云宵县检察院计算机网络系统设计方案2016年.doc

云宵县检察院计算机网络系统建设方案建议书XXXX 公司2016年 06 月目录1 需求分析U.3U1.1 建设目标U. 3U2 设计方案U. 4U2.1 设计思路和原则 . .4U2.2XX院内网设计方案U .5U2.2.1 内网网络结构U .6U2.2.2 设备选型依据U .7U2.2.3 各层次设计U .7U2.3 外网网络方案设计U .21U2.3.1 外网DMZ区设计U .25U2.4 内外网出口防护统一解决方案VPNIPSFWU .25U2.5 内外网安全隔离和数据交换U .36U2.6 检查院专网数据中心设计方案U .37U2.6.1 数据中心架构建设U . 37U2.6.2 思科数据中心方案优势U . 45U2.7 整网信息安全设计建议U .47U2.7.1 设备级安全设计U .47U2.7.2 网络级安全设计U .47U2.7.3 系统级安全设计U .49U2.8 IP语音系统方案建议U .55U2.8.1 平台总体建议U .56U2.8.2 IP语音方案同传统PBX的比较U.59U2.8.3 思科方案优势U . 61U2.8.4 思科IP电话智能终端U .62U2.1 无线接入网络设计U .630B1 需求分析2B1.1 建设目标云宵县检察院信息化建设是是科技强检的重要组成部分，也是检察工作改革的重要内 容。信息化建设是一项技术要求较高的系统工程，所以 云宵县检察院在信息化建设中要注重经 实用、高效，高起点建设，高水平设计，高技术配置。对于信息化的建设基础网络起着 至关重要的作用，基础网络的设计规划将决定着未来科技信息化的整体框架，所以基础 网络的高标准要求将至关重要。云宵县检察院在信息化建设要树立“规范统一”的思想，在局域网建设、专线网建设上， 统一规划、统一技术标准、统一规范、统一管理，做好协调、配合工作，力求建设规范 有序、高效率。不重复、不浪费，运转良好、快速、保密。目前 云宵县检察院的机构设置日趋完善，部门之间职责范围的划分更加科学、合理、规范， 基本适应了社会发展和形势任务的需要。近期我院将迁移至新址办公，进一步改善业务 处理能力和提高办公效率，以贯彻“科技强院”的工作方针。为了按照“积极建设，重在应用”的工作思路，我院将在新址大楼构建一个新的高 效办公信息化网络平台，以实现了对内与职能管理相结合、对外与司法公信力建设相结 合。1B2 设计方案3B2.1 设计思路和原则（1）网络信息化建设总体原则市 云宵县检察院信息化建设的指导方针是：统筹规划，规范标准，深化应用，注重效益，安全 保障。网络信息系统建设还要遵循以下基本原则：通盘考虑原则：站位要高，从业界发展的趋势入手，按照科学的设计框架，兼 顾成熟性和先进性，通盘考虑信息系统网络的各级建设；投资保护原则：要充分考虑与现有资源整合，实现投资保护；安全性原则：在网络设计中充分考虑安全因素，从各个层面充分考虑网络安全、 系统安全、信息安全的规划和设计。从而对 云宵县检察院提供一个相对安全的系统平台。可扩展性原则：网络不仅要满足近期的需要，还要前瞻性的考虑业务需求的增 长和业界发展的总体趋势，在需要的时候可以平滑升级；能够平滑支撑 IP 语音、视频应用的融合和部署。可靠性原则：鉴于 云宵县检察院的重要职能和对信息及时性的较高要求，信息网作为 支撑整个系统运行的基础实施必须非常可靠；所采用的产品和技术必须具有一 定程度上成熟可靠性。网络必须具备高安全性和高稳定性。整个网络应有足够的冗余备份设计，包括链路冗余、设备冗余、模块冗余和数据冗余备份等，提高网络的容错能力，减少单点故障。经济性原则：在完成预定功能的情况下，结合实际信息化程度采用最为经济有 效的方案，尽量节约项目投资；创新性原则：在设计和建设过程中积极开拓思路，不墨守成规，创造性地解决 问题；系统结构设计、系统配置、系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。共同建设原则：为保证项目的成功，需要处理好与省 云宵县检察院专网和下属单位互 联网络的关系。云宵县检察院新网络建设后要能够为院工作的智能化、自动化提供一个高可靠、高性能的信息 平台，彻底改善办公、办案条件，为完成日益繁重的工作任务提供了强有力的物质保障。（2）网络信息化建设总体思路市 云宵县检察院新网络共分为内网和外网两套物理隔离网络，专网用于 云宵县检察院 OA 办公应用和上下级单位业务专网互联，外网用于日常互联网访问等业务。内部网络平台是承载整个公检法 网络信息系统运行的硬件平台，承载业务较多，QoS 服务质量和网络安全要求很高。