系统集成技术交流-网络集成管理精品资料.ppt

系统集成技术交流 - 网络集成,北京金商祺系统集成有限公司 谢民军,2,前言- 时间、计划,前言 15min 网络集成方案 350min 应用集成 400min 小结 15min,3,前 言,4,前言-背景,国内IT硬件市场连年火爆 基础网络快速增长 IT周边设备保有量不断扩大,5,前言-背景,钱花下去了，带来效益情况如何? 对国家 对企业 对IT从业人员 采购网络、硬件设备 + 软件开发 + = 信息系统 ?,6,前言-问题,企业信息化是完整的方案，不是靠单一采购出来的 硬件及网络设备、软件系统间普遍缺乏集成,7,前言- 系统集成的内容,IT系统集成，是网络、所有硬件设备、软件应用的整体解决方案。,8,前言- 课程目标,深刻理解系统集成的概念、范围及层次； 介绍一种类似软件项目推进的方法，管理集成方案、标书的制做过程。提高项目经理的投标能力； 全面的介绍应用集成技术体系，拓宽相关领域的知识面，提高体系化的分析能力，以设计出更满足需求的系统集成方案。,9,前言- 角色及知识背景,角色：系统集成行业管理、技术人员 网络集成方案/标书的形成： 对相关的专业基础知识有一定的了解 应用集成： 具一定的软件开发知识学习经历,10,网络集成方案,集成需求调查及分析 方案设计及标书的形成,11,网络集成方案 需求及分析,1需求调查 2概要分析 3详细需求分析 4分析报告,12,1 需求调查,需求调查的重要性 应用需求调查方法 性能需求调查 地理及环境情况 需求整理 应用系统管理员的介入,13,1.1 需求调查的重要性,完整的需求描述，界定了范围内容及细节 精准的需求输入，是控制项目周期的前提 有效的需求控制，是项目成败的关键因素,14,1.2 应用需求调查介绍,目的 完整、量化的了解需要在集成系统执行的客户业务 内容 得出所需的网络应用类型、数据量的大小、数据的重要程度、网络应用的安全性及可靠性、实时性 要点 A、已/将投入使用的客户软件的需求，必须记录 B、考虑客户的承受能力，冗余适可而止 C、搜集的信息详细程度要均匀，面应当完整；过程避免发散，可以规避风险。,15,1.2 应用需求调查(Cont),方法 A、尽量多从关键的”领导”那儿听取上线人员的业务组织结构，可使后继的调查工作事半功倍。 B、应在现场信息调查前，明确客户的关注重点业务范围，根据调查计划表执行 C、调查应使用事先准备好的表格/模板 记录字段例：部门、人数、业务流程描述、涉及业务数据量、显性/隐性的网络需求(可后继整理),16,1.3 性能需求调查,目的 得到客户关注但不敏感，却决定项目成败的参数信息 内容 系统的网络执行速度 可靠性/可用性 伸缩性 安全性,17,1.3 性能需求调查(Cont-1),要点 性能需求信息的准确搜集，是后继方案设计的权威输入，尽力量化所得到的信息。 让客户签字确认，可以使客户给出更准确的信息，并为后期的实施工作规避风险。 建议由您有丰富经验的系统架构工程师担任,Q2 *,18,1.3 性能需求调查(Cont-2),示例：,数据安全，链路安全,安全性,365天/24小时不停机运行,可靠性/可用性,票务检索=0.5秒，售票打印处理1分钟,延迟/响应时间需求,24,今后3年增长期望值,24,用户数量,售票大厅,地点,目前需求/服务描述,用户服务需求,19,1.4 地理及环境情况,目的 清楚的掌握客户现场的一手资料，为专业、规范的方案提供优质的信息输入 要点 A、展示专业、亲和的时候 B、事先准备好记录信息的模板 C、分人了解信息时，注意按清单回收,20,1.4 地理及环境情况（1),信息点情况：A涉及建筑较少的单位,18,5,部门3,20,4,部门2,15,3,部门1,信息工位数,层次,部门,机房在N层,XXX楼,21,1.4 地理及环境情况（2),信息点情况： B涉及建筑较多的单位,40,5,?,楼3,70,4,专用,楼2,90,3,顶层,楼1,信息工位数,楼层数量,机房,建筑名,22,1.4 地理及环境情况（3),建筑群的勘察 勘察内容： 大致勾画网络所覆盖的建筑物群的位置分布 估算建筑物内和建筑物之间的最大距离 估算建筑物中心点(设备间)与网络中心所在的建筑物之间的距离 对建筑物间的马路、电缆沟或上下水管道、电线杆等进行现场勘测,23,1.4 地理及环境情况（4),建筑群的勘察,公寓,公寓,公寓,图书馆,教学楼,办公楼,实验楼,科技中心,电教馆 计算中心,后 勤,300m,80m,24,1.4 地理及环境情况（5),建筑内的勘察 局部的信息，最佳的情况是根据建筑的施工图纸有的放矢，快速而准确的描绘出： A、局部拓扑结构和室内布线系统走向和布局 B、适于使用的介质 注：不准确的图纸时有发现,25,1.4 地理及环境情况（6),建筑图示例,2层,3层,竖井的位置,26,1.5 需求整理,需求阶段完成了系统调查，了解用户建设或改造的需求，将加以整理得出有价值的文档，是下一步工作的基础。 - 点滴之处体现了集成公司的实力 需求整理，形成文档是整个网络设计过程中的难点，需要由经验丰富的系统分析员协同项目经理来完成。,Q3 *,27,1.6 应用系统管理员的介入,系统管理员什么时候介入? - 越早越好 ! 为什么?,28,1.6 应用系统管理员的介入-1,为什么要尽早? 