网络系统建设实施方案_20101022.doc

兰州大学第二医院网络系统建设实施技术方案东华软件股份公司2010年10月兰州大学第二医院网络建设实施技术方案 东华软件股份公司目 录第一章 网络设计方案概述11.1 方案设计原则11.2 网络设计思路21.3 组方设计方案4第二章 基础网络参数规划42.1 设备名称规划42.2 接口描述规范62.3 VLAN规划72.4 IP地址规划8第三章 网络设备管理规划93.1 设备管理IP规划93.2 设备管理安全规划113.3 NTP协议规划113.3.1 网络时间源选择113.3.2 网络时间服务的工作模式123.3.3 网络NTP设计12第四章 用户接入管理规划12- 1 -第一章 网络设计方案概述1.1 方案设计原则l 模块化设计兰州大学第二医院网络建设项目，共提供一千多个信息点的接入，网络规模较大，网络建成后不同的数据点实现不同的功能，除大部分普通业务数据点如医生站、护士站等外，还存在连接PACS数据中心、HIS数据中心、网管/安全中心等等，其功能的不同决定了不同的数据点对网络的要求和网络设计中考虑的因素不同。当某部分功能要求有所变化时，也只需要针对相应的功能模块进行重新设计和改造升级，对网络的其它组成模块和网络的主干没有任何影响。基于这些优势，南阳市中心医院综合病房大楼局域网的设计采用模块化的设计模式，目前主要考虑：核心交换模块、楼层接入模块、网络安全模块、服务器接入模块和网络和用户管理模块等5大模块进行设计。l 高可靠性网络系统应具有高可靠性、高安全性。除了采用高可靠性的网络设备以外还应考虑物理层、数据链路层和网络层的备份等。l 高性能在兰州大学第二医院网络系统中，不仅要求网络主干是高带宽的，作为一个整体的系统，网络应具有可控的智能化的高性能。也就是说，网络中以太网(100M/1G/10Gbps)连接的节点之间的交换，不管它们的VLAN属性如何，我们都可以控制它在本地交换机交换或通过万兆以太网主干进行交换。l 可扩展性和可升级性系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。l 标准协议支持网络系统应支持标准协议IP，是一个开放型的网络，支持各种协议的互联。 l 易管理、易维护由于兰州大学第二医院网络系统规模较大，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。l 安全性网络系统应具有良好的安全性。由于兰州大学第二医院网络系统局域网为多个用户内部网提供互联并支持多种业务，网络系统应支持多VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。此外，在接入网络的用户通过交换机端口安全特性及IP Source Guard功能，实现IP地址、MAC地址的绑定，保证用户身份的合法性。l QoS保证当今网络中的多媒体的应用越来越多，这类应用对服务质量的要求较高。兰州大学第二医院网络系统应能保证QoS，以支持这类应用。由于网络中多媒体的应用，如Video Conference、IP电话业务、IP数字监控等越来越多，往往会占用大量的带宽资源。所以网络系统应能支持组播业务，以节省主干的带宽。l 符合国际标准选用符合国际标准的系统和产品，可以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。网络建设依据万兆骨干、千兆冗余到楼层，万兆捆绑核心互联的大原则；n 考虑充分的网络平台可靠特性和冗余特性；n 网络协议的标准性和充分的可扩展特性；n 充分考虑局域网安全特性；n 充分考虑网络的高速和高运行效率；n 充分利用现有综合布线资源；n 统一的网络管理。1.2 网络设计思路l 网络系统采用核心层、汇聚层、接入层的三级结构本次楼层交换机共提供一千多个信息点的大规模接入，因此在整网配置两台核心交换机作为整个网络的核心交换节点，避免了单点故障对整网的影响范围，从而提高了整个网络的性能和可靠性。兰州大学第二医院网络系统信息点多、网络带宽需求大，同时又具有信息点地理位置相对集中的特点，为此在办公大楼部署四台汇聚交换机用于连接办公大楼接入层交换机，其它建筑接入层交换机直接连接至核心交换机。l 接入交换机采用万兆/千兆的高性能接入交换机在楼层交换机的选择上考虑采用能提供万兆上行口能力的高性能接入交换机，主要是体现高带宽、高安全的优点：千兆到桌面一个最直接的优点就是带宽大。用户的接入不在只是百兆带宽，现在可以通过千兆直接接入网络，提供10倍于原来的带宽。有了高带宽，应用业务的开展将更为方便与灵活，数据、语音、视频等多种业务在新的高带宽网络中将得到充裕的带宽保证。