【文章內(nèi)容簡介】 。 l 設(shè)備故障管理器為Cisco設(shè)備提供實(shí)時故障分析能力。它利用多種數(shù)據(jù)收集與分析手段生成了智能Cisco陷阱。這些陷阱能夠在當(dāng)?shù)仫@示，或者用的方式傳遞給其他常用的事件管理系統(tǒng)。 l 內(nèi)容流量監(jiān)視器Cisco內(nèi)容流量結(jié)構(gòu)優(yōu)化了基于鏈接等待時間、地域相鄰情況和服務(wù)器負(fù)載可用性的全球服務(wù)器負(fù)載分配能力。監(jiān)視與管理內(nèi)容傳輸?shù)脑O(shè)備如LocalDirector或 Catalyst 4840G等是了解并維護(hù)網(wǎng)絡(luò)中關(guān)鍵任務(wù)應(yīng)用與服務(wù)的內(nèi)容流量的關(guān)鍵。內(nèi)容流量監(jiān)視器為Cisco服務(wù)器負(fù)載平衡設(shè)備提供了實(shí)時性能監(jiān)視應(yīng)用工具。 l NGenius實(shí)時監(jiān)視器是一種新型的多用戶傳輸管理工具包，能夠?yàn)楸O(jiān)控網(wǎng)絡(luò)、故障排除和維護(hù)網(wǎng)絡(luò)可用性提供全網(wǎng)絡(luò)、實(shí)時遠(yuǎn)程監(jiān)視信息。其圖形應(yīng)用報(bào)告和分析設(shè)備、鏈接和端口級遠(yuǎn)程監(jiān)視能夠從Catalyst交換機(jī)、內(nèi)部網(wǎng)絡(luò)分析模塊和外部交換機(jī)探測器收集傳輸數(shù)據(jù)。 l 資源管理器要素資源管理器要素（RME）具有網(wǎng)絡(luò)庫存和設(shè)備更換管理能力、網(wǎng)絡(luò)配置與軟件圖象管理能力、網(wǎng)絡(luò)可用性和系統(tǒng)記錄分析能力。它還提供了強(qiáng)大的與Cisco在線連接相集成的功能。 l CiscoView這種最廣泛使用的Cisco圖形設(shè)備管理應(yīng)用工具現(xiàn)已具備Web能力。通過瀏覽器，局域網(wǎng)管理器能夠?qū)崟r獲取設(shè)備狀態(tài)、運(yùn)行與配置功能方面的信息。 l CiscoWorks 2000管理服務(wù)器CiscoWorks 2000系列解決方案提供了基本的管理構(gòu)件、服務(wù)和安全性，它也是與其他Cisco產(chǎn)品及第三方應(yīng)用相集成的基礎(chǔ)。 主要功能及應(yīng)用主要功能/應(yīng)用產(chǎn)品管理優(yōu)勢能夠智能化自動探測Cisco設(shè)備創(chuàng)建的網(wǎng)絡(luò)拓?fù)鋱D園區(qū)網(wǎng)管理器園區(qū)網(wǎng)管理器拓?fù)浞?wù)功能可發(fā)現(xiàn)Cisco設(shè)備，并計(jì)算第2層的關(guān)系以檢查Cisco網(wǎng)絡(luò)的ATM域、VTP域、LAN邊緣圖以及第2層視圖拓?fù)錉顟B(tài)指示園區(qū)網(wǎng)管理器拓?fù)溆诚笾甘玖税l(fā)現(xiàn)的Cisco設(shè)備及其SNMP狀態(tài)，以及CiscoWorks2000其他應(yīng)用的發(fā)射點(diǎn)配置管理和監(jiān)視虛擬局域網(wǎng)與ATM服務(wù)/網(wǎng)絡(luò)園區(qū)網(wǎng)管理器提供了創(chuàng)建、刪除和編輯虛擬局域網(wǎng)的工具；提供了顯示VS和配置SPVC/SPVP的ATM工具發(fā)現(xiàn)連接到交換機(jī)端口