腾州卷烟厂局域网建设方案

腾州卷烟厂局域网系统技术建议书有限公司二零零六年6月目录1需求分析411项目背景412建设目标42网络建设原则53总体建设方案631设备选型6311AR46系列产品特点6312S6500系列产品特点9313S5100系列产品特点11314SECPATH系列防火墙产品特点1232网络总体方案18321核心层的设计18322INTERNET出口设计19323接入层的设计19324移动用户的接入204网络管理方案2141特性21411使用灵活21412支持WEB方式21413成本低21414支持多种操作系统平台2142功能21421QUIDVIEW典型实现功能235总体方案的优势266IP地址、VLAN及设备命名称规规划2761IP地址规划原则27611IP地址规划总原则27612IP地址规划具体原则2762IP地址分配方案27621设备LOOPBACK地址的分配28622设备间互连地址的分配28623VPN业务地址2863VLAN的规划2864网络设备命名规则29641网络设备基本命名原则29642网络设备具体命名原则29643网络设备命名总体原则307QOS设计318组播设计3181组播模型选择3182组播协议选择32821组播组管理协议选择32822组播路由协议选择3383组播协议原理简介33831组播组管理协议33832组播路由协议3684组播转发机制4185组播地址42851IP组播组地址42852以太网组播MAC地址4286组播部署43861域内组播部署439安全设计4991网络安全风险分析4992网络安全设计原则5093华为3COM安全渗透总体解决方案51931基础安全5194安全部署54941基础设施安全部署54942防火墙部署581需求分析11项目背景颐中烟草（集团）有限公司滕州卷烟厂位于山东省滕州市解放街9号，此次危房改造项目设计由机械工业第六设计研究院和烟草总公司郑州烟草研究院联合进行，在北厂区新建联合工房、综合服务楼、成品辅料库、香精香料库、废品库、水泵房及中水站、仓储区办公楼、大门及门卫建筑的土建、公用动力设施用房,新增建筑面积共计52795M2。12建设目标按照滕州卷烟厂对新厂区规划和设计的要求，通过对新厂区智能化弱电系统的设计和实施，将把滕州卷烟厂新厂区建设成为一个智能化、现代化、高水平的数字化厂区。要求在新厂区内建设一个以综合布线系统为基础，以楼宇机电设备自动化、通信自动化、安防、消防自动化为核心，以现代网络技术、多媒体技术为依托，建立一个技术先进、扩展性强、能覆盖新厂区建设物和原有建筑物及公共设施的智能化弱电集成管理系统，并满足各弱电系统信息共享的需求。全厂计算机网络系统是智能化系统中支持多种应用的基础设施，根据目前网络的发展，本工程网络的建设应高起点，长远规划，以适应今后新技术的更新和新业务的增加。2网络建设原则为构建高质量的网络，在网络建设中要坚持以下原则1高可靠性网络的稳定可靠是应用系统正常运行的关键，保证在网络设计中选用高可靠性的网络产品设备，充分考虑冗余、容错和备份能力，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的可靠运行。2技术先进性在保证满足基本业务应用的同时，又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到网络应用的现状和未来发展趋势。3高性能骨干网络的性能是整个网络良好运行的基础，在设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。4标准开放性支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。5可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。6可管理性选用先进的网络管理平台，具有对设备、端口等的管理及流量统计分析，并可提供故障自动报警。7安全性制订统一的网络安全策略，整体考虑网络平台的安全性。做到业务数据的安全传递和网络设备不受黑客攻击。经济性在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。3总体建设方案31设备选型针对标书要求，本次选用国际领先的数据通信厂商华为公司的性价比较高的设备，具体设备介绍如下311AR46系列产品特点1良好的继承性QUIDWAYAR46系列路由器面向企业中心及大型行业网络应用环境设计，充分继承了华为公司QUIDWAYNETENGINE高端路由器在高性能、高品质业务、可靠性、安全性方面的设计优势，同时又融合了华为公司QUIDWAY中低端路由器的业务能力，以及在企业应用中积累的经验，充分满足信息化迅猛发展对网络性能、业务集成、高可靠性、高安全性、三网合一等方面的要求。2独特高效的双总线结构QUIDWAYAR46系列路由器采用了独特的双总线体系结构，两条独立的PCI总线以及高性能的CPU，配合自主知识产权的IPTURBOENGINETM技术，极大的提高了系统转发性能。本着贴近客户的需求，继AR46提供双总线、单内核引擎的350KPPS转发能力之后，为了进一步提升宽带业务性能而推出双总线、双内核引擎的1000KPPS转发能力的主板，转发性能远远高于业界同等档次的产品。