企业网络综合解决方案
一、前言
随着时代的发展,全球正在进入一个崭新的知识经济时代,无穷无尽的知识和
信息通过网络传输,以空前未有的深度和广度,影响和改变着每一个企业。能否及
时获取信息、反馈信息及发布信息,将直接影响到一个企业能否健康地发展,同时
这一形式也对企业内部各部门之间、领导与职工之间的协调与配合提出了新的更高
的要 求,传统的工作方式已不能适应当前市场的要求,建立现代管理机制适应市场
经济的发展,是摆在现代企业面前的一个课题。未来市场经济的竞争必将是人才、科
技 和信息的竞争。对信息资源的占有和充分应用,以及利用现代科技手段建立迅速
反馈的机制,高效率、高质量的上传下达指示、命令,是现代企业的必备条件。
从各方面分析,采用计算机网络和数据库对信息系统和日常工作进行管理有着
充 分的可行性。首先,由于综合布线系统小区内部的计算机普及,对计算机管理信
息系统的实际应用打下了良好的基础;其次,目前计算机软硬件技术和网络技术的
长 足发展对开发和使用管理信息系统提供了充分的技术保障。
二、设计规范
本方案的设计将追求性能优越、经济实用的前提下,本着严谨、慎重的态度,
从系统结构、技术措施、设备选择、系统应用、技术服务和实施过程等方面综合进
行系统的总体设计,力图使该系统真正成为符合企业所需的网络系统。
从技术措施角度来讲,在网络的设计和实现中,本方案严格遵守了以下原则:
2.1实用性和集成性
系统的软硬件设计、还是集成,均以适用为第一宗旨,在系统充分适应企业信
息化的需求的基础上进而再来考虑其他的性能。该系统所包含的内容很多,必须能
将各种先进的软硬件设备有效地集成在一起,使系统的各个组成部分能充分发挥作
用,协调一致的进行高效工作。
2.2标准性和规范性
只有支持标准性和开放性的系统,才能支持与其它开放型系统一起协同工作,
在网络中采用的硬件设备及软件产品应该支持国际工作标准或事实上的标准,以便
能和不同厂家的开放性产品在同一网络中同时共存。通信中应采用标准的通信协议
以使不同的操作系统与不同的网络系统及不同的网络之间顺利进行通讯。提供的技
术产品应采用下列国家或组织的技术标准和规范 GB:×××国家标准
ISO:国际标准组织
ITU-T:国际电信联盟
IEEE:国际电气与电子工程师协会
EIA:电气工业协会
IEC:国际电工协会
CERNET:中国教育和科研教育网
2.3先进性和安全性
系统所有的组成要素均应充分地考虑其先进性。不能一味地追求实用而忽略先
进,只有将当今最先进的技术和我们的实际应用要求紧密结合,才能获得最大的系
统性能和效益。网络的安全是事关重要的,在某些情况下,宁可牺牲系统的部分功
能也必须保证系统的安全。
2.4成熟性和高可靠性
作为信息系统基础的网络结构和网络设备的配置及带宽应能充分地满足网络通
信的需要。网络硬件体系结构在实际应用中能经过较长时间的考验,在运行速度和
性能上都应是稳定可靠的、拥有完善的、实用的解决方案,并通到较多的第三方开
发商和用户在全球的广泛支持和使用。同时,应从长远的技术发展来选择具有很好
前景的、较为先进的技术和产品,以适应系统未来的发展需要。
可靠性也是衡量一个计算机应用系统的重要标准之一。在确保系统网络环境中
单独设备稳定、可靠运行的前提下,还需要考虑网络整体的容错能力、安全性及稳
定性,使系统出现问题和故障时能迅速地修复。因此需要采取一定的预防措施,如
对关键应用的主干设备考虑有适当的冗余。应急处理信息系统能够全天候工作,达
到每周7*24小时工作的要求。一个高可用性的系统才能使用户的投资真正得到回报。
2.5可维护性和可管理性
整个信息网络系统中的互连设备,应是使用方便、操作简单易学,并便于维护。
对复杂和庞大的网络,要求有强有力的网络管理手段,以便合理的管理网络资源,
监视网络状态及控制网络的运行,因此,网络所选的网络设备应支持多种协议,管
理员能方便进行网络管理、维护甚至修复。
在设计和实现时,必须充分考虑整个系统的便于维护性,以使系统万一发生故
障时能提供有效手段及时进行恢复,尽量减少损失。 2.6可扩充性和兼容性
网络的拓扑结构应具有可扩展性即网络联结必须在系统结构、系统容量与处理
能力、物理接连、产品支持等方面具有扩充与升级换代的可能,采用的产品要遵循
通用的工业标准,以便不同的设备能方便灵活地接连入网并满足系统规模扩的要求。
为了使所实现系统能够在应用发生变化的情况下保护原有的开发投资,在设计
系统时,应将系统按功能做成模块化的,可根据需要增加和删除功能模块。
三、用户需求
3.1用户简介
用户是一家国内大型科技公司,公司总部在长沙,拥有一家北京分公司和一家
上海办事处。公司拥有员工600名,340名员工在总部工作, 220名在北京分公司,
40名在上海办事处工作,经常出差的员工大约50名。
公司部门为:销售部、财务部、人力资源部,信息中心,研发部、生产、总经
理办公室。
总部:家属楼一栋,科研学术大厦一栋,行政楼一栋,拥有所有部门。
分部:家属楼一栋,科研学术大厦一栋,行政楼一栋,拥有所有部门。
办事处:入住上海科贸10层,拥有销售部门、人力资源部和财务。
所有部门隶属于总部统一管理。
公司有总经理1名,每个部门设置一部门经理,分公司和办事处部门经理单独任
命。
3.2用户需求
整个企业采用微软AD架构统一管理,DC需要考虑冗余问题;
考虑站点设计和域结构设计(推荐采用父子域结构);
绘制出AD架构及OU规划逻辑结构;
网络基础设置才用Cisco解决方案;
总部Internet接入采用电信(100M线路)和网通(100M线路)解决方案;
分部Internet接入采用电信(100M线路)解决方案;
分支机构Internet接入采用网通10M广信通小区宽带解决方案;
公司总部、分部、和办事处之间通过站点到站点间×××互联;
出差人员使用总部发布的××× Server 接入×××网络,需要IAS做认证和记账服
务; 总部内部网络采用用EIGRP路由协议,分部内部网络采用用RIPv2路由协议,办
事处用静态路由;
核心层和分布层设备均为3640三层交换机;
模拟Internet采用自治系统网络,三个办公地点分别接入三个区域;
长沙Internet部分采用OSPF,北京Internet部分采用IS-IS,上海广信采用RIPv2;
Internet上存在六台DNS服务器和四台Web服务器,其中一台DNS服务器为根
DNS服务器,一台为顶级域名DNS服务器,其他未普通DNS服务器;
地址需层次规划,考虑汇总,方案设计中需提供详细地址规划;
总部和分部网络需采用3层网络结构设计,核心层需要考虑冗余结构设计;
总部部署企业服务器群,部分服务除了对内提供服务外还需要对外提供服务;
