计算机网络课件第5章

1、第5章 网络规划与设计基础,学习概述,组建计算机网络是一项涉及面广、技术复杂、专业性很强的系统集成工程，包括选择网络拓扑结构、硬件设备、软件系统、结构化综合布线、成本分析、网络实施和网络管理及维护等内容。 网络系统规划设计是根据用户的需求及具体情况，结合现实网络技术的发展水平及产品化程度，经过充分的需求分析和市场调研，从而确定网络建设方案，依据方案有步骤、有计划地实施网络建设的活动。,知识要点,网络规划与设计的基本原则 网络规划与设计的具体环节 网络工程结构化综合布线 网络规划的典型应用 结构化布线系统的测试 网络设备的测试 网络系统的测试,网络规划,网络规划任务:网络规划的主要任务是对一些指

2、标给出尽可能准确的分析和评估，包括需求分析、网络规模、网络结构、网络管理、网络扩展、网络安全及外部网络的互联等方面。,网络规划,1、网络需求分析 网络需求指明必须实现的网络规格参数。它描述了网络系统的行为、特征或属性，是在设计实现网络系统过程中对系统的约束。需求分析从当前业务中找出最需要重视的方面，从已经运行的网络中找出最需要改进的地方，满足客户提出的各种合理要求，依据客户要求修改已经成形的方案。,网络需求分析,应用背景分析 业务需求分析 管理需求分析 安全性需求分析 通信量需求分析 网络环境需求分析,网络规划,2、系统可行性分析 可行性分析的目的是用最小的代价在尽可能短的时间内确定现有系统存

3、在的问题是否能够解决。 可行性分析是结合用户单位的具体情况，论证建网目标的科学性和正确性，做出系统开发和建设的可行性报告。一般来说，应从经济可行性、技术可行性、运行可行性和开发方案可行性等方面分析可行性。,系统可行性分析,经济可行性 技术可行性 运行可行性 法律可行性 开发方案可行性,可行性分析的目录,网络规划,3、网络扩展性分析 网络的扩展性有两层含义，其一是指新的部门能够简单地接入现有网络；其二是指新的应用能够无缝地在现有网络上运行。扩展性分析要明确以下指标：,企业需求的新增长点有哪些？ 已有的网络设备和计算机资源有哪些？ 哪些设备需要淘汰，哪些设备还可以保留？ 网络节点和布线的预留比率是

4、多少？ 哪些设备便于网络扩展？ 主机设备的升级性能？ 操作系统平台的升级性能？,网络系统方案设计,网络系统方案设计 网络系统方案设计就是在可行性研究和需求分析的基础上，根据总体设想制定出网络实现的技术方案。网络系统方案设计包括网络拓扑结构的设计、网络主要设备的选型、系统的结构化布线、网络操作系统的选择、应用软件的集成与开发等。在设计工作完成后，要形成设计报告。该报告作为网络实现管理、维护、升级等的基础或基本框架。,1、网络模式设计,1） 群组模式这是一种在办公室环境中用局域网技术组织计算机网络的模式，该模式的特点是用少量计算机组成一个小型局域网，提供属于办公室专用的网络平台。该模式下也可以通过

5、电话等连接若干个远程站点，接受指定用户的访问。,1、网络模式设计,2）部门模式属于一个部门范围内的局域网组网模式，在部门模式中存在多个相对独立的分属于不同专业群组的局域网，各网络又通过交换机和路由器进行互连，构建成主干网。 3）企业模式大中型企业的网络由多个部门模式的网络通过路由器互连组成。这些部门网络通过公共网络、专网进行互连以达到各个站点共享资源和相互通信的目的。,2、网络体系结构设计,网络体系结构设计主要内容： 确定网络的层次结构； 并确定各层采用的协议；,3、网络拓扑结构设计,层次模型 核心层，提供站点之间的最佳传输。 分布层，提供基于策略的连接。 访问层，提供工作组/用户到网络的访问

