《网络系统设计.doc》由会员分享,可在线阅读,更多相关《网络系统设计.doc(15页珍藏版)》请在三一办公上搜索。
1、网络系统设计 8.2.1 网络系统架构网络拓扑结构是企事业建设网络信息系统首先要考虑的问题,它对整个网络的运行效率、技术性发挥、可靠性、费用等方面都有着重要的影响。确立网络的拓扑结构是整个网络方案规划设计的基础。网络拓扑结构设计是指在给定点位置及保证一定可靠性、时延、吞吐量的情况下,服务器、工作站和网络连接设备如何通过选择合适的通路、线路的容量以及流量的分配,使网络的成本降低。1.分层网络模型分层网络模型是一套行之有效的高级工具,用来设计可靠的网络基础架构。它提供网络的模块化视图,从而方便设计和构建可扩展的网络。分层网络模型将网络分为三层:l 接入层 允许用户访问网络设备。在网络园区中,接入层
2、通常由 LAN 交换设备和端口组成,端口用于连接工作站和服务器。在 WAN 环境中,可以通过 WAN 技术为远程工作者或远程站点提供访问公司网络的功能。l 分布层 由众多配线间聚合而成,使用交换机将工作组划分为一个个网段,并隔离园区环境中的网络问题。同样,分布层将 WAN 连接聚合在园区网的边缘并进行策略性的连接。l 核心层(亦称为主干) 高速主干,其设计目标是尽可能迅速地交换数据包。由于核心层对网络连接非常关键,因此它必须具备很高的可用性并且能够非常迅速地适应环境的变化。还应提供良好的可扩展性和快速收敛功能。图9-1分层网络模型图9-1中描绘的是园区环境中的分层网络模型。分层网络模型提供模块
3、化的框架,可以支持灵活的网络设计,简化网络基础架构的架设和故障排除。但应知道:网络基础架构仅仅是整个网络体系结构的基础。近年来,联网技术有了长足的进步,这也让网络越来越智能。最新的网络设计更善于把握流量特性,经过配置后可以根据传输的流量类型、数据优先级甚至是安全需求等条件提供专门的服务。尽管大多数基础架构服务都已超出本课程的范围,但您仍应了解它们对网络设计的影响。2.企业体系结构不同的企业需要不同类型的网络,这取决于企业的组织结构和业务目标。但很多企业网络的发展都缺乏良好的计划,仅仅是一有需要便匆匆加入新的组件。日积月累,这些网络会变得非常复杂而难以管理。由于这种网络是新旧技术的大杂烩,因此网
4、络的支持和维护非常困难。网络瘫痪和性能低下给网络管理员带来了数不尽的麻烦。为帮助避免出现这种情况,被称为 Cisco 企业体系结构的建议体系结构,该体系结构适合企业的各个发展阶段。这种体系结构的设计目标是为网络规划提供一份与企业发展历程相称的网络发展路线图。通过遵循路线图,管理员可对未来的网络升级进行良好的规划,以便未来能够将升级无缝集成到现有网络中并支持不断发展的业务需求。该体系结构为网络基础架构引入网络智能技术,对分层网络模型进行了有益的扩充。图9-2是该体系结构中适合前面提到的 Span Engineering 的几个模块:图9-2 Cisco企业体系结构3.企业体系结构中的模块Cisc
5、o 企业体系结构由若干个模块组成,这些模块是表示网络各部分的集中视图。每个模块都有一套独立的网络基础架构及扩展该模块的服务和网络应用程序。该企业体系结构包括以下模块。如图9-3所示.图9-3 企业体系结构(1)企业园区网体系结构园区网是指一栋大楼或一群大楼连接而成的企业网络,园区网由多个 LAN 组成。园区网通常局限于固定的地理区域,但它可以跨越相邻的建筑物。例如某个工业园区或校园区。企业园区网体系结构说明的是能够创建可扩展网络,同时满足园区式企业运营需求的建议方法。该体系结构是模块化的,可以随着企业的发展轻松扩展支持更多的园区大楼或楼层。(2)企业边缘体系结构该模块负责连接企业外部的语音、视
