開放性和標準化原則
首先採用國家標準和國際標準,其次採用廣為流行的、實用的工業標準。只有這樣,網路系統內部才能方便地從外部網路快速獲取資訊,同時還要求授權後,網路內部的部分資訊可以對外開放,保證網路系統適度的開放性。
在進行網路系統設計時,在有標準可執行的情況下,一定要嚴格按照相應的標準進行設計,特別是在網線製作、結構化佈線和網路裝置協議支援等方面。採用開放的標準,就可以充分保障網路系統設計的延續性,即使將來最初設計人員不在現場,後來人員也可以透過標準輕鬆地瞭解整個網路系統的設計,保證互連簡單易行。這是非常重要而且是非常必要的。同時又是許多網路工程師設計人員經常忽視的。
實用性與先進性兼顧原則
在網路系統設計時應該以注重實用為原則,緊密結合具體應用的實際需求。在選擇具體的網路技術時,要同時考慮當前及未來一段時間內主流應用的技術,不要一味地追求新技術和新產品。一方面新的技術和產品還有一個成熟的過程,立即選用新的技術和產品,可能會出現各種意想不到的問題;另一方面,最新技術的產品價格肯定非常昂貴,會造成不必要的資金浪費。
如在乙太網技術中,目前G級以下的乙太網技術都非常成熟,產品價格也已降到合理的水平,但10G乙太網技術還沒有得到普及應用,相應的產品價格仍相當昂貴,如果沒有必要,則建議不要選擇10G乙太網技術的產品。
另外一定要選擇主流應用的技術,如已很少使用的同軸電纜的令牌環乙太網和FDDI光釺乙太網就不要選擇了。目前的乙太網技術基本上都是基於雙絞線和光釺的,其傳輸速率最低都應達到10~100Mbit/s。
無瓶頸原則
這一點非常重要,否則會造成高成本購買的高檔次裝置,卻得不到相應的高效能。網路效能與網路安全效能,最終取決於網路通訊鏈路中效能最低的那部分裝置。
如某匯聚層交換機連結到核心交換機的1000Mbit/s雙絞線乙太網埠上,而該匯聚層交換機卻只有100Mbit/s,甚至只要10Mbit/s的埠,很顯然這個匯聚層交換機上所連線的節點都只能享有10Mbit/s,或者100Mbit/s的速度。如果上聯埠具有1000Mbit/s的速率,而各節點埠都支援100Mbit/s的連線,則效能會完全不一樣。
再如,伺服器的各項硬體配置都非常高檔,達到了企業級標準,但所用的網絡卡卻只是普通的100Mbit/s網絡卡,這必然將成為這臺伺服器效能發揮的瓶頸,再好的其他配置,最終也無法正常發揮。
這類現象還是非常多,。所以在進行網路設計時,一定要全域性綜合考慮各部分的效能,不能只注重區域性的效能配置,特別是交換機埠、網絡卡和伺服器元件配置等方面。
可用性原則
伺服器的“四性”之一是“可用性”,網路系統也是一樣需要遵循。它決定了所設計的網路系統是否能滿足使用者應用和穩定執行的需求。網路的“可用性”主要體現在網路的“可靠性和穩定性”,這要求網路系統能長時間穩定執行,而不能經常出現這樣或者那樣的問題,否則會給使用者帶來的損失可能是非常巨大的,特別是大型外貿、電子商務型別的企業。“可用性”還表現在所選擇產品要能真正用得上,如所選擇的伺服器產品只支援UNIX系統,而使用者系統中根本不打算用UNIX系統,則所選擇的伺服器就派不上用場了。
網路系統的“可用性”通常是由網路裝置的“可用性”決定的(軟體系統也有“可用性”要求),主要體現在伺服器、交換機、路由器和防火牆等重負荷裝置上。在選購這些裝置時,一定不要貪圖廉價,而要選擇一些國內外主流品牌、應用主流技術和成熟型號的產品。
