大楼网络系统方案

一、概述区检察院计算机网络系统（以下简称区院网络）作为区院3A智能化系统的核心骨干支持架构，担负着为业务办公系统（OA）、楼宇自动化控制系统（BA）以及通信自动化系统（CA）的运作提供一个可靠、稳定网络环境的重要任务。区院网络系统从拓扑结构上分成网络平台、系统主机以及软件平台三大部分组成。在网络平台的局域网设计中我们采用了两台Cisco4006三层路由交换机冗余作为网络的核心交换层，桌面接入交换机采用Cisco3548交换机以及区检察院原有的Intel交换机，并通过两条千兆光纤上行冗余链路连接到核心交换机上，为每个桌面提供100Mbps全交换连接。对大楼中的某些特殊区域（如大会议厅），为了在今后的工作能够具有更为灵活便捷的网络接入能力，同时为了减少本大楼有线局域网的布线冗余且提供一种更为先进灵活的连接方式，我们选用CiscoAironet340无线局域网产品构建了无线移动接入网络。在广域网接入部分，检察机关专网作为广域网中的一个重点我们选择了ACTSDM-9500作为该专网的通信接入设备。另外我们通过采用Cisco3640路由器来实现区院网络远程接入、远程控制管理、Internet及IP电话网的出口，同时配置了IOS内置防火墙来加强安全防护。系统主机包括业务办公数据库主机、业务办公应用软件服务器和楼宇智能服务器。考虑到区院网络的特殊性，我们选择了在可靠性和安全性方面性能卓越的IBMAS/400e小型机作为业务办公数据库主机。对于业务办公应用软件服务器，为了充分利用AS/400小型机的先进技术以及高安全可靠性，应用AS/400全新的集成式Netfinity服务器技术，我们设计用AS/400e插入NT卡并共用小型机的资源来作为业务办公应用软件服务器，让业务办公应用软件服务器具备更高的性能以及安全可靠性。同时为了充分利用原有资源，我们将区院原有的两台HPLH3服务器实现楼宇智能服务器的双机容错。在软件平台方面，我们采用AS/400中免费捆绑的OS/400操作系统和强大的DB2数据库作为业务办公的系统软件，同时采用WindowsNT作为业务办公应用软件服务器以及楼宇智能服务器的操作系统（注：由于标书中没有提到有关高检统一开发的业务办公应用软件的运行环境，我们暂时设计目前通用的NT操作系统来配置。但由于我们设计了目前先进的三层结构的运行环境，若实际应用为其他操作系统，也将很方便的替换，完全不影响业务软件的使用）。下面我们将从系统规划、系统设计、设备选型等三个方面来进行详细阐述。二、系统总体规划1、设计目标1)为区院中各个部门、办公室的业务办公自动化以及楼宇自动化控制系统、BMS系统中的各子系统提供一个安全稳定可靠的运行控制和集成管理核心网络环境；2)提供与全国检察机关专网的连接，根据各部门的实际需要提供不同的网络接入方式和速率，以实现用户对数据、图象、声音等信息的高效处理；3)预留广域网接口，以便可根据需要提供Internet和IP电话的接入，为与外界的信息交流和事务协作创造良好的信息通路，并提供提供远程接入和管理控制以及移动办公的服务接口；4)提供丰富的网络服务，实现广泛的软件、硬件资源共享，避免重复投资，发挥系统最大效益；5)主机系统应具有高度的可靠性，能7x24小时不间断工作，并有容错措施；还应具备很高的安全性，以保证区院网络中机密数据的合法访问；具有广泛的软件支持，软件兼容性好，并支持多种传输协议；6)主机系统应享有较好的性价比和较低的总拥有成本，并具有良好的向后扩展能力和一定的先进性；考虑到区院技术力量的限制，主机系统应易于使用和维护；7)所有网络设备都具备高性能，应有足够的吞吐量；应考虑容错技术实现高可靠性。2、设计原则1)安全性和可靠性：整个系统必须具有高度的安全性、可靠性和稳定性；2)成熟性和先进性：应采用被实践证明为技术成熟且领先的技术设备，最大限度地满足现在业务和未来发展的需求；3)开放性和可扩展性：应考虑未来发展的需要，使系统与未来扩展的设备具有互联性和互操作性，又便于升级、换代，使整个系统可以随着科学技术的发展与进步，不断得到充实、完善、改进和提高，并且能很方便地融于全球信息网络中；4)集成性和可管理性：充分考虑系统所涉及的各子系统的集成和信息共享，保证系统总体上的先进性和合理性，采用集中管理、操作和分散控制的模式；5)经济性：系统应具有较高的性能价格比。3、系统结构我们将区检察院计算机网络系统分为网络平台、系统主机、软件平台三个组成部分，其中核心网络由主干交换机组（核心层）和桌面接入交换机群（访问层）、路由器（访问层）构成，并在逻辑上通过VLAN(虚拟专用子网)技术根据功能划分为业务办公网、智能楼宇网以及广域网三个子网；系统主机包括业务办公数据库主机、业务办公应用软件主机以及楼宇智能服务器；软件平台包括网络操作系统、业务应用软件、数据库系统、BA的应用管理软件等。

此主题相关图片如下：

三、网络平台设计区院网络系统做为一个3A智能化系统的网络基础，实际上由局域网和广域网两部分组成。下面我们对这两部分做具体详细的设计：1、局域网设计1）主流网络结构概述及技术分析目前在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型：Ethernet:10M、100M、千兆以太网，ATM:25M、155M、622M、2.4G，DDN:64K、128K、1M、2M，X.25:64KFDDI:100M

