《《网络设备选型》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《网络设备选型》PPT课件.ppt(134页珍藏版)》请在三一办公上搜索。
1、第4章 网络设备选型,第4章 网络设备选型,一个大型的网络系统可能涉及到各种各样的网络设备,根据网络需求分析和扩展性要求,选择合适的网络设备,是构建一个完整的计算机网络系统非常关键的一环。本章的学习目标:了解交换机、路由器、防火墙、服务器等设备的性能指标和主流产品;掌握交换机、路由器、防火墙、服务器等设备的选型方法和技巧;了解宽带路由器、UPS、网络存储设备等的性能指标和主流产品;掌握宽带路由器、UPS、网络存储设备等的选型方法和技巧;了解网络操作系统和网络数据库的性能指标和主流产品;掌握网络操作系统和网络数据库的选型方法和技巧。,4.1 交换机及其选型,4.1.1 交换机简介 交换机(swi
2、tch)是集线器的换代产品,其作用也是将传输介质的线缆汇聚在一起,以实现计算机的连接。但集线器工作在OSI模型的物理层,而交换机工作在OSI模型的数据链路层。交换机在网络中的作用主要表现在以下几方面:1.提供网络接口2.扩充网络接口3.扩展网络范围,4.1 交换机及其选型,4.1.2 交换机的分类1.可网管交换机和傻瓜交换机 以交换机是否可管理,可以将交换机划分为可网管交换机和傻瓜交换机两种类型。2.固定端口交换机和模块化交换机 以交换机的结构为标准,交换机可分为固定端口交换机和模块化交换机两种不同的结构。3.接入层交换机、汇聚层交换机和核心层交换机 以交换机的应用规模为标准,交换机被划分为接
3、入层交换机、汇聚层交换机和核心层交换机。,4.1 交换机及其选型,4.二、三、四层交换机 根据交换机工作在OSI七层网络模型的协议层不同,交换机又可以分为第二层交换机、第三层交换机、第四层交换机等。5.快速以太网交换机、吉比特以太网交换机和10吉比特以太网交换机 依据交换机所提供的传输速率为标准,可以将交换机划分为快速以太网交换机、吉比特以太网交换机和10吉比特以太网交换机等。6.对称交换机和非对称交换机 依据交换机端口速率的一致性为标准,可将交换机分为对称交换机或非对称交换机两类。,4.1 交换机及其选型,交换机的性能指标1.转发速率转发速率通常以“Mpps”来表示,即每秒能够处理的数据包的
4、数量。转发速率体现了交换引擎的转发功能,该值越大,交换机的性能越强劲。2.端口吞吐量端口吞吐量反映交换机端口的分组转发能力,通常可以通过两个相同速率的端口进行测试,吞吐量是指在没有帧丢失的情况下,设备能够接受的最大速率。,4.1 交换机及其选型,3.背板带宽背板带宽是交换机接口处理器或接口卡和数据总线间所能吞吐的最大数据量。背板带宽体现了交换机总的数据交换能力,单位为Gbps,也叫交换带宽。4.端口种类交换机按其所提供的端口种类不同主要包括三种类型的产品,它们分别是纯百兆端口交换机、百兆和千兆端口混和交换机、纯千兆端口交换机。每一种产品所应用的网络环境各不相同,核心骨干网络上最好选择千兆产品,
5、上连骨干网络一般选择百兆/千兆混和交换机,边缘接入一般选择纯百兆交换机。,4.1 交换机及其选型,5.MAC地址数量每台交换机都维护着一张MAC地址表,记录MAC地址与端口的对应关系,交换机就是根据MAC地址将访问请求直接转发到对应端口上的。存储的MAC地址数量越多,数据转发的速度和效率也就越高,抗MAC地址溢出供给能力也就越强。6.缓存大小交换机的缓存用于暂时存储等待转发的数据。如果缓存容量较小,当并发访问量较大时,数据将被丢弃,从而导致网络通讯失败。,4.1 交换机及其选型,7.支持网管类型网管功能是指网络管理员通过网络管理程序对网络上的资源进行集中化管理的操作,包括配置管理、性能和记账管
6、理、问题管理、操作管理和变化管理等。一台设备所支持的管理程度反映了该设备的可管理性及可操作性,现在交换机的管理通常是通过厂商提供的管理软件或通过满足第三方管理软件的管理来实现的。8.VLAN支持一台交换机是否支持VLAN是衡量其性能好坏的一个重要指标。,4.1 交换机及其选型,9.支持的网络类型一般情况下,固定配置式不带扩展槽的交换机仅支持一种类型的网络,机架式交换机和固定配置式带扩展槽的交换机则可以支持一种以上类型的网络。一台交换机所支持的网络类型越多,其可用性、可扩展性越强。10.冗余支持冗余强调了设备的可靠性,也就是当一个部件失效时,相应的冗余部件能够接替工作,使设备继续运转。冗余组件一
