辦公樓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

1、辦公樓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案目錄TOC o 1-2 h u HYPERLINK l _Toc24660 一、用戶需求分析 PAGEREF _Toc24660 3 HYPERLINK l _Toc8527 1.1、項(xiàng)目概述 PAGEREF _Toc8527 3 HYPERLINK l _Toc17205 1.2、網(wǎng)絡(luò)基礎(chǔ)設(shè)施整體建網(wǎng)基本原則 PAGEREF _Toc17205 3 HYPERLINK l _Toc23859 1.3、網(wǎng)絡(luò)模型 PAGEREF _Toc23859 4 HYPERLINK l _Toc17821 二、組網(wǎng)方案規(guī)劃 PAGEREF _Toc17821 5 HYPERLI

2、NK l _Toc2274 2.1、整體設(shè)計(jì)規(guī)劃思路 PAGEREF _Toc2274 5 HYPERLINK l _Toc10871 2.2、總體結(jié)構(gòu)規(guī)劃 PAGEREF _Toc10871 6 HYPERLINK l _Toc8376 2.3、網(wǎng)絡(luò)規(guī)劃 PAGEREF _Toc8376 7 HYPERLINK l _Toc5478 2.4、可靠性設(shè)計(jì) PAGEREF _Toc5478 8 HYPERLINK l _Toc14264 三、IP地址規(guī)劃 PAGEREF _Toc14264 10 HYPERLINK l _Toc31652 3.1、 IP地址規(guī)劃的原則 PAGEREF _Toc3

3、1652 10 HYPERLINK l _Toc27500 3.2、IP地址規(guī)劃方案 PAGEREF _Toc27500 11 HYPERLINK l _Toc29918 3.3、IP地址管理 PAGEREF _Toc29918 12 HYPERLINK l _Toc27605 四、路由規(guī)劃 PAGEREF _Toc27605 13 HYPERLINK l _Toc13306 五、網(wǎng)絡(luò)管理規(guī)劃 PAGEREF _Toc13306 14 HYPERLINK l _Toc24480 5.1、網(wǎng)管系統(tǒng)需求 PAGEREF _Toc24480 14 HYPERLINK l _Toc28383 5.2、

4、Quidview網(wǎng)絡(luò)管理軟系統(tǒng) PAGEREF _Toc28383 14 HYPERLINK l _Toc28478 5.3、網(wǎng)管系統(tǒng)實(shí)施步驟 PAGEREF _Toc28478 17 HYPERLINK l _Toc30142 5.4、網(wǎng)管安全措施 PAGEREF _Toc30142 17 HYPERLINK l _Toc21910 六、網(wǎng)絡(luò)安全規(guī)劃 PAGEREF _Toc21910 18 HYPERLINK l _Toc32113 6.1、承載網(wǎng)網(wǎng)絡(luò)安全概述 PAGEREF _Toc32113 18 HYPERLINK l _Toc2920 6.2、華為3Com網(wǎng)絡(luò)設(shè)備安全技術(shù)介紹 PA

5、GEREF _Toc2920 18 HYPERLINK l _Toc32222 6.3、網(wǎng)絡(luò)建設(shè)安全的具體建議 PAGEREF _Toc32222 19 HYPERLINK l _Toc2710 七、用戶認(rèn)證和管理規(guī)劃 PAGEREF _Toc2710 21一、用戶需求分析全球信息化的浪潮對(duì)社會(huì)、經(jīng)濟(jì)、生活產(chǎn)生了重大影響。面對(duì)新形勢(shì)，迫切需要具備支持高效、多業(yè)務(wù)、性能可靠的網(wǎng)絡(luò)互連，為XX集團(tuán)新建辦公樓提供迅捷、高效的辦公、業(yè)務(wù)平臺(tái)。1.1、項(xiàng)目概述XX集團(tuán)新建辦公樓整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)是一個(gè)從核心向外輻射的樹(shù)形結(jié)構(gòu)，在各個(gè)不同的樓區(qū)設(shè)置配線間，從核心機(jī)房到分機(jī)房之間通過(guò)千兆連接，各個(gè)接入點(diǎn)分別由配線

6、間負(fù)責(zé)接入。根據(jù)目前網(wǎng)絡(luò)工程的實(shí)際情況，我們所要作的工作主要分以下幾部分：1、網(wǎng)絡(luò)中心設(shè)備的性能分析和選擇2、網(wǎng)絡(luò)接入層設(shè)備的性能分析和選擇3、如何運(yùn)用正確的方法保證二級(jí)交換機(jī)的可靠性4、如何運(yùn)用正確的方法保證核心交換機(jī)的可靠性5、如何運(yùn)用正確的方法保證核心骨干的網(wǎng)絡(luò)帶寬6、如何保證整個(gè)局域網(wǎng)環(huán)境高效、安全的接入Internet7、如何實(shí)現(xiàn)XX集團(tuán)新建辦公樓網(wǎng)的各項(xiàng)功能8、網(wǎng)絡(luò)安全，包括網(wǎng)絡(luò)防火墻和網(wǎng)絡(luò)防病毒功能9、網(wǎng)絡(luò)管理功能10、網(wǎng)絡(luò)數(shù)據(jù)備份和災(zāi)難恢復(fù)功能正確的實(shí)現(xiàn)上述的各項(xiàng)功能，并且兼顧到整個(gè)網(wǎng)絡(luò)的可擴(kuò)展性、易用性、易管理性等特點(diǎn)，就可以設(shè)計(jì)一個(gè)即滿足目前的網(wǎng)絡(luò)需求，也滿足以后的網(wǎng)絡(luò)擴(kuò)展

7、的高效的網(wǎng)絡(luò)架構(gòu)，為整個(gè)辦公樓的信息化工程做好堅(jiān)實(shí)的基礎(chǔ)。1.2、網(wǎng)絡(luò)基礎(chǔ)設(shè)施整體建網(wǎng)基本原則先進(jìn)性原則：以先進(jìn)、成熟的網(wǎng)絡(luò)通信技術(shù)進(jìn)行組網(wǎng)，支持?jǐn)?shù)據(jù)、語(yǔ)音、視像等多媒體應(yīng)用，用基于交換的技術(shù)替代傳統(tǒng)的基于路由的技術(shù)。 標(biāo)準(zhǔn)化和開(kāi)放性原則：網(wǎng)絡(luò)協(xié)議采用符合ISO及其他標(biāo)準(zhǔn)，如：IEEE、ITUT、ANSI等制定的協(xié)議，采用遵從國(guó)際和國(guó)家標(biāo)準(zhǔn)的網(wǎng)絡(luò)設(shè)備。 可靠性和可用性原則：選用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)在程序運(yùn)行時(shí)的應(yīng)變能力和容錯(cuò)能力，確保整個(gè)系統(tǒng)的安全與可靠。 靈活性和兼容性原則：選用符合國(guó)際發(fā)展潮流的國(guó)際標(biāo)準(zhǔn)的軟件技術(shù)，以便系統(tǒng)有可靠性強(qiáng)、可擴(kuò)展和可升級(jí)等特點(diǎn)，保證今后可迅速采用計(jì)算

8、機(jī)網(wǎng)絡(luò)發(fā)展出現(xiàn)的新技術(shù)，同時(shí)為現(xiàn)存不同的網(wǎng)絡(luò)設(shè)備、小型機(jī)、工作站、服務(wù)器、和微機(jī)等設(shè)備提供入網(wǎng)和互連手段。 實(shí)用性和經(jīng)濟(jì)性原則：從實(shí)用性和經(jīng)濟(jì)性出發(fā)，著眼于近期目標(biāo)和長(zhǎng)期的發(fā)展，選用先進(jìn)的設(shè)備，進(jìn)行最佳性能組合，利用有限的投資構(gòu)造一個(gè)性能最佳的網(wǎng)絡(luò)系統(tǒng)。 安全性和保密性原則：從網(wǎng)絡(luò)設(shè)計(jì)安全性和保密性出發(fā)，選用安全性能較高的設(shè)備，充分保障網(wǎng)絡(luò)的安全性。 擴(kuò)展性和升級(jí)能力原則：網(wǎng)絡(luò)設(shè)計(jì)應(yīng)具有良好的擴(kuò)展性和升級(jí)能力，選用具有良好升級(jí)能力和擴(kuò)展性的設(shè)備。在以后對(duì)該網(wǎng)絡(luò)進(jìn)行升級(jí)和擴(kuò)展時(shí)，必須能保護(hù)現(xiàn)有投資。應(yīng)支持多種網(wǎng)絡(luò)協(xié)議、多種高層協(xié)議和多媒體應(yīng)用。 網(wǎng)絡(luò)的靈活性原則：系統(tǒng)的靈活性主要表現(xiàn)在軟件配置與

