某大型烟草集团网络方案eoya

《某大型烟草集团网络方案eoya》由会员分享，可在线阅读，更多相关《某大型烟草集团网络方案eoya（64页珍藏版）》请在装配图网上搜索。

1、 常德卷烟厂技术中心网络工程项目建议书常德卷烟烟厂技术术中心网网络工程程项目建议议书目 录第一章网网络系统统总体设设计31.1 网络系系统建设设的背景景31.2 网络系系统设计计原则331.3 网络系系统总体体设计说说明41.4网网络系统统方案特特点6第二章主主机系统统82.1主主机系统统选型原原则82.2 主机系系统选型型及依据据82.3主主机方案案特点110第三章网网络管理理与网络络安全1113.1 网络管管理1113.2网网络安全全133.2.1 网网络安全全的威胁胁133.2.2网络络安全元元素1443.2.3网络络安全的的实现115附件211附件一：局域网网络技术术21附件二：网络设

2、设备333附件三：IBMM RSS/60000系系列小型型机服务务器介绍绍41附件四：设备清清单533第一章 网络系系统总体体设计1.1 网络系系统建设设的背景景 随着信信息化的的发展，IInteerneet的的迅速膨膨胀，烟烟草行业业竞争由由为激烈烈，加上上常德卷卷烟厂技技术中心心业务量量的飞速速增长，对对内对外外信息交交流越来来越频繁繁，同时时为响应应全国烟烟草行业业网的建建设要求求，所以以常德卷卷烟厂技技术中心心建设高高性能的的局域网网是非常常必要的的。1.2 网络系系统设计计原则 本系统统本着如如下原则则来设计计：实用用、先进进、稳定定、开放放、扩展展、安全全和经济济。实用性：本系统的

3、的建设将将始终遵遵循“面向应应用，注注重实效效”的指导导思想。紧紧密结合合经济运运行，为为信息服服务提供供现代化化的手段段。先进性：系统硬件件设备和和软件平平台应最最先进，既既要反映映当今技技术的先先进水平平，又应应具有很很强的扩扩展能力力。同时时还应注注意所选选用的技技术、设设备和开开发工具具是最普普及通用用和成熟熟的，能能与最新新技术接接轨，对对市场的的任何变变化具有有极强的的适应性性。开放性：考虑到系系统中所所选用的的技术和和设备的的协同运运行能力力，保护护现有的的资源和和系统投投资的长长期效应应以及系系统功能能不断扩扩展的需需要，所所采用的的软硬件件平台必必须具有有开放性性，所采采用的

4、规规范应与与生产厂厂商无关关。扩展性：由于网络络信息技技术的飞飞速发展展，变化化日新月月异，所所以在本本方案设设计中，所所选用的的技术和和产品具具有很强强的可增增长性和和扩展性性。可靠性：在社会向向信息化化发展的的同时，也也存在一一种危机机，即对对信息技技术的依依赖程度度越高，系系统失效效所造成成的影响响也越大大。因此此，本系系统的设设计必须须在投资资可接受受的条件件下，从从系统结结构、技技术措施施、设备备选型以以及厂商商的技术术服务和和维修响响应能力力等方面面综合考考虑，确确保系统统运行的的可靠性性。安全性： 在网络络信息时时代，大大流量的的数据传传输和管管理在整整个网络络系统中中占很重重要

5、的位位置，同同时有些些数据文文件是高高度秘密密，防止止外来黑黑客的侵侵入，所所以在本本系统的的设计中中有较好好的稳定定性和安安全性。经济性：本系统充充分考虑虑性能价价格比，“按需集成”的原则，在一定的资金规模下以达到最好的、先进的性能。1.3 网络系系统总体体设计说说明常德卷烟烟厂技术术中心整整个网络络结构采采用技术术先进、成成熟可靠靠的交换换式千兆兆以太网网，两层层结构，星星型连接接。在网网络核心心层，确确保连接接可靠性性，建议议采用两两台业界界杰出的的Cissco 65009模块块化千兆兆以太网网交换机机互为备备份，作作为系统统主干交交换机。Cisco 6509主干交换机留有千兆端口将来和

6、计算机中心及联合工房连接，双网百兆端口连接内部IBM RS/6000核心服务器。在网络分配层，选择带有千兆端口的Cisco Catalyst 3548交换机。为确保网络分配层至网络核心层连接可靠性，Cisco 3548交换机两个千兆端口分别连接至两台互为备份的主干交换机Cisco 6509，假如一条链路断了，另一条链路仍可继续工作，网络繁忙时，两条链路可自动达到负载均衡，更平稳的传输数据，以免网络拥塞。Cisco 3548交换机百兆下连至各楼层或各部门桌面计算机。详见下图：1.4网网络系统统方案特特点1、局域域网设计计先进，实实现分层层不同容容量交换换 整个网网络建设设符合IISO/IECC1

7、18801标标准和中中国工程程建设规规范。技技术中心心局域网网核心层层Cattalyyst665099千兆位位以太网网交换机机支持通通道流量量（Faast EthherCChannnell），最最大支持持3844个100/1000Mbbps端端口或1130个个10000Mbbps端端口，高高达2556Gbbps的的背板带带宽，665099交换机机支持IIP路由由，这样样局域网网中各桌桌面计算算机划分分虚网后后，可以以直接通通过Caatallystt 65509完完成各虚虚网之间间的通讯讯。Ciiscoo 65509配配置两个个SupperVVisoor EEngiineeer 网网络模块块引擎

8、，互互为备份份，两个个8个端端口的千千兆以太太网模块块，再配配置一个个48个个10/1000M自适应应以太网网端口模模块，这这样完全全满足技技术中心心当前需需要，又又有富余余。局域域网分配配层Ciiscoo 35548快快速以太太网交换换机，具具有488个100/1000Mbbps端端口，带带2个模块块插槽，支支持千兆兆位端口口，背板板带宽高高达100 Gbbps。2、全网网安全可可靠网络的主主干及服服务器采采用冗余余结构，做做到无单单点故障障对网络络的影响响。Ciiscoo 65509千千兆位以以太网交交换机设设置冗余余电源系系统及双双引擎，提提高可靠靠性，机机箱式设设备支持持模块热热插拔。

