网络工程毕业设计（论文）-重庆第二人民医院内部网接入设计

1、毕 业 设 计（说 明 书）题 目： 重庆第二人民医院内部网接入设计姓 名： 编 号： ( )字 号平顶山工业职业技术学院2011年 5月 8日摘 要当前国内医疗事业急剧发展，医院也需要信息化建设络化，在当代科技和医疗事业发展至今，人们更需要科学合理的医疗条件和设施，实现网络和医疗的互联，可以更好的解决当前的重大技术突破，比如说网络专家会诊等，所以，为医院建立完整的网络互联成为充分的必要。重庆市第二人民医院是一所集医疗、急救、教学和科研为一体的综合性医院，在当地的医疗系统中具有较大的影响力。随着医院各项业务的不断发展，重庆市第二人民医院迫切需要实现医疗办公、医疗管理、资源调配、对外交流的信息化

2、建设，为用户提供流畅的挂号、划价、取药、分诊、咨询以及远程医疗等一体化服务，实现医院药品、病房、人力等资源的合理调配和利用，通过建立一个高效、稳定的网络平台为医院的发展提供可靠的支持。一个系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，有效的利用现有的资源，并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标：可靠的技术选型、标准的体系结构、高的带宽容量、安全的流控设计、用户互操作性、运行性能以及可扩展性关键字

3、:需求,接入,设计目 录 TOC o 1-3 h z u HYPERLINK l _Toc294300829 摘 要 PAGEREF _Toc294300829 h I HYPERLINK l _Toc294300830 目 录 PAGEREF _Toc294300830 h II HYPERLINK l _Toc294300831 第一章 需求分析 PAGEREF _Toc294300831 h 1 HYPERLINK l _Toc294300832 设计目标 PAGEREF _Toc294300832 h 1 HYPERLINK l _Toc294300833 总体需求 PAGEREF _

4、Toc294300833 h 1 HYPERLINK l _Toc294300834 项目概述 PAGEREF _Toc294300834 h 1 HYPERLINK l _Toc294300835 用户需求 PAGEREF _Toc294300835 h 2 HYPERLINK l _Toc294300836 技术需求 PAGEREF _Toc294300836 h 2 HYPERLINK l _Toc294300837 设计原则及设计目标 PAGEREF _Toc294300837 h 3 HYPERLINK l _Toc294300838 第二章 接入方法的分析和选择 PAGEREF _

5、Toc294300838 h 4 HYPERLINK l _Toc294300839 网络接入分析和比较 PAGEREF _Toc294300839 h 5 HYPERLINK l _Toc294300840 2.1.1 XDSL PAGEREF _Toc294300840 h 5 HYPERLINK l _Toc294300841 2.1.2 HFC PAGEREF _Toc294300841 h 6 HYPERLINK l _Toc294300842 2.1.3 ISDN PAGEREF _Toc294300842 h 6 HYPERLINK l _Toc294300843 2.1.4 A

6、DSL接入 PAGEREF _Toc294300843 h 6 HYPERLINK l _Toc294300844 2.1.5 以太网接入 PAGEREF _Toc294300844 h 7 HYPERLINK l _Toc294300845 数字数据网（DDN，Digital Data Network） PAGEREF _Toc294300845 h 7 HYPERLINK l _Toc294300846 2.2 医院内部网络接入选择 PAGEREF _Toc294300846 h 8 HYPERLINK l _Toc294300847 2.2.1 DDN专线的优点 PAGEREF _Toc

7、294300847 h 8 HYPERLINK l _Toc294300848 2.2.2 DDN专线的特点 PAGEREF _Toc294300848 h 9 HYPERLINK l _Toc294300849 2.2.3 DDN网络的应用 PAGEREF _Toc294300849 h 10 HYPERLINK l _Toc294300850 2.2.4 DDN网络的发展方向 PAGEREF _Toc294300850 h 11 HYPERLINK l _Toc294300851 第三章 接入设计 PAGEREF _Toc294300851 h 12 HYPERLINK l _Toc294

8、300852 医院网络系统设计 PAGEREF _Toc294300852 h 12 HYPERLINK l _Toc294300853 3.2 网络操作系统选择 PAGEREF _Toc294300853 h 12 HYPERLINK l _Toc294300854 3.3 拓朴结构设计 PAGEREF _Toc294300854 h 12 HYPERLINK l _Toc294300855 3.4 IP地址规划 PAGEREF _Toc294300855 h 13 HYPERLINK l _Toc294300856 布线系统设计 PAGEREF _Toc294300856 h 14 HYP

9、ERLINK l _Toc294300857 结构化综合布线系统的标准 PAGEREF _Toc294300857 h 14 HYPERLINK l _Toc294300858 基本测试 PAGEREF _Toc294300858 h 14 HYPERLINK l _Toc294300859 第四章 网络安全 PAGEREF _Toc294300859 h 16 HYPERLINK l _Toc294300860 网络安全的基本概念 PAGEREF _Toc294300860 h 16 HYPERLINK l _Toc294300861 网络信息安全设计与实施步骤 PAGEREF _Toc29

10、4300861 h 16 HYPERLINK l _Toc294300862 确定面临的各种攻击和风险 PAGEREF _Toc294300862 h 16 HYPERLINK l _Toc294300863 明确安全策略 PAGEREF _Toc294300863 h 16 HYPERLINK l _Toc294300864 网络的安全管理 PAGEREF _Toc294300864 h 17 HYPERLINK l _Toc294300865 网络管理 PAGEREF _Toc294300865 h 17 HYPERLINK l _Toc294300866 安全管理 PAGEREF _To