千兆到桌面之后，同一个楼层内的用户之间可以实现千兆交换，充分发挥网络带宽高的优势，开展多种丰富的IP网络业务，包括数据业务、视频业务等，届时网络带宽问题得到彻底解决，用户业务的开展将不会再为网络带宽不足问题精打细算。l 楼层接入交换机具备双万兆链路扩展能力楼层交换机选择千兆链路还是万兆链路上行将直接关系到楼层接入设备结构和网络交换层次结构的选择。我们需要从三方面进行分析，带宽角度、可靠性角度以及资源的充分利用。过去的经验证明，网络升级的核心驱动力是业务飞速的增长对带宽的需求，考虑到医院的业务系统以PACS和HIS系统为覆盖整个医院的应用主体，对带宽具有较高的要求。目前的接入交换机H3C S5120配置一个万兆上行接口，还有一个空闲插槽用于安装万兆光纤接口或万兆堆叠接口。l 全网采用虚拟化技术弹性智能架构IRF2进行整体规划和部署。弹性智能架构（IRF2）在设备层次上进行虚拟化，将多台物理设备虚拟为逻辑上的单一设备，双核心交换机虚拟化为1台独立设备，两台服务器区交换机虚拟化为1台交换机。实现 1）运营管理简化。虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP，提高运营效率。2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。3）进一步提高可靠性。通过优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。1.3 组方设计方案整个网络方案骨干干链路为万兆链路，保证了整个网络接入层到核心层传输的高带宽。办公大楼四台汇聚交换机通过四条万兆链路连接至核心交换机。整体网络设计在满足医院业务所需的高性能、高可靠、多业务承载特性以外，还应满足安全的需求。网络的建设将促进医院网络的整体性能提高，使业务运转效率提升，保障优质的服务，同时减轻医护人员的工作强度。医院网络不仅接入带宽要求高，而且所要求的设备性能更高，需要网络设备应具有万兆交换和千兆接入能力。同时也需要考虑安全方面的要求，以保障网络不受外界的攻击。网络拓扑图如下：兰大二院网络系统中以新建办公大楼信息点分布数量最多，而办公大楼距离中心机房较远，所以在办公大楼负一层设备间部署四台汇聚交换机，用于办公大楼接入层交换机与中心机房核心交换机之间的数据转发。新建办公大楼包括地上16层，地下2层，共18个楼层，每个楼层设有东、西两个配线间，各配线间均通过一根8芯室内多模光纤连接至负一层设备间，设备间的四台汇聚交换机采用两台一组的方式通过两条万兆光纤进行IRF2堆叠，两组汇聚交换机分别用于东、西配线间的接入交换机连接，每一配线间内的多台接入交换机将分别通过两对光纤连接汇聚交换机，配线间内交换机数量超过2台时，交换机之间通过千兆电口进行级联。第二章 基础网络参数规划2.1 设备名称规划本项目建设中所涉及的网络设备为了管理的方便，需统一全网设备的名称，根据兰州大学第二医院网络系统实际情况，设备名称采用字母与数字相结合的方式编写。设备名称由四部分组成，各部分之间由下划线区分。具体规则如下：字段1_字段2_字段3_字段4字段1用户单位拼音缩写：LDEYY字段2用于标识设备所在建筑物名称。例如：中心机房：ZXJF 办公大楼：BGDL 病房楼：BFL字段3核心设备及汇聚设备，该字段用于表示设备功能，如：核心交换机：CS 汇聚交换机：DS接入层设备，该字段用于表示设备所在楼层，如： 负一楼东：B1E一楼东：F1E 二楼西：F2W字段4如设备为物理设备，则采用两位数字标识网络设备编号（0199）。如设备为IRF虚拟设备，可用“IRF”来表示。根据上述命名规则，本项目网络设备名称设置如下：设备位置设备功能描述设备型号设备名称中心机房核心交换机1H3C S12508LDEYY_ZXJF_CS _01中心机房核心交换机2H3C S12508LDEYY_ZXJF_CS _02中心机房核心交换机IRF堆叠H3C S12508LDEYY_ZXJF_CS _IRF中心机房无线控制器H3C WX3024LDEYY_ZXJF_WX_01办公大楼负一层东区汇聚交换机1H3C S5820XLDEYY_BGDL_DS_01办公大楼负一层东区汇聚交换机2H3C S5820XLDEYY_BGDL_DS_02办公大楼负一层东区汇聚交换机IRF堆叠H3C S5820XLDEYY_BGDL_DS_IRF1办公大楼负一层西区汇聚交换机1H3C S5820XLDEYY_BGDL_DS_03办公大楼负一层西区汇聚交换机2H3C S5820XLDEYY_BGDL_DS_04办公大楼负一层西区汇聚交换机IRF堆叠H3C