河北省交通廳機關(guān)辦公自動化系統(tǒng)工程系統(tǒng)集成（A包）設(shè)計方案北京怡華通聯(lián)信息技術(shù)有限公司2023年10月目錄TOC\o"1-4"\h\z第一章項目概述 11.1項目背景 11.2河北省交通廳網(wǎng)絡(luò)系統(tǒng)工程建設(shè)目的 1第二章河北省交通廳網(wǎng)絡(luò)系統(tǒng)方案設(shè)計 22.1網(wǎng)絡(luò)設(shè)計原則 22.2網(wǎng)絡(luò)技術(shù)分析 32.2.1千兆以太網(wǎng) 32.2.2路由器技術(shù) 42.2.3互換機技術(shù) 82.2.4虛擬局域網(wǎng)(VLAN) 92.2.5網(wǎng)絡(luò)安全及保密 122.3河北省交通廳網(wǎng)絡(luò)規(guī)劃 232.4網(wǎng)絡(luò)設(shè)備選型分析 242.4.1主干路由器選型 252.4.2主干互換機選型 332.4.3二級互換機選型 412.4.4防火墻選型 56第三章網(wǎng)絡(luò)管理系統(tǒng) 613.1交通廳網(wǎng)管系統(tǒng)需求 613.2網(wǎng)管系統(tǒng)總體設(shè)計及功能 613.3網(wǎng)絡(luò)管理軟件 62第四章服務(wù)器及備份系統(tǒng) 684.1服務(wù)器 684.2磁盤陣列柜 694.3磁帶機 714.4備份及劫難恢復(fù)系統(tǒng) 72第五章技術(shù)支持與服務(wù) 76第六章項目實行計劃書 78附：培訓(xùn)初步計劃 82第一章項目概述1.1項目背景隨著科學(xué)的發(fā)展和現(xiàn)代通信技術(shù)的不斷進步，網(wǎng)絡(luò)化通信已經(jīng)成為人們平常生活中必不可少的工具。借助于四通八達的信息網(wǎng)絡(luò)，跨地區(qū)、跨國界的實時信息交流日益改變著人們的生產(chǎn)、生活方式。信息技術(shù)、信息產(chǎn)業(yè)已成為國家經(jīng)濟增長、科技（軍事、教育、科研等）發(fā)展的最重要源泉，是國民經(jīng)濟發(fā)展新的增長點，它們以其特有的滲透力和影響力，對其它產(chǎn)業(yè)的發(fā)展起到增值器和加速器的作用，信息將成為決定21世紀人類生活質(zhì)量和綜合國力的首要因素。目前，Internet構(gòu)成了無限的信息資源，Web瀏覽器成為獲取信息、溝通世界的重要工具，人類置身于數(shù)字化的生存空間，人的生活方式和工作方式、公司的經(jīng)營方式和服務(wù)方式都經(jīng)歷著前所未有的主線性變化，特別是隨著電子商務(wù)和電子政務(wù)（政府上網(wǎng)）的推動，必將進一步刺激和推動我國的網(wǎng)絡(luò)化、數(shù)字化發(fā)展，進而推動我國信息產(chǎn)業(yè)走向規(guī)模經(jīng)濟，并得到健康、連續(xù)的發(fā)展。信息化在政府機關(guān)不斷的發(fā)生變化，并發(fā)揮著相稱重要的作用，政府辦公網(wǎng)絡(luò)化，信息的快速傳遞和資源共享為政府辦公提供了更快的方式和節(jié)省更多的資源，網(wǎng)上宣傳政府業(yè)務(wù)提高政府機關(guān)的知名度，運用現(xiàn)代化網(wǎng)絡(luò)技術(shù)來改變以往的政府機關(guān)工作模式，可以大大提高工作效率。根據(jù)河北省交通廳的規(guī)定，運用現(xiàn)代化的高新科技技術(shù)，實現(xiàn)工作的高效性、安全性、可靠性、靈活性等，把單位內(nèi)部建設(shè)成為自動化的局域網(wǎng)，從而使整個網(wǎng)絡(luò)系統(tǒng)既適應(yīng)現(xiàn)代化科技發(fā)展的環(huán)境，又符合單位信息網(wǎng)技術(shù)體制。1.2河北省交通廳網(wǎng)絡(luò)系統(tǒng)工程建設(shè)目的依據(jù)交通部和交通廳有關(guān)文獻精神中對交通信息化“三網(wǎng)一庫”描述的規(guī)定，考慮到國內(nèi)信息化技術(shù)的現(xiàn)狀和未來的發(fā)展趨勢，針對河北省的交通信息化的現(xiàn)狀，本次網(wǎng)絡(luò)工程的建設(shè)目的重要是建立一個廳機關(guān)內(nèi)部系統(tǒng)信息網(wǎng)絡(luò)，實現(xiàn)單位內(nèi)部計算機聯(lián)網(wǎng)及資源共享，實行單位內(nèi)部辦公自動化系統(tǒng)，滿足交通廳直屬單位、交通部以及省政府之間聯(lián)網(wǎng)辦公。第二章河北省交通廳網(wǎng)絡(luò)系統(tǒng)方案設(shè)計2.1網(wǎng)絡(luò)設(shè)計原則河北省交通廳網(wǎng)絡(luò)系統(tǒng)工程的建設(shè)目的旨在以成熟的先進技術(shù)為基礎(chǔ)，建設(shè)一個內(nèi)部業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)。為了使建成后的網(wǎng)絡(luò)系統(tǒng)成為一個高效性、實用化、符合業(yè)務(wù)需求的網(wǎng)絡(luò)，我們將提出一套實現(xiàn)網(wǎng)絡(luò)系統(tǒng)建設(shè)的具體技術(shù)方案。在網(wǎng)絡(luò)設(shè)計中我們重要遵循了以下設(shè)計原則：1、標(biāo)準(zhǔn)化及規(guī)范性在整個網(wǎng)絡(luò)從技術(shù)和設(shè)備的選擇上，為保證不同廠家設(shè)備、不同應(yīng)用以及不同協(xié)議連接的互操作性，我們將選擇支持國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)接口和協(xié)議，以提供高度的開放性，保證用戶可以根據(jù)將來的需要進行有效的開發(fā)和應(yīng)用，提供一個良好的開放性環(huán)境。2、高性能和良好的服務(wù)質(zhì)量建設(shè)一個高性能和良好服務(wù)質(zhì)量的網(wǎng)絡(luò)是保證網(wǎng)絡(luò)真正可以實用化，真正能服務(wù)于河北省交通廳的必要條件。為了保證網(wǎng)絡(luò)的高性能和良好的服務(wù)質(zhì)量，我們在網(wǎng)絡(luò)拓撲設(shè)計以及設(shè)備選擇上將選擇合理的技術(shù)方案和設(shè)備。3、可擴展性和靈活性數(shù)據(jù)通信網(wǎng)絡(luò)作為新興的通信網(wǎng)絡(luò)，具有技術(shù)發(fā)展速度快、設(shè)備更新快的特點。此外隨著用戶業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)系統(tǒng)的擴容將是不可避免的。因此在本次網(wǎng)絡(luò)建設(shè)中將對網(wǎng)絡(luò)的可擴充性和靈活性進行充足考慮。4、安裝、操作、維護簡樸的原則良好的網(wǎng)絡(luò)設(shè)計規(guī)定對網(wǎng)絡(luò)的安裝、操作和維護簡樸。在設(shè)備選擇上，我們將考慮選擇能提供完善網(wǎng)絡(luò)管理平臺的設(shè)備。5、性能價格比高的原則在滿足網(wǎng)絡(luò)各項性能規(guī)定情況下，兼顧設(shè)備投資情況，我們將盡也許節(jié)約網(wǎng)絡(luò)系統(tǒng)的投資，使整個網(wǎng)絡(luò)的性能價格比最高。6、安全性網(wǎng)絡(luò)設(shè)計中我們將對網(wǎng)絡(luò)的安全性進行重點考慮，將采用切實有效的系統(tǒng)安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全措施和一套網(wǎng)絡(luò)安全實行建議，以保障網(wǎng)絡(luò)的安全。2.2網(wǎng)絡(luò)技術(shù)分析2.2.1千兆以太網(wǎng)1、千兆以太網(wǎng)的發(fā)展以太網(wǎng)標(biāo)準(zhǔn)由IEEELAN-MAN標(biāo)準(zhǔn)委員會的802.3工作組創(chuàng)建并維護。近幾年，802.3z工作組致力于光纖和屏蔽跨接電纜集合（“短距離銅線”）的千兆以太網(wǎng)解決方案。1997年春天，新的工作組802.3ab成立，研究基于4對5類纜線的“長距銅線”解決方案，其標(biāo)準(zhǔn)為4對5類UTP、最大長度100米的千兆以太網(wǎng)連接，該標(biāo)準(zhǔn)為以太網(wǎng)MAC層定義了一個接口GMII（GigabitMediaIndependentInterface），還定義了管理、中繼器操作、拓撲規(guī)則及四種物理層信令系統(tǒng)：1000Base-SX（短波長光纖）、1000Base-LX（長波長光纖）、1000Base-CX（短距離銅線）和1000Base-T（100米4對5類UTP）。（注：1000Base-CX為150歐姆、平衡屏蔽的特殊電纜集合，線速1.25Gbps，使用基于光通道的8B/10B編碼方式，其時間幀與光纖連接相同。）千兆以太網(wǎng)也是以太網(wǎng)，其產(chǎn)品沒多大變化，重要有：互換機、上連/下連模塊、網(wǎng)卡、千兆以太網(wǎng)路由器，以及一種新設(shè)備，叫緩存式分派機（buffereddistributor）。緩存式分派機是一種全雙工、多端口的類似集線器的設(shè)備，將兩個或工作在1Gbps以上的802.3鏈路連接起來。緩存式分派機把分組轉(zhuǎn)發(fā)到除源鏈路外其它所有鏈路上，提供共享帶寬域（與802.3的沖突域相對），也被稱為“盒子中的CSMA/CD”。它與802.3的中繼器（repeater）不同，允許在轉(zhuǎn)發(fā)到達各鏈路的幀之前先加以緩沖。作為共享帶寬設(shè)備，緩存式分派器應(yīng)與路由器和互換機區(qū)分開。配有千兆以太網(wǎng)接口的路由器可以有支持高于或低于千兆速率的背板，而連到千兆以太網(wǎng)緩存式分派器背板的端口共享一千兆的帶寬，對于多端口的千兆以太網(wǎng)互換機而言，其高性能背板可支持數(shù)千兆的帶寬。2、千兆以太網(wǎng)的優(yōu)點主干采用千兆以太網(wǎng)的好處在于：千兆位以太網(wǎng)將提供10倍于快速以太網(wǎng)的性能并與現(xiàn)有的10/100以太網(wǎng)標(biāo)準(zhǔn)兼容。同時為10/100/1000Mbps開發(fā)的虛擬網(wǎng)標(biāo)準(zhǔn)802.1Q以及優(yōu)先級標(biāo)準(zhǔn)802.1p都已推廣，千兆網(wǎng)已成為構(gòu)成網(wǎng)絡(luò)主干的主流技術(shù)。1998年六月已制定完畢的第一個千兆位以太網(wǎng)標(biāo)準(zhǔn)802.3，以使用光纖線纜和短程銅線線纜的全雙工鏈接為對象。針對半雙工和遠程銅線線纜的標(biāo)準(zhǔn)802.3ab于1999年內(nèi)出臺。千兆位以太網(wǎng)將提供完美無缺的遷移途徑，充足保護在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的投資。千兆位以太網(wǎng)將保存802.3和以太網(wǎng)幀格式以及802.3受管理的對象規(guī)格，從而將使公司可以在升級至千兆性能的同時，保存現(xiàn)有的線纜、操作系統(tǒng)、協(xié)議、桌面應(yīng)用程序和網(wǎng)絡(luò)管理戰(zhàn)略與工具。千兆位以太網(wǎng)相對于原有的快速以太網(wǎng)、FDDI、ATM等主干網(wǎng)解決方案，提供了另一條改善互換機與互換機之間骨干連接和互換機與服務(wù)器之間連接的可靠、經(jīng)濟的途徑。網(wǎng)絡(luò)設(shè)計人員將可以建立有效使用高速、任務(wù)關(guān)鍵的應(yīng)用程序和文獻備份的高速基礎(chǔ)設(shè)施。網(wǎng)絡(luò)管理人員將為用戶提供對Internet、Intranet、城域網(wǎng)與廣域網(wǎng)的更快速的訪問。2.2.2路由器技術(shù)所謂路由就是指通過互相連接的網(wǎng)絡(luò)把信息從源地點移動到目的地點的活動。一般來說，在路由過程中，信息至少會通過一個或多個中間節(jié)點。通常，人們會把路由和互換進行對比，這重要是由于在普通用戶看來兩者所實現(xiàn)的功能是完全同樣的。其實，路由和互換之間的重要區(qū)別就是互換發(fā)生在OSI參考模型的第二層（數(shù)據(jù)鏈路層），而路由發(fā)生在第三層，即網(wǎng)絡(luò)層。這一區(qū)別決定了路由和互換在移動信息的過程中需要使用不同的控制信息，所以兩者實現(xiàn)各自功能的方式是不同的。路由器是互聯(lián)網(wǎng)的重要節(jié)點設(shè)備。路由器通過路由決定數(shù)據(jù)的轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā)策略稱為路由選擇（routing），這也是路由器名稱的由來（router，轉(zhuǎn)發(fā)者）。作為不同網(wǎng)絡(luò)之間互相連接的樞紐，路由器系統(tǒng)構(gòu)成了基于TCP/IP的國際互連網(wǎng)絡(luò)Internet的主體脈絡(luò)，也可以說，路由器構(gòu)成了Internet的骨架。它的解決速度是網(wǎng)絡(luò)通信的重要瓶頸之一，它的可靠性則直接影響著網(wǎng)絡(luò)互連的質(zhì)量。因此，在園區(qū)網(wǎng)、地區(qū)網(wǎng)、乃至整個Internet研究領(lǐng)域中，路由器技術(shù)始終處在核心地位，其發(fā)展歷程和方向，成為整個Internet研究的一個縮影。路由器的一個作用是連通不同的網(wǎng)絡(luò)，另一個作用是選擇信息傳送的線路。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來。