x縣機(jī)關(guān)單位計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案2016年.doc

xx縣機(jī)關(guān)單位計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)方案建議書XXXX 公司2016年 06 月目錄1 需求分析U.3U1.1 建設(shè)目標(biāo)U. 3U2 設(shè)計(jì)方案U. 4U2.1 設(shè)計(jì)思路和原則 . .4U2.2XX院內(nèi)網(wǎng)設(shè)計(jì)方案U .5U2.2.1 內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)U .6U2.2.2 設(shè)備選型依據(jù)U .7U2.2.3 各層次設(shè)計(jì)U .7U2.3 外網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)U .21U2.3.1 外網(wǎng)DMZ區(qū)設(shè)計(jì)U .25U2.4 內(nèi)外網(wǎng)出口防護(hù)統(tǒng)一解決方案VPNIPSFWU .25U2.5 內(nèi)外網(wǎng)安全隔離和數(shù)據(jù)交換U .36U2.6 檢查院專網(wǎng)數(shù)據(jù)中心設(shè)計(jì)方案U .37U2.6.1 數(shù)據(jù)中心架構(gòu)建設(shè)U . 37U2.6.2 思科數(shù)據(jù)中心方案優(yōu)勢(shì)U . 45U2.7 整網(wǎng)信息安全設(shè)計(jì)建議U .47U2.7.1 設(shè)備級(jí)安全設(shè)計(jì)U .47U2.7.2 網(wǎng)絡(luò)級(jí)安全設(shè)計(jì)U .47U2.7.3 系統(tǒng)級(jí)安全設(shè)計(jì)U .49U2.8 IP語音系統(tǒng)方案建議U .55U2.8.1 平臺(tái)總體建議U .56U2.8.2 IP語音方案同傳統(tǒng)PBX的比較U.59U2.8.3 思科方案優(yōu)勢(shì)U . 61U2.8.4 思科IP電話智能終端U .62U2.1 無線接入網(wǎng)絡(luò)設(shè)計(jì)U .630B1 需求分析2B1.1 建設(shè)目標(biāo)xx縣機(jī)關(guān)單位信息化建設(shè)是是科技強(qiáng)檢的重要組成部分，也是檢察工作改革的重要內(nèi) 容。信息化建設(shè)是一項(xiàng)技術(shù)要求較高的系統(tǒng)工程，所以 xx縣機(jī)關(guān)單位在信息化建設(shè)中要注重經(jīng) 實(shí)用、高效，高起點(diǎn)建設(shè)，高水平設(shè)計(jì)，高技術(shù)配置。對(duì)于信息化的建設(shè)基礎(chǔ)網(wǎng)絡(luò)起著 至關(guān)重要的作用，基礎(chǔ)網(wǎng)絡(luò)的設(shè)計(jì)規(guī)劃將決定著未來科技信息化的整體框架，所以基礎(chǔ) 網(wǎng)絡(luò)的高標(biāo)準(zhǔn)要求將至關(guān)重要。xx縣機(jī)關(guān)單位在信息化建設(shè)要樹立“規(guī)范統(tǒng)一”的思想，在局域網(wǎng)建設(shè)、專線網(wǎng)建設(shè)上， 統(tǒng)一規(guī)劃、統(tǒng)一技術(shù)標(biāo)準(zhǔn)、統(tǒng)一規(guī)范、統(tǒng)一管理，做好協(xié)調(diào)、配合工作，力求建設(shè)規(guī)范 有序、高效率。不重復(fù)、不浪費(fèi)，運(yùn)轉(zhuǎn)良好、快速、保密。目前 xx縣機(jī)關(guān)單位的機(jī)構(gòu)設(shè)置日趨完善，部門之間職責(zé)范圍的劃分更加科學(xué)、合理、規(guī)范， 基本適應(yīng)了社會(huì)發(fā)展和形勢(shì)任務(wù)的需要。近期我院將遷移至新址辦公，進(jìn)一步改善業(yè)務(wù) 處理能力和提高辦公效率，以貫徹“科技強(qiáng)院”的工作方針。為了按照“積極建設(shè)，重在應(yīng)用”的工作思路，我院將在新址大樓構(gòu)建一個(gè)新的高 效辦公信息化網(wǎng)絡(luò)平臺(tái)，以實(shí)現(xiàn)了對(duì)內(nèi)與職能管理相結(jié)合、對(duì)外與司法公信力建設(shè)相結(jié) 合。1B2 設(shè)計(jì)方案3B2.1 設(shè)計(jì)思路和原則（1）網(wǎng)絡(luò)信息化建設(shè)總體原則市 xx縣機(jī)關(guān)單位信息化建設(shè)的指導(dǎo)方針是：統(tǒng)籌規(guī)劃，規(guī)范標(biāo)準(zhǔn)，深化應(yīng)用，注重效益，安全 保障。網(wǎng)絡(luò)信息系統(tǒng)建設(shè)還要遵循以下基本原則：通盤考慮原則：站位要高，從業(yè)界發(fā)展的趨勢(shì)入手，按照科學(xué)的設(shè)計(jì)框架，兼 顧成熟性和先進(jìn)性，通盤考慮信息系統(tǒng)網(wǎng)絡(luò)的各級(jí)建設(shè)；投資保護(hù)原則：要充分考慮與現(xiàn)有資源整合，實(shí)現(xiàn)投資保護(hù)；安全性原則：在網(wǎng)絡(luò)設(shè)計(jì)中充分考慮安全因素，從各個(gè)層面充分考慮網(wǎng)絡(luò)安全、 系統(tǒng)安全、信息安全的規(guī)劃和設(shè)計(jì)。從而對(duì) xx縣機(jī)關(guān)單位提供一個(gè)相對(duì)安全的系統(tǒng)平臺(tái)?？蓴U(kuò)展性原則：網(wǎng)絡(luò)不僅要滿足近期的需要，還要前瞻性的考慮業(yè)務(wù)需求的增 長(zhǎng)和業(yè)界發(fā)展的總體趨勢(shì)，在需要的時(shí)候可以平滑升級(jí)；能夠平滑支撐 IP 語音、視頻應(yīng)用的融合和部署?？煽啃栽瓌t：鑒于 xx縣機(jī)關(guān)單位的重要職能和對(duì)信息及時(shí)性的較高要求，信息網(wǎng)作為 支撐整個(gè)系統(tǒng)運(yùn)行的基礎(chǔ)實(shí)施必須非?？煽?；所采用的產(chǎn)品和技術(shù)必須具有一 定程度上成熟可靠性。網(wǎng)絡(luò)必須具備高安全性和高穩(wěn)定性。整個(gè)網(wǎng)絡(luò)應(yīng)有足夠的冗余備份設(shè)計(jì)，包括鏈路冗余、設(shè)備冗余、模塊冗余和數(shù)據(jù)冗余備份等，提高網(wǎng)絡(luò)的容錯(cuò)能力，減少單點(diǎn)故障。經(jīng)濟(jì)性原則：在完成預(yù)定功能的情況下，結(jié)合實(shí)際信息化程度采用最為經(jīng)濟(jì)有 效的方案，盡量節(jié)約項(xiàng)目投資；創(chuàng)新性原則：在設(shè)計(jì)和建設(shè)過程中積極開拓思路，不墨守成規(guī)，創(chuàng)造性地解決 問題；系統(tǒng)結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)配置、系統(tǒng)管理方式等方面采用國際上先進(jìn)同時(shí)又是成熟、實(shí)用的技術(shù)。