某辦公大樓網(wǎng)絡(luò)建設(shè)規(guī)范書

1、 目錄TOC o 1-5 h z一、概述2局域網(wǎng)建網(wǎng)總體需求2網(wǎng)絡(luò)建網(wǎng)原則2網(wǎng)絡(luò)整體架構(gòu)3線路及帶寬考慮3 HYPERLINK l bookmark0 二、網(wǎng)絡(luò)設(shè)計(jì)需求分析4網(wǎng)絡(luò)建設(shè)的總體目標(biāo)4網(wǎng)絡(luò)設(shè)計(jì)原則4 HYPERLINK l bookmark2 網(wǎng)絡(luò)現(xiàn)狀分析5 HYPERLINK l bookmark4 核心路由交換機(jī)選型分析6 HYPERLINK l bookmark6 2.4.1.業(yè)務(wù)流量分析6 HYPERLINK l bookmark8 2.4.2.高可靠性、高可用性6 HYPERLINK l bookmark10 三、局域網(wǎng)設(shè)計(jì)8構(gòu)建策略8網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)9 HYPERLINK l

2、 bookmark12 接入層設(shè)計(jì)10四、安全考慮114.1.方案設(shè)計(jì)原則11 HYPERLINK l bookmark20 安全體系模型12 HYPERLINK l bookmark22 網(wǎng)絡(luò)存在的安全方面的漏洞14華為3com提供的安全方面策略17 HYPERLINK l bookmark28 五、網(wǎng)管體系解決方案21網(wǎng)絡(luò)現(xiàn)在的管理現(xiàn)狀21提出管理解決方案21 HYPERLINK l bookmark44 六、選用設(shè)備相關(guān)說(shuō)明296.1.選型配置29相關(guān)性能參數(shù)29 HYPERLINK l bookmark46 七、設(shè)備方案及施工說(shuō)明40設(shè)備的質(zhì)量標(biāo)準(zhǔn)、檢測(cè)標(biāo)準(zhǔn)、測(cè)試手段40現(xiàn)場(chǎng)安裝調(diào)試、

3、維修保養(yǎng)和運(yùn)行時(shí)采取的技術(shù)、組織、安全措施41施工示意圖43 HYPERLINK l bookmark60 八、服務(wù)方面說(shuō)明461.1.局域網(wǎng)建網(wǎng)總體需求*股份有限公司對(duì)網(wǎng)絡(luò)的總體需求為：將整個(gè)辦公大樓的6、7、8、9、10、11、12、13層進(jìn)行組建局域網(wǎng)并實(shí)現(xiàn)與公網(wǎng)的連接。實(shí)現(xiàn)局域網(wǎng)用戶對(duì)公網(wǎng)的安全訪問(wèn)。同時(shí)要求各部門之間嚴(yán)格限制共享資源。1.2.網(wǎng)絡(luò)建網(wǎng)原則本著為用戶負(fù)責(zé)，綜合考慮低成本、高網(wǎng)絡(luò)性能、高先進(jìn)性、高靈活性、高可靠性、高可擴(kuò)展性，將網(wǎng)絡(luò)建成整體性能最優(yōu)的先進(jìn)的好網(wǎng)絡(luò)。滿足現(xiàn)行需要的同時(shí)著眼發(fā)展，在未來(lái)十年當(dāng)中要保證網(wǎng)絡(luò)的可用性、先進(jìn)性和彈性可擴(kuò)展性。網(wǎng)絡(luò)的管理規(guī)劃還將實(shí)現(xiàn)對(duì)各

4、層設(shè)備的完善管理，使得避免接入層用戶非法接入盜取信息，在網(wǎng)絡(luò)建設(shè)中也將考慮投資成本的最大程度保護(hù)，使得設(shè)備在未來(lái)十年的網(wǎng)絡(luò)發(fā)展中盡可能適應(yīng)發(fā)展。網(wǎng)絡(luò)要求保留與第三方網(wǎng)絡(luò)設(shè)備兼容的可實(shí)施性1、實(shí)用性：整個(gè)網(wǎng)絡(luò)系統(tǒng)具有較高的實(shí)用性；2、實(shí)效性：網(wǎng)絡(luò)應(yīng)保證各類業(yè)務(wù)數(shù)據(jù)流的及時(shí)傳送，網(wǎng)絡(luò)實(shí)效性要強(qiáng)，網(wǎng)絡(luò)時(shí)延要小，確保業(yè)務(wù)時(shí)實(shí)高效的完成；3、可靠性：整個(gè)網(wǎng)絡(luò)要求具有很高的安全可靠性，必須滿足7*24*365小時(shí)連續(xù)運(yùn)行的要求。在通信設(shè)備發(fā)生故障時(shí)，網(wǎng)絡(luò)設(shè)備可以快速自動(dòng)的切換到備份鏈路上；4、安全性：能有效的防止網(wǎng)絡(luò)的非法訪問(wèn)，保護(hù)關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的安全性；5、完整性：網(wǎng)絡(luò)

5、系統(tǒng)應(yīng)實(shí)現(xiàn)端到端的、能整和數(shù)據(jù)、語(yǔ)音和圖像的多業(yè)務(wù)應(yīng)用，滿足全網(wǎng)范圍統(tǒng)一的實(shí)施安全策略、QOS策略、流量管理策略和系統(tǒng)管理策略的完整的一體化網(wǎng)絡(luò)；6、效益性：網(wǎng)絡(luò)的投資應(yīng)隨著網(wǎng)絡(luò)的伸縮能夠持續(xù)發(fā)揮作用，保護(hù)現(xiàn)有網(wǎng)絡(luò)投資，充分發(fā)揮網(wǎng)絡(luò)投資的最大效益；7、可伸縮性：網(wǎng)絡(luò)要具有面向未來(lái)的良好的伸縮性能，既能滿足當(dāng)前的需求，又能支持未來(lái)業(yè)務(wù)網(wǎng)點(diǎn)、業(yè)務(wù)量、業(yè)務(wù)種類的擴(kuò)展和與其他機(jī)構(gòu)或部門的連接等對(duì)網(wǎng)絡(luò)的擴(kuò)充性的要求。1.3.網(wǎng)絡(luò)整體架構(gòu)本案尊重甲方對(duì)網(wǎng)絡(luò)架構(gòu)的想法，采用星型連接方式，通過(guò)核心路由交換機(jī)向各接入層交換機(jī)進(jìn)行輻射。全網(wǎng)采用華為3com的交換機(jī)進(jìn)行組網(wǎng)。1.4.線路及帶寬考慮考慮到整網(wǎng)200多

6、用戶對(duì)帶寬的需求，本案我們采用以下帶寬設(shè)計(jì)：千兆核心，百兆桌面。線路應(yīng)用上考慮到信息點(diǎn)分散等的具體情況，采用全程電纜組網(wǎng)，設(shè)計(jì)中由于距離等問(wèn)題均采用五類線進(jìn)行組網(wǎng)，二層交換機(jī)由于數(shù)量不多完全可以通過(guò)級(jí)連組網(wǎng)。二、網(wǎng)絡(luò)設(shè)計(jì)需求分析2.1.網(wǎng)絡(luò)建設(shè)的總體目標(biāo)網(wǎng)絡(luò)建成能滿足未來(lái)十年互聯(lián)網(wǎng)發(fā)展需求的具有完整性、先進(jìn)性規(guī)范性、高可靠性、高安全性、靈活可擴(kuò)展的最優(yōu)的好網(wǎng)絡(luò)。2.2.網(wǎng)絡(luò)設(shè)計(jì)原則給予*股份有限公司目前網(wǎng)絡(luò)的現(xiàn)狀和未來(lái)業(yè)務(wù)的發(fā)展需求，在該網(wǎng)絡(luò)建設(shè)中，應(yīng)始終堅(jiān)持以下建網(wǎng)原則：高可靠性網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性產(chǎn)品，合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)制定可靠的網(wǎng)絡(luò)備份策

