1、網(wǎng)吧計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)方案北京瑞斯瑞斯康達(dá)科技發(fā)展有限公司網(wǎng)吧計(jì)算機(jī)系統(tǒng)設(shè)計(jì)方案提要：本方案包括網(wǎng)吧計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的詳細(xì)設(shè)計(jì)以及設(shè)備選型的考慮。1需求分析 網(wǎng)吧的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)接入點(diǎn)數(shù)一期為400點(diǎn)左右，應(yīng)用將會(huì)有INTERNET訪問、電子郵件（EMAIL）、視頻、音頻等。所以網(wǎng)吧的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)必需支持高帶寬，可靠性，必須靈活多樣的網(wǎng)絡(luò)升級(jí)方式。 基于以上的需求，瑞斯康達(dá)公司為網(wǎng)吧設(shè)計(jì)了以千兆以太網(wǎng)為主干的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，主要是考慮了千兆以太網(wǎng)技術(shù)帶寬高，標(biāo)準(zhǔn)統(tǒng)一，安裝維護(hù)容易，另外也是RiverStone的千兆以太網(wǎng)產(chǎn)品具備3層交換、軟件防火墻等功能，能全面滿足網(wǎng)吧計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的需求。憑借瑞

2、斯康達(dá)公司多年對(duì)大型項(xiàng)目系統(tǒng)集成的成功經(jīng)驗(yàn)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)的深刻理解，以及對(duì)網(wǎng)吧應(yīng)用需求的認(rèn)真分析，我們對(duì)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)主要包括以下幾個(gè)內(nèi)容。- 網(wǎng)吧此次計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)主要為大樓內(nèi)部局域網(wǎng)建設(shè)；- 網(wǎng)吧網(wǎng)絡(luò)建設(shè)要考慮將來與分部廣域網(wǎng)互聯(lián)的需求；- 網(wǎng)吧網(wǎng)絡(luò)系統(tǒng)建設(shè)的目的是實(shí)現(xiàn)信息共享和軟硬件資源共享，為網(wǎng)吧內(nèi)各部門的相關(guān)業(yè)務(wù)開展和管理提供一個(gè)高速優(yōu)質(zhì)的通信平臺(tái)；- 應(yīng)充分考慮容錯(cuò)性、防止系統(tǒng)的故障發(fā)生，保證系統(tǒng)的安全可靠，建立以高效性、靈活性為主，以便于運(yùn)行應(yīng)用軟件和辦公軟件應(yīng)用的全集中方式；- 必須保證網(wǎng)絡(luò)系統(tǒng)的安全；-為適應(yīng)未來信息技術(shù)的高速發(fā)展，系統(tǒng)應(yīng)具有較好的可擴(kuò)展性，具有向電

3、視會(huì)議、數(shù)據(jù)語音集成的應(yīng)用發(fā)展的能力。- 要求網(wǎng)絡(luò)系統(tǒng)具有易維護(hù)性和可管理性。 隨著計(jì)算機(jī)信息化的建設(shè)和普及，大量的數(shù)據(jù)和應(yīng)用對(duì)計(jì)算機(jī)網(wǎng)絡(luò)、主機(jī)硬件平臺(tái)提出了更高的要求，如大量的多媒體數(shù)據(jù)、各方面的管理信息系統(tǒng)數(shù)據(jù)等。因此我們對(duì)此次網(wǎng)吧的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)按照目前流行數(shù)據(jù)中心高要求的模式建設(shè)。2網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則 瑞斯康達(dá)公司在技術(shù)設(shè)計(jì)上遵循以下原則：- 高帶寬、高性能、高可靠性 在面向未來和社會(huì)的計(jì)算機(jī)網(wǎng)絡(luò)中，為了支持大量數(shù)據(jù)、話音、視頻多媒體的傳輸，應(yīng)選用易于擴(kuò)展的高帶寬、高性能的先進(jìn)技術(shù)，如千兆位路由交換技術(shù)，從而既滿足目前的需求，又充分考慮未來的發(fā)展。這一網(wǎng)絡(luò)系統(tǒng)還應(yīng)具有高可靠性，除了采

4、用高可靠性的網(wǎng)絡(luò)設(shè)備以外還應(yīng)考慮物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的冗余備份。 - 可擴(kuò)展性和可升級(jí)性 網(wǎng)絡(luò)系統(tǒng)要有可擴(kuò)展性和可升級(jí)性，隨著業(yè)務(wù)的增長(zhǎng)和應(yīng)用水平的提高，網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長(zhǎng)，需要網(wǎng)絡(luò)有很好的可擴(kuò)展性，并能隨著技術(shù)的發(fā)展不斷升級(jí)。 - 易管理、易維護(hù) 根據(jù)網(wǎng)吧應(yīng)用的需求，需要網(wǎng)絡(luò)系統(tǒng)具有良好的可管理性，網(wǎng)管系統(tǒng)具有監(jiān)測(cè)、故障診斷、故障隔離、過濾設(shè)置等功能，以便于系統(tǒng)的管理和維護(hù)。 - 安全性 網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性。由于德隆部分部門的數(shù)據(jù)為保密數(shù)據(jù)，而且需要方便快捷地訪問INTERNET，要求能進(jìn)行靈活有效的安全控制，同時(shí)還應(yīng)支持虛擬網(wǎng)絡(luò)，以提供多層次的安全選擇。 - I

5、P Multicast 由于網(wǎng)絡(luò)中多媒體的應(yīng)用，往往會(huì)占用大量的帶寬資源。所以網(wǎng)絡(luò)系統(tǒng)應(yīng)能支持IP Multicast，以節(jié)省主干的帶寬。對(duì)于骨干網(wǎng)絡(luò)而言，需要對(duì)大量的多點(diǎn)廣播組進(jìn)行拓?fù)溆?jì)算和路由計(jì)算，支持各種多點(diǎn)廣播協(xié)議特別是多點(diǎn)廣播路由協(xié)議以及高性能的路由能力非常必要的。 - 符合國(guó)際標(biāo)準(zhǔn) 選用符合國(guó)際標(biāo)準(zhǔn)的系統(tǒng)和產(chǎn)品，可以保證系統(tǒng)具有較長(zhǎng)的生命力和擴(kuò)展能力，滿足將來系統(tǒng)升級(jí)的要求。 - 選擇正確合作伙伴 計(jì)算機(jī)網(wǎng)絡(luò)的建設(shè)必須具備前瞻性和持續(xù)發(fā)展性，在技術(shù)上對(duì)一般的社會(huì)網(wǎng)絡(luò)具有指導(dǎo)意義。同時(shí)網(wǎng)絡(luò)建成之后，還要進(jìn)行運(yùn)行維護(hù)，升級(jí)換代，部署新的技術(shù)和應(yīng)用，以適應(yīng)發(fā)展的需要。因此，選擇正確的合作

