網(wǎng)絡(luò)工程概論第12章-網(wǎng)絡(luò)系統(tǒng)集成(新)課件

1、第12章 網(wǎng)絡(luò)系統(tǒng)集成12.1 網(wǎng)絡(luò)系統(tǒng)集成的概念12.2 網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計(jì) 12.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì) 12.4 服務(wù)器設(shè)計(jì) 12.5 網(wǎng)絡(luò)設(shè)備選擇 12.6 一個工業(yè)企業(yè)信息網(wǎng)絡(luò)設(shè)計(jì)實(shí)例12.7 工業(yè)企業(yè)網(wǎng)絡(luò)的集成 112.1 網(wǎng)絡(luò)系統(tǒng)集成的概念 網(wǎng)絡(luò)系統(tǒng)集成（Network System Integration, NSI）是指根據(jù)用戶的應(yīng)用需要，將計(jì)算機(jī)硬件平臺、網(wǎng)絡(luò)設(shè)備、通信介質(zhì)、系統(tǒng)軟件、工具軟件和應(yīng)用軟件集成在一起，成為一個能滿足用戶需要的具有優(yōu)良性能價格比的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的全過程。 它涉及網(wǎng)絡(luò)規(guī)劃、方案設(shè)計(jì)、產(chǎn)品優(yōu)選、軟硬件平臺配置、應(yīng)用軟件開發(fā)、技術(shù)咨詢與培訓(xùn)、售后服務(wù)等

2、系統(tǒng)生命周期內(nèi)的所有環(huán)節(jié)。 212.1.1 網(wǎng)絡(luò)系統(tǒng)集成的目標(biāo)、方法和內(nèi)容12.1.2 網(wǎng)絡(luò)系統(tǒng)集成的原則312.1.1 網(wǎng)絡(luò)系統(tǒng)集成的目標(biāo)、方法和內(nèi)容 1.目標(biāo) 網(wǎng)絡(luò)系統(tǒng)集成目標(biāo)是依據(jù)用戶目標(biāo)，通過需求分析、規(guī)劃設(shè)計(jì)，優(yōu)選技術(shù)先進(jìn)成熟的產(chǎn)品，通過精湛的技術(shù)和優(yōu)質(zhì)的服務(wù)，為用戶設(shè)計(jì)和建設(shè)滿足業(yè)務(wù)和管理需要的網(wǎng)絡(luò)系統(tǒng)。 4 2.方法 網(wǎng)絡(luò)系統(tǒng)集成可以采用建設(shè)單位獨(dú)立實(shí)施，也可聯(lián)合其他單位或委托系統(tǒng)集成商進(jìn)行系統(tǒng)集成。不論采用何種方式實(shí)施系統(tǒng)集成，以下幾方面對于實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)集成目標(biāo)極為重要。（1）理論指導(dǎo)（2）技術(shù)保證 （3）網(wǎng)絡(luò)系統(tǒng)集成經(jīng)驗(yàn) （4）實(shí)施項(xiàng)目管理（5）測試驗(yàn)收53.內(nèi)容 網(wǎng)絡(luò)系統(tǒng)集

3、成的內(nèi)容依具體項(xiàng)目及用戶需求的不同而異，一般應(yīng)包括如下內(nèi)容和步驟： (1)需求分析 (2)可行性論證 (3)系統(tǒng)分析和邏輯設(shè)計(jì) (4)總體設(shè)計(jì) (5)工程實(shí)施 (6)文檔建設(shè) (7)試運(yùn)行測試驗(yàn)收612.1.2 網(wǎng)絡(luò)系統(tǒng)集成的原則 為了實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)集成目標(biāo)，網(wǎng)絡(luò)系統(tǒng)集成應(yīng)當(dāng)遵循一定的指導(dǎo)原則。 (1)以應(yīng)用為導(dǎo)向 (2)先進(jìn)性與實(shí)用性 (3)可擴(kuò)展性 (4)標(biāo)準(zhǔn)化與開放性 (5)可管理性和可維護(hù)性 (6)可靠性與安全性 712.2 網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計(jì)12.2.1 需求分析12.2.2 系統(tǒng)分析與邏輯設(shè)計(jì)12.2.3 系統(tǒng)總體設(shè)計(jì)12.2.4 文檔建設(shè)12.2.5 網(wǎng)絡(luò)系統(tǒng)集成的項(xiàng)目管理12.2.

