2024网络集成技术

网络集成技术前言前言---背景国内IT硬件市场连年火爆国内IT硬件市场连年火爆基础网络快速增长基础网络快速增长ITIT周边设备保有量不断扩大4前言前言---背景钱花下去了，带来效益情况如何?对国家对企业对IT从业人员采购网络、硬件设备+软件开发+=信息系统?5前言前言---问题企业信息化是完整的方案，不是靠单一采购出来的硬件及网络设备、软件系统间普遍缺乏集成6环境支持平台7计算机网络平台（外部信息基础设施）网络应用系统数据库平台开发工具基础服务应用基础平台环境支持平台7计算机网络平台（外部信息基础设施）网络应用系统数据库平台开发工具基础服务应用基础平台前言---系统集成的内容•网络安全与网络管理客户/服务器平台Web平台GUI平台•网络安全与网络管理客户/服务器平台Web平台GUI平台用户界面标书的制做过程。提高项目经理的投标能力；前言---前言---课程目标求的系统集成方案。8前言---前言---角色及知识背景角色：系统集成行业管理、技术人员网络集成方案/标书的形成：对相关的专业基础知识有一定的了解应用集成：具一定的软件开发知识学习经历9网络集成方案网络集成方案集成需求调查及分析集成需求调查及分析方案设计及标书的形成方案设计及标书的形成10网络集成方案—网络集成方案—需求及分析1需求调查•1需求调查4分析报告24分析报告2概要分析3详细需求分析111需求调查1需求调查需求调查的重要性•需求调查的重要性应用需求调查方法•应用需求调查方法性能需求调查•性能需求调查地理及环境情况•地理及环境情况需求整理•需求整理应用系统管理员的介入•应用系统管理员的介入12需求调查的重要性1.1需求调查的重要性完整的需求描述，界定了范围内容及细节•完整的需求描述，界定了范围内容及细节精准的需求输入，是控制项目周期的前提•精准的需求输入，是控制项目周期的前提有效的需求控制，是项目成败的关键因素•有效的需求控制，是项目成败的关键因素13应用需求调查介绍1.2应用需求调查介绍•目的•目的完整、量化的了解需要在集成系统执行的客户业务•内容•内容得出所需的网络应用类型、数据量的大小、数据的重要程度、网络应用的安全性及可靠性、实时性要点要点A、已/将投入使用的客户软件的需求，必须记录B、考虑客户的承受能力，冗余适可而止C14应用需求调查(Cont)1.2应用需求调查(Cont)•方法•方法A、尽量多从关键的”领导”那儿听取上线人员倍。B、应在现场信息调查前，明确客户的关注重点业务范围，根据调查计划表执行C、调查应使用事先准备好的表格/模板记录字段例：部门、人数、业务流程描述、涉及业务数据量、显性/隐性的网15需求(可后继整理)性能需求调查1.3性能需求调查•目的•目的–得到客户关注但不敏感，却决定项目成败的内容内容•系统的网络执行速度•可靠性/可用性伸缩性安全性16性能需求调查(Cont-1)1.3性能需求调查(Cont-1)

Q2*要点要点权威输入，尽力量化所得到的信息。息，并为后期的实施工作规避风险。建议由您有丰富经验的系统架构工程师担任171.3性能需求调查(Cont-2)1.3性能需求调查(Cont-2)示例：用户服务需求目前需求/服务描述地点售票大厅用户数量24今后3年增长期望值24延迟/响应时间需求票务检索<=0.5秒，售票打印处理<1分钟可靠性/可用性365天/24小时不停机运行安全性数据安全，链路安全18地理及环境情况1.4地理及环境情况•目的•目的方案提供优质的信息输入要点要点、展示专业、亲和的时候B、事先准备好记录信息的模板C、分人了解信息时，注意按清单回收19地理及环境情况（1)1.4地理及环境情况（1)•信息点情况：A涉及建筑较少的单位•XXX楼机房在N层部门层次信息工位数部门1315部门2420部门351820地理及环境情况（2)1.4地理及环境情况（2)•信息点情况：B涉及建筑较多的单位•建筑名机房楼层数量信息工位数楼1顶层390楼2专用470楼3??54021地理及环境情况（3)1.4地理及环境情况（3)建筑群的勘察建筑群的勘察勘察内容：大致勾画网络所覆盖的建筑物群的位置分布估算建筑物内和建筑物之间的最大距离物之间的距离等进行现场勘测22地理及环境情况（4)1.4地理及环境情况（4)建筑群的勘察建筑群的勘察办公楼办公楼科技中心实验楼公寓300m2380m教学楼图书馆后勤电教馆计算中心地理及环境情况（5)1.4地理及环境情况（5)建筑内的勘察建筑内的勘察局部的信息，最佳的情况是根据建筑的施工图纸有的放矢，快速而准确的描绘出：A、局部拓扑结构和室内布线系统走向和布局B、适于使用的介质注：不准确的图纸时有发现24地理及环境情况（6)1.4地理及环境情况（6)建筑图示例建筑图示例竖井的位置2层竖井的位置2层3层25需求整理1.5需求整理