6、伙伴非常重要。這個(gè)合作伙伴應(yīng)該是一個(gè)業(yè)務(wù)迅速穩(wěn)定增長(zhǎng)、不斷投資研究開發(fā)新技術(shù)和新產(chǎn)品的公司，必須是能為客戶提供長(zhǎng)期優(yōu)質(zhì)服務(wù)的公司。其技術(shù)和產(chǎn)品應(yīng)該代表未來技術(shù)的發(fā)展方向，這樣計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的長(zhǎng)期發(fā)展才能得到可靠的保證。從設(shè)計(jì)的角度考慮，我們建議不應(yīng)采用多家網(wǎng)絡(luò)產(chǎn)品，雖然各家產(chǎn)品均有其特色，但相互兼容的部分往往只是一般共通的標(biāo)準(zhǔn)，無法發(fā)揮其卓越品質(zhì)。根據(jù)規(guī)模及應(yīng)用需求我們?cè)诒鞠到y(tǒng)中基本選用了美國(guó)Cisco公司的網(wǎng)絡(luò)產(chǎn)品作為完成整個(gè)網(wǎng)絡(luò)系統(tǒng)連接的主要通信設(shè)備。Cisco公司作為最大的路由器、交換機(jī)生產(chǎn)廠商，可以為網(wǎng)吧的計(jì)算機(jī)系統(tǒng)提供先進(jìn)的網(wǎng)絡(luò)產(chǎn)品。3網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)思想 網(wǎng)吧教育網(wǎng)絡(luò)遵循前述的技術(shù)要

7、求和設(shè)計(jì)原則，采用以下的先進(jìn)設(shè)計(jì)思想： 3.1層次化設(shè)計(jì) 層次化設(shè)計(jì)方法可為網(wǎng)絡(luò)帶來以下優(yōu)點(diǎn)： - 可擴(kuò)展性：因?yàn)榫W(wǎng)絡(luò)可模塊化增長(zhǎng)而不會(huì)遇到問題； - 簡(jiǎn)單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易； - 設(shè)計(jì)的靈活性：使網(wǎng)絡(luò)容易升級(jí)到最新的技術(shù)，升級(jí)任意層次的網(wǎng)絡(luò)不會(huì)對(duì)其他層次造成影響，無需改變整個(gè)環(huán)境； - 可管理性：層次結(jié)構(gòu)使單個(gè)網(wǎng)絡(luò)設(shè)備的配置的復(fù)雜性大大降低，更易管理。 - 要建設(shè)大型的、性能優(yōu)良的、具有很強(qiáng)擴(kuò)展能力和升級(jí)能力的綜合網(wǎng)絡(luò)，在設(shè)計(jì)中就必須采用層次化的網(wǎng)絡(luò)設(shè)計(jì)原則。具體而言，核心主干層的主要作用是提供高速傳輸和路由最優(yōu)化通信，匯接網(wǎng)絡(luò)層主要完成網(wǎng)

8、絡(luò)流量的控制機(jī)制以使接入網(wǎng)絡(luò)和核心層環(huán)境隔離開來，還應(yīng)能對(duì)由用戶接入層所區(qū)分開的不同優(yōu)先級(jí)的應(yīng)用加以區(qū)別對(duì)待，從而支持端到端的服務(wù)。我們?cè)诰W(wǎng)吧的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)充分考慮了層次化結(jié)構(gòu)設(shè)計(jì)，具體請(qǐng)參見的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)部分。3.2端到端的網(wǎng)絡(luò)服務(wù)保障 網(wǎng)吧計(jì)算機(jī)網(wǎng)絡(luò)根本的目標(biāo)是服務(wù)的所有的員工，這就不僅僅需要在提供便宜的帶寬方面下足功夫，而且更重要的是必須在更高層次上保證"網(wǎng)絡(luò)運(yùn)行品質(zhì)"的四個(gè)方面： - 端到端的網(wǎng)絡(luò)實(shí)際運(yùn)行性能 - 端到端的網(wǎng)絡(luò)安全性可靠性 - 端到端的服務(wù)質(zhì)量(QOS)保證 - 端到端的業(yè)務(wù)易實(shí)施性 4園區(qū)網(wǎng)的相關(guān)技術(shù)4.1快速以太網(wǎng)由于100Base-T的良好繼承

9、性，使LAN在10Base-T和100Base-T站點(diǎn)之間作數(shù)據(jù)通訊時(shí)，不需要協(xié)議轉(zhuǎn)換，使快速以太網(wǎng)可以平穩(wěn)地集成于10Base-T網(wǎng)絡(luò)中，在需要時(shí)10Base-T就可以升級(jí)到100Mbps，獲得高帶寬的性能；其產(chǎn)品的開發(fā)人員也能保證在兩種技術(shù)之間優(yōu)質(zhì)兼容，這樣就給用戶提供了一個(gè)低成本的網(wǎng)絡(luò)升級(jí)方案，因此100Base-T應(yīng)用更為普遍。網(wǎng)絡(luò)需求的增長(zhǎng)，需要相應(yīng)帶寬的支持，因此如何找出一種具有良好性能價(jià)格比的增加帶寬方案，日益成為業(yè)界的焦點(diǎn)，其中心議題是：在建設(shè)先進(jìn)的高性能的下一代網(wǎng)絡(luò)的前提下，找到一個(gè)能充分發(fā)揮當(dāng)前已有投資的作用，保持系統(tǒng)兼容性與提供滿足需求帶寬的平衡點(diǎn)，快速以太網(wǎng)以其獨(dú)有的特

10、性，占據(jù)了這個(gè)有利地形?？焖僖蕴W(wǎng)聯(lián)盟認(rèn)為：100Base-T是10Base-T的真正繼承者。100Base-T保留了大多數(shù)10Base-T的布線規(guī)則和CSMA/CD媒質(zhì)訪問方式，具有以下特色：從10Base-T以太網(wǎng)升級(jí)較容易，投資少，與現(xiàn)有10Base-T以太網(wǎng)的集成也很簡(jiǎn)單。工業(yè)支持較強(qiáng)，競(jìng)爭(zhēng)激烈，使產(chǎn)品價(jià)格相對(duì)較低。安裝和配置簡(jiǎn)單，現(xiàn)有的管理工具依然可用。支持交換方式，有全雙工200Mbps方式通訊的產(chǎn)品。第三層交換技術(shù)在快速以太網(wǎng)設(shè)備上的實(shí)現(xiàn)，使其具有更大的靈活性。不足在于：基于碰撞檢測(cè)原理的總線競(jìng)爭(zhēng)方式使100Mbps的帶寬在通訊量增大時(shí)損失很快。通過UTP連接的100Base-T

11、網(wǎng)段的最大跨距經(jīng)過中繼器連接不能超過210米，通過光纖連接不能超過420米。因此，100Base-T比較適合于在一個(gè)特定范圍的地域內(nèi)，在通訊量無尖峰的情況下使用，通常適合于連接至各部門網(wǎng)。100Base-T較好地消除了網(wǎng)絡(luò)瓶頸，有效地提高了帶寬，降低了沖突發(fā)生率，與固有的網(wǎng)絡(luò)完全兼容，且性能價(jià)格比較優(yōu)，是一種比較先進(jìn)實(shí)用的網(wǎng)絡(luò)技術(shù)。4.2千兆以太網(wǎng)下一代超高速千兆以太網(wǎng)(1Gbps)技術(shù)應(yīng)用于主干網(wǎng) ，可以建立從桌面計(jì)算機(jī)的10Mbps到主干網(wǎng)1Gbps的良好連接，從而形成從10Mbps普通以太網(wǎng)到1Gbps超高速以太網(wǎng)的系列， 網(wǎng)絡(luò)的升級(jí)不必安裝昂貴而且影響網(wǎng)絡(luò)性能的幀格式轉(zhuǎn)換設(shè)備，這也正是

