5、網絡備援設計

5.1備用路徑與負載分擔

網絡備援設計允許通過設定雙重網絡元素來滿足網絡的可用性需求，備援減低了網絡的單點失效，其目标是重複設定網絡元件，以避免單個元件的失效而導緻應用失效。在網絡備援設計中，對于通信線路常見的設計目标主要有兩個：一個是備用路徑；另外一個是負載分擔。

5.1.1備用路徑

備用路徑主要是為了提高網絡的可用性。當一條路徑或者多條路徑出現故障時，為了保障網絡的連通，網絡中必須存在備援的備用路徑。備用路徑由路由器、交換機等裝置之間的獨立備用鍊路構成，一般情況下，備用路徑僅僅在主路徑失效時投入使用。

設計備用路徑時主要考慮以下因素：

（1）備用路徑的帶寬。備用路徑帶寬的依據，主要是網絡中重要區域、重要應用的帶寬需要，設計人員要根據主路徑失效後，哪些網絡流量是不能中斷的來形成備用路徑的最小帶寬需求。

（2）切換時間。切換時間指從主路徑故障到備用路徑投入使用的時間，切換時間主要取決于使用者對應用系統中斷服務時間的容忍度。

（3）非對稱。備用路徑的帶寬比主路徑的帶寬小是正常的設計方法，由于備用路徑大多數情況下并不投入使用，過大的帶寬容易造成浪費。

（4）自動切換。設計備用路徑時，應盡量采用自動切換方式，避免使用手工切換。

（5）測試。備用路徑由于長期不投入使用，對線路、裝置上存在的問題，不容易發現，應設計定期的測試方法，以便于及時發現問題。

5.1.2負載分擔

負載分擔是通過備援的形式來提高網絡的性能，是對備用路徑方式的擴充。負載分擔是通過并行鍊路提供流量分擔來提高性能，其主要的實作方式是利用兩個或多個網絡接口和路徑來同時傳遞流量。

關于負載分擔，設計時主要考慮以下因素：

（1）對于網絡中存在備用路徑、備用鍊路的情況，就可以考慮加入負載分擔設計；

（2）對于主路徑、備用路徑都相同的情況，可以實施負載分擔的特例——負載均衡，也就是多條路徑上的流量是均衡的；

（3）對于主路徑、備用路徑不相同的情況，可以采用政策路由機制，讓一部分應用的流量分攤到備用路徑上；

（4）在路由算法的設計上，大多數裝置制造廠商實作的路由算法，都能夠在相同帶寬的路徑上實作負載均衡，甚至于部分特殊的路由算法，例如IGRP和增強IERP中，可以根據主路徑和備用路徑的帶寬比例實作負載分擔。

5.2伺服器備援和負載均衡

為了提高伺服器的性能和工作負載能力，企業通常會使用DNS伺服器、網絡位址轉化等技術來實作多伺服器負載均衡，特别是對外服務的Web網站，許多都是通過幾台伺服器來完成伺服器通路的負載均衡一般來說，實作伺服器的備援和負載均衡有多種方式。

5.2.1使用負載均衡伺服器

負載服務均衡器實際上是應用系統的一種控制伺服器，所有使用者的請求都首先到此伺服器，然後由此伺服器根據各個實際處理伺服器的狀态請求具體配置設定到某個實際處理伺服器中，對外公開的域名和IP位址都是負載服務均衡器的域名和IP位址。

負載服務均衡器上需要安裝負載均衡控制與管理軟體，這台伺服器一般隻做負載均衡任務配置設定，但不是實際對網絡請求進行處理的伺服器。

負載服務均衡器為了将負載均勻地配置設定給内部的多個伺服器，就需要應用一定的負載均衡政策，例如基于CPU繁忙程度或記憶體占用程度等。對于常見的web服務，可以借助于負載服務均衡器讓多台伺服器裝置提供服務。每台伺服器的狀态可以設定為regular（正常工作）或backup（備份狀态），或者同時設定為regular狀态。負載均衡器根據設定好的負載均衡政策來将使用者請求重定向到不同的伺服器。

