《民用建筑电气设计规范实施指南》可编辑版-19 计算机网络系统

PAGE2119计算机网络系统19.1一般规定19.1.1本章适用于各类民用建筑物或及建筑群中通过共享数据、硬件和软件，实现建筑物内外及建筑群的网络数据通信及办公自动化系统等应用的计算机网络系统设计。【注释】目前，计算机网络系统已在工业、商业、办公、住宅等各个场所得到普遍应用。本章仅适用于“民用建筑物或及建筑群”中计算机网络系统的设计，如商业写字楼、住宅等Internet宽带接入网络；政府行政办公楼、企事业单位办公楼中办公自动化应用网络，酒店经营管理、会展业务、航站楼运营、博物馆展陈等商业运营计算机网络；物业管理应用网络；建筑设备管理、综合安防系统等智能化系统管理层数据交换网络等。不适用于工业生产流程控制计算机网络系统设计。19.1.2计算机网络系统的设计和配置应标准化，并应具有可靠性、安全性和可扩展性。【注释】标准化、可靠性、安全性和可扩展性是计算机网络系统设计的基本要求。标准化主要是指设计选择的网络设备应符合国际标准；可靠性、安全性主要是指在设计网络体系结构、数据链路和设备配置时应根据网络应用的重要性和数据流量等因素合理设计，使设计的网络满足其应用在可靠性、安全性方面的要求；可扩展性是指软硬件的配置应留有适当的裕量，以适应未来网络用户增加的需要，如布线、交换机端口、机柜和软件容量等。以下为民用建筑计算机网络系统设计时应了解的标准化组织、网络标准和通信标准：1网络的根本是实现互相通信，一个网络中使用的软硬件产品可能由多家生产商提供，因此计算机网络系统中使用的软硬件标准应遵循国际标准，如国际标准化组织（ISO）的开放系统互连标准（OSI）、美国电气与电子工程师协会（IEEE）的局域网标准（IEEE802.x）、Internet工业标准传输控制/网络互连协议栈（TCP/IP）等。2网络标准的特性与组织标准定义了网络软硬件在以下方面的物理和操作特性：个人计算机环境、网络和通信设备、操作系统、软件。目前计算机工业主要来自有数的几个组织，这些组织中的每一家定义了不同网络活动领域中的标准。3主要网络标准1）OSI参考模型是网络最基本的规范，其分层结构及各层主要功能与网络活动如表19-1所示。OSI参考模型与IEEE802.x参考模型关系见图19-1。表19-1OSI参考模型OSI分层结构各层主要功能与网络活动7应用层应用层是OSI模型的最高层，该层的服务是直接支持用户应用程序，如用于文件传输、数据库访问和电子邮件的软件。6表示层表示层定义了在连网计算机之间交换信息的格式，可将其看作是网络的翻译器。表示层负责协议转换、数据格式翻译、数据加密、字符集的改变或转换；表示层还管理数据压缩。5会话层会话层负责管理不同的计算机之间的对话，它完成名称识别及其它两个应用程序网络通信所必需的功能，如安全性。会话层通过在数据流中设置检查点来提供用户间的同步服务。4传输层传输层确保在发送方与接收方计算机之间正确无误、按顺序、无丢失或无重复地传输数据包，并提供流量控制和错误处理功能。3网络层网络层负责处理消息并将逻辑地址翻译成舞理地址，网络层还根据网络状况、服务优先级和其它条件决定数据的传输路径，它还管理网络中的数据流问题，如分组交换及路由和数据拥塞控制。2数据链路层1负责将数据帧从网络层发送到物理层，它控制进出网络传输介质的电脉冲；2负责将数据帧通过物理层从一台计算机无差错地传输到另一台计算机。1物理层物理层是OSI模型的最底层，又称“硬件层”，其上各层的功能相对第一层也可被看作软件活动。1负责网络中计算机之间物理链路的建立，还负责运载由其上各层产生的数据信号；2定义了传输介质与NIC如何连接，如：定义了连接器有多少针以及每个针的作用，还定义了通过网络传输介质发送数据时所用的传输技术；3提供数据编码和位同步功能，因为不同的介质以不同的物理方式传输位，物理层定义每个脉冲周期以及每一位是如故转换成网络传输介质的电或光脉冲的。应用层表示层应用层表示层会话层传输层网络层物理层物理层数据链路层数据传输信号、编码介质OSIIEEE802逻辑链控制子层LLC介质访问控制子层MAC图19-1OSI参考模型与IEEE802参考模型对应关系2）IEEE802.x主要标准的描述参见表19-2，其局域网标准图示见图19-2；表19-2IEEE802.x主要标准标准描述802.1与网络管理相关的网络标准802.2定义用于数据链路层的一般标准。IEEE将该层分为两个子层：LLC和MAC层，MAC层随不同的网络类型而变化，它由IEEE802.3、802.4、802.5分别定义802.3定义使用带冲突检测的载波侦听多路访问的总线型网络的MAC层，这是一种传统的以太网标准，在802.3标准的基础上，近年又扩展出快速以太网和千兆位以太网标准：1）802.3u：快速以太网标准，作为100Base-T4（4对3、4或5类UTP）、100BaseTX（2对5类UTP或STP）和100BaseFX（2股光缆）以太网的规范。2）802.3ab：千兆位以太网标准，作为1000Base-T（4对5类UTP）以太网的规范。3）802.3z：千兆位以太网标准，作为1000Base-LX（50微米或62.5微米多模光缆或9微米单模光缆）、1000Base-SX（50微米或62.5微米多模光缆）以太网的规范。4）802.3ae：万兆以太网标准，作为10GBase-S、10GBase-L、10GBase-E、10GBase-LX4的规范5）802.3ak：万兆以太网标准，作为10GBase-CX4以太网的规范802.4定义使用令牌传送机制（令牌总线局域网）的总线型网络的MAC层802.5定义使用令牌环网络（令牌环局域网）的MAC层802.9定义集成语音/数据网络802.10定义网络安全性802.11定义无线网络标准802.12定义需求优先级访问局域网100BaseVG-AnyLAN802.15定义无线个人区域网（WPAN）802.16定义宽带无线标准802802.3CSMA/CD访问方式802.4令牌总线访问方式802.5令牌环访问方式802.6城域访问方式物理规范物理规范物理规范物理规范802.2逻辑链控制（LLC）802.1参考文件IEEE802标准ISO/OSI7654321图19-2IEEE802.x局域网标准图示3）TCP/IP传输控制/网络互连协议栈传输控制协议/Internet协议（TCP/IP）是一种开放式工业标准的协议栈，它已经成为不同类型计算机（由完全不同的元件构成）间互相通信的网际协议标准。此外，TCP/IP还提供可路由的企业网络协议，可访问Internet及其资源。Internet协议（IP）是一种包交换协议，它完成寻址和路由选择功能；传输控制协议（TCP）负责数据从某个节点到另一节点的可靠传输，它是一种基于连接的协议。由于TCP/IP的开发早于OSI模型的开发，它与七层OSI模型的各层不完全匹配，TCP/IP分为四层，各层的功能以及与OSI模型的对应关系参见表19-3。表19-3TCP/IP各层功能及与OSI模型的对应关系TCP/IP分层TCP/IP各层的功能TCP/IP相当于OSI模型的分层网络接口层提供网络体系结构（如以太网、令牌环）和Internet层间的接口，可直接与网络进行通信。物理层和数据链路层Internet层使用几种协议用来路由和传输数据，工作于Internet层的协议有：网际协议（IP）、地址解析协议（ARP）、逆向解析协议（RARP）和Internet信报控制协议（ICMP）。