7、般包括管理卡、交换结构、接口模块、电源、机箱风扇等。对于提供关键服务的管理引擎及交换结构模块,不仅要求冗余,还要求这些部件具有“自动切换”的特性,以保证设备冗余的完整性。,4.1 交换机及其选型,主流交换机产品2010年中国交换机市场上品牌关注度较高的交换机品牌分别是H3C、思科、TP-LINK和D-Link,其品牌关注度均超过10%,明显领先于其他品牌。而IP-COM、华为和腾达的品牌关注度虽然较为接近10%,但也与排名前四的品牌有一定差距,除以上品牌外,其他竞争者关注度均在2%以下。,4.1 交换机及其选型,1.H3C交换机主要产品系列:H3C E126、H3C S1000、H3C S12
8、00、H3C S1500、H3C S2100、H3C S3100、H3C S3600、H3C S5000、H3C S5100、H3C S5500、H3C S5600、H3C S5800、H3C S7500、H3C S7600、H3C S9500、H3C S12500等几个系列。用户常用的交换机:S1016R-CN、S1224R-CN、S1526-CN、LS-2126-EI-ENT-AC、LS-3100-26TP-SI-H3、LS-3600-28TP-SI、S5120-28P-SI、S5500-24P-SI、S5800-32C、LS-7506E、S9508、S12508等。,4.1 交换机及其选
9、型,2.思科交换机网络集成项目中常见的Cisco交换机主要有1900系列、2900系列、3500系列、6500系列、8500系列等,它们分别使用在网络的低端、中端和高端。(1)低端产品Cisco典型的低端交换机产品主要是1900系列和2900系列,但常用的是2900系列。2900系列交换机的产品型号主要包括WS-C 2912-XL、WS-C2918-24TT-C、WS-C2924-XL、WS-C2950G-24-EI-DC、WS-C2960-24TT-L等。需要说明的是,Cisco的低端交换机产品在交换机市场上并不占特别的优势,因为IP-COM、D-link等公司的产品具有更好的性能价格比。,
10、4.1 交换机及其选型,(2)中端产品Cisco中端交换机产品主要包括C3500系列、C3750系列、C4500系列、C4900系列。在Cisco中端交换机产品中,C3500系列和C3750系列最具代表性,使用也非常广泛。其中,比较常用的产品有C3560-24TS-S、C3560-24TS-E、C3560G-24PS-S、C3560-48TS-S、C3750-24TS-S、C3750G-24TS-E、C3750-24PS-S、C3750G-24T-S、C3750-48TS-S等。,4.1 交换机及其选型,(3)高端产品Cisco的高端交换机产品主要用来满足园区主干网的高性能要求。目前,最为常用
11、的是C6500系列和C8500系列。它们能够为园区网提供高性能、多层交换的解决方案,专门为需要千兆扩展、可用性高、多层交换的应用环境设计。Catalyst 6500系列交换机具有3插槽、6插槽、9插槽和13插槽的机箱,Catalyst 8500系列交换机具有5插槽或13插槽的机箱,这两个系列交换机都具有端口密度大、速度快、多层交换、容错性能好等特点。,4.1 交换机及其选型,3.D-Link交换机主要产品系列:DES-1000、DES-1100、DES-1200、DES-1500、DES-3000、DES-3200、DES-3400、DES-3500、DES-3600、DES-3800、DES
12、-6500、DES-8500等几个系列。用户常用的交换机:DES-1008D、DES-1016D、DES-1024D、DES-1226G、DIS-2024TG、DES-3326 SR、DES-3550、DES-3624I、DES-3828DC、DIS-5024T、DES-3528、DES-3828、DES-6500、DES-8510等。,4.1 交换机及其选型,4.TP-LINK交换机主要产品系列:TL-SF1000、TL-SG1000、TL-SG2200、TL-SL1200、TL-SL2200、TL-SL2400、TL-SL3400、TL-SL5400等几个系列。用户常用的交换机:TL-SF
