1、目 录1项目概况 1 1。1项目背景 1 1.2建设目标- 1 -1.3工程范围 1 -1.4网络信息点位分布与数量表 1 -2总体设计 3 -2。1设计依据 3 2。2设计原则- 3 -3网络系统 5 -3.1网络协议的选择 5 -3.2网络技术选择- 5 3.2。1VLAN（Virtual LANs） 5 3。2。2三层交换技术 6 -3。2.3VRRP- 7 3.2。4其它网络技术- 8 -3.3网络设计概要 8 -3。4网络的分层设计- 9 -3.4。1核心层- 9 3。4。2汇聚层- 9 -3。4。3接入层 10 -选用华为3COM的网络设备 10 3。4。5网络规划 11 -3。52、网络拓扑图 24 3。6网络冗余设计 26 3.7路由规划 26 3.8应用VRRP技术- 28 -3。9选择组播协议- 31 3.10VLAN规划 33 -3。11IP地址分配原则 33 3。11.1内网IP分配规划- 34 -外网IP分配规划 34 3.12本设计方案的特点- 35 -3。12。1完全的分布式的处理方式- 35 3。12.2核心交换机先进的体系架构设计 35 3。12.3基于流攻击的防止- 35 -3.12。4QOS功能 35 -广播风暴的抑止- 36 -3.12。6高可用性保障 36 4网管管理系统- 36 -4。1网络管理的重要性- 36 -4.2管理系统的总体设计- 3、37 -4.3华为3Com网络管理解决方案 37 4。3.1产品特点 37 4。3。2典型组网应用- 41 4.4用户的安全接入管理 41 5网络系统安全特性 42 -5。1配置IDS 42 5。2网络病毒的诊断- 42 -5.3协议的安全性 42 5.3。1应用服务协议的安全 42 -5。3。2路由协议的安全- 43 网管SNMP的安全性 43 5。4网络设备的安全性 43 -控制口console的控制- 43 5。4.2远程登录telnet 的控制 44 5.5限制外网BT业务流量- 44 -5.6多元绑定技术的应用 47 -5.6。1网络安全特征 48 -可用绑定技术规划高安全的网络- 4、49 -5。7防止对DHCP服务器的攻击- 52 Private VLAN 52 5。7.2访问控制列表 53 5。7。3新的命令 53 5.8恶意用户追查 53 -5.9防病毒攻击- 53 5。9。1防止DOS攻击- 54 5.9。2防止基于流的攻击特性- 54 -5。9.3防止病毒的广播传递- 55 -6网络入侵检测- 56 -6。1入侵检测系统在外网网络的作用- 56 在外网建设入侵检测系统的必要性 56 -6。2本系统外网络入侵检测产品选型 59 6。2。1网络入侵检测技术简介 59 网络入侵检测技术分析- 60 6.2。3网络入侵产品选型 62 -6。3网络入侵检测产品部署 65 65、。3。1NetEye IDS部署建议- 65 -6。3。2NetEye IDS的集中管理- 66 NetEye IDS的系统结构- 67 6。3.4NetEye IDS的配置清单 67 6。4网络入侵检测产品扩展及建议- 68 NetEye IDS平滑扩展- 68 NetEye IDS安全联动- 68 -6.5NetEye IDS优势介绍- 69 7网络防病毒 72 7。1计算机病毒发展和入侵途径分析 72 -7。1.1计算机病毒的发展趋势 72 -7。1。2病毒入侵渠道分析 73 7。2本系统外网网络防病毒技术要求- 74 -7。3网络防病毒需求分析 76 -7.4防病毒解决方案 78 设计6、思想 78 -7.4。2防病毒规划- 79 -7.4。3部署产品 79 7。4。4部署示意- 79 -7.4。5部署防病毒系统实现的效果 80 -7.5网络版防毒系统介绍 81 -7。5。1网络版产品简介 81 7.5。2网络版系统需求 82 -7。5.3网络版部署方式 83 7。5。4网络版管理方式- 84 7。5。5网络版升级方式- 84 7。5。6网络版功能特色 84 -8设备安装场地及环境要求- 92 -8.1机房的选址建议要求- 92 -8。2机房的建筑建议要求 92 8。3网络设备工作环境的要求- 93 温度和湿度要求 93 -洁净度要求- 94 -8。3.3防静电要求 94 电磁7、环境要求- 95 -8.3。5防雷击要求 95 8.3。6抗干扰要求 95 -8.3。7照明要求- 96 -9实施方案 97 9。1总体实施规划 97 9.2工程界面- 98 9。3工程实施组织结构和分工 99 9。4项目实施计划编制和文档修改控制- 100 -9。5工程协调会和工程进度安排- 102 -9.6项目实施 107 -9。6.1安装准备- 107 9。6。2到货检查- 107 -9。6.3设备安装检验 108 -9。6.4连通性和系统完整性测试 110 -系统测试和验收 110 -9.6。6培训 110 9.6。7实施总结- 111 -9。6.8售后维护 111 -9.6。9过程监8、控 111 9。7项目质量保证计划- 112 9.8工程文档- 113 -10验收方案 115 10。1验收的方法与步骤 115 10。2验收测试标准- 115 10.3验收测试流程- 115 -10.4整体系统验收- 116 10。5检测方法与目的- 118 -设备到货验收 118 -10。5.2初验收 122 10.5。3系统终验- 123 11培训方案 126 -11。1培训目的 126 -11.1。1的培训优势 126 11.2华为3COM培训机构简介- 129 -11。2.1培训理念- 129 -11。2.2总体介绍 129 11。2。3培训师资 130 -课程设计- 130 11。9、2.5中高端路由器产品培训项目- 133 11.3本项目培训计划 134 11。3。1现场培训 134 11。3。2国内技术培训 134 12质保和售后服务 140 12。1公司技术服务的优势 140 12。2公司的服务承诺 140 -12.3华为3COM的服务承诺 141 -技术服务- 141 技术支持 142 -12。3.3备件以及设备维保 143 12。4趋势科技的售后服务- 143 -12。4.1技术支持部分 143 12。4。2自动升级服务- 143 新版本更新权利- 144 12。5服务体系简介- 144 -12.5。1服务架构 144 服务范围及程度- 146 -1 项目概况1.10、1 项目背景目前，XXX办公大楼改造已进入工程实施阶段，即将建成.届时1、2#和3楼将通过光纤链路和综合布线系统进行组网，实现的办公内部网络.为充分发挥XXX办公大楼的作用,有必要在楼内进行办公网络联网建设,实现真正意义上的内部网络连接,同时建设于内网完全物理隔离的办公外网，提高办公自动化程度,进一步加速和推进的信息化建设。通过与工程技术人员进行详细的技术交流并到办公大楼现场考察，在充分理解用户方需求的基础上,提出本设计方案。1.2 建设目标在XXX办公大楼综合布线系统的基础上，建立起联系3座办公楼内的所有单位内部办公网络和外部办公网络，集信息收集、传递、发布等多功能为一体，可用图、文、声、像11、等多媒体方式进行信息交互的专用办公内网。可以实现部属机关内部的互联互通、数据传输，使信息交互的实效性更加增强，提高可靠性和信息化办公程度，从而降低总体办公费用。1.3 工程范围本次网络工程范围是1#、2、3三栋办公楼，总建筑面积约为6500平米.每栋大楼均有两个独立的弱电竖井，本次改造要求内网、外网之间物理隔离,内网、外网由弱电竖井分别置各层。本大楼的功能定位对数据通信有较高的要求,因此垂直主干设12芯多模光缆,水平布线全面采用6类线缆。重点部分区域建议光纤到桌面。内网、外网网络机房均设在3#楼4层.1.4 网络信息点位分布与数量表12#3楼网络信息点位分布与数量表楼号楼层网络信息点数量光网点12、内网点外网点11097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491#654835258F351557F1586886F51221275F513204F1752553F618262F79610113、1F71422地下1F055地下2F02626合计247321233922 总体设计2.1 设计依据l 信息化网络集成项目比选文件；l 国内国际信息化建设相关标准和规范；l 政府、企业网络建设方面的丰富的经验。2.2 设计原则我们在进行总体设计和设备选型时遵循以下设计原则：（1） 可靠性高可靠性是大楼智能化的重要标准。采用先进的设计思想，提供连续的网络工作环境，系统应具有较强的自动纠错能力，合理的网络链路策略,确保系统7X24小时正常服务。（2） 扩展性随着业务发展，需求也会不断增长,因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准，达到在各个系统上提供一些预留接口,使得在用户14、需要时，系统可以跨越现有的平台，增加新的功能，实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准,能支持各种相应的接口和标准协议，具有兼容性、灵活性和可移植性.（3） 先进性和成熟性在对系统进行设计时，要符合当今技术发展方向,系统硬、软件的选择和系统的设计，采用符合当前技术和管理发展方向的先进性技术和思想。同时，确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术,减少实施风险.（4） 安全性XXX办公大楼是国家政策、文件、信息的核心地。承担着极其重要的工作.系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒。保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认15、证中心的信息安全服务资质标准的信息安全服务资质认证。（5） 可维护性为确保投资的有效性和大楼的实用性,应针对功能特点选用设备和技术，并尽量简化系统配置步骤，使其容易得到维护和维修。3 网络系统本规划将从当前及未来一个时期内应用的实际出发，对信息管理系统的基础设施网络系统进行规划设计，从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络，为信息化提供稳定和功能强大的网络平台。3.1 网络协议的选择本网络系统以TCP/IP 为主要协议。因为TCP/IP协议簇是目前众多计算机网络最流行的协议，以它为基础组建的Internet网是目前国际上规模最大的计算机网间网，采用TCP/IP为网络主要16、协议，可保证系统各部分网络保持一致。3.2 网络技术选择网络技术发展很快，新技术层出不穷，有的具有旺盛的生命力，如以太网技术；有的很快就被淘汰,如Token Ring、FDDI等。因此，就给用户投资带来一定的风险，如何把握网络发展的方向，选择合适的技术和产品非常重要。在本项目中,我们采用千兆以太网作为骨干网技术,同时，我们将采用一些其它的先进且成熟的网络技术，如VLAN、三层交换、虚拟路由器冗余协议（VRRP，RFC2338）、入侵检测（IDS）、服务质量（QoS）、组播（MultiCast)等，使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性。下面重点介绍几种先进实用的网络技术.317、.2.1 VLAN（Virtual LANs）随着网络技术日新月异，L3,L4交换已经非常成熟.Internet中也越来越广泛地应用了交换技术,全交换网络已经非常普遍.在这些网络中，VLAN的使用是必不可少的。 VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络.与用户的物理位置没有关系。举个例子来说，几个终端可能被组成一个部分，可能包括工程师或财务人员。当终端的实际物理位置比较相近，可以组成一个局域网（LAN）。如果他们在不同的建筑物中，就可以通过VLAN将他们聚合在一起.同一个VLAN中的端口可以接受VLAN中的广播包.但别的VLAN中的端口却接受不到。VLAN提供以下一些特性18、 简化了终端的删除、增加、改动 当一个终端从物理上移动到一个新的位置，它的特征可以从网络管理工作站通过SNMP或用户界面菜单中重新定义。而对于仅在同一个VLAN中移动的终端来说，它会保持以前定义的特征。在不同VLAN中移动的终端来说，终端可以获得新的VLAN定义。 控制通讯活动 VLAN可以由相同或不同的交换机端口组成.广播信息被限制在VLAN中。这个特征限定了只在VLAN中的端口才有广播、多播通讯。管理域（management domain）是一个仅有单一管理者的多个VLAN的集合。 工作组和网络安全将网络划分不同的域可以增加安全性。VLAN可以限制广播域的用户数。控制VLAN的大小和组成可19、以控制广播域的相应特性.在VLAN中应用最广的就是GVRP和STP技术。它们是VLAN中优点的集中体现。3.2.2 三层交换技术现在,网络业界对“三层交换这个词已经不感到陌生了,在中大型规模网络建设中，以千兆三层交换机为核心的主流网络模型已不胜枚举.其实，三层交换从其出现到今天的普及应用也不过几年的时间，计算机网络加速度式的迅猛发展势头，实在快得令人吃惊。“三层交换”概念的出现，与VLAN有着密不可分的联系。事实上，一个虚拟网就是逻辑上的子网.为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个虚拟网.在一个虚拟网内，由一个工作站发出的信息，只能发送到具有相同虚拟网号的其他站20、点,而其他虚拟网的成员收不到这些信息或广播帧.由于网络变得越来越复杂，性能要求也越来越高，这就要求网管员能够成功地部署VLAN，从而使网络更加灵活而且易于管理.以往，网管员将3/4的时间花费在维护网络的基础结构，确保通信流量的优化，并处理移动和变更等工作。通常情况下，当一名用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作.针对于此，VLAN的部署就是将通过减少管理网络中移动与变更所需的资源，从而实现为用户节约大量宝贵的资源。VLAN 技术还可以在以下关键领域内为用户提供价值：l 比路由器更具有成本效益的广播控制，有效抑制广播风暴.l 支持多媒体应用21、与高效组播控制，提高网络带宽的有效利用率.l 提高网络的安全性，各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制.l 网络监督与管理的自动化，更多的有效的网络监控.l 减少路由需要，基于ASIC技术，大幅度提高设备的数据包转发能力。VLAN之间如何通信？简单回答就是“通过路由”。因此,这种技术也引发出一些新的问题：虚拟网之间通信是不允许的,这也包括地址解析(ARP)封包。要想通信，就需要用路由器桥接这些虚拟网，这就是虚拟网的问题:用交换机速度快但不能解决广播风暴问题，在交换机中采用虚拟网技术可以解决广播风暴问题，但又必须放置路由器来实现虚拟网之间的互通。在这种网络系统集成模式中，路由22、器是核心.过去的网络在一般情况下按“80/20分配规则，即只有20的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信，而80%的网络流量主要仍集中在不同的部门子网内. 而今天,这个比例已经提高到了50(“平分秋色”）甚至80（倒二八，20/80），这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电子邮件，新型应用已经如此迅速和深刻地冲击着网络，比如，任何人通过任何一个浏览器便可进行访问设定的Web网页，支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和23、转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能，使其成为网络的瓶颈。但由于网络间互连的需求，它又是不可缺少的并处于网络的核心位置，虽然也开发了高速路由器,但是由于其成本太高,仅用于Internet主干部分。在这种情况下，提出了三层交换技术。三层交换机是采用Intranet应用的关键，它将二层交换机和三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案,可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性,不仅使二层与三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能。三层交换机分为LAN接口层、二层交换矩阵层和三层交换矩阵（路由控制)24、层三部分。三层交换机的应用其实很简单，主要用途是代替传统路由器作为网络的核心.因此，凡是没有广域网连接需求,同时需要路由器的地方，都可以用三层交换机代替. 在企业网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。因为其网络结构相对简单，节点数相对较少。另外，其不需要较多的控制功能,并且要求成本较低.简单地说，三层交换技术就是：二层交换技术三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。3.2.3 VRRP当路由器功能出现故障时,VRRP(虚拟路由器冗余协议,R25、FC2338）通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器，终端用户在路由器发生故障时可以继续通信，而不必考虑转换到另一台路由器上。利用同一个以太网中的两台路由器设置一台虚拟路由器.在实际运行中，两台路由器中的任一台成为主路由器,该主路由器模拟虚拟路由器。备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行，备份路由器立即进入主路由器状态以模拟虚拟路由器。IP地址被分配给虚拟路由器。 指定虚拟路由器IP地址为缺省路由器的服务器将不会觉察主路由器的切换而继续进行正常通信。关于VRRP的详细设计和部署情况请参见后续章节。3.2.4 其它网络技术在本网络26、中，除了采用三层交换和VRRP技术，根据应用情况，还可采用组播（Multicast）、QoS和负载均衡等先进网络技术。q全面支持MultiCast：选择设备全部支持MultiCast，主干设备支持DVMRP、PIM、IGMP、GARP组管理协议和多点发送、多点广播协议，充分适应网络特殊网络传输要求。q一定的QoS保证：核心设备支持RSVP 、CAR（CommittedAccessRate)以及可配置门限的多种队列采用WAED、WRR、业务类型/业务级别（ToS/CoS)映射机制，在满足基本要求前提下保持高性价比，也为多媒体应用提供了坚实地网络基础.q负载均衡实现:在核心设备上通过设置不同的VL27、AN的优先级，可将所有的VLAN流量分担在各楼的两台汇聚设备上，通过两台汇聚设备的VRRP功能，实现网络层的负载均衡。也可根据未来网络扩展的需求，增加相关的专用负载均衡设备实现3-7层的负载均衡功能.3.3 网络设计概要XXX办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可扩展性和有效的可管理性为原则，同时兼顾考虑到技术的成熟性、先进性和可扩充性，网络系统设计采用层次化、结构化的设计方法.根据对本系统网络需求的初步分析，确定办公内、外网网络采用多千兆链路捆绑，百兆到桌面的方案，本方案具有较好的性能价格比,整个网络采用分层设计技术,骨干为网络中心与1、2#和3#楼28、之间的多千兆光纤线路，接入网为各终端节点的10/100M以太网接入线路。核心设备使用高端路由交换机,接入设备选用具备三层交换功能的接入交换机。各楼内采用虚拟网VLAN技术实现功能群的划分，VLAN可在汇聚设备上创建.利用统一的标准调整网络规划，避免可能的不兼容性，保证整个网络的统一架构。根据我们对网络系统需求的初步分析并结合本系统的特点,我公司提出一套基于华为3COM网络设备的解决方案，本方案具有较好的性能价格比,内网和外网全部采用分层设计，利用统一的标准调整网络扩容规划，避免可能的不兼容性，保证整个内、外网络的统一架构.3.4 网络的分层设计XXX办公大楼内、外网网络系统设计为两级网络,三级29、设备节点：以网络中心(中心节点)为中心，边界至1#、2和3#楼(汇聚节点）的骨干网；以1#、2#和3#楼(汇聚节点）为中心，边界至同各配线间(接入节点）的接入网；本系统的办公内、外网拓扑为冗余树型结构，无汇聚与汇聚和接入与接入节点之间有物理直联的需求。因此所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换，比较容易对各楼之间的流量和访问控制进行有效控制。层次化设计的优点为：可扩展性：因为网络可模块化增长而不会遇到问题;简单性：通过将网络分成许多小单元，降低了网络的整体复杂性,使故障排除更容易,能隔离广播风暴的传播、防止路由循环等潜在的问题；设计的灵活性:使网络容易升级到最新的技30、术，升级任意层次的网络不会对其它层次造成影响,无需改变整个环境；可管理性：层次结构使单个设备的配置的复杂性大大降低，更易管理.3.4.1 核心层核心层为汇聚和接入层提供优化的数据输运功能，它是一个高速的路由交换骨干，其作用是尽可能快地交换数据包而不应卷入到具体的数据包的运算中（ACL，过滤等），否则会降低数据包的交换速度。内外网核心层设备各包括两台核心交换机。3.4.2 汇聚层汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算.汇聚层主要提供地址的聚集、部门和工作组的接入、广播域/多目传输域的定义、InterVLAN路由、任何介质的转换和安全控31、制等功能.在内、外网中,1、2和3#办公楼各有2个汇聚层交换机，通过OSPF和VRRP实现设备和链路的冗余备份。3.4.3 接入层接入层直接为各接入用户提供的网络访问接入.本系统的接入设备选用支持802.1x功能的接入交换机。3.4.4 选用华为3COM的网络设备本项目中涉及的网络设备种类不多，但各设备类别具体需求各不相同，因此在选择设备厂商时，应考虑选择技术先进，产品线丰富,售后服务周到，且具有良好信誉的网络设备厂家。网络设备的选择原则如下：1必须支持本系统目前以及未来涉及到的网络技术,如Trunking、VLAN/PVLAN、Routing Switch、ACL、QoS、Multicast32、及多种路由协议等；2必须支持多协议下的局域网络互连；3必须支持国际/国内网络技术标准，与不同厂商的网络安全产品有较好的互连性；4必须支持SNMP网络管理协议;5所选产品必须具有良好的发展前景，能适应未来网络技术的发展；支持向未来网络新技术的平滑过渡。6所选网络设备必须能够在不影响性能的情况下实现平滑升级。7所选网络设备必须要能够在网络中心利用网管软件进行统一网管。在当今网络设备的市场上，比较著名的厂商有华为3COM、Cisco、NORTEL Networks等。其中，华为3COM公司在政府、企业网络、住宅宽带产品、基于Internet协议的电话、以太网连接、网络服务供应商的远程接入与无线解决方33、案等领域都可提供高性价比的解决方案.因此我们在本项目网络设计中选用华为3COM公司的网络设备。l 核心设备：华为3COM Quidway S8512S8512具有720Gbps的交换容量，背板为1.8Tbps（可扩展至3.6T），多层硬件转发能力为428Mpps，完全满足本网络对核心路由交换的需求.另外,S8512未来还可顺利增加防火墙模板和IDS模板，以保证核心交换机的安全功能平滑升级，从而在网络核心层为提高内、外网络的安全性提供更丰富的解决方案。l 汇聚设备：华为3COM Quidway S6506S6506具有384Gbps的交换容量，背板为1。6Tbps,完全满足本网络对汇聚路由交换的34、需求.l 接入设备：华为3COM Quidway LS3952-P/LS-3928-PLS-3952P和LS3928-P 具有32Gbps的交换背板，多层硬件转发能力分别为13.2和9。6Mpps，完全满足本网络对接入交换机的需求。上述华为3COM的交换机都是具有较高性价比的产品，并且具有较大的扩展性.3.4.5 网络规划由于内外网的重要性,本次项目必须能够为用户提供不间断的网络服务，因此建议全网络采用全冗余结构（设备冗余、线路冗余）互连。3.4.5.1 网络设备统计内网设备统计见下表：内网楼号楼层数据点接入交换机（48口)接入交换机(24口)汇聚交换机核心交换机1号楼8F84227F832635、F12835F12434F98213F9022F72111F642B1F4B2F71号楼小计754172202号楼12F371211F185410F207419F17348F207417F17346F17345F17344F18343F18342F12931F9631B1F9B2F472号楼小计1975433203号楼8F5111227F8626F12235F1314F52113F1812F9621F141B1F5B2F263号楼小计48310422合计321270962由于每接入交换机具备48或24个端口，因此接入层交换机数量可根据内网的每层设备间管理的信息点数计算得出，内网需配置70台4836、口和9台24口交换机。其中多余的端口作为备用端口.内网在1、2和3楼各需配置2台单引擎的汇聚交换机。内网的2台核心交换机位于3#楼的4层，为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响，需配置冗余引擎.外网设备统计见下表:外网楼号楼层光网数据点接入交换机(48口)接入交换机（24口）汇聚交换机核心交换机1号楼8F1387227F188626F1613135F1712734F1014333F18108212F99221F8682B1F4B2F81号楼小计109854191202号楼12F4391211F10188410F10210419F617648F10210417F61737、646F617645F617644F618643F618642F113231F29831B1F11B2F492号楼小计732013433203号楼8F35511227F158826F512735F52014F1755113F62612F7101211F72211B1F5B2F263号楼小计6552511522合计247339273962由于每接入交换机具备48或24个端口,因此接入层交换机数量可根据外网的每层设备间管理的信息点数计算得出，外网需配置73台48口和9台24口交换机.其中多余的端口作为备用端口。外网在1#、2#和3#楼各需配置2台单引擎的汇聚交换机。外网的2台核心交换机位于3楼的438、层，为了保证核心设备的高效稳定运行，减少核心设备宕机对网络产生重要影响,需配置冗余引擎。另外，本系统外网在1、2和3还有共247个光纤到桌面的信息点。鉴于光纤到桌面的特殊性和光网络流量集中管理,建议这些光网端口不配置接入层交换设备，而是直接联到汇聚层的千兆光端口交换模板上，由汇聚层交换机直接负责这些光纤到桌面的信息节点的接入和访问控制管理。