(完整word版)網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

1、項目的弱電系統(tǒng)總體設(shè)計要求是“理念先進(jìn)、技術(shù)一流、經(jīng)濟(jì)實用和今后良好的擴(kuò)展性”，滿足用戶的特殊要求，達(dá)到國家建設(shè)部智能化建筑的甲級標(biāo)準(zhǔn)并通過驗收。項目中的計算機(jī)網(wǎng)絡(luò)系統(tǒng)將為建筑內(nèi)信息系統(tǒng)提供穩(wěn)定、可靠、安全的信息流通環(huán)境。網(wǎng)絡(luò)系統(tǒng)是 xxxxxxxxxx 工程中的重要系統(tǒng)，它將作為多種應(yīng)用系統(tǒng)的系統(tǒng)溝通平臺，包括管理系統(tǒng)，業(yè)務(wù)系統(tǒng)等，因此網(wǎng)絡(luò)系統(tǒng)應(yīng)定位于提供高性能，高可靠的系統(tǒng)設(shè)計。2.設(shè)計原則可靠性xxxxxxxxxx 工程的信息應(yīng)用系統(tǒng)具有較高的可靠性要求，這決定了作為信息傳輸平臺的網(wǎng)絡(luò)系統(tǒng)也具有高度的可靠性。高性能網(wǎng)絡(luò)中可能存在復(fù)雜多元的應(yīng)用系統(tǒng)，如多媒體應(yīng)用，辦公自動化，專業(yè)應(yīng)用等，對

2、網(wǎng)絡(luò)的負(fù)載能力要較高要求?？蓴U(kuò)展性和可升級性目前 xxxxxxxxxx 工程處于一期建設(shè)中，將來還將建設(shè)二級工程，網(wǎng)絡(luò)系統(tǒng)將逐步擴(kuò)大，同時隨著應(yīng)用系統(tǒng)的逐步完善，網(wǎng)絡(luò)系統(tǒng)也將進(jìn)行相應(yīng)的擴(kuò)展和升級，因此網(wǎng)絡(luò)應(yīng)具有良好的可升級擴(kuò)展性。易管理、易維護(hù)xxxxxxxxxx 工程中網(wǎng)絡(luò)系統(tǒng)分布于多個建筑物中，同時網(wǎng)絡(luò)系統(tǒng)中承載的應(yīng)用系統(tǒng)重要性較高，因此網(wǎng)絡(luò)系統(tǒng)需具有良好的可管理性，降低維護(hù)成本，放患于未然，保障業(yè)務(wù)系統(tǒng)的正常運(yùn)行。安全性xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第1頁根據(jù) xxxxxxxxxx 工程業(yè)主的特殊定位，網(wǎng)絡(luò)要求有極高的安全性要求。3.總體設(shè)計3.1主干技術(shù)選型選擇合理的網(wǎng)絡(luò)主干技術(shù)

3、對一個大型網(wǎng)絡(luò)來說十分重要， 它關(guān)系到網(wǎng)絡(luò)的服務(wù)品質(zhì)和可持續(xù)發(fā)展的特性。網(wǎng)絡(luò)主干包括主干網(wǎng)設(shè)備之間及其與匯聚點(diǎn)核心設(shè)備之間的連接。對丁 xxxxxxxxxx 工程，我們選擇采用千兆以太網(wǎng) GEKGEK 術(shù)、相對丁其他寬帶主干技術(shù)，它和以太網(wǎng)，快速以太網(wǎng)有更好的兼容性，在園區(qū)網(wǎng)規(guī)?；蛑行⌒统怯蚓W(wǎng)中具有最高的性能價格比。3.2局域網(wǎng)結(jié)構(gòu)采取何種網(wǎng)絡(luò)結(jié)構(gòu)和建筑分布，應(yīng)用需求均有較大的關(guān)系。通常在大型網(wǎng)絡(luò)的設(shè)計中，網(wǎng)絡(luò)結(jié)構(gòu)分為三層，即核心、分布和接入層。核心層提供網(wǎng)絡(luò)的核心路由交換功能，分布層負(fù)責(zé)將接入層設(shè)備匯聚進(jìn)入核心層，接入層提供提供終端用戶的接入網(wǎng)絡(luò)。每個層次的網(wǎng)絡(luò)專注丁其功能要求，使網(wǎng)絡(luò)設(shè)計模

