XX政府綜合辦公樓智能化系統工程驗收文檔PAGEPAGE71安徽安徽中杰信息科技有限公司XX政府綜合辦公樓智能化系統工程驗收文檔64安徽安徽中杰信息科技有限公司XX政府綜合辦公樓智能化系統工程驗收文檔安徽中杰信息科技有限公司Xx年XX月XX日目錄第一部分系統詳細設計方案 4第一節計算機網絡系統設計方案 51、系統概述 52、需求分析 53、設計依據 94、產品選型 95、系統設計方案 106、系統設備清單 317、主要產品參數 31第二部分安裝調試方案 41第一節IP地址及VLAN規劃 411、IP地址分配基本原則 412、IP地址規劃 413、VLAN的規劃 42第二節生成樹的設計 42第三節設備安裝設計 431、核心交換的安裝地點 442、接入交換機安裝地點 443、S7503E的安裝 444、S7506E的安裝 44第四節設備命名及地址分配 451、設備命名 452、線纜標簽規則 453、設備地址分配 45第五節NTP網絡時間同步管理 46第六節路由協議規劃 471、路由協議安全管理 482、VRRP（虛擬路由器冗余協議） 483、IP源路由選項開關 504、重定向開關 505、定向廣播報文轉發開關 506、ICMP協議的功能開關 51第七節設備安裝要求建議 511、機房要求 512、防靜電要求 523、抗干擾要求 524、接地要求 535、供電要求 53第八節系統安裝 541、安裝前準備 542、安裝報告 583、配置指導書 60第九節系統測試與驗收方案 651、測試方案 652、系統初驗 723、系統試運行 724、系統終驗 725、系統維護 73系統詳細設計方案

計算機網絡系統設計方案系統概述XX政府簡介XX政府（以下簡稱貴單位）信息化建設的基礎是計算機網絡系統建設，建設面向未來的信息化平臺是貴單位的必經之路。貴單位綜合辦公樓計算機網絡系統建設包括2套網絡：內網、外網，兩套網物理隔離。內網包括貴單位的內部局域網、電子政務內網、貴單位與上下級單位的互聯內網（該三套網之間邏輯隔離），總計涉及289個數據信息點的局域網接入；外網包括電子政務外網、互聯網（該兩套網之間邏輯隔離），總計涉及294個數據信息點的局域網接入。計算機網絡系統是貴單位重要的信息基礎設施，是貴單位對公眾政務信息公開、對內統一辦公、公文流轉的基石。作為信息系統的支撐，網絡系統設計質量優劣直接決定了整個信息系統的成敗。需求分析總體需求計算機網絡系統是貴單位信息系統的重要組成部分，因此計算機網絡系統要求具備高效性與可靠性。計算機網絡系統設備選型及設計方案必須具備先進性，可擴展性，能適應貴單位信息化發展的需求。本次計算機網絡系統設計方案將滿足貴單位綜合辦公樓的網絡建設需要，該系統將與貴單位現有的計算機網絡系統無縫連接，與現有網絡完全兼容，實現系統的統一管理。具體來說，本次計算機網絡系統總體需求如下：綜合辦公樓的計算機網絡系統建設需求內、外網的服務器系統建設，內、外網數據集中存儲、外網重要數據的備份需求實現與現有網絡的融合，滿足貴單位管理的需要；具體需求如下：網絡系統需求網絡配置需求根據本項目綜合布線系統設計，網絡系統分為2套網：內網、外網，該2套網之間物理隔離；具體如下：內網：含內部局域網、電子政務內網、貴單位與上下級單位的互聯內網，三套網之間邏輯隔離，涉及289個數據信息點的局域網接入。核心機房在3樓的內網中心機房。綜合辦公樓內弱電間通過千兆多模光纖匯聚至3樓的內網中心機房。綜合辦公樓內弱電間至桌面是千兆銅纜；外網：包括政務外網、互聯網，該2套網之間邏輯隔離；涉及294個數據信息點的局域網接入，核心機房在3樓的外網中心機房。綜合辦公樓內弱電間通過千兆多模光纖匯聚至3樓的外網中心機房。。各弱電間至桌面是千兆銅纜。綜合布線系統主要采用6類非屏蔽雙絞線。弱電間與核心機房間設計有多模光纖。網絡配置方案需滿足上述綜合布線設計的各類信息點和不同網絡線路的接入需要。網絡性能需求為滿足貴單位信息應用系統的高速運行需要，本項目計算機網絡系統的設計基礎網絡須達到千兆接入，千兆上行。未來可以升級至千兆接入，萬兆上行。網絡可靠性需求貴單位綜合辦公樓項目信息化的穩定運行依賴于其網絡平臺的健壯性作為信息化系統的基礎設施，網絡系統的可靠性顯得非常重要，一旦網絡意外中斷，各類相關業務將無法正常開展。因此必須確保網絡系統的可靠性。網絡服務質量需求隨著網絡的發展日新月異，IP融合是大勢所趨，網絡上數據、語音、視訊等新應用的不斷出現，對網絡的服務質量也提出了新的要求。例如VoIP等實時業務就對報文的傳輸延遲有較高要求，如果報文傳送延時太長，將是用戶所不能接受的（相對而言，E-Mail和FTP業務對時間延遲并不敏感）。為了支持具有不同服務需求的語音、視頻以及數據等業務，要求網絡能夠區分出不同的通信，進而為之提供相應的服務。因此，網絡系統設計中，必須考慮支持多種QoS（QualityofService，服務質量）技術，以滿足未來貴單位多種IP應用對服務質量的要求。網絡安全需求如今，信息安全已經成為各行各業最重視的信息化建設關注點。信息安全問題日益突出，病毒泛濫、系統漏洞、黑客攻擊等諸多問題，將會直接影響貴單位網絡的穩定運行、威脅其相關業務的正常運行。如何應對信息安全威脅，確保其信息系統的安全穩定運行，已經是必須關注的問題。網絡系統設計中，將重點關注各類網絡設備的安全防范能力，確保網絡基礎設施的安全。其具體需求主要包括：實現安全域劃分，并在此基礎上實現安全、可控的邏輯隔離；保護WEB網站不會因來自互聯網拒絕服務攻擊而癱瘓；對進出各安全域的信息和數據進行嚴格的控制，防止對安全域的非法訪問；對于各個安全域之間交互的信息和數據，保護其完整性、可用性、保密性，防止在傳輸過程中被竊取、篡改和破壞；在各個安全域內，能及時發現和響應各種網絡攻擊與破壞行為；建立病毒及惡意代碼的預警和響應機制，能及時發現和響應各種病毒及惡意代碼的攻擊、破壞和信息泄露行為；使系統內的操作系統能及時升級、安裝安全補丁；應用系統需要有認證、應用訪問控制、審計、加密、資源控制等多種手段，能夠保障信息系統被合理使用；終端需要及時發現和阻斷病毒攻擊，及時更新病毒補丁；終端進程的監控、黑白軟件的定制；終端外設接口的管控；對系統、應用進行審計，建立相應的安全審計機制，對引發事件的根源進行責任認定。服務器及存儲備份系統需求服務器系統構建需求對于內網部分，貴單位的電子政務內網需要購置4臺服務器，其中2臺服務器作為數據庫服務器（雙機），1臺做WEB服務器，1臺做應用服務器對于外網部分，貴單位的電子政務外網需要購置4臺服務器，其中2臺服務器作為數據庫服務器（雙機），1臺做WEB服務器，1臺做備份服務器存儲備份系統需求隨著貴單位應用環境越來越復雜，我們認為關鍵應用和關鍵數據受到侵害的可能性越來越大，軟災難發生的情況更加普遍，包括病毒侵害、黑客攻擊、誤操作、OS受損，給系統造成的風險很高。1、由于WINDOWS系統平臺的特性，系統可能存在多處隱形漏洞，給黑客和病毒的侵害提供了條件，就IDC評測，每年由于黑客攻擊和病毒侵害給客戶造成的損失高達數百億美元。2、OS受損，導致癱瘓，數據沒辦法讀出，此時對于系統恢復和關鍵數據的處理是非常棘手的難題。3、由于誤操作給系統造成的影響也不可忽視，重要文件被刪除，由于是關鍵數據可能只保存在一臺機器上，數據將不可恢復。4、數據保存在硬盤上，由于硬件故障，同樣可能造成的數據的不可恢復。對于關鍵系統和數據所造成的損壞，不僅僅表現為經濟方面的損失，同時影響關鍵部門的運轉，可能造成不良的社會影響。由于以上原因，對貴單位的信息平臺的價值也產生了負面的影響。如何在關鍵應用受到侵害時，第一時間恢復系統和數據是至關重要的。