《高速局域網的設計與安裝》畢業(yè)論文設計

1、<p><b>　　畢業(yè)設計</b></p><p>　　學生姓名 </p><p>　　學 號 </p><p>　　專 業(yè) 計算機網絡技術 </p><p>　　班

2、 級 </p><p>　　指導教師 </p><p>　　開題時間 2011年5月30日　 </p><p><b>　　電子信息學院</b></p><p>　　高速局域網的設計與安裝</p>

3、;<p>　　[概述]： 隨著個人計算機處理能力的增強，計算機網絡應用的普及，用戶對計算機網絡的需求日益增加，現在常規(guī)局域網已經遠遠不能滿足要求，于是高速局域網（High Speed Local Network）便應運而生。高速局域網的傳輸速率大于等于100Mbit/s，常見的高速局域網有FDDI光纖環(huán)網、100BASE-T高速以太網、千兆位以太網、10Gbit/s以太網等。目前，在建設企業(yè)局域網時都會把高速局域網技術作為

4、首選的網絡技術，隨著中國加入WTO，Internet的推廣，集散控制系統(tǒng)DCS在生產中的廣泛應用，信息技術給現代社會帶來了根本性變革，信息已成為當今世界經濟的戰(zhàn)略資源和獨特的生產要素。分析比較現有組網技術，確定適合企業(yè)信息建設發(fā)展需要的組網規(guī)劃，采用100 Mbit/s快速以太網構建集價格、性能優(yōu)異、配置靈活于一體的局域網，使企業(yè)能充分應用信息技術，運用當代先進的管理理論、管理技術、管理手段，提高企業(yè)的綜合素質和競爭能力，使企業(yè)的發(fā)展不

5、斷邁上新的臺階。</p><p>　　【關鍵詞】：局域網 規(guī)劃 設計</p><p><b>　　1 引言1</b></p><p><b>　　2 需求分析1</b></p><p>　　2.1 企業(yè)在信息建設方面應用的現狀1</p><p>　　2.2 設計原則2

6、</p><p><b>　　3 網絡規(guī)劃2</b></p><p>　　3.1 網絡結構技術分析2</p><p>　　3.1.1 交換以太網技術2</p><p>　　3.1.2 快速以太網技術3</p><p>　　3.1.3 千兆以太網技術3</p><p&g

7、t;<b>　　4 綜合布線3</b></p><p>　　4.1 布線系統(tǒng)標準的比較3</p><p>　　4.2 綜合布線系統(tǒng)的優(yōu)點3</p><p>　　5 網絡可靠性安全性設計和容錯4</p><p>　　5．1 網絡安全和防火墻4</p><p>　　5.2 網絡容錯4<

8、;/p><p>　　5.3 安全備份及災難恢復4</p><p>　　5.4 安全管理的兩個方面4</p><p>　　6 企業(yè)局域網具體設計實施方案5</p><p>　　6.1 技術規(guī)劃5</p><p>　　6.1.1 網絡層次劃分5</p><p>　　6.1.2 網絡IP子網劃分

9、5</p><p>　　6.1.3 網絡流量規(guī)劃6</p><p>　　6.1.4 以太網交換技術8</p><p>　　6.1.5 虛擬交換技術11</p><p>　　6.2硬件系統(tǒng)結構硬件選擇12</p><p>　　6.3軟件系統(tǒng)結構15</p><p>　　6.4安全策略

10、16</p><p>　　6.4.1病毒防治16</p><p>　　6.4.2建立防火墻17</p><p>　　6.4.3網絡的保密措施17</p><p>　　6.4.4數據安全性和完整性措施18</p><p>　　7 此方案的系統(tǒng)特點20</p><p>　　7.1 合理的系

11、統(tǒng)結構20</p><p>　　7.2 可靠的安全防護20</p><p>　　7.3 充分的擴充余地20</p><p>　　7.4 穩(wěn)定的系統(tǒng)性能20</p><p><b>　　結束語21</b></p><p><b>　　參考資料22</b></p

12、><p><b>　　1 引言</b></p><p>　　在國民經濟信息化進程中，企業(yè)如何提高自身競爭力，怎樣利用Internet/Intranet技術帶來的機遇和挑戰(zhàn)，來提高工作效率和管理科學水平，是亟待解決的問題。</p><p>　　近年來，大部分企業(yè)單位的大部分部門微機還是報表處理、單機作業(yè)為主。日常通信也是簡單地文件傳送，顯然越來越不能

13、滿足業(yè)務民展和現代管理的需要，Internet及相關技術的出現和高速發(fā)展，為企業(yè)提供了利用網絡進行信息交流和管理的極好機遇。隨著中國加入WTO，Internet的推廣，集散控制系統(tǒng)DCS在管理生產中的廣泛應用，信息技術給現代社會帶來了根本性變革，信息已成為當今世界經濟的戰(zhàn)略資源和獨特的生產要素。隨著中國經濟迅猛發(fā)展，企業(yè)要不斷的保持并加強自己的管理優(yōu)勢，不斷推出適合中國經濟發(fā)展的需求之外，還要不斷尋求和創(chuàng)造更大的發(fā)展空間。充分應用信息技

14、術，運用當代先進的管理理論、管理技術、管理手段，為企業(yè)的發(fā)展注入強勁的科技動力和應變能力，全面創(chuàng)新，提高企業(yè)的綜合素質，使企業(yè)的發(fā)民不斷邁上新的臺階，成為一流企業(yè)。因此，企業(yè)單位迫切需要建立基于Intranet的企業(yè)信息系統(tǒng)，在提高企業(yè)管理效率、降低成本，為實現企業(yè)在21世紀成為市場的贏家，在信息化方面奠定了堅實的基礎。</p><p><b>　　2 需求分析</b></p>

15、<p>　　建成一個高效率的開放式計算機企業(yè)網，覆蓋公司經營管理、質量管理、領導信息查詢等業(yè)務所涉及到的主要業(yè)務處理部門和綜合管理機構，提供廣泛的軟、硬件資源共享，分布式數據庫存取，結構化與非結構化數據（如多媒體圖形、圖像、行政公文、電子郵件等）傳輸功能。充分利用Internet/Intranet技術進行增值通信，與企業(yè)內部（開發(fā)商）以及外部合作伙伴交流信息，為建立企業(yè)間動態(tài)聯盟和虛擬企業(yè)提供支持。整個企業(yè)網的規(guī)劃設計應有足

16、夠的彈性，能夠根據公司的需要和發(fā)展步驟，逐步實施和擴展升級。</p><p>　　2.1 企業(yè)在信息建設方面應用的現狀</p><p>　　一般企業(yè)信息化建設目前存在以下幾個弊端：</p><p>　　（1）低水平重復建設且成本高昂：各部門擁有相對獨立的信息系統(tǒng)，資源分散于各部門之中，容易形成信息孤島。</p><p>　　（2）安全漏洞和系

