目錄第一章、 智能建筑弱電系統工程建設概述 3一、 智能建筑的產生 3二、 智能建筑系統建設的必要性 4三、 智能化系統的建設目標 4四、 智能化系統設計原那么、理念 5五、 智能化弱電系統設計依據 6第二章、 中國電子進出口總公司辦公樓智能化系統工程總述 7一、 工程簡介 7二、 設計思路 8(一)、 信息網絡系統 8(二)、 綜合布線系統 8(三)、 會議系統 9(四)、 信息發布系統 9(五)、 時鐘系統 9(六)、 平安防范系統 10(七)、 機房工程 10(八)、 智能化集成管理系統 10第三章、 信息網絡系統 11一、 系統概述 11二、 網絡平安 11(一)、 設計原那么 11(二)、 需求分析 12(三)、 主要任務 20(四)、 網絡平安方案設計 22三、 交換網絡 26(一)、 需求分析 26(二)、 設計思想 28(三)、 網絡廠商選擇 30(四)、 設計方案 32第四章、 綜合布線系統 49一、 系統概述 49二、 綜合布線系統設計目標 49三、 綜合布線系統設計原那么 50四、 系統設計 50第五章、 會議系統 56一、 系統概述 56二、 系統分析設計 60第六章、 信息發布系統 64一、 系統概述 64二、 系統設計 64第七章、 時鐘系統 66一、 系統概述 66二、 系統構成 66三、 系統設計 66第八章、 平安防范系統 67一、 系統概述 67二、 系統功能分析 67三、 系統組成 67(一)、 視頻安防監控系統 68(二)、 出入口控制子系統 71第九章、 機房工程 73一、 系統介紹及功能 73二、 總體技術要求 73三、 機房布局 75四、 機房設計 75(一)、 裝飾工程 76(二)、 機房供配電 78(三)、 防雷接地系統 81(四)、 綜合布線系統 83(五)、 精密空調系統 83(六)、 新風、排風、排煙系統 84(七)、 集中監控系統 85(八)、 KVM 90(九)、 其它 91第十章、 智能化集成管理系統 92第十一章、 工程估算 93智能建筑弱電系統工程建設概述智能建筑的產生隨著經濟的開展、高新科學技術的出現，人們對工作和生活環境的要求越來越高。全面開展和應用現代建筑技術、控制技術、通信技術及信息效勞，提高工作效率和管理水平，提高生活質量，是當代建筑的主要特征。“智能建筑〞這一建筑學的新名詞、新概念由此應運而生。智能建筑是信息時代、高科技時代的產物，是多學科和多技術綜合應用的結果。將建筑科學、管理科學、環境科學、人文科學與電氣技術、空調技術、4C技術〔即Computer計算機技術、Control控制技術、Communication通信技術、CRT圖形顯示技術〕綜合應用于建筑物之中，與建筑藝術有機結合，使建筑物具有平安、舒適、靈活、高效、環保、節能等特點。智能建筑是一個開展中的概念，建筑物智能化程度隨科學技術的開展及人們對其功能要求的變化而不斷更新、逐步提高。美國智能建筑學會〔AIBI〕“智能建筑〞的定義是將結構、系統、效勞和管理等四項根本要求，以及它們之間的內在關系，進行優化組合，來提供一個投資合理的具有高效、節能、舒適、便利的環境的建筑物；我國智能建筑權威機構--中國智能建筑專業委員會將“智能建筑〞定義為：智能建筑系利用系統集成方法,將智能型計算機、通信技術、信息技術與建筑藝術有機結合,通過對設備的自動監控,對信息資源的管理和對使用者的信息效勞及其與建筑的優化組合,所獲得的投資合理、適合信息社會需要并且平安、高效、舒適、便利和靈活特點的建筑物。智能建筑系統建設的必要性建筑作為人工環境，是滿足人類物質和精神生活需要的重要組成局部。然而，人類對感官享受的過度追求，以及不加節制的開發與建設，使現代建筑不僅疏離了人與自然的聯系和交流，也給環境和資源帶來了沉重的負擔。據統計，人類從自然界所獲得的50%以上的物質原料用來建造各類建筑及其附屬設施，這些建筑在建造與使用過程中又消耗了全球能源的50%左右；在環境的總體污染中，與建筑有關的空氣污染、光污染、電磁污染就占了34%；建筑垃圾那么占人類活動產出垃圾總量的40%；在開展中國家劇增的建筑量還造成侵占土地、破壞生態環境等現象的日益嚴重。智能建筑的誕生大大改善了這一現狀，不僅能延長建筑物的使用壽命，降低設備的能耗，提高樓宇管理工作的效率，節省人工費用，而且更主要的是，其優美完善的環境與設施能大大提高建筑物使用人員的工作效率與生活舒適感、平安感和便利感，是建造者與使用者都獲得很高的經濟效益。僅就節能降耗這一項來講，在智能建筑上很小的投入就能帶來可觀的回報。有統計數據證明，到達節能20-30%標準的建筑，只是在原來建筑的造價根底上再增加5-7個百分點，所增加的造價預計在五到八年的時間內就可以收回。但是，它給人們提供的室內環境是完全不一樣的，它對外部環境的影響也是大不一樣的。智能化系統的建設目標隨著時代的開展，現代高科技已經有能力為用戶提供前人所不能想象的各種功能。而智能化弱電系統正是現代科技開展的最具代表性的產物，是時代開展的總趨勢。智能化弱電系統的設計也隨著技術的進步在開展變化，二十一世紀建筑智能化設計所追求的是以人為本和可持續開展。總之，就此工程我們智能化系統的建設目標是：提供高度平安、優雅舒適、方便快捷、以人為本的優質效勞國海廣場A座是集辦公、會議、效勞、等多功能于一體的高檔、大型綜合建筑，向公眾提供優質的效勞是智能建筑先進科學管理的最終表達，也是智能建筑追求的最終目標。我們把效勞的功能分為三方面，即確保大樓內人員和財產的高度平安以及對災害和突發事件的防御能力；提供舒適的室內環境；建立信息和通信的高速快捷的效勞，做到以人為本。建立先進科學的綜合管理機制要實現管理的智能化，就必須系統的智能化，即使有前期的優化設計、先進可靠的系統產品、高質量的工程實施，如果沒有完善、科學的綜合管理機制，這樣的智能建筑建設也是不成功的，甚至是完全失敗的。因此在國海廣場A座智能化弱電系統工程中，使系統能適應和滿足大樓內管理體制的需求，同時，管理要在系統軟件、硬件的支持下得以完善和提升。節省能源和保護環境，降低人工本錢通過管理的科學化、智能化，以最低的費用去確保大樓內的各類機電設備的妥善維護、運行、更新，強調設備的可操作性和可維護性。智能化管理系統的效益就表達在通過集中監控和管理，能夠極大的精簡設備維護人員和操作管理人員，大大的節約了人力資源。建設高品位的人文環境；高新技術的充分運用；建筑空間的有效和靈活利用；智能化系統設施和建筑過程、結構的和諧共存；以上六條原那么是我們工程實施的切入點，也是智能化弱電系統的建設目標。智能化系統設計原那么、理念先進性：采用國際或國內通行的先進技術；成熟性：以適用為原那么，采用成熟的或經過工程檢驗的高科技產品；開放性：采用開放的技術標準，防止系統互聯或擴展出現障礙；按需集成：根據本工程特點，按照需要分層次、分階段實現集成；標準化：采用標準化的設計和標準化的產品；平安性：包括系統自身的物理上的平安和信息傳遞的平安；效勞意識：強調以人為本的設計思想，為大樓的用戶提供平安、舒適、方便、快捷、高效、環保的生活、工作環境。智能化弱電系統設計依據本系統方案依據以下資料設計制作：中國電子進出口總公司辦公樓平面方案圖紙中國電子進出口總公司新大樓智能化功能需求說明書?智能建筑設計標準?GB/T50314-2006?綜合布線系統工程驗收標準?GB50312—2007?綜合布線系統工程設計標準?GB50311-2007?民用建筑電氣設計標準?JGJ16-2021?低壓配電設計標準?GB50054-95?平安防范工程程序與要求?GA/T75-94?民用閉路電視系統工程技術標準?GB50198-94?視頻安防監控系統技術要求?GA/T367-2001?出入口控制系統技術要求?GA/T394-2002?平安防范工程技術標準?GB50348-2004?平安防范系統驗收標準?GA/T308-2001?