智慧圖書館網(wǎng)絡及安全系統(tǒng)設計

智慧圖書館網(wǎng)絡及安全系統(tǒng)設計

目錄

第一節(jié)網(wǎng)絡安全概念及其特征.........................................2

第二節(jié)網(wǎng)絡安全系統(tǒng)設計.................................................3

一、網(wǎng)絡系統(tǒng)需求分析.................................................3

二、設計原則.................................................................4

三、設計目標.................................................................5

四、邏輯設計.................................................................6

五、無線局域網(wǎng)設計.....................................................6

六、網(wǎng)絡管理設計.........................................................8

七、網(wǎng)絡安全設計.........................................................9

第三節(jié)網(wǎng)絡安全解決方案.................................................9

第四節(jié)數(shù)據(jù)備份...............................................................11

第五節(jié)設備選型...............................................................12

一、防火墻..................................................................12

二、流量控制設備.......................................................15

三、交換機..................................................................16

四、服務器選型...........................................................18

五、無線AP選型.........................................................18

六、網(wǎng)管軟件的選擇...................................................19

1

第一節(jié)網(wǎng)絡安全概念及其特征

（投標人根據(jù)實際情況進行編寫）

構(gòu)建安全的圖書館包括物理安全、數(shù)據(jù)安全、系統(tǒng)安全、

網(wǎng)絡安全、應用程序安全和用戶安全。一般來說，數(shù)字圖書

館的網(wǎng)絡安全是指數(shù)字圖書館網(wǎng)絡系統(tǒng)的各個組成部分不

受偶然的或惡意的原因而遭到破壞、篡改、和泄露，并且確

保數(shù)字圖書館網(wǎng)絡系統(tǒng)能連續(xù)正常運行的機制，其最終目的

是要達到數(shù)字圖書館網(wǎng)絡信息處理和傳輸過程中保持可靠

的機密性、完整性、可用性和可控性。

機密性是指保證圖書館的信息數(shù)據(jù)不被未授權的用戶

使用，雖然圖書館是公共服務性部門，信息資源大都是公開

的，但是公開的對象目前還僅限于在校學生和教職工，并不

對社會開放，而且資源中的一小部分是有償使用的，圖書館

管理人員要針對不同的資源、不同的用戶實現(xiàn)資源的機密

性。

可用性是指被授權的用戶不受時間、地點的限制順利使

用圖書館提供的資源，并不會因網(wǎng)絡環(huán)境不同或者某些蓄意

攻擊病毒的影響而導致不能正常使用。

完整性是指保證圖書館的資源不被任何未經(jīng)授權的用

戶篡改，資源在發(fā)布、傳遞、使用的過程中不被破壞、丟失，

能在服務的過程中保持資源的完整性。

2

圖書館的管理人員往往會疏忽網(wǎng)絡安全管理，認為自己

的圖書館規(guī)模小，不會受到惡意攻擊，就算受到攻擊，系統(tǒng)

恢復一下就行了，或者認為安裝了防火墻或者殺毒軟件等就

不會被攻擊，這些想法都是不可取的。多數(shù)圖書館對于網(wǎng)絡

管理員的崗位職責和管理制度并不完善，網(wǎng)絡管理員往往身

兼數(shù)職，技術水平相對比較薄弱。數(shù)字圖書館的網(wǎng)絡安全必

須要得到管理人員的重視，必須加強自我學習和自我管理。

目前，常用的數(shù)字圖書館網(wǎng)絡系統(tǒng)安全預防機制有：用戶身

份認證、防火墻技術、入侵檢測技術、VPN技術等。除了技

術方面的應用，管理工作的重要性也不容小覷，俗話說，“三

分技術，七分管理”，可見合理的管理制度，嚴謹?shù)墓芾砹?/p>

程的重要性，增強管理機制能最大程度降低人為因素造成的

安全隱患。

第二節(jié)網(wǎng)絡安全系統(tǒng)設計

一、網(wǎng)絡系統(tǒng)需求分析

圖書館網(wǎng)絡系統(tǒng)建設包括圖書館局域網(wǎng)建設及與校園

網(wǎng)主干互聯(lián)。圖書館局域網(wǎng)以交換式千兆以太網(wǎng)為主干，網(wǎng)

