石化技校网络改造方案
网络改造方案建议书
江西汇天科技有限公司
日期:二零壹壹年七月
目录
一、网络状况分析 (4)
二、网络建设目标 (6)
三、网络改造总体设计 (7)
四、产品功能介绍 (12)
五、建设效果 (28)
六、售后服务与培训 (29)
七、设备价格 (32)
一、网络状况分析
现今网络拓扑图如下:
江西省石油技工学校(以下简称“石油技校”)信息系统主要由职工宿舍、新学员公寓、老学员公寓、办公网、培训教室、学生机房五部分组成,石油技校通过网通的10M线路与互联网进行连接,通过2M专线与石油专网进行连接。职工宿舍使用私网地址通过路由器转换成互联网IP接入互联网,新学员公寓使用私网地址通过路由器转换成互联网IP接入互联网,老学员公寓、办公网使用私网地址通过天融信防火墙转换成互联网IP接入互联网,培训教室使用石油专网地址通过天融信防火墙提供的透明通道接入石油专网,办公网使用私网地址通过天融信防火墙转换成石油专网地址接入石油专网。现阶段,主要存在下列安全隐患:
1、互联网没有实施统一管理,造成internet带宽拥堵。职工宿舍、新学员公寓、老学员公寓、办公网、培训教室、学生机房使用同一internet出口。由于对外上internet没有实施统一地,有效的管理,故存在internet带宽资源用户争用,造成internet带宽拥堵。
2、石油专网带宽不足,没有实施统一管理,造成带宽拥堵。造
成的原因和互联网原因相同。
3、局域网结构不合理:
a中心机房环境需要完善,无法保证网络核心设备的正常运转,空调,UPS关键设施不到位。
b 网络核心部位没有采用备份方式,网络可靠性,维护性差。
c 楼层间没有有效的光纤连接,网络可靠性,维护性差
d 选用的IP地址空间不规范,不便于管理。
e 没有有效的网络接入设施,不利于对入驻用户的管理。
二、网络建设目标
本次网络设计的目标为:
1、尽量保留用户现有的网络中的设备,在确保用户正常业务使用的前提下减少用户投资。
2、学校各计算机等终端设备之间良好的连通性是需要满足的基本条件,网络环境就是提供需要通信的计算机设备之间互通的环境,以实现丰富多彩的网络应用。
3、许多现有网络在初始建设时不仅要考虑到如何实现数据传输,还要充分考虑网络的冗余与可靠,否则一旦运行过程网络发生故障,系统又不能很快恢复工作,所带来的后果便是学校的经济损失,影响学校的声誉和形象。
4、随着网络规模的日益扩大,网络设备的数据和种类日益增加,网络应用日益多样化,网络管理也日益重要。良好的网络管理要重视网络管理人力和财力的事先投入,主动控制网络,不仅能够进行定性管理,而且还能够定量分析网络流量,了解网络健康状况。有预见性地发现网络上的问题,并将其消灭于萌芽状态,降低网络故障所带来的损失,使网络管理的投入达到事半功倍的效果。
5、网络建设为未来的发展提供良好的扩展接口是非常理智的选择。随着企业规模的扩大、业务的增长,网络的扩展和升级是不可避免的问题。H3C通过模块化的网络结构设计和模块化的网络产品,能为用户的网络提供很强的扩展和升级能力。
三、网络改造总体设计
1、机房改造
检查设备安装场地是否符合电气和环境标准。
输入电压允许范围:100V~240V AC 50/60Hz 或–40V~-60V DC 工作温度:0C~40C
储存温度:-30C~60C
相对湿度:5~95% 无凝结
配线架内外网段及接口标识清晰,线路整理顺畅。
将服务器、交换机等设备合理放置到机柜上,便利操作;
UPS等设备安装到位,进行断电测试。
2、网络改造建议拓扑图
方案一
如图所示,我们对技校内网网络结构进行调整,首先在互联网、石油专网、技校内网边界处采用路由模式部署一套天融信NGFW4000防火墙(原防火墙以旧换新)替换原有的天融信NGFWARES-M-VPN防火墙、路由器;
职工宿舍、新学员公寓、老学员公寓、办公网、培训教室、学生机房分别接入会聚层交换机,通过划分不同的VLAN将职工宿舍、新学员公寓、老学员公寓、办公网、培训教室、学生机房进行逻辑隔离,在会聚层交换机上各个VLAN不通相互访问,同时启用防火墙的三层交换功能,在防火墙上通过不同的策略来对各个VLAN间进行访问控制,根据相应的安全政策,允许办公网访问互联网、石油专网,允许职工宿舍、新学员公寓、老学员公寓、学生机房访问互联网,允许办公网、培训教室访问石油专网,允许石油专网访问培训机房的服务器,禁止培训教室访问互联网,禁止职工宿舍、新学员公寓、学生机房访问石油专网等;通过防火墙系统的正向地址转换功能对私有IP地址的职工宿舍、新学员公寓、老学员公寓、办公网、学生机房通过防火墙访问互联网中的地址时对源地址进行转换。对互联网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网