6、频和数据服务。该模块让企业能够使用 Internet 和合作伙伴资源并为其客户提供资源。该模块经常作为园区模块和企业体系结构中其它模块之间的连接枢纽。企业 WAN 和MAN(城域网)体系结构均可视为该模块的一部分。(3)企业分支机构体系结构该模块允许企业将园区网上的应用程序和服务扩展到成千上万的远程位置和用户,或者扩展到某些小分支机构。(4)企业数据中心体系结构数据中心负责管理和维护许多数据系统,这些系统对现代企业的运营至关重要。员工、合作伙伴和客户依靠数据中心的数据和资源进行高效地创造、协作和交流。近十年来,Internet 和基于 Web 的技术的兴起让数据中心变得比以往任何时候都更重要,
7、它带动了生产效率的提升、业务流程的改进和社会的变革。(5)企业远程办公体系结构如今,许多企业都为其员工提供弹性工作环境,让他们可以在家远程办公。远程办公是指在家利用企业的网络资源工作。远程办公模块建议在家使用宽带服务(例如电缆调制解调器 modem 或 DSL)连接到 Internet,继而连接到公司网络。由于 Internet 会给企业带来严重的安全风险,因此需要采取一些特殊措施来确保远程通信的安全性和隐私性。图9-4企业体系结构模块构建企业网络拓扑图9-4显示的是如何使用这些企业体系结构模块来构建企业网络拓扑。4. 网络协议网络协议分局域网协议和广域网协议,局域网协议与所选择的网络类型有关
8、,如选择Windows为操作系统的局域网,则支持TCP/IP、NetBEUI协议,这2种协议均为Windows协议。对于与广域网的连接,因为TCP/IP已经成为广域网协议事实上的工业标准,一般选用TCP/IP。8.2.2 网络设备选型网络系统中主要硬件设备的选择,直接影响到网络整体的性能,其投资占有网络系统整体投资的很大比例。在网络系统总体设计时对其进行分析和选择是很重要的。网络设备选择一般有两种含义:一种是从应用需要出发进行的选择;另一种是从众多厂商的产品中选择性能价格比高的产品、在组建网络时,通常涉及的主要网络硬件设备有服务器、工作站、集线器、路由器和交换机。1.接入层交换机的功能可以根据
9、交换机的功能规格确定交换机是适合用作接入层交换机、分布层交换机还是核心层交换机。接入层交换机支持将终端节点设备连接到网络。因此,它们需要支持端口安全功能、VLAN、快速以太网/千兆以太网、链路聚合等功能。如图9-5所示。图9-5 接入层交换机及其功能端口安全功能允许交换机决定允许多少设备或哪些设备连接到交换机。所有 Cisco 交换机都支持端口层安全功能。端口安全功能应用于接入层。因此,端口安全功能是保护网络的第一道重要防线。VLAN 是融合网络的重要组成部分。通常会为语音通信单独分配一个 VLAN。这样可为语音通信提供更多的带宽支持、更多的冗余连接以及更高的安全性。接入层交换机允许您为网络上
10、的终端节点设备设置 VLAN。在选择接入层交换机时还需考虑的一个因素是端口速度。根据网络的性能需求,必须在快速以太网和千兆以太网交换机端口之间做出选择。快速以太网每个交换机端口至多支持 100 Mb/s 的流量。对 IP 电话和大多数企业网络中的数据流量来说,快速以太网已经足够,但它的速度比千兆以太网端口慢。千兆以太网每个交换机端口至多支持 1000 Mb/s 的流量。大多数现代设备(例如工作站、笔记本和 IP 电话)支持千兆以太网。这样可以大大提高数据传输的速度,提高用户的工作效率。千兆以太网有一个缺点支持千兆以太网的交换机比较昂贵。链路聚合是大多数接入层交换机所共有的另一项功能。链路聚合允
11、许交换机同时使用多条链路。接入层交换机通过链路聚合至多可获得与分布层交换机相同的带宽。由于通信的瓶颈通常在于接入层交换机和分布层交换机之间的上行链路连接,因此接入层交换机的内部转发速率并不需要像分布层交换机和接入层交换机之间的链路那么高。对接入层交换机来说,内部转发速率之类的特性并不重要,因为它们仅处理来自终端设备的流量并将其转发到分布层交换机。在支持语音、视频和数据网络流量的融合网络中,接入层交换机需要支持 QoS 来维护流量的优先级。Cisco IP 电话属于接入层设备。当将 Cisco IP 电话插入到配置成支持语音流量的接入层交换机端口时,该交换机端口会告诉 IP 电话如何发送其语音流