服务器群需要考虑高可用性,部分服务采用Windows群集;
Web、FTP、DNS、Mail、××× Server对外内外提供服务,AD需要的DNS服务器
只对内提供DNS服务,要求对外提供DNS(已拥有合法的Internet DNS服务提供
备案地址记录)服务器的服务器支持智能DNS服务器功能,电信用户访问服务
器通过电信网络地址提供服务、网通用户访问通过网通网络地址提供服务、内
部网络用户访问通过内部网络地址提供服务、其他网络的用户访问通过电信网
络地址提供服务;
总部内部用户访问互联网,家属楼通过网通网络访问互联网,科研大厦、行政
楼办公网络通过电信网络访问互联网;
总部和分部科研大厦、行政楼办公网络在会议室和休息大厅需要部署无线网络,考虑安全问题;
关于内部网络安全问题部署网络版杀毒软件,定期查杀;
1.重点强调整个方案安全方面的考虑
Windows Server 2003 的安全,可参考域安全策略设置、域控制器安全策略设置,
组策略配置
路由器安全认证
无线网络安全策略 加密认证机制 WPA-PSK/WPA2-PSK
防病毒模块的设计 提出 服务器防病毒软件的部署和客户端防病毒软件的部
署
关于文件共享 需要考虑磁盘配额 卷影副本 脱机文件 用户文件夹重定向
用户主目录 用户配置文件
关于文件加密系统 考虑EFS恢复代理
DC考虑冗余 DNS考虑冗余
VLAN的划分
2、关于地址划分
地址划分要有层次化
注意汇聚设计
注意NAT设计
注意公网地址和私有地址设计
注意内部地址分配问题
注意DHCP服务器的类别问题
注意DHCP服务器地址保留问题
注意网络范围
3、关于设备选型
不考虑成本问题
可以考虑性价比(核心设备选型与桌面设备选型符合)
需要添加路由设备、交换设备的地方可以添加
4、关于网络物理设计和逻辑设计问题
绘制拓扑 分为物理拓扑和逻辑拓扑 物理设计需要标出相应设备型号及接口 及地址规划
逻辑设计需要逻辑关系图
关于建筑物间布线选择(根据需要选配光纤(关于单模和多模)和双绞线(超5
类和6类线缆)
四、需求分析
为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天
的大型企业网络建设比传统企业网络建设提出更高的要求,主要表现在如下几个方
面:
1.现代大型企业网络应具有更高的带宽,支持10GE或将来平滑过渡到10GE,更
强大的性能,以满足用户日益增长的通讯需求;
随着计算机技术的高速发展,基于网络的各种应用日益增多,今天的企业网络
已经发展成为一个多业务承载平台,它不仅要继续承载企业的办公自动化和WEB浏
览等简单的数据业务,还要承载涉及企业生产运营的各种业务应用系统数据,以及
带宽和时延都要求很高的IP电话、视频会议等多媒体业务,因此数据流量将大大增
加,尤其是对核心网络的数据交换能力提出前所未有的要求。另外,随着千兆端口
的成本持续下降,千兆到桌面的应用会在不久的将来成为企业网的主流。从2005年
全球交换机市场分析可以看到,增长最迅速的就是10G级别机箱式交换机,由此可
见,万兆的大规模应用已经真正开始。所以今天的企业网络已经不能再用百兆到桌
面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性
能,才能构筑一个畅通无阻的“高品质”大型企业网,从而适应网络规模扩大,业务
量日益增长的需要。
2.现代大型企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,
保障企业生产运营的正常进行;
随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行
已经成为保证企业正常的生产运营的关键。现代大型企业网络在可靠性设计方面主
要应从三方面考虑:首先是设备级可靠性设计,这里不仅要考察网络设备是否实现
了关键部件的冗余备份,还要从网络设备整体设计架构、处理引擎种类等多方面去
考察;其次是业务的可靠性设计,这里要注意网络设备在故障倒换过程中是否对业
务的正常运行有影响;再次是链路的可靠性设计,以太网的链路安全来自于它的多
路径选择,所以在企业网络建设时要考虑网络设备是否能够提供有效的链路自愈手
段和快速重路由协议的支持。
3.现代大型企业网络需要提供完善的端到端QOS保障,以满足企业网多业务承载的需求;
大型企业网络承载业务的不断增多,单纯的提高带宽并不能够有效的保障数据
交换的畅通无阻,正如八车道的长安街也经常堵车一样,所以今天的大型企业网络
建设必须要考虑到网络应能够智能的识别应用事件的紧急和重要程度,如视频、音
频、数据流(MIS、ERP、OA、备份数据),同时能够调度网络中的资源,保证重要
和紧急业务的带宽、时延、优先级和无阻塞的传送,实现对业务的合理调度才是一
个大型企业网络提供“高品质”服务的保障。
4.现代大型企业网络应提供更完善的网络安全解决方案,以阻击病毒***的攻
击,减少企业的经济损失;
传统企业网络的安全措施主要是通过部署防火墙、IDS、杀毒软件以及配合交
换机或路由器的 ACL 来实现对于病毒和******的防御,但实践证明这些被动的防
御措施并不能有效的解决企业网络的安全问题。在企业网络已经成为公司生产运营
的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文
识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行。
5.现代大型企业网络应具备更智能的网络管理解决方案,以适应网络规模日益
扩大,维护工作更加复杂的需要;
当前的网络已经发展成为“以应用为中心”的信息基础平台,网络管理能力的要
求已经上升到了业务层次,传统的网络设备的智能已经不能有效支持网络管理需求
的发展。比如,网络调试期间最消耗人力与物力的线缆故障定位工作,网络运行期间
对不同用户灵活的服务策略部署、访问权限控制、以及网络日志审计和病毒控制能力
等方面的管理工作,由于受网络设备功能本身的限制,都还属于费时、费力,有时甚
至是不可能的任务,所以现代的大型企业网络迫切需要网络设备具备支撑“以应用
为中心”的智能网络运营维护的能力,并能够有一套智能化的管理软件,将网络管理
人员从繁重的工作中解脱出来。
五、网络设计
5.1网络拓扑
5.2网络拓扑结构
在此次大型企业网络的、设计中,我们采用层次化模型来设计网络拓扑结构。 所谓
“层次化”模型,就是将复杂的网络设计分成几个层次,每个层次着重于某些特定的
功能,这样就能够使一个复杂的大问题变成许多简单的小问题。层次模 型既能够应
用于局域网的设计,也能够应用于广域网的设计。
