1、目 录项目概况- 1 -1项目背景 11。2建设目标- 1-1.3工程范围 1-1.4网络信息点位分布与数量表- 12总体设计3 2。1设计依据- -2.2设计原则 3 网络系统- 5 3。1网络协议的选择 5 -3。网络技术选择- -3.。1LAN(Viral LANs)- -3。2。三层交换技术6 32.VRRP- 7 3.。其它网络技术 8 3。3网络设计概要 8 -3.网络的分层设计 34.1核心层 3.4.2汇聚层 9 3。4。3接入层 1 3。4。4选用华为CO的网络设备- 0 3.4.5网络规划 1 5网络拓扑图- 4 -3。6网络冗余设计6-3。7路由规划 -.8应用VRR技术2、 28 3.9选择组播协议 31 -.10VL规划 33 3.11IP地址分配原则- 33 3。1.1内网IP分配规划-343。11。2外网分配规划 34 -3.12本设计方案的特点 35 3.。1完全的分布式的处理方式- 35 -3。1.2核心交换机先进的体系架构设计- 35 31。3基于流攻击的防止- 33。12.QO功能 35 。2。5广播风暴的抑止- 36 -12。6高可用性保障 6 网管管理系统 364。网络管理的重要性3 4。管理系统的总体设计-7 4。3华为3m网络管理解决方案 37 -4.3。1产品特点7 -4。.2典型组网应用41 -4.4用户的安全接入管理- 41 5网络系3、统安全特性 42-51配置IDS 425.2网络病毒的诊断2 5.协议的安全性-42 -5.3.1应用服务协议的安全- 42 5。3。2路由协议的安全 3 533网管SNMP的安全性 43 5。网络设备的安全性- 4 -5.4。1控制口cole的控制-4 5.。2远程登录lne 的控制 44 -5。5限制外网B业务流量 44 5.6多元绑定技术的应用7 -5.6。网络安全特征 5。.2可用绑定技术规划高安全的网络 45。7防止对DCP服务器的攻击 5.7.1Prvate VLN 52 5.7.2访问控制列表3 .7.新的命令53-5。8恶意用户追查-53-5。防病毒攻击-53 5。1防止DS攻4、击- 54 5。9.2防止基于流的攻击特性54 -5。9.3防止病毒的广播传递- 56网络入侵检测 6 6。1入侵检测系统在外网网络的作用 56.1.在外网建设入侵检测系统的必要性 56 6.本系统外网络入侵检测产品选型 59-62。1网络入侵检测技术简介-59 -6.。网络入侵检测技术分析 6.。网络入侵产品选型 6.3网络入侵检测产品部署65 6。1NeEyS部署建议 5 6.2NeEy IDS的集中管理 66 6。3.NetEy IDS的系统结构 676.3。4eyeID的配置清单- -。网络入侵检测产品扩展及建议686。4。1tEye ID平滑扩展8 -6。4.2NetEe IDS安全5、联动 6-6。5NetEyeIDS优势介绍 69 网络防病毒 72 7.1计算机病毒发展和入侵途径分析 72-7。11计算机病毒的发展趋势- 72 7.。2病毒入侵渠道分析 73 -7.2本系统外网网络防病毒技术要求 4-7.网络防病毒需求分析 76-7。4防病毒解决方案- 78 741设计思想-8 。2防病毒规划- 7 7。4.3部署产品 79 -7。4.4部署示意 79 7.5部署防病毒系统实现的效果 80-7.5网络版防毒系统介绍 817。5。网络版产品简介 81 5.网络版系统需求 82-7。网络版部署方式 3 7.4网络版管理方式 84 -7.。5网络版升级方式- 4 7。5。6网络6、版功能特色 -8设备安装场地及环境要求 92 81机房的选址建议要求 92 8.2机房的建筑建议要求 2-8.3网络设备工作环境的要求 9 -.3。温度和湿度要求 -.3.洁净度要求- 94.。防静电要求- 4 。.4电磁环境要求 5 -8。5防雷击要求 5 8.3。6抗干扰要求 9-8。3.7照明要求- -实施方案- 97 -9。1总体实施规划7-9.2工程界面98 93工程实施组织结构和分工 994项目实施计划编制和文档修改控制100 .5工程协调会和工程进度安排 2 9。6项目实施109.安装准备- 107 .6。2到货检查 107 -9.。3设备安装检验- 08 -9.6。4连通性和系7、统完整性测试- 1 .。5系统测试和验收 1109。6培训 10 9.6。实施总结 1119。.售后维护1 6.过程监控11 9.项目质量保证计划 112 。工程文档- 11 10验收方案- 11 -10。1验收的方法与步骤 1 10。验收测试标准15 10。3验收测试流程115 10。整体系统验收16 0。5检测方法与目的 8 -1.。1设备到货验收 8 10。.2初验收22 -0.。3系统终验1 11培训方案 126 1.1培训目的- 12611.的培训优势-6-112华为3OM培训机构简介-129 1.21培训理念 129 1.2总体介绍12 11。培训师资 130 11。2。课程设计 8、13011.5中高端路由器产品培训项目-13 1.3本项目培训计划 14 -11。.1现场培训 34-113。国内技术培训 1 -12质保和售后服务- 10 12.1公司技术服务的优势10 12。2公司的服务承诺 14 -1。3华为3COM的服务承诺141 -。3。1技术服务-141 -2.3。2技术支持 1412.3。3备件以及设备维保- 143 1。4趋势科技的售后服务 43 12。4。1技术支持部分 143124。2自动升级服务1312.4.新版本更新权利-14412服务体系简介- 14 1。5。1服务架构 14 -1。5。服务范围及程度-146-v1 项目概况1.1 项目背景目前，XX9、X办公大楼改造已进入工程实施阶段，即将建成。届时、和#楼将通过光纤链路和综合布线系统进行组网，实现的办公内部网络为充分发挥X办公大楼的作用,有必要在楼内进行办公网络联网建设,实现真正意义上的内部网络连接，同时建设于内网完全物理隔离的办公外网,提高办公自动化程度，进一步加速和推进的信息化建设。通过与工程技术人员进行详细的技术交流并到办公大楼现场考察，在充分理解用户方需求的基础上,提出本设计方案。1.2 建设目标在XX办公大楼综合布线系统的基础上，建立起联系3座办公楼内的所有单位内部办公网络和外部办公网络,集信息收集、传递、发布等多功能为一体,可用图、文、声、像等多媒体方式进行信息交互的专用办公内10、网。可以实现部属机关内部的互联互通、数据传输，使信息交互的实效性更加增强，提高可靠性和信息化办公程度，从而降低总体办公费用.1.3 工程范围本次网络工程范围是1#、2#、3三栋办公楼，总建筑面积约为650平米。每栋大楼均有两个独立的弱电竖井,本次改造要求内网、外网之间物理隔离,内网、外网由弱电竖井分别置各层。本大楼的功能定位对数据通信有较高的要求，因此垂直主干设1芯多模光缆,水平布线全面采用6类线缆。重点部分区域建议光纤到桌面。内网、外网网络机房均设在3#楼层。1.4 网络信息点位分布与数量表#2#3#楼网络信息点位分布与数量表楼号楼层网络信息点数量光网点内网点外网点1#10985F1384711、7F136F6128131571242 4F1091433F9008F9729F646地下1F04地下2F02#73197521312F37391F10185810F020210F6173168F10207207F17317F61731765617314F13163F181862F1129321F69地下1F911地下2F47491#85258F5157F186886F512217F513204F17253F1862761017142地下1055地下2F2626合计27321233922 总体设计2.1 设计依据l 信息化网络集成项目比选文件；l 国内国际信息化建设相关标准和规范；l 政府、企12、业网络建设方面的丰富的经验.2.2 设计原则我们在进行总体设计和设备选型时遵循以下设计原则：（1） 可靠性高可靠性是大楼智能化的重要标准.采用先进的设计思想,提供连续的网络工作环境,系统应具有较强的自动纠错能力,合理的网络链路策略,确保系统7X24小时正常服务。（2） 扩展性随着业务发展，需求也会不断增长，因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准,达到在各个系统上提供一些预留接口,使得在用户需要时,系统可以跨越现有的平台,增加新的功能，实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准，能支持各种相应的接口和标准协议,具有兼容性、灵活性和可移植性。（3） 先进性和成13、熟性在对系统进行设计时，要符合当今技术发展方向,系统硬、软件的选择和系统的设计，采用符合当前技术和管理发展方向的先进性技术和思想。同时,确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术，减少实施风险.（4） 安全性XXX办公大楼是国家政策、文件、信息的核心地。承担着极其重要的工作.系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认证中心的信息安全服务资质标准的信息安全服务资质认证。（5） 可维护性为确保投资的有效性和大楼的实用性,应针对功能特点选用设备和技术，并尽量简化系统配置步骤，使其容易得到维护和维修。3 14、网络系统本规划将从当前及未来一个时期内应用的实际出发,对信息管理系统的基础设施网络系统进行规划设计,从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络,为信息化提供稳定和功能强大的网络平台.3.1 网络协议的选择 本网络系统以CP/IP 为主要协议。因为CP/IP协议簇是目前众多计算机网络最流行的协议,以它为基础组建的tern网是目前国际上规模最大的计算机网间网，采用TP/IP为网络主要协议,可保证系统各部分网络保持一致。3.2 网络技术选择网络技术发展很快,新技术层出不穷,有的具有旺盛的生命力,如以太网技术;有的很快就被淘汰，如Token Rng、FDI等。因此，就给用户投资带15、来一定的风险，如何把握网络发展的方向,选择合适的技术和产品非常重要在本项目中，我们采用千兆以太网作为骨干网技术,同时,我们将采用一些其它的先进且成熟的网络技术，如LA、三层交换、虚拟路由器冗余协议(RP,RF28)、入侵检测(IDS)、服务质量(QoS）、组播(MultiCast)等，使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性。下面重点介绍几种先进实用的网络技术。3.2.1 LN(VirtalLAs）随着网络技术日新月异,L3,L交换已经非常成熟。Intrne中也越来越广泛地应用了交换技术，全交换网络已经非常普遍。在这些网络中，VLAN的使用是必不可少的。 L是一个根据作用、计16、划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说，几个终端可能被组成一个部分,可能包括工程师或财务人员.当终端的实际物理位置比较相近，可以组成一个局域网(LN）。如果他们在不同的建筑物中,就可以通过LN将他们聚合在一起。同一个LAN中的端口可以接受VLN中的广播包.但别的VLA中的端口却接受不到。VLA提供以下一些特性 简化了终端的删除、增加、改动当一个终端从物理上移动到一个新的位置,它的特征可以从网络管理工作站通过SNM或用户界面菜单中重新定义。而对于仅在同一个LN中移动的终端来说,它会保持以前定义的特征。在不同VLAN中移动的终端来说,终端可以获得新的N定义。 17、控制通讯活动 N可以由相同或不同的交换机端口组成广播信息被限制在VLA中。这个特征限定了只在LN中的端口才有广播、多播通讯.管理域（aagement domain)是一个仅有单一管理者的多个VLN的集合。 工作组和网络安全将网络划分不同的域可以增加安全性。VLA可以限制广播域的用户数.控制AN的大小和组成可以控制广播域的相应特性。在LAN中应用最广的就是GVRP和T技术。它们是N中优点的集中体现。3.2.2 三层交换技术现在,网络业界对“三层交换”这个词已经不感到陌生了,在中大型规模网络建设中,以千兆三层交换机为核心的主流网络模型已不胜枚举。其实,三层交换从其出现到今天的普及应用也不过几年的时18、间,计算机网络加速度式的迅猛发展势头,实在快得令人吃惊.“三层交换”概念的出现,与VLAN有着密不可分的联系事实上，一个虚拟网就是逻辑上的子网。为了避免在大型交换机上进行广播所引起的广播风暴,可将其进一步划分为多个虚拟网。在一个虚拟网内，由一个工作站发出的信息,只能发送到具有相同虚拟网号的其他站点，而其他虚拟网的成员收不到这些信息或广播帧由于网络变得越来越复杂，性能要求也越来越高,这就要求网管员能够成功地部署VLA,从而使网络更加灵活而且易于管理。以往，网管员将3/4的时间花费在维护网络的基础结构,确保通信流量的优化,并处理移动和变更等工作。通常情况下,当一名用户转移到网络中另一个物理位置时，19、需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作。针对于此,VLN的部署就是将通过减少管理网络中移动与变更所需的资源，从而实现为用户节约大量宝贵的资源。VLA 技术还可以在以下关键领域内为用户提供价值:l 比路由器更具有成本效益的广播控制，有效抑制广播风暴l 支持多媒体应用与高效组播控制,提高网络带宽的有效利用率。l 提高网络的安全性，各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制。l 网络监督与管理的自动化,更多的有效的网络监控.l 减少路由需要,基于IC技术,大幅度提高设备的数据包转发能力。LAN之间如何通信？简单回答就是“通过路由”。因此，这种技术也引发出一些新的20、问题:虚拟网之间通信是不允许的，这也包括地址解析(ARP）封包。要想通信,就需要用路由器桥接这些虚拟网，这就是虚拟网的问题:用交换机速度快但不能解决广播风暴问题,在交换机中采用虚拟网技术可以解决广播风暴问题,但又必须放置路由器来实现虚拟网之间的互通。在这种网络系统集成模式中,路由器是核心过去的网络在一般情况下按“82分配”规则，即只有0的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信,而0%的网络流量主要仍集中在不同的部门子网内。 而今天,这个比例已经提高到了50%(“平分秋色)甚至0(倒二八,20/80)，这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电21、子邮件,新型应用已经如此迅速和深刻地冲击着网络,比如,任何人通过任何一个浏览器便可进行访问设定的Web网页，支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击.因为传统的路由器更注重对多种介质类型和多种传输速度的支持,而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能，使其成为网络的瓶颈。但由于网络间互连的需求,它又是不可缺少的并处于网络的核心位置,虽然也开发了高速路由器,但是由于其成本太高,仅用于Iter主干部分.在这种情况下，提出了三层交换技术。三层交换机是采用ntrnt应用的关键,它将二层交换机和三层路由器两者的优势有机而智能22、化地结合成一个灵活的解决方案,可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性,不仅使二层与三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能.三层交换机分为LA接口层、二层交换矩阵层和三层交换矩阵(路由控制）层三部分。三层交换机的应用其实很简单,主要用途是代替传统路由器作为网络的核心.因此,凡是没有广域网连接需求,同时需要路由器的地方，都可以用三层交换机代替。在企业网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或LAN。因为其网络结构相对简单，节点数相对较少另外,其不需要较多的控制功能,并且要求成本较低.简23、单地说，三层交换技术就是：二层交换技术三层转发技术它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面,解决了传统路由器低速、复杂所造成的网络瓶颈问题。3.2.3 VR当路由器功能出现故障时,VRRP(虚拟路由器冗余协议，FC33)通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器，终端用户在路由器发生故障时可以继续通信，而不必考虑转换到另一台路由器上。利用同一个以太网中的两台路由器设置一台虚拟路由器。在实际运行中,两台路由器中的任一台成为主路由器，该主路由器模拟虚拟路由器。备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行，备份路由器24、立即进入主路由器状态以模拟虚拟路由器。IP地址被分配给虚拟路由器。 指定虚拟路由器IP地址为缺省路由器的服务器将不会觉察主路由器的切换而继续进行正常通信。关于VRRP的详细设计和部署情况请参见后续章节。3.2.4 其它网络技术在本网络中,除了采用三层交换和VRRP技术,根据应用情况，还可采用组播（Mutcst)、Qo和负载均衡等先进网络技术。q全面支持Multiast:选择设备全部支持MultiCs，主干设备支持DVMRP、PM、IGMP、GARP组管理协议和多点发送、多点广播协议，充分适应网络特殊网络传输要求。q一定的QoS保证：核心设备支持SV 、CA(Cmmited AccsRate)以25、及可配置门限的多种队列采用WAE、W、业务类型/业务级别(ToSCoS)映射机制,在满足基本要求前提下保持高性价比,也为多媒体应用提供了坚实地网络基础。q 负载均衡实现：在核心设备上通过设置不同的AN的优先级，可将所有的VLA流量分担在各楼的两台汇聚设备上,通过两台汇聚设备的VRP功能,实现网络层的负载均衡.也可根据未来网络扩展的需求,增加相关的专用负载均衡设备实现-7层的负载均衡功能。3.3 网络设计概要XXX办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可扩展性和有效的可管理性为原则,同时兼顾考虑到技术的成熟性、先进性和可扩充性,网络系统设计采用层次化、结构26、化的设计方法。根据对本系统网络需求的初步分析,确定办公内、外网网络采用多千兆链路捆绑,百兆到桌面的方案，本方案具有较好的性能价格比，整个网络采用分层设计技术，骨干为网络中心与1#、2#和#楼之间的多千兆光纤线路，接入网为各终端节点的1000以太网接入线路.核心设备使用高端路由交换机，接入设备选用具备三层交换功能的接入交换机.各楼内采用虚拟网VLN技术实现功能群的划分,AN可在汇聚设备上创建.利用统一的标准调整网络规划,避免可能的不兼容性,保证整个网络的统一架构。根据我们对网络系统需求的初步分析并结合本系统的特点,我公司提出一套基于华为3CO网络设备的解决方案,本方案具有较好的性能价格比，内网和27、外网全部采用分层设计，利用统一的标准调整网络扩容规划,避免可能的不兼容性,保证整个内、外网络的统一架构。3.4 网络的分层设计X办公大楼内、外网网络系统设计为两级网络,三级设备节点：以网络中心(中心节点）为中心,边界至1、2#和3#楼(汇聚节点)的骨干网;以1、2#和#楼(汇聚节点)为中心,边界至同各配线间（接入节点)的接入网;本系统的办公内、外网拓扑为冗余树型结构，无汇聚与汇聚和接入与接入节点之间有物理直联的需求.因此所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换，比较容易对各楼之间的流量和访问控制进行有效控制。层次化设计的优点为:可扩展性:因为网络可模块化增长而不会遇到28、问题；简单性:通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的问题;设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其它层次造成影响,无需改变整个环境;可管理性:层次结构使单个设备的配置的复杂性大大降低,更易管理。3.4.1 核心层核心层为汇聚和接入层提供优化的数据输运功能,它是一个高速的路由交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中(ACL,过滤等），否则会降低数据包的交换速度。内外网核心层设备各包括两台核心交换机。3.4.2 汇聚层汇聚层提供基于统一策略的互连性，它是核心层和接入层的29、分界点，定义了网络的边界,对数据包进行复杂的运算。汇聚层主要提供地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、nterVLAN路由、任何介质的转换和安全控制等功能。在内、外网中，1#、2#和办公楼各有2个汇聚层交换机,通过OSPF和VP实现设备和链路的冗余备份。3.4.3 接入层 接入层直接为各接入用户提供的网络访问接入。本系统的接入设备选用支持02。功能的接入交换机。3.4.4 选用华为3COM的网络设备本项目中涉及的网络设备种类不多,但各设备类别具体需求各不相同,因此在选择设备厂商时,应考虑选择技术先进,产品线丰富,售后服务周到,且具有良好信誉的网络设备厂家。网络设备的选择原则30、如下:.必须支持本系统目前以及未来涉及到的网络技术，如Trunki、VLN/PVLA、oigwitch、ACL、QoS、Muticast及多种路由协议等;.必须支持多协议下的局域网络互连;3必须支持国际国内网络技术标准，与不同厂商的网络安全产品有较好的互连性;4.必须支持SMP网络管理协议;5所选产品必须具有良好的发展前景,能适应未来网络技术的发展；支持向未来网络新技术的平滑过渡。.所选网络设备必须能够在不影响性能的情况下实现平滑升级。所选网络设备必须要能够在网络中心利用网管软件进行统一网管。在当今网络设备的市场上，比较著名的厂商有华为COM、is、NOTL Netw等.其中，华为3COM公司31、在政府、企业网络、住宅宽带产品、基于ntenet协议的电话、以太网连接、网络服务供应商的远程接入与无线解决方案等领域都可提供高性价比的解决方案。因此我们在本项目网络设计中选用华为3CM公司的网络设备l 核心设备:华为COM Quia S12S8512具有72Gps的交换容量,背板为1.8Tps(可扩展至3.6),多层硬件转发能力为428Mpps，完全满足本网络对核心路由交换的需求。另外，S851未来还可顺利增加防火墙模板和IS模板,以保证核心交换机的安全功能平滑升级,从而在网络核心层为提高内、外网络的安全性提供更丰富的解决方案。l 汇聚设备：华为COMua S65656具有Gp的交换容量，背板32、为1。Tps，完全满足本网络对汇聚路由交换的需求.l 接入设备：华为3COM Quidw S92/LS3928PLS-352-和LS398P 具有32bps的交换背板,多层硬件转发能力分别为3.2和6Mpps,完全满足本网络对接入交换机的需求.上述华为3CM的交换机都是具有较高性价比的产品,并且具有较大的扩展性3.4.5 网络规划由于内外网的重要性,本次项目必须能够为用户提供不间断的网络服务,因此建议全网络采用全冗余结构（设备冗余、线路冗余）互连。3.4.5.1 网络设备统计内网设备统计见下表：内网楼号楼层数据点接入交换机(48口)接入交换机（2口）汇聚交换机核心交换机1号楼8F8 2 7F833、32F1283 5F1434F9823F9022F721162 F4B2F1号楼小计 5417220号楼12F31 1F18410F0741F73 82717F734 6173 5F174 4F134 3F18342F12931F9631B19B242号楼小计 17543203号楼8F511122762 6F12F11F5113F1 12F621F141 BF5B263号楼小计 31042合计 3120962由于每接入交换机具备48或4个端口，因此接入层交换机数量可根据内网的每层设备间管理的信息点数计算得出,内网需配置70台4口和9台2口交换机其中多余的端口作为备用端口。内网在1#、2和3#楼34、各需配置2台单引擎的汇聚交换机。内网的2台核心交换机位于#楼的4层,为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响，需配置冗余引擎。外网设备统计见下表:外网楼号楼层光网数据点接入交换机(4口）接入交换机(2口)汇聚交换机核心交换机1号楼8138227882 6F6135F173 410143318821F9921F682B14B2F 1号楼小计 109854号楼F4912 11101884 10102141F6174 8F0211F6174 66176 5164F61864 3F18642F323 1F29311F112F9号楼小计320133203号楼351227F88235、675F5214F75113626 270111F72211F 52 26号楼小计5251522合计2473392962由于每接入交换机具备48或24个端口,因此接入层交换机数量可根据外网的每层设备间管理的信息点数计算得出，外网需配置3台8口和9台2口交换机。其中多余的端口作为备用端口.外网在1、2#和3楼各需配置2台单引擎的汇聚交换机。外网的2台核心交换机位于3#楼的4层，为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响，需配置冗余引擎.另外,本系统外网在1#、2#和3#还有共247个光纤到桌面的信息点。鉴于光纤到桌面的特殊性和光网络流量集中管理,建议这些光网端口不配置接入36、层交换设备,而是直接联到汇聚层的千兆光端口交换模板上，由汇聚层交换机直接负责这些光纤到桌面的信息节点的接入和访问控制管理。