xxxxx网络项目实施计划方案-8.4

./xxxxxx网络项目实施方案文件状态：[√]草稿[]正式发布[]正在修改文件标识：Delteq-Project-telecom当前版本：0.9作者：完成日期：******技术目录第一部分工程描述3第二部分网络拓扑图4第三部分设备清单8第四部分网络设备机柜布局图9第五部分技术规划115.1核心交换机Catalyst6509和Catalyst4506115.2汇聚层Catalyst2970和接入层Catalyst2950125.3Cisco3845安全路由器125.4防火墙模块FWSM135.5入侵检测模块IDSM145.6趋势防病毒产品155.7网强网管软件及PCMAIN资产管理软件185.8网络安全规划195.9路由协议规划215.10VLAN及IP地址规划215.11网络管理设置255.12设备名和口令设置255.13设备连线26第六部分项目组及项目进度安排27第七部分网络应急方案31第八部分参考配置348.1Trunk协议的配置348.2安全VTP域的配置348.3二层VLAN的配置348.4三层VLAN的配置348.5浮动静态路由的配置348.6安全策略的配置348.7HSPR协议的配置358.8CBAC配置35附表1：设备连线表37实施方案认可表：45第一部分工程描述xxxxx〔集团股份是一家以铜加工为主的全国大型企业。xxxxx集团网络系统项目建设的总体目标是利用各种先进成熟的网络技术和通信技术,建设一个技术先进、扩展性强、安全性高的数据中心及主干网络。数据中心包括中心服务器和中心存储系统,同时通过网络系统将公司各种PC机、工作站、终端设备和局域网连接起来,并与原有的网络系统、广域网相连,形成结构合理、外沟通的企业网络系统,并在此基础上建立能满足企业办公、指挥协调和管理需要的软硬件环境,开发各类信息库和应用系统,为集团公司工作的各类工作人员提供充分的网络信息服务。*******对这次参与实施xxxxx网络项目,能为xxxxx建设一个高速、安全的主干网络尽自己的微薄之力而感到非常荣幸,同时也深感责任重大。我们重承诺：一定把该系统建设好,完成集团领导交给我们的任务！第二部分网络拓扑图由于xxxxx网络较为复杂,且设备之间有多种的组合,我们设计了2种网络方案,其中方案1拓扑图如下：主楼放置2台核心交换机Catalyst6509和Catalyst4506,两台核心交换机之间捆绑两条1000M光纤线路互联,配置HSRP互为热备来实现主交换之间的冗余,同时通过ACL来保证VLAN之间的安全互访,主楼中分布7台接入层交换机Catalyst2950,分别通过trunk链路连接到Catalyst6509和Catalyst4506,实现接入层到核心层交换之间冗余,在2个侧楼各分布了1台Catalyst2970和2台Catalyst2950,Catalyst2970通过光纤线路分别连接到Catalyst6509和Catalyst4506,实现汇聚层到核心层交换之间冗余,原老大楼网络主交换为一台avaya三层交换机,通过光纤线路连接到核心交换机,按照整体设计,老大楼需要拉两根光纤线路到中心机房,以达到新老大楼线路连接冗余,另有4个点通过改动后的光纤线路连接到核心交换机,需要安装共4台cisco2950交换机。网络的主出口设备为cisco3845,同时连接电信和网通的线路,部网络通过cisco3845做NAT地址转换来访问公网,在cisco3845上对两条线路做策略路由通过合理的分配流量来实现线路的负载均衡,同时cisco3845作为VPN服务器,各个分公司用户及移动用户通过VPN安全接入到部网络,对网服务器进行访问。在cisco3845后面是PCMAIN行为监控设备,对网上网的异常行为进行监控,拦截和限制非法收发的,对部网络上网的带宽进行限制,趋势防毒墙NVW1200接在PCMAIN后面,为透明模式,对所有经过这条链路的流量进行监测,防止网络病毒进入部网络,在NVW后面是Catalyst6509的防火墙模块FWSM,这是网络中最重要的一道防护,我们将会配置严格的访问控制来保证网络的安全,FWSM将配置为透明模式,以降低网络的复杂程度,Catalyst6509上的IDS模块IDSM对网络中的重要流量进行监控。新增服务器群中每台服务器都分别接到核心交换机Catalyst6509和Catalyst4506上以实现链路的冗余,趋势OFSC和TMCM对部网络中起着病毒防和集中管理的作用,网强网管对所有网络设备进行集中管理,PCMAIN服务器对xxxxx中计算机资源进行管理,网络中CISCO的安全设备都通过VMS来集中管理。xxxxx很重视部网络中对访问权限的控制,我们通过ACS与网中的域控制器相结合,合理配置ACS来实现,ACS主备服务器各一台,分别接在两台核心交换机上来达到冗余,防止其中一台服务器出现故障导致全网无常访问。方案2如下图：与方案1中不同的是网络出口设计为两条链路,一条为主链路,作为部网络上网的出口,一条链路作为VPN拨入接入,主链路出口为电信线路,下面接趋势防毒墙NVW1200PCMAINFWSM,其中上网通过FWSM做NAT地址转换,并在FWSM进行出入流量的状态检测,VPN链路出口为网通线路,接cisco3845,其中cisco3845作为VPN服务器,并同样起用NAT配置作为主链路的备份,一旦主链路中出现故障无法上网,可以切换到VPN线路来上网,实现上网设备的冗余。以上2种方案相比,各有优缺点总结如下：从上网出口看方案1的优点在cisco3845上接2条线路通过做策略路由,通过合理的分配可以实现ISP线路的负载均衡,并能作到上网线路的冗余,缺点是如果上网设备出现问题,这个链路就会断掉,无法实现设备的冗余；方案2中出口设备为2个,优点是一旦上网主链路FWSM出现故障,上网设备将会切换到cisco3845上,网通过cisco3845做NAT出外网,这样可以实现出口设备的冗余,缺点是2条线路一条上网一条走VPN不能通过对流量的调整来达到线路的负载均衡。从安全性看方案1在安全性上是非常高的,网络中进出的所有流量都经过了cisco3845、NVW1200、PCMAIN行为监控设备、FWSM对病毒、进攻及异常流量的多层防护,在方案2中的上网主链路中同样也实现了很高的安全性,经过了NVW1200、PCMAIN和FWSM的多层防护,在VPN的链路上用户拨入到cisco3845经过了安全认证,并且cisco3845对VPN流量进行状态检测,对攻击行为有着很好的防护能力,但是由于未部署防毒墙,对网络病毒缺乏防护,安全性稍低。从故障概率方案1上出口设备都在一条链路上,且为单点故障,设备数量多于方案2,即故障点多于方案2,所以从故障概率来说方案2稍优于方案1。对于以上的2种方案进行了技术分析并结合xxxxx的实际网络需求情况,我们最终决定实施是采用第1种方案,第2中方案作为备用。