xx縣機關單位計算機網絡系統建設方案建議書XXXX 公司2016年 06 月目錄1 需求分析U.3U1.1 建設目標U. 3U2 設計方案U. 4U2.1 設計思路和原則 . .4U2.2XX院內網設計方案U .5U2.2.1 內網網絡結構U .6U2.2.2 設備選型依據U .7U2.2.3 各層次設計U .7U2.3 外網網絡方案設計U .21U2.3.1 外網DMZ區設計U .25U2.4 內外網出口防護統一解決方案VPNIPSFWU .25U2.5 內外網安全隔離和數據交換U .36U2.6 檢查院專網數據中心設計方案U .37U2.6.1 數據中心架構建設U . 37U2.6.2 思科數據中心方案優勢U . 45U2.7 整網信息安全設計建議U .47U2.7.1 設備級安全設計U .47U2.7.2 網絡級安全設計U .47U2.7.3 系統級安全設計U .49U2.8 IP語音系統方案建議U .55U2.8.1 平臺總體建議U .56U2.8.2 IP語音方案同傳統PBX的比較U.59U2.8.3 思科方案優勢U . 61U2.8.4 思科IP電話智能終端U .62U2.1 無線接入網絡設計U .630B1 需求分析2B1.1 建設目標xx縣機關單位信息化建設是是科技強檢的重要組成部分，也是檢察工作改革的重要內 容。信息化建設是一項技術要求較高的系統工程，所以 xx縣機關單位在信息化建設中要注重經 實用、高效，高起點建設，高水平設計，高技術配置。對于信息化的建設基礎網絡起著 至關重要的作用，基礎網絡的設計規劃將決定著未來科技信息化的整體框架，所以基礎 網絡的高標準要求將至關重要。xx縣機關單位在信息化建設要樹立“規范統一”的思想，在局域網建設、專線網建設上， 統一規劃、統一技術標準、統一規范、統一管理，做好協調、配合工作，力求建設規范 有序、高效率。不重復、不浪費，運轉良好、快速、保密。目前 xx縣機關單位的機構設置日趨完善，部門之間職責范圍的劃分更加科學、合理、規范， 基本適應了社會發展和形勢任務的需要。近期我院將遷移至新址辦公，進一步改善業務 處理能力和提高辦公效率，以貫徹“科技強院”的工作方針。為了按照“積極建設，重在應用”的工作思路，我院將在新址大樓構建一個新的高 效辦公信息化網絡平臺，以實現了對內與職能管理相結合、對外與司法公信力建設相結 合。1B2 設計方案3B2.1 設計思路和原則（1）網絡信息化建設總體原則市 xx縣機關單位信息化建設的指導方針是：統籌規劃，規范標準，深化應用，注重效益，安全 保障。網絡信息系統建設還要遵循以下基本原則：通盤考慮原則：站位要高，從業界發展的趨勢入手，按照科學的設計框架，兼 顧成熟性和先進性，通盤考慮信息系統網絡的各級建設；投資保護原則：要充分考慮與現有資源整合，實現投資保護；安全性原則：在網絡設計中充分考慮安全因素，從各個層面充分考慮網絡安全、 系統安全、信息安全的規劃和設計。從而對 xx縣機關單位提供一個相對安全的系統平臺。可擴展性原則：網絡不僅要滿足近期的需要，還要前瞻性的考慮業務需求的增 長和業界發展的總體趨勢，在需要的時候可以平滑升級；能夠平滑支撐 IP 語音、視頻應用的融合和部署。可靠性原則：鑒于 xx縣機關單位的重要職能和對信息及時性的較高要求，信息網作為 支撐整個系統運行的基礎實施必須非常可靠；所采用的產品和技術必須具有一 定程度上成熟可靠性。網絡必須具備高安全性和高穩定性。整個網絡應有足夠的冗余備份設計，包括鏈路冗余、設備冗余、模塊冗余和數據冗余備份等，提高網絡的容錯能力，減少單點故障。經濟性原則：在完成預定功能的情況下，結合實際信息化程度采用最為經濟有 效的方案，盡量節約項目投資；創新性原則：在設計和建設過程中積極開拓思路，不墨守成規，創造性地解決 問題；系統結構設計、系統配置、系統管理方式等方面采用國際上先進同時又是成熟、實用的技術。共同建設原則：為保證項目的成功，需要處理好與省 xx縣機關單位專網和下屬單位互 聯網絡的關系。xx縣機關單位新網絡建設后要能夠為院工作的智能化、自動化提供一個高可靠、高性能的信息 平臺，徹底改善辦公、辦案條件，為完成日益繁重的工作任務提供了強有力的物質保障。（2）網絡信息化建設總體思路市 xx縣機關單位新網絡共分為內網和外網兩套物理隔離網絡，專網用于 xx縣機關單位 OA 辦公應用和上下級單位業務專網互聯，外網用于日常互聯網訪問等業務。內部網絡平臺是承載整個公檢法 網絡信息系統運行的硬件平臺，承載業務較多，QoS 服務質量和網絡安全要求很高。