【正文】 如果使用寬帶IP接入，則應(yīng)該根據(jù)電信提供接入速率，選用不同模塊例如NM1AOC3MM等，則可以實(shí)現(xiàn)高達(dá)155Mbps的接入速率。它本身自帶2個(gè)10/100M的RJ45標(biāo)準(zhǔn)接口方便用戶連接被保護(hù)的設(shè)備。網(wǎng)絡(luò)具體配置如下： 骨干層配置在中心機(jī)房選用1臺(tái)CiscoCat4006S3交換機(jī)作為中心交換設(shè)備。（注：如果考慮冗余設(shè)置則應(yīng)選用兩臺(tái)中心交換機(jī)，本方案中暫時(shí)沒(méi)有考慮實(shí)現(xiàn)冗余的配置）在各樓層配線間（共有16個(gè)樓層配線間）同樣選配Cisco Cat2950G48/24/12交換機(jī)作為二級(jí)交換機(jī)。利用Cisco路由器的訪問(wèn)列表（Access List）控制合法用戶對(duì)Internet的訪問(wèn)。同時(shí)CISCO 2621還能支持基于Extranet/VPN的遠(yuǎn)程訪問(wèn)服務(wù)，滿足用戶今后增值服務(wù)的需求。本方案中為朝林公司選配1臺(tái)CISCO的PIX515URBUN防火墻，它所提供的能力可以處理10萬(wàn)余個(gè)同時(shí)連接，吞吐量高達(dá)170Mbps。因此具體設(shè)備清單僅供招標(biāo)方參考，本次除東樓內(nèi)網(wǎng)外，其他設(shè)備不計(jì)入總價(jià)。NOC的各工作站連接在交換機(jī)上，NOC交換機(jī)連接到網(wǎng)絡(luò)中心子網(wǎng)交換模塊上。如：采用防火墻軟件；在口令管理方面，增加一次性口令（S/KEY技術(shù)）的安全管理技術(shù)，口令不在網(wǎng)上傳輸。 域名服務(wù)器DNS Server是通信的關(guān)鍵環(huán)節(jié)，不但域名解析速度要快，而且必須支持域名解析的備份?？赏ㄟ^(guò)安裝微軟EXCHANGE軟件實(shí)現(xiàn)。PROXY通過(guò)CACHE技術(shù)，也降低了出口流量，提高了用戶訪問(wèn)速度。因此必須建立完善的備份方案以保證數(shù)據(jù)的完整性和一致性。磁盤陣列柜采用RAID5方式，也保證了如果陣列柜中1塊數(shù)據(jù)盤出現(xiàn)問(wèn)題時(shí)，系統(tǒng)仍可以正常運(yùn)行，在更換出錯(cuò)硬盤時(shí)也不影響系統(tǒng)的運(yùn)行。國(guó)內(nèi)對(duì)MO的應(yīng)用開(kāi)始于近兩年，由于當(dāng)時(shí)備份的方式仍以文件拷貝為主，數(shù)據(jù)量小，MO就成為了多數(shù)部門的首選備份設(shè)備。歷史證明磁帶技術(shù)是相當(dāng)穩(wěn)定可靠的。 備份軟件利用磁帶機(jī)進(jìn)行數(shù)據(jù)備份是一種古老的備份措施，隨著信息產(chǎn)業(yè)技術(shù)的發(fā)展，磁帶機(jī)備份技術(shù)也在飛速發(fā)展，如磁帶機(jī)數(shù)據(jù)的提高，磁帶容量的增加等，磁帶機(jī)備份這種古老的備份手段一直是備份系統(tǒng)的首要選擇之一。如此既可以減輕系統(tǒng)管理者工作量也可以避免人工備份造成的差錯(cuò)性；并行數(shù)據(jù)流：可以在多臺(tái)設(shè)備之間進(jìn)行備份、復(fù)原或數(shù)據(jù)復(fù)制，從而提高系統(tǒng)的性能；本系統(tǒng)建議采用DataWare系統(tǒng)作為備份系統(tǒng)，利用自動(dòng)備份、災(zāi)難恢復(fù)等功能保障中心數(shù)據(jù)庫(kù)的穩(wěn)定運(yùn)行?？梢詫?duì)正在使用的文件進(jìn)行備份操作，確保數(shù)據(jù)的完整性，作到與應(yīng)用程序無(wú)關(guān)的在線數(shù)據(jù)備份。在備份策略上，可以根據(jù)政府辦公系統(tǒng)的特點(diǎn)，設(shè)置好備份策略。因?yàn)镮P地址空間的限制，IANA為私用網(wǎng)絡(luò)保留了以下三塊地址空間，這些地址永遠(yuǎn)不會(huì)在Internet合法地址中出現(xiàn)，允許企業(yè)自由采用(參見(jiàn)下表)。