第三部分设备清单CISCO产品核心交换机Catalyst6509数量主核心交换机WS-C6509Cat6509Chassis,9slot,15RU,NoPowSupply,NoFanTray1WS-C6K-9SLOT-FAN2Catalyst6509HighSpeedFanTray1WS-CAC-3000WCatalyst65003000WACpowersupply2WS-SUP720-3BCatalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3B1WS-X6548-GE-TXCatalyst650048-portfabric-enabled10/100/1000Module1WS-X6408A-GBICCatalyst60008-portGE,EnhancedQoS<Req.GBICs>1S6M3AK9H-12217SXBCiscoCAT6000-MSFC3IOSENTFWW/SSH/3DES1WS-SVC-IDS2-BUN-K9600MIDSM-2ModforCat1WS-SVC-FWM-1-K9FirewallbladeforCatalyst65001WS-G54841000BASE-SXShortWavelengthGBIC<Multimodeonly>8核心交换机Catalyst4506备用核心层WS-C4506Catalyst4500Chassis<6-Slot>,fan,nop/s1WS-X4515Catalyst4500SupervisorIV<2GE>,Console<RJ-45>1S4KL3EK9-12225EWCiscoIOSENHNCDL3C4500SUP4/5,3DES<OSPF,EIGRP,IS-IS>1PWR-C45-1300ACVCatalyst45001300WACPowerSupplywithInlinePower1PWR-C45-1300ACV/2Catalyst45001300WACPowerSupplywithInlinePower1WS-X4548-GB-RJ45Catalyst4500Enhanced48-Port10/100/1000Base-T<RJ-45>1WS-X4306-GBCatalyst4500GigabitEthernetModule,6-Ports<GBIC>1WS-G54841000BASE-SXShortWavelengthGBIC<Multimodeonly>8汇聚层交换机Catalyst2970汇聚层WS-C2970G-24TS-ECatalyst29702410/100/1000T+4SFP,EnhancedImage2GLC-SX-MM=GESFP,LCconnectorSXtransceiver4VPN路由器VPN路由器CISCO3845-HSEC/K93845SecurityBundle,AIM-VPN-HPII-PLUS,Adv.IPServ,64F/256D1接入层交换机接入层交换机WS-C2950T-48-SI4810/100and210/100/1000BASE-Tuplinks,StandardImage15安全认证软件用户认证平台CSACS-3.3-WIN-K9CiscoSecureACS3.3forWindows1安全管理软件安全管理平台CWVMS-2.2-WINR-K9VMS2.2WIN20DeviceRestricted1非CISCO产品说明数量网强网管软件支持100个节点1Pcmain计算管理系统和容监控系统,500点1趋势网络防毒墙1200－L型,最多可用至250用户1趋势防毒软件EnterPriseSolutionforInternet-B<趋势科技防毒墙网络版+趋势科技防毒墙服务器版+ScanMail+Interscan+TMCM>,300点1第四部分网络设备机柜布局图网络设备中需要上架的有cisco6509一台、cisco4506一台、cisco3845一台、趋势防毒墙NVW1200一台、cisco2970二台、cisco2950十五台,其中除2台cisco2970和4台cisco2950分别放置在两个侧楼机柜外,另有4台cisco2950分布在4个分厂,其他设备均分布在主机房的2个机柜中。主机房网络设备布局如下：下图为两个侧楼机柜布局,由于每个机柜只有3台设备放置,占用空间较小,可以按照实际情况进行调整。第五部分技术规划5.1核心交换机Catalyst6509和Catalyst45062台核心交换机上配置HSRP以实现主交换设备之间的冗余,HSRP如下图所示：通过配置HSRP组可以实现负载分担和核心交换机间的相互热备,如上图所示：主交换机为Catalyst6509,备份路由器为Catalyst4506,通过HSRP配置中生成的各个VLAN接口的虚拟地址作为下面交换机和终端的网关,所有终端平时通过主交换机Catalyst6509互访和上外网,如果主交换机出现故障,备份交换机承接主交换机的所有任务,并且不会导致主机连通中断现象。同时,通过将对VLAN网段进行分组,可以实现流量的负载均衡功能,充分利用网络带宽资源。核心交换机之间交换机之间采用CiscoGEC〔GigabitEtherChannel技术相连,在核心交换机上各配置2个千兆光纤接口组成一条逻辑通路〔Channel提供双倍的并行带宽,实现核心之间成倍增加带宽和为线路冗余提供可靠性。在交换机上启用VTP,VTP是思科第2层信息传送协议,主要控制网络围VLANs的添加、删除和重命名,VTP减少了交换网络中的管理事务,通过VTP,其域的所有交换机都清楚所有的VLAN的情况。xxxxx网络中VTP规划如下表：VTPdomainJTTYVTPmodeEnableVTPpasswordDelteqVTPserverCatalyst6509、Catalyst4506VTPclientCatalyst2970、Catalyst29505.2汇聚层Catalyst2970和接入层Catalyst2950核心层与汇聚层2970及2950、汇聚层2970与接入层2950之间连接通过trunk封装802.1q协议来透传VLAN信息,Catalyst2970和Catalyst2950之间采用channel技术,在两边交换机上各配置2个千兆以太网接口组成一条逻辑通路〔Channel提供双倍的的并行带宽,实现汇聚层和接入层之间成倍增加带宽和为线路冗余提供可靠性。5.3Cisco3845安全路由器Cisco3845为整个网络做NAT地址转换来访问公网,xxxxx下属的各个子公司和出差的移动用户有访问部网络服务器的需求,我们通过配置cisco3845为VPNserver来实现vpn远程连接,客户端通过安装ciscovpnclient拨号软件,在任何可以上网的地方拨号到cisco3845,经过认证后来实现通过VPN安全的访问部网络主机。VPN配置参数表：加密算法3DESHASH算法MD5D-H组2认证方式预共享密钥身份标识IP加密图动态Cisco3845采用带有防火墙功能的IOS,通过对CBAC的配置,严格审查源和目的地址,增强端口的和TCP和UDP应用程序的安全,CBAC比目前的ACL解决方案更加安全,因为它根据应用类型决定是否允许一个会话通过防火墙,并决定是否为回返通信流量选择某一通道,cisco3845在实际应用考虑到其自身资源的耗费,既作为VPN服务器又对整个网络做NAT,如果起用CBAC将会导致出口数据流较大的延时,且由于FWSM已完全能保证网络出口链路的安全性,我们在实施时不起用CBAC,但是如果采用方案2时,cisco3845将起用CBAC来保证VPN链路的安全性。