大型項(xiàng)目承載網(wǎng)組網(wǎng)方案

第一章承載網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)安防項(xiàng)目的網(wǎng)絡(luò)建設(shè)，一般包括業(yè)務(wù)網(wǎng)、外網(wǎng)兩個(gè)物理隔離網(wǎng)絡(luò)的建設(shè)，比如電力、金融、司法等行業(yè)，其中安防承載網(wǎng)是業(yè)務(wù)網(wǎng)的重要組成部分，將提供安防、監(jiān)控、應(yīng)急視訊以及未來涉密業(yè)務(wù)的接入；外網(wǎng)承載門戶網(wǎng)站、對外業(yè)務(wù)及信息公布。安防承載網(wǎng)主要考慮中心與接入層互連的冗余鏈路結(jié)構(gòu)，同時(shí)也要考慮到整體IT資源的統(tǒng)一監(jiān)控；互聯(lián)網(wǎng)需要考慮網(wǎng)絡(luò)安全接入、網(wǎng)絡(luò)安全可控等內(nèi)容。1.1安防承載網(wǎng)部分設(shè)計(jì)安防承載網(wǎng)系統(tǒng)建設(shè)目標(biāo)主要是運(yùn)用網(wǎng)絡(luò)管理手段實(shí)現(xiàn)安防系統(tǒng)、及相關(guān)工作信息管理的現(xiàn)代化。根據(jù)系統(tǒng)化、規(guī)范化、科學(xué)化和實(shí)用性、開放性的原則，提高安保工作的效率和質(zhì)量，為突發(fā)事件的處理提供依據(jù)。1.1.1設(shè)計(jì)原則總體要求系統(tǒng)設(shè)計(jì)應(yīng)充分考慮其相互間的獨(dú)立性和互連性，確保智能管理系統(tǒng)總體結(jié)構(gòu)的先進(jìn)性、開放性、合理性、兼容性和可擴(kuò)展性，使整個(gè)智能管理系統(tǒng)可以隨著信息技術(shù)的發(fā)展和進(jìn)步不斷得到充實(shí)和提高。?遵循實(shí)用性、先進(jìn)性、專業(yè)性、開放性、安全性、可靠性、集成性、經(jīng)濟(jì)性、可移植性、可操作性和可擴(kuò)展性。?充分考慮系統(tǒng)的分控和總控的控制和管理內(nèi)容、系統(tǒng)的優(yōu)化設(shè)置和它們之間的信息流通關(guān)系。?根據(jù)各個(gè)子系統(tǒng)的不同使用功能來考慮系統(tǒng)的設(shè)置和設(shè)計(jì)標(biāo)準(zhǔn)。?系統(tǒng)設(shè)置除考慮建設(shè)時(shí)的一次性投資外，還應(yīng)充分考慮系統(tǒng)的運(yùn)行成本，并使之達(dá)到最小化。?系統(tǒng)設(shè)計(jì)應(yīng)遵循全面規(guī)劃、統(tǒng)一設(shè)計(jì)的原則；設(shè)計(jì)應(yīng)全面、周到，注意預(yù)留余量，以適應(yīng)未來發(fā)展的需要。?綜合考慮網(wǎng)絡(luò)建設(shè)的擴(kuò)展性、安全性、可靠性，在有線網(wǎng)絡(luò)的基礎(chǔ)上，在某些不方便布線的局部區(qū)域，可考慮采用WiFi無線網(wǎng)絡(luò)或運(yùn)營商3G/LTE網(wǎng)絡(luò)，對整體承載網(wǎng)絡(luò)進(jìn)行必要的補(bǔ)充和完善。遵循原則系統(tǒng)總體建設(shè)是集數(shù)據(jù)、語音、監(jiān)控視頻于一體的工程，其設(shè)計(jì)是否合理將對未來發(fā)展以及產(chǎn)生的效益起著極為重要的作用。對于一項(xiàng)系統(tǒng)工程來說，其總體方案的確定，不僅要考慮近期目標(biāo)，還要為系統(tǒng)的進(jìn)一步發(fā)展和擴(kuò)充留有余地，應(yīng)當(dāng)考慮連接上級(jí)主管單位和其它兄弟單位信息網(wǎng)絡(luò)系統(tǒng)的長遠(yuǎn)發(fā)展，進(jìn)行統(tǒng)一的設(shè)計(jì)，必須考慮網(wǎng)絡(luò)的未來擴(kuò)展能力以及多廠商、多協(xié)議的支持能力。對于具體的項(xiàng)目，承載網(wǎng)絡(luò)設(shè)計(jì)進(jìn)所遵循的原則為：?網(wǎng)絡(luò)系統(tǒng)應(yīng)具有開放性和標(biāo)準(zhǔn)化，宜采用國際標(biāo)準(zhǔn)協(xié)議，保證不同系統(tǒng)的網(wǎng)絡(luò)能夠互連且簡單易行。比如建議采用標(biāo)準(zhǔn)ip傳輸協(xié)議及sip信令協(xié)議，并為今后開發(fā)多種業(yè)務(wù)應(yīng)用服務(wù)器提供通用接口。?網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性：當(dāng)今世界，通信技術(shù)和計(jì)算機(jī)技術(shù)的發(fā)展日新月異，應(yīng)考慮適應(yīng)新技術(shù)發(fā)展的潮流。局域網(wǎng)采用千兆主干帶寬，實(shí)現(xiàn)第三層多協(xié)議IP、IPX和IP多點(diǎn)傳送交換，使主干達(dá)到更高的傳輸速度。?網(wǎng)絡(luò)系統(tǒng)應(yīng)具有可靠性，一方面要根據(jù)實(shí)際情況，選用可靠且先進(jìn)的設(shè)備和技術(shù)來組織網(wǎng)絡(luò)，另一方面應(yīng)充分考慮網(wǎng)絡(luò)系統(tǒng)的容錯(cuò)能力，把故障率降到最低，保證網(wǎng)絡(luò)系統(tǒng)的安全可靠運(yùn)行。?網(wǎng)絡(luò)系統(tǒng)應(yīng)具有高性能的可擴(kuò)展性，應(yīng)采用模塊化設(shè)計(jì)，使系統(tǒng)易于擴(kuò)充，功能易于加強(qiáng)。系統(tǒng)應(yīng)支持各種高速網(wǎng)絡(luò)（快速以太網(wǎng)、千兆以太網(wǎng)），采用全系列交換產(chǎn)品，拓展網(wǎng)絡(luò)帶寬。所建成的承載網(wǎng)必須具有高帶寬、低延遲，大規(guī)模的網(wǎng)絡(luò)系統(tǒng)中并考慮支持第三層交換和VLAN功能。?網(wǎng)絡(luò)系統(tǒng)應(yīng)具有安全性，確保網(wǎng)絡(luò)的安全，可采用先進(jìn)的軟、硬件技術(shù)手段，在設(shè)備保障、口令保護(hù)、存取控制、審計(jì)管理、信息加密、計(jì)算機(jī)病毒防治等方面采用先進(jìn)的、科學(xué)的方法，為整個(gè)系統(tǒng)提供一個(gè)安全的運(yùn)行環(huán)境。?網(wǎng)絡(luò)系統(tǒng)應(yīng)具有實(shí)用性，應(yīng)根據(jù)項(xiàng)目及網(wǎng)絡(luò)系統(tǒng)的當(dāng)前及將來發(fā)展的需求設(shè)計(jì)網(wǎng)絡(luò)，同時(shí)又能充分利用現(xiàn)有的投資。?系統(tǒng)應(yīng)提供較好的系統(tǒng)和網(wǎng)絡(luò)管理工具，能夠在中心進(jìn)行統(tǒng)一的管理或者從遠(yuǎn)程進(jìn)行管理，并具有較好的錯(cuò)誤診斷，處理及快速故障恢復(fù)以及報(bào)警能力。 技術(shù)選擇以太網(wǎng)技術(shù)的應(yīng)用推廣和不斷發(fā)展，已經(jīng)從最初的10M、100M時(shí)代，發(fā)展到千兆時(shí)代，現(xiàn)在萬兆以太網(wǎng)的部署已經(jīng)成為一種趨勢。而且以太網(wǎng)技術(shù)不僅在園區(qū)網(wǎng)，而且在城域網(wǎng)、廣域網(wǎng)的建設(shè)上也占有了一席之地。因此選擇以太網(wǎng)組網(wǎng)，符合當(dāng)前技術(shù)發(fā)展的趨勢。