传统意义上的网络拓扑是将网络中的设备和节点描述成点，将网络线路和链路描述成线。

用于研究网络的方法，随着网络的不断发展，单纯的网络拓扑结构已经无法全面描述网络。因此，在逻辑网络设计中，网络结构的概念正在取代网络拓扑结构的概念成为网络设计的框架。

    网络结构是对网络进行逻辑抽象，描述网络中主要连接设备和网络计算机节点分布而形成的网络主体框架，网络结构与网络拓扑结构的最大区别在于:网络拓扑结构中，只有点和线，不会出现任何的设备和计算机节点。网络结构主要是描述连接设备和计算机节点的连接关系。

    由于当前的网络工程主要由局域网和实现局域网互连的广域网构成，因此可以将网络工程中的网络结构设计分成局域网结构和广域网结构两个设计部分内容，其中局域网结构主要讨论数据链路层的设备互连方式，广域网结构主要讨论网络层的设备互连方式。

10.6.1局域网结构

当前的局域网络与传统意义上的局域网络已经发生了很多变化，传统意义上的局域网络只具备二层通信功能，而现代意义上的局域网络不仅具有二层通信功能，同时具有三层甚至多层通信的功能。现代局域网络，从某种意义上说，被称为园区网络更为合适。以下是在进行局域网络设计时，常见的局域网络结构。

  1核心局域网结构

    单核心局域网结构主要由一台核心二层或三层交换设备构建局域网络的核心，通过多台接入交换机接入计算机节点，该网络一般通过与核心交换机互连的路由设备(路由器或防火墙)接入广域网中。典型的单核心结构如图10-13所示。

    对单核心结构分析如下。

    (1)核心交换设备在实现上多采用二层、三层交换机或多层交换机。

    (2)如采用三层或多层设备，可以划分成多个VLAN, VLAN内只进行数据链路层帧转发。

    (3)网络内各 VLAN之间访问需要经过核心交换设备，并且只能通过网络层数据包转发方式实现。

    (4)网络中除核心交换设备之外，不存在其他的带三层路由功能设备。

    (5)核心交换设备与各VLAN设备可以采用l OM/l 00M/1000M以太网连接。

    (6)节省设备投资。

    (7)网络结构简单。

(8)部门局域网络访问核心局域网以及相互之间访问效率高。

    (9)在核心交换设备端口富余前提下，部门网络接入较为方便。

    (10)网络地理范围小，要求部门网络分布比较紧凑。

    (11)核心交换机是网络的故障单点，容易导致整网失效.

    (12)网络扩展能力有限。

    (13)对核心交换设备的端口密度要求较高。

    (14)除非规模较小的网络，否则推荐桌面用户不直接与核心交换设备相连，也就是核心

交换机与用户计算机之间应存在接入交换机。

2.双核心局域网结构

    双核心结构主要由两台核心交换设备构建局域网核心，该网络一般也是通过与核心交换机互连的路由设备接入广域网，并且路由器与两台核心交换设备之间都存在物理链路。典型的双核心结构如图10-14所示。

    双核心结构分析如下。

    (1)核心交换设备在实现上多采用三层交换机或多层交换机。

    (2)网络内各VLAN之间访问需要经过两台核心交换设备中的一台。

    (3)网络中除核心交换设备之外，不存在其他的具备路由功能的设备。

    (4)核心交换设备之间运行特定的网关保护或负载均衡协议，例如HSRP, VRRP和GLBP等。

    (5)核心交换设备与各VLAN设备间可以采用1 OM/100M/1000M以太网连接。

    (6)网络拓扑结构可靠。

    (7)路由层面可以实现无缝热切换。

    (8)部门局域网络访问核心局域网以及相互之间多条路径选择可靠性更高。

    (9)在核心交换设备端口富余前提下，部门网络接入较为方便。

    (10)设备投资比单核心高。

    (11)对核心路由设备的端口密度要求较高。

    (12)核心交换设备和桌面计算机之间存在接入交换设备，接入交换设备同时和双核心存

在物理连接。

    (13)所有服务器都直接同时连接至两台核心交换机，借助于网关保护协议，实现桌面用

户对服务器的高速访问。

3.环型局域网结构

    环型局域网结构由多台核心三层设备连接成双RPR动态弹性分组环，构建整个局域网络的核心，该网络通过与环上交换设备互连的路由设备接入广域网络。

    典型的环型结构如图10-15所示。

    环型结构分析如下。

(1)     核心交换设备在实现上多采用三层交换机或多层交换机。

    (2)网络内各VLAN之间访问需要经过RPR环。

    (3) RPR技术能提供MAC层的50ms自愈时间，能提供多等级、可靠的QoS服务。

    (4) RPR有自愈保护功能，节省光纤资源。

    (5) RPR协议中没有提及相交环、相切环等组网结构，当利用RPR组建大型城域网时，多环之间只能利用业务接口进行互通，不能实现网络的直接互通，因此它的组网能力相对SDH,MSTP较弱。

    (6)由两根反向光纤组成环型拓扑结构。其中一根顺时针，一根逆时针，节点在环上可从两个方向到达另一节点。每根光纤可以同时用来传输数据和同向控制信号，RPR环双向可用。

    (7)利用空间重用技术实现的空间重用，使环上的带宽得到更为有效的利用。RPR技术具有空间复用、环自愈保护、自动拓扑识别、多等级QoS服务、带宽公平机制和拥塞控制机制、物理层介质独立等技术特点。

    (8)设备投资比单核心高。

    (9)核心路由的冗余设计，难度较高，容易形成路由环路。

4.层次局域网结构

层次结构主要定义了根据功能要求不同将局域网络划分层次构建的方式，从功能上定义为核心层、汇聚层和接入层。层次局域网一般通过与核心层设备互连的路由设备接入广域网络。

(1)核心层实现高速数据转发。

(2)汇聚层实现丰富的接口和接入层之间的互访控制.

