完整版網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

工程的弱電系統(tǒng)總體設(shè)計(jì)要求是“理念先進(jìn)、技術(shù)一流、經(jīng)濟(jì)實(shí)用和今后良好的擴(kuò)展性〞,滿足用戶的特殊要求,到達(dá)國(guó)家建設(shè)部智能化建筑的甲級(jí)標(biāo)準(zhǔn)并通過(guò)驗(yàn)收.工程中的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)將為建筑內(nèi)信息系統(tǒng)提供穩(wěn)定、可靠、平安的信息流通環(huán)境.網(wǎng)絡(luò)系統(tǒng)是xxxxx工程中的重要系統(tǒng),它將作為多種應(yīng)用系統(tǒng)的系統(tǒng)溝通平臺(tái),包括治理系統(tǒng),業(yè)務(wù)系統(tǒng)等,因此網(wǎng)絡(luò)系統(tǒng)應(yīng)定位于提供高性能,高可靠的系統(tǒng)設(shè)計(jì).設(shè)計(jì)原那么可靠性xxxxx工程的信息應(yīng)用系統(tǒng)具有較高的可靠性要求,這決定了作為信息傳輸平臺(tái)的網(wǎng)絡(luò)系統(tǒng)也具有高度的可靠性.高性能網(wǎng)絡(luò)中可能存在復(fù)雜多元的應(yīng)用系統(tǒng),如多媒體應(yīng)用,辦公自動(dòng)化,專(zhuān)業(yè)應(yīng)用等,對(duì)網(wǎng)絡(luò)的負(fù)載水平要較高要求.可擴(kuò)展性和可升級(jí)性目前xxxxx工程處于一期建設(shè)中,將來(lái)還將建設(shè)二級(jí)工程,網(wǎng)絡(luò)系統(tǒng)將逐步擴(kuò)大,同時(shí)隨著應(yīng)用系統(tǒng)的逐步完善,網(wǎng)絡(luò)系統(tǒng)也將進(jìn)行相應(yīng)的擴(kuò)展和升級(jí),因此網(wǎng)絡(luò)應(yīng)具有良好的可升級(jí)擴(kuò)展性.易治理、易維護(hù)xxxxx工程中網(wǎng)絡(luò)系統(tǒng)分布于多個(gè)建筑物中,同時(shí)網(wǎng)絡(luò)系統(tǒng)中承載的應(yīng)用系統(tǒng)重要性較高,因此網(wǎng)絡(luò)系統(tǒng)需具有良好的可治理性,降低維護(hù)本錢(qián),放患于未然,保證業(yè)務(wù)系統(tǒng)的正常運(yùn)行.平安性根據(jù)xxxxx工程業(yè)主的特殊定位,網(wǎng)絡(luò)要求有極高的平安性要求.總體設(shè)計(jì)主干技術(shù)選型選擇合理的網(wǎng)絡(luò)主干技術(shù)對(duì)一個(gè)大型網(wǎng)絡(luò)來(lái)說(shuō)十分重要,它關(guān)系到網(wǎng)絡(luò)的效勞品質(zhì)和可持續(xù)開(kāi)展的特性.網(wǎng)絡(luò)主干包括主干網(wǎng)設(shè)備之間及其與會(huì)聚點(diǎn)核心設(shè)備之間的連接.對(duì)丁xxxxx工程,我們選擇采用千兆以太網(wǎng)GEK術(shù)、相對(duì)丁其他寬帶主干技術(shù),它和以太網(wǎng),快速以太網(wǎng)有更好的兼容性,在園區(qū)網(wǎng)規(guī)?；蛑行⌒统怯蚓W(wǎng)中具有最高的性能價(jià)格比.局域網(wǎng)結(jié)構(gòu)采取何種網(wǎng)絡(luò)結(jié)構(gòu)和建筑分布,應(yīng)用需求均有較大的關(guān)系.通常在大型網(wǎng)絡(luò)的設(shè)計(jì)中,網(wǎng)絡(luò)結(jié)構(gòu)分為三層,即核心、分布和接入層.核心層提供網(wǎng)絡(luò)的核心路由交換功能,分布層負(fù)責(zé)將接入層設(shè)備會(huì)聚進(jìn)入核心層,接入層提供提供終端用戶的接入網(wǎng)絡(luò).每個(gè)層次的網(wǎng)絡(luò)專(zhuān)注丁其功能要求,使網(wǎng)絡(luò)設(shè)計(jì)模塊化,便丁治理和擴(kuò)展.對(duì)丁xxxxx工程,相對(duì)丁園區(qū)網(wǎng),網(wǎng)絡(luò)分布在較大范圍內(nèi),包括信息中央/辦公區(qū),科研辦公區(qū),對(duì)外接待區(qū),效勞中央,生活設(shè)施區(qū),輔助用房,休閑中央及將來(lái)得二期建筑.