絡不僅支持傳送文件，還要支持語音、視頻等信息量大的流

媒體應用，對網(wǎng)絡的響應和帶寬要求較高，這就要求網(wǎng)絡設

備的要有較大的交換容量；同時還要加強網(wǎng)絡安全策略，對

內(nèi)防止病毒侵擾、對外防止外部的網(wǎng)絡攻擊；針對圖書館資

3

源的訪問方式，故采用有線網(wǎng)絡為主，無線網(wǎng)絡為輔的接入

方式。

二、設計原則

1.高可靠性和高性能

網(wǎng)絡系統(tǒng)穩(wěn)定可靠是整個系統(tǒng)正常運行的重中之重，在

設備選型時，充分考慮冗余能力；制定可靠的備份策略，保

證網(wǎng)絡系統(tǒng)的正常運行。出現(xiàn)故障時，可以快速的排除。

網(wǎng)絡在建設時必須保證設備和網(wǎng)絡的高吞吐能力，保證

信息的傳輸質(zhì)量，盡可能采用高性能的網(wǎng)絡設備，才能使網(wǎng)

絡不成為正常使用時的瓶頸。

2.先進性和實用性

采用先進的技術，使網(wǎng)絡在現(xiàn)在到未來一段時間內(nèi)能夠

不被淘汰，而且具有發(fā)展?jié)摿?；按照層次化、模塊化設計網(wǎng)

絡，具有較好的伸縮性，可以不斷吸收新方法、新技術，在

可以滿足應用系統(tǒng)業(yè)務和圖書館業(yè)務的同時，還要體現(xiàn)出網(wǎng)

絡的安全性。

3.安全性

圖書館擁有眾多教學和檔案管理的重要數(shù)據(jù)，無論是被

損壞、丟棄還是竊取，都會帶來重大損失。然而，可以采用

內(nèi)部核心區(qū)域架設防火墻的方式，避免圖書館內(nèi)網(wǎng)核心服務

器收到攻擊。制定一套健全的安全策略，整體提高網(wǎng)絡平臺

的安全性。

4.靈活性和可擴展性

4

對于高校圖書館，經(jīng)常更換網(wǎng)絡設備將是一筆非常大的

開支，在組建圖書館網(wǎng)絡的過程中，應當考慮到網(wǎng)絡的可持

續(xù)擴展性。采用三層交換機既可以滿足當今圖書館網(wǎng)絡的需

求，也可以滿足未來網(wǎng)絡的升級和改良，可以應用于千兆鏈

路與萬兆鏈路。

三、設計目標

圖書館網(wǎng)絡系統(tǒng)設計應該考慮到網(wǎng)絡的總體框架設計、

網(wǎng)絡管理設計、網(wǎng)絡應用設計、網(wǎng)絡安全設計等，要求達到

的目標有以下幾點：

第一，系統(tǒng)的兼容性好，實用性強，開放性好，符合國

際標準，支持TCP/IP、IPX/SPX協(xié)議。

第二，掌握現(xiàn)代信息技術發(fā)展，采用先進技術，選用技

術成熟的網(wǎng)絡產(chǎn)品。系統(tǒng)軟硬件配置時需要考慮性能需求和

當前技術水平，兼顧系統(tǒng)的現(xiàn)實性和技術領先。

第三，整體設計最優(yōu)原則，在進行設計的時候，需要根

據(jù)合理性的原則，綜合考慮，這種選擇，充分顧及到：安全

性、可靠性、實用性和經(jīng)濟性。

第四，系統(tǒng)安全可靠，便于維護和管理。

第五，適應現(xiàn)代化技術的發(fā)展，與中國教育科研網(wǎng)

(CERNET)等國內(nèi)和國際互聯(lián)網(wǎng)相連，實現(xiàn)真正的國際、國內(nèi)

