网络搭建技术方案

1、word 目录 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第1章项目概述叁,1 HYPERLINK l bookmark4 o Current Document 网络改造总体要求 2 HYPERLINK l bookmark6 o Current Document 网络运维风险分析 2 HYPERLINK l bookmark8 o Current Document 第2章网络升级改造方案 3网络方案设计原则 4网络拓扑图 5办公外网升级改造 6路由设计规划7网络IP地址规划8网络安全运维 9物理环境安全措施 9网络传输质量

2、QOS 10交换网络安全方面考虑和措施 12计算机终端病防毒措施 17网络安全运维管理方案 18安全体系建设18网络安全运维管理制度建设 18网络安全运维管理手段 20网络运维管理平台方案 21无线网络部署方案 24锐捷无线网络架构优势 24部署便捷，无缝接入现有网络 24无线设备管理 25无线AP吾B署26网络升级改造设备清单 26第1章项目概述第1章公司目前的构架：总部一分厂一站。总部通过100M移动宽带连接因特网；分厂使用20M 移动专线连接至总部，各分厂无物理连接；站利用2M移动专线连接直属分厂，各站无物理连接。目前使用用友 ERP套件，包括：财务套件、OA套件；并架设了域服务器。网络

3、改造总体要求由于目前公司网络存在管理无序、网络速度慢、网络设备老化等问题，作为外资公司在信息化建设相对滞后， 公司目前还没有实现办公区域无线网络覆盖，建议在保障网络安全的前提条件下，实现办公区域实现网络覆盖。网络运维风险分析1、黑客、工业间谍攻击网络黑客或工业间谍的入侵行为往往不易被察觉，就算察觉到了，也很难快速定位网络漏洞在哪里，攻击方式是什么，攻击源在哪里都不容易排查出来。2、新型木马、蠕虫病毒入侵木马，蠕虫等病毒通常是黑客入侵的第一步，装了杀毒软件和防火墙也很难完全杜绝木马病毒的入侵。博庆公司工作人员网络安全防范意识参差不齐，往往成为攻击的入口。3、信息泄密公司内部的重要信息通常是通过内

4、网进行传输的，对于防范外部攻击是安全的， 但是难以避免 “变质”的人员通过各种手段进行信息截取，把重要信息泄露给敌对势力或商业对 手。最近几年已经发生了多起信息泄密的事件，给企业带了无法估量的损失。4、互联网网络带宽被 P2P下载，在线视频占用如果内网出现了 P2P下载或在线视频，将会使互联网带宽的出口很快被吞噬殆尽，影响正常的网络应用系统。5、网络设备老化公司当前使用的网络产品大多数在5年以上，达到的设备强制报废的年限， 网络设备参差不齐，不利于后续的网络维护工作。6、网络管理网络管理还是处于传统的人工管理阶段，出现网络问题的时候往往依靠网络工程师的经验去判断故障点，反应时间相对滞后。第2章

5、网络升级改造方案第2章网络方案设计原则结合实际应用和发展要求，在进行网络系统设计时，主要应遵循以下原则：1）高性能：网络要求具有数据、语音、视频等多媒体实时通讯能力。主干网应提供可保 证的服务质量和充足的带宽。采用最新科技，以适应大量数据传输以及多媒体信息的传输。 整个系统在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。如：具有三层及以上线速交换能力；支持灵活的跨网络交换机（主干、部门）的基于端口的VLAN划分功能。2）高可靠性：网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行。整个网络应有足够的冗余， 设备在发生故障时能以热备份，

6、热切换和热插拔 的方式在最短时间内加以修复。 可靠性还应充分考虑网络系统的性价比， 使整个网络具有一 定的容错能力，减少单点故障。3）标准化：所有网络设备都应符合有关国际标准以保证不同厂家网络设备之间的互操作 性和网络系统的开放性。4）可扩充性：所有网络设备不但满足当前需要，并在扩充模块后满足可预见将来需求。 网络设计要考虑本期网络系统应用和今后网络的发展，便于向更新技术的升级与衔接。要留有扩充余量，包括端口数量和带宽的升级能力。5）易管理性：网络设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络 配置，发现故障。6）支持多媒体：支持文本、语音、图形、图像及音频、视频等多种媒体信息的

