【正文】 FXS 單口百兆單模光纖接口模塊RGMSTACK 堆疊模塊協(xié)議、 、管理協(xié)議SNMPv1 / v2 / vWeb（JAVA）、CLI（Telnet/Console）、RMON(1,2,3,9)、集群、SSH、Syslog其它協(xié)議BOOTP / DHCP Relay組播協(xié)議IGMP Snooping，支持IGMP源端口檢查背板包轉(zhuǎn)發(fā)速率線速（）MAC地址8K VLAN最大256個，支持4K VLAN透傳，支持PVLAN端口鏡像支持一對多鏡像，可分別基于輸入/輸出流的鏡像端口聚合最大6組，每組最大聚合8個百兆端口、2個千兆端口堆疊支持，最大8臺堆疊，堆疊體各上聯(lián)端口仍可支持端口聚合廣播風(fēng)暴抑制支持寬高深440 mm 44 mm240mm電源AC 160V～240V，48Hz～60Hz溫度工作溫度： 0℃ 到 40℃ 存儲溫度：40℃ 到 70℃濕度工作濕度: 10% 到 90% RH 存儲濕度: 5% 到 90% RH2．4網(wǎng)絡(luò)規(guī)劃設(shè)計2．4．1VLAN規(guī)劃化工學(xué)院網(wǎng)絡(luò)作為一個規(guī)模較大的園區(qū)網(wǎng)絡(luò)，網(wǎng)絡(luò)運(yùn)行和管理要適應(yīng)本身管理運(yùn)行的特點。這樣才能滿足管理上的基本要求。，虛網(wǎng)數(shù)可達(dá)到4096個。本方案建議使用以二級行政單位為主體進(jìn)行虛網(wǎng)的劃分,即以化工學(xué)院各系、處為單位進(jìn)行劃分,另外為了更有效的的對網(wǎng)絡(luò)設(shè)備進(jìn)行管理,將所有的網(wǎng)絡(luò)設(shè)備的管理地址劃歸一個VLAN,對于某些特權(quán)機(jī)器(如網(wǎng)絡(luò)中心、領(lǐng)導(dǎo)等)劃分單獨VLAN，并且做相應(yīng)訪問策略。目前多數(shù)用戶只是做了VLAN的劃分，而且通過三層交換設(shè)備實現(xiàn)了VLAN間的通訊，但是卻忽略了一個重要問題，那就是如何規(guī)劃不同VLAN間的訪問。從基于安全性考慮我們不會允許網(wǎng)內(nèi)所有計算機(jī)都可以訪問網(wǎng)絡(luò)設(shè)備所在的網(wǎng)管VLAN,也不會允許任意計算機(jī)可以訪問財務(wù)部門網(wǎng)段，因此我們需要在不同網(wǎng)段之間進(jìn)行訪問控制設(shè)置。例子：考慮到內(nèi)網(wǎng)中的蠕蟲等可能也會試圖對網(wǎng)絡(luò)的出口等進(jìn)行攻擊，迫使出口設(shè)備出現(xiàn)拒絕服務(wù)等現(xiàn)象，因此我們還需要對內(nèi)網(wǎng)數(shù)據(jù)對外傳輸時進(jìn)行安全過濾，這類過濾主要是對常見的蠕蟲病毒端口進(jìn)行屏蔽，這樣盡量避免對網(wǎng)絡(luò)設(shè)備的攻擊行為出現(xiàn)。IP地址的分配要考慮到老校區(qū)的使用情況統(tǒng)一來規(guī)劃，同時還要盡量避免地址的浪費(fèi)，化工學(xué)院在CERNET申請到的C類地址，在這些C類地址中，我們采用VLSM技術(shù)，按照行政區(qū)域和系統(tǒng)進(jìn)行劃分。 用戶接入地址段：按照各地局域網(wǎng)內(nèi)主機(jī)接入數(shù)量和設(shè)備數(shù)量來分配子網(wǎng)空間，為提高交換網(wǎng)絡(luò)的效率，建議針對不同職能或部門劃分不同的子網(wǎng)。