大型企业信息化建设方案

《大型企业信息化建设方案》由会员分享，可在线阅读，更多相关《大型企业信息化建设方案（38页珍藏版）》请在装配图网上搜索。

1、大型企业网间网设计与实现 一、 引言：在网络技术不断开展的今天，大型企业网络建设面临多种网络技术的选择。选择怎样的网络技术来满足企业未来开展的需要，是摆在各大企业面前的一个课题。虽然网络技术在飞速开展，但企业网络建设有其内在规律，把握这些内在的规律，将有助于指导大型企业的网络建设。 本文定义的大型企业网络是跨地域和有层次的网络。企业的网络层次和行政结构相对应，网络层次在二层或三层以上，网络连接可能是跨地市、跨省的，也可能是全国范围的。例如，银行、国税系统，民航、铁路、政府办公系统等都是跨地域，多层次系统，在网络建设上都有其共同的特点。从总体上说，企业网络涉及到系统软件平台、硬件平台，布线系统，

2、局域网建设，广域网建设，应用软件包括业务应用和WWW效劳等、网络平安，网络管理等方方面面。 本文从大型企业网络设计的角度介绍大型企业网络的设计和实现方法。一、 企业网络建设过程的几个阶段企业网络建设总体上分为设计阶段、实施阶段和网络管理维护阶段。从网络设计的角度来讲，分为应用驱动法和根底设施法。应用驱动法是采用根据应用需求，从工作组网络、楼宇网络、园区网络到广域网络的由近到远的设计方法。根底设施法是根据根本的网络规划，采用从广域网络、园区网络到楼宇网络的由远及近的设计方法。企业网络建设过程分为如下几个阶段： 1、需求分析阶段。通常大型企业在网络建设中已有局部的网络环境，这些网络环境能满足当时网

3、络应用的需要。但网络可能是一个个孤立的小岛，只能在局部范围内实现网络应用及资源共享，企业网络没有形成一个整体。企业网络规划时，要考虑网络建设的整体性，既要保护原有的投资，又要在网络技术的选型上有前瞻性。网络需求分析主要是根据企业业务开展需求和企业信息技术应用需求，提出企业网络建设的总体目标和关键技术指标。 企业网络需求分析包含如下几方面：n 网络标准和协议要求。n 全网络信息点分布需求，包括局域网布线结构要求，广域网传输介质要求。n 网络层次划分及网络拓扑结构要求。n 结合应用的网络设备处理能力和带宽要求。n 局域网和广域网要求。n Internet接入，外网接入，防火墙技术要求。n 企业网络

4、应用要求。 n 网络设备选型要求。n 网络应用和网络技术的关系如多媒体、IP话音和网络结构的要求。n 网络可靠性、扩展性和平安性要求。n 网络管理要求。2、网络规划阶段。企业网络规划是从企业网络需求分析到企业网逻辑设计中间必经阶段，主要根据企业网络需求分析得出别离的、外在的技术指标如用户数、桌面微机的站点数、最大响应时间要求等等。运用企业网络本身内在的规律和关联算法，得出整个企业网络内在的技术框架和技术指标如桌面带宽要求、主干带宽要求、效劳器处理性能要求等等。3、网络逻辑设计阶段。 网络逻辑设计阶段主要根据企业网络需求分析结果，根据企业网络规划的内在技术指标，按照计算机网络设计的经验和方法，在

5、现有的可行的网络技术范围内，设计企业网络的连接结构、协议结构以及每个网络的功能结构。企业网络设计主要确定网络的连接结构，网络节点的类型、 功能和容量。网络传输链路的类型和容量，以及网络平安控制结构和网络管理结构。4、 网络物理设计阶段。网络物理设计主要确定实施网络逻辑设计方案的厂家产品的类型、数量和具体配置，以及与网络逻辑设计方案中连接结构相吻合的物理拓扑结构。5、 网络实施阶段。网络实施阶段主要是采购所需的硬件设备和软件系统，以及安装、调试和测试网络系统。6、 网络维护和扩展阶段。 在企业网络通过测试之后，网络就进入了运行、维护和扩展阶段。企业网络的运行维护阶段的主要工作是对企业网络的日常维

6、护和管理，包括网络配置管理、性能管理、故障管理、平安管理和用户帐户管理，对企业网络的预防性测试和容量的规划。二、 企 业 网 络 层 次 结 构 分 析 及 其 模 块 化 设 计 思 想大型企业网络层次结构与企业的行政结构相对应，一般至少有二层，也有三层和四层结构。多于四层的结构作为远程访问效劳层看待。我们从网络的层次划分上分析探讨多层网络模块化设计思想。 大多数企业网络都可以被层次性划分为三个逻辑效劳单元(Backbone)、区域网(Distribute)和访问网(Localaccess)。骨干网的主要目的在于完成分布于不同区域或逻辑组的路由最优化通信；区域网主要是完成网络流量的平安控制机

7、制，以使骨干网和访问网环境隔离开来；访问网主要是支持客户机对效劳器的访问。2.1 模块化网络设计方法模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。实质上，模块化方式把网络划分为一个个子网，因此网络节点和流量变得更容易管理。层次化的设计方法同时也使网络的扩展更容易处理，因为新的子网模块和新的网络技术能被更容易集成进整个系统中，而不破坏已存在的骨干网。层次设计方法可为网络带来以下三个优点：1、层次性网络的可扩展性可扩展性是在包交换网络连接中使用层次性设计的主要优点。层次性网络具有更多的可扩展性是因为它可以让你用模块化方式扩展网络，而不会遇到非层次性网络或平面性网络很快