共同建設(shè)原則：為保證項(xiàng)目的成功，需要處理好與省 xx縣機(jī)關(guān)單位專網(wǎng)和下屬單位互 聯(lián)網(wǎng)絡(luò)的關(guān)系。xx縣機(jī)關(guān)單位新網(wǎng)絡(luò)建設(shè)后要能夠?yàn)樵汗ぷ鞯闹悄芑?、自?dòng)化提供一個(gè)高可靠、高性能的信息 平臺(tái)，徹底改善辦公、辦案條件，為完成日益繁重的工作任務(wù)提供了強(qiáng)有力的物質(zhì)保障。（2）網(wǎng)絡(luò)信息化建設(shè)總體思路市 xx縣機(jī)關(guān)單位新網(wǎng)絡(luò)共分為內(nèi)網(wǎng)和外網(wǎng)兩套物理隔離網(wǎng)絡(luò)，專網(wǎng)用于 xx縣機(jī)關(guān)單位 OA 辦公應(yīng)用和上下級(jí)單位業(yè)務(wù)專網(wǎng)互聯(lián)，外網(wǎng)用于日?；ヂ?lián)網(wǎng)訪問等業(yè)務(wù)。內(nèi)部網(wǎng)絡(luò)平臺(tái)是承載整個(gè)公檢法 網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行的硬件平臺(tái)，承載業(yè)務(wù)較多，QoS 服務(wù)質(zhì)量和網(wǎng)絡(luò)安全要求很高。網(wǎng)絡(luò)規(guī) 劃設(shè)計(jì)要保證能與現(xiàn)有網(wǎng)絡(luò)兼容并對(duì)接，確保網(wǎng)絡(luò)功能有效實(shí)施。同時(shí) xx縣機(jī)關(guān)單位內(nèi)網(wǎng)需要與上 下級(jí) xx縣機(jī)關(guān)單位內(nèi)網(wǎng)互連，與外部網(wǎng)絡(luò)實(shí)行物理隔離，要求能夠滿足整個(gè)大樓各個(gè)辦公室之間高 速、安全、保密的信息交互與內(nèi)部信息發(fā)布和數(shù)據(jù)共享，能夠滿足現(xiàn)有和未來發(fā)展的政法信 息服務(wù)和內(nèi)部辦公自動(dòng)化的要求，形成一個(gè)智能化綜合信息平臺(tái)，可整合廣播、數(shù)據(jù)、視頻、 監(jiān)控等應(yīng)用，實(shí)現(xiàn)多網(wǎng)合一的高效辦公網(wǎng)。網(wǎng)絡(luò)區(qū)域?qū)?duì)業(yè)務(wù)區(qū)域進(jìn)行的合理劃分、管理、 安全以及與廣域網(wǎng)網(wǎng)絡(luò)的鏈接規(guī)劃，同時(shí)也設(shè)計(jì)對(duì)部分區(qū)域的無線訪問解決方案。外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)本著經(jīng)濟(jì)、簡(jiǎn)單、安全、邏輯性、擴(kuò)展性強(qiáng)的原則進(jìn)行設(shè)計(jì)。網(wǎng)絡(luò)核心交 換機(jī)采用單臺(tái)設(shè)計(jì)，要求具有較好的擴(kuò)展性以及高穩(wěn)定性、高性能特點(diǎn)?？紤]到外網(wǎng)數(shù)據(jù)流 量模型主要用于桌面終端到互聯(lián)網(wǎng)的訪問特點(diǎn)，整體網(wǎng)絡(luò)采用千兆光纖骨干(接入核心)， 百兆桌面接入的方式，考慮到外網(wǎng)每個(gè)配線間信息點(diǎn)較少，接入交換機(jī)可采用級(jí)聯(lián)方式連接 中心機(jī)房。公網(wǎng)出口能夠提供獨(dú)立的安全防護(hù)邊界，除了提供外網(wǎng)安全防火墻功能外還可對(duì) 外提供 IPSEC VPN 和 SSLVPN 訪問功能。要將網(wǎng)絡(luò)可能存在的風(fēng)險(xiǎn)隔離到最小的區(qū)域。對(duì)外 的網(wǎng)絡(luò)出入口需要有足夠的網(wǎng)絡(luò)安全手段，例如防止病毒、垃圾郵件攻擊等。4B2.2XX院內(nèi)網(wǎng)設(shè)計(jì)方案根據(jù)院建筑設(shè)計(jì)結(jié)構(gòu)圖（A、B 兩個(gè)樓體中間通過聯(lián)體相連），結(jié)合先進(jìn)的以太網(wǎng)技術(shù)特 點(diǎn)以及辦公應(yīng)用在數(shù)據(jù)訪問流量方面的特點(diǎn)，內(nèi)網(wǎng)總體網(wǎng)絡(luò)結(jié)構(gòu)采用扁平化層次化結(jié)構(gòu)，通 過接入層設(shè)備直接連接核心的兩層架構(gòu)，保證網(wǎng)絡(luò)的最優(yōu)化設(shè)計(jì)，提供最小的數(shù)據(jù)交換延時(shí) 和最高的吞吐帶寬。核心采用冗余設(shè)計(jì)，考慮統(tǒng)一集成安全方案，實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)重要區(qū)域和應(yīng) 用系統(tǒng)的隔離和防護(hù)，對(duì)網(wǎng)絡(luò)流量能夠提供硬件智能檢測(cè)分析，圖形化管理。樓內(nèi)內(nèi)網(wǎng)主干 網(wǎng)絡(luò)采用萬兆光纖以太網(wǎng)技術(shù)，核心和接入通過多模萬兆光纖介質(zhì)互連。按照信息點(diǎn)密度的 不同將每 2/3 層信息點(diǎn)集中在一個(gè)樓層內(nèi)形成樓層配線間，每個(gè)配線間設(shè)備直接雙連接到骨 干核心交換。內(nèi)網(wǎng)網(wǎng)絡(luò)終端采用千兆以太網(wǎng)技術(shù)，提供至少 1000M 交換到桌面的接入方式。 各配線間接入層設(shè)備為了減少單點(diǎn)故障和鏈路性能瓶頸的因素，建議萬兆直連到核心。12B2.2.1 內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)市 xx縣機(jī)關(guān)單位內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)如下圖所示：對(duì)于核心交換層和接入層的網(wǎng)絡(luò)設(shè)備功能描述如下：1. 核心層：提供高速的三層交換骨干思科 6509E 旗艦級(jí)萬兆多業(yè)務(wù)智能路由交換平臺(tái) 核心層不實(shí)施影響高速交換性能的 ACL 等功能。 核心層能夠提供很好的多業(yè)務(wù)并發(fā)處理能力。 核心層應(yīng)提供對(duì)網(wǎng)絡(luò)的感知和自愈能力，如能夠根據(jù)設(shè)備狀態(tài)或鏈路質(zhì)量進(jìn)行自愈(IP SLA). 核心層做為數(shù)據(jù)交換中心，除了提供高性能高可靠的平臺(tái)外，還提供集成安全、應(yīng)用加速、語音視頻優(yōu)化等多業(yè)務(wù)處理。2. 接入層：提供 Layer 3 的網(wǎng)絡(luò)接入，思科 3560E 萬兆全三層智能路由交換機(jī) 接入層設(shè)備能根據(jù)實(shí)際使用情況具有邏輯隔離功能，具有相對(duì)獨(dú)立性和擴(kuò)展性； 接入層能夠?qū)崿F(xiàn)對(duì)各種終端的智能識(shí)別； 接入層設(shè)備能夠很好的隔離二、三層攻擊 接入層設(shè)備能夠支持 QoS、組播、限速等業(yè)務(wù)處理能力。 本功能區(qū) VLAN 間的路由. 各功能分區(qū) IP 地址或路由區(qū)域的匯聚. 