謝希仁計算機網(wǎng)絡第五版課后習題答案-第七章-網(wǎng)絡安全最新文檔

謝希仁計算機網(wǎng)絡第五版課后習題答案第七章網(wǎng)絡安全最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）

第七章網(wǎng)絡安全謝希仁計算機網(wǎng)絡第五版課后習題答案第七章網(wǎng)絡安全最新文檔(可以直接使用，可編輯最新文檔，歡迎下載）7-01計算機網(wǎng)絡都面臨哪幾種威脅？主動攻擊和被動攻擊的區(qū)別是什么？對于計算機網(wǎng)絡的安全措施都有哪些？答：計算機網(wǎng)絡面臨以下的四種威脅：截獲（interception），中斷(interruption)，篡改(modification),偽造（fabrication）。網(wǎng)絡安全的威脅可以分為兩大類：即被動攻擊和主動攻擊。主動攻擊是指攻擊者對某個連接中通過的PDU進行各種處理。如有選擇地更改、刪除、延遲這些PDU。甚至還可將合成的或偽造的PDU送入到一個連接中去。主動攻擊又可進一步劃分為三種，即更改報文流；拒絕報文服務；偽造連接初始化。被動攻擊是指觀察和分析某一個協(xié)議數(shù)據(jù)單元PDU而不干擾信息流。即使這些數(shù)據(jù)對攻擊者來說是不易理解的，它也可通過觀察PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議實體的地址和身份，研究PDU的長度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的性質。這種被動攻擊又稱為通信量分析。還有一種特殊的主動攻擊就是惡意程序的攻擊。惡意程序種類繁多，對網(wǎng)絡安全威脅較大的主要有以下幾種：計算機病毒；計算機蠕蟲；特洛伊木馬；邏輯炸彈。對付被動攻擊可采用各種數(shù)據(jù)加密動技術，而對付主動攻擊，則需加密技術與適當?shù)蔫b別技術結合。7-02試解釋以下名詞：（1）重放攻擊；（2）拒絕服務；（3）訪問控制；（4）流量分析；（5）惡意程序。答：（1）重放攻擊：所謂重放攻擊（replayattack）就是攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程。（2）拒絕服務：DoS(DenialofService)指攻擊者向因特網(wǎng)上的服務器不停地發(fā)送大量分組，使因特網(wǎng)或服務器無法提供正常服務。（3）訪問控制：（accesscontrol）也叫做存取控制或接入控制。必須對接入網(wǎng)絡的權限加以控制，并規(guī)定每個用戶的接入權限。（4）流量分析：通過觀察PDU的協(xié)議控制信息部分，了解正在通信的協(xié)議實體的地址和身份，研究PDU的長度和傳輸?shù)念l度，以便了解所交換的數(shù)據(jù)的某種性質。這種被動攻擊又稱為流量分析（trafficanalysis）。（5）惡意程序：惡意程序（rogueprogram）通常是指帶有攻擊意圖所編寫的一段程序。7-03為什么說，計算機網(wǎng)絡的安全不僅僅局限于保密性？試舉例說明，僅具有保密性的計算機網(wǎng)絡不一定是安全的。答：計算機網(wǎng)絡安全不僅僅局限于保密性，但不能提供保密性的網(wǎng)絡肯定是不安全的。網(wǎng)絡的安全性機制除為用戶提供保密通信以外，也是許多其他安全機制的基礎。例如，存取控制中登陸口令的設計。安全通信協(xié)議的設計以及數(shù)字簽名的設計等，都離不開密碼機制。7-04密碼編碼學、密碼分析學和密碼學都有哪些區(qū)別？答：密碼學(cryptology)包含密碼編碼學(Cryptography)與密碼分析學(Cryptanalytics)兩部分內容。密碼編碼學是密碼體制的設計學,是研究對數(shù)據(jù)進行變換的原理、手段和方法的技術和科學，而密碼分析學則是在未知密鑰的情況下從密文推演出明文或密鑰的技術。是為了取得秘密的信息，而對密碼系統(tǒng)及其流動的數(shù)據(jù)進行分析，是對密碼原理、手段和方法進行分析、攻擊的技術和科學。7-05“無條件安全的密碼體制”和“在計算上是安全的密碼體制”有什么區(qū)別？答：如果不論截取者獲得了多少密文，但在密文中都沒有足夠的信息來惟一地確定出對應的明文，則這一密碼體制稱為無條件安全的，或稱為理論上是不可破的。

如果密碼體制中的密碼不能被可使用的計算資源破譯，則這一密碼體制稱為在計算上是安全的。破譯下面的密文詩。加密采用替代密碼。這種密碼是把26個字母（從a到z）中的每一個用其他某個字母替代（注意，不是按序替代）。密文中無標點符號?？崭裎醇用?。KfdktbdfzmeubdkfdpzyiommztxkukzygurbzhakfthcmurmfudmzhxMftnmzhxmdzythcpzqurezsszcdmzhxgthcmzhxpfakfdmdztmsutythcFukzhxpfdkfdintcmfzldpthcmsokpztkzstkkfduamkdimeitdxsdruidPdfzlduoiefzkruimubduromziduokursidzkfzhxzyyuromzidrzkHufoiiamztxkfdezindhkdikfdakfzhgdxftbboefruikfzk答：單字母表是：明文：abcdefghIjklm密文：zsexdrcftgyb明文：nopqrstuvwxyz密文：hunImkolpka根據(jù)該單字母表，可得到下列與與本題中給的密文對應的明文：thetimehascomethewalrussaidtotalkofmanythingsofshoesamdshipsandsealingwaxofcabbagesandkingsandwhytheseaisboilinghotandwhetherpigshavewingsbutwaitabittheoysterscriedbeforewehaveourchatforsomeofusareoutofbreathandallofusarefatnohurrysaidthecarpentertheythankedhimmuchforthat7-07對稱密鑰體制與公鑰密碼體制的特點各如何？各有何優(yōu)缺點？