網(wǎng)際互聯(lián)。

5

四、邏輯設計

網(wǎng)絡邏輯設計是建設網(wǎng)絡過程中的重要工作，從整體上

影響或決定了網(wǎng)絡的建筑規(guī)模、基本結(jié)構(gòu)、主要應用內(nèi)容與

模式、資金投入和建設周期等重大問題。

網(wǎng)絡邏輯設計是網(wǎng)絡工程技術人員不可或缺的必備專

業(yè)技術，它是在掌握網(wǎng)絡建設的任務與工作程序和理解網(wǎng)絡

工程建設的技術指標等基本概念的基礎之上，根據(jù)用戶需要

確定網(wǎng)絡建設的方案。

本圖書館局域網(wǎng)絡規(guī)劃中，在網(wǎng)絡拓撲結(jié)構(gòu)方面，選用

星型的拓撲結(jié)構(gòu)，網(wǎng)絡拓撲結(jié)構(gòu)如下圖所示。

五、無線局域網(wǎng)設計

在一個典型的無線局域網(wǎng)環(huán)境中，有一些進行數(shù)據(jù)發(fā)送

和接收的設備，稱為接入點(AP)。通常，一個AP能夠在幾

6

十至上百米的范圍內(nèi)連接多個無線用戶。在同時具有有線和

無線網(wǎng)絡的情況下，AP可以通過標準的Ethernet電纜與傳

統(tǒng)的有線網(wǎng)絡相聯(lián)，作為無線網(wǎng)絡和有線網(wǎng)絡的連接點。無

線局域網(wǎng)的終端用戶可通過無線網(wǎng)卡等訪問網(wǎng)絡。無線局域

網(wǎng)在室外主要有以下幾種結(jié)構(gòu)：點對點型、點對多點型、多

點對點型和混合型。

1.點對點型。該類型常用于固定的要聯(lián)網(wǎng)的兩個位置之

間，是無線聯(lián)網(wǎng)的常用方式，使用這種聯(lián)網(wǎng)方式建成的網(wǎng)絡，

優(yōu)點是傳輸距離遠，傳輸速率高，受外界環(huán)境影響較小。

2.點對多點型。該類型常用于有一個中心點，多個遠端

點的情況下。其最大優(yōu)點是組建網(wǎng)絡成本低、維護簡單；其

次，由于中心使用了全向天線，設備調(diào)試相對容易。該種網(wǎng)

絡的缺點也是因為使用了全向天線，波束的全向擴散使得功

率大大衰減，網(wǎng)絡傳輸速率低，對于較遠距離的遠端點，網(wǎng)

絡的可靠性不能得到保證。

3.混合型。這種類型適用于所建網(wǎng)絡中有遠距離的點、

近距離的點，還有建筑物或山脈阻擋的點。在組建這種網(wǎng)絡

時，綜合使用上述幾種類型的網(wǎng)絡方式，對于遠距離的點使

用點對點方式，近距離的多個點采用點對多點方式，有阻擋

的點采用中繼方式。所謂無線局域網(wǎng)就是試圖形成這樣一種

在一個大網(wǎng)中處于不同物理位置的各個成員可以不受位置

限制而構(gòu)成，即WLAN，如下圖。

圖書館無線局域網(wǎng)拓撲圖

7

六、網(wǎng)絡管理設計

根據(jù)用戶需求分析的結(jié)果可知，力行圖書館局域網(wǎng)必須

是一個可管理的網(wǎng)絡，因此，在我們必須進行網(wǎng)絡管理設計。

針對圖書館局域網(wǎng)的實際情況，網(wǎng)絡管理設計主要解決

故障查找、配置與重配置和網(wǎng)絡監(jiān)視問題，而解決這些問題

現(xiàn)在一般都借助網(wǎng)絡管理軟件。所以，在圖書館局域網(wǎng)中，

我們選用主干交換設備廠商提供的網(wǎng)絡管理軟件來完成網(wǎng)

絡管理工作。

8

七、網(wǎng)絡安全設計

根據(jù)用戶需求分析的結(jié)果可知，圖書館局域網(wǎng)必須是一

個安全的網(wǎng)絡，因此，在邏輯網(wǎng)絡設計時必須進行網(wǎng)絡安全

設計。提供網(wǎng)絡安全是一種平衡策略，因此，權衡網(wǎng)絡安全

需要和方便用戶需要，在圖書館局域網(wǎng)的安全設計方面主要

采用訪問控制技術、用戶認證技術等來保障網(wǎng)絡安全運行。

第三節(jié)網(wǎng)絡安全解決方案

保證智慧圖書館內(nèi)部應用數(shù)據(jù)的安全是所有安全設計

中的重中之重，考慮采用包過濾(防火墻)和Proxy。這種防

火墻系統(tǒng)可以說是比較安全的，在定義了“非軍事區(qū)”(DMZ)

