【正文】 告，基本覆蓋了所有安全相關(guān)的信息，并支持以PDF、HTML、WORD、TXT等多種格式輸出；同時可通過Web界面進行定制報告，定制內(nèi)容包括數(shù)據(jù)的時間范圍、數(shù)據(jù)的來源設(shè)備、生成周期、輸出類型等。. 網(wǎng)絡(luò)監(jiān)控（1）流量監(jiān)控數(shù)據(jù)中心是各種流量的匯聚點，流量狀態(tài)復(fù)雜，為了更好的掌握數(shù)據(jù)中心的實際運行狀況，為后續(xù)的升級及擴容提供數(shù)據(jù)支撐。需要在數(shù)據(jù)中心部署網(wǎng)絡(luò)流量分析系統(tǒng)。從多個角度對網(wǎng)絡(luò)流量進行分析，并生成報表，包括基于接口的總體流量趨勢報表、應(yīng)用帶寬占用趨勢報表、節(jié)點（包括源、目的IP）流量報表、會話流量報表共四大類報表?；趫笪膬?nèi)容對應(yīng)用進行識別和分類，可針對百兆鏈路提供對常見P2P應(yīng)用的網(wǎng)絡(luò)占用帶寬趨勢圖和流量趨勢圖及應(yīng)用的詳細信息列表等報表，實現(xiàn)對此類應(yīng)用流量的監(jiān)控。通過流量原始日志對特定節(jié)點、協(xié)議、端口、時間范圍內(nèi)的流量趨勢、來源、目的和會話進行審計，給出對應(yīng)的通信明細（包括流量、包數(shù)、包長等），并可根據(jù)來源IP、目的IP、端口等進行分類統(tǒng)計，以便跟蹤解決網(wǎng)絡(luò)流量異常問題。（2）網(wǎng)絡(luò)監(jiān)控網(wǎng)絡(luò)監(jiān)控主要實現(xiàn)以下功能： 故障監(jiān)控檢測、隔離、更正網(wǎng)絡(luò)問題并從這些問題中恢復(fù)。直觀、快速定位問題。 性能監(jiān)控分析和控制整個網(wǎng)絡(luò)的數(shù)據(jù)吞吐，為終端用戶提供連續(xù)的可靠的服務(wù)，同時為網(wǎng)絡(luò)優(yōu)化提供數(shù)據(jù)支撐。 7層應(yīng)用審計提供了七層應(yīng)用審計功能，基于報文內(nèi)容對應(yīng)用進行識別和分類，進而提供對常見P2P應(yīng)用和即時通訊應(yīng)用的網(wǎng)絡(luò)應(yīng)用信息列表等報表，實現(xiàn)對此類應(yīng)用流量的監(jiān)控，和應(yīng)用分析功能一起完善的提供對各類應(yīng)用（包括使用固定協(xié)議端口和動態(tài)協(xié)商端口）的監(jiān)控分析功能。 NAT地址轉(zhuǎn)換審計提供用戶按照通用審計條件的基礎(chǔ)上根據(jù)NAT IP和NAT 端口進行日志審計的功能。審計結(jié)果支持按照各個字段進行分組排序的功能及審計結(jié)果的保存。 Web訪問審計提供用戶按照站點地址和URI為條件進行審計的功能。審計結(jié)果支持按照各個字段進行分組排序的功能及審計結(jié)果的保存。 文件傳輸審計提供用戶按照FTP用戶名、文件名、傳輸方式為條件進行審計的功能。審計結(jié)果支持按照各個字段進行分組排序的功能及審計結(jié)果的保存。 郵件審計提供用戶按照發(fā)件人、收件人、主題為條件進行審計的功能。審計結(jié)果支持按照各個字段進行分組排序的功能及審計結(jié)果的保存。 審計報表提供專業(yè)的報表，包括訪問站點、會話數(shù)、應(yīng)用分布、未知應(yīng)用的TopN報表，SMTP、HTTP、FTP的應(yīng)用分析報表，每種報表都可以按照天、周等周期和圖形、列表等形式輸出。通過使用這些自帶的報表，管理員可以非常清楚的了解當前用戶對網(wǎng)絡(luò)的使用情況。（3）日志及事件管理數(shù)據(jù)中心內(nèi)部署了眾多的網(wǎng)絡(luò)和安全設(shè)備，一旦出現(xiàn)攻擊，將會引起攻擊路徑上的眾多設(shè)備產(chǎn)生告警事件及日志，需要一臺安全管理中心設(shè)備能夠?qū)?shù)據(jù)中心內(nèi)部產(chǎn)生的各種日志和事件進行智能的關(guān)聯(lián)分析，便于運維人員能夠迅速的找到問題根源。