12、千兆位超高速以太網(wǎng)相對(duì)于ATM和FDDI等高速網(wǎng)絡(luò)的優(yōu)勢(shì)。1Gbps以太網(wǎng)產(chǎn)品的出現(xiàn)，給現(xiàn)在快速以太網(wǎng)的用戶和尚未決定是否升級(jí)為快速以太網(wǎng)的用戶下了一顆定心丸，這對(duì)于100Mbps快速以太網(wǎng)的發(fā)展是一個(gè)巨大的推動(dòng)力。 在目前絕大多數(shù)的應(yīng)用環(huán)境下，千兆以太網(wǎng)主要用于中心交換機(jī)之間或中心交換機(jī)與中心主機(jī)的連接，之下仍然使用快速以太網(wǎng)。由于千兆位以太網(wǎng)對(duì)快速以太網(wǎng)和以太網(wǎng)技術(shù)的推動(dòng)與繼承，使之在網(wǎng)絡(luò)系統(tǒng)的升級(jí)和擴(kuò)展方面具有更大的優(yōu)勢(shì)，并有在大型局域網(wǎng)絡(luò)系統(tǒng)中逐漸取代100Base-T，而作為中心交換機(jī)與服務(wù)器之間的網(wǎng)絡(luò)主干。4.3光纖分布式數(shù)據(jù)接口（FDDI）FDDI在100Mbps傳輸技術(shù)上最成熟

13、，因適應(yīng)于做骨干網(wǎng)而在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中普遍采用。它的優(yōu)點(diǎn)在于：令牌傳遞模式和一些帶寬分配的優(yōu)先機(jī)制使它可以適應(yīng)一部分多媒體通訊的需求。有眾多的產(chǎn)品供應(yīng)商和互聯(lián)產(chǎn)品，與傳統(tǒng)網(wǎng)絡(luò)的集成很容易。雙環(huán)及雙連接等優(yōu)秀的容錯(cuò)技術(shù)。網(wǎng)絡(luò)可延伸達(dá)20公里，支持500個(gè)工作站。但FDDI有許多弱點(diǎn)：居高不下的價(jià)格限制了它走向桌面的應(yīng)用，無論安裝和管理都不簡(jiǎn)單?；趲捁蚕淼膫鬏敿夹g(shù)從本質(zhì)上限制了大量多媒體通訊同時(shí)進(jìn)行的可能性。交換式產(chǎn)品雖然可以實(shí)現(xiàn)，但成本無法接受。4.4異步傳輸模式（ATM）ATM（Asynchronous Transfer Mode）技術(shù)的出現(xiàn)是全球網(wǎng)絡(luò)及通訊領(lǐng)域中革命性的突破，也是當(dāng)代及下

14、一代的網(wǎng)絡(luò)技術(shù)。ATM由于采用高速定長(zhǎng)度的信元交換技術(shù)（53byte Cell Switching），特別適于未來信息社會(huì)中人們對(duì)于得到諸如聲音、數(shù)據(jù)、圖像等信息的要求。由于ATM既可用作LAN骨干網(wǎng)，又可用作廣域網(wǎng)（WAN），其中包括分組交換網(wǎng)（數(shù)據(jù)通訊）、線路交換網(wǎng)（電話通訊網(wǎng)絡(luò)）以及綜合業(yè)務(wù)數(shù)字網(wǎng)（ISDN），在廣域網(wǎng)中可以允許不同載體共存。ATM相對(duì)于其它技術(shù)有許多優(yōu)勢(shì)：最高達(dá)2Gbps的線路速率將適應(yīng)任何帶寬要求，徹底消除通訊瓶頸?；谛旁惒絺鬏斈Ｊ胶吞撾娐方Y(jié)構(gòu)，根本上解決了多媒體傳輸?shù)膶?shí)時(shí)性和帶寬問題。從局域網(wǎng)到廣域網(wǎng)通過ATM平滑連接，不再需要網(wǎng)橋、路由器等影響效率的協(xié)議轉(zhuǎn)換設(shè)

15、備。交換結(jié)構(gòu)保證了系統(tǒng)靈活的擴(kuò)充能力和充分的容錯(cuò)性。但ATM技術(shù)也存在許多不足之處：價(jià)格昂貴限制了ATM技術(shù)的使用和推廣，使用ATM技術(shù)的市場(chǎng)價(jià)位大約相當(dāng)于100Base-T的2至3倍。兼容性差，不同廠商提供的ATM產(chǎn)品不易互連，限制了網(wǎng)絡(luò)的發(fā)展。ATM是一種新興的技術(shù)，ATM技術(shù)與現(xiàn)有網(wǎng)絡(luò)協(xié)議（如SNA協(xié)議）的兼容性還有待于進(jìn)一步論證。故針對(duì)網(wǎng)吧的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的實(shí)際情況，我們建議網(wǎng)絡(luò)主干采用1000M，10/100M到桌面用戶的解決方案。5網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)5.1 網(wǎng)絡(luò)方案的說明我們對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)規(guī)劃以高起點(diǎn)、高要求設(shè)計(jì)，整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)分為核心交換機(jī)和分布交換機(jī)兩層，組成高性能、高可

16、靠性的解決方案。根據(jù)網(wǎng)吧的實(shí)際情況，以及此次項(xiàng)目建設(shè)的投資金額，根據(jù)網(wǎng)吧計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)點(diǎn)的數(shù)量配置交換機(jī)端口數(shù)，并考慮預(yù)留將來的發(fā)展，提供擴(kuò)展的思路和空間。網(wǎng)絡(luò)方案示意圖如下：核心交換機(jī)：由2臺(tái)RS8000多層交換機(jī)構(gòu)成，單引擎，雙電源容錯(cuò)工作，2臺(tái)核心交換機(jī)之間由2條千兆以太鏈路組成的GigaChannel連接，保證數(shù)據(jù)的高速、無阻塞的交換。樓層交換機(jī)：由多臺(tái)ES500交換機(jī)構(gòu)成，實(shí)現(xiàn)10/100M的桌面連接，樓層可根據(jù)端口數(shù)要求進(jìn)行級(jí)連連接，每個(gè)交換機(jī)（或單個(gè)）用2個(gè)千兆端口分別連接2臺(tái)核心交換機(jī)實(shí)現(xiàn)線路冗余，并且使用Spanning Tree協(xié)議防止轉(zhuǎn)發(fā)循環(huán)。INTERNET接入部分