另外,網路系統的電源供應在“可用性”保障方面也非常重要。對於關鍵網路裝置和關鍵客戶機來說,需要為這些節點配置足夠功率的不間斷電源(UPS),在電源出現不穩定或者停電時,可以持續供電一段時間用於使用者保持資料並退出系統,以避免資料丟失。通常伺服器、交換機、路由器和防火牆等關鍵裝置要有1小時以上(通常是3小時)的UPS,而關鍵客戶機只需要接在支援5min以上UPS即可。
安全性原則
網路安全也涉及許多方面,最明顯、最重要的就是對外界入侵、攻擊和檢查與防護。現在的網路幾乎無時無刻不受到外界的安全威脅,稍有不慎就會被病毒感染、駭客入侵,致使整個網路陷入癱瘓。在一個安全措施完善的計算機網路中,不但部署了病毒防護系統、防火牆隔離系統,還可能部署了入侵檢測、木馬查殺系統、物理隔離系統等,所選用系統的等級要根據相應網路規模大小和安全需要而定,並不一定要求每個網路系統都全面部署這些防護系統。
除了病毒、駭客入侵外,網路系統的安全性需求還體現在使用者對資料的訪問許可權上。根據對應的工作需求為不同使用者、不同資料配置相應的訪問許可權,對安全級別需求較高的資料則要採取相應的加密措施。同時,對用賬戶,特別是高許可權賬戶的安全更要高度重視,要採取相應的賬戶防護策略(如密碼複雜性策略、賬戶鎖定策略等),保護好使用者賬戶,以防被非法使用者盜取。
安全性防護的另外一個重要方面就是資料備份和容災處理。資料備份和容災處理,在一定程度上決定了企業的生存與發展,特別是以電子文件為主的電子商務類企業資料。在設計網路系統時,一定要充分考慮到為使用者資料備份和容災部署相應級別的備份和容災方案。如中小型企業通常是採用Microsoft公司Windows Server 2000、Windows Server 2003系統中備份工具,進行資料備份和恢復。對於大型的企業,則可能採用第三方專門的資料備份系統,如Veritas公司的BackupExec系統。
開放性和標準化原則
首先採用國家標準和國際標準,其次採用廣為流行的、實用的工業標準。只有這樣,網路系統內部才能方便地從外部網路快速獲取資訊,同時還要求授權後,網路內部的部分資訊可以對外開放,保證網路系統適度的開放性。
在進行網路系統設計時,在有標準可執行的情況下,一定要嚴格按照相應的標準進行設計,特別是在網線製作、結構化佈線和網路裝置協議支援等方面。採用開放的標準,就可以充分保障網路系統設計的延續性,即使將來最初設計人員不在現場,後來人員也可以透過標準輕鬆地瞭解整個網路系統的設計,保證互連簡單易行。這是非常重要而且是非常必要的。同時又是許多網路工程師設計人員經常忽視的。
實用性與先進性兼顧原則
在網路系統設計時應該以注重實用為原則,緊密結合具體應用的實際需求。在選擇具體的網路技術時,要同時考慮當前及未來一段時間內主流應用的技術,不要一味地追求新技術和新產品。一方面新的技術和產品還有一個成熟的過程,立即選用新的技術和產品,可能會出現各種意想不到的問題;另一方面,最新技術的產品價格肯定非常昂貴,會造成不必要的資金浪費。
如在乙太網技術中,目前G級以下的乙太網技術都非常成熟,產品價格也已降到合理的水平,但10G乙太網技術還沒有得到普及應用,相應的產品價格仍相當昂貴,如果沒有必要,則建議不要選擇10G乙太網技術的產品。
另外一定要選擇主流應用的技術,如已很少使用的同軸電纜的令牌環乙太網和FDDI光釺乙太網就不要選擇了。目前的乙太網技術基本上都是基於雙絞線和光釺的,其傳輸速率最低都應達到10~100Mbit/s。
無瓶頸原則
這一點非常重要,否則會造成高成本購買的高檔次裝置,卻得不到相應的高效能。網路效能與網路安全效能,最終取決於網路通訊鏈路中效能最低的那部分裝置。
