集团整体网络设计方案

目录1.前言.............................................................................................................................................................42.系统设计目标和原则.................................................................................................................................42.1XX公司网络系统需求.......................................................................................................................42.2系统设计目标.....................................................................................................................................52.3系统设计原则.....................................................................................................................................53.网络整体设计方案...................................................................................................................................73.1网络平台设计选型.............................................................................................................................73.2网络操作系统的选择.........................................................................................................................73.3网络服务器选型.................................................................................................................................93.4网络具体的实施设计.......................................................................................................................103.5网络整体拓朴结构设计..................................................................................................................133.5.1本地网络拓朴结构设计..........................................................................................................133.5.2广域网拓朴结构设计..............................................................................................................143.6网络主要设备选型..........................................................................................................................253.6.1路由器的选择..........................................................................................................................253.6.2交换机与集线器的选型..........................................................................................................283.7网络系统设计综合考虑...................................................................................................................304.网络系统扩充---数据存储、备份、防病毒..........................................................................................354.1数据可靠性保障概述.......................................................................................................................354.2一级存储备份部分——磁盘阵列与高可用性系统..................................................................354.2.1磁盘阵列..................................................................................................................................364.3二级存储备份部分----------------磁带机...................................................................................364.3.1备份的策略..............................................................................................................................364.3.2磁带机......................................................................................................................................364.4防病毒..............................................................................................