XX证券办公楼机房系统集成方案最终版

1、XX证券办公楼机房系统集成方案最终版目录一、项目背景分析31项目概述32建设原则41.3建设依据6二、项目设计61.4项目设计思路61.4.1交易/行情业务71.4.2办公网71.5网络拓扑图71.6方案说明8三、主要设备介绍101路由器102防火墙152.2.1CiscoASA5505152.2.2JuniperSSG140-SB182.3交换机192.3.1Cisco3650192.3.2Cisco2960232.4服务器262.5ATENKVM系统26四、施工计划291工程说明292工程任务293施工准备304.4网络设备上架和调试要求304.5主要的施工用机具、设备的配备314.6施工

2、人员组织及进度计划安排314.7与总包单位的配合314.8与机房二次装修的配合314.9工程工期与进度目标控制324.9.1进度目标控制324.9.2工期控制的措施32五、系统测试与验收341设备连通性测试345.2设备间加电测试345.3系统加电测试344系统调试34六、人员培训361成立培训小组366.2培训教材编写原则363培训计划36七、售后服务措施及承诺411服务流程412售后服务具体措施42一、项目背景分析1.1项目概述XX证券公司成立于2003年12月29日，2009年11月公司原股东与国家开发银行签订股权转让协议转让公司100%股权，2010年2月10日获中国证监会批准，201

3、0年2月23日完成股权变更的工商登记，成为国家开发银行的全资子公司。2010年6月17日完成工商变更登记,公司正式更名为XX证券有限责任公司。公司唯一股东国家开发银行成立于1994年3月，是直属国务院领导的政策性金融机构，经过16年的发展已形成“两基一支”、基层金融和国际合作“三位一体”的业务发展格局，业务功能覆盖贷款、债券、投资、投行、租赁、担保等多个领域，成为我国对外投融资合作和中长期投融资主力银行，是我国金融体系中不可或缺的重要力量。截止2009年底，开行资产余额4.5万亿元，其中人民币贷款余额3万亿元，外币贷款余额979亿美元，税后利润302亿元。人均管理资产额、人均创利等指标均在国内

4、外居于领先地位。2008年12月根据国务院部署开发银行正式转型为商业银行，主要从事中长期业务，服务于国民经济重大中长期发展战略，并按“一拖二”的组织架构设立投资公司和投资银行公司（证券公司），分别从事投资业务和相关证券业务经营。证券业务在我国的开展时日已久，并随着时间的推移日渐繁荣。证券市场在建设之初，存在营业场地小、投资者人数多、下单速度慢、人工委托容易出差错等一系列瓶颈问题，如何从技术上进行有效突破成为当务之急。早期能够解决这个问题最有效的手段是电话委托方式，不过在行情火爆时，电话打不进去、不能成交的现象时常存在。此外，证券业在繁荣的同时也必然会引入一些新的业务模式，股民们己不但仅满足于某

5、一笔交易的完成，还希望以更方便的方式获得实时行情、证券资讯，听取投资分析、问题解答证券公司无疑也期望籍此提高股民的满意度，在日趋激烈的市场竞争中处于领先地位。而这些需求都是传统手段所无法满足的。网络技术的日新月异为证券服务的尴尬处境带来新的契机，到今天，网络已逐渐进入到千家万户，改变着人们的工作、生活、学习模式，使信息的交流跨越了时冋和空间的束缚。利用新一代信息技术改造原有证券服务模式，进而拓展增值应用，已经成为证券行业发展的潮流。不过，这个切都必须依赖可靠、安全、高效、可管理的网络。证券行业的信息网建设包括多个层面，主要有营业部网络、企业内部网Intranet以及网上交易系统等。营业部网络实

6、现了面向用户的各种业务流程的电子化，提供了传统证券业务的各种职能。它能够为用户提供行情公告和委托下单服务，并能够进行交易清算。同时，这种网络能够将营业部的各项数据实现数字化管理，并通过共享方式做到准确及时的交流。营业部网络的建设能够起到立竿见影的效果，迅速提高证券企业的市场竞争力。随着竞争越来越激烈，各证券公司都在全国范围的广域环境中组建企业自身的Intranet,并借助它实现办公自动化、电子邮件通信、资金管控、财务管理。Intranet能够从根本上优化证券公司内部业务处理流程，利用流畅的信息传递和共享实现资源的最佳配置。它实现了企业内部、企业与客户之间的信息资源高效、快捷的交流和共享，极大地

7、提高了工作效率，减轻了工作量。此外，这部分功能体系体现了证券公司的增值能力，为扩展市场影响力、开拓新的业务范围打下了坚实的基础。1.2建设原则在进行信息网络系统设计时，应根据系统集成建设的发展趋势，长远规划，为信息系统和工作人员创造一个安全、可靠、宽松、舒适的工作场地，保证计算机系统的可靠性；延长计算机系统的使用寿命；满足计算机用户的特殊要求；保证场地工作人员的身心健康。系统集成建设方案应具有先进性、安全可靠性、可管理性、灵活性和可扩展性、经济性、工作舒适性等基本原则。1、先进性系统设计应充分体现信息系统核心的特点，釆用比较先进的技术、材料和设备，将机房建设成为一个先进的智能化信息处理和控制中