網(wǎng)絡(luò)的骨干采用千兆以太網(wǎng)技術(shù)，核心層設(shè)備之間支持采用2個(gè)千兆雙絞線連接，啟用虛擬化技術(shù)。1.1.2承載網(wǎng)設(shè)計(jì) 組網(wǎng)描述安防承載網(wǎng)作為業(yè)務(wù)網(wǎng)的重要組成部分，其網(wǎng)絡(luò)的穩(wěn)定性、擴(kuò)展性、可靠性均直接影響整體業(yè)務(wù)網(wǎng)的承載質(zhì)量，因此在大規(guī)模安防系統(tǒng)承載網(wǎng)建設(shè)中，需要考慮中心與各接入層互連的冗余鏈路結(jié)構(gòu)，網(wǎng)管管理平臺(tái)建設(shè)、服務(wù)器平臺(tái)建設(shè)內(nèi)容。網(wǎng)絡(luò)建設(shè)的網(wǎng)絡(luò)拓?fù)淇煞譃閮蓚€(gè)層次：核心層網(wǎng)絡(luò)：核心層網(wǎng)絡(luò)由網(wǎng)絡(luò)中心核心節(jié)點(diǎn)組成；核心節(jié)點(diǎn)與接入層通過單模千兆光纖鏈路互聯(lián)，如果有上級(jí)主管視頻訪問和監(jiān)控需要，則一般考慮專網(wǎng)連接，保證上級(jí)主管單位可隨時(shí)瀏覽每一路視頻并能夠優(yōu)先控制和處理；2,接入層網(wǎng)絡(luò)：接入層按照接入方式分為兩類，一類連接辦公用業(yè)務(wù)信息

網(wǎng)的信息點(diǎn)，另一類連接安防系統(tǒng)及其下屬子系統(tǒng)的各IP信息點(diǎn)。監(jiān)控中心的核心交換機(jī)采用模塊化高端路由交換機(jī)，通過單模千兆鏈路和接入交換機(jī)連接；安防系統(tǒng)接入層節(jié)點(diǎn)采用千兆以太網(wǎng)交換機(jī)，通過千兆光纖鏈路和核心層的節(jié)點(diǎn)連接；監(jiān)控等信息點(diǎn)通過百兆鏈路連接接入層以太網(wǎng)交換機(jī)。監(jiān)控設(shè)備和辦公信息業(yè)務(wù)網(wǎng)設(shè)備接入采用不同Vlan甚至不同的交換機(jī)，使監(jiān)控網(wǎng)和業(yè)務(wù)網(wǎng)達(dá)到邏輯隔離的目的。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖:視頻監(jiān)控組網(wǎng)拓?fù)涫疽鈭DI監(jiān)控區(qū)域1 監(jiān)控區(qū)域2 監(jiān)控區(qū)域32 - 安防承載網(wǎng)設(shè)計(jì)詳細(xì)說明.1核心層核心層負(fù)責(zé)整個(gè)安防網(wǎng)絡(luò)的數(shù)據(jù)交換，同時(shí)也是整個(gè)監(jiān)控網(wǎng)絡(luò)的路由交換中心，全網(wǎng)絕大部分第三層的轉(zhuǎn)發(fā)交換都通過核心節(jié)點(diǎn)集中進(jìn)行，為保證核心節(jié)點(diǎn)的高可用性，核心節(jié)點(diǎn)配置冗余電源，支持采用雙機(jī)方式，它們之間通過GE速率鏈路捆綁實(shí)現(xiàn)全網(wǎng)狀互連，流量在捆綁的多條鏈路上負(fù)載分擔(dān)和備份。核心節(jié)點(diǎn)兩臺(tái)路由交換機(jī)構(gòu)成雙機(jī)冗余熱備結(jié)構(gòu)，達(dá)到無單點(diǎn)故障的目的。這樣任意核心節(jié)點(diǎn)都可以成為安防業(yè)務(wù)的主要匯總中心，核心節(jié)點(diǎn)與接入節(jié)點(diǎn)之間支持形成全冗余連接，以增強(qiáng)整體網(wǎng)絡(luò)的容錯(cuò)和故障隔離能力。核心交換機(jī)配置雙電源、雙引擎等關(guān)鍵部位的冗余組件，同時(shí)所有的接入層交換機(jī)各自通過光纖連接核心交換機(jī)，從而降低接入?yún)^(qū)域網(wǎng)絡(luò)中斷的影響。核心層交換機(jī)支持網(wǎng)絡(luò)運(yùn)行監(jiān)視功能，支持國際通過標(biāo)準(zhǔn)的IPFIX網(wǎng)流分析，可實(shí)現(xiàn)整網(wǎng)流量的可視化，方便網(wǎng)絡(luò)調(diào)整、優(yōu)化及故障定位。.2接入層承載網(wǎng)接入交換機(jī)，采用千兆上行，百兆接入的以太網(wǎng)交換機(jī)，提供兩種類型接入交換機(jī)，24口交換機(jī)和48口交換機(jī)。安防承載網(wǎng)接入交換機(jī)支持ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報(bào)文實(shí)施網(wǎng)絡(luò)中常見的“中間人”攻擊，接入層以太網(wǎng)交換機(jī)ARP入侵檢測功能和DHCPSnooping功能配合使用，可以對不符合DHCPSnooping動(dòng)態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報(bào)文直接丟棄。同時(shí)支持IPSourceCheck特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內(nèi)的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。另外，利用DHCPSnooping的信任端口特性還可以有效杜絕局域網(wǎng)內(nèi)用戶私設(shè)DHCP服務(wù)器，保證DHCP環(huán)境的真實(shí)性和一致性。交換機(jī)提供完善的端到端服務(wù)質(zhì)量保證（QoS）、靈活豐富的安全策略和基于策略的網(wǎng)絡(luò)管理。交換機(jī)支持端口安全特性可以有效防范基于MAC地址的攻擊?？梢詫?shí)現(xiàn)基于MAC地址允許/限制流量，或者設(shè)定每個(gè)端口允許的MAC地址的最大數(shù)量，使得某個(gè)特定端口上的MAC地址可以由管理員靜態(tài)配置，或者由交換機(jī)動(dòng)態(tài)學(xué)習(xí)。交換機(jī)支持集中式MAC地址認(rèn)證和802.1X認(rèn)證，支持用戶帳號(hào)、IP、MAC、VLAN、端口等用戶標(biāo)識(shí)元素的動(dòng)態(tài)或靜態(tài)綁定，同時(shí)實(shí)現(xiàn)用戶策略（VLAN、QOS、ACL）的動(dòng)態(tài)下發(fā)；支持配合對在線用戶進(jìn)行實(shí)時(shí)的管理，及時(shí)的診斷和瓦解網(wǎng)絡(luò)非法行為。.3數(shù)據(jù)平臺(tái)在數(shù)據(jù)平臺(tái)區(qū)域配置安防系統(tǒng)存儲(chǔ)設(shè)備，可實(shí)現(xiàn)重要數(shù)據(jù)的本地集中化的存儲(chǔ)和配置管理。部署視頻監(jiān)控平臺(tái)服務(wù)器、安防集成平臺(tái)服務(wù)器，集中錄像存儲(chǔ)設(shè)備，數(shù)據(jù)庫服務(wù)器，以及業(yè)務(wù)系統(tǒng)也可以部署在數(shù)據(jù)中心區(qū)。.4運(yùn)維平臺(tái)配置承載網(wǎng)的整體運(yùn)維管理系統(tǒng)，同時(shí)對整體的安防監(jiān)控平臺(tái)進(jìn)行統(tǒng)一的監(jiān)控管理。隨著信息化建設(shè)的推進(jìn)，為了讓凝聚了巨大人力物力投入的信息基礎(chǔ)設(shè)施發(fā)揮出其效益，保障整個(gè)信息系統(tǒng)的平穩(wěn)可靠運(yùn)行，需要有一個(gè)可從整體上對包括IP網(wǎng)絡(luò)，存儲(chǔ)，安全等組件在內(nèi)的IT基礎(chǔ)設(shè)施環(huán)境進(jìn)行綜合管理的平臺(tái)，并能夠提供業(yè)務(wù)系統(tǒng)運(yùn)行異常的實(shí)時(shí)告警和進(jìn)行圖形化問題定位，性能趨勢分析和預(yù)警，能夠基于關(guān)鍵業(yè)務(wù)系統(tǒng)的角度，以業(yè)務(wù)重要性為導(dǎo)向進(jìn)行事件處理和通知。