8、所遇上的问题。但是，层次性网络同时也提出了一定的问题需要仔细考虑。这些问题包括：虚电路的费用，层次设计尤其是网状拓扑的内在复杂联系，以及需要额外的路由器接口来划分网络层次。为了获得层次性网络结构的优点，你必须使你的网络层次结构充分与你所在地区的拓扑相符合。设计取决于你所使用的包交换模式，以及你所想要的容错能力、网络性能和网络造价。2、层次性网络的可管理性 使网络简单化通过把网络元素划分为小单元、层次化，降低了整个网络的复杂性。这种网络单元的划分使故障诊断变得清晰和简单了，同时还可以提供防止播送风暴、路由循环等其他潜在问题的内在保护机制。 使设计更灵活层次化设计使得骨干网和区域网之间的包交换形式

9、更具灵活性。很多网络都得益于使用混合方式来构造整个网络架构。在大多数情况下，可在骨干网局部使用专线而在区域网或本地网接入局部使用包交换效劳。 使路由器管理更容易由于层次化网络结构使网络分层，相对缩小的网络区域使路由器的邻居或对等通信端数量减少，因此路由器的配置变得简单化。3、优化播送和多点播送的流量控制在包交换网络中，减少路由器之间播送信息量的最直接方法就是使用更少数目的路由器组，通过层次化模块设计可以较好地控制网络中的播送。通常在包交换网络中最常见的路由器之间的播送信息流量是路由更新信息，如果在一个区域或一个层次中有太多的路由器，那么就会因为播送的原因而造成网络瓶颈。层次化的网络结构使你可以

10、对区域网向骨干网的播送作出限制。 根据这种层次化网络设计思想的原那么，我们可以把企业Intranet网络工程的整个网络体系结构分为以下三层或四层结构二级或三级网络主干：即由企业中心节点与二级节点组成一级主干网络，由二级节点和三级节点构成二级网络，三级节点和四级节点构成三级网络。如以下图所示： 图2.2 评估一级主干网络的效劳 如下图的一级主干网络所能提供的功能特性包括如下几个局部： 主干网络带宽管理： 为了优化主干网络的操作，路由器提供几种性能调节方法，如优先权队列管理和数据压缩，动态路由协议权值定义，动态路由协议发包时间间隔优化，协议本地确认等优化和节省广域网带宽。 数据传输路径优化 路由器

11、最主要的特点之一是在逻辑网络环境内，自动选择最优路径传输信息。 路由器依靠路由协议静态和各类动态路由协议完成最优路径查找工作。路由协议是在网络第三层上操作，并且各类网络协议有相应路由协议支持。如，在IP网络环境中，Cisco公司的所有路由器支持所有路由协议，如OSPF Routing,RIP Routing,IGRP Routing,E-IGRP Routing,BGP Routing,EGP Routing and HELLO Packet。 路由收敛问题：路径选择涉及的相关问题是路由收敛。当网络发生变化时，如主干网上路由器关机或故障，或通信线路的故障，或主干网上路由器配置变化等，都会引起路

12、由表的改变，这种改变过程引起网络不能正常工作。因此，选择收敛速度快的动态路由协议和防止路由慢收敛问题是网络设计的关键问题之一。 优化传输队列 主干网上信息传输可以分成不同的优先级别，将重要的信息定为高优先级别，优先传输。路由器可以对诸如不同协议类型，不同传输层协议，不同的应用类型设定不同的传输优先级。对IP协议来讲，在网络应用层，可对诸如TELNET,FTP,SMTP,WWW等应用进行传输队列优先权的设定，以确保重要数据优先传输。对传输队列的优化是在各类协议及子协议根底上进行，如以下图所示： 负载均衡 路由器支持多链路的负载均衡，最多可支持四条负载均衡链路，每条链路的负载阀值可以调整。 路径备

13、份 一级主干网上传输的都是重要信息，一级主干网的路径备份就特别重要。考虑到投资本钱，不要求主干网上所有路由器都双链路连接，而只考虑主干网上各中间节点到中心节点的双链路连接，各中间节点之间可以无链路连接。各中间节点之间的通信都跨越全国中心的路由器实现。因此，全国中心路由器必须具备强大的处理能力。2.3 评估二级主干网络的效劳 如下图，我们对二级主干网络作如下评估。 区域和效劳过滤 信息流的过滤是建立在区域的划分和效劳类型上。来自区域内部的信息不必要跨越广域网一级主干网络，这样可以减缓一级主干网络的通信压力。同时，在区域内部可以针对网络效劳类型如TELNET,FTP,SMTP等和网段地址作访问控制

14、，这样可确保重要数据的访问平安性。在路由器中，设置access-list，路由器判定满足条件的信息包通过网络。 基于策略的信息分发基于策略的信息分发的目的是确保传输性能和信息的完整性。在网间网中，这种策略可以定义成一个规那么或一组规那么，以此来控制跨越广域主干的端对端的数据传输。例如一个部门，它可能有三种网络协议要跨越主干，但只希望携带重要应用的一种特殊的协议快速通过主干。另一部门，由于主干网络过于繁忙，此时只允许e-mail跨越主干等。 路由协议的一致性 我们建议一级和二级广域网主干动态路由协议应是一致的，并采用开放的路由协议如ISIS或BGP4或OSPF。采用那种动态路由协议，要根据企业的