8、心。既能满足当前信息处理要求，又兼顾未来的工作要求，使整个系统在一段时间内保持技术的先进性，并具有良好的发展潜力，以适合未来发展和技术升级的需要。2、安全可靠性为保证各项业务的应用，信息系统必须具有高安全可靠性，决不能出现单点故障。要对机房的布局、结构设计、设备选型、日常维护等各方面进行高可靠性的设计和建设，从防火、防水、防虫、防盗、接地、防雷、防电磁干扰、降噪、减少震动等方面采取有效措施；并考虑地面承重能力等特殊技术措施。在关键设备采用硬件备份、冗余等可靠性技术基础上，采用相关的软件技术提供较强的管理机制和控制手段，并采用事故监控与安全保密等技术措施，提高电子信息系统的安全可靠性。3、可管理

9、性电子信息系统具有一定的复杂性，随着发展，管理的任务必定会日益繁重。所以设计中，必须建立一套全面、完善的管理和监控系统。所选用的设备应具有智能化，可管理的功能，同时釆用先进的管理监控系统设备及软件，实现先进的集中管理监控，实时监控、监测整个机房的运行状况，简化机房管理人员的维护工作，从而为机房安全、可靠的运行提供最有力的保障。4、灵活性和可扩展性电子信息系统必须具有良好的灵活性和可扩展性，能够根据信息处理系统不断发展的需要，扩大设备容量和提高系统可持续发展的能力。5、经济性应以较高的性能和合理的价格，使资金的产出投入比达到最大值。能以较低的成本、较少的投入来维持系统运转，提供高效能与高效益。尽

10、可能保留并延长己有系统的投资，充分利用以往在资金与技术方面的投入。6、工作的舒适性原则系统集成机房内应提供良好的工作环境。首先，要保持空气新鲜、温度和湿度符合国家标准。为保证机房内的工作人员身体健康，工作时头脑清醒，要求信息处理中心有人区域内的新风量很多于每人40m3/小时。同时需保证躁声能符合国家有关规定。1-3建设依据本工程的设计符合以下技术规范标准要求：1、智能建筑工程质量验收规范(GB50307-2002)2、智能建筑设计标准GB/T50314-20063、民用建筑电气设计规范JGJ/T16-924、安全防范工程技术规范GB50348-20045、建筑与建筑群综合布线系统工程设计规范G

11、B/T50311-20006、建筑与建筑群综合布线系统工程设计规范工及验收规范(CECS89：97)7、建筑与智能化系统工程设计标准DB32181-19988、安全防范工程程序与要求GAT75-949、安全防范系统验收规则GA308-200110、电子信息产品中有害有毒物质的限量要求SJ/T11363-200611、电子信息产品污染控制表示要求SJ/T11364-2006二、项目设计1.4项目设计思路XX证券来福士办公大楼位于北京市东直门南大街3号，办公分布楼层21层，23层，25层。机房设置在23层，面积为50平方米。网络设备集中放置在23楼机房，21楼设置一个小机房用于线路不够的办公区域。

12、证券营业部网络的功能由以下几部分组成：1.4.1交易/行情业务这是每一个证券营业部网络所要提供的基本职能。它需要为用户提供行情公告和委托下单服务，一般基于Novell网络操作系统应用程序；同时还要具有交易清算的功能，这个般在WindowsNT或UNIX环境下完成。交易/行情业务数据以文字为主，仅带有少量图形信息，但数据量大，更新频繁，其网络传递能力代表了证券营业部的服务质量和市场竞争力，所以为这项主业务作支撑的网络要求具有很髙的可靠性、数据传输速率和安全性。根据各营业部规模不同，网络环境大多釆用100/1000M交换以太网作主干,10/100M交换以太网到桌面的连接方式。1.4.2办公网除业务

13、处理外，办公管理现代化也是行业发展的必然趋势，它可将营业部的各项管理数据作电子存档，通过网络共享，做到准确、及时、方便的信息交流，这部分数据以文字和图形为主，一般釆用界面友好的浏览器形式操作。相对主业务数据而言，办公管理对网络实时性要求不高，主要强调系统的安全可靠、稳定和经济性。为此网络釆用100M交换以太网主干，10M交换到桌面的连接方式就足以满足需求了。1.4.3通信服务通信服务的内容涉及多个方面。这主要包括：发展证券公司内部1ntranet,以WEB、电子邮件等方式加强办公管理；进一步与当地信息港、互联网连通，实现资源共享，同时扩展市场影响力；增加本地拨入服务，建立远程大户室，从而开拓新

14、的业务范围等。这部分功能体现了证券公司的增值能力，其应用特点为灵活、多样，并且往往要借助于广域网链路来实现，要求系统可靠、扩展能力强，广域网链路经济，而互联网的接入则对网络的安全性提出考验。为此可采用防火墙和认证软件来保证系统的安全可靠，采用模块化设计的网络设备保证系统的扩充能力，并釆用优化的带宽管理、多种链路技术、高速缓存等来保证广域网链路的经济性。1.5网络拓扑图证券网络拓扑图正券总部 主用链路 备用链路1.6方案说明业务内网通过SDH专线直接和总部连接，岀口釆用两台cisco2811,一台作为主路由使用，一台备用他们之间釆用HSRP协议，在主路由断开后自动启用备用路由。防火墙釆用两台ci

15、scoASA5505-kb之间作心跳线连接彼此监控对方，一旦发现对方down掉就马上替换对方实现防火墙的冗余。主交换机釆用两台cisco3650o一台作为主交换机一台作为备用交换机，当主交换机链路断开后自动启用备用链路，保证业务的持性行。两台主交换机采用FEC技术把四条链路绑定在一起增加交换机的。主交换机和二层交换机之间配置生成树协议(STP),同时二级交换机到主交换机端口强制单工百兆。交易网的连接和冗余方式和业务内网相同，区别的是防火墙釆用juniperSSG140-SBo办公网络租用北京电信直接到防火墙然后由防火墙做策略路由到二级交换机实现办公区域连接internet网。方案中主要路由协议

