重型機(jī)械公司公司信息化系統(tǒng)建設(shè)目標(biāo)、原則

公司信息化系統(tǒng)建設(shè)目標(biāo)、原則1系統(tǒng)建設(shè)的目標(biāo)本次太重信息化建設(shè)的主要目標(biāo)為：建設(shè)覆蓋本次應(yīng)用軟件系統(tǒng)所涉及的所有單位和用戶，利用千兆以太網(wǎng)技術(shù)構(gòu)建高性能、高可靠性、安全、可管理的網(wǎng)絡(luò)平臺(tái)。建設(shè)滿足應(yīng)用運(yùn)行的主機(jī)存儲(chǔ)平臺(tái)，實(shí)現(xiàn)應(yīng)用的集中部署，實(shí)現(xiàn)數(shù)據(jù)的集中存儲(chǔ)、集中備份和管理，實(shí)現(xiàn)快速的備份和恢復(fù)。建設(shè)網(wǎng)絡(luò)安全管理系統(tǒng)，實(shí)現(xiàn)對(duì)設(shè)備、人員、網(wǎng)絡(luò)行為、終端設(shè)備的安全管理。2系統(tǒng)建設(shè)原則本次系統(tǒng)建設(shè)應(yīng)滿足以下總體設(shè)計(jì)要求：1.高可靠性在系統(tǒng)整體設(shè)計(jì)中應(yīng)選用高可靠性設(shè)備產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力和備份，同時(shí)合理設(shè)計(jì)總體架構(gòu)，制訂可靠的QoS質(zhì)量保證策略，最大限度保障系統(tǒng)正常運(yùn)行。2.可擴(kuò)展性根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，系統(tǒng)可平滑擴(kuò)充和升級(jí)，避免在系統(tǒng)擴(kuò)展時(shí)對(duì)網(wǎng)絡(luò)架構(gòu)的大幅度調(diào)整。3.可管理性支持集中監(jiān)控、分權(quán)管理，以便統(tǒng)一分配網(wǎng)絡(luò)資源。支持故障自動(dòng)報(bào)警。高性能設(shè)計(jì)必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證數(shù)據(jù)的高質(zhì)量傳輸，預(yù)留出一定的流量增長(zhǎng)的范圍，保證在可預(yù)見(jiàn)的將來(lái)滿足流量要求，避免網(wǎng)絡(luò)瓶頸影響整體的系統(tǒng)應(yīng)用。5.先進(jìn)性和成熟性網(wǎng)絡(luò)設(shè)備采用先進(jìn)的技術(shù)和制造工藝，對(duì)于路由協(xié)議支持、數(shù)據(jù)流量分配，抵御網(wǎng)絡(luò)攻擊、高性能方面保持技術(shù)領(lǐng)先，網(wǎng)絡(luò)結(jié)構(gòu)和路由協(xié)議采用成熟的、普遍應(yīng)用的并被證明是可靠的結(jié)構(gòu)模型和技術(shù)。6.標(biāo)準(zhǔn)開(kāi)放性支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的應(yīng)用與大型網(wǎng)絡(luò)規(guī)模的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，保證與其它網(wǎng)絡(luò)之間的平滑連接互通，保證與其它主流網(wǎng)絡(luò)產(chǎn)品的兼容性，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展性。7.成功應(yīng)用針對(duì)ERP系統(tǒng)這種關(guān)鍵業(yè)務(wù)應(yīng)用，所選擇的設(shè)備必須要經(jīng)過(guò)長(zhǎng)時(shí)間的成功應(yīng)應(yīng)用檢驗(yàn)，具有非常高的市場(chǎng)占有率。3系統(tǒng)建設(shè)的主要內(nèi)容建設(shè)內(nèi)容主要網(wǎng)絡(luò)建設(shè)、服務(wù)器建設(shè)和存儲(chǔ)系統(tǒng)建設(shè)三個(gè)部分。網(wǎng)絡(luò)建設(shè)的主要內(nèi)容有；核心網(wǎng)絡(luò)系統(tǒng)建設(shè)，通過(guò)雙核心交換機(jī)實(shí)現(xiàn)核心的高性能和高可靠性。在數(shù)據(jù)中心采用一臺(tái)數(shù)據(jù)中心交換機(jī)實(shí)現(xiàn)到服務(wù)器的連接。在重工、起重機(jī)公司、輪軸公司、油膜輪軸公司部署匯聚交換機(jī)，通過(guò)千兆光纖實(shí)現(xiàn)實(shí)現(xiàn)到兩臺(tái)核心交換機(jī)的冗余連接。在上述四個(gè)公司的配線間部署接入交換機(jī)，實(shí)現(xiàn)終端用戶的接入。在Internet的出口處部署路由器，實(shí)現(xiàn)到Internet的連接。在核心區(qū)部署2臺(tái)防火墻、2臺(tái)入侵防御系統(tǒng)，分別作為冗余配置，保證核心區(qū)服務(wù)器和應(yīng)用的安全。在Internet入口處部署防火墻（原有NS-25）、入侵防御系統(tǒng)，保證網(wǎng)絡(luò)邊界安全，構(gòu)建DMZ區(qū)域，部署交換機(jī)（原有的華為S5000交換機(jī)）實(shí)現(xiàn)對(duì)外的信息發(fā)布。