9、Cisco 6509支持包过滤级的访问控制，可以限制特定IP地址及应用通过。Cisco IOS软件可升级为Plus版本，支持56位DES数据加密传输，增强网络安全。采用先进的虚拟网VLAN技术，以减少各种业务、各种应用数据流之间的通信量，做到各种业务数据流量的隔离，进一步增强网络的安全性、可管理性和带宽有效利用，优化整个网络。整个网络和Internet无实质性的物理连接，对于要上Internet的计算机暂时考虑按单机拨号上网的方式，上网前要和内部局域网断开，还有对于要上网的计算机由专人来管理，确保安全性。3、网络络管理一一体化整个网络络系统在在设计时时均采用用国际标标准协议议TCPP/IP，所

10、所有网络络设备的的管理基基于SNNMP，支支持RMMON和和RMOON2，并并由硬件件实现，技技术中心心设立网网络管理理中心，运运用CiiscooWorrks网网管统一一管理，达达到全网网监控、控控制、统统计、维维护等功功能。4、网络络扩展性性强、保保护投资资 技术中中心核心心层网络络设备为为高性能能模块化化设计，Catalyst 6509千兆位以太网交换机的九个插槽仅用五个，网络结构采用层次化设计，高层网络设备在不能满足工作要求时，可降级使用。第二章 主机系系统2.1主主机系统统选型原原则l 代表目前前商业计计算机系系统的先先进水平平。l 具备较强强的安全全性。l 具备优良良的RAAS性能能

11、-可可靠性、可可用性、可可维护性性。l 具备优良良的可扩扩充性和和升级能能力。l 具备优良良的性能能价格比比。2.2主主机系统统选型及及依据1、主机机系统选选型及选选择依据据(1) 机型及及处理能能力选择择及依据据 对主机机而言，业业务服务务、数据据库服务务对应的的性能指指标为SSPECCWebb96和和TPCC-C。根根据IBBM公司司的推荐荐，IBBM RRS60000在在处理银银行数据据库业务务时，TTPC-C与业业务数的的关系为为1：220，即即TPCC-C为为10000的计计算机每每天可以以处理2200000笔银银行业务务。从业业务处理理的复杂杂程度来来讲，烟烟草行业业业务相相对简单

12、单。因此此，在我我公司建建议采用用1：330的比比例计算算。以技技术中心心为例：假如每每天处理理40万万次业务务，因此此需要TTPC-C为1130000-1140000的计计算机。考考虑业务务15%的年增增长，因因此我公公司推荐荐如下计计算机系系统机型TPC-CSPECCWebb96IBM RS/60000 HH70(4CPPU)171333(44CPUU)69588(2CCPU)主机系统统采用两两台IBBM RRS/660000 H770加IIBM 71333 SSSA磁磁盘阵列列，采用用RAIID5技技术，运运行IBBM HHACMMP双机机热备软软件。(2) IBMM RSS/60000

13、 H700 特点点H70是是IBMM新推出出的高档档64位SMPP机型，支支持1-4CPUU，用于于企业级级的关键键业务。HH70建建立在IIBM第第二代RRISCC芯片的的基础上上，具有有先进的的SMPP结构。IIBM独独特的DDataa Crrosss-Baar SSwittch技技术，避避免了传传统SMMP中内存存总线竞竞争和数数据一致致性问题题，提供供I/OO、Memmoryy及CPUU之间无无阻塞的的交换通通道。RS/660000的所有有SMPP系统上上都标准准配备有有一个名名为Seerviice Guaard的的Serrvicce PProccesssor，这这个独立立的 PPro

14、ccesssor可可执行许许多功能能，增加加系统的的RASS性能。例例如，它它可以在在系统未未开机的的情况下下执行系系统的检检测动作作，也可可以在系系统任何何一个元元件发生生问题时时自动将将系统重重新启动动，并将将有问题题的元件件隔离待待修，不不需人工工的处理理。H70具具有优良良的扩展展能力，支支持4CCPU、8GBB内存，根根据处理理能力分分析，单单CPUU时已经经具备了了处理烟烟草业务务的能力力，只须须少加扩扩展，便便可支持持其他多多种业务务。2、磁盘盘阵列IBBM 771333 SSSA系统统71333 SSSA磁盘盘阵列是是IBMM在存储储产品领领域中的的领先产产品，打打破了SSCS

15、II传统的的总线结结构，独独特的环环行结构构支持448个磁磁盘，880Mbb/s的的传输速速率。IIBM SSAA适配器器支持22个环路路，既支支持1660Mbb/s的的数据通通讯速率率。SSSA的环环路结构构支持冗冗余功能能，是SSCSII结构所所不具备备的。当当SSAA的环路路断开时时，并不不影响数数据的读读写，仅仅仅是速速率变为为40MMb/ss，而SCCSI系系统总线线断开时时，整个个总线上上的硬盘盘系统便便会崩溃溃。3、双机机热备份份软件IBBM HHACMMPHACMMP是IBMM公司极极负盛名名的集群群多处理理软件，可可以支持持16个节节点。不不仅支持持虚拟IIP地址址、虚拟拟主

16、机名名，可选选支持并并行数据据库，而而且支持持MACC地址的的切换。这这意味着着当主机机发生意意外时，备备份机不不仅接管管主机的的IP地址址、主机机名，而而且接管管主机网网卡的MMAC地地址，从从而真正正作到无无缝接管管，即CClieent端端不必重重新启动动计算机机或刷新新ARPP表，便便可直接接与主机机（实际际为备份份机）通通讯。这这才是真真正意义义上的热热备份。4、系统统备份设设计 配备IIBM 35990磁带带库，存存储量为为1000GB/3000GB（压压缩）。带带库提供供9M/SS（非压压缩）的的数据传传输率，可可对大量量数据进进行备份份和数据据恢复。尤尤其对于于查询55年以前前的

