河北省交通厅网络系统方案设计样本

河北省交通厅机关办公自动化系统工程系统集成（A包）设计方案北京怡华通联信息技术有限公司10月目录TOC\o"1-4"\h\z第一章项目概述 11.1项目背景 11.2河北省交通厅网络系统工程建设目的 1第二章河北省交通厅网络系统方案设计 22.1网络设计原则 22.2网络技术分析 32.2.1千兆以太网 32.2.2路由器技术 42.2.3互换机技术 82.2.4虚拟局域网(VLAN) 92.2.5网络安全及保密 122.3河北省交通厅网络规划 232.4网络设备选型分析 242.4.1主干路由器选型 252.4.2主干互换机选型 332.4.3二级互换机选型 412.4.4防火墙选型 56第三章网络管理系统 613.1交通厅网管系统需求 613.2网管系统总体设计及功能 613.3网络管理软件 62第四章服务器及备份系统 684.1服务器 684.2磁盘阵列柜 694.3磁带机 714.4备份及劫难恢复系统 72第五章技术支持与服务 76第六章项目实行筹划书 78附：培训初步筹划 82第一章项目概述1.1项目背景随着科学发展和当代通信技术不断进步，网络化通信已经成为人们寻常生活中必不可少工具。借助于四通八达信息网络，跨地区、跨国界实时信息交流日益变化着人们生产、生活方式。信息技术、信息产业已成为国家经济增长、科技（军事、教诲、科研等）发展最重要源泉，是国民经济发展新增长点，它们以其特有渗入力和影响力，对其他产业发展起到增值器和加速器作用，信息将成为决定21世纪人类生活质量和综合国力首要因素。当前，Internet构成了无限信息资源，Web浏览器成为获取信息、沟通世界重要工具，人类置身于数字化生存空间，人生活方式和工作方式、公司经营方式和服务方式都经历着前所未有主线性变化，特别是随着电子商务和电子政务（政府上网）推动，必将进一步刺激和推动国内网络化、数字化发展，进而推动国内信息产业走向规模经济，并得到健康、持续发展。信息化在政府机关不断发生变化，并发挥着相称重要作用，政府办公网络化，信息迅速传递和资源共享为政府办公提供了更快方式和节约更多资源，网上宣传政府业务提高政府机关知名度，运用当代化网络技术来变化以往政府机关工作模式，可以大大提高工作效率。依照河北省交通厅规定，运用当代化高新科技技术，实现工作高效性、安全性、可靠性、灵活性等，把单位内部建设成为自动化局域网，从而使整个网络系统既适应当代化科技发展环境，又符合单位信息网技术体制。1.2河北省交通厅网络系统工程建设目的根据交通部和交通厅关于文献精神中对交通信息化“三网一库”描述规定，考虑到国内信息化技术现状和将来发展趋势，针对河北省交通信息化现状，本次网络工程建设目的重要是建立一种厅机关内部系统信息网络，实现单位内部计算机联网及资源共享，实行单位内部办公自动化系统，满足交通厅直属单位、交通部以及省政府之间联网办公。第二章河北省交通厅网络系统方案设计2.1网络设计原则河北省交通厅网络系统工程建设目旨在以成熟先进技术为基本，建设一种内部业务网络系统。为了使建成后网络系统成为一种高效性、实用化、符合业务需求网络，咱们将提出一套实现网络系统建设详细技术方案。在网络设计中咱们重要遵循了如下设计原则：1、原则化及规范性在整个网络从技术和设备选取上，为保证不同厂家设备、不同应用以及不同合同连接互操作性，咱们将选取支持国际原则网络接口和合同，以提供高度开放性，保证顾客可以依照将来需要进行有效开发和应用，提供一种良好开放性环境。2、高性能和良好服务质量建设一种高性能和良好服务质量网络是保证网络真正可以实用化，真正能服务于河北省交通厅必要条件。为了保证网络高性能和良好服务质量，咱们在网络拓扑设计以及设备选取上将选取合理技术方案和设备。3、可扩展性和灵活性数据通信网络作为新兴通信网络，具备技术发展速度快、设备更新快特点。此外随着顾客业务发展，网络系统扩容将是不可避免。因而在本次网络建设中将对网络可扩充性和灵活性进行充分考虑。4、安装、操作、维护简朴原则良好网络设计规定对网络安装、操作和维护简朴。在设备选取上，咱们将考虑选取能提供完善网络管理平台设备。5、性能价格比高原则在满足网络各项性能规定状况下，兼顾设备投资状况，咱们将尽量节约网络系统投资，使整个网络性能价格比最高。6、安全性网络设计中咱们将对网络安全性进行重点考虑，将采用切实有效系统安全、数据安全和网络安全办法和一套网络安全实行建议，以保障网络安全。2.2网络技术分析2.2.1千兆以太网1、千兆以太网发展以太网原则由IEEELAN-MAN原则委员会802.3工作组创立并维护。近几年，802.3z工作组致力于光纤和屏蔽跨接电缆集合（“短距离铜线”）千兆以太网解决方案。1997年春天，新工作组802.3ab成立，研究基于4对5类缆线“长距铜线”解决方案，其原则为4对5类UTP、最大长度100米千兆以太网连接，该原则为以太网MAC层定义了一种接口GMII（GigabitMediaIndependentInterface），还定义了管理、中继器操作、拓扑规则及四种物理层信令系统：1000Base-SX（短波长光纤）、1000Base-LX（长波长光纤）、1000Base-CX（短距离铜线）和1000Base-T（100米4对5类UTP）。（注：1000Base-CX为150欧姆、平衡屏蔽特殊电缆集合，线速1.25Gbps，使用基于光通道8B/10B编码方式，其时间帧与光纤连接相似。）千兆以太网也是以太网，其产品没多大变化，重要有：互换机、上连/下连模块、网卡、千兆以太网路由器，以及一种新设备，叫缓存式分派机（buffereddistributor）。缓存式分派机是一种全双工、多端口类似集线器设备，将两个或工作在1Gbps以上802.3链路连接起来。缓存式分派机把分组转发到除源链路外其他所有链路上，提供共享带宽域（与802.3冲突域相对），也被称为“盒子中CSMA/CD”。它与802.3中继器（repeater）不同，容许在转发到达各链路帧之前先加以缓冲。作为共享带宽设备，缓存式分派器应与路由器和互换机区别开。配有千兆以太网接口路由器可以有支持高于或低于千兆速率背板，而连到千兆以太网缓存式分派器背板端口共享一千兆带宽，对于多端口千兆以太网互换机而言，其高性能背板可支持数千兆带宽。2、千兆以太网长处主干采用千兆以太网好处在于：千兆位以太网将提供10倍于迅速以太网性能并与既有10/100以太网原则兼容。同步为10/100/1000Mbps开发虚拟网原则802.1Q以及优先级原则802.1p都已推广，千兆网已成为构成网络主干主流技术。1998年六月已制定完毕第一种千兆位以太网原则802.3，以使用光纤线缆和短程铜线线缆全双工链接为对象。针对半双工和远程铜线线缆原则802.3ab于1999年内出台。千兆位以太网将提供完美无缺迁移途径，充分保护在既有网络基本设施上投资。千兆位以太网将保存802.3和以太网帧格式以及802.3受管理对象规格，从而将使公司可以在升级至千兆性能同步，保存既有线缆、操作系统、合同、桌面应用程序和网络管理战略与工具。千兆位以太网相对于原有迅速以太网、FDDI、ATM等主干网解决方案，提供了另一条改进互换机与互换机之间骨干连接和互换机与服务器之间连接可靠、经济途径。网络设计人员将可以建立有效使用高速、任务核心应用程序和文献备份高速基本设施。网络管理人员将为顾客提供对Internet、Intranet、城域网与广域网更迅速访问。2.2.2路由器技术所谓路由就是指通过互相连接网络把信息从源地点移动到目的地点活动。普通来说，在路由过程中，信息至少会通过一种或各种中间节点。普通，人们会把路由和互换进行对比，这重要是由于在普通顾客看来两者所实现功能是完全同样。其实，路由和互换之间重要区别就是互换发生在OSI参照模型第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和互换在移动信息过程中需要使用不同控制信息，因此两者实现各自功能方式是不同。路由器是互联网重要节点设备。路由器通过路由决定数据转发。转发方略称为路由选取（routing），这也是路由器名称由来（router，转发者）。作为不同网络之间互相连接枢纽，路由器系统构成了基于TCP/IP国际互连网络Internet主体脉络，也可以说，路由器构成了Internet骨架。它解决速度是网络通信重要瓶颈之一，它可靠性则直接影响着网络互连质量。因而，在园区网、地区网、乃至整个Internet研究领域中，路由器技术始终处在核心地位，其发展历程和方向，成为整个Internet研究一种缩影。路由器一种作用是连通不同网络，另一种作用是选取信息传送线路。选取畅通快捷近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大效益来。从过滤网络流量角度来看，路由器作用与互换机和网桥非常相似。但是与工作在网络物理层，从物理上划分网段互换机不同，路由器使用专门软件合同从逻辑上对整个网络进行划分。例如，一台支持IP合同路由器可以把网络划提成各种子网段，只有指向特殊IP地址网络流量才可以通过路由器。对于每一种接受到数据包，路由器都会重新计算其校验值，并写入新物理地址。