15、网络结构和部门间的隶属关系确定。 介质转换 介质转换技术是将不同网络链路层上的帧的格式转换为另一网络帧的格式，例如以态网与令牌环网的转换。由于区域内网络环境较为复杂，厂家必须有相应的设备支持。评估接入访问效劳 接入访问效劳包含如下内容： 网络增值地址网络增值地址helper network address是用来解决一些特殊的信息传输，使得原来是播送方式的传输变为多点传输。这样，可以减少网络的播送压力和路由器的负载。例如，Novell客户端原来通过播送方式查找它的效劳器，而如果效劳器不在本网段，播送信息必须通过路由器。使用helper address后，就允许在一个网络上的节点直接向另一个网络上

16、的效劳器发送信息，而不用经过路由器。 网段 局部访问效劳的根本要求是将网络分成假设干网段，每个网段实施各自的信息传输策略，通过路由器从而实现各网段播送信息的相互隔离，减少主干网络的拥塞。确定网段，是通过子网掩码实现的。灵活的网段划分，通过路由器access-list网段地址过滤，可以实现灵活的网络平安访问控制策略。 播送和多点播送 如上所说，路由器能隔离网段的播送信息。然而，如果需要，路由器可以中继播送。通过路由器中继某些播送以到达一定的目的。 IP的多点播送是从一个站点向指定的多个目的站点发布信息，而不是向每个站点发布信息。IP的多点播送为视频会议，股票交易等提供出色的效劳。参与多点播送的计

17、算机，必须运行IGMP协议。路由器配置IGMP(Internet Group Management Protocol) 后，可以实现位于不同网段内的计算机的多点播送。 平安策略 如果所有信息被所有员工随意访问得到，那么平安侵犯和不正当的文件访问就不可防止。为了防止这些问题，路由器要做如下工作： 防止局部网络信息不正当地进入网络主干 防止网络主干的信息不正当进入部门或工作组 实现这两大功能的手段是路由的包过滤。一方面，包过滤能控制未受权的用户访问，增加平安性，同时能减少网络的拥塞，减少网络问题的发生。 路由器有一整套信息过滤策略。如对地址的访问过滤，对协议的访问过滤，对应用层的访问过滤。具体地说

18、， 在以太网环境下，有一台主机能Telnet到Internet的某一台主机，不允许Internet上该主机Telnet到这台主机上，但可以作SMTP的访问。 只允许一个网段通过OSPF动态路由协议，其它网段OSPF被禁止。 限止某些主机访问某些网段。 限止某些网段访问另一些网段。 上述访问控制手段是常用的方法。另外还有远程访问控制，通常采用认证机制。对于MODEM访问方式的站点，可采用TACACS(Terminal Access Controller Access Control System) 认证机制。对 拨号站点，运行ppp协议，可采用chap或pap 认证机制。 路由器查找 主机必须知

19、道其网关地址才能通过路由器访问别的网段。可以用人工或动态路由的方式配置主机的网关地址。主机至少有一个路由器局域网端口地址作为其网关地址。但是，当有多个路由器时，主机如何确定其网关地址呢?一般来说，主机选择那台能到达目的站点最佳路径的路由器作为其网关，这种情况涉及路由器的查找。支持这种查找的相关协议有以下几种： End System-to-Intermediate System(ES-IS)协议 ICMP Routing Discovery Protocol(IRDP)协议 Proxy Address Resolution Protocol(ARP)协议 OSPF和RIP协议 通过对上述网络分层

20、效劳的分析，我们得出结论：对于大型企业Intranet网络工程来说，要想建设成为一个全国性的、网络性能优良的、网络控制极为灵活的、具有很强扩展能力和升级能力的大型企业综合性网络，那么在网络设计中就必须采用层次化的网络设计思想。三、 企 业 网 间 网 路 由 协 议 我们对企业网络的层次结构及相应的网络效劳作了系统的分析，各层次的网络效劳是建立在网络协议第三层动态路由或静态路由根底上。由于各类网络动态路由协议都存在算法上的缺陷，没有一种全优的网络动态路由协议能完全满足企业网络运行的需要。因此，网络动态路由的选择必须和整体网络结构相协调，同时和企业网络的运行方式、运营本钱相协调。 为此，我们简单

21、介绍几种路由协议：、RIPRoute Information Protocol 路 由 信 息 协 议 RIP路由协议与UNIX和TCP/IP紧紧地联系在一起的。在互连网中RIP是最常用的路由协议。 作为广泛使用的一种距离矢量Distance Vector路由协议，RIP路由协议有如下特 点：n 基于距离矢量路由协议路由器根据距离选择使用路由。当计算的那条路径为最短路径 时，路由器确定这条路径为最正确路径并维持这条最正确路径。当新的路由比 原路由更佳时，由新路由将替代老的路由。n 具有学习功能 路由器定时向每个邻近网络播送报文，通过路由器间相互学习， 不断更新自己的路由。n 仅以跳数hop c

22、ount作为距离度量在路由器的路由决策中，要考虑的因素可以很多 例如：带宽、 延迟、可靠性、路由等，如果参加决策的因素越多，路由策略的最正确路由更加趋于合理，对网络的描述更加精确。所以RIP路由协议仅将跳数作为距离度量有缺陷的。n 最大站点数为15 RIP 协议允许最大站点数为15，任何超过15个站点的目的地均认为不可到达的。RIP最大站数大大限制了大型网间网环境的应用。n 每30秒向相邻路由器播送一次路由信息 RIP路由协议采用了不少计数器，路由新计数器通常被设计为30 秒。保证每个路由器在每30 秒向其邻接路由器发送一次路由表。、OSPFOpen Shortest Path First开放