會議系統電視及音頻的性能要求?GB/T15381-94?商用建筑電信布線標準?EIA/TIA-568?城市住宅區和辦公樓通訊設施設計標準?YD/T2021-93?廳堂擴聲系統特性指標?GYJ25-86?視聽、視頻和電視系統中設備互連的優選配接值?GB/T15859-1995；?電子信息系統機房設計標準?〔GB50174-2021〕?電子信息系統機房施工及驗收標準?〔GB50174-2021〕其他設計標準、標準及相關資料。中國電子進出口總公司辦公樓智能化系統工程總述工程簡介中國電子進出口總公司辦公大樓位于長安街,西三環，是一座集5A級智能化寫字樓、大型商業及多功能商務會所于一體的城市綜合體，是北京西部的標志性建筑之一。中國電子進出口總公司辦公大樓功能劃分：23層為領導辦公區域。18、20～22層為普通辦公區域。19層為會議區7～17層為出租層6層為會議、展廳區域3～5層為商業區域2層為出租層大堂為公共區域設計思路本次設計方案共涉及10個子系統，除了機房工程為專門設計，衛星和有線電視系統與時鐘系統采用專用網絡，其他個子系統均采用全數字結構，搭建專用的智能TCP/IP網絡，整體考慮整體設計，無需單獨再為各個系統額外架設專用網絡。信息網絡系統為真正實現進出口公司新辦公樓此次網絡工程的最終目標，滿足進出口公司新辦公樓正常的業務數據傳輸需求，建立具有國內領先、國際先進的網絡平臺系統。我司制定出一套完整的、先進的、易用的、具有前瞻性的網絡設計方案。1、網絡拓撲結構的標準化。建立標準層次化拓撲結構,分布接入層交換機聚集網絡節點信息，通過核心交換機分析處理后進行分發，充分利用了核心層先進交換機的高速交換處理性能。2、核心設備雙機容錯，主干網絡(核心層)傳輸速度到達萬兆，接入層到達千兆，能夠滿足信息化開展的要求及解決網絡核心設備出現單點故障。3、增強網絡管理控制能力，提高數據傳輸質量。通過VLAN技術的應用，分割每個局域網絡為多個播送子域，杜絕VLAN之間播送信息的傳遞，擴大了可用帶寬。4、網絡實現平安管理和控制。綜合布線系統出租局部計算機網絡和語音局部垂直干線分到各層豎井，以提供干線入口。其余各系統因采用全數字結構，根據公司需求，今后如需建設可以通過網絡系統方便的擴展到位。國海廣場A座暫按每個工位兩個信息點，一個語音點；領導辦公室2個語音點，兩個數據點和一個光纖接口；小會議室兩個語音點，兩個數據點；中型會議室兩個語音點，兩個數據點，兩個光纖接口；大型會議室兩個語音點，兩個數據點，兩個光纖接口。綜合考慮了工程的實際情況和未來可能的擴展需求，綜合布線系統的水平子系統采用六類標準，方便實現語音與數據的互換；垂直子系統中數據局部采用多模光纖傳輸并按1：1比例冗余、語音局部采用三類大對數電纜傳輸且按一定數量冗余。各樓層配線間與中心機房經弱電井內的垂直通道相連接。會議系統國海廣場A座會議主要包含有：貴賓接待會議室、遠程視頻會議系統，談判間，普通會議室和展廳。各會議室的功能設置如下：1、貴賓接待會議室：視頻系統。2、視頻會議系統：音頻系統、視頻系統、遠程視頻會議系統、同聲傳譯系統、集中控制系統。3、談判間：音頻系統、視頻系統4、普通會議室：音頻系統〔根據會議室大小取決〕、視頻系統。5、展廳：視頻系統、電子展示臺、音頻系統。信息發布系統在大樓一層設置兩個室內LED大屏幕電子顯示屏，用于播放公司視頻、新聞信息、顯示重要來賓的歡送辭以及為租戶效勞等。十九層位于樓層入口設置大屏幕液晶電視，功能：發布會議內容、日程安排、通知、對外宣傳等。同時在會議層每個會議室門口設置17寸液晶顯示屏，用于顯示本會議室的會議情況。每塊顯示屏均納入信息發布系統管理，采取集中控制、統一管理的方式通過TCP/IP網絡將視音頻信號、圖片和滾動字幕等多媒體信息通過網絡平臺傳輸到顯示終端。時鐘系統在大樓一層南門和東門大廳設置時鐘系統，母鐘設置在東門大廳，子鐘設置在南門大廳。由一臺母鐘和多臺子鐘組成的時鐘系統被稱為子母時鐘系統。子母時鐘系統具有走時精準、操控方便、同步運行等特點。本子母時鐘系統采用智能模塊化設計，與同類產品相比，更突出了操作簡單，安裝方便，運行可靠，使用壽命長，性價比高等特點，帶有GPS校時功能。平安防范系統整個安防系統由視頻安防監控子系統、出入口控制子系統組成。以中心控制室為中樞，以視頻安防監控系統為核心，與出入口控制相結合為根底組成局部。通過集成管理，將各系統融為一有機整體。構成一個具有數字化、自動化、智能化、功能設施完善、綜合防范能力強的現代化的平安防范系統。機房工程本機房工程位于大樓22層〔大樓共23層〕，機房整體實用面積約88平米。機房是新大樓智能化系統的中樞，是各類信息數據的交換和處理中心。機房工程必須保障機房的環境滿足機房各種設備的正常、平安運行要求。具有平安可靠、舒適實用、節能高效和具有可擴充性的高質量的機房。防雷接地、溫適度控制、雙路供電、UPS電源、安防監控、承重、防水、防震、防火、屏蔽、防泄漏。智能化集成管理系統本工程的智能化集成管理系統以網絡系統作為集成管理系統的通訊平臺，應用先進成熟的系統集成管理軟件作為集成系統的運行平臺，將平安防范系統、會議管理系統等集成起來，以便能夠實時監控大廈的整個智能化系統的運行狀態、及時發現異常情況，并對局部系統的設備進行必要的控制管理，滿足資源共享、信息集成、集中管理的需要，從而提供一個舒適、平安的生活和工作環境，并通過優化控制提高管理水平，到達節約能源和降低運行本錢的目的，進而為實現物業管理自動化創造有利條件。信息網絡系統系統概述進出口公司新辦公樓將建設成為智能型系統，因此，本工程將按照技術先進，產品可靠，配置合理等原那么，在建立高速數據傳輸網絡平臺的根底上，更應設計出平安的網絡防范體系，保證內部數據的平安，同時應配置網絡管理效勞器，對全網進行實時監控和維護，在IP地址規劃，路由協議選擇上應采用合理成熟的方案，保證整個網絡在未來幾年內都能滿足規模的擴展的性能需求。為真正實現進出口公司新辦公樓此次網絡工程的最終目標，滿足進出口公司新辦公樓正常的業務數據傳輸需求，建立具有國內領先、國際先進的網絡平臺系統。我司將切合實際制定出一套完整的、先進的、易用的、具有前瞻性的網絡設計方案。本方案中將對整個信息網絡系統分為兩局部進行設計描述，分別是信息網絡的交換系統和網絡平安管理系統。網絡平安本文檔中各[區域]定義的解釋如下：[互聯網鏈路接入區域]，指運營商之間的互聯網鏈路接入。[辦公區域]，指內部網絡OA效勞區域。[內網區域]，指完成獨立關鍵業務的物理隔離系統區域。[辦公業務系統區域]，指辦公區域中辦公系統區域，包括電子郵件系統、公文、互聯網訪問系統等。[管理區域]，指提供網絡及系統管理、監控等功能的區域。[根底效勞區域]，指承載內部網絡根底效勞功能的區域，包括DNS系統、認證系統、平安效勞系統等。設計原那么符合性原那么遵循國內外監管機構法律法規要求，參照國家標準、國際標準、行業標準及相關平安指南，實現法規遵從。適用性原那么借鑒國內外同業成功經驗，充分考慮用戶業務模式，具備高度的適應性和可操作性。平衡性原那么認清平安和可用的關系，實現最合理的平安防御；充分認識平安運維的壓力，防止建設與運行節奏失調。平安性原那么充分考慮各環節平安措施，尤其是平安設備或系統自身平安。可用性原那么各平安組件(或平安功能實現)要具備高可用性和可靠性，以滿足業務持續性運行要求。可擴展性原那么充分分析業務開展趨勢，有效指導技術和產品選型，防止投資浪費，滿足3-5年的需求。有序性原那么要統一規劃，分布部署。制定合理的平安方案，充分考慮到業務開展狀況，合理選擇技術，合理分配資金投入。需求分析工程背景根據用戶網絡改造建設的需求，需要在新建網絡中考慮網絡平安的問題，保證用戶正常業務的平安，符合國家相關的網絡平安要求，提升用戶整體網絡平安水平。用戶工程建設需要根據目前主要的網絡平安威脅進行分析，并進行針對性的設計。