XXXX市政府電子政務(wù)網(wǎng)絡(luò)

1、XXXX市市行政中心心電子政務(wù)務(wù)網(wǎng)絡(luò)系統(tǒng)解解決方案華為3Coom技術(shù)有有限公司2005年年 1 月目 錄TOC o 1-3 h z u HYPERLINK l _Toc93053907 第一章 用用戶需求分分析 PAGEREF _Toc93053907 h 1 HYPERLINK l _Toc93053908 1.1 項(xiàng)項(xiàng)目概述 PAGEREF _Toc93053908 h 1 HYPERLINK l _Toc9330539909 1.2 需求分析析 PAGEREF _Toc93053909 h 1 HYPERLINK l _Toc93053910 第二章 組組網(wǎng)方案 PAGEREF _Toc

2、93053910 h 3 HYPERLINK l _Toc93053911 2.1 政政務(wù)網(wǎng)網(wǎng)絡(luò)絡(luò)結(jié)構(gòu) PAGEREF _Toc93053911 h 3 HYPERLINK l _Toc93053912 2.2 內(nèi)內(nèi)外網(wǎng)的邏邏輯隔離 PAGEREF _Toc93053912 h 5 HYPERLINK l _Toc93053913 2.3 政政務(wù)網(wǎng)安全全 PAGEREF _Toc93053913 h 5 HYPERLINK l _Toc93053914 第三章 網(wǎng)網(wǎng)絡(luò)平臺(tái)安安全設(shè)計(jì) PAGEREF _Toc93053914 h 10 HYPERLINK l _Toc93053915 3.1 網(wǎng)

3、網(wǎng)絡(luò)互聯(lián)互互通分析及及安全控制制 PAGEREF _Toc93053915 h 10 HYPERLINK l _Toc93053916 3.1.11 二層互互通分析及及控制 PAGEREF _Toc93053916 h 10 HYPERLINK l _Toc93053917 3.1.22 三層互互通分析及及控制 PAGEREF _Toc93053917 h 10 HYPERLINK l _Toc93053918 3.2 設(shè)設(shè)備自身的的安全防護(hù)護(hù)技術(shù) PAGEREF _Toc93053918 h 11 HYPERLINK l _Toc93053919 3.2.11 口令管管理 PAGEREF _

4、Toc93053919 h 11 HYPERLINK l _Toc93053920 3.2.22 控制對(duì)對(duì)設(shè)備的訪訪問 PAGEREF _Toc93053920 h 11 HYPERLINK l _Toc93053921 第四章 網(wǎng)網(wǎng)絡(luò)規(guī)劃建建議 PAGEREF _Toc93053921 h 14 HYPERLINK l _Toc93053922 4.1 IIP地址規(guī)規(guī)劃 PAGEREF _Toc93053922 h 14 HYPERLINK l _Toc93053923 4.2 VVLAN設(shè)設(shè)計(jì) PAGEREF _Toc93053923 h 15 HYPERLINK l _Toc930539

5、24 4.3 路路由策略 PAGEREF _Toc93053924 h 16 HYPERLINK l _Toc93053925 4.4 QQoS設(shè)計(jì)計(jì) PAGEREF _Toc93053925 h 19 HYPERLINK l _Toc93053926 4.4.11 主要的的QOS服務(wù)務(wù)模型 PAGEREF _Toc93053926 h 19 HYPERLINK l _Toc93053927 4.4.22 QOSS策略 PAGEREF _Toc93053927 h 20 HYPERLINK l _Toc93053928 第五章 網(wǎng)網(wǎng)絡(luò)管理 PAGEREF _Toc93053928 h 24 H

6、YPERLINK l _Toc93053929 5.1 網(wǎng)網(wǎng)絡(luò)管理需需求 PAGEREF _Toc93053929 h 24 HYPERLINK l _Toc93053930 5.2 網(wǎng)網(wǎng)絡(luò)管理平平臺(tái)設(shè)計(jì) PAGEREF _Toc93053930 h 24 HYPERLINK l _Toc93053931 5.2.11 網(wǎng)絡(luò)集集中監(jiān)視 PAGEREF _Toc93053931 h 24 HYPERLINK l _Toc93053932 5.2.22 故障管管理 PAGEREF _Toc93053932 h 25 HYPERLINK l _Toc93053933 5.2.33 流量性性能監(jiān)控 P

7、AGEREF _Toc93053933 h 25 HYPERLINK l _Toc93053934 5.2.44 故障定定位與地址址反查 PAGEREF _Toc93053934 h 26 HYPERLINK l _Toc93053935 5.2.55 Webb特性 PAGEREF _Toc93053935 h 26 HYPERLINK l _Toc93053936 附錄：組網(wǎng)網(wǎng)設(shè)備介紹紹 PAGEREF _Toc93053936 h 28 HYPERLINK l _Toc93053937 Quidwway S85000系列萬萬兆核心路路由交換機(jī)機(jī) PAGEREF _Toc93053937 h

8、 28 HYPERLINK l _Toc93053938 Quidwway S55116 千兆兆智能三層層交換機(jī) PAGEREF _Toc93053938 h 34 HYPERLINK l _Toc93053939 Quidwway S30000系列列智能二層層交換機(jī) PAGEREF _Toc93053939 h 36 HYPERLINK l _Toc93053940 Quidvview網(wǎng)絡(luò)管理理系統(tǒng) PAGEREF _Toc93053940 h 44 XXXX市行政中心電子政務(wù)網(wǎng)絡(luò)系統(tǒng)解決方案 PAGE 56第一章 用用戶需求分分析1.1 項(xiàng)項(xiàng)目概述XXXX市市電子政務(wù)務(wù)網(wǎng)絡(luò)作為為XXXXX

9、市機(jī)關(guān)的工作作中心，需需要建立一一個(gè)技術(shù)先先進(jìn)、擴(kuò)展展性強(qiáng)、能能覆蓋所有有功能區(qū)域域的計(jì)算機(jī)機(jī)網(wǎng)絡(luò)系統(tǒng)統(tǒng)。本次工工程旨在建建成連接XXXXX市市行政中心心各種PCC機(jī)及服務(wù)務(wù)器系統(tǒng)的的高速寬帶帶政務(wù)網(wǎng)絡(luò)絡(luò)系統(tǒng)，提提供數(shù)據(jù)的的統(tǒng)一網(wǎng)絡(luò)絡(luò)平臺(tái)，全全面滿足政政府辦公需需要；統(tǒng)一一標(biāo)準(zhǔn)建立立政府公文文電子信息息資源庫，實(shí)實(shí)現(xiàn)公文等等信息的充充分共享和和廣泛使用用；建立公公共信息平平臺(tái)，在網(wǎng)網(wǎng)上提供方方便、快捷捷、透明的的“一站式”電子政務(wù)務(wù)服務(wù)。參照國家電電子政務(wù)的的有關(guān)規(guī)定定以及XXXXX市電電子政務(wù)網(wǎng)網(wǎng)絡(luò)的實(shí)際際情況，XXXXX市市電子政務(wù)務(wù)網(wǎng)絡(luò)的網(wǎng)網(wǎng)絡(luò)系統(tǒng)將將分為政務(wù)務(wù)內(nèi)網(wǎng)和政務(wù)務(wù)外網(wǎng)，內(nèi)網(wǎng)是業(yè)

10、務(wù)務(wù)應(yīng)用系統(tǒng)統(tǒng)運(yùn)行的網(wǎng)網(wǎng)絡(luò)平臺(tái)和和辦公業(yè)務(wù)務(wù)系統(tǒng)，外網(wǎng)與因因特網(wǎng)互聯(lián)聯(lián)，為社會(huì)會(huì)公眾提供供電子化、網(wǎng)絡(luò)化服服務(wù)。XXXXX市電電子政務(wù)網(wǎng)網(wǎng)絡(luò)的的內(nèi)內(nèi)、外網(wǎng)分分別與XXXXX市電電子政務(wù)內(nèi)內(nèi)網(wǎng)和公眾眾互聯(lián)網(wǎng)互互聯(lián)，采用一張張物理網(wǎng)絡(luò)絡(luò)，內(nèi)外網(wǎng)網(wǎng)邏輯隔離離。1.2 需需求分析XXXX市市電子政務(wù)務(wù)網(wǎng)絡(luò)是為為XXXXX市政府、人大和政政協(xié)的辦公公自動(dòng)化，上上、下級(jí)機(jī)機(jī)關(guān)，國內(nèi)內(nèi)外信息互互聯(lián)等建立立的信息傳輸通通道。網(wǎng)絡(luò)絡(luò)宜采用先先進(jìn)的千兆兆以太網(wǎng)組組網(wǎng)方式，并并具有進(jìn)一一步擴(kuò)展到到萬兆的能能力。具備備與外部廣廣域網(wǎng)的多多種連接方方式，可與與外部實(shí)現(xiàn)現(xiàn)方便、快快捷的連接接，實(shí)現(xiàn)IInterrnet接接

