5、网络冗余设计

5.1备用路径与负载分担

网络冗余设计允许通过设置双重网络元素来满足网络的可用性需求，冗余减低了网络的单点失效，其目标是重复设置网络组件，以避免单个组件的失效而导致应用失效。在网络冗余设计中，对于通信线路常见的设计目标主要有两个：一个是备用路径；另外一个是负载分担。

5.1.1备用路径

备用路径主要是为了提高网络的可用性。当一条路径或者多条路径出现故障时，为了保障网络的连通，网络中必须存在冗余的备用路径。备用路径由路由器、交换机等设备之间的独立备用链路构成，一般情况下，备用路径仅仅在主路径失效时投入使用。

设计备用路径时主要考虑以下因素：

（1）备用路径的带宽。备用路径带宽的依据，主要是网络中重要区域、重要应用的带宽需要，设计人员要根据主路径失效后，哪些网络流量是不能中断的来形成备用路径的最小带宽需求。

（2）切换时间。切换时间指从主路径故障到备用路径投入使用的时间，切换时间主要取决于用户对应用系统中断服务时间的容忍度。

（3）非对称。备用路径的带宽比主路径的带宽小是正常的设计方法，由于备用路径大多数情况下并不投入使用，过大的带宽容易造成浪费。

（4）自动切换。设计备用路径时，应尽量采用自动切换方式，避免使用手工切换。

（5）测试。备用路径由于长期不投入使用，对线路、设备上存在的问题，不容易发现，应设计定期的测试方法，以便于及时发现问题。

5.1.2负载分担

负载分担是通过冗余的形式来提高网络的性能，是对备用路径方式的扩充。负载分担是通过并行链路提供流量分担来提高性能，其主要的实现方式是利用两个或多个网络接口和路径来同时传递流量。

关于负载分担，设计时主要考虑以下因素：

（1）对于网络中存在备用路径、备用链路的情况，就可以考虑加入负载分担设计；

（2）对于主路径、备用路径都相同的情况，可以实施负载分担的特例——负载均衡，也就是多条路径上的流量是均衡的；

（3）对于主路径、备用路径不相同的情况，可以采用策略路由机制，让一部分应用的流量分摊到备用路径上；

（4）在路由算法的设计上，大多数设备制造厂商实现的路由算法，都能够在相同带宽的路径上实现负载均衡，甚至于部分特殊的路由算法，例如IGRP和增强IERP中，可以根据主路径和备用路径的带宽比例实现负载分担。

5.2服务器冗余和负载均衡

为了提高服务器的性能和工作负载能力，企业通常会使用DNS服务器、网络地址转化等技术来实现多服务器负载均衡，特别是对外服务的Web网站，许多都是通过几台服务器来完成服务器访问的负载均衡一般来说，实现服务器的冗余和负载均衡有多种方式。

5.2.1使用负载均衡服务器

负载服务均衡器实际上是应用系统的一种控制服务器，所有用户的请求都首先到此服务器，然后由此服务器根据各个实际处理服务器的状态请求具体分配到某个实际处理服务器中，对外公开的域名和IP地址都是负载服务均衡器的域名和IP地址。

负载服务均衡器上需要安装负载均衡控制与管理软件，这台服务器一般只做负载均衡任务分配，但不是实际对网络请求进行处理的服务器。

负载服务均衡器为了将负载均匀地分配给内部的多个服务器，就需要应用一定的负载均衡策略，例如基于CPU繁忙程度或内存占用程度等。对于常见的web服务，可以借助于负载服务均衡器让多台服务器设备提供服务。每台服务器的状态可以设定为regular（正常工作）或backup（备份状态），或者同时设定为regular状态。负载均衡器根据设定好的负载均衡策略来将用户请求重定向到不同的服务器。

