9-Intraet规划与设计.ppt

Intranet规划与设计 网络设计目标 商业目标 技术目标 可扩展性 可用性 网络性能： 安全性 可管理性 易用性 适应性 可付性 安全性需求分析 企业的敏感性数据及其分布情况 网络用户的安全级别 可能存在的安全漏洞 网络设备的安全功能要求 网络系统软件的安全评估 应用系统的安全要求 防火墙技术方案 安全软件系统的评估 网络遵循的安全规范和达到的安全级别 分层网络方案设计 一个大规模的网络系统往往被分为几个较小的部分 它们之间既相对独立又互相关联 这种化整为零的做法是分层进行的 通常网络拓扑的分层结构包括三个层次 核心层 分布层 接入层 为什么使用层次化网络设计模型 减少网络设备工作负载 避免设备与太多设备的通信(减少“CPU 邻接”) 限制广播域 使每个设计要素简单且容易理解 易于更改 易于扩展到更大的范围 分层结构特点 分层拓扑结构的优点 流量从接入层流向核心层时，被收敛在高速的链接上 流量从核心层流向接入层时，被发散到低速链接上 接入层路由器因此 可以采用较小的设备 它们交换数据包需要较少的时间 具备更强的执行网络策略的处理能力 核心层设计要点 主要工作 交换数据分组 设计目标 提供100%的正常运行时间； 最大限度地提高吞吐量； 支持网络增长。 设计注意事项 不要在核心层执行网络策略，尽量避免增加核心层路由器配置的复杂程度 核心层所有设备应具有足够的路由信息，保证充分的可达性 核心层的具体设计 核心层使用的技术包括： 融路由选择和交换功能于一身的路由器或多层交换机； 冗余和负载均衡； 高速和聚合链路； 扩展性良好且会聚速度快的路由选择协议，如增强内部网关路由选择协议（EIGRP）和开放最短路径优先（OSPF）协议。 分布层设计要点 分布层主要工作 将大量低速的链接（与接入层设备的链接）通过少量宽带的链接接入核心层，以实现通信量的收敛，提高网络中聚合点的效率 同时减少核心层设备路由路径的数量 分布层主要设计目标 隔离拓扑结构的变化 控制路由表的大小 收敛网络流量 分布层设计方法 路径聚合 使核心层与分布层的连接最小化 接入层设计目标 确保流量馈入网络 接入层路由器所接收的链接数不要超出其与分布层之间允许的链接数 如果不是转发到局域网外主机的流量，就不要通过接入层的设备进行转发 不要将接入层设备作为两个分布层路由器之间的连接点，即不要将一个接入层路由器同时连接两分布层路由器 接入层设计目标 控制访问 由于接入层是用户接入网络的入口，所以也是黑客入侵的门户 控制策略 防止直通的数据 数据分组级别的过滤 其他边缘服务（标记数据服务属性、关闭通道） 拓扑设计总结 对于大规模网络规划而言，分层拓扑结构是最有效的，它具有以下优势： 把一个大问题分解成几个小问题，从而容易解决 将局部拓扑结构改变所产生的影响降至最小 减少路由器必须存储和处理的数据量 提供良好的路由聚合数据流收敛 地址的分配设计 地址分配是网络规划设计中要点之一 地址分配方案将直接影响网络的可靠性、稳定性和可扩展性等重要性能 因为地址一旦分配后，其更改的难度和对网络的影响程度很大 正确的地址分配方案需要要充分考虑的指标 路由表的大小 拓扑结构变化后，相应信息所必须传输的距离 消除对上述指标影响的有效方法是聚合 地址分配与聚合 地址分配与聚合 地址分配与聚合 地址分配与聚合 地址分配与聚合 地址分配与聚合 地址分配的策略 按申请顺序 在一个大地址池（Address pool）中取出需要的地址 按行政划分 将地址分开，使每一个部门都有一组供其使用的地址 按地域划分 将地址分开，使部门内每个办公室都有一组供其使用的地址 按拓扑方式 该方式基于网络的链接点（在某些网络中可能与按地址划分相似） 冗余设计 在骨干网设备连接中,单一链路的连接很容易 实现,但一个简单的故障就会造成网络的中断. 因此在实际网络组建的过程中,为了保持网络 的稳定性,在多台交换机组成的网络环境中,通 常都使用一些备份连接,以提高网络的健壮性、稳定性。 冗余设计 冗余设计 冗余设计 QOS QoS的英文全称为“Quality of Service”，中文名为“服务质量”。QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。 在正常情况下，如果网络只用于特定的无时间限制的应用系统，并不需要QoS，比如Web应用，或E-mail设置等。但是对关键应用和多媒体应用就十分必要。当网络过载或拥塞时，QoS 能确保重要业务量不受延迟或丢弃，同时保证网络的高效运行。 服务器群及安全 大多数企业网络都向用户提供可通过Internet访问的服务，如电子邮件和电子商