安全管理中心能夠提供對全網(wǎng)海量的安全事件和日志的集中收集與統(tǒng)一分析，兼容異構(gòu)網(wǎng)絡(luò)中多廠商的各種設(shè)備，對收集數(shù)據(jù)高度聚合存儲及歸一化處理，實時監(jiān)控全網(wǎng)安全狀況，同時能夠根據(jù)不同用戶需求提供豐富的自動報告，提供具有說服力的網(wǎng)絡(luò)安全狀況與政策符合性審計報告，系統(tǒng)自動執(zhí)行以上收集、監(jiān)控、告警、報告、歸檔等所有任務(wù)，使IT及安全管理員脫離繁瑣的手工管理工作，極大提高效率，能夠集中精力用于更有價值的活動，保障網(wǎng)絡(luò)安全。四、 方案實施四、. 網(wǎng)絡(luò)布線建議. 走線方式的選擇數(shù)據(jù)中心機房走線方式一般有以下三種：1. 下走線下走線是將強電線纜和數(shù)據(jù)線纜部置在高架地板下，如下圖所示：此種走線方式機房整體簡潔美觀，但不便于后期的線路維護，早期有較多的中小型機房采用了此種走線方式。2. 架空走線架空走線是從天花板上懸掛配線框，實現(xiàn)強電、光纖和弱電的分層部署，如下圖所示：此種走線方式可以很好的規(guī)避線纜間的電磁干擾，走線密度也可以做得較高，適合大規(guī)模的數(shù)據(jù)中心機房，但對機房的層高有較高的要求。3. 上走線此種走線方式是在機柜頂端架設(shè)走線槽進行布線，如下圖所示：這種走線方式是目前中小機房的主流走線方式，后期維護方便。 對于上述三種走線方式，其優(yōu)劣時對比如下表所示：綜合多方面考慮，結(jié)合數(shù)據(jù)中心機房的建筑要求，建議采用上走線方式！. 網(wǎng)絡(luò)配線方式機房布線方式也有三種：直連式布線，分布式布線，POD方式布線。1）直連式布線l 特點：網(wǎng)絡(luò)機柜獨立排列，服務(wù)器機柜直接通過布線連接網(wǎng)絡(luò)機柜l 優(yōu)點：適合小型數(shù)據(jù)中心，或者小型業(yè)務(wù)區(qū)域，結(jié)構(gòu)簡單，容易實施l 缺點：不適合大型數(shù)據(jù)中心或業(yè)務(wù)區(qū)域，服務(wù)器密度增高后會造成電纜重疊，容易擁塞，不易維護2）分布式布線——列頭柜布線l 特點：網(wǎng)絡(luò)設(shè)備列頭柜匯聚，列頭柜連接到服務(wù)器機柜，由列頭柜上行連接到網(wǎng)絡(luò)核心機柜組 l 優(yōu)點：分布式列頭柜設(shè)計，沒有線纜重疊，連接線纜短，傳輸性好，網(wǎng)絡(luò)層次性好，容易擴展，成本低、管理方便，空氣流通性好，便于散熱。適合于中、大型數(shù)據(jù)中心。l 缺點：當服務(wù)器機柜列很長時，末端機柜距離列頭柜太遠，難以實現(xiàn)接入。3）POD(Point Of Delivery)布線——機柜組布線l 特點：網(wǎng)絡(luò)機柜放置在一組服務(wù)器機柜中間，對應(yīng)到一個服務(wù)器區(qū)域l 優(yōu)點：兩邊機柜的電纜都向中間集中，避免了最遠端電纜到列頭機柜的網(wǎng)線超出規(guī)定了距離，并且各機柜傳輸效率較為平均，布線距離較短，節(jié)省了布線成本。適合于大型數(shù)據(jù)中心。. 服務(wù)器接入方式服務(wù)器接入方式分為三種：EoR（End Of Row），ToR（Top Of Rack），Blade Chassis。1） EoR方式：這是一種比較傳統(tǒng)的布線方式，在數(shù)據(jù)中心的機房中服務(wù)器機柜都是成排的擺放，每排服務(wù)器機柜的最邊緣擺放1到2個網(wǎng)絡(luò)設(shè)備機柜。所有的服務(wù)器機柜的上部安裝有配線架，這些配線架直通每排機柜最邊端的網(wǎng)絡(luò)機柜上的配線架。網(wǎng)絡(luò)機柜中安裝接入交換機，服務(wù)器通過機柜中的配線架接入到網(wǎng)絡(luò)機柜中的交換機。