河北省交通厅网络系统方案设计

河北省交通厅机关办公自动化系统工程系统集成（A包）设计方案北京怡华通联信息技术有限公司2023年10月目录TOC\o"1-4"\h\z第一章项目概述 11.1项目背景 11.2河北省交通厅网络系统工程建设目的 1第二章河北省交通厅网络系统方案设计 22.1网络设计原则 22.2网络技术分析 32.2.1千兆以太网 32.2.2路由器技术 42.2.3互换机技术 82.2.4虚拟局域网(VLAN) 92.2.5网络安全及保密 122.3河北省交通厅网络规划 232.4网络设备选型分析 242.4.1主干路由器选型 252.4.2主干互换机选型 332.4.3二级互换机选型 412.4.4防火墙选型 56第三章网络管理系统 613.1交通厅网管系统需求 613.2网管系统总体设计及功能 613.3网络管理软件 62第四章服务器及备份系统 684.1服务器 684.2磁盘阵列柜 694.3磁带机 714.4备份及劫难恢复系统 72第五章技术支持与服务 76第六章项目实行计划书 78附：培训初步计划 82第一章项目概述1.1项目背景随着科学的发展和现代通信技术的不断进步，网络化通信已经成为人们平常生活中必不可少的工具。借助于四通八达的信息网络，跨地区、跨国界的实时信息交流日益改变着人们的生产、生活方式。信息技术、信息产业已成为国家经济增长、科技（军事、教育、科研等）发展的最重要源泉，是国民经济发展新的增长点，它们以其特有的渗透力和影响力，对其它产业的发展起到增值器和加速器的作用，信息将成为决定21世纪人类生活质量和综合国力的首要因素。目前，Internet构成了无限的信息资源，Web浏览器成为获取信息、沟通世界的重要工具，人类置身于数字化的生存空间，人的生活方式和工作方式、公司的经营方式和服务方式都经历着前所未有的主线性变化，特别是随着电子商务和电子政务（政府上网）的推动，必将进一步刺激和推动我国的网络化、数字化发展，进而推动我国信息产业走向规模经济，并得到健康、连续的发展。信息化在政府机关不断的发生变化，并发挥着相称重要的作用，政府办公网络化，信息的快速传递和资源共享为政府办公提供了更快的方式和节省更多的资源，网上宣传政府业务提高政府机关的知名度，运用现代化网络技术来改变以往的政府机关工作模式，可以大大提高工作效率。根据河北省交通厅的规定，运用现代化的高新科技技术，实现工作的高效性、安全性、可靠性、灵活性等，把单位内部建设成为自动化的局域网，从而使整个网络系统既适应现代化科技发展的环境，又符合单位信息网技术体制。1.2河北省交通厅网络系统工程建设目的依据交通部和交通厅有关文献精神中对交通信息化“三网一库”描述的规定，考虑到国内信息化技术的现状和未来的发展趋势，针对河北省的交通信息化的现状，本次网络工程的建设目的重要是建立一个厅机关内部系统信息网络，实现单位内部计算机联网及资源共享，实行单位内部办公自动化系统，满足交通厅直属单位、交通部以及省政府之间联网办公。第二章河北省交通厅网络系统方案设计2.1网络设计原则河北省交通厅网络系统工程的建设目的旨在以成熟的先进技术为基础，建设一个内部业务网络系统。为了使建成后的网络系统成为一个高效性、实用化、符合业务需求的网络，我们将提出一套实现网络系统建设的具体技术方案。在网络设计中我们重要遵循了以下设计原则：1、标准化及规范性在整个网络从技术和设备的选择上，为保证不同厂家设备、不同应用以及不同协议连接的互操作性，我们将选择支持国际标准的网络接口和协议，以提供高度的开放性，保证用户可以根据将来的需要进行有效的开发和应用，提供一个良好的开放性环境。2、高性能和良好的服务质量建设一个高性能和良好服务质量的网络是保证网络真正可以实用化，真正能服务于河北省交通厅的必要条件。为了保证网络的高性能和良好的服务质量，我们在网络拓扑设计以及设备选择上将选择合理的技术方案和设备。3、可扩展性和灵活性数据通信网络作为新兴的通信网络，具有技术发展速度快、设备更新快的特点。此外随着用户业务的发展，网络系统的扩容将是不可避免的。因此在本次网络建设中将对网络的可扩充性和灵活性进行充足考虑。4、安装、操作、维护简朴的原则良好的网络设计规定对网络的安装、操作和维护简朴。在设备选择上，我们将考虑选择能提供完善网络管理平台的设备。5、性能价格比高的原则在满足网络各项性能规定情况下，兼顾设备投资情况，我们将尽也许节约网络系统的投资，使整个网络的性能价格比最高。6、安全性网络设计中我们将对网络的安全性进行重点考虑，将采用切实有效的系统安全、数据安全和网络安全措施和一套网络安全实行建议，以保障网络的安全。2.2网络技术分析2.2.1千兆以太网1、千兆以太网的发展以太网标准由IEEELAN-MAN标准委员会的802.3工作组创建并维护。近几年，802.3z工作组致力于光纤和屏蔽跨接电缆集合（“短距离铜线”）的千兆以太网解决方案。1997年春天，新的工作组802.3ab成立，研究基于4对5类缆线的“长距铜线”解决方案，其标准为4对5类UTP、最大长度100米的千兆以太网连接，该标准为以太网MAC层定义了一个接口GMII（GigabitMediaIndependentInterface），还定义了管理、中继器操作、拓扑规则及四种物理层信令系统：1000Base-SX（短波长光纤）、1000Base-LX（长波长光纤）、1000Base-CX（短距离铜线）和1000Base-T（100米4对5类UTP）。（注：1000Base-CX为150欧姆、平衡屏蔽的特殊电缆集合，线速1.25Gbps，使用基于光通道的8B/10B编码方式，其时间帧与光纤连接相同。）千兆以太网也是以太网，其产品没多大变化，重要有：互换机、上连/下连模块、网卡、千兆以太网路由器，以及一种新设备，叫缓存式分派机（buffereddistributor）。缓存式分派机是一种全双工、多端口的类似集线器的设备，将两个或工作在1Gbps以上的802.3链路连接起来。缓存式分派机把分组转发到除源链路外其它所有链路上，提供共享带宽域（与802.3的冲突域相对），也被称为“盒子中的CSMA/CD”。它与802.3的中继器（repeater）不同，允许在转发到达各链路的帧之前先加以缓冲。作为共享带宽设备，缓存式分派器应与路由器和互换机区分开。配有千兆以太网接口的路由器可以有支持高于或低于千兆速率的背板，而连到千兆以太网缓存式分派器背板的端口共享一千兆的带宽，对于多端口的千兆以太网互换机而言，其高性能背板可支持数千兆的带宽。2、千兆以太网的优点主干采用千兆以太网的好处在于：千兆位以太网将提供10倍于快速以太网的性能并与现有的10/100以太网标准兼容。同时为10/100/1000Mbps开发的虚拟网标准802.1Q以及优先级标准802.1p都已推广，千兆网已成为构成网络主干的主流技术。1998年六月已制定完毕的第一个千兆位以太网标准802.3，以使用光纤线缆和短程铜线线缆的全双工链接为对象。针对半双工和远程铜线线缆的标准802.3ab于1999年内出台。千兆位以太网将提供完美无缺的迁移途径，充足保护在现有网络基础设施上的投资。千兆位以太网将保存802.3和以太网帧格式以及802.3受管理的对象规格，从而将使公司可以在升级至千兆性能的同时，保存现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具。千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案，提供了另一条改善互换机与互换机之间骨干连接和互换机与服务器之间连接的可靠、经济的途径。网络设计人员将可以建立有效使用高速、任务关键的应用程序和文献备份的高速基础设施。网络管理人员将为用户提供对Internet、Intranet、城域网与广域网的更快速的访问。2.2.2路由器技术所谓路由就是指通过互相连接的网络把信息从源地点移动到目的地点的活动。一般来说，在路由过程中，信息至少会通过一个或多个中间节点。通常，人们会把路由和互换进行对比，这重要是由于在普通用户看来两者所实现的功能是完全同样的。其实，路由和互换之间的重要区别就是互换发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和互换在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的。路由器是互联网的重要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择（routing），这也是路由器名称的由来（router，转发者）。作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP的国际互连网络Internet的主体脉络，也可以说，路由器构成了Internet的骨架。它的解决速度是网络通信的重要瓶颈之一，它的可靠性则直接影响着网络互连的质量。因此，在园区网、地区网、乃至整个Internet研究领域中，路由器技术始终处在核心地位，其发展历程和方向，成为整个Internet研究的一个缩影。路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。从过滤网络流量的角度来看，路由器的作用与互换机和网桥非常相似。但是与工作在网络物理层，从物理上划分网段的互换机不同，路由器使用专门的软件协议从逻辑上对整个网络进行划分。例如，一台支持IP协议的路由器可以把网络划提成多个子网段，只有指向特殊IP地址的网络流量才可以通过路由器。对于每一个接受到的数据包，路由器都会重新计算其校验值，并写入新的物理地址。