【正文】 產率和投資保護，并可部署新應用，如 IP 電話、無線接入、視頻監(jiān)視、建筑物管理系統(tǒng)和遠程視頻訪問等。 客戶可在整個網絡范圍中部署智能服務，如高級 QoS 、速率限制、訪問控制列表、組播管理和高性能 IP 路由等，且同時保持傳統(tǒng) LAN 交換的簡潔性。 網絡安全設計 企業(yè)網絡安全性方案設計原則是：整個企業(yè)網絡必須是一個嚴密的安全保密體系。采取的安全措施不能影響整個網絡運行效率。保密設備要做到管理方便，完善可靠。加密系統(tǒng)具有良好的網絡兼容性和可擴展性，實現防竊取、防篡改、防破壞三大功能。按照國家主管部門對政府辦公 網絡安全保密性的相應法規(guī)和規(guī)定，要保障系統(tǒng)內部信息的安全，我們主要應該做到處理秘密級、機密級信息的系統(tǒng)與不涉及保密信息的系統(tǒng)實行物理隔離，秘密級、機密級信息在網絡上采取加密傳輸。 防火墻是設置在內部網絡與 Inter 之間的一個或一組系統(tǒng)，用以實施兩個網絡間的訪問控制和安全策略。狹義上防火墻指安裝了防火墻軟件的主機或和路由系統(tǒng)；廣義上還包括整個網絡的安全策略和安全行為。防火墻技術屬于被動 第 22 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 防衛(wèi)型，它通過在網絡邊界上建立一個網絡通信監(jiān)控系統(tǒng)來保護內部網絡安全的目的，其功能是按照設定的條件對通過的信息進行檢查 和過濾。防火墻是實施組織的網絡安全策略、保護內部信息的第一道屏障，其作用主要有：保護功能拒絕非授權訪問、保護網絡系統(tǒng)和私人及敏感信息不受侵害。連接功能作為內部網絡與 Inter 之間的單一連接點。管理功能實施統(tǒng)一的安全策略，檢查網絡使用情況，進行流量控制等。 防火墻有三個屬性：所有進出內部網的數據包必須經過它；僅被本地安全策略所授權的數據包才能通過它；防火墻本身對攻擊必須具有免疫能力。在 XX學院和外網的連接中，我們推薦使用硬件防火墻。比如 CISCO ASA5510BUNK9系列， 選擇該型號是因為價 格適中 ,且功能齊全 ,較適合本企業(yè)網建設。 在內部網絡和外網之間之間通過防火墻，建立起一個 DMZ 區(qū)。與外網關聯業(yè)務的服務器都可以放在 DMZ 區(qū)， Inter 上的用戶只能到達 DMZ區(qū)相應的服務器。并且內部網絡到 Inter 的連接，是通過 NAT 地址翻譯的方式進行，可以充分隱藏和保護內部網絡和 DMZ區(qū)設備。防火墻在內外網絡連接中起兩個作用： ? 利用訪問控制列表（ Access Control List ， ACL）實安全防護防火墻操作系統(tǒng) IOS 通過訪問控制列表（ ACL）技術支持包過濾防火墻技術，根據事先 確定的安全策略建立相應的訪問列表，可以對數據包、路由信息包進行攔截與控制，可以根據源 /目的地址、協議類型、 TCP 端口號進行控制。這樣，我們就可以在Extra 上建立第一道安全防護墻，屏蔽對內部網 Intra 的非法訪問。 ? 利用地址轉換（ Network Address Translation， NAT）實現安全保護防火墻另外一個強大功能就是內外地址轉換。進行 IP 地址轉換由兩個好處：其一是隱藏內部網絡真正的 IP 地址，這可以使黑客（ hacker）無法直接攻擊內部網絡，因為它不知道內部網絡的 IP 地址 及網絡拓撲結構；另一個好處是可以讓內部網絡使用自己定義的網絡地址方案，而不必考慮與外界地址沖突的情況。地址轉換（ NAT）技術運用在內部主機與外部主機之間的互相訪問的時候，當內部訪問者想通過路由器外出時，路由器首先對其進行身份認證 通過訪問列表（ ACL）核對其權限，如果通過，則對其進行地址轉換，使其以一個對外公開的地址訪問外部網絡；當外部訪問者想進入內部網時，路由器同樣首先核對其訪問權限，然后根據其目的地址（外部公開的地址），將其數據包送到經過地址轉換的相應的內部主機。 