7、传输、查 询服务，具有多种基于优先级队列的 QoS保证，多媒体应用对服务质量有很高的要求，如带宽，延迟，延迟的变化等，需要网络对服务质量（QoS）有很好的支持。7）安全性：网络系统的数据和文件多数要求具有高度的安全性，因此，网络系统本身要有较高的安全性，对使用的信息进行严格的权限管理，在技术上提供先进的、可靠的、全面 的安全方案和应急措施，确保系统万无一失。同时符合国家关于网络安全标准和管理条例。8）实用性：系统建设首先要从系统的实用性角度出发，满足不同用户信息服务的实际需要,具有很高的性能价格比，能为多种应用系统提供强有力的支持平台。2.1.1 网络拓扑图Internet100M20M2M厂

8、（PC100 台）二层交换机路由器站（PC30台）站从拓扑图，可分析公司目前的网络弊端：1、公司目前只拥有1台网络安全产品，只能管控从因特网对内部网络的攻击，并且兼顾着路由器的功能；2、内部网络无上网行为管理软硬件，；3、路由器不支持动态路由协议，网络庞大后，维护量巨大；4、公司目前是二层网络，无法控制广播风暴，易造成网络拥塞；5、用户使用移动终端更换厂区时，需手动设置IP;没有相应的接入认证，易造成他人窃取公司机密。2.1.2 办公外网升级改造办公楼外网升级改造示意图单位通过以网关、 网桥、或旁路模式部署深信服上网行为管理产品，可以有效对内网员工的各种网络应用行为进行管理。上班时间，封掉影响

9、业务效率的非业务应用及相关网站；对挤占公司带宽资源的应用进行流量控制，确保主流的办公应用带宽资源，以提高业务应用的办公效率具体而言，深信服封堵非业务网络应用解决方案，将给我们带来下述价值：1、全方位封堵p2P ,确保正常办公业务带宽P2P应用给用户带来了前所未有的速度体验与资源共享，但也挤占了我们大量的带宽资源。P2P的带宽占用问题已经成为每个IT管理者头痛的问题，其所带来的负作用日渐凸显。鉴于此，深信服上网行为管理设备通过检测网络软件数据包特征码，可以对常用软件进行彻底封堵，包括 BT eMule、PPLive、QQLive等。对于加密 BT、不常用的和未知版本的 P2P 软件，深信服独有的

10、网络行为智能分析技术使其同样难逃法网。有些部门和领导因业务需要使用P2P,在全面封堵的同时，深信服上网行为管理设备还可以提供P2P流控功能，即允许指定用户使用 P2P,但对其占用的带宽进行控制。对不同用户，按时间段进行P2P应用封堵、带宽分配与流量控制， 深信服上网行为管理设备可有效平 衡公司内部架构要求、提升核心业务办公效率。2、针对性应用管控，对事张驰有度现在，网络应用不断推陈出新，IT管理人员难以及时收集网络及软件版本，并制定相应管理策略；他们即使花费了大量的精力实现了收集工作，也很难实现对其全面的识别和管理。为此，深信服针对不断更新的网络应用软件来收集软件类型与版本，不断更新自己的应用

11、规则识别库。目前，深信服上网行为管理应用规则识别库已成为国内最大的应用规则识别 库，超过400条的应用协议规则， 数十条的无间断不定期更新数量，专业化的应用规则识别管理团队，这一切都使得深信服上网行为管理设备能精确识别各种网络应用行为，并对其进行有效管理。3、选择性内容过滤，方式灵活除针对网络应用软件外，深信服上网行为管理设备还内置了千万条级的URL库，对URL库按照20个大类进行了划分。基于此，IT管理者可以方便地对娱乐、购物、游戏、影视等 网站进行控制和屏蔽，同时用户可手工输入新分类和新URL地址，这进一步增强了网管人员工作的灵活性。同时，深信服上网行为管理设备针对通过HTTP FTP等上