3.4.5.2 核心层交换Quidy 8512Quiday S8500系列核心交换机是由华为3om公司自主开发的新一代高性能核心路由交换机产品,可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商城域网核心层、汇聚层.uwa S500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点。Qidway S8500系列支持新一代高性能接口,能够为城域网、园区网、数据中心提供超高速链路,构建端到端以太网络，打造37、低成本、高性能、具有丰富业务支持能力的高性能网络.uiay S800提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎,以全线速处理二层、三层、MPLS VPN、组播等各种业务流量,提供完善的保障、安全管理机制和电信级的高可靠设计,满足大型P网络对多业务、高可靠、大容量、模块化的需求.1)先进的体系结构QuidwS50系列产品采用全分布式体系结构设计,采用功能强大的SIC芯片进行高速路由查找，并通过rossbr技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。ssbar交换网芯片内置于主控板，不单独占用设备槽位，可提供高达20Gbp的交换容量,并38、可平滑升级到1.44Tbps的交换容量.接口板通过多条高速总线分别连到两块主控板上的rssar交换网,从而实现真正的双主控、双交换网的热备份，极大的提高了系统的可靠性。Qudy S800系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上,革命性的解决了传统交换机流Cac精确匹配转发的致命缺陷,能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务，复杂流量访问的网络。2)大容量、高密度线速交换Quiay S8500系列产品目前最高可以提供720Gp交换容量/428Mpps包转发能力,并可平滑升级到1.44Tps交换容量、57pps转发能力。支持39、各种高密度业务板和组合业务板,整机可支持高达576个千兆端口的同时线速转发,满足核心层设备大容量、高密度的要求.3)强大的业务支撑能力QuwaS850支持MPSN业务；支持丰富的组播协议（IGM、IG SOIG，PISM、PIM-D和MSP/BGP等)；支持WeSwitch（硬件支持)、NT(硬件支持)，内置防火墙(硬件支持)、D;支持POSTM、P等接口。4）MPLS/v6分布式线速支持QuiayS8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升,另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。uida S50系40、列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitc等增值业务，在为用户提供全面的有保障业务的同时,也做到根据需求业务可裁减。5）完善的QoS机制uidway S850系列产品提供了灵活的队列调度算法，可以同时基于端口和队列进行设置,支持SP、WRR、P+WRR三种模式;支持8个优先级队列，3个丢弃优先级;支持WRD拥塞避免算法和端口流量整形.支持带宽控制功能,流量限速的粒度为bit/s，满足精品宽带网络的要求。6)电信级可靠性设计:Quway 8500系列产品系统采用分布式结构，支持双主控交换板，无源背板设计,所有单板支41、持热插拔；电源系统交流直流可选,采用11冗余热备份,并支持双路电源输入;支持STP/RSP/MSTP协议和VRP协议,能够满足苛刻的电信级网络可靠性要求,系统可靠性达到：99。99。7）完善的安全机制:uidway S800系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全，支持SPF、RI 2 及BGP v4 报文的明文及M5密文认证;支持UPF（单播反向路径检查）；采用802.1x方式对接入用户进行认证，支持安全的SMPv3的网管协议、支持配置安全,对登录用户进行认证，不同级别的用户有不同的配置权限,并提供两种用户认证方式:本地认证和ADIUS认证。Quidwa 500系列产品42、通过灵活的M、IP、LAN、POT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略,能够对用户访问网络资源的权限进行设置，保证网络的受控访问。Qudwy 50系列产品还支持标准Radius协议,同时提供Radis功能，以及CBM(华为可控组播管理协议)功能支持。基于硬件支持的内置防火墙/IS功能为核心交换设备安全组网提供了多样化的选择，简化了网络层次，提高了整网性能。Quidway 8500系列产品可与华为3Cm SecEineD系列IDS设备实现线速安全联动，采用标准的SNM2/v3作为联动协议的承载协议，根据不同的攻击事件行为，使联动交换机产生下述不同的ACL对数据流进43、行阻断：可以对单一主机发起的所有流、单一主机特定端口发起的流、单一主机接收的所有流、单一主机特定端口的接收流、指定网络发起的所有流、指定网络接收的所有数据流或明确的五元组流(源和目的IP地址和端口和协议）进行阻断，为用户建立起立体的安全网络.3.4.5.3 S812网络处理器(NP）特色应用随着Iternet从科研向商业应用的转变,网络用户迅猛增加，各种类型的应用（包括文件传送、Web浏览、局域网互联、视频/音频会议、IP电话以及其它实时多媒体业务)共存在一个物理网络上,网络节点的处理能力、oS保障和网络带宽逐渐成为Intre继续发展的主要障碍.随着光传输技术的发展,尤其DWD的出现，传输带宽44、不再成为网络的瓶颈,而网络交换节点的处理能力显得尤为重要。为了满足IP网络新变化,比特路由器（R）和T比特路由器(TSR)应运而生,这些高端路由器采用大容量交换结构和硬件高速转发技术,大大提高了报文转发速度；作为这些设备交换核心的网络处理器(twokrocesso）技术也得到了迅猛的发展和应用。那么,什么是网络处理器呢?根据国际网络处理器大会(Nework rocesor Confeen)的定义:网络处理器是一种可编程器件,它特定的应用于通信领域的各种任务,比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QS。网络处理器的使用者是研制路由器、交换机、HUB、服务器、网络接口卡、P和网45、桥设备的通信设备制造商。目前生产网络处理器的公司有很多，大公司有Inel、Agere(Lucent的微电子部)、摩托罗拉、B、innTehnoloie(以前西门子的微电子部）;小一点的公司有MM Ntwors、zp Tehnologies、Siera、Solidum Sysems、Sqwre、Xstrem Logic等。网络处理器目前的应用主要集中在数据通信网络的中高端设备上,和以前的PU软件转发、FGA实现转发、ASIC实现转发相比，它有以下特点或优点:1、性能高很多算法都用硬件实现,内部一般都集成了几个甚至几十个转发微引擎(CP）和硬件协处理器、硬件加速器，在实现复杂的拥塞管理、队列调度、46、流分类和QS功能的前提下，还可以达到很高的查找、转发性能，实现所谓的“硬转发”。目前已经投入商用的有支持。5POS口的NP、支持1G PO的NP、支持40POS口的N。2、可以进行灵活的功能扩展由于可以进行编程,一旦有新的技术或者需求出现,可以很方便的通过软件编程进行实现，系统的功能可以通过软件模块方便的添加删除。所以对于特殊的用户需求,可以进行定制开发，即可以在短时间内通过模块删减开发能满足不同用户需求的产品。而以前用FPGA实现的情况下,需要修改管脚功能,重新调试升级，而且大多情况下其它硬件设计也要改动,为系统可靠性带来很大隐患。用ASIC实现的情况下，无法对新的功能进行添加,只能重新设计47、,更新芯片。在开发时间上,按照业界的经验数字，软件开发时间一般为6个月，而用PG实现的时间为18个月,用ASC实现的时间更长,通常需要23年的时间，随着网络处理器使用C语言编程的推进,开发周期变的将会更短.所以N具有更灵活的扩展能力.3、可靠性高由于大部分功能都使用一个或者两个芯片实现，芯片转产前都经过了严格的测试和各种抗干扰和破坏性试验,从而使使用NP的系统的可靠性大大提高.所以P特别适合用于开发电信级数据通信产品。4、丰富的流分类、拥塞管理、队列调度和QO功能大多数NP都使用硬件的并行操作，实现了业界流行的各种算法,为使用NP的设备提供了丰富和强大的Q功能。很多以前用软件实现时无法保证性能48、的复杂QS功能,在使用了NP之后，可以很容易的得到实现,并且对性能基本没有影响。、管理、开发方便NP都提供了和上层CPU标准的接口或者内置管理CP,可以和其它CP实现高速通讯。P一般都提供了大量硬件计数器，可以方便的实现各种MB统计功能,为网管提供支持.NP一般都提供了编译系统和软件样例,而且目前主流的NP都提供软件仿真开发平台,可以进行离线开发和验证，甚至可以用仿真平台将软件的效率仿真到Cycle级；在在线调试时有单步跟踪、设置断点等手段，可以使设备开发商在较短时间内开发出适合产品需要的软件6、可以实现灵活组态N作为一个器件，都提供了灵活的配置功能，可以通过NP的不同形式组合或者和其它CP的49、组合,实现系统的灵活配置，满足不同设备的需求，方便了系统设计，加快了设备的开发进度3.4.5.4 汇聚层网络-uidwa S65本项目内、外网的汇聚交换机S506全部选用第三代交换容量为84G的引擎楼号内网外网汇聚交换机汇聚上联端口汇聚交换机汇聚上联端口光口1号楼28419号楼2824733号楼2465合计：62612247考虑到内网不同办公楼内用户之间互访的流量较大，因此在内网的汇聚交换机上联采用双GE捆绑到核心交换机，6台汇聚共需4个上联千兆端口，因此每台内网核心交换机需要12个千兆端口用于汇聚设备的连接.而外网用户访问公网的流量相对较大,不同楼宇间的用户互访的需求较少,因此外网核心与汇聚50、设备互联采用单千兆联路,即每台汇聚交换机有两条千兆链路分别上联到外网的核心交换机上,每台外网核心交换机需要有6个千兆端口用于下联汇聚交换机。由于外网还有247个光纤到桌面的端口需要全部直连到汇聚交换机,因此台汇聚交换机需要增配20个光端口的模板和若干多模千兆光纤接口模块,数量如下：楼号设备名称数量1号楼2个光端口模板6多模光纤接口模块1092号楼20个光端口模板4多模光纤接口模块3号楼个光端口模板多模光纤接口模块65uida S60系列高端多业务路由交换机是华为Com公司面向IP城域网、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品,主要作为企业的核心交换51、机或城域网汇聚层交换机。该系列产品包括6502（2槽)，50（4槽），S50（7槽),6506(槽)。Qudw S650能够为城域网、园区网、数据中心提供超高速链路,打造低成本、高性能、具有丰富业务支持能力的高性能网络.day650提供大容量、高密度、模块化的二、三层线速转发性能,同时具有丰富的业务功能、强大的oS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。Quiday S500系列高端多业务交换机的特点可以用一句话来概括：“多快好省、高而不贵”。“多”:产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本52、.产品系列多:S650系列包括652(2槽）,S6（4槽），S650(7槽），S60R(8槽)产品设计采用开放式的体系结构、统一的硬件平台、完全兼容的引擎和接口板、相同的软件版本、以及系列化机箱。S6500还可以支持POE(Poer Over theret）特性，提供支持POE功能的系列机箱和单板，能够实现向远端受电设备(IP电话、WAN无线接入点等)进行以太网远端供电。引擎规格多:基于新一代ASIC技术的lin 系列交换路由引擎将L/4线速转发与丰富的Q、ACL特性结合在一起,是组建高可靠、低时延的核心网络的重要保障。S500提供系列化的引擎,可以根据用户的需求在系列化机箱上进行灵活配置。i53、Saien I(交换容量2Gbps)SaeeI（交换容量64Gbps）alece I(交换容量64Gbps)Slience96G（交换容量9Gbps）Saiee II34(交换容量84G）接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口;提供100m00m可选择的传送距离;提供4口/单板-4口/单板的接口密度;提供多种组合接口板，全面满足客户需求.快:采用先进体系结构设计,交换容量高达76G,支持新一代线速接口，提供网络高性能.先进的体系结构：S6500采用全分布式体系结构设计,采用功能强大的ASIC芯片进行高速路由查找,并通过rossbar技术进行高速报文交换，从而大大提升了路由交换54、机的转发性能和扩充能力。Crosbar交换网芯片内置于主控板,不再单独占用设备槽位,可提供高达76的交换容量。高密度二、三层全线速接口:S500系列推出Salienc II系列交换引擎，最大交换容量为78Gbps,在满配时S最大可提供28G或28FE。万兆接口支持:S600提供的新一代万兆以太网在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性.S6500支持高密度万兆设计,每块业务板可以提供14个万兆接口。好：支持强大的Qo能力和精细化用户管理,高可靠、高安全设计,采用智能业务扩展模块可以实现灵活的智能化业务能力强大的QoS能力和精细化用户管理:每端口支持个55、硬件队列,带宽控制粒度可达64Kbps;强大的用户管理、认证计费功能支持；支持AS(综合访问控制管理服务器)系统,提供专业用户管理、计费解决方案；内置IE 80.1x认证服务器功能。内置DHCP SRER功能运营级可靠性设计：系统采用分布式结构;S6506R支持双主控板；S50系列所有单板支持热插拔；电源系统采用N+1冗余热备份；支持PRSTP/MTP协议和VRR协议,能够满足苛刻的电信级网络可靠性要求;支持双路电源供电.完善的安全机制:支持标准Radiu协议,同时提供Radiu+功能；支持CS协议;HBM（华为可控组播管理协议）功能支持;保证对用户的精确认证。支持SHV12.基于最长匹配的路56、由方式,保证了所有报文均获得相同的转发性能，对“红码病毒和“冲击波病毒”的攻击具有天生的防御能力。智能业务扩展：能够提供高速的AT数据流转发，支持动态NAT功能、动态NPT功能、L功能、多S支持、ayI支持、NT黑名单、内部服务器功能、NAT策略和NAT日志等功能。支持基于C的策略路由。支持Ntram功能，能够对通过交换机的网络流量进行精细化统计。省：极高的性价比,为客户量身打造,总有一款适合您;性能、业务可平滑扩展升级，保护用户投资。无与伦比的性能价格比:50提供系列化机箱和系列化超级引擎,可以根据不同组网需要进行灵活配置;S650提供多种高密度百兆、千兆、万兆接口板,有效简化网络结构、降低57、建网成本；6502无需专门的主控交换引擎，主控交换功能内置于接口板内部,进一步降低建网成本。强大的扩展性能:S65具有强大的性能和业务扩展能力；背板带宽高达6Tbp;采用智能业务扩展模块可以实现灵活的智能化业务能力,如NATMPLS/Web Sitht Stm/P 6等高级业务特性，从而有效保障用户的投资。3.4.5.5 接入层网络QidwS-3952P/S39P内网楼号楼层接入交换机(48口)接入交换机(口)接入上联端口1号楼84F246F3 65F3 64163242F11F2 4FB2F1号楼小计172382号楼1 21181F4109F88F4107486F4 85F84F4848 658、1F381FB2F2号楼小计 43923号楼F11F2 46F3 65F 121143 12F24F1 FB2F3号楼小计1042合计:79158由于每台接入交换机都有2个千兆光纤端口分别上联到汇聚交换机，因此内网的台L-952-P和9台S-3928P共需要158个千兆上联的端口。外网楼号数据点接入交换机(48口）接入交换机(2口）接入上联端口号楼8F2 7F2463 65F 6F363F12F41F2B1B21号楼小计85491402号楼12F1211F4 80F4110F4 88117F 86F4 854 8F483F83 61F318B1FB22号楼小计 201433923号楼F114759、F 463 5F12F1143F12F211F1BFB23号楼小计49132合计：3164由于每台接入交换机都有2个千兆光纤端口分别上联到汇聚交换机,因此外网的73台LS-35P和台L-3928-P共需要6个千兆上联的端口.Quiday S390系列智能弹性以太网交换机是华为3COM公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用华为3C公司创新的IRF(Intlligent Resilen Fmwork，智能弹性架构)技术，将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接入层交换机。Quiwa60、y S3900系列智能弹性交换机目前包含型号为：S394-SI、S3928P-I 、3928TP-SI、S92P-I、S3928PEI、S3928F-EI、92WRE、39PE、3952P-WRE.uidayS3900系列交换机提供标准型（S）和增强型(EI）两种产品版本,标准型支持二层和基本的三层功能、提供部分的IR功能(分布设备管理和基本的分布冗余路由）。增强型支持复杂的路由协议和丰富的业务特性，支持全部的RF功能（分布设备管理、分布冗余路由和分布链路聚合).1)IRF智能弹性架构技术QudwyS390系列交换机支持华为Co创新的R(telget esilient Framerk）技术，能61、够实现用户网络的高度弹性智能扩展。利用IR技术,用户可以将多台设备连接起来组成一个联合设备（Fabrc),并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。RF（eligent Resilient rewo)技术包括三个方面：DM、RR和DL。l D（分布设备管理):在外界看来,整个Fabric是一台整体设备。用户可以通过Conoe、SNP、l、WB等多种方式来管理整个ric。l RR(分布冗余路由)：Fabrc的多个设备在外界看来是一台单独的三层交换机。整个abrc将作为一台设备进行路由功能和二三层转发功能.单播路由协议和62、组播路由协议分布式运行并完全支持热备份,在某一个设备发生故障时,路由协议和数据转发都不会中断l DLA（分布链路聚合):支持跨设备的链路聚合，可以在设备之间进行链路的负载分担和互为备份.)PoE(Poerove Ehere）远程供电特性uay 30系列交换机(PR型号）支持P(owr overEhenet),即可通过双绞线向远端下挂D设备(如IP hoe、LN A、ecurity、Bluoo AP等)提供V直流电源,实现对下挂PD设备远端供电。作为供电方PE(Power Sucig qipm）设备,支持EEE80。3f线路供电标准,同时也可以兼容不符合82。3f标准的D(PoeredDvice63、）设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率分别为125W（使用交流电源)和15。(使用直流电源)。通过支持oE和ViceVLAN技术，S300系列交换机能够提供完美的数据和语音融合解决方案。）大容量全线速的多层交换Qudwa 3900系列交换机支持所有端口线速转发。系统能够提供4个GE,有效解决了在单台设备上多条千兆链路上行,同时接入千兆服务器的需求，极大的节省了用户对设备的投资。硬件支持二/三层线速交换,能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制。支持丰富的接入形式,百兆可以提供4电口/2光口/4864、电口三种方式。满足各种形式接入组网的需求。4）完备的安全控制策略Qday S0系列交换机基于最长匹配的路由策略。系统采用逐包转发方式,保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全。支持集中式MA地址认证和802x认证。在用户接入网络时完成必要的身份认证，还可以通过灵活的AC、IP、VLAN、ORT任意组合绑定，有效的防止非法用户访问网络。支持DD（Dnect UnauisedDvce）认证，通过A地址学习数目限制和MC地址与端口绑定实现。支持用户分级管理和口令保护，支持MA地址学习数目限制、MA地址与端口绑定、端口隔离、M地址黑65、洞;支持防止o攻击功能。 支持oSrofile功能。和802.1x认证功能相结合,可以动态的为通过认证的用户提供预先配置的一套QoS功能.用户在经过82.1x认证后,交换机根据A服务器上配置的用户名和Pofil的对应关系，将相应的rofi动态的下发到用户登录的端口上,为该用户提供量身定做的一系列服务质量保证.支持SSH特性。用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能,以保护交换机不受诸如I地址欺诈、明文密码截取等等攻击。)高可靠性Qudw3900系列交换机采用IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份,极66、大的增强了设备和网络的可靠性,消除了单点故障，避免了业务中断.同时Qudway S900系列交换机不仅支持STP/RSTP生成树协议,还提供了基于多VAN的生成树MSP,极大提高了链路的冗余备份，提高容错能力,保证网络的稳定运行. 支持VP虚拟路由冗余协议，与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定支持在设备上配置多条等价路由的方式实现上行路由的冗余备份,当主上行路由发生故障时自动切换到下一条备份路由,实现上行路由的多级备份。首次实现交流/直流双输入,设备既可以采用交流电源输入，也可以直流电源输入,二者之间热备份。5)丰富的QS67、策略Qwa S390系列交换机支持基于源AC地址、目的MC地址、源IP地址、目的IP地址、端口、协议的L2复杂流分类；支持1K个流规则。提供灵活的队列调度算法,可以同时基于端口和队列进行设置，支持SP(Strict Prrty）、WR（Wighte Run Robin)、Q（eghtedai Que)、SP+WR、S+WF五种模式;支持个优先级队列,个丢弃优先级;支持WRED拥塞避免算法。支持CAR(mmitd Acces Rate)功能,可以实现基于端口和基于流的速率限制,限制的粒度可以精确至64bps,为网络带宽的精细化管理提供了手段。)多样的管理方式uidwayS390系列交换机支持SN68、MP /VV3，可支持Ope Vi等通用网管平台，以及Quidew、Maager 网管系统。支持LI命令行，Web网管,TELNET,HGP集群管理，使设备管理更方便。通过各种开放的标准MI和扩展B的支持可以提供完善的基于SMP的第三方管理能力3.5 网络拓扑图本系统的网络系统拓扑图如下:内网拓扑图外网拓扑图3.6 网络冗余设计为了实现有效合理利用网络资源,保证系统高效、可靠、安全地支撑基于网上的所有办公业务，在核心、会聚和接入网络设备地设计全部考虑冗余备份,尽量减少单点故障，以提高本系统的冗错和可靠性。内、外网的网络中心各配置两台双引擎的核心路由交换机S512，通过动态路由协议实现双核心Ac69、ti/Atve配置,并实现网络层的流量和负载均衡。内、外网分别在1、2#和3#楼内各配置两台单引擎的汇聚设备S56，同样采用Activ/cive配置，内网的每台S56都采用双千兆以太捆绑(GEC）链路分别上联内网的两台核心S851,外网的每台S506都采用单千兆以太链路分别上联外网的两台核心S851,实现汇聚到核心的链路备份、流量和负载均衡。内、外网在、2#和3#楼内的接入交换机LS392P/LS-3928P都分别配置两个上联千兆模块，保证每个接入交换机有两条千兆链路分别上联到本楼的两台汇聚设备S656。当其中一个千兆接口或光纤链路发生故障，仍然不影响接入用户的网络连接。必要时这两条上联链路也70、可同时分担网络流量，实现负载均衡。所有的核心和汇聚路由交换机都配置冗余电源,保证供电质量。3.7 路由规划本系统的接入到汇聚、汇聚到核心的网络链路全部为冗余设计，如果选用纯数据链路层的生成树协议（STP）,为了保证所有的链路都提供数据传送,需要做大量的手工配置STP参数的工作,而且灵活性极差,一旦网络有细微调整将无法保证链路达到最优的使用效率。如果选用三层路由连接方式,则能够避免上述问题的发生。信息从源地址到达目的地址的过程称为路由,路由有静态路由和动态路由之分。静态路由由管理员在各个网络互联设备中预先输入路径信息，路由表根据这些路径信息来确定，静态路由的网络开销小,可以人为控制网络路径,网络71、系统安全性较好,但可管理性和灵活性稍差,容易导致环路产生。动态路由由各个网络互联设备根据某种协议或算法动态地交换路径信息,建立自己的路由表，动态路由能自动感知网络路径的变化,网络管理更方便,在本系统中使用动态路由所产生的额外网络开销也相对不大，因此本系统采用动态路由协议OSPF，将同时能够自动计算并保证接入到汇聚、汇聚到核心的网络链路的冗余设计和负载均衡。开放式最短路径优先(Open hortst Pat Frt，SPF)协议是一种为I网络开发的内部网关路由选择协议,由IEF开发并推荐使用.OSPF协议由三个子协议组成:Hlo协议、交换协议和扩散协议。其中Helo协议负责检查链路是否可用,并完72、成指定路由器及备份指定路由器；交换协议完成“主”、“从路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护OP协议具有以下优点：l OSF能够在自己的链路状态数据库内表示整个网络,这极大地减少了收敛时间,并且支持大型异构网络的互联，提供了一个异构网络间通过同一种协议交换网络信息的途径,并且不容易出现错误的路由信息。l OPF支持通往相同目的的多重路径。