信息网络平台与其他应用服务系统（二）

广域网技术
1． 广域网概述
    广域网（WAN，wide area network），有时也称远程网（long haul network），是覆盖地理范围相对较广的数据通信网络。常利用公共网络系统（如电话公司）提供的便利条件进行传输，可以分布在一个城市、一个国家，甚至跨过许多国家分布在全球。
    广域网可以不断扩展，以满足跨越广阔地域的多个地点、每个地点都有多个计算机之间联网的需要。不仅如此，广域网还有足够的能力，使得联网的多个计算机能同时通信。因此，路由选择技术和异构网的互联技术是广域网技术的重要组成部分。 
    2． 广域网的参考模型
    广域网一般由主机和通信子网组成，子网用于在主机之间传递信息。将网络的通信（子网）和应用（主机）分离，可以简化整个网络。图1所示为主机和通信子网的关系。
    在许多广域网中，一般由公共网络充当通信子网，它包括两个组成部分：传输线和交换节点。传输线用来在计算机之间传送比特流；交换节点有时也叫做分组交换节点、中间系统或数据交换设备，用于连接两个或多个传输线。数据沿输入线到达交换节点后，交换节点必须为其选择输出线并将其输出。
    通信子网工作在OSI参考模型的下三层，即物理层、数据链路层和网络层。图2所示为广域网子网技术和OSI参考模型之间的关系。
    目前常用的公共网络系统有电话交换网（PSTN）、分组交换数据网（又称X.25网）、帧中继网（Frame Relay）、数字数据网（DDN）等。广域网种类很多，性能差异很大，租用不同的网络同所需支付的费用差异也很大。

网络设计及规划
    1． 技术目标分析
    典型的技术目标包括可扩充性、可靠性、灵活性、可管理性和流量特性。
    （1）可扩充性
    可扩充性是指网络设计必须支持增长幅度，对于许多使用者来说，可扩充性是最基本的目标。很多使用者经常以很快的速度增添用户、新站点以及与外部网络的连接，所以设计时必须了解信息网络平台的扩展计划，适应建筑及居住区用户网络使用及范围的增长。
    （2）可靠性
    可靠性通常是网络的一个非常重要的目标，包括精确度、错误率、稳定性、无故障时间等。可靠性通常与冗余联系在一起，但冗余并不是网络目标，是为避免停机而为网络增加双重链路。
    （3）灵活性
    指建好的网络尽量适应新技术和新变化。网络的灵活性会影响它的使用性能，灵活性好的网络不一定提供最好的使用性能。
    （4）可管理性
    可管理性的重点是使网络管理员的工作更容易。
    （5）流量特征
    描述流量特征包括辨识网络通信的源和宿，分析源和宿之间数据传输的方向性以及对称性。在某些应用中，流量是双向且对称的。在其他应用中，流量是双向非对称的，客户站点发送小的查询，而服务器则发送大量的数据。在广播式应用中，流量是单向非对称的。
    终端/主机通信流量通常是不对称的。终端发送少量字符，主机则发送许多字符。
客户端/服务器的通信流量是使用最广泛的流量类型。流量通常是双向非对称的。客户的请求通常不超过64字节，但若向服务器写数据，则字节数目会很大。服务器的响应范围可以达到1500字节或更多。
    在对等通信中，流量通常是双向对称的。
    服务器/服务器通信包括服务器之间的传输和服务器与管理程序之间的传输。服务器通过与其他服务器通信完成目录服务、高速缓存常用数据、镜像负载平衡和冗余数据、备份数据，以及广播可用的服务。服务器与管理程序之间的通讯，处于同样的目的，还为了加强安全策略和更新网络管理数据。服务器/服务器网络通信的流量通常是双向的，流量的对称取决于应用。大多数的应用其流量是对称的。