16、介绍：HSRP：热备份路由器协议(HSRP：HotStandbyRouterProtocol)热备份路由器协议(HSRP)的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器(ActiveRouter)o一旦主动路

17、由器出现故障，HSRP将激活备份路由器(StandbyRouters)取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器(StandbyRouters)承接主动路由器的所有任务，并且不会导致主机连通中断现象。FEC：(fastethernetchannel)快速以太通道是CISCO公司另辟蹊径通过并行链路汇聚和捆绑来提高链路带宽而提供的一种机制，将多个以太网端口捆绑成一条逻辑通道，该链路就叫快速以太通道或千兆以太通道(GEC),它是基于硬件的服务同源MAC地址的低两位与信息帧中的目

18、标MAC地址进行数学运算来确定特定的数据帧具体通过哪一条链路来传送因为在两个工作站之间传达室送的所有信息帧总是在相同的链路上结束，所以其中的一条链路与其它链路相比可能负载要稍高一些，也就是说FEC并不是完全的流量负载均衡.FEC优点：带宽可伸缩性：流量自动在以太通道上面分担,能够是1到8个端口来组成，容错：当某条链路失效后，以太通道通过将负载重新分配到剩余链路上实现自动恢复功能，负载：当以太通道用在园区网时,交换机与路由器能够通过多条链路，向用户透明地提供服务，对网络应用透明：不需要对网络应用做任何改变。STP：（SpanningTreeprotocol）生成树协议可应用于环路网络，通过一定的

19、算法实现路径冗余，同时将环路网络修剪成无环路的树型网络，从而避免报文在环路网络中的增生和无限循环。STP的基本原理是，通过在交换机之间传递一种特殊的协议报文（在IEEE802.ID中这种协议报文被称为“配置消息”）来确定网络的拓扑结构。配置消息中包含了充足的信息来保证交换机完成生成树计算。生成树协议STP/RSTP技术原理：STP的基本思想就是生成“一棵树”，树的根是一个称为根桥的交换机，根据设置不同，不同的交换机会被选为根桥，但任意时刻只能有一个根桥。由根桥开始，逐级形成一棵树，根桥定时发送配置报文，非根桥接收配置报文并转发，如果某台交换机能够从两个以上的端口接收到配置报文，则说明从该交换机

20、到根有不止一条路径，便构成了循环回路，此时交换机根据端口的配置选出一个端口并把其他的端口阻塞，消除循环。当某个端口长时间不能接收到配置报文的时候，交换机认为端口的配置超时，网络拓扑可能已经改变，此时重新计算网络拓扑，重新生成一棵树。三、主要设备介绍2.1路由器此次集成项目釆用的Cisco2811路由器标配2端口10/100,4端口HWIC,2端口PVDM,1端口NME是思科系统公司推出的一个全新的集成多业务路由器，它进行了专门的优化，可安全、线速地同时提供数据、话音和视频服务，重新定义了最佳大型企业和中小型企业路由。模块化Cisco2811系列集成多业务路由器建立在思科20年的领先地位及创新技

21、术的基础之上，智能地将数据、安全性和话音服务内嵌于单一永续系统，能快速、可扩展地提供关键任务业务应用。Cisco2811的独特集成系统架构提供了最高业务灵活性和投资保护。Cisco2811系列能以线速为多条Tl/El/xDSL连接提供多种高质量并发服务。这些路由器提供了内嵌加密加速和主板话音数字信号处理器（DSP）插槽；入侵保护和防火墙功能；集成化呼叫处理和语音留言；用于多种连接需求的高密度接口；以及充足的性能和插槽密度，以用于未来网络扩展和高级应用。用于数据、话音和视频的安全网络连接安全已成为网络的基本构建块。路由器在网络防御战略中起重要作用，因为安全性需内嵌于整个网络之中。Cisco281

22、1系列具有先进、集成的端到端安全性，以用于提供融合服务和应用。凭借CiscoIOS软件高级安全特性集，Cisco2811在一个解决方案集中提供了一系列强大的通用安全特性，如CiscoIOSSoftwareFirewalk入侵保护、IPSecVPN、SecureShell(SSH)协议2.0和简单网络管理协议(SNMPv3)o此外，通过将安全功能直接集成入路由器，思科可提供其他安全设备不能提供的独特智能安全解决方案，如用于病毒防御的网络准入控制(NAC)；当结合话音、视频和VPN时可增强服务质量(QoS)的话音和视频型VPN(V3PN)；以及可实现更优可扩展性和可管理性的VPN网络的动态多点VP

23、N(DMVPN)和EasyVPN。此外，思科提供了一系列安全加速硬件，如用于加密的入侵保护网络模块和高级集成模块(AIM),使Cisco2811成为业界适用于分支机构的、最强大的可适合安全解决方案。融合IP通信Cisco2811系列可满足中小型企业和企业分支机构的IP通信需求，同时在单一路由平台中提供业界领先的安全性。CiscoCallManagerExpress(CME)是一个内嵌于CiscoI0S软件的可选解决方案，为思科IP电话提供了呼叫处理。此解决方案适用于有数据连接需求、对于为多达72部电话部署一个融合IP电话解决方案感兴趣的客户。凭借Cisco2811,客户可在单一平台上为其中小型