答：在對稱密鑰體制中，它的加密密鑰與解密密鑰的密碼體制是相同的，且收發(fā)雙方必須共享密鑰，對稱密碼的密鑰是保密的，沒有密鑰，解密就不可行，知道算法和若干密文不足以確定密鑰。公鑰密碼體制中，它使用不同的加密密鑰和解密密鑰，且加密密鑰是向公眾公開的，而解密密鑰是需要保密的，發(fā)送方擁有加密或者解密密鑰，而接收方擁有另一個密鑰。兩個密鑰之一也是保密的，無解密密鑰，解密不可行，知道算法和其中一個密鑰以及若干密文不能確定另一個密鑰。優(yōu)點：對稱密碼技術的優(yōu)點在于效率高，算法簡單，系統(tǒng)開銷小，適合加密大量數(shù)據(jù)。對稱密鑰算法具有加密處理簡單，加解密速度快，密鑰較短，發(fā)展歷史悠久等優(yōu)點。缺點：對稱密碼技術進行安全通信前需要以安全方式進行密鑰交換，且它的規(guī)模復雜。公鑰密鑰算法具有加解密速度慢的特點，密鑰尺寸大，發(fā)展歷史較短等特點。7-08為什么密鑰分配是一個非常重要但又十分復雜的問題？試舉出一種密鑰分配的方法。答：密鑰必須通過最安全的通路進行分配。可以使用非?？煽康男攀箶y帶密鑰非配給互相通信的各用戶，多少用戶越來越多且網(wǎng)絡流量越來越大，密鑰跟換過于頻繁，派信使的方法已不再適用。舉例：公鑰的分配，首先建立一個值得信賴的機構（認證中心CA），將公鑰與其對應的實體進行綁定，每個實體都有CA發(fā)來的證書，里面有公鑰及其擁有者的標識信息，此證書被CA進行了數(shù)字簽名，任何用戶都可從可信的地方獲得CA的公鑰，此公鑰可用來驗證某個公鑰是否為某個實體所擁有。7-09公鑰密碼體制下的加密和解密過程是怎么的？為什么公鑰可以公開？如果不公開是否可以提高安全性？答：加密和解密過程如下：（1）、密鑰對產(chǎn)生器產(chǎn)生出接收者的一對密鑰：加密密鑰和解密密鑰；（2）、發(fā)送者用接受者的公鑰加密密鑰通過加密運算對明文進行加密，得出密文，發(fā)送給接受者；接受者用自己的私鑰解密密鑰通過解密運算進行解密，恢復出明文；因為無解密密鑰，解密是不可行的，所以公鑰可以公開，知道算法和其中一個密鑰以及若干密文不能確定另一個密鑰。7-10試述數(shù)字簽名的原理答：數(shù)字簽名采用了雙重加密的方法來實現(xiàn)防偽、防賴。其原理為：被發(fā)送文件用SHA編碼加密產(chǎn)生128bit的數(shù)字摘要。然后發(fā)送方用自己的私用密鑰對摘要再加密，這就形成了數(shù)字簽名。將原文和加密的摘要同時傳給對方。對方用發(fā)送方的公共密鑰對摘要解密，同時對收到的文件用SHA編碼加密產(chǎn)生又一摘要。將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致，則說明傳送過程中信息沒有被破壞或篡改過。否則不然。7-11為什么需要進行報文鑒別？鑒別和保密、授權有什么不同？報文鑒別和實體鑒別有什么區(qū)別？答：(1)使用報文鑒別是為了對付主動攻擊中的篡改和偽造。當報文加密的時候就可以達到報文鑒別的目的，但是當傳送不需要加密報文時，接收者應該能用簡單的方法來鑒別報文的真?zhèn)巍?2)鑒別和保密并不相同。鑒別是要驗證通信對方的確是自己所需通信的對象，而不是其他的冒充者。鑒別分為報文鑒別和實體鑒別。授權涉及到的問題是：所進行的過程是否被允許(如是否可以對某文件進行讀或寫)。(3)報文鑒別和實體鑒別不同。報文鑒別是對每一個收到的報文都要鑒別報文的發(fā)送者，而實體鑒別是在系統(tǒng)接入的全部持續(xù)時間內對和自己通信的對方實體只需驗證一次。7-12試述實現(xiàn)報文鑒別和實體鑒別的方法。答：(1)報文摘要MD是進行報文鑒別的簡單方法。A把較長的報文X經(jīng)過報文摘要算法運算后得出很短的報文摘要H。然后用自己的私鑰對H進行D運算，即進行數(shù)字簽名。得出已簽名的報文摘要D(H)后，并將其追加在報文X后面發(fā)送給B。B收到報文后首先把已簽名的D(H)和報文X分離。然后再做兩件事。第一，用A的公鑰對D(H)進行E運算，得出報文摘要H。第二，對報文X進行報文摘要運算，看是否能夠得出同樣的報文摘要H。如一樣，就能以極高的概率斷定收到的報文是A產(chǎn)生的。否則就不是。(2)A首先用明文發(fā)送身份A和一個不重數(shù)RA給B。接著，B響應A的查問，用共享的密鑰KAB對RA加密后發(fā)回給A，同時也給出了自己的不重數(shù)RB。最后，A再響應B的查問，用共享的密鑰KAB對RB加密后發(fā)回給B。由于不重數(shù)不能重復使用，所以C在進行重放攻擊時無法重復使用是喲截獲的不重數(shù)。7-13報文的保密性與完整性有何區(qū)別？什么是MD5？答：(1)報文的保密性和完整性是完全不同的概念。保密性的特點是：即使加密后的報文被攻擊者截獲了，攻擊者也無法了解報文的內容。完整性的特點是：接收者接收到報文后，知道報文沒有被篡改或偽造。(2)MD5是[RFC1321]提出的報文摘要算法，目前已獲得了廣泛的應用。它可以對任意長的報文進行運算，然后得出128bit的MD報文摘要代碼。算法的大致過程如下：①先將任意長的報文按模264計算其余數(shù)(64bit)，追加在報文的后面。這就是說，最后得出的MD5代碼已包含了報文長度的信息。②在報文和余數(shù)之間填充1~512bit，使得填充后的總長度是512的整數(shù)倍。填充比特的首位是1，后面都是0。③將追加和填充的報文分割為一個個512bit的數(shù)據(jù)塊，512bit的報文數(shù)據(jù)分成4個128bit的數(shù)據(jù)依次送到不同的散列函數(shù)進行4論計算。每一輪又都按32bit的小數(shù)據(jù)塊進行復雜的運算。一直到最后計算出MD5報文摘要代碼。這樣得出的MD5代碼中的每一個比特，都與原來的報文中的每一個比特有關。7-14什么是重放攻擊？怎樣防止重放攻擊？答：(1)入侵者C可以從網(wǎng)絡上截獲A發(fā)給B的報文。C并不需要破譯這個報文(因為這可能很花很多時間)而可以直接把這個由A加密的報文發(fā)送給B，使B誤認為C就是A。然后B就向偽裝是A的C發(fā)送許多本來應當發(fā)送給A的報文。這就叫做重放攻擊。(2)為了對付重放攻擊，可以使用不重數(shù)。不重數(shù)就是一個不重復使用的大隨機數(shù)，即“一次一數(shù)”。7-15什么是“中間人攻擊”？