11、c294300866 h 17 HYPERLINK l _Toc294300867 第五章 设备采购 PAGEREF _Toc294300867 h 18 HYPERLINK l _Toc294300868 选择采购方法 PAGEREF _Toc294300868 h 18 HYPERLINK l _Toc294300869 设备采购表 PAGEREF _Toc294300869 h 18 HYPERLINK l _Toc294300870 第六章 工程实施过程管理 PAGEREF _Toc294300870 h 25 HYPERLINK l _Toc294300871 工程预备管理 PAGE

12、REF _Toc294300871 h 25 HYPERLINK l _Toc294300872 工程实施过程管理 PAGEREF _Toc294300872 h 27 HYPERLINK l _Toc294300873 第七章 网络测试和维护 PAGEREF _Toc294300873 h 30 HYPERLINK l _Toc294300874 网络测试 PAGEREF _Toc294300874 h 30 HYPERLINK l _Toc294300875 网络维护 PAGEREF _Toc294300875 h 31 HYPERLINK l _Toc294300876 网络维护安全风险

13、分析 PAGEREF _Toc294300876 h 31 HYPERLINK l _Toc294300877 网络维护方案 PAGEREF _Toc294300877 h 32 HYPERLINK l _Toc294300878 结 论 PAGEREF _Toc294300878 h 33 HYPERLINK l _Toc294300879 致 谢 PAGEREF _Toc294300879 h 34 HYPERLINK l _Toc294300880 参考文献 PAGEREF _Toc294300880 h 35第一章 需求分析当前国内医疗事业急剧发展，医院也需要信息化建设络化，在当代科技

14、和医疗事业发展至今，人们更需要科学合理的医疗条件和设施，实现网络和医疗的互联，可以更好的解决当前的重大技术突破，比如说网络专家会诊等，所以，为医院建立完整的网络互联成为充分的必要。为了与时俱进，满足广大人民的医疗要求，合理利用网络优势是很有必要，同时可以在当前的科技和医疗结合下更好的利用和服务与人们。 现代远程医疗已经能为更多的人提供医疗帮助和需求。我们要建立起医院更加互联化和信息化的完备网络接入体系。1.2总体需求项目概述重庆市第二人民医院是一所集医疗、急救、教学和科研为一体的综合性医院，在当地的医疗系统中具有较大的影响力。随着医院各项业务的不断发展，重庆市第二人民医院迫切需要实现医疗办公、

15、医疗管理、资源调配、对外交流的信息化建设，为用户提供流畅的挂号、划价、取药、分诊、咨询以及远程医疗等一体化服务，实现医院药品、病房、人力等资源的合理调配和利用，通过建立一个高效、稳定的网络平台为医院的发展提供可靠的支持。重庆市第二人民医院有住院部、门诊部、行政部、外科楼、内科楼、实验楼等多所功能不同的建筑物医院楼面分布如图表1所示。图表 SEQ 图表 * ARABIC 11.2.2用户需求为了配合国家医疗卫生行业信息化建设，D-Link先后在济南、武汉、杭州、南京、上海、北京等地举行医疗卫生行业研讨会，并得到了广大系统集成商的大力支持以及医疗卫生行业专家们的关注。D-Link兼顾标准化与定制化

16、的双重趋势，将医疗行业用户的需求特点与主流的千兆网络技术相结合，以一系列高性价比的解决方案服务医疗行业用户，树立了良好的行业口碑，成为中国大陆医疗行业信息化建设的积极推动力量。1.2.3技术需求从技术角度考虑。一个好的网络应该从它多提供的服务和网络的安全性。在设计网络时服务方面至少应具备以下几点：(1)资源共享功能网络内的各个桌面用户可以共享数据库。共享、打印机，实现办公自动化系统中的所有功能。(2)通信服务功能用户能过通过代理服务器和广域网连接进行电子邮件的收发，实现web服务，接入互联网。进行安全的数据访问。(3)多媒体功能支持视频点播和视频会议并具有教好的质量保证。(4)通过VPN隧道访

17、问医院内部资源 1.3设计原则及设计目标目前，重庆市第二人民医院有住院部、门诊部、行政部、外科楼、内科楼、实验楼等多所功能不同的建筑物，全部需要接入网络，并要求实现以下功能：实现设备共享，减少重复投资；通过WEB发布，实现INTERNET信息查询；通过远程拨号实现远程医疗；实现病房及办公室实时监控，实时掌握病人病情变化及医生值班情况；信息共享及统一管理，医院的各种文件可以通过电子邮件或FTP等形式快速收发；建立多功能指挥厅，便于医院领导统一指挥。一个系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，有效的利用现有的资源，并且从用户的利益出发，一个好的系统应当给用户一定的自由度，而

18、不是束缚住他们的手脚，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据用户的总体需求，结合对应用系统的考虑，我们提出网络系统的设计目标：可靠的技术选型、标准的体系结构、高的带宽容量、安全的流控设计、用户互操作性、运行性能以及可扩展性 。第二章 接入方法的分析和选择网络接入方式的结构，统称为网络的接入技术，其发生在连接网络与用户的最后一段路程，网络的接入部分是目前最有希望大幅提高网络性能的环节。对本地环路网来说这是一个瓶颈，全球拥有上亿条用户接入线，因其功能有限阻碍着网络用户业务的发展，而与用户线路另一端的高性能设备形成了鲜明的反差。随着电子技术和光电技术的迅速发展，