12、量。需要在接入层交换机上启用 QoS,以便让 IP 电话语音流量的优先级高于数据流量。2.分布层交换机的功能分布层交换机在网络中扮演着非常重要的角色。它们收集所有接入层交换机发来的数据并将其转发到核心层交换机。分布层交换机提供 VLAN 间路由功能,因此,一个 VLAN 可与网络上的另一个 VLAN 通信。这种路由功能通常在分布层交换机上执行,因为分布层交换机的处理能力强于接入层交换机。分布层交换机可以分担核心层交换机处理庞大流量转发的工作压力。由于 VLAN 间路由在分布层执行,该层的交换机需要支持第 3 层功能。如图9-6所示。图9-6 分布层交换机安全策略分布层交换机需要第 3 层功能的
13、另一个原因是这样可以对网络流量应用高级安全策略。访问列表用于控制流量如何在网络上传输。访问控制列表 (ACL) 允许交换机阻止特定类型的流量并允许其它类型的流量。ACL 还允许控制网络设备可在网络上通信。使用 ACL 需要占用大量的处理资源,因为交换机需要检查每个数据包并查看该数据包是否与交换机上定义的 ACL 的某个规则匹配。这种检查在分布层执行,因为该层的交换机通常具有强大的处理能力,能够处理额外的负载,同时也简化了 ACL 的使用。不是在网络中的每台接入层交换机上使用 ACL,而是在数量较少的分布层交换机上定义 ACL,这样可以简化 ACL 的管理。服务质量分布层交换机还需要支持 QoS
14、 来维护来自实施了 QoS 的接入层交换机的流量优先级。优先级策略确保有足够的带宽保证语音和视频通信使之保持可接受的服务质量。要保证语音数据在整个网络中的优先地位,所有转发语音数据的交换机都必须支持 QoS;如果并非所有的网络设备都支持 QoS,那么会限制 QoS 优势的发挥。这会导致语音和视频通信的性能和质量不佳。由于分布层交换机具有丰富的功能,因此网络对分布层交换机的需求很旺盛。分布层交换机支持冗余功能对确保充足的可用性非常重要。由于分布层交换机是所有接入层流量的必经之路,因此分布层交换机性能不足会严重影响网络的其它部分。为确保可用性,分布层交换机通常成对使用。建议分布层交换机还应支持多个
15、可热插拔的电源。配备多个电源的好处是:在交换机运行时,如果其中某个电源出现故障,交换机仍可继续运行。配备可热插拔电源的好处是:在更换故障电源时,交换机仍可继续运行。这样,在维修故障组件的同时不会影响到网络的运行。最后,分布层交换机需要支持链路聚合功能。通常,接入层交换机使用多条链路连接到分布层交换机来确保为接入层上产生的流量提供足够的带宽,同时在某条链路断开时提供容错功能。由于分布层交换机要接受多个接入层交换机发送的流量,并且需要尽快将所有流量转发到核心层交换机上,因此,分布层交换机还需要回连核心层交换机的高带宽聚合链路。较新的分布层交换机支持连接核心层交换机的万兆以太网 (10GbE) 聚合
16、上行链路。3.核心层交换机的功能在分层网络拓扑中,核心层是网络的高速主干,需要能够转发非常庞大的流量。需要多少转发速率在很大程度上取决于网络中的设备数量。通过执行和查看各种流量报告和用户群分析确定所需的转发速率。根据分析的结果,您可以确定合适的交换机来支持网络。认真评估您当前及近期的需求。如果选择在网络的核心层使用性能不足的交换机,核心层将面临潜在的瓶颈问题,从而降低网络上所有通信的性能。如图9-7所示。图9-7 核心层交换机链路聚合核心层交换机需要支持链路聚合功能,以确保为分布层交换机发送到核心层交换机的流量提供足够的带宽。核心层交换机还应支持聚合万兆连接,这是当前市面上最快的以太网连接方案
