網(wǎng)絡(luò)搭建技術(shù)方案

1、word 目錄 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第1章項目概述叁,1 HYPERLINK l bookmark4 o Current Document 網(wǎng)絡(luò)改造總體要求 2 HYPERLINK l bookmark6 o Current Document 網(wǎng)絡(luò)運維風險分析 2 HYPERLINK l bookmark8 o Current Document 第2章網(wǎng)絡(luò)升級改造方案 3網(wǎng)絡(luò)方案設(shè)計原則 4網(wǎng)絡(luò)拓撲圖 5辦公外網(wǎng)升級改造 6路由設(shè)計規(guī)劃7網(wǎng)絡(luò)IP地址規(guī)劃8網(wǎng)絡(luò)安全運維 9物理環(huán)境安全措施 9網(wǎng)絡(luò)傳輸質(zhì)量

2、QOS 10交換網(wǎng)絡(luò)安全方面考慮和措施 12計算機終端病防毒措施 17網(wǎng)絡(luò)安全運維管理方案 18安全體系建設(shè)18網(wǎng)絡(luò)安全運維管理制度建設(shè) 18網(wǎng)絡(luò)安全運維管理手段 20網(wǎng)絡(luò)運維管理平臺方案 21無線網(wǎng)絡(luò)部署方案 24銳捷無線網(wǎng)絡(luò)架構(gòu)優(yōu)勢 24部署便捷，無縫接入現(xiàn)有網(wǎng)絡(luò) 24無線設(shè)備管理 25無線AP吾B署26網(wǎng)絡(luò)升級改造設(shè)備清單 26第1章項目概述第1章公司目前的構(gòu)架：總部一分廠一站?？偛客ㄟ^100M移動寬帶連接因特網(wǎng)；分廠使用20M 移動專線連接至總部，各分廠無物理連接；站利用2M移動專線連接直屬分廠，各站無物理連接。目前使用用友 ERP套件，包括：財務(wù)套件、OA套件；并架設(shè)了域服務(wù)器。網(wǎng)絡(luò)

3、改造總體要求由于目前公司網(wǎng)絡(luò)存在管理無序、網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)設(shè)備老化等問題，作為外資公司在信息化建設(shè)相對滯后， 公司目前還沒有實現(xiàn)辦公區(qū)域無線網(wǎng)絡(luò)覆蓋，建議在保障網(wǎng)絡(luò)安全的前提條件下，實現(xiàn)辦公區(qū)域?qū)崿F(xiàn)網(wǎng)絡(luò)覆蓋。網(wǎng)絡(luò)運維風險分析1、黑客、工業(yè)間諜攻擊網(wǎng)絡(luò)黑客或工業(yè)間諜的入侵行為往往不易被察覺，就算察覺到了，也很難快速定位網(wǎng)絡(luò)漏洞在哪里，攻擊方式是什么，攻擊源在哪里都不容易排查出來。2、新型木馬、蠕蟲病毒入侵木馬，蠕蟲等病毒通常是黑客入侵的第一步，裝了殺毒軟件和防火墻也很難完全杜絕木馬病毒的入侵。博慶公司工作人員網(wǎng)絡(luò)安全防范意識參差不齊，往往成為攻擊的入口。3、信息泄密公司內(nèi)部的重要信息通常是通過內(nèi)

4、網(wǎng)進行傳輸?shù)模瑢τ诜婪锻獠抗羰前踩模?但是難以避免 “變質(zhì)”的人員通過各種手段進行信息截取，把重要信息泄露給敵對勢力或商業(yè)對 手。最近幾年已經(jīng)發(fā)生了多起信息泄密的事件，給企業(yè)帶了無法估量的損失。4、互聯(lián)網(wǎng)網(wǎng)絡(luò)帶寬被 P2P下載，在線視頻占用如果內(nèi)網(wǎng)出現(xiàn)了 P2P下載或在線視頻，將會使互聯(lián)網(wǎng)帶寬的出口很快被吞噬殆盡，影響正常的網(wǎng)絡(luò)應用系統(tǒng)。5、網(wǎng)絡(luò)設(shè)備老化公司當前使用的網(wǎng)絡(luò)產(chǎn)品大多數(shù)在5年以上，達到的設(shè)備強制報廢的年限， 網(wǎng)絡(luò)設(shè)備參差不齊，不利于后續(xù)的網(wǎng)絡(luò)維護工作。6、網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理還是處于傳統(tǒng)的人工管理階段，出現(xiàn)網(wǎng)絡(luò)問題的時候往往依靠網(wǎng)絡(luò)工程師的經(jīng)驗去判斷故障點，反應時間相對滯后。第2章

5、網(wǎng)絡(luò)升級改造方案第2章網(wǎng)絡(luò)方案設(shè)計原則結(jié)合實際應用和發(fā)展要求，在進行網(wǎng)絡(luò)系統(tǒng)設(shè)計時，主要應遵循以下原則：1）高性能：網(wǎng)絡(luò)要求具有數(shù)據(jù)、語音、視頻等多媒體實時通訊能力。主干網(wǎng)應提供可保 證的服務(wù)質(zhì)量和充足的帶寬。采用最新科技，以適應大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。 整個系統(tǒng)在國內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長足的發(fā)展能力，以適應未來網(wǎng)絡(luò)技術(shù)的發(fā)展。如：具有三層及以上線速交換能力；支持靈活的跨網(wǎng)絡(luò)交換機（主干、部門）的基于端口的VLAN劃分功能。2）高可靠性：網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應用系統(tǒng)的基礎(chǔ)設(shè)施，應保證工作日和重點時期不間斷運行。整個網(wǎng)絡(luò)應有足夠的冗余， 設(shè)備在發(fā)生故障時能以熱備份，

6、熱切換和熱插拔 的方式在最短時間內(nèi)加以修復。 可靠性還應充分考慮網(wǎng)絡(luò)系統(tǒng)的性價比， 使整個網(wǎng)絡(luò)具有一 定的容錯能力，減少單點故障。3）標準化：所有網(wǎng)絡(luò)設(shè)備都應符合有關(guān)國際標準以保證不同廠家網(wǎng)絡(luò)設(shè)備之間的互操作 性和網(wǎng)絡(luò)系統(tǒng)的開放性。4）可擴充性：所有網(wǎng)絡(luò)設(shè)備不但滿足當前需要，并在擴充模塊后滿足可預見將來需求。 網(wǎng)絡(luò)設(shè)計要考慮本期網(wǎng)絡(luò)系統(tǒng)應用和今后網(wǎng)絡(luò)的發(fā)展，便于向更新技術(shù)的升級與銜接。要留有擴充余量，包括端口數(shù)量和帶寬的升級能力。5）易管理性：網(wǎng)絡(luò)設(shè)備應易于管理，易于維護，操作簡單，易學，易用，便于進行網(wǎng)絡(luò) 配置，發(fā)現(xiàn)故障。6）支持多媒體：支持文本、語音、圖形、圖像及音頻、視頻等多種媒體信息的

