XXX政府综合办公楼计算机网络系统设计方案A4版20150918083241

XX政府综合办公楼智能化系统工程验收文档PAGEPAGE71安徽安徽中杰信息科技有限公司XX政府综合办公楼智能化系统工程验收文档64安徽安徽中杰信息科技有限公司XX政府综合办公楼智能化系统工程验收文档安徽中杰信息科技有限公司Xx年XX月XX日目录第一部分系统详细设计方案 4第一节计算机网络系统设计方案 51、系统概述 52、需求分析 53、设计依据 94、产品选型 95、系统设计方案 106、系统设备清单 317、主要产品参数 31第二部分安装调试方案 41第一节IP地址及VLAN规划 411、IP地址分配基本原则 412、IP地址规划 413、VLAN的规划 42第二节生成树的设计 42第三节设备安装设计 431、核心交换的安装地点 442、接入交换机安装地点 443、S7503E的安装 444、S7506E的安装 44第四节设备命名及地址分配 451、设备命名 452、线缆标签规则 453、设备地址分配 45第五节NTP网络时间同步管理 46第六节路由协议规划 471、路由协议安全管理 482、VRRP（虚拟路由器冗余协议） 483、IP源路由选项开关 504、重定向开关 505、定向广播报文转发开关 506、ICMP协议的功能开关 51第七节设备安装要求建议 511、机房要求 512、防静电要求 523、抗干扰要求 524、接地要求 535、供电要求 53第八节系统安装 541、安装前准备 542、安装报告 583、配置指导书 60第九节系统测试与验收方案 651、测试方案 652、系统初验 723、系统试运行 724、系统终验 725、系统维护 73系统详细设计方案

计算机网络系统设计方案系统概述XX政府简介XX政府（以下简称贵单位）信息化建设的基础是计算机网络系统建设，建设面向未来的信息化平台是贵单位的必经之路。贵单位综合办公楼计算机网络系统建设包括2套网络：内网、外网，两套网物理隔离。内网包括贵单位的内部局域网、电子政务内网、贵单位与上下级单位的互联内网（该三套网之间逻辑隔离），总计涉及289个数据信息点的局域网接入；外网包括电子政务外网、互联网（该两套网之间逻辑隔离），总计涉及294个数据信息点的局域网接入。计算机网络系统是贵单位重要的信息基础设施，是贵单位对公众政务信息公开、对内统一办公、公文流转的基石。作为信息系统的支撑，网络系统设计质量优劣直接决定了整个信息系统的成败。需求分析总体需求计算机网络系统是贵单位信息系统的重要组成部分，因此计算机网络系统要求具备高效性与可靠性。计算机网络系统设备选型及设计方案必须具备先进性，可扩展性，能适应贵单位信息化发展的需求。本次计算机网络系统设计方案将满足贵单位综合办公楼的网络建设需要，该系统将与贵单位现有的计算机网络系统无缝连接，与现有网络完全兼容，实现系统的统一管理。具体来说，本次计算机网络系统总体需求如下：综合办公楼的计算机网络系统建设需求内、外网的服务器系统建设，内、外网数据集中存储、外网重要数据的备份需求实现与现有网络的融合，满足贵单位管理的需要；具体需求如下：网络系统需求网络配置需求根据本项目综合布线系统设计，网络系统分为2套网：内网、外网，该2套网之间物理隔离；具体如下：内网：含内部局域网、电子政务内网、贵单位与上下级单位的互联内网，三套网之间逻辑隔离，涉及289个数据信息点的局域网接入。核心机房在3楼的内网中心机房。综合办公楼内弱电间通过千兆多模光纤汇聚至3楼的内网中心机房。综合办公楼内弱电间至桌面是千兆铜缆；外网：包括政务外网、互联网，该2套网之间逻辑隔离；涉及294个数据信息点的局域网接入，核心机房在3楼的外网中心机房。综合办公楼内弱电间通过千兆多模光纤汇聚至3楼的外网中心机房。。各弱电间至桌面是千兆铜缆。综合布线系统主要采用6类非屏蔽双绞线。弱电间与核心机房间设计有多模光纤。网络配置方案需满足上述综合布线设计的各类信息点和不同网络线路的接入需要。网络性能需求为满足贵单位信息应用系统的高速运行需要，本项目计算机网络系统的设计基础网络须达到千兆接入，千兆上行。未来可以升级至千兆接入，万兆上行。网络可靠性需求贵单位综合办公楼项目信息化的稳定运行依赖于其网络平台的健壮性作为信息化系统的基础设施，网络系统的可靠性显得非常重要，一旦网络意外中断，各类相关业务将无法正常开展。因此必须确保网络系统的可靠性。网络服务质量需求随着网络的发展日新月异，IP融合是大势所趋，网络上数据、语音、视讯等新应用的不断出现，对网络的服务质量也提出了新的要求。例如VoIP等实时业务就对报文的传输延迟有较高要求，如果报文传送延时太长，将是用户所不能接受的（相对而言，E-Mail和FTP业务对时间延迟并不敏感）。为了支持具有不同服务需求的语音、视频以及数据等业务，要求网络能够区分出不同的通信，进而为之提供相应的服务。因此，网络系统设计中，必须考虑支持多种QoS（QualityofService，服务质量）技术，以满足未来贵单位多种IP应用对服务质量的要求。网络安全需求如今，信息安全已经成为各行各业最重视的信息化建设关注点。信息安全问题日益突出，病毒泛滥、系统漏洞、黑客攻击等诸多问题，将会直接影响贵单位网络的稳定运行、威胁其相关业务的正常运行。如何应对信息安全威胁，确保其信息系统的安全稳定运行，已经是必须关注的问题。网络系统设计中，将重点关注各类网络设备的安全防范能力，确保网络基础设施的安全。其具体需求主要包括：实现安全域划分，并在此基础上实现安全、可控的逻辑隔离；保护WEB网站不会因来自互联网拒绝服务攻击而瘫痪；对进出各安全域的信息和数据进行严格的控制，防止对安全域的非法访问；对于各个安全域之间交互的信息和数据，保护其完整性、可用性、保密性，防止在传输过程中被窃取、篡改和破坏；在各个安全域内，能及时发现和响应各种网络攻击与破坏行为；建立病毒及恶意代码的预警和响应机制，能及时发现和响应各种病毒及恶意代码的攻击、破坏和信息泄露行为；使系统内的操作系统能及时升级、安装安全补丁；应用系统需要有认证、应用访问控制、审计、加密、资源控制等多种手段，能够保障信息系统被合理使用；终端需要及时发现和阻断病毒攻击，及时更新病毒补丁；终端进程的监控、黑白软件的定制；终端外设接口的管控；对系统、应用进行审计，建立相应的安全审计机制，对引发事件的根源进行责任认定。服务器及存储备份系统需求服务器系统构建需求对于内网部分，贵单位的电子政务内网需要购置4台服务器，其中2台服务器作为数据库服务器（双机），1台做WEB服务器，1台做应用服务器对于外网部分，贵单位的电子政务外网需要购置4台服务器，其中2台服务器作为数据库服务器（双机），1台做WEB服务器，1台做备份服务器存储备份系统需求随着贵单位应用环境越来越复杂，我们认为关键应用和关键数据受到侵害的可能性越来越大，软灾难发生的情况更加普遍，包括病毒侵害、黑客攻击、误操作、OS受损，给系统造成的风险很高。1、由于WINDOWS系统平台的特性，系统可能存在多处隐形漏洞，给黑客和病毒的侵害提供了条件，就IDC评测，每年由于黑客攻击和病毒侵害给客户造成的损失高达数百亿美元。2、OS受损，导致瘫痪，数据没办法读出，此时对于系统恢复和关键数据的处理是非常棘手的难题。3、由于误操作给系统造成的影响也不可忽视，重要文件被删除，由于是关键数据可能只保存在一台机器上，数据将不可恢复。4、数据保存在硬盘上，由于硬件故障，同样可能造成的数据的不可恢复。对于关键系统和数据所造成的损坏，不仅仅表现为经济方面的损失，同时影响关键部门的运转，可能造成不良的社会影响。由于以上原因，对贵单位的信息平台的价值也产生了负面的影响。