AR46系列路由器的高性能是业务的高性能，在处理各种业务时转发性能不会出现明显下降。考虑到用户未来的发展，AR46提供弹性极强的硬件平台，通过对主板的升级，QUIDWAYAR46系列路由器可提供高达1MPPS的业务性能，系统总线带宽为2GBPS，不断提升企业中心及大型行业应用环境的业务性能。接口卡1接口卡接口卡3接口卡接口卡5接口卡接口卡7接口卡接口卡2接口卡接口卡4接口卡接口卡6接口卡接口卡8接口卡PCI0PCI1高速内部交换高速内部交换IU接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡接口卡高速内部交换高速内部交换3增强的安全特性虚拟路由器（VRF）功能VRF可以把一台路由器在逻辑上划分为多台虚拟的路由器，每台虚拟的路由器就象单独的一台路由器一样工作，有自己独立的路由表和相应的参与数据转发的接口，并且彼此业务隔离。这从根本上解决了多种业务并存于一台物理设备且又需要隔离的问题，能够节省用户在设备及通信资源方面的投资。URPF单播反向路径查找UNICASTREVERSEPATHFORWARDING（URPF）单播反向路径查找，主要功能是防止基于源地址欺骗的网络攻击行为。SSHV2SSH弥补了TELNET协议的不足，支持PASSWORD、RSA验证方式，支持数据加密。SSH客户端与服务器端通讯时，用户名及口令均进行了加密，有效防止了对口令的窃听。同时SSH服务对传输的数据也进行了加密。保证了数据的安全性和可靠性。从而使在不安全的网络上实现安全的远程访问成为可能。尤其是对RSA验证方式的支持，实现密钥的安全交换，最终实现了安全的会话全过程。DHCP安全增强提供授权ARP功能，从而确保只有DHCPSERVER分配的客户端上网。同时授权ARP功能本身提供了ARP探测机制。可以确认用户已是否在线并通知DHCPSERVER。性能更高的硬件加密扣卡ENDE加密扣卡是专用于AR46ERPU上的主板内置扣卡，不占用路由器的模块插槽，并且加密性能比HNDE加密卡更强。4丰富的VPN接入能力支持VPE功能VPE（VPNPE）是一种特殊的PE，它和CE之间的连接方式不是传统的DDN/E1/POS/ETH/PVC等专线技术，而是IPSEC/L2TP/GRE/UDPVPN等隧道技术。VPE完成IPVPN与MPLSVPN的融合，在网络边缘实现网络资源的逻辑划分及安全隔离，核心网与边缘网络形成了一个整体，实现了端到端的VPN功能。支持华为动态VPN功能DVPN动态虚拟私有网络技术，通过动态获取对端的信息建立VPN连接，采用了CLIENT和SERVER的方式解决了网状网络模型中传统VPN配置的N2问题和动态IP地址接入的问题。5增强的NAT功能NAT网段转换特性通过NAT网段转换功能，可以实现内部主机地址和公网地址的直接映射关系，允许外部主机对内部主机的访问。转换过程中只对网段地址进行转换，保持主机地址不变。NAT网段转换功能可以对原有的私有网络进行改造，实现两个地址重叠的私有网络的融合互通。双向NAT特性常规地址转换技术只转换报文的源地址或目的地址，而双向地址转换技术可以将报文的源地址和目的地址同时转换，该技术应用于内部网络主机地址重叠的情况。双向NAT技术通过配置重叠地址池到临时地址的映射关系，将重叠地址转换为唯一的临时地址，来保证报文的正确转发。NAT私网服务器常规的NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要提供给外部一个访问内部主机的机会QUIDWAY系列路由器的NAT功能提供了内部服务器功能供外部网络访问，公网和私网用户都能通过域名方式来访问私网服务器。NAT连接数控制在实际应用中，需要能够限制每个用户能够建立的最大NAT连接数。例如计算机病毒同一源地址会扫描发起大量的TCP连接，迅速消耗路由器资源，导致路由器整机效率下降，影响其他用户应用。通过此特性可以控制用户对资源的占用情况。6网络可靠性支持AUTODETECT自动侦测特性可以检测到网络应用的目的地可达性，检测结果（目的地ICMP可达或者不可达）反馈到与其联动的模块，如静态路由浮动备份、备份中心、VRRP，触发其相应的主备切换动作。IPSECDPD实现IPSEC与VRRP虚地址建立隧道的功能，当VRRP备份组的MASTER发生切换时，借助DPD的快速检测，能使安全隧道迅速恢复，扩展和提高了IPSEC的备份方式加强了健壮性。强大的备份功能支持接口/子接口间的物理层备份，虚链路/虚模板/拨号接口/逻辑接口间的链路层备份，动态路由实现网络层备份、VRRP实现设备层备份。7IPV6从目前的硬件体系结构和软件平台的基础上能够平滑升级到IPV6的软件版本,全面支持IPV4和IPV6双协议栈，提供丰富的IPV6协议，支持多种IPV4向IPV6的过渡技术手工配置隧道、自动配置隧道、6TO4隧道、GRE隧道、实现NATPT等；支持IPV6静态路由，支持BGP4/BGP4、RIP、OSPF3、ISISV6等动态路由协议；支持ICMPV6MIB、UDP6MIB、TCP6MIB、IPV6MIB等。8串口服务器功能通过串口连接线将作为串口服务器的路由器的异步口与被管理设备的CONSOLE口连接。PC通过TELNET登录作为串口服务器的路由器，对被管理设备的控制，与主机使用串口直接连接被管理设备的CONSOLE口进行控制的效果是一模一样的。