面临淘汰。在端口数据分配上也分为共享式和交换式，网间数据交换核心方面分为路由和三层交换两种技术。在以上几个方面中网络类型的选择是关键，目前的主要技术之争是发生在以太网和ATM之间的，这两种技术各有短长，我们在下面进行具体的阐述并作出选择。以太网和快速以太网快速以太网实际上是10Mbps以太网的100Mbps版本，所以它的运行速度要比10Mbps以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和接受，它可以应用在共享式和主干环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量(QoS)。快速以太网与传统的以太网技术相似，毋庸赘言，此外它还具备以下优点：①快速以太网和普通以太网同样遵循CSMA/CD协议，现有的10BaseT网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其它新型网络技术相比，更方便地使现有的10MbpsLAN无缝连接到100MbpsLAN上。②100BaseT集线器和网络接口卡，只需要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能。因此，100BaseT具备较高的性能价格比。③快速以太网(100BaseT)已得到IEEE任命标准为802.3u，并得到了所有的主流网络厂商的支持。千兆以太网技术千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。IEEE已批准千兆位以太网工程IEEE802.3z。千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的以太网规范由帧格式定义，且支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目，千兆位以太网将使用所有这些规范。总之，千兆位以太网和管理员以前使用和了解的以太网相同，所不同是仅仅是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性，而且和日益增强的服务器和台式计算机的功能相匹配。我们可以看到主干和各网段及桌面已实现了无缝结合，网络管理变得不再让用户望而生畏。ATM技术ATM技术相对以太网来说是一种较为为新型的技术，它基于面向连接，提供QOS保障，在实时数据传送，预留带宽方面有不可比拟的优越性，特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求，它针对不同的数据通讯类型会给予不同的质量保证，另外小信元有利于速率的不断提高，但由于其技术成熟度不够，和目前直接基于ATM的应用类型还比较少，它的优越性受到了限制，另外它的元件和设备价格昂贵是另一个不利与推广的弱点。2)网络技术选择下面我们根据实际应用需要以及网络功能、性能、安全性等多方面来做具体的比较分析：我们想通过下面的二组表格对两种技术就目前的现况做出全面的比较。表一：千兆位以太网在具有以前ATM所有的功能之外，还能提供一个更为综合性的解决方案。

此主题相关图片如下：

表二：千兆位以太网能完成许多ATM的功能，但是有价格低、更易和LAN结构融合的优点。

此主题相关图片如下：

以上的比较表明—千兆以太网以许多方式发送最初期望ATM实现的优点,而且可以容易的、经济的多地执行。综上所述，根据区检察院实际应用情况，我公司建议采用千兆以太网与三层交换作为技术定位的局域网网络方案。3)逻辑拓朴结构我们对该网络的拓扑结构确定如下：

此主题相关图片如下：

在逻辑拓扑中网络可划分为若干虚拟局域网，虚拟局域网不受设备物理位置的限制，灵活性较大。按各部分功能划分：SERVERVLAN为服务器群虚网，将各种主要服务器（数据库服务器、应用软件服务器、楼宇智能服务器等）放在一个虚网内便于管理、维护，同时也可以尽可能减少外部入侵及破坏系统的可能性;OAVLAN为业务办公子网、BAVLAN为楼宇智控子网、……根据不同的部门职能，还可划分更细的以部门为单位的子网如VLAN1、VLAN2……。4)局域网络具体设计根据可靠性及稳定性的设计原则，网络建设将采用新型的Clustering技术，核心交换机采用两台具备智能第二、三层交换能力的1000M企业级交换机冗余并且支持光纤接入。根据功能区划分，桌面接入交换机组由带光纤堆叠模块的100M交换机搭载原有的Intel交换机来完成，同时，为了避免浪费投资，我们将区检原来购买的Intel550和400交换机作为一个桌面接入交换机组，共计6个交换机组。适当的增加交换机堆叠数量，可提供200～600个100M交换端口，具备很强的扩充能力。所有工作站都通过100M网卡连接到桌面接入交换机组上，使100M全交换到桌面。交换机组采用GBIC模块通过1000M光纤上行链路分别与两台主干交换机做相连。中心计算机房的业务办公数据库主机和应用软件服务器、楼宇智能服务器等设备直接通过冗余铜缆线路与两台1000M核心交换机上的100M以太网口连接。中心机房内的网管工作站以及一些工作站可通过原来的Intel400系列交换机冗余连接到主干交换机上或者直接连接到主干交换机上。同时，区检察院原有的网络交换机也可直接通过铜缆或光纤连接到主干交换机上，以得到充分的利用和扩展。在不改变网络技术情况下的扩展方式：随着业务的增加，网络站点数量的增加，楼层配线间的交换机上100M端口数目必然会不够。这时我们可以采用增加桌面接入交换机的方式来扩展。这样就能提供了更多的接入端口，为以后增加更多的设备提供了良好的扩充余地。同时，利用主干交换机的三层交换能力以及VLAN功能，将网络划分多个子网：业务办公子网、楼宇智控子网、广域子网、服务器子网等，各子网间能够安全隔离。根据区检的实际电脑使用情况，我们系统投入运行初期，实现300个信息点的接入。5)无线移动接入设计由于区检察院大楼中存在一些位置难于使用有线线路获得网络访问，而且有些地方存在室内装修不能受到破坏等问题无法进行有线布线，例如大会议室以及一些会议厅为了美观以及会议方便不可能做到全范围覆盖的有线综合布线。并且在以后的使用过程中，可能有些地方还会出现需要建立临时网络的问题。考虑到这些情况我们引入了先进的无线局域网技术，这是对有线网络的一种很好的扩展和补充方式。我们设计的无线局域网解决方案适于任何希望轻松实现网络无缝扩展的地方—无论是将网络工作站放置在大厅、走廊、室外或是在整个区域中移动，都不必担心连接中断或线缆敷设。它们可提供对诸如电子邮件、因特网/内部网连接、企业资源规划等至关重要的应用程序的无线访问。与其他无线局域网不同，我们的解决方案可直接集成于现有的区检察院有线网络结构中，并实现有线局域网的无缝扩展。对于临时建立的网络接入，我们不需要重新进行增加布线，可使用无线局域网方式来完成临时的网络接入，具备很大的灵活性和移动性、自由性。并且无线接入方式可提供高达11Mbps的接入速率，足以满足目前的应用需要。无线局域网是一个灵活的数据通信系统，它能够取代或扩展有线局域网，以提供更多功能。利用射频（RF）技术，无需架设线缆，无线局域网就可以通过空气，穿越墙壁、屋顶甚至水泥结构建筑物来发送和接收数据。无线局域网具有象以太网和令牌环这样的传统局域网技术的所有特性和优势，而且不受电缆连接的限制。这实现了更大的自由和灵活性。但是，无线局域网技术的重要性远远不止是不需要线缆。无线局域网的出现揭开了网络基础设施的一个全新定义。网络基础设施不一定是实实在在的物理实体，不一定就是固定的，难以移动而且变动成本很高；而是可以随用户一起移动，可以跟企业的变化速度一样快。无线局域网有两种基本配置方法：对等模式（adhoc模式）这种模式包含有2台或2台以上的个人电脑，这些个人电脑均配备有无线网卡，但没有连接到有线网络上（图A）。它主要是用来在没有基础设施的地方快速而轻松地构建无线局域网。

此主题相关图片如下：

图A:对等无线配置客户机/服务器（基础设施网络）模式这种模式可提供完全分布地数据连接，通常由连接到一个中央集线器（也叫无线局域网接入点）的多台个人电脑组成。而接入点是作为连接到有线网络资源的桥梁（图B）。