12、传下载的电影等大文件，可以根据关键字如 avi、rmvb、mpeg进行文件过滤，以保证核心业务的带宽。4、差异化权限划分，构建和谐组织对于以上管控，深信服上网行为管理设备可根据不同用户、 不同部门的差异化网络使用 权限，人性化管控整个单位。 如给销售部门足够的网页浏览权限， 以方便其网上寻找客户资 源，而对后勤人员则封掉 P2P应用、游戏与炒股网站等。2.1.3 路由设计规划(1)网络的可靠性：通过动态路由协议的实施，在网络拓扑的配合下，避免网络中出 现的单故障点，提高网络的生存能力。(2)流量的负载分担：必须使网络的流量能够比较合理地分布在各条电路上。(3)网络的扩展性：使得网络的扩展可以在

13、现有的网络的基础上通过简单的增加设备 和提高电路带宽的方法来解决。(4)对业务流量模型变化的适应性：未来网络的业务流量模型将会随业务的发展而不 断发生变化，因此路由策略可以根据流量变化方便进行调整。(5)降低管理复杂程度：路由协议应使得故障定位和流量的调整的难度和复杂性降低。2.1.4 网络IP地址规划IP地址的合理规划是网络设计中的重要一环，大型计算机网络必须对 IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性 能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地

14、利用地址空间，又要体现出网络的可扩展性和灵活性， 同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：唯一性：保证网络上面不同时出现两个相同IP地址的设备。连续性：IP地址的连续性有利于路由的聚合，尤其是在目前的分层网络中，能极大的 缩减路由表的规模，有利于QOS勺部署。业务相关性：同种业务的 IP地址尽量在一个地址段中，便于业务的控制。扩展性：IP地址规划时留有一定预留，便于在网络扩展时能延续网络的连续性。节约性：目前公网IP地址非常宝

15、贵，规划时尽量的节约地址。IP地址分配既要考虑到扩充，又要能做到连续；尽量分配连续的IP地址空间，并为将来的网络扩展预留一定的地址空间；在每个地市网络中，相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制。IP地址的分配必须采用 VLSM技术，保证IP地址的利用率；采用 CIDR技术，可减小路 由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。2.2网络安全运维对于公司办公网络系统来说，网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。一个较好的安全措施往往是多种方 法适当综合的应用结果。另一方

16、面，网络安全和网络易访问是一对矛盾，因此要掌握好网络安全控制度的问题，不能顾此失彼。大多数人谈到安全，认为只是确保用户只执行被授权的 任务，只获得能得到的信息，不破坏数据、应用程序或系统操作环境。其实，安全一方面意 味着防止外界的恶意攻击，另一方面还包括控制错误结果和设备故障。再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得

17、一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据， 即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记 录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解 决方案，因此，最可行的做法是管理制度和管理解决方案的结合。物理环境安全措施保证计算机信息系统各种设备的物理安全是保障整个网

18、络系统安全的前提。物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全对系统所在环境进行安全保护，如区域保护和灾难保护。这要求城域网的网络中心环境，要进行必要的环境安全保护（如环境隔离）和灾难保 护（如数据备份）等。设备安全设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁 干扰、电源保护和设备冗余备份等。这些措施通过严格管理及提高员工的整体安全意识来实 现。这要求网络管理人员要严格执行网络中心的安全管理措施，避免非必要人员接触网络 系统设备，监督系统环境和周围

19、环境。媒质安全包括媒质数据的安全及媒质本身的安全。显然，为保证信息网络系统的物理安全，除 网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这要求网络中心作好必要的数据备份工作和媒质保存工作，同时如果必要还要实行机 房的防辐射措施。网络传输质量QOS网络业务模型设计业务类别MPLS VPNIP路由队列和丢包

20、机制业务和业务流举例EXP (BW Rate)DSCP PHB网络管理EXP6 Q7(5%)CS6BW QueueSNMP SSH Syslog专网语音EXP5 Q6(15%)EFPriority Queue (PQ)H323、RTP音流高清会议EXP4 Q5(20%)CS4Priority Queue (PQ)MGCP RTPB频流办公业务EXP2 Q3(25%)AF2BW Queue+ DSCP WREDE-Mail、Notes 等批量数据EXP1 Q2(10%)AF1BW Queue+ DSCP WREDFTP、文件共享、备份尽力转发EXP0 Q1(25%)DefaultDefault

