1、目 錄第一章 概述當(dāng)今信息時代，科技迅猛發(fā)展，知識更新越來越快，隨著技術(shù)的進步和經(jīng)濟的發(fā)展，人類社會總是在不斷地發(fā)生著巨大的變化。我們正邁向一個嶄新的信息時代。為了適應(yīng)形勢的發(fā)展和工作業(yè)務(wù)的需要，我國的各行各業(yè)都在積極地籌建或擴建各類信息網(wǎng)絡(luò)系統(tǒng)，這標(biāo)志著我國的信息化社會建設(shè)步入了一個新的時期和起點。這也是社會的發(fā)展對各行各業(yè)提出的新的要求和挑戰(zhàn)。企業(yè)為適應(yīng)新的業(yè)務(wù)發(fā)展需要，結(jié)合辦公樓圖紙，旨在實現(xiàn)辦公樓信息管理系統(tǒng)現(xiàn)代化；網(wǎng)絡(luò)化；綜合性和多功能。1）需求分析：目前辦公樓信息點由1層6層組成。目前的建網(wǎng)要求為： 1、 網(wǎng)絡(luò)節(jié)點數(shù)約為440個。2、 立安全、可靠、高效、穩(wěn)定的計算機網(wǎng)絡(luò)系統(tǒng)。3、

2、 建立系統(tǒng)內(nèi)部的INTRANET，以B/S方式實現(xiàn)信 息的發(fā)布、查詢、瀏覽。4、 建立系統(tǒng)內(nèi)部電子郵件系統(tǒng)，實現(xiàn)電子公文的傳遞。5、 為系統(tǒng)內(nèi)有關(guān)計算機提供INTERNET連接，建立互聯(lián)網(wǎng)網(wǎng)站，做為對外窗口之一，宣傳工作。6、 提供教學(xué)、科研信息數(shù)據(jù)庫支持。7、 提供網(wǎng)上辦公。2）網(wǎng)絡(luò)建設(shè)目標(biāo)：充分利用計算機網(wǎng)絡(luò)、INTERNET/INTRANET、多媒體、數(shù)據(jù)庫、數(shù)字通信等先進技術(shù)構(gòu)筑研究院的網(wǎng)絡(luò)平臺，實現(xiàn)繪圖、管理設(shè)計生產(chǎn)的網(wǎng)絡(luò)化；輔助領(lǐng)導(dǎo)掌握企業(yè)發(fā)展進行決策；建立先進的辦公自動化管理系統(tǒng)。采用統(tǒng)一的網(wǎng)絡(luò)協(xié)議和接口標(biāo)準(zhǔn)：選用當(dāng)前流行的TCP/IP協(xié)議。第二章 系統(tǒng)的基本設(shè)計思想和設(shè)計原則組

3、建一個完備的計算機網(wǎng)絡(luò)并非易事。有諸多相關(guān)問題需要考慮。如所建立的網(wǎng)絡(luò)能否滿足當(dāng)前業(yè)務(wù)應(yīng)用需求；是否能滿足今后業(yè)務(wù)增長需要；若新增硬件和軟件是否能方便地接入網(wǎng)絡(luò)；采用什么樣的網(wǎng)絡(luò)結(jié)構(gòu)形式與網(wǎng)絡(luò)技術(shù)；選擇什么樣的硬件服務(wù)平臺和軟件服務(wù)平臺；選擇什么樣的數(shù)據(jù)庫系統(tǒng)才能使網(wǎng)絡(luò)系統(tǒng)運行穩(wěn)定、可靠、安全、易于管理；網(wǎng)絡(luò)建成后的生命周期有多長等等。當(dāng)然還要考慮當(dāng)前的有效投入；如何保護投資效益；盡量節(jié)省開支；如何充分發(fā)揮現(xiàn)有設(shè)備的作用與功能等等諸多方面的問題。總之，正確的系統(tǒng)設(shè)計思想和設(shè)計原則必須來自于對現(xiàn)有組網(wǎng)條件和實際業(yè)務(wù)需求的理智分析和研究。2.1本網(wǎng)絡(luò)設(shè)計的基本思想目標(biāo)A、 以先進的成熟的網(wǎng)絡(luò)應(yīng)用技

4、術(shù)設(shè)計和規(guī)劃省電建一公司網(wǎng)絡(luò)系統(tǒng)； B、 從實際出發(fā)，正確地規(guī)劃和設(shè)計的計算機網(wǎng)絡(luò)。為企業(yè)實現(xiàn)數(shù)據(jù)共享、資源共享，提供穩(wěn)定的信息交換和網(wǎng)絡(luò)系統(tǒng)服務(wù)平臺。2.2計算機網(wǎng)絡(luò)系統(tǒng)的設(shè)計原則為： 選用的網(wǎng)絡(luò)技術(shù)要具有先進性。但也要注意實用成熟和安全可靠。要防止出現(xiàn)網(wǎng)絡(luò)剛剛建成技術(shù)就已落后的情況。同時也要注意防止由于技術(shù)過于先進，國內(nèi)外還沒有人用過或應(yīng)用甚少，使得出現(xiàn)問題難以解決。網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)硬件平臺、軟件平臺、開發(fā)工具、應(yīng)用軟件都應(yīng)選擇具有較長的生命周期，保護用戶的投資效益。1.網(wǎng)絡(luò)安全性由于企業(yè)網(wǎng)的特殊性，網(wǎng)絡(luò)的安全性在本次網(wǎng)絡(luò)建設(shè)中是比較重要的，整個網(wǎng)絡(luò)必須保證萬無一失的安全性，并對各個部門的信

5、息要有嚴(yán)格分離保護的辦法，防止網(wǎng)絡(luò)黑客非法入侵。網(wǎng)絡(luò)系統(tǒng)應(yīng)配備全面的病毒防治和安全保護功能。2.易管理易操作性必須采用智能型網(wǎng)絡(luò)管理系統(tǒng)，保證全網(wǎng)絡(luò)設(shè)備（交換機、路由器）均可用一套統(tǒng)一的網(wǎng)管系統(tǒng)進行管理；網(wǎng)管軟件要求界面為圖形界面；所有站點重新分配網(wǎng)段、虛網(wǎng)的重新配置、所有網(wǎng)絡(luò)設(shè)備的重新配置均可通過網(wǎng)管軟件由網(wǎng)管站實現(xiàn)；網(wǎng)絡(luò)布線的設(shè)計要求便于管理和維護，當(dāng)某條鏈路出現(xiàn)故障時，必須可以在主設(shè)備間或配線間內(nèi)重新配置。3.技術(shù)先進性當(dāng)今世界，通信和計算機技術(shù)的發(fā)展日新月異，我們的方案應(yīng)該適應(yīng)新技術(shù)發(fā)展的潮流，既要保證網(wǎng)絡(luò)的先進性，同時又要確保各項技術(shù)的成熟性。4.標(biāo)準(zhǔn)化計算機管理信息系統(tǒng)就是要實現(xiàn)網(wǎng)

