【正文】 建議使用昂貴的路由器去完成 IP 子網(wǎng)的通信，而應(yīng)采用性能價(jià)格比較高的第三層交換機(jī)去實(shí)現(xiàn)分布式的交換 。 VLAN 之間的安全及網(wǎng)絡(luò)優(yōu)先級控制 在西南師范大學(xué)網(wǎng)絡(luò)改造工程中，所有選擇的 Cisco 交換機(jī)都支持VLAN 功能，這樣，可以將具有同一安全級別的用戶劃分到一個 VLAN中，這樣，不同 VLAN 之間的用戶不能直接訪問，保證了網(wǎng)絡(luò)系統(tǒng)的安全性。對于傳輸隊(duì)列，每個傳輸隊(duì)列有兩個丟棄門檻，用戶可以將指定的優(yōu)先級賦予指定隊(duì)列的丟棄門檻上，在該隊(duì)列到達(dá)指定的門檻時(shí)，交換機(jī)就開始丟棄指定優(yōu)先級的數(shù)據(jù)包。對于 IP數(shù)據(jù)包，可設(shè)置一個 QoS ACL（訪問控制列表）來定義一個應(yīng)用，對于這類 IP 數(shù)據(jù)包，可設(shè)置每個數(shù)據(jù)流的帶寬或這類數(shù)據(jù)流的總帶寬。對于非 IP 數(shù)據(jù)包，同樣可以設(shè)置一個 QoS ACL 來定義一個應(yīng)用 ,每個應(yīng)用的 QoS 參數(shù)可設(shè)置為信任 COS 方式和非信任方式，其處理過程同 IP數(shù)據(jù)包的 COS 方式和非信任方式一樣。 用戶記帳：當(dāng)用戶成功登錄到網(wǎng)絡(luò)中后， Cisco 路由器將對網(wǎng)絡(luò)流量進(jìn) 行 監(jiān) 控 ， 執(zhí) 行 安 全 策 略 ， 并 產(chǎn) 生 詳 細(xì) 的 審 記 記 錄 到TACACS/RADIUS/KerberosV 服務(wù)器，可以對用戶行為進(jìn)行事后跟蹤。 安全網(wǎng)絡(luò)是整個系統(tǒng)安全的第一層防護(hù)，在本系統(tǒng)中，網(wǎng)絡(luò)安全通過以下二個方面來實(shí)現(xiàn)： 1．網(wǎng)絡(luò)設(shè)備安全； 2．網(wǎng)絡(luò)數(shù)據(jù)流控制； 網(wǎng)絡(luò)設(shè)備安全 要實(shí)現(xiàn)網(wǎng)絡(luò)的安全，首先要保證網(wǎng)絡(luò)設(shè)備本身的安全性。 3．在采用具有高度安全性的、專用的、獨(dú)立防火墻產(chǎn)品，它有自己的操作系統(tǒng)，而不象一般的防火墻產(chǎn)品基于某種特定的操作系統(tǒng)之上，免于受操作系統(tǒng)缺陷的影響。 《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 35 第四章、服務(wù)器系統(tǒng)設(shè)計(jì) 服務(wù)器系統(tǒng)設(shè)計(jì)原則 服務(wù)器是提供服務(wù)的核心部件，需要提供 7 24 不間斷的訪問服務(wù)，因而對服務(wù)器選擇就顯得尤為重要。 、高效、開放的特點(diǎn)。 ，同時(shí)服務(wù)器硬件和操作系統(tǒng)升級不會影響數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用軟件的運(yùn)行。 服務(wù)器操作系統(tǒng)介紹 操作系統(tǒng)是軟件平臺的核心，可稱為操作平臺。因此，應(yīng)充分認(rèn)清國際國內(nèi)主流趨勢，做好 NOS 的選型工作。 UNIX 是唯一能從便攜機(jī)到大型機(jī)全型譜系列通用的操作系統(tǒng)?，F(xiàn)就這三種 NOS 作些分析比較。 NT 即能充當(dāng) NOS，又能充當(dāng)客戶機(jī)操作系統(tǒng)，網(wǎng)絡(luò)節(jié)點(diǎn)間可以不通過服務(wù)器直接交換數(shù)據(jù)，開銷合理且運(yùn)行效應(yīng)較高。 