常德卷煙廠技術(shù)中心網(wǎng)絡(luò)工程

1、 常德卷煙廠技術(shù)中心網(wǎng)絡(luò)工程項目建議書常德卷煙廠技術(shù)中心網(wǎng)絡(luò)工程項目建議書目 錄第一章 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計31.1 網(wǎng)絡(luò)系統(tǒng)建設(shè)的背景31.2 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則31.3 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計說明41.4網(wǎng)絡(luò)系統(tǒng)方案特點6第二章 主機系統(tǒng)82.1主機系統(tǒng)選型原則82.2 主機系統(tǒng)選型及依據(jù)82.3主機方案特點10第三章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全113.1 網(wǎng)絡(luò)管理113.2網(wǎng)絡(luò)安全133.2.1 網(wǎng)絡(luò)安全的威脅133.2.2網(wǎng)絡(luò)安全元素143.2.3網(wǎng)絡(luò)安全的實現(xiàn)15附 件21附件一：局域網(wǎng)絡(luò)技術(shù)21附件二：網(wǎng)絡(luò)設(shè)備33附件三：IBM RS/6000系列小型機服務器介紹41附件四：設(shè)備清單53第一章 網(wǎng)絡(luò)系

2、統(tǒng)總體設(shè)計1.1 網(wǎng)絡(luò)系統(tǒng)建設(shè)的背景 隨著信息化的發(fā)展，Internet的迅速膨脹，煙草行業(yè)競爭由為激烈，加上常德卷煙廠技術(shù)中心業(yè)務量的飛速增長，對內(nèi)對外信息交流越來越頻繁，同時為響應全國煙草行業(yè)網(wǎng)的建設(shè)要求，所以常德卷煙廠技術(shù)中心建設(shè)高性能的局域網(wǎng)是非常必要的。1.2 網(wǎng)絡(luò)系統(tǒng)設(shè)計原則 本系統(tǒng)本著如下原則來設(shè)計：實用、先進、穩(wěn)定、開放、擴展、安全和經(jīng)濟。實用性： 本系統(tǒng)的建設(shè)將始終遵循“面向應用，注重實效”的指導思想。緊密結(jié)合經(jīng)濟運行，為信息服務提供現(xiàn)代化的手段。先進性： 系統(tǒng)硬件設(shè)備和軟件平臺應最先進，既要反映當今技術(shù)的先進水平，又應具有很強的擴展能力。同時還應注意所選用的技術(shù)、設(shè)備和開發(fā)

3、工具是最普及通用和成熟的，能與最新技術(shù)接軌，對市場的任何變化具有極強的適應性。開放性： 考慮到系統(tǒng)中所選用的技術(shù)和設(shè)備的協(xié)同運行能力，保護現(xiàn)有的資源和系統(tǒng)投資的長期效應以及系統(tǒng)功能不斷擴展的需要，所采用的軟硬件平臺必須具有開放性，所采用的規(guī)范應與生產(chǎn)廠商無關(guān)。擴展性： 由于網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，變化日新月異，所以在本方案設(shè)計中，所選用的技術(shù)和產(chǎn)品具有很強的可增長性和擴展性?？煽啃裕?在社會向信息化發(fā)展的同時，也存在一種危機，即對信息技術(shù)的依賴程度越高，系統(tǒng)失效所造成的影響也越大。因此，本系統(tǒng)的設(shè)計必須在投資可接受的條件下，從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備選型以及廠商的技術(shù)服務和維修響應能力等方面綜

4、合考慮，確保系統(tǒng)運行的可靠性。安全性： 在網(wǎng)絡(luò)信息時代，大流量的數(shù)據(jù)傳輸和管理在整個網(wǎng)絡(luò)系統(tǒng)中占很重要的位置，同時有些數(shù)據(jù)文件是高度秘密，防止外來黑客的侵入，所以在本系統(tǒng)的設(shè)計中有較好的穩(wěn)定性和安全性。經(jīng)濟性：本系統(tǒng)充分考慮性能價格比，“按需集成”的原則，在一定的資金規(guī)模下以達到最好的、先進的性能。1.3 網(wǎng)絡(luò)系統(tǒng)總體設(shè)計說明 常德卷煙廠技術(shù)中心整個網(wǎng)絡(luò)結(jié)構(gòu)采用技術(shù)先進、成熟可靠的交換式千兆以太網(wǎng)，兩層結(jié)構(gòu)，星型連接。在網(wǎng)絡(luò)核心層，確保連接可靠性，建議采用兩臺業(yè)界杰出的Cisco 6509模塊化千兆以太網(wǎng)交換機互為備份，作為系統(tǒng)主干交換機。Cisco 6509主干交換機留有千兆端口將來和計算機

5、中心及聯(lián)合工房連接，雙網(wǎng)百兆端口連接內(nèi)部IBM RS/6000核心服務器。在網(wǎng)絡(luò)分配層，選擇帶有千兆端口的Cisco Catalyst 3548交換機。為確保網(wǎng)絡(luò)分配層至網(wǎng)絡(luò)核心層連接可靠性，Cisco 3548交換機兩個千兆端口分別連接至兩臺互為備份的主干交換機Cisco 6509，假如一條鏈路斷了，另一條鏈路仍可繼續(xù)工作，網(wǎng)絡(luò)繁忙時，兩條鏈路可自動達到負載均衡，更平穩(wěn)的傳輸數(shù)據(jù)，以免網(wǎng)絡(luò)擁塞。Cisco 3548交換機百兆下連至各樓層或各部門桌面計算機。詳見下圖：1.4網(wǎng)絡(luò)系統(tǒng)方案特點1、局域網(wǎng)設(shè)計先進，實現(xiàn)分層不同容量交換 整個網(wǎng)絡(luò)建設(shè)符合ISO/IEC11801標準和中國工程建設(shè)規(guī)范。

6、技術(shù)中心局域網(wǎng)核心層Catalyst6509千兆位以太網(wǎng)交換機支持通道流量（Fast EtherChannel），最大支持384個10/100Mbps端口或130個1000Mbps端口，高達256Gbps的背板帶寬，6509交換機支持IP路由，這樣局域網(wǎng)中各桌面計算機劃分虛網(wǎng)后，可以直接通過Catalyst 6509完成各虛網(wǎng)之間的通訊。Cisco 6509配置兩個SuperVisor Engineer 網(wǎng)絡(luò)模塊引擎，互為備份，兩個8個端口的千兆以太網(wǎng)模塊，再配置一個48個10/100M自適應以太網(wǎng)端口模塊，這樣完全滿足技術(shù)中心當前需要，又有富余。局域網(wǎng)分配層Cisco 3548快速以太網(wǎng)交換

7、機，具有48個10/100Mbps端口，帶2個模塊插槽，支持千兆位端口，背板帶寬高達10 Gbps。2、全網(wǎng)安全可靠 網(wǎng)絡(luò)的主干及服務器采用冗余結(jié)構(gòu)，做到無單點故障對網(wǎng)絡(luò)的影響。Cisco 6509千兆位以太網(wǎng)交換機設(shè)置冗余電源系統(tǒng)及雙引擎，提高可靠性，機箱式設(shè)備支持模塊熱插拔。Cisco 6509支持包過濾級的訪問控制，可以限制特定IP地址及應用通過。Cisco IOS軟件可升級為Plus版本，支持56位DES數(shù)據(jù)加密傳輸，增強網(wǎng)絡(luò)安全。采用先進的虛擬網(wǎng)VLAN技術(shù)，以減少各種業(yè)務、各種應用數(shù)據(jù)流之間的通信量，做到各種業(yè)務數(shù)據(jù)流量的隔離，進一步增強網(wǎng)絡(luò)的安全性、可管理性和帶寬有效利用，優(yōu)化整