7、傳輸、查 詢服務(wù)，具有多種基于優(yōu)先級隊列的 QoS保證，多媒體應用對服務(wù)質(zhì)量有很高的要求，如帶寬，延遲，延遲的變化等，需要網(wǎng)絡(luò)對服務(wù)質(zhì)量（QoS）有很好的支持。7）安全性：網(wǎng)絡(luò)系統(tǒng)的數(shù)據(jù)和文件多數(shù)要求具有高度的安全性，因此，網(wǎng)絡(luò)系統(tǒng)本身要有較高的安全性，對使用的信息進行嚴格的權(quán)限管理，在技術(shù)上提供先進的、可靠的、全面 的安全方案和應急措施，確保系統(tǒng)萬無一失。同時符合國家關(guān)于網(wǎng)絡(luò)安全標準和管理條例。8）實用性：系統(tǒng)建設(shè)首先要從系統(tǒng)的實用性角度出發(fā)，滿足不同用戶信息服務(wù)的實際需要,具有很高的性能價格比，能為多種應用系統(tǒng)提供強有力的支持平臺。2.1.1 網(wǎng)絡(luò)拓撲圖Internet100M20M2M廠

8、（PC100 臺）二層交換機路由器站（PC30臺）站從拓撲圖，可分析公司目前的網(wǎng)絡(luò)弊端：1、公司目前只擁有1臺網(wǎng)絡(luò)安全產(chǎn)品，只能管控從因特網(wǎng)對內(nèi)部網(wǎng)絡(luò)的攻擊，并且兼顧著路由器的功能；2、內(nèi)部網(wǎng)絡(luò)無上網(wǎng)行為管理軟硬件，；3、路由器不支持動態(tài)路由協(xié)議，網(wǎng)絡(luò)龐大后，維護量巨大；4、公司目前是二層網(wǎng)絡(luò)，無法控制廣播風暴，易造成網(wǎng)絡(luò)擁塞；5、用戶使用移動終端更換廠區(qū)時，需手動設(shè)置IP;沒有相應的接入認證，易造成他人竊取公司機密。2.1.2 辦公外網(wǎng)升級改造辦公樓外網(wǎng)升級改造示意圖單位通過以網(wǎng)關(guān)、 網(wǎng)橋、或旁路模式部署深信服上網(wǎng)行為管理產(chǎn)品，可以有效對內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)應用行為進行管理。上班時間，封掉影響

9、業(yè)務(wù)效率的非業(yè)務(wù)應用及相關(guān)網(wǎng)站；對擠占公司帶寬資源的應用進行流量控制，確保主流的辦公應用帶寬資源，以提高業(yè)務(wù)應用的辦公效率具體而言，深信服封堵非業(yè)務(wù)網(wǎng)絡(luò)應用解決方案，將給我們帶來下述價值：1、全方位封堵p2P ,確保正常辦公業(yè)務(wù)帶寬P2P應用給用戶帶來了前所未有的速度體驗與資源共享，但也擠占了我們大量的帶寬資源。P2P的帶寬占用問題已經(jīng)成為每個IT管理者頭痛的問題，其所帶來的負作用日漸凸顯。鑒于此，深信服上網(wǎng)行為管理設(shè)備通過檢測網(wǎng)絡(luò)軟件數(shù)據(jù)包特征碼，可以對常用軟件進行徹底封堵，包括 BT eMule、PPLive、QQLive等。對于加密 BT、不常用的和未知版本的 P2P 軟件，深信服獨有的

10、網(wǎng)絡(luò)行為智能分析技術(shù)使其同樣難逃法網(wǎng)。有些部門和領(lǐng)導因業(yè)務(wù)需要使用P2P,在全面封堵的同時，深信服上網(wǎng)行為管理設(shè)備還可以提供P2P流控功能，即允許指定用戶使用 P2P,但對其占用的帶寬進行控制。對不同用戶，按時間段進行P2P應用封堵、帶寬分配與流量控制， 深信服上網(wǎng)行為管理設(shè)備可有效平 衡公司內(nèi)部架構(gòu)要求、提升核心業(yè)務(wù)辦公效率。2、針對性應用管控，對事張馳有度現(xiàn)在，網(wǎng)絡(luò)應用不斷推陳出新，IT管理人員難以及時收集網(wǎng)絡(luò)及軟件版本，并制定相應管理策略；他們即使花費了大量的精力實現(xiàn)了收集工作，也很難實現(xiàn)對其全面的識別和管理。為此，深信服針對不斷更新的網(wǎng)絡(luò)應用軟件來收集軟件類型與版本，不斷更新自己的應用

11、規(guī)則識別庫。目前，深信服上網(wǎng)行為管理應用規(guī)則識別庫已成為國內(nèi)最大的應用規(guī)則識別 庫，超過400條的應用協(xié)議規(guī)則， 數(shù)十條的無間斷不定期更新數(shù)量，專業(yè)化的應用規(guī)則識別管理團隊，這一切都使得深信服上網(wǎng)行為管理設(shè)備能精確識別各種網(wǎng)絡(luò)應用行為，并對其進行有效管理。3、選擇性內(nèi)容過濾，方式靈活除針對網(wǎng)絡(luò)應用軟件外，深信服上網(wǎng)行為管理設(shè)備還內(nèi)置了千萬條級的URL庫，對URL庫按照20個大類進行了劃分?；诖耍琁T管理者可以方便地對娛樂、購物、游戲、影視等 網(wǎng)站進行控制和屏蔽，同時用戶可手工輸入新分類和新URL地址，這進一步增強了網(wǎng)管人員工作的靈活性。同時，深信服上網(wǎng)行為管理設(shè)備針對通過HTTP FTP等上

12、傳下載的電影等大文件，可以根據(jù)關(guān)鍵字如 avi、rmvb、mpeg進行文件過濾，以保證核心業(yè)務(wù)的帶寬。4、差異化權(quán)限劃分，構(gòu)建和諧組織對于以上管控，深信服上網(wǎng)行為管理設(shè)備可根據(jù)不同用戶、 不同部門的差異化網(wǎng)絡(luò)使用 權(quán)限，人性化管控整個單位。 如給銷售部門足夠的網(wǎng)頁瀏覽權(quán)限， 以方便其網(wǎng)上尋找客戶資 源，而對后勤人員則封掉 P2P應用、游戲與炒股網(wǎng)站等。2.1.3 路由設(shè)計規(guī)劃(1)網(wǎng)絡(luò)的可靠性：通過動態(tài)路由協(xié)議的實施，在網(wǎng)絡(luò)拓撲的配合下，避免網(wǎng)絡(luò)中出 現(xiàn)的單故障點，提高網(wǎng)絡(luò)的生存能力。(2)流量的負載分擔：必須使網(wǎng)絡(luò)的流量能夠比較合理地分布在各條電路上。(3)網(wǎng)絡(luò)的擴展性：使得網(wǎng)絡(luò)的擴展可以在

13、現(xiàn)有的網(wǎng)絡(luò)的基礎(chǔ)上通過簡單的增加設(shè)備 和提高電路帶寬的方法來解決。(4)對業(yè)務(wù)流量模型變化的適應性：未來網(wǎng)絡(luò)的業(yè)務(wù)流量模型將會隨業(yè)務(wù)的發(fā)展而不 斷發(fā)生變化，因此路由策略可以根據(jù)流量變化方便進行調(diào)整。(5)降低管理復雜程度：路由協(xié)議應使得故障定位和流量的調(diào)整的難度和復雜性降低。2.1.4 網(wǎng)絡(luò)IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計中的重要一環(huán)，大型計算機網(wǎng)絡(luò)必須對 IP地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性 能，影響到網(wǎng)絡(luò)的擴展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應用的進一步發(fā)展。IP地址空間分配，要與網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)相適應，既要有效地

