西安广电中心网络建设技术建议书.doc

西安广电中心网络建设技术建议书一、概述随着信息技术的发展，数字化、网络化将对广播电视传播格局带来深刻变革。宽带互联网成为广播电视节目传播的越来越重要平台，成为地方广电媒体覆盖全球的唯一有效途径。未来的广电媒体是以媒资库为中心、多信道传输的多通道播出机构。西安广电世纪园局域网络作为广电内部局域网，承担着办公、上网、网络节目生产和传播的基础平台，今后还将与广电节目生产网络相衔接，构成一个覆盖整体大楼、集生产办公传播于一体、功能划分清楚的多功能网络。随着技术的发展，高度民主网将扮演越来越重要的角色。所以在设计广电中心网络的时候，不能像一般单位那样仅仅考虑到上网和办公，而应当提高认识，站在媒体发展的高度来设计。在西安广电世纪园网络设计当中，要充分考虑到信息技术将对广电媒体带来的深刻影响，大楼局域网除了为广电节目的生产、管理提供便利外，还应当是网络电视、网络广播节目的生产和播出平台。二、需求分析传统的企业局域网以资源共享为中心，以数据业务传送为主，无QoS保证，缺乏对语音、视频实时业务的支持；无法满足内容交换、业务优先级分类传送的需要；广电世纪园对局域网络的需求要求满足综合业务及业务优先级分类传送的需要，提供端到端的QoS、安全、内容效的、策略管理。广电世纪园是市广电局及下属单位共同办公的场所，其内部局域网既有一般单位网卡办公的需求，也有广电网站节目生产、播出的需要。该网所具有基本功能为：1、上网：所有信息节点都能上网；2、网上办公：实现各入住单位磁带库、技术设备、人事劳资、车辆等网络化管理。要求划分虚拟专网，使每个入驻单位之间既能共享公共资源，又互不干扰。财务系统应采取隔离方式确保安全。3、为两台网站提供信息采集和传输通道。网站到每个演播室之间有100M直联通道，便于演播室随时接入网络信号。4、建立市广电局电子政务网。5、局域网与媒资管理系统安全对接，以便采编人员随时查找素材，便于网站调用媒资库存资源。6、建立大楼内部网站，设立内部论坛、信箱等。便于员工业务交流、干群沟通，便于收集合理化意见和建议等。7、建立内网视频点播平台，供职工业余时间鉴赏优秀影视作品，探讨业务。8、远程管理大楼公共场所显示屏、电梯间显示屏等上的信息。9、会议室、走廊等大楼公共区域实现有线、无线互联网双覆盖，并对用户进行安全认证。10、为电视电话会议提供可选通道。11、同时与多个电信运营商接驳，便于互联网视听节目顺利播出。三、建设方案3.1 建设原则广电世纪园局域网的建设要实现内部全方位的数据共享、应用三层交换，提供全面的QoS保障服务，使网络安全可靠，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。高性能：网络要求具有数据、图像、语音等多媒体实时通讯能力。主干网应提供可保证的服务质量和充足的带宽。采用最新科技，以适应大量数据传输以及多媒体信息的传输。整个系统在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。高可靠性：网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。整个网络应有足够的冗余，设备在发生故障时能以热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。标准化：所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作性和网络系统的开放性。可扩展性：所有网络设备不但满足当前需要，并在扩充模块后满足可预见的未来需求。网络设计不仅要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接。还要留有扩充余量，包括端口数量和带宽的升级能力。可维护性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，发现故障。全业务和高QoS：支持文本、语音、图形、图像及音频、视频等多种媒体信息的传输、查询服务，具有多种基于优先级队列的QoS保证，多媒体应用对服务质量有很高的要求，如带宽，延迟，延迟的变化等，需要网络对服务质量(QoS)有很好的支持。安全性：网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。