怎樣防止這種攻擊？答：(1)中間人攻擊（Man-in-the-MiddleAttack，簡稱“MITM攻擊”）是一種“間接”的入侵攻擊，這種攻擊模式是通過各種技術手段將受入侵者控制的一臺計算機虛擬放置在網(wǎng)絡連接中的兩臺通信計算機之間，這臺計算機就稱為“中間人”。然后入侵者把這臺計算機模擬一臺或兩臺原始計算機，使“中間人”能夠與原始計算機建立活動連接并允許其讀取或篡改傳遞的信息，然而兩個原始計算機用戶卻認為他們是在互相通信，因而這種攻擊方式并不很容易被發(fā)現(xiàn)。所以中間人攻擊很早就成為了黑客常用的一種古老的攻擊手段，并且一直到今天還具有極大的擴展空間。(2)要防范MITM攻擊，我們可以將一些機密信息進行加密后再傳輸，這樣即使被“中間人”截取也難以破解，另外，有一些認證方式可以檢測到MITM攻擊。比如設備或IP異常檢測：如果用戶以前從未使用某個設備或IP訪問系統(tǒng)，則系統(tǒng)會采取措施。還有設備或IP頻率檢測：如果單一的設備或IP同時訪問大量的用戶帳號，系統(tǒng)也會采取措施。更有效防范MITM攻擊的方法是進行帶外認證。7－16試討論Kerberos協(xié)議的優(yōu)缺點。答：Kerberos協(xié)議主要用于計算機網(wǎng)絡的身份鑒別(Authentication),其特點是用戶只需輸入一次身份驗證信息就可以憑借此驗證獲得的票據(jù)(ticket-grantingticket)訪問多個服務，即SSO(SingleSignOn)。由于在每個Client和Service之間建立了共享密鑰，使得該協(xié)議具有相當?shù)陌踩?。概括起來說Kerberos協(xié)議主要做了兩件事：Ticket的安全傳遞；SessionKey的安全發(fā)布。再加上時間戳的使用就很大程度上的保證了用戶鑒別的安全性。并且利用SessionKey，在通過鑒別之后Client和Service之間傳遞的消息也可以獲得Confidentiality(機密性),Integrity(完整性)的保證。不過由于沒有使用非對稱密鑰自然也就無法具有抗否認性，這也限制了它的應用。不過相對而言它比X.509PKI的身份鑒別方式實施起來要簡單多了。7－17因特網(wǎng)的網(wǎng)絡層安全協(xié)議族Ipsec都包含哪些主要協(xié)議？答：在Ipsec中最主要的兩個部分就是：鑒別首部AH和封裝安全有效載荷ESP。AH將每個數(shù)據(jù)報中的數(shù)據(jù)和一個變化的數(shù)字簽名結合起來，共同驗證發(fā)送方身份，使得通信一方能夠確認發(fā)送數(shù)據(jù)的另一方的身份，并能夠確認數(shù)據(jù)在傳輸過程中沒有被篡改，防止受到第三方的攻擊。它提供源站鑒別和數(shù)據(jù)完整性，但不提供數(shù)據(jù)加密。ESP提供了一種對IP負載進行加密的機制，對數(shù)據(jù)報中的數(shù)據(jù)另外進行加密，因此它不僅提供源站鑒別、數(shù)據(jù)完整性，也提供保密性。IPSec是IETF（InternetEngineeringTaskForce，Internet工程任務組）的IPSec小組建立的一套安全協(xié)作的密鑰管理方案，目的是盡量使下層的安全與上層的應用程序及用戶獨立，使應用程序和用戶不必了解底層什么樣的安全技術和手段，就能保證數(shù)據(jù)傳輸?shù)目煽啃约鞍踩浴PSec是集多種安全技術為一體的安全體系結構，是一組IP安全協(xié)議集。IPSec定義了在網(wǎng)際層使用的安全服務，其功能包括數(shù)據(jù)加密、對網(wǎng)絡單元的訪問控制、數(shù)據(jù)源地址驗證、數(shù)據(jù)完整性檢查和防止重放攻擊。7-18試簡述SSL和SET的工作過程。答：首先舉例說明SSL的工作過程。假定A有一個使用SSL的安全網(wǎng)頁，B上網(wǎng)時用鼠標點擊到這個安全網(wǎng)頁的鏈接。接著，服務器和瀏覽器就進行握手協(xié)議，其主要過程如下。（1）瀏覽器向服務器發(fā)送瀏覽器的SSL版本號和密碼編碼的參數(shù)選擇。（2）服務器向瀏覽器發(fā)送服務器的SSL版本號、密碼編碼的參數(shù)選擇及服務器的證書。證書包括服務器的RSA分開密鑰。此證書用某個認證中心的秘密密鑰加密。（3）瀏覽器有一個可信賴的CA表，表中有每一個CA的分開密鑰。當瀏覽器收到服務器發(fā)來的證書時，就檢查此證書是否在自己的可信賴的CA表中。如不在，則后來的加密和鑒別連接就不能進行下去；如在，瀏覽器就使用CA的公開密鑰對證書解密，這樣就得到了服務器的公開密鑰。（4）瀏覽器隨機地產(chǎn)生一個對稱會話密鑰，并用服務器的分開密鑰加密，然后將加密的會話密鑰發(fā)送給服務器。（5）瀏覽器向服務器發(fā)送一個報文，說明以后瀏覽器將使用此會話密鑰進行加密。然后瀏覽器再向服務器發(fā)送一個單獨的加密報文，表明瀏覽器端的握手過程已經(jīng)完成。（6）服務器也向瀏覽器發(fā)送一個報文，說明以后服務器將使用此會話密鑰進行加密。然后服務器再向瀏覽器發(fā)送一個單獨的加密報文，表明服務器端的握手過程已經(jīng)完成。（7）SSL的握手過程到此已經(jīng)完成，下面就可開始SSL的會話過程。下面再以顧客B到公司A用SET購買物品為例來說明SET的工作過程。這里涉及到兩個銀行，即A的銀行（公司A的支付銀行）和B的銀行（給B發(fā)出信用卡的銀行）。（1）B告訴A他想用信用卡購買公司A的物品。（2）A將物品清單和一個唯一的交易標識符發(fā)送給B。（3）A將其商家的證書，包括商家的公開密鑰發(fā)送給B。A還向B發(fā)送其銀行的證書，包括銀行的公開密鑰。這兩個證書都用一個認證中心CA的秘密密鑰進行加密。（4）B使用認證中心CA的公開密鑰對這兩個證書解密。（5）B生成兩個數(shù)據(jù)包：給A用的定貨信息OI和給A的銀行用的購買指令PI。（6）A生成對信用卡支付請求的授權請求，它包括交易標識符。（7）A用銀行的公開密鑰將一個報文加密發(fā)送給銀行，此報文包括授權請求、從B發(fā)過來的PI數(shù)據(jù)包以及A的證書。（8）A的銀行收到此報文，將其解密。A的銀行要檢查此報文有無被篡改，以及檢查在授權請求中的交易標識符是否與B的PI數(shù)據(jù)包給出的一致。