部署功能區(qū)內(nèi)、功能區(qū)之間的安全訪問策略 如 ACL 等。 能夠隔離來自接入終端的不安全隱患，如 ARP 攻擊、地址盜用等。3. 核心路由：作為廣域網(wǎng)匯聚 思科 7600 萬兆智能路由平臺(tái) 提供各種廣域網(wǎng)接口類型，支持萬兆平臺(tái) 高密度端口接入能力，匯聚各地市單位上聯(lián)鏈路。 集成多種硬件服務(wù)功能，并發(fā)處理各種網(wǎng)絡(luò)服務(wù)。 具有極高的可靠性和應(yīng)用廣泛性。 能夠?qū)崿F(xiàn)對(duì)鏈路狀態(tài)智能識(shí)別，能夠完成自愈管理。 支持各種路由協(xié)議，設(shè)備可靈活擴(kuò)展和升級(jí)。13B2.2.2 設(shè)備選型依據(jù)網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施，應(yīng)保證工作日和重點(diǎn)時(shí)期不間斷運(yùn) 行。整個(gè)網(wǎng)絡(luò)應(yīng)有足夠的冗余，設(shè)備在發(fā)生故障時(shí)能以熱插拔的方式在最短時(shí)間內(nèi)加以修復(fù)。 可靠性還應(yīng)充分考慮網(wǎng)絡(luò)系統(tǒng)的性價(jià)比，使整個(gè)網(wǎng)絡(luò)具有一定的容錯(cuò)能力，減少單點(diǎn)故障。關(guān)鍵設(shè)備如核心和匯聚應(yīng)該具有智能網(wǎng)絡(luò)分析和自愈能力，能夠在自身或網(wǎng)絡(luò)發(fā)生問題 的時(shí)實(shí)現(xiàn)自動(dòng)修復(fù)和保護(hù)能力。網(wǎng)絡(luò)設(shè)備應(yīng)該選用國際知名廠商，同時(shí)要求產(chǎn)品廠家具備短期響應(yīng)的能力，能夠提供專 業(yè)的售后支持服務(wù)，以保證在設(shè)備發(fā)生故障的情況下能夠在最短的時(shí)間內(nèi)為用戶解決問題。 產(chǎn)品的備板、備件也要較為充足，以保證在用戶硬件出現(xiàn)問題時(shí)能夠及時(shí)更換，保護(hù)用戶原 有投資。結(jié)合 xx縣機(jī)關(guān)單位信息化平臺(tái)的建設(shè)思路，網(wǎng)絡(luò)設(shè)備的選擇需要考慮整體方案的完整性和擴(kuò)展 性，思科做為全球網(wǎng)絡(luò)方案的提供商，其產(chǎn)品和解決方案都是業(yè)界最完善和優(yōu)質(zhì)的，其有線 網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、IP 語音通訊、IP 視頻通訊的統(tǒng)一解決方案處于業(yè)界絕對(duì)領(lǐng)先水平，其產(chǎn)品 品質(zhì)、品牌信譽(yù)和產(chǎn)品生命力都是毋庸置疑的。14B2.2.3 各層次設(shè)計(jì)25B2.2.3.1 核心交換層設(shè)計(jì)核心層不僅擔(dān)負(fù)著院內(nèi)部各系統(tǒng)之間的高速數(shù)據(jù)交換，同時(shí)也是整個(gè) xx縣機(jī)關(guān)單位業(yè)務(wù)服務(wù)的 數(shù)據(jù)核心，在進(jìn)行核心層設(shè)計(jì)時(shí)必須強(qiáng)調(diào)大容量的交換性能和高可靠性，同時(shí)也要考慮到數(shù)據(jù)中心的功能要求和業(yè)務(wù)擴(kuò)展能力。因此我們采用雙核心結(jié)構(gòu)構(gòu)建設(shè)市 xx縣機(jī)關(guān)單位網(wǎng)絡(luò)核心層。我們?cè)诤诵膶釉O(shè)計(jì)時(shí)，充分考慮了系統(tǒng)的擴(kuò)展性和成本投入高效性，故我們提出兩種核心架 構(gòu)的解決方案。我們推薦核心交換機(jī)采用兩臺(tái)思科旗艦型高性能交換機(jī) Catalyst 6509，通過萬兆鏈路相 連，組成整個(gè) xx縣機(jī)關(guān)單位內(nèi)網(wǎng)的核心，核心層與匯聚層之間采用雙千兆光纖鏈路，構(gòu)成具有高轉(zhuǎn) 發(fā)能力和高可靠性的網(wǎng)絡(luò)骨干。在核心層選擇思科旗艦型交換產(chǎn)品 6509 除了其高性能和高穩(wěn)定性之外，我們主要是考 慮到部署 6509 交換機(jī)可以將整個(gè)內(nèi)網(wǎng)核心設(shè)計(jì)成一個(gè)統(tǒng)一、高效、智能的業(yè)務(wù)綜合服務(wù)平 臺(tái)和數(shù)據(jù)中心。思科的 6509 交換機(jī)可以提供：1.高密度線速萬兆端口為數(shù)據(jù)中心提供高性能平臺(tái)2.高可用性 軟件系統(tǒng)模塊化、業(yè)務(wù)系統(tǒng)智能感知、自我診斷和自我修復(fù)3.多業(yè)務(wù)處理平臺(tái)可集安全防御、負(fù)載均衡、應(yīng)用加速、業(yè)務(wù)虛擬化等高性能處理模塊為一體，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)提高運(yùn)維效率。4.系統(tǒng)虛擬化核心完全虛擬化成單一邏輯中心，減少由于網(wǎng)絡(luò)設(shè)備變化、配置變化等導(dǎo)致的網(wǎng)絡(luò)恢復(fù)和管理時(shí)間，進(jìn)一步提高系統(tǒng)性能和穩(wěn)定性。核心交換機(jī)對(duì)于整個(gè)網(wǎng)絡(luò)來書是非常重要的，我們利用思科公司的旗艦型核心交換機(jī)領(lǐng) 先的技術(shù)特性VSS (虛擬交換系統(tǒng))技術(shù)，將核心建造成一個(gè)虛擬化高效的平臺(tái)。核心兩臺(tái) 6509 通過 VSS 技術(shù) 形成一個(gè)萬兆核心，對(duì)于用戶管理和接入層設(shè)備完全是一個(gè)邏輯單元，具有一個(gè) IP 管理和 MAC 地址的特點(diǎn)?？梢蕴岣哒w性能和可用性，如可以 減少由于部署二層網(wǎng)關(guān)協(xié)議 VRRP 或 HSRP 進(jìn)行主備切換是的網(wǎng)絡(luò)終端問題等。26B2.2.3.2 服務(wù)器區(qū)設(shè)計(jì)關(guān)鍵業(yè)務(wù)服務(wù)器直接通過兩條千兆鏈路連接兩臺(tái)核心交換機(jī)，這兩條鏈路捆綁，這樣不 但可以充分利用 VSS 的功能，兩條鏈路捆綁，性能加倍且可靠性高，無需服務(wù)器和系統(tǒng)的額外協(xié)議支持。而且直接連接核心交換機(jī)，服務(wù)器可以更高效率和性能的提供服務(wù)，因?yàn)榉?wù)器交換機(jī)的上聯(lián)只有 2 個(gè)或者 4 個(gè)千兆，而這樣，單臺(tái)服務(wù)器就可以有 2 個(gè)千兆的上聯(lián)性能。 在服務(wù)器區(qū)域分為多個(gè)子網(wǎng)，子網(wǎng)的劃分可初步按照業(yè)務(wù)應(yīng)用情況和數(shù)據(jù)庫與其他應(yīng)用服務(wù)器分開相結(jié)合的設(shè)計(jì)來考慮服務(wù)器區(qū)域子網(wǎng)的劃分，劃分子網(wǎng)可以減少廣播風(fēng)暴而且還 可以利用訪問控制列表 ACL 部署相應(yīng)的策略提高服務(wù)器區(qū)域的安全性。