17、統(tǒng)風險大：各部門擁有相對獨立的信息系統(tǒng)，不但系統(tǒng)復雜度高，而且核心數據全部分布于本地，對系統(tǒng)的安全性提出了較高的要求。</p><p>　?。?）管理信息和反饋信息不能迅速傳遞：隨著企業(yè)的發(fā)展，數據信息流不斷增大，對部門管理提出了快速響應的要求。</p><p><b>　　2.2 設計原則</b></p><p>　?。?）實用性：網絡建設從

18、應用實際出發(fā)，堅持為領導決策服務，為經營管理服務，為生產建設服務，建立一個具有現代化管理、通訊手段的信息系統(tǒng)，實現信息收集、查詢、統(tǒng)計、分析、輔助決策等功能。</p><p>　?。?）先進性：采用成熟的先進技術，兼顧來來的發(fā)展趨勢，即量力而行，又適當超前，留有發(fā)揮余地，全面準確地體現用戶的管理思想、管理模式及操作運行方式。</p><p>　　（3）可靠性：確保網絡可靠運行，在網絡的關鍵

19、部分應用容錯能力，要在硬件選型、網絡設計、支撐環(huán)境和應用系統(tǒng)的建設中充分體現這一原則。</p><p>　　（4）安全性：提供公共網絡連接、內部網絡連接、服務器等全方位安全管理。</p><p>　?。?）開放性：采用國際標準通信協(xié)議、標準操作系統(tǒng)、標準網管軟件，采用符合標準的設備，保證整個系統(tǒng)具有開放特點，增強與異機種、異構網的互聯能力。</p><p>　　（6

20、）可擴展性：系統(tǒng)便于擴展，保證前期投資的有效性與后期投資的連續(xù)性，充分考慮到目前的業(yè)務需求和今后較長時間內業(yè)務發(fā)展的需要。</p><p>　?。?）可管理性：從系統(tǒng)設計、設備選型都必須考慮到整個系統(tǒng)的可管理性和可維護性。</p><p><b>　　3 網絡規(guī)劃</b></p><p>　　3.1 網絡結構技術分析</p>&l

21、t;p>　　3.1.1 交換以太網技術</p><p>　　新的以太網是新近發(fā)展起來的先進技術。它在保證與以太網協(xié)議兼容的前提下，提高網絡利用率，減少網絡資源爭奪造成的沖突，使網絡性能大幅度提高，以滿足各類數據信息傳輸的要求。</p><p>　　3.1.2 快速以太網技術</p><p>　　快速以太網的運行速度要比10Mbps以太網快10倍?？焖僖蕴W相對

22、其他高速網絡技術更容易被掌握和接受，它可以應用在共享式和主干環(huán)境下，提供高帶寬的共享式網絡和主干連接，現時也可以應用在交換式環(huán)境下，提供優(yōu)異的服務質量（Qos）。</p><p>　　3.1.3 千兆以太網技術</p><p>　　千兆以太網技術采用了與10M以太網相同的幀格式、幀結構、網絡協(xié)議、全/半雙工工作方式 、流控模式以及布線系統(tǒng)?？膳c10M或100M的以太網很好的配合工作，可以實

23、現主干和各網段及桌面已實現了無縫結合，千兆以及網技術有兩個標準：IEEE802.3z和IEEE802.3ab，千兆以太網現日益成為當前主流的主干技術，為城域網建設提供了思想。</p><p><b>　　4 綜合布線</b></p><p>　　4.1 布線系統(tǒng)標準的比較</p><p><b>　　綜合布線系統(tǒng)概述：</b&g

24、t;</p><p>　　在信息社會中，一個現代化的大樓內，除了具有電話、傳真、空調、消防、動力電線、照明電線外，計算機網絡線路也是不可缺少的。布線系統(tǒng)的對象是建筑物或樓宇內的傳輸網絡，以使話音和數據通信設備、交換設備和其他信息系統(tǒng)彼此相連，并使這些設備與外部通信網絡連接。</p><p>　　4.2 綜合布線系統(tǒng)的優(yōu)點</p><p>　?。?）結構清晰，便于管理

25、維護。傳統(tǒng)的布線方法是各種不同的設施的布線分別進行設計和施工，如電話系統(tǒng)、消防與安全報警系統(tǒng)、能源管理系統(tǒng)等都是獨立進行的。一個自動化程度較高的大樓內，各種線路如麻，接線時又免不了在墻上打洞，在室外挖溝，造成一種難堪的局面，而且還造成難以管理，布線成本高、功能不足的不適應形勢發(fā)展的需要。</p><p>　?。?）材料統(tǒng)一先進，適應今后的發(fā)展需要。綜合布線系統(tǒng)采用了先進的材料，如五類非屏蔽雙絞線，傳輸的速率在10

26、0Mbps以上，完全能夠滿足未來5—10年的發(fā)展需要。</p><p>　　（3）靈活性強，適應各種不同的需求，使綜合布線系統(tǒng)使用起來非常靈活。一個標準的插座，既可接入電話，又可用來連接計算機終端，實現語音/數據點交換，可適應各種不同拓撲結構的局域網。</p><p>　　5 網絡可靠性安全性設計和容錯</p><p>　　由于連入Internet為用戶提供各種信息

27、服務。資源共享和開放是Internet特點，因而Internet的安全機制很松散；而公司的網絡信息系統(tǒng)要求有較高的安全性，其內部的許多數據和文件嚴禁未經授權的訪問。</p><p>　　5．1 網絡安全和防火墻</p><p>　　除了關注全球互聯網對企業(yè)業(yè)務的積極影響之外，同時也要充分考慮到將因特網作為企業(yè)內部計算機網絡的延伸后的安全問題。若沒有合適的防火墻解決方案，系統(tǒng)就會成為網絡黑客

28、們的眾知之的。</p><p><b>　　5.2 網絡容錯</b></p><p>　　計算機網絡系統(tǒng)是整個業(yè)務運行的平臺，服務器是整個網絡運行的心臟，它能否可靠運行直接影響到日常業(yè)務的動作。</p><p>　　在主服務器發(fā)生故障的情況下，備用機能自動啟動為主服務器。全面代替服務器響應全部的網絡服務請求，直至主服務器被恢復。由于采用了雙機模

29、式，備份服務器和主服務器的數據和程序完全一致，不會出現丟失的情況。</p><p>　　5.3 安全備份及災難恢復</p><p>　　企業(yè)最重要的資產不是網絡硬件，而是網絡運行的數據。如果不能保證數據的安全，對網絡進行的大量投資就失去了意義。</p><p>　　5.4 安全管理的兩個方面</p><p>　?。?）內部安全管理：主要是建立

