線速過濾

① 什麼是萬兆交換機

萬兆交換機能夠提供在一秒鍾超過一千個G的吞吐量的交換機，這是傳統的交換機所不能做到的。作為兼容於以往的最新乙太網技術，萬兆乙太網不僅僅是乙太網的「高速翻版」，萬兆乙太網第一次提出了萬兆廣域乙太網技術，第一次實現了私有網路到公眾網路的融合。
萬兆交換機特點 ：
1、萬兆埠：
萬兆埠有兩種：最初出現的為埠拓展型，此類型需要在交換機擴展口插拓展板，此類型增加了交換機的成本，根據需要可選擇2埠或4埠的類型；

2、強大的轉發性能：
針對於骨乾和核心網路大流量數據無阻塞的要求，RHS6226ST/TS提供高達128Gbps交換容量，全線速過濾轉發96Mpps；RHS6252TS/ST提供高達176Gbps交換容量，全線速過濾轉發131Mpps，保證核心骨幹網路的數據無阻塞轉發；

3.強大完善的安全控制策略：
系列支持基於埠的用戶IP+MAC地址認證、支持MAC地址過濾、支持ARP過濾、支持CPU保護、基於埠的802.1X認證、遠程RADIUS，TACACS+認證、埠最大主機數限制，支持基於埠的用戶IP+MAC+VLAN ID +用戶賬號的多元綁定，同時硬體支持IP ACL、MAC ACL、Vlan ACL、支持基於三、四層的ACL功能，有效防禦ARP攻擊和病毒，提供安全控制效率，保證網路安全策略實時有效。
4、多種路由協議：
支持多種路由協議，如支持靜態路由；支持RIP v1/v2、OSPF v2、BGP v4等多種動態路由協議；支持PIM-SM、PIM-DM、DVMRP等多種組播路由協議。充分滿足大型網路利用不同路由協議構建網路的需求；
5、多樣化管理性：
系列支持豐富的網路管理方式，例如支持Console口管理、支持WEB管理、支持TELNET遠程管理，使設備管理更方便，並且支持SSH加密，使得管理更加安全；
6、全面支持IPv6：
基於硬體的IPv6線速處理性能；全面支持各種IPv6協議技術，包括IPv6靜態路由，BGP4+、RIPng、OSPFv3等動態路由協議，以及IPv4/IPv6雙協議棧、手工配置隧道、自動配置隧道、6to4隧道等IPv4向IPv6過渡的技術標准，並通過全球IPv6論壇組織的「IPv6 Ready」金牌認證；
7、全新節能設計，引領低碳通信：
遵循IEEE 802.3az（Energy Efficient Ethernet 能效乙太網），提供埠低耗電閑置模式，根據線纜長度進行相應輸出功率調整，並且支持無連接時埠休眠，大幅度降低功耗。

② 根據我的問題補充，能不能推薦些設備

數據採集設備有好多款式，按不同要求可選擇不同的數據採集設備。
德生科技的數據採集器可採集圖片，而且也可以直接讀取二代證信息。
為了保證文字信息絕對准確，採用數據處理軟體對流程進行控制。在錄入時，採用兩次錄入的方式，兩個人同時錄一條數據，軟體自動核對，如有不同，重新錄入。對於可能出現的生僻字、怪字、電腦無法生成的文字，數據錄入人員另外使用造字程序來生成。
無論是照片信息，還是文字信息，從兩方面入手，兩手抓，兩手硬，保證從數據處理工廠生產的數據既是全面的，更是准確的。
領先的網路流量採集系統解決方案提供商NetTAP近日發布了NT-FTAP-24XE萬兆網路分路器，這是NetTAP萬兆系列1U設備解決方案的最新產品。NT-FTAP-24XE是數維通信公司自主研發的一款萬兆(10GE)高密度流量復制匯聚器，以滿足高密度的10G以太鏈路集中採集需求。設備具有多達24個10G以太介面(兼容GE以太介面)，可靈活用於分光採集輸入或流量定製輸出，可同時採集多達12條10G以太鏈路的雙向流量,且支持埠輸入輸出復用功能;設備擁有強大的數據流量處理引擎，背板帶寬達240Gbps，保證了在高密度萬兆流量採集的情況下任意流量的線速報文處理;設備內置強大的流量策略標識引擎可准確定製各個流量採集輸出介面的流量類型，滿足各類網路安全、協議分析、信令協議分析等流量監控需求。
數據索引伺服器用華為的就行，都很好。

③ 急~~~~~~~~~計算機網路問題

作為企業用戶首選的網路安全產品，防火牆一直是用戶和廠商關注的焦點。為了能夠為
用戶從眼花繚亂的產品中選擇出滿足需求的防火牆提供客觀依據，《網路世界》評測實驗室
對目前市場上主流的防火牆產品進行了一次比較評測。

《網路世界》評測實驗室依然本著科學、客觀公正的原則，不向廠商收取費用，向所有
希望參加評測的廠商開放。

我們此次評測徵集的產品包括百兆和千兆防火牆兩個系列。此次送測產品有來自國內外
12家廠商的14款產品，其中百兆防火牆包括來自安氏互聯網有限公司的LinkTrust CyberWal
l -100Pro、方正數碼的方正方御FGFW，聯想網御2000，NetScreen-208、清華得實NetST210
4 、ServGate公司的SG300、神州數碼的DCFW-1800、天融信網路衛士NGFW4000、三星SecuiW
all 防火牆以及衛士通龍馬的龍馬衛士防火牆，千兆防火牆包括北大青鳥JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火牆和北大青鳥JB-FW1防
火牆性能測試尚未全部完成就自行退出本次比較測試。在我們評測工程師的共同努力下，順
利完成了對其他12款產品的評測任務。

測試內容主要涵蓋性能、防攻擊能力以及功能三個方面，這其中包括按照RFC2504、RFC
2647以及我國標准進行的定量測試和定性測試。我們性能測試和防攻擊能力主要採用Spiren
t公司的SmartBits 6000B測試儀作為主要測試設備，利用SmartFlow和WebSuite Firewall測
試軟體進行測試。在測防攻擊能力時，為准確判定被攻擊方收到的包是否是攻擊包，我們還
使用NAI公司的Sniffer Pro軟體進行了抓包分析。

在功能測試方面，我們的評測工程師則以第一手的感受告訴讀者防火牆在易用性、可管
理性、VPN、加密認證以及日誌審計等多方面功能。

最後，我們還要感謝向我們提供測試工具的思博倫通信公司以及NAI公司，同時也對那些
勇於參加此次防火牆產品公開比較評測的廠商表示贊賞。

性能綜述

對於網路設備來說，性能都是率先要考慮的問題。與其他網路設備相比，防火牆的性能
一直被認為是影響網路性能的瓶頸。如何在啟動各項功能的同時確保防火牆的高性能對防火
牆來說是巨大的挑戰。

在我們測試的過程中，感受最深的一點就是由於防火牆之間體系結構和實現方式的巨大
差異性，從而也就使得不同防火牆之間的性能差異非常明顯。從防火牆的硬體體系結構來講
，目前主要有三種，一種使用ASIC體系，一種採用網路處理器（NP），還有一種也是最常見
的，採用普通計算機體系結構，各種體系結構對數據包的處理能力有著顯著的差異。防火牆
軟體本身的運行效率也會對性能產生較大影響，目前防火牆軟體平台有的是在開放式系統（
如Linux，OpenBSD）上進行了優化，有的使用自己專用的操作系統，還有的根本就沒有操作
系統。我們在進行性能測試時努力地將影響防火牆性能的因素降到最小，測試防火牆性能時
將防火牆配置為最簡單的方式：路由模式下內外網全通。