網(wǎng)絡后，它支持網(wǎng)絡層和應用層兩方面的安全功能。網(wǎng)絡管

理員將與Internet交換信息的E-Mai1服務器都放在DMZ網(wǎng)

絡中。DMZ網(wǎng)絡處于Internet和內(nèi)部網(wǎng)絡之間。

目前的防火墻有二大類，一類是基于硬件的防火墻，另

一類是基于軟件的防火墻，硬件防火墻由于采用了專門的操

作系統(tǒng)和高速的CPU，因此速度快，可靠性高，安全性高，

但價格相對較高。軟件防火墻的主要優(yōu)點是價格相對便宜，

但速度和可靠性、安全性不及硬件防火墻，因此我們智慧圖

書館采用硬件防火墻，在這里我們采用CiscoPIX525硬件

防火墻。對于代理軟件，Microsoft公司的Internet

SecurityandAccelerationServer2000(ISA)，ISAServer

9

2000能夠提供安全、快速和可管理的Internet連接。ISA

Server集成了可擴展、多層企業(yè)級的防火墻和可伸縮的高性

能Web緩存系統(tǒng)。構(gòu)建在Windows2000的安全特性和目錄基

礎上，提供基于策略的安全、加速和管理。ISAServer包括

一個可擴展的多層企業(yè)級防火墻，可以用以下特征來描述：

包、鏈路層和應用程序?qū)恿髁勘O(jiān)測，狀態(tài)監(jiān)測，廣泛的應用

程序支持，VPN集成，系統(tǒng)強化，入侵檢測集成，智能應用

程序過濾器，對所有客戶端的透明，高級驗證，安全服務器

發(fā)布等等。

對于從Internet進來的訪問，外面的路由器用于防范

通常的外部攻擊(如源地址欺騙和源路由攻擊)，并管理

Internet到DMZ網(wǎng)絡的訪問。它只允許外部系統(tǒng)訪問E-Mail

服務器。里面的防火墻系統(tǒng)對內(nèi)部網(wǎng)絡提供第二層防御，只

接受源于DMZ的數(shù)據(jù)包，負責的是管理DMZ到內(nèi)部網(wǎng)絡的訪

問。

對于去往Internet的數(shù)據(jù)包，里面的防火墻服務器管

理內(nèi)部網(wǎng)絡到DMZ網(wǎng)絡的訪問。它允許內(nèi)部系統(tǒng)只訪問DMZ

中的主機。外面的路由器上的過濾規(guī)則使用代理服務(只接

受來自堡壘主機的去Internet的數(shù)據(jù)包)訪問Internet。

采用這種屏蔽子網(wǎng)防火墻系統(tǒng)有如下幾個特別的好處：

入侵者必須突破若個不同的設備(無法探測)才能侵襲內(nèi)部

網(wǎng)絡：外部路由器，Proxy，還有內(nèi)部防火墻。由于外部路

由器只能向Internet通告DMZ網(wǎng)絡的存在，Internet.上的

系統(tǒng)不需要有路由器與內(nèi)部網(wǎng)絡相對。這樣網(wǎng)絡管理員朱可

10

以保證內(nèi)部網(wǎng)絡是“不可見”的，并且只有在DMZ網(wǎng)絡上選

定的系統(tǒng)才對Internet開放(通過路由表和DMZ信息交換)。

由于內(nèi)部防火墻系統(tǒng)只向內(nèi)部網(wǎng)絡通告DMZ網(wǎng)絡的存在，內(nèi)

