网络连接等。实时入侵检测能力能够阻止来自外部网络黑客的入侵,和对付来自内部网络的攻击。入侵检测系统可分为两类:
(1)、基于主机 (2)、基于网络
基于主机的入侵检测系统用于保护关键应用服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视,如 Web 服务器应用。 基于网络的入侵检测系统用于实时监控网络关键路径的信息。
对网络环境的严格管理和维护、定期检查、测试关键的网络设备、通信线路以及供电等配套设施和环境。
●其它
网络系统的物理结构、逻辑结构和地址空间的层次化和模块化,利于网络的构建和扩展;
适应多业务发展需求,提供高质量的可服务于图象,话音,数据的业务网; 网络系统应具有很好的收敛性和可扩展性,同时其网络额外开销是极小的,且受到国际标准的支持,保证不同设备见的互通性;
全网可进行统一或分布管理,网络维护简单有效。
大学图书馆的网络设计是基于一个模块化、层次化的设计思想,这也是对网络进行高效管理的首选方法。
●模块化设计
所谓模块化就是将整个网络按功能和安全需求分为若干个组件,这些组件之间有一定的安全边界,组件内部具有完整的网络设计。模块化设计的好处在于:
1.解决各网络之间的冲突问题; 2.简化安装和后台设备管理; 3.易于故障检测和分离问题;
4.易于执行不同类型的服务和安全方针; 5.易于扩展和替代原来的技术。 一个典型的模块化设计如下图所示:
大学图书馆的网络设计可以借鉴这种思想,对各种不同种类,不同安全等级的业务进行模块划分,并且相互之间的访问将受到控制。当然,在实际情况中并不一定要求严格按照上诉模块划分,而是根据实际情况灵活运用,做适当的裁剪与调整。
●层次化设计 层次化网络设计模型
对于大型网络,可以采用业界通用3层模型“核心层-汇聚层-接入层”层次化网络设计模型。
核心层
核心层的主要提供不同网络模块之间优化传输服务,将分组尽可能快地从一个网络传到另一个网络,通常要保证核心层具有很高的可靠性、最佳的网络性
能。汇聚层到核心层要具备冗余传输链路,任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢,核心层除了要求高性能交换设备和高带宽传输链路外,还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外,为了避免网元故障对网络造成冲击,需要网络采用支持快速聚合的特性,一旦主用通路断开,可以很快的切换到备用通路。
汇聚层
汇聚层顾名思义就是作为访问层到骨干层流量的汇聚,一般为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成,提供对网络流量控制、服务访问控制、Qos、定义路由路径度量和路由协议网络通告控制。
图 4 汇聚层网络模块
接入层
接入层作为各模块到交换骨干的连接,根据不同模块进行逻辑子网划分,并通过 VLAN 技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量,避免不同模块之间 相互影响。访问层主要通过二层交换机组成。
2.5、网络总体设计建议
根据以上的分析,为使网络系统具有良好的扩展性和灵活的接入能力,并易于管理,易于维护,在网络设计及构建中始终应遵循如下方面技术策略:
统一标准、统一平台
网络的互联及互通关键是对相同标准的遵循,在网络系统中,要实现业务整合及数据集中等业务,就必须统一标准。从开放性、发展性、成熟性等方面来看,只有IP技术才能成为统一平台网络构建的标准。而在具体实施中,必须按照网络建设技术标准统一规划好IP地址及各种应用,采用开放的技术及国际标准,如路由协议、安全标准、接入标准和网络管理平台等进行设计构架,才能保证实现网络的统一,并确保网络的可扩展性。
分层架构设计
为减少网络中各部分的相关性,便于网络系统的实施及管理,在网络系统的构建中,采用网络经典分层模型构建,即从整体上将网络划分为核心层、接入层两部分。
核心层负责网络各接入节点间的互联及完成高效的数据传输、交换、转发及路由分发。将各种业务通过各种接口及标准接入到网络中,并完成业务系统之间的隔离和安全性控制等功能;接入层负责汇集分散的接入点,进行数据交换,提供流量控制和用户管理功能。
采用分层模型架构,可以减少核心和汇聚部分之间的相互关联和影响。业务应用接入的变化,只影响接入设备及接入部分网络,对骨干网络没有影响,从而增强了网络的扩展能力和新业务的接入能力,便于管理和维护。
2.6、网络互联设计
2.6.1、网络拓扑结构设计
按照网络建设技术标准的规划并结合桂林理工大学图书馆网络实际情况,实行扁平化网络结构设计,分为核心和接入两层架构设计,这样的好处是即能够满足用户对网络要求的高处理能力,多业务的需求,同时也减少了无谓的成本开销。
