【正文】 兆鏈路進行互聯(lián)，避免核心設(shè)備單點故障。 考慮到巴州中級人民法院得外網(wǎng)接入用戶數(shù)量和實際使用情況，建議采用H3C S512028CEI作為外網(wǎng)接入交換機用戶提供外網(wǎng)網(wǎng)絡(luò)接入服務(wù)。 巴州中級人民法院接入交換機部署情況序號配線間樓層網(wǎng)絡(luò)信息點數(shù)交換機部署情況備注12144內(nèi)網(wǎng)S512028C（2）S512052C（1）外網(wǎng)S512028C（1）2層配線2496內(nèi)網(wǎng)S512028C（1）S512052C（1）外網(wǎng)S512028C（1）4層配線3696內(nèi)網(wǎng)S512028C（1）S512052C（1）外網(wǎng)S512028C（1）6層配線4896內(nèi)網(wǎng)S512028C（1）S512052C（1）外網(wǎng)S512028C（1）8層配線51096內(nèi)網(wǎng)S512028C（1）S512052C（1）外網(wǎng)S512028C（1）10層配線61296內(nèi)網(wǎng)S512028C（1）S512052C（1）外網(wǎng)S512028C（1）112層配線71496內(nèi)網(wǎng)S512028C（1）S512052C（1）外網(wǎng)S512028C（1）114層配線Vlan規(guī)劃 虛擬局域網(wǎng)（VLAN）的出現(xiàn)打破了傳統(tǒng)網(wǎng)絡(luò)的許多固有觀念，使網(wǎng)絡(luò)結(jié)構(gòu)變得靈活、方便、隨心所欲。同一個VLAN中的成員都共享廣播，而不同VLAN之間廣播信息是相互隔離的。 采用虛擬局域網(wǎng)VLAN主要出于三個目的：用戶隔離、提高網(wǎng)絡(luò)效率；提供靈活的管理；提高系統(tǒng)安全性。A、VLAN部署方式 核心層vlan劃分：核心層主要完成數(shù)據(jù)流的高速轉(zhuǎn)發(fā)，提供負載平衡、快速收斂和擴展性，一般的在大型園區(qū)網(wǎng)絡(luò)核心層，只負責數(shù)據(jù)流的高速轉(zhuǎn)發(fā)和接收匯聚層的數(shù)據(jù)，在園區(qū)網(wǎng)改造項目中，在核心交換機S7506EV、S5528F上部署具體的業(yè)務(wù)VLAN，由于網(wǎng)絡(luò)規(guī)模較小，無匯聚層交換機設(shè)計，直接采用核心交換機Vlan劃分來縮小二層網(wǎng)絡(luò)的規(guī)模，減小了廣播風暴、ARP欺騙等所帶來的不利影響，完成VLAN間路由，并實施VLAN間的訪問控制。B、實現(xiàn)用戶隔離的方發(fā)有兩種：方法一：用Vlan隔離。方法二：利用portisolate技術(shù)，可以實現(xiàn)不同用戶的端口屬于同一個VLAN但是不同用戶之間不能二層互通。路由規(guī)劃 路由規(guī)劃方面，在前期的網(wǎng)絡(luò)規(guī)劃中全網(wǎng)設(shè)備均配置靜態(tài)路由，不便于大網(wǎng)的管理，并且容易導(dǎo)致路由規(guī)劃混亂，難以控制，產(chǎn)生路由振蕩；在一個足夠復(fù)雜的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)連接發(fā)生變化時，路由表的收斂時間應(yīng)小于5秒。我們建議使用OSPF路由協(xié)議。IP地址規(guī)劃 IP地址空間的分配，要與網(wǎng)絡(luò)拓撲層次結(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴展性、靈活性和層次性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還有考慮到網(wǎng)絡(luò)地址的可管理性。2. 網(wǎng)絡(luò)地址的可管理性，地址分配應(yīng)簡單且易于管理，以降低網(wǎng)絡(luò)擴展的復(fù)雜性，簡化路由表。 4. 可擴展性：地址分配在每一層次上都要留有一定余量，以便在網(wǎng)絡(luò)擴展時能保證地址的連續(xù)性；5. 靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間；6. 