14、利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性和靈活性， 同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時要遵循以下原則：唯一性：保證網(wǎng)絡(luò)上面不同時出現(xiàn)兩個相同IP地址的設(shè)備。連續(xù)性：IP地址的連續(xù)性有利于路由的聚合，尤其是在目前的分層網(wǎng)絡(luò)中，能極大的 縮減路由表的規(guī)模，有利于QOS勺部署。業(yè)務(wù)相關(guān)性：同種業(yè)務(wù)的 IP地址盡量在一個地址段中，便于業(yè)務(wù)的控制。擴展性：IP地址規(guī)劃時留有一定預留，便于在網(wǎng)絡(luò)擴展時能延續(xù)網(wǎng)絡(luò)的連續(xù)性。節(jié)約性：目前公網(wǎng)IP地址非常寶

15、貴，規(guī)劃時盡量的節(jié)約地址。IP地址分配既要考慮到擴充，又要能做到連續(xù)；盡量分配連續(xù)的IP地址空間，并為將來的網(wǎng)絡(luò)擴展預留一定的地址空間；在每個地市網(wǎng)絡(luò)中，相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制。IP地址的分配必須采用 VLSM技術(shù)，保證IP地址的利用率；采用 CIDR技術(shù)，可減小路 由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。2.2網(wǎng)絡(luò)安全運維對于公司辦公網(wǎng)絡(luò)系統(tǒng)來說，網(wǎng)絡(luò)面臨的威脅及可能承擔的風險進行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定系統(tǒng)的安全策略。一個較好的安全措施往往是多種方 法適當綜合的應用結(jié)果。另一方

16、面，網(wǎng)絡(luò)安全和網(wǎng)絡(luò)易訪問是一對矛盾，因此要掌握好網(wǎng)絡(luò)安全控制度的問題，不能顧此失彼。大多數(shù)人談到安全，認為只是確保用戶只執(zhí)行被授權(quán)的 任務(wù)，只獲得能得到的信息，不破壞數(shù)據(jù)、應用程序或系統(tǒng)操作環(huán)境。其實，安全一方面意 味著防止外界的惡意攻擊，另一方面還包括控制錯誤結(jié)果和設(shè)備故障。再安全的網(wǎng)絡(luò)設(shè)備離不開人的管理，再好的安全策略最終要靠人來實現(xiàn)，因此管理是整個網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對于一個比較龐大和復雜的網(wǎng)絡(luò)，更是如此。因此我們有必要認真的分析管理所帶來的安全風險，并采取相應的安全措施。責權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。責權(quán)不明，管理混亂，使得

17、一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。當網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預警。同時，當事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)， 即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記 錄，及時發(fā)現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解 決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。物理環(huán)境安全措施保證計算機信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)

18、絡(luò)系統(tǒng)安全的前提。物理安全是保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災、火災等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。它主要包括三個方面：環(huán)境安全對系統(tǒng)所在環(huán)境進行安全保護，如區(qū)域保護和災難保護。這要求城域網(wǎng)的網(wǎng)絡(luò)中心環(huán)境，要進行必要的環(huán)境安全保護（如環(huán)境隔離）和災難保 護（如數(shù)據(jù)備份）等。設(shè)備安全設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁 干擾、電源保護和設(shè)備冗余備份等。這些措施通過嚴格管理及提高員工的整體安全意識來實 現(xiàn)。這要求網(wǎng)絡(luò)管理人員要嚴格執(zhí)行網(wǎng)絡(luò)中心的安全管理措施，避免非必要人員接觸網(wǎng)絡(luò) 系統(tǒng)設(shè)備，監(jiān)督系統(tǒng)環(huán)境和周圍

19、環(huán)境。媒質(zhì)安全包括媒質(zhì)數(shù)據(jù)的安全及媒質(zhì)本身的安全。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除 網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴散。計算機系統(tǒng)通過電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗證工作也證實這種截取距離在幾百甚至可達千米的復原顯示技術(shù)給計算機系統(tǒng)信息的保密工作帶來了極大的危害。為了防止系統(tǒng)中的信息在空間上的擴散，通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這要求網(wǎng)絡(luò)中心作好必要的數(shù)據(jù)備份工作和媒質(zhì)保存工作，同時如果必要還要實行機 房的防輻射措施。網(wǎng)絡(luò)傳輸質(zhì)量QOS網(wǎng)絡(luò)業(yè)務(wù)模型設(shè)計業(yè)務(wù)類別MPLS VPNIP路由隊列和丟包

20、機制業(yè)務(wù)和業(yè)務(wù)流舉例EXP (BW Rate)DSCP PHB網(wǎng)絡(luò)管理EXP6 Q7(5%)CS6BW QueueSNMP SSH Syslog專網(wǎng)語音EXP5 Q6(15%)EFPriority Queue (PQ)H323、RTP音流高清會議EXP4 Q5(20%)CS4Priority Queue (PQ)MGCP RTPB頻流辦公業(yè)務(wù)EXP2 Q3(25%)AF2BW Queue+ DSCP WREDE-Mail、Notes 等批量數(shù)據(jù)EXP1 Q2(10%)AF1BW Queue+ DSCP WREDFTP、文件共享、備份盡力轉(zhuǎn)發(fā)EXP0 Q1(25%)DefaultDefault

21、Queue + RED其他應用說明：業(yè)務(wù)種類：包括網(wǎng)絡(luò)管理、專網(wǎng)語音、高清會議、辦公業(yè)務(wù)、批量數(shù)據(jù)和其他盡力轉(zhuǎn) 發(fā)類業(yè)務(wù)。業(yè)務(wù)識別：按照實際業(yè)務(wù)類型劃分，如對媒體業(yè)務(wù)采用IP方式進行識別，對數(shù)據(jù)類業(yè)務(wù),采用TCP/UD踹口號進行識別，并對所有業(yè)務(wù)進行DSC優(yōu)先級標識。優(yōu)先級映射：在 P豉備上啟用MPLS EX林DIP DSCP的優(yōu)先級映射關(guān)系，H3強備支持以上表格中的優(yōu)先級映射關(guān)系。帶寬分配和限速：可參考上面表中帶寬分配比例，實施時需要結(jié)合實際業(yè)務(wù)流量分布 和業(yè)務(wù)規(guī)劃再做調(diào)整。對語音、視頻業(yè)務(wù)要進行帶寬限速。隊列調(diào)度和丟包機制：在 CEFDPE由器上，分別根據(jù)IP DSCP和MPLS EX進行

22、有差別的 隊列調(diào)度（PQ CQ WFQ CB降），其中對于P豉備，基于部門劃分和業(yè)務(wù)類別，推薦采用 H-QoSa列和丟包機制。對于擁塞隊列，采用WRED行擁塞避免和處理。WRED網(wǎng)絡(luò)的瓶頸處監(jiān)視并緩解網(wǎng)絡(luò)的擁塞。一般在接入層出現(xiàn)擁塞的概率比較大。WRED視網(wǎng)絡(luò)的負載，當擁塞開始剛出現(xiàn)時， 它就開始有選擇的丟棄一些包以降低流量。WRED包的策略為：低優(yōu)先級的流先丟，以保證高優(yōu)先級的流可以順暢通過。在可能發(fā)生擁塞的端口運行 WRED避免擁塞的較好選擇。在具體實現(xiàn)中，為了達到最好的效率，需要對任務(wù)進行分工。因為Qo曝一個需要消耗很多處理器資源的應用，所以這一任務(wù)分配在邊緣和核心路由器上運行，以減少對