17、历史史数据，具具有很高高的优越越性。2.3主主机方案案特点l 技术中心心系统采采用HAACMPP双机热热备份方方式，可可以提高高系统可可靠性。l 系统根据据业务量量需求，采采用合适适机型，充充分考虑虑性能价价格比。l 提供合理理有效的的备份方方式，保保障数据据安全。第三章 网网络管理理与网络络安全3.1 网络管管理 网络互互联使得得管理变变得更加加困难，同同时也更更加重要要。对于于烟草行行业，整整个网络络系统的的管理，形形成集中中与分散散的网络络管理结结构体系系是非常常重要的的。目前前，网络络管理大大多基于于SNMMP（简简单网管管协议）。以以下简单单介绍SSNMPP管理的的基础， 1 . I

18、SSO管理理框架国际标准准化组织织ISOO把网络络管理任任务分成成以下五五个部分分：配置管理理 大多数数智能设设备需要要某种形形式的配配置信息息，配置置管理功功能允许许某种形形式的的的友好界界面在NNMS（网网管工作作站）中输入入配置信信息，并并把这个个信息传传递到被被管理的的设备上上。增强强的功能能还包括括对大多多数的远远程设备备的配置置信息进进行检查查的能力力。这保保证了对对软件版版本的严严格控制制。性能管理理 NMS是是在网络络上收集集性能数数据的好好地方。在在理论上上，这个个数据可可以放在在相同的的模型软软件包中中，该软软件包首首先用于于设计网网络。这这将允许许为指定定的系统统改进和和

19、定制模模型。故障管理理 这是网网络管理理最成功功的一个个方面，目目标是在在用户抱抱怨网络络问题之之前让网网络管理理员找出出它们。安全管理理 当网间间网的规规模变得得很大，并并开始彼彼此互联联时，安安全就成成了一个个主要的的问题。安安全屏蔽蔽和自陷陷（触发发警报）可可以配置置在网络络上。如如果这些些设备受受到入侵侵，被管管理的设设备或NNMS的的安全管管理功能能负责触触发警报报。安全全管理的的一个更更为广阔阔的形式式是保证证安全策策略在整整个网络络上是一一致的。实实际上，如如果我们们把网间间网看作作一个扩扩展的计计算机系系统，安安全系统统就代替替了操作作系统的的安全功功能。记帐管理理 网间网网耗

20、费资资金。它它们存在在的理由由是它们们可以使使公司的的效率更更高。最最终的费费用决定定于网间间网服务务的使用用。对于于TCPP/IPP管理，记记帐管理理是所有有管理中中功能最最不完善善的。 经过了了几年的的时间，这这五个管管理概念念以不同同程度作作为管理理系统的的核心功功能而相相继被采采用。在在TCPP/IPP领域中中，唯一一具有商商业重要要性的管管理结构构是SNNMP。2 . 网络管管理方案案本网络设设置网络络管理系系统，实实现对整整个网络络实现统统一的管管理。在在中心机机房的网网络管理理员可以以通过远远程登录录和图形形化界面面的网络络管理系系统管理理整个局局域网，包包括局域域网的VVLAN

21、N设置等等。 本方案案设计中中，网管管工作站站采用一一台HPP工作站站作为网网络管理理系统，网网络管理理软件采采用CiiscooWorrks 20000。 本网络络的安全全需求要要在常德德卷烟厂厂信息系系统安全全的统一一规划下下来指定定具体的的规则来来实施。3.2网网络安全全 网络互互联融入入到社会会的各个个方面，网网络的安安全，包包括网上上信息数数据安全全和网络络设备服服务的运运行安全全，日益益成为与与国家、政政府、企企业、个个人的利利益休戚戚相关的的大事。烟草行业业网要防防止因信信息泄密密、数据据丢失等等，给国国家和行行业造成成无法估估量的损损失。在行业网网安全和和信息保保密管理理上必须须

22、做到：（1）严严格遵照照执行国国家有关关部委的的要求和和规定，各各级信息息中心或或计算机机主管部部门要协协助同级级保密委委（办）的的工作，设设专人负负责网络络安全和和信息保保密工作作。（2）严严格执行行国家局局有关部部门下发发的烟烟草行业业计算机机通信信信息网络络安全保保护规定定（国国烟办199983305号号文）和和烟草草行业计计算机信信息系统统保密管管理暂行行规定（国国烟保199993373号号文）。（3）上上网信息息要建立立逐级审审核机制制，建立立保密安安全责任任制。3.2.1 网网络安全全的威胁胁 网络面面临的安安全威胁胁大体可可分为两两种：一一是对网网络数据据的威胁胁； 二二是对网网

23、络设备备的威胁胁。总结结起来，大大致有下下面几种种主要威威胁：非人为为、自然然力造成成的数据据丢失、设设备失效效、线路路阻断人为但但属于操操作人员员无意的的失误造造成的数数据丢失失来自外外部和内内部人员员的恶意意攻击和和入侵 前面两两种的预预防与传传统电信信网络基基本相同同。最后后一种是是当前互互联网络络所面临临的最大大威胁，是是电子商商务、政政府上网网工程等等顺利发发展的最最大障碍碍，也是是企业网网络安全全策略最最需要解解决的问问题。3.2.2网络络安全元元素 物理安安全的目目的是保保护路由由器、交交换机、工工作站、各各种网络络服务器器、打印印机等硬硬件实体体和通信信链路免免受自然然灾害、人

24、人为破坏坏和搭线线窃听攻攻击；验验证用户户的身份份和使用用权限，防防止用户户越权操操作；确确保网络络设备有有一个良良好的电电磁兼容容工作环环境；建建立完备备的机房房安全管管理制度度；妥善善保管备备份磁带带和文档档资料；防止非非法人员员进入机机房进行行偷窃和和破坏活活动。 抑制和和防止电电磁泄漏漏是物理理安全的的一个主主要问题题。目前前主要防防护措施施有两类类：一类类是对传传导发射射的防护护，主要要采取对对电源线线和信号号线加装装性能良良好的滤滤波器，减减小传输输阻抗和和导线间间的交叉叉耦合。另另一类是是对辐射射的防护护，这类类防护措措施又可可分为以以下两种种：一是是采用各各种电磁磁屏蔽措措施，