6、絡(luò)及設(shè)備資源的共享，把不同廠商的設(shè)備和計算機軟件進行互連。在一個復(fù)雜的大型網(wǎng)絡(luò)系統(tǒng)里，必然有多個廠商的硬件及軟件，為了保證用戶的計算機網(wǎng)絡(luò)系統(tǒng)具有互操作性、可用性、可靠性、可擴充性、可管理性，需要建立一個開放式、遵循國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)系統(tǒng)。5.可擴展性由于用戶業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)系統(tǒng)必然隨之不斷擴大，為此，目前的網(wǎng)絡(luò)設(shè)計必然為今后的擴充留有足夠的余地，以保護用戶的投資，并且不影響原有用戶的工作。6.可用性由于本網(wǎng)絡(luò)系統(tǒng)對于數(shù)據(jù)的時效性、可靠性要求較高，因此在設(shè)計時應(yīng)重點考慮網(wǎng)絡(luò)及設(shè)備的可用性。我們的方案要充分考慮用戶的費用情況，不但理論上可行，更重要的是實際上可用，最好地適應(yīng)用戶的需要。7.兼容性

7、網(wǎng)絡(luò)結(jié)構(gòu)有良好的兼容性，能夠?qū)崿F(xiàn)與不同類型的子網(wǎng)的無縫連接。8.可靠性為使網(wǎng)絡(luò)可靠地運行，我們方案中要選用高品質(zhì)的產(chǎn)品，把故障率降到最小。9.冗余性在設(shè)計時應(yīng)考慮為網(wǎng)絡(luò)留有適當(dāng)?shù)娜哂喽?，硬件設(shè)備應(yīng)具備一定的冗余模塊，以提高網(wǎng)絡(luò)容錯能力。 10.容錯性設(shè)備容錯性：所選用設(shè)備必須具有全容錯結(jié)構(gòu)，一臺設(shè)備中單個電源、單個風(fēng)扇的故障不影響設(shè)備工作，單個模塊的故障不影響其它模塊的正常工作；設(shè)備應(yīng)具有熱修復(fù)能力，即當(dāng)設(shè)備的某些部件發(fā)生故障時，可以帶電更換而不影響設(shè)備其它部件工作，新更換部件可直接投入工作而不必重新引導(dǎo)整個設(shè)備。網(wǎng)絡(luò)結(jié)構(gòu)容錯：不能因某臺設(shè)備的故障而影響到整個主干網(wǎng)絡(luò)的正常運行；任意一條鏈路的

8、中斷不能使得主干網(wǎng)絡(luò)的任何部分中斷工作。2.3網(wǎng)絡(luò)技術(shù)選型（幾種局域網(wǎng)絡(luò)結(jié)構(gòu)與技術(shù)介紹） 1、交換以太網(wǎng)技術(shù)交換以太網(wǎng)是新近發(fā)展起來的先進網(wǎng)絡(luò)技術(shù)。它在保證與以太網(wǎng)協(xié)議兼容的前提下，提高網(wǎng)絡(luò)利用率，減少網(wǎng)絡(luò)資源爭奪造成的沖突，使網(wǎng)絡(luò)性能大幅度提高，以滿足各類數(shù)據(jù)信息傳輸?shù)囊?。交換以太網(wǎng)從產(chǎn)生發(fā)展到今天在技術(shù)上分為兩種：靜態(tài)交換和動態(tài)交換。靜態(tài)交換：將網(wǎng)絡(luò)劃分為多個網(wǎng)段，網(wǎng)絡(luò)管理員可以通過網(wǎng)管平臺分配各個網(wǎng)段的負(fù)載，即網(wǎng)絡(luò)管理員可以只利用鼠標(biāo)就可將工作站從資源爭奪緊張的網(wǎng)段移到其它沖突較少的網(wǎng)段上。靜態(tài)交換使得網(wǎng)絡(luò)管理員不必到現(xiàn)場接插線路，而是在網(wǎng)管平臺面前輕松地改變網(wǎng)絡(luò)配置，以調(diào)整各網(wǎng)段間的

9、負(fù)載。靜態(tài)交換需要網(wǎng)絡(luò)管理員的監(jiān)測才能進行被動地調(diào)整，而且每個網(wǎng)段上、網(wǎng)段之間的介質(zhì)訪問機制沒有改變，網(wǎng)絡(luò)性能沒有根本地提高。動態(tài)交換：動態(tài)交換是在高速總線上支持多對傳輸?shù)耐瑫r進行。它不需人工干預(yù)實時地將獨占帶寬分配給一對節(jié)點；而其它節(jié)點間也可同時進行數(shù)據(jù)傳輸。動態(tài)交換在總線內(nèi)部改變了以太網(wǎng)的介質(zhì)訪問機制，使得網(wǎng)上的數(shù)據(jù)傳輸以獨占的方式進行，就好象在兩個有數(shù)據(jù)傳輸?shù)墓?jié)點之間有獨立的傳輸電纜一樣，使網(wǎng)絡(luò)效率大大提高。動態(tài)交換分為端口交換和網(wǎng)段交換兩種。端口交換適用于高速節(jié)點如服務(wù)器、多媒體工作站的連接，它連接節(jié)點個數(shù)不多，每個節(jié)點都有很高的傳輸速率；網(wǎng)段交換適用于沒有特別速率要求的工作站網(wǎng)段，交

10、換的高性能體現(xiàn)在網(wǎng)段之間、網(wǎng)段與服務(wù)器之間的數(shù)據(jù)傳輸上。同時，隨著網(wǎng)絡(luò)技術(shù)的不斷進步，動態(tài)交換被不斷加進新的性能，如對虛網(wǎng)的支持和對數(shù)據(jù)優(yōu)先級的支持等。 2、FDDI（光纖分布式數(shù)據(jù)接口技術(shù)） FDDI網(wǎng)絡(luò)技術(shù)是用光纖構(gòu)成的反向旋轉(zhuǎn)的雙環(huán)形拓樸結(jié)構(gòu)，用令牌傳遞的協(xié)議方式傳遞數(shù)據(jù)信息，網(wǎng)上速率達到100Mb/s。由于光纖介質(zhì)具有高的傳輸性能和具有容錯機制，適用于在較長距離（20公里）內(nèi)工作。FDDI協(xié)議使用可變長度的數(shù)據(jù)包傳遞信息。由于較少受傳輸距離限制，所以它特別適用于園區(qū)網(wǎng)絡(luò)或較長距離的局域主干網(wǎng)絡(luò)。但FDDI進一步推廣受到較高的價格的影響，另外目前受到新型的ATM技術(shù)的挑戰(zhàn)。 3、快速以太

11、網(wǎng)（Fast Ethernet）技術(shù)快速以太網(wǎng)具有100Mb/s的數(shù)據(jù)通信速率。由于它與10base-T局域網(wǎng)結(jié)構(gòu)的訪問控制機制和電纜聯(lián)接分布結(jié)構(gòu)相兼容。故而在需要提高局域網(wǎng)通訊速率應(yīng)用的同時，則從技術(shù)上經(jīng)濟上都具有較強的吸引力。目前通常采用10/100的網(wǎng)絡(luò)適配卡來適應(yīng)網(wǎng)絡(luò)傳輸速率10/100的自動轉(zhuǎn)換。100base-T也使用載波偵聽多重訪問/碰撞檢測技術(shù)（CSMA/CD）作為訪問競爭算法。其特點是具有不確定的延時和其通過量依賴于有最少的網(wǎng)絡(luò)碰撞和試圖重發(fā)的有效的信道利用。但當(dāng)遇到頻繁的發(fā)送碰撞和重發(fā)的重負(fù)荷時，其通訊效率將會下降到理論設(shè)計速率50%以下。目前解決這種傳輸速率下降的技術(shù)措施