從過濾網(wǎng)絡(luò)流量的角度來看，路由器的作用與互換機和網(wǎng)橋非常相似。但是與工作在網(wǎng)絡(luò)物理層，從物理上劃分網(wǎng)段的互換機不同，路由器使用專門的軟件協(xié)議從邏輯上對整個網(wǎng)絡(luò)進行劃分。例如，一臺支持IP協(xié)議的路由器可以把網(wǎng)絡(luò)劃提成多個子網(wǎng)段，只有指向特殊IP地址的網(wǎng)絡(luò)流量才可以通過路由器。對于每一個接受到的數(shù)據(jù)包，路由器都會重新計算其校驗值，并寫入新的物理地址。因此，使用路由器轉(zhuǎn)發(fā)和過濾數(shù)據(jù)的速度往往要比只查看數(shù)據(jù)包物理地址的互換機慢。但是，對于那些結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)，使用路由器可以提高網(wǎng)絡(luò)的整體效率。路由器的此外一個明顯優(yōu)勢就是可以自動過濾網(wǎng)絡(luò)廣播。從總體上說，在網(wǎng)絡(luò)中添加路由器的整個安裝過程要比即插即用的互換機復(fù)雜很多。一般說來，異種網(wǎng)絡(luò)互聯(lián)與多個子網(wǎng)互聯(lián)都應(yīng)采用路由器來完畢。路由器的重要工作就是為通過路由器的每個數(shù)據(jù)幀尋找一條最佳傳輸途徑，并將該數(shù)據(jù)有效地傳送到目的站點。由此可見，選擇最佳途徑的策略即路由算法是路由器的關(guān)鍵所在。為了完畢這項工作，在路由器中保存著各種傳輸途徑的相關(guān)數(shù)據(jù)——途徑表（RoutingTable），供路由選擇時使用。途徑表中保存著子網(wǎng)的標(biāo)志信息、網(wǎng)上路由器的個數(shù)和下一個路由器的名字等內(nèi)容。途徑表可以是由系統(tǒng)管理員固定設(shè)立好的，也可以由系統(tǒng)動態(tài)修改，可以由路由器自動調(diào)整，也可以由主機控制。靜態(tài)途徑表由系統(tǒng)管理員事先設(shè)立好固定的途徑表稱之為靜態(tài)（static）途徑表，一般是在系統(tǒng)安裝時就根據(jù)網(wǎng)絡(luò)的配置情況預(yù)先設(shè)定的，它不會隨未來網(wǎng)絡(luò)結(jié)構(gòu)的改變而改變。動態(tài)途徑表動態(tài)（Dynamic）途徑表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運營情況而自動調(diào)整的途徑表。路由器根據(jù)路由選擇協(xié)議（RoutingProtocol）提供的功能，自動學(xué)習(xí)和記憶網(wǎng)絡(luò)運營情況，在需要時自動計算數(shù)據(jù)傳輸?shù)淖罴淹緩健Ｂ酚善鞯念愋徒尤肼酚善鹘尤肼酚善鬟B接家庭或ISP內(nèi)的小型公司客戶。接入路由器已經(jīng)開始不只是提供SLIP或PPP連接，還支持諸如PPTP和IPSec等虛擬私有網(wǎng)絡(luò)協(xié)議。這些協(xié)議要能在每個端口上運營。諸如ADSL等技術(shù)將不久提高各家庭的可用帶寬，這將進一步增長接入路由器的承擔(dān)。由于這些趨勢，接入路由器將來會支持許多異構(gòu)和高速端口，并在各個端口可以運營多種協(xié)議，同時還要避開電話互換網(wǎng)。公司級路由器公司或校園級路由器連接許多終端系統(tǒng)，其重要目的是以盡量便宜的方法實現(xiàn)盡也許多的端點互連，并且進一步規(guī)定支持不同的服務(wù)質(zhì)量。許多現(xiàn)有的公司網(wǎng)絡(luò)都是由Hub或網(wǎng)橋連接起來的以太網(wǎng)段。盡管這些設(shè)備價格便宜、易于安裝、無需配置，但是它們不支持服務(wù)等級。相反，有路由器參與的網(wǎng)絡(luò)可以將機器提成多個碰撞域，并因此可以控制一個網(wǎng)絡(luò)的大小。此外，路由器還支持一定的服務(wù)等級，至少允許提成多個優(yōu)先級別。但是路由器的每端口造價要貴些，并且在可以使用之前要進行大量的配置工作。因此，公司路由器的成敗就在于是否提供大量端口且每端口的造價很低，是否容易配置，是否支持QoS。此外還規(guī)定公司級路由器有效地支持廣播和組播。公司網(wǎng)絡(luò)還要解決歷史遺留的各種LAN技術(shù)，支持多種協(xié)議，涉及IP、IPX和Vine。它們還要支持防火墻、包過濾以及大量的管理和安全策略以及VLAN。骨干級路由器骨干級路由器實現(xiàn)公司級網(wǎng)絡(luò)的互聯(lián)。對它的規(guī)定是速度和可靠性，而代價則處在次要地位。硬件可靠性可以采用電話互換網(wǎng)中使用的技術(shù)，如熱備份、雙電源、雙數(shù)據(jù)通路等來獲得。這些技術(shù)對所有骨干路由器而言差不多是標(biāo)準(zhǔn)的。骨干IP路由器的重要性能瓶頸是在轉(zhuǎn)發(fā)表中查找某個路由所耗的時間。當(dāng)收到一個包時，輸入端口在轉(zhuǎn)發(fā)表中查找該包的目的地址以擬定其目的端口，當(dāng)包越短或者當(dāng)包要發(fā)往許多目的端口時，勢必增長路由查找的代價。因此，將一些常訪問的目的端口放到緩存中可以提高路由查找的效率。不管是輸入緩沖還是輸出緩沖路由器，都存在路由查找的瓶頸問題。除了性能瓶頸問題，路由器的穩(wěn)定性也是一個常被忽視的問題。太比特路由器在未來核心互聯(lián)網(wǎng)使用的三種重要技術(shù)中，光纖和DWDM都已經(jīng)是很成熟的并且是現(xiàn)成的。假如沒有與現(xiàn)有的光纖技術(shù)和DWDM技術(shù)提供的原始帶寬相應(yīng)的路由器，新的網(wǎng)絡(luò)基礎(chǔ)設(shè)施將無法從主線上得到性能的改善，因此開發(fā)高性能的骨干互換/路由器（太比特路由器）已經(jīng)成為一項迫切的規(guī)定。太比特路由器技術(shù)現(xiàn)在還重要處在開發(fā)實驗階段。路由器的體系結(jié)構(gòu)從體系結(jié)構(gòu)上看，路由器可以分為第一代單總線單CPU結(jié)構(gòu)路由器、第二代單總線主從CPU結(jié)構(gòu)路由器、第三代單總線對稱式多CPU結(jié)構(gòu)路由器；第四代多總線多CPU結(jié)構(gòu)路由器、第五代共享內(nèi)存式結(jié)構(gòu)路由器、第六代交叉開關(guān)體系結(jié)構(gòu)路由器和基于機群系統(tǒng)的路由器等多類。路由器的構(gòu)成路由器具有四個要素：輸入端口、輸出端口、互換開關(guān)和路由解決器。輸入端口是物理鏈路和輸入包的進口處。端口通常由線卡提供，一塊線卡一般支持4、8或16個端口，一個輸入端口具有許多功能。第一個功能是進行數(shù)據(jù)鏈路層的封裝和解封裝。第二個功能是在轉(zhuǎn)發(fā)表中查找輸入包目的地址從而決定目的端口（稱為路由查找），路由查找可以使用一般的硬件來實現(xiàn)，或者通過在每塊線卡上嵌入一個微解決器來完畢。第三，為了提供QoS（服務(wù)質(zhì)量），端口要對收到的包提成幾個預(yù)定義的服務(wù)級別。第四，端口也許需要運營諸如SLIP（串行線網(wǎng)際協(xié)議）和PPP（點對點協(xié)議）這樣的數(shù)據(jù)鏈路級協(xié)議或者諸如PPTP（點對點隧道協(xié)議）這樣的網(wǎng)絡(luò)級協(xié)議。一旦路由查找完畢，必須用互換開關(guān)將包送到其輸出端口。假如路由器是輸入端加隊列的，則有幾個輸入端共享同一個互換開關(guān)。這樣輸入端口的最后一項功能是參與對公共資源（如互換開關(guān)）的仲裁協(xié)議。互換開關(guān)可以使用多種不同的技術(shù)來實現(xiàn)。迄今為止使用最多的互換開關(guān)技術(shù)是總線、交叉開關(guān)和共享存貯器。最簡樸的開關(guān)使用一條總線來連接所有輸入和輸出端口，總線開關(guān)的缺陷是其互換容量受限于總線的容量以及為共享總線仲裁所帶來的額外開銷。交叉開關(guān)通過開關(guān)提供多條數(shù)據(jù)通路，具有N×N個交叉點的交叉開關(guān)可以被認為具有2N條總線。假如一個交叉是閉合，輸入總線上的數(shù)據(jù)在輸出總線上可用，否則不可用。交叉點的閉合與打開由調(diào)度器來控制，因此，調(diào)度器限制了互換開關(guān)的速度。在共享存貯器路由器中，進來的包被存貯在共享存貯器中，所互換的僅是包的指針，這提高了互換容量，但是，開關(guān)的速度受限于存貯器的存取速度。盡管存貯器容量每18個月可以翻一番，但存貯器的存取時間每年僅減少5%，這是共享存貯器互換開關(guān)的一個固有限制。輸出端口在包被發(fā)送到輸出鏈路之前對包存貯，可以實現(xiàn)復(fù)雜的調(diào)度算法以支持優(yōu)先級等規(guī)定。與輸入端口同樣，輸出端口同樣要能支持數(shù)據(jù)鏈路層的封裝和解封裝，以及許多較高級協(xié)議。路由解決器計算轉(zhuǎn)發(fā)表實現(xiàn)路由協(xié)議，并運營對路由器進行配置和管理的軟件。同時，它還解決那些目的地址不在線卡轉(zhuǎn)發(fā)表中的包。2.2.3互換機技術(shù)以太網(wǎng)互換機，英文為SWITCH，也有人翻譯為開關(guān)，互換器或稱互換式集線器。1、互換式以太網(wǎng)的工作原理以太網(wǎng)互換機的原理很簡樸，它檢測從以太端口來的數(shù)據(jù)包的源和目的地的MAC（介質(zhì)訪問層）地址，然后與系統(tǒng)內(nèi)部的動態(tài)查找表進行比較，若數(shù)據(jù)包的MAC層地址不在查找表中，則將該地址加入查找表中，并將數(shù)據(jù)包發(fā)送給相應(yīng)的目的端口。2、互換式以太網(wǎng)技術(shù)的優(yōu)點互換式以太網(wǎng)不需要改變網(wǎng)絡(luò)其它硬件，涉及電纜和用戶的網(wǎng)卡，僅需要用互換式互換機改變共享式HUB，節(jié)省用戶網(wǎng)絡(luò)升級的費用?？稍诟咚倥c低速網(wǎng)絡(luò)間轉(zhuǎn)換，實現(xiàn)不同網(wǎng)絡(luò)的協(xié)同。目前大多數(shù)互換式以太網(wǎng)都具有100MBPS的端口，通過與之相相應(yīng)的100MBPS的網(wǎng)卡接入到服務(wù)器上，暫時解決了10MBPS的瓶頸，成為網(wǎng)絡(luò)局域網(wǎng)升級時首選的方案。它同時提供多個通道，比傳統(tǒng)的共享式集線器提供更多的帶寬，傳統(tǒng)的共享式10MBPS/100MPS以太網(wǎng)采用廣播式通信方式，每次只能在一對用戶間進行通信，假如發(fā)生碰撞還得重試，而互換式以太網(wǎng)允許不同用戶間進行傳送，比如，一個16端口的以太網(wǎng)互換機允許16個站點在8條鏈路間通信。特別是在時間響應(yīng)方面的優(yōu)點，使得局域網(wǎng)互換機倍受青睞。它以比路由器低的成本卻提供了比路由器寬的帶寬、高的速度，除非有上廣域網(wǎng)（WAN）的規(guī)定，否則，互換機有替代路由器的趨勢。直通式（cutthrouth）與存儲轉(zhuǎn)發(fā)（store-and-forward）的比較：直通方式的以太網(wǎng)絡(luò)互換機可以理解為在各端口間是縱橫交叉的線路矩陣電話互換機。它在輸入端口檢測到一個數(shù)據(jù)包時，檢查該包的包頭，獲取包的目的地址，啟動內(nèi)部的動態(tài)查找表轉(zhuǎn)換成相應(yīng)的輸出端口，在輸入與輸出交叉處接通，把數(shù)據(jù)包直通到相應(yīng)的端口，實現(xiàn)互換功能。由于不需要存儲，延遲（LATENCY）非常小、互換非?？欤@是它的優(yōu)點；它的缺陷是：由于數(shù)據(jù)包的內(nèi)容并沒有被以太網(wǎng)互換機保存下來，所以無法檢查所傳送的數(shù)據(jù)包是否有誤，不能提供錯誤檢測能力，由于沒有緩存，不能將具有不同速率的輸入/輸出端口直接接通，并且，當(dāng)以太網(wǎng)絡(luò)互換機的端口增長時，互換矩陣變得越來越復(fù)雜，實現(xiàn)起來相稱困難。存儲轉(zhuǎn)發(fā)方式是計算機網(wǎng)絡(luò)領(lǐng)域應(yīng)用最為廣泛的方式，它把輸入端口的數(shù)據(jù)包先存儲起來，然后進行CRC檢查，在對錯誤包解決后才取出數(shù)據(jù)包的目的地址，通過查找表轉(zhuǎn)換成輸出端口送出包。正因如此，存儲轉(zhuǎn)發(fā)方式在數(shù)據(jù)解決時延時大，這是它的局限性，單是它可以對進入互換機的數(shù)據(jù)包進行錯誤檢測，特別重要的是它可以支持不同速度的輸入輸出端口間的轉(zhuǎn)換，保持高速端口與低速端口間的協(xié)同工作。2.2.4虛擬局域網(wǎng)(VLAN)中繼協(xié)議—VTPVTP模式因為每個VLAN是一個邏輯LAN部分，所以網(wǎng)管員能使STP一次工作在最多64個VLAN中。如果要配置超過64個VLAN，網(wǎng)管員需要將其他VLAN的STP禁止，因為默認的STP可以支持1～64個VLAN。2.2.5網(wǎng)絡(luò)安全及保密1.網(wǎng)絡(luò)安全概述以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在進一步,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展，典型的如黨政部門信息系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、公司商務(wù)系統(tǒng)等。隨著網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增長應(yīng)用自由度的同時,對安全提出了更高的規(guī)定，這重要表現(xiàn)在：