网络层传输层负责建立和维护两台计算机之间端到端的通信，进行接收确认、流量控制和序列数据包。它还处理数据包的重新传输。传输层可根据传输要求使用TCP或UDP。TCP是基于连接的协议，UDP是一种无连接协议，UDP与TCP使用不同的端口，它们可使用相同的号码而不会发生冲突。传输层应用层应用层将应用程序连接到网络中。两种应用程序编程接口（API）提供对TCP/IP传输协议的访问：WinSock和NetBIOS会话层、表示层和应用层19.1.3计算机网络系统设计前，应进行用户调查和需求分析，以满足用户的需求。【注释】网络是用来帮助人们工作的定制化工具，每个用户都有其特定的网络应用需求，只有对用户充分调查了解并进行需求分析后，才能设计出满足用户在网络应用、网络管理、安全性、经济性和对未来计划实施等方面的需求，因此用户需求分析是计算机网络系统设计的重要环节，需求分析主要包括以下内容：1网络功能需求分析1）网络体系结构；2）网络拓扑结构与介质；3）网络设备的配置；4）Internet连接。2网络性能需求分析1）整个网络的可用性；2）整个网络的可靠性和有效性；3）可恢复性；4）邮件系统的易用性；5）网络的传输速率；6）Internet连接速率；7）网络管理与安全性；8）风险分析。3投资控制19.1.4计算机网络系统的配置应遵循实用性和适用的原则，并宜适度超前。【注释】网络应用和技术的发展日新月异，网络产品不断推陈出新，网络的配置既要满足适用性原则，又要有一定的前瞻性。选择网络设备时应充分考虑网络可预见的应用和技术的发展趋势，在一定时期内适应这些网络应用。目前网络设计存在盲目追求高标准，设备选型追求最新、最高配置等问题，造成不必要的浪费，因此实用性和适用性原则值得关注。19.2网络设计原则19.2.1计算机网络系统应在进行用户调查和需求分析的基础上，进行网络逻辑设计和物理设计。【注释】规范设计程序的目的，是可对所设计网络的功能、性能和投资寻找最优的交点。做到有依据、有目的地设计。1网络逻辑设计包括以下内容：1）确定逻辑设计目标；2）网络类型和体系结构的选择；3）网络管理与安全性策略；4）Internet连接方式。2网络物理设计包括以下内容：1）网络拓扑结构的设计；2）选择网络介质；3）网络设备的配置。19.2.2用户调查宜包括用户的业务性质与网络的应用类型及数据流量需求、用户规模及前景、环境要求和投资概算等。【注释】用户调查工作内容包括：1业务性质与网络应用；2用户规模及前景；3网络应用的类型、环境及其数据流量需求；4可靠性需求；5安全性需求；6投资预算。19.2.3网络需求分析应包括功能需求和性能需求两方面。网络功能需求分析用以确定网络体系结构，内容宜包括网络拓扑结构与传输介质、网络设备的配置、网络互联和广域网接入。网络性能需求分析用以确定整个网络的可靠性、安全性和可扩展性，内容宜包括网络的传输速率；网络互联和广域网接入效率及网络冗余程度和网络可管理程度等。【注释】网络的功能需求与性能需求决定了网络的逻辑设计和物理设计。19.2.4网络逻辑设计应包括确定网络类型、网络管理与安全性策略、网络互联和广域网接口等。19.2.5网络物理设计应包含网络体系结构和网络拓扑结构的确定、网络介质的选择和网络设备的配置等。【注释】网络逻辑设计和物理设计密不可分，其目的是一致的，两者不可脱节。19.2.6局域网宜采用基于服务器/客户端的网络，当网络中用户少于10个节点时可采用对等网络。【注释】网络的类型分为对等网络和基于服务器的网络两大类。对等网络又称工作组网络，所有计算机既是客户机又是服务器；基于服务器的网络已成为标准的网络模型，民用建筑中应用的计算机网络绝大多数采用基于服务器的网络，在基于服务器的网络中一台或多台计算机作为服务器使用，为网络提供资源。其它计算机是客户机，客户机使用由服务器提供的资源。两类网络示意见图19-3、图19-4。客户机客户机客户机客户机客户机客户机客户机客户机图19-3对等网络示意图客户机客户机客户机客户机客户机服务器服务器打印机客户机客户机客户机图19-4基于服务器的网络示意图基于服务器的网络标准型式有客户机/服务器（C/S：Client/Server）模式和浏览器/服务器（B/S：Browser/server）模式两类，见图19-5、图19-6。1客户机/服务器（C/S）模式客户3客户1客户3客户1客户2服务器客户3的请求客户3请求的响应客户2请求的响应客户1请求的响应客户2的请求客户1的请求图19-5客户机/服务器（C/S）模式（C/S）网络模型的工作原理是：客户机（工作站）向服务器提出数据服务请求，服务器将对该请求的数据及数据处理的结果提供给客户机使用并将该结果存储于服务器中，客户机使用自己的CPU和软件对服务器提供的数据进一步处理，存储于服务器中的数据处理的结果可被网络中其它客户机访问。在C/S应用方式中，网络的负载比较均衡，服务器程序运行在网络中的另外一台计算机中，它可以是一台WindowsNT服务器、一台UNIX服务器或者是另一台工作站。服务器程序从网络中接收客户发出的请求，执行这些请求所要求的操作，并将结果送回给客户，客户接收到结果后通过用户接口将其显示给用户。客户机的用户接口通常称为前端，而服务器程序则称为后端。这种方式有许多优点，可以较好地利用LAN中的各类资源，只要求服务器具有运行大型应用程序所需要的存储能力、处理能力等，而工作站集中进行用户界面处理、对数据库信息的接收和显示等工作。C/S模式只需交换相对较少的数据量，这就使得对网络的使用更为有效，所交换的信息只是请求和回答，而不是C/S模式中的整个应用数据库文件；2浏览器/服务器（B/S）模式客户1客户客户1客户2客户3浏览器（如IE5）通过HTTP与WEB服务器通信（请求/响应）浏览器（如IE5）浏览器（如IE5）Web服务器数据库SQLserverORACLESYBASE…图19-6浏览器/服务器（B/S）模式在浏览器/服务器（B/S）模式网络中可设有多台Web服务器和数据库服务器，用户可在浏览器上通过Web服务器实现对各数据库的访问，而在客户机上只需安装相应的浏览器软件，并在各Web服务器上开发对各数据库的访问接口。在这种分布式的基于Web的信息管理模式下，不再要求服务器与客户机严格对应，避免了只能在安装有前端开发平台和应用程序的客户机上才能访问数据库的情况。但是在B/S模式下，由于对数据库进行访问的客户是不确定的，他们可能来自网络的任意一个节点，是完全分布的，数据的安全性就成了一个值得注意的问题。虽然通过设立防火墙，通过设置数据库用户权限等可以在一定程度上减少非法用户入侵的可能性，但由于进行破坏的入口增多，有必要采取更多、更好的防范措施。这是B/S模式值得注意的一个问题。19.2.7网络体系结构的选择应符合下列规定：1网络体系结构宜采用基于铜缆的快速以太网（100Base-T）；基于光缆的千兆位以太网（1000Base-SX、1000Base-LX）；基于铜缆的千兆位以太网（1000Base-T、1000Base-TX）和基于光缆的万兆位以太网10GBase-X；2在需要传输大量视频和多媒体信号的主干网段，宜采用千兆位（1000Mbps）或万兆位（10Gbps）以太网，也可采用异步传输模式ATM。【注释】网络根据介质访问方法的不同分为多种网络体系结构，以太网是当今最流行的网络体系结构，已成为局域网的主流型式，与FDDI和ATM相比，以太网流行的原因是：价格低廉、安装容易、性能可靠、使用/维护和升级方便。