第二章 计算机系统的可靠性

第二章 计算机系统的可靠性第二章 计算机系统的可靠性

系统可靠性 (冗余、容错、专用） 系统可用性 (可正常运行、故障可恢复） 系统部件一致性（配置合理） 网络互连性（连通和隔离的矛盾，布线） 环境安全性（配电、接地、防护） 检查验收：按照标准、规范、合同和协议

系统可靠性的定义： 在特定时间内和特定条件下系统正常工作的相应程度，即 (degree of suitability) 。 可靠性的测量方式： 系统的可用性 (availability)，即利用率。 可用性的平均值即平均利用率，其计算方法为： A = MTBF / (MTBF + MTTR) MTBF(MeanTime Between Failures)MTBF(MeanTime Between Failures) 故障间隔平均时间故障间隔平均时间 MTTR(MeanTime To Repair)MTTR(MeanTime To Repair) 系统平均修复时间系统平均修复时间

第一节 计算机系统的可靠性与容错性 第一节 计算机系统的可靠性与容错性

系统可靠性的获得 可靠性 ┌──────┴──────┐ 容错性 完美性 (fault tolerance) (perfection) │ ┌───┴───┐ ─┬ 冗余技术 硬件冗余 完美硬件 完美软件(redundancy)├ ├ │软件冗余 整机完美性 | ├ ├ 时间冗余 部件完美性 可信软件 | └ └信息冗余 器件完美性 | | 静态冗余（部件冗余） 可用硬件 动态重组 |--被动重组（ 后备 stand-by ） |--主动重组（ 优美降级 graceful degradation)

完美性追求一种避错技术，即避免出错。要求组成系统的各个部件、器件具有高可靠性不允许出错，或者出错率降至最低。 ㈠硬件的可靠性与完美性 指元器件的完美性、部件的完美性、整机与系统的完美性 电路：规范设计、电路结构、时序与竞争 元器件：制造、筛选、老化、容差、寿命 部件： PCB板、布局、位置、结构、布线、 焊接、安装、散热、机械性能、频率 整机：整体一致、结构合理、干扰屏蔽 环境：布局、强弱电干扰、静电

完美性与避错技术完美性与避错技术

完美性与避错技术（续）㈡软件的可靠性与完美性 软件的可靠性与完美性是指软件的正确性、 完美性、兼容性。 1）正确性：软件有正确性吗？软件完美吗？ 正确性证明的范畴。 2 ）可用性：软件在一定的环境条件和应用条 件下可以正常运行，功能正常。 3）兼容性：软件对运行环境、运行平台和运 行条件的适应性。 4 ）可信性：对用户来说，所使用的软件值得 信赖，对软件产生的心理性依赖。

( 三 ) 软件的可靠性与硬件的可靠性的区别

（共 9点）1.最明显的是硬件有老化损耗现象 ;软件不发生变化，没有磨损现象，有陈旧落后的问题。

2.硬件可靠性的决定因素是时间，受设计、生产、运用的所有过程影响，软件可靠性的决定因素是与输入数据有关的软件差错，更多地决定于人。

3. 硬件的纠错维护可通过修复或更换失效的系统重新恢复功能，软件只有通过重设计。

4.对硬件可采用预防性维护技术预防故障，采用断开失效部件的办法诊断故障，而软件则不能采用这些技术。5.事先估计可靠性测试和可靠性的逐步增长等技术对软件和硬件有不同的意义。

6.为提高硬件可靠性可采用冗余技术，而同一软件的冗余不能提高可靠性。7. 硬件可靠性检验方法已建立，并已标准化且有一整套完整的理论，而软件可靠性验证方法仍未建立，更没有完整的理论体系。

8. 硬件可靠性已有成熟的产品市场，而软件产品市场还很新。

9.软件错误是永恒的，可重现的，而一些瞬间的硬件错误可能会被误认为是软件错误。 总的说来，软件可靠性比硬件可靠性更难保证。

㈠容错系统的概念容错技术：在一定程度上容忍故障的技术容错系统：采用容错技术的系统 当系统因某种原因出错或者失效，系统能够继续工作，程序能够继续运行，不会因计算机故障而中止或被修改，执行结果也不包含系统中故障引起的差错。容错技术也称为故障掩盖技术 (fault masking) 。