21、Queue + RED其他应用说明：业务种类：包括网络管理、专网语音、高清会议、办公业务、批量数据和其他尽力转 发类业务。业务识别：按照实际业务类型划分，如对媒体业务采用IP方式进行识别，对数据类业务,采用TCP/UD踹口号进行识别，并对所有业务进行DSC优先级标识。优先级映射：在 P豉备上启用MPLS EX林DIP DSCP的优先级映射关系，H3强备支持以上表格中的优先级映射关系。带宽分配和限速：可参考上面表中带宽分配比例，实施时需要结合实际业务流量分布 和业务规划再做调整。对语音、视频业务要进行带宽限速。队列调度和丢包机制：在 CEFDPE由器上，分别根据IP DSCP和MPLS EX进行

22、有差别的 队列调度（PQ CQ WFQ CB降），其中对于P豉备，基于部门划分和业务类别，推荐采用 H-QoSa列和丢包机制。对于拥塞队列，采用WRED行拥塞避免和处理。WRED网络的瓶颈处监视并缓解网络的拥塞。一般在接入层出现拥塞的概率比较大。WRED视网络的负载，当拥塞开始刚出现时， 它就开始有选择的丢弃一些包以降低流量。WRED包的策略为：低优先级的流先丢，以保证高优先级的流可以顺畅通过。在可能发生拥塞的端口运行 WRED避免拥塞的较好选择。在具体实现中，为了达到最好的效率，需要对任务进行分工。因为Qo曝一个需要消耗很多处理器资源的应用，所以这一任务分配在边缘和核心路由器上运行，以减少对

23、单独路由器的压力。 媒体业务Qo毁计要求媒体业务交互性单路带宽突发流量时延要求抖动要求丢包要求专网语音是100Kbps无150ms30ms1%视频会议是4 8Mbps有150ms10ms0.1%高清会议是220Mbps有150ms10ms0.05%监控存储否1 8Mbps无500ms30ms3%监控实况否1 16Mbps有300ms10ms0.5%监控回放否1 8Mbps有1000ms100ms0.1%媒体流特征:视频流：带宽220Mbp杯等（依编解码而不同）每秒 30帧，每帧由长度不等的包组成， 因此媒体流存在突发流量。抖动的防止：产生的原因：媒体流的突发流量和网络设备的排队时延变化是抖动产

24、生的主要原因。比如排队平均时延是100ms,最小排队时间95ms,最大105ms,那么抖动范围就是10mso防止的方式：增加沿途设备和媒体终端的Buffer或者在视频转发队列进行整形。对于高清视频，我们建议通过全网 Qo殷计使抖动不超过10mso有了合适的网络带宽并不能就完全保证各种业务需要的服务质量。在网络中，数据业务具有突发性特点，还有如 FTP （文件传输）这样的“霸道”业务，在这些业务的突发期间将会造成网络的过载及阻塞，虽然网络设备（路由器）具有存储转发及速率适配的功能，但在这个拥塞期间如没有任何措施进行处理，则将影响业务的实时特性，如IP电话断音、视频业务大量丢帧，严重情况下还可能导

25、致整个政务办公系统中断等后果。保证实时业务优先发送，限制“霸道”业务对网络的占用，从边缘接入层就开始部署，是构建QoS呆障方案的一个基本思想。在当前网络平台上，有多种需要实时性保障的关键业务，如实时文件传送系统和视频会议系统，都是实时业务，当然，其中假设实时文件系统是关键业务，还有其它业务如内部管理等业务也需要保证一定的互通性，因此当网络发生资源争用时，就不能简单地将关键业务置于优先就可以了，这需要结合多种Qo皴术及策略来为各种业务提供需要的服务质量。各种业务能有一个比较均匀的速率在网上进行发送，可以减少网上业务的时延及抖动，这就需要对一些会对网络带宽进行大量占用的非关键霸道业务（如FTP等）

26、进行带宽的限制使用，而为了使关键业务得到较好的服务，又需要对关键业务提供一定的带宽分配和保证，业务可以通过获得网络带宽的占用而达到减少时延的目的。在路由器的QoS保障技术中，可以综合使用CBQ CAR提供这样的服务综述：为了构建一个安全、可靠、高效率的政法信息通信网工程络，需要对整个办公业务进行详细的分析，对网络传输带宽进行统一的规划，针对不同类型的业务提供有针对性的QoS保证策略，最终实现消除或者避免网络拥塞，使发生拥塞的网络迅速恢复正常。交换网络安全方面考虑和措施建立了网络，必然会有人对它进行攻击，目前网络的安全主要受到两方面的威胁，一个是来自黑客的诸如 DoS之类的攻击和黑客入侵，另外一