19、数字电子系统(从个人计算机到网络交换机或路由器)以及信息传输设备性能都在快速稳步的增长，为解决这一环路瓶颈提供了广阔的发展前景。由于在本地环路铜线上传输的仍然是模拟信号，人们仍然使用着狭窄的无线电频道穿越拥挤的无线电频谱。目前如何大规模拓宽网络接入的瓶颈为全球现有的7.5亿条接入线提供超宽频带，已是当前网络技术发展的焦点，瓶颈是相对的，一对金属线可以提供支持双向交谈的足够容量，但传统的铜线所能提供的带宽，对高性能的数据网络的因特网来说的确有些勉为其难，数据用户不仅希望与对方交谈，而希望通过视频会议系统看到对方的虚拟影象，所以对传统的接入技术(接入方式、接入布线)提出高性能的要求，以突破网络接入

20、环节的瓶颈。以增加网络最后一段路程中的带宽，在大范围达到并满足用户在家庭或小型办公室的通信要求的基本前提。而局部环路的瓶颈是由今天提供的较低比特率造成的，事实上，除了本地环路的带宽限制外，当前的数据网络技术已足以保证提供运动图像和其它高带宽服务。数字用户线路(DSL)用户在两个方向并非需要同等的带宽，相反他们希望更多的带宽用于接收视频或因特网服务，为满足这一非对称的接入要求，工业界已开发出非对称数字用户线路技术(ADSL)。在现时中，为了满足电视会议或建立Web主机的需求，对数据服务要求不多的用户也可能仍需求对称的高速支持。采用ATM无源光纤网(PON0)的光纤到家庭(FTTH)，以及无线接入

21、回路等多种接入拓扑结构。AnyMedia的设计允许随意将一个应用插入应用框架内，并具有以下多种强化接入功能：1.内置宽带容量，允许系统采用ATM技术支持目前的高速数据网和因特网及视频接入。2.ADSL功能，可将系统配置在现有远程交换或其它接入系统，提供基于ATM宽带能力的数字用户专用线接入多路复用器(DSLAM)。3.可缩扩性能，用户可灵活构建从可容20-40网络单元的小型网络到可容多达600个单元的大型网络。4.语音内和数据分离，系统可将先融入ATM业务流的语音与ADSL数据分离开来，并在不同的信道上将其路由，以减少网络的阻塞。AnyMedia接入系统是面对未来基于ATM宽带服务提供基础的同

22、时，又支持低成本窄带服务，为用户的应用提供了最大的灵活性。PathStar接入服务器PathStar接入服务器是为AnyMedia接入系统提供的特性与优势分组交换方案需求而开发的技术创新产品，其独特的设计可在IP网上提供低价可靠的本地和远程服务。PathStar接入服务器是建立在AIP接入接口平台上的，将诸如Inferno操作系统和Line Card操作系统等贝尔软件与朗讯的互联接入技术集成为一体。PathStar接入服务器满足了对集成化的语音及数据网的用户接入的需求，将传统电路交换的功能和特点与高级分组路由技术相互集成，使端对端数据解决方案与IP上的语音解决方案(VOIP)同时得以实现。Pa

23、thStar接入服务器是一种完全的多功能装置，它可终止本地用户回路，处理呼叫、路由，包括语音和数据的TCP/IP分组，提供路由与交换功能，交互连接数据和语音网络。2.1网络接入分析和比较2 XDSL一、 xDSL技术概述xDSL是各种类型DSL(Digital Subscribe Line)数字用户线路)的总称，包括ADSL、RADSL、VDSL、SDSL、IDSL和HDSL等。xDSL是一种新的传输技术，在现有的铜质 线路上采用较高的频率及相应调制技术，即利用在模拟线路中加入或获取更多的数字数据的信号处理技术来获得高传输速率(理论值可达到52Mbps)。各种DSL技术最大的区别体现在信号传输

24、速率和距离的不同，以及上行信道和下行信道的对称性不同两个方面。下面以ADSL为例说明xDSL的接入方式，其它xDSL技术与ADSL相似。ADSL设备连接分为两端：用户端设备和服务提供端设备。其中用户端设备包括POTS(Plain Old Telephone Service)分流器和ADSL调制解调器(MODEM)。POTS分流器用于将话音和数据传输分开，使得将话音传向 机，将数据送到ADSL MODEM，以便同时传输话音和数据。ADSL MODEM用于将需接收和发送的数据转换成相应的传输码，以获得高速率和远距离传输，它必须与网络服务接入端的MEDEM兼容。2.1.2 HFCHFC网(光纤同轴电

25、缆混合接入)是从有线电视(CATV)网发展起来的。有线电视网经过近年来的升级改造，正逐步从传统的同轴电缆网升级到以光纤为主干的双向HFC网。利用HFC网络大大提高了网络传输的可靠性、稳定性，而且扩展了网络传输带宽。HFC数字通信系统通过电缆调制解调器 (Cable Modem)系统实现Internet的高速接入。卫星通讯和计算机等一系列新的技术发展，使一种新的VSAT系统实现构架成为现实，这种新构架称作Direct to PC或称PCVSAT，卫星通过点到多点连接方式将ISP服务器直连到用户计算机，使各种公司无论大小，甚至个人用户均可利用空间数据通讯的强大功能。国际上，单向卫星Internet