23、式最短路径优先协议 80 年代中期，由于RIP 路由器协议越来越不适应大规模异构网络互连。OSPF作为IETF网间工程任务组织为IP 网络开发的一种IGP内部网关协议协议，克服了RIP 路由协议的缺点。其采用SPFShortest Path First算法，基于链路状态路由协议。OSPF路由协议有如下特点：n 需要每台路由器向同域Area的所有其它路由器发送链路状态播送LSA信息。路由器收集有关的链路状态信息，并根据SPF的算法计算出到每个结点的最短路径。同域内的路由器共享 相同的拓扑信息。n 路由选择的分级 与RIP 路由协议不同，OSPF可在一个域Area内进行路由选择。域的最大集合是自治

24、域AS。AS 是共享同一路由选择策略的网络集合。 一个自治域AS可分为多个域Area，域是由相邻的网络和连接的主机组成，如下图。 根据源点和目的地是否在同一域内,OSPF有两种类型的路由 选择方式： 当源和目的在同一区域时，采用域内路由选择。 当源和目的不在同区域时，采用域间路由选择。 由于有域的概念，OSPF路由协议比那些不将AS分区的情况下 所需传送的路由信息少得多。n 支持VLSMVanable Length Subnet Mask可变长度子网掩码技术。 由于每个发布的目的地均包括IP子网的掩码，从而可利用子网掩码将IP网络分为不同大小的子网，这种方法可节省IP 地址空 间并给网络管理员

25、管理带来灵活性。 n 对带宽和CPU等资源消耗 这个SPF 算法占用了CPU 的资源，一般来说与运算量与网内链路数目与路由器数目乘积成正比。另外当SPF 路由器通电， 初始的链路状态包泛滥Floodting占用网络带宽，这些情况都是在网络设计中要考虑的。、EIGRPenchansed Interior Gateway Routing Protocol EIGRP 即为CISCO公司所提出的IGRP路由协议的增强版。它 是 一种混合型的路由选择协议，它结合了链路状态协议及距离矢量协 议的优点，包括以下特点：n 快速聚合增强IGRP使用扩散更新算法DUAL Diffusing Update Alg

26、orithm来快速到达聚合，运行EIGRP 的路由器存储有相邻路由器的路由选择表,因此能快速地适应路由的变化， 假设不存在适宜的路由，EIGRP 查询其相邻的路由器，以发现一个不同的路由，这种查询传播一直持续到新的路由发现为止。n 变长子网掩码EIGRP包括全支持变长子网掩码，子网路由 自动聚集到一个网络号边境上，除此之外，EIGRP 能被配置集中在任意接口的任意位边界上。n 局部、界限修改EIGRP路由并不周期性地作修改，只是当 某路由的计量发生变化时，才发送局部更新。自动更新的信息是自动定义其边界，所以只有那些需要这类信息的路由器才修 改其路由表，因为EIGRP 具有这两种功能，因此它比I

27、GRP、OSPF 消耗的频宽更少。n 支持多种网络层EIGRP 支持Appletalk、IP以及NOVELL 等 多种协议。、 静 态 路 由 协 议 以上我们介绍的均为动态路由协议，当然还有另外一种路由 协议便是静态路由协议。静态路由协议是由网络系统管理员人工定 制的，需要制出一切所需的路由。其优点为不会产生动态路由所特 有的路由信息播送或路由信息、更新或HELLO 从而不会在系统资 源：内存、CPU、带宽等方面制成额外的开销。但其缺点为会给系统管理员的管理工作带来大量的工作，其次，由于路由是静态的因 而不能适应网络的动态变化的需要而改变路由。 在上面的介绍中我们可以看出，作为一个大型综合企

28、业网的内 部路由协议可供选择的实际上有静态路由、IGRP、EIGRP和OSPF。而当我们进行一个大型网络IP协议的选取时，需考虑以下两方面的因素： 网络路由聚合时间网络路由环境的可维护性 动态路由比拟EIGRP是Cisco公司开发的一种先进的路由技术，它结合了距 离向量( DV )协议和连接状态( LS )协议的优点，采用了扩散更新算法DUAL Diffusing Update Algorithm到达网络的快速收敛。EIGRP 支持层次化和平面网络结构，支持VLSM 网络地址分配，可在任意位边界对直接相连的网络进行路径叠合，只有在网络变化时 EIGRP才发送路由表更新信息，因此广域网带宽浪费很

29、少，DUAL Diffusing Update 算法使其具有最好的收敛性，EIGRP 采用五维参数来决定最正确路径：带宽、时延、可靠性、线路负载和最大数据包尺寸，不同带宽的平行线路可负载平衡地同时传输数据 。它采用模块化软件支持IP、IPX 和AT 协议。OSPF是标准的、基于最短路径优先( 连接状态) 的、能快速收敛的路由协议，它只适用于IP 协议。 OSPF 的网络拓朴必须是层次结构的，分骨干域和边缘域，在设计OSPF网络时最重要的是域边界的定义地址分配，域边界的定义决定了哪些路由器和连接包 括在骨干域中，哪些包括在每一个下连的域中。OSPF 支持VLSM 地址分配，其路径叠合能力有限，必

30、须在路由器中手工设置。在大型企业网络中，RIP 由于其固有的局限性，它已被淘汰，最常见的路由协议是OSPF 和EIGRP，它们的比拟如下： OSPF EIGRP 快速收敛 是 是 带宽利用率 高 高 内存使用 两 者 差 不 多 CPU使用 两 者 差 不 多 路由算法 dyjkstra DUAL 传输类型 Link State Distance Vector 路径叠合 有 限 任意边界 协议过滤 非常有限 非常强 rtg协议速率调节 无 有 多个缺省路径 无 有 区域拓朴层次 必须要 不要 开放标准 是 不是 用户端可用 是 不是 保持邻居状态 是 是 改变只传播 不是 是 到 相 关 网