目前主流的以太网技术主要有以下几种类型：1快速以太网快速以太网技术有两种主要的标准：100Base-T与100VG-AnyLAN：1）100Base-T快速以太网100Base-T快速以太网是由10Base-T以太网标准发展而来。它具有以下特点：（1）同10Base-T一样，采用了IEEE802.3CSMA/CD的MAC协议层，并具有同样的帧格式、拓扑结构。但100Base-T具有独特的物理层结构，以支持100Mb/s的数据传输率；（2）保留了10Base-T以太网的电缆设施、模块式集线器、网桥、路由器；（3）保留了10Base-T以太网在集线器和桌面机间使用100m长电缆的星型拓扑结构，并规定了100Base-T支持270m长的光纤电缆；（4）采用流行的SNMP的网络管理软件和以太网管理信息库，完全兼容现有的网管产品；（5）标准成熟，造价较低。2）100VG-AnyLAN快速以太网：100VG-AnyLAN网络技术由HP公司和IBM公司联合倡导，具有以下特点：（1）不采用传统的以太网冲突协议，而采用请求优先技术，故没有冲突和延迟，对于对时延敏感的应用（如多媒体、电视会议、无时延数据包发送等）很有效；（2）支持802.3标准和802.1标准的拓扑帧格式；（3）支持4对3类、4类或5类的UTP、STP及光纤。2千兆位以太网千兆位以太网包括了1000Base-X和1000Base-T两种技术，而1000Base-X中又包括了1000Base-LX、1000Base-SX以及1000Base-CX，它们分别对应着相应的编码/译码技术、收发器和传输介质。1000Base-T的物理层功能与1000Base-X差别较大，有其相应的编码/译码技术、收发器及传输介质，参见图19-7。MMAC子层：帧结构，CSMACDPHY层8B/10B1000BASE-X1000BASE-LX1000BASE-CX1000BASE-SX1000BASE-T1000BASE-T专用5类UTP—介质短屏蔽铜缆光纤编码/译码器收发器图19-7千兆位以太网的分类1）1000Base-X：1000Base-X是千兆位以太网技术中较容易实现的一类方案，它包括了1000Base-CX，LX和SX，按采用的介质不同，它又可分为以下3种形式：（1）1000Base-CX是使用铜缆的两种千兆位以太网技术之一，另一种是1000Base-T。1000Base-CX的传输介质是一种短距离屏蔽铜缆，最长距离达25m，这种屏蔽电缆不是符合ISO11801标准的STP，而是一种特殊规格的平衡双绞线对的TW型屏蔽铜缆。1000Base-CX的短距离铜缆适用于交换机间的短距离连接，特别适用于千兆主干交换机与服务器的短距离连接，这种连接往往就在机房的配线架柜上以跨线方式连接即可，不必使用长距离的铜缆或光纤；（2）1000Base-LX是一种收发器上使用长波激光（LWL）作为信号源的媒体技术，这种收发器上配置了激光波长为1270~1355nm（一般为1300nm）的光纤激光传输器，它可以驱动多模光纤，也可驱动单模光纤，使用的光纤规格如下：a.62.5的多模光纤；b.50的多模光纤；c.9的单模光纤。对于多模光纤，在全双工模式下最长距离可达550m；对于单模光纤，全双工模式下最长距离达5km。连接光纤所使用的SC型光纤连接器，与100Base快速以太网中100Base-FX使用的型号相同；（3）1000BASE-SX是一种在收发器上使用短波激光（SWL）作为信号源的媒体技术，这种收发器上配置了激光波长为770~860nm（一般为800nm）的光纤激光传输器，仅支持两种多模光纤：62.5和50的多模光纤。对于62.5的多模光纤，全双工模式下最长距离为275m；对于50的多模光纤，全双工模式下最长距离为550m。连接光纤所使用的连接器与1000Base-LX一样，均采用SC连接器。2）1000Base-T：1000Base-T是一种使用4对5类UTP的千兆位以太网技术，其传输距离为25~100m。这种技术有利于100Base-TX等网络的升级，布线系统保持不变，数据传输速率可提高10倍。3以太网可使用多种通信协议，并可连接混合计算机环境，如Windows、UNIX、Netware等。以太网的主要特性参见表19-4；表19-4以太网的主要特性特性描述传统拓扑结构直线型总线其它拓扑结构星型总线信号传输方式基带介质访问方法CSMA/CD（10G以太网采用全双工方式）规范IEEE802.3传输速率10Base-T：10Mbps100Base-TX/100Base-FX：100Mbps1000Base-T/1000Base-SX/1000Base-LX：1000Mbps10GBase-S/L/E/LX4、10GBase-CX4：10Gbps传输介质类型UTP、FTP、光缆、同轴电缆4在以太网中可运行大部分流行的网络操作系统，包括：1）MicrosoftWindows95、Windows98、WindowsME；2）MicrosoftWindowsNTWorkstation和WindowsNTServer；3）MicrosoftWindows2000Professional和Windows2000Server；4）MicrosoftLANManager；5）MicrosoftWindowsforWorkgroups；6）NovellNetWare；7）IBMLANServer；8）AppleShare；9）UNIX。5令牌环网是八十年代中期由IBM开发的，以太网的普及减少了令牌环网的市场份额，但它仍然是网络市场中的重要角色。令牌环网规范是IEEE802.5标准，令牌环网络的标准与特性参见表19-5；表19-5令牌环网络的标准与特性特性描述拓扑结构星型环信号传输方式基带介质访问方法令牌传送规范IEEE802.5传输速率4Mbps和16Mbps传输介质类型UTP、FTP、光缆网络硬件部件令牌环网络集线器：多路访问单元（MSAU）令牌环网络NIC：4Mbps或16Mbps连接器：RJ-45/光纤连接器补丁线：6类传输介质，最大传输介质段（MSAU与计算机间）距离补丁线：46UTP：45FTP：100MSAU之间的最大距离152m，使用中继器为计算机间的最短距离2连接网段的最多数目33个MSAU每个网段连接计算机的最大数目UTP：每个MSAU连接72台计算机FTP：每个MSAU连接260台计算机（推荐数目是50～80台计算机）6ATM是一种基于信元的快速数据交换技术，具有高带宽（155~622Mbps）和高数据完整性的特征，它还支持同步应用，并具有一定的灵活性和可扩展性。但目前存在交换设备昂贵，使用也不如以太网容易等缺点；ATM局域网的组成形式可包括以下几种：1）作为ATM广域网的网关：ATM交换机的作用与路由器和通信集中器的作用类似，它可将局域网连接到ATM广域网；2）主干ATM交换机：它可用于局域网络的互联；3）工作组ATM：它可将高性能多媒体工作站、超级用户等站点直接连接到ATM交换机。ATM局域网具有以下特征：1）较适于实时多媒体应用环境，能较好地与B-ISDN融合；2）可支持一定的服务级别（CoS）及服务质量（QoS）保证；3）较适于作为大型Internet、城域网及高速宽带网的主干网。710G以太网（即万兆以太网）是最新的以太网技术，与10/100/1000M以太网兼容，可实现以太网的无缝升级，并可用于广域网。