此主题相关图片如下：

图B：客户机/服务器无线配置根据区检察院办公大楼的实际情况，我们采用客户机/服务器无线配置模式来构建无线局域网接入。在需要建立无线局域网的地点（如大会议厅）或其附近铺设1～2个有线信息点，用于无线局域网接入点设备接入有线局域网。这些有线信息点可隐蔽铺设也可公开铺设，具体看当地的室内装修环境决定。而无线局域网接入点可放置在隐蔽处（如天顶、隔墙等）或公开处均可，但是要注意如果放置在隐蔽处，办公室环境最大半径（以无线局域网接入点为圆心）不可超过30米（11Mbps速率），室外环境不可超过120米。对于工作站的无线接入可通过使用无线局域网卡来完成。我们设计的无线局域网解决方案可提供高达11Mbps的吞吐量，支持以下用途：临时会议，无论身在何处，无需有线连接或磁盘，便携式电脑用户即可相互共享文件。无缝漫游有助于提供最佳的连接速度。可在期望实现网络访问但无法实施网络布线的历史建筑物、租用办公空间和临时工作地点建立即时网络。无需实施费用高昂的重新布线工程，就可以增加或删除网络用户。由于无线技术最初是针对军事用途设计的，因此很久以来安全性一直是无线设备的设计标准。并且我们设计的无线局域网具备128位有线等效保密（WEP），通过添加强大加密功能来保护传输中的信息，而不会对性能产生明显影响。通过访问控制功能在允许进入网络之前对客户和接入点进行双向鉴权，具备很高的安全性和保密性。2、广域网设计1）检察系统专网部分检察机关系统的管理模式和组织结构可以概括为分层集中管理，多层星型结构。全国检察机关多媒体通信网的拓扑结构也是一种多层星型结构，该网络以最高人民检察院为中心节点，各省级检察院为区域分支节点，各地市检察院为远端分支节点，各县区级检察院为终端节点，组成多层星型树状网络，通信网内包括了局域网通信、语音/传真通信和视频会议等多种应用。根据检察机关及国内通讯网络的现状，本着循序渐进、稳扎稳打的原则，我们提出了分步实施的建议。这样既可以使可以使检察机关从容地组织技术力量，也避免了一下子使摊子铺得过大，管理、操作、技术人员培训跟不上的问题。因此这个方案分三期实施，第一期完成最高人民检察院到省一级检察院的网络覆盖（一级网），第二期利用省内帧中继/DDN网实现各省检察院到地市级检察院的网络覆盖（二级网），第三期利用地市内帧中继/DDN网实现各地市检察院到县区级检察院的网络覆盖（三级网）。一级网设计根据最高人民检察院的有关文件，在该方案中采用了美国ACT公司的NETPERFORMER系列产品SDM-9500作为网络接入设备。配置说明一级网以最高人民检察院（以下简称高检）为中心节点，覆盖31各省级检察院、军事检察院、新疆生产建设兵团检察院及高检西区办公楼和检察官学院等远端分支节点，共36各信息节点，实现各信息节点语音、数据及视频等业务的资源共享。中心节点提供4个E1共120路语音中继，每个分支节点提供8路语音中继；各信息节点分别提供一个局域网路由接口，以实现局域网广域网互连；中心节点和分支节点之间分别提供视频会议接口，以满足视频会议的需要。区检察院计算机网络采用ACTSDM-9500，在SDM-9500中插SDM-9585卡提供帧中继网络接口和数字语音中继接口，通过帧中继网络连接到检察机关一级专网中。与区检察院局域网的连接，通过SDM-9500的高速数据模块所提供的10/100M局域网路由器接口来实现无缝连接。话音接入SDM-9500可以提供各种话音接口，其次ACT的话音通道除了可以满足话音通信的需求，而且可以很顺畅地支持G3传真，传真信道速率可达14.4K。另外ACT话音通道还可用于电话会议系统。最高人民检察院中心节点与各省级检察院之间都有ACT的接入设备所提供的话音通道，利用该话音通道，配合高检系统内部的电话会议系统，可以很方便地召开以高检院机关为主会场，其余各点为分会场地全国性电话会议。数据接入可通过SDM-9500基本单元所提供的10/100M局域网路由接口接入区检察院内部局域网络，通过G.703或V.35接口接入帧中继网连接到一级专网中。SDM-9500支持IP/IPX，IPMulticast等协议的路由，其支持的路由协议包括RIP，OSPF及静态路由等。本方案采用静态路由组建计算机远程通信网络。视频接入SDM-9500可以提供H.323视频会议接口，利用视频会议接口，再配合相应的VTEL视频会议系统，即可召开集图文、声音于一体的全国性电视会议，又可以进行远程可视案件讨论、远程预审、审讯监控和指挥，更好地服务于检察业务工作。2）因特网接入设计国际互联网的一大特点就是能开放、充分地提供各种信息,区检察院对外部门的各种资料、档案、数据库的上网使检察院的服务更加完善,更好地为社会服务。并且与国际互联网的连接可以获得大量的信息资源，同时能将区检察院介绍给世界。区检察院网络系统通过一台高性能的并具备安全防护能力的路由器使用ISP提供的DDN数字线路连接到国际互联网。工作站均可通过路由器的Internet网关浏览Internet上的资讯。区检察院还可建立自己的WEB服务器并连接到互联网上，但考虑到区检自己的技术力量以及安全问题，建议WEB服务采取主机托管的方式，交由ISP管理维护。目前可暂时建立内部的E-Mail、BBS、NEWS服务，待日后时机成熟后，可建立自己的完整的WEB服务器，再连接到Internet对外提供服务。3）远程接入设计区院网络系统作为全区检察机关网络系统的中心，首先是全区整个检察机关广域网络系统的大脑与心脏，承担了全区检察机关系统网络的运行、维护的重要责任，是一个较为集中的数据中心，和多种应用的中央控制的监测机构，所以区检察院网络中心的建设是整个网络建设的关键。我们通过使用ACT公司的SDM-9500高性能的路由接口来作为检察机关专网的远程接入设备，支持帧中继、DDN等多种广域网线路，并且采用模块化设计，具备良好的扩展能力。对于下级各地市检察院节点的接入，可根据具体情况通过帧中继或DDN网来实现。对于远程办公或检察院人员在外地拨入访问，可通过在路由器上加载Modem模块来实现。这样在内部人员在外地需要查询资料时，可通过拨号访问方式连入区院网络系统。4）IP电话系统IP是英文InternetProcotol的缩写形式，即“互联网协议”。IP电话是指用户的语音信号通过互联网来传输的应用。它采用语音压缩等技术，节省了网络的带宽，降低了通信成本，所以IP电话可以为用户提供更经济的电话服务。对于用户来说，最大的优势就是长途话费变得很便宜（国际、国内长途电话省60％左右）。电话网关是实现IPHONE的最关键的硬件设备。它起到了将传统的PSTN的话音信号转换成可以在IP网络上传输的数据包的作用。在区院网络系统的设计中，我们考虑了以后扩展增加IP电话功能的设计，预留了IP电话网络接口。我们面向专线用户的VoIP解决方案中选用的电话网关设备是CISCO的路由器。CISCO路由器符合H.323标准，除提供IPHONE的功能外，它还可以当成标准的提供路由功能的路由器使用，进而提供上网服务，一机多用。根据区检察院目前的实际情况，我们暂不开通IP电话功能，但是我们在设计上预留了IP电话网络接口。3、区院网络总体拓扑结构图

