目錄1 概述 11.1 校內網建設背景 11.2 旅游職業學院校內網建網需求分析 2 一般建網需求 2 旅游職業學院建網需求 31.3 整體建網原則 32 總體網絡設計 42.1 網絡拓撲設計 42.2 核心層設計 52.3 匯聚層設計 62.4 接入層設計 73 網絡業務設計 103.1 IP地址規劃 10 IP地址安排原則 10 IP地址規劃方案 113.2 VLAN的劃分 11 劃分VLAN的必要性 11 劃分VLAN的方法 13 VLAN規劃 144 網絡管理方案 164.1 網管系統需求 164.2 統一網管設計 164.3 iMC智能網管平臺 20

概述校內網建設背景我國互聯網事業正在持續快速的發展，并在普及應用上進入嶄新的多元化應用階段！互聯網的影響正逐步滲透到人們生產、生活、工作、學習的各個角落。同時，隨著國家信息化工作的深化開展，提高教化系統信息化水平成為當前工作的重點。而校內網建設則是教化系統信息化建設的關鍵，尤其是校內網建設。在信息化的建設過程中，它的作用體現在如下幾個方面：1、校內網能促進老師和學生盡快提高應用信息技術的水平；信息技術學科的內容是發展的，它是一門應用型學科，因此，為了讓學生學到好用的學問，必需給他們供應一個實踐的環境，這個環境離不開校內網。2、校內網為老師供應了一種先進的協助教學工具、供應了豐富的資源庫，所以校內網是學校進行教學改革、推行素養教化的一種必不行少的工具。3、校內網是學校現代化管理的基礎，深化、全面的學校信息管理系統必需建立在校內網上。4、校內網供應了學校與外界溝通的窗口，學校應將校內網與互聯網聯接，這也是學校信息化的要求，做到了這一步，通過校內網去了解世界、在互聯網上樹立學校的形象都是很簡潔的。教化即將來，作為國家最重要的戰略工程，如何應用信息技術改造我們傳統的教學和管理手段；如何加深學生對于信息化和信息技術的理解與了解；如何造就同時具備傳統和信息雙重文化的一代新人，已成為教化界當前最為緊迫的任務之一。信息技術的應用，勢必極大地推動教化手段和教化內容的革命性變革。我們對此深信不疑，并將全身心地為之努力。旅游職業學院校內網建網需求分析一般建網需求旅游職業學院的網絡建設本次主要是校區網絡新建。在實際的建設過程當中，應當充分考慮到學校內部的校內網多業務以及特色業務等擴展性，如：校內網內部的服務器的訪問，由于學生的訪問的內容多樣化確定，涉及到基礎網絡設施的建設和業務應用平臺建設兩個不同的層面。此處主要分析旅游職業學院網絡基礎設施建設和網絡運營方面相關的內容。旅游職業學院校內網絡建設從網絡流量模型上看和企業網的流量模型相像，用戶集中而網絡流量大，但實際應用上還存在很多和企業網不同的地方。主要特點如下：1、用戶管理的需求：運用便利，存在WEB認證需求。要求能做到基于WEB的身份認證、多ISP選擇、用戶費率查詢、帶寬動態調整（隱性需求）、多WEB界面（隱性需求）等。須要解決賬號和端口綁定問題。通過此種方式限制賬號的運用區域。對用戶帶寬進行限制的需求，要求設備能對用戶的帶寬進行限制，譬如限制為64K、256K、512K、1M、2M、5M、10M等等級。2、多種教學方式并行的需求：隨著校內網的信息化的發展，越來越的多教學方式依托于網絡給學生供應多種的特色教學模式多媒體教學。為了更好的為學生供應全方面的教學資料，越來越的多學校在自己的內部局域網上面為學生供應多種教學資料，如：多媒體教學課件、典型的考試資料等等供應應學生上網下載運用。VOD點播業務實現，通過建立VOD視頻服務器平臺，利用交換機供應的組播功能，為旅游職業學院的用戶供應優質的視頻效果，同季節約用戶帶寬。