因此，使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的互换机慢。但是，对于那些结构复杂的网络，使用路由器可以提高网络的整体效率。路由器的此外一个明显优势就是可以自动过滤网络广播。从总体上说，在网络中添加路由器的整个安装过程要比即插即用的互换机复杂很多。一般说来，异种网络互联与多个子网互联都应采用路由器来完毕。路由器的重要工作就是为通过路由器的每个数据帧寻找一条最佳传输途径，并将该数据有效地传送到目的站点。由此可见，选择最佳途径的策略即路由算法是路由器的关键所在。为了完毕这项工作，在路由器中保存着各种传输途径的相关数据——途径表（RoutingTable），供路由选择时使用。途径表中保存着子网的标志信息、网上路由器的个数和下一个路由器的名字等内容。途径表可以是由系统管理员固定设立好的，也可以由系统动态修改，可以由路由器自动调整，也可以由主机控制。静态途径表由系统管理员事先设立好固定的途径表称之为静态（static）途径表，一般是在系统安装时就根据网络的配置情况预先设定的，它不会随未来网络结构的改变而改变。动态途径表动态（Dynamic）途径表是路由器根据网络系统的运营情况而自动调整的途径表。路由器根据路由选择协议（RoutingProtocol）提供的功能，自动学习和记忆网络运营情况，在需要时自动计算数据传输的最佳途径。路由器的类型接入路由器接入路由器连接家庭或ISP内的小型公司客户。接入路由器已经开始不只是提供SLIP或PPP连接，还支持诸如PPTP和IPSec等虚拟私有网络协议。这些协议要能在每个端口上运营。诸如ADSL等技术将不久提高各家庭的可用带宽，这将进一步增长接入路由器的承担。由于这些趋势，接入路由器将来会支持许多异构和高速端口，并在各个端口可以运营多种协议，同时还要避开电话互换网。公司级路由器公司或校园级路由器连接许多终端系统，其重要目的是以尽量便宜的方法实现尽也许多的端点互连，并且进一步规定支持不同的服务质量。许多现有的公司网络都是由Hub或网桥连接起来的以太网段。尽管这些设备价格便宜、易于安装、无需配置，但是它们不支持服务等级。相反，有路由器参与的网络可以将机器提成多个碰撞域，并因此可以控制一个网络的大小。此外，路由器还支持一定的服务等级，至少允许提成多个优先级别。但是路由器的每端口造价要贵些，并且在可以使用之前要进行大量的配置工作。因此，公司路由器的成败就在于是否提供大量端口且每端口的造价很低，是否容易配置，是否支持QoS。此外还规定公司级路由器有效地支持广播和组播。公司网络还要解决历史遗留的各种LAN技术，支持多种协议，涉及IP、IPX和Vine。它们还要支持防火墙、包过滤以及大量的管理和安全策略以及VLAN。骨干级路由器骨干级路由器实现公司级网络的互联。对它的规定是速度和可靠性，而代价则处在次要地位。硬件可靠性可以采用电话互换网中使用的技术，如热备份、双电源、双数据通路等来获得。这些技术对所有骨干路由器而言差不多是标准的。骨干IP路由器的重要性能瓶颈是在转发表中查找某个路由所耗的时间。当收到一个包时，输入端口在转发表中查找该包的目的地址以拟定其目的端口，当包越短或者当包要发往许多目的端口时，势必增长路由查找的代价。因此，将一些常访问的目的端口放到缓存中可以提高路由查找的效率。不管是输入缓冲还是输出缓冲路由器，都存在路由查找的瓶颈问题。除了性能瓶颈问题，路由器的稳定性也是一个常被忽视的问题。太比特路由器在未来核心互联网使用的三种重要技术中，光纤和DWDM都已经是很成熟的并且是现成的。假如没有与现有的光纤技术和DWDM技术提供的原始带宽相应的路由器，新的网络基础设施将无法从主线上得到性能的改善，因此开发高性能的骨干互换/路由器（太比特路由器）已经成为一项迫切的规定。太比特路由器技术现在还重要处在开发实验阶段。路由器的体系结构从体系结构上看，路由器可以分为第一代单总线单CPU结构路由器、第二代单总线主从CPU结构路由器、第三代单总线对称式多CPU结构路由器；第四代多总线多CPU结构路由器、第五代共享内存式结构路由器、第六代交叉开关体系结构路由器和基于机群系统的路由器等多类。路由器的构成路由器具有四个要素：输入端口、输出端口、互换开关和路由解决器。输入端口是物理链路和输入包的进口处。端口通常由线卡提供，一块线卡一般支持4、8或16个端口，一个输入端口具有许多功能。第一个功能是进行数据链路层的封装和解封装。第二个功能是在转发表中查找输入包目的地址从而决定目的端口（称为路由查找），路由查找可以使用一般的硬件来实现，或者通过在每块线卡上嵌入一个微解决器来完毕。第三，为了提供QoS（服务质量），端口要对收到的包提成几个预定义的服务级别。第四，端口也许需要运营诸如SLIP（串行线网际协议）和PPP（点对点协议）这样的数据链路级协议或者诸如PPTP（点对点隧道协议）这样的网络级协议。一旦路由查找完毕，必须用互换开关将包送到其输出端口。假如路由器是输入端加队列的，则有几个输入端共享同一个互换开关。这样输入端口的最后一项功能是参与对公共资源（如互换开关）的仲裁协议。互换开关可以使用多种不同的技术来实现。迄今为止使用最多的互换开关技术是总线、交叉开关和共享存贮器。最简朴的开关使用一条总线来连接所有输入和输出端口，总线开关的缺陷是其互换容量受限于总线的容量以及为共享总线仲裁所带来的额外开销。交叉开关通过开关提供多条数据通路，具有N×N个交叉点的交叉开关可以被认为具有2N条总线。假如一个交叉是闭合，输入总线上的数据在输出总线上可用，否则不可用。交叉点的闭合与打开由调度器来控制，因此，调度器限制了互换开关的速度。在共享存贮器路由器中，进来的包被存贮在共享存贮器中，所互换的仅是包的指针，这提高了互换容量，但是，开关的速度受限于存贮器的存取速度。尽管存贮器容量每18个月可以翻一番，但存贮器的存取时间每年仅减少5%，这是共享存贮器互换开关的一个固有限制。输出端口在包被发送到输出链路之前对包存贮，可以实现复杂的调度算法以支持优先级等规定。与输入端口同样，输出端口同样要能支持数据链路层的封装和解封装，以及许多较高级协议。路由解决器计算转发表实现路由协议，并运营对路由器进行配置和管理的软件。同时，它还解决那些目的地址不在线卡转发表中的包。2.2.3互换机技术以太网互换机，英文为SWITCH，也有人翻译为开关，互换器或称互换式集线器。1、互换式以太网的工作原理以太网互换机的原理很简朴，它检测从以太端口来的数据包的源和目的地的MAC（介质访问层）地址，然后与系统内部的动态查找表进行比较，若数据包的MAC层地址不在查找表中，则将该地址加入查找表中，并将数据包发送给相应的目的端口。2、互换式以太网技术的优点互换式以太网不需要改变网络其它硬件，涉及电缆和用户的网卡，仅需要用互换式互换机改变共享式HUB，节省用户网络升级的费用。可在高速与低速网络间转换，实现不同网络的协同。目前大多数互换式以太网都具有100MBPS的端口，通过与之相相应的100MBPS的网卡接入到服务器上，暂时解决了10MBPS的瓶颈，成为网络局域网升级时首选的方案。它同时提供多个通道，比传统的共享式集线器提供更多的带宽，传统的共享式10MBPS/100MPS以太网采用广播式通信方式，每次只能在一对用户间进行通信，假如发生碰撞还得重试，而互换式以太网允许不同用户间进行传送，比如，一个16端口的以太网互换机允许16个站点在8条链路间通信。特别是在时间响应方面的优点，使得局域网互换机倍受青睐。它以比路由器低的成本却提供了比路由器宽的带宽、高的速度，除非有上广域网（WAN）的规定，否则，互换机有替代路由器的趋势。直通式（cutthrouth）与存储转发（store-and-forward）的比较：直通方式的以太网络互换机可以理解为在各端口间是纵横交叉的线路矩阵电话互换机。它在输入端口检测到一个数据包时，检查该包的包头，获取包的目的地址，启动内部的动态查找表转换成相应的输出端口，在输入与输出交叉处接通，把数据包直通到相应的端口，实现互换功能。由于不需要存储，延迟（LATENCY）非常小、互换非常快，这是它的优点；它的缺陷是：由于数据包的内容并没有被以太网互换机保存下来，所以无法检查所传送的数据包是否有误，不能提供错误检测能力，由于没有缓存，不能将具有不同速率的输入/输出端口直接接通，并且，当以太网络互换机的端口增长时，互换矩阵变得越来越复杂，实现起来相称困难。存储转发方式是计算机网络领域应用最为广泛的方式，它把输入端口的数据包先存储起来，然后进行CRC检查，在对错误包解决后才取出数据包的目的地址，通过查找表转换成输出端口送出包。正因如此，存储转发方式在数据解决时延时大，这是它的局限性，单是它可以对进入互换机的数据包进行错误检测，特别重要的是它可以支持不同速度的输入输出端口间的转换，保持高速端口与低速端口间的协同工作。2.2.4虚拟局域网(VLAN)中继协议—VTPVTP模式因为每个VLAN是一个逻辑LAN部分，所以网管员能使STP一次工作在最多64个VLAN中。如果要配置超过64个VLAN，网管员需要将其他VLAN的STP禁止，因为默认的STP可以支持1～64个VLAN。2.2.5网络安全及保密1.网络安全概述以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在进一步,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如党政部门信息系统、金融业务系统、公司商务系统等。随着网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增长应用自由度的同时,对安全提出了更高的规定，这重要表现在：