Q3*需求阶段完成了系统调查，了解用户建设或改的需求，将加以整理得出有价值的文档，是下一步工作的基础。--点滴之处体现了集成公司的实力需求整理，形成文档是整个网络设计过程中的点，需要由经验丰富的系统分析员协同项目经理来完成。26应用系统管理员的介入1.6应用系统管理员的介入系统管理员什么时候介入?•系统管理员什么时候介入?越早越好------- !越早越好为什么?为什么?27应用系统管理员的介入-11.6应用系统管理员的介入-1•为什么要尽早•为什么要尽早?集成商并不了解客户的人文细节非专业的业务人员描述带有情感明白而敬业的客户，心中”早有分寸”需要客户的”自已人”为我们的方案说话全程参与的系统管理员，未来必为我们分忧28应用系统管理员的介入-21.6应用系统管理员的介入-2如何找到合适的人选如何找到合适的人选?大型的客户，通常都有专业的IT人员将”您的系统需要您的管家”早点说出来开放心态、以大家风范为客户培训技术人才292概要分析2概要分析概要分析的目的•概要分析的目的分类的应用介绍•分类的应用介绍校园网的示例分析•校园网的示例分析企业网的示例分析•企业网的示例分析宽带城域网示例分析•宽带城域网示例分析302.1概要分析目的2.1概要分析目的根据需求的输入，进行第一层次的分析根据需求的输入，进行第一层次的分析区分应用分类的特点，明确应用的需求项目带宽、服务需求OS架构数据吞吐量：存储方案网络架构及布局：拓扑结构、容错、负载分配312.2分类应用介绍2.2分类应用介绍Internet/Intranet网络公共服务：数据库服务：关系数据库非结构化数据库系统网络基础服务和信息安全平台：网络基础服务信息安全平台322.2分类应用介绍2.2分类应用介绍(1)网络应用系统：(1)公共应用系统部门专用系统通过应用类型的简要归纳，得出具体应用需求。332.3例：校园网-特点2.3网络负荷大。应用复杂用户数量较大。网络利用率高。Internet访问频繁，网络安全地位重要。资金问题。”性价比”在这里更受关注342.3例：校园网-应用需求2.3Internet公共服务计算机教学、多媒体教学课件、远程教学系统；3、各种与教学相关的信息系统图书馆系统办公自动化（OA）系统352.4例：企业网-特点2.4A、宗旨：投入->产出B、内容：产品、市场营销和管理产品链供应链市场链管理应用：财务、HR信息安全362.4例：企业网-需求分析2.4Internet公共服务：电子邮件系统。文件传输与共享。WEB服务。信息、电子商务系统平台。企业数据库及企业数据资源系统。专有应用系统：企业管理：PDM/ERP…产品设计开发生产：CAA/CAD系统，CIMS…企业信息库：情报信息服务系统等。372.5例：宽带城域网-分析-12.5电子商务。包括：电视购物、网上交易、EDI通信业务。子邮件信息检索业务。包括：数据库查询、电子图书馆、电游等信息检索业务交互式业务。专家会诊382.5例：宽带城域网-分析-22.5广播业务。包括：模拟音频视频广播、数字音频视频广播、数据广播、图文电视等业务点播业务。包括：视频点播、音频点播等业务网络游戏。家庭应用。远程监控，防火防盗报警，水、电、气能源管理等393详细需求分析3详细需求分析详细分析的交付物是方案的一部分网络费用分析网络总体需求分析综合布线需求分析网络可用性/可靠性需求分析网络安全性需求分析分析结果的交付403.1网络费用分析-13.1•网络工程项目本身的费用：•网络设备硬件服务器及客户机设备硬件：印机、客户机等。网络基础设施：UPS电源、机房装修、综合布线器材等。软件：网管、OS、数据库、应用系统、安全、定制软件等。远程通信线路或电信租用线路费用。系统集成费用：设计、方案、施工。培训费和网络维护费。413.1网络费用分析-23.1•要点•Q4:正比的好评。作为系统集成商主要利润的系统集成费是一种附加值（一般为外购软硬件的9%至15%）。品质与费用总是成正比。投资规模会影响网络设计、统集成商也要赚钱。?423.1网络费用分析-33.1•要点：•受的费用之间进行折衷的产物。“档次”，产生与此相配的网络设计方案。由于技术进步，网络硬件设备性能越来越好，价格却433.2 网络总体需求分析3.2网络总体需求分析•运用应用概要分析和费用估算的结果，结合应用类型以及业务密集度的分析，分析估算出网络数据负载、信息包流量及流向、网络带宽、信息流特征等因素，从而确定网络总体需求框架。•网络数据负载分析信息包流量及流向分析信息流特征分析拓扑结构分析网络技术分析选择443.2.1 网络数据负载分析3.2.1网络数据负载分析根据当前的应用类型，网络数据主要有3种级别：第一，MIS/OA/Web类应用。交换频繁负载很小；第二，FTP文件传输/CAD/多且负载较大，但无同步要求，容许数据延迟；第三，流式文件。如：RM/RAM/会议电视/VOD随即发生且负载巨大，而且需要图象声音同步。数据负载以及这些数据的在网络中的传输范围决定着你要选择多高的网络带宽，选择什么样的传输介质。453.2.2信息包流量及流向分析-13.2.2信息包流量及流向分析-1主要目的是为应用“定界”，即为网络服务器指定地点。之一。网卡上，会形成拥塞；于容灾。463.2.2信息包流量及流向分析-23.2.2信息包流量及流向分析-2分析信息包的流向就是为服务器定位提供依据。比如：财务系统服务器，信息流主要在财务部，少量流向企业管理子网，可以考虑放在财务部。境复杂化。473.2.3信息流特征分析3.2.3信息流特征分析信息流实时性•信息流实时性信息最大响应时间和延迟时间的要求•信息最大响应时间和延迟时间的要求信息流的批量特性•信息流的批量特性信息流交互特性：信息检索/录入不同信息流的时段性。483.2.4拓扑结构分析3.2.4拓扑结构分析可从网络规模、可用性要求、地理分布和房素考虑来分析。比如：可从网络规模、可用性要求、地理分布和房素考虑来分析。比如：建筑物较多，建筑物内点数过，交换机不足，就需要增加交换机的个数和连接方网络可用性要求高，不允许网络有停，双星结双星结构。地理上有空隙的网络要采用特殊拓扑结。分处以上，业务必须一体化处以上，业务必须一体化的大学合并风潮造成这种状况颇多），就殊连接方式的拓扑结构。A校区因焦化厂