服務(wù)器地址段：為滿足服務(wù)器接入的需要，需要為服務(wù)器分配獨立的地址空間。設(shè)備管理地址：為了便于網(wǎng)絡(luò)設(shè)備的管理以及設(shè)備管理的安全性保護(hù)，建議將所有網(wǎng)絡(luò)設(shè)備的管理地址單獨劃分網(wǎng)段，采用帶外管理模式，這樣保證了網(wǎng)絡(luò)中只有專用的網(wǎng)管服務(wù)器才能夠?qū)W(wǎng)絡(luò)設(shè)備進(jìn)行管理。支持帶寬控制功能，流量限速的粒度為8Kbit/s，滿足精品寬帶網(wǎng)絡(luò)的要求。第三章：網(wǎng)絡(luò)安全設(shè)計第一節(jié)：網(wǎng)絡(luò)安全綜述絕對不能把安全理解為一時一地的安全，安全必須整體考慮，安全必須把人的因素和物的因素綜合考慮，安全不能只重實施不重監(jiān)控，不能忽視策略。那些把安全視為一個獨立的防火墻或者某個設(shè)備上的一個特殊功能的做法，是有害無益的。這些產(chǎn)品現(xiàn)在能實施任何指定的網(wǎng)絡(luò)安全策略。由于安全策略非常具體、細(xì)致，因此，這些要素如何在園區(qū)網(wǎng)、撥號和Internet上得以實施會有所不同，究竟有哪些區(qū)別取決于不同區(qū)域?qū)Π踩潭鹊牟煌蟆６x安全前應(yīng)先明確安全要求，然后實施，這樣就避免了最后做不必要的技術(shù)調(diào)整。具體到本項目，我們將在以下方面進(jìn)行安全的策略部署：1. 在網(wǎng)絡(luò)中配屬防火墻，重點放在Internet連接功能區(qū)。3. 部署網(wǎng)絡(luò)防病毒系統(tǒng)。第二節(jié)：網(wǎng)絡(luò)設(shè)備安全機(jī)制局域網(wǎng)必須提高整體的穩(wěn)定性：在交換機(jī)上采用類似CEF的交換技術(shù)，避免采用基于Flow的交換技術(shù)，后者很容易被網(wǎng)絡(luò)蠕蟲造成的Flow過載導(dǎo)致DoS直至崩潰；盡量避免在全網(wǎng)范圍內(nèi)運(yùn)行SPT之類的L2協(xié)議，即使必須運(yùn)行，應(yīng)該能夠在交換機(jī)上部署Root Guard和BPDU Guard這樣的功能來防止由于SPT不穩(wěn)定造成的VLAN崩潰；所有的交換機(jī)應(yīng)啟動Port Security防止導(dǎo)致MAC地址耗盡的攻擊，啟動Storm Control控制廣播風(fēng)暴；在非交換機(jī)互連端口啟動Port Fast；交換機(jī)應(yīng)關(guān)閉Web管理服務(wù)和明文Telnet，或者代之以SSH、SSL，改變標(biāo)準(zhǔn)的Web 80端口號；交換機(jī)上最好通過線速ACL和QoS速率限制技術(shù)杜絕大流量造成的DoS攻擊。在S3900交換機(jī)上可以部署以下的安全機(jī)制：轉(zhuǎn)發(fā)安全：基于最長匹配的路由策略。在用戶接入網(wǎng)絡(luò)時完成必要的身份認(rèn)證，還可以通過靈活的MAC、IP、VLAN、PORT任意組合綁定，有效的防止非法用戶訪問網(wǎng)絡(luò)。支持用戶分級管理和口令保護(hù)，支持MAC地址學(xué)習(xí)數(shù)目限制、MAC地址與端口綁定、端口隔離、MAC地址黑洞；支持防止DoS攻擊功能。第三節(jié)：防火墻3．