通过负载服务均衡器不仅可以实现各服务器群的流量动态负载均衡，并互为冗余备份，同时还具有一定的扩展性，可不断添加新的服务器加入负载均衡系统。

5.2.2使用网络地址转换

支持负载均衡的地址转换网关可以将一个外部IP地址映射为多个内部IP地址，对每次TCP连接请求动态使用其中一个内部地址，达到负载均衡的目。地址转换网关存在软件实现和硬件实现两种方式。

硬件实现方式指硬件厂商将这种技术集成在交换机中，作为第四层交换的一种功能，一般采用随机选择、根据服务器的连接数量或者响应时间进行选择的负载均衡策略来分配负载。但硬件实现方式的灵活性不强，不能支持更优化的负载均衡策略和更复杂的应用协议。

软件实现方式指在服务器上安装负载均衡的地址转换网关，可以对各服务器的CPU、硬盘I/O或网络I/O等多种资源进行实时监控，并根据各种策略来转发客户对服务器的请求，因此具有较大的灵活性。

5.2.3使用DNS服务器

使用DNS服务器来提供负载均衡是一种较为简单的方法，提供服务的多个服务器独立运行，并具有独立的IP地址，形成了一个可以提供服务的IP地址组。网络管理员在DNS服务器上进行注册，使得所有这些服务器的IP地址都拥有一个相同的域名，并对外只公布这个域名。当客户提交服务请求前，需要进行域名解析，DNS服务器会针对这个域名的解析循环用IP地址组中的IP地址来应答，使得每次客户访问的服务器IP地址都不同，从而达到复杂均衡。

使用DNS是一种简单的负载均衡方式，不可能根据各服务器的负载情况而动态调整DNS的解析，甚至服务器组中的一台服务器出现故障而不能提供服务时，DNS仍不会将该服务器的IP地址从循环解析列表中清除，导致一部分请求失效。

5.2.4高可用性技术

双机热备份高可用（High Availability，HA）系统，又称为高可用性集群，一般由两台服务器构成，通过对关键部件的冗余设计，可以保证系统硬件具有很高的可用性，对于一般非关键应用场合，其硬件系统的可用性可以达到99.99%。在正常工作时，两台服务器同时工作或一台工作另一台热备，通过以太网和RS232口互相进行检测，并不断完成同步操作，数据保存在共享磁阵中。

传统的高可用性集群的工作模式主要是单活（Active/Passive）、双活（Active/Active）。

单活指服务器集群中，一台服务器处于活跃状态，对外提供服务，另外一台为热备方式，通过网卡和串行线路监控活跃服务器并实现数据同步，一旦发现活跃服务器出现故障，则通过IP地址漂移等技术接管服务。

双活指服务器集群中，两台服务器都处于活跃状态，并同时提供服务，相互之间通过网卡和串行线路相互监控并实现数据同步，一旦一台服务器出现故障，则另一台服务器接管所有的服务负载。

高可用性服务集群主要应用于数据库服务器和各种应用服务器，这些服务器之间通过串行线路或网络线路的心跳线来实现服务器监控和数据同步，并且所有服务器都通过光纤通道连接至磁阵，实现高速的磁盘访问。

服务器操作系统一级的高可用性集群主要借助于操作系统提供的集群软件来实现，可以采用单活或双活方式。

数据库应用一级的高可用性集群主要借助于数据库管理系统软件提供的应用集群软件实现。常用的数据库管理系统产品中，SQL Server主要采用单活模式，Oracle主要采用双活模式。

各类应用服务软件一级的高可用集群主要借助于应用软件提供的集群软件实现。

5.3数据容灾与恢复

数据容灾机制保证企业网络核心业务数据在灾难发生后的及时恢复，数据容灾机制应符合以下总体要求：有运行维护人员执行定期的数据备份任务；有专门的运维人员定期检查备份情况；应制定数据恢复预案，并由相关部门备案；备份的数据必须有效且能进行恢复。