7、略，保證網(wǎng)絡(luò)具有故障自愈能力，最大限度的支持網(wǎng)絡(luò)的正常運(yùn)行。技術(shù)先進(jìn)性和實(shí)用性保證滿足*股份有限公司系統(tǒng)業(yè)務(wù)的同時(shí)，體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮到*股份有限公司網(wǎng)絡(luò)目前的現(xiàn)狀以及未來(lái)技術(shù)和業(yè)務(wù)發(fā)展的趨勢(shì)。高性能*股份有限公司性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐量，保證各種信息的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。標(biāo)準(zhǔn)開(kāi)放性支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，有利于以保證與其他網(wǎng)絡(luò)之間的平滑連接互通以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以

8、平滑的擴(kuò)容和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有網(wǎng)絡(luò)的調(diào)整。可管理性對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并同分配帶寬資源，選用先進(jìn)的帶寬管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析及提供故障的自動(dòng)報(bào)警。安全性制定統(tǒng)一的骨干網(wǎng)安全策略，整體考慮網(wǎng)絡(luò)的安全性。保護(hù)現(xiàn)有投資在保護(hù)網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有網(wǎng)絡(luò)設(shè)備或者做必要的升級(jí)，火把其他設(shè)備用作骨干網(wǎng)外聯(lián)的接入設(shè)備。2.3.網(wǎng)絡(luò)現(xiàn)狀分析本案所設(shè)計(jì)的網(wǎng)絡(luò)是一個(gè)已經(jīng)建成的13層辦公大樓中的613層進(jìn)行局域網(wǎng)建設(shè),現(xiàn)有網(wǎng)絡(luò)設(shè)備配臵為:8、11、12、13各層已經(jīng)有交換機(jī)在運(yùn)行，并采用級(jí)連方式組網(wǎng)，同時(shí)通過(guò)服務(wù)器實(shí)現(xiàn)與公網(wǎng)的連接。設(shè)備均采用華為3

9、com公司的接入層交換機(jī)2403H。本案要求進(jìn)行采購(gòu)的是6、7、9、10共計(jì)4層樓的交換機(jī)設(shè)備。同時(shí)將現(xiàn)行的服務(wù)器連接外網(wǎng)的組網(wǎng)方式進(jìn)行優(yōu)化：采用核心設(shè)備星型連接接入層交換機(jī)。2.4.核心路由交換機(jī)選型分析針對(duì)本案現(xiàn)狀，及要求能滿足現(xiàn)行的200左右用戶的正常辦公，還要考慮到未來(lái)多種業(yè)務(wù)增加后網(wǎng)絡(luò)的正常使用，我們考慮，網(wǎng)絡(luò)的核心級(jí)路由交換機(jī)應(yīng)該具備如下特性：*大容量、高性能、可擴(kuò)展能力強(qiáng)和業(yè)務(wù)與性能兼具*低成本、具有豐富業(yè)務(wù)支持能力*提供高密度、模塊化的二、三層線速轉(zhuǎn)發(fā)性能業(yè)務(wù)流量分析現(xiàn)行用戶數(shù)量約200，辦公時(shí)間業(yè)務(wù)數(shù)據(jù)交換頻繁，線路壓力極大，流量的高峰期是在上班的8：0011：30和2：30

10、5:30這兩個(gè)時(shí)間段里，絕大多數(shù)流量集中在終端用戶和服務(wù)器群組之間的數(shù)據(jù)交換，同時(shí)也有終端用戶同終端用戶之間的信息交換。高可靠性、高可用性出于網(wǎng)絡(luò)核心層的設(shè)備，不言而喻，有著對(duì)網(wǎng)絡(luò)的絕對(duì)操控權(quán)利和指揮權(quán)利，其重要性也就可想而知了，如此重要的身份決定了核心路由交換機(jī)必須具備高可靠性、高可用性以滿足網(wǎng)絡(luò)的正常運(yùn)行、滿足多種業(yè)務(wù)要求，同時(shí)要求對(duì)擴(kuò)容問(wèn)題的絕對(duì)支持。這里，我們選擇華為3comQuidwayS6503路由交換機(jī)。之所以選擇QuidwayS6503是因?yàn)槭紫瓤紤]到帶寬的彈性可擴(kuò)展性，以及布署6503可以省去一臺(tái)硬件的路由器。在6503上可以開(kāi)辟千兆和百兆的接口板，實(shí)現(xiàn)高速的服務(wù)器訪問(wèn)和主流

11、的接入層交換機(jī)上連，當(dāng)然，將來(lái)我們想把接入層交換機(jī)升級(jí)至千兆接入時(shí)，6503也能輕松實(shí)現(xiàn)升級(jí)。這樣一來(lái)前期的投資得到了有效的利用和保護(hù)，設(shè)備利用率在提高，同時(shí)QuidwayS6503的模塊化設(shè)計(jì)為擴(kuò)容和多業(yè)務(wù)增加提供了有力保證。三、局域網(wǎng)設(shè)計(jì)3.1.構(gòu)建策略在網(wǎng)絡(luò)設(shè)計(jì)中，我們反復(fù)強(qiáng)調(diào)的是：網(wǎng)絡(luò)的大容量網(wǎng)絡(luò)的可運(yùn)行性網(wǎng)絡(luò)的高可靠性網(wǎng)絡(luò)的高靈活性網(wǎng)絡(luò)彈性可擴(kuò)展性所以，涉及的策略也是圍繞這幾個(gè)原則設(shè)計(jì)的3.2.網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)整體設(shè)計(jì)圖：FE電路每層樓宇的交換機(jī)布署情況：FE電路3.3.接入層設(shè)計(jì)由于網(wǎng)絡(luò)的具體情況以及甲方要求，考慮到網(wǎng)絡(luò)的扁平化結(jié)構(gòu)代表了一定先進(jìn)性，因此這里我們考慮將接入層設(shè)備直接接入

12、到核心交換機(jī)6503上。同時(shí)將服務(wù)器群組使用千兆連入6503，保證了服務(wù)器的高速訪問(wèn)。應(yīng)甲方要求的同時(shí)考慮華為3com的2403H二層交換機(jī)的高性價(jià)逼和高穩(wěn)定性，我們?cè)谶@里將華為3com的2403H作為接入層交換機(jī)部署在各樓層，考慮到每層的信息點(diǎn)數(shù)量，我們?cè)诿繉硬渴?臺(tái)2403H和1臺(tái)2016,由于設(shè)備數(shù)量不多，在考慮成本的情況下，3臺(tái)設(shè)備采用直接連入6506。安全考慮4.1.方案設(shè)計(jì)原則在規(guī)劃*股份有限公司網(wǎng)絡(luò)安全系統(tǒng)時(shí)，我們將遵循以下原則，以這些原則為基礎(chǔ)，提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案：體系化設(shè)計(jì)原則通過(guò)分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動(dòng)態(tài)的實(shí)施過(guò)程，提出科學(xué)的安全體

13、系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn)，針對(duì)這些風(fēng)險(xiǎn)以動(dòng)態(tài)實(shí)施過(guò)程為基礎(chǔ)，提出整體網(wǎng)絡(luò)安全解決方案，從而最大限度地解決可能存在的安全問(wèn)題。全局性、均衡性原則安全解決方案的設(shè)計(jì)從全局出發(fā)，綜合考慮信息資產(chǎn)的價(jià)值、所面臨的安全風(fēng)險(xiǎn)，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案?？尚行?、可靠性原則在采用全面的網(wǎng)絡(luò)安全措施之后，應(yīng)該不會(huì)對(duì)*股份有限公司原有的網(wǎng)絡(luò)，以及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響，實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度，保證整個(gè)信息資產(chǎn)的

14、安全?？蓜?dòng)態(tài)演進(jìn)的原則方案應(yīng)該針對(duì)*股份有限公司制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實(shí)現(xiàn)統(tǒng)一安全策略的制定，并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò)，向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn)，形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。安全體系模型安全方案必須架構(gòu)在科學(xué)的安全體系和安全模型之上，因?yàn)榘踩Ｐ褪前踩桨冈O(shè)計(jì)和分析的基礎(chǔ)。只有在先進(jìn)的網(wǎng)絡(luò)安全理論模型的基礎(chǔ)上，才能夠有效地實(shí)現(xiàn)我們?cè)谏厦娣治龅木W(wǎng)絡(luò)安全系統(tǒng)規(guī)劃的基本原則，從而保證整個(gè)網(wǎng)絡(luò)安全解決方案的先進(jìn)性。為了系統(tǒng)、科學(xué)地分析網(wǎng)絡(luò)安全方案涉及的各種安全問(wèn)題，在大量理論分析和調(diào)查研究的基礎(chǔ)上，華為3Com公司提出了i3SAFE網(wǎng)絡(luò)安全模型，以此

