【正文】 建議使用昂貴的路由器去完成 IP 子網的通信，而應采用性能價格比較高的第三層交換機去實現(xiàn)分布式的交換 。 VLAN 之間的安全及網絡優(yōu)先級控制 在西南師范大學網絡改造工程中，所有選擇的 Cisco 交換機都支持VLAN 功能，這樣，可以將具有同一安全級別的用戶劃分到一個 VLAN中，這樣，不同 VLAN 之間的用戶不能直接訪問，保證了網絡系統(tǒng)的安全性。對于傳輸隊列，每個傳輸隊列有兩個丟棄門檻，用戶可以將指定的優(yōu)先級賦予指定隊列的丟棄門檻上，在該隊列到達指定的門檻時，交換機就開始丟棄指定優(yōu)先級的數(shù)據(jù)包。對于 IP數(shù)據(jù)包，可設置一個 QoS ACL（訪問控制列表）來定義一個應用，對于這類 IP 數(shù)據(jù)包，可設置每個數(shù)據(jù)流的帶寬或這類數(shù)據(jù)流的總帶寬。對于非 IP 數(shù)據(jù)包，同樣可以設置一個 QoS ACL 來定義一個應用 ,每個應用的 QoS 參數(shù)可設置為信任 COS 方式和非信任方式，其處理過程同 IP數(shù)據(jù)包的 COS 方式和非信任方式一樣。 用戶記帳：當用戶成功登錄到網絡中后， Cisco 路由器將對網絡流量進 行 監(jiān) 控 ， 執(zhí) 行 安 全 策 略 ， 并 產 生 詳 細 的 審 記 記 錄 到TACACS/RADIUS/KerberosV 服務器，可以對用戶行為進行事后跟蹤。 安全網絡是整個系統(tǒng)安全的第一層防護，在本系統(tǒng)中，網絡安全通過以下二個方面來實現(xiàn)： 1．網絡設備安全； 2．網絡數(shù)據(jù)流控制； 網絡設備安全 要實現(xiàn)網絡的安全，首先要保證網絡設備本身的安全性。 3．在采用具有高度安全性的、專用的、獨立防火墻產品，它有自己的操作系統(tǒng)，而不象一般的防火墻產品基于某種特定的操作系統(tǒng)之上，免于受操作系統(tǒng)缺陷的影響。 《西南師范大學校園網升級擴建項目》投標書 35 第四章、服務器系統(tǒng)設計 服務器系統(tǒng)設計原則 服務器是提供服務的核心部件，需要提供 7 24 不間斷的訪問服務，因而對服務器選擇就顯得尤為重要。 、高效、開放的特點。 ，同時服務器硬件和操作系統(tǒng)升級不會影響數(shù)據(jù)庫管理系統(tǒng)和應用軟件的運行。 服務器操作系統(tǒng)介紹 操作系統(tǒng)是軟件平臺的核心，可稱為操作平臺。因此，應充分認清國際國內主流趨勢，做好 NOS 的選型工作。 UNIX 是唯一能從便攜機到大型機全型譜系列通用的操作系統(tǒng)?，F(xiàn)就這三種 NOS 作些分析比較。 NT 即能充當 NOS，又能充當客戶機操作系統(tǒng)，網絡節(jié)點間可以不通過服務器直接交換數(shù)據(jù)，開銷合理且運行效應較高。 UNIX、 NT 和 NetWare 都是真正的多任務系統(tǒng)。 TCP/IP 是當今世界上應用最廣而不基于任何特定硬件平臺的網絡通訊協(xié)議。此外，當前版本 NetWare 在大型機與客戶機兩級上對 TCP/IP 提供支持。 UNIX 和 NT 均已達到 C2 級安全標準；目前， 也開《西南師范大學校園網升級擴建項目》投標書 39 始執(zhí)行 C2 級安全規(guī)范。 7)市場分配情況 從整體性能及技術發(fā)展水平看， NT 足以與 UNIX 相抗衡。 服務器系統(tǒng)設計 我們建議用戶采用現(xiàn)有的服務器實現(xiàn) DNS 服務器、 WEB 服務器、Email 服務器、 BBS 等其他的 Inter 服務項目。 