24、分支机构安全地部署数据、话音和IP电话，以便简化其运营、降低网络成本。带集成CiscoCME的Cisco2811系列提供了一个核心电话特性集，以满足客户日常业务需求，它们利用内嵌于Cisco2811中范围广泛的话音功能以及CiscoI0S软件中的可选特性，可为中小型分支机构环境提供强大的IP电话服务。集成化服务凭借Cisco2800系列独特的集成化服务架构，客户现可用传统IP路由安全地部署IP通信，并为更多的高级服务预留接口和模块插槽。通过多种服务的可选集成，Cisco2811能方便地自行将独立网络设施和组件的功能集成入Cisco2811机箱。大多数模块，如思科网络分析模块、思科语音留言模块、

25、思科入侵检测模块和思科内容引擎模块，拥有内嵌处理器和硬盘，使它们主要可独立于路由器运行，并能从单一管理界面进行管理。这种灵活性大大扩展了Cisco2811的潜在应用，使其超越传统路由，且仍保持着集成的优势。优势包括管理方便、更低解决方案成本(CAPEX和0PEX),以及更快部署速度。主要特性和优势Cisco2811架构的特别设计可满足中小型分支机构和中小型企业对于当前和未来应用日益提高的需求。Cisco2800将业界范围最广的连接选项与领先的可用性和可靠性特性相结合。此外，CiscoIOS软件支持全套传输协议、服务质量（QoS）工具，以及先进的安全和话音应用。模块化架构具有范围广泛的LAN和W

26、AN选项。网络接口可现场升级，以适合未来技术。若干插槽类型可在未来以“随发展而集成”的模式添加连接和服务。Cisco2811支持90多种模块，包括大多数现有WIC、VIC、网络模块和AIM。内嵌安全硬件加速Cisco2811路由器中的每一款都配备了内嵌硬件加密加速器，当与可选CiscoIOS软件升级相结合时，有助于实现WAN链路安全和VPN服务。更多缺省内存Cisco2811路由器提供了64MB闪存和256MBDRAM内存。Cisco2801路由器配备64MB闪存和128MBDRAM内存。集成双快速以太网Cisco2811上提供了2个10/100端口。支持CiscoI0S12.3T特性集Cis

27、co2811全面支持最新的、基于CiscoI0S软件的QoS、带宽管理和安全特性，有助于实施端到端解决方案。可选集成通用直流电源Cisco2811路由器上，有一个可选直流电源，扩展了可能的部署环境，如中央办公机构和工业环境。集成冗余电源（RPS）连接器Cisco2811,有一个内置外部电源连接器，可简便地增加可与其他思科产品共享的外部冗余电源，通过保护网络组件，使其免于因电源故障而停运，从而缩短了网络停运时间。模块化特性和优势Cisco2811系列提供了大幅增强的模块化功能，同时保持了投资保护。其模块化架构进行了重设计，以支持不断提高的带宽要求、时分多路（TDM）互联，同时仍支持大多数现有模块

28、。凭借90多种与Cisco1800、2600、3700和3800系列等其他思科路由器共享的模块，Cisco2811的接口可方便地与其他思科路由器互换，在网络升级时提供最高投资保护。此外,利用网络上的通用接口卡，可大大降低管理库存需求的复杂度、实现了大型网络部署，并可保持各种规模的分支机构中的配置。增强网络模块(NME)插槽NME插槽支持现有网络模块插槽提供高吞吐率功能(高达l.GGbps)和对以太网电源(POE)的支持；NME插槽高度灵活，带增强功能的高性能WIC(HWIC)插槽Cisco28114个集成HWIC插槽，可实现更为灵活、密集的配置；HWIC插槽也可支持WIC、VIC和VWIC；H

29、WIC插槽提供了高数据吞吐量功能(高达400Mbps全双工或800Mbps总吞吐量)和以太网电源(P0E)支持；灵活的机型支持多达2个双宽HWIC(HWIC-D)模块。双AIM插槽双AIM插槽支持多种并发服务，如硬件加速安全、ATM划分和组装(SAR)、压缩和语音留言。主板上的分组话音DSP模块(PVDM)插槽用于CiscoPVDM2的插槽集成在主板上，使路由器上的插槽可提供其他服务。安全联网特性和优势Cisco2811系列具有增强安全功能。基于硬件的加密加速集成在每种Cisco2811系列路由器的主板上，可卸载加密过程，与基于软件的解决方案相比，以较少的CPU开支为路由器提供了更髙的IPSe

30、c吞吐量。凭借可选VPN模块(用于提髙性能和隧道数)、基于CiscoI0S软件的防火墙、网络访问控制、内容引擎网络模块或入侵保护网络模块的集成，思科为分支机构路由器提供了业界最强大的可适合安全解决方案。CiscoIOSFirewall先进的安全性和策略实施提供了众多特性，如基于应用的状态过滤(基于环境的访问控制)、每用户验证和授权、实时报警、透明防火墙和IPv6防火墙。板载VPN加密加速Cisco2800系列不占用AIM插槽,即可支持IPSec数字加密标准(DES)、三重DES(3DES)、高级加密标准(AES)128、AES192和AES256加密。NAC思科自防御网络计划旨在大幅提高网络识