在核心區(qū)部署接入認(rèn)證、網(wǎng)絡(luò)管理、日記審計(jì)、防病毒（原有的）等應(yīng)用軟件系統(tǒng)，保證整個(gè)網(wǎng)絡(luò)設(shè)備、人員、應(yīng)用的安全。調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，由原來(lái)的多級(jí)代理改為直接連接，保證了C/S應(yīng)用的訪問(wèn)。實(shí)現(xiàn)與原有網(wǎng)絡(luò)設(shè)備的連接。服務(wù)器系統(tǒng)建設(shè)：1、生產(chǎn)系統(tǒng)建設(shè)：數(shù)據(jù)庫(kù)、應(yīng)用服務(wù)器系統(tǒng)建設(shè)2、開(kāi)發(fā)、測(cè)試、培訓(xùn)環(huán)境建設(shè)3、實(shí)現(xiàn)與網(wǎng)絡(luò)系統(tǒng)、存儲(chǔ)系統(tǒng)互聯(lián)。4、網(wǎng)絡(luò)安全管理軟件部署存儲(chǔ)系統(tǒng)建設(shè)：1、存儲(chǔ)系統(tǒng)建設(shè)。2、備份系統(tǒng)建設(shè)3、備份管理、數(shù)據(jù)管理軟件的安裝調(diào)試根據(jù)標(biāo)書(shū)要求及其應(yīng)用需求，鑒于太重各部門的特殊安全性要求，在總體建設(shè)上我們采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護(hù)的指導(dǎo)原則，利用標(biāo)準(zhǔn)IP+MPLSVPN技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，并提供各部門、應(yīng)用系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN)，保證互訪的安全控制，同時(shí)通過(guò)QOS和基于MPLSVPN的流量工程（TE），保證關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)上傳輸?shù)膬?yōu)先級(jí)。對(duì)于基于同一傳輸網(wǎng)絡(luò)之上的多個(gè)不同部門、應(yīng)用系統(tǒng)之間的業(yè)務(wù)和數(shù)據(jù)隔離，我們?cè)O(shè)計(jì)采用MPLSVPN技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)橫向業(yè)務(wù)部門的隔離和縱向應(yīng)用系統(tǒng)的互通，所采用的傳輸及網(wǎng)絡(luò)設(shè)備以及整體網(wǎng)絡(luò)構(gòu)架都具有良好性能、高可靠和可擴(kuò)展性，充分保護(hù)用戶投資。根據(jù)網(wǎng)絡(luò)業(yè)務(wù)不斷發(fā)展的需求，未來(lái)將在現(xiàn)有數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)基礎(chǔ)上增加語(yǔ)音、視頻等業(yè)務(wù)功能，并將各種業(yè)務(wù)充分融合，統(tǒng)一實(shí)現(xiàn)，從而構(gòu)建一個(gè)基于“三網(wǎng)合一”概念的企業(yè)信息化綜合業(yè)務(wù)平臺(tái)。全網(wǎng)分為兩部分：骨干網(wǎng)絡(luò)和網(wǎng)絡(luò)中心。骨干網(wǎng)絡(luò)采用核心層、匯聚層、接入層的部署思路，各部分描述如下：核心層：數(shù)據(jù)網(wǎng)主干網(wǎng)絡(luò)設(shè)備采用交換機(jī)進(jìn)行組網(wǎng)，配置兩臺(tái)高性能核心三層交換機(jī)，完成各匯聚節(jié)點(diǎn)與核心節(jié)點(diǎn)以及各匯聚節(jié)點(diǎn)之間的數(shù)據(jù)高速路由轉(zhuǎn)發(fā)以及各節(jié)點(diǎn)園區(qū)網(wǎng)的業(yè)務(wù)匯聚，并在整個(gè)骨干網(wǎng)上啟用MPLSVPN，進(jìn)行業(yè)務(wù)隔離。核心層為下兩層提供優(yōu)化的數(shù)據(jù)傳輸功能，它是一個(gè)高速的路由交換骨干，其作用是盡可能快地交換數(shù)據(jù)包，滿足匯聚節(jié)點(diǎn)與核心節(jié)點(diǎn)之間高速通信的需要。為保證本項(xiàng)目未來(lái)規(guī)模龐大，業(yè)務(wù)眾多的特點(diǎn)，核心交換機(jī)應(yīng)具備盡可能強(qiáng)大的性能、業(yè)務(wù)支持和端口接入的擴(kuò)展能力。匯聚層：每個(gè)匯聚節(jié)點(diǎn)的匯聚交換機(jī)通過(guò)2個(gè)1000M光口與集團(tuán)公司數(shù)據(jù)中心的2臺(tái)核心交換機(jī)相聯(lián)，構(gòu)成雙核心，雙歸屬的骨干網(wǎng)絡(luò)。匯聚層提供基于統(tǒng)一策略的互連性，它是核心層和接入層的分界點(diǎn)，定義了網(wǎng)絡(luò)的邊界，對(duì)數(shù)據(jù)包進(jìn)行復(fù)雜的運(yùn)算。