H3C合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書V2

1、合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書IToIP解決方案專家華為3Com技術(shù)有限公司2007年4月目錄TOC o 1-5 h z HYPERLINK l bookmark10 第一章用戶需求分析3 HYPERLINK l bookmark12 網(wǎng)絡(luò)建設(shè)目標(biāo)3 HYPERLINK l bookmark14 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)要求3主要設(shè)備技術(shù)要求錯(cuò)誤！未定義書簽。第二章網(wǎng)絡(luò)整體設(shè)計(jì)方案3 HYPERLINK l bookmark16 總體網(wǎng)絡(luò)設(shè)計(jì)原則3 HYPERLINK l bookmark28 總體組網(wǎng)方案概述5 HYPERLINK l bookma

2、rk38 第三章外部局域網(wǎng)設(shè)計(jì)8 HYPERLINK l bookmark40 外網(wǎng)核心層設(shè)計(jì)8 HYPERLINK l bookmark44 外網(wǎng)匯聚層設(shè)計(jì)9 HYPERLINK l bookmark48 外網(wǎng)接入層設(shè)計(jì)10 HYPERLINK l bookmark64 無線寬帶接入設(shè)計(jì)123.5互聯(lián)網(wǎng)連接及安全設(shè)計(jì)錯(cuò)誤！未定義書簽。 HYPERLINK l bookmark84 第四章內(nèi)部局域網(wǎng)設(shè)計(jì)15 HYPERLINK l bookmark86 內(nèi)網(wǎng)層次結(jié)構(gòu)設(shè)計(jì)15國土資源局專網(wǎng)互聯(lián)錯(cuò)誤！未定義書簽。外部局域網(wǎng)連接錯(cuò)誤！未定義書簽。第五章數(shù)據(jù)中心設(shè)計(jì)16數(shù)據(jù)中心交換機(jī)選擇錯(cuò)誤！未定義書

3、簽。數(shù)據(jù)中心的安全設(shè)計(jì)錯(cuò)誤！未定義書簽。 HYPERLINK l bookmark168 第六章網(wǎng)絡(luò)管理平臺設(shè)計(jì)30第一章用戶需求分析網(wǎng)絡(luò)建設(shè)目標(biāo)根據(jù)合肥市國土資源局綜合辦公樓的使用性質(zhì)，其計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)與建設(shè)應(yīng)當(dāng)符合當(dāng)前及今后一段時(shí)間的管理及運(yùn)行要求。根據(jù)當(dāng)前管理與應(yīng)用的需求，選擇性能價(jià)格比較高的設(shè)備。將合肥市國土資源局計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)成實(shí)用、經(jīng)濟(jì)、先進(jìn)、開放、高效、安全、節(jié)能與管理融為一體的現(xiàn)代化辦公系統(tǒng)。計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)要求本工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)采用內(nèi)部局域網(wǎng)（以下簡稱內(nèi)網(wǎng)）和外部局域網(wǎng)（以下簡稱外網(wǎng)）物理隔離方式。要求采用三級星型拓?fù)浣Y(jié)構(gòu)，在10層控制機(jī)房內(nèi)設(shè)置萬兆位核心層網(wǎng)絡(luò)

4、交換機(jī)，并根據(jù)樓層功能的區(qū)別分設(shè)3個(gè)匯聚層交換機(jī)，具體為15層以上的辦公區(qū)域，9-15層的辦公區(qū)域，9層以下的辦公、拍賣、會議區(qū)域，各匯聚層交換機(jī)的性能根據(jù)下連樓層交換機(jī)的數(shù)量與樓層對網(wǎng)絡(luò)性能的要求確定。在各個(gè)樓層的弱電間設(shè)置10/100/1000M接入層交換機(jī)，構(gòu)成千兆到樓層，百兆到用戶端點(diǎn)。中心機(jī)房設(shè)置光纖點(diǎn)，光纖采用千兆直接到中心機(jī)房。獨(dú)立采用1臺高性能路由交換機(jī)作為中心機(jī)房交換機(jī)。3臺匯聚層交換機(jī)通過雙萬兆鏈路上連到核心交換機(jī)，匯聚層交換機(jī)分別連接3個(gè)區(qū)域樓層弱電間的接入層交換機(jī)。要求各個(gè)區(qū)域的網(wǎng)絡(luò)即可以單獨(dú)構(gòu)成獨(dú)立的網(wǎng)絡(luò)，也可以實(shí)現(xiàn)與核心交換機(jī)形成統(tǒng)一的網(wǎng)絡(luò)，共同接入互聯(lián)網(wǎng)。接入層內(nèi)

5、外網(wǎng)需分開配置。在各層走廊設(shè)無線AP。網(wǎng)絡(luò)可提供大樓內(nèi)無線局域網(wǎng)功能及IP電話功能。IP電話用戶可根據(jù)需要通過網(wǎng)絡(luò)信息點(diǎn)靈活配置，網(wǎng)絡(luò)交換機(jī)自帶在線電源。為保證網(wǎng)絡(luò)安全，系統(tǒng)應(yīng)從防火墻、入侵檢測、漏洞掃描、VPN、AAA、CA、安全審計(jì)、安全恢復(fù)和備份、防病毒、物理隔離等多個(gè)角度綜合全面考慮本工程的網(wǎng)絡(luò)安全設(shè)計(jì)。AZr第二章網(wǎng)絡(luò)整體設(shè)計(jì)概述總體網(wǎng)絡(luò)設(shè)計(jì)原則計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)必須適應(yīng)當(dāng)前智能辦公系統(tǒng)的各項(xiàng)應(yīng)用，又可面向未來信息化發(fā)展的需要因此必須是高質(zhì)量的。在設(shè)計(jì)網(wǎng)絡(luò)時(shí)，需要遵循以下原則：（一）實(shí)用性和先進(jìn)性采用先進(jìn)成熟的技術(shù)滿足綜合智能化辦公業(yè)務(wù)需求，兼顧其他相關(guān)的管理需求，盡可能采用先進(jìn)的網(wǎng)

6、絡(luò)技術(shù)以適應(yīng)更高的數(shù)據(jù)、語音、視頻（多媒體）的傳輸需要，使整個(gè)系統(tǒng)在相當(dāng)一段時(shí)期內(nèi)保持技術(shù)的先進(jìn)性，以適應(yīng)未來信息化的發(fā)展的需要。（二）安全可靠性為保證各項(xiàng)業(yè)務(wù)應(yīng)用，網(wǎng)絡(luò)必須具有高可靠性，盡量避免系統(tǒng)的單點(diǎn)故障。要對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備等各個(gè)方面進(jìn)行高可靠性的設(shè)計(jì)和建設(shè)。在采用硬件備份、冗余等可靠性技術(shù)的基礎(chǔ)上，采用相關(guān)的軟件技術(shù)提供較強(qiáng)的管理機(jī)制、控制手段和事故監(jiān)控與網(wǎng)絡(luò)安全保密等技術(shù)措施提高整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全可靠性。（三）靈活性和可擴(kuò)展性計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是一個(gè)不斷發(fā)展的系統(tǒng)，所以它必須具有良好的靈活性和可擴(kuò)展性，能夠根據(jù)合肥國土資源局不斷深入發(fā)展的需要，方便的擴(kuò)展網(wǎng)絡(luò)覆蓋范圍、擴(kuò)大

7、網(wǎng)絡(luò)容量和提高網(wǎng)絡(luò)的各層次節(jié)點(diǎn)的功能。具備支持多種通信媒體、多種物理接口的能力，提供技術(shù)升級、設(shè)備更新的靈活性（四）開放性和互連性具備與多種協(xié)議計(jì)算機(jī)通信網(wǎng)絡(luò)互連互通的特性，確保本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的基礎(chǔ)設(shè)施的作用可以充分的發(fā)揮。在結(jié)構(gòu)上真正實(shí)現(xiàn)開放，基于開放式標(biāo)準(zhǔn)，包括各種局域網(wǎng)、廣域網(wǎng)、計(jì)算機(jī)等，堅(jiān)持統(tǒng)一規(guī)范的原則，從而為未來的發(fā)展奠定基礎(chǔ)。（五）經(jīng)濟(jì)性和投資保護(hù)應(yīng)以較高的性能價(jià)格比構(gòu)建本計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，使資金的產(chǎn)出投入比達(dá)到最大值。能以較低的成本、較少的人員投入來維持系統(tǒng)運(yùn)轉(zhuǎn)，提供高效能與高效益。（六）可管理性由于系統(tǒng)本身具有一定復(fù)雜性，隨著業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)管理的任務(wù)必定會日益繁重。所以