此主题相关图片如下：

4、网络管理网络管理是一个复杂网络必须考虑的关键技术问题，这里的网络管理主要指网络设备管理，包括网络设备配置管理，网络性能管理，和网络设备故障管理。网络管理设计需要在配置每个网络设备时，都选择具有网络管理代理的，驻留有网络管理协议的设备，网络管理设计的另一方面，是配置一个网络管理中心，它一般是一台微机，配置网络管理平台，在平台上运行管理每个网络设备的应用软件。

网络管理是保持当今的企业网络以高峰效率运行的一个关键工具。网络管理可以帮助您决定网络中的故障、性能和配置变化。我们设计的网络管理方案在我们的网络硬件中结合了软件工具以及IOS的特性。

此主题相关图片如下：

通过运用CiscoWorks2000工具，Cisco提供自动发现网络设备、跟踪和审计配置变化、监控和记录设备活动以及跟踪和监控终端站连接上的性能数据和报表的能力。CISCOIOS管理特性允许您同步化所有网络事件，将这些事件记录到系统日志服务器以便监控和分析，监控设备的特定事件，在报警发出时发送通知。将所有这些结合在一起能使网络管理员保持跟踪其网络，最大限度地提高其效率和生产力。网络管理员不仅仅在局域网内通过一台PC监控管理全部的网络设备，还可以通过远程拨入访问的方式异地监控管理区院的网络设备。网络管理软件的介绍—CiscoWorks2000CiscoWorks2000是一系列基于Internet标准的产品，用于管理Cisco企业网络和设备。CiscoWorks2000为配置、管理、监控和故障诊断路由广域网提供一系列强大的企业管理应用，大大降低了它们的复杂性。CiscoWorks2000提供配置、管理、监控和故障诊断工具。该基于Web的解决方案带有管理局域网交换和路由环境的应用，是面向Cisco交换机管理的CWSICampus捆绑的下一代产品。CiscoWorks2000能使用户分析网络流量模式，排除协议相关的问题，建立积极的报警，在用户受到影响之前提前检测出问题，执行趋势分析。5、网络采用的协议标准本网络以TCP/IP为主要协议，因为TCP/IP协议是美国国防部门制定的一套计算机网络协议，是目前众多计算机网络最流行的协议，以它为基础组建的Internet网是目前国际上规模最大的计算机网间网，它虽不是国际标准，但却是一种事实上的工业标准协议，采用TCP/IP为网络主要协议，可保证与CHINANET和Internet保持一致，还可支持IPX，DECNET等其它协议。真正实现于国际互联网的无缝连接。从计算机网络通讯的观点来看，TCP/IP网络实质上可称为IP网络，它是由许多IP网关（或称为IP路由器）通过若干直接连通的通信线路（点到点通信）形成一个计算机通信网络。在IP网点上再接入主机，子网便构成一个互联的计算机网络，这些安装了TCP/IP的各类计算机间需要通信时，它就不再要求设置协议转换开关，而且主要的网络服务都可建立在TCP/IP服务器上。三、系统主机设计当前主流的主机平台主要是AS/400（OS/400）、UNIX主机、PCSERVER的结构：AS/400（OS/400）：是一种比较安全和稳健的网络服务器结构，拥有无可匹敌的可伸缩性、可靠性和安全性。到目前为止，尚未有任何一台AS/400被黑客攻破过。具有较高的性价比。UNIX主机：是一种传统的网络服务器结构，管理比较复杂，扩展能力不好，可靠性较高，但安全方面存在一些漏洞。PCSERVER：是一种比较流行的中档的服务器结构。管理简单方便，价格适中，系统开销合理，运行效率较高。但是安全性和可靠性中等。我们通过下面的表格来比较这三种结构的可靠性：