15、模型為基礎(chǔ)，可以進(jìn)行整個(gè)網(wǎng)絡(luò)安全體系的有效的分析與合理規(guī)劃。下面我們對(duì)此網(wǎng)絡(luò)安全模型進(jìn)行具體的闡述和說(shuō)明：業(yè)務(wù)流程業(yè)務(wù)層用戶層網(wǎng)絡(luò)層應(yīng)用層次圖例：i3SAFE安全理論模型示意圖i3SAFE安全理論模型是一個(gè)三維立體結(jié)構(gòu)，基于此三維結(jié)構(gòu)安全理論模型，形成一個(gè)智能的(intelligence),集成的(integrated),定制的(individuality)的網(wǎng)絡(luò)安全解決方案，真正達(dá)到SAFE的目的，下面是每個(gè)層次的詳細(xì)分析描述：第一維為應(yīng)用層次維：這個(gè)維度實(shí)現(xiàn)對(duì)整個(gè)信息體系進(jìn)行描述，通過(guò)這個(gè)維度，以層次化對(duì)整個(gè)信息體系進(jìn)行劃分，層次的劃分依據(jù)信息體系的建設(shè)結(jié)構(gòu)，把整個(gè)信息體系劃分為網(wǎng)絡(luò)層：提

16、供信息流通的平臺(tái)；用戶層：信息應(yīng)用的終端；業(yè)務(wù)層：信息應(yīng)用的提供層。通過(guò)這種抽象的層次的劃分，可以以不同的層次對(duì)象為目標(biāo)，分析這些層次對(duì)不同的安全服務(wù)要素的需求情況，進(jìn)行層次化的、有針對(duì)性的系統(tǒng)安全需求分析。第二維為網(wǎng)絡(luò)空間維：這個(gè)維度從實(shí)際的信息系統(tǒng)結(jié)構(gòu)的組成的角度，對(duì)信息系統(tǒng)進(jìn)行模塊化的劃分?；镜哪K可以劃分為桌面、服務(wù)器、外網(wǎng)、內(nèi)網(wǎng)等幾個(gè)模塊，這些模塊的劃分可以根據(jù)需要進(jìn)行組合或者細(xì)化，進(jìn)行模塊劃分的主要目的是為前面相對(duì)抽象的安全需求分析提供具體可實(shí)施的對(duì)象，保證整個(gè)安全措施有效可實(shí)施性。第三維為業(yè)務(wù)流程維：這個(gè)維度主要描述一個(gè)完善的網(wǎng)絡(luò)安全體系建設(shè)的流程，這個(gè)流程主要的參考P2DR模

17、型，以我們前面進(jìn)行的需求分析為基礎(chǔ)，制定統(tǒng)一的安全策略，同時(shí)通過(guò)預(yù)防(Harden)、保護(hù)(Protect)、檢測(cè)(Detect)、響應(yīng)(Respond)以及改進(jìn)(Improve)，形成一個(gè)閉環(huán)的網(wǎng)絡(luò)安全措施流程?？v深維為安全管理維：貫穿于上述三個(gè)維度，以及各個(gè)維度內(nèi)部各個(gè)層次的是安全管理，我們認(rèn)為，全面的安全管理是信息網(wǎng)絡(luò)安全的一個(gè)基本保證，只有通過(guò)切實(shí)的安全管理，才能夠保證各種安全技術(shù)能夠真正起到其應(yīng)有的作用，常言說(shuō)：“三分技術(shù)，七分管理”，安全管理是保證網(wǎng)絡(luò)安全的基礎(chǔ)，安全技術(shù)只是配合安全管理的有效的輔助措施。網(wǎng)絡(luò)存在的安全方面的漏洞網(wǎng)絡(luò)走到今天，他所囊括的內(nèi)容日益豐富，它所實(shí)現(xiàn)的功能日

18、趨強(qiáng)大，同時(shí)網(wǎng)絡(luò)可能出現(xiàn)的隱患也呈攀升的態(tài)勢(shì)。我們從整網(wǎng)的角度來(lái)看只要接入互聯(lián)網(wǎng)，那么網(wǎng)絡(luò)內(nèi)部的設(shè)備就有被攻擊的可能，系統(tǒng)資源就有被竊取的可能。這些將導(dǎo)致網(wǎng)絡(luò)的癱瘓或內(nèi)部用戶對(duì)系統(tǒng)資源訪問(wèn)的故障。接觸到互聯(lián)網(wǎng)，數(shù)據(jù)不被竊取或監(jiān)聽(tīng)簡(jiǎn)直是不可能的。綜合考慮，現(xiàn)將當(dāng)今網(wǎng)絡(luò)現(xiàn)狀中可能存在的隱患羅列出來(lái)（家賊、明槍、暗箭）。硬件設(shè)備的安全隱患：在局域網(wǎng)連接internet的地方由于內(nèi)部設(shè)備暴露在公網(wǎng)上，外部病毒、黑客的惡意攻擊等都會(huì)造成嚴(yán)重的網(wǎng)絡(luò)事故。業(yè)務(wù)系統(tǒng)的安全隱患：外來(lái)攻擊從局域網(wǎng)對(duì)外的出口進(jìn)入局域網(wǎng)內(nèi)，開(kāi)始對(duì)局域網(wǎng)中的各種服務(wù)器系統(tǒng)進(jìn)行攻擊（包括竊取數(shù)據(jù)、篡改數(shù)據(jù)、刪除重要資源、搗毀服務(wù)器系統(tǒng)等

19、）。同時(shí)還有一個(gè)不速之客正悄悄的威脅著我們的業(yè)務(wù)系統(tǒng)，那就是來(lái)自網(wǎng)絡(luò)內(nèi)部的“家賊”，那些本不應(yīng)該去訪問(wèn)某資源（比如叫資源A）的用戶不論是有意或無(wú)意訪問(wèn)了資源A,對(duì)于業(yè)務(wù)系統(tǒng)來(lái)講都是一種不安全現(xiàn)象。還有，業(yè)務(wù)系統(tǒng)的操作系統(tǒng)存在的防御漏洞也是“反黑”的薄弱環(huán)節(jié)。網(wǎng)絡(luò)節(jié)點(diǎn)用戶方面的安全隱患：同暴露在公網(wǎng)上的設(shè)備一樣，局域網(wǎng)接入層也是一個(gè)易被惡意攻擊者乘虛而入的點(diǎn)。換句話說(shuō)就是黑客或病毒有一條通過(guò)從接入層進(jìn)行偽裝后潛入局域網(wǎng)內(nèi)部的“路”。一旦成功進(jìn)入網(wǎng)絡(luò)內(nèi)部，那么全網(wǎng)將面臨嚴(yán)重的威脅。上面對(duì)來(lái)自外部的網(wǎng)絡(luò)安全隱患作了一番簡(jiǎn)單的分析，看到外來(lái)攻擊的同時(shí)，來(lái)自局域網(wǎng)內(nèi)部的“家賊”正悄悄的破壞著我們的網(wǎng)絡(luò)。

20、事實(shí)上，80%的安全隱患來(lái)自網(wǎng)絡(luò)內(nèi)部。網(wǎng)內(nèi)非法訪問(wèn)：沒(méi)有權(quán)限的網(wǎng)內(nèi)用戶訪問(wèn)了相關(guān)的數(shù)據(jù)庫(kù)資源，造成了泄密。不同業(yè)務(wù)系統(tǒng)的數(shù)據(jù)安全：類似于財(cái)務(wù)系統(tǒng)這樣的重要業(yè)務(wù)系統(tǒng)的安全級(jí)別是高于普通業(yè)務(wù)的，遭到惡意攻擊的可能性自然大些。不同級(jí)別用戶訪問(wèn)資源時(shí)的安全隱患：對(duì)于低級(jí)別用戶對(duì)高級(jí)別資源的訪問(wèn)，將對(duì)局域網(wǎng)內(nèi)部的管理帶來(lái)困擾，嚴(yán)重情況會(huì)導(dǎo)致敏感數(shù)據(jù)的泄密、竊取、盜用、刪除等。不同用戶之間存在著隱患：各部門之間由于網(wǎng)絡(luò)而相連，然而部門之間的資源和數(shù)據(jù)卻是相互應(yīng)該隔離的，所以這里也存在安全隱患。終端用戶操作系統(tǒng)帶來(lái)的隱患：接入用戶的PC在某種程度上存在在很多安全漏洞，給病毒等以可乘之機(jī)。另外，局域網(wǎng)絡(luò)內(nèi)部的

