集团整体网络设计方案

1、目录1. 前言 . 42. 系统设计目标和原则 . 42.1XX 公司网络系统需求 . 42.2系统设计目标 . . 52.3系统设计原则 . . 53. 网络整体设计方案 . 73.1网络平台设计选型 . . 73.2网络操作系统的选择 . . 73.3网络服务器选型 . . 93.4网络具体的实施设计 . . 103.5 网络整体拓朴结构设计 . 133.6 网络主要设备选型 . 253.7网络系统设计综合考虑 . . 304. 网络系统扩充-数据存储、备份、防病毒 . . 354.1数据可靠性保障概述 . . 354.2一级存储备份部分 磁盘阵列与高可用性系统 . 354.3 二级存储备

2、份部分 - 磁带机 . . 364.4 防病毒 . 385、安全系统概述 . 405.1 前言 . 405.2安全问题的性质 . . 405.3 安全问题解决途径 . 415.4 XX 公司整体网络安全 . 435. 综合布线系统设计 . 445.1综合布线系统介绍 . . 445.2 综合布线系统选型 . 475.3设计标准及安装设计规范： . 485.4系统总体结构分布 . . 495.5系统设计说明： . . 515.6非屏蔽双绞线数量计算 . . 555. 8屏蔽双绞线数量计算 . . 575.9光纤数量计算 . . 576. 机房设计装修 . 587. 系统报价 . 598. 工程实

3、施 . 638.1 工作内容 . 638.2 本工程主要工作内容施工量 . 638.3施工条件 . . 638.4工程特点 . . 638.5工程实施技术规范 . . 638.6 施工方案 . 648.7施工准备工作 . . 668.8 质量和安全措施 . 678.9. 工程安排 . . 699系统测试与验收标准 . 709.1验收内容 . . 709.2验收标准 . . 7010系统售后服务及质量承诺 . 71附录1 . 72附录2 . 73附录3 . 74附录4 . 76附录5 . 77附录6 . 781. 前言现今的世界是知识爆炸的时代，传统的经验式经营方式已越来越难以满足现代企业的需要

4、；尤其在今年十一月十五日，中美双方就中国加入世界贸易组织签署了双边协议，这标志着中国已扫除了加入世贸组织的最大障碍，中国加入WTO 已指日可待，这将给中国市场和民族企业带来极大的希望和挑战。顺德市XX 企业集团公司作为我国著名的民族企业之一，在此充满机遇与挑战的形势下，公司领导已清楚地意识到，只有充分利用当代计算机信息领域的先进技术，重视信息系统的建设及完善，才能更快更好地追踪当今世界的最新先进技术和管理方法，并且借鉴到企业自身建设当中, 为提高企业管理水平和工作效率，使XX 集团在同业间日益显示其综合竞争优势。公司决定建设企业内部网，建立厂部办公和企业销售网络是非常及时和必要的。本建议书是商

5、之杰工程师根据多年的网络工程系统安装、调试、开发经验，以及走访贵公司有关负责人的调研基础上，经过初步的论证编制，特此递交贵公司参考，敬请指正。2. 系统设计目标和原则2.1XX 公司网络系统需求根据多次走访贵公司相关负责人及网络技术人员的调查情况，网络系统的需求大致可归纳为以下几个方面：1. 实现办公大楼、厂部各车间、老厂房仓库和销售部门内部各职能部门、各应用系统(ERP的高可用互连。2. 网络安全性及层次性好，外地各省会大城市销售网络可以与集团网络资源良好通讯，而集团其它分公司网络之间能较好隔离，在对集团资源及本地资源的访问上，内部网络具有良好的优先层次关系，级别高的访问范围大，级别低的访问

