XXX政府綜合辦公樓計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計方案A4版20150918083241

XX政府綜合辦公樓智能化系統(tǒng)工程驗收文檔PAGEPAGE71安徽安徽中杰信息科技有限公司XX政府綜合辦公樓智能化系統(tǒng)工程驗收文檔64安徽安徽中杰信息科技有限公司XX政府綜合辦公樓智能化系統(tǒng)工程驗收文檔安徽中杰信息科技有限公司Xx年XX月XX日目錄第一部分系統(tǒng)詳細設(shè)計方案 4第一節(jié)計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計方案 51、系統(tǒng)概述 52、需求分析 53、設(shè)計依據(jù) 94、產(chǎn)品選型 95、系統(tǒng)設(shè)計方案 106、系統(tǒng)設(shè)備清單 317、主要產(chǎn)品參數(shù) 31第二部分安裝調(diào)試方案 41第一節(jié)IP地址及VLAN規(guī)劃 411、IP地址分配基本原則 412、IP地址規(guī)劃 413、VLAN的規(guī)劃 42第二節(jié)生成樹的設(shè)計 42第三節(jié)設(shè)備安裝設(shè)計 431、核心交換的安裝地點 442、接入交換機安裝地點 443、S7503E的安裝 444、S7506E的安裝 44第四節(jié)設(shè)備命名及地址分配 451、設(shè)備命名 452、線纜標簽規(guī)則 453、設(shè)備地址分配 45第五節(jié)NTP網(wǎng)絡(luò)時間同步管理 46第六節(jié)路由協(xié)議規(guī)劃 471、路由協(xié)議安全管理 482、VRRP（虛擬路由器冗余協(xié)議） 483、IP源路由選項開關(guān) 504、重定向開關(guān) 505、定向廣播報文轉(zhuǎn)發(fā)開關(guān) 506、ICMP協(xié)議的功能開關(guān) 51第七節(jié)設(shè)備安裝要求建議 511、機房要求 512、防靜電要求 523、抗干擾要求 524、接地要求 535、供電要求 53第八節(jié)系統(tǒng)安裝 541、安裝前準備 542、安裝報告 583、配置指導(dǎo)書 60第九節(jié)系統(tǒng)測試與驗收方案 651、測試方案 652、系統(tǒng)初驗 723、系統(tǒng)試運行 724、系統(tǒng)終驗 725、系統(tǒng)維護 73系統(tǒng)詳細設(shè)計方案

計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計方案系統(tǒng)概述XX政府簡介XX政府（以下簡稱貴單位）信息化建設(shè)的基礎(chǔ)是計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)，建設(shè)面向未來的信息化平臺是貴單位的必經(jīng)之路。貴單位綜合辦公樓計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)包括2套網(wǎng)絡(luò)：內(nèi)網(wǎng)、外網(wǎng)，兩套網(wǎng)物理隔離。內(nèi)網(wǎng)包括貴單位的內(nèi)部局域網(wǎng)、電子政務(wù)內(nèi)網(wǎng)、貴單位與上下級單位的互聯(lián)內(nèi)網(wǎng)（該三套網(wǎng)之間邏輯隔離），總計涉及289個數(shù)據(jù)信息點的局域網(wǎng)接入；外網(wǎng)包括電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)（該兩套網(wǎng)之間邏輯隔離），總計涉及294個數(shù)據(jù)信息點的局域網(wǎng)接入。計算機網(wǎng)絡(luò)系統(tǒng)是貴單位重要的信息基礎(chǔ)設(shè)施，是貴單位對公眾政務(wù)信息公開、對內(nèi)統(tǒng)一辦公、公文流轉(zhuǎn)的基石。作為信息系統(tǒng)的支撐，網(wǎng)絡(luò)系統(tǒng)設(shè)計質(zhì)量優(yōu)劣直接決定了整個信息系統(tǒng)的成敗。需求分析總體需求計算機網(wǎng)絡(luò)系統(tǒng)是貴單位信息系統(tǒng)的重要組成部分，因此計算機網(wǎng)絡(luò)系統(tǒng)要求具備高效性與可靠性。計算機網(wǎng)絡(luò)系統(tǒng)設(shè)備選型及設(shè)計方案必須具備先進性，可擴展性，能適應(yīng)貴單位信息化發(fā)展的需求。本次計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計方案將滿足貴單位綜合辦公樓的網(wǎng)絡(luò)建設(shè)需要，該系統(tǒng)將與貴單位現(xiàn)有的計算機網(wǎng)絡(luò)系統(tǒng)無縫連接，與現(xiàn)有網(wǎng)絡(luò)完全兼容，實現(xiàn)系統(tǒng)的統(tǒng)一管理。具體來說，本次計算機網(wǎng)絡(luò)系統(tǒng)總體需求如下：綜合辦公樓的計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)需求內(nèi)、外網(wǎng)的服務(wù)器系統(tǒng)建設(shè)，內(nèi)、外網(wǎng)數(shù)據(jù)集中存儲、外網(wǎng)重要數(shù)據(jù)的備份需求實現(xiàn)與現(xiàn)有網(wǎng)絡(luò)的融合，滿足貴單位管理的需要；具體需求如下：網(wǎng)絡(luò)系統(tǒng)需求網(wǎng)絡(luò)配置需求根據(jù)本項目綜合布線系統(tǒng)設(shè)計，網(wǎng)絡(luò)系統(tǒng)分為2套網(wǎng)：內(nèi)網(wǎng)、外網(wǎng)，該2套網(wǎng)之間物理隔離；具體如下：內(nèi)網(wǎng)：含內(nèi)部局域網(wǎng)、電子政務(wù)內(nèi)網(wǎng)、貴單位與上下級單位的互聯(lián)內(nèi)網(wǎng)，三套網(wǎng)之間邏輯隔離，涉及289個數(shù)據(jù)信息點的局域網(wǎng)接入。核心機房在3樓的內(nèi)網(wǎng)中心機房。綜合辦公樓內(nèi)弱電間通過千兆多模光纖匯聚至3樓的內(nèi)網(wǎng)中心機房。綜合辦公樓內(nèi)弱電間至桌面是千兆銅纜；外網(wǎng)：包括政務(wù)外網(wǎng)、互聯(lián)網(wǎng)，該2套網(wǎng)之間邏輯隔離；涉及294個數(shù)據(jù)信息點的局域網(wǎng)接入，核心機房在3樓的外網(wǎng)中心機房。綜合辦公樓內(nèi)弱電間通過千兆多模光纖匯聚至3樓的外網(wǎng)中心機房。。各弱電間至桌面是千兆銅纜。綜合布線系統(tǒng)主要采用6類非屏蔽雙絞線。弱電間與核心機房間設(shè)計有多模光纖。網(wǎng)絡(luò)配置方案需滿足上述綜合布線設(shè)計的各類信息點和不同網(wǎng)絡(luò)線路的接入需要。網(wǎng)絡(luò)性能需求為滿足貴單位信息應(yīng)用系統(tǒng)的高速運行需要，本項目計算機網(wǎng)絡(luò)系統(tǒng)的設(shè)計基礎(chǔ)網(wǎng)絡(luò)須達到千兆接入，千兆上行。未來可以升級至千兆接入，萬兆上行。網(wǎng)絡(luò)可靠性需求貴單位綜合辦公樓項目信息化的穩(wěn)定運行依賴于其網(wǎng)絡(luò)平臺的健壯性作為信息化系統(tǒng)的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)系統(tǒng)的可靠性顯得非常重要，一旦網(wǎng)絡(luò)意外中斷，各類相關(guān)業(yè)務(wù)將無法正常開展。因此必須確保網(wǎng)絡(luò)系統(tǒng)的可靠性。網(wǎng)絡(luò)服務(wù)質(zhì)量需求隨著網(wǎng)絡(luò)的發(fā)展日新月異，IP融合是大勢所趨，網(wǎng)絡(luò)上數(shù)據(jù)、語音、視訊等新應(yīng)用的不斷出現(xiàn)，對網(wǎng)絡(luò)的服務(wù)質(zhì)量也提出了新的要求。例如VoIP等實時業(yè)務(wù)就對報文的傳輸延遲有較高要求，如果報文傳送延時太長，將是用戶所不能接受的（相對而言，E-Mail和FTP業(yè)務(wù)對時間延遲并不敏感）。為了支持具有不同服務(wù)需求的語音、視頻以及數(shù)據(jù)等業(yè)務(wù)，要求網(wǎng)絡(luò)能夠區(qū)分出不同的通信，進而為之提供相應(yīng)的服務(wù)。因此，網(wǎng)絡(luò)系統(tǒng)設(shè)計中，必須考慮支持多種QoS（QualityofService，服務(wù)質(zhì)量）技術(shù)，以滿足未來貴單位多種IP應(yīng)用對服務(wù)質(zhì)量的要求。網(wǎng)絡(luò)安全需求如今，信息安全已經(jīng)成為各行各業(yè)最重視的信息化建設(shè)關(guān)注點。信息安全問題日益突出，病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題，將會直接影響貴單位網(wǎng)絡(luò)的穩(wěn)定運行、威脅其相關(guān)業(yè)務(wù)的正常運行。如何應(yīng)對信息安全威脅，確保其信息系統(tǒng)的安全穩(wěn)定運行，已經(jīng)是必須關(guān)注的問題。網(wǎng)絡(luò)系統(tǒng)設(shè)計中，將重點關(guān)注各類網(wǎng)絡(luò)設(shè)備的安全防范能力，確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全。其具體需求主要包括：實現(xiàn)安全域劃分，并在此基礎(chǔ)上實現(xiàn)安全、可控的邏輯隔離；保護WEB網(wǎng)站不會因來自互聯(lián)網(wǎng)拒絕服務(wù)攻擊而癱瘓；對進出各安全域的信息和數(shù)據(jù)進行嚴格的控制，防止對安全域的非法訪問；對于各個安全域之間交互的信息和數(shù)據(jù)，保護其完整性、可用性、保密性，防止在傳輸過程中被竊取、篡改和破壞；在各個安全域內(nèi)，能及時發(fā)現(xiàn)和響應(yīng)各種網(wǎng)絡(luò)攻擊與破壞行為；建立病毒及惡意代碼的預(yù)警和響應(yīng)機制，能及時發(fā)現(xiàn)和響應(yīng)各種病毒及惡意代碼的攻擊、破壞和信息泄露行為；使系統(tǒng)內(nèi)的操作系統(tǒng)能及時升級、安裝安全補??；應(yīng)用系統(tǒng)需要有認證、應(yīng)用訪問控制、審計、加密、資源控制等多種手段，能夠保障信息系統(tǒng)被合理使用；終端需要及時發(fā)現(xiàn)和阻斷病毒攻擊，及時更新病毒補??