河北江州市政務(wù)網(wǎng)方案設(shè)計(jì)文檔

河北省江州市 政務(wù)網(wǎng)設(shè)計(jì) 網(wǎng)絡(luò)設(shè)計(jì)投標(biāo)書 設(shè)計(jì)院校: 黃岡師范學(xué)院 設(shè)計(jì)小組: 第五小組 小組成員：章波 程浩 衛(wèi)露楠 張思琴 彭四婷 方案目錄v 第一章概述1.1 項(xiàng)目背景1.2 項(xiàng)目范圍1.3 項(xiàng)目目標(biāo)1.4 項(xiàng)目設(shè)計(jì)要求 1.5 要求完成的主要內(nèi)容v 第二章用戶需求 2.1. 技術(shù)目標(biāo)2.2用戶需求的基本情況2.3. 設(shè)計(jì)原則2.4. 信息點(diǎn)統(tǒng)計(jì)表v 第三章 綜合布線設(shè)計(jì)3.1. 綜合布線系統(tǒng)設(shè)計(jì)圖 3.2. 網(wǎng)絡(luò)整體分布示意圖 3.3. 工作區(qū)子系統(tǒng)設(shè)計(jì)介紹 3.4. 水平區(qū)子系統(tǒng)設(shè)計(jì)介紹 3.5. 垂直主干線子系統(tǒng)設(shè)計(jì)介紹3.6. 設(shè)備間子系統(tǒng)設(shè)計(jì)介紹3.7. 綜合布線系統(tǒng)的安裝與施工指南3.8. 產(chǎn)品選型說明v 第四章網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì) 4.1. 拓?fù)浣Y(jié)構(gòu)圖 4.2. 設(shè)計(jì)說明 4.3. 主要設(shè)備選型說明v 第五章VLAN、IP規(guī)劃 5.1. VLAN、IP技術(shù)介紹 5.2. VLAN、IP劃分方案（VLSM/CIDR）v 第六章網(wǎng)絡(luò)管理與安全方案 6.1. 網(wǎng)絡(luò)管理方案 6.2. 網(wǎng)絡(luò)管理規(guī)劃 6.3. 網(wǎng)管信息四要素 6.4. 網(wǎng)絡(luò)管理技術(shù) 6.5. 網(wǎng)絡(luò)安全方案 v 第七章 項(xiàng)目預(yù)算7.1. 材料清單7.2. 設(shè)備清單7.3. 預(yù)算總計(jì) 第一章 概述1.1項(xiàng)目背景為了提高政府內(nèi)部工作效率，加速信息化辦公，河北省江州市決定建設(shè)一個(gè)覆蓋全市6個(gè)區(qū)縣(滄縣、青縣、景縣、丘縣、雄縣、易縣)的局域網(wǎng)。基本情況如下:1. 市委機(jī)要局機(jī)房作為整個(gè)網(wǎng)絡(luò)的中心機(jī)房，為了保證網(wǎng)絡(luò)的安全和保密性從市到區(qū)縣均采用電信提供的專線連接。2. 其中市到6個(gè)區(qū)縣都是電信專線E1線路。3. 市級(jí)用戶包含市委市政府兩棟大樓里的所有用戶。原來的網(wǎng)絡(luò)為大家上互聯(lián)網(wǎng)用的，為了網(wǎng)絡(luò)安全，本次局域網(wǎng)內(nèi)網(wǎng)系統(tǒng)，全部新建。1號(hào)辦公大樓有6層，樓層高為3米，樓長(zhǎng)度為60米，每層用戶數(shù)量為在75個(gè)信息點(diǎn)，其中網(wǎng)絡(luò)中心設(shè)在3層中間的房間。2號(hào)辦公大樓為5層，樓層高為3米，樓長(zhǎng)度為70米，每層用戶數(shù)量為45個(gè)信息點(diǎn)。4. 縣級(jí)用戶包含縣委、縣政府兩棟樓。每棟樓有4層，每層樓用戶數(shù)量大概在20人左右。1.2項(xiàng)目范圍江州市以及覆蓋全市6個(gè)區(qū)縣(滄縣、青縣、景縣、丘縣、雄縣、易縣)。市級(jí)用戶包含市委市政府兩棟大樓里的所有用戶。原來的網(wǎng)絡(luò)為大家上互聯(lián)網(wǎng)用的，為了網(wǎng)絡(luò)安全，本次局域網(wǎng)內(nèi)網(wǎng)系統(tǒng)，全部新建。1.3項(xiàng)目目標(biāo)保證網(wǎng)絡(luò)的安全和保密性，實(shí)現(xiàn)市政府到各個(gè)區(qū)縣的安全通訊。1.4. 項(xiàng)目設(shè)計(jì)要求v 1、要求設(shè)計(jì)市委機(jī)要局辦公1號(hào)大樓的綜合布線示意圖和網(wǎng)絡(luò)整體分布示意圖、光纜選材及配件選用等.v 2、畫出網(wǎng)絡(luò)綜合設(shè)計(jì)拓?fù)浣Y(jié)構(gòu)圖，并標(biāo)明設(shè)備數(shù)量及所選設(shè)備的基本規(guī)格。v 3、針對(duì)該案例做出解決方案，方案中必須包括：設(shè)計(jì)原則、設(shè)計(jì)思路、信息點(diǎn)統(tǒng)計(jì)表、需求分析、綜合布線設(shè)計(jì)、網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)、項(xiàng)目實(shí)施計(jì)劃、售后服務(wù)承諾等內(nèi)容，總體設(shè)計(jì)內(nèi)容不得超過30頁（A4幅面）。