9、負(fù)載平衡等方面，配合交換機(jī)產(chǎn)品與路由器產(chǎn)品支持的最先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)，整個(gè)網(wǎng)絡(luò)系統(tǒng)可以通過(guò)軟件快速簡(jiǎn)便地將用戶或用戶組從一個(gè)網(wǎng)絡(luò)轉(zhuǎn)移到另一個(gè)網(wǎng)絡(luò)，可以跨越辦公室、辦公樓，而無(wú)需任何硬件的改變，以適應(yīng)機(jī)構(gòu)的變化。同時(shí)也可以通過(guò)平衡網(wǎng)絡(luò)的流量，提高網(wǎng)絡(luò)性能。1.3、網(wǎng)絡(luò)模型為了實(shí)現(xiàn)網(wǎng)絡(luò)的組織和規(guī)劃，建議XX集團(tuán)新建辦公樓網(wǎng)絡(luò)建設(shè)采用層次化建設(shè)方案，層次結(jié)構(gòu)如下：核心層由網(wǎng)絡(luò)中心的核心節(jié)點(diǎn)構(gòu)成匯聚層由各主要建筑樓群匯聚節(jié)點(diǎn)構(gòu)成接入層由各個(gè)樓層接入層交換機(jī)構(gòu)成XX集團(tuán)新建辦公樓網(wǎng)絡(luò)是由核心層節(jié)點(diǎn)、匯聚節(jié)點(diǎn)及接入節(jié)點(diǎn)構(gòu)成的物理平面網(wǎng)絡(luò)。二、組網(wǎng)方案規(guī)劃2.1、整體設(shè)計(jì)規(guī)劃思路本方案采用華為3Com路由器

10、和交換機(jī)構(gòu)建統(tǒng)一的IP網(wǎng)絡(luò)平臺(tái)，網(wǎng)絡(luò)骨干帶寬1000M，并在保護(hù)用戶投資的前提下，骨干網(wǎng)絡(luò)可平滑升級(jí)到萬(wàn)兆。同時(shí)由于全網(wǎng)采用統(tǒng)一IP網(wǎng)絡(luò)平臺(tái)，方便實(shí)現(xiàn)統(tǒng)一網(wǎng)管，提高管理效率，Quidview網(wǎng)絡(luò)管理軟件是華為3Com公司對(duì)全線數(shù)據(jù)通信設(shè)備進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層，能夠?qū)崿F(xiàn)網(wǎng)元管理、網(wǎng)絡(luò)管理的功能。Quidview與華為3Com公司的數(shù)據(jù)通信設(shè)備產(chǎn)品一起為用戶提供全網(wǎng)解決方案。為了達(dá)到可運(yùn)營(yíng)的網(wǎng)絡(luò)要求，采用華為3Com公司推出的綜合接入管理服務(wù)器CAMS（Comprehensive Access Management Server），可以配合華為3Com網(wǎng)絡(luò)設(shè)備組網(wǎng)

11、，完成對(duì)用戶上網(wǎng)過(guò)程的認(rèn)證、授權(quán)和計(jì)費(fèi)。CAMS作為網(wǎng)絡(luò)中的用戶管理核心，在基本的AAA（Authorization、Authentication and Accounting）功能之上，提供了強(qiáng)大的管理、維護(hù)和安全控制平臺(tái)，可與企業(yè)現(xiàn)有系統(tǒng)平滑對(duì)接，實(shí)現(xiàn)網(wǎng)絡(luò)的可管理、可運(yùn)營(yíng)和高安全。伴隨著信息技術(shù)的飛速發(fā)展和企業(yè)信息化程度的不斷提高，多業(yè)務(wù)融合的寬帶網(wǎng)絡(luò)已經(jīng)成為企業(yè)正常運(yùn)營(yíng)的重要保障。為了確保一個(gè)穩(wěn)定、安全、高效的網(wǎng)絡(luò)運(yùn)營(yíng)環(huán)境，管理員不得不常常面臨以下問(wèn)題如何監(jiān)控用戶的網(wǎng)絡(luò)應(yīng)用行為？如何跟蹤網(wǎng)絡(luò)應(yīng)用資源的使用情況？如何識(shí)別網(wǎng)絡(luò)中的異常流量和性能瓶頸？如何有效的規(guī)劃和部署網(wǎng)絡(luò)資源？這些問(wèn)題的解

12、決依賴于管理員對(duì)網(wǎng)絡(luò)運(yùn)行詳細(xì)狀況的及時(shí)獲取，為此，華為3Com公司推出了XLog網(wǎng)絡(luò)日志審計(jì)系統(tǒng)（Network Log Audit System, XLog），可以與路由器、交換機(jī)、BAS等網(wǎng)絡(luò)設(shè)備共同組網(wǎng)，根據(jù)用戶要求采集不同類型的網(wǎng)絡(luò)流量信息，并通過(guò)聚合、分析與統(tǒng)計(jì)，為網(wǎng)絡(luò)管理員提供用戶行為審計(jì)、流量異常監(jiān)控和網(wǎng)絡(luò)部署優(yōu)化的數(shù)據(jù)基礎(chǔ)和決策依據(jù)。XLog是一種低成本、可擴(kuò)展的網(wǎng)絡(luò)日志信息審計(jì)與分析系統(tǒng)，能夠與路由器、以太網(wǎng)交換機(jī)、BAS設(shè)備等共同組網(wǎng)，完成對(duì)NAT、FLOW、DIG等多種網(wǎng)絡(luò)日志的采集、統(tǒng)計(jì)與分析，可以追溯網(wǎng)絡(luò)使用行為，監(jiān)視異?；顒?dòng)，為合理的網(wǎng)絡(luò)規(guī)劃提供重要參考。為保證視頻

13、、話音、數(shù)據(jù)基于IP技術(shù)三網(wǎng)融合，采用統(tǒng)一的IP傳輸平臺(tái)，所以要求IP網(wǎng)絡(luò)平臺(tái)具備提供保障視頻、話音等實(shí)時(shí)業(yè)務(wù)的QOS保障能力；2.2、總體結(jié)構(gòu)規(guī)劃建議網(wǎng)絡(luò)總體結(jié)構(gòu)如下：1、以區(qū)域?yàn)橹行牟季帧＞W(wǎng)絡(luò)主干網(wǎng)構(gòu)成分為中心節(jié)點(diǎn)（網(wǎng)絡(luò)中心）、匯聚層節(jié)點(diǎn)和接入層節(jié)點(diǎn)，全校設(shè)1個(gè)中心節(jié)點(diǎn)，2個(gè)匯聚節(jié)點(diǎn)，若干臺(tái)接入層交換機(jī)。中心節(jié)點(diǎn)為整個(gè)網(wǎng)絡(luò)的核心，為整個(gè)網(wǎng)絡(luò)提供可靠的高帶寬核心交換路由，匯聚層節(jié)點(diǎn)完成各區(qū)域業(yè)務(wù)的匯集，接入層交換機(jī)負(fù)責(zé)各樓層網(wǎng)絡(luò)業(yè)務(wù)的接入。2、三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)。采用統(tǒng)一中心，星型對(duì)稱式結(jié)構(gòu)，中心采用兩臺(tái)核心路由交換機(jī)構(gòu)建，以提供高可靠性的網(wǎng)絡(luò)核心。各匯聚層節(jié)點(diǎn)到中心節(jié)點(diǎn)采用萬(wàn)兆光纖互連，對(duì)于網(wǎng)絡(luò)