由于信息系統(tǒng)是一個(gè)包括了眾多軟件，硬件技術(shù)，設(shè)計(jì)多廠家產(chǎn)品，從網(wǎng)絡(luò)，安全，存儲(chǔ)，計(jì)算到中間件和應(yīng)用的復(fù)雜異構(gòu)環(huán)境，而且隨著信息建設(shè)的深入和持續(xù)優(yōu)化和發(fā)展，這個(gè)復(fù)雜龐大的基礎(chǔ)設(shè)施，還會(huì)隨之不斷進(jìn)行演進(jìn)，在產(chǎn)品，技術(shù)和網(wǎng)絡(luò)結(jié)構(gòu)，業(yè)務(wù)關(guān)系上不斷發(fā)生變化，因此，要求針對該環(huán)境進(jìn)行管理的系統(tǒng)具有良好的可擴(kuò)展性，能夠?qū)⑾聦泳W(wǎng)絡(luò)和的復(fù)雜度有效的通過抽象屏蔽起來，向上層應(yīng)用和運(yùn)維流程開放穩(wěn)定的接口。利用基于統(tǒng)一信息模型的融合抽象建模技術(shù)和自動(dòng)發(fā)現(xiàn)技術(shù)，實(shí)現(xiàn)對全I(xiàn)P網(wǎng)絡(luò)中各種基于IP技術(shù)的基礎(chǔ)設(shè)施的自動(dòng)發(fā)現(xiàn)和資源化，基于統(tǒng)一信息模型，生成一個(gè)可管理，可重用的實(shí)時(shí)對象庫，并通過實(shí)時(shí)事件和同步技術(shù)，保持與實(shí)際管理對象的一致性。由于可以在統(tǒng)一的信息模型定義下，針對多廠商，多技術(shù)的基礎(chǔ)設(shè)施進(jìn)行抽象，從而為解決異構(gòu)基礎(chǔ)設(shè)施的融合難題奠定了關(guān)鍵的基礎(chǔ)，解決了對IP基礎(chǔ)環(huán)境的總體把握和全局理解的問題。在此基礎(chǔ)之上，進(jìn)一步的通過關(guān)鍵業(yè)務(wù)性能評(píng)估模型，以業(yè)務(wù)系統(tǒng)的重要性為導(dǎo)向，對業(yè)務(wù)系統(tǒng)所依賴的各種下層資源進(jìn)行具有服務(wù)優(yōu)先級(jí)差別的監(jiān)控和管理，讓管理人員可以實(shí)時(shí)的，針對影響關(guān)鍵業(yè)務(wù)和關(guān)鍵用戶的異常事件進(jìn)行優(yōu)先處理，并在問題發(fā)生的時(shí)候快速判斷其影響范圍和程度，通過圖形化手段快速制定最佳控制和問題解除方案。通過面向關(guān)鍵業(yè)務(wù)的基礎(chǔ)設(shè)施管理，讓IT投入的效益的到最大化的體現(xiàn)，并能夠在網(wǎng)絡(luò)和信息團(tuán)隊(duì)運(yùn)維資源有限的條件下，讓用戶按照其重要性體驗(yàn)到服務(wù)品質(zhì)的提升。在目前廣大用戶基于IP的網(wǎng)絡(luò)計(jì)算環(huán)境日益復(fù)雜和龐大，業(yè)務(wù)系統(tǒng)依賴的資源越來越難以掌控的背景下，能夠?yàn)镮T組織提供一個(gè)隨著IT環(huán)境變化不斷擴(kuò)展，但同時(shí)又能向上提供穩(wěn)定的管理接口和管理服務(wù)的抽象層中間件，屏蔽硬件的異構(gòu)性，降低管理復(fù)雜度，從而幫助用戶構(gòu)建可持續(xù)發(fā)展，高回報(bào)的IP計(jì)算環(huán)境，大大降低IT服務(wù)管理的復(fù)雜度，以可視化，對象化的方式實(shí)現(xiàn)IT環(huán)境透明化。網(wǎng)管系統(tǒng)可以實(shí)現(xiàn)功能如下：從關(guān)鍵業(yè)務(wù)系統(tǒng)重要性角度來管理下層IT資源交互性和可視性極強(qiáng)的管理界面智能靈活的告警管理能力多廠商復(fù)雜IP網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用組件自動(dòng)發(fā)現(xiàn)能力融合事件、流量、性能和安全信息的多維拓?fù)涑尸F(xiàn)能力智能性能指標(biāo)監(jiān)測和趨勢告警可視化的業(yè)務(wù)和資源建模能力1.1.3IP地址規(guī)劃ip地址的合理規(guī)劃是ip網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對ip地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。ip地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址分配原則內(nèi)部IP地址采用10.x.x.x或192.X.X.X私網(wǎng)IP地址接入的方式進(jìn)行建設(shè)。要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率?？蓴U(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性。靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。主流的IP地址規(guī)劃方案分為純公網(wǎng)地址、純私網(wǎng)地址和混合網(wǎng)絡(luò)地址三種。IP地址規(guī)劃方案對于相對固定不變的各區(qū)域可采用靜態(tài)分配ip地址，為防止地址盜用，采用ip地址與端口地址綁定；對于流動(dòng)性大、用戶人數(shù)多、用戶增長快的辦公區(qū)采用動(dòng)態(tài)分配IP地址，采用ByPort的Vlan，小范圍地限制地址盜用問題。靜態(tài)IP地址對于用戶來說可以實(shí)現(xiàn)對應(yīng)物理位置的查詢，對全網(wǎng)的IP地址與物理位置的對應(yīng)有全面、可靠的管理。對于服務(wù)器、網(wǎng)絡(luò)設(shè)備互連端口地址、設(shè)備Loopback地址建議使用靜態(tài)IP地址，而且各屬于不同的IP地址段，有利于骨干路由表的簡化與路由的快速處理。VLAN規(guī)劃建議每個(gè)物理區(qū)域設(shè)置為一個(gè)VLAN，每個(gè)部門和監(jiān)控區(qū)統(tǒng)一規(guī)劃整個(gè)機(jī)構(gòu)的VLAN資源。為了減小廣播域，建議VLAN終結(jié)在核心的三層交換機(jī)上，每個(gè)VLAN內(nèi)的主機(jī)數(shù)量原則上不要超過250臺(tái)，建議每個(gè)VLAN內(nèi)的IP設(shè)備機(jī)數(shù)量控制在50臺(tái)以內(nèi)。VLAN的劃分可以依據(jù)不同的業(yè)務(wù)部門進(jìn)行也可以依據(jù)安防設(shè)備所處網(wǎng)絡(luò)的物理結(jié)構(gòu)進(jìn)行，后者主要是從網(wǎng)絡(luò)性能角度出發(fā)，而前者還兼顧了安防承載網(wǎng)可控性的需要。根據(jù)安防設(shè)備的分布情況來看，在大部分情況下，兩者實(shí)現(xiàn)了重合，而對于少數(shù)由于地點(diǎn)不同，隔離在不同接入點(diǎn)的IP設(shè)備，推薦采用第一種方式。將端口分配給VLAN的方式有兩種，分別是靜態(tài)的和動(dòng)態(tài)的。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強(qiáng)制性地分配給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態(tài)映射到端口。這是將端口映射到VLAN的一種最通用的方法。動(dòng)態(tài)VLAN：建議使用802.1X實(shí)現(xiàn)動(dòng)態(tài)VLAN功能。