【正文】 斯夫與市化醫(yī)集團合作投資的 MDI(二苯基甲烷二異氰酸酯)一體化項目。在數(shù)字化、信息化不斷發(fā)展的今天，各行各業(yè)都開始組建自己的網(wǎng)絡系統(tǒng)，同國際接軌，希望能與那些同行業(yè)的國際公司抗衡。Inter 上積累了大量信息資源，這些資源涉及人類面對和從事的各個領域、行業(yè)及社會公用服務信息。成為信息時代全球可共享的最大信息基地。作為 XX 企業(yè)也不甘落后，在新園區(qū)建設中向著數(shù)字化、信息化、網(wǎng)絡化方面發(fā)展，并建立一套完整的網(wǎng)絡系統(tǒng)，為自己服務。MDI 是生產(chǎn)聚氨酯的重要原材料，被廣泛應用于汽車儀表盤、建筑外墻保溫層及冰箱、運動鞋等多類產(chǎn)品的生產(chǎn)。實現(xiàn)園區(qū)信息化統(tǒng)一管理，資源共享。園區(qū)職能分析根據(jù)我們考查了解，貴單位主要工作內容：企業(yè)管理基本職能： 5 / 371）XX 企業(yè)信息化業(yè)務開展 2）XX 企業(yè)信息化管理3）XX 企業(yè)教職工人員業(yè)務辦公4）園區(qū)安全保障5）園區(qū)人員管理隨著計算機多媒體和網(wǎng)絡技術的不斷發(fā)展與普及，網(wǎng)絡信息系統(tǒng)的建設，是非常必要及可行。大量計算機網(wǎng)絡設備進入公司和單位。 核心層 Core Layer核心層為下兩層提供優(yōu)化的數(shù)據(jù)輸運功能，它是一個高速的交換骨干，其作用是盡可能快地交換數(shù)據(jù)包而不應卷入到具體的數(shù)據(jù)包的運算中(ACL，過濾等)，否則會降低數(shù)據(jù)包的交換速度。在貴方網(wǎng)絡環(huán)境中，接入層主要提供如下功能：? Shared Bandwidth? Switched Bandwidth? MAC Layer Filtering(possibly)? Microsegmentation在廣域網(wǎng)環(huán)境中，接入層主要提供通過 Frame Relay、ISDN、Leased Line連入遠程節(jié)點。4. 可以實現(xiàn)網(wǎng)絡接入方式的融合、網(wǎng)絡業(yè)務的融合、網(wǎng)絡管理方式的融合。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡層的備份技術。先進性網(wǎng)絡硬件、軟件平臺的先進性，要注意選擇性能價格比好的先進技術和硬件和軟件組網(wǎng)，保證系統(tǒng)的基礎環(huán)境十年不落后?？蓴U展性系統(tǒng)要有可擴展性和可升級性，隨著業(yè)務的增長和應用水平的提高，網(wǎng)絡中的數(shù)據(jù)和信息流將按指數(shù)增長，需要網(wǎng)絡有很好的可擴展性，并能隨著技術的發(fā)展不斷升級。安全性網(wǎng)絡系統(tǒng)應具有良好的安全性，保證數(shù)據(jù)的安全及網(wǎng)絡使用的安全。在后面的網(wǎng)絡技術選型和系統(tǒng)方案中，以上設計原則和思想都將會被貫徹始終。4) 要保證網(wǎng)絡的穩(wěn)定性和可靠性和 IPv4 網(wǎng)絡設備相比，現(xiàn)有 IPv6 網(wǎng)絡設備還處于逐步成熟和完善之中，有可能會影響 IPv6 網(wǎng)絡的穩(wěn)定性和可靠性，因此推薦的 IPv6 網(wǎng)絡方案要能夠充分保證網(wǎng)絡的穩(wěn)定性和可靠性，保證不會對網(wǎng)絡的服務質量有明顯的影響。因此，網(wǎng)絡方案要注意所選技術能夠支持網(wǎng)絡的平滑過渡，不會形成將來網(wǎng)絡過渡的新障礙。11 / 37 高級應用服務園區(qū)網(wǎng)門戶系統(tǒng)園區(qū)網(wǎng)綜合信息門戶系統(tǒng)是面向用戶的大型網(wǎng)絡綜合應用系統(tǒng)。? 