S5820XLDEYY_BGDL_DS_IRF2办公大楼负1层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_B1E_01办公大楼负1层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_B1W_01办公大楼1层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F1E_01办公大楼1层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F1W_01办公大楼2层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F2E_01办公大楼2层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F2W_01办公大楼3层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F3E_01办公大楼3层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F3W_01办公大楼4层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F4E_01办公大楼4层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F4W_01办公大楼5层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F5E_01办公大楼5层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F5W_01办公大楼6层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F6E_01办公大楼6层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F6W_01办公大楼7层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F7E_01办公大楼7层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F7W_01办公大楼8层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F8E_01办公大楼8层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F8W_01办公大楼9层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F9E_01办公大楼9层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F9W_01办公大楼10层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F10E_01办公大楼10层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F10W_01办公大楼11层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F11E_01办公大楼11层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F11W_01办公大楼12层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F12E_01办公大楼12层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F12W_01办公大楼13层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F13E_01办公大楼13层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F13W_01办公大楼14层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F14E_01办公大楼14层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F14W_01办公大楼15层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F15E_01办公大楼15层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F15W_01办公大楼16层东办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F16E_01办公大楼16层西办公大楼楼层交换机S5120-28C-EILDEYY_BGDL_F16W_012.2 接口描述规范本项目中所涉及的网络设备接口，按类型可分为物理接口和逻辑虚接口，按接口功能，可分为设备互联接口、VLAN网关接口、设备管理接口等。