17、。这样可让对应的分布层交换机尽可能高效地向核心层传送流量。冗余核心层的可用性很关键,因此,应尽可能提供较多的冗余。相对于第 2 层冗余功能,第 3 层冗余功能在硬件出现故障时的收敛速度更快。这里的收敛是指网络适应变化所花的时间,而不要与支持数据、语音和视频通信的融合网络相混淆。还应确保核心层交换机支持第 3 层功能。此外,寻找支持其它硬件冗余功能(如可热插拔的冗余电源,在插拔电源的同时交换机仍可继续运行)的核心层交换机。由于核心层交换机的传输负载很高,所以它运行时的温度通常比接入层或分布层交换机的更高,因此应该配备更完善的冷却方案。毫无疑问,核心层交换机能够支持热插拔风扇,而无需关闭交换机。例
18、如,某天中午为更换电源或风扇而关闭核心层交换机将会造成严重的后果。要完成硬件更换,您可能至少需要中断网络 5 分钟,并且这还是假设您的维护效率非常高。更现实的情况是,交换机可能关闭 30 分钟甚至更长时间,这显然难以接受。利用可热插拔的硬件,在维护交换机时就不会中断网络。QoS 是核心层交换机提供的重要服务之一。例如,尽管数据流量已在不断攀升,但服务提供商(IP、数据存储、电子邮件和其它服务的提供者)和企业广域网 (WAN) 仍然在此基础上继续添加更多的语音和视频流量。在核心层和网络层边缘,与对时间不太敏感的流量(例如文件传输或电子邮件)相比较,任务关键型和时间敏感型流量(例如语音流量)应优先
19、获得更高的 QoS 保证。由于高速 WAN 接入通常价格不菲,因此增加核心层的带宽并非明智之选。由于 QoS 提供基于软件的解决方案对流量界定优先级,因此核心层交换机可为优化及差异化地利用现有带宽提供一种经济而有效的方式。4服务器的选择服务器是网络系统的关键设备,一般有3种类型:PC服务器(由高档计算机担任,在LAN中用得较多)、专用服务器(根据网络的数据传输、I/O信息交换、可靠性等要求设计的专用服务器,有的还采用多CPU、多总线结构,关键部分采用了容错技术,是目前网络中应用较多的设备)和主机服务器(在大中型网络中应用的,具有高速率、大容量,有超级小型机、中型机或大型机担任的服务器)。按其在
20、网络中的作用和工作方式区分,又有文件服务器、数据库服务器、打印服务器、通信服务器等。选择服务器时,应考虑的几项主要目标是:CPU高性能、存储的大容量、高速传输总线、高效的SCSI磁盘接口和系统容错功能。选用小型机作为服务器时,可供选择的产品如有:SUN公司的Ultra系列、Enterprise系列;HP的HP9000V系列、K370系列;D系列等。高档PC服务器由于微处理器性能大幅度提高及SMP技术、Cluster技术的出现,性能直逼小型机,成为许多网络系统的首选。5工作站的选择工作站是客户用机,它执行用户的意旨,按用户的要求向服务器提出服务请求,同时完成部分(在C/S结构)或全部(在文件服务
21、器结构)用户要求的数据处理和计算任务。因此,在选择工作时,要根据用户工作环境、网络工作模式、用户的工作性质等因素,考虑选择一般档次或高档的计算机。选择网络互连设备时,也要考虑技术发展迅速、产品更新换代越来越快的特点。网络互连设备从二层交换机到三层交换机,路由器等,选择的余地很大,同时也带来了技术上的难度。因此,在选择这些设备时,既要注意采用先进的技术,又要考虑实际情况,避免由于系统设备的不配套而使其中先进设备的优势难以发挥,甚至影响正常运行。如在选择路由器和交换机时,可考虑的主要指标为:设备的端口类型和端口数量、支持的传输协议、连接LAN的传输速率、设备的时延、背板的带宽等。8.2.3 网络软
