第一篇：XX證券VPN組網(wǎng)解決方案

XX證券VPN組網(wǎng)解決方案

第一章 前言

以Internet為基礎(chǔ)的信息高速公路的迅猛發(fā)展，正以前所未有的速度和能力改變著人們的生活和工作方式，我們真正處于一個(gè)“信息爆炸”的時(shí)代。

一方面，Internet使得人們能夠跨越時(shí)空的限制，為學(xué)習(xí)、生活和工作帶來空前的便利；許多企事業(yè)單位不僅僅充分利用Internet的豐富資源，同時(shí)，為了企事業(yè)單位內(nèi)部的資源共享和信息傳輸，也紛紛建起了企事業(yè)單位內(nèi)部Intranet，達(dá)到企事業(yè)單位內(nèi)部資源的高度共享。甚至一些信息化建設(shè)程度較高的企事業(yè)單位已經(jīng)建起了Extranet，與其他政府機(jī)構(gòu)、合作伙伴也進(jìn)行了資源共享。

另一方面，面對信息的汪洋大海，人們往往感到無所適從，出現(xiàn)“信息迷向”的現(xiàn)象。更嚴(yán)重的是Internet是一個(gè)無國界的虛擬信息社會(huì)，現(xiàn)實(shí)社會(huì)中的各種問題都會(huì)在Internet上通過電子手段予以重現(xiàn)，信息犯罪愈演愈烈。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，使網(wǎng)絡(luò)的重要性和對社會(huì)的影響也越來越大，信息安全問題變得越來越重要。信息安全問題不僅僅涉及到國家的經(jīng)濟(jì)安全、金融安全，還涉及到國家的國防安全、政治安全和文化安全。對于企事業(yè)單位的重要信息和資源，也構(gòu)成了巨大威脅，致使一些企事業(yè)單位單位不敢聯(lián)網(wǎng)，把網(wǎng)絡(luò)互聯(lián)的優(yōu)勢完全拋棄，形成了一個(gè)一個(gè)信息孤島。

政府信息化的發(fā)展已經(jīng)成為當(dāng)代信息化的最重要的領(lǐng)域之一。據(jù)聯(lián)合國教科文組織在2000年的調(diào)查，89%的國家都在不同程度地推進(jìn)政府信息化的發(fā)展，并將其列為國家級的重要工作。

江澤民總書記明確指出：“四個(gè)現(xiàn)代化，那一化也離不開信息化?！蔽覈恼?wù)現(xiàn)代化也離不開信息化。

“兩會(huì)”前，朱總理提出：“電子政務(wù)的發(fā)展正在成為當(dāng)代信息化的最重要的領(lǐng)域之一。為了適應(yīng)國際形勢和我國經(jīng)濟(jì)建設(shè)與社會(huì)發(fā)展的需要，我國必須加快電子政務(wù)的發(fā)展?！痹诮衲甑摹墩ぷ鲌?bào)告》中，朱總理更明確指出，要“加快政府管理信息化建設(shè)，推廣電子政務(wù)，提高工作效率和監(jiān)管有效性。”

如何有效地利用網(wǎng)絡(luò)互聯(lián)的優(yōu)勢，提升XX證券系統(tǒng)信息化建設(shè)的速度,同時(shí)保證網(wǎng)絡(luò)和信息的安全共享，是擺在我們面前的迫切問題。虛擬私有網(wǎng)絡(luò)(Virtual Private Network,VPN)的出現(xiàn)，為我們提供了一個(gè)安全、經(jīng)濟(jì)、快捷、靈活的網(wǎng)絡(luò)安全互聯(lián)組網(wǎng)方案。結(jié)合的XX證券實(shí)際需求和現(xiàn)狀網(wǎng)絡(luò)，通過對必要性和可行性，實(shí)施效果、成本和風(fēng)險(xiǎn)，硬件和網(wǎng)絡(luò)方案等進(jìn)行了充分的調(diào)研和論證，提出了《XX證券VPN組網(wǎng)解決方案》。

根據(jù)項(xiàng)目計(jì)劃，將在XX證券中心機(jī)房和全國各營業(yè)點(diǎn)部署VPN安全網(wǎng)關(guān)，實(shí)施安全訪問控制和各點(diǎn)之間的加密通信。

第二章 項(xiàng)目情況介紹

2.1 目前網(wǎng)絡(luò)的現(xiàn)狀

目前，XX證券總部在電信申請了2個(gè)互聯(lián)網(wǎng)線路，一條線路用于同其他各營業(yè)點(diǎn)（在全國共27個(gè)）進(jìn)行OA系統(tǒng)的信息傳輸，另外一條線路用戶內(nèi)部員工訪問互聯(lián)網(wǎng)。其他各營業(yè)點(diǎn)均在本地電信申請ADSL線路。

目前的網(wǎng)絡(luò)示意圖如下：

圖2-1 XX證券網(wǎng)絡(luò)示意圖 2.2 目前網(wǎng)絡(luò)系統(tǒng)存在的需求

1、應(yīng)用需求 目前，XX證券全國各營業(yè)點(diǎn)需要實(shí)時(shí)訪問XX證券總部（武漢）應(yīng)用服務(wù)器（OA服務(wù)器、mail服務(wù)器等）。利用傳統(tǒng)的公網(wǎng)是無法快捷、安全地訪問內(nèi)部服務(wù)器。因?yàn)樗袛?shù)據(jù)在傳輸過程中都是以明文的，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞關(guān)鍵數(shù)據(jù)，給造成不可估量的損失。針對的相關(guān)應(yīng)用需求，我們建議采用VPN的組網(wǎng)方式，可以安全、方便地在XX證券和全國27各營業(yè)點(diǎn)之間的“虛擬專用網(wǎng)絡(luò)”。

2、安全需求

目前XX證券應(yīng)用系統(tǒng)和重要數(shù)據(jù)都以明文在網(wǎng)絡(luò)進(jìn)行直接傳輸，因應(yīng)用系統(tǒng)的網(wǎng)絡(luò)傳輸數(shù)據(jù)體現(xiàn)了XX證券的重要情況和保密敏感信息，屬于高度機(jī)密，以明文在公共網(wǎng)絡(luò)上直接傳輸存在著很大的隱患，黑客或網(wǎng)絡(luò)運(yùn)營商中的某些有不良居心的人員可以利用專用軟件在網(wǎng)絡(luò)結(jié)點(diǎn)設(shè)備或線路上截獲應(yīng)用系統(tǒng)或重要數(shù)據(jù)，如果這些數(shù)據(jù)被公布或透露給外界，對于來說，后果是非常嚴(yán)重的。

另一方面，各營業(yè)點(diǎn)網(wǎng)絡(luò)直接和internet相連，這樣就存在極大的安全隱患，外部網(wǎng)絡(luò)可以隨意訪問內(nèi)部網(wǎng)絡(luò)，甚至控制內(nèi)部服務(wù)器，然后已內(nèi)部主機(jī)作為跳板，轉(zhuǎn)而攻擊網(wǎng)絡(luò)總部的服務(wù)器，那么整個(gè)系統(tǒng)將無安全性可言。

綜上所述，如何很好地解決“信息的共享和信息的安全問題”是本方案重點(diǎn)討論要解決的問題。使整個(gè)網(wǎng)絡(luò)的安全達(dá)到一個(gè)全面加強(qiáng)，使網(wǎng)絡(luò)系統(tǒng)的每個(gè)部分都不會(huì)成為“木桶的最短一塊木板”是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo)。

第三章 設(shè)計(jì)原則和設(shè)計(jì)思想

系統(tǒng)的總體設(shè)計(jì)思想是要體現(xiàn)技術(shù)的先進(jìn)性和決策的前瞻性，著力于“實(shí)用性、高起點(diǎn)、前瞻性、擴(kuò)展性”。具體的我們遵循了以下原則： 3.1 安全性原則

在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中，都應(yīng)該嚴(yán)格注意安全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個(gè)區(qū)政府正常辦公的大局。

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范，在該方案中，安達(dá)通公司時(shí)刻強(qiáng)調(diào)高度的安全性。我們在進(jìn)行系統(tǒng)設(shè)計(jì)時(shí)將提供多種手段保障系統(tǒng)的安全，對相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用數(shù)據(jù)庫提供嚴(yán)密的保護(hù)。同時(shí)，采用國際上最新的主流VPN技術(shù)，確保用戶能充分利用網(wǎng)絡(luò)的互通性和易用性，同時(shí)可以為用戶盡可能地降低系統(tǒng)投入成本，實(shí)現(xiàn)高效益。網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品，好的安全策略；另一方面，更為重要的是要有完善的安全管理制度。3.2 實(shí)用性原則

系統(tǒng)在設(shè)計(jì)上一方面將滿足雙向的數(shù)據(jù)傳送、實(shí)時(shí)處理的要求；另一方面，又采用國際上最先進(jìn)的技術(shù)，使系統(tǒng)完成后，保持一定時(shí)期的領(lǐng)先地位。