................................................385、安全系统概述........................................................................................................................................405.1前言..................................................................................................................................................405.2安全问题的性质...............................................................................................................................405.3安全问题解决途径..........................................................................................................................415.3.1物理性安全：..........................................................................................................................415.3.2逻辑性安全.............................................................................................................................425.3.3安全管理策略.........................................................................................................................425.4XX公司整体网络安全....................................................................................................................435.综合布线系统设计.................................................................................................................................445.1综合布线系统介绍...........................................................................................................................445.2综合布线系统选型..........................................................................................................................475.2.1AMP综合布线系统简介.........................................................................................................475.3设计标准及安装设计规范：...........................................................................................................485.4系统总体结构分布...........................................................................................................................495.4.1总体结构分布..........................................................................................................................495.4.2系统信息点分布......................................................................................................................495.5系统设计说明：...............................................................................................................................515.5.1工作区子系统：.....................................................................................................................515.5.2水平区子系统：.....................................................................................................................525.5.3垂直干线子系统：.................................................................................................................535.5.4管理区子系统：.....................................................................................................................535.5.5设备间子系统.........................................................................................................................545.5.6建筑群干线子系统设计..........................................................................................................555.6非屏蔽双绞线数量计算...................................................................................................................555.6.1办公楼双绞线数量计算..