【正文】 VLAN最大256個，支持4K VLAN透傳，支持PVLAN端口鏡像支持一對多鏡像，可分別基于輸入/輸出流的鏡像端口聚合最大6組，每組最大聚合8個百兆端口、2個千兆端口堆疊支持，最大8臺堆疊，堆疊體各上聯(lián)端口仍可支持端口聚合廣播風(fēng)暴抑制支持寬高深440 mm 44 mm240mm電源AC 160V～240V，48Hz～60Hz溫度工作溫度： 0℃ 到 40℃ 存儲溫度：40℃ 到 70℃濕度工作濕度: 10% 到 90% RH 存儲濕度: 5% 到 90% RH2．4網(wǎng)絡(luò)規(guī)劃設(shè)計2．4．1VLAN規(guī)劃化工學(xué)院網(wǎng)絡(luò)作為一個規(guī)模較大的園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)運行和管理要適應(yīng)本身管理運行的特點。從業(yè)務(wù)流程和管理特點上來看，要求虛網(wǎng)劃分能夠適應(yīng)兩個層次的要求：一是二級單位為行政主體進行管理的橫向虛網(wǎng)劃分；二是以專業(yè)應(yīng)用子系統(tǒng)為主體進行管理的縱向虛網(wǎng)劃分。這樣才能滿足管理上的基本要求。除能滿足上述基本要求外，以實現(xiàn)不同設(shè)備間的虛網(wǎng)互連，虛網(wǎng)數(shù)的要求達到1000個以上，虛網(wǎng)劃分的策略以按端口方式為主，因為端口劃分方式是目前使用最方便、并能提供最好的網(wǎng)絡(luò)第二層安全控制及廣播控制的的VLAN劃分方法。，虛網(wǎng)數(shù)可達到4096個。支持本地VLAN劃分和跨主干的VLAN劃分方式，可以實現(xiàn)橫向虛網(wǎng)劃分和縱向虛網(wǎng)劃分功能。本方案建議使用以二級行政單位為主體進行虛網(wǎng)的劃分,即以化工學(xué)院各系、處為單位進行劃分,另外為了更有效的的對網(wǎng)絡(luò)設(shè)備進行管理,將所有的網(wǎng)絡(luò)設(shè)備的管理地址劃歸一個VLAN,對于某些特權(quán)機器(如網(wǎng)絡(luò)中心、領(lǐng)導(dǎo)等)劃分單獨VLAN，并且做相應(yīng)訪問策略。2．4．2VLAN間訪問策略規(guī)劃VLAN劃分是將機器劃歸到不同的管理組，這種分組的目的主要是隔離廣播數(shù)據(jù)、便于網(wǎng)絡(luò)管理。目前多數(shù)用戶只是做了VLAN的劃分，而且通過三層交換設(shè)備實現(xiàn)了VLAN間的通訊，但是卻忽略了一個重要問題，那就是如何規(guī)劃不同VLAN間的訪問。由于在局域網(wǎng)中我們劃分VLAN時便已經(jīng)賦予了每一個VLAN屬于不同的功能域，并不是所有VLAN之間或所有計算機之間都可以不作限制隨意訪問。從基于安全性考慮我們不會允許網(wǎng)內(nèi)所有計算機都可以訪問網(wǎng)絡(luò)設(shè)備所在的網(wǎng)管VLAN,也不會允許任意計算機可以訪問財務(wù)部門網(wǎng)段，因此我們需要在不同網(wǎng)段之間進行訪問控制設(shè)置。目前最常用的主要是使用訪問控制列表，通過將功能不同的訪問控制列表加載到不同的VLAN接口中，便可以根據(jù)自己的實際情況設(shè)定相應(yīng)的訪問規(guī)則。例子：考慮到內(nèi)網(wǎng)中的蠕蟲等可能也會試圖對網(wǎng)絡(luò)的出口等進行攻擊，迫使出口設(shè)備出現(xiàn)拒絕服務(wù)等現(xiàn)象，因此我們還需要對內(nèi)網(wǎng)數(shù)據(jù)對外傳輸時進行安全過濾，這類過濾主要是對常見的蠕蟲病毒端口進行屏蔽，這樣盡量避免對網(wǎng)絡(luò)設(shè)備的攻擊行為出現(xiàn)。2．4．