3.4.5.2 核心层交换Quidway S8512Quidway S8500系列核心交换机是由华为3Com公司自主开发的新一代高性能核心路由交换机产品,可广泛应用于电子政务网核心层、校园网及教育城域网核心层、园区网和企业网核心层以及运营商IP城域网核心层、39、汇聚层。Quidway S8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点.Quidway S8500系列支持新一代高性能接口,能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络.Quidway S8500提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎，以全线速处理二层、三层、MPLS VPN、组播等各种业务流量,提供完善的QoS保障、安全管理机制和电信级的高可靠设计，满足大型IP网络对多业务、高可靠、大容量、模块化的需求。1)先进的体系结构Qu40、idway S8500系列产品采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换,从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板，不单独占用设备槽位，可提供高达720Gbps的交换容量，并可平滑升级到1.44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar交换网,从而实现真正的双主控、双交换网的热备份,极大的提高了系统的可靠性。Quidway S8500系列产品采用高性能的最长匹配、逐包转发的方式，在保持线速性能和低成本的基础上，革命性的解决了传统交换机流Cach41、e精确匹配转发的致命缺陷,能够有效的抗击网络“红色代码”、“冲击波”等病毒的攻击，更加适合大规模、多业务,复杂流量访问的网络。2）大容量、高密度线速交换Quidway S8500系列产品目前最高可以提供720Gbps交换容量/428Mpps包转发能力，并可平滑升级到1.44Tbps交换容量、857Mpps转发能力.支持各种高密度业务板和组合业务板，整机可支持高达576个千兆端口的同时线速转发,满足核心层设备大容量、高密度的要求。3）强大的业务支撑能力Quidway S8500支持MPLS VPN业务；支持丰富的组播协议(IGMP、IGMP SNOOPING，PIM-SM、PIM-DM和MSDP42、/MBGP等）；支持WebSwitch（硬件支持）、NAT（硬件支持),内置防火墙（硬件支持）、IDS；支持POS/ATM、RPR等接口。4）MPLS/IPv6分布式线速支持Quidway S8500系列产品遵循业务与性能并重的设计理念。一方面带宽和网络规模的增长推动核心路由交换机的性能容量不断提升,另一方面业务的发展要求核心交换机更加智能化并具备更强的业务提供能力。Quidway S8500系列产品采用功能强大的ASIC芯片实现MPLS、IPv6的分布式线速转发，并能够基于高性能NP实现线速NAT、WebSwitch等增值业务，在为用户提供全面的有保障业务的同时，也做到根据需求业务可裁减。543、)完善的QoS机制Quidway S8500系列产品提供了灵活的队列调度算法,可以同时基于端口和队列进行设置，支持SP、WRR、SP+WRR三种模式；支持8个优先级队列,3个丢弃优先级；支持WRED拥塞避免算法和端口流量整形。支持带宽控制功能，流量限速的粒度为1Kbit/s，满足精品宽带网络的要求.6)电信级可靠性设计：Quidway S8500系列产品系统采用分布式结构,支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统交流/直流可选,采用1+1冗余热备份，并支持双路电源输入；支持STP/RSTP/MSTP协议和VRRP协议,能够满足苛刻的电信级网络可靠性要求,系统可靠性达到：9944、。999。7)完善的安全机制：Quidway S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设备安全，支持OSPF 、RIP v2 及BGP v4 报文的明文及MD5密文认证;支持URPF（单播反向路径检查）；采用802.1x方式对接入用户进行认证，支持安全的SNMPv3的网管协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：本地认证和RADIUS认证。Quidway S8500系列产品通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持多种ACL访问控制策略,能够对用户访问网络资源的权限进行设45、置，保证网络的受控访问。Quidway S8500系列产品还支持标准Radius协议,同时提供Radius+功能,以及HCBM（华为可控组播管理协议）功能支持。基于硬件支持的内置防火墙/IDS功能为核心交换设备安全组网提供了多样化的选择，简化了网络层次，提高了整网性能。Quidway S8500系列产品可与华为3Com SecEngine D系列IDS设备实现线速安全联动，采用标准的SNMPv2/v3作为联动协议的承载协议，根据不同的攻击事件行为，使联动交换机产生下述不同的ACL对数据流进行阻断:可以对单一主机发起的所有流、单一主机特定端口发起的流、单一主机接收的所有流、单一主机特定端口的接收46、流、指定网络发起的所有流、指定网络接收的所有数据流或明确的五元组流(源和目的IP地址和端口和协议)进行阻断，为用户建立起立体的安全网络.3.4.5.3 S8512网络处理器(NP）特色应用随着Internet从科研向商业应用的转变,网络用户迅猛增加，各种类型的应用（包括文件传送、Web浏览、局域网互联、视频/音频会议、IP电话以及其它实时多媒体业务)共存在一个物理网络上，网络节点的处理能力、QoS保障和网络带宽逐渐成为Internet继续发展的主要障碍.随着光传输技术的发展，尤其DWDM的出现，传输带宽不再成为网络的瓶颈，而网络交换节点的处理能力显得尤为重要.为了满足IP网络新变化，G比特路由47、器（GSR）和T比特路由器（TSR)应运而生，这些高端路由器采用大容量交换结构和硬件高速转发技术,大大提高了报文转发速度;作为这些设备交换核心的网络处理器（Network Processor)技术也得到了迅猛的发展和应用。那么，什么是网络处理器呢?根据国际网络处理器大会（Network Processors Conference）的定义：网络处理器是一种可编程器件，它特定的应用于通信领域的各种任务，比如包处理、协议分析、路由查找、声音/数据的汇聚、防火墙、QOS.网络处理器的使用者是研制路由器、交换机、HUB、服务器、网络接口卡、VPN和网桥设备的通信设备制造商。目前生产网络处理器的公司有很多48、，大公司有Intel、Agere（Lucent的微电子部)、摩托罗拉、IBM、Infineon Technologies（以前西门子的微电子部）；小一点的公司有MMC Networks、Ezchip Technologies、SiTera、Solidum Systems、TSqware、Xstream Logic等.网络处理器目前的应用主要集中在数据通信网络的中高端设备上，和以前的CPU软件转发、FPGA实现转发、ASIC实现转发相比,它有以下特点或优点：1、性能高很多算法都用硬件实现，内部一般都集成了几个甚至几十个转发微引擎(CPU)和硬件协处理器、硬件加速器，在实现复杂的拥塞管理、队列调度49、流分类和QOS功能的前提下，还可以达到很高的查找、转发性能，实现所谓的“硬转发。目前已经投入商用的有支持2。5GPOS口的NP、支持10G POS的NP、支持40GPOS口的NP。2、可以进行灵活的功能扩展由于可以进行编程,一旦有新的技术或者需求出现,可以很方便的通过软件编程进行实现，系统的功能可以通过软件模块方便的添加删除。所以对于特殊的用户需求,可以进行定制开发，即可以在短时间内通过模块删减开发能满足不同用户需求的产品。而以前用FPGA实现的情况下,需要修改管脚功能，重新调试升级，而且大多情况下其它硬件设计也要改动，为系统可靠性带来很大隐患。用ASIC实现的情况下，无法对新的功能进行添加50、，只能重新设计，更新芯片。在开发时间上，按照业界的经验数字，软件开发时间一般为6个月，而用FPGA实现的时间为18个月，用ASIC实现的时间更长，通常需要23年的时间，随着网络处理器使用C语言编程的推进，开发周期变的将会更短。所以NP具有更灵活的扩展能力。3、可靠性高由于大部分功能都使用一个或者两个芯片实现，芯片转产前都经过了严格的测试和各种抗干扰和破坏性试验,从而使使用NP的系统的可靠性大大提高。所以NP特别适合用于开发电信级数据通信产品。4、丰富的流分类、拥塞管理、队列调度和QOS功能大多数NP都使用硬件的并行操作,实现了业界流行的各种算法,为使用NP的设备提供了丰富和强大的QOS功能.很51、多以前用软件实现时无法保证性能的复杂QOS功能，在使用了NP之后,可以很容易的得到实现，并且对性能基本没有影响。5、管理、开发方便NP都提供了和上层CPU标准的接口或者内置管理CPU，可以和其它CPU实现高速通讯。NP一般都提供了大量硬件计数器，可以方便的实现各种MIB统计功能,为网管提供支持。NP一般都提供了编译系统和软件样例，而且目前主流的NP都提供软件仿真开发平台，可以进行离线开发和验证，甚至可以用仿真平台将软件的效率仿真到Cycle级；在在线调试时有单步跟踪、设置断点等手段，可以使设备开发商在较短时间内开发出适合产品需要的软件。6、可以实现灵活组态NP作为一个器件,都提供了灵活的配置功52、能，可以通过NP的不同形式组合或者和其它CPU的组合,实现系统的灵活配置，满足不同设备的需求，方便了系统设计，加快了设备的开发进度。3.4.5.4 汇聚层网络Quidway S6506本项目内、外网的汇聚交换机S6506全部选用第三代交换容量为384Gbps的引擎.楼号内网外网汇聚交换机汇聚上联端口汇聚交换机汇聚上联端口光口1号楼28241092号楼2824733号楼282465合计：624612247考虑到内网不同办公楼内用户之间互访的流量较大，因此在内网的汇聚交换机上联采用双GE捆绑到核心交换机，6台汇聚共需24个上联千兆端口,因此每台内网核心交换机需要12个千兆端口用于汇聚设备的连接。而53、外网用户访问公网的流量相对较大，不同楼宇间的用户互访的需求较少，因此外网核心与汇聚设备互联采用单千兆联路,即每台汇聚交换机有两条千兆链路分别上联到外网的核心交换机上，每台外网核心交换机需要有6个千兆端口用于下联汇聚交换机。由于外网还有247个光纤到桌面的端口需要全部直连到汇聚交换机,因此6台汇聚交换机需要增配20个光端口的模板和若干多模千兆光纤接口模块,数量如下：楼号设备名称数量1号楼20个光端口模板6多模光纤接口模块1092号楼20个光端口模板4多模光纤接口模块733号楼20个光端口模板4多模光纤接口模块65Quidway S6500系列高端多业务路由交换机是华为3Com公司面向IP城域网、54、大型企业网及园区网用户开发的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机或城域网汇聚层交换机。该系列产品包括S6502（2槽),S6503（4槽)，S6506（7槽)，S6506R（8槽）.Quidway S6500能够为城域网、园区网、数据中心提供超高速链路，打造低成本、高性能、具有丰富业务支持能力的高性能网络。Quidway S6500提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。Quidway S655、500系列高端多业务交换机的特点可以用一句话来概括:“多快好省、高而不贵。“多”：产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本。产品系列多:S6500系列包括S6502（2槽）,S6503（4槽），S6506(7槽），S6506R(8槽）.产品设计采用开放式的体系结构、统一的硬件平台、完全兼容的引擎和接口板、相同的软件版本、以及系列化机箱。S6500还可以支持POE（Power Over Ethernet）特性,提供支持POE功能的系列机箱和单板,能够实现向远端受电设备（IP电话、WLAN无线接入点等）进行以太网远端供电。引擎规格多:基于新一代ASIC技术的Salie56、nce 系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。S6500提供系列化的引擎，可以根据用户的需求在系列化机箱上进行灵活配置.iSalience I（交换容量32Gbps）Salience I(交换容量64Gbps）Salience II（交换容量64Gbps)Salience III 96G（交换容量96Gbps）Salience III 384G（交换容量384Gbps)接口板类型多：提供百兆、千兆、万兆等各种类型的以太网接口；提供100m100km可选择的传送距离；提供4口/单板-48口/单板的接口密度;提供多种组57、合接口板，全面满足客户需求。快：采用先进体系结构设计，交换容量高达768G，支持新一代线速接口，提供网络高性能。先进的体系结构:S6500采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。Crossbar交换网芯片内置于主控板,不再单独占用设备槽位，可提供高达768G的交换容量.高密度二、三层全线速接口：S6500系列推出Salience III系列交换引擎，最大交换容量为768Gbps，在满配时S6500最大可提供288GE或288FE。万兆接口支持：S6500提供的新一代万兆以太网58、在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性。S6500支持高密度万兆设计,每块业务板可以提供14个万兆接口.好:支持强大的QoS能力和精细化用户管理，高可靠、高安全设计,采用智能业务扩展模块可以实现灵活的智能化业务能力。强大的QoS能力和精细化用户管理：每端口支持8个硬件队列,带宽控制粒度可达64Kbps；强大的用户管理、认证计费功能支持；支持CAMS（综合访问控制管理服务器）系统，提供专业用户管理、计费解决方案；内置IEEE 802。1x认证服务器功能。内置DHCP SERVER功能。运营级可靠性设计：系统采用分布式结构；S6506R支持双主控板；S59、6500系列所有单板支持热插拔；电源系统采用N+1冗余热备份;支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求；支持双路电源供电。完善的安全机制：支持标准Radius协议,同时提供Radius+功能；支持TACAS+协议；HCBM（华为可控组播管理协议)功能支持；保证对用户的精确认证。支持SSH V1/2。基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。智能业务扩展：能够提供高速的NAT数据流转发，支持动态NAT功能、动态NAPT功能、ALG功能、多ISP支持、EasyIP支持、NAT黑名单60、内部服务器功能、NAT策略和NAT日志等功能。支持基于ACL的策略路由.支持NetStream功能，能够对通过交换机的网络流量进行精细化统计.省：极高的性价比，为客户量身打造,总有一款适合您；性能、业务可平滑扩展升级，保护用户投资。 无与伦比的性能价格比:S6500提供系列化机箱和系列化超级引擎，可以根据不同组网需要进行灵活配置；S6500提供多种高密度百兆、千兆、万兆接口板，有效简化网络结构、降低建网成本;S6502无需专门的主控交换引擎,主控交换功能内置于接口板内部,进一步降低建网成本。强大的扩展性能：S6500具有强大的性能和业务扩展能力；背板带宽高达1。6Tbps;采用智能业务扩展模61、块可以实现灵活的智能化业务能力，如NAT/MPLS/Web Switch/Net Stream/IP v6等高级业务特性，从而有效保障用户的投资。3.4.5.5 接入层网络-Quidway LS3952-P/LS-3928P内网楼号楼层接入交换机(48口)接入交换机（24口）接入上联端口1号楼8F247F246F365F364F2163F242F1141F24B1FB2F1号楼小计172382号楼12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2号楼小计433923号楼8F1147F246F365F124F1143F162、22F241F12B1FB2F3号楼小计10428合计：709158由于每台接入交换机都有2个千兆光纤端口分别上联到汇聚交换机,因此内网的70台LS3952-P和9台LS-3928-P共需要158个千兆上联的端口。外网楼号数据点接入交换机(48口)接入交换机（24口）接入上联端口1号楼8F247F246F365F364F363F2162F241F24B1FB2F1号楼小计854191402号楼12F1211F4810F41109F488F41107F486F485F484F483F482F361F318B1FB2F2号楼小计2013433923号楼8F1147F246F365F124F114363、F122F2161F114B1FB2F3号楼小计49311532合计：739164由于每台接入交换机都有2个千兆光纤端口分别上联到汇聚交换机，因此外网的73台LS3952-P和9台LS3928P共需要164个千兆上联的端口。Quidway S3900系列智能弹性以太网交换机是华为3COM公司为设计和构建高弹性、高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF(Intelligent Resilient Framework，智能弹性架构）技术，将多台分散的设备组成统一的交换矩阵,非常适合作为关注扩展性、可靠性、安全性和易管理性的办公网、业务网和驻地网的汇聚和接64、入层交换机。Quidway S3900系列智能弹性交换机目前包含型号为：S3924SI、S3928PSI 、S3928TP-SI、S3952P-SI、S3928PEI、S3928F-EI、S3928PPWR-EI、S3952PEI、S3952PPWR-EI。Quidway S3900系列交换机提供标准型（SI)和增强型（EI）两种产品版本，标准型支持二层和基本的三层功能、提供部分的IRF功能（分布设备管理和基本的分布冗余路由）.增强型支持复杂的路由协议和丰富的业务特性,支持全部的IRF功能（分布设备管理、分布冗余路由和分布链路聚合）。1）IRF智能弹性架构技术Quidway S3900系列交换65、机支持华为3Com创新的IRF（Intelligent Resilient Framework）技术，能够实现用户网络的高度弹性智能扩展。利用IRF技术,用户可以将多台设备连接起来组成一个联合设备（Fabric）,并将这些设备看作单一设备进行管理和使用，降低了管理成本，同时实现按需购买、平滑扩容，在网络升级时最大限度地保护已有投资。IRF（Intelligent Resilient Framework)技术包括三个方面：DDM、DRR和DLA。l DDM(分布设备管理）:在外界看来,整个Fabric是一台整体设备.用户可以通过Console、SNMP、Telnet、WEB等多种方式来管理整个F66、abric。l DRR(分布冗余路由)：Fabric的多个设备在外界看来是一台单独的三层交换机。整个Fabric将作为一台设备进行路由功能和二三层转发功能.单播路由协议和组播路由协议分布式运行并完全支持热备份,在某一个设备发生故障时，路由协议和数据转发都不会中断。l DLA（分布链路聚合)：支持跨设备的链路聚合，可以在设备之间进行链路的负载分担和互为备份.2）PoE（Power over Ethernet)远程供电特性Quidway S3900系列交换机（PWR型号）支持PoE（Power over Ethernet），即可通过双绞线向远端下挂PD设备（如IP Phone、WLAN AP、Se67、curity、Bluetooth AP等）提供-48V直流电源，实现对下挂PD设备远端供电。作为供电方PSE（Power Sourcing Equipment）设备，支持IEEE802。3af线路供电标准，同时也可以兼容不符合802.3af标准的PD（Powered Device)设备。交换机远端供电时每个以太网口向下挂设备提供的最大功率分别为12。5W（使用交流电源）和15.4W（使用直流电源）.通过支持PoE和Voice VLAN技术,S3900系列交换机能够提供完美的数据和语音融合解决方案。3）大容量全线速的多层交换Quidway S3900系列交换机支持所有端口线速转发.系统能够提供468、个GE，有效解决了在单台设备上多条千兆链路上行，同时接入千兆服务器的需求,极大的节省了用户对设备的投资。硬件支持二/三层线速交换，能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。支持丰富的接入形式，百兆可以提供24电口/24光口/48电口三种方式。满足各种形式接入组网的需求。4）完备的安全控制策略Quidway S3900系列交换机基于最长匹配的路由策略。系统采用逐包转发方式，保证了所有报文均获得相同的转发性能，对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力，有效保证了设备安全。支持集中式MAC地址认证和802.169、x认证.在用户接入网络时完成必要的身份认证,还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。支持DUD（Disconnect Unauthorised Device)认证,通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞;支持防止DoS攻击功能。支持QoS Profile功能。和802.1x认证功能相结合,可以动态的为通过认证的用户提供预先配置的一套QoS功能。用户在经过802.1x认证后，交换机根据AAA服务器上配置的用户名和Profile的对70、应关系,将相应的Profile动态的下发到用户登录的端口上，为该用户提供量身定做的一系列服务质量保证。支持SSH特性.用户通过一个不能保证安全的网络环境远程登录到以太网交换机时，可以提供安全的信息保障和强大的认证功能，以保护交换机不受诸如IP地址欺诈、明文密码截取等等攻击。4)高可靠性Quidway S3900系列交换机采用IRF技术组网后,能够在整个堆叠组内实现控制平面和数据平面所有信息的冗余备份，极大的增强了设备和网络的可靠性，消除了单点故障,避免了业务中断.同时Quidway S3900系列交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的71、冗余备份，提高容错能力,保证网络的稳定运行。支持VRRP虚拟路由冗余协议,与其他三层交换机构建VRRP备份组。构建故障时的冗余路由拓朴结构，保持通讯的连续性和可靠性，有效保障网络稳定.支持在设备上配置多条等价路由的方式实现上行路由的冗余备份，当主上行路由发生故障时自动切换到下一条备份路由，实现上行路由的多级备份。首次实现交流/直流双输入，设备既可以采用交流电源输入，也可以直流电源输入，二者之间热备份.5）丰富的QoS策略Quidway S3900系列交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2L7复杂流分类；支持1K个流规则。提供灵活的队列调度算法,可72、以同时基于端口和队列进行设置，支持SP(Strict Priority）、WRR(Weighted Round Robin）、WFQ（Weighted Fair Queue）、SP+WRR、SP+WFQ五种模式；支持8个优先级队列，2个丢弃优先级；支持WRED拥塞避免算法。支持CAR（Committed Access Rate）功能，可以实现基于端口和基于流的速率限制，限制的粒度可以精确至64Kbps，为网络带宽的精细化管理提供了手段.6）多样的管理方式Quidway S3900系列交换机支持SNMP V1/V2/V3，可支持Open View等通用网管平台，以及Quidview、iManag73、er 网管系统。支持CLI命令行，Web网管，TELNET，HGMP集群管理，使设备管理更方便.通过各种开放的标准MIB和扩展MIB的支持可以提供完善的基于SNMP的第三方管理能力。3.5 网络拓扑图本系统的网络系统拓扑图如下：内网拓扑图外网拓扑图3.6 网络冗余设计为了实现有效合理利用网络资源,保证系统高效、可靠、安全地支撑基于网上的所有办公业务，在核心、会聚和接入网络设备地设计全部考虑冗余备份，尽量减少单点故障,以提高本系统的冗错和可靠性。内、外网的网络中心各配置两台双引擎的核心路由交换机S8512,通过动态路由协议实现双核心Active/Active配置，并实现网络层的流量和负载均衡。内74、外网分别在1#、2和3#楼内各配置两台单引擎的汇聚设备S6506，同样采用Active/Active配置，内网的每台S6506都采用双千兆以太捆绑（GEC）链路分别上联内网的两台核心S8512，外网的每台S6506都采用单千兆以太链路分别上联外网的两台核心S8512，实现汇聚到核心的链路备份、流量和负载均衡.内、外网在1、2和3#楼内的接入交换机LS-3952P/LS3928P都分别配置两个上联千兆模块，保证每个接入交换机有两条千兆链路分别上联到本楼的两台汇聚设备S6506.当其中一个千兆接口或光纤链路发生故障，仍然不影响接入用户的网络连接。必要时这两条上联链路也可同时分担网络流量，实现负载75、均衡。所有的核心和汇聚路由交换机都配置冗余电源，保证供电质量。3.7 路由规划本系统的接入到汇聚、汇聚到核心的网络链路全部为冗余设计,如果选用纯数据链路层的生成树协议（STP），为了保证所有的链路都提供数据传送，需要做大量的手工配置STP参数的工作，而且灵活性极差，一旦网络有细微调整将无法保证链路达到最优的使用效率。如果选用三层路由连接方式,则能够避免上述问题的发生。信息从源地址到达目的地址的过程称为路由,路由有静态路由和动态路由之分。静态路由由管理员在各个网络互联设备中预先输入路径信息，路由表根据这些路径信息来确定，静态路由的网络开销小，可以人为控制网络路径，网络系统安全性较好,但可管理性和76、灵活性稍差,容易导致环路产生。动态路由由各个网络互联设备根据某种协议或算法动态地交换路径信息，建立自己的路由表，动态路由能自动感知网络路径的变化，网络管理更方便，在本系统中使用动态路由所产生的额外网络开销也相对不大,因此本系统采用动态路由协议OSPF,将同时能够自动计算并保证接入到汇聚、汇聚到核心的网络链路的冗余设计和负载均衡。开放式最短路径优先（Open Shortest Path First，OSPF）协议是一种为IP网络开发的内部网关路由选择协议，由IETF开发并推荐使用.OSPF协议由三个子协议组成:Hello协议、交换协议和扩散协议。