【文章內容簡介】 LS 快速重路由、接口自動保護切換（ MSP）、虛擬路由冗余協(xié)議（ VRRP）、 RPR 自愈環(huán)網 (IPS)等保護機制，有效保證了全網運行的高速可靠。 核心交換機： Quidway174。 S6506： Quidway174。 S6500 系列高端多業(yè)務交換機是華為 3Com公司面向 IP 城域網、大型企業(yè)網及園區(qū)網用戶的系列大容量、高密度、模塊化的二、三層線速以太網交換機產品。為域網、園區(qū)網、數據中心提供超高速鏈路，構建端到端以太網絡，打造低成本、高性能、具有豐富業(yè)務支持能力的高性能網絡。 Quidway174。 S6500 提供大容量、高密度、模塊化的二、三層線速轉發(fā)性能，同時具有豐富的業(yè)務功能、強大的 QoS 保障、完善的安全管理機制和電信級的高可靠設計，完全滿足行業(yè)客戶和運營商用戶對多業(yè)務、高可靠、 13 大容量、模塊化的需求。主要作為企業(yè)的核心交換機或城域網匯聚層交換機。該系列包括 S6502（ 2 槽）， S6503（ 4 槽）， S6506（ 7 槽）， S6506R(8 槽 )。 圖 S6506 外觀圖 該方案使用 S6506 核心交換機基于以下考慮：核心交換機上需要實現 VRRP（虛擬路由冗余協(xié)議）及負載均衡。 S6506 的 Port Trunking 支持最大支持 8 個 GE 或 16 個 FE的捆綁可以該方案中對核心交換的要求。 另外選用 Slience? III 96G 雙路由交換引擎實現 VTP Server 的備份。選用 4 端口千兆以太網電口＋ 12 端口千兆以太網 SFP 光口擴展模塊滿足設備節(jié)點的需要。 S6506 支持生成樹 /快速生成樹協(xié)議，符合 IEEE ，支持 BPDU TUNNEL，避免了在局域網內交換機在建立必要冗余的同時產生的環(huán)路問題。 S6506 的產品特點： ① 先進的體系結構 S6500 采用全分布式體系結構設計，通過 Crossbar 技術進行高速報文交換，從而大大提升了路由交換機的轉發(fā)性能和擴充能力。 Crossbar 交換網芯片內置于主控板，不再單獨占用設備槽位，可提供高達 768G 的交換容量。 ② 強大的 QoS 能力和精細化用戶管理 每端口支持 8 個硬件隊列，帶寬控制粒度可達 64Kbps；強大的用戶管理、認證計費功能支持；支持 CAMS?（綜合訪問控制管理服務器）系統(tǒng)，提供專業(yè)用戶管理、計費解決方案；內置 IEEE 認證服務器功能。內置 DHCP SERVER 功能。 ③ 運營級可靠性設計 系統(tǒng)采用分布式結構； S6500 系列所有單板支持熱插拔；支持 STP/RSTP/MSTP 協(xié)議和 VRRP 協(xié)議，能夠滿足苛刻的電信級網絡可靠性要求；支持雙路電源供電。 ④ 完善的安全機制 支持標準 Radius 協(xié)議，同時提供 Radius+功能；支持 TACAS+協(xié)議； HCBM?（華為可控組播管理協(xié)議）功能支持；保證對用戶的精確認證。支持 SSH V1/2。基于最長匹配的路由方式，保證了所有報文均獲得相同的轉發(fā)性能。對“紅碼病毒”和“沖擊波病毒”的攻擊具有天生的防御 能力。 ⑤ 無與倫比的性能價格比 S6500 提供系列化機箱和系列化超級引擎，可以根據不同組網需要進行靈活配置； 14 S6500 提供多種高密度百兆、千兆、萬兆接口板，有效簡化網絡結構、降低建網成本；S6502 無需專門的主控交換引擎，主控交換功能內置于接口板內部，進一步降低建網成本。 ⑥ 強大的擴展性能 S6500 具有強大的性能和業(yè)務擴展能力；背板帶寬高達 ；可以實現靈活的智能化業(yè)務能力，如 NAT/MPLS/IP v6 等高級業(yè)務特性，從而有效 保障用戶的投資。 樓層交換機： Quidway174。 S3526C： Quidway174。 S3500 系列快速智能三層交換機是華為 3Com 公司為充分滿足高 QoS 保證的需求而推出的智能型以太網交換機，包括 S3526C、 S3526EFS、 S3526EFM 三款類型。 Quidway174。 S3500 系列快速智能三層交換機支持 L2－ L7 層的流分類，在流分類的基礎上可以進行 ACL 和 QoS 方面的多種操作，提供完善的路由協(xié)議、 VLAN 控制、流量交換、 QoS 保證的機制，以及完備的業(yè)務控制和用戶管理能力，可作為關注業(yè)務管理控制能力的局 域網 /企業(yè)網、業(yè)務網和駐地網的匯聚三層交換機。 