东风汽车公司两网合一技术方案书

东风汽车公司综合信息网与公司网两网合一技术方案书武汉和中信息科技有限责任公司WuhanOrizoneInformationTechnologyCo.,LtdTIME\@"EEEE年O月A日"二○○八年四月二十五日二○○五年六月二十四日目录TOC\o"1-3"\h\z1. 前言 52. 系统总体设计 72.1. 系统设计原则 72.2. 系统建设目的 82.3. 系统总体方案概述 93. 网络系统设计 113.1. 网络拓扑结构设计 113.2. 网络IP地址编址方案 133.3. 网络域名服务方案 143.4. 网络路由设计 153.5. 公司内部网络升级改造设计 163.6. 公司内部网Internet出口管理与控制 173.7. Internet网络加速系统设计 183.8. 网络设备选型 203.8.1. 公司内部网互换机 203.8.2. 防火墙 233.8.3. Internet网络加速器 233.8.4. 四层互换机 284. 服务器系统设计 384.1. 服务器系统设计原则和选型 384.2. 域名服务器系统 394.3. 邮件服务器系统 394.4. WWW服务器系统 404.5. PC服务器系统 415. 管理和信息服务应用系统 425.1. Rockmail电子邮件系统 425.1.1. Rockmail电子邮件系统结构 445.1.2. Rockmail电子邮件系统重要技术特点 465.1.3. Rockmail电子邮件系统功能 495.1.4. Rockmail电子邮件系统实行方式 525.1.5. Rockmail电子邮件系统性能指标 555.1.6. Rockmail电子邮件系统安全特性 565.1.7. Rockmail电子邮件系统需求和配置 575.2. Orizone虚拟主机系统 585.2.1. 对Web服务的管理 585.2.2. 对FTP服务的管理 595.2.3. 对数据库服务的管理 595.2.4. 对文献系统的管理 595.2.5. 虚拟主机的磁盘空间管理 605.2.6. 虚拟主机系统数据备份／恢复服务 615.3. 公司内部网络管理系统 616. 网络管理系统 636.1. 网管系统解决方案的特点 646.2. 网络管理功能实现 656.3. 网络配置管理 666.4. 网络记录分析 687. 网络安全设计 757.1. 现实网络在安全面存在的漏洞 757.1.1. 网络系统的安全漏洞 757.1.2. 操作系统的安全漏洞 767.1.3. 用户系统的安全漏洞 777.1.4. 应用系统的安全漏洞 777.1.5. 数据系统的安全漏洞 787.2. 网络安全设计目的 787.3. 网络安全解决方案 807.3.1. 网络系统的安全保障 807.3.2. 应用系统的安全保障 857.3.3. 客户系统的安全保障 867.3.4. 数据系统的安全保障 867.4. 网络安全小结 868. 工程实行方案 888.1. 项目管理 888.2. 工程施工安装规定及建议 898.3. 工程实行计划 908.4. 系统测试初步方案 908.4.1. 硬件测试 908.4.2. 网络测试 938.4.3. 软件测试 958.4.4. 整体测试 979. 售后服务和培训 989.1. 售后服务的承诺 989.2. 培训计划 9910. 系统报价 101

前言随着二十一世纪钟声的敲响，人类跨入了崭新的知识经济时代。回首上个世纪末，一股以Internet为代表的信息发展狂潮席卷了整个世界，而这一切仅仅只是个开始。人们预测，二十一世纪是信息的世纪，以Internet为代表的信息技术以摧枯拉朽之式改变着整个传统工业世界的各个方面，使许多行业面临着生存压力，承受着巨大变革的规定。而此同时，以资本经济为基础，以知识创新为动力，以Internet为舞台的新型产业模式正在迅猛的发展。十年之前很多叱咤风云的IT公司不是被兼并就是走向没落，而以Yahoo、AOL、Amazon等为代表的新型公司正带领着整个IT界的潮流，迅速改变着传统媒体、电信、电视和商务领域，发明着人类崭新的社会商业模式。东风汽车公司高瞻远瞩，紧跟国际潮流，早在1998年就完毕了东风公司综合信息网（东风热线、东风信息港、193网）的建设，并开始向面向社会和家庭提供Internet接入和相关信息服务，通过两年的建设和发展，东风公司综合信息网已有用户四千余户，并提供各种信息服务如：虚拟网络出租、网上教育、网上证券等。东风汽车公司公司网构建的互联覆盖全公司大部分专业厂、子公司和职能部处二级局域网的大型公司网络基础设施，并以此为基础，构建公司公司内部网，提供方便、快捷、灵活的基本系统服务。东风汽车公司综合信息网和公司网两网合一工程重要是涉及原有综合信息网的扩容和公司公司网的升级改造；两网互连；国际互联网出口的统一以及出口带宽的扩充等。两网互联后，不仅能充足运用国际互联网的出口，并且能做到统一管理、统一分派带宽、综合运用信息服务等等，并为将来进一步实现东风汽车公司各基地的互连、开展IP电话、视频服务的新的应用打下坚实的基础。武汉和中信息科技有限公司非常荣幸有机会参与东风汽车公司综合信息网和公司网两网合一工程建设，以及在此平台上进行网络及多媒体等一系列网络应用系统的建设的技术交流与方案讨论。武汉和中信息科技有限公司十分重视和爱惜这个机会。我公司认真研究了东风汽车公司网络建设现状和需求，根据我们对此项工程所要实现的目的、技术规定的理解，并结合我们在以往建设众多大型Internet信息网工程中的实践经验，和中公司提出了涉及软硬件在内的一整套解决方案。根据和中公司提出的解决方案，将能实现东风汽车公司提出的建设目的。我们希望在东风汽车公司综合信息网和公司网两网合一工程中进行技术合作的过程中以及项目结束后，能为东风汽车公司建立一个成熟完善的网络应用环境，建立并维护网络商业环境，建立并运营复杂的信息及网点管理机制。尽管我们力求设计全面、细致，但由于时间极其仓促，设计方案难免存在一些缺陷，望批评、指正，使之更加完善、切实可行。对东风汽车公司的协助和支持，和中公司深表感谢！

