【文章內容簡介】 。 l 設備故障管理器為Cisco設備提供實時故障分析能力。它利用多種數(shù)據(jù)收集與分析手段生成了智能Cisco陷阱。這些陷阱能夠在當?shù)仫@示，或者用的方式傳遞給其他常用的事件管理系統(tǒng)。 l 內容流量監(jiān)視器Cisco內容流量結構優(yōu)化了基于鏈接等待時間、地域相鄰情況和服務器負載可用性的全球服務器負載分配能力。監(jiān)視與管理內容傳輸?shù)脑O備如LocalDirector或 Catalyst 4840G等是了解并維護網絡中關鍵任務應用與服務的內容流量的關鍵。內容流量監(jiān)視器為Cisco服務器負載平衡設備提供了實時性能監(jiān)視應用工具。 l NGenius實時監(jiān)視器是一種新型的多用戶傳輸管理工具包，能夠為監(jiān)控網絡、故障排除和維護網絡可用性提供全網絡、實時遠程監(jiān)視信息。其圖形應用報告和分析設備、鏈接和端口級遠程監(jiān)視能夠從Catalyst交換機、內部網絡分析模塊和外部交換機探測器收集傳輸數(shù)據(jù)。 l 資源管理器要素資源管理器要素（RME）具有網絡庫存和設備更換管理能力、網絡配置與軟件圖象管理能力、網絡可用性和系統(tǒng)記錄分析能力。它還提供了強大的與Cisco在線連接相集成的功能。 l CiscoView這種最廣泛使用的Cisco圖形設備管理應用工具現(xiàn)已具備Web能力。通過瀏覽器，局域網管理器能夠實時獲取設備狀態(tài)、運行與配置功能方面的信息。 l CiscoWorks 2000管理服務器CiscoWorks 2000系列解決方案提供了基本的管理構件、服務和安全性，它也是與其他Cisco產品及第三方應用相集成的基礎。 主要功能及應用主要功能/應用產品管理優(yōu)勢能夠智能化自動探測Cisco設備創(chuàng)建的網絡拓撲圖園區(qū)網管理器園區(qū)網管理器拓撲服務功能可發(fā)現(xiàn)Cisco設備，并計算第2層的關系以檢查Cisco網絡的ATM域、VTP域、LAN邊緣圖以及第2層視圖拓撲狀態(tài)指示園區(qū)網管理器拓撲映象指示了發(fā)現(xiàn)的Cisco設備及其SNMP狀態(tài)，以及CiscoWorks2000其他應用的發(fā)射點配置管理和監(jiān)視虛擬局域網與ATM服務/網絡園區(qū)網管理器提供了創(chuàng)建、刪除和編輯虛擬局域網的工具；提供了顯示VS和配置SPVC/SPVP的ATM工具發(fā)現(xiàn)連接到交換機端口的終端站與IP電話，根據(jù)用戶ID識別用戶的位置園區(qū)網管理器園區(qū)網管理器用戶追蹤功能可將MAC地址與IP地址與交換機端口相關，并與微軟的PDC和Novell的NDS樹集成，以便為用戶ID提供更高效的用戶位置與追蹤能力第2層和第3層網絡的兩個端點（設備、服務器、電話）的追蹤連接性園區(qū)網管理器園區(qū)網管理器路徑分析工具可利用設備的主機名或IP地址為第2層和第3層設備提供路徑分析，并在臺式映象顯示器或追蹤顯示器上顯示出分析的結果智能化故障條件的分析能力可在問題中斷網絡之前發(fā)現(xiàn)問題設備故障管理器設備故障管理器的自動故障探測功能可識別網絡中的常見故障，而無需使用戶定義自己的規(guī)則集、SNMP陷阱過濾器或設備的輪詢間隔在設備級與虛擬局域網級的故障條件說明設備故障管理器具有預先定義100余個Cisco路由器和交換機的特點，支持新設備的功能可方便地通過CCO增添新設備。