27B2.2.3.3 接入層設(shè)計(jì)接入層是網(wǎng)絡(luò)的接入邊界，負(fù)責(zé)將各種終端連接到網(wǎng)絡(luò)中去，同時(shí)需要高速向上連接核 心交換設(shè)備。接入層需要規(guī)范網(wǎng)絡(luò)訪問行為，在網(wǎng)絡(luò)的訪問功能和管理功能中具有重要的作用。 接入交換機(jī)采用思科高性能 3560E 萬兆三層路由交換機(jī)，提供全千兆多層交換接入萬兆上聯(lián)能力的交換機(jī)，支持硬件組播處理，單機(jī)能處理多達(dá) 1000 多個(gè)組播項(xiàng)，對(duì)于未來開展 組播業(yè)務(wù)提供非常高效可靠的平臺(tái)。另外思科 3560E 還完全支持硬件 Ipv6 和 MPLS 的處理 能力，對(duì)未來業(yè)務(wù)增值服務(wù)提供有效保障。通過 3560E 的端口高性能 ASIC 芯片可以將入口 速率限速精度提高到 8kbps，為 QoS 和病毒防治提供了很好的硬件處理能力。做為接入層設(shè)備除了能夠承上啟下提供高性能鏈路樞紐之外，還能夠提供各種業(yè)務(wù)處理 和安全管理功能：高級(jí)安全特性：接入交換機(jī)支持 802.1x、訪問控制列表(ACL)、Secure Shell(SSH)協(xié)議、動(dòng)態(tài) ARP 檢測(cè)(DAI)、源 IP 防護(hù)和專用虛擬 LAN(PVLAN)等安全特性，可增強(qiáng)網(wǎng)絡(luò)中的控制能力和靈活性。通過有選擇地或全部實(shí)施上述特性，網(wǎng)絡(luò)管理員可防止對(duì)于服務(wù)器或應(yīng)用的未 授權(quán)訪問，允許不同的人能以不同的許可權(quán)來使用同一 PC。基于硬件的組播：支持 PIM（密集和疏松模式）、IGMP。高級(jí) QoS：集成的基于第二到四層的 QoS 和流量管理功能，在 32000 個(gè) QoS 策略條 目的基礎(chǔ)上，對(duì)關(guān)鍵任務(wù)和時(shí)間敏感型流量進(jìn)行了分類和優(yōu)先排序。匯聚層交換機(jī)可以利用 基于主機(jī)、網(wǎng)絡(luò)和應(yīng)用信息的入口和出口策略控制器機(jī)制，對(duì)高帶寬流量進(jìn)行整形和速率限制。全面的管理：交換機(jī)為所有端口的配置和控制提供了基于 Web 的管理功能，因而可以集中管理重要網(wǎng)絡(luò)特性，如可用性和響應(yīng)能力等。接入層集成安全特性：在接入層完全杜絕第二層安全問題 由于任何用戶都可以訪問任何以太網(wǎng)端口，而且可能成為潛在的黑客，因此，開放園區(qū)網(wǎng)不能保證網(wǎng)絡(luò)安全性。因?yàn)?OSI 模型允許不同通信層次在相互不了解的情況下配合工作， 所以第二層安全性至關(guān)重要。即使某個(gè)層次遭到攻擊, 網(wǎng)絡(luò)安全特性遭到襲擊，其它層次也 可以不受影響。通信可以照常進(jìn)行，任何用戶都意識(shí)不到其應(yīng)用層信息曾遭到過襲擊。第二層交換環(huán)境一般部署在配線間中，很容易成為安全襲擊目標(biāo)。第二層最常見的安全 威脅之一，也是最難檢測(cè)到的威脅之一，是旨在使網(wǎng)絡(luò)癱瘓，或者盜取密碼等網(wǎng)絡(luò)用戶的敏 感信息的網(wǎng)絡(luò)襲擊。這些襲擊將非法利用正常協(xié)議處理，例如，交換機(jī)通過地址解析協(xié)議（ARPRFC 826）或動(dòng)態(tài)主機(jī)控制協(xié)議（DHCP）服務(wù)器 IP 地址分配來學(xué)習(xí) MAC 地址，執(zhí)行 終端工作站 MAC 地址解析等。常見的第二層安全威脅 隨著互聯(lián)網(wǎng)上基于菜單的黑客工具的流行，發(fā)動(dòng)安全襲擊需要的技能越來越少。最常見、破壞力最大的襲擊包括：MAC 地址泛洪DHCP 服務(wù)器欺騙利用 ARP 發(fā)動(dòng)的“中間人” 襲擊IP 主機(jī)欺騙值得重視的是，雖然使用 IEEE 802.1x 和訪問控制列表等驗(yàn)證和安全特性是網(wǎng)絡(luò)威脅防御策略的重要組成部分，但不能預(yù)防上述第二層安全襲擊，因?yàn)橥ㄟ^驗(yàn)證的用戶仍有可能具 有惡意襲擊傾向，從而容易地發(fā)動(dòng)上述襲擊。利用交換機(jī)集成式安全特性，可以輕松地預(yù)防這些常見的第二層安全威脅。各種威脅和防止網(wǎng)絡(luò)遭受襲擊的安全特性如下：U(1)MAC 地址泛洪MAC 地址指主機(jī)設(shè)備的物理地址。交換機(jī)的正常行為是在地址表中填寫每個(gè)到達(dá)包的源地址和端口。去往未知目標(biāo) MAC 地址的幀由 VLAN 上的每個(gè)端口發(fā)出。這就是交換機(jī)或 橋接器在第二層執(zhí)行轉(zhuǎn)發(fā)、過濾和學(xué)習(xí)機(jī)制的方法。交換機(jī)具有固定的內(nèi)存空間存儲(chǔ) MAC 地址。試圖造成該表泛洪或溢出的襲擊將利用交換機(jī)內(nèi)的在 MAC 地址學(xué)習(xí)功能和轉(zhuǎn)發(fā)行為。這種襲擊將利用這種自然硬件限制，向交換機(jī)發(fā)送海量未知 MAC 地址，讓交換機(jī)學(xué)習(xí)。 但是，一旦達(dá)到了第二層轉(zhuǎn)發(fā)表的極限，包就會(huì)泛洪到 VLAN 的所有端口，使黑客能夠通過 交換網(wǎng)絡(luò)盜取網(wǎng)絡(luò)連接，進(jìn)而破壞網(wǎng)絡(luò)性能。預(yù)防端口安全特性是一種動(dòng)態(tài)特性，可用于限制和識(shí)別允許訪問同一物理端口的站點(diǎn)的MAC 地址。當(dāng)某端口分配了安全 MAC 地址，或者動(dòng)態(tài)學(xué)習(xí)完成之后，端口將禁止轉(zhuǎn)發(fā)該源 地址范圍之外的包。通過端口安全特性限制交換機(jī)端口上允許的 MAC 地址的數(shù)量，有助于 防止網(wǎng)絡(luò)遭受 MAC 地址泛洪襲擊。U(2)DHCP 服務(wù)器欺騙和中間人襲擊網(wǎng)絡(luò)襲擊者通常使用惡意 DHCP 服務(wù)器發(fā)出 IP 主機(jī)地址，并將其作為默認(rèn)網(wǎng)關(guān)，在兩個(gè)端點(diǎn)之間重新轉(zhuǎn)發(fā)正常流量，從而竊取這兩個(gè)端點(diǎn)之間的所有流量。因此，這種襲擊也稱 為中間人襲擊。預(yù)防: DHCP 監(jiān)聽所有第二層端口都可以支持思科已獲專利的 DHCP 監(jiān)聽特性。該特性能夠?yàn)楹戏?DHCP服務(wù)器規(guī)定可信端口，使之接發(fā)這些服務(wù)器的 DHCP 請(qǐng)求和信息。截獲 VLAN 中的所有 DHCP 消息后，交換機(jī)可以作為用戶與合法 DHCP 服務(wù)器之間的小 型安全防火墻。U(3)基于地址解析協(xié)議（ARP）的中間人攻擊 地址解析協(xié)議（ARP）的最基本的功能是允許兩個(gè)站點(diǎn)在 LAN 網(wǎng)段上通信。攻擊者可能會(huì)發(fā)送帶假冒源地址的 ARP 包，希望默認(rèn)網(wǎng)關(guān)或其它主機(jī)能夠承認(rèn)該地址， 并將其保存在 ARP 表中。ARP 協(xié)議不執(zhí)行任何驗(yàn)證或過濾就會(huì)在目標(biāo)主機(jī)中為這些惡意主機(jī) 生成記錄項(xiàng)，從而提高了網(wǎng)絡(luò)易損性。