14、接入業(yè)務(wù)特別多的區(qū)域，可以采用鏈路匯聚的方式，捆綁多條光纖鏈路以提供足夠的帶寬互連中心節(jié)點(diǎn)。各樓層接入層交換機(jī)到各匯聚層節(jié)點(diǎn)的聯(lián)接方式采用千兆光纖互連。3、RRPP以太環(huán)保護(hù)方案。以太網(wǎng)技術(shù)自1973年由3Com公司創(chuàng)始人Bob Metcalfe發(fā)明以來(lái)，以其簡(jiǎn)單開(kāi)放、成本低廉獲得了長(zhǎng)足發(fā)展，漸漸的在局域網(wǎng)的領(lǐng)域獲得了領(lǐng)導(dǎo)地位，目前新建的局域網(wǎng)幾乎都是基于以太網(wǎng)技術(shù)的，進(jìn)而城域網(wǎng)也開(kāi)始向以太網(wǎng)靠近，MEF（城域以太網(wǎng)論壇）的成員幾乎囊括了所有業(yè)界主流廠商。但是，以太網(wǎng)（IEEE 802.3）始終沒(méi)有解決快速收斂問(wèn)題。任何鏈路的中斷會(huì)導(dǎo)致網(wǎng)絡(luò)長(zhǎng)達(dá)數(shù)十秒的不可用，這對(duì)承載于網(wǎng)絡(luò)上的各種實(shí)時(shí)業(yè)務(wù)是難

15、以忍受的。為了解決了快速收斂的問(wèn)題，IEEE工作組又提出了IEEE802.17 RPR技術(shù)，RPR達(dá)到了50ms倒換的自愈保護(hù)能力。但是相對(duì)傳統(tǒng)低成本的以太網(wǎng)技術(shù)，投資額成了RPR應(yīng)用的一個(gè)障礙，通常只有對(duì)可靠性要求非常嚴(yán)格的用戶才會(huì)考慮使用RPR技術(shù)，而更多的用戶需要一種將以太網(wǎng)低成本與RPR高可靠相結(jié)合的技術(shù)，既可以大幅減少網(wǎng)絡(luò)自愈的收斂時(shí)間，而又不會(huì)增加投資額。為此，華為3Com推出了革新性的以太環(huán)網(wǎng)技術(shù)RRPP（Rapid Ring Protection Protocol，快速環(huán)網(wǎng)保護(hù)協(xié)議）。RRPP技術(shù)是一種專門(mén)應(yīng)用于以太網(wǎng)環(huán)的鏈路層協(xié)議，它在以太網(wǎng)環(huán)中能夠防止數(shù)據(jù)環(huán)路引起的廣播風(fēng)暴

16、，當(dāng)以太網(wǎng)環(huán)上鏈路或設(shè)備故障時(shí)，能迅速切換到備份鏈路，保證業(yè)務(wù)快速恢復(fù)。與STP協(xié)議相比，RRPP協(xié)議具有算法簡(jiǎn)單、拓?fù)涫諗克俣瓤旌褪諗繒r(shí)間與環(huán)網(wǎng)上節(jié)點(diǎn)數(shù)無(wú)關(guān)等顯著優(yōu)勢(shì)。本方案在網(wǎng)絡(luò)兩個(gè)核心和匯聚節(jié)點(diǎn)之間采用RRPP以太環(huán)解決方案。4、擴(kuò)展性考慮。在充分滿足應(yīng)用的情況下，網(wǎng)絡(luò)建設(shè)需同時(shí)考慮經(jīng)濟(jì)實(shí)用性及先進(jìn)性，因?yàn)殡S著各項(xiàng)應(yīng)用的不斷成熟，網(wǎng)絡(luò)的規(guī)模及流量將不斷擴(kuò)大，因此要充分考慮網(wǎng)絡(luò)的可擴(kuò)展性及平滑擴(kuò)容，本方案推薦的核心和匯聚層設(shè)備均支持萬(wàn)兆光纖模塊，骨干網(wǎng)可以在對(duì)設(shè)備投資保護(hù)的前提下平滑升級(jí)到萬(wàn)兆。2.3、網(wǎng)絡(luò)規(guī)劃XX集團(tuán)新建辦公樓網(wǎng)絡(luò)主要包括一個(gè)核心節(jié)點(diǎn)和兩個(gè)匯聚節(jié)點(diǎn)和相應(yīng)的建筑物內(nèi)的樓層接

17、入交換機(jī)。由于核心節(jié)點(diǎn)和匯聚層節(jié)點(diǎn)是整個(gè)校區(qū)的骨干網(wǎng)，所有的業(yè)務(wù)全部是通過(guò)骨干網(wǎng)來(lái)運(yùn)行，因此骨干網(wǎng)絡(luò)的性能直接關(guān)系著整個(gè)辦公網(wǎng)絡(luò)的性能。因此在組建XX集團(tuán)新建辦公樓骨干網(wǎng)時(shí)，對(duì)于骨干設(shè)備的選擇要從以下幾方面進(jìn)行考慮，即要考慮到設(shè)備的可靠性、穩(wěn)定性、安全性和處理能力，同時(shí)還要考慮到現(xiàn)在選擇的設(shè)備不但要能充分滿足現(xiàn)有數(shù)據(jù)的處理，而且可以滿足未來(lái)幾年內(nèi)業(yè)務(wù)的發(fā)展所帶來(lái)得更大量的數(shù)據(jù)的處理。核心交換機(jī)和各個(gè)匯聚節(jié)點(diǎn)的匯聚層交換機(jī)需要高速運(yùn)送整個(gè)網(wǎng)絡(luò)的流量，設(shè)備承載的壓力較大。因此骨干網(wǎng)絡(luò)的建設(shè)，通常必須遵循以下幾個(gè)原則：1、必須具備高可靠性及高冗余性；2、必須能夠提供故障隔離功能；3、必須具有迅速升級(jí)

18、能力；4、必須具有較少的時(shí)延和好的可管理性。根據(jù)以上的業(yè)務(wù)分析，建議在核心節(jié)點(diǎn)配置兩臺(tái)核心交換機(jī)S9512，各個(gè)匯聚層節(jié)點(diǎn)采用S7506交換機(jī)，各個(gè)匯聚層節(jié)點(diǎn)分別和核心交換機(jī)采用萬(wàn)兆光纖鏈路上行。整個(gè)結(jié)構(gòu)如下圖所示：如上圖所示，我們?cè)诤诵墓?jié)點(diǎn)上配置了兩臺(tái)核心交換機(jī)S9512。在各個(gè)匯聚節(jié)點(diǎn)各配置了1臺(tái)匯聚交換機(jī)S7506。在網(wǎng)絡(luò)出口部署一臺(tái)SecPathF1000-S防火墻，用于接入兩個(gè)外網(wǎng)出口。每個(gè)建筑物樓層內(nèi)的接入層交換機(jī)采用E系列交換機(jī)，采用1000M以太網(wǎng)光纖上行的方式與各個(gè)區(qū)域的匯聚層交換機(jī)連接。整網(wǎng)的層次清晰，結(jié)構(gòu)合理，核心層的S9512負(fù)責(zé)接入?yún)R聚層的S7506R，完成快速轉(zhuǎn)發(fā)的