31、络 可用于多种 不是 是 L3 协 议 负载平衡传输 非常有限 很强 网络可扩性 好 很好 从以上比拟可看出，EIGRP 凝聚了距离矢量和链路状态两种 算法的精华，防止了两种算法各自的缺点，因而可到达最快速度的 聚合。由于其采用DUAL 算法，而且只有网络拓扑变化影响到的路由器才参与路由的计算，仅只有拓扑变化影响到的路由才进行广 播，因此EIGRP对CPU及网络带宽的消耗都将低于OSPF、IGRP、RIP 等路由协议。 在大型企业网络的设计中，除考虑线路的带宽、延迟、可靠性等因素外，路由表的大小、网络的延展性、路由的快速收敛同样是影响网络功能的重要因素。3.5 动态路由协议的选择对于大型企业网

32、，平面结构的路由协议如RIP，IGRP不能满足网络性能的要求。我们推荐采用E-IGRP,OSPF路由协议,多于三层结构的网络需采用BGP4网间网协议。OSPF协议是一层次化结构的路由协议，可将大型网络分成假设干区域。如以下图： 区域划分可减少各路由器的路由表尺寸；利于网络扩展；支持 VLSM，可通过路径的叠合 summarization优化地址的设计和路由的计算。 在OSPF协议中，Backbone 区域是中心主干区域Area 0，主干区域路由器保持OSPF的信息，负责各路由区域间的路由信息分配；跨接多个区域的路由器为ABRArea Border Router，其保持所连接的区域的路由信息，并

33、完成路径叠合功能 summarization；当网络大到需分成多个自主系统AS时，跨接AS 的路由器为 ASBR，在一个自主系统中可根据上述方法选择路 由协议，而自主系统之间目前最好的方法是采用BGP协议进行互 连。BGP的最新标准是BGP4(RFC1654)，它支持CIDR。在每个自主系统中要定义BGP PEER路由器，用于在自主系统之间交换路由信 息。对于OSPF的区域划分的原那么为： 每个区域内路由器不超过100个； 每个路由器接口的相邻路由器不超过60个； 每个路由器所属区域不超过3个； 所有区域必物理地连接到主干区域；四、 企 业 广 域 网 链 路 选 择我们从理论上分析了大型企业

34、网络的层次结构和动态路由协议。通常企业租用ISP的通信线路，按照设计好的层次结构进行广域连接。在申请通信线路时要综合考虑企业业务需求、QOS、运行维护费用等多种因素。ISP提供多种通信链路来满足企业用户非实时网络应用的需求，如X.25,DDN,帧中继，PSTN等。也可以选择拨号VPN技术，专线VPN技术。也可使用标记交换技术，MPLS技术等。选择通信类型要根据运营本钱和运营效率综合考虑。对于广域网上实现语音、图像等多媒体应用的广域网DDN，FrameRelay和ATM都能实现，但从运行费用和效劳质量保证来看，采用ATM作广域链路是较好的选择。目前，国内ISP没有开放ATM业务，但企业如有需要可

35、以申请ATM效劳。五、 企 业 园 区 局 域 网 设 计 (1)企业园区局域网络采用虚拟交换网络 从网络的性价比来看，企业的局域网络逻辑结构采用交换虚拟网技术已是大势所趋。交换虚拟网络是基于ATM和局域网交换机为平台的技术，其目标是真正建立一个可以满足未来多媒体信息处理时代需要的企业网络。从长远角度看，采用交换虚拟网络技术可以降低组建企业网的本钱、提高信息技术与企业开展的适应能力。交换虚拟网可以满足企业网络在以下几个方面对计算机网络的需求： 通过交换技术，向最终用户提供更高的带宽。 可以向不同用户、不同应用提供所需的效劳质量保证的网络效劳。 提供完整的网络管理和控制系统，控制网络本钱，特别是

36、隐含的网络本钱开销，例如网络管理、网络控制等方面的开销。 在外围提供前面的网络互连和系统集成方案，提供端到端的解决方案，提高网络互连性和可靠性，减少网络扩展的本钱。 构造虚拟工作组网络以支持虚拟工作组工作。 (2)企业局域网络的主干交换 企业局域网络主干的作用就是互连网络的各个局部，传递分布到网络各个局部的数据流。主干网必须具有高效率、高可用性特征，在主干上任何一点不合理的延迟都是灾难性的！ 采用ATM交换技术可以提供边缘交换机之间的高速连通性、可靠性和效劳质量保证，以及支持多种数据流类型，如IP、IPX、DECnet。利用ATM技术的高效拥挤控制和流量控制，高可用性和功能全面的网络控制，动态

37、用户组管理及有效的流量管理，满足大批量数据传输对带宽的需求，同时满足多媒体应用对不同类型信息流和不同效劳质量的需求。 采用千兆以太网技术可以提供极高的网络主干带宽，并融合传统的以太网技术和交换技术，给终端用户提供满足应用需求的带宽。虽然在带宽上满足终端用户的需求，但在网络的流量管理上和效劳质量上不及ATM。 企业局域网络还可以采用第三层或第四层交换技术，以满足网络主干在性能上的需求。 (3)企业园区楼宇网络设计企业园区楼宇设计必须基于建筑物内已有的或者可能设置的布线结构进行设计，同时要考虑每个楼宇内信息资源中心的设置，局域网之间的数据通信类型和可能通信量，局域网之间需要设置的平安访问控制策略，

