校园网络规划与实施作业

校园网络规划与实施作业（一）网络设备综述 学 院： 教育科学与技术班 级： 教技10中选 姓 名： 任 燕 学 号： 100401043127 一、 交换机（Switch）交换（switching）是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。根据工作位置的不同，可以分为广域网交换机和局域网交换机。广义的交换机（switch）就是一种在通信系统中完成信息交换功能的设备。 在计算机网络系统中，交换概念的提出改进了共享工作模式。我们以前介绍过的HUB集线器就是一种共享设备，HUB本身不能识别目的位置，当同一局域网内的A主机给B主机传输数据时，数据包在以HUB为架构的网络上是以广播方式传输的，由每一台终端通过验证数据包头的位置信息来确定是否接收。也就是说，在这种工作方式下，同一时刻网络上只能传输一组数据帧的通讯，如果发生碰撞还得重试。这种方式就是共享网络带宽。（一）、交换机的原理工作在数据链路层。交换机拥有一条很高带宽的背部总线和内部交换矩阵。交换机的所有的端口都挂接在这条背部总线上，控制电路收到数据包以后，处理端口会查找内存中的位置对照表以确定目的MAC（网卡的硬件位置）的NIC（网卡）挂接在哪个端口上，通过内部交换矩阵迅速将数据包传送到目的端口，目的MAC若不存在，广播到所有的端口，接收端口回应后交换机会“学习”新的位置，并把它添加入内部MAC位置表中。使用交换机也可以把网络“分段”，通过对照MAC位置表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的减少冲突域，但它不能划分网络层广播，即广播域。交换机在同一时刻可进行多个端口对之间的数据传输。每一端口都可视为独立的网段，连接在其上的网络设备独自享有全部的带宽，无须同其他设备竞争使用。当节点A向节点D发送数据时，节点B可同时向节点C发送数据，而且这两个传输都享有网络的全部带宽，都有着自己的虚拟连接。假使这里使用的是10Mbps的以太网交换机，那么该交换机这时的总流通量就等于210Mbps=20Mbps，而使用10Mbps的共享式HUB时，一个HUB的总流通量也不会超出10Mbps。总之，交换机是一种基于MAC位置识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC位置，并把其存放在内部位置表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源位置到达目的位置。（二）、交换机的功能交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。目前交换机还具备了一些新的功能，如对VLAN（虚拟局域网）的支持、对链路汇聚的支持，甚至有的还具有防火墙的功能。 学习：以太网交换机了解每一端口相连设备的MAC位置，并将位置同相应的端口映射起来存放在交换机缓存中的MAC位置表中。 转发/过滤：当一个数据帧的目的位置在MAC位置表中有映射时，它被转发到连接目的节点的端口而不是所有端口（如该数据帧为广播/组播帧则转发至所有端口）。 消除回路：当交换机包括一个冗余回路时，以太网交换机通过生成树协议避免回路的产生，同时允许存在后备路径。 交换机除了能够连接同种类型的网络之外，还可以在不同类型的网络（如以太网和快速以太网）之间起到互连作用。如今许多交换机都能够提供支持快速以太网或FDDI等的高速连接端口，用于连接网络中的其它交换机或者为带宽占用量大的关键服务器提供附加带宽。 一般来说，交换机的每个端口都用来连接一个独立的网段，但是有时为了提供更快的接入速度，我们可以把一些重要的网络计算机直接连接到交换机的端口上。这样，网络的关键服务器和重要用户就拥有更快的接入速度，支持更大的信息流量。 最后简略的概括一下交换机的基本功能： 1 像集线器一样，交换机提供了大量可供线缆连接的端口，这样可以采用星型拓扑布线。 2 像中继器、集线器和网桥那样，当它转发帧时，交换机会重新产生一个不失真的方形电信号。 3 像网桥那样，交换机在每个端口上都使用相同的转发或过滤逻辑。 4 像网桥那样，交换机将局域网分为多个冲突域，每个冲突域都是有独立的宽带，因此大大提高了局域网的带宽。 5 除了具有网桥、集线器和中继器的功能以外，交换机还提供了更先进的功能，如虚拟局域网（VLAN）和更高的性能。（三）、交换机的用途交换机主要作用是把局域网分成网段，通过对照MAC位置表，交换机只允许必要的网络流量通过交换机。通过交换机的过滤和转发，可以有效的隔离广播风暴，减少误包和错包的出现，避免共享冲突，以便提高局域网的性能。