9方便易用的网络优化工具数据分析工具NETSTREAMNETSTREAM提供报文统计功能，它根据报文的目的IP地址、源IP地址、目的端口号、源端口号、协议号、TOS、输入/输出接口来区分流，并针对不同的流进行独立的数据统计。NETSTREAM的统计信息定期发送给NSC（NETSTREAMCOLLECTOR，网络流数据收集器），由NSC进一步处理后，交给NDA（NETSTREAMDATAANALYZER，网络流数据分析器）进行数据分析、计费、网络规划等多种应用。协议性能测试工具HWPINGHWPING做为测量网络上运行的各种协议性能的一种工具，它是对PING功能的增强。PING功能只能使用ICMP协议来测试数据包在本端和指定的目的端之间的往返时间，从而判断目的主机是否可达；然而HWPING不但可以完成上面的功能，还可以探测DLSW、DHCP、FTP、HTTP、SNMP服务器是否打开以及测试各种服务的响应时间等。10设备配置支持华为3COM公司特有的BIMS（网点智能管理解决方案），为新型应用提供了管理方法，并大大提高了管理效率。中英文双语、命令分级保护、TRACERT/PING/DEBUGGING故障诊断功能、RMON、SNMPV1/V2C/V3、系统日志、可通过FTP或TFTP进行系统升级、可通过CONSOLE/AUX/X25PAD/TELNET/反向TELNET等方式进行配置。通过QUIDVIEW网管软件，能够对路由器进行远程配置，并且能够对主机程序通过QUIDVIEW进行在线升级。312S6500系列产品特点S6500系列高端多业务交换机的特点可以用一句话来概括“多快好省、高而不贵”。1“多”产品系列多、引擎规格多、接口板类型多。有利于简化网络结构，降低建网成本。产品系列多S6500系列包括S6502（2槽），S6503（4槽），S6506（7槽），S6506R8槽。产品设计采用开放式的体系结构、统一的硬件平台、完全兼容的引擎和接口板、相同的软件版本、以及系列化机箱。引擎规格多基于新一代ASIC技术的SALIENCE系列交换路由引擎将L2/3/4线速转发与丰富的QOS、ACL特性结合在一起，是组建高可靠、低时延的核心网络的重要保障。S6500提供系列化的引擎，可以根据用户的需求在系列化机箱上进行灵活配置。接口板类型多提供百兆、千兆、万兆等各种类型的以太网接口；提供100M100KM可选择的传送距离；提供4口/单板48口/单板的接口密度，全面满足客户需求。2快采用先进体系结构设计，交换容量高达768G，支持新一代万兆线速接口，提供网络高性能。先进的体系结构S6500采用全分布式体系结构设计，采用功能强大的ASIC芯片进行高速路由查找，并通过CROSSBAR技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力。CROSSBAR交换网芯片内置于主控板，不再单独占用设备槽位，可提供高达768G的交换容量。高密度二、三层全线速接口S6500系列推出SALIENCEIII系列交换引擎，最大交换容量为768GBPS，在满配时S6500最大可提供288GE或288FE。万兆接口支持S6500提供的新一代万兆以太网克服了早期万兆以太网的诸多局限，在线速转发的基础上能够提供强大的QOS保障，并支持丰富的ACL、策略路由、安全等特性。S6500支持高密度万兆设计，每块业务板可以提供14个万兆接口。3好支持强大的QOS能力和精细化用户管理，高可靠、高安全设计，采用L3业务板实现灵活的智能化业务能力。强大的QOS能力和精细化用户管理每端口支持8个硬件队列，带宽控制粒度可达64KBPS；强大的用户管理、认证计费功能支持；支持CAMS（综合访问控制管理服务器）系统，提供专业用户管理、计费解决方案；内置IEEE8021X认证服务器功能。内置DHCPSERVER功能。运营级可靠性设计系统采用分布式结构；S6506R支持双主控板；S6500系列所有单板支持热插拔；电源系统采用N1冗余热备份；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的电信级网络可靠性要求；支持双路电源供电。完善的安全机制支持标准RADIUS协议，同时提供RADIUS功能；支持TACAS协议；HCBM（华为可控组播管理协议）功能支持；保证对用户的精确认证。支持SSHV1/2。基于最长匹配的路由方式，保证了所有报文均获得相同的转发性能。对“红码病毒”和“冲击波病毒”的攻击具有天生的防御能力。4省极高的性价比，为客户量身打造，总有一款适合您；性能、业务可平滑扩展升级，保护用户投资。无与伦比的性能价格比S6500提供系列化机箱和系列化超级引擎，可以根据不同组网需要进行灵活配置；S6500提供多种高密度百兆、千兆、万兆接口板，有效简化网络结构、降低建网成本；S6502无需专门的主控交换引擎，主控交换功能内置于接口板内部，进一步降低建网成本。强大的扩展性能S6500采用IRF智能弹性架构技术设计，具有强大的性能和业务扩展能力；背板带宽高达16TBPS；采用L3业务板可以实现灵活的智能化业务能力，如NAT/MPLS/WEBSWITCH/NETSTREAM/IPV6等高级业务特性，从而有效保障用户的投资。