其中Hello协议负责检查链路是否可用，并完成指定77、路由器及备份指定路由器；交换协议完成“主、“从”路由器的指定并交换各自的路由数据库信息；扩散协议完成各路由器中路由数据库的同步维护。OSPF协议具有以下优点：l OSPF能够在自己的链路状态数据库内表示整个网络,这极大地减少了收敛时间，并且支持大型异构网络的互联，提供了一个异构网络间通过同一种协议交换网络信息的途径，并且不容易出现错误的路由信息。l OSPF支持通往相同目的的多重路径。l OSPF使用路由标签区分不同的外部路由。l OSPF支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息；并且可以对不同的区域定义不同的验证方式，从而提高了网络的安全性.l OSPF支持费用相同的多78、条链路上的负载均衡。l OSPF是一个非族类路由协议，路由信息不受跳数的限制，减少了因分级路由带来的子网分离问题。l OSPF支持VLSM和非族类路由查表,有利于网络地址的有效管理。因此,采用OSPF路由协议，将两台核心路由交换机S8512与汇聚层的S6506路由交换机纳入整个网络的OSPF 0 区域中。如果需要可以在分布和汇聚层增加设置OSPF的其它Area。本系统的核心路由交换与汇聚设备间有多条冗余千兆(或捆绑）链路，可利用OSPF支持6条等值路由的负载均衡（Equalcost load balancing up to six paths）能力实现的链路备份和负载均衡。内网路由规划示意外网79、路由规划示意3.8 应用VRRP技术本设计方案中的内、外网系统中1#、2和3楼各配置了两台汇聚交换机，所有接入交换机全部以千兆链路分别上联各楼的这两台汇聚交换机。在这些汇聚交换机上启用VRRP功能,可实现汇聚交换机之间的冗余备份和接入交换机上联的负载均衡.VRRP特性”是路由器冗余备份的协议，该特性由用户通过命令行进行设置,通过路由器之间的备份功能,为网络核心层、汇聚层设备提供更强大的安全冗余备份功能.在基于TCP/IP协议的网络中，为了保证不直接物理连接的设备之间的通信，必须指定路由。目前常用的指定路由的方法有两种：一种是通过路由协议（比如：内部路由协议RIP和OSPF)动态学习；另一种是静80、态配置.在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制.因此普遍采用对终端IP设备静态路由配置,一般是给终端设备指定一个或者多个默认网关（Default Gateway).静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点：如果作为默认网关的路由器损坏，所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关，如不重新启动终端设备,也不能切换到新的网关。采用虚拟路由冗余协议 （Virtual Router Redundancy Protocol，简称VRRP81、)可以很好的避免静态指定网关的缺陷。在VRRP协议中,有两组重要的概念：VRRP路由器和虚拟路由器,主控路由器和备份路由器.VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器.该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器.处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器.VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包,组中82、的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器.由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。上图为VRRP冗余备份功能的典型组网方式.在主机上配置网关为10.100。10。1，真实IP地址为10.100.10。2和10。100。10。3的两台路由器互为备份,一台作为Master转发主机的报文,另一台在原来的Master设备故障的时候转为Master状态,保证网络通信正常.一个VRRP路由器有唯一的标识：VRID，范围为0255。该路由器对外表现为唯一的虚拟MAC地址,地址的格式为000083、-5E-0001VRID.主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。VRRP控制报文只有一种：VRRP通告(advertisement)。它使用IP多播数据包进行封装，组地址为224.0。0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范84、围是0255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1254.优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控85、路由器而成为新的主控路由器。为了保证VRRP协议的安全性，提供了两种安全认证措施:明文认证和IP头认证.明文认证方式要求：在加入一个VRRP路由器组时，必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。综上所述采用两台S6506汇聚交换机启用VRRP协议可以对下联的接入主机实现网关备份功能，各接入主机所属VLAN的网关地址均可以设置为VRRP组的虚拟网关地址,在任意时刻主机只通过一台S6506接入网络,另外一台S6506作为备份网关。另外，在S6506上可以开启多组VRRP86、组，每一组的主设备与备份设备分别在两台S6506，同时对主设备、备份设备的选择进行合理分配,使得一部分主机的主设备在第一台S6506上而另一部分的主设备在第二台S8512上，每个S6506既做部分主机的主网关设备同时也做其他主机的备份网关设备，从而既实现了主机接入的网关备份同时也实现了主机接入的负载均衡。VRRP的负载平衡方式如上图所示,PC1，PC2配置网关为,PC3，PC4配置网关为10。11。110。2.同时在Router A和Router B上面同时配置两个备份组,虚拟IP地址分别为两个网关地址，通过配置优先级保证A和B各为组1，2的Master。在这个组网中，如果一台路由器设备故障，87、另一台可接替工作；同时,两台设备平均分配网络负载。为了实现上述的两台汇聚交换机之间既负载分担，又能做到互为备份的功能，我们建议将接入层用户以VLAN为单位分为两个组,一台S6506相对于组1是Active的，相对于组2是Standby的,另一台S6506作相反的设置。这样即可实现两台核心交换机之间既互为备份，又能做到负载分担。另，在二层,由于存在冗余链路，通过启用STP/MSTP可以防止二层链路LOOP。3.9 选择组播协议IP 组播技术有效地解决了单点发送多点接收的问题，实现了 IP 网络中点到多点的高效数据传送，能够大量节约网络带宽、降低网络负载.作为一种与单播和广播并列的通信方式,组播的88、意义不仅在于此。更重要的是，可以利用网络的组播特性方便地提供一些新的增值业务，包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等互联网的信息服务领域。组播从 1988 年提出到现在已经经历了十几年的发展,许多国际组织对组播的技术研究和业务开展进行了大量的工作。因为组播能够有效地节约网络带宽、降低网络负载，所以在实时数据传送、多媒体会议、数据拷贝、游戏和仿真等诸多方面都有广泛的应用.与单播路由一样，组播路由也分为域内和域间两大类。域内组播路由目前已经讨论的相当成熟，在众多的域内路由协议中,DVMRP（距离矢量组播路由协议）、PIM-DM（密集模式协议无关组播）和PIM-SM（稀89、疏模式协议无关组播)是目前应用最多的协议。DVMRP:距离矢量组播路由协议DVMRP（距离矢量组播路由协议)是第一个（也是最古老的一个）真正得到应用的组播路由选择协议，DVMRP的一些重要特性包括：以距离矢量为基础(与RIP相似）；周期的路由更新（每60秒）;管理距离32跳（RIP为16跳）；反向抑制有特定含义（RIP表明一条路由不可达，DVMRP表明自己在组播树的下游）;无类路由。DVMRP自己维护用于组播反向检测的单播路由表，并用于构建组播源树，它是一个扩散剪枝协议（类似于PIM DM).由于DVMRP使用跳数作为计量的尺度，而且其上限为32跳，因此他明显不能用于带有距离大于31跳且没有扩90、展隧道的网络。鉴于此，DVMRP不能用作与整个以太网互相连接的组播协议。除了因特网的距离问题，DVMRP有距离矢量协议的所有限制，包括缓慢收敛和定期路由更新机制,此机制不能处理在因特网中大量的路由或管理大量的路由器。使用DVMRP组播路由协议的另一问题是组播路由表的维护。由于组播协议依赖单播路由协议发现邻居,建立连接关系数据结构。而DVMRP只支持距离矢量单播路由协议,因此使用受到很大限制.目前的互联网无论局域网还是广域网，存在大量分支和分隔域.象RIP这样基于距离矢量的单播路由协议已经很少使用，目前常用的是基于链路状态的路由协议OSPF、IS-IS等.由于网络设备在启动单播路由协议时,可能启91、用OSPF，而组播协议DVMRP基于距离矢量，所以在设备内部必须维护两张路由表，会引起一定冲突。当然各厂家实现必然会尽量减少这种冲突发生，但不可避免存在一定隐患，至少加重了网络设备的负担和开销,对核心设备来说，稳定性不利。这是DVMRP对路由协议密切相关的固有问题，无法回避。今天的组播网络工程师出于无奈，才使用类似RIP一样的DVMRP.例如为了前后兼容。大多数网络工程师甚至不考虑推广应用基于RIP的单播网络,组播网络也一样.只有在需要与现有的DVMRP基础构造打交道时，才应该将DVMRP应用于新的网络设计。但必将大大降低网络的可扩展性和灵活性,增大网络无效负荷的开销,降低使用效率。很明显，如92、果IP组播协议想普及到整个因特网，一个区别DVMRP的组播路由协议必须用于主干网.后来互联网工程师发明了协议无关的组播协议。PIM DM：协议无关组播密集模式协议无关组播（PIM)这个名字反映了它独立于IP路由选择协议的事实。也就是说，不过哪一种单播路由选择协议过去是怎样的在单播路由表中占有一席之地(包括静态路由），而PIM都可以使用这些信息实现组播转发,因此，它与协议无关.尽管我们倾向于将PIM称为组播路由协议，事实上是使用现存的单播路由表去实现RPF（方向路径检测）功能,而不是维护一个分离的组播路由表。因为PIM不必保持它自己的路由表，所以它不需要像其它协议那样发送或接收组播路由更新，如D93、VMRP。由于不必发送组播路由更新和维护组播路由表，PIM的开销降低了许多。PIM DM的主要特性包括：独立于协议（使用单播路由表进行RPF检测）；没有独立的组播路由协议为路由信息（DVMRP自己维护组播路由）；扩散剪枝协议(同DVMRP)。PIM DM有比DVMRP好得多的扩展性能。原因是PIM使用基本的单播路由表在路由器中执行RPF检测功能,与DVMRP不同，它不发送自己的组播路由更新。然而，PIM DM有和DVMRP一样的扩散核剪枝行为，因此，能够承受不必要的信息在密集模式域上的周期性扩散。随着互联网的发展,现在的组播网络越来越多的使用协议无关的组播协议PIM，来构建有组播需求的IP网络94、，这也使得该网络将来使用更先进的单播路由算法,构建更复杂的网络成为可能。综上所述，在的内、外网中，都采用PIM DM来实现组播功能.3.10 VLAN规划本系统的内、外网络为核心汇聚接入三层稳定的网络结构.所有VLAN的网关均在汇聚交换机上设置。即所有的二层网络只存在于汇聚和接入之间，这样做的好处是多方面的。例如，二层网络终结于汇聚交换机，可将广播包屏蔽于核心层之外（DHCP Relay除外)，避免网络核心因广播包过多而引起的网络性能下降和资源浪费；可以方便的在汇聚交换机上部署安全策略，例如防BT下载等；可以通过调整路由参数,人工限制数据流路径，方便实现流量整形和网络监控；通过路由协议可以很方95、便的实现负载均衡和冗余备份，不需要通过额外设置网络生成树。根据的建筑分布情况，我们把内外网分别分为3个区域，即1#、2和3#楼各为一个区域. 上述各个区域的内网和外网各有两台带三层交换功能的汇聚交换机,按照前面章节描述的方式上联内网和外网的2台核心交换机S8512。 在各个分区内独立进行VLAN划分的基本原则是：在每个区域内进行独立地规划VLAN。但为了更好地管理和维护网络，建议所有的VTP域的VLAN ID不要重复，也就是说虽然我们没有建立跨越核心交换机的全局VLAN,但划分后的所有区域内的VLAN的ID要全局唯一 . 各区域内的VLAN应按照区域内的功能和物理位置分布来规划。VLAN ID96、 全局唯一示例3.11 IP地址分配原则本系统的IP地址分配基本原则如下:1、 内网与外界无任何联络，全部为内部服务，因此建议继续选用RFC 1918私有IP地址，外网选用原有的真实IP地址。2、 为了上网用户使用方便和提高系统可控和可管理性，内网和外网全部采用VLSM和DHCP方式动态分配IP地址。3、 内网和外网中网络设备互联地址选用RFC 1918私有IP地址.3.11.1 内网IP分配规划因为本系统内网全部为内部系统服务，因此选用RFC 1918私有IP地址.0/8，按照行政区域来分配IP地址。建议给部领导和每个司局级单位分配一个B类地址10。X。0.0，以保障各单位将来网络扩展的需要97、，各单位可根据自己的业务和管理需要进行IP地址规划申请，由网络中心统一审批分配.建议采用VLSM、CIDR等IP地址分配技术进行IP地址分配。可变长子网掩码VLSM(Variable Length Subnet Mask)技术对高效分配IP地址（较少浪费)以及减少路由表大小以及对网络接入进行控制都起到非常重要的作用.CIDR （ Classless interdoamin routing） 是为了解决IPv4地址匮乏、路由表爆炸和整个地址耗尽等危机问题而开发的一种直接的地址分配解决方案，是指通过路由总结后，实际网络掩码可小于主网规定的掩码，达到更大的路由总结效果。为了保证IPv4的地址块整齐，98、便于地址汇聚和简化路由，按照各司局级单位所在区域(不完全准确）的总体IP 地址分配方案如下:序号地址范围用途1。0/1610.9。0。0/16网络中心预留210.10。0。0/1610。19。0.0/16A单位310。20.0.0/16-10。29。0。0/16B单位4。0/16-10。39.0。0/16C单位510.40。0.0/1610.49。0。0/16D单位67其他预留上表将私有地址段。0/8按物理区域分配给各个单位。未分配的私有地址作为未来网络扩展的保留.这样，在网络中心能够便捷、有效地判断一条路由来自哪个区域的哪个单位和该路由的大概用途。内网的网络设备间联络的链路地址选用另一段RF99、C 1918私有IP地址：192.168.x。y/30,其中0x127.3.11.2 外网IP分配规划外网的IP地址分配除了用户使用真实地址，而不是保留地址外，其余都与内网的分配规则相同。外网的网络设备间联络的链路地址同样也选用另一段RFC 1918私有IP地址：192.168。x.y/30，其中128x255.虽然内外网为完全的物理隔离,但也尽量使内外网的网络设备互联地址不要相同。3.12 本设计方案的特点3.12.1 完全的分布式的处理方式S8500为用户提供完全的分布式的处理方式，内网和外网中的数据量是非常大的，因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞.华为3COM S100、8512背板交换容量为720Gbps，够做到所有GE接口的双向的线速。S8512的分布式的转发,对于路由查找是非常有益的补充。因为S8512的路由查找模式为最长匹配。这样就可以避免网内外的非法用户利用专门的攻击软件来攻击中心交换机,因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力，直到彻底使主控处理板的CPU丧失处理能力，整个机器瘫掉.但是S8512是根据最长匹配来查找路由的，是针对网段进行路由的.所以当攻击者进行攻击时，S8512只能造成该接口板的业务能力处理下降，但是对于整机没有多大影响.这是我们选则S8512的作为核心交换的非常重要的原因。3.12101、.2 核心交换机先进的体系架构设计网络的背板技术经历了共享式、缓存式等发展，Crossbar技术被公认为最为完美的一种设计方式，华为3Com公司S8512交换机采用背板采用分布式Crossbar的技术，整机的转发不存在任何的瓶颈问题，同时, S852可实现背板容量的平滑升级，除背板采用Crossbar的方式,在接口板上，华为3Com公司S8512核心交换机采用分布式Crossbar的技术,即在每个业务单板上面也同样采用Crossbar的技术，端口与端口之间的转发均有可直达的端到端转发通道，使得端口之间的转发不存在在任何瓶颈，大大提高了核心交换机的整机转发性能。3.12.3 基于流攻击的防止华为102、3com所采用产品S8500、S6500等三层转发模式均为最长路由匹配技术。这样就可以避免网络内外的非法用户利用专门的攻击软件进行的一些基于流的共计，因为这种攻击是通过不断变换自己的本网断内的IP地址，来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉.S8512是根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时,不会造成S8512业务能力处理下降，对于整机没有影响影响。这是我们选择S8512的作为核心交换的非常重要的原因。3.12.4 QOS功能Qos对于网络的应用来说是非常重要的，考虑到本系统内、外网未来要增加多种的业务，如：103、流媒体点播、视频点播、视频会议等,这要求全网能够提供强大的Qos的功能，华为3com的S8500、S6500全网产品可以为用户提供丰富的Qos保证，华为3com公司支持QoS技术中的PQ/CQ/WFQ/LLQ/CBWFQ等转发队列优先保证机制，所携带的IP地址段、TOS值、源端口号等均可实现业务的保证，同时可以针对不同的接入层交换机端口或是不同业务进行端口的限速,以提高全网的Qos业务的保证。同时S8500以及S6500可实现基于业务类型的流领控制功能，如:基于端口、IP、Vlan等带宽管理以及优先权的分配，可实现带宽管理最小粒度为8K。3.12.5 广播风暴的抑止华为3Com S8500 、104、S6500、S3000接入交换机均可以实现基于端口的广播风暴抑止功能,可支持同一VLAN内的风暴抑止功能,可以有效的抑止局域网内部的广播风暴,确保网络的安全稳定.3.12.6 高可用性保障设备和线路的备份非常重要，本网络的设计当中，我们在内网和外网的核心和汇聚层都配置成双机高可用（HA）性工作方式，来保证整个核心层的网络设备无单点故障，这样可以在采用负载均衡技术扩大带宽的同时实现线路和设备的备份，当其中一条线路或一个设备出现故障，可以通过HA实现设备和线路的接替.这样大大提高了网络组网的可靠性，进而提高全网的可靠性。4 网管管理系统4.1 网络管理的重要性目前各行业信息化建设逐步加快，随着网络105、规模的扩大、网络应用种类的增加、网络业务越来越复杂，网络运用过程中暴露的问题也越来越多，比如集中监控、安全、故障定位、维护等问题越来越多地困扰着网络用户。可管理的网络解决方案已经成为用户的必然选择，功能强大、操作简单便捷的网络管理系统已经成为网络管理者日益渴望的内容.对于的内网和外网网络，需要为各个节点提供端到端的数据和其它类型的业务，同时为了提高设备和网络的投资效率，所有相关业务的都需要本着资源共享、业务综合的原则进行统一规划、统一建设,对于网络的统一管理和部署提出了很高的要求.面对上述业务提供中遇到的挑战，如果只依靠采用先进的技术和硬件设备是不够的,因为不论多先进的网络，如果缺乏一套专业，106、完善的网络管理系统也无法保障能为用户提供高效、优质的网络服务.同时网管系统还应切实符合用户需求的网络管理功能，将单纯的设备拓扑管理、性能管理转向用户的业务管理，以及降低网络维护工作量,缩短故障修复时间.4.2 管理系统的总体设计基于我们对项目的了解以及分析系统对网络管理的需求,我们认为本系统的内、外网的管理系统应具有以下特点： 网管系统应以内网和外网的IP数据服务业务为导向，在最大程度上保证网络运行的高稳定性。 网管系统必须开放且易于使用,这样可以帮助环用户在采用先进技术同时不会增加业务运行的人工维护成本。 网管系统应提供丰富的管理特性，以满足网络在复杂网络环境中的多方面管理需求。 所提供的管107、理功能模块尽量相互集成. 内、外网络中的所有网络资源，如核心路由交换机的设备工作状态、网络性能、通讯延时等等均可通过直观的人机介面进行监控、管理。应使网络管理员不但可以改正出现的问题,而且还可以发现网络中的潜在问题。4.3 华为3Com网络管理解决方案本次项目建议配备的Quidview网络管理软件是华为3Com公司对全线数据通信设备进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理、网络管理的功能。Quidview与华为3Com公司的数据通信设备产品一起为用户提供全网解决方案.Quidview网络管理软件基于灵活的组件化结构，包括网络管理框架、设备管理系统、网络配置中心、108、分支网点智能管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”.此外，Quidview网络管理软件能够集成到SNMPc、HP Openview等一些通用的网管平台，给用户提供整合的统一网管解决方案。4.3.1 产品特点Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络集中监视Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备109、的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改,保证网络以最优性能正常运行。l 全网设备的统一拓扑视图；l 拓扑自动发现，拓扑结构动态刷新；l 可视化操作方式:拓扑视图节点直接点击进入设备操作面板;l 在网络、设备状态改变时，改变节点颜色，提示用户；l 对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现在网络视图上；l 支持拓扑过滤，让用户关注所关心的网络设备情况；l 支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象;故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。l 告警实时监视，提供告警声光提110、示;l 支持告警转到Email、手机短信；l 支持告警过滤，让用户关注重要的告警,查询结果可生成报表；l 支持告警级别重新定义，支持告警转存,保证系统的运行效率和稳定性；l 支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象；l 支持告警相关性分析,包括屏蔽重复告警、屏蔽闪断告警等。性能监控Quidview网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。通过性能任务的配置,可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。管理多厂商设备Quidview可管理111、所有支持标准SNMP网管协议的网络设备，为多厂商设备共存的网络提供了统一的管理方式。 拓扑图自动发现多厂商设备； 可以对设备进行性能监视，包括接口的流量监视，利用率监视等； 可以接收设备告警,并进行告警信息显示。服务器监视管理服务器是企业IP架构中的重要组成部分,通过Quidview，可实现服务器与设备的统一管理. 支持对CPU、内存资源消耗的监视； 支持对硬盘使用情况的监视； 支持运行进程的资源监视； 支持对服务的资源监视；设备配置文件管理当网络规模较大时，网络管理员的配置文件管理工作将十分繁重，如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文件.这样就给网络管理员管理、维护网络112、带来一定的困难。Quidview网络配置中心支持对设备配置文件的集中管理,包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理，可以对配置文件的变化进行比较跟踪。设备软件升级管理Quidview提供完善的设备软件备份升级控制机制。使用Quidview，管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来确定设备运行软件是否需要升级.当升级软件版本时，可以利用Quidview集中备份设备运行软件，然后进行批量升级。升级之后，可以使用Quidview进行升级结果验证，确保升级操作万无一失。集群管理针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集113、群管理功能,通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。l 节省公网IP地址资源；l 实现对一组设备统一、集中、批量配置管理；l 实现设备的集中维护管理；l 网络拓扑信息自动收集、维护,动态更新；l 实现方便的软件升级、配置数据备份、配置数据恢复；堆叠管理Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。故障定位与地址反查针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具-路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回114、测试，直接定位端口故障.Quidview提供的端口反查功能支持两种方式的查找定位功能:MAC地址端口反查和IP地址端口反查,使用时分别输入终端用户的MAC地址或IP地址，能够定位该终端用户连接的交换机及交换机的端口，帮助网络管理员及早定位非法报文接入网络的原始端口，及时关闭端口,防止一些违规用户进行非法操作比如滥发报文、访问非法站点等，危害网络安全。RMON管理RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理.Quidview网络管理软件的RMON管理包含的功能如下：l 统计组的配置及数据浏览；l 历史组的配置及数据浏览;l 115、告警组的配置及浏览;l 事件组的配置及浏览；l 扩展告警组的配置及浏览；4.3.2 典型组网应用Quidview网管系统可以适应如下的设备组网方式：1. 全网使用华为3Com网络设备组网如果网络中只有华为3Com公司设备，那么用户可以只单独安装Quidview，使用Quidview自带的网管平台。