光缆无线网

B校区钢铁总公司

屋结构诸就要采用00493.2.5网络技术分析选择3.2.5网络技术分析选择尽量选择当前主流的网络技术，如：千兆以太网、快速换式以太网等技术。一些特别的实时应用（频流等）技术能够保证数据实时传输。传统技术如：IBMToken现代技术如：ATM等都可较好实现面向连接网络。503.3 综合布线需求分析3.3综合布线需求分析•布线需求分析主要包括：•的芯数：6类和超5类线较贵，5类线价格稍低。单模光缆传输质量高距离远，但模块价格昂贵；光缆芯数与价格成正比。布线路由分析：根据调研中得到的建筑群间距离、马路隔离情况、电线杆、地沟和道路状况为建筑群间光缆布线方式进行分析。为光缆采用架空、直埋还是地下管道的方式铺设找到直接依据。对各建筑物的规模信息点数和层数进行统计：时宜采用分布式布线。513.4可用性/3.4可用性/可靠性分析采用：磁盘双工和磁盘阵列、双机容错、异地容灾、和备份减灾措施等，还可采用能力更强的大中小型Unix主机（如：IBM、SUN和SGI）。•采用：磁盘双工和磁盘阵列、双机容错、异地容灾、和备份减灾措施等，还可采用能力更强的大中小型Unix主机（如：IBM、SUN和SGI）。–会致使费用成指数级增长。523.5 网络安全性需求分析3.5网络安全性需求分析安全需求分析具体表现在以下几个方面：分析存在弱点漏洞与不当的系统配置。行为的策略。安全隔离。确保租用电路和无线链路的通信安全。分析如何监控企业的敏感信息、包括技术专利等信息。分析工作桌面系统安全。安全不单纯是技术问题，而是策略、技术与管理的有机结合。534分析报告--4分析报告--需求分析的终点需求分析完成后，应产生明确的《需求分最终应该经过由用户方组织的评审，评审过后，根据评审意见，形成最终版本不再改了！需求分析完成后，应产生明确的《需求分最终应该经过由用户方组织的评审，评审过后，根据评审意见，形成最终版本不再改了！之后的需求，按需求变更实施•之后的需求，按需求变更实施54网络集成方案网络集成方案—方案设计及标书的形成6施工方案设计网络系统方案设计56施工方案设计网络系统方案设计555网络系统方案设计Q55网络系统方案设计网络总体目标和设计原则•网络总体目标和设计原则通信子网规划设计•通信子网规划设计资源子网规划设计•资源子网规划设计网络方案中的系统选型•网络方案中的系统选型网络安全设计•网络安全设计565.1网络总体目标和设计原则5.1网络总体目标和设计原则-1①确立网络总体实现的目标需工程费用、时间和进度计划等。不同网络设计目标大相径庭。575.1网络总体目标和设计原则5.1网络总体目标和设计原则-2②总体设计原则实用性原则：“够用”和“实用”原则。开放性原则：TCP/IP协议、IEEE802系列标准等。目的第一，有利于未来网络系统扩充；目的第二，有利于在需要时与外部网络互通。585.1网络总体目标和设计原则5.1网络总体目标和设计原则-3•②总体设计原则•高可用性/可靠性原则：融、铁路、民航等行业的网络系统应确保MTBF和MTBF，高可用性和系统可靠性应充分考虑。内部网、电子商务网站、以及VPN等网络方案设计中应重点体现安全性原则，确保网络系统和数据的安全运行。在社区网、城域网和校园网中，安全性的考虑相对较弱。595.1网络总体目标和设计原则5.1网络总体目标和设计原则-4内保证其主流地位。三是价格高，四是技术支持力量接济不上。应具有很高的资源利用率。性要求基本不成问题。冗余适可而止605.2通信子网规划设计5.2通信子网规划设计通信子网规划设计通信子网规划设计构主干网络（核心层分布层/接入层设计设计615.2.1网络总体规划与拓扑结构-15.2.1网络总体规划与拓扑结构-1应该考虑的主要因素有：费用采用哪种网络技术：决定着交换设备和传输介质的种类。灵活性：重新配置的难度/信息点的增删…可靠性：抗异常事件/防止个别节点损坏而影响整个网络的正常运行。625.2.1网络总体规划与拓扑结构-25.2.1网络总体规划与拓扑结构-2计算机局域网/区域网一般采用星形/网络拓扑结构与规模息息相关。小规模的星形局域网没有主干和外围网之分。规模较大的网络通常呈树状分层拓扑结构。核心层（信息点数250-5000）光纤（光缆） 建筑群间连接分布层（信息点数100-500）双绞线 核心层（信息点数250-5000）光纤（光缆） 建筑群间连接分布层（信息点数100-500）双绞线 建筑物内连接接入层（信息点数4-250）用以连接信息点的“毛细血管”接入层，根据需要在中间设置分布层。分63 布层和接入层又称为外围网络。5.2.2主干网络（核心层）设计-15.2.2主干网络（核心层）设计-1轻重而定。一般而言，主干网一般用来连接建筑群和服务器群，可能会容纳网络上40～60%的信息流，是网络大动脉。连接建筑群的主干网一般以光缆作传输介质，典型的主干网技术主要有千兆以太网、10-BASE-FX、ATM、FDDI等。从易用性、先进性和可扩展性的角度考虑，采用千兆以太网是目前大家通行的做法。FDDI基本已属于昨天的技术，支持它厂商越来越少。