第七章 企业网络.pptx

第七章企业网络童敏 本章要求 了解办公企业了解企业网络应用程序了解远程办公了解VPN了解企业文档了解NOC了解设计机房 本章内容 7 1办公企业7 2企业网络应用程序与流量7 3虚拟专用网络7 4企业网络文档7 5网络运营中心 7 1 1支持办公企业 企业在不断发展壮大时 其网络需求也随之不断增长 拥有众多用户 跨越多个位置或部署多套系统的大型公司称为企业 常见的企业环境有 制造商大型零售店旅馆和服务业特许经营商公共事业和政府机构医院学校系统用于支持办公企业的网络称为企业网络 企业网络有许多共性 例如 支持关键应用程序支持融合网络通信需要集中控制支持多样化的业务需求为了支持多元化的业务 企业网络必须支持各种类型的网络流量 包括数据文件 电子邮件 IP电话和视频应用 的交换 7 1 2支持办公企业 公司越来越依赖网络基础架构来提供任务关键型服务 企业网络的中断会严重影响公司的正常运营 从而导致经济损失和客户流失 用户希望企业网络的可用性达到99 999 为了达到这样的可靠性 企业网络中常常安装了高端设备 企业级设备的设计要求确保可靠性并提供诸如冗余电源和故障转移之类的功能 企业级设备的设计和制造遵循的标准比低端设备的标准更严格 因为它需要承载更庞大的网络流量 然而 不能认为购买和安装了企业级设备就可以忽视正确的网络设计 优良网络设计的目标之一是避免出现任何单点故障 避免单点故障的方法是在网络中引入冗余功能 网络设计中的其它关键要素包括优化网络带宽的利用率 确保安全性和网络性能 7 1 3企业网络中的流量传输 要优化企业网络的带宽 必须正确地设计网络的结构 以将流量限制在本地 而不要让流量传播到网络中不必要的位置 采用三层分层设计模型有助于网络结构的设计 这种模型将网络功能分为层次分明的三层 接入层 分布层和核心层 每一层的设计都有各自特定的功能目标 接入层为用户提供连接功能 分布层用于在各个本地网络之间转发流量 最后 核心层是主干层 在彼此分散的终端网络之间充当高速桥梁 用户流量在接入层发出后将会流经其它各层 如果需要这些层的功能的话 尽管这种分层模型包含三层结构 但有些企业网络为了降低成本而采用ISP提供的核心层服务 7 1 4企业网络中的流量传输 Cisco企业体系架构在保持核心层 分布层和接入层的同时将网络分为若干个功能组件 这些功能组件包括 企业园区 由园区基础架构和服务器群及网络管理系统组成企业边缘 由Internet VPN和通过服务提供商的网络连接到企业的WAN模块组成服务提供商边缘 提供Internet 公共交换电话网络 PSTN 和WAN服务进出ECNM 企业复合网络模型 的所有数据都会流经边缘设备 其特点是可以检查所有数据包并决定是否允许其在企业网络上传输 在企业边缘还可配置入侵检测系统 IDS 和入侵防御系统 IPS 来防御恶意活动 7 1 5企业网络中的流量传输 7 1 6企业网络中的流量传输 设计优良的网络不仅可以控制流量传输 还可以限制故障域的大小 故障域是指在关键设备或服务出现故障时受影响的网络区域 最初发生故障的设备的功能决定了故障域的影响范围 例如 网段上某个交换机的功能失常通常只会影响该网段上的主机 但如果是将该网段连接到其它网段的路由器出现故障 则影响会严重得多 使用冗余链路和可靠的企业级设备可以将网络中断的几率降至最低限度 减小故障域可以降低故障对公司生产效率的影响 减小故障域还可简化故障排除过程 从而缩短所有用户的停机时间 7 1 7企业的LAN与WAN LAN的特点 组织负责安装和管理LAN的基础架构 最常采用的技术是以太网 网络的重心是接入层和分布层 LAN负责连接各个用户并为本地应用程序和服务器群提供支持 互联的设备通常位于同一区域 例如某栋大楼或某个园区 WAN的特点 互联的站点通常位于分散的地理位置 要建立WAN连接 需要使用调制解调器或CSU DSU之类的设备以可接受的形式将数据发给服务提供商的网络 服务由ISP提供 WAN服务包括T1 T3 E1 E3 DSL 电缆 帧中继和ATM