v 4、做出IP地址規(guī)劃說明，VLAN劃分說明v 5、要求根據(jù)項(xiàng)目需求做出設(shè)備配置清單（包含綜合布線設(shè)備清單和網(wǎng)絡(luò)平臺(tái)配置清單，具體選材見附件的可選設(shè)備材料單）。 1.5 要求完成主要內(nèi)容：1、綜合布線示意圖2、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖3、方案設(shè)計(jì)的思路4、項(xiàng)目的實(shí)施計(jì)劃5、IP地址規(guī)劃說明6、V-LAN劃分說明7、整體方案的設(shè)計(jì)8、設(shè)備配置清單 第二章用戶需求2.1. 技術(shù)目標(biāo)v 網(wǎng)絡(luò)隔離：v 充分利用交換機(jī)的交換路由功能，根據(jù)業(yè)務(wù)管理需要?jiǎng)澐諺LAN；v 防火墻技術(shù)；v 虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)；v 病毒防治技術(shù)v 主要運(yùn)用內(nèi)網(wǎng)（局域網(wǎng)）技術(shù)。 2.2用戶需求的基本情況。（1）市委機(jī)要局機(jī)房作為整個(gè)網(wǎng)絡(luò)的中心機(jī)房，為了保證網(wǎng)絡(luò)的安全和保密性從市到區(qū)縣均采用電信提供的專線連接。（2）其中市到6個(gè)區(qū)縣都是電信專線E1線路。（3）市級(jí)用戶包含市委市政府兩棟大樓里的所有用戶。原來的網(wǎng)絡(luò)為大家上互聯(lián)網(wǎng)用的，為了網(wǎng)絡(luò)安全，本次局域網(wǎng)內(nèi)網(wǎng)系統(tǒng)，全部新建。（4）1號(hào)辦公大樓有6層，樓層高為3米，樓長(zhǎng)度為60米，每層用戶數(shù)量為在75個(gè)信息點(diǎn)，其中網(wǎng)絡(luò)中心設(shè)在3層中間的房間。（5）2號(hào)辦公大樓為5層，樓層高為3米，樓長(zhǎng)度為70米，每層用戶數(shù)量為45個(gè)信息點(diǎn)?？h級(jí)用戶包含縣委、縣政府兩棟樓。每棟樓有4層，每層樓用戶數(shù)量大概在20人左右。 2.3. 設(shè)計(jì)原則v 安全保密性-系統(tǒng)提供必要的安全保護(hù)手段，防止由于操作人員的失誤以及系統(tǒng)的意外故障而造成數(shù)據(jù)丟失或破壞；同時(shí)能防止系統(tǒng)外部的侵入和操作人員的非法操作 ,保證網(wǎng)絡(luò)的安全和保密性，實(shí)現(xiàn)市政府到各個(gè)區(qū)縣的安全通訊。v 可擴(kuò)展性-考慮到今后業(yè)務(wù)的發(fā)展需要，系統(tǒng)可以隨時(shí)進(jìn)行升級(jí)擴(kuò)展，可將新技術(shù)應(yīng)用于原有設(shè)備上，不需要丟棄原有設(shè)備造成浪費(fèi)。v 可維護(hù)性-網(wǎng)絡(luò)系統(tǒng)便于管理和維護(hù)，可隨時(shí)對(duì)系統(tǒng)進(jìn)行維護(hù)和檢測(cè)，以確保網(wǎng)絡(luò)系統(tǒng)的安全性。v 靈活性-系統(tǒng)結(jié)構(gòu)必須靈活，便于日后需要對(duì)網(wǎng)絡(luò)進(jìn)行調(diào)整時(shí)可隨時(shí)滿足要求，而不必重新大幅度更改。v 可靠性-系統(tǒng)具備網(wǎng)絡(luò)診斷、測(cè)試和在線故障恢復(fù)能力，關(guān)鍵設(shè)備、線路能做到實(shí)時(shí)備份和自動(dòng)故障切換，保證網(wǎng)絡(luò)時(shí)時(shí)都正常工作。v 高性價(jià)比性-一次性投資，永久受益，用最少的投資獲取最大的收益。2.4. 信息點(diǎn)統(tǒng)計(jì)表 市縣樓棟 信息點(diǎn)數(shù)（個(gè)）江州市 1號(hào)樓450 2號(hào)樓 225 滄縣 縣委樓 80 縣政府樓 80 青縣 縣委樓80縣政府樓80 景縣縣委樓80縣政府樓80 丘縣縣委樓80縣政府樓80 雄縣縣委樓80縣政府樓80 易縣縣委樓80縣政府樓80 總計(jì)1635 第三章 綜合布線設(shè)計(jì)3.1. 綜合布線系統(tǒng)設(shè)計(jì)圖 采用綜合布線方案概述（含綜合布線系統(tǒng)結(jié)構(gòu)圖）設(shè)計(jì)好市委機(jī)要局機(jī)房的綜合布線：市委市政府有兩棟大樓（1、2號(hào)）其中中心設(shè)備放在1號(hào)樓的三層中間的房間位置。根據(jù)信息點(diǎn)的數(shù)目，每?jī)蓪訕窃O(shè)置一個(gè)管理子系統(tǒng)。