（四）、交换机的类型根据交换机所应用的网络层次，我们又可以将网络交换机划分为可分为企业级交换机、校园网交换机、部门级交换机和工作组交换机、桌机型交换机五种。企业级交换机属于一类高端交换机，一般采用模块化的结构，可作为企业网络骨干构建高速局域网，所以它通常用于企业网络的最顶层。校园网交换机，这种交换机应用相对较少，主要应用于较大型网络，且一般作为网络的骨干交换机。这种交换机具有快速数据交换能力和全双工能力，可提供容错等智能特性，还支持扩充选项及第三层交换中的虚拟局域网（VLAN）等多种功能。部门级交换机是面向部门级网络使用的交换机。这类交换机可以是固定配置，也可以是模块配置，一般除了常用的RJ45双绞线接口外，还带有光纤接口。部门级交换机一般具有较为突出的智能型特点，支持基于端口的VLAN（虚拟局域网），可实现端口管理，可任意采用全双工或半双工传输模式，可对流量进行控制，有网络管理的功能，可通过PC机的串口或经过网络对交换机进行配置、监控和测试。如果作为骨干交换机，则一般认为支持300个信息点以下中型企业的交换机为部门级交换机。工作组交换机是传统集线器的理想替代产品，一般为固定配置，配有一定数目的10BaseT或100BaseTX以太网口。交换机按每一个包中的MAC位置相对简单地决策信息转发，这种转发决策一般不考虑包中隐藏的更深的其他信息。与集线器不同的是交换机转发延迟很小，操作接近单个局域网性能，远远超过了普通桥接互联网络之间的转发性能。桌面型交换机，这是最常见的一种最低档交换机，它区别于其他交换机的一个特点是支持的每端口MAC位置很少，通常端口数也较少（12口以内，但不是绝对），只具备最基本的交换机特性，当然价格也是最便宜的。（五）、交换机的性能指标交换机类型、端口数量及端口类型、传输速率、传输模式、是否支持网管、交换方式、背板吞吐量、缓冲区大小、支持的网络类型、支持协议和标准、安全性、冗余支持等都是选择交换机的主要参数。（六）、不同类型的交换机的比较品牌H3C LS-5120-28P-SI-H3思科 WS-C2960S-24TS-S华为 S5700-28C-EI-24S产品图片主要规格产品类型千兆以太网交换机千兆以太网交换机千兆以太网交换机应用层级二层二层三层交换传输速率10/100/1000Mbps10/100/1000Mbps交换方式存储转发背板带宽56Gbps包转发率42Mpps96Mpps端口结构固定端口模块化VLAN功能支持支持网络参数传输模式全/半双工自适应网管功能支持SNMP, WEB网管支持支持堆叠功能支持端口参数接口数量28个24个24个接口类型10/100/1000M24 GigE, 2 x SFP LAN Lite24个10/100/1000 Base-T端口4个10/100/1000Base-T千兆Combo口其它参数其他功能双电源，可插拔电气规格电源电压额定电压范围：100V240V AC, 50/60Hz、最大电压范围：90V264V AC, 47/63Hz220V额定功率30W外观参数尺寸44016043.6mm44532844mm重量3kg价格￥4500￥5801￥16000二、 路由器（Router）所谓路由就是指通过相互连接的网络把信息从源地点移动到目标地点的活动。一般来说，在路由过程中，信息至少会经过一个或多个中间节点。通常，人们会把路由和交换进行对比，这主要是因为在普通用户看来两者所实现的功能是完全一样的。其实，路由和交换之间的主要区别就是交换发生在OSI参考模型的第二层（数据链路层），而路由发生在第三层，即网络层。这一区别决定了路由和交换在移动信息的过程中需要使用不同的控制信息，所以两者实现各自功能的方式是不同的。路由器是互联网的主要节点设备。路由器通过路由决定数据的转发。转发策略称为路由选择（routing），这也是路由器名称的由来（router，转发者）。作为不同网络之间互相连接的枢纽，路由器系统构成了基于 TCP/IP 的国际互联网络 Internet 的主体脉络，也可以说，路由器构成了 Internet 的骨架。它的处理速度是网络通信的主要瓶颈之一，它的可靠性则直接影响着网络互连的质量。因此，在园区网、地区网、乃至整个 Internet 研究领域中，路由器技术始终处于核心地位。（一）、路由器的原理路由器（Router）是用于连接多个逻辑上分开的网络，所谓逻辑网络是代表一个单独的网络或者一个子网。当数据从一个子网传输到另一个子网时，可通过路由器来完成。因此，路由器具有判断网络位置和选择路径的功能，它能在多网络互联环境中，建立灵活的连接，可用完全不同的数据分组和介质访问方法连接各种子网，路由器只接受源站或其他路由器的信息，属网络层的一种互联设备。