第 23 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 在企業(yè)網絡工程和今后各種應用系統(tǒng) 的建設過程中，在局域網上我們可以根據不同部門、不同業(yè)務類別劃分 VLAN（虛網），通過把不同系統(tǒng)劃分在不同 VLAN 的方式，將各系統(tǒng)完全隔離，實現對跨系統(tǒng)訪問的控制，既保證了安全性，也提高了可管理性。 ? VLAN（虛網）技術和 VLAN 路由技術 VLAN 技術用以實現對整個局域網的集中管理和安全控制。 CISCO 局域網交換機的一大優(yōu)勢是具備跨交換機的 VLAN（虛網）劃分和 VLAN 路由功能。虛網是將一個物理上連接的網絡在邏輯上完全分開，這種隔離不僅是數據訪問的隔離，也是廣播域的隔離，就如同是物理上完全分離的網絡 一樣，是一種安全的防護。通過 VLAN 路由實現對跨部門訪問的控制，既保證了安全性，也提高了可管理性。 ? InterVLAN Routing 原理 每一個 VLAN 都具有一個標識，不同的 VLAN 標識亦不相同，交換機在數據鏈路層上可以識別不同的 VLAN 標識，但不能修改該 VLAN 標識，只有 VLAN標識相同的端口才能形成橋接，數據鏈路層的連接才能建立，因而不同 VLAN的設備在數據鏈路層上是無法連通的。 InterVLAN Routing 技術是在網絡層將 VLAN標識進行轉換，使得不同的 VLAN 間可以溝通，而 此時基于網絡層、傳輸層甚至應用層的安全控制手段都可運用，諸如 Accesslist （訪問列表限制）、 FireWall(防火墻 )、TACACS+等， InterVLAN Routing 技術使我們獲得了對不同 VLAN 間數據流動的強有力控制。 ? MAC 地址過濾策略 在內部網中還可以利用 Cisco 交換機的 MAC 地址過濾功能對局域網的訪問提供鏈路層的安全控制。 MAC 地址過濾能進一步實現對局域網的安全控制。 CISCO局域網交換機具有 MAC 地址過濾功能，通過在交換機上對每個端口進行配置，可以禁止或允許特定 MAC 地址的源站點或目的站點，從而實現各站點之間的訪問控制。由于每塊網卡有唯一的 MAC 地址，是固定不變的，只允許特定 MAC 地址的工作站通過特定的端口進行訪問，所以對 MAC 地址的訪問控制實際上就是對指定工作站這一物理設備的訪問控制，由于 MAC 地址的不可改變，與對 IP 地址的過濾相比，具有更高的安全性。 ? 訪問安全控制 從確保網絡訪問的安全出發(fā)，路由器對所有遠程撥號訪問連接都由 Radius 第 24 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 設置 AAA(Authentication Authorization Account，即認證、授權、記帳 )級安全控制， 防止非法用戶的訪問。同時，在計費服務器上，也提供 Radius 認證方式，兩者可以配合使用。（也可以只采用計費服務器上的 Radius認證）。 網絡管理系統(tǒng)設計 網絡管理性能是衡量一個網絡系統(tǒng)性能高低的重要因素之一。網絡管理系統(tǒng)完成設置網絡設備、監(jiān)控網絡運行、保障網絡安全，查找并隔離網絡故障，記錄網絡中的各種事件以及劃分虛擬網絡等功能?？傊瑢λ芯W絡上的信息進行統(tǒng)一管理。 網管通常結合硬件和軟件的手段來實施，對不同的拓撲結構及不同的物理和邏輯部分進行監(jiān)控和分析。 OSI 定義網管系統(tǒng)支持傳統(tǒng)五大網管功能 ：故障管理、配置管理、計費管理、安全管理以及性能管理。這些管理功能由網管系統(tǒng)和網絡設備共同完成。結合企業(yè)網的實際情況，我們認為，安全管理與計費管理可以由網絡管理模塊配合專用的軟（硬）件管理產品來共同實現，網絡管理的主要任務應落實在故障管理、配置管理和性能管理這三個方面。 