某大樓計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

PAGE1PAGE15第一章計算機網(wǎng)絡(luò)系統(tǒng)概述某市××大廈計算機網(wǎng)絡(luò)系統(tǒng)（以下簡稱××大廈網(wǎng)絡(luò)）作為某市××大廈3A智能化系統(tǒng)的核心骨干支持架構(gòu)，擔(dān)負著為業(yè)務(wù)辦公系統(tǒng)（OA）、樓宇自動化控制系統(tǒng)(BA)以及通信自動化系統(tǒng)（CA）的運作提供一個可靠、穩(wěn)定網(wǎng)絡(luò)環(huán)境的重要任務(wù).××大廈網(wǎng)絡(luò)系統(tǒng)從拓撲結(jié)構(gòu)上分成網(wǎng)絡(luò)平臺、系統(tǒng)主機以及軟件平臺三大部分組成。在網(wǎng)絡(luò)平臺的局域網(wǎng)設(shè)計中我們采用了Cisco３５２４ＸＬ交換機冗余作為網(wǎng)絡(luò)的核心交換層,桌面接入交換機也采用Cisco３５２４ＸＬ交換機并加上堆疊模塊,為每個桌面提供100Mbps全交換連接.在廣域網(wǎng)接入部分，我們通過采用Cisco２６２１路由器來實現(xiàn)區(qū)院網(wǎng)絡(luò)遠程接入、遠程控制管理、Internet出口,同時配置了IOS內(nèi)置防火墻來加強安全防護.系統(tǒng)主機包括數(shù)據(jù)庫主機和WWW服務(wù)器。我們選擇了在可靠性和安全性方面性能卓越的HP服務(wù)器作為業(yè)務(wù)辦公數(shù)據(jù)庫主機。同時為了保證服務(wù)器的可靠性，我們將兩臺HP服務(wù)器實現(xiàn)雙機容錯.在軟件平臺方面，我們采用目前流行的Windows2000Server網(wǎng)絡(luò)操作系統(tǒng)作為系統(tǒng)軟件平臺,同時采用MSSQLServer2000作為數(shù)據(jù)庫系統(tǒng),采用MSExchange2000作為電子郵件系統(tǒng)，這些軟件產(chǎn)品都是美國微軟公司出品,能夠很好的融合在一起。下面我們將從系統(tǒng)規(guī)劃、系統(tǒng)設(shè)計、設(shè)備選型等三個方面來進行詳細闡述一、系統(tǒng)總體規(guī)劃1、設(shè)計目標為大廈中各個樓層、寫字間的辦公自動化以及樓宇自動化控制系統(tǒng)、BMS系統(tǒng)中的各子系統(tǒng)提供一個安全穩(wěn)定可靠的運行控制和集成管理核心網(wǎng)絡(luò)環(huán)境；根據(jù)實際需要提供不同的網(wǎng)絡(luò)接入方式和速率，以實現(xiàn)用戶對數(shù)據(jù)、圖象、聲音等信息的高效處理；預(yù)留廣域網(wǎng)接口,以便可根據(jù)需要提供Internet的接入,為與外界的信息交流和事務(wù)協(xié)作創(chuàng)造良好的信息通路，并提供提供遠程接入和管理控制以及移動辦公的服務(wù)接口;提供豐富的網(wǎng)絡(luò)服務(wù)，實現(xiàn)廣泛的軟件、硬件資源共享，避免重復(fù)投資，發(fā)揮系統(tǒng)最大效益；主機系統(tǒng)應(yīng)具有高度的可靠性，能7x24小時不間斷工作,并有容錯措施；還應(yīng)具備很高的安全性,以保證網(wǎng)絡(luò)中機密數(shù)據(jù)的合法訪問;具有廣泛的軟件支持，軟件兼容性好，并支持多種傳輸協(xié)議；主機系統(tǒng)應(yīng)享有較好的性價比和較低的總擁有成本，并具有良好的向后擴展能力和一定的先進性;主機系統(tǒng)應(yīng)易于使用和維護;所有網(wǎng)絡(luò)設(shè)備都具備高性能，應(yīng)有足夠的吞吐量；應(yīng)考慮容錯技術(shù)實現(xiàn)高可靠性。