21、用戶也有對(duì)外部網(wǎng)絡(luò)進(jìn)行攻擊的現(xiàn)象存在，由于攻擊時(shí)會(huì)大量的占用內(nèi)部網(wǎng)絡(luò)帶寬或內(nèi)存等資源，所以這也是一種潛在的安全隱患。常見(jiàn)的幾種攻擊手段列舉：竊聽(tīng)報(bào)文攻擊者使用報(bào)文獲取設(shè)備，從傳輸?shù)臄?shù)據(jù)流中獲取數(shù)據(jù)并進(jìn)行分析，以獲取用戶名/口令或者是敏感的數(shù)據(jù)信息。通過(guò)Internet的數(shù)據(jù)傳輸，存在時(shí)間上的延遲，更存在地理位臵上的跨越，要避免數(shù)據(jù)徹底不受竊聽(tīng)，基本是不可能的。IP地址欺騙攻擊者通過(guò)改變自己的IP地址來(lái)偽裝成內(nèi)部網(wǎng)用戶或可信任的外部網(wǎng)絡(luò)用戶，發(fā)送特定的報(bào)文以擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或者是偽造一些可接受的路由報(bào)文（如發(fā)送ICMP的特定報(bào)文）來(lái)更改路由信息，以竊取信息。源路由攻擊報(bào)文發(fā)送方通過(guò)在IP

22、報(bào)文的Option域中指定該報(bào)文的路由，使報(bào)文有可能被發(fā)往一些受保護(hù)的網(wǎng)絡(luò)。端口掃描通過(guò)探測(cè)防火墻在偵聽(tīng)的端口，來(lái)發(fā)現(xiàn)系統(tǒng)的漏洞；或者事先知道路由器軟件的某個(gè)版本存在漏洞，通過(guò)查詢特定端口，判斷是否存在該漏洞。然后利用這些漏洞對(duì)路由器進(jìn)行攻擊，使得路由器整個(gè)DOWN掉或無(wú)法正常運(yùn)行。拒絕服務(wù)攻擊攻擊者的目的是阻止合法用戶對(duì)資源的訪問(wèn)。比如通過(guò)發(fā)送大量報(bào)文使得網(wǎng)絡(luò)帶寬資源被消耗。Mellisa宏病毒所達(dá)到的效果就是拒絕服務(wù)攻擊。最近拒絕服務(wù)攻擊又有了新的發(fā)展，出現(xiàn)了分布式拒絕服務(wù)攻擊，DistributedDenialOfService簡(jiǎn)稱DDOS。許多大型網(wǎng)站都曾被黑客用DDOS方式攻擊而造成

23、很大的損失。應(yīng)用層攻擊有多種形式，包括探測(cè)應(yīng)用軟件的漏洞、“特洛依木馬”等等。其實(shí)大部分的網(wǎng)絡(luò)安全隱患出現(xiàn)在網(wǎng)絡(luò)內(nèi)部。另外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問(wèn)題。4.4.華為3COM提供的安全方面策略首先，從整體考慮，華為3COM提出了一整套安全問(wèn)題（i3ASFE）的理念,并相應(yīng)的推出了硬件和軟件產(chǎn)品（第一章中有詳細(xì)描述）。不同的網(wǎng)絡(luò)位臵有各自的特點(diǎn)，對(duì)安全服務(wù)要素的強(qiáng)度有不同的需求，依據(jù)這些安全服務(wù)要素需求的重點(diǎn)差異，基于這些位臵對(duì)應(yīng)的實(shí)際結(jié)構(gòu)模塊，有針對(duì)性地采用一些安全技術(shù)和安全產(chǎn)品來(lái)實(shí)現(xiàn)這些安全服務(wù)要素，這些措施形成該位臵的安全防護(hù)面，不同的位臵相互組合，形成一個(gè)立體的網(wǎng)絡(luò)安全體

24、系。下面我們按照安全漏洞可能出現(xiàn)的部位將網(wǎng)絡(luò)劃分成以下幾個(gè)方面：1、網(wǎng)絡(luò)方面。核心的安全需求為網(wǎng)絡(luò)數(shù)據(jù)提供可靠性傳輸和安全性傳輸，防范因?yàn)槲锢斫橘|(zhì)、信號(hào)輻射等造成的安全隱患，保證整體網(wǎng)絡(luò)結(jié)構(gòu)的安全，保證網(wǎng)絡(luò)設(shè)備配臵的安全、同時(shí)提供網(wǎng)絡(luò)層有效的訪問(wèn)控制能力提供對(duì)網(wǎng)絡(luò)攻擊的實(shí)時(shí)檢測(cè)能力等。這里我們可以在網(wǎng)絡(luò)的出口、服務(wù)器組邊緣、接入層（網(wǎng)絡(luò)邊緣）配臵防火墻，對(duì)于VPN用戶還可以考慮配臵VPN專用網(wǎng)關(guān)，來(lái)隔離惡意攻擊。當(dāng)然防火墻是處于網(wǎng)絡(luò)邊界的設(shè)備，也存在自己的一些弱點(diǎn)，如對(duì)某些攻擊保護(hù)很軟弱、且自身可能被攻破；同時(shí)，并不是所有的攻擊都來(lái)自外部，防火墻對(duì)內(nèi)部發(fā)起的攻擊行為則無(wú)能為力。所以在部署網(wǎng)絡(luò)防

25、御的同時(shí)，還有必要引入部署在本地網(wǎng)絡(luò)的監(jiān)控設(shè)備，即入侵檢測(cè)設(shè)備。在路由器或核心交換機(jī)側(cè)部署入侵檢測(cè)和入侵防御體系對(duì)攻擊進(jìn)行有效監(jiān)控和防御。對(duì)于移動(dòng)辦公的出差人員，配臵SecpointVPN客戶端軟件，解決零散用戶的安全接入。2、用戶方面。核心的安全需求為保證用戶節(jié)點(diǎn)的安全需求，保證用戶操作系統(tǒng)平臺(tái)的安全，防范網(wǎng)絡(luò)防病毒的攻擊，提高用戶節(jié)點(diǎn)的攻擊防范和檢測(cè)能力；同時(shí)加強(qiáng)對(duì)用戶的網(wǎng)絡(luò)應(yīng)用行為管理，包括網(wǎng)絡(luò)接入能力以及資源訪問(wèn)控制能力等。華為3C0M開(kāi)發(fā)的EAD端點(diǎn)準(zhǔn)入防御體系對(duì)接入用戶進(jìn)行權(quán)限認(rèn)證，實(shí)現(xiàn)安全用戶的接入。流程如下（結(jié)合CAMS系統(tǒng)來(lái)實(shí)現(xiàn)的）：架構(gòu)終端安全客戶端隔離區(qū)第三方服務(wù)器補(bǔ)丁檢

26、測(cè)認(rèn)證插件病毒插件1=1安全客戶端平臺(tái)設(shè)備層控制層安全聯(lián)動(dòng)設(shè)備安全策略服務(wù)器CAMS身份認(rèn)證（用戶名、密碼、MAC,VLAN）非法用戶拒絕接入流程安全認(rèn)證病毒庫(kù)版本、補(bǔ)丁、安全設(shè)置）-不合格用戶進(jìn)入隔離區(qū)，進(jìn)行補(bǔ)丁升級(jí)、病毒庫(kù)升級(jí)策略實(shí)施訪問(wèn)策略、QoS策略、安全設(shè)置）為合格用戶提供個(gè)性化服務(wù)端點(diǎn)準(zhǔn)入防御（EAD,EndpointAdmissionDefense）方案通過(guò)終端、設(shè)備、CAMS以及第三方服務(wù)器的聯(lián)動(dòng)，融合了身份認(rèn)證、用戶行為管理、補(bǔ)丁管理以及防病毒功能，可以加強(qiáng)網(wǎng)絡(luò)終端的主動(dòng)防御能力，控制病毒、蠕蟲(chóng)的蔓延，主動(dòng)防御對(duì)網(wǎng)絡(luò)的非法入侵如此一來(lái)，保證了局域網(wǎng)內(nèi)部用戶的安全，對(duì)于非法外來(lái)