(3)接入层实现用户接入。

(4)网络拓扑结构故障定位可分级，便于维护。

(5)网络功能清晰，有利于发挥设备最大效率。

(6)网络拓扑利于扩展。

10.6.2层次化网络设计

  层次化网络设计模型

    层次化网络设计模型可以帮助设计者按层次设计网络结构，并对不同层次赋予特定的功

能，为不同层次选择正确的设备和系统。一个典型的层次化网络结构包括以下特征。

    (1)由经过可用性和性能优化的高端路由器和交换机组成的核心层。

    (2)由用于实现策略的路由器和交换机构成的汇聚层。

(3)通过用以连接用户的低端交换机等构成的接入层。

    在上述网络结构介绍中，层次局域网结构和层次广域网结构就是层次化网络设计模型分别在局域网和广域网设计中的应用。随着用户不断增多，网络复杂度也不断增大，层次化网络设计模型也成为位于网络主流的园区网络的经典模型。

    采用层次化网络设计模型进行设计工作，具有如下的优点.

    (1)使用层次化模型可以使网络成本降到最低，通过在不同层次设计特定的网络互连设备，可以避免为各层中不必要的特性而花费过多的资金。层次化模型可以在不同层次进行更精细的容量规划，从而减少贷款浪费。同时，层次化模型可以使得网络管理产生层次性，不同层次的网络运行管理人员的工作职责也不同，培训规模和管理成本也不同，从而减少控制管理成本。

    (2)层次化设计模型在设计中，可以采用不同层次上的模块化，模块就是层次上的设备及连接集合，这使得每个设计元素简化并易于理解，并且网络层次间交界点也很容易识别，使得故障隔离得到提高，保证了网络的稳定性。

    (3)层次化设计使网络的改变变得更加容易，当网络中的一个网元需要改变时，升级的成本限制在整个网络中很小的一个子集中，对网络的整体影响达到最小。

2.三层模型

    层次化模型中最为经典的是三层模型，该模型允许在三个层次的路由或交换层次上实现流量汇聚和过滤，这使得三层模型的规模可以从中小型公司的网络，扩充到大型的国际因特网络。

    三层模型主要将网络划分为核心层、汇聚层和接入层，每一层都有着特定的作用。核心层提供不同区域或者下层的高速连接和最优传送路径;汇聚层将网络业务连接到接入层，并且实施与安全、流量负载和路由相关的策略:接入层为局域网接入广域网或者终端用户访问网络提供接入。

    (1)核心层设计要点。核心层是因特网络的高速骨千，由于其重要性，因此在设计中应该采用冗余组件设计，使其具备高可靠性，能快速适应变化。

    在设计核心层设备的功能时，应尽量避免使用数据包过滤、策略路由等降低数据包转发处理的特性，以优化核心层获得低延迟和良好的可管理性。

    核心层应具有有限的和一致的范围，如果核心层m盖的范围过大，连接的设备过多，必然引起网络的复杂度加大，导致网络管理性降低。同时，如果核心层覆盖的范围不一致，必然导致大量处理不一致情况的功能都在核心层网络设备中实现，会降低核心网络设备的性能。

    对于那些需要连接因特网和外部网络的网络工程来说，核心层应包括一条或多条连接到外部网络的连接，这样可以实现外部连接的可管理性和高效性。

(2)     汇聚层设计要点。汇聚层是核心层和接入层的分界点，应尽量将出于安全性原因对资源访问的控制、出于性能原因对通过核心层流量的控制等，都在汇聚层实施。

    为保证层次化的特性，汇聚层应该向核心层隐藏接入层的详细信息，例如，不管接入层划分了多少个子网，汇聚层向核心层路由器进行路由宣告时，仅会宣告多个子网地址汇聚而形成的一个网络.另外，汇聚层也会对接入层屏蔽网络其他部分的信息，例如汇聚层路由器可以不向接入路由器宣告其他网络部分的路由，而仅仅向接入设备宜告自己是默认路由。

    为了保证核心层连接运行不同协议的区域，各种协议的转换都应在汇聚层完成。例如，局域网络中运行了传统以太网和弹性分组环网的不同汇聚区域;运行了不同路由算法的区域，可以借助于汇聚层设备完成路由的汇总和重新发布.

