网络规划与设计方案

网络规划与设计方案
计算机网络技术1班万伟 2９
随着计算机、网络应用的不断普及,学校管理也相应的发生着变化。

如何能更加充分的利用学校现有的教学资源进行教学、管理,又能达到事半功倍的效果？校园网的实施为学校提供了很好的解决方法。

校园网的建设是现代教育发展的必然趋势,建设校园网不仅能够更加合理有效地利用学校现有的各种资源，而且为学校未来的不断发展奠定了基础，使之能够适合信息时代的要求。

校园网络的建设及其与Interｎet的互联，已经成为教育领域信息化建设的当务之急。

一、系统需求分析
1、节点分布：
(１)办公楼共有４0个信息点。

要求通过校园网连至INTERNＥT，达到１00M到桌面，并对财务科,人事科等科室进行单独子网管理。

（２）共有教学楼３座，120个信息点。

1、综合教学楼一个，６0个信息点。

其中有1０个实验室,每个实验室配置1台PC和1个投影仪(此处无须上网）;20个教室，其中一个教室2个摄像机。

2、普通教学楼1:４0个信息点，共２0个教室，其中一个教室2个摄像机。

3、普通教学楼２：２0个信息点，共1０个教室,其中一个教室2个摄像机。

（3)信教中心：共１２0个信息点。

有两个多媒体教室,每个教室6０台PC。

要求可网管，通过校园网上连至INTERNＥＴ，达到100Ｍ到桌面。

２、管理需求：
为了满足教职工的需要，提高教职工教学条件和水平,大力发展网上教学，优秀科目科件制作等。

将教职工宿舍区的PC通过校园网上连至INTERＮEＴ，达到1０M到桌面,以后可扩展到100M 。

学校校园网建设所需PＣ和投影仪有校方自行选择和安装。

学生宿舍由于高中阶段学习生活的特殊性，不进行任何布置。

提供丰富的网络服务,实现广泛的软件，硬件资源共享，包括:
（Ａ）提供基本的Iｎternｅt网络服务功能：如电子邮件、文件传输、远程登录、新闻组讨论、电子公告牌、域名服务等。

(B）提供校内各个管理机构的办公自动化。

(C）提供图书，文献查询与检索服务，增强校图书馆信息自动化能力。

(D）全校共享软件库服务,避免重复投资，发挥最大效益。

(Ｅ）提供ＣAＩ教学和科研的便利条件。

（F)经广域网接口,提供国内外计算机系统的互连，为国际间的信息交流和科研合作,为学校快速获得最新教学成果及技术合作等创造良好的信息通路。

3、应用需求：
主机系统应采用国际上较新的主流技术,并具有良好的向后扩展能力;
主机系统应具有高的可靠性,能长时间连续工作,并有容错措施;
支持通用大型数据库，如SＱL、Oracｌe等;
具有广泛的软件支持,软件兼容性好,并支持多种传输协议;
能与Iｎtｅｒnet互联,可提供互联网的应用,如WWＷ浏览服务、ＦＴＰ文件传输服务、E－mail电子邮件服务、NEＷS新闻组讨论等服务；
支持SＮMP网络管理协议，具有良好的可管理性和可维护性。

４、基本的扩展需求:
网络方案应采用成熟的技术,并尽可能采用先进的技术;
采用国际统一标准,以拥有广泛的支持厂商，最大限度的采用同一厂家的产品;
方案应合理分配带宽,使用户不受网上“塞车”的影响;应充分考虑未来可能的应用，如桌面将承受大型应用软件和多媒体传输需求的压力;
该网络方案要具有高扩展性。

能为用户未来数目的扩展具有调整、扩充的手段和方法。

二、拓扑结构总体设计
备注：其余为十兆链路
三、综合布线设计
1、网络技术选型
网络结构采用分层式设计，共分三层:核心层,工作组层，桌面接入层。

分层设计可以使整个网络自上而下具有很大的弹性，便于策略的维护和实施。

（１）核心设备
①设备名称:DCS－3926S可堆叠智能安全接入交换机
②基本介绍：39２6S具有24个10/100Ｍbps自适应ＲＪ-45端口和2个模块扩展插
槽（可选插百兆模块和千兆模块）可千兆或百兆聚合上联至汇聚层交换机或者核心层交换机。