19、功能，同時(shí)作為完成各個(gè)服務(wù)器的接入。各個(gè)匯聚節(jié)點(diǎn)的匯聚交換機(jī)作為各個(gè)區(qū)域網(wǎng)絡(luò)的中心交換設(shè)備，負(fù)責(zé)接入各個(gè)建筑屋內(nèi)的樓層接入層交換機(jī)設(shè)備。全網(wǎng)采用高可靠，高性能，高密度的設(shè)備，從而避免了網(wǎng)絡(luò)上的性能瓶頸，骨干網(wǎng)的帶寬及性能可以滿足未來(lái)幾年的應(yīng)用，從而可以較好的避免日后對(duì)骨干網(wǎng)的改造，減小對(duì)整個(gè)網(wǎng)絡(luò)的沖擊。2.4、可靠性設(shè)計(jì)本方案提供以下可靠性設(shè)計(jì): (1) 核心設(shè)備模塊冗余。核心設(shè)備的所有模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能。所有模塊具備熱插拔的功能,核心層設(shè)備對(duì)主控模塊及關(guān)鍵部件采取了1+1的冗余。華為3Com的H3C S9500和S7500 系列高端多業(yè)務(wù)交換機(jī)提供電信級(jí)的高可靠性

20、：支持無(wú)源背板，支持雙路電源供電，支持引擎、電源、風(fēng)扇的冗余，支持單板熱插拔。(2) 智能彈性架構(gòu)IRFIRF（Intelligent Resilient Framework），即智能彈性架構(gòu)，是華為3Com公司推出的創(chuàng)新性建設(shè)網(wǎng)絡(luò)核心的新技術(shù)。它將幫助用戶設(shè)計(jì)和實(shí)施高可用性、高可擴(kuò)展性的千兆以太網(wǎng)核心和匯聚主干。運(yùn)用IRF技術(shù)，可以將多臺(tái)千兆三層交換機(jī)互聯(lián)在一起，形成分布式交換架構(gòu)，并作為一個(gè)邏輯交換實(shí)體運(yùn)行。從管理和配置的角度看，一個(gè)分布式交換架構(gòu)看起來(lái)就像一臺(tái)交換設(shè)備；從性能的角度看，分布式交換架構(gòu)中的每臺(tái)交換機(jī)都能針對(duì)其端口上的第二層/第三層流量通信業(yè)務(wù)制定本地轉(zhuǎn)發(fā)決策，它向用戶提供一

21、種新型的堆疊技術(shù)。和傳統(tǒng)的堆疊技術(shù)相比，IRF是一種更為增強(qiáng)的堆疊技術(shù)，在多方面進(jìn)行了創(chuàng)新或增強(qiáng)，除了可以做到擴(kuò)展端口、統(tǒng)一管理之外，IRF在高可靠性、冗余備份方面比照傳統(tǒng)堆疊有了很大的提高。IRF技術(shù)可以容許全局范圍內(nèi)的跨設(shè)備鏈路聚合，提供了全面的鏈路級(jí)保護(hù)。同時(shí)IRF技術(shù)實(shí)現(xiàn)了跨設(shè)備的三層路由冗余，可以支持多種單播路由協(xié)議、組播路由協(xié)議的分布式處理，真正實(shí)現(xiàn)了多種路由協(xié)議的熱備份技術(shù)，這些方面都是傳統(tǒng)堆疊技術(shù)難以做到的。尤其是單播路由協(xié)議和組播路由協(xié)議的熱備份技術(shù)，在業(yè)界一直都是一個(gè)難題，IRF技術(shù)的出現(xiàn)對(duì)高可靠性提出了全新的解決方案。此外，IRF技術(shù)實(shí)現(xiàn)了二層協(xié)議在fabric內(nèi)的分布式

22、運(yùn)行，提高了堆疊內(nèi)unit的利用率和可靠性，減少了設(shè)備間的協(xié)議的依賴關(guān)系。具體來(lái)說(shuō)，IRF主要包括3個(gè)技術(shù)方面：DDM、DRR和DLA。DDM（分布式設(shè)備管理）：在外界看來(lái)，整個(gè)fabric是一臺(tái)整體設(shè)備。用戶可以通過(guò)CONSOLE、SNMP、TELNET、WEB等多種方式來(lái)管理整個(gè)fabric。DRR（分布式冗余路由）：fabric的多個(gè)設(shè)備在外界看來(lái)是一臺(tái)單獨(dú)的三層交換機(jī)。整個(gè)fabric將作為一臺(tái)設(shè)備進(jìn)行路由功能和二三層轉(zhuǎn)發(fā)功能。單播路由協(xié)議和組播路由協(xié)議分布式運(yùn)行并完全支持熱備份，在某一個(gè)設(shè)備發(fā)生故障時(shí)，路由協(xié)議和數(shù)據(jù)轉(zhuǎn)發(fā)都不會(huì)中斷。DLA（分布式鏈路聚合）：支持跨設(shè)備的鏈路聚合，可以

23、在設(shè)備之間進(jìn)行鏈路的負(fù)載分擔(dān)和互為備份。(3) 三層到桌面：在接入層建議采用高性價(jià)比的百兆三層交換機(jī)，同時(shí)通過(guò)華為3Com智能彈性架構(gòu)IRF進(jìn)行建設(shè)，這樣可以大大提高整個(gè)網(wǎng)絡(luò)的可靠性，并且可以實(shí)現(xiàn)用戶的滾動(dòng)投資與整個(gè)網(wǎng)絡(luò)性能的滾動(dòng)提升，可以極高的提升用戶投資匯報(bào)率。整個(gè)網(wǎng)絡(luò)采用萬(wàn)兆骨干、百兆接入的原則進(jìn)行建設(shè)，同時(shí)采用三層到桌面的方式進(jìn)行建設(shè)。三層到桌面有什么好處呢？可以杜絕二層廣播風(fēng)暴。減少二層攻擊帶來(lái)的安全隱患，提升整個(gè)網(wǎng)絡(luò)的安全性。減少核心設(shè)備的壓力，提升整個(gè)網(wǎng)絡(luò)的性能。下面是三層到桌面和傳統(tǒng)的組網(wǎng)方式的對(duì)比：傳統(tǒng)組網(wǎng)三層到接入核心設(shè)備負(fù)荷高低核心設(shè)備功能復(fù)雜簡(jiǎn)單核心設(shè)備路由表要求高要求

24、低核心設(shè)備三層接口要求高要求低核心設(shè)備成本高低廣播域廣播風(fēng)暴影響范圍大廣播風(fēng)暴影響范圍小網(wǎng)絡(luò)配置復(fù)雜簡(jiǎn)單三、IP地址規(guī)劃3.1、 IP地址規(guī)劃的原則IP地址是被用來(lái)唯一地標(biāo)識(shí)網(wǎng)絡(luò)中主機(jī)及設(shè)備位置的一個(gè)屬性，是IP報(bào)文轉(zhuǎn)發(fā)及尋址的依據(jù)。IP地址也是最重要的網(wǎng)絡(luò)資源之一。IP地址的分配及規(guī)劃，直接關(guān)系著網(wǎng)的建設(shè)及維護(hù)工作量，同時(shí)也會(huì)影響業(yè)務(wù)應(yīng)用的正常開(kāi)展。所以，必須對(duì)IP規(guī)劃給予足夠的重視。IP地址空間的分配，要與網(wǎng)絡(luò)層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，提高路由算法的效率，加快路由變化的收斂速度。滿足這些要求的IP地址分配技術(shù)有：可變

25、長(zhǎng)子網(wǎng)掩碼技術(shù)(VLSMVariable-LengthSubnetMask)和路徑疊合（匯聚）技術(shù)(RouteSummarization)?？偟膩?lái)說(shuō)，IP地址規(guī)劃應(yīng)該遵循以下原則：1 連續(xù)性 IP地址分配要盡量分配連續(xù)的IP地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；2可擴(kuò)充性 IP地址分配處理要考慮到連續(xù)外，又要能做到具有可擴(kuò)充性. ，并為將來(lái)的網(wǎng)絡(luò)擴(kuò)展預(yù)留一定的地址空間;3 IP地址的分配必須采用VLSM技術(shù)，保證IP地址的利用率；采用CIDR技術(shù)，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大小。4在公有地址有

