智慧圖書館網(wǎng)絡(luò)及安全系統(tǒng)設(shè)計

第一節(jié)網(wǎng)絡(luò)安全概念及其特征 1第二節(jié)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計 3一、網(wǎng)絡(luò)系統(tǒng)需求分析 3二、設(shè)計原則 3三、設(shè)計目標 5四、邏輯設(shè)計 5五、無線局域網(wǎng)設(shè)計 6六、網(wǎng)絡(luò)管理設(shè)計 8七、網(wǎng)絡(luò)安全設(shè)計 9第三節(jié)網(wǎng)絡(luò)安全解決方案 9第四節(jié)數(shù)據(jù)備份 11第五節(jié)設(shè)備選型 12一、防火墻 12二、流量控制設(shè)備 15三、交換機 16四、服務(wù)器選型 18五、無線AP選型 18六、網(wǎng)管軟件的選擇 19第一節(jié)網(wǎng)絡(luò)安全概念及其特征（投標人根據(jù)實際情況進行編寫）構(gòu)建安全的圖書館包括物理安全、數(shù)據(jù)安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用程序安全和用戶安全。一般來說，數(shù)字圖書館的網(wǎng)絡(luò)安全是指數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)的各個組成部分不受偶然的或惡意的原因而遭到破壞、篡改、和泄露，并且確保數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)能連續(xù)正常運行的機制，其最終目的是要達到數(shù)字圖書館網(wǎng)絡(luò)信息處理和傳輸過程中保持可靠的機密性、完整性、可用性和可控性。機密性是指保證圖書館的信息數(shù)據(jù)不被未授權(quán)的用戶使用，雖然圖書館是公共服務(wù)性部門，信息資源大都是公開的，但是公開的對象目前還僅限于在校學生和教職工，并不對社會開放，而且資源中的一小部分是有償使用的，圖書館管理人員要針對不同的資源、不同的用戶實現(xiàn)資源的機密性?？捎眯允侵副皇跈?quán)的用戶不受時間、地點的限制順利使用圖書館提供的資源，并不會因網(wǎng)絡(luò)環(huán)境不同或者某些蓄意攻擊病毒的影響而導致不能正常使用。完整性是指保證圖書館的資源不被任何未經(jīng)授權(quán)的用戶篡改，資源在發(fā)布、傳遞、使用的過程中不被破壞、丟失，能在服務(wù)的過程中保持資源的完整性。圖書館的管理人員往往會疏忽網(wǎng)絡(luò)安全管理，認為自己的圖書館規(guī)模小，不會受到惡意攻擊，就算受到攻擊，系統(tǒng)恢復一下就行了，或者認為安裝了防火墻或者殺毒軟件等就不會被攻擊，這些想法都是不可取的。多數(shù)圖書館對于網(wǎng)絡(luò)管理員的崗位職責和管理制度并不完善，網(wǎng)絡(luò)管理員往往身兼數(shù)職，技術(shù)水平相對比較薄弱。數(shù)字圖書館的網(wǎng)絡(luò)安全必須要得到管理人員的重視，必須加強自我學習和自我管理。目前，常用的數(shù)字圖書館網(wǎng)絡(luò)系統(tǒng)安全預(yù)防機制有：用戶身份認證、防火墻技術(shù)、入侵檢測技術(shù)、VPN技術(shù)等。除了技術(shù)方面的應(yīng)用，管理工作的重要性也不容小覷，俗話說，“三分技術(shù)，七分管理”，可見合理的管理制度，嚴謹?shù)墓芾砹鞒痰闹匾?，增強管理機制能最大程度降低人為因素造成的安全隱患。第二節(jié)網(wǎng)絡(luò)安全系統(tǒng)設(shè)計一、網(wǎng)絡(luò)系統(tǒng)需求分析圖書館網(wǎng)絡(luò)系統(tǒng)建設(shè)包括圖書館局域網(wǎng)建設(shè)及與校園網(wǎng)主干互聯(lián)。