（9）A的銀行通過傳統(tǒng)的銀行信用卡信道向B的銀行發(fā)送請求支付授權的報文。（10）一旦B的銀行準許支付，A的銀行就向A發(fā)送響應（加密的）。此響應包括交易標識符。（11）若此次交易被批準，A就向B發(fā)送響應報文。7-19電子郵件的安全協(xié)議PGP主要都包含哪些措施？答：PGP是一種長期得到廣泛使用和安全郵件標準。PGP是RSA和傳統(tǒng)加密的雜合算法，因為RSA算法計算量大，在速度上不適合加密大量數(shù)據(jù)，所以PGP實際上并不使用RSA來加密內容本身，而是采用IDEA的傳統(tǒng)加密算法。PGP用一個隨機生成密鑰及IDEA算法對明文加密，然后再用RSA算法對該密鑰加密。收信人同樣是用RSA解密出這個隨機密鑰，再用IDEA解密郵件明文。7-20路加密與端到端加密各有何特點？各用在什么場合？答：（1）鏈路加密優(yōu)點：某條鏈路受到破壞不會導致其他鏈路上傳送的信息被析出，能防止各種形式的通信量析出；不會減少網(wǎng)絡系統(tǒng)的帶寬；相鄰結點的密鑰相同，因而密鑰管理易于實現(xiàn)；鏈路加密對用戶是透明的。缺點：中間結點暴露了信息的內容；僅僅采用鏈路加密是不可能實現(xiàn)通信安全的；不適用于廣播網(wǎng)絡。（2）端到端加密優(yōu)點：報文的安全性不會因中間結點的不可靠而受到影響；端到端加密更容易適合不同用戶服務的要求，不僅適用于互聯(lián)網(wǎng)環(huán)境，而且同樣也適用于廣播網(wǎng)。缺點：由于PDU的控制信息部分不能被加密，所以容易受到通信量分析的攻擊。同時由于各結點必須持有與其他結點相同的密鑰，需要在全網(wǎng)范圍內進行密鑰管理和分配.為了獲得更好的安全性，可將鏈路加密與端到端加密結合在一起使用。鏈路加密用來對PDU的目的地址進行加密，而端到端加密則提供了對端到端數(shù)據(jù)的保護。7-21試述防火墻的工作原理和所提供的功能。什么叫做網(wǎng)絡級防火墻和應用級防火墻？答：防火墻的工作原理：防火墻中的分組過濾路由器檢查進出被保護網(wǎng)絡的分組數(shù)據(jù)，按照系統(tǒng)管理員事先設置好的防火墻規(guī)則來與分組進行匹配，符合條件的分組就能通過，否則就丟棄。防火墻提供的功能有兩個：一個是阻止，另一個是允許。阻止就是阻止某種類型的通信量通過防火墻。允許的功能與阻止的恰好相反。不過在大多數(shù)情況下防火墻的主要功能是阻止。網(wǎng)絡級防火墻：主要是用來防止整個網(wǎng)絡出現(xiàn)外來非法的入侵，屬于這類的有分組過濾和授權服務器。前者檢查所有流入本網(wǎng)絡的信息，然后拒絕不符合事先制定好的一套準則的數(shù)據(jù)，而后者則是檢查用戶的登錄是否合法。應用級防火墻：從應用程序來進行介入控制。通常使用應用網(wǎng)關或代理服務器來區(qū)分各種應用。PAGEv目錄TOC\o"1—3"\h\zHYPERLINK\l”_Toc343783763”1 項目概況 —1-HYPERLINK\l”_Toc343783764"1。1 項目背景 -1-HYPERLINK\l”_Toc343783765"1。2 建設目標 —1—HYPERLINK\l”_Toc343783766”1。3 工程范圍 -1—1。4 網(wǎng)絡信息點位分布與數(shù)量表 —1—HYPERLINK\l”_Toc343783768”2 總體設計 —3-_Toc343783770"2。2 設計原則 —3-3 網(wǎng)絡系統(tǒng) -5—HYPERLINK\l”_Toc343783772”3。1 網(wǎng)絡協(xié)議的選擇 —5—HYPERLINK\l”_Toc343783773”3.2 網(wǎng)絡技術選擇 -5— VLAN（VirtualLANs） -5-3.2。2 三層交換技術 -6—3.2。3 VRRP -7—3.3 網(wǎng)絡設計概要 -8-HYPERLINK\l”_Toc343783779”3。4 網(wǎng)絡的分層設計 —9- 匯聚層 -9—_Toc343783783” 選用華為3COM的網(wǎng)絡設備 —10-_Toc343783785”3。5 網(wǎng)絡拓撲圖 —24-3.6 網(wǎng)絡冗余設計 —26—HYPERLINK\l”_Toc343783787”3。7 路由規(guī)劃 -26-HYPERLINK\l”_Toc343783788”3.8 應用VRRP技術 -28-3。10 VLAN規(guī)劃 -33—HYPERLINK\l”_Toc343783791"3。11 IP地址分配原則 -33-HYPERLINK\l”_Toc343783792” 內網(wǎng)IP分配規(guī)劃 —34-HYPERLINK\l”_Toc343783793"3.11。2 外網(wǎng)IP分配規(guī)劃 —34-_Toc343783795”3。12。1 完全的分布式的處理方式 -35-HYPERLINK\l”_Toc343783796”3。12。2 核心交換機先進的體系架構設計 —35-3。12.4 QOS功能 -35—HYPERLINK\l”_Toc343783799" 廣播風暴的抑止 —36—3。12。6 高可用性保障 —36-HYPERLINK\l”_Toc343783801”4 網(wǎng)管管理系統(tǒng) -36-4.1 網(wǎng)絡管理的重要性 -36—HYPERLINK\l”_Toc343783803”4。2 管理系統(tǒng)的總體設計 —37-4。3 華為3Com網(wǎng)絡管理解決方案 -37—HYPERLINK\l”_Toc343783805”4。3。1 產(chǎn)品特點 —37-_Toc343783808"5 網(wǎng)絡系統(tǒng)安全特性 -42—HYPERLINK\l”_Toc343783809”5。1 配置IDS —42—HYPERLINK\l”_Toc343783810”5。2 網(wǎng)絡病毒的診斷 -42-_Toc343783813"5。3。2 路由協(xié)議的安全 -43-HYPERLINK\l”_Toc343783814”5。3.3 網(wǎng)管SNMP的安全性 —43—HYPERLINK\l”_Toc343783815"5。