17、：申請(qǐng)電信ADSL接入，由RS8000端口完成，此外RS8000提供多樣化的接入手段，可以根據(jù)網(wǎng)吧的需求靈活的實(shí)現(xiàn)用幀中繼、DDN、ADSL、ISDN等方式接入INTERNET。企業(yè)網(wǎng)內(nèi)聯(lián)部分：由Cisco 3640完成，提供2個(gè)10/100M以太網(wǎng)接口，4個(gè)模塊化插槽，可以通過DDN、ATM、E1等，實(shí)現(xiàn)與其他分部的高速連接，還可以支持T1、E1、FXS、FXO、E&M等語音借口，可作為H.323 Gateway、GateKeeper（關(guān)守）使用，可為將來向視頻、語音網(wǎng)的擴(kuò)展提供良好的投資保護(hù)，通過配置Cisco 具有IPSEC功能的IOS，可以在將來不增加投資的情況下實(shí)現(xiàn)公司VPN

18、連接。網(wǎng)管部分：基于一臺(tái)Windows 的PC，使用RapidOS提供直觀的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)安全部分：在局域網(wǎng)內(nèi)部安全，我們建議通過在核心交換機(jī)6506劃分VLAN、設(shè)置ACL來加強(qiáng)安全，由于考慮到德隆業(yè)務(wù)系統(tǒng)對(duì)安全性有更高的要求，在局域網(wǎng)內(nèi)部采用CA公司EID入侵檢測(cè)軟件來實(shí)現(xiàn)內(nèi)部網(wǎng)安全管理，操作平臺(tái)基于WINDOWS 2000；廣域網(wǎng)部分采用瑞斯瑞斯康達(dá)公司的BAMS方案，為網(wǎng)絡(luò)提供從代理共享上網(wǎng)，用戶AAA認(rèn)證，到防火墻的一攬子解決方案。在防病毒方面采用歐洲熊貓公司的企業(yè)網(wǎng)絡(luò)版防病毒套件，對(duì)HTTP、FTP、POP3、SMTP等TCP/IP協(xié)議進(jìn)行有效的防范。5.1.1核心交換機(jī)網(wǎng)吧的網(wǎng)絡(luò)

19、核心交換部分由RiverStone高性能、高可靠性的RS8000路由交換機(jī)完成。RS8600/8000 交換式路由器家族RS8000和8600交換式路由器支持線速的多層交換和路由，并集成全面的LAN/WAN連接能力，提供對(duì)帶寬和應(yīng)用數(shù)據(jù)流的精確控制，以及為支持高性能轉(zhuǎn)發(fā)提供超大路由表容量。RS8000和8600在啟動(dòng)全部服務(wù)、控制功能的情況下仍能保持線速的第2、3、4層交換和路由性能。通過跨越整個(gè)網(wǎng)絡(luò)實(shí)施優(yōu)先級(jí)隊(duì)列、過濾以及QOS等策略，能夠向最終的用戶或特定的應(yīng)用分配相應(yīng)的網(wǎng)絡(luò)資源。RS8000和8600能夠?qū)嵤┍忍丶?jí)的帶寬控制并通過優(yōu)化措施建立和實(shí)施服務(wù)級(jí)別認(rèn)同策略。l 關(guān)鍵特點(diǎn)基于端口或

20、協(xié)議的VLANIP路由，單播和組播安全性（ACL、L2過濾器）第4層應(yīng)用流交換與QoS網(wǎng)絡(luò)地址翻譯（NAT）服務(wù)器負(fù)載平衡（LSNAT）基于硬件的WAN壓縮和加密基于硬件的速率限制支持巨型幀l 技術(shù)指標(biāo)接口類型10/100 Base-TX100 Base-FX1000 Base-SX1000 Base-LXSerial T1/E1, T3/E3ATM DS 3, E3, OC-3cPOS OC-3 to OC-12c性能16Gbps for RS8000, 32Gbps for RS8600 無阻塞交換矩陣15 Mpps for RS8000, 30 Mpps for RS8600 路由吞吐量

21、MTBF (預(yù)測(cè)) > 200,000 hours容量支持 4,096 VLANs支持 250,000個(gè)3層路由支持 20,000 安全/訪問控制過濾器RS8000支持2,000,000個(gè) Layer-4 應(yīng)用流，RS8600支持4,000,000個(gè) Layer-4 應(yīng)用流 RS8000支持400,000個(gè) Layer-2 MAC addresses，RS8600支持800,000 個(gè)Layer-2 MAC addresses每Gigabit端口有3 MB input/output緩沖區(qū)每10/100端口有 1 MB input/output 緩沖區(qū)在一個(gè)WAN模塊上的WAN端口共享 2

22、0 MB input/output 緩沖區(qū) 在每個(gè)Packet Over SONET/SDH OC-3c端口有 32 MB input/output 緩沖區(qū)在每個(gè)Packet Over SONET/SDH OC-12c端口有 64 MB input/output 緩沖區(qū)可靠性保證交換矩陣（僅對(duì)RS8600）、控制模塊、電源均為冗余配置線卡、控制模塊、交換矩陣（僅對(duì)RS8600）、電源可熱切換基于標(biāo)準(zhǔn)的VRRP管理方式每端口支持RMONv1/RMONv2SNMP可管理命令行（CLI）管理支持的標(biāo)準(zhǔn)與協(xié)議IP路由： RIP v1/v2, OSPF, BGP 2, 3, 4, IS-ISIPX：RI

23、P, SAP組播：IGMP, DVMRP, GARP/GVRP橋和VLAN：802.1d Spanning Tree，802.1Q (VLAN trunking)，Rapid Spanning Tree Protocol (RSTP)，Per-VLAN Spanning Tree (PVST)QoS：業(yè)務(wù)控制排隊(duì)、加權(quán)早期隨機(jī)檢測(cè)、加權(quán)公平排隊(duì)、嚴(yán)格優(yōu)先級(jí)排隊(duì)、 重寫ToS 八位位組、MPLS和為流量工程創(chuàng)建LSPs媒體接口協(xié)議：802.3 (10Base-T)，802.3u (100Base-TX, 100Base-FX)，802.3x (1000Base-SX, 1000Base-LX)，

24、802.3z (1000Base-SX, 1000Base-LX)，DS-3/E-3 (ATM 多速率和通道化)，OC-3c (ATM 多速率和 POS)，OC-12c (POS)，T1/E1 (WAN 多速率)， T3 (通道化)， CMTS (DOCSIS 1.0, EuroDOCSIS 1.0)電源要求AC電源100-125 VAC, 最大5A （RS8000），最大10A（RS8600） 200-240 VAC, 最大3A（RS8000），最大6A（RS8600） 輸出功率： 300W（RS8000），600W（RS8600）DC電源輸入電壓：36-72V輸入電流：14 A （RS80