容错性与容错技术容错性与容错技术

容错性与容错技术（续） 冗余技术是容错技术的重要结构，它以增加资源的办法换取可靠性。由于资源的不同，冗余技术分为硬件冗余、软件冗余、时间冗余和信息冗余。资源与成本按线性增加，而故障概率则可按对数规律下降。 冗余要消耗资源，应当在可靠性与资源消耗之间进行权衡和折衷。

双 CPU 容错系统

当一个 CPU 板出现故障时，另一个 CPU 保持继续运行。这个过程对用户是透明的，系统没有受到丝毫影响，更不会引起交易的丢失，充分保证数据的一致性和完整性。系统的容错结构能够提供系统连续运行的能力，任何单点故障不会引起系统停机，系统提供在线的维护诊断工具可在应用继续运转的情况下修复单点故障。

冗余类型：1.硬件冗余： 增加线路、设备、部件，形成备份。2.软件冗余： 增加程序，一个程序分别用几种途径编写， 按一定方式执行，分段或多种表决。3.时间冗余： 指令重复执行，程序回卷技术。4.信息冗余： 增加信息数据位数，检错、纠错。

㈡容错系统工作方式1.自动侦测 (Auto-Detect) 通过专用的冗余侦测线路和软件判断系统运行情况，发现可能的错误和故障，进行严谨的判断与分析。确认主机出错后，启动后备系统。 侦测程序需要检查主机硬件（处理器与外设部件）、主机网络、操作系统、数据库、重要应用程序、外部存储子系统（如磁盘阵列）等。

为了保证侦测的正确性，防止错误判断，系统可以设置安全侦测时间、侦测时间间隔、侦测次数等安全系数，通过冗余通信连线，收集并记录这些数据，作出分析处理。 数据可信是切换的基础。

2.自动切换 (Auto-Switch) 当确认某一主机出错时，正常主机除了保证自身原来的任务继续运行外，将根据各种不同的容错后备模式，接管预先设定的后备作业程序，进行后续程序及服务。 系统的接管工作包括文件系统、数据库、系统环境（操作系统平台）、网络地址和应用程序等。 如果不能确定系统出错，容错监控中心通过与管理者交互进行有效的处理。 决定切换基础、条件、时延、断点

3.自动恢复 (Auto-Recovery) 故障主机被替换后，离线进行故障修复。修复后通过冗余通信线与正常主机连线，继而将原来的工作程序和磁盘上的数据自动切换回修复完成的主机上。这个自动完成的恢复过程用户可以预先设置，也可以设置为半自动或不恢复。

㈢容错系统与部件 包括系统级容错

和部件级容错

1）系统级容错： 多种系统容错后备模式

两机同时运行，分不同作业，各自资源负载， 故障、接管、修复、交还。•双主机通过一条 TCP/IP网络线以及一条 RS-232电缆线相联•双主机各自通过一条 SCSI电缆线与 RAID 磁盘阵列相联•双主机各自运行不同的作业，彼此独立，并相互备援•主机 A故障后，主机 B自动接管主机 A运行。•主机 A的作业将在主机 B上自动运行。•主机 A修复后，主机 B将把 A的作业自动交还主机 A。•主机 B故障时，主机 A接管主机 B的作业和数据。•主机 B修复时 , 主机 A 再将原来接管的作业和数据交还主机 B 。

* * 双机双工热备份双机双工热备份 (( Mutual Backup)Mutual Backup) ：：

主从式（ M/S）， M运行， S后备， M故障， S接管并升级为 M, 原 M 修复后作为 S。•双主机通过一条 TCP/IP网络线以及一条 RS-232 电缆线相联。•双主机各自通过一条 SCSI电缆线与 RAID 相联。•主机 A 为 Master ，主机 B为 Slave 。•主机 A 处理作业和数据，主机 B作为热备份机。•主机 A故障后，主机 B自动接管主机 A的作业和数据。•主机 B同时接管 A的主机名 (Host)及网络地址 (IP) 。•主机 A的作业将在主机 B上自动运行。•主机 A的客户 (client) 可继续运行，无需重新登录。•主机 B现为 Master, 主机 A修复后作为 Slave ，作为热备份机。