4、6 系統(tǒng)測試驗(yàn)收812.2.1 需求分析需求分析是網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計(jì)的基礎(chǔ)，是網(wǎng)絡(luò)系統(tǒng)集成至關(guān)重要的、不可缺少的一個步驟，同時也是網(wǎng)絡(luò)系統(tǒng)集成的一個難點(diǎn)，需要由經(jīng)驗(yàn)豐富的資深工程師主持完成。 網(wǎng)絡(luò)系統(tǒng)集成至少應(yīng)該完成如下幾方面內(nèi)容的需求調(diào)查和分析： 1.環(huán)境需求 2.應(yīng)用需求 網(wǎng)絡(luò)應(yīng)用有4種典型的類型：Internet/Intranet網(wǎng)絡(luò)公共服務(wù)、數(shù)據(jù)庫服務(wù)、網(wǎng)絡(luò)專用服務(wù)系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)服務(wù)和信息安全平臺等。 9 3.可靠性需求 4.時延、吞吐量需求 時延給出系統(tǒng)最大允許時延和平均時延要求；吞吐量即網(wǎng)絡(luò)流量，是需要明確的指標(biāo)。 5.網(wǎng)絡(luò)系統(tǒng)發(fā)展需求分析 6.信息安全需求1012.2.2 系統(tǒng)分析

5、與邏輯設(shè)計(jì)通過可行性論證之后，網(wǎng)絡(luò)系統(tǒng)集成進(jìn)入系統(tǒng)分析和邏輯設(shè)計(jì)階段，本階段需要完成如下工作：1) 信息量分析和信息交換表的制定。2) 網(wǎng)絡(luò)通信量及分布圖繪制（矩陣形式）。3) 系統(tǒng)總目標(biāo)和、功能和各子系統(tǒng)的目標(biāo)及功能描述。4) 數(shù)據(jù)庫配置和信息標(biāo)準(zhǔn)化設(shè)計(jì)。5) 應(yīng)用軟件開發(fā)與研制項(xiàng)目計(jì)劃。6) 系統(tǒng)與實(shí)施步驟規(guī)劃等。1112.2.3 系統(tǒng)總體設(shè)計(jì) 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)的任務(wù)，是在需求分析、系統(tǒng)分析和邏輯設(shè)計(jì)的基礎(chǔ)上制定網(wǎng)絡(luò)系統(tǒng)集成總體實(shí)施方案，需要確定如下幾方面的方案： （1）網(wǎng)型、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議選擇 （2）機(jī)型選擇和設(shè)備配置 （3）數(shù)據(jù)庫管理系統(tǒng)選擇和數(shù)據(jù)庫配置（4）繪制網(wǎng)絡(luò)系統(tǒng)的具體

6、配置圖和施工圖（5）編制工程投資概算1212.2.4 文檔建設(shè) 網(wǎng)絡(luò)系統(tǒng)集成每一階段的工作都應(yīng)形成一份或多份規(guī)范性的文檔，一方面作為下一步工作的基礎(chǔ)和準(zhǔn)備，另一方面方便日后網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)。1312.2.5 網(wǎng)絡(luò)系統(tǒng)集成的項(xiàng)目管理1.項(xiàng)目管理原則 在網(wǎng)絡(luò)系統(tǒng)集成過程中，項(xiàng)目管理的實(shí)施必須嚴(yán)格遵循下述原則： （1）每個階段必須有明確的階段計(jì)劃。（2）每個階段必須有工作日志、考勤登記、工作完成情況登記和必要的工作備忘錄等文檔材料。（3）每個階段的結(jié)束都必須進(jìn)行評審和確認(rèn)，為下一階段工作打下良好的基礎(chǔ)。 （4）每一階段的運(yùn)作過程必須是有組織、責(zé)任明確、順暢執(zhí)行并留有書面記錄。14 2.網(wǎng)絡(luò)系統(tǒng)集

7、成項(xiàng)目管理的主要內(nèi)容 網(wǎng)絡(luò)系統(tǒng)集成項(xiàng)目管理的內(nèi)容主要有：（1）項(xiàng)目組織架構(gòu)。（2）項(xiàng)目管理計(jì)劃。（3）項(xiàng)目實(shí)施階段劃分及工作任務(wù)界定。（4）工程施工規(guī)范化管理。（5）項(xiàng)目計(jì)劃、進(jìn)度報(bào)告的編寫。（6）質(zhì)量保證措施。（7）風(fēng)險(xiǎn)管理。1512.2.6 系統(tǒng)測試驗(yàn)收 系統(tǒng)的測試包括上電測試、聯(lián)通性測試、功能測試、可靠性測試和壓力測試，應(yīng)制定細(xì)致詳盡的測試計(jì)劃，并嚴(yán)格按照計(jì)劃進(jìn)行測試。系統(tǒng)測試之后，應(yīng)形成測試報(bào)告，作為驗(yàn)收的重要依據(jù)。 此外系統(tǒng)在試運(yùn)行一定的期限后，應(yīng)當(dāng)進(jìn)行系統(tǒng)驗(yàn)收。1612.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì) 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)是指根據(jù)網(wǎng)絡(luò)規(guī)模、網(wǎng)絡(luò)體系結(jié)構(gòu)、所用協(xié)議、網(wǎng)絡(luò)流量、應(yīng)用的時延和可靠性、