4、塊化，便丁管理和擴(kuò)展。對丁 xxxxxxxxxx 工程，相對丁園區(qū)網(wǎng)，網(wǎng)絡(luò)分布在較大范圍內(nèi)，包括信息中心/ /辦公區(qū)，科研辦公區(qū)，對外接待區(qū)，服務(wù)中心，生活設(shè)施區(qū)，輔助用房，休閑中心及將來得二期建筑。根據(jù)布線結(jié)構(gòu)，科研辦公區(qū)為一點(diǎn)數(shù)較大的單體建筑，將再設(shè)立兩級配線問，簡化了線纜結(jié)構(gòu)，相應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)為二層結(jié)構(gòu)和三層結(jié)構(gòu)相結(jié)合的方式，即對丁科研辦公區(qū)，通過核心交換機(jī)，分布層交換機(jī)，接入交換機(jī)三級結(jié)構(gòu)，而對丁其他分配線間則通過核心交換機(jī)，接入交換機(jī)的二級結(jié)構(gòu)（見后圖）。根據(jù) xxxxxxxxxx 工程需求，網(wǎng)絡(luò)中包含內(nèi)網(wǎng)和外網(wǎng)，通常內(nèi)網(wǎng)中運(yùn)行業(yè)務(wù)系統(tǒng)，辦公自動化系統(tǒng)及專網(wǎng)應(yīng)用等，外網(wǎng)運(yùn)行互聯(lián)網(wǎng)應(yīng)用。業(yè)

5、務(wù)系統(tǒng)具有較高的可靠性要求，因此網(wǎng)絡(luò)結(jié)構(gòu)上，內(nèi)網(wǎng)網(wǎng)絡(luò)主干需要更高的可靠性，內(nèi)網(wǎng)網(wǎng)絡(luò)核心采用了兩臺骨干交換機(jī)，分別和分布層交換機(jī)通過千兆光纖連接，從而形成了一個全網(wǎng)無單點(diǎn)故障的骨干網(wǎng)絡(luò)。而外網(wǎng)出丁應(yīng)用需求和成本的考慮，可采用單骨干交換機(jī)的架構(gòu)，如下圖:xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第2頁外網(wǎng)J.J域網(wǎng)結(jié)構(gòu)內(nèi)網(wǎng)局域網(wǎng)結(jié)構(gòu)3.3廣域網(wǎng)連接廣域網(wǎng)方面通常包括互聯(lián)網(wǎng)接入和專網(wǎng)接入?；ヂ?lián)網(wǎng)接入提供對互聯(lián)網(wǎng)訪問，目前互聯(lián)網(wǎng)寬帶接入的方式有 ADSLCableModemATMADSLCableModemATM 寬帶城域網(wǎng)等，ADSADS 前 CableModemCableModem 常用作個人用戶或小型

6、公司的寬帶接入，ATMATM 要專用接入設(shè)備，成本太高。而寬帶城域網(wǎng)是通過光纖由 ISPISP 處引入，通過轉(zhuǎn)換器轉(zhuǎn)為以太網(wǎng)口接入用戶設(shè)備，該種接入方式的接入帶寬可由運(yùn)營商端進(jìn)行準(zhǔn)確而靈活的限速，符合了 xxxxxxxxxx 工程隨著應(yīng)用的發(fā)展逐步增加互聯(lián)網(wǎng)接入帶寬的需求，在接入設(shè)備上也無需專用廣域網(wǎng)接入設(shè)備，可通過防火墻直接接入即可。專網(wǎng)連接用丁和相關(guān)單位或企業(yè)的網(wǎng)絡(luò)連接，即 ExtranetExtranet。根據(jù)我方的工程經(jīng)驗和對專網(wǎng)互聯(lián)技術(shù)的了解，專網(wǎng)連接通常有 DDN/FRDDN/FR 幀中繼）/ATM/ATM 的專線連接、遠(yuǎn)程撥號連接以及構(gòu)建在公網(wǎng)上的 VPVP 時網(wǎng)等多種方式，AT