网络规 划设计要保证能与现有网络兼容并对接，确保网络功能有效实施。同时 云宵县检察院内网需要与上 下级 云宵县检察院内网互连，与外部网络实行物理隔离，要求能够满足整个大楼各个办公室之间高 速、安全、保密的信息交互与内部信息发布和数据共享，能够满足现有和未来发展的政法信 息服务和内部办公自动化的要求，形成一个智能化综合信息平台，可整合广播、数据、视频、 监控等应用，实现多网合一的高效办公网。网络区域将对业务区域进行的合理划分、管理、 安全以及与广域网网络的链接规划，同时也设计对部分区域的无线访问解决方案。外网网络结构本着经济、简单、安全、逻辑性、扩展性强的原则进行设计。网络核心交 换机采用单台设计，要求具有较好的扩展性以及高稳定性、高性能特点。考虑到外网数据流 量模型主要用于桌面终端到互联网的访问特点，整体网络采用千兆光纤骨干(接入核心)， 百兆桌面接入的方式，考虑到外网每个配线间信息点较少，接入交换机可采用级联方式连接 中心机房。公网出口能够提供独立的安全防护边界，除了提供外网安全防火墙功能外还可对 外提供 IPSEC VPN 和 SSLVPN 访问功能。要将网络可能存在的风险隔离到最小的区域。对外 的网络出入口需要有足够的网络安全手段，例如防止病毒、垃圾邮件攻击等。4B2.2XX院内网设计方案根据院建筑设计结构图（A、B 两个楼体中间通过联体相连），结合先进的以太网技术特 点以及办公应用在数据访问流量方面的特点，内网总体网络结构采用扁平化层次化结构，通 过接入层设备直接连接核心的两层架构，保证网络的最优化设计，提供最小的数据交换延时 和最高的吞吐带宽。核心采用冗余设计，考虑统一集成安全方案，实现对内网重要区域和应 用系统的隔离和防护，对网络流量能够提供硬件智能检测分析，图形化管理。楼内内网主干 网络采用万兆光纤以太网技术，核心和接入通过多模万兆光纤介质互连。按照信息点密度的 不同将每 2/3 层信息点集中在一个楼层内形成楼层配线间，每个配线间设备直接双连接到骨 干核心交换。内网网络终端采用千兆以太网技术，提供至少 1000M 交换到桌面的接入方式。 各配线间接入层设备为了减少单点故障和链路性能瓶颈的因素，建议万兆直连到核心。12B2.2.1 内网网络结构市 云宵县检察院内网基础网络架构如下图所示：对于核心交换层和接入层的网络设备功能描述如下：1. 核心层：提供高速的三层交换骨干思科 6509E 旗舰级万兆多业务智能路由交换平台 核心层不实施影响高速交换性能的 ACL 等功能。 核心层能够提供很好的多业务并发处理能力。 核心层应提供对网络的感知和自愈能力，如能够根据设备状态或链路质量进行自愈(IP SLA). 核心层做为数据交换中心，除了提供高性能高可靠的平台外，还提供集成安全、应用加速、语音视频优化等多业务处理。2. 接入层：提供 Layer 3 的网络接入，思科 3560E 万兆全三层智能路由交换机 接入层设备能根据实际使用情况具有逻辑隔离功能，具有相对独立性和扩展性； 接入层能够实现对各种终端的智能识别； 接入层设备能够很好的隔离二、三层攻击 接入层设备能够支持 QoS、组播、限速等业务处理能力。 本功能区 VLAN 间的路由. 各功能分区 IP 地址或路由区域的汇聚. 部署功能区内、功能区之间的安全访问策略 如 ACL 等。 能够隔离来自接入终端的不安全隐患，如 ARP 攻击、地址盗用等。3. 核心路由：作为广域网汇聚 思科 7600 万兆智能路由平台 提供各种广域网接口类型，支持万兆平台 高密度端口接入能力，汇聚各地市单位上联链路。 集成多种硬件服务功能，并发处理各种网络服务。 具有极高的可靠性和应用广泛性。 能够实现对链路状态智能识别，能够完成自愈管理。 支持各种路由协议，设备可灵活扩展和升级。13B2.2.2 设备选型依据网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运 行。整个网络应有足够的冗余，设备在发生故障时能以热插拔的方式在最短时间内加以修复。 可靠性还应充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。关键设备如核心和汇聚应该具有智能网络分析和自愈能力，能够在自身或网络发生问题 的时实现自动修复和保护能力。网络设备应该选用国际知名厂商，同时要求产品厂家具备短期响应的能力，能够提供专 业的售后支持服务，以保证在设备发生故障的情况下能够在最短的时间内为用户解决问题。 产品的备板、备件也要较为充足，以保证在用户硬件出现问题时能够及时更换，保护用户原 有投资。