网络设备的厂家及产品比较Word文件下载.doc
《网络设备的厂家及产品比较Word文件下载.doc》由会员分享,可在线阅读,更多相关《网络设备的厂家及产品比较Word文件下载.doc(15页珍藏版)》请在冰豆网上搜索。
但是与工作在网络物理层,从物理上划分网段的交换机不同,路由器使用专门的软件协议从逻辑上对整个网络进行划分。
例如,一台支持IP协议的路由器可以把网络划分成多个子网段,只有指向特殊IP地址的网络流量才可以通过路由器。
对于每一个接收到的数据包,路由器都会重新计算其校验值,并写入新的物理地址。
因此,使用路由器转发和过滤数据的速度往往要比只查看数据包物理地址的交换机慢。
但是,对于那些结构复杂的网络,使用路由器可以提高网络的整体效率。
路由器的另外一个明显优势就是可以自动过滤网络广播。
从总体上说,在网络中添加路由器的整个安装过程要比即插即用的交换机复杂很多。
交换机
交换机的主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流控。
目前交换机还具备了一些新的功能,如对VLAN(虚拟局域网)的支持、对链路汇聚的支持,甚至有的还具有防火墙的功能
局域网交换机有三个基本功能:
一是建立和维护一个表示MAC地址与交换机端口对应关系的交换表;
二是在发送节点和接受节点之间建立一条虚连接,更确切地说,是在发送节点所在的交换机端口(源端口)和接受节点所在的交换机端口(目的端口)之间建立虚连接;
三是完成数据帧的转发或过滤。
用途:
交换机最大特点是可以将一个局域网划分成多个网段,每个端口可以构成一个网段,且每一个连接到交换机上的设备都可以享用自己的专用带宽。
交换机在传送源和目的端口的数据包时通常采用直通式交换、存储转发式和碎片隔离方式三种数据包交换方式。
采用直通交换方式的以太网交换机可以理解为在各端口间是纵横交叉的线路矩阵电话交换机。
存储转发是计算机网络领域使用得最为广泛的技术之一,以太网交换机的控制器先将输入端口到来的数据包缓存起来,先检查数据包是否正确,并过滤掉冲突包错误。
确定包正确后,取出目的地址,通过查找表找到想要发送的输出端口地址,然后将该包发送出去。
碎片隔离式是介于直通式和存储转发式之间的一种解决方案。
该方式的数据处理速度比存储转发方式快,但比直通式慢,但由于能够避免假包的转发,所以被广泛应用于低档交换机中。
主要性能指标:
背板带宽与端口速率背板带宽和端口速率是衡量交换机的交换能力的主要参数。
背板带宽:
指通过交换机所有通信的最大值。
交换机的端口速率:
每秒通过的比特数。
10Mbps
100Mbps
1000Mbps
10000Mbps
模块化与固定配置
模块化交换机:
具有很强的可扩展性,可在机箱内提供一系列扩展模块,如千兆位以太网模块、FDDI模块、ATM模块、快速以太网模块、令牌环模块等,所以能够将具有不同协议、不同拓扑结构的网络连接起来。
但是它的价格一般也比较昂贵。
模块化交换机一般作为骨干交换机来使用。
固定配置交换机:
一般具有固定端口配置,比如Cisco公司的Catalystl900/2900交换机,Bay公司的BayStack350/450交换机等。
固定配置交换机的可扩充性显然不如模块化交换机,但是价格要低得多。
专用芯片与通用芯片
X86:
通用计算机芯片
ASIC:
(Application-Specific-IntegratedCircuit)
NP:
专用网络处理器
单/多MAC地址类型
单MAC交换机:
每个端口只有一个MAC地址
多MAC交换机:
每个端口捆绑有多个MAC硬件地址
单MAC交换机主要用于连接最终用户、网络共享资源或非桥接路由器,它们不能用于连接集线器或含有多个网络设备的网段;
多MAC交换机的每个端口可以看作是一个集线器,而多MAC交换机可以看作是集线器的集线器。
服务器:
按这种划分方法,服务器可分为:
DNS服务器、WWW服务器、E-mail服务器、FTP服务器、BBS服务器、数据库服务器、代理服务器等。
DNS服务器是网络中最重要的服务器之一,提供Internet的域名解析。
WWW服务器主要提供WEB服务,用于架设单位网站,供Internet用户访问单位网站。
E-mail服务器主要是面向内部用户提供邮件服务,是企业网(校园网)的主要服务功能之一。
FTP服务器主要是面向内部用户提供文件传输服务,来自Internet上的访问不是很多。
BBS服务器主要是面向内部用户消息发布服务,但来自Internet上的访问也较多,同时访问时间也相对集中。
数据库服务器主要是面向内部用户提供验证、查询、检索等服务,来自Internet上的访问量也很大。
代理服务器主要是面向内部用户进行Internet代理服务,不对来自Internet的用户服务,用户数量较多且相对集中。
用途:
按应用层次划分为入门级服务器、工作组级服务器、部门级服务器和企业级服务器四类。
入门级服务器
入门级服务器通常只使用一块CPU,并根据需要配置相应的内存(如256MB)和大容量IDE硬盘,必要时也会采用IDERAID(一种磁盘阵列技术,主要目的是保证数据的可靠性和可恢复性)进行数据保护。
入门级服务器主要是针对基于WindowsNT,NetWare等网络操作系统的用户,可以满足办公室型的中小型网络用户的文件共享、打印服务、数据处理、Internet接入及简单数据库应用的需求,也可以在小范围内完成诸如E-mail、Proxy、DNS等服务。