23、單獨路由器的壓力。 媒體業(yè)務(wù)Qo毀計要求媒體業(yè)務(wù)交互性單路帶寬突發(fā)流量時延要求抖動要求丟包要求專網(wǎng)語音是100Kbps無150ms30ms1%視頻會議是4 8Mbps有150ms10ms0.1%高清會議是220Mbps有150ms10ms0.05%監(jiān)控存儲否1 8Mbps無500ms30ms3%監(jiān)控實況否1 16Mbps有300ms10ms0.5%監(jiān)控回放否1 8Mbps有1000ms100ms0.1%媒體流特征:視頻流：帶寬220Mbp杯等（依編解碼而不同）每秒 30幀，每幀由長度不等的包組成， 因此媒體流存在突發(fā)流量。抖動的防止：產(chǎn)生的原因：媒體流的突發(fā)流量和網(wǎng)絡(luò)設(shè)備的排隊時延變化是抖動產(chǎn)

24、生的主要原因。比如排隊平均時延是100ms,最小排隊時間95ms,最大105ms,那么抖動范圍就是10mso防止的方式：增加沿途設(shè)備和媒體終端的Buffer或者在視頻轉(zhuǎn)發(fā)隊列進行整形。對于高清視頻，我們建議通過全網(wǎng) Qo殷計使抖動不超過10mso有了合適的網(wǎng)絡(luò)帶寬并不能就完全保證各種業(yè)務(wù)需要的服務(wù)質(zhì)量。在網(wǎng)絡(luò)中，數(shù)據(jù)業(yè)務(wù)具有突發(fā)性特點，還有如 FTP （文件傳輸）這樣的“霸道”業(yè)務(wù)，在這些業(yè)務(wù)的突發(fā)期間將會造成網(wǎng)絡(luò)的過載及阻塞，雖然網(wǎng)絡(luò)設(shè)備（路由器）具有存儲轉(zhuǎn)發(fā)及速率適配的功能，但在這個擁塞期間如沒有任何措施進行處理，則將影響業(yè)務(wù)的實時特性，如IP電話斷音、視頻業(yè)務(wù)大量丟幀，嚴重情況下還可能導

25、致整個政務(wù)辦公系統(tǒng)中斷等后果。保證實時業(yè)務(wù)優(yōu)先發(fā)送，限制“霸道”業(yè)務(wù)對網(wǎng)絡(luò)的占用，從邊緣接入層就開始部署，是構(gòu)建QoS呆障方案的一個基本思想。在當前網(wǎng)絡(luò)平臺上，有多種需要實時性保障的關(guān)鍵業(yè)務(wù)，如實時文件傳送系統(tǒng)和視頻會議系統(tǒng)，都是實時業(yè)務(wù)，當然，其中假設(shè)實時文件系統(tǒng)是關(guān)鍵業(yè)務(wù)，還有其它業(yè)務(wù)如內(nèi)部管理等業(yè)務(wù)也需要保證一定的互通性，因此當網(wǎng)絡(luò)發(fā)生資源爭用時，就不能簡單地將關(guān)鍵業(yè)務(wù)置于優(yōu)先就可以了，這需要結(jié)合多種Qo皴術(shù)及策略來為各種業(yè)務(wù)提供需要的服務(wù)質(zhì)量。各種業(yè)務(wù)能有一個比較均勻的速率在網(wǎng)上進行發(fā)送，可以減少網(wǎng)上業(yè)務(wù)的時延及抖動，這就需要對一些會對網(wǎng)絡(luò)帶寬進行大量占用的非關(guān)鍵霸道業(yè)務(wù)（如FTP等）

26、進行帶寬的限制使用，而為了使關(guān)鍵業(yè)務(wù)得到較好的服務(wù)，又需要對關(guān)鍵業(yè)務(wù)提供一定的帶寬分配和保證，業(yè)務(wù)可以通過獲得網(wǎng)絡(luò)帶寬的占用而達到減少時延的目的。在路由器的QoS保障技術(shù)中，可以綜合使用CBQ CAR提供這樣的服務(wù)綜述：為了構(gòu)建一個安全、可靠、高效率的政法信息通信網(wǎng)工程絡(luò)，需要對整個辦公業(yè)務(wù)進行詳細的分析，對網(wǎng)絡(luò)傳輸帶寬進行統(tǒng)一的規(guī)劃，針對不同類型的業(yè)務(wù)提供有針對性的QoS保證策略，最終實現(xiàn)消除或者避免網(wǎng)絡(luò)擁塞，使發(fā)生擁塞的網(wǎng)絡(luò)迅速恢復正常。交換網(wǎng)絡(luò)安全方面考慮和措施建立了網(wǎng)絡(luò)，必然會有人對它進行攻擊，目前網(wǎng)絡(luò)的安全主要受到兩方面的威脅，一個是來自黑客的諸如 DoS之類的攻擊和黑客入侵，另外一

27、個是有可能被病毒感染交換機必須能保護與之相連的用戶和服務(wù)器。不同于那些可對網(wǎng)絡(luò)產(chǎn)生影響的攻擊， 很多針對用戶和服務(wù)器的攻擊都是檢測不到的。這些常稱為“中間人”攻擊的攻擊采用的是可從互聯(lián)網(wǎng)上下載的常用工具。這些工具采用多種不同的機制，可以被惡意用戶利用來窺探其他網(wǎng)絡(luò)用戶，這可導致機密信息的失竊以及違反保密政策。思科公司的交換機提供了很多內(nèi)置的安全特性，這些特性可保護LAN里的重要信息。(1)通過生成樹增強特性防止非法交換機連接兩種生成樹增強機制：BPDU Guard,當一個BPDUM某端口進入網(wǎng)絡(luò)時，可立刻禁用該 訪問端口，這可防止非法交換機連接到網(wǎng)絡(luò)并對生成樹設(shè)計造成潛在的破壞。對于那些可能導

28、致對根網(wǎng)橋進行重新計算的所有分組，RootGuard會讓該端口拒絕接收。(2) DHCP 監(jiān)聽 / DHCP Snooping多數(shù)單位網(wǎng)絡(luò)都是依靠 DHC睞進行IP地址分配的。而 DHC所不是安全的協(xié)議，因此 就使得與某個網(wǎng)絡(luò)相連的錯誤配置或惡意設(shè)備能很容易地對DHCW求作出響應，并向DHCP客戶機提供錯誤或惡意的信息，網(wǎng)絡(luò)襲擊者通常使用惡意 DHCP艮務(wù)器發(fā)出IP主機地址，并將其作為默認網(wǎng)關(guān)，在兩個端點之間重新轉(zhuǎn)發(fā)正常流量，從而竊取這兩個端點之間的所有流量。因此，這種襲擊也稱為中間人攻擊。此外，在互聯(lián)網(wǎng)上有一些工具會大量耗用某個DHCP范圍內(nèi)的所有可用IP地址，并可導致所有合法主機都不能獲取

29、 IP地址，進而導致網(wǎng)絡(luò)不可 用。DHCPSnooping可同時提供針對這兩種情況的保護。它可建立端口的可信/不可信狀態(tài)，因此可使網(wǎng)絡(luò)管理員能確定應允許哪些端口(和相關(guān)設(shè)備)作為DHCP艮務(wù)器，并拒絕所有其他端口上的DHCP艮務(wù)器活動。此外， DHCPSnooping可對DHCP組進行調(diào)查，并確保發(fā) 送DHCP青求的設(shè)備相關(guān)的物理 MACM址能匹配該DHCP青求內(nèi)部的MACM址。與端口安全相 結(jié)合，DHCP Snooping不允許耗用地址工具利用DHC兩在的不安全。在很多情況下，DHCPSnooping是與DHCP Option 82 一起使用的，后者可使交換機在DHCP組中插入有關(guān)它自己的信