其物理連接如圖所示： 每個節(jié)點配置為雙路 64 位 POWER3II 375 CPU(8MB L2 Cache)，512MB 內存， 系統(tǒng) 硬盤，運行 64 位 AIX 操作系統(tǒng)。 IBM/RS6000 SP 服務器系統(tǒng)的技術特點 IBMRS/6000 是業(yè)界領先的 UNIX 系統(tǒng)平臺， SP 并行處理機則是RS/6000 產品系列中最高檔的機種，也是世界多數(shù)大型企業(yè)廣泛使用的主機。 SP 系統(tǒng)中可以有很多個節(jié)點，這些節(jié)點可以完成并行，串行，批處理不同的任務，而對于最終用戶而言， SP 是一個系統(tǒng)，所以，安裝，管理簡單易行。 SP 在數(shù)據(jù)庫與計算上有高可擴展性，而高可擴展性對商業(yè)智能、數(shù)據(jù)倉庫應用至關重要，目前，已經有許多用戶使用超過 1TB 數(shù)據(jù)量的 SP 系統(tǒng)從事數(shù)據(jù)倉庫 應用。該系統(tǒng)針對高性能和可伸縮性而設計，適合處理以大規(guī)模數(shù)據(jù)處理和密集型計算為特征的應用。 SP 主控臺監(jiān)控功能如下： (1)動態(tài)實時顯示整體系統(tǒng)運轉狀況（包括電流、電壓、溫度、風扇轉速、網絡等）并于系統(tǒng)異常時于在控制臺上提供報警功能 。 《西南師范大學校園網升級擴建項目》投標書 44 SP 系統(tǒng)的基本模塊是處理器節(jié)點，它由 POWER3 對稱多處理器(SMP)、 PowerPCSMP 或 POWER2SuperChip(P2SC)單處理器，內存，用于 I/O 和網絡連接的 PCI 或微通 道擴展槽，以及磁盤存儲設備組成。該系統(tǒng)作為世界上運算速度最快的計算機已于 1998 年 10 月交付使用，它將執(zhí)行模擬預測美國核武器儲備的性能、安全性、可靠性和制造能力所要求的復雜計算。該系統(tǒng)已經平穩(wěn)地擴展，隨著 Schwab 的事務處理從最初的 10 個節(jié)點，擴展到了目前的 60 個節(jié)點，該系統(tǒng)已經為 152 萬顧客提供了在線服務?！段髂蠋煼洞髮W校園網升級擴建項目》投標書 45 美國國家氣象局的國家環(huán)境預報中心使用 SP 系統(tǒng)來處理更復雜的大氣和海洋模型，以改進全國天氣、洪水和氣候預報。這些服務器的獨特性能特別適合于在線事務處理應用。這些特點使 S70與 S70A服務器成為三層電子商務環(huán)境中數(shù)據(jù)存儲的選擇（三層環(huán)境中的第三層）， 332MHz SMP 節(jié)點可用作中間級（第二層）。 SP 網關將 Ascend GRFTM 與 IBM SP Switch Router Adapter 結合在一起，允許將網絡直接附接到 SP Switch。 《西南師范大學校園網升級擴建項目》投標書 46 SP 系統(tǒng)還可以使磁盤 I/O 與處理器和內存進行近似于線性的擴展。每個介質卡都有其自己的硬件引擎 ，允許 SP I/O 功能與卡的數(shù)目呈線性擴展。 SP Switch 是 IBM 的最新發(fā)明，它在每個節(jié)點對間提供了高達 160MB/秒的雙向數(shù)據(jù)傳輸速度。非常適合處理與企業(yè)資源規(guī)劃相關的任務。這臺超級計算機將建立在 POWER3 節(jié)點上并安裝在 SanDiego 超級計算機中心，它將幫助研究人員處理復雜計算問題，例如人腦秘密破解、氣候模擬和了解宇宙的起源。將顧客旅行 信息輸入 SP 系統(tǒng)以計算最有利可圖的航線，在這些航線上飛行的顧客分布以及收取多少費用。 CharlesSchwabamp。