配置管理 ? 網絡節(jié)點插板、端口和冗余結構的配置和管理； ? 網絡節(jié)點訪問口令的設置和更改。 性能管理 ? 可以實時連續(xù)地收集網絡運行的相關數據，可用數字和圖形的方式顯示網絡運行的各種情況以及重要程度，需要時可發(fā)布指令到各節(jié)點，進行網絡控制； ? 可從相關節(jié)點收集業(yè)務量數據，進行統(tǒng)計、分類、記錄歸擋。使用這些信息為網絡建設提供規(guī)劃設計依據。 故障管理 ? 能實時監(jiān)視故障信息，并對其統(tǒng)計分析； ? 可形成節(jié)點、中繼線及用戶端口的告警產生、告警內容和告警清除的統(tǒng)計報告?？蓪崟r修改狀態(tài)圖以反映此故障。 企業(yè)網網絡設備較多但網絡結構簡單，管理人員不多，比較適合采用集中的 第 25 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 管理模式，即由一臺網管主機（或者備份主機）對整個網絡環(huán)境進行綜合管理，不需要添加二級管理設備，管理結構簡單，已于維護管理。通過仔細分析企業(yè)網網絡系統(tǒng)結構，在主要管理產品選型上我們建議采用 Cisco 公司基于 WINDOWS 2021 的 CiscoWorks2021網管軟件實現對整個網絡設備的管理。 網絡管理是對網絡上的通信設備及傳輸系統(tǒng)進行有效的監(jiān)視、控制、診斷和測試所采用的技術和方法。網絡管理系統(tǒng)的概念模型主要由管理者、管理代理和被管對象等實體及其相互作用組成?；?SNMP（ Simple Network Management Protocol）的網絡管理系統(tǒng) SNMP 由 IETF 提出，主要是為基于 TCP/IP 的互連網設計的，現在已經被其它協議實現，如 IPX/SPX， DECNET 以及 APPLETALK 等，它的主要標準由一系列 RFC 組成，并得到了網絡廠商的廣泛支持，成為網絡管理方面事實上的標準。目前基于 SNMP 的網絡管理系統(tǒng)已廣泛應用于 Inter。這里建議采用 Cisco Works軟件 ,因為該軟件基于 WEB頁面管理，操作簡便，功能齊全，而且是基于標準的多廠商管理軟件。 應用服務的管理可以采用專用的服務管理軟件，針對不同的應用服務，進行專業(yè)的監(jiān)控管理。目前，業(yè)界對各種應用服務的管理基本上都有成熟的解決方案。應用服務的狀態(tài)監(jiān)控主要體現在三個方面： ? 服務器狀態(tài)的監(jiān)控：主要包括服務器的各個性能參數 ?？梢圆捎脤Ｓ玫南到y(tǒng)管理模塊對各個性能參數分別監(jiān)控、統(tǒng)一管理。 ? 應用程序狀態(tài)的監(jiān)控：包括各個關鍵服務的關鍵應用進程的健康情況。視需監(jiān)控的程度和經費狀況，可以選用專用的監(jiān)控模塊或統(tǒng)一的進程監(jiān)控模塊。 ? 網絡狀態(tài)的監(jiān)控：通過上面的網絡管理模塊即可實現對整個網絡系統(tǒng)可用性的統(tǒng)一監(jiān)控?？紤]到企業(yè)網目前的管理人員比較少，管理任務相對較多的特點，對以上各個應用服務的管理及網絡管理，我們可以采用統(tǒng)一的事件控制平臺來匯總管理，實現集中化控制、單窗口管理。并且利用事件控制平臺自身的特點，實現報警事件的集成、過濾、關聯和自動化處 理。事件管理平臺收集并集成來自網絡環(huán)境中任何重要的信息源的消息，通過內置的過濾關聯機制，將有效的消息分組分級別的統(tǒng)一呈現在管理員面前。另外，應用監(jiān)控系統(tǒng)能夠利用保存的歷史監(jiān)控數據，生成各種可用性及趨勢報表，為下一步的投資改造決策作參考。 