25、00），27A（RS8600）輸出功率： 300W（RS8000），600W（RS8600）遵守的NEBS符合NEBS 3級(jí)規(guī)程電磁兼容性FCC Part 15, CSA C108.8, EN55022, VCCI, EN50082-1 and 89/336/EEC安全性UL1950, CSA C22.2 No. 950, EN60950, IEC950 and 72/73/EEC環(huán)境要求運(yùn)行溫度： 5到40運(yùn)行濕度：15到90%（非冷凝）存放溫度：-30到+73存放濕度：5到95%（非冷凝）海拔高度：最高10,000ft撞擊與震動(dòng)：GR63物理指標(biāo)尺寸：RS8000：H：8.27 in；W：

26、17.25 in；D：12.25 in RS8600：H：19.25 in；W：17.25 in；D：12.25 in重量：RS8000：10.8kg RS8600：21.2 kgl 設(shè)備基本組成RS8000：8槽的機(jī)柜，背板，交換矩陣，和風(fēng)扇（還需要G8M-CM控制模塊，SYS-OS操作系統(tǒng)，G80-PAC交流電源或G80-PDC直流電源）RS8600：16槽的機(jī)柜，背板，交換矩陣，和風(fēng)扇（還需要G8M-CM控制模塊，SYS-OS操作系統(tǒng)，G86-PAC交流電源或G86-PDC直流電源）100240VAC電源或48VDC電源控制模塊（128MB或256MB）備件風(fēng)扇盤系統(tǒng)軟件：SYS-OS（

27、RS路由器操作系統(tǒng)軟件（PC-卡形式）8口 10/100Base-TX 線卡16口 10/100Base-TX 線卡8口 4 MB 多模100Base-FX 線卡 2口多模1000Base-SX以太網(wǎng)線卡2口同時(shí)支持各種距離的單模/雙模 1000Base-LX線卡2口支持70公里的單模1000Base-LLX線卡2口 1000Base-T線卡（RJ-45）提供2個(gè)插槽的多速率ATM線卡，每個(gè)插槽可插入以下端口類型：DS-3/T-3 (BNC Coax)、E-3 (BNC)、OC-3c 多模 (SC-style)、OC-3c SMF-IR (SC-style)ATM OC-12c多模線卡提供2個(gè)

28、物理端口互為主備用ATM OC-12c單模線卡提供2個(gè)物理端口互為主備用4 個(gè)OC-3c 口的Packet-over-SONET多模線卡4 個(gè)OC-3c 口的Packet-over-SONET單模線卡2 個(gè)OC-12c 口的Packet-over-SONET多模線卡2 個(gè)OC-12c 口的Packet-over-SONET單模線卡Quad 系列C線卡，提供2個(gè)雙串行WAN口（雙串行指的是2個(gè)串口位于一個(gè)高密度連接器中）和壓縮Quad 系列CE線卡，提供2個(gè)雙串行WAN口和壓縮、加密提供2個(gè)50針高速串行接口（HSSI）的Dual HSSI線卡CMTS 4x1 線卡，支持1個(gè)下行流和4個(gè) 上行流

29、，提供線速Cable Modem終結(jié)服務(wù)集成包含有2個(gè)WAN接口卡（WIC）的多速率WAN線卡，每個(gè)WIC有2個(gè)T1 WAN口1) 提供2個(gè)通道化T3口（BNC）的Channelized T3 線卡方案中RS8000各自配置如下：1基本管理及電源模塊的配置；26個(gè)千兆以太網(wǎng)模塊及12個(gè)千兆以太網(wǎng)接口卡3操作系統(tǒng)軟件5.1.2樓層交換機(jī) 二級(jí)分布層主要指10個(gè)分線架，共5層，每層兩個(gè)、計(jì)10個(gè)，每個(gè)分線架到主線架均為3對(duì)光纖鋪設(shè)，主干交換要求是具有4G的總吞吐率，而且提供帶寬大于10/100M的桌面接入，對(duì)于上述要求我們樓層交換機(jī)采用ES500交換機(jī)。關(guān)鍵應(yīng)用 緊湊的，提供豐富業(yè)務(wù)的客戶基礎(chǔ)設(shè)備

30、，適合高密度商業(yè)環(huán)境可升級(jí)以太網(wǎng)環(huán)境中，基于硬件流限制的按需帶寬管理 支持VLAN，路由和第二層過濾，提供安全的VPN及局域網(wǎng)互連規(guī)格Platform FeaturesHighly Fault Tolerant Redundant power suppliesExtensive Management SSH v2.0 RADIUS client TACACS+ client BOOTP client TFTP client RS-232 (out-of-band management) Syslog Command Line Interface (CLI) RMON I/II (4 group

31、s) SNMP v 1, v2c, v3 (coming soon)Interfaces10/100 Base-TX1000 Base-SX1000 Base-LX1000 Base-LHSpecificationsCapacityUp to 256 VLANsUp to 1,024 RoutesUp to 256 security/access control filtersUp to 8,000 Layer 2 MAC addressesPerformanceUp to 8.8 GbpsUp to 6.6 Mpps routing throughputMTBF > 200,000 h

32、oursPhysicalDimensions: 1.75" H x 17.3" W x 11" D(4.4 cm x 44 cm x 28.5 cm)Weight: 11.52 lbs (5.63 kg)EnvironmentalOperating Temp: +0º to +40ºC (32º to 104ºF)Non-operating Temp: -40º to +70ºC (-40º to 158ºF)Operating Relative 10% to 90% (non-con

33、densing)Humidity:Non-operating 5% to 95% maximumRelative Humidity: (non-condensing)Altitude, Operating 10,000 ft (3,000 m) maximumand Non-operating:Shock and Vibration: IEC 68-2-29 , IEC 68-2-36,IEC 68-2-6Power RequirementsNominal input 110-230 VACvoltages:Input frequency: 50 to 60 HzMaximum input c

34、urrent:1.2A 115V0.6A 230VPower Dissipation:70W maximumAgency Standards and SpecificationsSafety: Certified UL1950, CSA C22.2 No. 950,EN60950, IEC950, and 72/73/EECElectromagnetic Compliant with the requirements ofcompatibility: FCC Part 15, CSA C108.8, EN55022,VCCI, EN50082-1, and 89/336/EECOrdering

35、 InformationPart No. Product DescriptionE50-B ES 500 base unit with two AC powersupplies, 24 10/100 Ethernet andtwo Gigabit Ethernet uplink modulesE50-B-FE ES 500 base unit with two AC powersupplies, 24 10/100 EthernetE50-GBC-01 ES 500 Gigabit Ethernet uplink modulefor spares or replacementGIC-11 1-

36、port 1000 Base-SX GBIC module,SC connectorsGIC-19 1-port 1000 Base-LX IntermediateReach (IR) GBIC module, SC connectorsGIC-18 1-port 1000 Base-LX Long Reach (LR)GBIC module, SC connectorsFor complete ordering information, including specific modules,contact your Riverstone representative at (408) 878

37、-6500.You may also visit our Website at .Standards SupportedIETF Standards SupportRFC No. TitleRFC 768 UDPRFC 783 TFTPRFC 791 IPRFC 792 ICMPRFC 793 TCPRFC 826 ARPRFC 854 TelnetRFC 1058 RIP v1RFC 1075 DVMRPRFC 1112 IGMPRFC 1157 SNMPv1RFC 1256 ICMP Router Discover MessageRFC 1293 Inverse ARPRFC 1349 T