在整個(gè)網(wǎng)絡(luò)環(huán)境中，匯聚層主要提供如下功能：部門和工作組的接入和匯聚，VLAN的路由，MPLSVPN的封裝，實(shí)現(xiàn)MPLSVPN對(duì)多種業(yè)務(wù)的安全隔離和帶寬保障，安全控制等。接入層：接入層節(jié)點(diǎn)采用百兆三層接入交換機(jī)，千兆光/電接口上聯(lián)匯聚交換機(jī)，支持802.1x接入，做到面向端點(diǎn)的安全控制能力?？傮w結(jié)構(gòu)圖：采用現(xiàn)有光纜資源，以網(wǎng)絡(luò)中心輻射至各匯聚點(diǎn)?，F(xiàn)有各條光纜主要為4芯單模，可滿足本次項(xiàng)目“雙核心”的部署方式。各匯聚點(diǎn)至接入層交換機(jī)，可根據(jù)各匯聚區(qū)域的具體情況和實(shí)際距離，通過(guò)千兆光/電接口靈活連接。網(wǎng)絡(luò)中心內(nèi)部各設(shè)備均采用千兆以太網(wǎng)電纜互聯(lián)。根據(jù)招標(biāo)文件結(jié)合用戶實(shí)際需求，本次采用“雙核心”、“雙歸屬”的方式，構(gòu)建核心-匯聚骨干網(wǎng)絡(luò)，匯聚-接入千兆連接。根據(jù)總體結(jié)構(gòu)圖，核心交換機(jī)至各個(gè)業(yè)務(wù)區(qū)域和匯聚節(jié)點(diǎn)均采用雙千兆單模光纖，保證鏈路的可靠性；匯聚交換機(jī)至各接入交換機(jī)采用千兆單模光纖。核心交換機(jī)：作為全網(wǎng)數(shù)據(jù)和業(yè)務(wù)的核心，網(wǎng)絡(luò)上所有業(yè)務(wù)的數(shù)據(jù)流都要經(jīng)過(guò)核心交換機(jī)進(jìn)行交換，因此它的安全性、可靠性和高性能對(duì)于全網(wǎng)數(shù)據(jù)和業(yè)務(wù)應(yīng)用的正常開(kāi)展至關(guān)重要。建議采用模塊化萬(wàn)兆核心路由交換機(jī)。1、引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計(jì)，支持多操作系統(tǒng)、多配置文件，保證可靠性；2、全面支持分布式IP/MPLSVPN業(yè)務(wù)轉(zhuǎn)發(fā)，保證高性能；3、內(nèi)置的802.1xSERVER可以作為接入認(rèn)證服務(wù)器的備份系統(tǒng)；4、硬件支持IPv6，支持10GRPR高速環(huán)網(wǎng)數(shù)據(jù)接口，滿足未來(lái)構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求；匯聚交換機(jī)：匯聚層在骨干網(wǎng)絡(luò)中起到承上啟下的作用，應(yīng)具備可靠性、高性能和多業(yè)務(wù)兼顧的特點(diǎn)。采用萬(wàn)兆核心路由交換機(jī)，在本項(xiàng)目中具備如下特色：1、引擎、電源等關(guān)鍵部件全部采用冗余設(shè)計(jì)，支持多操作系統(tǒng)、多配置文件，保證可靠性；2、全面支持分布式IP/MPLSVPN業(yè)務(wù)轉(zhuǎn)發(fā)，保證高性能；3、完善的ACL、流量監(jiān)管、多元組綁定等安全機(jī)制；4、硬件支持IPv6，支持10GRPR高速環(huán)網(wǎng)數(shù)據(jù)接口，滿足未來(lái)構(gòu)建企業(yè)大型核心環(huán)網(wǎng)要求；接入交換機(jī)：在一個(gè)大型園區(qū)網(wǎng)絡(luò)里，接入交換機(jī)具有數(shù)量多，部署分散的特點(diǎn)，且直接負(fù)責(zé)終端的接入，應(yīng)具備可管理性強(qiáng)、端口控制能力強(qiáng)、性價(jià)比高的特點(diǎn)。建議選用的三層接入交換機(jī)，具備如下優(yōu)勢(shì)：1、支持堆疊，至此對(duì)堆疊組虛擬管理，完全可看作一個(gè)設(shè)備，使可管理性大幅度提高。2、具有良好的端點(diǎn)控制能力，支持豐富的MAC、IP、端口的靈活綁定。3、支持802.1X認(rèn)證功能，可通過(guò)此功能實(shí)現(xiàn)對(duì)終端接入的控制。4、VLAN能力強(qiáng)，支持最高的4096個(gè)VLAN；網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)：數(shù)據(jù)中心是本網(wǎng)絡(luò)最重要的部位，是信息化的神經(jīng)中樞，數(shù)據(jù)中心的設(shè)計(jì)應(yīng)具備最高的安全性，同時(shí)應(yīng)保證流暢的帶寬和一定的可靠性。作為一個(gè)單獨(dú)的區(qū)域來(lái)建設(shè)，結(jié)合招標(biāo)文件，我們采用“防火墻+IPS+服務(wù)器交換機(jī)”的建設(shè)思路，全部采用雙千兆設(shè)備，全千兆連接的方式，保證給數(shù)據(jù)中心最強(qiáng)大的安全保障能力和數(shù)據(jù)吞吐量。對(duì)數(shù)據(jù)中心做如下部署：核心防火墻：防火墻可以部署在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)中心的前面，實(shí)現(xiàn)對(duì)所有訪問(wèn)數(shù)據(jù)中心服務(wù)器的網(wǎng)絡(luò)流量進(jìn)行身份控制，提供對(duì)數(shù)據(jù)中心服務(wù)器的保護(hù)。