ISP负责安装和管理WAN的基础架构 边缘设备将以太网封装改成串行WAN封装 7 1 8流量模式 正确设计的企业网络有明确定义 可预测的流量模式 在某些情况下 流量保留在企业网络的LAN部分 而在其它情况下 流量会在WAN链路上传输 在确定如何设计网络时 应考虑通往具体位置的流量大小以及有哪些位置发出的流量最大 例如 该网络中通常应限制在用户本地传输的流量类型包括 文件共享打印内部备份和镜像园内语音通信在本地网络中常见并且常常通过WAN发送的的流量类型包括 系统更新公司电子邮件交易处理除了WAN流量以外 外部流量还包含进出Internet的流量 VPN和Internet流量被视为外部通信流 控制网络上的流量传输可以优化带宽并可通过监控确保安全性 通过了解通信模式和流量 网络管理员可以预测未来流量的类型和大小 在意外的网络区域中检测到流量后 可以过滤掉该流量 还可调查流量的来源 7 1 9流量模式 7 2 1企业网络中的应用程序与流量 语音 视频和数据同时在相互独立的网络上传输 现在的技术支持融合网络 在融合网络中 语音 视频和数据都在同一介质上传输 这种融合网络对设计和带宽管理提出了巨大的挑战 为了满足企业的需求 企业网络必须支持来自各种应用程序的流量 包括 数据库交易处理大型机或数据中心接入文件和打印共享身份验证Web服务电子邮件和其它通信VPN服务语音呼叫和语音邮件视频和视频会议还需要提供网络管理和控制过程 以便支撑底层网络的运行 7 2 1流量的优先级 各种网络流量的需求或行为方式并非完全相同 数据流量大多数网络应用程序都使用数据流量 有些联机应用程序只是偶尔传输少量数据 而其它类型的应用程序 例如数据存储应用程序 则需要持续传输较高流量 对某些数据应用程序来说 时间比可靠性更重要 但大多数数据应用程序都允许一定的延迟 因此 数据流量通常采用传输控制协议 TCP TCP使用确认机制来确定何时必须重新传输丢失的数据包 从而保证传输的质量 确认机制让TCP成为更可靠的传输协议 但它也会带来延迟 语音和视频流量语音流量和视频流量与数据流量不同 语音和视频应用程序要求不间断地传输数据流以确保高质量的会话和图像 TCP中的确认过程会带来延迟 导致流量中断并降低应用程序的质量 因此 语音和视频应用程序使用用户数据报协议 UDP 代替TCP 由于UDP没有重新传输丢失数据包的机制 因此最大限度地降低了延迟 7 2 2流量的优先级 除了TCP与UDP引起的延迟以外 还需要了解由于网络设备必须处理从设备自身到目的地的路径上的流量所带来的延迟或延时 OSI第3层设备由于必须处理报头 因此造成的延迟比第2层设备更大 因此 路由器的延迟比交换机大 抖动是数据包到达目的地的时间差 其产生的根源是网络拥塞 如果流量对时间敏感 则降低流量的延迟 延时 和抖动非常重要 服务质量 QoS 是用于保证有效传输指定数据流的机制 QoS机制根据优先级对流量进行分类排序 例如 语音流量的优先级高于普通数据 7 2 3远程办公 企业网络和远程连接技术的开发已经改变了我们的工作方式 远程办公 也称为电子通勤 让员工可以使用电信技术在家或在其它地方工作 使用该技术的远程员工称为远程工作者或电子通勤族 越来越多的公司鼓励其员工考虑远程办公方式 远程办公可以为雇主和员工带来众多优势和机会 从雇主的角度来看 让员工在家工作 公司无需为他们专门提供实际的办公空间 只需提供一个工位 即可供需要现场工作的员工共享使用 这种安排可以降低房地产成本 同时减少相关的支持服务 有些公司甚至已经通过电话会议和协作工具降低了将员工召集在一起开会所需的差旅费 全球各地的员工可以像在同一个地点办公那样协同工作 7 2 4远程办公 无论是雇主还是员工 都可从远程办公中受益 员工由于无需每天都在家和公司之间来回奔波 因此可以节省时间和金钱 员工在家可以便装工作 因而可以节省购买职业装的开销 在家上班让员工有更多的时间与家人相处 员工奔波次数的减少对环境也有积极的影响 减少了坐车坐飞机的次数 自然也就降低了污染 网络上班族需要自学和自律 