关性,同时还要注重施工人员的协作性。
(3)网络测试。网络测试包括综合布线测试、通信设备测试和服务器系统的测试。测试时要建立网络系统测试数据表,严格按照设计方案中描述的性能指标项逐个进行。
(4)工程排错处理。针对网络测试中发现的网络故障或性能欠佳等问题,重新返回到“系统集成施工”步骤,对有问题的传输介质或设备进行返工,直到问题解决为止。
(5)系统集成总结。严格按照设计方案的技术文档要求和工程实施情况,撰写网络工程项目验收的各种技术文档,包括设计方案、技术报告和测试报告等,同时对用户进行网络技术培训。
3.网络工程验收阶段
(1)系统验收。由网络专家、用户代表和集成商代表组成项目评审验收组,对网络系统集成项目进行全面评审验收。若有问题,则对有问题的环节进行改进,直到网络整体工程验收通过为止。
(2)系统维护和服务。项目验收通过后,系统集成商要继续协助用户进行网络系统管理和维护工作,直到用户完全能够独立工作为止,并将网络系统移交用户管理与维护。
(3)项目终结。当用户完全能够使用与维护网络系统时,对系统集成商才意味着项目终结。往后的一段时间,系统集成商还要为用户提供技术和应用咨询服务。