對于系統和數據的恢復同時提出了多方面的要求：系統可恢復的時間點系統恢復的簡便性系統修復的快捷、簡單基于文件或者磁盤、扇區級別的文件、數據、系統恢復系統可實施性基與以上原因需要考慮對貴單位內、外的數據進行集中存儲；對外網的磁盤陣列內的關鍵數據，對外網的終端的重要數據進行備份。以便在遭到病毒破壞、數據損壞、系統崩潰時可以恢復數據。實現對關鍵數據的保護。設計依據計算機網絡系統符合以下標準及規范，并保證整個系統在驗收之前滿足有關中華人民共和國新頒布的最新版本的標準及規范要求。《民用建筑通信管理標準》EIA/TIA606《信息安全管理體系標準》《JB7799/ISO-17799》《信息技術、安全技術評估準則》《ISO/IEC15408-1999》《信息技術應用級防火墻安全技術要求》《GB/T18020-1999》《信息技術開放系統互連網絡層安全協議》《GB/T17963-2000》《信息技術開放系統互連高層安全模型》《GB/17965-2000》《計算機信息系統安全保護等級劃分準則》（GB17859-1999）《信息系統安全等級保護基本要求》（GB/T22239-2008）。《信息系統安全保護等級定級指南》（GB/T22240-2008）《信息安全管理指南》《ISO-1335》《電氣裝置安裝工程施工及驗收規范》《GB50254-96》《GB50258-96》《建筑電氣裝工程質量檢驗評定標準》《GYT253-88》《計算機軟件開發規范》《GB856-8》《終端計算機系統安全等級技術要求》（GA/T671-2006）《信息系統災難恢復規范》（GB/T20988-2007）產品選型根據招標書要求或者用戶需求并結合系統特點，本次項目計算機網絡系統的網絡設備（包括網管軟件、終端安全管理系統）全部選擇H3C產品，服務器選擇IBM的X3650M2，殺毒軟件選擇瑞星公司的網絡版殺毒軟件，數據備份存儲系統采用IBM的DS3200磁盤陣列，光纖交換機選擇IBM的B24，備份存儲系統選擇愛數。系統設計方案貴單位計算機網絡系統設計包括內網：貴單位的內部局域網、電子政務內網、貴單位與上下級單位的互聯內網（該三套網之間邏輯隔離）；外網：電子政務外網、互聯網（該兩套網之間邏輯隔離）。該2套網絡采用物理隔離方式，確保物理安全。對2.2網絡系統需求、服務器及存儲備份系統的需求充分分析，內、外建設將從如下方面考慮：內網建設將從網絡基礎平臺建設、網絡安全、網絡管理、服務器及存儲系統四個方面考慮其設計內容。外網建設考慮網絡基礎平臺建設、無線網絡、網絡安全、網絡管理、服務器及存儲備份系統五個方面考慮其設計內容。系統設計原則本方案將為貴單位提供“高擴展、多業務、高安全”的計算機網絡方案。系統設計中遵循以下基本原則：開放性具備與多種協議計算機通信網絡互連互通的特性，確保本MIS網絡系統的基礎設施的作用可以充分的發揮。在結構上真正實現開放，基于開放式標準，包括各種局域網、廣域網、計算機等，堅持統一規范的原則，從而為未來的發展奠定基礎。實用性和先進性貴單位的計算網絡系統是一個龐大而且復雜的網絡，為了保障全網的高速轉發，組網設計的無瓶頸性，應能與貴單位現有系統形成無瓶頸的數據交換。同時，系統應采用先進成熟的技術滿足貴單位大流量，多業務的需求，兼顧其他相關的管理需求，盡可能采用先進的網絡技術以適應更高的數據、語音、視頻（多媒體）的傳輸需要，使整個系統在相當一段時期內保持技術的先進性，以適應未來信息化的發展的需要。靈活性和可擴展性計算機網絡系統是一個不斷發展的系統，所以它必須具有良好的靈活性和可擴展性，能夠根據貴單位不斷深入發展的需要，方便的擴展網絡覆蓋范圍、擴大網絡容量和提高網絡的各層次節點的功能。具備支持多種通信媒體、多種物理接口的能力，提供技術升級、設備更新的靈活性。安全可靠性為保證各項業務應用，網絡必須具有高可靠性，盡量避免系統的單點故障。要對網絡結構、網絡設備、服務器設備等各個方面進行高可靠性的設計和建設。在采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術提供較強的管理機制、控制手段和事故監控與網絡安全保密等技術措施提高整個網絡系統的安全可靠性。可管理性由于系統本身具有一定復雜性，隨著業務的不斷發展，網絡管理的任務必定會日益繁重。所以必須有全面的網絡管理方案，實現監控、監測整個網絡的運行情況，合理分配網絡資源、動態配置網絡負載、迅速確定網絡故障等。通過先進的管理策略、管理工具提高網絡的運行性能、可靠性，簡化網絡的維護工作，從而為辦公、管理提供最有力的保障。內網設計方案總體設計由于貴單位綜合辦公樓是新建的6層大樓，其內網涉及內部局域網、電子政務內網、貴單位與上下級單位的互聯內網三套網、該三套網絡之間實現邏輯隔離（通過核心交換部署千兆防火墻插卡，利用其千兆防火墻插卡具有虛擬防火墻功能，三個虛擬防火墻啟用策略限制實現三套網之間的邏輯隔離），目前涉及289個數據信息點的局域網接入，將考慮采用星型拓撲設計分核心、接入層。由于網絡可靠性要求比較高，主干采用雙核心、雙鏈路設計。核心機房在3樓的內網中心機房。綜合辦公樓內每層弱電間分別通過2根千兆多模光纜匯聚至3樓內網中心機房。綜合辦公樓內每層弱電間至桌面是千兆銅纜；內網出口邊界各部署1臺H3CMSR30-40路由器分別接上級單位、電子政務內網，在2臺路由器與兩臺核心交換之間部署各部署1臺H3CSecPathF1000-S，千兆防火墻以透明模式部署做可以做到L2-L4的安全防護。在核心交換上旁掛1臺深信服的網絡行為審計系統對內網的網絡行為進行事前監控，事后審計。在服務器區部署1臺IBM的DS3200磁盤陣列實現對政務內網中的數據庫服務器數據的集中存儲。網絡拓撲：網絡基礎平臺設計貴單位內網將采用星型網絡拓撲設計，分核心層、接入層；具體設計思路如下：核心交換設計：考慮內網信息點較多，內部數據交換量較多，核心交換建議采用2臺H3C的高端路由交換機S7503E，每臺配備1塊管理引擎，2塊1400W交流冗余電源，1塊24千兆光口業務板（其中8個是千兆光電復用口）與該綜合辦公樓內的6臺內網接入交換通過千兆多模光纜相連，余下的光口可以用于以后網絡拓展使用，其中8個千兆電口（與光口復用）將與該套網內的系統服務器（WEB服務器、數據庫服務器、應用服務器）通過千兆銅纜相連；兩臺核心交換配備12塊千兆多模模塊分別與該綜合辦公樓的各弱電間的接入交換機相連，構成千兆主干的用戶需求。2臺核心交換通過啟用VRRP+MSTP（需要另配4個千兆多模模塊）實現VLAN數據負載分擔，通過這些設計增強了網絡的高可靠及穩定性。接入交換設計：接入層交換采用H3CS3100-52TP-SI。綜合辦公樓內部署6臺S3100-52TP-SI，綜合辦公樓內每個弱電間（每層1個弱電間）各部署1臺S3100-52TP-SI作為內網接入交換，其分別通過兩根千兆多模光纜匯聚至核心機房的兩臺S7503E上。網絡安全設計隨著網絡的日新月異，網絡安全問題日益突出，病毒泛濫、系統漏洞、黑客攻擊等諸多問題，將會直接影響貴單位內網的穩定運行、威脅其相關業務的正常運行。如何應對網絡安全威脅，確保其信息系統的安全穩定運行，已經是必須關注的問題。考慮到內網的安全性，實現對進出貴單位內網出口的數據包過濾和L2-L4的安全防護，需要在內網的兩臺核心交換前部署2臺H3CSECPATHF1000-S千兆級防火墻，，同時通過旁掛部署在該套網核心交換上的網絡行為審計系統（深信服的M5100-AC-P）實現對內部局域網用戶與電子政務內網、貴單位上下級單位的訪問行為進行審計，以便事后發生安全事件、可以取證。對內網的終端用戶安全防護，將采用部署1套瑞星網絡版殺毒軟來實現，所有終端用戶的病毒補丁可以通過管理區的瑞星網絡版病毒服務器來實現分發、自動更新等。