【正文】 網絡管理人員將為用戶提供對 Inter、Intra 、城域網與廣域網的更快速的訪問。千兆位以太網將提供完美無缺的遷移途徑，充分保護在現(xiàn)有網絡基礎設施上的投資。4 / 87千兆以太網的優(yōu)點主干采用千兆以太網的好處在于：千兆位以太網將提供 10 倍于快速以太網的性能并與現(xiàn)有的 10/100 以太網標準兼容。緩存式分配機把分組轉發(fā)到除源鏈路外其它所有鏈路上，提供共享帶寬域（與 的沖突域相對） ，也被稱為“盒子中的CSMA/CD”。1997 年春天，新的工作組 成立，研究基于 4 對 5 類纜線的“長距銅線”解決方案，其標準為 4 對 5 類 UTP、最大長度 100 米的千兆以太網連接，該標準為以太網 MAC 層定義了一個接口 GMII（Gigabit Media Independent Interface） ，還定義了管理、中繼器操作、拓撲規(guī)則及四種物理層信令系統(tǒng)：1000BaseSX（短波長光纖） 、1000BaseLX（長波長光纖） 、1000BaseCX（短距離銅線）和 1000BaseT（100 米 4 對5 類 UTP） 。性能價格比高的原則在滿足網絡各項性能要求情況下，兼顧設備投資情況，我們將盡可能節(jié)約網絡系統(tǒng)的投資，使整個網絡的性能價格比最高。另外隨著用戶業(yè)務的發(fā)展，網絡系統(tǒng)的擴容將是不可避免的。在網絡設計中我們主要遵循了以下設計原則：標準化及規(guī)范性在整個網絡從技術和設備的選擇上，為確保不同廠家設備、不同應用以及不同協(xié)議連接的互操作性，我們將選擇支持國際標準的網絡接口和協(xié)議，以提供高度的開放性，保證用戶可以根據(jù)將來的需要進行有效的開發(fā)和應用，提供一個良好的開放性環(huán)境。根據(jù)河北省交通廳的要求，利用現(xiàn)代化的高新科技技術，實現(xiàn)工作的高效性、安全性、可靠性、靈活性等，把單位內部建設成為自動化的局域網，從而使整個網絡系統(tǒng)既適應現(xiàn)代化科技發(fā)展的環(huán)境，又符合單位信息網技術體制。借助于四通八達的信息網絡，跨地域、跨國界的實時信息交流日益改變著人們的生產、生活方式。信息技術、信息產業(yè)已成為國家經濟增長、科技（軍事、教育、科研等）發(fā)展的最重要源泉，是國民經濟發(fā)展新的增長點，它們以其特有的滲透力和影響力，對其它產業(yè)的發(fā)展起到增值器和加速器的作用，信息將成為決定 21 世紀人類生活質量和綜合國力的首要因素。 河北省交通廳網絡系統(tǒng)工程建設目標依據(jù)交通部和交通廳有關文件精神中對交通信息化“三網一庫”描述的要求，考慮到國內信息化技術的現(xiàn)狀和未來的發(fā)展趨勢，針對河北省的交通信息化的現(xiàn)狀，本次網絡工程的建設目標主要是建立一個廳機關內部系統(tǒng)信息網絡，實現(xiàn)單位內部計算機聯(lián)網及資源共享，實施單位內部辦公自動化系統(tǒng)，滿足交通廳直屬單位、交通部以及省政府之間聯(lián)網辦公。高性能和良好的服務質量建設一個高性能和良好服務質量的網絡是保證網絡真正能夠實用化，真正能服務于河北省交通廳的必要條件。因此在本次網絡建設中將對網絡的可擴充性和靈活性進行充分考慮。3 / 87安全性網絡設計中我們將對網絡的安全性進行重點考慮，將采用切實有效的系統(tǒng)安全、數(shù)據(jù)安全和網絡安全措施和一套網絡安全實施建議，以保障網絡的安全。 （注：1000BaseCX 為 150 歐姆、平衡屏蔽的特殊電纜集合，線速，使用基于光通道的 8B/10B 編碼方式，其時間幀與光纖連接相同。它與 的中繼器（repeater）不同，允許在轉發(fā)到達各鏈路的幀之前先加以緩沖。同時為 10/100/1000 Mbps 開發(fā)的虛擬網標準 以及優(yōu)先級標準 都已推廣，千兆網已成為構成網絡主干的主流技術。千兆位以太網將保留 和以太網幀格式以及 受管理的對象規(guī)格，從而將使企業(yè)能夠在升級至千兆性能的同時，保留現(xiàn)有的線纜、操作系統(tǒng)、協(xié)議、桌面應用程序和網絡管理戰(zhàn)略與工具。 路由器技術所謂路由就是指通過相互連接的網絡把信息從源地點移動到目標地點的活動。這一區(qū)別決定了路由和交換在移動信息的過程中需要使用不同的控制信息，所以兩者實現(xiàn)各自功能的方式是不同的。作為不同網絡之間互相連接的樞紐，路由器系統(tǒng)構成了基于 TCP/IP 的國際互連網絡 Inter 的主體脈絡，也可以說，路由器構成了 Inter 的骨架。選擇通暢快捷的近路，能大大提高通信速度，減輕網絡系統(tǒng)通信負荷，節(jié)約網絡系統(tǒng)資源，提高網絡系統(tǒng)暢通率，從而讓網絡系統(tǒng)發(fā)揮出更大的效益來。對于每一個接收到的數(shù)據(jù)包，路由器都會重新計算其校驗值，并寫入新的物理地址。