8、個網(wǎng)絡(luò)。整個網(wǎng)絡(luò)和Internet無實質(zhì)性的物理連接，對于要上Internet的計算機暫時考慮按單機撥號上網(wǎng)的方式，上網(wǎng)前要和內(nèi)部局域網(wǎng)斷開，還有對于要上網(wǎng)的計算機由專人來管理，確保安全性。3、網(wǎng)絡(luò)管理一體化 整個網(wǎng)絡(luò)系統(tǒng)在設(shè)計時均采用國際標準協(xié)議TCP/IP，所有網(wǎng)絡(luò)設(shè)備的管理基于SNMP，支持RMON和RMON2，并由硬件實現(xiàn)，技術(shù)中心設(shè)立網(wǎng)絡(luò)管理中心，運用CiscoWorks網(wǎng)管統(tǒng)一管理，達到全網(wǎng)監(jiān)控、控制、統(tǒng)計、維護等功能。4、網(wǎng)絡(luò)擴展性強、保護投資 技術(shù)中心核心層網(wǎng)絡(luò)設(shè)備為高性能模塊化設(shè)計，Catalyst 6509千兆位以太網(wǎng)交換機的九個插槽僅用五個，網(wǎng)絡(luò)結(jié)構(gòu)采用層次化設(shè)計，高層網(wǎng)

9、絡(luò)設(shè)備在不能滿足工作要求時，可降級使用。第二章 主機系統(tǒng)2.1主機系統(tǒng)選型原則l 代表目前商業(yè)計算機系統(tǒng)的先進水平。l 具備較強的安全性。l 具備優(yōu)良的RAS性能-可靠性、可用性、可維護性。l 具備優(yōu)良的可擴充性和升級能力。l 具備優(yōu)良的性能價格比。2.2 主機系統(tǒng)選型及依據(jù)1、主機系統(tǒng)選型及選擇依據(jù)(1) 機型及處理能力選擇及依據(jù) 對主機而言，業(yè)務服務、數(shù)據(jù)庫服務對應的性能指標為SPECWeb96和TPC-C。根據(jù)IBM公司的推薦，IBM RS6000在處理銀行數(shù)據(jù)庫業(yè)務時，TPC-C與業(yè)務數(shù)的關(guān)系為1：20，即TPC-C為1000的計算機每天可以處理20000筆銀行業(yè)務。從業(yè)務處理的復雜程

10、度來講，煙草行業(yè)業(yè)務相對簡單。因此，在我公司建議采用1：30的比例計算。以技術(shù)中心為例：假如每天處理40萬次業(yè)務，因此需要TPC-C為13000-14000的計算機?？紤]業(yè)務15%的年增長，因此我公司推薦如下計算機系統(tǒng)機型TPC-CSPECWeb96IBM RS/6000 H70(4CPU)17133(4CPU)6958(2CPU) 主機系統(tǒng)采用兩臺IBM RS/6000 H70加IBM 7133 SSA磁盤陣列，采用RAID5技術(shù)，運行IBM HACMP雙機熱備軟件。(2) IBM RS/6000 H70 特點 H70是IBM新推出的高檔64位SMP機型，支持1-4 CPU，用于企業(yè)級的關(guān)鍵

11、業(yè)務。H70建立在IBM第二代RISC芯片的基礎(chǔ)上，具有先進的SMP結(jié)構(gòu)。IBM獨特的Data Cross-Bar Switch技術(shù)，避免了傳統(tǒng)SMP中內(nèi)存總線競爭和數(shù)據(jù)一致性問題，提供I/O、Memory及CPU之間無阻塞的交換通道。 RS/6000的所有SMP系統(tǒng)上都標準配備有一個名為Service Guard的Service Processor，這個獨立的 Processor可執(zhí)行許多功能，增加系統(tǒng)的RAS性能。例如，它可以在系統(tǒng)未開機的情況下執(zhí)行系統(tǒng)的檢測動作，也可以在系統(tǒng)任何一個元件發(fā)生問題時自動將系統(tǒng)重新啟動，并將有問題的元件隔離待修，不需人工的處理。 H70具有優(yōu)良的擴展能力，支

12、持4CPU、8GB內(nèi)存，根據(jù)處理能力分析，單CPU時已經(jīng)具備了處理煙草業(yè)務的能力，只須少加擴展，便可支持其他多種業(yè)務。2、磁盤陣列IBM 7133 SSA系統(tǒng) 7133 SSA磁盤陣列是IBM在存儲產(chǎn)品領(lǐng)域中的領(lǐng)先產(chǎn)品，打破了SCSI傳統(tǒng)的總線結(jié)構(gòu)，獨特的環(huán)行結(jié)構(gòu)支持48個磁盤，80Mb/s的傳輸速率。IBM SSA適配器支持2個環(huán)路，既支持160Mb/s的數(shù)據(jù)通訊速率。SSA的環(huán)路結(jié)構(gòu)支持冗余功能，是SCSI結(jié)構(gòu)所不具備的。當SSA的環(huán)路斷開時，并不影響數(shù)據(jù)的讀寫，僅僅是速率變?yōu)?0Mb/s，而SCSI系統(tǒng)總線斷開時，整個總線上的硬盤系統(tǒng)便會崩潰。3、雙機熱備份軟件IBM HACMP HAC

13、MP是IBM公司極負盛名的集群多處理軟件，可以支持16個節(jié)點。不僅支持虛擬IP地址、虛擬主機名，可選支持并行數(shù)據(jù)庫，而且支持MAC地址的切換。這意味著當主機發(fā)生意外時，備份機不僅接管主機的IP地址、主機名，而且接管主機網(wǎng)卡的MAC地址，從而真正作到無縫接管，即Client端不必重新啟動計算機或刷新ARP表，便可直接與主機（實際為備份機）通訊。這才是真正意義上的熱備份。4、系統(tǒng)備份設(shè)計 配備IBM 3590磁帶庫，存儲量為100GB/300GB（壓縮）。帶庫提供9M/S（非壓縮）的數(shù)據(jù)傳輸率，可對大量數(shù)據(jù)進行備份和數(shù)據(jù)恢復。尤其對于查詢5年以前的歷史數(shù)據(jù)，具有很高的優(yōu)越性。2.3主機方案特點l

14、技術(shù)中心系統(tǒng)采用HACMP雙機熱備份方式，可以提高系統(tǒng)可靠性。l 系統(tǒng)根據(jù)業(yè)務量需求，采用合適機型，充分考慮性能價格比。l 提供合理有效的備份方式，保障數(shù)據(jù)安全。第三章 網(wǎng)絡(luò)管理與網(wǎng)絡(luò)安全3.1 網(wǎng)絡(luò)管理 網(wǎng)絡(luò)互聯(lián)使得管理變得更加困難，同時也更加重要。對于煙草行業(yè)，整個網(wǎng)絡(luò)系統(tǒng)的管理，形成集中與分散的網(wǎng)絡(luò)管理結(jié)構(gòu)體系是非常重要的。目前，網(wǎng)絡(luò)管理大多基于SNMP（簡單網(wǎng)管協(xié)議）。以下簡單介紹SNMP管理的基礎(chǔ)， 1 . ISO管理框架國際標準化組織ISO把網(wǎng)絡(luò)管理任務分成以下五個部分：配置管理 大多數(shù)智能設(shè)備需要某種形式的配置信息，配置管理功能允許某種形式的的友好界面在NMS（網(wǎng)管工作站）中輸入