26、保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。為了利于整個(gè)網(wǎng)絡(luò)的統(tǒng)一管理及各種應(yīng)用（如不同部門(mén)之間共享部分網(wǎng)絡(luò)資源）的順利開(kāi)展。建議在對(duì)整個(gè)網(wǎng)絡(luò)的IP地址進(jìn)行統(tǒng)一規(guī)劃，并在此前提下，兼顧現(xiàn)有網(wǎng)絡(luò)，以減少對(duì)原有各部門(mén)網(wǎng)絡(luò)的影響。3.2、IP地址規(guī)劃方案按照前面介紹的路由規(guī)劃的策略，地址規(guī)劃應(yīng)該配合路由規(guī)劃策略，應(yīng)該從下面幾個(gè)方面來(lái)考慮IP地址的規(guī)劃（下面的IP地址規(guī)劃采用私有IP地址為例）。骨干互聯(lián)部分: 骨干部分為兩臺(tái)核心設(shè)備和若干個(gè)匯聚層設(shè)備，屬于整個(gè)網(wǎng)絡(luò)的最高層，由于整網(wǎng)采用私有地址具備足夠的地址空間，建議骨干部分的IP地址采用A類地址，比如10.0.0

27、.0/8 、 10.1.0.0/8等，下屬匯聚層的節(jié)點(diǎn)采用路由匯聚的策略把各自己的IP路由匯聚到這些A類地址空間內(nèi)。各匯聚層設(shè)備采用B類地址做為下屬接入層部門(mén)的網(wǎng)關(guān)地址，比如10.0.1.0/16、10.0.2.0/16等，在發(fā)布路由時(shí)采用路由匯聚策略對(duì)多個(gè)B類地址進(jìn)行路由合并(當(dāng)A類地址足夠多時(shí)，也可以全部采用A類地址)。各單位內(nèi)部地址：各單位內(nèi)部的各個(gè)部門(mén)統(tǒng)一分配C類地址(當(dāng)A類地址足夠多時(shí)，也可以全部采用A類地址)。由于采用帶內(nèi)網(wǎng)管的網(wǎng)管策略，所以設(shè)備的管理IP可以與loopback地址合二為一。具體的IP地址方案需參照實(shí)際情況制定，以上為IP地址的規(guī)劃原則，可作為IP地址規(guī)劃參考。3.

28、3、IP地址管理IP地址的管理和分配采用動(dòng)態(tài)及靜態(tài)結(jié)合的方式。普通用戶的IP地址由DHCP服務(wù)器動(dòng)態(tài)分配；服務(wù)器、設(shè)備管理地址等需要固定IP地址，由網(wǎng)絡(luò)管理部門(mén)靜態(tài)分配。IP地址管理是用戶管理的重要內(nèi)容，也是構(gòu)件完整的安全架構(gòu)中不可或缺的一部分，應(yīng)該在網(wǎng)絡(luò)設(shè)計(jì)初期就對(duì)網(wǎng)絡(luò)多種用戶的IP地址分配方式進(jìn)行統(tǒng)一規(guī)劃。普通用戶建議采用動(dòng)態(tài)獲取IP地址的地址分配方式，可以減少I(mǎi)P地址分配的復(fù)雜度同時(shí)防止IP地址重疊的情況發(fā)生。為了防止動(dòng)態(tài)IP地址用戶私自配置靜態(tài)IP地址以及惡意假冒他人IP地址可以啟用DHCP特性，限制用戶獲取IP地址的方式只能為動(dòng)態(tài)獲取，私自配置的靜態(tài)IP地址將無(wú)法正常接入網(wǎng)絡(luò)。同時(shí)為

29、了對(duì)用戶的身份進(jìn)行合法性驗(yàn)證可以在網(wǎng)絡(luò)的匯聚層對(duì)用戶的身份進(jìn)行驗(yàn)證，驗(yàn)證方式可以根據(jù)實(shí)際情況進(jìn)行選擇，可以采用強(qiáng)制PORTAL認(rèn)證、802.1x認(rèn)證等多種認(rèn)證方式。重要用戶以及特殊用戶（比如網(wǎng)管系統(tǒng)）可以配置靜態(tài)IP地址并在用戶接入的網(wǎng)絡(luò)設(shè)備上靜態(tài)添加用戶的IP地址并且實(shí)現(xiàn)IPMAC端口的綁定，一方面保證了用戶IP地址的固定配置，另一方面也防止了其他惡意用戶的地址假冒。重要用戶及特殊用戶可以不用身份驗(yàn)證而直接接入網(wǎng)絡(luò)。四、路由規(guī)劃4.1、路由協(xié)議的選擇對(duì)于IGP協(xié)議，建議采用OSPF，因?yàn)镺SPF的適應(yīng)性好，功能完善，當(dāng)核心層設(shè)備在20臺(tái)以內(nèi)的時(shí)候，我們建議只運(yùn)行一個(gè)骨干域“0”，這樣網(wǎng)絡(luò)規(guī)劃

30、簡(jiǎn)單、維護(hù)方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。對(duì)于各個(gè)匯聚層節(jié)點(diǎn)，最普遍應(yīng)用的就是OSPF、直連路由，將直連路由匯聚后再引入到OSPF路由協(xié)議中，只要準(zhǔn)循上面提到的IP地址分配原則，各匯聚節(jié)點(diǎn)的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時(shí)應(yīng)用最簡(jiǎn)單、最高效，而且網(wǎng)絡(luò)的維護(hù)非常方便。OSPF是Open Shortest Path First （開(kāi)放最短路由優(yōu)先協(xié)議）的縮寫(xiě)。它是IETF組織開(kāi)發(fā)的一個(gè)基于鏈路狀態(tài)的自治系統(tǒng)內(nèi)部路由協(xié)議。非常適合類似這種中、大型網(wǎng)絡(luò)。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層OSPF、匯聚層節(jié)點(diǎn)采用直連路由并引入到OSPF中。這樣對(duì)整個(gè)網(wǎng)絡(luò)中的設(shè)備要求

31、不是太高并且便于進(jìn)行維護(hù)。OSPF具有如下特點(diǎn)：1、快速收斂在網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)發(fā)生變化后立即發(fā)送更新報(bào)文，使這一變化在自治系統(tǒng)中同步?？梢匝杆俜磻?yīng)網(wǎng)絡(luò)拓樸的變化，提高全網(wǎng)對(duì)網(wǎng)絡(luò)故障和網(wǎng)絡(luò)改造的反應(yīng)速度。2、無(wú)自環(huán)OSPF根據(jù)收集到的鏈路狀態(tài)用最短路徑樹(shù)算法計(jì)算路由，從算法上本身保證了不會(huì)生成自環(huán)路由。從而避免網(wǎng)因路由環(huán)造成的帶寬浪費(fèi)。3、區(qū)域劃分允許自治系統(tǒng)的網(wǎng)絡(luò)被劃分成區(qū)域來(lái)管理，區(qū)域間傳送的 路由信息被進(jìn)一步抽象，從而減少了占用的網(wǎng)絡(luò)帶寬。通過(guò)合理的區(qū)域劃分策略，可以有效減少參與OSPF路由計(jì)算的網(wǎng)絡(luò)規(guī)模，降低由于路由計(jì)算造成的路由器CPU的開(kāi)銷(xiāo)開(kāi)銷(xiāo)，避免由于動(dòng)態(tài)路由協(xié)議的引用，造成的路由器