從總體上說，在網絡中添加路由器的整個安裝過程要比即插即用的交換機復雜很多。為了完成這項工作，在路由器中保存著各種傳輸路徑的相關數(shù)據(jù)——路徑表（Routing Table） ，供路由選擇時使用。2．動態(tài)路徑表動態(tài)（Dynamic）路徑表是路由器根據(jù)網絡系統(tǒng)的運行情況而自動調整的路徑表。這些協(xié)議要能在每個端口上運行。許多現(xiàn)有的企業(yè)網絡都是由 Hub 或網橋連接起來的以太網段。但是路由器的每端口造價要貴些，并且在能夠使用之前要進行大量的配置工作。它們還要支持防火墻、包過濾以及大量的管理和安全策略以及 VLAN。這些技術對所有骨干路由器而言差不多是標準的。不管是輸入緩沖還是輸出緩沖路由器，都存在路由查找的瓶頸問題。太比特路由器技術現(xiàn)在還主要處于開發(fā)實驗階段。端口通常由線卡提供，一塊線卡一般支持 8 或 16 個端口，一個輸入端口具有許多功能。第四，端口可能需要運行諸如 SLIP（串行線網際協(xié)議）和 PPP（點對點協(xié)議）這樣的數(shù)據(jù)鏈路級協(xié)議或者諸如 PPTP（點對點隧道協(xié)議）這樣的網絡級協(xié)議。交換開關可以使用多種不同的技術來實現(xiàn)。如果一個交叉是閉合，輸入總線上的數(shù)據(jù)在輸出總線上可用，否則不可用。輸出端口在包被發(fā)送到輸出鏈路之前對包存貯，可以實現(xiàn)復雜的調度算法以支持優(yōu)先級等要求。 交換機技術以太網交換機，英文為 SWITCH，也有人翻譯為開關，交換器或稱交換式集線器。目前大多數(shù)交換式以太網都具有 100MBPS 的端口，通過與之相對應的 100MBPS 的網卡接入到服務器上，暫時解決了 10MBPS 的瓶頸，成為網絡局域網升級時首選的方案。直通式（cut throuth ）與存儲轉發(fā)（storeandforward）的比較：直通方式的以太網絡交換機可以理解為在各端口間是縱橫交叉的線路矩陣電話交換機。正因如此，存儲轉發(fā)方式在數(shù)據(jù)處理時延時大，這是它的不足，單是它可以對進入交換機的數(shù)據(jù)包進行錯誤檢測，尤其重要的是它可以支持不同速度的輸入輸出端口間的轉換，保持高速端口與低速端口間的協(xié)同工作。 同 一 個 VLAN 中 的 端 口 可 以 接 受 VLAN 中 的 廣 播 包 ， 別 的 VLAN 中 的 端 口 則 接 收 不 到 。 在 不 同 VLAN 中 移 動 的 終 端 ， 則 它 可 以 獲 得 新 的 VLAN 定 義 。 這 個 特 征 限 定 了 只 在 VLAN 中 的 端 口 才 有 廣 播 、 多 播 通 信 。 VLAN 可 以 限 制 廣 播 域 的 用 戶 數(shù) ， 控 制 VLAN 的 大 小 和 組 成 ， 也 可 以 控 制 廣 播 域 的 相 應 特 性 。 VTP 在 系 統(tǒng) 級 管 理 VLAN 的 增 加 、 刪 除 、 調 整 ， 自 動 地 將 信 息 向 網 絡 中 其 他 的 交 換 機 廣 播 。 例 如 ： 當 網 絡 增 加 了 一 個 VLAN， VTP 將 廣 播 這 個 新 的 VLAN， 服 務 器 和 客 戶 機 的 Trunk 網 絡 端 口 就 準 備 接 收 信 息 。 當 設 備 啟 動 時 ， 它 會 通 過 Trunk 網 絡 端 口 接 受 廣 播 信 息 ， 學 習 配 置 信 息 。 需 要 注 意 的 是 ， 如 果 交 換 在 VTP 服 務 器 模 式 接 收 廣 播 包 含 128 個 VLAN， 則 交 換 自 動 地 轉 換 向 VTP 客 戶 模 式 。 在 一 個 VTP 管 理 域 登 記 后 交 換 機 才 能 工 作 。 VTP 信 息 在 全 部 Trunk 連 接 上 傳 輸 ， 包 括 ISL、 、 LANE。 生 成 樹 協(xié) 議 — —STP　 STP(Spanning  Tree protocol) 能 夠 提 供 路 徑 冗 余 ， 使 用 STP 可 以 使 兩 個 終 端 中 只 有 一 條 有 效 路 徑 。 12 / 87當 創(chuàng) 建 網 絡 時 ， 網 絡 中 所 有 節(jié) 點 存 在 多 條 路 徑 。 網絡安全及保密1. 網絡安全概述以 Inter 為代表的全球性信息化浪潮日益深刻，信息網絡技術的應用正日益普及和廣泛，應用層次正在深入,應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，典型的如黨政部門信息系統(tǒng)、金融業(yè)務系統(tǒng)、企業(yè)商務系統(tǒng)等。 盡管，開放的、自由的、國際化的 Inter 的發(fā)展給政府機構、企事業(yè)單位帶來了革命性的改革和開放，使得他們能夠利用 Inter 提高辦事效率和市場反應能力，以便更具競爭力。機密性：確保信息不暴露給未授權的實體或進程?？