通過負載服務均衡器不僅可以實作各伺服器群的流量動态負載均衡，并互為備援備份，同時還具有一定的擴充性，可不斷添加新的伺服器加入負載均衡系統。

5.2.2使用網絡位址轉換

支援負載均衡的位址轉換網關可以将一個外部IP位址映射為多個内部IP位址，對每次TCP連接配接請求動态使用其中一個内部位址，達到負載均衡的目。位址轉換網關存在軟體實作和硬體實作兩種方式。

硬體實作方式指硬體廠商将這種技術內建在交換機中，作為第四層交換的一種功能，一般采用随機選擇、根據伺服器的連接配接數量或者響應時間進行選擇的負載均衡政策來配置設定負載。但硬體實作方式的靈活性不強，不能支援更優化的負載均衡政策和更複雜的應用協定。

軟體實作方式指在伺服器上安裝負載均衡的位址轉換網關，可以對各伺服器的CPU、硬碟I/O或網絡I/O等多種資源進行實時監控，并根據各種政策來轉發客戶對伺服器的請求，是以具有較大的靈活性。

5.2.3使用DNS伺服器

使用DNS伺服器來提供負載均衡是一種較為簡單的方法，提供服務的多個伺服器獨立運作，并具有獨立的IP位址，形成了一個可以提供服務的IP位址組。網絡管理者在DNS伺服器上進行注冊，使得所有這些伺服器的IP位址都擁有一個相同的域名，并對外隻公布這個域名。當客戶送出服務請求前，需要進行域名解析，DNS伺服器會針對這個域名的解析循環用IP位址組中的IP位址來應答，使得每次客戶通路的伺服器IP位址都不同，進而達到複雜均衡。

使用DNS是一種簡單的負載均衡方式，不可能根據各伺服器的負載情況而動态調整DNS的解析，甚至伺服器組中的一台伺服器出現故障而不能提供服務時，DNS仍不會将該伺服器的IP位址從循環解析清單中清除，導緻一部分請求失效。

5.2.4高可用性技術

雙機熱備份高可用（High Availability，HA）系統，又稱為高可用性叢集，一般由兩台伺服器構成，通過對關鍵部件的備援設計，可以保證系統硬體具有很高的可用性，對于一般非關鍵應用場合，其硬體系統的可用性可以達到99.99%。在正常工作時，兩台伺服器同時工作或一台工作另一台熱備，通過以太網和RS232口互相進行檢測，并不斷完成同步操作，資料儲存在共享磁陣中。

傳統的高可用性叢集的工作模式主要是單活（Active/Passive）、雙活（Active/Active）。

單活指伺服器叢集中，一台伺服器處于活躍狀态，對外提供服務，另外一台為熱備方式，通過網卡和串行線路監控活躍伺服器并實作資料同步，一旦發現活躍伺服器出現故障，則通過IP位址漂移等技術接管服務。

雙活指伺服器叢集中，兩台伺服器都處于活躍狀态，并同時提供服務，互相之間通過網卡和串行線路互相監控并實作資料同步，一旦一台伺服器出現故障，則另一台伺服器接管所有的服務負載。

高可用性服務叢集主要應用于資料庫伺服器和各種應用伺服器，這些伺服器之間通過串行線路或網絡線路的心跳線來實作伺服器監控和資料同步，并且所有伺服器都通過光纖通道連接配接至磁陣，實作高速的磁盤通路。

伺服器作業系統一級的高可用性叢集主要借助于作業系統提供的叢集軟體來實作，可以采用單活或雙活方式。

資料庫應用一級的高可用性叢集主要借助于資料庫管理系統軟體提供的應用叢集軟體實作。常用的資料庫管理系統産品中，SQL Server主要采用單活模式，Oracle主要采用雙活模式。

各類應用服務軟體一級的高可用叢集主要借助于應用軟體提供的叢集軟體實作。

5.3資料容災與恢複

資料容災機制保證企業網絡核心業務資料在災難發生後的及時恢複，資料容災機制應符合以下總體要求：有運作維護人員執行定期的資料備份任務；有專門的運維人員定期檢查備份情況；應制定資料恢複預案，并由相關部門備案；備份的資料必須有效且能進行恢複。