26、接入在中小企业和家庭应用比较成功，美国的Direct PC公司、日本的Direct Internet、加拿大Telesat、澳大利亚Telstra、印度的NIC India等都在本国及周边国家采用DirePC系统提供这种业务。德国也推出了类似的称作skyDSL的服务。随着这些著名公司的大力推动，卫星联网服务逐渐开始成为一种上网的新选择。宽带卫星通信市场今后十年将会有快速的增长，会给业务提供商带来巨额收入。卫星是通信系统的特殊单元，具有特殊的优点，特别是在多点宽带接入和分布式业务方面。对于宽带接入，卫星提供可支持Gbps速率传输基本带宽。主要优势：使用灵活、方便。2.1.3 ISDNISDN是综

27、合业务数字网的英文缩略词，它以纯数字方式进行语音、数据、图像的传输，可在一条普通 线上提供以64Kbps速率为基础的端到端的数字连接，可开展上网、打 、视频会议等多种业务，是传统 的升级换代产品。虽然ISDN有着众多的技术优势，但由于其设备较复杂和昂贵，速度上与56Kbps调制解调器的竞争优势也不大，而且ISDN的适配器无法同普通调制解调器互联，从而使其不能得到较大范围的应用。2.1.4 ADSL接入非对称数字用户线路(ADSL)是一种利用现有 传输线路以高带宽传输数字信息的技术，其最高速率下行信号(从端局到用户)为8Mbit/s，上行信号(从用户到端局)为1Mbit/s。现有市话铜线网用户数

28、目十分庞大，而ADSL能充分利用现有市话铜线。ADSL在干线传输层可以利用原有SDH传输系统进行数据传送，也可以与原有窄带业务共用传输系统，另外，也可以通过在线升级和扩容原有设备实现传输。ADSL能够在现有普通 线上提供高达8Mbps的高速下行速率，远高于ISDN速率，而上行速率有1Mbps，传输距离达3km5km。其优势在于可以充分利用现有的铜缆网络( 线网络)，在线路两端加装ADSL设备即可为用户提供高宽带服务，由于不需要重新布线，降低了成本，进而减少用户上网的费用。2.1.5 以太网接入以太网是一种计算机局域网组网技术。IEEE制定的IEEE 802.3标准给出了以太网技术标准。它规定包

29、括物理层连线、电信号和介质访问层协议的内容。在光纤到大楼或小区后采用以太网接入(即FTTx+LAN)是被广泛看好的宽带接入手段。以太网因接入系统构造简易、扩展灵活且速度能不断提升，成为构建企业网络首选技术之一。 采用以太网作为企事业用户接入手段的另一个主要原因是，已有巨大的网络基础和长期的经验知识、目前所有流行的操作系统和应用等都与以太网兼容。目前全球企事业用户90%以上都采用以太网接入，已成为企事业用户主导接入方式。然而，由于认证计费、服务质量、可管理性、信息安全、可靠性和实装率低等多种因素影响，以太网接入方式尚需进一步改讲。2.1.6数字数据网（DDN，Digital Data Netwo

30、rk）DDN是利用数字通道提供半永久性连接电路，向用户提供端到端的中高速率、高质量的数字专用电路，全程实现数字信号透明传输的数据传输网。DDN可以在两个端点之间建立一条专用的数字通道，通道的带宽可以是n64bps，一般0=32；支持DHCP Snooping，可以根据以太网类型、VLAN号、源/目的IP、源/目的MAC、TCP/UDP端口号、时间、协议类型等任意组合；支持单向ACL；支持IPv6 ACL；支持动静态分配，防ARP 网关欺骗；自身CPU的保护功能；支持CLI命令行管理，SNMP v1/v2/v3、SSH、Syslog、SNTP等协议。参考品牌：思科台42. 交换机2交换容量100

31、G，包转发率80 Mpps，固化千兆电口24，固化千兆SFP接口数4，插槽数3（支持万兆上联、支持堆叠）；支持IEEE 802.1x，VLAN 4k，支持链路检测协议，支持端口镜像，支持IGMP Snooping v1/v2/v3，支持STP/RSTP/MSTP等生成树协议；要求MSTP实例数=32；支持DHCP Snooping，可以根据以太网类型，VLAN号，源/目的IP，源/目的MAC，TCP/UDP端口号，时间，协议类型等之间的任意组合的ACL；支持单向ACL；支持IPv6 ACL；具有防ARP 网关欺骗功能；具有自身CPU保护功能；支持CLI命令行管理，SNMP v1/v2/v3、S

32、SH、Syslog、SNTP等协议。参考品牌：思科台83. 光纤模块千兆光纤模块参考品牌：思科个264. 网管软件企业版、支持管理200台网络设备，支持全中文的用户界面和标准Windows界面风格完全基于WEB的网管系统，支持从任何计算机使用浏览器进行网管系统登陆和操作；支持分级权限管理，允许不同等级的网络管理员对网络的不同部分进行单独的管理操作；支持Windows 2000/2003操作系统，支持SUN Solaris等；可以监控的设备和应用包括网络路由器、交换机、智能集线器、UNIX、LINUX和NT/2000服务器、Oracle和MS-SQL数据库、MS-IIS服务器、MS-Exchan

