政府单位公安网络技术方案

公安网络技术方案本方案是针对XX 公安厅公安系统的需求而设计的，在方案书的结构上，分为：概述网络需求分析网络设计原则网络模型定义网络系统设计网络安全设计网络可靠性设计网络管理厂商及产品选择产品实现本方案是一个解决方案， 目的是从用户的需求出发， 提出解决实际问题的方案。 为避免成为一个“技术白页”或“产品手册” 。在方案书中没有作过多的技术描述，产品也是在最后提出的。如对技术或产品的详细情况感兴趣，可参考符录中的技术介绍和产品介绍。1.1 需求分析随着公安厅的业务和应用程序对网络带宽的不断增加， 目前的网络已不在适应当前业务的需求。 因此建立一个统一、 高效的网络平台、建立新的网络主干，提高网络的整体带宽； 保护原有投资， 同时确保能平滑的向更新技术迁移是公安厅计算机信息网络系统面临的迫切任务。1.2 网络设计原则根据XX公安厅网络系统的需求分析，以及XX公安厅网络系统的规划，我们提出以下实施原则：实用性与先进性原则 :网络实施应本着实用与先进的原则，一方面能满足应用系统的数据传输要求，为各信息点提供网络传输服务。 另一方面， 又要体现出网络系统的先进性。一般来说，越是先进的技术价格越高。 全方位的使用先进的新式产品是不合理的， 因此， 在网络实施中要把先进的技术与现有的成熟技术结合起来，充分考虑到 XX 公安厅的实际情况，在先进性与经济性的中间选出一个平衡点。高性能原则：网络是应用系统的平台，网络的性能直接影响到整个系统的性能。随着电子技术的发展，计算机的处理能力越来越强，个人电脑的不断升级，而桌面系统的网络速度从10Mbps刚刚升级到现在的100M其发展速度远远落后于计算机的处理能力的发展。另一方面，网络上的设备也越来越多， 应用也越来越复杂， 使网络的性能成为应用系统的性能瓶颈。 特别是 XX 公安厅网络系统的节点比较多，对网络中心节点的性能要求较高。因此，网络实施应在实用性原则的基础上，针对不同的应用，提供较好的性能。可靠性原则网络在应用系统中扮演了极重要的角色，它的稳定可靠是应用系统运行的保证。目前几乎所有的应用系统都离不开网络， 一但网络崩溃， 整个系统就会处理瘫痪状态， 这可能会带来不可估计的损失， 特别是在公安机构的网络系统中， 更要提供百分之百的可靠保障。 因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的， 与之密切相关的是投资额度和对冗余设备的使用率。可靠性、投资额、设备使用率三者是互相影响、互相制约的因素，一个设计良好的网络方式，应该是三者的综合平衡。安全原则随着国民经济信息化的迅速发展，网络信息系统对安全的要求越来越高，尤其自Internet /Intranet 应用发展以来，信息系统的安全已经涉及到国家主权等许多重大问题。在公安业务系统涉及到许多国家的安全机密， 安全保证是公安网络系统的重要一环。 在网络设计中要对相关的网络设备、 主机系统、 应用数据库提供严密的保护， 同时又不能影响到应用系统的功能和使用，对性能的影响也要尽量降到最小。可管理性原则由于公安网络系统的节点多、分布广、设备种类多，具有一定的复杂性。而且在今后的应用中，还会增加新的技术、新的产品。在这种环境下, 资源分布程度和共享程度大大提高 , 任何微小的故障都可能导致用户应用的失败。网络管理的目标是最大限度地增加网络的可用时间 , 提高网络设备的利用率、 网络性能、 服务质量和安全性, 简化在复杂网络环境下的管理和控制网络运行成本， 并为网络系统的优化提供依据。 需要注意的是， 由于分布在广大地域范围的各个节点是由广域网连接，速率是以 Kbps 为单位的，网络管理不能过分影响到 网络的性能。可扩展原则随着XX公安厅的发展，XX公安厅的业务量也将越来越大，对网络系统的要求也越来越高。同时，各种新的业务也会逐步开展，包括XX公安厅自身的管理如OA系统。因此，在网络设计中要考虑到网络设备的升级能力。 网络设备的扩展能力涉及到投资保护的问题。 网 络系统的扩展能力与网络系统的先进性是相辅的，扩展能力能保持网络系统持续的先进性。1.3 网络模型定义任何科学、合理的网络系统都建立在一个模型之上。通过把物理上的因素抽象成逻辑的模型，有助于网络设计的条理清晰，结构分明。本节将完成建立模型的工作。网络核心信息在这里流通与交换，核心交换机和路由器是网络中心。汇聚层（二级节点）汇集下级节点，连接上级中心节点，起承上启下的作用。接入层一般指汇聚层以下的接入终端，包括服务器直接接入的节点精选范本,供参考！外部访问节点不需要与系统作永久的物理连接，在必要时与系统交互。如宾馆、旅行社、小区治安 处，治安岗亭等，还可包括移动巡逻警车，铁道，银行等。1.4 网络设计1.4.1 主干网设计主干网的设计目标是建立一个高速、高效的选进的骨干。网络类型选择针对公安信息网络的需求， 应该使用高速的主干网络。 目前高速主干的技术主要有 ATM 和千兆以太网，下面我们给出一个简单的对比。ATM千兆先进性从93年到现在一直是先进 的技术最新的实用高速主干技术实用性对中用电信来说是更适用于一般性应用经济性且再 卬贝便宜QOSt归力非常好，但没必要802.1p , 802.1Q,RSVP向向的用户中国电信一般性用户对局域网协议的 支持LANE MPOA1没有 QOS从局域网技术发展向来通过对比，我们以为 ATM是非常好的技术，但更适合中国电信这类多服务提供者，对 于公安系统来说，如果从需求出发，考虑到性能价格比，应选择千兆网作为主干网。