30、息?？梢圆迦氲淖畛Ｒ娦畔⒕褪荄HCP青求的物理端口 ID。這可通過將IP地址關(guān)聯(lián)到某個具體交換機上的某個具體端口，為網(wǎng)絡(luò)提供很強的智能性，從而防止惡意設(shè)備和服務(wù)器的連接。(3)動態(tài)ARP檢測地址解析協(xié)議(ARP的最基本的功能是允許兩個站點在LAN網(wǎng)段上通信。攻擊者可能會發(fā)送帶假冒源地址的ARP包，希望默認網(wǎng)關(guān)或其它主機能夠承認該地址，并將其保存在ARP表中。ARP協(xié)議不執(zhí)行任何驗證或過濾就會在目標主機中為這些惡意主機生成記錄項， 從而提高了網(wǎng)絡(luò)易損性。目前，惡意主機可以在端點毫不知情的情況下竊取兩個端點之間的 談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽IP電話內(nèi)容。ARP(地址解析協(xié)議

31、)是另一種本身不安全的網(wǎng)絡(luò)服務(wù)，可從互聯(lián)網(wǎng)上下載Ettercap等軟件來實現(xiàn) ARP欺騙，可使惡意用戶利用這一行為并成為中間人，進而訪問他們不應訪問的機密信息，Ettercap 是一種“智能化嗅探器”，它可使有點或毫無技術(shù)能力的惡意用戶實時收集網(wǎng)絡(luò)里正在傳輸?shù)?的用戶名和密碼信息等。與DHCP Snooping一起使用時，Dynamic ARP Inspection 可防止某個主機在DHCF務(wù)器沒有為其分配的IP地址的情況下，發(fā)送未經(jīng)請求的ARP這種保護可防止ettercap 等工具利用ARP內(nèi)在的不安全。動態(tài)ARP檢測(DAI)能夠保證接入交換機 只傳輸“合法”的 ARP請求和答復。DAI能

32、夠截獲交換機上的每個 ARP包，中查ARP信息， 然后再更新交換機 ARP高速緩存，或者將其轉(zhuǎn)發(fā)至相應的目的地。利用ARP協(xié)議的攻擊是目前博慶公司域網(wǎng)中非常頻繁威脅非常大的一種攻擊方式。(4) IP Source GuardIP地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個地址，或者通過程序執(zhí)行地址欺騙?；ヂ?lián)網(wǎng)蠕蟲可以使用欺騙技術(shù)隱藏攻擊原發(fā)地的IP地址。利用IP源防護特性，攻擊者將無法冒用合法用戶的IP地址發(fā)動攻擊，該特性只允許轉(zhuǎn)發(fā)有合法源地址的包。某個主機還可通過故意配置或惡意企圖，從它所沒有或不應擁有的某個IP地址獲得流量。IPSource Guard與DHCP Snooping配合

33、使用時，可防止某個主機在沒有從合法DHCF務(wù)器獲得某個IP地址的情況下，獲得流量。IP Source Guard 會丟棄那些從某個不存在的來源發(fā) 起的DDO抽擊，即可防止它們利用某個主機從任何來源發(fā)送流量的能力，且只允許從通過 DHC城得的IP地址得到的流量。(5)對交換機第二層轉(zhuǎn)發(fā)表的泛洪攻擊第二層交換機根據(jù) MACM址建立轉(zhuǎn)發(fā)表，根據(jù)MACM址進行轉(zhuǎn)發(fā)、過濾和學習。然而，這個表只有有限的空間。MAC乏洪攻擊會迫使交換機學習偽MACM址，使CAM1過載，并使數(shù)據(jù)從整個第二層 VLAN域泛洪傳送。雖然這是第二層交換機的標準行為，但它仍可導致網(wǎng) 絡(luò)和主機性能的降低。為防止這種攻擊，Cisco交換

34、機提供了端口安全特性，即可限制某個給定端口所能學習的 MACM址的數(shù)目。如果有更多地址進入交換機，Cisco交換機會將這些端口置入限制模式，以保護網(wǎng)絡(luò)免受攻擊。這可確保某個給定端口只能學習數(shù)目不多的 MACM址，當學習其他地址時就會鎖定該端口。這樣，就能立刻阻止攻擊。(6)對交換機第三層轉(zhuǎn)發(fā)表的泛洪攻擊我們都知道蠕蟲感染了一臺電腦后，就會從該電腦往外發(fā)大量的包，目的地址都是隨機的，這些包先到交換機， 如果交換機的安全能力很弱，則交換機的CPlffi內(nèi)存很快就會被過度用完，最后，這些交換機就癱瘓了，指示燈一個顏色，全紅，而且燈不會閃，對外部不做 任何反映。很多蠕蟲都會改變來源和目的地IP地址或T

35、CP/UDP端口號，迫使交換機不得不學習成千上萬的新流量。通過改變IP、TCP或UDP言息，會導致交換機的 CPU載，如果交換機采用了基于流的交換機制，甚至會引起交換機癱瘓。 交換機不再交換或?qū)W習合法流量，而路由網(wǎng)絡(luò)也會受到嚴重影響。 有這種危害的最新蠕蟲包括紅色代碼(Code Red)、Slammer和Witty等。Cisco交換機均采用了基于網(wǎng)絡(luò)拓撲結(jié)構(gòu)而非流的交換機制Cisco快速轉(zhuǎn)發(fā)(CEF)。當路由協(xié)、議(OSPF EIGRP等)生成路由表時，會根據(jù)網(wǎng)絡(luò)前綴( IP子網(wǎng)的網(wǎng)絡(luò)部分)，而非 IP源-和目的地址的流信息來生成硬件轉(zhuǎn)發(fā)表。這種技術(shù)最初設(shè)計用來提高網(wǎng)絡(luò)對針對路由振蕩的彈性，也

36、可直接應用于防止蠕蟲攻擊。因為CEF并不關(guān)心網(wǎng)絡(luò)中的流量，所以第三層轉(zhuǎn)發(fā)表不會受到影響，控制層面的保護在這里得到體現(xiàn)。(7)對交換機CPU的攻擊蠕蟲和攻擊會產(chǎn)生大量的目的地址都是隨機的包，如slammer蠕蟲，一秒會發(fā)出 50M位的包，導致網(wǎng)絡(luò)設(shè)備的CPU內(nèi)存被過度使用而癱瘓或死機，消耗網(wǎng)絡(luò)資源，網(wǎng)絡(luò)通信中斷?？梢?，這樣的攻擊比攻擊計算機厲害。因此，網(wǎng)絡(luò)設(shè)備本身不安全，容易被黑客和蠕蟲 攻擊而癱瘓或死機。 尤其是網(wǎng)絡(luò)的核心設(shè)備，本身的安全能力和抗攻擊的能力，對網(wǎng)絡(luò)安全起著舉足輕重 影響全博慶公司的的作用。除攻擊交換機的轉(zhuǎn)發(fā)表之外，還可通過向CPU發(fā)送ARP分組等需要處理的控制信息來攻擊設(shè)備本身