層次性：IP地址的劃分采用層次化的方法，和層次化的網(wǎng)絡(luò)設(shè)計相應(yīng)，在地址劃分上采用層次化的分配思想。網(wǎng)絡(luò)中心從各二級單位地址標識可以清楚地區(qū)分出IP地址地來源，便于路由匯聚和訪問控制。 一般臨時用戶開機時，從DHCP服務(wù)器獲得IP地址，并可以直接訪問外網(wǎng) 1）核心心交換機支持靜態(tài)或動態(tài)的IP地址分配，并支持動態(tài) IP 地址分配方式下DHCPRelay功能，DHCP SERVER可安放在園區(qū)內(nèi)部。對于服務(wù)器、網(wǎng)絡(luò)設(shè)備互連端口地址、設(shè)備Loopback地址建議使用靜態(tài)IP地址，而且各屬自不同的IP地址段，有利于骨干路由表的簡化與路由的快速處理。劃分子網(wǎng)應(yīng)遵循如下準則：　　　 ；　 　　。假如某院系最多需要8個子網(wǎng)，可以將8個可變位中的3位用來標識子網(wǎng)（使用3個位最多可以表示8個子網(wǎng)），剩余的5位用來標識各個子網(wǎng)上的主機ID（5個位最多可以表示30個主機ID）。IPv4的子網(wǎng)劃分產(chǎn)生了一組子網(wǎng)網(wǎng)絡(luò)ID及與其對應(yīng)的有效IPv4地址范圍。RFC 950要求限制子網(wǎng)號為“全0”和“全1”的使用。 通過劃分子網(wǎng)，系統(tǒng)可以盡可能高效利用可用的地址空間。方法一：用Vlan隔離。方法二：利用portisolate技術(shù)，可以實現(xiàn)不同用戶的端口屬于同一個VLAN但是不同用戶之間不能二層互通。 MAC地址攻擊防范 MAC地址表放置在內(nèi)存中，容量有限，用戶通過不停的發(fā)送MAC地址沖刷MAC地址表，通過MAC地址表溢出來更改MAC與IP地址的綁定，從而重新定向流量(CAM Overflow, macoftool工具)。 DHCP攻擊的防范 使用DHCP Server動態(tài)分配IP地址會存在兩個問題：一是DHCP Server假冒，用戶將自己的計算機設(shè)置成DHCP Server后會與局方的DHCP Server沖突；二是用戶DHCP Smurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光；三是某些用戶自己手工設(shè)置IP地址，不使用SDCP Server分配的IP地址上網(wǎng)，導(dǎo)致可能出現(xiàn)IP地址沖突。 針對DHCP Smurf攻擊，可以在接入交換機上針對DHCP Request報文進行速率限制。 SNMP v3杜絕網(wǎng)管攻擊 網(wǎng)絡(luò)管理員通過Telnet遠程訪問網(wǎng)絡(luò)時，由于Telnet在網(wǎng)絡(luò)中是明文傳輸，容易被竊取管理密碼，采用支持SSH的交換機，可以對Telnet報文進行加密，截獲報文也無法解析密碼。 抑制廣播風暴廣播風暴是網(wǎng)絡(luò)最常見的網(wǎng)絡(luò)問題，針對此情況H3C S5120系列以太網(wǎng)交換機提供完善的廣播風暴抑制功能，提供了針對特定VLAN的廣播風暴抑制比的設(shè)定功能，可對VLAN上收到的廣播流量進行監(jiān)控，當廣播流量的帶寬超過配置的限度時，交換機將過濾該VLAN上超出的流量，保證網(wǎng)絡(luò)的業(yè)務(wù)，使廣播所占的流量比例降低到合理的范圍。一般情況下，對于事件的應(yīng)對可分為3個主要階段：216。 恢復(fù)（recovery）216。 限制（Containment）216。 隔離（Quarantine）216。限制需要將網(wǎng)絡(luò)分段隔離來減慢甚至是停止蠕蟲的繼續(xù)傳播。同樣的在網(wǎng)絡(luò)邊緣設(shè)置入口和出口ACL可以很好的限制蠕蟲病毒的傳播。 系統(tǒng)漏洞型蠕蟲利用客戶機或者服務(wù)器的操作系統(tǒng)、應(yīng)用軟件的漏洞進行傳播，成為目前最具有危險性的蠕蟲。系統(tǒng)漏洞型蠕蟲傳播快，范圍廣、危害大。 紅色代碼(CodeRed)：MS01033，微軟索引服務(wù)器緩沖區(qū)溢出漏洞，利用TCP 80傳播254。 沖擊波(Blaster)MS03026，RPC DCOM服務(wù)漏洞，利用TCP 135 139等等進行傳播254。 