的某个地址,这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址,自身使用私有IP 地址就可以正常访问互联网,有效的解决了公有IP地址不足的问题。
其次在技校内网与防火墙之间采用透明模式部署一套天融信上网行为管理系统,针对职工宿舍、新学员公寓、老学员公寓、学生机房等进行管理,设置策略在上班时间生效(如9:00~12:00、13:00~18:00)针对职工宿舍、新学员公寓、学生机房的P2P应用,限定其上/下行速率,同时针对其IP的连接数、发起连接的速率等来进一步限制该IP的P2P下载;同时实时监控职工宿舍、新学员公寓、学生机房等用户的网络活动,并能将用户的上网活动生成清晰的数据报表。例如可以实时监控活动用户的每一个会话连接,并能够准确识别出每一个会话所属应用类别;可以实时监控所有用户的网络活动,并生成数据统计报表;可以实时监控每一网络接口的流量状态,并生成动态折线图。
最后在技校内网会聚交换机以旁路的方式部署一套盈高入网规范系统,针对内网用户使用电脑接入技校内网时进行定期安全检查,所使用的电脑安全性达到入网规范的要求才能接入到技校内网,未达到入网规范的要求时将此电脑移至隔离区,在隔离区手动修复后检查达到入网规范要求时才能接入技校内网;针对外来人员需要接入技校内网时由管理人员对其进行授权后并达到入网规范要求才能接入技校内网.
江西石油技校网络改造
方案二
如图所示,我们在方案一的基础上针对核心设备采用冗余的方式,解决因核心设备出现故障导致整个内部网络系统不能为用户提供服务的单点故障。在核心设备正常工作的情况下,职工宿舍、办公网、培训教室通过防火墙A访问互联网和石油专网,新学员公寓、老学员公寓、学生机房通过防火墙B访问互联网和石油专网;当防火墙A出现故障时,职工宿舍、办公网、培训教室也通过防火墙B 访问互联网和石油专网,当防火墙B出现故障时,新学员公寓、老学员公寓、学生机房通过防火墙A访问互联网和石油专网。
方案三
如图所示,我们在方案二的基础上新增移动办公用户通过VPN接入技校内网,移动办公用户通过加密隧道的方式在互联网上虚拟出一条专用通道来访问内部资源,通过VPN多合一网关解决了数据在互联网上传输的安全,SSL VPN属于应用层VPN技术,协议定义了完整的安全机制,对用户数据的完整性和私密性都有完善的保护;由于在windows等操作系统中的IE浏览器已经支持了完整的SSL 协议,因此原理上将对于B/S应用是无需安装客户端软件的,部署使用较为简单。主要适用与移动用户接入并访问B/S结构的应用系统,对于C/S应用的支持仍然需要安装客户端的插件。
在公众服务器区新增入侵防御系统,在基于TCP/IP的网络中,普遍存在遭受攻击的风险。除了恶意的攻击外,非恶意目的发起的攻击也是非常重要的一部分。有效的入侵防御系统可以同时检测内部和外部威胁。入侵防御系统的目的是检测恶意和非预期的数据和行为(如变更数据、恶意执行、允许非预期资源访问的请求和非预期使用服务)。一旦入侵被检测到,会引发某种响应(如断开攻击者连接、通知操作员、自动停止或减轻攻击、跟踪攻击来源或适当地反攻击)。
四、产品功能介绍
1.天融信防火墙TG-470C
网络卫士系列防火墙NGFW4000系列产品,是天融信公司积累多年网络安全产品开发与实践经验的应用最为广泛的防火墙。它继承了天融信公司十多年来在安全产品研发中的积累的多项成果,以自主知识产权的网络安全操作系统TOS (Topsec Operating System)为系统平台,采用开放性的系统架构及模块化的设计思想,充分体现了天融信公司在长期的产品开发和市场推广过程中对于用户需求的深刻理解。
完全内容检测CCI技术
网络卫士防火墙采用最新的CCI技术,提供对OSI网络模型所有层次上的网络威胁的实时保护。网络卫士系列防火墙可对还原出来的应用层对象(如文件、网页、邮件等)进行病毒查杀,并可检查是否存在不良WEB内容、垃圾邮件、间谍软件和网络钓鱼欺骗等其他威胁,实现彻底防范。
广泛的网络适应性
支持基于源地址、目的地址、接口、Metric的策略路由,支持单臂路由,支持Trunk(802.1Q和ISL),能够在不同的VLAN虚接口间实现路由功能,支持IGMP组播协议和IGMP SNOOPING,支持对非IP协议IPX/NetBEUI的传输与控制。
先进的设计思想