5.4防火墙模块FWSMCisco防火墙服务模块FWSM安装在CiscoCatalyst6509交换机中,FWSM是业界性能最高的防火墙解决方案,FWSM能提供5Gbps的性能、高达1,000,000的并发连接数及每秒10万个的新增连接数。FWSM完全支持VLAN,提供动态路由,而且可以完全集成在CiscoCatalyst6500系列交换机。FWSM基于CiscoPIXFirewall技术,FWSM采用了通过软件下载增强特性的网络处理器技术,能最大限度地适应未来需求和特性。由于FWSM高达5Gbps出色的性能,我们采用FWSM作为网络出口链路中最重要的一道防护。我们将根据实际网络访问要求制订严格的访问控制策略在FWSM上,对进入部网络的数据都进行状态检测。〔1服务访问策略：服务访问策略集中在外部网络访问。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从外部访问某些部主机和服务；允许部用户访问指定的外部主机和服务。〔2Firewall设计策略：Firewall设计策略基于特定的Firewall,定义完成服务访问策略的规则,通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。我们在对外部网络访问控制中采用第二种类型的设计策略。5.5入侵检测模块IDSM为了满足xxxxx对交换型局域网中的入侵检测的需求,我们采用Catalyst6509交换机提供了一个带有IDSM的集成解决方案。IDSM从交换机背板监控网络流量,而不是使用与一个交换机SPAN端口连接的外部IDS检测器。这样就可以对网络流量进行更细化的访问并克服与SPAN的局限性。IDSM将检测网络中的未授权活动〔如黑客攻击并向管理控制台发送告警,提供所发现的活动的详细信息。安全或网络管理员将指明IDSM必须利用VLAN访问控制列表〔ACL捕获特性来检查网络流量,从而实现了严密的流量监控。IDSM具有最广泛的攻击识别功能,提供了世界最佳的实时入侵检测解决方案。IDSM部署在Catalyst6509机箱中,只占用一个插槽,交换机置IDS的解决方案可以通过VLAN访问控制列表{VACL}获取功能来提供对数据流的访问权限。通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN〔RSPAN/SPAN检测分组的复本,而且如果设备需要维护,因为它并不位于交换机转发路径上,因而它不会导致网络性能降低或者中断。我们将配置IDSM对网络中的出口流量、VPN流量和服务器访问流量等重要的数据流量进行监测,实时监视各个网段的访问请求,并及时将信息反馈给控制台。每秒500Mb〔Mbps的IDS检测能力可以提供高速的分组检查功能,可以为各种类型的网络和流量提供更多的保护,多种用于获取和响应的技术,包括SPAN/RSPAN和VACL获取功能,以及屏蔽和TCP重置功能,从而让监控不同的网段和流量,同时让产品可以采取及时的措施,以消除威胁。重要的管理技术〔CiscoVMS安全产品包提供的支持,以及置的CiscoIDS设备管理器、IDS事件浏览器、本地管理功能和CLI支持让IDSM更加便于管理,更加善于检测和响应威胁,同时就潜在的攻击向管理人员发出警报。我们将配置FWSM和IDSM实现联动,当IDS发现与其特征库中相匹配的攻击行为时,会给防火墙发送一条信息,防火墙根据IDS的信息动态的增加一条规则阻断攻击,从而为用户提供一个整体、动态的网络安全。IDSM-2是一个被动设备,在发生故障时不会对CiscoCatalyst设备造成任何破坏性影响。5.6趋势防病毒产品TMCM中央控管趋势TMCM是中央控管软件,对所有趋势产品进行升级部署和管理,其中最重要的是趋势NVW1200的管理,是必须要注册到TMCM上的,其他趋势产品同样需要注册到TMCM上,在实施中需要注意的是TMCM和NVW及OFSC服务器和客户端之间都要保证双向的通信,趋势所有产品在实施中我们都会设置预设升级〔每天和预设定时扫描,以达到最佳的防护效果。趋势防病毒控管中心TMCM软件安装在xxxxx部网络中趋势防病毒服务器上。实现对所有趋势防毒软件的集中管理、集中设置、集中维护；在xxxxx部网络中搭建一个三层的病毒防护、管理构架；集成临时策略功能,有效阻止爆发初期,病毒在网的感染和扩散；形成统一报告,提供分析网漏洞的有效数据。我们将配置TMCM提供漏洞评估工具和病毒爆发防御服务,为整个网络部的计算机做一次整体的扫描,结合趋势科技提供的损害清除服务,从后台自动的将被病毒感染的机器清除干净,避免了人为手动清除病毒,从而将网管从大量的手动清除病毒的状态下解脱出来。病毒爆发防御服务将网络部所有病毒可能利用的途径全部关闭,例如：自动关闭病毒的利用和攻击的特定端口,并自动的隔离已经感染病毒的PC,关闭共享文件夹等以保证在大规模病毒泛滥时部网络的安全。趋势防毒墙NVW1200我们将NVW布署在主出口链路上,对所有进过这条链路的流量进行病毒监测,NVW将发起病毒攻击的计算机的IP地址记录实时上传到TMCM加以记录。所有感染病毒的客户机在企图向外发送病毒数据包时,病毒数据包均会被NetworkViruswall所阻挡,同时,NetworkViruswall会联动TMCM,自动的将被病毒感染的计算机上的病毒清除。配置中需要注意的地方在FWSM上为两端的TMCM和NVW1200开放10319注册管理所必需的端口以保证通信正常。我们将利用NetworkViruswall检测网络中防病毒漏洞和安全漏洞,由于xxxxx中的Windows2000professional系统,windowsXP系统以及windows2000Server或以上的系统存在着防病毒漏洞和部分微软系统安全隐患,极有可能被病毒利用〔如：冲击波病毒,从而对整个网络的速度,性能造成极大的影响,甚至可能造成网络瘫痪。通过利用NetworkViruswall的系统安全漏洞检测功能可以将有系统漏洞的机器做暂时的隔离。我们将配置NVW将有系统漏洞的机器重定向到安装安全补丁的部,从而避免了IT网管人员大量的手动工作,更有效率的提升部网络的安全。通过分析网络数据流量变化、任何时刻连入或连出任一客户端的联机数、任一端口号或通讯协议〔TCP、UDP、ICMP和IGMP突然流量激增。找出中毒的主机、病毒攻击目标,以及针对特定弱点的攻击,并通过集中管理控制台〔TMCM通知IT管理人员。OFFICESCAN网络版我们将在部网络中部署一台防病毒网络版OFSC服务器,由于管理跨多网段我们必须通过IP地址方式来进行安装管理,网络中的计算机可以通过多种方式〔如web安装、客户端安装包安装等来安装客户端防病毒软件。透过Officescan服务器端的Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全网的防毒策略,并且也能迅速响应各种紧急事件。