25、如如对设备备的金属属屏蔽和和各种接接插件的的屏蔽，同同时对机机房的下下水管、暖暖气管和和金属门门窗进行行屏蔽和和隔离；二是干干扰的防防护措施施，即在在计算机机系统工工作的同同时，利利用干扰扰装置产产生一种种与计算算机系统统辐射相相关的伪伪噪声向向空间辐辐射来掩掩盖计算算机系统统的工作作频率和和信息特特征。3.2.3网络络安全的的实现1 .网网络隔离离 根据功功能、保保密水平平、安全全水平等等要求的的差异将将网络进进行分段段隔离，对对整个网网络的安安全性有有很多好好处。可可以实现现更为细细化的安安全控制制体系，将将攻击和和入侵造造成的威威胁分别别限制在在较小的的子网内内，提高高网络整整体的安安全

26、水平平。路由由器、虚虚拟网（VVLANN）、防防火墙是是当前主主要的网网络分段段手段。前前面两种种的配置置较为直直观，下下面主要要分析防防火墙技技术。虚拟网络络(VLLAN)技术VLANN是建立立在各种种交换技技术基础础之上的的。所谓谓交换实实质上只只是物理理网络上上的一个个控制点点，它由由软件进进行管理理，所以以允许用用户利用用软件功功能灵活活地配置置资源，管管理网络络。利用用交换设设备中的的虚网功功能，不不必改变变网络的的物理基基础，即即可重新新配置网网络。采采用虚网网功能，网网络性能能可以获获得较大大的改善善： 1.虚网技技术能对对工作组组业务进进行过滤滤，有效效地分割割通信量量，因而而

27、能更好好地利用用带宽，提提高网络络总的吞吞吐量。 2.采用虚虚网技术术可以将将不同楼楼层或不不同房间间的设备备组成一一个网段段而不用用更改布布线，因因为虚网网技术是是从逻辑辑角度而而非物理理角度来来划分子子网的，所所以采用用虚网技技术能减减轻系统统的扩容容压力，将将迁移费费用降至至至最小小。3.采用用虚网技技术能有有效隔离离网络设设备，增增加网络络的安全全性和保保密性。虚虚拟网络络的安全全策略采采用的主主要主要要协议为为I议为IEEEE8802.10，此此协议结结合有鉴鉴别和加加密技术术以确保保整个网网络内部部数据据据的保密密性和完完整性。4.虚网网技术能能对属于于同一工工作组的的用户提提供广

28、播播服务，但但与传统统的局域域网协议议所不同同的是，虚虚拟局域域网能限限制广播播的区域域域，从从而节省省网络带带宽。5.虚拟拟局域网网可以建建立在不不同的物物理网络络上，用用封装的的办法支支法支持持不不同同的网络络协议络络协议，如如SNMMP、NMPP、IPXX、TCPP/IIP、IEEEE8002.333等，兼兼容性非非常好性性非常好好。6.虚拟拟网络中中的主要要应用技技用技术术为“虚网中中继”，VLAANTrrunkkingg特有技技术特有有技术的的采用也也成成为为了必然然。必然然。简而而言之，VLANTrunking主主要是通过一条高速全双工通道(200Mbps)来)来实现将将一个LAN

29、Switch端口所划分的不同VLAN与其它LANSwitch中各自相应的VLAN成员进行线路复用连接的技术。VLANTrunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。其原理如如下图所所示： 如果采采用VLLANttrunnkinng 的的技术，则则V1、V2、V3均可可通过一一条全双双工的1100MMbpss，即2000Mbbps的的速率与与上级LLANSSwittch进进行互通通并经过过位于树树根部的的路由器器进行路路由与其其它的VVLANN进行通通讯。VVLANN trrunkkingg技术的的优点在在于采用用一条高高速通

30、道道连接，提提高了通通道的使使用效率率，如在在，如在在V2，V3无数数据量的的情况下下，V11可以独独占此1100MM带宽；并且可可以使得得线路的的连接变变得简单单，从而而大大提提高可靠靠性与易易维护性性。2 .防防火墙 防火墙墙在网络络中的地地位与它它的名字字非常相相似，它它根据网网络安全全水平和和可信任任关系将将网络划划分成一一些相对对独立的的子网，两两侧间的的通信受受到防火火墙的检检查控制制。它可可以根据据既定的的安全策策略允许许特定的的用户和和数据包包穿过，同同时将安安全策略略不允许许的用户户和数据据包隔断断，达到到保护高高安全等等级的子子网、阻阻止墙外外黑客的的攻击、限限制入侵侵的蔓

31、延延等目的的。根据据防火墙墙的位置置，可以以分为外外部防火火墙和内内部防火火墙。外外部防火火墙将企企业网与与外部网网隔离开开来，而而内部防防火墙的的任务经经常是在在各个部部门子网网之间进进行通信信检查控控制。网网络安全全体系不不应该提提供外部部系统跨跨越安全全系统直直接到达达受保护护的内部部网络系系统的途途径。安安全体系系在任何何情况下下都不应应该被旁旁路。防防火墙并并不是万万能的，它它在很多多方面存存在弱点点。它无无法防止止来自防防火墙内内侧的攻攻击。对对各种已已识别类类型的攻攻击的防防御有赖赖于正确确的配置置，对各各种最新新的攻击击类型的的防御取取决于防防火墙知知识库更更新的速速度和相相应

32、的配配置更新新的速度度。一般般来说，防防火墙擅擅长于保保护设备备服务，而而不擅长长保护数数据。并并且，防防火墙可可能会导导致内部部网络安安全管理理的松懈懈。3 .防防火墙的的基本类类型 实现防防火墙的的技术包包括两大大类型：包过滤滤（PFF）、应应用级防防火墙。它它们之间间各有所所长，具具体使用用哪一种种或是否否混合使使用，要要看具体体需要。（1）. 包过过滤型防防火墙检查的范范围涉及及网络层层、传输输层和会会话层，过过滤匹配配的原则则可以包包括源地地址、目目的地址址、传输输协议、目目的端口口等。还还可以根根据TCCP序列列号、TTCP连连接的握握手序列列（如SSYN、AACK）的的逻辑分分析