部網(wǎng)絡上的系統(tǒng)不能直接通往Internet，這樣就保證了內(nèi)部

網(wǎng)絡上的用戶必須通過代理服務才能訪問Internet。對于病

毒防范，采用防病毒軟件，Symantec公司的Norton

AntiVirus以其領先的反病毒技術在全球反病毒軟件中獨樹

一幟，NortonAntiVirus獨有的智能跟蹤、查殺技術，不僅

保證系統(tǒng)不受病毒感染，還能有效查殺各種特洛伊木馬

(Trojan-黑客軟件)，如：Back0rifice、NetBus等，而

NortonAntiVirus的智能更新可以不斷從Symantec獲得新

的病毒代碼，在新病毒發(fā)作前就將其查出；如果發(fā)現(xiàn)了新的

病毒還可以將其發(fā)到NortonAntiVirus研究中心。

第四節(jié)數(shù)據(jù)備份

在一個企業(yè)級網(wǎng)絡中，系統(tǒng)數(shù)據(jù)的備份是至關重要的，

按照智慧圖書館項目設計要求和智慧圖書館的實際情況，我

們建議采用磁帶機進行數(shù)據(jù)的備份。

在眾多可選的外部存儲設備，磁帶機是最可靠的的數(shù)據(jù)

備份方法，它的主要優(yōu)點如下：

1.每GB的存儲成本低于1.3美元；

2.傳輸率高(數(shù)據(jù)壓縮后可達10MB/秒)；

11

3.可移動的磁帶易于存儲和保管。只需更換磁帶，因此，

容量可以說是無限大的；

4.多數(shù)磁帶機和磁帶的良好可靠性已被證實，可將數(shù)據(jù)