3 IP規(guī)劃IP地址規(guī)劃要注意統(tǒng)一考慮的原則，全網(wǎng)要有一個一致的規(guī)劃方案，要考慮易于管理和分配的原則，為各個部門節(jié)點制定統(tǒng)一的劃分原則。IP地址的分配要考慮到老校區(qū)的使用情況統(tǒng)一來規(guī)劃，同時還要盡量避免地址的浪費，化工學(xué)院在CERNET申請到的C類地址，在這些C類地址中，我們采用VLSM技術(shù)，按照行政區(qū)域和系統(tǒng)進行劃分。鑒于此次工程的的組網(wǎng)規(guī)模， IP地址的分配可以根據(jù)以下幾個層次考慮：三層路由網(wǎng)關(guān)：此次核心設(shè)備采用雙機冗余與負載均衡，對于每一個VLAN都需要分別為兩臺核心設(shè)備分配一個地址，作為每個VLAN的虛擬網(wǎng)關(guān)，同時還要分配一個地址作為路由冗余的網(wǎng)關(guān)地址。 用戶接入地址段：按照各地局域網(wǎng)內(nèi)主機接入數(shù)量和設(shè)備數(shù)量來分配子網(wǎng)空間，為提高交換網(wǎng)絡(luò)的效率，建議針對不同職能或部門劃分不同的子網(wǎng)。但用戶地址網(wǎng)段應(yīng)當(dāng)易于匯聚，減少其他子域路由器的路由開銷。服務(wù)器地址段：為滿足服務(wù)器接入的需要，需要為服務(wù)器分配獨立的地址空間。原則上，可根據(jù)服務(wù)器的應(yīng)用種類和關(guān)聯(lián)關(guān)系，分割成不同的子網(wǎng)網(wǎng)段，防止因同一廣播域內(nèi)，因主機的數(shù)量增多而導(dǎo)致的局域網(wǎng)效率的下降。設(shè)備管理地址：為了便于網(wǎng)絡(luò)設(shè)備的管理以及設(shè)備管理的安全性保護，建議將所有網(wǎng)絡(luò)設(shè)備的管理地址單獨劃分網(wǎng)段，采用帶外管理模式，這樣保證了網(wǎng)絡(luò)中只有專用的網(wǎng)管服務(wù)器才能夠?qū)W(wǎng)絡(luò)設(shè)備進行管理。2．4．4QoS規(guī)劃思科的系列高性能交換機提供了靈活的隊列調(diào)度算法，可以同時基于端口和隊列進行設(shè)置，支持SP、WRR、SP+WRR三種模式；支持8個優(yōu)先級隊列，3個丟棄優(yōu)先級；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為8Kbit/s，滿足精品寬帶網(wǎng)絡(luò)的要求。我們可以根戶用戶的業(yè)務(wù)類型來進行某一類QoS的部署，實現(xiàn)對網(wǎng)絡(luò)流量的有效控制。第三章：網(wǎng)絡(luò)安全設(shè)計第一節(jié)：網(wǎng)絡(luò)安全綜述絕對不能把安全理解為一時一地的安全，安全必須整體考慮，安全必須把人的因素和物的因素綜合考慮，安全不能只重實施不重監(jiān)控，不能忽視策略。我們理解的安全是一個永不停止的車輪，車輪的核心是安全策略的制定，而策略的實施、效果的監(jiān)控、反饋和評估、策略的改進，如此周而復(fù)始的循環(huán)才能保證真正的安全。那些把安全視為一個獨立的防火墻或者某個設(shè)備上的一個特殊功能的做法，是有害無益的。所以，我們理解的安全解決方案涵蓋了安全的各個功能部分，通常也需要各種設(shè)備通力合作。這些產(chǎn)品現(xiàn)在能實施任何指定的網(wǎng)絡(luò)安全策略。這些特性將身份鑒別、完整性及審查功能融入到您的網(wǎng)絡(luò)基礎(chǔ)設(shè)施上。由于安全策略非常具體、細致，因此，這些要素如何在園區(qū)網(wǎng)、撥號和Internet上得以實施會有所不同，究竟有哪些區(qū)別取決于不同區(qū)域?qū)Π踩潭鹊牟煌蟆Ｄ承┘夹g(shù)可提供更深入的安全保護，但通常也要求更多的CPU 和存儲器。