資源的管理和整合為實現(xiàn) WEB 資源的統(tǒng)一訪問，綜合信息門戶需要管理各種 WEB 資源的訪問地址、訪問方式、訪問權限和所提供的服務等相關信息；為讓園區(qū)網(wǎng)用戶可通過門戶訪問這些資源，門戶還需管理用戶信息，并對不同用戶訪問不同資源時所擁有的操作權限進行統(tǒng)一的管理，提供多層次和靈活權限管理策略。因此門戶具有單點登錄、應用漫游等特征。在這種服務模式下，門戶可以提供個性化訪問環(huán)境。視頻源的獲取視頻源的獲取需要通過兩個手段來獲取，首先是直播視頻的獲取。通過基于 P2P 的視頻分發(fā)模式，極大地降低了對視頻服務器性能和網(wǎng)絡的消耗。另外，采取 IPv6 組播方式分發(fā)也可以保證網(wǎng)絡帶寬不會被重復的數(shù)據(jù)所浪費。同時，通過建立可控管的 IPv6 組播服務系統(tǒng)實現(xiàn)視頻直播管理和控制，能夠對需要接收視頻數(shù)據(jù)的用戶進行有效的管理，并在未來提供更高質量的服務的同時，可以獲得良好的收益回報。因此在IPv6 園區(qū)網(wǎng)的 QoS 控制中，應對視頻會議類型的數(shù)據(jù)流定義了最高的優(yōu)先級別，以保證視頻會議信號的實時傳輸?，F(xiàn)在該傳輸研究項目正在積極開展之中，屆時將實現(xiàn)超高清全景播放。IPv6 網(wǎng)格研究的一個共同點是如何消除信息孤島和知識14 / 37孤島，實現(xiàn)包括信息、知識在內的各種資源的智能共享。網(wǎng)絡拓撲圖園區(qū)網(wǎng)絡系統(tǒng)設計：核心設備高背板轉發(fā)、擁有高帶寬、高背板、提供高可靠性。同一棟樓內弱電井間均采用光纖連接。園區(qū)網(wǎng)安全現(xiàn)狀原因分析? 網(wǎng)絡結構單一和設備防護技術欠缺網(wǎng)絡目前為單核心結構，相應作為骨干區(qū)域的設備級別的保護技術較少。? 內網(wǎng)安全無法有效控制70％以上威脅網(wǎng)絡安全的攻擊行為都是來自園區(qū)網(wǎng)內用戶；內網(wǎng)防御能力弱，病毒、木馬泛濫；“合法用戶”的“非法行為”危害巨大；常規(guī)手段難以及時16 / 37發(fā)現(xiàn)并阻斷攻擊行為；發(fā)生的安全事件不能審計到人，無法進行有效處理。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統(tǒng)的安全最低點的安全性能。安全檢測機制是檢測系統(tǒng)的運行情況，及時發(fā)現(xiàn)和制止對系統(tǒng)進行的各種攻擊。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統(tǒng)的用戶需求和具體17 / 37的應用環(huán)境，具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質和信息的重要程度。 6) 統(tǒng)籌規(guī)劃，分步實施原則 由于政策規(guī)定、服務需求的不明朗，環(huán)境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規(guī)劃下，根據(jù)網(wǎng)絡的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。 8) 動態(tài)發(fā)展原則 要根據(jù)網(wǎng)絡安全的變化不斷調整安全措施，適應新的網(wǎng)絡環(huán)境，滿足新的網(wǎng)絡安全需求。達18 / 37到內網(wǎng)盡量的干凈，從而杜絕現(xiàn)網(wǎng)頻繁出現(xiàn)的 ARP 欺騙和病毒泛濫情況。建立全網(wǎng)立體防御 ARP 欺騙功能，從可能遭受ARP 欺騙攻擊的三個層面出發(fā)全面防治 ARP 欺騙帶來的危害。4) 確保用戶終端安全通過建立用戶終端安全防護體系，確保入網(wǎng)用戶主機終端的安全。