圖書館局域網(wǎng)以交換式千兆以太網(wǎng)為主干，網(wǎng)絡(luò)不僅支持傳送文件，還要支持語音、視頻等信息量大的流媒體應(yīng)用，對網(wǎng)絡(luò)的響應(yīng)和帶寬要求較高，這就要求網(wǎng)絡(luò)設(shè)備的要有較大的交換容量；同時還要加強網(wǎng)絡(luò)安全策略，對內(nèi)防止病毒侵擾、對外防止外部的網(wǎng)絡(luò)攻擊；針對圖書館資源的訪問方式，故采用有線網(wǎng)絡(luò)為主，無線網(wǎng)絡(luò)為輔的接入方式。二、設(shè)計原則1.高可靠性和高性能網(wǎng)絡(luò)系統(tǒng)穩(wěn)定可靠是整個系統(tǒng)正常運行的重中之重，在設(shè)備選型時，充分考慮冗余能力；制定可靠的備份策略，保證網(wǎng)絡(luò)系統(tǒng)的正常運行。出現(xiàn)故障時，可以快速的排除。網(wǎng)絡(luò)在建設(shè)時必須保證設(shè)備和網(wǎng)絡(luò)的高吞吐能力，保證信息的傳輸質(zhì)量，盡可能采用高性能的網(wǎng)絡(luò)設(shè)備，才能使網(wǎng)絡(luò)不成為正常使用時的瓶頸。2.先進性和實用性采用先進的技術(shù)，使網(wǎng)絡(luò)在現(xiàn)在到未來一段時間內(nèi)能夠不被淘汰，而且具有發(fā)展?jié)摿?；按照層次化、模塊化設(shè)計網(wǎng)絡(luò)，具有較好的伸縮性，可以不斷吸收新方法、新技術(shù)，在可以滿足應(yīng)用系統(tǒng)業(yè)務(wù)和圖書館業(yè)務(wù)的同時，還要體現(xiàn)出網(wǎng)絡(luò)的安全性。3.安全性圖書館擁有眾多教學和檔案管理的重要數(shù)據(jù)，無論是被損壞、丟棄還是竊取，都會帶來重大損失。然而，可以采用內(nèi)部核心區(qū)域架設(shè)防火墻的方式，避免圖書館內(nèi)網(wǎng)核心服務(wù)器收到攻擊。制定一套健全的安全策略，整體提高網(wǎng)絡(luò)平臺的安全性。4.靈活性和可擴展性對于高校圖書館，經(jīng)常更換網(wǎng)絡(luò)設(shè)備將是一筆非常大的開支，在組建圖書館網(wǎng)絡(luò)的過程中，應(yīng)當考慮到網(wǎng)絡(luò)的可持續(xù)擴展性。采用三層交換機既可以滿足當今圖書館網(wǎng)絡(luò)的需求，也可以滿足未來網(wǎng)絡(luò)的升級和改良，可以應(yīng)用于千兆鏈路與萬兆鏈路。三、設(shè)計目標圖書館網(wǎng)絡(luò)系統(tǒng)設(shè)計應(yīng)該考慮到網(wǎng)絡(luò)的總體框架設(shè)計、網(wǎng)絡(luò)管理設(shè)計、網(wǎng)絡(luò)應(yīng)用設(shè)計、網(wǎng)絡(luò)安全設(shè)計等，要求達到的目標有以下幾點：第一，系統(tǒng)的兼容性好，實用性強，開放性好，符合國際標準，支持TCP/IP、IPX/SPX協(xié)議。第二，掌握現(xiàn)代信息技術(shù)發(fā)展，采用先進技術(shù)，選用技術(shù)成熟的網(wǎng)絡(luò)產(chǎn)品。系統(tǒng)軟硬件配置時需要考慮性能需求和當前技術(shù)水平，兼顧系統(tǒng)的現(xiàn)實性和技術(shù)領(lǐng)先。第三，整體設(shè)計最優(yōu)原則，在進行設(shè)計的時候，需要根據(jù)合理性的原則，綜合考慮，這種選擇，充分顧及到：安全性、可靠性、實用性和經(jīng)濟性。第四，系統(tǒng)安全可靠，便于維護和管理。第五，適應(yīng)現(xiàn)代化技術(shù)的發(fā)展，與中國教育科研網(wǎng)(CERNET)等國內(nèi)和國際互聯(lián)網(wǎng)相連，實現(xiàn)真正的國際、國內(nèi)網(wǎng)際互聯(lián)。四、邏輯設(shè)計網(wǎng)絡(luò)邏輯設(shè)計是建設(shè)網(wǎng)絡(luò)過程中的重要工作，從整體上影響或決定了網(wǎng)絡(luò)的建筑規(guī)模、基本結(jié)構(gòu)、主要應(yīng)用內(nèi)容與模式、資金投入和建設(shè)周期等重大問題。