設(shè)計(jì)好各個(gè)區(qū)縣的綜合布線：縣政府各有兩棟樓（1、2號(hào)），其中中心設(shè)備放在1 號(hào)樓的一層。各個(gè)樓的管理子系統(tǒng)都設(shè)置在一層，考慮到各個(gè)縣區(qū)的信息點(diǎn)的數(shù)目，各個(gè)樓只設(shè)置一個(gè)管理子系統(tǒng)，且放在一樓。設(shè)計(jì)市到縣的綜合布線：電信專線E1線路，構(gòu)成建筑群子系統(tǒng)。3.2 網(wǎng)絡(luò)整體分布示意圖 區(qū)縣大樓綜合布線圖3.3 工作區(qū)子系統(tǒng)設(shè)計(jì)介紹工作子系統(tǒng)由用戶終端設(shè)備連接至信息插座的器件組成，它包括裝配軟線，連接器和連接所需的擴(kuò)展軟線，信息插座由墻上，地上，桌上，軟基型多種，標(biāo)準(zhǔn)有RJ45/RJ11單，雙，多孔等各種型號(hào)。這里我們采用超五類信息模塊，單口信息面板設(shè)計(jì)，安裝方式采用暗裝底盒固定。3.4 水平區(qū)子系統(tǒng)設(shè)計(jì)介紹水平電為超5類UTP雙絞線，數(shù)據(jù)主干線纜為6芯室內(nèi)多模光纜。3.5 垂直主干線子系統(tǒng)設(shè)計(jì)介紹主干線子系統(tǒng)提供建筑物的主干電纜的路由，是綜合布線的神經(jīng)中樞，實(shí)現(xiàn)主配線架和中間配線架的連接。我們采用多模光纖作為主干傳輸介質(zhì)。3.6 設(shè)備間子系統(tǒng)設(shè)計(jì)介紹設(shè)備間子系統(tǒng)把中繼線交叉處和布線交叉連接處鏈接到應(yīng)用系統(tǒng)設(shè)備上，由設(shè)備室的電纜及連接器和相關(guān)支撐硬件組成。把公用系統(tǒng)設(shè)備的各種不同設(shè)備連接起來。市政府1號(hào)樓設(shè)計(jì)三個(gè)設(shè)備間子系統(tǒng)，分別分布在一樓、三樓和五樓，其中三樓同時(shí)作為設(shè)備中心。3.7 綜合布線系統(tǒng)的安裝與施工指南按照綜合布線圖，將施工交付給工程人員，注意施工過程中的問題；網(wǎng)線離信息點(diǎn)的距離至少2m；線纜應(yīng)盡量避免電子等干擾；應(yīng)保證到所有的信息出口的距離小于90米；在一個(gè)布線鏈路中，不應(yīng)混用標(biāo)稱特性阻抗不同的電纜，也不能混用光纖芯徑不同的光纖；電纜彎曲半徑至少是電纜直徑的4倍；布線遵循整潔，美觀等標(biāo)準(zhǔn)。3.8 產(chǎn)品選型說明我們所選的產(chǎn)品主要是根據(jù)需求，合理的選擇產(chǎn)品。主要體現(xiàn)了合理性、實(shí)時(shí)性、實(shí)用性，舉要較高的性價(jià)比。第四章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)4.1 拓?fù)浣Y(jié)構(gòu)圖 4.2 設(shè)計(jì)說明如上拓?fù)浣Y(jié)構(gòu)圖中，用入侵檢測(cè)系統(tǒng)IDS連接方式連接內(nèi)網(wǎng)和服務(wù)器，其中市區(qū)服務(wù)器，防火墻，集線器，路由器之間都是用超五類雙絞線連接，核心交換機(jī)和匯聚層交換機(jī)之間用多模光纖連接，為防止網(wǎng)絡(luò)故障，添加一個(gè)備用的核心交換機(jī)以提高網(wǎng)絡(luò)的連通性和可靠性。市區(qū)路由器接到電信專線E1線路連至六個(gè)縣的路由器，按用戶要求，縣每棟樓配置一個(gè)相應(yīng)的匯聚層交換機(jī)，由于用戶數(shù)不多，為充分利用資源，可將同縣中1棟樓的匯聚層交換機(jī)用多模光纖連接到另一棟樓的匯聚層交換機(jī)上使之充當(dāng)核心交換機(jī)，匯聚層交換機(jī)與各樓棟接入層交換機(jī)之間用超五類雙絞線連接，然后分別在不同的樓層中劃分不用的Vlan便于更好地安全地管理，其它縣的網(wǎng)絡(luò)結(jié)構(gòu)類似。4.3 主要設(shè)備選型說明（交換機(jī)、路由器、防火墻、入侵檢測(cè)、服務(wù)器等）4.3.1 交換機(jī)：匯聚層交換機(jī)背板帶寬盡量大，端口數(shù)盡量大于6即可：匯聚層交換機(jī)背板帶寬量大，端口盡量多；接入層交換機(jī)接口要多.4.3.2 路由器：默認(rèn)網(wǎng)關(guān)負(fù)責(zé)整個(gè)網(wǎng)絡(luò)和Internet的接口，因此要求吞吐量和幾口帶寬在1000MB以上，端口數(shù)不要求很多，滿足需要即可；每個(gè)縣的路由器要求不如默認(rèn)網(wǎng)關(guān)這么嚴(yán)格，選擇普通的路由器即可.4.3.3 防火墻：防火墻的整個(gè)局域網(wǎng)的基本安全措施，可以防御一些基本的網(wǎng)絡(luò)入侵。4.3.4 入侵檢測(cè)：政府部門要求信息保密性比較強(qiáng)，入侵檢測(cè)是必不可少的。