大型网络方案设计书

1、.大型网络设计方案书【需求分析】需求1：要能够达到轻载要求：低负载，高带宽，最简单，最有效； 分析1：网络核心冗余，核心到汇聚双链路备份。 需求 2：要具有先进的技术性：支持线速转发，具备高密度的万兆端口，核心设备支持T级以上的背板设计，硬件实现ACL、QoS、组播等功能； 分析2：核心交换机可选择Catalyst6509系列，以上功能可实现。 需求3、要稳定、可靠：确保物理层、链路层、网络层、病毒环境下的稳定、可靠； 分析 3：要求各层设备能够有防病毒的功能，项目中所选设备均可通过配置防止病毒泛滥。 需求 4：要有健壮的安全：不以牺牲网络性能为代价，实现病毒和攻击的防护、用户接入控制、路由协

2、议安全； 分析4：核心交换机具有的SPOH功能，保证在实现防护病毒和攻击的情况下，核心交换机性能不受影响，接入采用安全智能接入层交换机RG-S2100 系列 需求5：要易于管理：具备网络拓朴发现、网络设备集中统一管理、性能监视和预警、分类查看管理事件的能力； 分析5： 所有项目中设备均支持 SNMP，并通过锐捷 star-view 网管软件进行整网管理；系统设计原则：整个系统的设计必须遵循一定的规则，我们在进行企业网络系统设计时，坚持如下原则：第一，确保实现技术的标准化。当今计算机网络技术发展的一个重要特点就是标准化。只有遵循国际标准，才能确保整个系统的开放性和长久的生命力。网络建设目前仅仅是

3、一期工程，将来会有二期、三期等，产品的标准化是后续工程的保证。第二，确保的可靠性。为了确保计算机系统能够正常地运行，我们在进行设计时，将充分地考虑提高整个系统的高可靠性，为此我们将采取核心设备冗余电源、模块备份、通信线路备份等一系列措施。第三，确保技术的先进性。先进性能确保整个系统有一个较长的生命周期，这是对整个投资的最大也是最有效的保护。网络的先进性还表现在用户能够对其进行较为平滑的升级，平滑的升级就意味着并不会造成前期投资的废弃。为了确保技术的先进性，我们将从如下几个方面入手：首先，选用厂家新推出来的设备以及那些推出时间较长并且获得了良好的市场声誉的有生命力的产品；其次，采用新的技术，如快

4、速以太、千兆网等。第四，充分重视系统的可扩展性。可扩展性也即可伸缩性，即网络应能自如地适应规模的变化。良好的可扩展性表现之一就是当用户的规模增大时，无需增加新的设备，只需要增加相应的设备模块即可，这既能有效地降低用户的投资，又可以降低整体的复杂性。网络系统建设应着眼于未来，全盘考虑，优先选择高性能、规模扩展性强的产品。第五，保护用户已有的投资。网络系统的建设要尽可能地保护用户在主机、网络设备以及通信线路等方面的投资，避免造成不必要的浪费。第六，实施有效的网络管理。保证用户能够对整个系统进行有效的管理，确保整个系统能够正常、高效地运行，降低用户系统运行成本。第七，树立全局观念，作好系统的总体规划

5、。网络和主机系统的建设是整个信息系统的基础。它建设的好坏将对整个信息系统的生产和运行产生深远的影响。由于它是一项基础设施，因此必须确保建好后的系统在不做重大改动的前提下，能够承担起未来五到十年业务发展的重任。系统建设的第一步就是研究并确定系统的总体规划，如整个的功能组成、方案技术选型、重要设备的选型、系统的拓扑结构、网络地址的编码等。第八, 系统的建设要分阶段、一步一步地实现。要想确保该项目的成功，系统建设应突出重点，分清主次。第九，开放性。建立起来的平台能够互联不同厂商的设备，运行多种网络操作系统、网络协议，遵守国际标准的开放系统。第十，保证整个系统的安全性。防止非法用户盗用和破坏，采用多种