因而，使用路由器转发和过滤数据速度往往要比只查看数据包物理地址互换机慢。但是，对于那些构造复杂网络，使用路由器可以提高网络整体效率。路由器此外一种明显优势就是可以自动过滤网络广播。从总体上说，在网络中添加路由器整个安装过程要比即插即用互换机复杂诸多。普通说来，异种网络互联与各种子网互联都应采用路由器来完毕。路由器重要工作就是为通过路由器每个数据帧寻找一条最佳传播途径，并将该数据有效地传送到目站点。由此可见，选取最佳途径方略即路由算法是路由器核心所在。为了完毕这项工作，在路由器中保存着各种传播途径有关数据——途径表（RoutingTable），供路由选取时使用。途径表中保存着子网标志信息、网上路由器个数和下一种路由器名字等内容。途径表可以是由系统管理员固定设立好，也可以由系统动态修改，可以由路由器自动调节，也可以由主机控制。静态途径表由系统管理员事先设立好固定途径表称之为静态（static）途径表，普通是在系统安装时就依照网络配备状况预先设定，它不会随将来网络构造变化而变化。动态途径表动态（Dynamic）途径表是路由器依照网络系统运营状况而自动调节途径表。路由器依照路由选取合同（RoutingProtocol）提供功能，自动学习和记忆网络运营状况，在需要时自动计算数据传播最佳途径。路由器类型接入路由器接入路由器连接家庭或ISP内小型公司客户。接入路由器已经开始不只是提供SLIP或PPP连接，还支持诸如PPTP和IPSec等虚拟私有网络合同。这些合同要能在每个端口上运营。诸如ADSL等技术将不久提高各家庭可用带宽，这将进一步增长接入路由器承担。由于这些趋势，接入路由器将来会支持许多异构和高速端口，并在各个端口可以运营各种合同，同步还要避开电话互换网。公司级路由器公司或校园级路由器连接许多终端系统，其重要目的是以尽量便宜办法实现尽量多端点互连，并且进一步规定支持不同服务质量。许多既有公司网络都是由Hub或网桥连接起来以太网段。尽管这些设备价格便宜、易于安装、无需配备，但是它们不支持服务级别。相反，有路由器参加网络可以将机器提成各种碰撞域，并因而可以控制一种网络大小。此外，路由器还支持一定服务级别，至少容许提成各种优先级别。但是路由器每端口造价要贵些，并且在可以使用之前要进行大量配备工作。因而，公司路由器成败就在于与否提供大量端口且每端口造价很低，与否容易配备，与否支持QoS。此外还规定公司级路由器有效地支持广播和组播。公司网络还要解决历史遗留各种LAN技术，支持各种合同，涉及IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量管理和安全方略以及VLAN。骨干级路由器骨干级路由器实现公司级网络互联。对它规定是速度和可靠性，而代价则处在次要地位。硬件可靠性可以采用电话互换网中使用技术，如热备份、双电源、双数据通路等来获得。这些技术对所有骨干路由器而言差不多是原则。骨干IP路由器重要性能瓶颈是在转刊登中查找某个路由所耗时间。当收到一种包时，输入端口在转刊登中查找该包目地址以拟定其目端口，当包越短或者当包要发往许多目端口时，势必增长路由查找代价。因而，将某些常访问目端口放到缓存中可以提高路由查找效率。不论是输入缓冲还是输出缓冲路由器，都存在路由查找瓶颈问题。除了性能瓶颈问题，路由器稳定性也是一种常被忽视问题。太比特路由器在将来核心互联网使用三种重要技术中，光纤和DWDM都已经是很成熟并且是现成。如果没有与既有光纤技术和DWDM技术提供原始带宽相应路由器，新网络基本设施将无法从主线上得到性能改进，因而开发高性能骨干互换/路由器（太比特路由器）已经成为一项迫切规定。太比特路由器技术当前还重要处在开发实验阶段。路由器体系构造从体系构造上看，路由器可以分为第一代单总线单CPU构造路由器、第二代单总线主从CPU构造路由器、第三代单总线对称式多CPU构造路由器；第四代多总线多CPU构造路由器、第五代共享内存式构造路由器、第六代交叉开关体系构造路由器和基于机群系统路由器等多类。路由器构成路由器具备四个要素：输入端口、输出端口、互换开关和路由解决器。输入端口是物理链路和输入包进口处。端口普通由线卡提供，一块线卡普通支持4、8或16个端口，一种输入端口具备许多功能。第一种功能是进行数据链路层封装和解封装。第二个功能是在转刊登中查找输入包目地址从而决定目端口（称为路由查找），路由查找可以使用普通硬件来实现，或者通过在每块线卡上嵌入一种微解决器来完毕。第三，为了提供QoS（服务质量），端口要对收到包提成几种预定义服务级别。第四，端口也许需要运营诸如SLIP（串行线网际合同）和PPP（点对点合同）这样数据链路级合同或者诸如PPTP（点对点隧道合同）这样网络级合同。一旦路由查找完毕，必要用互换开关将包送到其输出端口。如果路由器是输入端加队列，则有几种输入端共享同一种互换开关。这样输入端口最后一项功能是参加对公共资源（如互换开关）仲裁合同。互换开关可以使用各种不同技术来实现。迄今为止使用最多互换开关技术是总线、交叉开关和共享存贮器。最简朴开关使用一条总线来连接所有输入和输出端口，总线开关缺陷是其互换容量受限于总线容量以及为共享总线仲裁所带来额外开销。交叉开关通过开关提供多条数据通路，具备N×N个交叉点交叉开关可以被以为具备2N条总线。如果一种交叉是闭合，输入总线上数据在输出总线上可用，否则不可用。交叉点闭合与打开由调度器来控制，因而，调度器限制了互换开关速度。在共享存贮器路由器中，进来包被存贮在共享存贮器中，所互换仅是包指针，这提高了互换容量，但是，开关速度受限于存贮器存取速度。尽管存贮器容量每18个月可以翻一番，但存贮器存取时间每年仅减少5%，这是共享存贮器互换开关一种固有限制。输出端口在包被发送到输出链路之前对包存贮，可以实现复杂调度算法以支持优先级等规定。与输入端口同样，输出端口同样要能支持数据链路层封装和解封装，以及许多较高档合同。路由解决器计算转刊登实现路由合同，并运营对路由器进行配备和管理软件。同步，它还解决那些目地址不在线卡转刊登中包。2.2.3互换机技术以太网互换机，英文为SWITCH，也有人翻译为开关，互换器或称互换式集线器。1、互换式以太网工作原理以太网互换机原理很简朴，它检测从以太端口来数据包源和目地MAC（介质访问层）地址，然后与系统内部动态查找表进行比较，若数据包MAC层地址不在查找表中，则将该地址加入查找表中，并将数据包发送给相应目端口。2、互换式以太网技术长处互换式以太网不需要变化网络其他硬件，涉及电缆和顾客网卡，仅需要用互换式互换机变化共享式HUB，节约顾客网络升级费用。可在高速与低速网络间转换，实现不同网络协同。当前大多数互换式以太网都具备100MBPS端口，通过与之相相应100MBPS网卡接入到服务器上，暂时解决了10MBPS瓶颈，成为网络局域网升级时首选方案。它同步提供各种通道，比老式共享式集线器提供更多带宽，老式共享式10MBPS/100MPS以太网采用广播式通信方式，每次只能在一对顾客间进行通信，如果发生碰撞还得重试，而互换式以太网容许不同顾客间进行传送，例如，一种16端口以太网互换机容许16个站点在8条链路间通信。特别是在时间响应方面长处，使得局域网互换机倍受青睐。它以比路由器低成本却提供了比路由器宽带宽、高速度，除非有上广域网（WAN）规定，否则，互换机有代替路由器趋势。直通式（cutthrouth）与存储转发（store-and-forward）比较：直通方式以太网络互换机可以理解为在各端口间是纵横交叉线路矩阵电话互换机。它在输入端口检测到一种数据包时，检查该包包头，获取包目地址，启动内部动态查找表转换成相应输出端口，在输入与输出交叉处接通，把数据包直通到相应端口，实现互换功能。由于不需要存储，延迟（LATENCY）非常小、互换非常快，这是它长处；它缺陷是：由于数据包内容并没有被以太网互换机保存下来，因此无法检查所传送数据包与否有误，不能提供错误检测能力，由于没有缓存，不能将具备不同速率输入/输出端口直接接通，并且，当以太网络互换机端口增长时，互换矩阵变得越来越复杂，实现起来相称困难。存储转发方式是计算机网络领域应用最为广泛方式，它把输入端口数据包先存储起来，然后进行CRC检查，在对错误包解决后才取出数据包目地址，通过查找表转换成输出端口送出包。正因如此，存储转发方式在数据解决时延时大，这是它局限性，单是它可以对进入互换机数据包进行错误检测，特别重要是它可以支持不同速度输入输出端口间转换，保持高速端口与低速端口间协同工作。2.2.4虚拟局域网(VLAN)中继协议—VTPVTP模式因为每个VLAN是一个逻辑LAN部分，所以网管员能使STP一次工作在最多64个VLAN中。如果要配置超过64个VLAN，网管员需要将其她VLANSTP禁止，因为默认STP可以支持1～64个VLAN。2.2.5网络安全及保密1.网络安全概述以Internet为代表全球性信息化浪潮日益深刻，信息网络技术应用正日益普及和广泛，应用层次正在进一步,应用领域从老式、小型业务系统逐渐向大型、核心业务系统扩展，典型如党政部门信息系统、金融业务系统、公司商务系统等。随着网络普及，安全日益成为影响网络效能重要问题，而Internet所具备开放性、国际性和自由性在增长应用自由度同步,对安全提出了更高规定，这重要体当前：