5.3.1容災系統建設

（1）建設位址的選擇

災難恢複和災難備份中心的建設地點應滿足以下要求：

應與核心網絡中心距離大于十千米以上；
網絡基礎設施較完善，能提供足夠帶寬的廣域網絡線路；
應能夠提供充足的雙回路電力系統；
不能在地震、洪澇、台風、雷擊等地質災害和天氣災害的多發位址；
不能在重要設施密集地區；
不能在交通要道附近；
不能與重要建築和标志性建設相鄰。

（2）基礎建設的要求

備用基礎設施包括支援災難備份系統運作的機房、資料備份中心而當存儲基礎設施和備份運作系統的伺服器等。建設要求如下：

機房的建設要求符合國标；
存儲基礎設施應建立有效的存儲系統，以保證資料的安全性、備份的簡單性和易管理性；
伺服器應根據需要，針對核心網絡中的主要服務設立備份伺服器。

（3）網絡線路的備份

備用網絡系統包含備用網絡通信裝置和備用資料通信線路，并滿足以下要求：

配置與核心網絡相同等級的通信線路和網絡裝置，包括通信線路、路由器、交換機和防火牆等，使最終使用者可以通過網絡同時接入主、備中心；
應部署一定的安全系統以保證容災系統的安全，包括入侵檢測等。

（4）建設方式

資料備份系統設施的建設方式可采用機關自行建設、運作；多方共建或通過互惠協定擷取；租用其他機構的系統，如商業化災難備份中心的基礎設施；事先與廠商簽訂緊急供貨協定。

5.3.2資料備份與恢複

資料備份與恢複應滿足以下要求：

應提供本地資料備份與恢複功能，完全資料備份應每天一次；
重要資料應定期從運作的系統中備份到本地的CD光牒、海量磁盤、錄音帶或錄音帶庫等媒體中；
應制定合理的備份政策，包括媒體的分類、标記、查找方法，媒體的使用、維護、保養、銷毀，資料備份頻率、儲存時間等；
對資料備份政策的實施情況定期進行檢查；
采用異地備份方式，資料可通過網絡系統定時自動地備份到異地的磁盤陣列；
當某些因素引起資料不完整、不連續、不可靠、喪失業務的連續性或者資料庫需要重建時，就應該進行業務資料的恢複；
資料恢複時，資料庫管理者應填寫資料恢複申請表，制定資料恢複計劃，報請主管準許，而後按恢複計劃執行恢複操作；
業務資料恢複前的檢查，即嚴格審查資料是否已經喪失連續生産的可能，嚴格審查資料庫是否需要重建，嚴格檢查備份媒體、備份資料是否有效；
對資料恢複工具進行嚴格控制，盡可能地防止誤操作。并且資料的恢複工具應有詳細的操作說明、操作步驟以及注意事項說明。

6、網絡安全設計

6.1網絡安全準則

6.1.1安全域劃分

網絡平台安全域通常可以劃分為：核心區域網路安全域、部門網絡安全域、分支結構網絡安全域、異地備災中心安全域、網際網路門戶網站安全域、通信線路營運商廣域網安全域等。另外，核心區域網路安全域又可以劃分為中心伺服器子區、資料存儲子區、托管伺服器子區、核心網絡裝置子區、線路裝置子區等多個子區域。在實際的網絡工程中，設計人員可根據需要自行進行安全域的劃分。

6.1.2邊界安全政策

網絡的邊界安全通路總體政策為：允許高安全級别的安全域通路低安全級别的安全域，限制低安全級别的安全域通路高安全級别的安全域，不同安全域内部分區進行安全防護，做到安全可控。

下列設計規則将依據常見的安全區域方法，對主要的邊界規則進行介紹。

（1）核心網絡與網際網路的邊界安全措施設計應符合以下要求：

應部署邏輯隔離措施，主要是防火牆隔離；
允許網際網路使用者通路網絡DMZ區域的網際網路門戶嗎網站等相關伺服器的對外開放服務；
對于特殊的應用，允許網際網路移動辦公人員通過安全認證網關通路位于DMZ的業務應用；
禁止網際網路使用者通路内部網絡應用系統；
關閉網絡病毒相關端口，無特殊需要禁止開放；
應對進出網絡的資料流進行監控、分析和審計；
應阻止來自網際網路的各種攻擊。