我們此次測試過程中，針對百兆與千兆防火牆的性能測試項目相同，主要包括：雙向性
能、單向性能、起NAT功能後的性能和最大並發連接數。雙向性能測試項目為吞吐量、10%線
速下的延遲、吞吐量下的延遲以及幀丟失率；單向性能測試項目包括吞吐量、10%線速下的延
遲；起NAT功能後的性能測試包括吞吐量、10%線速下的延遲。

百兆防火牆性能解析

作為用戶選擇和衡量防火牆性能最重要的指標之一，吞吐量的高低決定了防火牆在不丟
幀的情況下轉發數據包的最大速率。在雙向吞吐量中，64位元組幀，安氏領信防火牆表現最為
出眾，達到了51.96%的線速，NetsScreen-208也能夠達到44.15%，

在單向吞吐量測試中，64位元組幀長NetScreen-208防火牆成績已經達到83.60%，位居第一
，其次是方正方御防火牆，結果為71.72%。

延遲決定了數據包通過防火牆的時間。雙向10%線速的延遲測試結果表明，聯想網御200
0與龍馬衛士的數值不分伯仲，名列前茅。

幀丟失率決定防火牆在持續負載狀態下應該轉發，但由於缺乏資源而無法轉發的幀的百
分比。該指標與吞吐量有一定的關聯性，吞吐量比較高的防火牆幀丟失率一般比較低。在測
試的5種幀長度下，NetScreen-208在256、512和1518位元組幀下結果為0，64位元組幀下結果為5
7.45%。

一般來講，防火牆起NAT後的性能要比起之前的單向性能略微低一些，因為啟用NAT功能
自然要多佔用一些系統的資源。安氏領信防火牆與清華得實NetST 2104防火牆在起NAT功能後
64位元組幀的吞吐量比單向吞吐量結果略高。

最大並發連接數決定了防火牆能夠同時支持的並發用戶數，這對於防火牆來說也是一個
非常有特色也是非常重要的性能指標，尤其是在受防火牆保護的網路向外部網路提供Web服務
的情況下。天融信NGFW 4000以100萬的最大並發連接數名列榜首，而龍馬衛士防火牆結果也
達到80萬。

我們的抗攻擊能力測試項目主要通過SmartBits 6000B模擬7種主要DoS攻擊。我們還在防
攻擊測試中試圖建立5萬個TCP/HTTP連接，考察防火牆在啟動防攻擊能力的同時處理正常連接
的能力。

Syn Flood目前是一種最常見的攻擊方式，防火牆對它的防護實現原理也不相同，比如，
安氏領信防火牆與NetScreen-208採用SYN代理的方式，在測試這兩款防火牆時我們建立的是
50000個TCP連接背景流，兩者能夠過濾掉所有攻擊包。SG-300、聯想網御2000在正常建立TC
P/HTTP連接的情況下防住了所有攻擊包。大多數防火牆都能夠將Smurf、Ping of Death和La
nd-based三種攻擊包全部都過濾掉。

Teardrop攻擊測試將合法的數據包拆分成三段數據包，其中一段包的偏移量不正常。對
於這種攻擊，我們通過Sniffer獲得的結果分析防火牆有三種防護方法，一種是將三段攻擊包
都丟棄掉，一種是將不正常的攻擊包丟棄掉，而將剩餘的兩段數據包組合成正常的數據包允
許穿過防火牆，還有一種是將第二段丟棄，另外兩段分別穿過防火牆，這三種方式都能有效
防住這種攻擊。實際測試結果顯示方正方御、安氏領信、SG-300、龍馬衛士屬於第一種情況
，神州數碼DCFW-1800、得實NetST2104、聯想網御2000屬於第二種情況，Netscreen-208屬於
第三種情況。

對於Ping Sweep和Ping Flood攻擊，所有防火牆都能夠防住這兩種攻擊，SG-300防火牆
過濾掉了所有攻擊包，而方正方御防火牆只通過了1個包。雖然其餘防火牆或多或少地有一些
ping包通過，但大部分攻擊包都能夠被過濾掉，這種結果主要取決於防火牆軟體中設定的每
秒鍾通過的ping包數量。

千兆防火牆性能結果分析

由於千兆防火牆主要應用於電信級或者大型的數據中心，因此性能在千兆防火牆中所佔
的地位要比百兆防火牆更加重要。總的來說，三款千兆防火牆之間的差異相當大，但性能結
果都明顯要高於百兆防火牆。

雙向吞吐量測試結果中，NetScreen-5200 64、128、256、512、1518位元組幀結果分別為
58.99%、73.05%、85.55%、94.53%、97.27%線速。千兆防火牆的延遲與百兆防火牆相比降低
都十分明顯，NetScreen-5200的雙向10%線速下的延遲相當低，64位元組幀長僅為4.68祍，1518?紙謚〕さ囊倉揮?4.94祍。起NAT功能後，NetScreen-5200防火牆64位元組幀長的吞吐量為62.
5%。由於ServGate SG2000H不支持路由模式，所有隻測了NAT 結果，該防火牆在1518位元組幀
長達到了100%線速。阿姆瑞特F600+起NAT功能對其性能影響很小。最大並發連接數的測試結
果表明，NetScreen-5200防火牆達到100萬。

在防攻擊能力測試中， 三款千兆防火牆對於Smurf和Land-based攻擊的防護都很好，沒
有一個攻擊包通過防火牆。對於Ping of Death攻擊， NetScreen-5200和阿姆瑞特F600+防火
牆丟棄了所有的攻擊包，SG2000H防火牆測試時對發送的45個攻擊包，丟棄了後面的兩個攻擊
包，這樣也不會對網路造成太大的危害。在防護Teardrop攻擊時，F600+防火牆丟棄了所有的
攻擊包，ServGate-2000防火牆只保留了第一個攻擊包，NetSreen-5200防火牆則保留了第一
和第三個攻擊包，這三種情況都能夠防護該攻擊。阿姆瑞特F600+和SG2000H在PingSweep攻擊
測試結果為1000個攻擊包全都過濾掉。

功能綜述

在我們此次測試防火牆的過程中，感受到了不同防火牆產品之間的千差萬別，並通過親
自配置體會到防火牆在易用性、管理性以及日誌審計等方面的各自特色。

包過濾、狀態檢測和應用層代理是防火牆主要的三種實現技術，從此次參測的防火牆產
品中我們可以明顯地看到狀態檢測或將狀態檢測與其他兩種技術混合在一起是主流的實現原
理。

在工作方式方面，大部分防火牆都支持路由模式和橋模式（透明模式），來自ServGate
公司的SG300和SG2000H，其工作方式主要是橋模式和 NAT模式，沒有一般產品所具有的路由
模式。天融信NGFW 4000和衛士通龍馬的龍馬衛士防火牆還支持混合模式。