22、件选型网络软件分为网络操作系统软件、网络管理软件、应用软件、工具软件、支撑软件等,正确地选择能够相互配合、完成网络系统需求功能的软件组合是网络建设的关键。1 操作系统的选择网络操作系统是网络信息系统的核心基础,就单一网络操作系统可供选择的有UNIX、Linux、Windows NT/2000/Server2003、OS/2等。UNIX是传统大、中、小型计算机使用的操作系统,优点是可靠性高,稳定,功能强大齐全,分时多用户,多进程,多任务;网络通信功能强,安全级别高;遵从所有工业标准和开放系统标准。国内常用的有IBM的Aix、SCO公司的SCO UNIX等,采用较为普通的是SUN Solaris。
23、SUN Solaris工作的X86和ROSC的SUN Sparc系列平台,支持多CPUA,网络功能强且操作方便,支持TCP/IP、NFS、Web及各类图形图像标准,提供GUI工作界面,支持多种数据库系统,双向Cluster,安全可靠性为C2级。Linux是类似UNIX的免费系统,提供GUI工作面,内嵌Internet各种服务,支持多媒体;近年来发展极快,应用软件大公司如Informix、Oracle、CA等支持Linux系统,并推出应用产品、RedHat Linux是Linux系统较为典型的产品。Windows NT/2000/2003是一个与硬件平台无关、可伸缩的服务器网络操作系统。系统多个
24、CPU及Cluster,网络互连功能方便,支持多种网络传输协议,可构成多平台异种操作系统互连广域网。Windows NT/2000/2003的许多技术思想均来源于UNIX,用户接口方面经过易用性的包装,安装简便,易学易操作。但从网络规模、稳定可靠及数据处理上与UNIX尚有一定的差距。作为网络信息系统基础,选择操作系统应根据系统规模、信息处理流量、硬件服务器配置方面考虑。目前,主干网主服务器多选UNIX或Windows NT/2000/2003,应用服务器选择Windows NT/2000/2003、Linux。这样,既可以享受到Windows平台应用丰富、界面直观、使用方便的优点,也可以享受L
25、inux、UNIX稳定、高效的好处。2应用软件的选择应用软件是网络信息系统最终的价值体现,进行规划设计时,主要考虑的有数据库系统和信息服务相关软件。常用的数据库系统有Oracle、Sybase、SQL Server、Informix。对于具体应用,从原则上讲,它们各自都有完善的解决方案和扩展结构。在选取时,注意各数据库所支持的技术特征和功能,特别是面向对象的处理能力。应该指出,数据库系统选择应与网络操作系统选取相匹配。如SQL Server仅能在Windows上运行,不能升级到UNIX环境,而Oracle、Sybase系统不仅能在Windows上运行,也能直接转移到UNIX环境下工作,Info
26、rmix有UNIX和Windows两种版本,但Windows版功能相对弱些。在信息服务相关的软件中,常规信息工具如Web Server、Mail Server、FTP等在购置服务器及网络操作系统时大多已解决,这里主要指用户自己使用的信息软件,包括信息发布系统、办公自动化(OA)、各类MIS以及辅助决策软件等。根据用户需求,应尽可能购买商品化的成熟软件。为充分发挥信息的作用,在系统集成规划、实施时,辅助决策支持软件是应考虑的。由于应用的多样性,系统集成的应用软件的开发不可避免,MIS系统前端开发工具选用VB、PB;OA的开发工具则首选IBM/Lotus的群件Notes;使用中间件、OLE/COM
27、技术也是提高应用软件开发效率的有效途径。8.2.4 结构化布线结构化布线系统是一种模块化、灵活性极高的建筑物和建筑群内的信息传输系统。结构化综合布线系统(SCS)是一种集成化的通用传输系统,它利用双绞线或光缆来传输建筑物内的多种信息。1定义结构化布线也叫综合布线,是一套标准的继承分布式布线系统。结构化布线就是用标准化、简洁化、结构化的方式对建筑物中的各种系统(网络、电话、电源、照明、电视、监控等)所需要的各种传输线路进行统一的编制、布置和连接,形成完整、统一、高效兼容的建筑物布线系统。2结构化布线系统的组成(1)户外布线:户外电缆可采用同轴电缆、光缆、微波,尽可能用光缆。(2)垂直布线:垂直电