設備故障管理器簡化了第2層和第3層環(huán)境的管理LoadDirector、Catalyst 4840G和Catalyst 6xxx具有監(jiān)視服務器負載平衡的功能內容流量監(jiān)視器實時監(jiān)視來自虛擬網絡和實際網絡負載平衡構件的包流量數(shù)據(jù)和負載服務器的負載平衡功能收集來自局域網設備和探測器的RMON/RMON2的數(shù)據(jù)資料NGerius 實時監(jiān)視器監(jiān)視局域網傳輸協(xié)議、應用和接口，以便采用適當?shù)倪^濾器、降低成本與提高設備性能排除局域網網絡與應用包級的故障NGenius實時監(jiān)視器通過提供整個網絡的可視性包括應用層、數(shù)據(jù)鏈路層及現(xiàn)有的虛擬拓撲結構，來幫助解決網絡與應用問題詳細的軟、硬件庫存報告資源管理器要素準確提供Cisco庫存基線信息，包括內存、插槽、軟件版本以及網絡決策所需的引導ROM用于設備軟件和配置更改的自動升級引擎資源管理器要素 允許軟件與配置更新信息按計劃傳送到選定的設備，從而節(jié)省了時間和避免了網絡更新過程中出現(xiàn)的錯誤整合的故障排除工具設備中心資源管理器要素廣泛收集的交換機和路由器分析工具，可從單點訪問，設備中心能夠鏈接到第三方的應用上集中管理變化審計記錄資源管理器要素可徹底改變記錄用戶與應用在網上活動的監(jiān)視日志圖形設備管理CiscoView顯示的瀏覽器代表Cisco路由器和交換機設備，彩色編碼代表運行的狀態(tài)及可獲得的配置與監(jiān)視工具應用訪問安全性CiscoWorks2000服務器CiscoWorks2000臺式設備控制用戶獲得的應用，確保合適級別的用戶才能獲得改變網絡參數(shù)的工具，而不符合要求的用戶只能使用只讀工具第三方集成工具（集成的實用性）CiscoWorks2000服務器簡化了Web與第三方及其它Cisco管理工具的集成3．5．7防火墻應用設計防火墻是保護內部網絡安全的主要屏障，統(tǒng)計表明防火墻可以防止80％以上的外來攻擊行為，因此部署防火墻系統(tǒng)是非常必要的。本方案防火墻部署在路由器后面外口連接路由器，內口連接計費網關，這樣可以最大限度的保障內部網絡的安全。但是防火墻要通過合理的規(guī)劃和配置，才能夠達到我們預想的安全目標。首先我們根據(jù)對各種服務的安全性要求來進行安全級別的規(guī)劃，比如：內部信息系統(tǒng)不能夠被外部所訪問，這樣我們就應該將內網設置為最高的安全級別，盡量不設置映射，開放服務端口號等，因為每開放一個內部訪問就等于在防火墻上開放了一個通道；對于需要被外部所訪問的資源，我們需要分析評估其安全性要求，設定訪問控制但是要避免不必要的服務被開放，如果主機的所有服務被開放這臺主機的安全性就幾乎降為最低；我們建議將需要對外提供服務的機器放置于DMZ區(qū)，并只開放特定服務。防火墻的部署位置如下圖所示：另外由于我們推薦的該防火墻還具備較強的抗攻擊能力（主要抗拒絕服務攻擊）、VPN的支持以及入侵檢測功能。因此還可以啟用相關功能增加對外來攻擊的發(fā)現(xiàn)，通過日志的分析與統(tǒng)計幫助管理員制定更加合理的安全策略。本方案中我們推薦用戶選擇的是 防火墻設備，該設備具體參數(shù)如下表所示：產品型號 網絡吞吐能力并發(fā)連接數(shù)MTBF網絡接口（小時）10/100BaseT(RJ45)Power V200系列203200Mbps600,00060,0003具體設備的介紹在第六章有詳細相關介紹。3．5．8 VPN設計由于本方案選擇的防火墻及路由器均提供對VPN的支持，但是考慮到設備的負載情況，以及對VPN的支持能力我們建議通過防火墻來進行VPN的訪問部署。VPN是用于在非安全的網絡中建立安全隧道的模式來實現(xiàn)網絡的安全訪問技術，一般建立VPN的方式包括：在兩個網絡之間通過VPN設備建立VPN通道，和在移動或遠端一臺或多臺計算機和中心VPN設備之間建立VPN通道的模式。工院網絡的VPN使用將主要是內部人員外出時通過終端設備（如筆記本電腦）和中心建立VPN通道的模式。