目前，惡意主機(jī)可以在端點(diǎn)毫不知情的情況下竊取兩 個(gè)端點(diǎn)之間的談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽 IP 電話內(nèi)容。預(yù)防: 動(dòng)態(tài) ARP 檢測(cè)這種攻擊可以通過已獲專利的思科安全特性動(dòng)態(tài) ARP 檢測(cè)（DAI）有效預(yù)防，這種方法能夠保證接入交換機(jī)只傳輸“合法”的 ARP 請(qǐng)求和答復(fù)。DAI 能夠截獲交換機(jī)上的每個(gè) ARP 包，檢查 ARP 信息，然后再更新交換機(jī) ARP 高速緩存，或者將其轉(zhuǎn)發(fā)至相應(yīng)的目的地。 U(4)IP主機(jī)欺騙IP 地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個(gè)地址，或者通過程序執(zhí)行地址欺騙。互聯(lián)網(wǎng)蠕蟲可以使用欺騙技術(shù)隱藏攻擊原發(fā)地。預(yù)防: IP 源防護(hù)利用 IP 源防護(hù)特性，攻擊者將無法冒用合法用戶的 IP 地址發(fā)動(dòng)攻擊。該特性只允許轉(zhuǎn)發(fā)有合法源地址的包。28B2.2.3.4 出口路由層設(shè)計(jì)在市 xx縣機(jī)關(guān)單位內(nèi)網(wǎng)廣域網(wǎng)出口位置部署一臺(tái)思科萬兆電信級(jí)多業(yè)務(wù)路由器，該核心路由器 處于網(wǎng)絡(luò)的出口的核心位置，是市檢查院廣域網(wǎng)互聯(lián)平臺(tái)系統(tǒng)業(yè)務(wù)的集中匯聚點(diǎn)，負(fù)責(zé)上聯(lián) 省院下聯(lián)縣級(jí)單位，承擔(dān)及實(shí)現(xiàn)整個(gè)廣域網(wǎng)絡(luò)數(shù)據(jù)的處理與轉(zhuǎn)發(fā)，所以它的可靠性和穩(wěn)定性 是整個(gè)備份網(wǎng)絡(luò)良好運(yùn)行的關(guān)鍵。因此，在選用網(wǎng)絡(luò)核心主干層設(shè)備時(shí)應(yīng)該考慮到設(shè)備的實(shí) 用性、成熟性、先進(jìn)性、可靠性、擴(kuò)展能力以及安全性等方面。我們此次選用了思科電信級(jí) 的核心路由器 7600 做為省高法核心業(yè)務(wù)路由器，該路由器標(biāo)準(zhǔn)配置了 8 個(gè) 1000M 端口用 于連接縣級(jí)下屬單位和與其他網(wǎng)絡(luò)設(shè)備互聯(lián)，該核心路由器除了具有大規(guī)模應(yīng)用案例及良好的用戶口碑之外，還具有以下特點(diǎn)：z提供豐富的業(yè)務(wù)高品質(zhì) QoS 能力，是網(wǎng)絡(luò)業(yè)務(wù)的重要技術(shù)基礎(chǔ)。核心路由器要能實(shí)現(xiàn)智能業(yè)務(wù)感知， 提供先進(jìn)的隊(duì)列調(diào)度算法、SARED 擁塞控制算法，精確保證不同業(yè)務(wù)的帶寬、時(shí)延和抖動(dòng)， 滿足不同用戶、不同業(yè)務(wù)等級(jí)的“區(qū)分服務(wù)”要求。核心路由器對(duì)多種業(yè)務(wù)提供硬件處理能力，具備高性能的業(yè)務(wù)能力，提供全面的 MPLS VPN 業(yè)務(wù)，能作為高性能 P/PE 應(yīng)用，提供高品質(zhì)、安全和多層次的 MPLS VPN 解決方案；提 供高性能組播能力。該設(shè)備支持各種類型廣域網(wǎng)口（POS/CPOS 和 E1），具備硬件處理多業(yè)務(wù)的能力，標(biāo)準(zhǔn) 配置就可提供流量統(tǒng)計(jì)(Netflow)、QoS、MPLS、IPv6、NAT 等專用硬件處理芯片，還可以通 過選配各種安全服務(wù)模塊實(shí)現(xiàn)安全隔離(防火墻、入侵防護(hù)、VPN)、應(yīng)用加速等。z路由處理能力此次市級(jí)節(jié)點(diǎn)核心路由器采用單機(jī)雙引擎、雙電源配置，整機(jī)性能達(dá)到 32Gbps，同時(shí) 建議再配置一個(gè) 24 個(gè) 1000M 光纖三層以太網(wǎng)接口，用于擴(kuò)展連接其他和設(shè)備。同時(shí)整機(jī)具 有萬兆擴(kuò)展能力，未來可僅通過平滑升級(jí)引擎將整機(jī)性能提升至少 20 倍。路由協(xié)議方面完 全支持 RIP、OSPF、BGP、ISIS 等單播路由協(xié)議和 IGMP、PIM、MBGP、MSDP 等多播路由協(xié) 議，支持路由策略以及策略路由。對(duì)與組播和 IPv6 的高級(jí)應(yīng)用實(shí)現(xiàn)完全硬件處理，保證多 種業(yè)務(wù)的綜合處理能力。29B2.2.3.5 子網(wǎng)劃分VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采 用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個(gè) VLAN 組成一 個(gè)邏輯子網(wǎng)，即一個(gè)邏輯廣播域，它可以覆蓋多個(gè)網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò) 用戶加入到一個(gè)邏輯子網(wǎng)中。使用 VLAN 具有以下優(yōu)點(diǎn)： 控制廣播風(fēng)暴和基于鏈路層的攻擊一個(gè) VLAN 就是一個(gè)邏輯廣播域，通過對(duì) VLAN 的創(chuàng)建，隔離了廣播，縮小了廣播范圍， 可以控制廣播風(fēng)暴的產(chǎn)生，并把基于數(shù)據(jù)鏈路層的攻擊限制在所屬 VLAN 中，。提高網(wǎng)絡(luò)整體安全性通過路由訪問列表和 MAC 地址分配等 VLAN 劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。網(wǎng)絡(luò)管理簡(jiǎn)單、直觀 對(duì)于交換式以太網(wǎng)，如果對(duì)某些用戶重新進(jìn)行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進(jìn)行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對(duì)于采用 VLAN 技術(shù)的網(wǎng)絡(luò)來說，一個(gè) VLAN 可以根據(jù)部門職能、對(duì)象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用 戶劃分為一個(gè)邏輯網(wǎng)段。在不改動(dòng)網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子 網(wǎng)之間移動(dòng)。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護(hù)工作的負(fù)擔(dān)，降低了網(wǎng)絡(luò)維護(hù) 費(fèi)用。在一個(gè)交換網(wǎng)絡(luò)中，VLAN 提供了網(wǎng)段和機(jī)構(gòu)的彈性組合機(jī)制。