38、ype of Service in the Internet Protocol SuiteRFC 1519 CIDRRFC 1542 BootPRFC 1583 OSPF v2RFC 1723 RIP v2RFC 1812 Router RequirementsRFC 2131 DHCPRFC 2138 RADIUSRFC 2178 OSPFRFC 2236 IGMP-2RFC 2338 VRRPEnterprise MIBSRSTONE-PRODUCTS-MIBRSTONE-SMI-MIBRSTONE-STP-MIBRSTONE-TRAP-MIBRSTONE-RL-MIBSSR-CONFIG

39、-MIBSSR-CAPACITY-MIBRSTONE-IMAGE-MIBIETF Standards MIB SupportRFC No. TitleRFC 1493 BRIDGE-MIBRFC 1724 RIPv2RFC 1757 RMON-MIB (4 Groups)RFC 1850 OSPF MIB1RFC 1907 SNMPv2RFC 2011 IP-MIBRFC 2012 UDP-MIBRFC 2013 TCP-MIBRFC 2096 IP-FORWARD-MIBRFC 2233 IF-MIBRFC 2571 SNMP-FRAMEWORK-MIBRFC 2572 SNMP-MPD-M

40、IBRFC 2573 SNMP-TARGET-MIBSNMP-NOTIFICATION-MIBRFC 2574 SNMP-USER-BASED-SM-MIBRFC 2575 SNMP-VIEW-BASED-ACM-MIBRFC 2576 SNMP-COMMUNITY-MIBRFC 2665 ETHERLIKE-MIBRFC 2668 MAU-MIBRFC 2674 p/Q BRIDGE-MIBRFC 2737 ENTITY-MIBStandards and ProtocolsIP routing: RIP I/II, OSPF v2Multicast IGMP v2, IGMP snoopin

41、g, PIM-DMsupport:QoS: Ingress rate limitingIEEE 802.1DIEEE 802.1pIEEE 802.1QPVST 802.1s (2 minimum)Rapid Spanning Tree 802.1w5.1.3主干網(wǎng)絡(luò)連接方式 單個(gè)樓層交換機(jī)連接方式當(dāng)樓層交換機(jī)沒有疊加時(shí)，通過2個(gè)千兆以太網(wǎng)口兩對(duì)光纖分別連接2臺(tái)RS8000，利用Spanning Tree,通過802、1Q TRUNK協(xié)議實(shí)現(xiàn)不同交換機(jī)之間相同VLAN 的通信。 多交換機(jī)級(jí)聯(lián)連接方式當(dāng)用戶增多，需要擴(kuò)展端口容量時(shí)，可直接購(gòu)置相應(yīng)型號(hào)的ES500，跟原

42、來交換機(jī)通過千兆以太網(wǎng)口級(jí)聯(lián)到一起。 級(jí)聯(lián)占用了一個(gè)千兆以太網(wǎng)口，剩下的1個(gè)千兆口分別接到2臺(tái)核心交換機(jī)上，利用Spanning Tree技術(shù)，實(shí)現(xiàn)負(fù)載均衡和冗余備份 。5.2邏輯網(wǎng)絡(luò)設(shè)計(jì) 為了便于管理，并提高網(wǎng)絡(luò)的效率和安全性，除了上述網(wǎng)絡(luò)的物理設(shè)計(jì)外，還需要對(duì)網(wǎng)絡(luò)進(jìn)行邏輯設(shè)計(jì)，即劃分虛擬網(wǎng)。虛擬網(wǎng)技術(shù)是將網(wǎng)絡(luò)的物理基礎(chǔ)設(shè)施與網(wǎng)絡(luò)的邏輯基礎(chǔ)設(shè)施相分離，使得網(wǎng)管人員能方便而動(dòng)態(tài)地建立和重構(gòu)虛擬網(wǎng)絡(luò)，以適應(yīng)今天部門機(jī)構(gòu)的協(xié)作與變動(dòng)，方便網(wǎng)絡(luò)管理，降低網(wǎng)絡(luò)管理的成本?？偨Y(jié)起來，有下列因素促使我們采用虛擬網(wǎng)技術(shù)：提高帶寬的利用效率；提高網(wǎng)絡(luò)的安全性；方便網(wǎng)絡(luò)的管理。另外，從安全性的角度考慮，也有必要

43、劃分虛擬網(wǎng)絡(luò)，保證內(nèi)部重要資源的安全性。虛擬網(wǎng)絡(luò)劃分，可以根據(jù)實(shí)際情況通過使用專門的管理設(shè)置軟件，對(duì)交換機(jī)所連接的網(wǎng)絡(luò)進(jìn)行虛擬分組，使幾個(gè)不同端口所連接的網(wǎng)絡(luò)成為一組。虛擬網(wǎng)的劃分可以跨多個(gè)交換機(jī)，也可一個(gè)交換機(jī)內(nèi)劃分出多個(gè)虛擬網(wǎng)。5.2.1虛擬網(wǎng)的實(shí)現(xiàn)目前VLAN實(shí)現(xiàn)的技術(shù)主要有：IEEE 802.10和802.1q；Inter-Switch Link(ISL)；LAN Emulation。在這個(gè)系統(tǒng)中，主要采用802.1q技術(shù)相結(jié)合來實(shí)現(xiàn)VLAN。5.2.2虛擬網(wǎng)的劃分由于受到網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)管理因素影響，網(wǎng)絡(luò)規(guī)模有一定的限制，這些限制也同樣也適用于需擬網(wǎng)絡(luò)。依據(jù)經(jīng)驗(yàn)值，對(duì)于只使用TCP/I

44、P協(xié)議的網(wǎng)絡(luò)，單個(gè)網(wǎng)段可以支持1000個(gè)節(jié)點(diǎn)，IPX協(xié)議的網(wǎng)絡(luò)為500個(gè)節(jié)點(diǎn)，使用NETBEUI協(xié)議的網(wǎng)絡(luò)則規(guī)模為300個(gè)節(jié)點(diǎn)。當(dāng)單網(wǎng)段節(jié)點(diǎn)規(guī)模大于這個(gè)數(shù)目時(shí)，網(wǎng)絡(luò)被節(jié)點(diǎn)廣播包所淹沒，網(wǎng)絡(luò)性能一般不能為用戶所接受。由于計(jì)算機(jī)網(wǎng)絡(luò)同時(shí)有Windows 95客戶機(jī)、Windows NT服務(wù)器、NetWare服務(wù)器甚至UNIX服務(wù)器。尤其是Windows操作系統(tǒng)，其在作NetBIOS解析及瀏覽服務(wù)時(shí)會(huì)產(chǎn)生大量的廣播包，Netware服務(wù)器也會(huì)定時(shí)廣播網(wǎng)絡(luò)服務(wù)。也就是說，同時(shí)有IP，IPX，NETBEUI等協(xié)議運(yùn)行于網(wǎng)絡(luò)上，單網(wǎng)段網(wǎng)絡(luò)的規(guī)模即一個(gè)虛擬網(wǎng)的節(jié)點(diǎn)數(shù)最好應(yīng)限制在200個(gè)以內(nèi)。為獲得比較好的性