網絡規 劃設計要保證能與現有網絡兼容并對接，確保網絡功能有效實施。同時 xx縣機關單位內網需要與上 下級 xx縣機關單位內網互連，與外部網絡實行物理隔離，要求能夠滿足整個大樓各個辦公室之間高 速、安全、保密的信息交互與內部信息發布和數據共享，能夠滿足現有和未來發展的政法信 息服務和內部辦公自動化的要求，形成一個智能化綜合信息平臺，可整合廣播、數據、視頻、 監控等應用，實現多網合一的高效辦公網。網絡區域將對業務區域進行的合理劃分、管理、 安全以及與廣域網網絡的鏈接規劃，同時也設計對部分區域的無線訪問解決方案。外網網絡結構本著經濟、簡單、安全、邏輯性、擴展性強的原則進行設計。網絡核心交 換機采用單臺設計，要求具有較好的擴展性以及高穩定性、高性能特點。考慮到外網數據流 量模型主要用于桌面終端到互聯網的訪問特點，整體網絡采用千兆光纖骨干(接入核心)， 百兆桌面接入的方式，考慮到外網每個配線間信息點較少，接入交換機可采用級聯方式連接 中心機房。公網出口能夠提供獨立的安全防護邊界，除了提供外網安全防火墻功能外還可對 外提供 IPSEC VPN 和 SSLVPN 訪問功能。要將網絡可能存在的風險隔離到最小的區域。對外 的網絡出入口需要有足夠的網絡安全手段，例如防止病毒、垃圾郵件攻擊等。4B2.2XX院內網設計方案根據院建筑設計結構圖（A、B 兩個樓體中間通過聯體相連），結合先進的以太網技術特 點以及辦公應用在數據訪問流量方面的特點，內網總體網絡結構采用扁平化層次化結構，通 過接入層設備直接連接核心的兩層架構，保證網絡的最優化設計，提供最小的數據交換延時 和最高的吞吐帶寬。核心采用冗余設計，考慮統一集成安全方案，實現對內網重要區域和應 用系統的隔離和防護，對網絡流量能夠提供硬件智能檢測分析，圖形化管理。樓內內網主干 網絡采用萬兆光纖以太網技術，核心和接入通過多模萬兆光纖介質互連。按照信息點密度的 不同將每 2/3 層信息點集中在一個樓層內形成樓層配線間，每個配線間設備直接雙連接到骨 干核心交換。內網網絡終端采用千兆以太網技術，提供至少 1000M 交換到桌面的接入方式。 各配線間接入層設備為了減少單點故障和鏈路性能瓶頸的因素，建議萬兆直連到核心。12B2.2.1 內網網絡結構市 xx縣機關單位內網基礎網絡架構如下圖所示：對于核心交換層和接入層的網絡設備功能描述如下：1. 核心層：提供高速的三層交換骨干思科 6509E 旗艦級萬兆多業務智能路由交換平臺 核心層不實施影響高速交換性能的 ACL 等功能。 核心層能夠提供很好的多業務并發處理能力。 核心層應提供對網絡的感知和自愈能力，如能夠根據設備狀態或鏈路質量進行自愈(IP SLA). 核心層做為數據交換中心，除了提供高性能高可靠的平臺外，還提供集成安全、應用加速、語音視頻優化等多業務處理。2. 接入層：提供 Layer 3 的網絡接入，思科 3560E 萬兆全三層智能路由交換機 接入層設備能根據實際使用情況具有邏輯隔離功能，具有相對獨立性和擴展性； 接入層能夠實現對各種終端的智能識別； 接入層設備能夠很好的隔離二、三層攻擊 接入層設備能夠支持 QoS、組播、限速等業務處理能力。 本功能區 VLAN 間的路由. 各功能分區 IP 地址或路由區域的匯聚. 部署功能區內、功能區之間的安全訪問策略 如 ACL 等。 能夠隔離來自接入終端的不安全隱患，如 ARP 攻擊、地址盜用等。3. 核心路由：作為廣域網匯聚 思科 7600 萬兆智能路由平臺 提供各種廣域網接口類型，支持萬兆平臺 高密度端口接入能力，匯聚各地市單位上聯鏈路。 集成多種硬件服務功能，并發處理各種網絡服務。 具有極高的可靠性和應用廣泛性。 能夠實現對鏈路狀態智能識別，能夠完成自愈管理。 支持各種路由協議，設備可靈活擴展和升級。13B2.2.2 設備選型依據網絡系統是日常業務和各種應用系統的基礎設施，應保證工作日和重點時期不間斷運 行。整個網絡應有足夠的冗余，設備在發生故障時能以熱插拔的方式在最短時間內加以修復。 可靠性還應充分考慮網絡系統的性價比，使整個網絡具有一定的容錯能力，減少單點故障。關鍵設備如核心和匯聚應該具有智能網絡分析和自愈能力，能夠在自身或網絡發生問題 的時實現自動修復和保護能力。網絡設備應該選用國際知名廠商，同時要求產品廠家具備短期響應的能力，能夠提供專 業的售后支持服務，以保證在設備發生故障的情況下能夠在最短的時間內為用戶解決問題。 產品的備板、備件也要較為充足，以保證在用戶硬件出現問題時能夠及時更換，保護用戶原 有投資。