開放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)的技術(shù)是全開放的，任何一個人、團隊都也許獲得，因而網(wǎng)絡(luò)所面臨的破壞和襲擊也許是多方面的例如：也許來自物理傳輸線路的襲擊，也可以對網(wǎng)絡(luò)通信協(xié)議和實現(xiàn)實行襲擊；可以是對軟件實行襲擊，也可以對硬件實行襲擊

國際性的一個網(wǎng)絡(luò)還意味著網(wǎng)絡(luò)的襲擊不僅僅來自本地網(wǎng)絡(luò)的用戶，它可以來自Internet上的任何一個機器，也就是說,網(wǎng)絡(luò)安全所面臨的是一個國際化的挑戰(zhàn)。

自由意味著網(wǎng)絡(luò)最初對用戶的使用并沒有提供任何的技術(shù)約束，用戶可以自由地訪問網(wǎng)絡(luò)，自由地使用和發(fā)布各種類型的信息。用戶只對自己的行為負責(zé)，而沒有任何的法律限制。

盡管，開放的、自由的、國際化的Internet的發(fā)展給政府機構(gòu)、企事業(yè)單位帶來了革命性的改革和開放，使得他們可以運用Internet提高辦事效率和市場反映能力，以便更具競爭力。通過Internet，他們可以從異地取回重要數(shù)據(jù)，同時又要面對網(wǎng)絡(luò)開放帶來的數(shù)據(jù)安全的新挑戰(zhàn)和新危險。如何保護公司的機密信息不受黑客和工業(yè)間諜的入侵,已成為政府機構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。網(wǎng)絡(luò)安全的概念網(wǎng)絡(luò)安全涉及五個基本要素：機密性、完整性、可用性、可控性與可審查性。機密性：保證信息不暴露給未授權(quán)的實體或進程。完整性：只有得到允許的人才干修改數(shù)據(jù)，并且可以判別出數(shù)據(jù)是否已被篡改?？捎眯裕旱玫绞跈?quán)的實體在需要時可訪問數(shù)據(jù)，即襲擊者不能占用所有的資源而阻礙授權(quán)者的工作。可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式?？蓪彶樾裕簩Τ霈F(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。網(wǎng)絡(luò)存在的威脅一般認為，目前網(wǎng)絡(luò)存在的威脅重要表現(xiàn)在：

非授權(quán)訪問：沒有預(yù)先通過批準(zhǔn)，就使用網(wǎng)絡(luò)或計算機資源被看作非授權(quán)訪問，如故意避開系統(tǒng)訪問控制機制，對網(wǎng)絡(luò)設(shè)備及資源進行非正常使用，或擅自擴大權(quán)限，越權(quán)訪問信息。它重要有以下幾種形式：假冒、身份襲擊、非法用戶進入網(wǎng)絡(luò)系統(tǒng)進行違法操作、合法用戶以未授權(quán)方式進行操作等。

信息泄漏或丟失：指敏感數(shù)據(jù)在故意或無意中被泄漏出去或丟失，它通常涉及，信息在傳輸中丟失或泄漏（如"黑客"們運用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數(shù)的分析，推出有用信息，如用戶口令、帳號等重要信息。），信息在存儲介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。