圖 S3526C 外觀圖 該方案使用 S3526C 基于如下考慮：局域網內的普通 PC 機器為了安全考慮需要劃分為 5 個 VLAN， S3526C 支持最多 256 個 VLAN，支持 isolateuservlan，可以隔離用戶，節(jié)省 VLAN 資源，局域網內有近 200 點的 PC 機，另有視頻終端 6 個， S3526C 的基于帶寬百分比的廣播風暴的抑制技術，可有效的抑制廣播風暴。支持 STP 協(xié)議，支持日志 QuidView 網管系統(tǒng)可以利用軟件進行方便的設備配置及管理。兩個前擴展模塊 插槽可插一個 1 端口 1000BaseSX 模塊（ 550m）滿足線路要求。 S3526C 產品特點： ① 完備的安全智能控制策略： Quidway174。 S3500 系列快速智能三層交換機 支持 認證，在用戶接入網絡時完成必要的身份認證，還可以通過靈活的 MAC、 IP、 VLAN、 PORT 任意組合綁定，有效的防止非法用戶訪問網絡。 支持多種 ACL 訪問控制策略，能夠對用戶訪問網絡資源的權限進行設置，保證網絡的受控訪問。 ② 豐富的 QoS 策略： Quidway174。 S3500 系列快速智能三層交換機 通過對 ACL的引用來完成 QoS 流分類規(guī)則的定義，支持基于二層、三層、四層和端口的信息作為匹配依據的復雜流分類； 根據服務質量要求的為不同數據流網絡流量設置傳輸優(yōu)先級標記，滿足視頻、語音等重要應用的需求。 15 支持帶寬控制功能，確保進入交換機的特定業(yè)務流一個最小的帶寬，即使在網絡擁塞時，也能滿足一定的丟包、時延及時延抖動等 QoS 需求。 ③ 多樣的管理方式： Quidway174。 S3500 系列快速智能三層交換機支持 SNMP，可支持 Open View 等通用網管平臺，以及 Quidview174。、 iManager174。 網管系統(tǒng)。支持 Web 網管， TELNET， HGMP集群管理，使設備管理更方便。 外網部分 在設計外網時，路由器使用 Quidway174。 R3640E，交換機使用 Quidway174。 S3026F，出口為國產知名品牌的防火墻天融信網絡衛(wèi)士 4000UF。 天融信網絡衛(wèi)士 4000UF： ① 嚴格的安全區(qū)域保護 NGFW4000UF 采用多安全區(qū)域體系， NGFW4000UF 防火墻的每個物理接口對應一個獨立的防火 區(qū)域，每個區(qū)域的安全策略只對該區(qū)域有效。每個區(qū)域可以單獨設置自己的默認安全策略，所有對該區(qū)域的訪問都將匹配與該區(qū)域對應的安全策略。也可以設定是否允許 從該區(qū)域 PING 、 TELNET 以及管理防火墻?？梢远x某個接口連接的網絡為安全服務器網絡（ SSN—— Security Server Network ），將提供信息訪問服務的服務器安裝于該網絡區(qū)域內，與內、外網絡從物理上隔離開來，并提供專門的安全保護。 圖 網絡衛(wèi)士 4000UF 外觀圖 NGFW4000UF一般情況下， SSN 主機不允許主動向內、 外網發(fā)起連接請求，只允許向內、外網回應其請求數據包；外網用戶也只能訪問 SSN 上的主機，不能訪問內部網主機。即 SSN 與外部網之間受防火墻保護，同時 SSN 與內部網之間也受防火墻保護，即使 SSN 受破壞，內部網絡仍處于防火墻保護之下。同時 NGFW4000UF 提供的 SSN 保護功能針對用戶最常提供的 Web 訪問服務進行專門保護，能定時檢查 SSN 區(qū) Web服務器，進行校驗，一旦發(fā)現服務器被入侵修改，能夠根據備份的信息及時恢復服務器內容，將服務器被入侵修改造成的影響減至最小。 ② 強大的 VPN 功能 NGFW 4000UF支持內建 VPN功能模塊。選擇擁有 VPN功能的 NGFW4000UF，就能夠與 VPN 體系中的 VPN網關、 Windows 客戶端，當然也包括另外的啟用了 VPN 功能的 NGFW 4000UF互通。它們之間可以建立加密隧道進行加密通信，形成虛擬專用網，借助互聯(lián)網組建安全可靠的私有網絡。 NGFW 4000UF防火墻支持內嵌 VPN模塊支持，支持 IPSEC、 IKE等國際標準，支持國家有關密碼管理部門批準的密碼算法；支持網關到網關、網關到遠程客戶端的隧道。 16 NGFW 4000UF無縫集成 VPN功能，就相當于一臺 VPN網關與一臺防火墻兩套系統(tǒng)組合起來，更好地管理維護，而且由于是內建的功能支持，功能間的結合更加平滑易用，并且可以實現防火墻能對密文和解密后的明文進行多層次的安全控制，提供更高的安全性。 該方案中使用網絡衛(wèi)士 4000UF 是基于網絡安全的考慮，企業(yè)網絡對安全要求較高，保證高效辦公的同時又要保證政務辦公網的安全，因此政務辦公網和 Inter 外網絡必須進行隔離， NGFW 4000UF 的 SSN 技術可以滿足這一要求。