根據(jù)布線結(jié)構(gòu),科研辦公區(qū)為一點(diǎn)數(shù)較大的單體建筑,將再設(shè)立兩級(jí)配線問(wèn),簡(jiǎn)化了線纜結(jié)構(gòu),相應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)為二層結(jié)構(gòu)和三層結(jié)構(gòu)相結(jié)合的方式,即對(duì)丁科研辦公區(qū),通過(guò)核心交換機(jī),分布層交換機(jī),接入交換機(jī)三級(jí)結(jié)構(gòu),而對(duì)丁其他分配線間那么通過(guò)核心交換機(jī),接入交換機(jī)的二級(jí)結(jié)構(gòu)〔見(jiàn)后圖〕.根據(jù)xxxxx工程需求,網(wǎng)絡(luò)中包含內(nèi)網(wǎng)和外網(wǎng),通常內(nèi)網(wǎng)中運(yùn)行業(yè)務(wù)系統(tǒng),辦公自動(dòng)化系統(tǒng)及專(zhuān)網(wǎng)應(yīng)用等,外網(wǎng)運(yùn)行互聯(lián)網(wǎng)應(yīng)用.業(yè)務(wù)系統(tǒng)具有較高的可靠性要求,因此網(wǎng)絡(luò)結(jié)構(gòu)上,內(nèi)網(wǎng)網(wǎng)絡(luò)主干需要更高的可靠性,內(nèi)網(wǎng)網(wǎng)絡(luò)核心采用了兩臺(tái)骨干交換機(jī),分別和分布層交換機(jī)通過(guò)千兆光纖連接,從而形成了一個(gè)全網(wǎng)無(wú)單點(diǎn)故障的骨干網(wǎng)絡(luò).而外網(wǎng)出丁應(yīng)用需求和本錢(qián)的考慮,可采用單骨干交換機(jī)的架構(gòu),如以下圖:外網(wǎng)J.J域網(wǎng)結(jié)構(gòu)內(nèi)網(wǎng)局域網(wǎng)結(jié)構(gòu)3.3廣域網(wǎng)連接廣域網(wǎng)方面通常包括互聯(lián)網(wǎng)接入和專(zhuān)網(wǎng)接入.互聯(lián)網(wǎng)接入提供對(duì)互聯(lián)網(wǎng)訪問(wèn),目前互聯(lián)網(wǎng)寬帶接入的方式有ADSLCableModemATM寬帶城域網(wǎng)等,ADS前CableModem?常用作個(gè)人用戶或小型公司的寬帶接入,ATM?要專(zhuān)用接入設(shè)備,本錢(qián)太高.而寬帶城域網(wǎng)是通過(guò)光纖由ISP處引入,通過(guò)轉(zhuǎn)換器轉(zhuǎn)為以太網(wǎng)口接入用戶設(shè)備,該種接入方式的接入帶寬可由運(yùn)營(yíng)商端進(jìn)行準(zhǔn)確而靈活的限速,符合了xxxxx工程隨著應(yīng)用的開(kāi)展逐步增加互聯(lián)網(wǎng)接入帶寬的需求,在接入設(shè)備上也無(wú)需專(zhuān)用廣域網(wǎng)接入設(shè)備,可通過(guò)防火墻直接接入即可.專(zhuān)網(wǎng)連接用丁和相關(guān)單位或企業(yè)的網(wǎng)絡(luò)連接,即Extranet.根據(jù)我方的工程經(jīng)驗(yàn)和對(duì)專(zhuān)網(wǎng)互聯(lián)技術(shù)的了解,專(zhuān)網(wǎng)連接通常有DDN/FR幀中繼〕/ATM的專(zhuān)線連接、遠(yuǎn)程撥號(hào)連接以及構(gòu)建在公網(wǎng)上的VP時(shí)網(wǎng)等多種方式,AT"式價(jià)格較高；遠(yuǎn)程撥號(hào)連接由丁速率較低,通常作為備份方式；而VPN通過(guò)公網(wǎng)傳輸,存在一定的風(fēng)險(xiǎn)性.因此綜合考慮,如租用運(yùn)營(yíng)商線路,出丁平安性的考慮,可采用通過(guò)DDN/FFft信專(zhuān)線的方式,或直接通過(guò)自建的內(nèi)部城域光纜網(wǎng)連接.由丁連接了公網(wǎng)和外部專(zhuān)網(wǎng),平安性是必須考慮的,為此需配置防火墻設(shè)備,防火墻提供了較普通網(wǎng)絡(luò)設(shè)備具有更完善的平安手段,提供了對(duì)內(nèi)外網(wǎng)隔離和防外部攻擊等特性.