對內網的終端用戶的安全管理，可以采用在內網管理區部署1套H3C的終端安全管理系統（配合H3C網絡管理系統）的方法來實現，具體可以實現身份認證，病毒補丁、漏洞補丁分發、黑白軟件定制、資產管理、終端外設管理等功能。充分的保障了終端用戶的安全性。網絡管理設計內網要實現拓撲發現、故障告警、端口流量和設備硬件檢測、性能報表分析等功能，需要配備1套網絡管理系統，為了簡化網絡管理的工作量，提高工作效率，建議內網部署1套H3CIMC基礎網絡系統。配備50個網絡節點管理。服務器及存儲系統設計結合2.3服務器及存儲備份系統需求，內網服務器及存儲系統設計如下：在貴單位的內網部署4臺IBMX3650M2，其中2臺服務器做數據庫服務器（利用HA軟件做雙機熱備），1臺服務器做WEB服務器，1臺做應用服務器。2臺數據庫服務器分別通過光纖HBA卡接IBMDS3200磁盤陣列的雙控制器，實現對數據庫服務器的數據存儲需求。外網設計方案總體設計貴單位的外網包括電子政務外網、互聯網兩套網，這兩套之間邏輯隔離。目前該套網涉及XX個左右數據信息點的局域網接入，將考慮采用星型網絡拓撲設計分核心、接入層。由于網絡可靠性要求比較高，主干可以采用雙核心、雙鏈路設計。核心機房在3樓外網中心機房。其中心機房與綜合辦公樓內各弱電間皆通過2根千兆多模光纖連接；各弱電間至桌面是千兆銅纜。在兩套網的出口都各部署1臺H3C的千兆防火墻SECPATHF1000-S，電子政務外網的出口防火墻主要是做地址轉換和L2-L4的安全防護；互聯網出口的防火墻（增加SSLVPN板卡）主要做地址轉換、與外聯單位的IPSECVPN互聯、外出移動辦公人員的SSLVPN互聯；服務器區各通過1臺千兆防火墻上聯兩臺核心交換，利用千兆防火墻的安全域的劃分來限制外網PC對服務群的安全訪問；在外網的核心交換與千兆防火墻之間部署1臺入侵防御系統（H3CSECPATHT200-A）充分阻斷來自內外網的對網站后臺數據庫的注入掃描攻擊、異常字段進行過濾，保障網站的安全性。在服務器區部署4臺IBMX3650M2服務器，其中2臺作為數據庫服務器使用（利用HA軟件做雙機）、1臺作為WEB服務器使用、1臺作為備份服務器使用；部署1臺IBMDS3200磁盤陣列實現對外網數據的集中存儲。部署1臺備份存儲系統實現對DS3200磁盤陣列、外網終端PC重要數據的備份。利用旁掛部署在核心交換上的無線控制器，組合無線瘦AP的方式實現對互聯網部分重要區域的無線覆蓋，實現該部分終端用戶高速接入的需求。網絡拓撲:網絡基礎平臺設計：外網將采用層次化網絡拓撲設計，分核心層、接入層。具體設計思路如下：核心交換設計：考慮外網信息點較多，內部數據交換量較大，核心交換采用2臺H3C的高端路由交換機S7506E，每臺各配置1塊24千兆光口（其中其中8端口光電復用），1塊交換引擎、2塊1400W電源；配備12個千兆多模模塊分別與該套網的各個弱電間的接入交換相連。這兩臺核心交換通過VRRP+MSTP實現VLAN數據負載分擔，通過以上設計，可以保障網絡的可靠性及穩定性。接入交換設計：接入層交換采用H3CS3100-52TP-SI。綜合辦公樓內部署6臺S3100-52TP-SI做外網的接入交換使用。每層一個弱電間，每個弱電間部署1臺接入交換；各弱電間通過2根千兆多模匯聚至3樓的外網中心機房；無線網絡設計貴單位綜合辦公樓的3、4層的會議室、走廊，需要采用無線網絡覆蓋。將采用成熟的無線網絡技術作為貴單位綜合辦公樓3-4樓有線局域網的補充，無線局域網（WLAN）有效地克服了有線網絡的弊端，利用PDA、平板無線電腦和無線終端設備采集數據，智能分析等。通過貴單位綜合辦公樓信息化建設中對無線網絡平臺應用模式的綜合分析，我們總結出貴單位信息化系統對無線網絡平臺具體要求包括：數據保密性要求高，重要區域數據不能泄密；無線網絡系統整體安全性要求高，包括物理設備系統可維護性要求高，無線網絡的維護不能成為貴單位信息科的負擔；對無線訪客的帶寬做限制，保障全網帶寬。為滿足以上要求，貴單位綜合辦公樓的無線網絡建設（3-4層局部覆蓋）可采用基于統一管理理念的“瘦AP”無線解決方案。方案由無線接入點、無線控制器和無線網絡管理系統（未來考慮）組成。具體部署情況：在3樓核心機房部署1臺H3C無線控制器EWP-WX3010-POEP-H3，無線控制器旁掛在兩臺核心交換上。默認可以管理12個FITAP。在綜合辦公樓的3、4樓的2個會議室、2個走廊部署4臺H3CEWP-WA2610E-AGN-FIT（支持802.11N），實現無線客戶端的300M高速接入。系統采用最新的802.11n無線傳輸標準協議。在傳輸速率方面，將WLAN的傳輸速率由目前802.11a及802.11g54Mbps，提高到300Mbps甚至高達600Mbps。在覆蓋范圍方面，802.11n采用智能天線技術，通過多組獨立天線組成的天線陣列，可以動態調整波束，保證讓WLAN用戶接收到穩定的信號，并可以減少其它信號的干擾。系統中無線AP采用無配置管理方式，所有配置全部集中在無線控制器中。無線AP的配置在啟動后由無線控制器下發，實現無線網絡的集中管理與自動配置，由于無線信號的開放性，易引起各種各樣的攻擊行為，此時安全問題在建設無線網時必須考慮問題，無線安全主要側重兩個方面：用戶安全接入、網絡安全加密傳輸。我們將利用MAC地址過濾、SSID管理、WEP加密、AES加密等多種安全技術來保證無線用戶的安全接入及傳輸。網絡安全設計隨著網絡的日新月異，網絡安全問題日益突出，病毒泛濫、系統漏洞、黑客攻擊等諸多問題，將會直接影響貴單位外網的穩定運行、威脅其相關業務的正常運行。如何應對網絡安全威脅，確保其信息系統的安全穩定運行，已經是必須關注的問題。在電子政務外網、互聯網的出口都各部署1臺H3C的千兆防火墻SECPATHF1000-S，電子政務外網的出口防火墻主要是做地址轉換和L2-L4的安全防護；互聯網出口的防火墻（增加SSLVPN板卡）主要做地址轉換、與外聯單位的IPSECVPN互聯、外出移動辦公人員的SSLVPN互聯；服務器區各通過1臺千兆防火墻上聯兩臺核心交換，利用千兆防火墻的安全域的劃分來限制外網PC對服務群的安全訪問；在外網的核心交換與千兆防火墻之間部署1臺入侵防御系統充分阻斷來自內外網的對網站后臺數據庫的注入掃描攻擊、異常字段進行過濾，保障網站的安全性。根據公安部72號文必須對互聯網的上網行為進行審計的規定，如XX政府綜合辦公外網拓撲所示，建議在互聯網出口防火墻與入侵防御系統之間部署1臺深信服的上網行為審計網關MA5100-AC-P。對外網的終端用戶的安全防護，將采用部署1套瑞星網絡版殺毒軟來實現，所有終端用戶的病毒補丁可以通過瑞星網絡版病毒服務器來實現分發、自動更新等。對外網的終端用戶的安全管理，可以采用在外網管理區部署1套H3C的終端安全管理系統（配合H3C網絡管理系統）的方法來實現，具體可以實現身份認證，病毒補丁、漏洞補丁分發、黑白軟件定制、資產管理、終端外設管理等功能。充分的保障了終端用戶的安全性。網絡管理設計外網要實現拓撲發現、故障告警、端口流量和設備硬件檢測、性能報表分析等功能，需要配備1套網絡管理系統，為了簡化網絡管理的工作量，提高工作效率，建議外網部署1套H3CIMC基礎網絡系統。配備50個網絡節點管理。下面簡述下H3CIMC智能網管系統：隨著網絡中的設備，接入用戶的增加，迫切需要一種管理系統，能根據業務、設備、用戶的擴展增加組件，使得用戶、網絡、業務能在單一管理平臺上統一管理、互相協同、操作簡便、滿足安全的多種業務、接入管理的需要。H3C公司的IMC智能網絡管理系統，采用組件化、模塊化設計，隨著業務、設備、用戶的擴展，添加需要的組件，能很好適應集團對網絡管理不斷豐富需要。