27、用戶進(jìn)行有效隔離3、業(yè)務(wù)方面。保證用戶訪問(wèn)內(nèi)容的合法性與安全性。核心的安全需求為能夠提供機(jī)密的、可用的網(wǎng)絡(luò)應(yīng)用服務(wù)，包括業(yè)務(wù)數(shù)據(jù)存儲(chǔ)和傳輸?shù)陌踩瑯I(yè)務(wù)訪問(wèn)的身份認(rèn)證及資源訪問(wèn)權(quán)限分配，業(yè)務(wù)訪問(wèn)的有效的記錄和審計(jì)，以及特殊應(yīng)用模式的安全風(fēng)險(xiǎn)：比如垃圾Mail、Web攻擊等。以服務(wù)器服務(wù)器系統(tǒng)安全為例進(jìn)行說(shuō)明：使用安全掃描軟件，對(duì)關(guān)鍵的主機(jī)系統(tǒng)和網(wǎng)絡(luò)定期進(jìn)行掃描，可以檢查出網(wǎng)絡(luò)弱點(diǎn)和策略配臵上的問(wèn)題。根據(jù)掃描軟件發(fā)現(xiàn)的問(wèn)題，及時(shí)更新操作系統(tǒng)補(bǔ)丁，查殺病毒，更新安全策略。部署基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，及時(shí)處理入侵檢測(cè)系統(tǒng)的報(bào)警，已發(fā)現(xiàn)攻擊、蠕蟲(chóng)等異常情況。定期強(qiáng)制更新用戶口令，并制定用戶口令

28、規(guī)則，禁止使用不符合規(guī)則的口令。定期檢查文件系統(tǒng)的訪問(wèn)權(quán)限是否合理，檢查用戶帳號(hào)的使用是否正常。并定期整理歸檔入侵檢測(cè)系統(tǒng)的日志。業(yè)務(wù)系統(tǒng)能夠?qū)τ脩舻母鞣N訪問(wèn)行為進(jìn)行詳細(xì)的記錄，以便進(jìn)行事后查證?；谝陨峡紤]，可以在網(wǎng)絡(luò)中部署一個(gè)防火墻secpath100F防火墻，在其上劃分DMZ區(qū)接服務(wù)器，保證服務(wù)器組的安全工作和被訪問(wèn)。五、網(wǎng)管體系解決方案華為3com提供一整套完善的網(wǎng)管業(yè)務(wù)系統(tǒng)，這套體系可以完成與第三方網(wǎng)絡(luò)設(shè)備兼容，同時(shí)新的網(wǎng)管業(yè)務(wù)系統(tǒng)購(gòu)買形式大大方便了您對(duì)網(wǎng)管業(yè)務(wù)體系的選型。5.1.網(wǎng)絡(luò)現(xiàn)在的管理現(xiàn)狀由于是新近組網(wǎng)，現(xiàn)行網(wǎng)絡(luò)沒(méi)有任何管理功能5.2.提出管理解決方案采用華為3C0m的Qu

29、idview業(yè)務(wù)體系。Quidview網(wǎng)絡(luò)管理軟件是華為3Com公司對(duì)數(shù)據(jù)通信設(shè)備如路由器、交換機(jī)等進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理和網(wǎng)絡(luò)管理的功能。Quidview與華為3Com公司的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案。Quidview網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，包括網(wǎng)元管理平臺(tái)、廣域網(wǎng)管理系統(tǒng)、局域網(wǎng)管理系統(tǒng)等，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。此外，Quidview網(wǎng)絡(luò)管理軟件能夠集成到SNMPc、HPOpenview等一些通用的網(wǎng)管平臺(tái)，給用戶提供整合的統(tǒng)一網(wǎng)管解決方案。Quidvie

30、w網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)，通過(guò)安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級(jí)管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)集中監(jiān)視Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配臵修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D；拓?fù)渥詣?dòng)發(fā)現(xiàn)，拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)刷新；可視化操作方式：拓?fù)湟晥D節(jié)點(diǎn)直接點(diǎn)擊進(jìn)入設(shè)備操作面板；在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時(shí)，改變節(jié)點(diǎn)顏色，提示用戶；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行定

31、時(shí)（輪詢間隔時(shí)間可配臵）的輪循監(jiān)視和狀態(tài)刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上；支持拓?fù)溥^(guò)濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況；支持快速查找拓?fù)鋵?duì)象，并在導(dǎo)航樹(shù)和拓?fù)湟晥D中定位該拓?fù)鋵?duì)象；jDOLMfl111.3t)NTMIzd12U鈿9MfUi-ManBBrnuSJlil4帥皿肝就農(nóng):怕i舸揚(yáng)rwcinin*4*iguifi:齢tj|C5wTimw斗1.iIfijf書B(niǎo)C5IM4U?斗衛(wèi)時(shí)i#l帕&LMi3C$.!MLHA111IM437；0卄EA|I町1SiIjinAtHF.UWqiI!4hr“n*!in=甘*12UmNMn1B*1IinAAuawruHlMtlI呻Iqmiiizsn4IjjQMMWl剛謝O

32、-押!32H止專料咖TTfliJaili3QliljLttHIE-fVi!|I3料tzanfriiq暈1lv_QfMti,11】Wf則拓卜圏Ntflenij17|故障管理故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。告警實(shí)時(shí)監(jiān)視，提供告警聲光提示；支持告警轉(zhuǎn)到Email、手機(jī)短信；支持告警過(guò)濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報(bào)表；支持告警級(jí)別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運(yùn)行效率和穩(wěn)定性；支持告警拓?fù)涠ㄎ唬瑢@示的焦點(diǎn)定位到產(chǎn)生選定告警的拓?fù)鋵?duì)象；支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、屏蔽閃斷告警等。I01W.3I“miifiiR*Bd鄧釘D

33、1珂的就1冊(cè)UEMerO4W旅Act血包型矽altf世翌|niliRidTiD;W轉(zhuǎn)應(yīng)MMWHifWt亦E1BOMte1015?09?ll列dluE：4inner10.153.3116-1I01M2I1&Jlift153211&1l-SlIS1512IIM413li=Jg.1W.2l1B4K+-afrM10471*Wlk|25H-49SIMS彈25聞1230涵匚磺頸市菇isSi19.153.311&JJWZ4站口理inWn-7&afli工禪11oisiJii幹-J4.JP7-S-U7-dffVKHID19303sIs1ush.cinfix13TlrtCWce10.113的3|lMjIuk刊cr

34、flc胡W10T53KSJ5刨firtuE礙norfi簡(jiǎn)和I”齡3JWipBMffiS詢wwiIhSMKQ1血血it.rffiMKf屮仙ifl15-1叫沖dahjsVIfffwdrncETO1S369女1dilus円“drMTW拓k&10153&9MJ曲希呂p*IW尚日InwiMCfl10153W3(6imuf4W*IWii一if-ifaniiiirrB=”pii-ThedrwtD1013JB3fiieIjIugierOcal性能監(jiān)控Quidview網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。通過(guò)性能任務(wù)的配臵，可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)并支持設(shè)臵性能的門限，當(dāng)性能超過(guò)門

35、限時(shí)，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過(guò)統(tǒng)計(jì)不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。祜1砒1|1)IR21IMLQPSWItli4MUidi&imapt時(shí)他門FIHiwn.ici11diHf趙I1JHIimiMnfiIJ陌UIMLldn一.JU左門冊(cè)卄”ncnW汕e!M施獰】4i“nrii494釘亠Ntriinuss鼻覽山；ltH陽(yáng)Egttti，!I-tMll岀3913141-1414411*01具iQi-igMffiwj皿！列9傭秤”亦19iQiiiQnt4iric痺ivavti1記虬*W1川fdQjJf故障定位與地址反查針對(duì)最為常見(jiàn)的端口故障，Quidview網(wǎng)絡(luò)管理軟件提