12、，即向每個節(jié)點提供專用的快速網(wǎng)段，可以減輕采用算法引起的問題。但必須要增加快速以太網(wǎng)交換機各個交換端口的網(wǎng)絡(luò)交換能力。把負(fù)擔(dān)轉(zhuǎn)移給交換機來完成。由于100base-T能夠與10base-T網(wǎng)絡(luò)基礎(chǔ)設(shè)施的反向兼容性，以及在實際應(yīng)用中體現(xiàn)方便性和建網(wǎng)費用較低，因而近期在局域網(wǎng)的設(shè)計規(guī)劃中較為廣泛地被采用。 快速以太網(wǎng)的另一種技術(shù)是100VG-Anylan（IEEE 802.12標(biāo)準(zhǔn)），它使用較為復(fù)雜的令牌傳遞算法。要求用100VG-Anylan適配卡來裝備工作站，并需配備相應(yīng)的驅(qū)動軟件。其工作速率也達到100Mb/s。其通訊協(xié)議采用被稱為按需優(yōu)先級訪問方法（DPAM）。在共享傳輸介質(zhì)的局域網(wǎng)絡(luò)中，

13、傳遞話音或視頻信息等對延時敏感的通訊時，顯示出按需優(yōu)先級訪問算法優(yōu)于載波偵聽多重訪問/碰撞檢測的訪問競爭算法。它能較好地利用帶寬。在線路結(jié)構(gòu)上需要四對線路同時被利用。這種技術(shù)是由HP公司開發(fā)和支持的網(wǎng)絡(luò)技術(shù)。這種按需優(yōu)先級訪問算法是一種新的網(wǎng)絡(luò)協(xié)議，目前應(yīng)用較少，且缺少對其產(chǎn)品的診斷技術(shù)，性能價格比不及100base-T技術(shù)。 快速以太網(wǎng)與傳統(tǒng)的以太網(wǎng)技術(shù)相比，此外它還具備以下優(yōu)點：1. 快速以太網(wǎng)和普通以太網(wǎng)一樣遵循CSMA/CD協(xié)議，現(xiàn)有的10BaseT網(wǎng)絡(luò)設(shè)備可以相當(dāng)簡便地升級到快速以太網(wǎng)，保護用戶原有的投資，與其它新型網(wǎng)絡(luò)技術(shù)相比，更方便地使現(xiàn)有的10Mbps LAN無縫連接到100M

14、bpsLAN上。2. 100BaseT集線器和網(wǎng)絡(luò)接口卡，只需要比10BaseT同樣的設(shè)備多花少量費用就可提供比普通以太網(wǎng)高10倍的性能。因此，100BaseT具備較高的性能價格比。3. 快速以太網(wǎng)(100BaseT)已得到IEEE任命標(biāo)準(zhǔn)為802.3u，并得到了所有的主流網(wǎng)絡(luò)廠商的支持。 4、千兆以太網(wǎng)技術(shù)千兆以太網(wǎng)是相當(dāng)成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標(biāo)準(zhǔn)的擴展。IEEE已批準(zhǔn)千兆位以太網(wǎng)工程IEEE 802E TaskForce。千兆位以太網(wǎng)和已充分建立的以太網(wǎng)與快速以太網(wǎng)的節(jié)點完全匹配。最初的以太網(wǎng)規(guī)范由幀格式定義，且支持CSMD/CD協(xié)議、全雙工、流控制和由IE

15、EE802.3標(biāo)準(zhǔn)定義的管理項目，千兆位以太網(wǎng)將使用所有這些規(guī)范。千兆位以太網(wǎng)使用和管理和快以太網(wǎng)相同，所不同的僅僅是比快速以太網(wǎng)快十倍與當(dāng)前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性，而且和日益增強的服務(wù)器和臺式計算機的功能相匹配。 5、ATM（異步傳輸模式）技術(shù)ATM是一種最新的快包技術(shù)。它采用短的固定長度（53個字節(jié)長度）的數(shù)據(jù)包，作為傳輸和交換信息的單元（稱為信元cel），它適用于多種信息流的混合傳遞。ATM使用光纖作為傳輸介質(zhì)，對于有效負(fù)荷信息在傳輸過程中不作糾錯，所以可以用很高的速率傳輸。目前對于局域網(wǎng)ATM干線的應(yīng)用，由配備的ATM接口卡的工作速率決定。一般使用155Mb/s，不久將會

16、提高到622Mb/s。ATM除了具有高速傳輸性能以外，對同長度的短的信元傳輸，便于預(yù)測。對話音和視頻等延時敏感的動態(tài)信息，便于作傳輸?shù)膬?yōu)先級調(diào)度。因此，ATM特別適用于需要多媒體信息的傳輸。目前ATM的價格較高，且ATM的技術(shù)標(biāo)準(zhǔn)仍需進一步統(tǒng)一和完善，但ATM是一種面向連接的技術(shù)，具有非常大的潛在優(yōu)勢。到目前為止，ATM是唯一的一種能夠真正提供業(yè)務(wù)質(zhì)量的網(wǎng)絡(luò)技術(shù)。適用傳輸混合數(shù)據(jù)，視頻和話音信息，具有能直接為桌面系統(tǒng)提供獨占帶寬等突出優(yōu)點。第三章 系統(tǒng)設(shè)計綜合幾種網(wǎng)絡(luò)結(jié)構(gòu)與技術(shù)，根據(jù)省電建一公司網(wǎng)絡(luò)功能需求的具體情況。我們目前建議選用千兆交換以太網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)結(jié)構(gòu)，其網(wǎng)絡(luò)主交換設(shè)備選擇具有10

17、00Mb/s交換能力的千兆網(wǎng)絡(luò)交換機，在所有主干端口同時提供暢通無阻的1000MBPS端口交換能力。為了減少信息傳輸和交換過程中的通道擁擠現(xiàn)象和碰撞問題，在分交換機的選擇上，建議選擇具有支持VLAN劃分的網(wǎng)絡(luò)交換機。品牌和性能盡可能和主交換機相一致，以便于維護，便于統(tǒng)一。3.1層次化網(wǎng)絡(luò)結(jié)構(gòu)(Network Structrue)模型設(shè)計根據(jù)以往的經(jīng)驗，我們?nèi)杂孟率鰧哟谓Y(jié)構(gòu)建立計算機網(wǎng)絡(luò)平臺的概念模型： 核心層Core核心層應(yīng)該是一個高速的交換骨干網(wǎng)，其設(shè)計的首要目標(biāo)是追求高速，其次才考慮那些系統(tǒng)開銷較大的功能，如訪問表、過濾器等。 分支層Distribution分支層是核心層的邊界，它將影響核

18、心層高速的因素局限在一個較小的范圍，處理工作組訪問，定義廣播/組播域，劃分虛擬網(wǎng)等。 訪問層Access最終用戶的網(wǎng)路接入點。它可以共享、獨享或交換帶寬的方式為用戶提供入網(wǎng)的接口。該模型將省電建一公司辦公樓絡(luò)系統(tǒng)平臺分為三個層次：主干(Core)層: 主干層提供局域網(wǎng)的高速主干通信傳輸服務(wù)；我們根據(jù)省電建一公司辦公樓系統(tǒng)結(jié)構(gòu)拓?fù)鋱D和信息點的分布，建議把數(shù)據(jù)信息中心作為網(wǎng)絡(luò)主干層。在網(wǎng)絡(luò)主干層中建議采用成熟的千兆技術(shù)，為保證網(wǎng)絡(luò)的先進性和保護用戶的投資，在選擇交換機時，使用支持千兆技術(shù)和Ethernet Channel技術(shù)的交換機，在將來數(shù)據(jù)量較大的情況下，可以平滑過度到N*1000M。支干(D