網絡平安威脅分析根據生產網絡部署的特點和目前平安威脅的多樣化性質，本風險分析從以下幾個方面進行全面的分析：網絡層系統層用戶應用層病毒威脅策略和管理層下面將分別進行詳細的闡述。A〕網絡層平安分析網絡層為生產網絡提供連接通路和網絡數據交換的連接，同時也是網絡入侵者進攻網絡系統的渠道和通路。由于大型網絡系統內運行的TCP/IP協議并非專為平安通訊而設計，所以網絡系統存在大量平安隱患和威脅。整個網絡受到來自網絡外部和內部的雙重威脅。B〕外網平安威脅在外網Internet中存在著大量的黑客攻擊，他們常常針對Web效勞器和郵件效勞器作為突破口，進行網絡攻擊和滲透。常見得一些手法如下：IP欺騙、重放或重演、拒絕效勞攻擊〔SYNFLOOD，PINGFLOOD等〕、分布式拒絕效勞攻擊、篡改、堆棧溢出等。黑客可以容易的在生產網各節點出口進出，對系統進行攻擊或非法訪問。如果加上平安管理上的不夠完善等因素，或者在已有的效勞器與單機中存在著后門程序〔木馬程序〕話，攻擊者就可以很容易地取得網絡管理員權限，從而進一步控制計算機系統，網絡中大量的數據就會被竊取和破壞。C〕內網平安威脅隨著移動設備的普及，攻擊和威脅能夠同時從外網和內網發起攻擊。不管如何試圖保持移動用戶的平安，當他們外出離開公司網絡總是會遇到更大的風險。移動用戶承受更大平安風險的原因如下：移動設備無法受到與公司網絡相同的平安技術的保護。大多數公司僅僅使用基于主機的防病毒軟件來保護移動設備，單機防火墻和IDS在移動設備上安裝的比例很低。保持基于主機的平安應用不斷升級、與公司平安策略同步是很難做到的。用戶會有意無意的關閉或修改基于主機的平安系統。員工將與其它網絡連接來開展業務，而這些外來網絡的平安級別完全未知。員工可能會讓公司以外的人使用他們的移動設備。移動用戶往往對他們的設備具有管理員權限，這就意味著他們可以安裝各種未經批準的軟件。這些軟件常常屬于免費軟件，可以從Internet上自由下載，很可能帶有木馬或者間諜軟件。移動設備包含有公司信息，但可能沒有備份，增加了喪失公司有價值財產的風險。移動設備被盜的概率也要高出許多。當移動設備離開辦公室時，它們更容易感染病毒、木馬和蠕蟲。當移動用戶回來連接到公司網絡時，駐留在移動設備里的感染和攻擊就會擴散至公司網絡，感染其它曾被公司平安防御正常保護的系統。根據CSO對攻擊來源的調查統計，超過64%的平安威脅來自于企業內部可信任用戶或合作伙伴〔如以下圖〕。因此對于來自外網和內網的攻擊防御同樣重要。網絡中只要一個地方出現了平安問題，那么整個網絡都是不平安的。因此，在生產網各節點網絡出口處應配置具備多層次防御能力的防火墻來加強訪問控制，并部署入侵防御系統等高級平安設備，杜絕可能存在的平安隱患，來保證網絡平安可靠的正常運行。D〕系統層平安分析網絡效勞器和PC運行著不同的操作系統，如：Windows、UNIX、Linux等等；網絡設備也都有著自己的操作系統。所有這些操作系統可能存在各種各樣的漏洞。據IDC統計，1000個以上的商用操作系統存在平安漏洞，如果這些操作系統沒有進行系統的加固和正確的平安配置，而只是按照原來系統的默認安裝配置，這樣的主機系統是極其不平安的。黑客可以針對操作系統的漏洞發起入侵，試圖獲取管理員的權限。此外，在網絡中，一些黑客利用系統管理員的疏忽用缺省用戶的權限和密碼口令就可以輕松地進入系統修改權限，從而控制主機。現在許多黑客正監視著軟件提供商的補丁公告，并對補丁進行簡單的逆向工程，由此來發現漏洞。以下圖舉例說明了一個漏洞及相應補丁的公布到該漏洞被利用之間的天數。需要注意的是，對于最近的一些攻擊，這一時間已經大大縮短了。IT和平安人員不僅需要擔憂平安威脅，他們還不得不集中精力來防止各種被稱之為“零小時〞〔zero-hour〕或“零日〞〔zero-day〕的新的未知的威脅。同時，黑客的動機正在從引起他人注意向著獲取經濟利益轉移，我們可以看到一些更加狡猾的攻擊方式正被不斷開發出來，以繞過傳統的平安設備，而社會工程〔socialengineering〕陷阱也成為新型攻擊的一大重點。E〕應用層平安分析生產網網絡平臺，進行著包括Web、FTP、Email、DNS等Internet應用，隨著網絡技術的不斷開展，當前的網絡應用越來越豐富多彩，P2P、IM、VoIP、網絡視頻等新型應用也越來越廣泛。應用系統的平安性主要應考慮一下幾方面：針對應用效勞和協議漏洞的攻擊黑客往往抓住一些應用效勞和協議的缺陷和弱點來對其進行攻擊，比方針對錯誤的Web目錄結構、CGI腳本缺陷、Email效勞器應用程序缺陷、IM/P2P文件傳輸平安性漏洞等，利用種植木馬等方式獲取主機管理權限，然后進行竊取、篡改、破壞等操作。不良Web內容應用層的平安威脅還包括對各種不良網絡內容的訪問，比方內網用戶訪問非法〔如發布反動言論、宣揚法輪功等〕或不良〔色情、迷信〕網站等。有的Internet站點上還包含有害的JavaApplet或ActiveX小程序，如果不慎訪問將有可能帶入病毒和木馬程序，甚至有的網頁可以通過一段簡單的代碼直接破壞訪問者計算機的數據和系統，對網絡平安和效率都將造成極大破壞。社會工程學攻擊帶有社會工程陷阱元素的攻擊包括間諜軟件、網絡欺詐、基于郵件的攻擊和惡意Web站點等。這些攻擊設計為欺騙用戶暴露敏感信息，下載和安裝惡意程序、跟蹤軟件或運行惡意代碼。很多這類攻擊設計為使用傳統的瀏覽器或Email技術〔如ActiveX、XML、SMTP等〕，并偽裝為合法應用，因此傳統的平安設備很難加以阻擋。現在比以往任何時候都更需要先進的檢測和平安技術。現在針對新漏洞的攻擊產生速度比以前要快得多。在最新一代攻擊中使用的社會工程陷阱的數量也明顯的增加。攻擊者們偽造合法的應用程序和郵件信息來欺騙用戶去運行它們。網絡欺詐攻擊往往聲稱自己為某個合法組織，誘騙成千上萬的無辜受害者給出他們的財務和私人信息。廣告軟件、惡意Web站點、Web重定向和其它形式的間諜軟件在用戶不知情的情況下秘密的向他們的機器上安裝跟蹤軟件、鍵盤記錄工具、文件去除工具和其它惡意軟件。通過垃圾郵件傳播攻擊是當前最流行的方法之一。病毒被設計為利用Email客戶端軟件的地址簿進行廣泛傳播已經成為新型攻擊的標準手段，MSN、QQ、ICQ、Yahoo等IM〔即時通信〕軟件也成為社會工程學攻擊的重要途徑。P2P軟件控制隨著大量P2P軟件的應用，網絡數據傳輸方式發生了很大改變，PC客戶端的帶寬利用能力被無限增強，但同時也帶來了大量的問題：大量占用網絡帶寬，關鍵業務無法正常運行；管理員無法控制下載及上傳行為，可能導致內網平安威脅或泄密；P2P數據傳輸的目標地址及端口都是隨機的，很難通過傳統防火墻的IP地址及端口過濾進行阻擋。混合型威脅隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，內容層和網絡層的平安威脅正變得司空見慣。混合型攻擊通過多種感染和攻擊方法來利用操作系統和應用程序中發現的漏洞，如WindowsXP、IE和MSSQLServer等。為了使自身更難被發現和阻擋，混合型攻擊使用多種技術的混合——如病毒、蠕蟲、木馬和后門攻擊等，這些攻擊往往通過垃圾郵件和被感染的Web網頁發出。隨著每一次成功的攻擊，知識很快的傳遞到下一代攻擊或攻擊的變種，使得對于或未知的攻擊更難被阻擋。這種混合型攻擊的例子有Nimda、CodeRed和Bugbear、Blaseter、熊貓燒香等。由于應用效勞和協議的多種多樣，應用層威脅的種類也各不相同，還衍生出大量的具有多種威脅特征的混合型攻擊，因此生產網需要采用多種平安手段，包括網絡防病毒、防惡意軟件/木馬、入侵防御系統、Web內容過濾、反垃圾郵件、IM控制、P2P控制等對應用層威脅和混合型威脅進行防御。F〕病毒威脅分析計算機病毒一直是計算機平安的主要威脅。而隨著網絡的不斷開展，網絡速度越來越快，網絡應用也越來越豐富多彩，使得病毒傳播的風險也越來越大，造成的破壞也越來越強。