網(wǎng)絡(luò)工程項(xiàng)目建議書.doc

xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 XXX 技術(shù)中心網(wǎng)絡(luò)工程技術(shù)中心網(wǎng)絡(luò)工程 項(xiàng)目建議書項(xiàng)目建議書 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 目目 錄錄 第一章第一章 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì) 3 1 1 網(wǎng)絡(luò)系統(tǒng)建設(shè)的背景 3 1 2 網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則 3 1 3 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)說明 4 1 4 網(wǎng)絡(luò)系統(tǒng)方案特點(diǎn) 6 第二章第二章 主機(jī)系統(tǒng)主機(jī)系統(tǒng) 8 2 1 主機(jī)系統(tǒng)選型原則 8 2 2 主機(jī)系統(tǒng)選型及依據(jù) 8 2 3 主機(jī)方案特點(diǎn) 10 第三章第三章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 11 3 1 網(wǎng)絡(luò)管理 11 3 2 網(wǎng)絡(luò)安全 13 3 2 1 網(wǎng)絡(luò)安全的威脅 13 3 2 2 網(wǎng)絡(luò)安全元素 14 3 2 3 網(wǎng)絡(luò)安全的實(shí)現(xiàn) 15 附附 件件 21 附件一 局域網(wǎng)絡(luò)技術(shù) 21 附件二 網(wǎng)絡(luò)設(shè)備 33 附件三 IBM RS 6000 系列小型機(jī)服務(wù)器介紹 41 附件四 設(shè)備清單 53 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 第一章第一章 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì) 1 11 1 網(wǎng)絡(luò)系統(tǒng)建設(shè)的背景網(wǎng)絡(luò)系統(tǒng)建設(shè)的背景 隨著信息化的發(fā)展 Internet 的迅速膨脹 煙草行業(yè)競爭由為 激烈 加上常德卷煙廠技術(shù)中心業(yè)務(wù)量的飛速增長 對內(nèi)對外信息 交流越來越頻繁 同時(shí)為響應(yīng)全國煙草行業(yè)網(wǎng)的建設(shè)要求 所以常 德卷煙廠技術(shù)中心建設(shè)高性能的局域網(wǎng)是非常必要的 1 21 2 網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)原則設(shè)計(jì)原則 本系統(tǒng)本著如下原則來設(shè)計(jì) 實(shí)用 先進(jìn) 穩(wěn)定 開放 擴(kuò)展 安全和經(jīng)濟(jì) 實(shí)用性 實(shí)用性 本系統(tǒng)的建設(shè)將始終遵循 面向應(yīng)用 注重實(shí)效 的指導(dǎo)思想 緊密結(jié)合經(jīng)濟(jì)運(yùn)行 為信息服務(wù)提供現(xiàn)代化的手段 先進(jìn)性 先進(jìn)性 系統(tǒng)硬件設(shè)備和軟件平臺應(yīng)最先進(jìn) 既要反映當(dāng)今技術(shù)的先進(jìn) 水平 又應(yīng)具有很強(qiáng)的擴(kuò)展能力 同時(shí)還應(yīng)注意所選用的技術(shù) 設(shè) 備和開發(fā)工具是最普及通用和成熟的 能與最新技術(shù)接軌 對市場 的任何變化具有極強(qiáng)的適應(yīng)性 開放性 開放性 考慮到系統(tǒng)中所選用的技術(shù)和設(shè)備的協(xié)同運(yùn)行能力 保護(hù)現(xiàn)有 的資源和系統(tǒng)投資的長期效應(yīng)以及系統(tǒng)功能不斷擴(kuò)展的需要 所采 用的軟硬件平臺必須具有開放性 所采用的規(guī)范應(yīng)與生產(chǎn)廠商無關(guān) xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 擴(kuò)展性 擴(kuò)展性 由于網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展 變化日新月異 所以在本方案 設(shè)計(jì)中 所選用的技術(shù)和產(chǎn)品具有很強(qiáng)的可增長性和擴(kuò)展性 可靠性 可靠性 在社會向信息化發(fā)展的同時(shí) 也存在一種危機(jī) 即對信息技術(shù) 的依賴程度越高 系統(tǒng)失效所造成的影響也越大 因此 本系統(tǒng)的 設(shè)計(jì)必須在投資可接受的條件下 從系統(tǒng)結(jié)構(gòu) 技術(shù)措施 設(shè)備選 型以及廠商的技術(shù)服務(wù)和維修響應(yīng)能力等方面綜合考慮 確保系統(tǒng) 運(yùn)行的可靠性 安全性 安全性 在網(wǎng)絡(luò)信息時(shí)代 大流量的數(shù)據(jù)傳輸和管理在整個(gè)網(wǎng)絡(luò)系統(tǒng)中 占很重要的位置 同時(shí)有些數(shù)據(jù)文件是高度秘密 防止外來黑客的 侵入 所以在本系統(tǒng)的設(shè)計(jì)中有較好的穩(wěn)定性和安全性 經(jīng)濟(jì)性 經(jīng)濟(jì)性 本系統(tǒng)充分考慮性能價(jià)格比 按需集成 的原則 在一定的資 金規(guī)模下以達(dá)到最好的 先進(jìn)的性能 1 3 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)說明網(wǎng)絡(luò)系統(tǒng)總體設(shè)計(jì)說明 常德卷煙廠技術(shù)中心整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)采用技術(shù)先進(jìn) 成熟可靠的 交換式千兆以太網(wǎng) 兩層結(jié)構(gòu) 星型連接 在網(wǎng)絡(luò)核心層 確保連 接可靠性 建議采用兩臺業(yè)界杰出的 Cisco 6509 模塊化千兆以太網(wǎng) xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 交換機(jī)互為備份 作為系統(tǒng)主干交換機(jī) Cisco 6509 主干交換機(jī)留 有千兆端口將來和計(jì)算機(jī)中心及聯(lián)合工房連接 雙網(wǎng)百兆端口連接 內(nèi)部 IBM RS 6000 核心服務(wù)器 在網(wǎng)絡(luò)分配層 選擇帶有千兆端口 的 Cisco Catalyst 3548 交換機(jī) 為確保網(wǎng)絡(luò)分配層至網(wǎng)絡(luò)核心層 連接可靠性 Cisco 3548 交換機(jī)兩個(gè)千兆端口分別連接至兩臺互為 備份的主干交換機(jī) Cisco 6509 假如一條鏈路斷了 另一條鏈路仍 可繼續(xù)工作 網(wǎng)絡(luò)繁忙時(shí) 兩條鏈路可自動達(dá)到負(fù)載均衡 更平穩(wěn) 的傳輸數(shù)據(jù) 以免網(wǎng)絡(luò)擁塞 Cisco 3548 交換機(jī)百兆下連至各樓層 或各部門桌面計(jì)算機(jī) 詳見下圖 1 41 4 網(wǎng)絡(luò)系統(tǒng)方案特點(diǎn)網(wǎng)絡(luò)系統(tǒng)方案特點(diǎn) 1 1 局域網(wǎng)設(shè)計(jì)先進(jìn) 實(shí)現(xiàn)分層不同容量交換 局域網(wǎng)設(shè)計(jì)先進(jìn) 實(shí)現(xiàn)分層不同容量交換 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 整個(gè)網(wǎng)絡(luò)建設(shè)符合 ISO IEC11801 標(biāo)準(zhǔn)和中國工程建設(shè)規(guī)范 技 術(shù)中心局域網(wǎng)核心層 Catalyst6509 千兆位以太網(wǎng)交換機(jī)支持通道流 量 Fast EtherChannel 最大支持 384 個(gè) 10 100Mbps 端口或 130 個(gè) 1000Mbps 端口 高達(dá) 256Gbps 的背板帶寬 6509 交換機(jī)支持 IP 路由 