結合 xx縣機關單位信息化平臺的建設思路，網絡設備的選擇需要考慮整體方案的完整性和擴展 性，思科做為全球網絡方案的提供商，其產品和解決方案都是業界最完善和優質的，其有線 網絡、無線網絡、IP 語音通訊、IP 視頻通訊的統一解決方案處于業界絕對領先水平，其產品 品質、品牌信譽和產品生命力都是毋庸置疑的。14B2.2.3 各層次設計25B2.2.3.1 核心交換層設計核心層不僅擔負著院內部各系統之間的高速數據交換，同時也是整個 xx縣機關單位業務服務的 數據核心，在進行核心層設計時必須強調大容量的交換性能和高可靠性，同時也要考慮到數據中心的功能要求和業務擴展能力。因此我們采用雙核心結構構建設市 xx縣機關單位網絡核心層。我們在核心層設計時，充分考慮了系統的擴展性和成本投入高效性，故我們提出兩種核心架 構的解決方案。我們推薦核心交換機采用兩臺思科旗艦型高性能交換機 Catalyst 6509，通過萬兆鏈路相 連，組成整個 xx縣機關單位內網的核心，核心層與匯聚層之間采用雙千兆光纖鏈路，構成具有高轉 發能力和高可靠性的網絡骨干。在核心層選擇思科旗艦型交換產品 6509 除了其高性能和高穩定性之外，我們主要是考 慮到部署 6509 交換機可以將整個內網核心設計成一個統一、高效、智能的業務綜合服務平 臺和數據中心。思科的 6509 交換機可以提供：1.高密度線速萬兆端口為數據中心提供高性能平臺2.高可用性 軟件系統模塊化、業務系統智能感知、自我診斷和自我修復3.多業務處理平臺可集安全防御、負載均衡、應用加速、業務虛擬化等高性能處理模塊為一體，簡化網絡結構提高運維效率。4.系統虛擬化核心完全虛擬化成單一邏輯中心，減少由于網絡設備變化、配置變化等導致的網絡恢復和管理時間，進一步提高系統性能和穩定性。核心交換機對于整個網絡來書是非常重要的，我們利用思科公司的旗艦型核心交換機領 先的技術特性VSS (虛擬交換系統)技術，將核心建造成一個虛擬化高效的平臺。核心兩臺 6509 通過 VSS 技術 形成一個萬兆核心，對于用戶管理和接入層設備完全是一個邏輯單元，具有一個 IP 管理和 MAC 地址的特點。可以提高整體性能和可用性，如可以 減少由于部署二層網關協議 VRRP 或 HSRP 進行主備切換是的網絡終端問題等。26B2.2.3.2 服務器區設計關鍵業務服務器直接通過兩條千兆鏈路連接兩臺核心交換機，這兩條鏈路捆綁，這樣不 但可以充分利用 VSS 的功能，兩條鏈路捆綁，性能加倍且可靠性高，無需服務器和系統的額外協議支持。而且直接連接核心交換機，服務器可以更高效率和性能的提供服務，因為服務器交換機的上聯只有 2 個或者 4 個千兆，而這樣，單臺服務器就可以有 2 個千兆的上聯性能。 在服務器區域分為多個子網，子網的劃分可初步按照業務應用情況和數據庫與其他應用服務器分開相結合的設計來考慮服務器區域子網的劃分，劃分子網可以減少廣播風暴而且還 可以利用訪問控制列表 ACL 部署相應的策略提高服務器區域的安全性。27B2.2.3.3 接入層設計接入層是網絡的接入邊界，負責將各種終端連接到網絡中去，同時需要高速向上連接核 心交換設備。接入層需要規范網絡訪問行為，在網絡的訪問功能和管理功能中具有重要的作用。 接入交換機采用思科高性能 3560E 萬兆三層路由交換機，提供全千兆多層交換接入萬兆上聯能力的交換機，支持硬件組播處理，單機能處理多達 1000 多個組播項，對于未來開展 組播業務提供非常高效可靠的平臺。另外思科 3560E 還完全支持硬件 Ipv6 和 MPLS 的處理 能力，對未來業務增值服務提供有效保障。通過 3560E 的端口高性能 ASIC 芯片可以將入口 速率限速精度提高到 8kbps，為 QoS 和病毒防治提供了很好的硬件處理能力。做為接入層設備除了能夠承上啟下提供高性能鏈路樞紐之外，還能夠提供各種業務處理 和安全管理功能：高級安全特性：接入交換機支持 802.1x、訪問控制列表(ACL)、Secure Shell(SSH)協議、動態 ARP 檢測(DAI)、源 IP 防護和專用虛擬 LAN(PVLAN)等安全特性，可增強網絡中的控制能力和靈活性。通過有選擇地或全部實施上述特性，網絡管理員可防止對于服務器或應用的未 授權訪問，允許不同的人能以不同的許可權來使用同一 PC。基于硬件的組播：支持 PIM（密集和疏松模式）、IGMP。高級 QoS：集成的基于第二到四層的 QoS 和流量管理功能，在 32000 個 QoS 策略條 目的基礎上，對關鍵任務和時間敏感型流量進行了分類和優先排序。匯聚層交換機可以利用 基于主機、網絡和應用信息的入口和出口策略控制器機制，對高帶寬流量進行整形和速率限制。