4.3.5 服務(wù)器：政府的服務(wù)器要求沒有商業(yè)上的要求那么高，一般只是一些簡(jiǎn)單的Web、FTP服務(wù)，用兩臺(tái)服務(wù)器來提供Web、FTP、DNS、WINS、DHCP即可。第五章 VLAN、IP規(guī)劃5.1 VLAN、IP技術(shù)介紹虛擬局域網(wǎng)VLAN（Virtual Local Area Network）又稱虛擬網(wǎng)，從網(wǎng)絡(luò)管理上被定義為一個(gè)位置無關(guān)的局域網(wǎng)廣播域。VLAN技術(shù)是隨著交換技術(shù)的出現(xiàn)而產(chǎn)生的，在一個(gè)校園網(wǎng)內(nèi)劃分若干虛擬子網(wǎng)有以下好處： 1隔離廣播。劃分虛擬子網(wǎng)后，所有廣播將局限在本VLAN子網(wǎng)內(nèi)，從而有效的提高了網(wǎng)絡(luò)整體的有效帶寬，隔絕了網(wǎng)絡(luò)的廣播風(fēng)暴。 2方便的工作組劃分和管理。劃分虛網(wǎng)后，對(duì)工作組的劃分不再局限于他們的物理位置，而可根據(jù)他們的功能進(jìn)行劃分，從而實(shí)現(xiàn)網(wǎng)絡(luò)物理結(jié)構(gòu)和虛擬子網(wǎng)的無關(guān)性。 3增強(qiáng)網(wǎng)絡(luò)安全性。由于各VLAN子網(wǎng)在邏輯上的獨(dú)立性，可對(duì)各虛網(wǎng)按實(shí)際情況分別定義安全策略，有效的避免非法入侵，提高各虛網(wǎng)的安全性。 在第三層交換機(jī)面世之前，交換機(jī)所提供的VLAN劃分方式只有兩種。第一是基于端口。即提供把某個(gè)或某幾個(gè)端口上的機(jī)器劃分為一個(gè)VLAN的方法，這和物理網(wǎng)段較為類似，無法實(shí)現(xiàn)位置無關(guān)的虛擬網(wǎng)配置。第二是基于MAC地址的。即將子網(wǎng)以MAC地址來劃分，這種策略實(shí)現(xiàn)了位置無關(guān)的虛擬網(wǎng)。ip地址管理確定我們的地址需要 選擇正確的掩碼。獲得足夠的I P地址5.2 VLAN、IP劃分方案（VLSM/CIDR）我們按照每層樓劃分一個(gè)vlan，即每層樓的用戶之間可以相互通信。江州市的核心機(jī)房設(shè)在1號(hào)樓3層可以與市政府以及縣區(qū)政府之間通信，即可以與所有用戶進(jìn)行通信。江州市的2號(hào)樓的中心機(jī)房設(shè)在3層，可以整棟樓之間進(jìn)行通信。其余六個(gè)縣區(qū)：1號(hào)樓的中心機(jī)房設(shè)在2層，可以與12號(hào)樓的所有用戶進(jìn)行通信。2號(hào)樓的2層可以與2號(hào)樓的所有用戶進(jìn)行通信。其余的都是每層的用戶可以相互通信。每個(gè)vlan都有足夠的ipvlan 的劃分江州市:1號(hào)樓1-6樓，每樓都是75個(gè)信息點(diǎn)，在私有C類地址中進(jìn)行劃分，192.168.xx.xx在主機(jī)號(hào)中劃分一位做子網(wǎng)號(hào)。IP網(wǎng)段為/25 2號(hào)樓1-5樓，每層樓都有45個(gè)信息點(diǎn)，同樣在C類私有地址中進(jìn)行劃分，192.168.xxx.xxx,在主機(jī)中劃分兩位做子網(wǎng)號(hào)。ip網(wǎng)段為/26.縣區(qū)：1、2號(hào)樓每層都是20個(gè)信息點(diǎn)，在主機(jī)號(hào)中劃分3位做子網(wǎng)號(hào)。每個(gè)vlan都有足夠的ip用與擴(kuò)充，充分體現(xiàn)了可擴(kuò)展性。服務(wù)器名IP劃分DHCPDNSFTPWeb 市縣樓棟樓層電腦數(shù)量Vlan號(hào)Vlan IPIP網(wǎng)段可用范圍江州市1號(hào)樓17511/25/25 126/252751229/2528/2530 255/2537513/25/25 126/254751429/2528/2530 255/2557515/25/25 126/256751629/2523/2530 255/252號(hào)樓14521/26/26 62/26245225/264/266 126/263452329/26192.168.128/2630 180/264452493/2692/2694 255/2654525/26/2662/26市縣樓棟樓層電腦數(shù)量Vlan號(hào)Vlan IPIP網(wǎng)段可用范圍滄縣1號(hào)樓120101/27/2730/272201023/272/27462/263201035/274/276194/264201047/276/278126/262號(hào)樓12020129/2728/2728158/2622020261/2760/2762190/2632020393/2792/2794222/2642020425/2724/2726255/26 市縣樓棟樓層電腦數(shù)量Vlan號(hào)Vlan