集成商并不了解客户的人文细节 非专业的业务人员描述带有情感 明白而敬业的客户，心中”早有分寸” 需要客户的”自已人”为我们的方案说话 全程参与的系统管理员，未来必为我们分忧,29,1.6 应用系统管理员的介入-2,如何找到合适的人选? 大型的客户，通常都有专业的IT人员 将”您的系统需要您的管家”早点说出来 开放心态、以大家风范为客户培训技术人才,30,2 概要分析,概要分析的目的 分类的应用介绍 校园网的示例分析 企业网的示例分析 宽带城域网示例分析,31,2.1 概要分析目的,根据需求的输入，进行第一层次的分析 区分应用分类的特点，明确应用的需求项目 带宽、服务需求 OS架构 数据吞吐量：存储方案 网络架构及布局：拓扑结构、容错、负载分配,32,2.2 分类应用介绍,Internet/Intranet网络公共服务： 数据库服务： 关系数据库 非结构化数据库系统 网络基础服务和信息安全平台： 网络基础服务 信息安全平台,33,2.2 分类应用介绍 (1),网络应用系统： 公共应用系统 部门专用系统 通过应用类型的简要归纳，得出具体应用需求。,34,2.3 例：校园网-特点,网络负荷大。应用复杂 用户数量较大。 网络利用率高。 Internet访问频繁，网络安全地位重要。 资金问题。”性价比”在这里更受关注,35,2.3 例：校园网-应用需求,Internet公共服务 计算机教学 1、多媒体教学课件 2、远程教学系统； 3、各种与教学相关的信息系统 图书馆系统 办公自动化（OA）系统,36,2.4 例：企业网-特点,A、宗旨：投入-产出 B、内容：产品、市场营销和管理 产品链 供应链 市场链 管理应用：财务、HR 信息安全,37,2.4 例：企业网-需求分析,Internet公共服务： 电子邮件系统。 文件传输与共享。 WEB服务。信息、电子商务系统平台。 企业数据库及企业数据资源系统。 专有应用系统： 企业管理：PDM/ERP 产品设计开发生产：CAA/CAD系统，CIMS 企业信息库：产品数据信息库、客户数据库、文献情报信息服务系统等。,38,2.5 例：宽带城域网-分析-1,电子商务。包括：电视购物、网上交易、EDI 通信业务。包括：电话、传真、可视电话、电视会议、电子邮件 信息检索业务。包括：数据库查询、电子图书馆、电子报刊、气象信息、新闻、体育、股票、金融、交通、旅游等信息检索业务 交互式业务。包括：远程教学、政府联网、远程医疗、专家会诊,39,2.5 例：宽带城域网-分析-2,广播业务。包括：模拟音频视频广播、数字音频视频广播、数据广播、图文电视等业务 点播业务。包括：视频点播、音频点播等业务 网络游戏。 家庭应用。远程监控，防火防盗报警，水、电、气能源管理等,40,3 详细需求分析,详细分析的交付物是方案的一部分 网络费用分析 网络总体需求分析 综合布线需求分析 网络可用性/可靠性需求分析 网络安全性需求分析 分析结果的交付,41,3.1 网络费用分析-1,网络工程项目本身的费用： 网络设备硬件 服务器及客户机设备硬件：服务器群、海量存储设备、网络打印机、客户机等。 网络基础设施：UPS电源、机房装修、综合布线器材等。 软件：网管、OS、数据库、应用系统、安全、定制软件等。 远程通信线路或电信租用线路费用。 系统集成费用：设计、方案、施工。 培训费和网络维护费。,42,3.1 网络费用分析-2,要点 用户都想在经济方面最省，从而获得投资者和单位上级的好评。 作为系统集成商主要利润的系统集成费是一种附加值（一般为外购软硬件的9%至15%）。 品质与费用总是成正比。投资规模会影响网络设计、施工和服务水平。就网络项目而言，即使竞争再激烈，系统集成商也要赚钱。 观点：降价是以网络性能、工程质量和服务为代价的，对么 ?,* Q4:正比,43,3.1 网络费用分析-3,要点： 事实上，每个网络方案都是网络性能与用户方所能承受的费用之间进行折衷的产物。 只有知道用户对网络投入的底细，才能据此确定网络硬件设备和系统集成服务的“档次”，产生与此相配的网络设计方案。 由于技术进步，网络硬件设备性能越来越好，价格却逐步走低。工期越长，集成商承担的价格压力就越大。,44,3.2 网络总体需求分析,运用应用概要分析和费用估算的结果，结合应用类型以及业务密集度的分析，分析估算出网络数据负载、信息包流量及流向、网络带宽、信息流特征等因素，从而确定网络总体需求框架。 网络数据负载分析 信息包流量及流向分析 信息流特征分析 拓扑结构分析 网络技术分析选择,45,3.2.1 网络数据负载分析,根据当前的应用类型，网络数据主要有3种级别： 第一，MIS/OA/Web类应用。交换频繁负载很小； 第二，FTP文件传输/CAD/位图图档传输。数据发生不多且负载较大，但无同步要求，容许数据延迟； 第三，流式文件。如：RM/RAM/会议电视/VOD等，数据随即发生且负载巨大，而且需要图象声音同步。 数据负载以及这些数据的在网络中的传输范围决定着你要选择多高的网络带宽，选择什么样的传输介质。,46,3.2.2 信息包流量及流向分析-1,主要目的是为应用“定界”，即为网络服务器指定地点。 分布式存储和协同式网络信息处理是计算机网络的优势之一。 