31、别、防御和适合威胁的能力，仅允许针对符合标准的可信任端点设备的网络接入。多协议标签交换(MPLS)VPN支持Cisco2811系列凭借虚拟路由和转发（VRF）防火墙以及VRFIPsec,支持特定供应商边缘功能，以及将客户的MPLSVPN网络扩展至客户边级的机制。有关Cisco2811系列不同版本上的MPLSVPN支持的具体信息，请查看上的特性浏览工具。USB端口（1.1）USB端口将用于提供未来功能。基于AIM的安全加速对一个可选专用安全AIM的支持，可通过第三层压缩提供二到三倍的内嵌加密性能。入侵保护通过CiscoIOS软件或高性能入侵检测系统（IDS）网络模块，提供了灵活的支持；新的IDS

32、特征可独立于CiscoIOS软件版本而动态加载。CiscoEasyVPN远程和服务器支持Cisco2811系列可主动地将新安全策略从单一头端推向远程地点,简化了点到点VPN的管理。DMVPNDMVPN是一款CiscoIOS软件解决方案，可方便、可扩展地构建IPsec+通用路由封装（GRE）VPNoURL过滤URL过滤可通过一个可选内容引撃网络模块板载提供，或由一个运行URL过滤软件的PC服务器外部提供。思科路由器和安全设备管理器（SDM）直观、易用、基于Web的设备管理工具内置于CiscoIOS软件接入路由器中；它可远程访问，以更为快速、方便地部署思科路由器，用于WAN接入和安全特性。IP电话

33、支持一特性和优势Cisco2811使网络经理无需投资于一次性的解决方案，即可提供可扩展的模拟和数字电话，使企业能更好地满足其融合电话需求。Cisco2811釆用话音和传真模块，可部署用于多种应用，其范围从IP话音（VoIP）和帧中继话音（VoFR）传输到使用思科远程电话应急呼叫（SRST）的强大、集中解决方案或使用CiscoCallManagerExpress（CME）.的分布式呼叫处理。此架构具有高度可扩展性，能支持多达12条T1/E1中继线路、52个外部交换终端（FXS）端口或36个外部交换局（FXO）端口，同时提供数据路由和其他服务。IP电话支持对于针对以太网交换网络模块和HWIC的可选

34、思科馈线配电支持，可用于为思科IP电话供电DSP模块支持模拟和数字话音、会议、话音编码转换和安全实时传输协议（RTP）应用。集成呼叫处理CiscoCME是一个内嵌于CiscoIOS软件中的可选解决方案，为思科IP电话提供呼叫处理。CiscoCME提供与企业用户常用的特性相似的电话特性，以满足中小型机构的要求。集成语音留言通过集成一个可选的语音留言AIM或网络模块，用CiscoUnityExpress语音留言系统可支持多达100个语音信箱。Express语音留言系统可支持多达100个语音信箱。范围广泛的话音接口用于本地电话、个人用户交换机（PBX）和网关连接的接口包括：FXS；FXO；直接内部拨

35、号（DID）；E&M；集中自动信息记帐（CAMA）：ISDN基本速率接口（BRI）；带ISDN主速率接口（PRI）的Tl、E1和JI；QSIG；以及几种其他通道相关信令（CAS）信号机制。支持SRST分支机构可利用集中呼叫控制，并通过SRST冗余性为IP电话经济有效地提供本地分支机构备份。拥有成本和易用性的特性和优势Cisco2811系列继承了向分支机构提供多功能性、集成性和强大功能的传统。Cisco2800系列提供了很多改进，可在分支机构中支持多种服务，如表5所示。集成化通道服务单元/数据服务单元（CSU/DSU）.增删多路复用器、防火墙、调制解调器、压缩和加密将分支机构布线室中的常用通信设

36、备整合为单一小巧设备；这款节约空间的解决方案提供了更好的可管理性。可选网络分析模块提供了应用级的网络流量可视性，用于排障、性能监控、容量规划和基于网络的服务的管理CiscoI0S软件热重启动缩短系统启动时间，减少由CiscoI0S软件重启动而造成的停机时间增强安装特性带上下问关联的问题解答的可选安装向导，可指导用户完成路由器配置过程，实现更快速部署。CiscoWorks支持通过基于Web的GUI,提供先进的管理和配置功能。CiscoAutolnstall在WAN连接上自动配置远程路由器，节约了将技术人员派遣到远程地点的成本。2端口10/100,4端口HWIC,2端口PVDM,1端口NME2.2

37、防火墙2.2.1CiscoASA5505CiscoASA5500系列防火墙版不但允许企业以高度可靠的方式安全地部署关键业务应用和网络，还能通过其独特的模块化设计提供卓越的投资保护，降低运作成本。利用CiscoASA5500系列防火墙版的强大策略实施服务，企业能够防止网络遭受非法访问。这些服务与市场领先的VPN服务结合在一起，使企业能够通过低成本的互联网连接，安全地将网络扩展到业务合作伙伴、远程站点和移动员工。这种灵活的解决方案能够适合各机构需求的不断增长，以及安全威胁的不断变化，使企业能够容易地集成市场领先的入侵防御、防病毒、防垃圾邮件、防间谍件、URL过滤及其它高级内容安全服务，进一步加强保

38、护。CiscoASA5500系列防火墙版与思科管理和监控应用解决方案有机地结合在一起，能够以较低的运作成本提供业内最佳的安全性。CiscoASA5500系列防火墙版的功能包括：最值得信赖、己广泛部署的防火墙技术一建立在己被业内广泛认可CiscoPIX系列安全产品之上的CiscoASA5500系列提供了更为广泛的安全服务来保护现代化网络环境。其灵活的策略功能能够防止非法访问网络资源或重要公司信息。高级应用控制功能能够帮助企业有效控制P2P文件共享、即时消息传送及其它不符合公司策略的网络应用的使用，以提高员工的生产率，减少互联网带宽浪费。威胁防御VPN-CiscoASA5500系列防火墙版也是一款