13、1008+、TL-SF1016D、TL-SF1024S、TL-SG1024DT、TL-SL2226P、TL-SL3452等。,4.1 交换机及其选型,5.IP-COM交换机主要产品系列:IP-COM F1000、IP-COM F1100、IP-COM F1200、IP-COM G1000、IP-COM G1200、IP-COM G2100、IP-COM G2200、IP-COM G3000、IP-COM G3100等几个系列。用户常用的交换机:IP-COM F1008+、IP-COM F1016、IP-COM F1024、IP-COM F1116、IP-COM G2124T、IP-COM G2
14、224、IP-COM G3024、IP-COM G3124F等。,4.1 交换机及其选型,6.华为交换机主要产品系列:Quidway S2300、Quidway S2700、Quidway S3000、Quidway S3300、Quidway S3700、Quidway S5300、Quidway S5700、Quidway S9300等系列。用户常用的交换机:S2326TP-EI、S2403H-HI、S2700-52P-EI-AC、S3328TP-EI(AC)、S3700-28TP-SI-AC、S5328C-EI-24S、S5700-24TP-SI-AC、S5700-28C-SI、S780
15、2、S9306等。,4.1 交换机及其选型,7.锐捷交换机主要产品系列:RG-S1800、RG-S1900、RG-S2000、RG-S2100、RG-S2300、RG-S2600、RG-S2900、RG-S3200、RG-S3500、RG-S3700、RG-S5700、RG-S6500、RG-S6800、RG-S7600、RG-S7800、RG-S8600、RG-S9600、RG-S18000等几个系列。其中,S1S2为接入交换机、S3S5为汇聚交换机、S6及以后为核心路由交换机。用户常用的交换机:RG-S1850G、RG-S1926S+、RG-S1926S、RG-S2026F、RG-S235
16、2G、RG-S2724G、RG-S3760-12SFP/GT、RG-S5750-24GT/12SFP、RG-S6506、RG-S6810E、RG-S8610、RG-S9620等。,4.1 交换机及其选型,8.神码交换机主要产品系列:DCS-1000、DCS-3600、DCS-4500、DCRS-5950、DCRS-6800等几个系列。用户常用的交换机:DCS-1008D+、DCS-1024+(R2)、DCS-1024G+(R2)、DCS-3600-26C、DCS-4500-26T、DCRS-5950-28T-L(R3)、DCRS-6804、DCRS-6808等。,4.1 交换机及其选型,交换机
17、的选购通常,在进行交换机产品选择时,应重点考虑如下几个方面的问题。1交换机的转发方式 数据包的转发方式主要分为“直通式转发”和“存储式转发”两种。由于不同的转发方式适应于不同的网络环境,因此,应当根据自己的需要作出相应的选择。直通转发方式由于只检查数据包的包头,不需要存储,所以切入方式具有延迟小,交换速度快的优点。但直通式转发存在可能转发出错的数据包、不能将速率不同的端口直接接通、容易出现丢包现象等三个缺点。,4.1 交换机及其选型,存储转发方式在数据处理时延时大,但它可以对进入交换机的数据包进行错误检测,并且能支持不同速度输入输出端口间的切换,保持高速端口和低速端口间的协同工作,有效地改善网
18、络性能。低端交换机通常只提供一种转发模式,只有中高端产品才兼具两种转发模式,并具有智能转换功能,可根据通信状况自动切换转发模式。通常情况下,如果网络对数据的传输速率要求不是太高,可选择存储转发式交换机。反之,可选择直通转发式交换机。,4.1 交换机及其选型,2延时交换机的延时(Latency)也称延迟时间,是指从交换机接收到数据包到开始向目的端口发送数据包之间的时间间隔。这主要受所采用的转发技术等因素的影响,延时越小,数据的传输速率越快,网络的效率也就越高。特别是对于多媒体网络而言,较大的数据延迟,往往导致多媒体的短暂中断,所以交换机的延迟时间越小越好,当然延时越小的交换机价格也就越贵。,4.
