网络设备选型课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2020-12-21,#,第,4,章 网络设备选型,第,4,章 网络设备选型,一个大型的网络系统可能涉及到各种各样的网络设备，根据网络需求分析和扩展性要求，选择合适的网络设备，是构建一个完整的计算机网络系统非常关键的一环。,本章的学习目标：, 了解交换机、路由器、防火墙、服务器等设备的性能指标和主流产品；, 掌握交换机、路由器、防火墙、服务器等设备的选型方法和技巧；, 了解宽带路由器、,UPS,、网络存储设备等的性能指标和主流产品；, 掌握宽带路由器、,UPS,、网络存储设备等的选型方法和技巧；, 了解网络操作系统和网络数据库的性能指标和主流产品；, 掌握网络操作系统和网络数据库的选型方法和技巧。,4.1,交换机及其选型,4.1.1,交换机简介,交换机,(switch),是集线器的换代产品，其作用也是将传输介质的线缆汇聚在一起，以实现计算机的连接。但集线器工作在,OSI,模型的物理层，而交换机工作在,OSI,模型的数据链路层。交换机在网络中的作用主要表现在以下几方面：,1.,提供网络接口,2.,扩充网络接口,3.,扩展网络范围,4.1,交换机及其选型,4.1.2,交换机的分类,1.,可网管交换机和傻瓜交换机,以交换机是否可管理，可以将交换机划分为可网管交换机和傻瓜交换机两种类型。,2.,固定端口交换机和模块化交换机,以交换机的结构为标准，交换机可分为固定端口交换机和模块化交换机两种不同的结构。,3.,接入层交换机、汇聚层交换机和核心层交换机,以交换机的应用规模为标准，交换机被划分为接入层交换机、汇聚层交换机和核心层交换机。,4.1,交换机及其选型,4.,二、三、四层交换机,根据交换机工作在,OSI,七层网络模型的协议层不同，交换机又可以分为第二层交换机、第三层交换机、第四层交换机等。,5.,快速以太网交换机、吉比特以太网交换机和,10,吉比特以太网交换机,依据交换机所提供的传输速率为标准，可以将交换机划分为快速以太网交换机、吉比特以太网交换机和,10,吉比特以太网交换机等。,6.,对称交换机和非对称交换机,依据交换机端口速率的一致性为标准，可将交换机分为对称交换机或非对称交换机两类。,4.1,交换机及其选型,4.1.3,交换机的性能指标,1.,转发速率,转发速率通常以“,Mpps,”来表示，即每秒能够处理的数据包的数量。转发速率体现了交换引擎的转发功能，该值越大，交换机的性能越强劲。,2.,端口吞吐量,端口吞吐量反映交换机端口的分组转发能力，通常可以通过两个相同速率的端口进行测试，吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率。,4.1,交换机及其选型,3.,背板带宽,背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽体现了交换机总的数据交换能力，单位为,Gbps,，也叫交换带宽。,4.,端口种类,交换机按其所提供的端口种类不同主要包括三种类型的产品，它们分别是纯百兆端口交换机、百兆和千兆端口混和交换机、纯千兆端口交换机。每一种产品所应用的网络环境各不相同，核心骨干网络上最好选择千兆产品，上连骨干网络一般选择百兆,/,千兆混和交换机，边缘接入一般选择纯百兆交换机。,4.1,交换机及其选型,5. MAC,地址数量,每台交换机都维护着一张,MAC,地址表，记录,MAC,地址与端口的对应关系，交换机就是根据,MAC,地址将访问请求直接转发到对应端口上的。存储的,MAC,地址数量越多，数据转发的速度和效率也就越高，抗,MAC,地址溢出供给能力也就越强。,6.,缓存大小,交换机的缓存用于暂时存储等待转发的数据。如果缓存容量较小，当并发访问量较大时，数据将被丢弃，从而导致网络通讯失败。,4.1,交换机及其选型,7.,支持网管类型,网管功能是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作，包括配置管理、性能和记账管理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性，现在交换机的管理通常是通过厂商提供的管理软件或通过满足第三方管理软件的管理来实现的。,8. VLAN,支持,一台交换机是否支持,VLAN,是衡量其性能好坏的一个重要指标。,4.1,交换机及其选型,9.,支持的网络类型,一般情况下，固定配置式不带扩展槽的交换机仅支持一种类型的网络，机架式交换机和固定配置式带扩展槽的交换机则可以支持一种以上类型的网络。一台交换机所支持的网络类型越多，其可用性、可扩展性越强。,10.,冗余支持,冗余强调了设备的可靠性，也就是当一个部件失效时，相应的冗余部件能够接替工作，使设备继续运转。冗余组件一般包括管理卡、交换结构、接口模块、电源、机箱风扇等。对于提供关键服务的管理引擎及交换结构模块，不仅要求冗余，还要求这些部件具有“自动切换”的特性，以保证设备冗余的完整性。,4.1,交换机及其选型,4.1.4,主流交换机产品,2010,年中国交换机市场上品牌关注度较高的交换机品牌分别是,H3C,、思科、,TP-LINK,和,D-Link,，其品牌关注度均超过,10%,，明显领先于其他品牌。而,IP-COM,、华为和腾达的品牌关注度虽然较为接近,10%,，但也与排名前四的品牌有一定差距，除以上品牌外，其他竞争者关注度均在,2%,以下。,4.1,交换机及其选型,1. H3C,交换机,主要产品系列：,H3C E126,、,H3C S1000,、,H3C S1200,、,H3C S1500,、,H3C S2100,、,H3C S3100,、,H3C S3600,、,H3C S5000,、,H3C S5100,、,H3C S5500,、,H3C S5600,、,H3C S5800,、,H3C S7500,、,H3C S7600,、,H3C S9500,、,H3C S12500,等几个系列。