11、入等互聯(lián)聯(lián)方式，為為辦公自動(dòng)動(dòng)化、國內(nèi)內(nèi)外信息互互聯(lián)、信息息服務(wù)等，提提供資源共共享、信息息共享。本次方案主主要是滿足足XXXXX市電子政政務(wù)網(wǎng)絡(luò)用用戶的內(nèi)網(wǎng)網(wǎng)、外網(wǎng)業(yè)業(yè)務(wù)的需求求。整個(gè)行行政中心分分為主樓和和東西兩棟棟輔樓，主主樓為一棟棟地上155層，地下下1層的辦公公大樓，輔輔樓為6層層的辦公樓樓。網(wǎng)絡(luò)信信息中心位位于行政中中心主樓33層西南側(cè)，主主樓2115層每層層設(shè)計(jì)2個(gè)個(gè)分設(shè)備間間，分別位位于每層的的西北角和和東北角，兩兩側(cè)人大和和政協(xié)辦公公樓各設(shè)一一個(gè)分設(shè)備備間作為二二級(jí)分中心心，其余的的周邊單體體建筑若需需建設(shè)綜合合布線系統(tǒng)統(tǒng)時(shí)，均各各設(shè)一個(gè)分分設(shè)備間作作為二級(jí)分分中心，管管理本

12、樓的的信息點(diǎn)。根據(jù)樓層層的信息點(diǎn)點(diǎn)分布情況況配置配線線間數(shù)量，每每個(gè)配線間間根據(jù)端口口需求配置置一定數(shù)量量的交換機(jī)機(jī)。本著“可擴(kuò)擴(kuò)展萬兆，部署千兆骨干、百兆到桌面”的建網(wǎng)思路，工程將建設(shè)一個(gè)高可靠、高性能、可擴(kuò)展的信息網(wǎng)。第二章 組組網(wǎng)方案根據(jù)政務(wù)網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)思思想及其應(yīng)應(yīng)用需求，鑒鑒于各部門門的信息安安全等特殊殊要求性，在在總體的設(shè)設(shè)計(jì)上采用用網(wǎng)絡(luò)與業(yè)業(yè)務(wù)分層建建設(shè)，逐層層保護(hù)的指指導(dǎo)原則，利利用寬帶IIP技術(shù)，保保證網(wǎng)絡(luò)的的互聯(lián)互通通，提供具具有一定的的QOS保保障，建成成的網(wǎng)絡(luò)以以IP為主主流技術(shù)。2.1 政政務(wù)網(wǎng)網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)本次組網(wǎng)主主要設(shè)計(jì)是是行政中心心大樓各部部門信息網(wǎng)網(wǎng)的建設(shè)，不包含

13、局域網(wǎng)出口及出口安全等，局域網(wǎng)內(nèi)將實(shí)現(xiàn)千兆到骨干，百兆到桌面。由于整個(gè)樓群包含主樓和東西輔樓共三棟樓宇，且主樓和東西輔樓基本按職能劃分為政府，人大和政協(xié)。因此，建議在主樓配置核心路由交換機(jī)，采用華為3Com公司核心路由交換機(jī)Quidway S8505一臺(tái)，在輔樓的樓宇分中心配置華為3Com公司匯聚路由交換機(jī)Quidway S5516各一臺(tái)，所有樓宇的接入交換機(jī)采用華為3Com公司S3000系列智能接入交換機(jī)，S3000系列下聯(lián)的用戶按照各自所屬的部門和內(nèi)外網(wǎng)信息點(diǎn)劃分到不同的VLAN（虛擬局域網(wǎng)絡(luò)），通過匯聚路由交換機(jī)和核心交換機(jī)共同控制VLAN間的訪問，實(shí)現(xiàn)內(nèi)外網(wǎng)的邏輯隔離。具體的組網(wǎng)網(wǎng)如下

14、：圖 網(wǎng)絡(luò)拓拓?fù)鋱D全網(wǎng)核心為為三臺(tái)高性性能路由交交換機(jī)，主主樓由于信信息點(diǎn)數(shù)較較多，配置置S85005核心路路由交換機(jī)機(jī)作為全網(wǎng)網(wǎng)的核心，在在輔樓配置置S55116作為輔輔樓的分中中心，實(shí)現(xiàn)現(xiàn)人大和政政協(xié)的相對(duì)對(duì)獨(dú)立規(guī)劃劃。核心和和分中心交交換機(jī)間通通過雙千兆兆互連，即即可增加核核心交換機(jī)機(jī)間帶寬，又又可提高端端口鏈路的的可靠性，保保證在一條條端口鏈路路失效的情情況下核心心間仍可轉(zhuǎn)轉(zhuǎn)發(fā)數(shù)據(jù)。接入層采用用華為3CCom公司司的智能型型二層交換換機(jī)S30000系列列，根據(jù)接接入點(diǎn)的具具體信息點(diǎn)點(diǎn)數(shù)堆疊，每每個(gè)S30026C提提供24個(gè)個(gè)10/1100M自自適應(yīng)的以以太網(wǎng)口，22個(gè)可擴(kuò)展展插槽，支支

15、持1000M/10000M單單模、多模模光口，SS30500C提供448個(gè)100/1000M自適應(yīng)應(yīng)的以太網(wǎng)網(wǎng)口，2個(gè)個(gè)可擴(kuò)展插插槽，支持持100MM/10000M單模模、多模光光口，根據(jù)據(jù)具體情況況選配模塊塊，具有較較大的組網(wǎng)網(wǎng)靈活性。所有各層配配線間的SS30266C通過千千兆以太網(wǎng)網(wǎng)光口上聯(lián)聯(lián)至各自的的核心路由由交換機(jī)的的千兆以太太網(wǎng)光口上上,實(shí)現(xiàn)業(yè)業(yè)務(wù)的匯聚聚和集中處處理。同時(shí)在內(nèi)網(wǎng)網(wǎng)核心節(jié)點(diǎn)點(diǎn)可考慮另另配置政務(wù)務(wù)OA/DDHCP服服務(wù)器一臺(tái)臺(tái)，以完成成內(nèi)部辦公公網(wǎng)絡(luò)的IIP地址的的分配和電電子政務(wù)系系統(tǒng)的承載載。另根據(jù)據(jù)實(shí)際應(yīng)用用需求可以以增配文件件服務(wù)器等等配套服務(wù)務(wù)器。2.2 內(nèi)

16、內(nèi)外網(wǎng)的邏邏輯隔離在XXXXX市行政中中心電子政政務(wù)網(wǎng)路中中，采用的的是一張電電子政務(wù)網(wǎng)網(wǎng)絡(luò)，通過過邏輯隔離離的方式實(shí)實(shí)現(xiàn)內(nèi)外網(wǎng)網(wǎng)的隔離和和訪問控制制。目前，在在以太局域域網(wǎng)邏輯隔隔離的方式式指的是VVLANACL的的方式，下下面就這種種方式加以以說明。VLAN（Virttual Locaal Arrea NNetwoork，虛虛擬局域網(wǎng)網(wǎng)）是將一組組位于不同同物理網(wǎng)段段上的用戶戶在邏輯上上劃分成一一個(gè)局域網(wǎng)網(wǎng)內(nèi)，在功功能和操作作上與傳統(tǒng)統(tǒng)LAN基本本相同，可可以提供一一定范圍內(nèi)內(nèi)終端系統(tǒng)統(tǒng)的互聯(lián)。VLANN可將廣播播幀限制在在一個(gè)VLLAN中，即VLAN之間二層隔離，必須通過IP層（三層）才

17、能互通。所以通過VLAN 可以提供一定的業(yè)務(wù)隔離能力，而這種隔離的設(shè)置在于ACL（Access Control List，訪問控制列表）。前面提到，在在網(wǎng)絡(luò)中劃劃分VLAAN后需要要三層設(shè)備備才能實(shí)現(xiàn)現(xiàn)VLANN間相互通通訊，且這這種通訊能能力是網(wǎng)絡(luò)絡(luò)中配置三三層設(shè)備后后默認(rèn)具有有的能力。為了實(shí)現(xiàn)現(xiàn)不同網(wǎng)段段間的隔離離，需要使使用訪問控控制列表控控制那些網(wǎng)網(wǎng)段可以相相互訪問，那那些不可以以。訪問控制列列表可以包包括：基本本訪問表和和擴(kuò)展訪問問表?；颈驹L問表控控制基于網(wǎng)網(wǎng)絡(luò)地址的的信息流，且且只允許過過濾源地址址。擴(kuò)展訪訪問表通過過網(wǎng)絡(luò)地址址和上層應(yīng)應(yīng)用數(shù)據(jù)。在XXXXX電子政務(wù)務(wù)網(wǎng)絡(luò)中，可可