IPIP網(wǎng)段可用范圍青縣1號(hào)樓120111/27/2730/272201123/272/27462/263201135/274/276194/264201147/276/278126/262號(hào)樓12021129/2728/2728158/2622021261/2760/2762190/2632021393/2792/2794222/2642021425/2724/2726255/26 市縣樓棟樓層電腦數(shù)量Vlan號(hào)Vlan IPIP網(wǎng)段可用范圍景縣1號(hào)樓120121/27/2730/272201223/272/27462/263201235/274/276194/264201247/276/278126/262號(hào)樓12022129/2728/2728158/2622022261/2760/2762190/2632022393/2792/2794222/2642022425/2724/2726255/26 市縣樓棟樓層電腦數(shù)量Vlan號(hào)Vlan IPIP網(wǎng)段可用范圍丘縣1號(hào)樓120131/27/2730/272201323/272/27462/263201335/274/276194/264201347/276/278126/262號(hào)樓12023129/2728/2728158/2622023261/2760/2762190/2632023393/2792/2794222/2642023425/2724/2726255/26 市縣樓棟樓層電腦數(shù)量Vlan號(hào)Vlan IPIP網(wǎng)段可用范圍雄縣1號(hào)樓120141/27192.168. 10.0/27192.168. 10.230/272201423/272/27192.168. 10.3462/263201435/274/276194/264201447/276/278126/262號(hào)樓12024129/2728/2728158/2622024261/2760/2762190/2632024393/2792/2794222/2642024425/2724/2726255/26 市縣樓棟樓層電腦數(shù)量Vlan號(hào)Vlan IPIP網(wǎng)段可用范圍易縣1號(hào)樓120151/27192.168. 11.0/27192.168. 11.230/272201523/272/27192.168. 11.3462/263201535/274/276194/264201547/276/278126/262號(hào)樓12025129/2728/2728158/2622025261/2760/2762190/2632025393/2792/2794222/2642025425/2724/2726255/26 第六章網(wǎng)絡(luò)管理與安全方案 6.1 網(wǎng)絡(luò)管理方案（設(shè)備與端口、虛擬網(wǎng)管理、性能管理、故障管理、配置管理、安全管理、記帳管理、網(wǎng)絡(luò)管理工具選?。┡渲乒芾恚簩?duì)設(shè)備和系統(tǒng)進(jìn)行各類網(wǎng)絡(luò)參數(shù)的定義和設(shè)置故障管理：查找并解決因硬件和軟件問題而引起的網(wǎng)絡(luò)故障性能管理：使用特定的管理軟件和設(shè)備對(duì)系統(tǒng)運(yùn)行效率進(jìn)行監(jiān)測(cè)，通過監(jiān)測(cè)數(shù)據(jù)的統(tǒng)計(jì)分析作為網(wǎng)絡(luò)系統(tǒng)改進(jìn)和升級(jí)的依據(jù)安全管理：數(shù)據(jù)私有性管理：設(shè)備配制表，口令，數(shù)據(jù)庫等等 授權(quán)管理：設(shè)備和文件系統(tǒng)的管理權(quán)限 訪問控制：對(duì)系統(tǒng)資源的訪問控制，如路由和交換的ACL，上網(wǎng)限制 加密管理：口令加密，加密證書，SSL 安全日志管理：對(duì)網(wǎng)絡(luò)設(shè)備和服務(wù)器每天產(chǎn)生的日志進(jìn)行分析，找出異常的記錄，進(jìn)而對(duì)安全漏洞進(jìn)行修補(bǔ)，防護(hù)，清除 計(jì)費(fèi)管理: 記錄用戶對(duì)網(wǎng)絡(luò)資源的使用情況（流量，時(shí)間，空間等），計(jì)算用戶占有網(wǎng)絡(luò)系統(tǒng)資源的各項(xiàng)費(fèi)用的和總計(jì)費(fèi)用6. 