内蒙古XXX网络工程系统集成设计方案

第一章内蒙古XXX工程系统集成方案综述 31.1项目建设总体目标 31.2项目建设实现的主要功能 31.3项目建设的主要原则 3第二章内蒙古XXX网络平台硬件部分详细设计方案 4 42.1.1项目建设需求 42.1.2网络技术选择 42.2内蒙古XXX网络设计 2.2.1总体结构 2.2.2局域网设计 2.2.3城域网设计 2.2.4门户网站 2.2.5路由交换设备选型 292.2.7网络检测 46第三章网络安全设计 3.1网络安全概述 47 3.2.1各种防火墙技术介绍 3.2.2天融信NGFW4000-TZ介绍 2.3.3IDS入侵检测 第四章内蒙古XXX网络平台软件设计 4.1.1网络系统选型原则 4.1.2网络系统应具备的功能和特点 4.2.1产品结构 4.2.2产品概述 66 4.3.1不同类型产品间的比较 69 4.3.3反垃圾邮件系统 71 724.3.5几点说明 74 74 75 1.1项目建设总体目标(略)1.2项目建设实现的主要功能内蒙古XXX网络的主要功能包括：文件传输(FTP)、远程登录(TELNET)、电子邮件(E-MAIL)、WEB浏览、在线信息发布、在线信息咨询与反馈、数据库查询、分布式数据存储、容灾备份、信息共享、视频会议、网络电话、虚拟专网(VPN)、安全防护等功能。1.3项目建设的主要原则内蒙古XXX网络建设，要遵循以下原则：

先进性我公司在此方案中的各个部分推荐符合当代信息技术发展形势，既有先进技术又发展成熟，并且是各个领域公认的领先产品，使新建的网络计算机系统能够最大限度地适应今后技术发展和业务发展变化的需要：●高性能的关系型数据库。●高安全防范的硬件防火墙。

实用性计算机系统的建设将以满足内蒙古XXX网络应用系统的需求，同时考虑今后信息量的增加为基点，从主机CPU的处理能力、硬盘的空间、网络交换机的扩展槽等多方面做到系统的实用性。

可扩充性在发展迅速的信息领域，应用环境、系统的硬件或软件都会不断地加以更新，因此，系统的可扩充性以及前后兼容一致性十分重要。本方案的设计，硬件/软件是建立在广泛的可升级基础上。

开放性各种设计规范、技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支持能力。系统中所采用的所有产品都要满足相关的国际标准和国家标准，是开放的可兼容系统，能与不同厂商的产品兼容，可以有效保护投资。随着Internet/Intranet技术的飞速发展和广泛应用，网络安全问题愈来

