《系统架构设计师教程（第2版）》第17章-通信系统架构设计理论与实践-06-网络构建和设计方法

1. 网络需求分析

1.1 业务需求分析

• 分析项：
  • 调查和理解业务本质
  • 确定业务主要干系人
  • 确定关键时间点
  • 确定网络的投资规模
  • 明确业务活动
  • 预测业务增长率进而预判网络发展的趋势
  • 确定网络可靠性和可用性指标
  • 确定网络安全性
  • 确定网络远程访问要求等
• 输出：业务需求清单

1.2 用户需求分析

• 操作
  • 收集用户需求
  • 正确理解用户服务
  • 梳理用户需求
• 输出：用户服务表

1.3 应用需求分析

• 考虑因素
  • 应用类型
  • 使用方法
  • 需求增长性
  • 可靠性和可用性要求
  • 网络响应时间要求
• 输出：应用需求表
  • 体现应用需求的量化指标

1.4 计算机平台需求分析

• 要求：明确网络所接入的设备类型
• 输出：设备类型需求表

1.5 网络需求分析

需求分析的最后一项工作，

• 考虑网络管理员的需求
• 主要涉及：局域网功能、网络拓扑结构、网络性能、网络管理、网络安全、城域网/广域网连接方案选择
• 输出：网络需求的分项需求表

网络需求分析最终输出：网络需求规格说明书

2. 网络技术遴选及设计

2.1 局域网技术遴选

2.1.1 生成树协议 (STP)

• Spanning Tree Protocol
• 作用：二层交换机组网时，避免其冗余设计形成环路

2.1.2 虚拟局域网 (VLAN)

• 将一个物理网络划分成若干个相互隔离的逻辑网络

2.1.3 无线局域网

AP：Access Point。即，无线网络接入点

• SSID：Service Set Identifier。即，服务集标识

• 考虑点：

  • 定位AP实现最大覆盖率，确保目标区域全覆盖

  • 无线局域网的虚拟网规划

  • 冗余AP布放

    确保在一个区域同时由一个以上AP提供无线覆盖

  • 网络SSID配置

    • 同一园区或企业、组织内，所有AP都应设置成同一SSID

2.1.4 线路冗余设计

• 备份方式
  • 方法：指采用 STP 协议可避免环路发生
  • 不足：资源浪费
• 负荷分担方式
  • 方法：设置均衡策略，使得业务均衡分担到不同链路上
  • 优点：提升可用性；避免链路闲置

2.1.5 交换设备功能的合理使用

• 交换设备除基本数据存储转发功能外，还需要考虑其他特殊功能的利用，以提升网络的服务质量

2.1.6 服务器冗余设计

• 使用负载均衡器

• 使用网络地址转换：

  将来自外部的服务请求地址转换为多个内部服务器地址，从而达到服务的均衡调度。

• 使用 DNS 服务器

  • 一个域名解析到多个IP

• 使用高可用技术

  • 如，双机热备

2.2 广域网技术遴选

2.2.1 远程接入技术

• PSTN接入技术（过时）
• 综合业务数据网接入技术（过时）
• 电缆调制解调器远程接入技术（过时）
• 数字用户线路 (DSL) 远程接入技术（过时）
• 无源光网络 (PON) 技术
  • 目前宽带接入市场的主流技术之一
• 无线宽带接入技术
• 小区宽带接入（这也算技术？）
• 电力通信技术 (PLC)
  • 利用电力线进行数据传输
  • 使用范围有限

2.2.2 广域网互连技术

• 常用技术
  • 数字数据网络 (Digital Data Network,DDN) 技术（过时）
  • 同步数字体系(Synchronous Digital Hierarchy,SDH) 技术
    • 在光学介质上实现同步数据传输的标准技术
    • 正在被MSTP取代
  • MSTP(Multi-Service Transport Platform) 技术
    • 承了SDH设备的传统传送功能
    • 还实现了语音、数据、视频等业务的综合接入和汇聚
  • VPN接入技术
• 广域网优化技术
  • 路由器实现预留带宽
  • 传输数据压缩
  • 链路聚合
  • 数据基于优先级排序
  • 基于协议带宽预留