32、轉(zhuǎn)發(fā)性能的過(guò)渡下降。4、其他路由的引入能力OSPF具有將其他路由協(xié)議發(fā)現(xiàn)的路由和靜態(tài)路由引入到系統(tǒng)中的能力，從而可以在網(wǎng)中根據(jù)各級(jí)網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)層次，靈活采用OSPF與靜態(tài)路由、RIP等動(dòng)態(tài)路由協(xié)議相結(jié)合的方式，在保證系統(tǒng)暢通的情況下，有效減少設(shè)備負(fù)載。5、路由聚合能力OSPF可以按照指定的聚合策略，聚合區(qū)域邊界路由器向外發(fā)布的路由，減少發(fā)布的路由條數(shù)，從而減少全系統(tǒng)的路由表規(guī)模，降低整個(gè)網(wǎng)路由器的資源損耗，提高全系統(tǒng)的數(shù)據(jù)轉(zhuǎn)發(fā)能力。五、網(wǎng)絡(luò)管理規(guī)劃5.1、網(wǎng)管系統(tǒng)需求網(wǎng)絡(luò)管理包括有三個(gè)部分：網(wǎng)管平臺(tái)、設(shè)備管理系統(tǒng)、業(yè)務(wù)網(wǎng)管。網(wǎng)管平臺(tái)則需要對(duì)全網(wǎng)進(jìn)行管理，要有拓?fù)浒l(fā)現(xiàn)功能等，它力求全面地覆蓋企

33、業(yè)IT業(yè)務(wù)的各個(gè)方面。網(wǎng)元管理系統(tǒng)一般均由設(shè)備原廠商提供，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備的故障管理、配置管理和性能管理、故障管理等。 5.2、Quidview網(wǎng)絡(luò)管理軟系統(tǒng)Quidview是華為3Com公司自行設(shè)計(jì)開(kāi)發(fā)的適合于中、小規(guī)模的網(wǎng)絡(luò)管理的網(wǎng)管軟件，主要用于管理華為公司生產(chǎn)的Quidway系列路由器和交換機(jī)。它是一個(gè)簡(jiǎn)潔的網(wǎng)絡(luò)管理工具，充分利用設(shè)備自己的管理信息庫(kù)完成設(shè)備配置、瀏覽設(shè)備配置信息、監(jiān)視設(shè)備運(yùn)行狀態(tài)等網(wǎng)管功能，并且還能集成到SNMPc、HP Openview NNM等一些通用的網(wǎng)管平臺(tái)上，實(shí)現(xiàn)從網(wǎng)絡(luò)級(jí)到設(shè)備級(jí)全方位的網(wǎng)絡(luò)管理。力求幫助用戶在降低產(chǎn)品成本的同時(shí)滿足更豐富的功能需求。Quidv

34、iew網(wǎng)絡(luò)管理軟件采用組件化結(jié)構(gòu)設(shè)計(jì)，通過(guò)安裝不同的業(yè)務(wù)組件實(shí)現(xiàn)了設(shè)備管理、VPN監(jiān)視與部署、軟件升級(jí)管理、配置文件管理、告警和性能管理等功能。支持多種操作系統(tǒng)平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理。網(wǎng)絡(luò)集中監(jiān)視Quidview網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D；拓?fù)渥詣?dòng)發(fā)現(xiàn)，拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)刷新；可視化操作方式：拓?fù)湟晥D節(jié)點(diǎn)直接點(diǎn)擊進(jìn)入設(shè)備操作面板；在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時(shí)，改變節(jié)點(diǎn)顏色，提示用戶；對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)

35、行定時(shí)（輪詢間隔時(shí)間可配置）的輪循監(jiān)視和狀態(tài) 刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上；支持拓?fù)溥^(guò)濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況；支持快速查找拓?fù)鋵?duì)象，并在導(dǎo)航樹(shù)和拓?fù)湟晥D中定位該拓?fù)鋵?duì)象；故障管理故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。告警實(shí)時(shí)監(jiān)視，提供告警聲光提示；支持告警轉(zhuǎn)到Email、手機(jī)短信；支持告警過(guò)濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報(bào)表；支持告警級(jí)別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運(yùn)行效率和穩(wěn)定性；支持告警拓?fù)涠ㄎ?，將顯示的焦點(diǎn)定位到產(chǎn)生選定告警的拓?fù)鋵?duì)象；支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、屏蔽閃斷告警等。性能監(jiān)控Quidview網(wǎng)管

36、系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。通過(guò)性能任務(wù)的配置，可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門(mén)限，當(dāng)性能超過(guò)門(mén)限時(shí)，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過(guò)統(tǒng)計(jì)不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。管理多廠商設(shè)備Quidview可管理所有支持標(biāo)準(zhǔn)SNMP網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。拓?fù)鋱D自動(dòng)發(fā)現(xiàn)多廠商設(shè)備，如華為、3Com、Cisco等；可以對(duì)設(shè)備進(jìn)行性能監(jiān)視，包括接口的流量監(jiān)視，利用率監(jiān)視等；可以接收設(shè)備告警，并進(jìn)行告警信息顯示。服務(wù)器監(jiān)視管理服務(wù)器是企業(yè)IP架構(gòu)中的重要組成部分，通過(guò)Quidview，可實(shí)現(xiàn)服

37、務(wù)器與設(shè)備設(shè)備的統(tǒng)一管理。支持對(duì)CPU、內(nèi)存資源消耗的監(jiān)視；支持對(duì)硬盤(pán)使用情況的監(jiān)視；支持運(yùn)行進(jìn)程的資源監(jiān)視；支持對(duì)服務(wù)的資源監(jiān)視；集群管理針對(duì)大量二層交換機(jī)設(shè)備的應(yīng)用環(huán)境，Quidview網(wǎng)絡(luò)管理軟件提供集群管理功能，通過(guò)一個(gè)指定公網(wǎng)IP的設(shè)備（稱作命令交換機(jī)）對(duì)網(wǎng)絡(luò)進(jìn)行管理。節(jié)省公網(wǎng)IP地址資源；實(shí)現(xiàn)對(duì)一組設(shè)備統(tǒng)一、集中、批量配置管理；實(shí)現(xiàn)設(shè)備的集中維護(hù)管理；網(wǎng)絡(luò)拓?fù)湫畔⒆詣?dòng)收集、維護(hù)，動(dòng)態(tài)更新；實(shí)現(xiàn)方便的軟件升級(jí)、配置數(shù)據(jù)備份、配置數(shù)據(jù)恢復(fù)；堆疊管理Quidview網(wǎng)絡(luò)管理軟件通過(guò)堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對(duì)大量設(shè)備的統(tǒng)一管理維護(hù)。故障

38、定位與地址反查針對(duì)最為常見(jiàn)的端口故障，Quidview網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。Quidview提供的端口反查功能支持兩種方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用時(shí)分別輸入終端用戶的MAC地址或IP地址，能夠定位該終端用戶連接的交換機(jī)及交換機(jī)的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報(bào)文接入網(wǎng)絡(luò)的原始端口，及時(shí)關(guān)閉端口，防止一些違規(guī)用戶進(jìn)行非法操作比如濫發(fā)報(bào)文、訪問(wèn)非法站點(diǎn)等，危害網(wǎng)絡(luò)安全。RMON管理RMON管理根據(jù)RFC1757定義的標(biāo)準(zhǔn)RMON-

39、MIB及華為3Com自定義告警擴(kuò)展MIB對(duì)主機(jī)設(shè)備進(jìn)行遠(yuǎn)程監(jiān)視管理。Quidview網(wǎng)絡(luò)管理軟件的RMON管理包含的功能如下：統(tǒng)計(jì)組的配置及數(shù)據(jù)瀏覽；歷史組的配置及數(shù)據(jù)瀏覽；告警組的配置及瀏覽；事件組的配置及瀏覽；擴(kuò)展告警組的配置及瀏覽；5.3、網(wǎng)管系統(tǒng)實(shí)施步驟完成網(wǎng)絡(luò)設(shè)備安裝和鏈路連通；完成網(wǎng)絡(luò)設(shè)備IP地址、路由等配置，網(wǎng)絡(luò)設(shè)備統(tǒng)一使能為 SNMPv3 版本。設(shè)置網(wǎng)絡(luò)設(shè)備的Trap目標(biāo)工作站的地址為網(wǎng)管工作站的地址；設(shè)置被管理設(shè)備發(fā)送Trap 的源地址為該設(shè)備的 loopback 地址或管理地址；在網(wǎng)絡(luò)中心安裝一套QuidView網(wǎng)管系統(tǒng)，搜索發(fā)現(xiàn)所有網(wǎng)上設(shè)備,可以完成對(duì)網(wǎng)上多種廠家的設(shè)備進(jìn)