28、缆一般用光缆和大对数的双绞线。(3)水平布线:水平电缆均采用双绞线。户外电缆和户内电缆间要安装跳线设备、分线设备、电气保护设备和专用传输设备(多路复用器、光端机等)。3结构化布线系统的国际标准结构化布线系统的国际标准有以下几种。l ISO/IEC 11801 国际标准l EIA/TIA-568 民用建筑线缆标准l EIA/TIA-569 民用建筑通信信道和空间标准l EIA/TIA-606 民用建筑通信管理标准l IEEE 802.3 总线局域网网络标准l IEEE 802.5 环线局域网网络标准l EN50173 综合布线系统设计欧洲标准4结构化布线系统的组成(1)工作区子系统(用户端子系统
29、)工作区子系统是指从终端设备出线到信息插座的区域,用来将终端与各楼层的水平布线系统相连。常用的设备有适配器、连接器、计算机和交换机等。(2)水平布线系统水平布线系统由楼层配线室至各工作区之间的电缆构成,用来实现通信插座与垂直干线子系统在连接。通常由双绞线、电缆和光缆构成。(3)垂直布线系统垂直布线子系统由连接设备间与各楼层配线室间的干线电缆构成,是整个结构化布线系统的主干系统,主要有主配线架、光缆和双绞线。(4)设备间系统设备间系统是楼宇大型通信设备与服务器的布线系统。所有的楼层资料都经过电缆或光缆传输到此系统,主要设备有交换机、大型计算机、网络设备和UPS(不间断电源)。(5)布线配置系统布
30、线配置系统由各层分设的配线间构成,可用来调整各层中各房间的设备移动和网络拓扑结构的变更,主要设备由跳线盒、配线架、配线箱等组成。(6)户外布线系统户外布线系统是连接楼宇间的通信设备,实现建筑物的相互连接,由同轴电缆、光缆组成。结构化布线系统的总体结构如图9-8所示。8.2.5 网络安全设计从本质上讲,网络安全就是网络上的信息安全,是指网络系统的硬件、软件及其系统的数据受到保护,不受偶然的或恶意的原因而遭到破坏、更改、泄露,系统能够连续可靠地正常运行。广义上来说,凡是涉及网络上信息的保密性、安全性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全的内容即有技术方面的问题
31、,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何有效的保护重要的信息数据、提高计算机网络系统的安全性,已成为所有计算机网络技术人员必须考虑和必须解决的一个重要问题。1.安全体系结构网络安全体系机构主要考虑安全对象的安全机制,安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治。2.安全体系层次模型按照网络OSI的七层模型,网络安全贯穿于整个七层。针对网络系统实际运行TCP/IP,网络安全贯穿于信息系统的4个层次。因此,网络的安全体系结构也可以用层次模型表示,如图9-9所示
32、。图9-9 安全层次体系模型(1)物理层物理层信息安全主要是防止物理通路的损坏、物理通路的窃听和对物理通路的攻击。(2)链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听,主要采用划分VLAN、(局域网)加密通信(远程网)等手段。(3)网络层网络层的安全需要保证网络只给授权的客户使用授权的服务,保证网络路由正确,避免被拦截或监听。(4)操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全,同时能够对该操作系统上的应用进行审计。 (5)应用平台应用平台指建立在网络系统之上的应用软件服务,如数据库服务器、电子邮件服务器和Web服务器。由于应用平台的系统非常复杂,通常采用多种技术(