iMC智能管理平臺，是在統一了設備資源和用戶資源管理的平臺框架的基礎上，實現的基礎業務管理平臺，包括iMC基本資源管理部分（不包括在本方案中）、iMC基礎網絡管理和iMC基本接入管理。本方案實現的具體內容包括：實現拓撲管理、圖形化界面設備配置管理（包括有線無線網融合管理、統一界面中實現從拓撲到終端用戶的無縫管理）、安全準入。IMC基礎網絡管理iMC基礎網絡管理，涵蓋了傳統網管的主要功能，包括告警管理、性能管理、拓撲管理等。iMC基礎網絡管理特性主要包括：豐富、實用的網絡視圖多樣化的網絡拓撲智能的告警顯示、過濾和關聯直觀的狀態監控性能管理用戶管理與網絡拓撲管理相融合豐富、實用的網絡視圖具備豐富的視圖功能，使得管理員可以從多個角度觀測和管理網絡。通過IP視圖，用戶可以觀測網絡的邏輯結構和物理結構。設備視圖，使得用戶對網絡中設備類型和數量一目了然。自定義視圖，使用戶可以按照任何希望的方式構造客戶化的網絡拓撲。并提供直觀簡便的預覽功能，集中監控用戶關心的重點設備和接口的狀態。多樣化的網絡拓撲拓撲更加美觀清晰，能夠實時顯示當前視圖的拓撲狀態。通過在拓撲上浮動顯示設備、鏈路的基本信息和CPU、鏈路流量等性能信息，管理員可以在拓撲界面中方便的對網絡中的設備以及相關鏈路進行監視，拓撲上提供了常用的Ping、telnet、TraceRT、打開設備Web網管和管理/不管理設備等常用操作和相關鏈接，拓撲可以作為管理員管理網絡的唯一入口。提供完整的IP拓撲、二層拓撲、鄰居拓撲，能夠顯示接入設備上的接入情況。用戶可以根據實際組網情況，定義自己關注的網絡拓撲。在安裝了其他組件的情況下，拓撲會增加相應的業務拓撲和操作鏈接，以滿足不同業務的需求。智能的告警顯示、過濾和關聯提供豐富的聲光告警，還可以針對不同的告警定義不同的操作提示以及維護參考等；匯總顯示發生故障的設備，方便管理員日常維護工作展。提供重復告警過濾、突發的大流量告警過濾、未知告警過濾和用戶自定義規則過濾，可以有效壓縮海量網絡告警，使得管理員直接關注真正的網絡故障。在安裝其他組件的情況下，還提供基本告警和業務告警的關聯，在基本告警發生后，系統進行關聯分析，自動產生業務告警。管理員即可根據基本告警從而迅速定位問題，縮短平均修復時間。又可根據業務告警，分析出受影響的業務，為網絡的現狀評估和優化提供數據基礎。直觀的狀態監控與傳統的網管告警和拓撲狀態互相分離做法不同，使用顯著的顏色把故障狀態直觀的反映在拓撲中的設備和鏈路圖標上，用戶僅需要查看拓撲，即可知道網絡的整體運行狀態。性能管理提供了對系統所管理的各種設備性能參數的公共監視功能，比如內存利用率、CPU利用率、設備不可達率、設備響應時間和接口性能數據等。可對每一個性能指標設置二級閾值，發送不同級別的告警。用戶可以根據告警信息直接了解到設備某指標的性能情況，有助于用戶隨時了解網絡的運行狀態，預防網絡故障，預測網絡發展趨勢，合理優化網絡。通過歷史監控報表和TopN報表管理員可以快速得到網絡中需要關注的設備的詳細信息，通過報表的導出和打印功能，管理員能夠迅速將網絡狀況匯總數據上報給各級領導，為網絡的決策提供有利的支撐。

用戶管理與網絡拓撲管理相融合在拓撲上可以直觀的操作接入設備、接入終端相關的用戶管理功能。比如查看用戶信息、強制用戶下線、執行安全檢查等。使終端用戶的管理更加直觀清晰。用戶管理與網絡設備管理相融合，用戶管理操作更加簡單接入設備列表中可以直接看到用戶相關信息，在使得操作簡單方便的基礎上，又提高了操作員日常維護的效率：可針對選定的接入設備進行用戶操作，比如，針對某個接入設備，將其所掛的用戶全部下線處理等；可以在在線用戶列表中通過點擊接入設備，直接查看當前在線用戶所對應的接入設備的詳細信息，比如，對應的基本信息、告警、性能狀況等。該功能使得操作更友好，全面提升操作員的操作體驗；IMC接入用戶管理iMC基本接入管理，主要管理用戶的接入準入和控制。主要包括：支持多種接入及認證方式嚴格的權限控制手段詳盡的用戶監控集中方便的用戶管理為接入設備提供查詢設備明細信息的鏈接接入設備管理與拓撲管理的融合支持多種接入及認證方式，適合多種接入組網場景及應用場景：支持802.1x、無線接入等多種認證接入方式；支持用戶與設備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認證，增強用戶認證的安全性，防止賬號盜用和非法接入；支持與Windows域管理器、第三方郵件系統（必須支持LDAP協議）的統一認證，避免用戶記憶多個用戶名和密碼。支持端點準入防御（EAD）解決方案，確保所有接入網絡的用戶終端符合企業的安全策略。嚴格的權限控制手段，強化用戶接入控制管理：用戶權限控制策略，可以為不同用戶定制不同網絡訪問權限；禁止用戶設置和使用代理服務器，有效防止個別用戶對網絡資源的過度占用；可限制用戶IP地址分配策略，防止IP地址盜用和沖突；可以限制用戶的接入時段和接入區域，用戶只能在允許的時間和地點上網；可以限制終端用戶使用多網卡和撥號網絡，防止內部信息泄露；可以限制用戶必須使用專用安全客戶端，并強制自動升級，確保認證客戶端的安全性；詳盡的用戶監控，強化對終端用戶的監視控制：接入業務組件提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源；管理員可以實時監控在線用戶，強制非法用戶下線；支持消息下發，管理員可以向上網用戶發布通知消息，如“系統升級，網絡將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等；iMC接入業務組件記錄認證失敗日志，便于方便定位用戶無法認證通過的原因；集中方便的接入業務用戶管理，簡化管理員維護操作基于服務的用戶分類管理，用戶的認證綁定策略、安全策略、訪問權限均封裝于服務中，簡化管理員的操作，保證網絡管理模式的統一；接入用戶相關的管理動作集中化，界面對操作員來說更友好、更美觀易用：為接入設備提供查詢設備明細信息的鏈接，操作簡便：可以通過簡單的鼠標點擊即可看到接入設備的詳細信息，比如，對應的基本信息、告警、性能狀況等；接入設備管理與拓撲管理的融合，使得設備管理更簡單，管理更方便：拓撲中可以清晰的顯示出接入設備，并能查看接入設備相關信息，并可以通過很簡單的鼠標點擊方式，將此接入設備設置為非接入設備。EAD端點準入控制802.1x協議在傳統的局域網環境中，只要有物理的連接端口，未經授權的網絡設備就可以接入局域網，或者是未經授權的用戶可以通過連接到局域網的設備進入網絡。這樣造成了潛在的安全威脅。另外，在網絡中涉及到機密數據，所以驗證用戶接入的合法性也顯得非常重要。IEEE802.1x正是解決這個問題的良藥，目前已經被集成到二層智能交換機中，完成對用戶的接入安全審核。802.1x協議是剛剛完成標準化的一個符合IEEE802協議集的局域網接入控制協議，其全稱為基于端口的訪問控制協議。它能夠在利用IEEE802局域網優勢的基礎上提供一種對連接到局域網的用戶進行認證和授權的手段，達到了接受合法用戶接入，保護網絡安全的目的。802.1x協議與LAN是無縫融合的。802.1x利用了交換LAN架構的物理特性，實現了LAN端口上的設備認證。在認證過程中，LAN端口要么充當認證者，要么扮演請求者。在作為認證者時，LAN端口在需要用戶通過該端口接入相應的服務之前，首先進行認證，如若認證失敗則不允許接入；在作為請求者時，LAN端口則負責向認證服務器提交接入服務申請。基于端口的MAC鎖定只允許信任的MAC地址向網絡中發送數據。來自任何“不信任”的設備的數據流會被自動丟棄，從而確保最大限度的安全性。