19、istribution)層：支干層提供各個樓之中的各個LANs之間的網(wǎng)絡(luò)連接策略和服務(wù)；根據(jù)省電建一公司辦公樓系統(tǒng)結(jié)構(gòu)拓?fù)鋱D和信息點的分布，建議通過多模光纖接入系統(tǒng)數(shù)據(jù)中心。該接入具有較高實時性、安全性。在連接過程中，建議使用數(shù)據(jù)加密技術(shù)和TCP包頭壓縮技術(shù)，提高數(shù)據(jù)傳輸?shù)陌踩院托省?.2網(wǎng)絡(luò)拓?fù)?Topology)結(jié)構(gòu)設(shè)計3.2.1網(wǎng)絡(luò)拓?fù)?Topology)設(shè)計網(wǎng)絡(luò)常見拓?fù)溥壿媗 Scaled Switching這種方式不用路由器，僅提供交換功能，適合較小的網(wǎng)路。其安裝調(diào)試容易，近于“plug and play”，沒有結(jié)構(gòu)化地址的概念，整個網(wǎng)路是一個廣播域，通過劃分VLAN可以限制廣播

20、的范圍，但VLAN間的通信如果沒有路由器是不能實現(xiàn)的。網(wǎng)路的擴充能力差。 l Scaled Routing/Switching這種方式在核心層采用路由器，分支層采用交換機，適合于局域網(wǎng)通過廣域互聯(lián)的要求。l Route Server/Centralized Routing這種方式可以在訪問層采用交換局域網(wǎng)，在分支層采用交換局域網(wǎng)或ATM，F(xiàn)DDI、100Base-T和ATM是常見的技術(shù)。而在分支層采用ATM時，局域網(wǎng)仿真（LANE）又是目前必用的技術(shù)。l Distributed Routing這種方式在訪問層采用交換局域網(wǎng)技術(shù)，在分支層采用路由技術(shù)，在核心層采用高速交換技術(shù)。這種方式目前由于技

21、術(shù)原因，在工程上還不多見。3.2.2網(wǎng)絡(luò)設(shè)計技術(shù)要點l 減少時延本工程是要解決各個內(nèi)部的局域網(wǎng)建設(shè)問題，其目的是要設(shè)計一個高速的交換局域網(wǎng)。從理論上將，數(shù)據(jù)包穿過路由器的時延要比穿過交換機的時延大得多，這是因為一個數(shù)據(jù)包穿過路由器時，路由器要對此數(shù)據(jù)包作第三層的處理，而數(shù)據(jù)包穿過交換機時，僅需第二層處理。故在設(shè)計本方案時，應(yīng)盡量減少路由模塊，采用Router Server/Centralized Routing技術(shù)方案為宜。l 支持VLAN有人說過，“網(wǎng)路交換技術(shù)的靈魂是VLAN”，因為VLAN能帶來諸如廣播控制、網(wǎng)路安全、性能提高、管理容易等優(yōu)點。VLAN劃分的技術(shù)通常有如下三種方式：l P

22、ort Basis: 交換機或路由器的一個或多個端口劃分在一個VLAN之中。這種技術(shù)又稱為Segment_based VLAN。l Network Address Basis: 這種方式是以網(wǎng)絡(luò)層的地址為劃分VLAN的基礎(chǔ)，由此可用不同的網(wǎng)路協(xié)議劃分不同的VLAN。l User_Defined Basis: 這種方式更靈活，既可按網(wǎng)路協(xié)議劃分VLAN，又可按MAC地址劃分VLAN。目前，第一種（Port Basis）方式CAJUN、CISCO、3COM、BAY都支持，第三種方式MADGE支持。l 支持多媒體應(yīng)用點對點的應(yīng)用除了對帶寬的要求外，已不存在多大的問題，而一點對多點的應(yīng)用則需要多加考慮

23、。網(wǎng)路設(shè)計和選型時應(yīng)考慮設(shè)備應(yīng)支持將交換機第二層的廣播地址和第三層的D類IP廣播地址建立映照關(guān)系的協(xié)議，以支持多媒體應(yīng)用環(huán)境下的組播應(yīng)用。Cisco采用CGMP協(xié)議來實現(xiàn)多媒體組播應(yīng)用。l 負(fù)載均衡與LAN相比，廣域網(wǎng)帶寬遠(yuǎn)小于LAN，為了充分有效地利用廣域網(wǎng)和局域網(wǎng)的帶寬，讓數(shù)據(jù)流合理地分配到2條線路或兩臺設(shè)備上，是保證該網(wǎng)能成為高速數(shù)據(jù)傳輸網(wǎng)絡(luò)的關(guān)鍵。l 系統(tǒng)熱備份設(shè)備之間的冗余備份應(yīng)該是自動進行的，不需要系統(tǒng)管理員的外界干預(yù)。在VLAN/ELAN之內(nèi)則采用Spanning Tree實現(xiàn)鏈路熱備份；在ATM LANE上使用SSRP(Simple Server Redundancy Prot

24、ocol)實現(xiàn)ATM局域網(wǎng)仿真服務(wù)的容錯備份。3.3網(wǎng)絡(luò)主干層拓?fù)?Topology)結(jié)構(gòu)設(shè)計3.3.1主干層設(shè)計思想 上圖是省電建一公司辦公樓高速局域網(wǎng)絡(luò)主干拓?fù)鋱D，本人在設(shè)計時，根據(jù)客戶要求考慮網(wǎng)絡(luò)主干采用1000M Ethernet技術(shù)，主交換機與樓層交換機的連接都是采用1000BaseSx技術(shù)。根據(jù)以上主干網(wǎng)絡(luò)設(shè)計思想與設(shè)備的選型原則，本方案建議整個計算機網(wǎng)設(shè)備采用Cisco公司的產(chǎn)品，其中，主網(wǎng)絡(luò)管理中心采用Cisco Catalyst4507三層千兆交換機，該交換機配置一塊8端口千兆模塊，通過配置合適的GBIC模塊支持最大10路1000M的下聯(lián)服務(wù)。通過GBIC模塊連接10個二級交

25、換機。為了增加該主系統(tǒng)的可靠性，我們建議如果采用一臺主干交換機，主交換機配置雙電源、雙處理引擎。同時該交換機自身帶有3層交換模塊，支持VLAN之間的通訊。有關(guān)該設(shè)備的詳細(xì)技術(shù)資料見設(shè)備介紹。3.3.2二級局域接入網(wǎng)設(shè)計思想本方案中，二級接入層采用企業(yè)桌面式局域網(wǎng)交換機，為各部門接入主干網(wǎng)提供所需要的網(wǎng)絡(luò)接口。二級交換機采用Cisco Catalyst2950,另外，為滿足不同二級配線間對信息點發(fā)展的需要，該交換機支持堆疊技術(shù)與集群技術(shù)。在該二級接入網(wǎng)中，我們主要考慮的是VLAN的劃分策略和，跨越主干的VLAN連接。針對可能出現(xiàn)的跨主干的部門及一個部門的信息點存在于兩個甚至3個配線間的情況，我們