3、平安管理的需求：校內用戶接受簇新事務的實力特別強，因此校內也成為黑客最多的場所之一，如何保障校內網絡的平安成為建網時不得不考慮的問題，目前主要攻擊手段有DoS，DDoS等上網日志的需求，主要是協作公安機關保證社會的穩定和校內的平安4、組播業務的需求，特殊是可控組播的需求將隨著校內信息化的深化而體現出來。對于后期建設的校內監控和電子監考工程也須要網絡對組播特性有良好的支持。5、多出口需求：典型的組網有中國教化和科研網（CerNet）出口和公網出口。多出口帶來了以下兩個需求：多權限ISP需求。用戶可通過不同的賬號名或采納相同的賬號，不同的域名認證，獲得不同的上網權限。多ISP分別計費的需求，對應不同的ISP，計費策略不一樣。6、WLAN的需求：隨著WLAN技術的成熟，在校內網內（如會議廳、圖書館等）部署WLAN也日益成為熱點。因此在規劃中須要考慮WLAN的規劃。旅游職業學院建網需求旅游職業學院系統分為三級，核心層、匯聚層、接入層。整體建網原則早期的校內網主要是共用內部教化系統主機資源，共享簡潔數據庫，多以二層交換為主，很少有三層應用，存在“平安、可管理性較差、無業務增值實力”等方面的問題。現在旅游職業學院校內網建設要實現內部全方位的數據共享，應用三層交換，供應全面的QoS保障服務，使網絡平安牢靠，從而實現教化管理、多媒體教學、圖書館管理自動化，而且還要通過Internet實現遠程教學，供應可增值可管理的業務，必需具備高性能、高平安性、高牢靠性，可管理、可增值特性以及開放性、兼容性、可擴展性。基于對旅游職業學院校內網業務需求的深化理解，結合自身產品和技術特點，H3C公司推出了了完善的旅游職業學院校內網解決方案，為旅游職業學院供應“可管理、可增值、可持續發展”的精品網絡。旅游職業學院網絡建設遵循以下基本原則：高帶寬為了保障全網的高速轉發，校內網全網的組網設計的無瓶頸性，要求方案設計的階段就要充分考慮到，同時要求核心交換機具有高性能、高帶寬的特性，整網的核心交換要求能夠供應無瓶頸的數據交換。可擴充性考慮到旅游職業學院用戶數量和業務種類的發展，要求對于核心交換機與匯聚交換機具有強大的擴展功能，旅游職業學院校內網絡要建設成完整統一、組網敏捷、易擴充的彈性網絡平臺，能夠隨著需求變更，充分留有擴充余地。開放性技術選擇必需符合相關國際標準及國內標準，避開個別廠家的私有標準或內部協議，確保網絡的開放性和互連互通，滿意信息精確、平安、牢靠、優良交換傳送的須要；開放的接口，支持良好的維護、測量和管理手段，供應網絡統一實時監控的遙測、遙控的信息處理功能，實現網絡設備的統一管理。平安牢靠性設計應充分考慮整個網絡的穩定性，支持網絡節點的備份和線路愛護，供應網絡平安防范措施。總體網絡設計網絡拓撲設計網絡采納星型結構組網，充分考慮到了網絡骨干的高帶寬、高牢靠性，整網采納高牢靠性設備作為核心交換機，設計運用雙引擎，雙電源保障核心自身的牢靠性。下行運用光纖連接到各樓宇匯聚，供應高速率的上行帶寬，保障多種教學業務，特殊是多媒體、語音等教學課件的高速傳輸。核心交換機采納多級交換架構，交換網板和引擎分別設計，這樣實現限制和轉發的進一步分別，提高設備穩定性和性能。CLOS多級交換架構代表將來的交換技術最先進的技術。各個匯聚層的交換機則通過單模千兆光纖連接到接入層的交換機，接入層交換機為千兆到桌面。拓撲圖如下：核心層設計核心層負責整個網絡的數據交換，同時也是整網（LAN）的路由中心，全網第三層、第四層操作都通過核心節點集中進行。