1防火墻的選擇防火墻作為專業(yè)的網(wǎng)絡(luò)安全設(shè)備由于本身所具有的特殊性，使得我們在進(jìn)行該產(chǎn)品選擇時應(yīng)該具備以下特點：u 具有強(qiáng)大的處理能力，完善的功能特點u 自身具備良好的抗攻擊能力u 具備高的穩(wěn)定性u 友好的人機(jī)交互界面u 良好的后續(xù)開發(fā)及支持能力本方案我們推薦使用聯(lián)想網(wǎng)御POWER V3203千兆防火墻，對于聯(lián)想防火墻的特點與優(yōu)勢將在附件資料中介紹。在化工學(xué)院網(wǎng)絡(luò)建設(shè)中，應(yīng)遵循以下總體安全策略：1．未經(jīng)允許的訪問都要嚴(yán)格禁止；2．允許的訪問都要經(jīng)過認(rèn)證、授權(quán)；3．按照訪問需求將整個系統(tǒng)分成若干個安全區(qū)域，并設(shè)定訪問規(guī)格在下面的章節(jié)中我們將針對目前所面臨的問題進(jìn)行安全策略的規(guī)劃設(shè)計。 內(nèi)部網(wǎng)絡(luò)對外部訪問的控制；178。為了保證內(nèi)部對外訪問的可靠性與高效性，可以對源端口及目標(biāo)端口進(jìn)行設(shè)定。3．2．2多DMZ 區(qū)保護(hù)本次方案推薦的防火墻接口數(shù)量為五個。如果把這些不同服務(wù)器放在內(nèi)網(wǎng)或同一個安全區(qū)域，那么訪問需要到內(nèi)網(wǎng)中取數(shù)據(jù)，或同一個DMZ區(qū)域，這樣內(nèi)網(wǎng)或DMZ區(qū)域被整體攻破的基率會增加很多，因此我們建議充分利用這些端口，將不同服務(wù)置于不同安全區(qū)域。這需要防火墻作端口的映射——既：訪問這個地址的HTTP 服務(wù)、FTP 服務(wù)轉(zhuǎn)到服務(wù)器上，其他服務(wù)是訪問防火墻本身。3．2．4多出口目前化工學(xué)院共有2個出口——公網(wǎng)和與教育網(wǎng)連接，這時候接入防火墻的時候需要防火墻具有基于規(guī)則的路由功能，也就是說：不同主機(jī)或者目的地址在防火墻上的網(wǎng)關(guān)不同。3．2．5帶寬保障在當(dāng)前網(wǎng)絡(luò)存在問題的分析中我們知道質(zhì)量監(jiān)督局的網(wǎng)絡(luò)中將會增加越來越多的用戶及應(yīng)用系統(tǒng)，而且常常會出現(xiàn)病毒或惡意軟件以及BT等導(dǎo)致對流量的大量占用，這種惡意占用最直接的結(jié)果就是導(dǎo)致，流量占用嚴(yán)重正常服務(wù)無法進(jìn)行，因此我們必須要有有效的手段來對關(guān)鍵應(yīng)用或關(guān)鍵主機(jī)進(jìn)行帶寬保障策略設(shè)計。因此在這樣的網(wǎng)絡(luò)環(huán)境中使用防火墻的帶寬管理功能十分必要的，同時使用防火墻可以有效的隔離廣播，保證無線網(wǎng)絡(luò)中珍貴的帶寬被浪費(fèi)。聯(lián)想網(wǎng)御防火墻Power V 通過定義流量策略的方式提供QOS 功能，帶寬管理支持基于源IP 地址，目的地址、服務(wù)、接口的帶寬管理，支持VPN 帶寬的管理，能夠?qū)PN 中的封裝信息進(jìn)行基于IP 地址、服務(wù)的帶寬管理。總體來說，具有以下的特點：178。178。178。178。例如：假如某網(wǎng)絡(luò)帶寬為256k，設(shè)定主機(jī)A 的帶寬為100k，主機(jī)B 帶寬為156k,如果主機(jī)B 目前只用到120k，而主機(jī)A100k 的帶寬不夠用，此時主機(jī)A 可以動態(tài)獲得主機(jī)B 剩余的36K 帶寬。