如何在关键应用受到侵害时，第一时间恢复系统和数据是至关重要的。对于系统和数据的恢复同时提出了多方面的要求：系统可恢复的时间点系统恢复的简便性系统修复的快捷、简单基于文件或者磁盘、扇区级别的文件、数据、系统恢复系统可实施性基与以上原因需要考虑对贵单位内、外的数据进行集中存储；对外网的磁盘阵列内的关键数据，对外网的终端的重要数据进行备份。以便在遭到病毒破坏、数据损坏、系统崩溃时可以恢复数据。实现对关键数据的保护。设计依据计算机网络系统符合以下标准及规范，并保证整个系统在验收之前满足有关中华人民共和国新颁布的最新版本的标准及规范要求。《民用建筑通信管理标准》EIA/TIA606《信息安全管理体系标准》《JB7799/ISO-17799》《信息技术、安全技术评估准则》《ISO/IEC15408-1999》《信息技术应用级防火墙安全技术要求》《GB/T18020-1999》《信息技术开放系统互连网络层安全协议》《GB/T17963-2000》《信息技术开放系统互连高层安全模型》《GB/17965-2000》《计算机信息系统安全保护等级划分准则》（GB17859-1999）《信息系统安全等级保护基本要求》（GB/T22239-2008）。《信息系统安全保护等级定级指南》（GB/T22240-2008）《信息安全管理指南》《ISO-1335》《电气装置安装工程施工及验收规范》《GB50254-96》《GB50258-96》《建筑电气装工程质量检验评定标准》《GYT253-88》《计算机软件开发规范》《GB856-8》《终端计算机系统安全等级技术要求》（GA/T671-2006）《信息系统灾难恢复规范》（GB/T20988-2007）产品选型根据招标书要求或者用户需求并结合系统特点，本次项目计算机网络系统的网络设备（包括网管软件、终端安全管理系统）全部选择H3C产品，服务器选择IBM的X3650M2，杀毒软件选择瑞星公司的网络版杀毒软件，数据备份存储系统采用IBM的DS3200磁盘阵列，光纤交换机选择IBM的B24，备份存储系统选择爱数。系统设计方案贵单位计算机网络系统设计包括内网：贵单位的内部局域网、电子政务内网、贵单位与上下级单位的互联内网（该三套网之间逻辑隔离）；外网：电子政务外网、互联网（该两套网之间逻辑隔离）。该2套网络采用物理隔离方式，确保物理安全。对2.2网络系统需求、服务器及存储备份系统的需求充分分析，内、外建设将从如下方面考虑：内网建设将从网络基础平台建设、网络安全、网络管理、服务器及存储系统四个方面考虑其设计内容。外网建设考虑网络基础平台建设、无线网络、网络安全、网络管理、服务器及存储备份系统五个方面考虑其设计内容。系统设计原则本方案将为贵单位提供“高扩展、多业务、高安全”的计算机网络方案。系统设计中遵循以下基本原则：开放性具备与多种协议计算机通信网络互连互通的特性，确保本MIS网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发展奠定基础。实用性和先进性贵单位的计算网络系统是一个庞大而且复杂的网络，为了保障全网的高速转发，组网设计的无瓶颈性，应能与贵单位现有系统形成无瓶颈的数据交换。同时，系统应采用先进成熟的技术满足贵单位大流量，多业务的需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要。灵活性和可扩展性计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据贵单位不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力，提供技术升级、设备更新的灵活性。安全可靠性为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。可管理性由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以必须有全面的网络管理方案，实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。内网设计方案总体设计由于贵单位综合办公楼是新建的6层大楼，其内网涉及内部局域网、电子政务内网、贵单位与上下级单位的互联内网三套网、该三套网络之间实现逻辑隔离（通过核心交换部署千兆防火墙插卡，利用其千兆防火墙插卡具有虚拟防火墙功能，三个虚拟防火墙启用策略限制实现三套网之间的逻辑隔离），目前涉及289个数据信息点的局域网接入，将考虑采用星型拓扑设计分核心、接入层。由于网络可靠性要求比较高，主干采用双核心、双链路设计。核心机房在3楼的内网中心机房。综合办公楼内每层弱电间分别通过2根千兆多模光缆汇聚至3楼内网中心机房。综合办公楼内每层弱电间至桌面是千兆铜缆；内网出口边界各部署1台H3CMSR30-40路由器分别接上级单位、电子政务内网，在2台路由器与两台核心交换之间部署各部署1台H3CSecPathF1000-S，千兆防火墙以透明模式部署做可以做到L2-L4的安全防护。在核心交换上旁挂1台深信服的网络行为审计系统对内网的网络行为进行事前监控，事后审计。在服务器区部署1台IBM的DS3200磁盘阵列实现对政务内网中的数据库服务器数据的集中存储。网络拓扑：网络基础平台设计贵单位内网将采用星型网络拓扑设计，分核心层、接入层；具体设计思路如下：核心交换设计：考虑内网信息点较多，内部数据交换量较多，核心交换建议采用2台H3C的高端路由交换机S7503E，每台配备1块管理引擎，2块1400W交流冗余电源，1块24千兆光口业务板（其中8个是千兆光电复用口）与该综合办公楼内的6台内网接入交换通过千兆多模光缆相连，余下的光口可以用于以后网络拓展使用，其中8个千兆电口（与光口复用）将与该套网内的系统服务器（WEB服务器、数据库服务器、应用服务器）通过千兆铜缆相连；两台核心交换配备12块千兆多模模块分别与该综合办公楼的各弱电间的接入交换机相连，构成千兆主干的用户需求。2台核心交换通过启用VRRP+MSTP（需要另配4个千兆多模模块）实现VLAN数据负载分担，通过这些设计增强了网络的高可靠及稳定性。接入交换设计：接入层交换采用H3CS3100-52TP-SI。综合办公楼内部署6台S3100-52TP-SI，综合办公楼内每个弱电间（每层1个弱电间）各部署1台S3100-52TP-SI作为内网接入交换，其分别通过两根千兆多模光缆汇聚至核心机房的两台S7503E上。网络安全设计随着网络的日新月异，网络安全问题日益突出，病毒泛滥、系统漏洞、黑客攻击等诸多问题，将会直接影响贵单位内网的稳定运行、威胁其相关业务的正常运行。如何应对网络安全威胁，确保其信息系统的安全稳定运行，已经是必须关注的问题。考虑到内网的安全性，实现对进出贵单位内网出口的数据包过滤和L2-L4的安全防护，需要在内网的两台核心交换前部署2台H3CSECPATHF1000-S千兆级防火墙，，同时通过旁挂部署在该套网核心交换上的网络行为审计系统（深信服的M5100-AC-P）实现对内部局域网用户与电子政务内网、贵单位上下级单位的访问行为进行审计，以便事后发生安全事件、可以取证。对内网的终端用户安全防护，将采用部署1套瑞星网络版杀毒软来实现，所有终端用户的病毒补丁可以通过管理区的瑞星网络版病毒服务器来实现分发、自动更新等。对内网的终端用户的安全管理，可以采用在内网管理区部署1套H3C的终端安全管理系统（配合H3C网络管理系统）的方法来实现，具体可以实现身份认证，病毒补丁、漏洞补丁分发、黑白软件定制、资产管理、终端外设管理等功能。