313S5100系列产品特点1全线速的二层交换QUIDWAYS5100EI系列全千兆智能以太网交换机所有的端口提供二层线速交换能力，硬件识别和处理各种应用业务流，所有端口都具有单独的数据包过滤和区分不同应用流的能力，并根据不同的流进行不同的管理和控制。提供24/48端口10/100/1000M电接口，充分满足用户对高密度GE接入和千兆上行及万兆预留的应用需求，节省和保护用户投资。2完备的安全智能控制策略QUIDWAYS5100EI系列全千兆智能以太网交换机支持集中式MAC地址认证8021X认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效地防止非法用户访问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。支持基于策略的VLAN，可以对指定流分类特征的报文指定修改VLAN，实现指定特征的报文与VLAN相绑定，方便管理。支持MAC地址黑洞、MAC地址学习数目限制、用户分级管理和口令保护以及防止DOS攻击功能。支持QOSPROFILE功能，可以和8021X认证功能相结合，可以动态的为通过认证的用户提供预先配置的一套QOS功能。用户在经过8021X认证后，交换机根据AAA服务器上配置的用户名和PROFILE的对应关系，将相应的PROFILE动态下发到用户登录的端口上，为该用户提供量身定做的服务质量保证。3高可靠性和可扩展性QUIDWAYS5100EI系列全千兆智能以太网交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持LACP（LINKAGGREGATIONCONTROLPROTOCOL，链路聚合控制协议）进行动态链路汇聚。提供LOOPBACKDETECTION功能，实现网络的链路环回检测，避免出现MAC地址学习错误而造成广播风暴。QUIDWAYS5100EI系列交换机支持HGMP集群管理系统并能实现远程升级和故障诊断，实现了设备的集中管理和维护。QUIDWAYS5100CEI支持万兆堆叠，最多可达16台设备。支持可选的冗余电源系统RPS，提高容错能力和网络正常运行时间。4丰富的QOS策略QUIDWAYS5100EI系列全千兆智能以太网交换机提供二到四层策略的报文ACL功能，可以对满足特定规则的流量进行过滤。用户可以根据源、目的地址IP地址、源、目的四层端口号和入、出物理端口、协议类型等信息对策略进行的灵活配置。QUIDWAYS5100EI系列以太网交换机提供基于DIFFSERV和8021P的QOS特性，可以对报文的8021P和DSCP域优先级进行修改等操作，并映射到每端口提供的8个COS队列，队列调度提供了三种各具特色的队列调度算法，严格优先级（SP）和整形加权轮循（SDWRR）调度算法以及SPSDWRR组合调度算法。支持流量监管和带宽粒度控制，确保为进入交换机的特定业务提供带宽保证，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QOS需求。支持流量整形保证以太网交换机可以对输出报文速率进行控制。支持基于流的报文重定向。支持256个CAR（COMMITTEDACCESSRATE），流量限速的最小粒度为1KBIT/S。5多样的管理方式QUIDWAYS5100EI交换机支持基于物理端口以及基于流VLANMAC的镜像功能，支持N1镜像，N1的VLAN镜像和MAC镜像，还支持远程端口镜像功能，可以实现统一监控检测,使网络管理更方便。支持SNMP，可支持OPENVIEW等通用网管平台，以及QUIDVIEW、IMANAGER网管系统。支持CLI命令行，WEB网管，TELNET，HGMP集群管理，使设备管理更方便，并且支持SSH20等加密方式，使得管理更加安全。314SECPATH系列防火墙产品特点3141高性能保障SECPATH系列硬件防火墙为了提高性能，分别在硬件上和软件上进行了优化处理。硬件上，高端防火墙SECPATH1800F采用电信级架构，使用NP作为核心处理器，加速数据流量的处理，同时报文过滤全部采用NP处理，即使再多的ACL规则，也不影响数据流量的处理，从而保证了优异的性能。而中端防火墙SECPATH1000F则采用物理接口、高速内存、核心处理器共享高速内部总线的硬件架构，从而保证数据报文的收发和处理都在内部高速总线上完成，避免内存的交互对性能造成的影响，从而提高整体性能。软件上，SECPATH系列硬件防火墙均采用独立自主开发的专为网络设计的操作系统，不包含通用操作系统中和网络无关的部分，并针对网络数据业务进行优化，提高业务处理任务的优先级，精简业务处理的流程，提高整体业务性能。同时，SECPATH系列硬件防火墙将关键业务处理在内核态进行，避免运行态切换对内存和CPU的开销，极大的提高了性能。通过软硬件的优化，SECPATH系列硬件防火墙具有卓越的性能。高端防火墙SECPATH1800F吞吐量高达3GBPS，支持并发连接数300万，每秒新建连接数10万。中端防火墙SECPATH1000F的性能也有卓越表现，吞吐量达15GBPS，支持并发连接数200万，每秒新建连接数3万。即使部署在数据中心，SECPATH系列硬件防火墙也能够应付自如，不会成为网络的瓶颈，对用户来说丝毫不会有性能的影响，从而为客户打造一个用户放心、管理舒心的安全网络。3142多业务的支持SECPATH系列硬件防火墙支持各种业务的过滤。