4 網(wǎng)絡設備的安全性 —43-5.4。1 控制口console的控制 -43— 遠程登錄telnet的控制 —44-_Toc343783819"5.6 多元綁定技術的應用 —47-HYPERLINK\l”_Toc343783820”5。6。1 網(wǎng)絡安全特征 -48—_Toc343783822"5。7 防止對DHCP服務器的攻擊 -52-HYPERLINK\l”_Toc343783823"5。7.1 PrivateVLAN -52-HYPERLINK\l”_Toc343783824"5。7.2 訪問控制列表 -53-_Toc343783826”5。8 惡意用戶追查 -53—_Toc343783828"5。9.1 防止DOS攻擊 —54—5。9.3 防止病毒的廣播傳遞 -55-HYPERLINK\l”_Toc343783831”6 網(wǎng)絡入侵檢測 -56-HYPERLINK\l”_Toc343783832"6.1 入侵檢測系統(tǒng)在外網(wǎng)網(wǎng)絡的作用 -56—6。2 本系統(tǒng)外網(wǎng)絡入侵檢測產(chǎn)品選型 —59-HYPERLINK\l”_Toc343783835”6。2.1 網(wǎng)絡入侵檢測技術簡介 -59—HYPERLINK\l”_Toc343783836"6。2。2 網(wǎng)絡入侵檢測技術分析 -60-6。2。3 網(wǎng)絡入侵產(chǎn)品選型 -62-HYPERLINK\l”_Toc343783838"6.3 網(wǎng)絡入侵檢測產(chǎn)品部署 -65-_Toc343783840”6.3。2 NetEyeIDS的集中管理 —66-HYPERLINK\l”_Toc343783841"6.3。3 NetEyeIDS的系統(tǒng)結構 —67-6.4 網(wǎng)絡入侵檢測產(chǎn)品擴展及建議 —68—HYPERLINK\l”_Toc343783844”6。4。1 NetEyeIDS平滑擴展 —68-HYPERLINK\l”_Toc343783845” NetEyeIDS安全聯(lián)動 —68—HYPERLINK\l”_Toc343783846”6.5 NetEyeIDS優(yōu)勢介紹 —69—HYPERLINK\l”_Toc343783847"7 網(wǎng)絡防病毒 —72-7。1.1 計算機病毒的發(fā)展趨勢 -72—HYPERLINK\l”_Toc343783850” 病毒入侵渠道分析 —73-7.3 網(wǎng)絡防病毒需求分析 —76—7。4 防病毒解決方案 -78-HYPERLINK\l”_Toc343783854”7。4。1 設計思想 —78—_Toc343783856”7.4。3 部署產(chǎn)品 -79—HYPERLINK\l”_Toc343783857”7。4。4 部署示意 -79—7。4。5 部署防病毒系統(tǒng)實現(xiàn)的效果 —80-_Toc343783860” 網(wǎng)絡版產(chǎn)品簡介 -81—HYPERLINK\l”_Toc343783861"7。5.2 網(wǎng)絡版系統(tǒng)需求 —82-7。5。3 網(wǎng)絡版部署方式 —83-HYPERLINK\l”_Toc343783863"7。5。4 網(wǎng)絡版管理方式 —84—HYPERLINK\l”_Toc343783864” 網(wǎng)絡版升級方式 -84—HYPERLINK\l”_Toc343783865"7。5.6 網(wǎng)絡版功能特色 —84—HYPERLINK\l”_Toc343783866”8 設備安裝場地及環(huán)境要求 -92—HYPERLINK\l”_Toc343783867"8。1 機房的選址建議要求 —92—_Toc343783869"8。3 網(wǎng)絡設備工作環(huán)境的要求 -93- 溫度和濕度要求 -93-_Toc343783872”8。3.3 防靜電要求 -94-HYPERLINK\l”_Toc343783873"8。3.4 電磁環(huán)境要求 -95-8。3.5 防雷擊要求 -95—8。3。6 抗干擾要求 —95-_Toc343783877"9 實施方案 —97—HYPERLINK\l”_Toc343783878"9。1 總體實施規(guī)劃 -97-HYPERLINK\l”_Toc343783879”9.2 工程界面 -98-HYPERLINK\l”_Toc343783880"9.3 工程實施組織結構和分工 —99—HYPERLINK\l”_Toc343783881"9.4 項目實施計劃編制和文檔修改控制 -100-HYPERLINK\l”_Toc343783882”9.5 工程協(xié)調會和工程進度安排 —102-9.6 項目實施 —107-HYPERLINK\l”_Toc343783884"9。6。1 安裝準備 —107-HYPERLINK\l”_Toc343783885”9.6。2 到貨檢查 —107-_Toc343783888” 系統(tǒng)測試和驗收 —110-9。6.6 培訓 -110—HYPERLINK\l”_Toc343783890"9。6。7 實施總結 —111—9.6。8 售后維護 —111—HYPERLINK\l”_Toc343783892"9。6。9 過程監(jiān)控 —111—HYPERLINK\l”_Toc343783893"9.7 項目質量保證計劃 —112—HYPERLINK\l”_Toc343783894"9。8 工程文檔 —113—HYPERLINK\l”_Toc343783895"10 驗收方案 —115—HYPERLINK\l”_Toc343783896"10.1 驗收的方法與步驟 —115—HYPERLINK\l”_Toc343783897"10.2 驗收測試標準 —115—HYPERLINK\l”_Toc343783898”10.3 驗收測試流程 —115-HYPERLINK\l”_Toc343783899"10.4 整體系統(tǒng)驗收 -116-HYPERLINK\l”_Toc343783900"10。5 檢測方法與目的 -118-10。5.1 設備到貨驗收 -118-10。5.2 初驗收 -122-10。5。3 系統(tǒng)終驗 —123-11 培訓方案 -126-11。