2个主机建议使用规格相同的主机

* * 主从热备份主从热备份 ((Master/Slave)Master/Slave) ：：

M 运行， S 后备， M 故障， S 接管作M ， 原M 修复， S归还M 。

* * 热备份热备份 ((Hot-Standby)Hot-Standby)

Mi ni computer Mi ni computer

SCSI

SCSI

RS232

例如：双机热备份（网络）

RS232

M机

S 机系统盘SCSI

SCSI 数据盘

心跳线

si teLi nkBr i dge

桥

------ 在这种方案中，需采用的双机热备份软件，用于提高服务器可靠性。选用离线数据备份及灾难恢复软件，保证数据可靠性。还需要用到的硬件设备还包括磁带机 / 磁带库和磁盘阵列。

2）部件级容错：冗余或后备的部件模式。例如 :RAID 系统

IDE

EIDE

SCSI

DAC

7/15 个盘

仅支持 2 个盘可支持 4 个盘

可支持多个盘

可支持多分组多个磁盘

Di sk array Di sk array

概念与术语 SCSI是一种连结主机和外围设备的接口，支持包括磁盘驱动器、磁带机、光驱、扫描仪在内的多种设备。它由 SCSI 控制器进行数据操作， SCSI 控制器相当于一块小型 CPU，有自己的命令集和缓存。

IDE接口是由 Western Digital 与 COMPAQ Computer两家公司所共同发展出来的。一般也称 IDE硬盘为 ATA硬盘。 IDE接口有两大优点：易于使用与价格低廉。但是随着 CPU 速度的增快以及应用软件与环境的日趋复杂， IDE的缺点也开始慢慢显现出来。

Enhanced IDE(加强型 IDE，简称为 EIDE)就是 Western Digital公司针对传统 IDE接口的缺点加以改进之后所推出的新接口。使用扩充 CHS(Cylinder-Head-Sector) 或 LBA(Logical Block Addressing)寻址的方式，突破 528MB 的容量限制，使用容量达到数十 GB 硬盘。最高传输速度可高达 100MB/ 秒。

Disk Array 磁盘阵列，一种外部存储装置，以并行方式在多个硬盘驱动器上工作，被系统视作一个单一的硬盘，以冗余技术增加其可靠性。 RAID (Redundant Arrays of Inexpensive Disks) 廉价磁盘冗余阵列，以多个低成本磁盘构成磁盘子系统，提供比单一硬盘更完备的可靠性和高性能。利用重复的磁盘来处理数据，使得数据的稳定性得到提高。

1. 数据基带条阵列 (RAID0)分块无校验型，无冗余存储。简单将数据分配到各个磁盘上，不提供真正容错性。带区化至少需要 2个硬盘，可支持 8/16/32个磁盘 优点：允许多个小区组合成一个大分更好地利用磁盘空间，延长磁盘寿命多个硬盘并行工作，提高了读写性能 缺点：不提供数据保护，任一磁盘失效，数据可能丢失，且不能自动恢复。

输入数据流输入数据

磁盘阵列控制器并行传输

HDD1 HDD2 HDD3 HDD4 HDD5

RAID0 示意图

2.磁盘镜象 (RAID1) 每一组盘至少两台，数据同时以同样的方式写到两个盘上，两个盘互为镜象。磁盘镜象可以是分区镜象、全盘镜象。容错方式以空间换取，实施可以采用镜象或者双工技术 优点：可靠性高，策略简单，恢复数据时不必停机。 缺点：有效容量只有总容量的 1/2，利用率 50%。由于磁盘冗余，硬件开销较大，成本较高。

输入数据流输入数据

磁盘阵列控制器并行传输

HDD1 HDD2

第一组镜象HDD3 HDD4

RAID1 示意图

第二组镜象

3.并行海明纠错阵列 (RAID2) 存储型 ECC纠错类，采用海明冗余纠错码 (Hamming Code Error Correction) 、跨接技术和存储纠错数据方法，数据按位分布到磁盘上。磁盘台数由纠错码和数据盘数决定。 优点：可靠性高，可自动确定哪个硬盘已经失效，并进行自动数据恢复。 缺点：磁盘冗余太多，开销太大。防止纠错盘本身故障。