8、在網(wǎng)絡(luò)設(shè)計(jì)中，必須建立一套全面的網(wǎng)絡(luò)管理解決方案。網(wǎng)絡(luò)設(shè)備必須采用智能化，可管理的設(shè)備，同時(shí)采用先進(jìn)的網(wǎng)絡(luò)管理軟件，實(shí)現(xiàn)先進(jìn)的分布式管理。最終能夠?qū)崿F(xiàn)監(jiān)控、監(jiān)測整個(gè)網(wǎng)絡(luò)的運(yùn)行情況，合理分配網(wǎng)絡(luò)資源、動態(tài)配置網(wǎng)絡(luò)負(fù)載、可以迅速確定網(wǎng)絡(luò)故障等。通過先進(jìn)的管理策略、管理工具提高網(wǎng)絡(luò)的運(yùn)行性能、可靠性，簡化網(wǎng)絡(luò)的維護(hù)工作，從而為辦公、管理提供最有力的保障?？傮w組網(wǎng)方案概述根據(jù)合肥市國土資源局計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的具體需求，經(jīng)過合理規(guī)劃，總體網(wǎng)絡(luò)設(shè)計(jì)分為內(nèi)部辦公局域網(wǎng)、外部辦公局域網(wǎng)。網(wǎng)絡(luò)互聯(lián)出口分為Internet接入和國土資源局專網(wǎng)接入。為實(shí)現(xiàn)內(nèi)網(wǎng)和外網(wǎng)物理隔離的要求，內(nèi)網(wǎng)和外網(wǎng)分開組建。網(wǎng)絡(luò)建設(shè)目標(biāo)實(shí)現(xiàn)

9、內(nèi)部局域網(wǎng)、國土資源局專網(wǎng)、外部局域網(wǎng)和Internet互聯(lián)互通，方便快捷的信息交換，同時(shí)健全安全保障體系，確保網(wǎng)絡(luò)與信息的安全。（一）內(nèi)部局域網(wǎng)：內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如下：數(shù)據(jù)中赴內(nèi)兩服務(wù)器FICAMS百J圉桌面無線寬帶接入百扌圉桌面無線寬帶接入百3圉桌面無線寬帶接入辦公區(qū)（9層帖層）IIf丘一E丘FEFE*一-辦公區(qū)（15層以上）辦公區(qū)（9層以下）層次設(shè)計(jì)：內(nèi)部局域網(wǎng)采用標(biāo)準(zhǔn)的三層結(jié)構(gòu)設(shè)計(jì)。核心層采用高端多業(yè)務(wù)路由交換機(jī)，通過雙萬兆鏈路連接各匯聚層交換機(jī)；匯聚層采用全千兆三層交換機(jī)，通過雙千兆鏈路連接各接入層交換機(jī)；接入層采用三層智能交換機(jī)，通過智能彈性堆疊，提供高密度百兆到桌面，雙千兆上行。并

10、通過百兆連接增強(qiáng)型無線AP,提供樓層無線寬帶接入。專網(wǎng)連接：國土資源局專網(wǎng)出口配置高性能專業(yè)防火墻。內(nèi)網(wǎng)核心交換機(jī)通過雙千兆鏈路連接內(nèi)網(wǎng)防火墻,內(nèi)網(wǎng)防火墻再通過100/1000M鏈路連接至國土資源局專網(wǎng)路由器,實(shí)現(xiàn)內(nèi)部局域網(wǎng)到國土資源局專網(wǎng)的互聯(lián),同時(shí)內(nèi)網(wǎng)防火墻有效的防御來自國土資源局專網(wǎng)對內(nèi)部局域網(wǎng)和數(shù)據(jù)中心的威脅。數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）：數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）采用全千兆智能三層交換機(jī)作為匯聚,通過雙千兆捆綁高速鏈路連接至內(nèi)網(wǎng)防火墻DMZ區(qū)。為保障內(nèi)網(wǎng)數(shù)據(jù)中心的高安全需求,在數(shù)據(jù)中心匯聚交換機(jī)與內(nèi)網(wǎng)防火墻間部署高性能IPS入侵防御系統(tǒng)。實(shí)現(xiàn)內(nèi)網(wǎng)和專網(wǎng)對數(shù)據(jù)中心的高效訪問,同時(shí)通過防火墻和入侵

11、防御系統(tǒng)的雙重保護(hù),保障數(shù)據(jù)中心內(nèi)網(wǎng)服務(wù)器的安全。（二）外部局域網(wǎng)：外網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D如下：S7502S7502S36003600S3600S3G0QInternet入謖防鉤IPS200E防火堵F1000毒中諷房（I。層）S7506S7502百扌倒桌面無線寬帶接入百J圉桌面無線寬帶接入百扌留桌面無線寬帶接入辦公區(qū)I5層哄上）t辦公區(qū)宀層I5層）辦公區(qū)（9層以下）S5600數(shù)據(jù)中心外兩服務(wù)理網(wǎng)CAMSP,P缶!層次設(shè)計(jì)：考慮國土資源局內(nèi)網(wǎng)和外網(wǎng)物理結(jié)構(gòu)相同，因此外網(wǎng)也采用標(biāo)準(zhǔn)的三層結(jié)構(gòu)設(shè)計(jì)。核心層采用高端多業(yè)務(wù)路由交換機(jī)，通過雙萬兆鏈路連接各匯聚層交換機(jī)；匯聚層采用全千兆三層以太網(wǎng)交換機(jī)，通過雙千兆

12、鏈路連接各接入層交換機(jī)；接入層采用三層智能交換機(jī)，通過智能彈性堆疊，提供高密度百兆到桌面，雙千兆上行。并通過百兆連接增強(qiáng)型無線AP,提供樓層無線寬帶接入。Internet連接：外網(wǎng)Internet出口配置高性能專業(yè)防火墻，外網(wǎng)核心交換機(jī)通過雙千兆鏈路連接外網(wǎng)防火墻，外網(wǎng)防火墻再通過100/1000M鏈路連接至運(yùn)營商提供的Internet接口，實(shí)現(xiàn)外網(wǎng)的Internet接入。為了更好的抵御來自Internet的威脅，在外網(wǎng)防火墻與Internet接口間部署IPS入侵防御系統(tǒng)，對所有流經(jīng)的流量進(jìn)行深度分析與檢測，從而具備了實(shí)時(shí)阻斷各種網(wǎng)絡(luò)攻擊的能力。數(shù)據(jù)中心（外網(wǎng)服務(wù)器）：數(shù)據(jù)中心（外網(wǎng)服務(wù)器）采

13、用全千兆智能三層交換機(jī)作為匯聚，通過雙千兆高速鏈路連接至外華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書網(wǎng)防火墻DMZ區(qū)；實(shí)現(xiàn)外部服務(wù)器對外網(wǎng)和Internet提供訪問服務(wù)，同時(shí)外網(wǎng)防火墻有效的防御來自Internet外部局域網(wǎng)和外部服務(wù)器的威脅。（三）網(wǎng)絡(luò)管理平臺：網(wǎng)絡(luò)設(shè)備管理：采用Quidway網(wǎng)管平臺實(shí)現(xiàn)通信設(shè)備的統(tǒng)一管理和維護(hù)。Quidview網(wǎng)絡(luò)管理軟件基于靈活的組件化結(jié)構(gòu)，包括網(wǎng)絡(luò)管理框架、設(shè)備管理系統(tǒng)、網(wǎng)絡(luò)配置中心、分支網(wǎng)點(diǎn)智能管理系統(tǒng)、Web報(bào)表系統(tǒng)等多個(gè)組件，用戶可以根據(jù)組網(wǎng)情況和管理需要靈活選擇自己需要的組件，真正實(shí)