根据用户选择安装的组件，用户可以完成华为3Com全系列网络设备的拓扑管理、故障管理、配置、维护、性能监视等功能，为用户提供完备的网络基础层次及业务层次管理;2. 多厂商网络设备共同组网如果网络中存在多厂家设备，且用户需要进行统一管理，可以使用Quidview独立管理全网设备或通过与其它网管平台集成来管116、理：l Quidview网管系统独立运行Quidview网管系统除了具有设备网管的功能（可对华为3Com公司的设备进行管理），同时具有很强的网管平台功能，可针对支持标准网管的第三方厂商设备，做到基本的网络管理，包括拓扑发现、告警接收、性能监控等通用网管的功能.l Quidview网管系统与其它网管平台集成可以使用通用网管平台如HP Openview完成基本的跨厂商全网 IP 设备管理，实现网络的拓扑管理、故障管理、性能管理等功能，然后将Quidview集成在通用网管平台上，利用Quidview网管完成华为3Com网络设备的配置管理。4.4 用户的安全接入管理华为3Com的全系列网络产品及网管系117、统均支持用户安全接入管理功能，通过对用户进行分级控制，不同级别的设备管理者在通过合法性认证后,对设备管理拥有不同的管理权限,从最普通的查看级到最高的系统管理员权限可分为4个级别.尤其对于网管人员而言，Quidview还记录下网管人员的每个配置步骤,将来一旦网络出现问题，使得网络故障有据可查。5 网络系统安全特性由于近几年网络安全问题频繁发生，因此我们在网络设计的同时必须将安全问题提高到一个新的高度，在这里我们将提供一系列安全特性，能够从网络的链路层开始就对内、外网进行全方位的保护.所以,本系统的内、外网应该从网络管理角度做如下若干安全考虑。5.1 配置IDS本系统配置了6台IDS，详细设计请参118、阅-“网络入侵检测”章节。5.2 网络病毒的诊断目前网络病毒十分盛行，严重地干扰了各系统的生产网。尤其是以Red Code”红色代码病毒为代表的各种变种病毒，给网络造成极坏的影响。本系统的外网因与公网联络，同样面临这个问题.常规的解决办法是部署网络版防病毒软件。本方案也配置了“趋势”网络防病毒系统（详见“网络防病毒”章节）。另外还需要采用网络故障诊断手段，配置端口复制功能，用Sniffer去发现病毒源,然后用杀病毒软件解决。但这种办法效率不高。如果需要，我们可以在网络内部，在核心和汇聚交换机内配置数据流统计功能，实时发现病毒源。但此功能的实现需要额外增加相关的软件和硬件设备,可在未来网络建设项119、目中增加.5.3 协议的安全性在网络中运行着很多网络协议，包括路由协议和各种为上层应用服务的广域网、局域网络协议等，核心路由交换机上也存在着很多服务,有些服务是网络运行所必需的，必须打开它，而有些服务是对网络运行无关紧要或无用的,可以关闭.正是这些网络协议或服务，确保了网络系统的正常运行，因此，我们首先应确保这些网络协议或服务的安全性。5.3.1 应用服务协议的安全对这些路由协议和各种上层应用服务的协议，我们应区别对待。首先，对于网络运行所必需的协议，如路由协议等，我们不但应正常运行，而且必须加以保护，以防止非法路由器加入或伪造的路由信息,系统如何能够鉴别出哪些路由信息是可靠的呢，就必须采用一120、些加密技术或邻机校验方法，以完成认证，对于网络运行无关紧要或无用的协议，则应严格限制或关闭，而对于对网络运行有危害或本身有安全缺陷的协议，则应关闭，例如finger等。同时，为增强安全性,应打开以下一些标记时间和密码加密，设置系统LOG功能等的服务.5.3.2 路由协议的安全在路由协议安全性方面，我们可以采用路由器邻居相互校验，校验方式可以是明码方式或MD5加密方式,如选用OSPF路由协议可采用MD5校验方式，也可以采用明码方式。通过明码或MD5加密方式校验，可以确保只有有效的路由器才能加入到网络，从而能够避免非法的路由器或伪造的路由信息加入到网络中，使路由出错，导致网络瘫痪。也可以针对某个具121、体端口对不同的路由级别设置不同的密码.5.3.3 网管SNMP的安全性SNMP是另一种访问网络设备的方式。使用SNMP，管理员可以收集网络设备的状态，配置网络设备。Get-request、getnextrequest消息用来 收集状态信息，setrequest消息用来配置网络设备.在每台路由器都要 配置community string，每一个SNMP消息都有一个community string来进 行校验，每个网络设备的SNMP代理上可以进行配置不同的community string来进行读模式和写模式的访问。SNMPv1的community string是采用 明文方式传输的，SNMPv2的122、community string采用MD5来进行加密，同 时SNMP可以和访问列表结合起来，使指定的的IP地址或端口才可以访问到网管信息。我们可以采用相关命令,结合访问列表来设置SNMP的安全性。同时，也可以打开所需要的Trap功能，未被该命令所明确的功能则被屏蔽掉。5.4 网络设备的安全性对网络设备的访问与配置，主要有以下两种方式：控制口console的控制和远程登录telnet 的控制.5.4.1 控制口console的控制控制口（console）是完成网络设备最初是配置的，它一般用来直接接一个终端,另外，AUX口作为辅助。通常,采用密码校验来控制用户访问console口，缺省设置是不需要123、密码就可以访问。我们可以通过以下方法来控制console口的安全： 用户模式密码（只能用一些查看设备状态的命令）； 特权模式密码(能使用所有命令查看设备状态和配置设备）； 会话超时(console口没有使用一段时间后自动断开）; 密码加密（将密码以加密的格式保存）。同时，可以和访问列表结合，以保证只有合法的地址才能访问设备，对于本系统的具体网络环境，我们可以采用一些命令来加强安全性，并用可以与RADIUS结合实现集中认证。5.4.2 远程登录telnet 的控制通过telnet到网络设备上,我们可以进入用户模式和特权模式，完成查看和配置设备的全部功能，一般的网络设备同时可以有几个虚拟终端口用来124、远程登陆.我们用上面提到的控制console口的方法来控制telnet的安全，还可以用访问列表来限制远程登陆的主机,还可以通过设置TCP端口来控制远程登陆的权限。以上的方法都只有密码验证，没有用户名验证,我们还可以用RADIUS Server来进行分用户管理telnet的访问权限。5.5 限制外网BT业务流量如果外网遇到BT业务的大量应用导致网络出口流量阻塞，将使得外网用户上网运行缓慢，影响业务的使用。BT应用对于外网的危害首先，网络并不是某一个用户的网络.网络的整体可用性是网络设计的首要因素。如果对外网网络的用户不加任何限制，任其对网络过度使用，后果只能是由于其中某个或某几个用户造成全体网络125、的瘫痪。最现实的例子就是宽带环境中BT下载软件的泛滥。现在各大宽带运营商包括网通在内都已经封闭了BT端口。造成这个结果的不是BT本身的危害,而是对网络没有有效管理的后果。方法一:利用客户端与客户端连接的端口号：BT实现中，提供了一个端口范围（68816889），可以通过这个范围的所有端口来限流。这种方法在前期一定程度上是可用的；因为：BT的官方网站提供了一个默认的监听端口范围（68816889）。但是，这种方法比较片面，因为通过一定的技术手段可以改变这个端口范围（网上有）;另外，BT的客户端较多，它们所采用的端口范围及实现方式各不相同(见下表）。BT客户端端口范围贪婪ABC可以手工设置BitC126、omet没有公开BitTorrent Plus可以手工设置BitTorrent68816889比特精灵Bit Spirit16881所以,采用这种方来对BT进行限流效果不是很好。 方法二：基于深度业务感知对协议进行分析对所有的 IP 包都进行检查，如果IP包的数据区包含 BT 对等协议的特征“BitTorrent protocol（BT协议规定），那么可以标识这是一个BT流，标识了以后，就可以采取相应的措施（CAR)对它进行限流.以下是通过对几种BT客户端的报文分析来验证上述方案。客户端：贪婪ABC 由上图可以看贪婪ABC建立连接的过程是：1、 TCP的三次握手.2、 握手成功后,紧接着是BT127、对等协议的二次握手。3、 握手成功后,进行数据的传输。由图分析可知：1、 TCP三此握手与BT对等协议二次握手用的端口号都是一样的，并且以后得数据传输用的端口号也和前两者是一样的.2、 TCP头之后的BT对等协议的报文格式对应如下：19对应图中的“13（十六进制）B 对应图中的“42(十六进制)以后对应“Bittorrent protocol八个保留字节对应图中的八个“00（十六进制)”info 信息对应的报文有20个字节长总长为48字节客户端：BitTorrent Plus! 2由上图可以看BitTorrent Plus！ 2建立连接的过程是：1、 TCP的三次握手。2、 握手成功后，紧接着128、是BT对等协议的二次握手.3、 握手成功后，进行数据的传输.由图分析可知:1、 TCP三此握手与BT对等协议二次握手用的端口号都是一样的，并且以后得数据传输用的端口号也和前两者是一样的.2、 TCP头之后的BT对等协议的报文格式对应如下：19对应图中的“13(十六进制)B 对应图中的“42（十六进制）以后对应“Bittorrent protocol”八个保留字节对应图中的八个“00（十六进制）”info 信息对应的报文有20个字节长peer id20个字节总长为68字节客户端:BitComet由上图可以看BitTorrent Plus！ 2建立连接的过程是:1、TCP的三次握手。2、握手成功后129、，紧接着是BT对等协议的二次握手。3、握手成功后，进行数据的传输（图中显示握手没有成功）。由图分析可知：1、 TCP三此握手与BT对等协议二次握手用的端口号都是一样的，并且以后得数据传输用的端口号也和前两者是一样的。2、 TCP头之后的BT对等协议的报文格式对应如下:19对应图中的“13(十六进制)”B 对应图中的“42（十六进制）”以后对应“Bittorrent protocol”八个保留字节对应图中的八个“00（十六进制）info 信息对应的报文有20个字节长peer id20个字节总长为68字节华为3Com S8512核心交换机支持深度业务感知,可以实现对于外网BT业务的禁止或限流量。5130、.6 多元绑定技术的应用“安全”通常是网络系统管理员最为关注也是最为头痛的问题。5.6.1 网络安全特征5.6.1.1 MAC 地址的盗用MAC地址的盗用是指上网用户通过各种软件（实际上是通过修改注册表）将自己的MAC地址进行修改,改为一个未知的MAC地址或是改为别人的MAC地址.MAC地址的盗用可对整个网络带来巨大的隐患：a)接入交换机MAC地址表溢出。由于二层交换机内部有一张维护的MAC地址表，当非法用户通过各种手段将自己报文中的源MAC地址更改时,就会导致交换机内的MAC地址表项越来越多，最终使得MAC地址表塞满，当新的用户通过交换机上网的时候,由于交换机内部的MAC地址表已经塞满，而且131、新的非法报文的源MAC地址将会不断的刷新交换机中的MAC地址表。这样的攻击将导致合法用户无法接入,（新增合理用户的MAC地址表项将会不断被非法用户的MAC地址覆盖），严重时可以直接导致接入交换机瘫痪。b）隐藏自身MAC地址或盗取其他用户的MAC地址。当非法用户更改的MAC地址是预先知道的某个合法用户的MAC地址时,合法用户就无法通过二层交换机上网，因为在交换机的MAC地址表是不允许存在两个相同的MAC在同一张MAC地址表中存在。如果我们对该非法用户依据其MAC地址进行了跟踪记录，那么这条记录追查到的结果一定是错误的。MAC地址盗用给用户所带来的影响远远不止这些,以上只是列举了一下网络中常见的几132、种MAC地址盗用问题。5.6.1.2 IP地址盗用IP地址盗用带来的问题与MAC地址的盗用来说有过之而无不及，IP地址对于用户来说更加直观，用户更改IP地址比更改MAC地址更加的方便,这使得IP地址盗用比MAC地址盗用更加普遍.常见的IP地址盗用存在以下几种常见情况：a）私自更改自己的IP地址。对于用户来说有些用户出于好奇或是其他的各种想法，手工更改自己的IP地址，这使得原本分到该IP地址的合法用户无法正常上网，同时也将导致整个网络的IP地址管理混乱。b）通过各种软件进行基于IP的攻击。Dos是最常见的一种基于IP的攻击方式，其原理是非法用户向被攻击的主机发出大量的攻击包，同时将报文中的源IP133、地址进行修改以掩藏自己真实的IP，这样就可以逃避网管的追查，“堂而皇之”的攻击对方了。5.6.1.3 端口的不固定性虽然大家为了提高整个网络的正常运作出了各种各样的努力，但是网络当中终究还是会出现各种各样的安全问题,这就需要对已发生的问题进行完整的记录以及彻底的追查，“端口的固定”就成为了网络管理员们关心的问题。网络的捣乱分子往往在不同的位置上网，同时在网上留下大量的“劣迹”,由于非法用户在非固定的端口进行的动作，因此，对于网络的管理员来说,要找出他们就如同“大海捞针”。5.6.1.4 账号的盗用账号的盗用实际上是由网络的管理角度延伸出来的一种“盗用”方式，对于网络的管理员来说，如果没有对账号134、做好“处理”，一个账号很有可能被多个用户使用,账号的混乱使得我们根本无法做到“网络管理到人”的目的.5.6.2 可用绑定技术规划高安全的网络如何阻止内部用户或外网用户对外网的非授权连接和访问，是本系统安全规划的重要问题之一。众多的盗用问题使得我们想：如果限制用户只能用自己的账号、采用自己的密码、采用自己的主机、采用分给他的IP地址、采用固定的物理端口进行接入，如果其中的一项不相符,认证就不允许通过。这样，多元素的绑定技术就诞生了.由于用户的接入是通过二层交换机来实现的，而原来的二层交换机是并没有IP的概念(IP是三层的概念），这就需要二层交换机提高自己的业务特性以适应人们的要求，华为3Com交135、换机均支持2层半技术.我们上面所说的用户账号、密码、用户的主机（MAC地址）、分配的IP地址、对应的交换机端口五个元素进行绑定，为了限制用户的VLAN间的漫游在绑定的过程当中同样可以将VLAN作为其中的一个绑定元素进行绑定,这样就成了6元组的绑定。但如果我们分配每个端口一个单独的VLAN, VLAN的绑定实际上就成了端口的绑定.实际上绑定的技术可以通过两种方式来进行实现：AAA服务器的绑定、接入层交换机的绑定，下面我们分别来进行介绍。1) AAA服务器的绑定:我们来看，通过AAA服务器作绑定主要是在AAA的服务器中都存在有我们对于每一个接入用户的元素信息，我们举例来说,用户A在发起认证的时候，136、首先要到AAA服务器上进行身份认证，AAA服务器会检验用户认证信息中携带的元素是否与服务器中预先存有的信息一致（账号A账号&MACA&IPA端口AVLANA)，如果一致则认证通过，否则，就认为该用户为非法用户，严禁接入。当用户通过了认证以后，接入层交换机与认证客户端(802.1X客户端）之间还会不间断的通过检测报文（Hello）进行检测,一旦用户在通过认证之后更改自己的IP，客户端会通知交换机,交换机再上报至AAA服务器，AAA服务器会强制用户下线，这种方式可以实现对用户有效的控制。2) 接入层交换机的绑定：AAA服务器可以实现多元素的绑定，但是我们也可以看的出来，这种绑定技术并不是所有的AA137、A服务器都可以实现的，同时，部分的元素绑定还要通过接入层交换机与AAA服务之间进行友好的配合才能够实现实际上除了AAA服务器能够实现对于用户的多元素的绑定，通过接入层交换机同样可以实现对于多元素的绑定，而接入层交换机的绑定技术大致又可以分为三种方式：a) 静态技术。静态绑定在绑定技术当中最为简单，网管管理人员只需要将对应交换机下的接入用户相关元素进行搜集，并在该交换机上进行配置即可实现对每个用户的控制.如图所示，当接入用户的相关元素与接入交换机ACL列表中的对应关系不相符时,交换机认为该用户为非法用户，禁止接入。这种方式可以有效的对用户进行控制，用户的MAC、IP、物理位置、VLAN成为用户上138、网的钥匙。静态绑定技术不需要依靠其他任何的设备，如：AAA服务器等.但是如果网络较大、接入交换机数量较多,这种绑定方式会给用户带来的一些不便，如：用户的网卡更换、物理位置的更换、IP地址重新分配等等。因为这些变化会产生对应接入交换机的进行配置更改.新的用户而带来的新的MAC地址需要在接入交换机上进行添加；用户因为办公位置的调整而产生的交换机配置的更改；新增开户的分散性给交换机带来的配置更改等等。虽然现在网管技术使得我们可以减少部分的工作量,但是这种无规律性的变化往往会导致网络的管理人员对自己的网络无法实时的了解，接入交换机数量巨大也会增加网管人员的工作量，最终导致整个网络的混乱以及无序性。b)139、 自动绑定、释放技术。静态的绑定技术虽然解决了我们在网络当中遇到的各类问题，但是由于其不友好的特点也给人们带来了大量的不便，因此我们建议采用自动绑定、释放技术来作为用户安全管理的重要方式。自动绑定、释放技术主要是为了防止用户在通过认证以后,在上网期间随意更改自己的IP地址，同时可以防范Dos攻击等多种非法用户的攻击,如图所示,用户在认证通过以后在交换机上会产生一条ACL策略将该用户的IP、MAC、VLAN、端口进行捆绑，如果此时用户随意更改自己的IP地址，交换机将会强制用户下线。用户下线后，对应端口的ACL策略会自动释放、删除，这种绑定技术对于动态IP地址和静态IP地址的方式都可以采用，只是动140、态IP地址的方式。3) 两种技术的综合综合上述的绑定技术,在本项目当中我们建议采用两种技术的结合的方式来实现对于用户的安全、控制。如果我们将AAA服务器的绑定与接入层交换机的自动绑定、释放技术结合起来会发现，其可以提供一个少工作量、高安全的网络解决方案。防止DOS等攻击。采用AAA服务器的绑定方式可以实现对在线用户IP地址更改强制下线,但是在像Dos攻击等非法操作面前却束手无策。如上图所示，是Dos攻击是通过更改发送报文的源IP地址的方式进行攻击，非法用户通过将发送报文的源IP地址改为被攻击用户的IP地址,由于AAA服务器并不检测用户发送的报文，而只是检测接入用户PC主机的IP地址或是MAC地141、址,也就是说非法用户A虽然在做非法操作，由于其本身主机的IP地址以及MAC地址并没有改变,所以AAA服务器认为其为合法用户，不会采取任何操作。那我们如何来解决这种问题呢？AAA服务器绑定交换机自动绑定、释放技术可以完美的解决这种问题。如图所示，首先用户A认证的时候,AAA服务器首先要确认A、B用户的MAC、账号、密码、VLAN、端口、IP等信息是否与服务器内保存的信息相符,这一步是用来确认用户合法身份的。当用户认证通过之后，由于接入层交换机启用了自动绑定技术，这样在A、B用户对应的端口将会产生各自的绑定元素，即IP端口MAC元素的绑定,此时一旦用户在线更改任意元素将会直接下线。对于Dos攻击来142、说，如果A用户更改了自己的发出报文的源IP地址的话，由于用户的所有报文都是要通过其接入的交换机的,当接入交换机的源IP、MAC地址与交换机端口绑定的不相符时，交换机端口就会将非法报文丢弃,确保整个网络的安全稳定。总的来说，AAA是认证时确认用户的合法性,接入交换机是认证后监视用户操作的合法。综上所述，自动绑定技术AAA服务器的绑定可以确保用户的认证安全、合法，同时其简单的操作性可以确保网管人员工作量减轻，提高网络的维护效率.5.7 防止对DHCP服务器的攻击使用DHCP Server动态分配IP地址会存在两个问题：一是DHCP Server假冒，用户将自己的计算机设置成DHCP Server后143、会与局方的DHCP Server冲突；二是用户DHCP Smurf,用户使用软件变换自己的MAC地址,大量申请IP地址，很快将DHCP的地址池耗光。华为3Com系列交换机可以支持多种禁止私设DHCP Server的方法。5.7.1 Private VLAN解决这个问题的方法之一是在桌面交换机上启用Private VLAN的功能。但在很多环境中这个功能的使用存在局限，或者不会为了私设DHCP服务器的缘故去改造网络。5.7.2 访问控制列表对于有二层半功能的交换机,可以用访问列表来实现。就是定义一个访问列表，该访问列表禁止source port为67而destination port为68的UDP144、报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访问控制组比较麻烦，可以结合interface range命令来减少命令的输入量.5.7.3 新的命令因为它的全局意义，也为了突出该安全功能,建议有如下单条命令的配置:service dhcp-offer deny exclude interface interface-type interface-number interface interface-type interface-numbert | none如果输入不带选项的命令no dhcpoffer，那么整台交换机上连接的DHCP服务器都不能提供DHCP服务。exc145、lude interface interface-type interfacenumber :是指合法DHCP服务器或者DHCP relay所在的物理端口。除了该指定的物理端口以外，交换机会丢弃其他物理端口的in方向的DHCP OFFER报文。interface interface-type interface-numbert | none:当明确知道私设DHCP服务器是在哪个物理端口上的时候，就可以选用这个选项。当然如果该物理端口下面仅仅下联该私设DHCP服务器，那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCP Offe146、r功能的交换机上联的情况。选择none就是放开对dhcpoffer的控制。5.8 恶意用户追查对每个用户分配一个账户，使用相应的管理软件来管理用户。由管理软件记录用户每次上网的用户名，源IP地址，上网开始和结束时间.然后通过华为的网络管理系统Quidview的MAC地址和IP地址的反向查找功能，就可以根据源IP或源MAC在Quidview网管上查到该用户所在的交换机以及在该交换机上所接的端口，通过这种方式可以立刻定位用户，方便对于大型网络的管理，能够方便快捷的防止恶意用户的攻击。5.9 防病毒攻击 本网络建成后必须能够防止基于Microsoft、Linux操作系统的办公内网感染的计算机病毒，如147、:蠕虫或木马程序等，传播到外网，导致外网瘫痪，影响到整个外网的业务系统的安全。5.9.1 防止DOS攻击由于在本系统中我们建议采用自动绑定技术的802.1X认证方式来实现网络的管理方式，自动绑定技术当用户认证通过之后可以实现相关元素的交换机侧绑定，这样对于DOS攻击可以直接在绑定的交换机上进行屏蔽，进而实现网络的安全防护。5.9.2 防止基于流的攻击特性华为3Com核心交换机S8500采用最长路由匹配技术，与传统的基于流转发的方式相比,更具有强大的安全特性，对于如：红色代码等病毒可具有较高的抗攻击能力，可确保网络的安全、稳定.逐包转发、最长匹配技术杜绝病毒攻击业界包转发技术主要为两种,一种是精148、确匹配转发技术,一种是逐包转发最长匹配转发技术，两种的区别如下：1、目的地址与路由表进行匹配操作，目的地址与路由项的子网掩码进行”与“操作2、如果“与”的结果跟网络地址相同,则认为路由匹配3、所有匹配项中子网掩码位数最长的为最佳匹配项，据此进行转发4、如果找不到匹配项则转发到0。0。0.0 的确省路由5、如果没有确省路由则丢弃6、这种路由叫做最长匹配（longest-prefix match）7、基于硬件的路由技术，做到逐包转发，易于系统稳定与精确匹配比较,最长匹配技术具有更强的网络适应能力，在任何网络环境下都可实现线速转发；具备天然的抵御“红码病毒”的能力，可有效改善传统三层交换机的安全特性149、，提升网络的健壮性。华为3COM的S85、S65、S35系列产品均采用逐步转发、最长匹配转发技术，对冲击波、红色代码、蠕虫等采用IP地址扫描的病毒具有天然抵抗能力，可以极大增强网络的安全性与稳定性。5.9.3 防止病毒的广播传递华为3Com交换机可实现广播报文的计数累计功能,往往一台主机受病毒时会发出大量的广播报文,可实现对与进入报文的计数累计,广播病毒一般会在短时间内产生大量的广播包，LS3952/3928可设置广播包的阀值，当达到一定的广播保文的数量时端口可是直接关闭，确保网络的安全、稳定。6 网络入侵检测6.1 入侵检测系统在外网网络的作用6.1.1 在外网建设入侵检测系统的必要性6.1150、.1.1 外网网络风险分析本系统外网尽管在外联网出口处放置了防火墙产品，但仅仅靠防火墙就想保证整个网络的安全是远不够的，因为它仍然面临着以下重要的安全风险:来自内部的风险：据调查统计，已发生的网络安全事件中，70%的攻击是来自内部.因此内部网的安全风险更严重。内部员工对本单位网络结构、应用比较熟悉，自已攻击或内外勾结泄露重要信息，都将可能成为导致系统受攻击的最致命安全威胁。来自外单位业务系统的风险：在网络上运行的许多业务系统为了服务其他外联单位,需要通过外网与外联单位进行横向连接。与外联单位之间不可能是完全信任关系，因此，这之间的互联,也使得本系统外网系统面临着来自外单位的安全威胁。操作系统本151、身暴露出的安全风险：计算机的操作系统存在许多已知的漏洞，或由于网络管理人员的疏忽往往存在许多配置漏洞。6.1.1.2 网络风险产生的原因管理的欠缺网络系统的严格管理是银行免受攻击的重要措施。事实上，很多银行的网站或系统都疏于这方面的管理。这主要是因为思想麻痹,没有重视黑客入侵可造成的严重后果。在众多政府机构网络化的过程中，大部分都疏于对网络的严格安全管理,没有投入必要的人力、财力和物力来加强Internet/Intranet的安全性，没有采取有效的安全策略和安全机制。另外，网络的系统管理员由于技术原因或者疏忽，在产品的使用、设置上的失误也会给恶意入侵者留下方便攻击的漏洞。黑客黑客的攻击是网络面152、临的主要威胁之一。黑客对于大家来说，目前已不再是一个高深莫测的人物.黑客技术逐渐被越来越多的人掌握和发展，世界上有几十万个黑客站点，它们时时刻刻都在介绍各种攻击方法和攻击工具的使用以及系统的安全漏洞,因此网络和系统受攻击的可能性变大。这是网络安全的主要威胁.网络的缺陷由于基于Internet/Intranet架构的网络系统的共享性和开放性使网上的信息安全存在先天的脆弱性。Internet/Intranet赖以生存的底层TCP/IP协议族不完善，设计的程序对安全性考虑不足，缺乏相应的安全机制,网络最初的设计主要考虑信息数据的传输，基本没有考虑安全问题,因此在安全可靠、服务质量等方面存在缺陷。软件153、的漏洞或“后门”随着各种软件系统规模的不断增大，系统中的安全漏洞或“后门”不可避免地存在，路由器、交换机、各类服务器、各类操作系统（比如常用的Windows、UNIX等）、众多的应用程序（浏览器、桌面软件等）等软硬件产品在设计上存在安全漏洞和隐患，可以说任何一个软件系统都可能会因为程序员的一个疏忽、设计中的一个缺陷等原因而存在漏洞，容易被入侵者利用，这也是网络安全的主要威胁之一。病毒病毒是一种具有自我复制能力的,出于各种目的编写，能够在隐蔽情况下执行编写者意图的非法程序。计算机病毒对计算机网络影响是灾难性的。