如網(wǎng)絡(luò)存在一些提供外部訪問(wèn)的應(yīng)用,如專(zhuān)網(wǎng)業(yè)務(wù)應(yīng)用等,這些網(wǎng)段的平安性級(jí)別高丁外網(wǎng),但低丁內(nèi)網(wǎng),我們可將這些網(wǎng)段通過(guò)防火墻的第三個(gè)或第四個(gè)等網(wǎng)口接入,該區(qū)域被稱為DM2E〔非軍事區(qū)〕,DM2E介丁內(nèi)外網(wǎng)之間,可作為緩沖地帶,DM2E的平安問(wèn)題不會(huì)直接威脅到內(nèi)網(wǎng).廣域網(wǎng)連接示意圖如下：專(zhuān)網(wǎng)連接防火墻路由漏專(zhuān)防火墻路由漏專(zhuān)網(wǎng)鹿用DM7區(qū)內(nèi)部局域網(wǎng)互聯(lián)網(wǎng)連接防火墻內(nèi)部局域網(wǎng):3.4網(wǎng)絡(luò)治理根據(jù)xxxxx工程的特點(diǎn),我們認(rèn)為網(wǎng)絡(luò)治理系統(tǒng)應(yīng)具有以下特點(diǎn)：以應(yīng)用系統(tǒng)為導(dǎo)向,在最大程度上保證應(yīng)用系統(tǒng)運(yùn)行的高穩(wěn)定性.開(kāi)放易用,在采用先進(jìn)技術(shù)同時(shí)不會(huì)增加業(yè)務(wù)運(yùn)行的人工維護(hù)本錢(qián).提供豐富的治理特性,滿足復(fù)雜網(wǎng)絡(luò)環(huán)境中的多方面治理需求.所提供的治理功能模塊盡量相互集成.網(wǎng)絡(luò)中的所有網(wǎng)絡(luò)資源,如交換機(jī)的設(shè)備工作狀態(tài)、網(wǎng)絡(luò)性能、通訊延時(shí)等應(yīng)均可通過(guò)直觀的人機(jī)介面進(jìn)行監(jiān)控、治理.使網(wǎng)絡(luò)治理員不但可以改正出現(xiàn)的問(wèn)題,還可以發(fā)現(xiàn)潛在問(wèn)題.因此我們認(rèn)為網(wǎng)管系統(tǒng)的主要功能應(yīng)包括拓?fù)渲卫?故障治理,配置治理和性能治理等功能.3.5信息平安治理根據(jù)xxxxx工程的平安定位,信息平安治理是xxxxx工程中一個(gè)較重要的網(wǎng)絡(luò)應(yīng)用,它關(guān)系到網(wǎng)絡(luò)中各種重要數(shù)據(jù),應(yīng)用的平安性,直接影響xxxxx工程的正常運(yùn)作.對(duì)丁xxxxx工程,平安治理可以從以下幾方面考慮：網(wǎng)絡(luò)設(shè)備自身的平安性提供對(duì)網(wǎng)絡(luò)設(shè)備配置訪問(wèn)的平安性,應(yīng)采用嚴(yán)格的用戶認(rèn)證訪問(wèn),平安的Telnet和SNMP制等舉措,保證網(wǎng)絡(luò)設(shè)備被平安訪I可.網(wǎng)絡(luò)交換設(shè)備的平安策略根據(jù)應(yīng)用系統(tǒng),用戶終端的分類(lèi)和平安需求,通過(guò)劃分虛網(wǎng),設(shè)置訪問(wèn)限制權(quán)限,以及限制路由等策略,提供底層數(shù)據(jù)訪問(wèn)的平安性.