太平洋网络系统集成方案

1、太平洋人寿保险公司网络系统集成方案上海罗更信息科技有限公司2006.9.6一、前言1.1集团综合信息系统建设目标-31.2. 用户具体需求-41.3集团综合信息系统建设原则 -41.3.1 先进性.51.3.2 标准性.51.3.3 兼容性.51.3.4 可升级和可扩展性.51.3.5 安全性.61.3.6 可靠性.61.3.7 易操作性.71.3.8 可管理性.7 二网络设计方案-8 2.1 网络设计需求.8 2.2总体方案设计策略8 2.3太平洋保险园区结构示意图8 2.4网络设备选型9 2.4.1选型原则.9 2.4.2核心层交换机.112.4.3接入层交换机.12 2.5主干网络技术选

2、型13 2.6路由交换技术部分设计18 2.7网络安全设计20 三网络系统设计21 3.1 系统设计总体需求.21 3.2 系统设计原则.22 一前言“功欲善其事，必先利其器”，太平洋保险深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统，已迫在眉睫，作为一个致力于企业信息化和系统集成的企业非常荣幸参与太平洋保险综合网络信息系统的建设，希望能尽自己的全力来施展我们的专长来实现信息系统的建设。1.1集团综合信息系统建设目标太平洋保险信息系统主要建设一个企业信息系统，它以管理信息为主体，连接生产、销售、维护、运营子系统，是一个面向集团的日常业务、立足

3、生产、面向社会，辅助领导决策的计算机信息网络系统。本期项目的目标是建立如下系统：1构造一个既能覆盖本地又能与外界进行网络互通、共享信息、展示企业的计算机企业网。2选用技术先进、具有容错能力的网络产品，在投资和条件允许的情况下也可采用结构容错的方法3完全符合开放性规范，将业界优秀的产品集成于该综合网络平台之中；4具有较好的可扩展性，为今后的网络扩容作好准备 5采用OA办公，做到集数据、图像、声音三位一体，提高企业管理效率、降低企业信息传递成本6整个公司计划采用2M光纤接入到运营商提供的Internet。集团统一一个出口，便于控制网络安全7设备选型上必须在技术上具有先进性，通用性，且必须便于管理，

4、维护。应具备未来良好的可扩展性，可升级性，保护公司的投资。设备要在满足该项目的功能和性能上还具有良好的性价比。设备在选型上要是拥有足够实力和市场份额的主流产品，同时也要有好的售后服务1.2具体用户需求：1网络设备配置配备网络交换设备，实现交换机间的千兆光纤连接，保证未来各应用系统的实施以及满足集团各种计算机应用系统的大信息量的传输。2网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。1.3公司综合信息系统建设原则多业务网络系统方案以实现以上功能为基本要求，在设计上力求做到既要采用国际上先进的技术，又要保证系统的安全可靠性和实用性。具体来讲，

5、其设计遵循以下原则：1.3.1先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术，符合国际标准和规范；1.3.2标准性所采用技术的标准化，可以保证网络发展的一致性，增强网络的兼容性，以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接，整个网络从设计、技术和设备的选择，必须支持国际标准的网络接口和协议，以提供高度的开放性。全面支持IEEE工业标准：802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由协议：IP 的RIP V1/2，OSPF，BGP-4；信令标准：H.323,RTP/CR

6、TP. 支持：IPsec、L2TP、GRE、MPLS-VPN规范。支持多址广播协议：IGMP，DVMRP，PIM-DM，PIM-SM；网络管理协议：SNMP，RMON，RMON2； 1.3.3兼容性跟踪世界科技发展动态，网络规划与现有光纤传输网及将要改造的分配网有良好的兼容，在采用先进技术的前提下，最大可能地保护已有投资，并能在已有的网络上扩展多种业务。1.3.4可升级和可扩展性随着技术不断发展，新的标准和功能不断增加，网络设备必须可以通过网络进行升级，以提供更先进、更多的功能。在网络建成后，随着应用和用户的增加，核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模

7、块化的设计以及多种类接口、技术的选择，以方便未来更灵活的扩展。1.3.5安全性网络的安全性对网络设计是非常重要的，合理的网络安全控制，可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问，灵活的实施网络的安全控制策略。在企业园区网络中，关键应用服务器、核心网络设备，只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限，网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上，划分虚拟子网，一方面可以有效的隔离子网内的大量广播，另一方面隔离网络子网间的通讯，控制了资源的访问权限，提高