定義安全前應(yīng)先明確安全要求，然后實施，這樣就避免了最后做不必要的技術(shù)調(diào)整。在實施安全解決方案時, 我們必須遵循的設(shè)計原則是：在網(wǎng)絡(luò)設(shè)備中全面集成安全功能；從整體高度應(yīng)用不同設(shè)備的安全功能，不能單打獨斗，更不能無視全局。具體到本項目，我們將在以下方面進行安全的策略部署：1. 在網(wǎng)絡(luò)中配屬防火墻，重點放在Internet連接功能區(qū)。在設(shè)備上啟動必要的安全過濾ACL，Cisco 4506交換機支持第2層到第4層的ACL；2. 此次提供的Cisco 。3. 部署網(wǎng)絡(luò)防病毒系統(tǒng)。4．將網(wǎng)絡(luò)防病毒系統(tǒng)和網(wǎng)絡(luò)的管理系統(tǒng)進行相結(jié)合，將安全控制部署到每一臺網(wǎng)絡(luò)設(shè)備直至每一臺終端計算機。第二節(jié)：網(wǎng)絡(luò)設(shè)備安全機制局域網(wǎng)必須提高整體的穩(wěn)定性：在交換機上采用類似CEF的交換技術(shù)，避免采用基于Flow的交換技術(shù)，后者很容易被網(wǎng)絡(luò)蠕蟲造成的Flow過載導(dǎo)致DoS直至崩潰；盡量避免在全網(wǎng)范圍內(nèi)運行SPT之類的L2協(xié)議，即使必須運行，應(yīng)該能夠在交換機上部署Root Guard和BPDU Guard這樣的功能來防止由于SPT不穩(wěn)定造成的VLAN崩潰；所有的交換機應(yīng)啟動Port Security防止導(dǎo)致MAC地址耗盡的攻擊，啟動Storm Control控制廣播風(fēng)暴；在非交換機互連端口啟動Port Fast；交換機應(yīng)關(guān)閉Web管理服務(wù)和明文Telnet，或者代之以SSH、SSL，改變標(biāo)準(zhǔn)的Web 80端口號；交換機上最好通過線速ACL和QoS速率限制技術(shù)杜絕大流量造成的DoS攻擊。具體的做法是，在4500交換機上，可以部署以下的安全機制：轉(zhuǎn)發(fā)安全：CEF交換技術(shù)；端口安全：Portfast、Root Guard、BPDU Guard、Traffic Storm Control、Port Security、PVLAN；流量過濾：VLAN ACL、Route ACL、QoS ACL；交換機自身防護：SSH、SNMPvRadius/TACACS+；防火墻硬件服務(wù)模塊對ERP業(yè)務(wù)服務(wù)器提供基于狀態(tài)的防火墻保護；IDS硬件服務(wù)模塊提供入侵檢測保護。在S3900交換機上可以部署以下的安全機制：轉(zhuǎn)發(fā)安全：基于最長匹配的路由策略。系統(tǒng)采用逐包轉(zhuǎn)發(fā)方式，保證了所有報文均獲得相同的轉(zhuǎn)發(fā)性能，對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御能力，有效保證了設(shè)備安全；。在用戶接入網(wǎng)絡(luò)時完成必要的身份認證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。DUD(Disconnect Unauthorised Device)認證，通過MAC地址學(xué)習(xí)數(shù)目限制和MAC地址與端口綁定實現(xiàn)。支持用戶分級管理和口令保護，支持MAC地址學(xué)習(xí)數(shù)目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞；支持防止DoS攻擊功能。用戶通過一個不能保證安全的網(wǎng)絡(luò)環(huán)境遠程登錄到以太網(wǎng)交換機時，可以提供安全的信息保障和強大的認證功能，以保護交換機不受諸如IP地址欺詐、明文密碼截取等等攻擊。