全面的管理：交換機為所有端口的配置和控制提供了基于 Web 的管理功能，因而可以集中管理重要網絡特性，如可用性和響應能力等。接入層集成安全特性：在接入層完全杜絕第二層安全問題 由于任何用戶都可以訪問任何以太網端口，而且可能成為潛在的黑客，因此，開放園區網不能保證網絡安全性。因為 OSI 模型允許不同通信層次在相互不了解的情況下配合工作， 所以第二層安全性至關重要。即使某個層次遭到攻擊, 網絡安全特性遭到襲擊，其它層次也 可以不受影響。通信可以照常進行，任何用戶都意識不到其應用層信息曾遭到過襲擊。第二層交換環境一般部署在配線間中，很容易成為安全襲擊目標。第二層最常見的安全 威脅之一，也是最難檢測到的威脅之一，是旨在使網絡癱瘓，或者盜取密碼等網絡用戶的敏 感信息的網絡襲擊。這些襲擊將非法利用正常協議處理，例如，交換機通過地址解析協議（ARPRFC 826）或動態主機控制協議（DHCP）服務器 IP 地址分配來學習 MAC 地址，執行 終端工作站 MAC 地址解析等。常見的第二層安全威脅 隨著互聯網上基于菜單的黑客工具的流行，發動安全襲擊需要的技能越來越少。最常見、破壞力最大的襲擊包括：MAC 地址泛洪DHCP 服務器欺騙利用 ARP 發動的“中間人” 襲擊IP 主機欺騙值得重視的是，雖然使用 IEEE 802.1x 和訪問控制列表等驗證和安全特性是網絡威脅防御策略的重要組成部分，但不能預防上述第二層安全襲擊，因為通過驗證的用戶仍有可能具 有惡意襲擊傾向，從而容易地發動上述襲擊。利用交換機集成式安全特性，可以輕松地預防這些常見的第二層安全威脅。各種威脅和防止網絡遭受襲擊的安全特性如下：U(1)MAC 地址泛洪MAC 地址指主機設備的物理地址。交換機的正常行為是在地址表中填寫每個到達包的源地址和端口。去往未知目標 MAC 地址的幀由 VLAN 上的每個端口發出。這就是交換機或 橋接器在第二層執行轉發、過濾和學習機制的方法。交換機具有固定的內存空間存儲 MAC 地址。試圖造成該表泛洪或溢出的襲擊將利用交換機內的在 MAC 地址學習功能和轉發行為。這種襲擊將利用這種自然硬件限制，向交換機發送海量未知 MAC 地址，讓交換機學習。 但是，一旦達到了第二層轉發表的極限，包就會泛洪到 VLAN 的所有端口，使黑客能夠通過 交換網絡盜取網絡連接，進而破壞網絡性能。預防端口安全特性是一種動態特性，可用于限制和識別允許訪問同一物理端口的站點的MAC 地址。當某端口分配了安全 MAC 地址，或者動態學習完成之后，端口將禁止轉發該源 地址范圍之外的包。通過端口安全特性限制交換機端口上允許的 MAC 地址的數量，有助于 防止網絡遭受 MAC 地址泛洪襲擊。U(2)DHCP 服務器欺騙和中間人襲擊網絡襲擊者通常使用惡意 DHCP 服務器發出 IP 主機地址，并將其作為默認網關，在兩個端點之間重新轉發正常流量，從而竊取這兩個端點之間的所有流量。因此，這種襲擊也稱 為中間人襲擊。預防: DHCP 監聽所有第二層端口都可以支持思科已獲專利的 DHCP 監聽特性。該特性能夠為合法 DHCP服務器規定可信端口，使之接發這些服務器的 DHCP 請求和信息。截獲 VLAN 中的所有 DHCP 消息后，交換機可以作為用戶與合法 DHCP 服務器之間的小 型安全防火墻。U(3)基于地址解析協議（ARP）的中間人攻擊 地址解析協議（ARP）的最基本的功能是允許兩個站點在 LAN 網段上通信。攻擊者可能會發送帶假冒源地址的 ARP 包，希望默認網關或其它主機能夠承認該地址， 并將其保存在 ARP 表中。ARP 協議不執行任何驗證或過濾就會在目標主機中為這些惡意主機 生成記錄項，從而提高了網絡易損性。目前，惡意主機可以在端點毫不知情的情況下竊取兩 個端點之間的談話內容。攻擊者不但可以竊取密碼和數據，還可以偷聽 IP 電話內容。預防: 動態 ARP 檢測這種攻擊可以通過已獲專利的思科安全特性動態 ARP 檢測（DAI）有效預防，這種方法能夠保證接入交換機只傳輸“合法”的 ARP 請求和答復。DAI 能夠截獲交換機上的每個 ARP 包，檢查 ARP 信息，然后再更新交換機 ARP 高速緩存，或者將其轉發至相應的目的地。 U(4)IP主機欺騙IP 地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個地址，或者通過程序執行地址欺騙。互聯網蠕蟲可以使用欺騙技術隱藏攻擊原發地。預防: IP 源防護利用 IP 源防護特性，攻擊者將無法冒用合法用戶的 IP 地址發動攻擊。