10G以太网标准有基于光纤传输的10GBase-LX4和基于铜缆传输的IEEE802.3ak，分别作为10GBase-CX4和10GBase-T的规范。10G以太网采用光纤作为传输介质时，以全双工方式工作，无需采用CSMA/CD访问协议，支持IEEE802.3MAC全双工方式，允许以太网复用设备同时携带10路1Gbps信号，其帧格式与以太网的帧格式一致。当传输介质采用单模光纤时，传输距离可达300km；采用多模光纤时，传输距离可达40km。19.2.8网络中使用的服务器应至少能够处理文件、程序及数据储存；响应网络服务请求；网络应用策略控制；网络管理及运行网络后台应用等一项任务。【注释】服务器的常用类型有以下几种：1文件和打印服务器：文件和打印服务器是用来存储文件和数据的，管理用户对文件和打印机资源的访问和使用，它将数据或文件下载到请求的计算机中；2通信服务器：用于在服务器所在的网络和其它网络、主机或远程用户间处理数据流和电子邮件。如Internet服务器、代理服务器等；3应用服务器：是客户/服务器应用的服务器端，它将存储的大量数据进行组织整理以便于用户检索，并向用户提供数据。不同于文件和打印服务器的是，应用服务器的数据库是驻留于服务器中，它只是将请求结果下载到发出请求的客户机中，而不是整个数据库；4邮件服务器：邮件服务器的运作方式与应用服务器类似，它利用不同的服务器和客户机应用程序，有选择地将数据从服务器下载到客户机中；5目录服务器：目录服务器使得用户能够定位、存储和保护网络中的信息；6传真服务器：通过一个或多个传真调制解调卡来管理进出网络的传真数据流。19.2.9服务器（如CPU、内存和硬盘等）的配置应能满足其处理数据的需要，并具有高稳定性和可扩展能力。【注释】在一个计算机网络系统中通常配置多台服务器以完成不同职能。在功能和技术指标方面，可把服务器分为企业级、部门级、工作组级三个档次。企业级服务器技术指标要求最高，工作组级服务器类似传统的LAN服务器的要求，部门级服务器的技术指标则介于两者之间。在整个网络系统中占主导地位的服务器常称为主服务器，根据系统建设规模和经费，主服务器可选择企业或部门级。服务器的选择有两类：基于运行Unix操作系统的小型机（Unix工作站）和高档PC服务器。高档PC服务器由于微处理器性能大幅度提高及SMP技术、C1uster技术的出现，性能直逼小型机，成为许多网络系统的首选。服务器性能主要从可靠性和并行处理能力来衡量。1可靠性可靠性主要依据服务器是否采用冗余技术、在线修复技术等。冗余级别分器件级、部件级、系统级三类，冗余技术主要体现在电源、硬盘冗余(单卡双盘的镜象技术、双卡双盘技术或配置阵列卡等)、内存冗余、冗余网卡、冗余总线／通道。关键部件的冗余设计对服务器的可靠运行具有重要的意义，但由于结构或价格上的限制，服务器特别是PC服务器并非全部采用冗余设计，常常采用冗余部件方式。另外，还可在系统级的角度去解决服务器可靠性问题。如C1uster技术、双服务器热备份等。服务器在工作时一般是不允许停机的，因此，在冗余设计保证服务器不因障点故障而失效的前提下，还应有在线修复手段，能及时排除出现的故障，使服务器恢复到正常运行状态。服务器的在线修复一般依靠以下技术实现：故障部件隔离、故障部件可带电插拔、部件的在线配置技术，实现对硬盘、外设插卡、电源、风扇的热插拔与在线修复。2并行处理能力并行处理技术能够大幅度地提高系统的处理能力和系统响应时间，主要表现在：1）多处理器采用多CPU可以明显改善服务器的性能，一般服务器的CPU建议配置2个，这样才能将服务器及网络操作系统的功能充分发挥出来；2）重PCI每条PCI总线的带宽是133M，2条PCI总线的带宽就是266M。将网卡及阵列卡合理地安排到这两条PCI总线，可明显地提高服务器效率；3）RAID5技术服务器配置阵列卡，数据分配到多个硬盘上（至少3个以上硬盘），数据写盘时是同时对多个盘操作，这样硬盘越多磁盘系统的吞吐率越高；4）流量隔离将访问模式的低效率外设（如键盘、VGA控制、时钟）单独共用一条总线，剩余总线保留给高速I/O，以保证高速通道的效率。19.2.10服务器宜集中设置。当网络应用有业务分类管理需要时，可分布设置服务器。【注释】服务器设置分布式服务器：是指按有共同工作性质的工作组或部门，而分别设置提供相应服务的服务器，即将服务器分开布置，这样可大大减少通过主干的广播数据流，有效地提高主干的传输速率。这在流量模式中称为“流量本地化”。参见图19-8。客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机服务器服务器部门一服务器服务器部门二服务器服务器部门三服务器服务器部门六服务器服务器部门五服务器服务器部门四服务器服务器图19-8分布式服务器示意图集中式服务器：是指网络中各类服务器集中设置。集中设置服务器可以降低投资、提高安全性和便于管理。集中式服务器方式是目前绝大多数民用建筑中计算机网络系统采用的方式，原因有二：一是随着网络越来越多基于Internet的应用和信息的跨部门传输，数据流量模式由传统的20/80模型朝着新的80/20转变，即80%的数据不再驻留在子网中，而是必须在子网和VLAN之间传输，分布式服务器方式已不能有效地控制通过主干的数据流；二是随着网络设备性能的提高，主干采用千兆、万兆以太网已十分普遍，集中设置服务器在主干上的瓶颈已基本不复存在。参见图19-9。客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机客户机部门一部门二部门三部门六部门五部门四服务器组信息网络中心19.3网络拓扑结构与传输介质的选择19.3.1网络的结构应根据用户需求、用户投资控制、网络技术的成熟性及可发展性确定。19.3.2局域网宜采用星型拓扑结构。在有高可靠性要求的网段应采用冗余链路。【注释】“拓扑”是指网络中计算机、线缆和其它部件的联接方式，拓扑可分为物理（实际的布线结构）和逻辑两种，逻辑上是总线或环型的网络其布线结构也可是星形的。网络的拓扑结构主要分为总线型、星型、环型、网型四类，也常采用其变形或混合型，如星型总线、星型环等。局域网最常用的拓扑结构是星型拓扑结构。网络的拓扑结构是网络设计的重点和难点，各种网络拓扑结构（物理拓扑）的比较如表19-6所示。各型拓扑结构的示意参见图19-10～图19-14。表19-6各种网络拓扑结构的比较拓扑结构结构特点优点缺点局域网典型应用总线型由一根被称为“主干”（又称为骨干或段）的传输介质组成，网络中所有的计算机连在这根传输介质上。在每条传输介质的两端需设端接器。节省传输介质、介质便宜、易于使用；系统简单可靠；总线易于扩展。在网络数据流量大时性能下降；查找问题困难；传输介质断开将影响许多用户。对等网络或小型（10名用户以下）基于服务器的网络。环型用一根传输介质环接所有的计算机，每台计算机都可作为中继器，用于增强信号传送给下一台计算机。系统为所有计算机提供相同的接入，在用户数据较多时仍能保持适当的性能。一台计算机故障将影响整个网络；查找问题困难；网络重新配置时将终止正常操作。令牌环LANFDDI或CDDI。星型计算机通过传输介质连接到被称为“集线器/交换机”的中央部件。是最常用的物理拓扑结构，无论逻辑上采用何种网络类型都可采用物理星型，方便预先布线，系统易于变化和扩展；集中式监视和管理；某台计算机或某根传输介质故障不会影响其它部分的正常工作。