工作组级服务器
工作组级服务器一般支持1至2个PⅢ处理器或单颗P4(奔腾4)处理器,可支持大容量的ECC(一种内存技术,多用于服务器内存)内存,功能全面。
可管理性强、且易于维护,具备了小型服务器所必备的各种特性,如采用SCSI(一种总线接口技术)总线的I/O(输入/输出)系统,SMP对称多处理器结构、可选装RAID、热插拔硬盘、热插拔电源等,具有高可用性特性。
适用于为中小企业提供Web、Mail等服务,也能够用于学校等教育部门的数字校园网、多媒体教室的建设等。
部门级服务器
部门级服务器通常可以支持2至4个PⅢXeon(至强)处理器,具有较高的可靠性、可用性、可扩展性和可管理性。
首先,集成了大量的监测及管理电路,具有全面的服务器管理能力,可监测如温度、电压、风扇、机箱等状态参数。
此外,结合服务器管理软件,可以使管理人员及时了解服务器的工作状况。
同时,大多数部门级服务器具有优良的系统扩展性,当用户在业务量迅速增大时能够及时在线升级系统,可保护用户的投资。
目前,部门级服务器是企业网络中分散的各基层数据采集单位与最高层数据中心保持顺利连通的必要环节。
适合中型企业(如金融、邮电等行业)作为数据中心、Web站点等应用。
企业级服务器
企业级服务器属于高档服务器,普遍可支持4至8个PIIIXeon(至强)或P4Xeon(至强)处理器,拥有独立的双PCI通道和内存扩展板设计,具有高内存带宽,大容量热插拔硬盘和热插拔电源,具有超强的数据处理能力。
这类产品具有高度的容错能力、优异的扩展性能和系统性能、极长的系统连续运行时间,能在很大程度上保护用户的投资。
可作为大型企业级网络的数据库服务器。
目前,企业级服务器主要适用于需要处理大量数据、高处理速度和对可靠性要求极高的大型企业和重要行业(如金融、证券、交通、邮电、通信等行业),可用于提供ERP(企业资源配置)、电子商务、OA(办公自动化)等服务。
如Dell的PowerEdge4600服务器,标准配置为2.4GHzIntelXeon处理器,最大支持12GB的内存。
此外,采用了ServerWorksGC-HE芯片组,支持2至4路Xeon处理器。
集成了RAID控制器并配备了128MB缓存,可以为用户提供0、1、5、10四个级别的RAID,最大可以支持10个热插拔硬盘并提供730GB的磁盘存储空间。
由于是面向企业级应用,所在在可维护性以及冗余性能上有其独到的地方,例如配备了7个PCI-X插槽(其中6个支持热插拔),而且不需任何工具即可对冗余风扇、电源以及PCI-X进行安装和更换。
主要性能指标:
入门级服务器具备以下特性:
有一些基本硬件的冗余,如硬盘、电源、风扇,但不是必须的;
通常采用SCSI接口的硬盘,也有采用SATA串行接口的;
部分部件支持热插拔,如硬盘和内存等,但不也是必须的;
通常只有一个CPU,但不是绝对的,有的可支持2个;
内存容量不会很大,一般在1GB以内,通常会采用ECC纠错技术的服务器专用内存。
防火墙
防火墙最基本的功能就是控制在计算机网络中,不同信任程度区域间传送的数据流。
例如互联网是不可信任的区域,而内部网络是高度信任的区域。
以避免安全策略中禁止的一些通信,与建筑中的防火墙功能相似。
它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
1.包过滤
具备包过滤的就是防火墙?
对,没错!
根据对防火墙的定义,凡是能有效阻止网络非法连接的方式,都算防火墙。
早期的防火墙一般就是利用设置的条件,监测通过的包的特征来决定放行或者阻止的,包过滤是很重要的一种特性。
虽然防火墙技术发展到现在有了很多新的理念提出,但是包过滤依然是非常重要的一环,如同四层交换机首要的仍是要具备包的快速转发这样一个交换机的基本功能一样。
通过包过滤,防火墙可以实现阻挡攻击,禁止外部/内部访问某些站点,限制每个ip的流量和连接数。
2.包的透明转发
事实上,由于防火墙一般架设在提供某些服务的服务器前。
如果用示意图来表示就是Server—FireWall—Guest。
用户对服务器的访问的请求与服务器反馈给用户的信息,都需要经过防火墙的转发,因此,很多防火墙具备网关的能力。
3.阻挡外部攻击
如果用户发送的信息是防火墙设置所不允许的,防火墙会立即将其阻断,避免其进入防火墙之后的服务器中。
4.记录攻击
如果有必要,其实防火墙是完全可以将攻击行为都记录下来的,但是由于出于效率上的考虑,目前一般记录攻击的事情都交给IDS来完成了,我们在后面会提到。
以上是所有防火墙都具备的基本特性,虽然很简单,但防火墙技术就是在此基础上逐步发展起来的。
1.网络入侵检测产品要求取得中国人民共和国公安部的《计算机信息系统安全专用产品销售许可证》;
国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》;
国家保密局涉秘信息系统产品检测证书。
2.具有良好的处理性能,满足百兆网络监控的要求,具体包括:
a)每秒并发TCP会话数超过10万
b)每秒最大并发TCP会话数超过20万
c)最大性能处理能力达到200MB
3.最小支持2个百兆监听口,适用百兆环境,1U硬件
4.产品要求为国内开发,所有的图形界面与文档资料要求均为中文,具备自主知识产权。
5.厂商须有对系统漏