它不关心各子网使用的硬件设备，但要求运行与网络层协议相一致的软件。路由器分本地路由器和远程路由器，本地路由器是用来连接网络传输介质的，如光纤、同轴电缆、双绞线；远程路由器是用来连接远程传输介质，并要求相应的设备，如电话线要配调制解调器，无线要通过无线接收机、发射机。 其工作原理如下： （1）工作站A将工作站B的位置12.0.0.5连同数据信息以数据帧的形式发送给路由器1。 （2）路由器1收到工作站A的数据帧后，先从报头中取出位置12.0.0.5，并根据路径表计算出发往工作站B的最佳路径：R1-R2-R5-B；并将数据帧发往路由器2。 （3）路由器2重复路由器1的工作，并将数据帧转发给路由器5。（4）路由器5同样取出目的位置，发现12.0.0.5就在该路由器所连接的网段上，于是将该数据帧直接交给工作站B。（5）工作站B收到工作站A的数据帧，一次通信过程宣告结束。 事实上，路由器除了上述的路由选择这一主要功能外，还具有网络流量控制功能。有的路由器仅支持单一协议，但大部分路由器可以支持多种协议的传输，即多协议路由器。由于每一种协议都有自己的规则，要在一个路由器中完成多种协议的算法，势必会 降低路由器的性能。因此，我们以为，支持多协议的路由器性能相对较低。用户购买路由器时，需要根据自己的实际情况，选择自己需要的网络协议的路由器。 近年来出现了交换路由器产品，从本质上来说它不是什么新技术，而是为了提高通信能力，把交换机的原理组合到路由器中，使数据传输能力更快、更好。（二）、路由器的功能1在网络间截获发送到远地网段的报文，起转发的作用。2选择最合理的路由，引导通信。为了实现这一功能，路由器要按照某种路由通信协议，查找路由表，路由表中列出整个互联网络中包含的各个节点，以及节点间的路径情况和与它们相了解的传输费用。如果到特定的节点有一条以上路径，则基于预先确定的准则选择最优（最经济）的路径。由于各种网络段和其相互连接情况可能发生变化，因此路由情况的信息需要及时更新，这是由所使用的路由信息协议规定的定时更新或者按变化情况更新来完成。网络中的每个路由器按照这一规则动态地更新它所保持的路由表，以便保持有效的路由信息。3路由器在转发报文的过程中，为了便于在网络间传送报文，按照预定的规则把大的数据包分解成适当大小的数据包，到达目的地后再把分解的数据包包装成原有形式。4多协议的路由器可以连接使用不同通信协议的网络段，作为不同通信协议网络段通信连接的平台。5路由器的主要任务是把通信引导到目的地网络，然后到达特定的节点站位置。后一个功能是通过网络位置分解完成的。例如，把网络位置部分的分配指定成网络、子网和区域的一组节点，其余的用来指明子网中的特别站。分层寻址允许路由器对有很多个节点站的网络存储寻址信息。(三)、路由器的用途路由器的一个作用是连通不同的网络，另一个作用是选择信息传送的线路。选择通畅快捷的近路，能大大提高通信速度，减轻网络系统通信负荷，节约网络系统资源，提高网络系统畅通率，从而让网络系统发挥出更大的效益来。(四)、路由器的类型路由器产品，按照不同的划分标准有多种类型。常见的分类有以下几类：l 按性能档次分为高、中、低档路由器。通常将路由器吞吐量大于40Gbps的路由器称为高档路由器，背吞吐量在25Gbps40Gbps之间的路由器称为中档路由器，而将低于25Gbps的看作低档路由器。当然这只是一种宏观上的划分标准，各厂家划分并不完全一致，实际上路由器档次的划分不仅是以吞吐量为依据的，是有一个综合指标的。以市场占有率最大的Cisco公司为例，12000系列为高端路由器，7500以下系列路由器为中低端路由器。l 从结构上分为“模块化路由器”和“非模块化路由器”。模块化结构可以灵活地配置路由器，以适应企业不断增加的业务需求，非模块化的就只能提供固定的端口。通常中高端路由器为模块化结构，低端路由器为非模块化结构。l 从功能上划分，可将路由器分为“骨干级路由器”，“企业级路由器”和“接入级路由器”。骨干级路由器是实现企业级网络互连的关键设备，它数据吞吐量较大，非常重要。对骨干级路由器的基本性能要求是高速度和高可靠性。为了获得高可靠性，网络系统普遍采用诸如热备份、双电源、双数据通路等传统冗余技术，从而使得骨干路由器的可靠性一般不成问题。企业级路由器连接许多终端系统，连接对象较多，但系统相对简单，且数据流量较小，对这类路由器的要求是以尽量便宜的方法实现尽可能多的端点互连，同时还要求能够支持不同的服务质量。接入级路由器主要应用于连接家庭或ISP内的小型企业客户群体。按所处网络位置划分通常把路由器划分为“边界路由器”和“中间节点路由器”。很明显边界路由器是处于网络边缘，用于不同网络路由器的连接；而中间节点路由器则处于网络的中间，通常用于连接不同网络，起到一个数据转发的桥梁作用。