把服务器群集中放置在网管中心有时并不是明智的做法，很明显的缺点就有二个： 信息包过分集中在网管中心子网以及那几块可怜的网卡上，会形成拥塞； 天灾人祸若发生在网管中心，数据损失严重，不利于容灾。,47,3.2.2 信息包流量及流向分析-2,分析信息包的流向就是为服务器定位提供依据。 比如：财务系统服务器，信息流主要在财务部，少量流向企业管理子网，可以考虑放在财务部。 服务器系统过于分散也会对管理带来麻烦，且使网络环境复杂化。,48,3.2.3 信息流特征分析,信息流实时性 信息最大响应时间和延迟时间的要求 信息流的批量特性 信息流交互特性：信息检索/录入不同 信息流的时段性。,49,3.2.4 拓扑结构分析,可从网络规模、可用性要求、地理分布和房屋结构诸因素考虑来分析。比如： 建筑物较多，建筑物内点数过多，交换机端口密度不足，就需要增加交换机的个数和连接方式。 网络可用性要求高，不允许网络有停顿，就要采用双星结构。 地理上有空隙的网络要采用特殊拓扑结构。如单位分为2处以上，业务必须一体化（1998-2000年国内的大学合并风潮造成这种状况颇多），就要考虑特殊连接方式的拓扑结构。,50,3.2.5 网络技术分析选择,尽量选择当前主流的网络技术，如：千兆以太网、快速/交换式以太网等技术。 一些特别的实时应用（如工业控制、数据采样、音频、视频流等）需要采用面向连接的网络技术。面向连接的网络技术能够保证数据实时传输。传统技术如：IBM Token Bus，现代技术如：ATM等都可较好实现面向连接网络。,51,3.3 综合布线需求分析,布线需求分析主要包括： 根据造价、建筑物距离和带宽要求确定线缆的类型和光缆的芯数：6类和超5类线较贵，5类线价格稍低。单模光缆传输质量高距离远，但模块价格昂贵；光缆芯数与价格成正比。 布线路由分析：根据调研中得到的建筑群间距离、马路隔离情况、电线杆、地沟和道路状况为建筑群间光缆布线方式进行分析。为光缆采用架空、直埋还是地下管道的方式铺设找到直接依据。 对各建筑物的规模信息点数和层数进行统计：用以确定室内布线方式和管理间的位置。建筑物楼层较高、规模较大点数较多时宜采用分布式布线。,52,3.4 可用性/可靠性分析,采用：磁盘双工和磁盘阵列、双机容错、异地容灾、和备份减灾措施等，还可采用能力更强的大中小型Unix主机（如：IBM、SUN和SGI）。 会致使费用成指数级增长。,53,3.5 网络安全性需求分析,安全需求分析具体表现在以下几个方面： 分析存在弱点漏洞与不当的系统配置。 分析网络系统阻止外部攻击行为和防止内部职工的违规操作行为的策略。 划定网络安全边界，使企业网络系统和外界的网络系统具有安全隔离。 确保租用电路和无线链路的通信安全。 分析如何监控企业的敏感信息、包括技术专利等信息。 分析工作桌面系统安全。 安全不单纯是技术问题，而是策略、技术与管理的有机结合。,54,4 分析报告-需求分析的终点,需求分析完成后，应产生明确的需求分析报告文档交付，并与用户交互，修改，最终应该经过由用户方组织的评审，评审过后，根据评审意见，形成最终版本不再改了！ 之后的需求，按需求变更实施,55,网络集成方案方案设计及标书的形成,5 网络系统方案设计 6 施工方案设计,56,5 网络系统方案设计,网络总体目标和设计原则 通信子网规划设计 资源子网规划设计 网络方案中的系统选型 网络安全设计,Q5,57,5.1 网络总体目标和设计原则-1,确立网络总体实现的目标 明确采用的网络技术；标准；满足哪些应用；规模目标。 如果分期实施，明确分期工程的目标、建设内容、所需工程费用、时间和进度计划等。 不同网络设计目标大相径庭。 除应用外，主要限制因素是投资规模。不仅要考虑实施成本，还要运行成本，有了投资规模，在选择技术时就会有的放矢。,58,5.1 网络总体目标和设计原则-2,总体设计原则 实用性原则 ：“够用”和“实用”原则。 开放性原则：网络系统应采用开放的标准和技术，如：TCP/IP协议、IEEE802系列标准等。 目的第一，有利于未来网络系统扩充； 目的第二，有利于在需要时与外部网络互通。,59,5.1 网络总体目标和设计原则-3,总体设计原则 高可用性/可靠性原则：对于像电信、电力、证券、金融、铁路、民航等行业的网络系统应确保MTBF和MTBF，高可用性和系统可靠性应充分考虑。 安全性原则：在企业网、政府行政办公网、国防军工部门内部网、电子商务网站、以及VPN等网络方案设计中应重点体现安全性原则，确保网络系统和数据的安全运行。在社区网、城域网和校园网中，安全性的考虑相对较弱。,60,5.1 网络总体目标和设计原则-4,先进性原则：尽可能采用先进而成熟的技术，在一段时间内保证其主流地位。 慎用太新的技术：一是不成熟，二是标准还不完备不统一，三是价格高，四是技术支持力量接济不上。 易用性原则：可管理，满足应用的同时，为升级奠定基础；应具有很高的资源利用率。 可扩展性原则：目前网络产品标准化程度较高，因此可扩展性要求基本不成问题。冗余适可而止,61,5.2 通信子网规划设计,通信子网规划设计,网络总体规划与拓扑结构 主干网络（核心层）设计 分布层/接入层设计 远程接入访问的规划设计,62,5.2.1 网络总体规划与拓扑结构-1,应该考虑的主要因素有： 费用 采用哪种网络技术：决定着交换设备和传输介质的种类。 