專(zhuān)用平安設(shè)備和系統(tǒng)除了網(wǎng)絡(luò)設(shè)備本身可以提供的平安性,還應(yīng)配置平安設(shè)備以提供專(zhuān)門(mén)的平安策略.1〕防火墻防護(hù)主要提供不同網(wǎng)段間的訪問(wèn)限制,應(yīng)用限制,實(shí)時(shí)防攻擊等水平,防火墻采用狀態(tài)檢測(cè)技術(shù),可動(dòng)態(tài)判斷流經(jīng)數(shù)據(jù)包的合法性,大大提升了訪問(wèn)平安性.2〕入侵檢測(cè)作為一種被動(dòng)式平安防范,平安威脅可以來(lái)自內(nèi)部和外部,防火墻只能限制其他網(wǎng)段對(duì)平安網(wǎng)段的訪問(wèn),但對(duì)丁內(nèi)部或少量通過(guò)了防火墻的攻擊訪問(wèn)就無(wú)法限制,為此采用入侵檢測(cè)探測(cè)系統(tǒng),實(shí)時(shí)監(jiān)測(cè)重要網(wǎng)段,重要效勞器的訪問(wèn)數(shù)據(jù),一旦發(fā)現(xiàn)非法訪問(wèn)和攻擊行為即發(fā)出警報(bào),從而最快速度的發(fā)現(xiàn)出現(xiàn)的平安問(wèn)題.3〕身份認(rèn)證等技術(shù)對(duì)丁遠(yuǎn)程撥號(hào)或重要網(wǎng)段接入用戶,常要求通過(guò)身份認(rèn)證賦予接入權(quán)限,為此需提供專(zhuān)用的身份認(rèn)證效勞器,提供基丁Radius,TACAS等一系列動(dòng)態(tài)認(rèn)證效勞.4〕防病蠹軟件和數(shù)據(jù)備份對(duì)丁應(yīng)用級(jí)的數(shù)據(jù)平安,可配置防病蠹軟件.為提供其易用性,可采用Server-Client架構(gòu)的防病蠹軟件,由效勞器自動(dòng)向客戶端分發(fā)最新的防病蠹代碼.網(wǎng)絡(luò)方案設(shè)計(jì)4.1設(shè)計(jì)概述充分考慮了xxxxx工程的建筑結(jié)構(gòu),現(xiàn)狀和開(kāi)展前景,結(jié)合我公司豐富的工程經(jīng)驗(yàn),我們認(rèn)為其網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)應(yīng)本著高標(biāo)準(zhǔn),高性能,整體規(guī)劃,逐步實(shí)施的原那么進(jìn)行,網(wǎng)絡(luò)系統(tǒng)即能滿足相當(dāng)長(zhǎng)時(shí)間內(nèi)的用戶需求,乂可在將來(lái)根據(jù)應(yīng)用系統(tǒng)的開(kāi)展和網(wǎng)絡(luò)規(guī)模的開(kāi)展,輕松地進(jìn)行可靠性,性能,容量等多方面的擴(kuò)展和升級(jí),從而為用戶提供性能價(jià)格比最正確,具有良好擴(kuò)展水平的網(wǎng)絡(luò)解決方案.本次建設(shè)中局域網(wǎng)局部采用了二級(jí)結(jié)構(gòu)設(shè)計(jì).內(nèi)網(wǎng)局部,主干交換機(jī)采用兩臺(tái)高性能,高可靠性核心交換機(jī),通過(guò)雙千兆鏈路連接接入層交換機(jī),內(nèi)網(wǎng)通過(guò)路由器和電信運(yùn)營(yíng)商的專(zhuān)線連接業(yè)務(wù)專(zhuān)網(wǎng),并通過(guò)防火墻對(duì)網(wǎng)絡(luò)進(jìn)行平安隔離和防護(hù).內(nèi)網(wǎng)還通過(guò)配置入侵檢測(cè)探測(cè)器提供對(duì)重要數(shù)據(jù)網(wǎng)段,如辦公自動(dòng)化,業(yè)務(wù)用數(shù)據(jù)區(qū)提供特殊的平安監(jiān)控.外網(wǎng)局部,配置單臺(tái)核心交換機(jī),通過(guò)千兆鏈路連接接入層交換機(jī),并通過(guò)防火墻接入互聯(lián)網(wǎng),網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如以下圖：