第 26 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 第五章 網絡布線系統(tǒng)設計 綜合布線標準 所謂綜合布線系統(tǒng)，是指按標準的、統(tǒng)一的和簡單的結構化方式規(guī)劃和布置各種建筑物（或建筑群）內各種系統(tǒng)的通信線咱，包括網絡系統(tǒng)、電話系統(tǒng)、監(jiān)控系統(tǒng)、電源系統(tǒng)和照明系統(tǒng)等。因此，綜合布線系統(tǒng)是一種標準通用的信息傳輸系統(tǒng)。 標準化組織 : ? 北美的標準 EIA/TIA568A ? 國際 ISO標準，即 ISO/IEC11801 ? 100/1000BaseT、 100BaseF ? TokenRing ? 中國建筑電信設計規(guī)范 ? 工業(yè)企業(yè)通信設計規(guī)范 設計范圍及要求 設計目標的確定我們?yōu)樵撈髽I(yè)網絡設計的綜合布線系統(tǒng)將基于以下目標： 。 （ ISO/CEI11801）標準。 。 100Mbps，網 絡主干信息傳輸向 1000兆發(fā)展的需要。 RJ45插座。 。 。 布線的實施 第 27 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 系統(tǒng)結構 ,根據企業(yè)的具體情況，采用以下方案：采用集中結構，整個辦公區(qū)的所有雙絞線都拉到機房中。 雙絞線直接端接在機柜內的模塊化配線架上。 材料選型 ,考慮到主干網絡采用千兆以太網的要求 ,所以 ,方案中網絡選用超5類雙絞線。 布線要求 ,布線標準選用超 5類線產品，每個工作位是一個雙孔插座：一個電腦插座，一個電話插座 (個別工作站設雙語音插口 )。機柜端采用朗訊 48口模塊式配線架。電話與電腦可任意互換。布線系統(tǒng)管槽設計管線鋪設建議： ，對接地要求不高，建議在與機柜相連的主線槽處接地。 ：線槽的橫截面積留 40%的富余量以備擴充 , 超 5類雙絞線的橫截面積為 。 ,應注意與強電線槽的隔離。布線系統(tǒng)應避免與強電線路在無屏蔽、距離小于 20cm情況下平行走 3米以上。如果無法避免，該段線槽需采取屏蔽隔離措施。 ， 并從地面鏜槽埋管到家具隔斷下。 、接口不應該有毛刺，線槽過渡要平滑。 。 30厘米以上，并與其他底盒保持等高、平行。 PVC管。 工作區(qū)子系統(tǒng)由終端設備連接到信息插座的連線，以及信息插座所組成。信息點由標準 RJ45插座構成。信息點數量應根據工作區(qū)的實際功能及需求確定，并預留適當數量的冗余。例：對于一個辦公區(qū)內的每個辦公點可配置 2～ 3個信息點，此外應為此辦公區(qū)配置 3～ 5個專用信息點用于工作組服務器、網絡打印機 、傳真機、視頻會議等等。若此辦公區(qū)為商務應用則信息點的帶寬為 100M可滿足要求；若此辦公區(qū)為技術開發(fā)應用則每個信息點應為交換式 100M甚至是光纖信息點。 工作區(qū)的終端設備（如：電話機、傳真機）可用康寧公司 FutureCom超五類或六類雙絞線直接與工作區(qū)內的每一個信息插座相連接，或用適配器（如 ISDN終端設備）、平衡 /非平衡轉換器進行轉換連接到信息插座上。 水平子系統(tǒng)主要是實現信息插座和管理子系統(tǒng)，即中間配線架（ IDF）間的 第 28 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 連接。水平子系統(tǒng)指定的拓撲結構為星形拓撲。水平干線的設計包括水平子系統(tǒng)的傳輸介質與部件 集成。選擇水平子系統(tǒng)的線纜，要根據建筑物內具體信息點的類型、容量、帶寬和傳輸速率來確定。在水平子系統(tǒng)中推薦采用的雙絞電纜及光纖型號為 : 康寧公司 FutureCom超五類或六類非屏蔽雙絞線 , FutureLink室內單?；蚨嗄９饫w。 雙絞線水平布線鏈路中，水平電纜的最大長度為 90m。