【正文】 網(wǎng)絡(luò)管理人員將為用戶提供對(duì) Inter、Intra 、城域網(wǎng)與廣域網(wǎng)的更快速的訪問(wèn)。千兆位以太網(wǎng)將提供完美無(wú)缺的遷移途徑，充分保護(hù)在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施上的投資。4 / 87千兆以太網(wǎng)的優(yōu)點(diǎn)主干采用千兆以太網(wǎng)的好處在于：千兆位以太網(wǎng)將提供 10 倍于快速以太網(wǎng)的性能并與現(xiàn)有的 10/100 以太網(wǎng)標(biāo)準(zhǔn)兼容。緩存式分配機(jī)把分組轉(zhuǎn)發(fā)到除源鏈路外其它所有鏈路上，提供共享帶寬域（與 的沖突域相對(duì)） ，也被稱為“盒子中的CSMA/CD”。1997 年春天，新的工作組 成立，研究基于 4 對(duì) 5 類纜線的“長(zhǎng)距銅線”解決方案，其標(biāo)準(zhǔn)為 4 對(duì) 5 類 UTP、最大長(zhǎng)度 100 米的千兆以太網(wǎng)連接，該標(biāo)準(zhǔn)為以太網(wǎng) MAC 層定義了一個(gè)接口 GMII（Gigabit Media Independent Interface） ，還定義了管理、中繼器操作、拓?fù)湟?guī)則及四種物理層信令系統(tǒng)：1000BaseSX（短波長(zhǎng)光纖） 、1000BaseLX（長(zhǎng)波長(zhǎng)光纖） 、1000BaseCX（短距離銅線）和 1000BaseT（100 米 4 對(duì)5 類 UTP） 。性能價(jià)格比高的原則在滿足網(wǎng)絡(luò)各項(xiàng)性能要求情況下，兼顧設(shè)備投資情況，我們將盡可能節(jié)約網(wǎng)絡(luò)系統(tǒng)的投資，使整個(gè)網(wǎng)絡(luò)的性能價(jià)格比最高。另外隨著用戶業(yè)務(wù)的發(fā)展，網(wǎng)絡(luò)系統(tǒng)的擴(kuò)容將是不可避免的。在網(wǎng)絡(luò)設(shè)計(jì)中我們主要遵循了以下設(shè)計(jì)原則：標(biāo)準(zhǔn)化及規(guī)范性在整個(gè)網(wǎng)絡(luò)從技術(shù)和設(shè)備的選擇上，為確保不同廠家設(shè)備、不同應(yīng)用以及不同協(xié)議連接的互操作性，我們將選擇支持國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)接口和協(xié)議，以提供高度的開(kāi)放性，保證用戶可以根據(jù)將來(lái)的需要進(jìn)行有效的開(kāi)發(fā)和應(yīng)用，提供一個(gè)良好的開(kāi)放性環(huán)境。根據(jù)河北省交通廳的要求，利用現(xiàn)代化的高新科技技術(shù)，實(shí)現(xiàn)工作的高效性、安全性、可靠性、靈活性等，把單位內(nèi)部建設(shè)成為自動(dòng)化的局域網(wǎng)，從而使整個(gè)網(wǎng)絡(luò)系統(tǒng)既適應(yīng)現(xiàn)代化科技發(fā)展的環(huán)境，又符合單位信息網(wǎng)技術(shù)體制。借助于四通八達(dá)的信息網(wǎng)絡(luò)，跨地域、跨國(guó)界的實(shí)時(shí)信息交流日益改變著人們的生產(chǎn)、生活方式。信息技術(shù)、信息產(chǎn)業(yè)已成為國(guó)家經(jīng)濟(jì)增長(zhǎng)、科技（軍事、教育、科研等）發(fā)展的最重要源泉，是國(guó)民經(jīng)濟(jì)發(fā)展新的增長(zhǎng)點(diǎn)，它們以其特有的滲透力和影響力，對(duì)其它產(chǎn)業(yè)的發(fā)展起到增值器和加速器的作用，信息將成為決定 21 世紀(jì)人類生活質(zhì)量和綜合國(guó)力的首要因素。 