7、AT式價格較高；遠(yuǎn)程撥號連接由丁速率較低，通常作為備份方式；而 VPVPN N通過公網(wǎng)傳輸，存在一定的風(fēng)險性。因此綜合考慮，如租用運(yùn)營商線路，出丁安全性的考慮，可采用通過 DDN/FFftDDN/FFft 信專線的方式，或直接通過自建的內(nèi)部城域光纜網(wǎng)連接。由丁連接了公網(wǎng)和外部專網(wǎng)，安全性是必須考慮的，為此需配置防火墻設(shè)備，防火墻提供了較普通網(wǎng)絡(luò)設(shè)備具有更完善的安全手段，提供了對內(nèi)外網(wǎng)隔離和防外部攻擊等特性。xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第3頁如網(wǎng)絡(luò)存在一些提供外部訪問的應(yīng)用，如專網(wǎng)業(yè)務(wù)應(yīng)用等，這些網(wǎng)段的安全性級別高丁外網(wǎng)，但低丁內(nèi)網(wǎng)， 我們可將這些網(wǎng)段通過防火墻的第三個或第四個等網(wǎng)口接入

8、， 該區(qū)域被稱為 DM2EDM2E （非軍事區(qū)） ,DM2DM2E E介丁內(nèi)外網(wǎng)之間，可作為緩沖地帶，DM2EDM2E 的安全問題不會直接威脅到內(nèi)網(wǎng)。廣域網(wǎng)連接示意圖如下：專網(wǎng)連接互聯(lián)網(wǎng)連接防火墻防火墻內(nèi)部局域網(wǎng):3.4網(wǎng)絡(luò)管理根據(jù) xxxxxxxxxx 工程的特點(diǎn)，我們認(rèn)為網(wǎng)絡(luò)管理系統(tǒng)應(yīng)具有以下特點(diǎn)：以應(yīng)用系統(tǒng)為導(dǎo)向，在最大程度上保證應(yīng)用系統(tǒng)運(yùn)行的高穩(wěn)定性。開放易用，在采用先進(jìn)技術(shù)同時不會增加業(yè)務(wù)運(yùn)行的人工維護(hù)成本。提供豐富的管理特性，滿足復(fù)雜網(wǎng)絡(luò)環(huán)境中的多方面管理需求。所提供的管理功能模塊盡量相互集成。網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)資源，如交換機(jī)的設(shè)備工作狀態(tài)、網(wǎng)絡(luò)性能、通訊延時等應(yīng)均可通過直觀的人機(jī)介

9、面進(jìn)行監(jiān)控、管理。使網(wǎng)絡(luò)管理員不但可以改正出現(xiàn)的問題，還可以發(fā)現(xiàn)潛在問題。因此我們認(rèn)為網(wǎng)管系統(tǒng)的主要功能應(yīng)包括拓?fù)涔芾?，故障管理，配置管理和性防火墻路由漏專網(wǎng)鹿用DM7區(qū)內(nèi)部局域網(wǎng)xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第4頁能管理等功能。3.5信息安全管理根據(jù) xxxxxxxxxx 工程的安全定位，信息安全管理是 xxxxxxxxxx 工程中一個較重要的網(wǎng)絡(luò)應(yīng)用，它關(guān)系到網(wǎng)絡(luò)中各種重要數(shù)據(jù)，應(yīng)用的安全性，直接影響 xxxxxxxxxx 工程的正常運(yùn)作。對丁 xxxxxxxxxx 工程，安全管理可以從以下幾方面考慮：網(wǎng)絡(luò)設(shè)備自身的安全性提供對網(wǎng)絡(luò)設(shè)備配置訪問的安全性，應(yīng)采用嚴(yán)格的用戶認(rèn)證訪問，安全

