系统集成技术交流网络集成

1、 q1 ? * 环境支持平台环境支持平台 计算机网络平台（外部信息基础设施）计算机网络平台（外部信息基础设施） 网网 络络 安安 全全 与与 网网 络络 管管 理理 应用基础平台应用基础平台 数据库平台数据库平台开发工具开发工具基础服务基础服务 网络应用系统网络应用系统 用户界面用户界面 客户客户/ /服务器平台服务器平台webweb平台平台guigui平台平台 1 需求调查需求调查 q2 * 数据安全，链路安全安全性 365天/24小时不停机运行可靠性/可用性 票务检索=0.5秒，售票打印 处理1分钟 延迟/响应时间需求 24今后3年增长期望值 24用户数量 售票大厅地点 目前需求/服务描述

2、用户服务需求 185部门3 204部门2 153部门1 信息工位数层次部门 机房在n层xxx楼 405 ? 楼3 704 专用 楼2 903 顶层 楼1 信息工位数楼层数量机房建筑名 公寓 公寓 公寓 图书馆 教学楼 办公楼 实验楼 科技中心 电教馆 计算中心 后 勤 300m80m 2层3层 竖井的位置 q3 * 2 概要分析概要分析 2.1 概要分析目的概要分析目的 2.2 分类应用介绍分类应用介绍 2.2 分类应用介绍分类应用介绍 (1) 2.3 例：例： 2.3 例：例： 2.4 例：例： 2.4 例：例： 2.5 例：例： 2.5 例：例： 3 详细需求分析详细需求分析 * q4:正

3、比 a校区 焦化厂 光缆 无线网 钢铁总公司 b校区 q5 核心层（信息点数250-5000） 分布层（信息点数100-500） 接入层（信息点数4-250） 双绞线 光纤（光缆） 建筑群间连接 建筑物内连接 核心层 分布层 接入层 单星结构双星结构 链路聚合 标准传输介质传输距离应用场合 1000base-t5类utp25-100m服务器、图形工作站 1000base-cx150 stp25m罕见 1000base-sx 62.5m短波多模光纤260m建筑物内主干 50m短波多模光纤525m建筑物内主干 1000base-lx 62.5m长波多模光纤550m建筑物内或集中建筑群主干 50m长

4、波多模光纤550m建筑物内或集中建筑群主干 8-10m长波单模光纤3000m园区/校园网骨干 port trunking(链路聚合技术)：“拓扑环”问题由来已久，生成树 (spanning tree)尽管能解决交换设备冗余连接，但无法提高链路效率。 链路聚合链路聚合用于在二个交换机之间，把多个以太网链路组合起来，组成一 个逻辑链路，提供多倍100/1000mbps的全双工连接，并可负载分担。 链路聚合不仅提高了连接带宽，且提高了链路可靠性，逻辑链路中任一 物理链路失效仅降低链路带宽，不影响正常工作。 fec/gec(快速以太网/千兆以太网冗余连接)：fec/gec用来实现交换机 和服务器之间的

5、冗余连接和负载分担。使服务器的网络i/o吞吐量成倍 提高。 广域网 端口链路聚合 fec/gec 骨干网及核心交换机热点技术： gbic(千兆位集成电路)：千兆以太网接口一般有一个gbic 卡槽，可插sx、lx/lh或zx gbic卡。lx/lh gbic在单模光 纤上传输距离不小于10公里。zx gbic传输距离50-80公里。 hsrp(热等待路由协议)：cisco的一种专有技术，hsrp提供 自动路由热备份技术。在局域网上有两台以上路由器时， 这个局域网上的主机只能有一个缺省路由器，当这个路由 器失效时，hsrp可以使另一路由器自动承担失效的工作。 接入层 三层结构(分布层级连) 分布层

6、 二层结构(接入层堆叠) 以电话线拨号方式互联： 以x.25专线互联： 以ddn专线互联 以光纤电缆方式互联 以无线扩频微波方式互联 优点： 投资最少，互联方便，只需两端各有电话线就能互联。 缺点： 设备比较简单，速率低，而且误码率很高，对大数据量 的传输不适应 极不安全。 x.25专线互联 (过时) 同电话拨号互联几乎相同。由于在双侧的设备上采 用了更加先进的设备，因而其传输速率比较高，一 般可达到19.2kbps，但不能实现实时通讯，通讯费 用偏高。 ddn专线互联 目前国内应用较多的专有线路互联方法。 优点： 其传输速率可达较高 可实时通讯 线路稳定可靠 缺点： 费用：初装和租金都较昂贵