8、了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力，使网络可以任意连接，又可以从第二层、第三层控制网络的访问。可管理性1.3.6可靠性本系统是7x24小时连续运行系统，从硬件和软件两方面来保证系统的高可靠性。硬件可靠性配备不间断电源等。软件可靠性充分考虑异常情况的处理，具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示；并具有进程监控管理功能，保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时，不影响网络的整体结构以及整体性能，对关键的网络连接采用主备方式，已保证数据的传输的可靠性。1.3.7易操作性提供中文方式的图形用户界面，简单易学，方便实用。

9、优良的性能价格比。系统应着重考虑和满足以上的设计要求。1.3.8 可管理性络的可管理性要求：网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。在进行网络设计时，选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态显示，网络设备的故障事件报警，网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率，减轻网络管理人员的负担。网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。基于W

10、eb的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上，要求网络设备支持标准的网络管理协议SNMP，同时支持RMON/RMONII协议，核心设备要求支持 RAP (远程分析端口) 协议，实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。二网络设计方案 2.1 网络设计需求各部门结构：QA坐席区（14人），话务坐席区（168人），小会议室（40人），大会议室（40人），后台坐席区（33人）。另外，各区都预留少数的点为做后备。 2.2体方案设计策略 为了实现以上网络设计原则，使太平洋

11、保险园区网络具有良好的 扩展性能力和灵活的便于管理，易于维护，在网络设计上采用了一下策略。 因特网接入和园区网分离。将因特网接入部分和园区网主体部分分离，每部分完成其自身的功能，可以减少两者之间的相互影响。因特网接入的变化，只影响接入的变化，对园区网络没有影响；而园区网络的变化对因特网接入部分影响较小。.这样可以增强网络的扩展能力。保持网络层次结构清晰，便于管理和维护。 统一标准，统一网络统一的IP应用标准（IP地址，路由协议），安全标准， 接入标准和网络管理平台，才能实现真正的统一管理，便于集团的管理和网络策略的实施。2.3太平洋保险园区结构示意图 2.4网络设备选型2.4.1选型原则 我们

12、在网络系统设计时考虑如下特点： 稳定可靠的网络 只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。 高带宽 为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。 易扩展的网络 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，

13、并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。 QoS(英文全称为Quality of Service，中文名为服务质量。)QoS是网络的一种安全机制, 是用来解决网络延迟和阻塞等问题的一种技术。保证 随着网 络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。 安全性 网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。应支

14、持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。 容易控制管理 因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。 符合IP发展趋势的网络 在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IP QoS，IP Over SONET等等新兴的技术不断出现，太平洋保险园区网网络络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。 2.4.2核心层设备 由于太平洋保险园区网网络发展规模较大，未来需提供多媒体办公

15、、办公自动化、图书资料检索、远程互联、视频会议等复杂的网络应用，为便于管理，我们建议选用的交换机作为网络组建交换设备。选用1台Cisco4506交换机作为主干交换机实现1000M做主干100M到桌面的需求。 Cisco4506系列交换机支持堆叠技术，将来扩充端口极为灵活方便，不必改变原有网络的任何配置。通过增加堆叠交换机数量或做Port Trunking(端口干路)两种办法均可扩充网络规模；并且实现了本地化交换，改善了整个网络，使整个网络的性能发生了质的变化。选用千兆光纤模块，与主干上联，实现主干的千兆传输。Cisco4506系列交换机支持网管和堆叠，可以很容易地根据需要，通过堆叠扩充端口数量

16、。 此外，Cisco4506交换机，在安装千兆光纤模块的同时，还可以安装百兆光纤模块，完全可以适应现在或将来的楼内光纤布线，灵活性很强。 2.4.3接入层设备接入层交换机放置于楼层的设备间，用于终端用户的接入。应该能够提供高密度的接入，对环境的适应能力强，运行稳定。楼层接入设备选择CISCO公司的WS-C2950G-48-EI智能以太网交换机。WS-C2950-48-EI交换机属于Catalyst2950系列智能交换机。Catalyst2950系列是固定的配置，可堆叠的独立设备系列，提供了线速快速以太网和千兆位以太网连接。Catalyst2950系列是有款最廉价的CISCO交换机产品系列，为中