l OS使用路由标签区分不同的外部路由.l OSF支持路由验证,只有互相通过路由验证的路由器之间才能交换路由信息;并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性。l OP支持费用相同的多条链路上的负载73、均衡。l SPF是一个非族类路由协议,路由信息不受跳数的限制，减少了因分级路由带来的子网分离问题。l OSPF支持VLSM和非族类路由查表,有利于网络地址的有效管理。因此，采用OSPF路由协议,将两台核心路由交换机S812与汇聚层的S6506路由交换机纳入整个网络的OPF 0 区域中。如果需要可以在分布和汇聚层增加设置OSF的其它Area本系统的核心路由交换与汇聚设备间有多条冗余千兆（或捆绑)链路,可利用OPF支持6条等值路由的负载均衡（Eual-t oadbaancn p tosix paths）能力实现的链路备份和负载均衡。内网路由规划示意外网路由规划示意3.8 应用RRP技术本设计方案中74、的内、外网系统中1#、和楼各配置了两台汇聚交换机，所有接入交换机全部以千兆链路分别上联各楼的这两台汇聚交换机。在这些汇聚交换机上启用VRP功能,可实现汇聚交换机之间的冗余备份和接入交换机上联的负载均衡。”VRRP特性是路由器冗余备份的协议,该特性由用户通过命令行进行设置，通过路由器之间的备份功能，为网络核心层、汇聚层设备提供更强大的安全冗余备份功能。在基于P/IP协议的网络中，为了保证不直接物理连接的设备之间的通信，必须指定路由。目前常用的指定路由的方法有两种：一种是通过路由协议（比如：内部路由协议RI和OPF)动态学习;另一种是静态配置在每一个终端都运行动态路由协议是不现实的，大多客户端操作75、系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端P设备静态路由配置，一般是给终端设备指定一个或者多个默认网关（eaul ateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:如果作为默认网关的路由器损坏，所有使用该网关为下一跳主机的通信必然要中断.即便配置了多个默认网关，如不重新启动终端设备,也不能切换到新的网关。采用虚拟路由冗余协议 (Vrtal outer edunncy Protocol，简称VRRP)可以很好的避免静态指定网关的缺陷。在VRP协议中,有两组重要的概念:VRP路由器和虚76、拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定P地址和MAC地址的逻辑路由器.处于同一个VRR组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个P组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。RR协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后77、升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。上图为VRRP冗余备份功能的典型组网方式。在主机上配置网关为10.100。1.，真实IP地址为0.00.0.2和10。100。10.3的两台路由器互为备份,一台作为aster转发主机的报文,另一台在原来的ster设备故障的时候转为Master状态,保证网络通信正常。一个VRP路由器有唯一的标识:ID,范围为0255.该路由器对外表现为唯一的虚拟C地址，地址的格式为0005E-01-.主控路由器负责对AP请求用该AC地址做应答。这样,无论如何切换，保证给终端设备的是唯一一致的和MAC地址，减少了切换对78、终端设备的影响VRRP控制报文只有一种：VRRP通告(dvetseent)。它使用IP多播数据包进行封装,组地址为224。.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用.为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRP通告报文.备份路由器在连续三个通告间隔内收不到RRP或收到优先级为0的通告后启动新的一轮VP选举。在RRP路由器组中，按优先级选举主控路由器,VRRP协议中优先级范围是0-55。若RP路由器的P地址和虚拟路由器的接口I地址相同,则称该虚拟路由器作RRP组中的IP地址所有者；I地址所有者自动具有最高优先级：255。优先级0一般用在I地址所有者79、主动放弃主控者角色时使用。可配置的优先级范围为1254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此,如果在VRR组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照P地址大小顺序选举。VRR还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。为了保证VRR协议的安全性,提供了两种安全认证措施:明文认证和IP头认证.明文认证方式要求:在加入一个VRP路由器组时,必须同时提供相同的VID和明文密码。适合于避免在局80、域网内的配置错误，但不能防止通过网络监听方式获得密码。P头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。综上所述采用两台S656汇聚交换机启用RRP协议可以对下联的接入主机实现网关备份功能,各接入主机所属VLN的网关地址均可以设置为RR组的虚拟网关地址,在任意时刻主机只通过一台S60接入网络,另外一台S606作为备份网关.另外,在6506上可以开启多组VRRP组，每一组的主设备与备份设备分别在两台506，同时对主设备、备份设备的选择进行合理分配,使得一部分主机的主设备在第一台S6506上而另一部分的主设备在第二台S812上，每个S60既做部分主机的主网关设备同时也做其他主机的备份81、网关设备，从而既实现了主机接入的网关备份同时也实现了主机接入的负载均衡.VRRP的负载平衡方式如上图所示,PC1，P2配置网关为1011。1101，PC3,PC配置网关为101.11。2。同时在RoutA和Router B上面同时配置两个备份组,虚拟P地址分别为两个网关地址,通过配置优先级保证和B各为组1，2的Mtr。在这个组网中,如果一台路由器设备故障,另一台可接替工作;同时,两台设备平均分配网络负载。为了实现上述的两台汇聚交换机之间既负载分担,又能做到互为备份的功能，我们建议将接入层用户以VAN为单位分为两个组,一台S6相对于组1是Actie的，相对于组2是Snby的,另一台S60作相反的82、设置。这样即可实现两台核心交换机之间既互为备份，又能做到负载分担。另，在二层,由于存在冗余链路,通过启用STP/MSTP可以防止二层链路LOOP。3.9 选择组播协议IP 组播技术有效地解决了单点发送多点接收的问题，实现了 IP 网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载。作为一种与单播和广播并列的通信方式,组播的意义不仅在于此。更重要的是，可以利用网络的组播特性方便地提供一些新的增值业务,包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等互联网的信息服务领域。组播从 1988 年提出到现在已经经历了十几年的发展,许多国际组织对组播的技术研究和业务开展进83、行了大量的工作因为组播能够有效地节约网络带宽、降低网络负载，所以在实时数据传送、多媒体会议、数据拷贝、游戏和仿真等诸多方面都有广泛的应用.与单播路由一样,组播路由也分为域内和域间两大类.域内组播路由目前已经讨论的相当成熟,在众多的域内路由协议中,DVRP(距离矢量组播路由协议）、PI-D（密集模式协议无关组播)和IM-SM(稀疏模式协议无关组播)是目前应用最多的协议。DVMRP:距离矢量组播路由协议DVMP(距离矢量组播路由协议)是第一个(也是最古老的一个）真正得到应用的组播路由选择协议,DVMRP的一些重要特性包括：以距离矢量为基础(与RIP相似)；周期的路由更新（每0秒）；管理距离32跳(84、I为16跳);反向抑制有特定含义（RP表明一条路由不可达，VMP表明自己在组播树的下游)；无类路由。DR自己维护用于组播反向检测的单播路由表,并用于构建组播源树，它是一个扩散剪枝协议(类似于PM M）.由于DVMR使用跳数作为计量的尺度,而且其上限为3跳,因此他明显不能用于带有距离大于3跳且没有扩展隧道的网络。鉴于此，VMRP不能用作与整个以太网互相连接的组播协议.除了因特网的距离问题,VMP有距离矢量协议的所有限制,包括缓慢收敛和定期路由更新机制,此机制不能处理在因特网中大量的路由或管理大量的路由器使用DVMRP组播路由协议的另一问题是组播路由表的维护.由于组播协议依赖单播路由协议发现邻居,85、建立连接关系数据结构。而VMP只支持距离矢量单播路由协议,因此使用受到很大限制目前的互联网无论局域网还是广域网，存在大量分支和分隔域。象RIP这样基于距离矢量的单播路由协议已经很少使用，目前常用的是基于链路状态的路由协议OSF、IS等。由于网络设备在启动单播路由协议时,可能启用SPF,而组播协议DMRP基于距离矢量，所以在设备内部必须维护两张路由表,会引起一定冲突。当然各厂家实现必然会尽量减少这种冲突发生，但不可避免存在一定隐患,至少加重了网络设备的负担和开销,对核心设备来说,稳定性不利。这是DMRP对路由协议密切相关的固有问题,无法回避。今天的组播网络工程师出于无奈，才使用类似P一样的DVM86、RP。例如为了前后兼容。大多数网络工程师甚至不考虑推广应用基于IP的单播网络,组播网络也一样。只有在需要与现有的DVMRP基础构造打交道时，才应该将DVMRP应用于新的网络设计。但必将大大降低网络的可扩展性和灵活性，增大网络无效负荷的开销,降低使用效率。很明显，如果I组播协议想普及到整个因特网,一个区别DRP的组播路由协议必须用于主干网.后来互联网工程师发明了协议无关的组播协议。PIM DM：协议无关组播密集模式协议无关组播(I）这个名字反映了它独立于P路由选择协议的事实。也就是说，不过哪一种单播路由选择协议过去是怎样的在单播路由表中占有一席之地(包括静态路由)，而PIM都可以使用这些信息实现87、组播转发，因此,它与协议无关。尽管我们倾向于将PIM称为组播路由协议,事实上是使用现存的单播路由表去实现RPF（方向路径检测)功能,而不是维护一个分离的组播路由表。因为P不必保持它自己的路由表，所以它不需要像其它协议那样发送或接收组播路由更新,如VRP。由于不必发送组播路由更新和维护组播路由表,PIM的开销降低了许多。IM DM的主要特性包括：独立于协议(使用单播路由表进行RP检测）；没有独立的组播路由协议为路由信息(DM自己维护组播路由);扩散剪枝协议(同DVMR).M D有比DMP好得多的扩展性能。原因是PIM使用基本的单播路由表在路由器中执行F检测功能，与DRP不同，它不发送自己的组播路88、由更新。然而,PIM有和VMRP一样的扩散核剪枝行为，因此，能够承受不必要的信息在密集模式域上的周期性扩散随着互联网的发展，现在的组播网络越来越多的使用协议无关的组播协议PM,来构建有组播需求的IP网络,这也使得该网络将来使用更先进的单播路由算法,构建更复杂的网络成为可能。综上所述,在的内、外网中，都采用PM M来实现组播功能。3.10 VLAN规划本系统的内、外网络为核心-汇聚接入三层稳定的网络结构。所有VLAN的网关均在汇聚交换机上设置。即所有的二层网络只存在于汇聚和接入之间，这样做的好处是多方面的。例如，二层网络终结于汇聚交换机，可将广播包屏蔽于核心层之外（DC Rlay除外）,避免网络89、核心因广播包过多而引起的网络性能下降和资源浪费;可以方便的在汇聚交换机上部署安全策略，例如防BT下载等；可以通过调整路由参数,人工限制数据流路径，方便实现流量整形和网络监控;通过路由协议可以很方便的实现负载均衡和冗余备份,不需要通过额外设置网络生成树。根据的建筑分布情况，我们把内外网分别分为3个区域，即1#、2#和3楼各为一个区域. 上述各个区域的内网和外网各有两台带三层交换功能的汇聚交换机,按照前面章节描述的方式上联内网和外网的2台核心交换机S851. 在各个分区内独立进行VLAN划分的基本原则是：在每个区域内进行独立地规划VLAN。但为了更好地管理和维护网络,建议所有的VT域的LANID不90、要重复,也就是说虽然我们没有建立跨越核心交换机的全局VLAN,但划分后的所有区域内的AN的ID要全局唯一 。 各区域内的VLN应按照区域内的功能和物理位置分布来规划。VLAN ID全局唯一示例3.11 地址分配原则本系统的IP地址分配基本原则如下：1、 内网与外界无任何联络，全部为内部服务,因此建议继续选用FC 1918私有IP地址，外网选用原有的真实IP地址。2、 为了上网用户使用方便和提高系统可控和可管理性，内网和外网全部采用VLSM和DCP方式动态分配IP地址。3、 内网和外网中网络设备互联地址选用C1918私有I地址。3.11.1 内网IP分配规划因为本系统内网全部为内部系统服务,因此91、选用RF 1918私有P地址0。0.0。0/8，按照行政区域来分配IP地址。建议给部领导和每个司局级单位分配一个B类地址10。.0。,以保障各单位将来网络扩展的需要,各单位可根据自己的业务和管理需要进行P地址规划申请,由网络中心统一审批分配。建议采用VLSM、IR等I地址分配技术进行地址分配。可变长子网掩码VLSM（Variable Len Sune Mask)技术对高效分配I地址(较少浪费)以及减少路由表大小以及对网络接入进行控制都起到非常重要的作用。CIR ( Clssless inte-doain otng） 是为了解决Pv4地址匮乏、路由表爆炸和整个地址耗尽等危机问题而开发的一种直接的92、地址分配解决方案，是指通过路由总结后,实际网络掩码可小于主网规定的掩码,达到更大的路由总结效果。为了保证IPv的地址块整齐,便于地址汇聚和简化路由,按照各司局级单位所在区域（不完全准确)的总体I 地址分配方案如下:序号地址范围用途10。0.0。0/16-09。.0网络中心预留210。00。/1610。19.0。0/16A单位30。20。0。0/6-.290。01单位410。0。0。01610.39。0。0/16单位510.400。0/1149.0.0/单位6 7其他预留上表将私有地址段1。0。8按物理区域分配给各个单位未分配的私有地址作为未来网络扩展的保留.这样，在网络中心能够便捷、有效地判断93、一条路由来自哪个区域的哪个单位和该路由的大概用途。内网的网络设备间联络的链路地址选用另一段RF 191私有I地址:192。168。.y/30，其中0127。3.11.2 外网IP分配规划外网的IP地址分配除了用户使用真实地址，而不是保留地址外,其余都与内网的分配规则相同.外网的网络设备间联络的链路地址同样也选用另一段RFC 18私有IP地址：92。18./0，其中28x2。虽然内外网为完全的物理隔离,但也尽量使内外网的网络设备互联地址不要相同3.12 本设计方案的特点3.12.1 完全的分布式的处理方式S80为用户提供完全的分布式的处理方式，内网和外网中的数据量是非常大的，因此主交换机是否能够94、做到线速关系到整个网络的是否会发生拥塞。华为3COMS8512背板交换容量为20Gbps,够做到所有G接口的双向的线速。8512的分布式的转发，对于路由查找是非常有益的补充.因为S852的路由查找模式为最长匹配这样就可以避免网内外的非法用户利用专门的攻击软件来攻击中心交换机，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的PU处理能力，直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。但是S851是根据最长匹配来查找路由的,是针对网段进行路由的。所以当攻击者进行攻击时，S812只能造成该接口板的业务能力处理下降,但是对于整机没有多大影响。这是我们选则S851的作95、为核心交换的非常重要的原因.3.12.2 核心交换机先进的体系架构设计网络的背板技术经历了共享式、缓存式等发展，rossar技术被公认为最为完美的一种设计方式,华为3Cm公司8512交换机采用背板采用分布式rosbar的技术，整机的转发不存在任何的瓶颈问题,同时, 852可实现背板容量的平滑升级,除背板采用rsba的方式，在接口板上，华为3Com公司S85核心交换机采用分布式Cosbar的技术，即在每个业务单板上面也同样采用Crossbar的技术,端口与端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶颈，大大提高了核心交换机的整机转发性能。3.12.3 基于流攻击的防96、止华为co所采用产品S80、S6500等三层转发模式均为最长路由匹配技术。这样就可以避免网络内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CP处理能力，直到彻底使主控处理板的CP丧失处理能力,整个机器瘫掉。S51是根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时，不会造成S8512业务能力处理下降，对于整机没有影响影响。这是我们选择S8512的作为核心交换的非常重要的原因。3.12.4 QOS功能Qs对于网络的应用来说是非常重要的,考虑到本系统内、外网未来要增加多种的业务,如:流媒体点播、97、视频点播、视频会议等,这要求全网能够提供强大的Qos的功能,华为3cm的800、6500全网产品可以为用户提供丰富的Qos保证,华为3公司支持QoS技术中的Q/C/WFQ/LLQ/CBFQ等转发队列优先保证机制，所携带的I地址段、TOS值、源端口号等均可实现业务的保证，同时可以针对不同的接入层交换机端口或是不同业务进行端口的限速,以提高全网的Qo业务的保证。同时S850以及S6500可实现基于业务类型的流领控制功能，如：基于端口、IP、Vln等带宽管理以及优先权的分配，可实现带宽管理最小粒度为K。3.12.5 广播风暴的抑止华为3Cm S800 、S500、300接入交换机均可以实现基于端口的98、广播风暴抑止功能,可支持同一VLAN内的风暴抑止功能，可以有效的抑止局域网内部的广播风暴,确保网络的安全稳定.3.12.6 高可用性保障设备和线路的备份非常重要，本网络的设计当中，我们在内网和外网的核心和汇聚层都配置成双机高可用（HA)性工作方式,来保证整个核心层的网络设备无单点故障,这样可以在采用负载均衡技术扩大带宽的同时实现线路和设备的备份,当其中一条线路或一个设备出现故障,可以通过A实现设备和线路的接替。这样大大提高了网络组网的可靠性，进而提高全网的可靠性。4 网管管理系统4.1 网络管理的重要性目前各行业信息化建设逐步加快,随着网络规模的扩大、网络应用种类的增加、网络业务越来越复杂,网99、络运用过程中暴露的问题也越来越多，比如集中监控、安全、故障定位、维护等问题越来越多地困扰着网络用户。可管理的网络解决方案已经成为用户的必然选择，功能强大、操作简单便捷的网络管理系统已经成为网络管理者日益渴望的内容对于的内网和外网网络,需要为各个节点提供端到端的数据和其它类型的业务，同时为了提高设备和网络的投资效率,所有相关业务的都需要本着资源共享、业务综合的原则进行统一规划、统一建设，对于网络的统一管理和部署提出了很高的要求。面对上述业务提供中遇到的挑战，如果只依靠采用先进的技术和硬件设备是不够的，因为不论多先进的网络,如果缺乏一套专业,完善的网络管理系统也无法保障能为用户提供高效、优质的网络100、服务.同时网管系统还应切实符合用户需求的网络管理功能,将单纯的设备拓扑管理、性能管理转向用户的业务管理，以及降低网络维护工作量,缩短故障修复时间.4.2 管理系统的总体设计基于我们对项目的了解以及分析系统对网络管理的需求,我们认为本系统的内、外网的管理系统应具有以下特点: 网管系统应以内网和外网的I数据服务业务为导向,在最大程度上保证网络运行的高稳定性 网管系统必须开放且易于使用,这样可以帮助环用户在采用先进技术同时不会增加业务运行的人工维护成本。 网管系统应提供丰富的管理特性,以满足网络在复杂网络环境中的多方面管理需求 所提供的管理功能模块尽量相互集成。 内、外网络中的所有网络资源,如核心路101、由交换机的设备工作状态、网络性能、通讯延时等等均可通过直观的人机介面进行监控、管理。应使网络管理员不但可以改正出现的问题,而且还可以发现网络中的潜在问题.4.3 华为3om网络管理解决方案本次项目建议配备的Quiie网络管理软件是华为Com公司对全线数据通信设备进行统一管理和维护的网管产品,位于网络解决方案的管理层，能够实现网元管理、网络管理的功能。Quidvie与华为om公司的数据通信设备产品一起为用户提供全网解决方案.Quivew网络管理软件基于灵活的组件化结构,包括网络管理框架、设备管理系统、网络配置中心、分支网点智能管理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件102、，真正实现“按需建构”。此外，uidviw网络管理软件能够集成到SNMP、HP Opniew等一些通用的网管平台,给用户提供整合的统一网管解决方案4.3.1 产品特点uivew网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络集中监视Qudvew网络管理软件提供统一拓扑发现功能，实现全网监控,可以实时监控所有设备的运行状况,并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行.l 103、全网设备的统一拓扑视图;l 拓扑自动发现，拓扑结构动态刷新；l 可视化操作方式：拓扑视图节点直接点击进入设备操作面板；l 在网络、设备状态改变时，改变节点颜色,提示用户;l 对网络设备进行定时（轮询间隔时间可配置)的轮循监视和状态刷新并表现在网络视图上;l 支持拓扑过滤，让用户关注所关心的网络设备情况;l 支持快速查找拓扑对象,并在导航树和拓扑视图中定位该拓扑对象;故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。l 告警实时监视,提供告警声光提示;l 支持告警转到Email、手机短信;l 支持告警过滤,让用户关注重要的告警,查询结果可生成报表；l104、 支持告警级别重新定义,支持告警转存,保证系统的运行效率和稳定性；l 支持告警拓扑定位,将显示的焦点定位到产生选定告警的拓扑对象;l 支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警等.性能监控Quidvw网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户通过性能任务的配置，可自动获得网络的各种当前性能数据,并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。管理多厂商设备Quidvew可管理所有支持标准NMP网管协议的网络设备,为多厂商设备共存的网络提供了统一的管理方式。 拓扑图自动发现多厂商设备; 105、可以对设备进行性能监视,包括接口的流量监视,利用率监视等; 可以接收设备告警，并进行告警信息显示.服务器监视管理服务器是企业P架构中的重要组成部分，通过Qdview，可实现服务器与设备的统一管理。 支持对CP、内存资源消耗的监视； 支持对硬盘使用情况的监视; 支持运行进程的资源监视； 支持对服务的资源监视；设备配置文件管理当网络规模较大时,网络管理员的配置文件管理工作将十分繁重,如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件。这样就给网络管理员管理、维护网络带来一定的困难。udviw网络配置中心支持对设备配置文件的集中管理，包括配置文件的备份、恢复以及批量更新等操作，同时还实现106、了配置文件的基线化管理,可以对配置文件的变化进行比较跟踪。设备软件升级管理Qudiw提供完善的设备软件备份升级控制机制。使用Qview,管理员可以方便地查询设备上运行的软件版本,并利用升级分析功能来确定设备运行软件是否需要升级。当升级软件版本时,可以利用Qidvi集中备份设备运行软件，然后进行批量升级升级之后，可以使用Quidview进行升级结果验证,确保升级操作万无一失。集群管理针对大量二层交换机设备的应用环境，Quiie网络管理软件提供集群管理功能,通过一个指定公网I的设备（称作命令交换机）对网络进行管理.l 节省公网IP地址资源;l 实现对一组设备统一、集中、批量配置管理;l 实现设备的107、集中维护管理;l 网络拓扑信息自动收集、维护,动态更新;l 实现方便的软件升级、配置数据备份、配置数据恢复;堆叠管理Quidvw网络管理软件通过堆叠管理,可以集中管理较大量的低端设备，并且为用户提供统一的网管界面,方便用户对大量设备的统一管理维护。故障定位与地址反查针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具路径跟踪和端口环回测试;当用户报告网络端口使用异常时,网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障.Quidview提供的端口反查功能支持两种方式的查找定位功能:MAC地址端口反查和I地址端口反查,使用时分别输入终端用户的AC地址或IP地108、址,能够定位该终端用户连接的交换机及交换机的端口,帮助网络管理员及早定位非法报文接入网络的原始端口,及时关闭端口,防止一些违规用户进行非法操作比如滥发报文、访问非法站点等，危害网络安全。MN管理MO管理根据RFC175定义的标准RMNMIB及华为3Cm自定义告警扩展MIB对主机设备进行远程监视管理。uivew网络管理软件的MON管理包含的功能如下:l 统计组的配置及数据浏览；l 历史组的配置及数据浏览;l 告警组的配置及浏览；l 事件组的配置及浏览；l 扩展告警组的配置及浏览；4.3.2 典型组网应用Qudiew网管系统可以适应如下的设备组网方式：1. 