如某匯聚層交換機連結到核心交換機的1000Mbit/s雙絞線乙太網埠上,而該匯聚層交換機卻只有100Mbit/s,甚至只要10Mbit/s的埠,很顯然這個匯聚層交換機上所連線的節點都只能享有10Mbit/s,或者100Mbit/s的速度。如果上聯埠具有1000Mbit/s的速率,而各節點埠都支援100Mbit/s的連線,則效能會完全不一樣。
再如,伺服器的各項硬體配置都非常高檔,達到了企業級標準,但所用的網絡卡卻只是普通的100Mbit/s網絡卡,這必然將成為這臺伺服器效能發揮的瓶頸,再好的其他配置,最終也無法正常發揮。
這類現象還是非常多,。所以在進行網路設計時,一定要全域性綜合考慮各部分的效能,不能只注重區域性的效能配置,特別是交換機埠、網絡卡和伺服器元件配置等方面。
可用性原則
伺服器的“四性”之一是“可用性”,網路系統也是一樣需要遵循。它決定了所設計的網路系統是否能滿足使用者應用和穩定執行的需求。網路的“可用性”主要體現在網路的“可靠性和穩定性”,這要求網路系統能長時間穩定執行,而不能經常出現這樣或者那樣的問題,否則會給使用者帶來的損失可能是非常巨大的,特別是大型外貿、電子商務型別的企業。“可用性”還表現在所選擇產品要能真正用得上,如所選擇的伺服器產品只支援UNIX系統,而使用者系統中根本不打算用UNIX系統,則所選擇的伺服器就派不上用場了。
網路系統的“可用性”通常是由網路裝置的“可用性”決定的(軟體系統也有“可用性”要求),主要體現在伺服器、交換機、路由器和防火牆等重負荷裝置上。在選購這些裝置時,一定不要貪圖廉價,而要選擇一些國內外主流品牌、應用主流技術和成熟型號的產品。
另外,網路系統的電源供應在“可用性”保障方面也非常重要。對於關鍵網路裝置和關鍵客戶機來說,需要為這些節點配置足夠功率的不間斷電源(UPS),在電源出現不穩定或者停電時,可以持續供電一段時間用於使用者保持資料並退出系統,以避免資料丟失。通常伺服器、交換機、路由器和防火牆等關鍵裝置要有1小時以上(通常是3小時)的UPS,而關鍵客戶機只需要接在支援5min以上UPS即可。
安全性原則
網路安全也涉及許多方面,最明顯、最重要的就是對外界入侵、攻擊和檢查與防護。現在的網路幾乎無時無刻不受到外界的安全威脅,稍有不慎就會被病毒感染、駭客入侵,致使整個網路陷入癱瘓。在一個安全措施完善的計算機網路中,不但部署了病毒防護系統、防火牆隔離系統,還可能部署了入侵檢測、木馬查殺系統、物理隔離系統等,所選用系統的等級要根據相應網路規模大小和安全需要而定,並不一定要求每個網路系統都全面部署這些防護系統。
除了病毒、駭客入侵外,網路系統的安全性需求還體現在使用者對資料的訪問許可權上。根據對應的工作需求為不同使用者、不同資料配置相應的訪問許可權,對安全級別需求較高的資料則要採取相應的加密措施。同時,對用賬戶,特別是高許可權賬戶的安全更要高度重視,要採取相應的賬戶防護策略(如密碼複雜性策略、賬戶鎖定策略等),保護好使用者賬戶,以防被非法使用者盜取。
安全性防護的另外一個重要方面就是資料備份和容災處理。資料備份和容災處理,在一定程度上決定了企業的生存與發展,特別是以電子文件為主的電子商務類企業資料。在設計網路系統時,一定要充分考慮到為使用者資料備份和容災部署相應級別的備份和容災方案。如中小型企業通常是採用Microsoft公司Windows Server 2000、Windows Server 2003系統中備份工具,進行資料備份和恢復。對於大型的企業,則可能採用第三方專門的資料備份系統,如Veritas公司的BackupExec系統。