计算机病毒的传统传播手段是通过软盘，光盘等存储介质进行,近年来随着Internet的飞154、速发展,电子邮件系统的广泛使用，使计算机病毒的扩散速度大大加快，网络成了病毒传播的最好途径，大量具有新的传播方式和表现力的病毒,对银行及个人用户的破坏性和传染力是以往的病毒类型所不可比拟的。网络内部用户的误操作，资源滥用和恶意行为再完善的防火墙也无法抵御来自网络内部的攻击，也无法对网络内部的资源滥用做出反应。此外，缺乏先进的网络安全技术、工具、手段和产品等原因，也导致网络的安全防范能力差。6.1.1.3 网络风险可能造成的后果信息泄漏即信息在通信网络中存储、共享和传输时，被非法窃听、复制、篡改或毁坏。当涉及到重要机密泄漏时，将导致不可估量的损失。拒绝服务即系统难以或不能继续执行原有的任务的所有155、问题。这包括服务器或网络的交换/路由设备被占领，以至服务器停止服务,网络连接中断（包括介质、设备、配置、带宽等）等等。举例而言，网络安全风险可能导致的部分后果大致有：数据被恶意篡改，可能造成恶劣影响和难以挽回的损失；硬件系统被破坏，造成文件永久丢失； 服务被迫停止，造成重大损失;网络蠕虫病毒泛滥即使安装了网络防病毒系统,往往不能杜绝蠕虫病毒的泛滥，严重影响网络应用的正常运行。6.1.1.4 在外网建设入侵检测系统的意义防火墙的局限性防火墙是网络安全策略的有机组成部分，传统的边界防火墙由于其部署于内网与外网之间,进行网络隔离和访问控制，但它很难解决内网控制内部人员的安全问题，即只能防范来自外部的156、风险，而不能防范来自内部的风险。对于应用层的攻击防火墙的防护也是不能令人满意的。目前许多黑客利用一些操作系统及应用软件的漏洞通过防火墙的正常的连接就可以进行攻击，这一点防火墙也是无法做到很好的防范的.安全漏洞与攻击方法的不断出现随着安全漏洞不断被公布，及攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样化，单纯的防火墙策略已经无法满足对安全高度敏感的部门的需要。网络的防卫必须采用一种动态的、纵深的、多样的手段。静态防御的不足访问控制等静态安全措施可以发挥一定的安全保护作用，但如忽略了网络系统中的安全漏洞和随时可能发生的攻击隐患，计算机安全系统仍然会受到威胁。部署入侵检测系统不但可以有效地解决上157、述问题，并且能够帮助用户达到以下网络安全主动防御目的：1 识别各种黑客攻击或入侵的方法和手段入侵检测系统从网络数据流中搜集各种网络行为的信息，然后从中分析各种攻击的特征，它可以全面快速地识别各种网络攻击，并做相应的防范.3 实时的报警和响应,帮助用户及时发现并解决安全问题入侵检测系统在发现入侵或误用行为之后，根据一定的事件响应规则进行实时的报警。入侵检测系统同时也能够针对恶意攻击按照预定的响应方式进行实时响应、拦截。4 详尽纪录报警事件信息所有的网络攻击事件的详细信息都会被记录到入侵检测系统的日志中，以备用户进行事后核查.并且所记录的日志信息可以作为对攻击者实施法律制裁的依据，加强对用户信息系158、统的法律保护。5 网络攻击事件的统计分析网络管理人员利用入侵检测系统可以便捷地统计分析出网络在一段时间遭受了哪些攻击、哪种攻击方式最多、从哪里来的攻击最严重等等。入侵检测系统产生的统计分析报表将是用户加强网络安全建设的重要事实依据。6 协助管理员加强网络安全的管理借助入侵检测系统，网络管理人员可以随时了解人们正在访问的信息，并且在有人试图偷窥或盗取敏感数据时及时觉察。入侵检测系统具备的网络安全专家的入侵分析与判断能力，扩展了系统管理员的安全管理能力。6.2 本系统外网络入侵检测产品选型6.2.1 网络入侵检测技术简介网络入侵检测技术（NIDS)是一种主动保护自己免受攻击的一种网络安全技术,它是159、一种在防御的纵深程度上优于防火墙的安全技术。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应）,提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。NIDS的目的是提供实时的攻击入侵检测并及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。它可以防止或减轻上述的网络威胁：识别黑客常用入侵与攻击手段入侵检测技术通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出160、攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段，并做相应的防范。一般来说，黑客在进行入侵的第一步探测、收集网络及系统信息时，就会被IDS捕获.监控网络异常通信NIDS系统会对网络中不正常的通信连接作出反应，保证网络通信的合法性；任何不符合网络安全策略的网络数据都会被NIDS侦测到并警告。鉴别对系统漏洞及后门的利用NIDS系统一般带有系统漏洞及后门的详细信息，通过对网络数据包连接的方式、连接端口以及连接中特定的内容等特征分析,可以有效地发现网络通信中针对系统漏洞进行的非法行为。完善网络安全管理NIDS通过对攻击或入侵的检测及反应，可以有效地发现和防止大部分的网络犯罪行为，给网络安全管理提供了一161、个集中、方便、有效的工具。使用NIDS系统的监测、统计分析、报表功能，可以进一步完善网络管理。6.2.2 网络入侵检测技术分析6.2.2.1 技术分类入侵检测系统所采用的技术可分为特征检测与异常检测两种。特征检测特征检测（Signaturebased detection）又称Misuse detection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。异常检测异常检测（Anomaly detection）的假设是入侵者活动异162、常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时,认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵行为。6.2.2.2 常用检测方法入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95是属于使用入侵模板进行模式匹配的特征检测产品，其他5是采用概率统计的统计检测产品与基于日志的专家知识库系产品。特征检测特征检测对已知的攻击或入侵的方式作出确定性的163、描述,形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力.统计检测统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到,举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击;方差:计算参数的方差，设定其置信区间，164、当测量值超过置信区间的范围时表明有可能是异常；多元模型，操作模型的扩展,通过同时分析多个参数实现检测；马尔柯夫过程模型,将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件;时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。专家系统用专家系统对入侵进行检测，经常是针对有特征入侵行为165、.所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为ifthen结构（也可以是复合结构)，条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性.6.2.2.3 入侵检测发展趋势目前IDS发展的最新趋势是在理解协议的基础上以数据流对象，充分利用各种检测方法，综合检测攻击事件，处理误报和漏报的矛盾。不仅发现攻击的事件，同时记录攻击发起的过程166、。不仅发现外部攻击行为，同时解决内部安全隐患.不仅利用被动分析的方法，同时利用主动探测的手段。不仅单纯解决网络安全问题，同时对网络的运行状况进行全面的监测,审计和管理。不仅满足目前网络的安全需求，同时考虑网络发展过程中不断产生的新的需求。同时，在满足功能日益增强的基础上，充分考虑可靠性，易用性，可扩展性，可管理性。因此，目前的IDS应具备以下特性:强大的入侵识别和响应；高效的网络应用内容恢复；全面的网络信息收集与审计；完整系统健康扫描；灵活的日志查询和报表；实时的网络监控；多样的辅助工具和简捷的管理。未来IDS的发展目标应该是成为综合的网络健康监控和管理平台。6.2.3 网络入侵产品选型本系统167、外网IDS产品在比选文件中有如下要求：类别指标项指标要求物理特性数量6台硬件参数CPU:Intel Xeon 3G以上硬盘：SCSI 100 GB以上内存：2GHz或以上网络接口具备1个千兆光口探头，一个管理接口。管理功能集中管理支持分布式集中管理，实现多个探针设备的远程集中管理，探针产生的告警和流量信息可实时汇总到控制台进行监控和分析跨网段管理支持复杂网络的管理，包括穿透防火墙从外部网络到达内部网络。管理形式支持控制台和命令行配置。管理难易程度产品界面友好，易于配置和管理。自定义规则支持对检测行为的个性化设置，包括为不同对象设置不同的策略，以及自定义检测规则管理方式 支持本地和远程管理。Se168、nsor和控制台之间的通信采用加密方式。认证 支持双口令认证,支持管理员分权认证.审计能够提供脱机浏览器浏览日志信息,而不需要三方的数据库。管理权限分级支持管理员分级管理.基本功能报警方式报警方式支持邮件、声音报警、选择阻断、与防火墙进行联动、syslog等响应。联动支持与防火墙联动、支持NAP协议网络审计能力能够提供完整的TCP访问纪录、提供完整的UDP访问纪录、提供完整的ICMP访问纪录、提供访问纪录合并功能网络嗅探功能具备sniffer，实时网络监控功能，实时网络流量监控功能，便于管理员发现和排查问题。网络主动检测能力必须集成扫描器能够提供SNMP扫描、提供端口扫描、 提供网络信息扫描、169、可定义扫描工程、可集成管理扫描对象报警信息过滤屏幕上显示的报警信息可根据事件、源 IP 地址、目标 IP 地址进行过滤显示.报警信息分级IDS 对报警信息能够根据危害程度进行分级。报表内容输出查询能够按照需求生成各种风格的统计报表，报表格式包括：支持PDF格式、HTML格式、MS Word格式、MS Excel格式、Rich Text格式、Crystal Reports格式、文本格式等内容恢复为了有效审计网络中可能出现的问题,寻找攻击的源头， IDS必须提供对应用层协议的内容恢复功能.至少应支持：提供HTTP分析、提供SMTP分析、提供POP3分析、提供Telent分析、提供FTP分析、提供I170、MAP分析、提供NNTP分析、提供MSN分析、提供Yahoo Messenger分析、提供rlogin分析、提供rsh分析等等。实时监控测试必须具备如下功能： 提供监控内容分析，sniffer功能 提供TCP活动连接检测和切断功能 提供网络流量检测功能 提供网络信息收集功能升级提供特征库的在线和离线升级。通讯认证传感器与控制台之间进行身份认证保证入侵报警发给了正确的控制台，保证未经授权的控制台无法控制网络传感器.事件回放事件回放功能主要指将监听到的数据恢复到动态的原始操作状态,必须支持对基于TELNET、FTP协议所有操作的动态回放。通过该功能可有效查看操作人员是否是非授权使用。检测能力IDS171、至少能够检测到:扫描、数据包特征、TCP Fin Scan攻击、Xmas Tree Scan攻击、Fragrouter碎片处理攻击、FINGER 空探测攻击、FINGER root 探测攻击、FINGER bomb 递归请求攻击、FTP ”SITE CHOWN” 缓冲溢出漏洞攻击、FTP ”DELE” 缓冲溢出攻击、FTP ”CWD” 命令缓冲溢出攻击、TFTP 文件名缓冲溢出攻击、RPC DCOM 缓冲溢出攻击、SMTP ”From 缓冲溢出攻击、SMTP Content-TransferEncoding 缓冲区溢出攻击、Solaris Telnet进程远程缓冲区溢出攻击、rsh echo+172、 +攻击、DNS linux版ADM缓冲溢出攻击、BIND Tsig溢出攻击、Dagger1.4后门攻击、ACKcmdC后门探测攻击、Nimda 病毒网络共享攻击、idq漏洞溢出攻击、IIS 。asp$data 源代码查看攻击、Unicode解码漏洞攻击等等。在产品选型中除了上面分析的技术要求之外，还应考虑下面的几个因素:1） 选择目前功能最全面，不仅单纯检测攻击事件，同时可对网络的运行情况进行全面监控和管理的产品。2） 在功能接近的情况下，以产品的易用性,可管理性，可靠性为衡量标准。3） 在产品的功能特性、性能因素等方面没有明显差别的情况下，优先选择国内自主研发的安全产品。出于不同国家的战略173、目的，在无法获得产品公开原代码的情况下，难以保证来自别的国家的产品能够充分保证我国的国家安全利益。4） 对于来自不同厂商但具有相近功能和性能的产品,应当优先选择具有更强的综合经济实力、更强的技术研究开发背景和实力、更强的技术支持服务和市场拓展能力及国家重点支持的厂商的产品，这对于保护用户的投资、使用户得到持续的支持和产品升级是至关重要的。通过对前述技术要求的分析，在本系统外网系统中，我们推荐选用公司完全国产自主研发的具有国际先进水平的NetEyeIDS网络入侵检测系统。NetEyeIDS网络入侵检测系统能更好地满足对NIDS功能的要求和安全需要。NetEye IDS利用先进的基于网络数据流实时174、智能分析技术判断来自网络内部和外部的入侵企图.通过对网络进行不间断的监控，扩大网络防御的纵深,进行报警、防范和响应。可对网络的运行、使用情况进行监控、记录和重放.NetEye IDS入侵检测系统可对自身进行自动维护，不需要用户的干预。学习和使用及其简易,不对网络的正常运行造成任何干扰。是完整的网络审计、监控、分析和管理系统；是简单、高效和易用的网络安全解决方案。NetEyeIDS是一套软硬件结合型入侵检测系统，其性能和稳定性都能够经受长期大流量运行考验.NetEye IDS入侵检测系统依赖于出色的性能/功能特性和良好的运行稳定性获得了市场认可，根据赛迪统计2004年在国内入侵检测市场占有率达前175、三名。选型推荐：配置6台千兆NetEye IDS 2300，分别接在6台汇聚交换机上.因为在局域网的汇聚交换机连接着所有内网用户,具有重要性高、流量大的特点，所以选用性能优异，安全可靠的入侵检测产品。下面针对外网的应用环境，进行相应的产品部署说明.6.3 网络入侵检测产品部署6.3.1 NetEye IDS部署建议入侵检测系统安装在内部网络的交换机上.根据本系统外网拓扑结构，建议在内网汇聚交换机上分别安装NetEyeIDS检测引擎。它可以发现对局域网资源尤其是服务器网段的非法入侵、资源滥用，同时也能有效监控来自内网的攻击。在本系统外网中设置的NetEye IDS直接接在交换机的镜像端口上，该端176、口可以将通过交换机的所有数据流量自动复制一份，这样,NetEyeIDS就可以监听到通过交换机的所有数据通信，并对之进行实时的协议分析，并根据其中的一些特征进行智能对比和分析。如果发现可疑连接请求、网络进攻和邮件病毒等入侵，NetEye IDS入侵检测系统会立即报警并按照管理员所配制的动作进行反应。在本系统外网中，NetEyeIDS的具体部署方式如下:a)在局域网的6台汇聚交换机上分别配置1台千兆NetEye IDS 2300型号检测引擎（共6台）；b)用于对内部核心网络活动的实时监控和日志审计；c)设立效果规模的管理网段；d)将每个IDS检测引擎的以太网管理端口接入其中；e）在管理网段配置集中177、管理器系统；f)负责全网IDS的集中监控管理。在本系统外网中，NetEyeIDS的配置示意图如图3-1所示。网络入侵检测配置示意图6.3.2 NetEye IDS的集中管理在本系统外网中，为了建立全网统一策略的安全监控防护体系，实现分布监测、集中管理的目标,在局域网中心设立集中管理监控中心。NetEye IDS入侵检测系统管理体系可分为两部分：集中管理监控中心：具备NetEye IDS检测引擎管理端和NetEye IDS集中管理中心两部分功能，除了能够实现对本地IDS检测引擎的管理之外,还主要负责对全网IDS检测引擎的宏观管理，完成对多台分布式部署的NetEye IDS检测引擎的策略分发、事件178、收集、状态监控、管理控制、集中升级等操作。包括制定和完善全网入侵检测系统的总体策略,接收来自厂商的最新特征库和软件升级版本，并将总体策略、特征库及升级版本及时、自动地分发到各个本地管理端。集中管理监控中心接收来自各个本地管理端发来的安全事件报告，通过分析、编辑、处理后形成安全通告并下发到下级中心。集中管理监控中心还要根据上传的安全报告定时产生全网安全状况统计报告。集中管理中心的部署，使得网络管理员将获得对全网IDS检测引擎整体状态的直接掌握和控制，并有能力对不同网络区域的不同NetEye IDS检测引擎预制针对性的基本检测策略，并利用各个NetEye IDS检测引擎上报的各项事件信息获得各处检179、测情况.IDS集中管理器系统需要不间断的接收来自各级检测引擎和下属安全管理中心集中管理器的上报信息，因此，建议该系统24小时在线，并作为服务器不间断运行。本地管理监控中心:该管理端将对本地IDS探测引擎进行日常配置、监控和管理维护等常规操作。每台检测引擎的报警信息都可逐层上报或直接上报。每台检测引擎需要上报的内容可以由管理员通过管理端软件或通过集中管理中心进行设定，上报时间可以采用实时上报或定时上报等多种机制。在通常情况下，NetEye IDS管理端软件不必启动，只在管理员需要对探测引擎进行操作的时候临时运行。说明：本项目入侵检测设备相对集中，无需部署单独的本地管理监控中心,利用集中管理监控中180、心可以完成所有的管理功能，提高维护效率。6.3.3 NetEye IDS的系统结构NetEyeIDS入侵检测系统由检测引擎、管理端软件、集中管理器系统三部分组成：NetEyeIDS检测引擎：该检测引擎为软硬一体化设计，采用2U标准机架式机箱,一个千兆检测接口和一个RJ45百兆管理接口；NetEyeIDS管理端软件：此管理系统为纯软件形态,主要针对中小规模网络中分布式IDS探测引擎的平面集中管理使用。建议安装平台为WINDOWS 2000操作系统；NetEyeIDS集中管理器系统：此管理系统为纯软件形态，主要针对大规模网络中分布式IDS探测引擎的多层次集中管理使用，并具备基本策略下发、报警信息汇181、总上报、统一集中升级、全局预警等多种功能。建议安装平台为WINDOWS 2000操作系统。6.3.4 NetEye IDS的配置清单设备型号产品配置数量NetEye IDS2400-FE1GE14U入侵检测设备1套，管理端软件1套；适用千兆网络环境，或复杂百兆环境；单检测引擎，可扩展到双检测引擎 6台6.4 网络入侵检测产品扩展及建议6.4.1 NetEye IDS平滑扩展前一章节介绍了NetEye IDS的集中管理功能，正是NetEye IDS产品具有了这种良好的集中管理体系的设计，使得NetEye IDS具有良好的平滑扩展部署的能力。可以形成横向局域网内部的IDS管理部署，比如增加部署一台182、入侵检测引擎来加强对重要服务器资源的入侵检测防护，对这台入侵检测引擎的管理可以方便的纳入到原有的集中管理体系中来，只需在集中管理监控中心新增相应的配置条目即可。同理，可以形成纵向跨广域网的IDS管理部署，通过优化的上下行管理信息通道把部署在各个二级单位网络的探测引擎收纳至一个统一协调的管理体系中来。每台分布式部署的IDS探测引擎都可按照既定报警策略把重要报警信息及时上报给集中管理系统，集中管理系统也能够在需要时主动上拉指定探测引擎的日志数据，或者进行策略下发、统一升级、全局预警等管理操作。6.4.2 NetEye IDS安全联动6.4.2.1 NAP协议NetEye推出NAP公开开放协议，支持183、任何安全产品之间的联动，集中审计，集中管理NAP（Network Alert Protocol)，网络设备间的信息通告协议，用于实现联动和集中审计，是公司NetEye安全产品所主要依赖的联动协议。通过NAP对等开放协议,能够使用户拥有更大的选择范围.6.4.2.2 与防火墙联动建议与防火墙联动，构建实时，动态防御体系NetEye IDS实现了与防火墙联动。防火墙与入侵检测系统联动是现在联动体系中最重要的一环，主要因为这两种技术具有较强的互补性。防火墙本身提供的是静态防御，规则事先定义，对于实时的攻击或异常行为不能实时反应,无法自动调整策略设置来阻断正在进行的攻击，也无法防范内部信任用户的非法行184、为和已经渗透的攻击。通过与IDS的联动，实现了动态地，自适应地调整安全策略,通过配置的动态规则实行动态过滤，提升了防火墙的机动性和实时反应能力,大大的提高到了整个系统的安全性.通过在防火墙主机端开启联动开关设置，定义与IDS进行的联动.防火墙对于不同的安全级别事件采取不同的动作行为：上载规则、切断连接、记录日志。其中上载规则为防火墙根据当前的攻击行为自动加载动态规则，对当前的动作进行拒绝，并定义生效的起止时间；切断连接即为切断当前的已建立连接，终止其数据通讯；记录连接则为对当前的动作、行为记录日志。动作的行为的选项依据源IP、源端口、目的IP、目的端口，其中两两组合，提供完善的、细粒度的过滤。185、互动协议NAP协议，任何厂商的产品如果与NetEye产品进行联动,都可以进行实现。6.5 NetEye IDS优势介绍NetEye IDS采用多种先进技术,在实用的基础上做到了稳定、高效，易用、易维护。l 高效独特的数据截取技术直接从内核接收网络数据，减少中间环节,缩短了系统调用时间,从而提高截取网络数据包的速度和效率，系统运行效率高,可以监测高速网络,丢包率极低。l 完整的数据流恢复技术完整的数据重组，恢复技术。把网络连接作为数据流分析，而不是一个个孤立的数据报.完全处理数据分片和乱序的问题。l 网络嗅探器对网络中的数据包进行分析，解码，能够从链路层开始，对各层报文每一比特进行中文解释，便于186、资深管理员查找网络问题。l 网络用户信息收集全面收集网络用户信息，包括IP地址，MAC地址,用户名，组名,便于确定攻击者身份，并可方便的解决IP地址冲突等网络故障。l 网络扫描器主动扫描网络,发现网络问题。l 数据备份恢复功能采用多种策略，手动备份或自动备份事件数据库，完成全面的信息审计。l 网络通信完全监测记录网络上的一切数据包.尽量做到实时分析，当遇到网络流量高峰的时候,可以根据记录下来的数据包进行事后分析。入侵活动可以具有很大的时间跨度和空间跨度,有预谋的入侵活动往往有较周密的策划、试探性和技术性准备,一个入侵活动的各个步骤有可能在一段相对长的时间跨度和相当大的空间跨度之上分别完成，给预187、警带来困难.事后分析可以将之作为网络行为的证据，不容否定。l 中文图形化管理基于WINDOWS系统提供了一系列的中文图形化管理工具,使一切信息查看、管理和配置都变得极其方便,简单易学.全部攻击与入侵事件的描述都使用中文，清楚明了.整体的设计使其非常适合中国人使用。l 基于统计及模式匹配识别入侵和网络异常情况系统拥有入侵事件及入侵模式数据库，可以匹配1770多种网络入侵和攻击行为。系统漏洞、系统后门、CGI漏洞、系统扫描、缓冲区溢出攻击等各种危害系统的入侵和攻击都可识别。并可很容易的升级。l 系统智能程度相当高，可用性极好操作简单，易于掌握,自动处理各种异常情况，无须用户干预，维护代价小。系统预188、装监控规则，可以说是最容易使用的IDS。l 接入简便，不需改变现有网络拓朴结构系统的接入非常方便，只需根据网络的物理结构将它连接到交换机的监控口或共享式HUB上即可立即开开始工作，而不需要改变网络的物理结构及网络逻辑划分和配置，原有网络拓朴结构依然完好无损,网络通信毫无影响。能够在Vlan Trunk，PPPOE等网络环境下正常进行工作.l 支持分布式结构，监控大型网络可安装于大型网络的各网络区域中，分别监控网络的各个部分，一台管理器可管理多台服务器,达到分布安装，全网监控，集中管理。l 本地存储与分级管理本地存储与分级管理相结合的方式能够把绝大多数报警时间细节信息就近存储在探测引擎本地存储介189、质中，保证日志记录的全面性和及时性，纵向管理线中不会出现过多的报警信息流，可有效降低对广域带宽的耗用;同时利用分级管理体系完成重大事件逐级上报的功能，能够实现上级集中管理中心对所管辖个探测区域事态的及时掌握，保证报警的时效性。l 自带数据库，不需第三方数据源，数据自动维护入侵检测设备内部具有自带数据库，数据库的维护集成在入侵检测设备的功能中，并可进行自动维护。l 实时监控网络,为人为监控和分析提供有力工具提供实时连接报告,当前网络中用户行为一目了然,可以实时地从中直接发现网络中用户滥用网络资源的情况,如访问未授权的服务器等。另外，网络扫描等异常行为也可从中看出.l 全面的内容恢复，支持多种常用190、协议除了可以对已知的入侵行为进行监测外,系统还可以对网络应用层上的协议进行恢复，如：HTTP、FTP、SMTP、POP3、TELNET，NNTP、IMAP、DNS、Rlogin、Rsh、MSN、Yahoo MSG等.IDS设备可在管理员不干预的情况下，对网络上的上述协议的数据进行自动的存储，数据保存在设备内部.并可对管理员提供对存储在设备中的上述多种协议的数据进行查看的功能。对于HTTP、SMTP、POP3、IMAP等协议，可提供页面级查看、协议会话过程查看、数据源码查看等查看方式,要求能够完整检查恢复后的邮件的附件。管理员还可以很直观地看到TELNET或者FTP用户的口令。l 灵活的查询，报191、表功能可对网络中的攻击事件，访问记录进行灵活的查询,并可根据查询结果输出图文并茂,美观的报表。l 自身的高度安全性和隐蔽性系统本身运行安全的操作系统，检测引擎和管理主机之间通讯采用自有加密通信协议.检测引擎为黑洞式结构,监测口无IP，攻击者无法发现，保证了自身的安全性.l 集成的网络管理和诊断平台系统集成多种网络分析,诊断工具，便于发现网络故障，定位网络问题。7 网络防病毒7.1 计算机病毒发展和入侵途径分析7.1.1 计算机病毒的发展趋势自从1983年世界上第一个计算机病毒出现以来，在不到20年的时间里,计算机病毒已到了无孔不入的地步，有些甚至给我们造成了巨大的破坏。每当一种新的计算机技术广192、泛应用的时候,总会有相应的病毒随之出现.例如,随着微软宏技术的应用，宏病毒成了简单而又容易制作的流行病毒之一；配合主板BIOS升级技术，出现了第一款可以损坏硬件的CIH病毒;随着Internet网络的普及，各种蠕虫病毒如美丽莎、爱虫、SirCAM、“红色代码（CordRed）病毒和Nimda病毒等疯狂传播。近年来， “蠕虫王”、“冲击波、大无极、震荡波等病毒更是泛滥成灾.据微软发布的最新统计数据，2003年病毒所造成的损失有130亿美金，同时全球有38亿美金不得不投入系统的灾难恢复。在现今的网络时代，病毒的发展呈现出以下趋势： 病毒与黑客程序相结合随着网络的普及和网速的提高,计算机之间的远程控193、制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序(木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。 