；終端進程的監(jiān)控、黑白軟件的定制；終端外設(shè)接口的管控；對系統(tǒng)、應(yīng)用進行審計，建立相應(yīng)的安全審計機制，對引發(fā)事件的根源進行責(zé)任認定。服務(wù)器及存儲備份系統(tǒng)需求服務(wù)器系統(tǒng)構(gòu)建需求對于內(nèi)網(wǎng)部分，貴單位的電子政務(wù)內(nèi)網(wǎng)需要購置4臺服務(wù)器，其中2臺服務(wù)器作為數(shù)據(jù)庫服務(wù)器（雙機），1臺做WEB服務(wù)器，1臺做應(yīng)用服務(wù)器對于外網(wǎng)部分，貴單位的電子政務(wù)外網(wǎng)需要購置4臺服務(wù)器，其中2臺服務(wù)器作為數(shù)據(jù)庫服務(wù)器（雙機），1臺做WEB服務(wù)器，1臺做備份服務(wù)器存儲備份系統(tǒng)需求隨著貴單位應(yīng)用環(huán)境越來越復(fù)雜，我們認為關(guān)鍵應(yīng)用和關(guān)鍵數(shù)據(jù)受到侵害的可能性越來越大，軟災(zāi)難發(fā)生的情況更加普遍，包括病毒侵害、黑客攻擊、誤操作、OS受損，給系統(tǒng)造成的風(fēng)險很高。1、由于WINDOWS系統(tǒng)平臺的特性，系統(tǒng)可能存在多處隱形漏洞，給黑客和病毒的侵害提供了條件，就IDC評測，每年由于黑客攻擊和病毒侵害給客戶造成的損失高達數(shù)百億美元。2、OS受損，導(dǎo)致癱瘓，數(shù)據(jù)沒辦法讀出，此時對于系統(tǒng)恢復(fù)和關(guān)鍵數(shù)據(jù)的處理是非常棘手的難題。3、由于誤操作給系統(tǒng)造成的影響也不可忽視，重要文件被刪除，由于是關(guān)鍵數(shù)據(jù)可能只保存在一臺機器上，數(shù)據(jù)將不可恢復(fù)。4、數(shù)據(jù)保存在硬盤上，由于硬件故障，同樣可能造成的數(shù)據(jù)的不可恢復(fù)。對于關(guān)鍵系統(tǒng)和數(shù)據(jù)所造成的損壞，不僅僅表現(xiàn)為經(jīng)濟方面的損失，同時影響關(guān)鍵部門的運轉(zhuǎn)，可能造成不良的社會影響。由于以上原因，對貴單位的信息平臺的價值也產(chǎn)生了負面的影響。如何在關(guān)鍵應(yīng)用受到侵害時，第一時間恢復(fù)系統(tǒng)和數(shù)據(jù)是至關(guān)重要的。對于系統(tǒng)和數(shù)據(jù)的恢復(fù)同時提出了多方面的要求：系統(tǒng)可恢復(fù)的時間點系統(tǒng)恢復(fù)的簡便性系統(tǒng)修復(fù)的快捷、簡單基于文件或者磁盤、扇區(qū)級別的文件、數(shù)據(jù)、系統(tǒng)恢復(fù)系統(tǒng)可實施性基與以上原因需要考慮對貴單位內(nèi)、外的數(shù)據(jù)進行集中存儲；對外網(wǎng)的磁盤陣列內(nèi)的關(guān)鍵數(shù)據(jù)，對外網(wǎng)的終端的重要數(shù)據(jù)進行備份。以便在遭到病毒破壞、數(shù)據(jù)損壞、系統(tǒng)崩潰時可以恢復(fù)數(shù)據(jù)。實現(xiàn)對關(guān)鍵數(shù)據(jù)的保護。設(shè)計依據(jù)計算機網(wǎng)絡(luò)系統(tǒng)符合以下標準及規(guī)范，并保證整個系統(tǒng)在驗收之前滿足有關(guān)中華人民共和國新頒布的最新版本的標準及規(guī)范要求。《民用建筑通信管理標準》EIA/TIA606《信息安全管理體系標準》《JB7799/ISO-17799》《信息技術(shù)、安全技術(shù)評估準則》《ISO/IEC15408-1999》《信息技術(shù)應(yīng)用級防火墻安全技術(shù)要求》《GB/T18020-1999》《信息技術(shù)開放系統(tǒng)互連網(wǎng)絡(luò)層安全協(xié)議》《GB/T17963-2000》《信息技術(shù)開放系統(tǒng)互連高層安全模型》《GB/17965-2000》《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）?！缎畔⑾到y(tǒng)安全保護等級定級指南》（GB/T22240-2008）《信息安全管理指南》《ISO-1335》《電氣裝置安裝工程施工及驗收規(guī)范》《GB50254-96》《GB50258-96》《建筑電氣裝工程質(zhì)量檢驗評定標準》《GYT253-88》《計算機軟件開發(fā)規(guī)范》《GB856-8》《終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T20988-2007）產(chǎn)品選型根據(jù)招標書要求或者用戶需求并結(jié)合系統(tǒng)特點，本次項目計算機網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)設(shè)備（包括網(wǎng)管軟件、終端安全管理系統(tǒng)）全部選擇H3C產(chǎn)品，服務(wù)器選擇IBM的X3650M2，殺毒軟件選擇瑞星公司的網(wǎng)絡(luò)版殺毒軟件，數(shù)據(jù)備份存儲系統(tǒng)采用IBM的DS3200磁盤陣列，光纖交換機選擇IBM的B24，備份存儲系統(tǒng)選擇愛數(shù)。系統(tǒng)設(shè)計方案貴單位計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計包括內(nèi)網(wǎng)：貴單位的內(nèi)部局域網(wǎng)、電子政務(wù)內(nèi)網(wǎng)、貴單位與上下級單位的互聯(lián)內(nèi)網(wǎng)（該三套網(wǎng)之間邏輯隔離）；外網(wǎng)：電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)（該兩套網(wǎng)之間邏輯隔離）。該2套網(wǎng)絡(luò)采用物理隔離方式，確保物理安全。對2.2網(wǎng)絡(luò)系統(tǒng)需求、服務(wù)器及存儲備份系統(tǒng)的需求充分分析，內(nèi)、外建設(shè)將從如下方面考慮：內(nèi)網(wǎng)建設(shè)將從網(wǎng)絡(luò)基礎(chǔ)平臺建設(shè)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、服務(wù)器及存儲系統(tǒng)四個方面考慮其設(shè)計內(nèi)容。外網(wǎng)建設(shè)考慮網(wǎng)絡(luò)基礎(chǔ)平臺建設(shè)、無線網(wǎng)絡(luò)、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)管理、服務(wù)器及存儲備份系統(tǒng)五個方面考慮其設(shè)計內(nèi)容。系統(tǒng)設(shè)計原則本方案將為貴單位提供“高擴展、多業(yè)務(wù)、高安全”的計算機網(wǎng)絡(luò)方案。系統(tǒng)設(shè)計中遵循以下基本原則：開放性具備與多種協(xié)議計算機通信網(wǎng)絡(luò)互連互通的特性，確保本MIS網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。在結(jié)構(gòu)上真正實現(xiàn)開放，基于開放式標準，包括各種局域網(wǎng)、廣域網(wǎng)、計算機等，堅持統(tǒng)一規(guī)范的原則，從而為未來的發(fā)展奠定基礎(chǔ)。實用性和先進性貴單位的計算網(wǎng)絡(luò)系統(tǒng)是一個龐大而且復(fù)雜的網(wǎng)絡(luò)，為了保障全網(wǎng)的高速轉(zhuǎn)發(fā)，組網(wǎng)設(shè)計的無瓶頸性，應(yīng)能與貴單位現(xiàn)有系統(tǒng)形成無瓶頸的數(shù)據(jù)交換。同時，系統(tǒng)應(yīng)采用先進成熟的技術(shù)滿足貴單位大流量，多業(yè)務(wù)的需求，兼顧其他相關(guān)的管理需求，盡可能采用先進的網(wǎng)絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音、視頻（多媒體）的傳輸需要，使整個系統(tǒng)在相當(dāng)一段時期內(nèi)保持技術(shù)的先進性，以適應(yīng)未來信息化的發(fā)展的需要。靈活性和可擴展性計算機網(wǎng)絡(luò)系統(tǒng)是一個不斷發(fā)展的系統(tǒng)，所以它必須具有良好的靈活性和可擴展性，能夠根據(jù)貴單位不斷深入發(fā)展的需要，方便的擴展網(wǎng)絡(luò)覆蓋范圍、擴大網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點的功能。具備支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性。安全可靠性為保證各項業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，盡量避免系統(tǒng)的單點故障。要對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備等各個方面進行高可靠性的設(shè)計和建設(shè)。在采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上，采用相關(guān)的軟件技術(shù)提供較強的管理機制、控制手段和事故監(jiān)控與網(wǎng)絡(luò)安全保密等技術(shù)措施提高整個網(wǎng)絡(luò)系統(tǒng)的安全可靠性?？晒芾硇杂捎谙到y(tǒng)本身具有一定復(fù)雜性，隨著業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)管理的任務(wù)必定會日益繁重。所以必須有全面的網(wǎng)絡(luò)管理方案，實現(xiàn)監(jiān)控、監(jiān)測整個網(wǎng)絡(luò)的運行情況，合理分配網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負載、迅速確定網(wǎng)絡(luò)故障等。通過先進的管理策略、管理工具提高網(wǎng)絡(luò)的運行性能、可靠性，簡化網(wǎng)絡(luò)的維護工作，從而為辦公、管理提供最有力的保障。內(nèi)網(wǎng)設(shè)計方案總體設(shè)計由于貴單位綜合辦公樓是新建的6層大樓，其內(nèi)網(wǎng)涉及內(nèi)部局域網(wǎng)、電子政務(wù)內(nèi)網(wǎng)、貴單位與上下級單位的互聯(lián)內(nèi)網(wǎng)三套網(wǎng)、該三套網(wǎng)絡(luò)之間實現(xiàn)邏輯隔離（通過核心交換部署千兆防火墻插卡，利用其千兆防火墻插卡具有虛擬防火墻功能，三個虛擬防火墻啟用策略限制實現(xiàn)三套網(wǎng)之間的邏輯隔離），目前涉及289個數(shù)據(jù)信息點的局域網(wǎng)接入，將考慮采用星型拓撲設(shè)計分核心、接入層。