【正文】 系統(tǒng)測(cè)試由賣方提供測(cè)試方案，買方確認(rèn)后，在賣方的督導(dǎo)指導(dǎo)下進(jìn)行，買方人員須參加測(cè)試，測(cè)試完畢賣方提供測(cè)試報(bào)告并通過(guò)口頭或書面形式向買方報(bào)告測(cè)試進(jìn)展； 。在施工期間如遇到前期未預(yù)料的問(wèn)題，特別是合同未有規(guī)定的問(wèn)題時(shí)，雙方應(yīng)本著友好協(xié)商的原則共同 努力解決，必要時(shí)要組織工程協(xié)調(diào)會(huì)議，具體落實(shí)工程的順利實(shí)施。 ， 施工期 施工期為全部合同設(shè)備的安裝與調(diào)試，施工期從全部合同設(shè)備到貨后直到系統(tǒng)安裝調(diào)試完畢，可進(jìn)行初驗(yàn)為止。 交貨前買方主要工作包括以下幾點(diǎn)： 名稱 起始日 終止日 供貨期 合同簽定之日 最后一批設(shè)備到現(xiàn)場(chǎng)之日 施工期 交貨驗(yàn)收之日 系統(tǒng)的安裝、調(diào)測(cè)完成之日 系統(tǒng)初驗(yàn) 買方開始逐項(xiàng)業(yè)務(wù)驗(yàn)收 初驗(yàn)證書簽字之日 試運(yùn)行期 初驗(yàn)證書簽字之次 日 終驗(yàn)文件簽署之日 工程實(shí)施周期 合同簽定之日 初驗(yàn)結(jié)束之日 **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 38 頁(yè) 1， 安排專人負(fù)責(zé)工程的實(shí)施； 2， 按設(shè)備要求準(zhǔn)備機(jī)房環(huán)境條件； 2， 在賣方的協(xié)助下制定整個(gè) 網(wǎng)絡(luò) 的詳細(xì)地址規(guī)劃 3， 到貨現(xiàn)場(chǎng)驗(yàn)收。主要可以采用以下的方法，來(lái)保證交換機(jī)的安全，具體如下： ? 針對(duì)最常見的 DoS攻擊進(jìn)行了測(cè)試 **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 35 頁(yè) ? Port scan ? TCP SYN attack ? Ping of Death attack ? Smurf attack (ICMP) ? Pepsi attack (UDP) ? Land attack ? Teardrop attack ? Bonk attack ? Boink attack ? Fragmentation DoS ? 基于以下特征設(shè)置對(duì)交換機(jī)的管理和訪問(wèn) ? 基于 Coronado ASIC 芯片的 ACLs ? Layer 3 (IP 源地址 /目的地址 ) ? Layer 4 (TCP/UDP 源端口 /目的端口 ? 基于用戶 ID定義對(duì)交換機(jī)的管理 – AAA 服務(wù) ? 本地交換機(jī)數(shù)據(jù)庫(kù) ? 遠(yuǎn)程數(shù)據(jù)庫(kù) RADIUS, LDAP, RSA ? 基于權(quán)限的 (分權(quán)管理 ) ? 端口 (通過(guò)遠(yuǎn)程數(shù)據(jù)庫(kù) ) ? 交換機(jī) (通過(guò)遠(yuǎn)程數(shù)據(jù)庫(kù) ) ? 采用遠(yuǎn)程 AAA 數(shù)據(jù)庫(kù)時(shí)維護(hù)審 計(jì)記錄 ? 用戶名 , MAC 地址 , IP 地址 , 交換機(jī) ID, 槽 /端口 , 登錄事件 , 退出事件 , 發(fā)送字節(jié)數(shù) , 接受字節(jié)數(shù) , 斷開原因等 ? 網(wǎng)絡(luò)管理員可以用來(lái)監(jiān)控對(duì)網(wǎng)絡(luò)設(shè)備的訪問(wèn) ? 