网络结构设计主干网络采用的是星形结构，主干网核心交换机用单模或多模光纤连接二级节点的边界交换机。主干网络使用的是交换式的千兆以太网技术，请注意千兆网络的传输距离是有限的。在各厂商的产品中，对千兆网络的传输距离都有一定的增强，如 Cabletron 可扩展到70km距离，3CO而扩展到40km, CISCO可扩展到100km。必需注意到主干网的作用是提供高速、高效的网络连接服务，因此对核心交换机的交换能力的要求很高，特别是它的多层的QOS!归力。核心交换机应能识别不同的TCP数据流，给予不同的传输优先级别。例如ORACLESQLNET使用TCP和UDP端口 66, ORASR迸程使用TCP和 UD阂口 1525, ORACLE LISTENER!程 TLISRV使用 TCP/UD端口 1527。IBM CICS 中 间件使用TCP/UDP端口 1435。对于使用这些端口的数据流，核心交换机和边界交换机必需 给予最高的优先级，使数据库的应用性能达到最优。核心交换机的第三层交换/ 路由能力。 在网络系统中出于安全和性能考虑， 实现广播控制，使用了 VLAN技术。当通信的双方要经过核心交换机，且位于不同VLAN时，路由功能由核心交换机完成。如果本地有第三层交换机/路由器，可以把本地的VLAN间路由任务交由他 完成，减轻主干负担。1.4.2 局域网设计局域网线路选择局域网线路分为上连线路和桌面连接线路， 在上连线路使用的是多条100M 以太网连接同时还具有线路容错的能力。由于主干带宽为1G,对于100M交换机在上连链路使用 4条全双工的连接就足够了。对于10M端口的桌面交换机，使用2条上连链路。桌面链路一般是10M和100M结合的方式，10M链路给一般的普通用户，100M连接服务器。必须说明的是：边界交换机上一般配有100M端口，这些端口提供的性能和功能都比外接的100M交换机强许多，在 100M端口需求较少的情况下，应充分利用边界交换机上的100M端口。中心节点局域网中心节点比较特别：中心节点拥有主干核心交换机，需考虑充分利用核心交换机的性能优势。中心节点的端口需求量大，特别是100M高速端口的数量。我们为中心节点作如下设计：所有的服务路设备，直接连到核心交换机上。所有的100M桌面用户直接连到核心交换机上，用VLAN与服务器分开。普通桌面用户连到10M桌面交换机，视端口数据决定交换机的数量。10M桌面交换机直接连接核心交换机上主干，不使用堆叠技术。以太同建接方式100M以太网连接方式】0M以太网连接方苴本地局域网方案逻辑图1.4.3 网络协议协议选择：考虑到目前流行的 TCP/IP协议，许多网路设备也是针对 TCP/IP优化，在系统中应采 用TCP/IP协议。在单、网整个段内部可以使用其它的协议。如果有 Novell的文件服务器, 应把它升级为支持 TCP/IP协议的版本。IP 地址设计：IP 地址的划分应根据应用模型来实现，一般的划分原则如下：按职能部门和地理位置划分；按系统功能划分；按安全级别划分；按系统资源的使用划分。IP地址应遵INTERNET勺例选择保留地址，这些地址不会出现在INTERNETS。保留地址有：A 类 10.0.0.0 10.255.255.255B 类 172.16.0.0 172.31.255.255C 类 192.168.0.0 192.168.255.255也可使用 4.*.*.* 和 5.*.*.* ，这些是美国军方使用的保留地址。卜面给出一个地址划分的模板，具体实现上可根据实际情况自定，或由金盾工程统一规划。192、 168 网段为例中心192.168.1.0 192.168.15.255汇聚节点1192.168.16.0192.168.29.255汇聚节点2192.168.30.0192.168.32.255汇聚节点 3192.168.33.0 192.168.35.255汇聚节点4192.168.36.0192.168.38.255小型汇聚节点1 192.168.39.0 192.168.40.255小型汇聚节点 2 192.168.41.0 192.168.42.255注意：所有地址包含了广播地址和网络地址。路由协议选择路由协议选择在IP 网络中是特别重要的，尤其在大规模的 IP 网络中。它关系到整个网络的运行成败和工作效率。 路由协议要根据不同网络的结构， 不同网络的实际应用来选择，还要考虑到路由协议对网络流量的影响。路由协议可选择静态路由和动态路由，静态路由设置起来比较简单有效，对网络流量精选范本,供参考！没有任何压力。 但静态路由缺乏路由变化的灵活性， 不能自动地实时更改网络路经， 不具用 网络的自动备份功能，主要适于单路经，网络拓扑结构比较简单的小规模网络。为了实现自动的网络备份功能，我们建议用动态路由协议。虽然动态网络协议对网络的流量有一定的影响，路由器设置起来也比较复杂，但如果我们规划好IP 地址的分配和整个网络路由区域的划分，实现起来还是会很有效的，对网络的流量的影响会很小。OSPF目前使用最广的动态路由协议，具有带宽消耗最小、配置简单、收敛迅速等特 点，能很好地完成路由任务。同时，OSPF是IETF定义的标准协议，所有的第三层网络设备都支持。建议使用 OSP咙XX公安厅网络的路由协议。