百兆防火牆

與交換機走向融合？

當我們拿到要測試的防火牆時，有一個非常直觀的感覺是防火牆不再只是傳統的三個端
口，正在朝向多個埠方向發展，帶有4個埠的防火牆非常常見，我們都知道三個埠是用
來劃分內網、外網和DMZ區，那麼增加的第4個埠有什麼用呢？不同產品差別很大，但以用
作配置管理的為主，安氏的防火牆將該埠作為與IDS互動的埠，比較獨特。像天融信網路
衛士NGFW4000則可以最多擴展到12個埠，Netscreen-208有8個固定埠，Netscreen-5200
則是模塊化的千兆防火牆，可以插帶8個miniGBIC 1000Base-SX/LX千兆埠或24個百錐絲?的模塊，這顯示了防火牆與交換機融合的市場趨勢。

對DHCP協議的支持方面，防火牆一般可以作為DHCP信息的中繼代理，安氏領信防火牆、
清華得實NetST2104、天融信NGFW4000都有這個功能。而Netscreen-208、SG300還可以作為D
HCP 伺服器和客戶端，這是非常獨特的地方。

在VLAN支持方面，Netscreen防火牆又一次顯示了強大的實力。與交換機類似，Netscre
en-208支持每個埠劃分為子埠，每個子埠屬於不同的VLAN，支持802.1Q，並且不同子
埠還可以屬於不同區域。安氏領信、聯想網御2000、天融信NGFW4000防火牆則有相應選項
支持VLAN，主要支持802.1Q和Cisco的ISL。

管理特色凸現

管理功能是一個產品是否易用的重要標志，對此我們考察了防火牆對管理員的許可權設置
、各種管理方式的易用性以及帶寬管理特性。

不同的防火牆對管理員的許可權分級方式不同，但總的來說，不同的管理員許可權在保護防
火牆的信息的同時，通過三權分立確保了防火牆的管理者職責分明，各司其職。方正方御FG
FW通過實施域管理權、策略管理、審計管理、日誌查看四個不同許可權對管理員許可權進行限制
。

目前，對防火牆的管理一般分為本地管理和遠程管理兩種方式，具體來說，主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。總的來講，像Netscreen-208、神州數碼防火
牆支持命令行、Telnet、GUI管理工具以及Web管理這幾種方式，非常方便用戶從中選擇自己
喜歡的方式。但我們在測試過程中發現不少防火牆的命令行比較難懂，對於很多用戶來說使
用會比較困難，而安氏、Netscreen-208、天融信、清華得實防火牆的命令行方式比較簡潔明
了，這為喜歡用命令行進行防火牆配置的用戶來說帶來了便捷。當然，很多防火牆的CLI命令
功能比較簡單，主要功能還是留給了GUI管理軟體，方正、聯想防火牆是非常典型的例子。

從易用性的角度來講，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面給我
們留下了最深刻的印象，漂亮的界面以及非常清晰的菜單選項可以使用戶輕松配置管理防火
牆的各方面，同時Web管理一般都支持基於SSL加密的HTTPS方式訪問。當然，對於要集中管理
多台防火牆來說，GUI管理軟體應該是不錯的選擇。聯想網御2000、天融信、清華得實、方正
方御的GUI管理軟體安裝和使用都比較容易。

帶寬管理正在成為防火牆中必不可少的功能，通過帶寬管理和流量控制在為用戶提供更
好服務質量、防止帶寬浪費的同時也能夠有效防止某些攻擊。此次送測的9款百兆防火牆都支
持帶寬管理。比如神州數碼DCFW-1800防火牆能夠實時檢測用戶流量，對不同的用戶，每天分
配固定的流量，當流量達到時切斷該用戶的訪問。龍馬衛士防火牆通過支持基於IP和用戶的
流量控制實現對防火牆各個介面的帶寬控制。

VPN和加密認證

防火牆與VPN的集成是一個重要發展方向。此次參測的防火牆中安氏領信防火牆、方正網
御FGFW、Netscreen-208、SG300、清華得實NetST 2104、龍馬衛士防火牆這6款防火牆都有
VPN功能或VPN模塊。作為構建VPN最主要的協議IPSec，這6款防火牆都提供了良好的支持。

安氏領信防火牆的VPN模塊在對各種協議和演算法的方面支持得非常全面，包括DES、3DES
、AES、CAST、BLF、RC2/R4等在內的主流加密演算法都在該產品中得到了支持。主要的認證算
法MD5在6款防火牆中都得到了較好支持。不同加密演算法與認證演算法的組合將會產生不同的算
法，如3DES-MD5就是3DES加密演算法和MD5演算法的組合結果。安氏和NetScreen-208能夠很好地
支持這種不同演算法之間的組合。 方正網御、清華得實NetST2104和衛士通龍馬的龍馬衛士防
火牆則以支持國家許可專用加密演算法而具有自己的特點。當然，加密除了用於VPN之外，遠程
管理、遠程日誌等功能通過加密也能夠提升其安全性。

在身份認證方面，防火牆支持的認證方法很重要。安氏領信防火牆支持本地、RADIUS、
SecureID、NT域、數字證書、MSCHAP等多種認證方式和標准，這也是所有參測防火牆中支持
得比較全的。非常值得一提的是聯想網御2000所提供的網御電子鑰匙。帶USB介面的電子鑰匙
主要用來實現管理員身份認證，認證過程採用一次性口令(OTP)的協議SKEY，可以抵抗網路竊
聽。

防禦功能

防火牆本身具有一定的防禦功能指的是防火牆能夠防止某些攻擊、進行內容過濾、病毒
掃描，使用戶即使沒有入侵檢測產品和防病毒產品的情況下也能夠通過防火牆獲得一定的防
護能力。

在病毒掃描方面，表現最突出的當屬聯想網御2000，它集成了病毒掃描引擎，具有防病
毒網關的作用，能夠實時監控HTTP、FTP、SMTP數據流，使各種病毒和惡意文件在途徑防火牆
時就被捕獲。

在內容過濾方面，大部分防火牆都支持URL過濾功能，可有效防止對某些URL的訪問。清
華得實NetST2104、安氏防火牆內置的內容過濾模塊，為用戶提供對HTTP、FTP、SMTP、POP3
協議內容過濾，能夠針對郵件的附件文件類型進行過濾。聯想網御2000還支持郵件內容過濾
的功能。

在防禦攻擊方面，Netscreen-208、方正方御、聯想網御2000、SG300以及安氏領信防火
牆則對Syn Flood、針對ICMP的攻擊等多種DoS攻擊方式有相應的設置選項，用戶可以自主設
置實現對這些攻擊的防護。安氏領信防火牆除了本身帶有入侵檢測模塊之外，還有一個專門
埠與IDS互動。天融信NGFW 4000則通過TOPSEC協議與其他入侵檢測或防病毒產品系統實現
互動，以實現更強勁的防攻擊能力。

安全特性

代理機制通過阻斷內部網路與外部網路的直接聯系，保證了內部網的拓撲結構等重要信
息被限制在代理網關的內側。

參測的百兆防火牆大都能夠支持大多數應用層協議的代理功能，包括HTTP、SMTP、POP3
、FTP等，從而能夠屏蔽某些特殊的命令，並能過濾不安全的內容。

NAT通過隱藏內部網路地址，使其不必暴露在Internet上 從而使外界無法直接訪問內部
網路設備,而內部網路通過NAT以公開的IP地址訪問外部網路，從而可以在一定程度上保護內
部網路。另一方面，NAT也解決了目前IP地址資源不足的問題。此次參測的防火牆對於NAT都
有較強的支持功能，雖然大家叫的名稱不同，但主要方式包括一對一、多對一NAT、多對多N
AT以及埠NAT。