全网使用华为3Co网络设备组网如果网络中109、只有华为3Cm公司设备，那么用户可以只单独安装Qidviw，使用Quiew自带的网管平台。根据用户选择安装的组件，用户可以完成华为3om全系列网络设备的拓扑管理、故障管理、配置、维护、性能监视等功能,为用户提供完备的网络基础层次及业务层次管理;2. 多厂商网络设备共同组网如果网络中存在多厂家设备，且用户需要进行统一管理,可以使用Qudview独立管理全网设备或通过与其它网管平台集成来管理：l Quvie网管系统独立运行Quidvie网管系统除了具有设备网管的功能（可对华为3Com公司的设备进行管理),同时具有很强的网管平台功能,可针对支持标准网管的第三方厂商设备,做到基本的网络管理,包括拓扑发110、现、告警接收、性能监控等通用网管的功能。l Quidviw网管系统与其它网管平台集成可以使用通用网管平台如 Onie完成基本的跨厂商全网IP 设备管理，实现网络的拓扑管理、故障管理、性能管理等功能，然后将Quidvi集成在通用网管平台上，利用Quiew网管完成华为3C网络设备的配置管理。4.4 用户的安全接入管理华为Cm的全系列网络产品及网管系统均支持用户安全接入管理功能,通过对用户进行分级控制，不同级别的设备管理者在通过合法性认证后，对设备管理拥有不同的管理权限,从最普通的查看级到最高的系统管理员权限可分为4个级别。尤其对于网管人员而言，Qudiew还记录下网管人员的每个配置步骤，将来一旦网111、络出现问题,使得网络故障有据可查.5 网络系统安全特性由于近几年网络安全问题频繁发生，因此我们在网络设计的同时必须将安全问题提高到一个新的高度,在这里我们将提供一系列安全特性,能够从网络的链路层开始就对内、外网进行全方位的保护所以，本系统的内、外网应该从网络管理角度做如下若干安全考虑。5.1 配置IS本系统配置了6台IDS,详细设计请参阅“网络入侵检测”章节。5.2 网络病毒的诊断目前网络病毒十分盛行，严重地干扰了各系统的生产网。尤其是以”Re Code”红色代码病毒为代表的各种变种病毒,给网络造成极坏的影响。本系统的外网因与公网联络，同样面临这个问题。常规的解决办法是部署网络版防病毒软件。本112、方案也配置了“趋势”网络防病毒系统(详见“网络防病毒”章节).另外还需要采用网络故障诊断手段,配置端口复制功能,用Sifer去发现病毒源,然后用杀病毒软件解决.但这种办法效率不高如果需要，我们可以在网络内部，在核心和汇聚交换机内配置数据流统计功能,实时发现病毒源.但此功能的实现需要额外增加相关的软件和硬件设备,可在未来网络建设项目中增加5.3 协议的安全性在网络中运行着很多网络协议，包括路由协议和各种为上层应用服务的广域网、局域网络协议等,核心路由交换机上也存在着很多服务，有些服务是网络运行所必需的,必须打开它，而有些服务是对网络运行无关紧要或无用的，可以关闭。正是这些网络协议或服务,确保了网113、络系统的正常运行，因此，我们首先应确保这些网络协议或服务的安全性.5.3.1 应用服务协议的安全对这些路由协议和各种上层应用服务的协议,我们应区别对待。首先，对于网络运行所必需的协议，如路由协议等，我们不但应正常运行，而且必须加以保护，以防止非法路由器加入或伪造的路由信息,系统如何能够鉴别出哪些路由信息是可靠的呢,就必须采用一些加密技术或邻机校验方法，以完成认证,对于网络运行无关紧要或无用的协议，则应严格限制或关闭，而对于对网络运行有危害或本身有安全缺陷的协议，则应关闭,例如finge等。同时，为增强安全性,应打开以下一些标记时间和密码加密,设置系统LO功能等的服务.5.3.2 路由协议的安全114、在路由协议安全性方面，我们可以采用路由器邻居相互校验,校验方式可以是明码方式或D5加密方式,如选用OP路由协议可采用MD校验方式,也可以采用明码方式。通过明码或M5加密方式校验,可以确保只有有效的路由器才能加入到网络,从而能够避免非法的路由器或伪造的路由信息加入到网络中,使路由出错,导致网络瘫痪。也可以针对某个具体端口对不同的路由级别设置不同的密码。5.3.3 网管SNP的安全性SNP是另一种访问网络设备的方式。使用NMP,管理员可以收集网络设备的状态,配置网络设备。G-request、getet-reques消息用来收集状态信息,set-eques消息用来配置网络设备。在每台路由器都要 配置115、communitting,每一个SNMP消息都有一个cmuniy trig来进行校验,每个网络设备的SNMP代理上可以进行配置不同的communtsting来进行读模式和写模式的访问。SMP1的munity ting是采用 明文方式传输的，NMv2的cmnitystrin采用MD5来进行加密,同 时SM可以和访问列表结合起来,使指定的的IP地址或端口才可以访问到网管信息。我们可以采用相关命令,结合访问列表来设置SMP的安全性。同时,也可以打开所需要的Tra功能，未被该命令所明确的功能则被屏蔽掉。5.4 网络设备的安全性对网络设备的访问与配置,主要有以下两种方式:控制口consol的控制和远程登116、录elet 的控制。5.4.1 控制口console的控制控制口(coole）是完成网络设备最初是配置的，它一般用来直接接一个终端,另外，AU口作为辅助。通常，采用密码校验来控制用户访问nsole口,缺省设置是不需要密码就可以访问我们可以通过以下方法来控制onsle口的安全: 用户模式密码(只能用一些查看设备状态的命令); 特权模式密码(能使用所有命令查看设备状态和配置设备）; 会话超时(console口没有使用一段时间后自动断开)； 密码加密(将密码以加密的格式保存）。同时，可以和访问列表结合，以保证只有合法的地址才能访问设备,对于本系统的具体网络环境，我们可以采用一些命令来加强安全性,并用117、可以与RADUS结合实现集中认证。5.4.2 远程登录lne 的控制通过le到网络设备上,我们可以进入用户模式和特权模式,完成查看和配置设备的全部功能,一般的网络设备同时可以有几个虚拟终端口用来远程登陆。我们用上面提到的控制conole口的方法来控制tenet的安全，还可以用访问列表来限制远程登陆的主机,还可以通过设置TCP端口来控制远程登陆的权限。以上的方法都只有密码验证，没有用户名验证，我们还可以用RADIUS Sever来进行分用户管理telne的访问权限。5.5 限制外网B业务流量如果外网遇到B业务的大量应用导致网络出口流量阻塞，将使得外网用户上网运行缓慢,影响业务的使用。BT应用对于118、外网的危害首先，网络并不是某一个用户的网络。网络的整体可用性是网络设计的首要因素。如果对外网网络的用户不加任何限制,任其对网络过度使用，后果只能是由于其中某个或某几个用户造成全体网络的瘫痪。最现实的例子就是宽带环境中BT下载软件的泛滥.现在各大宽带运营商包括网通在内都已经封闭了BT端口。造成这个结果的不是B本身的危害,而是对网络没有有效管理的后果。方法一:利用客户端与客户端连接的端口号:实现中，提供了一个端口范围(881889)，可以通过这个范围的所有端口来限流。这种方法在前期一定程度上是可用的;因为:BT的官方网站提供了一个默认的监听端口范围(6881689)。但是,这种方法比较片面，因为通119、过一定的技术手段可以改变这个端口范围(网上有);另外，BT的客户端较多，它们所采用的端口范围及实现方式各不相同(见下表）。BT客户端端口范围贪婪ABC可以手工设置BiComet没有公开BitTen Pl可以手工设置itToret6881688比特精灵it Spirit688所以,采用这种方来对BT进行限流效果不是很好。 方法二：基于深度业务感知对协议进行分析对所有的IP 包都进行检查,如果I包的数据区包含 T对等协议的特征“Bitorren protool”(BT协议规定），那么可以标识这是一个BT流，标识了以后,就可以采取相应的措施(AR)对它进行限流。以下是通过对几种BT客户端的报文分析来120、验证上述方案.客户端：贪婪AC 由上图可以看贪婪ABC建立连接的过程是：1、 TC的三次握手2、 握手成功后，紧接着是BT对等协议的二次握手3、 握手成功后,进行数据的传输。由图分析可知:1、 CP三此握手与BT对等协议二次握手用的端口号都是一样的，并且以后得数据传输用的端口号也和前两者是一样的。2、 C头之后的B对等协议的报文格式对应如下：19-对应图中的“1(十六进制)”B 对应图中的“42(十六进制)以后对应“ttorrent rocol”八个保留字节对应图中的八个“0(十六进制）”info 信息对应的报文有20个字节长总长为48字节客户端：BitTorent Plu！ 由上图可以看iT121、ornt Pls!2建立连接的过程是:1、 P的三次握手。2、 握手成功后，紧接着是BT对等协议的二次握手。3、 握手成功后,进行数据的传输由图分析可知:1、 CP三此握手与BT对等协议二次握手用的端口号都是一样的,并且以后得数据传输用的端口号也和前两者是一样的.2、 CP头之后的B对等协议的报文格式对应如下:9-对应图中的“13(十六进制)”B-对应图中的“（十六进制）”以后对应“ittorrt protool”八个保留字节-对应图中的八个“00（十六进制）”if 信息-对应的报文有20个字节长perid20个字节总长为68字节客户端:BtComet由上图可以看BitTon Pus！ 2建立122、连接的过程是：1、TCP的三次握手。、握手成功后,紧接着是BT对等协议的二次握手.3、握手成功后，进行数据的传输(图中显示握手没有成功）。由图分析可知:1、 TP三此握手与T对等协议二次握手用的端口号都是一样的，并且以后得数据传输用的端口号也和前两者是一样的。2、 TCP头之后的BT对等协议的报文格式对应如下：19对应图中的“13(十六进制）”- 对应图中的“42（十六进制）以后对应“ttrnt procol”八个保留字节-对应图中的八个“0（十六进制）”nf信息对应的报文有个字节长per 0个字节总长为68字节华为3m 851核心交换机支持深度业务感知，可以实现对于外网T业务的禁止或限流量。123、5.6 多元绑定技术的应用“安全”通常是网络系统管理员最为关注也是最为头痛的问题。5.6.1 网络安全特征5.6.1.1 AC地址的盗用MA地址的盗用是指上网用户通过各种软件(实际上是通过修改注册表)将自己的MC地址进行修改，改为一个未知的MAC地址或是改为别人的MC地址.AC地址的盗用可对整个网络带来巨大的隐患:)接入交换机MAC地址表溢出。由于二层交换机内部有一张维护的MAC地址表,当非法用户通过各种手段将自己报文中的源MAC地址更改时,就会导致交换机内的MAC地址表项越来越多,最终使得MAC地址表塞满,当新的用户通过交换机上网的时候,由于交换机内部的MA地址表已经塞满，而且新的非法报文的124、源MC地址将会不断的刷新交换机中的MC地址表。这样的攻击将导致合法用户无法接入,(新增合理用户的M地址表项将会不断被非法用户的MAC地址覆盖）,严重时可以直接导致接入交换机瘫痪。b)隐藏自身MAC地址或盗取其他用户的MAC地址。当非法用户更改的M地址是预先知道的某个合法用户的MA地址时，合法用户就无法通过二层交换机上网,因为在交换机的C地址表是不允许存在两个相同的MA在同一张MAC地址表中存在。如果我们对该非法用户依据其MA地址进行了跟踪记录,那么这条记录追查到的结果一定是错误的。MAC地址盗用给用户所带来的影响远远不止这些，以上只是列举了一下网络中常见的几种MAC地址盗用问题。5.6.1.2125、 IP地址盗用I地址盗用带来的问题与MAC地址的盗用来说有过之而无不及,地址对于用户来说更加直观,用户更改IP地址比更改MA地址更加的方便，这使得IP地址盗用比MC地址盗用更加普遍。常见的I地址盗用存在以下几种常见情况:a)私自更改自己的IP地址。对于用户来说有些用户出于好奇或是其他的各种想法,手工更改自己的IP地址,这使得原本分到该IP地址的合法用户无法正常上网,同时也将导致整个网络的IP地址管理混乱。）通过各种软件进行基于IP的攻击。Dos是最常见的一种基于IP的攻击方式,其原理是非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP地址进行修改以掩藏自己真实的IP,这样就可以逃避网126、管的追查,“堂而皇之的攻击对方了.5.6.1.3 端口的不固定性虽然大家为了提高整个网络的正常运作出了各种各样的努力，但是网络当中终究还是会出现各种各样的安全问题,这就需要对已发生的问题进行完整的记录以及彻底的追查，“端口的固定就成为了网络管理员们关心的问题.网络的捣乱分子往往在不同的位置上网，同时在网上留下大量的“劣迹”,由于非法用户在非固定的端口进行的动作,因此,对于网络的管理员来说,要找出他们就如同“大海捞针。5.6.1.4 账号的盗用账号的盗用实际上是由网络的管理角度延伸出来的一种“盗用”方式,对于网络的管理员来说，如果没有对账号做好“处理”,一个账号很有可能被多个用户使用，账号的混乱127、使得我们根本无法做到“网络管理到人的目的。5.6.2 可用绑定技术规划高安全的网络如何阻止内部用户或外网用户对外网的非授权连接和访问,是本系统安全规划的重要问题之一.众多的盗用问题使得我们想:如果限制用户只能用自己的账号、采用自己的密码、采用自己的主机、采用分给他的I地址、采用固定的物理端口进行接入,如果其中的一项不相符,认证就不允许通过。这样,多元素的绑定技术就诞生了。由于用户的接入是通过二层交换机来实现的,而原来的二层交换机是并没有的概念(IP是三层的概念）,这就需要二层交换机提高自己的业务特性以适应人们的要求,华为om交换机均支持2层半技术.我们上面所说的用户账号、密码、用户的主机（MA128、地址）、分配的P地址、对应的交换机端口五个元素进行绑定,为了限制用户的VLAN间的漫游在绑定的过程当中同样可以将VLN作为其中的一个绑定元素进行绑定,这样就成了6元组的绑定。但如果我们分配每个端口一个单独的LAN，VLN的绑定实际上就成了端口的绑定.实际上绑定的技术可以通过两种方式来进行实现：AA服务器的绑定、接入层交换机的绑定,下面我们分别来进行介绍。1) AAA服务器的绑定：我们来看，通过AA服务器作绑定主要是在AAA的服务器中都存在有我们对于每一个接入用户的元素信息,我们举例来说,用户A在发起认证的时候，首先要到AA服务器上进行身份认证，AAA服务器会检验用户认证信息中携带的元素是否与服129、务器中预先存有的信息一致(账号&账号&MAA&IPA&端口A&LNA),如果一致则认证通过，否则,就认为该用户为非法用户,严禁接入。当用户通过了认证以后,接入层交换机与认证客户端(8021客户端）之间还会不间断的通过检测报文（Hlo）进行检测,一旦用户在通过认证之后更改自己的P,客户端会通知交换机，交换机再上报至A服务器，AAA服务器会强制用户下线，这种方式可以实现对用户有效的控制。2) 接入层交换机的绑定：AA服务器可以实现多元素的绑定,但是我们也可以看的出来,这种绑定技术并不是所有的AA服务器都可以实现的,同时，部分的元素绑定还要通过接入层交换机与AA服务之间进行友好的配合才能够实现实际上130、除了AA服务器能够实现对于用户的多元素的绑定，通过接入层交换机同样可以实现对于多元素的绑定,而接入层交换机的绑定技术大致又可以分为三种方式：a) 静态技术。静态绑定在绑定技术当中最为简单,网管管理人员只需要将对应交换机下的接入用户相关元素进行搜集，并在该交换机上进行配置即可实现对每个用户的控制。如图所示,当接入用户的相关元素与接入交换机AC列表中的对应关系不相符时,交换机认为该用户为非法用户，禁止接入。这种方式可以有效的对用户进行控制,用户的AC、IP、物理位置、VLN成为用户上网的钥匙.静态绑定技术不需要依靠其他任何的设备,如:AAA服务器等。但是如果网络较大、接入交换机数量较多,这种绑定方131、式会给用户带来的一些不便，如:用户的网卡更换、物理位置的更换、IP地址重新分配等等.因为这些变化会产生对应接入交换机的进行配置更改.新的用户而带来的新的MAC地址需要在接入交换机上进行添加;用户因为办公位置的调整而产生的交换机配置的更改；新增开户的分散性给交换机带来的配置更改等等。虽然现在网管技术使得我们可以减少部分的工作量,但是这种无规律性的变化往往会导致网络的管理人员对自己的网络无法实时的了解,接入交换机数量巨大也会增加网管人员的工作量，最终导致整个网络的混乱以及无序性.b) 自动绑定、释放技术。静态的绑定技术虽然解决了我们在网络当中遇到的各类问题，但是由于其不友好的特点也给人们带来了大量132、的不便，因此我们建议采用自动绑定、释放技术来作为用户安全管理的重要方式。自动绑定、释放技术主要是为了防止用户在通过认证以后，在上网期间随意更改自己的IP地址，同时可以防范Dos攻击等多种非法用户的攻击,如图所示,用户在认证通过以后在交换机上会产生一条ACL策略将该用户的P、MC、VLA、端口进行捆绑,如果此时用户随意更改自己的P地址,交换机将会强制用户下线。用户下线后，对应端口的ACL策略会自动释放、删除,这种绑定技术对于动态IP地址和静态I地址的方式都可以采用,只是动态IP地址的方式。3) 两种技术的综合综合上述的绑定技术，在本项目当中我们建议采用两种技术的结合的方式来实现对于用户的安全、控133、制.如果我们将AAA服务器的绑定与接入层交换机的自动绑定、释放技术结合起来会发现,其可以提供一个少工作量、高安全的网络解决方案。防止DS等攻击。采用AA服务器的绑定方式可以实现对在线用户IP地址更改强制下线，但是在像Dos攻击等非法操作面前却束手无策如上图所示，是Dos攻击是通过更改发送报文的源IP地址的方式进行攻击,非法用户通过将发送报文的源I地址改为被攻击用户的IP地址,由于A服务器并不检测用户发送的报文,而只是检测接入用户PC主机的IP地址或是MAC地址，也就是说非法用户A虽然在做非法操作，由于其本身主机的IP地址以及MAC地址并没有改变,所以AAA服务器认为其为合法用户，不会采取任何操134、作.那我们如何来解决这种问题呢?AAA服务器绑定+交换机自动绑定、释放技术可以完美的解决这种问题。如图所示，首先用户A认证的时候,AA服务器首先要确认A、B用户的MAC、账号、密码、VA、端口、IP等信息是否与服务器内保存的信息相符,这一步是用来确认用户合法身份的。当用户认证通过之后,由于接入层交换机启用了自动绑定技术,这样在A、B用户对应的端口将会产生各自的绑定元素，即I端口MAC元素的绑定，此时一旦用户在线更改任意元素将会直接下线.对于Dos攻击来说，如果A用户更改了自己的发出报文的源IP地址的话，由于用户的所有报文都是要通过其接入的交换机的，当接入交换机的源P、MAC地址与交换机端口绑定135、的不相符时,交换机端口就会将非法报文丢弃,确保整个网络的安全稳定。总的来说，AA是认证时确认用户的合法性，接入交换机是认证后监视用户操作的合法。综上所述,自动绑定技术+AA服务器的绑定可以确保用户的认证安全、合法，同时其简单的操作性可以确保网管人员工作量减轻,提高网络的维护效率。5.7 防止对HC服务器的攻击使用HP Server动态分配P地址会存在两个问题：一是DC Server假冒，用户将自己的计算机设置成DH Sever后会与局方的DHCP erer冲突;二是用户DC murf,用户使用软件变换自己的M地址,大量申请I地址，很快将DC的地址池耗光。华为3C系列交换机可以支持多种禁止私设D136、HCP r的方法。5.7.1 PrteVLA解决这个问题的方法之一是在桌面交换机上启用rvate VLAN的功能。但在很多环境中这个功能的使用存在局限，或者不会为了私设DCP服务器的缘故去改造网络。5.7.2 访问控制列表对于有二层半功能的交换机,可以用访问列表来实现。就是定义一个访问列表,该访问列表禁止surce pr为6而naionprt为68的UDP报文通过.之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦,可以结合ntace range命令来减少命令的输入量。5.7.3 新的命令因为它的全局意义，也为了突出该安全功能，建议有如下单条命令的配置:srvic137、e dhcoffer deny exlude intface iterfaceypeinterface-nuber interface terfactyp iterfacenumb nne如果输入不带选项的命令nodhcp-offer，那么整台交换机上连接的DHCP服务器都不能提供DCP服务。exlude interfacintertye interfacenube ：是指合法DHCP服务器或者DHC rely所在的物理端口.除了该指定的物理端口以外,交换机会丢弃其他物理端口的方向的DCPOFFER报文。ineface nracty itrfacnmbe | one：当明确知道私设DHC服务器138、是在哪个物理端口上的时候,就可以选用这个选项.当然如果该物理端口下面仅仅下联该私设HP服务器，那么可以直接sab该端口.该选项用于私设DH服务器和其他的合法主机一起通过一台不可网管的或不支持关闭HCP Offer功能的交换机上联的情况。选择one就是放开对dpor的控制。5.8 恶意用户追查对每个用户分配一个账户，使用相应的管理软件来管理用户。由管理软件记录用户每次上网的用户名,源I地址,上网开始和结束时间.然后通过华为的网络管理系统uive的M地址和I地址的反向查找功能,就可以根据源IP或源MC在Quidi网管上查到该用户所在的交换机以及在该交换机上所接的端口,通过这种方式可以立刻定位用户,139、方便对于大型网络的管理，能够方便快捷的防止恶意用户的攻击。5.9 防病毒攻击 本网络建成后必须能够防止基于Mcrosft、inux操作系统的办公内网感染的计算机病毒,如：蠕虫或木马程序等，传播到外网，导致外网瘫痪，影响到整个外网的业务系统的安全。5.9.1 防止DOS攻击由于在本系统中我们建议采用自动绑定技术的82.1X认证方式来实现网络的管理方式,自动绑定技术当用户认证通过之后可以实现相关元素的交换机侧绑定，这样对于OS攻击可以直接在绑定的交换机上进行屏蔽,进而实现网络的安全防护。5.9.2 防止基于流的攻击特性华为3Cm核心交换机80采用最长路由匹配技术,与传统的基于流转发的方式相比，更具140、有强大的安全特性,对于如:红色代码等病毒可具有较高的抗攻击能力，可确保网络的安全、稳定。逐包转发、最长匹配技术杜绝病毒攻击业界包转发技术主要为两种，一种是精确匹配转发技术,一种是逐包转发最长匹配转发技术,两种的区别如下:、目的地址与路由表进行匹配操作,目的地址与路由项的子网掩码进行与“操作2、如果“与”的结果跟网络地址相同,则认为路由匹配、所有匹配项中子网掩码位数最长的为最佳匹配项,据此进行转发4、如果找不到匹配项则转发到0。0。 的确省路由5、如果没有确省路由则丢弃、这种路由叫做最长匹配（longetpefix mth)7、基于硬件的路由技术，做到逐包转发,易于系统稳定与精确匹配比较，最长匹141、配技术具有更强的网络适应能力，在任何网络环境下都可实现线速转发;具备天然的抵御“红码病毒的能力，可有效改善传统三层交换机的安全特性，提升网络的健壮性。华为3CO的S85、6、S3系列产品均采用逐步转发、最长匹配转发技术，对冲击波、红色代码、蠕虫等采用P地址扫描的病毒具有天然抵抗能力，可以极大增强网络的安全性与稳定性。5.9.3 防止病毒的广播传递华为3o交换机可实现广播报文的计数累计功能,往往一台主机受病毒时会发出大量的广播报文，可实现对与进入报文的计数累计,广播病毒一般会在短时间内产生大量的广播包,LS352/3928可设置广播包的阀值，当达到一定的广播保文的数量时端口可是直接关闭,确保网络142、的安全、稳定.6 网络入侵检测6.1 入侵检测系统在外网网络的作用6.1.1 在外网建设入侵检测系统的必要性6.1.1.1 外网网络风险分析本系统外网尽管在外联网出口处放置了防火墙产品，但仅仅靠防火墙就想保证整个网络的安全是远不够的，因为它仍然面临着以下重要的安全风险:来自内部的风险：据调查统计，已发生的网络安全事件中,0的攻击是来自内部.因此内部网的安全风险更严重。内部员工对本单位网络结构、应用比较熟悉,自已攻击或内外勾结泄露重要信息,都将可能成为导致系统受攻击的最致命安全威胁。来自外单位业务系统的风险：在网络上运行的许多业务系统为了服务其他外联单位，需要通过外网与外联单位进行横向连接。与外143、联单位之间不可能是完全信任关系，因此,这之间的互联，也使得本系统外网系统面临着来自外单位的安全威胁。操作系统本身暴露出的安全风险:计算机的操作系统存在许多已知的漏洞,或由于网络管理人员的疏忽往往存在许多配置漏洞。6.1.1.2 网络风险产生的原因管理的欠缺网络系统的严格管理是银行免受攻击的重要措施。事实上,很多银行的网站或系统都疏于这方面的管理。这主要是因为思想麻痹,没有重视黑客入侵可造成的严重后果。在众多政府机构网络化的过程中，大部分都疏于对网络的严格安全管理,没有投入必要的人力、财力和物力来加强Intere/Itat的安全性,没有采取有效的安全策略和安全机制.另外,网络的系统管理员由于技术144、原因或者疏忽,在产品的使用、设置上的失误也会给恶意入侵者留下方便攻击的漏洞。黑客黑客的攻击是网络面临的主要威胁之一。黑客对于大家来说,目前已不再是一个高深莫测的人物。黑客技术逐渐被越来越多的人掌握和发展,世界上有几十万个黑客站点,它们时时刻刻都在介绍各种攻击方法和攻击工具的使用以及系统的安全漏洞，因此网络和系统受攻击的可能性变大。这是网络安全的主要威胁。网络的缺陷由于基于ntrnet/ntranet架构的网络系统的共享性和开放性使网上的信息安全存在先天的脆弱性。Iterne/Itrnet赖以生存的底层TPP协议族不完善，设计的程序对安全性考虑不足，缺乏相应的安全机制，网络最初的设计主要考虑信息145、数据的传输,基本没有考虑安全问题，因此在安全可靠、服务质量等方面存在缺陷。软件的漏洞或“后门随着各种软件系统规模的不断增大，系统中的安全漏洞或“后门”不可避免地存在,路由器、交换机、各类服务器、各类操作系统（比如常用的Wdows、UNIX等)、众多的应用程序(浏览器、桌面软件等)等软硬件产品在设计上存在安全漏洞和隐患,可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，容易被入侵者利用,这也是网络安全的主要威胁之一病毒病毒是一种具有自我复制能力的，出于各种目的编写,能够在隐蔽情况下执行编写者意图的非法程序。