由于各自所处的网络位置有所不同，其主要性能也就有相应的侧重，如中间节点路由器因为要面对各种各样的网络。如何识别这些网络中的各节点呢？靠的就是这些中间节点路由器的MAC位置记忆功能。基于上述原因，选择中间节点路由器时就需要在MAC位置记忆功能更加注重，也就是要求选择缓存更大，MAC位置记忆能力较强的路由器。但是边界路由器由于它可能要同时接受来自许多不同网络路由器发来的数据，所以这就要求这种边界路由器的背板带宽要足够宽，当然这也要与边界路由器所处的网络环境而定。l 从性能上可分为“线速路由器”以及“非线速路由器”。所谓线速路由器就是完全可以按传输介质带宽进行通畅传输，基本上没有间断和延时。通常线速路由器是高端路由器，具有非常高的端口带宽和数据转发能力，能以媒体速率转发数据包；中低端路由器是非线速路由器。但是一些新的宽带接入路由器也有线速转发能力。（五）、路由器的性能指标路由器的类型、路由器配置（接口类型、用户可用槽数、CPU、内存、端口密度）、路由协议支持、路由器性能、设备吞吐量、端口吞吐量、背靠背帧数、路由表能力、背板能力、丢包率、时延、时延抖动、VPN支持能力、CAR支持、内部时钟精度、QoS能力、分类业务带宽保证、路由器冗余协议、冗余、热插拔组件、网管类型、计费能力/协议、分组语音能力等都是选择路由器的主要参数。（六）不同类型的路由器的比较品牌华为 AR1220-S飞鱼星 VR4900H3C MSR 50-06基本规格路由器类型企业级路由器企业级路由器企业级路由器产品图片传输速率10/100Mbps10/100Mbps10/100/1000Mbps端口结构模块化非模块化非模块化路由器处理器MIPS 400MHz网络高性能处理MIPS处理器 800M最大Flash内存256MB8MB32MB最大DRAM内存512MB64MB512MB功能参数路由器包转发率10 Mbps: 14,880 pps，100 Mbps: 148,810 pps ，1000 Mbps: 1,488,100 pps网络协议ARP （代理ARP，免费ARP，授权ARP）Ethernet，EthernetII，802.1QPPP、PPPoE Client、PPPoE Server路由器网管功能升级管理、设备管理、Web网管、GTL、SNMP、RMON、RMON2、NTP、CWMP、Auto-Config、U盘开局、NetConf中文WEB管理界面，配置简单，使用方便支持配置参数的备份和恢复SNMP V1/V2c/V3，MIB，SYSLOG，RMON，WEB网管，TR069命令行管理，文件系统管理，auto-configVPN功能支持支持支持Qos功能支持支持支持防火墙功能内置防火墙内置防火墙ASPF，ACL FILTER其他功能整机交换容量：8GbpsIP-MAC绑定，可禁止未绑定主机通过ARP信任机制，主动防御ARP病毒DDoS攻击防御MAC位置过滤连接数限制L2TP，NAT/NAPT，PKI，RSA，SSH v1.5/2.0，SSL（SSL VPN），URPF，GRE支持DAR业务识别的报文过滤和限制支持基于特征码识别的P2P应用控制功能支持DDOS防攻击支持ARP防攻击支持EAD端点准入防御功能功能（包括穿越广域网的模式）网络端口广域网接口4或2个局域网接口1或3个4个10/100/1000M以太网WAN接口（2个光/电可选，2个电口）其他控制端口8个FE，2个GE接口2个USB2.0端口1个Mini-USB控制台端口1个串行辅助/控制台端口Console扩展插槽2个其他参数标准/认证ACL、防火墙、802.1x认证、MAC位置认证、Web认证、AAA认证、RADIUS认证、HWTACACS认证、广播风暴抑制、ARP安全、ICMP反攻击、URPF、IP Source Guard、DHCP Snooping、CPCAR、黑名单、攻击源追踪电源电压AC 100-240V，50/60HzAC 220V，50/60Hz100240V AC 50/60Hz功耗54W8W35LED指示灯Link/Act，电源，系统状态外观尺寸39022044.5mm436mm430mm44mm机身重量5.5kg环境参数工作温度0-400-400-40工作湿度5%-90%（不结露）10%-90%RH（不凝结）590%（不结露）存储温度-40-70-10-70存储湿度5%-90%RH（不凝结）590%（不结露）价格￥4200￥3300￥13000三、 服务器（Server）服务器英文名称为“Server”，指的是网络环境下为客户机(Client)提供某种服务的专用计算机，服务器安装有网络操作系统(如Windows 2000 Server、Linux、Unix等)和各种服务器应用系统软件(如Web服务、电子邮件服务)的计算机。