33、等进进行判断断，较为为有效地地抵御类类似IPPSpooofiing、SSynccflooodiing等等类型的的攻击。路路由器通通过配置置其中的的访问控控制列表表（Acccesss-llistt）可以以作为包包过滤防防火墙使使用，但但是过多多的控制制列表会会严重降降低路由由器的性性能。所所以在业业务量较较大的场场合需要要将路由由和包过过滤两种种功能分分开，也也就是说说有必要要单独购购买专门门的防火火墙。访问控制制表（AACL）定定义了各各种规则则来表明明是否同同意或拒拒绝包的的通过，包包过滤防防火墙检检查每一一条规则则直至发发现包中中的信息息与某规规则相符符。 如如果规则则都不符符合，则则缺省

34、操操作为丢丢弃该包包。包过过滤型防防火墙配配置简洁洁、速度度快、费费用较低低，并且且对用户户透明，但但是对应应用层的的信息无无法控制制，对内内网的保保护有限限。Ciscco公司司的PIIX就属属于该类类型的防防火墙产产品。另另外，各各种路由由器和UUNIXX主机都都可以经经过配置置作为简简单的防防火墙使使用，来来满足一一般的需需要。（2）. 应用用级防火火墙应用级防防火墙能能够检查查进出的的数据包包，透视视应用层层协议，与与既定的的安全策策略进行行比较。该该类型防防火墙能能够进行行更加细细化复杂杂的安全全访问控控制，并并做精细细的注册册和稽核核。根据据是否允允许两侧侧通信主主机直接接建立链链路

35、，又又可以分分为网关关和代理理两种。前前者允许许两侧建建立直接接连接，而而是依靠靠某种算算法来识识别进出出的应用用层数据据，这些些算法通通过已知知合法数数据包的的模式来来比较进进出数据据包。而而后者通通过特定定的代理理程序在在两侧主主机间复复制传递递数据，不不允许建建立直接接连接。每每一种应应用需要要相应的的代理软软件，使使用时防防火墙负负载较大大，效率率不如前前者。目目前在市市场上流流行的防防火墙大大多属于于应用级级防火墙墙。4 .防防火墙的的安全功功能 各种防防火墙的的安全性性能不尽尽相同。一一般来说说，防火火墙采取取以下几几种安全全措施。（1）内内容检查查（2）用用户认证证（3）负负载分

36、担担（4）网网络地址址翻译（5）开开放式结结构设计计（6）图图形化的的实时监监视在本方案案网络安安全设计计中，选选择防火火墙隔离离内部局局域网与与外部网网，采用用国产的的能士防防火墙，具具有防止止黑客的的侵入等等等功能能。通过过防火墙墙来保护护内部数数据信息息的安全全。附 件附件一：局域网网络技术术11概述计算机局局域网指指的是在在较小范范围内（一一般在110公里里之内），速速度较高高（一般般在5MM以上）的的计算机机网络。目前，在在国内的的局域网网市场中中以太网网（Ettherrnett）以安安装方便便、灵活活易用等等优点占占据着主主导地位位。但是是随着网网络应用用的大量量增加，标标准的11

37、0M共共享式以以太网的的缺点逐逐渐暴露露出来。尤尤其是多多媒体技技术对实实时传送送声音与与视频的的要求，使使其愈发发显得力力不从心心，不堪堪重负，网网络性能能下降，网网络传输输速率成成为网络络应用的的瓶颈。为消除网网络瓶颈颈，各种种新的网网络传输输技术不不断涌现现。这些些技术主主要依靠靠提高带带宽和采采用交换换技术，改改变共享享式结构构的方法法。1000M共共享式以以太网1100BBASEE-X的的出现，缓缓解了以以太网带带宽不够够的问题题，它将将以太网网的带宽宽提高至至1000M，从从而满足足了大多多数应用用系统包包括部分分多媒体体信息传传输的要要求。12 局域域网的拓拓扑结构构 拓扑结结构

38、描述述了网络络设备之之间的连连接和信信息流动动关系。 目前，局局域网广广泛使用用的网络络拓扑结结构有星星型、总总线型、环环型和混混合型等等。 1星星型拓扑扑结构 所谓星星型网络络结构就就是点对对点形式式，将网网络各站站点连接接到一个个中心站站点的网网络结构构。由于于集线器器、交换换机等设设备大量量的应用用，采用用星型拓拓扑结构构的局域域网越来来越普遍遍。其特特点有： 可靠性性高，任任何一个个站点的的故障都都不会影影响整个个网络的的运行； 连接简简单，安安装方便便； 维护管管理简单单，故障障的检测测和隔离离方便； 升级扩扩展容易易，只需需扩充中中心设备备的容量量和更换换新设备备即可。 尽管，星星

39、型网络络结构也也存在着着投资较较多，中中心设备备要求较较高的缺缺点。当当前，大大多数局局域网都都采用星星型网络络拓扑结结构。2总线线型拓扑扑结构 总线型型拓扑结结构就是是采用单单根电缆缆作为网网络传输输介质，所所有网络络点都串串接到该该电缆上上，该传传输电缆缆称为总总线。 因为所所有的信信号都在在总线上上传播，在在某一时时刻可能能有两个个或两个个以上站站点传播播信号，而而造成信信息碰撞撞。因此此需要介介质访问问控制策策略来决决定哪个个站点传传输信号号。总线线拓扑结结构主要要优点是是所需电电缆少，易易于布线线和维护护，扩充充性好等等。缺点点是传输输速度慢慢、容易易产生信信息拥塞塞等。3环型型拓扑

40、结结构 环型拓拓扑结构构，各工工作站连连接到一一个中继继器上，中中继器通通过电缆缆连成一一个闭合合的环，所所有工作作站共享享该环路路。环型型拓扑结结构优点点是所需需电缆长长度短，布布线简单单，特别别适合于于光纤媒媒体。其其缺点是是重新配配置网络络、故障障诊断和和隔离比比较困难难。4树型型拓扑结结构 树型拓拓扑结构构结合了了总线型型和星型型拓扑结结构的优优点，易易于扩展展和故障障隔离。1310MM以太网网 本技术术遵循的的标准是是IEEEE8002.33。本技技术使用用CSMMA/CCD（载载波监听听多路访访问/碰碰撞检测测）的技技术。CCSMAA/CDD上的每每一个站站点都能能随时访访问网络络