有些网络上班族由于缺乏办公室的社会环境而感觉在地理上孤立的环境下难以有效工作 并非所有的工作都适合采用远程办公的方式 某些岗位在特定的时期还是需要现场工作 然而 更多的企业正在利用自身的技术优势逐步增加远程办公的频率 7 2 5远程办公 网络上班族需要依靠各种技术高效地工作 网络上班族可用的工具包括 电子邮件聊天工具桌面和应用程序共享FTPTelnetVoIP视频会议 7 2 6远程办公 如今 应用程序和屏幕共享工具经过改进 已经可以集成语音和视频通信 新技术已经能够支持更完善的在线协作 这种技术利用企业网络为远程员工创造与现场工作相仿的环境 通过在专门设计的会议室中安装大屏幕的显示设备和高质量的音频系统 所有参与者 无论实际上身在何处 都可以像亲临会议室那样自由交流 在本图中 实际上只有五人在会议室中 屏幕上显示的其他四人则在其它三个位置 7 3 1虚拟专用网络 网络上班族必须克服的一个障碍是现有的大多数远程办公工具都不够安全 使用不安全的工具可能会导致数据在传输期间被截取或被纂改 有一个解决方案是始终使用应用程序的安全模式 若有的话 例如 使用SSH代替Telnet 不幸的是 并非所有的应用程序都有安全模式 更为简单的选择是使用虚拟专用网络 VPN 对远程站点与企业网络之间传输的所有数据进行加密 VPN通常被形象地描述成隧道 打个比方 就像地下隧道与开放式道路的对比一样 两点之间通过地下隧道运输的物品当然会受到有效的屏蔽保护 而不容易被发现 地下隧道形象地说明了VPN的封装和虚拟隧道机制 7 3 2虚拟专用网络 使用VPN时 会通过链接源地址和目的地址建立虚拟隧道 源地址和目的地址之间的所有数据流都将使用安全协议进行加密和封装 然后在网络上传输这种安全的数据包 在数据包抵达接收端后再对其进行解封和解密 VPN是一种客户端 服务器应用 因此 网络上班族必须在其计算机上安装VPN客户端才可与企业网络建立安全的连接 当网络上班族通过VPN连接到企业网络后 他们便成为企业网络的一部分 可以像实际连接到LAN时那样直接访问所有的服务和资源 7 4 1企业网络文档 对于一名新的网络技术人员来说 他的首要任务之一就是熟悉当前的网络结构 企业网络中可能包含成百上千台主机和网络设备 而且这些设备之间都通过铜缆 光纤和无线技术连接在一起 最终用户工作站 服务器和网络设备 例如交换机和路由器 都必须记录在案 不同类型的文档可从不同的角度展现网络状况 网络基础架构图 也称为拓扑图 用于跟踪设备的位置 功能和状态 拓扑图展示的可以是物理网络 也可以是逻辑网络 物理拓扑图利用图标来记录主机 网络设备和介质的位置 维护和更新物理拓扑图对于日后的安装和故障排除工作非常重要 逻辑拓扑图根据网络使用情况将主机分组 而不管它们的实际位置为何 主机名称 地址 组信息和应用程序都可以记录在逻辑拓扑图中 图中可能会显示多个站点之间的连接 但并不会反映实际的物理位置 企业网络图可能还包括控制平面信息 控制平面信息描述了故障域 并定义了不同网络技术交汇的接口 7 4 2企业网络文档 网络文档必须时刻保持最新 并且其中的信息必须准确无误 通常在刚组建网络时 网络文档中的信息都是正确的 然而 随着网络的发展变化 文档有可能没有得到及时更新 网络拓扑图一般都是建立在原始楼层规划图的基础之上 与建筑落成时相比 目前的楼层规划可能已经发生了一些变化 此时可以在蓝图上进行标记或者加上红线 以显示所发生的变动 修改后得到的图称为竣工图 竣工图记录的是网络的实际架设方式 与原始规划可能有所差异 务必确保当前文档能够反映竣工后的楼层规划以及所有的网络拓扑变动 网络图一般使用绘图软件绘制而成 除了绘图功能外 许多网络绘图工具还链接有数据库 这样 网络支持人员就可记录有关主机和网络设备的信息 包括制造商 型号 购买日期 质保期及其它内容 从而编写出更为详尽的文档 只要单击图中的设备即会打开一张表 列出设备的相关数据 7 4 2企业网络文档 除了网络图以外 企业网络中还会用到其它一些重要的文档 业务连续性计划 