    (3)接入层设计要点。接入层为用户提供了在本地网段访问应用系统的能力，接入层要解决相邻用户之间的互访需要，并且为这些访问提供足够的带宽。

    接入层还应该适当负责一些用户管理功能，包括地址认证、用户认证和计费管理等内容。

    接入层还负责一些信息的用户信息收集工作，例如用户的IP地址、MAC地址和访问日志等信息。

3.层次化设计的原则

层次化网络设计应该遵循一些简单的原则，这些原则可以保证设计出来的网络更加具有层次的特性。

    (1)在设计时，设计者应该尽量控制层次化的程度，一般情况下，有核心层、汇聚层和接入层三个层次就足够了，过多的层次会导致整体网络性能的下降，并且会提高网络的延迟，同时也不方便网络故障排查和文档编写。

    (2)在接入层应当保持对网络结构的严格控制，接入层的用户总是为了获得更大的外部网络访问带宽，而随意申请其他的渠道访问外部网络，这是不允许的。

    (3)为了保证网络的层次性，不能在设计中随意加入额外连接，额外连接是指打破层次性，在不相邻层次间的连接，这些连接会导致网络中的各种问题，例如缺乏汇聚层的访问控制和数据报过滤等.

    (4)在进行设计时，应当首先设计接入层，根据流量负载、流量和行为的分析，对上层进行更精细的容量规划，再依次完成各上层的设计。

    (5)除了接入层的其他层次外，应尽量采用模块化方式，每个层次由多个模块或者设备集合构成，每个模块间的边界应非常清晰。

10.6.3网络冗余设计

网络冗余设计允许通过设置双重网络元素来满足网络的可用性需求，冗余降低了网络的单点失效，其目标是重复设置网络组件，以避免单个组件的失效而导致应用失效。这些组件可以是一台核心路由器、交换机，可以是两台设备间的一条链路，可以是一个广域网连接，可以是电源、风扇和设备引擎等设备上的模块。对于某些大型网络来说，为了确保网络中的信息安全，在独立的数据中心之外，还设置了冗余的容灾备份中心，以保证数据备份或者应用在故障下的切换。

    在网络冗余设计中，对于通信线路常见的设计目标主要有两个:一个是备用路径，另外一个是负载分担。

  备用路径

    备用路径主要是为了提高网络的可用性。当一条路径或者多条路径出现故障时，为了保障网络的连通，网络中必须存在冗余的备用路径。备用路径由路由器、交换机等设备之间的独立备用链路构成，一般情况下，备用路径仅仅在主路径失效时投入使用。

    设计备用路径时主要考虑以下因素。

    (1)备用路径的带宽。备用路径带宽的依据，主要是网络中重要区域、重要应用的带宽需要，设计人员要根据主路径失效后，哪些网络流量是不能中断来形成备用路径的最小带宽需求。

(2)切换时间。切换时间是指从主路径故障到备用路径投入使用的时间，切换时间主要取决于用户对应用系统中断服务时间的容忍度。

    (3)非对称.备用路径的带宽比主路径的带宽小是正常的设计方法，由于备用路径大多数

情况下并不投入使用，过大的带宽容易造成浪费。

    (4)自动切换。设计备用路径时，应尽量采用自动切换方式，避免使用手工切换。

    (5)测试。备用路径由于长期不投入使用，对线路、设备上存在的问题不容易发现，应设计定期的测试方法，以便于及时发现问题。

2.负载分担

    负载分担是通过冗余的形式来提高网络的性能，是对备用路径方式的扩充。负载分担是通过并行链路提供流量分担来提高性能，其主要的实现方法是利用两个或多个网络接口和路径来同时传递流量。

    关于负载分担，设计时主要考虑以下因素。

    (1)对于网络中存在备用路径、备用链路时，就可以考虑加入负载分担设计。

    (2)对于主路径、备用路径都相同的情况，可以实施负载分担的特例—负载均衡，也就

是多条路径上的流量是均衡的。

    (3)对于主路径、备用路径不相同的情况，可以采用策略路由机制，让一部分应用的流量分摊到备用路径上。

    (4)在路由算法的设计上，大多数设备制造厂商实现的路由算法，都能够在相同带宽的路径上实现负载均衡，甚至于部分特殊的路由算法，例如IGRP和增强IERP中，可以根据主路径和备用路径的带宽比例实现负载分担。

10.6.4广域网络技术

    随着网络规模的不断发展，网络用户的流动性和地域分散特性不断增加。远程企业用户需要借助于特殊的接入方式实现对企业网络的访问，而城市的网络用户也需要借助于同样的技术来实现对因特网络的访问，因此这些特殊的技术主要应用于城域网络，可以被称为城域网远程接入技术。

    1.传统的PSTN接入技术

    PSTN接入技术是较为经典的远程连接技术，通过在客户计算机和远程的拨号服务器之间分别安装调制解调器，实现数字信号在模拟语音信道上的调制，通过公用电话网(PSTN)完成数据传输。

PSTN接入的传输速率较低，目前常见的速率是33.6Kbps或者56Kbps。其中33.6Kbps双向传输速率相同，而56Kbps双向传输速率不均衡，上行为33.6Kbps。下行为56Kbps。同时，PSTN的接入速率还要受调制解调器性能和电话线路质量的影响。

    PSTN接入技术主要使用两种协议，分别为PPP和SLIP，其中SLIP只能为TCP/IP协议提供传输通道，而PPP可以为多种网络协议族提供传输通道。因此，PPP协议也是应用最广的协议。

    设计PPP协议中需要考虑到口令认证机制，PPP协议支持两种类型的认证机制，分别为口令认证协议(PAP)和应答握手认证协议(CHAP)。其中，PAP协议在进行认证时，用户的口