因此計(jì)算機(jī)網(wǎng)絡(luò)的網(wǎng)絡(luò)管理是網(wǎng)絡(luò)建設(shè)的重要內(nèi)容，是保證計(jì)算機(jī)網(wǎng)絡(luò)正常運(yùn)行的前提。計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)絡(luò)管理系統(tǒng)的主要管理對(duì)象包括：核心層多層交換設(shè)備；分布層二級(jí)交換機(jī)設(shè)備；服務(wù)器系統(tǒng)；VLANs劃分與管理。失效管理配合網(wǎng)管軟件的失效管理功能，建立失效檔案管理，提供聯(lián)機(jī)工作手冊(cè)和規(guī)范的失效處理操作程序（包括書(shū)面報(bào)告、電話報(bào)告、Email報(bào)告、處理程序、處置意見(jiàn)等的要求）。安全管理：是整個(gè)網(wǎng)絡(luò)管理的重要一環(huán)，通過(guò)防火墻、認(rèn)證/授權(quán)、數(shù)字簽名、加密傳輸、存取控制、安裝安全分析工具等手段實(shí)現(xiàn)安全控制，監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)的訪問(wèn)情況，實(shí)施訪問(wèn)安全控制；通過(guò)設(shè)備冗余、容錯(cuò)配置、數(shù)據(jù)備份等手段確保運(yùn)行安全；通過(guò)值班制度、運(yùn)行制度完善組織管理；通過(guò)事故保護(hù)系統(tǒng)，如防火系統(tǒng)、防盜系統(tǒng)、電源安全系統(tǒng)等措施防止非常事故的發(fā)生。CiscoWorks2000LMS包括入下功能模塊：RME(Resource Manager Essentials)－資源管理模塊；CM園區(qū)網(wǎng)管理模塊；CiscoView；網(wǎng)絡(luò)內(nèi)容流的管理；網(wǎng)絡(luò)流量管理；插入式模塊管理。變化審查業(yè)務(wù)Change Audix Service 提供有關(guān)軟件、硬件及配置變化的綜合報(bào)告。軟件版本管理器Software Image Manager 簡(jiǎn)化并加速軟件版本的規(guī)劃和采用。CM園區(qū)網(wǎng)管理 CM承襲了Cisco Works for Switched Internetworks的功能。不管是獨(dú)立配置還是在園區(qū)網(wǎng)內(nèi)，CiscoView 均可用圖像顯示所選設(shè)備，包括已安裝的模塊、配置狀況，同時(shí)提供：設(shè)備及端口狀態(tài)的彩色編碼圖示；Cisco路由器、交換機(jī)及所配置模塊的圖像顯示；設(shè)備端口或接口狀態(tài)及RMON數(shù)據(jù)的實(shí)時(shí)狀態(tài)輪詢；實(shí)現(xiàn)簡(jiǎn)易配置或狀態(tài)識(shí)別的可拆卸式配置菜單。強(qiáng)制策略管理：通過(guò)為應(yīng)用或用戶制定帶寬分配保障關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)資源；通過(guò)實(shí)施基于應(yīng)用的處理,支持按帶寬應(yīng)用的計(jì)費(fèi)；實(shí)時(shí)監(jiān)視用戶帶寬的占用。網(wǎng)絡(luò)系統(tǒng)的安全策略強(qiáng)調(diào)重點(diǎn)保護(hù)、規(guī)范管理和提高效率。關(guān)鍵信息的傳輸采用端到端的專用加密工具。加強(qiáng)對(duì)用戶從網(wǎng)上卸下的軟件進(jìn)行病毒檢查；定時(shí)備份系統(tǒng)，防止系統(tǒng)崩潰。對(duì)于整個(gè)大廈，我們主要采用防火墻加以隔離外部網(wǎng)絡(luò)，然而內(nèi)部局域網(wǎng)不同部門或用戶之間如果沒(méi)有采用相應(yīng)一些訪問(wèn)控制，也可能造成信息泄漏或非法攻擊。因此制訂安全管理策略和措施，采用“遠(yuǎn)程控制、集中管理”的方式對(duì)網(wǎng)絡(luò)中的安全設(shè)備和系統(tǒng)進(jìn)行管理，以確保安全策略的一致性。