網(wǎng)絡(luò)邏輯設(shè)計是網(wǎng)絡(luò)工程技術(shù)人員不可或缺的必備專業(yè)技術(shù)，它是在掌握網(wǎng)絡(luò)建設(shè)的任務(wù)與工作程序和理解網(wǎng)絡(luò)工程建設(shè)的技術(shù)指標等基本概念的基礎(chǔ)之上，根據(jù)用戶需要確定網(wǎng)絡(luò)建設(shè)的方案。本圖書館局域網(wǎng)絡(luò)規(guī)劃中，在網(wǎng)絡(luò)拓撲結(jié)構(gòu)方面，選用星型的拓撲結(jié)構(gòu)，網(wǎng)絡(luò)拓撲結(jié)構(gòu)如下圖所示。五、無線局域網(wǎng)設(shè)計在一個典型的無線局域網(wǎng)環(huán)境中，有一些進行數(shù)據(jù)發(fā)送和接收的設(shè)備，稱為接入點(AP)。通常，一個AP能夠在幾十至上百米的范圍內(nèi)連接多個無線用戶。在同時具有有線和無線網(wǎng)絡(luò)的情況下，AP可以通過標準的Ethernet電纜與傳統(tǒng)的有線網(wǎng)絡(luò)相聯(lián)，作為無線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)的連接點。無線局域網(wǎng)的終端用戶可通過無線網(wǎng)卡等訪問網(wǎng)絡(luò)。無線局域網(wǎng)在室外主要有以下幾種結(jié)構(gòu)：點對點型、點對多點型、多點對點型和混合型。1.點對點型。該類型常用于固定的要聯(lián)網(wǎng)的兩個位置之間，是無線聯(lián)網(wǎng)的常用方式，使用這種聯(lián)網(wǎng)方式建成的網(wǎng)絡(luò)，優(yōu)點是傳輸距離遠，傳輸速率高，受外界環(huán)境影響較小。2.點對多點型。該類型常用于有一個中心點，多個遠端點的情況下。其最大優(yōu)點是組建網(wǎng)絡(luò)成本低、維護簡單；其次，由于中心使用了全向天線，設(shè)備調(diào)試相對容易。該種網(wǎng)絡(luò)的缺點也是因為使用了全向天線，波束的全向擴散使得功率大大衰減，網(wǎng)絡(luò)傳輸速率低，對于較遠距離的遠端點，網(wǎng)絡(luò)的可靠性不能得到保證。3.混合型。這種類型適用于所建網(wǎng)絡(luò)中有遠距離的點、近距離的點，還有建筑物或山脈阻擋的點。在組建這種網(wǎng)絡(luò)時，綜合使用上述幾種類型的網(wǎng)絡(luò)方式，對于遠距離的點使用點對點方式，近距離的多個點采用點對多點方式，有阻擋的點采用中繼方式。所謂無線局域網(wǎng)就是試圖形成這樣一種在一個大網(wǎng)中處于不同物理位置的各個成員可以不受位置限制而構(gòu)成，即WLAN，如下圖。圖書館無線局域網(wǎng)拓撲圖六、網(wǎng)絡(luò)管理設(shè)計根據(jù)用戶需求分析的結(jié)果可知，力行圖書館局域網(wǎng)必須是一個可管理的網(wǎng)絡(luò)，因此，在我們必須進行網(wǎng)絡(luò)管理設(shè)計。針對圖書館局域網(wǎng)的實際情況，網(wǎng)絡(luò)管理設(shè)計主要解決故障查找、配置與重配置和網(wǎng)絡(luò)監(jiān)視問題，而解決這些問題現(xiàn)在一般都借助網(wǎng)絡(luò)管理軟件。所以，在圖書館局域網(wǎng)中，我們選用主干交換設(shè)備廠商提供的網(wǎng)絡(luò)管理軟件來完成網(wǎng)絡(luò)管理工作。七、網(wǎng)絡(luò)安全設(shè)計根據(jù)用戶需求分析的結(jié)果可知，圖書館局域網(wǎng)必須是一個安全的網(wǎng)絡(luò)，因此，在邏輯網(wǎng)絡(luò)設(shè)計時必須進行網(wǎng)絡(luò)安全設(shè)計。提供網(wǎng)絡(luò)安全是一種平衡策略，因此，權(quán)衡網(wǎng)絡(luò)安全需要和方便用戶需要，在圖書館局域網(wǎng)的安全設(shè)計方面主要采用訪問控制技術(shù)、用戶認證技術(shù)等來保障網(wǎng)絡(luò)安全運行。第三節(jié)網(wǎng)絡(luò)安全解決方案保證智慧圖書館內(nèi)部應(yīng)用數(shù)據(jù)的安全是所有安全設(shè)計中的重中之重，考慮采用包過濾(防火墻)和Proxy。