这里的“客户机”指安装有DOS、Windows 9x等普通用户使用的操作系统的计算机。 （一）、服务器的原理服务器作为网络的节点，存储、处理网络上80%的数据、信息，因此也被称为网络的灵魂。它是网络上一种为客户端计算机提供各种服务的高可用性计算机，它在网络操作系统的控制下，将与其相连的硬盘、磁带、打印机、Modem及各种专用通讯设备提供给网络上的客户站点共享，也能为网络用户提供集中计算、信息发表及数据管理等服务。它的高性能主要体现在高速度的运算能力、长时间的可靠运行、强大的外部数据吞吐能力等方面。 服务器的构成与微机基本相似，有处理器、硬盘、内存、系统总线等，它们是针对具体的网络应用特别制定的，因而服务器与微机在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。尤其是随着信息技术的进步，网络的作用越来越明显，对自己信息系统的数据处理能力、安全性等的要求也越来越高。（二）、服务器的功能服务器英文名称为“Server”，指的是在网络环境中为客户机（Client）提供各种服务的、特殊的专用计算机。在网络中，服务器承担着数据的存储、转发、发布等关键任务，是各类基于客户机服务器（CS）模式网络中不可或缺的重要组成部分。其实对于服务器硬件并没有一定硬性的规定，特别是在中、小型企业，它们的服务器可能就是一台性能较好的PC机，不同的只是其中安装了专门的服务器操作系统，所以使得这样一台PC机就担当了服务器的角色，俗称PC服务器，由它来完成各种所需的服务器任务。当然由于PC机与专门的服务器在性能方面差距较远，所以可以想象由PC机担当的服务器无论是在网络连接性能，还是在稳定性等其它各方面都不能承担高负荷任务，只能适用于小型，且任务简单的网络。本文及后面各篇所介绍的不是这种PC服务器，而是各种专门的服务器。作为一台服务器首先要求的是它必须可靠，即“可用性”。因为服务器所面对的是整个网络的用户，而不是本机登录用户，只要网络中有用户，服务器就不能断。在一些特殊应用领域，即使没用户使用有些服务器也得不间断地工作，因为它必须持续地为用户提供连接服务，这就是为什么服务器首先必须要求具备极高的稳定性能的根本原因。这些服务器也许真正工作开机的次数只有一次，那就是它刚买回来全面安装配置好后投入正式使用的那一次，一直到它彻底报废。服务器要为这么多用户提供服务，没有高的连接和运算性能是无法承受的，这就是指的服务器“可利用性”。为了实现高速，一般服务器是通过采用对称多处理器安装、插入大量的高速内存等方面来保证，这样也就决定服务器在硬件配置方面也与普通的计算机有着本质的区别。它的主板上可以同时安装几个甚至几十、上百个（如SUN的FIRE 15K可以支持到106个CPU）服务器专用CPU。这些CPU与普通PC机中的CPU是完全一样。一则CPU主频越高，工作时所散发的热量就越高，给服务器带来最大的不稳定因素；另一方面，服务器运算性能的提高，不仅通过主频的提高来达到的，而是通常在其它参数方面加强得到的，而且多数中、高档服务器还可通过对称多处理器系统来大幅提高服务器的整体运算性能，根本没必要在单个CPU中通过主频的提高来提高运算性能。在CPU配置方面还要注意的一点就是，服务器的CPU个数一定是双数，即所谓的“对称多处理器系统”。服务器还须具有一定的“可扩展性”，那是因为网络不可能长久不变，如果没有一定的可扩展性，当用户一增多，就不能胜任的话，一台几万，甚至几十万的服务器如果在短时间内就要遭到淘汰的话，这是许多企业都无法随的。为了保持高的可扩展性，通常需要在服务器上具备一定的可扩展空间和冗余件（如磁盘矩阵位、PCI和内存条插槽位等）。当然在硬件方面的配置远不止这些，具体我们将在后面的篇中具体介绍。在服务器的主要特点方面，还有一个重要方面，那就是服务器必须具备一定的自动报警，并配有相应的冗余、备份、在线诊断和恢复系统，以备出现故障时及时恢复服务器的运作，那“可管理性”。虽然我们说服务器需要不间断持续工作，但再好的产品都有可能出现故障的一天，拿人们常说的一句话来说就是：不是不知道它可能坏，而是不知道它何时坏。服务器虽然在稳定性方面有足够的保障，但一旦出现故障的话怎么办，如果像我们平时所用的计算机一样停下进行维修，对于一个大型的服务器来说是不可能的事，这样就很可能造成整个网络的瘫痪，所带的损失是无法用金钱来衡量的。服务器生产厂商为了解决这一难题提出了许多新的技术，如冗余技术、系统备份、在线诊断技术、故障预报警技术、内存查纠错技术、热插拨技术和远程诊断技术等，使绝大多数故障能够在不停机的情况得到及时修复。