系统总体设计系统设计原则东风汽车公司综合信息网和公司公司网两网合一工程是一个关系到东风汽车公司发展的关键工程，系统建设的成败，直接影响193网此后业务的发展和公司公司内部网的使用效率。基于以上的结识，我们在设计时将重要考虑以下设计原则：实用性：一个系统的建设是一项工程的实行，它的最基本的目的是建立一个合用实际环境的，能满足用户功能需求的实用系统。先进性：实现东风汽车公司综合信息网和公司公司网两网合一工程的方案和产品很多，我们在坚持实用性的前提下，充足采用先进的网络技术、方案、产品。开放性：在方案设计选型中，充足考虑目前或将来的网络发展和需求，采用标准的开放协议来构架整个系统。安全性：和中公司在设计方案中十分重视网络安全性。整个网络设计方案有序有层次，在硬、软件上均有相应的管理和保护措施。可扩展性（灵活性）：所选择的网络产品和方案能适应东风汽车公司网络信息系统的不断扩大的规定，能升级、过渡、保护用户投资。适应新技术不断发展的规定，使现实方案能不断引入新技术，能方便地向新产品过渡，使系统具有很强的生命力，能不断地平滑升级，不被淘汰。兼容性（与现有网络共享）：在本设计中充足考虑保护原已建立的其他网络系统与本系统的技术和产品兼容性，同时也充足考虑与其它计算机产品，网络产品和兼容性。价格/性能比高：在本网络设计的产品选型、规模考虑方面，充足考虑公司3-5年运营总成本，与东风汽车公司共同进行研讨，以价格/性能比为论证核心之一，以满足东风汽车公司网络性能、质量、服务需求为原则，比较多种网络、服务器品牌品种，选择性价比具有较强竞争力的CISCO、SUN、IBM等为核心设备。可维护性：系统的可维护性对系统的生命力及实用性能是至观重要的，系统应提供和谐的应用维护界面、模块化设计、采用标准的高级语言编程、齐全的技术文档以及灵活的功能模块重组等，使系统具有良好的可维护性。易管理性：在本设计网络中所采用的产品具有很强的可管理功能。网管软件遵循SNMP协议，管理方便；配置灵活；结构开放、安全。在网络服务管理中，以目录服务LDAP为核心，构造统一的多服务网络管理平台。系统建设目的东风汽车公司综合信息网与公司网两网合一工程包含两个部分，一是公司网的升级和改造，二是综合信息网和公司网的两网合一。工程结束后，将把东风汽车公司现有网络建设成一个统一管理、分层控制、高性能，易扩充，可靠安全、具有完备的用户服务系统的Internet服务平台和公司网服务平台。网络建成后，将达成：两网之间互连互通，层次清楚，可以进行统一管理，统一控制。建立强有力的公司内部网络管理平台原有公司网改导致千兆网。建立新的系统应用软硬件平台。东风汽车公司综合信息网与公司网两网合一工程的建设标志着东风汽车公司信息化进程的全面启动，整体步入新世纪信息化浪潮。一方面对Internet接入网部分进行改造，可提高综合信息网的网络效率，提高193网客户的服务质量，吸引更多的客户；另一方面公司网与综合信息网的两网合一，将更进一步推动公司内部信息化的进程，有望全面提高公司生产管理效率，增强公司竞争力。随着公司网更快速的接入Internet，将进一步提高东风汽车公司员工的网络信息观念，并会培养一批网络设计、建设、维护、管理的人才，势必将在公司内逐步推行信息化工作的过程中起到重要作用。两网合一工程的建设成功，不管从网络基础设施、技术准备、信息管理经验，还是从人才储备上，都为下一步东风汽车公司信息网络的建设奠定了良好的基础。系统总体方案概述作为一个完整的信息网络系统，要提供各项服务功能，必须要有一个完整的网络结构和相应的软硬件基础。根据用户需求和我们长期的Internet集成和管理经验，考虑到两网合一后网络的安全性、完整性和易用性，我们的总体设计方案从三个方面提出建议：网络层解决方案完善可靠的网络底层构架是发展信息服务的坚实基础。为了适应众多的网络接入模式，满足日益增长的网络信息交流的发展，需要对系统的网络构架规划、网络设备选型以及此后的网络发展做出对的的选择，并准确的实行。和中公司在具体分析了东风汽车公司目前的网络状况和此后的网络发展需求后，提出了符合东风汽车公司需求和发展的网络解决方案。东风公司综合信息网与公司内部网两网合一后，构成了东风公司计算机网络的核心，为公司内部和公众在一个相对统一的平台上提供各类丰富的网络服务。这两个网络针对不同的网络用户和应用，即相对独立又互相依存，构成一个有机的网络整体。东风公司综合信息网重要服务公司内拨号用户，提供各种丰富的Internet应用；公司内部网重要为公司内部生产、办公提供高速、可靠的Intranet网络服务。因此，我们在设计网络时采用层次化的网络结构，合并后的网络由三大重要部分组成：1、原有193综合信息网络；2、改造后的公司内部高速网络；3、统一对外的Internet出口。为提高网络的整体效率，我们在统一对外的Internet出口增长了Internet网络加速器、四层互换机等设备，并通过路由策略的制定保证全网的相对独立和互相依存。信息服务系统解决方案作为一个完整的网络信息系统，不仅要提供强大的网络服务平台，还需要提供丰富的信息服务系统，为用户提供丰富的应用和系统服务。重要考虑最基本的Internet服务有：DNS（域名服务系统）、EMAIL（电子信箱）、FTP（文献传输）、WWW（万维网）等。此外尚有多媒体视频/音频服务、新闻服务等多种类型。和中公司将为用户提供完整的信息服务解决方案，涉及具体的域名服务设计、大容量的电子邮件系统、强大的WWW虚拟主机服务系统和公司综合管理平台等等。我们建议用户选用强大的UNIX系统作为信息服务的基础平台。UNIX系统是Internet的一方面服务平台，Internet的发展也与UNIX结下了不解之缘。许多目前的网络系统服务都是在UNIX平台上发展出来的，如DNS服务系统Bind、WWW服务器Apache、FTP服务器Wu-ftpd等。系统管理与安全解决方案随着ISP用户的快速增长，网络建设的不断发展，网络的拓扑不断变化，系统所涉及的硬件设备和应用也不断增多，这对我们信息网络系统的运营提出了更高的规定。因此需要对网络系统和应用系统进行实时的监控和管理，并能根据记录信息及早发现网络故障和瓶颈，增强系统的可靠性和实用性，为用户提供更好的网络服务。我们建议采用标准的SNMP网络管理协议对全网设备进行统一的管理。我们推荐使用CISCO公司最新的CiscoWorks2023网络管理系统，实现对全网网络和服务器设备的基本管理，建议使用基于UNIX的大型网络管理平台HPOpenview等。针对网络安全管理，我们认为要从网络层、操作系统层、应用系统层等多方位全面考虑，采用合理的管理机制和技术手段相结合来保证。和中公司在网络管理和安全上有非常丰富的实践和理论经验，能为用户提供完整的安全服务和征询，为用户构件一个完善的网络环境。

网络系统设计Internet/Intranet网络系统是基于标准的TCP/IP协议发展出来的通用网络，具有良好的开放性和极好的伸缩性。在设计一个Internet/Intranet网络系统时，要遵循以下原则：一个基于开放系统结构的标准应用与网络结构无关适应未来发展趋势性能价格比高增长的灵活性可靠与安全的网络易于安装、维护、管理和运营支持基于以上原则，我们在设计东风公司两网合一方案时，考虑到网络的应用和发展，从网络拓扑结构、网络地址编址方案、网络域名服务方案、网络路由设计、公司内部网升级改造、公司内部网Internet出口管理与控制、Internet网络加速系统设计、公司网网络设备选型等各个方面进行具体的设计和选型，为用户提供最优的网络设计方案。网络拓扑结构设计东风公司综合信息网与公司内部网两网合一后，构成了东风公司计算机网络的核心，为公司内部和公众在一个相对统一的平台上提供各类丰富的网络服务。这两个网络针对不同的网络用户和应用，即相对独立又互相依存，构成一个有机的网络整体。东风公司综合信息网重要服务公司内拨号用户，提供各种丰富的Internet应用；公司内部网重要为公司内部生产、办公提供高速、可靠的Intranet网络服务。