39、基于在业内已被广泛认可的CiscoVPN3000系列集中器之上的产品，因而能够提供对内部网到内部网(Site-to-site)和远程用户接入企业内部网(RemoteAccess)这两种方式的安全保护。该解决方案将SSL和IPSecVPN功能有机地结合在一个最佳解决方案中，为企业提供了极高的安全连接灵活性。利用CiscoASA5500系列防火墙版提供的服务，企业能够对所有网络流量实施基于身份的安全性和联网策略，以便为每个员工组、合同商组和业务合作伙伴组提供适当的访问权限。自适合设计提供卓越的投资保护和未来威胁防御可扩展性一CiscoASA5500系列防火墙版釆用了独特的模块化设计，能够适合企业需

40、求的不断变化。企业只需添加高性能的专用CiscoASA5500系列安全服务模块，就能够容易地增加安全服务的数量，例如为高级入侵防御服务开发的高级检测和防御安全服务模块(AIP-SSM),或者为高级防病毒、防垃圾邮件及其它防护其它网络恶意代码(Anti-X)服务而开发的内容安全和控制安全服务模块(CSC-SSM)o智能网络集成与企业级永续性-CiscoASA5500系列防火墙版基于思科在网络领域20多年的领先和不断创新，能够提供多种智能服务，并无缝集成到当今的各种网络环境中。该解决方案提供的多种可靠性、可扩展性解决方案能够最大限度的降低业务在网络上的当机时间，同时还不影响性能，这些解决方案包括主

41、用/主用高可用性(Active-Active)、”不停机软件升级”以及内置集成化的VPN集群和负载均衡能力。易于部署和管理一思科管理和监控套件支持CiscoASA5500系列防火墙版的大型部署和操作。思科提供完整的解决方案，不但提供管理和监控，还能通过CiscoAdaptiveSecurityDeviceManager(ASDM)为每种安全设备提供功能强大、易于使用、基于浏览器的管理和监控界面。业务成效CiscoASA5500系列防火墙版提供的安全性和连接服务能够帮助贵企业：控制对公司资源的访问一为企业提供基于身份或网络的精细访问控制，防止非法访问应用或信息。与主流用户认证服务集成在一起，例如

42、MicrosoftActiveDirectory、轻量目录访问协议(LDAP)、Kerberos和RSASecurlDo安全部署新应用一使企业能够为多种主流应用提供高级应用层安全服务，包括基于Web的应用、电子邮件、IP语音(VoIP)、视频和多媒体应用，从而安全地部署新应用。能够向互联网隐藏公司的网络地址，进一步加强安全保护。安全地远程访问公司网络一同时向远程站点、业务合作伙伴和移动员工提供基于SSL和IPSec的威胁防御VPN连接方法。业务永续性一实施业内顶级的防火墙、VPN和网络技术，防止关键业务应用和服务因安全问题而中断。架构CiscoASA5500系列防火墙版是完整的安全网络访问的关

43、键点。与思科管理和监控系统紧密集成，使各机构能够部署和维护有效的安全解决方案，全面保护关键业务应用和信息资源主要组件CiscoASA5500系列防火墙版在整个企业范围内提供广泛的安全网络互连服务。管理CiscoSecurityManager能够为思科安全技术的大型部署提供企业级管理基础设施。监控思科安全监控、分析和响应系统(CiscoSecurityMARS)提供实时监控和安全事件响应功能,使企业能够充分发挥CiscoASA5500系列防火墙版的安全性和网络服务的价值。CiscoASA5500系列自适合安全设备是一种模块化平台，能够为中小企业和企业应用提供新一代安全性和VPN服务。利用Cisc

44、oASA5500系列提供的全面服务，能够通过四个定制软件包产品版本满足不同位置的需求：防火墙版、VPN版、IPS版和Anti-X版。因为这些软件包能够为不同的情况提供最适当的服务，因而能实现卓越的保护。与此同时,所有这些服务都通过统一、标准化的CiscoASA5500系列平台实现，从而降低了管理、培训和备件成本。最后，因为每个版本都提供针对不同使用情况的预打包安全解决方案，因而能够简化设计和部署。2.2.2JuniperSSG140-SBJuniperNetworksSSG140安全业务网关是一个模块化平台，提供超过350Mbps的状态防火墙流量和100Mbps的IPSecVPN吞吐量。SSG

45、140配备8个固定的10/100接口和2个10/100/1000接口以及4个1/0扩展插槽，可支持Tl、El、ISDNBRIS/T以及串口连接。JuniperNetworks安全业务网关140(SSG140)预计将于2006年第四季度上市，它是一款专用安全设备，为中型分支办事处和中型企业的网络部署提供了集高性能、高安全性、路由和广泛的局域网/广域网连接方式于一体的完美组合。通过状态防火墙、IPSecVPN、IPS、防病毒(包括防间谍软件、防广告软件、防网页仿冒)、防垃圾邮件以及Web过滤等一套完整的统一威胁管理(UTM)安全特性，为进出于分支办事处的流量提供完善的保护，使分支办事处能够避免蠕虫