实用性：系统建设首先要从系统的实用性角度出发，未来政府部门内部的信息传输都将依赖于计算机网络系统，所以系统设计必须具有很强的实用性，满足不同用户信息服务的实际需要，具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。3.2 网络架构整体规划西安广电中心网络层次设计分为：核心层、汇聚层、接入层三层。核心层的功能主要是实现骨干网络之间的优化传输，骨干层设计任务的重点通常是冗余能力、可靠性和高性能的传输。核心层是所有流量的最终承受者和汇聚者，因此核心层的设计和网络设备选择是整网建设中最重要的环节。汇聚层的功能主要是连接接入层节点和核心层中心。汇聚层是多台接入层交换机的汇聚点，它必须能够处理来自接入层设备的所有通信量，并提供到核心层的上行链路，因此汇聚层交换机与接入层交换机比较，需要更高的性能，更少的接口和更高的交换速率。接入层目的是允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性；西安广电世纪园局域网上承载的业务除了传统的数据业务之外，更有大量的语音、视频实时业务，因此需要较高的网络带宽。根据西安广电中心网络的建设需求，建议采用两台华为Quidway S8505交换机做为核心交换机，两台核心交换机双机热备。Quidway S8500系列核心路由交换机（以下简称S8500）提供大容量、高密度、模块化体系架构，提供二、三层线速转发能力，具有强大的IP路由功能，同时支持分布式的IP/MPLS线速转发、完善的QoS保障、有效的安全管理机制和电信级高可靠设计，满足用户对多业务、高可靠、大容量的需求，可广泛应用于IP城域网、大型园区网的交换核心和汇聚中心。汇聚层交换机采用Quidway S5600系列全千兆智能弹性交换机，数量按照网络区域（见3.3节）划分情况配置，对于关键的业务区域可采用双冗余配置（如数据中心区域）。Quidway S5600系列全千兆智能弹性交换机(以下简称S5600)是华为公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为公司创新的IRF（Intelligent Resilient Framework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络、园区网和驻地网的汇聚层以及数据中心的服务器接入设备。对于接入密度大的区域增加接入层交换机，如办公终端区域。接入层交换机可配置Quidway S3500-EA系列运营级园区交换机，数量按需配置。Quidway S3500-EA系列运营级园区交换机（以下简称S3500-EA）是华为公司为满足城域网电信级业务接入和精细化运营需求而推出的运营级以太网交换机。该系列交换机提供毫秒级的链路保护能力、基于VLAN的业务控制能力、跨VLAN组播复制能力、IPv4/IPv6网络平滑升级能力，以及链路故障检测和网络性能监控能力，这些特点满足了运营级以太网对网络可靠性、可运营、可管理、可扩展的需求。3.3 网络区域规划按照西安广电世纪园网络的建设需求，局域网应覆盖所有的部门的业务系统（广电信息管理系统、财务广告系统、内部网站、论坛、邮箱等系统）和终端设备，同时该局域网外部与互联网相连（用于上网、网上直播、VPN访问等业务），内部与媒资管理系统、市广电局电子政务网、广电节目生产网络等系统互联。网络结构比较复杂，为了简化西安广电世纪园网络的拓朴结构，也为了更合理地部署网络设备和网络安全设备，结合各业务系统的功能以及信息资产价值的重要程度我们对西安广电中心的局域网进行区域划分，不同区域代表不同的网络功能，如下：l 核心交换域：由两台核心交换机组成，该区域是西安广电世纪园网络的核心，它用于各网络区域之间的信息交换；l 互联网接入域：该区域的主要功能是与互联网相连，提供局域网中所有信息节点的上网通道；提供西安广电的门户网站以及网上直播业务；提供远程用户的VPN访问服务。该区域包括一些WEB服务器、Mail服务器、VPN设备、互联网接入路由器、负载均衡交换机、汇聚交换机等设备。l 内部系统接入域：该区域主要用于完成西安广电世纪园网络和一些内部业务系统之间的网络互联，例如：媒资系统、市广电局电子政务网等业务系统。