需要安装大量传输介质；如果中心点出现问题，连接于该中心点（网段）上的所有计算机将瘫痪。是最常用的拓扑结构；以太网；星型令牌环；星型FDDI网型每台计算机通过分离的传输介质与其它计算机相连系统提供高冗余性和可靠性，并能方便地诊断故障需要安装大量传输介质主要用于城域网，也可用于特别重要的以太网主干网段变形或混合型根据网络中计算机的分布、网络的可靠性、网络性能要求（数据流量和痛通信规律）的特点，选择相应的网络拓扑结构。满足不同网段性能的要求，在可靠性与经济性之间选择最佳交点。具有相应网段拓扑结构的缺点。是实际应用最普遍的拓扑结构。图19-10总线型拓扑结构图19-11星型拓扑结构图19-12环型拓扑结构图19-13网型拓扑结构图19-14星型总线混合型拓扑结构19.3.3网络介质的选择应根据网络的体系结构、数据流量、安全级别、覆盖距离和经济性等方面综合确定，并符合下列规定：1对数据安全性和抗干扰性要求不高时，可采用非屏蔽对绞电缆；2对数据安全性和抗干扰性要求较高时，宜采用屏蔽对绞电缆或光缆；3在长距离传输的网络中应采用光缆。【注释】网络传输介质主要有：非屏蔽对绞电缆（UTP）、屏蔽对绞电缆（FTP）、粗/细同轴电缆、光缆等，由于在现今流行的快速以太网不支持同轴电缆的使用，在此不作同轴电缆的规定。19.3.4在下列场所宜采用无线网络：1）用户经常移动的区域或流动用户多的公共区域；2）建筑布局中无法预计变化的场所；3）被障碍物隔离的区域或建筑物；4）布线困难的环境。【注释】无线网具有性价比高、使用灵活的特性，是一种很有前途的网络型式，目前无线网已普及应用。由于存在抗干扰性能、安全性、传输速率等方面的限制，无线网络在多数情况下是用于对有线局域网的拓展，如公共建筑中供流动用户使用的网络段、跨接难以布线的两个（或多个）网段，在某些工作人员流动性较大的办公建筑中也可局部采用无线网做为有线网的拓展。除了网络接口卡是连接在收发器，而不是连接到传输介质以外，在无线网络中的运行的计算机与在有线网络环境中的相应部件类似。无线网络接口卡所使用的收发器安装在每台计算机中，用于广播和接收周围计算机的信号，它通过安装在墙上的收发器（有线）与有线网络连接。19.3.5无线局域网设备应采用并符合IEEE802××相关标准。【注释】扩频无线电传输方式在2400~2483MHz的频带之间占用83MHz的带宽，其标准是IEEE802.11b和IEEE802.11，传输速率有1Mbps、2Mbps、5.5Mbps、11Mbps，视障碍物和干扰程度不同，通常在室内覆盖半径为35～100m，室外为100～300正交频分复用（OFDM）技术利用20MHz的带宽同时传输64个单独的子载波通道，每一个子载波通道的间隔是0.3125MHz，IEEE802.11a标准在5GHz频段、IEEE802.3g标准在2.4GHz频段采用OFDM技术传输数据，速率可达54Mbps。红外线通信使用的频率在850~950nm范围内，并且只能在墙面有足够的信号漫射或反射的室内环境中使用，通常仅用于计算机与外围设备（如打印机）间的高速（20Mbps）的通信，传输速率是1Mbps和2Mbps，传输距离为10~20m19.3.6无线局域网宜采用基于无线接入点（AP）的网络结构。【注释】在大多数情况下无线局域网是作为有线网络的一种补充和扩展，在这种情况下，无线终端通过无线接入点（AP）连接到有线网络上，参见图19-15，使无线用户能够访问网络的各个部分。AP有覆盖范围限制，通常为几十至上百米，当网络环境存在多个AP且覆盖区有重叠时，漫游的无线终端能够自动发现附近信号强度大的AP并通过这个AP收发数据，保持不间断的网络连接。无线对等式网络也称Ad-hoc，整个网络不使用AP，各无线终端之间直接通信，当用户数量较多时网络性能较差。该网络无法接入有线网络中，只能独立使用。参见图19-16。无线局域网的标准与特性参见表19-7。表19-7无线局域网的标准与特性特性描述网络类型对等网络，结构化网络访问方法CSMA/CA规范IEEE802.11，IEEE802.11b，IEEE802.11a，IEEE802.11g传输速率IEEE802.11：1Mbps，2MbpsIEEE802.11b：1Mbps，2Mbps，5.5Mbps，11MbpsIEEE802.11a：可达54MbpsIEEE802.11g：可达54Mbps载波调制方式IEEE802.11、IEEE802.11b：直接序列扩频（DSSS），跳频扩频（FHSS）IEEE802.11a、IEEE802.11g：正交频分复用（OFDM）工作频段IEEE802.11、IEEE802.11b、IEEE802.11g：2.4GHzIEEE802.11a：5GHz无线终端无线终端无线终端无线终端无线终端无线终端无线连接无线局域网有线局域网交换机交换机交换机交换机APAPAP图19-15基于无线接入点（AP）的网络示意图无线连接无线连接图19-16无线对等式网络示意图19.3.7在布线困难的环境宜通过无线网桥连接同一网络的两个网段。【注释】通过无线网桥连接同一网络两个网段，参见图19-17。无线连接网段一无线连接网段一网段二无线网桥无线网桥图19-17应用无线网桥连接同一网络的两个网段19.4网络连接部件的配置19.4.1【注释】传统的网络连接部件还有中继器和网桥。由于集线器已经取代了中继器，交换机比网桥有更高的性价比，因此现在的局域网中已基本上不再使用中继器和网桥（在无线网络中仍常用无线网桥连接两个网段）。交换机目前已成为网络的主流连接部件，绝大多数新建的局域网都是以各种性能的交换机为主，只是少量或局部使用集线器和路由器。路由器多用于广域网连接，集线器是共享型网络设备，通过它的端口接收输入信息并通过所有端口转发出去，在共享用户信息量集中的时刻会存在信息阻塞或冲突现象，因此多用于多个终端用户共享同一交换机高速端口的场合。因集线器比交换机便宜许多，在数据量不大、投资受限制的网络中接入层设备也可采用集线器。19.4.2【注释】网络接口卡，通常称为NIC，在网络传输介质与计算机之间作为物理接口或连接，NIC的作用是：1为网络传输介质准备来自计算机的数据；2向另一台计算机发送数据；3控制计算机与传输介质之间的数据流量；4接收来自传输介质的数据，并将其解释为计算机CPU能够理解的字节形式。由于NIC是计算机与传输介质之间数据传输的桥梁，是网络中最脆弱的连接，因此NIC性能对整个网络的性能会产生巨大的影响。NIC的选择应与特定的网络体系结构相匹配，例如以太网络、令牌环网络、ARCNET等应选择相匹配的NIC。按个人计算机主板上的扩展总线类型，NIC又可划分为ELSA、ISA、PCI、PCMCIA和USB五种。NIC的选择必须与总线相匹配，目前应用较多的是PCI和PCMCIA总线，具有性价比高、安装简单等特点。随着网络技术的发展和使用的需求，无线NIC和光纤NIC将日益普及。19.4.3网络交换机的类型必须与网络的体系结构相适应，在满足端口要求的前提下，可按下列规定配置：1小型网络可采用独立式网络交换机；2大、中型网络宜采用堆叠式或模块化网络交换机。【注释】独立式交换机价格较便宜，但其端口数量固定；堆叠式或模块化交换机便于网络的扩展。19.4.4当具有下列情况时，应采用路由器或第3层交换机：1局域网与广域网的连接；2两个局域网的广域网相连；3局域网互连；4有多个子网的局域网中需要提供较高安全性和遏制广播风暴时。