26、將采用ISL技術(shù)以實現(xiàn)跨主干的VLAN通訊。廣域接入網(wǎng)絡(luò)設(shè)計在該方案中，中心路由器采用Cisco3640系列，該路由器配置2個廣域串口，用于與CNC提供的專線連接。綜合上面所述，總體網(wǎng)絡(luò)拓?fù)淙鐖D所示：主干交換機采用冗余設(shè)計，提供10個1000M端口連接樓層交換機Catalyst2950，配置接入路由器Cisco3640。第四章 網(wǎng)絡(luò)設(shè)備選性本方案中所用CISCO產(chǎn)品介紹4.1 Cisco Catalyst 2950 產(chǎn)品介紹Cisco Catalyst 2950系列智能以太網(wǎng)交換機技術(shù)指標(biāo)如下：特性和關(guān)鍵優(yōu)點優(yōu)異的性能各個端口包括千兆位端口的線速、無阻塞性能。 8.8Gbps交換結(jié)構(gòu)和最大66

27、0萬包/秒的傳輸速率，能夠保證最大的吞吐量-即使對最高性能需求的應(yīng)用而言也是如此。 12-或24個10BaseT/100BaseTX自適應(yīng)端口，每個可為單個用戶、服務(wù)器、工作組提供最大200Mbps的帶寬，完全可以支持對帶寬需求苛刻的應(yīng)用。 Catalyst 2950T-24有兩個內(nèi)置的千兆位以太網(wǎng)（100BaseT）端口，可利用現(xiàn)有的5類電纜結(jié)構(gòu)為千兆位以太網(wǎng)主干、千兆位以太網(wǎng)服務(wù)器或交換機之間，提供最大4Gbps的匯集帶寬和最遠(yuǎn)100米的距離。 Catalyst 2950-24交換機有兩個多模（100BaseFX）光纖上行鏈路，在最遠(yuǎn)2公里的距離上可提供高達200Mbps的帶寬。 8MB共

28、享內(nèi)存結(jié)構(gòu)由于使用了消除包頭阻塞以及最大可能減少包丟失的設(shè)計，所以可以在組播和廣播流量很大的情況下，提供更佳的整體性能，同時保證最大可能的吞吐量。 16MB的DRAM和8MB的板上閃存可以為未來升級提供便利，做到最大限度地保護用戶投資。 利用快速以太通道和千兆位以太通道技術(shù)的帶寬匯集可提高容錯性能，并在交換機、路由器和各服務(wù)器之間提供最大4Gbps的匯集帶寬。 每個端口使用基于802.1Q標(biāo)準(zhǔn)的VLAN主干；每個交換機帶有64個VLAN，附有64個生成樹（PVST+）的實例。 支持硬件IGMP偵聽的超級組播管理能力。 支持VMPS功能（計劃將來使用）的動態(tài)VLAN。 VTP修剪（計劃將來使用）

29、。 QoS支持基于802.1p CoS值或網(wǎng)絡(luò)管理員為每個端口指定的缺省CoS值來對數(shù)據(jù)幀進行重新分類。 在硬件上，每個輸出端口支持四個隊列。 WRR隊列算法確保低優(yōu)先級端口不會被忽視。 嚴(yán)格的優(yōu)先權(quán)安排配置保證諸如語音等時間敏感的應(yīng)用能夠在交換結(jié)構(gòu)中一直使用快速路徑。 易于使用和易于安裝Cisco CMS允許網(wǎng)絡(luò)管理員通過一個單獨的IP地址，使用任何標(biāo)準(zhǔn)的Web瀏覽器管理最多16個互連的Catalyst 2950、3550-12T、3500 XL、2900 XL和1900交換機，不論它們位于什么地方。也就是說，交換機不用位于同一個配線間內(nèi)。 全面的后向兼容性保證所有Catalyst 3500

30、 XL、Catalyst 2900 XL或Catalyst 1900交換機可以利用Cisco CMS同Catalyst 2950一起進行管理。 集群軟件升級特性可使用戶在一組Catalyst 3550-12T、Catalyst 2950、Catalyst 3500 XL和Catalyst 2900 XL交換機上自動升級系統(tǒng)軟件。 每個端口的自適應(yīng)功能檢測連接設(shè)備的速度并自動對端口進行配置，選擇10-、100-或1000-Mbps速率工作，這樣，在10-、100-、1000-BaseT的混合環(huán)境中可很方便地進行交換機的配置。 協(xié)調(diào)所有端口工作，自動選擇半雙工或全雙工的傳輸模式以優(yōu)化帶寬分配。 閃

31、存中的缺省配置可以保證交換機快速連通網(wǎng)絡(luò)，從而在用戶最小干預(yù)的情況下傳輸數(shù)據(jù)流量。 集成的Cisco IOS交換解決方案通過快速以太通道和千兆以太通道技術(shù)實現(xiàn)的帶寬匯集，可以增強了容錯能力并可提供最大4Gbps的帶寬。 每個端口的廣播風(fēng)暴控制能力可預(yù)防故障終端工作站利用廣播風(fēng)暴降低系統(tǒng)的總體性能。 支持命令行界面（CLI），可為用戶提供Catalyst 交換機和Cisco路由器通用的界面和命令集。 Cisco發(fā)現(xiàn)協(xié)議（CDP）可使CiscoWorks網(wǎng)絡(luò)管理工作站在網(wǎng)絡(luò)拓樸中自動發(fā)現(xiàn)交換機。 超級管理能力Cisco CMS允許網(wǎng)絡(luò)管理員通過單個的IP地址和任何標(biāo)準(zhǔn)的瀏覽器，管理最多可達16個互

32、連的Catalyst 2950、3550-12T、3500 XL、2900 XL和1900交換機，不論它們位于什么地方。也就是說，交換機不用放置在同一配線間內(nèi)。 交換機集群軟件升級可使網(wǎng)絡(luò)管理員通過簡單易用的Cisco CMS界面或一個單獨的CLI命令，升級最多可達16個交換機的系統(tǒng)軟件。 簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）和Telnet界面可提供綜合的帶內(nèi)管理能力，同時，基于CLI的管理控制臺可提供詳盡的帶外管理能力。 以每個端口和每個交換機為基礎(chǔ)的CiscoWorks Windows網(wǎng)絡(luò)管理軟件能夠提供有效的管理能力，可為Cisco路由器、交換機和集線器提供通用的管理界面。 內(nèi)置遠(yuǎn)程監(jiān)視（RMO

33、N）軟件代理程序支持四種RMON組（歷史、統(tǒng)計、告警、事件），增強了流量管理、監(jiān)視和分析能力。 交換機端口分析（SPAN）端口利用一個網(wǎng)絡(luò)分析儀或RMON探測器監(jiān)視單個端口的流量 自動配置通過使用一個網(wǎng)絡(luò)根服務(wù)器對網(wǎng)絡(luò)中的多個交換機進行自動安裝配置，從而簡化了交換機的配置工作。 域名服務(wù)（DNS）利用用戶定義的設(shè)備名稱進行IP地址解析。 小文件傳輸協(xié)議（TFTP）減少了管理軟件的成本，這些軟件可由一個集中的位置進行下載升級。 網(wǎng)絡(luò)定時協(xié)議（NTP）為intranet內(nèi)的所有交換機提供了一個精確和穩(wěn)定的時間標(biāo)準(zhǔn)。 生成樹根保護（STRG）可預(yù)防邊緣設(shè)備脫離網(wǎng)絡(luò)管理員的控制，成為一個STP根結(jié)點。

