线速过滤

① 什么是万兆交换机

万兆交换机能够提供在一秒钟超过一千个G的吞吐量的交换机，这是传统的交换机所不能做到的。作为兼容于以往的最新以太网技术，万兆以太网不仅仅是以太网的“高速翻版”，万兆以太网第一次提出了万兆广域以太网技术，第一次实现了私有网络到公众网络的融合。
万兆交换机特点 ：
1、万兆端口：
万兆端口有两种：最初出现的为端口拓展型，此类型需要在交换机扩展口插拓展板，此类型增加了交换机的成本，根据需要可选择2端口或4端口的类型；

2、强大的转发性能：
针对于骨干和核心网络大流量数据无阻塞的要求，RHS6226ST/TS提供高达128Gbps交换容量，全线速过滤转发96Mpps；RHS6252TS/ST提供高达176Gbps交换容量，全线速过滤转发131Mpps，保证核心骨干网络的数据无阻塞转发；

3.强大完善的安全控制策略：
系列支持基于端口的用户IP+MAC地址认证、支持MAC地址过滤、支持ARP过滤、支持CPU保护、基于端口的802.1X认证、远程RADIUS，TACACS+认证、端口最大主机数限制，支持基于端口的用户IP+MAC+VLAN ID +用户账号的多元绑定，同时硬件支持IP ACL、MAC ACL、Vlan ACL、支持基于三、四层的ACL功能，有效防御ARP攻击和病毒，提供安全控制效率，保证网络安全策略实时有效。
4、多种路由协议：
支持多种路由协议，如支持静态路由；支持RIP v1/v2、OSPF v2、BGP v4等多种动态路由协议；支持PIM-SM、PIM-DM、DVMRP等多种组播路由协议。充分满足大型网络利用不同路由协议构建网络的需求；
5、多样化管理性：
系列支持丰富的网络管理方式，例如支持Console口管理、支持WEB管理、支持TELNET远程管理，使设备管理更方便，并且支持SSH加密，使得管理更加安全；
6、全面支持IPv6：
基于硬件的IPv6线速处理性能；全面支持各种IPv6协议技术，包括IPv6静态路由，BGP4+、RIPng、OSPFv3等动态路由协议，以及IPv4/IPv6双协议栈、手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6过渡的技术标准，并通过全球IPv6论坛组织的“IPv6 Ready”金牌认证；
7、全新节能设计，引领低碳通信：
遵循IEEE 802.3az（Energy Efficient Ethernet 能效以太网），提供端口低耗电闲置模式，根据线缆长度进行相应输出功率调整，并且支持无连接时端口休眠，大幅度降低功耗。

② 根据我的问题补充，能不能推荐些设备

数据采集设备有好多款式，按不同要求可选择不同的数据采集设备。
德生科技的数据采集器可采集图片，而且也可以直接读取二代证信息。
为了保证文字信息绝对准确，采用数据处理软件对流程进行控制。在录入时，采用两次录入的方式，两个人同时录一条数据，软件自动核对，如有不同，重新录入。对于可能出现的生僻字、怪字、电脑无法生成的文字，数据录入人员另外使用造字程序来生成。
无论是照片信息，还是文字信息，从两方面入手，两手抓，两手硬，保证从数据处理工厂生产的数据既是全面的，更是准确的。
领先的网络流量采集系统解决方案提供商NetTAP近日发布了NT-FTAP-24XE万兆网络分路器，这是NetTAP万兆系列1U设备解决方案的最新产品。NT-FTAP-24XE是数维通信公司自主研发的一款万兆(10GE)高密度流量复制汇聚器，以满足高密度的10G以太链路集中采集需求。设备具有多达24个10G以太接口(兼容GE以太接口)，可灵活用于分光采集输入或流量定制输出，可同时采集多达12条10G以太链路的双向流量,且支持端口输入输出复用功能;设备拥有强大的数据流量处理引擎，背板带宽达240Gbps，保证了在高密度万兆流量采集的情况下任意流量的线速报文处理;设备内置强大的流量策略标识引擎可准确定制各个流量采集输出接口的流量类型，满足各类网络安全、协议分析、信令协议分析等流量监控需求。
数据索引服务器用华为的就行，都很好。

③ 急~~~~~~~~~计算机网络问题

作为企业用户首选的网络安全产品，防火墙一直是用户和厂商关注的焦点。为了能够为
用户从眼花缭乱的产品中选择出满足需求的防火墙提供客观依据，《网络世界》评测实验室
对目前市场上主流的防火墙产品进行了一次比较评测。

《网络世界》评测实验室依然本着科学、客观公正的原则，不向厂商收取费用，向所有
希望参加评测的厂商开放。

我们此次评测征集的产品包括百兆和千兆防火墙两个系列。此次送测产品有来自国内外
12家厂商的14款产品，其中百兆防火墙包括来自安氏互联网有限公司的LinkTrust CyberWal
l -100Pro、方正数码的方正方御FGFW，联想网御2000，NetScreen-208、清华得实NetST210
4 、ServGate公司的SG300、神州数码的DCFW-1800、天融信网络卫士NGFW4000、三星SecuiW
all 防火墙以及卫士通龙马的龙马卫士防火墙，千兆防火墙包括北大青鸟JB-FW1、 NetScre
en-5200、Servgate SG2000H和阿姆瑞特的F600+。三星SecuiWall防火墙和北大青鸟JB-FW1防
火墙性能测试尚未全部完成就自行退出本次比较测试。在我们评测工程师的共同努力下，顺
利完成了对其他12款产品的评测任务。