30、內部安全管理制度，如機房管理制度、設備管理制度、安全系統(tǒng)管理制度、病毒防范制度、操作安全管理制度、安全事件應急制度等，并采取切實有效的措施保證制度的執(zhí)行。內部安全管理主要采取行政手段和技術手段相結合的方法。</p><p>　　（2）網絡安全管理：在網絡上設置防病毒安全檢測系統(tǒng)后，必須保證防病毒系統(tǒng)的設置正確，且其配置不允許被隨便修改。采用用戶和口令認證機制加強對用戶的管理，可以通過財務軟件本身和一些網絡層的管理

31、工具來實現。</p><p>　　6 企業(yè)局域網具體設計實施方案</p><p><b>　　6.1 技術規(guī)劃</b></p><p>　　6.1.1 網絡層次劃分 </p><p>　　核心層：核心層配置設備承擔的任務主要是通過核心層設備與匯聚層間信息的交流、分發(fā)與管理，因此核心層設備是整個網絡的中心樞紐，應具有強大的

32、交換能力，保證不會發(fā)生信息擁塞；強大的安全防護能力，保證不會因單點故障而影響整個系統(tǒng)的正常運行；有效的故障恢復能力,保證任何一種單點故障都能在短時間內迅速予以恢復。</p><p>　　匯聚層：匯聚層設備承擔的任務，一是構造本地網絡核心，二是通過核心設備實現與其他部分大量信息交換。匯聚層設備具備較高的吞吐能力和上連帶寬，同時還具備強有力的用戶訪問控制能力（即三、四層交換能力、虛網功能）。</p>&

33、lt;p>　　接入層：接入層的功能在于將各種媒體、各種速度、任何地方的最終用戶接入IP網絡。這一層主要實現各單位終端節(jié)點設備的接入，并上連到網絡匯聚層。這一層網絡建設可以根據各節(jié)點的具體情況分期分批建設。</p><p>　　6.1.2 網絡IP子網劃分</p><p>　　根據企業(yè)安排，信息點的具體分布是：</p><p>　　把一個大網縮小為若干小網，叫子

34、網（作動詞），而要把一個或幾個小網擴大為一個大網，叫超網，后者一般應用于電信等其它領域，我們不作討論。</p><p>　　劃分IP子網，有利于我們搞好系統(tǒng)維護，合理配置系統(tǒng)資源，減少資源浪費，</p><p>　　企業(yè)信息點以樓層劃分。</p><p>　　根據192.168.0.0的保留地址劃分企業(yè)內部局域網，屬于C類地址，子網掩碼255.255.255.0。&

35、lt;/p><p>　　根據結構分析，生產、裝配中心一層，數量最大，30臺，為每個樓層劃分單獨的網段</p><p>　　公式：2的N次方-2=Hosts</p><p>　　2的N次方-2=30 </p><p><b>　　N=5</b></p><p>　　N代表掩碼中0的個數，5個零則意味著二

36、進制掩碼為11100000，即十進制的224．加上前面24個1，1 的總數為27個。</p><p>　　子網掩碼255.255.255.224</p><p>　　確定掩碼規(guī)則以后，就要確認每一個子網的具體地址段。</p><p>　　當前的IP地址192.168.1.0的最后一位是0，二進制表示為00000000；而我們已經算出的掩碼255.255.255.22

37、4的最后一位是224，二進制表示為11100000</p><p>　　去除網絡回環(huán)地址與廣播地址</p><p><b>　　依次類推</b></p><p>　　辦公樓一層 192.168.1.32</p><p>　　辦公樓二層 192.168.1.64</p><p>　　辦公樓三

38、層 192.168.1.96</p><p>　　生產、裝配中心一層 192.168.1.128</p><p>　　生產、裝配中心二層 192.168.1.160</p><p>　　生產、裝配中心三層 192.168.1.192</p><p>　　生產、裝配中心四層 192.168.1.224</p>

39、<p>　　6.1.3 網絡流量規(guī)劃</p><p>　　一個設計成功的企業(yè)網，其網絡流量合理，系統(tǒng)各部分負載均衡。那么什么是網絡流量呢？網絡流量簡而言之就是網絡上傳輸的數據量。就像要根據來往車輛的多少和流向來設計道路的寬度和連接方式一樣，根據網絡流量設計企業(yè)網絡是十分必要的。</p><p>　　“80 /20”規(guī)則</p><p>　　在傳統(tǒng)網絡中，一

40、般將使用相同應用程序的用戶放到同一工作組中，他們經常使用的服務器也放在一起。工作組位于同一物理網段或VLAN（虛擬局域網）中。這樣做的目的是將網絡上客戶機與服務器之間產生的數據流量限制在同一網段中。在同一網段，可以使用帶寬相對高的交換機連接客戶機和服務器，而不必使用帶寬相對較低的路由器。</p><p>　　將大部分網絡流量控制在本地的這種網絡設計模式，被稱為“80/20規(guī)則”，即80%的網絡流量是本地流量（采用

41、交換機交換數據），在同一網段中傳輸；只有20%的網絡流量才需要通過網絡主干（路由器或三層交換機）。</p><p>　　“80/20”規(guī)則中的“80”和“20”不能簡單地理解為數字，應該理解為網絡流量分布的方式，即大部分網絡流量局限在本地工作組，小部分流量通過網絡主干。因此在實際網絡設計中，只要大部分網絡流量在本地、小部分網絡流量通過主干，就認為它符合了“80/20”規(guī)則，而不管實際的數字比例是多少。后面談及的“

42、20/80”規(guī)則也是如此。</p><p>　　按照“80/20”規(guī)則，分支交換機可以使用不支持VLAN的交換機，如全向的QS-6924交換機，這樣能夠大大降低不必要的開支。當然使用支持VLAN的交換機產品就更好了，如果以后想劃分子網也比較方便，全向系列交換機中，帶有“V”的型號具有VLAN功能，如QS-532V交換機、QS-516V交換機等。</p><p><b>　　“20

43、/80”規(guī)則</b></p><p>　　隨著網絡應用的逐漸豐富，“80/20”規(guī)則已經不能完全滿足網絡設計的需要。而一種被稱為“集中存儲、分布計算”的模式逐漸得到推廣。集中存儲，就是數據集中在網絡中心存儲，如已經得到普遍使用的Web服務、電子郵件系統(tǒng)和逐漸流行的VOD（視頻點播）、多媒體資源庫等；分布計算，就是數據被下載到各個工作站上處理，如使用網絡上的多媒體資源庫制作多媒體課件等。</p&g

