广域网技术应用4章 广域网规划

但必须明确，每一种技术采用的传输方法 （例如帧中继采用的交换方法与T1采用的 点对点方法）会影响实际的吞吐量，所以最 大传输速率只是一种理论值，实际的传输速 率可能会与之不同。
• 4.1.6网络安全规划
• 尽管网络信息系统为人们提供了巨大的方便， 但是受技术和社会因素的影响。网络信息系 统存在着各种安全问题。攻击者们经常利用 这些系统具有的漏洞，进行攻击和入侵，给 计算机系统造成严重损害。安全风险
划中，IP地址方案的设计至关重要，好的IP 地址方案不仅可以减少网络负荷，还能为以 后的扩展打下良好的基础。
• 1）IP
• （1）子网划分和子网掩码
• IP网络可以分成更小的单元，称为子网。子 网化是一个将主机地址分成两级结构的方案， 允许在一个A类、B类或C类网络中存在多个 逻辑网络，这样做可给网络管理提供灵活性。 通常的做法是使用网络地址主机部分的最左 少数位作为子网字段(如图4.1所示)。
• 1）企业广域网络的现状及特点 • 2）广域网络的成本构成
• 企业广域网络包括设备成本、服务成本和 操作维护成本。
• （1）设备成本 • （2）服务成本 • （3）操作和维护成本 • 3）广域网络的组网需求及目标
• 传统的广域网模式无法适应企业的业务需 求，企业广域网络需要进行整合，使得多
个WAN能整合成一个WAN构架。在一个 WAN构架上提供包括数据、语音和视频业 务在内的多业务服务，同时提供端到端的 QoS服务以及统一的网络安全控制手段。 • 对于大型广域网的组建，应该满足下面的
万个IP地址，一般可以满足大型或超大型广 域网的应用。对于网内的各个子单位或子 系统的地址需求，只要主机数量少于256的 单位，应该以C类地址为单位，分配几个连 续的IP地址，便于聚合且通过聚和隐藏信息， 以便提高网络的稳定性。同时应有50%～80 ％的冗余，以便以后发展用户或
• （3）动态地址分配原则
停电断电、电磁干扰等）和意外事故等， 解决方案是：防护措施，安全制度和数据 备份等。 • ②电磁泄漏（如侦听微机操作过程）和信
• ③操作失误（如删除文件、格式化硬盘、 线路拆除等）和意外疏漏（如系统掉电、 系统崩溃等），解决方案是：状态检测、
• ④计算机系统机房环境的安全，解决方案 是：加强机房管理、运行管理、安全组织
• （4）可用性和可靠性
• （5）可管理性
• （6）安全性
• 4.1.2需求分析
• 构建广域网的用户一般由总部和多个分支 机构组成。这些机构分布在不同的地域， 需要在跨越不同地域的广域网络基础上进 行企业的经营业务。这样，用户的广域网 络一般包括企业局域网（Enterprise LAN） 和企业广域网（Enterprise WAN）。
• (4)身份验证
• 身份验证(Identification)是用户向系统出示 自己身份证明的过程。身份认证是系统查 核用户身份证明的过程。这两个过程是判 明和确认通信双方真实身份的两个重要环 节，人们常把这两项工作统称为身份验证 (或身份鉴别)
•
• ①口令验证 • ②数字签名 • ③Kerberos系统 • ④主体特征鉴别 • ⑤智能卡 • ⑥锁定 • （5）网络防病毒技术
有地址是网络的外部地址（在因特网上的 全球惟一地址）。因特网地址分配组织规 定以下3 • 10.0.0.0～ 10.255.255.255 -------一个单独的 A • 172.16.0.0～ 172.31.255.255 ------- 16个B类
• 192.168.0.0～ 192.168.255.255 ------- 256个C 类网
• （4）软件实现的安全问题
• 软件实现的缺陷是由于程序员在编程的时 • 候，没有考虑周全而造成的。软件缺陷一
• • • • • • ⑥缓冲区溢出。 • （5）用户使用的安全问题
• 系统和网络实际上都是由用户（管理员） 来操作的。由于用户缺乏安全知识，在使 用系统和网络时无意中给攻击者提供了入 侵的机会。用户使用的缺陷体现在以下几