這種布局通常用在服務(wù)器機柜中的服務(wù)器密度不是很高的情況。比如說，服務(wù)器都是IBM的2U、4U的小型機，一個機柜42U，也就擺放612臺左右。當前大部分機房都按這種方式布線，這種布線的主要問題是從各機柜到列頭柜需要鋪設(shè)大量的銅纜，尤其是從離列頭柜最遠端的服務(wù)器機柜，會拉出一大捆網(wǎng)線。因此對Eod of roW還有一種改進的方法叫做middle of row。也就是在一排服務(wù)器機柜的中間擺放12個網(wǎng)絡(luò)機柜，這樣的布局可方便網(wǎng)線的鋪設(shè)和維護。 2） ToR方式：如圖，這種方式就是在標準的42U的服務(wù)器機柜的最上面安裝接入交換機。服務(wù)器的網(wǎng)口都接入到機柜上部的交換機上。這個接入交換機再通過銅纜或光線接入到網(wǎng)絡(luò)機柜的匯聚或核心交換機上。這種組網(wǎng)的好處是簡化布線，從服務(wù)器機柜到列頭柜只有很少的電纜。這種布局要求每個服務(wù)器機柜的服務(wù)器密度比較高，一般來說都采用1U的服務(wù)器，對于一個42U的機柜，可接入20到30臺1RU服務(wù)。這種布局可以用在一些對接入密度比較高的IDC機房。從網(wǎng)絡(luò)設(shè)計上看，TOR布局中每臺交換機上的VLAN/子網(wǎng)不會太多，在網(wǎng)絡(luò)規(guī)劃的時候也盡量避免讓一個VLAN跨了多臺交換機，所以TOR布局時一個VLAN范圍不會太大，所包含的端口不會太多。但對于EOR來說，一個VLAN范圍可能會更大，包含的端口更多。還有一點，TOR布局的交換機數(shù)量多，EOR布局的交換機數(shù)量少，所以兩者的維護管理工作量也不同。 3） Blade Chassis方式：對于刀片服務(wù)器，服務(wù)器上連模塊有刀片交換機和直通模塊兩種，如下圖所示：為簡化網(wǎng)絡(luò)層次，刀片服務(wù)器建議采用直通模塊的方式上聯(lián)，網(wǎng)絡(luò)配線依然選擇EOR方式，保持統(tǒng)一。. 機房布線建議數(shù)據(jù)中心數(shù)據(jù)中型數(shù)據(jù)中心，具體走線和布線方案需要根據(jù)數(shù)據(jù)中心實際情況進行選擇?？梢赃x擇較為傳統(tǒng)的方式：地下走線+列頭柜布線+EoR服務(wù)器接入的方式。. VLAN規(guī)劃本次項目VLAN號段總體規(guī)劃如下：VLAN ID號段用途及業(yè)務(wù)規(guī)劃199預(yù)留，暫時不用100499各應(yīng)用區(qū)服務(wù)器接入VLAN500599核心交換機到各業(yè)務(wù)區(qū)域防火板之間的互聯(lián)VLAN600699各業(yè)務(wù)區(qū)域防火板到各業(yè)務(wù)區(qū)域接入交換機之間的互聯(lián)VLAN700799各業(yè)務(wù)區(qū)域內(nèi)交換機管理VLAN8004094預(yù)留VLAN. IP地址規(guī)劃數(shù)據(jù)中心各業(yè)務(wù)接入IP地址及VLAN規(guī)劃如下：地址段網(wǎng)關(guān)vlan id業(yè)務(wù)子業(yè)務(wù)安全區(qū)域具體規(guī)劃如下：管理地址網(wǎng)絡(luò)設(shè)備名設(shè)備名稱系統(tǒng)名稱VLAN ID通用服務(wù)器區(qū)交換機管理地址開發(fā)測試區(qū)交換機管理地址帶外網(wǎng)管區(qū)交換機管理地址. 路由規(guī)劃OSPF（Open Shortest Path First，開放最短路徑優(yōu)先）是IETF組織開發(fā)的一個基于鏈路狀態(tài)的內(nèi)部網(wǎng)關(guān)協(xié)議，目前針對IPv4協(xié)議使用的是OSPF Version 2（RFC 2328）。