充分的保障了终端用户的安全性。网络管理设计内网要实现拓扑发现、故障告警、端口流量和设备硬件检测、性能报表分析等功能，需要配备1套网络管理系统，为了简化网络管理的工作量，提高工作效率，建议内网部署1套H3CIMC基础网络系统。配备50个网络节点管理。服务器及存储系统设计结合2.3服务器及存储备份系统需求，内网服务器及存储系统设计如下：在贵单位的内网部署4台IBMX3650M2，其中2台服务器做数据库服务器（利用HA软件做双机热备），1台服务器做WEB服务器，1台做应用服务器。2台数据库服务器分别通过光纤HBA卡接IBMDS3200磁盘阵列的双控制器，实现对数据库服务器的数据存储需求。外网设计方案总体设计贵单位的外网包括电子政务外网、互联网两套网，这两套之间逻辑隔离。目前该套网涉及XX个左右数据信息点的局域网接入，将考虑采用星型网络拓扑设计分核心、接入层。由于网络可靠性要求比较高，主干可以采用双核心、双链路设计。核心机房在3楼外网中心机房。其中心机房与综合办公楼内各弱电间皆通过2根千兆多模光纤连接；各弱电间至桌面是千兆铜缆。在两套网的出口都各部署1台H3C的千兆防火墙SECPATHF1000-S，电子政务外网的出口防火墙主要是做地址转换和L2-L4的安全防护；互联网出口的防火墙（增加SSLVPN板卡）主要做地址转换、与外联单位的IPSECVPN互联、外出移动办公人员的SSLVPN互联；服务器区各通过1台千兆防火墙上联两台核心交换，利用千兆防火墙的安全域的划分来限制外网PC对服务群的安全访问；在外网的核心交换与千兆防火墙之间部署1台入侵防御系统（H3CSECPATHT200-A）充分阻断来自内外网的对网站后台数据库的注入扫描攻击、异常字段进行过滤，保障网站的安全性。在服务器区部署4台IBMX3650M2服务器，其中2台作为数据库服务器使用（利用HA软件做双机）、1台作为WEB服务器使用、1台作为备份服务器使用；部署1台IBMDS3200磁盘阵列实现对外网数据的集中存储。部署1台备份存储系统实现对DS3200磁盘阵列、外网终端PC重要数据的备份。利用旁挂部署在核心交换上的无线控制器，组合无线瘦AP的方式实现对互联网部分重要区域的无线覆盖，实现该部分终端用户高速接入的需求。网络拓扑:网络基础平台设计：外网将采用层次化网络拓扑设计，分核心层、接入层。具体设计思路如下：核心交换设计：考虑外网信息点较多，内部数据交换量较大，核心交换采用2台H3C的高端路由交换机S7506E，每台各配置1块24千兆光口（其中其中8端口光电复用），1块交换引擎、2块1400W电源；配备12个千兆多模模块分别与该套网的各个弱电间的接入交换相连。这两台核心交换通过VRRP+MSTP实现VLAN数据负载分担，通过以上设计，可以保障网络的可靠性及稳定性。接入交换设计：接入层交换采用H3CS3100-52TP-SI。综合办公楼内部署6台S3100-52TP-SI做外网的接入交换使用。每层一个弱电间，每个弱电间部署1台接入交换；各弱电间通过2根千兆多模汇聚至3楼的外网中心机房；无线网络设计贵单位综合办公楼的3、4层的会议室、走廊，需要采用无线网络覆盖。将采用成熟的无线网络技术作为贵单位综合办公楼3-4楼有线局域网的补充，无线局域网（WLAN）有效地克服了有线网络的弊端，利用PDA、平板无线电脑和无线终端设备采集数据，智能分析等。通过贵单位综合办公楼信息化建设中对无线网络平台应用模式的综合分析，我们总结出贵单位信息化系统对无线网络平台具体要求包括：数据保密性要求高，重要区域数据不能泄密；无线网络系统整体安全性要求高，包括物理设备系统可维护性要求高，无线网络的维护不能成为贵单位信息科的负担；对无线访客的带宽做限制，保障全网带宽。为满足以上要求，贵单位综合办公楼的无线网络建设（3-4层局部覆盖）可采用基于统一管理理念的“瘦AP”无线解决方案。方案由无线接入点、无线控制器和无线网络管理系统（未来考虑）组成。具体部署情况：在3楼核心机房部署1台H3C无线控制器EWP-WX3010-POEP-H3，无线控制器旁挂在两台核心交换上。默认可以管理12个FITAP。在综合办公楼的3、4楼的2个会议室、2个走廊部署4台H3CEWP-WA2610E-AGN-FIT（支持802.11N），实现无线客户端的300M高速接入。系统采用最新的802.11n无线传输标准协议。在传输速率方面，将WLAN的传输速率由目前802.11a及802.11g54Mbps，提高到300Mbps甚至高达600Mbps。在覆盖范围方面，802.11n采用智能天线技术，通过多组独立天线组成的天线阵列，可以动态调整波束，保证让WLAN用户接收到稳定的信号，并可以减少其它信号的干扰。系统中无线AP采用无配置管理方式，所有配置全部集中在无线控制器中。无线AP的配置在启动后由无线控制器下发，实现无线网络的集中管理与自动配置，由于无线信号的开放性，易引起各种各样的攻击行为，此时安全问题在建设无线网时必须考虑问题，无线安全主要侧重两个方面：用户安全接入、网络安全加密传输。我们将利用MAC地址过滤、SSID管理、WEP加密、AES加密等多种安全技术来保证无线用户的安全接入及传输。网络安全设计随着网络的日新月异，网络安全问题日益突出，病毒泛滥、系统漏洞、黑客攻击等诸多问题，将会直接影响贵单位外网的稳定运行、威胁其相关业务的正常运行。如何应对网络安全威胁，确保其信息系统的安全稳定运行，已经是必须关注的问题。在电子政务外网、互联网的出口都各部署1台H3C的千兆防火墙SECPATHF1000-S，电子政务外网的出口防火墙主要是做地址转换和L2-L4的安全防护；互联网出口的防火墙（增加SSLVPN板卡）主要做地址转换、与外联单位的IPSECVPN互联、外出移动办公人员的SSLVPN互联；服务器区各通过1台千兆防火墙上联两台核心交换，利用千兆防火墙的安全域的划分来限制外网PC对服务群的安全访问；在外网的核心交换与千兆防火墙之间部署1台入侵防御系统充分阻断来自内外网的对网站后台数据库的注入扫描攻击、异常字段进行过滤，保障网站的安全性。根据公安部72号文必须对互联网的上网行为进行审计的规定，如XX政府综合办公外网拓扑所示，建议在互联网出口防火墙与入侵防御系统之间部署1台深信服的上网行为审计网关MA5100-AC-P。对外网的终端用户的安全防护，将采用部署1套瑞星网络版杀毒软来实现，所有终端用户的病毒补丁可以通过瑞星网络版病毒服务器来实现分发、自动更新等。对外网的终端用户的安全管理，可以采用在外网管理区部署1套H3C的终端安全管理系统（配合H3C网络管理系统）的方法来实现，具体可以实现身份认证，病毒补丁、漏洞补丁分发、黑白软件定制、资产管理、终端外设管理等功能。充分的保障了终端用户的安全性。网络管理设计外网要实现拓扑发现、故障告警、端口流量和设备硬件检测、性能报表分析等功能，需要配备1套网络管理系统，为了简化网络管理的工作量，提高工作效率，建议外网部署1套H3CIMC基础网络系统。配备50个网络节点管理。下面简述下H3CIMC智能网管系统：随着网络中的设备，接入用户的增加，迫切需要一种管理系统，能根据业务、设备、用户的扩展增加组件，使得用户、网络、业务能在单一管理平台上统一管理、互相协同、操作简便、满足安全的多种业务、接入管理的需要。H3C公司的IMC智能网络管理系统，采用组件化、模块化设计，随着业务、设备、用户的扩展，添加需要的组件，能很好适应集团对网络管理不断丰富需要。iMC智能管理平台，是在统一了设备资源和用户资源管理的平台框架的基础上，实现的基础业务管理平台，包括iMC基本资源管理部分（不包括在本方案中）、iMC基础网络管理和iMC基本接入管理。