核心交換機供應局域網內用戶對服務器群的高速訪問。為了充分保障核心交換平臺的高牢靠特性，我們供應的核心交換設備采納分布式結構，并且為多級交換架構。配置雙主控交換板，無源背板設計，全部單板支持熱插拔；電源系統采納1+1冗余熱備份，并支持多路電源輸入；支持STP/RSTP/MSTP協議和VRRP協議，能夠滿意苛刻的電信級網絡牢靠性要求，系統牢靠性達到：99.999％。本次網絡建設舉薦的核心交換機是H3C公司面對以業務為核心的企業網絡架構而推出的新一代高端多業務路由交換機。該產品基于H3C公司自適應平安網絡的技術理念，在供應穩定、牢靠、平安的高性能L2/L3層交換服務基礎上，進一步供應了業務流分析、基于策略的QOS、可控組播等智能的業務優化手段，從而為企業IT系統構建面對業務的基礎網絡平臺，實現通信整合，數據整合奠定了基礎。網絡核心的服務器區域，包括網絡管理服務器、數據庫服務器、認證計費服務器、一卡通服務器、流媒體服務器等等。該區域在網絡建成后主要供應內網服務，遠程教學、視頻點播等業務都由該區域設備供應。方案通過數據中心接入交換機匯聚后，接入到園區網核心。匯聚層設計匯聚層運用依據不同樓群的接入點密度，可以選用華三公司全千兆智能三層交換機，上行連接核心交換機上，同時全千兆下行連接接入層交換機，主要負責旅游職業學院各大樓的數據匯聚。匯聚交換機具備強大的IRF堆疊實力。基于最長匹配的路由策略。系統采納逐包轉發方式，保證了全部報文均獲得相同的轉發性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防衛實力，有效保證了設備平安。支持集中式MAC地址認證和802.1x認證。在用戶接入網絡時完成必要的身份認證，還可以通過敏捷的MAC、IP、VLAN、PORT隨意組合綁定，有效的防止非法用戶訪問網絡。支持DUD（DisconnectUnauthorisedDevice）認證，通過MAC地址學習數目限制和MAC地址與端口綁定實現。支持用戶分級管理和口令愛護，支持MAC地址學習數目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞；支持防止DoS攻擊功能。具有豐富的QoS特性，支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、協議的L2~L7困難流分類，充分保障了困難網絡對于QoS規則的要求。在本次組網中特別適合從事匯聚層面的工作。接入層設計接入層是干脆與用戶相連的設備，運用數量較多，分布較廣，所以接入層交換機應當具備較高的性價比，并可支持遠程供電和遠程管理。H3C的接入交換機支持強大的二層功能和ACL功能，可有有效保障局域網的平安。局域網上的一臺主機，假如接收到一個ARP報文，即使該報文不是該主機所發送的ARP懇求的應答報文，該主機也會將ARP報文中的發送者的MAC地址和IP地址更新或加入到ARP表中。圖1-1以太網ARP協議報文結構ARP欺瞞攻擊就利用了這點，攻擊者主動發送ARP報文，發送者的MAC地址為攻擊者主機的MAC地址，發送者的IP地址為被攻擊主機的IP地址。通過不斷發送這些偽造的ARP報文，讓局域網上全部的主機和網關ARP表，其對應的MAC地址均為攻擊者的MAC地址，這樣全部的網絡流量都會發送給攻擊者主機。由于ARP欺瞞攻擊導致了主機和網關的ARP表的不正確，這種狀況我們也稱為ARP中毒。圖1-2ARP欺瞞攻擊是如此簡潔由于ARP中毒后，全部的流量都須要經過攻擊者進行轉發。