高可用性

負載均衡的功能現在在防火牆身上也開始有所體現，Netscreen-208支持防火牆之間的負
載分擔，而其他防火牆則支持伺服器之間的負載均衡。

目前用戶對於防火牆高可用性的需求越來越強烈。此次參測的9款百兆防火牆都支持雙機
熱備的功能。Netscreen-208可以將8個埠中設定一個埠作為高可用埠，實現防火牆之
間的Active-Active高可用性。

日誌審計和警告功能

防火牆日誌處理方式主要包括本地和遠程兩種。但由於防火牆在使用過程中會產生大量
的日誌信息，為了在繁多的日誌中進行查詢和分析，有必要對這些日誌進行審計和管理，同
時防火牆存儲空間較小，因此單獨安裝一台伺服器用來存放和審計管理防火牆的各種日誌都
非常必要。

安氏、方正防禦、聯想網御2000、清華得實NetST2104、神州數碼DCFW-1800、天融信NG
FW4000以及龍馬衛士防火牆都提供了日誌管理軟體實現對日誌伺服器的配置和管理，可以利
用管理軟體對日誌信息進行查詢、統計和提供審計報表。而NetScreen-208支持多種日誌服務
器的存儲方式，包括Internal、Syslog、WebTrends、flash卡等。

當日誌中監測到系統有可疑的行為或網路流量超過某個設定閾值時，根據設定的規則，
防火牆應該向管理員發出報警信號。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御則支持通過LogService消息、E-mail、聲音、無線、運行
報警程序等方式進行報警。

對日誌進行分級和分類將非常有利於日誌信息的查詢以及處理。安氏、NetScreen-208、
天融信NGFW4000以及衛士通龍馬的龍馬衛士防火牆支持不同等級的日誌。龍馬衛士防火牆將
日誌級別分為調試信息、消息、警告、錯誤、嚴重錯誤5種級別。NetScreen-208則將日誌分
為負載日誌、事件日誌、自我日誌三種，事件日誌分為8個不同等級。

優秀的文檔很關鍵

大部分防火牆產品都附帶有詳細的印刷文檔或電子文檔。給我們留下深刻印象的是聯想
、方正與安氏防火牆的印刷文檔非常精美全面，內容涵蓋了主流的防火牆技術以及產品的詳
細配置介紹，還舉了很多實用的例子幫助用戶比較快地配好防火牆，使用各種功能。得實Ne
tST 2104防火牆用戶手冊、天融信NGFW 4000電子文檔都對CLI命令進行了詳細解釋，非常有
利於那些習慣使用命令行進行配置的防火牆管理員使用。Netscreen網站上有非常完整的用戶
手冊，但缺憾在於它們全部是英文的。

千兆防火牆

此次總共收集到4款千兆防火牆產品，但北大青鳥在性能測試尚未完成時就自行退出，所
以共測試完成了三款千兆防火牆，它們都是來自國外廠商的產品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是採用ASIC處理器的代表，而SG2000H則是采
用網路處理器的例子。

從實現原理來看，三者都主要是基於狀態檢測技術，而在工作方式上，NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和橋模式，而ServGate SG2000H則支持橋模式和NAT模式
。

F600+支持DHCP中繼代理，而NetScreen-5200可以作為DHCP伺服器、客戶端或中繼代理。
在VLAN支持方面，NetScreen-5200的每個埠可以設定不同子埠，每個子埠可以支持不
同的VLAN，可以非常容易集成到交換網路中。據稱，該設備能夠支持4000個VLAN。F600+與S
G2000H也支持802.1Q VLAN。而且，還有一點可以指出的是NetScreen-5200支持OSPF、BGP路
由協議。

從管理上來看，NetScreen-5200和SG2000H主要通過Web和命令行進行管理。而F600+則主
要通過在客戶端安裝GUI管理軟體來進行管理，串口CLI命令功能很簡單。從配置上來說，Ne
tScreen-5200配置界面非常美觀，菜單清晰，並提供了向導可以指導用戶快速配置一些策略
和建立VPN通道。SG2000H功能也比較強大，但配置起來比較復雜一點。阿姆瑞特的F600+在安
裝Armarenten管理器的同時還將其中文快速安裝手冊以及中文用戶指南都安裝上，非常方便
用戶使用，而該管理軟體與防火牆之間則通過128位加密進行通信，有利於對多台防火牆
的管理。

在帶寬管理上，F600+很有特色，它通過「管道」概念實現，每個管道可以具有優先順序、
限制和分組等特點，可以給防火牆規則分配一個或多個管道，還可以動態分配不同管道的帶
寬。NetScreen-5200則支持對不同埠分配帶寬以及根據不同應用在策略中設定優先順序控制
進出的網路流量。

在VPN支持方面，NetScreen-5200不僅支持通過IPSec、L2TP和IKE建立VPN隧道，還支持
DES、3DES、AES加密演算法和MD5 、SHA-1認證演算法。F600+支持通過IPSec建立VPN，而SG2000
H未加VPN模塊。在認證方法上，只有Netscreen-5200支持內置資料庫、RADIUS、SecurID和L
DAP。

F600+還有一個非常顯著的特點就是提供了一個功能強大的日誌管理器，它雖然不支持在
防火牆中記錄日誌，但能夠在防火牆管理器中實時顯示日誌數據，還支持Syslog 日誌伺服器
,提供靈活的審計報表，並將日誌進行分類。NetScreen-5200和SG2000H在日誌報表和審計報
表方面都支持著名的WebTrends軟體和Syslog日誌伺服器，NetScreen還支持將日誌通過flas
h卡、NetScreen Global Pro等方式進行處理。

④ poe交換機上的link/act和poe切換是什麼意思

poe 是通過網線供電的power over 乙太網所以對8根芯要求很高，因為兼具供電功能，而link act僅僅是網路功能，沒有供電這一塊在裡面，所以這個的意思應該是在網路及供電的情況下，改變為網路功能而無供電功能，但是我覺得，現在很多設備都是自動分辨的，應該不存在這個現象了吧

⑤ 如何通過IP過濾防禦DDoS攻擊

DDoS攻擊由來已久，但如此簡單粗暴的攻擊手法時至今日卻依然有效，並已成為困擾各大網站穩定運營的「頭號敵人」。
防DDoS攻擊可別小瞧對抗其有效手段之一的IP過濾
利用IP過濾抵禦DDoS攻擊
今天，隨著大量可連網智能設備的加速普及，這些智能設備被暴露出諸多的安全漏洞，甚至變成了DDoS攻擊大軍中的一員，就像此前將半個美國網路搞癱的Mirai僵屍網路攻擊一樣。
不過，在Mirai源代碼被蓄意公開之前，可連網智能設備被用於大規模DDoS攻擊的情況並不多見。可是現在的情況在Mirai源代碼公開後，顯然已經發生了巨大變化，不法黑客掌控可聯網設備的僵屍網路迅速拓張了其規模與攻擊威力。這時一旦這些設備或網路受到危害並用於惡意目的，企業將無法進行有效的防護。
這時，企業可以如果部署有一個可以持續監測並主動過濾受僵屍網路控制IP地址的網關，通過與威脅情報聯動，持續更新不良IP地址資料庫，就會掌握哪些IP地址已經被僵屍網路所控制或被其他惡意軟體入侵。
當來自這些惡意IP地址的流量抵達網關時，銳速雲能夠以高達10GB的線速自動過濾掉惡意流量，防止其到達防火牆，大大提升防火牆和相關安全解決方案的效率。這樣將極大減少防火牆等周邊保護工具和網路自身的工作負載，將企業遭受攻擊的風險降至最低。
在抵禦DDoS攻擊時，利用這種IP過濾的方式，至少能夠將1/3的惡意流量進行過濾，這可為企業網路防護節省出大量的投資成本，並提升網路的整體防禦能力。
而且通過過濾、攔截惡意IP地址還可阻止企業網路中那些已遭入侵的設備與黑客的指揮與控制中心進行通訊，防止這些設備被用作其他DDoS攻擊的幫凶，也能及時遏制潛在的數據泄露。