破壞數(shù)據(jù)完整性：以非法手段竊得對數(shù)據(jù)的使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以取得有益于襲擊者的響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾用戶的正常使用。

拒絕服務(wù)襲擊：它不斷對網(wǎng)絡(luò)服務(wù)系統(tǒng)進行干擾，改變其正常的作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)的服務(wù)。

運用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計算機病毒，其破壞性大大高于單機系統(tǒng)，并且用戶很難防范。安全策略安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。該安全策略模型涉及了建立安全環(huán)境的三個重要組成部分，即：

威嚴的法律：安全的基石是社會法律、法規(guī)、與手段，這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法。即通過建立與信息安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。

先進的技術(shù)：先進的安全技術(shù)是信息安全的主線保障，用戶對自身面臨的威脅進行風(fēng)險評估，決定其需要的安全服務(wù)種類。選擇相應(yīng)的安全機制，然后集成先進的安全技術(shù)。

嚴格的管理：各網(wǎng)絡(luò)使用機構(gòu)、公司和單位應(yīng)建立相宜的信息安全管理辦法，加強內(nèi)部管理，建立審計和跟蹤體系，提高整體信息安全意識。安全服務(wù)、機制與技術(shù)安全服務(wù)：服務(wù)控制服務(wù)、數(shù)據(jù)機密性服務(wù)、數(shù)據(jù)完整性服務(wù)、對象認證服務(wù)、防抵賴服務(wù)。安全機制：訪問控制機制、加密機制、認證互換機制、數(shù)字署名機制、防業(yè)務(wù)流分析機制、路由控制機制。安全技術(shù)：防火墻技術(shù)、加密技術(shù)、鑒別技術(shù)、數(shù)字署名技術(shù)、審計監(jiān)控技術(shù)、病毒防治技術(shù)。

在安全的開放環(huán)境中，用戶可以使用各種安全應(yīng)用。安全應(yīng)用由一些安全服務(wù)來實現(xiàn)；而安全服務(wù)又是由各種安全機制或安全技術(shù)實現(xiàn)的。應(yīng)當(dāng)指出，同一安全機制有時也可以用于實現(xiàn)不同的安全服務(wù)。安全工作目的安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過采用合適的安全技術(shù)與安全管理措施，完畢以下任務(wù)：①使用訪問控制機制，阻止非授權(quán)用戶進入網(wǎng)絡(luò)，即“進不來”，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。②使用授權(quán)機制，實現(xiàn)對用戶的權(quán)限控制，即不該拿走的“拿不走”，同時結(jié)合內(nèi)容審計機制，實現(xiàn)對網(wǎng)絡(luò)資源及信息的可控性③使用加密機制，保證信息不暴漏給未授權(quán)的實體或進程，即"看不懂"，從而實現(xiàn)信息的保密性。④使用數(shù)據(jù)完整性鑒別機制，保證只有得到允許的人才干修改數(shù)據(jù)，而其它人"改不了"，從而保證信息的完整性。⑤使用審計、監(jiān)控、防抵賴等安全機制，使得襲擊者、破壞者、抵賴者"走不脫"，并進一步對網(wǎng)絡(luò)出現(xiàn)的安全問題提供調(diào)查依據(jù)和手段，實現(xiàn)信息安全的可審查性。2．網(wǎng)絡(luò)安全體系結(jié)構(gòu)通過對網(wǎng)絡(luò)的全面了解，按照安全策略的規(guī)定及風(fēng)險分析的結(jié)果，整個網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。具體的安全控制系統(tǒng)由以下幾個方面組成：物理安全、網(wǎng)絡(luò)安全、信息安全。物理安全保證計算機信息系統(tǒng)各種設(shè)備的物理安全是整個計算機信息系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤和各種計算機犯罪行為導(dǎo)致的破壞過程。重要涉及三個方面：☆環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和劫難保護（參見國家標(biāo)準(zhǔn)GB50173－93《電子計算機機房設(shè)計規(guī)范》國標(biāo)GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全規(guī)定》）☆設(shè)備安全：重要涉及設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；☆媒體安全：涉及媒體數(shù)據(jù)的安全及媒體自身的安全。

顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等規(guī)定之外，還要防止系統(tǒng)信息在空間的擴散。計算機系統(tǒng)通過電磁輻射使信息被截獲而失秘的案例已經(jīng)很多，在理論和技術(shù)支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復(fù)原顯示給計算機系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上探取一定的防護措施，來減少或干擾擴散出去的空間信號。這對重要的政策、軍隊、金融機構(gòu)在興建信息中心時，都將成為首要設(shè)立的條件。

正常的防范措施重要在三個方面：☆對主機房及重要信息存儲、收發(fā)部門進行屏蔽解決：即建設(shè)一個具有高效屏蔽效能的屏蔽室，用它來安裝運營重要設(shè)備以防止磁鼓，磁帶與高輻射設(shè)備等的信號外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項聯(lián)系、連接中均要采用相應(yīng)的隔離措施和設(shè)計，如信號線、電話線、空調(diào)、消防控制線，以及通風(fēng)波導(dǎo)，門的關(guān)起等。☆對本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的克制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采用了光纜傳輸?shù)姆绞?，大多?shù)均在Modem出來的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進行傳輸。☆對終端設(shè)備輻射的防范終端機特別是CRT顯示器,由于上萬伏高壓電子流的作用，輻射有極強的信號外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，故現(xiàn)在的規(guī)定除在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，目前重要采用積極式的干擾設(shè)備如干擾機來破壞相應(yīng)信息的竊復(fù)，個別重要的首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，此類雖減少了部份屏蔽效能但可大大改善工作環(huán)境，使人感到在普通機房內(nèi)同樣工作。網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全系統(tǒng)（主機、服務(wù)器）安全反病毒系統(tǒng)安全檢測入侵檢測審計分析網(wǎng)絡(luò)運營安全備份與恢復(fù)應(yīng)急、劫難恢復(fù)局域網(wǎng)、子網(wǎng)安全訪問控制（防火墻）網(wǎng)絡(luò)安全檢測1.內(nèi)外網(wǎng)隔離及訪問控制系統(tǒng)

在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)立防火墻（涉及分組過濾與應(yīng)用代理）實現(xiàn)內(nèi)外網(wǎng)的隔離與訪問控制是保護內(nèi)部網(wǎng)安全的最重要、同時也是最有效、最經(jīng)濟的措施之一。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講有二大類較為常用：分組過濾、應(yīng)用代理。☆分組過濾（Packetfiltering）：用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分組包頭源地址，目的地址和端標(biāo)語、協(xié)議類型等標(biāo)志擬定是否允許數(shù)據(jù)包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄?！顟?yīng)用代理（ApplicationProxy）：也叫應(yīng)用網(wǎng)關(guān)（ApplicationGateway），它作用在應(yīng)用層，特點是完全“阻隔”了網(wǎng)絡(luò)通信流，通過對每種應(yīng)用服務(wù)編制專門的代理程序，實現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。實際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實現(xiàn)。

無論何種類型防火墻，從總體上看，都應(yīng)具有以下五大基本功能：過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進、出網(wǎng)絡(luò)的訪問行為；封堵某些嚴禁的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)襲擊的檢測和告警。應(yīng)當(dāng)強調(diào)的是，防火墻是整體安全防護體系的一個重要組成部分，而不是所有。因此必須將防火墻的安全保護融合到系統(tǒng)的整體安全策略中，才干實現(xiàn)真正的安全。

2.內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域的隔離及訪問控制

在這里，防火墻被用來隔離內(nèi)部網(wǎng)絡(luò)的一個網(wǎng)段與另一個網(wǎng)段。這樣，就能防止影響一個網(wǎng)段的問題穿過整個網(wǎng)絡(luò)傳播。針對某些網(wǎng)絡(luò)，在某些情況下，它的一些局域網(wǎng)的某個網(wǎng)段比另一個網(wǎng)段更受信任，或者某個網(wǎng)段比另一個更敏感。而在它們之間設(shè)立防火墻就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)導(dǎo)致的影響。3.網(wǎng)絡(luò)安全檢測

網(wǎng)絡(luò)安全性分析系統(tǒng)網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)。如何及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)的安全？最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進行安全性分析，及時發(fā)現(xiàn)并修正存在的弱點和漏洞。網(wǎng)絡(luò)安全檢測工具通常是一個網(wǎng)絡(luò)安全性評估分析軟件，其功能是用實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報告系統(tǒng)存在的弱點和漏洞，建議補求措施和安全策略，達成增強網(wǎng)絡(luò)安全性的目的。4.審計與監(jiān)控

審計是記錄用戶使用計算機網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅可以辨認誰訪問了系統(tǒng)，還能指出系統(tǒng)正被如何地使用。對于擬定是否有網(wǎng)絡(luò)襲擊的情況，審計信息對于擬定問題和襲擊源很重要。同時，系統(tǒng)事件的記錄可以更迅速和系統(tǒng)地辨認問題，并且它是后面階段事故解決的重要依據(jù)。此外，通過對安全事件的不斷收集與積累并且加以分析有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發(fā)現(xiàn)或也許產(chǎn)生的破壞性行為提供有力的證據(jù)。因此，除使用一般的網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用目前以較為成熟的網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r入侵檢測設(shè)備，以便對進出各級局域網(wǎng)的常見操作進行實時檢查、監(jiān)控、報警和阻斷，從而防止針對網(wǎng)絡(luò)的襲擊與犯罪行為。5.網(wǎng)絡(luò)反病毒

由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力，一次計算機病毒的防范是網(wǎng)絡(luò)安全性建設(shè)中重要的一環(huán)。網(wǎng)絡(luò)反病毒技術(shù)涉及防止病毒、檢測病毒和消毒三種技術(shù)：

☆防止病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有:加密可執(zhí)行程序、引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。

☆檢測病毒技術(shù)：它是通過對計算機病毒的特性來進行判斷的技術(shù)，如自身校驗、關(guān)鍵字、文獻長度的變化等?！罘治霾《炯夹g(shù)：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文獻的軟件。

網(wǎng)絡(luò)反病毒技術(shù)的具體實現(xiàn)方法涉及對網(wǎng)絡(luò)服務(wù)器中的文獻進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網(wǎng)絡(luò)目錄及文獻設(shè)立訪問權(quán)限等。

6.網(wǎng)絡(luò)備份系統(tǒng)

備份系統(tǒng)為一個目的而存在：盡也許快地全盤恢復(fù)運營計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有：場地內(nèi)高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復(fù)；場地外的數(shù)據(jù)存儲、備份與恢復(fù)；對系統(tǒng)設(shè)備的備份。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)襲擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)劫難恢復(fù)的前提之一。

一般的數(shù)據(jù)備份操作有三種。一是全盤備份，即將所有文獻寫入備份介質(zhì)；二是增量備份，只備份那些上次備份之后更改過的文獻，是最有效的備份方法；三是差分備份，備份上次全盤備份之后更改過的所有文獻，其優(yōu)點是只需兩組磁帶就可恢復(fù)最后一次全盤備份的磁帶和最后一次差分備份的磁帶。