令以明文方式进行传递，而CHAP则利用三次握手和一个临时产生的可变应答值来验证远程节点，因此在实际应用中，应尽量使用CHAP作为PPP协议的认证机制。

    在设计PSTN接入时，需要在网络中添加远程访问服务器(RAS )，通常都是带有拨号服

务功能的路由器。这些路由器可以配置内置Modem的拨号模块，也可以通过普通模块连接外置Modem池实现。RAS除了可以在自身存储静态的用户名和密码之外，还可以借助于RADIUS,TACACS等服务完成对动态用户与口令库的访问，如图10-17所示。

2.综合业务数据网

    综合业务数据网(ISDN)是由地区!一仁话服务提供商提供的数字数据传输业务，支持在电

话线上传输文本、图像、视频、音乐、语音和其他的媒体数据。ISDN上使用PPP协议，以实现数据封装、链路控制、口令认证和协议加载等功能。

    ISDN提供的电路包括64Kbps的承载用户信息信道(B信道)和承载控制信息信道(D信道)，同时ISDN提供了两种用户接口，分别为基本速率接口和基群速率接口。

基本速率接口主要用于个人用户的远程接入，而基群速率接口主要用于企业或者团体的接入，如图10-18所示。个人接入中，通过运营商端ISDN交换机提供的接口，实现计算机信号和语音信号的分离，计算机信号通过PRI接口经路由器进入网络;企业接入中，两端的路由器通过带有PRI接口的路由器互连，完成了两个网络的连接。

3.线缆调制解调器接入

    线缆调制解调器运行在有线电视(CATV)使用的同轴电缆上，可以提供比传统电话线更

高的传输速率，典型的CATV网络系统提供25-5OMbps的下行带宽和2^-3Mbps的上行带宽。

同时，线缆调制解调器的另一个优势是不需要拨号就能实现远程站点访问。

    线缆调制解调器需要对传统的单向CATV网络进行双向改造形成数字业务网络，可以采用双缆方式(一根上行、一根下行)和单缆方式(高频下行、低频上行)。运营商通常采用混合

光纷铜缆(Hybrid Fiber/Coax, HFC)系统将CATV网络和运营商的高速光纤网络连接在一起。

HFC系统使用户能将计算机或者小型局域网连接到用户的同轴电缆上，高速地访问因特网或使用VPN软件接入到企业网络。

    使用线缆调制解调器远程接入必须依赖于运营商一端的线缆调制解调器终结设各

(CMTS )，该设备向大量的线缆调制解调器提供高速连接。多数运营商都会借助于通用的宽带路由器来实现CMTS功能，这些路由器安装在运营商的电缆服务头端，同时提供计算机网络和PSTN网络的连接。

    如图10-19所示，CMTS的以太口可以直接与以太网相连，同时通过中继线路连接PSTN

网络，将双向的网络和语音信号调制形成上行和下行的模拟信号，单向的有线电视下行信号以频分复用合入下行信号中。在HFC区域中，借助于光收发器、光电转换器等设备完成信号的中继和传递，通常光纤采用双纤而电缆采用单缆:客户端采用Cable Modem相连，并分解出有线电视、计算机网络和电话信号。

4.数字用户线路远程接入

    数字用户线路(Digital Subscriber Line, DSL)允许用户在传统的电话线上提供高速的数据

传输，用户计算机借助于DSL调制解调器连接到电话线上，通过DSL连接访问因特网络或者

企业网络。

    DSL采用尖端的数字调制技术，可以提供比ISDN快得多的速率，其实际速率取决于DSL

的业务类型和很多物理层因素，例如电话线的长度、线径、串扰和噪音等。

DSL技术存在多种类型，以下是常见的技术类型。

    *ADSL:非对称DSL，用户的上下行流量不对称，一般具有三个信道，分别为1.544

    9Mbps的高速下行信道，16^-64OKbps的双工信道，64Kbps的语音信道。

    *SDSL:对称DSL，用户的上下行流量对等，最高可以达到1.544Mbpso

    *ISDN DSL:介于ISDN和DSL之间，可以提供最远距离为4600-5500m的128Kbps

     双向对称传输。

*HDSL:高比特率DSL，是在两个线对上提供1.544Mbps或在三个线对上提供2.048Mbps对称通信的技术，其最大特点是可以运行在低质量线路上，最大距离为3700-4600m。

    *VDSL:甚高比特率DSLI,一种快速非对称DSL业务，可以在下对电话线上提供数据

    和语音业务。

    在这些技术中，ADSL的应用范围最广，已经成为城域网接入的主要技术。

    ADSL接入需要的设备包括接入设备(局端设备DSLAM和用户端设备ATU-R )、用户线

路和管理服务器。其中，DSLAM作为ADSL的局端收发传送设备，主要由运营商提供，为ADSL用户端提供接入和集中复用功能，同时提供不对称数据流的流量控制，用户可以通过DSLAM接入到IP等数据网和传统的语音电话网:用户端设备ATU一实现POTS语音与数据的分离，完成用户端ADSL数据的接收和发送，即ADSL Modem. ADSL采用双绞线作为承载媒质，语音与数据信号同时承载在双绞线上，无须对现有的用户线路进行改造，有利于宽带业务的开拓。管理服务器主要是宽带接入服务器(BRAS)，除了能够提供ADSL用户接入的终结、认证、计费和管理等基本BRAS业务外，还可以提供防火墙、安全控制、NAT转换、带宽管理和流量控制等网络业务管理功能。如图10-20所示。