市檢查院 VALN 劃分原則為：數(shù)據(jù)中心和每個(gè)處室分別為一個(gè) VLAN。VLAN 間的訪問規(guī) 則通過接入層交換機(jī)實(shí)現(xiàn)。30B2.2.3.6 路由設(shè)計(jì)對(duì)于規(guī)模較大的網(wǎng)絡(luò)，選擇一個(gè)合適的路由協(xié)議非常重要。路由協(xié)議包括兩類：靜態(tài)路 由協(xié)議和動(dòng)態(tài)路由協(xié)議。市檢查院專網(wǎng)路由協(xié)議的選擇從管理和技術(shù)兩個(gè)方面綜合考慮，路由協(xié)議選擇的基本原 則是：1、管理層次分明，局部的路由變動(dòng)不影響上層路由配置和全局路由配置；2、路由技術(shù)的應(yīng)用盡量簡(jiǎn)單、靈活，以提高路由器的處理效率。 市檢查院專網(wǎng)考慮到其網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)單、穩(wěn)定，線路可靠等因素，市檢查院專網(wǎng)采用靜態(tài)路由協(xié)議，并在適當(dāng)位置進(jìn)行手動(dòng)路由匯總。31B2.2.3.7 網(wǎng)絡(luò)管理設(shè)計(jì)配置一套智能化網(wǎng)絡(luò)管理平臺(tái)，在統(tǒng)一設(shè)備資源和用戶資源管理的平臺(tái)框架的基礎(chǔ)上， 實(shí)現(xiàn)的基礎(chǔ)業(yè)務(wù)管理平臺(tái)，包括基礎(chǔ)網(wǎng)絡(luò)管理和基本接入管理?；A(chǔ)網(wǎng)絡(luò)管理，涵蓋了傳統(tǒng) 網(wǎng)管的主要功能，包括告警管理、性能管理、拓?fù)涔芾淼?。基本接入管理，主要管理用戶?接入準(zhǔn)入和控制。智能網(wǎng)絡(luò)管理平臺(tái)和 ACL、Qos、VLAN 等網(wǎng)絡(luò)資源管理一起構(gòu)成了承載其他業(yè)務(wù)的基礎(chǔ) 平臺(tái)。網(wǎng)絡(luò)管理是網(wǎng)絡(luò)組建中不可缺少的重要組成部分。一個(gè)良好的網(wǎng)絡(luò)管理系統(tǒng)可以幫助用 戶在很大程度上優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、預(yù)防和及時(shí)排除故障，減少網(wǎng)絡(luò)的維護(hù)費(fèi)用。針對(duì)網(wǎng)絡(luò)的具體情況，我們建議采用 CISCO WORKS2000 管理工具集 CiscoWorks2000 是基于 Internet 的網(wǎng)絡(luò)管理工具，它將傳統(tǒng)路由器和交換機(jī)管理的最佳功能與基于 Web 的最 新技術(shù)于一體。既充分利用了現(xiàn)有工具和設(shè)備中內(nèi)置的管理數(shù)據(jù)，也為快速發(fā)展的大型網(wǎng)絡(luò) 提供了新型網(wǎng)絡(luò)管理工具，盡管它是 CISCO 的產(chǎn)品，但卻能與多廠商管理工具結(jié)合使用。思科智能網(wǎng)絡(luò)管理平臺(tái) Cisco Works LMS 的基本資源管理管理特性主要包 括：一、網(wǎng)絡(luò)資源管理-RME要管好任何規(guī)模的網(wǎng)絡(luò)，首先應(yīng)掌握本網(wǎng)絡(luò)系統(tǒng)內(nèi)的各種資源，包括路由器、交換機(jī)等硬件設(shè)備和這些設(shè)備所運(yùn)行的軟件（IOS）和配置文件。這就需要 Resource manager Essentials（RME），它包含在 CiscoWorks2000 的 LMS 工具中。RME 是基于 Web 的網(wǎng)管工具，用于管 理路由器、訪問服務(wù)器和交換機(jī)。RME 的瀏覽器界面允許網(wǎng)管員很容易的收集關(guān)系到網(wǎng)絡(luò) 可用性和可靠性的信息，從而簡(jiǎn)化了網(wǎng)管工作中大量費(fèi)時(shí)的管理任務(wù)。RME 包括了幾個(gè)主 要的應(yīng)用程序：（1）庫存管理（Inventory） 網(wǎng)管員可用此程序收集網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的分布狀況和詳細(xì)的軟、硬件配置清單。RME通過內(nèi) 置的網(wǎng)絡(luò)設(shè)備配置查詢功能，可以定期掃描網(wǎng)絡(luò)中的每臺(tái)Cisco網(wǎng)絡(luò)設(shè)備，讀取其配置信息， 這些配置信息被存儲(chǔ)在一個(gè)中央管理數(shù)據(jù)庫中，有了這個(gè)全網(wǎng)設(shè)備的配置數(shù)據(jù)庫，網(wǎng)管員 就可以準(zhǔn)確了解到網(wǎng)絡(luò)中所有設(shè)備的配置狀況，并及時(shí)發(fā)現(xiàn)配置的變更情況。（2）軟件管理RME中有一個(gè)Software Management管理模塊，能針對(duì)一臺(tái)或多臺(tái)Cisco網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的操作系統(tǒng)升級(jí)。管理員只需簡(jiǎn)單地設(shè)置好需要升級(jí)的操作系統(tǒng)版本和升級(jí)時(shí)間，RME就可以自動(dòng)地幫助管理員對(duì)大批量的Cisco網(wǎng)絡(luò)設(shè)備進(jìn)行IOS升級(jí)，如在升級(jí)過程中出現(xiàn)故障或錯(cuò)誤還可以向管理報(bào)警，這也降低了網(wǎng)管員的工作強(qiáng)度，降低了維護(hù)成本。（3）配置管理 從網(wǎng)絡(luò)設(shè)備中讀取配置文件并歸檔；設(shè)備存儲(chǔ)的配置文件與設(shè)備當(dāng)前運(yùn)行配置文件的比較，自動(dòng)找出差別；可先在網(wǎng)管機(jī)上面編輯配置文件，再將編輯好的配置文件發(fā)送給網(wǎng)絡(luò) 設(shè)備，免去了現(xiàn)場(chǎng)配置的麻煩。（4）變化審計(jì)服務(wù) 可生成針對(duì)設(shè)備變更的記錄報(bào)表，檢查網(wǎng)絡(luò)中所有設(shè)備變化，配置修改、設(shè)備軟件的變化情況，將報(bào)表轉(zhuǎn)存為文本文件輸出。（5）系統(tǒng)日志（syslog）分析將庫存設(shè)備發(fā)送給網(wǎng)管機(jī)CW2000的syslog信息生成報(bào)表，將報(bào)表轉(zhuǎn)存為文本文件輸出。（6）可用性管理 可報(bào)告設(shè)備的可達(dá)性、接口狀態(tài)、和反應(yīng)時(shí)間等信息，并可重點(diǎn)監(jiān)視關(guān)鍵設(shè)備可用性。二、網(wǎng)絡(luò)資源監(jiān)控-CiscoViewCiscoV iew 是一個(gè)基于圖形化的設(shè)備管理應(yīng)用軟件，它包含在 LMS 工具中，為 Cisco 的 交換機(jī)、路由器提供動(dòng)態(tài)的狀態(tài)、統(tǒng)計(jì)以及全面的配置信息。CiscoV iew 以圖形方式顯示 Cisco 設(shè)備的物理視圖。而且，這種基于 SNMP 的網(wǎng)絡(luò)管理工具還提供針對(duì)單個(gè)端口或整個(gè)設(shè)備的 監(jiān)控功能和基本的故障診斷功能。