問(wèn)題是這樣，在絕大多數(shù)的用戶都是合法用戶。交換機(jī)“端口MAC地址限制”是指在交換機(jī)上指定（可以是自動(dòng)學(xué)習(xí)，也可以是手工指定）能訪問(wèn)該端口的MAC地址，可以是一個(gè)或多個(gè)地址，而在指定的MAC地址范圍之外的網(wǎng)卡就不能通過(guò)該端口上網(wǎng)。在傳統(tǒng)的共享局域網(wǎng)或者交換局域網(wǎng)環(huán)境中，整個(gè)網(wǎng)絡(luò)處于同一個(gè)廣播域中（即所謂的同一個(gè)LAN），這樣當(dāng)大量用戶發(fā)送廣播信息時(shí)容易形成廣播風(fēng)暴，使得整個(gè)網(wǎng)絡(luò)癱瘓。我們可以利用虛擬網(wǎng)技術(shù)的這些特點(diǎn)將不同的部門或不同的應(yīng)用系統(tǒng)分配于不同的VLAN之中，實(shí)現(xiàn)不同部門或不同應(yīng)用系統(tǒng)的邏輯隔離，通過(guò)Cisco Catalyst交換機(jī)上VLAN功能，可分離網(wǎng)絡(luò)系統(tǒng)中不同部門的不同應(yīng)用，保證網(wǎng)絡(luò)管理信息系統(tǒng)的內(nèi)部訪問(wèn)安全性。對(duì)于IP，Access list可檢查IP包的源地址、目的地址、TCP和UDP、TCP和UDP上的端口號(hào)等深層信息，提供了良好的控制能力。防止對(duì)象重引用，并保證系統(tǒng)安全性監(jiān)視器的效力。在這里不作具體討論。 安全網(wǎng)絡(luò)拓?fù)錇榱吮ＷC大廈局域網(wǎng)絡(luò)的安全，需要在設(shè)計(jì)安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)時(shí)，采用非軍事化區(qū)結(jié)構(gòu)，即通過(guò)配置防火墻，劃分出一個(gè)非軍事化區(qū)（DMZ），以隔離內(nèi)部資源和外部資源。設(shè)置防火墻后，可以限制從外部網(wǎng)訪問(wèn)內(nèi)部網(wǎng)，而內(nèi)部網(wǎng)對(duì)外部網(wǎng)與DMZ區(qū)的訪問(wèn)、外部網(wǎng)訪問(wèn)DMZ區(qū)以及從DMZ區(qū)向外部網(wǎng)和內(nèi)部網(wǎng)發(fā)送的數(shù)據(jù)包可以通過(guò)防火墻規(guī)則予以限制。信息中心劃分成服務(wù)器子網(wǎng)和辦公子網(wǎng)。信息中心的辦公子網(wǎng)與各處室和各單位局域網(wǎng)一樣，連接到位于信息中心的中心交換機(jī)上，作為內(nèi)部網(wǎng)進(jìn)行保護(hù)。這里配置的防火墻將使計(jì)算機(jī)網(wǎng)絡(luò)網(wǎng)通過(guò)廣域網(wǎng)與外部網(wǎng)絡(luò)相連，其安全性將影響到整個(gè)大廈局域網(wǎng)的安全，因此必須遵循以下原則，謹(jǐn)慎選擇：防火墻自身的安全性必須有保證，防火墻必須采用具備安全內(nèi)核的操作系統(tǒng)，必須能夠構(gòu)建安全的網(wǎng)絡(luò)拓?fù)洹？偟膩?lái)說(shuō)，防火墻主要解決如下問(wèn)題：基于IP包的源地址和目的地址的過(guò)濾，進(jìn)行網(wǎng)絡(luò)結(jié)構(gòu)劃分；網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），內(nèi)部用戶進(jìn)行間接對(duì)外部訪問(wèn)；有效地防止黑客的攻擊。ASA可以跟蹤源和目的地址、傳輸控制協(xié)議（TCP）序列號(hào)、端口號(hào)和每個(gè)數(shù)據(jù)包的附加TCP標(biāo)志。雖然UNIX服務(wù)器是廣泛采用公開(kāi)源代碼的理想開(kāi)放開(kāi)發(fā)平臺(tái)，但通用的操作系統(tǒng)并不能提供最佳的性能和安全性。防火墻的每一分鐘停止運(yùn)行都意味著收入、機(jī)會(huì)或關(guān)鍵信息的損失。標(biāo)準(zhǔn)NIC包括單端口或6端口10/100快速以太網(wǎng)、千兆位以太網(wǎng)、1/4令牌環(huán)和雙連接多模FDDI卡?？