,用户常用的交换机,：,S1016R-CN,、,S1224R-CN,、,S1526-CN,、,LS-2126-EI-ENT-AC,、,LS-3100-26TP-SI-H3,、,LS-3600-28TP-SI,、,S5120-28P-SI,、,S5500-24P-SI,、,S5800-32C,、,LS-7506E,、,S9508,、,S12508,等。,4.1,交换机及其选型,2.,思科交换机,网络集成项目中常见的,Cisco,交换机主要有,1900,系列、,2900,系列、,3500,系列、,6500,系列、,8500,系列等，它们分别使用在网络的低端、中端和高端。,(1),低端产品,Cisco,典型的低端交换机产品主要是,1900,系列和,2900,系列,，但常用的是,2900,系列,。,2900,系列交换机的产品型号主要包括,WS-C 2912-XL,、,WS-C2918-24TT-C,、,WS-C2924-XL,、,WS-C2950G-24-EI-DC,、,WS-C2960-24TT-L,等。需要说明的是，,Cisco,的低端交换机产品在交换机市场上并不占特别的优势，因为,IP-COM,、,D-link,等公司的产品具有更好的性能价格比。,4.1,交换机及其选型,(2),中端产品,Cisco,中端交换机产品主要包括,C3500,系列、,C3750,系列、,C4500,系列、,C4900,系列。在,Cisco,中端交换机产品中，,C3500,系列和,C3750,系列最具代表性，使用也非常广泛。其中，比较常用的产品有,C3560-24TS-S,、,C3560-24TS-E,、,C3560G-24PS-S,、,C3560-48TS-S,、,C3750-24TS-S,、,C3750G-24TS-E,、,C3750-24PS-S,、,C3750G-24T-S,、,C3750-48TS-S,等。,4.1,交换机及其选型,(3),高端产品,Cisco,的高端交换机产品主要用来满足园区主干网的高性能要求。目前，最为常用的是,C6500,系列和,C8500,系列。它们能够为园区网提供高性能、多层交换的解决方案，专门为需要千兆扩展、可用性高、多层交换的应用环境设计。,Catalyst 6500,系列交换机具有,3,插槽、,6,插槽、,9,插槽和,13,插槽的机箱，,Catalyst 8500,系列交换机具有,5,插槽或,13,插槽的机箱，这两个系列交换机都具有端口密度大、速度快、多层交换、容错性能好等特点。,4.1,交换机及其选型,3. D-Link,交换机,主要产品系列：,DES-1000,、,DES-1100,、,DES-1200,、,DES-1500,、,DES-3000,、,DES-3200,、,DES-3400,、,DES-3500,、,DES-3600,、,DES-3800,、,DES-6500,、,DES-8500,等几个系列。,用户常用的交换机,：,DES-1008D,、,DES-1016D,、,DES-1024D,、,DES-1226G,、,DIS-2024TG,、,DES-3326 SR,、,DES-3550,、,DES-3624I,、,DES-3828DC,、,DIS-5024T,、,DES-3528,、,DES-3828,、,DES-6500,、,DES-8510,等。,4.1,交换机及其选型,4. TP-LINK,交换机,主要产品系列：,TL-SF1000,、,TL-SG1000,、,TL-SG2200,、,TL-SL1200,、,TL-SL2200,、,TL-SL2400,、,TL-SL3400,、,TL-SL5400,等几个系列。,用户常用的交换机,：,TL-SF1008+,、,TL-SF1016D,、,TL-SF1024S,、,TL-SG1024DT,、,TL-SL2226P,、,TL-SL3452,等。,4.1,交换机及其选型,5.IP-COM,交换机,主要产品系列：,IP-COM F1000,、,IP-COM F1100,、,IP-COM F1200,、,IP-COM G1000,、,IP-COM G1200,、,IP-COM G2100,、,IP-COM G2200,、,IP-COM G3000,、,IP-COM G3100,等几个系列。,用户常用的交换机,：,IP-COM F1008+,、,IP-COM F1016,、,IP-COM F1024,、,IP-COM F1116,、,IP-COM G2124T,、,IP-COM G2224,、,IP-COM G3024,、,IP-COM G3124F,等。,4.1,交换机及其选型,6.,华为交换机,主要产品系列：,Quidway S2300,、,Quidway S2700,、,Quidway S3000,、,Quidway S3300,、,Quidway S3700,、,Quidway S5300,、,Quidway S5700,、,Quidway S9300,等系列。,用户常用的交换机,：,S2326TP-EI,、,S2403H-HI,、,S2700-52P-EI-AC,、,S3328TP-EI(AC),、,S3700-28TP-SI-AC,、,S5328C-EI-24S,、,S5700-24TP-SI-AC,、,S5700-28C-SI,、,S7802,、,S9306,等。,4.1,交换机及其选型,7.,锐捷交换机,主要产品系列：,RG-S1800,、,RG-S1900,、,RG-S2000,、,RG-S2100,、,RG-S2300,、,RG-S2600,、,RG-S2900,、,RG-S3200,、,RG-S3500,、,RG-S3700,、,RG-S5700,、,RG-S6500,、,RG-S6800,、,RG-S7600,、,RG-S7800,、,RG-S8600,、,RG-S9600,、,RG-S18000,等几个系列。