網(wǎng)絡(luò)綜合服務(wù)應(yīng)用解決方案(doc 37頁).doc

百聯(lián)下一代網(wǎng)絡(luò)（NGN）綜合服務(wù)應(yīng)用解決方案項目建議書上海遠(yuǎn)灼經(jīng)貿(mào)有限公司VoIP事業(yè)部2004年6月5日 本文檔包含下列內(nèi)容前言.3網(wǎng)絡(luò)的設(shè)計思路及目標(biāo).4綜合服務(wù)應(yīng)用業(yè)務(wù)定位5第一期工程方案設(shè)計6網(wǎng)絡(luò)的運營管理及計費功能設(shè)計.10主要設(shè)備介紹.201.前言在科技飛速發(fā)展的今天，Internet給我們的工作、生活帶來了革命性的變化，我們時時刻刻都在享受網(wǎng)絡(luò)科技帶來的便利，其中VoIP電話、票務(wù)預(yù)定、數(shù)碼沖印連鎖等就是現(xiàn)代網(wǎng)絡(luò)的典型應(yīng)用。對于商業(yè)連鎖經(jīng)營者來說，這不但能為便利店等連鎖機(jī)構(gòu)帶來巨大的人流量和廣告效益，又能產(chǎn)生巨大的利潤。電信市場的開放導(dǎo)致了電信增值服務(wù)提供商之間的激烈竟?fàn)帲@種竟?fàn)幵谥袊杏艘粋€高速增長的網(wǎng)絡(luò)應(yīng)用市場。幾乎在同一時間，各個提供商在各個城市都開展了虛擬運營服務(wù)平臺的建設(shè)，機(jī)遇出現(xiàn)的同時，挑戰(zhàn)也出現(xiàn)了。幾乎每個提供商，都面臨著寬帶網(wǎng)如何建設(shè)、如何升級、如何運營、如何擴(kuò)展、如何盈利的問題。上海遠(yuǎn)灼經(jīng)貿(mào)有限公司在充分考慮了上海百聯(lián)集團(tuán)現(xiàn)階段需求和現(xiàn)有的網(wǎng)點資源后，堅持以滿足企業(yè)通訊需求和經(jīng)營需求為目的，基于切實可行的系統(tǒng)造價，以先進(jìn)的技術(shù)，豐富的組網(wǎng)手段，提出了百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)解決方案。有關(guān)這一方案的任何問題，歡迎您隨時與遠(yuǎn)灼經(jīng)貿(mào)有限公司VoIP事業(yè)部聯(lián)系。電 話：項 目：技 術(shù)；商 務(wù)：2.網(wǎng)絡(luò)的設(shè)計思路及目標(biāo)百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)絡(luò)的建設(shè)目標(biāo). 除了提供全市一個綜合業(yè)務(wù)信息平臺外，將建設(shè)成一個覆蓋全市各經(jīng)營網(wǎng)點，為廣泛用戶提供多項綜合信息服務(wù)，VoIP語音、視頻服務(wù)和票務(wù)預(yù)定、數(shù)碼沖印等服務(wù)的信息平臺。 最主要的目標(biāo)是配合配合現(xiàn)有網(wǎng)點的發(fā)展，搶占新興業(yè)務(wù)增長點，開辟一個嶄新的數(shù)據(jù)和信息服務(wù)市場。因此，整個系統(tǒng)需能夠承載多種服務(wù)類型、靈活的用戶接口和從窄帶到寬帶的廣譜的接入帶寬，同時利用現(xiàn)有的寬帶接入、現(xiàn)有設(shè)備和百聯(lián)特有優(yōu)勢，通過高速的INTERNET接入和適當(dāng)?shù)亻_發(fā)符合國情的本地服務(wù)為進(jìn)入通訊服務(wù)市場的切入點，形成經(jīng)營特色和造就市場影響，并逐步開展多種通訊類型的綜合服務(wù)，以良好的性能價格比和多種業(yè)務(wù)綜合為特點。另外，從一個企業(yè)應(yīng)用網(wǎng)的角度來看，它應(yīng)該具有以下幾個特性：足夠的帶寬和良好的升級能力；具有承載多種服務(wù)類型的能力；具有良好的投資漸進(jìn)策略，在網(wǎng)絡(luò)的有效服務(wù)生存周期內(nèi)，具有較高的投資回報能力；具有高可靠性。網(wǎng)絡(luò)的接入層應(yīng)該具有高度的靈活性、易用性，提供多種服務(wù)接入能力。從網(wǎng)絡(luò)的管理層來看，網(wǎng)絡(luò)應(yīng)具備完善的控制能力和網(wǎng)絡(luò)安全性，并提供靈活的計費方式；基于策略的網(wǎng)絡(luò)管理和基于物理層、鏈路層和網(wǎng)絡(luò)層的性能測量和故障監(jiān)控，并提供遠(yuǎn)程配置和故障排除能力。3百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)業(yè)務(wù)定位g 在集團(tuán)內(nèi)部實現(xiàn)點對點零話費解決方案g 在集團(tuán)內(nèi)部視頻電話及可視電話會議g 為廣大用戶提供便民VoIP公話服務(wù)g 電信卡類業(yè)務(wù)聯(lián)網(wǎng)銷售平臺g 各類票務(wù)代理服務(wù)g 網(wǎng)絡(luò)數(shù)碼沖印服務(wù)4百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)工程方案設(shè)計我們在分析了百聯(lián)的實際情況后經(jīng)研究認(rèn)為百聯(lián)集團(tuán)雖然已在很多地理區(qū)域內(nèi)有網(wǎng)點資源和寬帶接入優(yōu)勢。但以前對社會各界未開展過VoIP電話等數(shù)據(jù)網(wǎng)絡(luò)業(yè)務(wù)。也就是說，從內(nèi)部環(huán)境來看，沒有數(shù)據(jù)運維的經(jīng)驗和市場運營策略積累。不管是網(wǎng)絡(luò)管理人員還是系統(tǒng)運行維護(hù)人員都急需一個起步級的平臺來在實驗中培訓(xùn)和學(xué)習(xí)。同時，只有真正發(fā)展部分客戶，才能逐步的進(jìn)入到網(wǎng)絡(luò)應(yīng)用的市場中去，社會各界才會逐漸認(rèn)同網(wǎng)絡(luò)應(yīng)用服務(wù)提供商的地位。所以，我們不贊同其他集成商一動手就投資一千萬甚至幾千萬來建一個很高級的平臺與其他同類公司一爭高下的做法。我們充分考慮了百聯(lián)集團(tuán)的現(xiàn)階段需求和今后的平滑升級因素后，堅持以滿足應(yīng)用需求為目的，基于切實可行的系統(tǒng)造價，豐富的組網(wǎng)手段，所設(shè)計的百聯(lián)綜合服務(wù)應(yīng)用網(wǎng)是一個起步門檻很低而又可平滑升級，可持續(xù)發(fā)展的應(yīng)用網(wǎng)絡(luò)。