结合 云宵县检察院信息化平台的建设思路，网络设备的选择需要考虑整体方案的完整性和扩展 性，思科做为全球网络方案的提供商，其产品和解决方案都是业界最完善和优质的，其有线 网络、无线网络、IP 语音通讯、IP 视频通讯的统一解决方案处于业界绝对领先水平，其产品 品质、品牌信誉和产品生命力都是毋庸置疑的。14B2.2.3 各层次设计25B2.2.3.1 核心交换层设计核心层不仅担负着院内部各系统之间的高速数据交换，同时也是整个 云宵县检察院业务服务的 数据核心，在进行核心层设计时必须强调大容量的交换性能和高可靠性，同时也要考虑到数据中心的功能要求和业务扩展能力。因此我们采用双核心结构构建设市 云宵县检察院网络核心层。我们在核心层设计时，充分考虑了系统的扩展性和成本投入高效性，故我们提出两种核心架 构的解决方案。我们推荐核心交换机采用两台思科旗舰型高性能交换机 Catalyst 6509，通过万兆链路相 连，组成整个 云宵县检察院内网的核心，核心层与汇聚层之间采用双千兆光纤链路，构成具有高转 发能力和高可靠性的网络骨干。在核心层选择思科旗舰型交换产品 6509 除了其高性能和高稳定性之外，我们主要是考 虑到部署 6509 交换机可以将整个内网核心设计成一个统一、高效、智能的业务综合服务平 台和数据中心。思科的 6509 交换机可以提供：1.高密度线速万兆端口为数据中心提供高性能平台2.高可用性 软件系统模块化、业务系统智能感知、自我诊断和自我修复3.多业务处理平台可集安全防御、负载均衡、应用加速、业务虚拟化等高性能处理模块为一体，简化网络结构提高运维效率。4.系统虚拟化核心完全虚拟化成单一逻辑中心，减少由于网络设备变化、配置变化等导致的网络恢复和管理时间，进一步提高系统性能和稳定性。核心交换机对于整个网络来书是非常重要的，我们利用思科公司的旗舰型核心交换机领 先的技术特性VSS (虚拟交换系统)技术，将核心建造成一个虚拟化高效的平台。核心两台 6509 通过 VSS 技术 形成一个万兆核心，对于用户管理和接入层设备完全是一个逻辑单元，具有一个 IP 管理和 MAC 地址的特点。可以提高整体性能和可用性，如可以 减少由于部署二层网关协议 VRRP 或 HSRP 进行主备切换是的网络终端问题等。26B2.2.3.2 服务器区设计关键业务服务器直接通过两条千兆链路连接两台核心交换机，这两条链路捆绑，这样不 但可以充分利用 VSS 的功能，两条链路捆绑，性能加倍且可靠性高，无需服务器和系统的额外协议支持。而且直接连接核心交换机，服务器可以更高效率和性能的提供服务，因为服务器交换机的上联只有 2 个或者 4 个千兆，而这样，单台服务器就可以有 2 个千兆的上联性能。 在服务器区域分为多个子网，子网的划分可初步按照业务应用情况和数据库与其他应用服务器分开相结合的设计来考虑服务器区域子网的划分，划分子网可以减少广播风暴而且还 可以利用访问控制列表 ACL 部署相应的策略提高服务器区域的安全性。27B2.2.3.3 接入层设计接入层是网络的接入边界，负责将各种终端连接到网络中去，同时需要高速向上连接核 心交换设备。接入层需要规范网络访问行为，在网络的访问功能和管理功能中具有重要的作用。 接入交换机采用思科高性能 3560E 万兆三层路由交换机，提供全千兆多层交换接入万兆上联能力的交换机，支持硬件组播处理，单机能处理多达 1000 多个组播项，对于未来开展 组播业务提供非常高效可靠的平台。另外思科 3560E 还完全支持硬件 Ipv6 和 MPLS 的处理 能力，对未来业务增值服务提供有效保障。通过 3560E 的端口高性能 ASIC 芯片可以将入口 速率限速精度提高到 8kbps，为 QoS 和病毒防治提供了很好的硬件处理能力。做为接入层设备除了能够承上启下提供高性能链路枢纽之外，还能够提供各种业务处理 和安全管理功能：高级安全特性：接入交换机支持 802.1x、访问控制列表(ACL)、Secure Shell(SSH)协议、动态 ARP 检测(DAI)、源 IP 防护和专用虚拟 LAN(PVLAN)等安全特性，可增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性，网络管理员可防止对于服务器或应用的未 授权访问，允许不同的人能以不同的许可权来使用同一 PC。基于硬件的组播：支持 PIM（密集和疏松模式）、IGMP。高级 QoS：集成的基于第二到四层的 QoS 和流量管理功能，在 32000 个 QoS 策略条 目的基础上，对关键任务和时间敏感型流量进行了分类和优先排序。