,其中，,S1S2,为接入交换机、,S3S5,为汇聚交换机、,S6,及以后为核心路由交换机。,用户常用的交换机,：,RG-S1850G,、,RG-S1926S+,、,RG-S1926S,、,RG-S2026F,、,RG-S2352G,、,RG-S2724G,、,RG-S3760-12SFP/GT,、,RG-S5750-24GT/12SFP,、,RG-S6506,、,RG-S6810E,、,RG-S8610,、,RG-S9620,等。,4.1,交换机及其选型,8.,神码交换机,主要产品系列：,DCS-1000,、,DCS-3600,、,DCS-4500,、,DCRS-5950,、,DCRS-6800,等几个系列。,用户常用的交换机,：,DCS-1008D+,、,DCS-1024+(R2),、,DCS-1024G+(R2),、,DCS-3600-26C,、,DCS-4500-26T,、,DCRS-5950-28T-L(R3),、,DCRS-6804,、,DCRS-6808,等。,4.1,交换机及其选型,4.1.5,交换机的选购,通常，在进行交换机产品选择时，应重点考虑如下几个方面的问题。,1,交换机的转发方式,数据包的转发方式主要分为“直通式转发”和“存储式转发”两种。由于不同的转发方式适应于不同的网络环境，因此，应当根据自己的需要作出相应的选择。,直通转发方式由于只检查数据包的包头，不需要存储，所以切入方式具有延迟小，交换速度快的优点。但直通式转发存在可能转发出错的数据包、不能将速率不同的端口直接接通、容易出现丢包现象等三个缺点。,4.1,交换机及其选型,存储转发方式在数据处理时延时大，但它可以对进入交换机的数据包进行错误检测，并且能支持不同速度输入输出端口间的切换，保持高速端口和低速端口间的协同工作，有效地改善网络性能。,低端交换机通常只提供一种转发模式，只有中高端产品才兼具两种转发模式，并具有智能转换功能，可根据通信状况自动切换转发模式。通常情况下，如果网络对数据的传输速率要求不是太高，可选择存储转发式交换机。反之，可选择直通转发式交换机。,4.1,交换机及其选型,2,延时,交换机的延时,(Latency),也称延迟时间，是指从交换机接收到数据包到开始向目的端口发送数据包之间的时间间隔。这主要受所采用的转发技术等因素的影响，延时越小，数据的传输速率越快，网络的效率也就越高。特别是对于多媒体网络而言，较大的数据延迟，往往导致多媒体的短暂中断，所以交换机的延迟时间越小越好，当然延时越小的交换机价格也就越贵。,4.1,交换机及其选型,3,管理功能,交换机的管理功能,(Management),是指交换机如何控制用户访问交换机，以及系统管理人员通过软件对交换机的可管理程度如何。如果需要以上配置和管理，则须选择网管型交换机，否则只需选择非网管型的。,4,MAC,地址数,不同档次的交换机每个端口所能够支持的,MAC,地址数量不同。在交换机的每个端口，都需要足够的缓存来记忆这些,MAC,地址，所以缓存容量的大小就决定了相应交换机所能记忆的,MAC,地址数的多少。,通常，,在网络规模不是很大,时,，该参数无需太多考虑。,4.1,交换机及其选型,5,背板带宽,交换机背板带宽越宽越好，高背板带宽的交换机在高负荷下能够提供更高速度的数据交换。由于所有端口间的通讯都需要通过背板来完成，所以背板所能够提供的带宽就成为端口间并发通讯时的总带宽。带宽越大，能够给各通讯端口提供的可用带宽越大，数据交换速度越快。因此，在端口带宽、延迟时间相同的情况下，背板带宽越大，交换机的传输速率则越快。,交换机的端口带宽目前主要包括,10M,、,100M,和,1000M,三种，但就这三种带宽又有不同的组合形式，以满足不同类型网络的需要。,4.1,交换机及其选型,7,光纤解决方案,如果布线中必须选用光纤，则在交换机选择方案中可以有以下三种方案：其一是选择具有光纤接口的交换机；其二是在模块结构的交换机中加装光纤模块；最后一种就是加装光纤与双绞线的转发器。第一种性能最好，但不够灵活，而且价格较贵；第二种方案具有较强的灵活配置能力，性能也较好，但价格最贵；最后一种方案价格最便宜，但性能受影响较大。,8.,交换机的外型尺寸,如果网络规模较大，或已完成综合布线，工程要求网络设备集中管理，就应该选择,19,英寸宽的机架式交换器，否则可以选择桌面型的交换机，因为桌面型交换机具有更高的性能价格比。,4.2,路由器及其选型,4.2.1,路由器简介,路由器是一种连接多个网络或网段的网络设备，它能将不同网络或网段之间的数据信息进行“翻译”，使不同的网络或网段能够相互“读”懂对方的数据，从而构成一个更大的网络。,路由器有两大主要功能，即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等，一般由特定的硬件来完成；控制功能一般用软件来实现，包括与相邻路由器之间的信息交换、系统配置、系统管理等。,4.2,路由器及其选型,路由器是,OSI,七层网络模型中的第三层设备，当路由器收到任何一个来自网络中的数据包,(,包括广播包在内,),后，首先要将该数据包第二层,(,数据链路层,),的信息去掉,(,称为“拆包”,),，并查看第三层信息。然后，根据路由表确定数据包的路由，再检查安全访问控制列表；若被通过，则再进行第二层信息的封装,(,称为“打包”,),，最后将该数据包转发。如果在路由表中查不到对应,MAC,地址的网络，则路由器将向源地址的站点返回一个信息，并把这个数据包丢掉。具体工作过程如图,4.7,所示。,4.2,路由器及其选型,4.2.2,路由器的分类,1.,按性能档次划分,按性能档次不同可以将路由器可分高、中和低档路由器,。,Cisco,高、中、低档路由器产品,4.2,路由器及其选型,2.,按结构划分,从结构上划分，路由器可分为模块化和非模块化两种结构。