14、現(xiàn)“按需構(gòu)建”。用戶接入管理：采用CAMS綜合訪問管理服務(wù)器完成終端用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)和權(quán)限管理。支持802.1X、Portal、VPN接入、無線接入等多種認(rèn)證接入方式，支持多業(yè)務(wù)統(tǒng)一認(rèn)證，實(shí)現(xiàn)網(wǎng)絡(luò)的可管理、可運(yùn)營，保證網(wǎng)絡(luò)和用戶信息的安全。CAMS綜合訪問管理服務(wù)器從用戶的網(wǎng)絡(luò)接入控制入手，提供對多種接入方式的支持，通過嚴(yán)格的身份認(rèn)證、安全狀態(tài)評估和終端準(zhǔn)入控制功能，簡單、靈活地解決了企業(yè)網(wǎng)用戶接入控制的問題，可以大幅度提升企業(yè)網(wǎng)絡(luò)的安全性和可管理性。第三章內(nèi)部局域網(wǎng)設(shè)計(jì)內(nèi)網(wǎng)核心層設(shè)計(jì)核心層設(shè)備位于10層中心機(jī)房。采用1臺H3CS7506R高端多業(yè)務(wù)路由交換機(jī)。通過雙萬兆捆綁多膜光纖鏈路

15、連接匯聚層設(shè)備，構(gòu)成高速萬兆骨干，保障核心網(wǎng)數(shù)據(jù)高速全線速交換。核心交換H3CS7506R采用機(jī)箱式模塊化設(shè)計(jì)，整機(jī)共8個(gè)槽位，6個(gè)業(yè)務(wù)槽和2個(gè)主控槽?？伸`活配置百兆、千兆、萬兆不同端口密度，不同接口方式的業(yè)務(wù)接口板，滿足用戶多樣化的需求。核心層大容量高性能特性：H3CS7500系列交換機(jī)采用先進(jìn)的全分布式體系結(jié)構(gòu)設(shè)計(jì)，通過主引擎和分布式高速業(yè)務(wù)接口板上內(nèi)置的Crossbar交換網(wǎng)芯片實(shí)現(xiàn)板內(nèi)、板間二、三層流量的線速分布式轉(zhuǎn)發(fā)，通過分布式高速業(yè)務(wù)接口板上內(nèi)置的高性能CPU與位于主控引擎上的CPU協(xié)同工作，實(shí)現(xiàn)ACL、流分類、QOS、組播等業(yè)務(wù)的全分布式處理。H3CS7506R系列交換機(jī)提供業(yè)界

16、領(lǐng)先的交換能力，高達(dá)1.6Tbps的背板容量，768Gbps路由交換引擎提供432Mpps的數(shù)據(jù)轉(zhuǎn)發(fā)能力，最大可以實(shí)現(xiàn)288個(gè)GE的線速轉(zhuǎn)發(fā)或24個(gè)10GE，適應(yīng)網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展的需求，持續(xù)保護(hù)用戶投資。核心層可靠性：H3CS7500系列交換機(jī)采用電信級、自適應(yīng)的可靠性設(shè)計(jì)，支持無源背板，支持雙路電源供電，支持引擎、電源、風(fēng)扇的冗余，支持單板熱插拔，并可以支持STP/RSTP/MSTP/VRRP等協(xié)議實(shí)現(xiàn)鏈路冗余，同時(shí)S7500系列交換機(jī)具有專利的RRPP彈性環(huán)網(wǎng)保護(hù)技術(shù)，可以提供50ms級別的鏈路故障業(yè)務(wù)快速恢復(fù)手段，這些使得以S7500系列交換機(jī)為核心的骨干網(wǎng)絡(luò)可靠性大大提高，保障了業(yè)務(wù)的

17、永續(xù)性。核心層網(wǎng)絡(luò)安全特性：H3CS7500系列交換機(jī)遵從最小服務(wù)原則，所有可能遭受到攻擊的網(wǎng)絡(luò)服務(wù)在默認(rèn)情況下均關(guān)閉。支持安全的SSH登陸、基于用戶安全策略的SNMPV3、MAC+IP+VLAN綁定、802.1X認(rèn)證等安全策略。支持防網(wǎng)絡(luò)風(fēng)暴攻擊、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報(bào)文攻擊、防網(wǎng)絡(luò)協(xié)議報(bào)文攻擊等安全技術(shù)。豐富的多業(yè)務(wù)支持：H3CS7500系列交換機(jī)支持強(qiáng)大的組播功能、靈活QinQ、802.1x、內(nèi)置DHCP-SERVER、NAT、PBR、POE、EPON等多種業(yè)務(wù)特性，這些業(yè)務(wù)特性極大的提高了企業(yè)網(wǎng)絡(luò)業(yè)務(wù)部署的簡便性和靈活性，同時(shí)增強(qiáng)了對IP語音、視頻、WLAN的

18、支持能力，為企業(yè)IT系統(tǒng)實(shí)現(xiàn)通信整合提供了便利。基于“ASIC+NP”的體系結(jié)構(gòu)，可以靈活的支持業(yè)務(wù)功能的不斷擴(kuò)展，通過多功能網(wǎng)絡(luò)處理器模塊，可以進(jìn)一步支持NAT、PBR等多種高級業(yè)務(wù)特性。特色的網(wǎng)絡(luò)流量分析功能：H3CS7500系列交換機(jī)可以支持NetStream(網(wǎng)流分析)功能，通過NetStream與華為3COMXLOG網(wǎng)絡(luò)分析器相互配合，可幫助網(wǎng)絡(luò)管理員輕松的獲得詳細(xì)的網(wǎng)絡(luò)應(yīng)用信息，使網(wǎng)絡(luò)系統(tǒng)變得透明、可見。例如查看Web、文件傳輸協(xié)議(FTP)、Telnet和其它著名的TCP/IP應(yīng)用所占通信資源的百分比，以及用戶利用網(wǎng)絡(luò)和應(yīng)用資源的詳細(xì)情況，進(jìn)而用于高效地規(guī)劃和分配資源，并保障網(wǎng)絡(luò)

19、的安全運(yùn)營。內(nèi)網(wǎng)匯聚層設(shè)計(jì)匯聚層設(shè)備位于10層中心機(jī)房。采用3臺H3CS7502高端多業(yè)務(wù)路由交換機(jī)，上行通過雙萬兆捆綁光纖鏈路連接至核心交換，下行通過雙千兆捆綁光纖鏈路連接各接入層交換機(jī)。提供大容量、華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書全線速的數(shù)據(jù)匯聚轉(zhuǎn)發(fā)。整個(gè)綜合樓分三個(gè)區(qū)域匯聚，15層以上的樓層接入交換機(jī)集中連接到1臺S7502交換機(jī)；9至15樓層接入交換機(jī)集中連接到1臺S7502交換機(jī)；9層以下樓層接入交換機(jī)集中連接到1臺S7502交換機(jī)。3臺S7502交換機(jī)通過雙萬

20、兆匯聚到核心交換上。匯聚層強(qiáng)大的L2/L3轉(zhuǎn)發(fā)性能：H3CS7502交換機(jī)采用先進(jìn)的全分布式體系結(jié)構(gòu)設(shè)計(jì)，通過分布式高速業(yè)務(wù)接口板上內(nèi)置的Crossbar交換網(wǎng)芯片實(shí)現(xiàn)板內(nèi)、板間二、三層流量的線速分布式轉(zhuǎn)發(fā)，高達(dá)192Gbps的交換容量，提供144Mpps數(shù)據(jù)轉(zhuǎn)發(fā)能力，最大可以實(shí)現(xiàn)96個(gè)GE或8個(gè)10GE的線速轉(zhuǎn)發(fā)，保障了匯聚層網(wǎng)絡(luò)全面升級至萬兆平臺。匯聚層電信級可靠性設(shè)計(jì)：H3CS7500系列交換機(jī)支持無源背板，支持雙路電源供電，支持引擎、電源、風(fēng)扇的冗余，支持單板熱插拔，并可以支持STP/RSTP/MSTP/VRRP等協(xié)議實(shí)現(xiàn)鏈路冗余。匯聚層完善的網(wǎng)絡(luò)安全特性H3CS7500系列交換機(jī)遵從