41、上的任任何资源源。在数数据传输输之前，每每个工作作站监听听网络是是否正在在被使用用，如果果网络正正在被使使用，当当前站点点处于等等待状态态，如果果没被使使用，当当前站点点开始传传送数据据。当两两个工作作站同时时监听到到网络空空闲时，则则同时开开始传送送数据，这这样就出出现了碰碰撞。在在这种情情况下，同同时发送送的数据据都是无无效的。两两个工作作站会在在随后的的某个时时刻各自自重新发发送数据据。由于于使用了了CSMMA/CCD的技技术，两两台工作作站知道道何时重重发数据据。本技技术的优优点是造造价便宜宜，但其其缺点是是网络的的利用率率极低，不不适应应应用发展展对网络络带宽的的要求。141000M

42、以太太网 本技术术遵循的的标准是是IEEEE8002.33u。1100MM以太网网是一种种高速局局域网，它它为工作作站和服服务器提提供了更更高的带带宽。它它和100M的技技术一样样采用了了相同的的IEEEE8002.33介质访访问控制制和冲突突检测方方法。1100MM技术是是对100M技术术的重大大改进，缓缓解了网网络应用用对带宽宽的需求求。1000M的的以太网网由于其其高带宽宽、技术术成熟、简简单易用用，同时时又与110M以太网网兼容，所所以是中中小企业业建设自自己的局局域网的的首选技技术。快速以太太网与以以太网的的比较性能快速以太太网以太网传输速度度100MMbitt/s10Mbbit/s

43、标准IEEEE8022.3uuIEEEE8022.3介质访问问控制CSMAA/CDDCSMAA/CDD拓扑结构构星型总线或星星型传输介质质UTP、SSTP、光光纤电缆、UUTP、光光纤最大长度度双绞线1100米米，光纤纤20000米双绞线1100米米，光纤纤20000米全双工支支持支持支持厂商支持持广泛广泛15FDDDI 光纤分分布式数数据接口口(FDDDI)规定了了采用光光纤的1100MM双令牌牌环局域域网。FFDDII通常被被用作高高速骨干干网络技技术。因因为它比比同轴电电缆支持持更高的的的带宽宽和更远远的传输输距离。FDDI采用双环的体系结构，两环上的信息反向流动。双环中一环成为主环，另

44、一环称为次环。在正常情况下，主环传输数据，次环处于空闲状态。双环可以提高网络的稳定性和可靠性。FDDII主要优优点为带带宽高、稳稳定性高高、可靠靠性高，缺缺点是建建设造价价高。FFDDII可以作作为高速速局域网网在小范范围内互互联高速速计算机机系统，或或作为城城域网互互联较小小的网络络，或作作为主干干网用于于互联分分布在较较大范围围的计算算机。151FDDDI的主主要技术术指标 数据传传输速率率为1000Mbbit/s 单点间间最大距距离可达达2公里里 最多可可连接的的站点数数10000个 传输介介质为光光纤 网络覆覆盖范围围可达1100公公里 介质访访问控制制协议为为定时令令牌传递递 网络拓

45、拓扑结构构为双向向环152FDDDI的优优点与缺缺点FDDII作为一一种高速速、高可可靠的网网络技术术，具有有以下优优点： 提供1100MMbitt/s传传输速度度，适用用于高速速业务传传送； 采用双双环结构构，提供供容错和和故障隔隔离，具具有故障障自动愈愈合功能能，因此此，网络络可靠性性极高； 使用光光纤介质质，具有有抗干扰扰、不产产生电磁磁辐射和和光隔离离等优点点； 传输距距离远，覆覆盖范围围大，适适合作为为大型企企业级主主干网。 FDDDI也存存在如下下缺点： 设备较较贵，灵灵活性较较差。153FDDDI技术术特点 FDDDI作为为一种局局域主干干网技术术，广泛泛用于连连接各类类速率为为

46、1000Mbiit/ss的局域域网，FFDDII具有如如下技术术特点： FDDDI采用用多模光光纤，无无需使用用昂贵的的单模光光纤；采采用发光光二极管管LEDD作为光光源，无无需使用用昂贵的的激光二二极管。 FDDDI包括括两个光光环，一一个顺时时针方向向传输，另另一个逆逆时针方方向传输输，任意意一个发发生故障障，另一一个作为为备份。如如果两个个环同一一点发生生故障，则则两个环环可合成成为一个个单环，可可靠性极极高。 FDDDI定义义了A和和B两类类站点，AA类站点点可连接接到两个个环上，因因此，具具有故障障自动愈愈合功能能。由于于两条链链路连接接到FDDDI网网络上，当当主环出出现故障障时，

47、它它可以使使用备份份环来传传递数据据。B类类站点只只能连接接到其中中一个环环上，因因此无故故障愈合合功能，但但价格较较底。 物理层层FDDDI使用用4B/5B编编码技术术来提高高传输效效率。 FDDDI使用用定时令令牌传递递介质访访问控制制。为了了发送数数据，站站点必须须取得令令牌控制制权后才才能发送送数据。16千千兆以太太网161千兆兆以太网网简介 千兆以以太网继继续延用用其他种种类的以以太网帧帧格式，延延用网管管员现在在的应用用、管理理工具、配配置、安安装和故故障排除除手段，从从而使得得企业在在已有硬硬件和应应用的配配置和培培训上进进行很小小投资即即可获得得性能的的大幅度度提高。162千兆

48、以以太网技技术 以太网网是目前前使用最最广泛的的网络技技术，千千兆以太太网是以以太网技技术的最最新发展展。它在在速度上上比传统统以太网网快1000倍，而而技术上上却与以以太网兼兼容，同同样使用用CSMMA/CCD和MMAC协协议，使使得升级级费用大大大低于于向ATTM升级级的费用用。随着着有关千千兆网标标准的逐逐一制定定和完善善，各种种设备也也将大量量推出。因因此，如如何平稳稳地升级级到千兆兆网将是是广大网网络管理理人员面面临的一一大课题题。 千兆网网采用与与以太网网和快速速以太网网同样的的标准，保保留了以以太网的的帧格式式、流量量控制及及链路层层管理，因因此千兆兆网与传传统以太太网互相相兼容