各类型接口的描述规则如下：交换机之间互联VLAN的三层虚接口的描述规则为：TO-对端设备名称-对端互联VLAN ID或物理接口例如：与LDEYY_ZXJF_CS_IRF的VLAN100进行三层互联，表示为： TO- LDEYY_ZXJF_CS_IRF-VLAN100设备之间互联用物理接口描述规则为：TO-对端设备名称-对端物理接口例如：与LDEYY_ZXJF_CS_IRF的Ten1/2/0/1接口连接，表示为： TO- LDEYY_ZXJF_CS_IRF -Ten1/2/0/1用于业务VLAN的三层虚接口描述规则为：业务类型或功能例如：服务器VLAN的三层虚接口，表示为： Server2.3 VLAN规划基于802.1Q协议的VLAN划分可提供4K个可用VLAN，VLAN ID为1-4095。本项目的涉及的VLAN，从功能上可分为业务VLAN、设备互联VLAN、设备管理VLAN三类。根据兰州大学第二医院网络应用需求，对全网业务VLAN规划如下：VLAN ID功能描述网关设备名称1二层设备管理VLANLDEYY_ZXJF_CS_IRF2无线设备管理VLANLDEYY_ZXJF_CS_IRF6服务器接入VLANLDEYY_ZXJF_CS_IRF1119办公大楼1层接入VLANLDEYY_ZXJF_CS_IRF2129办公大楼2层接入VLANLDEYY_ZXJF_CS_IRF3139办公大楼3层接入VLANLDEYY_ZXJF_CS_IRF4149办公大楼4层接入VLANLDEYY_ZXJF_CS_IRF5159办公大楼5层接入VLANLDEYY_ZXJF_CS_IRF6169办公大楼6层接入VLANLDEYY_ZXJF_CS_IRF7179办公大楼7层接入VLANLDEYY_ZXJF_CS_IRF8189办公大楼8层接入VLANLDEYY_ZXJF_CS_IRF9199办公大楼9层接入VLANLDEYY_ZXJF_CS_IRF101109办公大楼10层接入VLANLDEYY_ZXJF_CS_IRF111119办公大楼11层接入VLANLDEYY_ZXJF_CS_IRF121129办公大楼12层接入VLANLDEYY_ZXJF_CS_IRF131139办公大楼13层接入VLANLDEYY_ZXJF_CS_IRF141149办公大楼14层接入VLANLDEYY_ZXJF_CS_IRF151159办公大楼15层接入VLANLDEYY_ZXJF_CS_IRF161169办公大楼16层接入VLANLDEYY_ZXJF_CS_IRF171179办公大楼负1层接入VLANLDEYY_ZXJF_CS_IRF181189办公大楼负2层接入VLANLDEYY_ZXJF_CS_IRF191199无线网络用户接入VLANLDEYY_ZXJF_CS_IRF201220其它建筑物接入VLANLDEYY_ZXJF_CS_IRF2.4 IP地址规划IP地址的使用范围包括三类：业务地址、设备互连地址和设备管理地址，各类地址的使用规划说明如下：业务地址：分配给PC或服务器使用，IP地址段中最小可用地址作为该网段网关，与网关最接近的二个地址保留为VRRP使用，IP地址分配时从小到大分配，如本网段有二层设备需要管理，则从大到小分配管理地址。设备互联地址：用于设备之间的三层互联，采用29位掩码进行子网划分，每段互联地址可提供6个可用IP，前2个用于设备互联，后4个用于VRRP协议或链路上的二层设备管理。设备管理地址：用于二层设备的管理，在使用时建议根据同一网络中网络设备的数量进行子网划分后使用。