5.3.1容灾系统建设

（1）建设地址的选择

灾难恢复和灾难备份中心的建设地点应满足以下要求：

应与核心网络中心距离大于十千米以上；
网络基础设施较完善，能提供足够带宽的广域网络线路；
应能够提供充足的双回路电力系统；
不能在地震、洪涝、台风、雷击等地质灾害和天气灾害的多发地址；
不能在重要设施密集地区；
不能在交通要道附近；
不能与重要建筑和标志性建设相邻。

（2）基础建设的要求

备用基础设施包括支持灾难备份系统运行的机房、数据备份中心而当存储基础设施和备份运行系统的服务器等。建设要求如下：

机房的建设要求符合国标；
存储基础设施应建立有效的存储系统，以保证数据的安全性、备份的简单性和易管理性；
服务器应根据需要，针对核心网络中的主要服务设立备份服务器。

（3）网络线路的备份

备用网络系统包含备用网络通信设备和备用数据通信线路，并满足以下要求：

配置与核心网络相同等级的通信线路和网络设备，包括通信线路、路由器、交换机和防火墙等，使最终用户可以通过网络同时接入主、备中心；
应部署一定的安全系统以保证容灾系统的安全，包括入侵检测等。

（4）建设方式

数据备份系统设施的建设方式可采用单位自行建设、运行；多方共建或通过互惠协议获取；租用其他机构的系统，如商业化灾难备份中心的基础设施；事先与厂商签订紧急供货协议。

5.3.2数据备份与恢复

数据备份与恢复应满足以下要求：

应提供本地数据备份与恢复功能，完全数据备份应每天一次；
重要数据应定期从运行的系统中备份到本地的光盘、海量磁盘、磁带或磁带库等介质中；
应制定合理的备份策略，包括介质的分类、标记、查找方法，介质的使用、维护、保养、销毁，数据备份频率、保存时间等；
对数据备份策略的实施情况定期进行检查；
采用异地备份方式，数据可通过网络系统定时自动地备份到异地的磁盘阵列；
当某些因素引起数据不完整、不连续、不可靠、丧失业务的连续性或者数据库需要重建时，就应该进行业务数据的恢复；
数据恢复时，数据库管理员应填写数据恢复申请表，制定数据恢复计划，报请主管批准，而后按恢复计划执行恢复操作；
业务数据恢复前的检查，即严格审查数据是否已经丧失连续生产的可能，严格审查数据库是否需要重建，严格检查备份介质、备份数据是否有效；
对数据恢复工具进行严格控制，尽可能地防止误操作。并且数据的恢复工具应有详细的操作说明、操作步骤以及注意事项说明。

6、网络安全设计

6.1网络安全准则

6.1.1安全域划分

网络平台安全域通常可以划分为：核心局域网安全域、部门网络安全域、分支结构网络安全域、异地备灾中心安全域、互联网门户网站安全域、通信线路运营商广域网安全域等。另外，核心局域网安全域又可以划分为中心服务器子区、数据存储子区、托管服务器子区、核心网络设备子区、线路设备子区等多个子区域。在实际的网络工程中，设计人员可根据需要自行进行安全域的划分。

6.1.2边界安全策略

网络的边界安全访问总体策略为：允许高安全级别的安全域访问低安全级别的安全域，限制低安全级别的安全域访问高安全级别的安全域，不同安全域内部分区进行安全防护，做到安全可控。

下列设计规则将依据常见的安全区域方法，对主要的边界规则进行介绍。

（1）核心网络与互联网的边界安全措施设计应符合以下要求：

应部署逻辑隔离措施，主要是防火墙隔离；
允许互联网用户访问网络DMZ区域的互联网门户吗网站等相关服务器的对外开放服务；
对于特殊的应用，允许互联网移动办公人员通过安全认证网关访问位于DMZ的业务应用；
禁止互联网用户访问内部网络应用系统；
关闭网络病毒相关端口，无特殊需要禁止开放；
应对进出网络的数据流进行监控、分析和审计；
应阻止来自互联网的各种攻击。