6、安全防范措施，确保信息万无一失、系统运行万无一失。总结根据企业办公楼使用特点,为适应迅速的技术变化，需要我们将建筑物进行结构化布线作为一个策略性投资加以考虑。建筑物综合布线网络，需要满足用户的近期和长期工作需求,使其在计算机网络、通信系统等方面都达到较高智能化和现代化的水平，满足未来10-20年的发展需求。本方案旨在建立一个具备开放性、扩充性、经济性及安全性的,高品质的电脑网络系统。方案设计不但要为企业当前的需求提供了灵活可靠的设计思想，而且更面向未来高速网络的发展，具有很强的开放性、灵活性、扩展性、可靠性和长远效益。此外，设计的布线系统的造价相对经济合理并且考虑到安装施工和维护管理的方便以及

7、布线的美观和谐等因素。* 选用符合最新国际标准ISO/IS11801及TIA/EIA568标准的超五类产品。充分保证计算机网络高速、可靠的信息传输要求。* 适应未来10-20年的技术发展，实现数据通信、语音通信和图象传输。* 除固定于建筑物内的线缆外，其余所有的接插件都应是模块化的标准件，以方便将有更大的发展需求时，将很容易的扩展设备。* 能满足灵活应用的要求，即任一信息点能够连接不同类型的计算机终端或微机设备及语音设备。*具有很高的抗电磁干扰特性，具有高可靠性。*支持100MHZ的数据传输，可支持以太网、ATM、FDDI、ISDN等网络应用。方案要点:1、根据企业办公楼的结构特点来设计安排中

8、央机房的位置2、主配线架位于中央机房（主电脑室）,兼作配线间（可选择）3、布线系统考虑采用非屏蔽超五类双绞线（UTP-5），办公楼与公楼之间用光纤连接（埋地）或邻楼直接连接。（可选择）4、布线方案按数据信号线布线方式进行。5、水平和骨干电缆系统均采用相应的拓扑结构。（目前星型拓扑结构是企业的首选）6、信息点按用户提出的分布图配置；7、布线系统硬件考虑采用xxx公司产品.整个方案考虑到今后技术的发展.建议使用达到国际标准EIA/TIA568定义的超五类产品,适合100-1000Mbps的高速网络设备。安装设计规范符合：中国工程建设标准化协会CECS72：95建筑与建筑群综合布线工程设计规范及结构

9、化布线系统设计总则等。本网络所需的局域网技术千兆以太网技术 Gigabit Ethernet（千兆以太网）构筑于以太网协议之上，但是其速度比快速以太网增加10倍，达到1000Mbps或1Gbps。该协议在1998年6月实现标准化，有可能成为高速局域网主干和服务器连接领域的一种主要协议。由于千兆以太网明显借助于以太网，因此客户能够利用他们现有的知识基础来管理和维护千兆位网络。为了将速度从快速以太网的100Mbps增加到1Gbps，需要对实际接口进行几个改变。我们认为，从数据链路层向上，千兆位以太网看起将与以太网完全相同。加速到1Gbps中所遇到的挑拨已经通过合并IEEE 802.3 Ethern

10、et 和ANSIX3T11 FiberChannel 这两种技术等到了解决。合并这1、2两种技术意味着标准不仅可以利用现有的FiberChannel 高速实际接口技术，同时可以保持IEEE 802.3以太网帧格式，安装介质的向后兼容性以及全双工或半双工载波侦听多址访问检测（CSMA/CD）的使用。这种方案有助于最大限度地降低技术复杂性，从而带来一种能够迅速开发的稳定技术。快速以太网技术交换式以太网（交换网）是人们在为通信瓶颈问题为难时诞生的，1990年产品就已面市，是一种成熟的网络技术。交换式网络是一种融合技术，而不是类似于FDDI专用网络技术。它提供对现有网络技术的更充分的支持，是一种“继承

11、已有”的技术。交换网络技术是目前解决网络通信瓶颈问题的切实可行的最佳方案之一，它避免了ETHERNET、FDDI的通信竞争问题。交换网络具有倍增网络带宽、灵活地划分网段，实现虚拟LAN的特点。使用此种技术构造网络，网络性能将主要集中在服务器一方，在以后的网络升级中，增加服务器处理能力即可。交换网络可以平滑地过渡到千兆网络，且有强有力的工业支持，作为信息办公网是一种合适的选择。为了保证系统的先进性和可扩展性，从保护用户投资的角度考虑，我们建议企业网络系统应1000M(Gigabit)为骨干，100M交换到桌面，一次到位，避免重复投资，高性能的网络将为企业的生产控制自动化、无纸办公、会议电视、IP