在本次工程我們選擇的網(wǎng)御防火墻可以針對不同的應(yīng)用或用戶組進(jìn)行帶寬高限和低限進(jìn)行設(shè)定，保證重要主機(jī)總是可以獲得足夠的網(wǎng)絡(luò)帶寬。3．2．6過濾，IDS檢測為了避免一些反動或惡意的信息被發(fā)送，網(wǎng)御防火墻可以啟用過濾功能對特殊的關(guān)鍵字以及一些網(wǎng)址等進(jìn)行過濾；網(wǎng)御防火墻本身具備多種IDS檢測能力，及時發(fā)現(xiàn)異常行為。3．3防火墻VPN功能的部署本方案只是介紹VPN移動用戶客戶端訪問模式，這主要針對經(jīng)常外出人員需要對內(nèi)部網(wǎng)絡(luò)訪問時進(jìn)行設(shè)計，這種方案的最大好處在于，我們外出人員，只要能夠訪問到我們的網(wǎng)絡(luò)即可建立一條到中心的VPN鏈路，鏈路建立后就會獲得和內(nèi)部訪問一樣的權(quán)限，同時數(shù)據(jù)在傳輸時其安全性也是非?？煽康摹５谒墓?jié)：訪問認(rèn)證為了避免非授權(quán)用戶的網(wǎng)絡(luò)接入，本方案中將針對該問題進(jìn)行專門設(shè)計。該模式的優(yōu)點在于目前WINDOWS XP系統(tǒng)已經(jīng)提供標(biāo)準(zhǔn)的認(rèn)證客戶端軟件；可以普遍用于網(wǎng)絡(luò)中；但是其缺點也是顯而易見的首先不同的設(shè)備廠家所提供的認(rèn)證服務(wù)器端未完全標(biāo)準(zhǔn)化，還存在不能兼容，且不同的廠家也在推薦使用專有的客戶端軟件?？紤]到網(wǎng)絡(luò)的綜合管理及訪問控制能力，我們建議使用CNETMAN網(wǎng)絡(luò)管理系統(tǒng)來實現(xiàn)對端口的訪問控制。因此如何有效的進(jìn)行病毒查殺已經(jīng)成為網(wǎng)絡(luò)建設(shè)首要考慮的問題之一，本項目我們?yōu)榛W(xué)院推薦使用*******網(wǎng)絡(luò)版病毒查殺系統(tǒng)，關(guān)于該系統(tǒng)的特點后面章節(jié)將有詳細(xì)介紹。學(xué)生的好奇心及求知欲一般都很強(qiáng)烈，且校園一直是IT技術(shù)應(yīng)用的前沿，比較容易發(fā)生病毒爆發(fā)及其他網(wǎng)絡(luò)安全事件，需要信息安全廠商具有強(qiáng)大的應(yīng)急處理能力及售后服務(wù)保障。級聯(lián)升級：在服務(wù)器區(qū)安裝主升級服務(wù)器，從Internet自動下載升級文件；各子網(wǎng)分別部署二級升級服務(wù)器，自動從主升級服務(wù)器獲取升級文件并分發(fā)給本區(qū)域的客戶機(jī)。防護(hù)策略：將各子網(wǎng)的學(xué)生機(jī)分別劃入一個特別的組，對其進(jìn)行嚴(yán)格的權(quán)限設(shè)置，防止其隨意關(guān)閉及卸載客戶端第四章：網(wǎng)絡(luò)管理設(shè)計第一節(jié)：網(wǎng)絡(luò)綜合管理1．1產(chǎn)品簡介CNetMan 提供網(wǎng)絡(luò)邏輯結(jié)構(gòu)、網(wǎng)絡(luò)物理結(jié)構(gòu)、網(wǎng)絡(luò)行政結(jié)構(gòu)三種網(wǎng)絡(luò)表現(xiàn)結(jié)構(gòu)?？