這些機柜可以通過內部互連組成一個多達 512 個節(jié)點的系統(tǒng)。 (3)遠程系統(tǒng)控制臺信息顯示及 操作控制功能（可透過區(qū)域及廣域網路 )； (4)提供整體系統(tǒng)測試及功能驗證的功能（ Testing and Verification)。在系統(tǒng)管理上，管理員通過并行系統(tǒng)支持程序 (PSSP)，在主控臺上實現(xiàn)了對 SP 的單點控制，即整個 SP 系統(tǒng)對于管理員來說，就象管理一臺機器一樣。包括公司、大學和研究所在內的科學和技術計算用戶使用 SP 系統(tǒng)進行廣泛的前沿應用，范圍涉及地震預報、計算流體力學、工程分析 /設計和醫(yī)學仿真，以及像全球氣候模擬這樣的尖端問題也包括在內。 SP 自 1993 年推出以來，深受不同客戶的 青睞，分布在世界各地的數(shù)《西南師范大學校園網升級擴建項目》投標書 42 千家用戶都安裝了 SP 系統(tǒng)，該系統(tǒng)為從商務挑戰(zhàn)到最復雜的尖端運算等各種問題提供了解決方案。 SP 系統(tǒng)多個并行在一起的計算機 (在此稱為節(jié)點 )組成，其節(jié)點數(shù)可以由 2 個一直擴充到 512，每一個節(jié)點都是 RS/6000 的單 CPU 或SMP(最多可以有 12 個 CPU)服務器。 磁盤陣列柜 7133 的磁盤容量配置為 6 塊 硬盤，配置成 RAID5磁盤陣列，提高系統(tǒng)的可靠性及安全性。 《西南師范大學校園網升級擴建項目》投標書 40 數(shù)據(jù)庫服務器、科學計算服務器采用如下方案（ VOD 服務器請參見第 5 章）。對于大型企業(yè)的關鍵應用，幾乎沒有采用 NT的，如銀行、證券、保險等部門目前都使用 UNIX。 UNIX 從 70 年代開始統(tǒng)治多用戶主機市場， Netware 從 80 年代開始統(tǒng)治 LAN 市場，各領風騷。 UNIX 和 NT 都以犧牲速度為代價去換取數(shù)據(jù)保護；而 NetWare 則舍去保護以追求速度，這就可能導致整個服務器崩潰的現(xiàn)象，這是 NetWare 的最大缺陷。好在目前已形成這樣一個規(guī)則，即 TCP/IP 同 Novell的開放數(shù)據(jù)鏈路接口 (ODI)以及 Microsoft 的網絡驅動程序接口規(guī)范 (NDIS)相互兼容，這就使得 UNIX、 NT 和 NetWare 三種主流網絡環(huán)境可以共存。 NetWare 是非優(yōu)先多任務系統(tǒng)，依賴于應用自愿放棄對 CPU 的讀寫控制，這種應用獨占資源方式對緊急任務的處理非常不利。NetWare 在整體性能上具有優(yōu)勢，運行速度和效率很高，開銷較小，并具有很好的三級容 錯能力。 UNIX 為了適應 C/S 模式而作了結構修補，對客戶端 DOS 和Windows 采取仿真和兼容方式。 NetWare 適用于基于 Intelx86 和 Pentium 芯片的 PC 機。小型機和 RISC工作站上的 UNIX系統(tǒng)幾乎都是專有廠商的 UNIX 變種，如 HP 的 HPUX、 IBM 的 AIX、 SUN的 SOLARIS 和 Compaq 的 DigitalUnix。 NOS 是網絡用戶與計算機網絡之間的接口，它所具備的功能和性能，在很大程度上決定了網絡系統(tǒng)的整體水平，同時，也大體上決定了應用及技術發(fā)展方向。 7．標準的 64 位處理技術。能夠保證軟件的可移植性。 選擇服務器時應考慮以下幾個因素： （ SMP），處理能力能夠滿足當前以及將來業(yè)務發(fā)展的需要。虛擬之間，我們可以通過路由器的訪問控制表來控制對某個特定網絡和主機的訪問。