2、設(shè)計原則1）安全性和可靠性：整個系統(tǒng)必須具有高度的安全性、可靠性和穩(wěn)定性；2)成熟性和先進性：應(yīng)采用被實踐證明為技術(shù)成熟且領(lǐng)先的技術(shù)設(shè)備，最大限度地滿足現(xiàn)在業(yè)務(wù)和未來發(fā)展的需求；開放性和可擴展性：應(yīng)考慮未來發(fā)展的需要，使系統(tǒng)與未來擴展的設(shè)備具有互聯(lián)性和互操作性,又便于升級、換代,使整個系統(tǒng)可以隨著科學(xué)技術(shù)的發(fā)展與進步,不斷得到充實、完善、改進和提高，并且能很方便地融于全球信息網(wǎng)絡(luò)中；集成性和可管理性：充分考慮系統(tǒng)所涉及的各子系統(tǒng)的集成和信息共享，保證系統(tǒng)總體上的先進性和合理性，采用集中管理、操作和分散控制的模式;經(jīng)濟性：系統(tǒng)應(yīng)具有較高的性能價格比.3、系統(tǒng)結(jié)構(gòu)我們將××大廈計算機網(wǎng)絡(luò)系統(tǒng)分為網(wǎng)絡(luò)平臺、系統(tǒng)主機、軟件平臺三個組成部分，其中核心網(wǎng)絡(luò)由主干交換機組（核心層）和桌面接入交換機群（訪問層）、路由器（邊緣層)構(gòu)成，并在邏輯上通過VLAN（虛擬專用子網(wǎng)）技術(shù)根據(jù)功能劃分為業(yè)務(wù)辦公網(wǎng)、智能樓宇網(wǎng)以及廣域網(wǎng)三個子網(wǎng);系統(tǒng)主機包括業(yè)務(wù)辦公數(shù)據(jù)庫主機、業(yè)務(wù)辦公應(yīng)用軟件主機以及樓宇智能服務(wù)器;軟件平臺包括網(wǎng)絡(luò)操作系統(tǒng)、業(yè)務(wù)應(yīng)用軟件、數(shù)據(jù)庫系統(tǒng)、BA的應(yīng)用管理軟件等。網(wǎng)絡(luò)平臺設(shè)計××大廈計算機網(wǎng)絡(luò)系統(tǒng)做為一個3A智能化系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)，實際上由局域網(wǎng)和廣域網(wǎng)兩部分組成,下面我們對這兩部分做具體詳細的設(shè)計。1、局域網(wǎng)設(shè)計1）主流網(wǎng)絡(luò)結(jié)構(gòu)概述及技術(shù)分析目前在局域網(wǎng)組網(wǎng)技術(shù)中比較成熟和應(yīng)用較多的技術(shù)有以下幾方面網(wǎng)絡(luò)類型：Ethernet：10M、100M、千兆以太網(wǎng)，ATM:25M、155M、622M、2.4G，DDN：64K、128K、1M、2M，X.25：64KFDDI：100M面臨淘汰。在端口數(shù)據(jù)分配上也分為共享式和交換式，在以上幾個方面中網(wǎng)絡(luò)類型的選擇是關(guān)鍵,目前的主要技術(shù)之爭是發(fā)生在以太網(wǎng)和ATM之間的，這兩種技術(shù)各有短長,我們在下面進行具體的闡述并作出選擇。以太網(wǎng)和快速以太網(wǎng)快速以太網(wǎng)實際上是10Mbps以太網(wǎng)的100Mbps版本，所以它的運行速度要比10Mbps以太網(wǎng)快十倍。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和接受，它可以應(yīng)用在共享式和主干環(huán)境下,提供高帶寬的共享式網(wǎng)絡(luò)或主干連接,同時也可以應(yīng)用在交換式環(huán)境下，提供優(yōu)異的服務(wù)質(zhì)量（QoS）.