通常中高端路由器为模块化结构，低端路由器为非模块化结构。,图,4.9,非模块化结构和模块化结构路由器产品,4.2,路由器及其选型,3.,从功能上划分,从功能上划分，可将路由器分为核心层,(,骨干级,),路由器，分发层,(,企业级,),路由器和访问层,(,接入级,),路由器。,4.,按所处网络位置划分,如果按路由器所处的网络位置划分，可以将路由器划分为“边界路由器”和“中间节点路由器”两类。,5.,从性能上划分,从性能上分，路由器可分为线速路由器以及非线速路由器。通常高端路由器,均为,线速路由器,；而,中低端路由器,大部分,为非线速路由器,。,4.2,路由器及其选型,4.2.3,路由器的性能指标,1.,吞吐量,吞吐量是核心路由器的数据包转发能力。吞吐量与路由器的端口数量、端口速率、数据包长度、数据包类型、路由计算模式,(,分布或集中,),以及测试方法有关，一般泛指处理器处理数据包的能力。吞吐量包括整机吞吐量和端口吞吐量两个方面，整机吞吐量通常小于核心路由器所有端口吞吐量之和。,2.,路由表能力,路由器通常依靠所建立及维护的路由表来决定包的转发。路由表能力是指路由表内所容纳路由表项数量的极限。,4.2,路由器及其选型,3.,背板能力,背板指的是输入与输出端口间的物理通路，背板能力通常是指路由器背板容量或者总线带宽能力，这个性能对于保证整个网络之间的连接速度是非常重要的。,背板能力主要体现在路由器的吞吐量上，传统路由器通常采用共享背板，但是作为高性能路由器不可避免会遇到拥塞问题，其次也很难设计出高速的共享总线，所以现有高速核心路由器一般都采用可交换式背板的设计。,4.2,路由器及其选型,4.,丢包率,丢包率是指核心路由器在稳定的持续负荷下，由于资源缺少而不能转发的数据包在应该转发的数据包中所占的比例。丢包率通常用作衡量路由器在超负荷工作时核心路由器的性能。丢包率与数据包长度以及包发送频率相关，在一些环境下，可以加上路由抖动或大量路由后进行测试模拟。,5.,时延,时延是指数据包第一个比特进入路由器到最后一个比特从核心路由器输出的时间间隔。该时间间隔是存储转发方式工作的核心路由器的处理时间。,4.2,路由器及其选型,6.,时延抖动,时延抖动是指时延变化。数据业务对时延抖动不敏感，所以该指标通常不作为衡量高速核心路由器的重要指标。当网络上需要传输语音、视频等数据量较大的业务时，该指标才有测试的必要性。,7.,背靠背帧数,背靠背帧数是指以最小帧间隔发送最多数据包不引起丢包时的数据包数量。该指标用于测试核心路由器的缓存能力。,4.2,路由器及其选型,8.,服务质量能力,服务质量能力包括队列管理控制机制和端口硬件队列数两项指标。其中：,队列管理控制机制是指路由器拥塞管理机制及其队列调度算法。,端口硬件队列数指的是路由器所支持的优先级是由端口硬件队列来保证的，而每个队列中的优先级又是由队列调度算法进行控制的。,4.2,路由器及其选型,9.,网络管理能力,网络管理是指网络管理员通过网络管理程序对网络上资源进行集中化管理的操作，包括配置管理、计账管理、性能管理、差错管理和安全管理。设备所支持的网管程度体现设备的可管理性与可维护性，通常使用,SNMPv2,协议进行管理。网管力度指示路由器管理的精细程度，如管理到端口、到网段、到,IP,地址、到,MAC,地址等，管理力度可能会影响路由器的转发能力。,10.,可靠性和可用性,路由器的可靠性和可用性主要是通过路由器本身的设备冗余程度、组件热插拔、无故障工作时间以及内部时钟精度等四项指标来提供保证的。,4.2,路由器及其选型,4.2.4,主流路由器产品,2010,年中国路由器市场品牌关注度比例分布情况如图所示。,4.2,路由器及其选型,1. TP-LINK,路由器,TP-LINK,的主流路由器产品包括：,(1),企业级模块化路由器：,TP-Link TL-R4000+,、,TP-Link TL-R4000,。,(2),企业级非模块化路由器：,TP-Link TL-R498T+,。,(3),网吧专用路由器：,TP-Link TL-ER5110,、,TP-Link ER5120,、,TP-Link TL-R4419,。,4.2,路由器及其选型,2. D-Link,路由器,D-Link,的主流路由器产品包括：,(1),企业级模块化路由器：,D-Link DI-2621,、,D-Link DI-602HB+,。,(2),企业级非模块化路由器：,D-Link DI-602MB+,、,D-Link DI-602LB+,。,(3),网吧专用路由器：,D-Link DI-4700,、,D-Link DI-4500,、,D-Link DI-4300,。,4.2,路由器及其选型,3.,思科路由器,思科公司的主流路由器产品包括：,(1)Cisco1800,系列：,1811,、,1841,。,(2)Cisco2500,系列：,2501,、,2502,、,2514,。,(3)Cisco2600,系列：,2610,、,2611,、,2620,、,2621,、,2651,。,(4)Cisco3600,系列：,3620,、,3640,、,3660,。,(5)Cisco3700,系列：,3725,、,3745,。,(6)Cisco3800,系列：,3825,、,3845,。,(7)Cisco7200,系列：,7204,、,7206,、,7204VXR,、,7206VXR,。,(8)Cisco7500,系列：,7507,、,7513,。,(9)Cisco 12000,系列：,12008,、,12016,。,4.2,路由器及其选型,4. H3C,路由器,H3C,的主流路由器产品包括：,(1),电信级路由器：,H3C SR6608(AC),。,(2),企业级路由器：,H3C SR6604,、,H3C RT-MSR3040-AC-H3,、,H3C RT-MSR3020-AC-H3,、,H3C RT-MSR3016-AC-H3,。,(3),宽带路由器：,H3C ER3200,、,H3C ER3100,。