18、以對(duì)局域域網(wǎng)交換機(jī)機(jī)的端口細(xì)細(xì)分，確定定那些端口口接入的PPC是內(nèi)網(wǎng)網(wǎng)的用戶，那那些端口的的用戶是外外網(wǎng)的用戶戶，從而將將不同的端端口劃分入入不同的網(wǎng)網(wǎng)段，這種種劃分的方方式還可以以延伸加入入接入PCC屬于哪個(gè)個(gè)部門。確確定不同的的網(wǎng)段后，在在三層設(shè)備備上通過AACL實(shí)現(xiàn)現(xiàn)基于源地地址的控制制，從而保保證不同網(wǎng)網(wǎng)段間接入入的PC是是否可以互互通和訪問問，進(jìn)而做做到邏輯隔隔離。采用VLAANACCL方式實(shí)實(shí)現(xiàn)簡單，對(duì)設(shè)備的要求也較低，并且具有成熟的國際標(biāo)準(zhǔn)。2.3 政政務(wù)網(wǎng)安全全隨著以太網(wǎng)網(wǎng)應(yīng)用的日日益普及，以以太網(wǎng)的安安全為日益益迫切的需需求。以太太網(wǎng)交換機(jī)機(jī)作為政府府部門網(wǎng)絡(luò)絡(luò)內(nèi)部的網(wǎng)網(wǎng)絡(luò)之

19、間通通信的關(guān)鍵鍵設(shè)備，有有必要在政政務(wù)網(wǎng)內(nèi)部部提供充分分的安全保保護(hù)功能。用戶身份驗(yàn)驗(yàn)證傳統(tǒng)的以太太網(wǎng)是一個(gè)個(gè)開放的網(wǎng)網(wǎng)絡(luò)，所有有的用戶只只要接入到到交換機(jī)上上的物理端端口就可以以訪問網(wǎng)絡(luò)絡(luò)的資源，沒沒有一個(gè)邏邏輯上的身身份校驗(yàn)的的過程，這這種不經(jīng)身身份驗(yàn)證的的網(wǎng)絡(luò)存在在一定的風(fēng)風(fēng)險(xiǎn)。用戶戶接入控制制的目的是是保證接入入政務(wù)網(wǎng)的用用戶是合法法的或通過過某個(gè)以太太網(wǎng)交換機(jī)機(jī)端口接入入內(nèi)網(wǎng)局域域網(wǎng)的用戶戶是預(yù)先配配置的。華華為3Coom可提供供完善的接接入認(rèn)證解解決方案，可可提供的用用戶驗(yàn)證包包括PPPPoE驗(yàn)證證、WEBB驗(yàn)證、8802.11X端口驗(yàn)驗(yàn)證等等。針對(duì)XXXXX市行政政中心的電電子政

20、務(wù)，我我們推薦采采用8022.1X的的用戶身份份驗(yàn)證方式式。802.11X用戶身身份驗(yàn)證方方式下，需需要在每臺(tái)臺(tái)電腦上安安裝一個(gè)客客戶端軟件件，用于輸輸入用戶名名和密碼。當(dāng)用戶需需要使用網(wǎng)網(wǎng)絡(luò)時(shí)，必必須先輸入入用戶名和和密碼，只只有經(jīng)過系系統(tǒng)校驗(yàn)合合法的用戶戶才能接入入網(wǎng)絡(luò)。用用戶輸入一一次用戶名名和密碼信信息，校驗(yàn)驗(yàn)合格后則則可任意訪訪問網(wǎng)絡(luò)。在XXXXX行政中心心電子政務(wù)務(wù)網(wǎng)絡(luò)中，可可以根據(jù)實(shí)實(shí)際情況，考考慮到主要要領(lǐng)導(dǎo)的多多為獨(dú)立辦辦公，外人人不便于接接入網(wǎng)絡(luò)，因因此可以考考慮對(duì)主要要領(lǐng)導(dǎo)的接接入信息點(diǎn)點(diǎn)不做認(rèn)證證要求，即即領(lǐng)導(dǎo)的辦辦公室不用用輸入用戶戶名和密碼碼等信息即即可訪問網(wǎng)網(wǎng)絡(luò)，

21、領(lǐng)導(dǎo)導(dǎo)辦公的接接入安全可可采用綁定定MAC地地址的方式式實(shí)現(xiàn)。而普通公公務(wù)員的信信息點(diǎn)則開開通8022.1X功功能，要求求輸入合法法的信息后后才可訪問問網(wǎng)絡(luò)。作為8022.1X接接入認(rèn)證，需需要配置一一臺(tái)認(rèn)證服服務(wù)器，用用于完成用用戶的信息息管理和用用戶自助管管理。訪問控制在局域網(wǎng)內(nèi)內(nèi)的訪問控控制的原則則是只允許許授權(quán)的用用戶訪問某某個(gè)主機(jī)，通通過網(wǎng)絡(luò)設(shè)設(shè)備來提供供這種保障障。訪問控控制包括對(duì)對(duì)交換機(jī)的的訪問控制制、基于IIP 地址址的訪問控控制、基于于MAC 地址的訪訪問控制、基于端口口的訪問的的控制、基基于VLAAN的訪問問控制。XXXX市市電子政務(wù)務(wù)網(wǎng)的數(shù)據(jù)庫庫、服務(wù)器器等資源是是受限訪

22、問問的。一般般一個(gè)部門門內(nèi)的用戶戶的權(quán)限是是相同的，可可以將這些些用戶劃分分在一個(gè)VVLAN內(nèi)內(nèi)，只要設(shè)設(shè)置基于VVLAN的的報(bào)文過濾濾策略就可可以實(shí)現(xiàn)對(duì)對(duì)這個(gè)VLLAN內(nèi)所所有的用戶戶的報(bào)文過過濾。這樣樣可以看出出基于VLLAN 的的報(bào)文過濾濾是最簡單單實(shí)用的某某個(gè)用戶群群的訪問控控制策略。可以設(shè)定定Quiddway S 系列列以太網(wǎng)交交換機(jī)端口口禁止或允允許轉(zhuǎn)發(fā)來來自或去往往某個(gè)VLLAN的報(bào)報(bào)文。Quidwway SS系列以太太網(wǎng)交換機(jī)機(jī)支持標(biāo)準(zhǔn)準(zhǔn)及擴(kuò)展的的ACL?？梢酝ㄟ^過標(biāo)準(zhǔn)的AACL只設(shè)設(shè)定一個(gè)簡簡單的地址址范圍，也也可以使用用擴(kuò)展的AACL 設(shè)設(shè)定具體到到協(xié)議、源源地址范圍圍、目

23、的地地址范圍、源端口范范圍以及優(yōu)優(yōu)先級(jí)與服服務(wù)類型等等。這樣可可以實(shí)現(xiàn)復(fù)復(fù)雜的訪問問控制策略略。如果有些主主機(jī)和內(nèi)部部應(yīng)用服務(wù)務(wù)器在晚上上是要關(guān)閉閉的，不接接受訪問，我我們可以在在核心交換換機(jī)上設(shè)置置在特定的的時(shí)間段起起作用的訪訪問控制列列表ACLL，比如可可以設(shè)置每每周一的 8:000 至 221:000 此ACCL 起作作用，還可可以具體到到某年某月月某日至某某年某月某某日此ACCL 作用用。對(duì)于一些和和以太網(wǎng)交交換機(jī)相連連接的特殊殊設(shè)備，只只允許接受受和發(fā)送到到某個(gè)以太太網(wǎng)交換機(jī)機(jī)端口的報(bào)報(bào)文，以保保證該設(shè)備備的安全。Quiddway S 系列列以太網(wǎng)交交換機(jī)支持持基于端口口進(jìn)行過濾濾，

24、可以設(shè)設(shè)定禁止或或允許轉(zhuǎn)發(fā)發(fā)來自或去去往某個(gè)端端口的報(bào)文文。Quidwway SS 系列以以太網(wǎng)交換換機(jī)支持基基于MACC 地址進(jìn)進(jìn)行幀過濾濾。如某些些政府單位位召開各部部門的領(lǐng)導(dǎo)導(dǎo)群組開會(huì)會(huì)，可以設(shè)設(shè)定和領(lǐng)導(dǎo)導(dǎo)群組相連連的交換機(jī)機(jī)端口允許許轉(zhuǎn)發(fā)來自自或去往領(lǐng)領(lǐng)導(dǎo)的計(jì)算算機(jī)MACC地址的幀幀，禁止和和普通員工工相連的交交換機(jī)端口口轉(zhuǎn)發(fā)來自自或去往領(lǐng)領(lǐng)導(dǎo)計(jì)算機(jī)機(jī)MAC地地址的幀。Quidwway系列列以太網(wǎng)交交換機(jī)、路路由器實(shí)現(xiàn)現(xiàn)了完善的的包過濾，不不僅可以過過濾有安全全隱患的以以太網(wǎng)幀，還還可以過濾濾IP 包包。在內(nèi)網(wǎng)網(wǎng)內(nèi)可以實(shí)實(shí)現(xiàn)對(duì)某些些應(yīng)用進(jìn)行行過濾，比比如禁止HHTTP / FTTP報(bào)文