快速以太網(wǎng)與傳統(tǒng)的以太網(wǎng)技術(shù)相似，毋庸贅言，此外它還具備以下優(yōu)點:=1\*GB3①快速以太網(wǎng)和普通以太網(wǎng)同樣遵循CSMA/CD協(xié)議，現(xiàn)有的10BaseT網(wǎng)絡(luò)設(shè)備可以相當簡便地升級到快速以太網(wǎng)，保護用戶原有的投資,與其它新型網(wǎng)絡(luò)技術(shù)相比，更方便地使現(xiàn)有的10MbpsLAN無縫連接到100MbpsLAN上。=2\＊GB3②100BaseT集線器和網(wǎng)絡(luò)接口卡,只需要比10BaseT同樣的設(shè)備多花少量費用就可提供比普通以太網(wǎng)高10倍的性能.因此,100BaseT具備較高的性能價格比.=3\＊GB3③快速以太網(wǎng)(100BaseT）已得到IEEE任命標準為802.3u，并得到了所有的主流網(wǎng)絡(luò)廠商的支持.千兆以太網(wǎng)技術(shù)千兆以太網(wǎng)是相當成功的10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)連接標準的擴展。IEEE已批準千兆位以太網(wǎng)工程IEEE802.3z.千兆位以太網(wǎng)和已充分建立的以太網(wǎng)與快速以太網(wǎng)的節(jié)點完全匹配.最初的以太網(wǎng)規(guī)范由幀格式定義，且支持CSMA/CD協(xié)議、全雙工、流控制和由IEEE802。3標準定義的管理項目，千兆位以太網(wǎng)將使用所有這些規(guī)范?？傊д孜灰蕴W(wǎng)和管理員以前使用和了解的以太網(wǎng)相同，所不同是僅僅是比快速以太網(wǎng)快十倍和它與當前的高帶寬需求應(yīng)用程序相協(xié)調(diào)的額外特性，而且和日益增強的服務(wù)器和臺式計算機的功能相匹配。我們可以看到主干和各網(wǎng)段及桌面已實現(xiàn)了無縫結(jié)合,網(wǎng)絡(luò)管理變得不再讓用戶望而生畏。ATM技術(shù)ATM技術(shù)相對以太網(wǎng)來說是一種較為為新型的技術(shù)，它基于面向連接，提供QOS保障,在實時數(shù)據(jù)傳送，預(yù)留帶寬方面有不可比擬的優(yōu)越性，特別適合實時多媒體的交互式通訊和一些突發(fā)性的數(shù)據(jù)傳送要求，它針對不同的數(shù)據(jù)通訊類型會給予不同的質(zhì)量保證，另外小信元有利于速率的不斷提高，但由于其技術(shù)成熟度不夠，和目前直接基于ATM的應(yīng)用類型還比較少,它的優(yōu)越性受到了限制，另外它的元件和設(shè)備價格昂貴是另一個不利與推廣的弱點.2）網(wǎng)絡(luò)技術(shù)選擇下面我們根據(jù)實際應(yīng)用需要以及網(wǎng)絡(luò)功能、性能、安全性等多方面來做具體的比較分析：我們想通過下面的二組表格對兩種技術(shù)就目前的現(xiàn)況做出全面的比較。表一:千兆位以太網(wǎng)在具有以前ATM所有的功能之外，還能提供一個更為綜合性的解決方案。IP匹配性Yes需要RFG1577或PNNI操作以太網(wǎng)信息包Yes需要LANE或從信源到包的轉(zhuǎn)換處理多媒體YesYes，但是要改變應(yīng)用程序服務(wù)質(zhì)量Yes,有RSVP和801.1QYes,有SVGS表二：千兆位以太網(wǎng)能完成許多ATM的功能,但是有價格低、更易和LAN結(jié)構(gòu)融合的優(yōu)點.