假如攻擊者具有轉發實力，在攻擊起先和攻擊結束是都會引發一次網絡中斷，攻擊過程中網絡速度變慢，網速變慢緣由跟發送大量的ARP流量消耗了帶寬以及其本身處理實力有限有很大關系；假如攻擊者不具有轉發實力，網絡出現傳輸中斷，直到攻擊停止及ARP表復原正常。接入交換機防衛ARP攻擊，識別并讀取ARP報文內容，然后依據報文內容推斷是否存在欺瞞攻擊行為，對于ARP欺瞞報文進行丟棄處理。圖1-3接入交換機部署ARP入侵檢測ARP入侵檢測在接入交換機進行部署，接入交換機同時啟用DHCPSnooping對DHCP報文進行監測。DHCPSnooping通過監測DHCP報文記錄了用戶的IP/MAC/VLAN/PORT等信息，并形成一個DHCPSnooping綁定表。交換機端口接收到的ARP報文后，通過查找DHCPSnooping建立的綁定關系表，來推斷ARP應答報文的發送者源IP、源MAC是否合法。若ARP報文中的發送者源MAC、IP匹配綁定表中的內容，則認為是合法的報文，允許通過；否則認為是欺瞞攻擊報文，就進行丟棄。ARP入侵檢測能夠防止接入終端發起任何ARP欺瞞攻擊，假如全網部署AII功能，可有效解決ARP欺瞞攻擊問題。另外由于ARP欺瞞攻擊，常常伴隨者發送大量的ARP報文，消耗網絡帶寬資源和交換機CPU資源，造成網絡速度的速度降低。因此接入交換機還須要部署ARP報文限速，對每個端口單位時間內接收到的ARP報文進行限制，很好地保障了網絡帶寬資源和交換機CPU資源。網絡業務設計IP地址規劃IP地址的合理規劃是校內網網絡設計中的重要一環，大型計算機網絡必需對ＩＰ地址進行統一規劃并得到實施。IP地址規劃的好壞，影響到網絡路由協議算法的效率，影響到網絡的性能，影響到網絡的擴展，影響到網絡的管理，也必將干脆影響到網絡應用的進一步發展。IP地址安排原則為保證對于上網學生的可查詢性，且考慮到10.xxx.xxx.xxx私網地址不存在短缺等因素，建議旅游職業學院的IP地址采納10私網IP地址接入的方式進行建設。要與網絡拓撲層次結構相適應，既要有效地利用地址空間，又要體現出網絡的可擴展性和敏捷性，同時能滿意路由協議的要求，以便于網絡中的路由聚類，削減路由器中路由表的長度，削減對路由器CPU、內存的消耗，提高路由算法的效率，加快路由變更的收斂速度，同時還要考慮到網絡地址的可管理性。具體安排時要遵循以下原則：唯一性：一個IP網絡中不能有兩個主機采納相同的IP地址；簡潔性：地址安排應簡潔易于管理，降低網絡擴展的困難性，簡化路由表項連續性：連續地址在層次結構網絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址安排在每一層次上都要留有余量，在網絡規模擴展時能保證地址疊合所需的連續性敏捷性：地址安排應具有敏捷性，以滿意多種路由策略的優化，充分利用地址空間。主流的IP地址規劃方案分為純公網地址、純私網地址和混合網絡地址三種。當校內網以私網地址安排或采納混合網絡地址接入時，要求校內網供應地址變換功能，過濾掉私網地址。IP地址規劃方案內部地址的安排原則是按建筑物進行的，視用戶的數量，1/4、1/2、整個私網的劃分。對于相對固定不變的教學區采納靜態安排IP地址，為防止地址盜用，采納IP地址與端口、地址綁定；對于流淌性大、用戶人數多、用戶增長快的學生區采納動態安排IP地址，采納ByPort的Vlan，小范圍地限制地址盜用問題。靜態IP地址對于用戶來說可以實現對應物理位置的查詢，對全網的IP地址與物理位置的對應有全面、牢靠的管理。