38、确定网络互连模式和结构。楼宇内设计采用路由互连技术、ATM交换互连网技术和虚拟局域网组网技术。楼宇网络设计需要考虑如下问题： 楼宇内部如果没有干扰，而且传输距离在100米之内，一般采用双绞线作为网络的传输媒体。如果楼宇内部有电磁干扰，可以采用光纤作为传输媒体。如果楼宇内部的传输距离大于100米，可以采用互连设备的级联，也可以采用光纤作为传输媒体。 在采用同一局域网技术的工作组网络互连时，如果可以共享带宽，而且无平安控制需要，只是由于工作组网络覆盖的距离不够，那么可以采用级联集线器的方式扩展网络。 在采用同一种局域网技术的工作组网络互连时，如果各个工作组需要独立的传输带宽，那么通过局域网交换机连

39、接。 采用不同局域网技术的工作组网络互连时，如果互连的工作组网络较少，各个工作组之间无需提供平安访问控制，而且，各个工作组网络之间需要提供快速连接，那么采用支持多种局域网接口的交换机。 采用不同的局域网技术的工作组网络互连时，如果互连的工作组网络数量较多，各个工作组网络内部有较大的播送报文，或工作组网络之间需要有较为严格的平安访问控制，且在工作组之间没有多媒体应用，那么采用路由器互连各个工作组网络。 如果工作组站点的地理分布，与其它工作组网络站点地理分布重复，那么需要在同一地理区域采用同一局域网交换机连接不同工作组网络站点，通过交换机构成符合工作组划分的虚拟网络。 对于具有多媒体应用的点到点站

40、点网络效劳质量保证的传输信道，采用ATM技术，到桌面采用25M ATM连接。 效劳器设备接入：采用光纤155M ATM接入或光纤100M以太网接入。重点终端用户采用光纤接入核心交换机，实现平安传输。 (4)企业园区虚拟局域网 网络厂商相继开发了“开放互联技术VTP(VLAN Trunking Protocol)，支持的标准是ISL，MPLS。ATM交换机和局域网交换机为虚拟局域网提供了根底平台。虚拟局域网为企业局域网络带来的三个好处是： 在最大限度地减少对路由器依赖的根底上，有效地控制局域网内的播送流量，提高站点的传输效率。 减少由于网络站点的增加、移动和更改而增加的网络维护本钱。 业务部门工

41、作组的逻辑组合更为灵活。 在VLAN的划分中，都与“群组这个概念有关。群组是指局域网交换机的一个集合。每个交换机支持的群组数目有一定的限制。因此，在网络规划时，必须考虑业务部门逻辑工作组的数量，并选择相应的交换机型号，使得交换机的VLAN数量和处理性能满足业务应用需要。一个群组可以包括全网中不同交换机的端口，每个群组可以看作是一个独立的通信域。如果不使用路由功能，那么一个群组中的通信量不能转发到另一个群组中，群组的特征如下： (1)一个群组是一个播送域； (2)一个群组是交换机物理端口的集合； (3)群组可以跨越多个交换机； (4)群组不能相互重叠，即每个端口只能属于一个群组； (5)群组之间

42、的帧可以通过路由转发； (6)同一群组中不同的VLAN的帧也可以通过路由转发。 群组的概念实际上是基于以端口为根底的VLAN。还有其它类型的VLAN划分： (1)基于MAC地址的VLAN划分，这种VLAN划分方法灵活，但管理复杂； (2)基于协议规那么的VLAN划分，把具有相同的第三层协议网络站点归并成一个VLAN。这些站点连接的交换机端口构成一个播送域，以减少在同一网络环境下不同协议栈之间的相互干扰。选择不同的协议类型构成不同的VLAN：1、所有IP协议流量；2、所有IPX协议流量；3、所有DECnet协议流量；所有AppleTtalk流量；4、所有指定以太类型的流量；5、所有携带指定源点和

43、目的点SAP效劳访问点报头的流量；6、所有携带指定SNAP子网访问协议类型的流量。 (3)基于网络地址的VLAN。 用IP地址和IP网络掩码划分网段。 (4)基于用户定义规那么的VLAN。六、 企 业 网 络 与 外 网 连 接企业网络与外网的连接发生在企业网络的各个层次上，其中包括Internet接入等。我们称企业内部网为内网，企业外部网为外网。显然，内网和外网间加装防火墙。通常，内网和外网间采用静态路由或缺省路由。内网和外网的信息访问通过防火墙进行过滤。内网和外网的连接如以下图所示：七、 企 业 网 络 安 全 访 问 控 制 机 制7.1企业平安系统的设计目标是：1防范黑客攻击、计算机犯

44、罪和有害信息传播包括计算机病毒2加强应用和数据的平安建立平安管理制度，注意内外兼防，重点在内部 平安框架平安方案的科学性、可行性是其顺利实施的保障。平安方案必须架构在科学的平安框架之上。平安框架是平安方案设计和分析的根底。美国国防部DISSPDefense Wide Information System Security Program方案中提出的三维平安框架结构，是事实上的标准，反映了信息系统的平安需求和体系结构的共性。其简化的版本说明如下平安框架是一个三维结构： 第一维轴是平安特性，给出了七种平安属性；第二维轴是系统单元，给出了信息网络系统的组成 ；第三维轴是结构层次，给出了国际标准化组织