Officescan网络版防病毒软件布署后有以下优点及特性：支持防护策略的自动/手动配置：有效控制病毒扩散〔通过主控服务器,在设定的时间段,关闭所有客户机的共享文件,特定端口,保护文件或文件夹不被病毒修改；集成网络版防火墙：通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙；集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新,完全摆脱传统防病毒软件需要独立使用专杀工具,并且每一个病毒都有特定的专杀工具,造成数量巨大；安全的通信机制：Officescan服务器和客户机的通讯不依赖ICMP〔Ping,而采用WinsockAPI的方式；移动管理界面：HTTPBase具有Web管理功能,可以跨WAN进行管理；实时更新病毒日志：方便而简单的配置管理与实时报告；自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源,将其它计算机指定到该计算机更新,以节省网络带宽。对低带宽网络环境特别有效；检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞；强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装；预扫描系统病毒：软件安装时可对病毒进行预处理；定位病毒源头病毒：客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导；POP3病毒的查杀；ServerProtec服务器版ServerProtec服务器版防病毒软件本身被设计成一个多层结构的软件。它共有三个模块：InformationServer<IS>,NormalServer<NS>,ManagementConsole<MC>。NS是安装在每台文件服务器上的防毒模块,IS是所有NS的集中管理模块；MC是给管理员使用的管理界面模块。在部署时我们将安装ServerProtect信息服务器及管理控制台〔SPInformationServer&ManagemnetConsole到趋势防病毒服务器上,作为Serverprotect的管理中心。在管理中心上实现每一个管理单位所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台NT或2000服务器上安装ServerProtect的普通服务器〔SPNormalServer。同时,通过安装TMCM代理程序,Serverprotect就能够被整合在TMCM的管理体系中,并且能够通过TMCM得到"病毒爆发抑制策略"。Serverprotect应用该策略能够有选择性的关闭某些病毒攻击网络,服务器和客户机的端口,或共享文件夹。从而保护网络中的服务器群,在最新的病毒码没做出来之前不被新病毒攻击。5.7网强网管软件及PCMAIN资产管理软件网强®公司是完全站在第三方角度来开发软件。对于硬件设备的管理,只要该设备是支持业界标准SNMP协议的,我们都可以毫无障碍的完全支持。因此任何厂商的任何型号,主要它支持管理,我们就可以纳入管理围。《网强网络管理系统》充分考虑到网络安全性以及网络稳定性。所以实施起来万无一失。如果运行中网管机发生故障〔系统崩溃,硬盘损坏等。网络仍然保证完好运行,不会有任何影响。《网强网络管理系统》的开发标准都是基于业界通用标准。支持SNMP各个版本等各个通用协议。《网强网络管理系统》的数据库结构使用业界通用的主流数据库SQL结构。结构非常稳定,有无数的应用充分证明SQL结构是经的起考验的。按照xxxxx的网络规模及现状,在信息中心安装《网强网络管理系统》,通过信息中心的核心网络设备对整个网络进行管理。在本次实施过程中,网强信息技术〔负责xxxxx网管软件的安装、调试,并对负责本次项目的用户技术工程师、技术负责人进行相关技术培训交流。网络管理系统实施部署1采集信息获得xxxxx的网络拓扑图。填写主要设备类型名称和ip地址填写网管系统所要管理的所有ip子网地址。登入所有需要管理设备获取snmpagent信息和stp信息2数据分析确定可网管设备数量。用第3方软件确定管理通路。对于未开启snmp的设备进行配置。确定统一共同体命。3安装《网强网络管理系统》填写子网地址和服务器地址进行拓扑发现。生成网络拓扑和原先拓扑图进行对比4添加主干设备告警规则。5自动化报表系统能够正常工作。6填写《网强网络管理软件安装表》另外PCMAIN产品实施方案将会由厂商直接递交用户,在本方案中暂不做描述。5.8网络安全规划在xxxxx网络中,采用了多种安全设备来实现部网络的安全性,包括Catalyst6509防火墙模块FWSM、入侵监测模块IDSM、安全VPN路由器、趋势防病毒软件OFSC和趋势防病毒墙NVW1200等对感染部网络的病毒的防,在对网络和服务器的安全访问控制上我们将通过5个方面来实现：我们在ACS里通过TACACS协议来控制网络连接,凡是连接到网络中的终端,都要经过802.1x认证,如果成功,则用户将连接到部网络中,如果失败,用户的PC上网卡将处于"down"的状态,802.1x认证实现对非法用户连接到网络的限制。依照《xxxxx网络改造项目系统访问权限调查表》的调查结果,我们通过在Catalyst6509和Catalyst4506上应用ACL来实现不同的用户对网中服务器的访问权限的不同,ACL在这里基于IP来进行控制,在每个VLAN中均会设置几个子网,不同子网里的用户对服务器有着不同的访问权限。对于上网和收发的控制,网中只有部分用户可以上网,部分用户可以访问固定的网址,部分人可以收发,其中用户的上网权限将通过FWSM做ACL来进行控制,其他功能通过PCMAIN来实现,PCMAIN能通过URL过滤作到限制用户只能对部分网址的访问,通过自定义及系统本身定义的对信箱URL过滤和表单提交的限制来实现对大部分非企业信件收发的限制,对非企业的限制要达到很好的效果必须还要结合良好的管理制度来实现。为了更好的保证上网用户的安全性,防止非法用户通过盗取他人的IP地址来上网,我们将对所有上网PC的MAC地址进行统计,通过PCMAIN将IP和MAC进行绑定来实现。通过在域控制器上对不同域用户权限的分配来实现对服务器不同的访问权限,用户登陆到网络中必须要输入分配的用户名和密码,才能被授予对不同服务器的访问权限,同时配合各个应用系统中本身软件系统对其各个子系统对外访问的权限控制功能,来实现整个网络和应用系统的安全访问。考虑到xxxxx部网络中会出现这种情况,即在一些重要会议中领导可能会使用笔记本电脑,这些用户需要上网或访问某些服务器,为了满足需要我们将会采用动态VLAN技术,当这些笔记本电脑接入到网络中后,在输入用户名经过认证后只需要将IP地址设置为自动获取,则可以获取到IP地址并同时获得相应的权限,可以上网和对部分服务器进行访问,这样既保证了网络的安全性有提高了网络的灵活性。由于域控制器和ACS对于网络安全访问的重要性,如果一旦出现问题将导致整个网络的重大灾难,我们安装了主域控制器和备份域控制器及主备ACS服务器来实现服务器之间的冗余。在趋势防病毒墙NVW1200实施中我们将会将其和win2000域紧密的结合在一起,在趋势中央控管TMCM中我们将对整个域进行定时扫描,通过TMCM和NVW对域中所有成员进行在线损害清除〔DCS和漏洞扫描,一旦有外来的感染了病毒的PC加入到域中就会被强制进行扫描和其他处理,如果没有安装防病毒软件或者没有打上系统补丁的PC同样会被进行处理。