ZobotMS0539，windows PnP服務(wù)漏洞，利用TCP 445端口進行傳播大部分的蠕蟲病毒均具有相對固定的傳播端口，H3C公司本次推薦的S5120系列接入層交換機支持L2L4層包過濾功能，我們還可以在接入層交換機上配置ACL，限制蠕蟲病毒傳播的端口，防止蠕蟲病毒的蔓延。限制的目的是使蠕蟲感染速度減慢甚至停止，而免疫的目的是剝奪蠕蟲繼續(xù)傳染的可能。免疫對當前移動辦公的網(wǎng)絡(luò)十分重要，由于便攜機的大量普及，辦公人員很容易拿著便攜機在各個區(qū)域之間穿梭，例如從員工剛剛因為在“不安全”的家里上過網(wǎng)而被感染了，回到“安全”的園區(qū)網(wǎng)絡(luò)上，就會繼續(xù)感染園區(qū)網(wǎng)的其它機器。隔離 隔離過程主要包括追蹤并發(fā)現(xiàn)被感染的機器，然后切斷他們和網(wǎng)絡(luò)的連接。為了防止感染病毒的機器發(fā)送大量的流量，影響網(wǎng)絡(luò)性能，我們可以在接入交換機上針對用戶作速率限制，防止病毒流量侵占網(wǎng)絡(luò)帶寬。治療 所謂治療，就是去除已經(jīng)感染的機器的蠕蟲病毒的過程，如終止蠕蟲病毒進程、刪除任何被修改的文件、恢復(fù)被病毒修改過的系統(tǒng)配置、為系統(tǒng)打上補丁等等。接入層交換機部署ARP入侵檢測 ARP欺騙攻擊不僅導(dǎo)致聯(lián)網(wǎng)不穩(wěn)定，極大影響網(wǎng)絡(luò)的正常運行，更嚴重的是利用ARP欺騙攻擊可進一步實施中間人攻擊。由此可見，中間人攻擊是一種非常惡劣的網(wǎng)絡(luò)惡意攻擊行為。ARP欺騙攻擊就利用了這點，攻擊者主動發(fā)送ARP報文，發(fā)送者的MAC地址為攻擊者主機的MAC地址，發(fā)送者的IP地址為被攻擊主機的IP地址。由于ARP欺騙攻擊導(dǎo)致了主機和網(wǎng)關(guān)的ARP表的不正確，這種情況我們也稱為ARP中毒。如果攻擊者具有轉(zhuǎn)發(fā)能力，在攻擊開始和攻擊結(jié)束是都會引發(fā)一次網(wǎng)絡(luò)中斷，攻擊過程中網(wǎng)絡(luò)速度變慢，網(wǎng)速變慢原因跟發(fā)送大量的ARP流量消耗了帶寬以及其本身處理能力有限有很大關(guān)系；如果攻擊者不具有轉(zhuǎn)發(fā)能力，網(wǎng)絡(luò)出現(xiàn)傳輸中斷，直到攻擊停止及ARP表恢復(fù)正常。 在接入層就是利用接入交換機的ARP入侵檢測（ARP Intrusion Inspection）功能，進行ARP欺騙攻擊防御。DHCP Snooping通過監(jiān)測DHCP報文記錄了用戶的IP/MAC/VLAN/PORT等信息，并形成一個DHCP Snooping綁定表。若ARP報文中的發(fā)送者源MAC、IP匹配綁定表中的內(nèi)容，則認為是合法的報文，允許通過；否則認為是欺騙攻擊報文，就進行丟棄。另外由于ARP欺騙攻擊，經(jīng)常伴隨者發(fā)送大量的ARP報文，消耗網(wǎng)絡(luò)帶寬資源和交換機CPU資源，造成網(wǎng)絡(luò)速度的速度降低。 如果網(wǎng)絡(luò)中的某臺接入層交換機沒有部署ARP入侵檢測，ARP欺騙攻擊就會在該交換機所屬的一個廣播域內(nèi)得逞，這樣在局部范圍內(nèi)會發(fā)生ARP中毒行為，甚至可能會引起中間人攻擊。ARP欺騙防御可以避免網(wǎng)關(guān)設(shè)備的ARP表被攻擊者非法改寫，既避免網(wǎng)關(guān)設(shè)備發(fā)生ARP中毒情況。核心交換機有多種手段可以防御ARP欺騙攻擊。 如圖所示，攻擊者試圖欺騙網(wǎng)關(guān)，告訴網(wǎng)關(guān)用戶C的MAC地址應(yīng)該是攻擊者的MAC地址。 對于前兩種ARP欺騙攻擊防御辦法，比較適用于IP地址、MAC地址、端口、VLAN都相對穩(wěn)定的情況，比如核心交換機只直接連接服務(wù)器，在核心交換機上啟用這種固定MAC方式防止ARP欺騙攻擊還是非常有效的。 主動確認方法，使用起來比較靈活，不會給攻擊者進行ARP欺騙的機會。 同樣為了防止大量的ARP報文形成對交換機的沖擊，核心交換機還需要能夠檢測ARP協(xié)議報文的攻擊行為，并對該攻擊源進行屏蔽。