2 網(wǎng)絡(luò)管理規(guī)劃：了解網(wǎng)絡(luò)結(jié)構(gòu)勾畫整體網(wǎng)絡(luò)結(jié)構(gòu)和組成部分：該部分是整個(gè)網(wǎng)絡(luò)各部分，各網(wǎng)段內(nèi)部和相互之間連接情況的勾畫，包括局域網(wǎng)，園區(qū)網(wǎng)，廣域網(wǎng)，互聯(lián)網(wǎng)等等勾畫核心設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)：勾畫出核心網(wǎng)絡(luò)設(shè)備（中心交換機(jī)，中心路由器）的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，包括Vlan，IP，子網(wǎng)，物理和邏輯組件以及各組件之間的關(guān)聯(lián)描述以上兩部分的網(wǎng)絡(luò)參數(shù) 啟用SNMP 啟用交換機(jī)的SNMP Switch(config)#interface Vlan 1 Switch(config-if)#ip address Switch(config-if)#no shut Switch(config)#snmp-server community ro(rw)(一般口令串設(shè)置為public,只讀權(quán)限) 啟用路由器的SNMP Switch(config)#snmp-server community ro(rw)(一般口令串設(shè)置為public,只讀權(quán)限) 啟用服務(wù)器的SNMP ：Windows SNMP服務(wù)是作為系統(tǒng)的組件添加 網(wǎng)絡(luò)管理軟件 網(wǎng)管軟件分類 網(wǎng)管軟件結(jié)構(gòu) Web網(wǎng)管WBM 網(wǎng)絡(luò)監(jiān)測(cè)軟件 MRTG ：基于SNMP的網(wǎng)絡(luò)流量統(tǒng)工具，通過SNMP協(xié)議從外設(shè)得到其它流量信息并將流量負(fù)載以包含JPEG圖形的HTML文檔直觀地顯示 IPSENTRY ：周期性循環(huán)檢測(cè)網(wǎng)絡(luò)結(jié)點(diǎn)通斷或主機(jī)上運(yùn)行的業(yè)務(wù)，自動(dòng)產(chǎn)生HTML的檢驗(yàn)結(jié)果，并按日期記錄Log文件，這些Log文件可以被導(dǎo)入到數(shù)據(jù)庫中，按任意時(shí)間段做出網(wǎng)絡(luò)統(tǒng)計(jì)報(bào)表 警報(bào)方式：當(dāng)檢測(cè)的服務(wù)故障時(shí)，IPSentry可以通過播放聲音或EMAIL或播打電話（短信）或運(yùn)行其它軟件來提醒管理員 IPTOOLS ：IP Moniter（網(wǎng)絡(luò)數(shù)據(jù)收發(fā)/錯(cuò)誤實(shí)時(shí)統(tǒng)計(jì)）能實(shí)時(shí)圖形顯示本地IP的TCP，UDP和ICMP協(xié)議的接收，發(fā)送和錯(cuò)誤數(shù)據(jù)報(bào)的數(shù)目 Hosts Moniter(網(wǎng)絡(luò)結(jié)點(diǎn)通斷監(jiān)測(cè))它可周期性的ping網(wǎng)絡(luò)結(jié)點(diǎn)，并在故障或恢復(fù)的時(shí)候通知管理員 Sniffer ：利用計(jì)算機(jī)網(wǎng)絡(luò)接口截獲數(shù)據(jù)報(bào)文的一種工具，sniffer主機(jī)的網(wǎng)卡處于promiscuous(混雜模式)的狀態(tài)，這樣接收到同一網(wǎng)段（同一個(gè)沖突域的每一個(gè)信息包）。所以也就存著sniffer可以用來捕獲密碼，Email信息，秘密文檔等一些沒有加密的信息 Sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，Sniffer主機(jī)的網(wǎng)卡具備“廣播地址”，它對(duì)所以探測(cè)到的數(shù)據(jù)幀都產(chǎn)生一個(gè)硬件中斷以便提醒操作系統(tǒng)處理網(wǎng)卡接收到的每個(gè)報(bào)文6.3 網(wǎng)管信息四要素SNMP（簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）管理信息庫（MIB）代理（Agent）：運(yùn)行在網(wǎng)絡(luò)設(shè)備的軟件模塊，它直接操作設(shè)備本地的管理信息庫（MIB） 讀取MIB中各種參數(shù)；修改MIB中各種參數(shù)管理器（管理軟件）：運(yùn)行在網(wǎng)管工作站上的網(wǎng)絡(luò)設(shè)備配制，管理的監(jiān)測(cè)的網(wǎng)管軟件，在SNMP的支持下，向代理發(fā)送指令執(zhí)行各種操作。6.4 網(wǎng)絡(luò)管理技術(shù) Windows網(wǎng)絡(luò)命令 SNMP的典型應(yīng)用 設(shè)備配制 ：通過SNMP可實(shí)現(xiàn)可視化設(shè)備配制 網(wǎng)絡(luò)發(fā)現(xiàn) ：網(wǎng)絡(luò)結(jié)點(diǎn)信息；網(wǎng)絡(luò)中MAC及IP信息；網(wǎng)絡(luò)拓樸結(jié)構(gòu)及IP網(wǎng)絡(luò)結(jié)構(gòu) 流量監(jiān)測(cè) ：實(shí)時(shí)（Real-Time）流量監(jiān)測(cè):Bandwidth Gauges(流量度量)能夠監(jiān)測(cè)網(wǎng)絡(luò)設(shè)備接口實(shí)時(shí)（精確到3秒）收發(fā)流量，它使用SNMP與網(wǎng)絡(luò)設(shè)備通信獲取流量狀態(tài)。