10、的 TelnetTelnet和 SNMPSNMP 制等措施，保證網(wǎng)絡(luò)設(shè)備被安全訪 I I 可。網(wǎng)絡(luò)交換設(shè)備的安全策略根據(jù)應(yīng)用系統(tǒng)，用戶終端的分類和安全需求，通過劃分虛網(wǎng)，設(shè)置訪問控制權(quán)限，以及限制路由等策略，提供底層數(shù)據(jù)訪問的安全性。專用安全設(shè)備和系統(tǒng)除了網(wǎng)絡(luò)設(shè)備本身可以提供的安全性，還應(yīng)配置安全設(shè)備以提供專門的安全策略。1 1）防火墻防護(hù)主要提供不同網(wǎng)段間的訪問控制，應(yīng)用控制，實時防攻擊等能力，防火墻采用狀態(tài)檢測技術(shù)，可動態(tài)判斷流經(jīng)數(shù)據(jù)包的合法性，大大提高了訪問安全性。2 2）入侵檢測作為一種被動式安全防范，安全威脅可以來自內(nèi)部和外部，防火墻只能控制其他網(wǎng)段對安全網(wǎng)段的訪問，但對丁內(nèi)部或少量

11、通過了防火墻的攻擊訪問就無法控制，為此采用入侵檢測探測系統(tǒng)，實時監(jiān)測重要網(wǎng)段，重要服務(wù)器的訪問數(shù)據(jù)，一旦發(fā)現(xiàn)非法訪問和攻擊行為即發(fā)出警報，從而最快速度的發(fā)現(xiàn)出現(xiàn)的安全問題。3 3）身份認(rèn)證等技術(shù)對丁遠(yuǎn)程撥號或重要網(wǎng)段接入用戶，常要求通過身份認(rèn)證賦予接入權(quán)限，為此需提供專用的身份認(rèn)證服務(wù)器，提供基丁 Radius,TACASRadius,TACAS 等一系列動態(tài)認(rèn)證服務(wù)。4 4）防病蠹軟件和數(shù)據(jù)備份對丁應(yīng)用級的數(shù)據(jù)安全，可配置防病蠹軟件。為提供其易用性，可采用 ServerServerxxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第5頁-Client-Client 架構(gòu)的防病蠹軟件，由服務(wù)器自動向客戶端分

12、發(fā)最新的防病蠹代碼。4.網(wǎng)絡(luò)方案設(shè)計4.1設(shè)計概述充分考慮了 xxxxxxxxxx 項目的建筑結(jié)構(gòu)，現(xiàn)狀和發(fā)展前景，結(jié)合我公司豐富的工程經(jīng)驗，我們認(rèn)為其網(wǎng)絡(luò)系統(tǒng)的設(shè)計應(yīng)本著高標(biāo)準(zhǔn)，高性能，整體規(guī)劃，逐步實施的原則進(jìn)行，網(wǎng)絡(luò)系統(tǒng)即能滿足相當(dāng)長時間內(nèi)的用戶需求，乂可在將來根據(jù)應(yīng)用系統(tǒng)的發(fā)展和網(wǎng)絡(luò)規(guī)模的發(fā)展，輕松地進(jìn)行可靠性，性能，容量等多方面的擴(kuò)展和升級，從而為用戶提供性能價格比最佳，具有良好擴(kuò)展能力的網(wǎng)絡(luò)解決方案。本次建設(shè)中局域網(wǎng)部分采用了二級結(jié)構(gòu)設(shè)計。內(nèi)網(wǎng)部分，主干交換機(jī)采用兩臺高性能，高可靠性核心交換機(jī)，通過雙千兆鏈路連接接入層交換機(jī)，內(nèi)網(wǎng)通過路由器和電信運(yùn)營商的專線連接業(yè)務(wù)專網(wǎng)，并通過防火