內(nèi)網(wǎng)網(wǎng)絡(luò)內(nèi)網(wǎng)網(wǎng)絡(luò)拓?fù)渫饩W(wǎng)網(wǎng)絡(luò)拓?fù)浜诵慕粨Q機(jī)核心交換機(jī)擔(dān)負(fù)著全網(wǎng)的數(shù)據(jù)交換,其性能很大程度決定了整體網(wǎng)絡(luò)的性能,根據(jù)xxxxx工程的實(shí)際情況,我們認(rèn)為核心交換機(jī)主要應(yīng)具備以下特點(diǎn)：可靠性核心交換機(jī)提供了全網(wǎng)數(shù)據(jù)的交換,其可靠性決定了整體網(wǎng)絡(luò)的穩(wěn)定和可靠.其可靠性應(yīng)表達(dá)在多方面,包括：1〕物理層設(shè)計(jì)核心交換機(jī)應(yīng)具備關(guān)鍵部件的冗余,包括電源、風(fēng)扇、治理模塊等,放置部件的偶然性故障導(dǎo)致的核心交換機(jī),乃至全網(wǎng)故障；模塊應(yīng)具備熱拔插特性,保證故障處理時(shí)網(wǎng)絡(luò)效勞的延續(xù)性；背板采用無(wú)源背板設(shè)計(jì),進(jìn)一步增強(qiáng)系統(tǒng)可靠性.2〕鏈路層特性支持多種鏈路層冗余協(xié)議,包括STP及其擴(kuò)展協(xié)議,鏈路捆綁協(xié)議等.3〕網(wǎng)絡(luò)層特性提供豐富的三層路由協(xié)議,同時(shí)支持網(wǎng)關(guān)冗余協(xié)議〔如VRRP.高交換水平和端口密度根據(jù)xxxxx工程布線的特點(diǎn),一期內(nèi)外網(wǎng)各有30余個(gè)分配線問(wèn),總布線點(diǎn)數(shù)各為3000個(gè)左右,二期規(guī)劃還各將增加20余個(gè)分配線問(wèn),這樣要求核心交換機(jī)具有較高的千兆端口密度,可滿足接入大量分配線間的需求,而網(wǎng)絡(luò)系統(tǒng)是這樣一個(gè)高密度,大規(guī)模的網(wǎng)絡(luò),網(wǎng)絡(luò)中存在豐富的多元化的應(yīng)用系統(tǒng),這些均要求核心交換機(jī)具有較高的交換性能,其指標(biāo)表達(dá)在背板容量、包轉(zhuǎn)發(fā)率等數(shù)據(jù)上.豐富的網(wǎng)絡(luò)特性為提供網(wǎng)絡(luò)中多種應(yīng)用支持,如對(duì)時(shí)延敏感的音視頻應(yīng)用,對(duì)數(shù)據(jù)可靠性要求較高的關(guān)鍵應(yīng)用,網(wǎng)絡(luò)應(yīng)提供較強(qiáng)的QoS和Policing的功能,同時(shí)為提供網(wǎng)絡(luò)內(nèi)部的平安性,它應(yīng)支持豐富的平安特性,如基丁2-4層信息的線速訪問(wèn)限制等.分布層交換機(jī)分布層交換機(jī)用丁科研辦公區(qū),由丁該區(qū)共有11個(gè)三級(jí)配線間需接入,分布層交換機(jī)作為多個(gè)接入交換機(jī)的會(huì)聚點(diǎn),也需物理結(jié)構(gòu)上的關(guān)鍵部件冗余設(shè)計(jì),并具有較高的千兆端口密度和分布層網(wǎng)絡(luò)設(shè)備性能,如數(shù)據(jù)包轉(zhuǎn)發(fā)水平,Qos,平安性等特性.4.4接入交換機(jī)對(duì)丁樓層接入,由丁xxxxx工程中分配線問(wèn)點(diǎn)數(shù)平■均分布在70-80個(gè)點(diǎn)問(wèn),首先接入交換機(jī)盡量采用高端口密度的交換機(jī)產(chǎn)品〔如48個(gè)10/100M接入端口〕,其次為提供端到端的網(wǎng)絡(luò)特性,接入交換機(jī)也應(yīng)具有較豐富的網(wǎng)絡(luò)特性和較高的網(wǎng)絡(luò)性能.