端口之間YesYes可升級性YesYes連接定位YesYesQoSYesYes低費用YesYes協(xié)調(diào)性YesYes標準化YesYes軟件YesYes易集成性YesYes以上的比較表明——千兆以太網(wǎng)以許多方式發(fā)送最初期望ATM實現(xiàn)的優(yōu)點，而且可以容易的、經(jīng)濟的多地執(zhí)行。綜上所述,根據(jù)××大廈實際應(yīng)用情況，我公司建議采用千兆以太網(wǎng)作為技術(shù)定位的局域網(wǎng)網(wǎng)絡(luò)方案。3）網(wǎng)絡(luò)拓樸結(jié)構(gòu)我們對該網(wǎng)絡(luò)的拓撲結(jié)構(gòu)確定如下：4)局域網(wǎng)絡(luò)具體設(shè)計根據(jù)可靠性及穩(wěn)定性的設(shè)計原則，網(wǎng)絡(luò)建設(shè)將采用新型的Clustering技術(shù)，核心交換機采用智能支持100/1000M的企業(yè)級交換機.桌面接入交換機組由帶GBIC堆疊模塊的100M交換機來完成，而且具備很強的擴充能力.所有工作站都通過100M網(wǎng)卡連接到桌面接入交換機組上，使100M中心計算機房的業(yè)務(wù)辦公數(shù)據(jù)庫主機和應(yīng)用軟件服務(wù)器、樓宇智能服務(wù)器等設(shè)備直接通過銅纜線路與核心交換機上的100M以太網(wǎng)口連接。中心機房內(nèi)的網(wǎng)管工作站以及一些工作站可直接連接到主干交換機上。在不改變網(wǎng)絡(luò)技術(shù)情況下的擴展方式:隨著業(yè)務(wù)的增加，網(wǎng)絡(luò)站點數(shù)量的增加，樓層配線間的交換機上100M端口數(shù)目必然會不夠。這時我們可以采用增加桌面接入交換機的方式來擴展.這樣就能提供了更多的接入端口，為以后增加更多的設(shè)備提供了良好的擴充余地。2、廣域網(wǎng)設(shè)計國際互聯(lián)網(wǎng)的一大特點就是能開放、充分地提供各種信息,區(qū)檢察院對外部門的各種資料、檔案、數(shù)據(jù)庫的上網(wǎng)使檢察院的服務(wù)更加完善，更好地為社會服務(wù)。并且與國際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源，同時能將區(qū)檢察院介紹給世界?！痢链髲B網(wǎng)絡(luò)系統(tǒng)通過一臺高性能的并具備安全防護能力的路由器使用ISP提供的DDN數(shù)字線路連接到國際互聯(lián)網(wǎng)。工作站均可通過路由器的Internet網(wǎng)關(guān)瀏覽Internet上的資訊?！痢链髲B還可建立自己的WEB服務(wù)器并連接到互聯(lián)網(wǎng)上，提供內(nèi)部的E-Mail、BBS、NEWS等服務(wù).3、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理是一個復(fù)雜網(wǎng)絡(luò)必須考慮的關(guān)鍵技術(shù)問題,這里的網(wǎng)絡(luò)管理主要指網(wǎng)絡(luò)設(shè)備管理,包括網(wǎng)絡(luò)設(shè)備配置管理，網(wǎng)絡(luò)性能管理，和網(wǎng)絡(luò)設(shè)備故障管理.網(wǎng)絡(luò)管理設(shè)計需要在配置每個網(wǎng)絡(luò)設(shè)備時，都選擇具有網(wǎng)絡(luò)管理代理的，駐留有網(wǎng)絡(luò)管理協(xié)議的設(shè)備,網(wǎng)絡(luò)管理設(shè)計的另一方面，是配置一個網(wǎng)絡(luò)管理中心，它一般是一臺微機，配置網(wǎng)絡(luò)管理平臺,在平臺上運行管理每個網(wǎng)絡(luò)設(shè)備的應(yīng)用軟件.