ATM是面向连接的网络，能保证一些突发重负载在网上传输，但由于ATM在局域网的所有应用需要ELAN考虑用。如果经费不足以上千兆以太网，可以采用100Base-FX，即用光传输介上快速以太网。端口价格低，对光缆的要求也不高。是一种非常经济惠的选择。 645.2.2主干网络（核心层）设计-25.2.2主干网络（核心层）设计-2双星结构和单星结构：主干网的焦点是核心交换机（或路由器）如果考虑提供较高的可用性，而且经费允许，主干网可采用双星（树）结构，即采用2台同样的交换机，与接入层/分布层交换机分别连接。双星（树）而且通过采用最新的链路聚合技术，则可以允许每条冗余连接链路实现负载分担。但双星（树）结构会占用比单星（树）输介质和光端口，除要求增加核心交换机外，二层上连的交换机也要求有2个以上的光端口。链路聚合核心层单星结构 双星结构655.2.2主干网络（核心层）设计-35.2.2主干网络（核心层）设计-3千兆以太网一般采用光缆作传输介质。别用于不同的场合和距离。由于建筑群布线路径复杂的特殊性，一般直线距离超过300米的建筑物之间的千兆以太网线路就应该选用单模光纤。单模光纤本身并不贵，昂贵的是光端口及组件。标准传输介质传输距离应用场合1000Base-T5类UTP25-100m服务器、图形工作站1000Base-CX150ΩSTP25m罕见1000Base-SX62.5μm短波多模光纤260m建筑物内主干50μm短波多模光纤525m建筑物内主干1000Base-LX62.5μm长波多模光纤550m建筑物内或集中建筑群主干50μm长波多模光纤550m建筑物内或集中建筑群主干8-10μm长波单模光纤3000m园区/校园网骨干665.2.2主干网络（核心层）设计-45.2.2主干网络（核心层）设计-4•骨干网及核心交换机热点技术：•PortTrunking(链路聚合技术)：“拓扑环”问题由来已久，生成树(SpanningTree)用于在二个交换机之间，把多个以太网链路组合起来，组成一个逻辑链路，提供多倍100/1000Mbps的全双工连接，并可负载分担。链路聚合不仅提高了连接带宽，且提高了链路可靠性，逻辑链路中任一物理链路失效仅降低链路带宽，不影响正常工作。快速以太网/千兆以太网冗余连接)：FEC/GEC用来实现交换机I/O吞吐量成倍提高。端口链路聚合

广域网FEC/GEC675.2.2主干网络（核心层）设计-55.2.2主干网络（核心层）设计-5骨干网及核心交换机热点技术：GBIC(千兆位集成电路)：千兆以太网接口一般有一个GBIC，可插SX、LX/LH或ZXGBIC卡。LX/LHGBIC在单模光纤上传输距离不小于10公里。ZXGBIC传输距离50-80公里。HSRP(热等待路由协议)：Cisco的一种专有技术，HSRP提685.2.3分布层/接入层设计-15.2.3分布层/接入层设计-1接入层即直接连接信息点，使网络资源设备(PC等)“主干千兆以太网，10/100兆到桌面”。后半句话即是对接入层的描述。分布层接入层物内信息点较多(比如：220个)分布层接入层三层结构(分布层级连)69

二层结构(接入层堆叠)5.2.3分布层/接入层设计-25.2.3分布层/接入层设计-2–要不要分布层，采用级连还是堆叠。特点，堆叠体内能够有充足的带宽保证，适宜本地楼宇内）；级连适宜于全网信息流较平均的场合，且分布层QoS（服务质量）合处理一些突发的重负载（如：VOD视频点播），但增加分布层的同时也会使成本提高。分布层/接入层一般采用100Base-T(X)快速（交换式）10/100Mbps自适应传输速率到桌面计算机。传输介质则基本上是双绞线。CiscoCatalyst3500/4000系列交换机就是专门针对分布层而设计的。如果主干采用光介质传输，接入层交换机必须支持支持E模块。5.2.4远程接入访问的规划设计5.2.4远程接入访问的规划设计以电话线拨号方式互联：以X.25专线互联：以DDN专线互联以DDN专线互联以光纤电缆方式互联•以光纤电缆方式互联以无线扩频微波方式互联•以无线扩频微波方式互联715.2.4.1PSTN5.2.4.1PSTN•说明：••用PSTNModem设备，并申请一组中继线。远程（RAS）和Modem组的端口数目一一对应，一般按一个端口支持20个用户计算来配置。•优点：•投资最少，互联方便，只需两端各有电话线就能互联。•缺点：的传输不适应极不安全。7X.25专线互联(X.25专线互联(过时)同电话拨号互联几乎相同。由于在双侧的设备上19.2kbps，但不能实现实时通讯，通讯费用偏高。7DDN专线互联QDDN专线互联目前国内应用较多的专有线路互联方法。优点：其传输速率可达较高可实时通讯线路稳定可靠缺点：费用：初装和租金都较昂贵麻烦。7光纤互连光纤互连•优点：•最大的传输带宽，支持包括多媒体信息的传输传输可靠性也很高•保密性好。•缺点：高造价大工程量是难以让用户接受的•通常：•一般以国家行为较多设的光缆在自己的管辖之内。7无线扩频微波方式互联无线扩频微波方式互联•技术：•工高速数据传输技术，使用2.4GHz微波传输频率。•使用高增益天线点对点传输距离可达20~40用的网络协议。