汇聚层交换机可以利用 基于主机、网络和应用信息的入口和出口策略控制器机制，对高带宽流量进行整形和速率限制。全面的管理：交换机为所有端口的配置和控制提供了基于 Web 的管理功能，因而可以集中管理重要网络特性，如可用性和响应能力等。接入层集成安全特性：在接入层完全杜绝第二层安全问题 由于任何用户都可以访问任何以太网端口，而且可能成为潜在的黑客，因此，开放园区网不能保证网络安全性。因为 OSI 模型允许不同通信层次在相互不了解的情况下配合工作， 所以第二层安全性至关重要。即使某个层次遭到攻击, 网络安全特性遭到袭击，其它层次也 可以不受影响。通信可以照常进行，任何用户都意识不到其应用层信息曾遭到过袭击。第二层交换环境一般部署在配线间中，很容易成为安全袭击目标。第二层最常见的安全 威胁之一，也是最难检测到的威胁之一，是旨在使网络瘫痪，或者盗取密码等网络用户的敏 感信息的网络袭击。这些袭击将非法利用正常协议处理，例如，交换机通过地址解析协议（ARPRFC 826）或动态主机控制协议（DHCP）服务器 IP 地址分配来学习 MAC 地址，执行 终端工作站 MAC 地址解析等。常见的第二层安全威胁 随着互联网上基于菜单的黑客工具的流行，发动安全袭击需要的技能越来越少。最常见、破坏力最大的袭击包括：MAC 地址泛洪DHCP 服务器欺骗利用 ARP 发动的“中间人” 袭击IP 主机欺骗值得重视的是，虽然使用 IEEE 802.1x 和访问控制列表等验证和安全特性是网络威胁防御策略的重要组成部分，但不能预防上述第二层安全袭击，因为通过验证的用户仍有可能具 有恶意袭击倾向，从而容易地发动上述袭击。利用交换机集成式安全特性，可以轻松地预防这些常见的第二层安全威胁。各种威胁和防止网络遭受袭击的安全特性如下：U(1)MAC 地址泛洪MAC 地址指主机设备的物理地址。交换机的正常行为是在地址表中填写每个到达包的源地址和端口。去往未知目标 MAC 地址的帧由 VLAN 上的每个端口发出。这就是交换机或 桥接器在第二层执行转发、过滤和学习机制的方法。交换机具有固定的内存空间存储 MAC 地址。试图造成该表泛洪或溢出的袭击将利用交换机内的在 MAC 地址学习功能和转发行为。这种袭击将利用这种自然硬件限制，向交换机发送海量未知 MAC 地址，让交换机学习。 但是，一旦达到了第二层转发表的极限，包就会泛洪到 VLAN 的所有端口，使黑客能够通过 交换网络盗取网络连接，进而破坏网络性能。预防端口安全特性是一种动态特性，可用于限制和识别允许访问同一物理端口的站点的MAC 地址。当某端口分配了安全 MAC 地址，或者动态学习完成之后，端口将禁止转发该源 地址范围之外的包。通过端口安全特性限制交换机端口上允许的 MAC 地址的数量，有助于 防止网络遭受 MAC 地址泛洪袭击。U(2)DHCP 服务器欺骗和中间人袭击网络袭击者通常使用恶意 DHCP 服务器发出 IP 主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量，从而窃取这两个端点之间的所有流量。因此，这种袭击也称 为中间人袭击。预防: DHCP 监听所有第二层端口都可以支持思科已获专利的 DHCP 监听特性。该特性能够为合法 DHCP服务器规定可信端口，使之接发这些服务器的 DHCP 请求和信息。截获 VLAN 中的所有 DHCP 消息后，交换机可以作为用户与合法 DHCP 服务器之间的小 型安全防火墙。U(3)基于地址解析协议（ARP）的中间人攻击 地址解析协议（ARP）的最基本的功能是允许两个站点在 LAN 网段上通信。攻击者可能会发送带假冒源地址的 ARP 包，希望默认网关或其它主机能够承认该地址， 并将其保存在 ARP 表中。ARP 协议不执行任何验证或过滤就会在目标主机中为这些恶意主机 生成记录项，从而提高了网络易损性。目前，恶意主机可以在端点毫不知情的情况下窃取两 个端点之间的谈话内容。攻击者不但可以窃取密码和数据，还可以偷听 IP 电话内容。预防: 动态 ARP 检测这种攻击可以通过已获专利的思科安全特性动态 ARP 检测（DAI）有效预防，这种方法能够保证接入交换机只传输“合法”的 ARP 请求和答复。DAI 能够截获交换机上的每个 ARP 包，检查 ARP 信息，然后再更新交换机 ARP 高速缓存，或者将其转发至相应的目的地。 U(4)IP主机欺骗IP 地址欺骗攻击者可以模仿合法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗。互联网蠕虫可以使用欺骗技术隐藏攻击原发地。预防: IP 源防护利用 IP 源防护特性，攻击者将无法冒用合法用户的 IP 地址发动攻击。该特性只允许转发有合法源地址的包。28B2.2.3.4 出口路由层设计在市 云宵县检察院内网广域网出口位置部署一台思科万兆电信级多业务路由器，该核心路由器 处于网络的出口的核心位置，是市检查院广域网互联平台系统业务的集中汇聚点，负责上联 省院下联县级单位，承担及实现整个广域网络数据的处理与转发，所以它的可靠性和稳定性 是整个备份网络良好运行的关键。因此，在选用网络核心主干层设备时应该考虑到设备的实 用性、成熟性、先进性、可靠性、扩展能力以及安全性等方面。我们此次选用了思科电信级 的核心路由器 7600 做为省高法核心业务路由器，该路由器标准配置了 8 个 1000M 端口用 于连接县级下属单位和与其他网络设备互联，该核心路由器除了具有大规模应用案例及良好的用户口碑之外，还具有以下特点：z提供丰富的业务高品质 QoS 能力，是网络业务的重要技术基础。核心路由器要能实现智能业务感知， 提供先进的队列调度算法、SARED 拥塞控制算法，精确保证不同业务的带宽、时延和抖动， 满足不同用户、不同业务等级的“区分服务”要求。核心路由器对多种业务提供硬件处理能力，具备高性能的业务能力，提供全面的 MPLS VPN 业务，能作为高性能 P/PE 应用，提供高品质、安全和多层次的 MPLS VPN 解决方案；提 供高性能组播能力。该设备支持各种类型广域网口（POS/CPOS 和 E1），具备硬件处理多业务的能力，标准 配置就可提供流量统计(Netflow)、QoS、MPLS、IPv6、NAT 等专用硬件处理芯片，还可以通 过选配各种安全服务模块实现安全隔离(防火墙、入侵防护、VPN)、应用加速等。z路由处理能力此次市级节点核心路由器采用单机双引擎、双电源配置，整机性能达到 32Gbps，同时 建议再配置一个 24 个 1000M 光纤三层以太网接口，用于扩展连接其他和设备。同时整机具 有万兆扩展能力，未来可仅通过平滑升级引擎将整机性能提升至少 20 倍。路由协议方面完 全支持 RIP、OSPF、BGP、ISIS 等单播路由协议和 IGMP、PIM、MBGP、MSDP 等多播路由协 议，支持路由策略以及策略路由。对与组播和 IPv6 的高级应用实现完全硬件处理，保证多 种业务的综合处理能力。29B2.2.3.5 子网划分VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采 用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个 VLAN 组成一 个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络 用户加入到一个逻辑子网中。使用 VLAN 具有以下优点： 控制广播风暴和基于链路层的攻击一个 VLAN 就是一个逻辑广播域，通过对 VLAN 的创建，隔离了广播，缩小了广播范围， 可以控制广播风暴的产生，并把基于数据链路层的攻击限制在所属 VLAN 中，。提高网络整体安全性通过路由访问列表和 MAC 地址分配等 VLAN 划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同 VLAN，从而提高交换式网络的整体性能和安全性。网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用 VLAN 技术的网络来说，一个 VLAN 可以根据部门职能、对象组或者应用将不同地理位置的网络用 户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子 网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护 费用。在一个交换网络中，VLAN 提供了网段和机构的弹性组合机制。市检查院 VALN 划分原则为：数据中心和每个处室分别为一个 VLAN。VLAN 间的访问规 则通过接入层交换机实现。30B2.2.3.6 路由设计对于规模较大的网络，选择一个合适的路由协议非常重要。路由协议包括两类：静态路 由协议和动态路由协议。市检查院专网路由协议的选择从管理和技术两个方面综合考虑，路由协议选择的基本原 则是：1、管理层次分明，局部的路由变动不影响上层路由配置和全局路由配置；2、路由技术的应用尽量简单、灵活，以提高路由器的处理效率。 