37、的CPU處理能力和容量有限的 CPU!會過載，并導致路由更新或BPDU?真正的控制分組被丟棄。很多網(wǎng)絡(luò)管理者都熟知CPU以100%RJ用率運行時的后果：設(shè)備和網(wǎng)絡(luò)會變得不穩(wěn)定，設(shè)備死機。Cisco交換機可支持控制面板速率限制功能，它可限制向CPUt送分組的速率。 在正常運行時，不太可能有大量流量被送往CPU除非啟用基于軟件的特性。更不可能出現(xiàn)這些攻擊中所使用的那些類型的流 量以很高數(shù)據(jù)速率傳送給CPU的情況。這些類型的分組包括ICMP不能到達、ICMP重定向、CEF無路由、TTL超時以及進出訪問控制列表等。通過限制這些類型的分組發(fā)送給CPU的速率，丟棄超過特定速率的過多分組，確保CPU能夠處理

38、（很可能是丟棄）惡意分組，而不會發(fā)生故障。Cisco交換機可支持多個速率限制器，因此能限制攻擊所產(chǎn)生的分組等“壞流量”的速率，而允許路由協(xié)議等“好”流量通過。這就使CPU甚至在遭受攻擊時也能繼續(xù)處理正常系統(tǒng)任務(wù)。當 CPU和Memory的利用率到一定值（如 80%時，Cisco的網(wǎng)絡(luò)設(shè)備會報警且 開啟自我保護功能以防止黑客和蠕蟲針對網(wǎng)絡(luò)設(shè)備的CPU內(nèi)存的攻擊。（7）網(wǎng)絡(luò)設(shè)備安全措施從針對網(wǎng)絡(luò)設(shè)備的攻擊方式、種類進行統(tǒng)計和分析，我們建議針對城域網(wǎng)的設(shè)備的配 置應采取最小化配置原則，既關(guān)閉所有默認開啟但是不必需的服務(wù)。原則如下（該部分原則針對全網(wǎng)設(shè)備，因此考慮了多廠家因素）：關(guān)閉TCP和UDP勺小

39、服務(wù)；關(guān)閉finger服務(wù)；關(guān)閉http服務(wù)；關(guān)閉ftp服務(wù)；關(guān)閉bootp服務(wù)；關(guān)閉source-route 、ARP代理、定向廣播服務(wù)避免引發(fā)地址欺騙和DDo或擊；關(guān)閉ICMP網(wǎng)絡(luò)不可達、IP重定向、路由器掩碼回應服務(wù)，避免引發(fā)ARP欺騙、地址欺騙和DDoS擊；對SNMP艮務(wù)的community RO和RM符串采取高強度（8位以上，包含特殊字符、大小寫和數(shù)字），同時嚴格配置其訪問控制范圍；為BG理已置鄰居的口令機制，防范針對BGPW DDoSC擊；嚴格限制路由器 VTY AUX Console訪問范圍、登陸方式和超時時間；用戶驗證配置：配置用戶驗證方式以增強系統(tǒng)訪問的安全性；AAA方式配置

40、：配置AAA方式來增加用戶訪問安全性；路由命令審計配置：配置 AAA命令記賬來增強系統(tǒng)訪問安全性等。2.2.4計算機終端病防毒措施病毒是系統(tǒng)中最常見、威脅最大的安全問題來源，建立一個全方位的病毒防范系統(tǒng)是城域網(wǎng)安全體系建設(shè)的重要任務(wù)。目前主要采用病毒防范系統(tǒng)解決病毒查找、清殺問題。病毒防范系統(tǒng)的安裝實施要求為：能夠配置成分布式運行和集中管理，由防病毒代理和防病毒服務(wù)器端組成；防病毒客戶端安裝在系統(tǒng)的關(guān)鍵主機中，如關(guān)鍵服務(wù)器、工作站和網(wǎng)管終端；在防病毒服務(wù)器端能夠交互式地操作防病毒客戶端進行病毒掃描和清殺，設(shè)定病 毒防范策略；能夠從多層次進行病毒防范，第一層工作站、第二層服務(wù)器、第三層網(wǎng)關(guān)都能有

41、相應的防毒軟件提供完整的、全面的防病毒保護。網(wǎng)絡(luò)安全運維管理方案安全體系建設(shè)安全體系建設(shè)規(guī)范我們知道，整個網(wǎng)絡(luò)的安全需要一套統(tǒng)一的安全體系建設(shè)規(guī)范，此規(guī)范應結(jié)合城域網(wǎng) 的實際情況制定，然后統(tǒng)一實施。安全組織體系建設(shè)實施安全應先行管理，安全組織體系的建設(shè)勢在必行。在城域網(wǎng)建立網(wǎng)絡(luò)安全體系時 應建設(shè)領(lǐng)導委員會，該委員會應由主管領(lǐng)導、網(wǎng)絡(luò)管理員、安全操作員等人員組成，負責安 全系統(tǒng)的總體實施。主管領(lǐng)導應領(lǐng)導安全體系的建設(shè)實施，在安全實施過程中取得相關(guān)部門的配合；領(lǐng)導整個部門不斷提高系統(tǒng)的安全等級。網(wǎng)絡(luò)管理員應具有豐富的網(wǎng)絡(luò)知識和實際經(jīng)驗，熟悉本地網(wǎng)絡(luò)結(jié)構(gòu)，能夠制定技術(shù)和實施策略。安全操作員負責安全系

42、統(tǒng)的具體實施。網(wǎng)絡(luò)安全運維管理制度建設(shè)面對網(wǎng)絡(luò)安全的脆弱性，除在網(wǎng)絡(luò)設(shè)計上增加安全服務(wù)功能、完善系統(tǒng)的安全保密措 施外，還必須花大力氣加強網(wǎng)絡(luò)的安全管理。制定安全管理制度，實施安全管理的原則為：多人負責原則：每項與安全有關(guān)的活動都必須有兩人或多人在場，這些人應是系 統(tǒng)主管領(lǐng)導指派的，應忠誠可靠，能勝任此項工作；任期有限原則：一般地講，任何人最好不要長期擔任與安全有關(guān)的職務(wù)，以免誤 認為這個職務(wù)是專有的或永久性的；職責分離原則：除非系統(tǒng)主管領(lǐng)導批準，在信息處理系統(tǒng)工作的人員不要打聽、 了解或參與職責以外、與安全有關(guān)的任何事情。其具體工作為：確定該系統(tǒng)的安全等級；根據(jù)確定的安全等級，確定安全管理的

43、范圍;制定安全管理制度。完整的安全管理制度必須包括以下幾個方面：人員安全管理制度；操作安全管理制度；場地與設(shè)施安全管理制度；設(shè)備安全使用管理制度；操作系統(tǒng)和數(shù)據(jù)庫安全管理制度；運行日志安全管理制度；備份安全管理制度；異常情況管理制度；系統(tǒng)安全恢復管理制度；安全軟件版本管理制度；技術(shù)文檔安全管理制度；應急管理制度；審計管理制度；運行維護安全規(guī)定；第三方服務(wù)商的安全管理制度；對系統(tǒng)安全狀況的定期評估策略；對技術(shù)文檔媒體報廢管理制度；網(wǎng)絡(luò)安全運維管理手段安全技術(shù)管理體系是實施安全管理制度的技術(shù)手段，是安全管理智能化、程序化、自動化的技術(shù)保障。安全技術(shù)管理對OSI的各層進行綜合技術(shù)管理。網(wǎng)絡(luò)安全管理主