该网络区域主要由汇聚交换机组成，汇聚交换机用于完成和各内部系统之间的网络互联。l 数据中心域：该区域主要集中了西安广电世纪园网络内所有业务系统的服务器设备以及服务器接入的汇聚交换机。如：内部网站/论坛、内部信箱、内部视频点播、电视电话会议系统等等。它也是西安广电世纪园网络内最重要的网络区域，所有核心的业务系统和服务器设备都部署在此区域，因此该区域的安全等级也最高。注：该区域内的汇聚交换机可以选择双冗余配置以满足关键业务系统主机的高可靠性要求。l 终端接入域：西安广电世纪园网络覆盖了内部所有部门的信息节点，包括大量的终端设备。此部分设备数量最大而且管理最分散，终端的网络安全（病毒、后门、木马等）问题是目前最难解决的问题，它为整网的网络安全带来了的较高的安全隐患，因此需要加强终端设备的安全管理。为了统一管理全网的终端设备，将所有终端设备统一规划到终端接入域。全网的终端设备可按部门、归属的业务系统划分为不同的VLAN，其中也包括为外来终端设备设置的第三方终端接入VLAN等。终端接入域包括全网的终端设备和终端接入交换机和汇聚交换机。l 网管维护域：该区域主要用于部署整网的网管系统、终端管理系统以及一些辅助业务系统（如：网络视频监控、公共信息屏等）。由于业务的特殊性，此区域可以对所有其它区域的进行访问和维护。西安广电世纪园网络的区域划分如下图所示：3.4 业务带宽分析及QoS设计3.4.1 业务带宽分析西安广电世纪园局域网上承载的业务除了传统的数据业务之外，更有大量的语音、视频实时业务，因此需要较高的网络带宽。以视频点播业务为例：通常1个VCD点播所占的带宽是1.5M，而一个DVD所占的带宽约为6M，而目前大多数的节目源都是VCD画质的。按照局域网内有1000个信息点、25的并发用户计算，核心网络带宽大约需要375M，因此选择千兆核心能够满足西安广电世纪园网络现网的业务需求。由于目前终端的网卡大多是百兆或千兆接口，而百兆带宽已能满足目前所有业务的网络开销，因此可采用百兆到桌面。未来根据业务的发展，核心可升级到万兆交换、桌面升级到千兆。随着万兆技术的逐渐成熟，万兆网络产品的价格也将逐渐下降到用户可以接收的范围之内，所以万兆级连、千兆到桌面的组网方式越来越多的受到用户的青睐。3.4.2 QoS设计在传统的IP网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出（FIFO）的策略进行处理，它尽最大的努力（best-effort）将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。随着IP技术的日趋成熟，IP网络电信化已经成为大势所趋，于是形成了语音、视频、数据等多种业务IP统一承载，由于语音、视频等实时业务自身的特点对承载平台提出了严格的服务质量要求，因此就必须在网络中部署相应的QoS技术，使得网络管理者能够有效地控制网络资源的使用，能够在有限资源的IP平台上综合语音、视频及数据等多种业务，能够区分业务、针对不同的业务提供特色的差分服务。QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。为实现上述目的，QoS提供了下述功能：1. 报文分类和着色2. 避免和管理网络拥塞3. 流量监管和流量整形4. QoS信令协议在西安广电世纪园网络项目的网络构建中，将会设计合理的QOS保障方案，利用有限的资源，以获得更好的网络使用效益，是非常必要的。良好的QOS保障方案可以确保一般情况下网络具有最好的使用效率、实时业务具有较小延时，恶劣情况下保证关键业务得到应有的网络服务。衡量QoS的指标包括：带宽/吞吐量：指网络的两个节点之间特定应用业务流的平均速率；时延：指数据包在网络的两个节点之间传送的平均往返时间；抖动：指时延的变化；丢包率：指在网络传输过程中丢失报文的百分比，用来衡量网络正确转发用户数据的能力；可用性：指网络可以为用户提供服务的时间的百分比。在西安广电世纪园网络中QOS方案部署如下：接入层交换机接入端口不同业务进行VLAN标记,并可以对报文进行802.1P优先级标记，以便后续的汇聚交换机和核心交换根据相应优先级标记（802.1P、DSCP）进行调度，当然还可以根据策略的需要部署CAR流量监管策略，对用户的接入速率进行控制，保证西安广电世纪园网络始终处于健康（轻载）的运行状态。