這種防火墻系統(tǒng)可以說是比較安全的，在定義了“非軍事區(qū)”(DMZ)網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層兩方面的安全功能。網(wǎng)絡(luò)管理員將與Internet交換信息的E-Mai1服務(wù)器都放在DMZ網(wǎng)絡(luò)中。DMZ網(wǎng)絡(luò)處于Internet和內(nèi)部網(wǎng)絡(luò)之間。目前的防火墻有二大類，一類是基于硬件的防火墻，另一類是基于軟件的防火墻，硬件防火墻由于采用了專門的操作系統(tǒng)和高速的CPU，因此速度快，可靠性高，安全性高，但價格相對較高。軟件防火墻的主要優(yōu)點是價格相對便宜，但速度和可靠性、安全性不及硬件防火墻，因此我們智慧圖書館采用硬件防火墻，在這里我們采用CiscoPIX525硬件防火墻。對于代理軟件，Microsoft公司的InternetSecurityandAccelerationServer2000(ISA)，ISAServer2000能夠提供安全、快速和可管理的Internet連接。ISAServer集成了可擴展、多層企業(yè)級的防火墻和可伸縮的高性能Web緩存系統(tǒng)。構(gòu)建在Windows2000的安全特性和目錄基礎(chǔ)上，提供基于策略的安全、加速和管理。ISAServer包括一個可擴展的多層企業(yè)級防火墻，可以用以下特征來描述：包、鏈路層和應(yīng)用程序?qū)恿髁勘O(jiān)測，狀態(tài)監(jiān)測，廣泛的應(yīng)用程序支持，VPN集成，系統(tǒng)強化，入侵檢測集成，智能應(yīng)用程序過濾器，對所有客戶端的透明，高級驗證，安全服務(wù)器發(fā)布等等。對于從Internet進來的訪問，外面的路由器用于防范通常的外部攻擊(如源地址欺騙和源路由攻擊)，并管理Internet到DMZ網(wǎng)絡(luò)的訪問。它只允許外部系統(tǒng)訪問E-Mail服務(wù)器。里面的防火墻系統(tǒng)對內(nèi)部網(wǎng)絡(luò)提供第二層防御，只接受源于DMZ的數(shù)據(jù)包，負責的是管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問。對于去往Internet的數(shù)據(jù)包，里面的防火墻服務(wù)器管理內(nèi)部網(wǎng)絡(luò)到DMZ網(wǎng)絡(luò)的訪問。它允許內(nèi)部系統(tǒng)只訪問DMZ中的主機。外面的路由器上的過濾規(guī)則使用代理服務(wù)(只接受來自堡壘主機的去Internet的數(shù)據(jù)包)訪問Internet。采用這種屏蔽子網(wǎng)防火墻系統(tǒng)有如下幾個特別的好處：入侵者必須突破若個不同的設(shè)備(無法探測)才能侵襲內(nèi)部網(wǎng)絡(luò)：外部路由器，Proxy，還有內(nèi)部防火墻。由于外部路由器只能向Internet通告DMZ網(wǎng)絡(luò)的存在，Internet.上的系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡(luò)相對。這樣網(wǎng)絡(luò)管理員朱可以保證內(nèi)部網(wǎng)絡(luò)是“不可見”的，并且只有在DMZ網(wǎng)絡(luò)上選定的系統(tǒng)才對Internet開放(通過路由表和DMZ信息交換)。由于內(nèi)部防火墻系統(tǒng)只向內(nèi)部網(wǎng)絡(luò)通告DMZ網(wǎng)絡(luò)的存在，內(nèi)部網(wǎng)絡(luò)上的系統(tǒng)不能直接通往Internet，這樣就保證了內(nèi)部網(wǎng)絡(luò)上的用戶必須通過代理服務(wù)才能訪問Internet。