12、电话等多媒体应用提供带宽保证。VLAN技术虚拟局域网（VLAN）。虚拟局域网是用基于分包交换机的网络替代基于路由器的一种新的网络基本结构。其容许以太网、令牌环网和FDDI网段享有与ATM环境中同样的交换性能。交换机基本上说是一些具有更多功能的多口的高速桥接器，所以交换技术就是将网络扩展开来。在进行信息交换时，虚拟局域网的功能是“重复生成”的路由。VLAN的一个明显的优点是具有从VLANs到在ATM中的仿真LANs（ELAN）的转换功能，这样VLAN容易实现向ATM转移，而不需要进行人工处理配置LAN仿真配置服务器。LAN交换机提供建立VLAN网所需的硬件和软件，使在网上具有传送包的能力。这种结

13、构的优点是容易改变网络，用户不需改动电缆线便可以逻辑地在工作组之间移动。也就是用户可以物理地在网上移动到任何地方但仍保留与网络的连接，只要有访问所有权。由于VLAN基于快速交换技术，因此不论从性能上还是资源的有效利用上都有提高。VLAN可以逻辑地定义工作组，满足在动态工作组内增加带宽的同时，创建动态工作组以满足开发的需求。第三层交换技术第三层交换的实质是路由，类似于IP子网间的数据交换机制。当网络内数据流量的分布偏离80/20规则，而且流量必须大量跨越子网边界时，传统的路由器就成了交通中的瓶颈，第三层交换技术的提出就是试图消除这个瓶颈。第三层交换技术的实现可以分成两类：一类可以归结为“路由一次

14、，交换多次”，这类技术的实现占大多数；另一类是基于高性能硬件的线速路由器。路由器包含两个基本功能模块，即路由计算和包转发。“路由一次，交换多次”技术的目标是使子网间数据通信的路由次数降至最低，以增强路由器的转发效率。它的基本作法是这样的：路由算法根据（与一个数据流关联的）第一个数据包的地址信息寻径一次，即“路由一次”，然后将与此数据流关联的其它数据包交换至同一路径，即“交换多次”。线速路由器利用专用的集成电路替代传统的软件计算，消除了基于软件路由器的性能瓶颈。传统的基于软件路由器的转发率是每秒数十万数据包，而线速路由器的转发率是每秒数百万数据包，即线速路由器的性能比传统的路由器提高了一个数量级

15、。第三层交换设备可以保证在不改变IP编址方式和网络连接方式的前提下消除网络中的路由瓶径，并且实现第二层交换无法提供的第三层包转发和过滤能力。本次方案中选择的Cisco Catalyst6509、Catalyst3524/48交换机均支持VLAN技术，而且Catalyst6509具有多层（三层以上）网络交换能力，可以提供Layer3(网络层)的线速路由（三层交换），使系统性能与安全性获得最佳平衡。系统划分VLAN一方面隔离了广播，从而有效利用系统带宽，另一方面也提高了系统的安全性，但划分了VLAN之后各个子网之间需要路由，用传统的路由器可以解决这一问题，但即使性能再高的路由器也会成为系统性能的瓶

16、颈，而只有三层交换才能最好的解决这一问题，它以二层交换的性能实现三层交换的功能，Cisco6000系列的高端交换机可以最佳的完成这一功能。设计具体方案：网络设计方案具体描述网络的主要结构是以一台高端交换机为中心，安放在办公楼的计算中心，为了保证系统的高可靠性，我们采用主交换机机箱冗余电源，避免了电源单点故障造成的系统瘫痪，因为电源模块故障是设备故障发生率最高的部分。6509具有9个模块插槽，其中1个槽用来插千兆引擎模块（WS-X6K-SUP1A-MSFC），用来管理整个交换机，并作数据包的路由和转发，该模块可以实现冗余热备份（支持HSRP），实现系统更高的可靠性。1个槽用来插8口千兆光纤模块(