25、等等。我們可可以配置網(wǎng)網(wǎng)絡(luò)設(shè)備端端口的輸入入幀的前880字節(jié)范范圍內(nèi)的664字節(jié)任任意域設(shè)置置過濾規(guī)則則。對(duì)于政務(wù)網(wǎng)網(wǎng)中一些關(guān)關(guān)鍵的地方方，可以對(duì)對(duì)符合條件件的報(bào)文或或幀做日志志，記錄報(bào)報(bào)文或幀的的相關(guān)信息息。Quiidwayy S系列列以太網(wǎng)交交換機(jī)支持持日志功能能并提供了了機(jī)制保證證在有大量量相同的觸觸發(fā)日志的的情況下不不會(huì)消耗過過多的資源源。端口綁定為了加強(qiáng)對(duì)對(duì)接入用戶戶的控制和和限制，防防止用戶地地址被假冒冒，Quiidwayy 系列以以太網(wǎng)交換換機(jī)支持 4 種地地址安全技技術(shù)：MAAC 地址址固定、限限制MACC地址的個(gè)個(gè)數(shù)、端口口和MACC 地址綁綁定、IPP地址MMAC地址址VL

26、AAN IDD 綁定。Quidwway SS 系列以以太網(wǎng)交換換機(jī)支持設(shè)設(shè)置以太網(wǎng)網(wǎng)交換機(jī)端端口的MAAC 地址址學(xué)習(xí)狀態(tài)態(tài)。對(duì)于安安全要求較較高又有移移動(dòng)辦公需需求的固定定計(jì)算機(jī)設(shè)設(shè)備的辦公公區(qū)和的辦辦公區(qū)。可可以關(guān)閉該該區(qū)以太網(wǎng)網(wǎng)交換端口口的MACC地址學(xué)習(xí)習(xí)狀態(tài)，這這樣該端口口上只能通通過認(rèn)識(shí)的的MAC地地址，來自自其它陌生生的MACC 地址的的報(bào)文被丟丟棄。支持端口和和MAC 地址的綁綁定方式。通過在端端口上配置置靜態(tài)MAAC 地址址，并禁止止該端口進(jìn)進(jìn)行地址學(xué)學(xué)習(xí)，從而而限定在該該端口上允允許通過的的MAC 地址，來來自其它MMAC 地地址的報(bào)文文被丟棄。這可以應(yīng)應(yīng)用于接入入政務(wù)網(wǎng)的

27、的系統(tǒng)主機(jī)機(jī)的MACC 地址是是固定的，且且接入政務(wù)務(wù)網(wǎng)的端口口較固定的的情況，如如內(nèi)網(wǎng)的機(jī)機(jī)要系統(tǒng)。支持IP 地址、MMAC地址址和VLAAN IDD的相關(guān)綁綁定。可以以有效的防防止IP 地址仿冒冒和MACC地址仿冒冒，還可以以有效控制制相同VLLAN 下下的用戶數(shù)數(shù)目。在一一些MACC 地址、IP 地地址、VLLAN IID固定的的部門，可可以在部門門以太網(wǎng)交交換機(jī)端口口上配置IIP 地址址MACC 地址VLANN ID 的認(rèn)證。政務(wù)網(wǎng)只允允許會(huì)議電電視系統(tǒng)相相連接的以以太網(wǎng)交換換機(jī)端口支支持廣播報(bào)報(bào)文轉(zhuǎn)發(fā)，一一般的以太太網(wǎng)交換機(jī)機(jī)端口上關(guān)關(guān)閉廣播報(bào)報(bào)文轉(zhuǎn)發(fā)開開關(guān)，禁止止目的地址址為廣播地

28、地址的報(bào)文文從該端口口轉(zhuǎn)發(fā)，以以防止Smmurf 攻擊。入侵檢測(cè)與與防范政務(wù)網(wǎng)的局局域網(wǎng)有可可能受到入入侵流量攻攻擊，對(duì)于于一些連接接關(guān)鍵部門門的端口，特特別是連接接廣域網(wǎng)設(shè)設(shè)備的端口口（上聯(lián)政政務(wù)內(nèi)網(wǎng)橫橫線網(wǎng)的端端口）和財(cái)財(cái)務(wù)部門、領(lǐng)導(dǎo)部門門的端口，可可以將以太太網(wǎng)交換機(jī)機(jī)連接協(xié)議議分析儀，通通過報(bào)文鏡鏡象、報(bào)文文統(tǒng)計(jì)來監(jiān)監(jiān)控端口流流量和統(tǒng)計(jì)計(jì)某個(gè)應(yīng)用用流的流量量。Quiidwayy 系列以以太網(wǎng)交換換機(jī)支持端端口鏡象和和流鏡象，通通過基于AACL 的的報(bào)文包數(shù)數(shù)和字節(jié)數(shù)數(shù)統(tǒng)計(jì)，從從而了解網(wǎng)網(wǎng)絡(luò)的運(yùn)行行狀況，發(fā)發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)設(shè)備是否受受到入侵攻攻擊。華為3Coom公司提提供圖形化化的Tafffi

29、cVView 流量監(jiān)控控軟件（已已包含在專專業(yè)版Quuidviiew網(wǎng)管管系統(tǒng)中），可以監(jiān)控多個(gè)設(shè)備，用戶可以自行添加、刪除所要檢測(cè)的設(shè)備，非常方便。內(nèi)網(wǎng)擁有Web服務(wù)器的情況下，可以在安裝TrafficView時(shí)選擇將監(jiān)測(cè)設(shè)備的生成的數(shù)據(jù)（含有流量圖形的頁面和數(shù)據(jù)記錄）放置在web服務(wù)器的目錄下，網(wǎng)絡(luò)管理員可以通過政務(wù)內(nèi)網(wǎng)上任意一臺(tái)計(jì)算機(jī)來查看設(shè)備流量圖形和數(shù)據(jù)報(bào)表。當(dāng)發(fā)現(xiàn)存在在大流量的的報(bào)文攻擊擊時(shí)，最常常用的方法法是限制到到達(dá)被攻擊擊目的地址址的報(bào)文流流量，超過過流量范圍圍的報(bào)文被被Quiddway S系列以以太網(wǎng)交換換機(jī)丟棄?？梢詫?duì)匹匹配規(guī)則的的報(bào)文實(shí)施施平均流量量限制和突突發(fā)流量限限

30、制，還可可以分時(shí)段段流量限制制。網(wǎng)絡(luò)設(shè)備的的安全管理理Quidwway 系系列設(shè)備提提供對(duì)多種種系統(tǒng)信息息的記錄功功能。如在在配置ACCL 時(shí)加加入LOGG 關(guān)鍵字字，這樣可可以在交換換機(jī)處理相相應(yīng)的報(bào)文文時(shí)記錄報(bào)報(bào)文的關(guān)鍵鍵信息；還還可以對(duì)關(guān)關(guān)鍵事件進(jìn)進(jìn)行記錄；對(duì)DEBBUG 信信息進(jìn)行記記錄，用于于分析網(wǎng)絡(luò)絡(luò)運(yùn)行出現(xiàn)現(xiàn)的問題。Quidwway 系系列設(shè)備支支持對(duì)各監(jiān)監(jiān)控信息設(shè)設(shè)置重要性性程度；配配置各監(jiān)控控信息的輸輸出設(shè)備，包包括配置終終端、Coonsolle 口、內(nèi)部緩沖沖區(qū)、日志志主機(jī)等。通過分析析這些信息息，可以對(duì)對(duì)網(wǎng)絡(luò)進(jìn)行行運(yùn)行維護(hù)護(hù)和管理。因?yàn)樵絹碓皆礁叩木W(wǎng)絡(luò)絡(luò)安全性要要求，為了

31、了設(shè)定各種種功能下的的安全策略略，使得交交換機(jī)的安安全配置越越來越復(fù)雜雜，雖然華華為網(wǎng)絡(luò)管管理軟件的的圖形化配配置方式可可以減輕命命令行方式式的缺點(diǎn)，但但遠(yuǎn)遠(yuǎn)不夠夠。Quiidwayy 系列以以太網(wǎng)交換換機(jī)實(shí)現(xiàn)策策略分析和和管理，以以簡化用戶戶的使用，保保證網(wǎng)絡(luò)的的安全性。接入終端設(shè)設(shè)備的安全全由于局域網(wǎng)網(wǎng)內(nèi)部的有有些計(jì)算機(jī)機(jī)既要訪問問內(nèi)網(wǎng)，又又要訪問外外網(wǎng)，這就就出現(xiàn)了當(dāng)當(dāng)計(jì)算機(jī)從從內(nèi)網(wǎng)切換換到外網(wǎng)時(shí)時(shí)，如何防防止政務(wù)內(nèi)內(nèi)網(wǎng)中信息息泄露的問問題，我們們提供了如如下幾套方方案供參考考：方案一：按按照訪問IInterrnet的的迫切性和和政府職能能的級(jí)別進(jìn)進(jìn)行規(guī)劃，給給重要領(lǐng)導(dǎo)導(dǎo)和機(jī)要人人員配置