一期工程的拓補(bǔ)結(jié)構(gòu)規(guī)劃如下所示：如上圖所示：此方案公司總部選用一臺HP服務(wù)器做中心呼叫控制器（CMC），構(gòu)成網(wǎng)絡(luò)的核心。配置一臺HP服務(wù)器為VoIP呼叫計費服務(wù)器。配置兩臺HP內(nèi)容服務(wù)器為在線卡類銷售、票務(wù)代理、數(shù)碼沖印業(yè)務(wù)服務(wù)器。配置一臺路由器來聯(lián)接外部的internet出口，可同時設(shè)置電信、網(wǎng)通等多個出口。配置一臺硬件防火墻服務(wù)器來保護(hù)域內(nèi)的信息資料不受外來攻擊。一期工程所規(guī)劃的目標(biāo)是；A.使用世紀(jì)網(wǎng)通cnc200語音網(wǎng)關(guān)，將個各超市終端與總部聯(lián)系起來，實現(xiàn)點對點零話費。B.通過中心呼叫控制器（CMC）統(tǒng)一接入中國電信，各超市終端實現(xiàn)VoIP公話經(jīng)營。C.建成的網(wǎng)絡(luò)已帶有網(wǎng)管控制和認(rèn)證計費系統(tǒng)（Smartbilling）。D. 建成電信卡類、票務(wù)代理和數(shù)碼沖印網(wǎng)絡(luò)平臺。E.一期工程的總造價將控制在150-200萬元之內(nèi)。系統(tǒng)自身可生成很多種在其它廣電寬帶網(wǎng)中已成功運營的市場策 略，以彌補(bǔ)百聯(lián)網(wǎng)絡(luò)應(yīng)用經(jīng)營經(jīng)驗不足。該方案的起步投資小，系統(tǒng)的實際容量為注冊用戶5000戶，2000個并發(fā)用戶，最大峰值帶寬為75-95Mbps，采用穿透三層的WEB認(rèn)證方式。用戶端一次性安裝VoIP電話計費客戶端軟件即可，軟件操作簡單方便。設(shè)備及軟件清單；序號名 稱型 號描 述數(shù) 量1路由器-Cisco 3600冗余LAN接口 LAN toLAN12防火墻DCFW 18003個10/100Base-TX LAN口，包過濾，NAT13內(nèi)容服務(wù)器HPP4 /2.4G/雙CPU/512M/120G熱拔插/RAID卡24數(shù)據(jù)庫服務(wù)器PC SERVERP4 2.4MHz/512MHz內(nèi)存/3*120GB SCSI硬盤/RAID卡/Win2000 Advance Server/15中心呼叫控制器HP硬件+世紀(jì)網(wǎng)通CMC注冊用戶60000個，并發(fā)10000個16接入服務(wù)器D2133 BRAS-20003FastEthernet(Internal,External&Management) Port, Upto 2000 Online Users, RADUIS/LDAP Supported17企業(yè)級運營管理計費軟件CMC SmartbillingISP Operation Billing & ManagementSystem, BasedonORACLE Platform, w/ 1 Adminitrator, 4,000 User, 5 Account & 10 Operator License18PC工作站聯(lián)想/天肌P4 2.4G/128M/40G/100M網(wǎng)卡19VoIP語音網(wǎng)關(guān)深圳世紀(jì)網(wǎng)通CNG300110數(shù)據(jù)庫Oralce 8i5User license15網(wǎng)絡(luò)的運營管理及計費功能設(shè)計寬帶數(shù)據(jù)接入服務(wù)對廣電網(wǎng)絡(luò)而言是一門新型業(yè)務(wù)，很多廣電網(wǎng)絡(luò)公司往往在骨干網(wǎng)上投入巨資興建網(wǎng)絡(luò)。卻常常忽視運營管理平臺的建設(shè)，很多地方建成的網(wǎng)絡(luò)是毫無管理功能的網(wǎng)絡(luò)，只能對用戶實行無限制的簡單包月制，導(dǎo)致有限的數(shù)據(jù)資源被無限制的任意使用。而數(shù)據(jù)業(yè)務(wù)與電視節(jié)目不同的是電視節(jié)目不會因用戶觀看時間長短而增加成本。但是數(shù)據(jù)業(yè)務(wù)的internet資源是要按使用量的多少來支付成本的。所以一個網(wǎng)絡(luò)有無流量.帶寬控制及計費功能將直接影響這個網(wǎng)絡(luò)的贏利水平。51計費的重要性52運營計費系統(tǒng)的技術(shù)選型53邵陽市寬帶城域網(wǎng)計費服務(wù)系統(tǒng)解決方案6主要設(shè)備介紹附件一 中心呼叫控制器（CMC） 一、概述CMC呼叫管理控制中心是部署VOIP網(wǎng)絡(luò)的綜合管理控制平臺。為電信運營商、虛擬運營商、話費代理開展VOIP網(wǎng)絡(luò)電話業(yè)務(wù)提供強(qiáng)大的后臺支撐，是企業(yè)行業(yè)管理維護(hù)IP電話網(wǎng)絡(luò)及各級部門間統(tǒng)計結(jié)算的最佳選擇。二、功能模塊包括會話控制器（含GK功能）、EasyTrans?“易穿”媒體控制器、網(wǎng)絡(luò)管理中心三部分組成。支持世紀(jì)網(wǎng)通嵌入式系統(tǒng)專用硬件平臺及WINDOWSLINUX平臺三種版本三、系統(tǒng)功能特點會話控制器（含傳統(tǒng)GK功能）呼叫認(rèn)證授權(quán)，本地和遠(yuǎn)程認(rèn)證。靈活的地址翻譯，及主被號碼替換。支持二級/平行網(wǎng)守，支持直連方式和媒體/信令路由方式。支持標(biāo)準(zhǔn)H.323V3/4和SIP協(xié)議，以及不同協(xié)議相互識別、解析、轉(zhuǎn)換。分用戶域管理。可制定多種呼叫策略（費率、MOS值、時段、容量、接通率等）支持H.235安全機(jī)制，惡意RTP包頭檢測識別，防網(wǎng)絡(luò)攻擊。語音流量負(fù)載均衡 EasyTrans“易穿”媒體控制器l 為終端設(shè)備建立媒體和信令的專用傳輸隧道，可穿透多級防火墻/NAT設(shè)備和多網(wǎng)絡(luò)邊界。