8、可擴(kuò)展性、可管理性等要求，確定計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備的連接方式。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)一般有星形、樹形、總線型、環(huán)形和網(wǎng)形以及它們的混合型拓?fù)浣Y(jié)構(gòu)。選擇不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)意味著選用不同的網(wǎng)絡(luò)協(xié)議和連接設(shè)備。1712.3.1 網(wǎng)絡(luò)拓?fù)涞膶哟涡?2.3.2 主干網(wǎng)絡(luò)（核心層）的設(shè)計(jì)12.3.3 匯聚層/接入層的設(shè)計(jì)1812.3.1 網(wǎng)絡(luò)拓?fù)涞膶哟涡?網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的設(shè)計(jì)，是與網(wǎng)絡(luò)系統(tǒng)的規(guī)模密切相關(guān)的。大型網(wǎng)絡(luò)一般呈倒樹形的拓?fù)浣Y(jié)構(gòu)，如圖12-1所示。目前的大型園區(qū)網(wǎng)絡(luò)設(shè)計(jì)中通常采用層次化的設(shè)計(jì)方式，它將整個網(wǎng)絡(luò)從邏輯結(jié)構(gòu)上劃分為三個層次，即核心層、匯聚層和接入層。192012.3.2 主干網(wǎng)絡(luò)（核心層）的設(shè)計(jì) 目

9、前，主干網(wǎng)絡(luò)技術(shù)主要有千兆以太網(wǎng)、萬兆以太網(wǎng)、ATM和FDDI等，F(xiàn)DDI的技術(shù)已不具有先進(jìn)性，支持它的廠商不多；ATM是面向連接的網(wǎng)絡(luò)，提供較好的QoS，但造價較高，不太適用一般局域網(wǎng)。而以太網(wǎng)則不同，其應(yīng)用面非常廣泛，價格變得非常低廉，據(jù)估計(jì)，90以上的網(wǎng)絡(luò)數(shù)據(jù)流量的發(fā)送和接收是通過以太網(wǎng)端口實(shí)現(xiàn)的。 因此，從先進(jìn)性、易用性、可擴(kuò)展性和經(jīng)濟(jì)性的角度出發(fā)，采用千兆或萬兆以太網(wǎng)技術(shù)構(gòu)建主干網(wǎng)絡(luò)，成了十分普遍的選擇。 2112.3.3 匯聚層/接入層的設(shè)計(jì) 匯聚層交換機(jī)一般設(shè)置在分散的建筑里，以聚合建筑內(nèi)的信息流量，并向上級連。在一個建筑里面，是否設(shè)置匯聚交換機(jī)，要視建筑內(nèi)網(wǎng)絡(luò)規(guī)模、信息量及流向

10、而定。2212.4 服務(wù)器設(shè)計(jì) 服務(wù)器是網(wǎng)絡(luò)應(yīng)用系統(tǒng)運(yùn)行的平臺，承擔(dān)著大量的信息處理和傳輸?shù)娜蝿?wù)，是網(wǎng)絡(luò)運(yùn)行、管理、服務(wù)的中樞，是網(wǎng)絡(luò)系統(tǒng)的關(guān)鍵設(shè)備之一。因此，為網(wǎng)絡(luò)系統(tǒng)及應(yīng)用設(shè)計(jì)和選擇適合用戶需要的、具有高可靠性、高可用性、高擴(kuò)展性的網(wǎng)絡(luò)服務(wù)器，是網(wǎng)絡(luò)系統(tǒng)集成設(shè)計(jì)的重要任務(wù)之一。2312.4.1 服務(wù)器硬件設(shè)計(jì)12.4.2 網(wǎng)絡(luò)操作系統(tǒng)選擇2412.4.1 服務(wù)器硬件設(shè)計(jì) 服務(wù)器的性能在很大程度上決定于其硬件的配置，根據(jù)應(yīng)用場合的不同，服務(wù)器可分為以下4種：（1）打印服務(wù)器（2）數(shù)據(jù)庫服務(wù)器（3）網(wǎng)絡(luò)服務(wù)器（4）文件服務(wù)器25 根據(jù)應(yīng)用的場合和規(guī)模，在大致決定服務(wù)器CPU類型個數(shù)及其主頻、C