尤其是采用了目前國際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的Firewall技術(shù)具有不可比擬的優(yōu)勢，體現(xiàn)在：不僅具有FireWall的保護(hù)內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用VPN技術(shù)，可以解決Firewall所不能解決的外網(wǎng)用戶的安全接入問題（在本方案中，導(dǎo)致可以直接省略“撥號服務(wù)器”），同時(shí)可以不受接入數(shù)量限制，這使整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。利用IDS技術(shù)，不僅強(qiáng)化了本身的抗攻擊能力，而且可以與IDS系統(tǒng)互動(dòng)。

實(shí)用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實(shí)用性相結(jié)合。

3.3 可靠性原則

這套網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)的門戶。它的穩(wěn)定可靠關(guān)系重大，特別是WEB網(wǎng)上服務(wù)等具體業(yè)務(wù)項(xiàng)目，隨著使用的普及，信息平臺的運(yùn)行不穩(wěn)定甚至癱瘓將嚴(yán)重影響政府的形象，也將給為政府帶來不便和不可低估的損失。因此可靠性是平臺運(yùn)行的首要保證。

我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性，采用負(fù)載均衡技術(shù)、備份技術(shù)就是其中的重要策略。3.4 可擴(kuò)展性原則

網(wǎng)絡(luò)安全建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實(shí)施、逐步完善的的過程。我公司在該方案的設(shè)計(jì)中充分考慮它的可擴(kuò)展性，在實(shí)現(xiàn)基本的網(wǎng)絡(luò)被動(dòng)防護(hù)系統(tǒng)（安裝防火墻、VPN安全網(wǎng)關(guān)及其管理平臺）以及信息傳輸加密的前提下，為以后進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)防護(hù)系統(tǒng)，主要包括IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應(yīng)的接口，便于以后的擴(kuò)展以及與IDS等設(shè)備實(shí)現(xiàn)互動(dòng)。3.5 易管理性原則

網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。在系統(tǒng)設(shè)計(jì)時(shí)既要充分考慮平臺的易管理性，為平臺維護(hù)者提供方便的管理工具；同時(shí)又要設(shè)計(jì)規(guī)范但不失靈活的工作流程。另外，通過網(wǎng)管平臺，可以實(shí)現(xiàn)遠(yuǎn)程安全管理和本地管理等多種管理手段。第四章 XX證券VPN組網(wǎng)建設(shè)方案

4.1 VPN技術(shù)簡介

VPN（虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道），將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。在該網(wǎng)中的主機(jī)將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。對企業(yè)而言，VPN可以替代傳統(tǒng)租用線來連接計(jì)算機(jī)或局域網(wǎng)等。而任何VPN業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的，隧道機(jī)制是VPN實(shí)施的關(guān)鍵。數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號接入設(shè)備，讓自己的用戶撥號到公眾信息網(wǎng)上，就可以連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢。

在眾多的VPN解決方案中，IP-VPN脫穎而出，成為眾多企業(yè)組建VPN的首選方案。IP-VPN是指在運(yùn)行IP協(xié)議的網(wǎng)絡(luò)上實(shí)現(xiàn)的VPN。世界上最大的IP網(wǎng)絡(luò)就是Internet。由于Internet正在使用的IPv4協(xié)議在設(shè)計(jì)初期并沒有過多地考慮安全問題，因此無法為用戶解決他們所擔(dān)心的數(shù)據(jù)安全保密性。IP-VPN在使用了一些額外的安全技術(shù)后，解決了這一難題。

目前，國際主流的大多是基于Ipsec的VPN技術(shù)，該技術(shù)正在迅速走向成熟，而且它正處于興盛期。

圖4-1 VPN組網(wǎng)示意圖

虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)傳輸通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：

保證數(shù)據(jù)的真實(shí)性：通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)（IP Spoofing）的能力。

保證數(shù)據(jù)的完整性:接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。

保證通道的機(jī)密性:提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。

提供動(dòng)態(tài)密匙交換功能:提供密匙中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。

提供安全防護(hù)措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對VPN通道進(jìn)行訪問控制（Access Control）。

虛擬專用網(wǎng)VPN可以使在Internet中的信息交換有安全保障，大多數(shù)的VPN產(chǎn)品支持IPSec。最初VPN技術(shù)被設(shè)想為Intenet節(jié)點(diǎn)的連接方式，后來它很快被公認(rèn)為是一種遠(yuǎn)端的接入技術(shù)，例如在一個(gè)遠(yuǎn)程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術(shù)正在迅速走向成熟，而且它正處于興盛期。

安達(dá)通公司作為國內(nèi)領(lǐng)先的專業(yè)VPN廠商，投入了很大的人力、財(cái)力，經(jīng)過一段時(shí)間的研究和攻關(guān)，提出了國內(nèi)領(lǐng)先的全動(dòng)態(tài)地址VPN的解決方案。安達(dá)通公司的解決方案不但真正解決了全動(dòng)態(tài)VPN的組網(wǎng)問題，還融入了PKI技術(shù)，采用基于數(shù)字證書的身份認(rèn)證機(jī)制，解決了大規(guī)模VPN應(yīng)用中的設(shè)備管理和網(wǎng)絡(luò)管理的難題。4.2 產(chǎn)品選型

上海安達(dá)通信息安全技術(shù)有限公司（簡稱ADT）是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的公司。公司將自己定位為：基于PKI的網(wǎng)絡(luò)安全傳輸平臺供應(yīng)商。目前已經(jīng)擁有“PKI安全網(wǎng)關(guān)SGW系列、安全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載體SureID系列、證書中間件”等產(chǎn)品。形成了一個(gè)以CA為核心，證書為靈魂，網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件/設(shè)備相互聯(lián)動(dòng)、密切配合的構(gòu)建在PKI平臺上的網(wǎng)絡(luò)安全系統(tǒng)。

安全網(wǎng)關(guān)是一種結(jié)合防火墻、VPN技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且具有和入侵檢測系統(tǒng)（IDS）互動(dòng)的功能；隨著系統(tǒng)的升級，ADT安全網(wǎng)關(guān)SGW系列產(chǎn)品，還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測功能來增強(qiáng)“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。

另外，安達(dá)通公司的“安全網(wǎng)關(guān)”具有一個(gè)很明顯的技術(shù)優(yōu)勢――解決了目前國際上的VPN技術(shù)的難題――非固定IP間的VPN通訊連接（如：通訊雙方均采用ADSL進(jìn)行連接）。

故此，我們建議目前的各XX證券組網(wǎng)方式改為VPN組網(wǎng)方案。

VPN組網(wǎng)除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外，還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(wǎng)（PSTN）提供的服務(wù)：如Modem撥號方式、ISDN、ADSL等。利用專線、幀中繼/ATM或以太網(wǎng)方式，從經(jīng)濟(jì)上和功能上不太適合的組網(wǎng)需求，利用電話線路的組網(wǎng)方式中，由于Modem撥號方式從技術(shù)上、管理上、安全上不太適合目前業(yè)務(wù)發(fā)展的需要。ADSL是電信力推的企事業(yè)單位上網(wǎng)模式，不但速度快、性能好、實(shí)時(shí)性好，針對的應(yīng)用特點(diǎn)和聯(lián)網(wǎng)規(guī)模，從經(jīng)濟(jì)上也是前幾種組網(wǎng)方式所不能比擬的。

針對的實(shí)際需求和具體應(yīng)用，我們推薦此方案采用安達(dá)通公司的SGW25C、SGW25B、SGW25A等型號的硬件產(chǎn)品。4.3 網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署

1、總部設(shè)計(jì)方案

考慮到目前總部服務(wù)器的高安全性、高載荷和將來的發(fā)展，建議在總部業(yè)務(wù)線路（100M線路上）放置兩臺安達(dá)通SGW25C型VPN安全網(wǎng)關(guān)。為了避免出現(xiàn)單點(diǎn)故障，兩網(wǎng)關(guān)作雙機(jī)熱備。

利用安達(dá)通安全網(wǎng)關(guān)的VPN技術(shù)建立總部和下面各營業(yè)點(diǎn)的“安全隧道”，實(shí)現(xiàn)總部和營業(yè)點(diǎn)之間安全的VPN“虛擬專用通道”。

利用安達(dá)通安全網(wǎng)關(guān)的防火墻功能實(shí)現(xiàn)基本的訪問控制和安全隔離。普通數(shù)據(jù)包通過防火墻模塊到達(dá)XX證券內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)包狀態(tài)檢測和訪問控制功能。只有需要加密的數(shù)據(jù)和信息才可以通過安達(dá)通VPN網(wǎng)關(guān)到總部內(nèi)部網(wǎng)絡(luò)，對于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進(jìn)行過濾和處理。