17、WS-X6408-GBIC)，用于连接各个部门交换机，短距离多模光纤模块（WS-G5484）最大传速距离275米，可用于连接到集团和服务器千兆网卡；中等距离单模光纤模块（WS-G5486）最大传速距离10公里，对于厂区间距离比较远的部门（销售、物资）必须采用中等距离的光纤模块才能保证数据的正确传输。WS-X6248-RJ-45模块为信息中心机房提供48个10/100自适应端口，用于连接网管工作站，认证服务器、防火墙、路由器、拨号访问服务器以及Internet服务器，同时为了保护投资，股份办公楼内的所有工作站一期都可以接到6509上，并在6509上划分若干个VLAN，如计算中心机房、WEB站点、

18、股份财务、所有服务器等各划分一个VLAN。6509机箱上的其余5个插槽用于将来网络扩展。Catalyst6509交换机具有背板带宽高（32G，6500系列可扩至256G）、高速三层交换（15M，6500系列可扩至150M）、端口密度大(130个千兆端口)、扩展能力强等优势。在其他各个联网部门，我们采用Cisco Catalyst3524或3548千兆网交换机作为交换平台，它有24或48个10/100M自适应端口，两个千兆模块插槽，具有10GB备板交换能力，是典型的高性能桌面交换解决方案。二期、三期网络扩建时，各部门内部根据信息点数的要求，利用WS-X3500-XL堆叠模块及电缆，采用菊花链式的

19、方法可以将3524/48交换机堆叠（最多支持9个），可以提供更多的端口连接而不需改变网络拓扑结构，达到网络规模扩展的目的。为了制止网络中的大量广播信息包产生广播风暴，同时也为了系统管理的需求，我们根据需要对核心交换机划分若干VLAN ，制定交换机的各个端口属于那些VLAN ，然后根据需要制定相应的VLAN之间的路由策略，在Catalyst 6509 的MSM上配置路由，既要满足性能的要求，又要满足安全性的要求。网络的对外出口（Internet）接入设备采用Cisco2610路由器， 1个以太端口用来连接6509外网段（Internet网段），1个WAN接口利用专线连接ISP接入Internet

20、。对于各个部门，采用2610拨号服务器提供电话拨号服务，在2610上插1个16口Modem模块，该模块已经集成了16个Modem，不需再增加外接Modem，即目前无法联网的用户和移动用户可以通过公用电话网拨号到计算中心,经过身份认证服务器的合法验证之后，可以和本地用户一样访问相关系统资源。一、网络安全计算机信息系统（包含操作系统、网络、数据库以及各种应用的综合系统）在给人们带来巨大效益的同时，由于其自身的脆弱性，也带来了许多的安全问题，如机密信息被泄露，文件被篡改，系统拒绝提供正常服务等等。对于贵单位这样的一个网络系统，如果没有行之有效的安全控制措施，后果是不堪设想的。如果没有安全措施，攻击者

21、可以很容易地对该网施行各种破坏行为。确保网络的安全性，是发挥信息网巨大作用的根本保证。我们必须综合应用技术、行政管理、法律以及教育等多种措施和手段，切实保障网的安全可靠。对于集团网络系统我们通过以下几种途径实现网络安全：划分多个VLAN在企业集团网络系统中，为了保证整个网络系统的安全性，实现财务子系统、销售子系统、办公子系统以及Internet服务子系统的隔离，我们运用了VLAN技术。即在核心交换机上将属于以上几个子系统的计算机分别划分到不同的VLAN中去。这样各个子系统就形成了自己独自的广播域。交换机是通过VLAN标记来识别报文是属于哪一个VLAN的。在交换机内部，到达接口的所有报文都打上该

22、接口的VLAN ID。在交换机内部，就用该VLAN ID解决报文与VLAN之间的有关问题。VLAN可将流量、局部冲突分成几段，以及控制广播的能力。划分VLAN后能提高网络的安全性，因为发送到网络上的报文对每个人都不可见。如果不同VLAN间需要交换数据时，可通过核心Catalyst6509的三层交换即可实现。访问控制访问控制是指根据用户自身的特征（如工作性质、职务、级别等）确定用户对各种资源的访问权限，控制用户对系统资源的访问，维护系统的机密性、完整性和可用性。访问控制分为两大类，自主访问控制和强制访问控制，前者基于授权，后者基于安全等级；在商业应用场合应用较多的是自主访问控制。基于授权的访问控