另外,我们还可以适当地在思科交换机上选配如下功能,以大大增强网络的安全性,所有设备中访问控制在实施过程中和用户协商制订。这里列举了一些通用安全清单以供参考：●控制交换机的物理访问端口。●设置复杂的enablesecret密码●设置会话时。●明确禁止未经授权的访问。●使能并且安全地配置必要的网路服务；关闭不必要的网络服务。●为SSH设置更安全的密码,然后利用SSH代替telnet进行远程管理。●使用SNMP协议时,为SNMP设置更难以破解的community字符串。●限制基于MAC地址的访问来保护端口安全,关闭端口的自动中继功能。●关闭没有使用的交换机端口并且为它们分配一个无用的VLAN号。●限制中继端口能传输的VLAN数。●思科标准和扩展IP安全路由器ACL〔RACL可以针对控制面板和数据面板流量,在路由接口上指定安全策略。●使能日志功能,并且将日志文件专门放到一台安全的日志主机上。●使用NTP和时间戳来标记日志文件的时间信息。●定期查看日志文件以预防可能发生的事故,依照安全策略将日志文件存档。●使用AAA认证来保护对交换机的本地和远程访问。●对交换机配置文件进行脱机安全备份,并且限制对配置文件的访问。同时应该对不同的配置添加描述性注释以方便查看。5.9路由协议规划xxxxx网络都采用静态路由,静态路由完全满足网络需要。静态路由的优点如下：1、就带宽而言,静态路由没有开销。而在动态路由中,路由协议存在一个相关的带宽问题以维护它与临近路由器的关系。尤其是基于距离向量的协议对带宽要求更高。2、就安全性而言,静态路由可以人工限定IP地址的访问权限,因此对于高安全行网络而言是非常必要的。5.10VLAN及IP地址规划按照xxxxx的网络总体设计,我们规划vlan主要以部门为单位来进行划分并考虑到服务器网段保持不变。Vlan网段规划表：Vlan号Vlan说明Vlan网段Vlan名称网关地址Vlan1管理managementVlan2服务器群_1Server_1Vlan3服务器群_2Server_2Vlan4总裁办zongcaibanVlan5行政部xingzhengVlan6信息中心ITVlan7企管部qiguanVlan8财务部caiwuVlan9人力资源部HRVlan10市场部/24shichangVlan11供应部gongyingVlan12铜棒公司tongbangVlan13合金线材厂hejinxiancaiVlan14阀门公司famenVlan15电材公司diancaiVlan16磁业公司ciyeVlan17板带公司bandaiVlan18铜管公司tongguanVlan19冶炼公司yelianVlan20铜线公司tongxianVlan21物资公司wuziVlan22工程部gongchengVlan23品质部pinzhiVlan24审计部shenji两台核心交换机做HSRP冗余,VLAN接口地址规划表：接口Cisco6509Cisco4506HSRP虚拟地址INTVLAN2INTVLAN3INTVLAN4INTVLAN553INTVLAN6INTVLAN7INTVLAN8INTVLAN9INTVLAN10INTVLAN11INTVLAN12INTVLAN13INTVLAN14INTVLAN15INTVLAN16INTVLAN17INTVLAN18INTVLAN19INTVLAN20INTVLAN21INTVLAN22INTVLAN23INTVLAN24交换机管理地址规划表:Cisco6509Cisco4506Cisco2950_主楼_1Cisco2950_主楼_2Cisco2950_主楼_3Cisco2950_主楼_4Cisco2950_主楼_5Cisco2950_主楼_6Cisco2950_主楼_7Cisco2950_分厂_1Cisco2950_分厂_2Cisco2950_分厂_3Cisco2950_分厂_4Cisco2970_左侧楼Cisco2950_左侧楼_1Cisco2950_左侧楼_2Cisco2970_右侧楼Cisco2950_右侧楼_1Cisco2950_右侧楼_2网络设备IP地址及新增服务器网IP地址规划表：设备名称IP地址子网掩码所接端口FWSMIDSMPCMAIN行为检测趋势OFSC服务器趋势TMCM服务器趋势NVW1200主ACS服务器备ACS服务器网强网管服务器PCmain服务器VMS服务器以上地址均属于服务器网段涉及到用户的IP地址规划,在实施过程中按照用户要求制定。5.11网络管理设置网络管理需要注意的几个方面：1、通过网络管软件对设备进行管理,使得网络设备的维护与管理直观、方便。同时,可以随时监控网络中每台设备的运行状况。如果网络设备使用却缺省的SNMPRW字符串,使用类似网管软件的用户就可能轻易地对设备的配置进行修改,做为网络安全的一个方面,需要将各个设备上的SNMPRW字符串设置较为复杂。2、配置SSH和SNMPv3,这样可以通过在Telnet和SNMP进程中加密管理员流量,提供网络安全。3、控制台访问权限的多级安全可以防止未经授权的用户更改交换机配置,只允许可信IP地址段对设备进行配置管理。5.12设备名和口令设置各个设备的命名设置规则为：" X_Y_Z其中：字母含义X表示产品名称,如Catalyst6509X表示安装位置：M--表示主楼L—左侧楼R—右侧楼Z表示同型号交换机的数量序号所有cisco设备的口令设置规则：为方便在路由器调试时,所有口令暂定为delteq,工程实施完毕后,用户自行更改。5.13设备连线为了整个设备维护的方便,要求将每台设备的线路连接制表保存,xxxxx网络项目设备主要包括以下几种类型Cisco3845路由器Catalyst6509交换机Catalyst4506交换机Catalyst2970交换机Catalyst2950交换机趋势NVW1200防毒墙PCMAIN行为监控设备工程实施过程中要求认真、如实地填写后面附表中的每个表格。第六部分项目组及项目进度安排xxxxx网络项目中,项目组成员包括：项目经理、技术负责人、实施工程师、客户经理和商务。以下是项目组成员：yd项目实施组项目成员工作职责联系方式项目经理技术负责人实施工程师项目联系人、实施工程师客户经理项目商务PCmain实施网强实施在工程期间项目经理、技术负责人具体职责如下：项目经理：项目经理的主要职责是从公司、中心整体利益出发,维护公司形象；制定项目实施详细计划〔包括人员要求,项目完成时间和费用预算；负责工程实施到初验间与局方的协调工作,以及组织人员解决此期间工程遗留问题；对项目的实施负主要职责；对项目中所有文档的编写、完整性和归档负责；负责项目各个方面的有关协调工作,处理突然事件,调配有关的资源以保证项目按原计划开展,对项目实施的整个过程中的重大问题进行决策。项目技术负责人项目技术负责人,由公司技术专家组成,主要职责是完成以下各项工程任务：系统总体设计；对各分系统深化设计进行审核并提出优化建议；对各分系统进行技术协调；对各分系统的设备配置予以确认；对现场设备安装、调试提供必要的技术支持；工程文档的审核；协助项目负责人制订本项目的质量工作计划,并贯彻实施；贯彻公司的质量方针、目标和质量体系文件的有关规定和要求；负责对工程任务全过程的质量活动进行监督检查,参与设计评审。