开放性网络，导致网络技术是全开放，任何一种人、团队都也许获得，因而网络所面临破坏和袭击也许是多方面例如：也许来自物理传播线路袭击，也可以对网络通信合同和实现实行袭击；可以是对软件实行袭击，也可以对硬件实行袭击

国际性一种网络还意味着网络袭击不但仅来自本地网络顾客，它可以来自Internet上任何一种机器，也就是说,网络安全所面临是一种国际化挑战。

自由意味着网络最初对顾客使用并没有提供任何技术约束，顾客可以自由地访问网络，自由地使用和发布各种类型信息。顾客只对自己行为负责，而没有任何法律限制。

尽管，开放、自由、国际化Internet发展给政府机构、企事业单位带来了革命性改革和开放，使得她们可以运用Internet提高办事效率和市场反映能力，以便更具竞争力。通过Internet，她们可以从异地取回重要数据，同步又要面对网络开放带来数据安全新挑战和新危险。如何保护公司机密信息不受黑客和工业间谍入侵,已成为政府机构、企事业单位信息化健康发展所要考虑重要事情之一。网络安全概念网络安全涉及五个基本要素：机密性、完整性、可用性、可控性与可审查性。机密性：保证信息不暴露给未授权实体或进程。完整性：只有得到容许人才干修改数据，并且可以鉴别出数据与否已被篡改。可用性：得到授权实体在需要时可访问数据，即袭击者不能占用所有资源而阻碍授权者工作。可控性：可以控制授权范畴内信息流向及行为方式。可审查性：对浮现网络安全问题提供调查根据和手段。网络存在威胁普通以为，当前网络存在威胁重要体当前：

非授权访问：没有预先通过批准，就使用网络或计算机资源被看作非授权访问，如故意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它重要有如下几种形式：假冒、身份袭击、非法顾客进入网络系统进行违法操作、合法顾客以未授权方式进行操作等。

信息泄漏或丢失：指敏感数据在故意或无意中被泄漏出去或丢失，它普通涉及，信息在传播中丢失或泄漏（如"黑客"们运用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数分析，推出有用信息，如顾客口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

破坏数据完整性：以非法手段窃得对数据使用权，删除、修改、插入或重发某些重要信息，以获得有益于袭击者响应；恶意添加，修改数据，以干扰顾客正常使用。

回绝服务袭击：它不断对网络服务系统进行干扰，变化其正常作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正惯顾客使用，甚至使合法顾客被排斥而不能进入计算机网络系统或不能得到相应服务。

运用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，并且顾客很难防范。安全方略安全方略是指在一种特定环境里，为保证提供一定级别安全保护所必要遵守规则。该安全方略模型涉及了建立安全环境三个重要构成某些，即：

威严法律：安全基石是社会法律、法规、与手段，这某些用于建立一套安全管理原则和办法。即通过建立与信息安全有关法律、法规，使非法分子慑于法律，不敢轻举妄动。

先进技术：先进安全技术是信息安全主线保障，顾客对自身面临威胁进行风险评估，决定其需要安全服务种类。选取相应安全机制，然后集成先进安全技术。

严格管理：各网络使用机构、公司和单位应建立相宜信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。安全服务、机制与技术安全服务：服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务。安全机制：访问控制机制、加密机制、认证互换机制、数字签名机制、防业务流分析机制、路由控制机制。安全技术：防火墙技术、加密技术、鉴别技术、数字签名技术、审计监控技术、病毒防治技术。

在安全开放环境中，顾客可以使用各种安全应用。安全应用由某些安全服务来实现；而安全服务又是由各种安全机制或安全技术实现。应当指出，同一安全机制有时也可以用于实现不同安全服务。安全工作目安全工作目就是为了在安全法律、法规、政策支持与指引下，通过采用适当安全技术与安全管理办法，完毕如下任务：①使用访问控制机制，制止非授权顾客进入网络，即“进不来”，从而保证网络系统可用性。②使用授权机制，实现对顾客权限控制，即不该拿走“拿不走”，同步结合内容审计机制，实现对网络资源及信息可控性③使用加密机制，保证信息不暴漏给未授权实体或进程，即"看不懂"，从而实现信息保密性。④使用数据完整性鉴别机制，保证只有得到容许人才干修改数据，而其他人"改不了"，从而保证信息完整性。⑤使用审计、监控、防抵赖等安全机制，使得袭击者、破坏者、抵赖者"走不脱"，并进一步对网络浮现安全问题提供调查根据和手段，实现信息安全可审查性。2．网络安全体系构造通过对网络全面理解，按照安全方略规定及风险分析成果，整个网络办法应按系统体系建立。详细安全控制系统由如下几种方面构成：物理安全、网络安全、信息安全。物理安全保证计算机信息系统各种设备物理安全是整个计算机信息系统安全前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致破坏过程。重要涉及三个方面：☆环境安全：对系统所在环境安全保护，如区域保护和劫难保护（参见国标GB50173－93《电子计算机机房设计规范》国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全规定》）☆设备安全：重要涉及设备防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；☆媒体安全：涉及媒体数据安全及媒体自身安全。