计算机病毒对计算机网络影响是灾难性的。计算机病毒的传统146、传播手段是通过软盘,光盘等存储介质进行,近年来随着Intenet的飞速发展，电子邮件系统的广泛使用，使计算机病毒的扩散速度大大加快,网络成了病毒传播的最好途径,大量具有新的传播方式和表现力的病毒，对银行及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。网络内部用户的误操作，资源滥用和恶意行为再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的资源滥用做出反应。此外，缺乏先进的网络安全技术、工具、手段和产品等原因，也导致网络的安全防范能力差。6.1.1.3 网络风险可能造成的后果信息泄漏即信息在通信网络中存储、共享和传输时，被非法窃听、复制、篡改或毁坏。当涉及到重要机密泄漏时,将147、导致不可估量的损失。拒绝服务即系统难以或不能继续执行原有的任务的所有问题这包括服务器或网络的交换/路由设备被占领，以至服务器停止服务,网络连接中断(包括介质、设备、配置、带宽等)等等。举例而言,网络安全风险可能导致的部分后果大致有: 数据被恶意篡改,可能造成恶劣影响和难以挽回的损失; 硬件系统被破坏,造成文件永久丢失；服务被迫停止,造成重大损失;网络蠕虫病毒泛滥即使安装了网络防病毒系统,往往不能杜绝蠕虫病毒的泛滥,严重影响网络应用的正常运行。6.1.1.4 在外网建设入侵检测系统的意义防火墙的局限性防火墙是网络安全策略的有机组成部分,传统的边界防火墙由于其部署于内网与外网之间，进行网络隔离和访148、问控制，但它很难解决内网控制内部人员的安全问题，即只能防范来自外部的风险,而不能防范来自内部的风险。对于应用层的攻击防火墙的防护也是不能令人满意的。目前许多黑客利用一些操作系统及应用软件的漏洞通过防火墙的正常的连接就可以进行攻击，这一点防火墙也是无法做到很好的防范的。安全漏洞与攻击方法的不断出现随着安全漏洞不断被公布，及攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样化,单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要。网络的防卫必须采用一种动态的、纵深的、多样的手段。静态防御的不足访问控制等静态安全措施可以发挥一定的安全保护作用，但如忽略了网络系统中的安全漏洞和随时可能发生的攻击隐患149、,计算机安全系统仍然会受到威胁。部署入侵检测系统不但可以有效地解决上述问题,并且能够帮助用户达到以下网络安全主动防御目的：1 识别各种黑客攻击或入侵的方法和手段入侵检测系统从网络数据流中搜集各种网络行为的信息,然后从中分析各种攻击的特征，它可以全面快速地识别各种网络攻击，并做相应的防范。3 实时的报警和响应,帮助用户及时发现并解决安全问题入侵检测系统在发现入侵或误用行为之后，根据一定的事件响应规则进行实时的报警。入侵检测系统同时也能够针对恶意攻击按照预定的响应方式进行实时响应、拦截4 详尽纪录报警事件信息所有的网络攻击事件的详细信息都会被记录到入侵检测系统的日志中,以备用户进行事后核查。并且所150、记录的日志信息可以作为对攻击者实施法律制裁的依据,加强对用户信息系统的法律保护5 网络攻击事件的统计分析网络管理人员利用入侵检测系统可以便捷地统计分析出网络在一段时间遭受了哪些攻击、哪种攻击方式最多、从哪里来的攻击最严重等等.入侵检测系统产生的统计分析报表将是用户加强网络安全建设的重要事实依据.6 协助管理员加强网络安全的管理借助入侵检测系统,网络管理人员可以随时了解人们正在访问的信息，并且在有人试图偷窥或盗取敏感数据时及时觉察。入侵检测系统具备的网络安全专家的入侵分析与判断能力,扩展了系统管理员的安全管理能力6.2 本系统外网络入侵检测产品选型6.2.1 网络入侵检测技术简介网络入侵检测技术151、(IDS)是一种主动保护自己免受攻击的一种网络安全技术,它是一种在防御的纵深程度上优于防火墙的安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。NIDS的目的是提供实时的攻击入侵检测并及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。它可以防止或减轻上述的网络威胁：识别黑客常用入侵与攻击手段入侵检测技术通过分析各种攻击的152、特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范。一般来说,黑客在进行入侵的第一步探测、收集网络及系统信息时，就会被DS捕获。监控网络异常通信ID系统会对网络中不正常的通信连接作出反应,保证网络通信的合法性;任何不符合网络安全策略的网络数据都会被NID侦测到并警告。鉴别对系统漏洞及后门的利用NIDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析，可以有效地发现网络通信中针对系统漏洞进行的非法行为。完善网络安全管理NDS通过对攻击或入侵的检测及反应,可以有效地发现和153、防止大部分的网络犯罪行为，给网络安全管理提供了一个集中、方便、有效的工具。使用IDS系统的监测、统计分析、报表功能，可以进一步完善网络管理.6.2.2 网络入侵检测技术分析6.2.2.1 技术分类入侵检测系统所采用的技术可分为特征检测与异常检测两种。特征检测 特征检测（Sigaturbaed detecon)又称Misusdeteco，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力.其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来异常检测异常检测（Anomal dettion）154、的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。6.2.2.2 常用检测方法入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品，其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。特征检测 特征检测对已知的155、攻击或入侵的方式作出确定性的描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。 统计检测 统计模型常用异常检测,在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为: 操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到，举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击； 方156、差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常; 多元模型，操作模型的扩展，通过同时分析多个参数实现检测;马尔柯夫过程模型，将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件； 时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵. 统计方法的最大优点是它可以“学习用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。 专家系统用专家系157、统对入侵进行检测，经常是针对有特征入侵行为所谓的规则,即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-hen结构(也可以是复合结构）,条件部分为入侵特征,hen部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。6.2.2.3 入侵检测发展趋势目前IDS发展的最新趋势是在理解协议的基础上以数据流对象,充分利用各种检测方法,综合检测攻击事件,处理误报和漏报的矛盾。不仅158、发现攻击的事件,同时记录攻击发起的过程。不仅发现外部攻击行为，同时解决内部安全隐患。不仅利用被动分析的方法,同时利用主动探测的手段。不仅单纯解决网络安全问题，同时对网络的运行状况进行全面的监测，审计和管理.不仅满足目前网络的安全需求,同时考虑网络发展过程中不断产生的新的需求。同时，在满足功能日益增强的基础上，充分考虑可靠性,易用性，可扩展性，可管理性。因此,目前的IS应具备以下特性: 强大的入侵识别和响应； 高效的网络应用内容恢复; 全面的网络信息收集与审计; 完整系统健康扫描; 灵活的日志查询和报表; 实时的网络监控; 多样的辅助工具和简捷的管理。未来IDS的发展目标应该是成为综合的网络健康159、监控和管理平台。6.2.3 网络入侵产品选型本系统外网产品在比选文件中有如下要求：类别指标项指标要求物理特性数量台硬件参数CPU:Intl Xeon 3G以上硬盘：SCSI10 B以上内存:2Gz或以上网络接口具备1个千兆光口探头，一个管理接口。管理功能集中管理支持分布式集中管理，实现多个探针设备的远程集中管理,探针产生的告警和流量信息可实时汇总到控制台进行监控和分析跨网段管理支持复杂网络的管理,包括穿透防火墙从外部网络到达内部网络管理形式支持控制台和命令行配置。管理难易程度产品界面友好,易于配置和管理.自定义规则支持对检测行为的个性化设置，包括为不同对象设置不同的策略,以及自定义检测规则管理160、方式 支持本地和远程管理。Seor和控制台之间的通信采用加密方式。认证 支持双口令认证，支持管理员分权认证审计能够提供脱机浏览器浏览日志信息，而不需要三方的数据库.管理权限分级支持管理员分级管理。基本功能报警方式报警方式支持邮件、声音报警、选择阻断、与防火墙进行联动、yso等响应。联动支持与防火墙联动、支持NAP协议网络审计能力能够提供完整的TC访问纪录、提供完整的UDP访问纪录、提供完整的ICM访问纪录、提供访问纪录合并功能网络嗅探功能具备sniffe,实时网络监控功能,实时网络流量监控功能,便于管理员发现和排查问题。网络主动检测能力必须集成扫描器能够提供SM扫描、提供端口扫描、提供网络信息161、扫描、可定义扫描工程、可集成管理扫描对象报警信息过滤屏幕上显示的报警信息可根据事件、源 P地址、目标P 地址进行过滤显示.报警信息分级IS对报警信息能够根据危害程度进行分级。报表内容输出查询能够按照需求生成各种风格的统计报表,报表格式包括：支持DF格式、ML格式、MSWod格式、MS Ee格式、Rich ext格式、Crsal epos格式、文本格式等内容恢复为了有效审计网络中可能出现的问题,寻找攻击的源头， IDS必须提供对应用层协议的内容恢复功能。至少应支持：提供HTP分析、提供SMP分析、提供O3分析、提供Tele分析、提供FTP分析、提供IM分析、提供NTP分析、提供MSN分析、提供Y162、aho Mssenger分析、提供rlgin分析、提供rs分析等等。实时监控测试必须具备如下功能： 提供监控内容分析,sniffer功能 提供TCP活动连接检测和切断功能 提供网络流量检测功能 提供网络信息收集功能升级提供特征库的在线和离线升级.通讯认证传感器与控制台之间进行身份认证保证入侵报警发给了正确的控制台，保证未经授权的控制台无法控制网络传感器。事件回放事件回放功能主要指将监听到的数据恢复到动态的原始操作状态，必须支持对基于ELNET、FT协议所有操作的动态回放。通过该功能可有效查看操作人员是否是非授权使用。检测能力DS至少能够检测到：扫描、数据包特征、CP FnScan攻击、as T163、re Sc攻击、Fragouter碎片处理攻击、FINGER 空探测攻击、FNG t 探测攻击、INGR bomb 递归请求攻击、FT ITE HOWN缓冲溢出漏洞攻击、P DELE”缓冲溢出攻击、FT ”CWD 命令缓冲溢出攻击、TFTP 文件名缓冲溢出攻击、RPC DCOM 缓冲溢出攻击、TP ”Frm” 缓冲溢出攻击、MP ConnTrferEcodi 缓冲区溢出攻击、Slris Tlet进程远程缓冲区溢出攻击、rs ho +攻击、DNS lnux版A缓冲溢出攻击、BIND sig溢出攻击、Dager1。4后门攻击、ACKcmC后门探测攻击、Nimd 病毒网络共享攻击、id漏洞溢出攻击、164、IIS 。as$data 源代码查看攻击、Unide解码漏洞攻击等等。在产品选型中除了上面分析的技术要求之外，还应考虑下面的几个因素：1） 选择目前功能最全面，不仅单纯检测攻击事件，同时可对网络的运行情况进行全面监控和管理的产品。2） 在功能接近的情况下，以产品的易用性，可管理性,可靠性为衡量标准.3） 在产品的功能特性、性能因素等方面没有明显差别的情况下，优先选择国内自主研发的安全产品.出于不同国家的战略目的，在无法获得产品公开原代码的情况下,难以保证来自别的国家的产品能够充分保证我国的国家安全利益。4） 对于来自不同厂商但具有相近功能和性能的产品，应当优先选择具有更强的综合经济实力、更强的165、技术研究开发背景和实力、更强的技术支持服务和市场拓展能力及国家重点支持的厂商的产品，这对于保护用户的投资、使用户得到持续的支持和产品升级是至关重要的。通过对前述技术要求的分析,在本系统外网系统中，我们推荐选用公司完全国产自主研发的具有国际先进水平的NeEyIS网络入侵检测系统。NtyeID网络入侵检测系统能更好地满足对N功能的要求和安全需要.etEe ID利用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图。通过对网络进行不间断的监控，扩大网络防御的纵深,进行报警、防范和响应.可对网络的运行、使用情况进行监控、记录和重放。NtEy IDS入侵检测系统可对自身进行自动维护，不166、需要用户的干预。学习和使用及其简易，不对网络的正常运行造成任何干扰。是完整的网络审计、监控、分析和管理系统;是简单、高效和易用的网络安全解决方案。etEyeIDS是一套软硬件结合型入侵检测系统，其性能和稳定性都能够经受长期大流量运行考验。NetEyeIS入侵检测系统依赖于出色的性能/功能特性和良好的运行稳定性获得了市场认可,根据赛迪统计204年在国内入侵检测市场占有率达前三名。选型推荐:配置6台千兆NetEye IDS 00，分别接在6台汇聚交换机上。因为在局域网的汇聚交换机连接着所有内网用户，具有重要性高、流量大的特点,所以选用性能优异,安全可靠的入侵检测产品.下面针对外网的应用环境,进行相167、应的产品部署说明。6.3 网络入侵检测产品部署6.3.1 Netye IDS部署建议入侵检测系统安装在内部网络的交换机上。根据本系统外网拓扑结构,建议在内网汇聚交换机上分别安装NtEyeIS检测引擎.它可以发现对局域网资源尤其是服务器网段的非法入侵、资源滥用,同时也能有效监控来自内网的攻击。在本系统外网中设置的NetEye IDS直接接在交换机的镜像端口上，该端口可以将通过交换机的所有数据流量自动复制一份,这样,NeEyeID就可以监听到通过交换机的所有数据通信，并对之进行实时的协议分析,并根据其中的一些特征进行智能对比和分析.如果发现可疑连接请求、网络进攻和邮件病毒等入侵，NetEyeIDS168、入侵检测系统会立即报警并按照管理员所配制的动作进行反应。在本系统外网中,NetyeIDS的具体部署方式如下：)在局域网的6台汇聚交换机上分别配置1台千兆tEye ID 230型号检测引擎（共6台);b)用于对内部核心网络活动的实时监控和日志审计;c)设立效果规模的管理网段；d）将每个ID检测引擎的以太网管理端口接入其中；e）在管理网段配置集中管理器系统；f）负责全网I的集中监控管理。在本系统外网中，NeEyS的配置示意图如图3-1所示。网络入侵检测配置示意图6.3.2 Nee IDS的集中管理在本系统外网中，为了建立全网统一策略的安全监控防护体系，实现分布监测、集中管理的目标,在局域网中心设立169、集中管理监控中心。NtEye IDS入侵检测系统管理体系可分为两部分：集中管理监控中心：具备NetEye IDS检测引擎管理端和etEye ID集中管理中心两部分功能，除了能够实现对本地IDS检测引擎的管理之外，还主要负责对全网IDS检测引擎的宏观管理,完成对多台分布式部署的NetE IDS检测引擎的策略分发、事件收集、状态监控、管理控制、集中升级等操作。包括制定和完善全网入侵检测系统的总体策略,接收来自厂商的最新特征库和软件升级版本，并将总体策略、特征库及升级版本及时、自动地分发到各个本地管理端集中管理监控中心接收来自各个本地管理端发来的安全事件报告,通过分析、编辑、处理后形成安全通告并下发170、到下级中心。集中管理监控中心还要根据上传的安全报告定时产生全网安全状况统计报告。集中管理中心的部署,使得网络管理员将获得对全网IS检测引擎整体状态的直接掌握和控制,并有能力对不同网络区域的不同NetEe IDS检测引擎预制针对性的基本检测策略，并利用各个NtEe DS检测引擎上报的各项事件信息获得各处检测情况。IS集中管理器系统需要不间断的接收来自各级检测引擎和下属安全管理中心集中管理器的上报信息,因此,建议该系统24小时在线，并作为服务器不间断运行。本地管理监控中心:该管理端将对本地IDS探测引擎进行日常配置、监控和管理维护等常规操作每台检测引擎的报警信息都可逐层上报或直接上报。每台检测引擎171、需要上报的内容可以由管理员通过管理端软件或通过集中管理中心进行设定,上报时间可以采用实时上报或定时上报等多种机制在通常情况下,NeyeDS管理端软件不必启动，只在管理员需要对探测引擎进行操作的时候临时运行。说明:本项目入侵检测设备相对集中,无需部署单独的本地管理监控中心,利用集中管理监控中心可以完成所有的管理功能,提高维护效率。6.3.3 NetEy ID的系统结构etyeID入侵检测系统由检测引擎、管理端软件、集中管理器系统三部分组成： NetEyS检测引擎：该检测引擎为软硬一体化设计，采用U标准机架式机箱，一个千兆检测接口和一个R4百兆管理接口； NetEyID管理端软件:此管理系统为纯软172、件形态，主要针对中小规模网络中分布式IDS探测引擎的平面集中管理使用.建议安装平台为INDO 200操作系统； NetEeDS集中管理器系统:此管理系统为纯软件形态,主要针对大规模网络中分布式IS探测引擎的多层次集中管理使用,并具备基本策略下发、报警信息汇总上报、统一集中升级、全局预警等多种功能。建议安装平台为WNOS 2000操作系统.6.3.4 etyID的配置清单设备型号产品配置数量etEyeID200-FE-E14U入侵检测设备1套,管理端软件1套;适用千兆网络环境，或复杂百兆环境；单检测引擎,可扩展到双检测引擎 6台6.4 网络入侵检测产品扩展及建议6.4.1 etyeID平滑扩展前173、一章节介绍了NetEe IDS的集中管理功能，正是NetEye IDS产品具有了这种良好的集中管理体系的设计,使得NetEye ID具有良好的平滑扩展部署的能力。可以形成横向局域网内部的IDS管理部署，比如增加部署一台入侵检测引擎来加强对重要服务器资源的入侵检测防护,对这台入侵检测引擎的管理可以方便的纳入到原有的集中管理体系中来，只需在集中管理监控中心新增相应的配置条目即可。同理，可以形成纵向跨广域网的ID管理部署,通过优化的上下行管理信息通道把部署在各个二级单位网络的探测引擎收纳至一个统一协调的管理体系中来。每台分布式部署的S探测引擎都可按照既定报警策略把重要报警信息及时上报给集中管理系统,174、集中管理系统也能够在需要时主动上拉指定探测引擎的日志数据，或者进行策略下发、统一升级、全局预警等管理操作。6.4.2 NeEyeIDS安全联动6.4.2.1 NAP协议NtEye推出AP公开开放协议,支持任何安全产品之间的联动，集中审计，集中管理NA(Nork lrtProtocol）,网络设备间的信息通告协议，用于实现联动和集中审计，是公司NetEye安全产品所主要依赖的联动协议。通过NAP对等开放协议,能够使用户拥有更大的选择范围.6.4.2.2 与防火墙联动建议与防火墙联动,构建实时，动态防御体系NtEyS实现了与防火墙联动。防火墙与入侵检测系统联动是现在联动体系中最重要的一环，主要因为175、这两种技术具有较强的互补性。防火墙本身提供的是静态防御,规则事先定义，对于实时的攻击或异常行为不能实时反应,无法自动调整策略设置来阻断正在进行的攻击，也无法防范内部信任用户的非法行为和已经渗透的攻击。通过与IS的联动,实现了动态地，自适应地调整安全策略,通过配置的动态规则实行动态过滤,提升了防火墙的机动性和实时反应能力,大大的提高到了整个系统的安全性。通过在防火墙主机端开启联动开关设置，定义与IDS进行的联动防火墙对于不同的安全级别事件采取不同的动作行为:上载规则、切断连接、记录日志。其中上载规则为防火墙根据当前的攻击行为自动加载动态规则,对当前的动作进行拒绝,并定义生效的起止时间；切断连接即176、为切断当前的已建立连接,终止其数据通讯；记录连接则为对当前的动作、行为记录日志。动作的行为的选项依据源IP、源端口、目的IP、目的端口,其中两两组合,提供完善的、细粒度的过滤。互动协议AP协议,任何厂商的产品如果与etE产品进行联动，都可以进行实现。6.5 NetDS优势介绍NtyI采用多种先进技术,在实用的基础上做到了稳定、高效，易用、易维护。l 高效独特的数据截取技术直接从内核接收网络数据，减少中间环节，缩短了系统调用时间，从而提高截取网络数据包的速度和效率,系统运行效率高，可以监测高速网络,丢包率极低l 完整的数据流恢复技术完整的数据重组，恢复技术。把网络连接作为数据流分析，而不是一个个177、孤立的数据报。完全处理数据分片和乱序的问题。l 网络嗅探器对网络中的数据包进行分析，解码,能够从链路层开始，对各层报文每一比特进行中文解释，便于资深管理员查找网络问题。l 网络用户信息收集全面收集网络用户信息，包括IP地址，MC地址，用户名,组名，便于确定攻击者身份，并可方便的解决P地址冲突等网络故障。l 网络扫描器主动扫描网络,发现网络问题。l 数据备份恢复功能采用多种策略,手动备份或自动备份事件数据库，完成全面的信息审计.l 网络通信完全监测记录网络上的一切数据包。尽量做到实时分析，当遇到网络流量高峰的时候，可以根据记录下来的数据包进行事后分析。入侵活动可以具有很大的时间跨度和空间跨度,有178、预谋的入侵活动往往有较周密的策划、试探性和技术性准备，一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别完成,给预警带来困难.事后分析可以将之作为网络行为的证据,不容否定。l 中文图形化管理基于WIOS系统提供了一系列的中文图形化管理工具，使一切信息查看、管理和配置都变得极其方便,简单易学。全部攻击与入侵事件的描述都使用中文，清楚明了.整体的设计使其非常适合中国人使用。l 基于统计及模式匹配识别入侵和网络异常情况系统拥有入侵事件及入侵模式数据库,可以匹配170多种网络入侵和攻击行为.系统漏洞、系统后门、CGI漏洞、系统扫描、缓冲区溢出攻击等各种危害系统的入侵和攻击都可179、识别。并可很容易的升级。l 系统智能程度相当高,可用性极好操作简单,易于掌握,自动处理各种异常情况，无须用户干预,维护代价小。系统预装监控规则,可以说是最容易使用的I。l 接入简便，不需改变现有网络拓朴结构系统的接入非常方便，只需根据网络的物理结构将它连接到交换机的监控口或共享式H上即可立即开开始工作,而不需要改变网络的物理结构及网络逻辑划分和配置，原有网络拓朴结构依然完好无损,网络通信毫无影响。能够在Vlan Tunk,PPPE等网络环境下正常进行工作。l 支持分布式结构,监控大型网络可安装于大型网络的各网络区域中，分别监控网络的各个部分,一台管理器可管理多台服务器，达到分布安装，全网监控,180、集中管理。l 本地存储与分级管理本地存储与分级管理相结合的方式能够把绝大多数报警时间细节信息就近存储在探测引擎本地存储介质中,保证日志记录的全面性和及时性，纵向管理线中不会出现过多的报警信息流,可有效降低对广域带宽的耗用;同时利用分级管理体系完成重大事件逐级上报的功能,能够实现上级集中管理中心对所管辖个探测区域事态的及时掌握,保证报警的时效性。l 自带数据库，不需第三方数据源,数据自动维护入侵检测设备内部具有自带数据库，数据库的维护集成在入侵检测设备的功能中,并可进行自动维护。l 实时监控网络,为人为监控和分析提供有力工具提供实时连接报告,当前网络中用户行为一目了然,可以实时地从中直接发现网络181、中用户滥用网络资源的情况，如访问未授权的服务器等。另外，网络扫描等异常行为也可从中看出。l 全面的内容恢复,支持多种常用协议除了可以对已知的入侵行为进行监测外,系统还可以对网络应用层上的协议进行恢复,如：TTP、FTP、MP、POP3、TLET,NNP、MAP、DS、Rlog、h、MN、Yahoo SG等.S设备可在管理员不干预的情况下,对网络上的上述协议的数据进行自动的存储，数据保存在设备内部。并可对管理员提供对存储在设备中的上述多种协议的数据进行查看的功能。对于HTT、ST、POP3、IMAP等协议，可提供页面级查看、协议会话过程查看、数据源码查看等查看方式，要求能够完整检查恢复后的邮件的182、附件。管理员还可以很直观地看到ELET或者T用户的口令l 灵活的查询，报表功能可对网络中的攻击事件，访问记录进行灵活的查询,并可根据查询结果输出图文并茂,美观的报表。l 自身的高度安全性和隐蔽性系统本身运行安全的操作系统,检测引擎和管理主机之间通讯采用自有加密通信协议。检测引擎为黑洞式结构,监测口无IP,攻击者无法发现,保证了自身的安全性。l 集成的网络管理和诊断平台系统集成多种网络分析，诊断工具,便于发现网络故障，定位网络问题。7 网络防病毒7.1 计算机病毒发展和入侵途径分析7.1.1 计算机病毒的发展趋势自从1983年世界上第一个计算机病毒出现以来，在不到20年的时间里,计算机病毒已到了183、无孔不入的地步,有些甚至给我们造成了巨大的破坏。每当一种新的计算机技术广泛应用的时候,总会有相应的病毒随之出现。