保護(hù)客戶端 (管理員 / 策略服務(wù)器 )和交換機(jī)間的通信 ? Socket 層次的保護(hù) – 采用客戶機(jī) /服務(wù)器協(xié)議保護(hù)基于 TCP的通信 **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 36 頁(yè) – 保護(hù) HTTP WebView 的通信 – 保護(hù) HTTP AVLAN 客戶機(jī)登錄的數(shù)據(jù) – 保護(hù) LDAP 策略服務(wù)器的通信 – 基于 RSA BSAFE 編碼 – 基于加密和認(rèn)證的安全性 ? SNMPv3 – 保護(hù)交換機(jī)和管 理工作站間的通信 – SNMPv3：通信加密 ? Secure Socket Layer (SSL) – 加密的 Client/Server通信進(jìn)程 – 應(yīng)用實(shí)例 : WebView網(wǎng)管 **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 37 頁(yè) 六六 、 工工 程程 實(shí)實(shí) 施施 方方 案案 、 工工 程程 進(jìn)進(jìn) 度度 安安 排排 **IP 城域網(wǎng)網(wǎng)絡(luò)系統(tǒng)項(xiàng)目實(shí)施計(jì)劃在合同正式簽定以后開始實(shí)施，與工程實(shí)施有關(guān)需要有 幾個(gè)時(shí)段的定義 . 我們的工程實(shí)施也是按照這幾個(gè)時(shí)段展開的，下面分別進(jìn)行描述。 ? 通過(guò) VLAN 的劃分，方便子網(wǎng)絡(luò)管理，提高了網(wǎng)絡(luò)安全性。無(wú)需改變物理連接。 ? VLAN 劃分是通過(guò)軟件實(shí)現(xiàn)的，如果要改變它，只需改變它的邏輯成員和配置表。 ? 對(duì)網(wǎng)絡(luò)信息具有隔離作用，一個(gè) VLAN 內(nèi)部信息不會(huì)影響到 VLAN 的外部。相互之間通過(guò)一定的訪問(wèn)策略來(lái)實(shí)現(xiàn)資源的訪問(wèn)控制。同一個(gè)邏輯工作組中的用戶，可以不受物理網(wǎng)段位置的限止，通過(guò)一定的策略，定義網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。在城域網(wǎng)中，根據(jù)不同部門和業(yè)務(wù)，網(wǎng)絡(luò)可 以通過(guò)在交換機(jī)上，基于一定的策略，把用戶分為不同的“邏輯工作組”（ VLAN），而不改變網(wǎng)絡(luò)的物理連接。這些策略直接加載在單個(gè)端口上，在每個(gè)端口上線速度執(zhí)行。 XX交換機(jī)可以根據(jù)信息包的第二層信息、第三層信息、第四層信息，還可以將所有以上信息綜合在一起進(jìn)行過(guò)濾。 UDP 端口 ? 支持內(nèi)部發(fā)起連接的 Reflexive 端口 ? 源 MAC **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 34 頁(yè) 當(dāng)驗(yàn)證包源地址和目標(biāo)地址組合時(shí)，優(yōu)先規(guī)則一般依賴于有最高優(yōu)先權(quán)的特定規(guī)則。 相對(duì)于訪問(wèn)控制的安全政策能夠采用 IP Filtering在 IP、 IPX和 TCP層實(shí)施。它能夠按源和 /或目標(biāo) IP和 TCP信息域發(fā)送包。IP Filtering是一種硬件路由 ASIC， IP Filtering以線速控制網(wǎng)絡(luò)、主機(jī)和硬件中的服務(wù)。