由于 CiscoV iew 將 CISCO 設(shè)備以圖形化方式顯示，網(wǎng)管員 可更直觀的了解網(wǎng)絡(luò)設(shè)備產(chǎn)生的大量管理數(shù)據(jù)，諸如設(shè)備性能、信息流、使用率、收發(fā)的幀、 錯(cuò)誤和其它設(shè)備狀態(tài)指示等關(guān)鍵信息與數(shù)據(jù)，這些都可以是圖形化實(shí)時(shí)監(jiān)控與跟蹤；能夠進(jìn) 行配置更改，如陷阱、IP 路由、VLAN 和橋接配置；CiscoV iew 中有閾值管理程序，使網(wǎng)管員 能夠在預(yù)定義情況發(fā)生時(shí)定義告警條件和監(jiān)控程序，這樣就降低了管理開銷并縮短了排除故 障的時(shí)間。三、網(wǎng)絡(luò)性能監(jiān)視-IPMIPM（InternetWork Performance Moniter）可監(jiān)視并分析網(wǎng)絡(luò)響應(yīng)時(shí)間和可用性。網(wǎng)管員應(yīng)及時(shí)掌握網(wǎng)絡(luò)的健康狀況和使用情況，通過 IPM，網(wǎng)管員不必坐等發(fā)生故障后再去救火， 而可以主動(dòng)解決網(wǎng)絡(luò)響應(yīng)時(shí)間的利用率上的問題，給用戶提供實(shí)時(shí)和歷史數(shù)據(jù)的報(bào)告。利用 IPM，可以使 CiscoWork2000 管理從 VPN 到廣域網(wǎng)的所有網(wǎng)絡(luò)環(huán)境；IPM 采用基于 JAVA 的技 術(shù)，提供 Web 管理接口，管理人員和普通用戶都可以通過 Web 瀏覽器查看響應(yīng)時(shí)間和網(wǎng)絡(luò) 可用性的各種信息；IPM 可以輸出日?qǐng)?bào)、周報(bào)、月報(bào)，IPM 支持多個(gè)用戶同時(shí)對(duì) IPM 服務(wù)器進(jìn)行訪問。I n t e rn e t w o rk P e r f o r m a n c eM o n i t o r 生 成 的 網(wǎng) 絡(luò) 延 時(shí) 統(tǒng) 計(jì) 報(bào) 告 25 四、網(wǎng)絡(luò)故障管理-DFM當(dāng)網(wǎng)中出現(xiàn)影響業(yè)務(wù)正常運(yùn)行的故障時(shí)，DFM 能及時(shí)監(jiān)測(cè)到故障的發(fā)生，并根據(jù)故障對(duì)網(wǎng)絡(luò)業(yè)務(wù)的影響程度向有關(guān)的網(wǎng)管中心發(fā)出實(shí)時(shí)的故障報(bào)警。網(wǎng)絡(luò)管理員在收到報(bào)警后應(yīng) 能迅速定位和分析出現(xiàn)故障的準(zhǔn)確位置，并可根據(jù)故障管理系統(tǒng)的指引找出故障的解決方 案。五、園區(qū)網(wǎng)管理- Campus ManagerCampus Manager(CM)的主要功能是：建立局域網(wǎng)的二層拓?fù)鋱D(CDP 自動(dòng)拓?fù)浒l(fā)現(xiàn)要嚴(yán)格限定在局域網(wǎng)內(nèi))； VLAN 管理：在實(shí)際環(huán)境中通過 VLAN 管理功能實(shí)現(xiàn)局域網(wǎng)的 VLAN 管理。 路徑分析管理：通過此功能分析兩個(gè) IP 節(jié)點(diǎn)之間 IP 流量穿越的第二層路徑和第三層路徑，將顯示結(jié)果與實(shí)際狀況加以比較。 用戶跟蹤管理：通過此功能顯示所有的終端節(jié)點(diǎn)（即所有具有 MAC 地址并接入網(wǎng)絡(luò)中的 PC、服務(wù)器、打印機(jī)、IP 電話等），在顯示結(jié)果表格中通過 MAC 地址、IP 地址、VLAN 等 信息尋找主機(jī)。一般來說，網(wǎng)絡(luò)管理提供的是一種服務(wù)，它通過一系列的工具、程序和設(shè)備，幫助 管理人員監(jiān)視和維護(hù)網(wǎng)絡(luò)運(yùn)行，以及為網(wǎng)絡(luò)系統(tǒng)的規(guī)劃提供網(wǎng)絡(luò)層和應(yīng)用層的可靠數(shù)據(jù)。在 日常的網(wǎng)絡(luò)管理過程當(dāng)中，經(jīng)常包含下面三個(gè)過程：安裝配置和更改配置、網(wǎng)絡(luò)監(jiān)視和故障 診斷、網(wǎng)絡(luò)設(shè)計(jì)和優(yōu)化。網(wǎng)絡(luò)管理提供的不只是一個(gè)網(wǎng)絡(luò)管理平臺(tái)，而是基于全線網(wǎng)絡(luò)設(shè)備的一系列系統(tǒng)管 理軟件。網(wǎng)絡(luò)管理系統(tǒng)必須實(shí)現(xiàn)比如設(shè)備面板監(jiān)控、配置管理、設(shè)備軟件升級(jí)管理、QoS 服務(wù)質(zhì)量管理等，以及許多現(xiàn)代網(wǎng)絡(luò)中必備的技術(shù)管理，如 VLAN 管理、訪問控制管理等功 能。為用戶提供強(qiáng)大的網(wǎng)絡(luò)管理、分析和規(guī)劃手段。5B2.3 外網(wǎng)網(wǎng)絡(luò)方案設(shè)計(jì)外部網(wǎng)絡(luò)連接主要有 Internet 連接專線、1 個(gè)外部服務(wù)器網(wǎng)絡(luò)。所有網(wǎng)絡(luò)使用防火墻連 接到內(nèi)部核心交換。防火墻上分有內(nèi)部、DMZ、外部、等多個(gè)區(qū)域。外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)本著經(jīng)濟(jì)、簡(jiǎn)單、安全、邏輯性、擴(kuò)展性強(qiáng)的原則進(jìn)行設(shè)計(jì)。網(wǎng)絡(luò)核心交 換機(jī)采用單臺(tái)設(shè)計(jì)，采用一臺(tái)思科 4500E 做為外網(wǎng)交換核心，思科 4500E 具有較好的擴(kuò)展性 以及高穩(wěn)定性、高性能特點(diǎn)。采用了 CenterFlex 技術(shù)的 Cisco Catalyst 4500 系列交換機(jī)能 夠通過安全、靈活、不間斷的通信，提供可以擴(kuò)展的無阻礙 L2L4 層交換，從而保障關(guān)鍵業(yè) 務(wù)應(yīng)用的永續(xù)性。由于 Cisco Catalyst 4500E 能夠提供先進(jìn)的動(dòng)態(tài)服務(wù)質(zhì)量（QoS）功能和配 置靈活性，因而能提供可以預(yù)測(cè)和擴(kuò)展的高性能。硬件和軟件中的集成式永續(xù)特性有助于提 高網(wǎng)絡(luò)可用性，以提高勞動(dòng)力的生產(chǎn)率和。Cisco Catalyst 4500E 創(chuàng)新、靈活的集中式系統(tǒng)設(shè) 計(jì)有助于順利遷移到線速 IPv6 和萬兆以太網(wǎng)。 Cisco Catalyst 4500E 的靈活性、可擴(kuò)展性以 及向前和向后兼容性，延長(zhǎng)了部署周期，提供了卓越的投資保護(hù)，并降低了總體擁有成本。 性能：Cisco Catalyst 4500E 提供的高級(jí)交換解決方案不但能隨著端口的增加擴(kuò)充帶寬，還采用了業(yè) 內(nèi)領(lǐng)先的應(yīng)用專用集成電路（ASIC）技術(shù)，能夠提供線速 L2-L3 10/100 或千兆交換能力。