以上介绍的服务器“四性”，“可扩展性、可用性、可管理性和可利用性”，也即我们经常所见的服务器“SUMA”。（三）、服务器的用途1、DHCP是Dynamic Host Configuration Protocol的缩写，它是TCPIP协议簇中的一种，主要是用来给网络客户机分配动态的IP位置。这些被分配的IP位置都是DHCP服务器预先保留的一个由多个位置组成的位置集，并且它们一般是一段连续的位置。DHCP使用客户/服务器模式，网络管理员建立一个或多个DHCP服务器，在这些服务器中保存了可以提供给客户机的TCPIP配置信息。这些信息包括网络客户的有效配置参数、分配给客户的有效IP位置池(其中包括为手工配置而保留的位置)、服务器提供的租约持续时间。2、DNS的全称是Domain Name Server，一种程序，它保存了一张域名(domain name)和与之相对应的IP位置 (IP address)的表，以解析消息的域名。域名是Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。域名是由一串用点分隔的名字组成的，通常包含组织名，而且始终包括两到三个字母的后缀，以指明组织的类型或该域所在的国家或地区。一个域名解析到某一台服务器上，并且把网页文件放到这台服务器上，用户的电脑才知道去哪一台服务器获取这个域名的网页信息。这是通过域名服务器来实现的。每一个域名都至少要有两个DNS服务器，这样如果其中一个DNS服务器出现问题，另外一个也可以返回关于这个域名的数据。DNS服务器也可以有两个以上，但所有这些DNS服务器上的DNS记录都应该是相同的。（三）、服务器的类型按照不同的分类标准，服务器分为许多种。 1、按网络规模划分按网络规模划分，服务器分为工作组级服务器、部门级服务器、企业级服务器。 工作组级服务器用于联网计算机在几十台左右或者对处理速度和系统可靠性要求不高的小型网络，其硬件配置相对比较低，可靠性不是很高。 部门级服务器用于联网计算机在百台左右、对处理速度和系统可靠性中等的中型网络，其硬件配置相对较高，其可靠性居于中等水平。 企业级服务器用于联网计算机在数百台以上、对处理速度和数据安全要求最高的大型网络，硬件配置最高，系统可靠性要求最高。 需要注意的是，这三种服务器之间的界限并不是绝对的，而是比较模糊的，比如工作组级服务器和部门级服务器的区别就不是太明显，有的干脆统称为“工作组/部门级”服务器。 2、按架构划分按照服务器的结构，可以分为CISC架构的服务器和RISC架构的服务器。 CISC架构主要指的是采用英特尔架构技术的服务器，即我们常说的“PC服务器”；RISC架构的服务器指采用非英特尔架构技术的服务器，如采用Power PC、Alpha、PA-RISC、Sparc等RISC CPU的服务器。 RISC架构服务器的性能和价格比CISC架构的服务器高得多。近几年来，随着PC技术的迅速发展，IA架构服务器与RISC架构的服务器之间的技术差距已经大大缩小，用户基本上倾向于选择IA架构服务器，但是RISC架构服务器在大型、关键的应用领域中仍然居于非常重要的地位。 3、按用途划分按照使用的用途，服务器又可以分为通用型服务器和专用型(或称“功能型”)服务器，如实达的沧海系列功能服务器。 通用型服务器是没有为某种特殊服务专门设计的可以提供各种服务功能的服务器，当前大多数服务器是通用型服务器。 专用型(或称“功能型”)服务器是专门为某一种或某几种功能专门设计的服务器，在某些方面具有与通用型服务器有所不同。如光盘镜像服务器是用来存放光盘镜像的，那么需要配备大容量、高速的硬盘以及光盘镜像软件。 4、按外观划分按照服务器的外观，可以分为台式服务器和机架式服务器。 台式服务器有的采用大小与立式PC台式机大致相当的机箱，有的采用大容量的机箱，像一个硕大的柜子一样， 机架式服务器的外形看起来不像计算机，而是像交换机，有1U(1U=1.75英寸)、2U、4U等规格，为1U机架式服务器。机架式服务器安装在标准的19英寸机柜里面。 （四）、服务器的性能指标产品类型、CPU处理器、主板、内存、硬盘接口类型、最大硬盘容量、网络控制器、接口类型、电源等都是选择服务器的性能指标。