11、ache高速緩存大小、內(nèi)存、系統(tǒng)總線帶寬、I/O總線帶寬及插槽數(shù)、硬盤及其磁盤陣列接口速率、網(wǎng)絡(luò)接口等之后，還需要進(jìn)一步從以下各方面進(jìn)行考慮：（1）開放性和標(biāo)準(zhǔn)化；（2）性能；（3）可擴(kuò)展性和可升級性；（4）可靠性與可用性；（5）集群性；（6）可管理性；（7）廠商服務(wù)質(zhì)量。2612.4.2 網(wǎng)絡(luò)操作系統(tǒng)選擇 目前，應(yīng)用較為廣泛的網(wǎng)絡(luò)操作系統(tǒng)有Windows NT、NetWare 、UNIX/Linux三種，它們各有優(yōu)點(diǎn)和缺點(diǎn)，適合不同的應(yīng)用環(huán)境。表12-1對這三種網(wǎng)絡(luò)操作系統(tǒng)進(jìn)行了簡單比較。27表12-1 三種網(wǎng)絡(luò)操作系統(tǒng)的比較2812.5 網(wǎng)絡(luò)設(shè)備選擇 網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)設(shè)備產(chǎn)品更新?lián)Q

12、代的速度呈加速的趨勢，從中繼器、集線器，到高檔的交換機(jī)和路由器，從一般的局域網(wǎng)到較高級的FDDI網(wǎng)、ATM網(wǎng)，設(shè)計(jì)者的選擇很多，但也造成不少困惑。本節(jié)以交換機(jī)和路由器的選擇為例，概要說明網(wǎng)絡(luò)設(shè)備選擇需要考慮的主要問題。2912.5.1 交換機(jī)的選擇12.5.2 路由器的選擇3012.5.1 交換機(jī)的選擇 交換機(jī)是網(wǎng)絡(luò)系統(tǒng)的核心，網(wǎng)絡(luò)系統(tǒng)的性能主要決定于各層交換機(jī)的設(shè)計(jì)和選型。交換機(jī)的選擇有一般的要求，也有各個層次交換機(jī)的特殊要求，下面分別給予介紹。 3112.5.1.1 選擇交換機(jī)的一般考慮 交換機(jī)的設(shè)計(jì)和選擇有一些共性問題，適用于各個層次交換機(jī)的選擇。（1）端口數(shù)（2）支持的傳輸協(xié)議（3）所

13、連接LAN傳輸速率 （4）背板帶寬（5）網(wǎng)絡(luò)管理功能3212.5.1.2 核心交換機(jī)的選擇 核心交換機(jī)是網(wǎng)絡(luò)系統(tǒng)的核心，其選擇除需要考慮上面所述的一般要求外，還有下面的一些特殊需求。 （1）高速率。 （2）一般應(yīng)選用模塊化交換機(jī)，便于升級和擴(kuò)展。（3）高可靠性。 （4）有良好的可管理性。 （5）具有強(qiáng)大的網(wǎng)絡(luò)控制能力，提供QoS和網(wǎng)絡(luò)安全。 3312.5.1.3 匯聚層/接入層交換機(jī)的選擇 匯聚層/接入層交換機(jī)亦稱外圍交換機(jī)或邊緣交換機(jī)，其選擇一般應(yīng)滿足以下要求：（1）靈活性。 （2）高性能。 （3）即插即用，配置簡單。（4）支持通用的網(wǎng)絡(luò)管理協(xié)議。 3412.5.2 路由器的選擇 路由器是網(wǎng)

14、絡(luò)互聯(lián)的關(guān)鍵設(shè)備，提供不同協(xié)議、不同體系結(jié)構(gòu)網(wǎng)絡(luò)的互聯(lián)能力。路由器的選擇需要考慮的一些一般性問題如下：（1）接口的種類和數(shù)量，端口支持的速率。 （2）支持的協(xié)議種類。 （3）數(shù)據(jù)處理功能。 （4）管理設(shè)施。 3512.6 一個工業(yè)企業(yè)信息網(wǎng)絡(luò)設(shè)計(jì)實(shí)例12.6.1 系統(tǒng)設(shè)計(jì)原則12.6.2 需求分析12.6.3 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)12.6.4 系統(tǒng)安全設(shè)計(jì)12.6.5 系統(tǒng)可靠性設(shè)計(jì)12.6.6 網(wǎng)管系統(tǒng)3612.6.1 系統(tǒng)設(shè)計(jì)原則 某大型工業(yè)企業(yè)信息網(wǎng)絡(luò)建設(shè)，是該企業(yè)信息化建設(shè)的第一期工程，第二期工程計(jì)劃對信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)進(jìn)行集成。 我們?yōu)樵撈髽I(yè)的信息網(wǎng)絡(luò)建設(shè)提出的設(shè)計(jì)原則是：（1）先進(jìn)性 （2