這樣局域網(wǎng)中各桌面計(jì)算機(jī)劃分虛網(wǎng)后 可以直接通過 Catalyst 6509 完成各虛網(wǎng)之間的通訊 Cisco 6509 配置兩個(gè) SuperVisor Engineer 網(wǎng)絡(luò)模塊引擎 互為備份 兩個(gè) 8 個(gè)端口的千兆 以太網(wǎng)模塊 再配置一個(gè) 48 個(gè) 10 100M 自適應(yīng)以太網(wǎng)端口模塊 這 樣完全滿足技術(shù)中心當(dāng)前需要 又有富余 局域網(wǎng)分配層 Cisco 3548 快速以太網(wǎng)交換機(jī) 具有 48 個(gè) 10 100Mbps 端口 帶 2 個(gè)模塊 插槽 支持千兆位端口 背板帶寬高達(dá) 10 Gbps 2 2 全網(wǎng)安全可靠 全網(wǎng)安全可靠 網(wǎng)絡(luò)的主干及服務(wù)器采用冗余結(jié)構(gòu) 做到無單點(diǎn)故障對網(wǎng)絡(luò)的 影響 Cisco 6509 千兆位以太網(wǎng)交換機(jī)設(shè)置冗余電源系統(tǒng)及雙引擎 提高可靠性 機(jī)箱式設(shè)備支持模塊熱插拔 Cisco 6509 支持包過濾 級的訪問控制 可以限制特定 IP 地址及應(yīng)用通過 Cisco IOS 軟件 可升級為 Plus 版本 支持 56 位 DES 數(shù)據(jù)加密傳輸 增強(qiáng)網(wǎng)絡(luò)安全 采用先進(jìn)的虛擬網(wǎng) VLAN 技術(shù) 以減少各種業(yè)務(wù) 各種應(yīng)用數(shù)據(jù)流之 間的通信量 做到各種業(yè)務(wù)數(shù)據(jù)流量的隔離 進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安 全性 可管理性和帶寬有效利用 優(yōu)化整個(gè)網(wǎng)絡(luò) 整個(gè)網(wǎng)絡(luò)和 Internet 無實(shí)質(zhì)性的物理連接 對于要上 Internet 的計(jì)算機(jī)暫時(shí) 考慮按單機(jī)撥號上網(wǎng)的方式 上網(wǎng)前要和內(nèi)部局域網(wǎng)斷開 還有對 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 于要上網(wǎng)的計(jì)算機(jī)由專人來管理 確保安全性 3 3 網(wǎng)絡(luò)管理一體化 網(wǎng)絡(luò)管理一體化 整個(gè)網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)時(shí)均采用國際標(biāo)準(zhǔn)協(xié)議 TCP IP 所有網(wǎng)絡(luò) 設(shè)備的管理基于 SNMP 支持 RMON 和 RMON2 并由硬件實(shí)現(xiàn) 技術(shù)中 心設(shè)立網(wǎng)絡(luò)管理中心 運(yùn)用 CiscoWorks 網(wǎng)管統(tǒng)一管理 達(dá)到全網(wǎng)監(jiān) 控 控制 統(tǒng)計(jì) 維護(hù)等功能 4 4 網(wǎng)絡(luò)擴(kuò)展性強(qiáng) 保護(hù)投資 網(wǎng)絡(luò)擴(kuò)展性強(qiáng) 保護(hù)投資 技術(shù)中心核心層網(wǎng)絡(luò)設(shè)備為高性能模塊化設(shè)計(jì) Catalyst 6509 千兆位以太網(wǎng)交換機(jī)的九個(gè)插槽僅用五個(gè) 網(wǎng)絡(luò)結(jié)構(gòu)采用層次化設(shè) 計(jì) 高層網(wǎng)絡(luò)設(shè)備在不能滿足工作要求時(shí) 可降級使用 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 第二章第二章 主機(jī)系統(tǒng)主機(jī)系統(tǒng) 2 1 主機(jī)系統(tǒng)選型原則主機(jī)系統(tǒng)選型原則 代表目前商業(yè)計(jì)算機(jī)系統(tǒng)的先進(jìn)水平 具備較強(qiáng)的安全性 具備優(yōu)良的 RAS 性能 可靠性 可用性 可維護(hù)性 具備優(yōu)良的可擴(kuò)充性和升級能力 具備優(yōu)良的性能價(jià)格比 2 22 2 主機(jī)系統(tǒng)選型及依據(jù)主機(jī)系統(tǒng)選型及依據(jù) 1 1 主機(jī)系統(tǒng)選型及選擇依據(jù) 主機(jī)系統(tǒng)選型及選擇依據(jù) 1 機(jī)型及處理能力選擇及依據(jù) 對主機(jī)而言 業(yè)務(wù)服務(wù) 數(shù)據(jù)庫服務(wù)對應(yīng)的性能指標(biāo)為 SPECWeb96 和 TPC C 根據(jù) IBM 公司的推薦 IBM RS6000 在處理銀 行數(shù)據(jù)庫業(yè)務(wù)時(shí) TPC C 與業(yè)務(wù)數(shù)的關(guān)系為 1 20 即 TPC C 為 1000 的計(jì)算機(jī)每天可以處理 20000 筆銀行業(yè)務(wù) 從業(yè)務(wù)處理的復(fù)雜 程度來講 煙草行業(yè)業(yè)務(wù)相對簡單 因此 在我公司建議采用 1 30 的比例計(jì)算 以技術(shù)中心為例 假如每天處理 40 萬次業(yè)務(wù) 因此需要 TPC C 為 13000 14000 的計(jì)算機(jī) 考慮業(yè)務(wù) 15 的年增長 因此我公司推薦如下計(jì)算機(jī)系統(tǒng) 機(jī)型 TPC CSPECWeb96 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 IBM RS 6000 H70 4CPU 17133 4CPU 6958 2CPU 主機(jī)系統(tǒng)采用兩臺 IBM RS 6000 H70 加 IBM 7133 SSA 磁盤陣列 采用 RAID5 技術(shù) 運(yùn)行 IBM HACMP 雙機(jī)熱備軟件 2 IBM RS 6000 H70 特點(diǎn) H70 是 IBM 新推出的高檔 64 位 SMP 機(jī)型 支持 1 4 CPU 用于 企業(yè)級的關(guān)鍵業(yè)務(wù) H70 建立在 IBM 第二代 RISC 芯片的基礎(chǔ)上 具 有先進(jìn)的 SMP 結(jié)構(gòu) IBM 獨(dú)特的 Data Cross Bar Switch 技術(shù) 避 免了傳統(tǒng) SMP 中內(nèi)存總線競爭和數(shù)據(jù)一致性問題 提供 I O Memory 及 CPU 之間無阻塞的交換通道 RS 6000 的所有 SMP 系統(tǒng)上都標(biāo)準(zhǔn)配備有一個(gè)名為 Service Guard 的 Service Processor 這個(gè)獨(dú)立的 Processor 可執(zhí)行許多 功能 增加系統(tǒng)的 RAS 性能 例如 它可以在系統(tǒng)未開機(jī)的情況下 執(zhí)行系統(tǒng)的檢測動作 也可以在系統(tǒng)任何一個(gè)元件發(fā)生問題時(shí)自動 將系統(tǒng)重新啟動 并將有問題的元件隔離待修 不需人工的處理 H70 具有優(yōu)良的擴(kuò)展能力 支持 4CPU 8GB 內(nèi)存 根據(jù)處理能 力分析 單 CPU 時(shí)已經(jīng)具備了處理煙草業(yè)務(wù)的能力 只須少加擴(kuò)展 便可支持其他多種業(yè)務(wù) 2 2 磁盤陣列 磁盤陣列 IBMIBM 71337133 SSASSA 系統(tǒng)系統(tǒng) 7133 SSA 磁盤陣列是 IBM 在存儲產(chǎn)品領(lǐng)域中的領(lǐng)先產(chǎn)品 打破 了 SCSI 傳統(tǒng)的總線結(jié)構(gòu) 獨(dú)特的環(huán)行結(jié)構(gòu)支持 48 個(gè)磁盤 80Mb s 的傳輸速率 IBM SSA 適配器支持 2 個(gè)環(huán)路 既支持 160Mb s 的數(shù) 據(jù)通訊速率 SSA 的環(huán)路結(jié)構(gòu)支持冗余功能 是 SCSI 結(jié)構(gòu)所不具備 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 的 當(dāng) SSA 的環(huán)路斷開時(shí) 并不影響數(shù)據(jù)的讀寫 僅僅是速率變?yōu)?40Mb s 而 SCSI 系統(tǒng)總線斷開時(shí) 整個(gè)總線上的硬盤系統(tǒng)便會崩潰 3 3 雙機(jī)熱備份軟件 雙機(jī)熱備份軟件 