可管理性第二章内蒙古XXX网络平台硬件部分详细设计方案2.1设计需求及网络技术选择局域网的基本拓扑结构大多为二级/三级星形结构。例如：100Base-T快速以太网是由10Base-T以太网标准发展而来的，是现行的IEEE802.3Base-T提高了10倍(即将每个数据位的传输时间压缩了10倍)。由于MAC被定义成与速并且同样采用星型拓扑结构，不需对工作站的以太网卡改，就可使局域网上的10Base-T和100Base-T站点间互相通信，不需要任何协议转换。(对于原来使用5类双绞线连接的网络，只要更换网卡和集线器，就可平滑地由10Base-T升级到100Base-T。但100Base-T网络不支持同轴电缆。)100Base-TX传输媒体可以采用5类无屏蔽双绞线UTP。RJ-45接口与10Base-T中的连接方法一样，占用其中的2对绞线(即1—2、3—6)。传输媒体的最大网段是100米，可以使用2个中继器，但100Base-TX网络的最大跨距为205米(中继器之间的最大电缆长度100Base-T4是一个4对线系统，传输媒体采用3类、4类、5类无屏蔽双绞线UTP的4对线路进行100Mbps的数据传输。其中3对双绞线用于数据传输，1对用于冲突检测。4对线(1—2、3—6、4-5、7-8)一一对应连接。但在10Base-T系统中仅用了其中1—2、3—6两对，一般在布线时4对线都会安装连接。对于原来用3类线布线的系统，可以通过采用100Base-T4把网络从10Mbps升级到100Mbps,无需重新布线。在100BaseFX环境中，一般选用62.5/125μm多模光缆，也可选用50/125,85/125以及100/125的光缆。但在一个完整的光缆段上必须选择同种型号的光缆，以免引媒体段可达2km。100BaseFX也支持单模光缆作为媒体达到40km,甚至更远，但价格要比多模光缆贵得多。在系统配置时，可以外置单模光缆收在100Base-T网络实际应用时，为了能与传统的10Mbp增加了10/100Mbps速度自动协商感应功能，使得10Base-T和100Base-T的适配器可以商功能的10/100Mbps以太网适配器中，100Base-T的工作站在启动时，首先发出一组高速链路脉冲(FLP),如果对端的HUB是1个只能工作在10Base-T方式的端口，则该网卡就自动工作在10Base-T模式下；如果对端的HUB能支持100Base-T,它会检测到高速链路由于100Base-T网络价格较低、易升级、速率高、兼容性强，所以将成为目前应用帧间时延性能变差，不利于实时信息的传送。但在交换式100Base-T网络中，由于工作站千兆以网技术以太网帧、全双工、流量控制以及IEEE802.3标准中所定义的管理对象。作为以太网的一千兆以太网还利用IEEE802.1QVLAN支持、第四层过滤、千兆位的第三层交换。千兆以在服务器的连接和骨干网中，千兆以太网获得广泛应用，由于IEEE802.3ab标准(采用5类及以上非屏蔽双绞线的千兆以太网标准)的出台，千兆以太网可适目前，千兆以太网已经发展成为主流网络技术。我们在建设企业局域网时都会把千兆以太网技术作为首选的高速网络技术。千兆以太网技术甚至正在取代ATM技术，成为城域网建设的主力军。千兆以太网的特点千兆以太网的特点主要包括如下。(1)千兆位以太网提供完美无缺的迁移途径，充分保护在现有网络基础设施上的投资。千兆位以太网将保留IEEE802.3和以太网帧格式以及802.3受管理的对象规格，从而能够在升级至千兆性能的同时，保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具；(2)千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案，提供了一条最佳的路径。至少在目前看来，是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、关键任务的应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对Internet、Intranet、城域网与广域网的更快速的访问。(3)IEEE802.3工作组建立了802.3z和802.3ab千兆位以太网工作组，其任务是开发适应不同需求的千兆位以太网标准。该标准支持全双工和半双工1000Mbps,相应的操作采用IEEE802.3以太网的帧格式和CSMA/CD介质访问控制方法。千兆位以太网还要与10BaseT和100BaseT向后兼容。此外，IEEE标准将支持最大距离为550米的多模光纤、最大距离为70千米的单模光纤和最大距离为100米的铜轴电缆。千兆位以太网填补了802.3以太网/快速以太网标准的不足。千兆以太网的构建千兆以太网络是由千兆交换机、千兆网卡、综合布线系统等构成的。千兆交换机构成了网络的骨干部分，千兆网卡安插在服务器上，通过布线系统与交换机相连，千兆交换机下面还可连接许多百兆交换机，百兆交换机连接工作站，这就是所谓的“百兆到桌面”。在有些专业图形制作、视频点播应用中，还可能会用到“千兆到桌面”,及用千兆交换机联到插有千兆网卡的工作站上，满足了特殊应用下对高带宽的需求。在建设网络之前，究竟用千兆还是百兆，要从实际出发，从应用出发，考虑网络应该具备哪些功能。不同的应用有不同的需求，而且几乎没有只有单一业务的网络。但是，在各种业务中，生产性业务肯定是优先级最高的。如果在网络中传输语音，那么语音业务也需要优先安排。如果对业务优先的需求很高，网络必须有QoS保证。这样的网络必须要智能化，在1997年1月，通过了IEEE802.3z第一版草案；1997年6月，草案V3.1获得通过，最终技术细节就此制定；1998年6月，正式批准IEEE802.3z标准；1999年6月，正式批准IEEE802.3ab标准(即1000Base-T),可以把双绞线用于千兆以为1000BaseLX)、多模光纤上的短波激光(称为1000BaseSX);1000BaseCX介质，该介质可在均衡屏蔽的150欧姆铜缆上传输。IEEE802.3z委员会模拟的1000BaseT标准允许将千兆位以太网在5类、超5类、6类UTP双绞线上的传输距离扩展到100米，从而使建筑楼宇内布线的大部分采用5类UTP双绞线，保障了用户先前对以千兆以太网的标准化包括编码/译码、收发器和网络介质三个主使用8B/10B编码解码方式，使用50微米或62.5微米多模光缆，最大传输距离为300米到500米。连接光纤所使用的SC型光纤连接器与快速以太网100BASEFX所使用的连接器的型号相同。1000BASE-CX是一种基于铜缆的标准，使用8B/10B编码解码方式，最大传输距离编码解码方式，传输距离为100米。1000BASE-T在传输中使用了全部4对双绞线并工作在全双工模式下。这种设计采用PAM-5(5级脉冲放大调制)编码在每个线对上传输250Mbps。磁场线路，所以无法完全隔离发送和接收电路。任何发送与接收线路都会对设备发生回波。因此，要达到要求的错误率(BER)就必须抵消回波。1000BASE-T无法对频率集中在125MHz之上的频段进行过滤，但是使用扰频技术和网格编码能对80MHz之后的频段进行过滤。为了解决5类线在如此之高的频率范围内因近端串扰而受到的限制，应该采用合适的方案来抵消最初的千兆以太网采用高速780纳米光纤信道的光元件传输光纤上的信号，采用8B/10B的编码和解码方法实现光信号的串行化和复原。目前光纤信道技术的数据运行速率为1.063Gbps,将来会提高到1.250Gbps,使数据速率达到完整的1000Mbps。对于更长的连接距离，将采用1300纳米的光元件。为了适应硅技术和数字信号处理技术的发展，应在MAC层和PHY层之间制定独立于介质的逻辑接口，以使千兆以太网工作在非屏蔽双绞线电缆系统中。这一逻辑接口将适用于非屏蔽双绞线电缆系统的编码方法，并独立于光纤信道的编码方法。下图说明了千兆以太网的组成。单模光纤电缆系统多模光纤电缆系统双绞线对收发器如何升级至千兆以太网把10M、100M网络升级至千兆的条件并不多，最主要的是综合布线条件。千兆以太网指的是网络主干的带宽，要求主干布线系统必须满足千兆以太网的要求。如果原来的网络覆盖距离相隔几百米至几公里的多幢建筑物，则原来的主干布线一般采用的是多模或单模光纤，能够满足千兆主干的要求，可以不必重新敷设光纤了。在建筑物之间的距离小于550米的情况下，一般敷设价格相对低廉的多模光纤就可以满足千兆以太网的需要。如果原来的网络只覆盖了一幢建筑，而且最远的网络节点与网络中心的距离不超过100米，则可以利用原来的5类或超5类布线系统。如果原来的布线系统达不到5类标准，或者采用了总线型布线系统而不是星型布线系统，则必须重新布5类线。解决方法是在原来的服务器上添加千兆网卡。注意应该优先选购64位PCI的千兆网卡，其10M/100M自适应网卡，则可以不必升级网卡，只要将网卡接到百兆交换机上就可以了；如预计到2005年之前，数据传输量每年将以3倍的速度增长，并于当年超过语音传输量，市场份额会越来越大。随着Internet的发展和网络上层出不穷应用的出现，万兆以太网将鉴于以上介绍采用TCP/IP协议，千兆以太网技术组网，主干带宽1000兆，接入带宽100兆，100兆交换到桌面以满足多媒体通信的要求。2.2内蒙古XXX网络设计根据实际情况与要求，要求网络设备具有很高的可靠性和可用性，我们推荐采用QuidwayS8500万兆核心路由交QuidwayaS8500系列万兆核心交换机是由华为3Com公司自主开发的新一代高性能万兆QuidwayeS8500系列基于新一代核心交换机的设计理念，具备大容量高性能、可扩展1)先进的体系结构高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转高达1.44Tbps的交换容量。接口板通过多条高速总线分别连到两块主控板上的Crossbar3)强大的业务支撑能力4)新一代万兆接口支持Quidway⑧S8500的新一代万兆以太网交换机不仅在接口密度上达到2端口/线卡(后续可扩展至4端口/线卡),并且可以支持线速的MPLS转发，可以提供更好的IPVPN业务和透明10GBASE-LX4接口，从而大大提高了用户组网的灵活性。Quidway⑧S8500系列产品遵循业务与性能并重的设计理念。一QuidwayRS8500系列产品提供了灵拥塞避免算法和端口流量整形。支持带宽控制功能，流量限速的粒度为8Kbit/s,满足精品Quidway⑧S8500系列产品系统采所有单板支持热插拔；电源系统交流/直流可选，采用1+1冗余热备份，并支持双路电源输可靠性达到：99.999%。Quidway8S8500系列产品的先进的逐包转发机制确保其在各种数据流状况下的设径检查);采用802.1x方式对接入用户进行认证，支持安全的SNMPv3的网管协议、支持配Quidway⑧S8500系列产品还支持标准Radius协议，同时提供Radius+功能，以及HCBM (华为可控组播管理协议)功能支持。基于硬件支持的内置防火墙/IDS功能为核心交换设体系结构一体化机箱，可安装于19英寸机架内外形尺寸(MM)宽×深×高满配置重量(Kg)交换容量背板容量1.8Tbps(可扩展至3.6T)量二层功能支持802.1q优先级支持动态VLAN注册协议(GVRP)支持端口捆绑支持广播风暴抑制兼容Ethernet_II/Ethernet_SNAP/IEEE802支持分布式策略路由支持URPF(单播反向路径检查)三层组播协议：IGMP、PIM-DM、PIM-SM安全功能，防止DOS攻击对NAT模块资源的过度使用负载均衡、WebCache高速缓存重定向等功能支持PE和P功能IP地址、目的IP地址、IP端口、协议号等进行报文分类和过滤支持带宽控制，带宽控制粒度为8Kbit/s先级，支持SP、WRR、SP+WRR三种队列调度算法支持802.1P,DSCP/TOS优先级和重新标记能力支持基于时间段的流分类和QoS控制能力网络安全特性支持IP+MAC+PORT任意组合的绑定支持非法帧报文过滤支持IEEE802.1X认证用户分级管理和口令保护支持端口隔离支持SNMPv3网管支持双路电源供电温度范围：0℃~40℃相对湿度：10%～90%(非凝结)电源要求最大输出功率：1200W(S8505)、2000W(S8508/S8512)本次网络系统集成我们采用5台QuidwayS3552F作为汇聚层交换机，每台配置一个千