在设计东风公司两网合一方案时，我们针对现有网络现状以及发展需求，在充足考虑到网络互连、网络安全、网络控制和管理以及网络效率等综合因素后，提出我公司的具体网络拓扑结构设计方案。具体的网络拓扑设计如下：根据以上两网合一网络拓扑结构图所示，合并后的网络由三大重要部分组成：1、原有193综合信息网络；2、改造后的公司内部高速网络；3、统一对外的Internet出口。原有193综合信息网络合并后的193综合信息网与原有单独的193信息网络相比，变化不大，基本上保存在防火墙之后的网络配置格局，193内部网基本上以BayAccelar1250互换机为核心，分为用户接入子网、计费和管理子网、信息服务子网三个重要核心网络部分，网络和主机设备配置基本不变。改造后的公司高速内部网公司内部原有公司网络是以FDDI为核心的环网结构，配置相应的拨号端口提供拨号接入工作模式。系统改造后，整个公司内部网以全光纤互连为基础，以千兆、百兆网为骨干，以千兆三层互换机为核心，通过强大的支持VLAN功能和三层互换构造整个公司内部网络。公司网通过防火墙与现有193综合信息网和Internet出口互联，并针对公司网特点控制网络的安全性。统一Internet出口两网统一后，整个网络共用一个高速的Internet出口，用于与Internet互联互通。为了保证与Internet网络互联效率，提高网络安全性，我们提供了最新的四层互换机+Internet高速缓存系统（TransparentCacheServer）技术，提供最佳的网络运用效率和网络安全性保证。此外，根据两网不同的特点，合理分派网络带宽和资源。网络IP地址编址方案东风公司现有两个网络系统分别使用各自ISP所分派的外部合法IP地址，内部使用Internet标准的保存地址。两网合一后，外部网络地址共用ISP所分派的合法IP地址，内部网络建议使用同一套保存地址，便于两网互通互联。公司内部网络此后需要将各个专业单位互联，因此需要根据各个专业网络功能和规模的不同选择具体合理的地址分派方式。基本的地址分派原则如下：支持最新标准的TCP/IP协议结构，支持可变长子网掩码技术（VLSM）每个不同功能网段划分不同的IP地址段每段IP地址考虑到此后两年内的发展和变更，进行适当的地址预留根据拨号服务器端口数量分派合适的IP拨号地址池对于专线用户IP地址分派进行具体调查和分派，避免地址资源浪费此外，在申请接入Internet时，应尽也许根据需要规定上级ISP多分派给合法的IP地址资源。具体的分派方案我们会在工程施工前根据用户获得的合法IP地址情况进行具体的设计。网络域名服务方案域名管理系统(DNS)是一个分布式的系统，其管理控制也是分布式，各地名字服务器只负责管理本地区下属的各主机和子域，并由高一级的名字服务器监督管理。为保证域名系统正常和可靠运营，一般一个域中需设立两个以上的域名服务器，互为主备工作方式。用户可申请COM、NET下的二级域名，也可申请COM.CN或NET.CN下的三级域名。申请域名时需要上报用户主备域名服务器的IP地址，因此需先得到合法的IP地址段再申请。在设计域名服务时，重要的设计方案如下：各相关服务器分派相应的约定域名，便于用户访问。如Web服务器分派.com域名，DNS服务器分派，FTP服务器分派，Email服务器分派等。网络设备根据其不同的端口设计不同的域名，如第1台路由器的第2个串口可分派为：。配置DNS服务器严禁用ls等全域域名显示方式。配置主备DNS服务器数据复制的验证功能，严禁未授权的服务器作为主域服务器的配份以获取相关信息。配置全域的MX邮件互换记录指向邮件服务器，并适当配置好邮件服务器设立，使全域邮件具有的通用邮件名。现在综合信息网和公司网都分别申请了各自的独立域名服务，并对外发布已久。两网合并后，建议还是采用两套域名服务模式，为各自网络提供服务，或申请新的独立域名提供统一域名服务。建议两网的外部域名服务器共用同一的硬件平台，内部各自配置自己的独立域名服务器，并可设立为互为主备工作模式。网络路由设计网络的路由设计是保证网络正常、完整运营的核心。一个良好设计的网络路由可以提高网络效率，增强网络的冗余度，而设计不善的网络路由往往会带来效率、备份、安全问题，以及使用的不正常。和中公司具有在大型Internet上实行和维护网络的经验，通晓RIP、RIP2、IGRP、EIGRP、OSPF、IS-IS以及BGP4等多种现代网络路由技术，能根据用户网络情况选择最优的网络路由算法和协议，提高用户网络安全性和使用效率。我们建议在外部网段即与上级Internet互联网段采用静态网络路由，在公司内部网段由选择的使用OSPF动态路由协议。需要注意的是：在实行专线网络互连时，尽量不要使用复杂的动态路由协议而使用静态路由协议，以提高路由的安全性，同样规则也合用于拨号接入网段上。OSPF(OpenShortestPathFirst)全称为开放最短途径优选，建立在SPF算法基础上，是一种基于链路状态的路由选择协议，是目前最流行、最有效的路由协议。OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于一个通过统一的路由政策或路由协议互相互换路由信息的网络内。所有的OSPF路由器都维护一个相同的描述这个网络拓扑结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。和传统的距离向量路由选择协议相比，对于大型、复杂的网络，OSPF具有极大的优越性：OSPF不受跳数（hop）的的限制，比较应用于大型网络中。OSPF支持可变长子网掩码（VLSM），可以充足运用有限的IP地址资源。OSPF路由协议路由收敛速度比较快，当网络比较稳定期，网络中的路由更新信息是比较少的，并且其广播也不是周期性的，不久达成全网路由器OSPF链路数据库的一致性。只有当路由连接产生变化时才传送路由更新信息，而不是定期广播整个路由表，从而减少了对带宽的损耗。在距离向量路由选择协议中，网络是一个平面的概念，并无区域及边界等的定义。而在OSPF路由协议中，一个网络，或者说是一个路由域可以划分为很多个区域（area），每一个区域通过OSPF边界路由器相连，区域间可以通过路由总结（Summary）来减少路由信息，减小路由表，提高路由器的运算速度。OSPF路由协议支持路由验证，只有互相通过路由验证的路由器之间才干互换路由信息。并且OSPF可以对不同的区域定义不同的验证方式，提高网络的安全性。OSPF路由协议对负载分担的支持性能较好。OSPF路由协议支持多条Cost相同的链路上的负载分担。鉴于OSPF的这些特性，特别是对线路带宽的占用以及对负载分担具有很好的支持性能，都有助于实现整个网络系统的正常通讯。基于以上网络路由设计思绪，我们在设计东风公司新的公司内部网时，采用电信级的设计标准，保证网络的可靠性、安全性，为东风公司公司内部网提供最优的网络解决方案。东风公司公司内部网络OSPF路由设计图根据上图所示，我公司建议在公司网内部构造层次化的网络路由逻辑结构，以OSPF路由协议设计为基础。