44、t;<p>　　在“集中存儲、分布計算”的網絡應用模式下，對網絡流量的要求已經大大偏離了“80/20”規(guī)則，一種新的規(guī)則應運而生，這就是“20/80”規(guī)則。在符合“20/80”規(guī)則的網絡中，只有大約20%的網絡流量局限在本地工作組，而大約80%網絡流量經過網絡主干傳輸。</p><p>　　這種網絡流量模式的轉變，給企業(yè)網主干交換機帶來了很大的負荷。因此理想狀態(tài)下主干交換機應該能夠提供與下面連接的支

45、干交換機相匹配的性能，即提供線速三層交換，也就是說，下面的支干交換機能夠跑多快，上面的主干交換機也應該能夠跑多快。</p><p>　　同樣，如果網絡中有許多按功能劃分的VLAN，這些VLAN也很難管理。在以往的“80/20”規(guī)則中，服務器往往分布在VLAN中，因此對于各工作組來說，訪問起來比較快。但是在“20/80”規(guī)則中，服務器往往集中在網絡中心，因此對于各工作組，必須實現跨VLAN的訪問。沒有三層交換機，V

46、LAN之間無法通信，VLAN類似于硬盤的邏輯分區(qū)，可以簡單地理解為把同一硬盤劃分成不同的硬盤盤符。但是與邏輯盤不同的是，VLAN之間通信可不像把文件從一個邏輯盤復制到另一個邏輯盤那樣簡單，而是必須依靠路由器才能使VLAN之間相互通信。</p><p>　　因此符合“20/80”規(guī)則的大中型網絡必須使用三層交換機，如神州數碼D-Link的 DES-6706交換機。</p><p>　　企業(yè)網

47、適用哪一條規(guī)則？</p><p>　　在企業(yè)網絡環(huán)境中，有的地方“80/20”規(guī)則適用，數據流量一般局限在本地子網中，如果將專用的服務器架設在網絡中心，必將大大增加網絡主干的負擔。有的地方“20/80”規(guī)則適用，比如電子郵件服務器、Web服務器等，是任何網絡用戶都會使用的，就應當放置在網絡主干上，如果放在某一個子網中，不僅增加該子網的負擔，其他子網的用戶訪問起來也會很慢。</p><p>

48、　　6.1.4 以太網交換技術</p><p>　　以太網交換技術具有許多類型，各自宣傳其具有不同的優(yōu)點；通過簡單的鼠標即可增加、移動和改變往來落的結構；比網橋和路由器更為有效地進行網絡分段；為高性能工作站或服務器提供高寬帶。網絡管理者渴望采用這些技術，但是首先他們想了解各種以太網交換技術。當前有兩種以太網交換技術：靜態(tài)以太網交換和動態(tài)以太網交換。</p><p><b>　　一

49、、靜態(tài)以太網交換</b></p><p>　　靜態(tài)以太網交換是為網絡管理者通過軟件來完成網絡配置的增加、移動及改變而設計的。靜態(tài)以太網交換工作與傳統(tǒng)的共享式網絡環(huán)境。所以稱為“靜態(tài)”是由于需要網絡管理員的人工干預，既每次網絡節(jié)點的移動和增加，網絡管理員必須通過網絡管理軟件進行操作。一旦一次靜態(tài)交換操作完成，用戶或工作站將被移到一個新的共享網段，并且一直呆在那里直到另一次新的操作。</p>

50、<p>　　靜態(tài)交換允許網絡管理員在一個ＨＵＢ內將用戶容易地從一個共享局域網總線移到另外一個共享局域網總線。，集線器的以太網總線１是由工程部８臺工作站共享的以太網網段。而以太網總線４是由市場部的工作站所共享）的網段，以上兩個網段都是傳統(tǒng)的共享局域網。當工程部某位工程師調至市場部，希望將其工作站連至市場部局域網段（以太網總線４）時，該如何操作？</p><p>　　對靜態(tài)以太網交換，網絡管理員只需通過網

51、絡管理工作站的集線器圖形界面，用鼠標將調離的工程師工作站所對應的端口從總線１拉至總線４即可。這種改變只需幾秒鐘的時間。而傳統(tǒng)的方法，則需網絡管理員通過查線、撥號、重新布線等一系列的工作才能完成。顯然，在網絡結構需經常改變的場合，靜態(tài)交換以太網極為適宜。靜態(tài)交換不能改變帶寬(性能), 用戶唯一可以提高網絡性能的方法是將工作站從擁擠的網段移到空閑的網段。只有動態(tài)以太網交換才可以增加標準以太網的帶寬(性能)。</p><p

52、><b>　　二、動態(tài)以太網交換</b></p><p>　　動態(tài)以太網交換最初設計思路來源于電話網, 即在一個系統(tǒng)內同時按需存在許多點-點會話.動態(tài)以太網交換可以在不改變標準以太網節(jié)點設備的同時( 即工作站和服務器采用標準的以太網卡,驅動程序,電纜和應用程序),極大地提高網絡的帶寬.其工作過程如下:交換機檢查來自PC的數據包; 交換機識別該數據包的源地址和目的地址;交換機動態(tài)打開一專

53、用的10Mbps鏈路,將包由源地址端口傳送至目的地址端口。</p><p>　　動態(tài)交換檢查由A工作站發(fā)往B工作站的數據包,在A與B 之間動態(tài)建立一專用的10Mbps鏈路.顯然,不象傳統(tǒng)的共享以太網, 數據包不是發(fā)往網絡上的所有工作站,而是對每一數據傳輸產生專用的10Mbps鏈路.而連接到動態(tài)交換上的工作站及服務器仍使用標準的以太網卡,驅動程序,電纜及應用程序。</p><p>　　在動態(tài)

54、交換的內部,標準以太網的沖突式網絡存取機制(CSMA/CD)不再存在, 與以太網相依存的"沖突"顯著變小或不復存在, 每一用戶昀可獨立享受局域網的全部帶寬(以太網10Mbps),所有的數據包都通過專用的點對點10Mbps鏈路進行交換,因此以太網交換為諸如客戶機/服務器應用,分布式數據庫,圖像處理,CAD,甚至多媒體等數據密集型網絡應用提供了足夠的帶寬。因為數據不昌傳送到所有的端口,網絡也難以被竊聽,所以動態(tài)交換環(huán)境比

55、共享式以太網更加安全。</p><p>　　動態(tài)交換同時檢查所有數據包,同時開辟許多的10Mbps 專用鏈路以完成并行的數據通信。這樣在任何時間內可以存在許多專用的源-目的以太網。 動態(tài)交換以太網的這種并行的,點對點特性與電話網相似,同時也與FTM相近。一旦一個獨立的端口通信完成,動態(tài)交換釋放此鏈路。因此,動態(tài)交換的帶寬流量是按需的,這種按需帶寬特性是ATM網的另一特性.但因動態(tài)以太網交換是建立在標準以太網基礎上