國標：計算站場地技術(shù)條件（GB288789）國標：電子計算機機房設(shè)計規(guī)范（GB5017493）《電子計算機場地通用規(guī)范》（GB/T2887—200）電子計算機機房施工及驗收規(guī)范（SJ/T 3000393）公安部：計算機信息系統(tǒng)實體安全技術(shù)要求低壓配電裝置及線路設(shè)計規(guī)范（GBJ5483）建筑內(nèi)部裝修設(shè)計防火規(guī)范（GB5022295）《建筑物防雷設(shè)計規(guī)范》（GB50057—94）計算機機房用活動地板技術(shù)條件（GB665086）《工業(yè)企業(yè)采光設(shè)計標準》（GB50033—91）《建筑設(shè)計防火規(guī)范》（GB5004—95）計算機房建設(shè)與管理規(guī)范計算站場地安全要求（GB936188）火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范（GB5016698）采暖通風與空氣調(diào)節(jié)設(shè)計規(guī)范（GBJ1987）通風與空調(diào)工程施工及驗收規(guī)范（GB5024397）中國工程建設(shè)標準化協(xié)會標準—《建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范CECS72》低壓配電設(shè)計規(guī)范GB5005495供配電系統(tǒng)設(shè)計規(guī)范GB5005292電氣裝置安裝工程接地裝置施工及驗收規(guī)范 GB5016992環(huán)境條件及相關(guān)指標溫濕度（開機時）：房 間溫 度相對濕度溫度變化率A級機房22℃177。噪音：主操作員位置＜65dB。照度：主機區(qū)＞400Lx；應(yīng)急照明≥50Lx。無線電干擾場強：≤126Db1磁場干擾強度： 主機區(qū)≤800A/M以上工作指標將通過機房裝飾材料的選用、機房空調(diào)的選用、抗靜電措施的施行等各種技術(shù)手段的綜合利用予以實現(xiàn)。機房是計算機網(wǎng)絡(luò)系統(tǒng)信息交流和日常業(yè)務(wù)的數(shù)據(jù)處理中心，對安全性、可靠性和可管理性的要求較高，其裝飾宗旨是在保證先進系統(tǒng)正常運行的基礎(chǔ)上，同時保證工作人員的工作環(huán)境舒適健康，并符合用戶的建設(shè)思想，所以整體的設(shè)計格調(diào)為：簡潔明快，色彩協(xié)調(diào)，格調(diào)高雅，區(qū)間劃分明確。 2．延長設(shè)備的使用壽命。 4．保證場地工作人員的身心健康。 機房的組成是依據(jù)各功能房間的性質(zhì)、任務(wù)、業(yè)務(wù)量的大小，工作設(shè)備類型及管理體系而定，各功能室的平面布局要考慮到系統(tǒng)各設(shè)備對環(huán)境要求的差異、數(shù)據(jù)處理的工藝流程、操作人員的行走路線等因素。 此次巴州中級人民法院項目，計劃設(shè)計一間主機房一間設(shè)備機房。隨著現(xiàn)代科技的發(fā)展，室內(nèi)環(huán)境的設(shè)計已經(jīng)不滿足傳統(tǒng)的簡單、生硬的設(shè)計，現(xiàn)代空間的設(shè)計不僅在視覺上加以延伸，而且根據(jù)企業(yè)的特點，除注重環(huán)境裝飾外，更注重于內(nèi)部全系統(tǒng)的建設(shè)，以技術(shù)數(shù)據(jù)為依據(jù)建造一個符合特定環(huán)境的空間，突出空間的舒適、保密和現(xiàn)代科技的巨大發(fā)展及裝飾文化的精神內(nèi)涵。 計算機機房裝修設(shè)計主要利用當代裝修新技術(shù)、新工藝、新材料、新機具，協(xié)調(diào)多個專業(yè)，考慮機房裝修的特殊性，同時要滿足各種規(guī)范要求，為設(shè)備系統(tǒng)的安全、可靠、正常運行、延長使用壽命提供合適穩(wěn)定的環(huán)境，同時為工作人員創(chuàng)造一個舒適、典雅、環(huán)保的工作環(huán)境。做到專業(yè)的設(shè)計，一流的設(shè)備，精心的施工，以確保本機房質(zhì)地高雅，精致，線條流暢，具備現(xiàn)代數(shù)據(jù)機房風貌的整體品質(zhì)。為了機房內(nèi)設(shè)備的安全，所有機房與外界連接的墻體的縫隙區(qū)（天花上與地板下）管線槽接口處均以水泥沙漿堵塞，以防止蟲、鼠進入機房。吊頂內(nèi)做防塵處理，不起