15、配置信息，并把這個信息傳遞到被管理的設(shè)備上。增強的功能還包括對大多數(shù)的遠程設(shè)備的配置信息進行檢查的能力。這保證了對軟件版本的嚴格控制。性能管理 NMS是在網(wǎng)絡(luò)上收集性能數(shù)據(jù)的好地方。在理論上，這個數(shù)據(jù)可以放在相同的模型軟件包中，該軟件包首先用于設(shè)計網(wǎng)絡(luò)。這將允許為指定的系統(tǒng)改進和定制模型。故障管理 這是網(wǎng)絡(luò)管理最成功的一個方面，目標是在用戶抱怨網(wǎng)絡(luò)問題之前讓網(wǎng)絡(luò)管理員找出它們。安全管理 當網(wǎng)間網(wǎng)的規(guī)模變得很大，并開始彼此互聯(lián)時，安全就成了一個主要的問題。安全屏蔽和自陷（觸發(fā)警報）可以配置在網(wǎng)絡(luò)上。如果這些設(shè)備受到入侵，被管理的設(shè)備或NMS的安全管理功能負責觸發(fā)警報。安全管理的一個更為廣闊的形式

16、是保證安全策略在整個網(wǎng)絡(luò)上是一致的。實際上，如果我們把網(wǎng)間網(wǎng)看作一個擴展的計算機系統(tǒng)，安全系統(tǒng)就代替了操作系統(tǒng)的安全功能。記帳管理 網(wǎng)間網(wǎng)耗費資金。它們存在的理由是它們可以使公司的效率更高。最終的費用決定于網(wǎng)間網(wǎng)服務的使用。對于TCP/IP管理，記帳管理是所有管理中功能最不完善的。 經(jīng)過了幾年的時間，這五個管理概念以不同程度作為管理系統(tǒng)的核心功能而相繼被采用。在TCP/IP領(lǐng)域中，唯一具有商業(yè)重要性的管理結(jié)構(gòu)是SNMP。2 . 網(wǎng)絡(luò)管理方案 本網(wǎng)絡(luò)設(shè)置網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)對整個網(wǎng)絡(luò)實現(xiàn)統(tǒng)一的管理。在中心機房的網(wǎng)絡(luò)管理員可以通過遠程登錄和圖形化界面的網(wǎng)絡(luò)管理系統(tǒng)管理整個局域網(wǎng)，包括局域網(wǎng)的VLAN

17、設(shè)置等。 本方案設(shè)計中，網(wǎng)管工作站采用一臺HP工作站作為網(wǎng)絡(luò)管理系統(tǒng)，網(wǎng)絡(luò)管理軟件采用CiscoWorks 2000。 本網(wǎng)絡(luò)的安全需求要在常德卷煙廠信息系統(tǒng)安全的統(tǒng)一規(guī)劃下來指定具體的規(guī)則來實施。3.2網(wǎng)絡(luò)安全 網(wǎng)絡(luò)互聯(lián)融入到社會的各個方面，網(wǎng)絡(luò)的安全，包括網(wǎng)上信息數(shù)據(jù)安全和網(wǎng)絡(luò)設(shè)備服務的運行安全，日益成為與國家、政府、企業(yè)、個人的利益休戚相關(guān)的大事。 煙草行業(yè)網(wǎng)要防止因信息泄密、數(shù)據(jù)丟失等，給國家和行業(yè)造成無法估量的損失。在行業(yè)網(wǎng)安全和信息保密管理上必須做到：（1）嚴格遵照執(zhí)行國家有關(guān)部委的要求和規(guī)定，各級信息中心或計算機主管部門要協(xié)助同級保密委（辦）的工作，設(shè)專人負責網(wǎng)絡(luò)安全和信息保密工

18、作。（2）嚴格執(zhí)行國家局有關(guān)部門下發(fā)的煙草行業(yè)計算機通信信息網(wǎng)絡(luò)安全保護規(guī)定（國煙辦1998305號文）和煙草行業(yè)計算機信息系統(tǒng)保密管理暫行規(guī)定（國煙保1999373號文）。（3）上網(wǎng)信息要建立逐級審核機制，建立保密安全責任制。3.2.1 網(wǎng)絡(luò)安全的威脅 網(wǎng)絡(luò)面臨的安全威脅大體可分為兩種：一是對網(wǎng)絡(luò)數(shù)據(jù)的威脅； 二是對網(wǎng)絡(luò)設(shè)備的威脅?？偨Y(jié)起來，大致有下面幾種主要威脅：非人為、自然力造成的數(shù)據(jù)丟失、設(shè)備失效、線路阻斷人為但屬于操作人員無意的失誤造成的數(shù)據(jù)丟失來自外部和內(nèi)部人員的惡意攻擊和入侵 前面兩種的預防與傳統(tǒng)電信網(wǎng)絡(luò)基本相同。 最后一種是當前互聯(lián)網(wǎng)絡(luò)所面臨的最大威脅，是電子商務、政府上網(wǎng)工程

19、等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問題。3.2.2網(wǎng)絡(luò)安全元素 物理安全的目的是保護路由器、交換機、工作站、各種網(wǎng)絡(luò)服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊；驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容工作環(huán)境；建立完備的機房安全管理制度；妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行偷竊和破壞活動。 抑制和防止電磁泄漏是物理安全的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可

20、分為以下兩種：一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。3.2.3網(wǎng)絡(luò)安全的實現(xiàn)1 .網(wǎng)絡(luò)隔離 根據(jù)功能、保密水平、安全水平等要求的差異將網(wǎng)絡(luò)進行分段隔離，對整個網(wǎng)絡(luò)的安全性有很多好處?？梢詫崿F(xiàn)更為細化的安全控制體系，將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡(luò)整體的安全水平。路由器、虛擬網(wǎng)（VLAN）、防火墻是當前主要的網(wǎng)絡(luò)分段手段。前面兩種的配置較為直觀，下面主要分析

21、防火墻技術(shù)。虛擬網(wǎng)絡(luò)(VLAN)技術(shù) VLAN是建立在各種交換技術(shù)基礎(chǔ)之上的。所謂交換實質(zhì)上只是物理網(wǎng)絡(luò)上的一個控制點，它由軟件進行管理，所以允許用戶利用軟件功能靈活地配置資源，管理網(wǎng)絡(luò)。利用交換設(shè)備中的虛網(wǎng)功能，不必改變網(wǎng)絡(luò)的物理基礎(chǔ)，即可重新配置網(wǎng)絡(luò)。采用虛網(wǎng)功能，網(wǎng)絡(luò)性能可以獲得較大的改善： 1.虛網(wǎng)技術(shù)能對工作組業(yè)務進行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網(wǎng)絡(luò)總的吞吐量。 2.采用虛網(wǎng)技術(shù)可以將不同樓層或不同房間的設(shè)備組成一個網(wǎng)段而不用更改布線，因為虛網(wǎng)技術(shù)是從邏輯角度而非物理角度來劃分子網(wǎng)的，所以采用虛網(wǎng)技術(shù)能減輕系統(tǒng)的擴容壓力，將遷移費用降至至最小。 3.采用虛網(wǎng)技術(shù)

22、能有效隔離網(wǎng)絡(luò)設(shè)備，增加網(wǎng)絡(luò)的安全性和保密性。虛擬網(wǎng)絡(luò)的安全策略采用的主要主要協(xié)議為I議為IEEE802.10，此協(xié)議結(jié)合有鑒別和加密技術(shù)以確保整個網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)據(jù)的保密性和完整性。 4.虛網(wǎng)技術(shù)能對屬于同一工作組的用戶提供廣播服務，但與傳統(tǒng)的局域網(wǎng)協(xié)議所不同的是，虛擬局域網(wǎng)能限制廣播的區(qū)域域，從而節(jié)省網(wǎng)絡(luò)帶寬。 5.虛擬局域網(wǎng)可以建立在不同的物理網(wǎng)絡(luò)上，用封裝的辦法支法支持不不同的網(wǎng)絡(luò)協(xié)議絡(luò)協(xié)議，如SNMP、NMP、IPX、TCP/IP、IEEE802.33等，兼容性非常好性非常好。 6.虛擬網(wǎng)絡(luò)中的主要應用技用技術(shù)為“虛網(wǎng)中繼”，VLAN Trunking特有技術(shù)特有技術(shù)的采用也成成為了必然