其中以电信处、张湾、红卫、花果、茅箭构成OSPF域骨干网Areo0，这五个点之间通过物理线路构成不完全网状网（NotFULLMesh）；电信处、经理办公大楼、总厂办公大楼构成OSPF的Areo1，这三个点构成全连接结构（FULLMESH）；张湾、红卫、花果、茅箭各自内部网络构成OSPFAreo2、3、4、5；各专业厂、子公司就近互联到这五个核心的骨干点。公司内部网络升级改造设计东风公司公司内部网主干是在1994年建成的FDDI主干网络，随着网络的逐渐发展和技术的更新，目前FDDI网络已经面临逐渐被淘汰的局面，取而代之的是以千兆网、ATM为基础，以三层互换为核心的高速新一代公司主干网络。在本次两网合一工程中，考虑到目前的网络需求和此后网络的发展，我们建议以千兆网为基础构建公司内部主干网络，采用最新的核心三层互换机、工作组三层互换机设备，以VLAN和OSPF路由技术为核心，构件新的公司内部主干网络。在本次工程设计中，我们建议电信处核心互换机选用CISCO公司最新的公司主干网络互换机Catalyst6509，配置千兆板、三层路由互换板和10/100兆以太网板；在总厂办公大楼和经理办公大楼配置CISCO公司最新的工作组三层互换机Catalyst2948G-L3，配置48口以太网口和2口千兆网口。这三个点之间采用单模光纤以千兆带宽互联。公司原有的FDDI骨干网保存，并各自与新的主干节点互联，作为核心网络的备份。通过在Catalyst6509上增配相应的千兆、百兆网板，提供张湾、红卫、花果和茅箭等地的专业厂和子公司通过将要建成的光传输网络互联。公司内部网Internet出口管理与控制东风公司公司内部网目前通过一条128K的DDN专线连接到163上，内部用户通过软件代理服务器访问外部网络，这种工作模式比较合用于小型公司网络的Internet应用。针对东风公司这种大型公司网，必须采用防火墙、Internet高速缓存系统的配合来达成严格的安全控制和性能优化。我们推荐在公司网与Internet出口之间采用高性能的硬件防火墙产品，用于保护内部网络安全，并对内部网络用户进行管理和控制。防火墙产品建议采用CISCO公司的高性能硬件防火墙产品PIXFirewall520，配置3块以太网卡，分别与公司内部网、Internet以及193网互联，互相设立严格的安全控制和管理策略。通过采用CISCOPIXFirewall产品，可以严格的控制内外网络的安全策略，保护内部网络的安全使用。为了为网络管理提供更准确的网络管理手段，和中公司针对CISCOPIX等防火墙产品专门开发了一套完善的Intranet网络管理系统，通过配合使用这套软件，可以对公司内部网用户的上网进行严格的管理和控制。武汉和中公司针对Intranet网络管理需求，提出了一套完善的开放平台解决方案。OrizoneIntranetManagementPlatform以LDAP和数据库为核心，包含RADIUS、TACAS、SNMP各种通用网络验证、管理协议，统一支持对Firewall、CacheServer、ProxyServer、WWW、Email、Billing等各种网络软硬件服务。通过使用OrizoneIntranetManagementPaltform，可以在同一管理平台下支持唯一用户的验证、授权和管理，可以方便的扩展对网内新增各种网络设备和网络应用的统一管理。Internet网络加速系统设计现有Internet网络发展神速，各种新的技术和产品层出不穷。为了解决初期单纯的网络Proxy系统的局限性，现在市场上已有了多种广泛使用的Cache加速器。新的Cache加速器重要用于ISP骨干网和公司级的Internet出口上，可跟四层互换机或策略路由器一起配合使用，用于透明方式的Cache服务，即用户访问WWW时并不需要任何客户端设立，但当用户上网访问时，由网络决定自动通过Cache服务器访问外部网络的内容，这种工作方式非常方便灵活，配置和管理也不影响现有网络的正常运营，现有的ISP都采用这种方便的工作模式；此外一种工作模式是取代现有的Proxy服务器，已经设立的用户参数不需要任何改动，并能有效的提供对多媒体内容的访问。采用Cache服务器与现有基于Proxy的代理服务器相比，有如下优点：解决效率大大提高新型的Cache服务器一般都采用高速的硬件产品，运用硬件的解决能力来极大的提高网络解决效率，而普通的软件代理服务器必须大量的消耗操作系统、CPU、内存的资源，并且要频繁读写硬盘上的信息，导致解决效率大大减少；能同时服务的用户数大大增多根据权威评测结果表白，一般基于软件的代理服务器假如硬件配置较为高档，可以最多承受100-150个并发用户请求，而一般的硬件Cache服务器可以轻松的承受上千的并发用户请求，可以提供更好的用户服务能提供更快的用户响应时间一般的proxy服务器采用被动的用户请求方式来更新缓存信息，这样反而增长了一个多余的中间环节，导致网络响应时间不佳；而专用的Cache服务器采用各种动态更新，并发下载的新技术保证了最短的网络响应时间，一般来说，可以提高5倍的网络响应时间；能提供灵活的组网方式采用cache服务器即可用于透明方式工作，也可用于常规的Proxy工作模式下；而传统的Proxy服务器只能应用于传统的proxy工作模式下；能采用群集方式平滑升级采用Cache服务器来提供网络缓存服务时，当一台服务器的解决能力不能满足规定期，可以和四层互换机配合，采用多台cache服务器来并发解决网络请求，不会由于单台服务器的瓶颈导致网络效率减少，可使系统平滑升级；能更好的提供众多的多媒体服务新型的Cache服务器提供了对Realplay、microsoftmediaplay、Quicktime等多种方式的加速应用，并提供了socket代理方式为IPPhone等服务提供了使用通道；能提供完善的用户管理和控制方式新型的Cache服务器可以提供非常全面的控制和管理功能，能有效的过滤网络地址，控制用户访问列表，并能与Radius和LDAP服务相结合，控制用户的使用；而普通的proxy服务器不能提供以上全面的用户管理功能。本期工程实行方案简介：如3.1节网络拓扑结构图所示，Internet网络加速系统是由四层互换机和Internet高速缓存系统共同组成的。其中四层互换机选用的是2台Foundry公司的8端口ServerIron8四层互换机，Internet高速缓存系统选用的是1台Cacheflow公司的525i。CacheFlow525iCacheServer配置有三个10/100兆以太网口，分别与两台ServerIron互换机互连，默认网关设立为外部网络的互连路由器。193综合信息网和公司内部网络的访问Internet信息流量通过防火墙后到达各自外部的FoundryServerIron互换机上，ServerIron四层互换机快速分析网络信息流量，将HTTP服务请求信息转发到Cacheflow525i上，通过Cacheflow525i获取最新的WWW和多媒体流信息透明回传给用户。