开放性的网络，导致网络的技术是全开放的，任何一个人、团队都也许获得，因而网络所面临的破坏和袭击也许是多方面的例如：也许来自物理传输线路的袭击，也可以对网络通信协议和实现实行袭击；可以是对软件实行袭击，也可以对硬件实行袭击

国际性的一个网络还意味着网络的袭击不仅仅来自本地网络的用户，它可以来自Internet上的任何一个机器，也就是说,网络安全所面临的是一个国际化的挑战。

自由意味着网络最初对用户的使用并没有提供任何的技术约束，用户可以自由地访问网络，自由地使用和发布各种类型的信息。用户只对自己的行为负责，而没有任何的法律限制。

尽管，开放的、自由的、国际化的Internet的发展给政府机构、企事业单位带来了革命性的改革和开放，使得他们可以运用Internet提高办事效率和市场反映能力，以便更具竞争力。通过Internet，他们可以从异地取回重要数据，同时又要面对网络开放带来的数据安全的新挑战和新危险。如何保护公司的机密信息不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。网络安全的概念网络安全涉及五个基本要素：机密性、完整性、可用性、可控性与可审查性。机密性：保证信息不暴露给未授权的实体或进程。完整性：只有得到允许的人才干修改数据，并且可以判别出数据是否已被篡改。可用性：得到授权的实体在需要时可访问数据，即袭击者不能占用所有的资源而阻碍授权者的工作。可控性：可以控制授权范围内的信息流向及行为方式。可审查性：对出现的网络安全问题提供调查的依据和手段。网络存在的威胁一般认为，目前网络存在的威胁重要表现在：