赡茉斐尚畔⑿孤⑽募G失、機(jī)器死機(jī)等不安全因素。具體的功能如下：遠(yuǎn)程化遠(yuǎn)程管理 自動(dòng)核對(duì)版本、下載 升級(jí)程序下載后，自動(dòng)分發(fā)給局域網(wǎng)內(nèi)的各服務(wù)器與客戶端，全面升級(jí)。智能安裝 對(duì)登錄的客戶端實(shí)行版本智能查詢核對(duì)，自動(dòng)更新升級(jí)，保證全部節(jié)點(diǎn)版本一致，避免因版本差異導(dǎo)致殺毒能力差異，出現(xiàn)網(wǎng)絡(luò)防毒的薄弱環(huán)節(jié)。界面簡(jiǎn)潔明了，易學(xué)易用安全與隱密的協(xié)調(diào)統(tǒng)一自由選擇不同的掃描方式，對(duì)文件分類查殺，提高效率集中式管理，分布式查殺先進(jìn)的殺毒引擎確保查殺精確、迅速查殺各種形式的壓縮文件4 相關(guān)產(chǎn)品介紹 Cisco Catalyst 6509交換機(jī)概述：由Catalyst 6500系列和Catalyst 6000系列產(chǎn)品組成的Catalyst 6000家族為企業(yè)網(wǎng)絡(luò)和服務(wù)供應(yīng)商網(wǎng)絡(luò)提供了一系列高性能多層交換解決方案。作為Cisco內(nèi)容組網(wǎng)體系結(jié)構(gòu)的一個(gè)關(guān)鍵組成部分，Catalyst 6000家族提供了前所未有的商業(yè)靈活性，使企業(yè)能夠快速部署新的Internet應(yīng)用并因而提高自己的收入和降低運(yùn)營(yíng)成本。 主要優(yōu)點(diǎn)可擴(kuò)展的交換性能 Catalyst 6000家族由Catalyst 6000系列和Catalyst 6500系列組成。 使用交叉交換網(wǎng)體系結(jié)構(gòu)的Cisco 6500系列可以將自己的交換帶寬提高到256Gbps。Catalyst 6000和Catalyst 6500系列都可以使用6插槽機(jī)箱和9插槽機(jī)箱。 13槽機(jī)箱是是最新加入到機(jī)箱系列之中的成員，非常適宜用于在網(wǎng)絡(luò)的各個(gè)組成部分實(shí)現(xiàn)高性能、高端口密度的快速以太網(wǎng)和千兆位以太網(wǎng)集中，包括訪問(wèn)層、分發(fā)層、主干層以及服務(wù)器組和數(shù)據(jù)中心環(huán)境。Catalyst 6000系列提供了行業(yè)領(lǐng)先的千兆位以太網(wǎng)交換解決方案，可以滿足當(dāng)今要求最高的和快速增長(zhǎng)的企業(yè)和服務(wù)供應(yīng)商網(wǎng)絡(luò)的要求。 表1 Catalyst 6000家族的密度和容量體系結(jié)構(gòu)Catalyst 6000系列Catalyst 6500系列Catalyst 6500系列底板帶寬32Gbps32Gbps256Gbps千兆位以太網(wǎng)端口數(shù)量130194178100FX以太網(wǎng)端口數(shù)量19228826410/100以太網(wǎng)端口數(shù)量38457652810BASEFL端口數(shù)量192288ATM OC12端口數(shù)量812FlexWAN模塊數(shù)量812智能IP服務(wù) Catalyst 6000家族支持與Catalyst 4000和Catalyst 5000系列同樣的軟件體系結(jié)構(gòu)，提供基于Cisco IOS軟件的行業(yè)領(lǐng)先的服務(wù)。這些服務(wù)能夠只向那些預(yù)訂了個(gè)體組播群組的交換機(jī)用戶轉(zhuǎn)發(fā)相關(guān)的通信流，而不會(huì)影響其他的用戶。此外還可以使用資源保留協(xié)議（RSVP）優(yōu)先級(jí)映射，以確保及時(shí)發(fā)送對(duì)時(shí)間敏感的內(nèi)部網(wǎng)應(yīng)用。此外還可以使用消息摘要5（MD5）路由身份驗(yàn)證來(lái)防止欺詐性路由更新。 傳統(tǒng)的數(shù)據(jù)端口也就是以太網(wǎng)端口也可以支持語(yǔ)音。