由于網(wǎng)絡(luò)可靠性要求比較高，主干采用雙核心、雙鏈路設(shè)計。核心機房在3樓的內(nèi)網(wǎng)中心機房。綜合辦公樓內(nèi)每層弱電間分別通過2根千兆多模光纜匯聚至3樓內(nèi)網(wǎng)中心機房。綜合辦公樓內(nèi)每層弱電間至桌面是千兆銅纜；內(nèi)網(wǎng)出口邊界各部署1臺H3CMSR30-40路由器分別接上級單位、電子政務(wù)內(nèi)網(wǎng)，在2臺路由器與兩臺核心交換之間部署各部署1臺H3CSecPathF1000-S，千兆防火墻以透明模式部署做可以做到L2-L4的安全防護。在核心交換上旁掛1臺深信服的網(wǎng)絡(luò)行為審計系統(tǒng)對內(nèi)網(wǎng)的網(wǎng)絡(luò)行為進行事前監(jiān)控，事后審計。在服務(wù)器區(qū)部署1臺IBM的DS3200磁盤陣列實現(xiàn)對政務(wù)內(nèi)網(wǎng)中的數(shù)據(jù)庫服務(wù)器數(shù)據(jù)的集中存儲。網(wǎng)絡(luò)拓撲：網(wǎng)絡(luò)基礎(chǔ)平臺設(shè)計貴單位內(nèi)網(wǎng)將采用星型網(wǎng)絡(luò)拓撲設(shè)計，分核心層、接入層；具體設(shè)計思路如下：核心交換設(shè)計：考慮內(nèi)網(wǎng)信息點較多，內(nèi)部數(shù)據(jù)交換量較多，核心交換建議采用2臺H3C的高端路由交換機S7503E，每臺配備1塊管理引擎，2塊1400W交流冗余電源，1塊24千兆光口業(yè)務(wù)板（其中8個是千兆光電復(fù)用口）與該綜合辦公樓內(nèi)的6臺內(nèi)網(wǎng)接入交換通過千兆多模光纜相連，余下的光口可以用于以后網(wǎng)絡(luò)拓展使用，其中8個千兆電口（與光口復(fù)用）將與該套網(wǎng)內(nèi)的系統(tǒng)服務(wù)器（WEB服務(wù)器、數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器）通過千兆銅纜相連；兩臺核心交換配備12塊千兆多模模塊分別與該綜合辦公樓的各弱電間的接入交換機相連，構(gòu)成千兆主干的用戶需求。2臺核心交換通過啟用VRRP+MSTP（需要另配4個千兆多模模塊）實現(xiàn)VLAN數(shù)據(jù)負載分擔(dān)，通過這些設(shè)計增強了網(wǎng)絡(luò)的高可靠及穩(wěn)定性。接入交換設(shè)計：接入層交換采用H3CS3100-52TP-SI。綜合辦公樓內(nèi)部署6臺S3100-52TP-SI，綜合辦公樓內(nèi)每個弱電間（每層1個弱電間）各部署1臺S3100-52TP-SI作為內(nèi)網(wǎng)接入交換，其分別通過兩根千兆多模光纜匯聚至核心機房的兩臺S7503E上。網(wǎng)絡(luò)安全設(shè)計隨著網(wǎng)絡(luò)的日新月異，網(wǎng)絡(luò)安全問題日益突出，病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題，將會直接影響貴單位內(nèi)網(wǎng)的穩(wěn)定運行、威脅其相關(guān)業(yè)務(wù)的正常運行。如何應(yīng)對網(wǎng)絡(luò)安全威脅，確保其信息系統(tǒng)的安全穩(wěn)定運行，已經(jīng)是必須關(guān)注的問題?？紤]到內(nèi)網(wǎng)的安全性，實現(xiàn)對進出貴單位內(nèi)網(wǎng)出口的數(shù)據(jù)包過濾和L2-L4的安全防護，需要在內(nèi)網(wǎng)的兩臺核心交換前部署2臺H3CSECPATHF1000-S千兆級防火墻，，同時通過旁掛部署在該套網(wǎng)核心交換上的網(wǎng)絡(luò)行為審計系統(tǒng)（深信服的M5100-AC-P）實現(xiàn)對內(nèi)部局域網(wǎng)用戶與電子政務(wù)內(nèi)網(wǎng)、貴單位上下級單位的訪問行為進行審計，以便事后發(fā)生安全事件、可以取證。對內(nèi)網(wǎng)的終端用戶安全防護，將采用部署1套瑞星網(wǎng)絡(luò)版殺毒軟來實現(xiàn)，所有終端用戶的病毒補丁可以通過管理區(qū)的瑞星網(wǎng)絡(luò)版病毒服務(wù)器來實現(xiàn)分發(fā)、自動更新等。對內(nèi)網(wǎng)的終端用戶的安全管理，可以采用在內(nèi)網(wǎng)管理區(qū)部署1套H3C的終端安全管理系統(tǒng)（配合H3C網(wǎng)絡(luò)管理系統(tǒng)）的方法來實現(xiàn)，具體可以實現(xiàn)身份認證，病毒補丁、漏洞補丁分發(fā)、黑白軟件定制、資產(chǎn)管理、終端外設(shè)管理等功能。充分的保障了終端用戶的安全性。網(wǎng)絡(luò)管理設(shè)計內(nèi)網(wǎng)要實現(xiàn)拓撲發(fā)現(xiàn)、故障告警、端口流量和設(shè)備硬件檢測、性能報表分析等功能，需要配備1套網(wǎng)絡(luò)管理系統(tǒng)，為了簡化網(wǎng)絡(luò)管理的工作量，提高工作效率，建議內(nèi)網(wǎng)部署1套H3CIMC基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)。配備50個網(wǎng)絡(luò)節(jié)點管理。服務(wù)器及存儲系統(tǒng)設(shè)計結(jié)合2.3服務(wù)器及存儲備份系統(tǒng)需求，內(nèi)網(wǎng)服務(wù)器及存儲系統(tǒng)設(shè)計如下：在貴單位的內(nèi)網(wǎng)部署4臺IBMX3650M2，其中2臺服務(wù)器做數(shù)據(jù)庫服務(wù)器（利用HA軟件做雙機熱備），1臺服務(wù)器做WEB服務(wù)器，1臺做應(yīng)用服務(wù)器。2臺數(shù)據(jù)庫服務(wù)器分別通過光纖HBA卡接IBMDS3200磁盤陣列的雙控制器，實現(xiàn)對數(shù)據(jù)庫服務(wù)器的數(shù)據(jù)存儲需求。外網(wǎng)設(shè)計方案總體設(shè)計貴單位的外網(wǎng)包括電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)兩套網(wǎng)，這兩套之間邏輯隔離。目前該套網(wǎng)涉及XX個左右數(shù)據(jù)信息點的局域網(wǎng)接入，將考慮采用星型網(wǎng)絡(luò)拓撲設(shè)計分核心、接入層。由于網(wǎng)絡(luò)可靠性要求比較高，主干可以采用雙核心、雙鏈路設(shè)計。核心機房在3樓外網(wǎng)中心機房。其中心機房與綜合辦公樓內(nèi)各弱電間皆通過2根千兆多模光纖連接；各弱電間至桌面是千兆銅纜。在兩套網(wǎng)的出口都各部署1臺H3C的千兆防火墻SECPATHF1000-S，電子政務(wù)外網(wǎng)的出口防火墻主要是做地址轉(zhuǎn)換和L2-L4的安全防護；互聯(lián)網(wǎng)出口的防火墻（增加SSLVPN板卡）主要做地址轉(zhuǎn)換、與外聯(lián)單位的IPSECVPN互聯(lián)、外出移動辦公人員的SSLVPN互聯(lián)；服務(wù)器區(qū)各通過1臺千兆防火墻上聯(lián)兩臺核心交換，利用千兆防火墻的安全域的劃分來限制外網(wǎng)PC對服務(wù)群的安全訪問；在外網(wǎng)的核心交換與千兆防火墻之間部署1臺入侵防御系統(tǒng)（H3CSECPATHT200-A）充分阻斷來自內(nèi)外網(wǎng)的對網(wǎng)站后臺數(shù)據(jù)庫的注入掃描攻擊、異常字段進行過濾，保障網(wǎng)站的安全性。在服務(wù)器區(qū)部署4臺IBMX3650M2服務(wù)器，其中2臺作為數(shù)據(jù)庫服務(wù)器使用（利用HA軟件做雙機）、1臺作為WEB服務(wù)器使用、1臺作為備份服務(wù)器使用；部署1臺IBMDS3200磁盤陣列實現(xiàn)對外網(wǎng)數(shù)據(jù)的集中存儲。部署1臺備份存儲系統(tǒng)實現(xiàn)對DS3200磁盤陣列、外網(wǎng)終端PC重要數(shù)據(jù)的備份。利用旁掛部署在核心交換上的無線控制器，組合無線瘦AP的方式實現(xiàn)對互聯(lián)網(wǎng)部分重要區(qū)域的無線覆蓋，實現(xiàn)該部分終端用戶高速接入的需求。網(wǎng)絡(luò)拓撲:網(wǎng)絡(luò)基礎(chǔ)平臺設(shè)計：外網(wǎng)將采用層次化網(wǎng)絡(luò)拓撲設(shè)計，分核心層、接入層。具體設(shè)計思路如下：核心交換設(shè)計：考慮外網(wǎng)信息點較多，內(nèi)部數(shù)據(jù)交換量較大，核心交換采用2臺H3C的高端路由交換機S7506E，每臺各配置1塊24千兆光口（其中其中8端口光電復(fù)用），1塊交換引擎、2塊1400W電源；配備12個千兆多模模塊分別與該套網(wǎng)的各個弱電間的接入交換相連。這兩臺核心交換通過VRRP+MSTP實現(xiàn)VLAN數(shù)據(jù)負載分擔(dān)，通過以上設(shè)計，可以保障網(wǎng)絡(luò)的可靠性及穩(wěn)定性。接入交換設(shè)計：接入層交換采用H3CS3100-52TP-SI。綜合辦公樓內(nèi)部署6臺S3100-52TP-SI做外網(wǎng)的接入交換使用。每層一個弱電間，每個弱電間部署1臺接入交換；各弱電間通過2根千兆多模匯聚至3樓的外網(wǎng)中心機房；無線網(wǎng)絡(luò)設(shè)計貴單位綜合辦公樓的3、4層的會議室、走廊，需要采用無線網(wǎng)絡(luò)覆蓋。將采用成熟的無線網(wǎng)絡(luò)技術(shù)作為貴單位綜合辦公樓3-4樓有線局域網(wǎng)的補充，無線局域網(wǎng)（WLAN）有效地克服了有線網(wǎng)絡(luò)的弊端，利用PDA、平板無線電腦和無線終端設(shè)備采集數(shù)據(jù)，智能分析等。通過貴單位綜合辦公樓信息化建設(shè)中對無線網(wǎng)絡(luò)平臺應(yīng)用模式的綜合分析，我們總結(jié)出貴單位信息化系統(tǒng)對無線網(wǎng)絡(luò)平臺具體要求包括：數(shù)據(jù)保密性要求高，重要區(qū)域數(shù)據(jù)不能泄密；無線網(wǎng)絡(luò)系統(tǒng)整體安全性要求高，包括物理設(shè)備系統(tǒng)可維護性要求高，無線網(wǎng)絡(luò)的維護不能成為貴單位信息科的負擔(dān)；對無線訪客的帶寬做限制，保障全網(wǎng)帶寬。