該特性只允許轉發有合法源地址的包。28B2.2.3.4 出口路由層設計在市 xx縣機關單位內網廣域網出口位置部署一臺思科萬兆電信級多業務路由器，該核心路由器 處于網絡的出口的核心位置，是市檢查院廣域網互聯平臺系統業務的集中匯聚點，負責上聯 省院下聯縣級單位，承擔及實現整個廣域網絡數據的處理與轉發，所以它的可靠性和穩定性 是整個備份網絡良好運行的關鍵。因此，在選用網絡核心主干層設備時應該考慮到設備的實 用性、成熟性、先進性、可靠性、擴展能力以及安全性等方面。我們此次選用了思科電信級 的核心路由器 7600 做為省高法核心業務路由器，該路由器標準配置了 8 個 1000M 端口用 于連接縣級下屬單位和與其他網絡設備互聯，該核心路由器除了具有大規模應用案例及良好的用戶口碑之外，還具有以下特點：z提供豐富的業務高品質 QoS 能力，是網絡業務的重要技術基礎。核心路由器要能實現智能業務感知， 提供先進的隊列調度算法、SARED 擁塞控制算法，精確保證不同業務的帶寬、時延和抖動， 滿足不同用戶、不同業務等級的“區分服務”要求。核心路由器對多種業務提供硬件處理能力，具備高性能的業務能力，提供全面的 MPLS VPN 業務，能作為高性能 P/PE 應用，提供高品質、安全和多層次的 MPLS VPN 解決方案；提 供高性能組播能力。該設備支持各種類型廣域網口（POS/CPOS 和 E1），具備硬件處理多業務的能力，標準 配置就可提供流量統計(Netflow)、QoS、MPLS、IPv6、NAT 等專用硬件處理芯片，還可以通 過選配各種安全服務模塊實現安全隔離(防火墻、入侵防護、VPN)、應用加速等。z路由處理能力此次市級節點核心路由器采用單機雙引擎、雙電源配置，整機性能達到 32Gbps，同時 建議再配置一個 24 個 1000M 光纖三層以太網接口，用于擴展連接其他和設備。同時整機具 有萬兆擴展能力，未來可僅通過平滑升級引擎將整機性能提升至少 20 倍。路由協議方面完 全支持 RIP、OSPF、BGP、ISIS 等單播路由協議和 IGMP、PIM、MBGP、MSDP 等多播路由協 議，支持路由策略以及策略路由。對與組播和 IPv6 的高級應用實現完全硬件處理，保證多 種業務的綜合處理能力。29B2.2.3.5 子網劃分VLAN（Virtual Local Area Network）又稱虛擬局域網，是指在交換局域網的基礎上，采 用網絡管理軟件構建的可跨越不同網段、不同網絡的端到端的邏輯網絡。一個 VLAN 組成一 個邏輯子網，即一個邏輯廣播域，它可以覆蓋多個網絡設備，允許處于不同地理位置的網絡 用戶加入到一個邏輯子網中。使用 VLAN 具有以下優點： 控制廣播風暴和基于鏈路層的攻擊一個 VLAN 就是一個邏輯廣播域，通過對 VLAN 的創建，隔離了廣播，縮小了廣播范圍， 可以控制廣播風暴的產生，并把基于數據鏈路層的攻擊限制在所屬 VLAN 中，。提高網絡整體安全性通過路由訪問列表和 MAC 地址分配等 VLAN 劃分原則，可以控制用戶訪問權限和邏輯網段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網絡的整體性能和安全性。網絡管理簡單、直觀 對于交換式以太網，如果對某些用戶重新進行網段分配，需要網絡管理員對網絡系統的物理結構重新進行調整，甚至需要追加網絡設備，增大網絡管理的工作量。而對于采用 VLAN 技術的網絡來說，一個 VLAN 可以根據部門職能、對象組或者應用將不同地理位置的網絡用 戶劃分為一個邏輯網段。在不改動網絡物理連接的情況下可以任意地將工作站在工作組或子 網之間移動。利用虛擬網絡技術，大大減輕了網絡管理和維護工作的負擔，降低了網絡維護 費用。在一個交換網絡中，VLAN 提供了網段和機構的彈性組合機制。市檢查院 VALN 劃分原則為：數據中心和每個處室分別為一個 VLAN。VLAN 間的訪問規 則通過接入層交換機實現。30B2.2.3.6 路由設計對于規模較大的網絡，選擇一個合適的路由協議非常重要。路由協議包括兩類：靜態路 由協議和動態路由協議。市檢查院專網路由協議的選擇從管理和技術兩個方面綜合考慮，路由協議選擇的基本原 則是：1、管理層次分明，局部的路由變動不影響上層路由配置和全局路由配置；2、路由技術的應用盡量簡單、靈活，以提高路由器的處理效率。 市檢查院專網考慮到其網絡結構簡單、穩定，線路可靠等因素，市檢查院專網采用靜態路由協議，并在適當位置進行手動路由匯總。