显然，为保证信息网络系统物理安全，除在网络规划和场地、环境等规定之外，还要防止系统信息在空间扩散。计算机系统通过电磁辐射使信息被截获而失秘案例已经诸多，在理论和技术支持下验证工作也证明这种截取距离在几百甚至可达千米复原显示给计算机系统信息保密工作带来了极大危害。为了防止系统中信息在空间上扩散，普通是在物理上探取一定防护办法，来减少或干扰扩散出去空间信号。这对重要政策、军队、金融机构在兴建信息中心时，都将成为首要设立条件。

正常防范办法重要在三个方面：☆对主机房及重要信息存储、收发部门进行屏蔽解决：即建设一种具备高效屏蔽效能屏蔽室，用它来安装运营重要设备以防止磁鼓，磁带与高辐射设备等信号外泄。为提高屏蔽室效能，在屏蔽室与外界各项联系、连接中均要采用相应隔离办法和设计，如信号线、电话线、空调、消防控制线，以及通风波导，门关起等。☆对本地网、局域网传播线路传导辐射抑制，由于电缆传播辐射信息不可避免性，现均采用了光缆传播方式，大多数均在Modem出来设备用光电转换接口，用光缆接出屏蔽室外进行传播。☆对终端设备辐射防范终端机特别是CRT显示屏,由于上万伏高压电子流作用，辐射有极强信号外泄，但又因终端分散使用不适当集中采用屏蔽室办法来防止，故当前规定除在订购设备上尽量选用低辐射产品外，当前重要采用积极式干扰设备如干扰机来破坏相应信息窃复，个别重要首脑或集中终端也可考虑采用有窗子装饰性屏蔽室，此类虽减少了部份屏蔽效能但可大大改进工作环境，使人感到在普通机房内同样工作。网络安全网络安全系统（主机、服务器）安全反病毒系统安全检测入侵检测审计分析网络运营安全备份与恢复应急、劫难恢复局域网、子网安全访问控制（防火墙）网络安全检测1.内外网隔离及访问控制系统

在内部网与外部网之间，设立防火墙（涉及分组过滤与应用代理）实现内外网隔离与访问控制是保护内部网安全最重要、同步也是最有效、最经济办法之一。防火墙技术可依照防范方式和侧重点不同而分为诸各种类型，但总体来讲有二大类较为惯用：分组过滤、应用代理。☆分组过滤（Packetfiltering）：用在网络层和传播层，它依照分组包头源地址，目地址和端标语、合同类型等标志拟定与否容许数据包通过。只有满足过滤逻辑数据包才被转发到相应目地出口端，别的数据包则被从数据流中丢弃。☆应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway），它作用在应用层，特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门代理程序，实现监视和控制应用层通信流作用。实际中应用网关普通由专用工作站实现。

无论何种类型防火墙，从总体上看，都应具备如下五大基本功能：过滤进、出网络数据；管理进、出网络访问行为；封堵某些禁止业务；记录通过防火墙信息内容和活动；对网络袭击检测和告警。应当强调是，防火墙是整体安全防护体系一种重要构成某些，而不是所有。因而必要将防火墙安全保护融合到系统整体安全方略中，才干实现真正安全。

2.内部网不同网络安全域隔离及访问控制

在这里，防火墙被用来隔离内部网络一种网段与另一种网段。这样，就能防止影响一种网段问题穿过整个网络传播。针对某些网络，在某些状况下，它某些局域网某个网段比另一种网段更受信任，或者某个网段比另一种更敏感。而在它们之间设立防火墙就可以限制局部网络安全问题对全局网络导致影响。3.网络安全检测

网络安全性分析系统网络系统安全性取决于网络系统中最薄弱环节。如何及时发现网络系统中最薄弱环节？如何最大限度地保证网络系统安全？最有效办法是定期对网络系统进行安全性分析，及时发现并修正存在弱点和漏洞。网络安全检测工具普通是一种网络安全性评估分析软件，其功能是用实践性办法扫描分析网络系统，检查报告系统存在弱点和漏洞，建议补求办法和安全方略，达到增强网络安全性目。4.审计与监控

审计是记录顾客使用计算机网络系统进行所有活动过程，它是提高安全性重要工具。它不但可以辨认谁访问了系统，还能指出系统正被如何地使用。对于拟定与否有网络袭击状况，审计信息对于拟定问题和袭击源很重要。同步，系统事件记录可以更迅速和系统地辨认问题，并且它是背面阶段事故解决重要根据。此外，通过对安全事件不断收集与积累并且加以分析有选取性地对其中某些站点或顾客进行审计跟踪，以便对发现或也许产生破坏性行为提供有力证据。因而，除使用普通网管软件和系统监控管理系统外，还应使用当前以较为成熟网络监控设备或实时入侵检测设备，以便对进出各级局域网常用操作进行实时检查、监控、报警和阻断，从而防止针对网络袭击与犯罪行为。5.网络反病毒

由于在网络环境下，计算机病毒有不可预计威胁性和破坏力，一次计算机病毒防范是网络安全性建设中重要一环。网络反病毒技术涉及防止病毒、检测病毒和消毒三种技术：

☆防止病毒技术：它通过自身常驻系统内存，优先获得系统控制权，监视和判断系统中与否有病毒存在，进而制止计算机病毒进入计算机系统和对系统进行破坏。此类技术有:加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。

☆检测病毒技术：它是通过对计算机病毒特性来进行判断技术，如自身校验、核心字、文献长度变化等。☆分析病毒技术：它通过对计算机病毒分析，开发出具备删除病毒程序并恢复原文献软件。

网络反病毒技术详细实现办法涉及对网络服务器中文献进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文献设立访问权限等。

6.网络备份系统

备份系统为一种目而存在：尽量快地全盘恢复运营计算机系统所需数据和系统信息。依照系统安全需求可选取备份机制有：场地内高速度、大容量自动数据存储、备份与恢复；场地外数据存储、备份与恢复；对系统设备备份。备份不但在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络袭击及破坏数据完整性时起到保护作用，同步亦是系统劫难恢复前提之一。

普通数据备份操作有三种。一是全盘备份，即将所有文献写入备份介质；二是增量备份，只备份那些上次备份之后更改过文献，是最有效备份办法；三是差分备份，备份上次全盘备份之后更改过所有文献，其长处是只需两组磁带就可恢复最后一次全盘备份磁带和最后一次差分备份磁带。

在拟定备份指引思想和备份方案之后，就要选取安全存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”备份，即下载备份数据还在整个计算机系统和网络中，只但是传到令一种非工作分区或是另一种非实时解决业务系统中存储。“冷备份”是指“不在线”备份，下载备份存储到安全存储媒介中，而这种存储媒介与正在运营整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一某些原始数据长期保存并作为查询使用。热备份长处是投资大，但调用快，使用以便，在系统恢复中需要重复调试时更显优势。热备份详细做法是：可以在主机系统开辟一块非工作运营空间，专门存储备份数据，即分区备份；另一种办法是，将数据备份到另一种子系统中，通过主机系统与子系统之间传播，同样具备速度快和调用以便特点，但投资比较昂贵。冷备份弥补了热备份某些局限性，两者优势互补，相辅相成，由于冷备份在回避风险中还具备便于保管特殊长处。