• ③按地域划分 • 将地址分开，使部门内每一办公室都有一
• ④按拓扑方式 • 该方式基于网络的链接点（在某些网络中
可能与按地域划分相类似）。
•
•
• • 根据以上原则，通过对上述4种方法进行比
较之后，如表4.1所示给出了它们的优缺点 对照。当然，各种分配方案可以进行组合， 以便管理和扩展。
• 4.1.5带宽规划
• 交换型骨干网需要维护两个层面上的网络， 但第三层高功能交换机可提供数十至数百 Gbit/s的速率，可取代传统的中央路由器， 这是一种在普通交换机基础上增加了路由
• 路由型骨干网只需要维护一个层面上的网 络，由若干快速路由交换机通过光纤连接 而成。这些路由交换机集第二层（数据链 路层）的交换技术和第三层的路由技术于
• 对于以太网主机，建议使用DHCP动态分配 IP地址，也可以用PPP类的接入方式来获取 地址，通过Radius服务器统一分配地址。
• （4）自顶向下的地址规划
• IP地址规划应该是广域网整体规划的一部分， 即要和网络层次规划、路由规划、流量规 划等结合起来考虑。
• （5）地址分配方案选择
• 分配地址可以采用如下4 • ①按申请顺序 • • ②按行政划分 • 将地址分开，使每一部门都有一组可供其
• 我们知道，限制了带宽就限制了数据传输 率。那么，如何正确有效地确定传输线路 的带宽，最大程度地减少传输线路租用的 费用，是在多功能广域网建设时必须考虑 的问题。
• 广域网连接能提供范围很大的传输速率。 从公共电话拨号连接的56 kbit／s到全速率 SONET连接的2.48 Gbit／s的最大传输速率， 它都可以提供。如表4.2所示总结了各种广 域网传输技术所能提供的传输速率。
• ②网络地址翻译
• ③代理服务
• (3)操作系统安全内核技术
• 除了在传统网络安全技术上着手外，已开 始在操作系统的层次上考虑网络安全性问 题。尝试把系统内核中可能引起安全性问 题的部分剔除出去，从而使系统更安全。 操作系统平台的安全措施包括：采用安全
性较高的操作系统，对操作系统进行安全配 置，利用安全扫描系统检查操作系统的漏 洞等。
来自于网络和系统在设计、实现和使用的 过程中无意留下的缺陷，包括协议缺陷、 软件实现缺陷、操作系统危险缺陷和用户 使用缺陷。网络风险的另外一个来源是由 黑客故意造成的，其中包括计算机病毒、 特洛伊木马和恶意代码。
•1
• （1）物理安全
• ①自然灾害（如雷电、地震、火灾、水灾 等）、物理损坏（如硬盘损坏、设备使用 寿命到期、外力破损等）、设备故障（如
一体，进行“先寻路后交换，一次路由， 多次交换”。这是一种利用第三层协议来 加强第二层交换功能的第三层交换技术， 并采用多协议标记交换MPLS，大大地提高 了路由器的转发速度。
• 3）分布层设计
• 网络分布层的3个主要目标就是：隔离拓扑 结构的变化，控制路由表的大小和流量的 收敛，而要达到目标，可以使用的主要方 法有两个，一是路径聚和，另外是使核心 层与分布层的连接最小化。
• （6）电子邮件攻击 • （7）恶意程序 • 3）网络安全技术
• 网络安全的基本技术主要包括网络加密技 术、防火墙技术、网络地址转换技术、操 作系统安全内核技术、身份验证技术和网 络防病毒技术等。
• （1）网络加密技术 • （2）防火墙技术 • 防火墙主要功能的实现都使用以下3种技术
方法。
• ①包过滤
图4.1 子网编址的层次结构
• 例如，一个节点B类IP地址为128.22.25.6， 子网掩码为255.255.255.0，表示其网络地址 为128.22.25，子网号为25，主机地址为6 （如图4.2所示）。
图4.2 子网掩码的意义
• （2）公有地址和私有地址的转换 • 私有地址是指内部网络的主机地址，而公
• 2）广域网的地址规划 • 对广域网的地址进行分配时需要解决以下
• ①用什么地址? • ②怎样划分地址? • ③如何对IP地址进行管理? • • （1）公有地址和私有地址结合使用 • 由于国内申请的IP地址数量有限，所以在组
建网络的时候，应该充分考虑私有IP地址的