44、要安全體系的防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)安全設(shè)備進行管理。應用安全管理主要對安全體系的應用安全系統(tǒng)進行管理，如用戶認證系統(tǒng)的管理、病毒防范系統(tǒng)的管理。下面詳細描述安全管理技術(shù)。網(wǎng)絡(luò)安全管理在網(wǎng)管平臺、網(wǎng)管應用軟件的控制下，網(wǎng)管控制臺通過SNMP RMON、議與被管設(shè)備、主機、服務(wù)進行通信，實現(xiàn)有關(guān)的安全管理；維護并識別被管設(shè)備、主機、服務(wù)的身份，防止非法設(shè)備、主機、服務(wù)的接入，防止設(shè)備、主機、服務(wù)之間的非法操作；實時監(jiān)視被管設(shè)備、主機、服務(wù)的運行，發(fā)生異常時向管理員報警；維護被管設(shè)備、主機、服務(wù)的配置信息，防止非授權(quán)修改，配置遭到破壞時可自動恢 復；維護網(wǎng)絡(luò)的安全拓撲，確保網(wǎng)絡(luò)的正常運行，配置網(wǎng)

45、絡(luò)的安全策略，設(shè)置網(wǎng)絡(luò)邊界安全設(shè)備的訪問控制規(guī)則和數(shù)據(jù)包加解密處理方式；審計、分析網(wǎng)絡(luò)安全事件日志，形成安全決策報告；實現(xiàn)網(wǎng)絡(luò)安全風險集中統(tǒng)一管理，如入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)的管理。應用安全管理在應用安全管理平臺的支持下，安全管理員使用安全控制臺實施應用安全管理策略。安全管理員可以：建立和維護用戶賬號；建立和維護被管資源的連接和目錄；建立和維護訪問控制列表；統(tǒng)計、分析審計記錄信息；配置、維護安全平臺；網(wǎng)絡(luò)運維管理平臺方案為了更好的維護博慶公司網(wǎng)絡(luò)，實現(xiàn)科學化管理提高運維管理服務(wù)質(zhì)量，建議博慶公司組件獨立的網(wǎng)絡(luò)運維管理平臺。平臺聚焦于IT服務(wù)管理，整合以往對網(wǎng)絡(luò)、服務(wù)器與業(yè)務(wù)應用、安全設(shè)備和客

46、戶端 PC等的分割管理，提供包括網(wǎng)絡(luò)管理，系統(tǒng)管理，安全管理和值班管理等功能于一身，并融合了事件管理，故障管理，變更管理，配置管理和發(fā)布管理等ITIL標準的一體化的IT運維支撐平臺。達到了技術(shù)、功能、服務(wù)三方面的完全整合，實現(xiàn)了 IT服務(wù)支持過程的標準化、流程化、規(guī)范化。極大地提高了故障應急處理能力，提升了信息部門的管理效率和服務(wù)水平。IT運維管理平臺能夠幫助用戶整合支離的IT服務(wù)，幫助用戶實現(xiàn)由博慶公司部、單項、按部門開展運維服務(wù)向全博慶公司的、一體化的IT運維服務(wù)轉(zhuǎn)變，能夠幫助用戶由被動的“救火”的服務(wù)轉(zhuǎn)變成科學有效的流程服務(wù)化管理；能夠幫助用戶從根本上解決傳統(tǒng)運維工作中所存在的基礎(chǔ)臺帳管

47、理不規(guī)范、故障發(fā)現(xiàn)和解決滯后、運維知識不能共享、設(shè)備資產(chǎn)底數(shù)不清等突出問題。解決的問題：? 實時監(jiān)控博慶公司當前公安交警專網(wǎng)設(shè)備運行情況；? 實時監(jiān)控博慶公司防火墻入侵檢測系統(tǒng)，掌控整體網(wǎng)絡(luò)安全運維情況；? 提供主機、服務(wù)器、數(shù)據(jù)庫中間件應用運維管理；? 大屏幕展示交警中隊信息中心整體運行情況；篋中運行管理平臺COSS運行管理服務(wù)濠程曾也維一運行席班 曼源管理知識除數(shù)交接據(jù)揉口費恭送拴NCC數(shù)居接口適配黑系皖,源監(jiān)授通黃潺曉桂B(yǎng)CCDCC防火場曲/防隔看主機/觸照中叵h/底用直面喇i網(wǎng)絡(luò)資源監(jiān)控（NCC）? 自動、準確、及時地發(fā)現(xiàn)各類異構(gòu)復雜網(wǎng)絡(luò)的拓撲結(jié)構(gòu)；? 可持續(xù)地監(jiān)視、報告網(wǎng)絡(luò)的運行情況

48、；? 提供網(wǎng)絡(luò)運行狀態(tài)和性能的多角度分析與統(tǒng)計；? 攔截非法接入，保障網(wǎng)絡(luò)系統(tǒng)安全；? 監(jiān)控異常流量及 ARP欺騙等病毒；? 對網(wǎng)絡(luò)、安全設(shè)備告警事件進行采集和跨類型、跨廠商的分析；? 可將處理后的告警信息自動關(guān)聯(lián)到知識庫，協(xié)助處理。系統(tǒng)資源監(jiān)控（BCC）? 資源監(jiān)測子系統(tǒng)監(jiān)控企業(yè)的服務(wù)器、中間件、數(shù)據(jù)庫、業(yè)務(wù)應用及安全設(shè)備的運行狀況；建立性能基線；發(fā)現(xiàn)系統(tǒng)異常并及時告警。圍繞IT業(yè)務(wù)和IT資源，采用人性化多層導航呈現(xiàn)模式，由全公司到公司部、由粗線條到細顆粒度地逐層展現(xiàn)業(yè)務(wù)應用的運行狀況。集中運行管理（COSS）? IT資源監(jiān)測結(jié)果綜合展現(xiàn)；? 統(tǒng)一告警展現(xiàn)；提供各種報表和視圖，呈現(xiàn)IT資源的

49、運行狀況和運行趨勢;網(wǎng)絡(luò)管理拓撲展示無線網(wǎng)絡(luò)部署方案銳捷無線網(wǎng)絡(luò)架構(gòu)優(yōu)勢建議本次的無線網(wǎng)絡(luò)采用基于銳捷的瘦 AP無線架構(gòu)，以更好的支持企業(yè)移動和多媒體 應用，簡化網(wǎng)絡(luò)部署和管理， 提供卓越的性能、安全性和可擴展性，并支持新興的射頻技術(shù);并且能夠為企業(yè)網(wǎng)絡(luò)提供強大的容錯能力、特殊服務(wù)質(zhì)量 (QoS)以及增強的語音能力、完整 的安全功能。銳捷提供的無線交換機專為企業(yè)部署而設(shè)計的， 提供強大的可擴展性支持無縫 企業(yè)移動。稻匕，林修部署便捷，無縫接入現(xiàn)有網(wǎng)絡(luò)1)AP零配置銳捷的AP部署是為企業(yè)級無線網(wǎng)絡(luò)而設(shè)計。AP真正無需任何配置，即插即用。所有對無線網(wǎng)絡(luò)的配置都在無線交換機上完成。AP支持PoE供電

50、，在連接上網(wǎng)線后，AP可以通過DHC防式自動獲取 Wireless Switch的地址列表，然后通過 WISPe(Wireless Switch Protocol enhanced) 與 Wireless Switch 進行通信。這樣省卻了胖 AP模式下對AP復雜的配置；也避免了其他瘦 AP廠家需要在AP上手工配 置Wireless Switch配置的情況。在部署大型無線網(wǎng)絡(luò)時候，工作量大大降低，極大地縮短了部署時間。2）無須改造現(xiàn)有企業(yè)網(wǎng)絡(luò)銳捷的AP可以無縫接入現(xiàn)有企業(yè)網(wǎng)絡(luò)。遠程 AP使用DHC昉式獲取地址后就可以跨越3層交換機，與 Wireless Switch 進行自動連接。AP的部署無