40、行統(tǒng)一的網(wǎng)絡(luò)管理與維護(hù)。5.4、網(wǎng)管安全措施Quidview網(wǎng)管系統(tǒng)可以通過(guò)下面的一些措施，保證網(wǎng)管系統(tǒng)的安全性，防止非法用戶進(jìn)行訪問(wèn)；在設(shè)備與網(wǎng)管服務(wù)器之間增加防火墻；網(wǎng)管的安全管理，操作員的帳號(hào)與IP地址、登錄時(shí)間等進(jìn)行綁定，在一定范圍限定非法入侵；進(jìn)行網(wǎng)管組網(wǎng)設(shè)計(jì)時(shí)，設(shè)備的業(yè)務(wù)網(wǎng)段與網(wǎng)管的管理網(wǎng)段進(jìn)行隔離，例如：采用VLAN隔離的方式，業(yè)務(wù)用戶無(wú)法訪問(wèn)網(wǎng)管網(wǎng)；網(wǎng)管增加登錄、命令操作等方面的日志功能。六、網(wǎng)絡(luò)安全規(guī)劃6.1、承載網(wǎng)網(wǎng)絡(luò)安全概述網(wǎng)絡(luò)安全成為目前必須面對(duì)的一個(gè)實(shí)際問(wèn)題。網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括竊聽(tīng)報(bào)文、IP地址欺騙、源路由攻擊、端口掃描、拒絕服務(wù)攻擊應(yīng)用層攻擊等。另

41、外，網(wǎng)絡(luò)本身的可靠性與線路安全也是值得關(guān)注的問(wèn)題。6.2、華為3Com網(wǎng)絡(luò)設(shè)備安全技術(shù)介紹針對(duì)網(wǎng)絡(luò)存在各種安全隱患，安全路由器必須具有如下的安全特性：可靠性與線路安全、身份認(rèn)證、訪問(wèn)控制、信息隱藏、數(shù)據(jù)加密、攻擊探測(cè)和防范、安全管理等方面的內(nèi)容。Quidway系列網(wǎng)絡(luò)設(shè)備提供一個(gè)全面的網(wǎng)絡(luò)安全解決方案，包括線路可靠、用戶驗(yàn)證、授權(quán)、數(shù)據(jù)保護(hù)、智能訪問(wèn)控制等等。所采用的安全技術(shù)包括：CallBack技術(shù)備份中心AAACA技術(shù)包過(guò)濾技術(shù)地址轉(zhuǎn)換VPN技術(shù)加密與密鑰交換技術(shù)智能防火墻安全管理VLAN劃分其他安全技術(shù)與措施6.3、網(wǎng)絡(luò)建設(shè)安全的具體建議本次XX集團(tuán)新建辦公樓網(wǎng)絡(luò)的建設(shè)，為單位的內(nèi)部辦公

42、和對(duì)外服務(wù)提供了極大的便利。但由于構(gòu)成Internet的TCP/IP協(xié)議本身缺乏安全性，網(wǎng)絡(luò)安全成為必須面對(duì)的一個(gè)實(shí)際問(wèn)題。在網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括網(wǎng)絡(luò)層攻擊、應(yīng)用級(jí)攻擊和系統(tǒng)級(jí)攻擊。網(wǎng)絡(luò)構(gòu)建及組成中，網(wǎng)絡(luò)設(shè)備僅完成網(wǎng)絡(luò)級(jí)安全的防范。針對(duì)以上提到的各種安全隱患，安全網(wǎng)絡(luò)設(shè)備必須具有如下的安全特性：可靠性與線路安全、身份認(rèn)證、訪問(wèn)控制、信息隱藏、數(shù)據(jù)加密、攻擊探測(cè)和防范、安全管理等方面的內(nèi)容。針對(duì)本次網(wǎng)絡(luò)建設(shè)存在以上各種安全隱患，建議采取如下的網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)和系統(tǒng)級(jí)安全措施來(lái)保證網(wǎng)絡(luò)的安全。6.3.1、身份認(rèn)證只有網(wǎng)絡(luò)管理員才有權(quán)訪問(wèn)網(wǎng)絡(luò)設(shè)備，所以對(duì)訪問(wèn)設(shè)備的用戶需要進(jìn)行身份認(rèn)證。

43、用戶訪問(wèn)路由器存在多種方式：直接從console口登錄進(jìn)行配置；telnet登錄配置；通過(guò)SNMP進(jìn)行配置；通過(guò)modem遠(yuǎn)程配置等等。對(duì)于這些訪問(wèn)方式，都需要輸入密碼和口令，經(jīng)過(guò)RADIUS服務(wù)器或相應(yīng)的身份認(rèn)證獲得訪問(wèn)設(shè)備的權(quán)限。6.3.2、訪問(wèn)控制為了保護(hù)本次網(wǎng)設(shè)備的配置，對(duì)設(shè)備的訪問(wèn)權(quán)限需要進(jìn)行口令的分級(jí)保護(hù)。只有持有網(wǎng)絡(luò)管理員相應(yīng)口令的特權(quán)用戶才能對(duì)路由器進(jìn)行配置；一般用戶只有查看普通信息的權(quán)力。6.3.3、數(shù)據(jù)加密在本次網(wǎng)絡(luò)建設(shè)中，如需要對(duì)所傳送的重要數(shù)據(jù)進(jìn)行加密，可以通過(guò)華為公司的Quidway系列路由器進(jìn)行手工配置或自動(dòng)協(xié)商密鑰兩種方式建立IP SEC，在傳輸或隧道模式下能夠單

44、獨(dú)或組合應(yīng)用AH(Authentication Header，認(rèn)證報(bào)頭)和ESP(Extended Services Processor，擴(kuò)展業(yè)務(wù)處理器)安全協(xié)議，可以實(shí)現(xiàn)對(duì)整個(gè)IP報(bào)文或數(shù)據(jù)載荷內(nèi)容進(jìn)行不同粒度級(jí)別的加密和認(rèn)證，從而提供驗(yàn)證數(shù)據(jù)源、校驗(yàn)數(shù)據(jù)完整性和防止報(bào)文重放等(ESP還提供加密)功能，結(jié)合ACL訪問(wèn)控制列表共同確保數(shù)據(jù)信息在網(wǎng)絡(luò)上傳送的安全保密性。6.3.4、應(yīng)用級(jí)安全在本次推薦的方案中，可以提供ASPF(Application Specific Packet Filter，基于應(yīng)用層規(guī)范的包過(guò)濾)特性。ASPFASPF是一種高級(jí)通信過(guò)濾。它檢查應(yīng)用層協(xié)議信息并且監(jiān)控基于連

45、接的應(yīng)用層協(xié)議狀態(tài)。對(duì)于所有連接，每一個(gè)連接狀態(tài)信息都將被ASPF維護(hù)并用于動(dòng)態(tài)地決定數(shù)據(jù)報(bào)文是否被允許通過(guò)防火墻或丟棄。通過(guò)ASPF的檢測(cè)，可以保證所有建立的連接都是合法連接，防止地址欺騙、身份偽造等惡意攻擊行為。6.3.5、系統(tǒng)級(jí)安全策略綜合訪問(wèn)認(rèn)證系統(tǒng)各個(gè)政府部門(mén)通過(guò)政務(wù)上網(wǎng)帶來(lái)工作效率的提高，實(shí)現(xiàn)了政務(wù)公開(kāi)信息化和辦公自動(dòng)化，但目前一些部門(mén)的信息的共享和傳遞以及對(duì)網(wǎng)絡(luò)無(wú)限制的訪問(wèn)也引入了信息安全問(wèn)題。為了適應(yīng)這種需求，華為3Com公司推出了綜合訪問(wèn)管理服務(wù)器（Comprehensive Access Management Server, CAMS），配合網(wǎng)絡(luò)設(shè)備組網(wǎng)，可以對(duì)網(wǎng)用戶進(jìn)行統(tǒng)