15、）高性能 （3）可靠性、可用性、可維護(hù)性 （4）安全性 （5）擴(kuò)展性 （6）管理性 3712.6.2 需求分析 該企業(yè)現(xiàn)有員工約1.2萬人，共有15個分廠、1個研究所，信息點(diǎn)達(dá)到約4000個，信息點(diǎn)比較分散，涉及到辦公樓、各分廠、研究所、飯?zhí)玫?，其中辦公樓、各個分廠、研究所的信息點(diǎn)均較密集。 根據(jù)該企業(yè)網(wǎng)絡(luò)應(yīng)用需求，可以得出網(wǎng)絡(luò)建設(shè)的主要技術(shù)要求如下： 38 （1）主干網(wǎng)絡(luò)采用具有第三層交換功能的千 兆以太網(wǎng)。 （2）應(yīng)能支持多播、QoS或服務(wù)類型。 （3）支持虛擬網(wǎng)絡(luò)。 （4）有完善的網(wǎng)絡(luò)管理體系和網(wǎng)絡(luò)安全體 系。 （5）具有較高的可靠性、可用性、穩(wěn)定性、可擴(kuò)展性、安全性。 3912.6.3

16、 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)4012.6.3.1 拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 在該企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)中，我們采用了層次化的結(jié)構(gòu)設(shè)計(jì)?？煞譃橐韵氯齻€層次（如圖12-2）：（1）一級骨干網(wǎng) （2）二級匯聚網(wǎng)絡(luò) （3）三級用戶接入網(wǎng)絡(luò)，也即訪問網(wǎng) 41圖12-2 網(wǎng)絡(luò)拓樸圖4212.6.3.2 組網(wǎng)技術(shù) 該企業(yè)信息網(wǎng)建設(shè)選擇以太網(wǎng)技術(shù)組網(wǎng)。其中核心交換/路由器之間使用萬兆以太網(wǎng)鏈路連接，核心層與匯聚層之間、核心層與外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)）之間采用千兆以太網(wǎng)連接，接入桌面計(jì)算機(jī)使用10/100Mbit/s以太網(wǎng)。4312.6.3.3 網(wǎng)絡(luò)產(chǎn)品選型 網(wǎng)絡(luò)設(shè)備全部使用美國思科（CISCO）公司的產(chǎn)品，其中在核心層使用兩臺Catalyst

17、7613核心路由/交換機(jī)、兩臺Catalyst 6509核心交換機(jī)。匯聚層根據(jù)實(shí)際情況使用Catalyst 4506、Catalyst 3750、Catalyst 2950G-48幾款交換機(jī)。接入層則使用Catalyst 2950G-24、Catalyst 2950T-48 Catalyst 2950T-24幾款交換機(jī)。 4412.6.3.4 路由協(xié)議設(shè)計(jì) 該企業(yè)信息網(wǎng)中路由協(xié)議分為兩部分考慮，即內(nèi)部信息網(wǎng)的路由協(xié)議設(shè)計(jì)和網(wǎng)絡(luò)對外連接的路由設(shè)計(jì)。內(nèi)部信息網(wǎng)建議使用動態(tài)路由協(xié)議，與外部網(wǎng)絡(luò)的連接則可以使用靜態(tài)路由。 4512.6.4 系統(tǒng)安全設(shè)計(jì) 在該企業(yè)的信息網(wǎng)設(shè)計(jì)方案中，采用以下安全產(chǎn)品及技

18、術(shù)：（1）防火墻模塊 （2）入侵檢測（IDS）模塊 （3）用戶的安全認(rèn)證技術(shù) （4）防范蠕蟲病毒沖擊的技術(shù) （5）網(wǎng)絡(luò)設(shè)備自身安全設(shè)計(jì) （6）網(wǎng)絡(luò)系統(tǒng)的安全管理 4612.6.4.1 網(wǎng)絡(luò)安全設(shè)計(jì) 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的破壞、更改、泄露，保證系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 在該企業(yè)信息網(wǎng)中，系統(tǒng)安全的設(shè)計(jì)采用一種整體安全的策略。主要的安全產(chǎn)品及策略如表12-2所示。47表12-2 主要的安全產(chǎn)品及策略4812.6.4.2 防火墻系統(tǒng) 本方案中，每臺核心交換/路由器配置兩個防火墻模塊。 1.防火墻工作方式 模塊工作方式有多種，如獨(dú)