32、兩兩臺(tái)計(jì)算機(jī)機(jī)，一臺(tái)用用于訪問政政務(wù)內(nèi)網(wǎng)，一一臺(tái)用于訪訪問政務(wù)外外網(wǎng)。方案二：對(duì)對(duì)重要領(lǐng)導(dǎo)導(dǎo)和機(jī)要人人員依舊采采用配置兩兩臺(tái)計(jì)算機(jī)機(jī)的方式，對(duì)對(duì)于其它的的計(jì)算機(jī)則則采用在計(jì)計(jì)算機(jī)中配配置雙硬盤盤，一塊硬硬盤用于連連接政務(wù)內(nèi)內(nèi)網(wǎng)，另一一塊硬盤則則用于連接接政務(wù)外網(wǎng)網(wǎng)。采用雙雙硬盤可以以保證，每每次政務(wù)內(nèi)內(nèi)外網(wǎng)進(jìn)行行切換時(shí)，計(jì)計(jì)算機(jī)都需需要進(jìn)行重重啟，這樣樣就使得駐駐留在內(nèi)存存中的一些些資料可以以得到徹底底清除，從從而保證政政務(wù)內(nèi)網(wǎng)的的信息不被被泄露。方案三：對(duì)對(duì)重要領(lǐng)導(dǎo)導(dǎo)和機(jī)要人人員依舊采采用配置兩兩臺(tái)計(jì)算機(jī)機(jī)的方式，對(duì)對(duì)于其它的的計(jì)算機(jī)則則采用在計(jì)計(jì)算機(jī)中配配置雙網(wǎng)卡卡，一塊網(wǎng)網(wǎng)卡用于連連接政

33、務(wù)內(nèi)內(nèi)網(wǎng)，另一一塊網(wǎng)卡則則用于連接接政務(wù)外網(wǎng)網(wǎng)，兩網(wǎng)的的切換只需需要在操作作系統(tǒng)中進(jìn)進(jìn)行相應(yīng)的的禁止操作作即可。這這樣可以保保證切換速速度。以上三種方方案具體選選用那一種種可根據(jù)實(shí)實(shí)際情況選選用，也可可以采用雙雙機(jī)、雙硬硬盤和雙網(wǎng)網(wǎng)卡混用的的方式來組組網(wǎng)。第三章 網(wǎng)網(wǎng)絡(luò)平臺(tái)安安全設(shè)計(jì)網(wǎng)絡(luò)平臺(tái)的的安全需要要從多方面面保證，包包括設(shè)備管管理安全，訪訪問安全，路路由安全，設(shè)設(shè)備安全等等，針對(duì)XXXXX市市行政中心心網(wǎng)絡(luò)系統(tǒng)，我們們建議從以以下幾個(gè)方方面實(shí)施及及考慮安全全策略。3.1 網(wǎng)網(wǎng)絡(luò)互聯(lián)互互通分析及及安全控制制3.1.11 二層互互通分析及及控制在XXXXX市行政中中心內(nèi)外網(wǎng)中，如如果兩個(gè)內(nèi)內(nèi)

34、部客戶機(jī)機(jī)之間二層能能夠互通（處處于同一網(wǎng)網(wǎng)段），那那么兩者之之間的三層層互通是直直接的，不不需要經(jīng)過過核心路由由交換機(jī)的的三層交換換功能。因因此，核心心路由交換換機(jī)的三層層訪問控制制策略不能能生效，在在沒有任何何安全措施施的情況下下，各種攻攻擊方法都都可以使用用。因此，從保保護(hù)內(nèi)部各各客戶機(jī)的的角度出發(fā)發(fā)，建議對(duì)對(duì)不同部門門和類型的的客戶機(jī)在在二層完全全隔離。一一般隔離采用的的方法是：VLANN（虛擬局局域網(wǎng)絡(luò)）。3.1.22 三層互互通分析及及控制采用VLAAN在二層層隔離了兩兩個(gè)內(nèi)部客客戶，他們們只在三層層互通，這這時(shí)核心路路由交換機(jī)機(jī)的三層訪訪問控制策策略就可以以生效了。因此，目目前有

35、兩個(gè)個(gè)安全措施施：VLAAN、三層層訪問控制制策略。它們配合合可實(shí)現(xiàn)：內(nèi)部服務(wù)器器隔離(例如：三三層訪問控控制策略)；設(shè)備安全技技術(shù)(例如：驗(yàn)驗(yàn)證、授權(quán)權(quán))和防火墻墻技術(shù)；二層完全隔隔離(例如：VLLAN)；二層完全隔隔離(例如：VLLAN)三層隔離離(例如：三三層防火墻墻)；設(shè)備安全技技術(shù)；帶寬管理。3.2 設(shè)設(shè)備自身的的安全防護(hù)護(hù)技術(shù)3.2.11 口令管管理為防止對(duì)系系統(tǒng)中網(wǎng)絡(luò)絡(luò)設(shè)備未經(jīng)經(jīng)授權(quán)的訪訪問，系統(tǒng)統(tǒng)必須具有有完善的密密碼管理功功能。雖然然幾乎所有有數(shù)據(jù)通信信設(shè)備都具具有RADDIUS或或TACAACS認(rèn)證證服務(wù)器進(jìn)進(jìn)行口令管管理的能力力，但在設(shè)設(shè)備本地進(jìn)進(jìn)行密碼分分配和管理理仍是

36、設(shè)備備本身應(yīng)具具有的安全全特性。這這里只描述述本地密碼碼管理，主主要是口令令的密文顯顯示。在本地存儲(chǔ)儲(chǔ)訪問權(quán)限限驗(yàn)證信息息的情況下下，若系統(tǒng)統(tǒng)的配置文文件以文本本方式進(jìn)行行保存，則則在配置文文件中，所所有的口令令都必須以以密文方式式顯示和保保存。3.2.22 控制對(duì)對(duì)設(shè)備的訪訪問控制臺(tái)訪問問：控制臺(tái)是設(shè)設(shè)備提供的的最基本的的配置方式式?？刂婆_(tái)臺(tái)擁有對(duì)設(shè)設(shè)備最高配配置權(quán)限，對(duì)對(duì)控制臺(tái)訪訪問方式的的權(quán)限管理理應(yīng)擁有最最嚴(yán)格的方方式。1.用戶戶登錄驗(yàn)證證對(duì)從設(shè)備CCONSOOLE口進(jìn)進(jìn)行訪問配配置的用戶戶必需具有有身份認(rèn)證證的能力，可可以通過本本地用戶驗(yàn)驗(yàn)證或RAADIUSS驗(yàn)證實(shí)現(xiàn)現(xiàn)。2.控制制臺(tái)

37、超時(shí)注注銷控制臺(tái)訪問問用戶超過過一段時(shí)間間對(duì)設(shè)備沒沒有交互操操作，設(shè)備備將自動(dòng)注注銷本次控控制臺(tái)配置置任務(wù)。超超時(shí)時(shí)間必必須可配置置，缺省為為10分鐘。3.使能能/禁止用戶戶通過控制制臺(tái)對(duì)設(shè)備備進(jìn)行訪問問通過禁止控控制臺(tái)數(shù)據(jù)據(jù)收發(fā)，禁禁止用戶直直接通過異異步線路進(jìn)進(jìn)行配置。這樣，即即使非法用用戶占領(lǐng)了了控制臺(tái)，通通過重啟設(shè)設(shè)備清除了了控制臺(tái)訪訪問口令，也也無法通過過控制臺(tái)對(duì)對(duì)設(shè)備進(jìn)行行非法配置置。4.控制制臺(tái)終端鎖鎖定配置用戶離離開配置現(xiàn)現(xiàn)場(chǎng)，設(shè)備備應(yīng)提供暫暫時(shí)鎖定終終端的能力力，并設(shè)置置解鎖口令令。TELNEET訪問1.缺省省要求身份份驗(yàn)證對(duì)于非控制制臺(tái)的其它它一切配置置手段，必必須要求設(shè)設(shè)

38、備配置身身份驗(yàn)證，如如果設(shè)備未未配，將拒拒絕登錄。2.用戶戶登錄驗(yàn)證證3.終端端超時(shí)退出出當(dāng)telnnet連接接未交互超超過一定時(shí)時(shí)間時(shí)，將將斷開本次次telnnet連接接。 超時(shí)時(shí)間間必須可配配置，缺省省為10分鐘5. 使使能/禁止用戶戶通過teelnett方式對(duì)設(shè)設(shè)備進(jìn)行訪訪問6. ttelneet訪問的的限入限出出限制哪些用用戶可以通通過tellnet客客戶端對(duì)設(shè)設(shè)備進(jìn)行訪訪問；限制設(shè)備通通過tellnet客客戶端程序序?qū)δ切┠磕繕?biāo)主機(jī)進(jìn)進(jìn)行訪問。7.teelnett終端鎖定定SNMP訪訪問SNMP是是一種使用用非常廣泛泛的協(xié)議，主主要用于設(shè)設(shè)備的監(jiān)控控和配置的的更改。SSNMP協(xié)協(xié)議自