23、。必然。簡而言之，VLAN Trunking主主要是通過一條高速全雙工通道(200Mbps)來)來實現(xiàn)將將一個LAN Switch端口所劃分的不同VLAN與其它LAN Switch中各自相應的VLAN成員進行線路復用連接的技術(shù)。VLAN Trunking技術(shù)的采用，既節(jié)省了信道數(shù)據(jù)量，又提高了可靠性，并便于管理及方便連接，提高了整個網(wǎng)絡(luò)吞吐量和性能指標。其原理如下圖所示： 如果采用VLAN trunking 的技術(shù)，則V1、V2、V3均可通過一條全雙工的100Mbps，即200Mbps的速率與上級LAN Switch進行互通并經(jīng)過位于樹根部的路由器進行路由與其它的VLAN進行通訊。VLAN t

24、runking技術(shù)的優(yōu)點在于采用一條高速通道連接，提高了通道的使用效率，如在，如在V2，V3無數(shù)據(jù)量的情況下，V1可以獨占此100M帶寬；并且可以使得線路的連接變得簡單，從而大大提高可靠性與易維護性。2 .防火墻 防火墻在網(wǎng)絡(luò)中的地位與它的名字非常相似，它根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對獨立的子網(wǎng)，兩側(cè)間的通信受到防火墻的檢查控制。它可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過，同時將安全策略不允許的用戶和數(shù)據(jù)包隔斷，達到保護高安全等級的子網(wǎng)、阻止墻外黑客的攻擊、限制入侵的蔓延等目的。根據(jù)防火墻的位置，可以分為外部防火墻和內(nèi)部防火墻。外部防火墻將企業(yè)網(wǎng)與外部網(wǎng)隔離開來，而內(nèi)

25、部防火墻的任務經(jīng)常是在各個部門子網(wǎng)之間進行通信檢查控制。網(wǎng)絡(luò)安全體系不應該提供外部系統(tǒng)跨越安全系統(tǒng)直接到達受保護的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的途徑。安全體系在任何情況下都不應該被旁路。 防火墻并不是萬能的，它在很多方面存在弱點。它無法防止來自防火墻內(nèi)側(cè)的攻擊。對各種已識別類型的攻擊的防御有賴于正確的配置，對各種最新的攻擊類型的防御取決于防火墻知識庫更新的速度和相應的配置更新的速度。一般來說，防火墻擅長于保護設(shè)備服務，而不擅長保護數(shù)據(jù)。并且，防火墻可能會導致內(nèi)部網(wǎng)絡(luò)安全管理的松懈。3 .防火墻的基本類型 實現(xiàn)防火墻的技術(shù)包括兩大類型：包過濾（PF）、應用級防火墻。它們之間各有所長，具體使用哪一種或是否混合使用

26、，要看具體需要。（1）. 包過濾型防火墻檢查的范圍涉及網(wǎng)絡(luò)層、傳輸層和會話層，過濾匹配的原則可以包括源地址、目的地址、傳輸協(xié)議、目的端口等。還可以根據(jù)TCP序列號、TCP連接的握手序列（如SYN、ACK）的邏輯分析等進行判斷，較為有效地抵御類似IP Spoofing、Sync flooding等類型的攻擊。路由器通過配置其中的訪問控制列表（Access-list）可以作為包過濾防火墻使用，但是過多的控制列表會嚴重降低路由器的性能。所以在業(yè)務量較大的場合需要將路由和包過濾兩種功能分開，也就是說有必要單獨購買專門的防火墻。訪問控制表（ACL）定義了各種規(guī)則來表明是否同意或拒絕包的通過，包過濾防火墻

27、檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。 如果規(guī)則都不符合，則缺省操作為丟棄該包。包過濾型防火墻 配置簡潔、速度快、費用較低，并且對用戶透明，但是對應用層的信息無法控制，對內(nèi)網(wǎng)的保護有限。Cisco公司的PIX就屬于該類型的防火墻產(chǎn)品。另外，各種路由器和UNIX主機都可以經(jīng)過配置作為簡單的防火墻使用，來滿足一般的需要。（2）. 應用級防火墻 應用級防火墻能夠檢查進出的數(shù)據(jù)包，透視應用層協(xié)議，與既定的安全策略進行比較。該類型防火墻能夠進行更加細化復雜的安全訪問控制，并做精細的注冊和稽核。根據(jù)是否允許兩側(cè)通信主機直接建立鏈路，又可以分為網(wǎng)關(guān)和代理兩種。前者允許兩側(cè)建立直接連接，而是依靠某種算

28、法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包。而后者通過特定的代理程序在兩側(cè)主機間復制傳遞數(shù)據(jù)，不允許建立直接連接。每一種應用需要相應的代理軟件，使用時防火墻負載較大，效率不如前者。目前在市場上流行的防火墻大多屬于應用級防火墻。 4 .防火墻的安全功能 各種防火墻的安全性能不盡相同。一般來說，防火墻采取以下幾種安全措施。（1）內(nèi)容檢查（2）用戶認證（3）負載分擔（4）網(wǎng)絡(luò)地址翻譯（5）開放式結(jié)構(gòu)設(shè)計（6）圖形化的實時監(jiān)視在本方案網(wǎng)絡(luò)安全設(shè)計中，選擇防火墻隔離內(nèi)部局域網(wǎng)與外部網(wǎng)，采用國產(chǎn)的能士防火墻，具有防止黑客的侵入等等功能。通過防火墻來保護內(nèi)部數(shù)據(jù)信息的安全。附

29、 件附件一：局域網(wǎng)絡(luò)技術(shù)11概述 計算機局域網(wǎng)指的是在較小范圍內(nèi)（一般在10公里之內(nèi)），速度較高（一般在5M以上）的計算機網(wǎng)絡(luò)。 目前，在國內(nèi)的局域網(wǎng)市場中以太網(wǎng)（Ethernet）以安裝方便、靈活易用等優(yōu)點占據(jù)著主導地位。但是隨著網(wǎng)絡(luò)應用的大量增加，標準的10M共享式以太網(wǎng)的缺點逐漸暴露出來。尤其是多媒體技術(shù)對實時傳送聲音與視頻的要求，使其愈發(fā)顯得力不從心，不堪重負，網(wǎng)絡(luò)性能下降，網(wǎng)絡(luò)傳輸速率成為網(wǎng)絡(luò)應用的瓶頸。 為消除網(wǎng)絡(luò)瓶頸，各種新的網(wǎng)絡(luò)傳輸技術(shù)不斷涌現(xiàn)。這些技術(shù)主要依靠提高帶寬和采用交換技術(shù)，改變共享式結(jié)構(gòu)的方法。100M共享式以太網(wǎng)100BASE-X的出現(xiàn)，緩解了以太網(wǎng)帶寬不夠的問題