........................................................................................................565.7.2厂房大楼双绞线数量计算......................................................................................................565.7.3销售部双绞线数量计算..........................................................................................................565.7.4非屏蔽双绞线数量合计..........................................................................................................565.8屏蔽双绞线数量计算...............................................................................................................575.9光纤数量计算...................................................................................................................................576.机房设计装修...........................................................................................................................................587.系统报价...................................................................................................................................................598.工程实施...................................................................................................................................................638.1工作内容..........................................................................................................................................638.2本工程主要工作内容施工量..........................................................................................................638.3施工条件...........................................................................................................................................638.4工程特点...........................................................................................................................................638.5工程实施技术规范...........................................................................................................................638.6施工方案..........................................................................................................................................648.6.1线槽线管的安装：..................................................................................................................648.6.2水平电缆敷设..........................................................................................................................658.6.3垂直主干敷设..........................................................................................................................658.6.4信息插座安装..........................................................................................................................658.6.5光缆敷设..................................................................................................................................658.6.6配线架安装及端接..................................................................................................................668.7施工准备工作...................................................................................................................................668.7.1技术及资料准备......................................................................................................................668.7.2组织施工人员..........................................................................................................................668.7.3现场勘察..................................................................................................................................668.7.4进驻现场..................................................................................................................................668.7.5材料及机具运输......................................................................................................................668.8质量和安全措施..............................................................................................................................678.8.1质量措施..................................................................................................................................678.8.2安全措施..................................................................................................................................688.9.工程安排...........................................................................................................................................698.9.1第一期工程安排......................................................................................................................698.9.2第二期工程安排......................................................................................................................699．系统测试与验收标准............................................................................................................................709.1验收内容...........................................................................................................................................709.2验收标准...........................................................................................................................................7010．系统售后服务及质量承诺..................................................................................................................71附录1...........................................................................................................................................................72附录2...........................................................................................................................................................73附录3...........................................................................................................................................................74附录4...........................................................................................................................................................76附录5...........................................................................................................................................................77附录6...........................................................................................................................................................781.前言现今的世界是知识爆炸的时代，传统的经验式经营方式已越来越难以满足现代企业的需要；尤其在今年十一月十五日，中美双方就中国加入世界贸易组织签署了双边协议，这标志着中国已扫除了加入世贸组织的最大障碍，中国加入WTO已指日可待，这将给中国市场和民族企业带来极大的希望和挑战。顺德市XX企业集团公司作为我国著名的民族企业之一，在此充满机遇与挑战的形势下，公司领导已清楚地意识到，只有充分利用当代计算机信息领域的先进技术，重视信息系统的建设及完善，才能更快更好地追踪当今世界的最新先进技术和管理方法，并且借鉴到企业自身建设当中,为提高企业管理水平和工作效率，使XX集团在同业间日益显示其综合竞争优势。公司决定建设企业内部网，建立厂部办公和企业销售网络是非常及时和必要的。本建议书是商之杰工程师根据多年的网络工程系统安装、调试、开发经验，以及走访贵公司有关负责人的调研基础上，经过初步的论证编制，特此递交贵公司参考，敬请指正。2.系统设计目标和原则2.1XX公司网络系统需求根据多次走访贵公司相关负责人及网络技术人员的调查情况，网络系统的需求大致可归纳为以下几个方面：1.实现办公大楼、厂部各车间、老厂房仓库和销售部门内部各职能部门、各应用系统(ERP的高可用互连。2.