IBMIBM HACMPHACMP HACMP 是 IBM 公司極負(fù)盛名的集群多處理軟件 可以支持 16 個(gè) 節(jié)點(diǎn) 不僅支持虛擬 IP 地址 虛擬主機(jī)名 可選支持并行數(shù)據(jù)庫 而且支持 MAC 地址的切換 這意味著當(dāng)主機(jī)發(fā)生意外時(shí) 備份機(jī)不 僅接管主機(jī)的 IP 地址 主機(jī)名 而且接管主機(jī)網(wǎng)卡的 MAC 地址 從 而真正作到無縫接管 即 Client 端不必重新啟動計(jì)算機(jī)或刷新 ARP 表 便可直接與主機(jī) 實(shí)際為備份機(jī) 通訊 這才是真正意義上的 熱備份 4 4 系統(tǒng)備份設(shè)計(jì) 系統(tǒng)備份設(shè)計(jì) 配備 IBM 3590 磁帶庫 存儲量為 100GB 300GB 壓縮 帶庫 提供 9M S 非壓縮 的數(shù)據(jù)傳輸率 可對大量數(shù)據(jù)進(jìn)行備份和數(shù)據(jù) 恢復(fù) 尤其對于查詢 5 年以前的歷史數(shù)據(jù) 具有很高的優(yōu)越性 2 32 3 主機(jī)方案特點(diǎn)主機(jī)方案特點(diǎn) 技術(shù)中心系統(tǒng)采用 HACMP 雙機(jī)熱備份方式 可以提高系統(tǒng)可靠性 系統(tǒng)根據(jù)業(yè)務(wù)量需求 采用合適機(jī)型 充分考慮性能價(jià)格比 提供合理有效的備份方式 保障數(shù)據(jù)安全 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 第三章第三章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全 3 13 1 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 網(wǎng)絡(luò)互聯(lián)使得管理變得更加困難 同時(shí)也更加重要 對于煙草 行業(yè) 整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理 形成集中與分散的網(wǎng)絡(luò)管理結(jié)構(gòu)體系 是非常重要的 目前 網(wǎng)絡(luò)管理大多基于 SNMP 簡單網(wǎng)管協(xié)議 以下簡單介紹 SNMP 管理的基礎(chǔ) 1 1 ISOISO 管理框架管理框架 國際標(biāo)準(zhǔn)化組織 ISO 把網(wǎng)絡(luò)管理任務(wù)分成以下五個(gè)部分 配置管理配置管理 大多數(shù)智能設(shè)備需要某種形式的配置信息 配置管理功能允許 某種形式的的友好界面在 NMS 網(wǎng)管工作站 中輸入配置信息 并 把這個(gè)信息傳遞到被管理的設(shè)備上 增強(qiáng)的功能還包括對大多數(shù)的 遠(yuǎn)程設(shè)備的配置信息進(jìn)行檢查的能力 這保證了對軟件版本的嚴(yán)格 控制 性能管理性能管理 NMS 是在網(wǎng)絡(luò)上收集性能數(shù)據(jù)的好地方 在理論上 這個(gè)數(shù)據(jù) 可以放在相同的模型軟件包中 該軟件包首先用于設(shè)計(jì)網(wǎng)絡(luò) 這將 允許為指定的系統(tǒng)改進(jìn)和定制模型 故障管理故障管理 這是網(wǎng)絡(luò)管理最成功的一個(gè)方面 目標(biāo)是在用戶抱怨網(wǎng)絡(luò)問題 之前讓網(wǎng)絡(luò)管理員找出它們 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 安全管理安全管理 當(dāng)網(wǎng)間網(wǎng)的規(guī)模變得很大 并開始彼此互聯(lián)時(shí) 安全就成了一 個(gè)主要的問題 安全屏蔽和自陷 觸發(fā)警報(bào) 可以配置在網(wǎng)絡(luò)上 如果這些設(shè)備受到入侵 被管理的設(shè)備或 NMS 的安全管理功能負(fù) 責(zé)觸發(fā)警報(bào) 安全管理的一個(gè)更為廣闊的形式是保證安全策略在整 個(gè)網(wǎng)絡(luò)上是一致的 實(shí)際上 如果我們把網(wǎng)間網(wǎng)看作一個(gè)擴(kuò)展的計(jì) 算機(jī)系統(tǒng) 安全系統(tǒng)就代替了操作系統(tǒng)的安全功能 記帳管理記帳管理 網(wǎng)間網(wǎng)耗費(fèi)資金 它們存在的理由是它們可以使公司的效率更 高 最終的費(fèi)用決定于網(wǎng)間網(wǎng)服務(wù)的使用 對于 TCP IP 管理 記帳 管理是所有管理中功能最不完善的 經(jīng)過了幾年的時(shí)間 這五個(gè)管理概念以不同程度作為管理系統(tǒng) 的核心功能而相繼被采用 在 TCP IP 領(lǐng)域中 唯一具有商業(yè)重要性 的管理結(jié)構(gòu)是 SNMP 2 2 網(wǎng)絡(luò)管理方案網(wǎng)絡(luò)管理方案 本網(wǎng)絡(luò)設(shè)置網(wǎng)絡(luò)管理系統(tǒng) 實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)實(shí)現(xiàn)統(tǒng)一的管理 在中心機(jī)房的網(wǎng)絡(luò)管理員可以通過遠(yuǎn)程登錄和圖形化界面的網(wǎng)絡(luò)管 理系統(tǒng)管理整個(gè)局域網(wǎng) 包括局域網(wǎng)的 VLAN 設(shè)置等 本方案設(shè)計(jì)中 網(wǎng)管工作站采用一臺 HP 工作站作為網(wǎng)絡(luò)管理系 統(tǒng) 網(wǎng)絡(luò)管理軟件采用 CiscoWorks 2000 本網(wǎng)絡(luò)的安全需求要在常德卷煙廠信息系統(tǒng)安全的統(tǒng)一規(guī)劃下 來指定具體的規(guī)則來實(shí)施 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 3 23 2 網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全 網(wǎng)絡(luò)互聯(lián)融入到社會的各個(gè)方面 網(wǎng)絡(luò)的安全 包括網(wǎng)上信息 數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務(wù)的運(yùn)行安全 日益成為與國家 政府 企 業(yè) 個(gè)人的利益休戚相關(guān)的大事 煙草行業(yè)網(wǎng)要防止因信息泄密 數(shù)據(jù)丟失等 給國家和行業(yè)造 成無法估量的損失 在行業(yè)網(wǎng)安全和信息保密管理上必須做到 1 嚴(yán)格遵照執(zhí)行國家有關(guān)部委的要求和規(guī)定 各級信息中心 或計(jì)算機(jī)主管部門要協(xié)助同級保密委 辦 的工作 設(shè)專人 負(fù)責(zé)網(wǎng)絡(luò)安全和信息保密工作 2 嚴(yán)格執(zhí)行國家局有關(guān)部門下發(fā)的 煙草行業(yè)計(jì)算機(jī)通信信 息網(wǎng)絡(luò)安全保護(hù)規(guī)定 國煙辦 1998 305 號文 和 煙草行 業(yè)計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定 國煙保 1999 373 號 文 3 上網(wǎng)信息要建立逐級審核機(jī)制 建立保密安全責(zé)任制 3 2 13 2 1 網(wǎng)絡(luò)安全的威脅網(wǎng)絡(luò)安全的威脅 網(wǎng)絡(luò)面臨的安全威脅大體可分為兩種 一是對網(wǎng)絡(luò)數(shù)據(jù)的威脅 二是對網(wǎng)絡(luò)設(shè)備的威脅 總結(jié)起來 大致有下面幾種主要威脅 非人為 自然力造成的數(shù)據(jù)丟失 設(shè)備失效 線路阻斷 人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失 來自外部和內(nèi)部人員的惡意攻擊和入侵 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 前面兩種的預(yù)防與傳統(tǒng)電信網(wǎng)絡(luò)基本相同 最后一種是當(dāng)前互 聯(lián)網(wǎng)絡(luò)所面臨的最大威脅 是電子商務(wù) 政府上網(wǎng)工程等順利發(fā)展 的最大障礙 也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問題 3 2 23 2 2 