除了完善的隔離控制能力和安全防范能力，數(shù)據(jù)中心防火墻的部署我們同時(shí)考慮兩個(gè)關(guān)鍵特性：高性能：數(shù)據(jù)中心部署大量的服務(wù)器，是整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)流量的匯集點(diǎn)，因此要求防火墻必須具備非常高的性能，保證部署防火墻后不會(huì)影響這些大流量的數(shù)據(jù)傳輸，不能成為性能的瓶頸；可靠性：所有數(shù)據(jù)服務(wù)器都部署在數(shù)據(jù)中心，這些服務(wù)器是企業(yè)運(yùn)行的關(guān)鍵支撐，必須要嚴(yán)格的保證這些服務(wù)器可靠性與可用性，因此，部署防火墻以后，不對(duì)網(wǎng)絡(luò)傳輸?shù)目煽啃栽斐捎绊?，不能形成單點(diǎn)故障。 基于上述兩個(gè)的關(guān)鍵特性，我們進(jìn)行以下設(shè)備部署模式和配置策略：設(shè)備部署模式：我們?cè)趦膳_(tái)核心交換機(jī)上部署兩臺(tái)千兆防火墻，以雙鏈路方式和1G的吞吐量保證可靠性和高性能。安全控制策略：防火墻設(shè)置為默認(rèn)拒絕工作方式，保證所有的數(shù)據(jù)包，如果沒(méi)有明確的規(guī)則允許通過(guò)，全部拒絕以保證安全；在兩臺(tái)防火墻上設(shè)定嚴(yán)格的訪問(wèn)控制規(guī)則，配置只有規(guī)則允許用戶能夠訪問(wèn)數(shù)據(jù)中心中的指定的資源，嚴(yán)格限制網(wǎng)絡(luò)用戶對(duì)數(shù)據(jù)中心服務(wù)器的資源，以避免網(wǎng)絡(luò)用戶可能會(huì)對(duì)數(shù)據(jù)中心的攻擊、非授權(quán)訪問(wèn)以及病毒的傳播，保護(hù)數(shù)據(jù)中心的核心數(shù)據(jù)信息資產(chǎn)；配置防火墻全面攻擊防范能力，包括ARP欺騙攻擊的防范，提供ARP主動(dòng)反向查詢、TCP報(bào)文標(biāo)志位不合法攻擊防范、超大ICMP報(bào)文攻擊防范、地址/端口掃描的防范、ICMP重定向或不可達(dá)報(bào)文控制功能、Tracert報(bào)文控制功能、帶路由記錄選項(xiàng)IP報(bào)文控制功能等，全面防范各種網(wǎng)絡(luò)層的攻擊行為；根據(jù)需要，配置IP/MAC綁定功能，對(duì)能夠識(shí)別MAC地址的主機(jī)進(jìn)行鏈路層控制，實(shí)現(xiàn)只有IP/MAC匹配的用戶才能訪問(wèn)數(shù)據(jù)中心的服務(wù)器；核心入侵防御系統(tǒng)：在服務(wù)器交換機(jī)和核心防火墻之間，部署兩臺(tái)入侵防御系統(tǒng)，和服務(wù)器交換機(jī)、防火墻設(shè)備采用雙鏈路連接，以阻擋防火墻設(shè)備不能抵御的系統(tǒng)漏洞攻擊、蠕蟲(chóng)病毒、木馬程序、間諜軟件、DOS/DDOS攻擊等。同時(shí)入侵防御性能達(dá)1.2Gbps，完全滿足1G以上的設(shè)備要求，無(wú)任何瓶頸。服務(wù)器交換機(jī)：服務(wù)器交換機(jī)負(fù)責(zé)眾多數(shù)據(jù)庫(kù)和應(yīng)用服務(wù)器的接入，在此我們采用一臺(tái)服務(wù)器交換機(jī)，其設(shè)備在本項(xiàng)目中有如下優(yōu)勢(shì)：1、以高密度千兆接口的全面滿足服務(wù)器接入的要求2、支持高的交換交換帶寬和轉(zhuǎn)發(fā)性能，為服務(wù)器的雙上行接入提供了更高的帶寬和可靠性3、支持萬(wàn)兆接口，為未來(lái)的系統(tǒng)全面升級(jí)提前做好了準(zhǔn)備4、配置冗余電源系統(tǒng)，進(jìn)一步提高設(shè)備可靠性。對(duì)外訪問(wèn)區(qū)負(fù)責(zé)全網(wǎng)對(duì)INTERNET的訪問(wèn)，同時(shí)承載太重門戶網(wǎng)站的對(duì)外發(fā)布和EMAIL系統(tǒng)。雖然現(xiàn)在網(wǎng)絡(luò)上80%的安全隱患都在內(nèi)網(wǎng)，但互聯(lián)網(wǎng)出口的安全問(wèn)題仍然是對(duì)企業(yè)網(wǎng)絡(luò)最具威脅的區(qū)域，黑客入侵、企業(yè)機(jī)密數(shù)據(jù)外泄、新病毒的導(dǎo)入都幾乎全部發(fā)生在這里，所以互聯(lián)網(wǎng)接入設(shè)計(jì)中，安全設(shè)計(jì)仍然放在首位。我們采用路由器+防火墻+入侵防御系統(tǒng)（IPS）的方式來(lái)構(gòu)建對(duì)外訪問(wèn)區(qū)。路由器：路由器是連接內(nèi)外網(wǎng)的紐帶，路由器的性能直接影響對(duì)于寶貴帶寬的使用率，此外對(duì)于大型園區(qū)網(wǎng)出口，由于內(nèi)部網(wǎng)絡(luò)用戶數(shù)量龐大，路由器應(yīng)該具備高性能的NAT轉(zhuǎn)發(fā)能力。1、高性能：具備5Mpps的包轉(zhuǎn)發(fā)性能，滿足未來(lái)千兆線路的全線速轉(zhuǎn)發(fā)。