另外，作為VPN備份線路，建議在總部的另外一個(gè)出口（10M線路，用于內(nèi)部訪問互聯(lián)網(wǎng)）處步署一臺安達(dá)通SGW25B安全網(wǎng)關(guān)，當(dāng)業(yè)務(wù)線路出現(xiàn)故障（如路由器出現(xiàn)故障，被攻擊，或者電信部門調(diào)整線路）時(shí)，下面各營業(yè)點(diǎn)可以同該網(wǎng)關(guān)（SGW25B）建立VPN通道，從而連接到內(nèi)部網(wǎng)絡(luò)。

2、全國各營業(yè)點(diǎn)網(wǎng)絡(luò)設(shè)計(jì)方案

目前各營業(yè)點(diǎn)的使用adsl接入互聯(lián)網(wǎng)，鑒于其網(wǎng)絡(luò)流量不是很大的特點(diǎn)，建議在各營業(yè)點(diǎn)步署安達(dá)通公司SGW25A安全網(wǎng)關(guān)，利用其VPN功能，可以通總部建立VPN通道，從而安全的連接到總部內(nèi)部網(wǎng)絡(luò)；另外，利用其強(qiáng)大的防火墻功能，可以保護(hù)營業(yè)點(diǎn)內(nèi)部網(wǎng)絡(luò)。VPN組網(wǎng)結(jié)構(gòu)如下： 圖4-2 XX證券VPN組網(wǎng)結(jié)構(gòu)示意圖

第二篇：電信行業(yè)VPN解決方案

SSLVPN

電信行業(yè)VPN解決方案

時(shí)間：2004-7-4 14:40:27 來自： 點(diǎn)擊：185

隨著國內(nèi)電信市場的高速發(fā)展，各大運(yùn)營商如電信、網(wǎng)通、聯(lián)通等等都在大力推廣內(nèi)部的信息化應(yīng)用，利用先進(jìn)的信息化管理系統(tǒng)來改善內(nèi)部的管理。同時(shí)，為了更好的給用戶提供服務(wù)，也逐步的將營業(yè)網(wǎng)點(diǎn)和業(yè)務(wù)代辦點(diǎn)建到了眾多的場所。

雖然運(yùn)營商自身有著豐富的網(wǎng)絡(luò)資源，骨干網(wǎng)絡(luò)完全可以通過自有的DDN甚至光纖等其他專用線路來構(gòu)建，但如何實(shí)現(xiàn)各移動(dòng)用戶隨時(shí)安全的接入內(nèi)部網(wǎng)絡(luò)、如何將廣大的代理商也能接入網(wǎng)絡(luò)訪問必要的數(shù)據(jù)，成為了運(yùn)營商構(gòu)建自身信息平臺的重要問題之一。

隨著近期各種寬帶上網(wǎng)方式（如ADSL）的普及，新型的移動(dòng)接入方式也層出不窮，眾多的運(yùn)營商開始采用Internet作為網(wǎng)絡(luò)傳輸?shù)难a(bǔ)充平臺、在此基礎(chǔ)上構(gòu)建安全方便的VPN虛擬網(wǎng)絡(luò)。

遠(yuǎn)程辦公，遠(yuǎn)程營業(yè)

各個(gè)服務(wù)中心開展現(xiàn)場營銷活動(dòng)時(shí)，客戶經(jīng)理在現(xiàn)場通過VPN連接總部獲得營業(yè)信息，使用內(nèi)部運(yùn)營管理系統(tǒng)。在臨時(shí)需要與總部聯(lián)網(wǎng)時(shí)，不必架設(shè)繁瑣的專用線路。只需要以任意方式接入Internet即可。

領(lǐng)導(dǎo)在外出差或在家辦公時(shí)，只要能上網(wǎng)、安裝VPN客戶端軟件，就可以登陸內(nèi)部辦公系統(tǒng)，及時(shí)審批公文和處理業(yè)務(wù)。

員工休假或出差時(shí)，也能及時(shí)通過VPN客戶端、連接到內(nèi)部辦公系統(tǒng)獲取公司信息。

實(shí)現(xiàn)效果:

原來各營業(yè)廳的客戶經(jīng)理在進(jìn)行現(xiàn)場銷售活動(dòng)時(shí)，開通業(yè)務(wù)必須要到營業(yè) 廳內(nèi)、很不方便，使用iGate SSL VPN，可以在戶外現(xiàn)場直接開通業(yè)務(wù)，大大提高效率并提升了運(yùn)營商的形象。

原來領(lǐng)導(dǎo)和員工外出辦公，只能通過Modem撥號接入到辦公網(wǎng)，速度很慢，使用iGate SSL VPN后，可以通過寬帶接入辦公網(wǎng)，速度大大提高，提高了工作效率。通過對接入授權(quán)的配置，提供給不同用戶不同的權(quán)限，加強(qiáng)了辦公網(wǎng)的內(nèi)部安全。

連接合作伙伴、遠(yuǎn)程維護(hù)

替代原來的Modem接入方式或?qū)＞€接入方式，將代理商接入到計(jì)費(fèi)網(wǎng)絡(luò)，使代理商可以在授權(quán)范圍內(nèi)自行開通和查詢所代理的業(yè)務(wù)。

電信機(jī)房維護(hù)人員通過VPN，遠(yuǎn)程維護(hù)電信設(shè)備。

原來領(lǐng)導(dǎo)和員工外出辦公，無法連接到辦公網(wǎng)辦公，使用iGate SSL VPN后，無論何時(shí)，何地，采用任何設(shè)備均可訪問內(nèi)部資源，提高了工作效率。

工程人員和運(yùn)維人員可以遠(yuǎn)程維護(hù)機(jī)房設(shè)備，大大提高工作效率。在 iGate 上有嚴(yán)格的接入限制和授權(quán)，保證遠(yuǎn)程用戶接入的安全性。

安全性充分滿足了運(yùn)營商的需要：

VPN網(wǎng)絡(luò)的安全性有三層含義：一是數(shù)據(jù)傳輸?shù)陌踩?；二是用戶接入的安全；三是對?nèi)網(wǎng)資源的訪問安全。一般來說，所有的VPN產(chǎn)品都會(huì)通過數(shù)據(jù)加密技術(shù)來保障數(shù)據(jù)傳輸?shù)陌踩?，也?huì)通過用戶名密碼或其他的證書認(rèn)證方式等等，來保證用戶接入的安全。但對內(nèi)網(wǎng)資源的訪問安全，則很多VPN產(chǎn)品都沒有妥善的考慮。

運(yùn)營商的內(nèi)部網(wǎng)絡(luò)資源繁多，也極其重要。所以首先必須保證合法的用戶才能接入到網(wǎng)絡(luò)中來，其次、對每個(gè)接入的用戶，都必須設(shè)置相應(yīng)的訪問權(quán)限，只允許訪問授權(quán)范圍內(nèi)的網(wǎng)絡(luò)資源。

iGate SSL VPN采用了基于硬件的身份認(rèn)證技術(shù)來解決用戶的接入認(rèn)證問題，即ikey身份驗(yàn)證令牌。只有在客戶端插入ikey，輸入PIN碼，通過認(rèn)證，才可訪問被授權(quán)的資源。

另外，iGate SSL VPN還增強(qiáng)了對內(nèi)網(wǎng)的安全設(shè)置，保障了第三個(gè)層次――內(nèi)網(wǎng)資源訪問的安全。尤其是接入的VPN用戶并非是內(nèi)部工作人員（如供應(yīng)商、客戶、合作伙伴等）時(shí)，對VPN用戶訪問權(quán)限需要更嚴(yán)格的設(shè)定。iGate提供了對內(nèi)網(wǎng)訪問權(quán)限的基于角色的設(shè)定，可以對不同的用戶分配不同的權(quán)限規(guī)則，避免內(nèi)部出現(xiàn)的安全隱患，一個(gè)合法的VPN用戶接入總部后，他對總部資源的訪問權(quán)限能夠被限定在一個(gè)很小的范圍內(nèi)，例如總部有多個(gè)應(yīng)用系統(tǒng)（如OA、財(cái)務(wù)、HR、CRM等等），一個(gè)普通的業(yè)務(wù)人員在聯(lián)入VPN后只能訪問OA或CRM，而公司領(lǐng)導(dǎo)則可以同時(shí)訪問所有的應(yīng)用系統(tǒng)，所有的這些權(quán)限都可以通過簡單的配置迅速完成，極大的方便了IT安全部門的管理工作。