灵活性：重新配置的难度/ 信息点的增删 可靠性：抗异常事件 / 防止个别节点损坏而影响整个网络的正常运行。,63,5.2.1 网络总体规划与拓扑结构-2,计算机局域网/区域网一般采用星形/树形拓扑结构或其变种。广域网是以点对点组合成的网状结构为主。 网络拓扑结构与规模息息相关。 小规模的星形局域网没有主干和外围网之分。 规模较大的网络通常呈树状分层拓扑结构。,主干网络及网络设备被划分为核心层，用以连接服务器群、建筑群到网络中心、或在一个较大型建筑物内连接多个交换机管理间到网络中心设备间。 用以连接信息点的“毛细血管”线路及网络设备被划分为接入层，根据需要在中间设置分布层。分布层和接入层又称为外围网络。,64,5.2.2 主干网络（核心层）设计-1,主干网技术的选择，要根据需求分析中地理距离、信息流量和数据负载的轻重而定。一般而言，主干网一般用来连接建筑群和服务器群，可能会容纳网络上4060%的信息流，是网络大动脉。连接建筑群的主干网一般以光缆作传输介质，典型的主干网技术主要有千兆以太网、10-BASE-FX、ATM、FDDI等。从易用性、先进性和可扩展性的角度考虑，采用千兆以太网是目前大家通行的做法。 FDDI基本已属于昨天的技术，支持它厂商越来越少。ATM是面向连接的网络，能保证一些突发重负载在网上传输，但由于ATM在局域网的所有应用需要ELAN仿真来实现，不仅技术难度大，且带宽效率低，已证明不适宜用作局域网或园区网，但如果建网单位对实时传输要求极高，也可以考虑用。 如果经费不足以上千兆以太网，可以采用100Base-FX，即用光传输介质上快速以太网。端口价格低，对光缆的要求也不高。是一种非常经济实惠的选择。,65,5.2.2 主干网络（核心层）设计-2,双星结构和单星结构：主干网的焦点是核心交换机（或路由器）。如果考虑提供较高的可用性，而且经费允许，主干网可采用双星（树）结构，即采用2台同样的交换机，与接入层/分布层交换机分别连接。双星（树）结构解决了单点故障失效问题，不仅抗毁性强，而且通过采用最新的链路聚合技术，则可以允许每条冗余连接链路实现负载分担。但双星（树）结构会占用比单星（树）结构多一倍的传输介质和光端口，除要求增加核心交换机外，二层上连的交换机也要求有2个以上的光端口。,核心层,分布层 接入层,单星结构,双星结构,链路聚合,66,5.2.2 主干网络（核心层）设计-3,千兆以太网一般采用光缆作传输介质。多种波长的单模和多模光纤分别用于不同的场合和距离。由于建筑群布线路径复杂的特殊性，一般直线距离超过 300米的建筑物之间的千兆以太网线路就应该选用单模光纤。单模光纤本身并不贵，昂贵的是光端口及组件。,67,5.2.2 主干网络（核心层）设计-4,骨干网及核心交换机热点技术： Port Trunking(链路聚合技术)：“拓扑环”问题由来已久，生成树(Spanning Tree)尽管能解决交换设备冗余连接，但无法提高链路效率。链路聚合用于在二个交换机之间，把多个以太网链路组合起来，组成一个逻辑链路，提供多倍100/1000Mbps的全双工连接，并可负载分担。链路聚合不仅提高了连接带宽，且提高了链路可靠性，逻辑链路中任一物理链路失效仅降低链路带宽，不影响正常工作。 FEC/GEC(快速以太网/千兆以太网冗余连接)：FEC/GEC用来实现交换机和服务器之间的冗余连接和负载分担。使服务器的网络I/O吞吐量成倍提高。,端口链路聚合,FEC/GEC,68,5.2.2 主干网络（核心层）设计-5,骨干网及核心交换机热点技术： GBIC(千兆位集成电路)：千兆以太网接口一般有一个GBIC卡槽，可插SX、LX/LH或ZX GBIC卡。LX/LH GBIC在单模光纤上传输距离不小于10公里。ZX GBIC传输距离50-80公里。,HSRP(热等待路由协议)：Cisco的一种专有技术，HSRP提供自动路由热备份技术。在局域网上有两台以上路由器时，这个局域网上的主机只能有一个缺省路由器，当这个路由器失效时，HSRP可以使另一路由器自动承担失效的工作。,69,5.2.3 分布层/接入层设计-1,接入层即直接连接信息点，使网络资源设备(PC等)接入网络的部分。我们常说：“主干千兆以太网，10/100兆到桌面”。后半句话即是对接入层的描述。 分布层的存在与否，取决于外围网采用的扩充互连方法。当建筑物内信息点较多(比如：220个)超出一台交换机所容纳的端口密度，而不得不增加交换机扩充端口密度时，如果采用级连方式，即将一组固定端口交换机上联到一台背板带宽和性能较好的二级交换机上，再由二级交换机上联到主干；如果采用多个并行交换机堆叠方式扩充端口密度，其中一台交换机上联，则网络中就只有接入层，没有分布层。,70,5.2.3 分布层/接入层设计-2,要不要分布层，采用级连还是堆叠。要看网络信息流特点，堆叠体内能够有充足的带宽保证，适宜本地（楼宇内）信息流密集、全局信息负载相对较轻的情况；级连适宜于全网信息流较平均的场合，且分布层交换机大都具有组播和初级QoS（服务质量）管理能力，适合处理一些突发的重负载（如：VOD视频点播），但增加分布层的同时也会使成本提高。 分布层/接入层一般采用100Base-T(X)快速（交换式）以太网。采用10/100Mbps自适应传输速率到桌面计算机。