本方案实现的具体内容包括：实现拓扑管理、图形化界面设备配置管理（包括有线无线网融合管理、统一界面中实现从拓扑到终端用户的无缝管理）、安全准入。IMC基础网络管理iMC基础网络管理，涵盖了传统网管的主要功能，包括告警管理、性能管理、拓扑管理等。iMC基础网络管理特性主要包括：丰富、实用的网络视图多样化的网络拓扑智能的告警显示、过滤和关联直观的状态监控性能管理用户管理与网络拓扑管理相融合丰富、实用的网络视图具备丰富的视图功能，使得管理员可以从多个角度观测和管理网络。通过IP视图，用户可以观测网络的逻辑结构和物理结构。设备视图，使得用户对网络中设备类型和数量一目了然。自定义视图，使用户可以按照任何希望的方式构造客户化的网络拓扑。并提供直观简便的预览功能，集中监控用户关心的重点设备和接口的状态。多样化的网络拓扑拓扑更加美观清晰，能够实时显示当前视图的拓扑状态。通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息，管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视，拓扑上提供了常用的Ping、telnet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关链接，拓扑可以作为管理员管理网络的唯一入口。提供完整的IP拓扑、二层拓扑、邻居拓扑，能够显示接入设备上的接入情况。用户可以根据实际组网情况，定义自己关注的网络拓扑。在安装了其他组件的情况下，拓扑会增加相应的业务拓扑和操作链接，以满足不同业务的需求。智能的告警显示、过滤和关联提供丰富的声光告警，还可以针对不同的告警定义不同的操作提示以及维护参考等；汇总显示发生故障的设备，方便管理员日常维护工作展。提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤，可以有效压缩海量网络告警，使得管理员直接关注真正的网络故障。在安装其他组件的情况下，还提供基本告警和业务告警的关联，在基本告警发生后，系统进行关联分析，自动产生业务告警。管理员即可根据基本告警从而迅速定位问题，缩短平均修复时间。又可根据业务告警，分析出受影响的业务，为网络的现状评估和优化提供数据基础。直观的状态监控与传统的网管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知道网络的整体运行状态。性能管理提供了对系统所管理的各种设备性能参数的公共监视功能，比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。可对每一个性能指标设置二级阈值，发送不同级别的告警。用户可以根据告警信息直接了解到设备某指标的性能情况，有助于用户随时了解网络的运行状态，预防网络故障，预测网络发展趋势，合理优化网络。通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息，通过报表的导出和打印功能，管理员能够迅速将网络状况汇总数据上报给各级领导，为网络的决策提供有利的支撑。

用户管理与网络拓扑管理相融合在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。用户管理与网络设备管理相融合，用户管理操作更加简单接入设备列表中可以直接看到用户相关信息，在使得操作简单方便的基础上，又提高了操作员日常维护的效率：可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其所挂的用户全部下线处理等；可以在在线用户列表中通过点击接入设备，直接查看当前在线用户所对应的接入设备的详细信息，比如，对应的基本信息、告警、性能状况等。该功能使得操作更友好，全面提升操作员的操作体验；IMC接入用户管理iMC基本接入管理，主要管理用户的接入准入和控制。主要包括：支持多种接入及认证方式严格的权限控制手段详尽的用户监控集中方便的用户管理为接入设备提供查询设备明细信息的链接接入设备管理与拓扑管理的融合支持多种接入及认证方式，适合多种接入组网场景及应用场景：支持802.1x、无线接入等多种认证接入方式；支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止账号盗用和非法接入；支持与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。支持端点准入防御（EAD）解决方案，确保所有接入网络的用户终端符合企业的安全策略。严格的权限控制手段，强化用户接入控制管理：用户权限控制策略，可以为不同用户定制不同网络访问权限；禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用；可限制用户IP地址分配策略，防止IP地址盗用和冲突；可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网；可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露；可以限制用户必须使用专用安全客户端，并强制自动升级，确保认证客户端的安全性；详尽的用户监控，强化对终端用户的监视控制：接入业务组件提供强大的“黑名单”管理，可以将恶意猜测密码的用户加入黑名单，并可按MAC、IP地址跟踪非法行为的来源；管理员可以实时监控在线用户，强制非法用户下线；支持消息下发，管理员可以向上网用户发布通知消息，如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等；iMC接入业务组件记录认证失败日志，便于方便定位用户无法认证通过的原因；集中方便的接入业务用户管理，简化管理员维护操作基于服务的用户分类管理，用户的认证绑定策略、安全策略、访问权限均封装于服务中，简化管理员的操作，保证网络管理模式的统一；接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用：为接入设备提供查询设备明细信息的链接，操作简便：可以通过简单的鼠标点击即可看到接入设备的详细信息，比如，对应的基本信息、告警、性能状况等；接入设备管理与拓扑管理的融合，使得设备管理更简单，管理更方便：拓扑中可以清晰的显示出接入设备，并能查看接入设备相关信息，并可以通过很简单的鼠标点击方式，将此接入设备设置为非接入设备。EAD端点准入控制802.1x协议在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样造成了潜在的安全威胁。另外，在网络中涉及到机密数据，所以验证用户接入的合法性也显得非常重要。IEEE802.1x正是解决这个问题的良药，目前已经被集成到二层智能交换机中，完成对用户的接入安全审核。802.1x协议是刚刚完成标准化的一个符合IEEE802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入；在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。我们选择H3C交换机完全支持802.1x协议，H3C交换机在802.1x认证中充当认证系统及认证服务器角色（需要配合IMC平台使用）,用户在使用网络前需要经过认证交换机802.1x的认证，即使非法用户有条件盗用合法用户计算机上网，但无法通过交换机的802.1x认证，也是无法接入网络的。