【正文】 訪問網絡，采用最長匹配逐包轉發(fā)機制，有效抵御病毒的攻擊。核心交換機部署在防逃防暴指揮中心四樓中心機房，中心機房需增加單模光纖由核心機房引入生產園區(qū)各廠房、生活園區(qū)各監(jiān)舍綜合樓禁閉室等建筑、會見樓等重要建筑。核心層交換機支持網絡運行監(jiān)視功能，支持Netstream或netflow或sflow網流分析，可實現整網流量的可視化，方便網絡調整、優(yōu)化及故障定位。安防承載網接入交換機支持ARP入侵檢測功能，可有效防止黑客或攻擊者通過ARP報文實施網絡中常見的“中間人”攻擊，接入層以太網交換機ARP入侵檢測功能和DHCP Snooping功能配合使用，可以對不符合DHCP Snooping動態(tài)綁定表或手工配置的靜態(tài)綁定表的非法ARP欺騙報文直接丟棄。另外，利用DHCP Snooping的信任端口特性還可以有效杜絕局域網內用戶私設DHCP服務器，保證DHCP環(huán)境的真實性和一致性。同時支持IP Source Check特性，防止包括MAC欺騙、IP欺騙、MAC/IP欺騙在內的非法地址仿冒，以及大流量地址仿冒帶來的DoS攻擊。交換機支持端口安全特性可以有效防范基于MAC地址的攻擊。，支持用戶帳號、IP、MAC、VLAN、端口等用戶標識元素的動態(tài)或靜態(tài)綁定，同時實現用戶策略（VLAN、QOS、ACL）的動態(tài)下發(fā)；支持配合對在線用戶進行實時的管理，及時的診斷和瓦解網絡非法行為。 路由器提供全千兆互聯(lián)，提供高性能CPU和內存保證路由器有高性能數據轉發(fā)能力，可以達到千兆線速轉發(fā)。集成了VPN網關功能。防火墻需支持外部攻擊防范、內網安全、流量監(jiān)控、郵件過濾、網頁過濾、應用層過濾等功能，能夠有效的保證網絡的安全；采用應用狀態(tài)檢測技術，可對連接狀態(tài)過程和異常命令進行檢測；提供多種智能分析和管理手段，支持郵件告警，支持多種日志，提供網絡管理監(jiān)控，協(xié)助網絡管理員完成網絡的安全管理；支持多種VPN業(yè)務，如L2TP VPN、GRE VPN 、IPS VPN、動態(tài)VPN等；支持RIP/OSPF/BGP/路由策略及策略路由；支持豐富的QoS特性，提供流量監(jiān)管、流量整形及多種隊列調度策略。單純依靠人工維護的方式進行網絡管理很難滿足及時、高效的需求，必須從技術上采用系統(tǒng)管理平臺的方式。對線路、網絡設備、服務器、客戶機、數據庫、應用軟件等各種資源的有效管理，是確保整個安防承載網絡平臺高效、安全運作的關鍵。將各系統(tǒng)統(tǒng)一納入網管系統(tǒng)實現全網的集中式管理。將網絡中的各種設備的運行情況集中的反映到網管中來，能夠實時檢測各設備運行狀態(tài)及時發(fā)現設備異常。針對不同的用戶類型生成相應的網絡邏輯拓撲，實現不同用戶群的管理。網管實現方式在網絡中心機房配置網管服務器及網管管理軟件（智能管理中心），實現網管平臺功能。硬件環(huán)境：保證網管軟件和數據庫運行的足夠的內存和硬盤空間?？梢栽谛姓罩行姆峙渚W絡管理系統(tǒng)遠程客戶端，以實現遠程登陸網絡管理系統(tǒng)實現整網設備的維護和管理。系統(tǒng)安全管理系統(tǒng)安全管理功能主要有包括：操作日志管理、操作員管理、分組分級與權限管理、操作員登錄管理等。