IP地址分配基于192.168/16网段进行子网划分后分配，业务IP规划如下：功能描述VLAN IDIP地址段网关设备二层设备管理1192.168.0.0/24LDEYY_ZXJF_CS_IRF无线设备管理2192.168.2.0/24LDEYY_ZXJF_CS_IRF应用服务器接入6192.168.6.0/24LDEYY_ZXJF_CS_IRF数据库服务器接入8192.168.8.0/24LDEYY_ZXJF_CS_IRF办公大楼1层接入1019192.168.10.0/24192.168.19.0/24LDEYY_ZXJF_CS_IRF办公大楼2层接入2029192.168.20.0/24192.168.29.0/24LDEYY_ZXJF_CS_IRF办公大楼3层接入3039192.168.30.0/24192.168.39.0/24LDEYY_ZXJF_CS_IRF办公大楼4层接入4049192.168.40.0/24192.168.49.0/24LDEYY_ZXJF_CS_IRF办公大楼5层接入5059192.168.50.0/24192.168.59.0/24LDEYY_ZXJF_CS_IRF办公大楼6层接入6069192.168.60.0/24192.168.69.0/24LDEYY_ZXJF_CS_IRF办公大楼7层接入7079192.168.70.0/24192.168.79.0/24LDEYY_ZXJF_CS_IRF办公大楼8层接入8089192.168.80.0/24192.168.89.0/24LDEYY_ZXJF_CS_IRF办公大楼9层接入9099192.168.90.0/24192.168.99.0/24LDEYY_ZXJF_CS_IRF办公大楼10层接入100109192.168.101.0/24192.168.109.0/24LDEYY_ZXJF_CS_IRF办公大楼11层接入110119192.168.110.0/24192.168.119.0/24LDEYY_ZXJF_CS_IRF办公大楼12层接入120129192.168.120.0/24192.168.129.0/24LDEYY_ZXJF_CS_IRF办公大楼13层接入130139192.168.130.0/24192.168.139.0/24LDEYY_ZXJF_CS_IRF办公大楼14层接入140149192.168.140.0/24192.168.149.0/24LDEYY_ZXJF_CS_IRF办公大楼15层接入150159192.168.150.0/24192.168.159.0/24LDEYY_ZXJF_CS_IRF办公大楼16层接入160169192.168.160.0/24192.168.169.0/24LDEYY_ZXJF_CS_IRF办公大楼负1层接入170179192.168.170.0/24192.168.179.0/24LDEYY_ZXJF_CS_IRF办公大楼负2层接入180189192.168.180.0/24192.168.189.0/24LDEYY_ZXJF_CS_IRF无线网络用户接入190199192.168.190.0/24192.168.199.0/24LDEYY_ZXJF_CS_IRF其它建筑物接入200229192.168.200.0/24192.168.229.0/24LDEYY_ZXJF_CS_IRF每一楼层预留10个C类地址段，建议从1开始分配，如1楼东段IP地址段为192.168.11.0/24，2楼西段为192.168.22.0/24，5楼东西段共用一个网段为192.168.51.0/24，0网段地址预留给本楼层重要服务器或其它网管设备，3-9网段可根据业务需要进行扩展。第三章 网络设备管理规划3.1 设备管理IP规划为实现全网设备的统一管理，需要为设备分配或指定管理IP，由于设备类型、功能的不同，管理IP的配置不相同，不同类型的设备管理IP分配规划如下：二层交换机：二层交换机统一采用VLAN1作为管理VLAN，并按IP地址分配规范指定IP地址。二层交换机所连接三层交换机的VLAN1地址作为二层交换机管理VLAN的网关。设备管理IP规划如下：设备位置设备功能描述设备名称管理地IP中心机房核心交换机IRF堆叠LDEYY_ZXJF_CS _IRF192.168.0.1中心机房无线控制器LDEYY_ZXJF_WX_01192.168.0.2办公大楼负1层东区汇聚交换机IRF堆叠LDEYY_BGDL_DS_IRF1192.168.0.5办公大楼负1层西区汇聚交换机IRF堆叠LDEYY_BGDL_DS_IRF2192.168.0.6办公大楼1层东办公大楼楼层交换机LDEYY_BGDL_F1E_01192.168.0.11办公大楼1层西办公大楼楼层交换机LDEYY_BGDL_F1W_01192.168.0.15办公大楼2层东办公大楼楼层交换机LDEYY_BGDL_F2E_01192.168.0.21办公大楼2层西办公大楼楼层交换机LDEYY_BGDL_F2W_01192.168.0.25办公大楼3层东办公大楼楼层交换机LDEYY_BGDL_F3E_01192.