對于服務器、網絡設備互連端口地址、設備Loopback地址建議運用靜態IP地址，而且各屬自不同的IP地址段，有利于骨干路由表的簡化與路由的快速處理；VLAN的劃分劃分VLAN的必要性VLAN是建立在各種交換技術基礎之上的。所謂交換實質上只是物理網絡上的一個限制點，它由軟件進行管理，所以允許用戶利用軟件功能敏捷地配置資源，管理網絡。利用交換設備中的虛網功能，不必變更網絡的物理基礎，即可重新配置網絡。采納虛網功能，網絡性能可以獲得較大的改善：1.虛網技術能對工作組業務進行過濾，有效地分割通信量，因而能更好地利用帶寬，提高網絡總的吞吐量。2.采納虛網技術可以將不同樓層或不同房間的設備組成一個網段而不用更改布線，因為虛網技術是從邏輯角度而非物理角度來劃分子網的，所以采納虛網技術能減輕系統的擴容壓力，將遷移費用降至最小。3.采納虛網技術能有效隔離網絡設備，增加網絡的平安性和保密性。虛擬網絡的平安策略采納的主要協議為IEEE802.1Q，此協議結合有鑒別和加密技術以確保整個網絡內部數據的保密性和完整性。4.虛網技術能對屬于同一工作組的用戶供應廣播服務，但與傳統的局域網協議所不同的是，虛擬局域網能限制廣播的區域，從而節約網絡帶寬。5.虛擬局域網可以建立在不同的物理網絡上，用封裝的方法支法支持不同的網絡協議絡協議，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性特別好性特別好。6.虛擬網絡中的主要應用技術為“虛網中繼”，VLANTrunking特有技術的采納也成成為了必定。必定。簡而言之，VLANTrunking主要是通過一條高速全雙工通道來實現將將一個LANSwitch端口所劃分的不同VLAN與其它LANSwitch中各自相應的VLAN成員進行線路復用連接的技術。VLANTrunking技術的采納，既節約了信道數據量，又提高了牢靠性，并便于管理及便利連接，提高了整個網絡吞吐量和性能指標。其原理如下圖所示：假如采納VLANtrunking的技術，則V1、V2、V3均可通過一條全雙工的100Mbps，即200Mbps的速率與上級LANSwitch進行互通并經過位于樹根部的路由器進行路由與其它的VLAN進行通訊。VLANtrunking技術的優點在于采納一條高速通道連接，提高了通道的運用效率，如在，如在V2，V3多數據量的狀況下，V1可以獨占此100M帶寬；并且可以使得線路的連接變得簡潔，從而大大提高牢靠性與易維護性。劃分VLAN的方法H3C公司的E系列接入交換機不僅能夠支持標準的802.1QVLAN，還能實現端口之間的隔離。我們可以運用E系列支持的P-VLAN（primary-vlan）這個特性，一方面實現用戶之間的隔離，另一方面可以為三層交換機節約VLAN資源。E系列可以屏蔽下面的VLAN劃分，僅向三層交換機供應一個VLAN信息，在邊緣交換機實現了端口可以同時屬于多個Vlan；如圖所示：其中端口1為uplink端口，端口2，3，4為接入端口；Vlan1：包含端口：1，2，3，4，5Vlan2：包含端口：1，2Vlan3：包含端口：1，3，4Vlan4：包含端口：1，5設計中采納了幾個secondaryvlan包含在一個primaryVLAN中的方式，給用戶供應了敏捷的配置方式。