l 大容量媒體流幀級轉(zhuǎn)發(fā)l 網(wǎng)絡(luò)和語音QoS保障網(wǎng)絡(luò)管理全網(wǎng)設(shè)備輪詢監(jiān)視，及時通知被管設(shè)備語音端口和網(wǎng)絡(luò)端口的狀態(tài)出現(xiàn)宕機(jī)及其它故障時向控制臺報警支持防火墻/私網(wǎng)內(nèi)設(shè)備網(wǎng)管圖形化配置和控制終端設(shè)備設(shè)備軟件及其配置文件的圖形化升級和群升系統(tǒng)自含會話呼叫的統(tǒng)計和日志系統(tǒng)使用日志四、系統(tǒng)性能最大呼叫承載能力5000路最大可管理終端設(shè)備容量5000最大并發(fā)呼叫數(shù) 5000路 附件二 Smartbilling計費系統(tǒng)附件三 CNG300/800語音網(wǎng)關(guān)指標(biāo)名稱/型號CNG300CNG800/8CNG800/16語音接口數(shù)目2-4路4-8路8-16路VOIP通道數(shù)2-4路4-8路8-16路音頻接口2FXS/FXO，4FXS/FXO，2FXS+2FXO，1FXS+1FXO，8FXS，8FXO，4FXS+4FXO16FXS，16FXO，8FXS+8FXO以太網(wǎng)接口（RJ45）2個10/100M Base-T 串行設(shè)置接口（RJ45）一個RS232接口VOIP協(xié)議標(biāo)準(zhǔn)H323/V4（RAS、Q.931、H.235、H.450)、RTP/RTCP； SIP*語音編碼G.723.1 (5.3K 6.4K b/S)G.729 A/B(8Kb/s)G.711 A/律(64Kb/S)G.Netcodes (2Kb/S)語音質(zhì)量保障技術(shù)支持語音優(yōu)先標(biāo)記(TOS)；動態(tài)抖動緩沖區(qū)（JIFFER BUFFER）； 語音偵測（VAD）及舒適背景噪聲生成（CNG）； Diffserv網(wǎng)絡(luò)協(xié)議HTTP、BOOTP、FTP、TFTP、IEEE 802.1Q、IEEE 802.1X、SNMP、Diffserv內(nèi)嵌PPPOE及NAT功能支持支持DHCP自動獲取IP地址支持功能特性內(nèi)嵌“易穿”穿透代理模塊 支持私網(wǎng) / 防火墻下設(shè)備的遠(yuǎn)程網(wǎng)管(網(wǎng)管穿透) 支持私網(wǎng) / 防火墻下語音穿透 支持電話按鍵配置 支持遠(yuǎn)程升級軟件功能 來電顯示/來電識別（Call ID識別) 系統(tǒng)語音信箱、用戶自定義語音提示功能 支持DNS動態(tài)網(wǎng)守地址尋址 回音消除G.168 (16-64ms)互通特性CISCO、Notel、Lucent、華為等符合ITU標(biāo)準(zhǔn)VOIP系統(tǒng)工作溫度10 705% 95%非凝結(jié)工作濕度工作電源外接12V，1.5A內(nèi)置開關(guān)電源100V-240V AC；50-60HZ結(jié)構(gòu)尺寸寬*高*深 16CM*4CM*21CM標(biāo)準(zhǔn)19英寸 1U高； 寬*高*深 44CM*4.44CM*30CM重 量1KG約4KG附件四 方正防火墻目前，國內(nèi)所采用的防火墻大都是國外的產(chǎn)品，留有安全方面的隱患，而網(wǎng)絡(luò)安全又是關(guān)系到國家安全的大事，基于安全方面的考慮，決定了我們中國人只能使用具有自主版權(quán)的防火墻產(chǎn)品。建議邵陽市寬帶城域網(wǎng)使用方正防火墻。4.1.產(chǎn)品概述FireGate防火墻是SHARKS中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對性很強(qiáng)，它已成為實現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。FireGate防火墻是通過對國外防火墻產(chǎn)品的綜合分析，針對我們國家的具體應(yīng)用環(huán)境，結(jié)合國內(nèi)外防火墻領(lǐng)域里的最新發(fā)展，提出的一種具有強(qiáng)大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統(tǒng)。FireGate不僅僅是一個包過濾的防火墻，還包括了大量的實用模塊，可以為用戶提供多方面的服務(wù)。FireGate防火墻所包含的模塊示意圖如下：4.2.系統(tǒng)特點一體化的硬件設(shè)計FireGate采用了一體化的硬件設(shè)計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。雙機(jī)熱備份通過雙機(jī)熱備份，本系統(tǒng)提供可靠的容錯/熱待機(jī)功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因為某些原因不能正常運作，備份服務(wù)器可以在12秒鐘內(nèi)取代主服務(wù)器運作，充分保證整個網(wǎng)絡(luò)系統(tǒng)運作的穩(wěn)定性。完善的訪問控制FireGate符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級權(quán)限機(jī)制，分為管理員，策略員和審計員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機(jī)制。這樣他們共同地負(fù)責(zé)起一個安全的管理平臺。多種工作模式FireGate防火墻可以工作在網(wǎng)橋和路由兩種模式下，這樣可以方便用戶使用。使用網(wǎng)橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。方正防火墻特點防火墻技術(shù)的核心思想是在不安全的網(wǎng)間網(wǎng)環(huán)境中構(gòu)造一個相對安全的子網(wǎng)環(huán)境。目前防火墻技術(shù)的實現(xiàn)主要有兩種手段：一種是基于包過濾技術(shù)(Packetfiltering)；一種是基于代理技術(shù)(Proxy)。無論是包過濾、還是應(yīng)用代理，對系統(tǒng)的安全、基于網(wǎng)絡(luò)訪問的安全研究較多，但對網(wǎng)絡(luò)上流動的信息內(nèi)容本身的安全處理較少。而由于我們國家的特殊需求，需要對網(wǎng)絡(luò)上的信息安全進(jìn)行分析，并加以過濾和控制。因此從我國實際的應(yīng)用背景出發(fā)，不僅要求防火墻產(chǎn)品實現(xiàn)傳統(tǒng)防火墻的技術(shù)，同時還要求對網(wǎng)絡(luò)信息的安全進(jìn)行分析和控制。FireGate防火墻主要有以下特點：工作于透明橋結(jié)構(gòu)之上，實現(xiàn)于數(shù)據(jù)鏈路層，無須IP地址。實現(xiàn)了IP地址與MAC地址綁定的功能，對IP盜用進(jìn)行了有效的控制。多種手段防范電子欺騙；提供界面友好的控制平臺，實現(xiàn)對防火墻安全策略的制定、訪問的記錄分析、狀態(tài)的監(jiān)控以及其它對防火墻的控制功能；信息的記錄、分析模塊實現(xiàn)直觀的用戶訪問以及網(wǎng)上活動的實時監(jiān)控。