19、立方式或者互相備份方式。獨(dú)立方式雖然可以提高吞吐量，但是可靠性不高。考慮到企業(yè)信息對可靠性要求很高，建議每臺核心交換機(jī)配置兩臺防火墻模塊，并工作在互相備份方式。 49 2.邏輯結(jié)構(gòu)圖 防火墻模塊安裝在核心路由器內(nèi)部，但是從邏輯結(jié)構(gòu)上講它和普通的防火墻的部署完全相同。如圖12-3所示，兩套防火墻分別位于兩個不同的網(wǎng)絡(luò)出口。圖12-3 防火墻系統(tǒng)部署邏輯結(jié)構(gòu)圖 50 3.防火墻可靠性設(shè)計(jì) 防火墻模塊支持一個機(jī)箱內(nèi)部、機(jī)箱之間的Failover互相備份方式。本設(shè)計(jì)我們在每臺核心交換機(jī)內(nèi)部都配置了兩臺防火墻，并工作在互相備份方式，以確保防火墻的高可靠性。 51 4.策略設(shè)置基本步驟（1）進(jìn)行周詳?shù)恼{(diào)研

20、，分清不同用戶的需求，根據(jù)需求制定策略。（2）打開策略允許的應(yīng)用端口。（3）拒絕其他所有訪問。（4）打開日志記錄。5212.6.4.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計(jì) 本方案中配置了兩個內(nèi)置于核心交換/路由器的入侵檢測模塊，在網(wǎng)絡(luò)中部署IDS具體情況如圖12-4所示。53圖12-4 入侵檢測系統(tǒng)部署邏輯結(jié)構(gòu)圖5412.6.4.4 如何防范蠕蟲病毒對網(wǎng)絡(luò)的沖擊 本部分內(nèi)容主要討論蠕蟲病毒對網(wǎng)絡(luò)設(shè)備帶來的影響以及如何在網(wǎng)絡(luò)層面進(jìn)行發(fā)現(xiàn)、控制。徹底的病毒防范還需要通過防病毒系統(tǒng)軟件的部署來實(shí)現(xiàn)。1.蠕蟲病毒對網(wǎng)絡(luò)的影響過程2.病毒的預(yù)防和處理5512.6.4.5 網(wǎng)絡(luò)設(shè)備的安全管理 該企業(yè)信息網(wǎng)絡(luò)配置多種安全

21、產(chǎn)品，包括防火墻、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，今后還可能增加其他安全產(chǎn)品例如VPN設(shè)備、主機(jī)入侵檢測系統(tǒng)等。為了避免出現(xiàn)傳統(tǒng)的管理缺陷，安全產(chǎn)品都選用CISCO公司產(chǎn)品，通過CISCO公司提供的VMS（VPN/Security Management Solution，VPN/安全管理解決方案）實(shí)現(xiàn)對安全產(chǎn)品的統(tǒng)一管理。 5612.6.5 系統(tǒng)可靠性設(shè)計(jì) 企業(yè)信息網(wǎng)是該企業(yè)日常生產(chǎn)、經(jīng)營、管理和決策的基礎(chǔ)，在設(shè)計(jì)中必須考慮網(wǎng)絡(luò)可靠性的諸多方面，涵蓋設(shè)備級的可靠性、鏈路級的可靠性、網(wǎng)絡(luò)系統(tǒng)的可靠性設(shè)計(jì)等因素，確保所建成的網(wǎng)絡(luò)系統(tǒng)具有足夠的可靠性。1.硬件級2.鏈路級3. HSRP（備份協(xié)議方案 ）4.

22、防火墻、入侵檢測模塊的可靠性5712.6.6 網(wǎng)管系統(tǒng) 該企業(yè)信息網(wǎng)配置CISCO 公司的CISCO Works 2000網(wǎng)管軟件，至少包括Cisco Works 2000 LMS（局域網(wǎng)管理套件）和CISCO Works 2000 RWAN（廣域網(wǎng)管理套件）。 廣域網(wǎng)管理解決方案包括以下LMS（局域網(wǎng)套件）所不具有的應(yīng)用：1.問控制列表（ACL）管理器 2.互聯(lián)網(wǎng)性能監(jiān)視器（IPM） 5812.7 工業(yè)企業(yè)網(wǎng)絡(luò)的集成 工業(yè)企業(yè)網(wǎng)的集成問題，包括控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的集成、現(xiàn)場總線控制網(wǎng)絡(luò)的集成、現(xiàn)場總線控制網(wǎng)絡(luò)與集散控制系統(tǒng)（DCS）集成。5912.7.1 工業(yè)企業(yè)網(wǎng)12.7.2 控制網(wǎng)絡(luò)和信