SECPATH系列硬件防火墙提供ASPF（APPLICATIONSPECIFICPACKETFILTER）技术和NATALG技术，全面支持各种业务应用。ASPF是针对应用层的包过滤。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。它检查应用层协议信息（如FTP、HTTP、SMTP、RTSP、H323等协议及其它基于TCP/UDP协议的应用层协议）并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或者被丢弃。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。ASPF还提供以下功能DOS（DENIALOFSERVICE，拒绝服务）的检测和防范。JAVABLOCKING（JAVA阻断），用于保护网络不受有害的JAVAAPPLETS的破坏。为了防止网页中可执行代码对内部网络造成的潜在威胁，可以过滤掉来自外部网络服务器HTTP报文中的JAVAAPPLETS。支持端口到应用的映射，用于应用层协议提供的服务使用非通用端口时的情况。增强的会话日志功能。可以对所有的连接进行记录，包括记录连接的时间、源地址、目的地址、使用的端口和传输的字节数。动态创建和删除过滤规则监视通信过程中的报文SECPATH系列硬件防火墙支持各种NATALG，可实现跨NAT的H323（包括T120、RAS、Q931和H245等）通讯。同时还支持FTP、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT、腾讯公司的QQ聊天会话、MICROSOFT公司提供的MSNMESSENGER聊天会话等业务。SECPATH系列硬件防火墙通过支持各种业务的应用，有效的在应用层为用户提供安全防护，从而为客户打造一个用户放心、管理舒心的安全网络。3143增强的应用安全SECPATH系列硬件防火墙提供针对应用协议的访问控制能力，通过对应用层协议进行分析，实现对应用协议的内容过滤。SECPATH系列硬件防火墙提供对WEB协议和SMTP协议的过滤功能。SECPATH系列硬件防火墙提供对WEB网址过滤和网页内容过滤，通过设置需要过滤的WEB网址，以及过滤的网页内容，可以有效的管理上网的行为，提高工作的效率，节约出口带宽，保障正常的数据流量，屏蔽各种“垃圾”信息，从而保证内部网络的“绿色环境”。正常网站有害网站INTERNET有害网站过滤网页恶意内容摘除网页内容检查过滤有害内容健康内容SECPATH防火墙提供基于SMTP协议的邮件安全特性电子邮件地址过滤功能在向外发送邮件时，进行对SMTP协议邮件地址进行地址过滤，防止向外部非法地址发送公司资料或者与工作无关的信息。电子邮件地址过滤功能依据RFC协议规定完成对邮件的过滤，不受邮件发送者所使用工具的影响，同时对正常业务不造成任何影响。电子邮件主题过滤在向外发送邮件时，可以根据SMTP协议对邮件进行邮件主题关键字过滤。此功能配置简单，并且对正常业务不造成任何影响。电子邮件内容过滤在过滤邮件时，还支持对邮件正文的文本内容进行过滤，保证对邮件内容的监控。此功能配置简单，并且对正常业务不造成任何影响。SECPATH系列硬件防火墙通过支持常见业务（WEB访问、SMTP邮件）的监测和过滤，有效的在应用层为用户提供安全防护，从而为客户打造一个用户放心、管理舒心的安全网络。3144高可靠性SECPATH系列硬件防火墙具有电信级可靠性。硬件的可靠性SECPATH系列硬件防火墙均采用自主研发的硬件架构，稳定性受到严格控制，并经过严格认证。关键部件，例如总线、电源、散热系统、BOOTROM等都采用冗余设计，即使出现故障，也能够冗余恢复，不会中断业务。SECPATH系列硬件防火墙还支持接口模块、电源模块、风扇模块的热插拔，并具有机箱内部环境温度检测功能，从而保证设备的硬件可靠性。软件可靠性SECPATH系列硬件防火墙采用独立自主开发的私有操作系统，不包含通用操作系统中和网络无关的部分。一则，不公开的操作系统源代码让针对操作系统的攻击变得困难。二则，私有操作系统不提供对外接口，不允许在此操作系统上进行软件二次开发，保证操作系统的安全。三则，私有操作系统不具有通用操作系统的各种合网络无关的功能，避免其他业务造成的危险。从而在软件上保证了SECPATH系列硬件防火墙的可靠性。组网可靠性SECPATH系列硬件防火墙支持双机状态热备机制，支持ACTIVE/ACTIVE方式。SECPATH系列硬件防火墙在网络关键位置部署为状态备份、负载分担时，业务数据流状态实时备份，即使其中一台防火墙出现网络故障，整个网络的业务也不会受到影响，从而保障网络的可靠性。SECPATH系列硬件防火墙为了保证网络的可靠性，从多个方面进行了特殊设计和冗余备份，有效的为用户提供安全保证，为客户打造一个用户放心、管理舒心的安全网络。3145协同工作有些更深层次的攻击数据流，需要专业的IDS设备进行检查。SECPATH系列硬件防火墙支持和IDS的联动，通过IDS深层业务数据流检测，并将非法攻击流动态隔离，实现更高层次的安全。通过和IDS联动，SECPATH系列硬件防火墙让网络变得更安全，用户更放心。攻击者报警攻击者尝试攻击企业数据中心管理中心后续攻击被阻与SECPATH联动ERPOACRM文件服务器IDSSECPATH3146统一简便的管理手段方便统一的管理，是每个网络管理员的目标。