梢怨芾砺酚善骱蛷V域網(wǎng)線路，可以管理交換機(jī)和局域網(wǎng)線路，可以管理大、中、小型機(jī)、服務(wù)器等重要網(wǎng)絡(luò)設(shè)備，可以管理所有終端計算機(jī)，并對Windows、Unix等不同運(yùn)行環(huán)境進(jìn)行監(jiān)督和管理，提供了入網(wǎng)安全檢查、病毒防、查、殺、MAC和IP管理、流量監(jiān)測告警一整套完善的安全體系，可以對所有硬件、軟件資產(chǎn)進(jìn)行統(tǒng)一管理，可以通過網(wǎng)絡(luò)對網(wǎng)絡(luò)中任何一臺設(shè)備進(jìn)行遠(yuǎn)程指導(dǎo)以及遠(yuǎn)程維護(hù)的工作，可以批量分發(fā)軟件和信息進(jìn)行軟件升級等工作，詳實記錄網(wǎng)絡(luò)中發(fā)生的各種正常和異常操作，可以迅速發(fā)現(xiàn)網(wǎng)絡(luò)線路和設(shè)備的故障以及迅速找到故障點，縮短了各類網(wǎng)絡(luò)故障診斷和修復(fù)時間，極大地提高了網(wǎng)絡(luò)管理效率，節(jié)省了大量的人力、物力、財力，保證各單位業(yè)務(wù)的正常運(yùn)行。CNetMan網(wǎng)絡(luò)管理系統(tǒng)構(gòu)架了先進(jìn)的軟件框架結(jié)構(gòu)，高度集成眾多的網(wǎng)絡(luò)管理模塊，圖形界面形象逼真表現(xiàn)網(wǎng)絡(luò)，操作樸實無華、簡單方便，多角度描述網(wǎng)絡(luò)結(jié)構(gòu)，適合多方面人員使用，將復(fù)雜的網(wǎng)絡(luò)管理變成簡易的操作。能對各種類型的計算機(jī)進(jìn)行管理，突破了操作系統(tǒng)的限制。友好的使用界面以圖形化方式形象準(zhǔn)確地描述出各種網(wǎng)絡(luò)設(shè)備及終端設(shè)備在網(wǎng)絡(luò)上不同的結(jié)構(gòu)關(guān)系和設(shè)備及線路變化狀態(tài)。廣普的系統(tǒng)適應(yīng)能力能管理可網(wǎng)管的網(wǎng)絡(luò)設(shè)備；跨區(qū)域、跨網(wǎng)段、跨平臺的嚴(yán)密高效的分級管理；適應(yīng)各類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；支持SNMP V1 V2。完備的網(wǎng)絡(luò)管理機(jī)制提供靈活強(qiáng)大的用戶組及用戶模塊管理功能，用戶能夠自主設(shè)置網(wǎng)管員級別、賦予記錄操作過程。合理劃分管理內(nèi)容和管理范圍，運(yùn)用任務(wù)調(diào)度機(jī)制、資源分配機(jī)制、統(tǒng)一協(xié)調(diào)機(jī)制、信息匯總機(jī)制、數(shù)據(jù)轉(zhuǎn)發(fā)機(jī)制、網(wǎng)絡(luò)安全機(jī)制等一系列管理策略，實現(xiàn)對網(wǎng)絡(luò)的分層次、多級別、立體化的管理，滿足各級網(wǎng)絡(luò)管理者的需求。具有強(qiáng)大的日志管理和事件管理功能；與主流品牌網(wǎng)絡(luò)版殺毒軟件進(jìn)行捆綁，將病毒查、殺、防機(jī)制納入網(wǎng)絡(luò)管理范疇。目前有3種視圖結(jié)構(gòu)，其中物理結(jié)構(gòu)視圖（包括整體拓?fù)浣Y(jié)構(gòu)和詳細(xì)連接結(jié)構(gòu)）、邏輯結(jié)構(gòu)視圖主要是為技術(shù)人員進(jìn)行網(wǎng)絡(luò)維護(hù)提供的，行政結(jié)構(gòu)式圖主要為非技術(shù)人員使用，提供一種直觀的管理工具。