23、息網(wǎng)絡(luò)的集成12.7.3 現(xiàn)場總線控制網(wǎng)絡(luò)的集成12.7.4 現(xiàn)場總線控制網(wǎng)絡(luò)與DCS網(wǎng)絡(luò)的集成6012.7.1 工業(yè)企業(yè)網(wǎng)6112.7.1.1 工業(yè)企業(yè)網(wǎng)的概念和特性 工業(yè)企業(yè)網(wǎng)（Enterprise Network）是指在一個工業(yè)企業(yè)范圍內(nèi)，將信號檢測、數(shù)據(jù)傳輸、處理、存儲、計(jì)算、控制等設(shè)備或系統(tǒng)連接在一起，以實(shí)現(xiàn)企業(yè)內(nèi)的資源共享、信息管理、過程控制、經(jīng)營決策，使得各項(xiàng)事務(wù)協(xié)調(diào)動作，并能夠訪問企業(yè)外信息資源，提供面向客戶的企業(yè)信息查詢及商業(yè)伙伴間的信息交流等多方面功能的實(shí)現(xiàn)企業(yè)集成管理和控制的一種網(wǎng)絡(luò)環(huán)境。 62工業(yè)企業(yè)網(wǎng)具有如下特性：（1）范圍確定性 （2）集成性 （3）安全性 （4）相

24、對開放性 6312.7.1.2 工業(yè)企業(yè)網(wǎng)的體系結(jié)構(gòu) 工業(yè)企業(yè)網(wǎng)是企業(yè)的信息基礎(chǔ)設(shè)施，它涉及局域網(wǎng)、廣域網(wǎng)、現(xiàn)場總線控制系統(tǒng)以及網(wǎng)絡(luò)互聯(lián)技術(shù)，是計(jì)算機(jī)技術(shù)、信息技術(shù)和控制技術(shù)在企業(yè)管理系統(tǒng)與生產(chǎn)過程控制系統(tǒng)中的有機(jī)統(tǒng)一。根據(jù)計(jì)算機(jī)集成制造系統(tǒng)CIM-OSA模型和PUDU模型，企業(yè)的控制管理層次可分為5層，如圖12-5所示。 64圖12-5 工業(yè)企業(yè)網(wǎng)模型 65 在功能上，工業(yè)企業(yè)網(wǎng)的結(jié)構(gòu)可分為信息網(wǎng)和控制網(wǎng)上下兩層，如圖12-6所示。 圖12-6 工業(yè)企業(yè)網(wǎng)的功能體系結(jié)構(gòu)6612.7.1.3 工業(yè)企業(yè)網(wǎng)的實(shí)現(xiàn)結(jié)構(gòu) 典型的工業(yè)企業(yè)網(wǎng)包括本地信息處理網(wǎng)絡(luò)和實(shí)時控制網(wǎng)絡(luò)、企業(yè)駐外機(jī)構(gòu)網(wǎng)絡(luò)以及與相關(guān)企

25、業(yè)的網(wǎng)絡(luò)。 在物理實(shí)現(xiàn)上，企業(yè)本地網(wǎng)、駐外機(jī)構(gòu)網(wǎng)和其他網(wǎng)絡(luò)之間通過路由器、調(diào)制解調(diào)器(Modem)等連接設(shè)備經(jīng)由Internet互聯(lián)起來。 在應(yīng)用實(shí)現(xiàn)上，現(xiàn)代工業(yè)企業(yè)網(wǎng)以主企業(yè)Intranet為主體，以公用數(shù)據(jù)網(wǎng)或其他通信手段為依托，借用Internet技術(shù)與相關(guān)企業(yè)的Intranet或單機(jī)組成的網(wǎng)絡(luò)。 6712.7.2 控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的集成 控制網(wǎng)絡(luò)的通信技術(shù)不同于以傳輸信息和資源共享為目的的信息網(wǎng)絡(luò)，其最終目標(biāo)是實(shí)現(xiàn)對被控對象中能量和物質(zhì)轉(zhuǎn)移的有效控制，使系統(tǒng)安全穩(wěn)定運(yùn)行。實(shí)現(xiàn)控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)的緊密集成是建立企業(yè)綜合實(shí)時信息庫的基礎(chǔ)，為企業(yè)的優(yōu)化控制、調(diào)度決策提供依據(jù) 信息網(wǎng)與控制網(wǎng)