19、1 交换机及其选型,3管理功能交换机的管理功能(Management)是指交换机如何控制用户访问交换机,以及系统管理人员通过软件对交换机的可管理程度如何。如果需要以上配置和管理,则须选择网管型交换机,否则只需选择非网管型的。4MAC地址数不同档次的交换机每个端口所能够支持的MAC地址数量不同。在交换机的每个端口,都需要足够的缓存来记忆这些MAC地址,所以缓存容量的大小就决定了相应交换机所能记忆的MAC地址数的多少。通常,在网络规模不是很大时,该参数无需太多考虑。,4.1 交换机及其选型,5背板带宽交换机背板带宽越宽越好,高背板带宽的交换机在高负荷下能够提供更高速度的数据交换。由于所有端口间的通
20、讯都需要通过背板来完成,所以背板所能够提供的带宽就成为端口间并发通讯时的总带宽。带宽越大,能够给各通讯端口提供的可用带宽越大,数据交换速度越快。因此,在端口带宽、延迟时间相同的情况下,背板带宽越大,交换机的传输速率则越快。交换机的端口带宽目前主要包括10M、100M和1000M三种,但就这三种带宽又有不同的组合形式,以满足不同类型网络的需要。,4.1 交换机及其选型,7光纤解决方案如果布线中必须选用光纤,则在交换机选择方案中可以有以下三种方案:其一是选择具有光纤接口的交换机;其二是在模块结构的交换机中加装光纤模块;最后一种就是加装光纤与双绞线的转发器。第一种性能最好,但不够灵活,而且价格较贵;
21、第二种方案具有较强的灵活配置能力,性能也较好,但价格最贵;最后一种方案价格最便宜,但性能受影响较大。8.交换机的外型尺寸如果网络规模较大,或已完成综合布线,工程要求网络设备集中管理,就应该选择19英寸宽的机架式交换器,否则可以选择桌面型的交换机,因为桌面型交换机具有更高的性能价格比。,4.2 路由器及其选型,路由器简介路由器是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行“翻译”,使不同的网络或网段能够相互“读”懂对方的数据,从而构成一个更大的网络。路由器有两大主要功能,即数据通道功能和控制功能。数据通道功能包括转发决定、背板转发以及输出链路调度等,一般由特定的硬件来
22、完成;控制功能一般用软件来实现,包括与相邻路由器之间的信息交换、系统配置、系统管理等。,4.2 路由器及其选型,路由器是OSI七层网络模型中的第三层设备,当路由器收到任何一个来自网络中的数据包(包括广播包在内)后,首先要将该数据包第二层(数据链路层)的信息去掉(称为“拆包”),并查看第三层信息。然后,根据路由表确定数据包的路由,再检查安全访问控制列表;若被通过,则再进行第二层信息的封装(称为“打包”),最后将该数据包转发。如果在路由表中查不到对应MAC地址的网络,则路由器将向源地址的站点返回一个信息,并把这个数据包丢掉。具体工作过程如图4.7所示。,4.2 路由器及其选型,路由器的分类1.按性
23、能档次划分按性能档次不同可以将路由器可分高、中和低档路由器。,Cisco高、中、低档路由器产品,4.2 路由器及其选型,2.按结构划分从结构上划分,路由器可分为模块化和非模块化两种结构。通常中高端路由器为模块化结构,低端路由器为非模块化结构。,图4.9 非模块化结构和模块化结构路由器产品,4.2 路由器及其选型,3.从功能上划分从功能上划分,可将路由器分为核心层(骨干级)路由器,分发层(企业级)路由器和访问层(接入级)路由器。4.按所处网络位置划分如果按路由器所处的网络位置划分,可以将路由器划分为“边界路由器”和“中间节点路由器”两类。5.从性能上划分从性能上分,路由器可分为线速路由器以及非线
24、速路由器。通常高端路由器均为线速路由器;而中低端路由器大部分为非线速路由器。,4.2 路由器及其选型,路由器的性能指标1.吞吐量吞吐量是核心路由器的数据包转发能力。吞吐量与路由器的端口数量、端口速率、数据包长度、数据包类型、路由计算模式(分布或集中)以及测试方法有关,一般泛指处理器处理数据包的能力。吞吐量包括整机吞吐量和端口吞吐量两个方面,整机吞吐量通常小于核心路由器所有端口吞吐量之和。2.路由表能力 路由器通常依靠所建立及维护的路由表来决定包的转发。路由表能力是指路由表内所容纳路由表项数量的极限。,4.2 路由器及其选型,3.背板能力 背板指的是输入与输出端口间的物理通路,背板能力通常是指路