在大型企业网设计中,使用层次化模型有许多好处,列举如下:
节省成本
在采用层次模型之后,各层次各司其职,不再在同一个平台上考虑所有的事情。
层次模型模块化的特性使网络中的每一层都能够很好地利用带宽,减少了对系统资
源的浪费。
易于理解
层次化设计使得网络结构清晰明了,可以在不同的层次实施不同难度的管理,
降低了管理成本。
易于扩展
在网络设计中,模块化具有的特性使得网络增长时网络的复杂性能够限制在子
网中,而不会蔓延到网络的其他地方。而如果采用扁平化和 网状设计,任何一个节
点的变动都将对整个网络产生很大影响。
易于排错
层次化设计能够使网络拓扑结构分解为易于理解的子网,网络管理者能够轻易
地确定网络故障的范围,从而简化了排错过程。
5.3地址规划
IP 地址构成了整个 Internet 的基础,IP 地址资源是整个 Internet 的基 本核心
资源,IP 地址资源的合理分配和有效利用是整个 Internet 发展过程 中持续有效的
一个极具分量的研究课题。
我们在对企业园区网 IP 地址编址设计和分配利用时,遵循了以下几个原则:
简单性;地址的分配应该简单,避免在内部采用复杂的掩码方式。
连续性;为同一个物理的网络区域分配连续的网络地址,便于管理,易于维护。
可扩充性;为整个建筑区域分配的网络地址应该具有一定的容量,便于主机数
量增加时仍然能够保持地址的连续性。 灵活性;地址分配不应该基于某个网络路由策略的优化方案,应该便于多数路
由策略在该地址分配方案上实现优化。
可管理性;地址的分配应该有层次,某个局部的变动不要影响上层、全局。
安全性;内部应按工作内容划分成不同网段即子网以便进行管理。
5.3.1互联网地址规划
网络位置 地址范围
61.179.0.0/16
61.176.0.0/16
长沙网通 61.181.0.0/16
61.189.0.0/16
61.168.0.0/16
61.182.0.0/16
61.166.0.0/16
长沙电信 61.170.0.0/16
61.169.0.0/16
61.130.0.0/16
上海广信 61.162.0.0/16
202.99.176.0/20
202.99.168.0.20
202.99.96.0/21
202.99.64.0/20
202.99.208.0/20
5.3.2长沙总部地址规划
服务器 IP 网关 DNS 指向
主 DC/主 DNS 172.16.11.1/16 172.16.11.254
172.16.11.1
辅 DC/辅 DNS 172.16.11.2/16 172.16.11.254 172.16.11.1
172.16.11.2
智能 DNS 172.16.11.3/16 172.16.11.254 172.16.11.3
win mail 172.16.11.6/16 172.16.11.254 172.16.11.1
172.16.11.2 web2 172.16.11.7/16 172.16.11.254
172.16.11.1
webNLB 172.16.11.10/16 172.16.11.254 172.16.11.1
172.16.11.2
Web/FTP 172.16.11.4/16 172.16.11.254
172.16.11.1
ExtMail 172.16.11.5/16 172.16.11.254 172.16.11.1
172.16.11.2
5.3.3北京分部地址规划
5.3.4上海办事处地址规划
5.4命名原则
5.4.1路由交换设备命名规则:
设备地理位置汉语拼音首字母+ ”-”+路由设备编号
地理位置 路由设备 交换设备
北京 BJ-R1 BJ-SW1
长沙 XA-R1 XA-SW1
上海 SH-R1 SH-SW1
5.4.2服务器命名规则:
服务器所属地理位置首字母+服务器功能简称+服务器编号
地理位置 服务器[以 DN器为例]
北京 BJ-DNS-01
长沙 XA-DNS-01
上海 SH-DNS-01
六、解决方案
6.1 活动目录逻辑架构
架构示意图
活动目录的逻辑结构非常灵活,它为活动目录提供了完全的树状层次结构视图,
如下图所示的逻辑结构为用户和管理员查找、定位对象提供了极大的方便。活动目
录中的逻辑单元包括:域、组织单元(Organizational Unit,简称OU)、域树、域
森林。
域
域既是Windows Server 2003网络系统的逻辑组织单元,也是及Internet的逻辑
组织单元。域是,是对象(如计算机、及用户等)的容器,这些对象有相同的安全
需求、复制过程和管理,这一点对于网管人员应是相当容易理解的。
一个计算机网最基本的单元就是“域”,这一点不是Windows 2003所独有的,
但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个
域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段作为不同的
域,每个域都有自己的安全策略以及它其与其他域的信任关系。当多个域通过信任
关系连接起来之后,活动目录可以被多个信任域共享。
在 Windows Server 2003 中,域中所有的域控制器都是平等的(这一点与 WINNT4Windows NT 4.0 不一样同,没有主次之分)。域是安全边界,域管理员只 能
管理域的内部,;除非其他的域显式地赋予其管理权限,他才能够访问或管理 其
他的域。
每个域都有自己的安全策略,以及及它其与其他域的安全信任关系。域与域之
间具有一定的信任关系,域信任这种关系使得一个域中的用户由另一域中的域
控制器进行验证后才能使一个域中的用户访问另一个域中的资源。所有域信任
关 系中只有两种域:,即信任关系域和被信任关系域。信任关系域系就是指如果域
A 信任域 B,则域 B 中的用户可以通过域 A 中的域控制器进行身份验证后访问
域 A 中的资源,则即域 A 与域 B 之间的关系就是为信任关系。;被信任关系就是
指 被一个域信任的关系,在上面的例子中的域 B 就是被域 A 信任,域 B 与域 A
的二者的关系就是被信任关系。信任与被信任关系可以是单向的,也可以是多向的,
也可以是双向的,即域 A 与域 B 之间可以单方面关系,也可以是双方面 的信任
关系。
而在域中传递信任关系不受关系中两个域的约束,是经父域向上传递目录树中
的下一个域,也就是说。即如果域 A 信任域 B,则域 A 也就信任域 B 下面 的子域
B1、域及 B2……,等。传递信任关系总是双向的:,关系中的两个域互相信任(是指
父域与子域之间)。默认情况下,域目录树或目录林中的所有信任关 系都是传递的。