27、个是有可能被病毒感染交换机必须能保护与之相连的用户和服务器。不同于那些可对网络产生影响的攻击， 很多针对用户和服务器的攻击都是检测不到的。这些常称为“中间人”攻击的攻击采用的是可从互联网上下载的常用工具。这些工具采用多种不同的机制，可以被恶意用户利用来窥探其他网络用户，这可导致机密信息的失窃以及违反保密政策。思科公司的交换机提供了很多内置的安全特性，这些特性可保护LAN里的重要信息。(1)通过生成树增强特性防止非法交换机连接两种生成树增强机制：BPDU Guard,当一个BPDUM某端口进入网络时，可立刻禁用该 访问端口，这可防止非法交换机连接到网络并对生成树设计造成潜在的破坏。对于那些可能导

28、致对根网桥进行重新计算的所有分组，RootGuard会让该端口拒绝接收。(2) DHCP 监听 / DHCP Snooping多数单位网络都是依靠 DHC睐进行IP地址分配的。而 DHC所不是安全的协议，因此 就使得与某个网络相连的错误配置或恶意设备能很容易地对DHCW求作出响应，并向DHCP客户机提供错误或恶意的信息，网络袭击者通常使用恶意 DHCP艮务器发出IP主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量，从而窃取这两个端点之间的所有流量。因此，这种袭击也称为中间人攻击。此外，在互联网上有一些工具会大量耗用某个DHCP范围内的所有可用IP地址，并可导致所有合法主机都不能获取

29、 IP地址，进而导致网络不可 用。DHCPSnooping可同时提供针对这两种情况的保护。它可建立端口的可信/不可信状态，因此可使网络管理员能确定应允许哪些端口(和相关设备)作为DHCP艮务器，并拒绝所有其他端口上的DHCP艮务器活动。此外， DHCPSnooping可对DHCP组进行调查，并确保发 送DHCP青求的设备相关的物理 MACM址能匹配该DHCP青求内部的MACM址。与端口安全相 结合，DHCP Snooping不允许耗用地址工具利用DHC两在的不安全。在很多情况下，DHCPSnooping是与DHCP Option 82 一起使用的，后者可使交换机在DHCP组中插入有关它自己的信

30、息。可以插入的最常见信息就是DHCP青求的物理端口 ID。这可通过将IP地址关联到某个具体交换机上的某个具体端口，为网络提供很强的智能性，从而防止恶意设备和服务器的连接。(3)动态ARP检测地址解析协议(ARP的最基本的功能是允许两个站点在LAN网段上通信。攻击者可能会发送带假冒源地址的ARP包，希望默认网关或其它主机能够承认该地址，并将其保存在ARP表中。ARP协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项， 从而提高了网络易损性。目前，恶意主机可以在端点毫不知情的情况下窃取两个端点之间的 谈话内容。攻击者不但可以窃取密码和数据，还可以偷听IP电话内容。ARP(地址解析协议

31、)是另一种本身不安全的网络服务，可从互联网上下载Ettercap等软件来实现 ARP欺骗，可使恶意用户利用这一行为并成为中间人，进而访问他们不应访问的机密信息，Ettercap 是一种“智能化嗅探器”，它可使有点或毫无技术能力的恶意用户实时收集网络里正在传输的 的用户名和密码信息等。与DHCP Snooping一起使用时，Dynamic ARP Inspection 可防止某个主机在DHCF务器没有为其分配的IP地址的情况下，发送未经请求的ARP这种保护可防止ettercap 等工具利用ARP内在的不安全。动态ARP检测(DAI)能够保证接入交换机 只传输“合法”的 ARP请求和答复。DAI能