客户经理协助项目经理和实施工程师解决项目中需要配合的问题,推进项目的进度,包括对公司和实施厂商之间工作开展的协调,配合客户在项目围的其他采购等。现场实施工程师,主要职责现场按照实施方案对设备进行调试,包括安装、测试、初验前和试运行期间的维护、现场培训等,在工程实施前准备好所需要的实施文档、割接方案等；负责项目现场各个方面的有关协调工作,处理突发事件,调配现场有关的资源以保证项目按原计划开展。其中实施工程师中的指定的项目联系人在实施前期负责对前期的准备工作和用户保持沟通,及时传达项目组的意见,实施期间每周向项目经理和客户递交实施工作情况报告及实施计划。项目商务主要对合同签定后订货及供货的工作负责,对整个项目实施过程中的商务方面的问题进行处理,协助项目顺利进行。厂商实施工程师主要对其负责的产品按照项目要求进行安装调试测试,在实施过程中负责对用户进行现场培训。本次项目实施围包括对严格按照项目实施方案所有产品进行安装调试,保证网络的良好运行,对用户进行网强网管、PCmain、趋势等产品的培训及实施过程中的现场培训,对用户提交完整的项目文档。项目进度安排表：ID任务名称开始时间结束时间责任人1项目实施方案确认2005-8-42005-8-5jt,yd2项目启动大会2005-8-92005-8-93PCmain培训2005-8-102005-8-10厂家,jt4趋势培训2005-8-122005-8-12yd,jt5配合用户方弱电项目验收2005-8-102005-8-10yd,jt,布线公司6设备配置脚本的编写2005-8-82005-8-12yd7实施用的材料到位及电源的到位2005-8-82005-8-12jt8设备进场验收2005-8-152005-8-15yd,jt9项目的实施2005-8-152005-8-31yd,jt10两台核心交换机的安装调试〔HSRP、VLAN、TRUNK、CHANNEL2005-8-152005-8-15yd11侧楼交换机安装安装调试〔VLAN、TRUNK、CHANNEL2005-8-162005-8-16yd12TMCM安装、NVW防毒墙的安装调试和注册到TNCM2005-8-162005-8-16yd13Pcmain安装2005-8-172005-8-17厂家14调试防火墙模块2005-8-172005-8-17yd15INTERNET出口的调试2005-8-172005-8-17yd16两台域控制服务器的安装及ACS、趋势OFSC服务器端安装2005-8-182005-8-18yd,jt17完成域用户名的输入2005-8-192005-8-19jt18安装中心机房接入交换机2005-8-192005-8-19yd,jt19配线架跳线到交换机2005-8-192005-8-19yd,jt20新大楼网络连通性测试〔包括HSRP2005-8-202005-8-20yd21核心交换机上ACL应用和测试2005-8-202005-8-20yd22交换机上启用802.1X认证协议2005-8-202005-8-20yd23在楼层抽查不同的端口测试802.1X认证运行情况2005-8-222005-8-22yd,jt24测试不同操作系统的802.1x运行情况2005-8-222005-8-22yd,jt25测试公司高层PC认证方式运行状况2005-8-222005-8-22yd,jt26分厂交换机安装调试〔4台2005-8-232005-8-23yd,jt27测试分厂启用802.1x运行情况2005-8-232005-8-23yd,jt28调试IDS模块2005-8-242005-8-24yd29测试应急方案2005-8-242005-8-24yd,jt30根据测试结果,优化配置yd31修改PCIP地址2005-8-252005-8-28jt32安装趋势防病毒客户端2008-8-292005-8-29yd,jt33调试FWSM和IDSM之间的联动2005-8-292005-8-29yd34网强网管软件和VMS安装调试2005-8-302005-8-30yd35网络整体优化2005-8-312005-8-31yd36网络实施完成2005-8-312005-8-31yd项目中需要提交的文档如下表项目实施的阶段提交文档系统集成网络实施前期xxxxx网络项目实施方案系统集成网络实施中xxxxx网络项目周报系统集成网络实施完成xxxxx网络项目测试方案系统集成网络实施完成xxxxx网络项目实施报告系统集成网络初验xxxxx网络项目验收报告系统集成网络初验xxxxx网络项目设备配置文档系统集成网络终验xxxxx网络项目终验报告.第七部分网络应急方案网络出口中断应急方案在方案1中出口出现网络中断,以下方案一的网络拓扑图：在以上拓扑图中可以看出,访问INTERNET及VPN拨入都作用在同一台设备上〔CISCO3845。出现访问INTERNET不通的有以下几种情况及应对方法：假如CISCO3845发生硬件故障的话,那么我们只有把设置在3845上的配置迁移到CISCO6509上和防火墙模块上。6509和防火墙的配置会预先保存好,并且已经过测试的。一当CISCO3845有问题发生,马上可以配置导入进去,并且也不会影响其它正在运行的配置。假如趋势NVW及Pcmain发生了硬件故障,影响了公司访问INTERNET的情况下,可以立即把NVW或者Pcmain撤换掉,不会此设备的故障引起整个出口的不通。3,假如电信和网通链路两条链路发生了故障,那只能立即通知电信和网通的相关人员。假如中断其中的一条链路,都不会影响访问INTERNET。排错方法：1、首先把趋势防毒墙NVW1200从网络出口中断开,再测试链路是否通信正常,如果不正常进行下一步操作；把PCMAIN行为监测设备从网络出口中断开,再测试链路是否通信正常,如果不正常进行下一步操作；在方案2中出口出现网络中断从以上的拓扑图可以看出,整个访问INTERNET的流量和VPN流量分开走的,VPN流量通过CISCO3845。在这种拓扑图的情况下,访问出口出现的故障点及应对方法：假如防火墙模块出现问题,访问INTERNET出现问题。在这中情况下,我们可以有两种方法可以选择：I：INTERNET访问出口改成从CISCO3845上出去,添加相应的配置。II：把防火墙的NAT功能迁移到6509上来。假如趋势NVW及Pcmain发生了硬件故障,影响了公司访问INTERNET的情况下,可以立即把NVW或者Pcmain撤换掉,不会此设备的故障引起整个出口的不通假如CISCO3845发生了故障,那么整个VPN接入有影响,对于访问INTERNET没有影响。应对方法：I:把网通的线路直接拉到CISCO6509上,VPN功能在6509上实现,因为6509上没有VPN硬件加速卡,因此对6509的性能会一定的影响。安全认证出现故障应急方案当ACS和域服务器出现故障时,后果最严重的问题是导致所有接在cisco交换机上的服务器和PC不能通过认证正常连接到网络。以下针对安全认证出现的问题后,我们采取的一些措施,使将网络对业务系统影响降低到最低。因ACS和域服务器都有备份服务器,因此一台设备的故障,802.1X认证还是可以通过备份服务器认证功能。