    2． 设计网络结构
    网络结构的设计主要包括核心层、汇聚层和接入层。
    核心层是互联网络的高速主干，因此必须用冗余组件来设计核心层。配置核心层的路由器时，应该使用可以优化分组吞吐量的路由特性，应避免使用分组过滤或其他降低分组处理效率的功能。
    汇聚层是核心层和接入层的分界点，扮演许多角色，包括由于安全性原因控制对资源的访问，以及由于性能原因控制通过核心层的网络通信等。如果计划实现一个VLAN，那么汇聚层可以配置为VLAN之间的路由。
    接入层为用户提供了在局域网段访问互联网的能力。
    3． 设计寻址和命名模型
    应该规划、管理和记录接入层地址。必须设计好并管理好这些编号。寻址的结构化模型是指地址是有意义的、分层的和规划好的。Apptalk的地址包括建筑物和楼层的号码，所以是结构化的。包含前缀和主机部分的IP地址也是结构化的。
在满足用户易用性目标方面，名字的作用是不可少的。简短而有意义的名字可以提高用户的生产率，简化网络管理。
    4． 桥接交换机和路由选择协议
    如果网络设计包括以太网网桥或交换机，最好使用带有生成树协议的透明网桥。可能还需要支持VLAN的连接交换机的协议，该协议适应IEEE802.10协议、 IEEE802.1Q协议或CISCO的ISL协议。
    路由选择协议使得路由器能够动态地广播和获得路径，确定有哪些路径可供选择，而哪一条又是将数据传输到目的地址的最佳路径。路由选择协议对第三层的网络状态进行更新并使路由表驻留到第三层交换机/路由器中。而诸如 IP、IPX 和 AppleTalk 这类常用的第三层协议，则被称为路由转发协议，它们能够在网络中传送数据。
    共有两种路由选择协议：距离向量路由选择协议和链路状态路由选择协议。从本质上来说，距离向量路由选择协议在路径的远近方面决定它是否最佳，而链路状态路由选择协议能够用更为复杂的方法来考虑各种连接变量，如带宽、延时、可靠性和负载等。
    距离向量路由选择协议就路径的远近判断其是否最佳。距离可以是中转站点（路由或是主机）的数目或是一套经过计算能够代替距离的量度。如今仍在使用中的 IP 距离向量路由选择协议有：路由信息协议（RIV v1 和 v2）和内部网关路由协议 IGRP。
    链路状态路由选择是一种概念，用于在分组交换网络中进行计算机通信时的路径查找。链路状态路由选择所进行的工作就是让网络中的路由器告知该网络中所有其它的路由器哪个与它相邻最近。所有的路由器都不会将整张路由表全部发布出去，它们只发其中与相邻路由器相关的部分。一些链路状态路由选择协议为：OSPF、IS-IS 和 EIGRP。
    链路状态路由选择协议比距离向量路由选择协议拥有更高的灵活性和完善性。它们综合了诸如带宽、延时、可靠性和负载等众多的网络性能方面的因素，从而在总体上降低了网络中散播的信息量，并能在路径选择方面更好地作出决定，而不像距离向量路由选择协议那样以距离或中转站点的数目为唯一的依据。

网络主干设备的选型指标分析
    网络主干设备的系统结构直接决定了设备的性能和功能水平。这犹如先天很好的一个婴儿和一个先天不足的婴儿，即便后天成长条件完全相同，他们的能力依然有相当大的差别。因此，深入了解设备的系统结构设计，客观认知设备的性能和功能，这对正确选择设备极有帮助，下面将从七个方面进行讨论。 [Page]
    1． 交换结构
    随着网络交换技术不断的发展，交换结构在网络设备的体系结构中占据着极为重要的地位。为了便于理解，这里仅简述三种典型的交换结构的特点：
    ◆共享总线
    由于近年来网络设备的总线技术发展缓慢，所以导致了共享总线带宽低，访问效率不高；而且，它不能用来同时进行多点访问。另外，受CPU频率和总线位数的限制，其性能扩展困难。它适用于大部分流量在模块本地进行交换的网络模式。
    ◆共享内存
    其访问效率高，适合同时进行多点访问。共享内存通常为DRAM和SRAM两种，DRAM速度慢，造价低，SRAM速度快，造价高。共享内存方式对内存芯片的性能要求很高，至少为整机所有端口带宽之和的两倍（比如设备支持32个千兆以太网端口，则要求共享内存的性能要达到64Gbps）。由此可见，既便不考虑价格因素，内存芯片技术本身在某种程度上也限制了共享内存方式所能达到的性能水平。
    ◆交换矩阵（Cross bar）
    由于ASIC技术发展迅速，目前ASIC芯片间的转发性能通常可达到1Gbps，甚至更高的性能，于是给交换矩阵提供了极好的物质基础。所有接口模块（包括控制模块）都连接到一个矩阵式背板上，通过ASIC芯片到ASIC芯片的直接转发，可同时进行多个模块之间的通信；每个模块的缓存只处理本模块上的输入/输出队列，因此对内存芯片性能的要求大大低于共享内存方式。总之，交换矩阵的特点是访问效率高，适合同时进行多点访问，容易提供非常高的带宽，并且性能扩展方便，不易受CPU、总线以及内存技术的限制。目前大部分的专业网络厂商在其第三层核心交换设备中都越来越多地采用了这种技术。