产品概述管理能力。这些智能化的特点非常适合作为关注业务管理控制和网络安全保障能力的办公S3552F交换机的主板提供6个模块插槽，可选配8端口百兆单、多模模块和10Base-T/100Base-TX模块，整机共提供48个百兆单、多模光接口、10Base-T/100Base-TX自协商以太网端口(RJ-45连接器)及4个GBIC模块接口，1个Console口。支持220V交三层线速交换能力，系统能够提供4个GE,有效解决了在单台设备上多个千兆链路上行，同时接入千兆服务器的需求，极大的节省了用户对设备投资。设备最大提供512个子网路由Quidway"S3500系列安全智能三层交换机基于最Quidway°S3500系列安全智能三层交换机支持802.1x和QuidwayS3500系列安全智能三层交换机不仅支持STP/RSTP生成树协支持可选的冗余电源系统RPS,可为4台设备提供电源冗余，提高容错能力和网络正常地址、目的IP地址、端口、协议的L2~L7复杂流分类；支持1K个流规则。提供了灵活的队列调度算法，可以同时基于端口和队列进行设置，支持SP(StrictPriority)、WRR(WeightedRoundRobin)、SP+WRR三种模式；支持8个优先级队列，3功能，流量限速的粒度为8Kbit/s。管理端口1个Console口端口固定端口4个GBIC模块接口可选模块8端口10/100Base-T模块；端口类型100Base-FX多模光接口(LC接口)100Base-FX单模光接口(LC接口)外形尺寸宽×深×高AC:额定电压范围：100-240V;50/60Hz;最大电压范围：90-264V;50/60HzDC:额定电压范围：-60--48V;功耗(满负荷时)度工作环境相对湿度(非凝露)线速二/三层交换端口容量为17.6Gbit/s背板交换容量为32Gbit/s包转发率13.2Mpps交换模式存储转发模式(StoreandForward)最多支持4K个符合IEEE802.1Q标准的VLAN(Virtua支持GVRP(GARPVLANRegistrationProtocol)Ethernet_SNAP(SubnetworkAccessProtocol)IP路由静态路由RIP(RoutingInformationProtoOSPF(OpenShortestPathFi等价路由策略路由DHCPDelay,DHCPSe支持VRRP(VirtualRedundancyRoutingProtocol)GMRP(GARPMulticastRegistrationProtocol)IGMP(InternetGroupManagementPIM-DM(ProtocolIndependentMulticast-DenseMode)PIM-SM(ProtocolIndependentMulticast-SparseMode)支持STP/RSTP/MSTP协议，符合IEEE802.1D、IEEE支持FE(FastEthernet)端口聚合最多支持7组聚合(每组最多包含8个端口)广播风暴抑制所有端口上支持基于带宽百分比的组播、广播风暴抑制地址自学习IEEE802.1D标准最多支持12K个MAC地址支持IEEE802.3x流控(全双工)支持Back-pressurebasedflowcontrol(背压式流控)(半双工)加载与升级支持XModem协议实现加载升级管理支持SNMP(SimpleNetworkManagementProtocol)支持RMON(RemoteMonitoring)支持WEB网管支持系统日志支持HGMP(HuaweiGroupManagementProtocol)V2支持HGMPV1(作为Server)支持Modem远端拨号维护支持调试信息输出支持PING(PacketInternetGroper)、Tracert支持Telnet远程维护支持HGMPV1(作为Server端)支持1K条流规则支持广播速率限制支持8个优先级队列，3个丢弃优先级SP(StrictPriority)、WRR(WeightedRoundRo支持WRED(WeightedRandomEarlyDetec支持802.1P,DSCP(DifferentiatedServicesCode支持L2~L7包过滤功能，提供基于源MAC地址、目的AccessControl)地址、源IP地址、目的IP地址、端口、协议、V(VirtualLocalAreaNetwork)、VLAN范围、MAC地址范围和非法帧过滤支持时间段(TimeRange)安全特性用户分级管理和口令保护本次网络集成接入层交换机我们选用huawei-3com公司的QuidwayS3026C以太网交换机。每台交换机配有一100兆光纤模块上行端口，用于连接到汇聚层交换机。接入层交换机放置在个厅QuidwayOS3000系列智能二层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机。系统采用高性能的ASIC,采用灵活的模块化结构，提供二到七层的智能的流分类和和完善的服务质量(QoS),实现完备的业务控制和用户管理能力，可作为关注业务管理控制和网络安全保障能力的城域网的接入层交换机。QuidwayS3026C以太网交换机为1U高的盒式设备，支持19英寸机架安装，可不依赖于其他设备独立运行。系统提供固定的24个10/100Base-TX的自适应端口、1个Console口及2个GBIC/1000Base-T/前扩展槽，可以根据需求灵活选择设备。