對移動(dòng)用戶的支持非常方便易用：

移動(dòng)用戶不可能帶著硬件設(shè)備來接入公司VPN網(wǎng)絡(luò)，有些低端的VPN產(chǎn)品解決移動(dòng)用戶的方式是直接調(diào)用操作系統(tǒng)自帶的VPN功能，采用PPTP虛擬撥號的方式接入總部，只有基本的用戶名密碼驗(yàn)證，安全級別非常低；另外不能同時(shí)訪問內(nèi)網(wǎng)和Internet，也造成了極大的不便。

iGate SSL VPN對移動(dòng)用戶提供了強(qiáng)大的支持，并且支持“移動(dòng)IP”。移動(dòng)用戶不但能夠接入企業(yè)VPN網(wǎng)絡(luò)，而且能夠獲取與在局域網(wǎng)內(nèi)時(shí)相同的內(nèi)網(wǎng)IP地址，并能夠通過該IP地址與內(nèi)部網(wǎng)絡(luò)相互通信。這就使得移動(dòng)用戶不但可以訪問企業(yè)網(wǎng)絡(luò)，同時(shí)在外出時(shí)、也能夠被局域網(wǎng)所找到，完全象在同一個(gè)局域網(wǎng)內(nèi)一樣。

ikey身份驗(yàn)證令牌可以將移動(dòng)用戶的安全策略存儲在類似U盤的USB Key中，這樣移動(dòng)用戶隨身攜帶標(biāo)識自己身份和存儲了對應(yīng)安全策略配置信息的ikey，可以在任何一臺電腦安全的接入到總部。用戶只需要插入ikey，輸入PIN碼就可以完成接入，做到了VPN客戶端零配置，和使用銀行取款機(jī)一樣安全方便。簡單易用性達(dá)到極點(diǎn)。

第三篇：MSTP組網(wǎng)類解決方案

中國人民銀行西安分行網(wǎng)絡(luò)升級

解決方案

中國電信股份有限公司西安分公司

2018年5月

目錄

1、中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀及需求分析...........................3

1.1 中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀................................3 1.2中國人民銀行西安分行需求分析.................................3

2、中國人民銀行西安分行解決方案....................................4

2.1 方案設(shè)計(jì)原則................................................4 2.2 中國人民銀行西安分行MSTP組網(wǎng)解決方案.......................5

3、MSTP組網(wǎng)方案特點(diǎn)...............................................5

4、方案優(yōu)勢........................................................6

1、中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀及需求分析

1.1 中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀

中國人民銀行西安分行目前的全省廣域網(wǎng)線路已運(yùn)行多年，具體形式為： 1.西安分行核心路由器通過CPOS光口與電信方專業(yè)傳輸設(shè)備對接，實(shí)現(xiàn)9個(gè)地市及營業(yè)部單位的數(shù)據(jù)互聯(lián)；

2.目前共開通有11條SDH數(shù)字電路，每條電路帶寬為10M，每個(gè)地市單位同時(shí)開通1條SDH數(shù)字電路，并通過西安分行路由器和地市及營業(yè)部單位路由器進(jìn)行互聯(lián)使用；

3.每個(gè)地市及營業(yè)部單位10M帶寬承載了公文、視頻會(huì)議系統(tǒng)等重要業(yè)務(wù)。4.經(jīng)現(xiàn)場與客戶網(wǎng)絡(luò)設(shè)備廠家技術(shù)人員確認(rèn)：

? 中心端路由器具備空閑千兆FE電口，并且端口具備劃分子接口（VLAN）的功能；

? 地市及營業(yè)部單位路由器均空閑有1個(gè)以太網(wǎng)端口。

1.2中國人民銀行西安分行需求分析

中國人民銀行西安分行現(xiàn)廣域網(wǎng)已經(jīng)運(yùn)行多年，隨著政務(wù)系統(tǒng)信息化建設(shè)的推進(jìn)，現(xiàn)有的網(wǎng)絡(luò)帶寬已經(jīng)不能滿足業(yè)務(wù)量激增的需要，急需進(jìn)行升級擴(kuò)容，具體要求包括：

1、將西安分行至9個(gè)地市及營業(yè)部單位的廣域網(wǎng)帶寬由10M提升至20M;

2、盡可能利舊現(xiàn)有設(shè)備實(shí)現(xiàn)升速；

3、整個(gè)網(wǎng)絡(luò)升級擴(kuò)容不能影響到正常工作，并且升級后全網(wǎng)的ip地址不需要變更。

2、中國人民銀行西安分行解決方案

2.1 方案設(shè)計(jì)原則

針對中國人民銀行西安分行廣域網(wǎng)升級項(xiàng)目的重要性和特殊性，我們在設(shè)計(jì)項(xiàng)目解決方案時(shí)特別遵循了以下設(shè)計(jì)原則： ? 先進(jìn)性原則

從較高的起點(diǎn)對網(wǎng)絡(luò)建設(shè)進(jìn)行規(guī)劃，充分采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)，滿足中國人民銀行西安分行業(yè)務(wù)數(shù)據(jù)傳輸需要。用中國電信的傳輸網(wǎng)絡(luò)優(yōu)質(zhì)資源提供全面的解決方案，形成統(tǒng)一先進(jìn)的通信系統(tǒng)。? 可靠性原則

網(wǎng)絡(luò)設(shè)計(jì)過程中從網(wǎng)絡(luò)技術(shù)、骨干路由、專線保護(hù)等多方面考慮中國人民銀行西安分行廣域網(wǎng)線路的可靠性，保證數(shù)據(jù)傳輸?shù)陌踩煽?。同時(shí)提供的7*24小時(shí)的服務(wù)保障，從技術(shù)和服務(wù)兩方面保證中國人民銀行西安分行業(yè)務(wù)專網(wǎng)可用性達(dá)到要求。

? 經(jīng)濟(jì)性原則

通過技術(shù)、經(jīng)濟(jì)比較，性能、價(jià)格比較，選擇優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，做到從實(shí)際出發(fā)，制定經(jīng)濟(jì)、合理的方案，為用戶實(shí)現(xiàn)一個(gè)高可用、高安全的專網(wǎng)線路服務(wù)。? 可擴(kuò)充性原則

考慮到中國人民銀行西安分行業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)承載的信息流量不斷增加。中國人民銀行西安分行專線的設(shè)計(jì)中須考慮未來帶寬擴(kuò)容的需要，從網(wǎng)絡(luò)和設(shè)備的配置上都要保留一定的擴(kuò)充余地，便于未來擴(kuò)容需要。

第四篇：OA辦公自動(dòng)化系統(tǒng)組網(wǎng)解決方案

oa 辦公自動(dòng)化系統(tǒng)利用先進(jìn)的技術(shù)，使人的各種辦公業(yè)務(wù)活動(dòng)逐步由各種設(shè)備、各種人機(jī)信息系統(tǒng)來協(xié)助完成，達(dá)到充分利用信息，提高工作效率和工作 質(zhì)量，提高生產(chǎn)率的目的。作為企業(yè)信息化的重要組成部分，oa系統(tǒng)一直都是必須的一項(xiàng)業(yè)務(wù)。隨著企業(yè)的發(fā)展，開設(shè)分公司、新辦事處、在家辦公、移動(dòng)辦公等都成了一種新的需求。因此，oa系統(tǒng)的應(yīng)用不僅僅局限于某個(gè)公司總部或單位總局小型局域網(wǎng)了，現(xiàn)在總部都需要實(shí)現(xiàn)和分支機(jī)構(gòu)的互聯(lián)，使oa系統(tǒng)中的個(gè)人辦公、公文系統(tǒng)、綜合業(yè)務(wù)、行政管理、綜合信息等資源共享，讓公司管理更加統(tǒng)一規(guī)范，保證物流、信息流的實(shí)時(shí)更新，確保公司市場信息的及時(shí)傳遞，營銷方案的及時(shí)執(zhí)行，提高工作效率；對于政府機(jī)構(gòu)來講，需要實(shí)現(xiàn)和分局的實(shí)時(shí)聯(lián)絡(luò)，保證公文流轉(zhuǎn)的時(shí)效性和安全性等等。

要實(shí)現(xiàn)這些目標(biāo)，過去通過電話，電子郵件，不僅效率低，而且費(fèi)用也不低；采用ddn專線造價(jià)太高，用modem遠(yuǎn)程撥號的方式速度又太慢。如何達(dá)到價(jià)格和性能的完美統(tǒng)一呢？有了iceflow vpn，只需要運(yùn)行一套c/s、或者b/s的oa系統(tǒng)，全球各地的同事就可以協(xié)作完成任務(wù)了。

iceflow vpn特點(diǎn)

◇ 安全：iceflow vpn基于國際標(biāo)準(zhǔn)ipsec協(xié)議構(gòu)建，采用192位idea、des、3des高強(qiáng)度加密算法，并采用動(dòng)態(tài)密鑰交換機(jī)制，其具有全面日志分析管理功能，最大程度保證公網(wǎng)傳輸中數(shù)據(jù)安全問題?？梢詫⒎植縫ptp用戶和特定主機(jī)綁定，即使pptp客戶用戶名密碼泄漏也絕無安全隱患。另外，與某類產(chǎn)品相比，iceflow vpn免受網(wǎng)絡(luò)上病毒的攻擊，也避免重啟等手續(xù)，更有效保證數(shù)據(jù)傳輸?shù)陌踩?/p>