30、，它將以太網(wǎng)的帶寬提高至100M，從而滿足了大多數(shù)應用系統(tǒng)包括部分多媒體信息傳輸?shù)囊蟆?2 局域網(wǎng)的拓撲結(jié)構(gòu) 拓撲結(jié)構(gòu)描述了網(wǎng)絡(luò)設(shè)備之間的連接和信息流動關(guān)系。 目前，局域網(wǎng)廣泛使用的網(wǎng)絡(luò)拓撲結(jié)構(gòu)有星型、總線型、環(huán)型和混合型等。 1星型拓撲結(jié)構(gòu) 所謂星型網(wǎng)絡(luò)結(jié)構(gòu)就是點對點形式，將網(wǎng)絡(luò)各站點連接到一個中心站點的網(wǎng)絡(luò)結(jié)構(gòu)。由于集線器、交換機等設(shè)備大量的應用，采用星型拓撲結(jié)構(gòu)的局域網(wǎng)越來越普遍。其特點有： 可靠性高，任何一個站點的故障都不會影響整個網(wǎng)絡(luò)的運行； 連接簡單，安裝方便； 維護管理簡單，故障的檢測和隔離方便； 升級擴展容易，只需擴充中心設(shè)備的容量和更換新設(shè)備即可。 盡管，星型網(wǎng)絡(luò)結(jié)構(gòu)也存在

31、著投資較多，中心設(shè)備要求較高的缺點。當前，大多數(shù)局域網(wǎng)都采用星型網(wǎng)絡(luò)拓撲結(jié)構(gòu)。 2總線型拓撲結(jié)構(gòu) 總線型拓撲結(jié)構(gòu)就是采用單根電纜作為網(wǎng)絡(luò)傳輸介質(zhì)，所有網(wǎng)絡(luò)點都串接到該電纜上，該傳輸電纜稱為總線。 因為所有的信號都在總線上傳播，在某一時刻可能有兩個或兩個以上站點傳播信號，而造成信息碰撞。因此需要介質(zhì)訪問控制策略來決定哪個站點傳輸信號?？偩€拓撲結(jié)構(gòu)主要優(yōu)點是所需電纜少，易于布線和維護，擴充性好等。缺點是傳輸速度慢、容易產(chǎn)生信息擁塞等。 3環(huán)型拓撲結(jié)構(gòu) 環(huán)型拓撲結(jié)構(gòu)，各工作站連接到一個中繼器上，中繼器通過電纜連成一個閉合的環(huán)，所有工作站共享該環(huán)路。環(huán)型拓撲結(jié)構(gòu)優(yōu)點是所需電纜長度短，布線簡單，特別適合

32、于光纖媒體。其缺點是重新配置網(wǎng)絡(luò)、故障診斷和隔離比較困難。 4樹型拓撲結(jié)構(gòu) 樹型拓撲結(jié)構(gòu)結(jié)合了總線型和星型拓撲結(jié)構(gòu)的優(yōu)點，易于擴展和故障隔離。1310M以太網(wǎng) 本技術(shù)遵循的標準是IEEE802.3。本技術(shù)使用CSMA/CD（載波監(jiān)聽多路訪問/碰撞檢測）的技術(shù)。CSMA/CD上的每一個站點都能隨時訪問網(wǎng)絡(luò)上的任何資源。在數(shù)據(jù)傳輸之前，每個工作站監(jiān)聽網(wǎng)絡(luò)是否正在被使用，如果網(wǎng)絡(luò)正在被使用，當前站點處于等待狀態(tài)，如果沒被使用，當前站點開始傳送數(shù)據(jù)。當兩個工作站同時監(jiān)聽到網(wǎng)絡(luò)空閑時，則同時開始傳送數(shù)據(jù)，這樣就出現(xiàn)了碰撞。在這種情況下，同時發(fā)送的數(shù)據(jù)都是無效的。兩個工作站會在隨后的某個時刻各自重新發(fā)送數(shù)

33、據(jù)。由于使用了CSMA/CD的技術(shù)，兩臺工作站知道何時重發(fā)數(shù)據(jù)。本技術(shù)的優(yōu)點是造價便宜，但其缺點是網(wǎng)絡(luò)的利用率極低，不適應應用發(fā)展對網(wǎng)絡(luò)帶寬的要求。14100M以太網(wǎng) 本技術(shù)遵循的標準是IEEE802.3u。100M以太網(wǎng)是一種高速局域網(wǎng)，它為工作站和服務器提供了更高的帶寬。它和10M的技術(shù)一樣采用了相同的IEEE802.3介質(zhì)訪問控制和沖突檢測方法。100M技術(shù)是對10M技術(shù)的重大改進，緩解了網(wǎng)絡(luò)應用對帶寬的需求。100M的以太網(wǎng)由于其高帶寬、技術(shù)成熟、簡單易用，同時又與10M以太網(wǎng)兼容，所以是中小企業(yè)建設(shè)自己的局域網(wǎng)的首選技術(shù)?？焖僖蕴W(wǎng)與以太網(wǎng)的比較性能快速以太網(wǎng)以太網(wǎng)傳輸速度100Mb

34、it/s10Mbit/s標準IEEE802.3uIEEE802.3介質(zhì)訪問控制CSMA/CDCSMA/CD拓撲結(jié)構(gòu)星型總線或星型傳輸介質(zhì)UTP、STP、光纖電纜、UTP、光纖最大長度雙絞線100米，光纖2000米雙絞線100米，光纖2000米全雙工支持支持支持廠商支持廣泛廣泛15FDDI 光纖分布式數(shù)據(jù)接口(FDDI)規(guī)定了采用光纖的100M雙令牌環(huán)局域網(wǎng)。FDDI通常被用作高速骨干網(wǎng)絡(luò)技術(shù)。因為它比同軸電纜支持更高的的帶寬和更遠的傳輸距離。FDDI采用雙環(huán)的體系結(jié)構(gòu)，兩環(huán)上的信息反向流動。雙環(huán)中一環(huán)成為主環(huán)，另一環(huán)稱為次環(huán)。在正常情況下，主環(huán)傳輸數(shù)據(jù)，次環(huán)處于空閑狀態(tài)。雙環(huán)可以提高網(wǎng)絡(luò)的穩(wěn)定

35、性和可靠性。 FDDI主要優(yōu)點為帶寬高、穩(wěn)定性高、可靠性高，缺點是建設(shè)造價高。FDDI可以作為高速局域網(wǎng)在小范圍內(nèi)互聯(lián)高速計算機系統(tǒng)，或作為城域網(wǎng)互聯(lián)較小的網(wǎng)絡(luò)，或作為主干網(wǎng)用于互聯(lián)分布在較大范圍的計算機。151FDDI的主要技術(shù)指標 數(shù)據(jù)傳輸速率為100Mbit/s 單點間最大距離可達2公里 最多可連接的站點數(shù)1000個 傳輸介質(zhì)為光纖 網(wǎng)絡(luò)覆蓋范圍可達100公里 介質(zhì)訪問控制協(xié)議為定時令牌傳遞 網(wǎng)絡(luò)拓撲結(jié)構(gòu)為雙向環(huán)152FDDI的優(yōu)點與缺點 FDDI作為一種高速、高可靠的網(wǎng)絡(luò)技術(shù)，具有以下優(yōu)點： 提供100Mbit/s傳輸速度，適用于高速業(yè)務傳送； 采用雙環(huán)結(jié)構(gòu)，提供容錯和故障隔離，具有故

36、障自動愈合功能，因此，網(wǎng)絡(luò)可靠性極高； 使用光纖介質(zhì)，具有抗干擾、不產(chǎn)生電磁輻射和光隔離等優(yōu)點； 傳輸距離遠，覆蓋范圍大，適合作為大型企業(yè)級主干網(wǎng)。 FDDI也存在如下缺點： 設(shè)備較貴，靈活性較差。153FDDI技術(shù)特點 FDDI作為一種局域主干網(wǎng)技術(shù)，廣泛用于連接各類速率為100Mbit/s的局域網(wǎng)，F(xiàn)DDI具有如下技術(shù)特點： FDDI采用多模光纖，無需使用昂貴的單模光纖；采用發(fā)光二極管LED作為光源，無需使用昂貴的激光二極管。 FDDI包括兩個光環(huán)，一個順時針方向傳輸，另一個逆時針方向傳輸，任意一個發(fā)生故障，另一個作為備份。如果兩個環(huán)同一點發(fā)生故障，則兩個環(huán)可合成為一個單環(huán)，可靠性極高。