本次工程采用的S8500高端交换机均支持选择性SVLAN功能（灵活QinQ），可以在同一个物理端口上支持根据单层VLAN ID灵活加载外层VLAN ID，同时能够透传标准VLAN（单VLAN）流量。上述功能实现没有VLAN ID范围数量的限制，对于设备性能没有影响。支持根据802.1p参数、入端口、入VLAN ID等条件进行双VLAN透传、双层VLAN改写外层VLAN、双层VLAN改写内外层VLAN等并且支持在同一物理接口上对以上操作的并行处理。并支持TPID可配置，同时对设备性能没有影响。S8500交换机提供完善的Diff-Serv/QoS支持。支持基于源端口、源VLAN ID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则，提供多种规则组合条件下的流映射和分类、流量监管（CAR）、拥塞避免方法（WRED、Tail-Drop）、队列调度（WRR、SP）和输出流量整形等功能，支持802.1p 的8个优先级。完全做到业务区分并保证带宽/时延/抖动，可以为用户提供具有不同服务质量等级的服务保证，使IP网络真正成为同时承载数据、语音和视频业务的综合网络。3.5 网络拓朴结构3.6 网络安全解决方案3.6.1 防火墙及策略部署在3.3节，我们对西安广电世纪园网络进行了区域划分，区域划分也体现了不同的安全等级和不同的安全需求，因此各网络区域（后称“安全域”）之间就形成了网络边界。为了保证各安全域之间的安全互访，我们可以在网络边界上部署防火墙设备并添加相应的访问控制策略，各安全域之间的网络互访遵循最小授权原则。根据对西安广电世纪园网络的安全域划分情况，我们将防火墙部署各安全域之间的网络边界上，如下图所示：核心交换域和其它各个域之间都有网络边界，因此在核心交换域和其它各安全域之间部署两台高性能、亮密度接口的千兆防火墙。通过防火墙的各个物理接口连接不同的安全域，两台防火墙采用双机工作模式，互为热备。各安全域根据业务访问特点部署不同的访问控制策略。如下：u 数据中心域：由于数据中心域业务系统关键，安全防护级别较高，因此访问控制策略中只设置开放一些允许访问的应用程序和服务端口。u 内部接入域：内部接入域中包括的内部业务系统较多，如：媒资系统、市广电电子政务系统等。这些业务系统的安全访问需求各不相同，遵循最小授权原则在防火墙上设置安全互访策略。利用华为防火墙的虚拟防火墙技术为不同的业务系统接入提供独立的防火墙设置。u 网络管理域：根据网络管理域的业务特点开放对其它安全域的访问控制策略，严格控制对网络管理域的非授权访问。u 终端接入域：对终端用户进行访问控制，配合终端安全管理软件解决终端用户的接入认证、授权和行为审计管理。u 互联网接入域：它是整网中安全性最低的环节，需要设置最严格的访问控制策略。因此建议在此区域再增加一台华为Eudemon 300防火墙，该区域的防火墙与核心防火墙（华为USG5000）采用的不同的架构技术，共同构成双层异构防火墙体系，最大程度的保证互联网接入的安全。另外，在该区域的Eudemon300防火墙上配合访问控制策略还可设置灵活的多实例NAT策略，既可以实现局域网所有终端对互联网的安全访问，也可以实现内部互联网资源的地址映射，有效实现了局域网和互联网之间网络（拓朴）隔离。由于防火墙的部署位置非常重要，它关系到网络通信的性能和可靠性。因此也要求防火墙设备不仅具有良好的网络安全防护能力，还需具备优异的通过性能和电信级的可靠性。华为USG系列安全网关是华为公司新一代网关型安全防护设备，采用基于多核的硬件平台，为用户提供了集高转发率、高加密性能、高端口密度于一体的产品级安全防护解决方案。集成DDoS攻击防范能力，可防御多种类型的DDoS攻击。采用硬件加密芯片，提供高速的VPN加密性能。支持多种地址转换功能、为用户提供最大限度的灵活组网，集成多种路由特性，可参与动态路由，提供QoS控制，为用户提供丰富的功能选择，同时结合智能的黑白名单过滤、多样的统计分析、方便的WEB管理等优势于一身，业务应用范围广泛，是运营商、政府、金融、教育、能源、军队等机构网络的理想安全防护设备。华为Eudemon防火墙系列产品是华为公司推出的基于网络处理器NP技术的硬件高速状态防火墙，采用先进的动态检测技术（ASPF），具备电信级高性能和高可靠性，为用户网络提供无与伦比的安全保护，同时还具备强大的VPN（虚拟专用网）功能、NAT（网络地址转换）功能以及P2P业务控制与带宽管理功能。