25、由器背板容量或者总线带宽能力,这个性能对于保证整个网络之间的连接速度是非常重要的。背板能力主要体现在路由器的吞吐量上,传统路由器通常采用共享背板,但是作为高性能路由器不可避免会遇到拥塞问题,其次也很难设计出高速的共享总线,所以现有高速核心路由器一般都采用可交换式背板的设计。,4.2 路由器及其选型,4.丢包率 丢包率是指核心路由器在稳定的持续负荷下,由于资源缺少而不能转发的数据包在应该转发的数据包中所占的比例。丢包率通常用作衡量路由器在超负荷工作时核心路由器的性能。丢包率与数据包长度以及包发送频率相关,在一些环境下,可以加上路由抖动或大量路由后进行测试模拟。5.时延 时延是指数据包第一个比特进
26、入路由器到最后一个比特从核心路由器输出的时间间隔。该时间间隔是存储转发方式工作的核心路由器的处理时间。,4.2 路由器及其选型,6.时延抖动 时延抖动是指时延变化。数据业务对时延抖动不敏感,所以该指标通常不作为衡量高速核心路由器的重要指标。当网络上需要传输语音、视频等数据量较大的业务时,该指标才有测试的必要性。7.背靠背帧数 背靠背帧数是指以最小帧间隔发送最多数据包不引起丢包时的数据包数量。该指标用于测试核心路由器的缓存能力。,4.2 路由器及其选型,8.服务质量能力服务质量能力包括队列管理控制机制和端口硬件队列数两项指标。其中:队列管理控制机制是指路由器拥塞管理机制及其队列调度算法。端口硬件
27、队列数指的是路由器所支持的优先级是由端口硬件队列来保证的,而每个队列中的优先级又是由队列调度算法进行控制的。,4.2 路由器及其选型,9.网络管理能力网络管理是指网络管理员通过网络管理程序对网络上资源进行集中化管理的操作,包括配置管理、计账管理、性能管理、差错管理和安全管理。设备所支持的网管程度体现设备的可管理性与可维护性,通常使用SNMPv2协议进行管理。网管力度指示路由器管理的精细程度,如管理到端口、到网段、到IP地址、到MAC地址等,管理力度可能会影响路由器的转发能力。10.可靠性和可用性路由器的可靠性和可用性主要是通过路由器本身的设备冗余程度、组件热插拔、无故障工作时间以及内部时钟精度
28、等四项指标来提供保证的。,4.2 路由器及其选型,主流路由器产品2010年中国路由器市场品牌关注度比例分布情况如图所示。,4.2 路由器及其选型,1.TP-LINK路由器TP-LINK的主流路由器产品包括:(1)企业级模块化路由器:TP-Link TL-R4000+、TP-Link TL-R4000。(2)企业级非模块化路由器:TP-Link TL-R498T+。(3)网吧专用路由器:TP-Link TL-ER5110、TP-Link ER5120、TP-Link TL-R4419。,4.2 路由器及其选型,2.D-Link路由器D-Link的主流路由器产品包括:(1)企业级模块化路由器:D-
29、Link DI-2621、D-Link DI-602HB+。(2)企业级非模块化路由器:D-Link DI-602MB+、D-Link DI-602LB+。(3)网吧专用路由器:D-Link DI-4700、D-Link DI-4500、D-Link DI-4300。,4.2 路由器及其选型,3.思科路由器思科公司的主流路由器产品包括:(1)Cisco1800系列:1811、1841。(2)Cisco2500系列:2501、2502、2514。(3)Cisco2600系列:2610、2611、2620、2621、2651。(4)Cisco3600系列:3620、3640、3660。(5)Cis
30、co3700系列:3725、3745。(6)Cisco3800系列:3825、3845。(7)Cisco7200系列:7204、7206、7204VXR、7206VXR。(8)Cisco7500系列:7507、7513。(9)Cisco 12000系列:12008、12016。,4.2 路由器及其选型,4.H3C路由器H3C的主流路由器产品包括:(1)电信级路由器:H3C SR6608(AC)。(2)企业级路由器:H3C SR6604、H3C RT-MSR3040-AC-H3、H3C RT-MSR3020-AC-H3、H3C RT-MSR3016-AC-H3。(3)宽带路由器:H3C ER32
31、00、H3C ER3100。5.腾达路由器腾达科技的主流路由器产品包括:(1)网吧路由器:腾达TEI4000、腾达TEI602。(2)企业级宽带路由器:腾达R8000、腾达R6000。,4.2 路由器及其选型,6.华为路由器华为的主流路由器产品包括:(1)核心路由器:华为Quidway NE20-8、华为Quidway NE20-4、华为Quidway NE20-4。(2)智能业务中心路由器:华为Quidway AR46-80、华为Quidway AR46-20。(3)模块化路由器:华为RT-3680E、华为RT-3640E、华为AR 28-31、华为RT-2630、华为RT-2620、华为R