23、制通常通过构造访问控制表（ACL）来实现，ACL定义了每一用户对所有系统资源的访问权限。访问权限规定了用户所能访问的资源，以及允许的访问方式，如对文件的访问方式包括读、读写、添加、执行等。访问权限的授予由系统管理员或资源的拥有者来完成，例如，文件的创建者可以决定哪些用户可以某种方式访问他的文件。访问控制是一种基本的安全措施，目前几乎所有的系统都提供有不同程度的访问控制机制，例如，UNIX系统对用户进行分组、对文件设置访问模式，不同类的用户具有不同的文件访问权限。例如，在Cisco网络设备（第3层交换机和路由器）中，就提供了丰富的访问控制机制。Cisco的ACL(访问控制表)安全规则可以根据许多

24、因素制定。这些因素包括：第一，第3层(网络层)信息,包括网络源地址和目的地址；第二，第4层(传输层)信息，包括所用的传输层协议(TCP、UDP)、源端口号、目的端口号；第三，应用层协议信息，包括电子邮件Email、WWW访问、域名服务DNS、网络管理SNMP、远程登录Telnet 文件传送FTP；第四，用户自定义规则。在Cisco IOSTR中，访问控制表还可以进一步提供更详细的安全策略控制。比如：基于物理端口、MAC地址、特定应用和数据类型的过滤控制。防火墙技术防火墙是一种网络级的访问控制技术，它通过在内部网与外部网（公共网）之间设立一道屏障，控制进出的交通，达到保护内部网络资源的目的。基本

25、的防火墙技术包括包过滤(packet filtering)和应用代理(proxy)。包过滤是一种基于地址信息的技术，它通过检查进出数据包的源IP地址、目的IP地址、源TCP/UDP口地址及目的TCP/UDP口地址来过滤数据包，控制进出的资源访问。某些高性能的路由器可以配置为包过滤防火墙。由于地址易于伪造，包过滤的安全度很有限。应用代理类似于应用网关，是客户与服务器之间的中间人，客户与服务器只能通过它交换信息，从而实现了对进出资源访问的控制。包过滤与应用代理一般配合使用，以保证较高的安全性。状态检测是一种新的防火墙技术，它结合了包过滤和应用代理技术，对IP层之上各层的数据信息均作检查，具有更高的

26、安全性，而且它适用于所有协议，易于配置和管理，是一种非常有前途的防火墙技术。 有的防火墙同时还提供数据加密功能。二、服务器系统安全服务器是网络系统核心，服务器故障意味着整个网络的瘫痪，对于实时性要求很强的网络而言，这种事故造成的损失将是不可估量的，因此要求服务器有以下功能：（1）完善的容错能力：在电源、硬盘、阵列卡、内存保护、CPU电源模块、PCI总线上实现在线冗余。（2）带电热插拔技术：保证易损部件的更换与维护不影响系统的运行。（3）智能IO技术：对重负荷的IO卡，如100M网卡、高速硬盘卡，采用按最新I20规范设计的智能通道卡，减轻主CPU的压力，优化总线传输，增加IO吞吐能力。（4）良好

27、的扩充性：保证在应用增加时只需扩充服务器计算能力与存储能力便可保证应用的升级，而勿需再增加服务器。硬件容错技术所谓硬件容错，是指将服务器上所使用的所有硬件设备均采用相应的容错技术，以保证服务器的某一器件发生故障时，其正在进行处理的任务马上被其他器件接管，使得服务器可以正常工作。硬件容错技术主要包括以下一些内容：对称性多处理器（SMP）技术采用了此种技术的服务器允许有两个以上的处理器（CPU）。在所有处理器均处于正常工作状态时，每个处理器均处理不同的任务，如果某一个处理器发生故障，那麽其他的处理器将自动接管故障处理器正在处理的任务，这一过程对于网络的用户来说是完全透明的，对他们而言所有的应用均正