5) 確保遠程 VPN 用戶訪問網(wǎng)絡的安全企業(yè)外辦公和差旅用戶需要訪問企業(yè)內資源時，認證技術和 VPN 技術則需要良好的配合，保證 VPN 用戶的訪問網(wǎng)絡行為能夠監(jiān)控和內網(wǎng)的安全。國家信息等級保護體系主要包含了：技術要求和管理要求。網(wǎng)絡基礎平臺安全網(wǎng)絡設備和架構的安全是園區(qū)網(wǎng)安全建設的基礎，為保證網(wǎng)絡設備和架構的安全，網(wǎng)絡提供以下技術保證企業(yè)內網(wǎng)絡設備的健壯和可靠：1. CPU 及引擎保護技術——CPP 技術隨著交換機應用的逐漸普及，以及網(wǎng)絡攻擊的不斷增多，越來越需要為數(shù)據(jù)交換機提供一種保護機制，對發(fā)往交換機 CPU 的數(shù)據(jù)流，進行流分類和優(yōu)先級分級處理，以及 CPU 的帶寬限速，以確保在任何情況下 CPU 都不會出現(xiàn)負載過高的狀況，這種保護機制就是 CPU Protect Policy，簡稱 CPP。網(wǎng)絡 CPP 技術保證了網(wǎng)絡的路由穩(wěn)定可靠，最大程度上避免網(wǎng)絡受到攻擊的的拓撲震蕩。從現(xiàn)有的數(shù)據(jù)幀實現(xiàn)的流程來看，缺乏從流的主干上考慮實施防攻擊保護。大量的報文流送向 CPU，占用了整個送 CPU的報文通路的帶寬，導致正常的控制流和管理流無法達到 CPU，從而帶來協(xié)議振蕩無法管理，進而影響到數(shù)據(jù)面的轉發(fā)，如果是核心設備將導致整個網(wǎng)絡無法正常運行。NFPP 所實現(xiàn)的防攻擊技術如 ARP 防攻擊、ICMP 防攻擊都集中在 NFPP 配置模式下進行配置，且對各種類型防攻擊的配置基本相仿，使得用戶只須熟悉其中一種配置就可以了。? 支持特權用戶NFPP 支持特權用戶，即管理者能夠設置一些可信任用戶為特權用戶。同時，給網(wǎng)絡帶來設備硬件級別的安全，而不會影響數(shù)據(jù)的轉發(fā)。建議該類型帳戶企業(yè)內認證賬號和 VPN 賬號相同，便于管理。 入網(wǎng)主機安全園區(qū)網(wǎng)內，主機的安全問題最為常見，也是大部分安全問題源頭，主機安全涉及到統(tǒng)一身份認證和主機安全防護體系兩大部分。例如：Windows 補丁的檢查和修復；防毒軟件的檢測和修復等等；園區(qū)網(wǎng)主機防護體系全面的保障了主機的完整性、安全性； ARP 防御體系用戶在完成了身份認證和主機端點防護之后，就可以接入網(wǎng)絡，但用戶在網(wǎng)絡中的行為依然受到安全系統(tǒng)全局安全網(wǎng)絡系統(tǒng)的管理和規(guī)范。自動進行 ARP 可信任的列表綁定實現(xiàn)了 ARP 病毒的全面防御，徹底地解決了ARP 病毒泛濫的問題。 園區(qū)網(wǎng)數(shù)據(jù)容災方案可以采用業(yè)界推崇和先進的基于 SAN 網(wǎng)絡層容災技術架構，采用虛擬化引擎和 FC 光纖陣列共同實現(xiàn)，實現(xiàn)應用級容災，來保證數(shù)據(jù)安全。可以24 / 37及時發(fā)現(xiàn)網(wǎng)絡中的異常情況，發(fā)現(xiàn)安全事件的前兆，為網(wǎng)絡中心提供決策的數(shù)據(jù)。 園區(qū)智能無線網(wǎng)絡規(guī)劃設計 設計原則1) 標準的成熟性必須遵循標準的統(tǒng)一性，所采用的各項技術必須與國際主流標準協(xié)議相一致，并能夠保證與多個主流廠商的互操作性。因此，對于 XX 企業(yè)而言，無線網(wǎng)絡的安全必須放在重要位置，可以從以下幾個方面考慮：4) 用戶接入認證的控制XX 企業(yè)園區(qū)網(wǎng)建成后的無線網(wǎng)絡必須完全融合進該認證系統(tǒng)中，針對不同的用戶開設不同的認證權限。但是非法用戶與非法無線設備的存在，將會對整個網(wǎng)絡的穩(wěn)定運行構成極大的威脅。