13、墻對網(wǎng)絡(luò)進(jìn)行安全隔離和防護(hù)。內(nèi)網(wǎng)還通過配置入侵檢測探測器提供對重要數(shù)據(jù)網(wǎng)段，如辦公自動化，業(yè)務(wù)用數(shù)據(jù)區(qū)提供特殊的安全監(jiān)控。外網(wǎng)部分，配置單臺核心交換機(jī)，通過千兆鏈路連接接入層交換機(jī)，并通過防火墻接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖：xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第6頁4.2核心交換機(jī)核心交換機(jī)擔(dān)負(fù)著全網(wǎng)的數(shù)據(jù)交換，其性能很大程度決定了整體網(wǎng)絡(luò)的性能，根據(jù) xxxxxxxxxx 工程的實際情況，我們認(rèn)為核心交換機(jī)主要應(yīng)具備以下特點(diǎn)：可靠性核心交換機(jī)提供了全網(wǎng)數(shù)據(jù)的交換，其可靠性決定了整體網(wǎng)絡(luò)的穩(wěn)定和可靠。其可靠性應(yīng)體現(xiàn)在多方面，包括：1 1）物理層設(shè)計核心交換機(jī)應(yīng)具備關(guān)鍵部件的冗余，包括電源、風(fēng)

14、扇、管理模塊等，放置部件的偶然性故障導(dǎo)致的核心交換機(jī)，乃至全網(wǎng)故障；模塊應(yīng)具備熱拔插特性，保證故障處理時網(wǎng)絡(luò)服務(wù)的延續(xù)性；背板采用無源背板設(shè)計，進(jìn)一步加強(qiáng)系統(tǒng)可靠性。2 2）鏈路層特性支持多種鏈路層冗余協(xié)議，包括 STPSTP 及其擴(kuò)展協(xié)議，鏈路捆綁協(xié)議等。3 3）網(wǎng)絡(luò)層特性提供豐富的三層路由協(xié)議，同時支持網(wǎng)關(guān)冗余協(xié)議（如 VRRPVRRP。高交換能力和端口密度內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)渫饩W(wǎng)網(wǎng)絡(luò)拓?fù)鋢xxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第7頁根據(jù) xxxxxxxxxx 工程布線的特點(diǎn)，一期內(nèi)外網(wǎng)各有 3030 余個分配線問，總布線點(diǎn)數(shù)各為 30003000 個左右，二期規(guī)劃還各將增加 2020 余個分配線問，

15、這樣要求核心交換機(jī)具有較高的千兆端口密度，可滿足接入大量分配線間的需求，而網(wǎng)絡(luò)系統(tǒng)是這樣一個高密度，大規(guī)模的網(wǎng)絡(luò)，網(wǎng)絡(luò)中存在豐富的多元化的應(yīng)用系統(tǒng)，這些均要求核心交換機(jī)具有較高的交換性能，其指標(biāo)體現(xiàn)在背板容量、包轉(zhuǎn)發(fā)率等數(shù)據(jù)上。豐富的網(wǎng)絡(luò)特性為提供網(wǎng)絡(luò)中多種應(yīng)用支持，如對時延敏感的音視頻應(yīng)用，對數(shù)據(jù)可靠性要求較高的關(guān)鍵應(yīng)用，網(wǎng)絡(luò)應(yīng)提供較強(qiáng)的 QoSQoS 和 PolicingPolicing 的功能，同時為提供網(wǎng)絡(luò)內(nèi)部的安全性，它應(yīng)支持豐富的安全特性，如基丁 2-42-4 層信息的線速訪問控制等。4.3分布層交換機(jī)分布層交換機(jī)用丁科研辦公區(qū)，由丁該區(qū)共有 1111 個三級配線間需接入，分布層交