為滿足以上要求，貴單位綜合辦公樓的無線網(wǎng)絡(luò)建設(shè)（3-4層局部覆蓋）可采用基于統(tǒng)一管理理念的“瘦AP”無線解決方案。方案由無線接入點、無線控制器和無線網(wǎng)絡(luò)管理系統(tǒng)（未來考慮）組成。具體部署情況：在3樓核心機房部署1臺H3C無線控制器EWP-WX3010-POEP-H3，無線控制器旁掛在兩臺核心交換上。默認可以管理12個FITAP。在綜合辦公樓的3、4樓的2個會議室、2個走廊部署4臺H3CEWP-WA2610E-AGN-FIT（支持802.11N），實現(xiàn)無線客戶端的300M高速接入。系統(tǒng)采用最新的802.11n無線傳輸標準協(xié)議。在傳輸速率方面，將WLAN的傳輸速率由目前802.11a及802.11g54Mbps，提高到300Mbps甚至高達600Mbps。在覆蓋范圍方面，802.11n采用智能天線技術(shù)，通過多組獨立天線組成的天線陣列，可以動態(tài)調(diào)整波束，保證讓W(xué)LAN用戶接收到穩(wěn)定的信號，并可以減少其它信號的干擾。系統(tǒng)中無線AP采用無配置管理方式，所有配置全部集中在無線控制器中。無線AP的配置在啟動后由無線控制器下發(fā)，實現(xiàn)無線網(wǎng)絡(luò)的集中管理與自動配置，由于無線信號的開放性，易引起各種各樣的攻擊行為，此時安全問題在建設(shè)無線網(wǎng)時必須考慮問題，無線安全主要側(cè)重兩個方面：用戶安全接入、網(wǎng)絡(luò)安全加密傳輸。我們將利用MAC地址過濾、SSID管理、WEP加密、AES加密等多種安全技術(shù)來保證無線用戶的安全接入及傳輸。網(wǎng)絡(luò)安全設(shè)計隨著網(wǎng)絡(luò)的日新月異，網(wǎng)絡(luò)安全問題日益突出，病毒泛濫、系統(tǒng)漏洞、黑客攻擊等諸多問題，將會直接影響貴單位外網(wǎng)的穩(wěn)定運行、威脅其相關(guān)業(yè)務(wù)的正常運行。如何應(yīng)對網(wǎng)絡(luò)安全威脅，確保其信息系統(tǒng)的安全穩(wěn)定運行，已經(jīng)是必須關(guān)注的問題。在電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)的出口都各部署1臺H3C的千兆防火墻SECPATHF1000-S，電子政務(wù)外網(wǎng)的出口防火墻主要是做地址轉(zhuǎn)換和L2-L4的安全防護；互聯(lián)網(wǎng)出口的防火墻（增加SSLVPN板卡）主要做地址轉(zhuǎn)換、與外聯(lián)單位的IPSECVPN互聯(lián)、外出移動辦公人員的SSLVPN互聯(lián)；服務(wù)器區(qū)各通過1臺千兆防火墻上聯(lián)兩臺核心交換，利用千兆防火墻的安全域的劃分來限制外網(wǎng)PC對服務(wù)群的安全訪問；在外網(wǎng)的核心交換與千兆防火墻之間部署1臺入侵防御系統(tǒng)充分阻斷來自內(nèi)外網(wǎng)的對網(wǎng)站后臺數(shù)據(jù)庫的注入掃描攻擊、異常字段進行過濾，保障網(wǎng)站的安全性。根據(jù)公安部72號文必須對互聯(lián)網(wǎng)的上網(wǎng)行為進行審計的規(guī)定，如XX政府綜合辦公外網(wǎng)拓撲所示，建議在互聯(lián)網(wǎng)出口防火墻與入侵防御系統(tǒng)之間部署1臺深信服的上網(wǎng)行為審計網(wǎng)關(guān)MA5100-AC-P。對外網(wǎng)的終端用戶的安全防護，將采用部署1套瑞星網(wǎng)絡(luò)版殺毒軟來實現(xiàn)，所有終端用戶的病毒補丁可以通過瑞星網(wǎng)絡(luò)版病毒服務(wù)器來實現(xiàn)分發(fā)、自動更新等。對外網(wǎng)的終端用戶的安全管理，可以采用在外網(wǎng)管理區(qū)部署1套H3C的終端安全管理系統(tǒng)（配合H3C網(wǎng)絡(luò)管理系統(tǒng)）的方法來實現(xiàn)，具體可以實現(xiàn)身份認證，病毒補丁、漏洞補丁分發(fā)、黑白軟件定制、資產(chǎn)管理、終端外設(shè)管理等功能。充分的保障了終端用戶的安全性。網(wǎng)絡(luò)管理設(shè)計外網(wǎng)要實現(xiàn)拓撲發(fā)現(xiàn)、故障告警、端口流量和設(shè)備硬件檢測、性能報表分析等功能，需要配備1套網(wǎng)絡(luò)管理系統(tǒng)，為了簡化網(wǎng)絡(luò)管理的工作量，提高工作效率，建議外網(wǎng)部署1套H3CIMC基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)。配備50個網(wǎng)絡(luò)節(jié)點管理。下面簡述下H3CIMC智能網(wǎng)管系統(tǒng)：隨著網(wǎng)絡(luò)中的設(shè)備，接入用戶的增加，迫切需要一種管理系統(tǒng)，能根據(jù)業(yè)務(wù)、設(shè)備、用戶的擴展增加組件，使得用戶、網(wǎng)絡(luò)、業(yè)務(wù)能在單一管理平臺上統(tǒng)一管理、互相協(xié)同、操作簡便、滿足安全的多種業(yè)務(wù)、接入管理的需要。H3C公司的IMC智能網(wǎng)絡(luò)管理系統(tǒng)，采用組件化、模塊化設(shè)計，隨著業(yè)務(wù)、設(shè)備、用戶的擴展，添加需要的組件，能很好適應(yīng)集團對網(wǎng)絡(luò)管理不斷豐富需要。iMC智能管理平臺，是在統(tǒng)一了設(shè)備資源和用戶資源管理的平臺框架的基礎(chǔ)上，實現(xiàn)的基礎(chǔ)業(yè)務(wù)管理平臺，包括iMC基本資源管理部分（不包括在本方案中）、iMC基礎(chǔ)網(wǎng)絡(luò)管理和iMC基本接入管理。本方案實現(xiàn)的具體內(nèi)容包括：實現(xiàn)拓撲管理、圖形化界面設(shè)備配置管理（包括有線無線網(wǎng)融合管理、統(tǒng)一界面中實現(xiàn)從拓撲到終端用戶的無縫管理）、安全準入。IMC基礎(chǔ)網(wǎng)絡(luò)管理iMC基礎(chǔ)網(wǎng)絡(luò)管理，涵蓋了傳統(tǒng)網(wǎng)管的主要功能，包括告警管理、性能管理、拓撲管理等。iMC基礎(chǔ)網(wǎng)絡(luò)管理特性主要包括：豐富、實用的網(wǎng)絡(luò)視圖多樣化的網(wǎng)絡(luò)拓撲智能的告警顯示、過濾和關(guān)聯(lián)直觀的狀態(tài)監(jiān)控性能管理用戶管理與網(wǎng)絡(luò)拓撲管理相融合豐富、實用的網(wǎng)絡(luò)視圖具備豐富的視圖功能，使得管理員可以從多個角度觀測和管理網(wǎng)絡(luò)。通過IP視圖，用戶可以觀測網(wǎng)絡(luò)的邏輯結(jié)構(gòu)和物理結(jié)構(gòu)。設(shè)備視圖，使得用戶對網(wǎng)絡(luò)中設(shè)備類型和數(shù)量一目了然。自定義視圖，使用戶可以按照任何希望的方式構(gòu)造客戶化的網(wǎng)絡(luò)拓撲。并提供直觀簡便的預(yù)覽功能，集中監(jiān)控用戶關(guān)心的重點設(shè)備和接口的狀態(tài)。多樣化的網(wǎng)絡(luò)拓撲拓撲更加美觀清晰，能夠?qū)崟r顯示當(dāng)前視圖的拓撲狀態(tài)。通過在拓撲上浮動顯示設(shè)備、鏈路的基本信息和CPU、鏈路流量等性能信息，管理員可以在拓撲界面中方便的對網(wǎng)絡(luò)中的設(shè)備以及相關(guān)鏈路進行監(jiān)視，拓撲上提供了常用的Ping、telnet、TraceRT、打開設(shè)備Web網(wǎng)管和管理/不管理設(shè)備等常用操作和相關(guān)鏈接，拓撲可以作為管理員管理網(wǎng)絡(luò)的唯一入口。提供完整的IP拓撲、二層拓撲、鄰居拓撲，能夠顯示接入設(shè)備上的接入情況。用戶可以根據(jù)實際組網(wǎng)情況，定義自己關(guān)注的網(wǎng)絡(luò)拓撲。在安裝了其他組件的情況下，拓撲會增加相應(yīng)的業(yè)務(wù)拓撲和操作鏈接，以滿足不同業(yè)務(wù)的需求。智能的告警顯示、過濾和關(guān)聯(lián)提供豐富的聲光告警，還可以針對不同的告警定義不同的操作提示以及維護參考等；匯總顯示發(fā)生故障的設(shè)備，方便管理員日常維護工作展。提供重復(fù)告警過濾、突發(fā)的大流量告警過濾、未知告警過濾和用戶自定義規(guī)則過濾，可以有效壓縮海量網(wǎng)絡(luò)告警，使得管理員直接關(guān)注真正的網(wǎng)絡(luò)故障。在安裝其他組件的情況下，還提供基本告警和業(yè)務(wù)告警的關(guān)聯(lián)，在基本告警發(fā)生后，系統(tǒng)進行關(guān)聯(lián)分析，自動產(chǎn)生業(yè)務(wù)告警。管理員即可根據(jù)基本告警從而迅速定位問題，縮短平均修復(fù)時間。又可根據(jù)業(yè)務(wù)告警，分析出受影響的業(yè)務(wù)，為網(wǎng)絡(luò)的現(xiàn)狀評估和優(yōu)化提供數(shù)據(jù)基礎(chǔ)。直觀的狀態(tài)監(jiān)控與傳統(tǒng)的網(wǎng)管告警和拓撲狀態(tài)互相分離做法不同，使用顯著的顏色把故障狀態(tài)直觀的反映在拓撲中的設(shè)備和鏈路圖標上，用戶僅需要查看拓撲，即可知道網(wǎng)絡(luò)的整體運行狀態(tài)。性能管理提供了對系統(tǒng)所管理的各種設(shè)備性能參數(shù)的公共監(jiān)視功能，比如內(nèi)存利用率、CPU利用率、設(shè)備不可達率、設(shè)備響應(yīng)時間和接口性能數(shù)據(jù)等?？蓪γ恳粋€性能指標設(shè)置二級閾值，發(fā)送不同級別的告警。用戶可以根據(jù)告警信息直接了解到設(shè)備某指標的性能情況，有助于用戶隨時了解網(wǎng)絡(luò)的運行狀態(tài)，預(yù)防網(wǎng)絡(luò)故障，預(yù)測網(wǎng)絡(luò)發(fā)展趨勢，合理優(yōu)化網(wǎng)絡(luò)。通過歷史監(jiān)控報表和TopN報表管理員可以快速得到網(wǎng)絡(luò)中需要關(guān)注的設(shè)備的詳細信息，通過報表的導(dǎo)出和打印功能，管理員能夠迅速將網(wǎng)絡(luò)狀況匯總數(shù)據(jù)上報給各級領(lǐng)導(dǎo)，為網(wǎng)絡(luò)的決策提供有利的支撐。