,5.,腾达路由器,腾达科技的主流路由器产品包括：,(1),网吧路由器：腾达,TEI4000,、腾达,TEI602,。,(2),企业级宽带路由器：腾达,R8000,、腾达,R6000,。,4.2,路由器及其选型,6.,华为路由器,华为的主流路由器产品包括：,(1),核心路由器：华为,Quidway NE20-8,、华为,Quidway NE20-4,、华为,Quidway NE20-4,。,(2),智能业务中心路由器：华为,Quidway AR46-80,、华为,Quidway AR46-20,。,(3),模块化路由器：华为,RT-3680E,、华为,RT-3640E,、华为,AR 28-31,、华为,RT-2630,、华为,RT-2620,、华为,RT-2509,。,4.2,路由器及其选型,7.,锐捷路由器,锐捷网络的主流路由器产品包括：,(1)RSR,系列可信多业务路由器：,RG-RSR7708,、,RG-RSR50,、,RG-RSR30,、,RG-RSR20,、,RG-RSR10,等。,(2)NBR,系列路由器：,NBR3000,、,NBR2500,、,NBR2000,、,NBR1200G,、,NBR1100G,、,NBR1100E,、,NBR1200,、,NBR80,。,(3)RSR-E,系列路由器：,RG-RSR32E,、,RG-RSR16E,、,RG-RSR-08E,、,RG-RSR-04E,。,4.2,路由器及其选型,4.2.5,路由器的选购,路由器的选购主要应从以下几个方面加以考虑：,1.,路由器的管理方式,2.,路由器所支持的路由协议,3.,路由器的安全性保障,4.,丢包率,5.,背板能力,6.,吞吐量,7.,转发时延,8.,路由表容量,9.,可靠性,4.3,防火墙选型,4.3.1,防火墙简介,防火墙是一种设置在不同网络,(,如可信任的企业内部网和不可信的公共网,),或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全策略控制,(,允许、拒绝、监测,),出入网络的信息流，且本身具有较强的抗攻击能力。在逻辑上，防火墙是一个分离器、一个限制器、也是一个分析器，它可以有效地监控内部网和,Internet,之间的任何活动，进而保证内部网络的安全。对于普通用户来说，防火墙就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，从而实现对计算机的必要保护。,4.3,防火墙选型,防火墙的具体功能主要表现在如下几个方面：,1.,防火墙是网络安全的屏障,2.,防火墙可以强化网络安全策略,3.,对网络存取和访问进行监控审计,4.,防止内部信息的外泄,5. VPN,支持,4.3,防火墙选型,4.3.2,防火墙的分类,1.,按防火墙的物理特性进行分类,防火墙按其物理特性进行分类可分为硬件防火墙和软件防火墙以及芯片级防火墙。,2.,按防火墙所采用的技术进行分类,防火墙按其所采用的技术进行分类可分为包过滤技术防火墙、应用代理技术防火墙、状态监视技术防火墙。,3.,按防火墙的结构进行分类,防火墙按其结构进行分类可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙。,4.3,防火墙选型,4.3.3,主流防火墙产品,1. Cisco PIX,Cisco PIX,是最具代表性的硬件防火墙，属状态检测型。由于它采用了自有的实时嵌入式操作系统，因此减少了黑客利用操作系统,BUG,攻击的可能性。就性能而言，,Cisco PIX,是同类硬件防火墙产品中较好的，对,100BaseT,可达线速。因此，对于数据流量要求较高的场合，如大型的,ISP,，应该是首选。但是，,Cisco PIX,防火墙产品存在价格昂贵、升级困难、管理烦琐等缺点。,4.3,防火墙选型,2. NAI Gauntlet,Gauntlet,是美国网络联盟公司,(NAI),推出的,PGP,网络安全解决方案中的防火墙套件产品，该产品属于应用层网关一级的防火墙。,Gauntlet,在应用层按照安全策略检查双向的通信，具有用户透明、集成管理、强力加密和内容安全、高吞吐量等特性，可用于,Internet/Intranet,和远程访问等多种领域，但这些功能模块相对简单，性能相对较低，而且配置管理界面基本是基于命令行的，使用管理不大方便。,4.3,防火墙选型,3.NetScreen,科技的,NetScreen,100,和,Cisco,的,PIX,类似，,NetScreen,100,也运行专有操作系统。与运行在,Intel,平台上的,PIX,不同，,NetScreen,使用专有,ASIC,构成的高性能防火墙，价格便宜而且易于安装。,NetScreen,100,通过串行连接给接口分配,IP,地址的安装办法非常简单，同时在运行,NAT,时，,NetScreen,的综合性能不会降低。,4.3,防火墙选型,4.CyberGuard,公司的,CyberGuard,防火墙,CyberGuard,防火墙也是基于代理技术的，但它的代理功能不是特别丰富。,CyberGuard,包括允许对直接通过的信息包进行过滤的选项。,CyberGuard,加固了它自己的操作系统，使它的多虚拟安全环境,(Multiple Virtual Secure Environments,，,MVSE),系统谨慎地隔离所有进程、文件和目录，只允许绝对必要的通讯通过,CyberGuard,。,CyberGuard,功能相对简单，性能一般，适合中小型网络使用。,4.3,防火墙选型,5. 3Com OfficeConnect Firewall,3Com OfficeConnect Firewall,防火墙可以用来控制局域网对,Internet,的使用，为小企业提供了确保网络安全的廉价和高效的方法，用户可以禁止访问不恰当的资料，记录哪些站点最常被访问，以及,Internet,连接使用着多大的带宽。