提供各種工具，通過對訪問記錄及信息的分析、安全審計，發(fā)現(xiàn)可疑的連接，及時彌補(bǔ)網(wǎng)絡(luò)系統(tǒng)的漏洞或進(jìn)行責(zé)任追究。分布式模型設(shè)計使得在某一主機(jī)上運行的管理模塊可以管理多臺監(jiān)控主機(jī)的運行。完全保留以太網(wǎng)的高速度，對網(wǎng)絡(luò)性能影響極小。4.4.FireGate防火墻優(yōu)勢.4.4.1.多種工作模式FireGate防火墻可以工作在網(wǎng)橋和路由兩種模式下：A：網(wǎng)橋模式：3個端口構(gòu)成一個以太網(wǎng)交換機(jī)，防火墻本身沒有IP地址，在IP層透明?？梢詫⑷我馊齻€物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在交換模式時，內(nèi)網(wǎng)、DMZ區(qū)和路由器的內(nèi)部端口構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)與設(shè)備的網(wǎng)絡(luò)設(shè)置。B： 路由模式：防火墻本身構(gòu)成3個網(wǎng)絡(luò)間的路由器，3個界面分別具有不同的IP地址。三個網(wǎng)絡(luò)中的主機(jī)通過該路由進(jìn)行通信。當(dāng)防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，內(nèi)網(wǎng)和DMZ都可以使用保留地址，內(nèi)網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對內(nèi)網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務(wù)。在沒有安裝FireGate防火墻的時候典型網(wǎng)絡(luò)結(jié)構(gòu)圖如下:在安裝了FireGate防火墻的時候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:.包過濾防火墻FireGate包過濾的功能是對指定IP包進(jìn)行包過濾，并且按照設(shè)定策略對IP包進(jìn)行統(tǒng)計和日志記錄，主要根據(jù)IP包的如下信息進(jìn)行過濾：l 源IP地址l 目的IP地址l 協(xié)議類型（IP、ICMP、TCP、UDP）l 源TCP/UDP端口l 目的TCP/UDP端口l ICMP報文類型域和代碼域l 碎片包l 其它標(biāo)志位，如SYN，ACK位.高效的過濾有些防火墻在安裝上以后對WEB服務(wù)器的吞吐能力影響很大，造成性能的降低。由于FireGate防火墻采用了3I（Intelligent IP Identifying）技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此FireGate防火墻不會對性能造成任何影響。FireGate防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到200,000個以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個左右。.碎片處理功能由于很多系統(tǒng)平臺，包括一些路由器對IP碎片的處理存在問題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，F(xiàn)ireGate防火墻能夠識別出IP碎片并且進(jìn)行控制，這樣一來通過禁止IP碎片通過FireGate，防止了這樣的問題的產(chǎn)生。.防SYN Flood攻擊一些TCP/IP棧的實現(xiàn)只能等待從有限數(shù)量的計算機(jī)發(fā)來的ACK消息，因為他們只有有限的內(nèi)存緩沖區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時。典型的就是Syn Flood攻擊,通過大量的虛假的Syn包使服務(wù)器速度變慢，甚至是死機(jī)。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織Syn Flood攻擊，這種方法可以在一定意義上阻止Syn Flood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。1：沒有安裝FireGate2：安裝FireGateFireGate防火墻使用了兩種方式來反Syn Flood攻擊，一種方法就是通過設(shè)置單位時間內(nèi)的SYN包數(shù)量來控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位。避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。.強(qiáng)大的狀態(tài)檢測功能FireGate可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時還對任何網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而FireGate對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還極大地提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。4.4.輕型/復(fù)雜IDS(入侵檢測系統(tǒng))4.4.1.反端口掃描一般黑客如果要對一個網(wǎng)站發(fā)動攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后做出相應(yīng)的入侵方式。 FireGate入侵檢測系統(tǒng)能夠在黑客掃描網(wǎng)站的時候就能檢測到并報警，這樣就能提前將黑客拒之于門外。FireGate入侵檢測系統(tǒng)在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。FireGate入侵檢測系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP、UDP端口的連接。 可以對全部端口同時進(jìn)行監(jiān)控，同時也可以忽略指定的端口。這樣就能滿足不同的需求方式。4.4.2.可以防范1500余種攻擊方式1. 檢測多種DoS攻擊DoS(拒絕服務(wù)攻擊) 包括很多不同的方式。在這些方式中，三種最流行的方式為使服務(wù)失效、獨占或盜用資源以及刪除數(shù)據(jù)。