⑥ 中小型企業網路組網

IP協議是網路發展的一個重要推動力，它已經有很長的歷史，是與Internet同步成長起來的網路協議。在過去，IP協議並非主導的網路協議。但是進入八十年代末和九十年代，特別是進入九十年代，隨著Internet的爆炸性增長，IP協議得到了廣泛的應用。越來越多的應用程序，例如萬維網技術，電子郵件，文件傳輸，等等。所以，IP協議成為主導協議已經不可能逆轉，這是市場的選擇，也是用戶的選擇。以IP技術為核心的金融網路，將為基於數據、語音、視頻業務的廣泛應用提供堅實的基礎。
同時隨著IP網路發展越來越龐大、IP應用越來越多樣化，在銀行交換機也由以前的單純的區域網應用逐漸向城域及廣域發展，導致其應用也越來越復雜化。目前，單靠產品已經不能很好的滿足銀行的實際需求，更重要的是提出完善的解決方案。邁普公司具有多年來從事數據通信和網路技術的開發和服務經驗，基於銀行的實際應用環境，開發了一系列貼近於用戶的產品，同樣，我們的宗旨是貼近客戶、貼近應用。
本方案書從技術層面就如何為金融企業構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路做一闡述。本方案內容組織如下：
第一部分銀行網路發展趨勢及需求分析，對銀行發展趨勢及網路需求進行分析；
第二部分提出金融行業乙太網建設總體方案設計，介紹各個技術層面的設計原則；
第三部分金融行業乙太網建設的詳細設計，針對銀行的特點和實際情況對詳細解決方案進行剖析。
1.銀行網路發展趨勢及需求分析
在這里，我們根據邁普公司多年來的經驗，對銀行網路的發展趨勢進行分析。
1.1.銀行網路發展中設備以及通信帶寬的發展
追溯根源，銀行從最初的電子化到現在，都是由業務拉動網路的發展，隨著網路的發展，網路對帶寬、設備的要求越來越高，可以從以下發展圖示中看到銀行網路發展的軌道：
銀行互聯網路的發展大致經過了三個階段，目前正處在由串列通信互聯到IP網路化階段過渡的時期，目前大多的廣域網通信帶寬在64K到2M之間，網路的互聯以傳統路由器和低性能交換機、HUB為主。
可以看到，下一代網路將向交換機發展，目前在東南沿海等經濟相對發達、應用相對多樣的地區已經有少數銀行開始採用基於寬頻的廣域網互聯，從儲蓄所到中心全部採用光纖接入。在該網路上可以方便的實現寬頻的視頻應用，但這種方案的推廣需要完善解決交換機的安全以及QoS策略。
1.2.目前銀行網路發展趨勢縱向劃分
前面已經提到，銀行網路是由業務的發展來帶動的。目前的網路早已不僅僅為傳統的儲蓄和對公業務提供支撐，網上銀行、電話銀行、中間業務等等不同業務共用一個企業網路。細化起來，可以將銀行目前的發展方向細化為幾個方面
可以看到，主要有5個方面的發展：
管理集中
管理集中是網路規模擴大的必要管理手段，先進的網路管理平台、設備的集中管理、集群管理成為網路設備的重要功能指標。
多業務集成
多種不同的業務共用同一個物理的網路平台，對網路設備的服務質量、安全控制提出的更高的要求。
寬頻化
銀行業務的特殊性導致寬頻化的進程受安全性要求的限制，但寬頻化仍然是必然的趨勢。
數據和應用集中
這與管理集中是相輔相成的，是企業網路向系統性整體性發展的體現。
網路化
這里所說的網路化，指的是網路逐漸向邊緣延伸，同時與外部網路的聯系越來越緊密。
在這五個方面發展的同時，網路的安全性、可靠性等性能指標也成為網路的重要一環。
1.3.需求分析
金融網路最原始的需求來自於業務的開展和資源共享的需要，隨著金融企業業務范圍的擴大和業務產品的增多，更高速、更可靠、更安全以及更方便的網路和業務管理已經成為新時期金融企業網路的關注重點。
銀行聯網應用分為：業務應用和辦公應用。業務應用包括零售、會計、信用卡、國際結算、電子聯行、收付清算等對銀行至關重要的核心應用系統；辦公應用主要是基於郵件系統、辦公自動化系統、依賴此種機制的各種報表系統和管理系統，以及未來可能發展的數字電話、視頻網路、以及其它新型的滿足辦公管理需求的聯網應用。
區域網絡的建設主要涉及到不同業務之間的VLAN劃分、VLAN之間的互通需求，以及與廣域網路的無縫連接。
本方案考慮了以上的網路情況，並採用了邁普乙太網交換機，實現千兆到樓層、百兆到桌面的全網解決方案。並增加了如MAC地址綁定、埠鏡像、包過濾等內網安全技術，支持802.1x內部網路管理認證、用戶分級管理的管理功能。
2.總體方案設計
2.1.總體設計原則
省級分行數據中心區域網，一方面作為整個銀行網路系統一級網上的一個節點，另一方面又是省內網路系統的中心匯聚點，從全國銀行網路系統的角度來看起到承上啟下的作用。針對金融企業業務數據通信量和辦公數據通信量大的情況，採用適當的經濟型的邁普網路通信產品實現完善的網路接入解決方案，在網路設計構建中，應始終堅持以下建網原則：
高可靠性
網路系統的穩定可靠是應用系統正常運行的關鍵保證，在網路設計中選用高可靠性網路產品，設備充分考慮冗餘、容錯能力和備份，同時合理設計網路架構，制訂可靠的網路備份策略，保證網路具有故障自愈的能力，最大限度地支持系統的正常運行。主幹網路設備的主要部件必須支持帶電熱插拔，在萬一出現局部故障時應不影響網路其它部分的運行，並且故障便於診斷和排除。充分體現計算機網路的高可靠性。
技術先進性和實用性
保證滿足金融核心業務應用系統業務的同時，又要體現出網路系統的先進性。在網路設計中要把先進的技術與現有的成熟技術和標准結合起來，充分考慮網路應用的現狀和未來發展趨勢。
高性能
骨幹網路性能是整個網路良好運行的基礎，設計中必須保障網路及設備的高吞吐能力，保證各種信息（數據、語音、圖象）的高質量傳輸，才能使網路不成為業務開展的瓶頸。
標准開放性
支持國際上通用標準的網路協議、國際標準的大型的動態路由協議等開放協議，有利於以保證與其它網路(如Internet、友商企業等其它網路)之間的平滑連接互通，以及將來網路的擴展。
靈活性及可擴展性
根據未來業務的增長和變化，網路可以平滑地擴充和升級，減少最大程度的減少對網路架構和現有設備的調整。
可管理性
對網路實行集中監測、分權管理，並統一分配帶寬資源。選用先進的網路管理平台，具有對設備、埠等的管理、流量統計分析，及可提供故障自動報警。
安全性
制訂統一的網路安全策略，整體考慮網路平台的安全性。
兼容性和經濟性
兼容性，能夠最大限度地保證金融企業現有各種計算機軟、硬體資源的可用性和連續性，為不同的現存網路提供互聯和升級的手段，保證各種在用計算機系統，包括工作站、伺服器和微機等設備的互連入網，充分利用現有計算機資源，發揮主幹網的優勢。經濟性，就是在充分利用現有資源的情況下，最大限度地降低網路系統的總體投資。有計劃、有步驟地實施，在保證網路整體性能的前提下，充分利用現有的網路設備或做必要的升級。
2.2.技術策略及原則
為切實達到以上的網路設計原則，使金融網路系統具有良好的擴展性和靈活的接入能力，並易於管理，易於維護，在網路設計及構建中始終應遵循如下方面技術策略及原則：
統一標准
網路的互聯及互通關鍵是對相同標準的遵循，要實現網路業務能融合到一起，實現數據、語音、視頻業務的融合，就必須統一標准。
統一平台
從開放性、發展性、成熟性等方面來看，只有IP技術才能成為統一平台網路構建的標准。而在具體實施中，必須統一規劃IP地址及各種應用，採用開放的技術及國際標准，如路由協議、安全標准、接入標准和網路管理平台等，才能保證實現網路的統一，並確保網路的可擴展性。
2.3.網路分層的原則
為減少網路中各部分的相關性，便於網路的實施及管理，在網路的構建中，從整體上可以將網路劃分為核心層、匯聚層、接入層等三個層次。
1、核心層
負責完成網路各匯聚節點之間的互聯及完成高效的數據傳輸、交換、轉發及路由分發。
2、匯聚層
負責將各種接入業務集中起來，除了進行局部數據的交換、轉發以外，通過高速介面將數據輸送到核心層去，在更大的范圍內進行數據的路由以及處理。
3、接入層
設備提供各種標准介面將數據接入到網路中，完成基本的業務系統之間的隔離和安全性控制、認證管理等功能。
3.詳細方案設計
3.1.大型金融機構辦公大樓區域網解決方案
3.1.1.網路拓撲圖
3.1.2.方案分析
本解決方案把網路分為三級網路：核心層、匯聚層、接入層。
對於規模大的大型金融機構辦公大樓區域網絡，需要建立一個核心的交換平台，使用兩台MyPower S4196B三層交換機作為網路的中心核心層，通過千兆鏈路匯聚來自樓層的MyPower S4196B上行數據。兩台MyPower S4196B通過多個千兆GE鏈路TRUNK互相作為冗餘備份，共同作為網路的核心交換。