传输介质则基本上是双绞线。Cisco Catalyst 3500/4000系列交换机就是专门针对分布层而设计的。 如果主干采用光介质传输，接入层交换机必须支持1-2个光端口模块，必须支持堆叠，如果主干为千兆以太网，接入层交换机还必须支持GBE模块。,71,5.2.4 远程接入访问的规划设计,以电话线拨号方式互联： 以X.25专线互联： 以DDN专线互联 以光纤电缆方式互联 以无线扩频微波方式互联,72,5.2.4 .1 PSTN,说明： 用PSTN市话网络访问是经济、简便的选择。需要规划远程访问服务器和Modem设备，并申请一组中继线。远程访问服务器（RAS）和Modem组的端口数目一一对应，一般按一个端口支持20个用户计算来配置。 优点： 投资最少，互联方便，只需两端各有电话线就能互联。 缺点： 设备比较简单，速率低，而且误码率很高，对大数据量的传输不适应 极不安全。,73, X.25专线互联 (过时),同电话拨号互联几乎相同。由于在双侧的设备上采用了更加先进的设备，因而其传输速率比较高，一般可达到19.2kbps，但不能实现实时通讯，通讯费用偏高。,74, DDN专线互联,目前国内应用较多的专有线路互联方法。 优点： 其传输速率可达较高 可实时通讯 线路稳定可靠 缺点： 费用：初装和租金都较昂贵 用户只有使用权而没有产权，故障的维护比较麻烦。,Q6,75, 光纤互连,优点： 最大的传输带宽，支持包括多媒体信息的传输 传输可靠性也很高 保密性好。 缺点： 高造价 大工程量是难以让用户接受的 通常： 一般以国家行为较多 一般公司及企业很少应用此方式，除非传输距离比较短，所架设的光缆在自己的管辖之内。,76, 无线扩频微波方式互联,技术： 计算机无线高速数据传输网络采用了微波扩频技术、无线全双工高速数据传输技术，使用2.4 GHz 微波传输频率。 使用高增益天线点对点传输距离可达2040公里，支持各种常用的网络协议。 优势： 特别适用于远郊、山区的大型企业单位 不足： 技术复杂 行业标准化不高，技术专用性强 稳定性受设备、厂家的影响较大,77,5.3 资源子网规划设计,服务器的网络接入 服务器子网连接方案 服务器群的整合与均衡 网络存储系统规划设计 网络打印系统,78,5.3.1 服务器的网络接入-1,服务器的网络接入 服务器在网络中“摆放”位置的好坏直接影响网络应用的效果和网络运行效率。 企业级服务器：适宜放在网管中心； 部门/工作组级服务器：放在部门子网中。 服务器网络接入特点： 服务器是网络中信息流较集中的设备 磁盘系统数据吞吐量大 传输速率要求高，要求绝对的高带宽接入,79,5.3.1 服务器的网络接入-2,服务器的网络接入 服务器接入方案主要有以下几种： 千兆以太网端口接入：服务器需要配置而且必须支持GBE网卡，GBE网卡采用PCI(V2.1)接口，使用多模SX连接器接入交换机的多模光端口中。优点：性能好、数据吞吐量大，缺点：成本高，对服务器硬件有要求。适合企业级数据库服务器、流媒体服务器、和较繁忙的应用服务器。 并行快速以太网冗余接入(FEC)：即采用2块以上的100Mbps服务器专用高速以太网卡分别接入网络中的2台交换机中。通过FEC技术实现负载均衡或负载分担，当其中一块网卡失效后不影响服务器正常运行。最近这种方案比较流行。 普通接入：采用一块服务器专用网卡接入网络。是一种经济、简洁的接入方式，但可用性低，信息流密集时可能会因主机CPU占用（主要是缓存处理占用）而使服务器性能下降。适宜于数据业务量不是太大的服务器使用。,80,5.3.2 服务器的子网连接方案,核心交换机直接连接方案：优点是直接利用核心交换机的高带宽，缺点是需要占太多的核心交换机端口，使成本上升。 服务器子网专用交换机方案：是在核心交换机上外接一台专用服务器子网交换机，优点是可以分担带宽，减少核心交换机端口占用，可为服务器组提供充足的端口密度，缺点是容易形成带宽瓶颈，且存在单点故障。,核心交换机,服务器子网交换机,81,5.3.3 服务器群的整合与均衡-1,物理服务器 逻辑服务器 服务器整合的必要性：根据网络规模、用户数量和应用密度的需要，有时一台服务器运行多个服务程序，有时两台以上的服务器硬件安装和运行同一种服务系统。如何根据服务程序对硬件占用特点、网络规模、费用承受能力，合理搭配和规划服务器分配，在最大限度地提高效率和性能的基础上降低成本，是系统集成中不能回避的重点问题之一。,Q7,82,5.3.3 服务器群的整合与均衡-2,主要服务程序类型对服务器硬件的占用特点,83,5.3.3 服务器群的整合与均衡-3,网络规模因素：小型网络注重实用、易维护,Web服务 DNS服务 FTP服务,数据库服务 Email服务,基于NT,基于Linux,Web服务 DNS服务 FTP服务 Email服务,数据库服务 应用服务器,84,5.3.3 服务器群的整合与均衡-4,网络规模因素：中型网络重应用 中型网络重应用中型网络注重实际应用，可选择将应用分布在更多的物理服务器上。宜采用功能相关性配置方案，将相关应用集中在一起。如Web服务器需要频繁地与数据库服务器交换信息，把这2项服务安装在一台高档服务器内，会减轻网络I/O负担。对于企业网络，工作流应用需要借助底层Email服务，就可以结合群件服务器。