VLAN常常被規(guī)劃用于對“資源訪問權(quán)限”的分組，不同的VLAN具有不同的訪問權(quán)限，每個(gè)VLAN內(nèi)有一個(gè)IP地址網(wǎng)段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權(quán)限。用戶權(quán)限數(shù)據(jù)一般存儲(chǔ)在網(wǎng)管軟件（后臺(tái)綜合訪問管理服務(wù)器）中，網(wǎng)管軟件根據(jù)用戶端的權(quán)限歸類，在認(rèn)證通過之后向二層交換機(jī)作動(dòng)態(tài)的VLANID下發(fā)配置。此時(shí)，二層交換機(jī)要支持VLAN的動(dòng)態(tài)配置功能。從廣播控制角度出發(fā)，為了保障網(wǎng)絡(luò)的高可用和高性能，建議在進(jìn)行具體VLAN規(guī)劃時(shí)，同一個(gè)廣播域內(nèi)（一個(gè)VLAN）的通信主機(jī)不要超過250臺(tái)，最好控制在50臺(tái)以內(nèi)，對于主機(jī)數(shù)量超過50的業(yè)務(wù)部門，可以通過二層隔離，三層交換的方式來解決。作為特殊VLAN的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網(wǎng)內(nèi)的每一臺(tái)交換機(jī)，但在第三層接口上，需要與其他業(yè)務(wù)VLAN進(jìn)行有效的隔離。網(wǎng)管工作站建議另外設(shè)置一個(gè)VLAN，例如VLANID=4000,VLAN4000與VLAN1在第三層上相通，同時(shí)，部分業(yè)務(wù)VLAN可以訪問VLAN4000，從而實(shí)現(xiàn)網(wǎng)管的分布式監(jiān)控布局。VLAN1和VLAN4000的第三層路由接口處設(shè)置訪問控制列表，只有特定的主機(jī)或者只有網(wǎng)管VLAN可以直接訪問每一臺(tái)設(shè)備，其他均在過濾之列。對于服務(wù)器建議單獨(dú)設(shè)置在一個(gè)VLAN中。1.1.4組播設(shè)計(jì)目前網(wǎng)絡(luò)中的流量可以區(qū)分為三大類，單播、多播和廣播，多播流量由于具有為特定一組用戶提供特定數(shù)據(jù)流的特性，最為適合支撐視頻點(diǎn)播、監(jiān)控等應(yīng)用，業(yè)界對于網(wǎng)絡(luò)多播技術(shù)的研究一直在不斷地發(fā)展與進(jìn)步中，目前得到廣泛應(yīng)用的多播技術(shù)主要有IGMPV1/V2/V3、PIM-SM/DM、DVMRP等。從網(wǎng)絡(luò)基礎(chǔ)上來說，流媒體根據(jù)壓縮的情況，需要占用網(wǎng)絡(luò)很多帶寬，而IP組播技術(shù)作為一種節(jié)省帶寬的網(wǎng)絡(luò)技術(shù)，最適合在流媒體應(yīng)用中使用。為了能保證安防承載網(wǎng)上設(shè)計(jì)IP組播，必須首先確認(rèn)網(wǎng)絡(luò)中的接入交換機(jī)支持IGMPSnooping,解決二層環(huán)境中的組播報(bào)文泛濫問題。其次，網(wǎng)絡(luò)核心必須支持PIM-SM、PIM-DM、IGMP，IGMP該協(xié)議是主機(jī)用來通知路由器或多層交換機(jī)他們相連的網(wǎng)絡(luò)的組播成員關(guān)系，以決定對組播流的轉(zhuǎn)發(fā);PIM以便軟件能夠轉(zhuǎn)發(fā)組播數(shù)據(jù)報(bào)文，并且生成組播路由表以及如何轉(zhuǎn)發(fā)組播數(shù)據(jù)報(bào)，保證了全網(wǎng)實(shí)施端到端的組播設(shè)計(jì)。具體實(shí)現(xiàn):核心交換機(jī)使用PIM-DM/SM協(xié)議，實(shí)現(xiàn)組播路由的產(chǎn)生匯聚。并實(shí)現(xiàn)組播流的維護(hù)，包括組播路由的優(yōu)化和組播流的分發(fā)。接入層的二層交換機(jī)，通過硬件設(shè)計(jì)實(shí)現(xiàn)組播流的偵聽，IGMP-Snooping，抑制組播流在二層網(wǎng)絡(luò)的泛濫，實(shí)現(xiàn)到特定的端口。組播服務(wù)器直接接在核心交換機(jī)上，完成為所有的用戶端提供相應(yīng)的組播數(shù)據(jù)流，交換機(jī)會(huì)對這些組播數(shù)據(jù)流進(jìn)行相應(yīng)的處理，最終發(fā)給用戶。1.2外網(wǎng)部分設(shè)計(jì)1.2.1整網(wǎng)設(shè)計(jì)外網(wǎng)網(wǎng)絡(luò)拓?fù)滢k公區(qū)域1 辦公區(qū)域21.2.2外網(wǎng)核心區(qū)設(shè)計(jì)外網(wǎng)的核心交換機(jī)放置在數(shù)據(jù)中心，通過以太網(wǎng)鏈路與辦公區(qū)域的接入交換機(jī)相連，建議使用千兆以太網(wǎng)鏈路。核心的作用就是為各個(gè)區(qū)域提供無阻塞的高速轉(zhuǎn)發(fā)，對于各區(qū)域之間的訪問控制策略建議部署在核心交換機(jī)上。在核心區(qū)部署一臺(tái)高性能交換機(jī)作為互聯(lián)網(wǎng)核心交換機(jī)，配置千兆光口負(fù)責(zé)與各區(qū)域的互聯(lián)，未防護(hù)網(wǎng)絡(luò)安全，可以在出口位置配置防火墻設(shè)備，本次可以考慮配置具備流控、安全審計(jì)、日志記錄等功能的防火墻設(shè)備。在辦公區(qū)域的各個(gè)樓層放置千兆以太網(wǎng)接入交換機(jī)，上行與核心交換機(jī)直接連接，下行百兆到桌面。隨著目前網(wǎng)絡(luò)的攻擊日益泛濫，對網(wǎng)絡(luò)的安全要求越來越高，以及越來越多對URL過濾的要求，因此應(yīng)采用一個(gè)高性能的千兆防火墻，以提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。提供了高性能的千兆防火墻設(shè)備，能提供外部攻擊防范、網(wǎng)絡(luò)安全、流量監(jiān)控、URL過濾、應(yīng)用層過濾等功能，有效的保證網(wǎng)絡(luò)的安全。提供對郵件、FTP、BBS等上網(wǎng)行為的審計(jì)功能，同時(shí)內(nèi)置的大容量硬盤可以對所有用戶的上網(wǎng)行為進(jìn)行日志記錄，保證網(wǎng)絡(luò)事件的可控和可追溯性。1.2.3外網(wǎng)用戶接入?yún)^(qū)設(shè)計(jì)部署千兆交換機(jī)作為外網(wǎng)接入?yún)^(qū)的接入交換機(jī)，為終端提供百兆接入服務(wù)。在接入交換機(jī)的選擇上考慮采用能提供千兆光電復(fù)用接口的交換機(jī)，主要是體現(xiàn)高帶寬、高安全的優(yōu)點(diǎn)：根據(jù)網(wǎng)絡(luò)實(shí)際使用環(huán)境，接入交換機(jī)交換機(jī)可同時(shí)支持Web認(rèn)證和802.1x認(rèn)證，對進(jìn)入網(wǎng)絡(luò)的用戶實(shí)行嚴(yán)格且靈活的控制，有效的防止非法用戶獲取網(wǎng)絡(luò)資源，充分保障合法用戶才能進(jìn)入網(wǎng)絡(luò)。通過對攻擊報(bào)文的判斷并對其限速甚至隔離，接入交換機(jī)交換機(jī)可輕松應(yīng)對針對交換機(jī)本身的攻擊行為，維護(hù)設(shè)備的穩(wěn)定，從而保證全網(wǎng)的穩(wěn)定，讓網(wǎng)絡(luò)永續(xù)的服務(wù)于應(yīng)用的開展，而帶來持續(xù)的價(jià)值。通過多種內(nèi)在的安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口靜態(tài)和動(dòng)態(tài)的安全綁定、端口隔離、多種類型的硬件ACL控制、基于數(shù)據(jù)流的帶寬限速、用戶接入控制的多元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求。