例如，随着微软宏技术的应用，宏病毒成了简单而又容易制作的流行病毒之一；配合主板BIOS升级技术，出现了第一款可以损坏硬件的CIH病毒;随着Iternt网络的普及，各种蠕虫病毒如美丽莎、爱虫、SCM、“红色代码(ordRed)”病毒和da病毒等疯狂传播。近年来， “蠕虫王”、“冲击波、大无极、震荡波等病毒更是泛滥成灾.据微软发布的最新统计数据，200年病毒所造成的损失有130亿美金，同时全球有38亿美金不得不投入系统的灾难恢复。在现今的网络时代,病毒的发展呈现出以下趋势: 病毒与黑客程184、序相结合随着网络的普及和网速的提高,计算机之间的远程控制越来越方便，传输文件也变得非常快捷,正因为如此，病毒与黑客程序（木马病毒)结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。 间谍软件异军突起根据著名调查公司Forseeac发布的“2005年反间谍软件方案”(Antspwrapionin 200)报告指出,间谍软件已成为企业组织最关切的安全问题之一。恶意间谍程序会妨碍企业的生产活动，并且危害信息安全。它会造成主要系统的速度减慢、支持成本增加、以及生产力降低。它还会让网络安全出现漏洞,而且能突破传统防毒扫描程序的185、侦测,渗透到系统登录资料与内存中，并且在客户端安装数百种档案与处理程序。 蠕虫病毒更加泛滥 其表现形式是邮件病毒会越来越多,这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件，往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件,接受者往往没有戒心。因此,这类病毒传播速度非常快，只要有一个用户受到感染，就可以形成一个非常大的传染面。 病毒破坏性更大计算机病毒不再仅仅以侵占和破坏单机的资料为目的.木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的编写者（如爱虫病毒),或者采取Do（拒绝服务)的攻击(如红色代码病毒）。一方面可能会导致本机机密资料的泄漏,另一方面会186、导致整个网络服务陷入瘫痪之中。而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞（如蠕虫王、冲击波病毒）,如有可能,还会破坏本地的资料(如针对11恐怖事件的Voe病毒) 制作病毒的方法更简单由于网络的普及,使得编写病毒的知识越来越容易获得.同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序.用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒. 病毒传播速度更快，传播渠道更多目前上网用户已不再局限于收发邮件和网站浏览,此时,文件传输成为病毒传播的另一个重要途径。随着网速的提高,在数据传输时间变短的同时,病毒的传送时间会变得更加微不187、足道。同时,其它的网络连接方式如ICQ、IRC也成为了传播病毒的途径。 网关防毒已成趋势 如果等病毒已经进入局域网后再作剿杀，显然为时已晚。因此，通过网关把病毒拒绝在网络之外是最好的解决办法。这种办法还可以防止将网络内部受到感染的病毒文件传到其它的网络当中,使得各个网络能够互相独立。 网络层病毒的防范越来越迫切 传统防毒基于病毒的代码特征来进行识别和清除，所以检测到病毒时,病毒已侵入了受保护的节点，对整个病毒防护工作带来极大的被动。现今网络病毒的泛滥，越来越强烈地要求在网络层能够对病毒发起的攻击包进行直接拦截,最大程度提高防毒的效率和效果。7.1.2 病毒入侵渠道分析目前绝大多数病毒传播的途径188、是网络.对于一个网络系统而言,针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。正如一个国家如果只让每个公民进行自我保护是低效和不可控制的,必须设立专门的海关、警署等机关，对进入本地的人员进行检查,以便将外来的威胁阻止在本地的入口。因此,对于每一个病毒可能的入口,部署相应的防病毒软件，实时检测其中是否有病毒,是构建一个完整有效防病毒体系的关键. 来自系统外部(Iteret或外网）的病毒入侵: 这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高、耗费资源最少的措施，可以使进入内部系统的病毒数量大为减少。 内容保护：由于目前邮件系统的使用异常方便，造成了用户很容易在189、不经意间将重要的、机密的或是不当的信息通过邮件发送出去；另一方面，来自Internt上的垃圾邮件也到处都是,导致大量宝贵的带宽消耗在无谓的数据交换上，用户还需要花费大量的精力和时间去处理垃圾邮件,大大抵消了互联网给人们带来的工作、生活便利。因此不仅过滤邮件中可能存在的病毒代码,同时对往来邮件内容进行过滤也变得日益重要起来。 移动介质:随着U盘、光盘刻录设备的普及，最终客户进行的海量数据移动更加辩解，除去存在已久的文件型病毒能够借助该途径进入网络外,新兴的网络蠕虫类型病毒、黑客代理程序等有害代码，也越来越多地借助该途径进入网络。 电子邮件:当前的病毒大多具有自行搜索地址簿并发送带毒邮件的特性当I190、eret出现新病毒的时候，用户将面临大量染毒邮件的攻击,一旦有一只病毒实例进入网络,将迅速以各种方式感染网络中的其它计算机,并形成难以遏制的病毒爆发风暴. 系统漏洞：从目前的统计来看,病毒利用系统或应用程序漏洞进行攻击已成为网络系统的安全大敌，从2001年的红色代码、尼姆达，到20年的蠕虫王、冲击波，每一次病毒的泛滥，都对全球网络形成极大的破坏,虽然它不象传统病毒会破坏文件,但它却可以在短时间内将整个网络系统瘫痪； 网络共享:网络中数以千计的设备中出于管理、应用、测试等多种目的,存在着大量的网络共享，虽然绝大部分的客户遵循管理规章制度，对网络共享进行了密码和权限的保护,但是，伴随着病毒传播的隐191、蔽性加强和对系统漏洞的利用,共享依然是网络病毒感染的一条主要途径。 管理不统一:由于各下属单位网络建设和应用发展的不一致，导致防毒产品、防毒策略、管理规章都存在很多不统一的地方.这种情况是防病毒工作的大敌，千里之堤，溃于蚁穴,任何一个节点被突破都会给网络整体性能带来巨大的危害。例如 “MYDOO”病毒、“米虫病毒、“冲击波”病毒,染毒的客户端会不停地发送垃圾数据到网络上,形成一台机器感染,整个网络瘫痪的恶果。7.2 本系统外网网络防病毒技术要求指标项指标要求数量要求满足本系统外网防病毒需求, 防病毒许可本次工程按150个信息点计算。基本要求厂商必须通过I902国际标准认证厂商必须通过BS79国192、际标准认证厂商必须通过中国信息安全评测认证中心的信息安全服务资质标准的信息安全服务一级资质认证厂商国内技术支持的人员数量不少于5人,在国内应具有产品研发中心厂商在国内必须具备病毒应急响应中心厂商在国内必须提供多条00免费技术支持热线厂商可根据用户需求提供高级别的服务承诺,如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等,可提供58乃至74小时的专业防毒服务当最新病毒出现时，厂商可承诺在规定时间内提供相应的解决方案解决客户的问题，如在规定时间内没有解决，客户可对此事件要求厂商提供惩罚服务厂商防病毒安全知识培训体系健全,可提供专业化的系统培训，培训时间及地点可在北京、上海、广州或由用193、户选择病毒防护技术总体要求当发生新的网络病毒爆发时，防病毒系统必须提供可行的解决方案，在新病毒代码发布之前实现主动防护.管理员可以通过防病毒系统执行针对该病毒的防范策略,如:在客户端/服务器端强制关闭病毒对应开放的未知端口及漏洞等等,并统一部署分发到客户端/服务器端网关/群件;通过部署防范策略实现免疫功能.病毒处理方式必须支持智能式的处理方式。根据不同的病毒类型，采取不同的处理策略.可对网络中防病毒系统的弱点进行评估,如防病毒代码、扫描引擎过期，未安装防病毒软件等。发现弱点可对计算机进行隔离或者复位向操作。针对网络病毒特性，产品可对系统采取手动或定时扫描，发现系统漏洞可隔离或者复位向存在漏洞的194、计算机,使之免受网络病毒针对系统漏洞进行的攻击。当网络中有异常流量产生时,可通知管理员，可对病毒数据包进行丢弃并隔离发包计算机，拒绝此计算机联入企业核心网络对被感染网络病毒的计算机可实行远程自动和本地清除,并对注册表和系统文件进行自动修复当网络内爆发网络病毒时，可对某些协议(ICP/HTP/FP等)、端口(TC端口DP端口等)及特定文档类型(。ee/*。eml等）进行阻挡，防止病毒通过某种协议、端口及特定文件名进行传播客户端产品技术要求具备个人防火墙功能,可对多种协议数据包进行阻挡，同时具备IDS功能,可对网络中异常浏览进行监控具备病毒爆发监控功能,一旦客户机连接异常，可以迅速发出报警产品可基195、于网络层对病毒数据包进行扫描(Netork Vius Scannin)和清除防病毒管理必须提供Web管理方式,可支持IIS或pahe服务器;管理通讯采取加密措施同时支持32位和4位操作系统可以配置扫描时的优先级，以优化资源占用一台管理服务器支持的客户端数量不少于0,00台具备客户端部署管理功能，可以自动扫描网络，发现网络中未安装防毒软件的机器对于蠕虫、特洛伊木马等恶意程序的专杀工具能够随产品在线自动更新,无需手动下载更新采用增量更新，同时可以指定一组机器中的一台作更新代理病毒处理方式必须支持智能式的处理方式具备病毒源准确定位功能产品安装、卸载、代码或引擎升级均无需重新启动操作系统防病毒客户端联196、动Cio NAC提供强制性的安全管理防病毒客户端集成无线设备（PDA等)病毒防护集中管理产品技术要求具备病毒爆发防御功能。当最新病毒爆发时，可在病毒代码未完成之前自动对企业网络中的病毒传播端口、共享等进行关闭，切断病毒传播途径，预防最新病毒的攻击防病毒系统弱点评估功能。可扫描出网络中哪些计算机未安装防病毒软件，哪些计算机病毒代码或扫描引擎过期、哪些计算机未安装系统补丁，帮助管理员快速掌控企业网络中的安全漏洞具备远程病毒集中清除功能可对网络中感染病毒的计算机进行远程自动清除，无需知道计算机的物理位置,无需到客户端逐一清除病毒中央控管系统支持病毒源头查询机制,通过日志查找病毒源头具备跨广域、跨子网197、并支持VP的Web管理具备整个防病毒系统集中的病毒代码、扫描引擎、防病毒预防策略、专杀工具升级具有单一节点集中报警和日志功能，能定制生成统计报告,包括柱状图、饼图等通讯机制必须进行SL加密管理,可通过HTS方式实现单一节点集中管理7.3 网络防病毒需求分析根据外网的网络结构和对病毒来源的分析以及对防病毒的基本要求，在构建外网防病毒系统时要实现如下目标:1. 构建网络防毒控管中心要管理整个防病毒系统良好运行必须有一个良好的管理控制系统,它需满足如下要求： 支持方便的浏览器方式实现对所有防毒节点的集中管理; 监视各节点的运行状况参数(如防病毒软件病毒库、扫描引擎更新日期,系统配置等)； 能实现病毒198、集中更新与分发； 能实现集中报警; 能准确定位病毒传染源，让管理员对病毒入侵节点做及时处理以防危险扩大； 控制中心能与其它网络安全系统实现联动，协同管理工作; 能生成丰富的报表统计信息。2. 具备良好的防病毒安全策略构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略,而不应仅仅是采用病毒代码来防护病毒：策略包括预防策略、升级策略、病毒爆发初期管理控制策略、实时扫描策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,能够在病毒爆发生命周期各个阶段对病毒进行有效的控制,将病毒造成的损失降到最低。3199、. 病毒爆发初期可以有效阻止病毒的进一步扩散在病毒爆发初期应能够自动从防毒厂商获得病毒防护策略,针对病毒的传播途径进行有效阻断，使得外面的病毒进不来，进来的病毒没有办法再进一步传播.4. 对网络病毒有很好的处理能力病毒一旦发作难以找到病毒源，传播速度快很短时间就可以造成网络堵塞,客户机服务堆栈被网络病毒前期的攻击指令所破坏,由于传统的病毒软件只能查杀应用层的病毒，而对网络病毒对底层协议堆栈带有破坏指令的数据包无法查杀，导致系统运行不稳定无法联入网络等等现象无法处理,所有构建新的防毒系统时,一定要综合考虑网络病毒的处理能力。5. 具备对混合型攻击行为的防御能力现如今病毒大多是带黑客攻击行为的混合200、型的病毒，光靠单一的病毒代码防护已经是力不从心,需要有对攻击数据包做协议分析的DS来分析是否为攻击行为再通过防火墙来阻止攻击行为。这就需要带有防毒+防火墙+IS的强大功能的防毒客户端。6. 具备对间谍软件的查杀能力近年来，愈演愈烈的间谍软件已严重威胁着企业网络和信息安全.间谍软件不仅妨碍企业的生产活动,造成系统减速、支持成本增加和生产力降低,让网络安全出现漏洞，并且能够躲避传统防毒扫描程序的检测,渗透到系统登录资料与内存当中，在客户端安装数百种文件与处理程序。由于间谍软件属于灰色软件性质,没有很明显的破坏性，常被其他防毒软件所忽视掉，但是确实是现在一个非常严重的问题,已经有很多企业由于间谍软件201、使的大量机密数据和个人隐私外泄,直接造成大量的经济损失,严重影响企业形象。7. 建立完善的安全制度防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识.防病毒系统需要建立良好的安全规范,以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。由专人负责和处理网络安全运营的所有事件，这些人员必须接受专业的防病毒技术培训和长时间的跟踪培训。8. 构建完善的防病毒服务体系在新的防毒体系架构下,防病毒厂商必须能够及时地提供防病毒信息、新病毒预警信息、快速响应和现场服务等专业的服务，以提高整个防毒系统的防护效果。防毒厂商在国内需要建立有病毒处理中心,并有强大的技术支持队伍202、，可以快速响应防毒过程中遇到的各种问题。7.4 防病毒解决方案7.4.1 设计思想我们建议采用趋势科技公司的防毒产品为网络构建的网络版防毒系统，在方案设计中贯彻如下六点防毒基本思想:1、 没有管理的防毒系统是无效的防毒系统.在的方案中，我们构建了防病毒控管中心,一方面保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。2、 防毒不能完全依靠病毒代码，要实现对病毒发作整个生命周期的管理。在的方案中，当一个恶性病毒入侵时,整个防毒系统有完善203、的预警机制、清除机制、修复机制来保障病毒的高效处理,特别是对那些利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。即防毒系统在病毒代码到来之前,就可以通过可疑信息过滤、端口屏蔽、共享控制、重要文件文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来的又没有扩散的途径。在清除与修复阶段又可以对这些病毒高效清除,快速恢复系统至正常状态.3、 网络层防毒是整体防毒的高效防线：在网络防毒的方案中,我们将网络病毒的防范作为最重要的防范对象，通过防毒客户端内嵌的全新网络防病毒模块.在网络层全面消除外来病毒的威胁，使得网络病毒不能再肆意传播，同时结合病毒所利用的传播204、途径，对整个安全策略进行贯彻。4、 “真空期防护是减少损失的必备措施：趋势科技利用独创的病毒爆发防御策略技术,在新病毒爆发而新病毒码还没更新的“防病毒真空期”，趋势科技利用病毒爆发防御策略技术,将网络内部所有病毒可能利用的途径全部关闭，例如：关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的C，关闭共享文件夹等。通过管理控制台实现。5、 防间谍软件是当前网络安全防护重点:趋势科技防毒系统内嵌的防间谍软件模块,能够有效的防御间谍软件、网络钓鱼等灰色软件对用户私密信息的窃取。6、 服务是整体防毒系统中极为重要的一环:防病毒系统建立起来之后,能不能对病毒进行有效的防范，与病毒厂商能否提供及时205、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。趋势科技作为网络防毒及互联网安全与服务的领导厂商,可以全面满足网络防毒多层次的服务要求.7.4.2 防病毒规划l 外网信息中心构建防毒控管中心，实现对外网防毒系统的集中管理；当有新的防毒更新组件时，通过控管中心实现自动更新，然后会自动分发至每个客户机、服务器,控管中心自动汇总下辖防毒系统的日志信息；l 在所有应用服务器上部署防毒系统,确保服务器系统不会成为病毒驻留的平台,提高整个服务器系206、统的高可靠性;l 在所有客户端上部署防毒系统,一方面增强客户端的防毒能力，防止病毒在客户端驻留；另一方面保证客户端不为因为病毒问题而带给管理员极大的工作量;l 管理员随时可以通过浏览器访问防毒管理控制台，一方面可以实时了解当前客户机状态,另一方面可以实现分组配置管理.7.4.3 部署产品趋势科技防毒墙网络版OfScan功能：保护客户机免受病毒侵扰管理端:Windows N2000/2003 Srer、II Web服务器、pache客户端： Windws9Widows M ndow NT orksttio Wndows 2000PofessioalWindow XWindowN ServerWn207、ow 00020 Server7.4.4 部署示意7.4.5 部署防病毒系统实现的效果l 一体化的管理机制:Ofiescan服务器统一控管整个网络的Oficesca客户端,包括，防病毒策略的设定和配置，日志的收集,病毒码,扫描引擎等组件的更新；以点盖面大大的简化整个防病毒系统,防病毒管理人员只需利用有IE浏览器的计算机就可以对Offcesn服务器进行操作,移动的进行远程eb管理。从而确保能够用最少的人力资源，维护好整个网络的计算机防病毒;l 分组管理的机制:根据内部不同的部门在Oficescan中设置不同的管理组,便于防病毒管理员针对不同的组设定不同的策略，开放不同的权限;l 应用层病毒的防护208、：客户机的文件共享，访问E网页，客户端收发邮件等应用进行全面防护,彻底消除应用层病毒对客户机的破坏，保证所有员工都有一个干净、安全的平台;l 网络层病毒的防护：直接在网络层针对象冲击波、震荡波等病毒的攻击包进行清除,降低的网络病毒的危害,提高了病毒的防护效果;l 病毒爆发阻止策略：Officsca应用该策略能够有选择性的关闭某些病毒攻击网络服务器和客户机的端口或共享文件夹等,从而阻挡大量的蠕虫病毒在网络中大面积爆发，保护用户网络中的所有计算机不受到病毒攻击。当网络内部不幸遭遇到新病毒攻击而病毒码还未更新时，利用病毒爆发阻止策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死,让还没有进来的病毒进209、不进来，让已经进来的病毒无法扩散;l 集成网络版防火墙和I抵御复合式攻击：Ofic网络版防火墙通过在客户机和网络之间创建屏障,来帮助保护Offcecan网络版客户机免受黑客和网络病毒的侵扰,同时，I确保客户机不受到内部或外部的入侵攻击,确保内部计算机的系统安全和资料安全；l 集成病毒专杀工具，清除病毒更彻底：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新；完全摆脱传统防病毒软件需要独立使用专杀工具,并且每一个病毒都有特定的专杀工具，造成数量巨大;此项技术能够让的防病毒管理人员从服务器端主动触发整个网络所有客户机的专杀工具去扫描本机内存和注册表，清除内存中的病毒进210、程和恢复被病毒修改的注册表键值，从而彻底摆脱传统的清除病毒的工作：针对不同病毒，下载不同的专杀工具,到每一台计算机前,手动执行不同种类的专杀工具,反复重起计算机;同时，客户机也可以手动点击按钮,触发专杀工具清除病毒；l 抵御间谍软件和其他类型灰件的侵害:防毒墙网络版下载间谍软件/灰件特征码文件以保护的计算机免受病毒之外各种潜在威胁(包括广告软件和间谍软件）的侵害。防毒墙网络版可以扫描和清除间谍软件和其他灰件,就像可以扫描和清除客户计算机上的病毒一样。l 病毒爆发监控:“病毒爆发监控”可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度,如：设定的时间段内,网络上的并发会话数量超211、过设定的值，这样在网络内部出现病毒爆发之前，提前向防病毒管理人员预警，防患于未然;l 扫描有防病毒部署漏洞的计算机:通过趋势科技fiecan自带的TMV客户机漏洞扫描工具，可以将网络中所有客户机做一个整体的扫描，将没有安装Ofiescan客户端软件的计算机的地址，计算机名字，操作系统等详细的信息生成报表,便于防病毒管理人员及时定位网络的未安装Offieca的计算机;l 传染源统计功能：网络中一旦有病毒发作，部署OficeScn的众多机器就可以将传染源机器的P或机器名记录下来，在管理控制台上生成传染源排行榜，让管理员极其方便地掌握网络中的薄弱节点并快速采取措施。7.5 网络版防毒系统介绍7.5.212、1 网络版产品简介趋势科技防毒墙网络版OfeScan是用于台式机和笔记本计算机的集中管理式防病毒和防间谍软件解决方案。防毒墙网络版可以保护企业网络中的Window NT00/XP/erver 203 和Windos 95/8/e 计算机免受病毒和恶意代码的侵害。通过赋予管理员使用单个控制台来配置、监控和维护桌面防病毒措施的能力,防毒墙网络版改进并简化了企业病毒策略的管理.防毒墙网络版包括以下两个组件：1. 防毒墙网络版服务器端:是网络版防毒系统的管理端,它从趋势科技AcivUpdate 服务器下载更新、收集和存储日志并实现集中管理、控制病毒爆发，本身并不具备防毒能力；2. 防毒墙网络版客户机端213、:是网络版防毒系统真正的防毒模块，安装在被保护的 Windw T2000/XP/evr200和 Windows /98/Me 等计算机节点上，使其免受病毒、特洛伊木马和其他威胁的侵害7.5.2 网络版系统需求1. 防毒墙网络版服务器操作系统: icrosoft（T) Wndow(T)N 系列 （Sie P ) Windos 20系列(SevcePak2或更高版本) WinowsXP（仅限于专业版，ServiPack 1） Wiowsver03硬件: 30Mz Inel etm() II 处理器或同等产品 12MB内存 30B 磁盘空间 支持 256 色或更高颜色设置下 00x 6 分辨率的监视214、器 Mcsof Inent Exor . 或更高版本Wb 服务器: Microsft ItnIfomaionSrver (IIS) 在Winws T 上:版本 4。 在 Wow 0 上:版本 5.0 在 Wndw XP上:版本 5.1 在WinoServer200 上：版本 。 ahe eb 服务器 2. 或更高版本 对服务器计算机的管理员或域管理员访问权限2. 防毒墙网络版客户端Windo 5/98/Me cien 133z Iel(M) Pe(M）处理器或同等产品 Microoft Winow 9/95OR2/9898SE/Me 64M内存(0MB 可用) 0M 可用硬盘空间 支持 256215、色或更高颜色设置下 640 80分辨率的监视器 Mosotntrnetxrer 4.1 或更高版本 icrstnternetxper5。0 或更高版本（如果需要执行 eb 安装)idwT00/XP/20 客户机 150Mne Pentiu 处理器或同等产品 Mcrosoft Winw T 4.0（带P6a或更高版本)、Winos 20(带 SP 或更高版本) 4M 内存(2MB 可用) 80M可用硬盘空间 支持 256 色或更高颜色设置下640 x 480 分辨率的监视器 Microoftternetlorer 4。0 或更高版本 Mirosoft Intnet Expoer 50 或更高版本216、（如果需要执行 Wb 安装)7.5.3 网络版部署方式1. OfficeScn管理端安装在服务器上2. 客户端支持如下多种安装方式： 登录脚本安装； 浏览器安装(将安装链接放在网站上） 远程安装; 扫描安装 光盘安装; 通知安装 共享安装; 生成安装包安装； 通过微软SMS安装； 硬盘克隆安装7.5.4 网络版管理方式在任一台客户机上打开浏览器，访问网址htp：/I_Servr/fiscan，输入口令就可以管理,管理支持HTTPS,如下图所示:7.5.5 网络版升级方式自动升级,增量分发,如果服务器端不能上网,可通过部署趋势科技更新复制服务器实现集中更新(具体方案见服务方案）,客户端更新同时支217、持三种更新方式:1、 主动分发:管理端从nernet自动升级一次后,自动按增量分发至被管理的每一台在线客户端，非在线客户端一旦接入网络，即可立即；2、 “拉方式更新:可以配置客户端自行从服务器端通过“拉”的方式获得更新，这种情况适合AT环境；3、 自行上Intere更新：被管理客户机可以直接上Intrnet获得更新,支持移动办公的防护要求.7.5.6 网络版功能特色l 集中的Web管理界面:管理员可以方便地通过任一浏览器随时掌握全网防毒状况，对防毒策略进行调整,对防毒日志进行审计；l 安全漏洞防护：通过与CSC NA设备联动,对没有安装offisn客户端或者防病毒组件升级不正常的客户端,NC设218、备可以阻止这些客户机进入网络。l 支持病毒爆发阻止策略：有效控制病毒扩散（通过主控服务器,在设定的时间段内，关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改)；l 应用层、网络层双层防护:OficScan同时采用文件型病毒代码和网络型病毒代码分别基于应用层和网络层进行病毒实时清除，最大消除病毒的危害；l 集成网络版防火墙DS：通过Ofescan服务器端统一配置和管理每个计算上安装的网络版网络墙,可以有效阻止带黑客攻击行为的混合型病毒;l 集成专杀工具:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新,完全摆脱传统防病毒软件需要独立使用专杀工具,并且219、每一个病毒都有特定的专杀工具,造成数量巨大;l 抵御间谍软件和其他灰色软件的侵害:防毒墙网络版下载间谍软件/灰件特征码文件以保护您的计算机免受病毒之外各种潜在威胁(包括广告软件和间谍软件)的侵害。防毒墙网络版可以扫描和清除间谍软件和其他灰件,就像可以扫描和清除客户计算机上的病毒一样。