（2）核心网络与部门、分支机构网络的边界安全措施设计应符合以下要求：

中小型网络，不需要在该边界添加任何隔离设备；
大型网络，可根据需要添加逻辑隔离设备（如防火墙或启用了过滤规则的路由器）；
应对进出核心局域网的数据流进行监控；
关闭网络病毒相关端口，无特殊需要禁止开放；
允许核心网络访问部门或分支网络系统；
禁止核心网络的普通终端用户直接访问基础数据库服务子区域；
允许部门和分支网络用户在受控的前提下，访问核心网络中的服务器资源。

（3）核心网络与异地容灾中心的边界安全措施设计应符合以下规则：

如采用数据级容灾，则不需要进行逻辑隔离，但是必须保护线路的物理安全；
如采用应用级容灾，则可以添加逻辑隔离设备，只允许开放远程数据存储和备份所需的相关服务。

6.1.3路由交换设备安全配置

路由交换设备的安全配置应符合以下要求：

每台设备上要求安装经认可的操作系统，并及时修补漏洞；
路由器设置加长口令，网络管理人员调离或退出本岗位时口令应立即更换；
路由器密码不得以明文形式出现在纸质材料上，密码应隐式记录，记录材料应存放于保险柜中；
限制逻辑访问，合理处置访问控制列表，限制远程终端会话；
监控配置更改，改动路由器配置时，进行监控；
定期备份配置和日志；
明确责任，维护人员对更改路由器配置的时间、操作哦方式、原因和权限需要明确，哎进行任何更改之前，制定详细的逆序操作规程。

6.1.4防火墙安全配置

在不同的安全域之间或安全域内部不同安全级别的子区域之间可以根据需要部署防火墙，防火墙的安全配置与路由交换设备基本相同，但是需要添加一项内容——防火墙产品应有国家相关安全部门的证书。

6.1.5网闸安全配置

网络中如存在安全级别较高的区域，则可以通过网闸设备实施隔离。同时，网闸隔离尤其适用于工作性质较为特殊的单位，其内部网络中含有一定的敏感信息，可以通过网闸在受控的情况下与外部网进行连接。网闸的安全配置要求同防火墙。

6.1.6入侵检测安全配置

入侵检测的安全配置应符合以下要求：

中大型网络平台应部署基于网络的入侵检测系统（NIDS）；
网络入侵检测系统应对核心局域网、DMZ区域进行检测；
如需要对大型网络的部门、分支机构网络进行入侵检测，应采用分布式方式部署入侵检测系统；
入侵检测产品应有国家相关安全部门的证书；
监控配置更改，改动入侵检测系统配置时，进行监控；
定期备份配置和日志；
入侵检测系统设置加长口令；
如采用分布式部署方式，各级入侵检测系统宜采用分级管理方式进行管理。

6.1.7抗DDos攻击安全配置

抗DDos攻击的安全配置应符合以下要求：

网络平台应针对其对外提供服务的区域，例如DMZ区域部署抗DDos设备；
抗DDos攻击一般不部署于核心网络，而是部署于网络边界；
对于大型网络，可以采用独立的抗DDos攻击设备，中小型网络可以采用带有抗DDos攻击模块的防火墙或路由器产品。

6.1.8虚拟专用网（VPN）功能要求

无论是企业网络内多个局域网的VPN互连，还是提供外部网络用户访问内部网络的VPN网关，其技术要求都必须包括：

应提供灵活的VPN网络组建方式，支持IPsec VPN和SSL VPN，保证系统的兼容性；
支持多种认证方式，如支持用户名+口令、证书、USB+证书+口令三因素等认证方式；
支持隧道传输保障技术，可以穿越网络和防火墙；
支持网络层以上的B/S和C/S应用；
必须能够为用户分配专用网络上的地址并确保地址的安全性；
对通过互联网络传递的信息必须经过加密，确保网络其他未授权的用户无法读取该信息；
应能提供部署与功能要求。