产品特点1)全线速的二层交换：Quidway°S3000系列智能二层交换机12.8/18.5Gbps的总线带宽为交换机所有的端口提供二层线速交换能力，硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。2)完备的安全智能控制策略：Quidway"S3000系列智能二层交换机支持802.1x认证，在用户接入网络时完成必要的问网络。支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。Quidway°S3000系列智能二层交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP,极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。支持可选的冗余电源系统RPS,可为4台设备提供电源冗余，提高容错能力和网络正常运行4)丰富的QOS策略：Quidway°S3000系列智能二层交换机支持基于源MAC地址、目的MA目的IP地址、端口、协议的L2~L7复杂流分类；支持1K个流规则。提供了三种各具特色的队列调度算法，严格优先级(Strict-PriorityQueue,简称PQ)、加权轮循(WeightedRoundRobin,简称WRR)调度算法和DelayboundedWRR调度算法；支持带宽控制功能，确保进入交换机的特定业务流一个最小的带宽，即使在网络拥塞时，也能满足一定的丢包、时延及时延抖动等QoS需求。支持CAR(CommittedAccessRate)功能，流量限速的粒度为1Mbit/s。5)良好的扩展性：QuidwayS3000系列智能二层交换机提供良好的堆叠功能，最大可支持16台设备的堆叠，同时支持不同设备的混合堆叠，从而保证了网络的平滑升级和降低了扩建成本。6)多样的管理方式：Quidway°S3000系列智能二层交换机支持SNMP,可支持OpenView等通用网管平台，以使设备管理更方便

产品规格固定端口24个10/100M以太网口；1个Console口100Base-FX单模模块100Base-FX多模模块100Base-FX单模中距模块(40Km)交换容量包处理能力≥6.55Mpps(所有端口实现线速路由和转发)支持256个802.1Q标准的VLAN;支持4KVLAN透传；支持isolate-user-vlan,可以隔离用户，节省VLAN资源；支持GVRP;支持VLANtrunk;组播协议IGMPSnooping,支持可控组播流分类规则在流分类的基础上可以进行如下QOS动作：流量监管广播风暴抑制所有端口上支持基于带宽百分比的广播风暴抑制支持6组，每组最大8个100M端口聚合、2个千兆端口聚合堆叠支持，最大支持16台支持基于端口和MAC的802.1x认证，可终结EAP报文安全分级命令保护机制；ACL过滤；双网卡proxy检测管理支持命令行接口配置；支持Telnet远程配置；支持通过Console口配置；支持远端拨号；支持SNMPV1/V2/V3;支持iManagerN2000及QuidView网管系统；支持WEB网管；支持集群管理；支持RMON(Remotemonitor)1,2,3,9组MIB;支持系统日志；支持分级告警；支持HGMP(HuaweiGroupManagementProtocol)V2;支持HGMPV1AC:90V～264V50/60Hz;DC:-75V~-外形尺寸(mm)(宽×深×功耗相对湿度：10~90%;不结露