采用H3C设备实现端点准入802.1X与认证服务器、策略服务器、安全代理结合的内网安全防护体系，能够防止非法用户和设备接入网络，防止不符合安全策略的用户对网络产生威胁，例如恶意接入点、病毒库未及时升级、操作系统未打补丁等。服务器及存储系统设计在服务器区部署4台IBMX3650M2服务器，其中2台作为数据库服务器使用（利用HA软件做双机）、1台作为WEB服务器使用、1台作为备份服务器使用；结合2.3.1存储备份系统需求，外网的存储备份系统设计如下：4台服务器分别通过光纤HBA卡与两台IBMB24光纤交换机相连，两台光纤交换机通过千兆短波模块与1台IBMDS3200磁盘阵列相连，构成FCSAN网络，实现对外网服务器区数据的集中存储。另外在外网服务器区部署1台爱数的备份存储系统实现对DS3200磁盘阵列中的关键数据、外网终端PC的重要数据的集中备份。以便在系统遭到病毒破坏、数据损坏、崩溃时可以恢复数据。实现对关键数据的保护。虚拟园区网技术针对贵单位计算机网络系统设计时，需要考虑引入虚拟园区网技术，来实现业务访问接入和业务访问隔离，有关业务访问接入和业务访问隔离的内容请见下面章节详述。5.4.1业务访问接入实现数据中心虚拟网需求进行分析，不仅不同的用户需要隔离和下发不同的访问权限，同一个用户在不同的情况下也需要下发不同的访问权限，我们称之为用户灵活业务访问模式。针对该需求，结合网络规划设计中交换机设备和EAD的相关特性，可以通过两种方式来实现：GuestVLAN方式和EAD多服务认证方式。GuestVLAN方式GuestVLAN是指客户认证端口在认证之前应该属于一个缺省VLAN，用户访问该VLAN内的资源不需要认证，但此时不能够访问其他资源。用户经过802.1X认证成功后，又属于用户配置的VLAN，此时用户可以访问其他的网络资源。通过对网络的初始配置，可以限定用户在GuestVLAN中所能访问的资源，例如获取客户端，用户升级程序，或仅访问Internet。用户如果需要访问其他资源，必须通过认证。EAD多服务认证方式EAD具有多服务认证的特性。对于一个需要跨应用访问网络资源的用户，网络管理者需要为他们在不同的业务网络中制定相应的安全策略，这通常是在策略服务器上配置多个服务来实现的。每个服务配置独立的安全检查项，以及下发的ACL或VLAN，因此每个服务可对应一个业务网络。如下图所示，用户使用“@Internet”域后缀通过认证后，从属于动态VLAN10，能够访问Internet资源，不能访问办公网络资源。用户需要访问办公网络资源时，使用“@neiwang”域后缀重新发起认证，认证通过后，从属于动态VLAN110，具有内网的访问权限，不能再访问Internet。5.4.2业务访问隔离实现出于投资成本、组网灵活性、维护复杂度等的考虑，数据中心网络需要在一张物理网络上承载多个服务，同时希望通过隔离技术对接入用户之间实行安全隔离和受控互访。如下图所示：因为Internet核心交换机和办公网络核心交换机之间连通，用户A访问办公网络的流量有可能通过Internet交换机再到办公网络交换机，反之访问Internet的流量也可能会通过办公网络交换机，这样用户与用户、Internet与办公网络通过路由在IP层面上事实上已经连通。因此，隔离和控制用户、业务之间的访问流量就成为网络规划必须要着重考虑的问题，这需要使用逻辑隔离技术。系统设备清单主要产品参数H3CSecPathT200-A技术参数项目T200-A固定接口4×GECombo口扩展槽位2接口模块4×GE电口8×GE电口4×GE光口电源输入100V～240VAC；50/60Hz额定功率100W电源1+1（可选配RPS冗余电源供应器）特征库数量10000+，不断更新中攻击防范支持Web保护、邮件服务器保护、FTP服务器保护、DNS漏洞、跨站点编写脚本、SNMP漏洞、蠕虫和病毒、暴力攻击和防护、SQLInjections、后门和特洛伊木马、间谍软件、DDoS、探测/扫描、网络钓鱼、协议异常、IDS/IPS逃逸攻击等病毒防范支持文件型、网络型和混合型病毒等P2P识别支持BT、eDonkey、eMule、网际快车、迅雷、PPLive、QQLive等IM识别支持MSN、QQ、Google/Gtalk、YahooMessenger等URL过滤支持自定义URL过滤规则库、基于时间段过滤等响应方式支持阻断、限流、重定向、隔离、Email告警等升级方式自动/手动环保标准通过欧盟严格的环保标准RoHS管理界面中文/英文尺寸（高×宽×深）44mm×442mm×463mm重量6.8Kg千兆防火墙H3CSecPathF1000-S技术参数模块化专用软、硬件平台防火墙，扩展插槽数量2个；提供4个固定GE（两个固定光电COMBO口，两个电口），冗余电源供电；数据吞吐量1Gbps；最大会话连接数100万个；每秒新建连接数10,000/秒；IPSECVPN隧道数3500，3DES加密吞吐率600Mbps；支持路由、桥接、NAT多种工作模式；支持TCP、UDP、HTTP、FTP等状态检测；支持H.323、ICMP、DNS、NetMeeting、NBT等协议；支持PPP、PPPOE、ARP、DHCP中继，支持L2TP、GRE、VRRP、SNMP、IPSec/IKE等协议；支持静态NAT及动态NAT，并能够实现一对一、一对多的地址映射；支持应用层动态包过滤技术，支持基于接口的访问控制列表，基于时间段的访问控制列表；支持邮件/网页过滤；支持安全日志、管理；支持黑、白名单功能；可防范多种DoS攻击，如：SYNFlood、ICMPFlood、UDPFlood、Land攻击、Smurf攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位不合法、PingofDeath攻击、TearDrop攻击、IPSpoofing攻击等。内网MSR30系列路由器技术参数项目MSR30-16MSR30-20MSR30-40MSR30-60处理器RISC新一代处理器（400MHz）RISC新一代处理器（533MHz）RISC新一代处理器（533MHz）RISC新一代处理器（533MHz）转发性能240Kpps300Kpps360Kpps360Kpps固定接口2个百兆以太电口2个千兆以太电口2个千兆以太光/电口(Combo)2个千兆以太光/电(Combo)模块插槽4个SIC插槽4个SIC插槽4个SIC插槽4个SIC插槽1个MIM插槽2个MIM插槽4个MIM插槽6个MIM插槽ESM插槽2222VPM插槽2233VCPM1111USB1222AUX1111配置口1111硬件加密支持支持支持支持内存（缺省/最大）256M/768M（DDR）256M/1G（DDR）256M/1G（DDR）256M/1G（DDR）CF256M/1G256M/1G256M/1G256M/1G最大功耗100W125W210W210W电源（AC）输入额定范围：100～240V50/60Hz输入额定范围：100～240V50/60Hz输入额定范围：100～240V50/60Hz输入额定范围：100～240V50/60Hz外形尺寸（W×D×H）442mm×441.8mm×44.2mm442mm×441.8mm×44.2mm442mm×422.3mm×88.2mm442mm×421.8mm×132mm重量6kg6.9kg11.9kg13.6kg环境温度0～400～400～400～40环境相对湿度5～90%（不结露）5～90%（不结露）5～90%（不结露）5～90%（不结露）EMCETSIEN300386V1.3.1(2001-09)EN55022(1998)EN55024(1998)FCCPart15ICES-003VCCIV-3AZ/NZSCISPR22安规UL609503rd