51、需對企業(yè)內(nèi)部網(wǎng)絡(luò)作任何修改。由于使用DHC昉式，網(wǎng)絡(luò)的規(guī)劃、網(wǎng)絡(luò)的擴展可以集中而簡單地對 DHCP乍配置即可，而無需去修改分散各地的成百上千的遠程AP。這樣，網(wǎng)絡(luò)規(guī)劃與擴展將十分輕松方便。3）快速部署臨時的無線環(huán)境當需要在企業(yè)辦公的環(huán)境外部署無線網(wǎng)絡(luò)的時候，銳捷快速部署的特性更容易顯示出 來。例如在會議室臨時部署 AR只需要將AP加電，連入互聯(lián)網(wǎng)絡(luò)，AP可以自動與放置于企 業(yè)內(nèi)部的無線交換機進行通信。這個臨時的無線網(wǎng)絡(luò)擁有與與其他AP完全相同的特性。這時所有的問題都迎刃而解.4）更換和升級AP方便銳捷的所有配置維護都可以在中心機房完成。接入端的維護更是無需專業(yè)管理人員，可以作到像更換電燈泡一樣

52、簡單的即插即用，節(jié)省了日常維護成本。在 AP出現(xiàn)故障時，可以 簡單地將新的AP插上即可。無需任何配置。在Wireless Switch作升級后，可以自動對所有 AP作升級，避免對每個 AP手工升級的 繁瑣工作。無線設(shè)備管理1）銳捷無線交換技術(shù)特有的易于管理特性傳統(tǒng)的AP作為一種單點設(shè)備，每一個AP都需要企業(yè)的網(wǎng)絡(luò)管理人員進行單獨的設(shè)置，管理和維護。這些設(shè)置不僅僅包括IP地址等簡單配置，往往還包括大量的服務(wù)、安全、 Qos等等配置。當無線網(wǎng)絡(luò)規(guī)模趨于大型化時，原本帶來方便的無線網(wǎng)絡(luò)卻給IT人員帶來了莫大的麻煩。管理和維護一個多接點的無線網(wǎng)絡(luò)需要大量的人力投入。D-LINK無線交換體系能夠?qū)τ谟布?/p>

53、、軟件配置和網(wǎng)絡(luò)策略進行統(tǒng)一管理，所有配置在 無線交換機上完成即可。向所有接入點自動部署配置，大大降低了初始化工作量。同時D-LINK的無線交換系統(tǒng)維護非常方便。傳統(tǒng)AP一旦出現(xiàn)故障，往往需要IT管理人員趕到現(xiàn)場，進行處理。D-LINK的所有配置維護都可以在中心機房完成。接入端的維護更是無需專業(yè)管理人員， 可以作到像更換電燈泡一樣簡單的即插即用，節(jié)省了日常維護成本。無線AP部署由于AP較多，應注意 AP的信道規(guī)劃。相鄰3個區(qū)域內(nèi)要采用完全不干擾的頻段，如信道 1、6、11。因為實際施工中，建筑材料、辦公環(huán)境差異很大，故對信號影響也很大（見下表）如果實測信號穿透情況良好，方案可以進一步優(yōu)化，每層

54、只需要放置更少數(shù)量的AP即可。AP的數(shù)量視現(xiàn)場實際勘測情況而定。為了保障無線網(wǎng)絡(luò)系統(tǒng)處于最佳運營狀態(tài)。因此，為了保證在發(fā)生突發(fā)事件的情況下系統(tǒng)的正常運行，設(shè)計中需規(guī)劃一定的冗余數(shù)量的AP以及無線信號的冗余。網(wǎng)絡(luò)升級改造設(shè)備清單根據(jù)技術(shù)需求分析，從整體出發(fā)，本次網(wǎng)絡(luò)規(guī)劃方案涉及到以下幾個部分的建 設(shè)：防火墻、流控與行為審計、無線接入系統(tǒng)（核心交換機、接入交換機、無 線AP等關(guān)聯(lián)設(shè)備）、網(wǎng)絡(luò)運維管理系統(tǒng)（根據(jù)客戶目前的投入定）。（備注：具體報價詳見客戶經(jīng)理報價方案）網(wǎng)絡(luò)設(shè)備清單產(chǎn)品型號產(chǎn)品說明數(shù)量說明網(wǎng)絡(luò)出口安全流控行 為審計AC1600深信服AC-2000-D ,用戶人數(shù)：600-800 ,網(wǎng)絡(luò)

55、吞 吐量：95Mbps, 100M流量。并發(fā)連接數(shù)：300000。8個10/100/1000M 自適應電口，吞吐量3Gbps,提供應用控制、帶寬管理、URL過濾、惡意軟件防護、數(shù)據(jù)防泄漏、行為審計等多項功能；提供上網(wǎng)安全 防護。包含一年URL庫升級，1年質(zhì)保，終身維護。1出口應 用防火 墻AF-1620-V6個千兆電口，吞吐量3G,并發(fā)數(shù)6000001支持2-7層安全防護，并能實現(xiàn)功能的智能聯(lián)動，防應用攻擊，制定基于用戶與應用的安全策略。深入內(nèi)容的安全防護，有效過濾風險內(nèi)容，具備更完整的安全防護功能單次解析構(gòu)架、多核并行處理有效提升應用層性能滿足帶寬要求總部核心交 換機S8606-Bse ri

56、es6擴展槽主機箱（含風扇陣列柜，不含電源和管理 引擎模塊），電源只能配合 RG-PA800IF使用1放置于核心 總機房（光模 塊型號根據(jù) 移動專線給 的對應型號 選擇對應的 多模還是單模，用于總部 與三個廠區(qū)互聯(lián)）M8606-CMII LITE二代管理引擎模塊 （可以冗余，提供USB管理接口，配合多業(yè)務(wù)卡使用，但不支持MPLS業(yè)務(wù)卡和WS多業(yè)務(wù)卡）1RG-PA800IF交流電源模塊（可以冗余， 800VV配10A電源線和 電源插頭，長度1.5M）,只供S8606-Bserie機箱 使用1M8600-24GT/12SFP-EC24個10/100/1000M自適應電口 +12個復用SFP千兆通用

57、接口 EC線卡2Mini-GBIC-SX1000BASE-SX mini GBIC 轉(zhuǎn)換模塊（850nm0Mini-GBIC-LX1000BASE-LX mini GBIC 轉(zhuǎn)換模塊（1310nm）024 口接入交換 機RG-S2628G-I24 口 10/100M 自適應電口交換機，2個 10/100/1000M自適應電口， 2個千兆SFP光口（非復用）2100個信息點，其中一24 口用于連 接服務(wù)器區(qū)48 口接 入交換 機RG-S2652G-I48 口 10/100M 自適應電口交換機，2個 10/100/1000M自適應電口， 2個千兆SFP光口（非復用）2無線控 制器RG-WS5302千兆無線控制器，2個10/100/1000M自適應電口和2個復用的千兆SFP接口，默認支持16個AP,可通過擴展License 最大控制 64個AP1LIC-WS-16WS系列無線控制器產(chǎn)品專用升級許可證License ,每套可支持增加16個AP的控制權(quán)，只適附于 WS53021無線APRG-AP220-I室內(nèi)無線接入點，米用內(nèi)置天線，雙路雙頻，可支持802.11a/n和802.11b/g/n 同時工作、胖/瘦模式 切換、WAPL PoE和本地供電（PoE和本地電源適配 器需單獨選購）11無線POE適配器RG-E-120單端口