通过大大减少需管理的委托关系数量,将在很大程度上简化域的管理。
Windows Server 2003 中的域传递信任关系一般是系统自动创建的,但对于相
同域目录树或林中的 Windows Server 2003 域,也可以显式(手工)地创建传递 信
任关系。,这对于形成交叉链接信任关系是非常重要的。不传递信任关系受关 系中
两个域的约束,并且不经父域向上传递到域目录树中的下一个域。,必须显 式地创
建不传递信任关系。默认情况下,不传递信任关系是单向的,尽管也可以 通过创建
两个单向信任关系创建一个双向关系。所有不属于相同域目录树或林中 Windows
Server 2003 域间建立的委托关系都是不传递的。在混合模式的网络中, 所有
Windows NT 信任关系都是不传递的。双向信任关系包括一对单向委托关系, 所有传
递信任关系都是双向的。为使不传递信任关系成为双向,必须在所涉及的 域间创建
两个单向信任关系。
Windows 2003 中的域传递信任关系一般是系统自动的,但对于相同域目录树
或林中的 Win2003 域,也可以显式(手工)地创建传递信任关系。这对于形成 交
叉链接信任关系是非常重要的。不传递信任关系受关系中两个域的约束,并且 不经
父域向上传递到域目录树中的下一个域。必须显式地创建不传递信任关系。 默认情况下,不传递信任关系是单向的,尽管也可以通过创建两个单向信任关系 创建一
个双向关系。所有不属于相同域目录树或林中 Win2003 域间建立的委托 关系都
是不传递的。在混合模式的网络中,所有 Windows NT 信任关系都是不传 递的。
双向信任关系包括一对单向委托关系,所有传递信任关系都是双向的。为 使不传
递信任关系成为双向,必须在所涉及的域间创建两个单向信任关系。
组织单元 OU(Organizational Unit,组织单元)
组织单元(OU)是一个容器对象,它也是活动目录的逻辑结构的一部分。OU
其中可以包含各种对象,比如用户账户、用户组、计算机、及打印机等,甚至可
以包括其他的 OU,所以可以利用 OU 把域中的对象形成一个完全逻辑上的层次
结构。
组织单元 OU 是可以指派组策略设置或委派管理权限的最小作用单位。,使用
组织单元,可在在组织单元其中代表逻辑层次结构的域中创建容器,这样就可以
根据特定的组织模型管理账户、资源的配置和使用,。也可使用组织单元 OU 创
建可缩放到任意规模的管理模型。可,授予用户对域中所有组织单元 OU 或单个
组织单元 OU 的管理权限,组织单元 OU 的管理员不需要具有域中任何其他组
织 单元 OU 的管理权。
对于企业来讲,可以按部门把所有的用户和设备组成一个 OU 层次结构,。也
可以按地理位置形成层次结构,还可以按功能和权限分成多个 OU 层次结构。很
明显,通过组织单元 OU 的包容,组织单元 OU 具有很清楚的层次结构,这种
包 容结构可以使管理者把组织单元 OU 切入到域中以反应反映出企业的组织结
构并 且可以委派任务与授权。建立包容结构的组织模型能够帮助我们用户解决
许多问 题,同时仍然可以使用大型的域。域树中每个对象都可以显示在全局目
录中,从而用户就可以利用一个服务功能轻易地找到某个对象,而不管它忽略其
在域树结构中的位置。
由于 OU 层次结构局限于域的内部,所以一个域中的 OU 层次结构与另一个
域中的 OU 层次结构没有任何关系。因为活动目录中的域可以比 NT4NT 4.0 的域
容纳更多对象,所以一个企业有可能只用一个域来构造企业网络,。这时就可以 使
用 OU 来对对象分组对象,形成多种管理层次结构,从而极大地简化网络管理 工
作。组织中的不同部门可以成为不同的域,或者一个 OU,从而采用层次化的 命
名方法来反映组织结构并进行管理授权。顺着组织结构进行颗粒化的管理授权, 可
以解决很多管理上的头疼问题。在加强中央管理的同时,又不失机动灵活性。
Windows Server 2003 中的很多域都可以成为 OU,以建立更大的域和更简化 的域关系。借助全局目录(Global Catalog),用户和管理员仍然能够迅速地
找到 对象和管理对象。
OU 示意如下图所示。
6.2 安全体系设计
6.2.1 物理安全
网络的物理安全是整个网络系统安全的前提。在企业网络工程建设中,由于 网
络系统属于弱电工程,耐压值很低。因此,在网络工程的设计和施工中,必须 优先
考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电 线、动
力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统 和绝缘线、
裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考 虑建筑物防
雷,还必须考虑计算机及其他弱电耐压设备的防雷。总体来说物理安 全的风险主要
有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错 误;设备被盗、
被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设 计;机房环境及
报警系统、安全意识等,因此要尽量避免网络的物理安全风险。 6.2.2 网络传输安全
网络传输数据保护;;
由网络中的 ××× 设备实现各内部网络之间的数据传输加密保护,并可同时
采取加密或隧道的方式进行传输;
网络隔离保护,与 INTERNET 进行隔离,控制内网与 INTERNET 的相互访
问;
集中统一管理,提高网络安全性;
6.2.3 访问控制
控制外部合法用户对内部网络的网络访问;
控制外部合法用户对服务器的访问;
禁止外部非法用户对内部网络的访问;
控制内部用户对外部网络的网络;
阻止外部用户对内部的网络***;
防止内部主机的 IP 欺骗;
对外隐藏内部 IP 地址和网络拓扑结构;
网络监控;
网络日志审计;
6.2.4 ***检测
网络安全不可能完全依靠单一产品来实现,网络安全是个整体的,必须
配相应的安全产品。作为必要的补充,***检测系统(IDS)可与安全 ××× 系
统形成互补。***检测系统是根据已有的、最新的和可预见的***手段的 信
息代码对进出网络的所有操作行为进行实时监控、记录,并按制定的策略 实
行响应(阻断、报警、发送 E-mail)。从而防止针对网络的***与犯罪行为。
***检测系统一般包括控制台和探测器(网络引擎)。控制台用作制定及管 理
所有探测器(网络引擎)。探测器(网络引擎)用作监听进出网络的访问 行为,根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过 滤