在擬定備份的指導(dǎo)思想和備份方案之后，就要選擇安全的存儲媒介和技術(shù)進行數(shù)據(jù)備份，有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個計算機系統(tǒng)和網(wǎng)絡(luò)中，只但是傳到令一個非工作的分區(qū)或是另一個非實時解決的業(yè)務(wù)系統(tǒng)中存放。“冷備份”是指“不在線”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運營的整個計算機系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。熱備份的優(yōu)點是投資大，但調(diào)用快，使用方便，在系統(tǒng)恢復(fù)中需要反復(fù)調(diào)試時更顯優(yōu)勢。熱備份的具體做法是：可以在主機系統(tǒng)開辟一塊非工作運營空間，專門存放備份數(shù)據(jù)，即分區(qū)備份；另一種方法是，將數(shù)據(jù)備份到另一個子系統(tǒng)中，通過主機系統(tǒng)與子系統(tǒng)之間的傳輸，同樣具有速度快和調(diào)用方便的特點，但投資比較昂貴。冷備份填補了熱備份的一些局限性，兩者優(yōu)勢互補，相輔相成，由于冷備份在回避風(fēng)險中還具有便于保管的特殊優(yōu)點。

在進行備份的過程中，常使用備份軟件，它一般應(yīng)具有以下功能。保證備份數(shù)據(jù)的完整性，并具有對備份介質(zhì)的管理能力；支持多種備份方式，可以定期自動備份，還可設(shè)立備份自動啟動和停止日期；支持多種校驗手段（如字節(jié)校驗、CRC循環(huán)冗余校驗、快速磁帶掃描），以保證備份的對的性；提供聯(lián)機數(shù)據(jù)備份功能；支持RAID容錯技術(shù)和圖像備份功能。信息安全重要涉及到信息傳輸?shù)陌踩?、信息存儲的安全以及對網(wǎng)絡(luò)傳輸信息內(nèi)容的審計三方面。信息安全信息傳輸安全（動態(tài)安全）數(shù)據(jù)加密數(shù)據(jù)完整性的鑒別防抵賴信息存儲安全（靜態(tài)安全）數(shù)據(jù)庫安全終端安全信息的防泄密信息內(nèi)容審計用戶鑒別授權(quán)1鑒別：鑒別是對網(wǎng)絡(luò)中的主體進行驗證的過程，通常有三種方法驗證主體身份。一是只有該主體了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨一無二的特性或能力，如指紋、聲音、視網(wǎng)膜或簽字等。

☆口令機制：口令是互相約定的代碼，假設(shè)只有用戶和系統(tǒng)知道?？诹钣袝r由用戶選擇，有時由系統(tǒng)分派。通常情況下，用戶先輸入某種標(biāo)志信息，比如用戶名和ID號，然后系統(tǒng)詢問用戶口令，若口令與用戶文獻中的相匹配，用戶即可進入訪問?？诹钣卸喾N，如一次性口令，系統(tǒng)生成一次性口令的清單，第一次時必須使用X，第二次時必須使用Y，第三次時用Z,這樣一直下去；尚有基于時間的口令，即訪問使用的對的口令隨時間變化，變化基于時間和一個秘密的用戶鑰匙。這樣口令每分鐘都在改變，使其更加難以猜測。

☆智能卡：訪問不僅需要口令，也需要使用物理智能卡。在允許其進入系統(tǒng)之前檢查是否允許其接觸系統(tǒng)。智能卡大小形如信用卡，一般由微解決器、存儲器及輸入、輸出設(shè)施構(gòu)成。微解決器可計算該卡的一個唯一數(shù)（ID）和其它數(shù)據(jù)的加密形式。ID保證卡的真實性，持卡人就可訪問系統(tǒng)。為防止智能卡遺失或被竊,許多系統(tǒng)需要卡和身份辨認碼（PIN）同時使用。若僅有卡而不知PIN碼，則不能進入系統(tǒng)。智能卡比傳統(tǒng)的口令方法進行鑒別更好，但其攜帶不方便，且開戶費用較高。

☆主體特性鑒別：運用個人特性進行鑒別的方式具有很高的安全性。目前已有的設(shè)備涉及：視網(wǎng)膜掃描儀、聲音驗證設(shè)備、手型辨認器。2數(shù)據(jù)傳輸安全系統(tǒng)：

數(shù)據(jù)傳輸加密技術(shù)目的是對傳輸中的數(shù)據(jù)流加密，以防止通信線路上的竊聽、泄漏、篡改和破壞。假如以加密實現(xiàn)的通信層次來區(qū)分，加密可以在通信的三個不同層次來實現(xiàn)，即鏈路加密（位于OSI網(wǎng)絡(luò)層以下的加密），節(jié)點加密，端到端加密（傳輸前對文獻加密，位于OSI網(wǎng)絡(luò)層以上的加密）。

一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側(cè)重與在通信鏈路上而不考慮信源和信宿，是對保密信息通過各鏈路采用不同的加密密鑰提供安全保護。鏈路加密是面向節(jié)點的，對于網(wǎng)絡(luò)高層主體是透明的，它對高層的協(xié)議信息（地址、檢錯、幀頭幀尾）都加密，因此數(shù)據(jù)在傳輸中是密文的，但在中央節(jié)點必須解密得到路由信息。端到端加密則指信息由發(fā)送端自動加密，并進入TCP/IP數(shù)據(jù)包回封,然后作為不可閱讀和不可辨認的數(shù)據(jù)穿過互聯(lián)網(wǎng)，當(dāng)這些信息一旦到達目的地，將自動重組、解密，成為可讀數(shù)據(jù)。端到端加密是面向網(wǎng)絡(luò)高層主體的，它不對下層協(xié)議進行信息加密，協(xié)議信息以明文形式傳輸，用戶數(shù)據(jù)在中央節(jié)點不需解密。

數(shù)據(jù)完整性鑒別技術(shù):目前，對于動態(tài)傳輸?shù)男畔ⅲS多協(xié)議保證信息完整性的方法大多是收錯重傳、丟棄后續(xù)包的辦法，但黑客的襲擊可以改變信息包內(nèi)部的內(nèi)容，所以應(yīng)采用有效的措施來進行完整性控制。

☆報文鑒別：與數(shù)據(jù)鏈路層的CRC控制類似，將報文名字段（或域）使用一定的操作組成一個約束值,稱為該報文的完整性檢測向量ICV（IntegratedCheckVector）。然后將它與數(shù)據(jù)封裝在一起進行加密，傳輸過程中由于侵入者不能對報文解密，所以也就不能同時修改數(shù)據(jù)并計算新的ICV，這樣，接受方收到數(shù)據(jù)后解密并計算ICV，若與明文中的ICV不同，則認為此報文無效。

☆校驗和：一個最簡樸易行的完整性控制方法是使用校驗和，計算出該文獻的校驗和值并與上次計算出的值比較。若相等，說明文獻沒有改變；若不等，則說明文獻也許被未察覺的行為改變了。校驗和方式可以查錯，但不能保護數(shù)據(jù)。

☆加密校驗和：將文獻提成小快，對每一塊計算CRC校驗值，然后再將這些CRC值加起來作為校驗和。只要運用恰當(dāng)?shù)乃惴?，這種完整性控制機制幾乎無法攻破。但這種機制運算量大，并且昂貴，只合用于那些完整性規(guī)定保護極高的情況。

☆消息完整性編碼MIC（MessageIntegrityCode）:使用簡樸單向散列函數(shù)計算消息的摘要，連同信息發(fā)送給接受方，接受方重新計算摘要，并進行比較驗證信息在傳輸過程中的完整性。這種散列函數(shù)的特點是任何兩個不同的輸入不也許產(chǎn)生兩個相同的輸出。因此，一個被修改的文獻不也許有同樣的散列值。單向散列函數(shù)可以在不同的系統(tǒng)中高效實現(xiàn)。

☆防抵賴技術(shù)：它涉及對源和目的地雙方的證明，常用方法是數(shù)字署名，數(shù)字署名采用一定的數(shù)據(jù)互換協(xié)議，使得通信雙方可以滿足兩個條件：接受方可以鑒別發(fā)送方所宣稱的身份，發(fā)送方以后不能否認他發(fā)送過數(shù)據(jù)這一事實。比如，通信的雙方采用公鑰體制，發(fā)方使用收方的公鑰和自己的私鑰加密的信息，只有收方憑借自己的私鑰和發(fā)方的公鑰解密之后才干讀懂，而對于收方的回執(zhí)也是同樣道理。此外實現(xiàn)防抵賴的途徑尚有：采用可信第三方的權(quán)標(biāo)、使用時戳、采用一個在線的第三方、數(shù)字署名與時戳相結(jié)合等。

鑒于為保障數(shù)據(jù)傳輸?shù)陌踩?，需采用?shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù)及防抵賴技術(shù)。因此為節(jié)省投資、簡化系統(tǒng)配置、便于管理、使用方便，有必要選取集成的安全保密技術(shù)措施及設(shè)備。這種設(shè)備應(yīng)可認為大型網(wǎng)絡(luò)系統(tǒng)的主機或重點服務(wù)器提供加密服務(wù)，為應(yīng)用系統(tǒng)提供安全性強的數(shù)字署名和自動密鑰分發(fā)功能，支持多種單向散列函數(shù)和校驗碼算法，以實現(xiàn)對數(shù)據(jù)完整性的鑒別。3數(shù)據(jù)存儲安全系統(tǒng):

在計算機信息系統(tǒng)中存儲的信息重要涉及純粹的數(shù)據(jù)信息和各種功能文獻信息兩大類。對純粹數(shù)據(jù)信息的安全保護，以數(shù)據(jù)庫信息的保護最為典型。而對各種功能文獻的保護，終端安全很重要。

數(shù)據(jù)庫安全：對數(shù)據(jù)庫系統(tǒng)所管理的數(shù)據(jù)和資源提供安全保護，一般涉及以下幾點?！钜唬锢硗暾?，即數(shù)據(jù)可以免于物理方面破壞的問題，如掉電、火災(zāi)等；☆二，邏輯完整性，可以保持數(shù)據(jù)庫的結(jié)構(gòu)，如對一個字段的修改不至于影響其它字段；☆三，元素完整性，涉及在每個元素中的數(shù)據(jù)是準(zhǔn)確的；☆四，數(shù)據(jù)的加密；☆五，用戶鑒別，保證每個用戶被對的辨認，避免非法用戶入侵；☆六，可獲得性，指用戶一般可訪問數(shù)據(jù)庫和所有授權(quán)訪問的數(shù)據(jù)；☆七，可審計性，可以追蹤到誰訪問過數(shù)據(jù)庫。