③主要特征:
A、高密度和灵活的堆叠
DＣS-3９０0Ｓ系列的堆叠带宽可支持2G到4G,并且支持简单堆叠、标准堆叠、超级堆叠和混合堆叠。

简单堆叠成本最低。

堆叠带宽2G;标准堆叠使用堆叠模块,其带宽扩充至4G;还可以用千兆电口或千兆光口做超级堆叠，可避开堆叠线缆的限制,堆叠带宽也是４G；同时DCＳ-３9０0Ｓ系列可以和ＤCRS-５600S系列、ＤCRS －552６S交换机做混合堆叠。

B、强大的ACＬ功能
作为新款的Ｌ2/4交换机,DＣＳ-3926,S系列交换机提供了完整的ACL策略，可根据源/目的ＩP地址、源/目的ＭAC地址IP协议类型、TＣP/UＤＰ端口号、ＩP Ｐrec ｅndence、时间范围、ToS对数据进行分类，并进行不同的转发策略。

通过ＡCＬ策略的实施，用户可以在接入层交换机过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包，防止扩散和冲击核心设备
C、卓越的安全特性
全面的受控组播方案DMCP,可以对源和目的进行安全控制，完整实现了在接入层网络中基于IGMP源端口和目的端口的检查技术，可完全限制合法组播在网络中的稳定传输，有效控制组播建立的整个过程,保障了正常合法的组播应用的稳定运行;率先支持对特征复杂(64字节)的应用流量的访问控制，让用户可以在各种网络的环境中应对出现复杂情况；监控pingSweｅｐ等攻击行为，安全防扫描,并采取防攻击措施,全面保护交换机和服务器等网络设施的安全。

Ｄ、更完美的性价比(DCS-3926S－G)
大多数接入交换机通过1个千兆光模块上联，为了提高产品的性价比，DCＳ-3９２6Ｓ-G固化了一个千兆光模块，可以为用户节约开支。

E、丰富的QoS策略。

DCＳ-3９0０S系列交换机为每个端口提供了4个优先级队列,可根据端口、802．1p、ToＳ、ＤSCＰ、TCP/UＤＰ端口进行流量分类,并分配不同的服务级别，支持ＷRR/SＰ等调度方式,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。

④技术参数
A、接口形式:24个10/100Ｍ端口1个SＦP千兆光口/堆叠口
Ｂ、可选扩展模块:百兆电/光口模块;千兆电/光口模块；堆叠模块
Ｃ、堆叠:支持标准堆叠,超级堆叠,混合堆叠。

堆叠环境下，支持跨交换机的端口聚合、端口镜像、ＱｏＳ、AＣL
Ｄ、生成树：802.1D（STP）、80２．1ｗ（ＲSTP)、802．１s（ＭＳＴP）
E、组播协议：ＩGMP Snoopｉng＆Query
Ｆ、QｏＳ：每端口４个队列，支持802．1ｐ，ＴoＳ,应用端口号，DｉffｅrServ,支持WRR/SＰ等调度方式
Ｇ、ACL:支持标准AＣＬ和扩展AＣＬ,支持IP ＡCL、MAＣACＬ、ＩＰ-MAC ＡCL,支持基于源/目的IP地址、源/目的ＭAC地址、IＰ协议类型、TCP/ＵＤP端口号、IP Pｒecenｄencｅ、时间范围、ＴoS对数据进行过滤。

H、端口聚合：支持８02．３ad，最大可支持6组trｕｎk，每tｒuｎk可到8个端口,支持基于目的MAC的负载均衡。

I、IEEE802．1ｘ:支持基于端口和MAC地址,支持神州数码８02.1ｘ整体解决方案，
可以实现按时长／流量计费,可以实现用户帐号、密码、IP、MAC、ＶＬＡN、端口、交换机的严格绑定,可以防止代理软件，防止PＣ克隆,对客户发送通知／广告，上网时段控制,基于用户动态实现VLＡＮ授权和带宽授权,可基于组策略实现动态IＰ地址分配而不必使用DHCP服务器等。

J、认证：支持RAＤＩUS
Ｋ、端口镜象:支持。

L、支持的网络标准:IEEE8０2．1ＤIＥEＥ８02.3 ＩEEE 802.３ｕIEEE80２.3ad IEＥE ８0２.3x IEEE8０2.3z IEＥE802.１ＱＩEＥＥ８０2．1p IＥEE 80２.1xＩEEＥ802．１w ＩＥEE 802．1s等堆叠。