39、身有有安全性保保障，同時(shí)時(shí)SNMPP Ageent還應(yīng)應(yīng)該具備對(duì)對(duì)網(wǎng)管站的的訪問進(jìn)行行限制的能能力。需特別指出出：SNMMP的網(wǎng)管管站通常有有大量的關(guān)關(guān)于驗(yàn)證信信息的數(shù)據(jù)據(jù)庫，例如如團(tuán)體名。這些信息息可以提供供訪問許多多路由器或或者其他網(wǎng)網(wǎng)絡(luò)設(shè)備的的途徑。這這使得網(wǎng)管管站成為許許多攻擊的的目標(biāo)，因因此，必須須要保證網(wǎng)網(wǎng)管站的安安全。1.SNNMPv11的安全性性SNMPVV1使用的的驗(yàn)證方式式是基于團(tuán)團(tuán)體名字符符串的驗(yàn)證證機(jī)制，SSNMPvv1的驗(yàn)證證非常弱：1)它使用用明文作為為驗(yàn)證字。2)大部分分的SNMMP操作重重復(fù)使用該該字符串作作為周期性性輪流檢測(cè)測(cè)的一部分分。如果必須使使用SNMM

40、PV1，應(yīng)應(yīng)當(dāng)注意如如下事項(xiàng)，以以避免安全全隱患：1)最好不不要使用常常用的ppubliic和priivatee作為團(tuán)團(tuán)體名；2)對(duì)每個(gè)個(gè)設(shè)備使用用不同的團(tuán)團(tuán)體名，或或者至少是是對(duì)網(wǎng)絡(luò)上上的每個(gè)區(qū)區(qū)域使用不不同的團(tuán)體體名。3)不要使使只讀的團(tuán)團(tuán)體名和讀讀寫的團(tuán)體體名一致。如果可能能，應(yīng)該實(shí)實(shí)現(xiàn)使用只只讀的團(tuán)體體名進(jìn)行周周期性的輪輪流檢測(cè)。讀寫的團(tuán)團(tuán)體名應(yīng)該該僅僅用于于當(dāng)前的寫寫操作。2.SNNMPv22的安全性性SNMP的的后序版本本SNMPPv2進(jìn)行行了改進(jìn)，它它支持基于于MD5的驗(yàn)驗(yàn)證方案，并并且允許對(duì)對(duì)訪問的管管理數(shù)據(jù)進(jìn)進(jìn)行存取上上的限制。SNMPPv2基本本上是一個(gè)個(gè)過渡版本本，有多個(gè)

41、個(gè)版本，盡盡管也考慮慮了協(xié)議自自身的安全全性，但是是技術(shù)上并并不成熟，安安全性仍比比較弱。尤尤其要注意意的是，目目前常用的的SNMPPv2c，沒沒有增加安安全特性，其其安全能力力與SNMMPv1相相同。3.SNNMPv33的安全性性SNMPvv3對(duì)協(xié)議議的安全性性給出了全全面的解決決方案。SNMPvv3繼承了了SNMPPv2u的的很多優(yōu)點(diǎn)點(diǎn)，并且從從系統(tǒng)的角角度進(jìn)行了了優(yōu)化。它它提供了一一個(gè)SNMMP NMMS和AGENNT的完整整的系統(tǒng)框框架。從安安全角度來來講，SNNMPv33使用了基基于用戶的的安全模式式（USMM）和基于于視圖的訪訪問控制模模式（VAACM）。USM使用用MD5或者者S

42、HA對(duì)報(bào)報(bào)文進(jìn)行驗(yàn)驗(yàn)證，使用用DES對(duì)報(bào)報(bào)文進(jìn)行加加密。這樣樣保證了數(shù)數(shù)據(jù)的完整整性和正確確性。VAACM則對(duì)對(duì)當(dāng)前用戶戶的訪問權(quán)權(quán)限進(jìn)行檢檢查，看當(dāng)當(dāng)前用戶是是否可以對(duì)對(duì)管理數(shù)據(jù)據(jù)進(jìn)行操作作。關(guān)于UUSM和VACMM的詳細(xì)介介紹可以參參見RFCC25744和RFC22575。華為3Coom的設(shè)備備均支持SSNMPvv1/v22/v3。第四章 網(wǎng)網(wǎng)絡(luò)規(guī)劃建建議4.1 IIP地址規(guī)規(guī)劃IP地址的的合理規(guī)劃劃是網(wǎng)絡(luò)設(shè)設(shè)計(jì)中的重重要一環(huán)，計(jì)計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)必須對(duì)IIP地址進(jìn)進(jìn)行統(tǒng)一規(guī)規(guī)劃并得到到實(shí)施。IIP地址規(guī)規(guī)劃的好壞壞，影響到到網(wǎng)絡(luò)路由由協(xié)議算法法的效率，影影響到網(wǎng)絡(luò)絡(luò)的性能，影影響到網(wǎng)絡(luò)絡(luò)的擴(kuò)展

43、，影影響到網(wǎng)絡(luò)絡(luò)的管理，也也必將直接接影響到網(wǎng)網(wǎng)絡(luò)應(yīng)用的的進(jìn)一步發(fā)發(fā)展。IP地址空空間分配，要要與網(wǎng)絡(luò)拓拓?fù)鋵哟谓Y(jié)結(jié)構(gòu)相適應(yīng)應(yīng)，既要有有效地利用用地址空間間，又要體體現(xiàn)出網(wǎng)絡(luò)絡(luò)的可擴(kuò)展展性和靈活活性，同時(shí)時(shí)能滿足路路由協(xié)議的的要求，以以便于網(wǎng)絡(luò)絡(luò)中的路由由聚類，減減少路由器器中路由表表的長度，減減少對(duì)路由由器CPUU、內(nèi)存的的消耗，提提高路由算算法的效率率，加快路路由變化的的收斂速度度，同時(shí)還還要考慮到到網(wǎng)絡(luò)地址址的可管理理性。具體體分配時(shí)要要遵循以下下原則：唯一性：一一個(gè)IP網(wǎng)絡(luò)中中不能有兩兩個(gè)主機(jī)采采用相同的的IP地址；簡單性：地地址分配應(yīng)應(yīng)簡單易于于管理，降降低網(wǎng)絡(luò)擴(kuò)擴(kuò)展的復(fù)雜雜性，簡化

44、化路由表項(xiàng)項(xiàng)連續(xù)性：連連續(xù)地址在在層次結(jié)構(gòu)構(gòu)網(wǎng)絡(luò)中易易于進(jìn)行路路徑疊合，大大大縮減路路由表，提提高路由算算法的效率率可擴(kuò)展性：地址分配配在每一層層次上都要要留有余量量，在網(wǎng)絡(luò)絡(luò)規(guī)模擴(kuò)展展時(shí)能保證證地址的連連續(xù)性靈活性：地地址分配應(yīng)應(yīng)具有靈活活性，以滿滿足多種路路由策略的的優(yōu)化，充充分利用地地址空間。主流的IPP地址規(guī)劃劃方案分為為純公網(wǎng)地地址、純私私網(wǎng)地址和和混合網(wǎng)絡(luò)絡(luò)地址三種種。當(dāng)網(wǎng)絡(luò)以私私網(wǎng)地址分分配或采用用混合網(wǎng)絡(luò)絡(luò)地址接入入時(shí)，網(wǎng)絡(luò)絡(luò)應(yīng)提供地地址變換功功能，過濾濾掉私網(wǎng)地地址。根據(jù)本次項(xiàng)項(xiàng)目的實(shí)際際情況，IIP地址的的具體規(guī)劃劃需參照信信息主管部部門的規(guī)范范，若規(guī)范范尚未制定定，可靈活

45、活選擇IPP地址。建建議選用AA類私網(wǎng)（10.2255.2255.2254）地地址，為未未來提供足足夠的IPP地址空間間。具體的的IP地址址規(guī)劃內(nèi)容容可在技術(shù)術(shù)聯(lián)系會(huì)上上確定，但但應(yīng)遵循上上述的原則則。4.2 VVLAN設(shè)設(shè)計(jì)VLAN可可以實(shí)現(xiàn)將將連接在同同一個(gè)物理理網(wǎng)絡(luò)上面面的主機(jī)分分組，使它它們看起來來就象連接接在不同的的網(wǎng)絡(luò)上一一樣?？梢砸酝ㄟ^VLLAN為網(wǎng)網(wǎng)絡(luò)分段，各各個(gè)網(wǎng)段可可以共用同同一套網(wǎng)絡(luò)絡(luò)設(shè)備，節(jié)節(jié)約了網(wǎng)絡(luò)絡(luò)硬件的開開銷，同時(shí)時(shí)在遷移中中所需的工工作量也大大幅度降低低了，從而而降低了連連網(wǎng)成本。在大型局局域網(wǎng)絡(luò)組組建中，VVLAN技技術(shù)是不可可缺少的關(guān)關(guān)鍵技