UNIX、 NT 和 NetWare 都是真正的多任務(wù)系統(tǒng)。 TCP/IP 是當(dāng)今世界上應(yīng)用最廣而不基于任何特定硬件平臺的網(wǎng)絡(luò)通訊協(xié)議。此外，當(dāng)前版本 NetWare 在大型機(jī)與客戶機(jī)兩級上對 TCP/IP 提供支持。 UNIX 和 NT 均已達(dá)到 C2 級安全標(biāo)準(zhǔn)；目前， 也開《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 39 始執(zhí)行 C2 級安全規(guī)范。 7)市場分配情況 從整體性能及技術(shù)發(fā)展水平看， NT 足以與 UNIX 相抗衡。 服務(wù)器系統(tǒng)設(shè)計(jì) 我們建議用戶采用現(xiàn)有的服務(wù)器實(shí)現(xiàn) DNS 服務(wù)器、 WEB 服務(wù)器、Email 服務(wù)器、 BBS 等其他的 Inter 服務(wù)項(xiàng)目。 其物理連接如圖所示： 每個節(jié)點(diǎn)配置為雙路 64 位 POWER3II 375 CPU(8MB L2 Cache)，512MB 內(nèi)存， 系統(tǒng) 硬盤，運(yùn)行 64 位 AIX 操作系統(tǒng)。 IBM/RS6000 SP 服務(wù)器系統(tǒng)的技術(shù)特點(diǎn) IBMRS/6000 是業(yè)界領(lǐng)先的 UNIX 系統(tǒng)平臺， SP 并行處理機(jī)則是RS/6000 產(chǎn)品系列中最高檔的機(jī)種，也是世界多數(shù)大型企業(yè)廣泛使用的主機(jī)。 SP 系統(tǒng)中可以有很多個節(jié)點(diǎn)，這些節(jié)點(diǎn)可以完成并行，串行，批處理不同的任務(wù)，而對于最終用戶而言， SP 是一個系統(tǒng)，所以，安裝，管理簡單易行。 SP 在數(shù)據(jù)庫與計(jì)算上有高可擴(kuò)展性，而高可擴(kuò)展性對商業(yè)智能、數(shù)據(jù)倉庫應(yīng)用至關(guān)重要，目前，已經(jīng)有許多用戶使用超過 1TB 數(shù)據(jù)量的 SP 系統(tǒng)從事數(shù)據(jù)倉庫 應(yīng)用。該系統(tǒng)針對高性能和可伸縮性而設(shè)計(jì)，適合處理以大規(guī)模數(shù)據(jù)處理和密集型計(jì)算為特征的應(yīng)用。 SP 主控臺監(jiān)控功能如下： (1)動態(tài)實(shí)時(shí)顯示整體系統(tǒng)運(yùn)轉(zhuǎn)狀況（包括電流、電壓、溫度、風(fēng)扇轉(zhuǎn)速、網(wǎng)絡(luò)等）并于系統(tǒng)異常時(shí)于在控制臺上提供報(bào)警功能 。 《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 44 SP 系統(tǒng)的基本模塊是處理器節(jié)點(diǎn)，它由 POWER3 對稱多處理器(SMP)、 PowerPCSMP 或 POWER2SuperChip(P2SC)單處理器，內(nèi)存，用于 I/O 和網(wǎng)絡(luò)連接的 PCI 或微通 道擴(kuò)展槽，以及磁盤存儲設(shè)備組成。該系統(tǒng)作為世界上運(yùn)算速度最快的計(jì)算機(jī)已于 1998 年 10 月交付使用，它將執(zhí)行模擬預(yù)測美國核武器儲備的性能、安全性、可靠性和制造能力所要求的復(fù)雜計(jì)算。該系統(tǒng)已經(jīng)平穩(wěn)地?cái)U(kuò)展，隨著 Schwab 的事務(wù)處理從最初的 10 個節(jié)點(diǎn)，擴(kuò)展到了目前的 60 個節(jié)點(diǎn)，該系統(tǒng)已經(jīng)為 152 萬顧客提供了在線服務(wù)?！