,3Com,公司的,OfficeConnect Firewall,使用全静态数据包检验技术，可以防止非法的网络接入和防止来自,Internet,的“,DOS,”攻击。,OfficeConnect Firewall,可以限制局域网用户对,Internet,的不恰当使用，支持,NAT,功能，维护相对简单。,4.3,防火墙选型,6.,清华紫光,UNISECURE UF3500,UF3500,防火墙具有防火墙和流量控制等功能，结合了网络级包过滤,(Network-level Packet Filter),和应用级代理服务器,(Application-level Proxy Server),的功能。,UF3500,使用户可以轻松地设置安全策略、带宽优先级和访问记录。,UF3500,防火墙具有网络地址转换,(NAT),功能，具备简单多级过滤、动态过滤和代理能力，可以进行带宽使用、网络传输和防火墙系统记录，支持最大流量等多重配置，支持,URL,过滤和基于,SSL,的浏览器管理界面，允许通过流行的,Web,浏览器使用,http,协议管理和配置防火墙，保证了防火墙管理的安全性和易用性。,UF3500,防火墙的缺点是功能与性能相对偏弱，安全规则的定义范围完备性不够，不支持阵列性能，不适合高端应用。,4.3,防火墙选型,7.,东方龙马防火墙,东方龙马防火墙将信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用，它根据系统管理者设定的安全规则保护内部网络，同时提供访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能，提供完善的安全性设置，通过高性能的网络核心进行访问控制。,4.3,防火墙选型,8.,微软,Microsoft ISA Server 2000,Microsoft ISA Server 2000,是,Windows 2000 Server,平台上同时具有防火墙与网站缓存功能的服务器软件。,Microsoft ISA Server 2000,提供多层次的企业级防火墙，并结合专用的防毒软件，实现保护网络资源，避免病毒、黑客及未获授权的存取行为，同时加速公司内部对内与对外的存取速度，节省,Internet,网络带宽，并且向使用者提供更快的,Web,存取速度，进行统一,Internet,资源管理等功能。,4.3,防火墙选型,9. Check Point Firewall-1,Check Point Firewall-1,是以色列的,Check Point,公司出品的软件防火墙，是市场上老资格的软件防火墙产品。,Check Point Firewall-1,可以基于,Unix,、,Windows,等系统平台上工作，属状态检测型，综合性能比较优秀。,10. AXENT Raptor,与,Check Point Firewall-1,和,PIX,不同，,Raptor,完全是基于代理技术的软件防火墙，它是代理型防火墙中较好的一种。,AXENT Raptor,可支持的应用类型多，管理界面简单，此外，,AXENT Raptor,还具有,NNTP(Network News Transfer Protocol,，网络新闻转发协议,),代理和,NTP(Network Time Protocol,，网络时间协议,),代理功能。,4.3,防火墙选型,4.3.4,防火墙的选购,1.,选购防火墙的基本原则,(1),首先明确防火墙的防范范围，亦即允许哪些应用要求允许通过，哪些应用要求不允许通过。,(2),其次要明确想要达到什么级别的监测和控制。根据网络用户的实际需要，建立相应的风险级别，随之便可形成一个需要监测、允许、禁止的清单。,(3),第三就是费用问题。防火墙的售价极为悬殊，安全性越高，实现越复杂，费用也相应的越高，反之费用较低。可以根据现有经济条件尽可能科学地配置各种防御措施，使防火墙充分发挥作用。,4.3,防火墙选型,2.,选购防火墙的基本标准,(1),防火墙管理的难易度；,(2),防火墙自身的安全性；,(3),选好安全等级。按照美国国家安全局,(NSA),国家电脑安全中心,(NCSC),的认证标准，依安全性由高至低划分为,A,、,B,、,C,、,D,四个等级；,(4),能否弥补其他操作系统之不足；,(5),能否为使用者提供不同平台的选择；,(6),能否向使用者提供完善的售后服务；,(7),应该考虑企业的特殊需求,(,包括,IP,地址转换、双重,DNS,、虚拟专用网,VPN,、扫毒功能、限制同时上网人数等特殊控制需求,),。,4.3,防火墙选型,3.,选购防火墙的基本技巧,选购防火墙重点应把握住品牌、性能、价格和服务等四个基本要素。,(1),品牌：品质的保证。选购防火墙应购买具有品牌优势，质量信得过的产品。,(2),性能：只选适合不选最高。,(3),价格：并非越贵越好。,(4),服务：应该细致周到。,4.4,网卡选型,4.4.1,网卡简介,网卡也叫“网络适配器”，简称“,NIC,”，网卡是连接计算机与网络的硬件设备。网卡和局域网之间的通信是通过电缆或双绞线以串行传输方式进行的，而网卡和计算机之间的通信则是通过计算机主板上的,I/O,总线以并行传输方式进行。,当网卡收到一个有差错的帧时，它就将这个帧丢弃而不必通知它所插入的计算机。当网卡收到一个正确的帧时，它就使用中断来通知该计算机并交付给协议栈中的网络层。当计算机要发送一个,IP,数据报时，它就由协议栈向下交给网卡，由网卡组装成帧后发送到局域网。,4.4,网卡选型,网卡的主要功能有以下三个：,(1),数据的封装与解封。发送时将上一层交下来的数据加上首部和尾部，封装成以太网的帧，并通过网线,(,对无线网络来说就是电磁波,),将数据发送到网络上。接收时将以太网的帧剥去首部和尾部，然后送交上一层。,(2),链路管理。主要是,CSMA/CD,协议的实现。