数据包,因此,***检测系统的应用不会对网络系统性能造成多大影响。
6.2.5 漏洞扫描
作为一个完善的通用安全系统,应当包含完善的安全措施,定期的安全评
估 及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很
高的安 全性,而是随着时间的推移和技术的发展而不断下降的,同时,在使用
过程中会 出现新的安全问题,因此,作为安全系统建设的补充,采取相应的措施
也是必然。
本方案中,采用漏洞扫描设备对网络系统进行定期扫描,对存在的系统漏洞、
网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描,发现相应的漏洞并
告警,自动提出解决措施,或参考意见,提醒网络安全管理员作好相应调整。
6.2.6 病毒防护
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,相应
地 企业在构建网络防病毒系统时,应利用全方位的企业防毒产品,实施“层层设
防、 集中控制、以防为主、防杀结合”的策略。具体而言,就是针对网络中
所有可能 的病毒***设置对应的防毒软件,通过全方位、多层次的防毒系统
配置,使网络 没有薄弱环节成为病毒***的缺口。本方案中在选择杀毒软件时
应当注意几个方面的要求:具有卓越的病毒防治技术、程序内核安全可靠、对
付国产和国外病毒 能力超群、全中文产品,系统资源占用低,性能优越、可
管理性高,易于使用、 产品集成度高、高可靠性、可调配系统资源占用率、便
捷的网络化自动升级等优点。
病毒对信息系统的正常工作运行产生很大影响,据统计,信息系统的 60%瘫痪
是由于感染病毒引起的。
6.2.7数据备份
作为国家机关,企业内部存在大量的数据,而这里面又有许多重要的、
机密 的信息。而整个数据的安全保护就显得特别重要,对数据进行定期备份是
必不可 少的安全措施。在采取数据备份时应该注意以下几点: 6.2.8存储介质安全
在选择存储介质上应选择保存时间长,对环境要求低的存储产品,并采 取
多种存储介质备份。如同时采用硬盘、光盘备份的方式。
6.2.9数据安全
即数据在备份前是真实数据,没有经过篡改或含有病毒。
备份过程安全
确保数据在备份时是没有受到外界任何干扰,包括因异常断电而使数
据备 份中断的或其它情况。
备份数据的保管
建立专门备份机制,备份数据实现科学化、专门化管理。
6.2.10安全审计
作为一个良好的安全系统,安全审计必不可少。
由于企业是一个非常庞大的网络系统,因而对整个网络(或重要网络部分)
运行进行记录、分析是非常重要的,它可以让用户通过对记录的日志数据进
行分 析、比较,找出发生的网络安全问题的原因,并可作为以后的法律证据或
者为以 后的网络安全调整提供依据。
6.3 智能解析系统
6.3.1 为什么部署智能解析系统
智能域名服务器在中国的作用是解决中国电信和网通之间存在的问题,
当你设置一个服务器在电信的网络上,这个时侯网通的用户访问往往很慢,反
之亦然。要解决这个问题有多种方法,最简单的就是在电信和网通各放一台服
务器,让用户用不同的域名访问:如电信的用户用 www.xyz.com,网通的用户 用
www.2xyz.com,但这样带来的问题就是要用户自己判断,并且还要输入不同 的域名带来不必要的麻烦。
这个时候自然希望能够让用户输入 www.xyz.com 的时候,能够有域名
服务器 自动判断用户的网络情况,而后提供不同的地址解析。即当网通的用
户访问时, 域名服务器通过访问控制列表的地址范围,判断出用户来自网
通,则给出设置 在网通的服务器 IP,反之亦然。
推而广之,不仅可以用作这个用途,还可以按照网络的情况进行优化,按
照不同的 IP 范围(不同的网络区域),将用户带到不同的服务器上。、
在设计方案中,考虑到企业长沙总部采用双服务接入办法,为解决访问瓶
颈问题,我们部署智能解析系统解决这一问题。
6.3.2 商用智能解析系统的优势
安全的运行平台:
作为商用 DNS 解析服务,我们采用 UNIX 操作系统作为智能 DNS 服务
器运行平台。UNIX 系统具有高效,安全,稳定等固有的特点。对于各种网
络***或网络病毒程序,UNIX 操作系统具有更大的抗受力和免疫力。UNIX在服
务器专用操作系统领域有着坚不可摧的地位。为了最大程度的保证服务器运
行的稳定和安全,我们的 DNS 服务器没有作为其他商业用途,真正做到
了专机专用。
完善的冗余设计:
冗余是网络服务的基石,尤其对于关键网络服务来说更是如此。可以说没
有好的冗余设计,网络服务的稳定性就无从谈及。我们在冗余规划中使用了多
台 DNS 服务器来确保为用户提供专业的域名解析服务,在多台域名解析
服务器之间采用了并行服务技术,这么做的好处是只要一台服务器工作正常
就不会影响到域名的解析服务。另外考虑到 IDC 或 ISP 线路出现故障的可
能性,我们的 DNS 服务器部署到了多个 ISP 所属的 IDC 中。
便捷的域名管理:
为了方便用户对自己的域名进行管理,我们开发了域名后台管理程序,
用户可以从我们的网站上登陆【域名管理】对域名进行管理操作。这个管理程
序以简单实用为设计原则。用户登陆这个域名管理后台可以方便的添加、删除和修改域名的 A 记录、CNAME 记录、MX 记录以及相关记录的 TTL 值,配合我们
提供的域名设置向导使域名设置不再晦涩难懂。
免费安排试用期:
智能 DNS 策略解析对大多数用户来说还是比较陌生的技术,大家对
这个 服务的有效性,稳定性等存有各种疑虑,我们认为这时很正常的。为此
我 们允许用户免费试用智能域名策略解析服务一周,在试用期间大家可以检
验智能 DNS 策略解析的效果。对一些有特殊情况的用户可以适当延长试
用期限。
极具弹性的价格:
为了照顾不同层次用户的实际需求,我们把用户分为普通用户和 VIP 用
户,对应不同的功能采取不同的价格策略。对于多个域名(>1 个)的用
户,我们采取浮动价格机制。真正做到了域名越多,价格越低。对我们的代理
商同样适用浮动价格机制,而且浮动比例更大。
专业的售后支持:
对用户来说售前和售后的技术支持也尤为重要。为了更好的服务用户,
我们有专门配备的 UNIX、DNS 工程师负责整个智能 DNS 系统的维护和相
关程序的研发。做到了整个智能 DNS 系统 24 小时都在严密监控之下。可
以快速的响应用户出现的问题。
领先的技术实力:
为满足一些有国外用户访问的网站需求,独家推出了国外主机策略解析,
可在管理后台设置国外用户访问的主机 IP。本公司拥有至今在业界还未被超
越的技术实力。在本系统稳定运行的一年多时间来,得到了用户的一致好评与