假如用戶希望實現二層報文的隔離，可以采納了為每個用戶安排一個secondaryvlan的方式，每個vlan中只包含用戶連接的port和uplinkport；假如希望實現用戶之間二層報文的互通，可以將用戶連接的端口劃入同一個VLAN中；同時創建primaryvlan，該vlan包含全部secondaryvlan中包含的端口和uplink端口，這樣對上層交換機來說，可以認為下層交換機中只有一個primaryvlan，用來標識設備，而不必關切primaryVLAN中的端口實際所屬的VLAN，簡化了配置，節約了VLAN資源。primaryvlan中的全部端口都不是802.1Q的trunk端口，包括與其它交換機相連的uplink口。每個port的PVID就是它所屬secondaryvlan的ID；uplink端口的PVID是primaryvlan的ID；我們建議在接入交換機上依據各個部門之間的邏輯關系進行敏捷的VLAN劃分。可以讓一個樓層對應于一個PVLAN，樓層內的不同部門分屬不同的SencondaryVLAN。這種劃分方式中，可以對用戶能實現動態的VLAN+MAC+IP綁定，可對用戶發動的偽造攻擊報文進行合法性檢查和過濾，具有肯定的網絡平安性保障。不同VLAN間的互訪，必需經過三層交換機進行轉發。VLAN規劃我們建議按不同的業務運用主體來規劃整個旅游職業學院的VLAN資源。如：學生宿舍1、學生宿舍2、老師、校管理人員等。為了減小廣播域，建議VLAN終結在匯聚層的三層交換機上，每個VLAN內的主機數量原則上不要超過250臺，建議每個VLAN內的PC機數量限制在50臺以內。VLAN的劃分可以依據不同的業務部門進行也可以依據用戶所處網絡的物理結構進行，后者主要是從網絡性能角度動身，而前者還兼顧了網絡平安性可控性的須要。依據實際業務部門辦公環境的分布狀況來看，在大部分狀況下，兩者實現了重合，而對于少數由于辦公地點不同，隔離在不同匯合點的相同業務部門，我們則舉薦第一種方式。將端口安排給VLAN的方式有兩種，分別是靜態的和動態的。靜態VLAN：形成靜態VLAN過程是將端口強制性地安排給VLAN的過程。確定哪些端口屬于哪些特定的VLAN，然后將VLAN靜態映射到端口。這是將端口映射到VLAN的一種最通用的方法。對于學生宿舍，老師辦公等用戶相對集中的區域，建議采納這種部署方式，將VLAN部署在用戶對應的匯聚交換機端口上。動態VLAN：我們知道，VLAN常常被規劃用于對“資源訪問權限”的分組，不同的VLAN具有不同的訪問權限，每個VLAN內有一個IP地址網段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權限。用戶權限數據一般存儲在CAMS或接入認證系統UAM（后臺綜合訪問管理服務器）中，CAMS依據用戶端的權限歸類，在認證通過之后向二層交換機作動態的VLANID下發配置。此時，二層交換機要支持VLAN的動態配置功能（H3C全系列交換機支持）。從廣播限制角度動身，為了保障網絡的高可用和高性能，我們建議在進行具體VLAN規劃時，同一個廣播域內（一個VLAN）的通信主機不要超過250臺，最好限制在50臺以內，對于主機數量超過50的業務部門，我們通過二層隔離，三層交換的方式來解決。管理VLAN：作為特殊VLAN的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網的每一臺交換機，但在第三層接口上，須要與其他業務VLAN進行有效的隔離。網管工作站建議另外設置一個VLAN，例如VLANID=4000,VLAN4000與VLAN1在第三層上相通，同時，部分業務VLAN可以訪問VLAN4000，從而實現網管的分布式監控布局。VLAN1和VLAN4000的第三層路由接口處設置訪問限制列表，只有特定的主機或者只有網管VLAN可以干脆訪問每一臺設備，其他均在過濾之列。