使用。建议在整个广域网范围内主要使用A 类私有地址10.0.0.0，其子网掩码为 255.0.0.0，它所能包含的主机最多，能满足 几乎所有用户主机的入网要求。但对于以 下情况需要使用公有地址:
和人事管理等。
• （2）操作系统及一些应用服务的安全问题 • 当前的主流网络操作系统WindowsNT和
UNIX都存在很多安全漏洞。操作系统不安 全是计算机网络不安全的根本原因。
• （3）网络协议的安全问题
• 一些协议在设计之初没有考虑安全措施， 存在一些缺陷。这些缺陷可以被黑客利用， 从而入侵用户主机或破坏网络服务。
广域网技术应用4章 广域网规划
不必要的浪费。另外还要构建网络的结构规 划、地址规划和带宽规划。最后是完善网络 的安全规划和管理规划。
• 4.1.1规划原则
• 在进行网络规划时，必须根据目前的用户需 求、网络现状和未来的发展，依据如下网络 规划原则，做出相对完善的网络设计方案。
• （1）标准化和开放性 • （2）可扩展性 • （3）先进性和高性能
• 在网络环境下，计算机病毒具有不可估量 的威胁性和破坏力。CIH病毒及爱虫病毒就 足以证明如果不重视计算机网络防病毒， 那可能给社会造成灾难性的后果，因此计
算机病毒的防范也是网络安全技术中重要的 一环。
• 网络防病毒技术包括预防病毒、检测病毒 和清除病毒等3种技术。
• （6）网络的安全检测
• 网络安全检测是通过网络安全检测工具来 实现的。网络安全检测工具通常是一个网 络安全性评估分析软件，其功能是用实践 性的方法扫描分析网络系统，并生成检查 报告。安全性设计已成为网络管理的首要 问题。一般网络规划主要从3个层次进行安
• • • ③系统备份不完整。 • （6）病毒、木马和恶意代码的安全问题 • 有的安全问题不是人们故意创造出来的，
而是由于某个环节出现了差错造成的，比如 上面所列举的安全风险就属于此类。而有 的安全问题是人为创造出来的，比如病毒、 木马和恶意代码。
•2 • （1）刺探与扫描 • （2）网络监听 • （3）拒绝服务 • （4）口令攻击 • （5）缓冲区溢出
全管理。网络安全性：通过判断IP源地址拒 绝未经授权的访问；系统安全性：防止病 毒对于网络应用软件破坏和黑客对网络入 侵；用户安全性：对用户进行分级管理和 强有力的身份认证，规定对系统资源和数 据的访问权限。
• ①Internet上的主机如有需要对Internet开放 的WWW，FTP和E-Mail
• ②整个广域网的关口设备需要使用公有地 址连接Internet
• ③需要对外广播的路径上的设备如同时连 接到两个电信运营商，且使用域间路由协
议BGP时，此路径的地址需要使用公有地
• （2）以C类地址为单位分片划分IP地址 • A类私有地址10.0.0.0～255.0.0.0共有1 600
• • • •
•⑤
• ⑥降低网络成本。
• 4.1.3网络结构规划
• 设计优良的拓扑结构是所有稳定网络的基 础。根据用户的网络需求来规划广域网的 整体结构，便于将不同的网络业务在传输 特性及带宽方面进行分配、整合，得到最 优解。
• 1）网络逻辑结构 • 网络结构规划的基本原则有两点：
• ①网络中受拓扑结构改变影响的区域应该
• 4）接入层设计
• 接入层有3个目标：将流量馈入网络、控制 访问和执行其他的边缘功能。接入层将广 域网的信息通过内部的高速局域网接入分 布层，它是整个百度文库络的可见部分，也是用 户与该网的连接场所。
• 4.1.4网络地址规划
• 当前，大型的企业广域网都采用IP地址来管 理入网的计算机，这样的广域网是相对独 立的网络，所以在进行网络总体规划时不 可避免地要考虑地址规划问题。在网络规
• ②路由器（及其他网络设备）应该传输尽 量少的信息。
•2 • 网络核心层有一个目的，即交换数据包。
那么，核心层设备应该得到充分的支持并 以峰值性能运行。一般原则就是：不要在 网络核心层执行网络策略和核心层的所有 设备应对网络中的每个目的地具备充分的
• 核心层骨干网有交换型和路由型（交换路 由型）两种。