對于病毒防范，采用防病毒軟件，Symantec公司的NortonAntiVirus以其領(lǐng)先的反病毒技術(shù)在全球反病毒軟件中獨樹一幟，NortonAntiVirus獨有的智能跟蹤、查殺技術(shù)，不僅保證系統(tǒng)不受病毒感染，還能有效查殺各種特洛伊木馬(Trojan-黑客軟件)，如：Back0rifice、NetBus等，而NortonAntiVirus的智能更新可以不斷從Symantec獲得新的病毒代碼，在新病毒發(fā)作前就將其查出；如果發(fā)現(xiàn)了新的病毒還可以將其發(fā)到NortonAntiVirus研究中心。第四節(jié)數(shù)據(jù)備份在一個企業(yè)級網(wǎng)絡(luò)中，系統(tǒng)數(shù)據(jù)的備份是至關(guān)重要的，按照智慧圖書館項目設(shè)計要求和智慧圖書館的實際情況，我們建議采用磁帶機進行數(shù)據(jù)的備份。在眾多可選的外部存儲設(shè)備，磁帶機是最可靠的的數(shù)據(jù)備份方法，它的主要優(yōu)點如下：1.每GB的存儲成本低于1.3美元；2.傳輸率高(數(shù)據(jù)壓縮后可達10MB/秒)；3.可移動的磁帶易于存儲和保管。只需更換磁帶，因此，容量可以說是無限大的；4.多數(shù)磁帶機和磁帶的良好可靠性已被證實，可將數(shù)據(jù)存儲很長時間，磁帶機已為大型計算機存儲極重要的數(shù)據(jù)超過30年，并且證明了他們獲得了優(yōu)良的記錄；5.磁帶機允許無人操作的自動備份，使用好的備份軟件可使您隨心所欲地使用磁帶機，為用戶提供了一-種簡單的方法。允許在無人值守的情況下可為大型網(wǎng)絡(luò)備份數(shù)據(jù)，甚至可以為數(shù)據(jù)庫進行“在線”備份；6.磁帶庫、自動加載磁帶機的應(yīng)用為網(wǎng)絡(luò)備份提供了更為可靠的選擇。備份工作主要通過操作系統(tǒng)一AIX內(nèi)置的備份程序來進行，在定義了備份策略后由操作系統(tǒng)自動進行備份。當然在需要的時候也可以進行人工備份。第五節(jié)設(shè)備選型一、防火墻（一）設(shè)備選型根據(jù)核心交換機的選型，防火墻采用H3CSecBlade防火墻插卡，該防火墻插卡采用了H3C公司最新的硬件平臺和體系架構(gòu)，是H3C公司面向大型企業(yè)和運營商用戶開發(fā)的新--代電信級防火墻設(shè)備。通過SecBlade防火墻插卡，用戶可靈活、迅速的在主網(wǎng)絡(luò)設(shè)備上實現(xiàn)網(wǎng)絡(luò)和安全防護的高度一體化。SecBlade防火墻插卡已經(jīng)完全實現(xiàn)了三層網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)機制，可以靈活地應(yīng)用在多層交換網(wǎng)絡(luò)中，同時又能提供強大的安全保護。它是基于H3C領(lǐng)先的OAA(OpenApplicationArchitecture)架構(gòu)開發(fā)，采用了多核高性能處理器和高速存儲器，可以插在主網(wǎng)絡(luò)設(shè)備上的多個槽位上，而且同一個主網(wǎng)絡(luò)設(shè)備上可以插入多塊SecBlade防火墻插卡。（二）功能介紹SecBlade防火墻插卡支持的主要功能有：1.支持驗證、授權(quán)和計帳(AAA)服務(wù)。包括：基于RADIUS/HWTACACS+、CHAP、PAP的認證，支持域認證等；2.支持虛擬防火墻?？稍跇I(yè)務(wù)板上劃分多個虛擬防火墻，每個虛擬防火墻有自己的策略，并且可以分別進行管理；3.支持包過濾。通過在安全區(qū)域間使用標準或擴展訪問控制規(guī)則，借助報文中UDP或TCP端口等信息實現(xiàn)對數(shù)據(jù)包的過濾。此外，還可以按照時間段進行過濾；4.支持應(yīng)用層狀態(tài)包過濾(ASPF)功能。通過檢查應(yīng)用層協(xié)議信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP協(xié)議的應(yīng)用層協(xié)議)，并監(jiān)控基于連接的應(yīng)用層協(xié)議狀態(tài)，動態(tài)的決定數(shù)據(jù)包是被允許通過防火墻或者是被丟棄；5.