产品概述楼道级/桌面级二层智能、可网管交换机。华为公司针对楼道级/桌面级交换机的特点，从软件、硬件及结构等方面对这款以太同时QuidwayS2008使用华为公司网络产品通用的VRP(通用路由平台)网络操作系统，提QuidwayS2008以太网交换机采用盒式设计，是一款支持全线速转发的2层以太网的8个固定的10Base-T/100Base-TX自适应端口2个固定的100Base-TX上行端口1个用于配置的Console口及1个远端监控口1个扩展槽位：可插入1个100Base-FX(多模/单模)光纤端口模块QuidwayS2008所有端口支持全线速2层交换；在使用5类双绞线时，S2008的10M口传输距离可达200米，使其可广泛应用于企业、政府、运营商和社区的以QuidwayS2008支持丰富的业界标准，可以广泛的兼容现有网络设备，同时基于华为的VRP操作系统，使得S2008与Quidway系列路由器在命令行风格等方面具备良好的兼容性。所有10M/100M自适应电口均支持MDI/MDI-X自适应。可配置不同的光模块实现FE的上行能力QuidwayS2008支持符合IEEE802.1p标准的优先级设置，支持2个优先级提供精确的802.1x认证协议的支持，实现低成本的局域网安全保障方式QuidwayS2008支持基于端口的镜像方式S2008以太网交换机的3个上行快速以太网端口可以捆绑起来用于交换机之间的连接或者交外形尺寸(宽×高×深)8个10/100Mbit/s以太网端口2个100Mbit/s上行以太网端口1个Console口1个远端监控口1个扩展槽位1×100Base-FX模块(单模)1×100Base-FX块(多模)交换容量包处理能力1.64Mpps,所有端口支持线速转发交换模式存储转发模式(StoreandForward)VTP,GVRPQoS支持符合IEEE802.1p标准的优先级(2个优先级队列)HGMP(华为组管理协议)支持组播GMRP,IGMPSnooping支持STP/RSTP,符合IEEE802.1D及IEEE802.1w支持基于端口的镜像，将特监控端口所有端口上支持基于带宽百分比的广播风暴抑制支持3个上行100Mbit/s端口的捆绑4K(2K单播、2K多播)支持IEEE802.3x流控管理支持命令行、Telnet、Console口配置支持通过脚本进行批量配置及离线配置支持SNMPV3、RMON、HGMPClient支持系统日志、分级告警；支持FTP、TFTPAC:90V~264V,47~63Hz;DC:-75V~-功耗工作环境温度工作环境相对湿度-—足够的内外存储容量和高可靠性能；-—主机服务器系统应代表当代计算机技术的最高水平；--具有长远的生命周期和易扩充性，能适应现在和未来的需要；--应遵循开放性标准，具有良好的用户界面和丰富的应用集成工具；--具备分布式处理能力及应用程序的可移植性和互操作性；--应支持各种先进的数据库管理系统。--高处理性能—-高可靠性和可用性：选择高可靠性的硬件和软件系统，具备软硬--开放性：选择开放性的软、硬件系统，保证不同系统间的互操作性，并可支持各种标准的外部设备；--先进性和灵活性：所选设备应是当今世界先进的、主流机型，并至少保持5年内不落后；--安全性：系统要有较高的安全级别，并充分考虑到数据的安全性。Web服务器选型本次项目Web服务器我们选用IBM公司的xSeries产品规格介绍：定位允许：插槽x托架总数(空闲):外型参数冷却系统BIOS类型：处理器内部时钟速度前端总线：处理器厂商：二级缓存：机柜624内存硬盘已安装硬盘编号：硬盘控制器：6图形子系统显存标准/最大：大8MB/8MB图形数据宽度32-bitResolution(max)withStandard2048x153616777216最大分辨率(以最大显存)NI:最大色彩(以标准显存):图形总线接口：设备界面数据宽度(数据位):EIDE平均数据传输速率(控制器/设备)::2500KBps平均存取时间：:110msTransport:前托盘安装重量及尺寸安全Typeofservice:现场保修保修期：3年部件和人力扩展选件具备SMP能力(多处理器):有端口：以太网通讯千兆以太网卡-集成DNS服务器与邮件服务器选用结构插槽x托架总数(空闲):外型参数处理器IBM公司的xSeries14处理器内部时钟速度处理器厂商：硬盘已安装硬盘编号：硬盘控制器：图形子系统显存标准/最大：大图形数据宽度0Resolution(max)withStandard最大分辨率(以最大显存)NI:最大色彩(以标准显存):Opticaldevice类型：C设备界面数据宽度(数据位):EIDE平均数据传输速率(控制器/设备)::4000KBps平均存取时间：:前托盘安装网络接口：千兆以太网卡-集成电源管理电源：电源供应类型：:重量及尺寸重量：高度：宽度：深度：安全特性：前端总线：现场保修3年部件和人力扩展选件即插即用支持：支持具备SMP能力(多处理器):有内部功能服务器两台内部功能服务器使用IBM的产品规格结构定位允许：插槽x托架总数(空闲):外型参数冷却系统处理器处理器内部时钟速度水平机柜614硬盘已安装硬盘编号：2图形子系统显存标准/最大：大8MB/8MB描述：ATIR图形数据宽度32-bitResolution(max)withStandard2048x153616777216最大分辨率(以最大显存)NI:2048×153616777216colors最大色彩(以标准显存):16777216设备界面数据宽度(数据位):EIDE平均数据传输速率(控制器/设备)::2500KBps平均存取时间：:110msTransport:前托盘安装网络接口：千兆以太网卡-集成电源管理重量及尺寸安全特性：PrivileTypeofservice:现场保修扩展选件即插即用支持：具备SMP能力(多处理器):2.2.7网络检测有以太网随着网络技术的飞速发展，网络的结构日趋复杂。能够快速的分析网络的结构，定位网络故障节点，对网管来说十分重要也越来越难。所以本次项目我们采用了安恒公司的OptiViewⅡ系列集成式网络分析仪OPVS2INA+OPV-VLAN+OPV-MV来辅助网管管理网络。

产品概述●迅速获得完整的网络可视性流量分析和物理层测试能力综合于一个可移动的测试仪中●测试仪的设计和用户接口使其既可以作为手持式的工具使用也可以半固定地接入网络链路中进行测试