（五）、不同类型的服务器的比较品牌联想 万全T100 G11(奔腾 G620/2GB/500GB)IBM System x3100 M4(2582i03)苹果 Mac mini with Lion Server基本参数产品图片产品类型入门级入门级入门级产品类别塔式塔式塔式产品结构4U主要性能CPU类型Intel 奔腾 G620Intel 奔腾 G620Intel 酷睿i7主板芯片组Intel C202标配CPU个数1颗1颗1颗最大CPU个数1颗1颗处理器标称主频2.6GHz2.6GHz2GHz二级缓存512KB三级缓存3MB3MB6MB总线规格800MHz5GT/s多核运算双核心双线程双核心双线程四核心内存内存容量2GB2GB4GB内存描述DDR3-1333DDR3DDR3内存扩展最高32GB可选配8GB内存插槽4个DDR3插槽存储标配硬盘容量500GB1000GB标配硬盘类型非热插拔SATA3.5寸硬盘（7200转）无标配7200转标配硬盘描述500GB SATA2500GBRAID阵列模式支持RAID 0, 1支持RAID 0, 1, 10存储扩展位4个硬盘位，最大支持12TB SATA硬盘可选配双750GB(7200rpm)，单或双256GB固态硬盘，或256GB固态硬盘加750GB(7200rpm)硬盘。光驱DVD光驱DVD光驱网络网络控制器一个千兆自适应网卡集成Intel双口千兆网卡千兆网卡电源电源功率280W350WAspeed AST2050，8MB显存其他PCI扩展槽1个PCI-E x161个PCI-E x12个PCI 32bit/33MHz1个PCI-E Gen2 x16（电气x8）1个PCI-E x81个PCI-E x41个PCI-E x1可支持Gen33RJ-45局域网接口（其中一个支持ASMB4-iKVM）4USB2.0接口（前2，后2） 1VGA接口1外接串口1PS/2键盘接口1PS/2鼠标接口I/O接口8个USB 2.0接口（2前6后）1个VGA接口1个串口1个RJ45网口前面板：2个USB接口 后面板：1个COM端口、1个VGA接口、4个USB接口、2个RJ-45网络接口RJ-45端口4USB2.0端口Thunderbolt端口FireWire 800端口HDMI 端口显示芯片集成显示控制器集成显卡Intel HD Graphics 3000图形处理器，与主存共享384MB DDR3 SDRAM显存机身重量13Kg1.37Kg机身尺寸406377174mm180480360mm36197197mm随机软件OS X Lion ServerOS X Lion 恢复 LioniLife其它支持Wifi，支持蓝牙4.0价格￥6588￥3999￥7798四、 防火墙（Firewall）所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成， 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。（一）、防火墙的原理 (1) 包过滤防火墙包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP位置。包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。(2) 应用网关防火墙 应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破客户机服务器模式实现的。每个客户机服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用网关防火墙具有可伸缩性差的缺点。(3) 状态检测防火墙状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。(4) 复合型防火墙复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。3、四类防火墙的对比 包过滤防火墙：包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。应用网关防火墙：不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱。状态检测防火墙：不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。复合型防火墙：可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。 （二）、防火墙的功能防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。1、网络安全的屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 2、强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。 