建立的VPN模式如下圖所示：在移動客戶端安裝一套VPN客戶端軟件，該用戶無論通過何種方式接入互聯(lián)網后，均可通過和中心的VPN設備之間建立鏈接，通過VPN設備預先設定的驗證和IPSEC協(xié)議簇，在移動用戶和中心網絡之間建立一條VPN隧道，并有VPN設備為其分配一個內網地址，這樣就移動用戶就可以象局域網用戶一樣，實現(xiàn)對內部網絡資源的訪問。如上圖所示合法的移動用戶會和中心建立一條安全的VPN隧道，對于非認證的用戶將會被拒絕訪問。3．6網絡規(guī)劃設計針對工院網絡網絡系統(tǒng)工程建設的需求，我公司提出總體網絡協(xié)議及路由規(guī)劃。3．6．1VLAN規(guī)劃工院網絡作為一個規(guī)模較大的園區(qū)網絡，網絡運行和管理要適應本身管理運行的特點。從業(yè)務流程和管理特點上來看，要求虛網劃分能夠適應兩個層次的要求：一是二級單位為行政主體進行管理的橫向虛網劃分；二是以專業(yè)應用子系統(tǒng)為主體進行管理的縱向虛網劃分。這樣才能滿足管理上的基本要求。除能滿足上述基本要求外，以實現(xiàn)不同設備間的虛網互連，虛網數(shù)的要求達到1000個以上，虛網劃分的策略以按端口方式為主，因為端口劃分方式是目前使用最方便、并能提供最好的網絡第二層安全控制及廣播控制的的VLAN劃分方法。思科公司的CAT4506\，虛網數(shù)可達到4096個。支持本地VLAN劃分和跨主干的VLAN劃分方式，可以實現(xiàn)橫向虛網劃分和縱向虛網劃分功能。本方案建議使用以二級行政單位為主體進行虛網的劃分,即以工院各系、處為單位進行劃分,另外為了更有效的的對網絡設備進行管理,將所有的網絡設備的管理地址劃歸一個VLAN,對于某些特權機器(如網絡中心、領導等)劃分單獨VLAN，并且做相應訪問策略。3．6．2VLAN間訪問策略規(guī)劃VLAN劃分是將機器劃歸到不同的管理組，這種分組的目的主要是隔離廣播數(shù)據(jù)、便于網絡管理。目前多數(shù)用戶只是做了VLAN的劃分，而且通過三層交換設備實現(xiàn)了VLAN間的通訊，但是卻忽略了一個重要問題，那就是如何規(guī)劃不同VLAN間的訪問。由于在局域網中我們劃分VLAN時便已經賦予了每一個VLAN屬于不同的功能域，并不是所有VLAN之間或所有計算機之間都可以不作限制隨意訪問。從基于安全性考慮我們不會允許網內所有計算機都可以訪問網絡設備所在的網管VLAN,也不會允許任意計算機可以訪問財務部門網段，因此我們需要在不同網段之間進行訪問控制設置。目前最常用的主要是使用訪問控制列表，通過將功能不同的訪問控制列表加載到不同的VLAN接口中，便可以根據(jù)自己的實際情況設定相應的訪問規(guī)則。例子：考慮到內網中的蠕蟲等可能也會試圖對網絡的出口等進行攻擊，迫使出口設備出現(xiàn)拒絕服務等現(xiàn)象，因此我們還需要對內網數(shù)據(jù)對外傳輸時進行安全過濾，這類過濾主要是對常見的蠕蟲病毒端口進行屏蔽，這樣盡量避免對網絡設備的攻擊行為出現(xiàn)。3．6．3出口路由策略規(guī)劃對于出口路由器的對外訪問策略在在網絡結構設計一節(jié)中已經進行了說明，這里主要針對出口路由器如何實現(xiàn)數(shù)據(jù)路由以及安全控制等進行規(guī)劃。由于工院網絡將來接入教育網后主要采用教育網分配的合法IP，因此對于教育網的訪問只要根據(jù)目標地址直接路由數(shù)據(jù)即可；但是對于對公網的訪問情況則有很大區(qū)別，由于教育網的地址是無法直接被公網路由，因此需要進行相應的地址轉換，即在公網出口處將教育網地址轉換為公網地址后，再進行路由轉發(fā)。另外由于目前網絡中有著大量的病毒及掃描程序，一直在不停試圖對網絡中的計算機等進行攻擊、控制、傳播病毒等，因此我們還要在路由器上實現(xiàn)對這些行為的屏蔽。