在进行备份过程中，常使用备份软件，它普通应具备如下功能。保证备份数据完整性，并具备对备份介质管理能力；支持各种备份方式，可以定期自动备份，还可设立备份自动启动和停止日期；支持各种校验手段（如字节校验、CRC循环冗余校验、迅速磁带扫描），以保证备份对的性；提供联机数据备份功能；支持RAID容错技术和图像备份功能。信息安全重要涉及到信息传播安全、信息存储安全以及对网络传播信息内容审计三方面。信息安全信息传播安全（动态安全）数据加密数据完整性鉴别防抵赖信息存储安全（静态安全）数据库安全终端安全信息防泄密信息内容审计顾客鉴别授权1鉴别：鉴别是对网络中主体进行验证过程，普通有三种办法验证主体身份。一是只有该主体理解秘密，如口令、密钥；二是主体携带物品，如智能卡和令牌卡；三是只有该主体具备独一无二特性或能力，如指纹、声音、视网膜或签字等。

☆口令机制：口令是互相商定代码，假设只有顾客和系统懂得。口令有时由顾客选取，有时由系统分派。普通状况下，顾客先输入某种标志信息，例如顾客名和ID号，然后系统询问顾客口令，若口令与顾客文献中相匹配，顾客即可进入访问。口令有各种，如一次性口令，系统生成一次性口令清单，第一次时必要使用X，第二次时必要使用Y，第三次时用Z,这样始终下去；尚有基于时间口令，即访问使用对的口令随时间变化，变化基于时间和一种秘密顾客钥匙。这样口令每分钟都在变化，使其更加难以猜测。

☆智能卡：访问不但需要口令，也需要使用物理智能卡。在容许其进入系统之前检查与否容许其接触系统。智能卡大小形如信用卡，普通由微解决器、存储器及输入、输出设施构成。微解决器可计算该卡一种唯一数（ID）和其他数据加密形式。ID保证卡真实性，持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份辨认码（PIN）同步使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比老式口令办法进行鉴别更好，但其携带不以便，且开户费用较高。

☆主体特性鉴别：运用个人特性进行鉴别方式具备很高安全性。当前已有设备涉及：视网膜扫描仪、声音验证设备、手型辨认器。2数据传播安全系统：

数据传播加密技术目是对传播中数据流加密，以防止通信线路上窃听、泄漏、篡改和破坏。如果以加密实现通信层次来区别，加密可以在通信三个不同层次来实现，即链路加密（位于OSI网络层如下加密），节点加密，端到端加密（传播前对文献加密，位于OSI网络层以上加密）。

普通惯用是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同加密密钥提供安全保护。链路加密是面向节点，对于网络高层主体是透明，它对高层合同信息（地址、检错、帧头帧尾）都加密，因而数据在传播中是密文，但在中央节点必要解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封,然后作为不可阅读和不可辨认数据穿过互联网，当这些信息一旦到达目地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体，它不对下层合同进行信息加密，合同信息以明文形式传播，顾客数据在中央节点不需解密。

数据完整性鉴别技术:当前，对于动态传播信息，许多合同保证信息完整性办法大多是收错重传、丢弃后续包办法，但黑客袭击可以变化信息包内部内容，因此应采用有效办法来进行完整性控制。

☆报文鉴别：与数据链路层CRC控制类似，将报文名字段（或域）使用一定操作构成一种约束值,称为该报文完整性检测向量ICV（IntegratedCheckVector）。然后将它与数据封装在一起进行加密，传播过程中由于侵入者不能对报文解密，因此也就不能同步修改数据并计算新ICV，这样，接受方收到数据后解密并计算ICV，若与明文中ICV不同，则以为此报文无效。

☆校验和：一种最简朴易行完整性控制办法是使用校验和，计算出该文献校验和值并与上次计算出值比较。若相等，阐明文献没有变化；若不等，则阐明文献也许被未察觉行为变化了。校验和方式可以查错，但不能保护数据。

☆加密校验和：将文献提成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当算法，这种完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只合用于那些完整性规定保护极高状况。

☆消息完整性编码MIC（MessageIntegrityCode）:使用简朴单向散列函数计算消息摘要，连同信息发送给接受方，接受方重新计算摘要，并进行比较验证信息在传播过程中完整性。这种散列函数特点是任何两个不同输入不也许产生两个相似输出。因而，一种被修改文献不也许有同样散列值。单向散列函数可以在不同系统中高效实现。

☆防抵赖技术：它涉及对源和目地双方证明，惯用办法是数字签名，数字签名采用一定数据互换合同，使得通信双方可以满足两个条件：接受方可以鉴别发送方所宣称身份，发送方后来不能否认她发送过数据这一事实。例如，通信双方采用公钥体制，发方使用收方公钥和自己私钥加密信息，只有收方凭借自己私钥和发方公钥解密之后才干读懂，而对于收方回执也是同样道理。此外实现防抵赖途径尚有：采用可信第三方权标、使用时戳、采用一种在线第三方、数字签名与时戳相结合等。

鉴于为保障数据传播安全，需采用数据传播加密技术、数据完整性鉴别技术及防抵赖技术。因而为节约投资、简化系统配备、便于管理、使用以便，有必要选用集成安全保密技术办法及设备。这种设备应可觉得大型网络系统主机或重点服务器提供加密服务，为应用系统提供安全性强数字签名和自动密钥分发功能，支持各种单向散列函数和校验码算法，以实现对数据完整性鉴别。3数据存储安全系统:

在计算机信息系统中存储信息重要涉及纯粹数据信息和各种功能文献信息两大类。对纯粹数据信息安全保护，以数据库信息保护最为典型。而对各种功能文献保护，终端安全很重要。

数据库安全：对数据库系统所管理数据和资源提供安全保护，普通涉及如下几点。☆一，物理完整性，即数据可以免于物理方面破坏问题，如掉电、火灾等；☆二，逻辑完整性，可以保持数据库构造，如对一种字段修改不至于影响其他字段；☆三，元素完整性，涉及在每个元素中数据是精确；☆四，数据加密；☆五，顾客鉴别，保证每个顾客被对的辨认，避免非法顾客入侵；☆六，可获得性，指顾客普通可访问数据库和所有授权访问数据；☆七，可审计性，可以追踪到谁访问过数据库。

要实现对数据库安全保护，一种选取是安全数据库系统，即从系统设计、实现、使用和管理等各个阶段都要遵循一套完整系统安全方略；二是以既有数据库系统所提供功能为基本构作安全模块，旨在增强既有数据库系统安全性。

终端安全：重要解决微机信息安全保护问题，普通安全功能如下。基于口令或（和）密码算法身份验证，防止非法使用机器；自主和强制存取控制，防止非法访问文献；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘拷贝和硬盘启动；数据和程序代码加密存储，防止信息被窃；防止病毒，防止病毒侵袭；严格审计跟踪，便于追查责任事故。4信息内容审计系统：

实时对进出内部网络信息进行内容审计，以防止或追查也许泄密行为。因而，为了满足国家保密法规定，在某些重要或涉密网络，应当安装使用此系统。安全管理面对网络安全脆弱性，除了在网络设计上增长安全服务功能，完善系统安全保密办法外，还必要花大力气加强网络安全管理，由于诸多不安全因素恰恰反映在组织管理和人员录取等方面，而这又是计算机网络安全所必要考虑基本问题，因此应引起各计算机网络应用部门领导注重。

1安全管理原则网络信息系统安全管理重要基于三个原则。(1)多人负责原则

每一项与安全关于活动，都必要有两人或多人在场。这些人应是系统主管领导指派，她们忠诚可靠，能胜任此项工作；她们应当订立工作状况记录以证明安全工作已得到保障。如下各项是与安全关于活动：