【注释】路由器与交换机的比较：交换机比路由器的运行速率更高、价格更便宜。使用交换机虽然可以消除许多子网，建立一个托管所有计算机的统一网络，但是当工作站生成广播时，广播消息会传遍由交换机连接的整个网络，浪费大量的带宽。用路由器连接的多个子网可将广播消息限制在各个子网中，而且路由器还提供给了很好的安全性，因为它使信息只能传输给单个子网。为此，导致了两种新技术的诞生：一是虚拟局域网（VLAN）技术，二是第3层交换机（使用路由器技术与交换机技术相接合的产物），在局域网中使用了有第3层交换功能的交换机时可不再使用路由器。路由器应用示例，参见图19-18。局域网一局域网一局域网二局域网三路由器路由器路由器利用路由器互连局域网利用路由器连接局域网和广域网广域网利用路由器经广域网连接两个局域网利用路由器遏制广播风暴路由器或三层交换机干网B干网A图19-18路由器应用示例19.4.5当局域网与广域网相连时，可采用支持多协议的路由器。【注释】路由器的主要作用是在网络层（第3层）上将若干个LAN连接到主干网上，如局域网与广域网的连接，局域网中不同子网（以太网或令牌环）的连接。19.4.6在中大型规模的局域网中宜采用可管理式网络交换机。交换机的设置，应根据网络中数据的流量模式和处理的任务确定而定，并应符合下列规定：1接入层交换机应采用支持VLAN划分等功能的独立式或可堆叠式交换机，宜采用第2层交换机；2汇接层交换机应采用具有链路聚合、VLAN路由、组播控制等功能和高速上连端口的交换机，可采用第2层或第3层交换机；3核心层交换机应采用高速、高带宽、支持不同网络协议和容错结构的机箱式交换机，并应具有较大的背板带宽。【注释】1名词术语解释1）第2层交换机：基于硬件的桥接，用于工作组连通和网络分段的交换机。2）第3层交换机：根据第3层（网络层）信息，通过硬件执行数据包路由交换的交换机。用于高性能地处理局域网络的流量，可放置在网络的任何地方，经济有效地代替传统的路由器。3）第4层交换机：不仅基于MAC地址或源/目的地址，同时也基于这些第4层参数来作出转发决定的交换机。4）多层交换机：综合第2层交换和第3层路由功能的交换机。5）交换机链路：指连接交换机之间的物理介质路径。6）紧缩核心：当汇接层和核心层功能由同一台设备执行时称为紧缩核心。2交换机的选择选择交换机时应综合考虑以下因素：1）交换机结构交换机结构是交换机性能好坏的关键因素,一般有两种结构形式：矩阵交换和总线交换。矩阵交换结构速度快，允许多点同时连接，而且为全双工，一个端口在接收数据的同时也可发送数据。总线型或共享内存式交换机，当端口数较少时，结果也许令人满意，但随着端口的增加，其总线或共享式内存的内部管理和调度将越来越复杂；2）安全性核心层/汇接层交换机一般要求具有容错特性，如电源容错、带电插拨、模块容错、风扇备份、链路容错等；3）背板带宽背板带宽是指交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。可按下列算式计算交换机合适的背板带宽：端口总数×最大端口带宽×2，这样背板带宽的交换机可实现全双工无阻塞交换，具有发挥最大数据交换的能力；4）吞吐率背板带宽并不能完全反映出交换机的实际工作能力，还要看交换机的吞吐率这一重要指标。在选择交换机时一般要把背板带宽和吞率综合考虑；5）端口速率除了背板带宽、吞吐率外，端口速率也是衡量交换机的一项重要指标。现在的端口速率有：10M、10/100M、1000M、10/100/1000M。相应的接口物理特性也不尽相同；选择交换机时要注意，高速端口的端口代价值也越高。如近期无明确需求，用户接入交换机宜选择10/100M端口，而对于核心层/汇接层交换机则可选择1000MGBIC端口或10/100/1000MRJ45端口；6）端口密度端口密度是对端口数量的一种衡量标准，它是表示一台交换机最多能包含的端口数量。端口密度越大的交换机，其单端口成本可能越小；7）交换方式交换方式有三种：Cut-through、Storeandforward、Fragmentfree。其实这三种交换方式主要是表现交换机的抗干扰能力，是在速度和抗干扰性之间取得平衡；如果工作环境电磁干扰较强，宜选择Storeandforward的交换机。如果工作环境有发射台等强辐射源，则可以选择Cut-through的交换机；如果无法准确确认工作环境，而对速度要求不十分苛刻，就可以选择Fragmentfree。一些高级交换机可以通过设置来互相转换这三种工作模式；8）堆叠能力交换机之间的连接有两种方式，即级连和堆叠。不同类型的交换机只能级连，而只有同类的交换机才能堆叠到一起。堆叠方式有两种，一种是星型堆叠，另一种是菊花型堆叠。可根据具体需要而定；9）VLAN支持VLAN已成为现在中高档交换机的标准配置，但不同厂商的设备对VLAN的支持能力不同，支持VLAN的数量也不同；选择支持VLAN的交换机时，不只是要看它最多能支持多少个VLAN，支持那几种VLAN，还必须注意该交换机支持TRUNK的协议是ISL或802.1Q；10）MAC地址数量每台交换机都有一个MAC地址表。所谓MAC地址数量，是指交换机的MAC地址表中可以最多存储的MAC地址数量。存储的MAC地址数量越多，那么数据转发的速度和效率就越高，抗MAC地址溢出能力也越强；11）网管能力对于大中型网络，网管支持能力至关重要。然而，现在的各个交换机生产厂商提供的网管方式都各不相同，而且互不兼容，所以选择交换机时要特别注意你现在正在使用什么网管软件，或将来即将采用什么网管软件；12）QoS支持能力现在的网络已经不像以前只是传输数据，而是将语音、视频的应用都加入其中，这也造成一个隐患，交换机从购买日起，其交换能力就是确定了的，而视频等应用对带宽的需求是无限的，更何况网络中还有必须保护的业务需要传输，这时QoS就显得尤为重要了。它可以给重要业务保留带宽，并在能力允许的范围内合理配备各种应用需要的带宽；13）交换机的性价比通常用每端口价格来测评交换机的性能价格比。19.4.7各层交换机链路设计应符合下列规定：1汇接层与接入层交换机之间可采用单链路或冗余链路连接；2在容错网络结构中，汇接层交换机之间、汇接层与接入层交换机之间应采用冗余链路连接，并应生成树协议阻断冗余链路，防止环路的产生；3在紧缩核心网络中，每台接入层交换机与汇接层交换机之间，宜采用冗余链路连接；4在多核心网络中，每台汇接层交换机与每台核心层交换机之间，宜采用冗余链路连接。核心层交换机之间不得链接，避免桥接环路。【注释】各层交换机链路连接，参见图19-19~图19-23。接入层汇接层接入层汇接层核心层单链路图19-19汇接层与接入层交换机之间单链路连接接入层汇接层接入层汇接层核心层主链路冗余链路图19-20汇接层与接入层交换机之间冗余链路连接主链路冗余链路主链路冗余链路主链路冗余链路核心层接入层汇接层图19-21容错网络注：汇接层交换机与接入层交换机均应支持生成树协议阻断冗余链路，防止环路的产生。接入层接入层主链路冗余链路交换区块1交换区块2主链路主链路主链路冗余链路冗余链路冗余链路核心层/汇接层合一接入层主链路冗余链路接入层主链路冗余链路交换区块1交换区块2冗余链路核心层主链路主链路主链路冗余链路汇接层冗余链路主链路冗余链路图19-23双核心网络示意图19.5操作系统软件与网络安全19.5.1网络中所有客户端，宜采用能支持相同网络通讯协议的计算机操作系统。