16、換機(jī)作為多個接入交換機(jī)的匯聚點(diǎn)，也需物理結(jié)構(gòu)上的關(guān)鍵部件冗余設(shè)計，并具有較高的千兆端口密度和分布層網(wǎng)絡(luò)設(shè)備性能，如數(shù)據(jù)包轉(zhuǎn)發(fā)能力，Qos,Qos,安全性等特性。4.4接入交換機(jī)對丁樓層接入，由丁 xxxxxxxxxx 工程中分配線問點(diǎn)數(shù)平均分布在 70-8070-80 個點(diǎn)問，首先接入交換機(jī)盡量采用高端口密度的交換機(jī)產(chǎn)品（如 4848 個 10/100M10/100M 接入端口），其次為提供端到端的網(wǎng)絡(luò)特性，接入交換機(jī)也應(yīng)具有較豐富的網(wǎng)絡(luò)特性和較高的網(wǎng)絡(luò)性能。具體表現(xiàn)在：交換性能提供快速數(shù)據(jù)轉(zhuǎn)發(fā)，主要體現(xiàn)在接入交換機(jī)的背板容量和包轉(zhuǎn)發(fā)率等指標(biāo)。網(wǎng)絡(luò)特性提供高性能的QoQos s控制能力， 保證

17、真正端到端的QoQos s能力， 同時具有豐富的接入安全特性， 如802.1X802.1X，基丁 MacMac 地址的接入安全特性等。根據(jù)綜合布線系統(tǒng)，對丁內(nèi)網(wǎng)和外網(wǎng)，交換機(jī)數(shù)據(jù)端口可按布線點(diǎn)的一定比例配置，暫按布線量的6060 呱己置，如下表:xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第8頁外網(wǎng)數(shù)據(jù)點(diǎn)和交換機(jī)配置:內(nèi)網(wǎng)數(shù)據(jù)點(diǎn)和交換機(jī)配置：4.5廣域網(wǎng)接入防火墻在 xxxxxxxxxx 工程中，防火墻用丁在互聯(lián)網(wǎng)接入和專網(wǎng)連接處，提供對內(nèi)網(wǎng)數(shù)據(jù)保護(hù)，在防火墻的選擇上，主要應(yīng)考慮其安全特性，數(shù)據(jù)轉(zhuǎn)發(fā)性能等，安全特性指防火墻設(shè)備具備主流的安全策略（如基丁包的動態(tài)狀態(tài)判斷），提供主流的安全防護(hù)特性，同時在

18、數(shù)據(jù)吞吐量，每秒可新建會話數(shù)，總會話數(shù)方面具有良好的特性指標(biāo)。路由器路由器在 xxxxxxxxxx 工程中的定位是提供專網(wǎng)接入，產(chǎn)品選擇上應(yīng)和應(yīng)用相配合，當(dāng) xxxxxxxxxx 作為專網(wǎng)分支節(jié)點(diǎn)時，只需路由器只需具備一定的數(shù)據(jù)包轉(zhuǎn)發(fā)率和較豐富的網(wǎng)絡(luò)特性即可，當(dāng) xxxxxxxxxx 作為專網(wǎng)中的中心節(jié)點(diǎn)時，則路由器還應(yīng)具有一定的廣域網(wǎng)端口密度和更高的數(shù)據(jù)包轉(zhuǎn)發(fā)性能和擴(kuò)展能力。4.6網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)管系統(tǒng)也有助丁網(wǎng)絡(luò)系統(tǒng)的管理，網(wǎng)絡(luò)故障的迅速定位和排除，提高網(wǎng)絡(luò)的可用性。網(wǎng)管系統(tǒng)的主要功能應(yīng)包括拓?fù)涔芾恚?故障管理， 配置管理和性能管理等功能。 為提供良好的使用界面，網(wǎng)管系統(tǒng)應(yīng)提供圖形化設(shè)備和拓