假如Cacheflow服务器因意外服务终止，ServerIron能自动检查CacheServer的健康状况，将信息请求直接发送到最终目的地址。为了更好的控制公司内部用户上网使用的总带宽，本次工程中建议公司内部网通过一台路由器的串口反接到外部出口路由器，通过设立串口路由器速率来限制公司内部网络的上网使用带宽。网络设备选型公司内部网互换机核心互换机公司内部网核心互换机选用CiscoCatalyst6509，是Catalyst6000系列产品之一。Catalyst6000系列为园区网络提供一个高性能、多层互换解决方案。其设计宗旨是满足集中式主干/分布式主干和服务器群应用及对千兆位密度、数据和语音集成、可缩放性、高可用性和多层互换不断增长的需求。假如与Cisco此同时IOS相结合，Catalyst6000系列可以提供支持高容量千兆位互换和多层智能所需的基础结构，进而有效地管理网络流量。Cisco6000系列关键特性可缩放的快速以太网和千兆位以太网主干密度、高性能多层互换及主干中的政策执行最多支持384个10/100以太网、192个100FX快速以太网和130个千兆位以太网端口—业界最佳水平多层互换，在Catalyst6000系列上可以扩展到15Mpps，在Catalyst6500系列互换机上可以扩展到150Mpps卓越的可缩放性和性价比通过协议不相关的多点传送(PIM)、Internet群组管理协议(CGMP)和CGMP多点传送注册协议(GMRP)提供有效的内部网多媒体和多点传送支持支持关键任务应用的广泛质量服务(QoS)特性技术规定特性Catalyst6006Catalyst6009Catalyst6506Catalyst6509模块化插槽6969可用模块8端口千兆位以太网24端口100FX以太网48端口10/100以太网（RJ-45）48端口10/100以太网（RJ—21或TELCO）多层互换机模块与Catalyst6006相同与Catalyst6006相同与Catalyst6006相同底板3Gbps3Gbps可扩充至256Gbps可扩充至256Gbps可缩放否否否否多层次性能可扩充至15Mpps可扩充至15Mpps可扩充至150Mpps可扩充至150MppsVLAN最大数1000100010001000FEC/GEC最多8个不相连的端口；支持多模块通道与Catalyst6006相同与Catalyst6006相同与Catalyst6006相同管理功能CiscoWorks2023,RMON、EnhancedSwitchedPortAnanlyzer(ESPAN)、SNMP、Telnet、BOOTP和(TFTP)与Catalyst6006相同与Catalyst6006相同与Catalyst6006相同规格（长×宽×高）20.1×17.2×18.1in25.2×17.2×18.1in20.1×17.2×18.1in25.2×17.2×18.1in服务类别16161616产品编号和定购信息Catalyst6000系列机箱WS—C6509—S1Catalyst6509机箱，交流电源+WS—X6K—SUP1—2GEWS—C6009—S1Catalyst6009机箱，交流电源+WS—X6K—SUP1—2GEWS—C6006—S1Catalyst6006机箱，WS—X6K—SUP1—2GE+交流电源WS—C6506—S1Catalyst6506机箱，WS—X6K—SUP1—2GE+交流电源Catalyst6000系列SupervisorEnginesWS—X6K—SUP1—2GE=Catalyst6000,SupEng1,2GE9（需要GBIC）Catalyst6000系列模块WS—X6408—GBIC=Catalyst6000,8端口千兆位以太网模块（需要GBIC）WS—X6302—MSM=Catalyst6000,多层互换机模块WS—X6248—RJ-45=Catalyst6000,48端口10/100bTX（RJ—45）模块WS—X6244—100FX—MT=Catalyst6000,24端口100bFX（多模式，MT—RJ）WS—X6248—TEL=Catalyst6000,48端口Telco模块Catalyst6000系列附件WS—CDC—1300W=Catalyst6000,1300W直流电源WS—CAC—1300W=Catalyst6000,1300W交流电源WS—VAV—1000WCatalyst6000,1000W交流电源WS—CAC—1000W/2Catalyst6000,1000W辅助交流电源WS—C6X09—RACK=Catalyst6000机架安装工具集和电缆组织器WS—C6K—6SLOT—FAN=Catalyst6000风扇托盘，适合6插槽系统WS—C6X06—RACK=Catalyst6X06机架安装工具集和电缆组织器WS—X6K—SLOT—CVR=Catalyst6000空线路卡插槽封盖Catalyst6000系列软件WS—C6X06—EMS—LIC=Catalyst6X09RMON代理许可WS—C6X06—EMS—LIC=Catalyst6X06RMON代理许可FRC—MSM—IPX=Catalyst6000IPX特性集许可Catalyst6000系列内存选项MEM—C6X—FLC16M=Catalyst6000SupervisorPCMCIA16MB闪存卡MEM—C6K—FLC24M=Catalyst6000SupPCMCIA闪存卡，24MB备用Catalyst6000系列基本维护CON—SNT—PKG16Catalyst6000SMARTnet维护接入互换机接入互换机建议采用10/100/1000BaseT自适应的高性能局域网互换机，可方便划分VLAN，且考虑以后升级和扩充的需要。本期工程建议配置CISCO最新出产的Catalyst2948G-L3三层互换机，是目前最新型的基于第三层互换的成熟产品，且器价格性能比目前最高。Catalyst2948G-L3三层互换机具有高达22G的互换吞吐量，第三层IP/IPX路由/互换转发率为11,000,000PPS，时延低于10微秒。通过支持增强的CISCOIOSIP软件选件，Catalyst2948G-L3支持RIP、RIP2、OSPF、IGMP、DVMRP等路由协议，可支持任意组合VLAN的划分。Catalyst2948G-L3提供48口10/100M自适应以太网口，支持（FEC、802.1Q、ISL）等增强VLANTrunk协议，并由两个千兆上联端口。本次工程中总厂办公大楼和经理大楼都使用Catalyst2948G-L3互换机。本期工程中建议配置Catalyst2948G-L3，10/100BaseT端口总数达成48个。此外还配置增强的IP软件支持OSPF等增强路由协议。防火墙防火墙选用CiscoPIXFirewall，具体介绍见“第七章网络安全设计”中“CiscoPIXFirewall产品介绍”。Internet网络加速器Internet高速缓存系统选用CacheFlow525i。