6、范围小。3. 网络可管理性强，针对不同应用可进行合理的网络及带宽划分，对整个网络的监控能力高，控制方法简单方便。3. 网络系统具有良好的带宽及设计前瞻性，以满足系统未来的扩展需求。4. 整合度高，销售公司在较好地满足本身需求的同时与集团现有网络系统具有良好的协调能力，以便集团网络中心更好地进行网络整体规划、管理。2.2系统设计目标顺德市XX 企业集团公司整体网络设计目标，在确保稳定可靠条件下它具备以下几个方面特点：提供完整的具有适合各种异构平台相互通信的互联网络。以保证XX 公司网络各种异构网络的良好互联。实现XX 企业集团公司网络的高速信息交换，可靠保障网络的高带宽以保证关键业务的正常运行并

7、且为将来的网络拓展提供足够想象空间。保证XX 企业集团公司网络的办公系统、业务数据在网络上有足够的带宽传输、良好的响应时间。通过结构化布线，确保通过方便的跳接管理，给XX 企业集团公司网络管理提供非常容易的调整办法，如人员变动，办公环境、用途的改变伴随的网络改变。采用网络的多级数据备份、网络整体防病毒，再考虑到主要网络设备、关键部门配置UPS 及接地安全、防雷措施。建设完整的XX 企业集团公司网络。2.3系统设计原则标准化原则遵守国际ISO 及IEEE 相应的系统工程规范及中国系统工程规范实用性原则XX 企业集团公司网络是根据实际工作中最迫切需要解决的问题而建立，必须从实用的角度出发，在深入调

8、研的基础上，真正提供办公、管理所需要的帮助，防止任何不切合实际的做法所带来的浪费。先进性原则系统整体上从资源配置（包括硬件设备，系统软件，网络选型）到功能用途等尽量争取在同业间具有先进水准。技术成熟性原则系统选型及总体集成应尽量采用先进、成熟的技术，选用已经被市场证明了 的配置方式。避免盲目相信产品参数所导致的失误，使之建成后就能很快地投入实际使用，提高工作效率。可靠性原则系统的各项资源包括硬件设备、应用软件等可靠性要高，工作稳定，易于维护。在出现硬件故障和软件故障时，有可靠的恢复手段。同时，系统应有足够的容错能力，同时能够自动进行故障检测与隔离，关键设备达到99%不间断工作。 成长性原则随着

9、系统、办公用途的变更，通过跳线灵活跳接，系统可平滑过渡到新系统，并且网络基础结构能够发挥10-15年效益，使原有的投资得到保护。 安全性原则系统中涉及到贵司的有关机密，必须要有良好的安全保密措施，一是通过VLAN 及第三层路由定义来分割网络，二是要对不同的人员设定不同的权限具有权限控制，口令保护，信息密级制度，通过管理跳线跳接，可使外部网络与集团网络彻底地物理隔离；三是要对关键数据进行及时备份，及时恢复；并对电脑病毒具有较好的防护能力；四是要通过网管中心对网络的使用情况进行监控；尽早发现问题，尽早解决。3. 网络整体设计方案3.1网络平台设计选型在种类繁多的网络平台选型中，往往并不是单纯的性能

10、选择，网络的发展历史证明了这一点。当有经验的IT 主管在考虑使用那一种网络平台及网络产品时，除了性能往往会更多地考虑以下几个方面： 易移植性网络的发展速度是非常惊人的，很难想象一个公司的网络会在几年内在构件及拓扑上与原来保持不变，易移植性是一个非常重要的性能。一般从以下几个方面考量移植性的好坏：一电缆布线系统是否良好过渡；二网络用户升级是否容易，是否可以最小的代价即可获得最高的性能；三如何将新增的服务器及网络连接到现有网络上；四如何将旧的网络系统与新系统良好互连；五对被更换设备是否可用到新网络的某一个地方。 新技术的系列性与成熟性新的高速网络产品新问世，除了价格高昂外，总是伴随着一系列不确定因