1、网络基本结构
(1)网络主干采用6芯多模光纤。

网络中心到主建筑物结点采用六芯多模光纤连接，在全双工条件下传输距离可达两公里。

光纤布线采用星形拓扑结构,这样当过渡到AＴM时，不需要重新布线可使整个网络保持原有的拓扑结构。

(2）校园网主干设备采用100/10０0M自适应全双工交换机,即网络中心配备一台Bay公司具有第三层交换功能的路由交换机Ａcceｌａr1200作为中心交换机。

它可有效地扩展网络带宽,消除网络碰撞，提高网络传输效率。

各主建筑物结点的二级交换机，分别通过光纤以全双工２00Ｍ带宽与中心交换机相连。

为了便于网络管理,抑制网络风暴，提高网络安全性能,校园网划分为多个虚拟子网（VLAN)，通过路由交换机本身线速的路由能力建立起VＬＡN之间的高速连接。

(3)广域路由器选用Ｃｉscｏ公司的2511路由器，校园网通过ＤＤN连入ＩNＴEＲNEＴ。

另配置一台３ＣOM公司的ＵＳＲＭODEM ＰOOL，以满足单机用户和校外用户以PPＰ方式上网。

(4）网络中心配置两台SUN公司ＳUN Ｅntｅrpｒiｓe２50 seｒver (高性能网络服务器)：1台服务器用作Ｗeb Server、DNS Ｓerｖｅr；1台用作备用DNS Sｅrｖer、E-mail Server、FTP等。

(5)网络中心配备４台IＢM5１00 PC服务器分别用作LAN计费、拨号用户认证及计费、网管、数据库及办公自动化系统、视频点播(VＯD)系统、ＢBS系统、代理服务及计费等;配备1台笔记本电脑用作调试终端。

网络中心还需配置激光打印机、打印服务器、扫描仪、数码相机、UPS不间断电源（3KＶA、2小时)等设备。

3、建筑群子系统互连
(1)办公楼：核心交换机DCＳ-３９26S通过一个千兆口有1０00ＢAＳＥ-Ｔ4对超五类STＰ下连服务器，通过一个千兆口由1000BＡSE-ＳX多模光纤下连办公楼各科室,教师办公室的工作组交换机，通过一个千兆口由1０0０ＢASＥ－LX多模光纤下连信教中心的工作组交换机，通过一个百兆端口由100BASＥ-FＸ多模光纤下连教学楼工作组交换机,通过一个百兆端口由100BAＳE-FX多模光纤下连教工宿舍区工作组交换机。

(2）信教中心：工作组交换机DCS-3726S 通过超五类ＳＴP下连桌面接入交换机ＤCRS-1024。

DCRS-1024通过超五类UTP接入PC。

(3)教学楼:工作组交换机DCS-3７26Ｓ通过10０ＢAＳＥ-FX下连桌面接入交换机DＣRＳ-１０２4。

DＣRS-1０24通过超五类UTＰ接入摄象机和投影仪。

（4)教工宿舍区:工作组交换机DCS-37２6Ｓ通过1０0BＡSE-FＸ下连桌面接入交换机ＤCRS-10２4。

ＤＣRS-1０2４通过超五类UTP接入ＰC。

四、设备选型
交换机
主干交换机选择Cａtalyst２9４8GL3:Cataｌｙｓt29４8ＧL3具有48个10/100M快速以太网和2个千兆以太网端口,具备第三层交换的特性,它既保留了传统的第二层交换在各端口间传递数据时的高线速，又集成了原来在第三层路由中才有的完善的控制功能如审计、广播隔离等，同一台设备中同时支持二层、三层功能,进行广播隔离、全线速网络互联,从而大大提高了校园网的性能。

路由器
采用神州数码DCR－2５01Ｖ多协议模块化路由器,确保网络的安全性和可靠性。

①设备名称：ＤCＲ－2５01V 多协议模块化路由器
②基本介绍：神州数码DCR-2501V路由器是神州数码网络推出的固定配置语音路由器，性能稳定可靠。

ＤＣR-2501V提供了1个cｏnsole端口,1个１0Ｂasｅ-Ｔ以太网口，1个辅助(ＡUX)端口,2个高速广域网串口，２路FXS语音端口；ＤCR-2501V 路由器支持常用的广域网协议和路由协议,支持VｏIＰ协议,支持内置强大的防火墙和ＮAT功能，为用户提供了更加高速、安全、稳定可靠、方便的网际互连设备,非常适用于中小企业、政府等远程分支机构语音和数据互联或Iｎteｒｎeｔ接入等。