其視圖結(jié)構(gòu)如下圖所示：網(wǎng)絡(luò)整體結(jié)構(gòu)拓?fù)涫緢D這種結(jié)構(gòu)展示出網(wǎng)絡(luò)的整體拓?fù)潢P(guān)系，另外該結(jié)構(gòu)可以直接轉(zhuǎn)換到網(wǎng)絡(luò)的詳細(xì)物理連接關(guān)系拓?fù)洌ㄏ乱还?jié)介紹）。②網(wǎng)絡(luò)詳細(xì)的物理拓?fù)浣Y(jié)構(gòu)詳細(xì)拓?fù)浣Y(jié)構(gòu)展示的內(nèi)容主要包括：交換機(jī)的端口列表、端口狀態(tài)、線路狀態(tài)以及端口和計算機(jī)等設(shè)備的對應(yīng)關(guān)系，同時能夠標(biāo)識出級聯(lián)端口等，另外可以對設(shè)備信息進(jìn)行描述性定義（比如位置等）。③邏輯結(jié)構(gòu)邏輯結(jié)構(gòu)拓?fù)涫歉鶕?jù)網(wǎng)段的劃分來生成，對于主機(jī)系統(tǒng)的網(wǎng)段歸屬提供快速準(zhǔn)確查詢。這中結(jié)構(gòu)為非技術(shù)型的管理者提供了，最直接簡單的操作依據(jù)，因為設(shè)備的管理主要是對使用的管理，也就是對使用者的規(guī)范操作與正常使用的管理。再配合電子地圖還可以清楚展示出各行政部門的地域分部情況；行政結(jié)構(gòu)同時提供分部門的IT資產(chǎn)統(tǒng)計信息。通過對信息的提取，生成網(wǎng)絡(luò)設(shè)備的物理連接關(guān)系和端口的連接結(jié)構(gòu)。交換機(jī)的流量統(tǒng)計：統(tǒng)計過去任何一段時間，交換機(jī)在每月、每天、每一小時的輸入、輸出、總流量以及丟包率、錯包率。交換機(jī)的端口管理：調(diào)整交換機(jī)端口的功能，可以在緊急情況下，隔離網(wǎng)絡(luò)與故障設(shè)備的線路連接。對于重要設(shè)備，加入保護(hù)列表禁止關(guān)閉交換機(jī)端口。如詳細(xì)物理結(jié)構(gòu)圖上顯示的是從設(shè)備MIB庫里提出的端口號，我們可以將PORT12更名為級聯(lián)交換機(jī)等。硬件信息包括CPU類型、內(nèi)存、顯示、外設(shè)、硬盤分區(qū)及使用率、網(wǎng)卡；軟件及系統(tǒng)信息包括操作系統(tǒng)、服務(wù)進(jìn)程等。以便于落實對計算機(jī)使用的管理，實現(xiàn)定人、定崗、定職能的考核等。節(jié)點計算機(jī)流量統(tǒng)計：統(tǒng)計局域網(wǎng)內(nèi)安裝網(wǎng)管節(jié)點程序的每臺終端計算機(jī)的每月、每天、每小時的流量，有效監(jiān)控計算機(jī)流量的異常變大，防止人為操作對網(wǎng)絡(luò)帶寬的占用。遠(yuǎn)程指導(dǎo)和維護(hù)：通過網(wǎng)絡(luò)對遠(yuǎn)程計算機(jī)的操作進(jìn)行觀察和指導(dǎo)，該操作由于可能涉及到敏感信息，為避免不必要的麻煩發(fā)生，可以采用被控端許可模式、被控端主動模式或被控端被動模式等。發(fā)送短消息、通知或者對違規(guī)操作者進(jìn)行告誡，可以針對某個IP的終端設(shè)備進(jìn)行軟件發(fā)送和升級工作，也可對網(wǎng)上所有的終端設(shè)備同時或定時進(jìn)行批量的軟件分發(fā)和升級工作。服務(wù)器管理內(nèi)容與在本機(jī)的管理一樣方便，服務(wù)器管理主要包括以下內(nèi)容：管理內(nèi)容詳細(xì)描述進(jìn)程管理查看、監(jiān)測服務(wù)器進(jìn)程