由于 L2 交換提供模塊 化管理引擎靈 活性和全面的 線路卡兼容性 ，因而能將性 能擴(kuò)展到 280Gbps 和225Mpps。 為關(guān)鍵業(yè)務(wù)應(yīng)用提供帶寬保護(hù)：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎 時(shí)，將不會(huì)降低轉(zhuǎn)發(fā)性能，Cisco Catalyst 4500 系列平臺(tái)將繼續(xù)以完全線速轉(zhuǎn)發(fā)。 端口密度：4506E 單機(jī)箱最多能夠滿足 244 個(gè)以太網(wǎng)端口的網(wǎng)絡(luò)組件連接要求。Cisco Catalyst 4500 系列支持萬兆以太網(wǎng)上行鏈路端口，支持高密度千兆以太網(wǎng)到桌面部署和交換機(jī)到交換機(jī)應(yīng)用。 Cisco Catalyst 4500 系列的可熱插拔、易于使用的模塊化交換解決方案不但能降低復(fù)雜性，還能容 易地支持當(dāng)今網(wǎng)絡(luò)中不斷變化的桌面環(huán)境。 功能上透明的線路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系統(tǒng)就可以容易地將所有 系統(tǒng)端口升級(jí)到更高交換功能。與遷移過程中需要執(zhí)行全面設(shè)備升級(jí)的傳統(tǒng)交換產(chǎn)品不同，該系統(tǒng) 不需要更換老線路卡和布線就可以增強(qiáng)所有系統(tǒng)端口的功能。這種架構(gòu)優(yōu)勢(shì)延長(zhǎng)了 Cisco Catalyst4500 系列線路卡的有用部署時(shí)間。 高級(jí)安全性：在 Cisco Catalyst 4500 系列上支持多種安全特性，例如 802.1x、訪問控制列 s 表（ACL）、安全 Shell（SSH）協(xié)議、單播 RPF（uRPF）、端口安全性、動(dòng)態(tài) ARP 檢測(cè)（DAI）、IP Source Guard、控制平面限速、802.1x 不可訪問認(rèn)證回避、802.1x 單向控制端口、MAC 認(rèn)證回 避、多域認(rèn)證和專用虛擬局域網(wǎng)（PVLAN），以便增強(qiáng)網(wǎng)絡(luò)控制和靈活性。如果有選擇地或者全部 采用這些特性，網(wǎng)絡(luò)管理員不但能防止非法訪問服務(wù)器或應(yīng)用，讓不同的人用不同的權(quán)限使用同一臺(tái) PC，還能防止網(wǎng)絡(luò)入侵者通過盜竊用戶名和密碼訪問交換機(jī)，或者防止出現(xiàn)有意或意外廣播風(fēng) 暴。 基于硬件的組播：獨(dú)立于協(xié)議的組播（PIM）、密集模式和稀疏模式、互聯(lián)網(wǎng)小組管理協(xié)議（IGMP）、 組播偵聽器識(shí)別（MLD）偵聽和思科組管理協(xié)議支持基于標(biāo)準(zhǔn)的經(jīng)過思科技術(shù)增強(qiáng)的高效多媒體網(wǎng) 絡(luò)，而且不會(huì)降低性能。 可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 產(chǎn)品線的支持，提供的創(chuàng)新工具能夠集中管理主要網(wǎng)絡(luò)特性，例如可用性、響應(yīng)能力、永續(xù)性和安全性，以便建立智能交換基礎(chǔ)設(shè)施。通用 模塊化 QoS 命令行界面（CLI）不但能簡(jiǎn)化策略流量圖的創(chuàng)建，還能為大、小型 Cisco Catalyst 交換機(jī)提供一致的界面。網(wǎng)絡(luò)運(yùn)作可以通過基于 Web、GUI 和 CLI 的靈活管理方式得到增強(qiáng)。最重要 的是，每臺(tái) Cisco Catalyst 4500 系列交換機(jī)都有思科服務(wù)和支持解決方案作后盾。 千兆到桌面：Cisco Catalyst 4500 系列已經(jīng)提供了很多 1000Mbps 桌面和服務(wù)器交換解決方 案。利用 為 Cisco Catalyst 4500 系列開發(fā)的 48 端口和 24 端口三速 自 適應(yīng)、自 協(xié) 商10/100/1000BASE-T 線路卡，千兆解決方案的范圍很容易擴(kuò)展到桌面。三速 48 端口和 24 端口模塊，再加上自適應(yīng)技術(shù)，能夠提供 局域網(wǎng) 投資保護(hù)，因?yàn)樵谖磥?，快速以太網(wǎng)桌面無需更換線路 卡就能遷移到千兆以太網(wǎng)。考慮到外網(wǎng)數(shù)據(jù)流量走向全部是由桌面終端到互聯(lián)網(wǎng)出口的訪問特點(diǎn)，所以此次外網(wǎng)結(jié) 構(gòu)采用千兆光纖骨干(接入核心)百兆桌面接入的方式，考慮到外網(wǎng)每個(gè)配線間信息點(diǎn)較 少，接入交換機(jī)可采用級(jí)聯(lián)方式連接中心機(jī)房。如下圖所示：公網(wǎng)出口能夠提供獨(dú)立的安全防護(hù)邊界，通過一臺(tái)思科統(tǒng)一安全平臺(tái) ASA 5520 提供綜 合安全防護(hù)，在提供地址翻譯、防火墻安全隔離的功能外，還可以提供 IPSEC VPN 和 SSLVPN 公網(wǎng)訪問接入功能。另外再在防火墻隔離出 DMZ 區(qū)連接外網(wǎng)應(yīng)用服務(wù)器，實(shí)現(xiàn)內(nèi)外訪問的 安全區(qū)域劃分。同時(shí)為將網(wǎng)絡(luò)可能存在的風(fēng)險(xiǎn)隔離到最小的區(qū)域建議在 ASA5520 上增配安 全網(wǎng)關(guān)模塊實(shí)現(xiàn)對(duì)病毒、垃圾郵件攻擊的防護(hù)。在外網(wǎng)接入層設(shè)備選型上，考慮到必須具有足夠的端口密度，同時(shí)還要有一定的智能訪問控制能力，在整個(gè)網(wǎng)絡(luò)安全體系中構(gòu)建設(shè)第一道安全屏障。我們建議采用思科 Catalyst2918 系列交換機(jī)，其采用簡(jiǎn)體中文的設(shè)備面板和圖形化界面，以特優(yōu)的性價(jià)比，為級(jí)配線 間提供桌面快速以太網(wǎng)和千兆上行網(wǎng)絡(luò)連接。Cisco Catalyst 2918 系列通過提供標(biāo)準(zhǔn)安全策略、服務(wù)質(zhì)量(QoS)和可用性功能，降低了網(wǎng)絡(luò)總體擁有成本。1. 安裝和配置中文快速設(shè)置Smartports 和 Smartports AdvisorDHCP AutoInstall (IP 地址，配置文件，IOS 鏡像)配置更換，能回退配置更改使用思科發(fā)現(xiàn)協(xié)議，發(fā)現(xiàn)鄰近設(shè)備通過 Telnet 和控制臺(tái)接入用戶熟悉的 Cisco IOS 命令行界面Cisco Smartports.Cisco CatalvstCisco Smart.EQoS.Cisco CaIystWeb-HTML2.2918物理層面的保護(hù)電纜破損或卷曲時(shí)域反射計(jì) (TDR)沿電纜檢測(cè)故障發(fā)生點(diǎn)。這是第一道防線。電纜只能成功單向傳輸單向鏈路檢測(cè) (UDLD