45、能，一個(gè)VLAN中的用戶數(shù)為100左右。虛擬網(wǎng)的劃分要依據(jù)一定的原則，這些原則是對(duì)于那些相互之間聯(lián)系頻繁的節(jié)點(diǎn)，盡量劃分在一個(gè)網(wǎng)段，比如說可以按照部門來劃分虛擬網(wǎng)，對(duì)于較大的部門，可以進(jìn)一步細(xì)化。對(duì)于公共的服務(wù)器，盡量設(shè)置在對(duì)其訪問數(shù)據(jù)流量最大的VLAN中，對(duì)于公司級(jí)的服務(wù)器，或者為多個(gè)VLAN用戶所經(jīng)常訪問的服務(wù)器，可以使用虛擬多宿主服務(wù)器技術(shù)，該技術(shù)使得一臺(tái)服務(wù)器同時(shí)存在于多個(gè)VLAN中。5.2.3虛擬網(wǎng)之間的路由不同的VLAN(虛擬網(wǎng))好比是相互隔離的物理網(wǎng)段，VLAN內(nèi)部的各個(gè)用戶間可以直接相互通信，不同VLAN用戶間的通信一般由路由器來實(shí)現(xiàn)。本方案VLAN之間通信通過RS8000實(shí)現(xiàn)

46、。VLAN間通信的可靠性保證由于不同VLAN間的路由必須經(jīng)過路由器實(shí)現(xiàn)，路由器成為整個(gè)網(wǎng)絡(luò)中的關(guān)鍵設(shè)備。VLAN間用戶的通信是這樣的，假設(shè)VLAN1中的主機(jī)A要與VLAN2中的主機(jī)B通信，則，主機(jī)A先判斷其所要發(fā)出數(shù)據(jù)包的目的地址是否與A的地址在同一個(gè)網(wǎng)段，如果不是，則主機(jī)A一般將這個(gè)數(shù)據(jù)包送往默認(rèn)網(wǎng)關(guān)，由網(wǎng)關(guān)間數(shù)據(jù)包轉(zhuǎn)發(fā)給主機(jī)B。這里的網(wǎng)關(guān)即為路由器，網(wǎng)關(guān)地址即為路由器連接該網(wǎng)段接口的地址。一般主機(jī)的設(shè)置是設(shè)定一個(gè)默認(rèn)網(wǎng)關(guān)地址，那么一但這個(gè)默認(rèn)網(wǎng)關(guān)地址對(duì)應(yīng)的路由器失敗，則該網(wǎng)段上的所有主機(jī)不能夠和其它網(wǎng)段上的主機(jī)進(jìn)行通信。假設(shè)連接VLAN1的路由器失敗，則所有VLAN1內(nèi)部的主機(jī)將不能和其它

47、VLAN主機(jī)通信，因?yàn)檫@種情況下VLAN1內(nèi)部主機(jī)無法解析其默認(rèn)網(wǎng)關(guān)地址。5.3 Internet接入 Internet接入部分是內(nèi)部網(wǎng)對(duì)外發(fā)布信息和對(duì)內(nèi)接入Internet的聯(lián)系紐帶，我們建議使用運(yùn)營(yíng)商提供的寬帶服務(wù)。利用RS8000支持的豐富網(wǎng)絡(luò)協(xié)議，及線速處理速度，為企業(yè)提供高速的網(wǎng)絡(luò)通道。7網(wǎng)絡(luò)安全 安全問題對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)來說是一個(gè)敏感和重要問題，在構(gòu)筑網(wǎng)絡(luò)平臺(tái)時(shí)，特別是當(dāng)今網(wǎng)絡(luò)技術(shù)非常復(fù)雜化的情況下，安全問題決不容忽視的。我們?cè)诰W(wǎng)吧的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)采用劃分VLAN、訪問控制列表、路由過濾、硬件防火墻。7.1安全設(shè)計(jì)原則我們?cè)谙到y(tǒng)安全設(shè)計(jì)時(shí)，是基于如下原則：安全性第一原則-由于安全

48、性和高效性是一對(duì)矛盾，兩者不能兼得。多重保護(hù)原則-任何安全保護(hù)措施都不是絕對(duì)的，但是建立一個(gè)多重保護(hù)系統(tǒng)，彼此相互補(bǔ)充，一旦一重保護(hù)被攻破時(shí)，其它重保護(hù)仍可保護(hù)系統(tǒng)和信息的安全。多層次原則-如在鏈路層和網(wǎng)絡(luò)層實(shí)施包過濾，在表示層實(shí)施加密傳送，在應(yīng)用層設(shè)置專用程序代碼等。多個(gè)安全單元原則-把整個(gè)網(wǎng)絡(luò)的安全賦予多個(gè)安全單元，如路由器、屏蔽子網(wǎng)、網(wǎng)關(guān)和防火墻等，形成多道安全防線。網(wǎng)絡(luò)分段原則-網(wǎng)絡(luò)分段是整個(gè)網(wǎng)絡(luò)保證安全的重要措施，可分為物理分段和邏輯分段。物理分段即從物理上分為若干段，通過交換機(jī)連接各段；邏輯分段即把網(wǎng)絡(luò)分成若干個(gè)IP子網(wǎng)，通過路由器連接，并建立路由器上的訪問表，來控制各子網(wǎng)間的訪問

49、。最小授權(quán)原則-分散過大的集中權(quán)利，以降低災(zāi)難程度。綜合性原則-計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全應(yīng)從物理上、技術(shù)上、管理制度上以及安全教育上全面采取措施，相互彌補(bǔ)，盡可能地排除安全漏洞。7.2網(wǎng)絡(luò)安全控制網(wǎng)絡(luò)安全主要實(shí)現(xiàn)在網(wǎng)絡(luò)的TCP/IP及以上層次上，控制只有獲得授權(quán)的用戶與系統(tǒng)中允許他訪問的網(wǎng)絡(luò)節(jié)點(diǎn)，在指定的TCP或UDP端口上進(jìn)行通信。網(wǎng)絡(luò)安全包括網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)數(shù)據(jù)流控制和通信線路安全。要實(shí)現(xiàn)網(wǎng)絡(luò)安全，首先要保證網(wǎng)絡(luò)設(shè)備本身的安全性。在本系統(tǒng)中使用的網(wǎng)絡(luò)設(shè)備包括交換機(jī)、路由器、訪問服務(wù)器和防火墻，自身的安全措施包括console端口和Telnet訪問限制、SNMP訪問與CDP設(shè)備發(fā)現(xiàn)限制、配置文