56、( 標準接口卡,驅動,電纜和應用) , 用戶可以保留其在原有以太網上的投資和基礎上, 獲得像ATM一樣的專用帶寬及安全保密性。</p><p>　　三、以太網交換技術分類</p><p>　　上面已討論了動態(tài)交換和靜態(tài)交換在功能和應用上的基本差異, 下面將著重討論每種交換技術的兩種實現方式:</p><p><b>　　動態(tài)端口交換</b>&l

57、t;/p><p><b>　　動態(tài)段交換</b></p><p><b>　　靜態(tài)端口交換</b></p><p><b>　　靜態(tài)模塊交換</b></p><p>　　對靜態(tài)交換而言,模塊交換和端口交換差別很小,它們可應用于相同的場合, 而對動態(tài)交換,段交換與端口交換的應用明顯不

58、同.</p><p><b>　　1.動態(tài)端口交換</b></p><p>　　動態(tài)端口交換的功能已在前面講述過,每一端口聯接到單一的工作站或服務器.因為每一端口可被按需賦予一個獨立的 10Mbps專用以太網鏈路,這樣可以賦予每一工作站或服務器更高的網絡帶寬。</p><p><b>　　2.動態(tài)段交換</b></p

59、><p>　　動態(tài)段交換與動態(tài)端口交換的功能相似,通過交換結構,按需提供專用的端口間10Mbps專用鏈路.每一動態(tài)段交換端口可以連接一個網段(即傳統(tǒng)的共享以太網),而不只是一個工作站或服務。動態(tài)段交換通過對大量MAC地址的識別來完成此功能。用端口連結整個網段,可以使動態(tài)段交換取代現今分段網絡中的路由器及網橋。</p><p>　　如果網段A的用戶在網段內發(fā)送數據包, 交換識別數據為本網段數據包

60、而不允許這些數據包進入其它網段.但是如果網絡段A的用戶發(fā)送數據包到網絡段B,則交換機識別那些傳送至網段B的數據包,分配一專用的10Mbps鏈路，發(fā)送數據包到網段B的目的用戶.網絡分段,即將一個大的擁擠的網絡分成一系列的小型網絡,每一網絡具有小的用戶和小的流量。</p><p>　　以前網絡分段一般是通過網橋和路由器來實現的, 而采用動態(tài)段交換對網絡分段比用網橋和路由器更優(yōu)越,理由如下:</p>&l

61、t;p><b>　　(1)價低.</b></p><p>　　(2)易管理,而路由器需要OSI協(xié)議中網絡層的復雜網絡管理.</p><p>　　(3)更快速,因為交換只檢測其數據包頭中的源及目的地址, 而網橋及路由器則需檢測整個包,這樣交換所產生的時延比網橋及路由器小得多.</p><p><b>　　3.靜態(tài)端口交換</

62、b></p><p>　　靜態(tài)端口交換允許網絡管理員通過軟件將用戶工作站從一條共享以太網總線移到另一條，靈活地對網絡進行增加,減少所需的交換模塊訂貨量.例如,在網絡上增加8個用戶,他們工作于4個不同的部門,在4條不同的以太網總線上。所有這些用戶可以采用一塊單一的端口交換模塊來實現.與此相比,以前則需購4 塊新的模塊并連到不同的總線,但每個新的模塊的大部分端口是未用的,造成低效及浪費.</p>

63、<p><b>　　4.靜態(tài)模塊交換</b></p><p>　　靜態(tài)模塊交換也是由軟件來實現網絡的增加,移動和改變.與靜態(tài)端口交換不同的是,靜態(tài)模塊交換是將整個模塊(包括模塊上的所有端口) 從一條共享總線移至另一條共享總線.</p><p>　　6.1.5 虛擬交換技術</p><p>　　一、VLAN技術的概述及其優(yōu)點</p

64、><p>　　VLAN（虛擬局域網）是對連接到的第二層交換機端口的網絡用戶的邏輯分段，不受網絡用戶的物理位置限制而根據用戶需求進行網絡分段。一個VLAN可以在一個交換機或者跨交換機實現。VLAN可以根據網絡用戶的位置、作用、部門或者根據網絡用戶所使用的應用程序和協(xié)議來進行分組?；诮粨Q機的虛擬局域網能夠為局域網解決沖突域、廣播域、帶寬問題。</p><p>　　傳統(tǒng)的共享介質的以太網和交換式的

65、以太網中，所有的用戶在同一個廣播域中，會引起網絡性能的下降，浪費可貴的帶寬；而且對廣播風暴的控制和網絡安全只能在第三層的路由器上實現。 </p><p>　　VLAN相當于OSI參考模型的第二層的廣播域，能夠將廣播風暴控制在一個VLAN內部，劃分VLAN后，由于廣播域的縮小，網絡中廣播包消耗帶寬所占的比例大大降低，網絡的性能得到顯著的提高。不同的VLAN之間的數據傳輸是通過第三層（網絡層）的路由來實現的，因此使用

66、VLAN技術，結合數據鏈路層和網絡層的交換設備可搭建安全可靠的網絡。網絡管理員通過控制交換機的每一個端口來控制網絡用戶對網絡資源的訪問，同時VLAN和第三層第四層的交換結合使用能夠為網絡提供較好的安全措施。</p><p>　　另外，VLAN具有靈活性和可擴張性等特點，方便于網絡維護和管理，這兩個特點正是現代局域網設計必須實現的兩個基本目標，在局域網中有效利用虛擬局域網技術能夠提高網絡運行效率。 </p&g

67、t;<p><b>　　二、VLAN的實現</b></p><p>　　VLAN的實現方式有兩種：靜態(tài)和動態(tài)。</p><p>　　靜態(tài)實現是網絡管理員將交換機端口分配給某一個VLAN，這是一種最經常使用的配置方式，容易實現和監(jiān)視，而且比較安全。</p><p>　　動態(tài)實現方式中，管理員必須先建立一個較復雜的數據庫，例如輸入要連

68、接的網絡設備的MAC地址及相應的VLAN號，這樣當網絡設備接到交換機端口時交換機自動把這個網絡設備所連接的端口分配給相應的VLAN。動態(tài)VLAN的配置可以基于網絡設備的MAC地址、IP地址、應用或者所使用的協(xié)議。實現動態(tài)VLAN時候一般情況下使用管理軟件來進行管理。在CISCO交換機上可以使用VLAN管理策略服務器（VMPS）實現基于MAC地址的動態(tài)VLAN配置。VMPS是MAC地址與VLAN的映射表。這種配置的優(yōu)點是網絡管理員維護管理