网络安全性及层次性好，外地各省会大城市销售网络可以与集团网络资源良好通讯，而集团其它分公司网络之间能较好隔离，在对集团资源及本地资源的访问上，内部网络具有良好的优先层次关系，级别高的访问范围大，级别低的访问范围小。3.网络可管理性强，针对不同应用可进行合理的网络及带宽划分，对整个网络的监控能力高，控制方法简单方便。3.网络系统具有良好的带宽及设计前瞻性，以满足系统未来的扩展需求。4.整合度高，销售公司在较好地满足本身需求的同时与集团现有网络系统具有良好的协调能力，以便集团网络中心更好地进行网络整体规划、管理。2.2系统设计目标顺德市XX企业集团公司整体网络设计目标，在确保稳定可靠条件下它具备以下几个方面特点：提供完整的具有适合各种异构平台相互通信的互联网络。以保证XX公司网络各种异构网络的良好互联。实现XX企业集团公司网络的高速信息交换，可靠保障网络的高带宽以保证关键业务的正常运行并且为将来的网络拓展提供足够想象空间。保证XX企业集团公司网络的办公系统、业务数据在网络上有足够的带宽传输、良好的响应时间。通过结构化布线，确保通过方便的跳接管理，给XX企业集团公司网络管理提供非常容易的调整办法，如人员变动，办公环境、用途的改变伴随的网络改变。采用网络的多级数据备份、网络整体防病毒，再考虑到主要网络设备、关键部门配置UPS及接地安全、防雷措施。建设完整的XX企业集团公司网络。2.3系统设计原则标准化原则遵守国际ISO及IEEE相应的系统工程规范及中国系统工程规范实用性原则XX企业集团公司网络是根据实际工作中最迫切需要解决的问题而建立，必须从实用的角度出发，在深入调研的基础上，真正提供办公、管理所需要的帮助，防止任何不切合实际的做法所带来的浪费。先进性原则系统整体上从资源配置（包括硬件设备，系统软件，网络选型）到功能用途等尽量争取在同业间具有先进水准。技术成熟性原则系统选型及总体集成应尽量采用先进、成熟的技术，选用已经被市场证明了的配置方式。避免盲目相信产品参数所导致的失误，使之建成后就能很快地投入实际使用，提高工作效率。可靠性原则系统的各项资源包括硬件设备、应用软件等可靠性要高，工作稳定，易于维护。在出现硬件故障和软件故障时，有可靠的恢复手段。同时，系统应有足够的容错能力，同时能够自动进行故障检测与隔离，关键设备达到99%不间断工作。成长性原则随着系统、办公用途的变更，通过跳线灵活跳接，系统可平滑过渡到新系统，并且网络基础结构能够发挥10-15年效益，使原有的投资得到保护。安全性原则系统中涉及到贵司的有关机密，必须要有良好的安全保密措施，一是通过VLAN及第三层路由定义来分割网络，二是要对不同的人员设定不同的权限具有权限控制，口令保护，信息密级制度，通过管理跳线跳接，可使外部网络与集团网络彻底地物理隔离；三是要对关键数据进行及时备份，及时恢复；并对电脑病毒具有较好的防护能力；四是要通过网管中心对网络的使用情况进行监控；尽早发现问题，尽早解决。3.网络整体设计方案3.1网络平台设计选型在种类繁多的网络平台选型中，往往并不是单纯的性能选择，网络的发展历史证明了这一点。当有经验的IT主管在考虑使用那一种网络平台及网络产品时，除了性能往往会更多地考虑以下几个方面：易移植性网络的发展速度是非常惊人的，很难想象一个公司的网络会在几年内在构件及拓扑上与原来保持不变，易移植性是一个非常重要的性能。一般从以下几个方面考量移植性的好坏：一电缆布线系统是否良好过渡；二网络用户升级是否容易，是否可以最小的代价即可获得最高的性能；三如何将新增的服务器及网络连接到现有网络上；四如何将旧的网络系统与新系统良好互连；五对被更换设备是否可用到新网络的某一个地方。新技术的系列性与成熟性新的高速网络产品新问世，除了价格高昂外，总是伴随着一系列不确定因素，只有到该产品得到普遍应用，该技术的兼容性、互操作性及性能优化才会提到议事日程上来，这与从旧有技术升级是完全不同的。多厂商支持多厂商支持有以下几个明显的优点：一价格充满竞争力，比单一厂商垄断肯定低得多；二技术革新快，更多的竞争意味着更快的技术革新，带来的是更好的价格及更多的改进技术以供选择。从以上分析可以明显地看到快速以太网络及交换式快速以太网是远较其他竞争对手的极好选择。3.2网络操作系统的选择目前国际较为流行的有三大网络操作系统，Novell、UNIX及NT，Novell在80年代较为流行，其特点是作为文件及资源的共享，其速度及性能均十分优异，缺点是其SPX/IPX协议较适合局域网环境且不支持虚拟存储器，文件共享还可以，应用服务则较差，进入九十年代其市场份额基本被WindowsNT所取代。Unix系统性能完善，造价昂贵，多为大型企业级应用。且型号版本各异，维护、运行复杂，需经过专门培训。目前正受到WindowsNT系统的强大挑战。WindowsNT是著名软件公司Microsoft推出的具有抢占式高度的多线程多进程多任务，内嵌网络的先进操作系统，其特点是与Windows95有着相似的界面。与各式网络操作系统有着良好的接口，支持任何一种网络协议，且目前大型应用系统均支持NT，从市场份额来看，Microsoft极有可能在该领域也获得较为垄断的地位，所以目前企业MIS平台最好选用WindowsNT。其综合性能测试已不在UNIX系统之下，价格却低得多。以下是著名的ZD试验室针对各厂商共同认同的配置说作的测试，环境为服务器配置四个PentiumIII500处理器和2G内存，存储系统是由8个运行RAID5的Seagate公司的10KCheetah硬盘驱动器组成，所有服务器都采用4片INTEL100B网络接口卡，通过ExtremeNetworks公司的Summit48交换机连接60台Pentium桌面PC。网络操作系统测试报告：件服务WEB服务器性能：在一定时间间隔内，网络操作系统能够提交的静态WEB页面的数目性能优化的简易性：网络操作系统有多大的潜力进行性能优化，以及执行这种性能优化时的难易程度支持对称多处理：在对称多处理的配置中，网络操作系统能够在多个处理器之间有效进行扩展的能力应用系统支持：为网络操作系统而编写的企业应用系统所涉及的范围，以及它们的质量磁盘阵列支持：网络操作系统能够支持硬件磁盘阵列控制器的能力从以上测试报告可以看出，NT在应用系统支持能力及文件共享能力等几个关键的性能指标上几乎达到了最高的标准。对于INTERNET的支持，NT极为理想，除了微软的BACKOFFICE套件外，NETSCAPE及LOTUS的NOTESDOMINO均有一流的应用系统支持。结合XX网络基于ERP系统的应用实际，我们选用WINDOWSNT4.0，TERMINALSERVEREDITION作为服务器操作系统。TERMINALSERVER版是WINDOWSNTSERVER4.0产品系列的一个扩展，它能够让MICROSOFTWINDOWSNTSERVER操作系统支持基于WINDOWS的终端，也能够把WINDOWS操作系统系列扩展到超级瘦客户端上，这一新技术带给了企业用户一个基于WINDOWS计算环境的全新扩展，其中包括更低的总拥有成本，熟悉的32位WINDOWS用户界面，强大而多样的WINDOWS操作系统系列产品。该产品在国际市场上推出之后，获得了极大的成功，国内在四通利方等中文平台厂家支持下，越来越多的用户开始认识和部署WINDOWSNT4.0,TERMINALSERVEREDITION这个产品。3.3网络服务器选型因为贵公司的生产作业系统关系重大，对基于在WINDOWSNT4.0，TERMINALSERVEREDITION上部署ERP应用来说，适宜选用高性能、高可靠性的HPLH3专用服务器作为系统主服务器。在工业标准的PC服务器系统中，HP公司的LH3系列以超强的速度、极高的性价比获得广泛的赞誉，配合微软公司的Cluster容错系统使得用户可以得到超强的企业级运算能力及完善的系统容错功能。