26、互聯(lián)的邏輯結(jié)構(gòu)如圖12-7所示。 68圖12-7 信息網(wǎng)與控制網(wǎng)互聯(lián)邏輯結(jié)構(gòu) 6912.7.2.1 在控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間加入轉(zhuǎn)換接口 當(dāng)控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間具有中間系統(tǒng)或共享存儲器工作站時，可以采用DDE方式實(shí)現(xiàn)二者的集成，其實(shí)質(zhì)是通過共享內(nèi)存來交換信息。DDE方式具有較強(qiáng)的實(shí)時性，而且比較容易實(shí)現(xiàn)，可以采用標(biāo)準(zhǔn)Windows技術(shù)。但是涉及到復(fù)雜的協(xié)議轉(zhuǎn)換時，DDE方式的軟件費(fèi)用比較大。因此這種方式適合配置簡單的小系統(tǒng)。 7012.7.2.3 控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)之間采用OPC技術(shù) 控制網(wǎng)絡(luò)與信息網(wǎng)絡(luò)集成的另一種方式是采用OPC技術(shù)。OPC規(guī)范是為了在工業(yè)控制計(jì)算環(huán)境中的各個數(shù)據(jù)源之間進(jìn)行

27、通信而開發(fā)的，其全稱為OLE for Process Control，它是專為過程控制而設(shè)計(jì)的基于OLE技術(shù)的標(biāo)準(zhǔn)。 OPC 標(biāo)準(zhǔn)采用了客戶/服務(wù)器體系結(jié)構(gòu)。在支持OPC的系統(tǒng)中，數(shù)據(jù)的提供者作為服務(wù)器，數(shù)據(jù)請求者作為客戶，服務(wù)器和客戶之間通過DCOM 接口進(jìn)行通信，而無需知道對方內(nèi)部的實(shí)現(xiàn)細(xì)節(jié)。 7112.7.2.4 控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)采用統(tǒng)一的協(xié)議標(biāo)準(zhǔn) 這種方式將成為控制網(wǎng)絡(luò)和信息網(wǎng)絡(luò)完成集成的最終解決方案。如果信息網(wǎng)絡(luò)的協(xié)議標(biāo)準(zhǔn)是提高其實(shí)時性，而控制網(wǎng)絡(luò)的協(xié)議標(biāo)準(zhǔn)是提高其傳輸速度，兩者的兼容性就會提高，兩者合二為一，這樣從底層設(shè)備到遠(yuǎn)程監(jiān)控系統(tǒng)，都可以使用統(tǒng)一的協(xié)議標(biāo)準(zhǔn)，確保信息準(zhǔn)確、快

28、速、完整地傳輸，還可以極大地簡化系統(tǒng)設(shè)計(jì)。 7212.7.3 現(xiàn)場總線控制網(wǎng)絡(luò)的集成7312.7.3.1 現(xiàn)場總線控制網(wǎng)絡(luò)需求分析 進(jìn)行需求分析調(diào)查的方法參見12.2.1，在進(jìn)行現(xiàn)場總線系統(tǒng)集成時，可以著重考慮以下幾個問題：1.現(xiàn)場總線的必要性2.系統(tǒng)實(shí)時性要求3.系統(tǒng)的結(jié)構(gòu)配置需求4.網(wǎng)絡(luò)性能需求 5.與車間自動化系統(tǒng)或全廠自動化連接 7412.7.3.2 現(xiàn)場總線的選型 目前全世界的現(xiàn)場總線已有40多種，除了IEC標(biāo)準(zhǔn)中的12種總線外，流行的現(xiàn)場總線還有LON、ARCNet等等。在現(xiàn)場總線的選型時，可重點(diǎn)考慮以下問題：1.通信需求 目前一種比較流行的現(xiàn)場總線分類方法是，按照與其傳送的平均數(shù)

29、據(jù)分組長度相關(guān)的復(fù)雜程度，把現(xiàn)場總線分為三類，即位總線、字節(jié)總線和數(shù)據(jù)流總線。表12-3列出若干影響比較大的現(xiàn)場總線的歸類情況。 75表12-3 現(xiàn)場總線的分類位總線字節(jié)總線數(shù)據(jù)流總線CANCAN原IEC61158技術(shù)規(guī)范AS-iDeviceNetFoundation FieldbusInterBus-SSDSWorldFIPSeriplexInterBus-SProfibus-FMSPASERCOSSERCOSP-NETDevice World FIPProfibus-DPLONLONLONControlNetCCLink以太網(wǎng)DeviceWorldFIP76 2.技術(shù)先進(jìn)性 3.應(yīng)用領(lǐng)域 目前，每種總線都已經(jīng)形成特定的應(yīng)用領(lǐng)域，因此，在選擇總線時，根據(jù)客戶的應(yīng)用領(lǐng)域，選擇擅長該領(lǐng)域應(yīng)用的現(xiàn)場總線，是很重要的。 根據(jù)美國ARC公司的市場調(diào)查，世界市場對各種現(xiàn)場總線需求的實(shí)際額如表12-4所示。 77表12-4 現(xiàn)場總線應(yīng)