28、常进行，不会有任何故障产生。另外，在无故障发生的情况下，SMP技术还可以提高处理器的利用率。硬件冗余技术硬件冗余包括电源冗余、网卡冗余、系统风扇冗余等等。它主要是指在服务器中设置两套功能相同的器件，在两套器件均处于正常工作状态时，两套设备同时工作以提高整个系统的效率。当某一套设备故障时，另一套设备将立即接管故障设备正在处理的任务以保证系统的正常运行。热插拔技术所谓热插拔技术是指在服务器正常工作的情况下，将故障的部件拔下并更换上好的部件并不损害服务器和影响其工作的技术。有了热插拔技术使得在不影响正常工作的前提下迅速地排除故障成为可能。磁盘容错技术磁盘容错对于整个计算机网络的安全性而言也是一个极为

29、重要的环节。因为，服务器的磁盘系统存放着整个网络的数据，磁盘容错是必须采用的。 目前，较为成熟并广泛得到使用的磁盘容错技术是廉价磁盘冗余阵列（RAID）技术。这种技术不仅提供了磁盘容错技术，同时还可以提高磁盘I/O的速度。 常用的RAID技术分为RAID 0、1、2、3、4、5几个级别，其中：RAID 0 是指磁盘分段（Disk Striping）技术其实现方法为将数据分段，同时写到多个磁盘上。其优点是磁盘可以实现并行的输入和输出，提高磁盘读写速度，但是这种技术无容错性能；RAID 1是指磁盘镜像（Disk Mirroring）技术其实现方法是简单地将一个磁盘上的数据简单地拷贝到第二个磁盘上或

30、等价的存储设备上来实现数据的冗余，其优点为实现了数据的完全冗余，容错性能极好，但是这种技术未提高磁盘读写速度同时成本较高；RAID 2-5是指将磁盘分段与磁盘冗余结合起来的技术其中RAID 2指磁盘分段结合Hamm Code 纠错技术，RAID 3指磁盘分段加专用奇偶校验盘，RAID 4指磁盘分段加专用异步奇偶校验磁盘，RAID 5是指磁盘分段加分布在各磁盘的偶校验。这几种技术均综合了磁盘分段和磁盘镜像这两种技术的优点，这些技术要求磁盘阵列至少有三个磁盘，由于采用了校验码技术进行了数据冗余，故允许一个磁盘故障，同时由于采用了磁盘分段技术亦提高了磁盘读写能力。目前最被广为采用的是RAID 5技术

31、。为了保证数据的安全性和可靠性，需要对服务器的磁盘阵列采用RAID 5的磁盘控制技术。三、防病毒技术1. 对企业网络中所有工作站的病毒防护 网络工作站的防护位于企业防毒体系中的最底层，对企业计算机用户而言，也是最后一道防、杀病毒的要塞。考虑到网络中的工作站数量少则几十台，多则数百上千台甚至更多。如果需要靠网管人员逐一到每台计算机上安装单机防病毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐。由此，乐亿阳趋势推出了Office Scan企业授权版，它们具有如下特点： (1) 通过服务器自动分发客户端工作站防毒软件，大大简化了安装过程。 (2) 自动识别客户机操作系统

32、并下载和安装相应的防毒程序,支持包括NT 工作站、WIN95/WIN98、WIN3.x、DOS、OS2等多种作业平台的工作站。 (3) 通过服务器设置统一的防毒策略，获取完整的病毒活动报表，实施集中的病毒码和程序更新。 (4) 设有密码保护功能, 防止企业内用户随意卸载病毒监控程序，从而形成企业网络的病毒“后门”。 (5) 储存所有工作站硬盘引导区记录，以备工作站引导区遭受病毒破坏后的紧急救援。 对企业网络中的所有文件服务器的病毒防护 文件服务器是企业网络中最常见的服务器。以NT服务器为例，它会遭受大量引导型病毒、DOS病毒、位Windows病毒以及宏病毒等的攻击，更为常见的是，由于文件服务器

33、为网络中所有工作站提供文件资源共享，因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站上。为此，趋势科技早在1991年就利用其服务器防毒的核心技术和美国英特尔（Intel）公司合作，共同推出运行在Netware服务器上的LDVP（LANDesk Virus Protect）。目前，趋势科技的ServerProtect能够支持包括Netware 、NT及Alpha NT为平台的多种文件服务器的病毒防护。 作为防毒体系结构中的服务器端产品，ServerProtect的实时病毒监控功能，远程安装、远程调用功能，病毒码自动更新功能以及病毒活动日志、多种报警通知方式等，为企业内文件