1 培訓目的 -126-11。1。1 的培訓優(yōu)勢 -126-11.2 華為3COM培訓機構簡介 —129—HYPERLINK\l”_Toc343783908" 培訓理念 -129-_Toc343783910” 培訓師資 -130—HYPERLINK\l”_Toc343783911" 課程設計 —130- 中高端路由器產(chǎn)品培訓項目 —133—11.3 本項目培訓計劃 -134-11。3。1 現(xiàn)場培訓 -134—HYPERLINK\l”_Toc343783915”11。3。2 國內技術培訓 -134—HYPERLINK\l”_Toc343783916"12 質保和售后服務 -140-_Toc343783918”12.2 公司的服務承諾 —140—HYPERLINK\l”_Toc343783919"12.3 華為3COM的服務承諾 —141—HYPERLINK\l”_Toc343783920”12。3。1 技術服務 -141—12。3。2 技術支持 —142—_Toc343783924"12.4。1 技術支持部分 —143-_Toc343783926”12。4。3 新版本更新權利 -144-HYPERLINK\l”_Toc343783927"12。5 服務體系簡介 —144—HYPERLINK\l”_Toc343783928”12。5。1 服務架構 -144-12.5。2 服務范圍及程度 —146-95-項目概況項目背景目前,XXX辦公大樓改造已進入工程實施階段，即將建成。屆時1#、2＃和3＃樓將通過光纖鏈路和綜合布線系統(tǒng)進行組網(wǎng)，實現(xiàn)的辦公內部網(wǎng)絡。為充分發(fā)揮XXX辦公大樓的作用，有必要在樓內進行辦公網(wǎng)絡聯(lián)網(wǎng)建設，實現(xiàn)真正意義上的內部網(wǎng)絡連接，同時建設于內網(wǎng)完全物理隔離的辦公外網(wǎng),提高辦公自動化程度，進一步加速和推進的信息化建設。通過與工程技術人員進行詳細的技術交流并到辦公大樓現(xiàn)場考察，在充分理解用戶方需求的基礎上，提出本設計方案.建設目標在XXX辦公大樓綜合布線系統(tǒng)的基礎上，建立起聯(lián)系3座辦公樓內的所有單位內部辦公網(wǎng)絡和外部辦公網(wǎng)絡，集信息收集、傳遞、發(fā)布等多功能為一體，可用圖、文、聲、像等多媒體方式進行信息交互的專用辦公內網(wǎng)?？梢詫崿F(xiàn)部屬機關內部的互聯(lián)互通、數(shù)據(jù)傳輸,使信息交互的實效性更加增強，提高可靠性和信息化辦公程度，從而降低總體辦公費用.工程范圍本次網(wǎng)絡工程范圍是1#、2#、3#三棟辦公樓,總建筑面積約為6500平米.每棟大樓均有兩個獨立的弱電豎井，本次改造要求內網(wǎng)、外網(wǎng)之間物理隔離，內網(wǎng)、外網(wǎng)由弱電豎井分別置各層。本大樓的功能定位對數(shù)據(jù)通信有較高的要求,因此垂直主干設12芯多模光纜,水平布線全面采用6類線纜.重點部分區(qū)域建議光纖到桌面.內網(wǎng)、外網(wǎng)網(wǎng)絡機房均設在3＃樓4層。網(wǎng)絡信息點位分布與數(shù)量表1#2＃3#樓網(wǎng)絡信息點位分布與數(shù)量表樓號樓層網(wǎng)絡信息點數(shù)量光網(wǎng)點內網(wǎng)點外網(wǎng)點1＃1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782＃731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491＃654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合計24732123392

總體設計設計依據(jù)《信息化網(wǎng)絡集成項目比選文件》；國內國際信息化建設相關標準和規(guī)范；政府、企業(yè)網(wǎng)絡建設方面的豐富的經(jīng)驗。設計原則我們在進行總體設計和設備選型時遵循以下設計原則:可靠性高可靠性是大樓智能化的重要標準。采用先進的設計思想,提供連續(xù)的網(wǎng)絡工作環(huán)境，系統(tǒng)應具有較強的自動糾錯能力，合理的網(wǎng)絡鏈路策略，確保系統(tǒng)7X24小時正常服務。擴展性隨著業(yè)務發(fā)展，需求也會不斷增長，因而對大樓網(wǎng)絡系統(tǒng)要求有很高的擴展性。設計時應支持多種的系統(tǒng)標準，達到在各個系統(tǒng)上提供一些預留接口，使得在用戶需要時，系統(tǒng)可以跨越現(xiàn)有的平臺，增加新的功能,實現(xiàn)平滑的擴展。采用的技術和設備遵循相關國際、國內標準，能支持各種相應的接口和標準協(xié)議，具有兼容性、靈活性和可移植性.先進性和成熟性在對系統(tǒng)進行設計時,要符合當今技術發(fā)展方向，系統(tǒng)硬、軟件的選擇和系統(tǒng)的設計，采用符合當前技術和管理發(fā)展方向的先進性技術和思想.同時，確保設備和技術都是有成功應用先例的。使用被證明了是成熟的設備和技術，減少實施風險。安全性XXX辦公大樓是國家政策、文件、信息的核心地。承擔著極其重要的工作。系統(tǒng)安全性主要體現(xiàn)在防止來自外部對網(wǎng)絡的攻擊、侵擾、病毒。保證文件信息的不篡改不丟失。中選單位必須有中國信息安全評測認證中心的《信息安全服務資質標準》的信息安全服務資質認證.可維護性為確保投資的有效性和大樓的實用性,應針對功能特點選用設備和技術，并盡量簡化系統(tǒng)配置步驟，使其容易得到維護和維修。