33、ge服务器，以及网站最终用户响应时间；支持对所有可监控设备的自动拓扑生成（无须人工干涉），能收集到以下设备信息：系统信息，接口信息，地址信息，路由信息，ARP信息，桥信息，全网设备拓扑管理，开放式集成功能可集成多厂商网元管理系统，可提供分布或者集中式管理能力，多种方式的事件告警管理，网络拓扑图的维护，包括对拓扑图中设备的添加，删除，查找，图标编辑和分组；支持群组化设计、 管理、 修改校验和告警，及时准确地定位客户端的位置，并可对该接入端口进行管理和控制网络管理系统的运行不能对网络产生较大影响，应尽可能的占用较小的网络带宽；提供完整的事件管理功能，可集中管理Trap事件、阈值报警事件、拓扑管理的

34、系统事件和未知类型事件；可以支持SNMP、WMI、PDC、RMON、 、PING、SMTP和POP3协议进行网络事件信息的自动实时收集和监控；支持自定义端口的Trap事件捕获，支持自定义格式和内容的事件报表输出。支持堆叠管理，支持对管理型交换机设备的拓扑发现，支持对非管理型设备，如HUB等哑设备的拓扑发现。能对网络设备进行统一的图形化管理，支持拓扑自动发现、刷新，支持拓扑视图节点直接点击进入设备操作面板；网络连通性拓扑必须实时显示骨干网络的连通性；支持在状态改变时改变节点颜色变化，可提供三层拓扑和子网自动发现并描绘功能,同时支持二层拓扑发现。并可以根据网络管理的需要，定制网络的层次视图；提供用

35、户工具，用于拓扑图的配置，监控，趋势分析和报告。网络拓扑发现以图形方式让用户更直观、方便的管理网络。对特定的网络局部可根据要求进行迅速的网络拓扑发现和实时状况（如流通性、流量等）监控；提供逼真的网络设备面板图，直观显示端口的连接状态，并可在设备面板图上进行点击操作，完成设备整体或接口的信息配置、浏览以及性能监视，支持管理员按照物理连接或个人习惯自定义物理视图，能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，且不限制管理节点数量；自动发现网络设备，自动绘制网络拓扑结构图，包括VLAN视图和子网视图；实时采集故障信息：当设备、链路、端口等故障发生，系统能够在故障发生后 1 分钟内收集

36、到故障信息并告警。系统必须实时、准确地了解网络的连通性和网络设备之间的逻辑关系，当问题发生时，可以帮助管理员确定那些故障是根源故障，那些故障时被其他故障引起的故障，从而帮助网络管理员迅速定位故障，解决问题。在网络出现故障时，系统综合现有的网络信息，分离出问题区域，迅速定位网络中的网络位置。提供故障查询的功能。可根据故障的种类、等级、时间、描述中的关键字等进行简单查询或复合查询，同时能提供根据类型、等级进行分类整理的故障月报表，年报表，以提供故障分析、统计，支持在状态改变时改变节点颜色变化，能够及时生成并报告网络设备的运行状况，配合网络设备运行阀值和调整参数的设置对故障进行报警，并可对设备进行自

37、动的预处理限制故障源，严重时自动切断故障源。网络服务性能由多种因素所组成，基本需求包括网络设备的CPU利用率、Memory利用率、各端口（包括逻辑子端口）上的进出流量和一段时间内的平均速率等；可以从所需要监控的事件中区分出性能事件，采集到的事件应存放于后台开放式的数据库中，并且存储的每一项记录应尽可能详细，对于性能事件需要记录性能的历史变化。性能指标达到一定阀值后可以转化为故障事件，进入故障管理的范畴；性能采集系统应该允许平行扩展，即随着今后网络设备的不断增加，只要增加新的采集主机即可，无须对整个采集系统结构做大的调整；对性能采集系统的配置力求灵活、简单，比如只要通过单个界面或是单个配置文件就

38、能对所关心的采集对象进行增减、修改；对设备端口的输入输出数据，SNMP报文数据，IP报文数据进行采集和监视，并且可以以多种形式表现出来，包括曲线图，饼图，柱状图，表格等。可以将采集的数据直接打印处理或者以Microsoft Excel文件的形式保存。支持实时性能监视、支持历史数据的分析功能、支持告警阈值设置功能。支持自动检测网络活动，采用不同的位图标识不同类型的设备，不同颜色的三色状态图标识设备的不同状态，为管理员提供了快速准确的的告警定位。支持网络故障统计报表；支持网络性能统计报表；支持事件报表（html格式），网管系统应能提供对性能采集数据的报表展现，包括表格形式、曲线图、直方图和饼图。报

39、表展现的形式力求灵活、直观，比如可以根据用户指定的时间段、指定的查看对象形成相应的日报表、周报表、月报表和年报表。报表内容可以通过Web的方式呈现；报表系统应具有报表生成的灵活性和呈现的多样性，以适应用户不断变化的需求。事件报表（html格式）生成功能：用户可通过指定以下事件属性的组合生成报表：事件产生的时间段、事件类型、事件源（发出事件的网络设备的IP地址） 或相应的用户定义的事件告警级别。参考品牌：思科套15. 网络出口引擎固定以太网LAN口5个千兆电口，固定以太网百兆WAN口2个，固定以太网千兆WAN口1个，包转发率650Kpps，并发NAT Session数目50万，每秒新建NAT S

