1 网络规划
网络系统建设是具有基础性作用的长期行为,搞好网络系统建设对提高用户的管理水平、管理效率具有重要意义。网络系统建设是一项涉及面广、系统性强、专业要求高的工作,不是网络产品的简单连接和堆砌,我们应关注网络建设的各个局部环节,注重网络系统整体的整合和规划,立足于系统工程的理念进行规划、设计和施工、维护,在网络系统的整合、建设和集成中寻求用户需求价值的增值。
图1给出了网络系统规划设计的一般步骤。对于规模较大的网络,应用组网技术较为复杂时,应严格遵守图1所示过程,确保系统集成的高效运行。网络规模较小、应用技术单一时,可对此适当取舍。
图1 网络系统规划设计的一般步骤 1.1 网络规划思路 网络建设必需建立在合理、科学的网络规划方案基础之上,要通过需求调研、科学分析,提出理想的网络建设设想。 网络规划是通过调研,根据网络发展趋势,结合网络主流技术,提出一套完整的设计思想和方案。为确保网络系统建设更合理、更经济和运行的高效率,应遵循以下思路: ① 立足实事求是,认真做好需求分析,为网络规划和设计奠定良好的基础; ② 网络规划应充分保证网络的先进性、可靠性、安全性和实用性,在保护原有投资基础上,充分考虑新投资的整体规划设计; ③ 统一建网模式,确定总体框架,保证网络功能完善,在充分考虑各区域子网的规划设计基础上,要协调和广域网的连接网关、应用技术的衔接和网络操作系统的选择论证; ④ 充分保证网络的发展和网络规模的扩大,规划设计应考虑网络的开放性和可扩充性; ⑤ 保证网络系统的安全性和保密性,考虑采用先进实用的安全技术措施; ⑥ 确保具有良好的网络可维护性。 1.2 网络设计原则 为保证这一基础工程的顺利完成,应遵循如下设计原则: (1) 开放性与标准化 建立一个可靠、高效、灵活的计算机网络,不仅要着重考虑数据信息能够迅速、准确、安全、可靠地交换,还要考虑同层次网络互连,以及与相关信息系统网际互联,以达到充分共享资源的目的。这些需求体现在设计上就是网络的开放性与标准化,既要求易于内部连接和外部通讯,又要求网络设备要具有与其他厂家设备互操作的能力。 (2) 先进性和成熟性 计算机网络系统的网络覆盖面比较广泛,建设周期较长,要求设计“立足今日,着眼未来”,在保证技术成熟的前提下,充分利用先进技术,满足现有需求,考虑潜在扩充。计算机及网络技术发展十分迅速,在设计中既应顺应主流技术发展趋势,采用最先进技术设备,确保网络的高性能,同时也要采用成熟的技术,保证网络设备的稳定运行。 (3) 可靠性 大型的网络系统,不仅要求网络能安全运转,网络设备亦须具有容错与冗余功能,在设计中具体体现如下: 在网络设备方面,中心网络设备应具有很好的容错特性,重要部件(如电源、控制器等)需要采用双备份甚至多重备份。 各种网络设备所提供的服务应能做到备份,充分考虑网络的故障容错功能,防止因单点失效造成全网络瘫痪,以充分保障全网的运行可靠。 在网络连接方面,应尽量配置成冗余备份方式,使得整个网络在物理连接方面达到较高的可靠性。 (4) 安全性 安全问题在网络环境下的重要性及紧迫性越来越为人们所关注,它是整个系统的第一道防护。网络安全方面的威胁主要来自两方面:内部的和外部的。内部威胁主要是非授权的访问,外部威胁来自其他互联的网络。系统要具备良好的安全特性,就应该防止这两种可能的威胁,提供安全控制机制,并能够通过相应的安全技术有效地阻止非法入侵。 (5) 可管理性和可维护性 对一般人员来讲,直接对网络进行管理是非常困难的,这就需要借助具有友好易操作界面的网络管理软件来实现。优秀的网络管理软件应能实现对网络的图形配置,实时发现网络故障,优化网络性能,以最大限度提高网络无故障运行时间。 为了使网络易于维护,主要交换机设备应该是插槽式的设备,具有很高的设备可靠性,能够同时支持多种不同的模块和网络技术,所有模块均可以带电插拔,使得维护和扩展工作能够在不停机的情况下进行。 (6) 可扩充性 随着网络技术和应用水平的不断发展提高,网络的可扩充性显得尤为重要。它是一个逐步发展的应用环境,具体体现在两方面:一是计算机网络技术发展迅猛,新技术不断成熟,本系统应能扩展升级;二是用户需求增加,要求网络进一步扩充,网络系统应可平滑扩充。这种扩充不仅能充分保护原有资源,而且具有较高的性价比。 2 网络系统解决方案 下面以信息系统网络系统改造为例,简要阐述网络系统建设实际应用过程。 国家无线电监测中心(以下简称:国家中心)局域网是信息系统的国家级中心节点,它主要完成全国无线电管理计算机网的网络管理,与国家级短波监测站、各省(区、市)无线电管理机构局域网的信息交换,是信息系统的控制中心和数据汇集与交换中心,作用和地位至关重要。 信息系统广域网是通过专线方式三级互连而成的广域网,是一个单中心的星型网。