测试内容主要涵盖性能、防攻击能力以及功能三个方面，这其中包括按照RFC2504、RFC
2647以及我国标准进行的定量测试和定性测试。我们性能测试和防攻击能力主要采用Spiren
t公司的SmartBits 6000B测试仪作为主要测试设备，利用SmartFlow和WebSuite Firewall测
试软件进行测试。在测防攻击能力时，为准确判定被攻击方收到的包是否是攻击包，我们还
使用NAI公司的Sniffer Pro软件进行了抓包分析。

在功能测试方面，我们的评测工程师则以第一手的感受告诉读者防火墙在易用性、可管
理性、VPN、加密认证以及日志审计等多方面功能。

最后，我们还要感谢向我们提供测试工具的思博伦通信公司以及NAI公司，同时也对那些
勇于参加此次防火墙产品公开比较评测的厂商表示赞赏。

性能综述

对于网络设备来说，性能都是率先要考虑的问题。与其他网络设备相比，防火墙的性能
一直被认为是影响网络性能的瓶颈。如何在启动各项功能的同时确保防火墙的高性能对防火
墙来说是巨大的挑战。

在我们测试的过程中，感受最深的一点就是由于防火墙之间体系结构和实现方式的巨大
差异性，从而也就使得不同防火墙之间的性能差异非常明显。从防火墙的硬件体系结构来讲
，目前主要有三种，一种使用ASIC体系，一种采用网络处理器（NP），还有一种也是最常见
的，采用普通计算机体系结构，各种体系结构对数据包的处理能力有着显著的差异。防火墙
软件本身的运行效率也会对性能产生较大影响，目前防火墙软件平台有的是在开放式系统（
如Linux，OpenBSD）上进行了优化，有的使用自己专用的操作系统，还有的根本就没有操作
系统。我们在进行性能测试时努力地将影响防火墙性能的因素降到最小，测试防火墙性能时
将防火墙配置为最简单的方式：路由模式下内外网全通。

我们此次测试过程中，针对百兆与千兆防火墙的性能测试项目相同，主要包括：双向性
能、单向性能、起NAT功能后的性能和最大并发连接数。双向性能测试项目为吞吐量、10%线
速下的延迟、吞吐量下的延迟以及帧丢失率；单向性能测试项目包括吞吐量、10%线速下的延
迟；起NAT功能后的性能测试包括吞吐量、10%线速下的延迟。

百兆防火墙性能解析

作为用户选择和衡量防火墙性能最重要的指标之一，吞吐量的高低决定了防火墙在不丢
帧的情况下转发数据包的最大速率。在双向吞吐量中，64字节帧，安氏领信防火墙表现最为
出众，达到了51.96%的线速，NetsScreen-208也能够达到44.15%，

在单向吞吐量测试中，64字节帧长NetScreen-208防火墙成绩已经达到83.60%，位居第一
，其次是方正方御防火墙，结果为71.72%。

延迟决定了数据包通过防火墙的时间。双向10%线速的延迟测试结果表明，联想网御200
0与龙马卫士的数值不分伯仲，名列前茅。

帧丢失率决定防火墙在持续负载状态下应该转发，但由于缺乏资源而无法转发的帧的百
分比。该指标与吞吐量有一定的关联性，吞吐量比较高的防火墙帧丢失率一般比较低。在测
试的5种帧长度下，NetScreen-208在256、512和1518字节帧下结果为0，64字节帧下结果为5
7.45%。

一般来讲，防火墙起NAT后的性能要比起之前的单向性能略微低一些，因为启用NAT功能
自然要多占用一些系统的资源。安氏领信防火墙与清华得实NetST 2104防火墙在起NAT功能后
64字节帧的吞吐量比单向吞吐量结果略高。

最大并发连接数决定了防火墙能够同时支持的并发用户数，这对于防火墙来说也是一个
非常有特色也是非常重要的性能指标，尤其是在受防火墙保护的网络向外部网络提供Web服务
的情况下。天融信NGFW 4000以100万的最大并发连接数名列榜首，而龙马卫士防火墙结果也
达到80万。

我们的抗攻击能力测试项目主要通过SmartBits 6000B模拟7种主要DoS攻击。我们还在防
攻击测试中试图建立5万个TCP/HTTP连接，考察防火墙在启动防攻击能力的同时处理正常连接
的能力。

Syn Flood目前是一种最常见的攻击方式，防火墙对它的防护实现原理也不相同，比如，
安氏领信防火墙与NetScreen-208采用SYN代理的方式，在测试这两款防火墙时我们建立的是
50000个TCP连接背景流，两者能够过滤掉所有攻击包。SG-300、联想网御2000在正常建立TC
P/HTTP连接的情况下防住了所有攻击包。大多数防火墙都能够将Smurf、Ping of Death和La
nd-based三种攻击包全部都过滤掉。

Teardrop攻击测试将合法的数据包拆分成三段数据包，其中一段包的偏移量不正常。对
于这种攻击，我们通过Sniffer获得的结果分析防火墙有三种防护方法，一种是将三段攻击包
都丢弃掉，一种是将不正常的攻击包丢弃掉，而将剩余的两段数据包组合成正常的数据包允
许穿过防火墙，还有一种是将第二段丢弃，另外两段分别穿过防火墙，这三种方式都能有效
防住这种攻击。实际测试结果显示方正方御、安氏领信、SG-300、龙马卫士属于第一种情况
，神州数码DCFW-1800、得实NetST2104、联想网御2000属于第二种情况，Netscreen-208属于
第三种情况。

对于Ping Sweep和Ping Flood攻击，所有防火墙都能够防住这两种攻击，SG-300防火墙
过滤掉了所有攻击包，而方正方御防火墙只通过了1个包。虽然其余防火墙或多或少地有一些
ping包通过，但大部分攻击包都能够被过滤掉，这种结果主要取决于防火墙软件中设定的每
秒钟通过的ping包数量。