河北省交通廳網(wǎng)絡(luò)系統(tǒng)工程建設(shè)目標(biāo)依據(jù)交通部和交通廳有關(guān)文件精神中對(duì)交通信息化“三網(wǎng)一庫(kù)”描述的要求，考慮到國(guó)內(nèi)信息化技術(shù)的現(xiàn)狀和未來(lái)的發(fā)展趨勢(shì)，針對(duì)河北省的交通信息化的現(xiàn)狀，本次網(wǎng)絡(luò)工程的建設(shè)目標(biāo)主要是建立一個(gè)廳機(jī)關(guān)內(nèi)部系統(tǒng)信息網(wǎng)絡(luò)，實(shí)現(xiàn)單位內(nèi)部計(jì)算機(jī)聯(lián)網(wǎng)及資源共享，實(shí)施單位內(nèi)部辦公自動(dòng)化系統(tǒng)，滿足交通廳直屬單位、交通部以及省政府之間聯(lián)網(wǎng)辦公。高性能和良好的服務(wù)質(zhì)量建設(shè)一個(gè)高性能和良好服務(wù)質(zhì)量的網(wǎng)絡(luò)是保證網(wǎng)絡(luò)真正能夠?qū)嵱没?，真正能服?wù)于河北省交通廳的必要條件。因此在本次網(wǎng)絡(luò)建設(shè)中將對(duì)網(wǎng)絡(luò)的可擴(kuò)充性和靈活性進(jìn)行充分考慮。3 / 87安全性網(wǎng)絡(luò)設(shè)計(jì)中我們將對(duì)網(wǎng)絡(luò)的安全性進(jìn)行重點(diǎn)考慮，將采用切實(shí)有效的系統(tǒng)安全、數(shù)據(jù)安全和網(wǎng)絡(luò)安全措施和一套網(wǎng)絡(luò)安全實(shí)施建議，以保障網(wǎng)絡(luò)的安全。 （注：1000BaseCX 為 150 歐姆、平衡屏蔽的特殊電纜集合，線速，使用基于光通道的 8B/10B 編碼方式，其時(shí)間幀與光纖連接相同。它與 的中繼器（repeater）不同，允許在轉(zhuǎn)發(fā)到達(dá)各鏈路的幀之前先加以緩沖。同時(shí)為 10/100/1000 Mbps 開(kāi)發(fā)的虛擬網(wǎng)標(biāo)準(zhǔn) 以及優(yōu)先級(jí)標(biāo)準(zhǔn) 都已推廣，千兆網(wǎng)已成為構(gòu)成網(wǎng)絡(luò)主干的主流技術(shù)。千兆位以太網(wǎng)將保留 和以太網(wǎng)幀格式以及 受管理的對(duì)象規(guī)格，從而將使企業(yè)能夠在升級(jí)至千兆性能的同時(shí)，保留現(xiàn)有的線纜、操作系統(tǒng)、協(xié)議、桌面應(yīng)用程序和網(wǎng)絡(luò)管理戰(zhàn)略與工具。 路由器技術(shù)所謂路由就是指通過(guò)相互連接的網(wǎng)絡(luò)把信息從源地點(diǎn)移動(dòng)到目標(biāo)地點(diǎn)的活動(dòng)。這一區(qū)別決定了路由和交換在移動(dòng)信息的過(guò)程中需要使用不同的控制信息，所以兩者實(shí)現(xiàn)各自功能的方式是不同的。作為不同網(wǎng)絡(luò)之間互相連接的樞紐，路由器系統(tǒng)構(gòu)成了基于 TCP/IP 的國(guó)際互連網(wǎng)絡(luò) Inter 的主體脈絡(luò)，也可以說(shuō)，路由器構(gòu)成了 Inter 的骨架。選擇通暢快捷的近路，能大大提高通信速度，減輕網(wǎng)絡(luò)系統(tǒng)通信負(fù)荷，節(jié)約網(wǎng)絡(luò)系統(tǒng)資源，提高網(wǎng)絡(luò)系統(tǒng)暢通率，從而讓網(wǎng)絡(luò)系統(tǒng)發(fā)揮出更大的效益來(lái)。對(duì)于每一個(gè)接收到的數(shù)據(jù)包，路由器都會(huì)重新計(jì)算其校驗(yàn)值，并寫入新的物理地址。從總體上說(shuō)，在網(wǎng)絡(luò)中添加路由器的整個(gè)安裝過(guò)程要比即插即用的交換機(jī)復(fù)雜很多。為了完成這項(xiàng)工作，在路由器中保存著各種傳輸路徑的相關(guān)數(shù)據(jù)——路徑表（Routing Table） ，供路由選擇時(shí)使用。2．動(dòng)態(tài)路徑表動(dòng)態(tài)（Dynamic）路徑表是路由器根據(jù)網(wǎng)絡(luò)系統(tǒng)的運(yùn)行情況而自動(dòng)調(diào)整的路徑表。