用戶管理與網(wǎng)絡(luò)拓撲管理相融合在拓撲上可以直觀的操作接入設(shè)備、接入終端相關(guān)的用戶管理功能。比如查看用戶信息、強制用戶下線、執(zhí)行安全檢查等。使終端用戶的管理更加直觀清晰。用戶管理與網(wǎng)絡(luò)設(shè)備管理相融合，用戶管理操作更加簡單接入設(shè)備列表中可以直接看到用戶相關(guān)信息，在使得操作簡單方便的基礎(chǔ)上，又提高了操作員日常維護的效率：可針對選定的接入設(shè)備進行用戶操作，比如，針對某個接入設(shè)備，將其所掛的用戶全部下線處理等；可以在在線用戶列表中通過點擊接入設(shè)備，直接查看當(dāng)前在線用戶所對應(yīng)的接入設(shè)備的詳細信息，比如，對應(yīng)的基本信息、告警、性能狀況等。該功能使得操作更友好，全面提升操作員的操作體驗；IMC接入用戶管理iMC基本接入管理，主要管理用戶的接入準入和控制。主要包括：支持多種接入及認證方式嚴格的權(quán)限控制手段詳盡的用戶監(jiān)控集中方便的用戶管理為接入設(shè)備提供查詢設(shè)備明細信息的鏈接接入設(shè)備管理與拓撲管理的融合支持多種接入及認證方式，適合多種接入組網(wǎng)場景及應(yīng)用場景：支持802.1x、無線接入等多種認證接入方式；支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認證，增強用戶認證的安全性，防止賬號盜用和非法接入；支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認證，避免用戶記憶多個用戶名和密碼。支持端點準入防御（EAD）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的安全策略。嚴格的權(quán)限控制手段，強化用戶接入控制管理：用戶權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限；禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用；可限制用戶IP地址分配策略，防止IP地址盜用和沖突；可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)；可以限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)，防止內(nèi)部信息泄露；可以限制用戶必須使用專用安全客戶端，并強制自動升級，確保認證客戶端的安全性；詳盡的用戶監(jiān)控，強化對終端用戶的監(jiān)視控制：接入業(yè)務(wù)組件提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源；管理員可以實時監(jiān)控在線用戶，強制非法用戶下線；支持消息下發(fā)，管理員可以向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等；iMC接入業(yè)務(wù)組件記錄認證失敗日志，便于方便定位用戶無法認證通過的原因；集中方便的接入業(yè)務(wù)用戶管理，簡化管理員維護操作基于服務(wù)的用戶分類管理，用戶的認證綁定策略、安全策略、訪問權(quán)限均封裝于服務(wù)中，簡化管理員的操作，保證網(wǎng)絡(luò)管理模式的統(tǒng)一；接入用戶相關(guān)的管理動作集中化，界面對操作員來說更友好、更美觀易用：為接入設(shè)備提供查詢設(shè)備明細信息的鏈接，操作簡便：可以通過簡單的鼠標點擊即可看到接入設(shè)備的詳細信息，比如，對應(yīng)的基本信息、告警、性能狀況等；接入設(shè)備管理與拓撲管理的融合，使得設(shè)備管理更簡單，管理更方便：拓撲中可以清晰的顯示出接入設(shè)備，并能查看接入設(shè)備相關(guān)信息，并可以通過很簡單的鼠標點擊方式，將此接入設(shè)備設(shè)置為非接入設(shè)備。EAD端點準入控制802.1x協(xié)議在傳統(tǒng)的局域網(wǎng)環(huán)境中，只要有物理的連接端口，未經(jīng)授權(quán)的網(wǎng)絡(luò)設(shè)備就可以接入局域網(wǎng)，或者是未經(jīng)授權(quán)的用戶可以通過連接到局域網(wǎng)的設(shè)備進入網(wǎng)絡(luò)。這樣造成了潛在的安全威脅。另外，在網(wǎng)絡(luò)中涉及到機密數(shù)據(jù)，所以驗證用戶接入的合法性也顯得非常重要。IEEE802.1x正是解決這個問題的良藥，目前已經(jīng)被集成到二層智能交換機中，完成對用戶的接入安全審核。802.1x協(xié)議是剛剛完成標準化的一個符合IEEE802協(xié)議集的局域網(wǎng)接入控制協(xié)議，其全稱為基于端口的訪問控制協(xié)議。它能夠在利用IEEE802局域網(wǎng)優(yōu)勢的基礎(chǔ)上提供一種對連接到局域網(wǎng)的用戶進行認證和授權(quán)的手段，達到了接受合法用戶接入，保護網(wǎng)絡(luò)安全的目的。802.1x協(xié)議與LAN是無縫融合的。802.1x利用了交換LAN架構(gòu)的物理特性，實現(xiàn)了LAN端口上的設(shè)備認證。在認證過程中，LAN端口要么充當(dāng)認證者，要么扮演請求者。在作為認證者時，LAN端口在需要用戶通過該端口接入相應(yīng)的服務(wù)之前，首先進行認證，如若認證失敗則不允許接入；在作為請求者時，LAN端口則負責(zé)向認證服務(wù)器提交接入服務(wù)申請?；诙丝诘腗AC鎖定只允許信任的MAC地址向網(wǎng)絡(luò)中發(fā)送數(shù)據(jù)。來自任何“不信任”的設(shè)備的數(shù)據(jù)流會被自動丟棄，從而確保最大限度的安全性。我們選擇H3C交換機完全支持802.1x協(xié)議，H3C交換機在802.1x認證中充當(dāng)認證系統(tǒng)及認證服務(wù)器角色（需要配合IMC平臺使用）,用戶在使用網(wǎng)絡(luò)前需要經(jīng)過認證交換機802.1x的認證，即使非法用戶有條件盜用合法用戶計算機上網(wǎng)，但無法通過交換機的802.1x認證，也是無法接入網(wǎng)絡(luò)的。采用H3C設(shè)備實現(xiàn)端點準入802.1X與認證服務(wù)器、策略服務(wù)器、安全代理結(jié)合的內(nèi)網(wǎng)安全防護體系，能夠防止非法用戶和設(shè)備接入網(wǎng)絡(luò)，防止不符合安全策略的用戶對網(wǎng)絡(luò)產(chǎn)生威脅，例如惡意接入點、病毒庫未及時升級、操作系統(tǒng)未打補丁等。服務(wù)器及存儲系統(tǒng)設(shè)計在服務(wù)器區(qū)部署4臺IBMX3650M2服務(wù)器，其中2臺作為數(shù)據(jù)庫服務(wù)器使用（利用HA軟件做雙機）、1臺作為WEB服務(wù)器使用、1臺作為備份服務(wù)器使用；結(jié)合2.3.1存儲備份系統(tǒng)需求，外網(wǎng)的存儲備份系統(tǒng)設(shè)計如下：4臺服務(wù)器分別通過光纖HBA卡與兩臺IBMB24光纖交換機相連，兩臺光纖交換機通過千兆短波模塊與1臺IBMDS3200磁盤陣列相連，構(gòu)成FCSAN網(wǎng)絡(luò)，實現(xiàn)對外網(wǎng)服務(wù)器區(qū)數(shù)據(jù)的集中存儲。另外在外網(wǎng)服務(wù)器區(qū)部署1臺愛數(shù)的備份存儲系統(tǒng)實現(xiàn)對DS3200磁盤陣列中的關(guān)鍵數(shù)據(jù)、外網(wǎng)終端PC的重要數(shù)據(jù)的集中備份。以便在系統(tǒng)遭到病毒破壞、數(shù)據(jù)損壞、崩潰時可以恢復(fù)數(shù)據(jù)。實現(xiàn)對關(guān)鍵數(shù)據(jù)的保護。虛擬園區(qū)網(wǎng)技術(shù)針對貴單位計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計時，需要考慮引入虛擬園區(qū)網(wǎng)技術(shù)，來實現(xiàn)業(yè)務(wù)訪問接入和業(yè)務(wù)訪問隔離，有關(guān)業(yè)務(wù)訪問接入和業(yè)務(wù)訪問隔離的內(nèi)容請見下面章節(jié)詳述。5.4.1業(yè)務(wù)訪問接入實現(xiàn)數(shù)據(jù)中心虛擬網(wǎng)需求進行分析，不僅不同的用戶需要隔離和下發(fā)不同的訪問權(quán)限，同一個用戶在不同的情況下也需要下發(fā)不同的訪問權(quán)限，我們稱之為用戶靈活業(yè)務(wù)訪問模式。針對該需求，結(jié)合網(wǎng)絡(luò)規(guī)劃設(shè)計中交換機設(shè)備和EAD的相關(guān)特性，可以通過兩種方式來實現(xiàn)：GuestVLAN方式和EAD多服務(wù)認證方式。GuestVLAN方式GuestVLAN是指客戶認證端口在認證之前應(yīng)該屬于一個缺省VLAN，用戶訪問該VLAN內(nèi)的資源不需要認證，但此時不能夠訪問其他資源。用戶經(jīng)過802.1X認證成功后，又屬于用戶配置的VLAN，此時用戶可以訪問其他的網(wǎng)絡(luò)資源。通過對網(wǎng)絡(luò)的初始配置，可以限定用戶在GuestVLAN中所能訪問的資源，例如獲取客戶端，用戶升級程序，或僅訪問Internet。用戶如果需要訪問其他資源，必須通過認證。EAD多服務(wù)認證方式EAD具有多服務(wù)認證的特性。對于一個需要跨應(yīng)用訪問網(wǎng)絡(luò)資源的用戶，網(wǎng)絡(luò)管理者需要為他們在不同的業(yè)務(wù)網(wǎng)絡(luò)中制定相應(yīng)的安全策略，這通常是在策略服務(wù)器上配置多個服務(wù)來實現(xiàn)的。每個服務(wù)配置獨立的安全檢查項，以及下發(fā)的ACL或VLAN，因此每個服務(wù)可對應(yīng)一個業(yè)務(wù)網(wǎng)絡(luò)。如下圖所示，用戶使用“@Internet”域后綴通過認證后，從屬于動態(tài)VLAN10，能夠訪問Internet資源，不能訪問辦公網(wǎng)絡(luò)資源。用戶需要訪問辦公網(wǎng)絡(luò)資源時，使用“@neiwang”域后綴重新發(fā)起認證，認證通過后，從屬于動態(tài)VLAN110，具有內(nèi)網(wǎng)的訪問權(quán)限，不能再訪問Internet。5.4.2業(yè)務(wù)訪問隔離實現(xiàn)出于投資成本、組網(wǎng)靈活性、維護復(fù)雜度等的考慮，數(shù)據(jù)中心網(wǎng)絡(luò)需要在一張物理網(wǎng)絡(luò)上承載多個服務(wù)，同時希望通過隔離技術(shù)對接入用戶之間實行安全隔離和受控互訪。如下圖所示：因為Internet核心交換機和辦公網(wǎng)絡(luò)核心交換機之間連通，用戶A訪問辦公網(wǎng)絡(luò)的流量有可能通過Internet交換機再到辦公網(wǎng)絡(luò)交換機，反之訪問Internet的流量也可能會通過辦公網(wǎng)絡(luò)交換機，這樣用戶與用戶、Internet與辦公網(wǎng)絡(luò)通過路由在IP層面上事實上已經(jīng)連通。