網(wǎng)絡(luò)安全元素網(wǎng)絡(luò)安全元素 物理安全的目的是保護(hù)路由器 交換機(jī) 工作站 各種網(wǎng)絡(luò)服 務(wù)器 打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害 人為破壞和搭 線竊聽攻擊 驗(yàn)證用戶的身份和使用權(quán)限 防止用戶越權(quán)操作 確 保網(wǎng)絡(luò)設(shè)備有一個(gè)良好的電磁兼容工作環(huán)境 建立完備的機(jī)房安全 管理制度 妥善保管備份磁帶和文檔資料 防止非法人員進(jìn)入機(jī)房 進(jìn)行偷竊和破壞活動 抑制和防止電磁泄漏是物理安全的一個(gè)主要問題 目前主要防 護(hù)措施有兩類 一類是對傳導(dǎo)發(fā)射的防護(hù) 主要采取對電源線和信 號線加裝性能良好的濾波器 減小傳輸阻抗和導(dǎo)線間的交叉耦合 另一類是對輻射的防護(hù) 這類防護(hù)措施又可分為以下兩種 一是采 用各種電磁屏蔽措施 如對設(shè)備的金屬屏蔽和各種接插件的屏蔽 同時(shí)對機(jī)房的下水管 暖氣管和金屬門窗進(jìn)行屏蔽和隔離 二是干 擾的防護(hù)措施 即在計(jì)算機(jī)系統(tǒng)工作的同時(shí) 利用干擾裝置產(chǎn)生一 種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的 工作頻率和信息特征 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 3 2 33 2 3 網(wǎng)絡(luò)安全的實(shí)現(xiàn)網(wǎng)絡(luò)安全的實(shí)現(xiàn) 1 網(wǎng)絡(luò)隔離 根據(jù)功能 保密水平 安全水平等要求的差異將網(wǎng)絡(luò)進(jìn)行分段 隔離 對整個(gè)網(wǎng)絡(luò)的安全性有很多好處 可以實(shí)現(xiàn)更為細(xì)化的安全 控制體系 將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi) 提 高網(wǎng)絡(luò)整體的安全水平 路由器 虛擬網(wǎng) VLAN 防火墻是當(dāng)前主 要的網(wǎng)絡(luò)分段手段 前面兩種的配置較為直觀 下面主要分析防火 墻技術(shù) 虛擬網(wǎng)絡(luò)虛擬網(wǎng)絡(luò) VLAN VLAN 技術(shù)技術(shù) VLAN 是建立在各種交換技術(shù)基礎(chǔ)之上的 所謂交換實(shí)質(zhì)上只是 物理網(wǎng)絡(luò)上的一個(gè)控制點(diǎn) 它由軟件進(jìn)行管理 所以允許用戶利用 軟件功能靈活地配置資源 管理網(wǎng)絡(luò) 利用交換設(shè)備中的虛網(wǎng)功能 不必改變網(wǎng)絡(luò)的物理基礎(chǔ) 即可重新配置網(wǎng)絡(luò) 采用虛網(wǎng)功能 網(wǎng) 絡(luò)性能可以獲得較大的改善 1 虛網(wǎng)技術(shù)能對工作組業(yè)務(wù)進(jìn)行過濾 有效地分割通信量 因而 能更好地利用帶寬 提高網(wǎng)絡(luò)總的吞吐量 2 采用虛網(wǎng)技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個(gè)網(wǎng)段 而不用更改布線 因?yàn)樘摼W(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分 子網(wǎng)的 所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴(kuò)容壓力 將遷移費(fèi)用降 至至最小 3 采用虛網(wǎng)技術(shù)能有效隔離網(wǎng)絡(luò)設(shè)備 增加網(wǎng)絡(luò)的安全性和保密 性 虛擬網(wǎng)絡(luò)的安全策略采用的主要主要協(xié)議為 I 議為 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 IEEE802 10 此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個(gè)網(wǎng)絡(luò)內(nèi)部數(shù) 據(jù)據(jù)的保密性和完整性 4 虛網(wǎng)技術(shù)能對屬于同一工作組的用戶提供廣播服務(wù) 但與傳統(tǒng) 的局域網(wǎng)協(xié)議所不同的是 虛擬局域網(wǎng)能限制廣播的區(qū)域域 從而 節(jié)省網(wǎng)絡(luò)帶寬 5 虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡(luò)上 用封裝的辦法支法 支持不不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議 如 SNMP NMP IPX TCP IP IEEE802 33 等 兼容性非常好性非常 好 6 虛擬網(wǎng)絡(luò)中的主要應(yīng)用技用技術(shù)為 虛網(wǎng)中繼 VLAN Trunking 特有技術(shù)特有技術(shù)的采用也成成為了必然 必然 簡而言 之 VLAN Trunking 主主要是通過一條高速全雙工通道 200Mbps 來 來 實(shí)現(xiàn)將將一個(gè) LAN Switch 端口所劃分的不同 VLAN 與其它 LAN Switch 中各自相應(yīng)的 VLAN 成員進(jìn)行線路復(fù)用連接的技術(shù) VLAN Trunking 技術(shù)的采用 既節(jié)省了信道數(shù)據(jù)量 又提高了可靠性 并 便于管理及方便連接 提高了整個(gè)網(wǎng)絡(luò)吞吐量和性能指標(biāo) 其原理如下圖所示 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 V1V2V3V4V1V2V4V1V1V2V3 200Mbps Bandwidth 200Mbps Bandwidth VLAN 1 to VLAN 4 VLAN 2 to VLAN 2 V VL LA AN N T Tr ru un nk ki in ng g 技 技 技 技 如果采用 VLAN trunking 的技術(shù) 則 V1 V2 V3 均可通過一 條全雙工的 100Mbps 即 200Mbps 的速率與上級 LAN Switch 進(jìn)行互 通并經(jīng)過位于樹根部的路由器進(jìn)行路由與其它的 VLAN 進(jìn)行通訊 VLAN trunking 技術(shù)的優(yōu)點(diǎn)在于采用一條高速通道連接 提高了通 道的使用效率 如在 如在 V2 V3 無數(shù)據(jù)量的情況下 V1 可以獨(dú) 占此 100M 帶寬 并且可以使得線路的連接變得簡單 從而大大提高 可靠性與易維護(hù)性 2 防火墻 防火墻在網(wǎng)絡(luò)中的地位與它的名字非常相似 它根據(jù)網(wǎng)絡(luò)安全 水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對獨(dú)立的子網(wǎng) 兩側(cè)間的通 信受到防火墻的檢查控制 它可以根據(jù)既定的安全策略允許特定的 用戶和數(shù)據(jù)包穿過 同時(shí)將安全策略不允許的用戶和數(shù)據(jù)包隔斷 達(dá)到保護(hù)高安全等級的子網(wǎng) 阻止墻外黑客的攻擊 限制入侵的蔓 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 延等目的 根據(jù)防火墻的位置 可以分為外部防火墻和內(nèi)部防火墻 外部防火墻將企業(yè)網(wǎng)與外部網(wǎng)隔離開來 而內(nèi)部防火墻的任務(wù)經(jīng)常 是在各個(gè)部門子網(wǎng)之間進(jìn)行通信檢查控制 網(wǎng)絡(luò)安全體系不應(yīng)該提 供外部系統(tǒng)跨越安全系統(tǒng)直接到達(dá)受保護(hù)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的途徑 安全體系在任何情況下都不應(yīng)該被旁路 防火墻并不是萬能的 它 在很多方面存在弱點(diǎn) 它無法防止來自防火墻內(nèi)側(cè)的攻擊 對各種 已識別類型的攻擊的防御有賴于正確的配置 對各種最新的攻擊類 型的防御取決于防火墻知識庫更新的速度和相應(yīng)的配置更新的速度 一般來說 防火墻擅長于保護(hù)設(shè)備服務(wù) 而不擅長保護(hù)數(shù)據(jù) 并且 防火墻可能會導(dǎo)致內(nèi)部網(wǎng)絡(luò)安全管理的松懈 