40、ession数目1.6万，支持静态路由，支持RIPv1/v2，支持策略路由；支持Ping、trace，支持动态域名解析DDNS；支持QQ/MSN禁/启用控制支持URL过滤；支持对网内每用户实现动态的带宽分配功能，支持流量负载均衡，支持Web界面对关键应用进行带宽保证的设置，支持包过滤，支持攻击防御，支持静态NAT、源NAT、目的NAT，支持NAPT，支持VRRP，VRRP+热备份协议，支持链路故障快速检测机制 ，支持包过滤，支持攻击防御，支持流量控制；支持内置硬件加密引擎，支持L2TP、 PPTP 、IPSec 、GRE；支持CLI、SNMP等，支持web界面远程登录、远程管理和远程监控，支持

41、通过web界面对网内交换机进行配置管理，支持系统中文日志。支持通过 远程在线升级。参考品牌：思科台16. 应用控制引擎千兆端口数6，千兆HA接口1，支持独立管理接口，同时管理物理链路数2条，支持双机HA，支持内置Bypass，支持Inbound/Outbound双向实时流量展现，支持实时自动刷新，支持基于Protocol的实时流量分析器，支持基于IP的实时流量分析器，支持网段、主机、应用实时流量TOP N报表，支持实时在线IP/会话数统计，支持IP、子网带宽管理与会话限制，支持应用程序带宽管理与会话数限制，支持提供对未知流量的控制，支持支持日、周、月、年的系统报表查询，支持 日志、Sessio

42、n日志记录与查询，支持第三方日志服务器系统联动，实现用户上网详细记录查询，支持B/S架构，图形化中文管理界面。参考品牌：思科台17. 安全网络管理平台支持300用户1、用户入网身份验证：支持多种上网认证方式，支持、Portal等多种认证方式，支持动态、静态多元素符合绑定；支持用户认证高安全性，支持防止账号盗用和非法接入；支持用户账号、密码、用户IP、用户MAC、交换机IP与交换机端口的6元素绑定认证，并具备自动学习功能，可以减少管理员手工录入的工作量，支持统一账号、统一认证；支持与LDAP服务器的统一认证，例如支持LDAP协议的邮件或Proxy系统的统一认证，避免用户记忆多个用户名和密码。支持

43、Windows域统一认证，Windows域统一认证，从而实现网络登陆与域登陆的一次性认证，支持DHCP option82支持通过DHCP Option82的方式对指定权限的用户分配指定区域的IP地址。2、用户网络权限控制：支持为不同用户定制不同网络访问权限；支持限制用户只能使用静态IP地址或者通过DHCP自动获取IP地址；支持用户在不同地点、使用不同计算机均可动态获得相同的IP地址；防止用户端用户通过架设代理服务（含开设代理服务器、IE上设置代理、使用多网卡）提供非法外联；可以检测到多网卡和拨号上网，并能限制使用，防止内网外联。3、用户终端安全控制 ：能够检测用户PC上是否安装杀毒软件，并且是

44、否正常运行（支持十种以上常见杀毒软件）能够检查杀毒软件病毒库版本或引擎版本是否满足最低版本要求，是否已经在指定期限内进行过更新；通过与微软官方补丁更新工具WSUS联动，确保网络中的主机都能够及时更新操作系统安全补丁，并且能够在用户PC后台自动静默更新要求强制打上的关键补丁；资产管理，自动学习网络中用户主机的硬件信息、操作系统信息、软件环境信息，并且进行分类统计；操作系统高级规则，可定制应用程序安装规则，能够禁止或强制安装指定应用程序；可定制进程监控规则，能够禁止或强制运行指定进程；可定制注册表监控规则，能够对注册表指定键值进行监控和设置，并可自动进行注册表修改；可定制系统服务监控规则，能够禁止

45、或强制运行指定服务；移动存储设备与外联接口控制能够对U盘、移动硬盘等移动存储设备以及USB、光驱、1394等外联接口进行控制，并可进行强制禁用；安全检查失败后自动隔离用户，能够对端点安全性检查失败的用户进行自动隔离，阻止有安全隐患的用户进入网络，但可以允许用户访问指定的区域进行安全修复。4、网络安全控制：ARP欺骗免疫，能够从整网层面根除ARP欺骗攻击；实时监控网络安全事件，能够与专业的入侵检测设备联动，从而实现监控内网发生的各种攻击、扫描等安全事件，并将已发生的安全事件与内网用户身份进行关联，便于管理员进行审计与处理；敏感资源保护，能够将服务器区等安全性需求较高的网络设为敏感区域，并优先进行

46、更高安全级别的防护；安全事件详细描述信息能够提供3000余种安全事件的详细描述信息，便于管理员对网络安全进行分析；5、违规用户处理：隔离违规用户，自动下发ACL对不合规定的用户在接入层交换机端口上就能实现隔离，将安全控制拓展到网络边缘；下发警告消息能够在用户桌面上显示警告信息；可支持URL链接下发，并支持离线消息；下发修复程序可对用户下发任意可执行的文件作为修复程序，并对用户PC进行自动修复，同时支持离线程序；6、分布式管理模式：支持分布式管理模式，支持分布式管理模式。并提供中央服务器和分支服务器。分支机构认证、安全本地化，各分支机构下的用户能够在本地分支服务器上进行身份认证与安全检测，中央集