的終端站與IP電話，根據(jù)用戶ID識別用戶的位置園區(qū)網(wǎng)管理器園區(qū)網(wǎng)管理器用戶追蹤功能可將MAC地址與IP地址與交換機(jī)端口相關(guān)，并與微軟的PDC和Novell的NDS樹集成，以便為用戶ID提供更高效的用戶位置與追蹤能力第2層和第3層網(wǎng)絡(luò)的兩個端點(diǎn)（設(shè)備、服務(wù)器、電話）的追蹤連接性園區(qū)網(wǎng)管理器園區(qū)網(wǎng)管理器路徑分析工具可利用設(shè)備的主機(jī)名或IP地址為第2層和第3層設(shè)備提供路徑分析，并在臺式映象顯示器或追蹤顯示器上顯示出分析的結(jié)果智能化故障條件的分析能力可在問題中斷網(wǎng)絡(luò)之前發(fā)現(xiàn)問題設(shè)備故障管理器設(shè)備故障管理器的自動故障探測功能可識別網(wǎng)絡(luò)中的常見故障，而無需使用戶定義自己的規(guī)則集、SNMP陷阱過濾器或設(shè)備的輪詢間隔在設(shè)備級與虛擬局域網(wǎng)級的故障條件說明設(shè)備故障管理器具有預(yù)先定義100余個Cisco路由器和交換機(jī)的特點(diǎn)，支持新設(shè)備的功能可方便地通過CCO增添新設(shè)備。設(shè)備故障管理器簡化了第2層和第3層環(huán)境的管理LoadDirector、Catalyst 4840G和Catalyst 6xxx具有監(jiān)視服務(wù)器負(fù)載平衡的功能內(nèi)容流量監(jiān)視器實(shí)時監(jiān)視來自虛擬網(wǎng)絡(luò)和實(shí)際網(wǎng)絡(luò)負(fù)載平衡構(gòu)件的包流量數(shù)據(jù)和負(fù)載服務(wù)器的負(fù)載平衡功能收集來自局域網(wǎng)設(shè)備和探測器的RMON/RMON2的數(shù)據(jù)資料NGerius 實(shí)時監(jiān)視器監(jiān)視局域網(wǎng)傳輸協(xié)議、應(yīng)用和接口，以便采用適當(dāng)?shù)倪^濾器、降低成本與提高設(shè)備性能排除局域網(wǎng)網(wǎng)絡(luò)與應(yīng)用包級的故障NGenius實(shí)時監(jiān)視器通過提供整個網(wǎng)絡(luò)的可視性包括應(yīng)用層、數(shù)據(jù)鏈路層及現(xiàn)有的虛擬拓?fù)浣Y(jié)構(gòu)，來幫助解決網(wǎng)絡(luò)與應(yīng)用問題詳細(xì)的軟、硬件庫存報(bào)告資源管理器要素準(zhǔn)確提供Cisco庫存基線信息，包括內(nèi)存、插槽、軟件版本以及網(wǎng)絡(luò)決策所需的引導(dǎo)ROM用于設(shè)備軟件和配置更改的自動升級引擎資源管理器要素 允許軟件與配置更新信息按計(jì)劃傳送到選定的設(shè)備，從而節(jié)省了時間和避免了網(wǎng)絡(luò)更新過程中出現(xiàn)的錯誤整合的故障排除工具設(shè)備中心資源管理器要素廣泛收集的交換機(jī)和路由器分析工具，可從單點(diǎn)訪問，設(shè)備中心能夠鏈接到第三方的應(yīng)用上集中管理變化審計(jì)記錄資源管理器要素可徹底改變記錄用戶與應(yīng)用在網(wǎng)上活動的監(jiān)視日志圖形設(shè)備管理CiscoView顯示的瀏覽器代表Cisco路由器和交換機(jī)設(shè)備，彩色編碼代表運(yùn)行的狀態(tài)及可獲得的配置與監(jiān)視工具應(yīng)用訪問安全性CiscoWorks2000服務(wù)器CiscoWorks2000臺式設(shè)備控制用戶獲得的應(yīng)用，確保合適級別的用戶才能獲得改變網(wǎng)絡(luò)參數(shù)的工具，而不符合要求的用戶只能使用只讀工具第三方集成工具（集成的實(shí)用性）CiscoWorks2000服務(wù)器簡化了Web與第三方及其它Cisco管理工具的集成3．