11、素，只有到该产品得到普遍应用，该技术的兼容性、互操作性及性能优化才会提到议事日程上来，这与从旧有技术升级是完全不同的。 多厂商支持多厂商支持有以下几个明显的优点：一价格充满竞争力，比单一厂商垄断肯定低得多；二技术革新快，更多的竞争意味着更快的技术革新，带来的是更好的价格及更多的改进技术以供选择。从以上分析可以明显地看到快速以太网络及交换式快速以太网是远较其他竞争对手的极好选择。3.2网络操作系统的选择目前国际较为流行的有三大网络操作系统，Novell 、UNIX 及NT ，Novell 在80年代较为流行，其特点是作为文件及资源的共享，其速度及性能均十分优异，缺点是其SPX/IPX协议较适合局

12、域网环境且不支持虚拟存储器，文件共享还可以，应用服务则较差，进入九十年代其市场份额基本被Windows NT所取代。Unix 系统性能完善，造价昂贵，多为大型企业级应用。且型号版本各异，维护、运行复杂，需经过专门培训。目前正受到Windows NT系统的强大挑战。Windows NT是著名软件公司Microsoft 推出的具有抢占式高度的多线程多进程多任务，内嵌网络的先进操作系统，其特点是与Windows 95有着相似的界面。与各式网络操作系统有着良好的接口，支持任何一种网络协议，且目前大型应用系统均支持NT ，从市场份额来看，Microsoft 极有可能在该领域也获得较为垄断的地位，所以目前

13、企业MIS 平台最好选用Windows NT。其综合性能测试已不在UNIX 系统之下，价格却低得多。以下是著名的ZD 试验室针对各厂商共同认同的配置说作的测试，环境为服务器配置四个Pentium III 500 处理器和2G 内存，存储系统是由8个运行RAID5的Seagate 公司的10K Cheetah 硬盘驱动器组成，所有服务器都采用4片INTEL 100B 网络接口卡，通过Extreme Networks 公司的Summit 48交换机连接60台Pentium 桌面PC 。网络操作系统测试报告： 件服务WEB 服务器性能：在一定时间间隔内，网络操作系统能够提交的静态WEB 页面的数 目

14、性能优化的简易性：网络操作系统有多大的潜力进行性能优化，以及执行这种性能优化时的难易程度支持对称多处理：在对称多处理的配置中，网络操作系统能够在多个处理器之间有效进行扩展的能力应用系统支持：为网络操作系统而编写的企业应用系统所涉及的范围，以及它们的质量磁盘阵列支持：网络操作系统能够支持硬件磁盘阵列控制器的能力从以上测试报告可以看出，NT 在应用系统支持能力及文件共享能力等几个关键的性能指标上几乎达到了最高的标准。对于INTERNET 的支持，NT 极为理想，除了微软的BACKOFFICE 套件外，NETSCAPE 及LOTUS 的NOTES DOMINO 均有一流的应用系统支持。结合XX 网络

15、基于ERP 系统的应用实际，我们选用WINDOWS NT 4.0， TERMINAL SERVER EDITION 作为服务器操作系统。TERMINAL SERVER 版是WINDOWS NT SERVER 4.0产品系列的一个扩展，它能够让MICROSOFT WINDOWS NT SERVER操作系统支持基于WINDOWS 的终端，也能够把WINDOWS 操作系统系列扩展到超级瘦客户端上，这一新技术带给了企业用户一个基于WINDOWS 计算环境的全新扩展，其中包括更低的总拥有成本，熟悉的32位WINDOWS 用户界面，强大而多样的WINDOWS 操作系统系列产品。该产品在国际市场上推出之后，

16、获得了极大的成功，国内在四通利方等中文平台厂家支持下，越来越多的用户开始认识和部署WINDOWS NT 4.0,TERMINAL SERVER EDITION 这个产品。3.3网络服务器选型因为贵公司的生产作业系统关系重大，对基于在WINDOWS NT 4.0，TERMINAL SERVER EDITION上部署ERP 应用来说，适宜选用高性能、高可靠性的HP LH3专用服务器作为系统主服务器。在工业标准的PC 服务器系统中，HP 公司的LH3系列以超强的速度、极高的性价比获得广泛的赞誉，配合微软公司的Cluster 容错系统使得用户可以得到超强的企业级运算能力及完善的系统容错功能。下图为HP