2、強(qiáng)大的NAT能力：具備50萬(wàn)并發(fā)NAT連接的能力，且支持豐富的NAT特性，提供NAT日志的輸出，可配合日志審計(jì)系統(tǒng)，做到對(duì)于對(duì)外訪問(wèn)的紀(jì)錄和跟蹤。3、支持RIP、OSPF、BGP、IS-IS等多種路由協(xié)議4、支持多種網(wǎng)絡(luò)接口5、支持IPV6防火墻：使用原有Juniper防火墻，劃分DMZ區(qū)域，通過(guò)原有華為5000千兆交換機(jī)，連接門戶服務(wù)器及EMAIL服務(wù)器等。配置策略偏重安全區(qū)劃分，安全抵御由入侵防御系統(tǒng)著重完成。入侵防御系統(tǒng)：配置入侵防御系統(tǒng)，提供4個(gè)100M端口，具備1G吞吐量，滿足當(dāng)前接入帶寬。重點(diǎn)配置對(duì)于黑客入侵、蠕蟲(chóng)病毒、木馬程序的防范。 針對(duì)太重這種大型的網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)的運(yùn)維管理變得非常重要，需要采用必要的手段進(jìn)行能夠網(wǎng)絡(luò)的集中監(jiān)控和管理，實(shí)現(xiàn)不同廠商產(chǎn)品的統(tǒng)一監(jiān)控和管理，需要采用一個(gè)網(wǎng)絡(luò)管理平臺(tái)；同時(shí)為了更好的控制網(wǎng)絡(luò)資源訪問(wèn)權(quán)限，監(jiān)控網(wǎng)上行為，記錄外網(wǎng)訪問(wèn)記錄、作為事后審計(jì)依據(jù)，需要增加以下幾個(gè)部分：網(wǎng)絡(luò)管理軟件系統(tǒng)接入審計(jì)系統(tǒng)日志審計(jì)系統(tǒng)網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該包括以下功能：網(wǎng)絡(luò)管理系統(tǒng)應(yīng)采用分布式、組件化、跨平臺(tái)的開(kāi)放體系結(jié)構(gòu)，用戶通過(guò)選擇安裝不同的業(yè)務(wù)組件，可以實(shí)現(xiàn)設(shè)備管理、拓?fù)涔芾?、告警管理、性能管理、配置管理等多種管理功能。產(chǎn)品不僅能夠獨(dú)立提供完整的網(wǎng)絡(luò)管理平臺(tái)，還能夠與OpenView、SNMPc多種主流通用網(wǎng)管平臺(tái)靈活集成；不僅能夠管理配置的網(wǎng)絡(luò)設(shè)備，還能夠通過(guò)標(biāo)準(zhǔn)MIB管理各主流廠商的網(wǎng)絡(luò)設(shè)備。網(wǎng)絡(luò)拓?fù)涔芾砭W(wǎng)絡(luò)管理軟件可以通過(guò)拓?fù)浒l(fā)現(xiàn)功能，幫助客戶迅速發(fā)現(xiàn)網(wǎng)絡(luò)資源。能夠?qū)崟r(shí)監(jiān)視所有設(shè)備的運(yùn)行狀況，通過(guò)可視化的網(wǎng)絡(luò)拓?fù)浣缑鎺椭脩艏皶r(shí)了解網(wǎng)絡(luò)的變化。自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；支持全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D；可以靈活裁減拓?fù)湟晥D，聚焦網(wǎng)絡(luò)的關(guān)鍵區(qū)域；可以靈活選擇設(shè)備、背景圖標(biāo)，構(gòu)建逼近真實(shí)網(wǎng)絡(luò)的拓?fù)淇梢灾苯狱c(diǎn)擊拓?fù)湟晥D節(jié)點(diǎn)，快速查看設(shè)備面板；拓?fù)涔?jié)點(diǎn)顏色能夠直觀反映網(wǎng)絡(luò)、設(shè)備狀態(tài)；可以靈活定制對(duì)設(shè)備狀態(tài)的輪詢間隔；故障管理網(wǎng)絡(luò)故障管理功能為用戶及時(shí)發(fā)現(xiàn)問(wèn)題、深入分析問(wèn)題、快速解決問(wèn)題提供了全流程的支持。支持告警快速定位到網(wǎng)絡(luò)拓?fù)?；支持多種告警通知方式，包括：告警聲光提示、告警轉(zhuǎn)Email和手機(jī)短信；支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、自動(dòng)確認(rèn)相關(guān)告警等。支持告警過(guò)濾，用戶能夠按照告警級(jí)別、告警源、關(guān)鍵詞等過(guò)濾條件迅速聚焦到“真正有價(jià)值的告警”；可以靈活定義告警級(jí)別，以符合客戶網(wǎng)絡(luò)的實(shí)際狀況；提供常見(jiàn)問(wèn)題的修復(fù)建議。同時(shí)用戶可以根據(jù)實(shí)際的維護(hù)經(jīng)驗(yàn)，不斷完善豐富維護(hù)經(jīng)驗(yàn)庫(kù)。網(wǎng)絡(luò)監(jiān)視網(wǎng)管系統(tǒng)提供了豐富的性能管理功能，幫助用戶主動(dòng)監(jiān)視網(wǎng)絡(luò)的狀況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)潛在的隱患。