對(duì)用戶進(jìn)行有效隔離。 、 設(shè)設(shè) 置置 過(guò)過(guò) 濾濾 規(guī)規(guī) 則則 （（ ACL）） 在網(wǎng)絡(luò)內(nèi)，可設(shè)置過(guò)濾規(guī)則?；谝陨习踩目紤]，我們利用現(xiàn)有的安全機(jī)制和系統(tǒng)設(shè)計(jì)，從以下幾個(gè)方面來(lái)增強(qiáng)數(shù)據(jù)的安全性： ? 利用交換機(jī)的過(guò)濾規(guī)則 ? 各部門間可劃分 VLAN 隔離。沒(méi)有任何一種方法可保證 數(shù)據(jù)是絕對(duì)安全的。如下圖所示。隨后，若初始主服務(wù)器恢復(fù)，它將再次作為當(dāng)前主服務(wù)器。 策略管理器支持多達(dá) 4 個(gè)不同的 LDAP 服務(wù)器，所有這些服務(wù)器內(nèi)容必須一致，它們通過(guò) IP地址和 TCP 端口號(hào)進(jìn)行標(biāo)識(shí)，它們可以按照優(yōu)先級(jí)屬性分類，最高優(yōu)先級(jí)的的服務(wù)器作為主服務(wù)器，也就是策略可以從這臺(tái) 服務(wù)器下載。 Omni 網(wǎng)絡(luò)設(shè)備同時(shí)擔(dān)任策略判定點(diǎn) (Policy Decision Point ,PDP)和策略執(zhí)行點(diǎn) (Policy Enforcement Point, PEP)的角色，它通過(guò) LDAPv3 協(xié)議從目錄服務(wù) 器獲取策略。 基于策略的管理是從中心位置創(chuàng)建策略并散步這些策略到遠(yuǎn)端的網(wǎng)絡(luò)設(shè)備一種機(jī)制。 這種特性支持 “簡(jiǎn)便 ” 和 “專家 ”兩種模式。用戶僅需選擇并點(diǎn)擊所需的QoS 級(jí)別，然后按下應(yīng)用按鈕，應(yīng)用便會(huì)通過(guò) QoS 參數(shù)的自動(dòng)配置，將交換機(jī)配置為用戶所需的 QoS 級(jí)別。 OneTouch QoS 不會(huì)采用任何錯(cuò)誤的配置 。 XX提供了配置 QOS 參數(shù)的兩個(gè)選項(xiàng)，一種是“專家模式”，在這種模式下管理人員具有配置所有參數(shù)的靈活性和粒度；第二種是 “OneTouchQoS”模式，它能通過(guò) 最少的步驟來(lái)簡(jiǎn)化 QOS 參數(shù)的配置。 配置 QOS 是非常復(fù)雜的，它與用戶需要的 QOS 控制量有關(guān)。 這些用戶 屬性文件可以存儲(chǔ)在本地或者存儲(chǔ)在異地的 LDAP 或者 RADIUS 服務(wù)器上。 ２、一旦建立連結(jié)和認(rèn)證，根據(jù)預(yù)先定義的權(quán)限 (在認(rèn)證階段獲得 )，這個(gè)用戶被允許訪問(wèn)交換機(jī)。當(dāng)一個(gè)操作員訪問(wèn)交換機(jī)時(shí)，控制的機(jī)制是： １、信任用戶 (驗(yàn)證 )：執(zhí)行檢查來(lái)確定用戶身份和確定這個(gè)用戶訪問(wèn)交換機(jī)不同資源的權(quán)限。 XX網(wǎng)絡(luò)分權(quán)管理的目的是增強(qiáng)現(xiàn)有的用戶賬號(hào)相關(guān)的讀 /寫權(quán)限。在一個(gè)大型的骨干網(wǎng)內(nèi)，為了更好地 對(duì)網(wǎng)絡(luò)進(jìn)行管理，減少人為管理的錯(cuò)誤，防止不良網(wǎng)絡(luò)管理人員的惡意破壞，提高網(wǎng)絡(luò)管理效率，極有必要將網(wǎng)絡(luò)權(quán)限進(jìn)行進(jìn)一步細(xì)化。 **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 28 頁(yè) 網(wǎng)網(wǎng) 絡(luò)絡(luò) 分分 權(quán)權(quán) 管管 理理 方方 案案 傳統(tǒng)的網(wǎng)絡(luò)管理權(quán)限非常有限，一般為可讀、可讀寫等幾種有限的權(quán)限。 Omni 網(wǎng)絡(luò)設(shè)備同時(shí)擔(dān)任策略判定點(diǎn) (Policy Decision Point ,PDP)和策略執(zhí)行點(diǎn) (Policy Enforcement Point, PEP)的角色，它通過(guò) LDAP v3 協(xié)議從目錄服務(wù)器獲取策略。 7)支持基于策略的管理 基于策略的管理是從中心位置創(chuàng)建策略并散步這些策略到遠(yuǎn)端的網(wǎng)絡(luò)設(shè)備一種機(jī)制。允許授權(quán)的操作人員對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控、升級(jí)、安裝和執(zhí)行其它任務(wù)。 6)網(wǎng)絡(luò)分權(quán)管理： OmniVista 支持網(wǎng)絡(luò)分權(quán)管理，可以根據(jù)網(wǎng)絡(luò)管理人員的能力、任務(wù)靈活地分配網(wǎng)絡(luò)管理權(quán)限。如果需要，這種特性還能允許網(wǎng)絡(luò)管理員只需點(diǎn)擊便能很方便地配置 QoS 并自動(dòng)將其復(fù)制到網(wǎng)絡(luò)中所有其它的 Alcatel OmniSwitch 系列。 Onetouch QoS 提供了一個(gè)瀏覽器界面允許對(duì) QoS 的參數(shù)做一些簡(jiǎn)單的配置 或?qū)嵤└邔哟蔚奶幚怼? 3)網(wǎng)元管理：通過(guò)設(shè)備的網(wǎng)元管理程序，提供到每個(gè)單獨(dú)的 XX 全網(wǎng)絡(luò)設(shè)備的直接訪問(wèn)，允許在一個(gè)中央?yún)^(qū)域?qū)崿F(xiàn)對(duì)所有網(wǎng)絡(luò)設(shè)備的配置。 用戶只需要通過(guò) WEB 瀏覽器鍵入交換機(jī)的 IP 地址就可以訪問(wèn)交換機(jī)。 WebView 是 OmniSwitch 7000 集成的基于 WEB 的管 理 方案，它在交換機(jī)中內(nèi)置了一個(gè) WEB 服務(wù)器。 OmniVista 允許管理人員監(jiān)控各種網(wǎng)絡(luò)活動(dòng)，對(duì)每個(gè)網(wǎng)絡(luò)設(shè)備進(jìn)行配置、故障檢測(cè)和排除，為管理整個(gè)網(wǎng)絡(luò)提供了一個(gè)前瞻性的手段 所有這些都來(lái)自于阿 爾卡特的單一網(wǎng)絡(luò)管理平臺(tái) OmniVista。其主要特點(diǎn)包括： 1)統(tǒng)一管理： OmniVista 提供了一個(gè)通用圖形化界面和網(wǎng)絡(luò)管理架構(gòu)來(lái)實(shí)施網(wǎng)絡(luò)管理功能、集成應(yīng)用和對(duì)多臺(tái)設(shè)備的統(tǒng)一網(wǎng)元管理。 網(wǎng)網(wǎng) 管管 系系 統(tǒng)統(tǒng) OmniVista 簡(jiǎn)簡(jiǎn) 介介 意識(shí)到巨大的市場(chǎng)需求和客戶對(duì)網(wǎng)絡(luò)管理的期望， XX 為 用戶開發(fā)了一套全面的、統(tǒng)一的功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng) OmniVista，如下圖所示。其特性列表如下： ? 2 種分發(fā)機(jī)制 (server failover, Static WRR) ? 