下图为HP、COMPAQ、IBM三家公司同类产品比较表HPLH3服务器的主要特点是：支持二路100M总线的INTELPII、PIII处理器，可直接升级到四路处理器集成的双通道NETRAID控制器，支持智能IO技术ECCSDRAM内存容量高达1G，带内存清理选用业界领先的DAT或DLT技术。选用HPSureStoreDat24X6I自动加载磁带机自动完成网络备份集成的HPREMOTEASSISTANT和可选的HPTOPTOOLS远程控制卡提供了方便的远程访问、先进的安全性和诊断能力WEB界面的HPTOPTOOLSFORSERVERS用于设备管理；HPOPENVIEWMANAGEX/SE用于网络操作系统和应用程序管理。热插拔硬盘和热插拔冗余电源、冗余系统风扇、冗余NIC，消除因元件故障而导致的停机风险根据美国微软公司提供的TerminalService技术白皮书，并结合贵公司的业务处理量及所配工作站数量、网络速度等实际情况，我们应考虑到应用程序的兼容性和性能表现问题。TerminalServer的每一个客户端会话需占用4—8M的服务器内存，一台双PII350CPU、512M内存的服务器就能支持50人的日常办公。因此，我们采用两台HPLH3服务器，分别用于DatabaseServer和TerminalServer，同时兼为FileServer。这两台服务器都扩充为双PIII500CPU，内存至少为512M，其中TerminalServer的内存扩充为1G，以保证应用程序的高性能。这样的服务器配置，至少可以支持到至少50个并发用户的使用。另外选择HP服务器的最重要原因是HP公司无可比拟的售后服务体系，可以保障用户在使用HP服务器时享受到最低的总拥有成本。3.4网络具体的实施设计带宽带宽是网络设计的基础，因以太网络本身的设计缺陷，我们实际使用的网络带宽与线路带宽是有很大差别的，以太网络的效率与许多因素有关，其中主要的因素有包的大小、节点数、线路利用率等等，以下表为以太网络的效率随包的大小而产生的改变。表1：以太网络效率与数据包长度对应表共享型以太/快速以太网络的更致命问题是网络饱和，在200节点的共享型网络中，在线路利用率超过50%时效率只有30%多一点，在利用率达到70%时效率已经低于8%。交换式与共享式交换机与共享式HUB的网络传输方式是完全不同的，它不再是使用我们所熟知的CDMD/CD介质存取模式，它的每个端口都有专用连接，不用载波，消除了冲突的根源，对于以太网络数据包，交换机与HUB的处理方式是完全不同的，共享式HUB是将数据包传送到所有端口，而交换机可以解析数据包的终点地址，并在两者之间直接建立连接，一般的以太网交换机通过以下三种方式转发以太网络数据包：A存储转发型：将发来的帧在发送到另外一个端口之前全部存储在内部缓冲区内，在此期间网络交换的延时时间是整个包的时间，存储转发型交换机以CRC方式提供优异的包错误校验，可滤除不健全的帧和有冲突的帧，多采用在骨干交换机上，如：3COM公司的3300及3800交换机即是该种交换机。B切入型：在读取DA(源地址后立即转发，不进行如何错误检查C改进切入型：在受到64个字节后进行转发，可滤除不健全的包XX公司网络具有点数多，分布散、传输距离远、电脑使用频繁等特点，使用交换机将可以获得极好的饱和传输性能，这是共享式HUB无法实现的。分布式与分裂式在网络的具体拓扑结构中，一般的设计方法有：一分布式；二分裂式；分布式的特点是各交换机通过极连相通，布线费用低，远端节点必须经过多个网络交换机的延时，性能较差。分裂式即任何一个工作组交换机都直接与主交换机或第三层路由器相连，性能得到充分优化，但布线费用相对较高。VLAN整个XX公司网络节点较多，功能各异，安全性及应用带宽划分意义重大，我公司推荐方案中3COM公司的SUPERSTACKII3300系列的3C16981交换机具有完整的VLAN功能，可基于端口、服务、协议来定义虚拟网络，而且可定义不同的安全级别，允许高安全级别的部门对低安全级别部门的访问，反之则不行，这样不仅可以使信息按部门、类型流转，流量控制得以实现，还可以起到很好的安全隔离作用。3.5网络整体拓朴结构设计顺德市XX企业集团公司网络工程分为集团厂部网络和四公里外的销售网络以及全国各大省会销售分部网络。包括了企业本地网络和厂部与外部销售网络以及各个销售网络互连的广域网络,范围较广。因此整个网络设计要求具备足够的灵活性和可伸缩性，以较为合理的投资成本达到高性能，并且在企业应用发生变化时产生最大的投资回报和增长。以下为整体网络的具体设计：3.5.1本地网络拓朴结构设计厂部网络主要由办公大楼、厂部车间大楼、老厂房仓库等组成，范围较大，是一个典型的本地局域网。根据公司需求，整个网络要求能够实现办公自动化，强化和健全生产、财务、销售管理体制，各个部门能快速掌握和执行公司决策，交换信息，包括邮件服务等。今后各大省会的销售网络都必须频繁地访问集团网络，因此，网络速度要求高，应用范围较大，如采用10M以太网势必对系统造成应用瓶颈，因此主干交换带宽要求达到100M，交换到用户桌面带宽达到10M，将10/100M以太网引入桌面，部署新的带宽应用，以适应现今需要及未来发展。我公司建议贵公司设计的整体网络系统采用10/100M交换快速以太网的方案。这主要是基于以下原因：1.以太网络技术已发展到千兆，是目前最普遍采用的组网技术，也是技术接续性最好的网络系统。2.贵公司企业网即存在关键业务(主机生产系统又有文件、MAIL系统等等，如采用10M以太网势必对系统造成应用瓶颈。3.100M快速以太网技术已非常成熟，其端口性价比为目前所有网络平台的最优选择。4.可不对布线系统作任何修改直接支持任意端口10M或100M。5.对于目前的应用及将来的扩展，10/100M都将可以很好地胜任。XX集团网络采用10/100M的快速以太网结构。厂区网络主服务器直接与系统核心交换机互连，通过核心交换机级连厂房车间大楼分交换机；老厂房仓库配备一个交换机与办公楼核心交换机连通；培训中心、卡拉OK室通过现有的电话介质，用MODEM拨号与服务器连接。四公里之外的销售网络相对独立，距离厂部服务器较远，需在销售部专门设置一台服务器，通过交换机管理整个销售网络。3.5.2广域网拓朴结构设计对于一个企业来说，建立企业内部网的目的之一是将分散在各地的分支机构和部门以及流动办公人员通过网络联结起来，使他们可以协同工作。销售网络在离厂部四公里之外的地方，距离较远，包括各大省会的28个销售网络也都需要经常互相之间或者与集团网络之间交换信息。对于那些地域分散，却非常需要经常协同工作的企业用户来说，如何通过经济便捷的方式进行各种远程访问成了一个最重要的问题之一。目前有多种解决方法，其中采用专线不失为一种办法，但其昂贵的费用却使很多预算紧张的用户望而却步。VPN通过隧道技术和Qos、Cos特性这三件法宝，使用户可以借助Internet来实现远程访问，效果与使用专线一样，但价格却便宜许多。在本方案中，分散在外地的销售网络用户包括高明基地借助于微软的客户机系统，通过Internet接入方式，在路由器上建立VPN隧道，链接到集团网络。VPN概述VPN简介VPN（VirtualPrivateNetwork）是由特殊设计的硬件和软件直接通过共享的基于IP的网络(比如那些由ISP所提供的网络所建立的隧道。我们通常将VPN当作WAN解决方案，但它也可以简单地用于LAN。VPN类似于点到点直接拨号连接或租用线路连接，尽管它是以交换和路由的方式工作。许多企业担心在共享的IP网络上传输的敏感数据会被网络黑客或窃贼截获甚至修改。因此，在大多数情况下，在VPN上的数据流是经过加密处理的。绝大多数人将VPN和通过互连网承载加密数据流的的隧道连接起来。这样就可以最低的成本在链路（如远程接入电话呼叫或租用线路）上进行安全、高效的数据传输或对链路进行管理和控制。