具體表現(xiàn)在：交換性能提供快速數(shù)據(jù)轉(zhuǎn)發(fā),主要表達(dá)在接入交換機(jī)的背板容量和包轉(zhuǎn)發(fā)率等指標(biāo).網(wǎng)絡(luò)特性提供高性能的Qos限制水平,保證真正端到端的Qos水平,同時(shí)具有豐富的接入平安特性,如802.1X,基丁Mac地址的接入平安特性等.根據(jù)綜合布線系統(tǒng),對(duì)丁內(nèi)網(wǎng)和外網(wǎng),交換機(jī)數(shù)據(jù)端口可按布線點(diǎn)的一定比例配置,暫按布線量的60呱己置,如下表:外網(wǎng)數(shù)據(jù)點(diǎn)和交換機(jī)配置:內(nèi)網(wǎng)數(shù)據(jù)點(diǎn)和交換機(jī)配置：4.5廣域網(wǎng)接入防火墻在xxxxx工程中,防火墻用丁在互聯(lián)網(wǎng)接入和專(zhuān)網(wǎng)連接處,提供對(duì)內(nèi)網(wǎng)數(shù)據(jù)保護(hù),在防火墻的選擇上,主要應(yīng)考慮其平安特性,數(shù)據(jù)轉(zhuǎn)發(fā)性能等,平安特性指防火墻設(shè)備具備主流的平安策略〔如基丁包的動(dòng)態(tài)狀態(tài)判斷〕,提供主流的平安防護(hù)特性,同時(shí)在數(shù)據(jù)吞吐量,每秒可新建會(huì)話數(shù),總會(huì)話數(shù)方面具有良好的特性指標(biāo).路由器路由器在xxxxx工程中的定位是提供專(zhuān)網(wǎng)接入,產(chǎn)品選擇上應(yīng)和應(yīng)用相配合,當(dāng)xxxxx作為專(zhuān)網(wǎng)分支節(jié)點(diǎn)時(shí),只需路由器只需具備一定的數(shù)據(jù)包轉(zhuǎn)發(fā)率和較豐富的網(wǎng)絡(luò)特性即可,當(dāng)xxxxx作為專(zhuān)網(wǎng)中的中央節(jié)點(diǎn)時(shí),那么路由器還應(yīng)具有一定的廣域網(wǎng)端口密度和更高的數(shù)據(jù)包轉(zhuǎn)發(fā)性能和擴(kuò)展水平.4.6網(wǎng)絡(luò)治理系統(tǒng)網(wǎng)管系統(tǒng)也有助丁網(wǎng)絡(luò)系統(tǒng)的治理,網(wǎng)絡(luò)故障的迅速定位和排除,提升網(wǎng)絡(luò)的可用性.網(wǎng)管系統(tǒng)的主要功能應(yīng)包括拓?fù)渲卫?故障治理,配置治理和性能治理等功能.為提供良好的使用界面,網(wǎng)管系統(tǒng)應(yīng)提供圖形化設(shè)備和拓?fù)滹@示,可實(shí)時(shí)監(jiān)視設(shè)備流量,設(shè)備故障等多種信息.4.7信息平安治理信息平安治理是xxxxx工程中一個(gè)較重要的網(wǎng)絡(luò)應(yīng)用,它關(guān)系到網(wǎng)絡(luò)中各種重要數(shù)據(jù),應(yīng)用的平安性,直接影響xxxxx工程的正常運(yùn)作4.7.1網(wǎng)絡(luò)設(shè)備治理的平安性網(wǎng)絡(luò)設(shè)備訪問(wèn)的平安性,關(guān)系到網(wǎng)絡(luò)設(shè)備配置數(shù)據(jù)的平安性,如果網(wǎng)絡(luò)設(shè)備本身被非法訪問(wèn),非法入侵者將隨意修改設(shè)備配置,整個(gè)網(wǎng)絡(luò)將無(wú)平安性可言.