对于像VOD这样的流媒体专用服务器，最好单列。,Email服务 群件服务 工作流应用服务,数据库服务 Web服务,DNS服务 FTP服务,流媒体服务,85,5.3.3 服务器群的整合与均衡-5,网络规模因素：大型网络或ISP/ICP的服务器群方案 大型网络应用场合讲究安全可靠、稳定高效、功能强大。大型企业网站和ISP供应商需要向用户提供全面的服务，建设先进的电子商务系统，甚至需要向用户提供免费Email服务、免费软件下载、免费主页空间等，所以要求网站必须能够满足全方面的需求，功能完备，且具有高度的可用性和可扩展性，保证系统连续稳定地运行。,服务器集群。Web、Email、FTP和防火墙等应用结合在一起，采用具备负载均衡功能的集群系统，可提高系统的I/O能力和可用性； 双机容错高可用性（HA）服务器。数据库及应用服务器系统采用双机容错高可用性（HA）系统，以提高系统的可用性。 机架式服务器配置。大型网络物理服务器数量过多为管理和运行带来沉重负担，导致环境恶劣，宜采用机架式服务器。,86,5.3.3 服务器群的整合与均衡-6,网络规模因素：大型网络或ISP/ICP的服务器群方案,多层架构的最重要价值 ? -负载平衡,87,5.3.4 网络存储体系的设计-1,网络存储系统的重要性： 数据是网络中最宝贵的资源，因数据问题导致的损失可能使一个企业破产。据统计，如果要重新生成20MB丢失的数据，销售、市场类的数据恢复平均需要花费19个工作日和17000美元，财务类数据则需要21个工作日和20000美元，而相对较为复杂的工程数据需要花费42个工作日和98000美元。 随着信息化推进，日常业务对网络的依赖越来越强，数据呈指数级增长，数据管理和维护工作日益繁杂。 网络存储系统是制约网络I/O吞吐量的瓶颈，合理地设计和规划网络存储系统，会最大限度地降低总体拥有成本，使网络性能得到充分发挥。,88,5.3.4 网络存储体系的设计-2,网络存储系统的结构种类： DAS(直接附加存储)：也称SAS(服务器附加存储)。直接连接在服务器上的内置或外置数据存储设备。它完全寄生在相应服务器上，文件系统取决于其宿主服务器安装的操作系统，并且只能通过宿主服务器系统来访问。DAS是一种传统的、也是目前最常见的网络存储设备形态。,交换机,数据库服务器,应用服务器,主干网,DAS,89,5.3.4 网络存储体系的设计-3,网络存储系统的结构种类： SAN(存储区域网络)：服务器与存储设备之间通过具有高传输速率的独立于网络之外的专用光通道交换机直接连接，提供SAN内部节点之间的多路可选择的数据交换，将数据存储管理集中在相对独立的存储区域网内。具有传送大数据块到企业级数据密集型应用服务的能力，非常适用于存储密集型环境。且支持异地容灾。费用昂贵，成功应用罕见。,交换机,数据库服务器,RAID盘阵,应用服务器,主干网,DAS,光纤通道 SAN,=150km,90,5.3.4 网络存储体系的设计-4,网络存储系统的结构种类： NAS(网络接入存储)：或称为网络直联存储设备、网络磁盘阵列。一个NAS里面包括CPU、文件存储OS和文件服务管理工具，用于数据的存储的一个或多个硬盘驱动器阵列。NAS可以应用在任何的网络环境当中。应用服务器、数据库服务器和客户端可以非常方便地在NAS上存取任意格式的文件。NAS独立于操作系统平台，具有不同类的文件共享、用户安全认证交叉协议支持、Web界面管理和不停顿维护等特点。,交换机,数据库服务器,应用服务器,主干网,NAS,DAS,文件存储OS,RAID盘阵,光纤通道 SAN,=150km,91,5.3.4 网络存储体系的设计-5,NAS与SAN系统的比较： NAS是在RAID的基础上增加了文件存储操作系统，其RAID是一个整体。各种平台的用户可直接访问NAS；而SAN是独立出一个数据存储网络，其RAID分割情况要视操作系统种类多少而定，整体网络内部的数据传输率很快，但操作系统仍停留在服务器端，用户不能直接访问SAN的网络，因此这就造成SAN在异构环境下不能实现文件共享。 SAN只能由一种操作系统平台独享数据存储设备，NAS是共享与独享兼顾的数据存储结构。因此，NAS与SAN的关系也可以表述为：NAS是网络接入，而SAN是通道接入。,NT服务器,HP 9000,Sun E4500,文件服务,文件服务,文件服务,文件服务,SAN,NAS,92,5.3.4 网络存储体系的设计-6,双机热备份存储方案： 对于可用性要求极高的数据库服务器系统，集群磁盘阵列系统是一种有效的解决方法。在硬件上，于双数据库服务器之间设一组可伸缩的磁盘阵列，并以RAID5技术将用户的共同数据存于共享磁盘组中。在软件上，TruCluster于多个处理器之间分配负载、应用、数据库，将其连接起来，使它们成为一个系统出现在用户面前。数据库服务器分别连入以太网络。 这样的双机机群磁盘阵列系统，可以克服单点故障的发生，在操作系统崩溃、网络控制失效或I/O故障，TruCluster软件均可检测出现的问题，并在数秒内将应用操作转移到另外一个系统上。故障恢复对用户是完全透明的。