3 防火墻的基本類型 實(shí)現(xiàn)防火墻的技術(shù)包括兩大類型 包過濾 PF 應(yīng)用級防火墻 它們之間各有所長 具體使用哪一種或是否混合使用 要看具體需 要 1 包過濾型防火墻 檢查的范圍涉及網(wǎng)絡(luò)層 傳輸層和會話層 過濾匹配的原則可以包 括源地址 目的地址 傳輸協(xié)議 目的端口等 還可以根據(jù) TCP 序 列號 TCP 連接的握手序列 如 SYN ACK 的邏輯分析等進(jìn)行判斷 較為有效地抵御類似 IP Spoofing Sync flooding 等類型的攻擊 路由器通過配置其中的訪問控制列表 Access list 可以作為包過 濾防火墻使用 但是過多的控制列表會嚴(yán)重降低路由器的性能 所 以在業(yè)務(wù)量較大的場合需要將路由和包過濾兩種功能分開 也就是 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 說有必要單獨(dú)購買專門的防火墻 訪問控制表 ACL 定義了各種規(guī)則來表明是否同意或拒絕包的通過 包過濾防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符 如果規(guī)則都不符合 則缺省操作為丟棄該包 包過濾型防火墻 配置 簡潔 速度快 費(fèi)用較低 并且對用戶透明 但是對應(yīng)用層的信息 無法控制 對內(nèi)網(wǎng)的保護(hù)有限 Cisco 公司的 PIX 就屬于該類型的防火墻產(chǎn)品 另外 各種路由器 和 UNIX 主機(jī)都可以經(jīng)過配置作為簡單的防火墻使用 來滿足一般的 需要 2 應(yīng)用級防火墻 應(yīng)用級防火墻能夠檢查進(jìn)出的數(shù)據(jù)包 透視應(yīng)用層協(xié)議 與既定的 安全策略進(jìn)行比較 該類型防火墻能夠進(jìn)行更加細(xì)化復(fù)雜的安全訪 問控制 并做精細(xì)的注冊和稽核 根據(jù)是否允許兩側(cè)通信主機(jī)直接 建立鏈路 又可以分為網(wǎng)關(guān)和代理兩種 前者允許兩側(cè)建立直接連 接 而是依靠某種算法來識別進(jìn)出的應(yīng)用層數(shù)據(jù) 這些算法通過已 知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包 而后者通過特定的代理程 序在兩側(cè)主機(jī)間復(fù)制傳遞數(shù)據(jù) 不允許建立直接連接 每一種應(yīng)用 需要相應(yīng)的代理軟件 使用時(shí)防火墻負(fù)載較大 效率不如前者 目 前在市場上流行的防火墻大多屬于應(yīng)用級防火墻 4 防火墻的安全功能 各種防火墻的安全性能不盡相同 一般來說 防火墻采取以下 幾種安全措施 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 1 內(nèi)容檢查 2 用戶認(rèn)證 3 負(fù)載分擔(dān) 4 網(wǎng)絡(luò)地址翻譯 5 開放式結(jié)構(gòu)設(shè)計(jì) 6 圖形化的實(shí)時(shí)監(jiān)視 在本方案網(wǎng)絡(luò)安全設(shè)計(jì)中 選擇防火墻隔離內(nèi)部局域網(wǎng)與外部網(wǎng) 采用國產(chǎn)的能士防火墻 具有防止黑客的侵入等等功能 通過防火 墻來保護(hù)內(nèi)部數(shù)據(jù)信息的安全 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 附附 件件 附件一 局域網(wǎng)絡(luò)技術(shù)附件一 局域網(wǎng)絡(luò)技術(shù) 1 1 1 1概述概述 計(jì)算機(jī)局域網(wǎng)指的是在較小范圍內(nèi) 一般在 10 公里之內(nèi) 速 度較高 一般在 5M 以上 的計(jì)算機(jī)網(wǎng)絡(luò) 目前 在國內(nèi)的局域網(wǎng)市場中以太網(wǎng) Ethernet 以安裝方便 靈活易用等優(yōu)點(diǎn)占據(jù)著主導(dǎo)地位 但是隨著網(wǎng)絡(luò)應(yīng)用的大量增加 標(biāo)準(zhǔn)的 10M 共享式以太網(wǎng)的缺點(diǎn)逐漸暴露出來 尤其是多媒體技術(shù) 對實(shí)時(shí)傳送聲音與視頻的要求 使其愈發(fā)顯得力不從心 不堪重負(fù) 網(wǎng)絡(luò)性能下降 網(wǎng)絡(luò)傳輸速率成為網(wǎng)絡(luò)應(yīng)用的瓶頸 為消除網(wǎng)絡(luò)瓶頸 各種新的網(wǎng)絡(luò)傳輸技術(shù)不斷涌現(xiàn) 這些技術(shù) 主要依靠提高帶寬和采用交換技術(shù) 改變共享式結(jié)構(gòu)的方法 100M 共享式以太網(wǎng) 100BASE X 的出現(xiàn) 緩解了以太網(wǎng)帶寬不夠的問題 它將以太網(wǎng)的帶寬提高至 100M 從而滿足了大多數(shù)應(yīng)用系統(tǒng)包括部 分多媒體信息傳輸?shù)囊?1 1 2 2 局域網(wǎng)的拓?fù)浣Y(jié)構(gòu)局域網(wǎng)的拓?fù)浣Y(jié)構(gòu) 拓?fù)浣Y(jié)構(gòu)描述了網(wǎng)絡(luò)設(shè)備之間的連接和信息流動關(guān)系 目前 局域網(wǎng)廣泛使用的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有星型 總線型 環(huán)型 和混合型等 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 1 星型拓?fù)浣Y(jié)構(gòu) 所謂星型網(wǎng)絡(luò)結(jié)構(gòu)就是點(diǎn)對點(diǎn)形式 將網(wǎng)絡(luò)各站點(diǎn)連接到一個(gè) 中心站點(diǎn)的網(wǎng)絡(luò)結(jié)構(gòu) 由于集線器 交換機(jī)等設(shè)備大量的應(yīng)用 采 用星型拓?fù)浣Y(jié)構(gòu)的局域網(wǎng)越來越普遍 其特點(diǎn)有 可靠性高 任何一個(gè)站點(diǎn)的故障都不會影響整個(gè)網(wǎng)絡(luò)的運(yùn)行 連接簡單 安裝方便 維護(hù)管理簡單 故障的檢測和隔離方便 升級擴(kuò)展容易 只需擴(kuò)充中心設(shè)備的容量和更換新設(shè)備即可 盡管 星型網(wǎng)絡(luò)結(jié)構(gòu)也存在著投資較多 中心設(shè)備要求較高的 缺點(diǎn) 當(dāng)前 大多數(shù)局域網(wǎng)都采用星型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 2 總線型拓?fù)浣Y(jié)構(gòu) 總線型拓?fù)浣Y(jié)構(gòu)就是采用單根電纜作為網(wǎng)絡(luò)傳輸介質(zhì) 所有網(wǎng) 絡(luò)點(diǎn)都串接到該電纜上 該傳輸電纜稱為總線 因?yàn)樗械男盘柖荚诳偩€上傳播 在某一時(shí)刻可能有兩個(gè)或兩 個(gè)以上站點(diǎn)傳播信號 而造成信息碰撞 因此需要介質(zhì)訪問控制策 略來決定哪個(gè)站點(diǎn)傳輸信號 總線拓?fù)浣Y(jié)構(gòu)主要優(yōu)點(diǎn)是所需電纜少 易于布線和維護(hù) 擴(kuò)充性好等 缺點(diǎn)是傳輸速度慢 容易產(chǎn)生信息 擁塞等 3 環(huán)型拓?fù)浣Y(jié)構(gòu) 環(huán)型拓?fù)浣Y(jié)構(gòu) 各工作站連接到一個(gè)中繼器上 中繼器通過電 纜連成一個(gè)閉合的環(huán) 所有工作站共享該環(huán)路 環(huán)型拓?fù)浣Y(jié)構(gòu)優(yōu)點(diǎn) 是所需電纜長度短 布線簡單 特別適合于光纖媒體 其缺點(diǎn)是重 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 新配置網(wǎng)絡(luò) 故障診斷和隔離比較困難 4 樹型拓?fù)浣Y(jié)構(gòu) 樹型拓?fù)浣Y(jié)構(gòu)結(jié)合了總線型和星型拓?fù)浣Y(jié)構(gòu)的優(yōu)點(diǎn) 易于擴(kuò)展 和故障隔離 1 1 3 310M10M 以太網(wǎng)以太網(wǎng) 本技術(shù)遵循的標(biāo)準(zhǔn)是 IEEE802 3 本技術(shù)使用 CSMA CD 載波監(jiān) 聽多路訪問 碰撞檢測 的技術(shù) CSMA CD 上的每一個(gè)站點(diǎn)都能隨時(shí) 訪問網(wǎng)絡(luò)上的任何資源 