EditionCSA22.2#9503rdEdition1995EN60950:2000+ZB&ZCdeviationsforEuropeanUnionLVDDirectiveIEC60950:1999+corr.Feb.2000,modified+allNationaldeviations内网核心交换S7503E技术参数属性S7503E整机交换容量480Gbps背板容量≥1TbpsIPv4包转发率276Mpps槽位数量5业务槽位数量3冗余设计电源、主控冗余二层特性支持IEEE802.1P(CoS优先级)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），灵活QinQ和Vlanmapping支持IEEE802.3x（全双工流控）和背压式流控（半双工）支持IEEE802.3ad（链路聚合）和跨板链路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持JumboFrame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持点到点单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLANMAPING/灵活QinQ表项全面支持1:1,2:1,1:2,2:2VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每单板最大支持16KACL支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可达8Kbps支持两级Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP优先级Mark/Remark支持层次化QoS（H-QoS），支持三级队列调度支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8队列支持拥塞避免机制，包括Tail-Drop、WRED支持N：2MirroringMPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分层VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP协议安全机制支持EAD安全解决方案支持Portal认证支持MAC认证支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行认证支持SSHv1.5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLANID、MAC地址和端口等多种组合绑定支持uRPF支持主备数据备份机制支持故障后报警和自恢复支持数据日志系统管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量统计支持RMON支持NTP时钟支持NetStream流量统计功能可靠性支持主控板1+1冗余备份支持电源1+1冗余备份采用无源背板设计所有单板支持热插拔支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持热补丁环境要求温度范围：0℃～45相对湿度：10%～95%（非凝结）安规和EMC认证通过了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的认证电源DC：–48V～–60VAC：100V～240VPOE电源支持内置PoE电源(S7506E-S不支持)外形尺寸（宽×高×深）(mm)436x708x420满配重量(kg)≤96kg外网核心交换S7506E技术参数属性S7506E整机交换容量768Gbps背板容量≥1.6TbpsIPv4包转发率492Mpps槽位数量8业务槽位数量6冗余设计电源、主控冗余二层特性支持IEEE802.1P(CoS优先级)支持IEEE802.1Q（VLAN）支持IEEE802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE802.1ad（QinQ），灵活QinQ和Vlanmapping支持IEEE802.3x（全双工流控）和背压式流控（半双工）支持IEEE802.3ad（链路聚合）和跨板链路聚合支持IEEE802.3（10Base-T）/802.3u（100Base-T）支持IEEE802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE802.3ae（10Gbase）支持IEEE802.3af（PoE）支持IEEE802.3at（PoE+）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持JumboFrame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持MulticastVLAN+支持点到点单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLANMAPING/灵活QinQ表项全面支持1:1,2:1,1:2,2:2VLANMAPPING能力支持GVRP支持LLDPIPv4路由特性支持ARPProxy支持DHCPRelay支持DHCPServer支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)支持等价路由支持策略路由支持路由策略IPv6路由特性支持ICMPv6支持ICMPv6重定向支持DHCPv6支持ACLv6支持OSPFv3支持RIPng支持BGP4+支持IS-ISv6支持手工隧道支持ISATAP支持6to4隧道支持IPv6和IPv4双栈组播支持IGMPv1/v2/v3支持IGMPv1/v2/v3Snooping支持IGMPFilter支持IGMPFastleave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持AnyCast-RP支持MLDv2/MLDv2Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每单板最大支持16KACL支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/EgressACL支持Ingress/EgressCAR，粒度可达8Kbps支持两级Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（TrafficShaping）支持802.1P/DSCP优先级Mark/Remark支持层次化QoS（H-QoS），支持三级队列调度支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8队列支持拥塞避免机制，包括Tail-Drop、WRED支持N：2MirroringMPLS/VPLS支持L3MPLSVPN支持L2VPN:VLL(Martini,Kompella)支持MCE支持MPLSOAM支持VPLS,VLL支持分层VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP协议安全机制支持EAD安全解决方案支持Portal认证支持MAC认证支持IEEE802.1x和IEEE802.1xSERVER支持AAA/Radius支持HWTACACS,支持命令行认证支持SSHv1.5/SSHv2支持ACL流过滤机制支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证支持命令行采用分级保护方式，防止未授权用户的非法侵入，为不同级别的用户有不同的配置权限支持受限的IP地址的Telnet的登录和口令机制支持IP地址、VLANID、MAC地址和端口等多种组合绑定支持uRPF支持主备数据备份机制支持故障后报警和自恢复支持数据日志系统管理支持FTP、TFTP、Xmodem支持SNMPv1/v2/v3支持sFlow流量统计支持RMON支持NTP时钟支持NetStream流量统计功能可靠性支持主控板1+1冗余备份支持电源1+1冗余备份采用无源背板设计所有单板支持热插拔支持VRRP支持EthernetOAM（802.1ag和802.3ah）支持MACTracert支持RRPP支持GracefulRestartforOSPF/BGP/IS-IS支持DLDP支持VCT支持Smart-Link支持热补丁环境要求温度范围：0℃～45相对湿度：10%～95%（非凝结）安规和EMC认证通过了CE、FCCPART15、TUV-GS、UL-CUL、ICES003和VCCI的认证电源DC：–48V～–60VAC：100V～240VPOE电源支持内置PoE电源(S7506E-S不支持)外形尺寸（宽×高×深）(mm)436x708x420满配重量(kg)≤96kgIBMDS3200磁盘阵列技术参数安装调试方案为了更好的实施该项目，根据上述设计方案和用户相关需求，我们制定了以下安装调试方案。IP地址及VLAN规划IP地址空间的分配与合理使用与网络拓扑结构、网络组织及路由政策有非常密切的关系，将对网络的可用性、可靠性与有效性产生显著影响，应充分考虑网络对IP地址的需求，以满足未来业务发展对IP地址的需求。IP地址分配基本原则IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。对于IP地址的分配应该充分考虑到地址空间的合理使用，保证实现最佳的网络内地址分配及业务流量的均匀分布。IP地址分配既要考虑到扩充，又要能做到连续：尽量给每个单位分配连续的IP地址空间，并为将来的网络扩展预留一定的地址空间。IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。IP地址规划贵单位IP地址主要涉及网络用户地址、设备管理及互联地址的规划。下面将例举：贵单位网络用户IP地址在/16这个B类地址内进行规划。外网设备管理及互联地址在/8这个A类地址内进行规划。内网设备管理及互联地址在/16这个B类地址内进行规划（将现有网络的地址段排除后再规划，以免地址重叠）。具体的IP地址规划如下表：用户网关使用本网段地址的最后一地址，及172.16.X.254。地址具体规划需要视综合办公楼的部门分布情况而定，再做具体规划。VLAN的规划将根据贵单位部门分布情况或根据项目实施前期与贵单位相关技术人员沟通后再规划。生成树的设计MSTP（MultipleSpanningTreeProtocol）是多生成树协议的英文缩写，该协议兼容STP（SpanningTreeProtocol）和RSTP（RapidSpanningTreeProtocol）。STP不能快速迁移。即使是在点对发状态。点链路或边缘端口，也必须等待2倍的Forwarddelay的时间延迟，端口才能迁移到转RSTP可以快速收敛，但是和STP一样存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按VLAN阻塞冗余链路，所有VLAN的报文都沿着一棵生成树进行转发。MSTP可以弥补STP和RSTP的缺陷，它既可以快速收敛，也能使不同VLAN的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。MSTP设置VLAN映射表（即VLAN和生成树的对应关系表）把VLAN和生成树联系起来。同时它把一个交换网络划分成多个域，每个域内形成多棵生成树，生成树之间彼此独立。MSTP将环路网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN数据的负载均衡。基于以上优点，生成树选用MSTP模式。并且设置核心交换机为root和secondary，将所有VLAN分为两组生成树实例，分别将根节点设置在两台核心交换机上。对于内网通过配置生成树的计算参数中的优先级将一半VLAN的生成树根节点设置在S7503E-1（主交换）上，剩余VLAN的生成树根节点设置在S7503E-2（从交换）上；对于外网内网通过配置生成树的计算参数中的优先级将一半VLAN的生成树根节点设置在S7506E-1（主交换）上，剩余VLAN的生成树根节点设置在S7506E-2（从交换）上。各层网络之间采用二层连接的方式，各互联端口设置为Trunk。外网和内网的网关都在其核心交换上启用，利用其核心交换实现VLAN的终结。典型配置命令（举例）[H3C]stpregion-configuration[H3C-mst-region]region-nameexample[H3C-mst-region]instance1vlan10[H3C-mst-region]instance3vlan30[H3C-mst-region]instance4vlan40[H3C-mst-region]revision-level0手工激活MST域的配置。[H3C-mst-region]activeregion-configuration定义SwitchA为实例1的树根[S7503E-1]stpinstance1rootprimary定义SwitchB为实例1的树根[S7503E-2]stpinstance1rootsecondary设备安装设计在综合办公楼的3楼中心机房部署内网的两台核心交换S7503E、外网的两台核心交换S7506E；内网的6台接入交换分别通过两根千兆多模光缆汇聚3楼中心机房的两台S7503E。内网的深信服网络行为审计网关、2台MSR30-40路由器、2台千兆防火墙F1000-S，都部署在综合办公楼3楼的中心机房。外网的6台接入交换分别通过两根千兆多模光缆汇聚3楼中心机房的两台S7506E。外网的深信服网络行为审计网关，电子政务外网、互联网出口的2台千兆防火墙F1000-S，外网服务区前的两台千兆防火墙F1000-S，1台H3C的入侵防御设备（SECPATHT200-A）都部署在综合办公楼3楼的中心机房。核心交换的安装地点节点位置S7503ES7506E综合办公楼3楼中心机房22接入交换机安装地点接入交换机具体分布视后期具体需求而定，建议用户为楼层接入层交换机配置理线架。以下分别是机箱式交换机的模块安装图例：S7503E的安装1LSQM1MPUB023LSQM1GT24SC04LSQM1GP24SC05LSQM1AC1400LSQM1AC1400每台含1块引擎、2块1400W电源，1块24千兆光口业务板、1块24千兆电口业务板S7506E的安装1LSQM1MPUB023LSQM1GT24SC04LSQM1GP24SC05678LSQM1AC1400LSQM1AC1400设备命名及地址分配设备命名描述网络设备命名的规则，并给出示例以及全部设备命名表。