50、件保護(hù)等。網(wǎng)絡(luò)數(shù)據(jù)流的控制，在保證網(wǎng)絡(luò)設(shè)備的基礎(chǔ)上，我們可以通過控制電話的主叫號(hào)碼、數(shù)據(jù)流的源和目的IP地址、數(shù)據(jù)流對(duì)應(yīng)的TCP端口，實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)流的控制。線路傳輸?shù)陌踩刂?，在路由器和訪問服務(wù)器的廣域網(wǎng)端口上，設(shè)置數(shù)據(jù)壓縮加密，加強(qiáng)數(shù)據(jù)安全。在路由器和訪問服務(wù)器上，配置標(biāo)準(zhǔn)的和擴(kuò)展的安全選項(xiàng)(IP Security Option)，提高IP數(shù)據(jù)包的安全性；采用線路加密設(shè)備如RACAL校園的產(chǎn)品，對(duì)DDN線路加密；或通過路由器上的DES加密功能，保證網(wǎng)絡(luò)線路傳輸?shù)陌踩浴?.3外部保護(hù)網(wǎng)吧計(jì)算機(jī)網(wǎng)絡(luò)需要與Internet互聯(lián)實(shí)現(xiàn)Internet訪問、WWW服務(wù)，電子郵件等應(yīng)用，我們必須采取安全

51、措施，屏蔽外來攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)。在內(nèi)部網(wǎng)絡(luò)和接入路由器之間，配置防火墻：初步可采用1臺(tái)防火墻，以提高系統(tǒng)良好的安全性。隨著系統(tǒng)的擴(kuò)大可采用2臺(tái)能支持FAIL-OVER的防火墻加強(qiáng)系統(tǒng)的可靠性。 7.4內(nèi)部管理還有對(duì)于局域網(wǎng)的安全方面，還可以實(shí)現(xiàn)基于MAC地址的訪問控制，對(duì)于一些現(xiàn)有的電子欺騙等手段，可以通過在局域網(wǎng)交換機(jī)內(nèi)部實(shí)現(xiàn)MAC地址的過濾來確保安全、可信的客戶訪問網(wǎng)絡(luò)主機(jī)。我們把關(guān)鍵業(yè)務(wù)部門的服務(wù)器（如財(cái)務(wù)部、投資部）劃分在獨(dú)立的VLAN里，形成一個(gè)保護(hù)區(qū)，與辦公網(wǎng)嚴(yán)格隔離，使用與辦公網(wǎng)不同的IP地址；辦公網(wǎng)內(nèi)主機(jī)訪問這些服務(wù)器，必須由第3層交換提供路由，然后通過AAA認(rèn)證、授權(quán)、記帳

52、，才能訪問關(guān)鍵業(yè)務(wù)服務(wù)器；此后，運(yùn)行在核心交換機(jī)上的防火墻實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)連接，及時(shí)抵御外來攻擊，確保關(guān)鍵部門、關(guān)鍵數(shù)據(jù)的安全。7.4.1 用戶身份的驗(yàn)證局域網(wǎng)上網(wǎng)要解決的第一個(gè)問題是用戶身份的認(rèn)證。BAMS采用WEB+SSL+RADIUS的方式，地址分配采用DHCP或靜態(tài)地址處理，結(jié)合VLAN實(shí)現(xiàn)安全的用戶認(rèn)證和用戶的隔離及防止網(wǎng)絡(luò)風(fēng)暴。認(rèn)證示意圖如下：用戶認(rèn)證的流程如下：1. 用戶在上網(wǎng)前獲得IP地址（通過DHCP或靜態(tài)分配）2. 用戶請(qǐng)求上網(wǎng)，BAMS 網(wǎng)關(guān)服務(wù)器根據(jù)用戶請(qǐng)求，向用戶推送認(rèn)證界面（Portal）3. 用戶把用戶名及密碼后通過BAMS 網(wǎng)關(guān)服務(wù)器向Radius Server發(fā)送

53、認(rèn)證請(qǐng)求，同時(shí)，BAMS 網(wǎng)關(guān)服務(wù)器把用戶的其他信息（MAC、VLAN ID等）一起發(fā)送給Radius Server。4. Radius服務(wù)器根據(jù)認(rèn)證請(qǐng)求包內(nèi)容，結(jié)合用戶Profile信息判斷用戶的合法性5. 對(duì)合法用戶，返回授權(quán)信息；對(duì)非法用戶，返回拒絕信息6. BAMS 網(wǎng)關(guān)服務(wù)器收到授權(quán)信息，并產(chǎn)生計(jì)費(fèi)開始請(qǐng)求7. Radius服務(wù)器收到計(jì)費(fèi)開始請(qǐng)求后將計(jì)費(fèi)信息存儲(chǔ)于臨時(shí)文件8. 用戶結(jié)束網(wǎng)絡(luò)訪問或BAMS 網(wǎng)關(guān)服務(wù)器發(fā)現(xiàn)用戶已下網(wǎng)，則向Radius Server發(fā)送計(jì)費(fèi)結(jié)束請(qǐng)求，同時(shí)返回用戶使用網(wǎng)絡(luò)信息9. Radius服務(wù)器收到計(jì)費(fèi)結(jié)束請(qǐng)求后將計(jì)費(fèi)信息存儲(chǔ)于數(shù)據(jù)庫中。Vlan Swi

54、tch三層交換機(jī)Internet認(rèn)證/計(jì)費(fèi)數(shù)據(jù)庫WWW 服務(wù)器Vlan1.Vlan Nvlan1Vlan N（WEB+IP+MAC+VLANID）認(rèn)證請(qǐng)求認(rèn)證通過（ok）DHCP Server7.4.2用戶上網(wǎng)控制BAMS能通過設(shè)定靈活的規(guī)則來限制局域網(wǎng)內(nèi)主機(jī)和Internet之間的相互訪問。這些規(guī)則包括：l 限制某些協(xié)議的使用l 限制訪問某些IPl 限制訪問某些子網(wǎng)l 限制訪問某些端口l 容許只訪問某些網(wǎng)站以上規(guī)則可以組合設(shè)置形成復(fù)合條件。例如，設(shè)定A-D共四類用戶，A類用戶只能訪問Email服務(wù)(TCP 25/110/143端口)；B類用戶增加了瀏覽國(guó)內(nèi)站點(diǎn)的服務(wù)(國(guó)內(nèi)IP的TCP 80端口)；C類用戶可以瀏覽整個(gè)Internet(只限端口不限IP)；D類用戶則開放面向Internet的所有服務(wù)(開放TCP/UDP/ICMP及所有端口)。類似地，可以設(shè)定更多的服務(wù)模式以便提供不同的收費(fèi)策略。BAMS的另一重要特征是它內(nèi)置的流量控制功能。為了有效的控制用戶行為，避免導(dǎo)致資源的浪費(fèi)和濫用，BAMS內(nèi)置了對(duì)用戶流量的控制功能，這無論對(duì)于開發(fā)商還是其他用戶均有重要意義。例如：對(duì)用戶A限制帶寬為64K，則用戶最大訪問速率或多個(gè)文件下載速率和不超過64Kbyte/s。7.4.3實(shí)時(shí)計(jì)費(fèi)BAMS后臺(tái)用戶管理及計(jì)費(fèi)/帳務(wù)系統(tǒng)不但能夠提供服務(wù)供應(yīng)商所需的服務(wù)/計(jì)費(fèi)方案。而且可以實(shí)現(xiàn)對(duì)