網(wǎng)絡(luò)管理是保持當今的企業(yè)網(wǎng)絡(luò)以高峰效率運行的一個關(guān)鍵工具。網(wǎng)絡(luò)管理可以幫助您決定網(wǎng)絡(luò)中的故障、性能和配置變化。我們設(shè)計的網(wǎng)絡(luò)管理方案在我們的網(wǎng)絡(luò)硬件中結(jié)合了軟件工具以及IOS的特性.通過運用CiscoWorks2000工具，Cisco提供自動發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備、跟蹤和審計配置變化、監(jiān)控和記錄設(shè)備活動以及跟蹤和監(jiān)控終端站連接上的性能數(shù)據(jù)和報表的能力.CISCOIOS管理特性允許您同步化所有網(wǎng)絡(luò)事件，將這些事件記錄到系統(tǒng)日志服務(wù)器以便監(jiān)控和分析,監(jiān)控設(shè)備的特定事件,在報警發(fā)出時發(fā)送通知。將所有這些結(jié)合在一起能使網(wǎng)絡(luò)管理員保持跟蹤其網(wǎng)絡(luò)，最大限度地提高其效率和生產(chǎn)力.網(wǎng)絡(luò)管理員不僅僅在局域網(wǎng)內(nèi)通過一臺PC監(jiān)控管理全部的網(wǎng)絡(luò)設(shè)備，還可以通過遠程撥入訪問的方式異地監(jiān)控管理區(qū)院的網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)管理軟件的介紹——CiscoWorks2000CiscoWorks2000是一系列基于Internet標準的產(chǎn)品,用于管理Cisco企業(yè)網(wǎng)絡(luò)和設(shè)備。CiscoWorks2000為配置、管理、監(jiān)控和故障診斷路由廣域網(wǎng)提供一系列強大的企業(yè)管理應(yīng)用，大大降低了它們的復(fù)雜性.CiscoWorks2000提供配置、管理、監(jiān)控和故障診斷工具.該基于Web的解決方案帶有管理局域網(wǎng)交換和路由環(huán)境的應(yīng)用,是面向Cisco交換機管理的CWSICampus捆綁的下一代產(chǎn)品.CiscoWorks2000能使用戶分析網(wǎng)絡(luò)流量模式，排除協(xié)議相關(guān)的問題,建立積極的報警,在用戶受到影響之前提前檢測出問題，執(zhí)行趨勢分析。4、網(wǎng)絡(luò)采用的協(xié)議標準本網(wǎng)絡(luò)以TCP/IP為主要協(xié)議，因為TCP/IP協(xié)議是美國國防部門制定的一套計算機網(wǎng)絡(luò)協(xié)議,是目前眾多計算機網(wǎng)絡(luò)最流行的協(xié)議，以它為基礎(chǔ)組建的Internet網(wǎng)是目前國際上規(guī)模最大的計算機網(wǎng)間網(wǎng)，它雖不是國際標準,但卻是一種事實上的工業(yè)標準協(xié)議,采用TCP/IP為網(wǎng)絡(luò)主要協(xié)議，可保證與CHINANET和Internet保持一致,還可支持IPX，DECNET等其它協(xié)議。真正實現(xiàn)于國際互聯(lián)網(wǎng)的無縫連接。從計算機網(wǎng)絡(luò)通訊的觀點來看,TCP/IP網(wǎng)絡(luò)實質(zhì)上可稱為IP網(wǎng)絡(luò)，它是由許多IP網(wǎng)關(guān)（或稱為IP路由器)通過若干直接連通的通信線路(點到點通信）形成一個計算機通信網(wǎng)絡(luò)。