•优势：•特别适用于远郊、山区的大型企业单位•不足：技术复杂行业标准化不高，技术专用性强稳定性受设备、厂家的影响较大765.3资源子网规划设计5.3资源子网规划设计器子网连接方案服务器群的整合与均衡网络存储系统规划设计网络打印系统775.3.1服务器的网络接入-15.3.1服务器的网络接入-1••①服务器的网络接入••服务器在网络中“摆放”应用的效果和网络运行效率。企业级服务器：适宜放在网管中心；部门/工作组级服务器：放在部门子网中。•服务器网络接入特点：•服务器是网络中信息流较集中的设备磁盘系统数据吞吐量大传输速率要求高，要求绝对的高带宽接入785.3.1服务器的网络接入-25.3.1服务器的网络接入-2••①服务器的网络接入••服务器接入方案主要有以下几种：千兆以太网端口接入：服务器需要配置而且必须支持GBE网卡，GBE网接口，使用多模SX连接器接入交换机的多模光端口中。优点：性能好、数据吞吐量大，缺点：成本高，对服务器硬件有要求。企业级数据库服务器、流媒体服务器、和较繁忙的应用服务器。(FEC)：即采用2块以上的100Mbps服务器专2台交换机中。通过FEC技术实现负载均衡或负载分担，当其中一块网卡失效后不影响服务器正常运行。最近这种方案比较流行。普通接入：采用一块服务器专用网卡接入网络。是一种经济、简洁的接入方式，但可用性低，信息流密集时可能会因主机CPU占用（）而使服务器性能下降。适宜于数据业务量不是太大的服务器使用。795.3.2服务器的子网连接方案5.3.2服务器的子网连接方案核心交换机直接连接方案：缺点是需要占太多的核心交换机端口，使成本上升。服务器子网专用交换机方案：，可为服务器组提供充足的端口密度，缺点是容易形成带宽瓶颈，且存在单点故障。服务器子网交换机核心交换机80Q75.3.3服务器群的整合与均衡5.3.3服务器群的整合与均衡-1物理服务器逻辑服务器服务器整合的必要性：运行同一种服务系统。如何根据服务程序对硬件占用特点、网络规模、费用承受能力，合理搭配和规划服务器分配，在最大限度地提高效率和性能的基础上降低成本，是系统集成中不能回避的重点问题之一。815.3.3服务器群的整合与均衡5.3.3服务器群的整合与均衡-2•主要服务程序类型对服务器硬件的占用特点•服务类型CPU和内存磁盘系统I/O网络性能Web★RDBMS★★★★★非结构数据库★★★★★★FTP★★★★★密集Email★★★DNS★★(缓存)Proxy★★★★★★VOD视频点播★82 ★★★★★★5.3.3服务器群的整合与均衡5.3.3服务器群的整合与均衡-3Web服务DNS服务FTP服务Web服务DNS服务FTP服务数据库服务Email服务基于NTWeb服务DNSFTPEmail数据库服务应用服务器基于Linux835.3.3服务器群的整合与均衡5.3.3服务器群的整合与均衡-4网络规模因素：中型网络重应用中型网络重应用中型网络注重实际应用，可选择将应用分布在更多的物理服务器上。宜采用功能相关性配置方案，将相关应用集中起。如Web服务器需要频繁地与数据库服务器交换信息，把这2项服务安装在一台高档服务器内，会减轻网络I/O负担。对于企业网络，工作流应用需要借助底层Email服务，就可以结合群件服务器。对于像VOD这样的流媒体专用服务器，最好单列。Email服务Email服务群件服务工作流应用服务DNS服务FTP服务数据库服务Web服务流媒体服务845.3.3服务器群的整合与均衡5.3.3服务器群的整合与均衡-5网络规模因素：大型网络或ISP/ICP的服务器群方案大型网络应用场合讲究安全可靠、稳定高效、功能强大。大型企业网站和ISP供应商需要向用户提供全面的服务，建设先进的电子商务系统，甚至需要向用户提供免费Email服务、免费软件下载、免费主页空间等，所以要求网站必须能够满足全方面的需求，功能完备，且具有高度的可用性和可扩展性，保证系统连续稳定地运行。服务器集群。Web、Email、FTPI/O能力和可用性；双机容错高可用性（HA）服务器。机容错高可用性（HA）系统，以提高系统的可用性。机架式服务器配置。85采用机架式服务器。5.3.3服务器群的整合与均衡5.3.3服务器群的整合与均衡-6•网络规模因素：大型网络或ISP/ICP的服务器群方案•InternetInternet服务器集群应用服务器集群应用数据库服务器(HA)NAS主干网服务器核心Proxy/防火墙Mail/DNSFTP/WebWeb/FTP86 ---负载平衡5.3.4网络存储体系的设计-15.3.4网络存储体系的设计-1网络存储系统的重要性：数据是网络中最宝贵的资源，因数据问题导致的损失可能使一个20MB丢失的数据，销售、市场类的数据恢复平均需要花费19个工作日和17000美元，财务类数据则需要21个工作日和20000美元，而相对较为复杂的工程数据需要花费42个工作日和98000美元。级增长，数据管理和维护工作日益繁杂。网络存储系统是制约网络I/O络存储系统，会最大限度地降低总体拥有成本，使网络性能得到充分发挥。875.3.4网络存储体系的设计5.3.4网络存储体系的设计-2•网络存储系统的结构种类：•DAS(直接附加存储)：也称SAS(服务器附加存储)。应用服务器 交换机数据库服务器DAS88