46、術(shù)，科科學(xué)的VLLAN設(shè)計(jì)計(jì)可以為局局域網(wǎng)絡(luò)帶帶來一系列列的優(yōu)點(diǎn)：在同一個(gè)物物理網(wǎng)絡(luò)實(shí)實(shí)現(xiàn)第二層層工作組劃劃分，實(shí)現(xiàn)現(xiàn)不同工作作組之間第第二層的完完全隔離，同同時(shí)，組員員可以處在在物理網(wǎng)絡(luò)絡(luò)中的任何何位置，不不受同一臺(tái)臺(tái)設(shè)備限制制；隔離廣播，提提高效率，避避免不相關(guān)關(guān)的廣播幀幀在全網(wǎng)擴(kuò)擴(kuò)散，浪費(fèi)費(fèi)有效帶寬寬資源；在局域網(wǎng)系系統(tǒng)中，建建議基于IIEEE 802.1Q標(biāo)準(zhǔn)準(zhǔn)實(shí)現(xiàn)VLLAN，在在分行VLLAN設(shè)計(jì)計(jì)中，使用用VLANN技術(shù)達(dá)到到兩個(gè)目的的，第一，不不同業(yè)務(wù)部部門之間的的隔離和通通信控制；第二，廣廣播范圍抑抑制。VLAN的的劃分可以以依據(jù)內(nèi)外外網(wǎng)用戶和和不同的業(yè)業(yè)務(wù)部門以以及用戶所所處

47、網(wǎng)絡(luò)的的物理結(jié)構(gòu)構(gòu)進(jìn)行，后后者主要是是從網(wǎng)絡(luò)性性能角度出出發(fā)，而前前者還同時(shí)時(shí)兼顧了網(wǎng)網(wǎng)絡(luò)安全性性可控性的的需要。從廣播控制制角度出發(fā)發(fā)，為了保保障網(wǎng)絡(luò)的的高可用和和高性能，按按照慣例原原則，我們們?cè)谶M(jìn)行具具體VLAAN規(guī)劃時(shí)時(shí)，同一個(gè)個(gè)廣播域內(nèi)內(nèi)（一個(gè)VVLAN）的的通信主機(jī)機(jī)一般不超超過50臺(tái)臺(tái)，最好控控制在300臺(tái)以內(nèi)，對(duì)對(duì)于主機(jī)數(shù)數(shù)量超過550的業(yè)務(wù)務(wù)部門，我我們通過二二層隔離，三三層交換的的方式來解解決。作為特殊 VLANN 的典型型，建議保保留VLAAN1作為為管理VLLAN，管管理VLAAN覆蓋到到全網(wǎng)的每每一臺(tái)交換換機(jī)，但在在第三層接接口上，需需要通過控控制列表與與其他業(yè)務(wù)務(wù)V

48、LANN進(jìn)行有效效的隔離。網(wǎng)管工作作站建議另另外設(shè)置一一個(gè)VLAAN，例如如VLANN ID=40000，VLAAN40000與VLLAN1在在第三層上上相通，同同時(shí)，保證證只有部分分業(yè)務(wù)VLLAN可以以訪問VLLAN40000，從從而實(shí)現(xiàn)網(wǎng)網(wǎng)管的分布布式監(jiān)控布布局。VLLAN1和和VLANN40000的第三層層路由接口口處設(shè)置訪訪問控制列列表，只有有特定的主主機(jī)或者只只有網(wǎng)管VVLAN可可以直接訪訪問每一臺(tái)臺(tái)設(shè)備，其其他均在過過濾之列。華為QuiidVieew綜合網(wǎng)網(wǎng)管系統(tǒng)提提供非?？炜旖莸腣LLAN批量量設(shè)置和修修改工具，只只需要通過過圖形化界界面對(duì)具體體端口標(biāo)識(shí)識(shí)選取或者者非選取，就就能

49、輕松設(shè)設(shè)置其VLLAN歸屬屬。網(wǎng)絡(luò)的VLLAN規(guī)劃劃，在明確確其網(wǎng)絡(luò)資資源訪問權(quán)權(quán)限分配的的具體要求求后，我們們可對(duì)網(wǎng)絡(luò)絡(luò)具體劃分分不同的權(quán)權(quán)限、VLLAN等其其它的安全全策略。4.3 路路由策略在不同的VVLAN間間要實(shí)現(xiàn)互互通必須提提供路由，路路由的產(chǎn)生生可以由管管理員指定定，或者由由路由器運(yùn)運(yùn)行動(dòng)態(tài)路路由協(xié)議而而產(chǎn)生。由管理員指指定的路由由稱為靜態(tài)態(tài)路由，它它是由管理理員手工設(shè)設(shè)置每一個(gè)個(gè)路由器，它它的優(yōu)點(diǎn)是是不占用網(wǎng)網(wǎng)絡(luò)的資源源，沒有路路由更新信信息所占用用的網(wǎng)絡(luò)開開銷，缺點(diǎn)點(diǎn)是網(wǎng)絡(luò)中中的管理員員要對(duì)每一一條路由都都非常清晰晰地了解，當(dāng)當(dāng)一個(gè)網(wǎng)絡(luò)絡(luò)變得規(guī)模模很大時(shí)，系系統(tǒng)設(shè)置很很困難。

50、由路由器動(dòng)動(dòng)態(tài)產(chǎn)生的的路由叫動(dòng)動(dòng)態(tài)路由，它它是由路由由器動(dòng)行一一定的動(dòng)態(tài)態(tài)路由協(xié)議議，彼此通通告路由信信息，然后后在此信息息的基礎(chǔ)上上產(chǎn)生各個(gè)個(gè)路由器的的路由表，常常見的動(dòng)態(tài)態(tài)路由協(xié)議議有RIPP v1/v2、IIGRP、EIGRRP、OSSPF、IIS-ISS、BGPP4等協(xié)議議。4.3.11 RIPP協(xié)議RIP使用用廣播用戶戶數(shù)據(jù)報(bào)協(xié)協(xié)議（UDDP）數(shù)據(jù)據(jù)報(bào)文的方方式把路由由表項(xiàng)發(fā)送送到相鄰路路由器。因因?yàn)镽IPP使用UDDP作為其其發(fā)送機(jī)制制，所以發(fā)發(fā)送到相鄰鄰路由器的的路由表更更新不能得得到保證。路由器間間RIP表表項(xiàng)的發(fā)送送缺省是在在路由器初初始啟動(dòng)后后30s。當(dāng)一個(gè)路路由器在到到另

51、一個(gè)已已經(jīng)活動(dòng)的的路由器的的連接上變變成活動(dòng)時(shí)時(shí)，這種路路由器的“公布”也會(huì)出現(xiàn)現(xiàn)在路由器器之間。使用RIPP的路由器器期待在1180s之之內(nèi)從鄰接接路由器獲獲得更新。如果在這這段時(shí)間內(nèi)內(nèi)沒有收到到鄰接路由由器的路由由表更新，則則去往未更更新路由器器的網(wǎng)絡(luò)路路由被標(biāo)識(shí)識(shí)為不可用用，強(qiáng)制把把ICMPP網(wǎng)絡(luò)不可可到達(dá)消息息返回給通通過未更新新路由器而而連接的資資源請(qǐng)求者者。一旦接接收更新計(jì)計(jì)時(shí)器到達(dá)達(dá)240 s，未更更新路由器器的路由表表項(xiàng)將被從從路由表中中移去。路路由器現(xiàn)在在接收到的的要到達(dá)通通過未更新新路由器連連接的報(bào)文文，現(xiàn)在可可以被重定定向到此路路由器的缺缺省網(wǎng)絡(luò)路路徑上。RIP協(xié)議議的優(yōu)

52、點(diǎn)：簡單，應(yīng)應(yīng)用廣泛，幾幾乎所有的的廠商在其其網(wǎng)絡(luò)產(chǎn)品品中都提供供對(duì)它的支支持。它的缺點(diǎn)：整個(gè)網(wǎng)絡(luò)絡(luò)不能超過過15跳，采采用全網(wǎng)廣廣播來發(fā)送送路由更新新信息在廣廣域網(wǎng)內(nèi)占占用帶寬。路由更新新不帶子網(wǎng)網(wǎng)信息，要要求連續(xù)的的子網(wǎng)。4.3.22 IGRRP協(xié)議內(nèi)部網(wǎng)關(guān)路路由選擇協(xié)協(xié)議（ IIGRP）是是Ciscco專有的的距離向量量路由選擇擇協(xié)議，目目的在于解解決RIPP協(xié)議的限限制。雖然然RIP在在小型同構(gòu)構(gòu)網(wǎng)絡(luò)上工工作得相當(dāng)當(dāng)好，但它它的跳數(shù)小?。?6）的的特點(diǎn)嚴(yán)重重限制了網(wǎng)網(wǎng)絡(luò)的大小小下，并且且單一的度度量（跳數(shù)數(shù)）不能給給復(fù)雜網(wǎng)絡(luò)絡(luò)提供有彈彈性的路由由選擇。IIGRP通通過使網(wǎng)絡(luò)絡(luò)跳數(shù)增加加

53、到2555跳和為滿滿足當(dāng)今復(fù)復(fù)雜網(wǎng)絡(luò)路路由選擇彈彈性提供而而提供的多多種度量（鏈鏈路可靠性性、帶寬、網(wǎng)絡(luò)間延延遲和負(fù)載載），解決決了RIPP的不足。4.3.33 EIGGRP協(xié)議議EIGRPP是Cissco 公公司擁有的的路由協(xié)議議。EIGGRP綜合合了距離向向量協(xié)議與與鏈路狀態(tài)態(tài)協(xié)議的優(yōu)優(yōu)點(diǎn)。此外外EIGRRP利用散散播更新算算法（ DDiffuusingg Upddate Algoorithhm，DUUAL），從從而加快了了收斂，并并且減少了了網(wǎng)絡(luò)中產(chǎn)產(chǎn)生路由環(huán)環(huán)的可能。EIGRRP比其他他路由協(xié)議議更有優(yōu)勢(shì)勢(shì)的一點(diǎn)是是：它不僅僅支持IPP，并且支支持Novvell NetWWare IP