適用于動(dòng)態(tài)監(jiān)測(cè)網(wǎng)絡(luò)流量，有利于發(fā)現(xiàn)和排除突發(fā)的網(wǎng)絡(luò)流量引起的故障 流量記錄監(jiān)測(cè)：SNMP Real-Time Graph能夠監(jiān)測(cè)并記錄網(wǎng)絡(luò)接口（精確到每秒）的收發(fā)流量。它使用SNMP與網(wǎng)絡(luò)設(shè)備通訊獲取流量狀態(tài)，適用于動(dòng)態(tài)監(jiān)測(cè)并記錄網(wǎng)絡(luò)流量，有利于發(fā)現(xiàn)和排除突發(fā)的網(wǎng)絡(luò)流量引起的故障 性能監(jiān)測(cè):（cpu性能，程序運(yùn)行性能，線路流量性能，網(wǎng)絡(luò)延遲性能，網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能，網(wǎng)絡(luò)錯(cuò)誤/丟棄性能等等） 網(wǎng)絡(luò)數(shù)據(jù)分析 網(wǎng)絡(luò)故障監(jiān)測(cè) ：周期性循環(huán)檢測(cè)網(wǎng)絡(luò)通訊及服務(wù)，故障時(shí)自動(dòng)報(bào)警，每次輪循刷新檢測(cè)報(bào)告，并記錄各子系統(tǒng)及總體可靠性報(bào)表 遠(yuǎn)程控制與管理 ：PcAnywhere C/S結(jié)構(gòu)（經(jīng)典派） RemotelyAnywhere B/S結(jié)構(gòu)（現(xiàn)代派） Windows 遠(yuǎn)程桌面虛擬終端（Win2003專有） X-Window linux/Unix虛擬終端（經(jīng)典派）6.5 網(wǎng)絡(luò)安全方案（物理安全措施、VLAN劃分、防火墻、入侵檢測(cè)系統(tǒng)、安全訪問策略、虛擬專用網(wǎng)絡(luò)VPN、病毒防治、數(shù)據(jù)安全（磁盤陣列、雙機(jī)熱備）數(shù)據(jù)安全（磁盤陣列、雙機(jī)熱備） 磁盤陣列軟件RAID一些網(wǎng)絡(luò)操作系統(tǒng)可以使用標(biāo)準(zhǔn)的SCSI適配卡支持和管理驅(qū)動(dòng)器。一些網(wǎng)絡(luò)操作系統(tǒng)支持RAID0，RAID1和RAID5。由于是操作系統(tǒng)下實(shí)現(xiàn)RAID，軟RAID不能保護(hù)系統(tǒng)盤。亦即系統(tǒng)分區(qū)不能參與實(shí)現(xiàn)RAID。有些操作系統(tǒng)，RAID的配置信息存在系統(tǒng)信息中，而不是存在硬盤上；當(dāng)系統(tǒng)崩潰，需重新安裝時(shí)，RAID的信息也會(huì)丟失。當(dāng)運(yùn)行I/O增強(qiáng)應(yīng)用程序，如文件服務(wù)器或應(yīng)用程序服務(wù)器，可適當(dāng)?shù)氖褂密浖AID。RAID 5是CPU的增強(qiáng)方式，所以不建議使用軟件RAID在增強(qiáng)的處理器服務(wù)器中。磁盤的容錯(cuò)技術(shù)并不等于完全支持在線更換，熱插拔或熱交換，有些操作系統(tǒng)不能支持系統(tǒng)不經(jīng)過重啟的在線熱交換。能否支持錯(cuò)誤硬盤的熱交換與操作系統(tǒng)有關(guān)。 NetWare支持 RAID 1 (鏡像和雙工) 。 Windows NT 、Windows2000、LINUX、OPENSERVER支持RAID 0, RAID1和RAID5。另一種方案是配置系統(tǒng)在線擴(kuò)充，服務(wù)器中配置一塊備用硬盤，當(dāng)系統(tǒng)中沒有硬盤錯(cuò)誤時(shí)，它處于等待狀態(tài)，當(dāng)RAID5或RAID1中出現(xiàn)硬盤錯(cuò)誤時(shí)，它可以自動(dòng)取代壞盤，當(dāng)系統(tǒng)確認(rèn)后，即可成為陣列的一部分。硬件RAID硬件 RAID是采用集成的陣列卡或?qū)Ｓ玫年嚵锌▉砜刂朴脖P驅(qū)動(dòng)器，這樣可以極大節(jié)省服務(wù)器系統(tǒng)CPU和操作系統(tǒng)的資源。從而使網(wǎng)絡(luò)服務(wù)器的性能獲得很大的提高。RAID控制器對(duì)主系統(tǒng)，是藉由連接至其存取接口(目前以SCSI 為主)作信道。換言之，它在主系統(tǒng)的存取接口上，是一個(gè)獨(dú)立的直接存取儲(chǔ)存體DASD Direct Access Storage Device。 