◇ 穩(wěn)定：iceflow vpn按照工業(yè)標(biāo)準(zhǔn)設(shè)計(jì)，支持30000小時(shí)連續(xù)無故障運(yùn)行，自動(dòng)撥號，斷線后可在線路恢復(fù)正常后10秒內(nèi)恢復(fù)正常運(yùn)行，支持單機(jī)雙線路和雙機(jī)分流備份，有效保證數(shù)據(jù)流暢通

◇ 靈活：iceflow vpn可實(shí)時(shí)查看當(dāng)前數(shù)據(jù)流量；支持ddn，adsl，cable等多種方式接入internet；支持網(wǎng)狀結(jié)構(gòu)和星型結(jié)構(gòu)等多種組網(wǎng)方式；可通過監(jiān)控中心即時(shí)監(jiān)測各個(gè)節(jié)點(diǎn)使用狀態(tài)等，內(nèi)建update功能，一般新發(fā)布的功能均可以免費(fèi)得到。性價(jià)比高：iceflow vpn與同行業(yè)產(chǎn)品相比，價(jià)格合理，并且根據(jù)性能檔次分不同價(jià)位，可滿足不同用戶需求。iceflow充分考慮用戶的實(shí)際需求，為其良身定放產(chǎn)品

方案概述

oa辦公自動(dòng)化vpn組網(wǎng)原理和遠(yuǎn)程erp系統(tǒng)組網(wǎng)原理相同，都屬于應(yīng)用系統(tǒng)遠(yuǎn)程組網(wǎng)。iceflow建議，只需要在客戶的總部以及各個(gè)分支機(jī)構(gòu)分別放一臺iceflow系列路由器，各點(diǎn)通過adsl或其它方式接入公網(wǎng)internet，就可以為客戶構(gòu)建廉價(jià)，穩(wěn)定的vpn網(wǎng)絡(luò)。因公司或企業(yè)領(lǐng)導(dǎo)需要在家或出差在外時(shí)仍能方便辦公，故可采用pptp撥號方式接入，實(shí)現(xiàn)與總部的互聯(lián)。

網(wǎng)絡(luò)架構(gòu)

◇ 總部：總部一般來講是企業(yè)信息存放、處理的中心，網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實(shí)時(shí)性要求高；因此推薦采用高性能的iceflow r5000h作為接入服務(wù)器。對于實(shí)時(shí)要求很高的企業(yè)用戶，可以在總部采用兩臺r5000h 作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸

◇ 分支機(jī)構(gòu)：企業(yè)分支機(jī)構(gòu)一般指分布在全國各地規(guī)模中等的分公司，公司內(nèi)部建有中等規(guī)模的局域網(wǎng)，同時(shí)通過當(dāng)?shù)豬sp提供的寬帶接入方式接入因特網(wǎng)。安裝一臺iceflowr5000l或1700h路由器，作為客戶端接入總部

◇ 移動(dòng)辦公用戶：采用pptp或l2tp協(xié)議，接入總部，可支持cdma/gprs及802.11b等無線移動(dòng)接入，用戶即使在乘坐車船甚至飛機(jī)的途中，可隨時(shí)隨地實(shí)現(xiàn)移動(dòng)辦公

第五篇：1 證券解決方案

證券解決方案

證券行業(yè)的網(wǎng)絡(luò)應(yīng)用主要分為兩大方面：營業(yè)部網(wǎng)絡(luò)和證券公司廣域網(wǎng)。前者實(shí)現(xiàn)了各營業(yè)部的基本工作職能，側(cè)重于局域網(wǎng)建設(shè)；后者則滿足了大型跨地域證券公司的網(wǎng)絡(luò)互連需求和增值服務(wù)的實(shí)現(xiàn)。為此，通威公司針對兩類應(yīng)用的特點(diǎn)分別提出了相應(yīng)的解決方案。

1、營業(yè)部網(wǎng)絡(luò)

營業(yè)部網(wǎng)絡(luò)的功能由以下幾部分組成：

1、交易/行情業(yè)務(wù)處理

這是每一個(gè)證券營業(yè)部網(wǎng)絡(luò)所要提供的基本職能。它需要為用戶提供行情公告和委托下單服務(wù)，一般基于Novell網(wǎng)絡(luò)操作系統(tǒng)應(yīng)用程序；同時(shí)還要具有交易清算的功能，這一般在Windows NT或UNIX環(huán)境下完成。交易/行情業(yè)務(wù)數(shù)據(jù)以文字為主，僅帶有少量圖形信息，但數(shù)據(jù)量大，更新頻繁，其網(wǎng)絡(luò)傳遞能力代表了證券營業(yè)部的服務(wù)質(zhì)量和市場競爭 力，因此為這項(xiàng)主業(yè)務(wù)作支撐的網(wǎng)絡(luò)要求具有很高的可靠性、數(shù)據(jù)傳輸速率和安全性。根據(jù)各營業(yè)部規(guī)模不同，網(wǎng)絡(luò)環(huán)境大多采用100/1000M交換以太網(wǎng)作主干，10/100M 交換以太網(wǎng)到桌面的連接方式。

2、辦公管理

除業(yè)務(wù)處理外，辦公管理現(xiàn)代化也是行業(yè)發(fā)展的必然趨勢，它可將營業(yè)部的各項(xiàng)管理數(shù)據(jù)作電子存檔，通過網(wǎng)絡(luò)共享，做到準(zhǔn)確、及時(shí)、方便的信息交流，這部分?jǐn)?shù)據(jù)以文字和圖形為主，一般采用界面友好的瀏覽器形式操作。相對主業(yè)務(wù)數(shù)據(jù)而言，辦公管理對網(wǎng)絡(luò)實(shí)時(shí)性要求不高，主要強(qiáng)調(diào)系統(tǒng)的安全可靠、穩(wěn)定和經(jīng)濟(jì)性。為此網(wǎng)絡(luò)采用100M交換以太網(wǎng)主干，10M交換到桌面的連接方式就足以滿足需求了。

3、通信服務(wù)

通信服務(wù)的內(nèi)容涉及多個(gè)方面。這主要包括：發(fā)展證券公司內(nèi)部Intranet,以WEB、電子郵件等方式加強(qiáng)辦公管理；進(jìn)一步與當(dāng)?shù)匦畔⒏?、互?lián)網(wǎng)連通，實(shí)現(xiàn)資源共享，同時(shí)擴(kuò)展市場影響力；增加本地?fù)苋敕?wù)，建立遠(yuǎn)程大戶室，從而開拓新的業(yè)務(wù)范圍等。這部分功能體現(xiàn)了證券公司的增值能力，其應(yīng)用特點(diǎn)為靈活、多樣，并且往往要借助于廣域網(wǎng)鏈路來實(shí)現(xiàn)，要求系統(tǒng)可靠、擴(kuò)展能力強(qiáng)，廣域網(wǎng)鏈路經(jīng)濟(jì)，而互聯(lián)網(wǎng)的接入則對網(wǎng)絡(luò)的安全性提出考驗(yàn)。為此可采用防火墻和認(rèn)證軟件來保證系統(tǒng)的安全可靠，采用模塊化設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備保證系統(tǒng)的擴(kuò)充能力，并采用優(yōu)化的帶寬管理、多種鏈路技術(shù)、高速緩存等來保證廣域網(wǎng)鏈路的經(jīng)濟(jì)性。

證券營業(yè)部網(wǎng)絡(luò)的各項(xiàng)功能并非是各自獨(dú)立的，而是相輔相成，并最終在一個(gè)統(tǒng)一的網(wǎng)絡(luò)架構(gòu)中實(shí)現(xiàn)。綜上所述，這個(gè)網(wǎng)絡(luò)的主體要求是：

? 可靠，不停機(jī)－－系統(tǒng)有一定的冗余和備份，故障恢復(fù)迅速；

高速－－在用戶數(shù)據(jù)較多、突發(fā)流量大的情況下，不容許出現(xiàn)網(wǎng)絡(luò)瓶頸，阻礙正常交易；

安全－－鑒于網(wǎng)絡(luò)中傳遞的信息就是金錢，一定要保證數(shù)據(jù)安全保密，防止不良分子破壞，尤其在互聯(lián)網(wǎng)接入、危機(jī)四伏的情況下，網(wǎng)絡(luò)安全更要引起重視；

可管理性－－為保證系統(tǒng)良好的運(yùn)行，滿足前述幾項(xiàng)要求，營業(yè)部網(wǎng)絡(luò)也需要實(shí)施完善的管理，如精確分析網(wǎng)絡(luò)流量、確定系統(tǒng)運(yùn)行狀態(tài)，監(jiān)控非法用戶入侵等。? ?