69、相應的數據庫，而不用關心用戶使用哪一個端口，但是每次新用戶加入時需要做較復雜的手工配置?；贗P地址的動態(tài)配置中，交換機通過查閱網絡層的地址自動將用戶分配到不同的虛擬局域網。 </p><p>　　6.2硬件系統(tǒng)結構硬件選擇</p><p><b>　　網絡接入層</b></p><p>　　STAR-S2100系列交換機具有高安全特性，有效防

70、御病毒和網絡攻擊，控制用戶非法接入； STAR-S2100系列交換機可提供多種安全機制，如專家級ACL功能（可以對MAC地址＋IP地址＋VLAN號＋傳輸端口號＋協(xié)議類型＋時間ACL的任意組合）可以防止紅色代碼病毒、沖擊波病毒；端口和MAC、IP綁定可以控制Synflood攻擊；支持IGMP源端口檢查，有效控制非法組播源，提高多媒體組播業(yè)務的正常運行證。種種安全策略的實施保證了數字圖書館全網的穩(wěn)定、安全運行。</p><

71、;p>　　基于流的帶寬限制保證網絡發(fā)揮的最大效能</p><p>　　STAR-S2100可以基于VLAN ID、用戶ID、IP地址等多種分類方式為不同應用提供不同的接入服務策略。STAR-S2100的用戶帶寬控制技術采用了類似ATM的CBR方式，利用大容量的緩存為突發(fā)數據流整形，不但可以將帶寬控制精確到Kbps級別，而且有效防止了突發(fā)數據包的丟失。</p><p>　　STAR-S

72、2100系列交換機均支持基于流的QoS策略，具備MAC流、IP流、應用流等多層流分類和流控制能力，實現帶寬控制、轉發(fā)優(yōu)先級等多種流策略，支持網絡根據不同的應用以及不同應用所需要的服務質量特性提供服務，有效地保障了用戶關鍵業(yè)務的高速運行。</p><p>　　接入層采用先進的堆疊技術，彈性擴展網絡cisco的29系列可以堆疊在一起來使用。堆疊是通過集線器的背板連接起來的，它是一種建立在芯片級上的連接，如2個24口交

73、換機堆疊起來的效果就像是一個48口的交換機，優(yōu)點是不會產生瓶頸的問題。</p><p>　　堆疊(Stack)和級聯(Uplink)是多臺交換機或集線器連接在一起的兩種方式。它們的主要目的是增加端口密度。但它們的實現方法是不同的。簡單地說，級聯可通過一根雙絞線在任何網絡設備廠家的交換機之間，集線器之間，或交換機與集線器之間完成。而堆疊只有在自己廠家的設備之間，且此設備必須具有堆疊功能才可實現。級聯只需單做一根雙絞

74、線(或其他媒介)，堆疊需要專用的堆疊模塊和堆疊線纜，而這些設備可能需要單獨購買。交換機的級聯在理論上是沒有級聯個數限制的(注意：集線器級聯有個數限制，且10M和100M的要求不同)，而堆疊各個廠家的設備會標明最大堆疊個數。多個設備級聯會產生級聯瓶頸。兩個交換機通過堆疊連接在一起，堆疊線纜將能提供高于1G的背板帶寬，極大地減低了瓶頸。</p><p>　　在網絡接入層選用的是銳捷網絡系列千兆智能可堆疊交換機STAR

75、-S2100系列。這個系列的產品都是全線速可堆疊千兆智能交換機，提供智能的流分類和完善的服務質量（QoS）以及組播管理特性，并可以實施靈活多樣的ACL訪問控制。S2100系列以極高的性價比為各類型網絡提供完善的端到端的服務質量、靈活豐富的安全設置和基于策略的網管，最大化滿足高速、安全、智能的企業(yè)網新需求。</p><p><b>　　網絡會聚層</b></p><p>

76、;　　千兆干線、百兆交換到桌面；徹底解決帶寬問題</p><p>　　匯聚層由銳捷網絡STAR-S4909/S3550-12G全千兆路由交換機組成，負責接入層匯聚，提供高速無阻塞的鏈路到核心層，抑制廣播風暴和分流核心數據處理壓力等，可實施分布式三層，大大提升網絡性能。</p><p><b>　　強大的組播支持能力</b></p><p>　　

77、組播業(yè)務作為未來最具潛力的業(yè)務之一，得到了前所未有的重視。隨著寬帶技術的不斷發(fā)展，FTP、HTTP、SMTP等傳統(tǒng)數據業(yè)務已經難以滿足人們對信息業(yè)務的需求，視頻點播、遠程教學、新聞發(fā)布、網絡電視等業(yè)務將成為新一輪運營競爭的焦點。這類新型業(yè)務的特點是，由一個服務器（媒體流服務器）發(fā)布信息，接收端數量很大，可能成千上萬個，而且具體數目不固定。</p><p>　　強大的組播支持： 視頻組播應用是目前高校多媒體教學和數

78、字化企業(yè)的應用重點，企業(yè)網絡對組播的支持能力是企業(yè)網建設要考慮的重點。匯聚交換機STAR-S4909提供多種組播支持技術，包括IGMP snooping、IGMP、PIM（SM、DM），DVMRP，保證了網絡中提供組播服務時的帶寬合理占用。</p><p><b>　　QOS服務質量保障</b></p><p>　　端到端的服務質量保證（Qos）：從核心到匯聚到接入系

79、列智能交換機，能夠自動識別數據類型，區(qū)別業(yè)務重要性，保證關鍵數據得到更高的網絡帶寬。提供多種流分類技術和多種QOS技術，包括SP、WRR、WFQ、WRED、CAR、HOL等，為各種應用的帶寬保障提供需要的支持技術。</p><p><b>　　網絡核心層</b></p><p><b>　　主干可以升級至萬兆</b></p><

80、;p>　　萬兆以太網采用了IEEE802.3以太網媒體訪問控制（MAC）協(xié)議、IEEE802.3以太網幀格式，以及IEEE802.3幀的最大和最小尺寸。萬兆以太網是以太網在速度和距離方面的進步，采用全雙工技術，不需要應用低速的、半雙工的CSMA/CD協(xié)議。在其他方面，萬兆以太網保留了初期以太網模型的精髓，因而可以和現有以太網環(huán)境無縫融合，支持客戶已有應用。</p><p>　　RG-S6800系列交換機提供

81、目前主流的三種萬兆局域網傳輸標準：10GBASE-R、10GBASE-W、10GBASE-LX4，三種傳輸標準在數據鏈路層以上都相同，差別在于物理層。10GBASE-R用于傳統(tǒng)的以太網環(huán)境，而10GBASE-W可與OC-192電路、SONET/SDH設備一起運行，保護傳統(tǒng)基礎投資，使運營商能夠在不同地區(qū)通過城域網提供端到端以太網。10GBSE-LX4則使用WDM波分復用技術進行數據傳輸。用戶數據量的大量增加，以及語音、視頻多業(yè)務應用需求