在匯聚層選擇MyPower S4196B產品進行樓層匯聚，最大可提供96個100M埠接入，作為相鄰3個樓層的樓層匯聚，使用2路千兆上行連接到核心交換的兩台MyPower S4196B上。用以實現極為復雜的VLAN業務隔離、互通控制以及流分類等。
在接入層選擇MyPower S3026G系列產品進行房間內信息點的接入，實現100兆到桌面。
邁普系列數據通信產品支持統一的網管平台，通過邁普的DeviceMaster網管軟體（NT/2000平台），應用標准網管協議SNMP，可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術，只需設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配。同時，整個方案中的各系列交換機都內置了802.1x本地認證功能，能對各信息點的接入用戶進行認證並對其流量進行限制；通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術，能為整個大樓構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路。
3.1.3.方案特點
集群化管理
可以採用邁普DeviceMaster管理軟體對MyPower S4196B、MyPower S3026G進行集群化的圖形管理，只需要設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配；初始化時從交換機無須做任何參數配置，整個網路拓撲由主交換機自動發現，大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成，實現管理集中。
劃分多工作組群
MyPower S4196B交換路由器提供VLAN與VLAN之間的數據轉發，通過它，可以將辦公大樓的接入用戶劃分為多個工作組群，組與組之間可以通過二層交換機進行連接。同時，MyPower S3026G進行對工作組群之間的交互控制。
安全性高
目前作為應用在區域網中的設備，MyPower S4196B支持802.1x、用戶分級管理，可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制、MAC地址綁定，防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系，保證網路機密性。
性價比高
在大樓核心採用高性價比的MyPower S4196B路由交換機，最大提供96個100M以太口，提供全線速三層交換，是組建大型金融機構辦公網路的最佳網路設備。
可靠性好
MyPower S4196B和MyPower S3026G採用雙電源冗餘供電，還可根據需要進行網路鏈路的冗餘備份，保證系統的不間斷運行。
易維護
MyPower S4196B和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式，只需要對網路有簡單的了解就可以對它進行方便的配置，同時，它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別，無須技術人員考慮網線是直連網線還是交叉。
3.2.中型金融機構辦公大樓區域網解決方案
3.2.2.方案分析
本解決方案把網路分為三級網路：核心層、匯聚層、接入層。
對於中小型金融機構辦公大樓區域網絡，也需要建立一個核心的交換平台，使用一台MyPower S4196B系列產品作為網路的中心核心層，通過千兆鏈路集中來自MyPower S4126G匯聚的上行數據。MyPower S4196B系列產品是邁普線速交換網路產品系列定位於中型核心節點的代表產品系列，屬千兆交換路由產品，當前的MyPower S4196B提供全線速的二三層交換。在中型規模金融企業網中，兩台通過TRUNK連接的MyPower S4196B產品可以被設計作為網路的核心交換、業務控制和冗餘控制平台。
在匯聚層選擇MyPower S4126G產品進行樓層匯聚，提供24個100M接入，同時2路千兆上行。用以實現極為復雜的VLAN業務隔離、互通控制以及流分類等。
在接入層選擇MyPower S3026G系列產品進行房間內信息點的接入，實現100兆到桌面。
邁普系列數據通信產品支持統一的網管平台，通過邁普的DeviceMaster網管軟體（NT/2000平台），應用標准網管協議SNMP，可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術，只需設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配。同時，整個方案中的各系列交換機都內置了802.1x本地認證功能，能對各信息點的接入用戶進行認證並對其流量進行限制；通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術，能為整個大樓構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路。
3.2.3.方案特點
集群化管理
可以採用邁普DeviceMaster管理軟體對MyPower S4196B、MyPower S4126G、MyPower S3026G進行集群化的圖形管理，只需要設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配；初始化時從交換機無須做任何參數配置，整個網路拓撲由主交換機自動發現，大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成，實現管理集中。
劃分多工作組群
MyPower S4196B交換路由器提供VLAN與VLAN之間的數據轉發，通過它，可以將辦公大樓的接入用戶劃分為多個工作組群，組與組之間可以通過二層交換機進行連接。同時，MyPower S4126G進行對工作組群之間的交互控制和路由。
安全性高
目前作為應用在區域網中的設備，MyPower S4196B、MyPower S4126G支持802.1x、用戶分級管理，可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制、MAC地址綁定，防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系，保證網路機密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G採用雙電源冗餘供電，還可根據需要進行網路鏈路的冗餘備份，保證系統的不間斷運行。
性價比高
在大樓核心採用高性價比的MyPower S4196B和MyPower S4126G路由交換機，提供全線速三層交換，是組建中型金融機構辦公網路的最佳網路設備。
易維護
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式，只需要對網路有簡單的了解就可以對它進行方便的配置，同時，它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別，無須技術人員考慮網線是直連網線還是交叉。
3.3.小型金融機構辦公大樓區域網解決方案
3.3.2.方案分析
對於小型金融機構辦公大樓區域網絡，也需要建立一個核心的交換平台，使用一台MyPower S4126G系列產品作為網路的中心核心層，通過百兆鏈路匯聚來自各樓層MyPower S3026G的上行數據。在小規模金融企業網中，單台MyPower S4126G產品可以被設計作為網路的核心交換、業務控制和冗餘控制平台。
在接入層選擇MyPower S3026G系列產品進行房間內信息點的接入，實現100兆到桌面，可劃分VLAN對業務進行隔離。
邁普系列數據通信產品支持統一的網管平台，通過邁普的DeviceMaster網管軟體（NT/2000平台），應用標准網管協議SNMP，可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術，只需設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配。同時，整個方案中的各系列交換機都內置了802.1x本地認證功能，能對各信息點的接入用戶進行認證並對其流量進行限制；通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術，能為整個大樓構建一個便於管理的、可控的、高性能的智能網路。