據ICSA〔國際計算機平安協會〕的統計，目前已經有超過90%的病毒是通過網絡進行傳播的，病毒通過光盤、軟盤、U盤等傳統介質傳播的比例已經越來越低。生產網全國各地分公司內網用戶訪問Internet時，無論是收發E-mail、瀏覽Web頁面，還是通過Web、FTP等方式下載文件，都可能將Internet上的病毒帶入網內，甚至通過MSN等IM軟件傳播病毒的現象也時有發生。而近幾年泛濫成災的網絡蠕蟲病毒〔如紅色代碼、尼姆達、沖擊波、振蕩波、熊貓燒香等〕都是上文提到的混合型威脅的一種，它們本身是病毒與黑客工具的結合體，當網絡當中一臺計算機感染蠕蟲病毒后，它會自動的以極快的速度〔每秒幾百個甚至上千個線程〕掃描網絡當中其他計算機的平安漏洞，并主動的將病毒傳播到那些存在平安漏洞的計算機上，只要相關的平安漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數的增長速度在網絡當中傳播。蠕蟲病毒的傳播還會大量占用網絡帶寬，造成網絡擁堵，形成拒絕效勞式攻擊〔DoS〕。由于基于主機的防病毒軟件存在以下缺點，所以很難實現對新型蠕蟲病毒的有效防御：需要安裝、維護和保持病毒特征庫更新，這就導致了大量的維護開銷。很多用戶并沒有翻開防病毒軟件的自動更新功能，也沒有經常的手動更新他們的病毒庫，這就導致防病毒軟件對最新的威脅或攻擊無用。用戶有時可能會有意或無意的關閉他們的防病毒軟件。最新的復雜的木馬程序能對流行的基于主機的防病毒軟件進行掃描，并在它們加載以前就將它們關閉–這就導致即使有了最新的病毒特征碼，事實上它們還是不能被檢測出來。蠕蟲病毒屬于混合型攻擊，除具有病毒特征外，還可利用系統漏洞，采用黑客入侵的方式進行傳播，而主機防病毒軟件往往不具備入侵防御功能，只能被動的查殺已感染的病毒，主動防御能力較弱。單純依靠給予主機的防病毒軟件和給操作系統和應用程序打補丁的方法會使它們的內部系統面臨很高的平安風險。隨著業務中使用了越來越多的面向全球且需要持續運行的關鍵應用，停機來更新操作系統補丁、病毒特征碼和應用升級變得越來越困難。而公司的Web、Email、電子商務、數據庫、應用等效勞器由于長時間不打補丁會很容易在新的攻擊方式下暴露出它們的漏洞。僅僅依靠基于主機的防病毒軟件的另一個缺點是，事實上有害代碼在被每一個主機的平安軟件檢測和阻擋之前就已經進入了公司的網絡，這就大大威脅了企業關鍵業務系統和網絡應用。如果計算機病毒從任意節點進入生產網內網，便會通過專線或InternetVPN，迅速在生產網內網各節點之間進行傳播，造成總部與各分公司節點之間的堵塞，影響業務的正常進行。對于新型的網絡蠕蟲病毒，必須在網關處進行過濾，防止病毒進入內網。網關防病毒已經成為未來防病毒體系中的重中之重，需要引起特別重視。只有通過網關防病毒和主機防病毒的結合，并結合入侵防御、反垃圾郵件、內容過濾等多種方式，才能到達最正確效果。G〕用戶行為風險分析傳統的網絡平安設備可以有效地阻擋來自銀行外部的攻擊，但對于內部原因，特別是由于員工上網行為不當引起的平安問題卻無能為力。據調查，大局部銀行平安問題是由于內部監控和風險管理欠缺引起的。許多銀行可能認為員工是最不需要進行平安管理的一局部，但是，內部員工有意或無意的不當上網行為往往對銀行的信息平安造成更大的損害。這些行為表現為：敏感信息泄漏電子郵件、即時聊天以及論壇發帖等網絡應用，為人們溝通信息提供了極大的便利，但也可能成為員工泄密的工具。銀行員工掌握著大量敏感數據，如果不對員工的外發信息進行嚴格控制與監控審計，這些重要信息可“輕易而快速〞地傳遞到外部，給銀行造成重大損失。平安事件頻發四通八達的網絡，方便的不僅僅是正常業務的傳輸，惡意代碼、病毒、蠕蟲、間諜軟件等等，也會搭乘便車，籍由貌似“善良〞的網頁、Email、聊天工具、下載工具等方式，悄悄侵入到網絡的各個角落。由于防火墻不能分析應用層的內容，無法阻擋這些網頁的下載，而桌面防病毒軟件盡管可以識別并阻止病毒的入侵，但可能由于軟件的版本落后或者病毒更新的速度更快，造成防范實效。由于內部員工不平安的互聯網訪問而造成的病毒傳播與黑客入侵，成為網絡平安的最大黑洞。工作效率降低為了在日益劇烈的競爭中獲得優勢，銀行必須不斷增加業務品種，改善效勞質量，提高工作效率，降低運營本錢。但未加管理的互聯網應用可能會大大降低員工的工作效率。據一項調查顯示，普通企業員工每天的互聯網訪問活動中40％與工作無關，在線聊天、瀏覽新聞娛樂、網絡視頻、網絡游戲、炒股、博客等無時無刻不在占用正常的工作時間，敲擊鍵盤和點擊鼠標的“忙碌〞表象背后卻是低下的工作效率。在高度網絡化的現代辦公環境里，辦公室可能成為“舒適的網吧〞。人力資源在無形中浪費巨大，企業運行效率也因此大大降低。帶寬資源浪費銀行業是信息化建設最先進的行業之一，企業為了業務開展進行了大量的IT設備與帶寬資源投資。統計說明，在互聯網活動未加管理的企業中，珍貴的帶寬資源超過70％被音樂、視頻下載等占用，盡管帶寬一擴再擴，卻總是被BT、電驢、迅雷等P2P應用擠占。這不僅造成帶寬資源被大量浪費，還使得企業正常業務得不到應有的帶寬保證。導致法律風險互聯網充滿著各種良莠不齊的信息，企業員工在獲取有用信息的同時，也易被不良內容侵蝕。為了加強對互聯網的控制和管理，國務院、人大常委會、公安部、信息產業部皆相繼出臺法律法規明文規定，接入互聯網的單位和企業要采用相應的技術手段對互聯網的使用做出控制和管理。對于互聯網資源的非法訪問，比方訪問色情、賭博、犯罪網站、發表反動言論、泄露重大機密等，都會觸犯相關法律，給銀行帶來法律風險。主要任務網絡平安是一個持續的過程，可遵循PDCA〔方案、執行、檢查、改良〕思想，保持動態平安。可以廣泛吸取同業成功經驗，采取先進的技術和管理思想，奠定良好的根底，具備較高的起點。規劃網絡結構網絡是業務運行的根底，網絡結構設計至關重要，主要包含以下幾方面：網絡地址規劃；關鍵網絡隔離，業務內網與辦公網絡隔離；網絡功能區域劃分；網絡管理模式；重點區域防御針對重點區域重點防御，重點區域重要包括互聯網出口區域和用戶內部網絡。用戶行為控制和審計根據以上分析，由于員工的主動網絡行為引發的問題無法通過傳統的網絡平安保護手段實現，必須通過專業的上網行為管理產品解決。何為上網行為管理？簡單地講，就是對員工主體的基于內容的網絡訪問行為進行管理，包含如下幾個要素：第一、上網的人是誰〔Who：哪個部門哪個員工〕；第二、上網的時間〔When：工作日/周末，上班時間/午間休息/夜間，上午/下午〕；第三、上網做了什么事〔How：瀏覽網頁、下載文件、聊天、游戲、等等〕；第四、具體內容是什么〔What：網頁的內容、聊天的內容、郵件的內容〕；第五、占用的帶寬和流量是多大〔Howmuch〕，等等。與傳統的平安防護方式不同，上網行為管理產品基于用戶、時間、網絡應用、帶寬等元素對員工的上網行為進行靈活的策略設置，把網絡風險管理從“被動式響應管理〞提升為“主動式預警管理〞，從“防范管理〞提升為“控制管理〞。為了實現真正平安的網絡環境，銀行需要“內外兼修〞，除了阻擋外部攻擊外，還應該轉換視角，大力加強對內的管理，對員工的上網行為進行標準管理是十分必要的。終端風險控制由于終端計算機數量眾多，計算環境越來越復雜，應用越來越多樣化，由終端導致的網絡攻擊、病毒感染、數據喪失等事件比例越來越高，針對其的平安維護工作量占了科技人員運維工作的大局部。解決好桌面計算機平安問題，對提高運維質量，減少平安事件發生至關重要。強化運營保障和平安效勞由于技術和應用較為成熟，建設工作相對簡單，保證業務持續性運行需要高質量的運維保障，除具備根底的管理、監控和預警等系統，良好的運維流程更加重要，實現人、技術和流程的有效整合。網絡平安建設是一個漸進過程，為了保證用戶網絡平安，需要用戶與專業的平安效勞商建立長期的合作，通過平安效勞商提供長期的平安應急響應效勞，保證網絡平安。