17、型网络和城域接入应用边缘提供了智能服务，可以为局域网提供极佳的性能和功能。这些独立的。10/100自适应交换机能够提供增强的服务质量（QoS）和组播管理特性，所有的这些都由易用，基于WEB的CISCO集群管理套件（CMS），和集成CISCOIOS软件来进行管理。带有1000GBIC上行链路的Catalyst2950交换机，可为中等规模的公司和企业分支机构 办公室提供理想的解决方案，以使他们能够拥有更高性能的千兆以太网主干。WS-C2950G-48-E交换机，有48个10/100端口，2个基于千兆接口转换器（GBIC）的1000GBIC端口，能够为用户提供千兆的光纤骨干和高密度度的接入端口；具有

18、高达13.6Gbps的背板带宽，能够提供10.1Mpps的转发速率；增强型的IOS，能够支持250个VLAN，提供安全，QoS，管理等各方面的智能交换服务。2.5主干网络技术选型 在太平洋保险集团园区网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合太平洋保险园区网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。根据招用户要求，我们主干网络可选用千兆以太网技术目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM（异步传输模式）、FDDI、CDDI、千兆以太网等。在这些技术

19、中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。 现有网络技术介绍 以太网（Ethernet） 以太网是应用最为广泛的网络技术，它基于CSMA/CD（冲突检测媒体访问/载波侦听）机制，采用共享介质的方式实现计算机之间的通讯，带宽为100Mbps。 CSMA/CD技术采用总线控制技术及退避算法。当一个站点要发送时，首先需监听总线以决定介质上是否存在其它站的发送信号。如果介质是空闲的，则可以发送，如果介质是繁忙的，则隔一次间隔后重发，即采用某种退避算法。 早期的以太网由于它介质共享的特性，当网络中站点增加时，网络的性能会迅速下降，另外缺乏对多种

20、服务和QoS的支持。随着网络技术的发展，现在的以太网技术已经从共享技术发展到交换技术，交换以太网的出现使传统的共享式以太网技术得到极大改进。共享式局域网上的所有节点（如主机、工作站）共同分享同一带宽，当网上两个任意节点交换数据时，其他节点只能等待。交换以太网则利用网络交换机在不同网段之间建立多个独享连接(就像电话交换机可同时为众多的用户建立对话通道一样)，采用按目的地址的定向传输，为每个单独的网段 提供专用的频带（即带宽独享），增大了网络的传输吞吐量，提高了传输速率，其主干网上无碰撞问题。虚拟网技术与交换技术相结合，有效地解决了广播问题，使网络设计更加灵活，网络的管理和维护更加方便。交换式以太

21、网克服了共享式以太网的缺点，并借助于IP技术的新发展，如IP Multicast、IP QoS等技术的推出使得交换以太网可以支持多媒体技术等多种业务服务。 快速以太网(FastEthernet) 快速以太网技术仍然是以太网，也是总线或星型结构的网络，快速以太网仍支持共享模式，在共享模式下仍采用的是广播模式（CSMA/CD竞争方式访问，IEEE 802.3），所以在共享模式下的快速以太网继承了传统共享以太网的所有特点，但是带宽增大了10倍。快速以太网的应用主要是基于它的交换模式。在交换模式下，快速以太网完全没有CSMA/CD这种机制的缺陷，除了上面谈到的交换以太网的优点以外，交换模式下的快速以太

22、网可以工作在全双工的状态下，使得网络带宽可以达到200Mbps。因此快速以太网是一种在局域网技术中性能价格比非常好的网络技术，在支持多媒体技术的应用上可以提供很好的网络质量和服务。 千兆位以太网技术（Gigabit Ethernet） 千兆位以太网技术以简单的以太网技术为基础，为网络主干提供1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。 千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。

23、现在千兆位以太网成熟的标准为IEEE 802.3z，IEEE 802.3z的目标是： 使用IEEE 802.3帧格式； 可以使用全双工和半双工； 共享模式下仍使用CSMA/CD； 对安装介质的向后兼容； 传输速度比快速以太网提高十倍，比以太网提高一百倍。 千兆以太网通过载波扩展（Carrier Extension）、采用带中继、交换功能的网络设备以及多种激光器和光纤将连接距离扩展到从500米至3000米。如采用1300nm激光器和50um的多模光纤传输距离可以达到3km。现在，某些厂家的交换机上的千兆以太网接口还支持Long Haul(LH)的标准，采用光纤可以支持高达60Km的传输距离。 千