千兆防火墙性能结果分析

由于千兆防火墙主要应用于电信级或者大型的数据中心，因此性能在千兆防火墙中所占
的地位要比百兆防火墙更加重要。总的来说，三款千兆防火墙之间的差异相当大，但性能结
果都明显要高于百兆防火墙。

双向吞吐量测试结果中，NetScreen-5200 64、128、256、512、1518字节帧结果分别为
58.99%、73.05%、85.55%、94.53%、97.27%线速。千兆防火墙的延迟与百兆防火墙相比降低
都十分明显，NetScreen-5200的双向10%线速下的延迟相当低，64字节帧长仅为4.68祍，1518?纸谥〕さ囊仓挥?4.94祍。起NAT功能后，NetScreen-5200防火墙64字节帧长的吞吐量为62.
5%。由于ServGate SG2000H不支持路由模式，所有只测了NAT 结果，该防火墙在1518字节帧
长达到了100%线速。阿姆瑞特F600+起NAT功能对其性能影响很小。最大并发连接数的测试结
果表明，NetScreen-5200防火墙达到100万。

在防攻击能力测试中， 三款千兆防火墙对于Smurf和Land-based攻击的防护都很好，没
有一个攻击包通过防火墙。对于Ping of Death攻击， NetScreen-5200和阿姆瑞特F600+防火
墙丢弃了所有的攻击包，SG2000H防火墙测试时对发送的45个攻击包，丢弃了后面的两个攻击
包，这样也不会对网络造成太大的危害。在防护Teardrop攻击时，F600+防火墙丢弃了所有的
攻击包，ServGate-2000防火墙只保留了第一个攻击包，NetSreen-5200防火墙则保留了第一
和第三个攻击包，这三种情况都能够防护该攻击。阿姆瑞特F600+和SG2000H在PingSweep攻击
测试结果为1000个攻击包全都过滤掉。

功能综述

在我们此次测试防火墙的过程中，感受到了不同防火墙产品之间的千差万别，并通过亲
自配置体会到防火墙在易用性、管理性以及日志审计等方面的各自特色。

包过滤、状态检测和应用层代理是防火墙主要的三种实现技术，从此次参测的防火墙产
品中我们可以明显地看到状态检测或将状态检测与其他两种技术混合在一起是主流的实现原
理。

在工作方式方面，大部分防火墙都支持路由模式和桥模式（透明模式），来自ServGate
公司的SG300和SG2000H，其工作方式主要是桥模式和 NAT模式，没有一般产品所具有的路由
模式。天融信NGFW 4000和卫士通龙马的龙马卫士防火墙还支持混合模式。

百兆防火墙

与交换机走向融合？

当我们拿到要测试的防火墙时，有一个非常直观的感觉是防火墙不再只是传统的三个端
口，正在朝向多个端口方向发展，带有4个端口的防火墙非常常见，我们都知道三个端口是用
来划分内网、外网和DMZ区，那么增加的第4个端口有什么用呢？不同产品差别很大，但以用
作配置管理的为主，安氏的防火墙将该端口作为与IDS互动的端口，比较独特。像天融信网络
卫士NGFW4000则可以最多扩展到12个端口，Netscreen-208有8个固定端口，Netscreen-5200
则是模块化的千兆防火墙，可以插带8个miniGBIC 1000Base-SX/LX千兆端口或24个百锥丝?的模块，这显示了防火墙与交换机融合的市场趋势。

对DHCP协议的支持方面，防火墙一般可以作为DHCP信息的中继代理，安氏领信防火墙、
清华得实NetST2104、天融信NGFW4000都有这个功能。而Netscreen-208、SG300还可以作为D
HCP 服务器和客户端，这是非常独特的地方。

在VLAN支持方面，Netscreen防火墙又一次显示了强大的实力。与交换机类似，Netscre
en-208支持每个端口划分为子端口，每个子端口属于不同的VLAN，支持802.1Q，并且不同子
端口还可以属于不同区域。安氏领信、联想网御2000、天融信NGFW4000防火墙则有相应选项
支持VLAN，主要支持802.1Q和Cisco的ISL。

管理特色凸现

管理功能是一个产品是否易用的重要标志，对此我们考察了防火墙对管理员的权限设置
、各种管理方式的易用性以及带宽管理特性。

不同的防火墙对管理员的权限分级方式不同，但总的来说，不同的管理员权限在保护防
火墙的信息的同时，通过三权分立确保了防火墙的管理者职责分明，各司其职。方正方御FG
FW通过实施域管理权、策略管理、审计管理、日志查看四个不同权限对管理员权限进行限制
。

目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串
口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火
墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己
喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使
用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明
了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令
功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我
们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火
墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理
多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正
方御的GUI管理软件安装和使用都比较容易。

带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更
好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支
持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分
配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的
流量控制实现对防火墙各个接口的带宽控制。

VPN和加密认证

防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网
御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有
VPN功能或VPN模块。作为构建VPN最主要的协议IPSec，这6款防火墙都提供了良好的支持。

安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES
、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算
法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算
法，如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地
支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防
火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于VPN之外，远程
管理、远程日志等功能通过加密也能够提升其安全性。

在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、
SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持
得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙
主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃
听。

防御功能

防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒
扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防
护能力。

在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病
毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙
时就被捕获。

在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清
华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3
协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤
的功能。

在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火
墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设
置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门
端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现
互动，以实现更强劲的防攻击能力。

安全特性

代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信
息被限制在代理网关的内侧。

参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3
、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部
网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内
部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都
有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多N
AT以及端口NAT。