存儲很長時間，磁帶機已為大型計算機存儲極重要的數(shù)據(jù)超

過30年，并且證明了他們獲得了優(yōu)良的記錄；

5.磁帶機允許無人操作的自動備份，使用好的備份軟件

可使您隨心所欲地使用磁帶機，為用戶提供了一-種簡單的

方法。允許在無人值守的情況下可為大型網(wǎng)絡備份數(shù)據(jù)，甚

至可以為數(shù)據(jù)庫進行“在線”備份；

6.磁帶庫、自動加載磁帶機的應用為網(wǎng)絡備份提供了更

為可靠的選擇。

備份工作主要通過操作系統(tǒng)一AIX內(nèi)置的備份程序來進

行，在定義了備份策略后由操作系統(tǒng)自動進行備份。當然在

需要的時候也可以進行人工備份。

第五節(jié)設備選型

一、防火墻

（一）設備選型

根據(jù)核心交換機的選型，防火墻采用H3CSecBlade防火

墻插卡，該防火墻插卡采用了H3C公司最新的硬件平臺和體

系架構(gòu)，是H3C公司面向大型企業(yè)和運營商用戶開發(fā)的新--

代電信級防火墻設備。通過SecBlade防火墻插卡，用戶可

12

靈活、迅速的在主網(wǎng)絡設備上實現(xiàn)網(wǎng)絡和安全防護的高度一

體化。

SecBlade防火墻插卡已經(jīng)完全實現(xiàn)了三層網(wǎng)絡設備的

轉(zhuǎn)發(fā)機制，可以靈活地應用在多層交換網(wǎng)絡中，同時又能提

供強大的安全保護。它是基于H3C領先的OAA(Open

ApplicationArchitecture)架構(gòu)開發(fā)，采用了多核高性能處

理器和高速存儲器，可以插在主網(wǎng)絡設備上的多個槽位上，

而且同一個主網(wǎng)絡設備上可以插入多塊SecBlade防火墻插

卡。

（二）功能介紹

SecBlade防火墻插卡支持的主要功能有：

1.支持驗證、授權和計帳(AAA)服務。包括：基于

RADIUS/HWTACACS+、CHAP、PAP的認證，支持域認證等；

2.支持虛擬防火墻?？稍跇I(yè)務板上劃分多個虛擬防火

墻，每個虛擬防火墻有自己的策略，并且可以分別進行管理；

3.支持包過濾。通過在安全區(qū)域間使用標準或擴展訪問

控制規(guī)則，借助報文中UDP或TCP端口等信息實現(xiàn)對數(shù)據(jù)包

的過濾。此外，還可以按照時間段進行過濾；

4.支持應用層狀態(tài)包過濾(ASPF)功能。通過檢查應用層

協(xié)議信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP

協(xié)議的應用層協(xié)議)，并監(jiān)控基于連接的應用層協(xié)議狀態(tài)，

動態(tài)的決定數(shù)據(jù)包是被允許通過防火墻或者是被丟棄；

5.支持P2P流量控制功能。通過對流量采用深度檢測的

13

方法—即通過將網(wǎng)絡報文與P2P協(xié)議報文特征進行匹配，可

以精確的識別P2P流量，以達到對P2P流量進行管理的目的，

同時可提供不同的控制策略，實現(xiàn)靈活的P2P流量控制；

6.支持URL過濾，可對指定的URL進行屏蔽；

7.支持豐富的攻擊防范功能。包括：Land、Smurf、

Fraggle、PingofDeath、TearDrop、IPSpoofing、IP分片

報文、ARP欺騙、ARP主動反向查詢、TCP報文標志位不合法

超大ICMP報文、地址掃描、支端口掃描等攻擊防范。還包

括針對SYNFlood、UPDFlood、ICMPFlood、分片F(xiàn)lood等

常見DDoS攻擊的檢測防御；

8.支持ICMP重定向或不可達報文控制功能；

9.支持Tracert報文控制功能；

10.支持帶路由記錄選項IP報文控制功能；

11.支持靜態(tài)和動態(tài)黑名單；

12.支持NAT和NAT多實例；

13.支持VPN功能。包括：支持IPSec、支持IKE和

PKI、支持GRE隧道。支持硬件VPN處理加速；

14.支持豐富的路由協(xié)議。支持靜態(tài)路由、策略路由，

以及BGP、RIP、OSPF等動態(tài)路由協(xié)議；

15.支持安全日志；

16.支持流量監(jiān)控統(tǒng)計、管理；

17.支持全部WEB方式進行管理。

14

二、流量控制設備

（一）設備選型

我館的流量控制設備采用F7OptimalQoS5000E產(chǎn)品，將

其部署在防火墻與核心路由交換機之間，對全館的網(wǎng)絡進行

實時監(jiān)控和合理規(guī)劃。

F7OptimalQoS的技術亮點是：系統(tǒng)可部署于用戶的互

聯(lián)網(wǎng)出口、廣域網(wǎng)的各個節(jié)點，互聯(lián)網(wǎng)和廣域網(wǎng)交互網(wǎng)絡的

出口處和各分支節(jié)點，實現(xiàn)對全網(wǎng)的實時監(jiān)控、和對網(wǎng)絡資

源進行重新規(guī)劃和合理分配，以充分提高網(wǎng)絡運行效率及應

用價值。系統(tǒng)可以幫助網(wǎng)絡管理員清晰直觀地了解網(wǎng)絡運行

狀況和運行趨勢，并能知道哪些是貪婪吞噬帶寬資源的應

用，哪些是無關的應用，直觀反映出網(wǎng)絡通道的擁擠程度。

系統(tǒng)是對網(wǎng)絡各種應用進行分析細分并做流量整形，整形后

的流量變成了可視可控可追溯的流量，對每種流量能達到每

一個session的監(jiān)管，基于對網(wǎng)絡應用協(xié)議和網(wǎng)絡用戶的管

理優(yōu)化功能，可根據(jù)應用和用戶的優(yōu)先級別不同，進行區(qū)別

管理，可實現(xiàn)保障核心應用和核心用戶的帶寬，促進內(nèi)網(wǎng)非

核心用戶的用網(wǎng)公平，控制無關應用搶占帶寬資源，動態(tài)管

理網(wǎng)絡出口帶寬，使整個網(wǎng)絡處于高效并可管理的狀態(tài)。

（二）功能介紹

5000E的功能分三方面，一是對實時網(wǎng)絡流量的檢測，

二是策略管理，即針對IP和七層應用協(xié)議的帶寬、會話數(shù)、

優(yōu)先級別等進行限制，三是對過往流量使用情況進行統(tǒng)計。

15

5000E實時監(jiān)測平臺實現(xiàn)的功能：主要功能是實時監(jiān)測，

監(jiān)測對象包括單個IP、網(wǎng)段、單個應用、應用組等，監(jiān)測的

內(nèi)容有流入和流出包速度，字節(jié)數(shù)等。顯示方式分堆疊式、

餅圖、柱狀圖和列表。

5000E管理平臺上實現(xiàn)的功能：(1)核心模塊管理：可以

對流控設備的核心信息進行管理，包括管理員賬號、權限，

流控設備個數(shù)、地址，特征庫升級等；(2)策略管理：對網(wǎng)