市检查院专网考虑到其网络结构简单、稳定，线路可靠等因素，市检查院专网采用静态路由协议，并在适当位置进行手动路由汇总。31B2.2.3.7 网络管理设计配置一套智能化网络管理平台，在统一设备资源和用户资源管理的平台框架的基础上， 实现的基础业务管理平台，包括基础网络管理和基本接入管理。基础网络管理，涵盖了传统 网管的主要功能，包括告警管理、性能管理、拓扑管理等。基本接入管理，主要管理用户的 接入准入和控制。智能网络管理平台和 ACL、Qos、VLAN 等网络资源管理一起构成了承载其他业务的基础 平台。网络管理是网络组建中不可缺少的重要组成部分。一个良好的网络管理系统可以帮助用 户在很大程度上优化网络结构、预防和及时排除故障，减少网络的维护费用。针对网络的具体情况，我们建议采用 CISCO WORKS2000 管理工具集 CiscoWorks2000 是基于 Internet 的网络管理工具，它将传统路由器和交换机管理的最佳功能与基于 Web 的最 新技术于一体。既充分利用了现有工具和设备中内置的管理数据，也为快速发展的大型网络 提供了新型网络管理工具，尽管它是 CISCO 的产品，但却能与多厂商管理工具结合使用。思科智能网络管理平台 Cisco Works LMS 的基本资源管理管理特性主要包 括：一、网络资源管理-RME要管好任何规模的网络，首先应掌握本网络系统内的各种资源，包括路由器、交换机等硬件设备和这些设备所运行的软件（IOS）和配置文件。这就需要 Resource manager Essentials（RME），它包含在 CiscoWorks2000 的 LMS 工具中。RME 是基于 Web 的网管工具，用于管 理路由器、访问服务器和交换机。RME 的浏览器界面允许网管员很容易的收集关系到网络 可用性和可靠性的信息，从而简化了网管工作中大量费时的管理任务。RME 包括了几个主 要的应用程序：（1）库存管理（Inventory） 网管员可用此程序收集网络中网络设备的分布状况和详细的软、硬件配置清单。RME通过内 置的网络设备配置查询功能，可以定期扫描网络中的每台Cisco网络设备，读取其配置信息， 这些配置信息被存储在一个中央管理数据库中，有了这个全网设备的配置数据库，网管员 就可以准确了解到网络中所有设备的配置状况，并及时发现配置的变更情况。（2）软件管理RME中有一个Software Management管理模块，能针对一台或多台Cisco网络设备进行自动的操作系统升级。管理员只需简单地设置好需要升级的操作系统版本和升级时间，RME就可以自动地帮助管理员对大批量的Cisco网络设备进行IOS升级，如在升级过程中出现故障或错误还可以向管理报警，这也降低了网管员的工作强度，降低了维护成本。（3）配置管理 从网络设备中读取配置文件并归档；设备存储的配置文件与设备当前运行配置文件的比较，自动找出差别；可先在网管机上面编辑配置文件，再将编辑好的配置文件发送给网络 设备，免去了现场配置的麻烦。（4）变化审计服务 可生成针对设备变更的记录报表，检查网络中所有设备变化，配置修改、设备软件的变化情况，将报表转存为文本文件输出。（5）系统日志（syslog）分析将库存设备发送给网管机CW2000的syslog信息生成报表，将报表转存为文本文件输出。（6）可用性管理 可报告设备的可达性、接口状态、和反应时间等信息，并可重点监视关键设备可用性。二、网络资源监控-CiscoViewCiscoV iew 是一个基于图形化的设备管理应用软件，它包含在 LMS 工具中，为 Cisco 的 交换机、路由器提供动态的状态、统计以及全面的配置信息。CiscoV iew 以图形方式显示 Cisco 设备的物理视图。而且，这种基于 SNMP 的网络管理工具还提供针对单个端口或整个设备的 监控功能和基本的故障诊断功能。由于 CiscoV iew 将 CISCO 设备以图形化方式显示，网管员 可更直观的了解网络设备产生的大量管理数据，诸如设备性能、信息流、使用率、收发的帧、 错误和其它设备状态指示等关键信息与数据，这些都可以是图形化实时监控与跟踪；能够进 行配置更改，如陷阱、IP 路由、VLAN 和桥接配置；CiscoV iew 中有阈值管理程序，使网管员 能够在预定义情况发生时定义告警条件和监控程序，这样就降低了管理开销并缩短了排除故 障的时间。三、网络性能监视-IPMIPM（InternetWork Performance Moniter）可监视并分析网络响应时间和可用性。网管员应及时掌握网络的健康状况和使用情况，通过 IPM，网管员不必坐等发生故障后再去救火， 而可以主动解决网络响应时间的利用率上的问题，给用户提供实时和历史数据的报告。