同時(shí)，豐富的歷史性能統(tǒng)計(jì)數(shù)據(jù)為用戶升級(jí)擴(kuò)容網(wǎng)絡(luò)提供了客觀準(zhǔn)確的參考。配置管理60%的設(shè)備故障是因?yàn)榫W(wǎng)絡(luò)誤配置造成的。網(wǎng)絡(luò)管理員需要定期備份配置文件，跟蹤設(shè)備配置變化，以保證一旦發(fā)生網(wǎng)絡(luò)故障時(shí)，能夠利用歷史配置備份將網(wǎng)絡(luò)立刻恢復(fù)正常。設(shè)備管理提供設(shè)備管理功能，通過(guò)面板圖片，直觀地反映了設(shè)備運(yùn)行情況。通過(guò)面板圖標(biāo)直觀地反映設(shè)備的模塊、風(fēng)扇、CPU、端口等關(guān)鍵部件的運(yùn)行狀態(tài)；能夠查看、設(shè)置設(shè)備端口狀態(tài)；能夠查看路由、VLAN等配置信息；能夠查看端口流量、丟包率、錯(cuò)包率等關(guān)鍵統(tǒng)計(jì)數(shù)據(jù)；支持對(duì)堆疊的管理；支持多廠商設(shè)備的統(tǒng)一管理可管理所有支持標(biāo)準(zhǔn)SNMP網(wǎng)管協(xié)議的網(wǎng)絡(luò)設(shè)備，為多廠商設(shè)備共存的網(wǎng)絡(luò)提供了統(tǒng)一的管理方式。自動(dòng)發(fā)現(xiàn)多廠商設(shè)備，展示多廠商設(shè)備組成的網(wǎng)絡(luò)拓?fù)?；監(jiān)視設(shè)備性能，包括接口的流量、錯(cuò)包率、丟包率等指標(biāo)；接收和解析設(shè)備告警，提供告警分析和查詢功能；接入認(rèn)證系統(tǒng)設(shè)計(jì)認(rèn)證系統(tǒng)應(yīng)采用分布式、模塊化、跨平臺(tái)的開(kāi)放體系結(jié)構(gòu)和基于TCP/IP的通信機(jī)制，可以平滑擴(kuò)容、靈活擴(kuò)展、按需定制。提供了一種低價(jià)格、高可靠、高性能的網(wǎng)絡(luò)安全和用戶管理解決方案，能夠滿足各種規(guī)模網(wǎng)絡(luò)的用戶管理、身份認(rèn)證、權(quán)限控制的要求。接入認(rèn)證系統(tǒng)的功能：強(qiáng)大的用戶身份認(rèn)證支持802.1x、PPPoE、Portal、VPN接入、無(wú)線接入等多種認(rèn)證接入方式。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗(yàn)證方式，適應(yīng)不同安全要求的應(yīng)用場(chǎng)景。支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止賬號(hào)盜用和非法接入。支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個(gè)用戶名和密碼。支持多區(qū)域用戶漫游。嚴(yán)格的用戶權(quán)限控制基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限?？梢钥刂朴脩舻纳暇W(wǎng)帶寬（QoS；802.1x認(rèn)證支持）、限制用戶的同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用?？梢詫?shí)現(xiàn)對(duì)用戶ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問(wèn)（802.1x認(rèn)證支持）?？梢韵拗朴脩鬒P地址分配策略，防止IP地址盜用和沖突?？梢韵拗朴脩舻慕尤霑r(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)?？梢韵拗平K端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，防止內(nèi)部信息泄露?？梢韵拗朴脩舯仨毷褂脤Ｓ冒踩蛻舳?，并強(qiáng)制自動(dòng)升級(jí)，確保認(rèn)證客戶端的安全性。詳盡的用戶行為監(jiān)控提供“黑名單”管理策略，可以將惡意猜測(cè)密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來(lái)源。管理員可以實(shí)時(shí)監(jiān)控在線用戶，強(qiáng)制非法用戶下線。支持消息下發(fā)，管理員可以通過(guò)向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級(jí)，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請(qǐng)注意保護(hù)密碼安全”等。記錄認(rèn)證失敗日志、并可以全面跟蹤用戶上網(wǎng)流程，方便定位與解決用戶無(wú)法接入、異常斷線等問(wèn)題。日志審計(jì)系統(tǒng)軟件設(shè)計(jì)日志審計(jì)軟件主要功能包括兩大部分：1、安全事件管理2、用戶行為審計(jì)在本次項(xiàng)目中我們采用的用戶行為審計(jì)模塊，具有如下功能：1)全面的日志采集用戶行為審計(jì)系統(tǒng)可支持多種網(wǎng)絡(luò)日志的采集（包括NAT1.0、FlOW1.0、NetStreamV5），對(duì)于不支持上述日志的設(shè)備，可以通過(guò)設(shè)備的鏡像端口或TAP分流器采集網(wǎng)絡(luò)流量生成DIG1.0格式的日志。