31B2.2.3.7 網絡管理設計配置一套智能化網絡管理平臺，在統一設備資源和用戶資源管理的平臺框架的基礎上， 實現的基礎業務管理平臺，包括基礎網絡管理和基本接入管理。基礎網絡管理，涵蓋了傳統 網管的主要功能，包括告警管理、性能管理、拓撲管理等。基本接入管理，主要管理用戶的 接入準入和控制。智能網絡管理平臺和 ACL、Qos、VLAN 等網絡資源管理一起構成了承載其他業務的基礎 平臺。網絡管理是網絡組建中不可缺少的重要組成部分。一個良好的網絡管理系統可以幫助用 戶在很大程度上優化網絡結構、預防和及時排除故障，減少網絡的維護費用。針對網絡的具體情況，我們建議采用 CISCO WORKS2000 管理工具集 CiscoWorks2000 是基于 Internet 的網絡管理工具，它將傳統路由器和交換機管理的最佳功能與基于 Web 的最 新技術于一體。既充分利用了現有工具和設備中內置的管理數據，也為快速發展的大型網絡 提供了新型網絡管理工具，盡管它是 CISCO 的產品，但卻能與多廠商管理工具結合使用。思科智能網絡管理平臺 Cisco Works LMS 的基本資源管理管理特性主要包 括：一、網絡資源管理-RME要管好任何規模的網絡，首先應掌握本網絡系統內的各種資源，包括路由器、交換機等硬件設備和這些設備所運行的軟件（IOS）和配置文件。這就需要 Resource manager Essentials（RME），它包含在 CiscoWorks2000 的 LMS 工具中。RME 是基于 Web 的網管工具，用于管 理路由器、訪問服務器和交換機。RME 的瀏覽器界面允許網管員很容易的收集關系到網絡 可用性和可靠性的信息，從而簡化了網管工作中大量費時的管理任務。RME 包括了幾個主 要的應用程序：（1）庫存管理（Inventory） 網管員可用此程序收集網絡中網絡設備的分布狀況和詳細的軟、硬件配置清單。RME通過內 置的網絡設備配置查詢功能，可以定期掃描網絡中的每臺Cisco網絡設備，讀取其配置信息， 這些配置信息被存儲在一個中央管理數據庫中，有了這個全網設備的配置數據庫，網管員 就可以準確了解到網絡中所有設備的配置狀況，并及時發現配置的變更情況。（2）軟件管理RME中有一個Software Management管理模塊，能針對一臺或多臺Cisco網絡設備進行自動的操作系統升級。管理員只需簡單地設置好需要升級的操作系統版本和升級時間，RME就可以自動地幫助管理員對大批量的Cisco網絡設備進行IOS升級，如在升級過程中出現故障或錯誤還可以向管理報警，這也降低了網管員的工作強度，降低了維護成本。（3）配置管理 從網絡設備中讀取配置文件并歸檔；設備存儲的配置文件與設備當前運行配置文件的比較，自動找出差別；可先在網管機上面編輯配置文件，再將編輯好的配置文件發送給網絡 設備，免去了現場配置的麻煩。（4）變化審計服務 可生成針對設備變更的記錄報表，檢查網絡中所有設備變化，配置修改、設備軟件的變化情況，將報表轉存為文本文件輸出。（5）系統日志（syslog）分析將庫存設備發送給網管機CW2000的syslog信息生成報表，將報表轉存為文本文件輸出。（6）可用性管理 可報告設備的可達性、接口狀態、和反應時間等信息，并可重點監視關鍵設備可用性。二、網絡資源監控-CiscoViewCiscoV iew 是一個基于圖形化的設備管理應用軟件，它包含在 LMS 工具中，為 Cisco 的 交換機、路由器提供動態的狀態、統計以及全面的配置信息。CiscoV iew 以圖形方式顯示 Cisco 設備的物理視圖。而且，這種基于 SNMP 的網絡管理工具還提供針對單個端口或整個設備的 監控功能和基本的故障診斷功能。由于 CiscoV iew 將 CISCO 設備以圖形化方式顯示，網管員 可更直觀的了解網絡設備產生的大量管理數據，諸如設備性能、信息流、使用率、收發的幀、 錯誤和其它設備狀態指示等關鍵信息與數據，這些都可以是圖形化實時監控與跟蹤；能夠進 行配置更改，如陷阱、IP 路由、VLAN 和橋接配置；CiscoV iew 中有閾值管理程序，使網管員 能夠在預定義情況發生時定義告警條件和監控程序，這樣就降低了管理開銷并縮短了排除故 障的時間。三、網絡性能監視-IPMIPM（InternetWork Performance Moniter）可監視并分析網絡響應時間和可用性。網管員應及時掌握網絡的健康狀況和使用情況，通過 IPM，網管員不必坐等發生故障后再去救火， 而可以主動解決網絡響應時間的利用率上的問題，給用戶提供實時和歷史數據的報告。