我們選擇H3C交換機完全支持802.1x協議，H3C交換機在802.1x認證中充當認證系統及認證服務器角色（需要配合IMC平臺使用）,用戶在使用網絡前需要經過認證交換機802.1x的認證，即使非法用戶有條件盜用合法用戶計算機上網，但無法通過交換機的802.1x認證，也是無法接入網絡的。采用H3C設備實現端點準入802.1X與認證服務器、策略服務器、安全代理結合的內網安全防護體系，能夠防止非法用戶和設備接入網絡，防止不符合安全策略的用戶對網絡產生威脅，例如惡意接入點、病毒庫未及時升級、操作系統未打補丁等。服務器及存儲系統設計在服務器區部署4臺IBMX3650M2服務器，其中2臺作為數據庫服務器使用（利用HA軟件做雙機）、1臺作為WEB服務器使用、1臺作為備份服務器使用；結合2.3.1存儲備份系統需求，外網的存儲備份系統設計如下：4臺服務器分別通過光纖HBA卡與兩臺IBMB24光纖交換機相連，兩臺光纖交換機通過千兆短波模塊與1臺IBMDS3200磁盤陣列相連，構成FCSAN網絡，實現對外網服務器區數據的集中存儲。另外在外網服務器區部署1臺愛數的備份存儲系統實現對DS3200磁盤陣列中的關鍵數據、外網終端PC的重要數據的集中備份。以便在系統遭到病毒破壞、數據損壞、崩潰時可以恢復數據。實現對關鍵數據的保護。虛擬園區網技術針對貴單位計算機網絡系統設計時，需要考慮引入虛擬園區網技術，來實現業務訪問接入和業務訪問隔離，有關業務訪問接入和業務訪問隔離的內容請見下面章節詳述。5.4.1業務訪問接入實現數據中心虛擬網需求進行分析，不僅不同的用戶需要隔離和下發不同的訪問權限，同一個用戶在不同的情況下也需要下發不同的訪問權限，我們稱之為用戶靈活業務訪問模式。針對該需求，結合網絡規劃設計中交換機設備和EAD的相關特性，可以通過兩種方式來實現：GuestVLAN方式和EAD多服務認證方式。GuestVLAN方式GuestVLAN是指客戶認證端口在認證之前應該屬于一個缺省VLAN，用戶訪問該VLAN內的資源不需要認證，但此時不能夠訪問其他資源。用戶經過802.1X認證成功后，又屬于用戶配置的VLAN，此時用戶可以訪問其他的網絡資源。通過對網絡的初始配置，可以限定用戶在GuestVLAN中所能訪問的資源，例如獲取客戶端，用戶升級程序，或僅訪問Internet。用戶如果需要訪問其他資源，必須通過認證。EAD多服務認證方式EAD具有多服務認證的特性。對于一個需要跨應用訪問網絡資源的用戶，網絡管理者需要為他們在不同的業務網絡中制定相應的安全策略，這通常是在策略服務器上配置多個服務來實現的。每個服務配置獨立的安全檢查項，以及下發的ACL或VLAN，因此每個服務可對應一個業務網絡。如下圖所示，用戶使用“@Internet”域后綴通過認證后，從屬于動態VLAN10，能夠訪問Internet資源，不能訪問辦公網絡資源。用戶需要訪問辦公網絡資源時，使用“@neiwang”域后綴重新發起認證，認證通過后，從屬于動態VLAN110，具有內網的訪問權限，不能再訪問Internet。5.4.2業務訪問隔離實現出于投資成本、組網靈活性、維護復雜度等的考慮，數據中心網絡需要在一張物理網絡上承載多個服務，同時希望通過隔離技術對接入用戶之間實行安全隔離和受控互訪。如下圖所示：因為Internet核心交換機和辦公網絡核心交換機之間連通，用戶A訪問辦公網絡的流量有可能通過Internet交換機再到辦公網絡交換機，反之訪問Internet的流量也可能會通過辦公網絡交換機，這樣用戶與用戶、Internet與辦公網絡通過路由在IP層面上事實上已經連通。因此，隔離和控制用戶、業務之間的訪問流量就成為網絡規劃必須要著重考慮的問題，這需要使用邏輯隔離技術。系統設備清單主要產品參數H3CSecPathT200-A技術參數項目T200-A固定接口4×GECombo口擴展槽位2接口模塊4×GE電口8×GE電口4×GE光口電源輸入100V～240VAC；50/60Hz額定功率100W電源1+1（可選配RPS冗余電源供應器）特征庫數量10000+，不斷更新中攻擊防范支持Web保護、郵件服務器保護、FTP服務器保護、DNS漏洞、跨站點編寫腳本、SNMP漏洞、蠕蟲和病毒、暴力攻擊和防護、SQLInjections、后門和特洛伊木馬、間諜軟件、DDoS、探測/掃描、網絡釣魚、協議異常、IDS/IPS逃逸攻擊等病毒防范支持文件型、網絡型和混合型病毒等P2P識別支持BT、eDonkey、eMule、網際快車、迅雷、PPLive、QQLive等IM識別支持MSN、QQ、Google/Gtalk、YahooMessenger等URL過濾支持自定義URL過濾規則庫、基于時間段過濾等響應方式支持阻斷、限流、重定向、隔離、Email告警等升級方式自動/手動環保標準通過歐盟嚴格的環保標準RoHS管理界面中文/英文尺寸（高×寬×深）44mm×442mm×463mm重量6.8Kg千兆防火墻H3CSecPathF1000-S技術參數模塊化專用軟、硬件平臺防火墻，擴展插槽數量2個；提供4個固定GE（兩個固定光電COMBO口，兩個電口），冗余電源供電；數據吞吐量1Gbps；最大會話連接數100萬個；每秒新建連接數10,000/秒；IPSECVPN隧道數3500，3DES加密吞吐率600Mbps；支持路由、橋接、NAT多種工作模式；支持TCP、UDP、HTTP、FTP等狀態檢測；支持H.323、ICMP、DNS、NetMeeting、NBT等協議；支持PPP、PPPOE、ARP、DHCP中繼，支持L2TP、GRE、VRRP、SNMP、IPSec/IKE等協議；支持靜態NAT及動態NAT，并能夠實現一對一、一對多的地址映射；支持應用層動態包過濾技術，支持基于接口的訪問控制列表，基于時間段的訪問控制列表；支持郵件/網頁過濾；支持安全日志、管理；支持黑、白名單功能；可防范多種DoS攻擊，如：SYNFlood、ICMPFlood、UDPFlood、Land攻擊、Smurf攻擊、Fraggle攻擊、WinNuke攻擊、ICMP重定向或不可達報文、TCP報文標志位不合法、PingofDeath攻擊、TearDrop攻擊、IPSpoofing攻擊等。內網MSR30系列路由器技術參數項目MSR30-16MSR30-20MSR30-40MSR30-60處理器RISC新一代處理器（400MHz）RISC新一代處理器（533MHz）RISC新一代處理器（533MHz）RISC新一代處理器（533MHz）轉發性能240Kpps300Kpps360Kpps360Kpps固定接口2個百兆以太電口2個千兆以太電口2個千兆以太光/電口(Combo)2個千兆以太光/電(Combo)模塊插槽4個SIC插槽4個SIC插槽4個SIC插槽4個SIC插槽1個MIM插槽2個MIM插槽4個MIM插槽6個MIM插槽ESM插槽2222VPM插槽2233VCPM1111USB1222AUX1111配置口1111硬件加密支持支持支持支持內存（缺省/最大）256M/768M（DDR）256M/1G（DDR）256M/1G（DDR）256M/1G（DDR）CF256M/1G256M/1G256M/1G256M/1G最大功耗100W125W210W210W電源（AC）輸入額定范圍：100～240V50/60Hz輸入額定范圍：100～240V50/60Hz輸入額定范圍：100～240V50/60Hz輸入額定范圍：100～240V50/60Hz外形尺寸（W×D×H）442mm×441.8mm×44.2mm442mm×441.8mm×44.2mm442mm×422.3mm×88.2mm442mm×421.8mm×132mm重量6kg6.9kg11.9kg13.6kg環境溫度0～400～400～400～40環境相對濕度5～90%（不結露）5～90%（不結露）5～90%（不結露）5～90%（不結露）EMCETSIEN300386V1.3.1(2001-09)EN55022(1998)EN55024(1998)FCCPart15ICES-003VCCIV-3AZ/NZSCISPR22安規UL609503rd