網絡平安方案設計互聯網訪問平安根據用戶目前的網絡規劃，用戶互聯網訪問采用兩個運營商接入，在用戶互聯網總出口部署一臺飛塔防火墻設備，完成內部用戶上網的訪問控制，防止外部非法用戶的連接，同時實現兩條用戶ISP接入鏈路的負載均衡，并利用飛塔防火墻的防病毒功能，對內部用戶的互聯網訪問進行過濾，保證用戶網絡平安。圖1網絡平安部署拓撲圖系統部署：如圖1所示“〞，在用戶互聯網出口最外層部署一臺防火墻，完成用戶網絡和互聯網網的隔離，并完成兩條互聯網ISP運營商接入。用戶上網行為管理用戶行為審計系統支持提供WEB高速緩存，提供靈活的用戶管理，WEB策略，應用管理，帶寬管理功能模塊，通過靈活的組合可實現用戶的上網行為控管功能。該系統在應用層上深度分析用戶在網絡上的各種應用，靈活調控用戶使用各種應用的流量。從流量、內容、用戶行為目的等角度實現對應用協議的結構化管理，通過監控、統計、控制等技術手段引導網絡用戶的上網行為，并為網絡管理提供依據，使有限的網絡資源最大限度的有效利用，減少由于內部原因造成的網絡出口故障和非法內容傳播風險，從而保障網絡的高效、健康、穩定的運行。系統部署如圖1所示“〞，在用戶互聯網出口防火墻后透明串聯用戶上網行為管理系統，完成用戶上網行為的管理。終端平安根據用戶終端系統的現狀和系統防毒平安和終端管理的需要，我們考慮系統設計遵循以下幾條原那么：采用網絡版病毒防護和終端桌面平安管理系統，提升用戶桌面終端系統的整體平安，并通過統一管理減少系統管理員的維護壓力。必須是主動式的，而不是在病毒發生爆發后再做出反響。針對混合型病毒提供主動保護主要處于以下幾個原因，主要是混合病毒傳播的速度和它們的破壞程度；停機時間造成巨大的本錢，需要大量的IT資源來清理病毒。對于混合型病毒必須要提供主動式的防御。擴展性和可升級性。

可升級能力是衡量防病毒系統是否具有生命力的重要指標。防病毒軟件必須不斷及時地升級病毒樣本文件和引擎，在功能、性能上都在不斷采用新的技術，保證系統的向前開展。向用戶提供多種病毒特征文件和病毒引擎的方便的升級方式，保證組織機構的防病毒系統在第一時間內得到升級。可管理性。要管理防病毒和終端防護軟件的分發、升級、配置和支持是一個非常難的事，這就要求提供一個方便管理的平臺。系統必須提供簡化管理的工具，可以在幾個集中的點上對整個網絡中的客戶端和效勞器進行管理，包括對病毒特征文件和防病毒引擎的分發升級、報警管理和日志分析整理以及病毒處理方式配置等。易用性。組織機構中，大局部的使用人員并非計算機專業人員，而且由于業務繁忙，不可能系統學習每一個工具軟件。這就要求客戶端的防病毒軟件必須簡單易用，自動化程度高，最好無須用戶干預。長期以來，應對混合型威脅〔混合型病毒〕的傳統做法是，一旦混合型病毒爆發，盡快捕獲樣本，再盡快寫出病毒特征，并盡快去部署該病毒特征，然后寄希望于它能夠迅速去除病毒并阻截該威脅的蔓延。這種方式曾一度相當有效，但近年來――特別是近幾年屢次影響的沖擊波、Slammer、Netsky等病毒，已經表達這種基于特征的被動式病毒響應方式效果不佳了。這一方面因為病毒的快速開展，另一方面更因為傳統防病毒技術采取被動跟蹤的方式來進行病毒防護。借鑒最新的平安思想，從“主動防御、主動反響〞這一觀點出發，協助中國石化建立一個覆蓋全網的、可伸縮、抗打擊的防病毒網絡。主動式反響主要表達在以下幾個方面：全面采用主動式反響技術相對于被動式病毒響應技術而言，主動式反響技術可在最新的混合型病毒沒有出現之前就形成防御墻，待威脅的到來而能防止威脅帶來的損失。行為阻截技術行為阻截的思想就是：在系統中實時監控各種程序行為，一旦出現與預定的惡意行為相同的行為就立即進行阻截。以電子郵件的行為阻截技術應用為例進行說明。首先，我們知道基于電子郵件的蠕蟲的典型操作：典型的電子郵件計算機蠕蟲的工作原理是，新建一封電子郵件，附加上其〔蠕蟲〕本身的副本，然后將該消息發送到電子郵件效勞器，以便轉發到其他的目標計算機。那么，當使用了帶行為阻截技術的防病毒軟件之后，防病毒軟件將監視計算機上的所有外發電子郵件。每當發送電子郵件時，防病毒軟件都要檢查該郵件是否郵件有附件。如果該電子郵件有附件，那么將對附件進行解碼，并將其代碼與計算機中啟動此次電子郵件傳輸的應用程序相比擬。常見的電子郵件程序，如Outlook，可以發送文件附件，但絕不會在郵件中附加一份自身程序的可執行文件副本！只有蠕蟲才會在電子郵件中發送自己的副本。因此，如果檢測到電子郵件附件與計算機上的發送程序非常相似時，防病毒軟件將終止此次傳輸，從而中斷蠕蟲的生命周期。此項技術非常有效，根本無需捕獲蠕蟲樣本然后再匆忙響應，帶此項技術的防病毒軟件已經成功的在零時間阻截了數十種快速傳播的計算機蠕蟲，包括最近的Sobig、Novarg和MyDoom。智能型防病毒系統架構，提高全網協同防護和作戰能力智能型防病毒系統架構主要表現在：具備在任何地點、任何時間對全網進行統一管理、統一監控的能力具備全網病毒事件收集、分析、報告和響應能力具備客戶端、效勞器系統補丁分發管理能力具備突發病毒事件的快速響應能力。具備大規模擴展和新技術兼容能力〔如能在防病毒系統中兼容入侵檢測系統〕終端平安防護，提升全網終端平安控制能力使用終端防火墻、IDS等控制機制，保證終端系統平安。終端病毒庫自動升級能力系統部署如圖1所示“〞，每一臺用戶終端桌面主機部署SymantecSEP客戶端軟件，完成用戶終端的平安防護。系統采用網絡版架構，需要在管理區域部署SEP管理效勞器〔圖1中〕。用戶隔離內網區域的主機，也必須部署終端平安軟件，由于網絡物理隔離，需要手動升級相關病毒庫。用戶內部網絡平安監控考慮到用戶網絡實時監控的需求，需要在網絡中部署IDS入侵檢測系統，監控內網的異常流量。同時使用IDS的多個監控探針完成對獨立內部網絡的監控，保證隔離內網的平安。系統部署如圖1所示“〞，在用戶內網關鍵效勞區和隔離內網部署入侵檢測系統和管理效勞器，完成用戶內網監控。管理區域平安管理效勞區域：包括網絡相關管理系統和平安相關管理系統組成，提供系統內的網絡、系統和平安設備的統一管理效勞。今后根據用戶的應用需求，可以根據需要部署其他應用效勞器。考慮管理區域系統的重要性，需要部署防火墻，對管理區域進行必要的平安防護。系統部署如圖1所示“〞，在用戶內網管理效勞器區域前部署一臺飛塔防火墻，完成對管理區域效勞器的平安防護。設計方案的優勢本系統平安設計方案從當前網絡平安風險分析出發，全面分析用戶的網絡平安現狀，系統設計全面，同時考慮保障用戶的運維管理和投資。交換網絡需求分析大樓建筑網絡系統涉及面廣，對采用的網絡設備，網絡技術有非常高的要求，針對計算機網絡系統的需求如下：使用以高速背板帶寬交換技術為主干的網絡技術提供標準化、高速度的局域網連接，可以在同一個網絡中支持多種效勞質量(QOS)，以支持目前和未來展覽中心建筑群信息應用和效勞的需求。允許網絡集成，使用二層交換來代替三層路由，并提供了良好的局域網應用支持能力。所選用的設備和技術符合國際標準網絡中使用的設備和協議應完全符合國際通用的技術標準，兼容大多數的網絡環境，提供很好的互聯性和兼容性；網絡提供足夠的帶寬和豐富的接口形式針對大樓的情況，滿足應用和帶寬的根本需要，并保存一定的余量供擴展使用，最大可能地降低網絡傳輸的延遲；網絡有很高的平安可靠性、穩定性采用有效的網絡平安技術阻止內部非授權的訪問和病毒的感染，保護大樓的數據和系統平安；網絡有良好的可擴充性對未來的應用和技術有一定的前瞻性，隨著網絡的規模及其運行的應用在不斷開展，系統應是成熟的，提供足夠的擴充能力，并且適應大樓未來業務開展的需要；網絡易于安裝、操作和維護在網絡中使用單一的網絡管理軟件來管理所有網絡設備，對網絡設備及VLAN等進行直觀、靈活的配置，提供完整的網絡拓撲圖，可以根據網絡的流量情況作出分析和建議。