在數(shù)據(jù)傳輸之前 每個(gè)工作站監(jiān)聽網(wǎng)絡(luò)是 否正在被使用 如果網(wǎng)絡(luò)正在被使用 當(dāng)前站點(diǎn)處于等待狀態(tài) 如 果沒被使用 當(dāng)前站點(diǎn)開始傳送數(shù)據(jù) 當(dāng)兩個(gè)工作站同時(shí)監(jiān)聽到網(wǎng) 絡(luò)空閑時(shí) 則同時(shí)開始傳送數(shù)據(jù) 這樣就出現(xiàn)了碰撞 在這種情況 下 同時(shí)發(fā)送的數(shù)據(jù)都是無效的 兩個(gè)工作站會在隨后的某個(gè)時(shí)刻 各自重新發(fā)送數(shù)據(jù) 由于使用了 CSMA CD 的技術(shù) 兩臺工作站知道 何時(shí)重發(fā)數(shù)據(jù) 本技術(shù)的優(yōu)點(diǎn)是造價(jià)便宜 但其缺點(diǎn)是網(wǎng)絡(luò)的利用 率極低 不適應(yīng)應(yīng)用發(fā)展對網(wǎng)絡(luò)帶寬的要求 1 1 4 4100M100M 以太網(wǎng)以太網(wǎng) 本技術(shù)遵循的標(biāo)準(zhǔn)是 IEEE802 3u 100M 以太網(wǎng)是一種高速局域 網(wǎng) 它為工作站和服務(wù)器提供了更高的帶寬 它和 10M 的技術(shù)一樣 采用了相同的 IEEE802 3 介質(zhì)訪問控制和沖突檢測方法 100M 技術(shù) 是對 10M 技術(shù)的重大改進(jìn) 緩解了網(wǎng)絡(luò)應(yīng)用對帶寬的需求 100M 的 以太網(wǎng)由于其高帶寬 技術(shù)成熟 簡單易用 同時(shí)又與 10M 以太網(wǎng) 兼容 所以是中小企業(yè)建設(shè)自己的局域網(wǎng)的首選技術(shù) xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 快速以太網(wǎng)與以太網(wǎng)的比較快速以太網(wǎng)與以太網(wǎng)的比較 性能性能快速以太網(wǎng)快速以太網(wǎng)以太網(wǎng)以太網(wǎng) 傳輸速度 100Mbit s10Mbit s 標(biāo)準(zhǔn) IEEE802 3uIEEE802 3 介質(zhì)訪問 控制 CSMA CDCSMA CD 拓?fù)浣Y(jié)構(gòu)星型總線或星型 傳輸介質(zhì)UTP STP 光纖電纜 UTP 光纖 最大長度雙絞線 100 米 光纖 2000 米 雙絞線 100 米 光纖 2000 米全雙工支 持 支持支持 廠商支持廣泛廣泛 1 1 5 5FDDIFDDI 光纖分布式數(shù)據(jù)接口 FDDI 規(guī)定了采用光纖的 100M 雙令牌環(huán)局 域網(wǎng) FDDI 通常被用作高速骨干網(wǎng)絡(luò)技術(shù) 因?yàn)樗韧S電纜支持 更高的的帶寬和更遠(yuǎn)的傳輸距離 FDDI 采用雙環(huán)的體系結(jié)構(gòu) 兩環(huán) 上的信息反向流動 雙環(huán)中一環(huán)成為主環(huán) 另一環(huán)稱為次環(huán) 在正 常情況下 主環(huán)傳輸數(shù)據(jù) 次環(huán)處于空閑狀態(tài) 雙環(huán)可以提高網(wǎng)絡(luò) 的穩(wěn)定性和可靠性 FDDI 主要優(yōu)點(diǎn)為帶寬高 穩(wěn)定性高 可靠性高 缺點(diǎn)是建設(shè)造 價(jià)高 FDDI 可以作為高速局域網(wǎng)在小范圍內(nèi)互聯(lián)高速計(jì)算機(jī)系統(tǒng) 或作為城域網(wǎng)互聯(lián)較小的網(wǎng)絡(luò) 或作為主干網(wǎng)用于互聯(lián)分布在較大 范圍的計(jì)算機(jī) 1 1 5 5 1 1FDDIFDDI 的主要技術(shù)指標(biāo)的主要技術(shù)指標(biāo) 數(shù)據(jù)傳輸速率為 100Mbit s xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 單點(diǎn)間最大距離可達(dá) 2 公里 最多可連接的站點(diǎn)數(shù) 1000 個(gè) 傳輸介質(zhì)為光纖 網(wǎng)絡(luò)覆蓋范圍可達(dá) 100 公里 介質(zhì)訪問控制協(xié)議為定時(shí)令牌傳遞 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為雙向環(huán) 1 1 5 5 2 2FDDIFDDI 的優(yōu)點(diǎn)與缺點(diǎn)的優(yōu)點(diǎn)與缺點(diǎn) FDDIFDDI 作為一種高速 高可靠的網(wǎng)絡(luò)技術(shù) 具有以下優(yōu)點(diǎn) 作為一種高速 高可靠的網(wǎng)絡(luò)技術(shù) 具有以下優(yōu)點(diǎn) 提供 100Mbit s 傳輸速度 適用于高速業(yè)務(wù)傳送 采用雙環(huán)結(jié)構(gòu) 提供容錯(cuò)和故障隔離 具有故障自動愈合功能 因此 網(wǎng)絡(luò)可靠性極高 使用光纖介質(zhì) 具有抗干擾 不產(chǎn)生電磁輻射和光隔離等優(yōu)點(diǎn) 傳輸距離遠(yuǎn) 覆蓋范圍大 適合作為大型企業(yè)級主干網(wǎng) FDDIFDDI 也存在如下缺點(diǎn) 也存在如下缺點(diǎn) 設(shè)備較貴 靈活性較差 1 1 5 5 3 3FDDIFDDI 技術(shù)特點(diǎn)技術(shù)特點(diǎn) FDDI 作為一種局域主干網(wǎng)技術(shù) 廣泛用于連接各類速率為 100Mbit s 的局域網(wǎng) FDDI 具有如下技術(shù)特點(diǎn) FDDI 采用多模光纖 無需使用昂貴的單模光纖 采用發(fā)光二極 管 LED 作為光源 無需使用昂貴的激光二極管 FDDI 包括兩個(gè)光環(huán) 一個(gè)順時(shí)針方向傳輸 另一個(gè)逆時(shí)針方向 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 傳輸 任意一個(gè)發(fā)生故障 另一個(gè)作為備份 如果兩個(gè)環(huán)同一點(diǎn)發(fā) 生故障 則兩個(gè)環(huán)可合成為一個(gè)單環(huán) 可靠性極高 FDDI 定義了 A 和 B 兩類站點(diǎn) A 類站點(diǎn)可連接到兩個(gè)環(huán)上 因 此 具有故障自動愈合功能 由于兩條鏈路連接到 FDDI 網(wǎng)絡(luò)上 當(dāng) 主環(huán)出現(xiàn)故障時(shí) 它可以使用備份環(huán)來傳遞數(shù)據(jù) B 類站點(diǎn)只能連 接到其中一個(gè)環(huán)上 因此無故障愈合功能 但價(jià)格較底 物理層 FDDI 使用 4B 5B 編碼技術(shù)來提高傳輸效率 FDDI 使用定時(shí)令牌傳遞介質(zhì)訪問控制 為了發(fā)送數(shù)據(jù) 站點(diǎn)必 須取得令牌控制權(quán)后才能發(fā)送數(shù)據(jù) 1 1 6 6 千兆以太網(wǎng)千兆以太網(wǎng) 1 1 6 6 1 1 千兆以太網(wǎng)簡介千兆以太網(wǎng)簡介 千兆以太網(wǎng)繼續(xù)延用其他種類的以太網(wǎng)幀格式 延用網(wǎng)管員現(xiàn) 在的應(yīng)用 管理工具 配置 安裝和故障排除手段 從而使得企業(yè) 在已有硬件和應(yīng)用的配置和培訓(xùn)上進(jìn)行很小投資即可獲得性能的大 幅度提高 1 1 6 6 2 2 千兆以太網(wǎng)技術(shù)千兆以太網(wǎng)技術(shù) 以太網(wǎng)是目前使用最廣泛的網(wǎng)絡(luò)技術(shù) 千兆以太網(wǎng)是以太網(wǎng)技 術(shù)的最新發(fā)展 它在速度上比傳統(tǒng)以太網(wǎng)快 100 倍 而技術(shù)上卻與 以太網(wǎng)兼容 同樣使用 CSMA CD 和 MAC 協(xié)議 使得升級費(fèi)用大大低 于向 ATM 升級的費(fèi)用 隨著有關(guān)千兆網(wǎng)標(biāo)準(zhǔn)的逐一制定和完善 各 種設(shè)備也將大量推出 因此 如何平穩(wěn)地升級到千兆網(wǎng)將是廣大網(wǎng) 絡(luò)管理人員面臨的一大課題 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 千兆網(wǎng)采用與以太網(wǎng)和快速以太網(wǎng)同樣的標(biāo)準(zhǔn) 保留了以太網(wǎng) 的幀格式 