,93,5.3.5 网络打印系统-1,第一阶段：打印机共享 第二阶段：单立式专用打印服务器 第三阶段：网络打印机,单立式打印服务器,LAN,打印机共享,LAN,LAN,并口,并口,10/100M网络接口卡,带嵌入式打印服务器的网络打印机,网络接口,94,5.3.5 网络打印系统-2,为什么要采用网络打印来替代共享打印和桌面个人打印？ 更低的TCO（总体拥有成本）； 减少整个网络打印系统的投资，极大提高了投资效率； 提高整个网络的打印能力，包括打印速度和打印容量； 使网络打印机的丰富特性能够被整个网络所共享，包括：双面打印、彩色、自动分拣和装订、作业保留、海量输入/输出等； 网络中打印机数量更少，更加稳定可靠，减少了为维护打印机而投入的时间和精力； 提高网络用户工作效率，提高网络用户打印的满意度； 增加打印系统的可用性和连续工作时间，不会因计算机设备停止工作而中断打印； 强大的管理性，可实现随时、随地的管理。,95,5.4 网络方案中的系统选型,网络设备选型原则 网络核心交换机的选型 分布层和接入层交换机的选型 路由器选型 网络操作系统选型 服务器硬件选型,96,5.4.1 网络设备选型原则,厂商的选择：尽可能选取同一厂家的产品，这样在设备可互联性、协议互操作性、技术支持、价格等各方面都更有优势。从这个角度来看，产品线齐全、技术认证队伍力量雄厚。作为系统集成商，不应依赖于任何一家的产品。 扩展性考虑：在网络的层次结构中，主干设备选择应预留一定的能力，以便于将来扩展，而低端设备则够用即可。因为低端设备更新较快，且易于扩展。 根据方案实际需要选型：主要是在参照整体网络设计要求的基础上，根据网络实际带宽性能需求、端口类型和端口密度选型。如果是旧网改造项目，应尽可能保留并延长用户对原有网络设备的投资，减少在资金投入方面的浪费。还应考虑用户承受能力。 选择性能价格比高、质量过硬的产品：为使资金的投入产出达到最大值，能以较低的成本、较少的人员投入来维持系统运转；网络开通后，会运行许多关键业务，因而要求系统具有较高的可靠性。全系统的可靠性主要体现在网络设备的可靠性。,Q8:选型,97,5.4.2 网络核心交换机的选型,Cisco和Avaya(Lucent)主流核心交换机对比,98,5.4.3 分布层和接入层交换机的选型,分布层/接入层交换机一般都属于可堆叠/可扩充式固定端口交换机。在大中型网络中它用来构成多层次的结构灵活的用户接入网络，在中小型网络中它也可能用来构成网络骨干交换设备。 灵活性：提供多种固定端口数量搭配供组网选择，可堆叠、易扩展，以便由于信息点的增加而从容地进行扩容。 高性能：作为大型网络的二级交换设备，应支持千兆/百兆高速上连（最好支持FEC/GEC），以及同级设备堆叠，当然还要注意与核心交换机品牌的一致性；如果用作小型网络的中央交换机，要求具有较高的背板带宽和三层交换能力，如：Cisco Catalyst 2948和Intel Express 550T Routing Switch等。 满足技术性能要求的基础上，考虑价格便宜、使用方便、即插即用、配置简单。 具备一定的网络服务质量和控制能力以及端到端的QoS。 如果用于跨地区企业分支部门通过公网进行远程上联的交换机，还应支持虚拟专网VPN标准协议。 支持多级别网络管理。,99,5.4.4 路由器选型-1,依据： 背板能力：容量/总线能力 吞吐量：包转发能力 丢包率：稳定持久承载下，转发失败的比例 转发时延：包进出时延 路由表容量 可靠性：MTBF 故障恢复时间等,100,5.4.4 路由器选型-2,低端：用于外围接入。相当于Cisco2500系列。类似的或16，17，2600系列。 中端：企业级或ISP等应用，在Cisco7200以下的产品，如36 40系列。 高端：能提供主干网络/千兆级应用，如75 12000系列 注：低、中端更多考虑其端口、吞吐量，高端必须考虑其性能、可靠性因素,101,5.4.5 网络操作系统选型-1,IA架构OS Novell NetWare 曾经达到67%占有率的产品，目前在政券行业尚有一定份额 SCO Unix 系列 是IA架构中OS中最强大的UNIX系统,102,5.4.5 网络操作系统选型-2,IA架构OS 微软公司WindowsNT/2000操作系统支持4路SMP结构，采用图形界面，系统安装、配置管理直观、方便。且捆绑了很多协议和服务程序，如：IIS、ASP、DNS等，可独立构成Internet服务平台；另外NT有包括数据库和各类软件开发工具在内的微软丰富的商业软件和众多的第三方软件商的软件支持，可高效率、低成本地建立起网络基础应用平台和电子商务网站。因此NT已成为IA架构服务器操作系统的一个事实上的标准，业界通常把IA架构服务器称为NT服务器，足以可见NT的地位。WindowsNT/2000操作系统对硬件尤其是内存的开销较大，系统运行效率较低，需要较高的硬件配置。另外，其系统稳定性不足，不适宜用于对可用性要求较高的、要求永不停机的关键场合；而且安全漏洞较多。 Linux Linux的特点概括来说就是价格低廉，功能强大，可靠性高。Linux系统内核很小，系统开销低。它支持绝大多数局域网和广域网协议并捆绑了大量应用软件，尤其是Internet服务软件，Linux操作系统及其应用软件大多数可以在网上免费获得，所有的Linux发布版（如RedHat Linux，Turbo Linux等）捆绑了很多应用系统。