49、，IIP子网网的结构构及地址址都可以以用在千千兆交换换设备上上而无需需任何修修改。此此外，千千兆网采采用同样样的管理理协议及及管理工工具，使使用同样样的MIIB（管管理系统统库）结结构及RRMONNAgeent，使使得升级级后的网网络管理理可以很很方便地地掌握。按按IEEEE8002.33z标准准，千兆兆以太网网与快速速以太网网及FDDDI一一样，采采用FIIBERRCHAANNEEL光纤纤传送标标准及88B/110B编编码方式式，使得得原有的的光纤及及短距离离铜轴线线缆可继继续使用用。根据据即将正正式采用用的IEEEE8802.3abb，5类类UTPP也可以以用于2251100米米内的千千兆

50、网信信号传输输。但由由于千兆兆网的传传输速率率达10000MMbpss，所以以有两个个问题必必须注意意，一是是所有与与千兆网网直接相相连的设设备接口口必须是是千兆接接口，或或者采用用千兆接接口板(NICC);第第二，信信号传输输距离将将比原来来的短，即即整个网网络的直直径将会会减小，需需要增加加中继器器来克服服这一问问题。千千兆以太太网能够够继续延延用其他他种类的的以太网网帧格式式，延用用网管员员现在的的应用、管管理工具具、配置置、安装装和故障障排除手手段，从从而使得得企业在在已有硬硬件和应应用的配配置和培培训上进进行很小小投资即即可获得得性能的的大幅度度提高。 千兆以以太网规规范确定定:使用

51、用62.5微米米光纤的的传送距距离要达达到2660米，使使用500微米光光纤的多多模光纤纤链路要要支持5550米米。此外外，规范范还确立立了使用用更高成成本部件件对更长长距离的的支持，例例如使用用62.5微米米光纤达达到4440米，使使用单模模光纤传传输达33公里。8802.3z还还包括110000BASSE-CCX收发发机的技技术规范范，此种种技术支支持屏蔽蔽铜线的的跨距是是25米米。 千兆以以太网规规范还采采用了许许多ANNSI光光纤通道道的标准准技术。事事实上，它它们使用用的是同同一种代代码集。除除更大带带宽外，千千兆以太太网标准准还对一一系列新新产品提提供支持持，其中中包括能能在不同同

52、种网络络中，以以千兆位位线路速速度或者者比传统统的、基基于软件件的路由由器快1100倍倍的速度度选路的的路由器器。换句句话说，今今天所有有的互连连网络技技术都与与千兆以以太网兼兼容，这这正如它它们与传传统以太太网和快快速以太太网兼容容的情形形一样。ATM与与千兆以以太网比比较差别之一一：布线和传传输距离离 千兆以以太网技技术的出出现令深深受网络络拥塞之之苦的用用户欣喜喜若狂，好好象盼到到了救星星一般，特特别是它它“可由传传统以太太网平滑滑升级”和“最大限限度保护护传统以以太网用用户已有有投资”的承诺诺，更使使网络用用户倍感感亲切。尽尽管IEEEE8802.3委员员会在制制定千兆兆以太网网传输标

53、标准时把把目标定定在基于于多模光光纤的千千兆传输输距离不不小于5550米米，基于于5类非屏屏蔽双绞绞线的千千兆传输输距离不不小于1100米米，但事事实上，光光纤传输输距离的的问题已已经圆满满解决，至至于非屏屏蔽双绞绞线上进进行千兆兆传输，还还要解决决信号反反射和畸畸变等技技术问题题。 目前，绝绝大多数数以太网网用户在在局域网网布线中中都采用用3类或5类非屏屏蔽双绞绞线。由由于千兆兆以太网网对传输输线路要要求的限限制，事事实上，传传统以太太网用户户升级到到千兆以以太网决决不是一一个“平滑无无缝”的过程程，至少少在目前前，传统统以太网网的布线线系统很很难为千千兆以太太网所沿沿用。千千兆以太太网技术

54、术在单模模光纤上上的传输输距离现现已达到到了40000米米，显然然，这个个距离对对于园区区建筑物物之间的的互连环环境已经经足够了了，但是是对于城城域网和和广域网网，它仍仍然显得得无能为为力。 而ATTM的发发展目标标就是要要建立这这样一个个广域信信息传输输系统。它它不受任任何物理理结构的的限制，也也和所传传输的数数字数据据类型无无关。就就是说，ATM可以用于在世界上最大的广域网络中传输任何形式的数字数据信息，相信这样的目标实现以后会使绝大部分用户感到满意。 同步光光纤网(SONNET)是许多多ATMM光纤通通信的标标准，以以光纤为为传输媒媒介的AATM广广域网早早已在世世界上许许多地方方投入了

55、了商业运运行，并并发挥了了相当高高的效率率。目前前，传输输速度高高达9.6Gbbps的的广域AATM链链路也正正处于试试验阶段段。至于于普通双双绞线是是否能够够用于AATM网网络的高高速主干干链路，目目前还存存在着激激烈的争争论，但但工作桌桌面上225Mbbps的的低速连连接在AATM网网络中已已经相当当普遍。由由于ATTM在广广域网中中的出色色表现，再再加上AATM上上新推出出的反复复用技术术可以为为用户提提供145MM的带宽宽，这些些优势将将大大增增强ATTM在高高速网络络中的生生命力。差别之二二：升级的可可行性和和可用性性 由于网网络中信信息资源源的飞速速增长，传传统的联联网技术术在新的

56、的应用条条件下正正面临着着严峻的的考验。将将网络尽尽快升级级为能够够承担起起新的传传输任务务的高速速网络是是许多网网络管理理员的迫迫切要求求，而世世界上许许多知名名的网络络设备厂厂商也瞅瞅准了这这一商机机，纷纷纷推出了了各具特特色的网网络升级级解决方方案。 在千兆兆以太网网和ATTM之间间，究竟竟哪种升升级方案案更具有有可行性性和可用用性？千千兆以太太网一经经问世，便便以“以传统统以太网网技术为为基础，从从以太网网和快速速以太网网升级时时方便、快快捷，最最大限度度地保护护用户原原有投资资”为宣传传口号，这这种商业业渲染迎迎合了千千百万以以太网用用户的迫迫切需求求，很是是令人心心动。由由于千兆兆