流量控制及鏈路層管理 因此千兆網(wǎng)與傳統(tǒng)以太網(wǎng)互相 兼容 IP 子網(wǎng)的結(jié)構(gòu)及地址都可以用在千兆交換設(shè)備上而無需任何 修改 此外 千兆網(wǎng)采用同樣的管理協(xié)議及管理工具 使用同樣的 MIB 管理系統(tǒng)庫 結(jié)構(gòu)及 RMONAgent 使得升級后的網(wǎng)絡(luò)管理可以 很方便地掌握 按 IEEE802 3z 標(biāo)準(zhǔn) 千兆以太網(wǎng)與快速以太網(wǎng)及 FDDI 一樣 采用 FIBERCHANNEL 光纖傳送標(biāo)準(zhǔn)及 8B 10B 編碼方式 使得原有的光纖及短距離銅軸線纜可繼續(xù)使用 根據(jù)即將正式采用 的 IEEE802 3ab 5 類 UTP 也可以用于 25 100 米內(nèi)的千兆網(wǎng)信號傳 輸 但由于千兆網(wǎng)的傳輸速率達(dá) 1000Mbps 所以有兩個(gè)問題必須注 意 一是所有與千兆網(wǎng)直接相連的設(shè)備接口必須是千兆接口 或者 采用千兆接口板 NIC 第二 信號傳輸距離將比原來的短 即整個(gè) 網(wǎng)絡(luò)的直徑將會減小 需要增加中繼器來克服這一問題 千兆以太 網(wǎng)能夠繼續(xù)延用其他種類的以太網(wǎng)幀格式 延用網(wǎng)管員現(xiàn)在的應(yīng)用 管理工具 配置 安裝和故障排除手段 從而使得企業(yè)在已有硬件 和應(yīng)用的配置和培訓(xùn)上進(jìn)行很小投資即可獲得性能的大幅度提高 千兆以太網(wǎng)規(guī)范確定 使用 62 5 微米光纖的傳送距離要達(dá)到 260 米 使用 50 微米光纖的多模光纖鏈路要支持 550 米 此外 規(guī) 范還確立了使用更高成本部件對更長距離的支持 例如使用 62 5 微 米光纖達(dá)到 440 米 使用單模光纖傳輸達(dá) 3 公里 802 3z 還包括 1000BASE CX 收發(fā)機(jī)的技術(shù)規(guī)范 此種技術(shù)支持屏蔽銅線的跨距是 25 米 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 千兆以太網(wǎng)規(guī)范還采用了許多 ANSI 光纖通道的標(biāo)準(zhǔn)技術(shù) 事實(shí) 上 它們使用的是同一種代碼集 除更大帶寬外 千兆以太網(wǎng)標(biāo)準(zhǔn) 還對一系列新產(chǎn)品提供支持 其中包括能在不同種網(wǎng)絡(luò)中 以千兆 位線路速度或者比傳統(tǒng)的 基于軟件的路由器快 100 倍的速度選路 的路由器 換句話說 今天所有的互連網(wǎng)絡(luò)技術(shù)都與千兆以太網(wǎng)兼 容 這正如它們與傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)兼容的情形一樣 ATMATM 與千兆以太網(wǎng)比較與千兆以太網(wǎng)比較 差別之一 差別之一 布線和傳輸距離布線和傳輸距離 千兆以太網(wǎng)技術(shù)的出現(xiàn)令深受網(wǎng)絡(luò)擁塞之苦的用戶欣喜若狂 好象盼到了救星一般 特別是它 可由傳統(tǒng)以太網(wǎng)平滑升級 和 最大限度保護(hù)傳統(tǒng)以太網(wǎng)用戶已有投資 的承諾 更使網(wǎng)絡(luò)用戶 倍感親切 盡管 IEEE802 3 委員會在制定千兆以太網(wǎng)傳輸標(biāo)準(zhǔn)時(shí)把 目標(biāo)定在基于多模光纖的千兆傳輸距離不小于 550 米 基于 5 類非 屏蔽雙絞線的千兆傳輸距離不小于 100 米 但事實(shí)上 光纖傳輸距 離的問題已經(jīng)圓滿解決 至于非屏蔽雙絞線上進(jìn)行千兆傳輸 還要 解決信號反射和畸變等技術(shù)問題 目前 絕大多數(shù)以太網(wǎng)用戶在局域網(wǎng)布線中都采用 3 類或 5 類 非屏蔽雙絞線 由于千兆以太網(wǎng)對傳輸線路要求的限制 事實(shí)上 傳統(tǒng)以太網(wǎng)用戶升級到千兆以太網(wǎng)決不是一個(gè) 平滑無縫 的過程 至少在目前 傳統(tǒng)以太網(wǎng)的布線系統(tǒng)很難為千兆以太網(wǎng)所沿用 千 兆以太網(wǎng)技術(shù)在單模光纖上的傳輸距離現(xiàn)已達(dá)到了 4000 米 顯然 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 這個(gè)距離對于園區(qū)建筑物之間的互連環(huán)境已經(jīng)足夠了 但是對于城 域網(wǎng)和廣域網(wǎng) 它仍然顯得無能為力 而 ATM 的發(fā)展目標(biāo)就是要建立這樣一個(gè)廣域信息傳輸系統(tǒng) 它 不受任何物理結(jié)構(gòu)的限制 也和所傳輸?shù)臄?shù)字?jǐn)?shù)據(jù)類型無關(guān) 就是 說 ATM 可以用于在世界上最大的廣域網(wǎng)絡(luò)中傳輸任何形式的數(shù)字 數(shù)據(jù)信息 相信這樣的目標(biāo)實(shí)現(xiàn)以后會使絕大部分用戶感到滿意 同步光纖網(wǎng) SONET 是許多 ATM 光纖通信的標(biāo)準(zhǔn) 以光纖為傳輸 媒介的 ATM 廣域網(wǎng)早已在世界上許多地方投入了商業(yè)運(yùn)行 并發(fā)揮 了相當(dāng)高的效率 目前 傳輸速度高達(dá) 9 6Gbps 的廣域 ATM 鏈路也 正處于試驗(yàn)階段 至于普通雙絞線是否能夠用于 ATM 網(wǎng)絡(luò)的高速主 干鏈路 目前還存在著激烈的爭論 但工作桌面上 25Mbps 的低速連 接在 ATM 網(wǎng)絡(luò)中已經(jīng)相當(dāng)普遍 由于 ATM 在廣域網(wǎng)中的出色表現(xiàn) 再加上 ATM 上新推出的反復(fù)用技術(shù)可以為用戶提供 1 45M 的帶寬 這些優(yōu)勢將大大增強(qiáng) ATM 在高速網(wǎng)絡(luò)中的生命力 差別之二 差別之二 升級的可行性和可用性升級的可行性和可用性 由于網(wǎng)絡(luò)中信息資源的飛速增長 傳統(tǒng)的聯(lián)網(wǎng)技術(shù)在新的應(yīng)用 條件下正面臨著嚴(yán)峻的考驗(yàn) 將網(wǎng)絡(luò)盡快升級為能夠承擔(dān)起新的傳 輸任務(wù)的高速網(wǎng)絡(luò)是許多網(wǎng)絡(luò)管理員的迫切要求 而世界上許多知 名的網(wǎng)絡(luò)設(shè)備廠商也瞅準(zhǔn)了這一商機(jī) 紛紛推出了各具特色的網(wǎng)絡(luò) 升級解決方案 在千兆以太網(wǎng)和 ATM 之間 究竟哪種升級方案更具有可行性和 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 可用性 千兆以太網(wǎng)一經(jīng)問世 便以 以傳統(tǒng)以太網(wǎng)技術(shù)為基礎(chǔ) 從以太網(wǎng)和快速以太網(wǎng)升級時(shí)方便 快捷 最大限度地保護(hù)用戶原 有投資 為宣傳口號 這種商業(yè)渲染迎合了千百萬以太網(wǎng)用戶的迫 切需求 很是令人心動 由于千兆以太網(wǎng)采用了和傳統(tǒng)的以太網(wǎng)相 同的幀長 幀格式和媒體訪問層協(xié)議 因而在從傳統(tǒng)的以太網(wǎng)或是 快速以太網(wǎng)升級的具體操作過程中 只需將傳統(tǒng)以太局域網(wǎng)的主干 設(shè)備加插千兆以太網(wǎng)適配模塊 在新的網(wǎng)絡(luò)主干之間形成千兆鏈路 或是增加千兆以太網(wǎng) 而將原先的網(wǎng)絡(luò)主干結(jié)構(gòu)移向下級應(yīng)用即可 它保護(hù)了用戶在設(shè)備和技術(shù)方面的投資 也為園區(qū)局域網(wǎng)升級提供 了較為合理的解決方案 在傳統(tǒng)以太局域網(wǎng)所提出的 ATM 技術(shù)升級解決方案中 均采用 ATM 交換機(jī)形成網(wǎng)絡(luò)主干 這樣做難以保護(hù)用戶已有的投資和技術(shù) ATM 局域網(wǎng)升級的投資要比以太網(wǎng)升級的投資高得多 由于近年來 在局域網(wǎng)市場上受到千兆以太網(wǎng)技術(shù)的沖擊 對于數(shù)據(jù)傳輸質(zhì)量不 是非常在意的用戶都會對價(jià)格因素進(jìn)行一番審慎的考慮 此外 區(qū) 別于以太網(wǎng)產(chǎn)品的是 不同廠商生產(chǎn)的 ATM 網(wǎng)絡(luò)產(chǎn)品之間的工作協(xié) 調(diào)性到目前為止還沒有很好地解決 這樣 用戶在進(jìn)行 ATM 