82、增加，再加上對網絡安全性、可擴展性、高QoS保障等方面的日益增強和千兆到桌面的實現。另外，萬兆產品價格的下調也是推動萬兆產品成功應用的關鍵所在。</p><p>　　在網絡的核心層部署的是銳捷網絡萬兆核心骨干路由交換機RG-S6806。RG-S6806提供了冗余管理模塊、冗余電源模塊、各種模塊熱拔插等高可靠性功能，作為一款萬兆骨干核心交換機，其背板寬帶為256G，三層包轉發(fā)速率可達143 Mpps，具備128個快

83、速以太網端口、96個千兆光纖端口和8個萬兆端口，為接入層提供高速無阻塞的路由交換。同時，RG-S6806通過千兆雙絞線連接服務器集群。</p><p><b>　　協(xié)議支持豐富</b></p><p>　　提供多種生成樹協(xié)議，包括802.1D、802.1W、802.1S等協(xié)議，滿足客戶各種網絡環(huán)境收斂需求；特色安全技術</p><p>　　復雜

84、功能硬件實現，做到板卡分布式處理</p><p>　　RG-S6806對全網的數據進行高速無阻塞的交換，將原有國外設備主要負責的路由交換任務平移到RG-S6806上，在RG-S6806上實現路由管理、網絡管理、網絡服務和核心數據處理等，RG-S6806超強的數據處理能力，支持負載均衡、冗于備份、QOS、ACL和策略路由等強大的功能，同時，板卡支持分布式處理和熱插拔。</p><p><

85、;b>　　6.3軟件系統(tǒng)結構</b></p><p><b>　　一、服務器管理軟件</b></p><p>　　中文圖形化網絡管理平臺：StarView網絡管理軟件可以提供簡單、清晰的設備管理圖、拓撲狀態(tài)圖和流量分析圖，將企業(yè)網管理工作量降到最低程度；</p><p>　　網絡拓撲查看：StarView可自動生成圖形化網絡拓

86、撲結構圖，并且識別網絡內各種網絡設備和IP設備，一目了然查看整個企業(yè)網的網絡拓撲情況；</p><p>　　網絡設備管理：StarView不僅可以管理銳捷系列網絡設備，還可以通過公共接口提供對其他品牌網絡設備和服務器的管理； </p><p>　　網絡節(jié)點監(jiān)控：StarView可提供實時的網絡各節(jié)點的網絡性能監(jiān)控，并通過矢量圖的形式進行遠程查看，當發(fā)生網絡故障的時候，系統(tǒng)可以自動向網絡管理

87、員發(fā)出報警信號；</p><p><b>　　二、網絡服務管理</b></p><p>　　1、網管工作站設計 </p><p>　　網絡管理是企業(yè)網必須考慮的關鍵技術，這里的網絡管理主要指網絡設備及其系統(tǒng)的管理，它包括配置、性能、安全、故障管理等，網絡管理設計需要在配置每個網絡設備時，都選擇具有網絡管理代理的、駐留有網絡管理協(xié)議的設備。 &l

88、t;/p><p>　　網絡管理設計的另一方面，是配置一個網絡管理中心，配置網絡管理平臺，在平臺上運行管理每個網絡設備的應用軟件。網管軟件應能夠支持對網絡進行設備級和系統(tǒng)級的管理，并能支持通用瀏覽器進行網絡設備的管理及配置。</p><p>　　2、WWW服務器設計 </p><p>　　WWW應用是Intranet的標志性應用，最核心的應用服務集中在WWW服務器上完成。

89、因而對于WWW服務器的設計首要考慮的就是服務器性能問題，另外考慮到將來在Intranet平臺上做應用開發(fā)的可能，對于WWW服務器同數據庫互聯的問題也應作為重點考慮。 </p><p>　　因為WWW服務器是被大量實時訪問的超文本服務器，它要求在支持大量網絡實時訪問、磁盤空間、I/O吞吐能力、快速處理能力等方面具有較高的要求。</p><p><b>　　IIS服務器的配置<

90、/b></p><p>　　IIS是一個信息服務系統(tǒng)，主要是建立在服務器一方。服務器接收從客戶發(fā)來的請求并處理它們的請求，而客戶機的任務是提出與服務器的對話。只有實現了服務器與客戶機之間信息的交流與傳遞，Internet/Intranet的目的才可能實現。在Windows2000中集成了IIS5.0版，這是Windwos2000中最重要的Web技術，同時也使得它成為一個功能強大的Internet/Intra

91、net Web應用服務器。</p><p><b>　　6.4安全策略</b></p><p><b>　　6.4.1病毒防治</b></p><p><b>　　1 禁用沒用的服務</b></p><p>　　Windows提供了許許多多的服務。 </p>&l

92、t;p>　　Telnet就是一個非常典型的例子。在Windows2003的服務中是怎么解釋的：“允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序” ，建議禁止該服務。</p><p><b>　　2 打補丁</b></p><p>　　Microsoft公司時不時就會在網上免費提供一些補丁，可以去打補丁。除了可以增強兼容性外，更重要的是堵上已發(fā)現的安全漏洞。&

93、lt;/p><p><b>　　3 反病毒監(jiān)控</b></p><p>　　選擇一流的反病毒軟件。用反病毒軟件的根本目的是防病毒。另外，安裝反病毒軟件后必須對其進行必要的設置和時刻開啟反病毒監(jiān)控。這樣才能發(fā)揮其最大的威力。</p><p>　　6.4.2建立防火墻</p><p>　　網絡地址轉化—NAT </p>

94、;<p>　　網絡地址轉換是一種用于把IP地址轉換成臨時的、外部的、注冊的IP地址標準。它允許具有私有IP地址的內部網絡訪問因特網。它還意味著用戶不需要為其網絡中每一臺機器取得注冊的IP地址。 </p><p>　　在內部網絡通過安全網卡訪問外部網絡時，將產生一個映射記錄。系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口，讓這個偽裝的地址和端口通過非安全網卡與外部網絡連接，這樣對外就隱藏了真實的

95、內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時，它并不知道內部網絡的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。OLM防火墻根據預先定義好的映射規(guī)則來判斷這個訪問是否安全。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內部計算機中。當不符合規(guī)則時，防火墻認為該訪問是不安全的，不能被接受，防火墻將屏蔽外部的連接請求。網絡地址轉換的過程對于用戶來說是透明的，不需要用戶進行設置，用戶只要

96、進行常規(guī)操作即可。</p><p>　　6.4.3網絡的保密措施</p><p>　　1堵住服務器操作系統(tǒng)安全漏洞</p><p>　　任何網絡操作系統(tǒng)的安全性都是相對的，無論是UNIX還是NT都存在安全漏洞，他們的站點會不定期發(fā)布系統(tǒng)補丁，系統(tǒng)管理員應定期下載，及時堵住系統(tǒng)漏洞。</p><p>　　2注意保護系統(tǒng)管理員的密碼</p&