③主要特征:(DDR）功能;支持ＩP Ｕnnumbｅreｄ,从属IＰ和ＡＲP代理功能；支持多种队列算法以保证服务质量(QoS）的提供;支持Ｎｏveｌl ＩPX路由协议；支持路由再分配功能；高稳定性;提供背对背（Back-ｔo-Back)连接方案，可用于检测路由器的功能
④技术参数
1、标准配置
a、１个10 Base-Ｔ以太网口
b、2个高速串口,支持ＲS２32、V.24、V.３5、X.2１、EＩＡ５３0A等电气标准
c、2路FＸS语音端口
d、１个Conｓｏlｅ端口
e、1个辅助（AUＸ）端口，可进行远程配置和拨号备份
ｆ、内存：DRＡM １６Ｍ,可扩充至32M;Flａsh Meｍoｒy 2 M,可扩充至4Ｍg、CPU：32位RISC处理器（MPC86０50ＭHｚ）
２、协议和标准
a、以太网接口标准:IEEE8０2.3 1０Base－T标准
b、广域网接口标准:RＳ232、V.24、V．３５、X.21、ＥIA53０A等电气标准ｃ、支持V oIP标准:支持H．3２3协议栈，支持G.7２９、G.723.1、G.71１等多种语音编码压缩标准,支持T．３８传真协议和Ｂypasｓ方式的传真应用。

d、帧中继标准：ＩTU-T Q９3３Ａnｎex Ａ、ANSI T1.6１7Annex D、兼容ＣISCO 标准
e、广域网协议:HDLC、ＰPP、MP、Frａmｅ－Ｒｅlａy(DTE/DＣE)、X.２５（DTE/D ＣE）
f、路由协议：静态路由、RＩＰ(包括ＲＩP v１、ＲIP v2)、OSPF、NoｖelｌIPX 路由协议
g、用户安全认证协议：PＡP、ＣHAP、ＭS-CHAP、RADIUS、TACACS
五、Ｖlan及ｉp地址规划
总服务器1：12３.15.36.23
校内服务器１:123.１5.３６.２4
校内服务器2：123.15．３６.25
Fｔp服务器：1２3.15.36.２６
邮件服务器：12３．15.３6.2７
对外主页服务器：123.15.36.２8
办公楼:172.16.10.0～1７2．16.11.255
普通教学楼１:１72．16.0．0～1７2.16．0．25５
普通教学楼２:172．1６.1.0~172．16.1.255
综合楼教室:172．１6.2.０～17２．１6.2.２５5
综合楼教实验室:１72.1６.3.０~172．16.3.２55
信教中心:1７２.16.4.0~172.16.4.255
信教中心:1７2.16.５.0～17２.16.5．255
信教中心:1７2.16.１2.0~1７2.1６.１3.25５
１号宿舍楼:17２.16.６．0~172.16.7.２55
2号宿舍楼：１72.16.8.0~17２．1６.9.255
3号宿舍楼：17２．1６.２１.０~172.16.22.２55
4号宿舍楼：172.16.２３.0~172.1６.２4.255
六、广域网接入设计
该大学校园网的广域网配置了一台cｉsco的３662路由器，由专线接入公用网。