結(jié)合上述網(wǎng)絡(luò)要求，并針對不同的營業(yè)部規(guī)模和各自應(yīng)用特點(diǎn)，通威公司提出了以下多種解決方案。

(1)500節(jié)點(diǎn)以下證券營業(yè)部解決方案

這是針對相對小型的證券營業(yè)部提出的解決方案，方案特點(diǎn)如下。

1.系統(tǒng)全套備份，主干交換機(jī)的全冗余配置，每個(gè)工作站到每臺服務(wù)器都有多條連接鏈路，并采用快速以太網(wǎng)通道化、快速上聯(lián)恢復(fù)和快速端口恢復(fù)等技術(shù)充分確保網(wǎng)絡(luò)的可靠性。

2.高性能全交換，利用快速以太網(wǎng)通道化/千兆以太網(wǎng)通道化技術(shù)擴(kuò)展網(wǎng)絡(luò)帶寬，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；

3.系統(tǒng)安全，保密性高，交換機(jī)端口安全設(shè)置技術(shù)保證了局域網(wǎng)環(huán)境的安全，而IOS操作系統(tǒng)集成防火墻功能構(gòu)成了廣域連接安全屏障；

4.管理簡單，可在用戶熟悉的瀏覽器界面下，對系統(tǒng)的交換機(jī)實(shí)施配置和監(jiān)控。管理人員也無需專門培訓(xùn)。

A、百兆主干方案

根據(jù)經(jīng)濟(jì)承受能力的不同，對500節(jié)點(diǎn)以下的營業(yè)部解決方案可以有百兆主干和千兆主干兩種方式，百兆主干方案拓?fù)浣Y(jié)構(gòu)如下

由下圖可看出，該方案網(wǎng)絡(luò)設(shè)備組成為(斜杠表示可互換設(shè)備)

Catalyst 3524/2948G交換機(jī) 兩臺

Catalyst 2924/3524/3548交換機(jī) 十臺 Cisco 2600路由器 一臺

思科公司的Catalyst 3524或Catalyst 2948G交換機(jī)是這一網(wǎng)絡(luò)的核心設(shè)備，Catalyst 3524提供了24個(gè)10/100M自適應(yīng)的快速以太網(wǎng)端口和兩上千兆以太網(wǎng)端口，Catalyst 2948G則具有48個(gè)10/100M快速以太網(wǎng)端口和兩個(gè)千兆以太網(wǎng)端口，可分別用于對工作站數(shù)量有不同要求的應(yīng)用，由圖1可看出，兩臺Catalyst 3524/2948G各自利用兩個(gè)百兆端口通過Cisco FEC(快速以太網(wǎng)通道，F(xiàn)ast Ethernet Channel)接成高達(dá)400M的無阻塞通道，成為該網(wǎng)絡(luò)的主干；每臺Catalyst 3524/2948G又分別和十臺二級交換機(jī)Catalyst 2924/3524/3548級聯(lián)，共可為220-460個(gè)10M或100M用戶工作站提供網(wǎng)絡(luò)接 入；同時(shí)，為保證交易服務(wù)器和行情服務(wù)器的高數(shù)據(jù)傳輸率，主干交換機(jī)Catalyst 3524/2948G又以100M甚至1000M帶寬分別與各臺服務(wù)器相連，使下級工作站的大量訪問數(shù)據(jù)得以暢通無阻。

為實(shí)現(xiàn)前文所述的營業(yè)部網(wǎng)絡(luò)的第三項(xiàng)功能－－通信服務(wù)，方案中還引入了思科公司的路由器Cisco 2600，這是一款功能靈活、得以廣泛應(yīng)用的中檔路由器，除了有固定的10M或10/100M局域網(wǎng)端口外，還具備一個(gè)NM網(wǎng)絡(luò)插槽和兩個(gè)WIC廣域網(wǎng)接口插槽，所選模塊可以有多種組合：如NM-8AM模塊可為遠(yuǎn)程大戶同時(shí)建立八條115.2K的電話撥號連接；WIC－IT可通過DDN專線或幀中繼接入Internet或公司總部；WIC-IB則可提供一條ISDN撥號鏈路……營業(yè)部可根據(jù)自身需求選擇適合的Cisco 2600型號和相應(yīng)模塊，空余的插槽可為以后網(wǎng)絡(luò)升級留出空間。

除了硬件選配的靈活多樣外，Cisco 2600在操作系統(tǒng)軟件性能上也可以有豐富的功能選擇。圖1中所示的路由器后方帶有一個(gè)紅色磚墻標(biāo)志，它表示該路由器兼任了防火墻－－這是通過操作系統(tǒng)升級而具備的增強(qiáng)功能，它使路由器在承擔(dān)遠(yuǎn)程連接的同時(shí)實(shí)施數(shù)據(jù)包檢驗(yàn)和過濾，防止非法用戶侵入到內(nèi)部局域網(wǎng)中。

考慮到遠(yuǎn)程大戶室的發(fā)展趨勢，在每套解決方案中都用到了800/1700路由器來引入遠(yuǎn)程大戶連接，這套方案中用到了思科公司的低端路由器Cisco 800/1700，它提供了對內(nèi)的10/100M局域網(wǎng)接口和對外的128K的ISDN或?qū)＞€連接，通過專用線路實(shí)現(xiàn)遠(yuǎn)程交易或?yàn)g覽等應(yīng)用。ISDN是國內(nèi)已廣泛應(yīng)用的一種撥號技術(shù)，按連接時(shí)間計(jì)費(fèi)，費(fèi)用比普通電話線稍高，但帶寬能達(dá)到普通電話線的3-4倍，且傳輸穩(wěn)定，連接迅速。

思科公司產(chǎn)品系統(tǒng)的中、低端路由器都可以通過操作系統(tǒng)升級具備防火墻性能，在承擔(dān)遠(yuǎn)程連接的同時(shí)實(shí)施數(shù)據(jù)包檢驗(yàn)和過濾，防止非法用戶入侵到內(nèi)部局域網(wǎng)中。對連接到廣域網(wǎng)的用戶來說，安全性是網(wǎng)絡(luò)設(shè)計(jì)中不可忽視的一項(xiàng)重要因素。

這種局域網(wǎng)設(shè)計(jì)的最大特點(diǎn)是高效率、高可靠性、高安全性和高可管理性；并且成本較低，網(wǎng)絡(luò)結(jié)構(gòu)易于搭建和管理，兼顧了證券營業(yè)部的多方面應(yīng)用。高效率體現(xiàn)在FEC技術(shù)的使用、網(wǎng)絡(luò)的分層結(jié)構(gòu)和帶寬的合理分配上。FEC技術(shù)是鏈路帶寬擴(kuò)容的一條重要途徑。它可在100M或1000M以太網(wǎng)端口間實(shí)現(xiàn)，用于將多條并行鏈路的帶寬疊加起來。這項(xiàng)技術(shù)能夠把2-4組高速端口之間的連接帶寬聚合在一起，在全雙工工作模式下達(dá)到400M-800M的帶寬，這樣多條鏈路被用作單條高速數(shù)據(jù)通道，避免了回路的形成。以太網(wǎng)通道技術(shù)也體現(xiàn)了產(chǎn)品的可擴(kuò)充性能，能充分利用現(xiàn)有設(shè)備實(shí)現(xiàn)高速數(shù)據(jù)傳遞。

高可靠性則由兩臺主干交換機(jī)的全冗余充分表現(xiàn)出來：從每個(gè)工作站到每臺服務(wù)器都有多條連接鏈路，這樣即使其中一條鏈路斷線或一個(gè)主干交換機(jī)發(fā)生故障，都能在用戶覺察不到的極短時(shí)間內(nèi)啟用備份恢復(fù)數(shù)據(jù)傳遞，從而保證了系統(tǒng)穩(wěn)定可靠的運(yùn)行。思科交換機(jī)所支持的幾種容錯(cuò)技術(shù)，如FEC、Uplink-Fast(快速上聯(lián)恢復(fù))和Port-Fast(快速端口恢復(fù))技術(shù)能夠充分確保網(wǎng)絡(luò)的可靠性。FEC技術(shù)的引入在實(shí)現(xiàn)帶寬擴(kuò)充的同時(shí)，多條鏈路被用作單條高速數(shù)據(jù)通道，避免了回路的形成，另外通道中部分線路的故障不影響其它線路的帶寬聚合，從而也保障了網(wǎng)絡(luò)的可靠性。快速上聯(lián)恢復(fù)是用在交換機(jī)間級聯(lián)鏈路上的一項(xiàng)技術(shù)。它使備份端口直接由阻塞進(jìn)入到轉(zhuǎn)發(fā)狀態(tài)，從而使網(wǎng)絡(luò)收斂時(shí)間從40秒大大縮短至5秒以內(nèi)。快速端口恢復(fù)技術(shù)應(yīng)用在直接連接工作站或服務(wù)器的交換機(jī)端口上，它與快速上聯(lián)恢復(fù)的工作原理類似，將轉(zhuǎn)換延遲從40秒縮短至2秒以內(nèi)，這樣在交換機(jī)上接入新的工作站，或改變某工作站的所接端口時(shí)，該站點(diǎn)能很快進(jìn)入工作狀態(tài)。