1.5 网络安全设计机构隔离公安系统由许多不同的职能部门组成，各部门需要访问不同的计算机资源，一些机密的信息仅供特定的部门使用， 而另一些信息和资源为全体部门所共享， 这些信息和资源一般放在同一台服务器上（如数据库主机） ，允许各部门同时访问。机构隔离指当多个机构访问同一服务时，机构之间不能互相访问。具体的实现方法：用VLAN术把各个部门分为多个网段。VLAN的划分有多种方式，可以参考IP地址的划分方法，把每个IP网段划为一个VLAN 许多第三层交换机都支持根据IP地址来划分VLAN而与具体的端口无关。以端口为依据的VLAN划分方法适用于固定端口设备，（如服务器）。以IP为依据的VLAN划分方法适用于经常移动的设备（如笔记本电脑）。由于IP地址容易伪造，应把重要的IP地址与MACM址强行对应起来，即设定永久性的AR昧。有了 VLAN的控制，使跨VLAN的访问必须通过核心交换机在第三层交换/路由，便于在核心交换机上集中控制。 使用访问控制列表（ Access-Control-List， ACL） 是最简单的一种。ACL能根据IP包的源地址、目的地址、TCP或UD窗口号，过滤掉不合法的互访IP分组。通过上述技术手段，使得公安系统的不同部门（行政、营运、各业务处、各分局和派出所处于安全控制之下。数据加密这里是指网络层的数据加密传输。加密是在两个路由器之间建立一条加密隧道，所有经过的数据在发送端加密， 在接收端解密。 加密传输主要在广域网上实现， 对上层的数据来说是完全透明的。公安网络的广域网部分多用的是铜缆连接，铜缆上存在信号泄漏的问题，容易被人窃听。 目前许多厂商都提供了加密的功能， 包括先进的密钥交换技术、 多种加密手段。需要指出的是，软件加密需要消耗CPU十算能力，会对路由器的性能产生一定的影响，在实现时用区分不同的数据，只对重要的业务数据加密，其他如OA数据、路由协议数据可不作加密。拨号访问控制外部用户要通过拨号访问的网络上的资源，同时也留下了安全漏洞。拨号访问控制包括认证和授权两方面。认证指对拨入的用户（发起呼叫的PC/路由器）做身份验证，一般用口令的方式实现。 授权指针对不同的用户授予不同的权限， 限制对资源的访问。 认证和授权有两种形式：1、本地（ local ）认证认证功能在拨号访问路由器上实现，用户口令数据库存放在拨号访问路由器上。这种方式实现简单， 但缺乏授权的功能的灵活性， 且当用户数量大时， 用户口令数据库维护困难，仅适用于小量用户的环境。2、服务器认证使用了专门的一台服务器做认证和授权服务。服务器上运行支持RADIUS议的进程，访问路由器会把拨入的用户的用户名传给服务器，服务器使用CHAPT式验证用户的口令，并根据用户名分配用户不同的权限。权限体现在：指定用户的IP 地址、为用户定义独立的访问控制列表 ACL、为用户定义不同的网关地址等。此外，使用服务器认证方式还能提供强大的日志能力，使任何拨号访问都处于严格的控制之下。服务器认证方式技术上比较先进，功能强大，且便于维护，建议采用。防火墙在本方案中， 防火墙实现的功能是IP 包过滤和网络地址转换， 提供第二级的保护， 加强安全性。IP包过滤一方面能控制外部用户访问，确保他们只访问特定的资源 （WEBI艮务器），另一方面也防止内部用户通过此出口实现非法访问。 网络地址转换能屏蔽内部网络地址， 与IP 包过滤相得益彰。WEBfc机此处仅针对网络层给出一些建议。一般WE限现使用口令验证用户的权限，这种应用层的方式比较成熟，在网络层可以有如下实现：WE旺机设置双IP地址（可在同一网段内，NT、UNIX均可实现）；启动两个 HTTPD（UNIX）进程或INETINFO.EXE （NT*）实例，分另应不同的WE助能,其中一个可以是另一个的子集，并分别绑（BIND）在两个IP地址上；通过拨号认证服务器为不同用户分配不同的访问权限（可访问的 IP 地址） ，使不同用户只能访问相应的 WEB进程 / 实例和 IP 地址的数目可2。其它除了以上几个方面，还有一些方式，如 CA服务、路由协议 OSPFft证、VPN （参考技术介绍）等，用户可根据具体情况实现，不同的实现方案需要不同的代价：实施和设备成本、性能 / 功能、技术的复杂化、管理的复杂化等。我们认为，从网络层的角度出发，以上的安全措施以能提供足够的网络安全性。1.6 可靠性设计在网络设计中，可靠性设计是极重要的一个环节。因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的， 与之密切相关的是投资额度和对冗余设备的使用率。 可靠性、投资额、设备使用率三者是互相影响、互相制约的因素， 一个设计良好的网络方式，应该是三者的综合平衡。网络设备备份网络设备的备份属物理层次上的备份，指的是重要设备如核心交换机、核心路由器等设置硬件冗余备份。网络设备备份又可细分为整机设备备份和单设备上端口备份两种方式。网络线路备份网络线路备份主要是指广域网通讯线路的备份。由于局域网之间的连接是通过广域网来完成，而广域网通讯采用的是社会公用网如帧中继、DDN、 X25、 PSTN 等，线路服务由有关电讯机构来提供， 属于不受公安厅控制的环节。 因此在广域网设计中， 为了保证网络连接的可靠性， 必须采用主、 备双通讯线路、 互为备份设计。 网络线路备份基本上也属物理层次，要与设备备份一起使用。 线路备份考虑的首要因素是主线路和备份线路的类型是否能满足网络通讯的需要，其次是与所用的网络交换机/ 路由器的配合，再者是备份线路的空闲费用，还要结合机构的分布特点。 