37、FDDI定義了A和B兩類站點，A類站點可連接到兩個環(huán)上，因此，具有故障自動愈合功能。由于兩條鏈路連接到FDDI網(wǎng)絡(luò)上，當主環(huán)出現(xiàn)故障時，它可以使用備份環(huán)來傳遞數(shù)據(jù)。B類站點只能連接到其中一個環(huán)上，因此無故障愈合功能，但價格較底。 物理層FDDI使用4B/5B編碼技術(shù)來提高傳輸效率。 FDDI使用定時令牌傳遞介質(zhì)訪問控制。為了發(fā)送數(shù)據(jù)，站點必須取得令牌控制權(quán)后才能發(fā)送數(shù)據(jù)。16千兆以太網(wǎng)161千兆以太網(wǎng)簡介 千兆以太網(wǎng)繼續(xù)延用其他種類的以太網(wǎng)幀格式，延用網(wǎng)管員現(xiàn)在的應用、管理工具、配置、安裝和故障排除手段，從而使得企業(yè)在已有硬件和應用的配置和培訓上進行很小投資即可獲得性能的大幅度提高。162千兆

38、以太網(wǎng)技術(shù) 以太網(wǎng)是目前使用最廣泛的網(wǎng)絡(luò)技術(shù)，千兆以太網(wǎng)是以太網(wǎng)技術(shù)的最新發(fā)展。它在速度上比傳統(tǒng)以太網(wǎng)快100倍，而技術(shù)上卻與以太網(wǎng)兼容，同樣使用CSMA/CD和MAC協(xié)議，使得升級費用大大低于向ATM升級的費用。隨著有關(guān)千兆網(wǎng)標準的逐一制定和完善，各種設(shè)備也將大量推出。因此，如何平穩(wěn)地升級到千兆網(wǎng)將是廣大網(wǎng)絡(luò)管理人員面臨的一大課題。 千兆網(wǎng)采用與以太網(wǎng)和快速以太網(wǎng)同樣的標準，保留了以太網(wǎng)的幀格式、流量控制及鏈路層管理，因此千兆網(wǎng)與傳統(tǒng)以太網(wǎng)互相兼容，IP子網(wǎng)的結(jié)構(gòu)及地址都可以用在千兆交換設(shè)備上而無需任何修改。此外，千兆網(wǎng)采用同樣的管理協(xié)議及管理工具，使用同樣的MIB（管理系統(tǒng)庫）結(jié)構(gòu)及RMO

39、NAgent，使得升級后的網(wǎng)絡(luò)管理可以很方便地掌握。按IEEE802.3z標準，千兆以太網(wǎng)與快速以太網(wǎng)及FDDI一樣，采用FIBERCHANNEL光纖傳送標準及8B/10B編碼方式，使得原有的光纖及短距離銅軸線纜可繼續(xù)使用。根據(jù)即將正式采用的IEEE802.3ab，5類UTP也可以用于25100米內(nèi)的千兆網(wǎng)信號傳輸。但由于千兆網(wǎng)的傳輸速率達1000Mbps，所以有兩個問題必須注意，一是所有與千兆網(wǎng)直接相連的設(shè)備接口必須是千兆接口，或者采用千兆接口板(NIC);第二，信號傳輸距離將比原來的短，即整個網(wǎng)絡(luò)的直徑將會減小，需要增加中繼器來克服這一問題。千兆以太網(wǎng)能夠繼續(xù)延用其他種類的以太網(wǎng)幀格式，延

40、用網(wǎng)管員現(xiàn)在的應用、管理工具、配置、安裝和故障排除手段，從而使得企業(yè)在已有硬件和應用的配置和培訓上進行很小投資即可獲得性能的大幅度提高。 千兆以太網(wǎng)規(guī)范確定:使用62.5微米光纖的傳送距離要達到260米，使用50微米光纖的多模光纖鏈路要支持550米。此外，規(guī)范還確立了使用更高成本部件對更長距離的支持，例如使用62.5微米光纖達到440米，使用單模光纖傳輸達3公里。802.3z還包括1000BASE-CX收發(fā)機的技術(shù)規(guī)范，此種技術(shù)支持屏蔽銅線的跨距是25米。 千兆以太網(wǎng)規(guī)范還采用了許多ANSI光纖通道的標準技術(shù)。事實上，它們使用的是同一種代碼集。除更大帶寬外，千兆以太網(wǎng)標準還對一系列新產(chǎn)品提供支

41、持，其中包括能在不同種網(wǎng)絡(luò)中，以千兆位線路速度或者比傳統(tǒng)的、基于軟件的路由器快100倍的速度選路的路由器。換句話說，今天所有的互連網(wǎng)絡(luò)技術(shù)都與千兆以太網(wǎng)兼容，這正如它們與傳統(tǒng)以太網(wǎng)和快速以太網(wǎng)兼容的情形一樣。ATM與千兆以太網(wǎng)比較差別之一：布線和傳輸距離 千兆以太網(wǎng)技術(shù)的出現(xiàn)令深受網(wǎng)絡(luò)擁塞之苦的用戶欣喜若狂，好象盼到了救星一般，特別是它“可由傳統(tǒng)以太網(wǎng)平滑升級”和“最大限度保護傳統(tǒng)以太網(wǎng)用戶已有投資”的承諾，更使網(wǎng)絡(luò)用戶倍感親切。盡管IEEE802.3委員會在制定千兆以太網(wǎng)傳輸標準時把目標定在基于多模光纖的千兆傳輸距離不小于550米，基于5類非屏蔽雙絞線的千兆傳輸距離不小于100米，但事實上，

42、光纖傳輸距離的問題已經(jīng)圓滿解決，至于非屏蔽雙絞線上進行千兆傳輸，還要解決信號反射和畸變等技術(shù)問題。 目前，絕大多數(shù)以太網(wǎng)用戶在局域網(wǎng)布線中都采用3類或5類非屏蔽雙絞線。由于千兆以太網(wǎng)對傳輸線路要求的限制，事實上，傳統(tǒng)以太網(wǎng)用戶升級到千兆以太網(wǎng)決不是一個“平滑無縫”的過程，至少在目前，傳統(tǒng)以太網(wǎng)的布線系統(tǒng)很難為千兆以太網(wǎng)所沿用。千兆以太網(wǎng)技術(shù)在單模光纖上的傳輸距離現(xiàn)已達到了4000米，顯然，這個距離對于園區(qū)建筑物之間的互連環(huán)境已經(jīng)足夠了，但是對于城域網(wǎng)和廣域網(wǎng)，它仍然顯得無能為力。 而ATM的發(fā)展目標就是要建立這樣一個廣域信息傳輸系統(tǒng)。它不受任何物理結(jié)構(gòu)的限制，也和所傳輸?shù)臄?shù)字數(shù)據(jù)類型無關(guān)。就是

43、說，ATM可以用于在世界上最大的廣域網(wǎng)絡(luò)中傳輸任何形式的數(shù)字數(shù)據(jù)信息，相信這樣的目標實現(xiàn)以后會使絕大部分用戶感到滿意。 同步光纖網(wǎng)(SONET)是許多ATM光纖通信的標準，以光纖為傳輸媒介的ATM廣域網(wǎng)早已在世界上許多地方投入了商業(yè)運行，并發(fā)揮了相當高的效率。目前，傳輸速度高達9.6Gbps的廣域ATM鏈路也正處于試驗階段。至于普通雙絞線是否能夠用于ATM網(wǎng)絡(luò)的高速主干鏈路，目前還存在著激烈的爭論，但工作桌面上25Mbps的低速連接在ATM網(wǎng)絡(luò)中已經(jīng)相當普遍。由于ATM在廣域網(wǎng)中的出色表現(xiàn)，再加上ATM上新推出的反復用技術(shù)可以為用戶提供145M的帶寬，這些優(yōu)勢將大大增強ATM在高速網(wǎng)絡(luò)中的生命