通過將端口設(shè)為保護(hù)端口即可簡單方便地隔離用戶之間信息互通，保障了信息安全，同時(shí)不必占用VLAN資源。專用的硬件防范ARP網(wǎng)關(guān)和ARP主機(jī)欺騙功能，有效遏制了網(wǎng)絡(luò)中日益泛濫的ARP網(wǎng)關(guān)欺騙和ARP主機(jī)欺騙的現(xiàn)象，保障了用戶的正常上網(wǎng)。支持DHCPSnooping，可只允許信任端口的DHCP響應(yīng)，防止未經(jīng)管理員許可私自架設(shè)DHCPServer，擾亂IP地址的分配和管理，影響用戶的正常上網(wǎng)；并在DHCP監(jiān)聽的基礎(chǔ)上，通過動(dòng)態(tài)監(jiān)測ARP和檢查源IP，可有效防范DHCP動(dòng)態(tài)分配IP環(huán)境下的ARP主機(jī)欺騙和源IP地址的欺騙。基于源IP地址控制的Telnet和Web設(shè)備訪問控制，增強(qiáng)了設(shè)備網(wǎng)管的安全性，避免黑客惡意攻擊和控制設(shè)備。SSH（SecureShell）和SNMPv3可以通過在Telnet和SNMP進(jìn)程中加密管理信息，保證管理設(shè)備信息的安全性，防止黑客攻擊和控制設(shè)備，保護(hù)網(wǎng)絡(luò)免遭干擾和竊聽。通過內(nèi)在的多種安全機(jī)制可有效防止和控制病毒傳播和網(wǎng)絡(luò)流量攻擊，控制非法用戶使用網(wǎng)絡(luò)，保證合法用戶合理化使用網(wǎng)絡(luò)，如端口靜態(tài)和動(dòng)態(tài)的安全綁定、端口隔離、多種類型的硬件ACL控制（如專家級(jí)ACL、時(shí)間ACL等）、基于數(shù)據(jù)流的帶寬限速、用戶安全接入控制的多元素綁定等，滿足企業(yè)網(wǎng)、校園網(wǎng)加強(qiáng)對訪問者進(jìn)行控制、限制非授權(quán)用戶通信的需求?；A(chǔ)網(wǎng)絡(luò)保護(hù)（NFPP）通過將報(bào)文分類限速（管理類、轉(zhuǎn)發(fā)類、協(xié)議類），并對報(bào)文進(jìn)行攻擊監(jiān)測，雙重保障保護(hù)CPU和信道帶寬資源免受攻擊煩擾，保證報(bào)文的正常轉(zhuǎn)發(fā)以及協(xié)議狀態(tài)的正常，維護(hù)網(wǎng)絡(luò)的穩(wěn)定。支持生成樹協(xié)議802.1d、802.1w、802.1s，完全保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行和鏈路的負(fù)載均衡，合理使用網(wǎng)絡(luò)通道，提供冗余鏈路利用率；PortFast大大縮減了標(biāo)準(zhǔn)的30-50秒的生成樹協(xié)議收斂時(shí)間，而BPDUGuard功能則避免了生成樹協(xié)議環(huán)路的出現(xiàn)。1.2.4安全管理平臺(tái)設(shè)計(jì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)的建設(shè)完成，代表著網(wǎng)絡(luò)“鋪路”階段已經(jīng)告一段落，接下來的工作，就是如何豐富網(wǎng)絡(luò)的應(yīng)用，來讓這條寬闊的馬路上車水馬龍，物盡其用。而正是隨著越來越多的、越來越重要的應(yīng)用的上線，也使得網(wǎng)絡(luò)安全問題凸顯出來，非法訪問、病毒、攻擊、木馬、蠕蟲把網(wǎng)絡(luò)搞得烏煙瘴氣，辛辛苦苦鋪起來的路，正在被這些非法的數(shù)據(jù)所占據(jù)，而作為終端的計(jì)算機(jī)也正在飽受這些違法行為的侵害，重要數(shù)據(jù)被竊取，系統(tǒng)無法正常運(yùn)行，業(yè)務(wù)無法正常開展……為了解決這些問題，許多單位采購了大量的安全軟、硬件，筑起層層壁壘，但并不能真正的解決這些問題，相反，這些各自為戰(zhàn)的安全軟硬件反而給管理人員帶來了巨大的工作量，如何行之有效的解決網(wǎng)絡(luò)安全問題，并形成一套自動(dòng)、聯(lián)動(dòng)的解決方案，是每個(gè)網(wǎng)絡(luò)管理維護(hù)人員都想得到的法寶。安全管理平臺(tái)，致力于通過軟硬件聯(lián)動(dòng)、計(jì)算機(jī)與網(wǎng)絡(luò)聯(lián)動(dòng)的整體解決方案，通過傳統(tǒng)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備等硬件，配合后臺(tái)系統(tǒng)、客戶端等軟件，聯(lián)動(dòng)的實(shí)現(xiàn)了對于用戶身份、主機(jī)健康性以及網(wǎng)絡(luò)通信等多方面的保障，輕松實(shí)現(xiàn)“讓正確的人，使用健康的主機(jī)，訪問安全的網(wǎng)絡(luò)，做規(guī)范的事”的目標(biāo)。作為一套網(wǎng)絡(luò)訪問控制的解決方案，安全管理平臺(tái)可以幫助客戶實(shí)現(xiàn)從用戶身份管理、主機(jī)管理到網(wǎng)絡(luò)通信管理等多方面的功能?？梢园寻踩芾砥脚_(tái)的網(wǎng)絡(luò)安全三部曲與乘坐飛機(jī)的過程做一個(gè)比較。換登機(jī)牌是乘坐飛機(jī)的第一步，這個(gè)過程是要保證乘機(jī)人身份的正確性，乘機(jī)人需要出示他的有效證件來證明他的身份。安全管理平臺(tái)采用了基于802.1X協(xié)議和Radius協(xié)議的身份驗(yàn)證體系，通過與網(wǎng)絡(luò)交換機(jī)的聯(lián)動(dòng)，實(shí)現(xiàn)了對于用戶訪問網(wǎng)絡(luò)的身份的控制。同時(shí)，可以采用用戶名、密碼、用戶IP、用戶MAC、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口號(hào)、硬盤序列號(hào)等多達(dá)7個(gè)元素的靈活綁定，來保障用戶的身份正確性，更可以根據(jù)用戶身份的不同，來給用戶賦予靈活的網(wǎng)絡(luò)權(quán)限訪問控制，讓“經(jīng)濟(jì)艙”的用戶進(jìn)不了“頭等艙”。在完成換登機(jī)牌的值機(jī)過程后，乘客并不能直接登上飛機(jī)，還要經(jīng)過一個(gè)很重要的過程，那就是安檢，在這個(gè)過程中，乘客的一些違禁物品如刀具、爆炸物等都將被沒收，以保障飛機(jī)飛行的安全性。在安全管理平臺(tái)全局安全網(wǎng)絡(luò)體系中，用戶完成了身份認(rèn)證之后，將進(jìn)行主機(jī)端點(diǎn)防護(hù)的檢測和修復(fù)，簡單的說，就是對用戶用來上網(wǎng)的計(jì)算機(jī)的健康情況進(jìn)行檢測，檢測內(nèi)容包括用戶的軟件安裝情況、用戶的進(jìn)程啟用情況、用戶的后臺(tái)服務(wù)運(yùn)行情況、用戶的注冊表關(guān)鍵鍵值情況、用戶的Windows補(bǔ)丁更新情況、用戶的防病毒軟件運(yùn)行情況，甚至用戶的外連接口（光驅(qū)、軟驅(qū)、USB接口等）啟用情況。通過對這些元素的檢測，安全管理平臺(tái)有效的保障了用戶的主機(jī)的健康性，避免中毒的主機(jī)進(jìn)入網(wǎng)絡(luò)帶來病毒的瘋狂傳播，也及時(shí)的補(bǔ)全了主機(jī)的漏洞，避免用戶入網(wǎng)后遭到別的主機(jī)的攻擊。在對用戶的主機(jī)健康情況檢測完成后，安全管理平臺(tái)還能夠根據(jù)制定好的策略對用戶進(jìn)行自動(dòng)修復(fù)，來完善用戶的主機(jī)健康情況。完成安檢之后，乘客已經(jīng)可以登機(jī)了，但這并不表示乘客可以在飛機(jī)上為所欲為，在飛機(jī)上需要遵守飛行過程中的安全規(guī)定，例如不許使用移動(dòng)電話，不許吸煙等等。