备份线路有专线和拔号线两种。 备份线路的基本要求是能和路由硬件设备和路由算法的配合， 实现线路间的互相切换， 如果是拔号线路， 还要求拔号连接在要求时限内完成，真正做到对应用软件系统透明。在广域网上，建立备份线路系统需要一定的投资，一般不要求与主线路具有同样的带宽， 这样就有了带宽和服务质量的差别。 要在备份线路实现一定的控制， 过滤掉不重要的数据。路由备份在备份策略中，路由备份设计是最重要的环节。从网络层次结构上看，路由备份属于网络层， 对下二层的备份策略起指导作用。 路由备份依靠的是路由寻址算法。 路由算法能根据网络系统拓朴结构变化自动更新路由表， 反映出网络的可连接通道和路由开支， 能在线路中断、设备或端口故障时自动进行路由切换。在针对XX公安厅网络系统的设计中，主要使用了以下几种备份手段：1、设备在核心交换机机上采用了冗余备份的配备，它的交换背板，交换处理器，主干千兆端口，电源模块均有冗余，消除网络核心存在的单故障点。在其它的主要网络设备如边界交换机、路由器实现电源备份。2、线路远程光纤一般有多条芯，可以随时更换。从主干交换机到本地局域网使用多链路 Trunk 技术，实现负载均衡和容错。广域访问使用拨号备份技术，确保各派出所与中心数据库的链路畅通。1.7 网络管理网络管理的方式为集中式管理。网管中心设在市公安厅网络中心，集中管理的好处是减少管理人员，发挥网络的优势。网络管理的一般过程：初始化：网管软件安装完成后，网管信息数据库为空，这时要做初始化的工作。要求网管软件提供了 DISCOVER恸能，在不做任何设置的情况下，网络软件能通过广播发现相连网段上的设备， 如果该设备是路由器， 则网管软件会发现路由器所连的其它网段， 通过这种传递方式，整个网络上的网络设备、 主机以及拓朴结构都为网管软件所知。 有了这些信息， 网管软件就能进一步获取每个网络设备的详细信息。获取静态信息：主机和网络设备的MIB库包括有静态信息和动态信息。所谓静态，是指一些有关设备的标识、硬件软件等不易发生变化的信息，例如路中器的型号、模块信息、地理位置、 IOSVERSION主机的操作系统名称等。这时。网管软件已能自动产生网络的拓朴图并用图标标示网络上的物理设备， 网管人员可自行编辑网络拓朴图使其更为直观， 所有的数据将存入网管软件的数据库中。 除非网络发生物理上的变化如增加新设备等。 一般不必对上面的数据作改变，这样每次网管软件启动时，不必重复作初始化工作。实时监控：跟踪、获取动态信息是网络管的主要任务。动态信息指网络中经常发生改变的信息，如端口的状态， 线路的好坏， 剩余内存的大小等。 获取信息的方式有两种， 一是轮询 ( polling )的方式，网管软件定期查询各网管代理，获得相关的信息，这由SNMP1、议的Get操作来完成。 二是事件触发的方式， 在各网络设备代理设定一些触发条件或门限值， 当条件满足时代理就发送信息给网络软件。通过SNMP勺SET命令，网络管理员还可用网管软件对网络设备进行远程设置。此外，RMON/RMON胁议能智能地监控网络上的数据和流量，对RMON勺支 持是网络设备的重要指标。最后，网管软件把得到的数据汇总，以直观的图形方式表达，为网管人员提供依据，对数据分析，以进一步对网络作优化。 优化：按照网管的模型，网管站与网管代理之间要经常驻交换信息，特别是SNMP勺Get操作，如果网管站向某一SNM代理发生一个 Get (命令，该代理就会把所有的属性值发给网管站。另一方面，如果不适当地设置trap ，可能导致网上充满了发往网管站的 trap 通知，这些无用的信息包严重地消耗了广域网上带宽， 造成网络通讯阻塞。 因此， 在设计网管系统时要考 虑优化的问题，在局域网上尽可能的结合RMON；现智能管理。智能网络设备一般带有网管代理的功能， IETF 为网络设备定义了一套标准的 MIB( MIB II ) 。 MIB 定义了网络设备的各项属性，其中一部分静态的，一部分是在网管中很少用到的， 因此在回答网络管理站的轮询应尽量只发送有用的信息。 在广域网上， 应尽可能少地使用轮 询操作， 并且对不同的设备应区别对待， 重要的设备轮询的间隔短些， 非关键的设备间隔长 些或干脆不用轮询。优秀的网管软件提供了区别对待不同网络的能力，如 HP OpenView,能够针对不同的 网络节点作不同的POLLING设置。对 trap 的使用也应加以控制，频繁的状态变化(如因为线路不稳定导致Interface 不停地UP/DOW/N会产生大量的 trap消息包。网管安全SNMP1、议提供了 SET命令，可对网络设备作远程设置，这也藏了不安全因素，SNM次提供了简单的安全机制(community string ),因此，在设置时，要把SET命令的口令分开。为不同的管理权限分配不同的口令( community string ) ，在平时使用只读的口令，在设置才 用读写的秘密口令，如果把系统分为多个管理区，在每个管理区应使用不同的口令。网络管理软件的选择：网络管理软件分为两种：通用网管平台软件和专用网管软件。通用网管平台软件是 一个管理平台，它能在多种操作系统上提供了统一的GUI 管理人机界面，支持全部的网络管理标准（SNMP/SNMP V2/RMON/RMON） ，网络协议，能与多种数据库2系统集成。 由于采用了面向对象的结构， 能支持许多第三方厂商的扩展模块， 因此功能非常强大。