32、够截获交换机上的每个 ARP包，中查ARP信息， 然后再更新交换机 ARP高速缓存，或者将其转发至相应的目的地。利用ARP协议的攻击是目前博庆公司域网中非常频繁威胁非常大的一种攻击方式。(4) IP Source GuardIP地址欺骗攻击者可以模仿合法地址，方法是人工修改某个地址，或者通过程序执行地址欺骗。互联网蠕虫可以使用欺骗技术隐藏攻击原发地的IP地址。利用IP源防护特性，攻击者将无法冒用合法用户的IP地址发动攻击，该特性只允许转发有合法源地址的包。某个主机还可通过故意配置或恶意企图，从它所没有或不应拥有的某个IP地址获得流量。IPSource Guard与DHCP Snooping配合

33、使用时，可防止某个主机在没有从合法DHCF务器获得某个IP地址的情况下，获得流量。IP Source Guard 会丢弃那些从某个不存在的来源发 起的DDO抽击，即可防止它们利用某个主机从任何来源发送流量的能力，且只允许从通过 DHC城得的IP地址得到的流量。(5)对交换机第二层转发表的泛洪攻击第二层交换机根据 MACM址建立转发表，根据MACM址进行转发、过滤和学习。然而，这个表只有有限的空间。MAC乏洪攻击会迫使交换机学习伪MACM址，使CAM1过载，并使数据从整个第二层 VLAN域泛洪传送。虽然这是第二层交换机的标准行为，但它仍可导致网 络和主机性能的降低。为防止这种攻击，Cisco交换

34、机提供了端口安全特性，即可限制某个给定端口所能学习的 MACM址的数目。如果有更多地址进入交换机，Cisco交换机会将这些端口置入限制模式，以保护网络免受攻击。这可确保某个给定端口只能学习数目不多的 MACM址，当学习其他地址时就会锁定该端口。这样，就能立刻阻止攻击。(6)对交换机第三层转发表的泛洪攻击我们都知道蠕虫感染了一台电脑后，就会从该电脑往外发大量的包，目的地址都是随机的，这些包先到交换机， 如果交换机的安全能力很弱，则交换机的CPlffi内存很快就会被过度用完，最后，这些交换机就瘫痪了，指示灯一个颜色，全红，而且灯不会闪，对外部不做 任何反映。很多蠕虫都会改变来源和目的地IP地址或T

35、CP/UDP端口号，迫使交换机不得不学习成千上万的新流量。通过改变IP、TCP或UDP言息，会导致交换机的 CPU载，如果交换机采用了基于流的交换机制，甚至会引起交换机瘫痪。 交换机不再交换或学习合法流量，而路由网络也会受到严重影响。 有这种危害的最新蠕虫包括红色代码(Code Red)、Slammer和Witty等。Cisco交换机均采用了基于网络拓扑结构而非流的交换机制Cisco快速转发(CEF)。当路由协、议(OSPF EIGRP等)生成路由表时，会根据网络前缀( IP子网的网络部分)，而非 IP源-和目的地址的流信息来生成硬件转发表。这种技术最初设计用来提高网络对针对路由振荡的弹性，也

36、可直接应用于防止蠕虫攻击。因为CEF并不关心网络中的流量，所以第三层转发表不会受到影响，控制层面的保护在这里得到体现。(7)对交换机CPU的攻击蠕虫和攻击会产生大量的目的地址都是随机的包，如slammer蠕虫，一秒会发出 50M位的包，导致网络设备的CPU内存被过度使用而瘫痪或死机，消耗网络资源，网络通信中断。可见，这样的攻击比攻击计算机厉害。因此，网络设备本身不安全，容易被黑客和蠕虫 攻击而瘫痪或死机。 尤其是网络的核心设备，本身的安全能力和抗攻击的能力，对网络安全起着举足轻重 影响全博庆公司的的作用。除攻击交换机的转发表之外，还可通过向CPU发送ARP分组等需要处理的控制信息来攻击设备本身

37、的CPU处理能力和容量有限的 CPU!会过载，并导致路由更新或BPDU?真正的控制分组被丢弃。很多网络管理者都熟知CPU以100%RJ用率运行时的后果：设备和网络会变得不稳定，设备死机。Cisco交换机可支持控制面板速率限制功能，它可限制向CPUt送分组的速率。 在正常运行时，不太可能有大量流量被送往CPU除非启用基于软件的特性。更不可能出现这些攻击中所使用的那些类型的流 量以很高数据速率传送给CPU的情况。这些类型的分组包括ICMP不能到达、ICMP重定向、CEF无路由、TTL超时以及进出访问控制列表等。通过限制这些类型的分组发送给CPU的速率，丢弃超过特定速率的过多分组，确保CPU能够处理