高可用性

负载均衡的功能现在在防火墙身上也开始有所体现，Netscreen-208支持防火墙之间的负
载分担，而其他防火墙则支持服务器之间的负载均衡。

目前用户对于防火墙高可用性的需求越来越强烈。此次参测的9款百兆防火墙都支持双机
热备的功能。Netscreen-208可以将8个端口中设定一个端口作为高可用端口，实现防火墙之
间的Active-Active高可用性。

日志审计和警告功能

防火墙日志处理方式主要包括本地和远程两种。但由于防火墙在使用过程中会产生大量
的日志信息，为了在繁多的日志中进行查询和分析，有必要对这些日志进行审计和管理，同
时防火墙存储空间较小，因此单独安装一台服务器用来存放和审计管理防火墙的各种日志都
非常必要。

安氏、方正防御、联想网御2000、清华得实NetST2104、神州数码DCFW-1800、天融信NG
FW4000以及龙马卫士防火墙都提供了日志管理软件实现对日志服务器的配置和管理，可以利
用管理软件对日志信息进行查询、统计和提供审计报表。而NetScreen-208支持多种日志服务
器的存储方式，包括Internal、Syslog、WebTrends、flash卡等。

当日志中监测到系统有可疑的行为或网络流量超过某个设定阈值时，根据设定的规则，
防火墙应该向管理员发出报警信号。安氏、Netscreen-208在警告通知方式方面支持E-mail、
Syslog、SNMP trap等。而方正方御则支持通过LogService消息、E-mail、声音、无线、运行
报警程序等方式进行报警。

对日志进行分级和分类将非常有利于日志信息的查询以及处理。安氏、NetScreen-208、
天融信NGFW4000以及卫士通龙马的龙马卫士防火墙支持不同等级的日志。龙马卫士防火墙将
日志级别分为调试信息、消息、警告、错误、严重错误5种级别。NetScreen-208则将日志分
为负载日志、事件日志、自我日志三种，事件日志分为8个不同等级。

优秀的文档很关键

大部分防火墙产品都附带有详细的印刷文档或电子文档。给我们留下深刻印象的是联想
、方正与安氏防火墙的印刷文档非常精美全面，内容涵盖了主流的防火墙技术以及产品的详
细配置介绍，还举了很多实用的例子帮助用户比较快地配好防火墙，使用各种功能。得实Ne
tST 2104防火墙用户手册、天融信NGFW 4000电子文档都对CLI命令进行了详细解释，非常有
利于那些习惯使用命令行进行配置的防火墙管理员使用。Netscreen网站上有非常完整的用户
手册，但缺憾在于它们全部是英文的。

千兆防火墙

此次总共收集到4款千兆防火墙产品，但北大青鸟在性能测试尚未完成时就自行退出，所
以共测试完成了三款千兆防火墙，它们都是来自国外厂商的产品: NetScreen-5200、阿姆瑞
特F600+和ServGate SG2000H。NetScreen-5200是采用ASIC处理器的代表，而SG2000H则是采
用网络处理器的例子。

从实现原理来看，三者都主要是基于状态检测技术，而在工作方式上，NetScreen-5200
、阿姆瑞特F600+主要支持路由模式和桥模式，而ServGate SG2000H则支持桥模式和NAT模式
。

F600+支持DHCP中继代理，而NetScreen-5200可以作为DHCP服务器、客户端或中继代理。
在VLAN支持方面，NetScreen-5200的每个端口可以设定不同子端口，每个子端口可以支持不
同的VLAN，可以非常容易集成到交换网络中。据称，该设备能够支持4000个VLAN。F600+与S
G2000H也支持802.1Q VLAN。而且，还有一点可以指出的是NetScreen-5200支持OSPF、BGP路
由协议。

从管理上来看，NetScreen-5200和SG2000H主要通过Web和命令行进行管理。而F600+则主
要通过在客户端安装GUI管理软件来进行管理，串口CLI命令功能很简单。从配置上来说，Ne
tScreen-5200配置界面非常美观，菜单清晰，并提供了向导可以指导用户快速配置一些策略
和建立VPN通道。SG2000H功能也比较强大，但配置起来比较复杂一点。阿姆瑞特的F600+在安
装Armarenten管理器的同时还将其中文快速安装手册以及中文用户指南都安装上，非常方便
用户使用，而该管理软件与防火墙之间则通过128位加密进行通信，有利于对多台防火墙
的管理。

在带宽管理上，F600+很有特色，它通过“管道”概念实现，每个管道可以具有优先级、
限制和分组等特点，可以给防火墙规则分配一个或多个管道，还可以动态分配不同管道的带
宽。NetScreen-5200则支持对不同端口分配带宽以及根据不同应用在策略中设定优先级控制
进出的网络流量。

在VPN支持方面，NetScreen-5200不仅支持通过IPSec、L2TP和IKE建立VPN隧道，还支持
DES、3DES、AES加密算法和MD5 、SHA-1认证算法。F600+支持通过IPSec建立VPN，而SG2000
H未加VPN模块。在认证方法上，只有Netscreen-5200支持内置数据库、RADIUS、SecurID和L
DAP。

F600+还有一个非常显著的特点就是提供了一个功能强大的日志管理器，它虽然不支持在
防火墙中记录日志，但能够在防火墙管理器中实时显示日志数据，还支持Syslog 日志服务器
,提供灵活的审计报表，并将日志进行分类。NetScreen-5200和SG2000H在日志报表和审计报
表方面都支持著名的WebTrends软件和Syslog日志服务器，NetScreen还支持将日志通过flas
h卡、NetScreen Global Pro等方式进行处理。