这类软件有： HP Openview 、 IBM NetView 、 SUN NetManager ， Cabletron SPECTRUM Enterprise Manager 。专用网管软件 多为网络厂商提供的，其管理对象限制在自己的网络产品。为了满足集成的功能，一般与其它通用网管平台一起工作，如 Cisco Works for OpenView 、 CiscoWorks for NetView 、Cisco Works for NetManager 。 3COM的 Transend 网络管理软件在 缺省配置下就与 OpenView捆绑在一起了。 Cabletron 的SPECTRUElement Manager也是类似的产品。网管产品选型：以上几个章节均以逻辑设备的方式描述网络系统方案的实现，具体实现中涉及到产品的选型。产品选型原则和依据包括几个方面：满足用户的需求： （最重要的，并且是其它原则的基础）好的性价比；厂商的因素。厂商与产品选型的关系一般来说， 用户一但选择了个厂商的产品， 就与厂商形成了一种伙伴关系， （与集成商也是如此 |- ） ，并存在于整个产品的生命周期，产品的更新、升级都需要厂商的支持，因此一定要选择稳定发展，处于上升阶段的厂商， （ Digital 公司就是一个反例） 。其次，各厂商的产品线有宽有窄， 市场的定位也不尽相同， 如果厂商由于在某些细分市场获利不佳， 因而退出该市场，就会为用户以后的升级带来困难。目前符合上述条件的主要网络厂商有Cabletron 、 Cisco 、 3COM。Cisco、3COM匀为全线产品厂家，Cisco侧重于路由器和广域网，3COM重于交换机和集线器， 以及桌面网络产品。 而 Cabletron 是老牌骨干网络设备专业生产厂家， 在骨干网的建设上有自己独特的解决方案。多厂商方案Vs 单一厂商方案网络与软件不同，Microsoft可以完全按照自己的意愿设计Win9x,而网络有许多标准 精选范本,供参考！规范，所有的网络设备都必须遵守这些标准，使不同厂商的设备集成在一起可能。另一方面，各厂商在标准的基础上增加了许多自己设计的功能，即产品的附加价值。因此当采用单一厂商方案时，能使厂商的这些功能得到充分发挥，同时在网络设备的管理和维护上比较方便。在一个大型网络系统中，由于网络涉及的产品面广，功能/性能要求多，如果能采用多 个厂商的产品，发挥厂商在不同领域的优势，同时提供更多的灵活性，获得更好的性价比， 这也是很好的选择。庠商方案多1商方案性价比好网络管理方便/统一维护不会互相推委1.8 以网络产品实现网络设计1.8.1 核心网络产品和外部访问产品实施数据中心的核心网络设备应该具有以下特点：高速率中心节点拥有主干核心交换机，需考虑充分利用核心交换机的性能优势。高密度 中心节点的端口需求量大，特别是拨号端口的密度。因此对拨号访问服务器有很高的要求。高可靠中心节点对网络设备的可靠性有很高的要求，特别是主干交换机的可靠 性，应考虑备份冗余。根据中心节点的规划设计，产品实施如下：中型交换机选用两台 CISCO Catalyst 6509 千兆位多层交换机，互为备份。两台交换机各配有一块多层交换模块（MSM,各配有两块8 口千兆模块，用以与分局（处）的连接，同时各配有48个百兆口用以和本地连接。两台交换机之间采用TRUN/术，采用3条千兆连接达到6Gbps的全双工速率。拨号考虑同时支持 200个ISDN/PSTN用户拨入，拨号访问路由器采用两台CISCO的AS5300访问路由器，互为备份。每台 5300配有一块2 口 E1模块，一块 NM-1FE2CE1R2 口E1, 1 口快速以太网模块)，两块30数字modom莫块，这样可同时支持120个模拟拨号或240 个ISDN拨号。由于拨号访问是一项开放的服务， 为保证安全， 在访问路由器的后面配置一台访问认证服务器，并使用RADIUS认证协议。为了严格控制拨号访问用户的行为，使用防火墙把拨号访问网络与中心局域网隔离，加强安全。所有的服务器设备，直接连到核心交换机上。所有的100M桌面用户直接连到核心交换机上，用VLAN与服务器分开。普通桌面用户连到 10M 桌面交换机， 10M 桌面交换机直接连接核心交换机上主干，不使用堆叠技术。1.8.2 汇聚节点和接入层网络产品实施由于数据中心主要是放置大量服务器， 要求做到即能够实时远程管理又能够监控各个端口的流量， 并可以对各个端口进行限速， 因此设计在各个汇聚节点以及接入层节点放置一台3750 千兆位多层交换机，实现到中心的千兆连接。原则上每个汇聚节点内的机器统一在同一网段内，如确有需求可划分内部VLAN通过配置内部路由实现VLAN的通讯。1 9 网络管理软件的选择：网络管理软件分为两种：通用网管平台软件和专用网管软件。通用网管平台软件是 一个管理平台，它能在多种操作系统上提供了统一的 GUI 管理人机界面，支持全部的网络管理标准(SNMP/SNMP V2/RMON/RMON) ，网络协议，能与多种数据库2系统集成。 由于采用了面向对象的结构， 能支持许多第三方厂商的扩展模块， 因此功能非常强大。这类软件有：HP Openview 、 IBM NetView 、 SUN NetManager ， Cabletron SPECTRUMEnterprise Manager 。专用网管软件 多为网络厂商提供的，其管理对象限制在自己的网络产品。