97、gt;<p>　　用戶名和密碼應當設置合理，口令應大小寫混合，最好加上特殊字符和數字，至少不能少于16位，同時應定期修改；口令不得以明文方式存放在系統(tǒng)中；建立帳號鎖定機制，當同一帳號的密碼校驗錯誤若干次時，自動斷開連接并鎖定該帳號。</p><p>　　3關閉不必要的服務端口。</p><p>　　謹慎開放缺乏安全保障的端口：很多黑客攻擊程序是針對特定服務和特定服務端口的。&

98、lt;/p><p>　　a、常用服務端口有：WEB：80，SMTP：25，POP3：110，可根據情況選擇關閉。</p><p>　　b、比較危險(很可能存在系統(tǒng)漏洞)的服務端口：TELNET：23，FINGER：79，建議關閉掉。</p><p>　　c、對必須打開的服務(如SQL數據庫等)進行安全檢查。</p><p>　　4制定完善的安全管

99、理制度</p><p>　　定期使用網絡管理軟件對整個局域網進行監(jiān)控，發(fā)現問題及時防范。定期使用黑客軟件攻擊自己的系統(tǒng)，以便發(fā)現漏洞，及時補救。謹慎利用共享軟件，不應隨意下載使用共享軟件。做好數據的備份工作，有了完整的數據備份。</p><p>　　5注意WEB服務的安全問題</p><p>　　WEB編程人員編寫的CGI、ASP、PHP等程序存在的問題，會暴露系統(tǒng)

100、結構或使服務目錄可讀寫，這樣黑客入侵的發(fā)揮空間就更大。在給WEB服務器上傳前，要進行腳本安全檢查。</p><p>　　6警惕DOS攻擊和DDOS攻擊</p><p>　　DOS攻擊和DDOS攻擊可以使網站系統(tǒng)失去與互聯網通信的能力，甚至于系統(tǒng)崩潰。建議：如果有條件允許的話，可以使用具有DoS和DdoS防護的防火墻。</p><p>　　6.4.4數據安全性和完整性

101、措施</p><p>　　數據安全性和完整性就是數據的安全技術。為了解決上述問題，就必須利用另外一種安全技術----數字簽名，PKI（Publie Key Infrastucture）技術就是利用公鑰理論和技術建立的提供安全服務的基礎設施。PKI技術是信息安全技術的核心，也是電子商務的關鍵和基礎技術。由于通過網絡進行的電子商務、電子政務、電子事務等活動缺少物理接觸，因此使得用電子方式驗證信任關系變得至關重要。而P

102、KI技術恰好是一種適合電子商務、電子政務、電子事務的密碼技術，他能夠有效地解決電子商務應用中的機密性、真實性、完整性、不可否認性和存取控制等安全問題。一個實用的PKI體系應該是安全的易用的、靈活的和經濟的。它必須充分考慮互操作性和可擴展性。它是認證機構（CA）、注冊機構（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復、撤消系統(tǒng)等功能模塊的有機結合。 </p><p><

103、b>　　1.認證機構 </b></p><p>　　CA（Certification Authority）就是這樣一個確保信任度的權威實體，它的主要職責是頒發(fā)證書、驗證用戶身份的真實性。由CA簽發(fā)的網絡用戶電子身份證明—證書，任何相信該CA的人，按照第三方信任原則，也都應當相信持有證明的該用戶。CA也要采取一系列相應的措施來防止電子證書被偽造或篡改。構建一個具有較強安全性的CA是至關重要的，這不

104、僅與密碼學有關系，而且與整個PKI系統(tǒng)的構架和模型有關。此外，靈活也是CA能否得到市場認同的一個關鍵，它不需支持各種通用的國際標準，能夠很好地和其他廠家的CA產品兼容。 </p><p><b>　　2.注冊機構 </b></p><p>　　RA（Registration Authority）是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的基礎。RA不

105、僅要支持面對面的登記，也必須支持遠程登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設計和實現網絡化、安全的且易于操作的RA系統(tǒng)。 </p><p><b>　　3.策略管理 </b></p><p>　　在PKI系統(tǒng)中，制定并實現科學的安全策略管理是非常重要的這些安全策略必須適應不同的需求，并且能通過CA和RA技術融入到CA 和RA的系統(tǒng)實現中。同時，這些策略應該符合

106、密碼學和系統(tǒng)安全的要求，科學地應用密碼學與網絡安全的理論，并且具有良好的擴展性和互用性。 </p><p>　　4.密鑰備份和恢復 </p><p>　　為了保證數據的安全性，應定期更新密鑰和恢復意外損壞的密鑰是非常重要的，設計和實現健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復，也是關系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。 </p><p>　　

107、5.證書管理與撤消系統(tǒng) </p><p>　　證書是用來證明證書持有者身份的電子介質，它是用來綁定證書持有者身份和其相應公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里是有效的。但是，有時也會出現一個已頒發(fā)證書不再有效的情況這就需要進行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。證書撤消系統(tǒng)的實現是利用周期性的發(fā)布機制撤消證書或采用在線查詢機制，隨時查詢被撤消的證書。 <

108、;/p><p>　　7 此方案的系統(tǒng)特點</p><p>　　7.1 合理的系統(tǒng)結構</p><p>　　企業(yè)主干采用具有第三層交換功能的千兆位以太網(Gigabit Ethernet)以 滿足廣大用戶的各種要求。 企業(yè)網建設應能保護企業(yè)網的投資,要求企業(yè)網的管理方案與管理策略.主干設備應能滿足10,000用戶接入訪問的要求。支持IP多目廣播(Multicast)與服務

109、質量(Qos)或服務類型(CoS),滿足遠程教育的需求。支持虛擬網絡(VLAN).網管軟件應具備對接入層交換設備進行遠程可操作的能力。</p><p>　　7.2 可靠的安全防護</p><p>　　軟件采用反病毒軟件，關鍵數據傳遞使用數字簽名技術，網絡骨干線路的冗余備份,網絡核心設備的冗余備份和電源冗余備份等方面保證企業(yè)網的可靠性。內部網絡之間,內部網絡與外部公共網之間的互聯,利用VLA

110、N/ ELAN ,防火墻等對訪問進行控制,確保網絡的安全。</p><p>　　7.3 充分的擴充余地</p><p>　　主干網絡設備的選型及其模塊,插槽個數,管理軟件 和網絡整體結構,以及技術的開放性和對相關協(xié)議的支持等方面,來保證網絡系統(tǒng)的開放性和擴充性。</p><p>　　7.4 穩(wěn)定的系統(tǒng)性能</p><p>　　對使用負擔較重的