SECPATH系列硬件防火墙具有丰富多样的管理手段，并且支持和和交换机、路由器等设备统一的管理手段。3147实时流量分析SECPATH系列硬件防火墙提供了实时的网络流量分析功能，及时发现攻击和网络蠕虫病毒产生的异常流量。用户可以使用防火墙预先定义的流量分析模型，也可以自己定义各种协议流量的比例，连接速率阀值等参数，形成适合当前网络的分析模型。通过实时流量分析技术，SECPATH系列硬件防火墙可以有效的发现未知的网络蠕虫病毒造成的异常流量，可以及时通知网络管理员进行处理。结合SECPATH防火墙的地址动态隔离技术（地址黑名单）对异常流量进行及时阻断，从而有效的切断异常流量，保护内部网络的安全，打造一个用户放心、管理员舒心的安全网络。3148实时邮件告警SECPATH防火墙不但提供系统日志，日志主机等告警方式，而且提供实时邮件告警技术。为了提醒管理员网络中发生的各种攻击情况，SECPATH防火墙支持以电子邮件的形式把攻击日志通知管理员。SECPATH防火墙同时支持两种方式发送邮件，一种是实时发送，一旦检测到攻击行为，立即发送邮件到指定的邮件地址；另外一种是在指定的每日固定时间定期发送告警邮件。通过邮件告警功能可以实现对于可以检测出来的攻击，在实时阻断的同时，会向预先指定的一个或者多个邮箱发送告警邮件，在第一时间通知网络管理者。邮件告警结合邮箱的短信通知功能，可以实现通过手机短信在第一时间通知网络管理员发生网络异常行为，让管理员随时随地皆可掌握信息，实现对网络舒心的管理。3149详尽的日志功能日志特性能够将系统消息或包过滤的动作等存入缓冲区或定向发送到日志主机上。对日志内容的分析和归档，能够使管理员检查防火墙的安全漏洞、什么时候有什么人试图违背安全策略、网络攻击的类型，实时的日志记录还可以用来检测正在进行的入侵。SECPATH防火墙统一考虑各种攻击、事件，将它们的各种日志输出格式、统计信息等内容进行规范，从而保证了日志风格的统一和日志功能的严肃性。SECPATH防火墙包括以下几种日志信息NAT/ASPF日志攻击防范日志流量监控日志黑名单日志地址绑定日志邮件过滤日志网址/内容过滤日志对于上述这些日志，根据日志输出方式的不同可以分为二进制流日志、SYSLOG日志两种，日志信息可以通过多种方式进行输出和保存。INTERNET监控终端日志主机日志缓冲R控制台控制台监控终端攻击防范、流量监控、黑名单和地址绑定产生的日志信息量小，因此采用SYSLOG方式以文本格式进行输出。这些日志信息必须通过SECPATH防火墙的信息中心进行日志管理和输出重定向，或者显示在终端屏幕上，或将SYSLOG日志发送给日志主机进行存储和分析。相反，NAT/ASPF产生的日志信息量很大，因此对于这种类型的流提供了一种“二进制”输出方式，直接输出到日志服务器上以便对日志进行存储和分析。和SYSLOG方式相比，二进制流日志的传输效率高，而且节约存储空间。SECPATH防火墙通过为各个模块提供详尽的日志功能，保证关键信息的纪录，为管理员分析提供详尽的材料，从而打造一个用户放心、管理员舒心的安全网络。31410统一的管理手段SECPATH防火墙提供了和普通网络设备统一的管理方式，向管理员提供最大的设备管理便利性，通过华为3COM统一的管理手段，全网设备皆可统一管理。统一的管理手段包括命令行视图管理、SNMP管理、BIMS管理、WEB管理来对防火墙进行统一管理和监控。命令行视图管理向管理员提供一系列配置命令以及命令行接口，用户通过该接口可以配置和管理防火墙。命令行接口支持通过CONSOLE口、AUX口、TELNET、SSH。SSH是SECURESHELL（安全外壳）的简称，用户通过一个不能保证安全的网络环境远程登录到SECPATH防火墙时，SSH特性可以提供安全保障和强大的认证功能，以保护安全网关不受诸如IP地址欺诈、明文密码截取等等的攻击。简单网络管理协议（SIMPLENETWORKMANAGEMENTPROTOCOL，简称SNMP），是被广泛接受并投入使用的工业标准，它的目标是保证管理信息在任意两点间传送，便于网络管理员在网络上的任何节点检索信息，进行修改，寻找故障，完成故障诊断，容量规划和报告生成。SECPATH防火墙支持标准网管SNMPV2以及访问机制更安全的SNMPV3，可以和业界标准的网管平台集成管理。SECPATH防火墙支持分支集中管理系统BIMS集中管理，通过集中管理系统，轻松实现动态IP地址或NAT网关后面的设备的集中管理，尤其是在对业务应用基本相同、数量庞大并且分布广泛的网络终端设备进行管理时，该系统会极大提高管理的效率，大大节约管理成本，另外，管理界面直观友好，维护简单方便。SECPATH防火墙还支持WEB网管，WEB网管配置界面直接、简单，极方便管理。同时，结合HTTPS，WEB网管能够实现管理过程的安全性。通过丰富多样的管理手段，SECPATH防火墙支持和华为3COM其他网络设备整体划一的管理方法，让管理员轻松实现整网的管理，从而打造一个用户放心、管理员舒心的安全网络。