利用 IPM，可以使 CiscoWork2000 管理從 VPN 到廣域網的所有網絡環境；IPM 采用基于 JAVA 的技 術，提供 Web 管理接口，管理人員和普通用戶都可以通過 Web 瀏覽器查看響應時間和網絡 可用性的各種信息；IPM 可以輸出日報、周報、月報，IPM 支持多個用戶同時對 IPM 服務器進行訪問。I n t e rn e t w o rk P e r f o r m a n c eM o n i t o r 生 成 的 網 絡 延 時 統 計 報 告 25 四、網絡故障管理-DFM當網中出現影響業務正常運行的故障時，DFM 能及時監測到故障的發生，并根據故障對網絡業務的影響程度向有關的網管中心發出實時的故障報警。網絡管理員在收到報警后應 能迅速定位和分析出現故障的準確位置，并可根據故障管理系統的指引找出故障的解決方 案。五、園區網管理- Campus ManagerCampus Manager(CM)的主要功能是：建立局域網的二層拓撲圖(CDP 自動拓撲發現要嚴格限定在局域網內)； VLAN 管理：在實際環境中通過 VLAN 管理功能實現局域網的 VLAN 管理。 路徑分析管理：通過此功能分析兩個 IP 節點之間 IP 流量穿越的第二層路徑和第三層路徑，將顯示結果與實際狀況加以比較。 用戶跟蹤管理：通過此功能顯示所有的終端節點（即所有具有 MAC 地址并接入網絡中的 PC、服務器、打印機、IP 電話等），在顯示結果表格中通過 MAC 地址、IP 地址、VLAN 等 信息尋找主機。一般來說，網絡管理提供的是一種服務，它通過一系列的工具、程序和設備，幫助 管理人員監視和維護網絡運行，以及為網絡系統的規劃提供網絡層和應用層的可靠數據。在 日常的網絡管理過程當中，經常包含下面三個過程：安裝配置和更改配置、網絡監視和故障 診斷、網絡設計和優化。網絡管理提供的不只是一個網絡管理平臺，而是基于全線網絡設備的一系列系統管 理軟件。網絡管理系統必須實現比如設備面板監控、配置管理、設備軟件升級管理、QoS 服務質量管理等，以及許多現代網絡中必備的技術管理，如 VLAN 管理、訪問控制管理等功 能。為用戶提供強大的網絡管理、分析和規劃手段。5B2.3 外網網絡方案設計外部網絡連接主要有 Internet 連接專線、1 個外部服務器網絡。所有網絡使用防火墻連 接到內部核心交換。防火墻上分有內部、DMZ、外部、等多個區域。外網網絡結構本著經濟、簡單、安全、邏輯性、擴展性強的原則進行設計。網絡核心交 換機采用單臺設計，采用一臺思科 4500E 做為外網交換核心，思科 4500E 具有較好的擴展性 以及高穩定性、高性能特點。采用了 CenterFlex 技術的 Cisco Catalyst 4500 系列交換機能 夠通過安全、靈活、不間斷的通信，提供可以擴展的無阻礙 L2L4 層交換，從而保障關鍵業 務應用的永續性。由于 Cisco Catalyst 4500E 能夠提供先進的動態服務質量（QoS）功能和配 置靈活性，因而能提供可以預測和擴展的高性能。硬件和軟件中的集成式永續特性有助于提 高網絡可用性，以提高勞動力的生產率和。Cisco Catalyst 4500E 創新、靈活的集中式系統設 計有助于順利遷移到線速 IPv6 和萬兆以太網。 Cisco Catalyst 4500E 的靈活性、可擴展性以 及向前和向后兼容性，延長了部署周期，提供了卓越的投資保護，并降低了總體擁有成本。 性能：Cisco Catalyst 4500E 提供的高級交換解決方案不但能隨著端口的增加擴充帶寬，還采用了業 內領先的應用專用集成電路（ASIC）技術，能夠提供線速 L2-L3 10/100 或千兆交換能力。由于 L2 交換提供模塊 化管理引擎靈 活性和全面的 線路卡兼容性 ，因而能將性 能擴展到 280Gbps 和225Mpps。 為關鍵業務應用提供帶寬保護：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎 時，將不會降低轉發性能，Cisco Catalyst 4500 系列平臺將繼續以完全線速轉發。 端口密度：4506E 單機箱最多能夠滿足 244 個以太網端口的網絡組件連接要求。Cisco Catalyst 4500 系列支持萬兆以太網上行鏈路端口，支持高密度千兆以太網到桌面部署和交換機到交換機應用。 Cisco Catalyst 4500 系列的可熱插拔、易于使用的模塊化交換解決方案不但能降低復雜性，還能容 易地支持當今網絡中不斷變化的桌面環境。 