间谍软件异军突起根据著名调查公司Forrester Research发布的“2005年反间谍软件方案”(Antispyware adoption in 2005）报告指出,间谍软件已成为企业组织最关切的安全问题之一。恶意间谍程序会妨碍企业的生产活动，并且危害信息安全。它会造成主要系统的速度减慢、支持成本增加、以及生产力降低.它还会让网络安全出现漏洞,而且能突破传统防毒扫描程序的侦测，渗透到194、系统登录资料与内存中，并且在客户端安装数百种档案与处理程序. 蠕虫病毒更加泛滥 其表现形式是邮件病毒会越来越多，这类病毒是由受到感染的计算机自动向用户的邮件列表内的所有人员发送带毒文件,往往在邮件当中附带一些具有欺骗性的话语，由于是熟人发送的邮件，接受者往往没有戒心。因此，这类病毒传播速度非常快，只要有一个用户受到感染,就可以形成一个非常大的传染面. 病毒破坏性更大计算机病毒不再仅仅以侵占和破坏单机的资料为目的。木马病毒的传播使得病毒在发作的时候有可能自动联络病毒的编写者（如爱虫病毒）,或者采取DoS（拒绝服务）的攻击（如红色代码病毒）.一方面可能会导致本机机密资料的泄漏,另一方面会导致整个网195、络服务陷入瘫痪之中.而蠕虫病毒则会抢占有限的网络资源，造成网络堵塞（如蠕虫王、冲击波病毒），如有可能，还会破坏本地的资料（如针对911恐怖事件的Vote病毒）。 制作病毒的方法更简单 由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒. 病毒传播速度更快,传播渠道更多目前上网用户已不再局限于收发邮件和网站浏览，此时,文件传输成为病毒传播的另一个重要途径.随着网速的提高，在数据传输时间变短的同时，病毒的传送时间会变得更加微不足196、道。同时，其它的网络连接方式如ICQ、IRC也成为了传播病毒的途径。 网关防毒已成趋势 如果等病毒已经进入局域网后再作剿杀，显然为时已晚.因此，通过网关把病毒拒绝在网络之外是最好的解决办法。这种办法还可以防止将网络内部受到感染的病毒文件传到其它的网络当中，使得各个网络能够互相独立。 网络层病毒的防范越来越迫切传统防毒基于病毒的代码特征来进行识别和清除，所以检测到病毒时，病毒已侵入了受保护的节点，对整个病毒防护工作带来极大的被动.现今网络病毒的泛滥，越来越强烈地要求在网络层能够对病毒发起的攻击包进行直接拦截，最大程度提高防毒的效率和效果。7.1.2 病毒入侵渠道分析目前绝大多数病毒传播的途径是网197、络。对于一个网络系统而言，针对病毒的入侵渠道和病毒集散地进行防护是最有效的防治策略。正如一个国家如果只让每个公民进行自我保护是低效和不可控制的，必须设立专门的海关、警署等机关，对进入本地的人员进行检查,以便将外来的威胁阻止在本地的入口。因此，对于每一个病毒可能的入口，部署相应的防病毒软件，实时检测其中是否有病毒,是构建一个完整有效防病毒体系的关键. 来自系统外部（Internet或外网)的病毒入侵： 这是目前病毒进入最多的途径。因此在与外部连接的网关处进行病毒拦截是效率最高、耗费资源最少的措施，可以使进入内部系统的病毒数量大为减少。 内容保护：由于目前邮件系统的使用异常方便，造成了用户很容易在198、不经意间将重要的、机密的或是不当的信息通过邮件发送出去；另一方面，来自Internet上的垃圾邮件也到处都是，导致大量宝贵的带宽消耗在无谓的数据交换上，用户还需要花费大量的精力和时间去处理垃圾邮件，大大抵消了互联网给人们带来的工作、生活便利。因此不仅过滤邮件中可能存在的病毒代码，同时对往来邮件内容进行过滤也变得日益重要起来。 移动介质：随着U盘、光盘刻录设备的普及,最终客户进行的海量数据移动更加辩解,除去存在已久的文件型病毒能够借助该途径进入网络外，新兴的网络蠕虫类型病毒、黑客代理程序等有害代码,也越来越多地借助该途径进入网络。 电子邮件：当前的病毒大多具有自行搜索地址簿并发送带毒邮件的特性.199、当Internet出现新病毒的时候，用户将面临大量染毒邮件的攻击，一旦有一只病毒实例进入网络，将迅速以各种方式感染网络中的其它计算机,并形成难以遏制的病毒爆发风暴。 系统漏洞：从目前的统计来看，病毒利用系统或应用程序漏洞进行攻击已成为网络系统的安全大敌,从2001年的红色代码、尼姆达，到2003年的蠕虫王、冲击波，每一次病毒的泛滥，都对全球网络形成极大的破坏，虽然它不象传统病毒会破坏文件,但它却可以在短时间内将整个网络系统瘫痪； 网络共享:网络中数以千计的设备中出于管理、应用、测试等多种目的，存在着大量的网络共享，虽然绝大部分的客户遵循管理规章制度，对网络共享进行了密码和权限的保护，但是，伴随200、着病毒传播的隐蔽性加强和对系统漏洞的利用，共享依然是网络病毒感染的一条主要途径。 管理不统一:由于各下属单位网络建设和应用发展的不一致，导致防毒产品、防毒策略、管理规章都存在很多不统一的地方。这种情况是防病毒工作的大敌，千里之堤，溃于蚁穴，任何一个节点被突破都会给网络整体性能带来巨大的危害。例如 “MYDOOM”病毒、“米虫病毒、“冲击波”病毒，染毒的客户端会不停地发送垃圾数据到网络上,形成一台机器感染，整个网络瘫痪的恶果。7.2 本系统外网网络防病毒技术要求指标项指标要求数量要求满足本系统外网防病毒需求， 防病毒许可本次工程按1500个信息点计算.基本要求厂商必须通过ISO9002国际标准认201、证厂商必须通过BS7799国际标准认证厂商必须通过中国信息安全评测认证中心的信息安全服务资质标准的信息安全服务一级资质认证厂商国内技术支持的人员数量不少于50人，在国内应具有产品研发中心厂商在国内必须具备病毒应急响应中心厂商在国内必须提供多条800免费技术支持热线厂商可根据用户需求提供高级别的服务承诺，如大客户专署服务、主动式服务、快速响应服务、在线技术支持服务等，可提供58乃至724小时的专业防毒服务当最新病毒出现时，厂商可承诺在规定时间内提供相应的解决方案解决客户的问题，如在规定时间内没有解决，客户可对此事件要求厂商提供惩罚服务厂商防病毒安全知识培训体系健全，可提供专业化的系统培训，培训时202、间及地点可在北京、上海、广州或由用户选择病毒防护技术总体要求当发生新的网络病毒爆发时，防病毒系统必须提供可行的解决方案,在新病毒代码发布之前实现主动防护。管理员可以通过防病毒系统执行针对该病毒的防范策略，如：在客户端/服务器端强制关闭病毒对应开放的未知端口及漏洞等等，并统一部署分发到客户端/服务器端/网关/群件；通过部署防范策略实现免疫功能。病毒处理方式必须支持智能式的处理方式。根据不同的病毒类型,采取不同的处理策略。可对网络中防病毒系统的弱点进行评估，如防病毒代码、扫描引擎过期，未安装防病毒软件等。发现弱点可对计算机进行隔离或者复位向操作.针对网络病毒特性，产品可对系统采取手动或定时扫描，发203、现系统漏洞可隔离或者复位向存在漏洞的计算机,使之免受网络病毒针对系统漏洞进行的攻击。当网络中有异常流量产生时，可通知管理员，可对病毒数据包进行丢弃并隔离发包计算机，拒绝此计算机联入企业核心网络对被感染网络病毒的计算机可实行远程自动和本地清除，并对注册表和系统文件进行自动修复当网络内爆发网络病毒时，可对某些协议（ICMP/HTTP/FTP等)、端口(TCP端口/UDP端口等）及特定文档类型（*。exe/.eml等）进行阻挡，防止病毒通过某种协议、端口及特定文件名进行传播客户端产品技术要求具备个人防火墙功能,可对多种协议数据包进行阻挡，同时具备IDS功能,可对网络中异常浏览进行监控具备病毒爆发监控204、功能，一旦客户机连接异常，可以迅速发出报警产品可基于网络层对病毒数据包进行扫描(Network Virus Scanning）和清除防病毒管理必须提供Web管理方式，可支持IIS或Apache服务器；管理通讯采取加密措施同时支持32位和64位操作系统可以配置扫描时的优先级，以优化资源占用一台管理服务器支持的客户端数量不少于50,000台具备客户端部署管理功能，可以自动扫描网络，发现网络中未安装防毒软件的机器对于蠕虫、特洛伊木马等恶意程序的专杀工具能够随产品在线自动更新，无需手动下载更新采用增量更新,同时可以指定一组机器中的一台作更新代理病毒处理方式必须支持智能式的处理方式具备病毒源准确定位功能205、产品安装、卸载、代码或引擎升级均无需重新启动操作系统防病毒客户端联动Cisco NAC提供强制性的安全管理防病毒客户端集成无线设备（PDA等）病毒防护集中管理产品技术要求具备病毒爆发防御功能。当最新病毒爆发时，可在病毒代码未完成之前自动对企业网络中的病毒传播端口、共享等进行关闭,切断病毒传播途径，预防最新病毒的攻击防病毒系统弱点评估功能。可扫描出网络中哪些计算机未安装防病毒软件,哪些计算机病毒代码或扫描引擎过期、哪些计算机未安装系统补丁，帮助管理员快速掌控企业网络中的安全漏洞具备远程病毒集中清除功能。可对网络中感染病毒的计算机进行远程自动清除,无需知道计算机的物理位置，无需到客户端逐一清除病毒206、中央控管系统支持病毒源头查询机制，通过日志查找病毒源头具备跨广域、跨子网并支持VPN的Web管理具备整个防病毒系统集中的病毒代码、扫描引擎、防病毒预防策略、专杀工具升级具有单一节点集中报警和日志功能，能定制生成统计报告，包括柱状图、饼图等通讯机制必须进行SSL加密管理，可通过HTTPS方式实现单一节点集中管理7.3 网络防病毒需求分析根据外网的网络结构和对病毒来源的分析以及对防病毒的基本要求，在构建外网防病毒系统时要实现如下目标：1. 构建网络防毒控管中心要管理整个防病毒系统良好运行必须有一个良好的管理控制系统，它需满足如下要求： 支持方便的浏览器方式实现对所有防毒节点的集中管理； 监视各节点207、的运行状况参数（如防病毒软件病毒库、扫描引擎更新日期,系统配置等）； 能实现病毒集中更新与分发； 能实现集中报警； 能准确定位病毒传染源,让管理员对病毒入侵节点做及时处理以防危险扩大； 控制中心能与其它网络安全系统实现联动，协同管理工作； 能生成丰富的报表统计信息。2. 具备良好的防病毒安全策略构建一个全面有效的网络防病毒系统，应根据特定的网络环境定制病毒防护策略,而不应仅仅是采用病毒代码来防护病毒:策略包括预防策略、升级策略、病毒爆发初期管理控制策略、实时扫描策略、集中清除策略、审计策略、集中管理策略等。从宏观角度统筹规划网络安全体系，全面顾及到网络系统病毒发生、预防、清除、审核等各个阶段,208、能够在病毒爆发生命周期各个阶段对病毒进行有效的控制，将病毒造成的损失降到最低。3. 病毒爆发初期可以有效阻止病毒的进一步扩散在病毒爆发初期应能够自动从防毒厂商获得病毒防护策略，针对病毒的传播途径进行有效阻断，使得外面的病毒进不来，进来的病毒没有办法再进一步传播。4. 对网络病毒有很好的处理能力病毒一旦发作难以找到病毒源，传播速度快很短时间就可以造成网络堵塞，客户机服务堆栈被网络病毒前期的攻击指令所破坏,由于传统的病毒软件只能查杀应用层的病毒，而对网络病毒对底层协议堆栈带有破坏指令的数据包无法查杀，导致系统运行不稳定无法联入网络等等现象无法处理,所有构建新的防毒系统时，一定要综合考虑网络病毒的处209、理能力。5. 具备对混合型攻击行为的防御能力现如今病毒大多是带黑客攻击行为的混合型的病毒，光靠单一的病毒代码防护已经是力不从心，需要有对攻击数据包做协议分析的IDS来分析是否为攻击行为再通过防火墙来阻止攻击行为。这就需要带有防毒+防火墙+IDS的强大功能的防毒客户端。6. 具备对间谍软件的查杀能力近年来，愈演愈烈的间谍软件已严重威胁着企业网络和信息安全。间谍软件不仅妨碍企业的生产活动，造成系统减速、支持成本增加和生产力降低，让网络安全出现漏洞，并且能够躲避传统防毒扫描程序的检测，渗透到系统登录资料与内存当中，在客户端安装数百种文件与处理程序。由于间谍软件属于灰色软件性质，没有很明显的破坏性，常210、被其他防毒软件所忽视掉，但是确实是现在一个非常严重的问题，已经有很多企业由于间谍软件使的大量机密数据和个人隐私外泄，直接造成大量的经济损失，严重影响企业形象。7. 建立完善的安全制度防病毒工作是一项复杂、长期的任务，需要全体人员配合，提高对病毒的警觉和防范意识。防病毒系统需要建立良好的安全规范，以制度严格控制不良行为，另外还得提高全体人员的防范病毒的能力。由专人负责和处理网络安全运营的所有事件,这些人员必须接受专业的防病毒技术培训和长时间的跟踪培训。8. 构建完善的防病毒服务体系在新的防毒体系架构下,防病毒厂商必须能够及时地提供防病毒信息、新病毒预警信息、快速响应和现场服务等专业的服务,以提高211、整个防毒系统的防护效果。防毒厂商在国内需要建立有病毒处理中心，并有强大的技术支持队伍，可以快速响应防毒过程中遇到的各种问题。7.4 防病毒解决方案7.4.1 设计思想我们建议采用趋势科技公司的防毒产品为网络构建的网络版防毒系统,在方案设计中贯彻如下六点防毒基本思想：1、 没有管理的防毒系统是无效的防毒系统。在的方案中，我们构建了防病毒控管中心，一方面保证了整个防毒产品可以从管理系统中及时得到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。2、 防毒不能完全依靠病毒代码,要实212、现对病毒发作整个生命周期的管理。在的方案中，当一个恶性病毒入侵时，整个防毒系统有完善的预警机制、清除机制、修复机制来保障病毒的高效处理，特别是对那些利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。即防毒系统在病毒代码到来之前,就可以通过可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制，使得新病毒未进来的进不来、进来的又没有扩散的途径。在清除与修复阶段又可以对这些病毒高效清除，快速恢复系统至正常状态。3、 网络层防毒是整体防毒的高效防线：在网络防毒的方案中，我们将网络病毒的防范作为最重要的防范对象，通过防毒客户端内嵌的全新网络防病毒模块213、。在网络层全面消除外来病毒的威胁，使得网络病毒不能再肆意传播，同时结合病毒所利用的传播途径，对整个安全策略进行贯彻。4、 “真空期”防护是减少损失的必备措施：趋势科技利用独创的病毒爆发防御策略技术，在新病毒爆发而新病毒码还没更新的“防病毒真空期，趋势科技利用病毒爆发防御策略技术，将网络内部所有病毒可能利用的途径全部关闭，例如:关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC,关闭共享文件夹等.通过管理控制台实现。5、 防间谍软件是当前网络安全防护重点:趋势科技防毒系统内嵌的防间谍软件模块，能够有效的防御间谍软件、网络钓鱼等灰色软件对用户私密信息的窃取.6、 服务是整体防毒系统中极214、为重要的一环:防病毒系统建立起来之后，能不能对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础，另一方面也要求厂商能有精良的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。趋势科技作为网络防毒及互联网安全与服务的领导厂商，可以全面满足网络防毒多层次的服务要求。7.4.2 防病毒规划l 外网信息中心构建防毒控管中心，实现对外网防毒系统的集中管理;当有新的防毒更新组件时，通过控管中心实现自动更新，然后会自动分发至每个客户机、服务器，控管中心自动汇总下辖防毒系统的日志信息；l215、 在所有应用服务器上部署防毒系统,确保服务器系统不会成为病毒驻留的平台，提高整个服务器系统的高可靠性；l 在所有客户端上部署防毒系统,一方面增强客户端的防毒能力，防止病毒在客户端驻留；另一方面保证客户端不为因为病毒问题而带给管理员极大的工作量;l 管理员随时可以通过浏览器访问防毒管理控制台，一方面可以实时了解当前客户机状态,另一方面可以实现分组配置管理。7.4.3 部署产品趋势科技防毒墙网络版OfficeScan功能：保护客户机免受病毒侵扰管理端：Windows NT/2000/2003 Server、IIS Web服务器、Apache客户端： Windows 9x Windows Me Wi216、ndows NT Workstation Windows 2000 ProfessionalWindows XPWindows NT ServerWindows 2000/2003 Server7.4.4 部署示意7.4.5 部署防病毒系统实现的效果l 一体化的管理机制：Officescan服务器统一控管整个网络的Officescan客户端,包括，防病毒策略的设定和配置,日志的收集,病毒码，扫描引擎等组件的更新；以点盖面大大的简化整个防病毒系统，防病毒管理人员只需利用有IE浏览器的计算机就可以对Officescan服务器进行操作，移动的进行远程Web管理。从而确保能够用最少的人力资源，维护好整217、个网络的计算机防病毒；l 分组管理的机制:根据内部不同的部门在Officescan中设置不同的管理组，便于防病毒管理员针对不同的组设定不同的策略，开放不同的权限；l 应用层病毒的防护:客户机的文件共享，访问WEB网页，客户端收发邮件等应用进行全面防护，彻底消除应用层病毒对客户机的破坏，保证所有员工都有一个干净、安全的平台；l 网络层病毒的防护：直接在网络层针对象冲击波、震荡波等病毒的攻击包进行清除，降低的网络病毒的危害，提高了病毒的防护效果；l 病毒爆发阻止策略：Officescan应用该策略能够有选择性的关闭某些病毒攻击网络服务器和客户机的端口或共享文件夹等，从而阻挡大量的蠕虫病毒在网络中大218、面积爆发，保护用户网络中的所有计算机不受到病毒攻击。当网络内部不幸遭遇到新病毒攻击而病毒码还未更新时，利用病毒爆发阻止策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死，让还没有进来的病毒进不进来,让已经进来的病毒无法扩散；l 集成网络版防火墙和IDS抵御复合式攻击：Officescan网络版防火墙通过在客户机和网络之间创建屏障，来帮助保护Officescan网络版客户机免受黑客和网络病毒的侵扰，同时,IDS确保客户机不受到内部或外部的入侵攻击，确保内部计算机的系统安全和资料安全;l 集成病毒专杀工具,清除病毒更彻底：病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更219、新；完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大;此项技术能够让的防病毒管理人员从服务器端主动触发整个网络所有客户机的专杀工具去扫描本机内存和注册表，清除内存中的病毒进程和恢复被病毒修改的注册表键值，从而彻底摆脱传统的清除病毒的工作：针对不同病毒，下载不同的专杀工具，到每一台计算机前,手动执行不同种类的专杀工具,反复重起计算机；同时，客户机也可以手动点击按钮，触发专杀工具清除病毒；l 抵御间谍软件和其他类型灰件的侵害：防毒墙网络版下载间谍软件/灰件特征码文件以保护的计算机免受病毒之外各种潜在威胁（包括广告软件和间谍软件)的侵害。防毒墙网络版可以扫描220、和清除间谍软件和其他灰件，就像可以扫描和清除客户计算机上的病毒一样。l 病毒爆发监控：“病毒爆发监控可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度，如：设定的时间段内，网络上的并发会话数量超过设定的值，这样在网络内部出现病毒爆发之前,提前向防病毒管理人员预警,防患于未然；l 扫描有防病毒部署漏洞的计算机：通过趋势科技Officescan自带的TMVS客户机漏洞扫描工具，可以将网络中所有客户机做一个整体的扫描，将没有安装Officescan客户端软件的计算机的IP地址,计算机名字，操作系统等详细的信息生成报表，便于防病毒管理人员及时定位网络的未安装Officescan的计算221、机；l 传染源统计功能：网络中一旦有病毒发作，部署OfficeScan的众多机器就可以将传染源机器的IP或机器名记录下来,在管理控制台上生成传染源排行榜，让管理员极其方便地掌握网络中的薄弱节点并快速采取措施.7.5 网络版防毒系统介绍7.5.1 网络版产品简介趋势科技防毒墙网络版OfficeScan是用于台式机和笔记本计算机的集中管理式防病毒和防间谍软件解决方案。防毒墙网络版可以保护企业网络中的 Windows NT/2000/XP/Server 2003 和 Windows 95/98/Me 计算机免受病毒和恶意代码的侵害。通过赋予管理员使用单个控制台来配置、监控和维护桌面防病毒措施的能力，222、防毒墙网络版改进并简化了企业病毒策略的管理.防毒墙网络版包括以下两个组件：1. 防毒墙网络版服务器端：是网络版防毒系统的管理端，它从趋势科技ActiveUpdate 服务器下载更新、收集和存储日志并实现集中管理、控制病毒爆发，本身并不具备防毒能力;2. 防毒墙网络版客户机端：是网络版防毒系统真正的防毒模块，安装在被保护的 Windows NT/2000/XP/Server2003 和 Windows 95/98/Me 等计算机节点上，使其免受病毒、特洛伊木马和其他威胁的侵害7.5.2 网络版系统需求1. 防毒墙网络版服务器操作系统： Microsoft（TM） Windows(TM) NT 系223、列 （Service Pack 6a） Windows 2000 系列（Service Pack 2 或更高版本） Windows XP(仅限于专业版，Service Pack 1） Windows Server 2003硬件: 300MHz Intel Pentium（TM） II 处理器或同等产品 128MB 内存 300MB 磁盘空间 支持 256 色或更高颜色设置下 800 x 600 分辨率的监视器 Microsoft Internet Explorer 5。5 或更高版本Web 服务器： Microsoft Internet Information Server (IIS） 在 W224、indows NT 上:版本 4.0 在 Windows 2000 上:版本 5。0 在 Windows XP 上：版本 5.1 在 Windows Server 2003 上：版本 6。0 Apache Web 服务器 2。0 或更高版本 对服务器计算机的管理员或域管理员访问权限2. 防毒墙网络版客户端Windows 95/98/Me client 133MHz Intel（TM) Pentium(TM) 处理器或同等产品 Microsoft Windows 95/95OSR2/98/98SE/Me 64MB 内存（20MB 可用) 80MB 可用硬盘空间 支持 256 色或更高颜色设置下 225、640 x 480 分辨率的监视器 Microsoft Internet Explorer 4。01 或更高版本 Microsoft Internet Explorer 5。0 或更高版本（如果需要执行 Web 安装）Windows NT/2000/XP/2003客户机 150MHz Intel Pentium 处理器或同等产品 Microsoft Windows NT 4。0（带 SP6a 或更高版本）、Windows 2000（带 SP2 或更高版本） 64MB 内存（20MB 可用) 80MB 可用硬盘空间 支持 256 色或更高颜色设置下 640 x 480 分辨率的监视器 Micro226、soft Internet Explorer 4。01 或更高版本 Microsoft Internet Explorer 5.0 或更高版本(如果需要执行 Web 安装）7.5.3 网络版部署方式1. OfficeScan管理端安装在服务器上2. 客户端支持如下多种安装方式： 登录脚本安装； 浏览器安装（将安装链接放在网站上) 远程安装; 扫描安装 光盘安装； 通知安装 共享安装; 生成安装包安装; 通过微软SMS安装； 硬盘克隆安装7.5.4 网络版管理方式在任一台客户机上打开浏览器，访问网址http:/IP_Server/officescan，输入口令就可以管理,管理支持HTTPS，如下227、图所示：7.5.5 网络版升级方式自动升级，增量分发，如果服务器端不能上网,可通过部署趋势科技更新复制服务器实现集中更新(具体方案见服务方案)，客户端更新同时支持三种更新方式:1、 主动分发：管理端从Internet自动升级一次后,自动按增量分发至被管理的每一台在线客户端，非在线客户端一旦接入网络，即可立即；2、 “拉”方式更新：可以配置客户端自行从服务器端通过“拉”的方式获得更新,这种情况适合NAT环境；3、 自行上Internet更新：被管理客户机可以直接上Internet获得更新,支持移动办公的防护要求。7.5.6 网络版功能特色l 集中的Web管理界面：管理员可以方便地通过任一浏览器随228、时掌握全网防毒状况，对防毒策略进行调整,对防毒日志进行审计;l 安全漏洞防护：通过与CISCO NAC设备联动，对没有安装officescan客户端或者防病毒组件升级不正常的客户端，NAC设备可以阻止这些客户机进入网络。l 支持病毒爆发阻止策略：有效控制病毒扩散(通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件,特定端口，保护文件或文件夹不被病毒修改);l 应用层、网络层双层防护：OfficeScan同时采用文件型病毒代码和网络型病毒代码分别基于应用层和网络层进行病毒实时清除，最大消除病毒的危害；l 集成网络版防火墙/IDS：通过Officescan服务器端统一配置和管理每个计算上安229、装的网络版网络墙,可以有效阻止带黑客攻击行为的混合型病毒；l 集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的专杀工具，造成数量巨大；l 抵御间谍软件和其他灰色软件的侵害：防毒墙网络版下载间谍软件/灰件特征码文件以保护您的计算机免受病毒之外各种潜在威胁(包括广告软件和间谍软件)的侵害。防毒墙网络版可以扫描和清除间谍软件和其他灰件,就像可以扫描和清除客户计算机上的病毒一样。特定的应用程序和文件可能被防毒墙网络版视为间谍软件或灰件,但您仍然希望允许客户机保留它们。可以配置间谍软件和其他230、灰件的例外列表以阻止防毒墙网络版扫描这些指定的项目。l 病毒爆发监控：“病毒爆发监控可以用来监控网络上有感染迹象的可疑活动。通过设定病毒爆发监控的敏感度，如:设定的时间段内，网络上的并发会话数量超过设定的值,这样在网络内部出现病毒爆发之前，提前向防病毒管理人员预警，防患于未然；l 严格的权限控制：对客户端的配置权限、退出权限、卸载权限进行严格限定。l 可调整的扫描资源占用：为减少文件扫描对客户机 CPU 资源的需求,可手动调整扫描资源占用情况和一个文件与下一个文件之间的等待时间,降低扫描行为对其它应用系统的影响。l 增量更新：对于其病毒码文件(包括间谍软件扫描特征码、间谍软件清除特征码和损害清231、除模板)与防毒墙网络版服务器上最新版本相差不超过七个版本的防毒墙网络版客户机，可以通过增量方式更新其病毒码文件，而非更新整个病毒码文件.此功能可减小防毒墙网络版客户机执行更新所需的时间长度和带宽。