非授权访问：没有预先通过批准，就使用网络或计算机资源被看作非授权访问，如故意避开系统访问控制机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它重要有以下几种形式：假冒、身份袭击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。

信息泄漏或丢失：指敏感数据在故意或无意中被泄漏出去或丢失，它通常涉及，信息在传输中丢失或泄漏（如"黑客"们运用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。

破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于袭击者的响应；恶意添加，修改数据，以干扰用户的正常使用。

拒绝服务袭击：它不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。

运用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，并且用户很难防范。安全策略安全策略是指在一个特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。该安全策略模型涉及了建立安全环境的三个重要组成部分，即：

威严的法律：安全的基石是社会法律、法规、与手段，这部分用于建立一套安全管理标准和方法。即通过建立与信息安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

先进的技术：先进的安全技术是信息安全的主线保障，用户对自身面临的威胁进行风险评估，决定其需要的安全服务种类。选择相应的安全机制，然后集成先进的安全技术。

严格的管理：各网络使用机构、公司和单位应建立相宜的信息安全管理办法，加强内部管理，建立审计和跟踪体系，提高整体信息安全意识。安全服务、机制与技术安全服务：服务控制服务、数据机密性服务、数据完整性服务、对象认证服务、防抵赖服务。安全机制：访问控制机制、加密机制、认证互换机制、数字署名机制、防业务流分析机制、路由控制机制。安全技术：防火墙技术、加密技术、鉴别技术、数字署名技术、审计监控技术、病毒防治技术。

在安全的开放环境中，用户可以使用各种安全应用。安全应用由一些安全服务来实现；而安全服务又是由各种安全机制或安全技术实现的。应当指出，同一安全机制有时也可以用于实现不同的安全服务。安全工作目的安全工作的目的就是为了在安全法律、法规、政策的支持与指导下，通过采用合适的安全技术与安全管理措施，完毕以下任务：①使用访问控制机制，阻止非授权用户进入网络，即“进不来”，从而保证网络系统的可用性。②使用授权机制，实现对用户的权限控制，即不该拿走的“拿不走”，同时结合内容审计机制，实现对网络资源及信息的可控性③使用加密机制，保证信息不暴漏给未授权的实体或进程，即"看不懂"，从而实现信息的保密性。④使用数据完整性鉴别机制，保证只有得到允许的人才干修改数据，而其它人"改不了"，从而保证信息的完整性。⑤使用审计、监控、防抵赖等安全机制，使得袭击者、破坏者、抵赖者"走不脱"，并进一步对网络出现的安全问题提供调查依据和手段，实现信息安全的可审查性。2．网络安全体系结构通过对网络的全面了解，按照安全策略的规定及风险分析的结果，整个网络措施应按系统体系建立。具体的安全控制系统由以下几个方面组成：物理安全、网络安全、信息安全。物理安全保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。重要涉及三个方面：☆环境安全：对系统所在环境的安全保护，如区域保护和劫难保护（参见国家标准GB50173－93《电子计算机机房设计规范》国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全规定》）☆设备安全：重要涉及设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；☆媒体安全：涉及媒体数据的安全及媒体自身的安全。

显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等规定之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失秘的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上探取一定的防护措施，来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时，都将成为首要设立的条件。

正常的防范措施重要在三个方面：☆对主机房及重要信息存储、收发部门进行屏蔽解决：即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运营重要设备以防止磁鼓，磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采用相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风波导，门的关起等。☆对本地网、局域网传输线路传导辐射的克制，由于电缆传输辐射信息的不可避免性，现均采用了光缆传输的方式，大多数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。☆对终端设备辐射的防范终端机特别是CRT显示器,由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的规定除在订购设备上尽量选取低辐射产品外，目前重要采用积极式的干扰设备如干扰机来破坏相应信息的窃复，个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，此类虽减少了部份屏蔽效能但可大大改善工作环境，使人感到在普通机房内同样工作。网络安全网络安全系统（主机、服务器）安全反病毒系统安全检测入侵检测审计分析网络运营安全备份与恢复应急、劫难恢复局域网、子网安全访问控制（防火墙）网络安全检测1.内外网隔离及访问控制系统

在内部网与外部网之间，设立防火墙（涉及分组过滤与应用代理）实现内外网的隔离与访问控制是保护内部网安全的最重要、同时也是最有效、最经济的措施之一。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲有二大类较为常用：分组过滤、应用代理。☆分组过滤（Packetfiltering）：用在网络层和传输层，它根据分组包头源地址，目的地址和端标语、协议类型等标志拟定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。☆应用代理（ApplicationProxy）：也叫应用网关（ApplicationGateway），它作用在应用层，特点是完全“阻隔”了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。

无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些严禁的业务；记录通过防火墙的信息内容和活动；对网络袭击的检测和告警。应当强调的是，防火墙是整体安全防护体系的一个重要组成部分，而不是所有。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才干实现真正的安全。

2.内部网不同网络安全域的隔离及访问控制

在这里，防火墙被用来隔离内部网络的一个网段与另一个网段。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。而在它们之间设立防火墙就可以限制局部网络安全问题对全局网络导致的影响。3.网络安全检测

网络安全性分析系统网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。网络安全检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补求措施和安全策略，达成增强网络安全性的目的。4.审计与监控

审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅可以辨认谁访问了系统，还能指出系统正被如何地使用。对于拟定是否有网络袭击的情况，审计信息对于拟定问题和袭击源很重要。同时，系统事件的记录可以更迅速和系统地辨认问题，并且它是后面阶段事故解决的重要依据。此外，通过对安全事件的不断收集与积累并且加以分析有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或也许产生的破坏性行为提供有力的证据。因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前以较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的袭击与犯罪行为。5.网络反病毒

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。网络反病毒技术涉及防止病毒、检测病毒和消毒三种技术：

☆防止病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有:加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡等）。

☆检测病毒技术：它是通过对计算机病毒的特性来进行判断的技术，如自身校验、关键字、文献长度的变化等。☆分析病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文献的软件。

网络反病毒技术的具体实现方法涉及对网络服务器中的文献进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录及文献设立访问权限等。

6.网络备份系统

备份系统为一个目的而存在：尽也许快地全盘恢复运营计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有：场地内高速度、大容量自动的数据存储、备份与恢复；场地外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络袭击及破坏数据完整性时起到保护作用，同时亦是系统劫难恢复的前提之一。

一般的数据备份操作有三种。一是全盘备份，即将所有文献写入备份介质；二是增量备份，只备份那些上次备份之后更改过的文献，是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文献，其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。