17、 、COMPAQ 、IBM 三家公司同类产品比较表 HP LH3服务器的主要特点是：支持二路100M 总线的INTEL PII、PIII 处理器，可直接升级到四路处理器集成的双通道NETRAID 控制器，支持智能IO 技术 ECCSDRAM 内存容量高达1G ，带内存清理选用业界领先的DAT 或DLT 技术。选用HP SureStore Dat24X6I自动加载磁带机自动完成网络备份集成的HP REMOTE ASSISTANT和可选的HP TOPTOOLS远程控制卡提供了方便的远程访问、先进的安全性和诊断能力WEB 界面的HP TOPTOOLS FOR SERVERS用于设备管理；HP OPE

18、NVIEW MANAGEX/SE用于网络操作系统和应用程序管理。热插拔硬盘和热插拔冗余电源、冗余系统风扇、冗余NIC ，消除因元件故障而导致的停机风险根据美国微软公司提供的Terminal Service 技术白皮书，并结合贵公司的业务处理量及所配工作站数量、网络速度等实际情况，我们应考虑到应用程序的兼容性和性能表现问题。Terminal Server的每一个客户端会话需占用48M 的服务器内存，一台双PII350CPU 、512M 内存的服务器就能支持50人的日常办公。因此，我们采用两台HP LH3服务器，分别用于Database Server和Terminal Server，同时兼为Fil

19、e Server。这两台服务器都扩充为双PIII500CPU ，内存至少为512M ，其中Terminal Server 的内存扩充为1G ，以保证应用程序的高性能。这样的服务器配置，至少可以支持到至少50个并发用户的使用。另外选择HP 服务器的最重要原因是HP 公司无可比拟的售后服务体系，可以保障用户在使用HP 服务器时享受到最低的总拥有成本。3.4网络具体的实施设计带宽带宽是网络设计的基础，因以太网络本身的设计缺陷，我们实际使用的网络带宽与线路带宽是有很大差别的，以太网络的效率与许多因素有关，其中主要的因素有包的大小、节点数、线路利用率等等，以下表为以太网络的效率随包的大小而产生的改变。

20、表1：以太网络效率与数据包长度对应表共享型以太/快速以太网络的更致命问题是网络饱和，在200节点的共享型网络中，在线路利用率超过50%时效率只有30%多一点，在利用率达到70%时效率已经低于8%。交换式与共享式交换机与共享式HUB 的网络传输方式是完全不同的，它不再是使用我们所熟知的CDMD/CD介质存取模式，它的每个端口都有专用连接，不用载波，消除了冲突的根源，对于以太网络数据包，交换机与HUB 的处理方式是完全不同的，共享式HUB 是将数据包传送到所有端口，而交换机可以解析数据包的终点地址，并在两者之间直接建立连接，一般的以太网交换机通过以下三种方式转发以太网络数据包： A 存储转发型：

21、将发来的帧在发送到另外一个端口之前全部存储在内部缓冲区内，在此期间网络交换的延时时间是整个包的时间，存储转发型交换机以CRC 方式提供优异的包错误校验，可滤除不健全的帧和有冲突的帧，多采用在骨干交换机上，如：3COM公司的3300及3800交换机即是该种交换机。B 切入型： 在读取DA(源地址 后立即转发，不进行如何错误检查C 改进切入型： 在受到64个字节后进行转发，可滤除不健全的包XX公司网络具有点数多，分布散、传输距离远、电脑使用频繁等特点，使用交换机将可以获得极好的饱和传输性能，这是共享式HUB 无法实现的。 分布式与分裂式在网络的具体拓扑结构中，一般的设计方法有：一 分布式； 二 分