要實現(xiàn)對數(shù)據(jù)庫的安全保護，一種選擇是安全數(shù)據(jù)庫系統(tǒng)，即從系統(tǒng)的設(shè)計、實現(xiàn)、使用和管理等各個階段都要遵循一套完整的系統(tǒng)安全策略；二是以現(xiàn)有數(shù)據(jù)庫系統(tǒng)所提供的功能為基礎(chǔ)構(gòu)作安全模塊，旨在增強現(xiàn)有數(shù)據(jù)庫系統(tǒng)的安全性。

終端安全：重要解決微機信息的安全保護問題，一般的安全功能如下?；诳诹罨颍ê停┟艽a算法的身份驗證，防止非法使用機器；自主和強制存取控制，防止非法訪問文獻；多級權(quán)限管理，防止越權(quán)操作；存儲設(shè)備安全管理，防止非法軟盤拷貝和硬盤啟動；數(shù)據(jù)和程序代碼加密存儲，防止信息被竊；防止病毒，防止病毒侵襲；嚴格的審計跟蹤，便于追查責(zé)任事故。4信息內(nèi)容審計系統(tǒng)：

實時對進出內(nèi)部網(wǎng)絡(luò)的信息進行內(nèi)容審計，以防止或追查也許的泄密行為。因此，為了滿足國家保密法的規(guī)定，在某些重要或涉密網(wǎng)絡(luò)，應(yīng)當(dāng)安裝使用此系統(tǒng)。安全管理面對網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計上增長安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強網(wǎng)絡(luò)的安全管理，由于諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計算機網(wǎng)絡(luò)安全所必須考慮的基本問題，所以應(yīng)引起各計算機網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)的重視。

1安全管理原則網(wǎng)絡(luò)信息系統(tǒng)的安全管理重要基于三個原則。(1)多人負責(zé)原則

每一項與安全有關(guān)的活動，都必須有兩人或多人在場。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠可靠，能勝任此項工作；他們應(yīng)當(dāng)簽署工作情況記錄以證明安全工作已得到保障。以下各項是與安全有關(guān)的活動：

①訪問控制使用證件的發(fā)放與回收；

②信息解決系統(tǒng)使用的媒介發(fā)放與回收；

③解決保密信息；

④硬件和軟件的維護；

⑤系統(tǒng)軟件的設(shè)計、實現(xiàn)和修改；

⑥重要程序和數(shù)據(jù)的刪除和銷毀等；

(2)任期有限原則

一般地講，任何人最佳不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認為這個職務(wù)是專有的或永久性的。為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強制實行休假制度，并規(guī)定對工作人員進行輪流培訓(xùn)，以使任期有限制度切實可行。(3)職責(zé)分離原則

在信息解決系統(tǒng)工作的人員不要打聽、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)。出于對安全的考慮，下面每組內(nèi)的兩項信息解決工作應(yīng)當(dāng)分開。

①計算機操作與計算機編程；

②機密資料的接受和傳送；

③安全管理和系統(tǒng)管理；

④應(yīng)用程序和系統(tǒng)程序的編制；

⑤訪問證件的管理與其它工作；

⑥計算機操作與信息解決系統(tǒng)使用媒介的保管等。2安全管理的實現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)解決數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范。具體工作是：

①根據(jù)工作的重要限度，擬定該系統(tǒng)的安全等級。

②根據(jù)擬定的安全等級，擬定安全管理的范圍。

③制訂相應(yīng)的機房出入管理制度：對于安全等級規(guī)定較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域。出入管理可采用證件辨認或安裝自動辨認登記系統(tǒng)，采用磁卡、身份卡等手段，對人員進行辨認、登記管理。

④制訂嚴格的操作規(guī)程：操作規(guī)程要根據(jù)職責(zé)分離和多人負責(zé)的原則，各負其責(zé)，不能超越自己的管轄范圍。

⑤制訂完備的系統(tǒng)維護制度：對系統(tǒng)進行維護時，應(yīng)采用數(shù)據(jù)保護措施，如數(shù)據(jù)備份等。維護時要一方面經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障的因素、維護內(nèi)容和維護前后的情況要具體記錄。

⑥制訂應(yīng)急措施：要制訂系統(tǒng)在緊急情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。2.3河北省交通廳網(wǎng)絡(luò)規(guī)劃根據(jù)河北省交通廳實際應(yīng)用及分析，我們認為整個網(wǎng)絡(luò)采用1000M光纖骨干、100M到桌面以太網(wǎng)互換技術(shù)做為網(wǎng)絡(luò)的核心技術(shù)、采用先進防火墻設(shè)備、內(nèi)網(wǎng)和外網(wǎng)物理分隔等手段保證整個網(wǎng)絡(luò)的安全有效地工作。信息中心廣域連接采用CISCO3662路由器。提供局域網(wǎng)到Internet的連接。在信息中心放置一臺CISCO公司的Catalyst6506互換機作為中心互換機。提供整個網(wǎng)絡(luò)的核心信息互換功能，2樓與4樓的設(shè)備間里各放置兩臺CISCO3550互換機做堆疊后連至中心的Catalyst6506，作為接入層互換機，為用戶提供到桌面的連接。為防止非法入侵及黑客襲擊，在路由器與中心互換機間放置一臺世界領(lǐng)先的CISCOPIX525防火墻，為網(wǎng)絡(luò)客戶提供安全性、可靠性。用戶的數(shù)據(jù)資料相稱重要，服務(wù)器應(yīng)能7X24小時的工作，因此，我們選擇IBMX255服務(wù)器，作為用戶文獻服務(wù)器、DHCP和主域控制器。河北省交通廳網(wǎng)絡(luò)系統(tǒng)工程整體的網(wǎng)絡(luò)結(jié)構(gòu)如圖2.1所示，在下面的各章節(jié)中，我們將對網(wǎng)絡(luò)各部分的設(shè)計方案作以具體的介紹。圖2.1國家文物局廣域網(wǎng)整體網(wǎng)絡(luò)結(jié)構(gòu)圖2.4網(wǎng)絡(luò)設(shè)備選型分析根據(jù)網(wǎng)絡(luò)系統(tǒng)建設(shè)的原則，從安全可靠、高性能的角度考慮我們推薦使用世界著名的網(wǎng)絡(luò)產(chǎn)品－CISCO產(chǎn)品系列。網(wǎng)絡(luò)廠商介紹美國Cisco系統(tǒng)公司是世界上領(lǐng)先地位的網(wǎng)間網(wǎng)互聯(lián)技術(shù)和產(chǎn)品（涉及多協(xié)議路由器、ATM互換機、局域網(wǎng)互換機、訪問服務(wù)器、網(wǎng)間網(wǎng)管理軟件）的供應(yīng)商。Cisco系統(tǒng)公司在向市場提供產(chǎn)品的近十個年頭里，一直掌握網(wǎng)際互聯(lián)系統(tǒng)全球市場的50%以上。迄今為止，Cisco系統(tǒng)公司已為世界上40個國家的25，000多個用戶安裝了超過300,000臺網(wǎng)際網(wǎng)互聯(lián)設(shè)備。上述眾多用戶構(gòu)成了廣泛的縱向市場范圍，涉及電信業(yè)、金融業(yè)、服務(wù)業(yè)、工業(yè)、零售業(yè)、政府部門及教育機構(gòu)等市場部分。Cisco系統(tǒng)公司是S&P500家之一，亦是”幸?！?00家之一。根據(jù)權(quán)威的市場研究公司Dataquest的最新調(diào)查結(jié)果，Cisco公司在97財年名列世界十大電信公司之一，成為全球最快的電信產(chǎn)品供應(yīng)商。2.4.1主干路由器選型由于主干路由器是整個網(wǎng)絡(luò)的出口，所有進出數(shù)據(jù)都匯聚到這里，因此需要中心點具有較高的解決性能、可靠性和冗余度。同時，考慮到網(wǎng)絡(luò)中心點此后的擴展能力，在中心點我們配置了一臺高性能的Cisco3662路由器作為核心路由器。產(chǎn)品簡介Cisco3662路由器是Cisco3660系列中最具代表性的。Cisco3660系列平臺在非常成功的Cisco2600和3600系列產(chǎn)品的基礎(chǔ)上，在密度、性能、穩(wěn)固性和可服務(wù)性等方面進行了大量改善，使其可作為客戶設(shè)備（CPE）用于大型分支機構(gòu)應(yīng)用或完畢電話服務(wù)。Cisco3600的通用性保證了它遠全滿足目前分支機構(gòu)和公司對數(shù)據(jù)、話音、視頻和混合撥號訪問應(yīng)用的需求，為多服務(wù)應(yīng)用不斷增長的帶寬需求提供了必要的高速連接。Cisco3660系列平臺的主板上集成了10/100自適應(yīng)以太網(wǎng)端口，釋放了所有6個網(wǎng)絡(luò)模塊插槽，從而可以支持更高密度的LAN/WAN或多服務(wù)集合。此外，主板上的2個高級集成模塊（AIM）插槽可以支持更強的解決能力。Cisco3660系列產(chǎn)品插槽多的優(yōu)勢和新網(wǎng)絡(luò)模塊的增強性能結(jié)合在一起，可以支持新的商業(yè)應(yīng)用，如更高密度的分組話音集合和分支機構(gòu)異步傳輸模式（ATM）訪問，后者的范圍可以從T1/E1ATM反向多路復(fù)用技術(shù)（IMA）一直到OC-3接口。Cisco3660系列產(chǎn)品到目前為止已有70多個不同的接口可供使用，為客戶特定應(yīng)用提供了大量的配置選項，從而具有了空前的通用性、無可匹敵的性能和廣泛的靈活性。Cisco3660系列產(chǎn)品可以與Cisco1600，1700，2600和3600系列多服務(wù)平臺共享模塊接口，因而保護了客戶投資，減少了與備件有關(guān)的運營成本，并簡化了培訓(xùn)過程。Cisco3660系列產(chǎn)品模塊化機箱的設(shè)計充足考慮到了高可用性和可服務(wù)性，使其成為網(wǎng)絡(luò)中一個非常堅實又高效經(jīng)濟的單元，關(guān)鍵任務(wù)應(yīng)用可以放心地配置在這樣的網(wǎng)絡(luò)中。Cisco3660系列產(chǎn)品的獨到之處還涉及綜合的電源冗余選項和模塊熱互換能力，它們?yōu)殛P(guān)鍵功能提供了更高的產(chǎn)品可用性。Cisco3660系列產(chǎn)品可按照一些不同的配置訂購?；鞠到y(tǒng)由以下部分組成：1或2個集成10/100端口6個用來支持網(wǎng)絡(luò)模塊的擴展槽2個用于硬件加速和提高解決能力的高級集成模塊（AIM）插槽支持冗余交流或直流電源的機箱1個輔助端口1個控制臺端口2個用于備份軟件和配置的PCMCIA卡插槽Cisco3660系列產(chǎn)品提供了同類網(wǎng)絡(luò)模塊以及冗余電源的熱互換能力，從而保證了產(chǎn)品的高可用性。后部接入分布線使連接更為容易，模塊化設(shè)計使現(xiàn)場可更換單元（FRU）的維修更加方便。通過使用CiscoWorks、CiscoView和CiscoViewStack管理接口應(yīng)用程序，Cisco3660系列產(chǎn)品的網(wǎng)絡(luò)管理能力更加強大。上述這些應(yīng)用程序早已被用于管理現(xiàn)有網(wǎng)絡(luò)系統(tǒng)中安裝的大量Cisco產(chǎn)品，因此，這為網(wǎng)絡(luò)技術(shù)支持人員提供了較為熟悉的網(wǎng)絡(luò)管理環(huán)境。Cisco3660系列產(chǎn)品的一個重要優(yōu)點是它運營CiscoIOS軟件，該操作系統(tǒng)在世界各地大部分的Internet骨干設(shè)備都得到了應(yīng)用。安裝使用Cisco3660的客戶立即可以擁有CiscoIOS的豐富功能，它支持大量的應(yīng)用程序，可以滿足客戶日益增長的業(yè)務(wù)需要。重要功能和優(yōu)點Cisco3660系列產(chǎn)品的重要功能和優(yōu)點涉及：密度和性能－－Cisco3660系列多服務(wù)平臺配置了集成端口以及6個擴展槽，可以支持新的業(yè)務(wù)應(yīng)用，如更高密度的分組話音集合和使用T1/E1IMA或OC-3接口的分支機構(gòu)ATM訪問。Cisco3660系列產(chǎn)品增長了70％以上的解決能力，并且在很多配置中，在更加緊湊的機箱中，配置密度比Cisco3640提高了一倍。