此主题相关图片如下：

根据上面的分析比较，所以我们在本方案中选用AS/400(OS/400)系统架构作为业务办公的主机平台，而区检察院原有的2台HPLH3服务器可采取PC(WindowsNT)系统架构来作为楼宇智能服务器（双机容错）。楼宇智能主机的具体设计见BMS篇。我们之所以选择AS/400e作为整个系统平台，还因为它具有以下优势：集成性：作为一个集成的计算机系统，AS/400e将数据库、通讯、安全性等功能全部集成在操作系统当中，最大限度实现各功能间的兼容性。并且，AS/400e还集成有世界上最流行、应用最广泛的数据库系统DB2/400。开放性：从互操作性看，AS/400e能以任何形式与任何机器相联。AS/400e支持绝大多数的互操作标准，支持几乎所有的通讯协议。其集成数据库DB2也支持绝大多数开放数据库的标准。可移植性：全世界范围内，有8000家应用软件开发商在AS/400平台上从事开发工作，有28000多种应用软件，其中包括3000多种Client/Server软件。兼容性：由于IBM的的专利技术－TIMI，独立于技术的机器界面设计，使得在AS/400性能几十倍提升的同时，而用户的应用程序可不用做任何修改，甚至不用重新编译即可在任一系列的AS/400e上运行。这就使得用户一旦投资AS/400e，便可终身享有信息产业的最先进技术。可连接性：对于AS/400e的用户来说，在使用AS/400e的功能时，可以通过任何工作平台访问到AS/400e，不一定必须使用AS/400e的字符终端。AS/400的用户不必关心自己所使用的操作系统，任何平台都可以作为AS/400e的客户机。可支付性：对于计算机系统的总拥有成本来说，在购买AS/400e时，用户不仅得到硬件和操作系统，同时还得到集成于AS/400e上的数据库、安全性、通讯功能等，而这些功能对于其他系统来说，还必须另外花人力、财力去购买、实施和维护。可扩充性：从小到大，AS/400e拥有全线产品，而且，AS/400还向用户提供光纤连接技术，可将多达32台AS/400e连接起来，集群运作。对于区检察院原有的基于PC(WindowsNT)平台的应用，我们利用AS/400良好的兼容性来平滑迁移。AS/400服务器具有易管理性，支持多种应用体系结构。AS/400全新的集成式Netfinity服务器（NT卡）允许在AS/400服务器里安装多达3套微软Windows2000（服务器版），并且用同一个服务器管理它们。这样用户的应用程序可不用做任何修改，甚至不用重新编译即可在AS/400e上运行。四、软件平台设计1、系统软件根据上面主机平台的设计，我们采用的是AS/400e小型机免费捆绑的强大的OS/400V4R5操作系统和DB2数据库系统作为业务数据库主机的系统软件。由于标书中没有提到有关高检统一开发的业务办公应用软件的运行环境，我们暂时设计目前通用的NT操作系统来作为业务办公应用服务器的系统软件。但由于我们设计了目前先进的三层结构的运行环境，若实际应用为其他操作系统，也将很方便的替换，完全不影响业务软件的使用对于楼宇智能主机，由于其采用的是PC结构，根据BMS以及BA系统应用软件的实际运行环境以及区检的实际情况，我们选择目前普遍流行的WindowsNT操作系统和MSSQL数据库系统，以保证楼宇智能应用的正常运行。2、应用软件业务办公软件采用高检统一开发的业务办公应用软件。BA系统以及BMS系统的专业软件设计详见BA系统以及BMS系统设计篇。五、冗余及备份设计1、系统冗余方案1）网络冗余根据用户需求以及设计原则，对网络传输的可靠性有一定的要求。在此方案中，我们将两台主干路由交换机都配置GBIC千兆模块通过1000M光纤链路作为主干冗余连接。通过两台主干交换机冗余以及桌面接入交换机冗余连接到主干交换机，保证主干交换机与主干交换机之间、主干交换机与桌面接入交换机之间都能够相互冗余容错。所有的服务器都使用双网卡，通过冗余铜缆线路分别连接到两台主干交换机的100M端口口上。这样做到了主干交换机与服务器之间完全冗余。桌面接入交换机组都通过冗余光纤上行线路连接到两台主干交换机上，对主干100M端口也同样到了容错。这样不但增加了网络带宽，还做到了桌面接入交换机和主干交换机的完全冗余。同时为主干交换机采用冗余电源模块，增强主干交换机的可靠性。2）系统主机冗余所有的系统主机采用双机容错方式，业务办公主机、楼宇智能服务器均配备备份主机，实现双机热备份，保证系统主机的完全冗余。2、安全备份及灾难恢复方案网络系统中最重要的不是网络硬件，而是网络运行的数据。如果不能保证数据的安全及正确，对网络进行的大量投资就失去了意义。备份方法可以分为硬件备份和软件备份。硬件备份指的是用额外的硬件保证系统的连续运行，例如磁盘双工和双机容错,如果某个硬件损坏。备份硬件立即接替它的工作。但是，这种备份方式不能防止逻辑错误。据有关资料统计，系统错误有80%以上属于人为误操作。发生逻辑错误时，硬件备份只会将错误复制一遍，而不能保护数据。实际上，硬件备份应称为硬件容错。软件备份指的是把数据保存到其他介质里；当系统出错时，备份系统可以把系统恢复到备份时的状态。这种备份方法可以防止逻辑错误，因为备份介质和系统是分开的，错误不会复制到存储到介质里(如海量磁带系统)。这意味着只要保存足够长的历史数据，就可以恢复正确的数据。理想的备份系统是在软件备份的基础上增加硬件容错系统，是网络更加安全可靠。实际上，备份应包括文件/数据库备份和恢复、系统灾难恢复和备份任务管理。我们采用双主机工作方式进行硬件容错，同时通过给业务主机配备海量磁带存储设备来进行软件数据备份，达到完全的备份。六、系统安全设计安全是在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从3个方面来讨论保障网络安全的若干措施。1、主机安全采用网段分离技术，把网络上相互间没有直接关系的系统主机分布在不同的网段，由于各网段间不能直接互访，从而减少各系统被正面攻击的机会。网段分离可以采用物理方式以及逻辑方式来实现。在物理上，我们将区检察院网络分为内部业务子网和外部访问子网两网段；在逻辑上运用虚拟专用网技术（VLAN），将应用服务器和工作站根据具体情况分别放在不同的虚拟子网上。另外，在安全方面有一个最基本的原则：系统的安全性与它被暴露的程度成反比。因此，建议将对外信息发布的服务器与内部业务应用服务器隔离，由于将数据库和内部业务应用主机封闭在系统内部，增加了系统的安全性。同时使用代理技术，不允许直接访问业务主机，所有的应用连接都通过代理来完成，这不仅仅增强了业务主机的隐蔽性，也提高了业务处理效率。2、数据安全在网络上运行的软件需要通过网络收发数据，要确保数据安全就必须采用一些安全保障方式。1)用户口令加密存储和传输目前，绝大多数应用仍采用口令来确保安全，口令需要通过网络传输，并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输，一旦被读取或窃听，入侵者将能以合法的身份进行非法操作，绝大多数的安全防范措施将会失效。所以用户口令需要采取加密方式存储和传输。2)分设操作员分设操作员的方式在许多单机系统中早已使用。在网络系统中，应增加管理员、一般使用员等多种操作员类型，以便对用户的网络行为进行限制。3日志记录和分析完整的日志不仅要包括用户的各项操作，而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。对日志的分析还可用于预防入侵，提高网络安全。例如，如果分析结果表明某用户某日失败注册次数高达20次，就可能是入侵者正在尝试该用户的口令。3、网络安全在内部网络设计中主要考虑的是网络的可靠性和性能，而如何确保网络安全也是一个不容忽视的问题。为进一步保证系统安全，还要在网络中对防火墙和路由等方面做特殊考虑。1)路由为了避免入侵者侵入内部资源，应仔细进行路由配置。路由技术虽然能阻止对内部网段的访问，但不能约束外界公开网段的访问。为了确保网络的安全运转，避免让入侵者借助公开网段对内部网构成威胁，我们有必要使用防火墙技术对此进行限定。2)防火墙路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常IP包，把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的IP地址和网络访问所使用的TCP或UDP端口号。几乎所有的应用都有其固定的TCP或UDP端口号，通过对端口号的限制，可以限定网络中运行的应用。七、产品选型1、网络设备选型1)主干交换机目前生产交换机的厂商比较多，著名的有Intel、3COM、Cisco等。Intel公司虽然具备很强大的芯片设计开发及生产能力，但是其交换机产品线不全，它的产品性价比不高。3COM公司的交换机设备虽然在以前占据了很大的市场份额，但是目前3COM公司的交换机技术已经跟不上潮流了，而3COM已将自己的交换机产品部卖给了其他公司并不再进行产品线的后续开发。Cisco公司是著名的专业网络设备设计生产厂商，具备其专有网际操作系统IOS，不但技术先进而且其交换机产品线很齐全，它的产品有很高的性价比。并且Cisco公司对政府行业的支持力度很大。主干交换机是整个网络的核心，本方案网络建设要求具备连接达300个网络站点的交换能力，应用对主干服务器的访问及其数据流量对主干交换机的性能要求很高。通过以上分析本方案主干交换机确定采用Cisco公司的CiscoCatalyst4006。CiscoCatalyst4006产品为布线室和数据中心提供高性能、中等密度的、每秒10/100/1000Mbit的以太网模块化交换平台。Catalyst4006提供高性能的企业交换解决方案，最适用于需要36Gbit以太网端口的、拥有1000个用户以下和数据中心服务器环境的布线室。实施中，在百兆堆叠接入交换机组的基础上采用千兆模块把百兆交换机组通过光纤相连到CiscoCatalyst4006千兆Layer3交换机上，通过千兆交换机实现和应用服务器千兆带宽的主干连接。Catalyst4006的配置情况如下：名称：WS-C4006-S2