为了满足集成的功能，一般与其它通用网管平台一起工作，如 Cisco Works for OpenView 、Cisco Works for NetView 、Cisco Works for NetManager 。 3COM的 Transend 网络管理软件在 缺省配置下就与 OpenView捆绑在一起了。 Cabletron 的SPECTRUElement Manager也是类 似的产品。网管产品选型：网管平台选择 HP的NETVIEW而专用网管软件视网络产品的选择而定1. 10产品介绍1. 10. 1 Catlyst 6509Catalyst 6500系列通过大幅度提高用户生产效率，增强运营控制，并提供史无前例的投资保护，为企业园区和服务供应商网络设置了全新的IP通信和应用支持标准。作为思科最出色的智能多层模块化交换机，Catalyst 6500 系列提供了从布线室到核心、数据中心，乃至 WANi缘的安全、融合、端到端服务。产品概述Cisco Catalyst 6500系列适用于希望降低总体拥有成本的企业和服务供应商，在一系列机箱配置和 LAN/WAN/MA藤口上提供了可扩展f能和端口密度。Cisco Catalyst 6500系列拥有3、6、9和13插槽机箱，以及无与伦比的集成服务模块范围，包括多千兆位网络 安全、内容交换、电话和网络分析模块。由于在所有Cisco Catalyst 6500系列机箱中采用了拥有通用模块组和操作系统软件的前瞻性架构，Cisco Catalyst 6500系列提供了高水平的运营一致性，可以优化 IT基础设施，增强投资回报。 从48至576个10/100/1000端口或1152个10/100端口的以太网布 线室，到支持192条1-Gbps或32个10-Gbps中继线的每秒数亿转发速率的网络核心，CiscoCatalyst 6500 系列利用冗余路由和转发引擎间的状态化故障转换功能，提供了理想的平 台功能，大幅度延长了网络正常运营时间。凭借多个值得信赖的业界首创和领先的特性，Cisco Catalyst 6500 系列可以支持3代模块，从而进一步证实了 Catalyst 6500的价值和思科的创新承诺。思科新一代Catalyst 6500系列模块和Supervisor Engine 720 采用了 11种思科开发的全新特定应用集成线路 (ASCI)巩固了思科在联网业界的领先地位，提供了无与伦比的投资保护功能。精选范本，供参考!Cisco Catalyst 6500系列机箱特性Cisco Catalyst 6500系歹 U系统特性机箱配置3 t6插槽99个垂直插槽13插槽背板带宽32Gbps共享总线256Gbps交换矩阵720Gbps交换矩阵第三层转发性能Supervisor 1 MSFC : 15MppsSupervisor 2 MSFC : 210MppsSupervisor 720: 400Mpps操作系统Catalyst OS(CatOS)Cisco IOSCatOS/IOS混合配置冗余交换管理引擎支持，支持状态化故障切换冗余部件电源（1+1）交换矩阵（1+1） 可更换时钟可更换风扇架局可用性特性网关负载均衡协议（GLBB 热备份路由器协议（HSRP 跨多模块EtherChannel快速生成树多生成树每VLAN快速生成树快速收敛的第三层协议产品规格表 1 Cisco Catalyst 6500系列概览精选范本，供参考!最高系统端口密度10/100/1000 以太网10/100快速以太网100-BASE-FX千兆位以太网（GBIC）10千兆位以太网（XENPAK576个端口，都支持馈线电源r 1152个端口，都支持馈线电源288个端口194个端口（在交换管理引擎上提供了 2个端口）32个端口集成WANI块FlexWAN(DS0至U OC-3)OC-3 POS 端口OC-12 POS 端口OC-12 ATM 端口OC-48 POS/DPT 端口12个模块，带24个端口适配器192482424PSTNn数字T1/E1中继端口FXS 接口高级服务模块216864千兆位防火墙千兆位VPN高性能入侵检测 千兆位内容交换模块高性能SSL端接千兆位内容服务网关Cisco Catalyst 6500系列交换管理引擎（Supervisor Engines ）Cisco Catalyst 6500系列交换管理引擎可以根据交换管理引擎的配置和特定接口模块的功能，支持不同的转发技术，实现不同的转发速率。交换管理引擎可配置以可选的厂家安装子卡-一个用于提供基于硬件的第二层转发的 策略特性卡（PF。，以及一个提供第三层功能的多层交换机特性卡（ MSFC 。交换管理引擎可以在运行Cisco IOS软件或Cisco Catalyst操作系统的处理器上集中执行运营控制功能，而用于特殊用途的特定应用集成线路（ASIC）则执行桥接和路由功能（基于思科快速转发）、QoS标记和监督，以及访问控制功能。在DFC采用了相同的 ASIC, 安装在某些接口模块上的子卡可用于非集中模式的分布式转发，以实现高达400Mpps的系统转发速率（表2）。