網(wǎng)絡(luò)升 級時(shí) 為了保證網(wǎng)絡(luò)的可靠性和高效率 也就不得不選用同一廠商 的網(wǎng)絡(luò)產(chǎn)品 這在一定程度上也限制了 ATM 技術(shù)在桌面系統(tǒng)的應(yīng)用 差別之三 差別之三 服務(wù)質(zhì)量 服務(wù)質(zhì)量 QoSQoS 千兆以太網(wǎng)作為一種新興的高速網(wǎng)絡(luò)技術(shù) 盡管它將網(wǎng)絡(luò)主干 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 帶寬提升到千兆位 但是它仍然和傳統(tǒng)的以太網(wǎng)技術(shù)一樣缺乏擁塞 控制 因此時(shí)常會影響到用戶對服務(wù)器數(shù)據(jù)庫數(shù)據(jù)的存取 同時(shí) 它也沒有解決多媒體數(shù)據(jù)傳輸?shù)膯栴} 而這一直是傳統(tǒng)以太網(wǎng)技術(shù) 的一個(gè)弱點(diǎn) 也許 隨著千兆以太網(wǎng)技術(shù)的不斷發(fā)展 成熟 千兆 以太網(wǎng)技術(shù)論壇也將會考慮制定相應(yīng)的服務(wù)質(zhì)量標(biāo)準(zhǔn) 以支持千兆 以太網(wǎng)上高質(zhì)量實(shí)時(shí)多媒體數(shù)據(jù)的傳輸 當(dāng)千兆以太網(wǎng)技術(shù)真正實(shí) 現(xiàn)了較高的服務(wù)質(zhì)量 也許就是它在局域網(wǎng)中替代 ATM 的時(shí)候了 相比之下 ATM 技術(shù)在這方面要優(yōu)越得多 ATM 網(wǎng)絡(luò)由于采用面向連 接的定長信元傳輸技術(shù) 而不是通過檢查數(shù)據(jù)包的包頭再依靠路由 表傳輸?shù)侥康牡刂?因而數(shù)據(jù)傳輸速度快 延遲小 另外 它還具 有傳統(tǒng)包交換的復(fù)用效率 ATM 是面向連接的 數(shù)據(jù)傳輸都是在電路連接以后才進(jìn)行 它 為 ATM 上的服務(wù)質(zhì)量提供了必要的保證 ATM 網(wǎng)絡(luò)的 QoS 保證是建 立在資源預(yù)留協(xié)議的基礎(chǔ)上的 由于對服務(wù)質(zhì)量的支持 ATM 可以 用相同的信元格式去整合各種數(shù)據(jù)和多媒體信息 然后運(yùn)用多業(yè)務(wù) 管理對策 對各處不同的業(yè)務(wù)類型進(jìn)行流量管理和控制 有了 QoS 網(wǎng)絡(luò)管理員就可以很方便地管理各種網(wǎng)絡(luò)資源 嚴(yán)格掌握網(wǎng)絡(luò) 主干的帶寬分配 并且根據(jù)實(shí)際應(yīng)用需求 對不同的業(yè)務(wù)類型劃分 優(yōu)先級 以確保重要或機(jī)密業(yè)務(wù)優(yōu)先 正是由于 ATM 能夠提供優(yōu)異 的且是目前以太網(wǎng)所無法達(dá)到的服務(wù)質(zhì)量 所以 對 QoS 要求非常 高的用戶能夠忍受 ATM 的昂貴價(jià)格也就不足為奇了 差別之四 差別之四 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 來自廠商的支持來自廠商的支持 由于千兆以太網(wǎng)是一種新興的連網(wǎng)技術(shù) 相應(yīng)的技術(shù)論壇也還 成立不久 因此 基于多種物理媒體的數(shù)據(jù)傳輸標(biāo)準(zhǔn)正在制定過程 之中 許多知名網(wǎng)絡(luò)廠商 如 Cisco 3Com 和 Bay 公司等 已經(jīng)相 繼推出自己的千兆以太網(wǎng)產(chǎn)品 而且做出了 標(biāo)準(zhǔn)發(fā)布后將免費(fèi)升 級到與標(biāo)準(zhǔn)兼容 的承諾 這有利于它們在千兆以太網(wǎng)市場競爭中 占據(jù)有利的地位 相信這對許多急需提高網(wǎng)絡(luò)主干速度的傳統(tǒng)以太 網(wǎng)用戶具有相當(dāng)大的吸引力 ATM 技術(shù)的出現(xiàn)比千兆以太網(wǎng)早了三年多 而且目前的 ATM 網(wǎng) 絡(luò)市場相當(dāng)繁榮 原先由 Fore Newbridge 和 BayNetworks 公司主 導(dǎo)的這一市場 已由于 Cisco 和 IBM 等多家實(shí)力雄厚的公司的紛紛 介入 打破了本來的格局 如今的 ATM 論壇規(guī)?？涨?已經(jīng)制定了 一系列的工業(yè)開放標(biāo)準(zhǔn) 以求加強(qiáng)不同廠商的 ATM 產(chǎn)品之間的互操 作 如果不同廠商產(chǎn)品的互操作問題得不到解決 各個(gè)廠商 ATM 解 決方案之間沒有可協(xié)調(diào)之處 那么 ATM 的發(fā)展必將會受到阻礙 在高速網(wǎng)絡(luò)技術(shù)解決方案中 能夠滿足所有需求 適合所有環(huán)境的 單一技術(shù)還從來沒有出現(xiàn)過 千兆以太網(wǎng)基于單模光纖的傳輸距離 僅僅 4000 米 在廣域網(wǎng)方面幾乎是無能為力 但它卻能夠很方便地 提升傳統(tǒng)以太網(wǎng)的主干速度 而高速廣域網(wǎng)的互連一直是 ATM 的強(qiáng) 項(xiàng) 對于千百萬傳統(tǒng)以太網(wǎng)用戶 改頭換面的 ATM 即使能夠提供服 務(wù)質(zhì)量保證 也難以打動他們 只有在網(wǎng)絡(luò)升級過程中切實(shí)考慮用 戶的特定需求 將千兆以太網(wǎng)技術(shù)和 ATM 技術(shù)優(yōu)勢互補(bǔ) 才能提供 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 比較完美的網(wǎng)絡(luò)升級解決方案 合理地解決網(wǎng)絡(luò)升級問題 將用戶 帶入通暢的高速網(wǎng)絡(luò)世界 附件二 網(wǎng)絡(luò)設(shè)備附件二 網(wǎng)絡(luò)設(shè)備 1 CiscoCatalyst6500 高性能交換機(jī)高性能交換機(jī) Catalyst6500 系列提供卓越的可擴(kuò)展性和性能價(jià)格比 支持高 接口密度 高性能 高可用性等特性 與應(yīng)用智能 服務(wù)質(zhì)量 QoS 機(jī)制以及安全性結(jié)合在一起 用戶可以更高效地利用其網(wǎng)絡(luò) 增加 終端業(yè)務(wù) 如多點(diǎn)廣播 ERR 應(yīng)用 而不會影響網(wǎng)絡(luò)性能 采用 CiscoAssure 網(wǎng)絡(luò)策略可根據(jù) 2 3 4 層信息 如特定用戶 IP 地 址或應(yīng)用 提供端到端應(yīng)用 可擴(kuò)展的端口密度可擴(kuò)展的端口密度 Catalyst6000 家族由 Catalyst6000 系列 Catalyst6500 系列 組成 這兩個(gè)系列均支持 6 和 9 個(gè)插槽的版本 提供廣泛的配置和 價(jià)格 性能比選擇 Catalyst6000 和 Catalyst6500 系列交換機(jī)還支 持廣泛的接口類型和密度 包括支持高達(dá) 384 個(gè) 10 100 以太網(wǎng) 192 個(gè) 100FX 快速以太網(wǎng)端口和 130 個(gè)千兆比特以太網(wǎng)端口 業(yè) 界最高的端口數(shù)量 客戶還可使用 FastEtherChannel 或 GigabitEtherChannel 集合八個(gè)物理快速以太網(wǎng)或千兆以太網(wǎng)鏈路 實(shí)現(xiàn)高達(dá) 16Gbps 的邏輯連接 Catalyst6000 系列提供業(yè)界領(lǐng)先的 千兆以太網(wǎng)骨干網(wǎng)解決方案 以滿足當(dāng)今要求最高的 快速增長的 xxx 技術(shù)中心網(wǎng)絡(luò)工程項(xiàng)目建議書 企業(yè) Intranet 的需求 Catalyst6000Catalyst6000 家族的密度和容量家族的密度和容量 結(jié)構(gòu)結(jié)構(gòu)Catalyst6000Catalyst6000 系列系列 Catalyst6500Catalyst6500 系系 列列 底板帶寬 32Gbps 32 至 256Gbps 千兆比特以太網(wǎng)端口數(shù)量 130130 100FX 以太網(wǎng)端口數(shù)量 132132 10 100 以太網(wǎng)端口數(shù)量 384384 多層交換能力可擴(kuò)展至 15Mpps可擴(kuò)展至 150Mpps 可擴(kuò)展的交換性能可擴(kuò)展的交換性能 Catalyst6500 系列結(jié)構(gòu)支持可擴(kuò)展到 256Gbps 的交換帶寬和可