Catalyst4000Chassis(6-Slot),SuprvsrII,(2)ACPS,Fans

数量：2名称：WS-X4013

Catalyst4000SupervisorII,Console(RJ-45),Mgt(RJ-45)(Spare)

数量：2名称：WS-X4232-L3

Catalyst4000E/FE/GEL3Module,2-GE(GBIC),32-10/100

数量：2名称：WS-X4306-GB

Catalyst4000GigabitEthernetModule,6-Ports(GBIC)

数量：22)桌面接入交换机我们采用交换机而不使用共享式集线器到桌面是由于区检察院实际使用情况是主要表现在集中突发性，即各职能工作站同时使用同一软件的情况比较多，如果使用共享到桌面，网络就会产生拥阻而影响速度，因此在大型局域网中应使用百兆交换到桌面。我们认为区检察院在十兆与百兆交换机中应选择百兆交换，因为10兆虽然在目前网络使用中刚刚能达到要求，但是已经不适应功能越来越强的计算机与新的应用软件的发展，更不适应更快的计算机通讯产品的要求，将成为它们之间最大的瓶颈。同时考虑到与主干交换机的兼容性以及无缝融合。建议采用与主干交换机同厂商的产品。因此我们将采用Cisco公司的3500交换机通过作为本网工作组级接入交换机组，直接连接各职能工作站。通过Cisco先进的、独特的堆叠技术将第一期的200个站点分成6个网段，每个网段采用1个3548交换机。另外我们通过虚网技术，使每个办公室或每个部门之间的互访得到有效的管理和控制，提高网络的安全性。以合理价格实现工作组与终端设备的100Mbps连接的可扩展交换机，CiscoCatalyst3548-XL是将专用快速以太网式的性能扩展到整个网络的理想选择，它可使用户的终端设备、服务器及其它网络设施享受这种高性能的解决方案。这种高性能的解决方案可随网络的成长而自由地扩展。Catalyst3548-XL的配置情况如下：名称：WS-C3548-XL-EN

48-port10/100(autosensing),21000XGBICSlots(EnterpriseEdition)