21、最小服務(wù)原則，所有可能遭受到攻擊的網(wǎng)絡(luò)服務(wù)在默認(rèn)情況下均關(guān)閉。支持安全的SSH登陸、基于用戶安全策略的SNMPV3、MAC+IP+VLAN綁定、802.1X認(rèn)證等安全策略。支持防網(wǎng)絡(luò)風(fēng)暴攻擊、防DOS/DDOS攻擊、防掃描窺探攻擊、防畸形報(bào)文攻擊、防網(wǎng)絡(luò)協(xié)議報(bào)文攻擊等安全技術(shù)。匯聚層豐富的多業(yè)務(wù)支持H3CS7500系列交換機(jī)支持強(qiáng)大的組播功能、靈活QinQ、802.1x、內(nèi)置DHCP-SERVER、NAT、PBR、POE、EPON等多種業(yè)務(wù)特性，這些業(yè)務(wù)特性極大的提高了網(wǎng)絡(luò)業(yè)務(wù)部署的簡便性和靈活性，同時(shí)增強(qiáng)了對IP語音、視頻、WLAN的支持能力，為企業(yè)IT系統(tǒng)實(shí)現(xiàn)通信整合提供了便利。內(nèi)網(wǎng)接入層

22、設(shè)計(jì)內(nèi)網(wǎng)接入層設(shè)備分布于各樓層配線間。統(tǒng)一采用H3CS3600智能彈性三層交換機(jī)，每個(gè)樓層根據(jù)用戶信息接入點(diǎn)的數(shù)量，靈活配置48端口和24端口盒式交換機(jī)，通過智能彈性堆疊，提供高密度端口擴(kuò)展和統(tǒng)一管理。接入層每個(gè)堆疊組通過雙千兆捆綁的光纖鏈路連接到匯聚層交換機(jī)。另外每臺S3600還提供4個(gè)千兆SFP端口，可實(shí)現(xiàn)多千兆捆綁增加上行帶寬，還可以實(shí)現(xiàn)少量千兆到桌面的接入。H3CS3600系列交換機(jī)主要有以下三個(gè)型號：S3600-28P：24個(gè)10/100Base-T以太網(wǎng)端口，4個(gè)1000Base-XSFP千兆以太網(wǎng)端口；S3600-28TP：24個(gè)10/100Base-T以太網(wǎng)端口，2個(gè)1000B

23、ase-XSFP千兆以太網(wǎng)端口，2個(gè)10/100/1000Base-T以太網(wǎng)端口；S3600-52P：48個(gè)10/100Base-T以太網(wǎng)端口，4個(gè)1000Base-XSFP千兆以太網(wǎng)端口；S3600-28P/S3600-28TP交換容量為12.8Gbps,二/三層轉(zhuǎn)發(fā)率9.6Mpps。S3600-52P交換容量為17.6Gbps，二/三層轉(zhuǎn)發(fā)率13.2Mpps。接入層彈性擴(kuò)展技術(shù)一IRF：H3CS3600系列交換機(jī)采用華為3COM公司創(chuàng)新的IRF（IntelligentResilientFramework）智能彈性技術(shù)，與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴(kuò)展性、可靠性、整體架構(gòu)的性能方面具有強(qiáng)大的優(yōu)勢：

24、擴(kuò)展性一IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺設(shè)備的擴(kuò)展，最大擴(kuò)展至384個(gè)10/100M端口；具有即插即用、單一IP管理，同步升級的優(yōu)點(diǎn)，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本?？煽啃酝ㄟ^專利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。分布性-通過分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。接入層完備的安全策略：H3CS3600系列交換機(jī)支持EAD（端點(diǎn)準(zhǔn)入防御）功能，配合后臺系統(tǒng)可以將終端防病毒、補(bǔ)丁修復(fù)等終端安全措施與

25、網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個(gè)聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個(gè)網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。H3CS3600支持跨交換機(jī)的遠(yuǎn)程端口鏡像功能（RSPAN），可以將接入端口的流量鏡像到核心交換機(jī)（例如S9500/7500）上，在核心上啟動網(wǎng)流分析（Netstream）功能，配合XLOG系統(tǒng)對監(jiān)控端口的業(yè)務(wù)和流量進(jìn)行監(jiān)控、優(yōu)化部署和惡意攻擊監(jiān)控。H3CS3600系列交換機(jī)提供DHCPSnooping（偵聽）功能，通過建立和維護(hù)DHCPSnoopi

26、ng綁定表實(shí)現(xiàn)偵聽接入用戶的MAC地址、IP地址、租用期、VLAN-ID接口等信息，解決了DHCP用戶的IP和端口跟蹤定位問題。同時(shí)對不符合綁定表項(xiàng)的非法報(bào)文（ARP欺騙報(bào)文、擅自修改IP地址的報(bào)文）直接丟棄，保證DHCP環(huán)境的真實(shí)性和一致性。同時(shí)利用DHCPSnooping的信任端口特性可以保證DHCPServer的合法性。接入層多業(yè)務(wù)融合能力：H3CS3600系列交換機(jī)提供豐富的QOS功能，能為數(shù)據(jù)、語音、視頻、多媒體等不同的業(yè)務(wù)提供服務(wù)質(zhì)量保證。H3CS3600系列交換機(jī)通過支持VoiceVLAN技術(shù)和智能POE技術(shù)很好的解決了該類設(shè)備的智能檢測、供電和優(yōu)先級的調(diào)整問題。接入層高可靠性設(shè)

27、計(jì)：H3CS3600系列交換機(jī)除了支持高可靠性的IRF技術(shù)以外，還支持傳統(tǒng)的STP/RSTP/MSTP二層鏈路保護(hù)技術(shù)，極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時(shí)的冗余路由拓?fù)浣Y(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持ECMP（等價(jià)路由），通過配置多條等值路徑實(shí)現(xiàn)上行路由的冗余備份和負(fù)載分擔(dān)。采用交流/直流雙輸入設(shè)計(jì)，設(shè)備既可以采用交流電源輸入，也可以直流電源輸入，二者之間熱備份。無線寬帶接入設(shè)計(jì)無線寬帶接入采用H3CWA1208E無線接入點(diǎn)設(shè)備，部署在各樓層走廊，為樓層辦公區(qū)和不方便布線

28、的區(qū)域提供無線100M帶寬的接入。無線接入設(shè)備通過百兆六類銅纜連接到接入層交換上。根據(jù)各樓層區(qū)域面積和無線接入用戶數(shù)量，每樓層配置若干臺H3CWA1208E無線AP設(shè)備，提供大樓內(nèi)無線局域網(wǎng)功能及無線IP電話功能。H3CWA1208E支持802.11i安全機(jī)制、802.11eEDCFQoS機(jī)制、802.11f切換機(jī)制，并提供了如虛擬AP、多類型認(rèn)證方法共存、多樣化的計(jì)費(fèi)策略、多層次的安全策略、全面的二層特性、豐富的管理維護(hù)手段。為用戶構(gòu)建理想的無線局域網(wǎng)。H3CWA1208E產(chǎn)品特點(diǎn)：標(biāo)準(zhǔn)：支持IEEE802.11a、802.11b、802.11g、802.3、802.3u、802.3af；數(shù)