主干网5.3.4网络存储体系的设计-35.3.4网络存储体系的设计-3•网络存储系统的结构种类：•SAN(存储区域网络)：网络之外的专用光通道交换机直接连接，提供SAN内部节点之间的多路可选择块到企业级数据密集型应用服务的能力，非常适用于存储密集型环境。且支持异地容灾。费用昂贵，成功应用罕见。应用服务器应用服务器交换机<=150km光纤通道SAN数据库服务器RAID盘阵DAS主干网895.3.4网络存储体系的设计-45.3.4网络存储体系的设计-4•网络存储系统的结构种类：•NAS(网络接入存储)：或称为网络直联存储设备、网络磁盘阵列。一个NAS里面包括CPU、文件存储OS硬盘驱动器阵列。NAS可以应用在任何的网络环境当中。应用服务器、数据库服务器和客户端可以非常方便地在NAS上存取任意格式的文件。NAS独立于操作系统平台，具有不同类的文件共享、用户安全认证交叉协议支持、Web界面管理和不停顿维护等特点。应用服务器应用服务器交换机NAS<=150km光纤通道SAN数据库服务器RAID盘阵90DAS主干网文件存储OS5.3.4网络存储体系的设计5.3.4网络存储体系的设计-5NAS与SAN系统的比较：•是在RAID的基础上增加了文件存储操作系统，其RAID的用户可直接访问NAS；而SAN是独立出一个数据存储网络，其RAID分割情况要视操作系统种类多少而定，整体网络内部的数据传输率很快，但操作系统仍停留在服务器端，用户不能直接访问SAN的网络，因此这就造成SAN在异构环境下不能实现文件共享。•只能由一种操作系统平台独享数据存储设备，NAS存储结构。因此，NAS与SAN的关系也可以表述为：NAS是网络接入，而SAN是通道接入。文件服务文件服务文件服务文件服务文件服务文件服务HP9000 HP9000 SunE4500NAS文件服务915.3.4网络存储体系的设计5.3.4网络存储体系的设计-6双机热备份存储方案： 对于可用性要求极高的数据库服务器系统，集群磁盘阵列系统方法。在硬件上，于双数据库服务器之间设一组可伸缩的磁盘阵列，并以RAID5技术将用户的共同数据存于共享磁盘组中。在软件上，TruCluster于多个处理器之间分配负载、应用、数据库，将其连接起来，使它们成为一个系统出现在用户面前。数据库服务器分别连入以太网络。这样的双机机群磁盘阵列系统，可以克服单点故障的发生，在操作系统崩溃、络控制失效或I/O故障，TruCluster检测出现的问题，并在数秒内将应用操作转移到另外一个系统上。故障恢复对

共享磁盘阵列LAN共享磁盘阵列LAN心跳线用户是完全透明的。 925.3.5网络打印系统-15.3.5网络打印系统-1第一阶段：打印机共享第二阶段：单立式专用打印服务器第三阶段：网络打印机并口并口并口10/100M网络接口卡LANLANLAN打印机共享单立式打印服务器带嵌入式打印服务器的网络打印机网络接口935.3.5网络打印系统-25.3.5网络打印系统-2为什么要采用网络打印来替代共享打印和桌面个人打印？更低的TCO（总体拥有成本）；减少整个网络打印系统的投资，极大提高了投资效率；提高整个网络的打印能力，包括打印速度和打印容量；使网络打印机的丰富特性能够被整个网络所共享，包括：双面打印、彩色、自动分拣和装订、作业保留、海量输入/输出等；网络中打印机数量更少，更加稳定可靠，减少了为维护打印机而投入的时间和精力；提高网络用户工作效率，提高网络用户打印的满意度；增加打印系统的可用性和连续工作时间，不会因计算机设备停止工作而中断打印；强大的管理性，可实现随时、随地的管理。945.4网络方案中的系统选型5.4网络方案中的系统选型网络设备选型原则•网络设备选型原则网络核心交换机的选型•网络核心交换机的选型分布层和接入层交换机的选型•分布层和接入层交换机的选型路由器选型•路由器选型网络操作系统选型•网络操作系统选型服务器硬件选型•服务器硬件选型955.4.1网络设备选型原则Q8:选型5.4.1网络设备选型原则厂商的选择：尽可能选取同一厂家的产品，这样在设备可互联性、协品线齐全、技术认证队伍力量雄厚。作为系统集成商，不应依赖于任何一家的产品。扩展性考虑：在网络的层次结构中，主干设备选择应预留一定的能力，以便于将来扩展，而低端设备则够用即可。因为低端设备更新较快，且易于扩展。根据方案实际需要选型：主要是在参照整体网络设计要求的基础上，金投入方面的浪费。还应考虑用户承受能力。选择性能价格比高、质量过硬的产品：为使资金的投入产出达到最大65.4.2网络核心交换机的选型5.4.2网络核心交换机的选型项目CiscoCatalyst6000/6500Avaya/Lucent项目CiscoCatalyst6000/6500Avaya/LucentCajun-P580背板性能32Gbps/256Gbps55Gbps三层(L3)包转发能力15Mpps/缩放高达150Mpps3Mpps～40Mpps负载插槽5槽/8槽6槽最高端口密度5槽/8槽机型分别具有：高达240/384个10/100Base-T，或高达40/64个GE端口，或最多120/192个100Base-FX端口高达288个10/100Base-T端口或高48个GE端口其它特性支持最多8个不相连的端口的链路聚合和FEC/GEC97具有恢复能力的L2（多层生成树）拓扑结构；OpenTrunk技术提供的与其他厂家设备的操作性，业界领先。5.4.3分布层和接入层交换机的选型5.4.3分布层和接入层交换机的选型分布层/接入层交换机一般都属于可堆叠/络骨干交换设备。灵活性：点的增加而从容地进行扩容。