5．7防火墻應(yīng)用設(shè)計(jì)防火墻是保護(hù)內(nèi)部網(wǎng)絡(luò)安全的主要屏障，統(tǒng)計(jì)表明防火墻可以防止80％以上的外來攻擊行為，因此部署防火墻系統(tǒng)是非常必要的。本方案防火墻部署在路由器后面外口連接路由器，內(nèi)口連接計(jì)費(fèi)網(wǎng)關(guān)，這樣可以最大限度的保障內(nèi)部網(wǎng)絡(luò)的安全。但是防火墻要通過合理的規(guī)劃和配置，才能夠達(dá)到我們預(yù)想的安全目標(biāo)。首先我們根據(jù)對各種服務(wù)的安全性要求來進(jìn)行安全級別的規(guī)劃，比如：內(nèi)部信息系統(tǒng)不能夠被外部所訪問，這樣我們就應(yīng)該將內(nèi)網(wǎng)設(shè)置為最高的安全級別，盡量不設(shè)置映射，開放服務(wù)端口號等，因?yàn)槊块_放一個內(nèi)部訪問就等于在防火墻上開放了一個通道；對于需要被外部所訪問的資源，我們需要分析評估其安全性要求，設(shè)定訪問控制但是要避免不必要的服務(wù)被開放，如果主機(jī)的所有服務(wù)被開放這臺主機(jī)的安全性就幾乎降為最低；我們建議將需要對外提供服務(wù)的機(jī)器放置于DMZ區(qū)，并只開放特定服務(wù)。防火墻的部署位置如下圖所示：另外由于我們推薦的該防火墻還具備較強(qiáng)的抗攻擊能力（主要抗拒絕服務(wù)攻擊）、VPN的支持以及入侵檢測功能。因此還可以啟用相關(guān)功能增加對外來攻擊的發(fā)現(xiàn)，通過日志的分析與統(tǒng)計(jì)幫助管理員制定更加合理的安全策略。本方案中我們推薦用戶選擇的是 防火墻設(shè)備，該設(shè)備具體參數(shù)如下表所示：產(chǎn)品型號 網(wǎng)絡(luò)吞吐能力并發(fā)連接數(shù)MTBF網(wǎng)絡(luò)接口（小時）10/100BaseT(RJ45)Power V200系列203200Mbps600,00060,0003具體設(shè)備的介紹在第六章有詳細(xì)相關(guān)介紹。3．5．8 VPN設(shè)計(jì)由于本方案選擇的防火墻及路由器均提供對VPN的支持，但是考慮到設(shè)備的負(fù)載情況，以及對VPN的支持能力我們建議通過防火墻來進(jìn)行VPN的訪問部署。VPN是用于在非安全的網(wǎng)絡(luò)中建立安全隧道的模式來實(shí)現(xiàn)網(wǎng)絡(luò)的安全訪問技術(shù)，一般建立VPN的方式包括：在兩個網(wǎng)絡(luò)之間通過VPN設(shè)備建立VPN通道，和在移動或遠(yuǎn)端一臺或多臺計(jì)算機(jī)和中心VPN設(shè)備之間建立VPN通道的模式。工院網(wǎng)絡(luò)的VPN使用將主要是內(nèi)部人員外出時通過終端設(shè)備（如筆記本電腦）和中心建立VPN通道的模式。建立的VPN模式如下圖所示：在移動客戶端安裝一套VPN客戶端軟件，該用戶無論通過何種方式接入互聯(lián)網(wǎng)后，均可通過和中心的VPN設(shè)備之間建立鏈接，通過VPN設(shè)備預(yù)先設(shè)定的驗(yàn)證和IPSEC協(xié)議簇，在移動用戶和中心網(wǎng)絡(luò)之間建立一條VPN隧道，并有VPN設(shè)備為其分配一個內(nèi)網(wǎng)地址，這樣就移動用戶就可以象局域網(wǎng)用戶一樣，實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)資源的訪問。