168.0.31办公大楼3层西办公大楼楼层交换机LDEYY_BGDL_F3W_01192.168.0.35办公大楼4层东办公大楼楼层交换机LDEYY_BGDL_F4E_01192.168.0.41办公大楼4层西办公大楼楼层交换机LDEYY_BGDL_F4W_01192.168.0.45办公大楼5层东办公大楼楼层交换机LDEYY_BGDL_F5E_01192.168.0.51办公大楼5层西办公大楼楼层交换机LDEYY_BGDL_F5W_01192.168.0.55办公大楼6层东办公大楼楼层交换机LDEYY_BGDL_F6E_01192.168.0.61办公大楼6层西办公大楼楼层交换机LDEYY_BGDL_F6W_01192.168.0.65办公大楼7层东办公大楼楼层交换机LDEYY_BGDL_F7E_01192.168.0.71办公大楼7层西办公大楼楼层交换机LDEYY_BGDL_F7W_01192.168.0.75办公大楼8层东办公大楼楼层交换机LDEYY_BGDL_F8E_01192.168.0.81办公大楼8层西办公大楼楼层交换机LDEYY_BGDL_F8W_01192.168.0.85办公大楼9层东办公大楼楼层交换机LDEYY_BGDL_F9E_01192.168.0.91办公大楼9层西办公大楼楼层交换机LDEYY_BGDL_F9W_01192.168.0.95办公大楼10层东办公大楼楼层交换机LDEYY_BGDL_F10E_01192.168.0.101办公大楼10层西办公大楼楼层交换机LDEYY_BGDL_F10W_01192.168.0.105办公大楼11层东办公大楼楼层交换机LDEYY_BGDL_F11E_01192.168.0.111办公大楼11层西办公大楼楼层交换机LDEYY_BGDL_F11W_01192.168.0.115办公大楼12层东办公大楼楼层交换机LDEYY_BGDL_F12E_01192.168.0.121办公大楼12层西办公大楼楼层交换机LDEYY_BGDL_F12W_01192.168.0.125办公大楼13层东办公大楼楼层交换机LDEYY_BGDL_F13E_01192.168.0.131办公大楼13层西办公大楼楼层交换机LDEYY_BGDL_F13W_01192.168.0.135办公大楼14层东办公大楼楼层交换机LDEYY_BGDL_F14E_01192.168.0.141办公大楼14层西办公大楼楼层交换机LDEYY_BGDL_F14W_01192.168.0.145办公大楼15层东办公大楼楼层交换机LDEYY_BGDL_F15E_01192.168.0.151办公大楼15层西办公大楼楼层交换机LDEYY_BGDL_F15W_01192.168.0.155办公大楼16层东办公大楼楼层交换机LDEYY_BGDL_F16E_01192.168.0.161办公大楼16层西办公大楼楼层交换机LDEYY_BGDL_F16W_01192.168.0.165办公大楼负1层东办公大楼楼层交换机LDEYY_BGDL_B1E_01192.168.0.171办公大楼负1层西办公大楼楼层交换机LDEYY_BGDL_B1W_01192.168.0.175办公大楼负2层东办公大楼楼层交换机LDEYY_BGDL_B2E_01192.168.0.181办公大楼负2层西办公大楼楼层交换机LDEYY_BGDL_B2W_01192.168.0.1853.2 设备管理安全规划本项目所设计的网络设备所提供的管理方式包括：Console、Telnet、WEB、SSH、SNMP等多种方式。为增加网络安全性，需要对设备的管理方式采取相应的安全措施。Console、Telnet、WEB、SSH管理方式，均采用用户名、密码认证方式对设备管理人员进行认证。同时将用户级别分为普通用户和高级用户，普通用户只能查看设备配置，高级用户具有设备配置权限。对于关键设备，还要通过ACL等方式加以限制登陆用户的IP地址，只允许特定的IP地址管理设备。SNMP协议是设备与网管服务器交互的协议，本项目中采用V2C版本，并设置只团体字“LDEYY”和读写团体字“LDEYY_NM”。SNMP协议开启trap功能，将设备运行中的关键靠警信息，如设备UP/DOWN、链路UP/DOWN等信息以trap方式主动通告给网管服务器。3.3 NTP协议规划NTP 可以为以下应用提供一致性保证：在备份服务器和客户机之间进行增量备份时，确保这两个系统之间的时钟同步；当由多个系统来处理复杂的事件时，确保多个系统参考同一时钟，保证事件的正确顺序；确保系统之间的RPC(远程系统调用)能够正常进行；为应用程序提供用户登录到系统、文件的修改等操作的时间信息。3.3.1 网络时