24、兆位以太网能够提供更高的带宽，并且成为有强大伸缩性的以太网家族的第三个成员。利用交换机或路由器可以与现有低速的以太网用户和设备连接起来，因为千兆位以太网的帧格式和帧尺寸大小等都与所有以太网技术相同，不需要对网络做任何改变。这种升级方法使得千兆位以太网相对于其他高速网络技术而言，在经济和管理性能方面都是较好的选择。 千兆位以太网的设计非常灵活，几乎对网络结构没有限制，可以是交换式、共享式的或基于路由器的。现在正在应用的网络互连技术，例如，特定IP交换技术和第三层的交换技术，都与千兆位以太网完全兼容。千兆位以太网可以通过价格便宜的共享集线器、交换机或路由器来实现。千兆位以太网支持新的交换机之间或交

25、换机工作站之间全双工的连接模式，同时也支持半双工连接模式以便与基于CSMA/CD存取方式的共享集线器连接。 千兆位以太网使用的传输介质有光纤、5类非屏蔽双绞线(UTP)或同轴电缆。目前，千兆以太网支持多模光纤、多模光纤和同轴电缆，支持5类非屏蔽双绞线(UTP)的标准正在制定中。 下表列出了千兆以太网现在支持的距离标准。 标 准 名 称 媒 质 传 输 距 离 1000Base-SX波长850nm 62.5微米多模光纤50微米多模光纤 275米550米 1000Base-LX波长1300nm 62.5微米多模光纤50微米多模光纤9微米或10微米多模光纤 275米550米5公里 1000Base-

26、CX 同轴电缆对 25米 1000Base-T 4对5类双绞线 100米 千兆位以太网的管理与以前使用和了解的以太网相同，使用千兆以太网，主干和各网段及桌面已实现了无缝结合，网络管理变得容易了。 千兆以太网技术的优点： 技术简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识.便于升级，从现有的传统以太网和快速以太网可以平滑地过渡到千兆以太网，并不需要掌握新的配置、管理与排除故障技术；网络投资可以得到保护，无需对用户进行再培训，也无需为额外的网络协议进行投资；千兆以太网有良好的互操作性，并具有向后兼容性;端口价格相对较低；可以提供10倍于快速以太网的传输速度。 网络技术选型结论 综上所述

27、，在选择旭日集团园区网网络技术时应该考虑如下： 、长远来看如何保护现有投资。保护现有投资的有效途径就是在将来网络技术升级时还能使用现有的网络技术和产品。如同计算机的发展速度一样，网络技术的发展也是非常迅速的。如果在现有技术不能合理保证在将来网络升级后还能够使用，那么将会带来极大的资金浪费。从目前的趋势来看，采用千兆以太网技术是最适宜的。 性能价格比。以太网，快速以太网，千兆以太网和ATM网三者性能状况由低到高，但是价格也是由低到高的。在建设太平洋保险团园区网网络时要充分考虑到办公的资金有效使用，选择适用的网络技术是关键，因此选择华为网络产品实现是最佳选择。目前满眼看到的是国外的技术和产品，无形

28、中增加了网络造价成本，这也给网络的普及带来一定障碍。 2.6路由交换部分的设计为了使太平洋保险集团园区网高效、稳定的运行，便于管理与维护，对局域网交换和路由技术的相关方面进行了规范设计，包括VTP、VLAN、STP、TRUNK、ETHERCHANNEL， VPN等。每一台都连接所有的核心层交换机，但相互之间并不连接（提高网络的故障收敛速度）。作为三层的核心，既保证数据的高速转发，又保证网络的可靠性。 冗余电源 Cisco4506系列以太网交换机提供了RPS电源备份接口，可以对设备提供一对一的电源备份和保护，也可以以一路直流电源对多台支持RPS接口的设备进行备份和保护。 生成树（STP/RSTP