系統(tǒng)的安全性包含了局域網(wǎng)的安全性和廣域網(wǎng)的安全性。思科局域網(wǎng)交換機(jī)能夠進(jìn)行端口安全的設(shè)置，交換機(jī)端口所連的各個(gè)工作站/服務(wù)器都有自己唯一的MAC地址，為此對應(yīng)交換機(jī)的每端口都有一下MAC地址表。網(wǎng)絡(luò)管理員可手動(dòng)地在表中加入特定的MAC和端口的對應(yīng)關(guān)系，將設(shè)備與端口綁定，防止假冒身份的非法用戶通過網(wǎng)絡(luò)中其它交換機(jī)接入；此外，端口安全機(jī)制還體現(xiàn)在對每端口所支持MAC地址數(shù)的限定上。在廣域網(wǎng)方面，思科公司路由器的操作系統(tǒng)IOS能夠集成防火墻功能。這使路由器在完成路由和遠(yuǎn)程連接功能的同時(shí)充當(dāng)安全屏障－－防火墻的角色，對規(guī)模較小的證券營業(yè)部，IOS防火墻不失為一種經(jīng)濟(jì)的選擇。

此外，系統(tǒng)的管理相對簡單，可以采用Cisco交換機(jī)視像管理器(CVSM)，它是一套基于WEB的免費(fèi)配置管理軟件，可在用戶熟悉的瀏覽器界面下對思科交換機(jī)系列產(chǎn)品實(shí)施配置和監(jiān)控。CVSM避免了對交換機(jī)操作系統(tǒng)語言的直接介入，而以更為友好的圖形界面取而代之。用戶只需在交換機(jī)上只需事先設(shè)定好IP地址，就可以通過CVSM輕松地去訪問和管理它；所有操作一次性完成，不需隨時(shí)監(jiān)控。

B、千兆主干方案

在同一網(wǎng)絡(luò)規(guī)模下，若證券公司對網(wǎng)絡(luò)主干有更高的要求，可通過更換前套方案中的主干交換機(jī)將其提升為千兆主干網(wǎng)絡(luò)，拓樸結(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成為：[見圖]

Catalyst4003交換機(jī) 兩臺

Catalyst2924/3524/3548交換機(jī) 十臺

Cisco 2600路由器 一臺

該方案與前方案結(jié)構(gòu)大致相同，只是核心交換機(jī)由原來的Catalyst 3524/2948G升級為Catalyst 4003,它具備三個(gè)接口插槽，可選擇的以太網(wǎng)端口從帶寬上和密度上都比Catalyst 3524/2948G有較大提高。這里共選配了8個(gè)千兆端口和32個(gè)百兆端口，從而可以將兩臺主干間的百兆FEC通道提升為千兆GEC通道，接成高達(dá)4G的主干帶寬；同時(shí)也可為更多的行情/交易服務(wù)器或數(shù)據(jù)量較大的二級交換機(jī)提供千兆連接。千兆以太網(wǎng)通道化技術(shù)與快速以太網(wǎng)通道化技術(shù)類似，它可將2-4組千兆端口之間的連接帶寬聚合在一起，在全雙工工作模式下達(dá)到4-8G的帶寬，這樣多條鏈路被用作單條高速數(shù)據(jù)通道，在提高傳輸效率的同時(shí)避免了回路的形成，通道中部分線路的故障不影響其它線路的帶寬聚合，從而也提高了網(wǎng)絡(luò)的可靠性。

(2)500-1000節(jié)點(diǎn)證券營業(yè)部解決方案

能支持500-1000節(jié)點(diǎn)的證券營業(yè)部屬中型規(guī)模，它的網(wǎng)絡(luò)建設(shè)同樣需要滿足營業(yè)部網(wǎng)絡(luò)的特定要求，并且相對500節(jié)點(diǎn)以下的網(wǎng)絡(luò)還應(yīng)具有更高的數(shù)據(jù)吞吐能力，此類系統(tǒng)的主要特點(diǎn)如下：

系統(tǒng)全套備份，穩(wěn)定可靠，獨(dú)特的堆疊技術(shù)能夠在網(wǎng)絡(luò)中構(gòu)造冗余，在堆疊之外每個(gè)二級網(wǎng)點(diǎn)和服務(wù)器仍同時(shí)與兩臺主干交換機(jī)作千兆雙鏈路連接，保障系統(tǒng)運(yùn)行的可靠性；利用HSRP技術(shù)，可以實(shí)現(xiàn)兩個(gè)主干交換機(jī)在第三層上的熱備份功能；

高性能全交換，千兆主干，并采用千兆以太網(wǎng)通道化技術(shù)擴(kuò)充帶寬，能滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；第三層交換技術(shù)，能夠使兩個(gè)網(wǎng)段在進(jìn)行數(shù)據(jù)交換時(shí)，可以根據(jù)不同的應(yīng)用有選擇的進(jìn)行，提高了帶寬資源的利用率。VLAN技術(shù)的引入也使得系統(tǒng)資源能夠被更有效地利用，結(jié)合HSRP(熱備份路由協(xié)議)技術(shù)、PVST(每個(gè)VLAN單獨(dú)計(jì)算Spanning Tree)技 術(shù)，使每個(gè)二級交換機(jī)上的兩條聯(lián)鏈路同時(shí)處于傳輸狀態(tài)，各自分擔(dān)一部分VLAN的數(shù)據(jù)傳輸，充分利用帶寬。

系統(tǒng)安全，保密性高，采用先進(jìn)的虛擬局域網(wǎng)技術(shù)，它依靠用戶邏輯設(shè)定將原來物理上互連的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過第三層交換來完成，從而提高了系統(tǒng)的安全性。

可選用功能相對強(qiáng)大的專業(yè)網(wǎng)管系統(tǒng)，使網(wǎng)絡(luò)管理從單純的配置管理擴(kuò)展到設(shè)備配置和網(wǎng)絡(luò)健康狀況管理等多個(gè)方面，管理界面友好，使用靈活方便。

通威公司針對這種規(guī)模的網(wǎng)絡(luò)提供的方案拓?fù)浣Y(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成如下圖：

Catalyst 4006/6506交換機(jī) 兩臺

Catalyst 2948G/2980G交換機(jī) 若干 Catalyst 3524/3548交換機(jī) 若干

Cisco 2600路由器 一臺

由圖可看出，這套方案仍為雙主干互備份，級聯(lián)多個(gè)二級交換機(jī)的結(jié)構(gòu)。但為支持更多用戶數(shù)和更多大的數(shù)據(jù)傳輸量，各級設(shè)備都相應(yīng)升級：主干交換機(jī)采用兩臺Catalyst 4006(6個(gè)接口插槽，帶第三層交換模塊)或Catalyst 6506(6個(gè)接口插槽，帶第三層交換模塊MSFC)，以GEC技術(shù)構(gòu)造8G高速主干，足以負(fù)擔(dān)沉重的數(shù)據(jù)傳輸量；二級交換機(jī)可采用Catalyst 2948G/2980G，同時(shí)與兩主干交換機(jī)作千兆上聯(lián)，并為工作站提供48/80個(gè) 10/100M接入端口；若某些二級網(wǎng)點(diǎn)要求的用戶數(shù)更多，則可采用多臺Catalyst 3524/3548堆疊－－思科公司的Catalyst3500交換機(jī)具有獨(dú)特的GigaStack堆疊技術(shù)，采用價(jià)格低廉的銅纜以菊花鏈方式構(gòu)成1G的堆疊總線，每堆疊最多可支持九臺Catalyst 3524/3548,提供多達(dá)300多個(gè)10/100M工作站接入端口。

該方案充分考慮到系統(tǒng)的高可靠性、高安全性、高速率和可管理性。

在可靠性方面，思科的GigaStack堆疊技術(shù)，使首尾兩臺交換機(jī)的額外連線將整個(gè)總線結(jié)成回路，其目的是在堆疊內(nèi)構(gòu)造冗余，這樣即使堆疊中任一連接出現(xiàn)故障，都能繼續(xù)傳遞數(shù)據(jù)；在堆疊之外，每個(gè)二級網(wǎng)點(diǎn)和服務(wù)器仍同時(shí)與兩臺主干交換機(jī)作千兆雙鏈路連接，保障系統(tǒng)運(yùn)行的可靠性。

該方案采用了虛擬局域網(wǎng)(VLAN)技術(shù)來充分保證系統(tǒng)的安全性。隨著用戶的增多，整個(gè)營業(yè)部局域網(wǎng)內(nèi)數(shù)據(jù)流通量增大，并且行情、交易、辦公管理的數(shù)據(jù)混雜，不利于網(wǎng)絡(luò)性能的提高和安全隔離，這使得VLAN的應(yīng)用成為必要。VLAN依靠用戶的邏輯設(shè)定將原來物理上互連的一個(gè)局域網(wǎng)絡(luò)劃分為多個(gè)虛擬網(wǎng)段，劃分的依據(jù)可為設(shè)備所連的端口、用戶節(jié)點(diǎn)的MAC地址等。劃分的結(jié)果使得同一虛網(wǎng)內(nèi)數(shù)據(jù)可自由通訊，而不同虛網(wǎng)間的數(shù)據(jù)交流則需要通過第三層交換來完成。劃分VLAN具備以下好處：提高安全性、隔離第二層的廣播信息提高帶寬利用率、增強(qiáng)網(wǎng)絡(luò)應(yīng)用靈活性。當(dāng)然，不同部門(VLAN)之間有時(shí)也需要進(jìn)行數(shù)據(jù)交換，為此需要借助主干交換機(jī)第三層交換的功能，這是由交換機(jī)的第三層交換模塊來實(shí)現(xiàn)。它支持多種路由協(xié)議(如RIP，PIP v2，OSPF，EIGRP等)，也支持訪問控制列表(access list)。