19、撲顯示，可實時監(jiān)視設(shè)備流量，設(shè)備故障等多種信息。4.7信息安全管理信息安全管理是 xxxxxxxxxx 項目中一個較重要的網(wǎng)絡(luò)應(yīng)用，它關(guān)系到網(wǎng)絡(luò)中各種重要數(shù)據(jù)，應(yīng)用的安全性，直接影響 xxxxxxxxxx 項目的正常運(yùn)作xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案4.7.1網(wǎng)絡(luò)設(shè)備管理的安全性網(wǎng)絡(luò)設(shè)備訪問的安全性，關(guān)系到網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的安全性，如果網(wǎng)絡(luò)設(shè)備本身被非法訪問，非法入侵者將隨意修改設(shè)備配置，整個網(wǎng)絡(luò)將無安全性可言。網(wǎng)絡(luò)設(shè)備本身的安全性主要應(yīng)考慮良好的用戶認(rèn)證訪問體系，網(wǎng)管數(shù)據(jù)傳輸?shù)陌踩浴Ｊ紫葘Χ≡O(shè)備的訪問可基丁中央用戶認(rèn)證系統(tǒng)， 這樣便丁大批量網(wǎng)絡(luò)設(shè)備的用戶認(rèn)證信息的維護(hù)。其次網(wǎng)管數(shù)據(jù)應(yīng)

20、加密傳輸，通常網(wǎng)管工作是通過網(wǎng)管軟件的 SNMPSNMP 簡單網(wǎng)絡(luò)管理協(xié)議）和 TelneTelnet t遠(yuǎn)程登錄進(jìn)行，傳統(tǒng)的 SNMPTelnetSNMPTelnet 數(shù)據(jù)均通過明文傳輸，當(dāng)惡意用戶通過 SnifferSniffer 等系統(tǒng)進(jìn)行網(wǎng)絡(luò)監(jiān)聽時，有可能截獲其數(shù)據(jù)包，從而獲得訪問信息，因此所有設(shè)備的管理應(yīng)采用加密的網(wǎng)管方式進(jìn)行訪問。xxxxxxxxxx 項目的網(wǎng)管軟件應(yīng)采用 SNMPV3,SNMPV3,其定義丁 RFC2271RFC2271 中，和 SNMPvlSNMPSNMPvlSNMP 湘上匕,SNMPSNMP 淵加了三個新的安全機(jī)制：身份驗證，加密和訪問控制。由丁使用了私鑰（p

21、rivKeyprivKey）和驗證密鑰（authKeyauthKey）來實現(xiàn)加密，其安全性大大提高。對丁 TelnetTelnet 應(yīng)用，目前主要缺陷是：沒有口令保護(hù)，遠(yuǎn)程用戶的登陸傳送的帳號和密碼都是明文，使用普通的 sniffersniffer都可以被截獲沒有強(qiáng)力認(rèn)證過程。只是驗證連接者的帳戶和密碼。沒有完整性檢查。傳送的數(shù)據(jù)無法知道是否完整的，而不是被篡改過的數(shù)據(jù)。傳送的數(shù)據(jù)都沒有加密。因此對丁 TelnetTelnet 應(yīng)用，應(yīng)采用 SSSS 協(xié)口密的方式，SSHRSSHR 用了公鑰和密鑰相結(jié)合的方式，提高數(shù)據(jù)的安全性和完整性。4.7.2網(wǎng)絡(luò)設(shè)備的安全特性安全性是網(wǎng)絡(luò)設(shè)備較重要的特性，根據(jù)網(wǎng)絡(luò)設(shè)備的定位區(qū)別和應(yīng)用的部署，需要不同的安全策略。xxxxxxxxxx 項目中網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)是復(fù)雜和多元化的，包括多媒體，辦公自動化、業(yè)務(wù)系統(tǒng)系統(tǒng)等，其安全性要求各不相同，而對丁互聯(lián)網(wǎng)接入?yún)^(qū)，也有專網(wǎng)接入，DMZDMZ：網(wǎng)段等xxxxx工程計算機(jī)網(wǎng)絡(luò)系統(tǒng)技術(shù)方案第10頁多個區(qū)域，因此應(yīng)對不同的安全區(qū)域設(shè)備不同的安全策略?；ヂ?lián)網(wǎng)接入和專網(wǎng)接入系統(tǒng)通過防火墻接入互聯(lián)網(wǎng)，該部分的安全性主要體現(xiàn)在防火墻上的安全設(shè)置。系統(tǒng)通過路由器和專網(wǎng)連接專網(wǎng)，其安全性體現(xiàn)在路由器，防火墻的多個區(qū)域安全信