6、。,核心层是网络的高速交换主干，对协调通信至关重要。 核心层有以下特征： 提供高可靠性 提供冗余度 提供故障隔离 迅速适应升级 提供较少的滞后和好的可管理性 有有限和一致的直径（diameter）,网络的分布层是网络的访问层和核心层之间的分界点。 分布层起着许多作用，如因安全性原因控制通过核心 层的网络通信等。分布层通常用于描述广播域。如果 想计划实现一个虚拟局域网，分布层可以配置为 VLAN之间的路由。,访问层为用户提供对网络中的本地网段（segment） 的访问。在校园环境里的交换和共享带宽LAN体现访 问层的特点。使用LAN交换的微段（micro segmentation），通过在Eth

7、ernet网段上划分冲突域， 减少在令牌环LAN捕获令牌的站点数， 来为工作组提供高带宽。,层次模型示例,“轮毂轮辐”（hub-and-spoke）结构,层次模型示例,交换式层次设计示例,层次模型示例,路由式层次设计示例,4、冗余网络设计,冗余网络设计的基本思想就是通过重复设置网络链路和互连设备来满足网络的可用性需求。冗余是提高网络可靠性的最重要的方法，可以减少网络上由于单点故障而导致整个网络故障的可能性。冗余的目标是重复设置任何一个必须的组件，使得它的故障不会导致网上用户的关键应用程序的停止运行，而有时仅仅是性能的降低。,4、冗余网络设计,主机到路由器冗余 服务器冗余 路由冗余 介质冗余,5

8、、网络安全设计,网络安全设计就是根据网络安全的概念，对用户网络应用需求的进行评估，用科学的方法，对网络上的各种数据进行风险评估，然后选择适当的网络安全机制和方法。 安全设计主要包括网络层安全、系统安全、客户安全、应用程序安全和数据安全。,网络安全设计的一般步骤如下： 确定网络资源，分析网络资源的安全性威胁，分析安全性需求和折中方案； 开发安全性方案，定义安全策略； 开发实现安全策略，选用适当的技术实现安全策略； 得到用户认可，培训用户，实现技术策略； 测试安全性发现问题并改正； 通过制定周期性的独立审计，阅读审计日志，响应突发事件，阅读最后的文献，不断测试和培训，更新安全计划和策略。,网络安全

9、攻击,计算机网络上的通信面临以下的四种威胁： (1) 截获从网络上窃听他人的通信内容。 (2) 中断有意中断他人在网络上的通信。 (3) 篡改故意篡改网络上传送的报文。 (4) 伪造伪造信息在网络上传送。 截获信息的攻击称为被动攻击，而更改信息和拒绝用户使用资源的攻击称为主动攻击。,对网络的被动攻击和主动攻击,截获,篡改,伪造,中断,被动攻击,主 动 攻 击,目的站,源站,源站,源站,源站,目的站,目的站,目的站,被动攻击和主动攻击,在被动攻击中，攻击者只是观察和分析某一个协议数据单元 PDU 而不干扰信息流。 主动攻击是指攻击者对某个连接中通过的 PDU 进行各种处理。 更改报文流 拒绝报文

10、服务 伪造连接初始化,(1) 防止析出报文内容； (2) 防止通信量分析； (3) 检测更改报文流； (4) 检测拒绝报文服务； (5) 检测伪造初始化连接。,计算机网络通信安全的目标,有可能发生分组丢失,网络安全服务,安全服务包括以下几个方面： 机密性，确保在一个计算机系统中的信息和被传输的信息仅能被授权用户得到。 鉴别，确保通信的接收方能够验证所收到的报文（发送者和报文内容、发送时间、序列等）的真伪。 完整性，确保仅有授权用户能够修改计算机系统有价值的东西和传输的信息。修改包括对传输的消息的写、改变、改变状态、删除、创建和时延或重放。 认可，要求无论发送方还是接收方都不能抵赖所进行能够的传

11、输。 访问控制，要求对信息源的访问可以由目标系统控制。 便利性，要求计算机系统的有用资源当需要就可以为授权用户使用。,网络风险评估,风险管理包括物质的、技术的、管理控制及过程活动的范畴，根据此范畴可得到合理的安全性解决方案。对计算机系统所受的偶然或故意的攻击，风险管理管理试图达到最有效的安全防护。一个风险管理程序包括四个基本部分：风险评估、安全防护选择、确认和鉴定及应急措施。,网络安全性的折衷方案,“如果一个黑客入侵了企业网，保护该网络的费用是否比恢复的费用要少？”,费用应当包括不动产、名誉、信誉和其他一些潜在财富。,网络安全性的折衷方案,“如果一个黑客入侵了企业网，保护该网络的费用是否比恢复