主干交換機(jī)采用千兆高速技術(shù)和GEC技術(shù)，足以負(fù)擔(dān)沉重的數(shù)據(jù)傳輸量；二級交換機(jī)的處理能力也非常強(qiáng)大，同時(shí)與兩主干交換機(jī)作千兆上聯(lián)。思科的HSRP(熱備份路由協(xié)議)技術(shù)，能夠使兩個(gè)主干交換機(jī)在第三層(即VLAN之間的數(shù)據(jù)傳輸)互為熱備份；同時(shí)在二級交換機(jī)上，利用PVST技術(shù)針對兩條千兆上聯(lián)鏈路為每個(gè)VLAN設(shè)定不同優(yōu)先級，使到兩條千兆上聯(lián)鏈路都負(fù)擔(dān)部分流量，做到負(fù)載分擔(dān)，充分利用帶寬資源。

該方案可以選用功能相對強(qiáng)大的專業(yè)網(wǎng)管系統(tǒng)如Cisco Works Windows。它的功能已從單純的配置管理擴(kuò)展到設(shè)備配置和網(wǎng)絡(luò)健康狀況管理等多個(gè)方面：如定性或定量的分析網(wǎng)絡(luò)各項(xiàng)參數(shù)；基于SNMP全面管理網(wǎng)絡(luò)中多種設(shè)備，以照片方式顯示設(shè)備直觀視圖；通過簡單的點(diǎn)擊配置設(shè)備端口和各項(xiàng)參數(shù)；通過不同色彩和多種圖表顯示各種工作狀態(tài)等。這是一套基于Windows的網(wǎng)絡(luò)管理軟件，可安裝在Windows 95/98或Windows NT平臺上，界面友好，使用靈活方便。

此外，數(shù)據(jù)處理能力的增強(qiáng)使得證券營業(yè)部有可能開展更多的服務(wù)項(xiàng)目，如圖形信息量較大、對網(wǎng)絡(luò)帶寬和傳輸質(zhì)量要求較高的多媒體股評、視頻點(diǎn)播等。

(3)1000節(jié)點(diǎn)以上證券營業(yè)部解決方案

對于更大規(guī)模的證券營業(yè)部，通威公司又推出第三套建議方案，方案特點(diǎn)如下：

1.系統(tǒng)全套備份，穩(wěn)定可靠；

2.高性能全交換，千兆主干，滿足大負(fù)荷網(wǎng)絡(luò)運(yùn)行需求；交換機(jī)具備極高的交換能力和端口密度，并通過第三層交換提高了系統(tǒng)性能。

3.系統(tǒng)安全，保密性高，在VLAN、交換機(jī)端口安全機(jī)制等基礎(chǔ)上，高性能的交換機(jī)具有對第三層路由模塊的支持能力，可以對VLAN間數(shù)據(jù)交換起到更好的支持作用

4.網(wǎng)絡(luò)管理采用深入全面的工具，可運(yùn)行于Windows NT或多種UNIX平臺，功能十分強(qiáng)大，可對VLAN和ATM實(shí)施管理，支持的用戶數(shù)更多，適用于大型網(wǎng)絡(luò)。

相對中、小規(guī)模的證券營業(yè)部，大型營業(yè)部的業(yè)務(wù)模式基本沒有太多變化，因此網(wǎng)絡(luò)方案特點(diǎn)同于前方案，但用戶數(shù)進(jìn)一步增加對網(wǎng)絡(luò)容量所帶來的更高要求使本方案所用設(shè)備再次升級，具體拓?fù)浣Y(jié)構(gòu)如下：

圖中網(wǎng)絡(luò)設(shè)備組成為:

atalyst6509交換機(jī) 兩臺

Catalyst 2948G/2980G交換機(jī)

若干 Catalyst 3524/3548交換機(jī) 若干

Cisco 2600路由器 一臺

大規(guī)模證券營業(yè)部所采用的二級交換機(jī)仍為Catalyst 2948G/2980G或Catalyst 3524/3548堆疊，每個(gè)網(wǎng)點(diǎn)可最多為數(shù)百個(gè)用戶提供連接；但由于二級網(wǎng)點(diǎn)數(shù)量的增加，對主干設(shè)備性能則提出了更高要求，為此主干交換機(jī)升級為兩臺Catalyst 6509，這是思科公司性能卓越的高端局域網(wǎng)產(chǎn)品之一，具備極高的交換能力和端口密度，有Catalyst 6506/6509兩種不同插槽數(shù)的型號可供選擇，最多可支持上百個(gè)千兆以太網(wǎng)端口，能充分滿足網(wǎng)絡(luò)互聯(lián)的需求。

除端口密度增加外，Catalyst 6500性能的提升還體現(xiàn)在其第三層功能上：首先，Catalyst 6500支持專有的第三層交換模塊MSFC(多層交換特性卡)，不需借助外接的路由器就可實(shí)現(xiàn)路由；其次，MSFC直接附在交換引擎上，無需占用一個(gè)槽位；再次MSFC支持多層交換，可以提供。

另外Catalyst 6500支持雙交換引擎、雙電源冗余備份，體現(xiàn)其極高的可靠性。

Catalyst 6500系列滿足了可擴(kuò)展性和高的性能/價(jià)格比的需求，支持寬廣的端口密 度、性能及高可用的選擇，并提供智能化、服務(wù)質(zhì)量(QoS)和安全的機(jī)制?？蛻艨梢愿佑行У脑鰪?qiáng)網(wǎng)絡(luò)的客戶服務(wù)如組播和ERP的應(yīng)用而不須考慮網(wǎng)絡(luò)性能的嚴(yán)重衰減。與PFC(策略特性卡，和MSFC一樣附在交換引擎上)一起，可基于第二、三、四層的信息如用戶、IP地址或不同的應(yīng)用而實(shí)現(xiàn)網(wǎng)絡(luò)的策略管理，或得很好的服務(wù)質(zhì)量(QoS)。

該方案對于可靠性、運(yùn)行速度、安全性、可管理性都予以充分的考慮。

整個(gè)系統(tǒng)采用的全套備份的體系，具備很高的可靠性，而Catalyst 6500所具備的熱備份路由功能(HSRP)更是提高了這一性能。

除了前幾種方案所述的VLAN、交換機(jī)端口安全機(jī)制等技術(shù)之外，該方案中Catalyst 6500對第三層路由模塊的支持能力，可以對VLAN間數(shù)據(jù)交流尤其起到了更好的支持，從而提高了系統(tǒng)的安全性。

在網(wǎng)絡(luò)運(yùn)行速度方面，這一方案的配置相比而言更為高檔，數(shù)據(jù)處理能力極強(qiáng)。此外，Catalyst 6500既保留了傳統(tǒng)的第二層交換在各端口間傳遞數(shù)據(jù)時(shí)的高線速，又集成了原來在第三層路由中才有的完善的控制功能如路由、審計(jì)、廣播隔離等，大大提高數(shù)據(jù)處理能力。

在管理方面，該方案可以選用Cisco Works 2000這類管理深入全面的工具，它可運(yùn)行于Windows NT或多種UNIX平臺，功能十分強(qiáng)大，可對VLAN和ATM實(shí)施管理，支持的用戶數(shù)也更多，適用于大型網(wǎng)絡(luò)。

該方案還具有對多媒體信息處理的強(qiáng)大能力，這主要通過增強(qiáng)的數(shù)據(jù)處理能力、完善的QoS機(jī)制和優(yōu)化的視頻數(shù)據(jù)傳輸方案IP/TV等來實(shí)現(xiàn)的。值得一提的是，QoS不僅能夠充分利用帶寬資源，更可充分保證關(guān)鍵應(yīng)用。QoS系統(tǒng)能對網(wǎng)上的數(shù)據(jù)流應(yīng)用類別進(jìn)行判定，并在IP包頭其優(yōu)先級。然后，在應(yīng)用識別基礎(chǔ)上，對數(shù)據(jù)流量進(jìn)行調(diào)度。思科的加權(quán)式公平隊(duì)列(WFQ)、加權(quán)隨機(jī)早期探測(WRED)等技術(shù)，可以精確處理帶寬流量，從而使系統(tǒng)資源利用更為有效，保證各類多媒體信息可以流暢地在網(wǎng)絡(luò)中傳送