特定的应用程序和文件可能被防毒墙网络版视为间谍软件或灰件，但您仍然希望允许客户机保留它们。可以配置间谍软件和其他灰件的例外列表以阻止防毒墙网络版扫描这些指定的项目。l 病毒爆发监控:“病毒爆发监控”可以用来监控网络上有感染迹象的可疑活动.通过设定病毒爆发监控的敏感度,如:设定的时间段内，网络上的并发会话数量超过设定220、的值,这样在网络内部出现病毒爆发之前，提前向防病毒管理人员预警,防患于未然;l 严格的权限控制：对客户端的配置权限、退出权限、卸载权限进行严格限定。l 可调整的扫描资源占用：为减少文件扫描对客户机 CPU 资源的需求，可手动调整扫描资源占用情况和一个文件与下一个文件之间的等待时间，降低扫描行为对其它应用系统的影响。l 增量更新:对于其病毒码文件(包括间谍软件扫描特征码、间谍软件清除特征码和损害清除模板）与防毒墙网络版服务器上最新版本相差不超过七个版本的防毒墙网络版客户机，可以通过增量方式更新其病毒码文件,而非更新整个病毒码文件。此功能可减小防毒墙网络版客户机执行更新所需的时间长度和带宽。l 灵221、活的更新代理设置:通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效;l 检测为安装防病毒软件的计算机：支持网络扫描侦测尚未安装ffieSca的用户机,杜绝防毒漏洞；l 定位病毒传染源:管理控制台自动生成网络中病毒传染源排行榜，并能给传染源机器发出提示信息;l 邮件查杀和无线支持:支持对OP3邮件和ulook文件的直接扫描,同时支持保护PD等无线设备;l 支持多种bServr:IIS和 Apce；l 支持4位平台:防毒墙网络版支持使用 x86 和 tanm Arhitecure4 （IA-6） 处理器体系结构的 Windws XP222、/erver200 计算机。l 丰富的统计信息：管理控制台自动生成丰富的统计报表,如传染源排行榜、中毒客户机排行榜、病毒排行榜、病毒清除率、更新率、在线率等等病毒信息,便于管理员及时掌握网络防毒状况。l 强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理;l 灵活的客户端迁移:支持在客户端可以在不同的Officean服务器中转移，不需重新安装;l 方便的大版本升级：大版本升级只需在服务端运行升级程序后,每个客户端就可以迅速获得最新版本,不需要重新部署。8 设备安装场地及环境要求8.1 机房的选址建议要求首先,在选择机房时一定要有长久的考虑。作为网络的中心,机房的线路工程较为复杂223、，位置不易随意搬迁。而且本互联网络影响重大，要求保证通信的畅通,不能长时间地或者经常地中断，因而在机房建筑设计时,应考虑一定的耐久性，不能经常进行翻修。此外,为了保证设备长期处于良好的运转状态，应使系统处于良好的运行环境之中。机房不应设在温度高、灰尘大、有有害气体、靠近易燃易爆物品或气压低的环境中;应避开经常有大震动或强噪音的地方;应尽量避开总降压变电所和牵引变电所;应尽量避开雷击较多或常有洪水淹灌的地方。在满足以上要求的情况下，机房应尽量靠近线路中心。总之,通信机房的选址,应根据通信网络的规划和通信技术的要求综合考虑,并结合水文、地质、地震、交通等因素,选择符合路由器、以太网交换机工程环境设224、计要求的地点.机房的建筑结构、采暖通风、供电、照明、防火、防震、防洪、防雷、防静电、防电磁干扰等项目的工程设计,一般由专业的建筑设计人员承担.8.2 机房的建筑建议要求由于通信节点的重要性,在进行工程设计时，除要严格遵守工企、环保、消防、人防等相关规定，以及符合国家或部颁的现行标准和规范外，还应符合特殊工艺设计中有关房屋建筑设计的规定和要求,如:l 机房的抗震设计烈度应按当地基本建设烈度提高一度;l 防火应达到国家二级标准，即要求承重墙、柱、屋面为非燃烧体,屋顶、楼板、楼梯为难燃烧体，并有相应的消防措施；l 高度在15米以上的建筑物和构筑物应按第二类民用建筑物和构筑物的防雷要求进行设计,应有防225、止直击雷、侧击雷和雷电流侵入的措施。机房的最小面积只要能在终局时容纳下所有设备和操作台即可。注意机柜侧面与墙面的距离不应小于1米,机柜后面与墙面或其它设备(包括其操作台座椅）的距离不应小于1。米,以利于散热和便于设备维护。机柜与操作台不宜在同一排,应对面相向，且相距1。米以上.在摆放操作台时，最好不要使计算机显示屏近距离面对门窗.最后一排操作台的座椅与墙面或其它设备之间应保持。5米的距离,以便于行走或防止损伤、影响其它设备。在机房高度方面，要求安装面与梁下或风管下的净高度不小于3米。机房地面首先要满足承重的要求,应大于40K/m2,并能防尘、防火、绝缘、耐磨,可以是水泥地板、水磨石地板、树脂涂226、料地板、或防静电活动地板。当铺设防静电活动地板时,高度采用00m或30mm,地板板块铺设严密、坚固，每平方米水平误差不大于2mm。地面或地板必须进行静电接地,可以经由限流电阻及连接线与接地装置相连,限流电阻的阻值为W另外,过道、楼梯的负荷标准也应在4/m2以上,超载系数1。4。当采用上走线时，要求走线架牢靠、水平，长边与相应墙面平行。下线梯底端距安装面米。机房墙壁可以采用塑纸贴面，也可以刷无光漆。顶棚可采用铝合金吊顶或刷涂无光漆。墙面和顶棚要求不易粉化.机房墙面或顶棚应有外引线的孔洞，孔洞的内面应平整光洁，大小视引线的总线径而定,并留有一定余量。机房门的大小应保证设备进出机房方便,高23米,宽227、1米.门窗都应防尘、保温。建议门前先经一段徊廊，不宜直面街道或马路，窗户装双层玻璃,门窗均须加橡胶条密封。8.3 网络设备工作环境的要求本次工程提供的网络和安全产品必须在室内使用,为保证网络设备正常工作和延长使用寿命，安装场所应该满足下列要求。8.3.1 温度和湿度要求为保证网络设备正常工作，并延长使用寿命,机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,还会发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动,在干燥的气候环境下,还容易产生静电,危害网络设备上的CMOS电路;温度过高危害更大,因为高温会加速绝缘材料的老228、化过程，使网络设备的可靠性大大降低,严重影响其使用寿命。本次提供的网络设备对温度、湿度的要求见下表。机房温度/湿度要求温度相对湿度长期工作条件短期工作条件长期工作条件短期工作条件04-555%85%5%90%8.3.2 洁净度要求灰尘对网络设备的运行安全也是一大危害,因为室内灰尘落在机体上会造成静电吸附，使金属接插件或金属接点接触不良,不但会影响设备寿命,而且容易造成通信故障.当室内相对湿度偏低时,更易产生这种静电吸附。本次提供的网络设备对机房内的灰尘含量及粒径要求见下表.机房灰尘含量要求最大直径(mm）0.135最大浓度（每立方米所含颗粒数)1。10771052.41051.310除灰尘外，229、网络设备机房对空气中所含的盐、酸、硫化物也有严格的要求,因为这些有害气体会加速金属的腐蚀和某些部件的老化过程。机房内对SO2、H2S、NO2、N3、C2等有害气体的具体限制值见下表。机房有害气体限值气体平均(g/m3）最大（mg/m）二氧化硫SO20。21。5硫化氢HS003二氧化氮NO20040.15氨NH3000。15氯气C2.1。38.3.3 防静电要求尽管华为网络设备和eteye S在防静电方面作了大量的考虑,采取了多种措施,但当静电超过一定限度时，仍会对单板电路乃至网络设备整机产生巨大的破坏作用。在与网络设备连接的通信网中，静电感应主要来自两个方面:一是室外高压输电线、雷电等外界电场230、；二是室内环境、地板材料、整机结构等内部系统。因此为防止静电损伤,应做到:l 设备及地板良好接地。l 室内防尘。l 保持适当的温度、湿度条件。l 接触电路板时,应戴防静电手腕，穿防静电工作服。l 将拆卸下的电路板面朝上放置在抗静电的工作台上或放入防静电袋中。l 当观察或转移拆卸了的电路板时,请用手接触电路板的外边缘,避免用手直接触摸电路板上的元器件。8.3.4 电磁环境要求网络设备使用中可能的干扰源,无论是来自设备或应用系统外部,还是来自内部,都是以电容耦合、电感耦合、电磁波辐射、公共阻抗(包括接地系统)耦合的传导方式对设备产生影响,因此为达到抗干扰的要求,应做到:l 对供电系统采取有效的防电231、网干扰措施。l 网络设备工作地最好不要与电力设备的接地装置或防雷接地装置合用，并尽可能相距远一些。l 远离强功率无线电发射台、雷达发射台、高频大电流设备。l 必要时采取电磁屏蔽的方法8.3.5 防雷击要求尽管华为网络设备和eeye IDS在防雷击方面作了大量的考虑,也采取了必要措施，但是在雷击强度超过一定范围时,仍然有可能对网络设备造成损害。为达到更好的防雷效果,建议用户:l 保证机箱的保护地用保护地线与大地保持良好接触。l 保证电源插座的接地点与大地良好接触。l 为增强电源的防雷击效果，可以考虑在电源的输入前端加入电源避雷器，这样可大大增强电源的抗雷击能力。l 对于网络设备接口模块连接到户外232、的信号线,如SN线、电话线、E1/T1线等，为了达到更好的防雷击效果,用户也可以考虑在信号线的输入端增加专门的避雷装置。8.3.6 抗干扰要求各种干扰源，无论是来自设备或应用系统外部，还是来自内部,都是以电容耦合、电感耦合、电磁波辐射、公共阻抗(包括接地系统）和导线（电源线、信号线和输出线等)的传导方式对设备产生影响。为此: 要对供电系统采取有效的防电网干扰措施； 设备工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些； 远离强功率无线电发射台、雷达发射台、高频大电流设备; 必要时采取电磁屏蔽的方法,等等。8.3.7 照明要求机房一般应配备三套照明系统,即:常用照明、保证233、照明和事故照明系统。平均照度1020x，最好安装防爆灯。9 实施方案本次信息化网络集成项目(以下简称“本工程”)实施的范围为3个方面:1、 覆盖1、2和3#办公楼的内网和外网网络系统;2、 外网NteeI的设计和部署;3、 外网趋势网络防病毒软件的部署。本工程建设的各个部分不是孤立分离的,而是有机联系的一个整体的不同组成部分。9.1 总体实施规划本次工程实施是办公楼改造项目和信息化的基础工程之一,对于工程质量具有很高的要求。同时根据比选文件的要求，本工程包括的内容众多,工期要求较短。因此,需要建立高效的组织管理体系,统一组织协调工程的实施、技术服务和技术培训;同时需要在实施前制订详细系统的实施234、计划和技术方案，充分考虑实施条件和实施风险，以保证按时完成工程实施工作,并保证达到设计目标。本系统的特点是：l 设备较多,用户覆盖面广：涉及内网和外网的网络建设、外网网络入侵检测系统的建设和外网防病毒系统的建设,涉及的用户超过15个,地域上也包括了内的3个办公大楼。l 工程质量要求高：由于目前XXX办公大楼的改造工作是分步进行，先期完成#和3#办公楼的装修改造，后期再改造2办公大楼。因此本系统在实施的同时需要尽量减少对网络用户的影响,所以整个网络系统各个环节的可用性、可靠性必须得到充分的保证。l 工期紧，服务期长:需要在较短的时间内完成本系统的集成,并配合招标方管理单位完成整个网络系统和安全系235、统的集成,此外还需要提供三年的质量保证和质保期外的后援支持和服务基于上述特点,将采取如下相应的措施实施整个工程，以保证建成的系统能够在可靠性、可用性、可扩展性、系统的运行性能等方面满足用户的要求,同时在工程质量、工程进度方面得到保证。l 工程的组织领导采取牵头负责,厂商协助的方式:即负责组织技术队伍实施项目系统集成,并向负责;网络设备厂商华为3CO和网络防病毒软件厂商趋势科技指派具有良好业务背景和丰富的工程经验的技术人员承担技术实施方案的制订和审议、工程实施技术顾问等重要工作。l 要选择设备和软件的质量和功能、性能得到业内广泛认可的产品。同时要特别重视在工程实施前检验到货设备的工作,以便及时发236、现货物可能存在的瑕疵，并得到及时处理;而且要在工程实施中采取必要的步骤对采用的设备和软件进行适当的测试和检验，将设备和软件本身可能的瑕疵解决在早期。l 对于本项目中的关键部分,如核心交换机、汇聚交换机和安全入侵检测系统部分等的实施,将派出高级技术专家承担实施重任,同时将要求厂商提供协助和支持。l 为了尽快完成项目的实施,合理分解和安排实施工作,同时将与相关各方进一步协商,尽可能将不相冲突的工作同步进行。例如，在到货前的安装准备阶段，同时安排实施方案设计、技术培训;在设备安装初期同步进行各类设备的独立安装等。在整个工程实施过程中,将把工程实施计划和设计以及工程文档变更建议提交有关人员审议,在取得237、有关人员的签字同意后,并经我方项目经理签字,上述文件才成为正式工程文件。9.2 工程界面在本建设项目工程中，主要负责网络机房的电力和光纤链路保障;负责内、外网的网络设备和外网网络入侵检测设备的设备上架、安装调试、网管软件安装调试、外网防病毒软件的安装调试和整个网络测试检验、试运行到正式投入运行.下图为本工程的工程界面示意图。设备采购设备运输设备上架技术方案设计网络设备安装调试IDS系统安装调试网管软件安装调试外网网络防病毒软件安装调试网络测试检验试运行和运行支持技术培训技术服务电力保障外网出口测试保障许可施工证件、批件实施协调支持参与测试验收机房和网络线路环境项目单位东软公司9.3 工程实施组238、织结构和分工合同签订后,针对此次工程实施的特点,确立工程实施的队伍和组织结构。公司和网络设备厂商华为3CM将为本次系统建设项目工程组建工程实施队伍,其中包括各方的项目经理、高级工程咨询人员和技术支持工程师.公司将直接对用户全面负责,并将与华为3OM一起承担现场的设备安装调试工作。在工程实施期间,项目经理将常驻现场,每周在现场不少于3个工作日。将和技术人员密切配合，按认可的施工方案组织施工。针对本工程特点采用如下组织结构:用户方应针对本项目专门组建用户方项目组,应包括下列人员：项目技术负责人(一般由项目主管人员担任)、用户方IT技术人员。用户方技术人员主要协助我方技术人员完成数据准备工作,提供系239、统需求等辅助性工作,以保证项目能够保质保量地完成。公司针对本工程的建设和实施,专门设立了项目组,主要负责项目的调研、设计、实施以及维护、培训等各项工作，以保证项目的顺利完成以及系统建成后的正常运行。在工程实施期间,项目经理将常驻现场,每周在现场不少于3个工作日。我们根据长期从事大型园区网络系统积累的大量经验,并且结合本工程的具体特点,制定了一整套项目实施计划,我方将确定如下的项目领导小组来具体负责整个项目的实施、验收、培训、维护以及售后服务的全过程。公司的项目领导小组人员名单如下：项目总监控人： 项目总协调人： 项目管理： 系统集成项目负责人： 系统设计组组长: 安装调试组组长: 培训组组长:240、 系统维护组组长：质量控制组组长: 采购管理组组长: 库房管理组组长: 这些人员都是我公司在长期从事网络集成过程中,精心挑选的的资深人士,他们在长期的工作过程中配合十分默契,工作效率高效,因此我公司认为如果有幸能承担本工程的实施,他们一定能优质、高效的完成这项系统工程。9.4 项目实施计划编制和文档修改控制顾问小组由经验丰富的高级工程师组成,主要负责制订与工程实施相关的技术文档。为了保证工程的顺利实施，工程施工前应提供如下文档:l 施工进度表：工期计划实施的进度安排、资源安排,进度计划必须从实际出发,结合自己可利用的资源，以用户要求为主线，制订合理可行的施工进度计划。l 网络拓扑和路由策略：整241、个内、外网网络系统的逻辑拓扑结构,逻辑结构应该平衡可靠性和复杂性、维护性.根据全网拓扑结构特点,制订相应的路由策略。l 网络安全策略和安全配置:对整个网络安全系统的安全策略规划以及在具体安全设备上的配置实现。l IP地址分配表：IP地址分配是一项很重要的工作，IP地址划分的好坏直接影响网络的性能和维护的难度。IP地址划分应该细到每个可用设备端口。l 命名规则表:命名规则要本着合理和容易记忆的原则,命名规则合理可以大大减轻系统维护人员的负担。l 系统详细配置:即系统中所有设备的详细的配置参数.l 互联结构图:即设备的逻辑连线图（标注端口P地址）和电缆连接图.电缆连接图为现场设备实际电缆间实际连接242、情况图，包括接口的形状、标准，连接方式等。l 机架布置图：机架布置图为设备在机架中的位置及连线情况图设备的上架遵循线路多的设备放置在低位的原则，各节点设备上下顺序应保持一致.l 用户联系人员表：提交给工程小组，以便他们在到达现场前进行协调,并明确对应责任关系，减少不必要的麻烦(需要用户方项目经理协助确定)。l 工程人员分配表：提交给用户和合作伙伴，内容包含具体的工程师联系方式以及所负责的任务范围(需要总项目经理和项目经理协助确定)。在工程实施过程中，工程实施人员严格按照工程实施计划和技术方案设计的要求进行施工是非常重要的.但是，基于工程实施中的实际情况,可能需要对工程实施计划和设计方案进行修改243、.为了保证文档的一致性和工程的顺利实施及其后系统维护的顺利进行，需要控制和管理文档的修改。n 工程实施计划和设计方案中的错误修正技术人员发现这类错误后，应及时通知项目经理.项目经理须向项目单位代表提交文档变更申请,说明变更原因和变更方法建议，待项目单位代表和项目经理签字同意、并报告总项目经理后才可作出变更。工程秘书负责修改文件的版本编号和下发.n 工程实施计划和设计方案的修改当需要修改工程设计和工程计划时,需要向总项目经理提交申请报告,说明理由。总项目经理需要与招标方代表协商，双方一致同意修改时要签署备忘录,并转顾问小组处理。顾问小组编制修改书,由项目单位代表和项目经理共同签署后转工程秘书,工244、程秘书负责修改文件的版本编号和下发。n 修改文档的记录和维护工程秘书的一项重要工作就是要维护技术文档的版本一致,技术文档每一次修改都应在工程秘书处登记备案,修改前的文档都要在工程秘书处存档，并标记版本。最终技术文档的发放也由工程秘书统一负责,这样就避免了出自不同技术人员的文档的不一致，多个版本共存便于以后对技术方案的更新进行分析跟踪。9.5 工程协调会和工程进度安排为保证工程的顺利实施,需要股份公司与投标方的工程管理人员、工程技术人员的密切合作.相互之间的合作和理解是工程实施成功的一个重要基石。通过工程技术联络会进一步明确工程实施的基本原则、工程实施中双方的责任和义务划分、工程实施中双方的配合245、协调方式、工程实施中的问题的裁定和解决方式、各阶段测试、检验的内容、方法和标准等,以使双方的技术人员对于各自的任务、责任和义务等都有明确的依据同时工程技术联络会将制定关于商务规范、有关的技术规范、详细的工程进度安排及有关培训的详细安排。因本工程的建设工期较为紧张。我公司愿尽最大努力，充分发挥自身优势,保证系统按期开通。为了实现这一目标,拟采取如下措施：l 成立信息化网络集成项目组，由公司领导任项目组负责人,充分发掘及调动公司内部力量，保证项目实施进度。l 充分发挥强大的业内合作优势，尽可能缩短设备采购周期；l 可以获取厂商对该项目的最大支持，最大限度地安排缩短设备采购周期、安排厂商派驻现场高级246、工程师、加强技术培训力度和74的技术支持。l 充分发挥上市公司强大的资金保障优势,从公司整体政策上向本项目倾斜；l 充分发挥在系统集成领域的技术优势,对可能出现的问题采取预防为主的策略，出现问题集中力量解决，防止问题扩大,从而保证平台系统安装、调试、试运行的顺利进行。在设备到货后,公司将负责项目的总体安装与调试，由于本项目设备涉及内、外网的交换机、IDS、网管软件和趋势网络防病毒软件，产品到货周期基本相同同,我公司将依据这一特点，实行到货后统一安装的策略.下面列出本工程的有关设备订货、运输,安装和交付运行等几个阶段的工作.l 项目启动:定义计划,技术设计，等等。l 规划设计本工程的具体配置方案247、。l 机房环境调查确认。l 设备订货、设备运输及验收。l 系统硬件和软件安装等。l 系统测试和交付运行.l 整理系统文档,培训系统网络管理员l 系统验收l 保修期系统维护。因本次3个办公楼的改造进度不同,号办公楼需要待1号和3号办公楼改造完毕才可实施土建改造。因此必然影响到本网络系统集成项目的实施下面的进度安排计划是根据我公司长期从事大型系统集成项目的经验所得出的结论。将3个办公楼的内、外网网络集成集中实施的进度计划，该计划能够确保号和3号办公楼的网络集成工作在11月中旬前结束.实际的进度安排计划列表会在合同项目签定以后由双方共同商订得出.我们的实施计划也将以最后双方确认的实施计划为准！!- 248、101 - 154 -9.6 项目实施9.6.1 安装准备l 用户系统管理人员专项快速技术培训为了保证系统建设中与项目单位系统管理人员的顺利合作和系统建成后能尽快发挥作用,有必要向这些系统管理人员介绍整个系统的连接和配置基础知识。为此,将派顾问小组成员介绍如下基本情况：1) 系统设备基本特点和结构2) 系统互联方式3) 系统基本配置设计l 备件、安装、验收工具的准备需要准备的内容包括：1) 网络设备备件到位2) 网络设备安装工具3) 测试软件4) 测试线缆l 安装环境检查双方技术人员对设备安装环境进行检查,确认符合设备运行要求，并填写环境调查表。9.6.2 到货检查l 货物清点及标记到货检查的249、步骤包括：1. 设备按型号和规格分类2. 模块按所插设备分类3. 整机数量清点核对4. 模块数量清点核对5. 软件数量清点核对6. 文档数量清点核对7. 把分类编号贴到网络设备上l 外观验收外观验收的主要内容包括:1) 货物保障有无明显破损2) 货物包装有无显著损伤3) 货物与装箱单所示是否相符4) 货物表面是否有缺损5) 外观验收结果与订货合同不相符时，由承担责任l 资料和文件验收内容包括: 1. 装箱单、保修单2. 包装箱内是否有随机资料和介质3. 随机资料和介质是否完整9.6.3 设备安装检验对于本项目的设备安装调试,将派出有经验的工程师进行调试与安装，并在网络厂商技术专家的协助下,高效250、优质地完成项目的实施。在完成项目实施计划编制、安装准备、到货检查并确认不存在影响项目实施的重大问题后,将与项目单位代表共同填写开工报告,并正式开始系统安装及检验。l 准备工作在安装、调试前，我公司项目经理将提前周向用户方提供安装调试计划，包括以下内容：）安装调试手册2)安装调试进度安排3)安装方式4）调试方法5)调试工具的准备6）安装调试环境的准备7)其他需准备的工作l 设备上架工作人员把设备稳定、可靠地置于机架指定位置.统一规定各设备在机架的位置,做到整齐划一.l 上电验收备好设备电源线并插入指定电源插座，打开电源开关。具有双（多)电源的设备两(多)个电源同时启用设备试运转时，工程人员全程跟251、踪设备试运转状态,随时记录设备的信息和指示灯的状态。设备试运转期间，整机及其上所有模块通过开机自检,无任何报错信息，并能进入正常工作状态;整机及其上所有模块指示灯状态正常.对没有通过上电验收的设备进行检查,并做相应处理。l 网络连线连接按预先规划用标准线缆连接设备端口与跳线架端口.明确规定各信息点与设备端口对应关系,做出信息点对应表。l 网管软件安装包括网络管理软件安装配置和调试等。在安装过程中,要记录安装参数设置等。l 设备集中配置按设备配置清单为各网络设备配置参数。l 系统功能测试在每台设备完成物理安装之后,公司的现场工程师将和用户的技术人员一起进行该部分的系统功能测试工作。l I安装和配252、置ID安装过程如下:1. 安置网络安全系统硬件IDS、管理软件2. 根据网络拓扑设计分别标识各个区域3. 进行物理连线4. 安装管理软件5. 配置管理端的系统设置6. 定义工程7. 定义安全策略8. 详细记录上述过程9.6.4 连通性和系统完整性测试为保证用户网络系统的正常运行，公司将负责对用户网络进行连通性调试。经调试后使系统可满足方案设计中对网络连通性的要求。调试通过后，由顾问小组工程师对整个网络的总体功能进行调试和优化。本工程涉及的网络设备和网络安全设备经过安装、调试、入网联调,应集成为一个统一协调运作的业务基础平台。为验证这一结果的效果，将配合技术人员将本项目中的网络系统与已有同类设备253、的集成工作。9.6.5 系统测试和验收本项目的测试和验收非常关键,将决定本项目能否正常投入运营。公司根据IS901质量认证要求,并结合多年大型网络系统集成项目的测试和验收经验，为本项目制定了测试和验收计划。详见验收方案章节9.6.6 培训根据我公司制定的ISO9000质量认证体系,客户培训部分将严格按照客户培训可以参照04客户培训规程进行实施。主要包括：、确定培训内容:培训内容基本上包含以下项目:系统操作使用,日常维护,故障排除。培训内容可以根据合同规定，也可与客户协商培训内容。2、制订培训计划:制订培训计划应在实施基本完成前完成以顺利衔接；培训场地、受培训人员、参加人员、时间安排、内容安排;254、所需设备清单,讲解、指导人员安排。3、按照培训计划开展培训，确保客户能够准确使用系统,及时解决客户提出的各种问题。4、培训考核分为上机及笔试，考核后及时填写培训记录，并将培训考核结果反映给客户负责人。具体培训计划请参见培训方案章节.9.6.7 实施总结系统验收通过后，实施负责人应对整个项目的实施工作进行总结,编写系统集成项目总结报告,以便发现问题，提出纠正和改进的措施,为今后系统实施工作提供改进依据。系统集成项目总结报告提交项目管理部门评审,项目实施过程中的各种报告与记录统一提交项目管理部门。9.6.8 售后维护将根据如下基本原则,通过IT服务事业部部为本项目提供优质的售后服务。、维护范围和维255、护期限必须在合同中明确规定,客户提出维护申请，由客户和维护部门进行确认,维护服务应严格按合同执行。、根据确认的维护需求，可与客户约定维护实施办法,共同制定维护计划。3、项目管理部门受理系统集成项目的维护申请并协调维护实施。4、IT服务事业部负责系统集成项目的维护,根据问题情况决定采取远程维护或现场维护,并加以记录。5、维护过程中如发生不合格品,应明确不合格品的标识和处置。、维护的相关记录应在维护结束后，由I服务事业部保存和管理。9.6.9 过程监控项目管理部门和项目经理按照系统集成实施计划的要求对每个系统的实施情况进行监控。主要内容有：1、工作周报:每周由实施工程师/项目经理完成,并对应地提交256、给项目经理/项目管理部门,主要内容有：一周内主要工作、有无重大事故、下周计划等.2、工作日报：由每个实施工程师完成提交给项目经理。