信息系统网络是服务于无线电管理的专用网络,本网络与因特网物理上完全断开。 2.1 现状及需求分析 (1) 局域网现状 国家中心局域网主要完成信息系统网络的管理、与下级局域网的信息交换。中心局域网网络规模相对不大,物理分布集中在距离很近的两个楼宇。楼层间垂直走线子系统采用室内多模光纤互联,骨干为千兆以太网,核心交换机为一台。水平走线子系统可以实现百兆交换到桌面。 在现有国家中心局域网中存在如下问题: 随着计算机数量的增加和业务的不断增长,目前交换机端口数量和性能已经不能满足需要,需对交换机端口进行扩充并根据局域网的安全管理需要,更换性能更强的交换机。 在国家中心局域网中,虽已根据应用和楼层对计算机进行了VLAN的划分,但随应用的不断增加,服务器和客户计算机的管理不能简单通过VLAN的划分而解决。如客户计算机的随意接入、病毒防御等问题,随计算机数量的增加日益凸显。在增加接入管理等应用时,交换机的功能和性能限制就成为一个很薄弱的环节。 核心交换机是局域网的核心设备,其高可用性十分重要。目前核心交换机只有一台,一旦出现故障将直接影响整个局域网的运行,因此需要高可靠的网络结构确保网络可靠运行。 (2) 广域网现状 目前,信息系统网络是由国家、国家级监测站、31个省(区、市)及其派出机构的计算机网络通过专线方式三级互连而成的广域网,呈单中心的星型网。 从端口占用情况看,广域网的端口较多采用64k/128k的帧中继电路,端口速率偏低。广域网路由器目前只有单台,同样存在单点故障,一旦出现故障,将影响全国各节点的数据传输。 (3) 局域网改造需求 局域网的改造需求是升级国家中心所有内部网络的网络交换设备。新购置2台具有千兆处理、接口能力的核心交换机。核心交换机为千兆三层交换,两台核心交换机通过多模光纤与其他楼层交换机以千兆带宽连接,最终形成拥有高稳定性和可靠性的双核心冗余结构。 (4) 广域网改造需求 随着网络应用的不断完善和拓展,国家中心原有的64k/128k帧中继电路已不能满足业务管理的带宽需求,广域网电路将统一升级到 除带宽升级以外,广域网改造的主要内容是增加容灾中心作为网络的核心节点,同时在国家中心新增两台路由器用于负载分担和设备冗余。 2.2 网络改造设计方案 (1) 局域网改造设计方案 对现有局域网,本方案在未改变现有网络整体架构的基础上,对各业务区域进行充分有效的安全划分,既保持网络VLAN划分实施过程中的平稳过渡,也使当前系统网络保持健壮性、连贯性与扩展性。 更换接入和核心交换机,使客户机接入可以通过IEEE 802.1x认证进行管理,实现客户机接入的有效控制和管理。客户机接入的同时,采用接入控制手段对存在安全隐患的客户机加以隔离,直至安全隐患消除后方可进入局域网访问网络资源,以确保整个网络安全。 通过VLAN的方式划分为不同区域,大部分工作都在核心交换机上设置完成,只有个别业务网络根据需要进行重新跳线,这样可以最大限度地保持现有网络结构,保持平稳过渡。 划分不同的VLAN后,明确每一个区域所提供的服务、信息流向、权限范围,可以进行严格的访问控制,访问控制以在核心交换机上通过三层路由模块实施访问控制列表来实现。 (2) 局域网改造新增设备 根据实际需求,本文中网络改造需要增加新设备,在设备选型问题上,应注意以下几点: ① 综合考虑。不同的拓扑结构方案对设备性能的要求不同,投入也不同。应对拓扑结构的特点、设备性能的要求和投入等因素综合考虑。 ② 重视骨干交换机。应尽可能选用多技术的企业骨干交换机,这类交换机具有极高的可靠性,没有单故障点,能很方便地实现第三层交换功能。 ③ 可伸缩性要求高。由于网络系统结构为两层和三层混合结构,只有选择配置伸缩性高、灵活性大的产品才能满足这一要求。 ④ 采用一个公司产品。要求公司产品齐全,网络设备应尽量使用同一厂家,这样互联性好,容易获得统一的技术支持。 (3) 局域网建设 国家中心局域网网络按以下方式建设: ① 核心交换机与楼层交换机实现冗余连接,即楼层交换机分别通过千兆上联链路连接到两台核心交换机上; ② 两台核心交换机之间通过千兆光纤互连实现二层TRUNK互通,从而实现两台交换机的双机双活; ③ 核心交换机配置冗余电源,配置冗余引擎; ④ 两台新增核心路由器CISCO7606与两台核心交换机分别通过千兆路由连接,达到与核心路由器直联的省局网络对服务器群的快速访问; ⑤ 两台新增核心路由器之间通过千兆路由连接,达到与核心路由器直联的省局网络之间直接路由而无须占用核心交换机资源的目的; ⑥ 服务器可与一台核心交换机连接,也可用双网口与两台核心交换机都连接,但需要给服务器安装第三方软件,如NIC EXPRESS软件对双网卡进行捆绑,实现负载分担目的。 