同時(shí)用戶行為審計(jì)系統(tǒng)采用分布式的體系結(jié)構(gòu)，支持多點(diǎn)采集，可以同時(shí)采集多個(gè)設(shè)備的日志信息，為網(wǎng)絡(luò)管理員監(jiān)控網(wǎng)絡(luò)提供了靈活有效的支持。2)強(qiáng)大的日志審計(jì)功能用戶行為審計(jì)系統(tǒng)可根據(jù)用戶需要，通過(guò)各種條件的組合對(duì)網(wǎng)絡(luò)日志進(jìn)行快速分析。針對(duì)不同的日志類型，管理員可以獲得不同的用戶行為審計(jì)信息：NAT1.0日志：包括經(jīng)過(guò)NAT轉(zhuǎn)換前的源IP地址、源端口，經(jīng)過(guò)NAT轉(zhuǎn)換后的源IP地址、源端口，所訪問(wèn)的目的IP、目的端口、協(xié)議號(hào)、開(kāi)始時(shí)間、結(jié)束時(shí)間等關(guān)鍵信息。FLOW1.0日志：包括源IP、目的IP、源端口、目的端口、流起始時(shí)間、結(jié)束時(shí)間等關(guān)鍵信息。DIG1.0日志：探針型采集器直接從交換機(jī)的鏡像端口采集用戶的上網(wǎng)信息，對(duì)用戶訪問(wèn)外部網(wǎng)絡(luò)的流進(jìn)行分類統(tǒng)計(jì)，并生成探針（DIG）日志記錄。DIG1.0日志包含兩種格式日志，DIGFLOW1.0和DIGEST1.0。DIGFLOW1.0日志內(nèi)容為IP層數(shù)據(jù)報(bào)文信息，其中包含數(shù)據(jù)報(bào)文的流量信息和協(xié)議類型信息，而DIGEST1.0日志內(nèi)容為應(yīng)用層協(xié)議數(shù)據(jù)報(bào)文信息，包含數(shù)據(jù)報(bào)文的摘要信息。兩種格式的DIG1.0日志在采集器進(jìn)行日志采集時(shí)同時(shí)生成。利用DIG1.0日志的記錄信息，可以實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)行為的監(jiān)控，審查用戶的Email信息、訪問(wèn)信息、使用的應(yīng)用信息等，全面審查用戶的網(wǎng)絡(luò)使用行為。DIGFLOW1.0日志記錄包含以下內(nèi)容：開(kāi)始時(shí)間、結(jié)束時(shí)間、源IP地址、目的IP地址、源端口號(hào)、目的端口號(hào)、協(xié)議類型（目前區(qū)分TCP、UDP和ICMP三種協(xié)議）、輸入包個(gè)數(shù)、輸出包個(gè)數(shù)、輸入字節(jié)數(shù)、輸出字節(jié)數(shù)；DIGEST1.0日志記錄包含以下內(nèi)容：開(kāi)始時(shí)間、結(jié)束時(shí)間、源IP地址、目的IP地址、目的端口號(hào)、摘要信息（目前支持HTTP協(xié)議、FTP協(xié)議、SMTP協(xié)議報(bào)文）。NetStreamV5日志：包括日志的開(kāi)始時(shí)間、結(jié)束時(shí)間、協(xié)議類型、源IP地址、目的IP地址、服務(wù)類型、入接口、出接口、報(bào)文數(shù)、字節(jié)數(shù)、流數(shù)、總激活時(shí)間、操作字、日志類型等信息。通過(guò)NetStream日志的分析，可以使網(wǎng)絡(luò)管理員深入地了解當(dāng)前數(shù)據(jù)網(wǎng)絡(luò)中的報(bào)文所包含的各種有價(jià)值的信息，可以實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控、應(yīng)用監(jiān)控、用戶監(jiān)控等功能，并為網(wǎng)絡(luò)規(guī)劃提供重要參考。通過(guò)用戶行為審計(jì)系統(tǒng)網(wǎng)絡(luò)管理員可以從海量的網(wǎng)絡(luò)日志中精確審計(jì)終端用戶的上網(wǎng)行為。終端用戶何時(shí)訪問(wèn)了某網(wǎng)站、何時(shí)訪問(wèn)了某網(wǎng)頁(yè)、發(fā)送了哪些Email、向外發(fā)送了哪些文件等信息均可通過(guò)日志審計(jì)得出結(jié)果。IP地址是網(wǎng)絡(luò)互聯(lián)的基礎(chǔ)，合理的IP地址規(guī)劃將大大方便網(wǎng)絡(luò)的維護(hù)和管理。IP地址規(guī)劃的原則唯一性：保持整個(gè)網(wǎng)絡(luò)中IP地址的唯一性簡(jiǎn)單性：盡量避免采用復(fù)雜的掩碼方式連續(xù)性：為同一網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮減路由表項(xiàng)，提高路由器的處理效率可擴(kuò)充性：為一個(gè)網(wǎng)絡(luò)區(qū)域分配的網(wǎng)絡(luò)地址應(yīng)該具有一定的容量，便于主機(jī)節(jié)點(diǎn)增加時(shí)仍然能夠保持地址的連續(xù)性可管理性：地址的分配應(yīng)該有層次性，某個(gè)局部的變動(dòng)不影響網(wǎng)絡(luò)的其他部分地域性：盡量考慮IP的地域特性，以便于統(tǒng)一管理和規(guī)劃全面性：統(tǒng)一規(guī)劃局域網(wǎng)和廣域網(wǎng)IP地址，保證網(wǎng)絡(luò)有效連通和管理IP地址規(guī)劃策略對(duì)太重信息化系統(tǒng)IP地址規(guī)劃可以采用以下兩種方式：采用Internet網(wǎng)合法地址由于要實(shí)現(xiàn)與Internet的連接，對(duì)外發(fā)布信息；在DMZ區(qū)中的服務(wù)器建議采用合法的由電信服務(wù)商分配的地址。