12、的费用要少？” 要到达安全性目标意味着需要进行折衷。折衷必须在安全性目标和可购买性、易用性和可用性目标之间做出权衡。,网络安全性的折衷方案,“如果一个黑客入侵了企业网，保护该网络的费用是否比恢复的费用要少？” 要到达安全性目标意味着需要进行折衷。折衷必须在安全性目标和可购买性、易用性和可用性目标之间做出权衡。 安全管理还会影响网络性能。,网络安全性的折衷方案,例如采用分组过滤和数据加密等安全功能要消耗主 机、路由器和服务器上的资源。加密可能要占用一 个路由器或服务器15%的CPU资源。当然加密可以 在专用设备上完成，但这仍然会对网络性能产生影 响，因为数据分组在加密解密过程中产生了时延。 另一

13、个例子就是，如果在网络安全方案设计时使用 了多重防火墙机制，就可能造成网络功能的紊乱甚 至完全不能通信。,网络安全性的折衷方案,为了对网络信息进行加密，往往需要减少网络 冗余。如果所有的通信都必须经过一个加密设备， 该设备就会成为单故障点，从而使其很难满足可用 性目标，也很难提供负载平衡。只有所有路由器都 透明地提供加密时，才可以使用负载均衡。在一对 提供加密的路由器之间的设备可以提供负载均衡。,开发安全方案、开发安全策略和开发安全过程,安全设计的第一步是开发安全方案。安全方案是一个总体文档，它指出一个机构怎样做才能满足安全性需求。文档详细说明了时间、人员和其他开发安全规则所需要的资源。作为网

14、络设计者，方案必须基于客户的目标，并对网络资产及受到的威胁进行分析。 安全方案应当参考网络拓扑结构，并包括一张它所提供的网络服务列表。在列表中应当说明谁提供了服务，谁能访问服务，如何提供这些服务和谁管理这些服务等。应当避免过度复杂的安全策略，因为这会导致自相矛盾。复杂的安全策略几乎不可避免地存在安全漏洞。,开发安全方案、开发安全策略和开发安全过程,安全策略是一份所有访问机构的技术和信息资源的人员都必须遵守的规则。安全策略规定了用户、管理人员和技术人员保护技术和信息资源的义务，同时也指明了完成这些义务要通过的机制。与安全方案一样，安全策略也要得到用户、管理人员和技术人员的认可。 安全策略是一个不

15、断变换的文档。因为机构不断变换，安全策论也必须定期更换，以适应业务方向的调整和技术的变化。,开发安全方案、开发安全策略和开发安全过程,安全策略应当包括以下几个方面的内容： 访问策略，定义访问权限和特权。 责任策略，定义用户、操作人员和管理层的责任。 鉴别策略，通过有效的口令策略建立信任，并建立远程位置鉴别原则。 计算机技术购买策略，规定计算机系统和网络的购买、配置和审计要与安全策略相符合。,结构化布线系统,结构化布线 就是指建筑群内的线路布置标准化、简单化、统一化。结构化综合布线则是将建筑群内的若干线路系统电话系统、数据通信系统、报警系统、监控系统结合起来，进行统一布置，并提供标准的信息插座、

16、连接器和线路交叉连接设备等，以灵活地连接各种不同类型的终端设备。目前所说的结构化综合布线系统还是以通信自动化为主的综合布线系统。,结构化布线的特点: 结构化布线系统具有良好的综合性和兼容性。 结构化布线系统适应性强，使用灵活。 结构化布线系统易于扩充，便于维护。 结构化布线系统具有科学性和经济实用性。,结构化布线系统组成,建筑群子系统是将一个建筑物中的电缆延伸 到建筑群的另一些建筑物中的通信设备和装 置上。建筑群子系统也称为户外子系统。 建筑群子系统通常是由室外光缆、电缆、有 效防止高压脉冲电压进入建筑物的电气保护 装置和线缆连接装置构成。铺设形式可以是 架空、埋地或管道。,结构化布线系统组成