段和應用等進行帶寬限制；(3)報表管理：按時間段和應用

類別進行流量統(tǒng)計，并能以WORD和PDF的方式導出。

5000E設備具備Bypass功能，能夠保證不管設備處于什

么狀態(tài)下，包括未啟動，啟動過程中，都能保證網(wǎng)絡是通暢

的，不會影響業(yè)務的正常運行。Bypass就是旁路功能，也就

是說可以通過特定的觸發(fā)狀態(tài)(斷電或死機)讓兩個網(wǎng)絡不

通過網(wǎng)絡安全設備的系統(tǒng)，而直接物理上導通，所以有了

Bypass后，當網(wǎng)絡安全設備故障以后，還可以讓連接在這臺

設備.上的網(wǎng)絡相互導通，當然這個時候這臺網(wǎng)絡設備也就

不會再對網(wǎng)絡中的封包做處理了。

三、交換機

1.CiscoCatalyst2960系列智能以太網(wǎng)交換機是一個全

新的、固定配置的獨立設備系列，提供桌面快速以太網(wǎng)和

10/100/1000千兆以太網(wǎng)連接，可為入門級企業(yè)、中型市場

和分支機構(gòu)網(wǎng)絡提供增強LAN服務。集成安全特性，包括網(wǎng)

絡準入控制(NAC)；高級服務質(zhì)量(QoS)和永續(xù)性，為網(wǎng)絡邊

緣提供智能服務，為網(wǎng)絡邊緣提供了智能特性，如先進的訪

16

問控制列表(ACL)和增強安全特性，雙介質(zhì)上行鏈路端口提

供了千兆以太網(wǎng)上行鏈路靈活性，可以使用銅纜或光纖上行

鏈路端口一每個介質(zhì)上行鏈路端口都有一個10/100/1000以

太網(wǎng)端口和一個小型可插拔(SFP)千兆以太網(wǎng)端口，在使用

時其中一個端口激活，但不能同時使用這兩個端口。

通過高級QoS、精確速率限制、ACL和組播服務，實現(xiàn)

了網(wǎng)絡控制和帶寬優(yōu)化，通過多種驗證方法、數(shù)據(jù)加密技術

和基于用戶、端口和MAC地址的網(wǎng)絡準入控制，實現(xiàn)了網(wǎng)絡

安全性，通過思科網(wǎng)絡助理，簡化了網(wǎng)絡配置、升級和故障

診斷。

2.CiscoCatalyst3560-X系列交換機是獨立式交換機的

企業(yè)級產(chǎn)品。這些交換機通過IEEE802.3at增強型以太網(wǎng)供

電(PoE+)配置、可選網(wǎng)絡模塊、冗余電源和媒體訪問控制安

全(MACsec)等創(chuàng)新功能，提供無間斷連接性、可擴展性、安

全性、能效性和易操作性。CiscoCatalyst3560-X為實現(xiàn)無

邊界網(wǎng)絡體驗，啟用了IP電話、無線和視頻等應用程序，

提高了生產(chǎn)效率。

CiscoCatalyst3560-X系列交換機24和48，

10/100/1000PoE+和非PoE型號，可選的4個千兆以太網(wǎng)

(GbE)SFP或2個10GbESFP+上行鏈路網(wǎng)絡模塊，業(yè)內(nèi)第一個

PoE+，所有端口上都提供30W功率，1個機架裝置(RU)的外

形設計，雙冗余，模塊化電源和風扇、媒體訪問控制安全

(MACsec)的基于硬件的加密，IPv4和IPv6路由、多播路由、

高級服務質(zhì)量(QoS)和硬件中的安全功能。

17

增強型有限終身保修(LLW)、下一工作日(NBD)硬件備件

先行更換和90天思科技術支持中心(TAC)支持，增強型Cisco

EnergyWise，可測量PoE