输入数据流输入数据

磁盘阵列控制器

HDD1 HDD2 HDD3 HDD4 HDD5

RAID2 示意图

HDD6 HDD7

HCC

HCC

HCC

HCC

HCC

HCC

HCC

HCC

HCC

海明校验

4.奇偶校验并行位交错阵列 (RAID3) 结合跨接技术、存储纠错数据方式，采用数据校验和校正。利用单独奇偶校验磁盘进行。一个盘故障，可根据读出数据内容和奇偶校验位确定出错位置，对数据进行修正和重组，校验方式可采用位交错或字节交错。 优点：速度快，适合较大单位数据的读写， 缺点：不适合小单位数据的读写；校验磁盘没有冗余，若校验磁盘失效，数据很难恢复。

输入数据流输入数据

磁盘阵列控制器

HDD1 HDD2 HDD3 HDD4 HDD5

RAID3 示意图

parity

parity

奇偶校验

5.奇偶校验扇区交错阵列 (RAID4) 与 RAID3类似，但数据是以扇区 (sector)交错方式存储于各台磁盘，也称块间插入校验。采用单独奇偶校验盘。 优点：只读一个扇区，只需访问一个磁盘。写一个扇区，只访问一个数据盘和一个校验盘。各磁盘可独立工作（扇区读写），读写并行。 缺点：奇偶盘单独，出错后数据很难恢复。校验在一个磁盘上，产生写性能瓶颈。

输入数据流输入数据

磁盘阵列控制器

HDD1 HDD2 HDD3 HDD4 HDD5

RAID4 示意图

parity

parity

奇偶校验

parity

Secter交叉

6.循环奇偶校验阵列 (RAID5) 与 RAID4类似，但校验数据不固定在一个磁盘上，而是循环地依次分布在不同的磁盘上，也称块间插入分布校验。它 是目前采用最多、最流行的方式，至少需要 3个硬盘。 优点： 校验分布在多个磁盘中，写操作可以同时处理。为读操作提供了最优的性能。一个磁盘失效，分布在其他盘上的信息足够完成数据重建。 缺点： 数据重建会降低读性能；每次计算校验信息，写操作开销会增大，是一般存储操作时间的 3倍。

输入数据流输入数据

磁盘阵列控制器

HDD1 HDD2 HDD3 HDD4 HDD5

RAID5 示意图

奇偶校验

parity

parity

parity

7.二维奇偶校验阵列 (RAID6) 将整个磁盘阵列看成一个二维阵列 RAID5只在一组（相当于行）上有奇偶校验盘，而 RAID6在各组的同一位置的盘组成的列上也加上了奇偶校验盘。这两个奇偶校验盘形成了二维阵列。 此类型也称为 P＋ Q冗余技术或者 RAID0+1，其含义是它结合了 RAID0的性能和RAID1的可靠性。它不是成对地组织磁盘，而是把按照 RAID0方式产生的磁盘组全部映象到另一备份磁盘组中。

第二节 计算机系统的环境安全 第二节 计算机系统的环境安全

对计算机安全有影响的环境因素有很对计算机安全有影响的环境因素有很多，例如：火、烟、灰尘、地震、爆多，例如：火、烟、灰尘、地震、爆炸、温度、臭虫、电子噪音、闪电、炸、温度、臭虫、电子噪音、闪电、共振、湿度、水等。 共振、湿度、水等。

环境因素分为四类： 环境因素分为四类： – 安装条件：计算机安装的各种条件，包括安装条件：计算机安装的各种条件，包括

场地安全、配电与接地、环境干扰与破坏；场地安全、配电与接地、环境干扰与破坏；– 运行条件：温度、湿度、电压、频率、粉运行条件：温度、湿度、电压、频率、粉

尘、电磁场、空调等，静电与感应电，有尘、电磁场、空调等，静电与感应电，有害气体；害气体；

– 人为影响：误操作、盗窃、故意破坏等；人为影响：误操作、盗窃、故意破坏等；– 自然影响：雷击、火灾、鼠害、虫害（白自然影响：雷击、火灾、鼠害、虫害（白

蚁）等自然灾害。蚁）等自然灾害。

环境安全建议环境安全建议对于上述因素，《计算机场地通用规范》对于上述因素，《计算机场地通用规范》国家标准国家标准 GB/T2887-2000GB/T2887-2000 、《电子计算机、《电子计算机机房设计规范》机房设计规范》 GB50174-93GB50174-93 、《计算站、《计算站场地技术条件》场地技术条件》 GB2887-89GB2887-89 、《计算站场、《计算站场地安全要求》地安全要求》 GB9361-88GB9361-88 具体地对包括机具体地对包括机房位置、布局、装修、洁净与温湿度、灾房位置、布局、装修、洁净与温湿度、灾害防御系统等因素提出了建议。 害防御系统等因素提出了建议。