如上圖所示合法的移動用戶會和中心建立一條安全的VPN隧道，對于非認(rèn)證的用戶將會被拒絕訪問。3．6網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)針對工院網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)工程建設(shè)的需求，我公司提出總體網(wǎng)絡(luò)協(xié)議及路由規(guī)劃。3．6．1VLAN規(guī)劃工院網(wǎng)絡(luò)作為一個規(guī)模較大的園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)運(yùn)行和管理要適應(yīng)本身管理運(yùn)行的特點(diǎn)。從業(yè)務(wù)流程和管理特點(diǎn)上來看，要求虛網(wǎng)劃分能夠適應(yīng)兩個層次的要求：一是二級單位為行政主體進(jìn)行管理的橫向虛網(wǎng)劃分；二是以專業(yè)應(yīng)用子系統(tǒng)為主體進(jìn)行管理的縱向虛網(wǎng)劃分。這樣才能滿足管理上的基本要求。除能滿足上述基本要求外，以實(shí)現(xiàn)不同設(shè)備間的虛網(wǎng)互連，虛網(wǎng)數(shù)的要求達(dá)到1000個以上，虛網(wǎng)劃分的策略以按端口方式為主，因?yàn)槎丝趧澐址绞绞悄壳笆褂米罘奖?、并能提供最好的網(wǎng)絡(luò)第二層安全控制及廣播控制的的VLAN劃分方法。思科公司的CAT4506\，虛網(wǎng)數(shù)可達(dá)到4096個。支持本地VLAN劃分和跨主干的VLAN劃分方式，可以實(shí)現(xiàn)橫向虛網(wǎng)劃分和縱向虛網(wǎng)劃分功能。本方案建議使用以二級行政單位為主體進(jìn)行虛網(wǎng)的劃分,即以工院各系、處為單位進(jìn)行劃分,另外為了更有效的的對網(wǎng)絡(luò)設(shè)備進(jìn)行管理,將所有的網(wǎng)絡(luò)設(shè)備的管理地址劃歸一個VLAN,對于某些特權(quán)機(jī)器(如網(wǎng)絡(luò)中心、領(lǐng)導(dǎo)等)劃分單獨(dú)VLAN，并且做相應(yīng)訪問策略。3．6．2VLAN間訪問策略規(guī)劃VLAN劃分是將機(jī)器劃歸到不同的管理組，這種分組的目的主要是隔離廣播數(shù)據(jù)、便于網(wǎng)絡(luò)管理。目前多數(shù)用戶只是做了VLAN的劃分，而且通過三層交換設(shè)備實(shí)現(xiàn)了VLAN間的通訊，但是卻忽略了一個重要問題，那就是如何規(guī)劃不同VLAN間的訪問。由于在局域網(wǎng)中我們劃分VLAN時便已經(jīng)賦予了每一個VLAN屬于不同的功能域，并不是所有VLAN之間或所有計(jì)算機(jī)之間都可以不作限制隨意訪問。從基于安全性考慮我們不會允許網(wǎng)內(nèi)所有計(jì)算機(jī)都可以訪問網(wǎng)絡(luò)設(shè)備所在的網(wǎng)管VLAN,也不會允許任意計(jì)算機(jī)可以訪問財(cái)務(wù)部門網(wǎng)段，因此我們需要在不同網(wǎng)段之間進(jìn)行訪問控制設(shè)置。目前最常用的主要是使用訪問控制列表，通過將功能不同的訪問控制列表加載到不同的VLAN接口中，便可以根據(jù)自己的實(shí)際情況設(shè)定相應(yīng)的訪問規(guī)則。