而這個(gè)大的儲(chǔ)存體內(nèi)，可以有不只一個(gè)的邏輯磁盤LUN Logical Unit Number。 RAID控制器，對(duì)下管理多顆數(shù)組硬盤機(jī)們。而主系統(tǒng)是不會(huì)看到或直接管理該硬盤的。 現(xiàn)在的RAID卡產(chǎn)品，都支持在線更換，熱插拔或熱交換。并在部分操作系統(tǒng)下實(shí)現(xiàn)軟件監(jiān)控和管理。雙機(jī)熱備第一，確定對(duì)于雙機(jī)熱備或其他高可用性的要求。有哪些服務(wù)器在運(yùn)行 服務(wù)器的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件都是什么 使用什么樣的應(yīng)用系統(tǒng) 能夠承擔(dān)多長(zhǎng)時(shí)間的服務(wù)中斷 數(shù)據(jù)量、數(shù)據(jù)寫入的頻繁程度 硬件條件 大致的預(yù)算 第二，確定雙機(jī)熱備及其他高可用性方案的模式。1. 決定要不要備、誰和誰備。采用數(shù)據(jù)庫雙機(jī)熱備，應(yīng)用服務(wù)器集群，是主從方式還是互備？亦或是多臺(tái)服務(wù)器？雙機(jī)熱備與數(shù)據(jù)備份的關(guān)系；雙機(jī)熱備、雙機(jī)互備與雙機(jī)雙工的區(qū)別；Web服務(wù)器和應(yīng)用服務(wù)器的負(fù)載均衡2. 決定如何備。就雙機(jī)熱備而言，是采用共享存儲(chǔ)方式、純軟件備份方式、備機(jī)方式，甚至什么都不采用？基于存儲(chǔ)共享的雙機(jī)熱備方案術(shù)語解釋：磁盤陣列；純軟件方式的雙機(jī)熱備方案第三，選擇確定具體的設(shè)備、軟件的型號(hào)。不同的軟件、存儲(chǔ)設(shè)備之間存在兼容性的問題，因此一定要統(tǒng)一考慮，并提前及時(shí)咨詢專業(yè)人員。切忌出現(xiàn)采購了雙機(jī)軟件對(duì)相關(guān)的存儲(chǔ)設(shè)備不兼容等問題。第四，實(shí)施。第五，在雙機(jī)熱備或其他高可用性方案實(shí)施完成后，一定要進(jìn)行測(cè)試。第六，在使用階段，要定期對(duì)雙機(jī)熱備或其他高可用性系統(tǒng)是否能夠正常切換進(jìn)行測(cè)試。入侵檢測(cè)系統(tǒng)IDS侵檢測(cè)：顧名思義，便是對(duì)入侵行為的發(fā)覺。它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中得若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進(jìn)行入侵檢測(cè)的軟件與硬件的組合便是入侵檢測(cè)系統(tǒng)（Intrusion Detection System,簡(jiǎn)稱IDS）。與其他安全產(chǎn)品不同的是，入侵檢測(cè)系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個(gè)合格的入侵檢測(cè)系統(tǒng)能大大的簡(jiǎn)化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。方正方通入侵檢測(cè)系統(tǒng)是具備2Gbps網(wǎng)絡(luò)流量處理能力、同時(shí)支持八個(gè)監(jiān)測(cè)端口的實(shí)時(shí)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。方通入侵檢測(cè)系統(tǒng)可監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流，自動(dòng)檢測(cè)和響應(yīng)非授權(quán)活動(dòng)、內(nèi)部網(wǎng)絡(luò)濫用和內(nèi)部信息泄露等行為，使管理員在網(wǎng)絡(luò)和系統(tǒng)受到危害之前發(fā)現(xiàn)并阻止非法入侵。方通入侵檢測(cè)系統(tǒng)可在廣域網(wǎng)上進(jìn)行大規(guī)模、分布式部署，以及實(shí)現(xiàn)遠(yuǎn)程與集中相結(jié)合的分級(jí)管理。方正方通入侵防護(hù)系統(tǒng)結(jié)合防火墻和入侵檢測(cè)技術(shù)結(jié)合入侵檢測(cè)和防火墻兩種技術(shù)，解決了以前防火墻在阻斷有害流量時(shí)存在的問題：當(dāng)阻斷規(guī)則增加時(shí)，防火墻的性能快速下降。方通入侵防護(hù)系統(tǒng)改進(jìn)數(shù)據(jù)包過濾引擎，以適合大量和動(dòng)態(tài)的規(guī)則變化的需要，支持Failover功能，提供單向攻擊阻塞功能(如蠕蟲，緩沖區(qū)溢出漏洞攻擊)，使用異常檢測(cè)技術(shù)對(duì)未知攻擊進(jìn)行防御，同時(shí)