在拟定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”的备份，即下载备份的数据还在整个计算机系统和网络中，只但是传到令一个非工作的分区或是另一个非实时解决的业务系统中存放。“冷备份”是指“不在线”的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运营的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非工作运营空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份填补了热备份的一些局限性，两者优势互补，相辅相成，由于冷备份在回避风险中还具有便于保管的特殊优点。

在进行备份的过程中，常使用备份软件，它一般应具有以下功能。保证备份数据的完整性，并具有对备份介质的管理能力；支持多种备份方式，可以定期自动备份，还可设立备份自动启动和停止日期；支持多种校验手段（如字节校验、CRC循环冗余校验、快速磁带扫描），以保证备份的对的性；提供联机数据备份功能；支持RAID容错技术和图像备份功能。信息安全重要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。信息安全信息传输安全（动态安全）数据加密数据完整性的鉴别防抵赖信息存储安全（静态安全）数据库安全终端安全信息的防泄密信息内容审计用户鉴别授权1鉴别：鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特性或能力，如指纹、声音、视网膜或签字等。

☆口令机制：口令是互相约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分派。通常情况下，用户先输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文献中的相匹配，用户即可进入访问。口令有多种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z,这样一直下去；尚有基于时间的口令，即访问使用的对的口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更加难以猜测。

☆智能卡：访问不仅需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡，一般由微解决器、存储器及输入、输出设施构成。微解决器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份辨认码（PIN）同时使用。若仅有卡而不知PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。

☆主体特性鉴别：运用个人特性进行鉴别的方式具有很高的安全性。目前已有的设备涉及：视网膜扫描仪、声音验证设备、手型辨认器。2数据传输安全系统：

数据传输加密技术目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。假如以加密实现的通信层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传输前对文献加密，位于OSI网络层以上的加密）。

一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密，并进入TCP/IP数据包回封,然后作为不可阅读和不可辨认的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据在中央节点不需解密。

数据完整性鉴别技术:目前，对于动态传输的信息，许多协议保证信息完整性的方法大多是收错重传、丢弃后续包的办法，但黑客的袭击可以改变信息包内部的内容，所以应采用有效的措施来进行完整性控制。

☆报文鉴别：与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值,称为该报文的完整性检测向量ICV（IntegratedCheckVector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也就不能同时修改数据并计算新的ICV，这样，接受方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。

☆校验和：一个最简朴易行的完整性控制方法是使用校验和，计算出该文献的校验和值并与上次计算出的值比较。若相等，说明文献没有改变；若不等，则说明文献也许被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。

☆加密校验和：将文献提成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只合用于那些完整性规定保护极高的情况。

☆消息完整性编码MIC（MessageIntegrityCode）:使用简朴单向散列函数计算消息的摘要，连同信息发送给接受方，接受方重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不也许产生两个相同的输出。因此，一个被修改的文献不也许有同样的散列值。单向散列函数可以在不同的系统中高效实现。

☆防抵赖技术：它涉及对源和目的地双方的证明，常用方法是数字署名，数字署名采用一定的数据互换协议，使得通信双方可以满足两个条件：接受方可以鉴别发送方所宣称的身份，发送方以后不能否认他发送过数据这一事实。比如，通信的双方采用公钥体制，发方使用收方的公钥和自己的私钥加密的信息，只有收方凭借自己的私钥和发方的公钥解密之后才干读懂，而对于收方的回执也是同样道理。此外实现防抵赖的途径尚有：采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字署名与时戳相结合等。

鉴于为保障数据传输的安全，需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便，有必要选取集成的安全保密技术措施及设备。这种设备应可认为大型网络系统的主机或重点服务器提供加密服务，为应用系统提供安全性强的数字署名和自动密钥分发功能，支持多种单向散列函数和校验码算法，以实现对数据完整性的鉴别。3数据存储安全系统:

在计算机信息系统中存储的信息重要涉及纯粹的数据信息和各种功能文献信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文献的保护，终端安全很重要。

数据库安全：对数据库系统所管理的数据和资源提供安全保护，一般涉及以下几点。☆一，物理完整性，即数据可以免于物理方面破坏的问题，如掉电、火灾等；☆二，逻辑完整性，可以保持数据库的结构，如对一个字段的修改不至于影响其它字段；☆三，元素完整性，涉及在每个元素中的数据是准确的；☆四，数据的加密；☆五，用户鉴别，保证每个用户被对的辨认，避免非法用户入侵；☆六，可获得性，指用户一般可访问数据库和所有授权访问的数据；☆七，可审计性，可以追踪到谁访问过数据库。

要实现对数据库的安全保护，一种选择是安全数据库系统，即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略；二是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。

终端安全：重要解决微机信息的安全保护问题，一般的安全功能如下。基于口令或（和）密码算法的身份验证，防止非法使用机器；自主和强制存取控制，防止非法访问文献；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘拷贝和硬盘启动；数据和程序代码加密存储，防止信息被窃；防止病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。4信息内容审计系统：

实时对进出内部网络的信息进行内容审计，以防止或追查也许的泄密行为。因此，为了满足国家保密法的规定，在某些重要或涉密网络，应当安装使用此系统。安全管理面对网络安全的脆弱性，除了在网络设计上增长安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理，由于诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。

1安全管理原则网络信息系统的安全管理重要基于三个原则。(1)多人负责原则

每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；他们应当签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动：

①访问控制使用证件的发放与回收；

②信息解决系统使用的媒介发放与回收；

③解决保密信息；

④硬件和软件的维护；

⑤系统软件的设计、实现和修改；

⑥重要程序和数据的删除和销毁等；

(2)任期有限原则

一般地讲，任何人最佳不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。(3)职责分离原则

在信息解决系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息解决工作应当分开。

①计算机操作与计算机编程；

②机密资料的接受和传送；

③安全管理和系统管理；

④应用程序和系统程序的编制；

⑤访问证件的管理与其它工作；

⑥计算机操作与信息解决系统使用媒介的保管等。2安全管理的实现信息系统的安全管理部门应根据管理原则和该系统解决数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是：

①根据工作的重要限度，拟定该系统的安全等级。

②根据拟定的安全等级，拟定安全管理的范围。

③制订相应的机房出入管理制度：对于安全等级规定较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入管理可采用证件辨认或安装自动辨认登记系统，采用磁卡、身份卡等手段，对人员进行辨认、登记管理。

④制订严格的操作规程：操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。

⑤制订完备的系统维护制度：对系统进行维护时，应采用数据保护措施，如数据备份等。维护时要一方面经主管部门批准，并有安全管理人员在场，故障的因素、维护内容和维护前后的情况要具体记录。