（如图一）当今的商业发展变化比以往更加全球化、移动化，需要建立比以往更多的连接。但是网络方面的预算还没能跟上新的关键服务和应用的发展需求。如果没有经济有效的的解决方案来满足发展的需要，那么一个企业将处于非常危险的境地。（如图二）VPN是能够提供当今商业发展所需网络功能的理想的途径。它可以使公司获得图一加密后的数据流图二网络陷于困境使用公用通信网络基础结构所带来的便利和经济效益，同时获得使用专用的点到点连接所带来的安全。另外，它还支持现有的PC加模拟和ISDN调制解调器的网络结构。同时，它还可以部署在Internet上，在网络服务提供者的IP骨干网上，或在两者的组合网络上。VPN在降低成本的同时满足了对网络带宽、接入和服务不断增加的需求。VPN以多种方式增强了网络的智能和安全性。首先，它在隧道的起点，在现有的企业认证服务器上，提供对分布用户的认证。另外，VPN支持安全和加密协议，如SecureIP（IPSec）和Microsoft点对点加密（MPPE）。IPSec所提供的安全是基于标准和可互操作的。它应用于网络层，允许IP节点，客户机或服务器协商有效载荷的加密方法并执行双边安全认证。IPSec使用多种技术来实现其功能，包括公共密钥加密。Cisco公司、3Com公司的产品都支持这种新的、高可靠度的安全标准。MPPE使Windows95/98和NT4.0终端可以从全球任何地方进行安全的通信。MPPE加密确保了数据的安全传输，并具有最小的公共密钥开销。网络管理者可以使用VPN替代租用线路来实现分支机构的连接。这样就可以将对远程链路进行安装，配置和管理任务减少到最小，仅此一点就可以极大地简化广域网络的设计。另外，VPN通过拨号访问来自于ISP或NSP的外部服务减少了调制解调器池，简化了所需的接口，同时简化了与远程用户认证、授权和记账相关的设图三远程访问的VPNs备和处理。VPN可以实现扩展以适应不断变化的商业需求。VPN隧道技术的实现我们知道，IPSec实际上是一套协议包而不是一个单个的协议，虽然PPTP、L2F、L2TP和GRE各有自己的优点，但是都没有很好地解决隧道加密和数据加密的问题。而IPSec协议把多种安全技术集合到一起，可以建立一个安全、可靠的隧道。这些技术包括DiffieHellman密钥交换技术，DES、RC4、IDEA数据加密技术，哈希散列算法HMAC、MD5、SHA，数字签名技术等。这几年来，IETFIPSec工作组在它的主页上发布了几十个Internet草案文献和12个RFC文件。其中，比较重要的有RFC2409IKE互连网密钥交换、RFC2401IPSec协议、RFC2402AH难包头、RFC2406ESP加密数据等文件。IPSec安全结构包括3个基本协议：AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密保证；密钥管理协议（ISAKMP）提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。最后，解释域（DOI）通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。安全隧道的建立IPSec通过上述3个基本协议在IP包头后增加新的字段来实现安全保证。下面是一个IPSec数据包的格式。例如我们想通过网络去书店购买一本书，当我的定单传递到书店时，问题就出现了。管理员想知道这是否一个真的定单，它是否真的是从书店的客户那里发送出来，同时我们也想知道我们的定单在传输的过程中是否被黑客修改过。比如把1本改为10本，或把地址做了修改。其实，只要有信息在网上传递，我们就需要考虑信息源的可靠性和数据的完整性。AH包头可以保证信息源的可靠性和数据的完整性。首先发送方将IP包头、高层的数据、公共密钥这三部分通过某种散列算法进行计算，得出AH包头中的验证数据，并将AH包头加入数据包中；当数据传输到接收方时，接收方将收到的IP包头、数据、公共密钥以相同的散列算法进行运算并把得出的结果同收到数据包中的AH包头进行比较；如果结果相同则表明数据在传输过程中没有被修改，并且是从真正的信息源处发出的。原始IP数据包增加AH包头后的IP数据包图四AH验证包头为什么我们可以这样认为呢？因为公共密钥和散列算法就可以保证这些。信息源可靠性可以通过公共密钥来保证。常用的散列算法有HMAC-MD-5和HMAC-SHA-1。这些算法有一些共同的特点：不可能从计算结果推导出它的原始输入数据；不可能从给定的一组数据和它经过散列算法计算出的结果推导出另外一组数据产生的结果。MD5是单向数学函数，它可以对输入的数据进行运算，产生代表该数据的128bit指纹信息。在这种方式下，MD5提供完整性服务。128bit指纹信息可以在信息发送之前和数据接收之后计算出来。如果二次计算结果相同，那么数据在传输过程中就没有被改变。SHA1与MD5类似，只是它产生160bit指纹信息，所以运算时间比MD5稍长，安全性更高一些。当HMAC和MD5共同使用时，可以对每64个字节的数据进行运算，得出16字节的指纹信息，并放入AH包头中。AH由于没有对用户数据进行加密。如果黑客使用协议分析仪照样可以窃到在网络中传输的敏感信息，所以我们使用有效负载安全封装（ESP）协议把需要保护的用户数据进行加密，并放到IP包中，ESP提供数据的完整性、可靠性。ESP协议非常灵活，可以选择多种加密算法包括DES、Triple-DES、RC5、RC4、IDEA和BlowFish。DES是最常用的加密算法，其特点是采用56位的密钥，处理64位的输入，加密解密使用同一个密钥可以相互推导出来。DES把数据分成长度为64位的数据块，其中8位作为奇偶校验，有效码长为56位。DES加密的第一步，将明文数据进行初始置换，得到64位混乱明文组，再将其分为两段，每段32位；第二步，进行乘积变换，在密钥的控制下，做16次迭代；最后，进行逆初始变换得到密文。由于计算机性能的提高，采用多台高性能服务器可以攻破56位DES，所以Triple-DES出现了，它采用128位密钥提高了安全性。IDEA算法采用128位密钥，每次加密一个64位的数据块。RC5算法中数据块的大小、密钥的大小和循环次数都是可变的，密钥甚至可以扩充到2048位，具有极高的安全性。BlowFish算法使用变长的密钥，长度可达448位，运行速度很快。以上算法均要使用一个由通信各方共享的密钥，被称作对称密码算法。接收方只有使用发送方用来加密数据的密钥才能解密，所以其安全性依赖于密钥的安全。AH和ESP可以单独使用，也可以一起使用。为了更好地保证系统的安全性，最好同时使用。工作模式原始IP数据包格式图五隧道方式数据包IPSec有两种工作方式：隧道模式和传输模式。在隧道方式中，整个用户的IP数据包被用来计算ESP包头，整个IP包被加密并和ESP包头一起被封装在一个新的IP包内。这样当数据在Internet上传送时，真正的源地址和目的地址被隐藏起来。在传输模式中，只有高层协议（TCP、UDP、ICMP等）及数据进行加密。在这种模式下，源地址、目的地址以及所有IP包头的内容都不加密。原始IP数据包格式图六传输方式数据包由于对称密钥存在着许多问题，密钥传递时容易泄密。网络通信时如果网内用户采用同样的密钥，就失去了保密的意义。但如果任意两个用户通信时都使用互不相同的密钥，N个人就要使用N×（N-1）/2个密钥，密钥量太大，在实际使用中无法实现，所以在IPSec中使用非对称密钥技术，将加密和解密的密钥分开，并且不可能从其中一个推导出另外一个。采用非对称密钥技术后，每一个用户都有一对选定的密钥，一个由用户自己保存，一个可以公开得到。它的好处在于密钥分配简单，由于加密和解密的密钥互不相同并且无法互相推导，所以加密的密钥可以分发给各个用户，而解密密钥由用户自己保存。