7、 用户只有使用权而没有产权，故障的维护比较 麻烦。 q6 优点： 最大的传输带宽，支持包括多媒体信息的传输 传输可靠性也很高 保密性好。 缺点： 高造价 大工程量是难以让用户接受的 通常： 一般以国家行为较多 一般公司及企业很少应用此方式，除非传输距离比较短，所 架设的光缆在自己的管辖之内。 无线扩频微波方式互联 技术： 计算机无线高速数据传输网络采用了微波扩频技术、无线全 双工高速数据传输技术，使用2.4 ghz 微波传输频率。 使用高增益天线点对点传输距离可达2040公里，支持各种常 用的网络协议。 核心交换机 服务器子网交换机 q7 web服务 dns服务 ftp服务 数据库服务 ema

8、il服务 基于基于ntnt 基于基于linuxlinux web服务 dns服务 ftp服务 email服务 数据库服务 应用服务器 email服务 群件服务 工作流应用服务 数据库服务 web服务 dns服务 ftp服务 流媒体服务 4服务器集群。web、email、ftp和防火墙等应用结合在一起，采用具 备负载均衡功能的集群系统，可提高系统的i/o能力和可用性； 4双机容错高可用性（ha）服务器。数据库及应用服务器系统采用双 机容错高可用性（ha）系统，以提高系统的可用性。 4机架式服务器配置。大型网络物理服务器数量过多为管理和运行带 来沉重负担，导致环境恶劣，宜采用机架式服务器。 核心

9、交换机 web/ftp ftp/web mail/dns proxy/防火墙 internet 服务器集群 负载均衡 服务器 数据库服务器(ha) nas 应用 服务器 主干网 多层架构的最重 要价值 ? -负载平衡 交换机 数据库服务器 应用服务器 主干网 das 交换机 数据库服务器 raid盘阵 应用服务器 主干网 das 光纤通道 san =150km 交换机 数据库服务器 应用服务器 主干网 nas das 文件存储os raid盘阵 光纤通道 san =150km nt服务器 hp 9000 sun e4500 文件服务 文件服务 文件服务 文件服务 san nas 服务器a服务器

10、b 共享磁盘阵列 lan 心跳线 单立式打印服务器 lan 打印机共享 lanlan 并口并口10/100m网络接口卡 带嵌入式打印服务 器的网络打印机 网络接口 q8:选型 r10000sgi sgi irixsgi origin alpha hp-compaq (dec) hp-uxhp-9000pa-rischp ultra solaris enterpriseserver sparcsun aixrs/6000 powerpcibm os服务器cpu类型公司 tru64 unixalpha server q8:选型 防火墙是一类防范措施的总称，它使得内部网络与internet 之 间或

11、者与其他外部网络互相隔离、限制网络互访用来保护内 部网络。 实现： 防火墙简单的可以只用路由器实现，复杂的可以用主机甚至 一个子网来实现。 目的： 在内网与外网之间设立唯一的通道，简化网络的安全管理。 功能： 过滤掉不安全服务和非法用户 控制对特殊站点的访问 提供监视internet 安全和预警的方便端点 产品化的设备所具有的特点： 服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现 www浏览器、http 服务器、ftp 等； 对私有数据的加密支持：保证通过internet 进行虚拟私人网络和商务活动 不受损坏； 客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分 支

12、机构、商业伙伴和移动用户间安全通信的附加部分； 反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自 网络内部。防火墙能监视这样的数据包并能扔掉它们； c/s 模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平 台的监视模块。 报文过滤 是在ip 层实现的，可以只用路由器完成。 应用层网关 方式多种多样 应用代理服务器（application gateway proxy） 回路级代理服务器 代管服务器 ip 通道（ip tunnels） 网络地址转换器(nat network address translate) 隔离域名服务器（split domain name ser