用戶在完成了身份認(rèn)證和主機(jī)端點(diǎn)防護(hù)之后，就可以接入網(wǎng)絡(luò)了，但用戶在網(wǎng)絡(luò)中的行為依然受到安全管理平臺(tái)全局安全網(wǎng)絡(luò)系統(tǒng)的管理和規(guī)范。通過與專業(yè)入侵檢測設(shè)備IDS的聯(lián)動(dòng)，安全管理平臺(tái)可以對用戶的網(wǎng)絡(luò)流量進(jìn)行分析，并通過內(nèi)置的安全事件庫對網(wǎng)路安全事件進(jìn)行及時(shí)的檢測和上報(bào)，并通過后臺(tái)系統(tǒng)的聯(lián)動(dòng)處理來自動(dòng)的處理發(fā)生的網(wǎng)絡(luò)安全事件。而通過后臺(tái)服務(wù)器、網(wǎng)關(guān)設(shè)備、接入設(shè)備與客戶端的多重聯(lián)動(dòng)而實(shí)現(xiàn)的ARP欺騙三重立體防御功能，更是安全管理平臺(tái)的拿手好戲，通過后臺(tái)服務(wù)器RG-SMP安全管理平臺(tái)作為可信的第三方，來向網(wǎng)關(guān)設(shè)備和客戶端提供可信的ARP信息，避免了由ARP協(xié)議本身的漏洞帶來的ARP欺騙現(xiàn)象的發(fā)生，解決了網(wǎng)絡(luò)管理人員的一大難題。雖說飛機(jī)是最安全的交通工具，但不怕一萬，就怕萬一，仍然會(huì)發(fā)生一些事故、空難，在發(fā)生了問題之后，除了救人之外，第一個(gè)要做的事情就是尋找黑匣子，這樣才能確切的知道當(dāng)時(shí)發(fā)生了什么事情，避免以后再次發(fā)生同樣的問題。從網(wǎng)絡(luò)安全的角度來說，同樣需要這樣一種“黑匣子”機(jī)制，那就是完善的審計(jì)功能，通過審計(jì)功能，我們可以知道哪些用戶在什么時(shí)間訪問了什么網(wǎng)站，發(fā)布了什么信息，包括郵件、即時(shí)通訊工具等，都可以納入審計(jì)的范圍，以便發(fā)生安全事件時(shí)的詳細(xì)追查。同時(shí)，對于通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行文件的傳遞，也可以納入審計(jì)的范圍，避免通過U盤或移動(dòng)硬盤將重要的數(shù)據(jù)泄漏出去，這種完善的審計(jì)功能，就是網(wǎng)絡(luò)安全的黑匣子。安全管理平臺(tái)全局安全解決方案通過軟硬件的聯(lián)動(dòng)、計(jì)算機(jī)層面與網(wǎng)絡(luò)層面的結(jié)合，從身份、主機(jī)、網(wǎng)絡(luò)等多個(gè)角度對網(wǎng)絡(luò)安全進(jìn)行監(jiān)控、檢測、防御和處理及審計(jì)，幫助用戶共同構(gòu)建身份合法、主機(jī)健康、網(wǎng)絡(luò)安全、行為規(guī)范的全局安全網(wǎng)絡(luò)。1.3安防安全防護(hù)部分設(shè)計(jì)1.3.1安全防護(hù)設(shè)計(jì)原則根據(jù)以往信息系統(tǒng)建設(shè)的經(jīng)驗(yàn)和要求，系統(tǒng)安全體系設(shè)計(jì)應(yīng)該遵守以下設(shè)計(jì)原則：可擴(kuò)展性原則：安全體系的設(shè)計(jì)必須考慮到未來發(fā)展的需要，具有良好的可擴(kuò)展性和良好的可升級(jí)性，充分保護(hù)當(dāng)前以及以后的投資和利益。實(shí)用性原則：安全體系能最大限度滿足當(dāng)前網(wǎng)絡(luò)現(xiàn)狀的需求，結(jié)合一般項(xiàng)目和網(wǎng)絡(luò)的實(shí)際情況，在對業(yè)務(wù)系統(tǒng)進(jìn)行設(shè)計(jì)和優(yōu)化的基礎(chǔ)上進(jìn)行設(shè)計(jì)。安全性原則：國家機(jī)關(guān)和政府部門對信息系統(tǒng)安全性的要求極其重要。使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過程中有具體的措施來充分保證其安全性。物理隔離原則：部分行業(yè)要求進(jìn)行不同網(wǎng)絡(luò)的物理隔離，如需要與互聯(lián)網(wǎng)進(jìn)行連接，必須使用物理隔離設(shè)備進(jìn)行互聯(lián)，嚴(yán)格控制信息交互?？煽啃栽瓌t：保證產(chǎn)品質(zhì)量和可靠性，對項(xiàng)目實(shí)施過程實(shí)現(xiàn)嚴(yán)格的技術(shù)管理和設(shè)備的冗余配置，保證系統(tǒng)的可靠性。先進(jìn)性原則：具體技術(shù)和技術(shù)方案應(yīng)保證整個(gè)系統(tǒng)具有技術(shù)領(lǐng)先性和持續(xù)發(fā)展性。可管理性原則：所有安全系統(tǒng)都應(yīng)具備在線式的安全監(jiān)控和管理模式。1.3.2安全設(shè)計(jì)方案安全設(shè)計(jì)除了常規(guī)的防火墻等網(wǎng)絡(luò)安全防護(hù)外，還包括機(jī)房的物理安全、數(shù)據(jù)庫的安全等方面。物理安全設(shè)計(jì)保證信息化系統(tǒng)各種硬件設(shè)備的物理安全是保障整個(gè)信息安全體系的前提工作，只有建立可靠的物理安全保障環(huán)境才能保證信息化平臺(tái)各種設(shè)備的良好運(yùn)行。我們需要從以下兩個(gè)方面設(shè)計(jì)物理層面的安全。1、 加強(qiáng)機(jī)房的安全建設(shè)UPS不間斷電源保護(hù)、靜電防護(hù)等，機(jī)房安全要求符合現(xiàn)有數(shù)據(jù)機(jī)房建設(shè)的標(biāo)準(zhǔn)要求。2、 設(shè)備安全措施在設(shè)備安全性方面，主要需要采用以下一些措施：＞外場設(shè)備采用具有高穩(wěn)定性、可靠性的產(chǎn)品，避免系統(tǒng)不受工作環(huán)境的影響；＞外場設(shè)備的設(shè)計(jì)及安裝要考慮防盜、自動(dòng)報(bào)警等功能；＞外場設(shè)備采用2級(jí)防雷；＞采用低輻射的設(shè)備，并對關(guān)鍵設(shè)備和線路進(jìn)行屏蔽設(shè)計(jì)或者是抗電磁干擾措施；具體物理設(shè)施安全可以參見本文的“機(jī)房設(shè)計(jì)”章節(jié)。網(wǎng)絡(luò)安全設(shè)計(jì)在網(wǎng)絡(luò)安全設(shè)計(jì)中，將重點(diǎn)考慮訪問控制、防火墻等安全措施?？梢愿鶕?jù)信息系統(tǒng)網(wǎng)絡(luò)運(yùn)行狀況及建設(shè)實(shí)際需要進(jìn)行分期分步部署，逐步加強(qiáng)網(wǎng)絡(luò)的安全防護(hù)能力。1、訪問控制ACL（AccessControlList，訪問控制列表）可以通過配置對報(bào)文的匹配規(guī)則和處理操作來實(shí)現(xiàn)包過濾的功能。通過對報(bào)文進(jìn)行過濾，可以有效防止非法用戶對網(wǎng)絡(luò)的訪問，同時(shí)也可以控制流量，節(jié)約網(wǎng)絡(luò)資源，以保證網(wǎng)絡(luò)資源的合理控制和分配。ACL通過一系列的匹配條件對報(bào)文進(jìn)行分類，這些條件可以是報(bào)文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口號(hào)等。網(wǎng)絡(luò)建設(shè)采用的接入交換機(jī)和核心交換機(jī)都支持豐富的ACL訪問控制功能，可以很方便地在網(wǎng)絡(luò)中進(jìn)行訪問控制的規(guī)劃，達(dá)到一定的安全控制功能。2、防火墻防火墻作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)安全策略控制出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器、限制器和分析器，可以有效監(jiān)不同安全網(wǎng)絡(luò)之間的任何活動(dòng)。