【注释】网络操作系统是一种软件，它提供了计算机的应用程序和服务所运行的基础。网络中所有客户机采用相同的网络操作系统是为了减少软件的安装和维护工作量，便于操作和简化服务器操作系统软件的接口组件。三种主流操作系统的比较：1Windows是从事办公和商务工作的LAN最普遍使用的操作系统软件。容易安装和使用且价格较低；2NovellNetWare是个严格的客户机/服务器平台，在三种主流操作系统中具备最强的文件服务和打印服务功能以及目录服务（NDS）功能；3Unix/Linux是功能最强大、最灵活和最稳定的多用户、多任务操作系统，其多数软件是免费的，但是使用不如Windows方便。19.5.2服务器操作系统应支持网络中所有的客户端的网络协议，特别是TCP/IP协议。网络操作系统应符合下列规定：1用于办公和商务工作的计算机局域网中，宜采用微软视窗（Windows）操作系统；2在需要高稳定性、需要支持关键任务应用程序运行的网络服务器端，宜采用Unix或Linux类服务器操作系统或专用服务器操作系统。【注释】WindowsNT/2000/2003、Linux、NetWare网络操作系统将网络操作系统构建于主流PC芯片上，在系统兼容性和丰富应用软件支持上占有优势，几种系统间具有互连协议，彼此间的互操作性较好。Unix在性能、可靠性和稳定性方面具有优势，但只兼容某些型号的专用芯片及服务器，使其注定只能用于用作大型数据库服务器和应用服务器。WindowsNT／2000／2003具有安装简便，界面直观、易学易操作的优点，是一个与硬件无关的服务器网络操作系统。支持多CPU及C1uster（2个）；网络互连功能较方便，支持多种网络传输协议，可构成多平台异种操作系统互连广域网络；但从网络规模、稳定可靠及数据库处理上与Unix尚有一定差距；在安全性方面，提供通常的安全特征，加密方式ACL很严密，但加密步骤过于简单，容易被破解，尚未达到C2级。Unix是传统大、中、小型计算机使用的操作系统，可靠性高、稳定、功能强大齐全，分时多用户、多进程、多任务。网络通信功能强，安全级别高，遵从所有工业标准和开放系统标准。Linux是类似Unix的免费网络系统，提供GUI工作界面，内嵌Internet各种服务，支持多媒体。在安全方面表现很优异，然而其免费产品的身份还无法完全获得人们的信任。19.5.43网络管理应具有下列基本功能：1网络设备的系统固件管理：对网络设备的系统软件进行管理，如升级、卸载等；2文件管理：对数据、文件和程序的存储进行有序管理和备份；3配置管理：对网络设备进行有关的参数配置、设置网络策略等；动态监控、动态显示网络中各节点及每一设备端口的工作状态；4故障管理：对网络设备和线路发生的故障，网络管理系统能预设报警功能及措施；5安全控制：通过身份、密码、权限等验证，实现基本的安全性控制；6性能管理：通过分析工具统计和分析网络流量、数据包类型及错误包比例等信息，进而提供网络的运行状态，发展状态、预期调整措施的分析结果；7网络优化：分析和优化网络性能。【注释】网络管理的主要目的是：优化网络资源、提高网络可用性、改进网络性能、减少和排除网络故障、增强网络安全性等。网络资源是指网络中的硬件设备、网络中运行的软件（包括服务与电脑的应用软件）以及所提供的服务等。本条列举了网络管理的主要工作内容。19.5.54网络安全应具有机密性、完整性、可用性、可控性及网络审计等基本要求。【注释】网络安全是指网络系统的硬件、软件及其系统中的数据不受偶然的或恶意的原因而遭到破坏、更改、泄露，系统能够连续可靠地正常运行。网络安全的内容既有技术方面的问题，也有管理方面的问题，两方面相互补充，缺一不可。技术方面主要侧重于防范外部非法用户的攻击，管理方面则侧重于内部人为因素的管理。1安全体系结构网络安全体系结构主要考虑安全对象和安全机制，安全对象主要有网络安全、系统安全、数据库安全、信息安全、设备安全、信息介质安全和计算机病毒防治安全等，其安全体系结构如图19-24所示；DNL外部服DNL外部服务区服务器外部管理局内部网防火墙服务器用户用户用户图19-24安全系统结构2安全体系层次模型按照网络OSI的七层模型，网络安全贯穿于整个七层。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的四个层次。因此，网络的安全体系结构也可以用层次模型来表示，如图19-25所示。企业安全策略企业安全策略企业安全策略企业安全策略计算机网络安全病毒防治信息安全操作系统信息服务企业安全策略图19-25安全体系层次模型1）物理层物理层信息安全，主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击（干扰等）；2）链路层链路层的网络安全需要保证通过网络链路传送的数据不被窃听。主要采用划分VLAN（局域网）、加密通讯（远程网）等手段；3）网络层网络层的安全需要保证网络只给授权的客户使用授权的服务，保证网络路由正确，避免被拦截或监听；4）操作系统操作系统安全要求保证客户资料、操作系统访问控制的安全，同时能够对该操作系统上的应用进行审计；5）应用平台应用平台指建立在网络系统之上的应用软件服务，如Web服务器等。由于应用平台的系统非常复杂，通常采用平台的安全性；6）应用系统应用系统完成网络系统的最终日的是为用户服务，应用系统使用应用平台提供的安全服务来保证认证、审计等手段。19.5.65网络安全性设计应具有非授权访问，、信息泄漏或丢失，、破坏数据完整性，、拒绝服务攻击，和传播病毒等防范措施。【注释】计算机网络面临的安全威胁大体可分为两种：一是对网络本身的威胁，包括对网络设备和网络软件系统平台的威胁；二是对网络中信息的威胁，除了包括对网络中数据的威胁外，还包括对处理这些数据的信息系统及应用软件的威胁。威胁网络安全的主要因素很多，可能是有意或无意的；可能是人为或非人为的；可能来自Internet上的黑客攻击或来自局域网中个别用户的故意破坏。19.5.76网络的安全性可采取以下列防范措施：1采取传导防护、辐射防护、电磁兼容环境防护等物理安全策略；2采用容错计算机、安全操作系统、安全数据库、病毒防范等系统安全措施；3设置包过滤防火墙、代理防火墙、双宿主机防火墙等类型的防火墙；4采取入网访问控制、网络权限控制、属性安全控制、网络服务器安全控制、网络监测和锁定控制、网络端口和节点控制等网络访问控制；5数据加密；6采取报文保密、报文完整性，及互相证明等安全协议；7采取消息确认、身份确认、数字签名、数字凭证等信息确认措施。【注释】防火墙和访问控制策略是网络基本的、必要的安全性防范措施。19.5.7网络的安全性策略应根据网络的安全性需求，并按其安全性级别采取相应的防范措施。【注释】网络安全性的实现可能增加使用和运行网络的成本。严格的安全性策略会影响网络效率。由于安全性设计是要付出代价的，因此必须对安全性控制的数据做出风险评估。用户最基本的安全性要求是保护资源以防止被非法使用、盗用、修改或被破坏。资源包括主机、服务器、客户系统、互联网络设备、系统和应用数据等。19.6广域网连接19.6.1广域网连接是指通过公共通信网络，将多个局域网或局域网与因特网之间的相互连接。19.6.2局域网在以下列情况时，应设置广域网连接：1当内部用户有因特网访问需求；2当用户外出需访问局域网；3在分布较广的区域中拥有多个需网络连接的局域网；4当用户需与物理距离遥远的另一个局域网共享信息。【注释】广域网连接参见图19-26。