選擇配套的管理軟件根據目前應用的要求，選擇型號規格符合辦公要求的網絡管理軟件。設計思想采用標準、開放的網絡技術整個中國電子進出口總公司大樓的網絡系統在結構上實現真正開放，全部采用或符合有關國際和國家標準，使網絡具有良好的開放性和兼容性。開放的系統可以使用戶自由地選擇不同的計算機、效勞器及操作系統，構成真正的跨軟硬件平臺的系統。網絡的設計基于國際和國家標準，網絡設備采用標準的接口和標準的協議，滿足用戶的不同需求并充分利用軟硬件資源，有效地表達出用戶投資的長期效益。在結構上實現真正開放，基于國際開放式標準，開放的網絡使用戶可以自由地選擇不同廠家的產品，不會受到某些廠家專有技術的限制，最大程度地保護用戶的利益。確保技術具有先進性、適用性設計網絡所選用的是先進的、主流技術，能保證系統在較長的一段時間內不會因為技術進步而淘汰，同時又保證先進的技術是穩定的、成熟的，支持現有的多種網絡協議。在局域網中使用目前世界比擬先進的成熟的千兆以太網和第三層交換技術。骨干網提供標準化的高速度連接，以支持大量的用戶和多種的應用。網絡的可擴充性設計的網絡方案要保證隨著用戶應用規模的不斷擴大，網絡可以方便地進行擴充容量以支持更多的用戶和應用；隨著網絡技術的不斷開展，網絡必須能夠平穩地過渡到新的技術和設備。為了保護用戶的投資，本方案中的網絡設備在將來網絡升級或再投資的情況下，能夠隨時通過增加網絡設備或模塊來對現有設備進行升級和擴充，并能把替換下來的設備應用到下一層或邊緣網絡上。本方案充分考慮到未來網絡升級的平穩銜接，保證網絡通訊介質、網絡設計核心的向后兼容性。網絡的可管理性良好的組織和管理對網絡的正常運轉和高效使用有很大幫助，網絡應該能夠提供方便、靈活、有力的工具對網絡進行集中式的有效管理和控制。方便的監控、良好的管理界面、完備的系統記錄都能使管理員在不改變系統運行的情況下對網絡系統進行檢測、修改及故障恢復等管理維護工作。對于網絡主機及網絡設備，無論是交換機還是路由器，都應集中在統一的網絡管理框架下，實現對網絡的控制、管理、設置和調整，提供對網絡的配置、流量監測、故障報警、網絡平安和網絡計費等多種管理功能。網絡管理軟件提供了網絡管理的有力工具，可以隨時隨地的觀測網絡的運行，查看設備狀態，對設備進行設置、修改、監測等等。網絡的平安性保證網絡系統的平安運行是網絡設計的一個重要環節，網絡平安是保證系統平安運行的重要根底，因此，在本方案中內部網與外部網之間建立平安控制機制。為了保護網絡上數據的平安性，必須提供多種方式和層次的訪問控制、通過使用網絡用戶身份識別、VLAN、包過濾、入侵檢測及防火墻等技術來保證網絡系統的平安性。網絡系統的穩定、平安對于新辦公樓非常重要，必須確保建筑的信息平安。網絡的高可靠性網絡系統一旦投入運行就會成為各項日常應用的根底，并隨著應用的深入普及，其根底作用將越來越大。在網絡系統成為實時系統后，網絡的高可靠性將成為網絡的根本要求之一。骨干網絡的故障會造成巨大影響。因此，整個網絡系統必須有良好的可靠性及一定程度的冗余。高可靠性表達在：物理線路的可靠性，網絡設備尤其是核心設備的可靠性和冗余，系統及應用軟件的可靠性。網絡的高性能為了及時、迅速地處理網絡上傳送的數據，網絡設備必須具備高速處理能力，提供高速數據鏈路，保證網絡高吞吐能力，滿足各種應用對網絡帶寬的需求。對所選的網絡主機、網絡設備等應具有較高的網絡吞吐性能，網絡主干系統要求具有較高的數據通信能力和較大的帶寬；并在主干網上提供較強的可擴展性。在各部門的工作組中采用交換技術，以保證在工作組中網絡的快速響應速度，用于提高工作效率；在整個網絡中使用虛擬網技術，以提高網絡的平安性和靈活性。方案所提供的網絡設備〔特別是核心交換機〕為目前功能強大、具有高度擴展性的產品；具有足夠的背板帶寬供將來網絡的擴展，支持現有和以后對多媒體應用的需求，同時滿足將來展覽中心廣域網上多媒體應用〔話音、視頻〕需求等。效勞器適當集中業務系統的開展要求將數據存儲集中管理，努力實現日常自動化業務處理的集中配置，各業務部門針對不同的數據在統一的數據處理平臺上進行處理應用，與集中設置的辦公用效勞器一起構成統一的數據中心。關鍵系統的備份平安為滿足系統的可用性，數據系統應雙備運行，同時規劃重要數據及系統的備份方案。數據及操作系統的備份平安及維護，是整個通訊網絡和數據系統維護的核心。網絡設施投資保護考慮到網絡技術的日新月異，現在選擇的技術或者設備在一段時間后就會過時甚至被淘汰，造成新一輪的大規模投資，因此在選擇網絡設備時要有前瞻性，要能夠支持未來的標準技術，如IPv6等。網絡廠商選擇品牌知名度思科是全球最大的網絡公司，能夠和客戶建立最長期的、最穩定的、具有最正確投資保護的合作關系。可以說，沒有思科，也許就不會有今天的互聯網，也就不會有著那充滿創意、夢想與財富的世界。目前，全球所有的網絡——國際互聯網、網、銀行網、電視網等的骨干局部，幾乎都采用了思科的產品和技術。完整的產品線和產品體系結構CISCO擁有路由器、交換機完整的體系結構，和產品線，真正為用戶提供端對端的解決方案。另外，CISCO的路由器交換機平臺還可以給用戶帶來一些增值功能，例如VOIP業務、IP、無線局域網、CDN等等。強大的資金實力和研發實力2004財年的營業額超過220億美元。2007年銷售額近300億美元，并將很多資金投入到新產品和解決方案的研發上。技術先進IETF是Internet標準標準制定的最主要的組織。對于虛擬網絡世界的形成，IETF起到了無以倫比的作用。除TCP/IP外，所有互聯網的根本技術都是由IETF開發或改良的。IETF工作組創立了網絡路由、管理、傳輸標準，這些正是互聯網賴以生存的根底。IETF工作組定義了有助于保衛互聯網平安的平安標準，使互聯網成為更為穩定環境的效勞質量標準以及下一代互聯網協議自身的標準。然而，很多標準的制定都是以思科為主導的，很多技術委員會的主席來自思科，多數成員來自思科公司。像VRRP等公開協議都是以思科的私有協議為范本進行開發的。產品成熟度高思科的產品在量產前，都需要在內部的網絡中和歐美的運營商網絡中進行測試和改良，待產品的各項功能和穩定性、可靠性能夠滿足開展的需要時，才推向市場。思科擁有世界上最完整的產品線，是最全面的解決方案提供商。人們在網上獲得的信息，80%的流量經過思科設備傳輸。強大的生命力〔品牌延續性〕當北電網絡、朗訊科技等曾經叱詫一時的電信巨頭開始一輪又一輪裁員、變賣業務套現的時候，有大筆現金在手的思科公司卻一直安然無恙。思科創造了世界上第一臺路由器，連接的世界。并一直開拓創新，帶著行業的開展。設計方案整個中國電子進出口總公司大樓內部網絡是公司日常工作學習的重要根底設施，也是不可缺少的支撐環境。大樓網絡是一個高起點的先進網絡，對于寬帶數據業務的需求非常豐富，大量的多媒體信息將對網絡帶寬、數據傳輸高效性、準確性、以及平安性和網絡平安性提出了嚴格的要求。結合中國電子進出口總公司大樓實際情況，內部綜合布線采用分區方式，將公司自用局部8層，共設置924個信息點，每層樓內有1個弱電豎井，1個設備配線間。在地下一層設有骨干交換機機房，采用光纖對外連接電信運營商的寬帶數據網絡，對內核心交換機連接各個分配線間機房的接入交換機，考慮到有大量多媒體信息流的傳遞，核心交換機和接入交換機采用GE互連，接入交換機提供10/1000M自適應端口給用戶。網絡接入分公司內、外網，內網、外網相互物理隔離，互不訪問。在IP地址規劃方面，全網考慮采用私網IP地址，由骨干交換機提供NAT功能，作為私網地址的轉換。公司內、外網的網絡中心將配置網管效勞器，網管效勞器通過千兆速率接入核心主干交換機，并安裝先進、可靠、成熟、高性能的網管軟件，實現對整個網絡的全面管理。根據對中國電子進出口總公司信息化建設需求的理解和長期積累的集成經驗，以及從經濟、實用、可擴展性等多方面考慮。我們認為用主干采用千兆以太網技術是一種高效、可行的方案。