在路由器、交換機、訪問服務器和防火墻上，自身的安全措施包括 console 端口和 Tel 訪問限制、 SNMP 訪問與 CDP 設備發(fā)現(xiàn)限制、配置文件保護等，具體實施內容包括： 1．要在設備上設定用戶和口令，控制非特權方式和特權方式的訪問權，并且通過設定口令的加密鑰和網絡設備的單向加密機制，使用權口令在配置中以加密方式出現(xiàn)，保證口令的安全性； 2．要設定訪問空間時限，如果管理員在設定的一段時間內（如 5 秒）不使用，路由器等設備將自動終止訪問連接； 3．在設備上配置訪問控制表，限制內部網絡上只有維護工作站和網《西南師范大學校園網升級擴建項目》投標書 32 管工作站可以登錄該網絡設備，同時限制所有來自 Inter 的用戶對設備本身的訪問（包括 PING、 Tel、 Discard、 Echo、 SNMP 等）；限制內部網絡上，只有網管工作站可以使用 SNMP 訪問； 4．除了 Tel 服務外，在設備上取消全部 IP 服務器功能，包括 Rlogin、Rsh、 HTTP 服務器等； 5．制定制度規(guī)定，系統(tǒng)管理員不能通過 Inter 嘗試對 Inter 入口上的路由器、防火墻、進行 Tel 訪問，防止 Inter 上黑客通過特洛伊木馬騙取口令或在網絡上截取口令； 6．利用訪問控制表的 LOG 功能，定期檢查是否有人試圖攻擊路由日歷和防火墻等； 7．在與外部網絡連接的廣域網端口上，不運行 CDP 協(xié)議； 8．在 WindowsNT 或 UNIX 服務器上安裝一個 RADIUS 服務程序，跟蹤 Inter 上黑客對路由器配置的篡改活動； 9．嚴格管理所有路由器、交換機的配置的存放，如果是電子文本，注意其訪問控制權； 10．保證所有網絡設備的物理安全性，防止無關人員接觸網絡設備。網絡安全主要實現(xiàn)《西南師范大學校園網升級擴建項目》投標書 31 在網絡的在 TCP/IP 及以下層次上，控制只有獲得授權的用戶與系統(tǒng)中允許他訪問的內閣點，在指定的 TCP 或 UDP 端口上進行通信。具體描述如下： 身份認證：采用 TACACS+、 RADIUS 或 KerberosV 服務器對用戶身份進行認證，認證方法為用戶 /口令方式。交換引擎判斷其帶寬是否超出后，進行相應處理，如果沒有超出允許帶寬，將 DSCP參數(shù)轉換為響應的 COS 參數(shù)，送入發(fā)送隊列。 Cisco IOS 除了支持 Port Qos 外， Cisco IOS 還支持 Qos ACL 功能，用戶可根據(jù)不同的應用設置優(yōu)先級，從而保證實時視頻數(shù)據(jù)具有較高的優(yōu)先級。 在 Cisco 交換機產品中支持 信令來實現(xiàn)網絡數(shù)據(jù)的優(yōu)先級控制，在 Cisco 交換機中，每個端口可以設置為信任端口和非信任端口，信《西南師范大學校園網升級擴建項目》投標書 29 任端口接收端口數(shù)據(jù)包中的優(yōu)先級參數(shù)，對于非信任端口， Cisco 對接收到的數(shù)據(jù)包，采用端口設置的確省優(yōu)先級參數(shù)。 基于硬件 (ASIC Based)的第三層交換 ： 由于 ASIC 芯片技術的不斷發(fā)展，現(xiàn)在已完全可以把傳統(tǒng)的路由軟件寫入 ASIC 芯片去完成線速第三層交換，其典型第三層交換速度在100Mpps 以上，這種技術完全基于傳統(tǒng)路由算法，是基于標準的技術，不存在產品互聯(lián)性的問題。 VLAN 之間的高速路由 由于 VLAN 屬于一個廣播域，因此，各個 VLAN 網段屬于不同的網段，各個 VLAN 之間的通訊必須通過第三層處理來完