這些協(xié)議要能在每個(gè)端口上運(yùn)行。許多現(xiàn)有的企業(yè)網(wǎng)絡(luò)都是由 Hub 或網(wǎng)橋連接起來(lái)的以太網(wǎng)段。但是路由器的每端口造價(jià)要貴些，并且在能夠使用之前要進(jìn)行大量的配置工作。它們還要支持防火墻、包過(guò)濾以及大量的管理和安全策略以及 VLAN。這些技術(shù)對(duì)所有骨干路由器而言差不多是標(biāo)準(zhǔn)的。不管是輸入緩沖還是輸出緩沖路由器，都存在路由查找的瓶頸問(wèn)題。太比特路由器技術(shù)現(xiàn)在還主要處于開(kāi)發(fā)實(shí)驗(yàn)階段。端口通常由線卡提供，一塊線卡一般支持 8 或 16 個(gè)端口，一個(gè)輸入端口具有許多功能。第四，端口可能需要運(yùn)行諸如 SLIP（串行線網(wǎng)際協(xié)議）和 PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）這樣的數(shù)據(jù)鏈路級(jí)協(xié)議或者諸如 PPTP（點(diǎn)對(duì)點(diǎn)隧道協(xié)議）這樣的網(wǎng)絡(luò)級(jí)協(xié)議。交換開(kāi)關(guān)可以使用多種不同的技術(shù)來(lái)實(shí)現(xiàn)。如果一個(gè)交叉是閉合，輸入總線上的數(shù)據(jù)在輸出總線上可用，否則不可用。輸出端口在包被發(fā)送到輸出鏈路之前對(duì)包存貯，可以實(shí)現(xiàn)復(fù)雜的調(diào)度算法以支持優(yōu)先級(jí)等要求。 交換機(jī)技術(shù)以太網(wǎng)交換機(jī)，英文為 SWITCH，也有人翻譯為開(kāi)關(guān)，交換器或稱交換式集線器。目前大多數(shù)交換式以太網(wǎng)都具有 100MBPS 的端口，通過(guò)與之相對(duì)應(yīng)的 100MBPS 的網(wǎng)卡接入到服務(wù)器上，暫時(shí)解決了 10MBPS 的瓶頸，成為網(wǎng)絡(luò)局域網(wǎng)升級(jí)時(shí)首選的方案。直通式（cut throuth ）與存儲(chǔ)轉(zhuǎn)發(fā)（storeandforward）的比較：直通方式的以太網(wǎng)絡(luò)交換機(jī)可以理解為在各端口間是縱橫交叉的線路矩陣電話交換機(jī)。正因如此，存儲(chǔ)轉(zhuǎn)發(fā)方式在數(shù)據(jù)處理時(shí)延時(shí)大，這是它的不足，單是它可以對(duì)進(jìn)入交換機(jī)的數(shù)據(jù)包進(jìn)行錯(cuò)誤檢測(cè)，尤其重要的是它可以支持不同速度的輸入輸出端口間的轉(zhuǎn)換，保持高速端口與低速端口間的協(xié)同工作。 同 一 個(gè) VLAN 中 的 端 口 可 以 接 受 VLAN 中 的 廣 播 包 ， 別 的 VLAN 中 的 端 口 則 接 收 不 到 。 在 不 同 VLAN 中 移 動(dòng) 的 終 端 ， 則 它 可 以 獲 得 新 的 VLAN 定 義 。 這 個(gè) 特 征 限 定 了 只 在 VLAN 中 的 端 口 才 有 廣 播 、 多 播 通 信 。 VLAN 可 以 限 制 廣 播 域 的 用 戶 數(shù) ， 控 制 VLAN 的 大 小 和 組 成 ， 也 可 以 控 制 廣 播 域 的 相 應(yīng) 特 性 。 VTP 在 系 統(tǒng) 級(jí) 管 理 VLAN 的 增 加 、 刪 除 、 調(diào) 整 ， 自 動(dòng) 地 將 信 息 向 網(wǎng) 絡(luò) 中 其 他 的 交 換 機(jī) 廣 播 。 例 如 ： 當(dāng) 網(wǎng) 絡(luò) 增 加 了 一 個(gè) VLAN， VTP 將 廣 播 這 個(gè) 新 的 VLAN， 服 務(wù) 器 和 客 戶 機(jī) 的 Trunk 網(wǎng) 絡(luò) 端 口 就 準(zhǔn) 備 接 收 信 息 。 當(dāng) 設(shè) 備 啟 動(dòng) 時(shí) ， 它 會(huì) 通 過(guò) Trunk 網(wǎng) 絡(luò) 端 口 接 受 廣 播 信 息 ， 學(xué) 習(xí) 配 置 信 息 。 