最常見的就是服務(wù)失效方式，通過DoS攻擊可以使一個服務(wù)器停止服務(wù)，從而造成巨大的損失。FireGate入侵檢測系統(tǒng)能夠檢測包括IGMP攻擊、TearDrop、LAND、WinNuke等多種DoS攻擊。從而使被托管的服務(wù)器處于安全的保護(hù)之中。和其它一樣， FireGate入侵檢測系統(tǒng)一旦發(fā)現(xiàn)有DoS攻擊，立即在線報警，記錄日志。2. 檢測多種DDoS攻擊Yahoo、CNN等著名網(wǎng)站被黑客攻擊使得防黑客成了大家關(guān)注的熱點。DDoS(分布式拒絕服務(wù))是本次攻擊的主要手段。DDoS 攻擊的原理是入侵者控制了一些節(jié)點，將它們設(shè)計成控制點，這些控制點控制了Internet大量的主機(jī)，將它們設(shè)計成攻擊點，攻擊點中裝載了攻擊程序，正是由這些攻擊點計算機(jī)對攻擊目標(biāo)發(fā)動的攻擊。這種結(jié)構(gòu)使入侵者遠(yuǎn)離攻擊的目標(biāo)，隱藏了入侵者的具體位置。FireGate入侵檢測系統(tǒng)能夠檢測包括TFN、Trin00、shaft synflood等多種DDoS工具的攻擊。而這些攻擊都是進(jìn)行DDoS攻擊的主要工具。3. 檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序后門和木馬程序如果存在于網(wǎng)絡(luò)中，會造成嚴(yán)重的后果，有些后門程序?qū)е鹿芾韱T的密碼被盜取，因此檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序成為入侵檢測的一個重要的組成部分。FireGate入侵檢測系統(tǒng)能夠檢測網(wǎng)絡(luò)中是否存在流行的BO、BO2000、NetSphere、DeepThroat、WinCrash、BackConstruction等多種后門或木馬程序。4. 檢測多種針對Finger服務(wù)的攻擊Finger服務(wù)于查詢用戶的信息，包括網(wǎng)上成員的真實姓名、用戶名、最近的登錄時間、地點等，也可以用來顯示當(dāng)前登錄在機(jī)器上的所有用戶名，這對于入侵者來說是無價之寶，因為它能告訴他在本機(jī)上的有效的登錄名。FireGate入侵檢測系統(tǒng)能夠檢測針對Finger服務(wù)攻擊的如Finger Bomb、Finger search、FINGER-ProbeNull等掃描和攻擊。5. 檢測多種針對FTP服務(wù)的攻擊FireGate入侵檢測系統(tǒng)能夠檢測針對不同F(xiàn)TP server，包括AIX FTPD、WuFTP、ProFTPD、Serv-U FTPD、NCFTPD、MsFTPD發(fā)起的FTP-site-exec、 FTP-user-root、Buffer Overflow等多種嘗試和攻擊行為。6. 檢測基于NetBIOS的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)贜etBIOS的如NETBIOS-SMB-IPC$access、NETBIOS-SMB-ADMIN$access、NETBIOS-SNMP-NT-UserList等多種嘗試和攻擊行為進(jìn)行檢測。7. 檢測緩沖區(qū)溢出類型攻擊FireGate入侵檢測系統(tǒng)能夠?qū)VERFLOW-x86-solaris-nlps、OVERFLOW-x86-windows-MailMax、OVERFLOW-x86-linux-ntalkd、OVERFLOW-DNS-sparc等近百種堆棧溢出攻擊進(jìn)行檢測。8. 檢測基于RPC的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)赗PC的如portmap-request-amountd、 portmap-request-bootparam、RPC Info Query、portmap-request-ypserv、RPC ttdbserv Solaris Overflow等多種嘗試和攻擊行為進(jìn)行檢測。9. 檢測基于SMTP的攻擊FireGate入侵檢測系統(tǒng)能夠?qū)︶槍Χ喾NSMTP server，包括Sendmail、Exchange Server、Qmail等所發(fā)起的SMTP-expn-root、SMTP Relaying Denied等試探和攻擊進(jìn)行檢測。10. 檢測基于Telnet的攻擊FireGate入侵檢測系統(tǒng)能針對基于Telnet的包括Attempted SU from wrong group、set ld_preload、set ld_library_path、Login Incorrect等多種嘗試和攻擊。11. 檢測網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎xFireGate入侵檢測系統(tǒng)能在計算機(jī)病毒和蠕蟲傳輸?shù)剿拗鳈C(jī)之前檢測出來，包括流行的Happy99、IloveU、PrettyPark等百種蠕蟲和病毒，防患于未然。12. 檢測CGI攻擊FireGate入侵檢測系統(tǒng)能檢測出包括針對PHF、NPH、pfdisplay.cgi等已知上百種的有安全隱患的CGI進(jìn)行的探測和攻擊方式。13. 檢測針對WEB Server的FrontPage擴(kuò)展進(jìn)行的攻擊14. 檢測針對WEB Server的ColdFusion擴(kuò)展進(jìn)行的攻擊15. 檢測針對 MicroSoft IIS server進(jìn)行的攻擊FireGate入侵檢測系統(tǒng)能檢測View Source exploit、IIS-exec-srch、IIS-asp-srch等已知的漏洞和弱點的攻擊行為。16. 檢測利用ICMP進(jìn)行的掃描和攻擊。FireGate入侵檢測系統(tǒng)能對利用這種方式進(jìn)行的網(wǎng)絡(luò)拓?fù)涮綔y所產(chǎn)生的PING-ICMP Destination Unreachable、PING-ICMP Time Exceeded等ICMP包進(jìn)行檢測。17. 檢測利用Traceroute對網(wǎng)絡(luò)的探測18. 檢測ActiveX，JaveApplet的傳輸FireGate入侵檢測系統(tǒng)能通過匹配網(wǎng)絡(luò)包內(nèi)容，可以檢測特定的ActiveX、JaveApplet等程序在網(wǎng)絡(luò)上的傳輸。