    在选择城域网远程接入技术时，主要是依据现有城域网的建设情况，并适当考虑租用经费。一般来说，城域网的远程接入主要是由电信运营商提供，设计人员需要根据远程用户的分布、用户是否需要形成专用网络、运营商的线路铺设和租赁费用等情况，与电信运营商技术服务人员进行协商和讨论，形成最终接入方案。

10.6.5广域网互连技术

1.数字数据网

    数字数据网络(Digital Data Network, DDN)是一种利用数字信道提供数据信号传输的数

据传输网，是一个半永久性连接电路的公共数字数据传输网络，为用户提供了一个高质量、高带宽的数字传输通道。

    DDN采用同步时分复用，对各层协议透明，因此DDN支持任何的传输规程;DDN不具

备交换功能，以点对点方式实现半永久性的电路连接，传输延时小:DDN采用数字信道传输数据信号，与传输的模拟信号相比，具有传输质量高、速度快、带宽利用率高等优点;DDN的传输安全可靠，由于采用多路由的网状拓扑结构，单个节点的失效不会导致整个线路的中断。

    DDN网络实行分级管理，其网络结构按网络的组建、运营、管理、维护的责任地理区域，可以分为一级干线网、二级干线网和本地网三级。一级干线网由设置在各省、自治区和直辖市的节点组成，二级干线网由设置在省内的节点组成，本地网是指城市范围内的网络，由这些网络提供全国范围内的电路连接服务。

    利用DDN网络实现局域网互联时，必须借助于路由器和DDN网络提供的数据终端设备DTU, DTU其实是DDN专线的调制解调器，直接和DDN网络通过专线连接，如图10-21所示。

DDN网络可以为两个终端用户网络之间提供带宽最低为9.6Kbps，最高为2Mbps的数据业务。虽然面临各种新型传输技术的挑战，但由于DDN可以为任何信号和传输协议提供透明传递，至今为止DDN仍在广域网互连技术应用中占据一席之地。

2. SDH

    SDH (Synchronous Digital Hierarchy，同步数字体系)是一种将复接、线路传输及交换功能融为一体，并由统一网管系统操作的综合信息传送网络，前身是美国贝尔通信技术研究所提出来的同步光网络((SONET) a SDH可实现网络有效管理、实时业务监控、动态网络维护、不同厂商设备间的互通等多项功能，能大大提高网络资源利用率、降低管理及维护费用、实现灵活可靠和高效的网络运行与维护，因此也是当前最主要的运营商基础设施网络。

SDH网络是基于光纤的同步数字传输网络，采用分组交换和时分复用(TDM)技术，主要由光纤和挂接在光纤上的分插复用器(ADM)、数字交叉连接(DXC)、光用户环路载波系统(OLC)构成网络的主体，整个网络中的设备由高准确度的主时钟统一控制。SDH网络基本的运行载体是双向运行的光纤环路，可根据需要采用单环、双环或者多环结构。SDH支持多种网络拓扑结构，组网方式非常灵活，如图10-22所示。

    SDH采用的信息结构等级称为同步传送模块STM-N (Synchronous Transport,N=1,4,16,64), 最基本的模块为STM-1, 4个STM-1同步复用构成STM-4, 16个STM-1或4个STM-4同步复用构成STM-16. STM-1的传输速率为155.520Mbps，而STM-4的传输速率为4x 155.520--622.080Mbps, STM-16的传输速率为16x 155.520=2488.320Mbps，并依此类推。SDH同时也可以提供El, E3等传统传输速率服务。

    SDH是主要的广域网互联技术，利用运营商的SDH网络实现互连，可以采用两种方式，

分别是〕OVER SDH和PDH兼容方式。

    (1) IP over SDH。即以SDH网络作为IP数据网络的物理传输网络，并使用链路适配及成

帧协议(PPP)对IP数据包进行封装，然后按字节同步的方式把封装后的IP数据包映射到SDH

的同步净荷封装中进行连续传输。IP over SDH为IP网络设备提供的接口主要是POS (Packet

Over SONET/SDH)接口，该接口可以提供STM-1及其以上的传输速率。

    (2)准同步数字系列(Plesiochronous Digital Hierarchy, PDH)兼容方式。由于单纯的SDH

网络只能提供STM-1以上的传输速率，而大多数用户并不需要这么高的数据传输速率，因此SDH提供了对传统PDH的兼容方式。这种方式在SDH中的最低速率同步传输模块STM-1中封装了63个El信道，可以最多同时向63个用户提供2Mbps的接入速率.PDH兼容方式可以提供两种方式的接口:一是传统El接口，例如路由器上的G.703转V35接口;另一个是封装

T多个E1信道的CPOS (Channel POS )，路由器通过一个CPOS接口接入SDH网络，并通过封装的El信道连接多个远程站点。

以上借助于SDH网络实现局域网络互联的各种方式如图10-23所示。

    无论是IP over SDH方式还是PDH兼容方式，运营商都可以将线路转换成以太网络链路，

以便向用户提供应用更为普遍、成本更加低廉的以太网络接口。其中较为常见的是将多条E1信道转换成为以太网，例如两个局域网络之间通过4条E1信道互联，客户端的光端机或者转换设备将4条E1信道转换成十兆的以太网线路，如图10-24所示。