需 要 注 意 的 是 ， 如 果 交 換 在 VTP 服 務(wù) 器 模 式 接 收 廣 播 包 含 128 個(gè) VLAN， 則 交 換 自 動(dòng) 地 轉(zhuǎn) 換 向 VTP 客 戶 模 式 。 在 一 個(gè) VTP 管 理 域 登 記 后 交 換 機(jī) 才 能 工 作 。 VTP 信 息 在 全 部 Trunk 連 接 上 傳 輸 ， 包 括 ISL、 、 LANE。 生 成 樹(shù) 協(xié) 議 — —STP　 STP(Spanning  Tree protocol) 能 夠 提 供 路 徑 冗 余 ， 使 用 STP 可 以 使 兩 個(gè) 終 端 中 只 有 一 條 有 效 路 徑 。 12 / 87當(dāng) 創(chuàng) 建 網(wǎng) 絡(luò) 時(shí) ， 網(wǎng) 絡(luò) 中 所 有 節(jié) 點(diǎn) 存 在 多 條 路 徑 。 網(wǎng)絡(luò)安全及保密1. 網(wǎng)絡(luò)安全概述以 Inter 為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如黨政部門信息系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、企業(yè)商務(wù)系統(tǒng)等。 盡管，開(kāi)放的、自由的、國(guó)際化的 Inter 的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位帶來(lái)了革命性的改革和開(kāi)放，使得他們能夠利用 Inter 提高辦事效率和市場(chǎng)反應(yīng)能力，以便更具競(jìng)爭(zhēng)力。機(jī)密性：確保信息不暴露給未授權(quán)的實(shí)體或進(jìn)程?？蓪彶樾裕簩?duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段。），信息在存儲(chǔ)介質(zhì)中丟失或泄漏，通過(guò)建立隱蔽隧道等竊取敏感信息等。安全策略14 / 87安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)。安全技術(shù)：防火墻技術(shù)、加密技術(shù)、鑒別技術(shù)、數(shù)字簽名技術(shù)、審計(jì)監(jiān)控技術(shù)、病毒防治技術(shù)。安全工作目的安全工作的目的就是為了在安全法律、法規(guī)、政策的支持與指導(dǎo)下，通過(guò)采用合適的安全技術(shù)與安全管理措施，完成以下任務(wù)：①使用訪問(wèn)控制機(jī)制，阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)，即“進(jìn)不來(lái)”，從而保證網(wǎng)絡(luò)系統(tǒng)的可用性。2．網(wǎng)絡(luò)安全體系結(jié)構(gòu)通過(guò)對(duì)網(wǎng)絡(luò)的全面了解，按照安全策略的要求及風(fēng)險(xiǎn)分析的結(jié)果，整個(gè)網(wǎng)絡(luò)措施應(yīng)按系統(tǒng)體系建立。主要包括三個(gè)方面：☆環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)（參見(jiàn)國(guó)家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》國(guó)標(biāo) GB2887－89《計(jì)算站場(chǎng)地技術(shù)條件》、GB9361－88《計(jì)算站場(chǎng)地安全要求》）☆設(shè)備安全：主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等； ☆ 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。