数量：5名称：WS–X3500-XL

GigabitStackGBIC

数量：52、路由器考虑到Internet和其他网络的连接(如CHINANET等)，目前设计的局域网都要考虑对广域网络的连接，更广的资源和更多的应用将是在各种广域连接中发现。目前，越来越多的企事业建立了自己的WEB。因此，能否有效地连接Internet是区检察院内部网建立的一个重要的目标。Cisco公司是路由器的鼻祖，其路由器技术已经成为了业界默认的标准，并且Cisco路由器的高性能在业界中也是首屈一指的。目前安全已成为今天大多数网络管理者关心的主要问题，Cisco路由器配合广为流行、功能强大、业界领先的CiscoIOS软件，可以为客户核心网络提供全面的安全保障。Cisco3600系列是Cisco数据/语音/视频集成方案的一个关键成员，提供业界最广泛的基于IP和帧中继的端到端分组电话解决方案。Cisco3600对通道传输提供强大的加密功能。这种加密功能使用具有144位加密钥匙的Blowfish算法。与此相比，一些竞争对手的方案只具有40到128位长的加密钥匙。由此可见其加密功能的强大。任何数据在进入公用网域之前都将被加密并打成标准的IP包。由于加密是针对整个数据流的，所以原始的源地址和目标地址将被隐蔽起来，不会被潜在的黑客所发现。确保您的私人通讯数据通过公用网域时的安全。而且Cisco3600系列路由器与竞争产品相比具有以下优势：多方面WAN协议选择Cisco3600系列路由器支持今天最被广为使用的网络协议，包括IP、NovellIPX和AppleTalk，和一系列路由协议。卓越的带宽优势Cisco3600系列路由器比任何其他厂商产品都有更多的特性，从而减少WAN服务费用。数据压缩和多个流量优先技术确保重要数据的整体性。与此同时，协议哄骗、SnapshotRouting、BOD和DOD等技术也确保象ISDN那样按使用时间计价的服务耗费最低。加强的多媒体和VLAN支持IGMP、RSVP、PIM、WFQ、SMRP和中转连接（ISL），使Cisco3600系列路由器能够支持音频和视频服务应用，以及虚拟局域网。没有任何一个竞争方案能提供这些特点。卓越的安全性用户辨别和扩展AccessList只允许获准的流量进入网络，它应用事件登记和审查追踪、编码、和虚拟专有网络透纳等技术提高网络的安全。没有任何其他厂商可达到这样多种的安全特性。根据以上分析和区检察院网络系统的实际需求，我们选择了Cisco3640路由器。它是区检察院网络对外的出口，也可以作为保护内部网的第一道防火墙。采用DDN线路与Internet连接，以64KB~2MB带宽支持内部网络的应用，而且性能非常稳定。3、系统主机根据前面的系统平台设计，我们选择了IBM的AS/400(OS/400)系统平台。在出色的AS/400e家族系列中，有着众多的产品，我们根据区检察院的具体情况以及实际应用，选择了AS/400e270服务器搭载最新的OS/400V4R5操作系统。（由于我们对区检的业务办公系统的具体开发环境及应用环境不太清楚，但根据区检有关人员讲述是适合主流平台的，若到时无法在AS/400e上运行，我们可在不增加投资的情况下更换为同档次的RS/6000。）选择AS/400e270因为其还具备有的以下优势:1）以经济有效的方式提供最高性能在当今这个高速发展的世界里，您需要确保所采用的技术是可靠的并且能够满足多负载环境下的高强度要求。无论您运行核心业务应用还是新的电子商务应用或者二者兼有，AS/400e270服务器都能以经济有效的方式提供最高性能。在独立的AS/400e270服务器上处理那些大量消耗CPU资源的负载就能简单地实现业务的扩展。当您将来有更多的需求，在AS/400e270服务器内部升级是简单而且经济的。2）突破商业计算极限的力量IBM微处理器技术使得AS/400e270服务器能够处理高强度的负载。AS/400e270服务器可使处理器CPW1的相关性能值达到150-2000，这也是它引以自豪之处。单路到两路处理器配合高至421GB硬盘及8GB主存的扩展选项，可使AS/400e270服务器成为能够处理大量负载的功能强大的服务器具有卓越可靠性、可用性和连通性的新I/O功能作为业界具有最高可用性的服务器之一，AS/400e270服务器在这方面做得更好。它在基本部件和新的I/O扩展塔中都带有热插拔式PCII/O插槽，您可以添加新功能并且可以在不重新启动服务器的情况下进行维护。新功能包括符合业界相关标准的1Gbps以太网适配器和100Mbps高速令牌环局域网适配器。AS/400e270服务器上使用的高速链路(HSL)新技术使得外接式磁盘驱动器备份100GB的数据只需不到一小时。3）灵活的应用选项AS/400e270服务器具有易管理性，支持多种应用体系结构。AS/400全新的集成式Netfinity服务器允许您在AS/400e270服务器里安装多达3套微软WindowsNT，并且用同一个服务器管理它们。此外，AS/400e270服务器全面支持Domino5.0x，可提供HTTP和电子邮件等组件和Web服务，它们可以与核心业务并行运行。AS/400e270服务器支持JAVA和可扩展置标语言(XML)，这将更好地为电子商务提供全面广泛的支持。所以我们选择了IBMAS/400e270小型机。4、软件平台AS/400e小型机已经免费捆绑了先进的OS/400V4操作系统和DB2数据库系统。由于标书中没有提到区院在购买LH3服务器时是否已购买有WindowsNT和SQL数据库及其用户数量，而且我们也不清楚高检统一下发的业务办公系统是否包含了SQL数据库，所以我们在产品报价清单暂不列出。八、方案设计特点1、方案特点1)首先，方案中选用了具有先进技术的、安全可靠的小型机AS/400e270作为系统主机，提供了高性能以及高安全可靠性，根据第三方的评测，AS/400e的安全可靠性是仅次于目前最好的S390大型机的。AS/400采用其独有的绝缘硅以及TMI等先进技术，具有很高的性价比和高扩展性，以及较低的总拥有成本。2)考虑到区检察院大楼中存在一些位置难于使用有线线路获得网络访问，而且有些地方存在室内装修不能受到破坏等问题无法进行有线布线，例如大会议室以及一些会议厅为了美观以及会议方便不可能做到全范围覆盖的有线综合布线。并且在以后的使用过程中，可能有些地方还会出现需要建立临时网络的问题，为了在今后的工作能够具有更为灵活便捷的网络接入能力，同时为了减少本大楼有线局域网的布线冗余且提供一种更为先进灵活的连接方式，采用了目前最先进的无线网络技术，提供了灵活便捷的移动网络接入，使网络接入不再受固定电缆以及区域的限制。3)系统采取了先进的三层结构设计，数据库主机、应用软件服务器、客户端完全分离，各层次的软硬件升级扩展均不影响整个系统的运作。4)网络主干采用Cisco4006千兆路由交换机构建冗余主干，实现了网络主干1000M全交换冗余结构。整个网络提供10/100/1000Mbps灵活的带宽接入，并具备卓越的第三层交换性能。而且桌面接入采用堆叠式交换机，具备很强的扩展能力，保护了用户投资。5)提供了远程移动办公能力，方便了用户进行远程异地办公，真正享受到网络所带来的便捷，提高业务办公效率。6)采用了先进的VLAN（虚拟网络）技术，将网络分割为不同的应用子网，提高了网络的安全性，杜绝了网络广播风暴。7)整个网络的设计贴近用户的需求，提供了多种带宽接入,并且采用了目前先进的技术，吞吐能力强、指标高、容错性能好、兼容性高，而且充分利用了区检原有的服务器及网络设备，保护了用户的投资。系统主机及主要网络设备均实现了冗余容错，并为未来网络的升级扩展作好充分准备，节省了用户的投资。2、未来的考虑本方案中所采取的技术与产品充分考虑到了网络未来的升级与发展，无论从局域网的扩展到广域网的建设都作了周密的考虑。再是由于系统选择的是最成熟与标准的千兆位以太网技术，把网络已构筑了高速和坚固的信息高速公路，面对未来的发展将处于非常有利的境界。产品型号RG-S3512G+固定端口12个SFP（Mini-GBIC）接口和12个10/100/1000BASE-T的RJ45接口，光口和电口复用模块Mini-GBIC-SX：单口1000BASE-SXMiniGBIC转换模块Mini-GBIC-LX：单口1000BASE-LXMiniGBIC转换模块Mini-GBIC-ZX50：单口1000BASE-ZXMiniGBIC转换模块（50km）Mini-GBIC-ZX80：单口1000BASE-ZXMiniGBIC转换模块（80km）L2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3ab、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q(GVRP)、IEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingL3协议OSPF、RIPV1、RIPV2、IGMP管理协议SNMPv1/v2、CLI(Telnet/Console)、Web、RMON(1,2,3,9)、SSH、Syslog其它协议EAPS、BOOTP、DHCPRelay背板48Gbps包转发速率L2：线速（18Mpps）L3：线速（18Mpps）MAC地址16K802.1QVLAN4KACLIP标准ACL（基于IP地址的硬件ACL）、IP扩展ACL（基于IP地址、传输层端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL端口镜像支持，可分别基于输入/输出流的镜像网络介质和最大传输距离1000BASE-SX（波长850nm）：62.5/125um多模光纤线的最大传输距离为220m；50/125um多模光纤线的最大传输距离为500m；1000BASE-LX（波长1310nm）：62.5/125um多模光纤线的最大传输距离为550m；50/125um多模光纤线的最大传输距离为550m；9/125um单模光纤线的最大传输距离为10Km；1000BASE-ZX（波长1550nm）：9/125um单模光纤线的最大传输距离为50Km和80Km两种；10/100/1000BASE-T：使用5类UTP或STP最大传输距离为100m；尺寸(宽×高×深)440mm×66mm×335mm电源AC160V～240V，48Hz～60Hz温度工作温度：0℃到50℃存储温度：-40湿度工作湿度:10%到90%RH存储湿度:5%到90%RHRG-MGSX单口千兆短波光纤接口模块RG-MGLX单口千兆长波光纤接口模块M2121S：单口1000BASE-SX模块产品型号STAR-S2126GSTAR-S2150G固定端口24端口10/100自适应48端口10/100自适应模块插槽2个扩展插槽可用模块单口1000BASE-SX模块单口1000BASE-LX模块单口1000BASE-TX模块（支持10/100/1000M自适应）单口100BASE-FX模块单口100BASE-FX单模模块单口100BASE-TX模块堆叠模块背板带宽12.8Gbps18.5Gbps包转发速率线速（6.6Mpps）线速（10.1Mpps）802.1qVLAN4KACL标准IPACL（基于IP地址的硬件ACL）、扩展IPACL（基于IP地址、传输层端口号的硬件ACL）、MAC扩展ACL（基于源MAC地址、目的MAC地址和可选的以太网类型的硬件ACL）、基于时间ACL、专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、协议类型、时间灵活组合的硬件ACL)、ACL80L2协议IEEE802.3、IEEE802.3u、IEEE802.3z、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.3ab、IEEE802.1Q(GVRP)、IEEEE802.1d、IEEE802.1w、IEEE802.1s、IGMPSnoopingv1/v2/v3管理协议SNMPv1/v2C/v3、Web(JAVA)、CLI(Telnet/Console)、RMON(1,2,3,9)、集群、SSH、Syslog、SNTP其它协议BOOTP/DHCPRelay、DNSClient尺寸（长×宽×高）440×240×44mm440×300×44mm电源160VAC~240VAC，48Hz~60Hz温度工作温度：0℃到45℃存储温度：-40ºC到70ºC湿度工作湿度：10%到90%RH存储湿度：5%到90%RH技术参数参数描述产品型号RG-S7610RG-S7606RG-S7604模块插槽10个（2个用于管理引擎）6个（2个用于管理引擎）4个（1个用于管理引擎）背板2.4T1.6T1T交换容量864G864G432G包转发速率643Mpps322Mpps276.8Mpps802.1qVLAN4KL2协议IEEE802.3（10Base-T）、IEEE802.3u（100Base-T）、IEEE802.3z（1000Base-X）、IEEE802.3ab（1000Base-T）、IEEE802.3ae（10GBase）、IEEE802.3ak、IEEE802.3an、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、IEEE802.1Q、IEEEE802.1D（STP）、IEEEE802.1w（RSTP）、IEEEE802.1s（MSTP）、IGMPSnooping、JumboFrame(9Kbytes)、GVRPL3协议(IPv4)BGP4、IS-IS、OSPFv2、RIPv1、RIPv2、MBGP、LPMRouting、Policy-basedRouting、Route-policy、ECMP、WCMP、VRRP、IGMPv1/v2/v3、DVMRP、PIM-SM/DMIPv6协议ND（邻居发现）、ICMPv6、PathMTUDiscovery、ICMPv6、ICMPv6重定向、ACLv6、TCP/UDPforIPv6、Ping/Traceroutev6、静态路由、等价路由、OSPFV3、RIPng、IS-ISv6、手工隧道、ISATAP、6to4隧道QOS支持IPPrecedence、802.1P（COS优先级）、DSCP、支持支持基于标准、扩展、VLANACL进行流量分类，支持多种队列调度机制如SP、RR、WRR、DRR、SP+WRR、SP+DRR等，支持流量监管（CAR）、支持流量整形TrafficShaping（TS）安全功能CPP（CPU保护）、防DDOS攻击、非法数据包检测、数据加密、防源IP欺骗、防IP扫描、支持基于标准、扩展、VLAN的IPv4/v6ACL报文过滤、支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证、支持受限的IP地址的Telnet的登录和口令机制、支持广播报文抑制、DHCPSnooping高可靠设计支持RLDP单向链路检测技术、支持TPP（拓扑保护技术）、双引擎冗余设计、支持电源冗余备份、采用无源背板设计、风扇采用冗余设计、所有单板和电源模块支持热插拔功能管理方式SNMPv1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2、FTP/TFTP文件上下载管理、支持NTP时钟、支持Syslog其它协议DHCPClient、DHCPRelay、DHCPServer、DNSClient、UDPrelay、ARPProxy、Syslog尺寸（L×W×H）mm440×480×496440×480×313440×480×221重量≤80KG≤70KG≤50KG电源100VAC~240VAC，50Hz~60Hz，功率:480WMTBF>200,000hours温度工作温度：0℃到存储温度：-40℃到湿度工作湿度：10%到90%RH存储湿度：5%到95%RH该典型应用的最大特点可以概括为：高速、智能、安全。整网主干千兆，出口同样采用千兆加百兆双线路接入的方案，将访问速度提升到最大。两条出口线路既可以进行策略选路，又能防止一条线路宕了以后，校园网成为信息孤岛。