但由于缺乏商业化支持，关键场合Linux应用并不多，但目前在构筑Internet服务平台方面的应用已十分普遍。比较适合经济型网络用作综合Internet/Intranet服务器的OS。,103,5.4.5 网络操作系统选型-3,非IA架构的选择-纷繁复杂的UNIX家族,R10000,SGI,SGI IRIX,SGI Origin,Alpha,HP-Compaq (DEC),HP-UX,HP-9000,PA-RISC,HP,Ultra,Solaris,EnterpriseServer,SPARC,SUN,AIX,RS/6000 ,PowerPC,IBM,OS,服务器,CPU类型,公司,Tru64 UNIX,Alpha Server,104,5.4.5 网络操作系统选型-4,UNIX家族的比较 IBM AIX 因蓝色巨人的强大整合能力而前景光明，适用于从工作站到巨型机的各种应用。 HP-UX 非常可靠，服务口碑不错。提供了完整的解决方案 Sun Solaris 工作站极的商用市场份额极高，OS及各种应用软件价格较高 SGI Irix 服务器的I/O吞吐能力非常出色，在高端的图形/设计应用中份额不断扩大。,105,5.4.5 网络操作系统选型-5,选型要点 性能和兼容性：微软产品的竞争力不断加强 安全性 价格：专有系统(Unix) NT/2000 Linux 第三方软件支持 市场占有率,106,5.4.6 服务器硬件选型-1,性能要求 处理能力 CPU速度、数据、Cache 内存支持情况 存储能力 硬盘的性能、数量 硬盘的接口、是否支持热插拔,107,5.4.6 服务器硬件选型-2,性能要求 高可用性 MTBF 设备冗余情况：电源、磁盘、网络 数据吞吐能力 服务器I/O能力 IA64架构的采用 可伸缩性 空间 接口情况：磁盘/电源/内存插槽/主板插槽/外部接口,108,5.4.6 服务器硬件选型-3,配置关键点按需配置 服务器是做什么应用的? 文件服务器(FTP)：磁盘、I/O 数据存储：磁盘、内存，I/O WEB应用：IO、内存、CPU 运算、中间件等应用服务器：CPU、I/O,Q8:选型,109,5.5 网络安全设计-1,网络安全设计原则 遵循木桶原理 对正常的业务应用，影响应尽可能小 绿点、蓝点原理，安全是有等级规范的 全局性：安全是全体系的盾牌，是面状的 政府、军队等应用，需优先考虑本土产品 投入产出应付合客户意志,110,5.5 网络安全设计-2,设计与实施步骤 第一步：列举可能的各种攻击与风险 第二步：明确安全策略 由需求及环境决定整体安全性级别 影响业务运营的承受能力 如何进行管理及控制：配置、界面 投入及允许实施周期 第三步：建立安全模型 安全算法、信息、界面要求 连接协议、通信接口模块 网络安全传输：安管系统、支撑系统、传输系统,111,5.5 网络安全设计-3,设计与实施步骤 第四步：选择并实现 物理、链路、网络层的安全 操作系统的安全 应用平台的安全 第五步：安全产品的选型及测试 按照企业信息与网络系统安全产品的功能规范 测试范围：功能、性能、可用性,112,5.5 安全技术,防火墙技术 防火墙应用展开 相关技术应用说明 透明访问 NAT VPN,113,5.5.1 防火墙技术,概念 防火墙是一类防范措施的总称，它使得内部网络与Internet 之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。 实现： 防火墙简单的可以只用路由器实现，复杂的可以用主机甚至一个子网来实现。 目的： 在内网与外网之间设立唯一的通道，简化网络的安全管理。,114,5.5.1 防火墙技术-1,功能： 过滤掉不安全服务和非法用户 控制对特殊站点的访问 提供监视Internet 安全和预警的方便端点,115,5.5.1 防火墙技术-2,产品化的设备所具有的特点： 服务支持：通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP 服务器、FTP 等； 对私有数据的加密支持：保证通过Internet 进行虚拟私人网络和商务活动不受损坏； 客户端认证只允许指定的用户访问内部网络或选择服务：企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分； 反欺骗：欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们； C/S 模式和跨平台支持：能使运行在一平台的管理模块控制运行在另一平台的监视模块。,116,5.5.1 防火墙技术-3 技术分类,报文过滤 是在IP 层实现的，可以只用路由器完成。 应用层网关 方式多种多样,117,5.5.2 防火墙技术展开,应用代理服务器（Application Gateway Proxy） 回路级代理服务器 代管服务器 IP 通道（IP Tunnels） 网络地址转换器(NAT Network Address Translate) 隔离域名服务器（Split Domain Name Server ） 邮件技术（Mail Forwarding）,118, 应用代理服务器,原理： 在网络应用层提供授权检查及代理服务。 优点： 应用网关代理的优点是既可以隐藏内部IP 地