    2． 阻塞与非阻塞配置
    阻塞与非阻塞配置是两种截然不同的设计思想，它们各有优劣。在选型时，一定要根据实际需求来选择相应的网络设备。
    ◆阻塞配置
    该种设计是指：机箱中所有交换端口的总带宽，超过前述交换结构的转发能力。因此，阻塞配置设计容易导致数据流从接口模块进入交换结构时，发生阻塞；一旦发生阻塞，便会降低系统的交换性能。例如，一个交换接口模块上有8个千兆交换端口，其累加和为8Gbps，而该模块在交换矩阵的带宽只有2Gbps。当该模块满负荷工作时，势必发生阻塞。采用阻塞设计容易在千兆/百兆接口模块上提高端口密度，十分适合连接服务器集群（因为服务器本身受到操作系统、输入/输出总线、磁盘吞吐能力，以及应用软件等诸多因素的影响，通过其网卡进行交换的数据不可能达到网卡吞吐的标称值）。
    ◆非阻塞配置
    该设计的目标为：机箱中全部交换端口的总带宽，低于或等于交换结构的转发能力，这就使得在任何情况下，数据流进入交换结构时不会发生阻塞。因此，非阻塞设计的网络设备适用于主干连接。在主干设备选型时，只需注意接口模块的端口密度和交换结构的转发能力相匹配即可（建议：当要构造高性能的网络主干时，必须选用非阻塞配置的主干设备）。

    3． 处理方式
    众所周知，每一次网络通信都是在通信的机器之间产生一串数据包。这些数据包构成的数据流可分别在第3、4层进行识别。
    在第3层（Network Layer，即网络层，以下简称L3），数据流是通过源站点和目的站点的网络地址被识别。因此，控制数据流的能力仅限于通信的源站点和目的站点的地址对，实现这种功能的设备称之为路由器。一个不争的事实：无论过去、现在、还是将来，路由器在网络中都占据着核心的地位。传统路由器是采用软件实现路由功能，其速度慢，且价格昂贵，往往成为网络的瓶颈。随着网络技术的发展，路由器技术发生了革命，路由功能由专用的ASIC集成电路来完成。现在这种设备被称之为第三层交换机或叫做交换式路由器。
    在第4层（Transport Layer即传输层，以下简称L4），通过数据包的第4层信息，设备能够懂得所传输的数据包是何种应用。因此，第4层交换提供应用级的控制，即支持安全过滤和提供对应用流施加特定的QoS策略。诚然，传统路由器具有阅读第4层报头信息的能力（通过软件实现），与第三层交换机（或交换式路由器）采用专用的ASIC集成电路相比，设备的性能几乎相差了两个数量级，因此，传统路由器无法实现第4层交换。
    值得指出的是：网络主干设备的系统结构在设计上分成两大类：集中式和分布式。即便两者都采用了新的技术，但就其性能而言，仍存在着较大的差异。
    ◆集中式
    所谓集中式，顾名思义，L3/L4数据流的转发由一个中央模块控制处理。因此，L3/L4层转发能力通常为3M－4Mpps，最多达到15Mpps。
    ◆分布式
    将L3/L4层数据流的转发策略设置到接口模块上，并且通过专用的ASIC芯片转发L3/L4层数据流，从而实现相关控制和服务功能。L3/L4层转发能力可达 30Mpps 至 40Mpps。

    4． 系统容量
    由于网络规模越来越大，网络主干设备的系统容量也成为选型中的重要考核指标。建议重点考核以下两个方面：
    ◆物理容量
    各类网络协议的端口密度，如千兆以太网、快速以太网，尤其是非阻塞配置下的端口密度。
    ◆逻辑容量
    路由表、MAC地址表、应用数据流表、访问控制列表（ACL）大小，反映出设备支持网络规模大小的能力（先进的主干设备必须支持足够大的逻辑容量，以及非阻塞配置设计下的高端口密度。）