20 檢測對其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊4.4.3在線升級和實時報警入侵檢測系統(tǒng)的庫文件需要不斷的更新，因此FireGate提供了非常方便的升級接口，可以通過我們的網(wǎng)站進(jìn)行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。報警是否及時是衡量一個入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時候就能夠做出響應(yīng)，那么管理員會有足夠的時間進(jìn)行防護(hù)。 FireGate的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應(yīng)，通過Email或手機(jī)通知管理員。同時會啟動自動防范系統(tǒng)進(jìn)行防范。4.4.4.入侵檢測和防火墻的互動通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動防范及用戶自定義安全響應(yīng)策略等。系統(tǒng)支持“DMZ到外部網(wǎng)”和“內(nèi)部網(wǎng)到外部網(wǎng)”的地址轉(zhuǎn)換和反向地址轉(zhuǎn)換，也就是說內(nèi)部網(wǎng)主機(jī)和DMZ區(qū)的主機(jī)都可以采用保留地址，從而減少注冊IP地址的使用。通過地址轉(zhuǎn)換轉(zhuǎn)換可以更有效地利用IP地址資源，并且提供更好的安全性。4.5.代理服務(wù)器功能對于WEB用戶來說，F(xiàn)ireGate是一個高性能的代理緩存服務(wù)器，F(xiàn)ireGate支持FTP、gopher和HTTP協(xié)議。和一般的代理緩存軟件不同，F(xiàn)ireGate用一個單獨的、非模塊化的、I/O驅(qū)動的進(jìn)程來處理所有的客戶端請求。FireGate將數(shù)據(jù)元緩存在內(nèi)存中，同時也緩存DNS查詢的結(jié)果。除此之外，F(xiàn)ireGate還支持非模塊化的DNS查詢，對失敗的請求進(jìn)行消極緩存。FireGate支持SSL，支持訪問控制。用戶可以通過編輯“黑名單”和“白名單”設(shè)置“禁止用戶訪問的站點”和“僅允許訪問的站點”，同時還可以建立URL級的訪問限制，通過建立禁止用戶訪問的URL列表，F(xiàn)ireGate防火墻可以對該列表進(jìn)行匹配，禁止對列表中的URL的訪問。違反限制規(guī)則的訪問企圖將被記錄到系統(tǒng)日志中。FireGate防火墻提供的URL級的屏蔽功能，可以使管理員屏蔽某些URL，如色情、反動的主頁等。另外通過對內(nèi)部網(wǎng)的WWW服務(wù)器的某些URL屏蔽，可以消除服務(wù)器本身的安全漏洞，從而對WWW服務(wù)器進(jìn)行保護(hù)。4.6.雙機(jī)熱備FireGate防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對等的備份機(jī)，并且使備份機(jī)自動進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時啟動，防止網(wǎng)絡(luò)中斷事故的發(fā)生。 其智能識別技術(shù)甚至可以支持多于兩臺以上的FireGate在網(wǎng)絡(luò)上互為備份，適用于對可靠性要求極高的場合。4.7.強(qiáng)大的審計功能審計功能是FireGate非常強(qiáng)大的一個部分，目前國內(nèi)防火墻的審計功能都非常不完善，F(xiàn)ireGate提供了大量的審計內(nèi)容和對審計內(nèi)容的查詢功能，由于過于復(fù)雜的日志比較難以理解，我們將日志記錄分成了若干部分，而且每一個部分都是可以單獨進(jìn)行查詢和管理的，這樣一來就可以使用戶對防火墻的情況有一個非常透徹的了解。FireGate中審計功能有著非常完善的權(quán)限管理，有專門的審計員來對審計內(nèi)容進(jìn)行管理，在審計中又分成了若干級別的權(quán)限。這樣可以方便管理員管理審計內(nèi)容。4.8.基于PKI的高級授權(quán)認(rèn)證PKI（Public Key Infrastructure）是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)（CA/RA）是PKI不可缺的組成部分。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開 PKI技術(shù)的支持。網(wǎng)絡(luò)應(yīng)用中的機(jī)密性、真實性、完整性、不可否認(rèn)性和存取控制等安全需 求只有PKI技術(shù)才能滿足。PKI在國外已經(jīng)開始實際應(yīng)用。在美國，隨著電 子商務(wù)的日益興旺，電子簽名、數(shù)字證書已經(jīng)在實際中得到了一定程度的應(yīng)用，就連某些國家都已經(jīng)開始接受電子簽名的檔案。FireGate的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。有些防火墻的認(rèn)證機(jī)制采用OTP（Once Time Password），或者采用了靜態(tài)口令機(jī)制。比如說，靜態(tài)密碼是用戶和機(jī)器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個口令，就說明用戶是機(jī)器所認(rèn)為的那個人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶和機(jī)器之間必須共知一條通行短語，而這通行短語對外界是完全保密的。和靜態(tài)口令不同的是，這個通行短語并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。但是使用起來沒有使用證書認(rèn)證方便。因此FireGate基于PKI的高級授權(quán)認(rèn)證機(jī)制在技術(shù)上面非常的先進(jìn)，超越了大部分的防火墻產(chǎn)品。4.9.集中管理根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無法進(jìn)行集中管理，這些都造成了安全策略的失效。而FireGate防火墻采用基于Windows GUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機(jī)對多臺FireGate進(jìn)行集中式的管理。4.10.實時控制和日志轉(zhuǎn)存管理員可以通過控制界面對防火墻進(jìn)行實時的控制和調(diào)整，可以修改其策略和工作方式。