NPE20具有强大的处理能力，可以满足同时并发在线1500信息点规模的学校网络。时下，为了提高访问速度，也为了对相关流量进行合理的分流，都采取双出口线路的方式。NPE20的双重弹性带宽和自动策略选路，实现网络流量的智能管理。

NPE20集成最实用的安全特性，能够彻底防御ARP欺骗的发生，并实现对网络传播病毒的阻断，大大减轻了中学校园网络的安全问题负担。

NPE20将中学校园网络的管理维护成本降至更地点。全web管理和监控界面，降低了管理监控的技术门槛。更加细致的是，NPE20支持类似于windows自动更新功能的软件版本和电信/网通选路地址库的自动升级，让每一个可能给管理维护带来困难的细节都在考虑之内。

NPE20的VPN功能支持，方便老师从家中接入校园内网，处理工作或者下载资料。

NPE20支持URL过滤，将中小学绿色校园网的概念坚持到底。

综合高性能：

硬件：超高性能专用RISC架构网络处理器（833MHz）

包转发率：650Kpps，充分满足企业、大型分支机构的网络出口高效转发

高性能NAT：最大NAT并发连接50万条，同时支持1500台PC在线

在100MDDoS攻击下，CPU利用率不高于35%，依然实现小包的100M线速转发。

高可用性

硬件可靠性电信级宽频开关电源，具有防雷、防过压、防浪涌设计，适应电压不稳定场合。

链路冗余性1个千兆、2个百兆路由口，可以同时接3条ISP线路，并在两条线路间进行负载均衡