47、中授权管理分支机构的用户信息、安全策略通过中央服务器集中下发，并可授权分支机构进行增删改查等管理。参考品牌：思科套18. 网络行为审计系统不限用户，功能描述：防火墙NAT日志收集，支持NAT日志收集和压缩；用户NAT前后IP查询，支持NAT前、NAT后IP地址查询；用户NAT前后端口查询支持NAT前、NAT后端口地址查询；URL日志收集支持至少两种设备的URL日志收集；URL日志查询，支持基于URL的模糊查询；出口设备流量统计，支持对多个出口设备（NAT设备）的流量绘制流量曲线；用户名流量TOP N显示，能基于用户名实现流量统计；基于用户的日志汇总，能够将同一用户不同IP的上网信息归并到一起；

48、用户身份系统对接要求至少支持两种身份认证系统；应用流量统计能够支持常见应用流量统计；用户或IP应用流量区分，支持基于用户名或者IP来区分应用流量；流量异常报警，能够设置流量阀值，异常发生时在首页显示报警，并支持邮件通知；存储空间报警，能够设定阀值，并能进行异常报警。性能指标：URL处理能力，单点收集千兆带宽链路的URL；NAT处理能力，每秒2万条NAT日志；数据库，支持Mysql数据库；操作系统平台：LINUX专业平台。参考品牌：思科套1第六章 工程实施过程管理第1条 部门负责人在任命项目经理时，应同时下达工程任务书，就工程所需达到的各项技术指标等进行明确的规定。第2条 项目经理在接受任命后，

49、应在两日之内向部门负责人提交工程实施设计，经部门负责人批准后方可正式实施。第3条 项目经理在项目启动之初，必须遵循有关约定，作好IP地址的总体分配方案，包括可用地址范围、中心局域网地址范围、广域网地址范围、远程网点地址范围、备用策略及相应地址范围。第4条 项目经理向工程参与人员安排任务时，必须下达相应的工程任务书。阐明任务目标、任务背景、现有的条件、涉及的主要设备、用户的联系方式等。第5条 工程参与人员必须充分利用公司的资源，全面考虑先期的准备工作，根据实际需要，制作工程准备期相应的文档资料，预先设计任务测试内容，需要用户作的先期准备工作则应与用户以书面形式联系进行确认，向项目经理提出工作计划

50、。第6条 在搭建硬件平台前，要明确设备清单及安装的位置，考虑如下设计：1） 中心机房平面设计（包括中心机房内所有设备尺寸、位置）2） 中心机房电源设计（设备工作电压、UPS电源数量、功率、分配）3） 中心机房环境设计（防静电措施、温度、湿度、洁净度等）4） 中心机房网络布线设计5） 网点平面设计6） 网点电源设计7） 网点环境设计第7条 在安装主机系统前，要明确主机系统的硬件配置，考虑如下内容：1） 要安装的软件并明确其介质2） 硬件和软件环境需求3） 网络配置4） 磁盘冗余方式5） 卷组（共享与非共享）的配置6） 逻辑卷配置7） CLUSTER实现及配置8） 应用服务配置9） 数据库配置10

51、） 终端配置第8条 在安装网络管理工作站前，要明确工作站的硬件配置，考虑如下内容：1） 要安装的软件并确认其介质2） 硬件和软件环境需求3） 网络配置4） 卷组（共享与非共享）的配置5） 逻辑卷配置6） 数据库配置7） 网络管理软件的协同工作第9条 在配置网络设备和网络调测前，要明确设备的模块和用途，考虑如下内容：1） 网络设备系统软件的需求2） 路由协议的选择3） 根据IP地址总体分配方案，分配IP地址4） 交换机虚网的划分5） ATM交换机的LAN仿真配置有CLASSICAL IP配置6） 线缆的类型和长度，以及相应的配件（如RJ45头、BNC头、转接头）7） 远程数据通信的方式、接口和速

52、率8） 远程数据电路和相关设备的准备9） 相应工具的准备，如RJ45压线钳、BNC压线钳、电烙铁、焊锡、螺丝工具、老虎钳、万用表等。第10条 项目经理必须保证在工程参与人员到用户现场至少1天前，以书面形式向用户通报日程和工作内容。 第11条 对于存在新旧系统过渡问题的工程，项目经理应考虑相应的过渡策略，包括设备、数据、业务流程等，需要的外部条件、潜在的恶果，形成详细的书面文件，并取得用户负责人的书面同意。作为工程参与人员应透彻理解新旧系统的目标和实施过程。第1条 任务小组负责人到用户现场后，向用户现场负责人通报主要工作目标，检查先期的准备工作，提出需用户方配合的工作及必备的人员与物资条件。第2

53、条 对于存在新旧系统过渡问题的任务，任务小组负责人应检测现行系统的运行状况及涉各个设备的状况，并须向用户现场负责人阐明过渡策略，需要由用户准备的工作，现系统状况，可能的后果。得到用户的书面同意确认后方可执行。第3条 搭建硬件平台时，根据所完成的准备工作设计，应执行如下规范：1） 对尚未验收的设备会同用户现场负责人进行设备验货，填写一式两份的设备验收文档，与用户双方签字后各留一份。2） 与用户现场负责人确认设备位置。3） 确认提供的工作电压和电源功率。4） 检查设备的工作环境。5） 对于不符合设计的条件，要区分是否影响安装设备的安全。若影响安装的设备安全，应向用户现场负责人指出，提出相应的补救措