当主备服务器同时发生了故障造成无法对下面所有的用户进行认证,这种紧急情况下,我们可以在核心交换机及下面交换机上删除安全认证相关配置,认证服务器恢复后,我们再把此相关的命令重新写入。三,核心交换机出现故障楼层的交换机都有双链路到核心交换机,保证了任何一条链路,任何一个核心设备出问题,都能访问网络不中断。但是考虑到,服务器器接入到核心交换机上一般只有一根线路,因此,假如接在此服务器的交换机发生了故障,直接影响了下面用户的访问。对于这种情况采取的应对方法：把连接在故障交换机的线路直接拨到正常的核心交换机上端口,同时修改端口的相应配置。第八部分参考配置8.1Trunk协议的配置CATALYST6509<config>#interfaceGigabitEthernet1/1CATALYST6509<config-if>#switchportCATALYST6509<config-if>#switchporttrunkencapsulationdot1qCATALYST6509<config-if>#switchportmodetrunk8.2安全VTP域的配置CATALYST6509<config>#vtpdomainJTTYCATALYST6509<config>#vtpmodeserverCATALYST6509#vtppassworddelteq8.3二层VLAN的配置二层VLAN的配置〔只需要在VTPServer上配置即可：CATALYST6509<config>#vlan10CATALYST6509<config-vlan>#nameTestvlanCATALYST6509<config>#interfaceGigabitEthernet4/24CATALYST6509<config-if>#switchportmodeaccessCATALYST6509<config-if>#switchportaccessvlan108.4三层VLAN的配置Cata3550_1<config>#interfacevlan1Cata3550_1<config-if>#noshutdown8.5浮动静态路由的配置CATALYST6509<config>#iproute60.191.x.x208.6安全策略的配置交换机上ACL安全策略禁止危险端口和病毒传播端口Catalyst6509<config>#access-listvirusdenytcpanyanyeq135Catalyst6509<config>#access-listvirusdenyudpanyanyeq135Catalyst6509<config>#access-listvirusdenytcpanyanyeq137Catalyst6509<config>#access-listvirusdenyudpanyanyeqnetbios-nsCatalyst6509<config>#access-listvirusdenytcpanyanyeq4444Catalyst6509<config>#access-listvirusdenyudpanyanyeqtftpCatalyst6509<config>#access-listvirusdenytcpanyanyeq138Catalyst6509<config>#access-listvirusdenytcpanyanyeq445Catalyst6509<config>#access-listvirusdenyudpanyanyeq445Catalyst6509<config>#access-listvirusdenytcpanyanyeq539Catalyst6509<config>#access-listvirusdenytcpanyanyeq593Catalyst6509<config>#access-listvirusdenyudpanyanyeq539Catalyst6509<config>#access-listvirusdenyudpanyanyeq593Catalyst6509<config>#access-listvirusdenyudpanyanyeq1434Catalyst6509<config>#access-listvirusdenytcpanyanyeq5444Catalyst6509<config>#access-listvirusdenyudpanyanyeq5444Catalyst6509<config>#access-listvirusdenytcpanyanyeq5800Catalyst6509<config>#access-listvirusdenytcpanyanyeq5900Catalyst6509<config>#access-listvirusdenytcpanyanyeq6667Catalyst6509<config>#access-listvirusdenyudpanyanyeq6667Catalyst6509<config>#access-listvirusdenytcpanyanyeq99968.7HSPR协议的配置CATALYST6509上的配置〔主用：CATALYST6509<config>interfaceVlan12CATALYST6509<config-vlan>#ipaddressCATALYST6509<config-vlan>#standby1priority120CATALYST6509<config-vlan>#standby1preemptCATALYST6509<config-vlan>#standby1ipCATALYST4506上的配置〔备用：CATALYST4506<config>interfaceVlan12CATALYST4506<config-vlan>#ipaddressCATALYST4506<config-vlan>#standby1preemptCATALYST4506<config-vlan>#standby1ip8.8CBAC配置定义CBAC对符合协议的数据包做状态监测cisco3845<config>#ipinspectnameCBACcuseemecisco3845<config>#ipinspectnameCBACftpcisco3845<config>#ipinspectnameCBACh323cisco3845<config>#ipinspectnameCBACnetshowcisco3845<config>#ipinspectnameCBACrcmdcisco3845<config>#ipinspectnameCBACrealaudiocisco3845<config>#ipinspectnameCBACrtspcisco3845<config>#ipinspectnameCBACsmtpcisco3845<config>#ipinspectnameCBACsqlnetcisco3845<config>#ipinspectnameCBACstreamworkscisco3845<config>#ipinspectnameCBACtftpcisco3845<config>#ipinspectnameCBACtcpcisco3845<config>#ipinspectnameCBACudpcisco3845<config>#ipinspectnameCBACvdolivecisco3845<config>#ipinspectnameCBACicmpcisco3845<config>#intf0/0cisco3845<config-if>#ipinspectCBACin附表1：设备连线表表A：6509交换机接线表端口类型去向对端设备或端口第三槽Gigabitethernet3/11000BASE-SXGigabitethernet3/21000BASE-SXGigabitethernet3/31000BASE-SXGigabitethernet3/41000BASE-SXGigabitethernet3/51000BASE-SXGigabitethernet3/61000BASE-SXGigabitethernet3/71000BASE-SXGigabitethernet3/81000BASE-SX第四槽Gigabitethernet4/11000BASE-TGigabitethernet4/21000BASE-TGigabitethernet4/31000BASE-TGigabitethernet4/41000BASE-TGigabitethernet4/51000BASE-TGigabitethernet4/61000BASE-TGigabitethernet4/71000BASE-TGigabitethernet4/81000BASE-TGigabitethernet4/91000BASE-TGigabitethernet4/101000BASE-TGigabitethernet4/111000BASE-TGigabitethernet4/121000BASE-TGigabitethernet4/131000BASE-TGigabitethernet4/141000BASE-TGigabitethernet4/151000BASE-TGigabitethernet4/161000BASE-TGigabitethernet4/171000BASE-TGigabitethernet4/181000BASE-TGigabitethernet4/191000BASE-TGigabitethernet4/201000BASE-TGigabitethernet4/211000BASE-TGigabitethernet4/221000BASE-TGigabitethernet4/231000BASE-TGigabitethernet4/241000BASE-TGigabitethernet4/251000BASE-TGigabitethernet4/261000BASE-TGigabitethernet4/271000BASE-TGigabitethernet4/281000BASE-TGigabitethernet4/291000BASE-TGigabitethernet4/301000BASE-TGigabitethernet4/311000BASE-TGigabitethernet4/321000BASE-TGigabitethernet4/331000BASE-TGigabitethernet4/341000BASE-TGigabitethernet4/351000BASE-TGigabitethernet4/361000BASE-TGigabitethernet4/371000BASE-TGigabitethernet4/381000BASE-TGigabitethernet4/391000BASE-TGigabitethernet4/401000BASE-TGigabitethernet4/411000BASE-TGigabitethernet4/421000BASE-TGigabitethernet4/431000BASE-TGigabitethernet4/441000BASE-TGigabitethernet4/451000BASE-TGigabitethernet4/461000BASE-TGigabitethernet4/471000BASE-TGigabitethernet4/481000BASE-T表B：4506交换机接线表端口类型去向对端设备或端口第一槽Supervisor1/11000BASE-SXSupervisor1/21000BASE-SX第三槽Gigabitethernet3/11000BASE-LXGigabitethernet3/21000BASE-SXGigabitethernet3/31000BASE-SXGigabitethernet3/41000BASE-SXGigabitethernet3/51000BASE-SXGigabitethernet3/61000BASE-SX第四槽Gigabitethernet4/01000BASE-TGigabitethernet4/11000BASE-TGigabitethernet4/21000BASE-TGigabitethernet4/31000BASE-TGigabitethernet4/41000BASE-TGigabitethernet4/51000BASE-TGigabitethernet4/61000BASE-TGigabitethernet4/71000BASE-TGigabitethernet4/81000BASE-TGigabitethernet4/91000BASE-TGigabitethernet4/101000BASE-TGigabitethernet4/111000BASE-TGigabitethernet4/121000BASE-TGigabitethernet4/131000BASE-TGigabitethernet4/141000BASE-TGigabitethernet4/151000BASE-TGigabitethernet4/161000BASE-TGigabitethernet4/171000BASE-TGigabitethernet4/181000BASE-TGigabitethernet4/191000BASE-TGigabitethernet4/201000BASE-TGigabitethernet4/211000BASE-TGigabitethernet4/221000BASE-TGigabitethernet4/231000BASE-TGigabitethernet4/241000BASE-TGigabitethernet4/251000BASE-TGigabitethernet4/261000BASE-TGigabitethernet4/271000BASE-TGigabitethernet4/281000BASE-TGigabitethernet4/291000BASE-TGigabitethernet4/301000BASE-TGigabitethernet4/311000BASE-TGigabitethernet4/321000BASE-TGigabitethernet4/331000BASE-TGigabitethernet4/341000BA