29、據(jù)速率：自動偵測聯(lián)機(jī)速度支持54Mbps、48Mbps、36Mbps、24Mbps、18Mbps、12Mbps、11Mbps、9Mbps、6Mbps、5.5Mbps、2Mbps、1Mbps；虛擬AP：支持多SSID區(qū)分網(wǎng)絡(luò)，便于安全策略、服務(wù)質(zhì)量策略的隔離或多運(yùn)營商共同運(yùn)營；空口安全：支持64/128WEP加密；支持TKIP加密；支持802.11i,支持AES加密；支持加密方式與SSID的綁定；支持ESSID隱含功能；服務(wù)質(zhì)量：無線支持802.11eEDCF；以太網(wǎng)口支持802.1p；支持優(yōu)先級隊(duì)列；支持流量限制（CAR）；支持流分類；支持SSID/VLAN綁定QOS策略；WDS：支持PTP、

30、PTMP工作模式；支持連接速率鎖定、傳輸報(bào)文整合，提高傳輸效率；二層策略：支持二層轉(zhuǎn)發(fā)抑止、SSID隔離、WAN接口MAC地址過濾、ACL控制用戶接入；支持MAC地址學(xué)習(xí)；支持生成樹功能；支持基于多種策略的VLAN標(biāo)記，支持鏈路完整性；三層轉(zhuǎn)發(fā)：支持靜態(tài)IP地址；支持DHCP獲取IP地址；支持靜態(tài)路由；負(fù)載均衡：支持基于用戶數(shù)的負(fù)載均衡、基于流量的負(fù)載均衡；性能檢測：支持基于AP的性能監(jiān)測，包括用戶列表、流量等統(tǒng)計(jì)信息顯示等；輸出功率：支持輸出功率最大500mW、多級功率可調(diào)；接收靈敏度：接收靈敏度達(dá)到-97dBm，可以保證覆蓋更大距離；供電模式：支持POE（-48V遠(yuǎn)供）、支持本地供電；可靠

31、性：設(shè)備上電自檢，升級失敗保護(hù)，支持硬件WatchDog；可管理性：支持SNMP、Web、Telnet對AP的故障、配置、重啟等管理，支持HGMP（華為集群管理協(xié)議）實(shí)現(xiàn)對AP的管理，節(jié)省管理IP地址，提高管理能力；升級維護(hù)：支持各種安裝方式、支持軟件遠(yuǎn)程升級以及配置文件上傳下載；工作模式：適用于多種應(yīng)用場合，既可提供接入功能，也可以提供橋接功能，或兩種功能同時(shí)提供專網(wǎng)連接國土資源局專網(wǎng)出口配置1臺SecPathF1000-S高性能專業(yè)防火墻。內(nèi)網(wǎng)核心交換機(jī)通過雙千兆捆綁高速鏈路連接內(nèi)網(wǎng)防火墻，內(nèi)網(wǎng)防火墻再通過100/1000M鏈路連接至國土資源局專網(wǎng)路由器，實(shí)現(xiàn)內(nèi)部局域網(wǎng)到國土資源局專網(wǎng)的互

32、聯(lián)，同時(shí)內(nèi)網(wǎng)防火墻有效的防御來自國土資源局專網(wǎng)對內(nèi)部局域網(wǎng)和數(shù)據(jù)中心的威脅。H3CSecPathF1000-S防火墻提供四個(gè)千兆以太網(wǎng)接口，其中兩個(gè)千兆電口，兩個(gè)千兆光電復(fù)用接口。還提供兩個(gè)MIM插槽，可支持4個(gè)百兆或千兆端口擴(kuò)展。高達(dá)lGbps吞吐量的數(shù)據(jù)檢測，支持100萬個(gè)并發(fā)連接。數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）數(shù)據(jù)中心（內(nèi)網(wǎng)服務(wù)器）采用1臺H3CS5600全千兆智能三層交換機(jī)作為匯聚，通過高密度千兆以太網(wǎng)接口連接內(nèi)網(wǎng)各功能服務(wù)器，通過雙千兆捆綁高速鏈路連接至內(nèi)網(wǎng)防火墻DMZ區(qū)。為保障內(nèi)網(wǎng)數(shù)據(jù)中心的高安全需求，在數(shù)據(jù)中心匯聚交換機(jī)與內(nèi)網(wǎng)防火墻間部署1臺TippingPoint6OOEIPS高性能入

33、侵防御系統(tǒng)。實(shí)現(xiàn)內(nèi)網(wǎng)和專網(wǎng)對數(shù)據(jù)中心的高效訪問，同時(shí)通過防火墻和入侵防御系統(tǒng)的雙重保護(hù)，有效防御來自內(nèi)部局域網(wǎng)和國土資源局專網(wǎng)的威脅。H3CTippingPoint系列IPS，具備對2層到7層流量的深度分析與檢測能力，同時(shí)配合以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)上應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。TippingPoint600EIPS可提供8個(gè)10/100/1000M以太網(wǎng)接口，光接口和電接口可靈活選擇，可同時(shí)保護(hù)4個(gè)網(wǎng)段；高達(dá)400Mbps數(shù)據(jù)檢測吞吐

34、量，200萬并發(fā)連接。很好的解決了數(shù)據(jù)中心高安全性要求和高帶寬保障的矛盾，在保障數(shù)據(jù)中心高度安全的情況下，并不降低數(shù)據(jù)中心的訪問效率，不會讓安全設(shè)備成為數(shù)據(jù)中心的帶寬瓶頸。H3CS5600系列交換機(jī)產(chǎn)品特性：大容量全線速的多層交換S5600系列交換機(jī)具有192G/240G的交換容量和66M/102Mpps的二/三層包轉(zhuǎn)發(fā)能力，支持所有端口線速轉(zhuǎn)發(fā)。設(shè)備最大提供24/48端口10/100/1000M電接口、32個(gè)SFP千兆光接口或2個(gè)10G接口，充分滿足客戶對高密度GE和萬兆上行設(shè)備的需求。設(shè)備具備強(qiáng)大的IRF堆疊擴(kuò)展能力，極大的節(jié)省了用戶對設(shè)備的投資。IRF智能彈性架構(gòu)技術(shù)S5600系列交換機(jī)

35、采用創(chuàng)新的IRF智能彈性技術(shù)，與傳統(tǒng)組網(wǎng)技術(shù)相比，在擴(kuò)展性、可靠性、整體架構(gòu)的性能方面具有強(qiáng)大的優(yōu)勢，主要體現(xiàn)在三個(gè)方面；擴(kuò)展性一IRF技術(shù)允許交換機(jī)利用互聯(lián)電纜實(shí)現(xiàn)多臺設(shè)備的擴(kuò)展，最大實(shí)現(xiàn)8臺設(shè)備的彈性擴(kuò)展；具有即插即用、單一IP管理，同步升級的優(yōu)點(diǎn)，同時(shí)大大降低系統(tǒng)擴(kuò)展的成本?？煽啃砸煌ㄟ^專利的路由熱備份技術(shù)，在整個(gè)堆疊架構(gòu)內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā)，極大的增強(qiáng)了堆疊架構(gòu)的可靠性和高性能，同時(shí)消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。分布性一通過分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個(gè)網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率。高可靠性S560

36、0系列交換機(jī)采用IRF技術(shù)組網(wǎng)后，能夠在整個(gè)堆疊組內(nèi)實(shí)現(xiàn)控制平面和數(shù)據(jù)平面所有信息的冗余備份，極大地增強(qiáng)了設(shè)備和網(wǎng)絡(luò)的可靠性，消除了單點(diǎn)故障，避免了業(yè)務(wù)中斷。同時(shí)H3CS5600系列交換機(jī)不僅支持STP/RSTP生成樹協(xié)議，還提供了基于多VLAN的生成樹MSTP,極大提高了鏈路的冗余備份，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。支持VRRP虛擬路由冗余協(xié)議，與其他三層交換機(jī)構(gòu)建VRRP備份組。構(gòu)建故障時(shí)的冗余路由拓樸結(jié)構(gòu)，保持通訊的連續(xù)性和可靠性，有效保障網(wǎng)絡(luò)穩(wěn)定。支持在設(shè)備上配置多條等價(jià)路由的方式實(shí)現(xiàn)上行路由的冗余備份，當(dāng)主上行路由發(fā)生故障時(shí)自動切換到下一條備份路由，實(shí)現(xiàn)上行路由的多級備份。采用交