利用 IPM，可以使 CiscoWork2000 管理从 VPN 到广域网的所有网络环境；IPM 采用基于 JAVA 的技 术，提供 Web 管理接口，管理人员和普通用户都可以通过 Web 浏览器查看响应时间和网络 可用性的各种信息；IPM 可以输出日报、周报、月报，IPM 支持多个用户同时对 IPM 服务器进行访问。I n t e rn e t w o rk P e r f o r m a n c eM o n i t o r 生 成 的 网 络 延 时 统 计 报 告 25 四、网络故障管理-DFM当网中出现影响业务正常运行的故障时，DFM 能及时监测到故障的发生，并根据故障对网络业务的影响程度向有关的网管中心发出实时的故障报警。网络管理员在收到报警后应 能迅速定位和分析出现故障的准确位置，并可根据故障管理系统的指引找出故障的解决方 案。五、园区网管理- Campus ManagerCampus Manager(CM)的主要功能是：建立局域网的二层拓扑图(CDP 自动拓扑发现要严格限定在局域网内)； VLAN 管理：在实际环境中通过 VLAN 管理功能实现局域网的 VLAN 管理。 路径分析管理：通过此功能分析两个 IP 节点之间 IP 流量穿越的第二层路径和第三层路径，将显示结果与实际状况加以比较。 用户跟踪管理：通过此功能显示所有的终端节点（即所有具有 MAC 地址并接入网络中的 PC、服务器、打印机、IP 电话等），在显示结果表格中通过 MAC 地址、IP 地址、VLAN 等 信息寻找主机。一般来说，网络管理提供的是一种服务，它通过一系列的工具、程序和设备，帮助 管理人员监视和维护网络运行，以及为网络系统的规划提供网络层和应用层的可靠数据。在 日常的网络管理过程当中，经常包含下面三个过程：安装配置和更改配置、网络监视和故障 诊断、网络设计和优化。网络管理提供的不只是一个网络管理平台，而是基于全线网络设备的一系列系统管 理软件。网络管理系统必须实现比如设备面板监控、配置管理、设备软件升级管理、QoS 服务质量管理等，以及许多现代网络中必备的技术管理，如 VLAN 管理、访问控制管理等功 能。为用户提供强大的网络管理、分析和规划手段。5B2.3 外网网络方案设计外部网络连接主要有 Internet 连接专线、1 个外部服务器网络。所有网络使用防火墙连 接到内部核心交换。防火墙上分有内部、DMZ、外部、等多个区域。外网网络结构本着经济、简单、安全、逻辑性、扩展性强的原则进行设计。网络核心交 换机采用单台设计，采用一台思科 4500E 做为外网交换核心，思科 4500E 具有较好的扩展性 以及高稳定性、高性能特点。采用了 CenterFlex 技术的 Cisco Catalyst 4500 系列交换机能 够通过安全、灵活、不间断的通信，提供可以扩展的无阻碍 L2L4 层交换，从而保障关键业 务应用的永续性。由于 Cisco Catalyst 4500E 能够提供先进的动态服务质量（QoS）功能和配 置灵活性，因而能提供可以预测和扩展的高性能。硬件和软件中的集成式永续特性有助于提 高网络可用性，以提高劳动力的生产率和。Cisco Catalyst 4500E 创新、灵活的集中式系统设 计有助于顺利迁移到线速 IPv6 和万兆以太网。 Cisco Catalyst 4500E 的灵活性、可扩展性以 及向前和向后兼容性，延长了部署周期，提供了卓越的投资保护，并降低了总体拥有成本。 性能：Cisco Catalyst 4500E 提供的高级交换解决方案不但能随着端口的增加扩充带宽，还采用了业 内领先的应用专用集成电路（ASIC）技术，能够提供线速 L2-L3 10/100 或千兆交换能力。由于 L2 交换提供模块 化管理引擎灵 活性和全面的 线路卡兼容性 ，因而能将性 能扩展到 280Gbps 和225Mpps。 为关键业务应用提供带宽保护：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎 时，将不会降低转发性能，Cisco Catalyst 4500 系列平台将继续以完全线速转发。 端口密度：4506E 单机箱最多能够满足 244 个以太网端口的网络组件连接要求。Cisco Catalyst 4500 系列支持万兆以太网上行链路端口，支持高密度千兆以太网到桌面部署和交换机到交换机应用。 Cisco Catalyst 4500 系列的可热插拔、易于使用的模块化交换解决方案不但能降低复杂性，还能容 易地支持当今网络中不断变化的桌面环境。 