44、力。差別之二：升級的可行性和可用性 由于網(wǎng)絡(luò)中信息資源的飛速增長，傳統(tǒng)的聯(lián)網(wǎng)技術(shù)在新的應用條件下正面臨著嚴峻的考驗。將網(wǎng)絡(luò)盡快升級為能夠承擔起新的傳輸任務的高速網(wǎng)絡(luò)是許多網(wǎng)絡(luò)管理員的迫切要求，而世界上許多知名的網(wǎng)絡(luò)設(shè)備廠商也瞅準了這一商機，紛紛推出了各具特色的網(wǎng)絡(luò)升級解決方案。 在千兆以太網(wǎng)和ATM之間，究竟哪種升級方案更具有可行性和可用性？千兆以太網(wǎng)一經(jīng)問世，便以“以傳統(tǒng)以太網(wǎng)技術(shù)為基礎(chǔ)，從以太網(wǎng)和快速以太網(wǎng)升級時方便、快捷，最大限度地保護用戶原有投資”為宣傳口號，這種商業(yè)渲染迎合了千百萬以太網(wǎng)用戶的迫切需求，很是令人心動。由于千兆以太網(wǎng)采用了和傳統(tǒng)的以太網(wǎng)相同的幀長、幀格式和媒體訪問層協(xié)議

45、，因而在從傳統(tǒng)的以太網(wǎng)或是快速以太網(wǎng)升級的具體操作過程中，只需將傳統(tǒng)以太局域網(wǎng)的主干設(shè)備加插千兆以太網(wǎng)適配模塊，在新的網(wǎng)絡(luò)主干之間形成千兆鏈路，或是增加千兆以太網(wǎng)，而將原先的網(wǎng)絡(luò)主干結(jié)構(gòu)移向下級應用即可。它保護了用戶在設(shè)備和技術(shù)方面的投資，也為園區(qū)局域網(wǎng)升級提供了較為合理的解決方案。 在傳統(tǒng)以太局域網(wǎng)所提出的ATM技術(shù)升級解決方案中，均采用ATM交換機形成網(wǎng)絡(luò)主干，這樣做難以保護用戶已有的投資和技術(shù)。ATM局域網(wǎng)升級的投資要比以太網(wǎng)升級的投資高得多。由于近年來在局域網(wǎng)市場上受到千兆以太網(wǎng)技術(shù)的沖擊，對于數(shù)據(jù)傳輸質(zhì)量不是非常在意的用戶都會對價格因素進行一番審慎的考慮。此外，區(qū)別于以太網(wǎng)產(chǎn)品的是，

46、不同廠商生產(chǎn)的ATM網(wǎng)絡(luò)產(chǎn)品之間的工作協(xié)調(diào)性到目前為止還沒有很好地解決，這樣，用戶在進行ATM網(wǎng)絡(luò)升級時，為了保證網(wǎng)絡(luò)的可靠性和高效率，也就不得不選用同一廠商的網(wǎng)絡(luò)產(chǎn)品，這在一定程度上也限制了ATM技術(shù)在桌面系統(tǒng)的應用。差別之三：服務質(zhì)量（QoS） 千兆以太網(wǎng)作為一種新興的高速網(wǎng)絡(luò)技術(shù)，盡管它將網(wǎng)絡(luò)主干帶寬提升到千兆位，但是它仍然和傳統(tǒng)的以太網(wǎng)技術(shù)一樣缺乏擁塞控制，因此時常會影響到用戶對服務器數(shù)據(jù)庫數(shù)據(jù)的存取。同時，它也沒有解決多媒體數(shù)據(jù)傳輸?shù)膯栴}，而這一直是傳統(tǒng)以太網(wǎng)技術(shù)的一個弱點。也許，隨著千兆以太網(wǎng)技術(shù)的不斷發(fā)展、成熟，千兆以太網(wǎng)技術(shù)論壇也將會考慮制定相應的服務質(zhì)量標準，以支持千兆以太網(wǎng)

47、上高質(zhì)量實時多媒體數(shù)據(jù)的傳輸。當千兆以太網(wǎng)技術(shù)真正實現(xiàn)了較高的服務質(zhì)量，也許就是它在局域網(wǎng)中替代ATM的時候了。相比之下，ATM技術(shù)在這方面要優(yōu)越得多。ATM網(wǎng)絡(luò)由于采用面向連接的定長信元傳輸技術(shù)，而不是通過檢查數(shù)據(jù)包的包頭再依靠路由表傳輸?shù)侥康牡刂?，因而?shù)據(jù)傳輸速度快、延遲小。另外，它還具有傳統(tǒng)包交換的復用效率。 ATM是面向連接的，數(shù)據(jù)傳輸都是在電路連接以后才進行。它為ATM上的服務質(zhì)量提供了必要的保證。ATM網(wǎng)絡(luò)的QoS保證是建立在資源預留協(xié)議的基礎(chǔ)上的。由于對服務質(zhì)量的支持，ATM可以用相同的信元格式去整合各種數(shù)據(jù)和多媒體信息，然后運用多業(yè)務管理對策，對各處不同的業(yè)務類型進行流量管理和

48、控制。有了QoS，網(wǎng)絡(luò)管理員就可以很方便地管理各種網(wǎng)絡(luò)資源，嚴格掌握網(wǎng)絡(luò)主干的帶寬分配，并且根據(jù)實際應用需求，對不同的業(yè)務類型劃分優(yōu)先級，以確保重要或機密業(yè)務優(yōu)先。正是由于ATM能夠提供優(yōu)異的且是目前以太網(wǎng)所無法達到的服務質(zhì)量，所以，對QoS要求非常高的用戶能夠忍受ATM的昂貴價格也就不足為奇了。差別之四：來自廠商的支持 由于千兆以太網(wǎng)是一種新興的連網(wǎng)技術(shù)，相應的技術(shù)論壇也還成立不久，因此，基于多種物理媒體的數(shù)據(jù)傳輸標準正在制定過程之中。許多知名網(wǎng)絡(luò)廠商（如Cisco、3Com和Bay公司等）已經(jīng)相繼推出自己的千兆以太網(wǎng)產(chǎn)品，而且做出了“標準發(fā)布后將免費升級到與標準兼容”的承諾。這有利于它們在

49、千兆以太網(wǎng)市場競爭中占據(jù)有利的地位，相信這對許多急需提高網(wǎng)絡(luò)主干速度的傳統(tǒng)以太網(wǎng)用戶具有相當大的吸引力。 ATM技術(shù)的出現(xiàn)比千兆以太網(wǎng)早了三年多，而且目前的ATM網(wǎng)絡(luò)市場相當繁榮。原先由Fore、Newbridge和BayNetworks公司主導的這一市場，已由于Cisco和IBM等多家實力雄厚的公司的紛紛介入，打破了本來的格局。如今的ATM論壇規(guī)?？涨埃呀?jīng)制定了一系列的工業(yè)開放標準，以求加強不同廠商的ATM產(chǎn)品之間的互操作。如果不同廠商產(chǎn)品的互操作問題得不到解決，各個廠商ATM解決方案之間沒有可協(xié)調(diào)之處，那么，ATM的發(fā)展必將會受到阻礙。在高速網(wǎng)絡(luò)技術(shù)解決方案中，能夠滿足所有需求、適合所有