這對(duì)重要的政策、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)，都將成為首要設(shè)置的條件?！顚?duì)終端設(shè)備輻射的防范 終端機(jī)尤其是 CRT 顯示器,由于上萬(wàn)伏高壓電子流的作用，輻射有極強(qiáng)的信號(hào)外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來(lái)防止，故現(xiàn)在的要求除在訂購(gòu)設(shè)備上盡量選取低輻射產(chǎn)品外，目前主要采取主動(dòng)式的干擾設(shè)備如干擾機(jī)來(lái)破壞對(duì)應(yīng)信息的竊復(fù)，個(gè)別重要的首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，此類雖降低了部份屏蔽效能但可大大改善工作環(huán)境，使人感到在普通機(jī)房?jī)?nèi)一樣工作。只有滿足過(guò)濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。應(yīng)該強(qiáng)調(diào)的是，防火墻是整體安全防護(hù)體系的一個(gè)重要組成部分，而不是全部。針對(duì)某些網(wǎng)絡(luò)，在某些情況下，它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任，或者某個(gè)網(wǎng)段比另一個(gè)更敏感。網(wǎng)絡(luò)安全檢測(cè)工具通常是一個(gè)網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，建議補(bǔ)求措施和安全策略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的。同時(shí)，系統(tǒng)事件的記錄能夠更迅速和系統(tǒng)地識(shí)別問(wèn)題，并且它是后面階段事故處理的重要依據(jù)。網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)：☆預(yù)防病毒技術(shù)：它通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。 網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)；在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文件設(shè)置訪問(wèn)權(quán)限等。 一般的數(shù)據(jù)備份操作有三種。“冷備份”是指“不在線”的備份，下載的備份存放到安全的存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)行的整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒(méi)有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝，有一部分原始的數(shù)據(jù)長(zhǎng)期保存并作為查詢使用。 在進(jìn)行備份的過(guò)程中，常使用備份軟件，它一般應(yīng)具有以下功能。一是只有該主體了解的秘密，如口令、密鑰；二是主體攜帶的物品，如智能卡和令牌卡；三是只有該主體具有的獨(dú)一無(wú)二的特征或能力，如指紋、聲音、視網(wǎng)膜或簽字等?？诹钣卸喾N，如一次性口令，系統(tǒng)生成一次性口令的清單，第一次時(shí)必須使用 X，第二次時(shí)必20 / 87須使用 Y，第三次時(shí)用 Z,這樣一直下去；還有基于時(shí)間的口令，即訪問(wèn)使用的正確口令隨時(shí)間變化，變化基于時(shí)間和一個(gè)秘密的用戶鑰匙。智能卡大小形如信用卡，一般由微處理器、存儲(chǔ)器及輸入、輸出設(shè)施構(gòu)成。若僅有卡而不知 PIN 碼，則不能進(jìn)入系統(tǒng)。2 數(shù)據(jù)傳輸安全系統(tǒng)： 數(shù)據(jù)傳輸加密技術(shù) 目的是對(duì)傳輸中的數(shù)據(jù)流加密，以防止通