采用面向资源的设计方法。把安全控制所涉及的各种实体抽象为对象,包括区域、地址、地址组、服务、服务组、时间表、服务器、均衡组、关键字、文件、特殊端口等。不同对象的实体组成资源,用于描述各种安全策略,实现全方位的安全控制。极大地提高了网络安全性,并保证了配置的方便性。
强大的应用代理模块
具有透明应用代理功能,支持FTP、HTTP、TELNET、PING、SSH、FTP—DATA、SMTP、WINS、TACACS、DNS、TFTP、POP3、RTELNET、SQLSERV、NNTP、IMAP、SNMP、NETBIOS、DNS、IPSEC—ISAKMP、RLOGIN、DHCP、RTSP、MS-SQL-(S、M、R)、RADIUS-1645、PPTP、SQLNET—1521、SQLNET—1525、H.323、MSN、CVSSERVER、MS-THEATER、MYSQL、QQ、SECURID(TCP、UDP)PCANYWHERE、IGMP、GRE、PPPOE、IPV6等协议,可以实现文件级过滤。
强大的地址转换能力
网络卫士系列防火墙拥有强大的地址转换能力。网络卫士系列防火墙同时支持正向、反向地址转换,能为用户提供完整的地址转换解决方案。
正向地址转换用于使用私有IP地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。网络卫士系列防火墙支持依据源或目的地址指定转换地址的静态NAT方式和从地址缓冲池中随机选取转换地址的动态NAT方式,可以满足绝大多数网络环境的需求。对公众网来说,访问全部是来自于防火墙转换后的地址,并不认为是来自内部网的某个地址,这样能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址,自身使用私有IP 地址就可以正常访问公众网,有效的解决了公有IP地址不足的问题。
内部网用户对公众网提供访问服务(如Web 、FTP 服务等)的服务器如果是私有IP 地址,或者想隐藏服务器的真实IP 地址,都可以使用网络卫士系列防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址,由内部网使用保留IP 地址的服务器提供服务,同样既可以解决公有IP 地址不足的问题,又能有效地隐藏内部服务器信息,对服务器进行保护。网络卫士系列防火墙提供端口映射和IP 映射两种反向地址转换方式,端口映射安全性更高、更节省公有IP 地址,IP 映射则更为灵活方便。
卓越的网络及应用环境适应能力
支持众多网络通信协议和应用协议,如VLAN、ADSL、PPP、ISL、802.1Q、Spanning Tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPPoE、MS RPC 等协议,适用网络的范围更加广泛,保证了用户的网络应用。同时,方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制。
2.天融信上网行为管理TG-3314-ACM
基于提升网络试用效率的考虑,采用天融信公司的TopGate 300上网行为管理设备,,审核网络应用,优化网络带宽。可针对内网用户采用不同分组制定访问策略,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。同时丰富的日志报告功能,对于上网记录进行审核,利于发现网络的潜在威胁。
TopGate-ACM可为用户提供多种接入方式,其中包括旁路接入,透明/路由方式的接入。
旁路接入:对现有网络应用和网络拓扑不产生任何影响,不占用网络带宽。隐藏IP模式,用户无法发现系统,更无法攻击系统。
透明/路由:透明模式,不改变网络拓扑结构;路由模式中还支持源及目标地址转换,最大程度满足用户接入需求。
上网行为管理系统通常要监控上网用户、用户IP、用户MAC等内容,但在实际网络环境中,大多数的用户都会跨越三层交换机,当设备跨越三层交换机后,上网行为管理系统是无法监控到实际用户的MAC地址的。TopGate-ACM实现了与三层交换机的联动功能,使得用户在复杂网络环境中仍能监控到真实用户的详细信息。
TopGate-ACM为用户提供了四个层次的行为控制:
第一层:接入控制
TopGate-ACM采用实名制及IP管理,这种管理方式,使得用户名与IP地址、MAC地址实现统一规划和捆绑,未通过系统认证管理的用户禁止进入网络环境,极大保护了用户网络环境的安全。
第二层:网络权限控制
当用户通过网络接入允许的认证后,系统开始控制访问网络的协议及相关资源,并对应用带宽进行限制,网络中所有用户必须按照该限制进行网络访问。
第三层:协议及应用控制