管理員可以將日志保存起來，供以后分析使用，由于FireGate每天都會記錄大量的日志信息，而且一些日志記錄是非常有用的信息，因此FireGate的日志監(jiān)視系統(tǒng)會將服務(wù)器上面的日志下載到管理員的機(jī)器上面，管理員可以對它進(jìn)行編輯和保存。4.11.靈活的配置方式4.11.1.可視化配置FireGate的配置都是在Windows下面的圖形界面中進(jìn)行的，因此配置起來比較方便，對于用戶而言，無需了解過多的安全知識，就可以配置好FireGate，而且讓之工作起來。4.11.2.預(yù)置包過濾規(guī)則集預(yù)置的包過濾規(guī)則集是對常見的防火墻應(yīng)用進(jìn)行總結(jié)歸納出的防火墻規(guī)則模板，每個預(yù)置的包過濾規(guī)則集都對應(yīng)了一種比較典型的網(wǎng)絡(luò)布置情況。對于常規(guī)的應(yīng)用，用戶可以直接調(diào)用預(yù)置的包過濾規(guī)則集來完成，大大簡化了用戶對防火墻的設(shè)置工作。由于FireGate防火墻是一種包過濾類型的防火墻，因此通過規(guī)則集來進(jìn)行包的檢查，而不同的網(wǎng)絡(luò)布置情況決定了不同的包過濾規(guī)則集，因此FireGate防火墻預(yù)置了對應(yīng)多種網(wǎng)絡(luò)布置情況的包過濾規(guī)則供用戶選擇使用。FireGate防火墻可以靈活地滿足不同的安全需要，為企業(yè)，托管服務(wù)器等提供一個不同層次和不同方位的安全保障。而且完善的審計記錄和流量統(tǒng)計信息為用戶提供了大量有用的記錄和信息。FireGate典型應(yīng)用于IDC、金融、證券需要重點保護(hù)的計算機(jī)網(wǎng)絡(luò)，大、中、小型企業(yè)的計算機(jī)網(wǎng)絡(luò)以及ICP、ISP的托管主機(jī)群。附件五 Cisco 3600路由器Cisco 3600是世界第一個真正的多功能應(yīng)用支持平臺，在單獨一個服務(wù)器上廣泛支持分支機(jī)構(gòu)/企業(yè)撥號訪問應(yīng)用，LAN到LAN或者路由選擇應(yīng)用以及多服務(wù)應(yīng)用。它提供前所未有的模塊化選項，可使用多種不同的網(wǎng) 絡(luò)模塊，它還具有強(qiáng)大的靈活性，可針對客戶的不同應(yīng)用環(huán)境，提供各種配置選項，而且最重要的是，它具有支持所有這些應(yīng)用的優(yōu)質(zhì)運行性能。-作為一個多功能解決方案，你可以依靠Cisco 3600平臺的出眾性能、安全性以及靈活性來滿足你未來多年的需要。與具有綜合管理、配置以及單供應(yīng)商支持的一臺多功能設(shè)備相比，管理、配置以及支持多臺設(shè)備。 此外，Cisco IOSTM軟件包含許多可提供安全性、可靠性以及WAN優(yōu)化的功能，在任何應(yīng)用環(huán)境中，都可以使用Cisco IOSA功能來控制不斷上升的WAN費用。Cisco IOS軟件支持在幀中繼、專線以及撥號網(wǎng)絡(luò)上的數(shù)據(jù)壓縮。Cisco IOS軟件擁有廣泛的多媒體功能，可以支持諸如在WAN上的電話會議那樣的新型應(yīng)用。資源預(yù)保留協(xié)議（RSVP）、非協(xié)議依賴性的多點廣播（PIM）以及加權(quán)公平排隊（WF）等功能可以保證一貫的服務(wù)質(zhì)量以及較高的應(yīng)用可用性。A.Cisco 3600提供的多種功能 Cisco 3600的目標(biāo)是滿足不斷發(fā)展的需要。Cisco 3600在一個模塊化的機(jī)箱中有不同的模塊選擇可以最大限度地保護(hù)用戶投資，其性能可以處理上述不同的需要，而且還有能力滿足將來的發(fā)展需求。例如，作為一個ISDN連接解決方案，配有集成數(shù)字調(diào)制解調(diào)器的Cisco 3600ISDN PRI連接服務(wù)器非常適合那些機(jī)架空間有限的機(jī)構(gòu)。Cisco 3600配有冗余LAN接口，包括提供數(shù)據(jù)回拖到聚合點，同時，它的冗余LAN接口，包括提供快速以太網(wǎng)以及令牌網(wǎng)的功能，可以靈活地置于各種不同的LAN環(huán)境中。B.Cisco 3600提供多協(xié)議撥號連接成功的遠(yuǎn)程連接意味著能夠幾次透明地連接到任何地點的用戶，同時可支持任何協(xié)議。遠(yuǎn)程和移動用戶的不同需要使ISDN和異步連接都變得十分必要，今天，用戶希望獲得與本地訪問同樣的連接服務(wù)質(zhì)量。為了滿足這種要求，遠(yuǎn)程訪問服務(wù)器必須成為整個網(wǎng)絡(luò)解決方案的一部分，并且和它一起擴(kuò)展以滿足不斷增長的遠(yuǎn)程訪問的需要。 C.系統(tǒng)功能 5.3.1.全功能的Cisco ISO -Cisco 3600是Cisco 整套端到端連接解決方案中的一部分。沒有任何其它的供應(yīng)商能夠向遠(yuǎn)程用戶提供這么多的Intermir訪問以及擴(kuò)展選擇。而且Cisco ISO軟件有能力在用戶負(fù)擔(dān)得起的前提下布置撥號虛擬專用網(wǎng)絡(luò)（Dial VPNS），使Cisco 產(chǎn)品的功能又得到了相應(yīng)的提升。用戶還能夠通過數(shù)據(jù)壓縮等帶寬優(yōu)化技術(shù)來節(jié)省開支，并且可以布置高質(zhì)量的網(wǎng)絡(luò)安全防火墻以及數(shù)據(jù)加密功能。5.3.2.安全性 -安全已成為今天大多數(shù)網(wǎng)絡(luò)管理者關(guān)心的主要問題，Cisco 3600，問題配合廣為流行、功能強(qiáng)大的Cisco ISO軟件，可以為客戶核心網(wǎng)絡(luò)提供全面的安全保障。對于遠(yuǎn)程用戶環(huán)境，Cisco 3600將該項已被證明是有效的核心安全技術(shù)擴(kuò)展到混合介質(zhì)撥入站點。Cisco ISO軟件支持的安全功能包括訪問清單、侵入事件記錄、遠(yuǎn)程訪問撥入用戶服務(wù)（RADIUS）、Kerberos V以及具有驗證、授權(quán)和記帳（AAA）的TACACS。 5.3.3.管理 -Cisco 3600提供一套稱為CiscoWorks的完善的圖形用戶界面（GUI）管理工具，可對Cisco 3600機(jī)箱及其相關(guān)網(wǎng)絡(luò)模塊進(jìn)行圖形化的配置、監(jiān)控和調(diào)試。Cisco配置管理功能向網(wǎng)絡(luò)管理者提供對網(wǎng)絡(luò)統(tǒng)計數(shù)據(jù)的完全控制以及在一個中央控制中心配置和調(diào)節(jié)網(wǎng)絡(luò)操作的能力。