产品功能OptiViewII系列集成式网络分析仪(OPVS2INA)让您快速透视整个网络，更快速和智能地解决当今网络中的问题。它将网络分析和监测能力结合在一起，仅使用这台电池供电、便携的测试仪，就可帮您完整地透视整个网络。看看当解决复杂的网络问题时您的速度有多快的网络了如指掌。OpehawCaCMonDtsoway(rokstdcmanorHaoca010248001010:000-Cenetwen010248.C0102:htcon03ntno010248C01130:htpe20mtwtstartG6Ocwiernsn独立、便携、紧凑、电池供电的分析仪集成了：数据包捕捉和解码(增强型)RMONII流量分析(增强型)千兆以太网测试能力(千兆增强型)无线(选件)WAN广域网透视(选件)●专家分析(选件)始自动搜寻.这一测试将FirtPmesastesDiconrGHotDetst围mtc0022mmrksupeniicncc NACAress3图3b020想hec0282y.Irccmetsunetmsc255255.000nene0982yieoretsinea06IneweckwPioyARPntrblP.01024j0CoestnotkspenfsknconP00-00420000(EXTFO42Name/Loi31003●名称●地址●协议●路由器●接口信息●远程监测能力电缆测试2当接入铜介质网络时，OPVS2INA将自动进行电缆测试并给出连接至设备的电缆长度，即使是连接至工作中交换机或HUB端口。选择双绞线详细信息屏幕可以得到：●接线图●至远端长度●至反射点的长度●异常(短路，开路和串绕)●接收线对●发送线对●接收电压数据包捕捉、过滤和解码数据包捕捉PaciatCagareFisarnarcoralPictoesDeC-MOrZPachetTneIcPacpsaeeeOVmwaldpree1eC··0最小时延0最大吞吐量0最大可靠性0最小费用0最大安全性·预设置流量负载报告和监测OptiView报告软件将OPVS2INA收集的基准网络性能数据转换为专业格式的文档。生成IP和NetBIOS的设备地址列表，记录以太网碰撞，利用率和错误。可以生成多种格式的报告文件--包括HTML格式。你也可以通过网络远程对OptiView集成式分析仪进行设置和启动测试。用的骨干链路协议。FicntPoyeStabs¹cs|DsttyToTheVLANVsioncptonhas3aldasrem0为您提供ATM、帧中继、康信息。回1+styOur2.2.8补充说明1)关于运营商链路问题3)光跳线本项目中需要ST-SC单模光跳线120根ST-LC单模光跳线120根SC-LC单模光跳线20根。(1)网络安全面对的威胁计算机网络所面临的威胁大体可分为两种：一是对网络中信息的威胁；二是对网络中设备的威胁。影响计算机网络的因素很多，有些因素可能是有意的，也可能是无意的；可能是人为的，也可能是非人为的；可能是外来黑客对网络系统资源的非法使有。归结起来，针对网络安全的威胁主要来自于：(1)人为的无意失误：如操作员安全配置不当造成的安全漏洞，单位内部用户安全意识不强，用户口令选择不慎，用户将自己的帐号随意转借他人或与别人共享等都会对网络安全带来威胁。(2)人为的恶意攻击：这是计算机网络所面临的最大威胁，黑客攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害，并导致机密数据的泄漏。恶意攻击既可能来自外部连接，也可能来自内部网络中的恶意用户。(3)网络软件的漏洞和“后门”:网络软件不可能是百分之百的无缺陷和无漏洞的，然而，这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。曾经出现过的黑客攻入网络内部的事件大部分都是因为安全措施不完善所招致的苦果。另外，系统运行大量的数据库及MIS管理类的软件，其中相当一部分是由本行业系统集成公司或自有的软件开发人员编制的。设计编程人员为了方便往往在软件编写过程中留下“后门”以便于修改，但一旦“后门”洞开，其后果不堪设想。归结起来，针对网络的攻击行为主要包括四种方式，分别为入侵Intrude、拒绝服务Denialofservice、信息窃取Sniffer、电子欺骗Spoofing。

入侵是最常见的攻击方式。非法用户试图闯进计算机网络里，就象普通合法用户一样使用网络资源。入侵手段常见的一种是，猜测用户的密码，使用多种“字典”以枚举法多次试验；另一种是搜索整个系统，发现软件，硬件的漏洞或配置错误，以获得系统的进入权。

拒绝服务是一种将对方机器的功能或服务给以远程摧毁或中断的攻击方式，Denialofservices攻击通过向目标地址的网络主机发送大量无效的IP包导致系统因为大量的服务进程累积而崩溃。

信息窃取利用网络嗅查器(Sniffer)监听网段中的包信息，从中析出有用信息，如：用户名，密码，甚至付款信息等。Sniffer象电话窃听装置一样，可以监听大量的网络信息。