特性Supervisor Engine 1Supervisor Engine 2Supervisor Engine 720解决方案和市场布线室企业分布层、核心企业核心和数据中和WANfe缘；服务供应 商WANT口互联网边缘心；服务供应商城域；无 线；国家研究网络；网格 计算支持的转发架构仅限于集中转发集中CEF位于交集中CEF-位于1位于交换管理引擎PFCx子卡上的弓I擎换管理引擎PFCx子卡 上的引擎；分布式CEF-位于Supervisor Engine 720PFC3子卡上的引擎；分布式CEF-位于接表 2 Cisco Catalyst 6500系列交换管理引擎接口模块DFC干卡上的 引擎口模块DFC3子卡上的弓1 擎；加速CEF-位于接口 模块ASIC上的引擎矩阵连接通过32Gbps共享母插槽16Gbps；到每端口 40Gbps；总线和各模块连接模块的双矩阵连接，每 条通道8Gbps全双工到模块的双矩阵连接，每条通道20Gbps全双 工最高性能（Mpps）15Mpps210Mpps持续 400Mpps dCEF720峰值 400Mpps aCEFDFC模块不支持DFCDFC3路由处理器在 MSFC2F上在 MSFC2?HU:MSFC3集成（可选）f （可选）1PFC模块PFC子卡（可选）PFC2集成PFC3集成以太网接口模块Cisco Catalyst 6500系列以太网接口模块是专门为布线室、分布层和核心、数据中心应用，以及服务供应商和城域以太网环境而设计的，采用了下列以太网接口类型中的一 种：10/100Mbps铜缆适用于提供带自动协商功能的 10/100-Mbps性能和支持IEEE 802.3af 以太网电源（馈线电源）的布线室；每个模块96个端口；包标准接口模块和 CEF256 接口模块。10/100/1000Mbps千兆位铜缆适用于提供带自动协商功能的10/100/1000-Mbps性能和支持IEEE 802.3af以太网电源（线内电源）的布线室和数据中心；每个模块48个端口；包括标准接口模块、CEF256和CEF720接口模块。100Mbps光纤适用于安全布线室、远距离路由器和交换机连接；每个模块24个端口;包括标准接口*II块和支持CEF256的接口模块1Gbps适用于提供1Gbps性能的分布层、核心层和数据中心；每个模块48个端口；包括标准接口模块、 CEF256 dCEF256和CEF720接口模块10Gbps适用于在2-端口或4-端口模块中提供10Gbps性能的分布层和核心层；包括CEF256 aCEF720和 dCEF720接口模块waN 口模块Cisco Catalyst 6500 系列和Cisco Catalyst 7600系列可以利用 2种技术支持多种WAhNH:FlexWAN模块采用2个插入端口适配器，可提供多种WAN/MAN、议和特性光服务模块（OSM 一种专用线卡， 提供了多种接口， 包才OC-3/STM-1、OC-12/STM-4、 OC-48/STM-16、通道化 T3、通道化 OC-12/STM-4 Pos、千兆位以太网、OC-12/STM-4AT丽 OC-48/STM-16动态分组传输（DPTFlexWAN 模块FlexWAN模块安装在 Cisco Catalyst 6500 系列和 Cisco Catalyst 7600 系列系统内 部，将Cisco 7200和7500系列端口适配器（PA）用于广泛的 WAN/MAN、议，包括帧中继、 ATM PoS点到点协议（PPP）和高级数据链路控制（HDLC。另外，FlexWAN模块提供了 各种介质选项，如Z道和通道化 T1/E1、T3/E3、高速服务接口（ HSSI）、OC-3 PoS和 ATM光服务模块OS般卡配备有卡上网络处理器，为分布式线速IP服务应用提供高速 WANi接。第四到七层服务模块Cisco Catalyst 6500系列为包括内容服务、网络监控、安全和电话在内的第四到七层应用提供了扩展服务模块组。内容服务模块内容服务网关（CSG 为客户计费系统实现了区分计费、用户强制费用结算和活动跟 踪等。内容交换模块（CSM 将高级内容交换集成入Cisco Catalyst 6500 系列，提供了缓存、防火墙、Web服务器和其他网络设备的高性能、高可用的负载均衡网络监控网络分析模块（NAM 1和2）-提供了网络基础设施的应用级可视性，用于实时流量分 析、性能监控和故障排除；利用基于Web的内嵌流量分析器执行流量监控。安全服务模块防火墙服务模块（FWSM FWSMt许机箱中的任何端口作为防火墙端口发挥作用，它将状态防火墙安全性集成入网络基础设施。入侵检测系统模块（IDSM和IDSM-2）以线速从交换机背板获取流量，将 IDS功能直 接集成入交换机。IPSec VPN模块（IVSM）提供了基石设施集成IPSec VPN服务，实现了 1.9Gbps三重数据加密标准（3DE9性能，8000个活跃隧道，以及每秒 60个新隧道建立速度。SSL服务模块（SSM 卸载有关保护流量白处理器密集型的SSL任务，可以加速 SSL性能，提高Web应用的安全性。电话服务模块通信媒体模块（CMM 提供了灵活的高密度T1和E1网关，允许机构将现有的时分多路复用（TDM网络连接到IP通信网络，并提供了到PSTNB勺连接。1. 10. 2 Catalyst 3750Cisco Catalyst 3750系列交换机Cisco ? Catalyst ? 3750系列交换机是一款创新交换机，通过将业界领先的易用性和可 堆叠交换机的最高永续性相结合，提高了LAN的运行效率。此产品系列是下一代桌面交换机的代表，采用了 Cisco StackWise? 技术，这一 32-Gbps堆叠互联使客户可以逐个交换 机地构建统一、高度永续的交换系统。图1用于10/100和10/100/1000 接入及汇聚的 Cisco Catalyst 3750 系列交换机|MB.