例子：考慮到內(nèi)網(wǎng)中的蠕蟲等可能也會試圖對網(wǎng)絡(luò)的出口等進(jìn)行攻擊，迫使出口設(shè)備出現(xiàn)拒絕服務(wù)等現(xiàn)象，因此我們還需要對內(nèi)網(wǎng)數(shù)據(jù)對外傳輸時進(jìn)行安全過濾，這類過濾主要是對常見的蠕蟲病毒端口進(jìn)行屏蔽，這樣盡量避免對網(wǎng)絡(luò)設(shè)備的攻擊行為出現(xiàn)。3．6．3出口路由策略規(guī)劃對于出口路由器的對外訪問策略在在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)一節(jié)中已經(jīng)進(jìn)行了說明，這里主要針對出口路由器如何實(shí)現(xiàn)數(shù)據(jù)路由以及安全控制等進(jìn)行規(guī)劃。由于工院網(wǎng)絡(luò)將來接入教育網(wǎng)后主要采用教育網(wǎng)分配的合法IP，因此對于教育網(wǎng)的訪問只要根據(jù)目標(biāo)地址直接路由數(shù)據(jù)即可；但是對于對公網(wǎng)的訪問情況則有很大區(qū)別，由于教育網(wǎng)的地址是無法直接被公網(wǎng)路由，因此需要進(jìn)行相應(yīng)的地址轉(zhuǎn)換，即在公網(wǎng)出口處將教育網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址后，再進(jìn)行路由轉(zhuǎn)發(fā)。另外由于目前網(wǎng)絡(luò)中有著大量的病毒及掃描程序，一直在不停試圖對網(wǎng)絡(luò)中的計(jì)算機(jī)等進(jìn)行攻擊、控制、傳播病毒等，因此我們還要在路由器上實(shí)現(xiàn)對這些行為的屏蔽。本項(xiàng)目中我們建議將目前網(wǎng)絡(luò)中常見的的一些攻擊端口進(jìn)行屏蔽，比如對沖擊波、振蕩波等常用端口屏蔽拒絕響應(yīng)。3．6．4 IP規(guī)劃IP地址規(guī)劃要注意統(tǒng)一考慮的原則，全網(wǎng)要有一個一致的規(guī)劃方案，要考慮易于管理和分配的原則，為各個部門節(jié)點(diǎn)制定統(tǒng)一的劃分原則。IP地址我們按照工院一分配，使用分配的工院在CERNET申請到的16個C類地址，在這些C類地址中，我們采用VLSM技術(shù)，按照行政區(qū)域和系統(tǒng)進(jìn)行劃分。鑒于此次工程的的組網(wǎng)規(guī)模， IP地址的分配可以根據(jù)以下幾個層次考慮：三層路由網(wǎng)關(guān)：此次核心交換機(jī)采用的是CAT4506系列交換機(jī)，對于每一個網(wǎng)段都需要一個地址分配給路由模塊，作為每個VLAN的虛擬網(wǎng)關(guān)。 用戶接入地址段：按照各地局域網(wǎng)內(nèi)主機(jī)接入數(shù)量和設(shè)備數(shù)量來分配子網(wǎng)空間，為提高交換網(wǎng)絡(luò)的效率，建議針對不同職能或部門劃分不同的子網(wǎng)。但用戶地址網(wǎng)段應(yīng)當(dāng)易于匯聚，以便跨OSPF域通告匯總路由，減少其他子域路由器的路由開銷。服務(wù)器地址段：為滿足服務(wù)器接入的需要，需要為服務(wù)器分配獨(dú)立的地址空間。原則上，可根據(jù)服務(wù)器的應(yīng)用種類和關(guān)聯(lián)關(guān)系，分割成不同的子網(wǎng)網(wǎng)段，防止因同一廣播域內(nèi)，因主機(jī)的數(shù)量增多而導(dǎo)致的局域網(wǎng)效率的下降。