34、 每個端口配備的狀態(tài)、全雙工/半雙工、10BaseT/100BaseTX/1000BaseT多功能LED指示，同系統(tǒng)、RPS和帶寬使用LED一起，組成了綜合和方便的可視化管理系統(tǒng)。 安全性和冗余性支持IEEE 802.1x（計劃將來使用）。 Cisco快速上行鏈路技術(shù)保證快速的故障恢復(fù)（典型值小于3秒），使網(wǎng)絡(luò)的綜合性能更加穩(wěn)定和可靠。 專用VLAN邊緣為交換機的端口間提供安全性和隔離性，同時保證語音流量從進入點通過虛擬通道直接傳輸?shù)絽R集設(shè)備，而不會被定位到其它無關(guān)端口。 基于MAC的端口級安全性可以防止未授權(quán)的工作站訪問交換機。 用戶選擇的地址學(xué)習(xí)模式簡化了配置，增強了安全性。 IEEE 8

35、02.1D STP對冗余主干連接和無環(huán)路網(wǎng)絡(luò)的支持簡化了網(wǎng)絡(luò)配置過程，提高了容錯能力。 支持Cisco冗余電源系統(tǒng)300（RPS300），配有最多可達6個單元的內(nèi)置備份電源，提高了容錯能力和網(wǎng)絡(luò)正常工作時間。 控制臺訪問的多級安全性可以防止未授權(quán)的用戶修改交換機配置。 支持TACACS+驗證對交換機的集中控制，防止未授權(quán)的用戶更改配置。技術(shù)規(guī)范性能8.8Gbps交換結(jié)構(gòu) 基于64字節(jié)數(shù)據(jù)包的傳輸速率 Catalyst 2950-12：1.8Mpps線速傳輸速率 Catalyst 2950-24：3.6Mpps線速傳輸速率 Catalyst 2950T-24：6.6Mpps線速傳輸速率 Cata

36、lyst 2950C-24：3.9Mpps線速傳輸速率 最大傳輸帶寬4.4Gbps 所有端口共享8MB數(shù)據(jù)包緩存內(nèi)存結(jié)構(gòu) 16MB DRAM和8MB閃存 8000個MAC地址 管理SNMP管理信息庫（MIB）、SNMP MIB擴展、橋接MIB（RFC 1493） 標(biāo)準(zhǔn)支持IEEE 802.1x（計劃將來使用） 支持10BaseT、100BaseTX、1000BaseT端口上的IEEE 802.3x全雙工操作 IEEE 802.1D生成樹協(xié)議 IEEE 802.1p CoS IEEE 802.1Q VLAN IEEE 802.3ab 1000BaseTX規(guī)范 IEEE 802.3u 100Bas

37、eTx規(guī)范 IEEE 802.3 10BaseTx規(guī)范 Y2K解決了Y2K問題 連接器和電纜10BaseT端口：RJ-45連接器，兩對3、4或5類非屏蔽雙絞線（UTP） 100BaseTX端口：RF-45連接器；兩對5類UTP雙絞線 1000BaseT端口：RJ-45連接器；兩對5類UTP雙絞線 100BaseFX端口：MT-RJ連接器，10/125或62.5/125微米多模光纖 管理控制臺端口：8針RJ-45連接器，RJ-45到RJ-45延長電纜，帶連接到PC機的RJ-45到DB9適配器。對于終端連接，使用RJ-45到DB25陰頭DTE適配器（可以從Cisco單獨定貨。產(chǎn)品編號：ACS-DS

38、BUSYN=） MT-RJ維修電纜（電纜種類、Cisco產(chǎn)品編號）1米，MT-RJ到SC多模電纜，CAB-MTRJ-SC-MM-1M 3米，MT-RJ到SC多模電纜，CAB-MTRJ-SC-MM-3M 5米，MT-RJ到SC多模電纜，CAB-MTRJ-SC-MM-5M 1米，MT-RJ到ST多模電纜，CAB-MTRJ-ST-MM-1M 3米，MT-RJ到ST多模電纜，CAB-MTRJ-ST-MM-3M 5米，MT-RJ到ST多模電纜，CAB-MTRJ-ST-MM-5M 電源連接器你可以讓交換機使用內(nèi)置電源或Cisco RPS300電源。連接器位于交換機的后面。 內(nèi)部電源連接器內(nèi)部電源是一個電壓

39、自動調(diào)整電源。 支持100到240VAC的輸入電源電壓。 使用隨機提供的AC電源線將交流電源連接器與交流電源插座連接。 Cisco RPS連接器Cisco RPS 300為可選設(shè)備，它使用交流輸入，將直流輸出到交換機。 300瓦冗余電源系統(tǒng)，可支持6個外部網(wǎng)絡(luò)設(shè)備，并同時為一個故障設(shè)備供電。 自動檢測所連接設(shè)備的內(nèi)部電源是否發(fā)生故障，并及時為之供電，以防止網(wǎng)絡(luò)信息丟失。 安裝或更換內(nèi)部電源后，RPS 300將自動停止為此設(shè)備供電。 只有Cisco RPS 300（PWR300-AC-RPS-N1）才可連接到RPS插座上。 指示燈各端口的狀態(tài)指示LED：連接成功、失敗、活動、速度和全雙工指示 系

40、統(tǒng)狀態(tài)LED：系統(tǒng)、RPS、帶寬使用指示 規(guī)格和重量（HWD）規(guī)格：1.7217.59.52英寸（4.3644.4524.18 厘米） 1個機柜單元（RU）高度（1.72英寸 /4.36 厘米） 重量：6.5磅（3.0公斤） 管理機構(gòu)的認(rèn)證安全認(rèn)證UL/CSA G0950 第三版 CSA 22.2 No.950 EN 60950 IEC 950 AS/NZS 3260，TS001 CE標(biāo)志 電磁輻射認(rèn)證FCC Part 15 Class A EN 55022 Class A （CISPR 22 Class A） VCCI Class A AS/NZS 3548 Class A CE標(biāo)志 CLE

41、I Code BSMI Class A 4.2 4.2 Cisco Catalyst 4507產(chǎn)品介紹Cisco Catalyst 4500系列為企業(yè)LAN接入、小型骨干網(wǎng)、第三層分布點和集成化SMB及分支機構(gòu)部署提供了先進的高性能解決方案 。其優(yōu)勢包括：性能Cisco Catalyst 4500系列提供了帶寬可隨端口的添加而擴展的高級交換解決方案，采用了領(lǐng)先的特定應(yīng)用集成電路(ASIC) 技術(shù)，提供線速第二到三層10/100或千兆位交換。第二層交換以全面的線卡兼容性提供了模塊化交換管理引擎靈活性，可擴展到136 Gbps、 102 mpps。第三到四層交換基于思科快速轉(zhuǎn)發(fā)，也可擴展到136