在IP網(wǎng)點上再接入主機，子網(wǎng)便構(gòu)成一個互聯(lián)的計算機網(wǎng)絡(luò)，這些安裝了TCP/IP的各類計算機間需要通信時，它就不再要求設(shè)置協(xié)議轉(zhuǎn)換開關(guān),而且主要的網(wǎng)絡(luò)服務(wù)都可建立在TCP/IP服務(wù)器上。三、系統(tǒng)主機設(shè)計當前主流的主機平臺主要是AS/400(OS/400）、UNIX主機、PCSERVER的結(jié)構(gòu)：AS/400（OS/400)：是一種比較安全和穩(wěn)健的網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)，擁有無可匹敵的可伸縮性、可靠性和安全性。但是價格比較昂貴.UNIX主機：是一種傳統(tǒng)的網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)，管理比較復(fù)雜，擴展能力不好,可靠性較高，但安全方面存在一些漏洞。PCSERVER：是一種目前比較流行的服務(wù)器結(jié)構(gòu)。管理簡單方便,價格適中，系統(tǒng)開銷合理，運行效率較高。根據(jù)××大廈的實際應(yīng)用情況，我們選用PCServer的系統(tǒng)主機平臺.四、軟件平臺設(shè)計1、系統(tǒng)軟件根據(jù)上面主機平臺的設(shè)計,我們采用的是美國微軟公司出品的Windows2000操作系統(tǒng)和SQLServer2000數(shù)據(jù)庫系統(tǒng)作為業(yè)務(wù)數(shù)據(jù)庫主機的系統(tǒng)軟件.2、電子郵件系統(tǒng)軟件考慮到兼容性，我們選擇了同是微軟公司出品的基于２０００平臺MSExchange2000作為電子郵件系統(tǒng)。五、系統(tǒng)安全設(shè)計安全是在網(wǎng)絡(luò)建設(shè)中需要認真分析、綜合考慮的關(guān)鍵問題。下面我們將從3個方面來討論保障網(wǎng)絡(luò)安全的若干措施.1、主機安全采用網(wǎng)段分離技術(shù),把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)主機分布在不同的網(wǎng)段,由于各網(wǎng)段間不能直接互訪,從而減少各系統(tǒng)被正面攻擊的機會。網(wǎng)段分離可以采用物理方式以及邏輯方式來實現(xiàn)。在物理上，我們將××大廈網(wǎng)絡(luò)分為內(nèi)部業(yè)務(wù)子網(wǎng)和外部訪問子網(wǎng)兩網(wǎng)段;在邏輯上運用虛擬專用網(wǎng)技術(shù)（VLAN），將應(yīng)用服務(wù)器和工作站根據(jù)具體情況分別放在不同的虛擬子網(wǎng)上。另外，在安全方面有一個最基本的原則：系統(tǒng)的安全性與它被暴露的程度成反比.因此，建議將對外信息發(fā)布的服務(wù)器與內(nèi)部業(yè)務(wù)應(yīng)用服務(wù)器隔離,由于將數(shù)據(jù)庫和內(nèi)部業(yè)務(wù)應(yīng)用主機封閉在系統(tǒng)內(nèi)部，增加了系統(tǒng)的安全性.同時使用代理技術(shù)，不允許直接訪問業(yè)務(wù)主機,所有的應(yīng)用連接都通過代理來完成，這不僅僅增強了業(yè)務(wù)主機的隱蔽性，也提高了業(yè)務(wù)處理效率.2、數(shù)據(jù)安全在網(wǎng)絡(luò)上運行的軟件需要通過網(wǎng)絡(luò)收發(fā)數(shù)據(jù)，要確保數(shù)據(jù)安全就必須采用一些安全保障方式。1）用戶口令加密存儲和傳輸目前，絕大多數(shù)應(yīng)用仍采用口令來確保安全，口令需要通過網(wǎng)絡(luò)傳輸，并且作為數(shù)據(jù)存儲在計算機硬盤中。