,(3),编码与译码。即曼彻斯特编码与译码。,网卡接收所有在网络上传输的信号，但只接受发送到该计算机的帧和广播帧，其余的帧将丢弃。网卡处理这些帧后，传送到系统,CPU,做进一步处理。当需要发送数据时，网卡等待合适的时间将分组插入到数据流中，接收系统通知计算机信息是否完整地到达，如果出现问题，将要求对方重新发送。,4.4,网卡选型,4.4.2,网卡的分类,1.,按总线接口类型分,按网卡的总线接口类型来分一般可分为,ISA,接口网卡、,PCI,接口网卡以及在服务器上使用的,PCI-X,接口网卡、,PCI Express 1X,接口网卡，笔记本电脑所使用的网卡是,PCMCIA,接口类型的。,2.,按网络接口划分,网卡常见的接口主要有以太网的,RJ-45,接口、,SC,型光纤接口、细同轴电缆的,BNC,接口和粗同轴电,AUI,接口、,FDDI,接口、,ATM,接口等。,目前最为常用的网卡主要是,RJ-45,接口的以太网卡和光纤接口的以太网卡。,4.4,网卡选型,3.,按带宽划分,常见的网卡主要有,10Mbps,网卡、,100Mbps,网卡、,10Mbps/100Mbps,自适应网卡、,1000Mbps,网卡四种。,其中，,100Mbps,网卡和,10Mbps/100Mbps,自适应网卡是目前最为流行的网卡；千兆以太网卡主要应用于高速以太网中，它能够在铜线上提供,1Gbps,的带宽，千兆网卡的网络接口有两种主要类型，一种是普通的双绞线,RJ-45,接口，另一种是多模,SC,型标准光纤接口。,4.,按网卡应用领域来分,可以将网卡分为应用于工作站的网卡和应用于服务器的网卡。,当然，如果按网卡是否提供有线传输介质接口来分还可以分为有线网卡和无线网卡。,4.4,网卡选型,4.4.3,主流网卡产品,1.,英特尔网卡,主要包括：,Expi9402PT,、,PWLA8492MT,、,Expi9400PT,、,PWLA8391GT,等。,2. 3Com,网卡,主要包括：,3CCFE575CT,、,3C985B-SX,、,3COM 905B,、,3C905CX-TX-M,等。,3. IBM,网卡,主要包括：,IBM 39Y6088,、,IBM 39Y6105,、,IBM 39Y6098,等。,4.4,网卡选型,4.D-Link,网卡,主要包括：,DGE-550SX,、,DGE-660TD,、,DFE-690TXD,、,DGE-530T,等。,5.TP-Link,网卡,主要包括：,TG-5269,、,TF-5239,、,TF-3239D,、,TF-3239DL,等。,6.,腾达网卡,主要包括：,TEL9939D,、,TEL9902G,、,TEL9901G,、,L8139D,等。,4.4,网卡选型,4.4.4,网卡的选择,1.,选择性价比高的网卡,2.,根据组网类型来选择网卡,3.,根据工作站选择合适总线类型的网卡,4.,根据使用环境来选择网卡,5.,根据特殊要求来选择网卡,6.,其他选择细节,如网卡的质量,4.5,服务器选型,4.5.1,服务器简介,服务器是网络环境下为客户提供各种服务的专用计算机，在网络环境中，服务器承担着数据的存储、转发、发布等关键任务，是网络中不可或缺的重要组成部分。因为服务器在网络中是连续不断地工作的，且网络数据流又可能在这里形成一个瓶颈，所以服务器的数据处理速度和系统可靠性要比普通的计算机高得多。,4.5,服务器选型,服务器的硬件结构由,PC,发展而来，也包括处理器、芯片组、内存、存储系统以及,I/O,设备等部分，但是和普通,PC,相比，服务器硬件中包含着专门的服务器技术，这些专门的技术保证了服务器能够承担更高的负载，具有更高的稳定性和扩展能力。,与普通,PC,机相比，服务器应该具有如下特殊要求：,1.,较高的稳定性,2.,较高的性能,3.,较高的扩展性能,4.5,服务器选型,4.5.2,服务器的分类,1.,按应用层次划分,服务器按其应用层次划分可分为入门级服务器、工作组级服务器、部门级服务器和企业级服务器四类。,2.,按服务器的处理器架构划分,服务器按其处理器的架构,(,也就是服务器,CPU,所采用的指令系统,),划分可以分为,CISC,架构服务器、,RISC,架构服务器和,VLIW,架构服务器三种。,3.,按服务器的用途划分,服务器按其用途不同可分为通用型服务器和专用型服务器两类。,4.5,服务器选型,4.,按服务器的结构划分,服务器按其结构不同可分为塔式服务器、机架式服务器和刀片服务器三种结构。,4.5,服务器选型,4.5.3,服务器的性能指标,服务器性能指标主要是以系统响应速度和作业吞吐量为代表。响应速度是指用户从输入信息到服务器完成任务给出响应的时间，作业吞吐量是整个服务器在单位时间内完成的任务量。假定用户不间断地输入请求，则在系统资源充裕的情况下，单个用户的吞吐量与响应时间成反比，即响应时间越短，吞吐量越大。,影响服务器性能指标的主要因素包括服务器的,CPU,占用率、服务器的可用内存数以及物理磁盘读写时间等。,4.5,服务器选型,4.5.4,主流服务器,2010,年，,IBM,、,Dell,、,HP,这三个品牌在中国服务器市场的关注度之和超过了,75%,，其他品牌的关注度相对较小，中国服务器市场竞争呈现少数品牌垄断市场的寡头趋势。,1. IBM System x3550 M2,2.,戴尔,R410,3. HP XW4600,工作站,4.,华硕,RS520-E6,5.,宝德,GS-1000,6.,联想万全,T260 G3,服务器,4.5,服务器选型,4.5.5,服务器的选购,选购服务器可以从下列几个方面加以考虑。,1.,可靠性,2.,可用性,3.,可扩展性,4.,可管理性,5.,以够用为准则,6,升级维护成本,7,能否满足特殊要求,4.6,网络操作系统选型,4.6.1,网络操作系统简介,网络操作系统,(NOS),，是网络的心脏和灵魂，是向网络计算机提供网络通信和网络资源共享功能的操作系统。它是负责管理整个网络资源和网络用户的软件的集合。