而且完全可以滿足展覽中心局域網今后視頻點播、圖象傳輸等綜合業務傳輸的應用。信息網絡今后的開展趨勢將越來越指向VOICEOVERIP與VIDEOOVERIP的方向。同時千兆以太網的應用，推動了IP業務的開展趨勢。為防止用戶的重復投資建設，提高線路的利用率，為今后的網絡開展提供必要的擴充性。大力的開展IP業務的應用將是一個良好的解決方案。整個中國電子進出口總公司大樓網絡設計要防止網絡瓶頸，依據信息化建設和開展的需要，全面規劃設計整個中國電子進出口總公司大樓網絡，構建雙機熱備為主干節點的主干網結構，主干全部采用光纖敷設，方便以后的升級要求。主干網結構采用冗余結構保證網絡的平安，設計完善網絡平安系統、網絡管理系統以及主干網與廣域網之間的可靠性。以信息化所涉及到的各方面因素為切入點，合理規劃網絡平安體系并完善和建立主干網與其他網絡之間的接口等。在網絡總體規劃設計中應考慮網絡的系統結構、主干核心的升級、支干線路介質的升級、完善的平安體系。使其網絡的系統結構應在統一的規劃和設計的根底之上考慮應解決的問題、需預留的系統接口、充分利用網絡資源對網絡建設和維護歸口實施集中一貫式的管理，以滿足信息化開展的需要。主干的核心設備應具有高性能可擴展性，具有成熟完善的容錯與熱備功能。針對線路的改造應為將來信息化對數據量訪問的增加的打下良好的根底。同時在主干網升級改造中應考慮采用先進的平安架構，建議全面規劃平安系統，包括接入防火墻系統、客戶端安裝最新防病毒系統、等以保證網絡及數據平安暢通的傳輸，移動用戶的接入應對主干網遠程接入也要保證其高效與平安。與各系統相關的主機系統與網絡設備應提供專門的機房來安置，以確保設備的運行環境達標。在這里我們詳細討論骨干選用萬兆骨干結構。根據要求，整體網絡分為三層結構，核心層、會聚層和接入層。這里指的“萬兆骨干〞是對于核心層之間的光纖連接采用萬兆以太網技術，根據目前的實際需求情況,核心層之間的光纖連接采用10G萬在核心交換機上加雙電源，以提供盡可能最好的系統級冗余性。從維護和運行的角度說，冗余拓撲結構可實現絕好的收斂性和可用性，因此是首選項。我們推薦了的交換機配置，如拓撲圖所示，核心層設備采用雙機冗余結構，每臺設備電源也采取了冗余要求，是相當可靠穩定的。在核心層選擇目前高端的路由交換機，組建整體網絡的核心區域，從根本上確保中心網絡的穩固、可靠、平安、可擴展。采用配備冗余交換管理引擎的設計，思科公司可提供狀態化切換〔StatefulSwitch-overSSO)和不間斷轉發〔Non-StopForwardingNSF)功能，可為交換機提供設備級永續性。SSO可實現生成樹信息、MAC地址表乃至硬件轉發工程和ACL等第二層信息在多個交換管理引擎之間的同步。而NSF那么在第3層路由協議上實現類似結果和使用IETF標準路由協議的擴展。這些協議一起工作時可確保在多個交換管理引擎之間的快速故障切換以及對流量的不間斷轉發。核心交換機采用分布式交換技術，支持高密度模塊、10/100/1000M自適應高密度模塊、萬兆以太網模塊、千兆GBIC/SFP/TX以太網高密度模塊、WAN模塊、IP語音模塊、平安防火墻模塊、內容交換模塊、網絡分析模塊等多種網絡接口和效勞模塊，基于硬件的實現多項高負載智能效勞。核心交換機是專門針對核心網絡高性能、多業務等關鍵需求而設計的骨干交換設備，不僅能夠承當高速的交換業務，同時能夠滿足當今網絡應用的多種效勞，實現了核心交換網絡的最正確性能，具備良好的擴展延伸能力。整體網絡分為三層結構：核心層，會聚層與接入層。網絡拓撲結構圖如下：接入交換機配置表如下：樓層管理間數據點數48口接入交換機48口會聚交換機內網1層IDF1716層IDF210118層IDF3731119層IDF431120層IDF51082121層IDF61062122層IDF7912123層IDF8371外網1層IDF1716層IDF210118層IDF3731119層IDF431120層IDF51082121層IDF61062122層IDF7912123層IDF8371總計9241416網絡核心層核心交換機配置在局域網網絡中心節點，根據目前對各樓層交換機等設備的接入要求，我們選用了2臺CISCO的Catalyst4506核心交換機：萬兆以太網高端路由交換機作為主干交換機，互為備份，電源、交換引擎、交換矩陣和集成網絡效勞冗余性，提供1～3秒的狀態化故障切換，提供給用和效勞連續性統一在一起的融合網絡環境，減少關鍵業務數據和效勞的中斷。該交換機能夠為無阻礙的第2/3/4層交換提供集成式彈性，因而能進一步加強對融合網絡的控制。可用性高的融合語音/視頻/數據網絡能夠為展覽中心提供業務彈性。它擁有720GBps的交換背板，380Mpps的第二、三層交換容量，具有高達7個可用的I/O槽，其無阻塞的路由交換特性可以在各以太網端口到達線速的數據轉發功能，可以充分滿足展覽中心網絡中心繁重的IP數據流集散。該交換硬件支持IPv6，IPv6的吞吐量>=200Mpps,路由表大小為對IPv4的支持>=1,000,000條對IPv6的支持>=500,000條,路由協議方面支持靜態路由、RIPV1/V2、IGRP、EIGRP、OSPF、BGPv4及PBR等高級路由協議，支持等價路由及PIM等組播路由，二層鏈路層支持生成樹協議、IEEE802.1s、IEEE802.1w和EtherChannelIEEE802.3ad鏈路會聚協議和熱備份路由器協議/虛擬路由器冗余協議〔HSRP/VRRP〕用以提高網絡可靠性。同時具有強大的互操作性，全部端口支持802.1Q及ISLvlan封裝，支持多廠商專用VLAN標記,優先級標記。支持〔NBAR〕等軟件特性用以提供增強網絡管理和帶寬使用控制機制，而且，該交換機支持2個負載均衡的冗余電源和交換引擎，并且支持全部模塊熱插拔，具有極高的設備可靠性。該交換同時可以將平安、無線局域網效勞和內容等高級效勞與融合網絡集成在一起，提供從10/100和10/100/1000以太網到萬兆以太網，從DS0到OC-48的各種接口和密度，并能夠在任何部署工程中端到端地執行，可以為公共網〔PSTN〕接入、傳統、和PBX連接提供高密度的T1/E1和FXS的VoIP語音網關提供接口，所支持的均是國際標準的協議和標準，能夠支持基于標準的所有應用。網絡會聚層會聚層交換層是多臺接入層交換機的會聚點，會聚層選用Catalyst3560交換機作為的會聚點，它必須能夠處理來自接入層設備的所有通信量，并提供到核心層的上行鏈路，因此會聚層交換機與接入層交換機比擬，需要更高的性能，更少的接口和更高的交換速率。會聚交換機擔當接入終端網關的功能及負責接入層與核心層進行數據交換與轉發，所以會聚交換機要具有高背板高轉發及多種接口類型等特點，其背板帶寬要大于或等于32Gbps，包轉發率大于16Mpps，支持ISL協議的vlan封裝，支持StackWise堆疊技術堆疊數量≥9，支持的MAC地址≥12k，支持鏈路聚合802.3ad協議及鏈路聚合控制協議〔LACP/PAgP〕，支持DHCPsnooping及IP源防護技術，支持靜態路由協議，支持IGRP、EIGRP、BGPv4、OSPF等動態路由及策略路由PBR，支持冗余熱備〔HSRP〕路由協議支持，支持IGMP及IGMPsnooping，可以跨堆疊進行路由，支持IEEE802.1x可以實現動態的、基于端口的平安，提供用戶身份認證功能，具有ACL的IEEE802.1x允許實施基于特定身份的平安策略，支持動態ARP檢測，通過DHCPsnooping動態綁定ARP列表用以防止ARP泛洪。隨著數以百萬計的新型設備都開始采用IP技術，人們需要可以支持IPv6協議的網絡產品，所以會聚交換要為IPv6提供了硬件支持，可以通過未來的軟件升級支持該協議。會聚交換同時要支持SNMPv1/v2/v3,支持CLI，支持telnet、ssh及web的管理配置。