通過資源管理可以：網絡自動發(fā)現可以通過設置種子的簡易方式、路由方式、ARP方式、IPS VPN、網段方式等五種自動發(fā)現方式自學習網絡資源及網絡拓撲，自動識別包括：路由器、交換機、安全網關、存儲設備、監(jiān)控設備、無線設備、語音設備、打印機、UPS、服務器、PC在內的多種類型網絡設備；網絡手工管理可以手工添加、刪除網絡設備，可以批量導入、導出網絡設備，批量配置Telnet、SNMP參數，以及批量校驗Telnet參數等輔助功能；網絡視圖管理支持IP視圖、設備視圖、自定義視圖、下級網絡管理視圖等多種管理視圖，用戶可以從不同角度實現整個網絡的管理；網絡設備的管理從任何一種網絡視圖入口，都可以實現對網絡設備的管理，包括：支持對設備的管理/去管理、接口的管理/去管理、設備的詳細信息顯示和接口詳細信息顯示、設備和接口實時告警狀態(tài)、設備和接口的實時性能狀態(tài)、實時檢測存在故障的設備等，用戶可以方便的實現所有設備的管理；設備及業(yè)務管理系統(tǒng)的集成管理支持對華為、CISCO、H3C等主要廠家設備的管理，支持手工添加設備廠商、設備系列及設備型號；支持設備面板管理的動態(tài)注冊機制，實現與各廠家設備管理系統(tǒng)的有效集成；支持拓撲定位、ACL、VLAN、QoS等業(yè)務管理系統(tǒng)的集成，實現設備資源的統(tǒng)一管理；設備分組權限管理支持設備分組功能，通過對設備資源進行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權限，便于職責分離；拓撲管理拓撲管理從網絡拓撲的解決直觀的提供給用戶對整個網絡及網絡設備資源的管理。通過自動發(fā)現可以發(fā)現網絡中的所有設備及網絡結構（具體參見資源管理），并且可以將非SNMP設備發(fā)現出來，只要設備可以ping通即可。同時支持自動的拓撲圖呈現和自定義拓撲。支持對全網設備和連接定時輪詢和狀態(tài)刷新，實時了解整個網絡的運行情況，并且刷新周期是可定制（刷新周期：60～7200秒），同時也支持對多個設備的刷新周期進行批量配置的功能。網絡支持靈活定制拓撲圖，使網絡拓撲更有重點和層次感。自動識別各種網絡設備和主機的類型可以自動識別主要網絡廠商的設備、Windows、Solaris的PC和工作站、其他SNMP設備和ping設備，并且以樹形方式組織，以不同的圖標顯示區(qū)分。網絡的拓撲功能與故障管理和性能管理緊密融合，使拓撲圖能夠清晰地看到監(jiān)獄IT資源的狀態(tài)，包括運行是否正常、網絡帶寬、接口連通、配置變化都能一目了然。拓撲能提供設備管理便捷入口網絡拓撲能夠提供對設備管理的便捷入口，管理員只需通過右鍵點擊拓撲圖中的設備圖標即可啟動設備管理各項功能，實現對設備的面板管理等各項功能配置。告警發(fā)現和上報告警中心可以按收各種告警源的告警事件，包括設備告警、本級網管站及下級網管站告警、網絡性能監(jiān)視告警、網絡配置監(jiān)視告警、網絡流量異常監(jiān)視告警、終端安全異常告警等；同時通過支持對設備定時輪詢，實現通斷告警、響應時間告警等，以告警事件的方式上報給網絡告警中心；設備告警包括電源電壓、設備溫度、風扇等告警事件，設備冷啟動、熱啟動、接口linkdown等重要告警事件，路由信息事件（OSPF，BGP）變化，熱備份路由（HSRP）狀態(tài)變化等告警事件，支持對CISCO、華為、H3C等多廠商設備告警的識別和解析；網管站告警指包括本級系統(tǒng)集群服務器的異常告警，包括CPU利用率、內存使用率、服務程序運行狀態(tài)等以及下級系統(tǒng)上報的告警事件；網絡性能監(jiān)視包括CPU利用率，內存使用率，以及RMON告警的故障管理。