支持P2P流量控制功能。通過對流量采用深度檢測的方法—即通過將網(wǎng)絡(luò)報文與P2P協(xié)議報文特征進行匹配，可以精確的識別P2P流量，以達到對P2P流量進行管理的目的，同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制；6.支持URL過濾，可對指定的URL進行屏蔽；7.支持豐富的攻擊防范功能。包括：Land、Smurf、Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法超大ICMP報文、地址掃描、支端口掃描等攻擊防范。還包括針對SYNFlood、UPDFlood、ICMPFlood、分片F(xiàn)lood等常見DDoS攻擊的檢測防御；8.支持ICMP重定向或不可達報文控制功能；9.支持Tracert報文控制功能；10.支持帶路由記錄選項IP報文控制功能；11.支持靜態(tài)和動態(tài)黑名單；12.支持NAT和NAT多實例；13.支持VPN功能。包括：支持IPSec、支持IKE和PKI、支持GRE隧道。支持硬件VPN處理加速；14.支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，以及BGP、RIP、OSPF等動態(tài)路由協(xié)議；15.支持安全日志；16.支持流量監(jiān)控統(tǒng)計、管理；17.支持全部WEB方式進行管理。二、流量控制設(shè)備（一）設(shè)備選型我館的流量控制設(shè)備采用F7OptimalQoS5000E產(chǎn)品，將其部署在防火墻與核心路由交換機之間，對全館的網(wǎng)絡(luò)進行實時監(jiān)控和合理規(guī)劃。F7OptimalQoS的技術(shù)亮點是：系統(tǒng)可部署于用戶的互聯(lián)網(wǎng)出口、廣域網(wǎng)的各個節(jié)點，互聯(lián)網(wǎng)和廣域網(wǎng)交互網(wǎng)絡(luò)的出口處和各分支節(jié)點，實現(xiàn)對全網(wǎng)的實時監(jiān)控、和對網(wǎng)絡(luò)資源進行重新規(guī)劃和合理分配，以充分提高網(wǎng)絡(luò)運行效率及應(yīng)用價值。系統(tǒng)可以幫助網(wǎng)絡(luò)管理員清晰直觀地了解網(wǎng)絡(luò)運行狀況和運行趨勢，并能知道哪些是貪婪吞噬帶寬資源的應(yīng)用，哪些是無關(guān)的應(yīng)用，直觀反映出網(wǎng)絡(luò)通道的擁擠程度。系統(tǒng)是對網(wǎng)絡(luò)各種應(yīng)用進行分析細分并做流量整形，整形后的流量變成了可視可控可追溯的流量，對每種流量能達到每一個session的監(jiān)管，基于對網(wǎng)絡(luò)應(yīng)用協(xié)議和網(wǎng)絡(luò)用戶的管理優(yōu)化功能，可根據(jù)應(yīng)用和用戶的優(yōu)先級別不同，進行區(qū)別管理，可實現(xiàn)保障核心應(yīng)用和核心用戶的帶寬，促進內(nèi)網(wǎng)非核心用戶的用網(wǎng)公平，控制無關(guān)應(yīng)用搶占帶寬資源，動態(tài)管理網(wǎng)絡(luò)出口帶寬，使整個網(wǎng)絡(luò)處于高效并可管理的狀態(tài)。（二）功能介紹5000E的功能分三方面，一是對實時網(wǎng)絡(luò)流量的檢測，二是策略管理，即針對IP和七層應(yīng)用協(xié)議的帶寬、會話數(shù)、優(yōu)先級別等進行限制，三是對過往流量使用情況進行統(tǒng)計。5000E實時監(jiān)測平臺實現(xiàn)的功能：主要功能是實時監(jiān)測，監(jiān)測對象包括單個IP、網(wǎng)段、單個應(yīng)用、應(yīng)用組等，監(jiān)測的內(nèi)容有流入和流出包速度，字節(jié)數(shù)等。顯示方式分堆疊式、餅圖、柱狀圖和列表。5000E管理平臺上實現(xiàn)的功能：(1)核心模塊管理：可以對流控設(shè)備的核心信息進行管理，包括管理員賬號、權(quán)限，流控設(shè)備個數(shù)、地址，特征庫升級等；(2)策略管理：對網(wǎng)段和應(yīng)用等進行帶寬限制；(3)報表管理：按時間段和應(yīng)用類別進行流量統(tǒng)計，并能以WORD和PDF的方式導出。