肯定。无任何投诉解析发生错误的事件发生。
6.4无线WLAN设计方案
在本方案的设计中,处于企业对于移动办公的需求,我们在企业网络中的
办 公园区组建了无线网络设计
无线网络接入示意图
无线局域网特点:
移动性:不受时间限制,空间限制,用户可以在网络中漫游;
灵活性:不受线缆的限制,可以随意增加和配置工作站;
低成本:无线网络不再需要大量的工程布线,同时节省了线路的维护费用;
易安装:对于有线网络来说,无线网络的组建、配置和维护更为容易。
结合以上特点,无线网络非常适合会议中心、图书馆等环境的要求我们在会
议中心布置无线 网络,无线客户端可以通 过无线接入器AP(Access Point)接
入以太网共享网络资源,多个 AP 分布在相邻 的区域可以实现无线客户端的
移动漫游。
6.5.××× 技术
虚拟专用网(virtual private network)是一种在公用网络上通过创建隧
道,封装 数据模拟的一种私有专用链路。隧道起一个提供逻辑上点对点连接
的作用,从隧道的一端到另外一端支持数据身份验证和加密。由于数据本身
也要进行加密,所以即使通过公共网络,它仍然是安全的,因为即便数据包
在通过网络结点时被拦截(如经过服务器时)但只要拦截者没有密钥。就无法查看包的内容。
从内容上来说 ××× 的连接主要可以分为两个部分,即隧道的建立和数
据的加密,在第2层上常见的隧道协议包括PPTP(Point to Point Tunneling
Protocol)点对点隧道协议,还有 L2TP(Layer Tunneling Protocol)第二层
隧道协议,L2TP 隧道能够提供 ATM 和 FRAME RELAY 上的隧道,而且由于不
依赖IP 协议,它还可以支持不止一个连接,那么一般的网络设备如路由器等
大多支持这个 协议。在第三层上创建的隧道是基于IP 的虚拟连接,这些连
接通过收发IP数据包实现, 这个抱被封装在由IETF(Internet Engineering
Task Force)指定的协 议包装之内。 包装使用IP sec,IKE,以及身份验证
和加密方法,如MD5,DES,以及 SHA。数据加密使用的加密数据协议有
MPPE,IPsec,×××d,SSH.. IP sec 可以与L2TP一起使用,这个时候L2TP建立隧
道,IPsec 加密数据,这种形式下IP sec 运行于传输模式。
6.5.1.××× 技术的优点
随着员工队伍越来越分散和远程办公日益普及,各种规模的企业都必须要依
赖虚拟专用网。虚拟专用网是一种在公共网络(通常是互联网)上的安全的专用网
虚拟专用网允许远程办公的员工安全地访问你的网络,就像在你公司的办公桌旁
一样。如果你或者你的员工经常离开办公室并且需要访问你的公司网络,虚拟专
用网是在不牺牲安全的情况下提高办公效率的廉价的方法。
虚拟专用网这个名称向你提供了这种网络的实际工作原理的线索。虚拟专
用 网软件把这个网络分出一部分,并且仅允许授权的用户访问。这种虚拟网络
在现 有的网络上运行,是专用的。因此,得到了这个名称。
提供正确登录信息的用户允许访问办公室的虚拟专用网网关。一旦他们通
过 网关建立了连接,他们就能够像在自己的办公桌旁一样访问公司的网络,阅
读和 发送电子邮件,打开和存储文件,或者在具体的本地应用程序上工作。
要创建一个移动用户与这个网络之间的安全连接,你需要一个虚拟专用网
客 户端和一个虚拟专用网网关。这个虚拟专用网客户端是安装在远程用户移
动计算 机中的一个软件应用程序。这个网关是一个计算机程序或者是网络端
的一台计算 机,允许授权用户访问,拒绝非授权用户访问。 为了提供额外的安全,这个客户端在发出数据之前先进行加密,网关在
收 到这个数据之后进行解密。客户端与网关之间的这种通讯称作隧道。
与任何传统的广域网相比,××× 的运营成本和连接远程用户的成本更低。
此 外,××× 的固定通讯成本有助于企业了解其经营开支。一个 ××× 线路还
能够提 供低成本的全球网络机会。
××× 能提供高水平的安全,使用高级的加密和身份识别协议保护数据避免
受 到窥探,阻止数据窃贼和其他非授权用户接触这种数据。
设计良好的宽带 ××× 是模块化的和可升级的。这种技术能够让应用者使
用 一种很容易设置的互联网基础设施,让新的用户迅速和轻松地添加到这个
网络。 这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量
和应用。
××× 能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的
高 速宽带网连接(如 DSL、有线电视或者 WiFi 网络)连接到企业网络。此外,
高速宽 带网连接提供一种成本效率高的连接远程办公室的方法。
6.6.冗余备份设计
冗余设计是网络设计的重要部分,是保证网络整体可靠性能的重要手段。
但 是投资也将增加。部分企业园区网在早期的建设中由于成本的原因并未在设
计中 考虑冗余问题,而在优化工作中则需从网络链路和网络设备两方面着手。
冗余设 计可以贯穿整个层次化结构,每个冗余设计都有针对性,可以选择其中
一部分或 几部分应用到网络中以针对重要的应用。万一网络中某条路径失效
时,冗余链路 可以提供另一条物理路径。可采用GEC链路聚合(IEEE802.3ad)实现
端口级冗余, 以克服某个端口或线路引起的故障。也可采用生成树协议
(IEEE802.1d)提供设 备级的冗余连接。此外,我们在设计中提供不同物理方向
的双归属、双核心保护。
6.6.1.线路冗余
在企业网核心层,企业网络边界拓扑结构由于采用了双机热备份的核心交
换 机系统解决方案,所以在线路冗余方面的要求较高,对于线路的冗余要求,我们 采用10GE线路对两台企业网骨干核心层设备进行环行双向备份,并使用业
界领 先的VRRP(虚拟路由器冗余协议)来对其作为冗余线路的协议保障。以GEC
作为 N*1000M主干链路,通过这个链路连接骨干网交换机,具备万兆扩展能力;
接入 交换机采用10/100M自适应端口连接桌面系统,多千兆链路连接到汇聚层。
GEC路具有链路聚合和冗余保证两大特性,下面我们将对它们依次进行介绍
链路聚合:
DEC链路聚合IEEE802.3ad示意如图:
图解:可使用一条物理链路在不同品牌交换机之间、交换机和服务器间提
供 聚合的高速通道,在不增加投资的情况下,扩大交换带宽,使关键连接的传
输效 率更高
冗余保证:
链路聚合中,成员互相动态备份。当某一链路中断时,其它成员能够迅速
接 替其工作。与生成树协议不同,链路聚合启用备份的过程对聚合之外是不可
见的, 而且启用备份过程只在聚合链路内,与其它链路无关,切换可在数毫