第三节 设备互连与安全性 第三节 设备互连与安全性 如果计算机设备不互连或者互连设备和计如果计算机设备不互连或者互连设备和计算机系统设备都锁在同一间屋子里，那么算机系统设备都锁在同一间屋子里，那么设备互连相对而言是比较安全的。然而设设备互连相对而言是比较安全的。然而设备互连的通信线路往往连接到室外，这样备互连的通信线路往往连接到室外，这样安全问题就产生了。安全问题就产生了。首先是通信线路的安全，其次是通信互连首先是通信线路的安全，其次是通信互连设备的安全。 设备的安全。

通信互连设备主要有通信交换设备通信互连设备主要有通信交换设备（交换机、程控机）、网络互连设备（交换机、程控机）、网络互连设备（如调制解调器、中继器、集线器、（如调制解调器、中继器、集线器、网桥、路由器、网关等）、存储设备网桥、路由器、网关等）、存储设备等，在网络系统集成中，它们的可靠等，在网络系统集成中，它们的可靠性和安全性必须自始至终考虑。 性和安全性必须自始至终考虑。

物理层：中继器物理层：中继器 repeaterrepeater ，集线器，集线器 hubhub数链层：网桥数链层：网桥 bridgebridge ，桥路器，桥路器 brouter brouter 交换机交换机 switcherswitcher网络层：路由器网络层：路由器 routerrouter ，路桥器，路桥器 roudgroudgerer传输层：网关传输层：网关 gatewaygateway ，防火墙，防火墙 firewafirewallll

一、网络互连设备安全

1. 中继器及物理层的安全性 中继器作为一个双向放大器用于驱动长距离通信，只能用于连接具有相同物理层协议的局域网，主要用于扩充 LAN电缆段 (segment)的距离限制。它不具有安全功能，不具备任何过滤功能，不能隔离网段间不必要的网络流量和网络信息。

2. 网桥及链路层的安全性 网桥通过数据链路层的逻辑链路子层 (LLC)来选择子网路径，接收完全的链路层数据帧，并对帧作校验，同时，在源地址表中查找介质存取控制子层 (MAC)的源和目的地址，以决定该帧是否转发或者丢弃。网桥通过存储转发功能实现信息帧交换，通过自学习功能建立源MAC地址表，从而在逻辑上分开网络段，减轻各个逻辑网段上的流量。

网桥通过 MAC地址判断选径，实现数据链路层上的数据分流，隔离功能较弱。安全性弱点在于可能导致 "广播风暴 "(broadcast storm)，如果一个帧的源地址是网桥未学习过的 MAC地址，它会将该帧转发到它所连接的所有局域网上，从而产生大量的扩散帧。而且，它无法解决同一介质网络段上可能出现的具有不同 IP子网号的主机之间的互访问题。

3. 路由器及网络层的安全性 路由器完成网内地址选径，防止网“ ”内 广播风暴 的产生，也能实现不同或

者相同局域网段上不同 IP网号或者子网号主机间的互访，并提供远程互连。由于它涉及物理、数链、网络三个层次数据处理，处理时间长 (延迟约 100-500ms)，且价格昂贵。路由器的隔离功能强于网桥，通过自学习和人工设置方式对数据进行严格过滤。

给网桥加上类似于路由器的隔离功能，使其能够阻拦网间不必要的信息交换，就可以防止 "广播风暴 "。将路由器的某些思想、实现方法用于网桥，就形成了所谓 "桥路器 "(brouter)，而将路由器内部对 IP地址的操作改为对MAC地址的操作，就形成了所谓 "过滤网桥 "，也称 "路桥器 " 。它通过信息过滤 (避免无用信息广播传送 )和权限设定(防止无权用户访问主网和其他网络资源 ) 来增强安全性。