36、供了便捷的定位檢測(cè)工具路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。Quidview提供的端口反查功能支持兩種方式的查找定位功能:MAC地址端口反查和IP地址端口反查，使用時(shí)分別輸入終端用戶的MAC地址或IP地址，能夠定位該終端用戶連接的交換機(jī)及交換機(jī)的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報(bào)文接入網(wǎng)絡(luò)的原始端口，及時(shí)關(guān)閉端口，防止一些違規(guī)用戶進(jìn)行非法操作比如濫發(fā)報(bào)文、訪問(wèn)非法站點(diǎn)等，危害網(wǎng)絡(luò)安全。RMON管理RMON管理根據(jù)RFC1757定義的標(biāo)準(zhǔn)RMON-MIB及華為3Com自定義告警擴(kuò)展MIB對(duì)主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理o

37、Quidview網(wǎng)絡(luò)管理軟件的RMON管理包含的功能如下：統(tǒng)計(jì)組的配置及數(shù)據(jù)瀏覽；歷史組的配置及數(shù)據(jù)瀏覽；告警組的配置及瀏覽；事件組的配置及瀏覽；擴(kuò)展告警組的配置及瀏覽；同時(shí)我們使用一些設(shè)備上的相關(guān)措施實(shí)現(xiàn)網(wǎng)絡(luò)的高效、優(yōu)化管理。六、選用設(shè)備相關(guān)說(shuō)明下面將以表格的形式將技術(shù)方案建議書中所涉及的設(shè)備型號(hào)及相關(guān)模塊進(jìn)行統(tǒng)計(jì)：6.1.選型配置序號(hào)設(shè)備型號(hào)設(shè)備描述數(shù)量備注1QuidwayS6503配置4交流主機(jī)+冗余電源+單主控+4GEGBIC+48FERJ45組合單元1核心交換機(jī)LS8M1B68功能模塊-QuidwayS6500-LS8M1B68-B68-22機(jī)柜16500系列專用機(jī)柜2NS-SecP

38、ath100F-AC功能模塊-QuidwaySecPath100F-RTQMlNATS-SecPath100S主機(jī)-交流電源(7FE/1Slot)1防火墻3LS-2403H-EIQuidwayS2403H-EI以太網(wǎng)交換機(jī)主機(jī)(220V),25x10/100MTX,1xFESlot8接入層交換機(jī)4LS-S2016-EIQuidwayS2016-EI以太網(wǎng)交換機(jī)主機(jī)(220V),16x10/100MTX,1xFESlot4接入層交換機(jī)5IBM服務(wù)器Xeon2.8G/512M/73G/1000M1服務(wù)器6華興機(jī)柜42U17線標(biāo)_*28AVAYA配線架126.2.相關(guān)性能參數(shù)6503交換機(jī)性能參數(shù)產(chǎn)

39、品特點(diǎn)QuidwayS6500系列高端多業(yè)務(wù)交換機(jī)的特點(diǎn)可以用一句話來(lái)概括：“多快好省、高而不貴”。丄產(chǎn)品系列多：S6500系列包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R（8槽）。產(chǎn)品設(shè)計(jì)采用開(kāi)放式的體系結(jié)構(gòu)、統(tǒng)一的硬件平臺(tái)、完全兼容的引擎和接口板、相同的軟件版本、以及系列化機(jī)箱。引擎規(guī)格多：基于新一代ASIC技術(shù)的Salience系列交換路由引擎將L2/3/4線速轉(zhuǎn)發(fā)與豐富的QOS、ACL特性結(jié)合在一起，是組建高可靠、低時(shí)延的核心網(wǎng)絡(luò)的重要保障。S6500提供系列化的引擎，可以根據(jù)用戶的需求在系列化機(jī)箱上進(jìn)行靈活配臵。iSalienceI（交換容量32Gbp

40、s）SalienceI（交換容量64Gbps）SalienceII（交換容量64Gbps）SalienceIII96G（交換容量96Gbps）SalienceIII384G（交換容量384Gbps）SalienceIII768G（交換容量768Gbps）接口板類型多：提供百兆、千兆、萬(wàn)兆等各種類型的以太網(wǎng)接口；提供100m-100km可選擇的傳送距離；提供4口/單板-48口/單板的接口密度，全面滿足客戶需求。丄快：采用先進(jìn)體系結(jié)構(gòu)設(shè)計(jì)，交換容量高達(dá)768G，支持新一代萬(wàn)兆線速接口，提供網(wǎng)絡(luò)高性能。先進(jìn)的體系結(jié)構(gòu)：S6500采用全分布式體系結(jié)構(gòu)設(shè)計(jì)，采用功能強(qiáng)大的ASIC芯片進(jìn)行高速路由查找,并

41、通過(guò)Crossbar技術(shù)進(jìn)行高速報(bào)文交換，從而大大提升了路由交換機(jī)的轉(zhuǎn)發(fā)性能和擴(kuò)充能力oCrossbar交換網(wǎng)芯片內(nèi)臵于主控板，不再單獨(dú)占用設(shè)備槽位，可提供高達(dá)768G的交換容量。高密度二、三層全線速接口：S6500系列推出SalienceIII系列交換引擎，最大交換容量為768Gbps，在滿配時(shí)S6500最大可提供288GE或288FE。萬(wàn)兆接口支持：S6500提供的新一代萬(wàn)兆以太網(wǎng)克服了早期萬(wàn)兆以太網(wǎng)的諸多局限，在線速轉(zhuǎn)發(fā)的基礎(chǔ)上能夠提供強(qiáng)大的QoS保障，并支持豐富的ACL、策略路由、安全等特性。S6500支持高密度萬(wàn)兆設(shè)計(jì)，每塊業(yè)務(wù)板可以提供14個(gè)萬(wàn)兆接口。丄好：支持強(qiáng)大的QoS能力和精

42、細(xì)化用戶管理，高可靠、高安全設(shè)計(jì)，采用L3+業(yè)務(wù)板實(shí)現(xiàn)靈活的智能化業(yè)務(wù)能力。強(qiáng)大的QoS能力和精細(xì)化用戶管理：每端口支持8個(gè)硬件隊(duì)列，帶寬控制粒度可達(dá)64Kbps;強(qiáng)大的用戶管理、認(rèn)證計(jì)費(fèi)功能支持；支持CAMS（綜合訪問(wèn)控制管理服務(wù)器）系統(tǒng)，提供專業(yè)用戶管理、計(jì)費(fèi)解決方案；內(nèi)置IEEE802.1X認(rèn)證服務(wù)器功能。內(nèi)置DHCPSERVER功能。運(yùn)營(yíng)級(jí)可靠性設(shè)計(jì)：系統(tǒng)采用分布式結(jié)構(gòu)；S6506R支持雙主控板；S6500系列所有單板支持熱插拔；電源系統(tǒng)采用N+1冗余熱備份；支持STP/RSTP/MSTP協(xié)議和VRRP協(xié)議，能夠滿足苛刻的電信級(jí)網(wǎng)絡(luò)可靠性要求；支持雙路電源供電。完善的安全機(jī)制：支持標(biāo)準(zhǔn)

43、Radius協(xié)議，同時(shí)提供Radius+功能；支持TACAS+協(xié)議；HCBM（華為可控組播管理協(xié)議）功能支持；保證對(duì)用戶的精確認(rèn)證。支持SSHV1/2。基于最長(zhǎng)匹配的路由方式，保證了所有報(bào)文均獲得相同的轉(zhuǎn)發(fā)性能。對(duì)“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力。丄?。簶O高的性價(jià)比，為客戶量身打造，總有一款適合您；性能、業(yè)務(wù)可平滑擴(kuò)展升級(jí)，保護(hù)用戶投資。無(wú)與倫比的性能價(jià)格比：S6500提供系列化機(jī)箱和系列化超級(jí)引擎，可以根據(jù)不同組網(wǎng)需要進(jìn)行靈活配置;S6500提供多種高密度百兆、千兆、萬(wàn)兆接口板，有效簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)、降低建網(wǎng)成本；S6502無(wú)需專門的主控交換引擎，主控交換功能內(nèi)置于接口板內(nèi)部