32、T-2509。,4.2 路由器及其选型,7.锐捷路由器锐捷网络的主流路由器产品包括:(1)RSR系列可信多业务路由器:RG-RSR7708、RG-RSR50、RG-RSR30、RG-RSR20、RG-RSR10等。(2)NBR系列路由器:NBR3000、NBR2500、NBR2000、NBR1200G、NBR1100G、NBR1100E、NBR1200、NBR80。(3)RSR-E系列路由器:RG-RSR32E、RG-RSR16E、RG-RSR-08E、RG-RSR-04E。,4.2 路由器及其选型,路由器的选购路由器的选购主要应从以下几个方面加以考虑:1.路由器的管理方式2.路由器所支持的路
33、由协议3.路由器的安全性保障4.丢包率 5.背板能力 6.吞吐量7.转发时延8.路由表容量 9.可靠性,4.3 防火墙选型,4.3.1 防火墙简介防火墙是一种设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分离器、一个限制器、也是一个分析器,它可以有效地监控内部网和Internet之间的任何活动,进而保证内部网络的安全。对于普通用户来说,防火墙就是一种被放置在自己的计算机与外界网络之间的防御系统,
34、从网络发往计算机的所有数据都要经过它的判断处理后,才会决定能不能把这些数据交给计算机,一旦发现有害数据,防火墙就会拦截下来,从而实现对计算机的必要保护。,4.3 防火墙选型,防火墙的具体功能主要表现在如下几个方面:1.防火墙是网络安全的屏障2.防火墙可以强化网络安全策略3.对网络存取和访问进行监控审计4.防止内部信息的外泄5.VPN支持,4.3 防火墙选型,4.3.2 防火墙的分类1.按防火墙的物理特性进行分类防火墙按其物理特性进行分类可分为硬件防火墙和软件防火墙以及芯片级防火墙。2.按防火墙所采用的技术进行分类防火墙按其所采用的技术进行分类可分为包过滤技术防火墙、应用代理技术防火墙、状态监视
35、技术防火墙。3.按防火墙的结构进行分类防火墙按其结构进行分类可分为单一主机防火墙、路由器集成式防火墙和分布式防火墙。,4.3 防火墙选型,主流防火墙产品1.Cisco PIX Cisco PIX是最具代表性的硬件防火墙,属状态检测型。由于它采用了自有的实时嵌入式操作系统,因此减少了黑客利用操作系统BUG攻击的可能性。就性能而言,Cisco PIX是同类硬件防火墙产品中较好的,对100BaseT可达线速。因此,对于数据流量要求较高的场合,如大型的ISP,应该是首选。但是,Cisco PIX防火墙产品存在价格昂贵、升级困难、管理烦琐等缺点。,4.3 防火墙选型,2.NAI GauntletGaun
36、tlet是美国网络联盟公司(NAI)推出的PGP网络安全解决方案中的防火墙套件产品,该产品属于应用层网关一级的防火墙。Gauntlet 在应用层按照安全策略检查双向的通信,具有用户透明、集成管理、强力加密和内容安全、高吞吐量等特性,可用于Internet/Intranet和远程访问等多种领域,但这些功能模块相对简单,性能相对较低,而且配置管理界面基本是基于命令行的,使用管理不大方便。,4.3 防火墙选型,3.NetScreen 科技的 NetScreen100和Cisco的PIX类似,NetScreen100也运行专有操作系统。与运行在Intel平台上的PIX不同,NetScreen使用专有A
37、SIC构成的高性能防火墙,价格便宜而且易于安装。NetScreen100通过串行连接给接口分配IP地址的安装办法非常简单,同时在运行NAT时,NetScreen的综合性能不会降低。,4.3 防火墙选型,4.CyberGuard 公司的CyberGuard 防火墙CyberGuard 防火墙也是基于代理技术的,但它的代理功能不是特别丰富。CyberGuard包括允许对直接通过的信息包进行过滤的选项。CyberGuard加固了它自己的操作系统,使它的多虚拟安全环境(Multiple Virtual Secure Environments,MVSE)系统谨慎地隔离所有进程、文件和目录,只允许绝对必要