22、裂式； 分布式的特点是各交换机通过极连相通，布线费用低，远端节点必须经过多个网络交换机的延时，性能较差。分裂式即任何一个工作组交换机都直接与主交换机或第三层路由器相连，性能得到充分优化，但布线费用相对较高。VLAN整个XX 公司网络节点较多，功能各异，安全性及应用带宽划分意义重大，我公司推荐方案中3COM 公司的SUPER STACK II 3300系列的3C16981交换机具有完整的VLAN 功能，可基于端口、服务、协议来定义虚拟网络，而且可定义不同的安全级别，允许高安全级别的部门对低安全级别部门的访问，反之则不行，这样不仅可以使信息按部门、类型流转，流量控制得以实现，还可以起到很好的安全隔

23、离作用。3.5 网络整体拓朴结构设计顺德市XX 企业集团公司网络工程分为集团厂部网络和四公里外的销售网络以及全国各大省会销售分部网络。包括了企业本地网络和厂部与外部销售网络以及各个销售网络互连的广域网络, 范围较广。因此整个网络设计要求具备足够的灵活性和可伸缩性，以较为合理的投资成本达到高性能，并且在企业应用发生变化时产生最大的投资回报和增长。以下为整体网络的具体设计：厂部网络主要由办公大楼、厂部车间大楼、老厂房仓库等组成，范围较大，是一个典型的本地局域网。根据公司需求，整个网络要求能够实现办公自动化，强化和健全生产、财务、销售管理体制，各个部门能快速掌握和执行公司决策，交换信息，包括邮件服务

24、等。今后各大省会的销售网络都必须频繁地访问集团网络，因此，网络速度要求高，应用范围较大，如采用10M 以太网势必对系统造成应用瓶颈，因此主干交换带宽要求达到100M ，交换到用户桌面带宽达到10M ，将10/100M以太网引入桌面，部署新的带宽应用，以适应现今需要及未来发展。我公司建议贵公司设计的整体网络系统采用10/100M交换快速以太网的方案。这主要是基于以下原因：1. 以太网络技术已发展到千兆，是目前最普遍采用的组网技术，也是技术接续性最好的网络系统。2. 贵公司企业网即存在关键业务(主机生产系统 又有文件、MAIL 系统等等，如采用10M 以太网势必对系统造成应用瓶颈。3. 100M

25、快速以太网技术已非常成熟，其端口性价比为目前所有网络平台的最优选择。4. 可不对布线系统作任何修改直接支持任意端口10M 或100M 。5. 对于目前的应用及将来的扩展，10/100M都将可以很好地胜任。XX 集团网络采用10/100M的快速以太网结构。厂区网络主服务器直接与系统核心交换机互连，通过核心交换机级连厂房车间大楼分交换机；老厂房仓库配备一个交换机与办公楼核心交换机连通；培训中心、卡拉OK 室通过现有的电话介质，用MODEM 拨号与服务器连接。四公里之外的销售网络相对独立，距离厂部服务器较远，需在销售部专门设置一台服务器，通过交换机管理整个销售网络。对于一个企业来说，建立企业内部网的

26、目的之一是将分散在各地的分支机构和部门以及流动办公人员通过网络联结起来，使他们可以协同工作。销售网络在离厂部四公里之外的地方，距离较远，包括各大省会的28个销售网络也都需要经常互相之间或者与集团网络之间交换信息。对于那些地域分散，却非常需要经常协同工作的企业用户来说，如何通过经济便捷的方式进行各种远程访问成了一个最重要的问题之一。目前有多种解决方法，其中采用专线不失为一种办法，但其昂贵的费用却使很多预算紧张的用户望而却步。VPN 通过隧道技术和Qos 、Cos 特性这三件法宝，使用户可以借助Internet 来实现远程访问，效果与使用专线一样，但价格却便宜许多。在本方案中，分散在外地的销售网络

27、用户包括高明基地借助于微软的客户机系统，通过Internet 接入方式，在路由器上建立VPN 隧道，链接到集团网络。 VPN 概述VPN 简介VPN （Virtual Private Network）是由特殊设计的硬件和软件直接通过共享的基于IP 的网络(比如那些由ISP 所提供的网络 所建立的隧道。我们通常将VPN 当作WAN 解决方案，但它也可以简单地用于LAN 。VPN 类似于点到点直接拨号连接或租用线路连接，尽管它是以交换和路由的方式工作。许多企业担心在共享的IP 网络上传输的敏感数据会被网络黑客或窃贼截获甚至修改。因此，在大多数情况下，在VPN 上的数据流是经过加密处理的。绝大多数人