37、、直流雙輸入電源模塊供電，也可以通過更換電源模塊來支持PoE功能，提供所有固定端口的PoE滿負(fù)載。豐富的QOS策略H3CS5600系列交換機(jī)支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協(xié)議的L2L7復(fù)雜流分類；每端口支持100個(gè)流規(guī)則，整機(jī)支持3200/5600個(gè)流規(guī)則，充分保障了復(fù)雜網(wǎng)絡(luò)對于QoS規(guī)則的要求。提供靈活的隊(duì)列調(diào)度算法，可以同時(shí)基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三種模式；支持8個(gè)優(yōu)先級隊(duì)列。支持CAR(CommittedAccessRate)功能，可以實(shí)現(xiàn)基于端口

38、和基于流的速率限制，限制的粒度可以精確至64Kbps，為網(wǎng)絡(luò)帶寬的精細(xì)化管理提供了手段。第四章外部局域網(wǎng)設(shè)計(jì)外網(wǎng)層次結(jié)構(gòu)設(shè)計(jì)考慮合肥市國土資源局計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)外網(wǎng)和內(nèi)網(wǎng)物理結(jié)構(gòu)完全相同，因此外部局域網(wǎng)與內(nèi)部局域網(wǎng)采用相同的層次結(jié)構(gòu)設(shè)計(jì)，核心層、匯聚層和接入層均采用與內(nèi)部局域網(wǎng)相同的設(shè)備選型和配置，采用相同的鏈路連接方式。外部局域網(wǎng)層次結(jié)構(gòu)設(shè)計(jì)參見上述內(nèi)部局域網(wǎng)三層結(jié)構(gòu)設(shè)計(jì)，這里不再復(fù)述。外網(wǎng)Internet連接外網(wǎng)Internet出口配置1臺SecPathF1000-S高性能專業(yè)防火墻，外網(wǎng)核心交換機(jī)通過雙千兆捆綁高速鏈路連接外網(wǎng)防火墻，外網(wǎng)防火墻再通過100/1000M鏈路連接至運(yùn)營商提供的

39、Internet接口，實(shí)現(xiàn)外網(wǎng)的Internet接入。為了更好的抵御來自Internet的威脅，在外網(wǎng)防火墻與Internet華為3com華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書接口間部署1臺TippingPoint200EIPS入侵防御系統(tǒng)，對所有流經(jīng)的流量進(jìn)行深度分析與檢測，從而具備了實(shí)時(shí)阻斷各種網(wǎng)絡(luò)攻擊的能力。隨著Internet環(huán)境面臨的威脅越來越多，傳統(tǒng)的安全技術(shù)與設(shè)備已經(jīng)無法獨(dú)立應(yīng)對，網(wǎng)絡(luò)需要新的技術(shù)來解決這些日益猖獗的病毒、攻擊、濫用引發(fā)的問題。入侵防御系統(tǒng)（IPS，IntrusionPreventionSystem）通過對2層到7層流量的深度分析與檢測能力，同時(shí)配合

40、以精心研究的攻擊特征知識庫和用戶規(guī)則，即可以有效檢測并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對網(wǎng)絡(luò)上應(yīng)用的保護(hù)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保護(hù)和網(wǎng)絡(luò)性能的保護(hù)。TippingPoint200EIPS可提供4個(gè)10/100/1000M以太網(wǎng)接電口，可同時(shí)保護(hù)2個(gè)網(wǎng)段；高達(dá)200Mbps數(shù)據(jù)檢測吞吐量，200萬并發(fā)連接。數(shù)據(jù)中心（外網(wǎng)服務(wù)器）數(shù)據(jù)中心（外網(wǎng)服務(wù)器）采用1臺H3CS5600全千兆智能三層交換機(jī)作為匯聚，通過雙千兆高速鏈路連接至外網(wǎng)防火墻DMZ區(qū)，實(shí)現(xiàn)外部局域網(wǎng)和Internet對外網(wǎng)服務(wù)器的高效訪問，同時(shí)外網(wǎng)防火墻有效的防御來自I

41、nternet外部局域網(wǎng)和外部服務(wù)器的威脅。第五章網(wǎng)絡(luò)安全設(shè)計(jì)5.1網(wǎng)絡(luò)安全概述隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，全球信息化已成為人類發(fā)展的大趨勢，給政府機(jī)構(gòu)、企事業(yè)單位帶來了革命性的改革。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、網(wǎng)絡(luò)的開放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、惡意軟件和其他不軌的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。為了確保信息的安全與暢通，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，進(jìn)行有效的管理和控制，主要體現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)隔離需求：合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書主要是指能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對不同區(qū)域之間的流量進(jìn)行控制，通過對數(shù)據(jù)包的

42、源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)，可以實(shí)現(xiàn)對網(wǎng)絡(luò)流量的精細(xì)控制，把可能的安全風(fēng)險(xiǎn)控制在相對獨(dú)立的區(qū)域內(nèi)，避免安全風(fēng)險(xiǎn)的大規(guī)模擴(kuò)散。攻擊防范能力：由于TCP/IP協(xié)議的開放特性，缺少足夠的安全特性的考慮，帶來了很大的安全風(fēng)險(xiǎn)，常見的IP地址竊取、IP地址假冒、網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（DoS/DDoS）等，必須能夠提供有效的檢測和防范措施。網(wǎng)絡(luò)優(yōu)化需求：對于用戶應(yīng)用網(wǎng)絡(luò)，必須提供靈活的流量管理能力，保證關(guān)鍵用戶和關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，同時(shí)應(yīng)該提供完善的QoS機(jī)制，保證數(shù)據(jù)傳輸?shù)馁|(zhì)量。另外，應(yīng)該能夠?qū)σ恍┏Ｒ姷母邔訁f(xié)議，提供細(xì)粒度的控制和過濾能力，比如支持WEB和E

43、MAIL過濾，支持P2P識別并限流等能力。用戶管理需求：對于接入局域網(wǎng)、廣域網(wǎng)或者Internet的內(nèi)網(wǎng)用戶，都需要對他們的網(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括進(jìn)行身份認(rèn)證、對訪問資源的限制、終端安全狀態(tài)檢測、對網(wǎng)絡(luò)訪問行為進(jìn)行控制等。5.2H3C網(wǎng)絡(luò)安全解決方案概述H3C根據(jù)在網(wǎng)絡(luò)安全領(lǐng)域內(nèi)多年的知識和經(jīng)驗(yàn)積累，提出以下的安全分區(qū)設(shè)計(jì)模型，主要包括內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、外聯(lián)數(shù)據(jù)區(qū)、互聯(lián)網(wǎng)連接區(qū)、對外連接區(qū)、網(wǎng)絡(luò)管理區(qū)、廣域網(wǎng)連接區(qū)等區(qū)域。通過以上的分區(qū)設(shè)計(jì)和網(wǎng)絡(luò)現(xiàn)狀，H3C提出了以防火墻、應(yīng)用層防御系統(tǒng)、EAD端點(diǎn)準(zhǔn)入防御為支撐的深度安全解決方案：防火墻防火墻是最主流也是最重要的安全產(chǎn)品，是安全解決

44、方案的核心。它可以對整個(gè)網(wǎng)絡(luò)進(jìn)行區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊，如拒絕服務(wù)攻擊、端口掃描、IP欺騙、IP盜用等進(jìn)行有效防護(hù)；并提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定、智能蠕蟲防護(hù)等安全增強(qiáng)措施。應(yīng)用層防御華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書傳統(tǒng)的安全解決方案中，防火墻和入侵檢測系統(tǒng)(IDS,IntrusionDetectionSystem)已經(jīng)被普遍接受，但僅僅有防火墻和IDS還不足以完全保護(hù)網(wǎng)絡(luò)不受攻擊。防火墻作為一個(gè)網(wǎng)絡(luò)層的安全設(shè)備，不能充分地分析應(yīng)用層協(xié)議數(shù)據(jù)中的攻擊