表1:

Cisco3660和Cisco3640的密度對比

功能Cisco3660Cisco3640模擬話音端口24個12個數(shù)字話音端口E1360個

T1288個E1或T1120個內(nèi)置數(shù)字Modem端口120個60個內(nèi)置模擬Modem端口96個48個異步端口/外部Modem端口192個96個同步端口48個24個高可用性設(shè)計－－Cisco3660系列產(chǎn)品的冗余交流和直流電源選項為關(guān)鍵任務(wù)應(yīng)用提供了一個堅實的平臺。此外，同類網(wǎng)絡(luò)模塊（NM）的熱互換和電源供應(yīng)使高可用性環(huán)境的正常工作時間更長。數(shù)據(jù)、話音、視頻和混合撥號訪問的集成－－Cisco3660系列產(chǎn)品使用戶可以支持最多種類的應(yīng)用，涉及在單一平臺上實現(xiàn)數(shù)據(jù)、話音、視頻和混合撥號訪問的集成。單一平臺上用程序的集合通過簡化分支機構(gòu)網(wǎng)絡(luò)環(huán)境的配置、備份、支持、管理，提高了系統(tǒng)運營效率，減少了網(wǎng)絡(luò)成本。目前可用于這些插槽的模塊接口有70多個，從而具有了無與倫比的通用性。保護投資－－Cisco3660系列產(chǎn)品可以與Cisco1600，1700，2600和3600系列平臺共享模塊接口，這樣簡化了對網(wǎng)絡(luò)支持的規(guī)定，促進了規(guī)模經(jīng)濟，最大限度地減少了培訓(xùn)成本，為滿足現(xiàn)在和將來小型、中型和大型分支機構(gòu)的需要提供了用戶特定的各種選項。除此之外，Cisco3600系列產(chǎn)品支持模塊組件現(xiàn)場升級的能力使客戶不必通過遠程分支機構(gòu)解決方案的全面升級，就可以很容易地改就網(wǎng)絡(luò)接口和其它組件。減少擁有成本－－通過將內(nèi)置數(shù)據(jù)服務(wù)設(shè)備/信道服務(wù)設(shè)備（CSU/DSU）、綜合業(yè)務(wù)數(shù)字網(wǎng)（ISDN）終端（NT1）設(shè)備、以及分支機構(gòu)布線室內(nèi)其它設(shè)備的功能集成在一起，Cisco3660系列產(chǎn)品提供了一個節(jié)省空間和成本的解決方案，并且該解決方案還可以使用CiscoWorks和CiscoView這樣的網(wǎng)絡(luò)管理軟件進行遠程管理。其它功能和優(yōu)點通用性可以提供大量LAN、WAN接口的模塊化結(jié)構(gòu)使針對個別需要的客戶化工作非常容易，它所具有靈活性使您可以根據(jù)業(yè)務(wù)的成長逐步地添加模塊化接口。接口饋送和速率的范圍可以從異步300bps一直到ATMOC-3，可以連接IP、ATM、幀中繼以及TDM網(wǎng)絡(luò)，滿足任何大型公司分支機構(gòu)辦公環(huán)境的需要。對這些接口的全面描述請參見表2。便于高密度數(shù)字話音接口與附加功能的整合，提供了一個非常節(jié)約成本的解決方案。例如，一個典型的分支機構(gòu)也許使用Cisco3660系列產(chǎn)品進行以下整合：

－與一個分支機構(gòu)和小互換機（PBX）或公共互換電話網(wǎng)（PSTN）連接的2個數(shù)字話T1或E1

-連接到地區(qū)辦公機構(gòu)的8倍速T1/E1ATMIMA干線

-30個用于撥號訪問服務(wù)數(shù)字調(diào)制解調(diào)器

-連接傳統(tǒng)設(shè)備的串行線機箱是專為電信公司和公司/CPE環(huán)境布而設(shè)計。下表具體描述了哪一種機箱合用于哪一種環(huán)境。

表2:

Cisco3660系列產(chǎn)品機箱對比表

特性電信公司公司機箱型號3662-AC-CO3661-AC,3661-DC

3662-DC-CO3662-AC,3662-DC快閃存儲器16MB8MBSDRAM32MB32MB標(biāo)準(zhǔn)一致性符合NebsLevel3和ETSI不符合NebsLevel3或ETSI外形尺寸深度12英寸（300mm），滿足電信公司環(huán)境的規(guī)定深度超過12英寸（300mm），不滿足電信公司環(huán)境的規(guī)定軟件僅支持圖象的Telco或TelcoPlus軟件。與Telco一起供貨。Telco基本上是帶有Telco功能的IP，TelcoPlus重要是帶有Telco功能的公司增強軟件典型IOS圖象支持功能與IP一起供貨。塑料擋板出于防火的考慮，不與機與機箱一起供貨箱一起供貨模塊接口卡由Cisco1600，1700，2600，3600系列多服務(wù)平臺共享，減少了維護模塊組件庫存的成本，減少了服務(wù)支持人員的培訓(xùn)成本。所有部件都是現(xiàn)場可升級的，使維護更快、更容易、成本更低。性能高性能RISC結(jié)構(gòu)可以提供最高120Kpps的快速互換能力和最高12Kpps的解決互換能力。支持兩個AIM插槽，可用于硬件加速和增長解決能力，以滿足網(wǎng)絡(luò)擴展后應(yīng)用程序的規(guī)定。支持從ATMT1/E1IMA到OC-3的接口，為分支辦公機構(gòu)到地區(qū)辦公機構(gòu)的連接提供了非常大的靈活性和很高的帶寬，可以滿足未來應(yīng)用的需要?？煽啃匀哂嘟涣骰蛑绷麟娫催x項提供了高可用性環(huán)境需要的連續(xù)行能力。在不中斷其它接口數(shù)據(jù)的流的情況下可進行風(fēng)類網(wǎng)絡(luò)模塊的熱互換?？梢詫C架的所有重要部件進行全面的診斷和錯誤報告，這些部件涉及電源、主板、底板和風(fēng)扇雙列快閃存儲器可以將CiscoIOS備份的快閃存儲器上，減少了宕機時間LED狀態(tài)指示器使您對接口活動狀態(tài)、系統(tǒng)狀態(tài)、單個電源狀態(tài)一覽無余平臺可管理性支持CiscoWorks、CiscoWorks2023和CiscoView，簡化了Cisco3660系列所有集成部件的管理，實現(xiàn)了網(wǎng)絡(luò)中的Cisco設(shè)備的一致性網(wǎng)絡(luò)管理。增強了設(shè)立功能，在整個配置過程中進行前后關(guān)聯(lián)式的提問，對用戶進行引導(dǎo)，使安裝速度更快。自動安裝功能可以通過WAN連接對遠程單元進行自動配置，節(jié)省了將技術(shù)人員派往遠程地點的費用。支持Cisco發(fā)現(xiàn)協(xié)議（CDP），使CiscoWorks網(wǎng)絡(luò)工作站可以自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲間中的Cisco3660系列產(chǎn)品。高度可服務(wù)的設(shè)計所有的網(wǎng)絡(luò)接口都安裝在各個單元的后面，簡化了安裝和線纜管理。獨特的模塊化設(shè)計具有易于打開和現(xiàn)場可更換的特性，可以快速且容易地進行安裝升級、現(xiàn)場更換和提供對大量系統(tǒng)組件的服務(wù)CiscoIOS軟件CiscoIOS的全面支持使客戶可以跨多種應(yīng)用配置多種功能，涉及：話音信令－－CiscoIOS提供了一組強大的信令發(fā)送功能，能廣泛于分組電話應(yīng)用外部互換站（FXS）、配有Wink、立即和延遲啟動的外部互換室（FXO）、帶有基本或環(huán)路啟動的E&M、目前提供的基本速率接口（BRI）信令是一種變種，ISDN初級速率接口（PRI）和其它公用信道信令變種已在規(guī)劃之中。WAN優(yōu)化－－支持視需撥號路由選擇（DDR）和撥號備份，以及協(xié)議欺騙和瞬象路由選擇，可以減少不必要的WAN流量。除此之外，ATM、幀中繼、專線和撥號網(wǎng)絡(luò)上應(yīng)用的數(shù)據(jù)壓縮可以進一步地減少WAN成本，增長有效帶寬。服務(wù)質(zhì)量（QOS）－－資源預(yù)定協(xié)議（RSVP）、協(xié)議獨立多點傳送（PIM）、一般傳輸整形、承諾訪問速度（CAR）、常規(guī)和優(yōu)先排隊、加權(quán)公平排隊（WFQ）等功能可以保證新應(yīng)用的服務(wù)質(zhì)量（QOS），如通過WAN進行的電話會議。撥號訪問－－支持所有訪問協(xié)議集，涉及：點對點協(xié)議（PPP）、多鏈路PPP（MLPPP）、集成模擬和數(shù)字調(diào)制解調(diào)器、56Kbps/V.90、撥出和傳真輸出、基本速率接口（RBI）調(diào)制解調(diào)器、信道關(guān)聯(lián)信令（CAS）。安全性－－支持CiscoIOS軟件防火墻功能集、符合數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）的IPDEC、3DES數(shù)據(jù)加密、隧道傳輸、擴展訪問列表、違規(guī)記錄、遠程訪問撥入用戶服務(wù)（RADIUS）、KerberosV以及涉及身份鑒定、授權(quán)和帳目清算（AAA）三項內(nèi)容的的TACACS+。使用AIM插槽的硬件加密在不遠的將來將投入使用。支持Cisco支持解決方案的設(shè)計只有一個目的，即讓客戶可以迅速地得到適當(dāng)?shù)馁Y源。Cisco的支持網(wǎng)絡(luò)由技術(shù)援助中心（TAC）工程師、開發(fā)工程師、現(xiàn)場工程師、備件倉庫、配送服務(wù)和服務(wù)供應(yīng)商組成。通過將Cisco支持作為Cisco設(shè)備采購內(nèi)容的一部分，客戶立刻可以獲得大量的支持資源?？偨Y(jié)新的網(wǎng)絡(luò)改變了公司網(wǎng)絡(luò)的前景。Cisco3660系列產(chǎn)品提供了一個多服務(wù)平臺，為滿足客戶網(wǎng)絡(luò)的需求提供了更高的密度、更強的性能、更大的擴展能力，從而保護了客戶的投資。具有電源冗余選項和網(wǎng)絡(luò)模塊熱互換功能的Cisco3660系列是為高可用性環(huán)境而設(shè)計，它為集成所有分支機構(gòu)的網(wǎng)絡(luò)規(guī)定提供了一個單一的平臺。此外，Cisco3660系列可以與Cisco1600、1700、2600和3600系列多服務(wù)平臺共享現(xiàn)有的接口卡，這保證了客戶可以進一步運用其在硬件和培訓(xùn)上的已有投資，減少了總體成本。強大的話音、視頻、撥號訪問和數(shù)據(jù)網(wǎng)絡(luò)功能使Cisco3660在大型分支機構(gòu)和CPE環(huán)境領(lǐng)域成為業(yè)界最靈活、最優(yōu)秀的多服務(wù)解決方案之一。技術(shù)規(guī)范