基于安全域划分和故障隔离的目的,建议每个楼层交换机都通过冗余链路和两台核心交换机连接。而且在无线电监测中心的综合布线基础中,通过垂直干线子系统增加若干光缆并不困难。 (4) 局域网VLAN划分原则 国家中心局域网应根据网络应用、重要性、业务类别划分VLAN。不同的VLAN有不同的安全等级,也就需要根据VLAN的安全等级以及安全制度等因素帮助客户建立全面的安全策略。 ① 安全等级设立原则:局域网整体来说不属于复杂网络,不适宜划分到三级以上。经过调查研究,我们将主要的网络区域等级分为高、中、低三个安全等级。 ② 清晰性原则:VLAN的规划必须清晰合理,有明确的安全边界,区域之间不能出现交叉、重叠,各VLAN之间的连接要精简,最好做到唯一,以保障VLAN的策略能够合理的实施。 ③ 适应性、灵活性原则:安全措施必须能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。 ④ 多重保护原则:任何安全保护措施都不是绝对安全的,都可能被攻破。但建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其他层保护仍可保护信息的安全。 ⑤ 互联互通原则:安全地实现不阻断网络原有的正常通讯和联结,除去需要物理隔离的网段以外,其他网段要保证互联互通。 (5) 局域网VLAN规划方案 ① 对于国家中心局域网VLAN的划分 首先按照安全等级设立原则,初步定出VLAN划分等级设立级别,然后根据安全等级设立原则将国家无线电监测中心所属网络设备及服务器划分到各个级别;通过VLAN和物理网段等方式,以网络设备的配置、网络及安全设备的访问控制等手段将划分出来的各个VLAN隔离,实现各自安全级别的策略;制定针对各个VLAN的安全策略。 ② VLAN及安全等级划分 安全等级的确定,依照安全等级设立和划分原则执行。 高安全级别部分包括:网管VLAN、监测VLAN、财务VLAN、服务器VLAN(信息系统服务器)、隔离VLAN(存在漏洞的客户机所在域)。 中安全级别的部分包括:国家级监测站网段;省、区、市节点网段;视频VLAN。 这些VLAN中的关键设备都在国家中心局域网外部,可将这些VLAN分级为中安全级别。视频VLAN主要用于培训,没有太多关键数据,因此也将其归于中安全级别。 低安全级别的部分包括:其他各楼层的工作站和外地的局域网络。由于没有特殊的安全需要,且安全要求较低,所以归为低安全级别。 VLAN之间安全策略的制定要按照不同VLAN的安全级别进行统一规划,针对不同安全级别的VLAN进行配置。 (6) 广域网网络改造设计方案 广域网连接采用物理线路双链路接入,可实现光纤自愈保护技术,设备采用电路板1+1和1∶N保护方式,实现业务完全无中断自动切换,排除了单点故障的发生。 (7) 广域网路由设计 在网络规划和设计中,采用的是TCP/IP体系结构的网络技术,而基于TCP/IP体系结构的网络互连一般是通过路由器来实现的。路由器担负着为数据报文选择网络路径的重要任务,其路由信息的交换和路由表的更新是由路由协议决定的,因此路由协议的选择对于保证网络的正常运行和拓扑设计目标的实现有着重要意义。我们在这里主要考虑网络内部路由协议的设计。 目前可选择的内部路由协议包括RIP、IGRP、OSPF等动态路由协议,此外还可以采用静态路由。 静态路由方式适用于网络拓扑结构确定且结构简单、IP地址规划完善的场合。静态路由配置简单,调试方便,无需在网络中传送路由广播信息。路由器不需要经常计算路由表,路由器的CPU利用效率高。因此,静态路由特别适合网络拓扑结构简单的树型结构网络。 动态路由需要在网络上的路由器之间相互交换路由信息,增加一个节点时,通过路由信息广播,使网络上的其他路由器自动知道网络拓扑的变化,并自动更新其路由表。动态路由可保证在网络拓扑发生变化的情况下,使用动态路由协议的路由器不对配置进行任何修改即可完成对网络拓扑变动的适应,非常便于网络的扩展。 在本项目中我们采用静态路由作为广域互联方式。 2.3 机房环境 网络系统改造过程中,机房系统同样为改造后的网络系统能够稳定、安全运转提供了重要保障,网络系统改造应机房系统改造先行,本文因篇幅所限不再详述。 3 结论 在全国无线电管理信息系统网络系统改造过程中,我们对前期的现状及需求分析投入了大量的时间和精力。在调研的基础上进行方案设计时,我们对单点故障、安全控制等薄弱环节作了重点设计。同时,为保障网络改造工程顺利实施,我们事先进行了机房系统改造工程。结果表明,建成的网络系统在运行过程中安全、可靠、稳定,为信息系统提供了高效的网络平台。 图1 网络系统规划设计的一般步骤 . 
分页: [1] [2]
TAG: 网络系统 规划方案