38、（很可能是丢弃）恶意分组，而不会发生故障。Cisco交换机可支持多个速率限制器，因此能限制攻击所产生的分组等“坏流量”的速率，而允许路由协议等“好”流量通过。这就使CPU甚至在遭受攻击时也能继续处理正常系统任务。当 CPU和Memory的利用率到一定值（如 80%时，Cisco的网络设备会报警且 开启自我保护功能以防止黑客和蠕虫针对网络设备的CPU内存的攻击。（7）网络设备安全措施从针对网络设备的攻击方式、种类进行统计和分析，我们建议针对城域网的设备的配 置应采取最小化配置原则，既关闭所有默认开启但是不必需的服务。原则如下（该部分原则针对全网设备，因此考虑了多厂家因素）：关闭TCP和UDP勺小

39、服务；关闭finger服务；关闭http服务；关闭ftp服务；关闭bootp服务；关闭source-route 、ARP代理、定向广播服务避免引发地址欺骗和DDo或击；关闭ICMP网络不可达、IP重定向、路由器掩码回应服务，避免引发ARP欺骗、地址欺骗和DDoS击；对SNMP艮务的community RO和RM符串采取高强度（8位以上，包含特殊字符、大小写和数字），同时严格配置其访问控制范围；为BG理已置邻居的口令机制，防范针对BGPW DDoSC击；严格限制路由器 VTY AUX Console访问范围、登陆方式和超时时间；用户验证配置：配置用户验证方式以增强系统访问的安全性；AAA方式配置

40、：配置AAA方式来增加用户访问安全性；路由命令审计配置：配置 AAA命令记账来增强系统访问安全性等。2.2.4计算机终端病防毒措施病毒是系统中最常见、威胁最大的安全问题来源，建立一个全方位的病毒防范系统是城域网安全体系建设的重要任务。目前主要采用病毒防范系统解决病毒查找、清杀问题。病毒防范系统的安装实施要求为：能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成；防病毒客户端安装在系统的关键主机中，如关键服务器、工作站和网管终端；在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀，设定病 毒防范策略；能够从多层次进行病毒防范，第一层工作站、第二层服务器、第三层网关都能有

41、相应的防毒软件提供完整的、全面的防病毒保护。网络安全运维管理方案安全体系建设安全体系建设规范我们知道，整个网络的安全需要一套统一的安全体系建设规范，此规范应结合城域网 的实际情况制定，然后统一实施。安全组织体系建设实施安全应先行管理，安全组织体系的建设势在必行。在城域网建立网络安全体系时 应建设领导委员会，该委员会应由主管领导、网络管理员、安全操作员等人员组成，负责安 全系统的总体实施。主管领导应领导安全体系的建设实施，在安全实施过程中取得相关部门的配合；领导整个部门不断提高系统的安全等级。网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术和实施策略。安全操作员负责安全系

42、统的具体实施。网络安全运维管理制度建设面对网络安全的脆弱性，除在网络设计上增加安全服务功能、完善系统的安全保密措 施外，还必须花大力气加强网络的安全管理。制定安全管理制度，实施安全管理的原则为：多人负责原则：每项与安全有关的活动都必须有两人或多人在场，这些人应是系 统主管领导指派的，应忠诚可靠，能胜任此项工作；任期有限原则：一般地讲，任何人最好不要长期担任与安全有关的职务，以免误 认为这个职务是专有的或永久性的；职责分离原则：除非系统主管领导批准，在信息处理系统工作的人员不要打听、 了解或参与职责以外、与安全有关的任何事情。其具体工作为：确定该系统的安全等级；根据确定的安全等级，确定安全管理的

43、范围;制定安全管理制度。完整的安全管理制度必须包括以下几个方面：人员安全管理制度；操作安全管理制度；场地与设施安全管理制度；设备安全使用管理制度；操作系统和数据库安全管理制度；运行日志安全管理制度；备份安全管理制度；异常情况管理制度；系统安全恢复管理制度；安全软件版本管理制度；技术文档安全管理制度；应急管理制度；审计管理制度；运行维护安全规定；第三方服务商的安全管理制度；对系统安全状况的定期评估策略；对技术文档媒体报废管理制度；网络安全运维管理手段安全技术管理体系是实施安全管理制度的技术手段，是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。网络安全管理主