5000E設(shè)備具備Bypass功能，能夠保證不管設(shè)備處于什么狀態(tài)下，包括未啟動，啟動過程中，都能保證網(wǎng)絡(luò)是通暢的，不會影響業(yè)務(wù)的正常運行。Bypass就是旁路功能，也就是說可以通過特定的觸發(fā)狀態(tài)(斷電或死機)讓兩個網(wǎng)絡(luò)不通過網(wǎng)絡(luò)安全設(shè)備的系統(tǒng)，而直接物理上導通，所以有了Bypass后，當網(wǎng)絡(luò)安全設(shè)備故障以后，還可以讓連接在這臺設(shè)備.上的網(wǎng)絡(luò)相互導通，當然這個時候這臺網(wǎng)絡(luò)設(shè)備也就不會再對網(wǎng)絡(luò)中的封包做處理了。三、交換機1.CiscoCatalyst2960系列智能以太網(wǎng)交換機是一個全新的、固定配置的獨立設(shè)備系列，提供桌面快速以太網(wǎng)和10/100/1000千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場和分支機構(gòu)網(wǎng)絡(luò)提供增強LAN服務(wù)。集成安全特性，包括網(wǎng)絡(luò)準入控制(NAC)；高級服務(wù)質(zhì)量(QoS)和永續(xù)性，為網(wǎng)絡(luò)邊緣提供智能服務(wù)，為網(wǎng)絡(luò)邊緣提供了智能特性，如先進的訪問控制列表(ACL)和增強安全特性，雙介質(zhì)上行鏈路端口提供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行鏈路端口一每個介質(zhì)上行鏈路端口都有一個10/100/1000以太網(wǎng)端口和一個小型可插拔(SFP)千兆以太網(wǎng)端口，在使用時其中一個端口激活，但不能同時使用這兩個端口。通過高級QoS、精確速率限制、ACL和組播服務(wù)，實現(xiàn)了網(wǎng)絡(luò)控制和帶寬優(yōu)化，通過多種驗證方法、數(shù)據(jù)加密技術(shù)和基于用戶、端口和MAC地址的網(wǎng)絡(luò)準入控制，實現(xiàn)了網(wǎng)絡(luò)安全性，通過思科網(wǎng)絡(luò)助理，簡化了網(wǎng)絡(luò)配置、升級和故障診斷。2.CiscoCatalyst3560-X系列交換機是獨立式交換機的企業(yè)級產(chǎn)品。這些交換機通過IEEE802.3at增強型以太網(wǎng)供電(PoE+)配置、可選網(wǎng)絡(luò)模塊、冗余電源和媒體訪問控制安全(MACsec)等創(chuàng)新功能，提供無間斷連接性、可擴展性、安全性、能效性和易操作性。CiscoCatalyst3560-X為實現(xiàn)無邊界網(wǎng)絡(luò)體驗，啟用了IP電話、無線和視頻等應(yīng)用程序，提高了生產(chǎn)效率。CiscoCatalyst3560-X系列交換機24和48，10/100/1000PoE+和非PoE型號，可選的4個千兆以太網(wǎng)(GbE)SFP或2個10GbESFP+上行鏈路網(wǎng)絡(luò)模塊，業(yè)內(nèi)第一個PoE+，所有端口上都提供30W功率，1個機架裝置(RU)的外形設(shè)計，雙冗余，模塊化電源和風扇、媒體訪問控制安全(MACsec)的基于硬件的加密，IPv4和IPv6路由、多播路由、高級服務(wù)質(zhì)量(QoS)和硬件中的安全功能。增強型有限終身保修(LLW)、下一工作日(NBD)硬件備件先行更換和90天思科技術(shù)支持中心(TAC)支持，增強型CiscoEnergyWise，可測量PoE設(shè)備的實際功耗，進行報告，并降低網(wǎng)絡(luò)能耗，從而優(yōu)化運營成本，USBA型和B型端口，以及帶外以太網(wǎng)管理端口。四、服務(wù)器選型本次方案中需要架設(shè)DHCP服務(wù)器并且安裝熱點認證系統(tǒng)及防火墻安