因此，隔離和控制用戶、業(yè)務(wù)之間的訪問流量就成為網(wǎng)絡(luò)規(guī)劃必須要著重考慮的問題，這需要使用邏輯隔離技術(shù)。系統(tǒng)設(shè)備清單主要產(chǎn)品參數(shù)H3CSecPathT200-A技術(shù)參數(shù)項目T200-A固定接口4×GECombo口擴展槽位2接口模塊4×GE電口8×GE電口4×GE光口電源輸入100V～240VAC；50/60Hz額定功率100W電源1+1（可選配RPS冗余電源供應(yīng)器）特征庫數(shù)量10000+，不斷更新中攻擊防范支持Web保護、郵件服務(wù)器保護、FTP服務(wù)器保護、DNS漏洞、跨站點編寫腳本、SNMP漏洞、蠕蟲和病毒、暴力攻擊和防護、SQLInjections、后門和特洛伊木馬、間諜軟件、DDoS、探測/掃描、網(wǎng)絡(luò)釣魚、協(xié)議異常、IDS/IPS逃逸攻擊等病毒防范支持文件型、網(wǎng)絡(luò)型和混合型病毒等P2P識別支持BT、eDonkey、eMule、網(wǎng)際快車、迅雷、PPLive、QQLive等IM識別支持MSN、QQ、Google/Gtalk、YahooMessenger等URL過濾支持自定義URL過濾規(guī)則庫、基于時間段過濾等響應(yīng)方式支持阻斷、限流、重定向、隔離、Email告警等升級方式自動/手動環(huán)保標準通過歐盟嚴格的環(huán)保標準RoHS管理界面中文/英文尺寸（高×寬×深）44mm×442mm×463mm重量6.8Kg千兆防火墻H3CSecPathF1000-S技術(shù)參數(shù)模塊化專用軟、硬件平臺防火墻，擴展插槽數(shù)量2個；提供4個固定GE（兩個固定光電COMBO口，兩個電口），冗余電源供電；數(shù)據(jù)吞吐量1Gbps；最大會話連接數(shù)100萬個；每秒新建連接數(shù)10,000/秒；IPSECVPN隧道數(shù)3500，3DES加密吞吐率600Mbps；支持路由、橋接、NAT多種工作模式；支持TCP、UDP、HTTP、FTP等狀態(tài)檢測；支持H.323、ICMP、DNS、NetMeeting、NBT等協(xié)議；支持PPP、PPPOE、ARP、DHCP中繼，支持L2TP、GRE、VRRP、SNMP、IPSec/IKE等協(xié)議；支持靜態(tài)NAT及動態(tài)NAT，并能夠?qū)崿F(xiàn)一對一、一對多的地址映射；支持應(yīng)用層動態(tài)包過濾技術(shù)，支持基于接口的訪問控制列表，基于時間段的訪問控制列表；支持郵件/網(wǎng)頁過濾；支持安全日志、管理；支持黑、白名單功能；可防范多種DoS攻擊，如：SYNFlood、ICMPFlood、UDPFlood、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達報文、TCP報文標志位不合法、PingofDeath攻擊、TearDrop攻擊、IPSpoofing攻擊等。內(nèi)網(wǎng)MSR30系列路由器技術(shù)參數(shù)項目MSR30-16MSR30-20MSR30-40MSR30-60處理器RISC新一代處理器（400MHz）RISC新一代處理器（533MHz）RISC新一代處理器（533MHz）RISC新一代處理器（533MHz）轉(zhuǎn)發(fā)性能240Kpps300Kpps360Kpps360Kpps固定接口2個百兆以太電口2個千兆以太電口2個千兆以太光/電口(Combo)2個千兆以太光/電(Combo)模塊插槽4個SIC插槽4個SIC插槽4個SIC插槽4個SIC插槽1個MIM插槽2個MIM插槽4個MIM插槽6個MIM插槽ESM插槽2222VPM插槽2233VCPM1111USB1222AUX1111配置口1111硬件加密支持支持支持支持內(nèi)存（缺省/最大）256M/768M（DDR）256M/1G（DDR）256M/1G（DDR）256M/1G（DDR）CF256M/1G256M/1G256M/1G256M/1G最大功耗100W125W210W210W電源（AC）輸入額定范圍：100～240V50/60Hz輸入額定范圍：100～240V50/60Hz輸入額定范圍：100～240V50/60Hz輸入額定范圍：100～240V50/60Hz外形尺寸（W×D×H）442mm×441.8mm×44.2mm442mm×441.8mm×44.2mm442mm×422.3mm×88.2mm442mm×421.8mm×132mm重量6kg6.9kg11.9kg13.6kg環(huán)境溫度0～400～400～400～40環(huán)境相對濕度5～90%（不結(jié)露）5～90%（不結(jié)露）5～90%（不結(jié)露）5～90%（不結(jié)露）EMCETSIEN300386V1.3.1(2001-09)EN55022(1998)EN55024(1998)FCCPart15ICES-003VCCIV-3AZ/NZSCISPR22安規(guī)UL609503rd

EditionCSA22.2#9503rdEdition1995EN60950:2000+ZB&ZCdeviationsforEuropeanUnionLVDDirectiveIEC60950:1999+corr.Feb.2000,modified+allNationaldeviations內(nèi)網(wǎng)核心交換S7503E技術(shù)參數(shù)屬性S7503E整機交換容量480Gbps背板容量≥1TbpsIPv4包轉(zhuǎn)發(fā)率276Mpps槽位數(shù)量5業(yè)務(wù)槽位數(shù)量3冗余設(shè)計電源、主控冗余二層特性支持IEEE802.1P(CoS優(yōu)先級)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），靈活QinQ和Vlanmapping支持IEEE802.3x（全雙工流控）和背壓式流控（半雙工）支持IEEE802.3ad（鏈路聚合）和跨板鏈路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速環(huán)網(wǎng)保護協(xié)議）支持跨板端口/流鏡像支持端口廣播/多播/未知單播風(fēng)暴抑制支持JumboFrame支持基于端口、協(xié)議、子網(wǎng)和MAC的VLAN劃分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持點到點單VLAN交叉連接、雙VLAN交叉連接全部依靠VLAN-ID進行轉(zhuǎn)發(fā)，不涉及MAC地址學(xué)習(xí)支持最大VLANMAPING/靈活QinQ表項全面支持1:1,2:1,1:2,2:2VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持靜態(tài)路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart優(yōu)雅重啟)支持等價路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4雙棧組播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每單板最大支持16KACL支持標準和擴展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可達8Kbps支持兩級Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP優(yōu)先級Mark/Remark支持層次化QoS（H-QoS），支持三級隊列調(diào)度支持隊列調(diào)度機制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8隊列支持擁塞避免機制，包括Tail-Drop、WRED支持N：2MirroringMPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分層VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP協(xié)議安全機制支持EAD安全解決方案支持Portal認證支持MAC認證支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行認證支持SSHv1.5/SSHv2支持ACL流過濾機制支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證支持命令行采用分級保護方式，防止未授權(quán)用戶的非法侵入，為不同級別的用戶有不同的配置權(quán)限支持受限的IP地址的Telnet的登錄和口令機制支持IP地址、VLANID、MAC地址和端口等多種組合綁定支持uRPF支持主備數(shù)據(jù)備份機制支持故障后報警和自恢復(fù)支持數(shù)據(jù)日志系統(tǒng)管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量統(tǒng)計支持RMON支持NTP時鐘支持NetStream流量統(tǒng)計功能可靠性支持主控板1+1冗余備份支持電源1+1冗余備份采用無源背板設(shè)計所有單板支持熱插拔支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持熱補丁環(huán)境要求溫度范圍：0℃～45相對濕度：10%～95%（非凝結(jié)）安規(guī)和EMC認證通過了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的認證電源DC：–48V～–60VAC：100V～240VPOE電源支持內(nèi)置PoE電源(S7506E-S不支持)外形尺寸（寬×高×深）(mm)436x708x420滿配重量(kg)≤96kg外網(wǎng)核心交換S7506E技術(shù)參數(shù)屬性S7506E整機交換容量768Gbps背板容量≥1.6TbpsIPv4包轉(zhuǎn)發(fā)率492Mpps槽位數(shù)量8業(yè)務(wù)槽位數(shù)量6冗余設(shè)計電源、主控冗余二層特性支持IEEE802.1P(CoS優(yōu)先級)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），靈活QinQ和Vlanmapping支持IEEE802.3x（全雙工流控）和背壓式流控（半雙工）支持IEEE802.3ad（鏈路聚合）和跨板鏈路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速環(huán)網(wǎng)保護協(xié)議）支持跨板端口/流鏡像支持端口廣播/多播/未知單播風(fēng)暴抑制支持JumboFrame支持基于端口、協(xié)議、子網(wǎng)和MAC的VLAN劃分