44、，進(jìn)一步降低建網(wǎng)成本。強(qiáng)大的擴(kuò)展性能：S6500采用IRF智能彈性架構(gòu)技術(shù)設(shè)計(jì)，具有強(qiáng)大的性能和業(yè)務(wù)擴(kuò)展能力；背板帶寬高達(dá)1.6Tbps;采用L3+業(yè)務(wù)板可以實(shí)現(xiàn)靈活的智能化業(yè)務(wù)能力，如NAT/MPLS/WebSwitch/NetStream/IPv6等高級(jí)業(yè)務(wù)特性，從而有效保障用戶的投資。產(chǎn)品規(guī)格：屬性S6503支持的標(biāo)準(zhǔn)和協(xié)議IEEE802.1d、IEEE802.3、IEEE802.3u、IEEE802.3x、IEEE802.3ad、IEEE802.3z、IEEE802.1Q、IEEE802.1p、BGP4、OSPF、RIP1/2、IS-IS、GMRP、GVRP、IGMP、PIM-SM/D

45、M、IEEE802.1w、IEEE802.1S、ECMP、IPX、PROTOCOLBASEDVLAN、VRRP等背板容量640Gbps插槽數(shù)量4Salience系列路由交換引擎iSalienceISalienceIII96GSalienceIII384GSalienceIII768G可選業(yè)務(wù)單板類型4端口千兆以太網(wǎng)GBIC業(yè)務(wù)扣板（用于iSalienceI）4端口10/100/1000BaseT千兆以太網(wǎng)業(yè)務(wù)扣板（用于iSalienceI）8端口10/100/1000BaseT千兆以太網(wǎng)業(yè)務(wù)板8端口千兆以太網(wǎng)GBIC光口業(yè)務(wù)板48端口百兆以太網(wǎng)電口業(yè)務(wù)板24端口百兆以太網(wǎng)光口（多模）業(yè)務(wù)板24

46、端口百兆以太網(wǎng)光口（單模）業(yè)務(wù)板20端口千兆以太網(wǎng)電口業(yè)務(wù)板20端口千兆以太網(wǎng)SFP光口業(yè)務(wù)板48端口千兆以太網(wǎng)電口業(yè)務(wù)板48端口千兆以太網(wǎng)SFP光口業(yè)務(wù)板4端口千兆以太網(wǎng)電口+12端口千兆以太網(wǎng)SFP光口業(yè)務(wù)板12端口千兆以太網(wǎng)電口+4端口千兆以太網(wǎng)SFP光口業(yè)務(wù)板1端口萬(wàn)兆以太網(wǎng)光接口業(yè)務(wù)板2端口萬(wàn)兆以太網(wǎng)光接口業(yè)務(wù)板4端口萬(wàn)兆以太網(wǎng)光接口業(yè)務(wù)板MAC地址表32KVLAN數(shù)量4K路由表項(xiàng)64KCAR支持，粒度：64KbpsPortTrunking支持，最大支持8個(gè)GE口或16個(gè)FE口捆綁STP/RSTP/MSTP支持生成樹(shù)/快諫生成樹(shù)協(xié)議，符合IEEE802.1D/802.1W/802.1

47、S標(biāo)準(zhǔn)，支持BPDUTUNNEL。系統(tǒng)配置/系統(tǒng)管理提供中/英文雙語(yǔ)界面支持CLI、Console、Telnet、Modem方式配置支持SNMPV1/2/3；支持RMON環(huán)境工作溫度：045C保存溫度：一3060C相對(duì)濕度：10%90%無(wú)凝結(jié)輸入電壓AC：100V240V,4763HzDC：-60V-48V外形尺寸（mm）寬X深X咼436X480X352.8重量（滿配時(shí)最大重量）W50kg系統(tǒng)最大功耗（滿插板）350W2403H2016性能參數(shù)產(chǎn)品特點(diǎn)u全線速的二層交換：6.4G/6.4G/9.6Gbps的總線帶寬為交換機(jī)所有的端口提供二層線速交換能力，保證所有端口無(wú)阻塞的進(jìn)行報(bào)文轉(zhuǎn)發(fā)。u完備

48、的安全智能控制策略：S2000-EI系列交換機(jī)支持802.1X認(rèn)證，還可以做認(rèn)證Server，在用戶接入網(wǎng)絡(luò)時(shí)完成必要的身份認(rèn)證，同時(shí)動(dòng)態(tài)的配置VLAN，有效的控制用戶訪問(wèn)網(wǎng)絡(luò)資源。該系列具備端口限速功能，可以64Kbps的精細(xì)粒度進(jìn)行端口帶寬分配，控制用戶的接入速率，防止惡意侵占網(wǎng)絡(luò)帶寬。交換機(jī)提供512個(gè)802.1QVLAN,支持MAC地址和端口綁定、廣播風(fēng)暴抑制和端口鎖定功能，還可以對(duì)屬于同一個(gè)802.1QVLAN的端口之間設(shè)臵隔離或互通。u高可靠性：S2000-EI交換機(jī)不僅支持STP/RSTP生成樹(shù)協(xié)議，還可以提供基于多VLAN的生成樹(shù)MSTP,極大提高了鏈路的冗余備份，提高容錯(cuò)能力

49、，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。u低功耗靜音設(shè)計(jì)：S2000-EI交換機(jī)具備低功耗和工作環(huán)境溫度適應(yīng)強(qiáng)的特點(diǎn)，采用無(wú)風(fēng)扇設(shè)計(jì)，徹底免除噪音，還具有免機(jī)械風(fēng)扇維護(hù)和更好的防塵效果。u靈活的擴(kuò)展能力和遠(yuǎn)程維護(hù)：S2016-EI/S2403H-EI提供百兆光/電擴(kuò)展能力，允許交換機(jī)通過(guò)光纖或銅纜上聯(lián)網(wǎng)絡(luò)。通過(guò)FTP、TFTP實(shí)現(xiàn)設(shè)備的遠(yuǎn)程升級(jí)，支持HGMP集群管理系統(tǒng)和故障診斷，實(shí)現(xiàn)了設(shè)備的集中管理和維護(hù)。u豐富的管理方式：S2000-EI交換機(jī)支持SNMPV1/V2/V3，可以接受OpenView等通用網(wǎng)管平臺(tái)以及Quidview、iManager網(wǎng)管系統(tǒng)配臵和管理。支持CLI命令行，Web網(wǎng)管，TELNE

50、T，HGMP集群管理等多種方式，便于設(shè)備維護(hù)。產(chǎn)品規(guī)格：項(xiàng)目S2016-EIS2403H-EI項(xiàng)目S2016-EIS2403H-EI外形尺寸（寬X咼X深）436mm*42mm*200mm436mm*42mm*240mm重量W3kgW3kg固定端口16個(gè)10/100M以太網(wǎng)電口1個(gè)Console口25個(gè)10/100M以太網(wǎng)電口1個(gè)Console口擴(kuò)展槽位數(shù)量11擴(kuò)展接口模塊種類100Base-FX多模模塊、100Base-FX單模模塊、100Base-FX單模中距模塊、百兆遠(yuǎn)程受電接口模塊100Base-FX多模模塊、100Base-FX單模模塊、100Base-FX單模中距模塊網(wǎng)線類型10Ba

51、se-T/100Base-Tx:3/4/5類非屏蔽雙絞線，支持100m傳輸距離5類屏蔽雙絞線，支持100m傳輸距離100Base-FX多模：62.5/125m多模光纖，支持2km傳輸距離100Base-FX單模：9/125m單模光纖，支持15km傳輸距離100Base-FX單模中距：9/125m單模光纖，支持40km傳輸距離電源AC：額定電壓范圍：100-240Va.c.；50/60Hz最大電壓范圍：90-264Va.c.；50/60HzDC：額定電壓范圍：-48-60Vd.c.最大電壓范圍：-36-72Vd.c.功耗12W15W工作環(huán)境溫度045C工作環(huán)境濕度（非凝露）10%90%線速一層交

52、換所有端口支持線速轉(zhuǎn)發(fā)包轉(zhuǎn)發(fā)率：S2008-EI為1.19Mpps，S2016-EI為2.53Mpps，S2403H-EI為3.87Mpps交換模式存儲(chǔ)轉(zhuǎn)發(fā)模式(StoreandForward)VLAN支持符合IEEE802.1Q標(biāo)準(zhǔn)的VLAN(VirtualLocalAreaNetwork)，最多支持512個(gè)VLAN支持基于端口的VLAN支持GVRP(GARPVLANRegistrationProtocol)組播GMRP(GARPMulticastRegistrationProtocol)IGMPSnooping(InternetGroupManagementProtocolSnooping