①访问控制使用证件发放与回收；

②信息解决系统使用媒介发放与回收；

③解决保密信息；

④硬件和软件维护；

⑤系统软件设计、实现和修改；

⑥重要程序和数据删除和销毁等；

(2)任期有限原则

普通地讲，任何人最佳不要长期担任与安全关于职务，以免使她以为这个职务是专有或永久性。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。(3)职责分离原则

在信息解决系统工作人员不要打听、理解或参加职责以外任何与安全关于事情，除非系统主管领导批准。出于对安全考虑，下面每组内两项信息解决工作应当分开。

①计算机操作与计算机编程；

②机密资料接受和传送；

③安全管理和系统管理；

④应用程序和系统程序编制；

⑤访问证件管理与其他工作；

⑥计算机操作与信息解决系统使用媒介保管等。2安全管理实现信息系统安全管理部门应依照管理原则和该系统解决数据保密性，制定相应管理制度或采用相应规范。详细工作是：

①依照工作重要限度，拟定该系统安全级别。

②依照拟定安全级别，拟定安全管理范畴。

③制定相应机房出入管理制度：对于安全级别规定较高系统，要实行分区控制，限制工作人员出入与己无关区域。出入管理可采用证件辨认或安装自动辨认登记系统，采用磁卡、身份卡等手段，对人员进行辨认、登记管理。

④制定严格操作规程：操作规程要依照职责分离和多人负责原则，各负其责，不能超越自己管辖范畴。

⑤制定完备系统维护制度：对系统进行维护时，应采用数据保护办法，如数据备份等。维护时要一方面经主管部门批准，并有安全管理人员在场，故障因素、维护内容和维护先后状况要详细记录。

⑥制定应急办法：要制定系统在紧急状况下，如何尽快恢复应急办法，使损失减至最小。建立人员雇用和辞退制度，对工作调动和离职人员要及时调节相应授权。2.3河北省交通厅网络规划依照河北省交通厅实际应用及分析，咱们以为整个网络采用1000M光纤骨干、100M到桌面以太网互换技术做为网络核心技术、采用先进防火墙设备、内网和外网物理分隔等手段保证整个网络安全有效地工作。信息中心广域连接采用CISCO3662路由器。提供局域网到Internet连接。在信息中心放置一台CISCO公司Catalyst6506互换机作为中心互换机。提供整个网络核心信息互换功能，2楼与4楼设备间里各放置两台CISCO3550互换机做堆叠后连至中心Catalyst6506，作为接入层互换机，为顾客提供到桌面连接。为防止非法入侵及黑客袭击，在路由器与中心互换机间放置一台世界领先CISCOPIX525防火墙，为网络客户提供安全性、可靠性。顾客数据资料相称重要，服务器应能7X24小时工作，因而，咱们选取IBMX255服务器，作为顾客文献服务器、DHCP和主域控制器。河北省交通厅网络系统工程整体网络构造如图2.1所示，在下面各章节中，咱们将对网络各某些设计方案作以详细简介。图2.1国家文物局广域网整体网络构造图2.4网络设备选型分析依照网络系统建设原则，从安全可靠、高性能角度考虑咱们推荐使用世界知名网络产品－CISCO产品系列。网络厂商简介美国Cisco系统公司是世界上领先地位网间网互联技术和产品（涉及多合同路由器、ATM互换机、局域网互换机、访问服务器、网间网管理软件）供应商。Cisco系统公司在向市场提供产品近十个年头里，始终掌握网际互联系统全球市场50%以上。迄今为止，Cisco系统公司已为世界上40个国家25，000各种顾客安装了超过300,000台网际网互联设备。上述众多顾客构成了广泛纵向市场范畴，涉及电信业、金融业、服务业、工业、零售业、政府部门及教诲机构等市场某些。Cisco系统公司是S&P500家之一，亦是”幸福”500家之一。依照权威市场研究公司Dataquest最新调查成果，Cisco公司在97财年名列世界十大电信公司之一，成为全球最快电信产品供应商。2.4.1主干路由器选型由于主干路由器是整个网络出口，所有进出数据都汇聚到这里，因而需要中心点具备较高解决性能、可靠性和冗余度。同步，考虑到网络中心点此后扩展能力，在中心点咱们配备了一台高性能Cisco3662路由器作为核心路由器。产品简介Cisco3662路由器是Cisco3660系列中最具代表性。Cisco3660系列平台在非常成功Cisco2600和3600系列产品基本上，在密度、性能、稳固性和可服务性等方面进行了大量改进，使其可作为客户设备（CPE）用于大型分支机构应用或完毕电话服务。Cisco3600通用性保证了它远全满足当前分支机构和公司对数据、话音、视频和混合拨号访问应用需求，为多服务应用不断增长带宽需求提供了必要高速连接。Cisco3660系列平台主板上集成了10/100自适应以太网端口，释放了所有6个网络模块插槽，从而可以支持更高密度LAN/WAN或多服务集合。此外，主板上2个高档集成模块（AIM）插槽可以支持更强解决能力。Cisco3660系列产品插槽多优势和新网络模块增强性能结合在一起，可以支持新商业应用，如更高密度分组话音集合和分支机构异步传播模式（ATM）访问，后者范畴可以从T1/E1ATM反向多路复用技术（IMA）始终到OC-3接口。Cisco3660系列产品到当前为止已有70各种不同接口可供使用，为客户特定应用提供了大量配备选项，从而具备了空前通用性、无可匹敌性能和广泛灵活性。Cisco3660系列产品可以与Cisco1600，1700，2600和3600系列多服务平台共享模块接口，因而保护了客户投资，减少了与备件关于运营成本，并简化了培训过程。Cisco3660系列产品模块化机箱设计充分考虑到了高可用性和可服务性，使其成为网络中一种非常坚实又高效经济单元，核心任务应用可以放心地配备在这样网络中。Cisco3660系列产品独到之处还涉及综合电源冗余选项和模块热互换能力，它们为核心功能提供了更高产品可用性。Cisco3660系列产品可按照某些不同配备订购。基本系统由如下某些构成：1或2个集成10/100端口6个用来支持网络模块扩展槽2个用于硬件加速和提高解决能力高档集成模块（AIM）插槽支持冗余交流或直流电源机箱1个辅助端口1个控制台端口2个用于备份软件和配备PCMCIA卡插槽Cisco3660系列产品提供了同类网络模块以及冗余电源热互换能力，从而保证了产品高可用性。后部接入分布线使连接更为容易，模块化设计使现场可更换单元（FRU）维修更加以便。通过使用CiscoWorks、CiscoView和CiscoViewStack管理接口应用程序，Cisco3660系列产品网络管理能力更加强大。上述这些应用程序早已被用于管理既有网络系统中安装大量Cisco产品，因而，这为网络技术支持人员提供了较为熟悉网络管理环境。Cisco3660系列产品一种重要长处是它运营CiscoIOS软件，该操作系统在世界各地大某些Internet骨干设备都得到了应用。安装使用Cisco3660客户立即可以拥有CiscoIOS丰富功能，它支持大量应用程序，可以满足客户日益增长业务需要。重要功能和长处Cisco3660系列产品重要功能和长处涉及：密度和性能－－Cisco3660系列多服务平台配备了集成端口以及6个扩展槽，可以支持新业务应用，如更高密度分组话音集合和使用T1/E1IMA或OC-3接口分支机构ATM访问。Cisco3660系列产品增长了70％以上解决能力，并且在诸多配备中，在更快凑机箱中，配备密度比Cisco3640提高了一倍。

表1:

Cisco3660和Cisco3640密度对比

功能Cisco3660Cisco3640模仿话音端口24个12个数字话音端口E1360个

T1288个E1或T1120个内置数字Modem端口120个60个内置模仿Modem端口96个48个异步端口/外部Modem端口192个96个同步端口48个24个高可用性设计－－Cisco3660系列产品冗余交流和直流电源选项为核心任务应用提供了一种坚实平台。此外，同类网络模块（NM）热互换和电源供应使高可用性环境正常工作时间更长。数据、话音、视频和混合拨号访问集成－－Cisco3660系列产品使顾客可以支持最各种类应用，涉及在单一平台上实现数据、话音、视频和混合拨号访问集成。单一平台上用程序集合通过简化分支机构网络环境配备、备份、支持、管理，提高了系统运营效率，减少了网络成本。当前可用于这些插槽模块接口有70各种，从而具备了无与伦比通用性。保护投资－－Cisco3660系列产品可以与Cisco1600，1700，2600和3600系列平台共享模块接口，这样简化了对网络支持规定，增进了规模经济，最大限度地减少了培训成本，为满足当前和将来小型、中型和大型分支机构需要提供了顾客特定各种选项。除此之外，Cisco3600系列产品支持模块组件现场升级能力使客户不必通过远程分支机构解决方案全面升级，就可以很容易地改就网络接口和其他组件。减少拥有成本－－通过将内置数据服务设备/信道服务设备（CSU/DSU）、综合业务数字网（ISDN）终端（NT1）设备、以及分支机构布线室内其他设备功能集成在一起，Cisco3660系列产品提供了一种节约空间和成本解决方案，并且该解决方案还可以使用CiscoWorks和CiscoView这样网络管理软件进行远程管理。其他功能和长处通用性可以提供大量LAN、WAN接口模块化构造使针对个别需要客户化工作非常容易，它所具备灵活性使您可以依照业务成长逐渐地添加模块化接口。接口馈送和速率范畴可以从异步300bps始终到ATMOC-3，可以连接IP、ATM、帧中继以及TDM网络，满足任何大型公司分支机构办公环境需要。对这些接口全面描述请参见表2。便于高密度数字话音接口与附加功能整合，提供了一种非常节约成本解决方案。例如，一种典型分支机构也许使用Cisco3660系列产品进行如下整合：

－与一种分支机构和小互换机（PBX）或公共互换电话网（PSTN）连接2个数字话T1或E1

-连接到地区办公机构8倍速T1/E1ATMIMA干线

-30个用于拨号访问服务数字调制解调器

-连接老式设备串行线机箱是专为电信公司和公司/CPE环境布而设计。下表详细描述了哪一种机箱合用于哪一种环境。

表2:

Cisco3660系列产品机箱对比表

特性电信公司公司机箱型号3662-AC-CO3661-AC,3661-DC

3662-DC-CO3662-AC,3662-DC快闪存储器16MB8MBSDRAM32MB32MB原则一致性符合NebsLevel3和ETSI不符合NebsLevel3或ETSI外形尺寸深度12英寸（300mm），满足电信公司环境规定深度超过12英寸（300mm），不满足电信公司环境规定软件仅支持图象Telco或TelcoPlus软件。与Telco一起供货。Telco基本上是带有Telco功能IP，TelcoPlus重要是带有Telco功能公司增强软件典型IOS图象支持功能与IP一起供货。塑料挡板出于防火考虑，不与机与机箱一起供货箱一起供货模块接口卡由Cisco1600，1700，2600，3600系列多服务平台共享，减少了维护模块组件库存成本，减少了服务支持人员培训成本。所有部件都是现场可升级，使维护更快、更容易、成本更低。性能高性能RISC构造可以提供最高120Kpps迅速互换能力和最高12Kpps解决互换能力。支持两个AIM插槽，可用于硬件加速和增长解决能力，以满足网络扩展后应用程序规定。支持从ATMT1/E1IMA到OC-3接口，为分支办公机构到地区办公机构连接提供了非常大灵活性和很高带宽，可以满足将来应用需要。可靠性冗余交流或直流电源选项提供了高可用性环境需要持续行能力。在不中断其他接口数据流状况下可进行风类网络模块热互换。可以对机架所有重要部件进行全面诊断和错误报告，这些部件涉及电源、主板、底板和电扇双列快闪存储器可以将CiscoIOS备份快闪存储器上，减少了宕机时间LED状态批示器使您对接口活动状态、系统状态、单个电源状态一览无余平台可管理性支持CiscoWorks、CiscoWorks和CiscoView，简化了Cisco3660系列所有集成部件管理，实现了网络中Cisco设备一致性网络管理。增强了设立功能，在整个配备过程中进行先后关联式提问，对顾客进行引导，使安装速度更快。自动安装功能可以通过WAN连接对远程单元进行自动配备，节约了将技术人员派往远程地点费用。支持Cisco发现合同（CDP），使CiscoWorks网络工作站可以自动发现网络拓扑间中Cisco3660系列产品。高度可服务设计所有网络接口都安装在各个单元背面，简化了安装和线缆管理。独特模块化设计具备易于打开和现场可更换特性，可以迅速且容易地进行安装升级、现场更换和提供对大量系统组件服务CiscoIOS软件CiscoIOS全面支持使客户可以跨各种应用配备各种功能，涉及：话音信令－－CiscoIOS提供了一组强大信令发送功能，能广泛于分组电话应用外部互换站（FXS）、配有Wink、及时和延迟启动外部互换室（FXO）、带有基本或环路启动E&M、当前提供基本速率接口（BRI）信令是一种变种，ISDN初级速率接口（PRI）和其他公用信道信令变种已在规划之中。WAN优化－－支持视需拨号路由选取（DDR）和拨号备份，以及合同欺骗和瞬象路由选取，可以减少不必要WAN流量。除此之外，ATM、帧中继、专线和拨号网络上应用数据压缩可以进一步地减少WAN成本，增长有效带宽。服务质量（QOS）－－资源预定合同（RSVP）、合同独立多点传送（PIM）、普通传播整形、承诺访问速度（CAR）、常规和优先排队、加权公平排队（WFQ）等功能可以保证新应用服务质量（QOS），如通过WAN进行电话会议。拨号访问－－支持所有访问合同集，涉及：点对点合同（PPP）、多链路PPP（MLPPP）、集成模仿和数字调制解调器、56Kbps/V.90、拨出和传真输出、基本速率接口（RBI）调制解调器、信道关联信令（CAS）。安全性－－支持CiscoIOS软件防火墙功能集、符合数据加密原则（DES）IPDEC、3DES数据加密、隧道传播、扩展访问列表、违规记录、远程访问拨入顾客服务（RADIUS）、KerberosV以及涉及身份鉴定、授权和帐目清算（AAA）三项内容TACACS+。使用AIM插槽硬件加密在不远将来将投入使用。支持Cisco支持解决方案设计只有一种目，即让客户可以迅速地得到恰当资源。Cisco支持网络由技术援助中心（TAC）工程师、开发工程师、现场工程师、备件仓库、配送服务和服务供应商构成。通过将Cisco支持作为Cisco设备采购内容一某些，客户立即可以获得大量支持资源。总结新网络变化了公司网络前景。Cisco3660系列产品提供了一种多服务平台，为满足客户网络需求提供了更高密度、更强性能、更大扩展能力，从而保护了客户投资。具备电源冗余选项和网络模块热互换功能Cisco3660系列是为高可用性环境而设计，它为集成所有分支机构网络规定提供了一种单一平台。此外，Cisco3660系列可以与Cisco1600、1700、2600和3600系列多服务平台共享既有接口卡，这保证了客户可以进一步运用其在硬件和培训上已有投资，减少了总体成本。强大话音、视频、拨号访问和数据网络功能使Cisco3660在大型分支机构和CPE环境领域成为业界最灵活、最先进多服务解决方案之一。技术规范

表3:

系统规范

Cisco3660系列解决器类型225MHzRISCQEDRM5271快闪存储器8MB，可升级至64MB系统内存32MBSDRAM。可升级至128或256MBSDRAM网络模块插槽6个插槽高档集成模块（AIM）插槽2个插槽板上LAN端口1或2个自适应10/100Mbps以太网端口电源双直流、双交流或单直流、单交流配备250W电源体积8.7×17.5×11.8英寸（221×445×300毫米）性能100到120Kpps迅速互换和10到12Kpps解决互换控制台和辅助端口（最快11.5kbps）支持机架安装支持，19英寸长，中心安装双TypeIIPCMCIA卡插槽支持