电子欺骗是结合DoS的技巧性攻击，包括IPspoofing,Webspoofing,DNSspoofing,fakemail等。IPspoofing是利用而向连接的TCP协议三次“握手”(3-wayhand-shake)户引向攻击者指定的错误Web网点，从而进一步(2)网络安全措施题。经过业界长期实践，一般认为网络安全应主要考虑以下5个方面：身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪?”这两个问题，授权回答边界安全涉及到防火墙种类的功能，决定网络的不同区域允许或拒在Internet/Extranet和主园区网之间或拨入网和主园现恶意入侵行为的措施，可能的特殊问题(拒绝业务攻击)以及对安全策略的全面遵守等方(3)网络安全详细设计3.2硬件防火墙Internet的日益普及，互联网上的浏览访问，不仅使数据传输量增加，网络被攻击的可能性增大，而且由于Internet的开放性，网络安全防护的方式发生了根本变化，使得安控制、审计以及日志等多种技术手段，且它们的实施可由通信双Internet是一个开放的全球网络，其解决如何利用Internet进行安全通信，同时保护内部网络免受外部攻击。火墙技术应运而生。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类3.2.1各种防火墙技术介绍数据包过滤(PacketFiltering)技术是在网络层对数据包进行选择，选择的依据是系许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。分之所以有效，因为它能很大程度地满足安全要求。所根据的信息来源于IP、TCP或UDP包应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels),也有人将它归于应用级网关一类。计算机系统间应用层的""链接"",由两个终止代理服务器上的""链接""来实现，外部会向网络管理员发出警报，并保留攻击痕迹。应用代理型防火墙是内部网与外点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI成复合型防火墙产品。这种结合通常是以下两种方案。构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤核心交换机内网外网NG入侵检测邮件服务器境.平台支持：采用专用硬件平台与专用的安全操作系统·基于会话检测的防火墙实现机制：采用基于操作系统内核的会话检测技术(核检测);·更先进的系统结构：硬件上支持对接口的灵活扩展，可以通过灵活的扩展来适应业务发tree、NETBEUI、IPSEC、H.323、MMS等，保证用户的网络应用，方便用户扩展IP宽带接入及IP电话、视频会议、VOD·支持交换机主干链路：防火墙的物理接口实现了DOt1q封装格式，能够同交换机的Trunk接口对接，实现了Vlan间路由的功能，保证了防火墙对于各种网络环·地址转换：采用双向网络地址转换(双向NAT)技术，支持静态NAT及动态NAT(IPPOOL),并能够实现一对一、一对多的地址映射；位HASH算法。身份认证采用1024位的非对称算法。.VPN更高的安全性：将VPN的证书和私钥存入USB中，只有拥有USB的人员才能启动隧道，保证了VPN整个过程的安全性。口令方式、数字证书(CA),更好更广泛的实.地址绑定：实现IP地址与MAC地址捆绑，防止IP地址非法盗用；·安全服务器(SSN)保护：具有对公开服务器保护功能，一旦服务器内容被非法篡改，·源、目地址路由功能：根据通讯的源地址和目标地址来做出路由选择，适应有多个网络·ADSL接入：防火墙实现了ADSL功能，满足了目前中小型公司的网络访问能力，满足攻击、SYN攻击；抗DOS、DDOS攻击；可阻止ActiveX、Java、Javascript入侵。·防火墙支持TopsecManager与SAS:支持TopsecManager综合管·实时监控：实时察看防火墙主机的当前负载情况，包括内存的使用情况和连接状·防火墙支持多种工作模式：支持路由模式、透明(桥接)模式(防火墙可不配地址)、混合模式(路由与透明两种模式同时工作)本地管理、远程管理和集中管理；支持基于SSH的远程登陆管理和基于SSL的GUI方式·深层日志及灵活、强大审计分析功能：审计日志包括如下几个部分：日志会话、日志命令。日志会话也就是传统的防火墙日志，负责记录通其参数，比如HTTP请求及其要取的大量的数据，有些用户可能不需要，如协商通信参数过程等。例如针对FTP出(防火墙配置文件信息的备份与恢复);·网络卫士防火墙NGFW4000(硬件):是一个基于安全的操作系统平台的自主版权高级墙NGFW4000提供的访问日志信息进行可视化审计的管理软件。a.电源：AC110/220V50/60HZ,3.0A(最大),260W(最大)运行温度：0—45摄氏度相对湿度：10—90%@40摄氏度，非冷凝IEC100043(辐射敏感性)IEC100044(电快速瞬变)IEC100045(电源)IEC100032(谐波)本次项目采用天融信NGIDS-Z连结到S2008交换机。通过S2008镜像端口对防火墙DMZ区的网络流量进行的监测。并可与防火墙进行联动，来阻止外部的攻击。公司天融信机型标配接口说明标配2个10/100BASE-TX端口+1个10/100BASE-TX管理端口吞吐率实时检测误用检测异常检测测ARP/Telnet/FTP/HTTP/SMTP/POP3/IMAP/DNS/NetBios/CIF类型应用服务器活动日志回放功能 IDS逃避攻击制误报处理机制制实时响应声音/荧光灯反跟踪功能支持(提供单独的跟踪器)功能引擎状态监控支持(引擎存活状态、CPU/内存使用率、当前会话数、丢包率、当前数据包数)邮件监控支持(可监控本文，附件内容)入侵响应相关帮助支持(基于XML的详尽的帮助)提供用户自定义规则功能司安全产品指定服务器服务监控功能100多种(支持word,excel,HTML,XML,邮件等基于crystal的所有报表)用户自定义报表添加功能综合报表支持(提供入侵检测、流量、系统配置参数等等丰富报表)支持本地数据库日志备份/压缩TAP设备支持支持Stealth功能(监听端口无通讯加密联动(支持IAP,OPSEC等标准备)动块综合管理第三支持(netscreen,checkpoint)FireWall-1联动动第四章内蒙古XXX网络平台软件设计4.1操作系统网络操作系统是计算机系统中一个重要组成部分，它起到用户和计算机之间的接口作>支持客户机/网络(Client/Network)体系>支持多重协议>具备目录及安全服务的支持能力>具备强大的网络管理能力>具备网络服务器系统的备份/恢复能力>多任务处理、多流操作、多处理器系统，支持B/S结构>NTFS文件系统，文件易于恢复，安全>易于安装、管理和使用>内置的通信服务>便于使用和维护，符合当今发展趋势，便于系统升级>对相关软件支持性好，与各开发应用软件兼容性好本方案应要求采用WindowsServer2003标准版作为网络操作2003是在Windows2000经过考验的可靠性、可伸缩性和可管理性的基础上构建的，为加强联网应用程序、网络和XMLWeb服务的功能(从工作组到数据中心)提供了一个高效包括：智能文件和打印机共享、安全Internet连接、集中式的桌面应用程序部署以及连接WindowsServer2003标准版充分利用了Windows2准版包含的新增功能和改进使它成为Microsoft所创建的最可靠的小型部门服务器操WindowsServer2003标准版对Windows2000Se进行了改进，例如，支持智能卡、带宽限制和即插即用支持。新增的技术InformationServices6.0(IIS6.0)、公钥结构(PKI)和Kerberos的改进使由于分支办公室域控制器中的更有效的同步、复制和凭据缓存功能，ActiveDirectoryR服务在不可靠的广域网(WAN)连接中更快、更可靠。多功能，这些功能有助于提高部门和职员的工作效Microsoft已在改进易管理性方面取得了长足进步的基于任务的设计可以更加方便地查找和执行公用任务。对于Microsoft管理控制台此外，WindowsServer2003系列有多种动部署的Microsoft软件更新服务(SUS)和服务器配置向导。用新的组策略管理平台(GPMC)简化了管理组策略，同时使更多的部门能更好地使用ActiveDirectory并利用它强大的管理功能。另外，命令行工具使管理员能从命令控换(WebDAV)远程文档共享技术之外式文件系统(DFS)和加密文件系统(EFS)的改进允许强大、灵活的文件Server2003系列的其他成员共享很多功能，这些功能帮助职员保WindowsServer2003系列的联网改进和新增功能扩展了网络结构的多功能性、可和在任何设备上连接到他们的中央系统。Microsoft在WindowsServer2003中改进了重要的联网功能，其中包括Internet协议版本和经济划算的方式来快速传送和管理动态内容。Windows媒WindowsServer2003不仅对Microsoft.重要的是可作为开发、分布和托管用.NET创建的XMLWeb服务的理想平台，这是一利用最大的合作伙伴SolutionEco由于PC技术提供了最经济的芯片平台，仅依靠PC就可完成任务已成为采用WServer2003的重要经济动机。而对WindowsServer2003在成本控制方面适动程序和软件应用程序，使它便于添加新设备和应用程序。另外，MicrosoftSolutionsOfferings(MSO)可帮助各机构创建能解决业务难题并经务使软件集成程度达到了前所未有的水平：分散、组块化的应用程序通过Internet互相这些XMLWeb服务提供了基于行业标准构建的利用现有的投资。基于Windows的现有应用程序可以在WindowsServer减少代码的编写工作量，使用已经掌握了的编程语言和工具