④ poe交换机上的link/act和poe切换是什么意思

poe 是通过网线供电的power over 以太网所以对8根芯要求很高，因为兼具供电功能，而link act仅仅是网络功能，没有供电这一块在里面，所以这个的意思应该是在网络及供电的情况下，改变为网络功能而无供电功能，但是我觉得，现在很多设备都是自动分辨的，应该不存在这个现象了吧

⑤ 如何通过IP过滤防御DDoS攻击

DDoS攻击由来已久，但如此简单粗暴的攻击手法时至今日却依然有效，并已成为困扰各大网站稳定运营的“头号敌人”。
防DDoS攻击可别小瞧对抗其有效手段之一的IP过滤
利用IP过滤抵御DDoS攻击
今天，随着大量可连网智能设备的加速普及，这些智能设备被暴露出诸多的安全漏洞，甚至变成了DDoS攻击大军中的一员，就像此前将半个美国网络搞瘫的Mirai僵尸网络攻击一样。
不过，在Mirai源代码被蓄意公开之前，可连网智能设备被用于大规模DDoS攻击的情况并不多见。可是现在的情况在Mirai源代码公开后，显然已经发生了巨大变化，不法黑客掌控可联网设备的僵尸网络迅速拓张了其规模与攻击威力。这时一旦这些设备或网络受到危害并用于恶意目的，企业将无法进行有效的防护。
这时，企业可以如果部署有一个可以持续监测并主动过滤受僵尸网络控制IP地址的网关，通过与威胁情报联动，持续更新不良IP地址数据库，就会掌握哪些IP地址已经被僵尸网络所控制或被其他恶意软件入侵。
当来自这些恶意IP地址的流量抵达网关时，锐速云能够以高达10GB的线速自动过滤掉恶意流量，防止其到达防火墙，大大提升防火墙和相关安全解决方案的效率。这样将极大减少防火墙等周边保护工具和网络自身的工作负载，将企业遭受攻击的风险降至最低。
在抵御DDoS攻击时，利用这种IP过滤的方式，至少能够将1/3的恶意流量进行过滤，这可为企业网络防护节省出大量的投资成本，并提升网络的整体防御能力。
而且通过过滤、拦截恶意IP地址还可阻止企业网络中那些已遭入侵的设备与黑客的指挥与控制中心进行通讯，防止这些设备被用作其他DDoS攻击的帮凶，也能及时遏制潜在的数据泄露。