3.3.3.方案特點
集群化管理
可以採用邁普DeviceMaster管理軟體對MyPower S4126G和MyPower S3026G進行集群化的圖形管理，只需要設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配；初始化時從交換機無須做任何參數配置，整個網路拓撲由主交換機自動發現，大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成，實現管理集中。
劃分多工作組群
MyPower S4126G交換路由器提供VLAN與VLAN之間的數據轉發，通過它，可以將辦公大樓的接入用戶劃分為多個工作組群，組與組之間可以通過二層交換機進行連接。同時，MyPowerMyPower S3026G進行對工作組群之間的交互控制。
安全性高
目前作為應用在區域網中的設備，MyPower S4126G支持802.1x、用戶分級管理，可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制、MAC地址綁定，防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系，保證網路機密性。
可靠性好
MyPower S4126G、MyPower S3026G採用雙電源冗餘供電，還可根據需要進行網路鏈路的冗餘備份，保證系統的不間斷運行。
性價比高
在大樓核心採用高性價比的MyPower S4126G路由交換機和MyPower S3026G二層網管型交換機，MyPower S4126G提供全線速三層交換，MyPower S3026G支持二層的所有網管協議，是組建中小型金融機構辦公網路的最佳網路設備。
易維護
MyPower S4126G和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式，只需要對網路有簡單的了解就可以對它進行方便的配置，同時，它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別，無須技術人員考慮網線是直連網線還是交叉。
3.4.同城金融機構辦公大樓間城域網解決方案
3.4.2.方案分析
上圖顯示了典型金融企業網的組網應用情況。在該類網路中存在下列需求：大量不同規模工作組的接入；樓層（樓間）寬頻互聯；分部互聯；綜合服務環境提供（郵件系統、文件系統、資料庫等）；對外服務提供以及業務隔離等。
當前，隨著企業IT進程的迅速推進，千兆骨幹，百兆到桌面已經成為企業LAN建設的標准配置，按照這種思路組建金融企業網路的物理平台架構，在用戶接入層可以選用MyPower S3026G系列接入交換機，提供百兆到桌面的同時再以100M/1000M上行到匯聚層；在匯聚層則可以選用MyPower S4196B和MyPower S4126G，向下提供百兆接入，同時向上提供千兆鏈路上行。MyPower S4196B和MyPower S4126G可以提供2條千兆上行鏈路，用戶可以根據自身需求以及光纖資源情況進行靈活的選擇。用MyPower S4196B做大樓中心匯聚，向下提供千兆接入，同時向上提供N×1000M鏈路上行。
對於遠端的辦公節點，例如另一棟辦公大樓或者一個擁有可達光纖資源的金融分支機構，遠端辦公節點的MyPower S4196B支持擴展光纖介面模塊，可以方便的實施遠程光纖互聯。在各辦公節點間用MyPower S4112A進行各點的核心匯聚，MyPower S4112A最大能提供12個千兆光口。
在業務部門眾多，網路用戶密集、結構復雜的中型企業，純二層產品組建的網路往往會出現廣播報文急劇增多而導致的網路轉發效率降低的現象，同時，不同的部門處在同一個網路中，也可能產生安全漏洞，所以，有必要使用相應的網路技術來控制不同子網的廣播范圍，使用VLAN（虛擬私有網）技術可以有效的隔離廣播，控制不同網路用戶的互訪，但同時也產生了新的問題：徹底的二層隔離使得原有的公用資源可能不再能同時為各個相互隔離的子網服務了，另外，為了隔離廣播造成了部分需要互訪的用戶的隔離――解決不同VLAN之間的互訪需求需使用網路更高邏輯層的支持技術――路由技術（第三層）。在大型企業的部門級網路或者中型企業的分部LAN中心都可以選用MyPower S4100系列產品解決上述問題。MyPower S4100系列可以提供全線速的二三層交換，保證了即使在網路流量子網網間達到流量高峰時，該網路節點處理依然不會成為瓶頸。
在更好的控制廣播擴散以及不同部門之間數據流的三層互通的同時，MyPower S4100還能實現線速的多層策略過濾，即：MyPower S4100可以基於硬體的2~7層包過濾等設置安全策略，用以實現極為復雜的VLAN業務隔離、互通控制以及流分類等。
邁普系列數據通信產品支持統一的網管平台，通過邁普的DeviceMaster網管軟體（NT/2000平台），應用標准網管協議SNMP，可以對全網設備實施從網元到拓撲、故障等系列特性實施及時、專業的管理。應用集群管理技術，只需設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配。同時，整個方案中的各系列交換機都內置了802.1x本地認證功能，能對各信息點的接入用戶進行認證並對其流量進行限制；通過MAC地址的綁定能對接入設備進行認證。結合以上提及的設備和技術，能為同城各辦公機構間構建一個千兆到樓層、百兆到桌面、便於管理的、可控的、高性能的智能網路。
3.4.3.方案特點
集群管理
可以採用邁普DeviceMaster管理軟體對MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G進行集群化的圖形管理，只需要設定一台主交換機作為代理管理節點，就可以對互聯的所有邁普交換機進行統一管理；整個集群只需使用一個管理IP地址，大大節約管理地址的分配；初始化時從交換機無須做任何參數配置，整個網路拓撲由主交換機自動發現，大大的減少了網路維護人員的工作量。同時DeviceMaster支持與HP OpenView、IBM NetView網路管理平台的集成，實現管理集中。
劃分多工作組群
MyPower S4112A、MyPower S4196B和MyPower S4126G交換路由器提供VLAN與VLAN之間的數據轉發，通過它，可以將辦公大樓的接入用戶劃分為多個工作組群，組與組之間可以通過二層交換機進行連接。同時，MyPower S3026G進行對工作組群之間的交互控制。
安全性高
目前作為應用在區域網中的設備，MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用戶分級管理、基於硬體的2~7層包過濾等安全策略，可以根據源/目的MAC地址、源/目的IP地址、VLAN ID、應用埠號等多種方式結合對數據流進行訪問控制，防止非授權訪問以及授權的越區訪問。還可配合邁普加密體系，保證網路機密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G採用雙電源冗餘供電，還可根據需要進行網路鏈路的冗餘備份，保證系統的不間斷運行。
性價比高
在大樓核心採用高性價比的MyPower S4112A和MyPower S4196B路由交換機，最大能提供12個千兆光口，提供全線速三層交換，是組建中小型金融機構辦公網路的最佳網路設備。
易維護
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文雙語集成的基於Web配置方式，只需要對網路有簡單的了解就可以對它進行方便的配置，同時，它還支持shell、telnet、snmp等多種管理方式。埠支持MDI/MDI-X極性自動識別，無須技術人員考慮網線是直連網線還是交叉。
結束語
無論是金融系統原有的數據網路資源系統、中間業務網路還是OA、金融企業資源系統，在充滿競爭和機會的金融市場環境下都需要更加技術先進、開放、安全可靠的網路基礎。把這些零散的業務網路有機的整合在一起，這意味著要構築打造一個高性能、高效、可控、易維護的全新智能信息網路。
面向全新的金融網路，邁普依靠多年來在金融行業積累下的網路建設經驗，對省行到網點機構進行詳細分析和精心設計，幫助客戶提供了面向業務、面向辦公自動化網路高性價比的區域網建設綜合解決方案，全面滿足大集中的背景下產生的業務對網路的眾多需求。