表3:

系統(tǒng)規(guī)范

Cisco3660系列解決器類型225MHzRISCQEDRM5271快閃存儲器8MB，可升級至64MB系統(tǒng)內(nèi)存32MBSDRAM?？缮壷?28或256MBSDRAM網(wǎng)絡(luò)模塊插槽6個插槽高級集成模塊（AIM）插槽2個插槽板上LAN端口1或2個自適應(yīng)10/100Mbps以太網(wǎng)端口電源雙直流、雙交流或單直流、單交流配置的250W電源體積8.7×17.5×11.8英寸（221×445×300毫米）性能100到120Kpps快速互換和10到12Kpps解決互換控制臺和輔助端口（最快11.5kbps）支持機架安裝支持，19英寸長，中心安裝雙TypeIIPCMCIA卡插槽支持

表6:

技術(shù)規(guī)范

項目規(guī)格尺寸8.7×17.5×11.8英寸（221×445×300毫米）重量32英鎊（14.55公斤）（最?。?3英鎊（19.55公斤）（最大）電源規(guī)定輸出每個電源最大提供250W交流輸入電壓100-240V頻率50-60Hz交流輸入電流100V，4A或200V，2A直流輸入電壓-38V到-75V直流輸入電流-48V,8A環(huán)境指標(biāo)工作溫度32°-104℉（0°-40℃）非工作溫度-13°-158℉（-25°-70℃）相對濕度5-95％噪音電平（最大）48dbA規(guī)范的一致性Cisco3660系列遵循大量不同的安全性、EMI、抗擾性和網(wǎng)絡(luò)擬定標(biāo)準(zhǔn)。2.4.2主干互換機選型在信息中心主互換機起到了至關(guān)重要的作用，它擔(dān)負了最大的數(shù)據(jù)流量（內(nèi)部和外部的信息互動）和整個網(wǎng)絡(luò)的路由互換的功能，因此它具有足夠的帶寬和路由功能?；谝陨峡紤]，在本方案中我們建議選用Cisco公司的Catalyst6500互換機系列中的Catalyst6506作為中心互換機。Catalyst6000系列互換機概覽由Catalyst6500系列和Catalyst6000系列產(chǎn)品組成的Catalyst6000家族為公司網(wǎng)絡(luò)和服務(wù)供應(yīng)商網(wǎng)絡(luò)提供了一系列高性能多層互換解決方案。Catalyst6000家族是專為滿足對千兆位密度、數(shù)據(jù)和語音集成、LAN/WAN/MAN集中、可擴展性、高可用性、以及主干/分布、服務(wù)器整合和服務(wù)供應(yīng)商環(huán)境中智能多層互換的不端增長的需求而設(shè)計的，是Catalyst4000和5000系列以及Cisco8500系列互換機的補充和完善，這些產(chǎn)品將繼續(xù)提供相應(yīng)的重要配線柜和ATM網(wǎng)絡(luò)核心解決方案。這些Cisco家族產(chǎn)品共同提供了廣泛的智能互換解決方案，使公司內(nèi)部網(wǎng)和Internet可以支持多媒體、關(guān)鍵任務(wù)數(shù)據(jù)和語音應(yīng)用。Catalyst6000家族提供了杰出的可擴展性和性能/價格比，可以支持廣泛的接口密度、性能以及高可用性選項。作為Cisco內(nèi)容組網(wǎng)體系結(jié)構(gòu)的一個關(guān)鍵組成部分，Catalyst6000家族提供了前所未有的商業(yè)靈活性，使公司可以快速部署新的Internet應(yīng)用并因而提高自己的收入和減少運營成本。當(dāng)與應(yīng)用智能、服務(wù)質(zhì)量（QoS）機制和安全性功能結(jié)合在一起時，客戶將可以在不犧牲網(wǎng)絡(luò)性能的情況下更有效地使用自己的網(wǎng)絡(luò)提供更多的客戶機服務(wù)，如組播和公司資源規(guī)劃（ERP）應(yīng)用。Cisco內(nèi)容組網(wǎng)通過提供Internet商業(yè)應(yīng)用（這些應(yīng)用的例子涉及電子商務(wù)、供應(yīng)鏈管理以及勞動力優(yōu)化）發(fā)明了一個Internet商業(yè)生態(tài)系統(tǒng)，這一系統(tǒng)使公司和自己的客戶、供應(yīng)商和商業(yè)合作伙伴更加緊密地結(jié)合在一起。通過CiscoAssure，運用象特殊用戶、IP地址或應(yīng)用程序這樣的Layer2、3、4信息，將可以以端對端的形式應(yīng)用網(wǎng)絡(luò)策略。重要優(yōu)點可擴展的互換性能Catalyst6000家族由Catalyst6000系列和Catalyst6500系列組成。Catalyst6500系列體系結(jié)構(gòu)所支持的可擴展的互換帶寬最高可以達成256Gbps和210Mpps。對于不規(guī)定Catalyst6500系列的性能的客戶，Catalyst6000系列提供了一個費效比更優(yōu)的解決方案，可以將主干帶寬提高到32Gbps，將多層互換性能提高到15Mpps。為實現(xiàn)投資保護，所有的互換機（豎直和水平插槽機箱）都支持相同的監(jiān)管器、接口板卡以及公共設(shè)備，提供了廣泛的性價比選擇。使用交叉互換網(wǎng)體系結(jié)構(gòu)的Cisco6500系列可以將自己的互換帶寬提高到256Gbps。通過支持以成熟的Cisco快速轉(zhuǎn)發(fā)（CEF）體系結(jié)構(gòu)為基礎(chǔ)的基于硬件的轉(zhuǎn)發(fā)功能，這一平臺提供了優(yōu)異的控制面板可擴展性，為電子商務(wù)和Cisco內(nèi)容交付網(wǎng)絡(luò)提供了智能互換體系結(jié)構(gòu)。通過度布式轉(zhuǎn)發(fā)，轉(zhuǎn)發(fā)信息被分發(fā)到智能板卡，這一方式進一步增強了平臺的性能并提供了無與倫比的系統(tǒng)性能和可擴展性級別?？蓴U展的端口密度Catalyst6000家族由Catalyst6000系列（圖1）和Catalyst6500系列（圖2）組成。Catalyst6000和Catalyst6500系列都可以使用6插槽機箱和9插槽機箱。此外，Catalyst6000系列還可以支持一種使用9個豎直插槽的機箱（WS-C6509-NEB）以及一種13插槽的機箱，提供了廣泛的配置選項和性價比選項。9插槽豎直機箱是為符合網(wǎng)絡(luò)設(shè)備創(chuàng)建系統(tǒng)（NEBS）Level3而設(shè)計的，具有前后對流功能，非常適宜用于服務(wù)供應(yīng)商環(huán)境。它也合用于那些將前后對流作為首選的公司客戶環(huán)境。13插槽機箱是是最新加入到機箱系列之中的成員，非常適宜用于在網(wǎng)絡(luò)的各個組成部分實現(xiàn)高性能、高端口密度的快速以太網(wǎng)和千兆位以太網(wǎng)集中，涉及訪問層、分發(fā)層、主干層以及服務(wù)器組和數(shù)據(jù)中心環(huán)境。13插槽機箱中最多可以有12個可用有效載荷插槽，提供了行業(yè)領(lǐng)先的10/100和千兆位以太網(wǎng)端口密度，同時提供了無與倫比的網(wǎng)絡(luò)彈性水平。Catalyst6000和6500系列互換機都支持廣泛的接口類型和密度，涉及最高可以支持576個10/100以太網(wǎng)端口、288個100BASE-FX快速以太網(wǎng)端口以及194個千兆位以太網(wǎng)端口-這些數(shù)字在行業(yè)內(nèi)是最高的。客戶還可以使用快速以太通道或千兆位以太通道技術(shù)集中最多8個物理快速以太網(wǎng)或千兆位以太網(wǎng)鏈路，使邏輯連接容量最高可以達成16Gbps。Catalyst6000系列提供了行業(yè)領(lǐng)先的千兆位以太網(wǎng)互換解決方案，可以滿足當(dāng)今規(guī)定最高的和快速增長的公司和服務(wù)供應(yīng)商網(wǎng)絡(luò)的規(guī)定。LAN/WAN/MAN集中Catalyst6000家族使用FlexWAN模塊通過一個單一多層互換平臺提供了無縫的IAN/WAN/MAN集中。通過Cisco7200/7500系列提供的成熟的端口適配器技術(shù)，可以支持多種不同的WAN接口，涉及T1/E1、T3/E3、OC-3ATM以及SONET分組（POS）功能。每一FlexWAN模塊最多可以接受2個Cisco7200/7500系列WAN端口適配器，提供了分布式、以線速度轉(zhuǎn)發(fā)和智能化的網(wǎng)絡(luò)