2.3 地址规划模型

• 地址分配原则：

  • 使用结构化网络层编址模型，对地址进行层次化的规划

  • 通过中心授权机构管理地址

  • 编址授权下发

    由地址授权管理中心，将编址授权给分支机构来进行地址规划。

  • 为终端用户设备指派动态地址

  • 私有地址合理使用

2.4 路由协议选择

• 路由协议类型的选择：路由协议选择主要包括距离矢量协议和链路状态协议。

• 路由选择协议度量值的合理设置

  • 路由选择协议的度量值：用来评估路径优劣的标准
  • 常见的度量值：网络延迟、带宽、可靠性、负载等

• 路由选择协议优先级顺序的合理指定

• 层次化路由选择协议、非层次化路由选择协议

• 内部路由选择协议、外部路由选择协议

• 分类路由选择协议、无类路由选择协议

  • 分类路由选择协议：使用固定的网络类别（A类、B类、C类）来确定网络地址和主机地址的范围，子网掩码是固定的
  • 无类路由选择协议：在发送路由更新包时，会携带自己的子网掩码

• 静态路由指定

2.5 层次化网络模型设计

2.5.1 层次化设计优点

• 网络成本低
• 各层单独使用成熟的模块化设备或部件，稳定、便宜。
• 网络易于演化

2.5.2 三层层次化模型设计思路

1）核心层设计思路

• 本层作用：提供不同区域或者下层的高速连接和最优传送路径
• 设计思路
  • 采用冗余机制
  • 避免使用开销大的特性 _{（如：使用数据包过滤、策略路由等）}
  • 核心层覆盖范围不易过大，连接设备也不易过多_{（确保核心层具备良好的管理性）}
  • 核心层提供的功能不宜多样化_{（避免降低核心网络设备性能）}

2）汇聚层设计思路

• 本层作用：
  • 将网络业务连接到接入层
  • 执行与安全、流量负载、路由相关的策略
• 设计思路
  • 强化安全性，确保资源的访问受到严格控制
  • 对核心层的流量控制，以提高网络性能
  • 汇聚层还应对接入层屏蔽网络其他部分的细节信息

3）接入层设计思路

• 本层作用：
  • 广域网中：为局域网接入广域网提供接入能力
  • 局域网中：为终端用户访问网络提供接入能力
• 思路：

  • 需要负责用户管理功能

    如：地址认证、用户认证、计费管理等

  • 负责收集用户信息

    如用户IP/MAC地址，访问日志等

2.5.3 层次化设计应遵循原则

• 控制网络层次数量

避免过多层次导致网络性能下降，增加网络时延。

• 从接入层进行设计，依次完成各层的设计

通过对下层流量负荷、行为的分析，来对上层进行精细化容量规划

• 尽量采用模块化方式实现各层的功能
• 接入层对网络结构进行严格控制

避免接入层用户改用非正常的访问外部网络的渠道，获得更大的带宽。

• 严格控制网络的层次化结构

避免跨层加入额外连接，导致网络非法访问或网络异常等问题

2.6 网络高可用设计方法

• 构建高可用网络，需要从耐久性、容错性、可维护性等方面进行网络规划设计

2.6.1 提高网络可用性的途径

1）可用性和可靠性的关系

• 可用性 (Availability)
  • 在较长时间里网络可用的时间长短
  • 可用时间越长，可用性越高
• 可靠性 (Reliability)
  • 网络连续无故障运行时间的长短
  • 无故障运行时间越长，可靠性越高