功能上透明的線路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系統就可以容易地將所有 系統端口升級到更高交換功能。與遷移過程中需要執行全面設備升級的傳統交換產品不同，該系統 不需要更換老線路卡和布線就可以增強所有系統端口的功能。這種架構優勢延長了 Cisco Catalyst4500 系列線路卡的有用部署時間。 高級安全性：在 Cisco Catalyst 4500 系列上支持多種安全特性，例如 802.1x、訪問控制列 s 表（ACL）、安全 Shell（SSH）協議、單播 RPF（uRPF）、端口安全性、動態 ARP 檢測（DAI）、IP Source Guard、控制平面限速、802.1x 不可訪問認證回避、802.1x 單向控制端口、MAC 認證回 避、多域認證和專用虛擬局域網（PVLAN），以便增強網絡控制和靈活性。如果有選擇地或者全部 采用這些特性，網絡管理員不但能防止非法訪問服務器或應用，讓不同的人用不同的權限使用同一臺 PC，還能防止網絡入侵者通過盜竊用戶名和密碼訪問交換機，或者防止出現有意或意外廣播風 暴。 基于硬件的組播：獨立于協議的組播（PIM）、密集模式和稀疏模式、互聯網小組管理協議（IGMP）、 組播偵聽器識別（MLD）偵聽和思科組管理協議支持基于標準的經過思科技術增強的高效多媒體網 絡，而且不會降低性能。 可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 產品線的支持，提供的創新工具能夠集中管理主要網絡特性，例如可用性、響應能力、永續性和安全性，以便建立智能交換基礎設施。通用 模塊化 QoS 命令行界面（CLI）不但能簡化策略流量圖的創建，還能為大、小型 Cisco Catalyst 交換機提供一致的界面。網絡運作可以通過基于 Web、GUI 和 CLI 的靈活管理方式得到增強。最重要 的是，每臺 Cisco Catalyst 4500 系列交換機都有思科服務和支持解決方案作后盾。 千兆到桌面：Cisco Catalyst 4500 系列已經提供了很多 1000Mbps 桌面和服務器交換解決方 案。利用 為 Cisco Catalyst 4500 系列開發的 48 端口和 24 端口三速 自 適應、自 協 商10/100/1000BASE-T 線路卡，千兆解決方案的范圍很容易擴展到桌面。三速 48 端口和 24 端口模塊，再加上自適應技術，能夠提供 局域網 投資保護，因為在未來，快速以太網桌面無需更換線路 卡就能遷移到千兆以太網。考慮到外網數據流量走向全部是由桌面終端到互聯網出口的訪問特點，所以此次外網結 構采用千兆光纖骨干(接入核心)百兆桌面接入的方式，考慮到外網每個配線間信息點較 少，接入交換機可采用級聯方式連接中心機房。如下圖所示：公網出口能夠提供獨立的安全防護邊界，通過一臺思科統一安全平臺 ASA 5520 提供綜 合安全防護，在提供地址翻譯、防火墻安全隔離的功能外，還可以提供 IPSEC VPN 和 SSLVPN 公網訪問接入功能。另外再在防火墻隔離出 DMZ 區連接外網應用服務器，實現內外訪問的 安全區域劃分。同時為將網絡可能存在的風險隔離到最小的區域建議在 ASA5520 上增配安 全網關模塊實現對病毒、垃圾郵件攻擊的防護。在外網接入層設備選型上，考慮到必須具有足夠的端口密度，同時還要有一定的智能訪問控制能力，在整個網絡安全體系中構建設第一道安全屏障。我們建議采用思科 Catalyst2918 系列交換機，其采用簡體中文的設備面板和圖形化界面，以特優的性價比，為級配線 間提供桌面快速以太網和千兆上行網絡連接。Cisco Catalyst 2918 系列通過提供標準安全策略、服務質量(QoS)和可用性功能，降低了網絡總體擁有成本。1. 安裝和配置中文快速設置Smartports 和 Smartports AdvisorDHCP AutoInstall (IP 地址，配置文件，IOS 鏡像)配置更換，能回退配置更改使用思科發現協議，發現鄰近設備通過 Telnet 和控制臺接入用戶熟悉的 Cisco IOS 命令行界面Cisco Smartports.Cisco CatalvstCisco Smart.EQoS.Cisco CaIystWeb-HTML2.2918物理層面的保護電纜破損或卷曲時域反射計 (TDR)沿電纜檢測故障發生點。這是第一道防線。電纜只能成功單向傳輸單向鏈路檢測 (UDLD