3 .MSTP

    由于具有可靠的业务保护能力，SDH技术已经成为城域传输网的一种经典选择，但是SDH也存在包括带宽瓶颈、多层网络结构指配过于复杂以及支持业务单一等诸多问题，尤其是对可变速率业务的支持方面。SDH技术对于固定速率的业务(如传统话音业务)，很容易将其适配到固定容量通道中，但对于可变速率VBR业务和任意速率业务，SDH则显得不够灵活，特别是传送效率不高。欧洲、东亚及印度的一些运营商已经在新建网络(特别是城域网)中完全摒弃SDH技术体系:但是目前国内的SDH网络已经庞大得让传统的电信运营商无法从容、坦然地弃之而去，因此被称为下一代SDH的MSTP应运而生。

    基于SDH的多业务传送平台(Multi-Service Transport Platform, MSTP )是指基于SDH平

台同时实现TDM, ATM、以太网等业务的接入、处理和传送，提供统一网管的多业务节点。

基于SDH的多业务传送节点除应具有标准SDH传送节点所具有的功能外，还具有以下主要功能特征。

    (1)具有TDM业务、ATM业务或以太网业务的接入功能。

    (2)具有TDM业务、ATM业务或以太网业务的传送功能，包括点到点的透明传送功能。

    (3)具有ATM业务或以太网业务的带宽统计复用功能。

(4)具有ATM业务或以太网业务映射到SDH虚容器的指配功能。

    MSTP在网络互连领域主要用于企业用户网络建设和用户接入补充，其中企业用户网络建设直接体现了MSTP多种业务接入、点到多点的透明传送功能。企业客户网络数量较多，地点分布零散，业务需求各不相同，如果把所有企业专网纳入统一的SDH传输平台，则投资成本过高。可针对企业网络业务的种类、数量并考虑到服务等级、投资成本等因素，分期、分层对企业网络进行优化、改造，在部分企业专网中引入MSTP设备，采用环型和星型网络拓扑结合的方式，逐步实现对不同等级客户的不同服务质量保障o MSTP平台可以提供SDH网络提供的所有传输带宽，并且能够实现多个网络部分之间共享传输带宽。

    具体的建设方案如下:将企业网络服务平台划分为核心层和接入层，将业务发展良好、业务集中、业务种类复杂的企业专网和重点企业用户纳入核心层。通过对光缆线路资源进行优化，在核心层引入MST?设备组成环网，建立专有的重要企业业务平台，提供丰富的业务种类和可定制服务(ATM, Ethernet以及2M专线等业务)，网络的结构、容量、管理和发展均以满足重点企业业务的开展为基准。将业务数量少、业务种类较单一、节点多且分布零散的企业分支机构及小型企业纳入接入层。出于成本考虑，接入层仍保持星型组网或光纤直连方式，今后可根据客户业务的发展，逐步进行改造。

图10-25是利用MSTP技术，实现一个企业不同局域网络之间连接的示例。MSTP设备借助于SDH网络提供的链路，形成MSTP业务环，企业的不同局域网借助于路由器之间接入到MSTP设备的以太网接口。这些企业网络所有的局域网之间的连接并不需要占用多个SDH信道，而是共享一个传统SDH信道的带宽，通过这种方式，可以避免企业网络连接对SDH网络资源的大量浪费。同时由于各个局域网络之间访问的透明性、随机性和不确定性，企业用户的网络感受和传统SDH互连方式区别不大。

4.传统VPN技术

    虚拟专用网是通过公共网络实现远程用户或远程局域网之间的互连，主要采用隧道技术，

让报文通过如Internet或其他商用网络等公共网络进行传输。由于隧道是专用的，使得通过公共网络的专用隧道进行报文传输的过程和通过专用的点对点链路进行报文传输的过程非常相似，由于公共网络可以同时具有多条专用隧道，因而就可以同时实现多组点对点报文传输.

    传统的VPN技术主要是基于实现数据安全传输的协议来完成，主要包括两个层次的数据安全传输协议，分别为二层协议和三层协议。二层协议主要是对传统拨号协议一PP的扩展，通过定义多协议跨越第二层点对点链接的一个封装机制，来整合多协议拨号服务至现有的因特网服务提供商，保证分散的远程客户端通过隧道方式经由Internet等网络访问企业内部网络。其典型协议为L2TP，主要用于利用拨号系统实现远程用户安全接入企业网络。三层协议主要定义了在一种网络层协议上封装另一个协议的规范，通过对需要传递的业务数据的网络层分组进行封装，封装后的分组仍然是一个网络层分组，可以在VPN寄生的网络上进行传递，使得各个VPN部分之间可以借助于隧道进行通信。典型的三层协议包括IPSec和GRE，其中IPSec主要是在EP协议上实现封装，GRE是一种规范，可以适用于多种协议的封装.