設(shè)備管理地址：為了便于網(wǎng)絡(luò)設(shè)備的管理以及設(shè)備管理的安全性保護(hù)，建議將所有網(wǎng)絡(luò)設(shè)備的管理地址單獨(dú)劃分網(wǎng)段，采用帶外管理模式，這樣保證了網(wǎng)絡(luò)中只有專用的網(wǎng)管服務(wù)器才能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行管理。IP地址規(guī)劃建議本方案建議使用INTERNET保留私有IP地址作為園區(qū)網(wǎng)內(nèi)部地址，考慮到方便網(wǎng)絡(luò)管理，使用標(biāo)準(zhǔn)的C類地址，每一個C類地址段歸于一個VLAN。3．6．5QoS實(shí)施思科的系列高性能交換機(jī)提供了靈活的隊(duì)列調(diào)度算法，可以同時基于端口和隊(duì)列進(jìn)行設(shè)置，支持SP、WRR、SP+WRR三種模式；支持8個優(yōu)先級隊(duì)列，3個丟棄優(yōu)先級；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為8Kbit/s，滿足精品寬帶網(wǎng)絡(luò)的要求。我們可以根戶用戶的業(yè)務(wù)類型來進(jìn)行某一類QoS的部署，也可以對三種模式進(jìn)行混合部署。3．6．6網(wǎng)絡(luò)視頻流平臺支撐規(guī)劃工院網(wǎng)絡(luò)完成后將會大量使用視頻信息用于教學(xué)、管理等工作，但是作為視頻流數(shù)據(jù)會占用大量網(wǎng)絡(luò)資源，因此需要將組播功能在全網(wǎng)中部署，組播技術(shù)能夠?qū)崿F(xiàn)數(shù)據(jù)的一路發(fā)送多點(diǎn)接受，這樣可以極大的減少網(wǎng)絡(luò)負(fù)擔(dān)。下面我們將對思科的組播技術(shù)進(jìn)行說明。思科智能接入交換機(jī)上主要采用的是IGMP snooping模塊來實(shí)現(xiàn)組播功能，IGMP snooping 是用來監(jiān)聽主機(jī)與三層交換機(jī)之間的的IGMP報(bào)文的。因此其所完成的主要功能是接收IGMP報(bào)文，并對于不同的報(bào)文進(jìn)行處理。IGMP（Internet Group Management Protocol ）網(wǎng)絡(luò)組管理協(xié)議是IP協(xié)議組中的一部分，用來支持和管理主機(jī)與組播三層交換機(jī)之間的IP組播。IGMP使組播三層交換機(jī)能夠跟蹤與之物理相連的網(wǎng)絡(luò)上每個組的成員。它在主機(jī)和直接鄰接的組播三層交換機(jī)間運(yùn)行，這個協(xié)議的機(jī)制允許主機(jī)通知本地三層交換機(jī)，它希望接收到發(fā)往某個特定組播組的信息。根據(jù)從IGMP學(xué)習(xí)到的組播成員信息。因此，組播允許進(jìn)行資源發(fā)現(xiàn)，使網(wǎng)絡(luò)負(fù)載減到最小，在網(wǎng)上實(shí)現(xiàn)數(shù)據(jù)的有效傳輸。IP組播方式使用了數(shù)據(jù)報(bào)的目的地址來規(guī)定組播的投遞。IP組播使用了D類地址。地址的前4比特的內(nèi)容是l110，指出這是一個組播地址。其余的28比特標(biāo)識了特殊的組播地址。在這個28比特的群組字段中不再有結(jié)構(gòu)層次。特別是，群組字段并不標(biāo)出群組的來源，也不會像A