，产品简介对于中型机构和企业分支机构来说，Cisco Catalyst 3750系列通过提供配置灵活性、支持融合网络模式及自动进行智能网络服务配置，简化了融合应用的部署，并可针对不断 变化的业务需求进行调整。此外，Cisco Catalyst 3750系列针对高密度千兆位以太网部署进行了优化，包括多种交换机，以满足接入、汇聚或小型网络骨干连接需求。Cisco Catalyst 3750系列可采用标准多层软件镜像（SMI）或增强多层软件镜像 （EMI）。SMI特性集包括高级服务质量（QoS）、限速、访问控制列表（ACL）,以及基本静态和路由信 息协议（RIP）路由功能。EMI则提供了更为丰富的企业级特性集，包括先进的基于硬件的IP单播和组播路由。配置Cisco Catalyst 3750系列包括以下配置：? Cisco Catalyst 3750G-24TS24 个以太网 10/100/1000 端口和 4 条小型可插拔（SFP） 上行链路? Cisco Catalyst 3750G-24T24 个以太网 10/100/1000端口Cisco Catalyst 3750G-12S12个千兆位以太网 SFP端口? Cisco Catalyst 3750-48TS48个以太网10/100端口和4条SFP上行链路? Cisco Catalyst 3750-24TS-24个以太网10/100端口和2条SFP上行链路? Cisco Catalyst 3750-48PS 标准以太网电源（PoE）,-48个以太网10/1004条SFP上行链路端口，带IEEE 802.3af和思科预? Cisco Catalyst 3750-24PS24 个以太网 10/100 端口，带 IEEE 802.3af 和思科预标准以太网电源（PoE） , 2条SFP上行链路? Cisco Catalyst 3750G-16TD16 个千兆位以太网 10/100/1000 端口和 1 条万兆位以太网XENPAKt行链路? Cisco Catalyst 3750G-24TS-1U24 个以太网 10/100/1000 端口和 4 条 SFP上行链路，1机架单元（RU）高? Cisco Catalyst 3750G-24PS 24 个以太网 10/100/1000 端口，带 IEEE 802.3af 和 思科预标准PoE, 4条SFP上行链路? Cisco Catalyst 3750G-48TS48 个以太网 10/100/1000 端口和 4 条 SFP上行链路? Cisco Catalyst 3750G-48PS48 个以太网 10/100/1000 端口，带 IEEE 802.3af和思科预标准PoE, 4条SFP上行链路Cisco Catalyst 3750系列可采用标准多层软件镜像（SMI）或增强多层软件镜像 （EMI）。SMI特性集包括高级服务质量（QoS）、限速、访问控制列表（ACL）,以及基本静态和路由信 息协议（RIP）路由功能。EMI则提供了更为丰富的企业级特性集，包括先进的基于硬件的IP单播和组播路由。Cisco StackWise 技术一实现可堆叠永续性新标准Cisco StackWise技术是一种针对千兆位以太网而优化的重要堆叠架构。该技术的设计 旨在保持稳定性能的同时进行交换机的添加、拆除和重部署。Cisco StackWise技术使用特殊的堆叠互联电缆和堆叠软件，可将最多9个独立Cisco Catalyst 3750交换机整合到单一逻辑单元中，由从中选出的主交换机管理。主交换机自动创建和更新所有交换和可选 路由表。工作中的堆叠能在不影响服务的情况下接收新成员或拆除旧成员。主要特性和优势易于使用一“即插即用”配置工作中的堆叠可进行自管理和自配置。在添加或拆除交换机时，主交换机自动将堆叠 上运行的Cisco IOS?软件版本加载到新交换机上，加载全局配置参数，并更新所有路由表 来反映变化。更新同时普遍地应用于堆叠的所有成员。Cisco Catalyst 3750系列可将9个交换机堆叠为单一逻辑单元，共提供468个以太网或 PoE 10/100 端口，或 468 个以太网 10/100/1000 端口或 PoE 10/100/1000 端口，或是 9 个万兆位以太网端口。随着网络需求的发展，能以任意组合添加10/100、10/100/1000 和万兆位以太网端口。通过降低运营成本而实现投资回报对全局配置参数的 Cisco IOS软件版本自动检查和加载提供了第一级的运营时间节约。 在发生停运时实现第二级节约。当您将一个发生故障的交换机从现有交换机堆叠中拆除， 并将其换为另一交换机时，主交换机将认为这是一次维护停运，无需用户干预，即可自动 重载以前交换机的端口级配置。这使IT经理可让远程地点的当地人员执行维护任务，而不必花费大量成本地派遣技术人员前往现场。混合和匹配交换机类型一随您对网络的扩展而付费堆叠可用Cisco Catalyst 3750交换机的任意组合来创建。需混合 10/100和10/100/1000端口、PoE和布线室汇聚功能的客户可以逐步开发接入环境，只为他们所需的性能付费。当需要增加上行链路容量时，您可方便地升级您的带宽，只需向堆叠添加一个 万兆位以太网版本，另外，您也可在现有光纤上将您的千兆位以太网链路升级为万兆位以 太网。可用性一第二层和第三层的不间断性能Ci