EditionCSA22.2#9503rdEdition1995EN60950:2000+ZB&ZCdeviationsforEuropeanUnionLVDDirectiveIEC60950:1999+corr.Feb.2000,modified+allNationaldeviations內網核心交換S7503E技術參數屬性S7503E整機交換容量480Gbps背板容量≥1TbpsIPv4包轉發率276Mpps槽位數量5業務槽位數量3冗余設計電源、主控冗余二層特性支持IEEE802.1P(CoS優先級)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），靈活QinQ和Vlanmapping支持IEEE802.3x（全雙工流控）和背壓式流控（半雙工）支持IEEE802.3ad（鏈路聚合）和跨板鏈路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速環網保護協議）支持跨板端口/流鏡像支持端口廣播/多播/未知單播風暴抑制支持JumboFrame支持基于端口、協議、子網和MAC的VLAN劃分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持點到點單VLAN交叉連接、雙VLAN交叉連接全部依靠VLAN-ID進行轉發，不涉及MAC地址學習支持最大VLANMAPING/靈活QinQ表項全面支持1:1,2:1,1:2,2:2VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持靜態路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart優雅重啟)支持等價路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4雙棧組播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每單板最大支持16KACL支持標準和擴展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可達8Kbps支持兩級Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP優先級Mark/Remark支持層次化QoS（H-QoS），支持三級隊列調度支持隊列調度機制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8隊列支持擁塞避免機制，包括Tail-Drop、WRED支持N：2MirroringMPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分層VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP協議安全機制支持EAD安全解決方案支持Portal認證支持MAC認證支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行認證支持SSHv1.5/SSHv2支持ACL流過濾機制支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證支持命令行采用分級保護方式，防止未授權用戶的非法侵入，為不同級別的用戶有不同的配置權限支持受限的IP地址的Telnet的登錄和口令機制支持IP地址、VLANID、MAC地址和端口等多種組合綁定支持uRPF支持主備數據備份機制支持故障后報警和自恢復支持數據日志系統管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量統計支持RMON支持NTP時鐘支持NetStream流量統計功能可靠性支持主控板1+1冗余備份支持電源1+1冗余備份采用無源背板設計所有單板支持熱插拔支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持熱補丁環境要求溫度范圍：0℃～45相對濕度：10%～95%（非凝結）安規和EMC認證通過了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的認證電源DC：–48V～–60VAC：100V～240VPOE電源支持內置PoE電源(S7506E-S不支持)外形尺寸（寬×高×深）(mm)436x708x420滿配重量(kg)≤96kg外網核心交換S7506E技術參數屬性S7506E整機交換容量768Gbps背板容量≥1.6TbpsIPv4包轉發率492Mpps槽位數量8業務槽位數量6冗余設計電源、主控冗余二層特性支持IEEE802.1P(CoS優先級)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），靈活QinQ和Vlanmapping支持IEEE802.3x（全雙工流控）和背壓式流控（半雙工）支持IEEE802.3ad（鏈路聚合）和跨板鏈路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速環網保護協議）支持跨板端口/流鏡像支持端口廣播/多播/未知單播風暴抑制支持JumboFrame支持基于端口、協議、子網和MAC的VLAN劃分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持點到點單VLAN交叉連接、雙VLAN交叉連接全部依靠VLAN-ID進行轉發，不涉及MAC地址學習支持最大VLANMAPING/靈活QinQ表項全面支持1:1,2:1,1:2,2:2VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持靜態路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart優雅重啟)支持等價路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4雙棧組播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每單板最大支持16KACL支持標準和擴展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可達8Kbps支持兩級Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP優先級Mark/Remark支持層次化QoS（H-QoS），支持三級隊列調度支持隊列調度機制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8隊列支持擁塞避免機制，包括Tail-Drop、WRED支持N：2MirroringMPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