54、X和和ApplleTallk。因此此，減化了了網(wǎng)絡(luò)設(shè)計(jì)計(jì)和故障處處理。4.3.44 OSPPF協(xié)議OSPF用用鏈路狀態(tài)態(tài)算法來計(jì)計(jì)算在每個(gè)個(gè)區(qū)域中到到所有目的的的最短路路徑，當(dāng)一一個(gè)路由器器首先開始始工作，或或者任一個(gè)個(gè)路由變化化發(fā)生，這這個(gè)配備給給OSPFF的路由器器將LSAA擴(kuò)散到同同一級(jí)區(qū)域域內(nèi)所有路路由器，這這些LSAA包含這個(gè)個(gè)路由器的的鏈接狀態(tài)態(tài)和它與鄰鄰居路由器器聯(lián)系的信信息，從這這些LSAA的收集中中形成了鏈鏈路狀態(tài)數(shù)數(shù)據(jù)庫，在在這個(gè)區(qū)域域中的所有有路由器都都有一個(gè)特特定的數(shù)據(jù)據(jù)庫來描述述這個(gè)區(qū)域域的拓?fù)浣Y(jié)結(jié)構(gòu)。這個(gè)個(gè)路由器于于是就運(yùn)行行Diskkjtraa算法，這這個(gè)算法利利

55、用鏈路狀狀態(tài)數(shù)據(jù)庫庫在該區(qū)域域中形成到到所有目的的的最短路路徑樹，從從這個(gè)最短短路徑樹中中形成了IIP路由表表。在網(wǎng)絡(luò)絡(luò)中發(fā)生的的任何改變變將會(huì)被鏈鏈路狀態(tài)包包擴(kuò)散出去去，同時(shí)使使路由器利利用這些新新信息，重重新計(jì)算最最短路徑樹樹。4.3.55 IS-IS協(xié)議議IS - IS（IInterrmediiate Systtem -to-IInterrmediiate Systtem,中中間系統(tǒng)到到中間系統(tǒng)統(tǒng)）是一個(gè)個(gè)分級(jí)的鏈鏈接狀態(tài)路路由協(xié)議。IS - IS可可以在不同同的子網(wǎng)上上操作，包包括廣播型型的LANN、WA N和點(diǎn)到到點(diǎn)鏈路。IS - IS是是一個(gè)鏈接接狀態(tài)協(xié)議議，實(shí)際上上與O SS P

56、 FF非常相似似，它也使使用H eello協(xié)協(xié)議尋找毗毗鄰節(jié)點(diǎn)，使使用一個(gè)傳傳播協(xié)議發(fā)發(fā)送鏈接信信息。但是，至少少存在兩個(gè)個(gè)技術(shù)問題題：IS - IS使用用一個(gè)小的的度量值（66比特），嚴(yán)嚴(yán)重限制了了能與它進(jìn)進(jìn)行轉(zhuǎn)換的的信息；而且鏈接狀狀態(tài)也只有有8比特長長，路由器器能通告的的記錄只有有2 5 6個(gè)。4.3.66 BGPP4協(xié)議B G PP是自治系系統(tǒng)間的路路由協(xié)議，它它的主要功功能是和其其他B GG P會(huì)話話者之間交交換網(wǎng)絡(luò)可可達(dá)性信息息。一個(gè)BB G PP說話者是是任何為BB G PP配置的設(shè)設(shè)備。B G P使使用T CC P作為為它的傳輸輸協(xié)議（端端口1 77 9），這這提供了可可靠的數(shù)

57、據(jù)據(jù)傳輸。兩個(gè)B GG P路由由器形成了了一個(gè)傳輸輸協(xié)議連接接。這兩個(gè)個(gè)路由器被被稱為鄰居居或者對(duì)等等體。一旦旦傳輸連接接形成，兩兩對(duì)等路由由器交換報(bào)報(bào)文以開放放并確認(rèn)連連接參數(shù)。在這一步步，路由器器交換B G P版版本號(hào)、AA S號(hào)、持續(xù)時(shí)間間、BGPP標(biāo)識(shí)和其其他可選參參數(shù)等信息息。如果對(duì)對(duì)等體間有有任何一個(gè)個(gè)參數(shù)不一一致，就會(huì)會(huì)有差錯(cuò)通通知發(fā)送，這這個(gè)對(duì)等體體連接就不不會(huì)建立。如果對(duì)等路路由器都同同意這些參參數(shù)，則整整個(gè)BGPP路由表通通過Upddate報(bào)報(bào)文進(jìn)行交交換。Updatte報(bào)文包包含了經(jīng)過過每個(gè)系統(tǒng)統(tǒng)的可達(dá)目目的地的列列表（即網(wǎng)網(wǎng)絡(luò)層可達(dá)達(dá)性信息）以以及每個(gè)路路由的路徑徑屬性

58、。路路徑屬性包包含了諸如如路由源（OORIGIIN）之類類的信息和和優(yōu)先權(quán)的的高低。路路徑屬性將將會(huì)在本章章后面詳細(xì)細(xì)討論。BGP表在在BGP連連接的過程程中對(duì)每個(gè)個(gè)對(duì)等體都都是有效的的。如果有有路由報(bào)文文發(fā)生了變變化，鄰居居路由器使使用增量的的更新（報(bào)報(bào)文）來傳傳遞這個(gè)信信息。BGGP并不要要求刷新路路由信息。如果沒有有路由變化化產(chǎn)生，BBGP對(duì)等等體僅交換換保留( keeppalivve )報(bào)報(bào)文，保留留報(bào)文被周周期性地發(fā)發(fā)送以確保保連接是保保持有效的的。方案中建議議配置的華華為3Coom核心路路由交換機(jī)機(jī)S85005支持除除私有協(xié)議議EIGRRP以外的的所有路由由協(xié)議。從上面介紹紹的路由

59、協(xié)協(xié)議來看，我我們建議XXXXX電電子政務(wù)網(wǎng)網(wǎng)絡(luò)路由的的設(shè)置可以以根據(jù)網(wǎng)絡(luò)絡(luò)規(guī)模的發(fā)發(fā)展采用分分步實(shí)施的的方式。第一步采用用靜態(tài)路由由，因?yàn)榇舜藭r(shí)XXXXX電子政政務(wù)網(wǎng)絡(luò)的三層層數(shù)據(jù)交換換均在核心心交換機(jī)完完成。第二步當(dāng)XXXXX電電子政務(wù)網(wǎng)網(wǎng)絡(luò)的網(wǎng)絡(luò)絡(luò)規(guī)模擴(kuò)大大以后再采采用OSPPF動(dòng)態(tài)路路由協(xié)議，這這個(gè)協(xié)議的的的優(yōu)點(diǎn)是是路由的開開銷小、收收斂速度快快、協(xié)議是是開放的標(biāo)標(biāo)準(zhǔn)，能保保證以后升升級(jí)的兼容容性。方案中選擇擇的路由交交換機(jī)均支支持以上兩兩種路由協(xié)協(xié)議，可滿滿足目前及及未來需求求。4.4 QQoS設(shè)計(jì)計(jì)4.4.11 主要的的QOS服服務(wù)模型InterrServv 方式：Integgra

60、teed seervicce是一個(gè)個(gè)綜合服務(wù)務(wù)模型，它它可以滿足足多種QooS需求。這種服務(wù)務(wù)模型在發(fā)發(fā)送報(bào)文前前，需要向向網(wǎng)絡(luò)申請(qǐng)請(qǐng)?zhí)囟ǖ姆?wù)。這個(gè)個(gè)請(qǐng)求是通通過信令（signal）來完成的，應(yīng)用程序首先通知網(wǎng)絡(luò)它自己的流量參數(shù)和需要的特定服務(wù)質(zhì)量請(qǐng)求，包括帶寬、時(shí)延等，應(yīng)用程序一般在收到網(wǎng)絡(luò)的確認(rèn)信息，即網(wǎng)絡(luò)已經(jīng)為這個(gè)應(yīng)用程序的報(bào)文預(yù)留了資源后，發(fā)送報(bào)文。而應(yīng)用程序發(fā)出的報(bào)文應(yīng)該控制在流量參數(shù)描述的范圍內(nèi)。網(wǎng)絡(luò)在收到到應(yīng)用程序序的資源請(qǐng)請(qǐng)求后，執(zhí)執(zhí)行資源分分配檢查（Admission control），即基于應(yīng)用程序的資源申請(qǐng)和網(wǎng)絡(luò)現(xiàn)有的資源情況，判斷是否為應(yīng)用程序分配資源。一旦網(wǎng)絡(luò)確認(rèn)