l 灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；l 检测为安装防病毒软件的计算机:支持网络扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞;l 定位病毒传染源：管理控制台自动生成网络中病毒传染源排行榜，并能给传染源机器发出提示信息；l 邮件查杀和无线支持：支持对POP3邮件和Outlook文件的直接扫232、描，同时支持保护PDA等无线设备；l 支持多种Web Server： IIS 和 Apache；l 支持64位平台：防毒墙网络版支持使用 x86 和 Itanium 2 Architecture-64 （IA-64） 处理器体系结构的 Windows XP/Server 2003 计算机。l 丰富的统计信息：管理控制台自动生成丰富的统计报表，如传染源排行榜、中毒客户机排行榜、病毒排行榜、病毒清除率、更新率、在线率等等病毒信息,便于管理员及时掌握网络防毒状况.l 强大的数据库管理:支持将纪录数据导入SQL服务器方便数据分析与管理；l 灵活的客户端迁移：支持在客户端可以在不同的OfficeScan233、服务器中转移,不需重新安装；l 方便的大版本升级：大版本升级只需在服务端运行升级程序后，每个客户端就可以迅速获得最新版本，不需要重新部署。8 设备安装场地及环境要求8.1 机房的选址建议要求首先，在选择机房时一定要有长久的考虑.作为网络的中心，机房的线路工程较为复杂，位置不易随意搬迁。而且本互联网络影响重大，要求保证通信的畅通,不能长时间地或者经常地中断,因而在机房建筑设计时，应考虑一定的耐久性,不能经常进行翻修。此外，为了保证设备长期处于良好的运转状态，应使系统处于良好的运行环境之中。机房不应设在温度高、灰尘大、有有害气体、靠近易燃易爆物品或气压低的环境中;应避开经常有大震动或强噪音的地方；234、应尽量避开总降压变电所和牵引变电所；应尽量避开雷击较多或常有洪水淹灌的地方。在满足以上要求的情况下,机房应尽量靠近线路中心。总之，通信机房的选址，应根据通信网络的规划和通信技术的要求综合考虑，并结合水文、地质、地震、交通等因素，选择符合路由器、以太网交换机工程环境设计要求的地点。机房的建筑结构、采暖通风、供电、照明、防火、防震、防洪、防雷、防静电、防电磁干扰等项目的工程设计，一般由专业的建筑设计人员承担。8.2 机房的建筑建议要求由于通信节点的重要性，在进行工程设计时,除要严格遵守工企、环保、消防、人防等相关规定，以及符合国家或部颁的现行标准和规范外，还应符合特殊工艺设计中有关房屋建筑设计的规235、定和要求，如：l 机房的抗震设计烈度应按当地基本建设烈度提高一度；l 防火应达到国家二级标准，即要求承重墙、柱、屋面为非燃烧体，屋顶、楼板、楼梯为难燃烧体，并有相应的消防措施;l 高度在15米以上的建筑物和构筑物应按第二类民用建筑物和构筑物的防雷要求进行设计，应有防止直击雷、侧击雷和雷电流侵入的措施.机房的最小面积只要能在终局时容纳下所有设备和操作台即可.注意机柜侧面与墙面的距离不应小于1米,机柜后面与墙面或其它设备(包括其操作台座椅）的距离不应小于1。5米，以利于散热和便于设备维护。机柜与操作台不宜在同一排,应对面相向,且相距1.5米以上.在摆放操作台时,最好不要使计算机显示屏近距离面对门窗236、。最后一排操作台的座椅与墙面或其它设备之间应保持1.5米的距离，以便于行走或防止损伤、影响其它设备.在机房高度方面，要求安装面与梁下或风管下的净高度不小于3米。机房地面首先要满足承重的要求，应大于400Kg/m2，并能防尘、防火、绝缘、耐磨，可以是水泥地板、水磨石地板、树脂涂料地板、或防静电活动地板。当铺设防静电活动地板时，高度采用300mm或330mm,地板板块铺设严密、坚固，每平方米水平误差不大于2mm。地面或地板必须进行静电接地，可以经由限流电阻及连接线与接地装置相连，限流电阻的阻值为1MW。另外,过道、楼梯的负荷标准也应在400Kg/m2以上，超载系数1.4。当采用上走线时，要求走线架237、牢靠、水平，长边与相应墙面平行。下线梯底端距安装面2米。机房墙壁可以采用塑纸贴面，也可以刷无光漆。顶棚可采用铝合金吊顶或刷涂无光漆。墙面和顶棚要求不易粉化。机房墙面或顶棚应有外引线的孔洞,孔洞的内面应平整光洁,大小视引线的总线径而定,并留有一定余量。机房门的大小应保证设备进出机房方便,高2。3米,宽1米。门窗都应防尘、保温。建议门前先经一段徊廊，不宜直面街道或马路，窗户装双层玻璃，门窗均须加橡胶条密封。8.3 网络设备工作环境的要求本次工程提供的网络和安全产品必须在室内使用，为保证网络设备正常工作和延长使用寿命，安装场所应该满足下列要求。8.3.1 温度和湿度要求为保证网络设备正常工作，并延长238、使用寿命，机房内需维持一定的温度和湿度。若机房内长期湿度过高,易造成绝缘材料绝缘不良甚至漏电,还会发生材料机械性能变化、金属部件锈蚀等现象；若相对湿度过低，绝缘垫片会干缩而引起紧固螺丝松动，在干燥的气候环境下，还容易产生静电，危害网络设备上的CMOS电路；温度过高危害更大,因为高温会加速绝缘材料的老化过程，使网络设备的可靠性大大降低，严重影响其使用寿命。本次提供的网络设备对温度、湿度的要求见下表.机房温度/湿度要求温度相对湿度长期工作条件短期工作条件长期工作条件短期工作条件040-550585%5%908.3.2 洁净度要求灰尘对网络设备的运行安全也是一大危害，因为室内灰尘落在机体上会造成静电239、吸附,使金属接插件或金属接点接触不良，不但会影响设备寿命,而且容易造成通信故障。当室内相对湿度偏低时，更易产生这种静电吸附。本次提供的网络设备对机房内的灰尘含量及粒径要求见下表.机房灰尘含量要求最大直径（mm）0。5135最大浓度（每立方米所含颗粒数)1.410771052.41051。3105除灰尘外，网络设备机房对空气中所含的盐、酸、硫化物也有严格的要求，因为这些有害气体会加速金属的腐蚀和某些部件的老化过程。机房内对SO2、H2S、NO2、NH3、Cl2等有害气体的具体限制值见下表.机房有害气体限值气体平均（mg/m3)最大(mg/m3）二氧化硫SO20.21。5硫化氢H2S00.03二氧240、化氮NO20.040.15氨NH30。050。15氯气Cl20。010。38.3.3 防静电要求尽管华为网络设备和Neteye IDS在防静电方面作了大量的考虑，采取了多种措施,但当静电超过一定限度时，仍会对单板电路乃至网络设备整机产生巨大的破坏作用。在与网络设备连接的通信网中，静电感应主要来自两个方面：一是室外高压输电线、雷电等外界电场；二是室内环境、地板材料、整机结构等内部系统。因此为防止静电损伤，应做到:l 设备及地板良好接地。l 室内防尘.l 保持适当的温度、湿度条件。l 接触电路板时,应戴防静电手腕，穿防静电工作服.l 将拆卸下的电路板面朝上放置在抗静电的工作台上或放入防静电袋中。l241、 当观察或转移拆卸了的电路板时，请用手接触电路板的外边缘，避免用手直接触摸电路板上的元器件。8.3.4 电磁环境要求网络设备使用中可能的干扰源,无论是来自设备或应用系统外部,还是来自内部,都是以电容耦合、电感耦合、电磁波辐射、公共阻抗（包括接地系统）耦合的传导方式对设备产生影响，因此为达到抗干扰的要求,应做到：l 对供电系统采取有效的防电网干扰措施。l 网络设备工作地最好不要与电力设备的接地装置或防雷接地装置合用，并尽可能相距远一些.l 远离强功率无线电发射台、雷达发射台、高频大电流设备.l 必要时采取电磁屏蔽的方法.8.3.5 防雷击要求尽管华为网络设备和Neteye IDS在防雷击方面作了242、大量的考虑,也采取了必要措施，但是在雷击强度超过一定范围时，仍然有可能对网络设备造成损害。为达到更好的防雷效果，建议用户：l 保证机箱的保护地用保护地线与大地保持良好接触。l 保证电源插座的接地点与大地良好接触。l 为增强电源的防雷击效果，可以考虑在电源的输入前端加入电源避雷器,这样可大大增强电源的抗雷击能力。l 对于网络设备接口模块连接到户外的信号线,如ISDN线、电话线、E1/T1线等，为了达到更好的防雷击效果，用户也可以考虑在信号线的输入端增加专门的避雷装置。8.3.6 抗干扰要求各种干扰源，无论是来自设备或应用系统外部，还是来自内部，都是以电容耦合、电感耦合、电磁波辐射、公共阻抗（包括243、接地系统）和导线(电源线、信号线和输出线等）的传导方式对设备产生影响。为此： 要对供电系统采取有效的防电网干扰措施； 设备工作地最好不要与电力设备的接地装置或防雷接地装置合用,并尽可能相距远一些； 远离强功率无线电发射台、雷达发射台、高频大电流设备； 必要时采取电磁屏蔽的方法，等等。8.3.7 照明要求机房一般应配备三套照明系统,即：常用照明、保证照明和事故照明系统.平均照度150200lx，最好安装防爆灯。9 实施方案本次信息化网络集成项目(以下简称“本工程”）实施的范围为3个方面：1、 覆盖1、2#和3办公楼的内网和外网网络系统;2、 外网Neteye IDS的设计和部署；3、 外网趋势网244、络防病毒软件的部署.本工程建设的各个部分不是孤立分离的，而是有机联系的一个整体的不同组成部分。9.1 总体实施规划本次工程实施是办公楼改造项目和信息化的基础工程之一，对于工程质量具有很高的要求。同时根据比选文件的要求，本工程包括的内容众多，工期要求较短。因此,需要建立高效的组织管理体系，统一组织协调工程的实施、技术服务和技术培训;同时需要在实施前制订详细系统的实施计划和技术方案，充分考虑实施条件和实施风险，以保证按时完成工程实施工作，并保证达到设计目标.本系统的特点是：l 设备较多,用户覆盖面广：涉及内网和外网的网络建设、外网网络入侵检测系统的建设和外网防病毒系统的建设,涉及的用户超过1500245、个，地域上也包括了内的3个办公大楼。l 工程质量要求高：由于目前XXX办公大楼的改造工作是分步进行，先期完成1#和3#办公楼的装修改造，后期再改造2#办公大楼。因此本系统在实施的同时需要尽量减少对网络用户的影响，所以整个网络系统各个环节的可用性、可靠性必须得到充分的保证.l 工期紧，服务期长:需要在较短的时间内完成本系统的集成，并配合招标方管理单位完成整个网络系统和安全系统的集成，此外还需要提供三年的质量保证和质保期外的后援支持和服务基于上述特点，将采取如下相应的措施实施整个工程,以保证建成的系统能够在可靠性、可用性、可扩展性、系统的运行性能等方面满足用户的要求，同时在工程质量、工程进度方面得246、到保证。l 工程的组织领导采取牵头负责，厂商协助的方式:即负责组织技术队伍实施项目系统集成，并向负责；网络设备厂商华为3COM和网络防病毒软件厂商趋势科技指派具有良好业务背景和丰富的工程经验的技术人员承担技术实施方案的制订和审议、工程实施技术顾问等重要工作。l 要选择设备和软件的质量和功能、性能得到业内广泛认可的产品.同时要特别重视在工程实施前检验到货设备的工作，以便及时发现货物可能存在的瑕疵,并得到及时处理；而且要在工程实施中采取必要的步骤对采用的设备和软件进行适当的测试和检验，将设备和软件本身可能的瑕疵解决在早期。l 对于本项目中的关键部分，如核心交换机、汇聚交换机和安全入侵检测系统部分等247、的实施，将派出高级技术专家承担实施重任，同时将要求厂商提供协助和支持.l 为了尽快完成项目的实施，合理分解和安排实施工作，同时将与相关各方进一步协商，尽可能将不相冲突的工作同步进行。例如，在到货前的安装准备阶段，同时安排实施方案设计、技术培训；在设备安装初期同步进行各类设备的独立安装等。在整个工程实施过程中，将把工程实施计划和设计以及工程文档变更建议提交有关人员审议,在取得有关人员的签字同意后，并经我方项目经理签字,上述文件才成为正式工程文件.9.2 工程界面在本建设项目工程中，主要负责网络机房的电力和光纤链路保障;负责内、外网的网络设备和外网网络入侵检测设备的设备上架、安装调试、网管软件安装248、调试、外网防病毒软件的安装调试和整个网络测试检验、试运行到正式投入运行.下图为本工程的工程界面示意图。设备采购设备运输设备上架技术方案设计网络设备安装调试IDS系统安装调试网管软件安装调试外网网络防病毒软件安装调试网络测试检验试运行和运行支持技术培训技术服务电力保障外网出口测试保障许可施工证件、批件实施协调支持参与测试验收机房和网络线路环境项目单位东软公司9.3 工程实施组织结构和分工合同签订后，针对此次工程实施的特点，确立工程实施的队伍和组织结构.公司和网络设备厂商华为3COM将为本次系统建设项目工程组建工程实施队伍，其中包括各方的项目经理、高级工程咨询人员和技术支持工程师。公司将直接对用户249、全面负责，并将与华为3COM一起承担现场的设备安装调试工作.在工程实施期间，项目经理将常驻现场，每周在现场不少于3个工作日。将和技术人员密切配合,按认可的施工方案组织施工.针对本工程特点采用如下组织结构：用户方应针对本项目专门组建用户方项目组，应包括下列人员：项目技术负责人（一般由项目主管人员担任）、用户方IT技术人员。用户方技术人员主要协助我方技术人员完成数据准备工作，提供系统需求等辅助性工作，以保证项目能够保质保量地完成。公司针对本工程的建设和实施，专门设立了项目组，主要负责项目的调研、设计、实施以及维护、培训等各项工作，以保证项目的顺利完成以及系统建成后的正常运行。在工程实施期间，项目经250、理将常驻现场，每周在现场不少于3个工作日.我们根据长期从事大型园区网络系统积累的大量经验，并且结合本工程的具体特点，制定了一整套项目实施计划,我方将确定如下的项目领导小组来具体负责整个项目的实施、验收、培训、维护以及售后服务的全过程.公司的项目领导小组人员名单如下：项目总监控人：项目总协调人：项目管理：系统集成项目负责人：系统设计组组长:安装调试组组长:培训组组长：系统维护组组长：质量控制组组长：采购管理组组长：库房管理组组长:这些人员都是我公司在长期从事网络集成过程中，精心挑选的的资深人士，他们在长期的工作过程中配合十分默契，工作效率高效,因此我公司认为如果有幸能承担本工程的实施，他们一定能251、优质、高效的完成这项系统工程。9.4 项目实施计划编制和文档修改控制顾问小组由经验丰富的高级工程师组成，主要负责制订与工程实施相关的技术文档.为了保证工程的顺利实施，工程施工前应提供如下文档:l 施工进度表：工期计划实施的进度安排、资源安排，进度计划必须从实际出发，结合自己可利用的资源，以用户要求为主线，制订合理可行的施工进度计划。l 网络拓扑和路由策略：整个内、外网网络系统的逻辑拓扑结构,逻辑结构应该平衡可靠性和复杂性、维护性。根据全网拓扑结构特点,制订相应的路由策略。l 网络安全策略和安全配置：对整个网络安全系统的安全策略规划以及在具体安全设备上的配置实现。l IP地址分配表：IP地址分配252、是一项很重要的工作，IP地址划分的好坏直接影响网络的性能和维护的难度.IP地址划分应该细到每个可用设备端口。l 命名规则表：命名规则要本着合理和容易记忆的原则，命名规则合理可以大大减轻系统维护人员的负担。l 系统详细配置：即系统中所有设备的详细的配置参数.l 互联结构图：即设备的逻辑连线图（标注端口IP地址）和电缆连接图。电缆连接图为现场设备实际电缆间实际连接情况图，包括接口的形状、标准，连接方式等。l 机架布置图:机架布置图为设备在机架中的位置及连线情况图。设备的上架遵循线路多的设备放置在低位的原则，各节点设备上下顺序应保持一致。l 用户联系人员表：提交给工程小组，以便他们在到达现场前进行协253、调，并明确对应责任关系，减少不必要的麻烦(需要用户方项目经理协助确定)。l 工程人员分配表：提交给用户和合作伙伴，内容包含具体的工程师联系方式以及所负责的任务范围（需要总项目经理和项目经理协助确定）。在工程实施过程中，工程实施人员严格按照工程实施计划和技术方案设计的要求进行施工是非常重要的。但是,基于工程实施中的实际情况，可能需要对工程实施计划和设计方案进行修改。为了保证文档的一致性和工程的顺利实施及其后系统维护的顺利进行,需要控制和管理文档的修改。n 工程实施计划和设计方案中的错误修正技术人员发现这类错误后,应及时通知项目经理。项目经理须向项目单位代表提交文档变更申请，说明变更原因和变更方法254、建议，待项目单位代表和项目经理签字同意、并报告总项目经理后才可作出变更。工程秘书负责修改文件的版本编号和下发。n 工程实施计划和设计方案的修改当需要修改工程设计和工程计划时，需要向总项目经理提交申请报告，说明理由.总项目经理需要与招标方代表协商，双方一致同意修改时要签署备忘录，并转顾问小组处理。顾问小组编制修改书,由项目单位代表和项目经理共同签署后转工程秘书，工程秘书负责修改文件的版本编号和下发。n 修改文档的记录和维护工程秘书的一项重要工作就是要维护技术文档的版本一致，技术文档每一次修改都应在工程秘书处登记备案，修改前的文档都要在工程秘书处存档，并标记版本。最终技术文档的发放也由工程秘书统一255、负责，这样就避免了出自不同技术人员的文档的不一致，多个版本共存便于以后对技术方案的更新进行分析跟踪.9.5 工程协调会和工程进度安排为保证工程的顺利实施，需要股份公司与投标方的工程管理人员、工程技术人员的密切合作。相互之间的合作和理解是工程实施成功的一个重要基石.通过工程技术联络会进一步明确工程实施的基本原则、工程实施中双方的责任和义务划分、工程实施中双方的配合协调方式、工程实施中的问题的裁定和解决方式、各阶段测试、检验的内容、方法和标准等，以使双方的技术人员对于各自的任务、责任和义务等都有明确的依据.同时工程技术联络会将制定关于商务规范、有关的技术规范、详细的工程进度安排及有关培训的详细安排256、.因本工程的建设工期较为紧张.我公司愿尽最大努力，充分发挥自身优势,保证系统按期开通.为了实现这一目标,拟采取如下措施：l 成立信息化网络集成项目组，由公司领导任项目组负责人，充分发掘及调动公司内部力量，保证项目实施进度。l 充分发挥强大的业内合作优势，尽可能缩短设备采购周期；l 可以获取厂商对该项目的最大支持，最大限度地安排缩短设备采购周期、安排厂商派驻现场高级工程师、加强技术培训力度和724的技术支持。l 充分发挥上市公司强大的资金保障优势，从公司整体政策上向本项目倾斜；l 充分发挥在系统集成领域的技术优势，对可能出现的问题采取预防为主的策略，出现问题集中力量解决，防止问题扩大，从而保证平257、台系统安装、调试、试运行的顺利进行.在设备到货后，公司将负责项目的总体安装与调试，由于本项目设备涉及内、外网的交换机、IDS、网管软件和趋势网络防病毒软件，产品到货周期基本相同同，我公司将依据这一特点，实行到货后统一安装的策略。下面列出本工程的有关设备订货、运输,安装和交付运行等几个阶段的工作。l 项目启动:定义计划，技术设计，等等。l 规划设计本工程的具体配置方案.l 机房环境调查确认.l 设备订货、设备运输及验收.l 系统硬件和软件安装等。l 系统测试和交付运行。l 整理系统文档，培训系统网络管理员l 系统验收l 保修期系统维护.因本次3个办公楼的改造进度不同，2号办公楼需要待1号和3号办258、公楼改造完毕才可实施土建改造.因此必然影响到本网络系统集成项目的实施。下面的进度安排计划是根据我公司长期从事大型系统集成项目的经验所得出的结论。将3个办公楼的内、外网网络集成集中实施的进度计划，该计划能够确保1号和3号办公楼的网络集成工作在11月中旬前结束.实际的进度安排计划列表会在合同项目签定以后由双方共同商订得出。我们的实施计划也将以最后双方确认的实施计划为准！9.6 项目实施9.6.1 安装准备l 用户系统管理人员专项快速技术培训为了保证系统建设中与项目单位系统管理人员的顺利合作和系统建成后能尽快发挥作用，有必要向这些系统管理人员介绍整个系统的连接和配置基础知识.为此，将派顾问小组成员介259、绍如下基本情况：1) 系统设备基本特点和结构2) 系统互联方式3) 系统基本配置设计l 备件、安装、验收工具的准备需要准备的内容包括：1) 网络设备备件到位2) 网络设备安装工具3) 测试软件4) 测试线缆l 安装环境检查双方技术人员对设备安装环境进行检查，确认符合设备运行要求,并填写环境调查表。9.6.2 到货检查l 货物清点及标记到货检查的步骤包括：1. 设备按型号和规格分类2. 模块按所插设备分类3. 38338 95C2 闂oN37083 90DB 郛s25474 6382 掂S4.5. 整机数量清点核对6. 模块数量清点核对7. 软件数量清点核对8. 文档数量清点核对9. 把分类编号260、贴到网络设备上l 外观验收外观验收的主要内容包括：1) 货物保障有无明显破损2) 货物包装有无显著损伤3) 货物与装箱单所示是否相符4) 货物表面是否有缺损5) 外观验收结果与订货合同不相符时,由承担责任l 资料和文件验收内容包括: 1. 装箱单、保修单2. 包装箱内是否有随机资料和介质3. 随机资料和介质是否完整9.6.3 设备安装检验J37445 9245 鉅33958 84A6 蒦21818 553A 唺28515 6F63 潣31641 7B99 箙对于本项目的设备安装调试，将派出有经验的工程师进行调试与安装，并在网络厂商技术专家的协助下,高效优质地完成项目的实施。在完成项目实施计划编261、制、安装准备、到货检查并确认不存在影响项目实施的重大问题后,将与项目单位代表共同填写开工报告，并正式开始系统安装及检验。l 准备工作在安装、调试前,我公司项目经理将提前1周向用户方提供安装调试计划,包括以下内容：1）安装调试手册2）安装调试进度安排3)安装方式4)调试方法5）调试工具的准备6）安装调试环境的准备7)其他需准备的工作l 设备上架工作人员把设备稳定、可靠地置于机架指定位置。统一规定各设备在机架的位置，做到整齐划一。l 上电验收备好设备电源线并插入指定电源插座，打开电源开关.具有双(多)电源的设备两（多）个电源同时启用.设备试运转时，工程人员全程跟踪设备试运转状态，随时记录设备的lo262、g信息和指示灯的状态.?27176 6A28 樨40486 9E26 鸦E32534 7F16 编31556 7B44 筄21456 53D0 叐设备试运转期间，整机及其上所有模块通过开机自检,无任何报错信息，并能进入正常工作状态；整机及其上所有模块指示灯状态正常。对没有通过上电验收的设备进行检查，并做相应处理。l 网络连线连接按预先规划用标准线缆连接设备端口与跳线架端口.明确规定各信息点与设备端口对应关系,做出信息点对应表。l 网管软件安装包括网络管理软件安装配置和调试等.在安装过程中，要记录安装参数设置等。l 设备集中配置按设备配置清单为各网络设备配置参数.l 系统功能测试在每台设备完成物263、理安装之后,公司的现场工程师将和用户的技术人员一起进行该部分的系统功能测试工作。l IDS安装和配置IDS安装过程如下：1. 安置网络安全系统硬件-IDS、管理软件2. 根据网络拓扑设计分别标识各个区域3. 进行物理连线4. 安装管理软件5. 21009 5211 刑37892 9404 鐄（40040 9C68 鱨40655 9ECF 黏Aa32172 7DAC 綬6.7. 配置管理端的系统设置8. 定义工程9. 定义安全策略10. 详细记录上述过程9.6.4 连通性和系统完整性测试为保证用户网络系统的正常运行,公司将负责对用户网络进行连通性调试.经调试后使系统可满足方案设计中对网络连通性的264、要求。调试通过后，由顾问小组工程师对整个网络的总体功能进行调试和优化。本工程涉及的网络设备和网络安全设备经过安装、调试、入网联调,应集成为一个统一协调运作的业务基础平台。为验证这一结果的效果，将配合技术人员将本项目中的网络系统与已有同类设备的集成工作。9.6.5 系统测试和验收本项目的测试和验收非常关键，将决定本项目能否正常投入运营.公司根据ISO9001质量认证要求,并结合多年大型网络系统集成项目的测试和验收经验,为本项目制定了测试和验收计划.详见验收方案章节9.6.6 培训根据我公司制定的ISO9000质量认证体系,客户培训部分将严格按照客户培训可以参照MW043客户培训规程进行实施。主要265、包括：1、确定培训内容：培训内容基本上包含以下项目：系统操作使用，日常维护，故障排除。培训内容可以根据合同规定，也可与客户协商培训内容。2、制订培训计划:制订培训计划应在实施基本完成前完成以顺利衔接；培训场地、受培训人员、参加人员、时间安排、内容安排；所需设备清单，讲解、指导人员安排。3、按照培训计划开展培训，确保客户能够准确使用系统，及时解决客户提出的各种问题。4、培训考核分为上机及笔试，考核后及时填写培训记录，并将培训考核结果反映给客户负责人。29009 7151 煑l31157 79B5 禵/34367 863F 蘿33390 826E 艮23289 5AF9 嫹具体培训计划请参见培训方266、案章节.9.6.7 实施总结系统验收通过后，实施负责人应对整个项目的实施工作进行总结，编写系统集成项目总结报告，以便发现问题，提出纠正和改进的措施，为今后系统实施工作提供改进依据。系统集成项目总结报告提交项目管理部门评审，项目实施过程中的各种报告与记录统一提交项目管理部门。9.6.8 售后维护将根据如下基本原则，通过IT服务事业部部为本项目提供优质的售后服务.1、维护范围和维护期限必须在合同中明确规定，客户提出维护申请，由客户和维护部门进行确认，维护服务应严格按合同执行。2、根据确认的维护需求，可与客户约定维护实施办法，共同制定维护计划。3、项目管理部门受理系统集成项目的维护申请并协调维护实施267、。4、IT服务事业部负责系统集成项目的维护，根据问题情况决定采取远程维护或现场维护，并加以记录。5、维护过程中如发生不合格品,应明确不合格品的标识和处置。6、维护的相关记录应在维护结束后，由IT服务事业部保存和管理.9.6.9 过程监控项目管理部门和项目经理按照系统集成实施计划的要求对每个系统的实施情况进行监控.主要内容有：1、工作周报:每周由实施工程师/项目经理完成,并对应地提交给项目经理/项目管理部门,主要内容有:一周内主要工作、有无重大事故、下周计划等。2、工作日报：由每个实施工程师完成提交给项目经理。3、工作报告：遇到特殊事项，如：客户需求变更,实施工作出现意外事项等问题，实施工程师应268、及时将遇到的问题通报给项目经理/项目管理部门。4、例会：定期（每周/天）由各地项目经理组织召开，通报工作进展/监控进程。9.7 Z24460 5F8C 後lA 36431 8E4F 蹏39556 9A84 骄9.89.9 项目质量保证计划我公司早在2001年初就已经顺利通过ISO9001：2000版的认证，公司充分重视对施工质量的控制，并在所有的项目实施过程中建立了完善套质量保证措施,针对本项目我们将制订完备的质量保证计划.主要包括对施工文档的生成、修改和管理.做到每一项工作都有合理的流程，流程的每一步都有相应的记录文档和核查手段。工程责任制，大到从整个项目的实施管理，小到每个具体节点的安装，269、都实行工程责任制。整个项目的工程质量负责人是项目经理，项目经理对用户和公司主管部门负责，项目经理对项目实施具体指挥：对外，负责与客户的联络，解答客户的问题,满足客户的需求；对内，负责工程的组织和协调,项目经理有权调派项目组人员、安排工期、调整工程进度、确保工程能按期、按设计要求、高质量完成。顾问小组组长对项目经理负责，并负责保证工程文档的合理性和可实施性，顾问小组负责设计文档，并保持技术文档的一致性。每一版成型的技术文档都要在工程秘书处存档,每次文档的修改都要在工程秘书处登记。工程小组负责具体的工程实施，由工程小组组长向项目经理负责，保证施工质量，给工程师安装分配具体任务的工程师负责，工程师向270、小组组长负责。