本項目中我們建議將目前網絡中常見的的一些攻擊端口進行屏蔽，比如對沖擊波、振蕩波等常用端口屏蔽拒絕響應。3．6．4 IP規(guī)劃IP地址規(guī)劃要注意統(tǒng)一考慮的原則，全網要有一個一致的規(guī)劃方案，要考慮易于管理和分配的原則，為各個部門節(jié)點制定統(tǒng)一的劃分原則。IP地址我們按照工院一分配，使用分配的工院在CERNET申請到的16個C類地址，在這些C類地址中，我們采用VLSM技術，按照行政區(qū)域和系統(tǒng)進行劃分。鑒于此次工程的的組網規(guī)模， IP地址的分配可以根據(jù)以下幾個層次考慮：三層路由網關：此次核心交換機采用的是CAT4506系列交換機，對于每一個網段都需要一個地址分配給路由模塊，作為每個VLAN的虛擬網關。 用戶接入地址段：按照各地局域網內主機接入數(shù)量和設備數(shù)量來分配子網空間，為提高交換網絡的效率，建議針對不同職能或部門劃分不同的子網。但用戶地址網段應當易于匯聚，以便跨OSPF域通告匯總路由，減少其他子域路由器的路由開銷。服務器地址段：為滿足服務器接入的需要，需要為服務器分配獨立的地址空間。原則上，可根據(jù)服務器的應用種類和關聯(lián)關系，分割成不同的子網網段，防止因同一廣播域內，因主機的數(shù)量增多而導致的局域網效率的下降。設備管理地址：為了便于網絡設備的管理以及設備管理的安全性保護，建議將所有網絡設備的管理地址單獨劃分網段，采用帶外管理模式，這樣保證了網絡中只有專用的網管服務器才能夠對網絡設備進行管理。IP地址規(guī)劃建議本方案建議使用INTERNET保留私有IP地址作為園區(qū)網內部地址，考慮到方便網絡管理，使用標準的C類地址，每一個C類地址段歸于一個VLAN。3．6．5QoS實施思科的系列高性能交換機提供了靈活的隊列調度算法，可以同時基于端口和隊列進行設置，支持SP、WRR、SP+WRR三種模式；支持8個優(yōu)先級隊列，3個丟棄優(yōu)先級；支持WRED擁塞避免算法和端口流量整形。支持帶寬控制功能，流量限速的粒度為8Kbit/s，滿足精品寬帶網絡的要求。我們可以根戶用戶的業(yè)務類型來進行某一類QoS的部署，也可以對三種模式進行混合部署。3．6．6網絡視頻流平臺支撐規(guī)劃工院網絡完成后將會大量使用視頻信息用于教學、管理等工作，但是作為視頻流數(shù)據(jù)會占用大量網絡資源，因此需要將組播功能在全網中部署，組播技術能夠實現(xiàn)數(shù)據(jù)的一路發(fā)送多點接受，這樣可以極大的減少網絡負擔。下面我們將對思科的組播技術進行說明。思科智能接入交換機上主要采用的是IGMP snooping模塊來實現(xiàn)組播功能，IGMP snooping 是用來監(jiān)聽主機與三層交換機之間的的IGMP報文的。因此其所完成的主要功能是接收IGMP報文，并對于不同的報文進行處理。IGMP（Internet Group Management Protocol ）網絡組管理協(xié)議是IP協(xié)議組中的一部分，用來支持和管理主機與組播三層交換機之間的IP組播。IGMP使組播三層交換機能夠跟蹤與之物理相連的網絡上每個組的成員。它在主機和直接鄰接的組播三層交換機間運行，這個協(xié)議的機制允許主機通知本地三層交換機，它希望接收到發(fā)往某個特定組播組的信息。根據(jù)從IGMP學習到的組播成員信息。因此，組播允許進行資源發(fā)現(xiàn)，使網絡負載減到最小，在網上實現(xiàn)數(shù)據(jù)的有效傳輸。IP組播方式使用了數(shù)據(jù)報的目的地址來規(guī)定組播的投遞。IP組播使用了D類地址。地址的前4比特的內容是l110，指出這是一個組播地址。其余的28比特標識了特殊的組播地址。在這個28比特的群組字段中不再有結構層次。特別是，群組字段并不標出群組的來源，也不會像A