本次西安广电世纪园网络建设中拟采用两台华为USG5360千兆防火墙做为核心交换域和其它网络安全域之间的核心防火墙，两台防火墙采用双机热备的工作模式运行，为系统提供最高的安全性、可靠性和强劲的性能。另外在互联网接入域再增加1台Eudemon300千兆防火墙，用于实现互联网接入区的双层异构体系以及局域网内部多实例、灵活的NAT访问策略。3.6.2 入侵检测系统部署入侵检测系统作为一种积极主动地安全防护技术，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。作为防火墙的合理补充，入侵检测技术能够帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应），提高了信息安全基础结构的完整性。入侵检测系统对所有监听到的网络活动的记录，也为网络管理员进行事后分析、网络管理等提供了依据。入侵检测系统的主要功能包括：监视、分析用户及系统的活动；系统结构和安全漏洞的审计；识别网络入侵攻击的活动模式并提出告警；异常行为模式的统计分析；重要系统和数据文件的完整性评估；操作系统的审计跟踪管理与违反安全策略行为的识别。根据西安广电世纪园网络中的应用特点，结合IDS设备的部署原则（尽可能靠近受保护资源；尽可能靠近攻击源；）在以下两个位置进行部署：u 在核心交换域部署一套千兆级入侵检测探测器NIP1000，旁路挂接在核心交换机上，负责对流经核心交换域的所有数据报文进行分析和监控，及时发现安全相关事件和网络异常情况，并与防火墙联动以实现更高级别的安全保护。u 在互联网接入域部署一套千兆级入侵检测探测器NIP 1000，旁路挂接在互联网接入的汇聚交换机上，负责对所有进入内网的互联网报文进行分析和检测。它可以实时检测来自互联网的恶意攻击，并通过与防火墙的联动，及时切断恶意攻击通道。同时通过NIP1000的日志审计功能也可以对来自互联网的恶意攻击进行记录，用于互联网案件的调查取证。西安广电世纪园网络中的入侵检测系统采用华为公司的千兆智能网络入侵检测系统NIP1000。华为NIP网络入侵检测系统作为一种高效、准确和智能化的网络攻击检测产品，能实时采集网络系统中的信息数据，并通过综合分析和比较，判断是否有入侵和可疑行为的发生，并采用多种方式实时告警，记录攻击，阻断攻击者的进攻，从而起到保护用户网络和系统免受外部和内部的攻击的作用。NIP1000具有强大的协作联动能力，支持与其他安全产品的联动协作，支持主流的联动协议标准，并具备良好的可扩展联动接口，它不仅能够轻松实现与防火墙产品的联动，还能够支持与主流的多种交换机进行联动，可以在检测到高风险的入侵行为之后迅速关闭交换机端口或封堵指定的IP地址来切断攻击源。NIP1000在西安广电世纪园网络中采用旁路挂接并与防火墙联动的方式部署，如下图所示：3.6.3 终端安全管理系统部署西安广电世纪园网络中除了需要对网络边界进行安全防护之外，还需对系统内的终端进行管理和安全保护。终端是系统内最多的设备，也是网络管理中最分散的部分。在日常管理中，终端出现的问题也是最多的，它占用了大量系统管理员的时间。终端出现问题后通常不仅影响到终端自身，同时也经常影响网络中的其它终端和网络设备。可以说终端问题是系统管理员面临的有史以来最大的问题。常见的终端问题包括：u 病毒感染，蠕虫泛滥；u 系统不升级，系统漏洞；u 木马、恶意软件；u 企业核心业务系统缺乏保护和访问授权；u 非法用户的非授权接入；u 合法用法越权访问；u 恶意员工破坏；u 信息资产流失；u 员工工作效率低：上网，炒股，玩游戏；u 企业缺乏内控制度；u 在西安广电世纪园网络环境中，无论是内部终端还是外来终端都需要进行接入安全控制，保证所有接入网络的终端都是安全可信的。另外，根据具体需要还需对所有的终端进行访问权限划分，保证终端对内网资源的访问受控；对各个终端的操作进行行为审计；对终端的资产进行管理等要求。终端安全管理的内容主要集中体现在以下几个方面：1) 安全接入控制安全接入控制包括两方面的内容：终端合规性检查和控制终端对核心业务系统资源的访问权限，保护业务系统核心资源。