因此，針對本次的無線網(wǎng)絡設計原則中，要求無線網(wǎng)絡能夠實現(xiàn)對所有的無線接入點功能的配置和管理、無線入侵監(jiān)控、無線終端追蹤定位、無線電波傳輸分析的工作模式。26 / 37因此，在網(wǎng)絡管理方面，規(guī)劃中的無線網(wǎng)絡必須具有全網(wǎng)設備工作狀態(tài)參數(shù)的集中監(jiān)控、射頻智能調控、射頻環(huán)境的實時監(jiān)控、網(wǎng)絡鏈路狀況的報警、無線用戶及設備的定位、豐富的報表輸出等實用功能。 設計目標對于 XX 企業(yè)整體園區(qū)重點區(qū)域無線網(wǎng)絡的規(guī)劃設計，應著眼于高效、穩(wěn)定、安全的總體設計目標，同時易于使用、用戶界面統(tǒng)一、標準；易于安裝、維護和管理，網(wǎng)絡運行質量高；開放性好，便于移植、擴展和推廣；要在幾年內保持解決方案與技術上的領先，為用戶提供一個靈活的移動教學和辦公的平臺, 對用戶和無線網(wǎng)絡進行有效的管理，構建了一個穩(wěn)定的、可拓展的無線園區(qū)網(wǎng)環(huán)境，以此作為園區(qū)有線網(wǎng)絡重要輔助網(wǎng)絡和補充。具體的部署方式和位置，將會在該工程實施前提交具體的部署方案書中詳細描述。因此企業(yè)無線網(wǎng)絡信號將選擇 ，在建設網(wǎng)絡的時候，充分考慮到網(wǎng)絡的可擴展性，以及兼容性。通過無線網(wǎng)絡全園區(qū)的無縫漫游的實現(xiàn)，將使得企業(yè)的無線網(wǎng)絡變得更加健壯，同時為將來的語音等應用的開展奠定基礎。通過分布式聯(lián)動的 web 認證，不但可以延續(xù)原有的 web 認證方式，對用戶完全透明，還可以利用智能無線交換機強大的用戶安全行為策略功能，針對不同的用戶名分配不同的訪問權限和行為控制，保護無線網(wǎng)絡訪問安全。SSID（無線標識符）是用于無線終端與接入點匹配以獲得通信的明文密碼，對于初級安全防范有一定作用，且配置快速簡單，非常適合室外無線覆蓋使用。另外，對于室內、外型 AP 產(chǎn)品，由于其開放于公共環(huán)境，面對的是所有用戶群體，對不同的用戶群體的權限和身份識別則成為必須的功能。該功能尤其對于啟用了 DHCP 動態(tài)地址分配能力之后，可獲得更好的效果，可以針對不同的地址段實現(xiàn) VLAN 劃分，并賦予不同的安全策略，實現(xiàn)園區(qū)的動態(tài)安全體系，更可以為未來發(fā)展中的網(wǎng)絡自防御體系打下很好的基礎。辦公區(qū)室內區(qū)域無線規(guī)劃31 / 37說明：根據(jù)各區(qū)域的實際規(guī)模以及大小，部署相應的 AP 數(shù)。而無線辦公可以就可以真正發(fā)揮出筆記本便利的優(yōu)勢，人們可以在園區(qū)的任何地方進行無線辦公，甚至在辦公桌有有線的情況下，也不用插拔網(wǎng)線了，打開電腦即可連接入網(wǎng)絡，通過認證，隨時查詢資料。無線網(wǎng)絡的建成，可以讓全園區(qū)所有空曠地帶均可以成為將來的應急辦公區(qū)域。易管理的無線網(wǎng)絡對于本次企業(yè)規(guī)模如此龐大的無線網(wǎng)絡來說，管理是非常重要的事情。因此，本方案中的智能無線交換機產(chǎn)品可以充分發(fā)揮集中管理功能，對全網(wǎng)智能無線接入點的行為和用戶信息統(tǒng)一監(jiān)控和管理，園區(qū)網(wǎng)絡管理人員只需在智能無線交換機上就可開通、管理、維護所有處于接入層的智能無線接入點設備，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶的訪問策略。 產(chǎn)品要求核心交換機參數(shù)要求：功能及技術指標 參數(shù)要求插槽數(shù) =9單引擎交換容量 =720Gbps單引擎包轉發(fā)能力 =450Mpps每插槽帶寬 =40GIPv4 協(xié)議硬件支持 IPv4，其中路由協(xié)議必須支持 RIP、OSPF VISIS,組播協(xié)議必須支