本系統(tǒng)自行規(guī)劃IP地址在內(nèi)部網(wǎng)絡(luò)中整體統(tǒng)一采用結(jié)構(gòu)化地址規(guī)劃和分配原則進(jìn)行IP地址設(shè)計(jì)，可以大大提高網(wǎng)絡(luò)的可管理性，同時(shí)通過(guò)NAT實(shí)現(xiàn)與外部網(wǎng)絡(luò)地址的映射，對(duì)外部網(wǎng)絡(luò)隱藏了被網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)，提高了網(wǎng)絡(luò)的安全性。IP地址規(guī)劃IP地址的規(guī)劃應(yīng)在遵循方便管理、易于擴(kuò)展的原則下，統(tǒng)一規(guī)劃、統(tǒng)一分配。省/市地址空間網(wǎng)段數(shù)據(jù)中心1個(gè)C服務(wù)器區(qū)1個(gè)C網(wǎng)絡(luò)設(shè)備區(qū)1個(gè)C重工8個(gè)C起重機(jī)公司8個(gè)C輪軸公司8個(gè)C油膜輪軸公司8個(gè)C在設(shè)計(jì)大中型網(wǎng)絡(luò)時(shí)，由于靜態(tài)路由協(xié)議設(shè)置麻煩、對(duì)網(wǎng)絡(luò)的變化適應(yīng)性差，一般不予采用，而今作為路由設(shè)計(jì)的補(bǔ)充?，F(xiàn)在，常用的動(dòng)態(tài)路由協(xié)議有以下四種：RIPRIP是一種DistanceVector路由協(xié)議，有以下特點(diǎn)：簡(jiǎn)單，廣泛使用，技術(shù)成熟，信息源與目的地間限制在15個(gè)hops（或路由器）之內(nèi)，超過(guò)15hops將認(rèn)為不可及。RIPv1不支持VLSM（VariableLengthSubnetMask），不可能有效地利用IP地址。每30秒傳送路由信息將耗費(fèi)大量的帶寬，在大型網(wǎng)絡(luò)及低速鏈路中更明顯。路由收斂較慢，此算法將經(jīng)歷Hold-down(180S)的周期。RIP在計(jì)算路徑時(shí)，只考慮hopcount，不考慮網(wǎng)絡(luò)鏈路的延遲和cost。RIP網(wǎng)絡(luò)適用于平面結(jié)構(gòu)的網(wǎng)絡(luò)。RIP適用于中、小型網(wǎng)絡(luò)。一般網(wǎng)絡(luò)的路由器數(shù)目少于20個(gè)。OSPFOSPF是LinkState，層次化拓?fù)涞穆酚蓞f(xié)議。有以下特點(diǎn)：僅用于IP網(wǎng)絡(luò)，無(wú)hopcount的限制，適于大型網(wǎng)絡(luò)，支持VLSM，用hello通知其他路由器本路由器工作正常。通過(guò)IPmulticast發(fā)送鏈路更新的信息，并且僅在路由發(fā)生變化是進(jìn)行更新，由此優(yōu)化路由器的資源和帶寬。路由收斂較快，在路徑的選擇中，metric主要考慮鏈路的延遲，支持相同cost的多條鏈路路由，較好地實(shí)現(xiàn)負(fù)載均衡。cost=100,000,000/bandwidthinbps。通過(guò)劃分區(qū)域更好的規(guī)劃網(wǎng)絡(luò)，減少路由更新信息。在網(wǎng)絡(luò)設(shè)計(jì)中推薦每個(gè)AS區(qū)域中路由器少于50個(gè)。IGRPIGRP是DistanceVector路由協(xié)議，由CISCO開(kāi)發(fā)，用于大型IP及OSI網(wǎng)絡(luò)，有以下特點(diǎn)：不支持VLSM（VariableLengthSubnetMask)，不可能有效地利用IP地址。每90秒傳送路由信息將耗費(fèi)部分的帶寬。在路徑的選擇上采用組合的metrics包括：延遲、帶寬、可靠性、MTU和負(fù)載。支持多條路徑路由。EIGRPEIGRP是intra-domain，先進(jìn)的DistanceVector路由協(xié)議，由CISCO開(kāi)發(fā)和支持：結(jié)合了距離向量(DV)協(xié)議和連接狀態(tài)(LS)協(xié)議的優(yōu)點(diǎn)，采用了DUAL算法達(dá)到網(wǎng)絡(luò)的快速收斂。支持層次化和平面網(wǎng)絡(luò)結(jié)構(gòu)，支持VLSM網(wǎng)絡(luò)地址分配，可在任意位邊界對(duì)直接相連的網(wǎng)絡(luò)進(jìn)行路徑疊合，只有在網(wǎng)絡(luò)變化時(shí)EIGRP才發(fā)送路由表更新信息，而且只發(fā)給相關(guān)路由器，因此廣域網(wǎng)帶寬浪費(fèi)很少，DUAL算法使其具有最好的收斂性。采用五維參數(shù)來(lái)決定最佳路徑：帶寬、時(shí)延、可靠性、線路負(fù)載和最大數(shù)據(jù)包尺寸。EIGR