為確保高系統(tǒng)可用性，Catalyst 6000系列能夠支持設(shè)備級(jí)的容錯(cuò)，包括以下選項(xiàng)： 冗余監(jiān)管器 冗余、負(fù)載共享性質(zhì)的電源（直流和交流） 冗余系統(tǒng)時(shí)鐘 冗余上行鏈路 冗余交換機(jī)網(wǎng)絡(luò)（只對(duì)Catalyst 6500系列） 包括電源、風(fēng)扇、監(jiān)管器、板卡模塊以及交換機(jī)網(wǎng)絡(luò)（只對(duì)Catalyst 6500系列）在內(nèi)的所有系統(tǒng)單元都是熱拔插性質(zhì)的，這樣就可以在不中斷以及不產(chǎn)生不相關(guān)通信流服務(wù)的情況下對(duì)這些系統(tǒng)單元進(jìn)行添加、刪除和替換。 在使用了交換機(jī)網(wǎng)絡(luò)的Catalyst 6500系列系統(tǒng)中，可以提供多種級(jí)別的冗余。使用Cisco的多模塊通道技術(shù)可以實(shí)現(xiàn)可用性更高的負(fù)載共享，這種技術(shù)可以將來(lái)自不同板卡的端口集中為一個(gè)帶寬更高的鏈路。 強(qiáng)大的管理 Catalyst 6000家族提供了一組全面的管理工具，可以提供所要求的網(wǎng)絡(luò)可視性和控制功能。CiscoWorks2000將為所有的Cisco網(wǎng)絡(luò)服務(wù)提供策略管理，包括QoS、組播、安全性、網(wǎng)絡(luò)彈性以及用戶移動(dòng)性。每一端口上的嵌入式智能遠(yuǎn)程監(jiān)視（RMON）代理可以提供強(qiáng)大的通信流監(jiān)視和控制功能每端口能夠支持4個(gè)RMON群組，包括統(tǒng)計(jì)群組、歷史群組、事件群組和報(bào)警群組。 增強(qiáng)交換端口分析器（ESPAN）功能使用戶能夠?qū)⑷魏味丝诨騐LAN上的通信流映像到另一個(gè)以太網(wǎng)或快速以太網(wǎng)端口，以通過(guò)一個(gè)NAM或RMON SwitchProbe進(jìn)行分析。 通過(guò)一個(gè)連接到控制臺(tái)/輔助接口的終端或調(diào)制解調(diào)器，可以實(shí)現(xiàn)對(duì)本地帶外管理的支持。這些板卡能夠與為Catalyst 6500系列256Gbps平臺(tái)設(shè)計(jì)的具有交換機(jī)網(wǎng)絡(luò)支持功能的板卡在同一系統(tǒng)中使用。 為保護(hù)客戶在現(xiàn)有設(shè)備上的投資，Cisco提供的技術(shù)升級(jí)計(jì)劃（TMP）可以作為一種非常有用的工具，為新設(shè)備的采購(gòu)提供信用支持，減輕網(wǎng)絡(luò)升級(jí)的成本。 技術(shù)規(guī)格標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議 ；IEEE , , 以太網(wǎng)：IEEE , 10BASET和10BASEFL 快速以太網(wǎng)：IEEE , 100BASETX, 100BASEFX 千兆位以太網(wǎng)：IEEE , 網(wǎng)絡(luò)管理 CWSI圖形用戶接口（GUI）管理，包括但并不局限于：CiscoView ；VlanDirectorTM 軟件 ；TrafficDirectorTM軟件 Cisco發(fā)現(xiàn)協(xié)議 VTP ；（RFC 11551157） ；SNMPv2c Cisco工作組管理信息庫(kù)（MIB） 以太網(wǎng)MIB（RFC 1643） ；以太網(wǎng)轉(zhuǎn)發(fā)器MIB（RFC 1516） SNMP MIB II （RFC 1213） ；RMON （RFC 1757） 接口表（RFC 1573） ；網(wǎng)橋MIB（RFC 1493） ；SMT （RFC 1285） 增強(qiáng)SPAN ；端口探測(cè)和連接控制 基于文本和CLI的用戶熟悉的路由器接口 標(biāo)準(zhǔn)Cisco IOS軟件安全性功能：密碼和TACACS+ 用于管理訪問(wèn)的遠(yuǎn)程登錄、TFTP和BOOTP Cisco Catalyst 4006交換機(jī)概述：Catalyst 4006擴(kuò)展了企業(yè)