6.1.9流量管理部署与功能要求

在带宽资源较为紧张的网络线路上，应可调节网上各应用类型的数据流量，调整和限定带宽，保证重要应用系统的网络带宽。通常情况下，流量管理设备部署于内部网络与互联网或者外部网络的出口处。流量管理部署应符合以下要求：

提供基于IP的总流量的控制；
提供多时段的网络流量统计分析；
提供网络实时负载分析；
提供关键业务流的实时流量监控；
提供应用流量带宽分配与控制；
提供用户分组管理，实现基于IP和基于用户的管理。

6.1.10网络监控与审计部署与功能要求

网络监控与审计部署应符合以下要求：

应在核心网络中部署网络监控系统，采集和监控网络中的流量和事件、设备运行状态等信息，通过对这些信息的分析发现异常事件；
应实现对监控事件的实时性响应和多种方式的报警功能；
应实现对相关事件的关联处理、分析能力，实现对不良事件的应急处理能力；
应对异常事件及其处理进行审计；
应对审计中的异常信息建立相关的处理流程。

6.1.11访问控制部署与功能要求

访问控制部署应符合以下要求：

应在网络边界部署访问控制设备，启用访问控制功能；
应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级；
应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、Telnet、SMTP、POP3等协议命令级的控制；
应在会话处于非活跃一定时间或会话结束后终止网络连接；
应限制网络最大流量数及网络连接数；
重要网段应采取技术手段防止地址欺骗；
应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户；
严格限制拨号用户对网络不同区域的访问。

6.2网络安全设计

6.2.1网络安全层次模型

网络安全层次模型如下图所示：

物理层安全是安全防范的基础，其次要依次考虑网络层安全、系统层安全和应用层安全。合理的网络管理和安全策略涉及各个层次的安全因素。

物理层安全包括通信线路的安全、物理设备的安全和机房的安全等。物理层的安全主要体现在通信线路的可靠性（如线路备份、网管软件和传输介质）、软硬件设备的安全性（如替换设备、拆卸设备和增加设备）、设备的备份、防灾害能力、防干扰能力、设备的运行环境（如温度、湿度和灰尘）以及不间断电源保障等。

系统层安全问题来自网络内使用的操作系统安全，如Windows、UNIX和Linux等。系统层安全主要表现在三方面：一是操作系统本身的缺陷带来的不安全因素，主要包括身份认证、访问控制和系统漏洞等；二是对操作系统的安全配置问题；三是病毒对操作系统的威胁。

网络层安全问题主要体现在网络方面的安全性，包括网络层身份认证、网络资源的访问控制、数据传输的保密与完整性、远程接入的安全、域名熊的安全、路由系统的安全、入侵检测的手段以及网络设施防病毒等。

应用层安全问题主要由提供服务的应用软件和数据的安全性产生，包括web服务、电子邮件系统和DNS等。此外，还包括病毒对应用系统的威胁。

安全管理包括安全技术和设备的管理、安全管理制度、部门与人员的组织规章等。管理的制度化极大地影响着整个网络的安全，严格的安全管理制度、明确的部门安全职责划分以及合理的人员角色配置都可以在很大程度上降低各个层次的安全漏洞。

6.2.2网络安全设计原则

基于网络安全层次模型，可以采用模块化的安全设计方法，将一个大的网络划分成模块来处理设计上的问题。模块化的设计方法有助于确保在设计阶段能够对网络的每个关键部分进行考虑，并且保证了网络的可扩展性。

模块化安全设计中要考虑以下问题：

保护Internet连接；
公共服务器保护；
电子商务服务器的保护；
保护远程访问和虚拟专用网；
保护网络服务和网络管理；
企业数据中心保护；
提供用户服务；
保护无线网络。

[网络工程师]-网络规划与设计-逻辑网络设计（三）