秒内完成。
综合分析以上各主流方案的优缺点,从性能与成本及拓展性等方面的综
合考 虑出发,我们决定采用GEC骨干核心网络10GE拓展的方式作为其链路选择
及备份 选择。
在企业网汇聚层及接入层出于成本及性价比的考虑,我们决定采用万兆核
心, 千兆汇聚,万兆拓展;百兆到桌面的链路选择。
6.6.2.设备冗余
在此方案中,在网络的每个关键结点,我们在设计时都做到了对其有效的
冗 余备份和负载均衡。在网络的核心层上。我们采用了两台CISCO的7200系列
高密 度多业务路由器组建高性能的核心网络平台,在对骨干核心层提供足够的
网络接 点和接入需求的同时最大限度的为网络提供了有效的冗余保障和负载
均衡。在汇 聚层的每个区块, 我采用了三台的CISCO3640三层交换机做到冗余
与负载均衡。
在本方案的设计中,出现了两个以上的交换区块和需要提供冗余连接的时候,我们采用了双核心配置。如下图,我们给出了从接入层到汇聚层再到核心层
的双核心配置。
双核心拓扑结构提供了两条等代价路径和双倍的带宽。每个核心交换机连接
着数目相同的子网到第三层汇聚设备上。每个交换区块都有冗余的连接到核心交
换机上,因此形成两条不同的,但是等代价的连接。如果一条核心设备发生故障, 还
是能够收敛,因为汇聚层设备的路由选择表中还有另一条到核心设备的路由。
第3层路由选择协议在核心中起链路选择的作用,VRRP提供快速错误恢复。核心
层不需要STP,因为在核心交换机间没有冗余的第2层连接。
6.6.3.服务器冗余
企业网中服务器、大型机,如网络存储服务器,邮件服务器、Web服务器,
其存储的数据对于企业来说致关重要,一些核心数据被视为企业的生命。一方面
它对企业的重要性毋庸质疑,另一方面,由于这些数据的性质决定了其较大的被
访问量,这个对服务器提出了稳定和快速的要求。如果宕机,后果是技术是保
障 计算机系统的可靠性是重中之重。为此,我们采用的是双机热备技术 ,此技术 能够有效的满足核心服务器高效,稳定的高要求。而且相对于其它成本技术
来说, 这是比较有经济价成效的技术。
服务器双机热备技术
具体技术实现:每个核心服务器均具有两个以太网接口(可以通过安装双
网 卡实现),在此基础上,以上图为例,两台服务器先分别利用自己的一个以
太网 接口实现两个服务器之间的直连,每个服务器另外的一个接口则与服务器
区的网 络实现互连,以达到双机热备的目的。因此增加服务器的稳定性与高
效性。
在企业网络边界的拓扑结构设计上,我们以客户的可用性、性能和可购买
性 为设计目标,把此方案中企业边界网络设计在内联网设置冗余的广域网段,
并在 连接外联网和Internet的链路上实施多重路径。并且通过site to site ×××
的方式来 在公共的服务提供商网络或因特网上实现专有站点之间的连接。
6.6.4.接入冗余
因为广域网链路是企业互连网络中非常关键的一部分,因此在企业边界网
络 拓扑结构中包括了冗余(备份)广域网链路。我们采取多宿主Internet连接作为 广域网备份的首选方法。[在设计中我们在总部具体采用电信和网通
双服务提供 商对企业提供服务,达到高效和冗余的效果]
随着经济发展,大型企业分支机构原来越多,为便于企业的统一管理,本
方
案建议CISCO路由器,利用目前电信和网通等多种方式组建一个D×××(动态
虚拟专用网络)网络,实现企业总部与分支机构远程通讯的安全。
从企业边界模块看,接入路由器后设置防火墙。采用合理的安全策略实现,
外部网络对DMZ区的控制下访问,隔离企业内部网络防止来自外部的非法访问。
6.7.NAT 及策略路由的实现
在组建企业网络时,为了节约地址,我们在内部使用保留的私有地址段中
的 地 址,但是使用私有地址不能访问 Internet,所以必须申请多个公开地
址配置在 和 Internet 相连的局域网边缘设备上。应用 NAT 进行地址
转换。
NAT 是网络地址翻译技术,在路由器上起用 NAT 之后,可以在部私有
地址和外部公网地址之间做转换。我们可以把网络内部使用的IP翻译成外部公
网的IP。
配置基于策略的路由选择时,可使用路由映射表来指定基于 IP 地址应用
程序协议或者分组长度的条件。基于策略的路由选择命令对中选的路由实现策
略。基于策略的路由和静态路由有很多共同之处。然而,静态路由根据目标网络
址来转换分组,而策略路由根据源地址来转发分组。在路由选择表中使用访列表
时,可根据诸如目标地址,分组长度,IP 协议字段,优先级或端口号来发数据流。
这样以指定范围更广泛,更细致的条件,并根据这些条件来决定下一跳路由器。
在网络设计中,我们考虑到总部要求家属使用网通连接到外部网络,而其他部
门则不限制访问线路的情况,使用策略路由解决这一问题。
6.8.ACL 技术
ACLs 的全称为接入控制列表(Access Control Lists),按照其使用的范
围,可以 分为安全 ACLs 和 QoS ACLs。 对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用
者或使用设备。安全 ACLs 在数据流通过交换机时对其进行分类过滤,并对
从指定接口输入的数据流进行检查,根据匹配条件(conditions)决定是允许其
通过(permit)还是丢弃(deny)。
访问列表为我们提供了一种对网络访问进行有效管理的方法,通过访问列表,
我们可以设置允许或拒绝数据包通过路由器,或者允许或者拒绝具体的某些端
口进行访问和使用,如果满足条件则执行相应的操作,放行这个包或者放弃这个包。
我们通过这些设置来满足实际网络的灵活需求,从而达到设置网络安全策略,防止
网络中的敏感设备受到非授权访问的情况。
在具体实现过程中从技术上来说我们需要了解到ACL分为两种类型,他
们分别是标准访问列表(Standard access lists)和扩展访问列表(Extends
access lists)前者在过滤网络的时候只使用 IP 数据报的源地址,那
么在使用这种访问列表的情况下它做出允许或者拒绝这个决定完全是依赖
于源 IP 地址,它无法区分具体的流量类型。而扩展访问列表则可以提供更
细的决定,它可以具体到端口,从而精确到某一个服务,比如对 WEB,FTP 的
访问等,给我们网络的策略提供了更细的控制手段。我们利用这种访问列表进
行协议级的控制以达到对网络一个有效的管理。标准访问控制列表一般放在
靠近目标的路由器上,而扩展访问控制列表一般放于近源端的路由器上。
比如在我们实际环境中,我们需要对环境中重要的资源提供限制性的保护措
施,例如重要部门,如财务室,经理处的数据,首先要防止来自内网的风险,
我们可以做出相应的措施,防止来自办公的网络地址对这些重要资源进行访