45、ISO的开放系统互连ISO模型。网络平台系统平台应用平台平安管理物理环境数据完整结构层次身份鉴别访问控制数据保密不可抵赖审计管理可用性、可靠性应用层表示层会话层传输层网络层链路层物理层平安特性系统单元平安框架的具体模型和介绍如下：平安方案的制订根据平安框架制订平安方案的具体思路如下：确定平安方案涉及的系统单元，明确平安方案系统单元；确定平安方案系统单元在各个层次结构的平安特性。平安方案的组成如下：网络平台平安方案系统平台平安方案应用平台平安方案物理环境平安平安管理方案7.4网络平台平安方案网络系统方案功能要点 1)访问控制。通过对特定网段、效劳建立的访问控制体系，将绝大多数攻击阻止在到达攻击目

46、标之前。检查平安漏洞。通过对平安漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控。通过对特定网段、效劳建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动如断开网络连接、记录攻击过程、跟踪攻击源等。 2)加密通讯。主动的加密通讯，可使攻击者不能了解、修改敏感信息。 3)认证。良好的认证体系可防止攻击者假冒合法用户。 4)备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，及时地恢复数据和系统效劳。 5)多层防御。攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。 6)隐藏内部信息。使攻击者不能了解系统内的根本情况。 7)设立平安管理机构。为信息系统提供平安

47、体系管理、监控、保护及紧急情况效劳。网络平台平安措施网络平台的平安措施应涉及局域网、广域网、互连网、防病毒和防黑客共五个方面。.1局域网的平安措施由于局域网中采用播送方式，因此，本播送域的信息传递都会暴露在黑客面前。可采取以下措施提高平安性：1网络分段网络分段是保证平安的一项重要措施，将非法用户与网络资源相互隔离，从而到达限制用户非法访问的目的。网络分段可分为物理分段和逻辑分段两种方式：物理分段通常是指将网络从物理层和数据链路层上分为假设干网段，使各网段相互间无法进行直接通讯。逻辑分段那么是指将整个系统在网络层上进行分段。把网络分成假设干IP子网，各子网间必须通过路由器、路由交换机、网关或防火

48、墙等设备进行连接，利用这些中间设备含软件、硬件的平安机制来控制各子网间的访问。2VLAN技术虚拟网技术主要基于局域网交换技术ATM和以太网交换。交换技术将传统的基于播送的局域网技术开展为面向连接的技术。网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。采用应用交换器和VLAN技术，可将播送转变为点到点通讯，从而防止大局部基于网络监听的入侵手段。通过虚拟网设置的访问控制，也可使在虚拟网外的网络节点不能直接访问虚拟网内节点。.2广域网平安措施广域网采用公网传输数据，在广域网上传输的信息可能会被不法分子截取。因此在广域网上发送和接收信息时要保证：1除了发送方和接收方外，其他人是不可知悉的

49、隐私性；2传输过程中不被篡改真实性；3发送方能确信接收方不会是假冒的非伪装性；4发送方不能否认自己的发送行为非否认。有效的方法是对传输的信息进行加密，采用数据签名和认证技术加密技术数据加密技术分为三类，即对称型加密、不对称型加密和不可逆加密。对称型加密使用单个密钥对数据进行加密或解密，其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难。不对称型加密算法也称公用密钥算法，其特点是有二个密钥，只有二者搭配使用才能完成加密和解密的全过程。适用于分布式系统中的数据加密，在Internet中得到了广泛应用。不对称加密的另一用法称为“数字签名digital signature。在网络系统

50、中应用的不对称加密算法有RSA算法和DSA算法Digital Signature Algorithm。不可逆加密算法的特征是加密过程不需要密钥，不可逆加密算法不存在密钥保管和分发问题，但是其加密计算工作量相当可观，所以通常用于数据量有限的情形下的加密，例如计算机系统中的口令就是利用不可逆算法加密的。数字签名和认证技术认证技术主要解决网络通讯过程中通讯双方身份的认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。数字签名作为验证发送者身份和消息完整性的根据。

51、公共密钥系统如RSA基于私有/公共密钥对，作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名，利用CA提供的公共密钥，任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。并且，如果消息随数字签名一同发送，对消息的任何修改在验证数字签名时都将会被发现。5远程访问的平安性从外部拨号访问内部局域网的用户，由于使用公用 网进行数据传输，必须严格控制其平安性。首先，应严格限制拨号上网用户所能访问的系统信息和资源，这一功能可通过在拨号访问效劳器后设置的防火墙来实现。其次， 应加强对拨号用户的身份验证功能，使用TACACS+、RADIUS等专用身份验证协议和效劳器。一方面，可以

52、实现对拨号用户帐号的统一管理；另一方面，在身份验证过程中采用PGP加密手段，防止用户口令泄露的可能性。第三，在数据传输过程中采用加密技术，防止数据被非法窃取。一种方法是使用PGP,对数据直接加密。另一种方法是采用防火墙所提供的VPN虚拟专网技术。VPN在提供网间数据加密的同时，也提供了针对单机用户的加密客户端软件，即采用软件加密的技术来保证数据传输的平安性。.3互连网的平安措施对网络平安的威胁主要表现在：非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等方面。这就要求我们对与Internet互连所带来的平安性问题予以足够重视。大型网络系统与Internet

53、互连的第一道屏障是防火墙。其主要作用是在网络入口点检查网络通讯，根据客户设定的平安规那么，在保护内部网络平安的前提下，提供内外网络通讯。防火墙能做到：保护脆弱的效劳通过过滤不平安的效劳，可以极大地提高网络平安和减少子网中主机的风险。控制对系统的访问提供对系统的访问控制。集中的平安管理对企业内部网实现集中的平安管理，防火墙所定义的平安规那么可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立平安策略。增强的保密性可以阻止攻击者获取攻击网络系统的有用信息记录和统计网络利用数据以及非法使用数据记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据，还可以提供统计数据，用以判断可能的攻击。