当用户通过前两层控制后,此时系统对应用协议和应用软件进行控制,这些控制包括了IM聊天、P2P下载、收发邮件、URL访问、网游、股票等等一系列应用。
第四层:应用内容控制
当前用户行为都经过了前三层的应用控制后,接下来再对应用内容进行控制,其中包括了BBS发帖的内容、博客中的内容、聊天的内容、邮件中包含的内容等等进行控制。
这种多层次的行为管理控制不但为用户提供了详细的可视化审计、还为用户提供了详实的行为控制,真正实现了多层次的用户管理。
实时的活动监控
能够实时监控用户的网络活动,并能将用户的上网活动生成清晰的数据报表。例如可以实时监控活动用户的每一个会话连接,并能够准确识别出每一个会话所属应用类别;可以实时监控所有用户的网络活动,并生成数据统计报表;可以实时监控每一网络接口的流量状态,并生成动态折线图。
详细的带宽控制
能够针对用户/用户组、IP/IP段、应用/应用组等对象来进行上/下行速度、连接数、连接速率以及时间等多方面的带宽控制。例如针对P2P应用,如果要针对某一个IP段设置策略,希望控制其在上班时间的P2P下载,那么可以针对该IP段设置希望控制的上/下行速率、设置策略在上班时间生效(如9:00~12:00、
13:00~18:00),另外还可以根据情况设置该IP段中各个IP的连接数、发起连接的速率等来进一步限制该IP段中每一IP的P2P下载。
并可实时查看用户带宽使用情况
详细的内容审计
能够对SMTP、POP、WebMail、BBS、MSN、飞信、Yahoo通等等多种能够发送具体内容的应用进行内容审计。例如对BBS发帖的监控,一旦开启了对用户BBS 发帖(网页提交)的监控,那么无论用户在论坛、新闻评论、网络社区等发布任何信息,设备都可以完整的对这些内容进行审计记录,并可针对关键字进行报警。
内容回放功能:能够将用户的网络行为完整的记录下来,进行事后的回放。例如对于SMTP、POP等邮件,可以完整的记录邮件的收、发件人、发件时间、主题甚至内容和附件,管理员可以根据这些记录的内容来回放用户的这些行为。
支持网页的内容回放功能。
3.H3C S7503E核心交换机
核心交换机选用H3C公司的S7503E为全千兆3层设备,满足公司内部网络交换需求。将原有的所有楼层交换机光纤线路全部迁移到S7503E设备上,2台S7503E核心交换机做VRRP+MSTP,有效的提供了双机热备和负载均衡等功能。高性能IPv4/IPv6业务能力
H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经通过了信
息产业部的IPv6入网认证和IPv6 Ready第二阶段认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3C S7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
EAD端点准入防护技术
H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3C S7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP 等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF 单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3C S7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用
户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。
电信级的高可靠性,保障用户业务长期稳定运行
H3C S7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列可以在恶劣的环境下长时间稳定运行,达到99.999%的电信级可靠性。
多业务高可靠性运行
H3C S7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
4.接入交换机H3C 3100-26TP-EI
接入交换机采用H3C公司的S3100-26TP-EI. H3C S3100-EI系列交换机是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品,在满足高性能接入的基础上,提供更全面的安全接入策略和更强的网络管理维护易用性,是理想的安全易用接入层交换机.