32网络总体方案在充分考虑用户提出的各项需求，结合实际布线情况，我们采用二层扁平结构组网，整网采用星形的拓扑结构，分为核心层和接入层INTERNETS6506S6506腾州卷烟厂局域网拓扑图10GIDC服务器群VRRP1000MBASELX10GBASESX1000MBASET防火墙SECPATH500F路由器AR4640S5100S5100S5100S510011个配线间SECPOINTVPN客户端VPN321核心层的设计核心交换机采用两台华为S6506多业务路由交换机，两台交换机之间通过10GTRUNK互连，之间运行VRRP热备份路由协议，两台交换机可以虚拟成一台路由交换设备，为接入的用户提供缺省网关的冗余，即这两台设备可以互为备份工作。一台主用，另一台备份，当主用设备发生故障或上行链路故障时，备用设备可以马上接替主用设备工作，达到设备冗余的目的。并且可以对不同VLAN设置不同的S6506进行主备用工作，达到负载均衡的目的,保障核心节点的高可靠性。数据中心IDC的服务器通过千兆双绞线直接接入到核心交换机上，每台服务器都分别连接两台核心交换机，保障数据中心服务器为用户提供高可靠的访问服务。322INTERNET出口设计在网络出口路由和核心交换机之间，部署一台千兆防火墙SECPATH500F硬件防火墙防御INTERNET边界的各种威胁，该防火墙提供ASPF（APPLICATIONSPECIFICPACKETFILTER）技术和NATALG技术，全面支持各种业务应用。ASPF是针对应用层的包过滤。ASPF能够检测试图通过防火墙的应用层协议会话信息，阻止不符合规则的数据报文穿过。它检查应用层协议信息（如FTP、HTTP、SMTP、RTSP、H323等协议及其它基于TCP/UDP协议的应用层协议）并且监控基于连接的应用层协议状态，维护每一个连接的状态信息，并动态地决定数据包是否被允许通过防火墙或者被丢弃。ASPF能够检测应用层协议的信息，并对应用的流量进行监控。出口路由器选用华为AR4640高性能，多业务路由器，INTERNET出口路由器承担着局域网用户针对INTERNET的NAT（网络地址转换）任务，在多出口的情况下，还需承担策略路由的任务，AR46路由器具有增强的NAT功能NAT网段转换特性，通过NAT网段转换功能，可以实现内部主机地址和公网地址的直接映射关系，允许外部主机对内部主机的访问。双向NAT特性，常规地址转换技术只转换报文的源地址或目的地址，而双向地址转换技术可以将报文的源地址和目的地址同时转换，该技术应用于内部网络主机地址重叠的情况。NAT私网服务器，常规的NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要提供给外部一个访问内部主机的机会QUIDWAY系列路由器的NAT功能提供了内部服务器功能供外部网络访问，公网和私网用户都能通过域名方式来访问私网服务器。NAT连接数控制，在实际应用中，需要能够限制每个用户能够建立的最大NAT连接数。例如计算机病毒同一源地址会扫描发起大量的TCP连接，迅速消耗路由器资源，导致路由器整机效率下降，影响其他用户应用。通过此特性可以控制用户对资源的占用情况。323接入层的设计随着信息化的深入演进，企业规模也在借助信息与网络或逐步或飞速扩张，同时也带来了网络规模扩展的跟进，基于网络的各种应用的发展也是突飞猛进，语音、视频的流量越来越大，对带宽的需求也越来越高；随着计算机网络技术的发展，千兆网卡的价格也已经很便宜，当前的大部分便携式计算机都配有1000M的以太网卡；基于当前网络的现状和将来发展的趋势，本次在接入部分采用千兆到桌面的接入方式，采用华为公司的S5100CEI全千兆以太网交换机。该款产品支持万兆上连，千兆下行，其较高的性价比可以将千兆带宽交换引入到桌面，本次方案中接入交换机双归属到两台核心交换机，千兆带宽，将来可以通过在S5100上增加万兆端口模块将上行链路升级到万兆。QUIDWAYS5100系列交换机具有136G的交换容量，支持所有端口线速转发。系统能够提供2个10GE，有效解决了上行带宽瓶颈问题，极大的保证了千兆到桌面的实用性。QUIDWAYS5150CEI交换机提供二到四层策略的报文ACL功能，可以对满足特定规则的流量进行过滤。用户可以根据源、目的地址IP地址、源、目的四层端口号和入、出物理端口、协议类型等信息对策略进行的灵活配置。324移动用户的接入企业中常会有移动用户接入内网的需求，本方案中，我们选用的路由器和防火强均支持较强的VPN功能，支持多个移动终端用户的VPN接入。移动办公人员在电脑终端上安装华为SECPOINTVPN客户端软件，便可轻松访问内网资源。4网络管理方案腾州卷烟厂局域网的建设根据网络实际情况可采用华为QUIDVIEW网管系统。41特性该系统采用开放式结构设计，严格遵守标准的SNMP协议（RFC1157），主要使用RFC1213定义的MIB信息，具有投资省、使用灵活、易于移植等特点411使用灵活QUIDVIEW系统的使用方式非常灵活，既可以作为设备级的应用程序集成到已有的网管平台（如HPOPENVIEW、IBMNETVIEW、RADIUMSNMS、SNMPC、NETMANAGER）中进行网络级管理，又可以作为独立的应用程序执行进行设备级管理。同时可以根据用户需求进行接口的开放。412支持WEB方式基于WEB的管理是网管方式的一次革命，其主要优势在于基于WEB的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。在WEBSERVER上安装了网管软件后，其它网管机器不用预装网管软件，只须安装了WEB浏览器并且设备能上网，就能使用QUIDVIEW系统管理。