防火墻在網(wǎng)絡(luò)間實(shí)現(xiàn)訪問控制，比如一個(gè)是用戶的安全網(wǎng)絡(luò)，稱之為'被信任應(yīng)受保護(hù)的網(wǎng)絡(luò)’，另外一個(gè)是其它的非安全網(wǎng)絡(luò)稱為'某個(gè)不被信任并且不需要保護(hù)的網(wǎng)絡(luò)’。防火墻就位于一個(gè)受信任的網(wǎng)絡(luò)和一個(gè)不受信任的網(wǎng)絡(luò)之間，通過一系列的安全手段來保護(hù)受信任網(wǎng)絡(luò)上的信息。1.4網(wǎng)絡(luò)安全設(shè)備要求1.4.1內(nèi)網(wǎng)核心交換機(jī)（RG-S8606）序號(hào)參數(shù)指標(biāo)要求1.★背板帶寬31.5T2.★包轉(zhuǎn)發(fā)率3590Mpps3.支持冗余引擎、冗余電源支持4.★滿配主控引擎后，業(yè)務(wù)插槽數(shù)（為機(jī)箱物理槽位，非母卡承載的子卡槽位）34支持5.★支持IPFIX技術(shù)（國際標(biāo)準(zhǔn)），多業(yè)務(wù)卡實(shí)現(xiàn)萬兆性能，提供官方網(wǎng)站鏈接證明和截圖證明，為防止虛假應(yīng)標(biāo)保留測試權(quán)力支持6.★具備硬件CPU保護(hù)技術(shù)，提供官方網(wǎng)站鏈接證明和截圖證明支持7.★主機(jī)自帶顯示屏，可直接顯示設(shè)備當(dāng)前運(yùn)行狀態(tài)等信息支持8.支持硬件虛擬化模塊，通過虛擬化模塊可以將2臺(tái)物理設(shè)備虛擬化為一臺(tái)邏輯設(shè)備,提供產(chǎn)品模塊型號(hào)和產(chǎn)品模塊資料，并提供國家權(quán)威測試機(jī)構(gòu)測試報(bào)告作為證明。支持9.引擎外置USB接口，便于擴(kuò)展存儲(chǔ)配置文件、日志系統(tǒng)等支持10.支持RIPv1/v2、OSPF、BGP、VRRP、硬件方式實(shí)現(xiàn)策略路由；支持

11.支持硬件IPv6數(shù)據(jù)處理和轉(zhuǎn)發(fā)，支持IPv6單播路由、ACLforIPv6、ICMPv6、DHCPv6等支持12.支持SP、RR、WRR、DRR、SP+WRR、SP+DRR等多種QoS隊(duì)列調(diào)度算法支持13.支持802.1d/w/s、支持ECMP、WCMP擴(kuò)展路由技術(shù)支持14.★投標(biāo)設(shè)備應(yīng)具有自主技術(shù)，能保證設(shè)備在開啟大容量ACL情況下的一、三層轉(zhuǎn)發(fā)性能均能達(dá)到萬兆線速，提供國家級(jí)別權(quán)威測試機(jī)構(gòu)報(bào)告作為證明材料。支持15.★提供公安部對防火墻板卡的測試報(bào)告提供16.項(xiàng)目配置如下：2塊管理引擎，2塊交流電源模塊，1塊24口千兆電口及12口千兆光口復(fù)用線卡，2塊24口SFP千兆光口線卡，41塊千兆兆光纖模塊配置1.4.2內(nèi)網(wǎng)接入交換機(jī)(RG-S3250E)序號(hào)指標(biāo)項(xiàng)目要求1. ★24端口交換機(jī)固化百兆端口324;固化千兆端口3248端口交換機(jī)固化百兆端口348;固化千兆端口32支持2.提供擴(kuò)展槽，可進(jìn)行2端口千兆光電模塊的擴(kuò)展或堆疊擴(kuò)展支持3.★交換容量332G4.★24端口交換機(jī)包轉(zhuǎn)發(fā)率312Mpps48端口交換機(jī)包轉(zhuǎn)發(fā)率316Mpps支持5.可創(chuàng)建VLAN的數(shù)量340006.MAC地址表316K7.支持鏈路聚合支持8.支持SPAN\RSPAN支持9.支持硬件CPP技術(shù)(CPU保護(hù)策略CPUProtectPolicy)支持10.★交換機(jī)同一端口能夠同時(shí)啟用802.1X和Web準(zhǔn)入功能，提供第三方安全特性專項(xiàng)權(quán)威測試報(bào)告證明文件支持11.★交換機(jī)支持抗攻擊能力，支持CPU報(bào)文限速，能夠限制非法的報(bào)文對CPU的攻擊，提供第三方安全特性專項(xiàng)權(quán)威測試報(bào)告證明文件支持12.★交換機(jī)支持防攻擊能力，支持端口ACL配置，支持防IP防掃描攻擊、防ARP攻擊等功能，提供第三方安全特性專項(xiàng)權(quán)威測試報(bào)告證明文件支持13.★交換機(jī)準(zhǔn)入功能，交換機(jī)抗攻擊功能，交換機(jī)防攻擊功能能夠同時(shí)啟用，相互不會(huì)沖突、制約，提供第三方安全特性專項(xiàng)權(quán)威測試報(bào)告證明文件支持14.支持IPv6協(xié)議及編址結(jié)構(gòu)、DNSclientv6、DHCPv6snooping、DHCPv6Client、SNMPoverIPv6、Ping/tracerouteforIPv6提供15.★與核心交換機(jī)同品牌支持

1.4.3內(nèi)網(wǎng)網(wǎng)絡(luò)管理平臺(tái)（RG-SNC-Pro智能網(wǎng)絡(luò)指揮官）序號(hào)參數(shù)指標(biāo)要求1.★支持對出口路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理支持2.可以對設(shè)備及定制好的分組進(jìn)行導(dǎo)入導(dǎo)出操作支持3.★可呈現(xiàn)所見即所得的設(shè)備面板，并在面板頁面直接對設(shè)備進(jìn)行操作支持4.界面上實(shí)現(xiàn)對交換設(shè)備VLAN劃分的圖形化配置工作支持5.界面上實(shí)現(xiàn)對設(shè)備端口的綁定支持6.可通過多種方式檢測設(shè)備連通狀態(tài)，并提供報(bào)告支持7.★支持定時(shí)抓取設(shè)備的配置文件，同步到管理組件服務(wù)器支持8.★可以比較配置變更并通知管理員支持9.★可以對多臺(tái)設(shè)備進(jìn)行批量的設(shè)備軟件升級(jí)，提供官網(wǎng)截圖證明（截圖需包含URL鏈接地址），并加蓋廠商公章支持10.★可以對網(wǎng)內(nèi)使用的設(shè)備軟件版本號(hào)進(jìn)行統(tǒng)計(jì)，提供官網(wǎng)截圖證明（截圖需包含URL鏈接地址），并加蓋廠商公章支持11.可以分析映射表表，發(fā)現(xiàn)異常并通知管理員支持12.★提供軟件登記證、軟件著作權(quán)登記證提供13.★項(xiàng)目配置：提供50臺(tái)網(wǎng)絡(luò)設(shè)備的管理權(quán)限配置14.★為便于統(tǒng)一管理，與核心交換機(jī)同品牌支持1.4.4內(nèi)網(wǎng)IT運(yùn)維管理平臺(tái)序號(hào)指標(biāo)項(xiàng)目要求1.★能夠自動(dòng)發(fā)現(xiàn)或手工，依據(jù)各應(yīng)用系統(tǒng)的邏輯依存關(guān)系，以適當(dāng)方式顯示包括應(yīng)用程序、服務(wù)程序、操作系統(tǒng)、數(shù)據(jù)庫、物理服務(wù)器、SAN存儲(chǔ)之間的邏輯關(guān)系支持2.★能夠支持基于JDBC，HTTP，TELNET等訪問方式的應(yīng)用系統(tǒng)響應(yīng)仿真監(jiān)測支持3.★能夠從仿真監(jiān)測界面直接關(guān)聯(lián)到相關(guān)的網(wǎng)絡(luò)和應(yīng)用資源的運(yùn)行指標(biāo)狀態(tài)，進(jìn)行相關(guān)性分析支持4.★能夠通過圖形化建模方式將IT資源（網(wǎng)絡(luò)，服務(wù)器，應(yīng)用）組合成業(yè)務(wù)應(yīng)用，并提供業(yè)務(wù)整體健康度、繁忙程度評(píng)估指標(biāo)的監(jiān)測和視圖，報(bào)表。支持