42、Gbps、 102 mpps。 端口密度Cisco Catalyst 4500系列可達到一個機箱中384個銅或光纖以太網(wǎng)端口的網(wǎng)絡(luò)組件連接要求。Catalyst 4500系列支持業(yè)界最高密度的10/100/1000自動檢測，自動協(xié)商從網(wǎng)絡(luò)邊緣直接到桌面計算機的千兆位以太網(wǎng)連接?？蛇x萬兆位以太網(wǎng)上行鏈路端口有助于實施高密度千兆位以太網(wǎng)到桌面部署和交換機間應(yīng)用。 交換管理引擎冗余性Cisco Catalyst 4507R和Catalyst 4510R交換機支持1+1交換管理引擎冗余，實現(xiàn)集成永續(xù)性。冗余交換管理引擎可縮短網(wǎng)絡(luò)停運時間，實現(xiàn)業(yè)務(wù)連續(xù)性和提高員工效率。在狀態(tài)化切換（SSO）的支持下，第

43、二個交換管理引擎作為備用，可在主交換管理引擎發(fā)生故障時，在不到一秒的時間內(nèi)接管一切。此外，也支持Cisco IOS 軟件中的不間斷轉(zhuǎn)發(fā)（NSF）感知特性，可與支持NSF的設(shè)備互操作，在因交換管理引擎切換而更新路由信息時，可繼續(xù)轉(zhuǎn)發(fā)分組。 以太網(wǎng)電源 (PoE)Cisco Catalyst 4500系列支持802.3af標(biāo)準(zhǔn)和思科預(yù)標(biāo)準(zhǔn)電源，以便在10/100或10/100/1000端口上提供PoE，使客戶可支持電話、無線基站、攝像機和其他設(shè)備。此外， PoE允許企業(yè)在單一電源系統(tǒng)上隔離關(guān)鍵設(shè)備所以整個系統(tǒng)可由備用的不間斷電源（UPS）支持。所有新Cisco Catalyst PoE線卡可同時在

44、每個端口上支持15.4 W。這些卡與所有Cisco Catalyst 4500系列機箱和交換管理引擎兼容。 高級安全特性Cisco Catalyst 4500系列上支持802.1x、訪問控制列表(ACL)、Secure Shell(SSH)協(xié)議、動態(tài)ARP檢測(DAI)、源IP防護和專用虛擬LAN(PVLAN)等安全特性，可增強網(wǎng)絡(luò)中的控制能力和靈活性。通過有選擇地或全部實施上述特性，網(wǎng)絡(luò)管理員可防止對于服務(wù)器或應(yīng)用的未授權(quán)訪問，允許不同的人能以不同的許可權(quán)來使用同一PC。 Cisco IOS軟件網(wǎng)絡(luò)服務(wù)Cisco Catalyst 4500系列交換機提供能增強公司網(wǎng)絡(luò)的成熟的第二到三層特性。

45、這些特性可滿足大中型企業(yè)的先進的聯(lián)網(wǎng)要求，因為它們已根據(jù)多年來客戶的反饋意見進行了改進。 投資保護Cisco Catalyst 4500系列靈活的模塊化架構(gòu)為LAN接入層或分支機構(gòu)網(wǎng)絡(luò)提供了經(jīng)濟有效的接口升級。已部署了采用較早交換管理引擎版本的Cisco Catalyst 4503和Catalyst 4506交換機、現(xiàn)在需要更高性能和增強特性的客戶，可方便地升級到Cisco Catalyst 4500系列Supervisor Engine II-Plus、Catalyst 4500系列Supervisor Engine V-10GE、Catalyst 4500 Supervisor Engin

46、e IV或Catalyst 4500 Supervisor Engine V。Catalyst 4500系列各成員間的備件可兼容，Catalyst 4003和Catalyst 4006機箱提供了電源和交換線卡通用性，降低了整體部署、移植和支持成本。 功能透明的線卡Cisco Catalyst 4500系列系統(tǒng)只需添加一個新的交換管理引擎，如Cisco Catalyst 4500系列 supervisor engines II-Plus、IV、V或V-10GE，即可輕松地將所有系統(tǒng)端口升級到更高層的交換功能。無需更換現(xiàn)有線卡和布線，就可以實現(xiàn)更高層的功能增強。 到桌面的千兆位連接Cisco Ca

47、talyst 4500系列已提供眾多的1000-Mbps桌面和服務(wù)器交換解決方案。其千兆位解決方案的范圍可通過用于Catalyst 4500系列的48和24端口三速自動檢測和自動協(xié)商10/100/1000BASE-T線卡，方便地擴展到桌面。采用自動檢測技術(shù)的三速48和24端口模塊，無需更換線卡即可將快速以太網(wǎng)桌面在將來移植到千兆位以太網(wǎng)，提供了LAN投資保護。Catalyst 4500系列Supervisor Engine V-10GE提供了兩條為10/100/1000BASE-T到桌面匯聚而優(yōu)化的線速萬兆位以太網(wǎng)上行鏈路。 基于硬件的組播協(xié)議獨立型組播(PIM)、密集和疏松模式、互聯(lián)網(wǎng)小組管

48、理協(xié)議(IGMP)和思科群組管理協(xié)議支持基于標(biāo)準(zhǔn)和經(jīng)思科技術(shù)增強的高效多媒體聯(lián)網(wǎng)，且對性能無影響。 Cisco NetFlow服務(wù)用于Supervisor Engine IV和V的Cisco NetFlow服務(wù)卡支持硬件中的統(tǒng)計數(shù)據(jù)獲取，用于基于流量和基于VLAN的統(tǒng)計監(jiān)控。 針對關(guān)鍵任務(wù)應(yīng)用的帶寬保護當(dāng)部署Cisco Catalyst 4500系列Supervisor Engines II-Plus、IV、V或V-10GE時，在實施QoS或安全特性時不會降低轉(zhuǎn)發(fā)性能；Catalyst 4500系列平臺繼續(xù)以全線速轉(zhuǎn)發(fā)分組。 到桌面的光纖連接Cisco Catalyst 4500系列24和48

49、端口100BASE-FX線卡提供了光纖電纜設(shè)施的安全性和永續(xù)性，使之極適于有距離限制、入侵漏洞或RF干擾的網(wǎng)絡(luò)。處理保密信息或提供電子商務(wù)的企業(yè)客戶或政府機構(gòu)將受益于這些線卡的安全優(yōu)勢。第五章 網(wǎng)絡(luò)安全設(shè)計5.1 網(wǎng)絡(luò)安全系統(tǒng)（防火墻系統(tǒng)）設(shè)計 INTERNET的安全技術(shù)，首先是采用防火墻（Firewall）。防火墻是近年發(fā)展起來的重要安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口點檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通訊?？紤]到工作的特殊性，在外網(wǎng)防火墻選型上我們將選擇CISCO PIX525防火墻。1、PIX Firewall功能：存取控制 -指定IP地址、用戶

50、認(rèn)證控制拒絕攻擊 -檢測SYN攻擊、檢測Tear Drop攻擊、檢測Ping of Death攻擊、 檢測IP Spoofing攻擊、默認(rèn)數(shù)據(jù)包拒絕、過濾源路由IP、動態(tài)過濾訪問、支持Web、Radius及SecureID用戶認(rèn)證網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(Network Address Translation) 隱藏內(nèi)部地址，節(jié)約IP資源網(wǎng)絡(luò)隔離DMZ(Demilitarized Zone) 物理上隔開內(nèi)外網(wǎng)段，更安全，更獨立負(fù)載平衡(Load Balancing) 按規(guī)則合理分擔(dān)流量至相應(yīng)服務(wù)器，適用于ISP虛擬專網(wǎng)VPN(Virtual Private Network) 符合IPsec標(biāo)準(zhǔn)，節(jié)省