46、、间谍软件、特洛伊木马和恶意软件的侵袭。因为拥有这套丰富的UTM安全特性，SSG140能够作为独立的网络保护设备进行部署。此外，SSG140还配备了强劲的路由引擎，所以还能够作为传统的分支办事处路由器或者是作为安全与路由设备的组合进行部署，从而有助于降低IT前期设备购置成本和后期运营开销。SSG140可为客户提供以下特性和优势：可扩展的1/0架构以无与伦比的安全性提供局域网和广域网连接选项，以降低成本并扩展投资保护。由最佳的安全合作伙伴支持的UTM安全特性，确保保护网络免遭各种方式的攻网络分区等先进的安全特性允许管理员部署安全策略，以隔离访客、无线网络和地区服务器或数据库，防止未经授权的接入，

47、并阻断任何可能发生的攻击。专用特定的安全处理硬件和软件平台，能为高速局域网提供和低速广域网一样的保护性能。除了应用在企业、服务供应商和类似的独立商业用户外，SSG140还特别适合部署在那些需要高级安全和路由特性的中型分支办事处，用于保护关键业务流量在广域网和高速局域网中的传输。典型的部署环境包括中小型独立企业和分支办事处。安全性久经考验的状态防火墙、IPSecVPN与IPS、防病毒（包括防间谍软件、防广告软件、防网页仿冒）、防垃圾邮件以及Web过滤等最佳UTM安全特性相结合，能够同时保护局域网和广域网流量免遭蠕虫、间谍软件、特洛伊木马、恶意软件和其它新兴攻击的侵袭。通过局域网/广域网连接选项和

48、各种支持协议的结合，客户能够将SSG140作为基于局域网连接的传统防火墙，或者是作为路由与安全设备的组合进行部署，从而降低总拥有成本（TCO）o网络分段SSG140提供了一组先进的网络分段特性，如安全区、虚拟路由和虚拟局域网等，允许管理员将网络分割为不同层次的安全区域以部署不同的安全策略，从而为不同的用户群提供不同级别的安全特性。实现无缝的网络转型不论您是向当地办事处部署几个SSG,还是在全球实施数千个SSG,JuniperNetworks的专业服务部都可以为您提供帮助。从单一实验室测试到大型网络实施，我们都能够帮您确定目标，制定部署流程，创建或验证网络设计，并管理部署项目。我们能够与您的团队

49、协作，实现您的网络基础设施的转型，以确保其灵2.3交换机2.3.1Cisco3650CiscoCatalyst3560系列交换机是一个固定配置企业级IEEE802.3af和思科预标准以太网供电PoE交换机系列工作在快速以太网和千兆位以太网配置下，Catalyst3560是一款理想的接入层交换机适用于小型企业布线室或分支机构环境结合了10/100/1000和PoE配置实现最高生产率和投资保护并可部署新应用如IP,电话无线接入视频监视建筑物管理系统和远程视频访问亭客户可在整个网络范围中部署智能服务如高级QoS速率限制访问控制列表组播管理和高性能IP路由等且同时保持传统LAN交换的简洁性思科网络助理

50、(networkassistant),在Catalyst3560系列中免费提供是一个集中管理应用可简化思科交换机路由器和无线接入点的管理任务思科网络助理提供了配置向导大大简化了融合网络和智能网络服务的实施。CiscoCatalyst3560系列能够使用标准多层软件镜像SMI或者增强多层软件镜像EMISMI功能集包括先进的服务质量QoS速率限制访问控制列表ACL和基本的静态和路由信息。协议RIP路由功能EMI能够提供一组更加丰富的企业级功能包括先进的基于硬件的IP单。播和组播路由和基于策略的路由PBR在初始部署后Catalyst3560EMI升级工具包使用户可灵活地升级到EMI,思科高级IP服务

51、许可证可提供IPv6路由SFPGE端口可安装多种SFP收发器包括Cisco1000BASE-T1000BASE-SX1000BASE-LX1000BASE-zx和CWDMSFP收发器这些端口还支持CiscoCatalyst3560SFP互联电缆(Interconnectcable),以建立低成本点到点的千兆以太网连接千兆位以太网千兆位以太网以1000Mbps的速度提供带宽来满足不断发展的新网络需求消除瓶颈提升性能。并提高现有基础设施的投资回报当前的员工对网络提出了更高要求需在网络上运行多个并发应用例如一位员工通过IP,视频会议参加一次小组会议的通话向与会者发送10MB的电子表格对整个小组广播最

52、新营销视频以供小组评估并查询客户关系管理数据库来获得最新实时反馈，同时在后台启动一个多千兆位系统备份过程并向客户端提供最新防病毒文件。网络智能性当今的网络正在不断发展在网络边缘出现了四种新趋势桌面计算能力提高，带宽密集型应用岀现，高敏感数据在网络中扩展，出现了多种设备类型如IP电话无线LAN接入点和IP视频照相机。增强安全性凭借CiscoCatalyst3560系列提供的广泛安全特性企业可保护重要信息防止未授权人员接入网，络确保私密性及维持不间断运行。思科基于身份的网络服务IBNS提供了身份验证访问控制和安全策略管理特性来保护网络。连接和资源CiscoCatalyst3560系列中的思科IBN

53、S可防止未授权接入并确保用户只获得其指定，权利它能动态管理网络接入的具体层次使用802.lx标准和思科访问控制服务器ACSo无论用户在何处连接到网络中都可在验证基础上分配到一个VLAN或ACL此设置使IT部门能在不影响用户移动性的情况下以最低管理开销实施强大的安全策略。为防止拒绝服务攻击和其他攻击可用ACL根据源和目的地MAC地址IP地址或TCP/UDP端口，来拒绝数据包从而限制对网络敏感部分的访问ACL查询在硬件中完成故此在实施基于ACLo的安全性时不会影响转发性能端口安全性可根据与以太网端口相连设备的MAC地址来限制此端口上的访问它也可用于限制，插入一个交换机端口的总设备数目所以使交换机不