段髂蠋煼洞髮W(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 45 美國國家氣象局的國家環(huán)境預(yù)報(bào)中心使用 SP 系統(tǒng)來處理更復(fù)雜的大氣和海洋模型，以改進(jìn)全國天氣、洪水和氣候預(yù)報(bào)。這些服務(wù)器的獨(dú)特性能特別適合于在線事務(wù)處理應(yīng)用。這些特點(diǎn)使 S70與 S70A服務(wù)器成為三層電子商務(wù)環(huán)境中數(shù)據(jù)存儲的選擇（三層環(huán)境中的第三層）， 332MHz SMP 節(jié)點(diǎn)可用作中間級（第二層）。 SP 網(wǎng)關(guān)將 Ascend GRFTM 與 IBM SP Switch Router Adapter 結(jié)合在一起，允許將網(wǎng)絡(luò)直接附接到 SP Switch。 《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 46 SP 系統(tǒng)還可以使磁盤 I/O 與處理器和內(nèi)存進(jìn)行近似于線性的擴(kuò)展。每個介質(zhì)卡都有其自己的硬件引擎 ，允許 SP I/O 功能與卡的數(shù)目呈線性擴(kuò)展。 SP Switch 是 IBM 的最新發(fā)明，它在每個節(jié)點(diǎn)對間提供了高達(dá) 160MB/秒的雙向數(shù)據(jù)傳輸速度。非常適合處理與企業(yè)資源規(guī)劃相關(guān)的任務(wù)。這臺超級計(jì)算機(jī)將建立在 POWER3 節(jié)點(diǎn)上并安裝在 SanDiego 超級計(jì)算機(jī)中心，它將幫助研究人員處理復(fù)雜計(jì)算問題，例如人腦秘密破解、氣候模擬和了解宇宙的起源。將顧客旅行 信息輸入 SP 系統(tǒng)以計(jì)算最有利可圖的航線，在這些航線上飛行的顧客分布以及收取多少費(fèi)用。 CharlesSchwabamp。這些機(jī)柜可以通過內(nèi)部互連組成一個多達(dá) 512 個節(jié)點(diǎn)的系統(tǒng)。 (3)遠(yuǎn)程系統(tǒng)控制臺信息顯示及 操作控制功能（可透過區(qū)域及廣域網(wǎng)路 )； (4)提供整體系統(tǒng)測試及功能驗(yàn)證的功能（ Testing and Verification)。在系統(tǒng)管理上，管理員通過并行系統(tǒng)支持程序 (PSSP)，在主控臺上實(shí)現(xiàn)了對 SP 的單點(diǎn)控制，即整個 SP 系統(tǒng)對于管理員來說，就象管理一臺機(jī)器一樣。包括公司、大學(xué)和研究所在內(nèi)的科學(xué)和技術(shù)計(jì)算用戶使用 SP 系統(tǒng)進(jìn)行廣泛的前沿應(yīng)用，范圍涉及地震預(yù)報(bào)、計(jì)算流體力學(xué)、工程分析 /設(shè)計(jì)和醫(yī)學(xué)仿真，以及像全球氣候模擬這樣的尖端問題也包括在內(nèi)。 SP 自 1993 年推出以來，深受不同客戶的 青睞，分布在世界各地的數(shù)《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 42 千家用戶都安裝了 SP 系統(tǒng)，該系統(tǒng)為從商務(wù)挑戰(zhàn)到最復(fù)雜的尖端運(yùn)算等各種問題提供了解決方案。 SP 系統(tǒng)多個并行在一起的計(jì)算機(jī) (在此稱為節(jié)點(diǎn) )組成，其節(jié)點(diǎn)數(shù)可以由 2 個一直擴(kuò)充到 512，每一個節(jié)點(diǎn)都是 RS/6000 的單 CPU 或SMP(最多可以有 12 個 CPU)服務(wù)器。 磁盤陣列柜 7133 的磁盤容量配置為 6 塊 硬盤，配置成 RAID5磁盤陣列，提高系統(tǒng)的可靠性及安全性。 