38、的通讯通过CyberGuard。CyberGuard功能相对简单,性能一般,适合中小型网络使用。,4.3 防火墙选型,5.3Com OfficeConnect Firewall 3Com OfficeConnect Firewall防火墙可以用来控制局域网对Internet的使用,为小企业提供了确保网络安全的廉价和高效的方法,用户可以禁止访问不恰当的资料,记录哪些站点最常被访问,以及Internet连接使用着多大的带宽。3Com公司的OfficeConnect Firewall使用全静态数据包检验技术,可以防止非法的网络接入和防止来自Internet的“DOS”攻击。OfficeConnect
39、 Firewall可以限制局域网用户对Internet的不恰当使用,支持NAT功能,维护相对简单。,4.3 防火墙选型,6.清华紫光UNISECURE UF3500 UF3500防火墙具有防火墙和流量控制等功能,结合了网络级包过滤(Network-level Packet Filter)和应用级代理服务器(Application-level Proxy Server)的功能。UF3500使用户可以轻松地设置安全策略、带宽优先级和访问记录。UF3500防火墙具有网络地址转换(NAT)功能,具备简单多级过滤、动态过滤和代理能力,可以进行带宽使用、网络传输和防火墙系统记录,支持最大流量等多重配置,支
40、持URL过滤和基于SSL的浏览器管理界面,允许通过流行的Web浏览器使用http协议管理和配置防火墙,保证了防火墙管理的安全性和易用性。UF3500防火墙的缺点是功能与性能相对偏弱,安全规则的定义范围完备性不够,不支持阵列性能,不适合高端应用。,4.3 防火墙选型,7.东方龙马防火墙 东方龙马防火墙将信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用,它根据系统管理者设定的安全规则保护内部网络,同时提供访问控制、网络地址转换、透明的代理服务、信息过滤、流量控制等功能,提供完善的安全性设置,通过高性能的网络核心进行访问控制。,4.3 防火墙选型,8.微软Microsoft I
41、SA Server 2000Microsoft ISA Server 2000是Windows 2000 Server平台上同时具有防火墙与网站缓存功能的服务器软件。Microsoft ISA Server 2000提供多层次的企业级防火墙,并结合专用的防毒软件,实现保护网络资源,避免病毒、黑客及未获授权的存取行为,同时加速公司内部对内与对外的存取速度,节省Internet网络带宽,并且向使用者提供更快的Web存取速度,进行统一Internet资源管理等功能。,4.3 防火墙选型,9.Check Point Firewall-1 Check Point Firewall-1是以色列的Check
42、 Point公司出品的软件防火墙,是市场上老资格的软件防火墙产品。Check Point Firewall-1可以基于Unix、Windows等系统平台上工作,属状态检测型,综合性能比较优秀。10.AXENT Raptor 与Check Point Firewall-1和PIX不同,Raptor完全是基于代理技术的软件防火墙,它是代理型防火墙中较好的一种。AXENT Raptor可支持的应用类型多,管理界面简单,此外,AXENT Raptor还具有NNTP(Network News Transfer Protocol,网络新闻转发协议)代理和NTP(Network Time Protocol,
43、网络时间协议)代理功能。,4.3 防火墙选型,防火墙的选购1.选购防火墙的基本原则(1)首先明确防火墙的防范范围,亦即允许哪些应用要求允许通过,哪些应用要求不允许通过。(2)其次要明确想要达到什么级别的监测和控制。根据网络用户的实际需要,建立相应的风险级别,随之便可形成一个需要监测、允许、禁止的清单。(3)第三就是费用问题。防火墙的售价极为悬殊,安全性越高,实现越复杂,费用也相应的越高,反之费用较低。可以根据现有经济条件尽可能科学地配置各种防御措施,使防火墙充分发挥作用。,4.3 防火墙选型,2.选购防火墙的基本标准(1)防火墙管理的难易度;(2)防火墙自身的安全性;(3)选好安全等级。按照美
44、国国家安全局(NSA)国家电脑安全中心(NCSC)的认证标准,依安全性由高至低划分为A、B、C、D四个等级;(4)能否弥补其他操作系统之不足;(5)能否为使用者提供不同平台的选择;(6)能否向使用者提供完善的售后服务;(7)应该考虑企业的特殊需求(包括IP地址转换、双重DNS、虚拟专用网VPN、扫毒功能、限制同时上网人数等特殊控制需求)。,4.3 防火墙选型,3.选购防火墙的基本技巧选购防火墙重点应把握住品牌、性能、价格和服务等四个基本要素。(1)品牌:品质的保证。选购防火墙应购买具有品牌优势,质量信得过的产品。(2)性能:只选适合不选最高。(3)价格:并非越贵越好。(4)服务:应该细致周到。