局域网五局域网五局域网六局域网七局域网八因特网单位五单位六单位七单位八局域网互连公共通信网络外出用户局域网一局域网二局域网三局域网四用户外出访问局域网内部用户访问因特网单位一单位一单位一单位四因特网用户(PSTN/ISDN/FR/xDSL/DDN/ETERNET)图19-26广域网连接示意图19.6.3局域网的广域网连接应根据带宽、可靠性和使用价格等因素综合确定，可采用以下列方式：1公用电话交换网；2综合业务数字网（窄带N-ISDN和宽带B-ISDN）；3帧中继（FR）；4各类铜缆接入设备（xDSL）；5数字数据网（DDN）或专线；6以太网。19.7网络应用19.7.1网络应用应包括单位内部办公自动化系统，、单位内部业务，、对外业务，、因特网接入，、网络增值服务等几种类型。计算机网络系统的设计，宜符合网络应用的需求。【注释】计算机网络系统的设计首先应适应其网络应用的需求，不同使用功能的建筑其网络系统的应用特征各不相同，大致可分为一般办公建筑、重要办公建筑、商业性办公建筑、公共建筑、饭店建筑、校园等几大类，其网络应用的特征如下：1一般办公建筑指处理一般办公事务，对数据安全无特殊要求的企事业单位办公楼和区级以下政府行政办公楼。其特征是用于处理一般办公事务，广域网连接主要是Internet的Web和E-mail，局域网内外数据流比例约为8：2（传统2/8模型）；2重要办公建筑指需处理大量办公事务或业务流程，对数据安全性与网络运行稳定性有较高要求的企事业单位行政办公楼、区级及以上政府行政办公楼，如银行、档案、电信、电力、税务等系统或大型企业总部行政办公楼。其网络特征是大多要求分设内、外两个物理隔离的局域网，内网主要用于办公事务的处理与决策或企业机密业务流程处理，外网用于政策、法规的发布与查询或企业总部与外驻分部的广域网连接，如点对点/点对多点远程视频会议、虚拟专用网等应用；3商业性办公建筑指出租或出售给多用户共同使用的办公建筑。其特征是局域网内部各工作组彼此之间无多大的数据流动，只提供网络高速主干通道，为商业团体局域网提供高性能的Internet的Web/E-mail服务和各种广域网连接应用，如点对点/点对多点远程视频会议、虚拟专用网等应用。局域网内外数据流比例约为2：8（新2/8模型）；4公共建筑指体育场（馆）、展览馆、大型商场、航站楼、客运站等。其网络应用的特征是服务对象有内部固定用户和外部流动用户两大类。内部固定用户的网络使用特征与重要办公建筑类似；外部用户的网络使用特征与商业性办公建筑类似，并且还具有用户的流动性和数据流的时段性特征；5酒店建筑指三星级及以上的酒店、宾馆、招待所等建筑。其网络应用的特征是服务对象有内部固定用户和外部流动用户两大类。内部固定用户的网络使用特征与一般办公建筑类似，主要用于酒店的计算机经营管理；外部用户的网络使用特征与商业性办公建筑类似，主要是用于Internet的Web和E-mail服务和远程视频会议、虚拟专用网等应用，并且还具有数据流较小的特征和时段性（夜晚高峰）；6校园网络指覆盖大、中专院校、企业园区等较大区域的计算机局域网。其网络应用的特征是子网多而分散，用户众多，主干和广域网数据流量大，因此采用网络分段（第3层路由功能的交换机）和子网数据驻留（分布设置服务器）的方式控制流经主干上的数据流，提高主干的传输速率。19.7.2当网络有多种应用需求时，宜构建适应各种应用需求的共用网络，设置相应的服务器，并应采取安全性措施保护内部应用网络的安全。【注释】在安全性或运行稳定性要求一般的网络中，构建适应多种应用需求的共用网络具有使用灵活、方便，便于网络管理，减少网络投资等优点。19.7.3当内部网络数据有高度安全性要求时，应采取物理隔离措施隔离内部、外部网络，并应符合安全部门的有关规定。【注释】通常指政府行政办公楼或重要企业行政办公楼，如银行、档案、电信、电力、税务等，采取物理隔离措施隔离内部、外部网络是对内部网络安全性与运行稳定性的有效保障。19.7.4在子网多而分散，主干和广域网数据流量大的计算机网络中，宜采用网络分段和子网数据驻留的方式，控制流经主干上的数据流，提高主干的传输速率。【注释】可采用路由器或第三层交换机实现。19.7.5服务器应根据其执行的任务而合理配置。在执行办公自动化系统任务的网络中宜设置文件和打印服务器、邮件服务器、Web服务器、代理服务器及目录服务器。19.7.6当公共建筑物中或建筑物的公共区域符合本规范第19.3.4条规定时，宜采用无线局域网。19.7.7计算机网络系统设计，其网络结构、网络连接部件的配置及传输介质的选择应符合本规范第19.3节和19.4节的要求。【网络应用示例及常用名词、术语】1商务办公、行政办公、商业类公共建筑、经营性公共建筑及学校建筑计算机网络系统应用示例，参见图19-27~图19-32。接入悬交换机接入悬交换机办公部门客户机客户机接入悬交换机办公部门客户机客户机接入悬交换机办公部门客户机客户机物业管理服务器组路由器核心层交换机防火墙信息网络中心因特网图19-27商务办公环境计算机网络系统应用示例（两层交换）客户机客户机客户机接入层交换机接入层交换机接入层交换机接入层交换机接入层交换机客户机客户机接入层交换机信息网络中心因特网防火墙核心层交换机路由器汇接层交换机汇接层交换机客户机客户机客户机接入层交换机接入层交换机办公部门办公部门办公部门接入层交换机客户机客户机客户机客户机客户机客户机客户机客户机客户机办公部门办公部门办公部门客户机办公部门办公部门办公部门汇接层交换机物业管理服务器组图19-28商务办公环境计算机网络系统应用示例（三层交换）客户机客户机客户机接入层交换机接入层交换机接入层交换机接入层交换机接入层交换机客户机客户机接入层交换机信息网络中心因特网防火墙核心层交换机路由器汇接层交换机汇接层交换机客户机客户机客户机接入层交换机接入层交换机办公部门办公部门办公部门接入层交换机客户机客户机客户机客户机客户机客户机客户机客户机客户机办公部门办公部门办公部门客户机办公部门办公部门办公部门汇接层交换机物业管理服务器组图19-28商务办公环境计算机网络系统应用示例（三层交换）图19-29图19-29行政办公环境计算机网络系统应用示例客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)接入层交换机接入层交换机接入层交换机接入层交换机办公部门办公部门广域网路由器汇接层交换机（保密网）汇接层交换机客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)接入层交换机接入层交换机接入层交换机接入层交换机办公部门办公部门汇接层交换机客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)客户机(外网)客户机(保密网)接入层交换机接入层交换机接入层交换机接入层交换机办公部门办公部门汇接层交换机汇接层交换机（保密网）汇接层交换机（保密网）客户机(外网)客户机(保密网)广域网因特网路由器路由器防火墙DMZWEB服务器邮件服务器DNS服务器数据库服务器代理服务器Internet接入服务器组信息网络中心数据库服务器文件打印服务器传真服务器目录服务器应用服务器内部办公服务器组外网核心层交换机保密网核心网交换机因特网接入层交换机无线连接因特网住处网络中心Internet接入/网站服务器组办公自动化生产经营服务器组核心层交换机路由器防火墙WEB服务