序號(hào)指標(biāo)項(xiàng)目要求5.★能夠以多維視圖透視應(yīng)用系統(tǒng)：網(wǎng)絡(luò)層，計(jì)算層，應(yīng)用層，邏輯層（以網(wǎng)絡(luò)層、計(jì)算層、應(yīng)用層的角度分層顯示承載業(yè)務(wù)的IT資源，并可定義跨層間的依賴關(guān)系。）支持6.★能夠提供網(wǎng)絡(luò)實(shí)時(shí)鏈路上下行流量染色圖，給不同負(fù)載的鏈路顯示不同的顏色，并直接顯示鏈路占用率數(shù)值。支持7.★依據(jù)系統(tǒng)各組成部分的運(yùn)行狀態(tài)數(shù)據(jù)標(biāo)識(shí)其繁忙度及某一設(shè)備發(fā)生故障后的影響，并以適當(dāng)方式通知管理與值班人員支持8.能夠進(jìn)行靈活的管理員權(quán)限控制，可以自定義角色，并為角色指定可使用的功能，可看到的資源（網(wǎng)絡(luò)，系統(tǒng)），可查看的視圖，以及讀寫權(quán)限支持9.能夠進(jìn)行二層網(wǎng)絡(luò)的自動(dòng)發(fā)現(xiàn)，支持CDP，HDP等發(fā)現(xiàn)協(xié)議支持10.能夠靈活選擇拓?fù)鋱D的任意部分生成新的視圖，并通過權(quán)限控制給特定的管理員查看支持11.能夠進(jìn)行三層網(wǎng)絡(luò)的自動(dòng)發(fā)現(xiàn)，支持在拓?fù)鋱D上同時(shí)顯示三層和二層鏈路支持12.★能夠基于拓?fù)鋱D用圖形方式定義管理域，并定義管理域的邊界安全設(shè)備，然后能夠?qū)@些邊界安全設(shè)備的狀態(tài)進(jìn)行監(jiān)測支持13.能夠圖形方式定義資源和業(yè)務(wù)系統(tǒng)的安全等級(jí)，并能夠通過業(yè)務(wù)系統(tǒng)的安全等級(jí)自動(dòng)計(jì)算所關(guān)聯(lián)的資源的安全等級(jí)支持14.能夠接收和管理資源相關(guān)的安全事件支持15.能夠定義業(yè)務(wù)的相關(guān)用戶組，并指定用戶組的重要性支持16.能夠在同一界面中呈現(xiàn)業(yè)務(wù)用戶，業(yè)務(wù)系統(tǒng)運(yùn)行狀態(tài)和網(wǎng)絡(luò)資源的實(shí)時(shí)狀態(tài)支持17.以安全設(shè)備為邊界，對網(wǎng)絡(luò)Topo劃分安全域，對安全域邊界進(jìn)行監(jiān)控支持18.對用戶的網(wǎng)絡(luò)Topo圖劃分安全域，自動(dòng)新增節(jié)點(diǎn)，手動(dòng)新增、刪除節(jié)點(diǎn)支持19.直觀顯示業(yè)務(wù)系統(tǒng)的健康度、繁忙度、告警信息（業(yè)務(wù)概況中）支持20.★監(jiān)控業(yè)務(wù)系統(tǒng)IT資源的構(gòu)成分層；業(yè)務(wù)構(gòu)成直觀的查看業(yè)務(wù)系統(tǒng)的運(yùn)行架構(gòu)，包括組成業(yè)務(wù)系統(tǒng)的所有IT資源，這些資源依據(jù)在業(yè)務(wù)系統(tǒng)的架構(gòu)關(guān)系，被分在三層（應(yīng)用層、計(jì)算層、網(wǎng)絡(luò)層）支持21.★監(jiān)控業(yè)務(wù)系統(tǒng)IT資源的依賴關(guān)系；業(yè)務(wù)系統(tǒng)構(gòu)成頁面中，依據(jù)依賴關(guān)系建立資源之間的連接，業(yè)務(wù)系統(tǒng)Topo圖連線體現(xiàn)資源之間的依賴關(guān)系，可依用戶需要添加或刪除支持22.用戶可依據(jù)需要選擇業(yè)務(wù)系統(tǒng)要監(jiān)控的資源、資源的部件、部件的指標(biāo)以及指標(biāo)的權(quán)重支持23.檢查業(yè)務(wù)系統(tǒng)URL服務(wù)的狀態(tài)支持24.★為便于統(tǒng)一管理，與核心交換機(jī)同品牌支持1.4.5外網(wǎng)核心交換機(jī)（RG-S5760）序號(hào)指標(biāo)項(xiàng)目要求

1.★固定端口總數(shù)332個(gè)，其中至少24個(gè)千兆電口，至少8個(gè)千兆SFP光電復(fù)用口支持2.★包轉(zhuǎn)發(fā)率3150Mpps3.★萬兆擴(kuò)展槽數(shù)324.★要求設(shè)備支持冗余電源支持5.支持萬兆端口匯聚，支持聚合萬兆端口數(shù)34支持6.設(shè)備支持OSPFv2,OSPFV3,BGP4,BGP4+,ISIS,在官網(wǎng)有宣傳可查證，提供廠商總部網(wǎng)址鏈接，且招標(biāo)人保留對該指標(biāo)的測試權(quán)利。支持7.支持IPv6靜態(tài)路由、手工隧道、自動(dòng)隧道、PBR、IPv4OverIPv6等IPv6路由協(xié)議支持8.支持DHCP/BOOTPClient，DHCPServer，DHCPRelay，DHCPSnooping，DHCPSnoopingTrust，DHCPv6Server，DHCPv6Snooping支持9.★支持雙向轉(zhuǎn)發(fā)檢測協(xié)議BFD。支持BFD與OSPF、LDP、PBR聯(lián)動(dòng)，在官網(wǎng)有宣傳可查證，提供廠商總部網(wǎng)址鏈接，招標(biāo)人保留對該指標(biāo)的測試權(quán)利支持10.支持時(shí)間ACL、支持單向輸入方向ACL和單向輸出方向ACL，IPv6ACL,以便于靈活實(shí)現(xiàn)數(shù)據(jù)包過濾支持11.支持在網(wǎng)絡(luò)繁忙情況的拓?fù)浔Ｗo(hù)技術(shù)支持12.支持WEB準(zhǔn)入認(rèn)證m功能，提供國家權(quán)威測試機(jī)構(gòu)的測試報(bào)告支持13.支持802.1x認(rèn)證，同一端口支持同時(shí)啟用802.1x和web準(zhǔn)入功能，提供國家權(quán)威測試機(jī)構(gòu)的測試報(bào)告支持14.支持CPU報(bào)文限速，限制非法的報(bào)文對CPU攻擊，官網(wǎng)上有宣傳，可公開查詢，提供國家權(quán)威測試機(jī)構(gòu)的測試報(bào)告提供15.支持PIM-DM，PIM-SM，DVMR，PIM-SSM、PIM-SMforipv6,PIM-DMforipv6支持16.支持SNTP協(xié)議，支持Radiusv6、Tacacs+v6、SSHv6支持17.提供投標(biāo)產(chǎn)品IPv6Ready第一階段和第二階段認(rèn)證，并出具證明材料提供18.★為便于統(tǒng)一管理，與核心交換機(jī)同品牌支持1.4.6外網(wǎng)接入交換機(jī) (RG-S1924GT)序號(hào)指標(biāo)項(xiàng)目要求1.★固化百兆端口324;固化千兆端口34支持2.提供擴(kuò)展槽，可進(jìn)行2端口千兆光電模塊的擴(kuò)展或堆疊擴(kuò)展支持3.★交換容量332G4.★包轉(zhuǎn)發(fā)率314Mpps支持

5.可創(chuàng)建VLAN的數(shù)量340006.MAC地址表316K7.支持鏈路聚合支持8.支持SPAN\RSPAN支持9.支持硬件CPP技術(shù)（CPU保護(hù)策略CPUProtectPolicy）支持10.★交換機(jī)同一端口能夠同時(shí)啟用802.1X和Web準(zhǔn)入功能，提供第三方安全特性專項(xiàng)權(quán)威測試報(bào)告證明文件支持11.★交換機(jī)支持抗攻擊能力，支持CPU報(bào)文限速，能夠限制非法的報(bào)文對CPU的攻擊，提供第三方安全特性專項(xiàng)權(quán)威測試報(bào)告證明文件支持12.★交換機(jī)支持防攻擊能力，支持端口