45、信號，而IDS也不能阻擋檢測到的攻擊。因此，即使在網(wǎng)絡(luò)中已部署了防火墻、IDS等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢。產(chǎn)生這個(gè)問題的原因并不是當(dāng)初網(wǎng)絡(luò)設(shè)計(jì)不周，而是近年來蠕蟲、P2P、木馬等安全威脅日益滋長并演變到應(yīng)用層面的結(jié)果，必須有相應(yīng)的技術(shù)手段和解決方案來解決針對應(yīng)用層的安全威脅。以入侵防御系統(tǒng)(IPS,IntrusionPreventionSystem)為代表的應(yīng)用層安全設(shè)備，作為防火墻的重要補(bǔ)充，很好的解決了應(yīng)用層防御的問題，并且變革了管理員構(gòu)建網(wǎng)絡(luò)防御的方式。通過在線部署，檢測并直接阻斷惡意流量。終端準(zhǔn)入防御EAD解決方案在用戶接入

46、網(wǎng)絡(luò)前，強(qiáng)制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果，強(qiáng)制實(shí)施用戶接入控制策略，對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫升級、系統(tǒng)補(bǔ)丁安裝等操作；在保證用戶終端具備自防御能力并安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。5.3合肥市國土資源局內(nèi)部局域網(wǎng)安全設(shè)計(jì)合肥市國土資源局內(nèi)部局域網(wǎng)安全組網(wǎng)示意圖：內(nèi)部辦公局域網(wǎng)是合肥市國土資源局信息化;合肥市國土黃源尾內(nèi)網(wǎng)著國土資源局的日常工作，內(nèi)部的很多資料和信息需要高度保密和通信安全。因此內(nèi)部局域網(wǎng)要求與外部局域網(wǎng)和Internet保持完全的物理隔離。國土資源局專網(wǎng)相對于公共的Internet的

47、環(huán)境要安全很多，但也不能排除安全威脅的存在，因此內(nèi)部局域網(wǎng)與國土資源局專網(wǎng)互聯(lián)采用一臺H3CSecPathF1000-S高性能防火墻，隔離來自專網(wǎng)的網(wǎng)絡(luò)攻擊和非法數(shù)據(jù)流，避免專網(wǎng)和內(nèi)網(wǎng)的安全威脅相互擴(kuò)散。內(nèi)網(wǎng)數(shù)據(jù)中心是信息化建設(shè)的核心，掌控建設(shè)單位的眾多信息資源，其重要性不言而喻。將內(nèi)網(wǎng)數(shù)據(jù)中心部署在內(nèi)網(wǎng)防火墻的DMZ區(qū)，確保內(nèi)網(wǎng)數(shù)據(jù)中心與內(nèi)網(wǎng)和專網(wǎng)的安全隔離。同時(shí)在內(nèi)網(wǎng)數(shù)據(jù)中心入口部署1臺TippingPoint600EIPS入侵防御系統(tǒng)，對所有訪問數(shù)據(jù)中心的流量進(jìn)行深度分析與檢測，實(shí)時(shí)阻斷攻擊，確保正常業(yè)務(wù)流的數(shù)據(jù)交換。H3CSecPathF1000-S是華為3Com公司面向大中型企業(yè)用戶

48、開發(fā)的新一代專業(yè)防火墻設(shè)備。支持外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能，能夠有效的保證網(wǎng)絡(luò)的安全；采用ASPF(ApplicationSpecificPacketFilter)應(yīng)用狀態(tài)檢測技術(shù)，可對連接狀態(tài)過程和異常命令進(jìn)行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志,提供網(wǎng)絡(luò)管理監(jiān)控，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；支持多種VPN業(yè)務(wù)，如L2TPVPN、GREVPN、IPSecVPN、動態(tài)VPN等，可以構(gòu)建多種形式的VPN；提供基本的路由能力，支持RIP/OSPF侶GP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊(duì)

49、列調(diào)度策略。SecPathF1000-S防火墻充分考慮網(wǎng)絡(luò)應(yīng)用對高可靠性的要求，采用互為冗余備份的雙電源（11備份）模塊，支持交、直流輸入電源模塊；業(yè)務(wù)接口卡支持熱插拔，充分滿足網(wǎng)絡(luò)維護(hù)、升級優(yōu)化的需求；支持雙機(jī)狀態(tài)熱備，支持Active/Active和Active/Passive兩種工作模式。提供機(jī)箱內(nèi)部環(huán)境溫度檢測功能，并支持網(wǎng)管。市場領(lǐng)先的安全防護(hù)功能增強(qiáng)型狀態(tài)安全過濾：支持基礎(chǔ)、擴(kuò)展和基于接口的狀態(tài)檢測包過濾技術(shù)，支持按照時(shí)間段進(jìn)行過濾；支持華為3Com特有ASPF應(yīng)用層報(bào)文過濾（ApplicationSpecificPacketFilter）協(xié)議，支持對每一個(gè)連接狀態(tài)信息的維護(hù)監(jiān)測并

50、動態(tài)地過濾數(shù)據(jù)包，支持對FTP、HTTP、SMTP、RTSP、H.323（包括Q.931,H.245,RTP/RTCP等）應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控?？构舴婪赌芰Γ喊ǘ喾NDoS/DDoS攻擊防范、ARP欺騙攻擊的防范、提供ARP主動反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能；靜態(tài)和動態(tài)黑名單功能；MAC和IP綁定功能；支持智能防范蠕蟲病毒技術(shù)。應(yīng)用層內(nèi)容過濾：可以有效的識別網(wǎng)絡(luò)中的BT、Edonkey、Emule等各種P2

51、P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護(hù)網(wǎng)絡(luò)帶寬；支持郵件過濾，提供SMTP郵件地址、標(biāo)題和內(nèi)容過濾；支持網(wǎng)頁過濾，提供HTTPURL和內(nèi)容過濾；支持應(yīng)用層過濾，提供Java/ActiveXBlocking和SQL注入攻擊防范。多種安全認(rèn)證服務(wù)：支持RADIUS和HWTACACS協(xié)議及域認(rèn)證；支持基于PKI/CA體系的數(shù)字證書（X.509格式）認(rèn)證功能；在PPP線路上支持CHAP和PAP驗(yàn)證協(xié)議；支持用戶身份管理，不同身份的用戶擁有不同的命令執(zhí)行權(quán)限；支持用戶視圖分級，不同級別的用戶賦予不同的管理配置權(quán)限。集中管理與審計(jì)：提供各種日志功能、流量統(tǒng)計(jì)和分析功能、各種事件監(jiān)控和統(tǒng)計(jì)

52、功能、郵件告警功能。全面NAT應(yīng)用支持：提供多對一、多對多、靜態(tài)網(wǎng)段、雙向轉(zhuǎn)換、EasyIP和DNS映射等NAT應(yīng)用方式；支持多種應(yīng)用協(xié)議正確穿越NAT,提供DNS、FTP、H.323、ILS、MSN、NBT、PPTP、SIP等NATALG功能。華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書TippingPoint的入侵防御系統(tǒng)能夠阻止蠕蟲、病毒、木馬、拒絕服務(wù)攻擊、間諜軟件、VOIP攻擊以及點(diǎn)到點(diǎn)應(yīng)用濫用。通過深達(dá)第七層的流量偵測，TippingPoint的入侵防御系統(tǒng)能夠在發(fā)生損失之前阻斷惡意流量。利用TippingPoint提供的