與所有鏈路狀態(tài)路由協(xié)議相同，OSPF協(xié)議相比距離矢量（DistanceVector，DV）算法（如RIP）的動態(tài)路由協(xié)議，具有更快的收斂速度，可以支持更大的網(wǎng)絡(luò)，不易受到錯誤路由信息影響的特點，是一種適用范圍廣、支持驗證、無自環(huán)、功能完善的動態(tài)路由協(xié)議?；陂_放性、可擴展性和成熟性原則，山西省電力公司信息內(nèi)網(wǎng)數(shù)據(jù)中心改造項目全網(wǎng)采用OSPF作為IGP路由協(xié)議。u OSPF 進程號規(guī)劃OSPF支持多進程，本次工程使用進程號為30001。u OSPF Router ID規(guī)劃手工指定每臺設(shè)備的Router ID，且Router ID設(shè)置成與該設(shè)備的Loopback地址相同。u OSPF 鏈路Cost規(guī)劃為確保設(shè)備選擇最優(yōu)路徑進行報文轉(zhuǎn)發(fā)，避免迂回路徑的產(chǎn)生，統(tǒng)一規(guī)劃網(wǎng)絡(luò)中OSPF鏈路的Cost值，鏈路Cost＝[參考帶寬/實際鏈路帶寬]，參考帶寬為40G，各種接口的鏈路的開銷如下表所示：接口類型CostN10GE（主用鏈路）4/NN10GE（備用鏈路）4/N210GE（主用鏈路）410GE（備用鏈路）42（主用鏈路）16（備用鏈路）162NGE（主用鏈路）40/NNGE（備用鏈路）40/N2GE（主用鏈路）40GE（主用鏈路）402設(shè)備三層互連接口的網(wǎng)絡(luò)類型設(shè)置為p2p，加快路由收斂。u OSPF區(qū)域規(guī)劃核心交換機和各個功能分區(qū)的匯聚接入交換機組成OSPF的骨干區(qū)域。數(shù)據(jù)中心各個區(qū)域主要為接入服務(wù)器，不再規(guī)劃路由區(qū)域。u OSPF路由發(fā)布原則OSPF進程內(nèi)的所有設(shè)備都使用Network方式發(fā)布業(yè)務(wù)網(wǎng)段，并且將業(yè)務(wù)網(wǎng)段接口配置成Silentinterface，不允許直接引入Direct路由。. 業(yè)務(wù)遷移在構(gòu)建了跨數(shù)據(jù)中心大二層網(wǎng)絡(luò)后，業(yè)務(wù)系統(tǒng)的遷移可以采取先遷服務(wù)器，后遷網(wǎng)關(guān)的方式進行。將需要遷移的服務(wù)器VLAN Trunk到數(shù)據(jù)中心，并構(gòu)建跨數(shù)據(jù)中心VRRP虛擬網(wǎng)關(guān)，保證服務(wù)器遷移到數(shù)據(jù)中心后，無需更改網(wǎng)絡(luò)的任何配置即可連通業(yè)務(wù)。（詳細待溝通后補充！）五、 設(shè)備介紹五、. 設(shè)備清單產(chǎn)品代碼項目名稱數(shù)量核心區(qū)　　LS12508AC1H3C S12508 路由交換機主機(AC1)1 LSTM1MRPNC1H3C S12500 管理及路由處理板帶OAM模塊2 LSTM1GP48LEB148端口千兆以太網(wǎng)光接口業(yè)務(wù)板(LEB)(SFP,LC)1 LSTM1XP8LEB18端口萬兆以太網(wǎng)光接口業(yè)務(wù)板(LEB)(XFP,LC)1 LSTM1SF08B1S12508交換網(wǎng)板9 XFPSXMM850光模塊XFP10G多模模塊(850nm,300m,LC)8 SFPGESXMM850A光模塊SFPGE多模模塊(850nm,LC)10 LSTM2FANH風扇框模塊082 LSTM1KSGD0安裝滑道附件350mm~500mm1 LSTM1HGB08后蓋板081 LSTM2PSRA交流電源模塊2000W6 LSTM2PEMC6交流電源進線模塊6端口16A插座標準型1 LSTM1SPCABLE1單相交流電源線6根3m(IEC320C19)1 SVPSHPSDS高端產(chǎn)品軟件部署服務(wù)1 小計2套2 廣域網(wǎng)接入?yún)^(qū)　　SRZ+M+A6SR8805主機+雙交流電源+雙主控1 SPE1020雙路業(yè)務(wù)處