终端合规性检查主要是对接入网络的终端系统按照既定的安全策略进行检查，禁止非授权的终端进入网络（未经允许的外部终端非法接入），禁止不安全的终端进入网络（未安装杀毒软件或病毒库、补丁程序未及时更新的终端），禁止违规的终端进入网络（已感染病毒或安装木马等后门软件的终端），对于不合规的终端，可以限制它的访问范围。例如只允许它访问一些防病毒服务器和补丁服务器，这些不合规的终端可以在更新病毒库和补丁后重新进行合规性检查，重新接入核心业务系统。控制终端和用户对业务系统的访问权限是为了防止终端用户对企业内部核心资源的非授权访问。2) 安全策略管理适用的安全策略管理应该满足以下几个方面：A人性化的安全策略管理人性化的安全策略管理是指对人的行为进行技术化、策略化的管理。技术化体现在能够满足行政管理的需要，对各种行为的管理都能通过技术策略来实现；策略化体现在更灵活的实施安全策略，如可选择策略的实施对象、可选择策略执行的力度等等。B全面的企业安全策略结合企业面临的网络安全问题（病毒、系统漏洞.）、员工行为问题（访问非允许网站、上班抄股、私设后门连接外网）和信息泄露问题（通过USB拷贝企业机密信息、通过截屏获取信息等等）能够部署相应的策略。C全面提升企业信息安全水平，提高效率所有的安全策略部署和执行情况都能通过数据、报表的方式来呈现，满足信息安全管理水平的要求，也提高了系统管理员的工作效率。3) 员工行为管理企业内部的信息安全不只是制订相关的规章制度、部署网络安全设备、配置安全策略等内容，更重要的信息安全是要从源头进行控制，也就是有主动意识的人。实践证明，对人的行为约束最有效方法是规则审计。规则可以限制人的行为，审计可以检查人的行为，通过审计可以不断完善规则。从技术角度来看，规则制订的技术落实是相对比较容易的，例如：限制员工工作时间抄股、玩网游都可以从网络出口或终端出口限制相应的服务端口。而审计员工的行为从技术层面更加困难一些，审计的内容、粒度需要的技术也相应更复杂一些，尤其是对于一些加密的操作。但从企业的信息安全角度出发，所有的员工行为都是需要审计的。 4) 终端资产的管理终端资产的管理对于所有的资产管理员来说都是一个头痛的问题。终端资产不仅数量大，而且变化快，再加上企业的人员流动，资产管理面临巨大的挑战。其实终端资产管理从技术角度来看可以是很简单的一件事，有点类似自动全备份增量备份的机制。通过部署终端管理软件可以对所有的终端资产进行彻底的清查，终端管理软件可以自动收集各个终端的资产情况。日后，个别终端资产配置发生变化时，终端管理软件也可以自动进行识别并向资产管理员进行报告。5) 软件分发西安广电世纪园的网络环境中终端数量较多，用户的计算机水平也层次不齐，因此也为系统管理员的日常维护带来了很大困难。从技术角度来看，解决这样的问题并不困难，通过终端安全管理软件可以很容易的对系统中的终端进行软件分发，而且还能结合资产管理，有选择性的对部门和操作系统进行软件分发。6) 补丁分发补丁分发功能够帮助终端用户解决系统漏洞补丁修复工作，简化企业系统维护，提高企业终端安全水平。本次西安广电世纪园网络建设中采用华为终端安全管理套件（Secospace TSM Suite），Secospace 终端安全管理系统是一个包括软件和硬件整体系统。Secospace使用IE浏览器登录管理端控制台界面。主要由Secospace管理器（SM）、Secospace控制器（SC）、Secospace修复服务器（SRS）和Secospace代理（SA）四个软件部件，以及安全接入控制网关（SACG）一个硬件部件，共五个部件组成。Secospace代理软件安装在所有需要进行终端安全管理的终端系统上，安全接入控制网关（SACG）部署在汇聚交换机与核心交换机的通道上。终端的接入认证可根据需要配置为认证前互访控制认证后业务系统保护或者只做认证后业务系统保护。前者安全性虽然更高，但需要终端接入的交换机具有802.1X功能，而且在802.1X交换机上做认证会对交换机的性能有部分影响，如果接入交换机的性能允许，建议采用支持802.1X的交换机和SACG共同来完成终端接入认证前后的访问控制。如下图所示：Secospace TSM套件中的控制器和管理器建议配置为集中式部署。Secospace SACG可以选择配置华为防火墙产品，它既可做为网络安全访问控制设备，同时也做为终端接入控制网关。