53、數(shù)字疫苗服務(wù)，入侵防御系統(tǒng)能得到及時(shí)的特征、漏洞過濾器、協(xié)議異常過濾器和統(tǒng)計(jì)異常過濾器更新從而主動地防御最新的攻擊。此外,TippingPoint的入侵防御系統(tǒng)是目前能夠提供微秒級時(shí)延、高達(dá)5G的吞吐能力和帶寬管理能力的最強(qiáng)大的入侵防御系統(tǒng)。通過全面的數(shù)據(jù)包偵測，TippingPoint的入侵防御系統(tǒng)提供吉比特速率上的應(yīng)用、網(wǎng)絡(luò)架構(gòu)和性能保護(hù)功能。應(yīng)用保護(hù)能力針對來自內(nèi)部和外部的攻擊提供快速、精準(zhǔn)、可靠的防護(hù)。由于具有網(wǎng)絡(luò)架構(gòu)保護(hù)能力，TippingPoint的入侵防御系統(tǒng)保護(hù)VOIP系統(tǒng)、路由器、交換機(jī)、DNS和其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭惡意攻擊和防止流量出現(xiàn)異常。TippingPoint的入侵防

54、御系統(tǒng)的性能保護(hù)能力幫助客戶來遏制非關(guān)鍵業(yè)務(wù)搶奪寶貴的帶寬和IT資源，從而確保網(wǎng)路資源的合理配置并保證關(guān)鍵業(yè)務(wù)的性能。TippingPointIPS產(chǎn)品特點(diǎn)：主動式的入侵防御TippingPointIPS可以被“in-line”地部署到網(wǎng)絡(luò)當(dāng)中去，對所有流經(jīng)的流量進(jìn)行深度分析與檢測，從而具備了實(shí)時(shí)阻斷攻擊的能力，同時(shí)對正常流量不產(chǎn)生任何影響?；谄涓咚俸涂蓴U(kuò)展的硬件平臺，TippingPointIPS不斷優(yōu)化檢測性能，使其能夠達(dá)到與交換機(jī)同等級別的高吞吐量和低延時(shí)，同時(shí)可以對所有主要網(wǎng)絡(luò)應(yīng)用進(jìn)行分析，精確鑒別和阻斷攻擊。無與倫比的高性能TippingPoint200IPS具備絕對領(lǐng)先的能與交換

55、機(jī)媲美的性能指標(biāo)：高達(dá)200Mbps吞吐量的線速檢測、轉(zhuǎn)發(fā)；低時(shí)延(最大時(shí)延215微秒)；精確檢測攻擊并實(shí)時(shí)阻斷；支持200萬個(gè)并發(fā)連接；支持每秒25萬個(gè)新建立連接。威脅抑制引擎(TSE,ThreatSuppressionEngine)TippingPoint基于ASIC、FPGA和NP技術(shù)開發(fā)的威脅抑制引擎(TSE，ThreatSuppressionEngine)是高性能和精確檢測的基礎(chǔ)。該核心架構(gòu)提供的大規(guī)模并行處理機(jī)制10,000條以上并行過濾器)，使得TippingPointIPS對一個(gè)報(bào)文從2層到7層所有信息的檢測可以在215微秒內(nèi)完成，并且保證處理時(shí)間與檢測特征數(shù)量無線性關(guān)系。采用

56、流水線與大規(guī)模并行處理融合技術(shù)的TSE可以對一個(gè)報(bào)文同時(shí)進(jìn)行幾千種檢測，從而將整體的處理性能提高到最佳水平。在具備高速檢測功能的同時(shí)，TSE還提供增值的流量分類、流量管理和流量整形功能。TSE可以自動統(tǒng)計(jì)和計(jì)算正常狀況下網(wǎng)絡(luò)內(nèi)各種應(yīng)用流量的分布，并且基于該統(tǒng)計(jì)形成流量框架模型；當(dāng)DoS/DDoS攻擊發(fā)生，或者華為3com華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書短時(shí)間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)內(nèi)流量發(fā)生異常時(shí)，TSE將根據(jù)已經(jīng)建立的流量框架模型限制或者丟棄異常流量，保證關(guān)鍵業(yè)務(wù)的可達(dá)性和通暢性。此外，為防止大量的P2P、IM流量侵占帶寬，TSE還支持對100多種點(diǎn)到點(diǎn)應(yīng)用的限速功能，

57、保證關(guān)鍵應(yīng)用所需的帶寬。安全保障無處不在TippingPointIPS在跟蹤流狀態(tài)的基礎(chǔ)上，對報(bào)文進(jìn)行2層到7層信息的深度檢測，可以在蠕蟲、病毒、木馬、DoS/DDoS、后門、Walk-in蠕蟲、連接劫持、帶寬濫用等威脅發(fā)生前成功地檢測并阻斷，而且，TippingPointIPS也能夠有效防御針對路由器、交換機(jī)、DNS服務(wù)器等網(wǎng)絡(luò)重要基礎(chǔ)設(shè)施的攻擊。TippingPointIPS還支持基于訪問控制列表(ACL)的檢測、基于統(tǒng)計(jì)的檢測、基于協(xié)議跟蹤的檢測、基于應(yīng)用異常的檢測、報(bào)文規(guī)范檢測(Normalization)、IP報(bào)文重組和TCP流恢復(fù)。以上機(jī)制協(xié)同工作，TippingPointIPS可

58、以對流量進(jìn)行細(xì)微粒度的識別與控制，有效檢測流量激增、緩沖區(qū)溢出、漏洞探測、IPS規(guī)避等一些已知的、甚至未知的攻擊。業(yè)界領(lǐng)先的安全威脅分析團(tuán)隊(duì)TippingPoint的安全威脅分析團(tuán)隊(duì)也處于業(yè)界領(lǐng)先的地位。該團(tuán)隊(duì)是安全威脅快訊SANSRisk的主要撰稿人，SANSRisk每周定期向其全球范圍內(nèi)30萬專業(yè)訂閱者摘要披露最新安全威脅的公告，內(nèi)容包含最新發(fā)現(xiàn)的漏洞、漏洞所帶來的影響、表現(xiàn)形式，而且指導(dǎo)用戶如何采取防范措施。SANSRisk公告可以在 HYPERLINK /newsletters/risk%e5%85%8d%e8%b4%b9%e8%ae%a2%e9%98%85 /newsletters/

59、risk免費(fèi)訂閱數(shù)字疫苗(DV,DigitalVaccine)保障實(shí)時(shí)安全TippingPoint實(shí)時(shí)更新、發(fā)布的數(shù)字疫苗(DV,DigitalVaccine)是網(wǎng)絡(luò)免疫的保障與基礎(chǔ)。在撰寫SANSRisk公告的同時(shí)，TippingPoint的專業(yè)團(tuán)隊(duì)同時(shí)跟蹤其它知名安全組織和廠商發(fā)布的安全公告；經(jīng)過跟蹤、分析、驗(yàn)證所有這些威脅，生成供TippingPointIPS使用的可以保護(hù)這些漏洞的特征知識庫-數(shù)字疫苗，它針對漏洞的本質(zhì)進(jìn)行保護(hù)，而不是根據(jù)特定的攻擊特征進(jìn)行防御。數(shù)字疫苗以定期(每周)和緊急(當(dāng)重大安全漏洞被發(fā)現(xiàn))兩種方式發(fā)布，并且能夠通過內(nèi)容發(fā)布網(wǎng)絡(luò)自動地分發(fā)到用戶駐地的IPS設(shè)備中，

60、從而使得用戶的IPS設(shè)備在漏洞被公布的同時(shí)立刻具備防御零時(shí)差攻擊的能力。TippingPoint還與全球著名的系統(tǒng)軟件廠商，如Microsoft、Oracle等，保持了良好的合作關(guān)系。在某個(gè)漏洞被發(fā)現(xiàn)后，TippingPoint能夠在第一時(shí)間(即廠商公布安全公告之前)獲得該漏洞的詳細(xì)信息，并且利用這一時(shí)間差及時(shí)制作可以防御該漏洞的數(shù)字疫苗，使得用戶的網(wǎng)絡(luò)免遭這種“零時(shí)差攻擊”(Zero-dayAttack)。無縫部署-簡易、高性能、無沖擊華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書華為3com合肥市國土資源局綜合樓網(wǎng)絡(luò)方案技術(shù)建議書TippingPointIPS的設(shè)計(jì)遵循了一個(gè)很重要的