28、将VPN 和通过互连网承载加密数据流的的隧道连接起来。这样就可以最低的成本在链路（如远程接入电话呼叫或租用线路）上进行安全、高效的数据传输或对链路进行管理和控制。（如图一）当今的商业发展变化比以往更加全球化、移动化，需要建立比以往更多的连接。但是网络方面的预算还没能跟上新的关键服务和应用的发展需求。如果没有经济有效的的解决方案来满足发展的需要，那么一个企业将处于非常危险的境地。（如图二）VPN 是能够提供当今商业发展所需网络功能的理想的途径。它可以使公司获得图一 加密后的数据流图二 网络陷于困境 使用公用通信网络基础结构所带来的便利和经济效益，同时获得使用专用的点到点连接所带来的安全。另外，它

29、还支持现有的PC 加模拟和ISDN 调制解调器的网络结构。同时，它还可以部署在Internet 上，在网络服务提供者的IP 骨干网上，或在两者的组合网络上。VPN 在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。VPN 以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。另外，VPN 支持安全和加密协议，如Secure IP （IPSec ）和Microsoft 点对点加密（MPPE ）。IPSec 所提供的安全是基于标准和可互操作的。它应用于网络层，允许IP 节点，客户机或服务器协商有效载荷的加密方法并执行双边安全认证。IPS

30、ec 使用多种技术来实现其功能，包括公共密钥加密。Cisco 公司、3Com 公司的产品都支持这种新的、高可靠度的安全标准。MPPE 使Windows95/98和NT4.0终端可以从全球任何地方进行安全的通信。MPPE 加密确保了数据的安全传输，并具有最小的公共密钥开销。 网络管理者可以使用VPN 替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装，配置和管理任务减少到最小，仅此一点就可以极大地简化广域网络的设计。另外，VPN 通过拨号访问来自于ISP 或NSP 的外部服务减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、授权和记账相关的设图三 远程访问的VPNs备

31、和处理。VPN 可以实现扩展以适应不断变化的商业需求。VPN 隧道技术的实现我们知道，IPSec 实际上是一套协议包而不是一个单个的协议，虽然PPTP 、L2F 、L2TP 和GRE 各有自己的优点，但是都没有很好地解决隧道加密和数据加密的问题。而IPSec 协议把多种安全技术集合到一起，可以建立一个安全、可靠的隧道。这些技术包括DiffieHellman 密钥交换技术，DES 、RC4、IDEA 数据加密技术，哈希散列算法HMAC 、MD5、SHA ，数字签名技术等。这几年来，IETF IPSec 工作组在它的主页上发布了几十个Internet 草案文献和12个RFC 文件。其中，比较重要的

32、有RFC2409IKE 互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH难包头、RFC2406 ESP加密数据等文件。IPSec 安全结构包括3个基本协议：AH 协议为IP 包提供信息源验证和完整性保证；ESP 协议提供加密保证；密钥管理协议（ISAKMP ）提供双方交流时的共享安全信息。ESP 和AH 协议都有相关的一系列支持文件，规定了加密和认证的算法。最后，解释域（DOI ）通过一系列命令、算法、属性、参数来连接所有的IPSec 组文件。安全隧道的建立IPSec 通过上述3个基本协议在IP 包头后增加新的字段来实现安全保证。下面是一个IPSec 数据包的格式。 例如我