CacheFlow摘要在互联网的飞速发展的今天，WorldWideWeb已成为网上生活的基本工具，越来越多的人开始使用它，不仅仅用于浏览网上的信息，还成为发布信息，商务活动的媒介，许多人开始称之为第六媒体，更多的人意识到上网的重要性。而网上的商务活动的实现，更是依赖于网络的独特的优越性，大量的重要的数据可在分秒内送达，而不需要几小时或是几天的时间。但是颇具讽刺意味的恰恰是由于WWW的流行，现在的人们普遍的抱怨网络浏览速度太慢。为了解决这个问题，人们采用了各种方法，像更快的解决速度，更宽的网络带宽，都不能收到更好的效果。由于，其主线因素就在于它是WorldWideWait.事实上，网络浏览的延迟取决于许多因素。当然，这许多问题最终都能得到解决。但是有一个决定因数——光速，是我们不也许改变的。当我们访问一个远端的WEB服务器时，我们的等待时间是由光再光纤中传输的速度决定的。另一个变通的方法就是将用户要访问的数据放在用户尽也许近的服务器上。而实现这种方法的技术就是互联网加速技术。初期缓冲技术的设计是用来节省网络带宽以减少网络的拥塞，但它们是被动的，缓冲区不也许自动的跟踪网页的变化；此外一个是它们也可以提供最新的网页，但这就规定用户访问时再去查询真正的服务器上的内容，这时，用户非但享受不到互联网加速技术带来的速度上的提高，相反的由于访问时多了一个环节，还会导致访问速度的减慢。鉴于以上的问题，CacheFlow公司开发了CacheOS操作系统，运营在CacheFlow系列产品上，采用了独创的自适应的互联网加速技术，提供业界最领先，服务质量最佳的解决方案。CacheFlow技术简介与其他的同类产品不同，CacheFlow的产品并非基于现有的互联网加速技术代码及现有的计算机系统，而是采用了独特的基于网络的硬件设计和为自适应互联网加速技术而独创的软件设计，提供了高稳定性，高质量的软/硬件组合。CacheFlow的产品无论安装在网络的哪个部分，对于WWW 的应用程序来说都是透明的。作为一个Proxy来用时，它又与允许使用者规定哪些内容需要互加速哪些则不需要。它甚至还可以自动检测到网页上的广告条的源服务器。1、CacheOS操作系统简介CacheOS应用于CacheFlow网络加速系列产品中的独创性操作系统，已经被业界证明是唯一可以提供应用户高速和实时的解决方案。*高速：CacheFlow的产品被公认其提供的Web访问远远快于同类的竞争产品。*实时：CacheFlow可以在实现互联网加速的同时保持网页的不同对象的更新，从而保证用户访问的永远都是最新的内容。为了实现高速和实时的访问，CacheFlow在其CacheOS操作系统中融合了以下技术特色：2、并发的数据下载：第一时间快速地获取内容。基于WEB的访问是通过 HTTP协议——一种交互式的TCP/IP协议来实现的，一方面让我们来看看它的交互过程。如图，HTTP的请求发出之前，所要访问的服务器的IP地址必须到域名服务器（DNS处作域名解析，然后才逐个发出请求下载组成主页的各个对象。HTTP的迟滞反映时间也正是这样来定义的，既一个请求在应答之前所经历的延时。每个HTTP请求都要创建一个新的TCP连接，产生一个来回的延迟，当服务器收到并解决这个请求后，用户将在经历第二个来回的延迟后收到所要的数据。假如这个数据又指明在WEB页中包含此外的对象（如JPEG/GIF 图象、JAVA小程序），客户端的浏览器又会新建一个TCP连接，继续请求这些包含在主页中的对象。假如平均每个来回的延迟为RTD，每个主页包含若干对象，请求每个对象所带来的延迟是2*RTD,即一个RTD用来完毕TCP对话，另一个RTD完毕HTTP请求。因此，假如一个主页中包具有N个对象的话，总的延迟将为2（N+1）*RTD。减少这种延迟的方法之一就是像浏览器软件所作的同时开几个TCP连接以减少反复的来回，但作在用户端又会导致网络的数据流量大量增长以及服务器的解决瓶颈。此外一个因素就是每个来回的延迟，影响它的几个因素有：*服务器解决速度导致的延迟，这是绝对作用的因素，即使是一个负载很轻的服务器也也许因需要多次访问存储系统而导致延迟。*在访问所通过的途径上，路由器，网关或防火墙等网络设备导致的延迟。由于大多数网络设备的工作原理是基于存储转发的，它们在给每一个数据包排队时也会占用额外的解决时间。传输速度导致的延迟。实践证明，即使在一条T3的脸路上，每个主页的不同对象的传输速率都超但是64k，所以这部分的影响是极小的。那么，作为新一代的网络加速系统，CacheFlow是如何减少网络访问中的延迟的呢？如图所示、在网络中了CacheFlow后，用户的请求由CacheFlow接管，由CacheFlow运用多种针对与减少网络延迟的方法来增长用户访问的速度。这些技术之一就是并行下载，只要远端的服务器可以接受，这种独创的技术可以并发的启动多个TCP连接，并发的下在主页中的对象。这些对象又可已经尽快的下载到用户的客户端软件上。运用这种方法，用户初次访问网页时的速度也可以如图达成本来的两倍以上。CacheOS在提供自适应更新的同时还提供了自动监测和报告内容更新的工具，如图：通过世纪的系统运营状况检测，网络管理员可以保证用户得到的都是最新的主页。3、域名解析的本地缓存：更快的响应时间CacheOS象维护网页内容的更新同样维护一个接西德缓冲区由于域名解析经常带来数秒的延迟时间，维护一个本地的域名冲去可以大大提高网络访问的速度。4、优化的存储系统：缩短存取时间网页数据在环从区内的存储方式也大大影响着缓冲的性能和可扩展性。它将决定：当用户请求缓冲区的数据时所能得到的响应时间新的数据由访问到存储在缓冲区内所需的时间每块存储硬盘对用户请求的响应速度CacheOS系统的存储系统不是我们所熟知的文献系统，它是基于对象来存储的。对象的访问时通过系统RAM中的专用表格来完毕，它可以保证每个对象的访问都可以在一次存取中完毕。采用文献系统在满载时会明显的导致性能上的减少，而这样的存储方法却能在满载时发挥最大的效能。在CacheOS系统中，每块硬盘分别保存一部分URL的内容，对象的存取是自动在多个硬盘之间实现负载均衡。缓冲区通常都保持在满载状态，旧的，不常用的内容不断的被删除以容纳更新的内容。虽然硬盘的损坏不是常见，但CacheOS系统还是提供了自动重分派的功能。当一块硬盘停止服务时，系统自动地将其上的内容重定向到其他的硬盘上。显然，在这里RAID并不会带来性能上的提高，相反，它占用的资源本来是应当用来提高用户访问的命中率的。为了提高互联网加速的效能，CacheFlow公司开发了CacheOS操作系统，CacheOS使用户的互联网Qos得到了显著的提高，成为ISP及公司的首选方案。5、自适应的网页内容动态更新：高速、实时的内容由于WEB服务器中的内容会不时的更新，网页加速器就必须将自己缓冲区中的数据保持跟源服务器内容一致。为了实现这种更新，缓冲区就必须发送一个查询信息至源服务器。并且，要提供更快速的服务，就不能等到用户访问时才更新。