對于服務器建議單獨設置在一個VLAN中。業務VLAN可以依據部門的類別進行劃分，每個部門劃分一個VLAN，部門人數超過50名的應當劃分為兩個VLAN，以保證交換的性能，業務VLAN的命名建議采納VLAN100作為第一個業務VLAN，然后依據數字序列進行劃分，始終到VLAN123。本次建議在旅游職業學院網絡中采納靜態VLAN劃分方案來部署。網絡管理方案網管系統需求網絡管理包括有三個部分：網管平臺、設備管理系統、業務網管。網管平臺則須要對全網進行管理，要有拓撲發覺功能等，它力求全面地覆蓋企業IT業務的各個方面。網元管理系統一般均由設備原廠商供應，實現對網絡設備的故障管理、配置管理和性能管理、故障管理等。另外，對于困難業務，如MPLSVPN和QOS管理等業務，一些領先廠商供應了專業的業務網管系統，如VPNManager和QoSManager。統一網管設計通過在網絡中心安裝集中網管系統，通過帶內的方式實現對整網設備的統一管理，供應集中、統一、分級、分權的網元管理、網絡管理功能，并實現部分業務供應功能。網管系統采納先進的組件化結構，可以對全網設備集中管理。在新老校內網中供應分級的網管中心，供應不同的管理權限，每個校內網的網管僅能管理本園區的網絡設備。對于全網設備可以設置一個中心一級的網管中心，對全部網絡設備進行管理。網管系統對全部設備的管理采納帶內方式，通過SNMP協議由網管中心服務器發出管理信息報文，各寬帶網絡設備上的網管代理進行本設備運行狀態，數據信息的收集，然后通過SNMP協議將本網絡設備的網管信息上報給網管中心服務器，由網管中心服務器統一對上報的網管信息進行處理和分析，然后通過SNMP協議下發限制吩咐，由各設備網管代理接收限制吩咐后，完成對本設備的管理和限制。分級網管的設置可依據要求敏捷設置，可將分級網管服務器放置于各園區一個局域網內（最好各園區選擇一個網絡管理中心同時作為本園區網絡的信息資源共享中心），也可采納UNIX遠程客戶端的方式將網管終端放置在遠程，此時網管終端與網管服務器之間的信息溝通也是通過帶內通道完成的。綜合網管系統應當能供應如下管理實力：拓撲管理拓撲管理用于構造并管理整個通信網絡的網絡拓撲結構，通過自動上載網絡設備的拓撲數據形成與實際網絡拓撲結構相同的網絡拓撲視圖。運行中通過對網絡設備進行定時（依據用戶設定的每一設備的狀態與配置輪詢間隔時間）的輪循監視與設備上報TRAP或告警處理，保證顯示網絡視圖與實際網絡拓撲一樣，用戶可通過閱讀網絡視圖來實時了解整個網絡的運行狀況。網管系統的拓撲視圖是采納分層結構的，其中拓撲頂層顯示的子圖稱為視圖，依據被管對象的種類和實際需求抽象出了幾種視圖顯示在拓撲的頂層，目前包含了三個邏輯視圖（IP設備視圖、交換設備視圖和接入設備視圖）和一個物理視圖。在這些視圖下是子網，它是具有相同屬性的設備的集合，在子網下就是具體的網絡設備，子網也可以再包含子網。其中邏輯視圖中只包含了各自類型的網絡設備，它反映了網絡設備之間的邏輯關系，而物理視圖中的子圖和設備是用戶自己設定的，用戶可以依據地理位置去創建物理子圖并定義它們之間的連接關系。IP視圖用于IP層網絡拓撲的管理，描述整個基于IP路由器的IP網絡的網絡層拓撲結構，主要包括路由器、LANSwitch、接入服務器和計算機等IP設備。基于IP路由器的網絡拓撲結構分成兩層，上層由路由器和IP子網組成，IP子網表示某一傳輸類型的物理網絡，如以太網，FrameRelay網等，在同一IP子網下的全部設備具有同樣的IP子網地址設置；路由器和IP子網之間通過路由器端口連接，如以太網口，FrameRelay廣域網口等。