17、,设备间子系统是一幢楼中安装大型通信设 备、主机、网络服务器、网络互联设备和 配线连接设备的场所。 设备间子系统由主配线架、跳线和各种公共 设备组成，其主要功能是将各种公共设备与 主配线架连接起来，该子系统还包括雷电保 护装置。,结构化布线系统组成,垂直干线子系统也称为干线子系统，是高层 建筑垂直连接的各种传输媒体的组合。通过 垂直连接系统将各个楼层的水平布线子系统 连接起来，满足各个部分之间的通信要求， 所以说它是结构化布线的骨干部分。,结构化布线系统组成,垂直干线系统的布线，一般是垂直安装。典型的 安装方法是将传输媒体安装在沿着贯穿建筑物各 个楼层的竖井内，并固定在垂直竖井的钢铁支架 上，

18、确保其牢固程度。垂直竖井在每个楼层有连 接水平子系统的分支房间，这个房间通常称为管 理子系统。,结构化布线系统组成,管理子系统由各个楼层的配线架构成，它实 现垂直子系统与水平子系统之间的连接。 管理间子系统由楼层配线架、跳线、集线器、 交换机等设备组成，一般安装在19英寸的标 准机柜内。,结构化布线系统组成,水平子系统又称为分支干线子系统或叫水平 干线子系统。 水平子系统可以由5类双绞线组成（高带宽时 也可以使用光纤）。每个信息插座均需要一 根双绞线，双绞线长度不得超过90米，走线 从管理间出发经过天花板吊顶然后埋入线槽， 最后到达信息插座。,结构化布线系统组成,工作区子系统也叫工作站区子系统

19、或叫用户端子。 工作区布线是由终端设备到信息插座的连线组成， 就是从通信的引出端到工作站之间的连接线。 工作区子系统中的布线，信息插座通常安装在工 作间四周的墙壁下方，也有安装在用户的办公桌 上。不论安装在何处，应以方便、安全、不易损 坏为目标。,校园网网络方案设计,校园网是指利用网络设备、通信介质和适宜的组网技术与协议以及各类系统管理软件和应用软件，将校园内计算机和各种终端设备有机地集成在一起，并用于教学、教科研、学校管理、信息资源共享和远程教学等方面工作的计算机局域网络系统。,校园网的基本功能包括：,校园网的建网原则,校园网的建设要考虑学校的需要与可能，首先要满足教学需要，把服务教学作为校

20、园网建设的出发点。 校园网建设的方案要符合学校长远发展的规划，应将基础设施建设、教学软件建设和人员培训统筹规划。 建设校园网时，根据经费情况，可一步到位，也可统筹规划，分步实施。 校园网建设方案的制定要采用经过实践证明是成熟的、先进的，同时又能满足校园网要求的技术。,校园网的要求,实用性 技术性 安全性 使用性 经济性,小型校园网络,中型校园网络,集中式中型局域网,集中式网络通常包括网络中心和楼层设备间两层结构。网络中心交 换机可采用千兆交换技术构成高速骨干，用以连接服务器以及楼层 接入设备。中心交换机应具有大容量的信息交换存储能力，采用模 块化机箱式设计，可以支持多种速率和介质，端口密度高且扩展灵 活。楼层接入交换机应具有千兆以上连接端口，能够通过堆叠或增 加模块来提高接入端口密度，还应支持SNMP等网管协议，以便通过 网络对所有设备的状况进行监控和管理。,组建分布式中型企业局域网,组建分布式中型企业局域网,分布式办公是指学校具有多幢办公楼，楼宇间网络的连接 距离通常大于100米，需采用光纤进行布线。分布式网络 通常具有网络中心及楼宇接入节点两个层次，如果楼宇 规模较大，还可能出现第三个层次楼层设备间。,大型校园网,网络测试,任何物理网络都可能发生这样那样的差错和故障。网络测试，对于