基于三层协议的VPN技术主要用于企业各局域网络之间的连接，分为点对点方式和中心辐射状方式，如图10-26所示。点对点方式(Point-to-Point)下，两个分支局域网络边界上部

署VPN网关或者是带有VPN功能的防火墙、路由器，这些VPN网关通过物理链路接入因特

网，并由IPSec协议或GRE协议形成两个路由器之间的逻辑隧道，实现局域网络之间的数据传递;中心辐射状方式(Hub-and-Spoke)下，核心局域网和各分支局域网的边界上都部署VPN

网关，核心局域网路由器和每个分支局域网路由器之间建立逻辑隧道，完成多个局域网分支的互连，分支局域网之间的访问需要经过中心局域网的转发。

5. MPLS VPN技术

    MPLS (Multiprotocol Label Switching)是多协议标签交换的简称，它用短而定长的标签来

封装分组。MPLS从各种链路层(如PPP, ATM、帧中继和以太网等)得到链路层服务，又为网络层提供面向连接的服务。MPLS能从〕路由协议和控制协议中得到支持，同时还支持基于策略的约束路由，路由功能强大、灵活，可以满足各种新应用对网络的要求。

MPLS技术主要是为了提高路由器转发速度而提出的，其核心思想是利用标签交换取代复杂的路由运算和路由交换。该技术实现的核心就是在IP数据包之外封装一个32位的MPLS包头，如图2-65所示。MPLS体系中的各个路由设备，将根据MPLS包头中的标签进行转发，而不是传统方式下根据IP包头中的目标地址来转发。MPLS标签栈可以无限嵌套，从而提供无限的业务支持能力，而MPLS VPN就是一个典型的标签嵌套应用。

    MPLS VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技

术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络口VP哟，可用来构造合适带宽的企业网络、专用网络，满足多种灵活的业务需求。采用MPLSVPN技术可以把现有的IP网络分解成逻辑上隔离的网络，这种逻辑上隔离的网络的应用可用在解决企业互连、政府相同不同部门的互连，也可以用来提供新的业务，为解决IP网络地址不足、QoS需求和专用网络等需求提供较好的解决途径，因此也成为新型电信运营商提供局域网络互连服务的主要手段。

    一个典型的MPLS VPN承载平台如图10-27所示。

    承载平台上的设备主要由各类路由器组成，这些路由器在MPLS VPN平台中的角色各不

相同，分别被称为P设备、PE设备、CE设备。P (Provider Router)路由器是MPLS核心网中

的路由器，这些路由器只负责依据MPLS标签完成数据包的高速转发:PE(Provider Edge Router )路由器是MPLS核心网上的边缘路由器，与用户的CE路由器互连，PE设备负责待传送数据包的MPLS标签的生成和弹出，负责将数据包按标签发送给P路由器或接收来自P路由器的含标签数据包，PE路由器还将发起根据路由建立交换标签的动作;CE (Custom Edge)路由器是直接与电信运营商相连的用户端路由器，该设备上不存在任何带有标签的数据包，CE路由器将用户网络的信息发送给PE路由器，以便于在MPLS平台上进行路由信息的处理。

如图10-27所示，一个企业可以借助于MPLS VPN承载平台，将位由不同CE路由器互连的局域网络互连起来形成一个完整的企业网络。在这个MPLS VPN平台上，可以存在多个企业网络，这些网络之间除非特殊设置，否则相互之间是逻辑隔离的，不同企业网络之间不能直接互访。用户网络只需要提供CE路由器，并连接到PE路由器，由平台管理员完成VPN的互连工作。PE路由器可以同时和多个CE路由器建立物理连接，也可以借助于支持MPLS协议的交换机，通过VLAN技术实现和多个CE路由器的互连，从而保证多个用户网络部分的接入。

 

10.6.6安全运行与维护

1.信息安全风险评估工作

I)风险评估的对象

安全风险评估的对象如下。

(I)网络结构。

(2)网络系统及设备。

(3)应用系统。

(4)管理制度。

(5)人员意识与技能。

(6)安全产品和技术应用状况。

(7)安全事件处理能力。

2)评估方法

评估方法如下。

(1)安全管理审计。

(2)工具扫描。

(3)网络架构评估。

(4)应用系统评估。

(5)主机设备和平台安全配置检查。

(6)渗透测试和分析.

3)评估要求

    安全风险评估服务是网络安全服务的一个重要环节，每年应进行一次信息安全风险评估。

为避免出现重大的安全漏洞和隐患，可以在自行评估的基础上，定期或不定期地委托具备资格的信息安全风险评测机构进行评估。

2.应急服务

    1)应急响应

    应急响应应达到以下要求:

    (1)设立应急响应中心，合理安排应急响应人员;

    (2)应针对各种可能情况制定合理的应急响应预案;

    (3)应制定详细合理的应急响应计划。

    应急预案的执行单位可由网络管理中心相关部门执行，也可委托公司、大学或研究机构完成。受委托单位应是具有相关安全资质的中资机构。

    2)应急预案的制定

    为保证在发生各种信息安全事件情况下，能够从容处理并解决安全事件，要求制定应急预案。制定应急响应预案首先应建立应急处理工作小组，负责预案的落实，并且保证预案的传达与实施，应急预案要在相关部门或上级部门进行备案。预案的制定应符合以下要求:

(1)应急预案应根据电子政务网实际情况制定，必须切实有效，可操作性强;

(2)应急预案的制定和实施中明确各个部门的职责，责任落实到岗、到人;

(3)确定应急事件的风险优先次序。对于高风险的应急事件，优先制定应急预案;

(4)全面分析系统运行、信息内容和网络的管理与控制等方面的安全威胁;

(5)完善应急预案所需的备用资源，包括备用的软件、设备以及人员;

(6)每种应急事件建立应急响应流程;

(7)对于不能判断事件发生原因时，一定要保留现场，保留痕迹，追查原因;

(8)重大事件要上报有关部门，直至追究行政或刑事责任:

(9)对预想到的事件要事先积极采取管理和技术措施，尽早解决;