⑥ 中小型企业网络组网

IP协议是网络发展的一个重要推动力，它已经有很长的历史，是与Internet同步成长起来的网络协议。在过去，IP协议并非主导的网络协议。但是进入八十年代末和九十年代，特别是进入九十年代，随着Internet的爆炸性增长，IP协议得到了广泛的应用。越来越多的应用程序，例如万维网技术，电子邮件，文件传输，等等。所以，IP协议成为主导协议已经不可能逆转，这是市场的选择，也是用户的选择。以IP技术为核心的金融网络，将为基于数据、语音、视频业务的广泛应用提供坚实的基础。
同时随着IP网络发展越来越庞大、IP应用越来越多样化，在银行交换机也由以前的单纯的局域网应用逐渐向城域及广域发展，导致其应用也越来越复杂化。目前，单靠产品已经不能很好的满足银行的实际需求，更重要的是提出完善的解决方案。迈普公司具有多年来从事数据通信和网络技术的开发和服务经验，基于银行的实际应用环境，开发了一系列贴近于用户的产品，同样，我们的宗旨是贴近客户、贴近应用。
本方案书从技术层面就如何为金融企业构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络做一阐述。本方案内容组织如下：
第一部分银行网络发展趋势及需求分析，对银行发展趋势及网络需求进行分析；
第二部分提出金融行业以太网建设总体方案设计，介绍各个技术层面的设计原则；
第三部分金融行业以太网建设的详细设计，针对银行的特点和实际情况对详细解决方案进行剖析。
1.银行网络发展趋势及需求分析
在这里，我们根据迈普公司多年来的经验，对银行网络的发展趋势进行分析。
1.1.银行网络发展中设备以及通信带宽的发展
追溯根源，银行从最初的电子化到现在，都是由业务拉动网络的发展，随着网络的发展，网络对带宽、设备的要求越来越高，可以从以下发展图示中看到银行网络发展的轨道：
银行互联网络的发展大致经过了三个阶段，目前正处在由串行通信互联到IP网络化阶段过渡的时期，目前大多的广域网通信带宽在64K到2M之间，网络的互联以传统路由器和低性能交换机、HUB为主。
可以看到，下一代网络将向交换机发展，目前在东南沿海等经济相对发达、应用相对多样的地区已经有少数银行开始采用基于宽带的广域网互联，从储蓄所到中心全部采用光纤接入。在该网络上可以方便的实现宽带的视频应用，但这种方案的推广需要完善解决交换机的安全以及QoS策略。
1.2.目前银行网络发展趋势纵向划分
前面已经提到，银行网络是由业务的发展来带动的。目前的网络早已不仅仅为传统的储蓄和对公业务提供支撑，网上银行、电话银行、中间业务等等不同业务共用一个企业网络。细化起来，可以将银行目前的发展方向细化为几个方面
可以看到，主要有5个方面的发展：
管理集中
管理集中是网络规模扩大的必要管理手段，先进的网络管理平台、设备的集中管理、集群管理成为网络设备的重要功能指标。
多业务集成
多种不同的业务共用同一个物理的网络平台，对网络设备的服务质量、安全控制提出的更高的要求。
宽带化
银行业务的特殊性导致宽带化的进程受安全性要求的限制，但宽带化仍然是必然的趋势。
数据和应用集中
这与管理集中是相辅相成的，是企业网络向系统性整体性发展的体现。
网络化
这里所说的网络化，指的是网络逐渐向边缘延伸，同时与外部网络的联系越来越紧密。
在这五个方面发展的同时，网络的安全性、可靠性等性能指标也成为网络的重要一环。
1.3.需求分析
金融网络最原始的需求来自于业务的开展和资源共享的需要，随着金融企业业务范围的扩大和业务产品的增多，更高速、更可靠、更安全以及更方便的网络和业务管理已经成为新时期金融企业网络的关注重点。
银行联网应用分为：业务应用和办公应用。业务应用包括零售、会计、信用卡、国际结算、电子联行、收付清算等对银行至关重要的核心应用系统；办公应用主要是基于邮件系统、办公自动化系统、依赖此种机制的各种报表系统和管理系统，以及未来可能发展的数字电话、视频网络、以及其它新型的满足办公管理需求的联网应用。
局域网络的建设主要涉及到不同业务之间的VLAN划分、VLAN之间的互通需求，以及与广域网络的无缝连接。
本方案考虑了以上的网络情况，并采用了迈普以太网交换机，实现千兆到楼层、百兆到桌面的全网解决方案。并增加了如MAC地址绑定、端口镜像、包过滤等内网安全技术，支持802.1x内部网络管理认证、用户分级管理的管理功能。
2.总体方案设计
2.1.总体设计原则
省级分行数据中心局域网，一方面作为整个银行网络系统一级网上的一个节点，另一方面又是省内网络系统的中心汇聚点，从全国银行网络系统的角度来看起到承上启下的作用。针对金融企业业务数据通信量和办公数据通信量大的情况，采用适当的经济型的迈普网络通信产品实现完善的网络接入解决方案，在网络设计构建中，应始终坚持以下建网原则：
高可靠性
网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障时应不影响网络其它部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。
技术先进性和实用性
保证满足金融核心业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。
高性能
骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。
标准开放性
支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络(如Internet、友商企业等其它网络)之间的平滑连接互通，以及将来网络的扩展。
灵活性及可扩展性
根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。
可管理性
对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。
安全性
制订统一的网络安全策略，整体考虑网络平台的安全性。
兼容性和经济性
兼容性，能够最大限度地保证金融企业现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。
2.2.技术策略及原则
为切实达到以上的网络设计原则，使金融网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则：
统一标准
网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。
统一平台
从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。
2.3.网络分层的原则
为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、汇聚层、接入层等三个层次。
1、核心层
负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。
2、汇聚层
负责将各种接入业务集中起来，除了进行局部数据的交换、转发以外，通过高速接口将数据输送到核心层去，在更大的范围内进行数据的路由以及处理。
3、接入层
设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。
3.详细方案设计
3.1.大型金融机构办公大楼局域网解决方案
3.1.1.网络拓扑图
3.1.2.方案分析
本解决方案把网络分为三级网络：核心层、汇聚层、接入层。
对于规模大的大型金融机构办公大楼局域网络，需要建立一个核心的交换平台，使用两台MyPower S4196B三层交换机作为网络的中心核心层，通过千兆链路汇聚来自楼层的MyPower S4196B上行数据。两台MyPower S4196B通过多个千兆GE链路TRUNK互相作为冗余备份，共同作为网络的核心交换。
在汇聚层选择MyPower S4196B产品进行楼层汇聚，最大可提供96个100M端口接入，作为相邻3个楼层的楼层汇聚，使用2路千兆上行连接到核心交换的两台MyPower S4196B上。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.1.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4196B支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
性价比高
在大楼核心采用高性价比的MyPower S4196B路由交换机，最大提供96个100M以太口，提供全线速三层交换，是组建大型金融机构办公网络的最佳网络设备。
可靠性好
MyPower S4196B和MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
易维护
MyPower S4196B和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.2.中型金融机构办公大楼局域网解决方案
3.2.2.方案分析
本解决方案把网络分为三级网络：核心层、汇聚层、接入层。