51、專線費用。VPNclient適應(yīng)國際趨勢流量控制及實時監(jiān)控(Traffic Control) 用戶帶寬最大量限制，用戶帶寬最小量保障，八級用戶優(yōu)先級設(shè)置，合理分配帶寬資源 2、PIX Firewall特點： PIX防火墻獨有的設(shè)計,徹底解決了困擾高速寬帶網(wǎng)絡(luò)的性能瓶頸問題 PIX硬件防火墻專用的系統(tǒng)平臺,保證了自身體系結(jié)構(gòu)的可靠性,消除了軟件類防火墻由于操作系統(tǒng)平臺本身引起的安全問題 。5.2 防病毒方案設(shè)計 我們利用美國NAI公司的McAfee軟件（TVD）來為網(wǎng)絡(luò)提供防病毒設(shè)計方案。 McAfee Total Virus Defense (TVD) NAI是全球反病毒解決方案的領(lǐng)導(dǎo)者，Mc

52、Afee TVD在一個集中控制的軟件包里為您提供從桌面到服務(wù)器到Internet網(wǎng)關(guān)的一整套防病毒安全解決方案，使企業(yè)范圍的防病毒管理成現(xiàn)實。桌面防病毒產(chǎn)品VirusScan和WebScanX；服務(wù)器防病毒產(chǎn)品Netshield和GroupShield；網(wǎng)關(guān)防病毒產(chǎn)品Webshield；防病毒系統(tǒng)網(wǎng)管ME(Management Edition)；Internet上升級數(shù)據(jù)推送產(chǎn)品SecureCast； TVD及其組件已通過VSUM、Virus Bulletin、Secure Computing、NCSA等多所獨立測試機構(gòu)的重復(fù)檢測，并且已經(jīng)通過國內(nèi)公安部的檢測，許可在國內(nèi)銷售。1、桌面保護產(chǎn)品

53、TVD中的VirusScan為所有的桌面計算機提供所能獲得的、最為全面的跨平臺病毒保護。VirusScan還集成了一些功能強大的輔助技術(shù)，可以自動地保護系統(tǒng)免于崩潰和數(shù)據(jù)的意外丟失。2、NetShield服務(wù)器保護套件 Netshield套件從一個直觀的控制臺保護整個企業(yè)的文件、應(yīng)用程序和群件服務(wù)器。Netshield支持NT、Netware、UNIX 、Lotus Notes、Microsoft Exchange等多種服務(wù)器的保護，可以方便地從本地服務(wù)器或工作站監(jiān)測、配置和執(zhí)行遠(yuǎn)程服務(wù)。集中化管理可以實現(xiàn)對警告?zhèn)魉偷目刂?、問題票卷的生成和活動日志的自主選擇。Netshield套件提供了所能獲

54、得的最為全面的基于服務(wù)器的病毒防護。3、網(wǎng)關(guān)保護套件Internet的發(fā)展大大加快了病毒在世界范圍內(nèi)的傳播速度并使很多公司陷于癱瘓。TVD 在Internet 網(wǎng)關(guān)上對任何一個可能的病毒進入點提供全面的病毒保護。4、管理控制臺ME(Management Edition) ME(Management Edition)是NAI的實時的軟件分發(fā)系統(tǒng)，在網(wǎng)絡(luò)上遠(yuǎn)程安裝、配置、管理、升級和刪除防病毒軟件，通過集中地升級網(wǎng)絡(luò)上的防病毒軟件、集中地報警檢測到的病毒攻擊來保護網(wǎng)絡(luò)免受病毒破壞。利用它，可以在大的網(wǎng)絡(luò)中，減少安裝和管理防病毒軟件的時間，保證網(wǎng)絡(luò)和業(yè)務(wù)運行的不間斷，實現(xiàn)及時、有效和高效的企業(yè)范圍內(nèi)

55、防病毒軟件的分發(fā)，并維持整個企業(yè)防病毒軟件策略和安裝的一致性。 ME目前能管理和分發(fā)的防病毒軟件有： VirusScan：支持Windows 95、Windows 98、Windows 3.x、Windows NT、Windows2000、Windows XP； Netshield：支持Windows NT、Windows2000； ME管理防病毒軟件時，維護一個軟件庫。軟件庫中包括各種不同版本、不同語種、不同操作系統(tǒng)的防病毒軟件，控制臺將軟件庫中的防病毒軟件分發(fā)到防病毒域中的機器。另外ME也可以管理Zip文件、緊急救援磁盤。ME由下列組件組成：管理控制臺(Management Console

56、)：配置、管理和安裝防病毒軟件到防病毒域中的主機；管理服務(wù)器(Management Server)：協(xié)調(diào)病毒掃描調(diào)度、接收報警、產(chǎn)生整個防病毒的報告，管理服務(wù)器運行調(diào)度器、管理代理、報警管理器等；軟件倉庫（Repository）:存放需分發(fā)的防病毒軟件、升級代碼等；管理代理(Management Agent)：通過調(diào)度啟動病毒掃描，向管理服務(wù)器發(fā)送病毒報警；報警管理(Alert Manager)：配置報警通知設(shè)置；這些組件集成到一起提供防病毒域中機器的管理，每個組件都可以通過控制臺來管理和配置。第六章 主機設(shè)計整個網(wǎng)絡(luò)中信息系統(tǒng)建設(shè)的服務(wù)器總體需求如下： 1、WEB服務(wù)器：要求能夠支持辦公自動

57、化軟件運行（基于Winodws 2000和SQL Server的應(yīng)用）； 2、E-MAIL服務(wù)器：支持電子郵件系統(tǒng)，滿足郵件的存儲（基于Winodws 2000）；3、文件服務(wù)器：支持文件用于文件的共享（基于Winodws 2000）；4、UNIX服務(wù)器：支持UNIX系統(tǒng)的PC SERVER服務(wù)器，支持大數(shù)據(jù)量的存儲，運行SCO UNIX WARE、ORACLE數(shù)據(jù)庫。6.1 主機產(chǎn)品選型信息服務(wù)與應(yīng)用是建立計算機網(wǎng)絡(luò)的最終目標(biāo)，對信息數(shù)據(jù)的處理，保存，維護就顯得十分重要，而服務(wù)器正是網(wǎng)絡(luò)共享信息資源的中心，服務(wù)器作為計算機網(wǎng)絡(luò)系統(tǒng)的重要組成部分，承擔(dān)著所有應(yīng)用系統(tǒng)信息數(shù)據(jù)的處理和保存任務(wù)。所以，必須根據(jù)系統(tǒng)的業(yè)務(wù)與應(yīng)用的具體要求，建立一套科學(xué)的，有效的服務(wù)器體系，以保證網(wǎng)絡(luò)信息資源的安全、可靠和各項業(yè)務(wù)系統(tǒng)的正常運轉(zhuǎn)。 6.2服務(wù)器選型及其性能要求服務(wù)器處于數(shù)據(jù)