如果用戶口令仍以原碼的形式存儲和傳輸，一旦被讀取或竊聽，入侵者將能以合法的身份進行非法操作，絕大多數(shù)的安全防范措施將會失效。所以用戶口令需要采取加密方式存儲和傳輸。2）分設(shè)操作員分設(shè)操作員的方式在許多單機系統(tǒng)中早已使用。在網(wǎng)絡(luò)系統(tǒng)中，應(yīng)增加管理員、一般使用員等多種操作員類型，以便對用戶的網(wǎng)絡(luò)行為進行限制。3）日志記錄和分析完整的日志不僅要包括用戶的各項操作,而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接收的正確性、有效性及合法性的檢查結(jié)果，為日后網(wǎng)絡(luò)安全分析提供依據(jù)。對日志的分析還可用于預(yù)防入侵，提高網(wǎng)絡(luò)安全。例如，如果分析結(jié)果表明某用戶某日失敗注冊次數(shù)高達20次，就可能是入侵者正在嘗試該用戶的口令。3、網(wǎng)絡(luò)安全在內(nèi)部網(wǎng)絡(luò)設(shè)計中主要考慮的是網(wǎng)絡(luò)的可靠性和性能，而如何確保網(wǎng)絡(luò)安全也是一個不容忽視的問題。為進一步保證系統(tǒng)安全，還要在網(wǎng)絡(luò)中對防火墻和路由等方面做特殊考慮。路由為了避免入侵者侵入內(nèi)部資源，應(yīng)仔細進行路由配置。路由技術(shù)雖然能阻止對內(nèi)部網(wǎng)段的訪問，但不能約束外界公開網(wǎng)段的訪問。為了確保網(wǎng)絡(luò)的安全運轉(zhuǎn)，避免讓入侵者借助公開網(wǎng)段對內(nèi)部網(wǎng)構(gòu)成威脅，我們有必要使用防火墻技術(shù)對此進行限定。防火墻路由器通常都具有過濾型防火墻功能。這一功能通俗地說就是由路由器過濾掉非正常IP包,把大量的非法訪問隔離在路由器之外.過濾的主要依據(jù)在源、目的IP地址和網(wǎng)絡(luò)訪問所使用的TCP或UDP端口號。幾乎所有的應(yīng)用都有其固定的TCP或UDP端口號，通過對端口號的限制，可以限定網(wǎng)絡(luò)中運行的應(yīng)用.六、產(chǎn)品選型1、網(wǎng)絡(luò)設(shè)備選型1)主干交換機目前生產(chǎn)交換機的廠商比較多，著名的有Intel、3COM、Cisco等。Intel公司雖然具備很強大的芯片設(shè)計開發(fā)及生產(chǎn)能力，但是其交換機產(chǎn)品線不全，它的產(chǎn)品性價比不高.3COM公司的交換機設(shè)備雖然在以前占據(jù)了很大的市場份額，但是目前3COM公司的交換機技術(shù)已經(jīng)跟不上潮流了,而3COM已將自己的交換機產(chǎn)品部賣給了其他公司并不再進行產(chǎn)品線的后續(xù)開發(fā)。Cisco公司是著名的專業(yè)網(wǎng)絡(luò)設(shè)備設(shè)計生產(chǎn)廠商，具備其專有網(wǎng)際操作系統(tǒng)IOS，不但技術(shù)先進而且其交換機產(chǎn)品線很齊全,它的產(chǎn)品有很高的性價比。并且Cisco公司對政府行業(yè)的支持力度很大。主干交換機是整個網(wǎng)絡(luò)的核心，本方案網(wǎng)絡(luò)建設(shè)要求具備連接達300個網(wǎng)絡(luò)站點的交換能力，應(yīng)用對主干服務(wù)器的訪問及其數(shù)據(jù)流量對主干交換機的性能要求很高.通過以上分析本方案主干交換機確定采用Cisco公司的CiscoCatalyst3524XL。CiscoCatalyst3524XL系列是一系列可擴展、可堆疊的10/100和千兆位以太網(wǎng)交換機,提供最佳的性能、可管理性和靈活性以及無與倫比的投資保護。