網(wǎng)絡系統(tǒng)本規(guī)劃將從當前及未來一個時期內應用的實際出發(fā),對信息管理系統(tǒng)的基礎設施—網(wǎng)絡系統(tǒng)進行規(guī)劃設計，從而達到一個先進、高效、可靠、實用和便于維護、擴展性能較強的網(wǎng)絡,為信息化提供穩(wěn)定和功能強大的網(wǎng)絡平臺。網(wǎng)絡協(xié)議的選擇本網(wǎng)絡系統(tǒng)以TCP/IP為主要協(xié)議.因為TCP/IP協(xié)議簇是目前眾多計算機網(wǎng)絡最流行的協(xié)議，以它為基礎組建的Internet網(wǎng)是目前國際上規(guī)模最大的計算機網(wǎng)間網(wǎng),采用TCP/IP為網(wǎng)絡主要協(xié)議，可保證系統(tǒng)各部分網(wǎng)絡保持一致。網(wǎng)絡技術選擇網(wǎng)絡技術發(fā)展很快，新技術層出不窮，有的具有旺盛的生命力，如以太網(wǎng)技術；有的很快就被淘汰,如TokenRing、FDDI等。因此，就給用戶投資帶來一定的風險，如何把握網(wǎng)絡發(fā)展的方向，選擇合適的技術和產(chǎn)品非常重要.在本項目中，我們采用千兆以太網(wǎng)作為骨干網(wǎng)技術，同時,我們將采用一些其它的先進且成熟的網(wǎng)絡技術，如VLAN、三層交換、虛擬路由器冗余協(xié)議（VRRP，RFC2338）、入侵檢測(IDS)、服務質量（QoS）、組播（MultiCast）等,使整個網(wǎng)絡具有優(yōu)異的性能、良好的安全可靠性及未來的可擴展性.下面重點介紹幾種先進實用的網(wǎng)絡技術。VLAN（VirtualLANs）隨著網(wǎng)絡技術日新月異，L3,L4交換已經(jīng)非常成熟。Internet中也越來越廣泛地應用了交換技術,全交換網(wǎng)絡已經(jīng)非常普遍.在這些網(wǎng)絡中，VLAN的使用是必不可少的。VLAN是一個根據(jù)作用、計劃組、應用等進行邏輯劃分的交換式網(wǎng)絡。與用戶的物理位置沒有關系。舉個例子來說，幾個終端可能被組成一個部分，可能包括工程師或財務人員。當終端的實際物理位置比較相近，可以組成一個局域網(wǎng)（LAN）。如果他們在不同的建筑物中,就可以通過VLAN將他們聚合在一起。同一個VLAN中的端口可以接受VLAN中的廣播包。但別的VLAN中的端口卻接受不到。VLAN提供以下一些特性簡化了終端的刪除、增加、改動當一個終端從物理上移動到一個新的位置，它的特征可以從網(wǎng)絡管理工作站通過SNMP或用戶界面菜單中重新定義.而對于僅在同一個VLAN中移動的終端來說，它會保持以前定義的特征。在不同VLAN中移動的終端來說，終端可以獲得新的VLAN定義。控制通訊活動VLAN可以由相同或不同的交換機端口組成。廣播信息被限制在VLAN中。這個特征限定了只在VLAN中的端口才有廣播、多播通訊.管理域（managementdomain）是一個僅有單一管理者的多個VLAN的集合。工作組和網(wǎng)絡安全將網(wǎng)絡劃分不同的域可以增加安全性。VLAN可以限制廣播域的用戶數(shù)?？刂芕LAN的大小和組成可以控制廣播域的相應特性.在VLAN中應用最廣的就是GVRP和STP技術。它們是VLAN中優(yōu)點的集中體現(xiàn)。三層交換技術現(xiàn)在，網(wǎng)絡業(yè)界對“三層交換”這個詞已經(jīng)不感到陌生了，在中大型規(guī)模網(wǎng)絡建設中，以千兆三層交換機為核心的主流網(wǎng)絡模型已不勝枚舉。其實,三層交換從其出現(xiàn)到今天的普及應用也不過幾年的時間，計算機網(wǎng)絡加速度式的迅猛發(fā)展勢頭，實在快得令人吃驚。“三層交換”概念的出現(xiàn)，與VLAN有著密不可分的聯(lián)系。事實上,一個虛擬網(wǎng)就是邏輯上的子網(wǎng)。為了避免在大型交換機上進行廣播所引起的廣播風暴，可將其進一步劃分為多個虛擬網(wǎng).在一個虛擬網(wǎng)內，由一個工作站發(fā)出的信息，只能發(fā)送到具有相同虛擬網(wǎng)號的其他站點，而其他虛擬網(wǎng)的成員收不到這些信息或廣播幀。由于網(wǎng)絡變得越來越復雜，性能要求也越來越高,這就要求網(wǎng)管員能夠成功地部署VLAN，從而使網(wǎng)絡更加靈活而且易于管理。以往，網(wǎng)管員將3/4的時間花費在維護網(wǎng)絡的基礎結構，確保通信流量的優(yōu)化,并處理移動和變更等工作.通常情況下，當一名用戶轉移到網(wǎng)絡中另一個物理位置時，需要重新配置網(wǎng)絡，甚至還有用戶的工作站需要進行大量的管理工作。針對于此,VLAN的部署就是將通過減少管理網(wǎng)絡中移動與變更所需的資源，從而實現(xiàn)為用戶節(jié)約大量寶貴的資源。VLAN技術還可以在以下關鍵領域內為用戶提供價值：比路由器更具有成本效益的廣播控制，有效抑制廣播風暴。支持多媒體應用與高效組播控制,提高網(wǎng)絡帶寬的有效利用率。提高網(wǎng)絡的安全性,各種顯式或隱式的VLAN劃分方法提供基于策略的安全訪問機制。網(wǎng)絡監(jiān)督與管理的自動化，更多的有效的網(wǎng)絡監(jiān)控。減少路由需要，基于ASIC技術,大幅度提高設備的數(shù)據(jù)包轉發(fā)能力。VLAN之間如何通信？簡單回答就是“通過路由”.因此，這種技術也引發(fā)出一些新的問題：虛擬網(wǎng)之間通信是不允許的，這也包括地址解析(ARP）封包。要想通信，就需要用路由器橋接這些虛擬網(wǎng)，這就是虛擬網(wǎng)的問題：用交換機速度快但不能解決廣播風暴問題，在交換機中采用虛擬網(wǎng)技術可以解決廣播風暴問題，但又必須放置路由器來實現(xiàn)虛擬網(wǎng)之間的互通.在這種網(wǎng)絡系統(tǒng)集成模式中，路由器是核心。過去的網(wǎng)絡在一般情況下按“80/20分配”規(guī)則，即只有20％的流量是通過骨干路由器與中央服務器或企業(yè)網(wǎng)的其他部分進行通信,而80%的網(wǎng)絡流量主要仍集中在不同的部門子網(wǎng)內。而今天，這個比例已經(jīng)提高到了50％(“平分秋色"）甚至80%（倒二八，20/80），這是因為今天的網(wǎng)絡正在經(jīng)歷著諸多應用的集合影響。網(wǎng)絡應用已經(jīng)超越了組件和電子郵件，新型應用已經(jīng)如此迅速和深刻地沖擊著網(wǎng)絡，比如，任何人通過任何一個瀏覽器便可進行訪問設定的Web網(wǎng)頁,支持諸如銷售、服務和財務之類商業(yè)功能的數(shù)據(jù)倉庫。這種變化對傳統(tǒng)路由器產(chǎn)生了直接的沖擊。因為傳統(tǒng)的路由器更注重對多種介質類型和多種傳輸速度的支持，而目前數(shù)據(jù)緩沖和轉換能力比線速吞吐能力和低時延更為重要。