分層VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP協議安全機制支持EAD安全解決方案支持Portal認證支持MAC認證支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行認證支持SSHv1.5/SSHv2支持ACL流過濾機制支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證支持命令行采用分級保護方式，防止未授權用戶的非法侵入，為不同級別的用戶有不同的配置權限支持受限的IP地址的Telnet的登錄和口令機制支持IP地址、VLANID、MAC地址和端口等多種組合綁定支持uRPF支持主備數據備份機制支持故障后報警和自恢復支持數據日志系統管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量統計支持RMON支持NTP時鐘支持NetStream流量統計功能可靠性支持主控板1+1冗余備份支持電源1+1冗余備份采用無源背板設計所有單板支持熱插拔支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持熱補丁環境要求溫度范圍：0℃～45相對濕度：10%～95%（非凝結）安規和EMC認證通過了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的認證電源DC：–48V～–60VAC：100V～240VPOE電源支持內置PoE電源(S7506E-S不支持)外形尺寸（寬×高×深）(mm)436x708x420滿配重量(kg)≤96kgIBMDS3200磁盤陣列技術參數安裝調試方案為了更好的實施該項目，根據上述設計方案和用戶相關需求，我們制定了以下安裝調試方案。IP地址及VLAN規劃IP地址空間的分配與合理使用與網絡拓撲結構、網絡組織及路由政策有非常密切的關系，將對網絡的可用性、可靠性與有效性產生顯著影響，應充分考慮網絡對IP地址的需求，以滿足未來業務發展對IP地址的需求。IP地址分配基本原則IP地址的合理分配是保證網絡順利運行和網絡資源有效利用的關鍵。對于IP地址的分配應該充分考慮到地址空間的合理使用，保證實現最佳的網絡內地址分配及業務流量的均勻分布。IP地址分配既要考慮到擴充，又要能做到連續：盡量給每個單位分配連續的IP地址空間，并為將來的網絡擴展預留一定的地址空間。IP地址的分配必須采用VLSM技術，保證IP地址的利用率；采用CIDR技術，可減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網絡中廣播的路由信息的大小。IP地址規劃貴單位IP地址主要涉及網絡用戶地址、設備管理及互聯地址的規劃。下面將例舉：貴單位網絡用戶IP地址在/16這個B類地址內進行規劃。外網設備管理及互聯地址在/8這個A類地址內進行規劃。內網設備管理及互聯地址在/16這個B類地址內進行規劃（將現有網絡的地址段排除后再規劃，以免地址重疊）。具體的IP地址規劃如下表：用戶網關使用本網段地址的最后一地址，及172.16.X.254。地址具體規劃需要視綜合辦公樓的部門分布情況而定，再做具體規劃。VLAN的規劃將根據貴單位部門分布情況或根據項目實施前期與貴單位相關技術人員溝通后再規劃。生成樹的設計MSTP（MultipleSpanningTreeProtocol）是多生成樹協議的英文縮寫，該協議兼容STP（SpanningTreeProtocol）和RSTP（RapidSpanningTreeProtocol）。STP不能快速遷移。即使是在點對發狀態。點鏈路或邊緣端口，也必須等待2倍的Forwarddelay的時間延遲，端口才能遷移到轉RSTP可以快速收斂，但是和STP一樣存在以下缺陷：局域網內所有網橋共享一棵生成樹，不能按VLAN阻塞冗余鏈路，所有VLAN的報文都沿著一棵生成樹進行轉發。MSTP可以彌補STP和RSTP的缺陷，它既可以快速收斂，也能使不同VLAN的流量沿各自的路徑分發，從而為冗余鏈路提供了更好的負載分擔機制。MSTP設置VLAN映射表（即VLAN和生成樹的對應關系表）把VLAN和生成樹聯系起來。同時它把一個交換網絡劃分成多個域，每個域內形成多棵生成樹，生成樹之間彼此獨立。MSTP將環路網絡修剪成為一個無環的樹型網絡，避免報文在環路網絡中的增生和無限循環，同時還提供了數據轉發的多個冗余路徑，在數據轉發過程中實現VLAN數據的負載均衡。基于以上優點，生成樹選用MSTP模式。并且設置核心交換機為root和secondary，將所有VLAN分為兩組生成樹實例，分別將根節點設置在兩臺核心交換機上。對于內網通過配置生成樹的計算參數中的優先級將一半VLAN的生成樹根節點設置在S7503E-1（主交換）上，剩余VLAN的生成樹根節點設置在S7503E-2（從交換）上；對于外網內網通過配置生成樹的計算參數中的優先級將一半VLAN的生成樹根節點設置在S7506E-1（主交換）上，剩余VLAN的生成樹根節點設置在S7506E-2（從交換）上。各層網絡之間采用二層連接的方式，各互聯端口設置為Trunk。外網和內網的網關都在其核心交換上啟用，利用其核心交換實現VLAN的終結。典型配置命令（舉例）[H3C]stpregion-configuration[H3C-mst-region]region-nameexample[H3C-mst-region]instance1vlan10[H3C-mst-region]instance3vlan30[H3C-mst-region]instance4vlan40[H3C-mst-region]revision-level0手工激活MST域的配置。[H3C-mst-region]activeregion-configuration定義SwitchA為實例1的樹根[S7503E-1]stpinstance1rootprimary定義SwitchB為實例1的樹根[S7503E-2]stpinstance1rootsecondary設備安裝設計在綜合辦公樓的3樓中心機房部署內網的兩臺核心交換S7503E、外網的兩臺核心交換S7506E；內網的6臺接入交換分別通過兩根千兆多模光纜匯聚3樓中心機房的兩臺S7503E。內網的深信服網絡行為審計網關、2臺MSR30-40路由器、2臺千兆防火墻F1000-S，都部署在綜合辦公樓3樓的中心機房。外網的6臺接入交換分別通過兩根千兆多模光纜匯聚3樓中心機房的兩臺S7506E。外網的深信服網絡行為審計網關，電子政務外網、互聯網出口的2臺千兆防火墻F1000-S，外網服務區前的兩臺千兆防火墻F1000-S，1臺H3C的入侵防御設備（SECPATHT200-A）都部署在綜合辦公樓3樓的中心機房。核心交換的安裝地點節點位置S7503ES7506E綜合辦公樓3樓中心機房22接入交換機安裝地點接入交換機具體分布視后期具體需求而定，建議用戶為樓層接入層交換機配置理線架。以下分別是機箱式交換機的模塊安裝圖例：S7503E的安裝1LSQM1MPUB023LSQM1GT24SC04LSQM1GP24SC05LSQM1AC1400LSQM1AC1400每臺含1塊引擎、2塊1400W電源，1塊24千兆光口業務板、1塊24千兆電口業務板S7506E的安裝1LSQM1MPUB023LSQM1GT24SC04LSQM1GP24SC05678LSQM1AC1400LSQM1AC1400設備命名及地址分配設備命名描述網絡設備命名的規則，并給出示例以及全部設備命名表。