高性能：作为大型网络的二级交换设备，应支持千兆/百兆高速上连（最好支持FEC/GEC），作小型网络的中央交换机，要求具有较高的背板带宽和三层交换能力，如：CiscoCatalyst2948和IntelExpress550TRoutingSwitch等。满足技术性能要求的基础上，考虑价格便宜、使用方便、即插即用、配置简单。具备一定的网络服务质量和控制能力以及端到端的QoS。如果用于跨地区企业分支部门通过公网进行远程上联的交换机，还应VPN标准协议。支持多级别网络管理。985.4.4路由器选型-15.4.4路由器选型-1依据：背板能力：容量/总线能力吞吐量：包转发能力丢包率：稳定持久承载下，转发失败的比例转发时延：包进出时延路由表容量可靠性：MTBF故障恢复时间等995.4.4路由器选型-25.4.4路由器选型-2•低端：用于外围接入。相当于Cisco2500系列。类似的或•16，17，2600系列。•中端：企业级或ISP等应用，在Cisco7200以下的产品，如•3640系列。•高端：能提供主干网络/千兆级应用，如7512000系列••能、可靠性因素•1005.4.5网络操作系统选型-15.4.5网络操作系统选型-1IAIA架构OSNovellNetWare曾经达到67%占有率的产品，目前在政券行业尚有一定份额SCOUnix系列是IA架构中OS中最强大的UNIX系统10.5网络操作系统选型-2IA架构网络操作系统选型-2–微软公司WindowsNT/2000操作系统支持4路SMP置管理直观、方便。且捆绑了很多协议和服务程序，如：IIS、ASP、DNS等，可独立构成Internet服务平台；另外NT有包括数据库和各类软件开发工具在内的微软丰富的商业软件和众多的第三方软件商的软件支持，可高效率、低成本地建立起网络基础应用平台和电子商务网站。因此NT已成为IA架构服务器操作系统的一个事实上的标准，业界通常把IA架构服务器称为NT服务器，足以可见NT的地位。WindowsNT/2000操作系统对硬件尤其是内存的开销较大，系统运行效率较低，需要较高的硬件配置。另外，其系统稳定性不足，不适宜用于对可用性要求较高的、要求永不停机的关键场合；而且安全漏洞较多。Linux的特点概括来说就是价格低廉，功能强大，可靠性高。Linux系统开销低。它支持绝大多数局域网和广域网协议并捆绑了大量应用软件，尤其是Internet服务软件，Linux操作系统及其应用软件大多数可以在网上免费获得，所有的Linux发布版（如RedHatLinux，TurboLinux等）捆绑了很多应用系统。但由于缺乏商业化支持，关键场合Linux筑Internet服务平台方面的应用已十分普遍。比较适合经济型网络用作综合务器的OS。1025.4.5网络操作系统选型5.4.5网络操作系统选型-3•非IA架构的选择-纷繁复杂的UNIX家族IBMSUNHPHP-Compaq(DEC)SGI

CPU类型PowerPCSPARCPA-RISCAlphaR10000

服务器RS/6000…EnterpriseServerUltraHP-9000AlphaServerSGIOrigin103

OSAIXSolarisHP-UXTru64SGIIRIX5.4.5网络操作系统选型-45.4.5网络操作系统选型-4•UNIX家族的比较•IBMAIX因蓝色巨人的强大整合能力而前景光明，适用于从工作站到巨型机的各种应用。HP-UX非常可靠，服务口碑不错。提供了完整的解决方案SunSolaris工作站极的商用市场份额极高，OS及各种应用软件价格较高SGIIrix服务器的I/O吞吐能力非常出色，在高端的图形/设计应用中份额不断扩大。1045.4.5网络操作系统选型-55.4.5网络操作系统选型-5•选型要点–性能和兼容性：微软产品的竞争力不断加强–安全性–价格：专有系统(Unix)>NT/2000>Linux–第三方软件支持–市场占有率1055.4.6服务器硬件选型-15.4.6服务器硬件选型-1性能要求性能要求处理能力CPU速度、数据、Cache内存支持情况存储能力硬盘的性能、数量硬盘的接口、是否支持热插拔106服务器硬件选型服务器硬件选型-25.4.6性能要求高可用性5.4.6性能要求MTBF设备冗余情况：电源、磁盘、网络…数据吞吐能力器I/O能力IA64架构的采用可伸缩性空间接口情况：磁盘/电源/…

插槽/主板插槽/外部接口5.4.6服务器硬件选型-3Q8:选型5.4.6服务器硬件选型-3配置关键点配置关键点—按需配置服务器是做什么应用的?文件服务器(FTP)：磁盘、I/O数据存储：磁盘、内存，I/OWEB应用：IO、内存、CPU运算、中间件等应用服务器：CPU、I/O1085.5网络安全设计-15.5网络安全设计-1•网络安全设计原则•网络安全设计原则遵循木桶原理对正常的业务应用，影响应尽可能小绿点、蓝点原理，安全是有等级规范的全局性：安全是全体系的盾牌，是面状的政府、军队等应用，需优先考虑本土产品投入产出应付合客户意志1095.5网络安全设计-25.5网络安全设计-2•设计与实施步骤•第一步：列举可能的各种攻击与风险第二步：明确安全策略由需求及环境决定整体安全性级别影响业务运营的承受能力如何进行管理及控制：配置、界面…投入及允许实施周期第三步：建立安全模型安全算法、信息、界面要求连接协议、通信接口模块网络安全传输：安管系统、支撑系统、传输系统1105.5网络安全设计-35.5网络安全设计-3•设计与实施步骤•第四步：选择并实现物理、链路、网络层的安全操作系统的安全应用平台的安全第五步：安全产品的选型及测试按照企业信息与网络系统安全产品的功能规范测试范围：功能、性能、可用性1115.5安全技术5.5安全技术防火墙技术•防火墙技术防火墙应用展开•防火墙应用展开相关技术应用说明•相关技术应用说明透明访问NATVPN1125.5.1 防火墙技术5.5.1防火墙技术•概念••–防火墙是一类防范措施的总称，它使得内部网络与Internet•实现：•–防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。