(10)应急预案应经常进行培训和演练。

3)应急预案的内容

应急预案应包括如下内容:

    *标题。包括应急事件的名称、事件编号以及事件处理的优先等级;

    *事件描述。包括应急事件发生的背景、现象、可能的影响以及影响范围;

    *涉及范围。包括应急处理工作组人员与部门职责;

    *处理概述。包括描述事件处理的主要环节和要点:

    *处理流程。包括用流程图简述处理过程;

    *流程说明。包括针对流程图每个步骤，详细描述涉及到的具体人员、操作对象(如设

    备端口号、IP地址、主机名、文件名、备份介质编号与存放地点等)、操作命令和使

    用的工具等;

    *演练计划。包括预演环境的建立、参与人员、时间与地点，对上述处理流程实际操作，    验证预案的合理性，增强时间处理的熟练与可靠性;

    *参与人员。包括编制人、预案人与审批人，以及需要抄送的部门。

    4)应急预案的流程

    安全事件应急处理的标准流程如图10-28所示。

    5)应急响应步骤

    安全事件或事故发生后，应急中心根据应急预案进行更具体的应急响应步骤。‘当入侵或破坏发生时，对应的处理步骤是:

    (1)保护或恢复计算机、网络服务的正常工作，进行应急准备。

    ①为一个突发事件的处理取得管理方面支持:

    ②组建事件处理队伍((1^-10人);

    ③提供易实现的初步报告。

    (2)追查入侵者，识别事件(判定安全事件类型)。

    ①初步评估，确定事件来源;

②保护可追查的线索，立即在磁带上或其他不联机存储设备备份日志数据;

(3)抑制缩小事件的影响范围。

①确定系统继续运行的风险如何，决定是否关闭系统及其他措施:

②根据需求制定相应的应急措施。

(4)解决、恢复以及跟踪问题。

①事件的起因分析、取证追查;

②漏洞分析、后门检查:

③提供解决方案，结果提交专家小组或上级领导审核。

(5)后续工作。

①检查是不是所有的服务都已经恢复;

②攻击者所利用的漏洞是否已经解决;

③其发生的原因是否已经处理;

④保险措施、法律声明等手续是否已经归档;

⑤应急响应步骤是否需要修改:

⑥生成紧急响应报告:

⑦拟定一份事件记录和跟踪报告;

⑧录入专家信息知识库。

3.安全监控与管理服务

1)部署要求

安全监控与管理是通过统一集中的安全管理机制来总体配置、调控整个网络多层面、分布式的安全系统，提高安全预警能力，加强安全应急事件的处理能力。应符合以下要求。

(1)以分布式的体系架构来实现监测和管理功能，在省电子政务网核心局域网以及市、州政务网络中心分别部署两级监控管理中心。

(2)每一级设置独立的数据库，下级网管能够主动或被动将部分或全部数据上传到上级系统。

(3)上级管理节点能对下级管理节点进行配置和监测数据同步，支持上级管理节点对下级管理节点的远程管理。

(4)管理功能集成于一个管理平台，统一于一个管理图形界面。

(5)可监测和管理网络、应用系统和运行环境，形成一套统一的网络与应用系统状态管理

体系。

2)监控功能要求

    监控功能应符合以下要求。

    (1)应能够采集网络设备、安全设备、服务器和应用系统等的运行状态、性能、故障和事

件信息。

    (2)应能对安全事件进行过滤、关联分析和告替。

    (3)应能对网络、主机、数据库、中间件、安全设备和应用系统等IT资产进行集中统一

管理。

    (4)安全事件处理和风险分析功能。

    (5)可以统计分析所有事件、风险、通知、资产和其他资源，能够创建报表。

3)管理功能要求

    管理功能应符合以下要求。

    (1)运行值班管理。

    (2)事件告答处理。

    (3)运行维护管理。

(4)设备信息管理。

(5)事件统计与运行考核管理。

(6)告警事件处理知识管理。

      4)规模要求大型网络需要部署安全监控与管理平台，中型网络的核心网络需要部署安全监控与管理平台。

    4.其他安全服务

    (1)定期安全巡检。大中型网络中应每月进行一次巡检，旨在发现系统运行过程中是否有新的风险出现，确定如何修补的方案，并对系统进行加固。

    (2)安全加固服务。应当对网络平台中的重要应用服务器定期进行安全加固服务。加固之前需要进行安全评估，并针对安全评估后的结果修补系统的漏洞，加强系统的安全配置，进行全面系统的加固工作。大中型网络宜每季度进行一次，而小型网络每半年进行一次。

    (3)安全信息通告服务。网络平台，尤其是大型网络平台，应进行定期的安全信息通告服务。安全信息中应包括最新的安全公告、病毒信息和漏洞信息等内容。安全通告服务以邮件、电话和走访等方式，将安全技术和安全信息及时传递给客户.

    (4)安全培训。建立信息安全保障体系还要注重信息安全人才的教育与培养。信息安全的保障是靠人、技术和管理共同来实现的，人员的安全意识和安全技术水平将直接影响到整个信息安全系统的有效利用。

Tags：郑州比较好的大专学校初中生可以上的,郑州软件编程培训机构哪家正规靠谱,郑州北大青鸟的老师好不好呢,郑州北大青鸟是做什么的,郑州北大青鸟这个学校正规吗,河南软件开发编程中专学校有哪些呢