⑥制订应急措施：要制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。2.3河北省交通厅网络规划根据河北省交通厅实际应用及分析，我们认为整个网络采用1000M光纤骨干、100M到桌面以太网互换技术做为网络的核心技术、采用先进防火墙设备、内网和外网物理分隔等手段保证整个网络的安全有效地工作。信息中心广域连接采用CISCO3662路由器。提供局域网到Internet的连接。在信息中心放置一台CISCO公司的Catalyst6506互换机作为中心互换机。提供整个网络的核心信息互换功能，2楼与4楼的设备间里各放置两台CISCO3550互换机做堆叠后连至中心的Catalyst6506，作为接入层互换机，为用户提供到桌面的连接。为防止非法入侵及黑客袭击，在路由器与中心互换机间放置一台世界领先的CISCOPIX525防火墙，为网络客户提供安全性、可靠性。用户的数据资料相称重要，服务器应能7X24小时的工作，因此，我们选择IBMX255服务器，作为用户文献服务器、DHCP和主域控制器。河北省交通厅网络系统工程整体的网络结构如图2.1所示，在下面的各章节中，我们将对网络各部分的设计方案作以具体的介绍。图2.1国家文物局广域网整体网络结构图2.4网络设备选型分析根据网络系统建设的原则，从安全可靠、高性能的角度考虑我们推荐使用世界著名的网络产品－CISCO产品系列。网络厂商介绍美国Cisco系统公司是世界上领先地位的网间网互联技术和产品（涉及多协议路由器、ATM互换机、局域网互换机、访问服务器、网间网管理软件）的供应商。Cisco系统公司在向市场提供产品的近十个年头里，一直掌握网际互联系统全球市场的50%以上。迄今为止，Cisco系统公司已为世界上40个国家的25，000多个用户安装了超过300,000台网际网互联设备。上述众多用户构成了广泛的纵向市场范围，涉及电信业、金融业、服务业、工业、零售业、政府部门及教育机构等市场部分。Cisco系统公司是S&P500家之一，亦是”幸福”500家之一。根据权威的市场研究公司Dataquest的最新调查结果，Cisco公司在97财年名列世界十大电信公司之一，成为全球最快的电信产品供应商。2.4.1主干路由器选型由于主干路由器是整个网络的出口，所有进出数据都汇聚到这里，因此需要中心点具有较高的解决性能、可靠性和冗余度。同时，考虑到网络中心点此后的扩展能力，在中心点我们配置了一台高性能的Cisco3662路由器作为核心路由器。产品简介Cisco3662路由器是Cisco3660系列中最具代表性的。Cisco3660系列平台在非常成功的Cisco2600和3600系列产品的基础上，在密度、性能、稳固性和可服务性等方面进行了大量改善，使其可作为客户设备（CPE）用于大型分支机构应用或完毕电话服务。Cisco3600的通用性保证了它远全满足目前分支机构和公司对数据、话音、视频和混合拨号访问应用的需求，为多服务应用不断增长的带宽需求提供了必要的高速连接。Cisco3660系列平台的主板上集成了10/100自适应以太网端口，释放了所有6个网络模块插槽，从而可以支持更高密度的LAN/WAN或多服务集合。此外，主板上的2个高级集成模块（AIM）插槽可以支持更强的解决能力。Cisco3660系列产品插槽多的优势和新网络模块的增强性能结合在一起，可以支持新的商业应用，如更高密度的分组话音集合和分支机构异步传输模式（ATM）访问，后者的范围可以从T1/E1ATM反向多路复用技术（IMA）一直到OC-3接口。Cisco3660系列产品到目前为止已有70多个不同的接口可供使用，为客户特定应用提供了大量的配置选项，从而具有了空前的通用性、无可匹敌的性能和广泛的灵活性。Cisco3660系列产品可以与Cisco1600，1700，2600和3600系列多服务平台共享模块接口，因而保护了客户投资，减少了与备件有关的运营成本，并简化了培训过程。Cisco3660系列产品模块化机箱的设计充足考虑到了高可用性和可服务性，使其成为网络中一个非常坚实又高效经济的单元，关键任务应用可以放心地配置在这样的网络中。Cisco3660系列产品的独到之处还涉及综合的电源冗余选项和模块热互换能力，它们为关键功能提供了更高的产品可用性。Cisco3660系列产品可按照一些不同的配置订购。基本系统由以下部分组成：1或2个集成10/100端口6个用来支持网络模块的扩展槽2个用于硬件加速和提高解决能力的高级集成模块（AIM）插槽支持冗余交流或直流电源的机箱1个辅助端口1个控制台端口2个用于备份软件和配置的PCMCIA卡插槽Cisco3660系列产品提供了同类网络模块以及冗余电源的热互换能力，从而保证了产品的高可用性。后部接入分布线使连接更为容易，模块化设计使现场可更换单元（FRU）的维修更加方便。通过使用CiscoWorks、CiscoView和CiscoViewStack管理接口应用程序，Cisco3660系列产品的网络管理能力更加强大。上述这些应用程序早已被用于管理现有网络系统中安装的大量Cisco产品，因此，这为网络技术支持人员提供了较为熟悉的网络管理环境。Cisco3660系列产品的一个重要优点是它运营CiscoIOS软件，该操作系统在世界各地大部分的Internet骨干设备都得到了应用。安装使用Cisco3660的客户立即可以拥有CiscoIOS的丰富功能，它支持大量的应用程序，可以满足客户日益增长的业务需要。重要功能和优点Cisco3660系列产品的重要功能和优点涉及：密度和性能－－Cisco3660系列多服务平台配置了集成端口以及6个扩展槽，可以支持新的业务应用，如更高密度的分组话音集合和使用T1/E1IMA或OC-3接口的分支机构ATM访问。Cisco3660系列产品增长了70％以上的解决能力，并且在很多配置中，在更加紧凑的机箱中，配置密度比Cisco3640提高了一倍。

表1:

Cisco3660和Cisco3640的密度对比

功能Cisco3660Cisco3640模拟话音端口24个12个数字话音端口E1360个

T1288个E1或T1120个内置数字Modem端口120个60个内置模拟Modem端口96个48个异步端口/外部Modem端口192个96个同步端口48个24个高可用性设计－－Cisco3660系列产品的冗余交流和直流电源选项为关键任务应用提供了一个坚实的平台。此外，同类网络模块（NM）的热互换和电源供应使高可用性环境的正常工作时间更长。数据、话音、视频和混合拨号访问的集成－－Cisco3660系列产品使用户可以支持最多种类的应用，涉及在单一平台上实现数据、话音、视频和混合拨号访问的集成。单一平台上用程序的集合通过简化分支机构网络环境的配置、备份、支持、管理，提高了系统运营效率，减少了网络成本。目前可用于这些插槽的模块接口有70多个，从而具有了无与伦比的通用性。保护投资－－Cisco3660系列产品可以与Cisco1600，1700，2600和3600系列平台共享模块接口，这样简化了对网络支持的规定，促进了规模经济，最大限度地减少了培训成本，为满足现在和将来小型、中型和大型分支机构的需要提供了用户特定的各种选项。除此之外，Cisco3600系列产品支持模块组件现场升级的能力使客户不必通过远程分支机构解决方案的全面升级，就可以很容易地改就网络接口和其它组件。减少拥有成本－－通过将内置数据服务设备/信道服务设备（CSU/DSU）、综合业务数字网（ISDN）终端（NT1）设备、以及分支机构布线室内其它设备的功能集成在一起，Cisco3660系列产品提供了一个节省空间和成本的解决方案，并且该解决方案还可以使用CiscoWorks和CiscoView这样的网络管理软件进行远程管理。其它功能和优点通用性可以提供大量LAN、WAN接口的模块化结构使针对个别需要的客户化工作非常容易，它所具有灵活性使您可以根据业务的成长逐步地添加模块化接口。接口馈送和速率的范围可以从异步300bps一直到ATMOC-3，可以连接IP、ATM、帧中继以及TDM网络，满足任何大型公司分支机构办公环境的需要。对这些接口的全面描述请参见表2。便于高密度数字话音接口与附加功能的整合，提供了一个非常节约成本的解决方案。例如，一个典型的分支机构也许使用Cisco3660系列产品进行以下整合：

－与一个分支机构和小互换机（PBX）或公共互换电话网（PSTN）连接的2个数字话T1或E1

-连接到地区办公机构的8倍速T1/E1ATMIMA干线

-30个用于拨号访问服务数字调制解调器

-连接传统设备的串行线机箱是专为电信公司和公司/CPE环境布而设计。下表具体描述了哪一种机箱合用于哪一种环境。

表2:

Cisco3660系列产品机箱对比表

特性电信公司公司机箱型号3662-AC-CO3661-AC,3661-DC

3662-DC-CO3662-AC,3662-DC快闪存储器16MB8MBSDRAM32MB32MB标准一致性符合NebsLevel3和ETSI不符合NebsLevel3或ETSI外形尺寸深度12英寸（300mm），满足电信公司环境的规定深度超过12英寸（300mm），不满足电信公司环境的规定软件仅支持图象的Telco或TelcoPlus软件。与Telco一起供货。Telco基本上是带有Telco功能的IP，TelcoPlus重要是带有Telco功能的公司增强软件典型IOS图象支持功能与IP一起供货。塑料挡板出于防火的考虑，不与机与机箱一起供货箱一起供货模块接口卡由Cisco1600，1700，2600，3600系列多服务平台共享，减少了维护模块组件库存的成本，减少了服务支持人员的培训成本。所有部件都是现场可升级的，使维护更快、更容易、成本更低。性能高性能RISC结构可以提供最高120Kpps的快速互换能力和最高12Kpps的解决互换能力。支持两个AIM插槽，可用于硬件加速和增长解决能力，以满足网络扩展后应用程序的规定。支持从ATMT1/E1IMA到OC-3的接口，为分支办公机构到地区办公机构的连接提供了非常大的灵活性和很高的带宽，可以满足未来应用的需要。可靠性冗余交流或直流电源选项提供了高可用性环境需要的连续行能力。在不中断其它接口数据的流的情况下可进行风类网络模块的热互换。可以对机架的所有重要部件进行全面的诊断和错误报告，这些部件涉及电源、主板、底板和风扇双列快闪存储器可以将CiscoIOS备份的快闪存储器上，减少了宕机时间LED状态指示器使您对接口活动状态、系统状态、单个电源状态一览无余平台可管理性支持CiscoWorks、CiscoWorks2023和CiscoView，简化了Cisco3660系列所有集成部件的管理，实现了网络中的Cisco设备的一致性网络管理。增强了设立功能，在整个配置过程中进行前后关联式的提问，对用户进行引导，使安装速度更快。自动安装功能可以通过WAN连接对远程单元进行自动配置，节省了将技术人员派往远程地点的费用。支持Cisco发现协议（CDP），使CiscoWorks网络工作站可以自动发现网络拓扑间中的Cisco3660系列产品。高度可服务的设计所有的网络接口都安装在各个单元的后面，简化了安装和线缆管理。独特的模块化设计具有易于打开和现场可更换的特性，可以快速且容易地进行安装升级、现场更换和提供对大量系统组件的服务CiscoIOS软件CiscoIOS的全面支持使客户可以跨多种应用配置多种功能，涉及：话音信令－－CiscoIOS提供了一组强大的信令发送功能，能广泛于分组电话应用外部互换站（FXS）、配有Wink、立即和延迟启动的外部互换室（FXO）、带有基本或环路启动的E&M、目前提供的基本速率接口（BRI）信令是一种变种，ISDN初级速率接口（PRI）和其它公用信道信令变种已在规划之中。WAN优化－－支持视需拨号路由选择（DDR）和拨号备份，以及协议欺骗和瞬象路由选择，可以减少不必要的WAN流量。除此之外，ATM、帧中继、专线和拨号网络上应用的数据压缩可以进一步地减少WAN成本，增长有效带宽。服务质量（QOS）－－资源预定协议（RSVP）、协议独立多点传送（PIM）、一般传输整形、承诺访问速度（CAR）、常规和优先排队、加权公平排队（WFQ）等功能可以保证新应用的服务质量（QOS），如通过WAN进行的电话会议。拨号访问－－支持所有访问协议集，涉及：点对点协议（PPP）、多链路PPP（MLPPP）、集成模拟和数字调制解调器、56Kbps/V.90、拨出和传真输出、基本速率接口（RBI）调制解调器、信道关联信令（CAS）。安全性－－支持CiscoIOS软件防火墙功能集、符合数据加密标准（DES）的IPDEC、3DES数据加密、隧道传输、扩展访问列表、违规记录、远程访问拨入用户服务（RADIUS）、KerberosV以及涉及身份鉴定、授权和帐目清算（AAA）三项内容的的TACACS+。使用AIM插槽的硬件加密在不远的将来将投入使用。支持Cisco支持解决方案的设计只有一个目的，即让客户可以迅速地得到适当的资源。Cisco的支持网络由技术援助中心（TAC）工程师、开发工程师、现场工程师、备件仓库、配送服务和服务供应商组成。通过将Cisco支持作为Cisco设备采购内容的一部分，客户立刻可以获得大量的支持资源。总结新的网络改变了公司网络的前景。Cisco3660系列产品提供了一个多服务平台，为满足客户网络的需求提供了更高的密度、更强的性能、更大的扩展能力，从而保护了客户的投资。具有电源冗余选项和网络模块热互换功能的Cisco3660系列是为高可用性环境而设计，它为集成所有分支机构的网络规定提供了一个单一的平台。此外，Cisco3660系列可以与Cisco1600、1700、2600和3600系列多服务平台共享现有的接口卡，这保证了客户可以进一步运用其在硬件和培训上的已有投资，减少了总体成本。强大的话音、视频、拨号访问和数据网络功能使Cisco3660在大型分支机构和CPE环境领域成为业界最灵活、最优秀的多服务解决方案之一。技术规范