3、对网络存取和访问进行监控审计如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 4、防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP位置就不会被外界所了解。（三）、防火墙的用途防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。（三）、防火墙的类型1、网络层防火墙网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。 我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。 较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 位置、来源端口号、目的 IP 位置或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段.等属性来进行过滤。 2、应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。 XML 防火墙是一种新型态的应用层防火墙。（四）、防火墙的性能指标衡量防火墙的性能指标主要包括吞吐量、报文转发率、最大并发连接数、每秒新建连接数、转发时延、抖动，其次还需要考虑其工作模式、用户认证、时间表、防御功能、病毒防护、位置翻译、IP/MAC绑定以及入侵检测和检测能力等参数。（五）、不同类型的防火墙的比较品牌思科 ASA5510-CSC20-K9华为 Secpath 100F-AC中科网威 NPFW-1000-S-428产品图片基本参数防火墙类型企业级防火墙企业级防火墙企业级防火墙内存容量256MB闪存容量16MB网络吞吐量300Mbps300Mbps8000Mbps并发连接数13000010000002200000VPN支持支持支持支持主要功能的高性能防火墙、IPS、以及IPSec 和SSL VPN和IPSec VPN (150 个设备对) 软件,支持防垃圾邮件、URL 阻拦和过滤，以及防网络钓鱼提供多种攻击防范技术：包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大 ICMP报文攻击防范、位置/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态 和动态黑名单功能、MAC和IP绑定功能，支持智能防范蠕虫病毒技术。 强大灵活的管理功能：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。包过滤、NAT、VPN、带宽管理、防病毒、内容过滤、反垃圾邮件、日志管理安全参数过滤带宽170Mbps人数限制50入侵检测Dos、DDoS安全标准UL 1950, CSA C22.2 No. 950, EN 60950 IEC 60950, AS/NZS3260, TS001CE, FCC有效防止DOS攻击，包括Synflood、tcpflood、icmpflood、udpflood、PingOfDeath、TearDrop、Land、Smurf、pingSweep、蠕虫和防IP欺骗等有效防止各类扫描攻击，包括端口扫描和网络位置扫描等支持病毒防护、垃圾邮件过滤支持bbb、FTP和SMTP等多种应用协议过滤支持协议异常检测网络参数网络管理思科安全管理器 (CS-Manager) ,WebCONSOLE, TELNET, SNMP, 管理软件Console命令行管理bbbS和SSH安全远程管理安全策略远程管理端口类型3+1个管理快速以太网端口,可升级到5个快速以太网端口,1个SSM 扩展插槽，2个USB2.RAM:256MB,FLASH:64MB,电气规格电源电压100 - 240VAC,47/63 Hz220V电源功率额定:150W, 最大:190180端口参数控制端口console,2个RJ-45console4个10/100/1000M Base-T口、1个Console口、1个USB口其他端口CSC20, SW, 500 Usr AV/Spy, 1 YR Subscript外观参数尺寸大小42043644mm43035066mm产品重量9.07kg10kg环境参数工作温度0 - 400-50工作湿度5% - 95% (非冷凝)存储温度-25 - 705-95% 非冷凝存储湿度5% - 95% (非冷凝)价格￥59314￥22500￥228000友情提示：部分文档来自网络整理，供您参考！文档可复制、编制，期待您的好评与关注！24 / 24