45、,4.4 网卡选型,4.4.1 网卡简介网卡也叫“网络适配器”,简称“NIC”,网卡是连接计算机与网络的硬件设备。网卡和局域网之间的通信是通过电缆或双绞线以串行传输方式进行的,而网卡和计算机之间的通信则是通过计算机主板上的I/O总线以并行传输方式进行。当网卡收到一个有差错的帧时,它就将这个帧丢弃而不必通知它所插入的计算机。当网卡收到一个正确的帧时,它就使用中断来通知该计算机并交付给协议栈中的网络层。当计算机要发送一个IP数据报时,它就由协议栈向下交给网卡,由网卡组装成帧后发送到局域网。,4.4 网卡选型,网卡的主要功能有以下三个:(1)数据的封装与解封。发送时将上一层交下来的数据加上首部和尾部
46、,封装成以太网的帧,并通过网线(对无线网络来说就是电磁波)将数据发送到网络上。接收时将以太网的帧剥去首部和尾部,然后送交上一层。(2)链路管理。主要是CSMA/CD协议的实现。(3)编码与译码。即曼彻斯特编码与译码。网卡接收所有在网络上传输的信号,但只接受发送到该计算机的帧和广播帧,其余的帧将丢弃。网卡处理这些帧后,传送到系统CPU做进一步处理。当需要发送数据时,网卡等待合适的时间将分组插入到数据流中,接收系统通知计算机信息是否完整地到达,如果出现问题,将要求对方重新发送。,4.4 网卡选型,网卡的分类1.按总线接口类型分按网卡的总线接口类型来分一般可分为ISA接口网卡、PCI接口网卡以及在服
47、务器上使用的PCI-X接口网卡、PCI Express 1X接口网卡,笔记本电脑所使用的网卡是PCMCIA接口类型的。2.按网络接口划分网卡常见的接口主要有以太网的RJ-45接口、SC型光纤接口、细同轴电缆的BNC接口和粗同轴电AUI接口、FDDI接口、ATM接口等。目前最为常用的网卡主要是RJ-45接口的以太网卡和光纤接口的以太网卡。,4.4 网卡选型,3.按带宽划分常见的网卡主要有10Mbps网卡、100Mbps网卡、10Mbps/100Mbps自适应网卡、1000Mbps网卡四种。其中,100Mbps网卡和10Mbps/100Mbps自适应网卡是目前最为流行的网卡;千兆以太网卡主要应用于
48、高速以太网中,它能够在铜线上提供1Gbps的带宽,千兆网卡的网络接口有两种主要类型,一种是普通的双绞线RJ-45接口,另一种是多模SC型标准光纤接口。4.按网卡应用领域来分可以将网卡分为应用于工作站的网卡和应用于服务器的网卡。当然,如果按网卡是否提供有线传输介质接口来分还可以分为有线网卡和无线网卡。,4.4 网卡选型,4.4.3 主流网卡产品1.英特尔网卡主要包括:Expi9402PT、PWLA8492MT、Expi9400PT、PWLA8391GT等。2.3Com网卡主要包括:3CCFE575CT、3C985B-SX、3COM 905B、3C905CX-TX-M等。3.IBM网卡主要包括:I
49、BM 39Y6088、IBM 39Y6105、IBM 39Y6098等。,4.4 网卡选型,4.D-Link网卡主要包括:DGE-550SX、DGE-660TD、DFE-690TXD、DGE-530T等。5.TP-Link网卡主要包括:TG-5269、TF-5239、TF-3239D、TF-3239DL等。6.腾达网卡主要包括:TEL9939D、TEL9902G、TEL9901G、L8139D等。,4.4 网卡选型,网卡的选择1.选择性价比高的网卡2.根据组网类型来选择网卡3.根据工作站选择合适总线类型的网卡4.根据使用环境来选择网卡5.根据特殊要求来选择网卡6.其他选择细节如网卡的质量,4.
50、5 服务器选型,服务器简介服务器是网络环境下为客户提供各种服务的专用计算机,在网络环境中,服务器承担着数据的存储、转发、发布等关键任务,是网络中不可或缺的重要组成部分。因为服务器在网络中是连续不断地工作的,且网络数据流又可能在这里形成一个瓶颈,所以服务器的数据处理速度和系统可靠性要比普通的计算机高得多。,4.5 服务器选型,服务器的硬件结构由PC发展而来,也包括处理器、芯片组、内存、存储系统以及I/O设备等部分,但是和普通PC相比,服务器硬件中包含着专门的服务器技术,这些专门的技术保证了服务器能够承担更高的负载,具有更高的稳定性和扩展能力。与普通PC机相比,服务器应该具有如下特殊要求:1.较高