这样，密钥保存量少，N个用户通信最多只需保存N对密钥，便于管理，可以满足不同用户间通信的私密性，完成数字签名和数字鉴别。目前有许多种非对称密钥分配，其中有的适用于密钥分配，有的适用于数字签名。IPSec中的AH和ESP实际上只是加密的使用者，那么如何保证通信的双方可以互相信任呢？IETF制定了IKE用于通信双方进行身份认证、协商加密算法和散列算法、生成公钥。在IPSec的具体实现中，我们采用密钥管理协议（ISAKMP-Oakley），密钥交换采用DiffleHellman协议，身份认证采用数字签名和公开密钥。IPSec不仅可保证隧道的安全，同时还有一整套保证用户数据安全的措施，利用它建立起来的隧道更具有安全性和可靠性。IPSec还可以和L2TP、GRE等其他隧道协议一同使用，给用户提供更大的灵活性和可靠性。此外，IPSec可以运行于网络的任意一部分，它可以在路由器和防火墙之间、路由器和路由器之间、PC机和服务器之间、PC机和拨号访问设备之间。当IPSec运行于路由器/网关时，安装配置简单，只需在网络设备上进行配置，由网络提供安全性；当IPSec运行于服务器/PC机时，可以提供端到端的安全，在应用层进行控制，但它的缺点是安装配置和管理比较复杂。在实际应用中，可以根据用户需求灵活选择相应的方式。无论何种隧道技术，一旦进行加密或验证时，都会对系统的性能造成影响。密码算法需要消耗大量的处理器时间，而且大多数密码算法还有一个建立准备过程，如DES在内部使用还需将56位长的密钥扩成768位长。如果数据本身很短，这种建立所浪费的时间不容小视，它会使系统性能大下降。MD5和SHA1算法的建立时间也不容忽视，例如IPSec对1500字节数据包的延迟可以达到240毫秒，所以在选择安全性时必须选择高性能的设备CiscoVPN技术解决方案Cisco公司的VPN解决方案给企业专用WAN网络连接提供了一个更为充分的选择。VPNs延伸了本地用户和移动用户地理区域连接的概念，扩充到新的使用客户层，包括普通用户、供应商及合作伙伴。其最大好处在于跨越了从简化供应成本到更低的传输成本，一个简单的网络结构就可以应用于新的商业应用、全球网络及Internet系统。（如图七）在大多数情形下，VPNs能使专用WAN增加建立一个混合的网络拓朴。在一个存在的专用WAN网络结构中配置VPN应用时一个重要的考虑就是VPN仍然是展示专用WAN网络结构相同特性和需求的端对端连接的网络。配置VPN，必须考虑到以下几点：平台的可扩展性保证端对端通讯的可靠性带宽分配，经由Qos服务，保证应用程序和数据通讯适当的吞吐量公司数据的安全性对整个网络及VPN域的易管理性Cisco公司，作为全球网络设备和技术领导供应商，一直定位于在工业领域为企业VPN需求提供全面的VPN解决方案。安全的VPN配置应提供安全性、可扩展性和易管理性等性能。VPNs确保通过Cisco的VPN解决方案的五点策略(如图八：1、可扩展的平台——从远程访问通过公司主干提供企业VPN服务2、广泛的数据、信息包和用户安全——保护公司重要资料3、充分的VPN服务，包括服务的质量和VPN路由服务4、高性能的VPN设备——具有可升级性和伸缩性的结构5、具有服务监控和验证审核能力的端对端的安全策略管理图八Cisco的五点策略Cisco已装配了将近1千万个VPN应用端口，其中任何一个都能很容易地应用于CiscoIOS软件。这些VPN路由器向企业VPN环境应用提供了一个平滑的过渡。CiscoIOS软件安全和VPN服务为新的VPN网络中的安全性、可升级性和VPNs的易管理性及整个存在的企业局域网和广域网提供建立最为完整的保护。同时，Cisco公司还提供全面的售前售后服务和支持以推动VPN的应用。CiscoVPN解决方案是一个开放的标准，它综合性地简化了已存在的网络和商业伙伴之间的执行过程。利用优化的VPN路由器统一设备的体系结构，包括实现目的、高性能的设备、全面的网络结构、协议和企业VPN结构设备的连接需求。如图九，Cisco的E-VPN策略陈述了在四个阶段以及建立在已存在的私有或“相冲撞”的广域网上的上述五个策略（Phase1），如今E-VPN（Phase2）正通过启用更多的功能、服务和管理工具以确保扩展性、安全性和易管理的VPN无缝地与已存在的私有WAN结构整合在一起。以后，Cisco将为其“新世界”网络整合更高级的技术到它的平台和设备上以促进将来VPN服务超过如今的应用需求，如整合语音信息包和其他多服务的技术。VPN方案需要多种设备——路由器，防火墙和带宽管理等等，而Cisco公司将所有的VPN功能集成在路由器上，这样，就降低了网络的复杂性，减少了建网投资成本。针对VPN解决文案，Cisco提供了一系列支持VPN和VPN优化的路由器系列产品，可以适应于从远程办事处、分公司到总部中心等多种VPN应用。支持VPN功能的有Cisco1000、1600、2500、4000、4500、4700等系列，通过CiscoIOS软件图九CiscoE-VPN发展策略实现加密和通道技术；而优化的VPN设备主要有：Cisco800、1720、2600、3600、7200和7800等（如图十）。这些产品适合高速度的加密及通道技术并对WAN接口进行优化配置。CiscoVPN技术优点：1、使用CiscoIOS软件，与其他Cisco产品互操作2、集成化的解决方案，将防火墙和带宽管理集成于路由器上，减低网络的复杂性。3、开放的结构，可使用二层和三层的WAN设备上4、强大的安全特性：通道、加密、信息包及用户验证、防火墙等5、灵活的带宽管理和Qos，可控制流量的优行级别6、企业网络的管理性，将一系列网络管理工具集成，进行VPN的配置和监控7、标准化的解决方案，使用IPSec、L2TP、GRE、DES、3DES等标准加密方式8、提供更多的服务和功能，大多数ISP的骨干网络都使用Cisco的产品，因此，CiscoVPN能与ISP的WAN设备更好的协同工作，提供更为可靠、高级的功能服务3.6网络主要设备选型3.6.1路由器的选择美国Cisco系统公司是世界上占领先地位的网间网互联技术和产品的供应商，在全世界互联网路由器设备中，80%的路由器是Cisco系统公司生产的。Cisco公司路由器产品凭借高稳定、高质量、良好的兼容性统领互联网世界。选择Cisco产品，在互联网上可以方便快捷的安装运行，在广域网接口性能方面可以无忧。路由器的选择取决于系统的应用，TerminalServer的应用使得XX集团广域网络系统主要是远程访问通讯，典型的产品是Cisco访问服务器，可选产品有2500系列、5200、5300、5800、2600系列、3600系列等，XX集团网络系统包含产品订单、业务销售等重要数据在网络上传输，必须采用VPN加密技术和防火墙技术，保护网络内部及网络数据及链路的安全。而Cisco2610在价格和性能上都有良好表现。Cisco2600系列路由器所使用的广域网接口卡支持各种串行口、综合业务数字网基本速率接口（ISDNBRI）以及服务设备（CSU/DSU）等可选项，以实现主、备广域网连接。Cisco2600系列使用的模块支持高密度串行口、拨号池以及多业务语音/数据集成等多种可选项。以下就其竞争优势作一简单介绍：广泛的WAN协议选项：有CiscoIOS软件的Cisco2600系列路由器提供路由支持当今使用最广的几种网络协议，包括：IP、NovellIPX、AppleTalk和其他许多路由协议。多业务集成作为对业界领先的Cisco2500系列的补充，Cisco2600系列将Cisco3600系列的通用性、集成性和强大功能进一步扩展到较小的远程分支机构。Cisco2600系列实现了Cisco公司在产品系列中增加多业务语音/数据集成功能的承诺，使客户能控制成本，为服务供应商提供更广泛的可管理服务选项。投资保护Cisco2600系列支持对模块组件