第三節(jié)：防火墻3．1防火墻的選擇防火墻作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備由于本身所具有的特殊性，使得我們在進行該產(chǎn)品選擇時應(yīng)該具備以下特點：u 具有強大的處理能力，完善的功能特點u 自身具備良好的抗攻擊能力u 具備高的穩(wěn)定性u 友好的人機交互界面u 良好的后續(xù)開發(fā)及支持能力本方案我們推薦使用聯(lián)想網(wǎng)御POWER V3203千兆防火墻，對于聯(lián)想防火墻的特點與優(yōu)勢將在附件資料中介紹。3．2防火墻策略及部署防火墻系統(tǒng)的成敗關(guān)鍵在于防火墻的安全規(guī)劃與安全策略設(shè)計，在本方案中，我們將針對安全策略的規(guī)劃等進行重點闡述。在化工學(xué)院網(wǎng)絡(luò)建設(shè)中，應(yīng)遵循以下總體安全策略：1．未經(jīng)允許的訪問都要嚴(yán)格禁止；2．允許的訪問都要經(jīng)過認證、授權(quán)；3．按照訪問需求將整個系統(tǒng)分成若干個安全區(qū)域，并設(shè)定訪問規(guī)格在下面的章節(jié)中我們將針對目前所面臨的問題進行安全策略的規(guī)劃設(shè)計。3．2．1邊界訪問安全策略網(wǎng)絡(luò)邊界安全策略包括：178。 內(nèi)部網(wǎng)絡(luò)對外部訪問的控制；178。 外部網(wǎng)絡(luò)對內(nèi)部資源進行訪問時的授權(quán)與許可；內(nèi)部網(wǎng)絡(luò)對外部訪問的控制：由于化工學(xué)院的網(wǎng)絡(luò)出口共有2個，即：公網(wǎng)和教育網(wǎng)，因此對于外部的訪問我們需要進行基于目標(biāo)地址或源地址的路由規(guī)劃。為了保證內(nèi)部對外訪問的可靠性與高效性，可以對源端口及目標(biāo)端口進行設(shè)定。外部網(wǎng)絡(luò)對內(nèi)部資源進行訪問時的授權(quán)與許可：開啟的服務(wù)越少安全漏洞便會越少，基于這個原則在一般默認情況下我們會設(shè)定內(nèi)網(wǎng)具備最高的安全特性，禁止一切外部訪問；但是我們的網(wǎng)絡(luò)中會有一些主機系統(tǒng)必須允許外部進行訪問，這種情況下我們會把相應(yīng)的主機（或服務(wù)器）置于DMZ區(qū)域，并僅僅只是開放服務(wù)所需端口，并啟用主機映射功能。3．2．2多DMZ 區(qū)保護本次方案推薦的防火墻接口數(shù)量為五個。因此部署防火墻的時候一個接口連接公網(wǎng)，一個連接教育網(wǎng)，一個接內(nèi)網(wǎng)，還有3個接口可以用作DMZ 區(qū)，我們可以將其他接口分別進行不同的訪問設(shè)置，把不同的訪問需求服務(wù)器至于不同的區(qū)域中。如果把這些不同服務(wù)器放在內(nèi)網(wǎng)或同一個安全區(qū)域，那么訪問需要到內(nèi)網(wǎng)中取數(shù)據(jù)，或同一個DMZ區(qū)域，這樣內(nèi)網(wǎng)或DMZ區(qū)域被整體攻破的基率會增加很多，因此我們建議充分利用這些端口，將不同服務(wù)置于不同安全區(qū)域。3．2．3端口映射加入防火墻后想隱藏服務(wù)器的真實IP 地址；同時還要在不增加IP 的情況下遠程管理防火墻。這需要防火墻作端口的映射——既：訪問這個地址的HTTP 服務(wù)、FTP 服務(wù)轉(zhuǎn)到服務(wù)器上，其他服務(wù)是訪問防火墻本身。這樣可以既保證用戶網(wǎng)絡(luò)靈活部署的同時更大程度上保證服務(wù)器的安全。3．2．