    5． 关键部件冗余设计
    通过这些年的实践，人们已经认同处于关键部位的网络设备不应存在单点故障。为此，网络主干设备应能实现如下三方面的冗余。
    ◆电源和机箱风扇冗余
    ◆控制模块冗余
    控制模块冗余功能应提供对主控制模块的“自动切换”支持。如：备份控制模块连续5次没有听到来自主控制模块的汇报，备份模块将进行初始化并执行硬件恢复。另外，各种模块均可热插拔。
    ◆交换结构冗余
    如果网络主干设备忽略交换结构的冗余设计，就无法达到设备冗余的完整性。因此，要充分考虑网络主干设备的可靠性，应该要求该设备支持交换结构冗余。此外，交换结构冗余功能也应具有对主交换结构“自动切换”的特性。
    6． 缓冲技术
    缓冲技术在网络交换机的系统结构中使用的越来越多，也越来越复杂。任何技术的使用都有着两面性，如过大的缓冲空间会影响正常通信状态下，数据包的转发速度（因为过大的缓冲空间需要相对多一点的寻址时间），并增加设备的成本。而过小的缓冲空间在发生拥塞时又容易丢包出错。所以，适当的缓冲空间加上先进的缓冲调度算法是解决缓冲问题的合理方式。对于网络主干设备，需要注意几点：
    ◆每端口是否享有独立的缓冲空间，而且该缓冲空间的工作状态不会影响其它端口缓冲的状态。
    ◆模块或端口是否设计有独立的输入缓冲、独立的输出缓冲，或是输入/输出缓冲。
    ◆是否具有一系列的缓冲管理调度算法，如RED、WRED、RR/FQ、WERR/WEFQ。

    7． 系统结构的技术寿命
    所选择的网络主干设备，其系统结构应能满足用户的功能需求，并具有足够长的技术生命周期。换言之，要避免通过硬件补丁的办法（不断增加新的硬件单元对系统结构中存在的不足进行补偿，或彻底更换新设备的方式），才能满足用户1至2年内不断增长的功能需求。 [Page]
    业界有很多设备的系统结构是第2层交换的设计概念，需要通过增加第3层的硬件模块才能实现第3层或第3/4层交换的功能，而且第3/4层数据包的转发能力远低于第2层交换的转发能力。另外，短期内还可能出现用新产品来替代原有产品的情况，这对用户的投资保护十分不利。

    网络管理  
    ISO在ISO/IEC 7498-4文档中定义了网络管理的五大功能，这五大功能是：
    1． 故障管理
    故障管理是网络管理中最基本的功能之一。用户都希望有一个可靠的计算机网络。当网络中某个组成失效时，网络管理器必须迅速查找到故障并及时排除。通常不大可能迅速隔离某个故障，因为网络故障的产生原因往往相当复杂，特别是当故障是由多个网络组成共同引起的。在此情况下，一般先将网络修复，然后再分析网络故障的原因。分析故障原因对于防止类似故障的再发生相当重要。网络故障管理包括故障检测、隔离和纠正三方面，应包括以下典型功能：
◆维护并检查错误日志
◆接受错误检测报告并做出响应
◆跟踪、辨认错误
◆执行诊断测试
◆纠正错误
    对网络故障的检测依据对网络组成部件状态的监测。不严重的简单故障通常被记录在 错误日志中，并不作特别处理；而严重一些的故障则需要通知网络管理器。 一般网络管理器应根据有关信息对警报进行处理，排除故障。当故障比较复杂时，网络管理器应能执行一些诊断测试来辨别故障原因。

    2． 计费管理
    计费管理记录网络资源的使用，目的是控制和监测网络操作的费用和代价。它对一些公共商业网络尤为重要。它可以估算出用户使用网络资源可能需要的费用和代价，以及已经使用的资源。网络管理员还可规定用户可使用的最大费用，从而控制用户过多占用和使用网络 资源。这也从另一方面提高了网络的效率。另外，当用户为了一个通信目的需要使用多个网络中的资源时，计费管理应可计算总计费用。

    3． 配置管理
    配置管理同样相当重要。它初始化网络、并配置网络，以使其提供网络服务。配置管理 是一组对辨别、定义、控制和监视组成一个通信网络的对象所必要的相关功能，目的是为了 实现某个特定功能或使网络性能达到最优。 这包括：
◆设置开放系统中有关路由操作的参数
◆被管对象和被管对象组名字的管理
◆初始化或关闭被管对象
◆根据要求收集系统当前状态的有关信息
◆获取系统重要变化的信息
◆更改系统的配置