表3:

系统规范

Cisco3660系列解决器类型225MHzRISCQEDRM5271快闪存储器8MB，可升级至64MB系统内存32MBSDRAM。可升级至128或256MBSDRAM网络模块插槽6个插槽高级集成模块（AIM）插槽2个插槽板上LAN端口1或2个自适应10/100Mbps以太网端口电源双直流、双交流或单直流、单交流配置的250W电源体积8.7×17.5×11.8英寸（221×445×300毫米）性能100到120Kpps快速互换和10到12Kpps解决互换控制台和辅助端口（最快11.5kbps）支持机架安装支持，19英寸长，中心安装双TypeIIPCMCIA卡插槽支持

表6:

技术规范

项目规格尺寸8.7×17.5×11.8英寸（221×445×300毫米）重量32英镑（14.55公斤）（最小）43英镑（19.55公斤）（最大）电源规定输出每个电源最大提供250W交流输入电压100-240V频率50-60Hz交流输入电流100V，4A或200V，2A直流输入电压-38V到-75V直流输入电流-48V,8A环境指标工作温度32°-104℉（0°-40℃）非工作温度-13°-158℉（-25°-70℃）相对湿度5-95％噪音电平（最大）48dbA规范的一致性Cisco3660系列遵循大量不同的安全性、EMI、抗扰性和网络拟定标准。2.4.2主干互换机选型在信息中心主互换机起到了至关重要的作用，它担负了最大的数据流量（内部和外部的信息互动）和整个网络的路由互换的功能，因此它具有足够的带宽和路由功能。基于以上考虑，在本方案中我们建议选用Cisco公司的Catalyst6500互换机系列中的Catalyst6506作为中心互换机。Catalyst6000系列互换机概览由Catalyst6500系列和Catalyst6000系列产品组成的Catalyst6000家族为公司网络和服务供应商网络提供了一系列高性能多层互换解决方案。Catalyst6000家族是专为满足对千兆位密度、数据和语音集成、LAN/WAN/MAN集中、可扩展性、高可用性、以及主干/分布、服务器整合和服务供应商环境中智能多层互换的不端增长的需求而设计的，是Catalyst4000和5000系列以及Cisco8500系列互换机的补充和完善，这些产品将继续提供相应的重要配线柜和ATM网络核心解决方案。这些Cisco家族产品共同提供了广泛的智能互换解决方案，使公司内部网和Internet可以支持多媒体、关键任务数据和语音应用。Catalyst6000家族提供了杰出的可扩展性和性能/价格比，可以支持广泛的接口密度、性能以及高可用性选项。作为Cisco内容组网体系结构的一个关键组成部分，Catalyst6000家族提供了前所未有的商业灵活性，使公司可以快速部署新的Internet应用并因而提高自己的收入和减少运营成本。当与应用智能、服务质量（QoS）机制和安全性功能结合在一起时，客户将可以在不牺牲网络性能的情况下更有效地使用自己的网络提供更多的客户机服务，如组播和公司资源规划（ERP）应用。Cisco内容组网通过提供Internet商业应用（这些应用的例子涉及电子商务、供应链管理以及劳动力优化）发明了一个Internet商业生态系统，这一系统使公司和自己的客户、供应商和商业合作伙伴更加紧密地结合在一起。通过CiscoAssure，运用象特殊用户、IP地址或应用程序这样的Layer2、3、4信息，将可以以端对端的形式应用网络策略。重要优点可扩展的互换性能Catalyst6000家族由Catalyst6000系列和Catalyst6500系列组成。Catalyst6500系列体系结构所支持的可扩展的互换带宽最高可以达成256Gbps和210Mpps。对于不规定Catalyst6500系列的性能的客户，Catalyst6000系列提供了一个费效比更优的解决方案，可以将主干带宽提高到32Gbps，将多层互换性能提高到15Mpps。为实现投资保护，所有的互换机（竖直和水平插槽机箱）都支持相同的监管器、接口板卡以及公共设备，提供了广泛的性价比选择。使用交叉互换网体系结构的Cisco6500系列可以将自己的互换带宽提高到256Gbps。通过支持以成熟的Cisco快速转发（CEF）体系结构为基础的基于硬件的转发功能，这一平台提供了优异的控制面板可扩展性，为电子商务和Cisco内容交付网络提供了智能互换体系结构。通过度布式转发，转发信息被分发到智能板卡，这一方式进一步增强了平台的性能并提供了无与伦比的系统性能和可扩展性级别。可扩展的端口密度Catalyst6000家族由Catalyst6000系列（图1）和Catalyst6500系列（图2）组成。Catalyst6000和Catalyst6500系列都可以使用6插槽机箱和9插槽机箱。此外，Catalyst6000系列还可以支持一种使用9个竖直插槽的机箱（WS-C6509-NEB）以及一种13插槽的机箱，提供了广泛的配置选项和性价比选项。9插槽竖直机箱是为符合网络设备创建系统（NEBS）Level3而设计的，具有前后对流功能，非常适宜用于服务供应商环境。它也合用于那些将前后对流作为首选的公司客户环境。13插槽机箱是是最新加入到机箱系列之中的成员，非常适宜用于在网络的各个组成部分实现高性能、高端口密度的快速以太网和千兆位以太网集中，涉及访问层、分发层、主干层以及服务器组和数据中心环境。13插槽机箱中最多可以有12个可用有效载荷插槽，提供了行业领先的10/100和千兆位以太网端口密度，同时提供了无与伦比的网络弹性水平。Catalyst6000和6500系列互换机都支持广泛的接口类型和密度，涉及最高可以支持576个10/100以太网端口、288个100BASE-FX快速以太网端口以及194个千兆位以太网端口-这些数字在行业内是最高的。客户还可以使用快速以太通道或千兆位以太通道技术集中最多8个物理快速以太网或千兆位以太网链路，使逻辑连接容量最高可以达成16Gbps。Catalyst6000系列提供了行业领先的千兆位以太网互换解决方案，可以满足当今规定最高的和快速增长的公司和服务供应商网络的规定。LAN/WAN/MAN集中Catalyst6000家族使用FlexWAN模块通过一个单一多层互换平台提供了无缝的IAN/WAN/MAN集中。通过Cisco7200/7500系列提供的成熟的端口适配器技术，可以支持多种不同的WAN接口，涉及T1/E1、T3/E3、OC-3ATM以及SONET分组（POS）功能。每一FlexWAN模块最多可以接受2个Cisco7200/7500系列WAN端口适配器，提供了分布式、以线速度转发和智能化的网络