對于 Inter 用戶，考慮到有些領導在出差時期 需要進行移動辦公，移動辦公基于安全的考慮使用 VPN 撥號，因此要求防火墻具有強大的 VPN 功能，在保證移動辦公的同時，又保證了政務辦公網的安全。 服務器設備選擇 根據該企業(yè)信息系統(tǒng)平臺的應用系統(tǒng)對服務器的要求及對系統(tǒng)平臺的規(guī)劃 ,服務器主要放置在辦公大樓的中心機房的辦公區(qū)和外網區(qū)，通過對應用系統(tǒng)地分析，系統(tǒng)平臺需要以下服務器系統(tǒng)： 圖 服務器設備圖 在綜合考慮了系統(tǒng)的先進性、實用性、成熟性、可用性、可靠性和可擴展性等方面的因素，考慮此次辦公管理系統(tǒng)對服務器平臺的性能要求選擇以下服務器： 數據 庫服務器：采用兩臺浪潮英信系列高端服務器英信 NF380 做雙機集群系統(tǒng)，選用主頻為 Intel XEON ，內存為 2G，服務器硬盤采用 二塊做 RAID1 來保護操作系統(tǒng)的安全。連接一臺磁盤陣列柜，組成雙機系統(tǒng)。磁盤陣列柜配置 73G 熱插拔硬盤 10 塊，采用 Raid0+1 技術對硬盤進行容錯保護。服務器操作 17 系統(tǒng)以及數據庫程序文件安裝在本機上，數據文件保存在磁盤陣列中。 操作系統(tǒng)采用 Windows Server 20xx 企業(yè)版。通過 Microsoft Cluster 系統(tǒng)集群軟件實現 雙機熱備，運行甲骨文公司的 Oracle9i 數據庫軟件組成業(yè)務的支撐平臺 ,同時提供信息門戶系統(tǒng)的信息存儲。 辦公應用服務器：考慮到辦公的數據量和辦公服務器的重要性，采用兩臺浪潮英信系列服務器為用戶提供辦公業(yè)務。主服務器采用高端服務器英信 NF190，選用主頻為Intel XEON ，內存為 2G，服務器硬盤采用 73G五塊做 RAID5來保護操作系統(tǒng)的安全。備用服務器采用服務器英信 NF130 G2，選用主頻為 Intel XEON ，內存為 2G，服務器 硬盤采用 73G 五塊做 RAID5 來保護操作系統(tǒng)的安全。 操作系統(tǒng)采用 Windows Server 20xx 標準版。應用軟件采用 IBM 公司的 Lotus Domino/Note 消息平臺為該企業(yè)提供辦公業(yè)務。 DNS 服務器：采用浪潮英信系列服務器 NF130 G2 一臺，選用主頻為 Intel XEON ，內存為 2G，服務器硬盤采用 二塊做 RAID1 來保護操作系統(tǒng)的安全。操作系統(tǒng)采用 Windows Server 20xx 標準版，運行 DNS 服務來進行域名解析服務，并于郵件服務器相配 合完成郵件的內、外網的收發(fā)工作。 防病毒服務器：采用浪潮英信系列服務器 NF130 G2 一臺，選用主頻為 Intel XEON ，內存為 1G，服務器硬盤采用 二塊做 RAID1 來保護操作系統(tǒng)的安全。操作系統(tǒng)采用 Windows Server 20xx 標準版，安裝諾頓網絡防病毒軟件，最為整個網絡的病毒防護和管理中心，對所有的客戶端進行統(tǒng)一的病毒代碼升級和管理工作。 視頻服務器：采用一臺中太視訊的 Penteview 6088 mcu， 128Kbps2Mbps 會議帶寬范圍可以滿 足該企業(yè)視頻會議的需求。可提供 24 個點會議服務，滿足視頻會議 17 個節(jié)點的需要。 WEB 服務器：采用浪潮英信系列服務器 NF130 G2 一臺，選用主頻為 Intel XEON ，內存為 2G，服務器硬盤采用 二塊做 RAID1 來保護操作系統(tǒng)的安全。操作系統(tǒng)采用 Windows Server 20xx 標準版，運行 IIS Server 來進行網站的發(fā)布，通過此網站來實現對用戶 Inter 平臺的統(tǒng)一界面。能夠為客戶提供通過 Inter 進行辦公信息、的發(fā)布和查詢等功能。 認證服務器：采用華為的 CAMS 綜合訪問管理服務器，該服務器采用 Linux 9 系統(tǒng)平臺， 數據庫。 CAMS 作為網絡中的用戶管理核心，在基本的 AAA（ Authorization、 Authentication and Accounting）功能之上， 提供了強大的管理、維護和安全控制平臺，實現網絡的可管理、可運營和高安全。 18 第五章 系統(tǒng)及數據的安全設計 網絡安全性 (1) 物理安全：政務辦公網絡是對安全性要求教高的網絡，需要實現同外網隔離，同時要保證可以