业务连续性计划 BCP 指明在发生自然灾害或人为灾难时 应具体采取哪些措施来继续业务运营 业务安全计划 业务安全计划 BSP 包括物理性 系统性以及组织性控制措施 整个安全计划必须包括有IT部分 其中需说明组织如何保护其网络及信息资产 网络维护计划 网络维护计划 NMP 通过保持网络正常 有效运行来确保业务连续性 必须将网络维护安排在一些特定的时间段执行 一般选择夜间和周末 这样可以将对运营的影响降至最低 服务等级协议 服务等级协议 SLA 是客户与服务提供商或ISP之间签订的一份契约性的协议 其中指明了各种详细要求 例如网络可用性以及服务响应时间 7 5 1网络运营中心 大多数企业网络中都设有网络运行中心 NOC 可对所有网络资源集中管理和监控 NOC有时也称为数据中心 在典型的企业NOC内 工作人员需要提供本地和远程支持 通常需要负责局域网问题和广域网问题 规模较大的NOC可能会占用好几个房间 集中放置网络设备 而支持人员都在这些房间内工作 NOC通常具有以下特点 装有架空地板 连接设备的电缆和电线可从地板下穿过拥有高性能UPS系统和空调设施 为设备提供安全的运行环境天花板中安装有消防系统拥有网络监控工作站 服务器 备份系统和数据存储区如果NOC是所在建筑或园区的主分布层设备间 MDF 则会放置有接入层交换机和分布层路由器 7 5 2网络运营中心 除了网络支持和管理外 许多NOC还提供集中化的资源 例如服务器和数据存储区 NOC中的服务器通常集中在一起 构成服务器群 服务器群一般会被视为单个资源 但实际上它具有两项功能 备份和负载均衡 如果一台服务器发生故障或过载 其它服务器会接管它的工作 群中的服务器可以是机架安装式的计算机 相互之间通过高速交换机 千兆以太网或更高 连接 也可以是安装在一个机箱内的刀片式服务器 通过机箱内的高速背板相互连接在一起 企业NOC的另一项重要功能是提供高速高容量的数据存储 即网络连接存储 NAS 集中了大量直接连接到网络的磁盘驱动器 可供任何服务器使用 NAS设备通常连接到以太网络 并且有自己的IP地址 一种更为复杂的NAS技术是SAN 存储区域网络 SAN是一种高速网络 将不同类型的数据存储设备通过LAN或WAN连接在一起 7 5 3网络运营中心 企业NOC中的设备一般安装在机架上 在大型NOC中 机架通常与房间一样高 可以相互连接 往机架上安装设备时 必须确保通风良好 而且从前后都能接触到设备 另外 设备还必须适当接地 最常见的机架宽度是19英寸 48 26厘米 大多数设备都在该宽度以内 设备占用的垂直空间是以机架单元 RU 来度量的 1机架单元等于1 75英寸 4 4厘米 例如 2U的机箱高度为3 5英寸 8 9厘米 设备的RU值越低 其所需要的空间越少 一个机架中能容纳的设备就越多 另外还需考虑带有许多连接线的设备 例如交换机 此类设备需要放置在配线面板附近 靠近电缆收入线槽的位置 7 5 4网络运营中心 在企业的NOC中 可能有成千根电缆进出 结构化布线是建立组织化布线系统的一种有效方法 可以使安装人员 网络管理员及其他处理电缆的技术人员都能容易地理解布线格局 实施电缆管理有多个目的 首先 它能使系统整洁 条理化 可帮助减少布线问题 其次 遵循电缆管理最佳做法可防止电缆遭受物理损坏和EMI 电磁干扰 从而显著减少发生问题的可能性 为了便于排除故障 请务必按以下要求操作 所有电缆的两端都应做上标记 使用标准方式指明源和目的地 所有电缆布线都必须记录在物理网络拓扑图中 所有线缆 包括铜缆和光纤 都必须经过端到端测试 方法是沿该电缆传送信号并测量损耗 布线标准规定了每种电缆类型和网络技术的最大距离 例如 IEEE规定 从交换机到主机的快速以太网非屏蔽双绞线 UTP 最长不能超过100米 约328英尺 如果电缆长度超过建议长度 那么数据通信可能会出现问题 尤其是在电缆端接不良的情况下 正确记录电缆规划和测试对于网络操作极为关键 7 5 5网络运营中心 7 5 6机房设计及考虑 许多中间分布层设备间利用扩展星型结构连接到主分布层设备间