蓪彶樾裕簩Τ霈F(xiàn)的網絡安全問題提供調查的依據(jù)和手段。），信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。安全策略14 / 87安全策略是指在一個特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規(guī)則。選擇相應的安全機制，然后集成先進的安全技術。安全技術：防火墻技術、加密技術、鑒別技術、數(shù)字簽名技術、審計監(jiān)控技術、病毒防治技術。安全工作目的安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導下，通過采用合適的安全技術與安全管理措施，完成以下任務：①使用訪問控制機制，阻止非授權用戶進入網絡，即“進不來”，從而保證網絡系統(tǒng)的可用性。2．網絡安全體系結構通過對網絡的全面了解，按照安全策略的要求及風險分析的結果，整個網絡措施應按系統(tǒng)體系建立。主要包括三個方面：☆環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護，如區(qū)域保護和災難保護（參見國家標準GB50173－93《電子計算機機房設計規(guī)范》國標 GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》）☆設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等； ☆ 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。這對重要的政策、軍隊、金融機構在興建信息中心時，都將成為首要設置的條件。☆對終端設備輻射的防范 終端機尤其是 CRT 顯示器,由于上萬伏高壓電子流的作用，輻射有極強的信號外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，故現(xiàn)在的要求除在訂購設備上盡量選取低輻射產品外，目前主要采取主動式的干擾設備如干擾機來破壞對應信息的竊復，個別重要的首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，此類雖降低了部份屏蔽效能但可大大改善工作環(huán)境，使人感到在普通機房內一樣工作。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應該強調的是，防火墻是整體安全防護體系的一個重要組成部分，而不是全部。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個更敏感。網絡安全檢測工具通常是一個網絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網絡系統(tǒng)，檢查報告系統(tǒng)存在的弱點和漏洞，建議補求措施和安全策略，達到增強網絡安全性的目的。同時，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識別問題，并且它是后面階段事故處理的重要依據(jù)。網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術：☆預防病毒技術：它通過自身常駐系統(tǒng)內存，優(yōu)先獲得系統(tǒng)的控制權，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。 網絡反病毒技術的具體實現(xiàn)方法包括對網絡服務器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。 一般的數(shù)據(jù)備份操作有三種?！袄鋫浞荨笔侵浮安辉诰€”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機系統(tǒng)和網絡沒有直接聯(lián)系，在系統(tǒng)恢復時重新安裝，有一部分原始的數(shù)據(jù)長期保存并作為查詢使用。 在進行備份的過程中，常使用備份軟件，它一般應具有以下功能。一是只有該主體了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨一無二的特征或能力，如指紋、聲音、視網膜或簽字等?？诹钣卸喾N，如一次性口令，系統(tǒng)生成一次性口令的清單，第一次時必須使用 X，第二次時必20 / 87須使用 Y，第三次時用 Z,這樣一直下去；還有基于時間的口令，即訪問使用的正確口令隨時間變化，變化基于時間和一個秘密的用戶鑰匙。智能卡大小形如信用卡，一般由微處理器、存儲器及輸入、輸出設施構成。若僅有卡而不知 PIN 碼，則不能進入系統(tǒng)。2 數(shù)據(jù)傳輸安全系統(tǒng)： 數(shù)據(jù)傳輸加密技術 目的是對傳輸中的數(shù)據(jù)流加密，以防止通