由于网络操作系统是运行在服务器之上的，所以有时称之为服务器操作系统。,网络操作系统与运行在工作站上的单用户操作系统,(,如,Windows 98),或多用户操作系统由于提供的服务类型不同而有差别。一般情况下，网络操作系统是以使网络相关特性最佳为目的的。如共享数据文件、软件应用以及共享硬盘、打印机、调制解调器、扫描仪和传真机等。,4.6,网络操作系统选型,4.6.2,典型网络操作系统,目前流行的网络操作系统有四大类：,Windows,操作系统、,NetWare,操作系统、,UNIX,操作系统和,Linux,操作系统。,1. Windows,操作系统,Windows,操作系统配置在整个局域网中是最常见的，但由于它的稳定性能不是很高，所以微软的网络操作系统一般只是用在中低档服务器中，高端服务器通常采用,UNIX,、,Linux,或,Solairs,等非,Windows,操作系统。,4.6,网络操作系统选型,2.NetWare,操作系统,NetWare,操作系统,曾经是,20,世纪,80,年代末到,90,年代初风靡一时的网络操作系统。,但因该,操作系统最初的版本没有采用,TCP/IP,协议,，故目前使用较少。,4.6,网络操作系统选型,3.UNIX,操作系统,UNIX,网络操作系统的一个最突出的特点就是安全可靠。,UNIX,网络操作系统本身就是为多任务和多用户工作环境而开发的，它在用户访问权限、计算机及网络管理方面有着严格的规定，使得,UNIX,有很高的安全性。当然这种优势只是相对的，随着技术的发展，也出现了攻击,UNIX,网络操作系统的病毒，而且网络黑客也可以攻击采用,UNIX,操作系统的网站。,4.6,网络操作系统选型,UNIX,网络操作系统的另一突出特点就是能够很方便地与,Internet,相连。这是因为,UNIX,网络操作系统本身就是为管理网络而开发的，现在,TCP/IP,协议已成了,UNIX,网络操作系统的基本组成部分，这样,UNIX,网络操作系统就可以很容易地增强和扩展,。,目前市场上流行的主要是,HP,、,SUN,、,IBM,等公司的,UNIX,网络操作系统，但不同公司的,UNIX,网络操作系统的内核互不兼容，不可交换。这种互不兼容的局面成了,UNIX,网络操作系统应用推广中的最大障碍。,4.6,网络操作系统选型,4.Linux,操作系统,Linux,网络操作系统具有开放的源代码、可运行在多种硬件平台之上、支持多种网络协议、支持多种文件系统等一系列特点，在国内外得到了广泛应用。尽管,Linux,的发展势头很好，但,Linux,存在的版本繁多，且不同版本之间存在大量的不兼容等缺点也影响了它的应用范围。,总的来说，对特定计算环境的支持使得每一个操作系统都有适合于自己的工作场合，这就是系统对特定计算环境的支持。例如，,Windows Professional,适用于桌面计算机，,Linux,适用于小型的网络，而,Windows Server,和,UNIX,则适用于大型服务器应用程序。因此，对于不同的网络应用，需要我们有目的地选择合适的网络操作系统。,4.6,网络操作系统选型,4.6.3,网络操作系统的选择,不同的,网络操作系统所面向的服务领域不同，用户可以结合网络系统的需求适当选择。,1.,成本问题,包括购买成本和运行、维护、升级成本等。,2.,安全性问题,网络操作系统本身的,安全性问题,。,3.,可集成性与可扩展性问题,即,对硬件及软件的容纳能力,问题。,4.6,网络操作系统选型,4.,兼容性问题,5.,可维护性问题,总之，在购买网络操作系统时，最重要的还是要和自己的网络环境相结合。如中小型企业及网站建设中，多选用,Windows,网络操作系统；做网站的服务器和邮件服务器时多选用,Linux,；在工业控制、生产企业、证券系统的环境中，多选用,Netware,；而在安全性要求很高的情况下，如金融、银行、军事及大型企业网络上，则推荐选用,UNIX,。,4.7,网络数据库选型,4.7.1,网络数据库简介,数据和资源共享这两种方式结合在一起即成为今天广泛使用的网络数据库,(Web,数据库,),，它是以后台,(,远程,),数据库为基础，加上一定的前台,(,本地,计算机,),程序，通过,浏览器,完成数据存储、查询等操作的系统。,网络数据库,(Network Database),的含义有三个：,跨越计算机在网络上创建、运行的数据库；,网络上包含其他用户地址的数据库；,信息管理中，数据记录可以以多种方式相互关联的一种数据库。,4.7,网络数据库选型,4.7.2,典型的数据库管理系统,目前，商品化的数据库管理系统以关系型数据库为主导产品，技术比较成熟。其中，主要的关系型数据库管理系统有,Oracle,、,Sybase,、,Informix,和,Ingres,，这些产品都支持多平台，如,UNIX,、,VMS,、,Windows,，但支持的程度不一样。此外，,IBM,的,DB2,也是成熟的关系型数据库，但,DB2,是内嵌于,IBM,的,AS/400,系列机中的，只支持,OS/400,操作系统。在网络系统集成中，为了能够更好地选择数据库管理系统，需要充分了解各种数据库管理系统的综合性能。,4.7,网络数据库选型,1. Oracle,数据库管理系统,Oracle,是以高级结构化查询语言,(SQL),为基础的大型关系数据库，通俗地讲它是用方便逻辑管理的语言操纵大量有规律数据的集合，是目前最流行的客户,/,服务器,(C/S),体系结构的数据库之一。,4.7,网络数据库选型,(1)Oracle,数据库管理系统的技术特点,无范式要求，可根据实际系统需求构造数据库；采用标准的,SQL,结构化查询语言；具有丰富的开发工具，覆盖开发周期的各个阶段；支持大型数据库，数据类型支持数字、字符、大至,2GB,的二进制数据，为数据库的面向对象存储提供数据支持；具有第四代语言的开发工具,(SQL Forms,、,SQL Reports,、,SQL Menu,