设备命名一般应包含设备型号、安装地点、编号（若有多台）等信息。网络设备命名规则：DDD-YYYY-Z1-2-31．地点：表示网络设备安装地点的命名，如ZBL即主办公楼的意思。2．设备型号：网络设备的主要型号表示方法。3．编号：为了区分同一个地点有多个相同设备，取值为NUM。线缆标签规则线缆标签规则：AAA-BBB-CCC-DDDAAA：本端设备名BBB：本端接口CCC：对端设备名DDD：对端接口。为减少长度，设备名采用简写。设备地址分配在内网设备上设置VLAN500，并配置相应VLAN接口地址，作为统一的设备管理地址。在外网设备上设置VLAN1000，并配置相应VLAN接口地址，作为统一的设备管理地址。设备管理地址编码规则设备管理地址编码原则如下：外网设备地址在/8内设计互联。10.X.Y.ZX：代表设备处于网络的哪一层。核心设备X=1汇聚设备X=2第一级接入层设备X=3第二级，级联接入设备X=4以此类推。Y：代表设备所处地理位置。需要对综合办公楼的地理位置进行编号。（假定分机房位置不变）编号地理位置1综合办公楼1楼-3楼2综合办公楼4楼-6楼3综合办公楼7楼-9楼4综合办公楼10楼-12楼5。。。。。。。6。。。。。。。7。。。。。。。891011Z：相同位置的设备顺序编号。设备管理地址注：关于内网、外网各接入交换机的设备管理地址规划需要根据弱电间接入交换分配情况后定制。NTP网络时间同步管理网络时间协议（NTP）是用来在整个网络内发布精确时间的TCP/IP协议，其本身的传输基于UDP。贵单位网络是一个大规模的网络，必须确保全网的时间同步，才能有效地维护网络正常运行，以确保基地业务的顺利开展。每台网络设备都有自己的系统时钟，能够保存当前的日期和时间。NTP主要解决网络内所有路由器的时钟同步问题，除此之外，它也能用于在给定网络内所有系统时钟的同步，包括工作站或其它具有时钟的系统。对于各种各样的工作站和服务器来讲，都有相应的NTP客户端软件。对于一个网络内所有的网络设备，使其时钟同步是非常重要的，因为：网络设备是以同一公共时间为参考，采集的调试与事件时间戳才有意义。事物处理需要精确的时间戳(Timestamps)。复杂的事物往往由多个系统来处理，为保证事件的正确顺序，多个系统必须参考同一时钟。完成某些功能如同时重起(Reload)网络内的所有路由器，整个网络必须拥有公共时钟。NTP通常能够使广域网内的所有系统时钟在10毫秒内同步。在贵单位网络中实现时间同步，对于内网将其两台核心交换机配置为NTP服务器，并实现互为备份，其它防火墙、交换机、服务器配置与这两台NTP服务器进行时间同步。主机房的S7503E做Server。外网可以根据情况选择此策略。典型配置命令H3C1设置本地时钟作为NTP主时钟，层数为2，H3C2以H3C1作为时间服务器，将其设为server模式，自己为client模式。（说明：H3C1是支持本地时钟作为主时钟的交换机）配置以太网交换机H3C1：设置本地时钟作为NTP主时钟，层数为4。[H3C1]ntp-servicerefclock-master4配置以太网交换机H3C2：设置H3C1为时间服务器。[H3C2]ntp-serviceunicast-server1路由协议规划由于本次项目涉及的2两套网：内网的核心与接入，外网的核心与接入点（接入层二层VLAN透传）直连的，所以接入层到核心采用的是直连路由，从核心到上层是才用缺省路由。路由协议安全管理URPF（单播逆向路径转发）。源地址欺骗是一种常用的网络攻击方法，攻击者通过伪造合法的IP地址，与被攻击对象之间建立连接，从而进一步获得需要的信息。URPF（单播逆向路径转发）功能的原理是通过对正常IP报文进行基于源地址的路由查找，并获得该源地址的下一跳及出接口，如果该接口与本IP报文的实际接收接口不一致，则可以断定是源地址欺骗报文，并将该报文丢弃。可以通过启动URPF特性，防范网络中通过修改源地址而进行恶意攻击行为的发生。但该特性由于需要对每一个转发的报文多进行一次路由查找，对设备的转发性能会有一定影响。有些IP特性对局域网来说是有用的，但对广域网或城域网节点的设备是不适用的。如果这些特性被恶意攻击者利用，会增加网络的危险，因此，网络设备应具备关闭这些IP功能的能力。VRRP（虚拟路由器冗余协议）VRRP（VirtualRouterRedundancyProtocol，虚拟路由器冗余协议）VRRP是一种容错协议，它保证当主机的下一跳路由器出现故障时，由另一台路由器来代替出现故障的路由器进行工作，从而保持网络通信的连续性和可靠性。VRRP具有如下优点：（1）简化网络管理。在具有多播或广播能力的局域网（如以太网）中，借助VRRP能在某台设备出现故障时仍然提供高可靠的缺省链路，有效避免单一链路发生故障后网络中断的问题，而无需修改动态路由协议、路由发现协议等配置信息，也无需修改主机的默认网关配置（2）适应性强。VRRP报文封装在IP报文中，支持各种上层协议（3）网络开销小。VRRP只定义了一种报文——VRRP通告报文，并且只有处于Master状态的路由器可以发送VRRP报文。认证方式VRRP提供了三种认证方式：(1)无认证：不进行任何VRRP报文的合法性认证。不提供安全性保障，可以用在完全封闭的小型内部网络中。(2)简单字符认证：在一个有可能受到安全威胁的网络中（例如VRRP组设备和少量办公网设备处于同一网络），可以将认证方式设置为简单字符认证。发送VRRP报文的路由器将认证字填入到VRRP报文中，而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同，则认为接收到的报文是合法的VRRP报文；否则认为接收到的报文是一个非法报文。（本次项目VRRP协议建议采用此项认证）(3)MD5认证：在一个非常不安全的网络中（VRRP组设备和大量办公、娱乐设备处于同一网络），可以将认证方式设置为MD5认证。发送VRRP报文的路由器利用配置的密文认证字和MD5算法对VRRP报文进行加密，加密后的报文保存在AuthenticationHeader（认证头）中。收到VRRP报文的路由器会利用器会利用认证字解密报文，检查该报文的合法性。这样可以达到最佳的安全性。VRRP工作过程： (1)路由器使能VRRP功能后，会根据优先级确定自己在虚拟路由器中的角色。初始创建的路由器工作在Backup状态，通过VRRP通告报文的交互获知VRRP组成员的优先级。在等待Master_Down_Interval之后，优先级高的路由器成为Master路由器，优先级低的保持Backup路由器状态。新变为Master的路由器会立即发送免费ARP，通知与它连接的设备或者主机，自己的虚拟MAC地址；之后它定期发送VRRP通告报文，通知虚拟路由器内的其他设备自己工作正常；Backup路由器则处于监听或者等待状态。(2)在抢占方式下，当Backup路由器收到VRRP通告报文后，会将自己的优先级与通告报文中的优先级进行比较。如果大于通告报文中的优先级，则主动成为Master路由器；否则将保持Backup状态。(3)在非抢占方式下，只要Master路由器没有出现故障，Backup路由器始终保持Backup状态，即使随后被配置了更高的优先级也不会抢占成为Master路由器。(4)如果Backup路由器的定时器超时后仍未收到Master路由器发送来的VRRP通告报文，则认为Master路由器已经无法正常工作，此时Backup路由器会主动成为Master路由器，并对外发送VRRP通告报文。虚拟路由器内的路由器根据优先级选举出Master路由器，承担报文的转