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持點到點單VLAN交叉連接、雙VLAN交叉連接全部依靠VLAN-ID進行轉(zhuǎn)發(fā)，不涉及MAC地址學(xué)習(xí)支持最大VLANMAPING/靈活QinQ表項全面支持1:1,2:1,1:2,2:2VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持靜態(tài)路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart優(yōu)雅重啟)支持等價路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4雙棧組播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每單板最大支持16KACL支持標準和擴展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可達8Kbps支持兩級Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP優(yōu)先級Mark/Remark支持層次化QoS（H-QoS），支持三級隊列調(diào)度支持隊列調(diào)度機制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8隊列支持擁塞避免機制，包括Tail-Drop、WRED支持N：2MirroringMPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分層VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP協(xié)議安全機制支持EAD安全解決方案支持Portal認證支持MAC認證支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行認證支持SSHv1.5/SSHv2支持ACL流過濾機制支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證支持命令行采用分級保護方式，防止未授權(quán)用戶的非法侵入，為不同級別的用戶有不同的配置權(quán)限支持受限的IP地址的Telnet的登錄和口令機制支持IP地址、VLANID、MAC地址和端口等多種組合綁定支持uRPF支持主備數(shù)據(jù)備份機制支持故障后報警和自恢復(fù)支持數(shù)據(jù)日志系統(tǒng)管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量統(tǒng)計支持RMON支持NTP時鐘支持NetStream流量統(tǒng)計功能可靠性支持主控板1+1冗余備份支持電源1+1冗余備份采用無源背板設(shè)計所有單板支持熱插拔支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持熱補丁環(huán)境要求溫度范圍：0℃～45相對濕度：10%～95%（非凝結(jié)）安規(guī)和EMC認證通過了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的認證電源DC：–48V～–60VAC：100V～240VPOE電源支持內(nèi)置PoE電源(S7506E-S不支持)外形尺寸（寬×高×深）(mm)436x708x420滿配重量(kg)≤96kgIBMDS3200磁盤陣列技術(shù)參數(shù)安裝調(diào)試方案為了更好的實施該項目，根據(jù)上述設(shè)計方案和用戶相關(guān)需求，我們制定了以下安裝調(diào)試方案。IP地址及VLAN規(guī)劃IP地址空間的分配與合理使用與網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)組織及路由政策有非常密切的關(guān)系，將對網(wǎng)絡(luò)的可用性、可靠性與有效性產(chǎn)生顯著影響，應(yīng)充分考慮網(wǎng)絡(luò)對IP地址的需求，以滿足未來業(yè)務(wù)發(fā)展對IP地址的需求。IP地址分配基本原則IP地址的合理分配是保證網(wǎng)絡(luò)順利運行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于IP地址的分配應(yīng)該充分考慮到地址空間的合理使用，保證實現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布。IP地址分配既要考慮到擴充，又要能做到連續(xù)：盡量給每個單位分配連續(xù)的IP地址空間，并為將來的網(wǎng)絡(luò)擴展預(yù)留一定的地址空間。IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率；采用CIDR技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。IP地址規(guī)劃貴單位IP地址主要涉及網(wǎng)絡(luò)用戶地址、設(shè)備管理及互聯(lián)地址的規(guī)劃。下面將例舉：貴單位網(wǎng)絡(luò)用戶IP地址在/16這個B類地址內(nèi)進行規(guī)劃。外網(wǎng)設(shè)備管理及互聯(lián)地址在/8這個A類地址內(nèi)進行規(guī)劃。內(nèi)網(wǎng)設(shè)備管理及互聯(lián)地址在/16這個B類地址內(nèi)進行規(guī)劃（將現(xiàn)有網(wǎng)絡(luò)的地址段排除后再規(guī)劃，以免地址重疊）。具體的IP地址規(guī)劃如下表：用戶網(wǎng)關(guān)使用本網(wǎng)段地址的最后一地址，及172.16.X.254。地址具體規(guī)劃需要視綜合辦公樓的部門分布情況而定，再做具體規(guī)劃。VLAN的規(guī)劃將根據(jù)貴單位部門分布情況或根據(jù)項目實施前期與貴單位相關(guān)技術(shù)人員溝通后再規(guī)劃。生成樹的設(shè)計MSTP（MultipleSpanningTreeProtocol）是多生成樹協(xié)議的英文縮寫，該協(xié)議兼容STP（SpanningTreeProtocol）和RSTP（RapidSpanningTreeProtocol）。STP不能快速遷移。即使是在點對發(fā)狀態(tài)。點鏈路或邊緣端口，也必須等待2倍的Forwarddelay的時間延遲，端口才能遷移到轉(zhuǎn)RSTP可以快速收斂，但是和STP一樣存在以下缺陷：局域網(wǎng)內(nèi)所有網(wǎng)橋共享一棵生成樹，不能按VLAN阻塞冗余鏈路，所有VLAN的報文都沿著一棵生成樹進行轉(zhuǎn)發(fā)。MSTP可以彌補STP和RSTP的缺陷，它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑分發(fā)，從而為冗余鏈路提供了更好的負載分擔(dān)機制。MSTP設(shè)置VLAN映射表（即VLAN和生成樹的對應(yīng)關(guān)系表）把VLAN和生成樹聯(lián)系起來。同時它把一個交換網(wǎng)絡(luò)劃分成多個域，每個域內(nèi)形成多棵生成樹，生成樹之間彼此獨立。MSTP將環(huán)路網(wǎng)絡(luò)修剪成為一個無環(huán)的樹型網(wǎng)絡(luò)，避免報文在環(huán)路網(wǎng)絡(luò)中的增生和無限循環(huán)，同時還提供了數(shù)據(jù)轉(zhuǎn)發(fā)的多個冗余路徑，在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實現(xiàn)VLAN數(shù)據(jù)的負載均衡?；谝陨蟽?yōu)點，生成樹選用MSTP模式。并且設(shè)置核心交換機為root和secondary，將所有VLAN分為兩組生成樹實例，分別將根節(jié)點設(shè)置在兩臺核心交換機上。對于內(nèi)網(wǎng)通過配置生成樹的計算參數(shù)中的優(yōu)先級將一半VLAN的生成樹根節(jié)點設(shè)置在S7503E-1（主交換）上，剩余VLAN的生成樹根節(jié)點設(shè)置在S7503E-2（從交換）上；對于外網(wǎng)內(nèi)網(wǎng)通過配置生成樹的計算參數(shù)中的優(yōu)先級將一半VLAN的生成樹根節(jié)點設(shè)置在S7506E-1（主交換）上，剩余VLAN的生成樹根節(jié)點設(shè)置在S7506E-2（從交換）上。各層網(wǎng)絡(luò)之間采用二層連接的方式，各互聯(lián)端口設(shè)置為Trunk。外網(wǎng)和內(nèi)網(wǎng)的網(wǎng)關(guān)都在其核心交換上啟用，利用其核心交換實現(xiàn)VLAN的終結(jié)。典型配置命令（舉例）[H3C]stpregion-configuration[H3C-mst-region]region-nameexample[H3C-mst-region]instance1vlan10[H3C-mst-region]instance3vlan30[H3C-mst-region]instance4vlan40[H3C-mst-region]revision-level0手工激活MST域的配置。[H3C-mst-region]activeregion-configuration定義SwitchA為實例1的樹根[S7503E-1]stpinstance1rootprimary定義SwitchB為實例1的樹根[S7503E-2]stpinstance1rootsecondary設(shè)備安裝設(shè)計在綜合辦公樓的3樓中心機房部署內(nèi)網(wǎng)的兩臺核心交換S7503E、外網(wǎng)的兩臺核心交換S7506E；內(nèi)網(wǎng)的6臺接入交換分別通過兩根千兆多模光纜匯聚3樓中心機房的兩臺S7503E。內(nèi)網(wǎng)的深信服網(wǎng)絡(luò)行為審計網(wǎng)關(guān)、2臺MSR30-40路由器、2臺千兆防火墻F1000-S，都部署在綜合辦公樓3樓的中心機房。外網(wǎng)的6臺接入交換分別通過兩根千兆多模光纜匯聚3樓中心機房的兩臺S7506E。外網(wǎng)的深信服網(wǎng)絡(luò)行為審計網(wǎng)關(guān)，電子政務(wù)外網(wǎng)、互聯(lián)網(wǎng)出口的2臺千兆防火墻F1000-S，外網(wǎng)服務(wù)區(qū)前的兩臺千兆防火墻F1000-S，1臺H3C的入侵防御設(shè)備（SECPATHT200-A）都部署在綜合辦公樓3樓的中心機房。核心交換的安裝地點節(jié)點位置S7503ES7506E綜合辦公樓3樓中心機房22接入交換機安裝地點接入交換機具體分布視后期具體需求而定，建議用戶為樓層接入層交換機配置理線架。