可靠XMLWeb服务：默认情况下，IIS6.0的安全设置在安全修补程序)的能力。管理员可以选择何时安装这些重要的操作系统更新。服务器硬件支持：驱动程序验证程序检查新的设备驱动程序以保证服务器的正常启行的应用程序进行测试和验证。该工具主要用于处理精细文件服务：从MicrosoftWindowsNTRServer4.0和Windows2000服务器事件跟踪：管理员可以使用新的服务器关机跟踪程序报告准确的WindowsServer2003标准版提供的工具使管理员角色(如文件服务器、打印机服务器、远程访问服务器和其他角色)的简单易用的向导，"管理服务器"向导："管理服务器"向导提供了一个当前管理服务器的简单易用的界管理员可以从网络上的其他任一计算机上管理某台计算持人员收到一份远程用户发出的邀请，"远程协助"则是一种从正运行WindowsWindowsServer2003远程计算机后，给予协作的用户将能够查看远程计算机的屏幕并行的程序。例如，用户可以从不能本地运行软件的硬件Professional桌面和Windows的基于x86的应用程序。无论是基于WindowsWeb应用程序服务器角色：WindowsServer2003还是功用程序服务器。它将.NET框架与核心服务器资源集成起来，以便帮助用户开发、部署Windows媒体服务：WindowsServer2003标准版包括"Windows务",该服务用于在公司Intranet和Internet上分发流式音频和视频。如访问LAN之前必须经过自动密钥管理、用户身份验证和授权。WindowsServer现象也时有发生，如何确保网站的安全也成为务器)或远程访问控制台进行监控。4.2.1产品结构外网Ⅱ内网防火墙口监测端是整个系统的核心，运行于需要保护的Web服务器上；口控制台与监测端运行于需要保护的同一Web服务器上；口用户可通过IE浏览器在本地或远程连接登录控制台进行监控。4.2.2产品概述

强大的保护功能1)三道防线，多重保护系统设置了实时阻断、自动恢复和定时扫描恢复三道防线对目标WWW服务器进行多重保护，三种保护方式灵活可选，用户可根据自己的需求来自由选择、组合应用或切换保护方系统不但对非法操作进行告警记录，同时也将被保护页面受到的非法操作结果进行保存，这不但达到保护现场的效果，而且对我们将来研究黑客行为特征以及研究防黑客手段也提供了重要的依据。

第一时间支持WIN2003启明星辰公司是微软公司在中国网络安全领域的少数战略合作伙伴之一，早在WindowsServer2003上市之前，双方即展开了长达数月的紧密合作，专门将WebKeeper等产品针对WindowsServer2003进行了升级优化，推出了针对WindowsServer2003的安全解决方案，从而丰富了WindowsServer2003的本地化安全应用，更好地满足了目前各行业信1)安全的备份措施系统提供异机备份的方式，大大提高了备份库的安全性2)安全的访问控制采用MD5进行加密传输；另外，系统采用了DCOM技术，不打开任何端口，避免受到来3)安全的运行模式系统运行采用开启服务方式，实现了真正的无界面运行1)详尽的日志2)方便的告警用户可以通过屏幕察看最新告警信息或告警日志来了解异常行3)灵活的维护系统允许用户设定上传工具，系统运行期间可对保护项5)方便的二次开发接口系统采用的COM/DCOM技术，提供了方便1)触发扫描，提高效率触发式扫描是指我们采用的机制能精确定位文件的位置和变化类型恢复被操作的文件/目录(先比较属性再比较内容),这样就避免了传统的轮巡扫描资源占用2)后台监测，节省资源当发现异常操作及时阻断或恢复时，系统会占用一定CPU,一旦响应完毕便释口内存：不低于128M,建议256M以上口硬盘：不低于50M剩余空间，建议200M以上剩余空间议SP6)、WindowsXP、WindowsServer20034.3邮件系统4.3.1不同类型产品间的比较此类产品以MSExchange/IBMLotusNotes之类的产品为代表，它们以Email为基础，此类产品以Qmail/Sendmail为代表，免费，更此类产品的特点是采用分布式群机系统，扩展能力强、稳定可上千万用户。例如方标讯业的CSmailPostCenterServer等。此类产品的缺点是，产品定位于电信级高端市场，价格昂贵、经过上面对各类型产品的对比，结合现有的系统。我们选用方2.0邮件系统。CSmailPostOffice系统与Internet,以及其他客户端、网关的逻辑连图中：●外部用户是使用浏览器的邮箱用户，使用HTTP协议，或者是通用的邮件客户端软件，使用SMTP/POP3协议；●Management是使用浏览器进行管理的系统管理员或者域管理员，使用HTTPS或者SSH协议；

产品特点1)高度安全性PostOffice2.0在系统设计时有严密安全性考虑，在每个模块的设计和编码均采用了多种技术以提高安全性，并经过严格的测试。●实现了CSmail的各个模块，包括POP3、UD、MTA、WebMail、MDA