設備命名一般應包含設備型號、安裝地點、編號（若有多臺）等信息。網絡設備命名規則：DDD-YYYY-Z1-2-31．地點：表示網絡設備安裝地點的命名，如ZBL即主辦公樓的意思。2．設備型號：網絡設備的主要型號表示方法。3．編號：為了區分同一個地點有多個相同設備，取值為NUM。線纜標簽規則線纜標簽規則：AAA-BBB-CCC-DDDAAA：本端設備名BBB：本端接口CCC：對端設備名DDD：對端接口。為減少長度，設備名采用簡寫。設備地址分配在內網設備上設置VLAN500，并配置相應VLAN接口地址，作為統一的設備管理地址。在外網設備上設置VLAN1000，并配置相應VLAN接口地址，作為統一的設備管理地址。設備管理地址編碼規則設備管理地址編碼原則如下：外網設備地址在/8內設計互聯。10.X.Y.ZX：代表設備處于網絡的哪一層。核心設備X=1匯聚設備X=2第一級接入層設備X=3第二級，級聯接入設備X=4以此類推。Y：代表設備所處地理位置。需要對綜合辦公樓的地理位置進行編號。（假定分機房位置不變）編號地理位置1綜合辦公樓1樓-3樓2綜合辦公樓4樓-6樓3綜合辦公樓7樓-9樓4綜合辦公樓10樓-12樓5。。。。。。。6。。。。。。。7。。。。。。。891011Z：相同位置的設備順序編號。設備管理地址注：關于內網、外網各接入交換機的設備管理地址規劃需要根據弱電間接入交換分配情況后定制。NTP網絡時間同步管理網絡時間協議（NTP）是用來在整個網絡內發布精確時間的TCP/IP協議，其本身的傳輸基于UDP。貴單位網絡是一個大規模的網絡，必須確保全網的時間同步，才能有效地維護網絡正常運行，以確保基地業務的順利開展。每臺網絡設備都有自己的系統時鐘，能夠保存當前的日期和時間。NTP主要解決網絡內所有路由器的時鐘同步問題，除此之外，它也能用于在給定網絡內所有系統時鐘的同步，包括工作站或其它具有時鐘的系統。對于各種各樣的工作站和服務器來講，都有相應的NTP客戶端軟件。對于一個網絡內所有的網絡設備，使其時鐘同步是非常重要的，因為：網絡設備是以同一公共時間為參考，采集的調試與事件時間戳才有意義。事物處理需要精確的時間戳(Timestamps)。復雜的事物往往由多個系統來處理，為保證事件的正確順序，多個系統必須參考同一時鐘。完成某些功能如同時重起(Reload)網絡內的所有路由器，整個網絡必須擁有公共時鐘。NTP通常能夠使廣域網內的所有系統時鐘在10毫秒內同步。在貴單位網絡中實現時間同步，對于內網將其兩臺核心交換機配置為NTP服務器，并實現互為備份，其它防火墻、交換機、服務器配置與這兩臺NTP服務器進行時間同步。主機房的S7503E做Server。外網可以根據情況選擇此策略。典型配置命令H3C1設置本地時鐘作為NTP主時鐘，層數為2，H3C2以H3C1作為時間服務器，將其設為server模式，自己為client模式。（說明：H3C1是支持本地時鐘作為主時鐘的交換機）配置以太網交換機H3C1：設置本地時鐘作為NTP主時鐘，層數為4。[H3C1]ntp-servicerefclock-master4配置以太網交換機H3C2：設置H3C1為時間服務器。[H3C2]ntp-serviceunicast-server1路由協議規劃由于本次項目涉及的2兩套網：內網的核心與接入，外網的核心與接入點（接入層二層VLAN透傳）直連的，所以接入層到核心采用的是直連路由，從核心到上層是才用缺省路由。路由協議安全管理URPF（單播逆向路徑轉發）。源地址欺騙是一種常用的網絡攻擊方法，攻擊者通過偽造合法的IP地址，與被攻擊對象之間建立連接，從而進一步獲得需要的信息。URPF（單播逆向路徑轉發）功能的原理是通過對正常IP報文進行基于源地址的路由查找，并獲得該源地址的下一跳及出接口，如果該接口與本IP報文的實際接收接口不一致，則可以斷定是源地址欺騙報文，并將該報文丟棄。可以通過啟動URPF特性，防范網絡中通過修改源地址而進行惡意攻擊行為的發生。但該特性由于需要對每一個轉發的報文多進行一次路由查找，對設備的轉發性能會有一定影響。有些IP特性對局域網來說是有用的，但對廣域網或城域網節點的設備是不適用的。如果這些特性被惡意攻擊者利用，會增加網絡的危險，因此，網絡設備應具備關閉這些IP功能的能力。VRRP（虛擬路由器冗余協議）VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協議）VRRP是一種容錯協議，它保證當主機的下一跳路由器出現故障時，由另一臺路由器來代替出現故障的路由器進行工作，從而保持網絡通信的連續性和可靠性。VRRP具有如下優點：（1）簡化網絡管理。在具有多播或廣播能力的局域網（如以太網）中，借助VRRP能在某臺設備出現故障時仍然提供高可靠的缺省鏈路，有效避免單一鏈路發生故障后網絡中斷的問題，而無需修改動態路由協議、路由發現協議等配置信息，也無需修改主機的默認網關配置（2）適應性強。VRRP報文封裝在IP報文中，支持各種上層協議（3）網絡開銷小。VRRP只定義了一種報文——VRRP通告報文，并且只有處于Master狀態的路由器可以發送VRRP報文。認證方式VRRP提供了三種認證方式：(1)無認證：不進行任何VRRP報文的合法性認證。不提供安全性保障，可以用在完全封閉的小型內部網絡中。(2)簡單字符認證：在一個有可能受到安全威脅的網絡中（例如VRRP組設備和少量辦公網設備處于同一網絡），可以將認證方式設置為簡單字符認證。發送VRRP報文的路由器將認證字填入到VRRP報文中，而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同，則認為接收到的報文是合法的VRRP報文；否則認為接收到的報文是一個非法報文。（本次項目VRRP協議建議采用此項認證）(3)MD5認證：在一個非常不安全的網絡中（VRRP組設備和大量辦公、娛樂設備處于同一網絡），可以將認證方式設置為MD5認證。發送VRRP報文的路由器利用配置的密文認證字和MD5算法對VRRP報文進行加密，加密后的報文保存在AuthenticationHeader（認證頭）中。收到VRRP報文的路由器會利用器會利用認證字解密報文，檢查該報文的合法性。這樣可以達到最佳的安全性。VRRP工作過程： (1)路由器使能VRRP功能后，會根據優先級確定自己在虛擬路由器中的角色。初始創建的路由器工作在Backup狀態，通過VRRP通告報文的交互獲知VRRP組成員的優先級。在等待Master_Down_Interval之后，優先級高的路由器成為Master路由器，優先級低的保持Backup路由器狀態。新變為Master的路由器會立即發送免費ARP，通知與它連接的設備或者主機，自己的虛擬MAC地址；之后它定期發送VRRP通告報文，通知虛擬路由器內的其他設備自己工作正常；Backup路由器則處于監聽或者等待狀態。(2)在搶占方式下，當Backup路由器收到VRRP通告報文后，會將自己的優先級與通告報文中的優先級進行比較。如果大于通告報文中的優先級，則主動成為Master路由器；否則將保持Backup狀態。(3)在非搶占方式下，只要Master路由器沒有出現故障，Backup路由器始終保持Backup狀態，即使隨后被配置了更高的優先級也不會搶占成為Master路由器。(4)如果Backup路由器的定時器超時后仍未收到Master路由器發送來的VRRP通告報文，則認為Master路由器已經無法正常工作，此時Backup路由器會主動成為Master路由器，并對外發送VRRP通告報文。虛擬路由器內的路由器根據優先級選舉出Master路由器，承擔報文的轉