53、)生成樹(shù)協(xié)議支持STP/RSTP/MSTP端口匯聚最多可以支持4/8/12組端口匯聚，每個(gè)端口匯聚組最多可以有8個(gè)端口廣播風(fēng)暴抑制所有端口上支持基于帶寬百分比的廣播風(fēng)暴抑制端口鏡像支持對(duì)多的端口鏡像，即個(gè)鏡像端口，對(duì)被鏡像端口的數(shù)量沒(méi)有限制項(xiàng)目S2016-EIS2403H-EIMAC地址表地址自學(xué)習(xí)IEEE802.1D標(biāo)準(zhǔn)最多支持4K個(gè)MAC地址流控支持IEEE802.3x流控(全雙工)支持Back-pressurebasedflowcontrol(背壓式流控)(半雙工)加載與升級(jí)支持XModem協(xié)議實(shí)現(xiàn)加載升級(jí)支持FTP、TFTP加載升級(jí)管理支持命令行接口配置支持Telnet遠(yuǎn)程配置支持通過(guò)

54、Console口配置支持SNMP(SimpleNetworkManagementProtocol)支持RMON(RemoteMonitoring)1，2，3，9組MIB支持QuidView網(wǎng)管系統(tǒng)支持HGMPV2集群管理支持系統(tǒng)日志支持分級(jí)告警維護(hù)支持調(diào)試信息輸出支持PING、Tracert支持Telnet遠(yuǎn)程維護(hù)QoS支持DSCP(DifferentiatedServicesCodepointPriority)優(yōu)先級(jí)、802.1p優(yōu)先級(jí)支持端口出方向和入方向報(bào)文的雙向端口限速，帶寬分配支持64Kbps的精細(xì)粒度。支持WRR(WeightedRoundRobin)、HQ+WRR(High-Pr

55、iorityQueueing+WRR)隊(duì)列調(diào)度算法支持流量統(tǒng)計(jì)安全特性支持MAC地址和端口綁定支持端口鎖定對(duì)屬于同一個(gè)802.1QVLAN的端口之間可以設(shè)置隔離或互通。用戶分級(jí)管理和口令保護(hù)支持基于端口和基于MAC的802.1X認(rèn)證遠(yuǎn)程受電S2016-EI的直流機(jī)型支持遠(yuǎn)程受電，滿足802.3af標(biāo)準(zhǔn)。服務(wù)器選型信息技術(shù)的發(fā)展，使得越來(lái)越多的行業(yè)迫切需要能性價(jià)比高的64位向下兼容32位的計(jì)算平臺(tái)，因此，X86架構(gòu)的PC服務(wù)器擔(dān)當(dāng)了這一重要角色，而AMDOpteron處理器的出現(xiàn)解決了這一矛盾。AMDOpteron處理器是基于x86-64結(jié)構(gòu)的全新一代64位處理器，而且除了完全支持64位應(yīng)用以外

56、，還采用了很多新的技術(shù)。在近二十年里，X86-32位平臺(tái)廣泛應(yīng)用在各種計(jì)算環(huán)境，但隨著各行業(yè)信息化的逐步深入，我們已經(jīng)在逐步進(jìn)入了海量信息時(shí)代，越來(lái)越多的操作系統(tǒng)和應(yīng)用程序?qū)μ幚砥鞯倪\(yùn)算能力以及內(nèi)存的容量都提出了極高的要求，這使得以往的32位計(jì)算平臺(tái)在越來(lái)越多的高端應(yīng)用中顯得力不從心。32位計(jì)算的局限性不僅體現(xiàn)在處理器的計(jì)算能力上，還體現(xiàn)在系統(tǒng)對(duì)內(nèi)存的控制上。傳統(tǒng)的32位計(jì)算系統(tǒng)被限制在4GB的內(nèi)存尋址能力上，這使得很多需要大容量?jī)?nèi)存的大規(guī)模的數(shù)據(jù)處理程序在這時(shí)都會(huì)顯得捉襟見(jiàn)肘，形成了運(yùn)行效率的瓶頸。而64位計(jì)算則可以突破這兩大限制，不僅使得處理器的計(jì)算能力有了更加廣闊的發(fā)展空間，其所能支持的

57、內(nèi)存尋址能力更是達(dá)到了180億GB,將能夠徹底解決32位計(jì)算系統(tǒng)所遇到的瓶頸現(xiàn)象。在處理器中集成了內(nèi)存控制器，取消了傳統(tǒng)的北橋，采用直連架構(gòu)進(jìn)行數(shù)據(jù)交換；在以往的INTEL架構(gòu)服務(wù)器系統(tǒng)中，采用間接架構(gòu)，通過(guò)北橋和南橋芯片進(jìn)行連接，它本身就是一個(gè)傳輸瓶頸，無(wú)法提高傳輸效率，就好比城市交通的十字路口（INTEL架構(gòu)）和立交橋（AMDopteron架構(gòu)）；這使得系統(tǒng)的內(nèi)存能夠運(yùn)行在與處理器相同的頻率之下，避免了由于主板芯片組中的內(nèi)存控制器性能低下所引起的系統(tǒng)整體性能下降的現(xiàn)象；采用了超傳輸HyperTransport技術(shù)來(lái)進(jìn)行數(shù)據(jù)交換，數(shù)據(jù)帶寬達(dá)到了12.8GBps;使用SOI技術(shù)工藝制造，使得處

58、理器的運(yùn)行功耗更低（89W。AMDOpteron能完全兼容現(xiàn)有的32位計(jì)算平臺(tái)的硬件、操作系統(tǒng)及軟件，這使得用戶不用為了使用64位處理器而一次性完全更新自己的軟硬件系統(tǒng)，極好的保護(hù)了用戶的既有投資，使用戶能根據(jù)自己的實(shí)際情況來(lái)搭建適合自己的64位計(jì)算平臺(tái)。AMDOpteron還采用硬件病毒防護(hù)技術(shù)，防止了緩沖區(qū)溢出現(xiàn)象。X86架構(gòu)64位產(chǎn)品性能比較服務(wù)器系統(tǒng)基于Opteron系統(tǒng)基于Xeon系統(tǒng)基于XeonMP系統(tǒng)基于Itanium系統(tǒng)時(shí)鐘頻率（GHZ）1.6,1.8,2.0,2.22.4,2.8,3.062.0,2.5,2.81.3,1.4,1.5,1.6處理系統(tǒng)模塊化是需要北橋芯片需要北橋

59、芯片需要北橋芯片SMP功能最多八路最多雙路最多四路最多四路兼容32/64位是否否否HyperTransport技術(shù)是否否否處理器集成內(nèi)存控制器是否否否前端總線頻率1.4-2.0GHZ533MHz400MHz400MHz前端總線帶寬11.2-16.0GB/S4.2GB/S3.2GB/S6.4GB/S處理器間最大帶寬6.4GB/S4.2GB/S3.2GB/S6.4GB/S內(nèi)存類型支持DDR200/266/333DDR266DDR200DDR200雙路系統(tǒng)內(nèi)存帶寬10.6GB/S4.3GB/S6.4GB/S6.4GB/S四路系統(tǒng)內(nèi)存帶寬21.2GB/S不支持6.4GB/S6.4GB/SL1緩存容量1

60、28K20K20K20KL2緩存容量1MB512KB512KB256KBL3緩存容量不支持不支持2MB1.5MB/3MB雙路系統(tǒng)最大I/O帶寬12.8GB/S3.2GB/S4.8GB/S6.4GB/S四路系統(tǒng)最大I/O帶寬25.6GB/S不支持4.8GB/S6.4GB/SSIMD指令集支持SSE/SSE2SSE/SSE2SSE/SSE2不支持市場(chǎng)參考售價(jià)中等較低較高高服務(wù)器技術(shù)參數(shù)表配置內(nèi)容擴(kuò)充配置處理器雙AMDOpteronTM242處理器支持AMDOpteronTM航天自動(dòng)化股份有限公司240/242/244 一級(jí)緩存128KB二級(jí)緩存1MB內(nèi)存512MPC2100ECCRegistere