以下分別是機箱式交換機的模塊安裝圖例：S7503E的安裝1LSQM1MPUB023LSQM1GT24SC04LSQM1GP24SC05LSQM1AC1400LSQM1AC1400每臺含1塊引擎、2塊1400W電源，1塊24千兆光口業(yè)務(wù)板、1塊24千兆電口業(yè)務(wù)板S7506E的安裝1LSQM1MPUB023LSQM1GT24SC04LSQM1GP24SC05678LSQM1AC1400LSQM1AC1400設(shè)備命名及地址分配設(shè)備命名描述網(wǎng)絡(luò)設(shè)備命名的規(guī)則，并給出示例以及全部設(shè)備命名表。設(shè)備命名一般應(yīng)包含設(shè)備型號、安裝地點、編號（若有多臺）等信息。網(wǎng)絡(luò)設(shè)備命名規(guī)則：DDD-YYYY-Z1-2-31．地點：表示網(wǎng)絡(luò)設(shè)備安裝地點的命名，如ZBL即主辦公樓的意思。2．設(shè)備型號：網(wǎng)絡(luò)設(shè)備的主要型號表示方法。3．編號：為了區(qū)分同一個地點有多個相同設(shè)備，取值為NUM。線纜標簽規(guī)則線纜標簽規(guī)則：AAA-BBB-CCC-DDDAAA：本端設(shè)備名BBB：本端接口CCC：對端設(shè)備名DDD：對端接口。為減少長度，設(shè)備名采用簡寫。設(shè)備地址分配在內(nèi)網(wǎng)設(shè)備上設(shè)置VLAN500，并配置相應(yīng)VLAN接口地址，作為統(tǒng)一的設(shè)備管理地址。在外網(wǎng)設(shè)備上設(shè)置VLAN1000，并配置相應(yīng)VLAN接口地址，作為統(tǒng)一的設(shè)備管理地址。設(shè)備管理地址編碼規(guī)則設(shè)備管理地址編碼原則如下：外網(wǎng)設(shè)備地址在/8內(nèi)設(shè)計互聯(lián)。10.X.Y.ZX：代表設(shè)備處于網(wǎng)絡(luò)的哪一層。核心設(shè)備X=1匯聚設(shè)備X=2第一級接入層設(shè)備X=3第二級，級聯(lián)接入設(shè)備X=4以此類推。Y：代表設(shè)備所處地理位置。需要對綜合辦公樓的地理位置進行編號。（假定分機房位置不變）編號地理位置1綜合辦公樓1樓-3樓2綜合辦公樓4樓-6樓3綜合辦公樓7樓-9樓4綜合辦公樓10樓-12樓5。。。。。。。6。。。。。。。7。。。。。。。891011Z：相同位置的設(shè)備順序編號。設(shè)備管理地址注：關(guān)于內(nèi)網(wǎng)、外網(wǎng)各接入交換機的設(shè)備管理地址規(guī)劃需要根據(jù)弱電間接入交換分配情況后定制。NTP網(wǎng)絡(luò)時間同步管理網(wǎng)絡(luò)時間協(xié)議（NTP）是用來在整個網(wǎng)絡(luò)內(nèi)發(fā)布精確時間的TCP/IP協(xié)議，其本身的傳輸基于UDP。貴單位網(wǎng)絡(luò)是一個大規(guī)模的網(wǎng)絡(luò)，必須確保全網(wǎng)的時間同步，才能有效地維護網(wǎng)絡(luò)正常運行，以確?；貥I(yè)務(wù)的順利開展。每臺網(wǎng)絡(luò)設(shè)備都有自己的系統(tǒng)時鐘，能夠保存當(dāng)前的日期和時間。NTP主要解決網(wǎng)絡(luò)內(nèi)所有路由器的時鐘同步問題，除此之外，它也能用于在給定網(wǎng)絡(luò)內(nèi)所有系統(tǒng)時鐘的同步，包括工作站或其它具有時鐘的系統(tǒng)。對于各種各樣的工作站和服務(wù)器來講，都有相應(yīng)的NTP客戶端軟件。對于一個網(wǎng)絡(luò)內(nèi)所有的網(wǎng)絡(luò)設(shè)備，使其時鐘同步是非常重要的，因為：網(wǎng)絡(luò)設(shè)備是以同一公共時間為參考，采集的調(diào)試與事件時間戳才有意義。事物處理需要精確的時間戳(Timestamps)。復(fù)雜的事物往往由多個系統(tǒng)來處理，為保證事件的正確順序，多個系統(tǒng)必須參考同一時鐘。完成某些功能如同時重起(Reload)網(wǎng)絡(luò)內(nèi)的所有路由器，整個網(wǎng)絡(luò)必須擁有公共時鐘。NTP通常能夠使廣域網(wǎng)內(nèi)的所有系統(tǒng)時鐘在10毫秒內(nèi)同步。在貴單位網(wǎng)絡(luò)中實現(xiàn)時間同步，對于內(nèi)網(wǎng)將其兩臺核心交換機配置為NTP服務(wù)器，并實現(xiàn)互為備份，其它防火墻、交換機、服務(wù)器配置與這兩臺NTP服務(wù)器進行時間同步。主機房的S7503E做Server。外網(wǎng)可以根據(jù)情況選擇此策略。典型配置命令H3C1設(shè)置本地時鐘作為NTP主時鐘，層數(shù)為2，H3C2以H3C1作為時間服務(wù)器，將其設(shè)為server模式，自己為client模式。（說明：H3C1是支持本地時鐘作為主時鐘的交換機）配置以太網(wǎng)交換機H3C1：設(shè)置本地時鐘作為NTP主時鐘，層數(shù)為4。[H3C1]ntp-servicerefclock-master4配置以太網(wǎng)交換機H3C2：設(shè)置H3C1為時間服務(wù)器。[H3C2]ntp-serviceunicast-server1路由協(xié)議規(guī)劃由于本次項目涉及的2兩套網(wǎng)：內(nèi)網(wǎng)的核心與接入，外網(wǎng)的核心與接入點（接入層二層VLAN透傳）直連的，所以接入層到核心采用的是直連路由，從核心到上層是才用缺省路由。路由協(xié)議安全管理URPF（單播逆向路徑轉(zhuǎn)發(fā)）。源地址欺騙是一種常用的網(wǎng)絡(luò)攻擊方法，攻擊者通過偽造合法的IP地址，與被攻擊對象之間建立連接，從而進一步獲得需要的信息。URPF（單播逆向路徑轉(zhuǎn)發(fā)）功能的原理是通過對正常IP報文進行基于源地址的路由查找，并獲得該源地址的下一跳及出接口，如果該接口與本IP報文的實際接收接口不一致，則可以斷定是源地址欺騙報文，并將該報文丟棄?？梢酝ㄟ^啟動URPF特性，防范網(wǎng)絡(luò)中通過修改源地址而進行惡意攻擊行為的發(fā)生。但該特性由于需要對每一個轉(zhuǎn)發(fā)的報文多進行一次路由查找，對設(shè)備的轉(zhuǎn)發(fā)性能會有一定影響。有些IP特性對局域網(wǎng)來說是有用的，但對廣域網(wǎng)或城域網(wǎng)節(jié)點的設(shè)備是不適用的。如果這些特性被惡意攻擊者利用，會增加網(wǎng)絡(luò)的危險，因此，網(wǎng)絡(luò)設(shè)備應(yīng)具備關(guān)閉這些IP功能的能力。VRRP（虛擬路由器冗余協(xié)議）VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議）VRRP是一種容錯協(xié)議，它保證當(dāng)主機的下一跳路由器出現(xiàn)故障時，由另一臺路由器來代替出現(xiàn)故障的路由器進行工作，從而保持網(wǎng)絡(luò)通信的連續(xù)性和可靠性。VRRP具有如下優(yōu)點：（1）簡化網(wǎng)絡(luò)管理。在具有多播或廣播能力的局域網(wǎng)（如以太網(wǎng)）中，借助VRRP能在某臺設(shè)備出現(xiàn)故障時仍然提供高可靠的缺省鏈路，有效避免單一鏈路發(fā)生故障后網(wǎng)絡(luò)中斷的問題，而無需修改動態(tài)路由協(xié)議、路由發(fā)現(xiàn)協(xié)議等配置信息，也無需修改主機的默認網(wǎng)關(guān)配置（2）適應(yīng)性強。VRRP報文封裝在IP報文中，支持各種上層協(xié)議（3）網(wǎng)絡(luò)開銷小。VRRP只定義了一種報文——VRRP通告報文，并且只有處于Master狀態(tài)的路由器可以發(fā)送VRRP報文。認證方式VRRP提供了三種認證方式：(1)無認證：不進行任何VRRP報文的合法性認證。不提供安全性保障，可以用在完全封閉的小型內(nèi)部網(wǎng)絡(luò)中。(2)簡單字符認證：在一個有可能受到安全威脅的網(wǎng)絡(luò)中（例如VRRP組設(shè)備和少量辦公網(wǎng)設(shè)備處于同一網(wǎng)絡(luò)），可以將認證方式設(shè)置為簡單字符認證。發(fā)送VRRP報文的路由器將認證字填入到VRRP報文中，而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同，則認為接收到的報文是合法的VRRP報文；否則認為接收到的報文是一個非法報文。（本次項目VRRP協(xié)議建議采用此項認證）(3)MD5認證：在一個非常不安全的網(wǎng)絡(luò)中（VRRP組設(shè)備和大量辦公、娛樂設(shè)備處于同一網(wǎng)絡(luò)），可以將認證方式設(shè)置為MD5認證。發(fā)送VRRP報文的路由器利用配置的密文認證字和MD5算法對VRRP報文進行加密，加密后的報文保存在AuthenticationHeader（認證頭）中。收到VRRP報文的路由器會利用器會利用認證字解密報文，檢查該報文的合法性。這樣可以達到最佳的安全性。VRRP工作過程： (1)路由器使能VRRP功能后，會根據(jù)優(yōu)先級確定自己在虛擬路由器中的角色。初始創(chuàng)建的路由器工作在Backup狀態(tài)，通過VRRP通告報文的交互獲知VRRP組成員的優(yōu)先級。在等待Master_Down_Interval之后，優(yōu)先級高的路由器成為Master路由器，優(yōu)先級低的保持Backup路由器狀態(tài)。新變?yōu)镸aster的路由器會立即發(fā)送免費ARP，通知與它連接的設(shè)備或者主機，自己的虛擬MAC地址；之后它定期發(fā)送VRRP通告報文，通知虛擬路由器內(nèi)的其他設(shè)備自己工作正常；Backup路由器則處于監(jiān)聽或者等待狀態(tài)。(2)在搶占方式下，當(dāng)Backup路由器收到VRRP通告報文后，會將自己的優(yōu)先級與通告報文中的優(yōu)先級進行比較。如果大于通告報文中的優(yōu)先級，則主動成為Master路由器；否則將保持Backup狀態(tài)。(3)在非搶占方式下，只要Master路由器沒有出現(xiàn)故障，Backup路由器始終保持Backup狀態(tài)，即使隨后被配置了更高的優(yōu)先級也不會搶占成為Master路由器。(4)如果Backup路由器的定時器超時后仍未收到Master路由器發(fā)送來的VRRP通告報文，則認為Master路由器已經(jīng)無法正常工作，此時Backup路由器會主動成為Master路由器，并對外發(fā)送VRRP通告報文。虛擬路由器內(nèi)的路由器根據(jù)優(yōu)先級選舉出Master路由器，承擔(dān)報文的轉(zhuǎn)