路由器和路由器之間的連接有兩種：一是通過IP子網連接，如兩路由器通過以太網或FrameRelay網互連；二是干脆的點到點連接，如PPP連接等。物理視圖用于反映網絡設備之間的物理關系和連接，用戶可以自由創建物理子網，在物理子網中加入邏輯子網中已經存在的設備，建立它們之間的連接關系。拓撲管理主要操作有增刪設備或子網，查看節點、鏈路或子網的狀態，通過定時輪詢或手動啟動對任一設備的狀態或配置數據輪詢，實時刷新拓撲顯示數據。拓撲管理還具有變更背景圖象、設置網絡對象屬性、保存拓撲視圖修改、查找網絡對象、顯示網絡對象信息、拓撲視圖顯示效果設置等功能。用戶可對每個子網設置背景圖象（gif）格式，背景圖象的大小依據窗口大小自動調整。配置管理網管系統供應全網閱讀樹和設備面板圖對配置進行維護。全網閱讀樹把網絡中的全部設備按不同的分組方式組織在一個樹形結構中，操作者可敏捷切換要進行配置操作的設備。對全部設備和設備組件的操作都通過右鍵菜單來完成。用戶右鍵點中待管理的對象，系統將自動彈出該設備或設備組件所對應的管理菜單，全部設備和設備組件（如端口等）的配置、實時性能管理功能都可通過該右鍵菜單完成。本閱讀樹可裝載并顯示全部路由器，以及其它支持SNMP協議的設備端口數據，在閱讀樹中的端口顯示數據包括：端口狀態，端口索引，端口類型，IP地址，掩碼設置（如設置有），用戶右鍵點中該端口即可彈出該端口所對應的配置菜單。通過在拓撲圖上雙擊拓撲設備節點啟動設備面板圖，在面板視圖上對設備進行配置；設備面板圖和全網閱讀樹所供應的配置功能是完全一樣的。在面板上進行配置顯得更直觀，供應設備的機架視圖，實時顯示各單板的狀態和告警信息，對于面板中的每個單板節點，供應右鍵彈出菜單，該菜單是針對該單板的一系列的應用，包括配置，性能、維護管理等；而全網閱讀樹則是供應了一種對全網設備進行管理的手段，在配置較多的設備時比較便利。故障管理故障管理主要包括對全網設備的告警信息和運行信息進行實時監控，查詢設備的歷史告警信息和運行信息，定義發送過來的SNMPTrap，查詢和配置設備的告警表。故障管理系統收集和處理設備告警。設備告警包括SnmpTrap和MML格式的告警，前者告警來源為SNMP設備，大部分數據通信設備支持SNMP。Trap和Alarm可以同屏顯示也可以分屏顯示。（以下敘述中“告警”如無特殊說明包括SnmpTrap和MMLAlarm）。故障管理系統包括故障管理后臺、實時告警顯示、歷史告警顯示、Trap規則定義工具，故障監視面板和當前故障窗口。故障管理后臺接收設備告警、寫數據庫、發送給實時告警前臺顯示，假如有其他應用關切某些類型的告警，還要上報給該應用。實時告警顯示從故障后臺實時接收設備告警并顯示；歷史告警顯示從數據庫檢索告警并顯示；實時告警顯示和歷史告警顯示都支持過濾條件，可以檢索指定設備（一個或多個）的告警，也可以按類別檢索指定類型的告警。Trap規則定義工具主要是定義SnmpTrap的描述信息。因為SnmpTrap是二進制編碼，Trap規則定義了該二進制流中各字段的描述信息。故障管理后臺接收設備發送的Trap后依據當前的Trap規則定義對Trap進行說明，將說明后得到的告警數據寫入歷史告警庫，并發送給前臺程序。MMLAlarm本身是ASCII字符流，故障后臺經過適當的字段定位后干脆入庫和發送給前臺進程。故障監視面板為您供應了一個直觀的了解設備故障狀況的工具，它可以供應單個設備或全部設備的告警