13、ver ） 邮件技术（mail forwarding） 应用代理服务器 原理： 在网络应用层提供授权检查及代理服务。 优点： 应用网关代理的优点是既可以隐藏内部ip 地址，也可以给单 个用户授权，即使攻击者盗用了一个合法的ip 地址，也通不 过严格的身份认证。因此应用网关比报文过滤具有更高的安 全性。 缺点： 这种认证使得应用网关不透明 用户每次连接都要认证，带来许多不便。 需要为每个应用写专门的程序。 回路级代理服务器 即通常意义的代理服务器，适用于多个协议，不 能解释应用协议，需要通过其他方式来获得信息， 因此回路级代理服务器通常要求修改过的用户程 序。 应用：套接字服务器（sockets

14、 server）就是回 路级代理服务器。 代管服务器 技术： 把不安全的服务如ftp、telnet 等放到防火墙上，使之同时 充当服务器，对外部的请求作出回答。 优点： 不必为每种服务专门写程序。 而且，受保护网内部用户想对外部网访问时，也需先登录到 防火墙上，再向外提出请求，这样从外部网向内就只能看到 防火墙，从而隐藏了内部地址，提高了安全性。 ip 通道（ip tunnels） 应用：一个大公司的两个子公司相隔较远， 通过internet 通信。这种情况下，可以采用 ip tunnels 来防止internet 上的黑客截取信 息。 从而在internet 上形成一个虚拟的企业网。 网络地

15、址转换器 问题：问题： 当受保护网连到internet 上时，受保护网用户若要访问 internet，必须使用一个合法的ip 地址。但由于合法internet ip 地址有限，而且受保护网络往往有自己的一套ip 地址规划 （非正式ip 地址）。 转换器的价值：在防火墙上装一个合法转换器的价值：在防火墙上装一个合法ip地址集。地址集。 当内部某一用户要访问internet 时，防火墙动态地从地址集中 选一个未分配的地址分配给该用户，该用户即可使用这个合 法地址进行通信。 同时，对于内部的某些服务器如web 服务器，网络地址转换 器允许为其分配一个固定的合法地址。 隔离域名服务器 原理： 通过防火

16、墙将受保护网络的域名服务器与外部网的域 名服务器隔离 应用： 外部网的域名服务器只能看到防火墙的ip 地址，无法 了解受保护网络的具体情况 可以保证受护网络的ip 地址不被外网知悉。 邮件处理 作用： 外部网络只知道防火墙的ip地址和域名时，从 外部网络发来的邮件，就只能送到防火墙上。 内部处理： 防火墙对邮件进行检查，只有当发送邮件的源 主机是被允许通过的，防火墙才对邮件的目的 地址进行转换，送到内部的邮件服务器，由其 进行转发。 类型： 远程访问虚拟网（access vpn） 企业内部虚拟网（intranet vpn） 和企业扩展虚拟网（extranet vpn） 分别与 传统的远程访问网

17、络 企业内部的intranet 企业网和相关合作伙伴的企业网所构成的extranet 相 对应。 安全性 vpn 直接构建在公用网上，其安全问题更为突出。 企业必须确保其数据不被攻击者窥视和篡改。 extranet vpn 对安全性提出了更高的要求。 网络资源的优化使用 构建vpn 的一重要需求是充分有效地利用有限的广域网资源，为重要数据 提供可靠的带宽。 广域网流量的不确定性使其带宽的利用率很低，qos 通过流量预测与流量 控制策略，可以按照优先级分配带宽资源。 可管理能力 目标：减小网络风险、具有高扩展性、经济性、高可靠性等优点。 内容：包括安全管理、设备管理、配置管理、访问控制列表管理、qos 管 理等内容。 建筑群子系统建筑群子系统 设备间子系统设备间子系统 垂直干线子系统垂直干线子系统 水平子系统水平子系统 工作区子系统工作区子系统 网管中心网管中心 竖井竖井 管理子系统管理子系统 室外光缆及连接器建筑群子系统 配线机柜、配线架、理线架、utp跳线、光跳线设备间子系统 双绞线、光缆及连接器干线子系统 配线架、理线架、utp跳线管理子系统 双绞线水平子系统 信息插座、utp跳线(终端线)工作区子