•目的：–在内网与外网之间设立唯一的通道，简化网络的安全管理。1135.5.1 防火墙技术-15.5.1防火墙技术-1功能：过滤掉不安全服务和非法用户控制对特殊站点的访问提供监视Internet安全和预警的方便端点1145.5.1 防火墙技术-25.5.1防火墙技术-21155.5.1 防火墙技术-3技术分类5.5.1防火墙技术-3技术分类报文过滤报文过滤–是在IP层实现的，可以只用路由器完成。应用层网关应用层网关–方式多种多样1165.5.2防火墙技术展开5.5.2防火墙技术展开应用代理服务器（ApplicationGatewayProxy）回路级代理服务器代管服务器IP通道（IPTunnels）网络地址转换器(NATNetworkAddressTranslate)隔离域名服务器（SplitDomainNameServer）邮件技术（MailForwarding）1应用代理服务器应用代理服务器•原理：••–在网络应用层提供授权检查及代理服务。•优点：•–应用网关代理的优点是既可以隐藏内部IP地址，也可以给IP地址，也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。•缺点：–这种认证使得应用网关不透明–用户每次连接都要认证，带来许多不便。–需要为每个应用写专门的程序。1回路级代理服务器回路级代理服务器即通常意义的代理服务器，适用于多个协议，不能解释应用协议，需要通过其他方式来获得信息序。应用：套接字服务器（Sockets能解释应用协议，需要通过其他方式来获得信息序。应用：套接字服务器（SocketsServer）就是回路级代理服务器。1代管服务器代管服务器•技术：••把不安全的服务如FTP、Telnet等放到防火墙上，使之同•优点：不必为每种服务专门写程序。防火墙，从而隐藏了内部地址，提高了安全性。1IP通道（IPIP通道（IP通过Internet通信。这种情况下，可以采用IPTunnels来防止Internet上的黑客截取信息。•从而在Internet上形成一个虚拟的企业网。1网络地址转换器网络地址转换器•问题：•–当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法InternetIP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。•转换器的价值：在防火墙上装一个合法IP地址集。•–当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。–同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。1 隔离域名服务器隔离域名服务器•原理：••名服务器隔离•应用：外部网的域名服务器只能看到防火墙的IP地址，无可以保证受护网络的IP地址不被外网知悉。1邮件处理邮件处理•作用：–外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上•内部处理：•内部处理：–防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。1245.5.3透明网关方式图示5.5.3透明网关方式图示1255.5.3透明代理模式5.5.3透明代理模式••原来的网络拓扑和服务器IP地址都不需要改变•••只需在网络的边界上把内部网络和外部网络做到物理上的隔离，安全网关对每个进出网络的IP数据包进行检查和状态检测，把不合法的数据包阻挡在外。••透明代理模式安全网关同样支持VPN，可以和远程点建立安全隧道。••因为网关本身使用公有固定IP，总部局域网内只有公有IP的主机或服务器才能和远端进行直接安全通信•其他私有IP的主机可通过代理服务器和远端进行通信。1265.5.4NAT模式1275.5.4NAT模式5.5.4NAT模式将安全网关的WAN口接路由器，LAN口接局域网交换接到安全网关的DMZ口上。信给信息中心分配的不同的公有IP地址对外部网络提服务。安全网关的端口映射(NAPT)定端口相应地映射到每台服务器的该端口上使公有IP可以提供多种服务。1285.5.5VPN5.5.5VPN•类型：•远程访问虚拟网（AccessVPN）企业内部虚拟网（IntranetVPN）•和企业扩展虚拟网（ExtranetVPN）•分别与传统的远程访问网络企业内部的Intranet企业网和相关合作伙伴的企业网所构成的Extranet相对应。1295.5.5VPN的设计原则5.5.5VPN的设计原则•安全性•VPN直接构建在公用网上，其安全问题更为突