413成本低QUIDVIEW不像大型网管系统那样系统庞大，它将网管人员最为关心的网络信息直观而浓缩地呈现于网管人员面前，使其方便地了解设备各端口的运行情况以及主要的设备性能指标。414支持多种操作系统平台纯JAVA的实现，保证QUIDVIEW无须修改便能运行于当前主流的各种平台之上。除此以外，QUIDVIEW系统使用全新的JFC类库，所有控件均支持LOOKANDFEEL特性，该特性使得QUIDVIEW既可以在不同平台上呈现出统一的显示风格，也能够使控件的风格与操作系统相一致。42功能功能描述路由器设备视图设备端口的配置情况端口个数、端口种类、端口当前状态等故障管理对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。主要功能包括支持告警相关性分析；能按照用户设置的条件对告警信息进行统计和查询；提供告警拓扑定位；支持告警TRAP规则定义等。路由器设备整体配置信息支持拓扑自动发现功能，系统信息（系统描述、系统标识、重启时间、所在地、设备名、联络方式）、地址转换表、接口表、IP表、IP路由表、TCP联接表。性能管理提供对设备实时性能数据的查看功能，使用户了解当前网络运行的基本情况和性能状态，从而预防网络事故的发生，预测网络运行状态，帮助用户对网络的管理运营进行合理的规划。同时可以支持对于网络节点设备利用率、CPU利用率、故障率、线路流量统计、网络时延统计、历史告警信息等进行统计记录，并可以实现网络流量配置。设备日志和告警管理在系统独立运行时，设备日志管理完成接收设备发送到网管的SYSLOG日志报文，直接保存到文件中；设备告警管理完成接收设备发送到网管的告警报文，将该TRAP进行解析并保存到文件中。路由器设备整体运行状态CPU负载、系统温度、风扇状态、VOS内存空闲率、NONVOLATILE空闲率、内存分布错误次数、内存分配不足引起的分配错误IP报文输入IP报文、表头错误的输入IP报文、地址错误IP报文、未知协议数据报、缓冲溢出输入IP报文、缓冲溢出的输出IP报文、转发的IP报文、无路由的输出IP报文、成功重组的IP报文安全日志管理安全管理功能主要有以下几个方面操作日志管理，用户管理，用户组管理，设备集管理，操作集管理，权限管理，用户登录管理。路由器设备端口配置信息接口描述、接口类型、最大传输单元、接口速率、物理地址、管理状态、操作状态、持续运行时间、本地描述路由器设备端口运行状态接口使用率、输入包误码率、输出包误码率、输入包丢弃率、输出包丢弃率、输入包未知协议率下图是该产品的界面示例华为3COM公司的QUIDVIEW网络管理软件使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。421QUIDVIEW典型实现功能1、网络集中监视QUIDVIEW网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。全网设备的统一拓扑视图拓扑自动发现，拓扑结构动态刷新可视化操作方式拓扑视图节点直接点击进入设备操作面板在网络、设备状态改变时，改变节点颜色，提示用户对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现在网络视图上支持拓扑过滤，让用户关注所关心的网络设备情况支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象2、故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。告警实时监视，提供告警声光提示，支持外接告警箱支持告警转到EMAIL、手机短信支持告警过滤，让用户关注重要的告警，查询结果可生成报表支持告警基级别重新定义，支持告警转存，保证系统的运行效率和稳定性支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警、屏蔽ROOTCAUSE告警等3、集群管理针对本次组网中大量二层交换机等低端设备的应用环境，QUIDVIEW网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。实现对一组设备统一、集中、批量配置管理；实现设备的集中维护管理；网络拓扑信息自动收集、维护，动态更新；节省公网IP地址资源；实现方便的软件升级、配置数据备份、配置数据恢复；4、流量性能监控QUIDVIEW网络管理软件可以统计不同线路的利用情况，不同资源的利用情况，为优化或扩充网络提供依据。QUIDVIEW提出了层次化性能监控的概念，针对不同的侧重点，提供不同的性能监控工具。QUIDVIEW网络管理软件提供TRAFFICVIEW工具，能够检测网络设备端口流量变化，它使得网络管理者能够直观地观测设备流量的变化，从而对网络设备进行有效的管理。针对用户关注的业务性能，QUIDVIEW网络管理软件提供了基于报文流七元组信息的流量工具NSCNDA，它是网流的收集和分析工具。其中，网流收集器（NSC，NETSTREAMCOLLECTOR）提供快速的网流设备数据收集工具，包含的功能收集多个网流设备输出的网流统计数据；通过配置过滤器过滤掉不必要的数据；通过聚合减少统计数据的磁盘空间占用量；分层次存储