对于中小型金融机构办公大楼局域网络，也需要建立一个核心的交换平台，使用一台MyPower S4196B系列产品作为网络的中心核心层，通过千兆链路集中来自MyPower S4126G汇聚的上行数据。MyPower S4196B系列产品是迈普线速交换网络产品系列定位于中型核心节点的代表产品系列，属千兆交换路由产品，当前的MyPower S4196B提供全线速的二三层交换。在中型规模金融企业网中，两台通过TRUNK连接的MyPower S4196B产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在汇聚层选择MyPower S4126G产品进行楼层汇聚，提供24个100M接入，同时2路千兆上行。用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.2.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4196B、MyPower S4126G、MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4196B交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S4126G进行对工作组群之间的交互控制和路由。
安全性高
目前作为应用在局域网中的设备，MyPower S4196B、MyPower S4126G支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4196B、MyPower S4126G、MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4196B和MyPower S4126G路由交换机，提供全线速三层交换，是组建中型金融机构办公网络的最佳网络设备。
易维护
MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.3.小型金融机构办公大楼局域网解决方案
3.3.2.方案分析
对于小型金融机构办公大楼局域网络，也需要建立一个核心的交换平台，使用一台MyPower S4126G系列产品作为网络的中心核心层，通过百兆链路汇聚来自各楼层MyPower S3026G的上行数据。在小规模金融企业网中，单台MyPower S4126G产品可以被设计作为网络的核心交换、业务控制和冗余控制平台。
在接入层选择MyPower S3026G系列产品进行房间内信息点的接入，实现100兆到桌面，可划分VLAN对业务进行隔离。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为整个大楼构建一个便于管理的、可控的、高性能的智能网络。
3.3.3.方案特点
集群化管理
可以采用迈普DeviceMaster管理软件对MyPower S4126G和MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPowerMyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4126G支持802.1x、用户分级管理，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制、MAC地址绑定，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4126G、MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4126G路由交换机和MyPower S3026G二层网管型交换机，MyPower S4126G提供全线速三层交换，MyPower S3026G支持二层的所有网管协议，是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
3.4.同城金融机构办公大楼间城域网解决方案
3.4.2.方案分析
上图显示了典型金融企业网的组网应用情况。在该类网络中存在下列需求：大量不同规模工作组的接入；楼层（楼间）宽带互联；分部互联；综合服务环境提供（邮件系统、文件系统、数据库等）；对外服务提供以及业务隔离等。
当前，随着企业IT进程的迅速推进，千兆骨干，百兆到桌面已经成为企业LAN建设的标准配置，按照这种思路组建金融企业网络的物理平台架构，在用户接入层可以选用MyPower S3026G系列接入交换机，提供百兆到桌面的同时再以100M/1000M上行到汇聚层；在汇聚层则可以选用MyPower S4196B和MyPower S4126G，向下提供百兆接入，同时向上提供千兆链路上行。MyPower S4196B和MyPower S4126G可以提供2条千兆上行链路，用户可以根据自身需求以及光纤资源情况进行灵活的选择。用MyPower S4196B做大楼中心汇聚，向下提供千兆接入，同时向上提供N×1000M链路上行。
对于远端的办公节点，例如另一栋办公大楼或者一个拥有可达光纤资源的金融分支机构，远端办公节点的MyPower S4196B支持扩展光纤接口模块，可以方便的实施远程光纤互联。在各办公节点间用MyPower S4112A进行各点的核心汇聚，MyPower S4112A最大能提供12个千兆光口。
在业务部门众多，网络用户密集、结构复杂的中型企业，纯二层产品组建的网络往往会出现广播报文急剧增多而导致的网络转发效率降低的现象，同时，不同的部门处在同一个网络中，也可能产生安全漏洞，所以，有必要使用相应的网络技术来控制不同子网的广播范围，使用VLAN（虚拟私有网）技术可以有效的隔离广播，控制不同网络用户的互访，但同时也产生了新的问题：彻底的二层隔离使得原有的公用资源可能不再能同时为各个相互隔离的子网服务了，另外，为了隔离广播造成了部分需要互访的用户的隔离――解决不同VLAN之间的互访需求需使用网络更高逻辑层的支持技术――路由技术（第三层）。在大型企业的部门级网络或者中型企业的分部LAN中心都可以选用MyPower S4100系列产品解决上述问题。MyPower S4100系列可以提供全线速的二三层交换，保证了即使在网络流量子网网间达到流量高峰时，该网络节点处理依然不会成为瓶颈。
在更好的控制广播扩散以及不同部门之间数据流的三层互通的同时，MyPower S4100还能实现线速的多层策略过滤，即：MyPower S4100可以基于硬件的2~7层包过滤等设置安全策略，用以实现极为复杂的VLAN业务隔离、互通控制以及流分类等。
迈普系列数据通信产品支持统一的网管平台，通过迈普的DeviceMaster网管软件（NT/2000平台），应用标准网管协议SNMP，可以对全网设备实施从网元到拓扑、故障等系列特性实施及时、专业的管理。应用集群管理技术，只需设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配。同时，整个方案中的各系列交换机都内置了802.1x本地认证功能，能对各信息点的接入用户进行认证并对其流量进行限制；通过MAC地址的绑定能对接入设备进行认证。结合以上提及的设备和技术，能为同城各办公机构间构建一个千兆到楼层、百兆到桌面、便于管理的、可控的、高性能的智能网络。
3.4.3.方案特点
集群管理
可以采用迈普DeviceMaster管理软件对MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G进行集群化的图形管理，只需要设定一台主交换机作为代理管理节点，就可以对互联的所有迈普交换机进行统一管理；整个集群只需使用一个管理IP地址，大大节约管理地址的分配；初始化时从交换机无须做任何参数配置，整个网络拓扑由主交换机自动发现，大大的减少了网络维护人员的工作量。同时DeviceMaster支持与HP OpenView、IBM NetView网络管理平台的集成，实现管理集中。
划分多工作组群
MyPower S4112A、MyPower S4196B和MyPower S4126G交换路由器提供VLAN与VLAN之间的数据转发，通过它，可以将办公大楼的接入用户划分为多个工作组群，组与组之间可以通过二层交换机进行连接。同时，MyPower S3026G进行对工作组群之间的交互控制。
安全性高
目前作为应用在局域网中的设备，MyPower S4112A、MyPower S4196B和MyPower S4126G支持802.1x、用户分级管理、基于硬件的2~7层包过滤等安全策略，可以根据源/目的MAC地址、源/目的IP地址、VLAN ID、应用端口号等多种方式结合对数据流进行访问控制，防止非授权访问以及授权的越区访问。还可配合迈普加密体系，保证网络机密性。
可靠性好
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G采用双电源冗余供电，还可根据需要进行网络链路的冗余备份，保证系统的不间断运行。
性价比高
在大楼核心采用高性价比的MyPower S4112A和MyPower S4196B路由交换机，最大能提供12个千兆光口，提供全线速三层交换，是组建中小型金融机构办公网络的最佳网络设备。
易维护
MyPower S4112A、MyPower S4196B、MyPower S4126G和MyPower S3026G提供中文和英文双语集成的基于Web配置方式，只需要对网络有简单的了解就可以对它进行方便的配置，同时，它还支持shell、telnet、snmp等多种管理方式。端口支持MDI/MDI-X极性自动识别，无须技术人员考虑网线是直连网线还是交叉。
结束语
无论是金融系统原有的数据网络资源系统、中间业务网络还是OA、金融企业资源系统，在充满竞争和机会的金融市场环境下都需要更加技术先进、开放、安全可靠的网络基础。把这些零散的业务网络有机的整合在一起，这意味着要构筑打造一个高性能、高效、可控、易维护的全新智能信息网络。
面向全新的金融网络，迈普依靠多年来在金融行业积累下的网络建设经验，对省行到网点机构进行详细分析和精心设计，帮助客户提供了面向业务、面向办公自动化网络高性价比的局域网建设综合解决方案，全面满足大集中的背景下产生的业务对网络的众多需求。