网络设备的配置命令:
连接到因特网的路由器的配置，主要配置动态地址转换,将内部地址转换为外部地址:
SystemＢootstｒaｐ,Veｒsion 12.1（３r)Ｔ２, RELEASＥSOFT ＷＡRE(fc１)
Ｃopyｒiｇｈｔ(ｃ) 2000 by ciｓｃo Systems, Ｉｎc.
PT 1００1 (PＴＳC2０05)ｐroｃeｓｓor (revisiｏn０x200) ｗith 60416K/5１20K ｂｙｔｅｓof memory
Sｅlf deｃｏmpressing the ｉmaｇe :
#＃＃＃########＃###＃######＃#########＃############＃#########＃＃##＃####＃######## [OK]
Ｒestｒictｅd Riｇhｔs Legｅnd
Usｅ，dupliｃaｔiｏn, orｄiｓcloｓurｅby ｔhe Goveｒnm ｅｎt is
subｊeｃt ｔoｒestrictｉonｓaｓseｔfortｈｉn ｓubparａｇraph
(ｃ) ofｔhe Commercial Ｃompuｔer Ｓｏftware - Rｅｓtriｃｔed
Rights ｃlause atＦAR sec．52.227-1９ａnd ｓubpａraｇrａｐh
(c) (1) (ii) oｆｔhe Rigｈts ｉn TeｃhnicaｌDａta and Coｍｐ
ｕter
Soｆtｗarｅclauｓｅat DFARＳsｅｃ.252．227-7013.
ciｓco Sysｔems,Inc.
１７０West ＴａsmａｎDrivｅ
San Josｅ, Caｌifoｒnia 9５134-1706
Cｉsco ＩnｔerneｔworｋOpeｒatiｎｇSysteｍSｏｆtwａre
ＩOS（tm) PT100０Software (PT10０0-I-M), Version12.2(2８), ＲELEＡSＥSＯFＴWARE（ｆｃ5）
ＴechniｃaｌSuｐporｔ:
Cｏpｙrighｔ(c) 1９86-2００5by cｉsco Ｓysteｍs, Inc．
Comｐiled Ｗｅｄ２7－Ａpr-04１9:01by miwanｇ
PＴ1001 (PＴSC2０05）proｃeｓsｏr (revｉｓion 0ｘ2０0)with ６041６K/5１2０Ｋbyｔes oｆｍemory
Prｏcessoｒbｏaｒd ID PT０1２３(0123)
PT２0０５prｏceｓｓor: paｒt nuｍｂeｒ０，ｍask0１
Brｉdgｉng soｆtwａre.
X.25 soｆｔwａre,Veｒｓｉon 3.0.0.
4 FastEｔheｒnｅt／ＩEEE 8０2.３ｉnｔerface(s)
2 Ｌow-speeｄｓeｒｉaｌ(sync／async) nｅｔｗorkｉnterface(ｓ）
32K bｙtes oｆnon－ｖoｌatile conｆiguｒatiｏn ｍemｏry.
16３8４K bｙｔｅｓof proｃeｓsor board Syｓtem flａsh (Ｒeaｄ/Write）
--- SysteｍＣonfiｇuｒatiｏｎDialｏｇ－--
Ｃontinｕe with confｉｇuｒatｉon dialｏg？[ｙes/no]: ｎ
PreｓｓＲEＴUＲN to get sｔａrted！
Routｅr>eｎabｌe
Ｒoutｅr#coｎfigurｅｔｅrminaｌ
Entｅr conｆiguratｉｏｎcommanｄs，ｏｎe per line. End with CNＴL/Z.[paｇe]
！配置全局地址池：
Router（confiｇ)＃iｐｎａtｐoｏｌiｎterｎｅt 172.1６.0.０1７２.１6.25.255ｎetmａｓk ２５５．25５.0.０
!配置允许地址转换的内部地址范围：
Routeｒ(confｉg)#aｃceｓs－ｌisｔ 1 ｐｅｒｍｉt 172.16.1.0 0.0．２55.255
!配置允许地址转换的内部全局地址映射关系:
Rｏuｔer(confiｇ）＃iｐnat ｉｎside sｏurce list 1 poolｉnter ｎet
!配置端口E0:
Rｏｕter(config)#intｅrｆace FasｔEtherｎｅt０/0
!配置端口IP地址
Ｒouter（ｃoｎfｉg-if)#iｐadｄｒeｓs １72.１6.１.1 2５5.２5５．0.0
！配置为内部接口
Ｒｏutｅr(config-if)＃ip ｎat ｉｎｓide
!启用接口
Roｕter(config-if)#no shuｔdown
%ＬIＮＫ－5-CHANＧＥD：Ｉｎteｒface FａｓtEtｈerｎet0/0, ｃ
ｈanged staｔe to uｐ
%ＬＩNEPROTO-5-ＵPDOＷN: Liｎe protocolｏｎInterfａｃe FastEthｅrnet0/0, chanｇeｄstate tｏup
Routｅr（conｆig-iｆ)#eｘit
!配置端口S０
Rｏuter（conｆｉg）＃inｔｅrfａｃｅSerial2/0
!配置ＩP地址
Rouｔer(conｆｉｇ－if）#iｐａddress123.15.36.22 2５5．２55．0.
０
!配置为外部接口
Ｒoｕｔeｒ(confiｇ-ｉf)＃ip nａt outside
!启用接口
Routｅr(ｃonｆｉｇ-iｆ）#no ｓhutdoｗn
%LINK-5-CＨANGEＤ: ＩnterｆacｅSeｒｉal2/0, changed staｔe t ｏup
将其他的PC机和服务器按照IP地址的划分分配完成。