极端例子说明1：

• 一个可靠性高的网络：平均可以稳定运行10年
• 但是一旦网络出现故障，要用一年的时间来恢复
• 那么它的可用性只有90%

极端例子说明2：

• 一个可靠性很差：每10秒就出现一次故障
• 但是每次维护只需要 1ms
• 则它的可用性是 99.99%

2）提高可用性的方法

• 提高网络可靠性
  • 主要影响因素：软件的 Bug
  • 其他影响因素：硬件、软件、运维、环境等
• 缩短网络恢复时间

2.6.2 设计的核心思想

• 通过合理设计组网结构和应用可靠性特性
• 使得网络系统软件、硬件部件运行可靠
• 具备冗余备份、自动检测、快速恢复机制
• 同时也应权衡不同类型网络构建成本

2.6.3 设计原则

• 采用分层架构，不同层次使用不同级别的可靠性、可用性
• 在保证网络各层可靠性要求基础上，尽量降低网络复杂度
• 控制成本

3. 网络安全

3.1 防火墙布设

• 作用：
  • 通过允许、拒绝或重定向经过防火墙的数据流，实现对可信网络的保护
  • 对进出网络的服务或访问进行审计
• 按技术分类：
  • 包过滤型
  • 应用层网关
  • 代理服务型等
• 按体系形式分类：
  • 双重宿主机结构
  • 被屏蔽主机结构
  • 被屏蔽子网结构

3.2 VPN技术

• 概念

  • Virtual Private Network
  • 指利用公共网络来建立私有专用网络的一种技术

• 优点：

  • 成本低
  • 使用方便（远程访问）
  • 网络可扩展性强
  • 便于管理
  • 实现全面控制

• 主要VPN技术： IPSec、GRE、MPLS VPN、VPDN

3.3 访问控制技术

• 三个环节
  • 认证、控制策略实现、审计
• 访问控制技术
  • 访问控制矩阵
  • 访问控制表
  • 能力表
• 访问控制模型
  • 自主型访问控制、强制型访问控制
  • 有基于角色的访问控制、基于任务的访问控制、基于对象的访问控制

3.4 网络安全隔离

• 网络隔离形式：
  • 子网隔离
  • VLAN隔离
  • 逻辑隔离
  • 物理隔离

3.5 网络安全协议

3.5.1 SSL协议

• 概念
  • 安全套接层协议
  • Secure Sockets Layer
  • 它基于加密通信技术的一种网络安全协议，旨在保护网络通信的安全
• 包括：记录协议、告警协议、握手协议三部分
• 作用：
  • 指定了一种在应用层协议和 TCP/IP协议之间提供数据安全性控制的机制
  • 它为TCP/IP连接提供数据加密、服务器认证、消息完整性保护、客户机认证等能力

3.5.2 SET协议

• 概念
  • 安全电子交易协议
  • Secure Electronic Transaction
• 作用：在信用卡支付中，保证支付信息的机密、支付过程的完整、商户和持卡人身份合法性及可操作性

3.5.3 HTTPS协议

• 概念
  • 基于 SSL 或 TLS进行HTTP 交互的协议
  • 使用安全套接字层进行信息交互
  • 所有交互数据均被加密
• 作用：
  • 客户计算机和服务器之通过证书完成相互身份认证
  • 双方通过密钥对数据加密来实现信息交换

3.6 网络安全审计

• 功能包括：
  • 安全审计自动响应
  • 安全审计数据生成
  • 安全审计分析
  • 安全审计浏览
  • 安全审计事件存储
  • 安全审计事件选择

4. 绿色网络设计方法

4.1 绿色网络设计思路

• 方法：
  • 降低设备的能耗
  • 优化网络架构
• 设计维度
  • 系统的精简
  • 系统、模块的重用
  • 易维护

4.2 绿色网络设计原则

4.2.1 标准化

• 异构/非标准化系统的缺点：
  • 需要大量专业人员维护
  • 整合异常困难
• 整体架构标准化的优势：
  • 减少转换设备
  • 降低了能耗
  • 对原有架构最大化兼容

4.2.2 集成化

• 意义：
  • 减少设备总量
  • 降低资源使用量
  • 以达到节能减排、绿色设计的目的
• 方案设计
  • 通过采用大容量、高密度端口，减少设计层级、设备数量
  • 采用集成板卡设计，减少单功能设备，以及电缆、电源的接入
  • 数据中心网络构建的优化

4.2.3 虚拟化

没有需要记忆的内容

4.2.4 智能化

• 现场没有工作人员，空调用电将大幅下降
• 降低人力投入，减少整体成本
• 智能化处理，降低资源占用
  • 如，监控摄像头仅储存动态图像

---