⑦ 万兆交换机的特点

万兆端口
万兆端口有两种：最初出现的为端口拓展型，此类型需要在交换机扩展口插拓展板，此类型增加了交换机的成本，根据需要可选择2端口或4端口的类型。由于技术的更新，最新型万兆端口为交换机本身带有24个、44个、42个、48个独立的万兆端口。
强大的转发性能针对于骨干和核心网络大流量数据无阻塞的要求，RHS6226ST/TS提供高达128Gbps交换容量，全线速过滤转发96Mpps；RHS6252TS/ST提供高达176Gbps交换容量，全线速过滤转发131Mpps，保证核心骨干网络的数据无阻塞转发。
强大完善的安全控制策略
系列支持基于端口的用户IP+MAC地址认证、支持MAC地址过滤、支持ARP过滤、支持CPU保护、基于端口的802.1X认证、远程RADIUS，TACACS+认证、端口最大主机数限制，支持基于端口的用户IP+MAC+VLAN ID +用户账号的多元绑定，同时硬件支持IP ACL、MAC ACL、Vlan ACL、支持基于三、四层的ACL功能，有效防御ARP攻击和病毒，提供安全控制效率，保证网络安全策略实时有效。
多种路由协议
支持多种路由协议，如支持静态路由；支持RIP v1/v2、OSPF v2、BGP v4等多种动态路由协议；支持PIM-SM、PIM-DM、DVMRP等多种组播路由协议。充分满足大型网络利用不同路由协议构建网络的需求。
多样化管理性
系列支持丰富的网络管理方式，例如支持Console口管理、支持WEB管理、支持TELNET远程管理，使设备管理更方便，并且支持SSH加密，使得管理更加安全。
全面支持IPv6
基于硬件的IPv6线速处理性能；全面支持各种IPv6协议技术，包括IPv6静态路由，BGP4+、RIPng、OSPFv3等动态路由协议，以及IPv4/IPv6双协议栈、手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6过渡的技术标准，并通过全球IPv6论坛组织的“IPv6 Ready”金牌认证。
全新节能设计，引领低碳通信
遵循IEEE 802.3az（Energy Efficient Ethernet 能效以太网），提供端口低耗电闲置模式，根据线缆长度进行相应输出功率调整，并且支持无连接时端口休眠，大幅度降低功耗。

⑧ 什么是线速度

线速度 是相对于 角速度 而生的概念。
我们平时所接触的速度，基本上都是线速度。故，“线”字 通常省略，只有在讨论到角速度时，才明确之。。。
===================
地球绕太阳的速度约为 每年1圈，即 360度/年 或 2π弧度/年。。。这里的速度是角速度，即 单位时间内移动的角度。。。
而常见的速度，例如车辆的速度，飞机的速度。。等都是线速度了。。。这些速度都是单位时间内的移动线距。。。故可以“线”而言之。。。

⑨ 有没有知道如何通过IP过滤防御DDoS攻击

企业部署有一个可以持续监测并主动过滤受僵尸网络控制IP地址的网关，通过与威胁情报联动，持续更新不良IP地址数据库，就会掌握哪些IP地址已经被僵尸网络所控制或被其他恶意软件入侵。

当来自这些恶意IP地址的流量抵达网关时，该网关能够以高达10GB的线速自动过滤掉恶意流量，防止其到达防火墙，大大提升防火墙和相关安全解决方案的效率。这样将极大减少防火墙等周边保护工具和网络自身的工作负载，将企业遭受攻击的风险降至最低。

在抵御DDoS攻击时，利用这种IP过滤的方式，至少能够将1/3的恶意流量进行过滤，这可为企业网络防护节省出大量的投资成本，并提升网络的整体防御能力。

而且通过过滤、拦截恶意IP地址还可阻止企业网络中那些已遭入侵的设备与黑客的指挥与控制中心进行通讯，防止这些设备被用作其他DDoS攻击的帮凶，也能及时遏制潜在的数据泄露。

⑩ 千兆以太网交换机和100M网传输速率问题求解

这个需要看你的背板带宽，而不是说你的接口速率，比如一块交换板有4个1000M口，那么至少他的背板带宽要有8g的吞吐能力才能够达到所有端口都跑满1000M。
你需要确定你的服务器和交换机是否是1000M的速率，如果你不确定最好用手动方式制定而别用自动协商。另外你还需要确定下你的软件是否有速率的限制，如果这两点都确定没有问题。那么以你目前的测试状态来看，12MB/s已经是他极限吞吐能力了。
DGS1024D这个型号的交换机估计你要查查其真正的背板带宽是支持多少的。

另附给你背板带宽的计算公式：
1）线速的背板带宽
考察交换机上所有端口能提供的总带宽。计算公式为端口数*相应端口速率*2（全双工模式）如果总带宽≤标称背板带宽，那么在背板带宽上是线速的。
2）第二层包转发线速
第二层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法，如果这个速率能≤标称二层包转发速率，那么交换机在做第二层交换的时候可以做到线速。
3）第三层包转发线速
第三层包转发率=千兆端口数量×1.488Mpps+百兆端口数量*0.1488Mpps+其余类型端口数*相应计算方法，如果这个速率能≤标称三层包转发速率，那么交换机在做第三层交换的时候可以做到线速。