網絡接入層對于接入層交換機〔樓層交換機〕，選用Catalys2960，根據布線系統對弱電間的規劃情況和弱電間分布情況在各個弱電間設立樓層桌面交換中心，樓層交換中心負責樓內924個數據點的交換與接入。樓層接入交換機根據每個弱電管理間信息點的數量有針對性，所設計的交換機具有極高的性能，其轉發背板帶寬為32Gbps,每秒分組數為11Mpps，VLAN中支持802.1Q封裝及ISL封裝，支持多種基于用戶、端口和MAC地址的驗證方法、數據加密技術和NAC，從而提供網絡平安性，支持生成樹協議及基于802.1S/W標準的容錯、負載均衡和迅速恢復，交換機的Flexlink技術能實現在100ms內實現收斂，交換機采用ASIC芯片的分布式并行處理技術，完全保證每個交換端口真正到達線速，具有10/100/1000M電口，并且配備光纖通道的上聯和下聯接口。樓內的所有普通終端全部采用10/100/1000MB自適應以太網技術接入，完全可以滿足桌面用戶今后多媒體的應用。考慮到網絡應用的穩定性，當前交換機端口考慮了數據信息點的115％以上。網絡管理系統配置專門的網管軟件用于管理網絡設備產品，可以圖形化地顯示設備的前后視圖，直觀地進行IP、IPX和APPLETALK的協議的配置、路由協議的配置、VLAN的配置和顯示、效勞質量方面的的配置、問控制列表的配置、設備平安性方面的配置等，同時可直觀顯示設備的運行狀態，每個端口的流量情況等，設備運行軟件和配置和保存等。對于網絡主機及網絡設備，無論是集線器、交換機還是路由器，都應集中在統一的網絡管理框架下，實現對網絡的控制、管理、設置和調整，提供對網絡的配置、流量監測、故障報警、網絡平安和網絡計費等多種管理功能。IP地址規劃建議在設計IP地址方案之前，應考慮以下幾個問題:1〕.是否將網絡用真實地址連入Internet。2〕.是否將網絡劃分為假設干子網以方便網絡管理。3〕.是采用靜態IP地址分配還是動態IP地址分配。4〕.每個子網現在規劃多少個信息點。5〕.每個子網將來會增加多少個信息點。通過Proxy或NAT方式使私有地址能夠訪問公網資源，是公網地址與私網地址結合的方式。但是有時分配了私網地址的客戶端也要訪問Internet。針對這種情況，可以采用不同的技術使私有地址能夠訪問公網資源。通常可以利用代理效勞(Proxy)和網絡地址轉換(NAT)這兩項技術。分配IP地址方案，一個有效的IP地址規劃或IP地址方案就是在地址資源的效率性和管理的方便性之間找到最正確的平衡點。按行政隸屬劃分是指按信息節點的行政隸屬關系將用戶按各部門進行IP地址分配規劃。由于各部門在位置上并不一定集中，但在業務上要求內部通信流量比擬大，且需要統一管理，因此我們建議采用行政隸屬的方式劃分IP地址段。按部門規劃在傳統的網絡平臺上很難實現。主要是因為傳統的網絡平臺局限于設備的地理位置，無法跨地域進行靈活規劃。但現今的網絡平臺都支持虛擬網絡—VLAN技術。該技術避開了物理位置的缺陷，可以在邏輯上靈活組網。因此，IP網段規劃可以與VLAN的劃分相一致。規劃每個網段中的信息點數時，既要考慮到當前IP地址資源的充分利用性，又要預留出適當的擴展余地，根據具體的部門情況再分為具體的子網。從經驗角度，通常一個IP網段也是一個獨立的VLAN，也就是一個獨立的播送域。一個網段內的信息節點數在40-200個時，性能和地址資源的最正確利用性較理想，并且將來可擴充到254個。寬帶接入用戶接入寬帶IP網的方式可以有多種形式：首先，用戶利用固定IP地址接入，那么無需其它的認證過程，只需將用戶所連的交換機端口劃入某一特定VLAN即可；其次用戶通過PPP方式接入，即虛擬撥號方式，那么需要一個專用的PPP終結設備終結PPP進程，通過對PPP進程的認證，可以確認用戶身份；用戶還可以利用DHCP獲得IP地址。另外交換機可以實現專用VLAN技術，可以通過配置選擇實現在同一VLAN內用戶是否可以互通，進行數據交換。IP地址的分配應遵循以下幾個原那么：唯一性：一個IP網絡中不能有兩個主機采用相同的IP地址簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表的款項連續性：連續地址在層次結構網絡中易于進行路由總結(RouteSummarization)，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網絡規模擴展時能保證地址疊合所需的連續性靈活性：地址分配應具有靈活性，可借助可變長子網掩碼技術(VLSMVariable-LengthSubnetMask)，以滿足多種路由策略的優化，充分利用地址空間為了靈活地在不同規模的子網中分配不同數量的IP地址，我們需要采用VLSM技術，它可根據需要在任意位劃分子網邊界，對一個主網絡號，可分出最小只有2個主機號的子網，亦可劃分出一個較大的子網，因此它很靈活，特別是在廣域網中，兩臺互聯交換機接口只需2個主機號地址，VLSM非常有用，大大節約了地址空間，又保證了網絡設計的靈活性。在進行地址分配時，一般先用一個定長的子網掩碼將地址空間分成假設干個相同規模的子網，再在每個子網中根據所需的子網數量和規模采用VLSM進行子網的細分。采用VLSM時應注意：事先要有規劃，防止子網重疊分配可能會造成對已有網絡地址的重新設置新的網絡必須仔細規劃地址分配，有效利用IP地址和保證網絡的擴展性為縮減路由表的款項，提高路由的效率，路由總結(RouteSummarization或RouteAggregation)是一個非常重要而有效的手段。分子網是將網絡號向主機號局部擴展、即網絡邊界向右移的過程，而路由總結那么是劃分子網的逆過程，通過將子網的邊界向左移的過程，可用一個較大的子網號來代表一組連續的子網，如下所示：這一疊合路徑可代表16個連續的子網。子網邊界xxxxxxxx.xxxxxxxx.xxxxxxxx.xxxxxxxx主網絡號路由總結邊界因此，路由總結又稱為子網的集結或超級子網，它可得到縮小路由表，降低交換機內存的使用，并減少路由協議產生的網絡數據流量。網絡地址轉換〔NAT〕:IP地址設計經常用到的一項技術為了彌補IP地址的缺乏，大多數網絡的IP地址分為兩局部：一是具有全球連通性的IP地址公網地址；二是只能在內部用的IP地址--私有地址。具有公網IP地址主機或交換機可以和INTERNET網上的任何節點相連。其地址是全球唯一的。具有私有地址的主機和交換機只能在企業內部通信，其地址僅在企業內部是唯一的。用這種地址是不可以訪問INTERNET的。提出了一種技術，可以從私有地址遷移到全球地址空間，這種技術就是網絡地址的轉換(NAT)。NAT功能作為其操作系統的一局部，安裝在交換機上，同時，內容交換機也具備線性NAT功能。NAT技術使專用網絡能夠連接到INTERNET網上。NAT交換機或內容交換機放置在域的邊界上，在向INTERENT網上發送數據包之前，它把私有地址轉換為INTERNET上的公網地址。如以下圖所示，企業內部有一主機，其IP地址為.1，該主機要訪問INTERNET上的節點0，當IP數據包到達邊界交換機時，交換機將IP地址轉為公網的，然后再送往目的地。VLAN規劃6.1VLAN技術在VLAN技術出現以前，以太網交換技術屬于網絡的第二層，所有的端口都屬于同一個播送域，也就是每個端口都可以收到播送信息，不管它愿不愿意。在大型的網絡環境中，播送包不可防止地會引起帶寬的浪費，而在TCP/IP，IPX，WINDOWS環境下，播送包的使用更是不可或缺。為了解決這個問題，VLAN技術應運而生。VLAN把一局部端口模擬成為一個虛擬的播送域，VLAN的所有播送都只會在本域內發送，不會超出播送域，進一步來說，VLAN內的所有數據都只能被同一VLAN的成員接收，而不會被非本VLAN成員接收。不同的VLAN之間不能相互通信，必須通過路