33、们想通过网络去书店购买一本书，当我的定单传递到书店时，问题就出现了。管理员想知道这是否一个真的定单，它是否真的是从书店的客户那里发送出来，同时我们也想知道我们的定单在传输的过程中是否被黑客修改过。比如把1本改为10本，或把地址做了修改。其实，只要有信息在网上传递，我们就需要考虑信息源的可靠性和数据的完整性。AH 包头可以保证信息源的可靠性和数据的完整性。首先发送方将IP 包头、高层的数据、公共密钥这三部分通过某种散列算法进行计算，得出AH 包头中的验证数据，并将AH 包头加入数据包中；当数据传输到接收方时，接收方将收到的IP 包头、数据、公共密钥以相同的散列算法进行运算并把得出的结果同收到数据

34、包中的AH 包头进行比较；如果结果相同则表明数据在传输过程中没有被修改，并且是从真正的信息源处发出的。原始IP 数据包 增加AH 包头后的IP 数据包图四 AH 验证包头为什么我们可以这样认为呢？因为公共密钥和散列算法就可以保证这些。信息源可靠性可以通过公共密钥来保证。常用的散列算法有HMAC-MD-5和HMAC-SHA-1。这些算法有一些共同的特点：不可能从计算结果推导出它的原始输入数据；不可能从给定的一组数据和它经过散列算法计算出的结果推导出另外一组数据产生的结果。MD5是单向数学函数，它可以对输入的数据进行运算，产生代表该数据的128bit 指纹信息。在这种方式下，MD5提供完整性服务。

35、128bit 指纹信息可以在信息发送之前和数据接收之后计算出来。如果二次计算结果相同，那么数据在传输过程中就没有被改变。SHA1与MD5类似，只是它产生160bit 指纹信息，所以运算时间比MD5稍长，安全性更高一些。当HMAC 和MD5共同使用时，可以对每64个字节的数据进行运算，得出16字节的指纹信息，并放入AH 包头中。AH 由于没有对用户数据进行加密。如果黑客使用协议分析仪照样可以窃到在网络中传输的敏感信息，所以我们使用有效负载安全封装（ESP ）协议把需要保护的用户数据进行加密，并放到IP 包中，ESP 提供数据的完整性、可靠性。ESP 协议非常灵活，可以选择多种加密算法包括DES

36、、Triple-DES 、RC5、RC4、IDEA 和BlowFish 。DES 是最常用的加密算法，其特点是采用56位的密钥，处理64位的输入，加密解密使用同一个密钥可以相互推导出来。DES 把数据分成长度为64位的数据块，其中8位作为奇偶校验，有效码长为56位。DES 加密的第一步，将明文数据进行初始置换，得到64位混乱明文组，再将其分为两段，每段32位；第二步，进行乘积变换，在密钥的控制下，做16次迭代；最后，进行逆初始变换得到密文。由于计算机性能的提高，采用多台高性能服务器可以攻破56位DES ，所以Triple-DES 出现了，它采用128位密钥提高了安全性。IDEA 算法采用128

37、位密钥，每次加密一个64位的数据块。RC5算法中数据块的大小、密钥的大小和循环次数都是可变的，密钥甚至可以扩充到2048位，具有极高的安全性。BlowFish 算法使用变长的密钥，长度可达448位，运行速度很快。以上算法均要使用一个由通信各方共享的密钥，被称作对称密码算法。接收方只有使用发送方用来加密数据的密钥才能解密，所以其安全性依赖于密钥的安全。AH 和ESP 可以单独使用，也可以一起使用。为了更好地保证系统的安全性，最好同时使用。工作模式原始IP 数据包格式 图五 隧道方式数据包IPSec 有两种工作方式：隧道模式和传输模式。在隧道方式中，整个用户的IP 数据包被用来计算ESP 包头，整个IP 包被加密并和ESP 包头一起被封装在一个新的IP 包内。这样当数据在Internet 上传送时，真正的源地址和目的地址被隐藏起来。在传输模式中，只有高层协议（TCP 、UDP 、ICMP 等）及数据进行加密。在这种模式下，源地址、目的地址以及所有IP 包头的内容都不加密。原始IP 数据包格式 图六 传输方式数据包由于对称密钥存在着许多问题，密钥传递时容易泄密。网络通信时如