⑦ 萬兆交換機的特點

萬兆埠
萬兆埠有兩種：最初出現的為埠拓展型，此類型需要在交換機擴展口插拓展板，此類型增加了交換機的成本，根據需要可選擇2埠或4埠的類型。由於技術的更新，最新型萬兆埠為交換機本身帶有24個、44個、42個、48個獨立的萬兆埠。
強大的轉發性能針對於骨乾和核心網路大流量數據無阻塞的要求，RHS6226ST/TS提供高達128Gbps交換容量，全線速過濾轉發96Mpps；RHS6252TS/ST提供高達176Gbps交換容量，全線速過濾轉發131Mpps，保證核心骨幹網路的數據無阻塞轉發。
強大完善的安全控制策略
系列支持基於埠的用戶IP+MAC地址認證、支持MAC地址過濾、支持ARP過濾、支持CPU保護、基於埠的802.1X認證、遠程RADIUS，TACACS+認證、埠最大主機數限制，支持基於埠的用戶IP+MAC+VLAN ID +用戶賬號的多元綁定，同時硬體支持IP ACL、MAC ACL、Vlan ACL、支持基於三、四層的ACL功能，有效防禦ARP攻擊和病毒，提供安全控制效率，保證網路安全策略實時有效。
多種路由協議
支持多種路由協議，如支持靜態路由；支持RIP v1/v2、OSPF v2、BGP v4等多種動態路由協議；支持PIM-SM、PIM-DM、DVMRP等多種組播路由協議。充分滿足大型網路利用不同路由協議構建網路的需求。
多樣化管理性
系列支持豐富的網路管理方式，例如支持Console口管理、支持WEB管理、支持TELNET遠程管理，使設備管理更方便，並且支持SSH加密，使得管理更加安全。
全面支持IPv6
基於硬體的IPv6線速處理性能；全面支持各種IPv6協議技術，包括IPv6靜態路由，BGP4+、RIPng、OSPFv3等動態路由協議，以及IPv4/IPv6雙協議棧、手工配置隧道、自動配置隧道、6to4隧道等IPv4向IPv6過渡的技術標准，並通過全球IPv6論壇組織的「IPv6 Ready」金牌認證。
全新節能設計，引領低碳通信
遵循IEEE 802.3az（Energy Efficient Ethernet 能效乙太網），提供埠低耗電閑置模式，根據線纜長度進行相應輸出功率調整，並且支持無連接時埠休眠，大幅度降低功耗。

⑧ 什麼是線速度

線速度 是相對於 角速度 而生的概念。
我們平時所接觸的速度，基本上都是線速度。故，「線」字 通常省略，只有在討論到角速度時，才明確之。。。
===================
地球繞太陽的速度約為 每年1圈，即 360度/年 或 2π弧度/年。。。這里的速度是角速度，即 單位時間內移動的角度。。。
而常見的速度，例如車輛的速度，飛機的速度。。等都是線速度了。。。這些速度都是單位時間內的移動線距。。。故可以「線」而言之。。。

⑨ 有沒有知道如何通過IP過濾防禦DDoS攻擊

企業部署有一個可以持續監測並主動過濾受僵屍網路控制IP地址的網關，通過與威脅情報聯動，持續更新不良IP地址資料庫，就會掌握哪些IP地址已經被僵屍網路所控制或被其他惡意軟體入侵。

當來自這些惡意IP地址的流量抵達網關時，該網關能夠以高達10GB的線速自動過濾掉惡意流量，防止其到達防火牆，大大提升防火牆和相關安全解決方案的效率。這樣將極大減少防火牆等周邊保護工具和網路自身的工作負載，將企業遭受攻擊的風險降至最低。

在抵禦DDoS攻擊時，利用這種IP過濾的方式，至少能夠將1/3的惡意流量進行過濾，這可為企業網路防護節省出大量的投資成本，並提升網路的整體防禦能力。

而且通過過濾、攔截惡意IP地址還可阻止企業網路中那些已遭入侵的設備與黑客的指揮與控制中心進行通訊，防止這些設備被用作其他DDoS攻擊的幫凶，也能及時遏制潛在的數據泄露。

⑩ 千兆乙太網交換機和100M網傳輸速率問題求解

這個需要看你的背板帶寬，而不是說你的介面速率，比如一塊交換板有4個1000M口，那麼至少他的背板帶寬要有8g的吞吐能力才能夠達到所有埠都跑滿1000M。
你需要確定你的伺服器和交換機是否是1000M的速率，如果你不確定最好用手動方式制定而別用自動協商。另外你還需要確定下你的軟體是否有速率的限制，如果這兩點都確定沒有問題。那麼以你目前的測試狀態來看，12MB/s已經是他極限吞吐能力了。
DGS1024D這個型號的交換機估計你要查查其真正的背板帶寬是支持多少的。

另附給你背板帶寬的計算公式：
1）線速的背板帶寬
考察交換機上所有埠能提供的總帶寬。計算公式為埠數*相應埠速率*2（全雙工模式）如果總帶寬≤標稱背板帶寬，那麼在背板帶寬上是線速的。
2）第二層包轉發線速
第二層包轉發率=千兆埠數量×1.488Mpps+百兆埠數量*0.1488Mpps+其餘類型埠數*相應計算方法，如果這個速率能≤標稱二層包轉發速率，那麼交換機在做第二層交換的時候可以做到線速。
3）第三層包轉發線速
第三層包轉發率=千兆埠數量×1.488Mpps+百兆埠數量*0.1488Mpps+其餘類型埠數*相應計算方法，如果這個速率能≤標稱三層包轉發速率，那麼交換機在做第三層交換的時候可以做到線速。