《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 40 數(shù)據(jù)庫服務(wù)器、科學(xué)計(jì)算服務(wù)器采用如下方案（ VOD 服務(wù)器請參見第 5 章）。對于大型企業(yè)的關(guān)鍵應(yīng)用，幾乎沒有采用 NT的，如銀行、證券、保險(xiǎn)等部門目前都使用 UNIX。 UNIX 從 70 年代開始統(tǒng)治多用戶主機(jī)市場， Netware 從 80 年代開始統(tǒng)治 LAN 市場，各領(lǐng)風(fēng)騷。 UNIX 和 NT 都以犧牲速度為代價(jià)去換取數(shù)據(jù)保護(hù)；而 NetWare 則舍去保護(hù)以追求速度，這就可能導(dǎo)致整個服務(wù)器崩潰的現(xiàn)象，這是 NetWare 的最大缺陷。好在目前已形成這樣一個規(guī)則，即 TCP/IP 同 Novell的開放數(shù)據(jù)鏈路接口 (ODI)以及 Microsoft 的網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范 (NDIS)相互兼容，這就使得 UNIX、 NT 和 NetWare 三種主流網(wǎng)絡(luò)環(huán)境可以共存。 NetWare 是非優(yōu)先多任務(wù)系統(tǒng)，依賴于應(yīng)用自愿放棄對 CPU 的讀寫控制，這種應(yīng)用獨(dú)占資源方式對緊急任務(wù)的處理非常不利。NetWare 在整體性能上具有優(yōu)勢，運(yùn)行速度和效率很高，開銷較小，并具有很好的三級容 錯能力。 UNIX 為了適應(yīng) C/S 模式而作了結(jié)構(gòu)修補(bǔ)，對客戶端 DOS 和Windows 采取仿真和兼容方式。 NetWare 適用于基于 Intelx86 和 Pentium 芯片的 PC 機(jī)。小型機(jī)和 RISC工作站上的 UNIX系統(tǒng)幾乎都是專有廠商的 UNIX 變種，如 HP 的 HPUX、 IBM 的 AIX、 SUN的 SOLARIS 和 Compaq 的 DigitalUnix。 NOS 是網(wǎng)絡(luò)用戶與計(jì)算機(jī)網(wǎng)絡(luò)之間的接口，它所具備的功能和性能，在很大程度上決定了網(wǎng)絡(luò)系統(tǒng)的整體水平，同時(shí)，也大體上決定了應(yīng)用及技術(shù)發(fā)展方向。 7．標(biāo)準(zhǔn)的 64 位處理技術(shù)。能夠保證軟件的可移植性。 選擇服務(wù)器時(shí)應(yīng)考慮以下幾個因素： （ SMP），處理能力能夠滿足當(dāng)前以及將來業(yè)務(wù)發(fā)展的需要。虛擬之間，我們可以通過路由器的訪問控制表來控制對某個特定網(wǎng)絡(luò)和主機(jī)的訪問。在路由器、交換機(jī)、訪問服務(wù)器和防火墻上，自身的安全措施包括 console 端口和 Tel 訪問限制、 SNMP 訪問與 CDP 設(shè)備發(fā)現(xiàn)限制、配置文件保護(hù)等，具體實(shí)施內(nèi)容包括： 1．要在設(shè)備上設(shè)定用戶和口令，控制非特權(quán)方式和特權(quán)方式的訪問權(quán)，并且通過設(shè)定口令的加密鑰和網(wǎng)絡(luò)設(shè)備的單向加密機(jī)制，使用權(quán)口令在配置中以加密方式出現(xiàn)，保證口令的安全性； 2．要設(shè)定訪問空間時(shí)限，如果管理員在設(shè)定的一段時(shí)間內(nèi)（如 5 秒）不使用，路由器等設(shè)備將自動終止訪問連接； 3．