57、以太网网采用了了和传统统的以太太网相同同的帧长长、帧格格式和媒媒体访问问层协议议，因而而在从传传统的以以太网或或是快速速以太网网升级的的具体操操作过程程中，只只需将传传统以太太局域网网的主干干设备加加插千兆兆以太网网适配模模块，在在新的网网络主干干之间形形成千兆兆链路，或或是增加加千兆以以太网，而而将原先先的网络络主干结结构移向向下级应应用即可可。它保保护了用用户在设设备和技技术方面面的投资资，也为为园区局局域网升升级提供供了较为为合理的的解决方方案。 在传统统以太局局域网所所提出的的ATMM技术升升级解决决方案中中，均采采用ATTM交换换机形成成网络主主干，这这样做难难以保护护用户已已有的投

58、投资和技技术。AATM局局域网升升级的投投资要比比以太网网升级的的投资高高得多。由由于近年年来在局局域网市市场上受受到千兆兆以太网网技术的的冲击，对对于数据据传输质质量不是是非常在在意的用用户都会会对价格格因素进进行一番番审慎的的考虑。此此外，区区别于以以太网产产品的是是，不同同厂商生生产的AATM网网络产品品之间的的工作协协调性到到目前为为止还没没有很好好地解决决，这样样，用户户在进行行ATMM网络升升级时，为为了保证证网络的的可靠性性和高效效率，也也就不得得不选用用同一厂厂商的网网络产品品，这在在一定程程度上也也限制了了ATMM技术在在桌面系系统的应应用。差差别之三三：服务质量量（QooS

59、） 千兆以以太网作作为一种种新兴的的高速网网络技术术，尽管管它将网网络主干干带宽提提升到千千兆位，但但是它仍仍然和传传统的以以太网技技术一样样缺乏拥拥塞控制制，因此此时常会会影响到到用户对对服务器器数据库库数据的的存取。同同时，它它也没有有解决多多媒体数数据传输输的问题题，而这这一直是是传统以以太网技技术的一一个弱点点。也许许，随着着千兆以以太网技技术的不不断发展展、成熟熟，千兆兆以太网网技术论论坛也将将会考虑虑制定相相应的服服务质量量标准，以以支持千千兆以太太网上高高质量实实时多媒媒体数据据的传输输。当千千兆以太太网技术术真正实实现了较较高的服服务质量量，也许许就是它它在局域域网中替替代AT

60、TM的时时候了。相相比之下下，ATTM技术术在这方方面要优优越得多多。ATTM网络络由于采采用面向向连接的的定长信信元传输输技术，而而不是通通过检查查数据包包的包头头再依靠靠路由表表传输到到目的地地址，因因而数据据传输速速度快、延延迟小。另另外，它它还具有有传统包包交换的的复用效效率。ATM是是面向连连接的，数数据传输输都是在在电路连连接以后后才进行行。它为为ATMM上的服服务质量量提供了了必要的的保证。ATM网络的QoS保证是建立在资源预留协议的基础上的。由于对服务质量的支持，ATM可以用相同的信元格式去整合各种数据和多媒体信息，然后运用多业务管理对策，对各处不同的业务类型进行流量管理和控制

61、。有了QoS，网络管理员就可以很方便地管理各种网络资源，严格掌握网络主干的带宽分配，并且根据实际应用需求，对不同的业务类型划分优先级，以确保重要或机密业务优先。正是由于ATM能够提供优异的且是目前以太网所无法达到的服务质量，所以，对QoS要求非常高的用户能够忍受ATM的昂贵价格也就不足为奇了。差别之四四：来自厂商商的支持持 由于千千兆以太太网是一一种新兴兴的连网网技术，相相应的技技术论坛坛也还成成立不久久，因此此，基于于多种物物理媒体体的数据据传输标标准正在在制定过过程之中中。许多多知名网网络厂商商（如CCiscco、3Coom和Bayy公司等等）已经经相继推推出自己己的千兆兆以太网网产品，而

62、而且做出出了“标准发发布后将将免费升升级到与与标准兼兼容”的承诺诺。这有有利于它它们在千千兆以太太网市场场竞争中中占据有有利的地地位，相相信这对对许多急急需提高高网络主主干速度度的传统统以太网网用户具具有相当当大的吸吸引力。ATM技技术的出出现比千千兆以太太网早了了三年多多，而且且目前的的ATMM网络市市场相当当繁荣。原原先由FForee、Newwbriidgee和BayyNettworrks公公司主导导的这一一市场，已已由于CCiscco和IBMM等多家家实力雄雄厚的公公司的纷纷纷介入入，打破破了本来来的格局局。如今今的ATTM论坛坛规模空空前，已已经制定定了一系系列的工工业开放放标准，以以

63、求加强强不同厂厂商的AATM产产品之间间的互操操作。如如果不同同厂商产产品的互互操作问问题得不不到解决决，各个个厂商AATM解解决方案案之间没没有可协协调之处处，那么么，ATTM的发发展必将将会受到到阻碍。在在高速网网络技术术解决方方案中，能能够满足足所有需需求、适适合所有有环境的的单一技技术还从从来没有有出现过过。千兆兆以太网网基于单单模光纤纤的传输输距离仅仅仅40000米米，在广广域网方方面几乎乎是无能能为力，但但它却能能够很方方便地提提升传统统以太网网的主干干速度。而而高速广广域网的的互连一一直是AATM的的强项，对对于千百百万传统统以太网网用户，改改头换面面的ATTM即使使能够提提供服务务质量保保证，也也难以打打动他们们。只有有在网络络升级过过程中切切实考虑虑用户的的特定需需求，将将千兆以以太网技技术和AATM技技术优势势互补，才才能提供供比较完完美的网网络升级级解决方方案，合合理地解解决网络络升级问问题，将将用户带带入通畅畅的高速速网络世世界。附件二：网络设设备1CiiscooCattalyyst665000高性能能交换机机 Cattalyyst665000系列提提供卓越越的可扩扩展性和和性能价价格