、工作报告:遇到特殊事项，如:客户需求变更,实施工作出现意外事项等问题，实施工程师应及时将遇到的问题通报给项目经理项目管理部门。、例会:定期(每周/天）由各地项目经理组织召开，通报工作进展监控进程。9.7 项目质量保证计划我公司早在20年初就已经顺利通过ISO901：20版的认证，公司充分重视对施工质量的控制，并在所有的项目实施过程中建立了完善套质量保证措施，针对本项目我们将制订完备的质量保证计划.主要包括对施工文档的生成、修改和管理。做到每一项工作都有合理的流程，257、流程的每一步都有相应的记录文档和核查手段。工程责任制,大到从整个项目的实施管理,小到每个具体节点的安装，都实行工程责任制.整个项目的工程质量负责人是项目经理，项目经理对用户和公司主管部门负责,项目经理对项目实施具体指挥:对外,负责与客户的联络,解答客户的问题,满足客户的需求;对内，负责工程的组织和协调，项目经理有权调派项目组人员、安排工期、调整工程进度、确保工程能按期、按设计要求、高质量完成。顾问小组组长对项目经理负责,并负责保证工程文档的合理性和可实施性,顾问小组负责设计文档，并保持技术文档的一致性。每一版成型的技术文档都要在工程秘书处存档，每次文档的修改都要在工程秘书处登记。工程小组负责具258、体的工程实施,由工程小组组长向项目经理负责,保证施工质量,给工程师安装分配具体任务的工程师负责，工程师向小组组长负责.本系统在需求分析、总体设计等阶段,严格遵守IO900质量保证体系的要求,提供需求分析报告、项目计划、系统设计报告、测试大纲与测试报告等，其基本操作规程及相应提供的结果如下:系统集成项目全过程部门和岗位分工阶段（质量要素）引用的技术规范目的责任部门或人提交结果管理性活动（略)系统集成活动合同评审合同评审、合同制定规范确保合同条款规范合理,防范风险营销网络管理部、项目监控部、技术支撑人员合同评审记录项目集成策划DW061系统集成项目策划规范确保系统集成项目资源合理配置、进度和质量能259、得到有效控制.项目实施负责人采购仓储部门负责人项目管理部门负责人系统集成项目任务书系统集成项目工作单系统集成项目评审记录系统实施计划系统实施实施方案项目实施D062系统集成项目实施规范确保系统集成项目实施有效控制、高效运作项目实施负责人采购仓储部门负责人系统集成开工报告系统集成安装报告集成设备交付书系统集成维护计划系统集成维护记录测试及验收D03系统集成项目测试与验收规范确保系统集成项目实施质量能够有效控制项目负责人、项目监控部系统集成测试计划系统集成测试报告系统集成验收报告实施指南W64系统集成实施指南确保组织内参与系统集成的各级部门能够有效组织实施系统集成参与项目的人员客户培训W03客户培260、训规程确保客户获得满意的培训项目组负责人培训部负责人培训记录培训成绩支持性活动配置管理配置管理、标识规范项目监控部、项目管理员配置管理计划、配置状态报告文档控制文件管理、文件编写导则、文件编号规定管理者代表、项目监控部、质量体系组质量体系文件及其发行、修改控制质量记录质量记录管理、文件归档及编目指导、档案管理规范项目监控部规则、惯例和约定规则、惯例和约定项目监控部各开发规范设备、工具和技术设备和工具项目监控部专项技术支持人员各种工具软件、测试软件(Q)采购采购管理、库房管理规定采购仓储部、技术支撑人员合格分供方评定记录、采购验收报告配套的产品管理配套产品管理项目开发人员、设备管理组配套产品验证261、记录及其编号9.8 工程文档工程实施过程中和结束后,公司将向提供如下的工程文档：序号文档名称内容及提交阶段1技术实施方案整体项目的实施规划方案,包括产品的具体部署， 产品到货安装调式的周期安排，人员配置等合同签定后提交.2现场环境调查表产品到货安装调式的周期安排，人员配置等。合同签定后提交。3设备验货表设备加电测试报告检查产品有无损伤，加电是否正常。产品到货验收后提交。4培训效果反馈表集中培训效果的评估。培训完成后提交.安装报告安装过程文档，设备安装调试具体信息记录安装调试后提交.产品手册产品安装管理手册.产品到货验收后提交。7安装手册产品操作使用手册。产品到货验收后提交。用户登记卡用户登记回262、寄到厂家的用户信息备案。产品到货验收后提交。9测试验收表安装后,进行设备应用测试。安装调试后提交。1节点验收报告安装节点验收报告.安装完毕后提交。1初验报告项目整体初验报告.项目实施完成后提交。12试运行报告在试运行阶段的报告。试运行结束后提交。13终验报告最终验收后的报告。最终验收后提交.14培训教材培训课程教材。培训时提交。服务质量考核评估表项目巡检后提交。10 验收方案本工程的实施是关系到北信息化进程的复杂系统工程,工程的测试和验收非常关键,将决定本项目能否正常投入运营。公司根据IS9质量认证要求，并结合多年大型网络系统集成项目的测试和验收经验,为本项目制定测试和验收计划,整个验收计划包263、括了设备出厂验收、设备到货验收、初验收和系统终验收。对系统硬件及软件平台产品特性可参考相应技术手册。10.1 验收的方法与步骤l 网络设备和IDS出厂前进行厂验;l 和网络中心有关人员一起按照设备采购合同中的设备清单,对购买的设备进行开箱验收；l 安装硬件设备，对所有网络设备加电测试；l 提交设备开箱验收报告和测试报告；l 系统测试后,签署初验收意见；l 系统试运行期满后,验收各方开会审议,形成终验收结论、意见。10.2 验收测试标准设备安装调试正常之后，进入测试验收阶段。工程测试验收标准是相关规范及双方所签订的技术合同：（）工程技术规范书(2)工程询价书(）工程用服勘测报告（4）用户需求意向264、和现场调查资料（5）厂商提供的产品技术资料10.3 验收测试流程提交初验测试申请与用户协调，制定验收测试程序初验测试测试通过?签署初验通过证书文档、资料移交试运行签署终验通过证书解决存在问题处理问题NY10.4 整体系统验收系统联调结束和整体系统试运行期满后后,应由用户方和公司共同对整体系统进行验收,整体验收的结果由参加整体验收的各方签名，形成整体系统验收报告(初验和终验报告），其中终验报告要附上整体系统试运行期间的有代表性的运行日志的记录，并且给出最终的明确结果：a. 通过整体验收;b. 未通过整体验收,延迟12个月再作验收。整体系统验收工作程序:1) 验收前准备根据合同中的验收准则检查所有265、硬件项及其系统配置是否完整,做好验收准备。2) 验收实施l 根据合同要求或双方协商结果,确定验收时间、验收准则、软/硬件环境等，以及双方职责。安排系统工程师协助用户方进行验收;l 验收测试;测试项目可根据用户要求,包括下面几项:）环境测试B）可靠性测试C)维护性测试D)功能测试E)稳定性测试F）性能测试G）仿真测试l 编写验收报告；l 测试计划与测试报告格式及内容按照我公司IO9001质量保证计划规定及用户方要求执行.说明:由用户方自行安装的软件,我公司不参与其验收过程。3) 问题处理 在验收(测试)过程中发现的问题根据合同规定来处理如果合同中没有规定，应指明问题类型和责任归属,由客户服务中心266、与项目组协商解决办法。10.5 检测方法与目的10.5.1 设备到货验收设备到货后，正式交付之前，由用户方和共同对设备进行验收,如果通过验收,则可以交付给用户方。原则上，设备到货验收的地点为用户方指定地点，并且,设备到货验收通过,用户方收货后,应保证设备完好，直到进行平台系统安装、调试及试运行，迎接平台系统验收。针对本项目,我公司可以提供根据ISO9001标准制订的现行作业指导书设备验收规范作为设备到货验收的参考依据和标准。验收内容包括外包装、加电查看系统配置与合同是否相符。外包装验收填写运输外包装验收清单和设备开箱验收单。外观验收运输外包装验收清单合同号：_XXXXX公司代理商根据合同已经将267、合同产品运抵CP到货口岸。运抵日期:产品运输外包装按照下列表格验收。、基本运输数据麦 码运单 号包装箱数量总毛重（公斤)、详细运输数据包装箱序列号装 箱 单 号箱内主要产品描述上述产品运输外包装在无损伤情况下验收。工程监理用户将负责上述产品安装前的存储。用户代表上述产品运输外包装具有下表所列损伤记录。工程监理用户将负责上述产品安装前的存储。用户代表产品运输外包装损伤记录参见后续表格下述损伤记录应得到中国进口产品检验部门的确认,以便供应商得到相应的赔偿包装箱号损 伤 记 录补救措施：上述损伤记录得到确认最终用户代表 设备厂商代表 工程监理代表用户名称 代理商代表 工程监理代表中国进口商品检验部门268、代表设备开箱验收清单合同号:_合同产品已经运抵安装现场（用户下属机构）,中华人民共和国.运抵日期:，开箱日期:由买卖双方代表确认,下列产品出现短缺和损坏:序列号产 品 型号短缺数量损坏数量说 明除了上述所列产品以外,其它合同产品均被买方接收。最终用户代表 产品供应商代表 工程监理代表用户全称 代理商 工程监理代表10.5.2 初验收内、外网的设备安装、调试达到技术规范书规定的指标后,可进行验收测试(初验）。验收测试合格后，双方签署验收协议，设备入网开通试运行。 初验组成部分:核心交换机、汇聚交换机、接入交换机、IDS、网络管理软件和网络防病毒软件及内、外网系统联调结果。上述交换机和DS设备中均269、含其专用操作系统软件。1. IDS测试测试对象：外网IDS功能测试测试目的:检查系统配置及网络安全入侵检测的情况测试平台：相应主机设 备 名测 试 项测 试方法合格条 件IDS配置设备及许可清单检查提供的清单及许可证命令检测启动相应应用检测功能检测根据系统手册操作所有显示功能与操作手册相符工作状态人工故障及时发现人工故障进程状态管理启停相关安全进程并观察状态2. 网管软件测试测试对象:系统网管软件测试目的:检查网管软件的安装与使用情况测试平台:相应主机设 备 名测 试项测 试 方 法合 格 条 件网管软件配置软件清单检查厂商提供的网管软件清单及许可证命令检测启动相应应用检测功能检测根据软件手册270、操作所有显示功能与操作手册相符工作状态人工故障及时发现人工故障进程状态管理启停相关模块进程并观察状态全网初验通过,填写如下初步验收报告：系统全网初验报告 : 在贵方的积极支持与配合下， 工程的现场安装调试及单点初验已全部完成。在此,我们表示诚挚的谢意!由双方工程师参加的全网测试结果表明， 网络运行状况已满足工程合同中的技术规范要求,全网通过初验，可投入试运行。对于初验遗留问题，我们将在试运行阶段尽快予以解决。测试结果请参见系统测试报告.初验遗留问题请参见初验报告附录全网初验备忘录。即日起,全网开始试运行，我们将同时交付系统管理员手册及系统管理帐号、密码,请贵方签收。甲方： .： 监理方：甲方代271、表签字日期： .代表签字/日期监理方代表签字/日期: 。10.5.3 系统终验当整个系统进入试运行期,公司将向提供行之有效的技术支持以确保整个网络的稳定和有效地运营,并确保整个网络能够顺利通过系统终验。在此同时,公司将通过这些具体的技术支持帮助甲方工作人员熟悉和掌握这些设备和维护技术。系统试运行期对整个网络系统而言是一个非常重要的时期.在此期间，由于甲方网络技术人员的技术水平、设备管理、设备操作和设备维护之间的磨合，将会出现一些意想不到的设备问题和人为故障。由于甲方的技术人员对相关设备不够熟悉，所以这些技术问题一般需要通过公司技术人员的指导进行解决。系统试运行期对甲方的技术人员而言是逐步熟悉和272、掌握系统所提供的新设备和新技术的重要时期在系统试运行期,公司将提供必要的现场技术支持，并解决有关技术问题。同时通过定期维护以避免设备故障的发生。另外，公司将帮助甲方的技术人员提高他们的技术水平，以便通过他们的努力使的内、外网运行更加高效。在通过系统试运行期而无重大故障的情况下，由用户方网络负责人主持终验,公司项目组协助系统终验。系统终验后，双方技术负责人和监理方技术负责人在终验报告上签字确认。系统全网终验报告 :在贵方的积极支持与配合下, 工程于 年 月 日 通过初验，进入试运行阶段。试运行期间所有初验遗留问题均已得到解决。按照合同规定,系统试运行于 年 月 日正式结束.试运行期间,网络运行状273、况满足工程合同中技术规范书的要求和各项技术指标，全网终验通过。从即日起,系统投入正式运行。甲方： .: 监理方:甲方代表签字日期: . 代表签字/日期： 。监理方代表签字/日期：11 培训方案经验证明，完善和成功的培训将是系统建设能否成功的决定因素之一。为此,公司和华为3COM和趋势科技根据信息化网络集成项目的实际情况,制定了完善的培训计划。软件公司是多家知名IT企业授权培训单位、在大连、南海和成都建立了信息学院,可为用户提供长期稳定系统的培训。同时我们也提供到用户现场进行培训的方式。根据系统建设各个阶段的需要,以集中培训（国内）和现场培训等方式实施培训工作。培训工作分为网络工程实施阶段和系统274、运行阶段,在不同阶段培训不同类型的人员。培训内容主要在服务器与客户机系统、计算机网络系统和网络系统的管理、使用及维护、应用系统使用与管理等。接受培训的人员在培训后能独立完成相应阶段的技术工作,并能达到回本单位后继续做培训的能力。使工程作到“交钥匙工程“用户满意”工程11.1 培训目的在项目实施过程中，本公司除贯穿实施全过程对用户进行培训外，还针对本项目的网络及安全产品提出一整套系统的培训方案,以达到如下目的:l 工程能够按时高质量的完成。如对甲方协作人员的培训.l 系统完工后能够正常运转。如：网络系统、IS、防病毒和网管系统各种软硬件的操作培训等l 系统能安全无故障的运行如针对安全性对技术人员275、进行安全管理的培训此次培训的老师全部为我公司和相关厂商的专职培训人员。使维护工作人员经培训后能够熟练地掌握系统的软件及硬件维护工作,并能及时排除大部分设备故障。11.1.1 的培训优势11.1.1.1 具有领先于国内同行的质量管理经验 公司是国内率先通过IO9001质量体系认证的软件企业; 公司是国内率先通过CM5级评审的软件企业CM（Capacity Matuiy Mdel)是由卡内基梅隆大学的软件工程研究院主持开发的软件能力成熟度模型，是衡量软件公司软件开发管理水平的重要参数； 是国内首家通过世界著名认证机构-DNV（挪威船级社)IS00（2000版)质量体系认证的企业； 具有企业信息化建276、设的成功经验11.1.1.2 卓越的国际国内专家优势 公司目前拥有资深软件咨询顾问38人、资深系统分析与设计师79人、资深软件工程师39人 公司目前拥有专兼职资深管理专家、讲师、顾问25名。 国际知名T企业授权培训机构 目前为ORACL授权培训中心、微软授权培训中心。11.1.1.3 斐然的业绩 公司自成立至今,已累计培训学员。25万人次。 尖端的设备及配套设施。 拥有一流的培训场地与设备,设有住宿、餐饮、休闲等完善的配套设施。的质量方针“为用户提供易用、可靠的产品和满意的服务。为保证内、外网络集成项目有效实施和充分应用,真正为客户创造价值，及时、有效、可靠、长期的服务是必不可少的。我们的软件277、就是体现了一种服务的态度.11.1.1.4 培训内容课程类型：技术类 ：计算机基础知识、计算机网络技术；专业认证 :微软、ISCO等的认证培训与国际标准化考试;管理类 :企业发展战略课程、销售及市场管理课程、管理发展课程、个人能力发展课程、顾客服务课程、人力资源课程、其它课程;课程设计者：来自于国内外知名院校的知名学者来自于国内外知名企业的具有丰富管理技能的经理人来自于国外知名咨询顾问公司的资深顾问来自于国内知名I公司的资深顾问及资深技术专家来自于股份的资深技术专家培训讲师：我们的培训讲师是来自于管理、生产、教学等各领域的专业人士，具有丰富的企业内培训经验和技巧,并受过专门的训练和教师资格认证278、。同时,还有来自于股份培训事业部的资深技术专家、软件设计师、资深软件工程师、专职讲师；以及CIC、icrsft等国际知名公司的认证资格讲师。11.1.1.5 培训方式培训方式分成以下几种,可灵活安排，或单独，或结合等方式：u 个案讲解;u 范例分析；u 互动研讨;u 系统传授 ；u 实践;u 培训形式;u 方案咨询论证；u 定制培训；u 公开课 :定期举办面向社会的系列课程;u 课程代理:为国际培训公司在华代售其课程； u 海外培训:组织高级技术人员、企业管理人员赴欧美发达国家培训 11.1.1.6 培训特色u 有效的情景展开u 适用的内容剖析u 实用的课程传授u 课程的量身定做11.1.1.279、7 培训合作伙伴u 挪威船级社（D)u 深圳质量认证中心u 麦古力国际公司u 全友管理顾问有限公司u 恒信和益咨询有限公司u 国际商用机器有限公司（BM)u 微软公司(Mcrosof）u 诺基亚公司(NOKIA）u 华为3CM公司 u 思科系统公司（CISO）u 甲骨文软件系统有限公司（ORACLE）11.2 华为3COM培训机构简介11.2.1 培训理念作为售后服务不可或缺的一部分，华为COM一直致力于为用户提供及时、有效的培训服务。华为3CM一直认为,维护人员的能力和水平是保持设备正常运转和良好的效益的必要保障，华为3C希望通过培训这一售后服务环节为用户提供更多的支持和帮助。11.2.2 280、总体介绍为了满足不同用户不同层次的培训需求，培训中心采用总部和分部集中培训、当地培训以及现场培训相结合的三级培训体系.总部培训以高级工程师培训和新产品技术培训为主,授权认证的分部则致力于成熟产品的工程师培训;当地培训和现场培训是满足用户不同的个性化需求而设立的不同培训类别。按照交换接入、无线、光网络、智能网、数据通信等十大类产品,华为3COM为国内外客户提供120余种标准培训项目，涵盖了华为3CM所有产品的培训。用户培训中心拥有华为COM最新版设备和测试仪器,采用世界先进高效的多媒体教学、B（oput-bsed Traiing）及现代课堂讲座、模拟真实环境的演练相结合。实习设备相互连接以模拟现281、代电信网络运作，提供给客户一个以“培训实战性”为特点的真实的模拟上机环境.11.2.3 培训师资专职教师：华为3COM培训中心深圳总部拥有50多名专职培训教师,其中8具有硕士以上学位；分部有专职教师90余名，其中5%具有本科以上学位他们具有丰富的研发和运维实践经验、出色的教学技能和最前沿的专业知识，所有在岗教师均经过严格的资格认证与考核.兼职教师：培训中心长期聘请一些经过资格认证、富有经验的研发专家和工程专家担任兼职教师,在教学中能带给用户更新更深层的产品知识和实用维护经验。 11.2.4 课程设计华为3COM培训中心拥有一支专门负责课程开发的专家队伍,本着为客户“培训运营技能,提高投资回报”282、的宗旨，将产品开发理念贯穿到课程开发中,历经市场调研、设计、开发以及教学效果评估等四个阶段,充分保证培训质量,满足客户培训需求。根据客户需要和产品特点,华为COM培训采用模块化的课程设计思想，各标准模块间灵活组合,可以满足客户的特定需求,以保证最佳的培训效果与效率。此外,培训中心聘请各大院校的专家和资深学者作为客座教授,为培训提供最新的技术和理论方面的支持,使我们的培训内容能紧跟电信技术发展的潮流。华为3com认证培训体系介绍 【华为3C认证培训体系】由三部分组成：技术认证培训体系、销售认证培训体系、专项认证培训体系.技术认证培训体系由初、中、高三级组成;销售认证培训体系由两级组成；专项认证培283、训体系由金融网络解决方案、华为3ComVoIP解决方案、华为3Com网络安全解决方案、企业接入解决方案等组成,并且将根据技术和市场的发展不断推出满足用户需求的专项认证。具体培训课程由分布在全国各地的“华为3Com认证网络技术教育中心”提供，认证考试由美国专业考试与认证服务机构roec公司代理,考生可以在中国大陆的所有APT（romri授权考试中心)报名参加考试。华为3Com认证网络工程师(HCNE)Huawei Certified Network Engineer华为3Com认证高级网络工程师(HCSE)Huawei Certified Senior Network Engineer华为3Co284、m认证网络互联专家(HCIE)Huawei Certified Internetwork Expert华为3Com认证销售工程师(HSE)Huawei Certified Sale Engineer华为3Com认证销售专家(HSP)Huawei Certified Sale Professional华为3ComVOIP解决方案华为3Com金融网络解决方案华为3Com网络安全解决方案技术认证培训体系销售认证培训体系专项认证培训体系华为3Com认证培训体系技术认证体系:【华为3Com认证网络工程师】(NE：HuaeiCertfied Networ Enee) 【华为3om认证高级网络工程师】(HC285、SE：uawei etiied eiorNeworkgineer）【华为3Com认证网络互联专家】（CI:awei Certfie InteetworkExet）华为3Com认证高级网络工程师华为3Com认证网络互联专家华为3Com认证网络工程师【华为3om认证网络工程师】（HNE）主要定位于中小型网络的设计、实施与维护等方面。由构建中小企业网络一门课程组成,该课程包含网络基础、常见接口与电缆、以太网交换机、路由器原理、TCP/P/IPX协议、广域网协议、路由协议、DD/ISN、访问控制列表、备份中心、简单网络故障排除等知识点,另外还提供了华为3Com系列路由器及系列交换机、网络规划设计等知识286、的介绍。通过相应的认证考试即可获得由华为3Com公司统一签发的“华为o认证网络工程师(HC)的证书。推荐的培训推荐的考试 华为3Com认证网络工程师网为工程师考试构建中小企业网络【华为Com认证高级网络工程师】(CS)主要定位于中大型园区网络的配置、维护及方案设计.由构建企业级路由网络、构建企业级交换网络、企业级网络方案设计三门课程组成。上述三门课程分别覆盖了路由、交换、VPN、安全特性、QOS、网络设计等全方位的部署园区网络所需的理论及实际设备配置维护方面的知识.“华为3Com认证网络工程师”在全部通过三门课程所对应的考试后可获得华为3Com公司统一签发的“华为3Cm认证高级网络工程师”证书287、。构建企业级路由网络推荐的培训构建企业级交换网络 企业级网络方案设计第一步第二步推荐的考试华为3Com认证网络工程师企业级路由网络第三步企业级交换网络网络方案设计高级网络工程师考试或【华为3Com认证网络互联专家】(HCE）主要定位于行业及运营级网络的设计、实施与维护。课程主要涉及MS/ATM/SPOS等运营级网络知识.培训均为单项课程,学员可以采用自学并结合难点科目培训方式进行学习.“华为3m认证网络互联专家”的认证考试侧重于实际的运营方案设计和相应设备配置、维护能力的考核。“华为3Cm认证高级网络工程师”在通过“华为3Cm运营网络”考试后即可参加由华为3Com公司统一组织的实践考试。实践考288、试通过后即可获得由华为3Com公司统一签发的“华为3Com认证网络互联专家证书。实践考试推荐的考试第二步华为3Com认证高级网络工程师华为运营网络MPLS原理及应用推荐的培训ATM原理及应用SDH/POS原理及应用 专项认证培训课程介绍:【华为3ComVoIP解决方案】课程涵盖语音路由器，Reier1。5等华为3ComVoP解决方案【华为3o金融网络解决方案】课程阐述了全方位的金融网络解决方案，包括N，哑终端等【华为Com企业接入解决方案】课程涵盖华为3Cm企业接入路由器、接入服务器Rener2。等方面的知识 【华为3Co网络安全解决方案】课程阐述了华为3Com关于网络安全的全面解决方案11.289、2.5 中高端路由器产品培训项目华为CO公司培训中心中高端路由器用户培训的培训大纲,全面涉及华为3CO公司中高端路由器各类产品用户培训的详细内容,包括： 网络工程师培训 高级交换网络工程师培训 Netngine16E8路由器工程师培训 tEgine0/4/20路由器工程师培训 uidwa S12/S06路由交换机工程师培训 Qudwa S6506650路由交换机工程师培训 华为3COM认证网络工程师培训 华为3OM认证高级交换网络工程师培训具体培训项目的课程设置及课程描述参见本文附件中高端路由器产品用户培训大纲，其中“培训项目描述”中详细定义了每个培训项目的培训对象、入学要求、培训目标、培训内290、容、培训时长以及培训课程等，“课程描述”,说明了每个课程的培训目标、内容、对象、入学要求、培训方法、时长、最大学员人数等.11.3 本项目培训计划公司完全理解在本项目中对培训的要求,同时经过充分的了解与分析,对于此项目我们提供以下培训计划：l 现场培训；l 国内技术培训;11.3.1 现场培训在本系统集成实施过程中，我公司对用户方项目组技术人员提供软硬件设备的安装、维护及系统管理现场培训.包括软硬件设备安装、配置、诊断、管理、维护等方面的现场工作培训，并将做不少于5天的现场集中培训.11.3.2 国内技术培训国内技术培训主要内容是本系统相关厂商提供的华为3COM网络、Nt网络安全和防病毒软件操291、作培训。培训目标为使学员达到能够掌握相应的知识并能够进行相应的管理。具体培训内容如下：11.3.2.1 网络技术认证培训公司将为本项目的用户方网络管理人员提供2人次的厂商认证培训(HCE)。(注:HCNE培训是HCE培训项目的一部分)培训费用:免费具体培训课程如下:一、HCNE（华为3Com认证网络工程师）课程名称:网络基础知识培训1、培训目标：l 掌握网络通信的基本原理和TCPIP协议原理。l 掌握路由器和以太网交换机的原理和配置方法。l 掌握广域网的原理、配置和维护。l 掌握路由协议的基本工作原理和配置方法。l 承担中低端路由器的日常维护工作。l 处理路由器的网络连接和软件配置方面的常见故292、障。2、培训课程课程编号课程名称课程总时长（工作日)上机时长(工作日)H001网络基础知识。L02PIP协议与子网规划。3L003常见网络接口与线缆0.5H04以太网交换机原理及配置。525HL5路由器基本原理及配置0.0。5H0广域网协议原理与配置10.5HL007路由协议原理与配置10.5L08访问控制列表和地址转换0。50。25HL009DC、ISDN原理及配置0。0.25HL0备份中心原理及配置0。3、培训地点：华为3Cm授权培训中心。4、培训方式:课堂讲授与上机操作,由培训中心提供培训设备及培训教材。、培训时长:5工作日,其中上机操作2工作日。二、HCSE（华为3o认证高级网络工程师)（一）课程名称：构建企业级交换网络1、培训目标:l 掌握局域交换网络的技术.l 掌握华为3m交换产品的配置。l 在局域网组网环境中熟练应用各种技术。、培训课程课程编号课程名称课程总时长(工作日)上机时长（工作日)M00局域网