54、会受到MAC泛洪攻击并降低了恶意无线接入点或集中器接入的风险通过动态主机配置协议DHCP监听可只允许不信任用户端口的DHCP请求但不允许响应。进行传输从而阻止了DHCP电子欺骗此外DHCP接口跟踪器选项82添加了一个带交换，机端口ID的主机IP地址请求从而可实现对于IP地址的精确控制在DHCP监听功能的基础上可通过动态ARP检测和IP源防护阻止IP地址欺骗。可用性和可扩展性CiscoCatalyst3560系列配备了强大的特性集通过IP路由和旨在第二层网络中提供最高可用性的。全套生成树协议改进实现了网络可扩展性及更高可用性，CiscoCatalyst3560系列提供了基于硬件的高性能IP路由这

55、个基于思科快速转发的路由架构可提。高可扩展性和性能此架构能在确保稳定性和可扩展性足以达到未来要求的同时进行极高速度的查寻除支持动态IP单播路由外Catalyst3560系列还进行了完美配置适用于需组播支持的网络。硬件中的协议独立型组播PIM和互联网小组管理协议IGMP使Catalyst3560系列交换机成，为了密集组播环境的理想选择向核心提供路由上行链路可实现速度更快的故障转换保护并通过在汇聚交换机端接所有生成树实例，来简化生成树协议算法从而提高网络可用性如果一个上行链路发生故障通过最短路径优先0SPF或增强内部网关路由协议，EIGRP等可扩展路由协议可快速故障转换至冗余上行链路而无须依靠标准

56、生成树协议融合链路发生故障后使用路由协议对分组，重导向与使用第二层生成树增强特性的解决方案相比故障转换速度更快此外路由上行链路实行了等成本路由ECR来执行负载均衡可更好利用带宽路由上行链路可防止不必要的广播数据流入网络骨干优化了。布线室输出上行链路的利用率。Catalyst3560作为组播环境中的布线室交换机还节约了大量带宽使用路由上行链路连接到网络，核心就无需将同一组播的多个流从上游内容服务器传输到LAN接入交换机例如三个用户被，分配到三个独立VLAN他们都想浏览组播ABC假设布线室交换机没有路由上行链路就必须，从上游路由器向布线室交换机传输三个组播ABC流通过Catalyst3560交换机

57、向核心部署IP路由。将使用户能创建一个可扩展组播性能出色的网络思科高级IP服务许可提供IPv6路由和IPv6ACL支持包括对双IP堆叠同步IPv4和IPv6转发的支持IPv6协议支持包括RIP下一代RIPngo0SPFv3和静态路由对标准生成树协议的改进如每VLAN生成树增强PVST+UplinkFast和PortFast,可实现最长网络正常运行时间PVST+可在冗余链路上进行第二层负载共享以有效使用冗余设计中的额外容量UplinkFastPortFast和BackboneFast都大大缩减了标准的30到60秒生成树协议融合时间。环路保护和网桥协议数据单元BPDU保护避免了生成树协议环路的出现

58、高级QoSCiscoCatalyst3560提供了出色的多层细化QoS特性确保网络流量进行了分类和优先级划分。并以最好的方式避免了拥塞QoS的配置通过自动QoSAutoQoS大大得到了简化这是一个可发现IP电话并自动配置交换机以进行正确分类和输岀排序的特性这优化了流量优先级划分和网络可用性且不会带来复杂配置的问题。Catalyst3560可对进入的分组分类再分类监管标记排序和调度并能在出口处对分组排序和调度分组分类使网络元素可区分不同流量并根据第二层和第三层QoS实施策略。为实现QoSCatalyst3560系列交换机首先确认分组或流量组再使用差分服务DSCP字段或802.Ip服务级别CoS字

59、段对这些组分类和再分类分类和再分类可根据源或目的地IP地址源。或目的地MAC地址或者第4层TCP/UDP端口等标准进行在入口CiscoCatalyst3560也将进行，监管以确定分组是在预先定义的策略标记以改变分组标签传输或丢弃小组分组并根据类别，对分组排序所有端口上都支持控制层面和数据层面的ACL确保每个分组得到正确的处理，Catalyst3560每端口有4个输出队列使网络管理员能更好地进行划分为LAN上的各种应用分，配优先级在出口交换机执行排程和拥塞控制排程是一种确定队列处理顺序的算法或过程Catalyst3560系列交换机支持整形循环SRR和严格优先级排序SRR算法有助于确保个性化优。先

60、级划分这些QoS特性使网络管理员能将关键任务和带宽密集型流量划为较高优先级其中包括企业资源，规划ERPOracle等语音IP电话流量和计算机辅助设计CAD或计算机辅助制造CAM,等而将FTP或电子邮件等对时间不太敏感的应用划为较低优先级例如下载一个大文件到配线间交换机的某一端口而这会增加目的地，也为此交换机上另一端口的语音流量的延迟这种情况是。用户极为不愿看到的通过确保语音流量在网络中得到正确分类和优先级划分可避免此情况而，Web浏览等其他应用可作为较低优先级对待用进尽力而为”的基础上进行处理。管理新的思科快速设置特性CiscoExpressSetup简化了交换机的初始配置用户现可选择通过We