若使用 100Ω UTP雙絞線作為水平子系統(tǒng)的線纜，可根據信息點類型的不同采用不同類型的電纜，例如對于語音信息點和數據信息點可采用 FutureCom超五類或六類雙絞線，甚至使用FutureLink光纜；對于電磁干擾嚴重的場合應盡量采用 康寧公司 FutureCom六類屏蔽雙絞線。但是從系統(tǒng)的兼容性和信息點的靈活互換性角度出發(fā)，建議水平子系統(tǒng)采用同一種布線材料。 管理子系統(tǒng)由互連和輸入 /輸出組成，實現配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設備及光配線架等組成設備。設計管理子系統(tǒng)時 ,必需了解線路的基本設計原理 ,合理配置各子系統(tǒng)的部件。康寧公司的 LANscape綜合布線解決方案擁有搭配科學、管理簡便的成套產品用于管理子系統(tǒng)。 干線子系統(tǒng)指提供建筑物的主干電纜的路由，是實現主配線架與中間配線架，計算機、 PBX、控制中心與各管理子系統(tǒng)間 的連接。干線傳輸電纜的設計必須既滿足當前的需要 ,又適應今后的發(fā)展。干線子系統(tǒng)布線走向應選擇干線線纜最短、最安全和最經濟的路由。干線子系統(tǒng)在系統(tǒng)設計施工時，應預留一定的線纜做冗余信道，這點對于綜合布線系統(tǒng)的可擴展性和可靠性來說是十分重要的。 干線子系統(tǒng)可以使用的線纜主要有： HAY三類大對數電纜； FutureCom超五類或六類雙絞線； FutureLink室內單模或多模光纖。 超五類雙絞線可以支持 1000BASE－ T，但如要求支持 1000BASE－ TX則必須使用六類雙絞線。如果已安裝的電纜僅滿足 5類線標準 (1995)，那么在連接 1000BASE－ T設備之前，應對布線系統(tǒng)按照新增加的布線參數（如：回波損耗，等級遠端串擾（ ELFEXT），傳播延遲和延時畸變等）進行測量和認證。 設備間子系統(tǒng)由設備室的電纜、連接器和相關支持硬件組成，把各種公用系統(tǒng)設備互連起來。設備間的主要設備有數字程控交換機、計算機網絡設備、服務器、樓宇自控設備主機等等。它們可以放在一起，也可分別設置。在較大型的綜合布線中，可以將計算機設備、數字程控交換機、樓宇自控設備主機分別設置機 第 29 頁 共 36 頁 ……………………………………⊙……裝…………………………⊙……訂………………………⊙……線……………………………………… 房，把與綜合布線密切相關的硬件設備放置在設備間，計算機網絡設備的機房放在 離設備間不遠的位置。 建筑群子系統(tǒng)是實現建筑之間的相互連接，提供樓群之間通信設施所需的硬件。建筑群之間可以采用有線通信的手段，也可采用微波通信、無線通信的手段。 在公司的綜合布線解決方案中，光纖不但支持 FDDI主干、 1000Base－ FX主干、100Base－ FX到桌面、 ATM主干和 ATM到桌面，還可以支持 CATV/CCTV及光纖到桌面（ FTTD），是建筑群子系統(tǒng)和主干線子系統(tǒng)布線中有線通信線纜中的明星。光纖有單模光纖和多模光纖兩種：單模光纖只傳輸主模態(tài)，可完全避免模態(tài)色散，傳輸頻帶很寬，傳輸容量很大，適用 于大容量、長距離的光纖通信。它是未來光纖通信與光波技術發(fā)展的必然趨勢；多模光纖傳輸模態(tài)較多，存在一定量的模態(tài)色散，頻帶較寬，傳輸容量較大（目前采用的 ，數據傳輸速率為 100Mbps時，最大距離可以到 2km），但傳輸千兆位數據量時距離支持十分有限。 測試及驗收 布線的施工工藝質量并不能完全決定整個網絡布線的質量，所以對布線必須作認證測試，以決定鏈路是否達到設計要求。 1．驗證測試，通常是施工者在施工結束后自己檢查的過程，測試的主要參數是基本鏈路的連通性、接線圖及長度，獲取的數據 用來判斷整個工程是否達到設計要求，并作為向甲方提出對該工程驗收的依據。