34、服务器的病毒防护提供了最大便利和效能。 对于较小规模的企业局域网，选择ServerProtect和PC-cillin 企业授权版的组合，分别保护局域网中的服务器和工作站，是一种常见和有效的防病毒方案。 邮件服务器的病毒防护 随着企业内部电子邮件应用日益普及，病毒入侵的管道又增加了一个。根据世界计算机安全协会（ICSA）1997年的报告，因使用电子邮件而中毒的事件已占所有中毒事件的，且其比率正在持续升高之中。不久前，发生在美国的包括微软在内的几家全球著名企业，遭受到来自电子邮件的美丽杀病毒(Melissa)的攻击，致使企业邮件服务器关闭。我们不难得出保护邮件服务器免受病毒攻击的重要性。 趋势科技

35、针对不同群组软件和邮件服务器产品开发了ScanMail系列防病毒产品，使网络防毒体系结构中又增加了一层关卡，确保经由企业邮件服务器的邮件附件随时处于病毒免疫状态。 企业Internet 联接的病毒防护 趋势科技推出的全球首创防毒软件InterScan VirusWall国际互联网病毒防火墙，是企业网络防病毒体系结构中的最上层，安装在Internet服务器或网关上。其基本设计理念是在电脑病毒通过Internet入侵企业内部网络的第一点处设置一道防毒屏障，使得电脑病毒在进入企业网络之前即被阻截，这就是趋势科技的“空中抓毒”专利技术。互联网络病毒防火墙分别对HTTP、的网络通讯进行病毒侦测，保证企业

36、用户在使用浏览器、FTP下载或Internet邮件时免遭各种传统病毒和新一代病毒的侵害。 四、数据备份与灾难恢复- CA ARCserveIT高级版ARCserveIT使各种传统的存储管理操作自动化，降低运行费用，减少差错，使管理员能更方便地进行基础数据保护。管理员能在网上任意一集总的站点进行快速、有效地备份恢复操作。不论环境如何，ARCserveIT总有恰当版本适合用户需求。其高级特性包括支持磁带和光盘库、磁带RAID、在线图像备份、开放文件备份、到主机备份、故障恢复、光纤通道、在线就用备份和异种客户机备份。ARCserveIT高级版是一个异质环境的备份/存储管理解决方案，可以完成本地或远程

37、WindowsNT服务器的数据备份/存储管理操作，包括其所连接的客户机，诸如Windows3.1x、Windows95/98和WindowsNT服务器或工作站、NetWare、OS/2、UNIX和Macintosh台式机等。ARCserveIT功能强大，具有集中管理、远程管理和集中ARCserveIT数据库等特点。用户还可以通过附加模块来定制ARCserveIT环境，实现应用联机备份、打开文件的备份、灾难存储管理、存储区域网络（SAN）、数据迁移和高可用性复制（Replication）等增强功能。总之，ARCserveIT是一种全功能产品，它可以随着用户业务的增长而增加相应功能。五、电源保护（

38、UPS）电源问题会导致键盘锁死、全部数据丢失、硬件老化、主板损坏等不可避免的故障停机。在突发事故出现时，APC UPS会将计算机立即切换至紧急电池备用电源，使您能安全度过暂时断电，或在长时间停电时关闭系统。高性能浪涌抑制可使计算机免受电力噪声及损害性电源浪涌，甚至雷击的损害。 网络系统电源保护选用APC Smart系列智能UPS，规格为5KVA/4h。对计算中心服务器、交换机、路由器等进行电源保护。5KVA输出功率可以保证计算中心机房所有交换机、服务器、路由器、防火墙等设备满负载供电，4小时在线延时可以使系统忍受长时间断电。第九章 本方案特点高带宽、高性能在本方案中，主干交换为1000M,100M交换到桌面，并且可以采用Cisco的专有技术FEC/GEC(快速/千兆以太网通道)，可使网络带宽在100M/1G到800M/8G之间自由选择，在物理链路之间，通过采用端口聚合协议(PAgP)可以最有效地自动平衡通信负载。此外，FastEtherChannel技术可提供无与伦比的弹性。如果