54、施，并在结束任务前以书面形式递交用户现场负责人。6） 安装设备时的防静电措施。7） 确保设备安装的整洁和牢靠。8） 综合布线实施标准参考PDS规范和附件。9） 填写一式两份的设备详细安装清单，经与用户双方签字后各留一份。第4条 在进行光缆和综合布线时，要执行如下规范：1）双绞线布线 双绞线布放前应核对型号规格、路由及位置与设计规定相符，布放平直、不得产生扭绞，打圈等现象，不应受到外力的积压和损伤；在布放前两端应贴有标签，以表明起始和终端的位置，标签书写应清晰，端正和正确，布放时应有冗余。在交接间，设备间预留3至6米；工作区为至0.6米。2）架空光缆架空光缆时，光缆采用人工布放，布放前应对光缆进

55、行盘测，布放后统一调整，挂钩间距为50cm；接头重迭长度为5米；光缆到单元光线配线向预留5米；中心机房预留20米；楼房转角处应做小预留（米）；架空光缆500米预留5米；200米预留米。3）直埋光缆的敷设a 光缆直埋深度要求在米米。b 直埋过街光缆应穿镀锌钢管保护。c 光缆在施工过程中必须严加保护，布放时不得在地面上拖拉。严禁车压、人踩、重物冲砸、严禁铲伤、划伤、扭折、背扣等人为损伤。4）单元终端箱但愿终端箱箱体安装应：平、正、稳、牢。箱体在不影响正常使用和整体美观的前提下，可按实际需要自行开孔，并配锁母，多余的用橡皮圈封口。箱体安装应合理，安装完毕后需用钥匙锁住。5）PVC管的敷设25以下采用

56、冷弯管。楼层间选用双头圆盖分线盒，底层和顶层用当头分线盒；根据管径大小自行开孔穿管分线到户。进箱、盒的PVC管锁扣锁紧，接头处用胶粘牢。管卡采用带塑膨胀的C型卡或U型卡，管卡间距为50cm。PVC管安装须牢固，不能有松动现象，横、平、竖、直以符合规范。6）信息模块的安装模块与双绞线压接时注意颜色与标号配对应一对一对分开放入信息模块相对的端口上，在双绞线压接处不能拧、撕，防止有断线的伤痕，必须用压线工具压接，压接时要压实，不能有松动的地方。双绞线剥皮后不能过度拉伸，以免损伤双绞线。7）RJ45头的连接RJ45头连接时应按双绞线色标顺序排列，不要有差错。与RJ45接头点斩齐；用压力钳压实。单元终端

57、箱内RJ45头编号应一一对应于到户信息座里的模块8）线缆的预测试和连接测试所有的光缆器件，包括光缆、跳线、尾纤、耦合器在进入现场前必须进行激光笔打光预测试。测试的目的是检查UTP线缆是否存在断路和短路的情况、配线架和信息插座端的线缆连接是否正确。因此，在检测前，首先要确认事先做好的测试线连接正确，方法很简单，只要将测试线的两端分别接到测试仪的发射器和接收器RJ45口上，接通电源检测即可。如果机柜内的配线架较多时，最好是连接完一个配线架紧接着就作测试，这样可避免因排除某根线缆的故障而引起的另一根线的松动或脱落。第5条 在安装网络管理工作站时，要执行以下规范：1） 详细记录所作的各项配置。2） 主

58、动检查系统的稳定性，确认是否达到设计目标。3） 确认网络管理软件的功能。4） 向用户提交工作站基本使用与维护的书面说明。5） 向用户讲解网络管理软件的基本功能和*作办法。6） 拷贝记录制作相关文档的其他信息。第6条 在配置网络设备和调试广域网络时，要执行如下规范：1） 地址配置的正确。2） 进行网络的连通可靠性和功能性测试。3） 尽可能优化网络性能。4） 拷贝网络配置文件和其他信息。5） 整理捆绑相关电缆。第7条 工程参与人员在结束任务时，应按预先设计的测试内容进行测试。并形成相应的测试报告。第8条 任务小组负责人在离开用户现场前，必须填写任务完成报告，并由用户现场负责人签字确认，带回交给项目

59、经理。第9条 工程参与人员要在完成任务一周内制作或完善所完成任务相关的技术文档，并提交项目经理。第七章 网络测试和维护7.1网络测试在整个网络组建完成后，应马上进行完善的网络测试。此处所谓的网络测试并不是网络系统在投入使用前很少有用户进行严谨的测试，许多用户看见设备的灯亮了，进行几次PING测试，再在PC之间传输一下文档，就认为网络系统已通过验收，可放心使用了这样敷衍了事。这种做法其实是不慎重的，一旦先期安装中的隐患发作，就会令网管人员措手不及。因此在网络系统投稿使用前，这里有几种测试方法：1网络速度测试：利用网络测试仪对网络的连接速度进行测试，尽量使网络速度稳定、高效，利用率达到最大，及时的

60、修复网络中存在的不足，减少网络出现故障的频率，以及发生故障时修复所需要的时间，从而减少公司因为网络故障而不能应用产生的损失。 2企业主干网络与Internet的测试:通过企业的计算机，对Internet进行访问，并开放和屏蔽一定的端口，达到外部能访问到企业网页和阻止黑客对企业进行恶意破坏的效果。3企业网络内部网络测试:该公司的内部划分主要采用了VLAN技术，设置各部门互访权限.测试各部门访问是否达到预期效果，使内部资料能在LAN中快速传输，个别保密部门的资料又能得到安全的保护。 4网络协议统计和用户统计。繁忙时对网络的应用协议进行统计，清理不合格的协议，标注发送和接收数据包最多的用户，统计其占