4多出口目前化工學(xué)院共有2個出口——公網(wǎng)和與教育網(wǎng)連接，這時候接入防火墻的時候需要防火墻具有基于規(guī)則的路由功能，也就是說：不同主機或者目的地址在防火墻上的網(wǎng)關(guān)不同。聯(lián)想網(wǎng)御防火墻Power V 具有基于策略的路由功能，可以根據(jù)源地址、目標(biāo)地址等設(shè)定不同的路由，從而可以滿足用戶具有多個出口的要求，滿足學(xué)校的特定接入情況。3．2．5帶寬保障在當(dāng)前網(wǎng)絡(luò)存在問題的分析中我們知道質(zhì)量監(jiān)督局的網(wǎng)絡(luò)中將會增加越來越多的用戶及應(yīng)用系統(tǒng)，而且常常會出現(xiàn)病毒或惡意軟件以及BT等導(dǎo)致對流量的大量占用，這種惡意占用最直接的結(jié)果就是導(dǎo)致，流量占用嚴(yán)重正常服務(wù)無法進行，因此我們必須要有有效的手段來對關(guān)鍵應(yīng)用或關(guān)鍵主機進行帶寬保障策略設(shè)計。大家都知道圖像、語音對延遲要求很高，否則到遠端處感覺說話是時斷時續(xù)，而數(shù)據(jù)包對延遲要求不高。因此在這樣的網(wǎng)絡(luò)環(huán)境中使用防火墻的帶寬管理功能十分必要的，同時使用防火墻可以有效的隔離廣播，保證無線網(wǎng)絡(luò)中珍貴的帶寬被浪費。聯(lián)想網(wǎng)御防火墻Power V 具有QoS 功能，使網(wǎng)絡(luò)可以支持重要任務(wù)或?qū)崟r數(shù)據(jù)流與較低優(yōu)先級別的數(shù)據(jù)優(yōu)先傳輸。聯(lián)想網(wǎng)御防火墻Power V 通過定義流量策略的方式提供QOS 功能，帶寬管理支持基于源IP 地址，目的地址、服務(wù)、接口的帶寬管理，支持VPN 帶寬的管理，能夠?qū)PN 中的封裝信息進行基于IP 地址、服務(wù)的帶寬管理。每條帶寬管理策略可以支持最小保證帶寬，最大限制帶寬，可以支持帶寬優(yōu)先級的設(shè)定，不同的通訊具有不同的帶寬使用優(yōu)先級，優(yōu)先級高的通訊可以最大量的獲得防火墻空余的帶寬?？傮w來說，具有以下的特點：178。 帶寬限制可以對用戶IP 地址、服務(wù)等通過防火墻的帶寬進行限制，例如：限制某個用戶對外訪問最大帶寬，或者訪問某種服務(wù)的最大帶寬。178。 帶寬保證保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其他服務(wù)或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡(luò)。178。 優(yōu)先級控制聯(lián)想網(wǎng)御防火墻Power V 通過定義管道的方式提供QoS 功能，并且管道沒有數(shù)量的限制，也就是說優(yōu)先級控制的等級沒有數(shù)量的限制，同時可在每一個管道中，可以設(shè)定9 個優(yōu)先級（19）,從而可以進行更加細致的流量控制，做到基于IP 用戶的流量控制。178。 動態(tài)流量均衡為了保證網(wǎng)絡(luò)中的所有帶寬都得到合理的應(yīng)用，防火墻提供動態(tài)流量均衡功能。例如：假如某網(wǎng)絡(luò)帶寬為256k，設(shè)定主機A 的帶寬為100k，主機B 帶寬為156k,如果主機B 目前只用到120k，而主機A100k 的帶寬不夠用，此時主機A 可以動態(tài)獲得主機B 剩余的36K 帶寬。如果主機B 某一時刻的突發(fā)速率到156K，他會動態(tài)的從主機A 那里獲得屬于他的36K 帶寬，從而保證重要服務(wù)或者用戶優(yōu)先進行數(shù)據(jù)傳輸。在本次工程我們選擇的網(wǎng)御防火墻可以針對不同的應(yīng)用或用戶組進行帶寬高限和低限進行設(shè)定，保證重要