Cisco ISO軟件包含全面的故障分析工具，可以大大減少問題隔離和恢復(fù)所需的時間和費用。-針對Cisco 3600提供的內(nèi)部調(diào)制解調(diào)器，一套先進(jìn)的可選調(diào)制解調(diào)器管理功能可供使用，它提供廣泛的帶寬優(yōu)化功能，可以幫助分支機(jī)構(gòu)和企業(yè)客戶降低運行地理位置分散的廣域網(wǎng)絡(luò)的重復(fù)費用。調(diào)制解調(diào)器管理功能集包括呼人過程監(jiān)視hard and busy out、分組、一個用戶定義的警告域值以及統(tǒng)計功能。管理人員可查看調(diào)制解調(diào)器的調(diào)制配置、調(diào)制解調(diào)器協(xié)議、調(diào)制解調(diào)器EIA/TIB2信號狀態(tài)。調(diào)制解調(diào)器發(fā)送和接收速率以及模擬信噪比等實時（當(dāng)時或以前的呼叫）。調(diào)制解調(diào)器可以用管理網(wǎng)絡(luò)其它部分的相同工具來管理，從而為網(wǎng)絡(luò)管理者提供了一個在中央管理點進(jìn)行管理的解決方案。5.3.4.可擴(kuò)展性 多鏈路點到點協(xié)議（MP）使用戶可利用ISDN連接的優(yōu)勢，并且可以使用兩個B通道達(dá)到128kbps數(shù)據(jù)吞吐量。異步用戶如果在其工作站上獲得支持，使用兩個通過兩條電話線連接的調(diào)制器，他們也能夠受益于該功能。為了滿足用戶不斷增長的需求，需要擴(kuò)展Cisco 3600解決方案，而MMP支持是實現(xiàn)這種擴(kuò)展的一個關(guān)鍵因素。MMP使呼叫能夠被鏈接起來，而不管每個呼叫被 置于哪個物理機(jī)箱，從而能將Cisco 3600機(jī)箱堆放起來并視為一個撥入池。5.5.Cisco 3600系列概覽 下表詳細(xì)列出了目前可提供的Cisco 3600系列的平臺和網(wǎng)模塊。對于郵電客戶來說，直流電源是唯一選擇，Cisco 3600產(chǎn)品提供直流型號這些電源也可作為備用件訂購，而且它們都是現(xiàn)場可替換部件（FRUs），備用電源在清單的編號為PWR 3620DC3640DC。 Cisco 3600系列是一個具有優(yōu)越性能和靈活性的全面解決方案，您可以依賴它，迎接未來的挑戰(zhàn)。你知道你正在和一個可以依賴的供應(yīng)商合作。Cisco 系統(tǒng)公司以其出色的服務(wù)和支持，以及世人皆知的高性、高可靠性和標(biāo)準(zhǔn)的高技術(shù)，支持每一個它生產(chǎn)的產(chǎn)品。附件六 寬帶服務(wù)路由器CMTSACE/RiverDelta BSR1000寬帶服務(wù)路由器RiverDelta BSR1000是小型的低成本的解決方案，適用于小型分區(qū)分配中心或?qū)拵Х?wù)市場發(fā)展的早期階段中較大場所。它可作為單獨放置的設(shè)備使用，或作為低成本有線網(wǎng)絡(luò)廷伸所需的小型設(shè)備中的一種。這種增加用戶進(jìn)行的簡單易用的分配CMTS可以幫助運營商們發(fā)展在定義、配置及管理方面極具優(yōu)勢的寬帶服務(wù)它執(zhí)行Networks Smartflow的單數(shù)據(jù)包處理，低成本有效的廷伸豐富的QoS支持，傳送給多用戶商。可節(jié)省空間的BSR1000的體積非常小巧，是小型分區(qū)分配中心理想的選擇。它可以由非技術(shù)人員進(jìn)行安裝用于擴(kuò)大服務(wù)范圍，它可發(fā)當(dāng)作第2層橋接器使用或作為有增強(qiáng)的安全性特色功能的CMTS路由器使用。新一代分配平臺 BSR1000是根據(jù)DOCSIS1.0、DOCSIS1.1、及PacketCable1.0標(biāo)準(zhǔn)設(shè)計的。這種簡潔的CMTS與快速以太網(wǎng)上行傳輸相配置可連本地數(shù)據(jù)網(wǎng)絡(luò)；或與可選的雙向上行傳輸（千兆比特光接口或快速以太網(wǎng)接口）相配置可連接光傳輸環(huán)并支持鏈接。BSR1000有節(jié)省空間的IU“壓縮式”盒狀底盤，允許MSO在空間非常珍貴的最小型的場所內(nèi)充分利用寬帶服務(wù)結(jié)構(gòu)。當(dāng)數(shù)據(jù)集中到運營商級的BSR6400的時候，系統(tǒng)實行可測量的SLA來進(jìn)行隔離、監(jiān)控和地址管理。這種解決方案可以進(jìn)行低成本有效地服務(wù)領(lǐng)域的擴(kuò)大，并且它可以傳送數(shù)據(jù)形態(tài)使SLA跨越HFC網(wǎng)絡(luò)進(jìn)行端對端傳送。 分配QoS和多服務(wù)支持寬帶有線網(wǎng)絡(luò)傳達(dá)室送的能力要求滿足集中的數(shù)據(jù)、聲音、多媒體服務(wù)的傳送，BSR1000是一個靈活平臺使這些新一代的服務(wù)通過IP實現(xiàn)。它提供寬帶多種服務(wù)的支持并且運營商可以從創(chuàng)新的新服務(wù)項目中迅速更新和增加收益渠道。BSR1000允許電纜運營商支持一個供應(yīng)商提供多種服務(wù)，同時也允許多個服務(wù)商每個僅供提供一種服務(wù)。運營商能夠通過Cable Modem將可測量的QoS發(fā)送到多個服務(wù)商的網(wǎng)絡(luò)中心。通過將多個BSR1000中的數(shù)據(jù)流集中到分區(qū)端的一個BSR6400里，運營商能夠提供低成本有效的電纜接入同時保證按內(nèi)容分類的路由處理。SmartFlow允許運營商根據(jù)數(shù)據(jù)包內(nèi)容將數(shù)據(jù)包分類到數(shù)據(jù)流中并且為HFC網(wǎng)絡(luò)中使用DOCSIS1.1、的每個數(shù)據(jù)流進(jìn)行適合的QoS處理或為分區(qū)及骨干網(wǎng)絡(luò)提Diff-Serv或MPSL。Qos的處理-例如：Diff-Serv的服務(wù)類型（TOS）再映射-就是由根據(jù)每個服務(wù)商規(guī)定的條款制定的。系統(tǒng)可以提供用戶使用靜態(tài)統(tǒng)計且可以保證并書面約定第個商的可以通過普通的有線網(wǎng)絡(luò)結(jié)構(gòu)有效的傳送到用戶。 增強(qiáng)的安全性。運營商可以將BSR1000作為一個自設(shè)置CMTS路由器或第2層CMTS使用。當(dāng)作為一個安全的、自設(shè)置的第2層CMTS使用時，BSR1000能夠隔離Cable Modem的媒