告警深度關聯(lián)分析與統(tǒng)計告警中心根據告警腳本中的告警事件定義，接收并解析上報的告警事件；注：網絡根據標準mib中的trap信息預定義了大量告警腳本用于接收解析告警，同時支持Openview NNM告警定義格式的腳本定義，廠家私有告警可以集成到告警定義腳本中，網絡同時提供自定義告警方式，用戶可以在網絡界面上對不識別告警進行定義，后面再收到該告警事件會按用戶定義的格式進行解析。重復事件閾值告警：屏蔽重復接收到的相同事件，并可在達到閾值條件時產生新告警通知用戶。未知事件閾值告警：屏蔽接收到的未知事件，并可在達到閾值條件時產生新告警通知用戶。自定義事件過濾規(guī)則：用戶自定義的事件過濾規(guī)則，用戶可指定在什么時間范圍內、對什么樣的告警進行過濾。實時告警網絡提供多種方式將告警通知給管理員，包括：實時遠程告警：通過手機短信或Email郵件的方式，將告警及時通知管理員，實現遠程網絡的監(jiān)控和管理；分類、聲光告警板，按故障類別及等級實時告警，讓管理員通過告警板不但及時知道告警產生，同時可以了解產生的告警的類別和等級：實時告警，通過告警首頁對目前故障未排除的告警實時刷新并提供故障排除確認的入口：故障解決網絡對各種故障警均提供“修復建議”，管理員可以參考修復建議對故障進行處理。固化經驗網絡提供告警知識庫。用戶選中一條告警記錄，系統(tǒng)根據用戶選中的告警記錄，從告警知識庫中查詢出該條告警記錄的維護經驗，供用戶進行告警處理進行參考。性能管理網絡網管系統(tǒng)提供豐富的性能管理功能，同時以直觀的方式顯示給用戶。通過性能任務的配置，可自動獲得網絡的各種當前性能數據，并支持設置性能的閾值，當性能超過閾值時，網絡以告警的方式通知告警中心:支持At a Glance、TopN功能，用戶能夠對CPU利用率、流量等關鍵指標一目了然；提供各類常用性能指標的缺省采集模板；支持實時性能監(jiān)視，支持二級閾值告警設置,當鏈路或端口的流量超過閾值，系統(tǒng)將會發(fā)送性能告警，使網絡管理人員可以能夠及時了解網絡中的隱患，及時消除隱患。設備管理現有的行政網絡中，由于缺乏有效的設備管理軟件，網絡管理人員往往只能通過“徒手”進行設備管理。網絡提供的設備管理功能使這種情況成為“過去”。通過面板管理，網絡管理人員可以直觀地看到設備、板卡、端口的工作狀態(tài)，通過設備信息瀏覽監(jiān)視，管理人員可以了解設備的運行情況，實時監(jiān)視CPU利用率、端口利用率等重要信息。網絡向用戶提供了完善的網元管理功能，通過逼真的面板圖片，直觀地反映了設備運行情況。 IP地址規(guī)劃IP地址的合理規(guī)劃是IP網網絡設計中的重要一環(huán)，大型計算機網絡必須對ＩＰ地址進行統(tǒng)一規(guī)劃并得到實施。IP地址分配原則考慮到美蘭監(jiān)獄的各監(jiān)區(qū)的固定性，為保證對于聯(lián)網監(jiān)控點的可查詢性，且考慮到私網地址不存在短缺等因素，建議美蘭監(jiān)獄的IP地址采用10. x. x. x私網IP地址接入的方式進行建設。具體分配時要遵循以下原則：唯一性：一個IP網絡中不能有兩個主機采用相同的IP地址；簡單性：地址分配應簡單易于管理，降低網絡擴展的復雜性，簡化路由表項連續(xù)性：連續(xù)地址在層次結構網絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率。靈活性：地址分配應具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。當監(jiān)獄網以安防承載地址分配或采用混合網絡地址接入時，要求監(jiān)獄網提供地址轉換功能，過濾掉安防承載網地址。