54、但防火墙做不到：停止所有外部入侵；完全不能阻止内部袭击；防病毒；终止有经验的黑客；提供完全的网络平安性。因此，系统还应该具备防病毒和防黑客的功能。.4防病毒的平安措施由于Internet的迅速开展，将文件附加在电子邮件中的能力不断提高，使得病毒的扩散速度急骤提高，范围越来越广。1多层病毒防卫体系为了企业的财产免受损失，多数企业都选择多层的病毒防卫体系。多层病毒防卫体系，是指在企业的每个台式机上要安装台式机的反病毒软件，在效劳器上要安装基于效劳器的反病毒软件，在INTERNET 网关上要安装基于INTERNET网关的反病毒软件。2市场反病毒产品目前市场上有各种反病毒软件：第一种是高级桌面反病毒套

55、装软件。第二种是效劳器级反病毒套装件。第三种Internet网的反病毒软件。.5 防黑客的平安措施1入侵检测利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供平安的网络保护，降低了网络平安风险。但是，仅仅使用防火墙，网络平安还远远不够,这是因为：入侵者可寻找防火墙背后可能敞开的后门。入侵者可能就在防火墙内。由于性能的限制，防火墙通常不能提供实时的入侵检测能力。入侵检测系统是近年出现的新型网络平安技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测不但能够对付来自内部网络的攻击，也能够阻止黑客的入侵。入侵检测系统可分为基于主机和基于网络

56、两类。基于主机的入侵检测系统用于保护关键的效劳器，实时监视可疑的连接，检查系统日志和阻止非法访问的闯入，并且提供对典型应用如WEB效劳器应用的监视。基于网络的入侵检测系统用于实时监控网络关键路径的信息。基于主机及网络的入侵监控系统通常可配置为分布式模式，其要点如下： 在需要监视的效劳器上安装监视模块Agent，分别向管理 效劳器报告及上传证据，提供跨平台的入侵监视解决方案。在需要监视的网络路径上，放置监视模块Sensor，分别向管理效劳器报告及上传证据，提供跨网络的入侵监视解决方案。2对关键效劳器的保护由于网络的平安监控系统自身的局限性，不可防止地出会现误报、漏报等情况。因此，在提供关键效劳的

57、效劳器上，安装实时的平安监控系统，能够使整个网络平安系统更加强健。实时的平安监控系统为关键效劳器提供了实时的保护。通过监视来自网络的攻击、非法的闯入和异常进程，并作出切断效劳/重启效劳器进程/发出警报/记录入侵过程等动作。实时监控也可配置为分布式模式，由安装在每台效劳器上的监视模块进行攻击识别及动作执行， 效劳器那么完成管理和记录工作。目前，此类系统可安装于NT4.0、Solaris2.5、2.6 AIX以上的操作系统。关于系统平安和网络平安措施，可进一步参阅第四章有关内容。系统平台平安方案操作系统平安方案网络操作系统是计算机和用户之间的接口，是管理网络资源的核心系统，它负责向通信设备发送信息

58、，管理存储设备上的存储空间和将信息装入内存等调度工作。网络操作系统采用管理文件目录的方法进行管理，并且利用口令字标志存取控制权限，用加密及其它一些手段来提高文件的平安性。UNIX主机在Internet上有着非常重要的地位，而Windows NT具有较好的用户界面和域特性，因此它们被广阔用户所采用。1UNIX系统的平安特性UNIX系统本身具备良好的平安性，按照可信计算机评价标准，它到达C2级标准。它提供以下平安特征：操作的可靠性选择性访问控制对象的可用性个人身份标识与认证审计网络文件系统2Windows NT的平安特性Windows NT已将平安性嵌入操作系统，有选择的访问控制可使系统管理员能对

59、单个文件赋予权限。在平安管理上，采取了分布式平安效劳与集中式平安管理相结合的策略，能够简化域的管理，改善系统性能。此外，还集成了基于公用钥加密的Internet平安技术。Windows NT用户可以使用易于使用的工具和通用的用户界面，通过对话来管理他们用于访问Inetrnet资源的私钥/公钥对和身份证书。个人的平安证书通过平安的存储方式存放。3操作系统中的漏洞几乎所有的操作系统均已发现有平安漏洞，并且越流行的操作系统发现的问题越多。4操作系统的平安措施选择由大写字母、小写安母、数字组成的6个符号作为口令。防止用有特殊意义的口令，例如实际的名字或单字。经常定期变化口令，且不告诉别人。对超级用户采

60、取双口令。注册次数限制。对于屡次不正确注册的用户，进行一次性拒绝。不断增加供货商发布的平安补丁。在操作系统中安装网络访问控制验证工具。数据库管理系统的平安方案数据库系统根本平安框架数据库系统信息平安性依赖于两个层次：一层是数据库管理系统本身提供的用户名/口令字识别、使用权限控制、审计等管理措施，另一层是靠应用程序设置的控制管理。作为数据库用户，最关心的是自身数据的平安，特别是用户的查询权限问题。对此，目前一些大型数据库管理系统如Oracle、SyBASE等产品提供了以下几种主要手段：1用户分类对不同类型的用户授予不同的数据管理权限。一般将权限分为三类：数据库登录权限类；资源管理权限类；数据库管理员权限类。有了数据库登录权限的用户才能进入数据库管理系统，才能使用数据库管理系统所提供的各类工具和实用程序。同时，数据库客体的