（2）核心網絡與部門、分支機構網絡的邊界安全措施設計應符合以下要求：

中小型網絡，不需要在該邊界添加任何隔離裝置；
大型網絡，可根據需要添加邏輯隔離裝置（如防火牆或啟用了過濾規則的路由器）；
應對進出核心區域網路的資料流進行監控；
關閉網絡病毒相關端口，無特殊需要禁止開放；
允許核心網絡通路部門或分支網絡系統；
禁止核心網絡的普通終端使用者直接通路基礎資料庫服務子區域；
允許部門和分支網絡使用者在受控的前提下，通路核心網絡中的伺服器資源。

（3）核心網絡與異地容災中心的邊界安全措施設計應符合以下規則：

如采用資料級容災，則不需要進行邏輯隔離，但是必須保護線路的實體安全；
如采用應用級容災，則可以添加邏輯隔離裝置，隻允許開放遠端資料存儲和備份所需的相關服務。

6.1.3路由交換裝置安全配置

路由交換裝置的安全配置應符合以下要求：

每台裝置上要求安裝經認可的作業系統，并及時修補漏洞；
路由器設定加長密碼，網絡管理人員調離或退出本崗位時密碼應立即更換；
路由器密碼不得以明文形式出現在紙質材料上，密碼應隐式記錄，記錄材料應存放于保險櫃中；
限制邏輯通路，合理處置通路控制清單，限制遠端終端會話；
監控配置更改，改動路由器配置時，進行監控；
定期備份配置和日志；
明确責任，維護人員對更改路由器配置的時間、操作哦方式、原因和權限需要明确，哎進行任何更改之前，制定詳細的逆序操作規程。

6.1.4防火牆安全配置

在不同的安全域之間或安全域内部不同安全級别的子區域之間可以根據需要部署防火牆，防火牆的安全配置與路由交換裝置基本相同，但是需要添加一項内容——防火牆産品應有國家相關安全部門的證書。

6.1.5網閘安全配置

網絡中如存在安全級别較高的區域，則可以通過網閘裝置實施隔離。同時，網閘隔離尤其适用于工作性質較為特殊的機關，其内部網絡中含有一定的敏感資訊，可以通過網閘在受控的情況下與外部網進行連接配接。網閘的安全配置要求同防火牆。

6.1.6入侵檢測安全配置

入侵檢測的安全配置應符合以下要求：

中大型網絡平台應部署基于網絡的入侵檢測系統（NIDS）；
網絡入侵檢測系統應對核心區域網路、DMZ區域進行檢測；
如需要對大型網絡的部門、分支機構網絡進行入侵檢測，應采用分布式方式部署入侵檢測系統；
入侵檢測産品應有國家相關安全部門的證書；
監控配置更改，改動入侵檢測系統配置時，進行監控；
定期備份配置和日志；
入侵檢測系統設定加長密碼；
如采用分布式部署方式，各級入侵檢測系統宜采用分級管理方式進行管理。

6.1.7抗DDos攻擊安全配置

抗DDos攻擊的安全配置應符合以下要求：

網絡平台應針對其對外提供服務的區域，例如DMZ區域部署抗DDos裝置；
抗DDos攻擊一般不部署于核心網絡，而是部署于網絡邊界；
對于大型網絡，可以采用獨立的抗DDos攻擊裝置，中小型網絡可以采用帶有抗DDos攻擊子產品的防火牆或路由器産品。

6.1.8虛拟專用網（VPN）功能要求

無論是企業網絡内多個區域網路的VPN互連，還是提供外部網絡使用者通路内部網絡的VPN網關，其技術要求都必須包括：

應提供靈活的VPN網絡組建方式，支援IPsec VPN和SSL VPN，保證系統的相容性；
支援多種認證方式，如支援使用者名+密碼、證書、USB+證書+密碼三因素等認證方式；
支援隧道傳輸保障技術，可以穿越網絡和防火牆；
支援網絡層以上的B/S和C/S應用；
必須能夠為使用者配置設定專用網絡上的位址并確定位址的安全性；
對通過網際網路絡傳遞的資訊必須經過加密，確定網絡其他未授權的使用者無法讀取該資訊；
應能提供部署與功能要求。