對于相對固定不變的各監(jiān)區(qū)采用靜態(tài)分配IP地址，為防止地址盜用，采用IP地址與端口地址綁定；對于流動性大、用戶人數多、用戶增長快的辦公區(qū)采用動態(tài)分配IP地址，采用By Port的Vlan，小范圍地限制地址盜用問題。對于服務器、網絡設備互連端口地址、設備Loopback地址建議使用靜態(tài)IP地址，而且各屬于不同的IP地址段，有利于骨干路由表的簡化與路由的快速處理。為了減小廣播域，建議VLAN終結在核心的三層交換機上，每個VLAN內的主機數量原則上不要超過250臺，建議每個VLAN內的IP設備機數量控制在50臺以內。根據安防設備的分布情況來看，在大部分情況下，兩者實現了重合，而對于少數由于地點不同，隔離在不同接入點的IP設備，我們則推薦第一種方式。靜態(tài)VLAN：形成靜態(tài)VLAN過程是將端口強制性地分配給VLAN的過程。這是將端口映射到VLAN的一種最通用的方法。我們知道，VLAN常常被規(guī)劃用于對“資源訪問權限”的分組，不同的VLAN具有不同的訪問權限，每個VLAN內有一個IP地址網段，不同的VLAN/IP地址段的用戶，具有不同的訪問資源的權限。此時，二層交換機要支持VLAN的動態(tài)配置功能。作為特殊VLAN 的典型，建議保留VLAN1作為管理VLAN，管理VLAN覆蓋到全網的每一臺交換機，但在第三層接口上，需要與其他業(yè)務VLAN進行有效的隔離。VLAN1和VLAN4000的第三層路由接口處設置訪問控制列表，只有特定的主機或者只有網管VLAN可以直接訪問每一臺設備，其他均在過濾之列。 內網接入層規(guī)劃表序號設備名稱設備參數單位數量　內網　　　1號勞動改造樓　　　148口接入交換機48電口，4個10/100/1000BaseT與1000BaseX SFP COMBO臺12千兆單模光模塊光模塊SFPGE單模模塊(1310nm,10km,LC)塊12號勞動改造樓　　　148口接入交換機48電口，4個10/100/1000BaseT與1000BaseX SFP COMBO臺12千兆單模光模塊光模塊SFPGE單模模塊(1310nm,10km,LC)塊13號勞動改造樓　　　148口接入交換機48電口，4個10/100/1000BaseT與1000BaseX SFP COMBO臺12千兆單模光模塊光模塊SFPGE單模模塊(1310nm,10km,LC)塊14號勞動改造樓　　　124口接入交換機24個10/100BaseTX,2個10/100/1000BaseT與1000BaseX SFP COMBO,交流供電臺1248口接入交換機48電口，4個10/100/1000BaseT與1000BaseX SFP COMBO,交流供電臺13千兆單模光模塊光模塊SFPGE單模模塊(1310nm,10km,LC)塊14堆疊線纜SFP堆疊電纜（150cm，含堆疊模塊）條15號勞動改造樓　　　124口接入交換機24個10/100BaseTX,2個10/100/1000BaseT與1000BaseX SFP COMBO,交流供電臺1248口接入交換機48電口，4個10/100/1000BaseT與1000BaseX SFP COMBO,交流供電臺13千兆單模光模塊光模塊SFPGE單模模塊(1310nm,10km,LC)塊14堆疊線纜SFP堆疊電纜（150cm，含堆疊模塊）條1防逃防暴指揮中心　　　148口接入交換機48電口，4個10/100/1000BaseT與1000BaseX SFP COMBO,交流供電臺12千兆單模光模塊光模塊SFPGE單模模塊(1310nm,10km,LC)塊1住院門診樓