四层交换机.ppt

防火墙 主要作用： 对受保护网络或设备实现安全、可控访问。 一、防火墙硬件参数 1、设计架构 AISC：通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中，获得了很高的处理能力，因而明显提升了防火墙的性能。 NP（网络处理器）：NP是专门为网络设备处理网络流量而设计的处理器，其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化，可以高效地完成TCP/IP栈的常用操作，并对网络流量进行快速的并发处理 X86：X86架构采用通用CPU和PCI总线接口，具有很高的灵活性和可扩展性，过去一直是防火墙开发的主要平台。其产品功能主要由软件实现，可以根据用户的实际需要而做相应调整，增加或减少功能模块，产品比较灵活，功能十分丰富。 2、参数 性能（吞吐量）：每秒钟通过防火墙的最大 数据流量，单位bps 并发会话数（并发连接数）：能够同时处理 多少个点对点连接的最大数目，它反映出防 火墙设备对多个连接的访问控制能力和连接 状态跟踪能力 单位是个 每秒新建会话数： 二、与并发连接有关的问题 1、经常听到的有TCP连接、UDP连接和IP连接 关系：TCP与UDP平行。都被IP包含 IP连接类似一条公路。至于路上跑的什么东西，是不管的 TCP连接类似一个快递。将货物通过公路送达目的地。后通过某种方式告诉你货物已经送达。 UDP连接也类似一个工作不负责任的快递将货物通过公路送达目的地后就不管，不反馈任何信息给你。 2、为什么上网人数的多少决定网速的快慢 100Mbps 进过换算后，理论上每秒能传输12.5M大小的数据 1.25G的数据 理论上100秒就可以传输完毕，现实 中是不可能的。 这就涉及到连接数。一个带宽的连接数是有限的。 3、如何计算一条宽带支持多少个连接 包转发率 pps 千兆带宽：1000000000bps/8bit/（64＋8＋12）byte=1,488,095pps 每秒转发1488095个80字节大小的数据包 先清楚：一条完整的ip数据连接里有多大数据量，然后被分解了多少个数据帧 解释为什么要数据帧这个单位，而不是ip包或者tcp、udp包？ 主要功能： 工作模式：网络地址转换，透明模式，路由模式。 服务：支持标准服务（例如：FTP、NetMeeting、GRE），用户自定义服务、服务组。 时间表：根据小时、日、周和月建立一次性或循环时间表，防火墙根据不同的时间表定义安全策略。 防御功能：全面的攻击防御功能，包括DoS、端口扫描、缓冲区溢出、暴力攻击、特洛伊木马等攻击。 病毒防护：基于防火墙访问控制策略的病毒扫描。 地址翻译：提供网络地址翻译（NAT）和端口地址翻译（PAT）,实现IP地址的隐藏，节省IP地址资源。 IP/MAC绑定：阻止来自IP地址欺骗的攻击。 谢 谢 zts@ 0551-2158709 QQ:1973505 内容概要 一、参考模型的简单介绍 二、校园网中一些主要设备的介绍 1、设备的参数 2、感念解释 3、一些数值的计算 1、采取ADSL拔号或者光纤方式接入互联网，接入带宽不低于2M(2M适用不高于5台PC同时上网)。 2、办公场所、教室和主要功能室的计算机通过超五类双绞线连接到交换机。服务器直接与汇聚交换机相连；接入交换机级联到汇聚交换机，再由汇聚交换机与宽带路由器相连。内网带宽100M。 3、服务器1台，满足学校应用需求。 1、采用光纤接入，带宽不低于10M(10M适用不高于20台PC同时上网)。 2、采用超五类线双绞线布线。各场所的计算机连接到接入交换机，楼宇之间使用光纤线路互联，各接入交换机连接到汇聚交换机再通过防火墙接入互联网。服务器连接到防火墙DMZ区域。 3、服务器、交换机等达到当年主流设备标准。 1、采用光纤接入方式接入互联网，带宽不低于50M(50M适用不高于100台PC同时上网)。 2、采用光纤和超五类线综合布线方式。接入交换机用双绞线级联到汇聚交换机，楼宇之间汇聚交换机用光纤上联到核心交换机。服务器与防火墙直连防止来自内外网的安全威胁。内网带宽1000M。 3、UPS与直接供电系统配合使用，UPS电源系统支持时间不少于2小时，输出功率应大于2千瓦（以每服务器500瓦功率计）；防火墙、核心交换机、服务器等设备应该达到当年主流设备标准。 一、参考模型的一些说明 这些模式只是一个参考。给大家一个感性的认识。每个学校的情况各不一样 。一个完整的，适合自己学校特色的方案，是需要实地考察，才能得出来。 一个网络没有好坏之分，只有合理与不合理。当你投入一定的资金后，买回来的 产品利用率可高？同时要看是否适合自己的网络。总之就是将有限的资金用在刀 刃上。 可能会有人提出模式一有问题，缺少