在設(shè)備上配置訪問控制表，限制內(nèi)部網(wǎng)絡(luò)上只有維護(hù)工作站和網(wǎng)《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 32 管工作站可以登錄該網(wǎng)絡(luò)設(shè)備，同時(shí)限制所有來自 Inter 的用戶對設(shè)備本身的訪問（包括 PING、 Tel、 Discard、 Echo、 SNMP 等）；限制內(nèi)部網(wǎng)絡(luò)上，只有網(wǎng)管工作站可以使用 SNMP 訪問； 4．除了 Tel 服務(wù)外，在設(shè)備上取消全部 IP 服務(wù)器功能，包括 Rlogin、Rsh、 HTTP 服務(wù)器等； 5．制定制度規(guī)定，系統(tǒng)管理員不能通過 Inter 嘗試對 Inter 入口上的路由器、防火墻、進(jìn)行 Tel 訪問，防止 Inter 上黑客通過特洛伊木馬騙取口令或在網(wǎng)絡(luò)上截取口令； 6．利用訪問控制表的 LOG 功能，定期檢查是否有人試圖攻擊路由日歷和防火墻等； 7．在與外部網(wǎng)絡(luò)連接的廣域網(wǎng)端口上，不運(yùn)行 CDP 協(xié)議； 8．在 WindowsNT 或 UNIX 服務(wù)器上安裝一個 RADIUS 服務(wù)程序，跟蹤 Inter 上黑客對路由器配置的篡改活動； 9．嚴(yán)格管理所有路由器、交換機(jī)的配置的存放，如果是電子文本，注意其訪問控制權(quán)； 10．保證所有網(wǎng)絡(luò)設(shè)備的物理安全性，防止無關(guān)人員接觸網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)安全主要實(shí)現(xiàn)《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 31 在網(wǎng)絡(luò)的在 TCP/IP 及以下層次上，控制只有獲得授權(quán)的用戶與系統(tǒng)中允許他訪問的內(nèi)閣點(diǎn)，在指定的 TCP 或 UDP 端口上進(jìn)行通信。具體描述如下： 身份認(rèn)證：采用 TACACS+、 RADIUS 或 KerberosV 服務(wù)器對用戶身份進(jìn)行認(rèn)證，認(rèn)證方法為用戶 /口令方式。交換引擎判斷其帶寬是否超出后，進(jìn)行相應(yīng)處理，如果沒有超出允許帶寬，將 DSCP參數(shù)轉(zhuǎn)換為響應(yīng)的 COS 參數(shù)，送入發(fā)送隊(duì)列。 Cisco IOS 除了支持 Port Qos 外， Cisco IOS 還支持 Qos ACL 功能，用戶可根據(jù)不同的應(yīng)用設(shè)置優(yōu)先級，從而保證實(shí)時(shí)視頻數(shù)據(jù)具有較高的優(yōu)先級。 在 Cisco 交換機(jī)產(chǎn)品中支持 信令來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的優(yōu)先級控制，在 Cisco 交換機(jī)中，每個端口可以設(shè)置為信任端口和非信任端口，信《西南師范大學(xué)校園網(wǎng)升級擴(kuò)建項(xiàng)目》投標(biāo)書 29 任端口接收端口數(shù)據(jù)包中的優(yōu)先級參數(shù)，對于非信任端口， Cisco 對接收到的數(shù)據(jù)包，采用端口設(shè)置的確省優(yōu)先級參數(shù)。 基于硬件 (ASIC Based)的第三層交換 ： 由于 ASIC 芯片技術(shù)的不斷發(fā)展，現(xiàn)在已完全可以把傳統(tǒng)的路由軟件寫入 ASIC 芯片去完成線速第三層交換，其典型第三層交換速度在100Mpps 以上，這種技術(shù)完全基于傳統(tǒng)路由算法，是基于標(biāo)準(zhǔn)的技術(shù)，不存在產(chǎn)品互聯(lián)性的問題。 VLAN 之間的高速路由 由于 VLAN 屬于一個廣播域，因此，各個 VLAN 網(wǎng)段屬于不同的網(wǎng)段，各個 VLAN 之間的通訊必須通過第三層處理來完