本系统在需求分析、总体设计等阶段,严格遵守ISO9001质量保证体系的要求,提供需求分析报告、项目计划、系统设计报告、测试大纲与测试报告等,其基本操作规程及相应提供的结果如下：系统集成项目全过程部门和岗位分工阶段（质量要素）引用的技术规范目的责任部门或人提交结果管理性活动（略）系统集成活动合同评审合同评审、合同制定规范确保合同条款规范合理，防范风险25884 651C 攜35091 8913 褓Z31688 7BC8 篈24629 6035 怵h#R营销网络管理部、项目监控部、技术支撑人员合同评审记录项目集成策划DW061系统集成项目策划规范确保系统集成项目资源合理配置、进度和质271、量能得到有效控制.项目实施负责人采购仓储部门负责人项目管理部门负责人系统集成项目任务书系统集成项目工作单系统集成项目评审记录系统实施计划系统实施实施方案项目实施DW062系统集成项目实施规范确保系统集成项目实施有效控制、高效运作项目实施负责人采购仓储部门负责人q24991 619F 憟21503 53FF 叿s;7S系统集成开工报告系统集成安装报告集成设备交付书系统集成维护计划系统集成维护记录测试及验收DW063系统集成项目测试与验收规范确保系统集成项目实施质量能够有效控制项目负责人、项目监控部系统集成测试计划系统集成测试报告系统集成验收报告实施指南DW064系统集成实施指南确保组织内参与系统272、集成的各级部门能够有效组织实施系统集成参与项目的人员客户培训MW043客户培训规程g35622 8B26 謦28032 6D80 涀:30711 77F7 矷20079 4E6F 乯g29902 74CE 瓎确保客户获得满意的培训项目组负责人培训部负责人培训记录培训成绩支持性活动配置管理配置管理、标识规范项目监控部、项目管理员配置管理计划、配置状态报告文档控制文件管理、文件编写导则、文件编号规定管理者代表、项目监控部、质量体系组质量体系文件及其发行、修改控制质量记录质量记录管理、文件归档及编目指导、档案管理规范项目监控部规则、惯例和约定29456 7310 猐25437 635D 捝G4061273、8 9EAA 麪规则、惯例和约定项目监控部各开发规范设备、工具和技术设备和工具项目监控部专项技术支持人员各种工具软件、测试软件(SQA)采购采购管理、库房管理规定采购仓储部、技术支撑人员合格分供方评定记录、采购验收报告配套的产品管理配套产品管理项目开发人员、设备管理组配套产品验证记录及其编号9.10 工程文档工程实施过程中和结束后，公司将向提供如下的工程文档:36153 8D39 费28563 6F93 澓wP序号文档名称内容及提交阶段1技术实施方案整体项目的实施规划方案，包括产品的具体部署，产品到货安装调式的周期安排，人员配置等.合同签定后提交.2现场环境调查表产品到货安装调式的周期安排，人274、员配置等.合同签定后提交。3设备验货表设备加电测试报告检查产品有无损伤，加电是否正常。产品到货验收后提交。4培训效果反馈表集中培训效果的评估。培训完成后提交。535538 8AD2 諒331604 7B74 筴34283 85EB 藫22674 5892 墒安装报告安装过程文档，设备安装调试具体信息记录。安装调试后提交.6产品手册产品安装管理手册。产品到货验收后提交.7安装手册产品操作使用手册。产品到货验收后提交。8用户登记卡用户登记回寄到厂家的用户信息备案。产品到货验收后提交。9测试验收表安装后，进行设备应用测试。安装调试后提交。10节点验收报告安装节点验收报告。安装完毕后提交.11s213275、34 5356 卖wY26692 6844 桄20164 4EC4 仄36515 8EA3 躣初验报告项目整体初验报告。项目实施完成后提交。12试运行报告在试运行阶段的报告。试运行结束后提交。13终验报告最终验收后的报告。最终验收后提交。14培训教材培训课程教材。培训时提交.15服务质量考核评估表项目巡检后提交。10 验收方案本工程的实施是关系到北信息化进程的复杂系统工程，工程的测试和验收非常关键,将决定本项目能否正常投入运营.公司根据ISO9001质量认证要求，并结合多年大型网络系统集成项目的测试和验收经验，为本项目制定测试和验收计划，整个验收计划包括了设备出厂验收、设备到货验收、初验收和系276、统终验收.对系统硬件及软件平台产品特性可参考相应技术手册。10.1 验收的方法与步骤l e32050 7D32 紲32135 7D87 綇a34814 87FE 蟾37408 9220 鈠23205 5AA5 媥26330 66DA 曚ll 网络设备和IDS出厂前进行厂验；l 和网络中心有关人员一起按照设备采购合同中的设备清单，对购买的设备进行开箱验收；l 安装硬件设备，对所有网络设备加电测试；l 提交设备开箱验收报告和测试报告；l 系统测试后,签署初验收意见；l 系统试运行期满后，验收各方开会审议，形成终验收结论、意见。10.2 验收测试标准设备安装调试正常之后，进入测试验收阶段。工程测试验277、收标准是相关规范及双方所签订的技术合同：(1）工程技术规范书（2)工程询价书（3）工程用服勘测报告（4）用户需求意向和现场调查资料（5)厂商提供的产品技术资料10.3 验收测试流程提交初验测试申请与用户协调，制定验收测试程序初验测试39110 98C6 飆q24013 5DCD 巍37855 93DF 鏟s26246 6686 暆S测试通过?签署初验通过证书文档、资料移交试运行签署终验通过证书解决存在问题处理问题NY10.4 整体系统验收系统联调结束和整体系统试运行期满后后，应由用户方和公司共同对整体系统进行验收，整体验收的结果由参加整体验收的各方签名，形成整体系统验收报告（初验和终验报告），278、其中终验报告要附上整体系统试运行期间的有代表性的运行日志的记录,并且给出最终的明确结果:a. 通过整体验收;b. 未通过整体验收，延迟1-2个月再作验收.整体系统验收工作程序：1) 验收前准备根据合同中的验收准则检查所有硬件项及其系统配置是否完整，做好验收准备。2) f38217 9549 镉34729 87A9 螩37939 9433 鐳23736 5CB8 岸26861 68ED 棭3)4) 验收实施l 根据合同要求或双方协商结果，确定验收时间、验收准则、软/硬件环境等，以及双方职责。安排系统工程师协助用户方进行验收;l 验收测试；测试项目可根据用户要求,包括下面几项：A）环境测试B）可靠279、性测试C）维护性测试D）功能测试E）稳定性测试F)性能测试G）仿真测试l 编写验收报告；l 测试计划与测试报告格式及内容按照我公司ISO9001质量保证计划规定及用户方要求执行。说明：由用户方自行安装的软件，我公司不参与其验收过程.5) 问题处理 在验收（测试）过程中发现的问题根据合同规定来处理。如果合同中没有规定，应指明问题类型和责任归属，由客户服务中心与项目组协商解决办法.10.5 检测方法与目的10.5.1 设备到货验收39641 9AD9 髙Z35707 8B7B 譻/38386 95F2 闲33305 8219 舙r22227 56D3 囓设备到货后，正式交付之前，由用户方和共同对设280、备进行验收，如果通过验收，则可以交付给用户方。原则上，设备到货验收的地点为用户方指定地点，并且，设备到货验收通过，用户方收货后，应保证设备完好，直到进行平台系统安装、调试及试运行,迎接平台系统验收。针对本项目，我公司可以提供根据ISO9001标准制订的现行作业指导书设备验收规范作为设备到货验收的参考依据和标准。验收内容包括外包装、加电查看系统配置与合同是否相符。外包装验收填写运输外包装验收清单和设备开箱验收单。外观验收运输外包装验收清单合同号：_XXXXX公司代理商根据合同已经将合同产品运抵CIP到货口岸.运抵日期：产品运输外包装按照下列表格验收。1、基本运输数据麦 码运 单 号包装箱数量总毛281、重（公斤）2、详细运输数据包装箱序列号装 箱 单 号箱内主要产品描述21781 5515 唕38663 9707 震（35260 89BC 覼V23120 5A50 婐上述产品运输外包装在无损伤情况下验收.工程监理用户将负责上述产品安装前的存储。用户代表上述产品运输外包装具有下表所列损伤记录。工程监理用户将负责上述产品安装前的存储.用户代表产品运输外包装损伤记录参见后续表格下述损伤记录应得到中国进口产品检验部门的确认，以便供应商得到相应的赔偿包装箱号损 伤 记 录补救措施：上述损伤记录得到确认最终用户代表 设备厂商代表 工程监理代表用户名称 代理商代表 工程监理代表中国进口商品检验部门代表设备282、开箱验收清单40172 9CEC 鳬220888 5198 冘23567 5C0F 小33836 842C 萬32859 805B 聛22758 58E6 壦合同号：_合同产品已经运抵安装现场（用户下属机构），中华人民共和国.运抵日期:，开箱日期：由买卖双方代表确认，下列产品出现短缺和损坏:序列号产 品 型 号短缺数量损坏数量说 明除了上述所列产品以外，其它合同产品均被买方接收.最终用户代表 产品供应商代表 工程监理代表用户全称 代理商 工程监理代表10.5.2 初验收内、外网的设备安装、调试达到技术规范书规定的指标后，可进行验收测试（初验)。验收测试合格后，双方签署验收协议，设备入网开通试运283、行。初验组成部分：核心交换机、汇聚交换机、接入交换机、IDS、网络管理软件和网络防病毒软件及内、外网系统联调结果.上述交换机和IDS设备中均含其专用操作系统软件。1. IDS测试22312 5728 在(120441 4FD9 俙21057 5241 剁30349 768D 皍y测试对象：外网IDS功能测试测试目的：检查系统配置及网络安全入侵检测的情况测试平台:相应主机设 备 名测 试 项测 试 方 法合 格 条 件IDS配置设备及许可清单检查提供的清单及许可证命令检测启动相应应用检测功能检测根据系统手册操作所有显示功能与操作手册相符工作状态人工故障N=21419 53AB 厫31157 79284、B5 禵/34367 863F 蘿33390 826E 艮23289 5AF9 嫹及时发现人工故障进程状态管理启停相关安全进程并观察状态2. 网管软件测试测试对象：系统网管软件测试目的:检查网管软件的安装与使用情况测试平台：相应主机设 备 名测 试 项测 试 方 法合 格 条 件网管软件配置软件清单检查厂商提供的网管软件清单及许可证命令检测启动相应应用检测功能检测Z24460 5F8C 後lA 36431 8E4F 蹏39556 9A84 骄根据软件手册操作所有显示功能与操作手册相符工作状态人工故障及时发现人工故障进程状态管理启停相关模块进程并观察状态全网初验通过，填写如下初步验收报告：系统全285、网初验报告： 在贵方的积极支持与配合下，工程的现场安装调试及单点初验已全部完成。在此，我们表示诚挚的谢意!由双方工程师参加的全网测试结果表明， 网络运行状况已满足工程合同中的技术规范要求，全网通过初验，可投入试运行。对于初验遗留问题，我们将在试运行阶段尽快予以解决.测试结果请参见系统测试报告。初验遗留问题请参见初验报告附录全网初验备忘录.即日起，全网开始试运行，我们将同时交付系统管理员手册及系统管理帐 号、密码,请贵方签收。甲方: 。： 监理方:甲方代表签字/日期：。25884 651C 攜35091 8913 褓Z31688 7BC8 篈24629 6035 怵hR代表签字/日期监理方代表签286、字/日期: 。10.5.3 系统终验当整个系统进入试运行期，公司将向提供行之有效的技术支持以确保整个网络的稳定和有效地运营,并确保整个网络能够顺利通过系统终验.在此同时，公司将通过这些具体的技术支持帮助甲方工作人员熟悉和掌握这些设备和维护技术。系统试运行期对整个网络系统而言是一个非常重要的时期。在此期间，由于甲方网络技术人员的技术水平、设备管理、设备操作和设备维护之间的磨合，将会出现一些意想不到的设备问题和人为故障。由于甲方的技术人员对相关设备不够熟悉，所以这些技术问题一般需要通过公司技术人员的指导进行解决。系统试运行期对甲方的技术人员而言是逐步熟悉和掌握系统所提供的新设备和新技术的重要时期。287、在系统试运行期，公司将提供必要的现场技术支持，并解决有关技术问题。同时通过定期维护以避免设备故障的发生。另外，公司将帮助甲方的技术人员提高他们的技术水平，以便通过他们的努力使的内、外网运行更加高效。在通过系统试运行期而无重大故障的情况下,由用户方网络负责人主持终验，公司项目组协助系统终验.系统终验后，双方技术负责人和监理方技术负责人在终验报告上签字确认.系统全网终验报告：在贵方的积极支持与配合下，工程于年月日 通过初验，进入试运行阶段。试运行期间所有初验遗留问题均已得到解决。 按照合同规定，系统试运行于年月日正式结束.试运行期间， 网络运行状况满足工程合同中技术规范书的要求和各项技术指标，全网288、终验通过。从即日起,系统投入正式运行.甲方: 。： 监理方：甲方代表签字/日期:.代表签字/日期： .q24991 619F 憟21503 53FF 叿s;7S监理方代表签字/日期：11 培训方案经验证明，完善和成功的培训将是系统建设能否成功的决定因素之一。为此，公司和华为3COM和趋势科技根据信息化网络集成项目的实际情况，制定了完善的培训计划。软件公司是多家知名IT企业授权培训单位、在大连、南海和成都建立了信息学院，可为用户提供长期稳定系统的培训。同时我们也提供到用户现场进行培训的方式。根据系统建设各个阶段的需要，以集中培训（国内）和现场培训等方式实施培训工作.培训工作分为网络工程实施阶段和289、系统运行阶段，在不同阶段培训不同类型的人员。培训内容主要在服务器与客户机系统、计算机网络系统和网络系统的管理、使用及维护、应用系统使用与管理等。接受培训的人员在培训后能独立完成相应阶段的技术工作，并能达到回本单位后继续做培训的能力。使工程作到“交钥匙”工程“用户满意工程。11.1 培训目的在项目实施过程中，本公司除贯穿实施全过程对用户进行培训外,还针对本项目的网络及安全产品提出一整套系统的培训方案,以达到如下目的：l 工程能够按时高质量的完成.如对甲方协作人员的培训。l 系统完工后能够正常运转.如：网络系统、IDS、防病毒和网管系统各种软硬件的操作培训等.l 系统能安全无故障的运行.如针对安全290、性对技术人员进行安全管理的培训。此次培训的老师全部为我公司和相关厂商的专职培训人员。使维护工作人员经培训后能够熟练地掌握系统的软件及硬件维护工作,并能及时排除大部分设备故障。11.1.1 的培训优势11.1.1.1 具有领先于国内同行的质量管理经验 公司是国内率先通过ISO9001质量体系认证的软件企业； 公司是国内率先通过CMM5级评审的软件企业CMM（Capacity Maturity Model)是由卡内基梅隆大学的软件工程研究院主持开发的软件能力成熟度模型，是衡量软件公司软件开发管理水平的重要参数； 是国内首家通过世界著名认证机构-DNV（挪威船级社） ISO9000（2000版）质量291、体系认证的企业； 具有企业信息化建设的成功经验11.1.1.2 卓越的国际国内专家优势 g35622 8B26 謦28032 6D80 涀：30711 77F7 矷20079 4E6F 乯g29902 74CE 瓎 公司目前拥有资深软件咨询顾问38人、资深系统分析与设计师79人、资深软件工程师398人 公司目前拥有专兼职资深管理专家、讲师、顾问25名。 国际知名IT企业授权培训机构 目前为ORACLE授权培训中心、微软授权培训中心。11.1.1.3 斐然的业绩 公司自成立至今，已累计培训学员2。25万人次. 尖端的设备及配套设施. 拥有一流的培训场地与设备，设有住宿、餐饮、休闲等完善的配套设施292、.的质量方针“为用户提供易用、可靠的产品和满意的服务。为保证内、外网络集成项目有效实施和充分应用,真正为客户创造价值,及时、有效、可靠、长期的服务是必不可少的.我们的软件就是体现了一种服务的态度。11.1.1.4 培训内容课程类型：技术类 ：计算机基础知识、计算机网络技术；专业认证 :微软、CISCO等的认证培训与国际标准化考试;管理类 ：企业发展战略课程、销售及市场管理课程、管理发展课程、个人能力发展课程、顾客服务课程、人力资源课程、其它课程；课程设计者：来自于国内外知名院校的知名学者来自于国内外知名企业的具有丰富管理技能的经理人来自于国外知名咨询顾问公司的资深顾问来自于国内知名IT公司的资293、深顾问及资深技术专家29456 7310 猐25437 635D 捝G40618 9EAA 麪来自于股份的资深技术专家培训讲师：我们的培训讲师是来自于管理、生产、教学等各领域的专业人士，具有丰富的企业内培训经验和技巧，并受过专门的训练和教师资格认证。同时，还有来自于股份培训事业部的资深技术专家、软件设计师、资深软件工程师、专职讲师；以及CISCO、 Microsoft等国际知名IT公司的认证资格讲师。11.1.1.5 培训方式培训方式分成以下几种，可灵活安排，或单独,或结合等方式：u 个案讲解；u 范例分析；u 互动研讨；u 系统传授 ；u 实践;u 培训形式；u 方案咨询论证；u 定制培训；294、u 公开课 ：定期举办面向社会的系列课程； u 课程代理：为国际培训公司在华代售其课程； u 海外培训：组织高级技术人员、企业管理人员赴欧美发达国家培训.11.1.1.6 培训特色u 有效的情景展开u 36153 8D39 费28563 6F93 澓w|Puu 适用的内容剖析u 实用的课程传授u 课程的量身定做11.1.1.7 培训合作伙伴u 挪威船级社（DNV）u 深圳质量认证中心u 麦古力国际公司u 全友管理顾问有限公司u 恒信和益咨询有限公司u 国际商用机器有限公司（IBM)u 微软公司（Microsoft）u 诺基亚公司（NOKIA)u 华为3COM公司 u 思科系统公司（CISCO）295、u 甲骨文软件系统有限公司（ORACLE）11.2 华为3COM培训机构简介11.2.1 培训理念作为售后服务不可或缺的一部分，华为3COM一直致力于为用户提供及时、有效的培训服务。华为3COM一直认为，维护人员的能力和水平是保持设备正常运转和良好的效益的必要保障，华为3COM希望通过培训这一售后服务环节为用户提供更多的支持和帮助。11.2.2 35538 8AD2 諒331604 7B74 筴34283 85EB 藫$22674 5892 墒11.2.311.2.4 总体介绍为了满足不同用户不同层次的培训需求，培训中心采用总部和分部集中培训、当地培训以及现场培训相结合的三级培训体系。总部培训296、以高级工程师培训和新产品技术培训为主,授权认证的分部则致力于成熟产品的工程师培训；当地培训和现场培训是满足用户不同的个性化需求而设立的不同培训类别。按照交换接入、无线、光网络、智能网、数据通信等十大类产品，华为3COM为国内外客户提供120余种标准培训项目，涵盖了华为3COM所有产品的培训。用户培训中心拥有华为3COM最新版设备和测试仪器，采用世界先进高效的多媒体教学、CBT（Computerbased Training)及现代课堂讲座、模拟真实环境的演练相结合。实习设备相互连接以模拟现代电信网络运作，提供给客户一个以“培训实战性”为特点的真实的模拟上机环境。11.2.5 培训师资专职教师：华297、为3COM培训中心深圳总部拥有150多名专职培训教师,其中80具有硕士以上学位；分部有专职教师90余名，其中95具有本科以上学位。他们具有丰富的研发和运维实践经验、出色的教学技能和最前沿的专业知识，所有在岗教师均经过严格的资格认证与考核.兼职教师：培训中心长期聘请一些经过资格认证、富有经验的研发专家和工程专家担任兼职教师，在教学中能带给用户更新更深层的产品知识和实用维护经验.11.2.6 课程设计华为3COM培训中心拥有一支专门负责课程开发的专家队伍，本着为客户“培训运营技能,提高投资回报”的宗旨，将产品开发理念贯穿到课程开发中，历经市场调研、设计、开发以及教学效果评估等四个阶段，充分保证培训298、质量，满足客户培训需求.根据客户需要和产品特点，华为3COM培训采用模块化的课程设计思想,各标准模块间灵活组合，可以满足客户的特定需求，以保证最佳的培训效果与效率。此外，培训中心聘请各大院校的专家和资深学者作为客座教授，为培训提供最新的技术和理论方面的支持，使我们的培训内容能紧跟电信技术发展的潮流。华为3com认证培训体系介绍【华为3Com认证培训体系】由三部分组成：技术认证培训体系、销售认证培训体系、专项认证培训体系。技术认证培训体系由初、中、高三级组成;销售认证培训体系由两级组成；专项认证培训体系由金融网络解决方案、华为3ComVoIP解决方案、华为3Com网络安全解决方案、企业接入解决方299、案等组成，并且将根据技术和市场的发展不断推出满足用户需求的专项认证。具体培训课程由分布在全国各地的“华为3Com认证网络技术教育中心”提供，认证考试由美国专业考试与认证服务机构Prometric公司代理，考生可以在中国大陆的所有APTC（Prometric授权考试中心)报名参加考试。s21334 5356 卖wY26692 6844 桄20164 4EC4 仄36515 8EA3 躣e32050 7D32 紲32135 7D87 綇a34814 87FE 蟾37408 9220 鈠23205 5AA5 媥26330 66DA 曚技术认证体系:【华为3Com认证网络工程师】（HCNE：Huawe300、i Certified Network Engineer）【华为3Com认证高级网络工程师】（HCSE：Huawei Certified Senior Network Engineer）【华为3Com认证网络互联专家】(HCIE:Huawei Certified Internetwork Expert)华为3Com认证高级网络工程师华为3Com认证网络互联专家华为3Com认证网络工程师【华为3Com认证网络工程师】(HCNE)主要定位于中小型网络的设计、实施与维护等方面。由构建中小企业网络一门课程组成，该课程包含网络基础、常见接口与电缆、以太网交换机、路由器原理、TCP/IP/IPX协议、广域301、网协议、路由协议、DDR/ISDN、访问控制列表、备份中心、简单网络故障排除等知识点，另外还提供了华为3Com系列路由器及系列交换机、网络规划设计等知识的介绍。通过相应的认证考试即可获得由华为3Com公司统一签发的“华为3Com认证网络工程师”（HCNE）的证书。推荐的培训推荐的考试 华为3Com认证网络工程师39110 98C6 飆q24013 5DCD 巍37855 93DF 鏟s26246 6686 暆S网为工程师考试构建中小企业网络【华为3Com认证高级网络工程师】（HCSE）主要定位于中大型园区网络的配置、维护及方案设计。由构建企业级路由网络、构建企业级交换网络、企业级网络方案设计三302、门课程组成。上述三门课程分别覆盖了路由、交换、VPN、安全特性、QOS、网络设计等全方位的部署园区网络所需的理论及实际设备配置维护方面的知识。“华为3Com认证网络工程师”在全部通过三门课程所对应的考试后可获得华为3Com公司统一签发的“华为3Com认证高级网络工程师”证书。构建企业级路由网络推荐的培训构建企业级交换网络 企业级网络方案设计第一步第二步推荐的考试华为3Com认证网络工程师企业级路由网络第三步企业级交换网络网络方案设计高级网络工程师考试或f38217 9549 镉34729 87A9 螩37939 9433 鐳23736 5CB8 岸26861 68ED 棭【华为3Com认证网络303、互联专家】(HCIE)主要定位于行业及运营级网络的设计、实施与维护。课程主要涉及MPLS/ATM/SDH/POS等运营级网络知识。培训均为单项课程，学员可以采用自学并结合难点科目培训方式进行学习。“华为3Com认证网络互联专家”的认证考试侧重于实际的运营方案设计和相应设备配置、维护能力的考核。“华为3Com认证高级网络工程师”在通过“华为3Com运营网络”考试后即可参加由华为3Com公司统一组织的实践考试。实践考试通过后即可获得由华为3Com公司统一签发的“华为3Com认证网络互联专家”证书。实践考试推荐的考试第二步华为3Com认证高级网络工程师华为运营网络MPLS原理及应用推荐的培训ATM原304、理及应用SDH/POS原理及应用 专项认证培训课程介绍:【华为3ComVoIP解决方案】课程涵盖语音路由器,Refiner1。5等华为3ComVoIP解决方案【华为3Com金融网络解决方案】课程阐述了全方位的金融网络解决方案，包括SNA，哑终端等【华为3Com企业接入解决方案】课程涵盖华为3Com企业接入路由器、接入服务器Refiner2。0等方面的知识【华为3Com网络安全解决方案】课程阐述了华为3Com关于网络安全的全面解决方案11.2.7 39641 9AD9 髙Z35707 8B7B 譻/38386 95F2 闲33305 8219 舙r22227 56D3 囓11.2.811.2.9305、 中高端路由器产品培训项目华为3COM公司培训中心中高端路由器用户培训的培训大纲,全面涉及华为3COM公司中高端路由器各类产品用户培训的详细内容，包括: 网络工程师培训 高级交换网络工程师培训 NetEngine16E&08路由器工程师培训 NetEngine80/40/20路由器工程师培训 Quidway S8512/S8016路由交换机工程师培训 Quidway S6506/6503路由交换机工程师培训 华为3COM认证网络工程师培训 华为3COM认证高级交换网络工程师培训具体培训项目的课程设置及课程描述参见本文附件中高端路由器产品用户培训大纲，其中“培训项目描述”中详细定义了每个培训项目306、的培训对象、入学要求、培训目标、培训内容、培训时长以及培训课程等，“课程描述”，说明了每个课程的培训目标、内容、对象、入学要求、培训方法、时长、最大学员人数等。11.3 本项目培训计划公司完全理解在本项目中对培训的要求,同时经过充分的了解与分析,对于此项目我们提供以下培训计划:l 现场培训；l 国内技术培训；11.3.1 现场培训在本系统集成实施过程中，我公司对用户方项目组技术人员提供软硬件设备的安装、维护及系统管理现场培训。包括软硬件设备安装、配置、诊断、管理、维护等方面的现场工作培训,并将做不少于5天的现场集中培训。11.3.2 国内技术培训21781 5515 唕38663 9707 震307、(35260 89BC 覼V23120 5A50 婐国内技术培训主要内容是本系统相关厂商提供的华为3COM网络、Neteye网络安全和防病毒软件操作培训。培训目标为使学员达到能够掌握相应的知识并能够进行相应的管理.具体培训内容如下：11.3.2.1 网络技术认证培训公司将为本项目的用户方网络管理人员提供2人次的厂商认证培训（HCSE）.（注:HCNE培训是HCSE培训项目的一部分)培训费用：免费具体培训课程如下:一、HCNE（华为3Com认证网络工程师）课程名称：网络基础知识培训1、培训目标：l 掌握网络通信的基本原理和TCP/IP协议原理.l 掌握路由器和以太网交换机的原理和配置方法。l 掌握广域网的原理、配置和维护。l 掌握路由协议的基本工作原理和配置方法。l 承担中低端路由器的日常维护工作。l 处理路由器的网络连接和软件配置方面的常见故障。2、培训课程课程编号课程名称课程总时长(工作日）40172 9CEC 鳬220888 5198 冘23567 5C0F 小33836 842C 萬32859 805B 聛22758 58E6 壦上机时长(工作日）HL001网络基础知识0.2HL002TCP/IP协议与子网规划0。3HL-003常