29、/MSTP） Cisco4506系列以太网交换机支持STP/RSTP/MSTP生成树协议。 生成树协议主要用来建立和维护局域网的拓扑，消除循环连接导致的网络广播风暴，并且提供网络的拓扑的冗余备份功能，平时作为备份的路径被阻塞，当主用路径网络设备出现故障时，能够及时调整端口状态，调整网络拓扑。 生成树协议的工作原理：网络中的桥接设备根据设定的优先值和MAC地址，确定最优先的设备为网络的根桥，根桥向外定时发送Config BPDU报文，每个收到该报文的交换机将报文内容根据自身的配置和所掌握的网络拓扑结构进行更新下发到其他端口，当一个交换机从两个或两个以上端口接收到Config BPDU的时候就表明

30、网络中存在循环，保留其中一个端口为转发状态，设置其余端口为阻塞状态。 除了支持传统的生成树协议外，Cisco4506系列以太网交换机还支持IEEE 802.1w快速生成树协议(RSTP)，以及802.1s多生成树协议（MSTP）。快速生成树协议是生成树协议的改进，在原有功能的基础上提高了网络保护的性能。传统生成树倒换时间为42s，从发现链路断裂、数据中断到数据恢复至少需要三十多秒的时间，而快速生成树协议只需68秒的时间就可以将数据流切换到备份链路上。 802.1s多生成树协议（MSTP）可以通过支持一个网络内的多个生成树，这使管理员可以把VLAN流量分配给唯一的通路。网络管理员只要为VLAN分

31、配独立的生成树拓扑，就可以确保两个VLAN都能在网上顺畅传输。这就可以起到均衡网络流量，提高可靠性的作用。Cisco6509系列以太网交换机最大可以支持17个或者33个STP实例。 链路聚合（Link Aggregation ） 为了在以太网上获得更高的数据传输带宽，Cisco6509系列以太网交换机提供了二层的端口链路聚合功能（基于标准IEEE 802.3ad）。这样在生成树协议（STP）和其他二层协议上看，作了链路聚合的所有物理端口被视为同一个端口。在作了链路聚合的端口之间可以做冗余备份和负载分担。 在实际应用中，进行聚合处理的端口等同于一个端口，任何转发到聚合的端口上的报文会通过对源、目

32、的地址的逻辑运算来分布到聚合的不同端口上。即使是多播和广播报文也不会被复制多份，也要通过对地址的逻辑计算，将流量平衡分配到不同的端口上。Cisco6509系列以太网交换机系统在二层和三层对硬件查表未命中的新地址进行监控。如果新地址是在聚合的端口上时，根据二层和三层的不同，使用MAC地址或IP地址进行逻辑计算，根据逻辑的结果选择相应端口为转发端口，发往该目的地址的帧将按照计算负载均衡后的结果进行转发，实现端口之间负载均衡和冗余保护，保证数据流不出现乱序现象。 VPNPIX515系列以太网路由交换机支持VPN,VPN（虚拟专网）是利用公共网络资源(如公用电信网)为客户组建专用网的一种技术，它通过对

33、网络数据进行封包和加密传输，在公网上传输私有数据，达到私有网络的安全级别，从而利用公网构筑专网（即VPN）。它是一种逻辑上的专用网络，向用户提供专用网络所具有的功能，但本身却不是一个独立的物理网络。2.7网络安全设计 太平洋保险园区网有300多用户，网络规模比较大，并且和因特网存在连接。为了保障网络系统的运行安全，保护公司的信息安全，必须进行网络安全方面的规划和实施。 一个网络的安全，首先要有严格和有效执行的管理制度。建议旭日集团制定严格的网络安全管理策略，并有效的执行。其次，必须具有一定的技术手段来保障网络的安全。技术和管理手段相结合实施，才能够产生良好的效果。 通过以下几个技术方面的实施，可以在一定程度上保障网络的安全： 提高设备的物理安全性 配置设备的口令 进行VTP域的认证 园区网用户的接入控制 应用系统的访问控制 因特网的接入安全控制 提高设备的物理安全性 设备的物理安全性是指运行中的设备，未经授权的人员不能直接接触到。提高设备的物理安全性，是最基本的要求。通过将设备安置在独立的设备间中，确保只有授权的管理和维护人员才能接触到物理设备。 配置设备的口令 配置设备的口令，是防止非授权的人员更改网络系统的配置的重要手段。 要为所有的设备设置口令。要为每