6.1.9流量管理部署與功能要求

在帶寬資源較為緊張的網絡線路上，應可調節網上各應用類型的資料流量，調整和限定帶寬，保證重要應用系統的網絡帶寬。通常情況下，流量管理裝置部署于内部網絡與網際網路或者外部網絡的出口處。流量管理部署應符合以下要求：

提供基于IP的總流量的控制；
提供多時段的網絡流量統計分析；
提供網絡實時負載分析；
提供關鍵業務流的實時流量監控；
提供應用流量帶寬配置設定與控制；
提供使用者分組管理，實作基于IP和基于使用者的管理。

6.1.10網絡監控與審計部署與功能要求

網絡監控與審計部署應符合以下要求：

應在核心網絡中部署網絡監控系統，采集和監控網絡中的流量和事件、裝置運作狀态等資訊，通過對這些資訊的分析發現異常事件；
應實作對監控事件的實時性響應和多種方式的報警功能；
應實作對相關事件的關聯處理、分析能力，實作對不良事件的應急處理能力；
應對異常事件及其處理進行審計；
應對審計中的異常資訊建立相關的處理流程。

6.1.11通路控制部署與功能要求

通路控制部署應符合以下要求：

應在網絡邊界部署通路控制裝置，啟用通路控制功能；
應能根據會話狀态資訊為資料流提供明确的允許/拒絕通路的能力，控制粒度為端口級；
應對進出網絡的資訊内容進行過濾，實作對應用層HTTP、FTP、Telnet、SMTP、POP3等協定指令級的控制；
應在會話處于非活躍一定時間或會話結束後終止網絡連接配接；
應限制網絡最大流量數及網絡連接配接數；
重要網段應采取技術手段防止位址欺騙；
應按使用者和系統之間的允許通路規則，決定允許或拒絕使用者對受控系統進行資源通路，控制粒度為單個使用者；
嚴格限制撥号使用者對網絡不同區域的通路。

6.2網絡安全設計

6.2.1網絡安全層次模型

網絡安全層次模型如下圖所示：

實體層安全是安全防範的基礎，其次要依次考慮網絡層安全、系統層安全和應用層安全。合理的網絡管理和安全政策涉及各個層次的安全因素。

實體層安全包括通信線路的安全、實體裝置的安全和機房的安全等。實體層的安全主要展現在通信線路的可靠性（如線路備份、網管軟體和傳輸媒體）、軟硬體裝置的安全性（如替換裝置、拆卸裝置和增加裝置）、裝置的備份、防災害能力、防幹擾能力、裝置的運作環境（如溫度、濕度和灰塵）以及不間斷電源保障等。

系統層安全問題來自網絡内使用的作業系統安全，如Windows、UNIX和Linux等。系統層安全主要表現在三方面：一是作業系統本身的缺陷帶來的不安全因素，主要包括身份認證、通路控制和系統漏洞等；二是對作業系統的安全配置問題；三是病毒對作業系統的威脅。

網絡層安全問題主要展現在網絡方面的安全性，包括網絡層身份認證、網絡資源的通路控制、資料傳輸的保密與完整性、遠端接入的安全、域名熊的安全、路由系統的安全、入侵檢測的手段以及網絡設施防病毒等。

應用層安全問題主要由提供服務的應用軟體和資料的安全性産生，包括web服務、電子郵件系統和DNS等。此外，還包括病毒對應用系統的威脅。

安全管理包括安全技術和裝置的管理、安全管理制度、部門與人員的組織規章等。管理的制度化極大地影響着整個網絡的安全，嚴格的安全管理制度、明确的部門安全職責劃分以及合理的人員角色配置都可以在很大程度上降低各個層次的安全漏洞。

6.2.2網絡安全設計原則

基于網絡安全層次模型，可以采用子產品化的安全設計方法，将一個大的網絡劃分成子產品來處理設計上的問題。子產品化的設計方法有助于確定在設計階段能夠對網絡的每個關鍵部分進行考慮，并且保證了網絡的可擴充性。

子產品化安全設計中要考慮以下問題：

保護Internet連接配接；
公共伺服器保護；
電子商務伺服器的保護；
保護遠端通路和虛拟專用網；
保護網絡服務和網絡管理；
企業資料中心保護；
提供使用者服務；
保護無線網絡。

[網絡工程師]-網絡規劃與設計-邏輯網絡設計（三）