CacheOS解决这个问题的手段是采用一种叫自适应更新的技术。这种技术就是根据网页中的对象对于更新的不同需求有选择地进行更新，并保证使这种更新与用户的访问不再同时进行。判断什么时间更新哪些内容规定这些对象的更新方式有一定的了解。网页中对象是各自依不同速率更新的。图中所显示的数据是从世界上各个不同的CacheFlow产品中所采集到的。所谓自适应更新，就是为每一个缓冲的网页中的对象建立一个更新模型，同时根据对象被用户访问的历史记录建立一个应用模型，然后根据这两方面的信息决定对象更新的方式。（并随时依据这两方面信息的变化进行调整）采用了这种技术的CacheFlow产品可以自动地进行内容的更新来保证用户访问时的新鲜度。例如，在某一新闻媒体的主页中，只有应当被更新的内容（如重要新闻）才会被更新，而那些不怎么变化的内容（如此媒体的标志）则保存在缓冲区中。并行数据下载技术保证了用户初次访问网页速度的提高的同时，自适应更新技术保证了用户后续访问该站点时由缓冲所带来的速度提高，同时也保证了用户访问的内容的新鲜度。此外，这种自适应地，有选择地更新还带来网络带宽的节省，由于它节省了不必要的反复访问所占用的带宽。一种计算缓冲技术对骨干上的带宽影响的方法，是比较互联网加速器的用户访问流量和它访问网络时所占的流量值，这个差值就是由互联网所带来的带宽结余。带宽之所以有结余，是由于互联网加速器提供应用户的流量比它在网络上占用的流量更多。上图介绍了产品所带来的带宽结余；现在只由3000Kb/s的带宽与互联网骨干相连，但可提供应用户的带宽达4000Kb/s,无形中增长了35%的骨干带宽。CacheFlow500CacheFlow500是高性能的互联网加速器。它可以支持1Mbps到15Mbps的互联网访问流量，对于ISP和公司用户来说，CacheFlow3000是最佳的互联网加速器解决方案，它可以帮助用户：节省互联网带宽的使用，减少费用极大地提高互联网和内部网的访问响应时间在最小的设备投资情况下来扩展网络解决能力连续地保证高性能的互联网服务质量CacheFlow500是真正可靠的网络设备。它配置简朴，只需几分钟即可。开始工作后，几乎不需要做什么管理。CacheFlow500内置有公司专为互联网加速设计的操作系统CacheOS，可以保证用户在现有网络条件下以最快的速度获取到最新，最实时的网上信息。CacheOSCacheOS是CacheFlow公司专利所有的专为互联网加速设计的操作系统。所有的系列产品均内置CacheOS。它使用了一系列启发式方法和智能算法，既保证了传送信息的准确性和实时性，又最大限度的优化了网络响应时间。CacheOS的特性涉及：单一目的的多进程解决；可适应性资料更新独有的资料存储方式（没有文献系统各目录结构）；全冗余磁盘阵列；先进的读写存储子系统常用的系统配置型号互联网流量存储系统内存网络适配卡5151-2Mbps9GB268MB1个10/100Base-T5252-10Mbps18GB384MB1个10/100Base-T54510-15Mbps36GB768MB1个10/100Base-T525i2-10Mbps18GB384MB3个10/100Base-T545i10-15Mbps36GB768MB3个10/100Base-T四层互换机四层互换机选用FoundryNetworks的ServerIron互换机。FoundryNetworks的ServerIron互换机为互联网服务供应商（ISP）及公司机构提供高性能的第4-7层应用软件型互换能力，以提高互联网服务（例如网页内容刊登、网站寄存及电子商务）的可用性、性能及扩展能力。 ServerIron涉及FoundryNetworks的InternetIronWare功能组。IronWare是一整套可同时装载的负载均衡及快取互换功能。运用这套功能，可获得最大的灵活性及投资保护。 与其他基于服务器、依赖制造商和操作系统的软件不同，ServerIron是基于互换机和协议的，因此可兼容所有主流服务器和操作系统，并且不需要任何服务器代理软件。由于ServerIron是基于互换机的平台，因此具有更高的性能、端口密度、扩展能力以及多层冗余。 ServerIron可为服务器提供10、100及1000Mbps连接。如将服务器连接配置成中继线，以获得更高的带宽和冗余。ServerIron配备8、16或24个10/100Mbps端口，这些端口可自动检测连接设备的速度，并自动调节至该速度。在1000BaseSX多模式及1000BaseLX单模式中，则可提供一个或两个千兆位以太网端口。 如需要高密度千兆位以太网连接，则可以通过InternetIronWare，将Foundry屡获殊荣的TurboIron/8互换机升级，以全面提供第4-7层功能。TurboIron/8总共可提供八个1000BaseSX及1000BaseLX端口组合。InternetIronWare局域及全球传输分布提高性能及弹性 通过InternetIronWare的局域负载均衡功能，HTTP、FTP、SSL及电子邮件等第4层传输可容易、透明地分布到多个服务器。运用ServerIron，网络管理员可建立一个逻辑服务器群体。ServerIron通过这个叫做VIP（VirtualIP，即虚拟IP）地址的功能，扮演带有VIP地址的虚拟服务器的角色，对用户请求进行控制、监视，以及将用户请求切换到服务器群中最适合的服务器中。这种在用户角度看来只有一台服务器的方案有助于简化管理及防止服务器受到非法入侵。 ServerIron设有三种负载均衡选择，网络管理员可选择其中一种，以优化应用程序的传输，令服务器不至于超载：循环分派：在同一服务器群体中，依顺序分派连接。循环分派同等看待所有服务器，但不会考虑其连接数目或回应时间。最少连接：把连接分派给已打开的连接数目最少的服务器。对于拥有一组性能相近的服务器的网站，这是一个不错的选择。最少连接可保证当一台服务器即将过载时，其他连接将得到适当的分派。加权比例：此项选择可让管理员将性能比重分派给每一台服务器。加权比例保证能较快解决连接的服务器可以获得较多的连接。 InternetIronWare的全球服务器负载均衡可透明地将负载均衡功能扩展到遍布全球的数据中心和服务器群，让网络管理员可在无需理睬服务器实际位置的前提下，根据服务器的“健康”状况、负载、是否邻近或平均来回时延等标准，容易地将传输引导至最适合的服务器或服务器群。由于网络管理员可通过此一功能拟定不同地方发生故障的服务器的位置，因此为服务器的劫难后复员工作提供了很大的弹性。 ISP及公司可运用全球服务器负载均衡，提供扩展能力强、可容错的全球服务及应用。全球服务器负载均衡通过将用户引导到最邻近的数据中心，令用户端的性能明显提高，同时亦可减少带宽浪费。增强服务冗余、可用性及性能 InternetIronWare及ServerIron平台通过提供互换机、服务器、链路及对话层冗余，保证服务的可用性。 假如服务器或服务器应用程序负载过重，ServerIron则可提供亚秒级（不超过一秒）检测，并将过载的服务转移到同一个逻辑群体中支持相同服务的下一台服务器。