50、環(huán)境的單一技術(shù)還從來沒有出現(xiàn)過。千兆以太網(wǎng)基于單模光纖的傳輸距離僅僅4000米，在廣域網(wǎng)方面幾乎是無能為力，但它卻能夠很方便地提升傳統(tǒng)以太網(wǎng)的主干速度。而高速廣域網(wǎng)的互連一直是ATM的強項，對于千百萬傳統(tǒng)以太網(wǎng)用戶，改頭換面的ATM即使能夠提供服務質(zhì)量保證，也難以打動他們。只有在網(wǎng)絡(luò)升級過程中切實考慮用戶的特定需求，將千兆以太網(wǎng)技術(shù)和ATM技術(shù)優(yōu)勢互補，才能提供比較完美的網(wǎng)絡(luò)升級解決方案，合理地解決網(wǎng)絡(luò)升級問題，將用戶帶入通暢的高速網(wǎng)絡(luò)世界。附件二：網(wǎng)絡(luò)設(shè)備1CiscoCatalyst6500高性能交換機 Catalyst6500系列提供卓越的可擴展性和性能價格比，支持高接口密度、高性能、高可

51、用性等特性。與應用智能、服務質(zhì)量(QoS)機制以及安全性結(jié)合在一起，用戶可以更高效地利用其網(wǎng)絡(luò)，增加終端業(yè)務(如多點廣播、ERR應用)，而不會影響網(wǎng)絡(luò)性能。采用CiscoAssure，網(wǎng)絡(luò)策略可根據(jù)2、3、4層信息(如特定用戶、IP地址或應用)提供端到端應用?？蓴U展的端口密度 Catalyst6000家族由Catalyst6000系列、Catalyst6500系列組成。這兩個系列均支持6和9個插槽的版本，提供廣泛的配置和價格/性能比選擇。Catalyst6000和Catalyst6500系列交換機還支持廣泛的接口類型和密度，包括支持高達384個10/100以太網(wǎng)、192個100FX快速以太網(wǎng)端

52、口和130個千兆比特以太網(wǎng)端口業(yè)界最高的端口數(shù)量?？蛻暨€可使用FastEtherChannel或GigabitEtherChannel，集合八個物理快速以太網(wǎng)或千兆以太網(wǎng)鏈路，實現(xiàn)高達16Gbps的邏輯連接。Catalyst6000系列提供業(yè)界領(lǐng)先的千兆以太網(wǎng)骨干網(wǎng)解決方案，以滿足當今要求最高的、快速增長的企業(yè)Intranet的需求。Catalyst6000家族的密度和容量結(jié)構(gòu)Catalyst6000系列Catalyst6500系列底板帶寬32Gbps32至256Gbps千兆比特以太網(wǎng)端口數(shù)量130130100FX以太網(wǎng)端口數(shù)量13213210/100以太網(wǎng)端口數(shù)量384384多層交換能力可擴

53、展至15Mpps可擴展至150Mpps可擴展的交換性能 Catalyst6500系列結(jié)構(gòu)支持可擴展到256Gbps的交換帶寬和可擴展到150Mpps的多層交換能力。對于那些不需要Catalyst6500系列的性能的客戶來說，Catalyst6000系列提供更經(jīng)濟高效的解決方案。它可將底板帶寬擴展至32Gbps，將多層交換能力擴展至15Mpps。為保護投資，兩種交換機均支持同一套Supervisor、接口線路板和電源，提供廣泛的價格/性能比選擇。CiscoIOS和CiscoAssure提供的Intranet服務 Catalyst6000家族支持與Catalyst5000家族相同的軟件結(jié)構(gòu)，提供業(yè)

54、界領(lǐng)先的基于CiscoIOS的服務。CiscoIOS提供整套軟件業(yè)務，負責管理網(wǎng)絡(luò)安全性，分配并實施QoS，提供增值的、實現(xiàn)高網(wǎng)絡(luò)彈性的業(yè)務。CiscoIOS還為CiscoWorks2000與Cisco資源管理器兩者的集成、整個Catalyst產(chǎn)品系列均支持基于Web的管理工具提供管理架構(gòu)。 PIM、Internet組管理協(xié)議(IGMP)、Cisco組管理協(xié)議(CGMP)、GARP多點發(fā)送注冊協(xié)議實現(xiàn)的高效的Intranet多媒體和多點廣播支持為多媒體和多點廣播應用提供端到端的可擴展帶寬。這些服務將數(shù)據(jù)只傳送給加入多點廣播組的用戶，而不會影響其他用戶。 QoS策略利用2、3、4層信息(如IP、

55、CiscoISL、802.1p幀的優(yōu)先比特位或4層端口號)來執(zhí)行。在Catalyst6000系列交換機內(nèi)，可配置門限的多種隊列采用WRED、WRR、業(yè)務類型/業(yè)務級別(ToS/CoS)映射機制，以確保數(shù)據(jù)包在第2層和3層邊界傳輸時，QoS得到維護。資源預留協(xié)議(RSVP)優(yōu)先映射亦可使用，以確保及時提供時間敏感的Intranet應用。 Intranet的安全性通過安全端口過濾功能受到支持，使個別的端口僅允許某些指定工作站的接入。TACACS和IP允許清單防止對安全管理環(huán)境中的交換機進行非法訪問。訪問控制表(ACL)防止非法用戶闖入網(wǎng)絡(luò)。MD5路由鑒別還用于防止欺詐路由選擇更新。 移動性轉(zhuǎn)移、增

56、加、更換使用動態(tài)主機配置協(xié)議(DHCP)和域名系統(tǒng)(DNS)受到支持，并與動態(tài)VLAN功能一起實現(xiàn)最佳的、可擴展性能，而無需考慮地點。 話音還可在傳統(tǒng)數(shù)據(jù)端口，即以太網(wǎng)上受到支持。如同“雙-網(wǎng)絡(luò)”的設(shè)計原理一個用于數(shù)據(jù)，另一個用于話音如今開辟了一種將話音和數(shù)據(jù)合并到一個網(wǎng)絡(luò)中的方法。Catalyst6000系列可采用相同的策略機制來保證話音數(shù)據(jù)業(yè)務穿過網(wǎng)絡(luò)。它還有另一個優(yōu)勢網(wǎng)絡(luò)管理者可更高效的利用現(xiàn)有資源，同時通過簡化網(wǎng)絡(luò)結(jié)構(gòu)，降低了運營費用。新級別的網(wǎng)絡(luò)彈性 Catalyst6000家族支持多級別網(wǎng)絡(luò)彈性和可服務性，旨在處理關(guān)鍵任務應用。為確保系統(tǒng)高可靠性，Catalyst6000家族支持設(shè)備級容錯，包括以下選項： 冗余Supervisor 冗余、負載分擔電源（AC和DC） 冗余共享風扇 冗余系統(tǒng)時鐘 冗余上行鏈路 冗余交換光纖(僅用于Catalyst6500系列) 包括電源、風扇、Superviros、線路板模塊、交換背板（僅用于Catalyst6500系列）在內(nèi)的所有系統(tǒng)單元都可熱插拔，如元件可增加、轉(zhuǎn)移或替換，而不會導致無關(guān)數(shù)據(jù)流的業(yè)務中斷。在雙重Supervisor配置中，CiscoFastSwitchover為了保護關(guān)鍵應用，可在幾秒鐘內(nèi)將交換機控制轉(zhuǎn)換到冗余Supervisor上。所有系統(tǒng)單元都可現(xiàn)場替換，從而實現(xiàn)了最大服務性和最少的網(wǎng)絡(luò)停機時間