基于虛擬 IP 地址的服務(wù)器池， ? 線速負(fù)載均衡 ? 每臺(tái)交換機(jī)多達(dá) 15個(gè)群組，每個(gè)群組多達(dá) 5臺(tái)服務(wù)器 ? 群組運(yùn)行狀態(tài)監(jiān)控 ? 無(wú)需特定的硬件 屬于交換機(jī)基本特性 服務(wù)器負(fù)載均衡組網(wǎng)示意圖如下所示： **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 25 頁(yè) 四四 、 網(wǎng)網(wǎng) 絡(luò)絡(luò) 管管 理理 為實(shí)現(xiàn)“可運(yùn)營(yíng)、可管理“的網(wǎng)絡(luò)建設(shè)目標(biāo)，在本方案中， XX 為提供了功能強(qiáng)大的電信級(jí)網(wǎng)絡(luò)管理方案。本方案將利用核心交換機(jī)、匯聚層交換機(jī)的服務(wù)器負(fù)載控制功能，基于以下策略實(shí)施服務(wù)器負(fù)載流量控制，不需要另配負(fù)載均衡控制器。 XX交換設(shè)備支持的 QOS策略： 高高 級(jí)級(jí) QoS特特 性性 每端口優(yōu)先級(jí)隊(duì)列數(shù) * 每端口 4個(gè)硬件優(yōu)先級(jí)隊(duì)列 每端口模塊最大優(yōu)先級(jí)隊(duì)列數(shù) * 每接口模塊 2,048 /8296（ OmniSwitch8800）個(gè)硬件優(yōu)先隊(duì)列 ?應(yīng)用識(shí)別 * L2/L3/L4 QoS 分類應(yīng)用級(jí)識(shí)別 * 在輸出上設(shè)置 、 IP TOS、 DiffServ * 利用基于差額輪詢的硬件控制隊(duì)列調(diào)度實(shí)現(xiàn)輸出帶寬整形 * 可信賴和不可信賴端口 * WRED 硬件優(yōu)先級(jí)的分類 * MAC 目的地址、 IP 協(xié)議、 IP 源／目的地址、TCP/UDP源／目的地址、 端口 、 接口類型 、 VLAN, 組 播等 多種 QoS映射 方式 * 到 TOS 和 Diffserv * TOS到 和 Diffserv * Diffserv到 TOS 第三層服務(wù)器負(fù)載均衡 * 多達(dá) 15 個(gè)群組 * 每個(gè)群組多達(dá) 5臺(tái)服務(wù)器 * 在所有網(wǎng)絡(luò)接口上均提供線速線性能 **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 24 頁(yè) 、 服服 務(wù)務(wù) 器器 負(fù)負(fù) 載載 均均 衡衡 (SLB) 為了確保網(wǎng)絡(luò)的正常運(yùn)行，不會(huì)因網(wǎng)絡(luò)的并行用戶的增加、服務(wù)器的單點(diǎn)故障、某些服務(wù)器的應(yīng)用故障等難以預(yù)期的問(wèn)題的出現(xiàn)，骨干交換機(jī) 、匯聚層交換機(jī)和接入層交換機(jī)支持服務(wù)器負(fù)載均衡，對(duì)所有訪問(wèn)服務(wù)器的服務(wù)應(yīng)用請(qǐng)求，根據(jù)多種策略，動(dòng)態(tài)分配到每一臺(tái)服務(wù)器上，克服以上難以預(yù)期問(wèn)題的出現(xiàn)。 可以根據(jù)用戶 SLA和 QOS實(shí)現(xiàn)不同的隊(duì)列調(diào)度算法。 OmniSwitch8800路由交換機(jī)利用基于流的策略（ perflow policing）來(lái)實(shí)現(xiàn) QOS。 **IP 城域網(wǎng)網(wǎng)絡(luò)設(shè)計(jì)方案 4/4/2021 第 23 頁(yè) 、 服服 務(wù)務(wù) 質(zhì)質(zhì) 量量