H3C S3100-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、
变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S3100-EI系列交换机支持特有的ARP入侵检测功能,可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”,对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性,防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒,以及大流量地址仿冒带来的DoS攻击。另外,利用DHCP Snooping的信任端口特性还可以有效杜绝私设DHCP服务器,保证DHCP环境的真实性和一致性。
H3C S3100-EI系列交换机支持端口安全特性族,可以有效防范基于MAC 地址的攻击。可以实现基于MAC地址允许/限制流量,或者设定每个端口允许的MAC地址的最大数量,使得某个特定端口上的MAC地址可以由管理员静态配置,或者由交换机动态学习。
H3C S3100-EI系列交换机有强大硬件ACL能力,能深度识别报文,支持L2~L4包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、IP协议类型、TCP/UDP端口、TCP/UDP端口范围、VLAN、VLAN 范围等定义ACL,以便交换机进行后续的处理。并且支持基于端口、VLAN、全局定义和下发ACL策略
H3C S3100-EI系列交换机支持集中式MAC地址认证和802.1x认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合H3C公司的CAMS 系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。支持对Proxy 进行有效的管理。
增强的网络管理和维护的易用性
H3C S3100-EI系列交换机支持通过FTP、TFTP实现设备的远程升级,支持SNMP v1/v2/v3,可支持Open View等通用网管平台,以及iMC智能管理中心。支持CLI命令行,Web网管,Telnet,HGMP集群管理,使设备管理更方便。
H3C S3100-EI系列交换机支持跨交换机的远程端口镜像RSPAN,可以将接入端口的流量镜像到核心交换机上,可以对全网业务和流量进行监控、优化部署
和恶意攻击监控,满足园区网精细化管理的需要。
H3C S3100-EI系列交换机支持VCT(Virtual Cable Test)电缆检测功能,便于快速定位网络故障点;并支持DLDP(Device Link Detection Protocol)单向链路检测协议,可以有效的防止网络中单通故障的发生,大幅提高网络维护效率,切实将设备的易用性带给用户。
高性能与灵活扩展能力
H3C S3100-EI系列交换机具有19.2G的背板交换容量,支持所有端口线速转发,满足了用户对高带宽的需求。设备支持2个GE上行,采用2个固定10/100/1000兆自适应电口和2个复用的通用SFP端口,并且SFP端口既可以支持百兆光模块,也可以支持千兆光模块,在降低用户成本的同时,更好的考虑了用户后续升级的实际需求。
H3C S3100-EI系列交换机采用专利技术,允许交换机利用专用互联电缆实现多达16台设备的堆叠,最大扩展至384个10/100M端口,支持不同端口设备的混合堆叠。具有即插即用、单一IP管理。同时大大降低系统扩展的成本,保护了用户投资。
丰富的业务支持能力
H3C S3100-EI系列交换机支持PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如IP Phone, Wireless AP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。
H3C S3100-EI系列交换机支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种队列调度算法,支持每个端口4个输出队列,可以以不同的优先级将报文放入端口的输出队列.