2)桌面接入交換機 我們采用交換機而不使用共享式集線器到桌面是由于區(qū)檢察院實際使用情況是主要表現(xiàn)在集中突發(fā)性,即各職能工作站同時使用同一軟件的情況比較多,如果使用共享到桌面,網(wǎng)絡(luò)就會產(chǎn)生擁阻而影響速度，因此在大型局域網(wǎng)中應(yīng)使用百兆交換到桌面。我們認為區(qū)檢察院在十兆與百兆交換機中應(yīng)選擇百兆交換，因為10兆雖然在目前網(wǎng)絡(luò)使用中剛剛能達到要求,但是已經(jīng)不適應(yīng)功能越來越強的計算機與新的應(yīng)用軟件的發(fā)展,更不適應(yīng)更快的計算機通訊產(chǎn)品的要求，將成為它們之間最大的瓶頸。同時考慮到與主干交換機的兼容性以及無縫融合。建議采用與主干交換機同廠商的產(chǎn)品。因此我們將采用Cisco公司的3524XL交換機通過作為本網(wǎng)工作組級接入交換機組，直接連接各職能工作站.通過Cisco先進的、獨特的堆疊技術(shù)將第一期的100個站點分成4個網(wǎng)段，每個網(wǎng)段采用1臺3524XL交換機。另外我們通過虛網(wǎng)技術(shù),使每個辦公室或每個部門之間的互訪得到有效的管理和控制，提高網(wǎng)絡(luò)的安全性。以合理價格實現(xiàn)工作組與終端設(shè)備的100Mbps連接的可擴展交換機，CiscoCatalyst3524XL是將專用快速以太網(wǎng)式的性能擴展到整個網(wǎng)絡(luò)的理想選擇，它可使用戶的終端設(shè)備、服務(wù)器及其它網(wǎng)絡(luò)設(shè)施享受這種高性能的解決方案。這種高性能的解決方案可隨網(wǎng)絡(luò)的成長而自由地擴展.2、路由器考慮到Internet和其他網(wǎng)絡(luò)的連接（如CHINANET等)，目前設(shè)計的局域網(wǎng)都要考慮對廣域網(wǎng)絡(luò)的連接,更廣的資源和更多的應(yīng)用將是在各種廣域連接中發(fā)現(xiàn)。目前,越來越多的企事業(yè)建立了自己的WEB。因此，能否有效地連接Internet是區(qū)檢察院內(nèi)部網(wǎng)建立的一個重要的目標.Cisco公司是路由器的鼻祖,其路由器技術(shù)已經(jīng)成為了業(yè)界默認的標準，并且Cisco路由器的高性能在業(yè)界中也是首屈一指的.目前安全已成為今天大多數(shù)網(wǎng)絡(luò)管理者關(guān)心的主要問題，Cisco路由器配合廣為流行、功能強大、業(yè)界領(lǐng)先的CiscoIOS軟件,可以為客戶核心網(wǎng)絡(luò)提供全面的安全保障。Cisco2600系列是Cisco數(shù)據(jù)/語音/視頻集成方案的一個關(guān)鍵成員，提供業(yè)界最廣泛的基于IP和幀中繼的端到端分組電話解決方案。Cisco2600對通道傳輸提供強大的加密功能.這種加密功能使用具有144位加密鑰匙的Blowfish算法.與此相比，一些競爭對手的方案只具有40到128位長的加密鑰匙。由此可見其加密功能的強大。任何數(shù)據(jù)在進入公用網(wǎng)域之前都將被加密并打成標準的IP包。由于加密是針對整個數(shù)據(jù)流的，所以原始的源地址和目標地址將被隱蔽起來，不會被潛在的黑客所發(fā)現(xiàn)。確保您的私人通訊數(shù)據(jù)通過公用網(wǎng)域時的安全。而且Cisco2600系列路由器與競爭產(chǎn)品相比具有以下優(yōu)勢:多方面WAN協(xié)議選擇Cisco2600系列路由器支持今天最被廣為使用的網(wǎng)絡(luò)協(xié)議,包括IP、NovellIPX和AppleTalk，