33、如SSL等)来增强应用平台的安全性。(6)应用系统应用系统的安全与系统设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全,如通信内容安全,通信双方的认证、审计等手段。3.网络信息安全设计网络管理与网络信息系统的安全是网络设计中的重要部分,因此网络安全规划、设计应从设备安全、软件和数据库安全、系统运行安全以及网络互连安全等方面进行周密的考虑,具体表现在以下几个方面。(1)安全策略选取l 硬件可靠性:网络服务器、交换/基线设备、工作站、连接器件、电源、外部设备等性能及质量必须有全优的保证。采用计算机群集、带点热拔插技术、磁盘阵列、磁盘镜像技术,保证系统安全正常运行。l 数据备份方
34、案:备份时在系统出现故障时的重要补救措施,采用磁带或可读写光盘设备对数据进行备份,课随时、定是进行(由软件设计时规定)。l 防病毒措施:网络服务器、工作站安装防病毒软件或配置防病毒功能的网卡。l 环境安全性:指电源系统,如交流电源、UPS配备,接地系统(交流地、直流地、保护地)和防雷设施。重要部门还有保密和辐射屏蔽的要求。对用户按不同级别划分适当的访问权限,以保护数据的安全。l 网络互连安全:内部网络可实际虚拟网,按各系统分工加以分割,每个系统只限在本系统内工作:内部网与外部网互连,须采用防火墙技术。国内常用采用的防火墙产品有Check Point公司的FireWall、Cisco公司的PIX
35、 Firewall等。l 网络管理:网络管理软件是管理维护网络系统的重要工具,它以直观化的图形界面完成网络设备管理、资源分配、流量分析、安全控制及故障处理等。优秀的网络管理软件应首推HP公司的Open View,Intel公司的LAN Desk Management Suite 也是优秀的产品。(2)选择并实现安全服务由于网络的互联是在链路层、网络层、传输层和应用层不同协议来实现,各个层的功能特性和安全特性也不同,因而其安全措施也不相同。物理层安全设计传输介质的安全特新,抗干扰、防窃听讲是物理层安全措施制定的重点。在链路层,通过“桥”这一互连设备的监听和控制作用,可以建立一定程度的虚拟局域网,
36、对物理和逻辑网段进行有效的分割和隔离,消除不同安全级别逻辑网段间窃听的可能。在网络层,可通过对不同子网的定义和对路由器的路由表控制来限制子网间的节点通信,通过对主机路由表的控制与之间通信的节点。同时,利用网关的安全控制能力,可以限制节点的通信、应用服务,并加强外部用户识别和验证能力。对网络进行级别划分与控制,网络级别划分大致包括Internet/企业网、骨干网/区域网、区域网/部门网、部门网/工作组网等,其中Internet/企业网的接口要采用专用的防火墙,骨干网/区域网、区域网/部门网的接口利用路由器的可控路由表、安全邮件服务器、安全拨号验证服务器的安全级别较高的操作系统。增强网络互连的分割和过滤控制,也可以大大提高保密性。图9-8 结构化布线系统5介质及连接硬件的性能规格在综合布线系统中,布线硬件主要包括配线架、传输介质、通信插座、插座板、线槽和管道。介质主要有双绞线和光纤,在我国主要采用无屏蔽双绞线与光纤混合使用的方法。光纤主要用于主干连接,按信号传送方式分为多模光纤和单模光纤。在水平连接上主要使用多模光纤,在垂直主干上主要使用单模光纤。在每个工作区至少应有两个信息插座,一个用于语音,另一个用于数据。目前,提供专业布线产品的厂商有许多,如安普公司的AMP布线系统、NORDX/CDT的IBDN布线系统以及AVAYA的SYSTIMAX布线系统等。