3.6.4 VPN部署本次西安广电世纪园网络建设中也为一些移动用户或远程节点规划了VPN接入功能。对于数量较少的的移动用户可考虑采用拨号SSL VPN这种无客户端设置的VPN接入方式，而对于远程分支节点的接入可采用IP Sec专线VPN方式。为了降低各种VPN设备部署的复杂度，可以采用华为SVN 3000产品来实现VPN接入的功能。华为SVN3000是一款高性价比的IPSEC/SSL VPN网关。有了它，不需要安装任何客户端，合法用户就能够通过浏览器安全访问内网的web应用，比如浏览内网网页，访问web邮箱，进行文件操作等等。同时，通过提供简单的客户端工具，用户就能够进行多种应用的安全访问，甚至能和在内网一样访问全部的IP应用。SVN3000支持多种认证授权方式，结合终端访问控制功能和动态访问控制策略，能够提供高细粒度的访问控制。SVN3000使用简单，易于管理，部署容易，不会改变用户的网络拓扑结构，使企业大大节省了培训费用和管理费用，获得高投资回报。基于华为的电信级可靠硬件平台和专用的实时操作系统，SVN3000高性能突出、高可靠性高，有效减少了用户的运维成本。SVN3000在西安广电世纪园网络环境中的部署如下图所示：3.7 网管系统西安市广电世纪园网络是一个较大规模的企业网环境，网络覆盖面广，网络维护、管理复杂，需要专业的管理系统。为了更好的配合华为数据通信产品和网络安全产品的部署和管理，建议采用华为iManager N2000 DMS网管系统做为整网的专业网管系统。iManager N2000 DMS数据通信网络管理系统是华为公司针对数据通信设备进行管理维护的网管解决方案，提供数据通信网络管理维护的全面解决方案，提供网元层管理和网络层管理能力，功能涉及网络故障管理、配置管理、性能管理等多方面。iManager N2000 DMS与华为公司的数据通信设备产品一起提供数据通信全网解决方案，对数据通信设备的维护和网络管理提供支持。iManager N2000 DMS数据通信网络管理系统基于灵活的组件化结构，包括DMS-基本管理软件包（DMS-BASE）、DMS-SNMP北向接口管理软件包、DMS-HGMP管理软件包、IP网络性能管理器（Performance Manager）、报表管理器（Report Manager）等，可以根据自己的需要和网络情况灵活选择需要的组件，真正实现“按需建构”。3.7.1 产品外观iManager N2000 DMS解决方案框架图3.7.2 产品特点iManager N2000 DMS网络管理软件使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。l 拓扑集中监视：提供统一拓扑发现功能，全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行； 拓扑自动发现，拓扑结构动态刷新 可视化操作方式：拓扑视图节点直接点击进入设备操作面板 在网络、设备状态改变时，改变节点颜色，提示用户 对网络设备进行定时的轮循监视和状态刷新并表现在网络视图上 支持拓扑过滤，让用户关注所关心的网络设备情况 支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象l 故障管理：对全网设备的故障、运行状态进行实时监控、历史统计并提供协助排障的手段； 故障实时监控，提供告警声光提示 支持告警级别重定义，即用户可按照自己的理解来随意定义告警级别 支持重复告警屏蔽、闪断告警屏蔽，减少告警误报 支持告警转Email、手机短信 支持告警处理经验存储功能，为以后的设备维护提供参考 用户可创建自己关心告警条件的“告警查询模板”，方便快速查看关心的告警，并可将查询结果生成报表 支持历史告警转存，节省用户存储空间，保证系统高效稳定 支持告警拓扑定位，快速了解产生告警的网元所处的网络位置l IP网络性能管理器：DMS-IP是针对网络层管理特性的一个重要DMS组件，支持分布式性能采集，提供大规模IP网络性能监控手段，主要从设备、链路、路径三个层面对网络性能进行监控，作为IP网络运行质量状况的监视器； 探针部署：DMS-IP网络性能管理器提供网络级性能管理特性，DMS提供性能探针采集方案，支持分布式部署性能采集探针，可满足大规模IP网络7x24小时性能监控管理需求 设备性能监控：监测设备负载情