功能上透明的线路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系统就可以容易地将所有 系统端口升级到更高交换功能。与迁移过程中需要执行全面设备升级的传统交换产品不同，该系统 不需要更换老线路卡和布线就可以增强所有系统端口的功能。这种架构优势延长了 Cisco Catalyst4500 系列线路卡的有用部署时间。 高级安全性：在 Cisco Catalyst 4500 系列上支持多种安全特性，例如 802.1x、访问控制列 s 表（ACL）、安全 Shell（SSH）协议、单播 RPF（uRPF）、端口安全性、动态 ARP 检测（DAI）、IP Source Guard、控制平面限速、802.1x 不可访问认证回避、802.1x 单向控制端口、MAC 认证回 避、多域认证和专用虚拟局域网（PVLAN），以便增强网络控制和灵活性。如果有选择地或者全部 采用这些特性，网络管理员不但能防止非法访问服务器或应用，让不同的人用不同的权限使用同一台 PC，还能防止网络入侵者通过盗窃用户名和密码访问交换机，或者防止出现有意或意外广播风 暴。 基于硬件的组播：独立于协议的组播（PIM）、密集模式和稀疏模式、互联网小组管理协议（IGMP）、 组播侦听器识别（MLD）侦听和思科组管理协议支持基于标准的经过思科技术增强的高效多媒体网 络，而且不会降低性能。 可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 产品线的支持，提供的创新工具能够集中管理主要网络特性，例如可用性、响应能力、永续性和安全性，以便建立智能交换基础设施。通用 模块化 QoS 命令行界面（CLI）不但能简化策略流量图的创建，还能为大、小型 Cisco Catalyst 交换机提供一致的界面。网络运作可以通过基于 Web、GUI 和 CLI 的灵活管理方式得到增强。最重要 的是，每台 Cisco Catalyst 4500 系列交换机都有思科服务和支持解决方案作后盾。 千兆到桌面：Cisco Catalyst 4500 系列已经提供了很多 1000Mbps 桌面和服务器交换解决方 案。利用 为 Cisco Catalyst 4500 系列开发的 48 端口和 24 端口三速 自 适应、自 协 商10/100/1000BASE-T 线路卡，千兆解决方案的范围很容易扩展到桌面。三速 48 端口和 24 端口模块，再加上自适应技术，能够提供 局域网 投资保护，因为在未来，快速以太网桌面无需更换线路 卡就能迁移到千兆以太网。考虑到外网数据流量走向全部是由桌面终端到互联网出口的访问特点，所以此次外网结 构采用千兆光纤骨干(接入核心)百兆桌面接入的方式，考虑到外网每个配线间信息点较 少，接入交换机可采用级联方式连接中心机房。如下图所示：公网出口能够提供独立的安全防护边界，通过一台思科统一安全平台 ASA 5520 提供综 合安全防护，在提供地址翻译、防火墙安全隔离的功能外，还可以提供 IPSEC VPN 和 SSLVPN 公网访问接入功能。另外再在防火墙隔离出 DMZ 区连接外网应用服务器，实现内外访问的 安全区域划分。同时为将网络可能存在的风险隔离到最小的区域建议在 ASA5520 上增配安 全网关模块实现对病毒、垃圾邮件攻击的防护。在外网接入层设备选型上，考虑到必须具有足够的端口密度，同时还要有一定的智能访问控制能力，在整个网络安全体系中构建设第一道安全屏障。我们建议采用思科 Catalyst2918 系列交换机，其采用简体中文的设备面板和图形化界面，以特优的性价比，为级配线 间提供桌面快速以太网和千兆上行网络连接。Cisco Catalyst 2918 系列通过提供标准安全策略、服务质量(QoS)和可用性功能，降低了网络总体拥有成本。1. 安装和配置中文快速设置Smartports 和 Smartports AdvisorDHCP AutoInstall (IP 地址，配置文件，IOS 镜像)配置更换，能回退配置更改使用思科发现协议，发现邻近设备通过 Telnet 和控制台接入用户熟悉的 Cisco IOS 命令行界面Cisco Smartports.Cisco CatalvstCisco Smart.EQoS.Cisco CaIystWeb-HTML2.2918物理层面的保护电缆破损或卷曲时域反射计 (TDR)沿电缆检测故障发生点。这是第一道防线。电缆只能成功单向传输单向链路检测 (UDLD)能够发现单