46、一的認(rèn)證、授權(quán)、安全、策略管理，是一個(gè)多業(yè)務(wù)用戶管理系統(tǒng)，提供全網(wǎng)解決方案。華為公司提供完整的網(wǎng)安全認(rèn)證管理系統(tǒng)，包括設(shè)備管理平臺(tái)QuidView 、用戶管理平臺(tái)802.1X和WEB 認(rèn)證、策略服務(wù)器 CAMS 系統(tǒng)。華為公司不僅能夠提供網(wǎng)絡(luò)安全產(chǎn)品Quidway SecPath系列，而且Quidway 系列網(wǎng)絡(luò)設(shè)備能提供充分的安全保護(hù)功能。Quidway系列路由器提供了多種網(wǎng)絡(luò)安全機(jī)制，為內(nèi)部網(wǎng)絡(luò)及外部數(shù)據(jù)提供了有力的安全保護(hù)。七、用戶認(rèn)證和管理規(guī)劃7.1、用戶管理解決方案概述針對(duì)此次XX集團(tuán)新建辦公樓網(wǎng)絡(luò)用戶管理的需求，我們?cè)诰W(wǎng)絡(luò)中配置了1套華為3Com公司自主研發(fā)的用戶認(rèn)證管理服務(wù)器CA

47、MS，通過(guò)CAMS可以解決用戶管理的問(wèn)題。CAMS（Comprehensive Access Management Server）是華為3Com公司推出的綜合接入管理服務(wù)器，可以配合路由器、以太網(wǎng)交換機(jī)設(shè)備組網(wǎng)，完成對(duì)用戶上網(wǎng)過(guò)程的認(rèn)證、授權(quán)和計(jì)費(fèi)。 CAMS作為網(wǎng)絡(luò)中的用戶管理核心，在基本的AAA（Authorization、Authentication and Accounting）功能之上， 提供了強(qiáng)大的管理、維護(hù)和安全控制平臺(tái)，可與企業(yè)現(xiàn)有系統(tǒng)平滑對(duì)接，實(shí)現(xiàn)網(wǎng)絡(luò)的可管理、可運(yùn)營(yíng)和高安全。下面我們?cè)賮?lái)看一下CAMS是如何解決用戶的相關(guān)問(wèn)題。用戶相關(guān)信息的搜集：CAMS的“用戶預(yù)注冊(cè)”解決

48、網(wǎng)管人員搜集用戶信息中遇到的問(wèn)題，傳統(tǒng)的方式是通過(guò)網(wǎng)管人員的信息錄入來(lái)搜集客戶的信息，這種方式使得網(wǎng)管人員的工作量劇增。舉例來(lái)說(shuō)，一個(gè)6000用戶的開(kāi)戶工作，我們假設(shè)1個(gè)用戶的錄入工作需要2分鐘（包括檢查用戶提供的信息是否正確）,6000用戶需要的工作量就是6000212000分鐘，共計(jì)200小時(shí)，按照一天8小時(shí)工作時(shí)間計(jì)算，共需要25天，這樣的工作量對(duì)網(wǎng)管人員來(lái)說(shuō)是不可忍受的，CAMS支持用戶預(yù)注冊(cè)功能，所有的用戶名密碼等信息都由用戶自己輸入，而且用戶其他的部分信息還可以進(jìn)行定制。用戶預(yù)注冊(cè)：用戶預(yù)注冊(cè)可以幫助用戶在開(kāi)戶前的相關(guān)信息的搜集，用戶可以通過(guò)固定的網(wǎng)上申請(qǐng)用戶名、密碼等相關(guān)信息，而

49、且網(wǎng)管人員需要搜集的信息可以在“用戶附加信息”中進(jìn)行自行定義，定義的方式也是可選的，可以是下拉菜單方式的、也可以是輸入的，為了避免用戶輸錯(cuò)，可規(guī)定輸入文檔的格式，詳見(jiàn)“用戶附加信息”。我們可以在用戶預(yù)注冊(cè)的時(shí)候要求用戶輸入我們要搜集的相關(guān)MAC、部門(mén)等信息。用戶附加信息：用戶附加信息是為了給網(wǎng)管人員自助定義用戶信息的工具，每個(gè)網(wǎng)管人員標(biāo)識(shí)用戶的方法、種類可能各不相同，用戶附加信息如下所示：網(wǎng)管人員可以在用戶附加信息選項(xiàng)中靈活定義需要用戶輸入的信息，同時(shí)可以選擇這些字段是否在用戶預(yù)注冊(cè)時(shí)必須輸入。這樣用戶信息的搜集就由網(wǎng)管人員主動(dòng)搜集變?yōu)橛脩糁鲃?dòng)上報(bào)，網(wǎng)管人員需要作的更多的是用戶開(kāi)戶時(shí)信息的確認(rèn)

50、。CAMS除了可以大大減少用戶的工作量以外，還可以給用戶提供強(qiáng)大的安全管理措施。元素的綁定技術(shù)。CAMS可以實(shí)現(xiàn)通過(guò)AAA服務(wù)器的IP、MAC、VLAN地址等綁定技術(shù)，在實(shí)際應(yīng)用的過(guò)程當(dāng)中，CAMS可以對(duì)接入用戶的各種元素進(jìn)行綁定。對(duì)于各種元素的靈活綁定可以實(shí)現(xiàn)各種接入方式，如：綁定MAC與賬號(hào)，就可以實(shí)現(xiàn)賬號(hào)與主機(jī)的對(duì)應(yīng)；綁定IP、MAC、端口、VLAN、賬號(hào)，就可規(guī)定用戶采用自己的主機(jī)、規(guī)定的IP、從規(guī)定的端口進(jìn)行接入。元素的綁定技術(shù)對(duì)于網(wǎng)絡(luò)的管理安全起了重要的作用，通過(guò)元素的綁定技術(shù)可以大大提高網(wǎng)絡(luò)的安全性。訪問(wèn)時(shí)間的控制。CAMS可以實(shí)現(xiàn)對(duì)接入用戶的上網(wǎng)時(shí)間的規(guī)定，網(wǎng)管人員可以規(guī)定用戶

51、允許接入的時(shí)間段，如：上午6：00晚上12：00，在這段時(shí)間內(nèi)允許用戶接入網(wǎng)絡(luò)，其余時(shí)間，禁止接入。Proxy用戶的禁止。CAMS可以對(duì)接入層用戶進(jìn)行有效的控制，配合華為3Com的802.1X客戶端可對(duì)各種Proxy用戶進(jìn)行禁止。屏蔽非華為客戶端，可以實(shí)現(xiàn)對(duì)于非華為客戶端的用戶禁止接入；屏蔽IE代理，對(duì)于在IE中設(shè)置代理的用戶可以實(shí)時(shí)進(jìn)行檢測(cè)，一旦發(fā)見(jiàn)，禁止用戶進(jìn)行上網(wǎng)操作；屏蔽雙網(wǎng)卡，對(duì)于存在兩個(gè)活動(dòng)網(wǎng)卡的用戶，CAMS可以通知用戶存在兩個(gè)活動(dòng)的網(wǎng)卡，用戶必須對(duì)其中的一個(gè)網(wǎng)卡進(jìn)行禁用才能夠接入網(wǎng)絡(luò)；對(duì)于任何形式代理的禁止，CAMS可以實(shí)現(xiàn)對(duì)任何形式的Proxy用戶的禁止，無(wú)論用戶采用何種Proxy的方式，如果不產(chǎn)生Proxy動(dòng)作就不進(jìn)行操作，當(dāng)用戶一旦發(fā)生了Proxy的動(dòng)作，CAMS就下發(fā)下線通知，強(qiáng)制用戶下線，對(duì)于以上的Proxy禁止方式，是可以進(jìn)行靈活