4. 交换机及链路层的安全性 由于路由器的配置技术和管理技术较复杂，成本昂贵，数据处理时间延迟较大，在一定程度上降低了网络性能。此外，在局域网中使用路由器的局限性促进了交换式以太网技术的发展，导致了交换机对路由器的替换。交换机工作在数据链路层，可看作是网桥的硬件延伸，该层中数据交换在硬件中完成，因而可以实现比较高的交换速度。

5. 网关及网络高层的安全性

网关并没有确定的实际产品，目前，安全重点研究的防火墙，实际就是一种带有不同过滤器的网关。

6 6 调制解调器的安全性调制解调器的安全性

调制解调器是拨号上网的关键设备之一。调制解调器是拨号上网的关键设备之一。调制解调器的主要安全漏洞在于它提供了调制解调器的主要安全漏洞在于它提供了用户网络的另一个入口点，因为有电话和用户网络的另一个入口点，因为有电话和调制解调器的任何人都可能非法进入网络调制解调器的任何人都可能非法进入网络系统。对于安全性要求较高的内部网，应系统。对于安全性要求较高的内部网，应该严格控制拨号上网服务，并应该有严格该严格控制拨号上网服务，并应该有严格的身份验证系统来保证其安全。如果一个的身份验证系统来保证其安全。如果一个黑客通过拨号服务器登录到用户的网络中，黑客通过拨号服务器登录到用户的网络中，那么他就可以窃听到用户的内部网络信息 那么他就可以窃听到用户的内部网络信息

二、互连中的接线方式 在通过网络线连接计算机和网络设备（ HUB 、交换机、路由器等）过程中，必须了解 RJ45 接口双绞线的连接方式和连接要求，否则，网络将不会连通。

1. 网卡直连方式 两台计算机联网最简单最经济的做法是通过二块网卡用双绞线直接连接。　二块网卡不用 HUB ，用双绞线直接连接，两块网卡需要有 RJ45 接口，然后制作一条特殊的双绞线，直接把这条线插到两台机器的网卡上即可。

特殊双绞线的具体制作方法：将 RJ45 一头的第一根线与第三根线调换，第二根线与第六根线调换，其它不变。第一个接头： 橙 ,橙白 ,绿 ,蓝白 ,蓝 ,绿白 ,棕 ,棕白第二个接头： 绿 ,绿白 ,橙 ,蓝白 ,蓝 ,橙白 ,棕 ,棕白即： 1 - 3 　 2 - 6 　 3 - 1 4 - 4 5 - 5 6 - 2　 7 - 7　 8 - 8

2. 网线与设备连接方式 计算机联网首先必须决定网络连接结构，根据不同方式决定网络线的连接和是否交叉。

双绞线有两种接法：双绞线有两种接法： EIA/TIA 568BEIA/TIA 568B标准和标准和 EIA/TIA 568AEIA/TIA 568A 标准。具体接标准。具体接

法如下：法如下：

T568AT568A 线序 线序 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 绿白 绿 橙白 蓝 蓝白 橙 棕白 棕 绿白 绿 橙白 蓝 蓝白 橙 棕白 棕 T568BT568B 线序 线序 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 橙白 橙 绿白 蓝 蓝白 绿 棕白 棕 橙白 橙 绿白 蓝 蓝白 绿 棕白 棕 直通线：两头都按直通线：两头都按 T568BT568B 线序标准连接。 线序标准连接。 交叉线：一头按交叉线：一头按 T568AT568A 线序连接，一头按线序连接，一头按T568BT568B 线序连接。 线序连接。

网络安全

常用的连接方式（一）网络进线

服务器

集线器

工作站

工作站

工作站

工作站

从网络进线到服务器一个网卡，从另一个网卡输出连接到 Hub ，连接线均为直接连接（正常接线）

网络安全

常用的连接方式（二）网络进线

集线器 服务器

工作站

工作站

工作站

工作站

从网络进线到集线器入口，集线器到工作站，到服务器，连接线也均为直接连接（正常接线）

网络安全

常用的连接方式（三）网络进线

交换机

集线器

工作站

工作站

工作站

工作站

从网络进线到服务器一个网卡连接线均为直接连接（正常接线），从交换机到集线器，网络连接连接线交叉