網(wǎng)絡(luò)設(shè)備本身的安全性主要應(yīng)考慮良好的用戶認(rèn)證訪問(wèn)體系,網(wǎng)管數(shù)據(jù)傳輸?shù)钠桨残?首先對(duì)丁設(shè)備的訪問(wèn)可基丁中央用戶認(rèn)證系統(tǒng),這樣便丁大批量網(wǎng)絡(luò)設(shè)備的用戶認(rèn)證信息的維護(hù).其次網(wǎng)管數(shù)據(jù)應(yīng)加密傳輸,通常網(wǎng)管工作是通過(guò)網(wǎng)管軟件的SNMP簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議〕和Telnet遠(yuǎn)程登錄進(jìn)行,傳統(tǒng)的SNMPTelnet數(shù)據(jù)均通過(guò)明文傳輸,當(dāng)惡意用戶通過(guò)Sniffer等系統(tǒng)進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)時(shí),有可能截獲其數(shù)據(jù)包,從而獲得訪問(wèn)信息,因此所有設(shè)備的治理應(yīng)采用加密的網(wǎng)管方式進(jìn)行訪問(wèn).xxxxx工程的網(wǎng)管軟件應(yīng)采用SNMPV3,其定義丁RFC2271中,和SNMPvlSNMP湘上匕,SNMP淵加了三個(gè)新的平安機(jī)制：身份驗(yàn)證,加密和訪問(wèn)限制.由丁使用了私鑰〔privKey〕和驗(yàn)證密鑰〔authKey〕來(lái)實(shí)現(xiàn)加密,其平安性大大提升.對(duì)丁Telnet應(yīng)用,目前主要缺陷是：沒(méi)有口令保護(hù),遠(yuǎn)程用戶的登陸傳送的帳號(hào)和密碼都是明文,使用普通的sniffer都可以被截獲沒(méi)有強(qiáng)力認(rèn)證過(guò)程.只是驗(yàn)證連接者的帳戶和密碼.沒(méi)有完整性檢查.傳送的數(shù)據(jù)無(wú)法知道是否完整的,而不是被篡改正的數(shù)據(jù).傳送的數(shù)據(jù)都沒(méi)有加密.因此對(duì)丁Telnet應(yīng)用,應(yīng)采用SS協(xié)口密的方式,SSHR用了公鑰和密鑰相結(jié)合的方式,提升數(shù)據(jù)的平安性和完整性.4.7.2網(wǎng)絡(luò)設(shè)備的平安特性平安性是網(wǎng)絡(luò)設(shè)備較重要的特性,根據(jù)網(wǎng)絡(luò)設(shè)備的定位區(qū)別和應(yīng)用的部署,需要不同的平安策略.xxxxx工程中網(wǎng)絡(luò)中的應(yīng)用系統(tǒng)是復(fù)雜和多元化的,包括多媒體,辦公自動(dòng)化、業(yè)務(wù)系統(tǒng)系統(tǒng)等,其平安性要求各不相同,而對(duì)丁互聯(lián)網(wǎng)接入?yún)^(qū),也有專(zhuān)網(wǎng)接入,DMZ：網(wǎng)段等多個(gè)區(qū)域,因此應(yīng)對(duì)不同的平安區(qū)域設(shè)備不同的平安策略.互聯(lián)網(wǎng)接入和專(zhuān)網(wǎng)接入系統(tǒng)通過(guò)防火墻接入互聯(lián)網(wǎng),該局部的平安性主要表達(dá)在防火墻上的平安設(shè)置.系統(tǒng)通過(guò)路由器和專(zhuān)網(wǎng)連接專(zhuān)網(wǎng),其平安性表達(dá)在路由器,防火墻的多個(gè)區(qū)域平安信任關(guān)系的設(shè)置,具體策略設(shè)置