表6:

技术规范

项目规格尺寸8.7×17.5×11.8英寸（221×445×300毫米）重量32英镑（14.55公斤）（最小）43英镑（19.55公斤）（最大）电源规定输出每个电源最大提供250W交流输入电压100-240V频率50-60Hz交流输入电流100V，4A或200V，2A直流输入电压-38V到-75V直流输入电流-48V,8A环境指标工作温度32°-104℉（0°-40℃）非工作温度-13°-158℉（-25°-70℃）相对湿度5-95％噪音电平（最大）48dbA规范一致性Cisco3660系列遵循大量不同安全性、EMI、抗扰性和网络拟定原则。2.4.2主干互换机选型在信息中心主互换机起到了至关重要作用，它肩负了最大数据流量（内部和外部信息互动）和整个网络路由互换功能，因而它具备足够带宽和路由功能。基于以上考虑，在本方案中咱们建议选用Cisco公司Catalyst6500互换机系列中Catalyst6506作为中心互换机。Catalyst6000系列互换机概览由Catalyst6500系列和Catalyst6000系列产品构成Catalyst6000家族为公司网络和服务供应商网络提供了一系列高性能多层互换解决方案。Catalyst6000家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层互换不端增长需求而设计，是Catalyst4000和5000系列以及Cisco8500系列互换机补充和完善，这些产品将继续提供相应重要配线柜和ATM网络核心解决方案。这些Cisco家族产品共同提供了广泛智能互换解决方案，使公司内部网和Internet可以支持多媒体、核心任务数据和语音应用。Catalyst6000家族提供了出众可扩展性和性能/价格比，可以支持广泛接口密度、性能以及高可用性选项。作为Cisco内容组网体系构造一种核心构成某些，Catalyst6000家族提供了前所未有商业灵活性，使公司可以迅速布置新Internet应用并因而提高自己收入和减少运营成本。当与应用智能、服务质量（QoS）机制和安全性功能结合在一起时，客户将可以在不牺牲网络性能状况下更有效地使用自己网络提供更多客户机服务，如组播和公司资源规划（ERP）应用。Cisco内容组网通过提供Internet商业应用（这些应用例子涉及电子商务、供应链管理以及劳动力优化）创造了一种Internet商业生态系统，这一系统使公司和自己客户、供应商和商业合伙伙伴更快密地结合在一起。通过CiscoAssure，运用象特殊顾客、IP地址或应用程序这样Layer2、3、4信息，将可以以端对端形式应用网络方略。重要长处可扩展互换性能Catalyst6000家族由Catalyst6000系列和Catalyst6500系列构成。Catalyst6500系列体系构造所支持可扩展互换带宽最高可以达到256Gbps和210Mpps。对于不规定Catalyst6500系列性能客户，Catalyst6000系列提供了一种费效比更优解决方案，可以将主干带宽提高到32Gbps，将多层互换性能提高到15Mpps。为实现投资保护，所有互换机（竖直和水平插槽机箱）都支持相似监管器、接口板卡以及公共设备，提供了广泛性价比选取。使用交叉互换网体系构造Cisco6500系列可以将自己互换带宽提高到256Gbps。通过支持以成熟Cisco迅速转发（CEF）体系构造为基本基于硬件转发功能，这一平台提供了优秀控制面板可扩展性，为电子商务和Cisco内容交付网络提供了智能互换体系构造。通过度布式转发，转发信息被分发到智能板卡，这一方式进一步增强了平台性能并提供了无与伦比系统性能和可扩展性级别。可扩展端口密度Catalyst6000家族由Catalyst6000系列（图1）和Catalyst6500系列（图2）构成。Catalyst6000和Catalyst6500系列都可以使用6插槽机箱和9插槽机箱。此外，Catalyst6000系列还可以支持一种使用9个竖直插槽机箱（WS-C6509-NEB）以及一种13插槽机箱，提供了广泛配备选项和性价比选项。9插槽竖直机箱是为符合网络设备创立系统（NEBS）Level3而设计，具备先后对流功能，非常适当用于服务供应商环境。它也合用于那些将先后对流作为首选公司客户环境。13插槽机箱是是最新加入到机箱系列之中成员，非常适当用于在网络各个构成某些实现高性能、高品位口密度迅速以太网和千兆位以太网集中，涉及访问层、分发层、主干层以及服务器组和数据中心环境。13插槽机箱中最多可以有12个可用有效载荷插槽，提供了行业领先10/100和千兆位以太网端口密度，同步提供了无与伦比网络弹性水平。Catalyst6000和6500系列互换机都支持广泛接口类型和密度，涉及最高可以支持576个10/100以太网端口、288个100BASE-FX迅速以太网端口以及194个千兆位以太网端口-这些数字在行业内是最高。客户还可以使用迅速以太通道或千兆位以太通道技术集中最多8个物理迅速以太网或千兆位以太网链路，使逻辑连接容量最高可以达到16Gbps。Catalyst6000系列提供了行业领先千兆位以太网互换解决方案，可以满足当今规定最高和迅速增长公司和服务供应商网络规定。LAN/WAN/MAN集中Catalyst6000家族使用FlexWAN模块通过一种单一多层互换平台提供了无缝IAN/WAN/MAN集中。通过Cisco7200/7500系列提供成熟端口适配器技术，可以支持各种不同WAN接口，涉及T1/E1、T3/E3、OC-3ATM以及SONET分组（POS）功能。每一FlexWAN模块最多可以接受2个Cisco7200/7500系列WAN端口适配器，提供了分布式、以线速度转发和智能化网络服务（见表1）。表1Catalyst6000家族密度和容量体系构造Catalyst6000系列Catalyst6500系列Catalyst6500系列底板带宽32Gbps32Gbps256Gbps千兆位以太网端口数量130194178100FX以太网端口数量19228826410/100以太网端口数量38457652810BASE-FL端口数量192288-ATMOC-12端口数量812-FlexWAN模块数量812-智能IP服务Catalyst6000家族支持与Catalyst4000和Catalyst5000系列同样软件体系构造，提供基于CiscoIOS软件行业领先服务。CiscoIOS软件提供了一套全面软件服务，可用于管理网络安全性、资源分派和加强QoS、以及提供可以实现高网络弹性增值服务。CiscoIOS软件还提供了基于CiscoWorks和Cisco资源管理器管理框架，这是两个所有Cisco产品都可以支持基于Web集成管理工具。通过合同独立组播（PIM）、Internet群组管理合同（IGMP）、Cisco群组管理合同（CGMP）和GARP组播登记合同（GMPR）实现高效内部网多媒体和组播支持可觉得多媒体和组播应用提供端对端可扩展带宽。这些服务可以只向那些预订了个体组播群组互换机顾客转发有关通信流，而不会影响其她顾客。使用象IP优先级位、CiscoInterSwitchLink（ISL）和802.1p帧或Layer4端口编号这样Layer2、3、4信息，可以使QoS方略得到强化。在Catalyst6000家族互换机内部，具备可配备阈值各种队列使用加权随机初期检测（WRED）、加权循环（WRR）以及服务类型/服务级别（ToS/CoS）映射机制来保证当数据分组通过Layer2和Layer3边界时QoS可以得到维护。高档方略制定功能可以支持通信流猝发以及以每客户和每应用为对象实行差别服务。此外还可以使用资源保存合同（RSVP）优先级映射，以保证及时发送对时间敏感内部网应用。网络安全性是由安全端口过滤功能来支持，这一功能使个体端口可以做到只容许特定工作站才可以进行访问。TACACS+和IP允许列表可以防止对安全管理环境中互换机进行未经授权访