    4． 性能管理
    性能管理估价系统资源的运行状况及通信效率等系统性能。其能力包括监视和分析被管网络及其所提供服务的性能机制。性能分析的结果可能会触发某个诊断测试过程或重新配置网络以维持网络的性能。性能管理收集分析有关被管网络当前状况的数据信息,并维持和分析性能日志。一些典型的功能包括:
◆收集统计信息
◆维护并检查系统状态日志
◆确定自然和人工状况下系统的性能
◆改变系统操作模式以进行系统性能管理的操作

    5． 安全管理
    安全性一直是网络的薄弱环节之一,而用户对网络安全的要求又相当高,因此网络安全管理非常重要。网络中主要有以下几大安全问题:网络数据的私有性(保护网络数据不被侵 入者非法获取),授权(authentication)(防止侵入者在网络上发送错误信息),访问控制(控 制访问控制(控制对网络资源的访问)。相应的,网络安全管理应包括对授权机制、访问控制 、加密和加密关键字的管理,另外还要维护和检查安全日志。包括:
◆创建、删除、控制安全服务和机制
◆与安全相关信息的分布
◆与安全相关事件的报告

    检测与验收
    1． 网络接线连通性
    连通图指网络拓扑结构图，连通的检测为在命令窗口中输入ping命令，格式为“ping x.x.x.x”，“x.x.x.x”是网络设备的网络地址。如返回信息是“reply from x.x.x.x: bytes=m time    传输延迟是指信息传输过程中，由于要经过的距离远或者一些故障或者网络忙导致传输并没有准时达到目的地，数据在传输之间存在一定程度的传输延迟问题，延迟越小说明性能越好，越大越会影响数据传输的速度。
    局域网内测试的合格结果为：丢包率=0并且延迟小于10ms
    为了保证测试结果的准确，请不要在测试的途中进行如下载大文件，同时ping其他服务器等操作，否则将会导致测试结果为网络不正常

    2． 机房安全性
    中心机房应有严格的门禁系统以及完善的管理制度。

    3． 网络设备安全性
    （1）网络安全设备的范围
    网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等，广义的信息安全设备除了包括上述设备外，还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、安全加密套件、金融加密机/卡、安全中间件、公开密钥基础设施（PKI）系统、授权证书（CA）系统、安全操作系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统等。

（2）网络设备的重新配置
    应有配置手册对现有的网络及系统配置状况进行描述，并规定要定期进行配置检查，要有具体的执行人员。

（3）对外提供服务区
    如果需要对外提供服务，则应将网络划分出对外提供服务区和内部使用的安全内网；不对外的服务器及办公机房的主机放置在内网，对外提供服务的服务器只能放在对外提供服务区。可以使用DMZ，即非军事化区来作为对外提供服务区。图3是用两个防火墙时的DMZ区，图4是用单个防火墙时的DMZ区，在使用单个防火墙时，此防火墙要求有3个端口。
    所有对外提供服务的设备都必须放在DMZ区中，Internet或外部网用户访问这些设备都要经过防火墙。
    还可以通过防火墙设置，使Internet或外部网用户无法访问内部网络，或者对这种访问配备更多的限定条件。
    在网络系统与外部网络接口处应设置防火墙设备；服务器必须放在防火墙后面。

    （4）防病毒
    具体防范病毒应采用网关防病毒、邮件防病毒、服务器防毒、网络主机防病毒等多种防毒措施的组合，从而形成一个交叉、完善的病毒防护体系。
    网关防病毒是通过在防火墙后布置服务器，安装防病毒软件，对采用http、ftp、smtp协议进入内部网络的文件进行病毒扫描和恶意代码过滤。
    如果有邮件服务器，则应该根据邮件服务器的软件配置安装相应的防病毒软件。
服务器防病毒一般根据其操作平台（如NT、UNIX 、LINUX 、NetWare等）进行定制安装，并进行安全配置；服务器应用范围不同也需要不同配置策略，如WEB SITE 、DNS 、NOTES服务器、数据库中间层处理服务器和其它商业应用服务器等。
网络中的每台主机也应该安装防病毒软件。(完)