网络建成后，为保证整个网络正常地运行、防止计算机病毒对网络的侵害、防止“黑客”入侵就变得尤其重要。

主要表现在以下几方面：身份认证、访问授权、数据保密、数据完整、审计记录、防病毒入侵。

七、应用系统的规划
服务器硬件
ＳUN服务器和HP服务器或者国产的联想、浪潮服务器都有很好的开放性和互连性，可以作为服务器硬件的选择。

服务器软件
在主机系统建设中,选用UＮIX与WiｎｄｏwｓＮT相结合的方式：用ＵNＩX 服务器作为外部WWW服务器、FTＰ、PROXY、DＮS服务器以及网管工作站;用ＮT服务器作为数据库服务器和应用服务器，为用户提供友好的界面。

校园网的网络拓扑结构：校园主干网采用一台千兆多层交换机作为中心交换机，配置多台二层交换机作为二级交换机;
在网络中心配置多台工作站,一台网管工作站,一台作为连入IＮTＥRNET/CE ＲＮＥＴ的路由器，同时在路由器上配置相应的拨号访问模块供拨号用户访问校园网;
二级交换机通过千兆光纤上连到主干交换机上,构成星形的拓扑结构，使得主干网具有较好的可扩展性和可管理性；下属站点采用1０／100M接入方式,可以实现1０0Ｍ到桌面。

网络中心的设备配置各高校可根据方案的“需求分析”部分，本着实用、高效的原则进行选型、配置（含二级接点和其他接点交换设备的选择)。

对所有系统内的用户，IP地址规划由网络中心统一规划；对于上公网的用户,需要进行IP地址转换（NAT)，即将内部私有地址转换为公有IP地址。

这样的好处是既节省了有限的公有IP地址资源,又对外屏蔽了内部的网络,有利于网络的安全管理。

校园网广域网的设计主要考虑如何实现和INＴＥRNET、ＣERＮＥT的互联。

校园网的拨号网络，主要目的是解决校内和校外零散用户以及出差在外的临
时用户的接入服务。

访问网中的技术关键是拨号访问服务器的选择和对拨号上网用户的安全控制。

要求路由器有简单的防火墙功能，具有良好的扩展性，即以后拨号用户的扩展，其它公网的接入等。

根据实际需要,能够不断增加拨号用户的数量。

校园网服务器的需求主要是基于以下几方面：Ｉnterｎeｔ服务器；主要包括：ＤNS、ＭＡIL、WWW、FＴP、ＢBＳ、PRＯＸY
网管工作站，校园网应用服务器，如数据库服务器，视频点播服务器等
网络中心管理、开发、调试平台（可以与网管工作站共用）。

八、网络安全的全局规划
保护校园网的第一道防线——路由器和ＰＩX防火墙
Ｃiscｏ26１0路由器一台:加在远程访问路由器２６10/1750后的PIＸ防火墙是思科公司著名的软硬件结合的专用安全设备，也是本方案的亮点之一，它体现出用户对网络安全的极度关注。

所有流经PIX的数据都必须接受严格而全面的检验,检验内容包括数据的源和目标地址、TCP随机序列号、ＴCP端口号和附加标志等,只有满足特定条件的数据才能穿过这道防火墙。

相对集成在路由器上的防火墙和软件防火墙而言，ＰIX使用自己专有的软件系统,不需借助于外部操作平台,内核技术不公开,因此能更有效地阻止网络黑客的攻击;而配套的硬件组成使其数据处理效率更高;此外,PＩX还支持网络地址翻译的功能，能够实现内部IＰ到合法IP的转换，方便更多的用户利用有限地IＰ地址资源作Internet访问。

网络安全是有层次的,在不同层次,安全的着重点也不同,大致归纳起来可将网络安全划分成两个层次：网络层安全和应用层安全。

因此,此次设计选用cｉsｃo Secure PＩX 防火墙。

ｃisco SｅcurｅPIＸ防火墙是Cisｃo防火墙家族中的专用防火墙设施,是防火墙市场中的领先产品，cisco SeｃurｅPIX防火墙可提供强大的安全，且不影响网络性能。

它可提供全面的防火墙保护，对外部世界完全隐藏了内部网体系结构。

通过ciｓｃｏSeｃure PIX防火墙可以建立使用IPSce标准的虚拟专网VPN连接。

cisco SeｃuｒｅＰIＸ防火墙加强了内部网、外部网链路和Iｎteｒnet之间的安全访问。