问,或者指定只允许某些特定的地址能够访问这些敏感资源,那么我们就可以
做到杜绝 这方面存在的隐患。同时我们也需要注意服务器和其他网络设备的
安全,这时我 们也可以通过访问列表来实现,很多时候我们希望服务器上某些
资源只对校内特 定的一部分用户开放,那么可以设置相应的控制列表来控
制,如想通过对FTP服 务器资源的限制性访问,只需要做关于FTP服务器21
号端口的访问控制便能达到 目的,如想防止用户非法telnet到校园网的路由
器上,那么要创建一个访问列表, 列出允许telnet到路由器的计算机,然后应
用到VTY即可。
6.9. VLAN (虚拟局域网)
VLAN虚拟局域网是一种在二层设备上隔离和划分广播域的技术,通过这种
划 分,我们可以把物理位置上分离的网络设备在逻辑上划为同一个广播域,或
者把 物理位置上邻近的网络设备划为不同的广播域,从而更方便我们管理和
做一个逻 辑层次的划分。从技术上说VLAN可以分为静态VLAN和动态VLAN,那么
静态的VLAN 是基于交换机端口进行划分,根据网络设备连接不同的交换机端
口,则进入相应 的VLAN。动态VLAN则更灵活,它可以根据接入计算机的IP
地址,MAC地址,甚 至是用户的登陆账号做出相应的处理,把计算机划分进
相应的VLAN中,这样就 为我们实际的网络管理带来了比较大的方便性和灵活
性。
那么在我们的企业网方案中,我们希望通过使用VLAN技术进行划分达到以
下目的:
隔离,划分广播域,减小不必要的广播流量,从而提高整个网络的利用 效
率。
提升网络安全性,划分VLAN可以有效的防止基于局域网传播的病毒进行 复
制感染,避免因病毒影响整个校园网络的正常运行,同时也可以防止 网络
中由于广播的而产生的一些不必要的嗅探***风险。
方便后期管理,我们可以把一个组织或者一个部门的所有计算机划分在 同
一个VLAN中,即便这些计算机物理上并不是在一起。这样给我们带来 的好
处是逻辑上有比较清楚的层次感和规划感,也使我们的网络在投入 使用后
能够比较方便的进行管理和维护。
灵活性和可扩展性,作为学校来说本身也在成长和发展之中,企业中各 部
门的变动和职工的流动也是不可避免,在这个的过程中,我们不需要 过多
的关注物理设备的迁移,只需要在基于VLAN的交换机的端口上做相 应设置
即可,这样便可以快速的适应新的工作环境要求。
七、附录
设备选型 Cisco 7200 系列
概述
Cisco 7200 系列路由器提供优异的性价比,可以满足下列需求:需要广域网
和 Internet 网关连接的地区办事处和分公司;企业和服务供应商的远程站点集
合,通过一个中心站点将多个分散站点连接起来;需要 IBM 数据中心连接的站点;
需要结合上述所有特性多方面功能的站点,以便支持多服务语音、视频和数据流
量。
Cisco 7200 的一个关键优点是其模块性。通过 4 和 6 插槽机箱,提供 300Kpps
速度的 5 个处理器,带有 48 个端口的广泛的局域网和广域网接口,以及单个或
双重电源,客户可以获得所需的性能和容量。这种模块性还提供投资保护和可靠
的扩展路径。
关键特性
高性能交换--支持高速介质和高密度配置;通过其基于 RISC 和 SRAM 配
置的系统处理器,Cisco 7200 每秒可以交换 30 万个信息包。
全面的 Cisco IOS 软件支持和高性能网络服务增强--高速执行服务质量、
安全、压缩和加密等网络服务。
高密度端口--提供高密度端口以及广泛的局域网和广域网介质,大大降
低了每端口成本,并允许灵活地进行配置。
公用端口适配器--利用和 Cisco 7200 通用接口处理器(VIP)相同的端 口
适配器,简化了备件存储,并提供接口投资保护。 Cisco3600 系列
概述
Cisco 3600 系列是一个适合大中型企业 Internet 服务供应商的模块化、多
功能访问平台家族。Cisco 3600 系列拥有 70 多个模块化接口选项,提供语音/ 数
据集成、虚拟专网(×××)、拨号访问和多协议数据路由解决方案。通过利用 CIsco
的语音/传真网络模块,Cisco 3600 系列允许客户在单个网络上合并语音、 传真和
数据流量。高性能的模块化体系结构保护了客户的网络技术投资,并将多 个设备
的功能集成到一个可管理的解决方案之中。3600 捆绑还可用于抓住特定 的 RAS
机遇。
关键特性
在一个平台中结合了拨号访问、先进的局域网到局域网路由服务、ATM 连接以
及语音、视频和数据的多服务集成。
模块化、可伸缩的设计×××能、可伸缩性、灵活性和投资保护。
高密度 ISDN PRI 功能。
预配置的 BRI 和 PRI 调制解调器捆绑。
支持 Modem-over-BRI 功能性。
集成了 Cisco IOS 软件(产品定价中包括 IP IOS 软件)。
完全支持 ×××。 Cisco2950 系列
Cisco Catalyst 2950 系列交换机包括多款固定配置的交换机,可以为中小型
网络提供 线速的快速以太网和千兆位以太网连接。Cisco Catalyst 2950 系列
是一个价格适中的 产品线,可以为网络边缘提供多种智能化服务,例如增强的
安全性、高可用性和高 级服务质量(QoS)——同时保持传统 LAN 交换的简便
性。
产品概述
内嵌在 Cisco Catalyst 2950 系列交换机中的思科集群管理套件(CMS)让
用户可以利用任何一个标准的 Web 浏览器,同时配置和诊断多个 Catalyst 桌面
交换机。除了思科 CMS 软件以外,Cisco Catalyst 2950 系列交换机还提供了多 种
基于简单网络管理协议(SNMP)网络管理平台(例如 CiscoWorks)的管理工 具。
利用最新推出的 Cisco Express Setup,用户现在可以通过一个 Web 浏览器 设
置交换机,从而不需要使用更加复杂的终端模拟程序和学习命令行界面(CLI)。 Cisco
Express Setup 让缺乏经验的人员也可以迅速、方便地设置交换机,从而 降低了
部署成本。
这个产品线提供了两组不同的软件功能和多种配置,以便让中小型企业和大
型企业分支机构可以为自己的网络边缘选择最佳的组合。思科标准镜像软件为基
本的数据、语音和视频服务提供了 Cisco IOS 软件功能。对于那些需要更高安全
性、高级 QoS 和更高可用性的网络而言,思科增强镜像软件可以为网络边缘的部
署提供多种智能化服务,例如速率限制、QoS 重新分类和安全过滤等。
Cisco Catalyst 2950 系列交换机包括下列设备,它们只装有用于
Catalyst2950 系列的增强镜像软件。