这样便可以保持传输的连续性及应用程序的可用性。 为保证重要的服务能100%运作正常，ServerIron设了一个热待命冗余互换机功能，以防止对话丢失。通过该冗余功能，ServerIron令主、从互换机可支持完全相同的配置参数。从互换机会连续监视主互换机上的传输状况。万一主互换机发生故障，副互换机将立即接手主互换机的工作，以保证不会丢失任何对话及连接。此外，ServerIron还提供链路层冗余，通过自动将故障链路的对话切换到冗余链路，保证服务器连接不受影响。 除了监视服务器的连接外，InternetIronWare的服务健康检查功能还通过检测HTTP、DNS、Radius或SMTP服务是否发生故障，监视服务器回应用户请求的能力，从而保证能快速检测出服务故障，并避免出现服务过载的风险。 对称服务器负载均衡可为重要的服务提供最高2，000，000组连接及全面服务冗余。通过对称负载均衡，多套并行的ServerIron共同分担连接负载，并互相充当后备角色，以在任何一个ServerIron发生故障时，接手其工作。 直接服务器返回最多可同时支援1，000，000组作用中的用户连接，并令被请求内容可通过最佳的返回途径提供。这可显著提高用户的连接性能，并让系统性能可根据不同应用（例如网页、图形及顺序流媒体）的需求进行调节。高性能网页刊登及网站寄存 InternetIronWare可支持无限个VIP地址。网络管理员可运用此功能，以一组简朴的指令配置成千上万个VIP地址。网站寄存公司亦可运用此功能支援数百个有各自不同网域名称及IP地址的主页，并将负载分摊到多个服务器中。 此外，网络管理员还可通过ServerIron，运用URL互换减少内容转发成本及管理开支。ServerIron检查每个客户端的URL请求（如.com），然后将请求发送到所请求内容的宿主服务器。ServerIron可支持数千个URL，并且其内容可分摊到各个本地或远距服务器。 IRONWARE的“多对一”负载均衡功能可让网络管理员容易地追踪VIP的服务使用情况。通常，每个TCP/UDP端口只会有一个VIP至服务器的关联。通过此功能，单个服务器极端标语码可服务多个VIP，并可为每个VIP编译各类型使用信息。对于ISP维持和发展互联网网站来说，网站浏览、使用情况记录等信息以及其他与服务有关的数据有重要的参考价值。以透明快取互换技术缩短互联网回应时间及减少广域网成本 ServerIron的透明快取互换功能通过将预定由远程互联网主机提供的网上传输引导到一组本地快取服务器，缩短互联网的回应时间，并可减少广域网的运作成本。Foundry的透明快取互换技术可配合任意支持透明重新引导技术（涉及CacheFlow、Cobalt、Inktomi、NetworkAppliance及Novell等著名商户所提供的重引导技术）的快取服务器使用。 Foundry的透明快取互换技术为网络管理员提供了一个富弹性的网站快取方案，令管理工作显著简化。与代理服务器方案不同的是，前者需要人工配置每个客户端浏览器，而ServerIron则不必进行任何客户端浏览器配置，而会自动截取HTTP客户端请求，并将其切换到可用的快取服务器。网络管理员可根据源IP地址及目的IP地址配置ServerIron至互换机的传输。 透明快取互换还为网络管理员提供了一层冗余和代理服务器所没有的弹性。通过ServerIron，管理员可安装冗余网上快取服务器配置（我们称它为网上快取服务器群），以在某台网上快取服务器发生故障时，可自动复原。此一功能可保证在任何时候，重要的网站传输都能连续进行。为增长弹性，可在网上快取服务器群中安装冗余ServerIron互换机，以避免发生单点故障。 快取路由优化（CRO）则通过将快取返回封包转发到最适合的路由器，令传输更加智能化，并可进一步缩短回应时间。CRO会检测路由效率低的封包（这些封包会引起互联网路由器性能严重减少，令服务回应时间明显变慢）。CRO借助ServerIron的功能，进行高速封包解决。通过检查各个封包的第3层和第4层包头以及辨别其应用，ServerIron可在无需缺省互联网路由器协助的前提下，对的地将由快取服务器产生的封包切换到客户端。ServerIron通过CRO减少了互联网路由器的传输负载，同时亦显著缩短了用户回应时间。 在某些网络环境中，快取服务器从基于已配置政策的路由器接受传输；但是其路由器并不具有检测故障快取服务器的技术。而通过InternetIronWare的快取故障转移保护技术（CFO），ServerIron可在快取服务器发生故障时保证继续提供服务。快取健康检查可检测出服务故障，并在故障发生时，立即将客户端传输重新引导至互联网。 基于政策的快取互换可根据服务政策及目的地址，将客户端请求引导至适当的快取服务器，为用户提供了很大的灵活性。通过此功能，请求特定网站的用户被引导至包含预载内容的特殊内容快取存储器。网站刊登者可运用基于政策的快取互换，根据由当前数据驱动的高峰内容请求分派内容。 直接快取服务器返回通过扩大快取返回带宽提高整体的服务性能及客户满意限度。直接快取返回通过取得比原请求高的带宽，令快取服务器能更有效地提供网站内容。互联网完整性的服务保安 为改善网络保安，ServerIron可用以限制访问指定地址或子网中的特定应用程序。通过设定过滤器，可拒绝某些端口访问服务器。例如，网络管理员可拒绝指定地址的FTP传输。相反，亦可以把过滤器设定为可让某个用户子集或子网访问。 ServerIron还可以让网络管理员为进入TCP/SYN封包速度配置一个入口，以防止恶意的TCP/SYN袭击。假如该入口超过负载，ServerIron将自动在一段时间内，停止新的对话连接。第4层QoS/CoS为应用程序传输分派优先顺序ServerIron可有效的分派TCP及UDP传输的优先顺序。此一功能可保证在支援多应用程序的服务器中，重要的传输可获得比其他传输较高的优先级别。 通过ServerIron，封包可根据目的地址及目的端口数目，划分优先级别。运用此功能，可为重要的应用程序提供优先的服务。运用记录资料改善应用传输的管理 网络管理员可运用ServerIron的记录功能，方便地收集和显示服务器群中预定网络传输的具体资料。记录功能可追踪服务器和客户端之间的传输总量，以及哪些应用程序主导网络传输；或者监视服务器的作用中对话的数量。这些记录资料可用于跟踪支持多应用程序的服务器的传输负载。配置及管理ServerIron ServerIron可通过Foundry的IronView网络管理工具进行配置和管理。SunSolaris的HPOpenView、WindowsNT以及独立WindowsNT等主流平台均提供SNMP（简朴网络管理协议）设备管理及配置应用程序。此外，ServerIron还提供应用于局域及遥距管理和配置的指令行接口Web/HTTP。而远程监控（RemoteMonitoring,RMON）及镜像端口则提供网络监视及除错功能。应用方案ISP提供充足的冗余为客户提