路由器的高費用、低性能,使其成為網(wǎng)絡的瓶頸.但由于網(wǎng)絡間互連的需求，它又是不可缺少的并處于網(wǎng)絡的核心位置，雖然也開發(fā)了高速路由器，但是由于其成本太高，僅用于Internet主干部分。在這種情況下,提出了三層交換技術.三層交換機是采用Intranet應用的關鍵,它將二層交換機和三層路由器兩者的優(yōu)勢有機而智能化地結合成一個靈活的解決方案，可在各個層次提供線速性能。這種集成化的結構還引進了策略管理屬性，不僅使二層與三層相互關聯(lián)起來，而且還提供流量優(yōu)先化處理、安全訪問機制以及多種其它的靈活功能。三層交換機分為LAN接口層、二層交換矩陣層和三層交換矩陣（路由控制）層三部分。三層交換機的應用其實很簡單，主要用途是代替?zhèn)鹘y(tǒng)路由器作為網(wǎng)絡的核心。因此，凡是沒有廣域網(wǎng)連接需求，同時需要路由器的地方，都可以用三層交換機代替。在企業(yè)網(wǎng)中，一般會將三層交換機用在網(wǎng)絡的核心層，用三層交換機上的千兆端口或百兆端口連接不同的子網(wǎng)或VLAN。因為其網(wǎng)絡結構相對簡單，節(jié)點數(shù)相對較少。另外，其不需要較多的控制功能，并且要求成本較低。簡單地說，三層交換技術就是：二層交換技術＋三層轉發(fā)技術。它解決了局域網(wǎng)中網(wǎng)段劃分之后，網(wǎng)段中子網(wǎng)必須依賴路由器進行管理的局面，解決了傳統(tǒng)路由器低速、復雜所造成的網(wǎng)絡瓶頸問題。VRRP當路由器功能出現(xiàn)故障時,VRRP（虛擬路由器冗余協(xié)議，RFC2338)通過同一個局域網(wǎng)中的另一臺路由器來保障網(wǎng)絡的正常運行。通過設置虛擬路由器為缺省路由器，終端用戶在路由器發(fā)生故障時可以繼續(xù)通信，而不必考慮轉換到另一臺路由器上。利用同一個以太網(wǎng)中的兩臺路由器設置一臺虛擬路由器。在實際運行中，兩臺路由器中的任一臺成為主路由器，該主路由器模擬虛擬路由器。備份路由器監(jiān)控主由器狀態(tài)。一旦主路由器出現(xiàn)故障影響網(wǎng)絡運行，備份路由器立即進入主路由器狀態(tài)以模擬虛擬路由器。IP地址被分配給虛擬路由器.指定虛擬路由器IP地址為缺省路由器的服務器將不會覺察主路由器的切換而繼續(xù)進行正常通信.關于VRRP的詳細設計和部署情況請參見后續(xù)章節(jié)。其它網(wǎng)絡技術在本網(wǎng)絡中,除了采用三層交換和VRRP技術，根據(jù)應用情況，還可采用組播(Multicast）、QoS和負載均衡等先進網(wǎng)絡技術。全面支持MultiCast：選擇設備全部支持MultiCast，主干設備支持DVMRP、PIM、IGMP、GARP組管理協(xié)議和多點發(fā)送、多點廣播協(xié)議，充分適應網(wǎng)絡特殊網(wǎng)絡傳輸要求。一定的QoS保證：核心設備支持RSVP、CAR(CommittedAccessRate)以及可配置門限的多種隊列采用WAED、WRR、業(yè)務類型/業(yè)務級別（ToS/CoS）映射機制，在滿足基本要求前提下保持高性價比,也為多媒體應用提供了堅實地網(wǎng)絡基礎.負載均衡實現(xiàn)：在核心設備上通過設置不同的VLAN的優(yōu)先級，可將所有的VLAN流量分擔在各樓的兩臺匯聚設備上,通過兩臺匯聚設備的VRRP功能,實現(xiàn)網(wǎng)絡層的負載均衡。也可根據(jù)未來網(wǎng)絡擴展的需求，增加相關的專用負載均衡設備實現(xiàn)3-7層的負載均衡功能。網(wǎng)絡設計概要XXX辦公大樓內、外網(wǎng)網(wǎng)絡系統(tǒng)項目的總體設計目標以高可靠性、高安全性、高性能、極好的可擴展性和有效的可管理性為原則,同時兼顧考慮到技術的成熟性、先進性和可擴充性,網(wǎng)絡系統(tǒng)設計采用層次化、結構化的設計方法。根據(jù)對本系統(tǒng)網(wǎng)絡需求的初步分析，確定辦公內、外網(wǎng)網(wǎng)絡采用多千兆鏈路捆綁，百兆到桌面的方案，本方案具有較好的性能價格比，整個網(wǎng)絡采用分層設計技術，骨干為網(wǎng)絡中心與1#、2＃和3#樓之間的多千兆光纖線路,接入網(wǎng)為各終端節(jié)點的10/100M以太網(wǎng)接入線路。核心設備使用高端路由交換機，接入設備選用具備三層交換功能的接入交換機。各樓內采用虛擬網(wǎng)VLAN技術實現(xiàn)功能群的劃分，VLAN可在匯聚設備上創(chuàng)建。利用統(tǒng)一的標準調整網(wǎng)絡規(guī)劃，避免可能的不兼容性,保證整個網(wǎng)絡的統(tǒng)一架構。根據(jù)我們對網(wǎng)絡系統(tǒng)需求的初步分析并結合本系統(tǒng)的特點，我公司提出一套基于華為3COM網(wǎng)絡設備的解決方案，本方案具有較好的性能價格比，內網(wǎng)和外網(wǎng)全部采用分層設計，利用統(tǒng)一的標準調整網(wǎng)絡擴容規(guī)劃，避免可能的不兼容性，保證整個內、外網(wǎng)絡的統(tǒng)一架構.網(wǎng)絡的分層設計XXX辦公大樓內、外網(wǎng)網(wǎng)絡系統(tǒng)設計為兩級網(wǎng)絡，三級設備節(jié)點：以網(wǎng)絡中心（中心節(jié)點）為中心，邊界至1＃、2＃和3#樓(匯聚節(jié)點）的骨干網(wǎng)；以1#、2#和3#樓(匯聚節(jié)點）為中心，邊界至同各配線間(接入節(jié)點）的接入網(wǎng)；本系統(tǒng)的辦公內、外網(wǎng)拓撲為冗余樹型結構,無匯聚與匯聚和接入與接入節(jié)點之間有物理直聯(lián)的需求。因此所有匯聚節(jié)點之間的通信全部經(jīng)過網(wǎng)絡中心的核心路由交換機實現(xiàn)數(shù)據(jù)交換，比較容易對各樓之間的流量和訪問控制進行有效控制.層次化設計的優(yōu)點為：可擴展性：因為網(wǎng)絡可模塊化增長而不會遇到問題;簡單性：通過將網(wǎng)絡分成許多小單元，降低了網(wǎng)絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環(huán)等潛在的