44、要安全体系的防火墙、入侵检测系统等网络安全设备进行管理。应用安全管理主要对安全体系的应用安全系统进行管理，如用户认证系统的管理、病毒防范系统的管理。下面详细描述安全管理技术。网络安全管理在网管平台、网管应用软件的控制下，网管控制台通过SNMP RMON、议与被管设备、主机、服务进行通信，实现有关的安全管理；维护并识别被管设备、主机、服务的身份，防止非法设备、主机、服务的接入，防止设备、主机、服务之间的非法操作；实时监视被管设备、主机、服务的运行，发生异常时向管理员报警；维护被管设备、主机、服务的配置信息，防止非授权修改，配置遭到破坏时可自动恢 复；维护网络的安全拓扑，确保网络的正常运行，配置网

45、络的安全策略，设置网络边界安全设备的访问控制规则和数据包加解密处理方式；审计、分析网络安全事件日志，形成安全决策报告；实现网络安全风险集中统一管理，如入侵检测系统、漏洞扫描系统的管理。应用安全管理在应用安全管理平台的支持下，安全管理员使用安全控制台实施应用安全管理策略。安全管理员可以：建立和维护用户账号；建立和维护被管资源的连接和目录；建立和维护访问控制列表；统计、分析审计记录信息；配置、维护安全平台；网络运维管理平台方案为了更好的维护博庆公司网络，实现科学化管理提高运维管理服务质量，建议博庆公司组件独立的网络运维管理平台。平台聚焦于IT服务管理，整合以往对网络、服务器与业务应用、安全设备和客

46、户端 PC等的分割管理，提供包括网络管理，系统管理，安全管理和值班管理等功能于一身，并融合了事件管理，故障管理，变更管理，配置管理和发布管理等ITIL标准的一体化的IT运维支撑平台。达到了技术、功能、服务三方面的完全整合，实现了 IT服务支持过程的标准化、流程化、规范化。极大地提高了故障应急处理能力，提升了信息部门的管理效率和服务水平。IT运维管理平台能够帮助用户整合支离的IT服务，帮助用户实现由博庆公司部、单项、按部门开展运维服务向全博庆公司的、一体化的IT运维服务转变，能够帮助用户由被动的“救火”的服务转变成科学有效的流程服务化管理；能够帮助用户从根本上解决传统运维工作中所存在的基础台帐管

47、理不规范、故障发现和解决滞后、运维知识不能共享、设备资产底数不清等突出问题。解决的问题：? 实时监控博庆公司当前公安交警专网设备运行情况；? 实时监控博庆公司防火墙入侵检测系统，掌控整体网络安全运维情况；? 提供主机、服务器、数据库中间件应用运维管理；? 大屏幕展示交警中队信息中心整体运行情况；箧中运行管理平台COSS运行管理服务濠程曾也维一运行席班 曼源管理知识除数交接据揉口费恭送拴NCC数居接口适配黑系皖,源监授通黄潺晓桂BCCDCC防火场曲/防隔看主机/触照中叵h/底用直面喇i网络资源监控（NCC）? 自动、准确、及时地发现各类异构复杂网络的拓扑结构；? 可持续地监视、报告网络的运行情况

48、；? 提供网络运行状态和性能的多角度分析与统计；? 拦截非法接入，保障网络系统安全；? 监控异常流量及 ARP欺骗等病毒；? 对网络、安全设备告警事件进行采集和跨类型、跨厂商的分析；? 可将处理后的告警信息自动关联到知识库，协助处理。系统资源监控（BCC）? 资源监测子系统监控企业的服务器、中间件、数据库、业务应用及安全设备的运行状况；建立性能基线；发现系统异常并及时告警。围绕IT业务和IT资源，采用人性化多层导航呈现模式，由全公司到公司部、由粗线条到细颗粒度地逐层展现业务应用的运行状况。集中运行管理（COSS）? IT资源监测结果综合展现；? 统一告警展现；提供各种报表和视图，呈现IT资源的

49、运行状况和运行趋势;网络管理拓扑展示无线网络部署方案锐捷无线网络架构优势建议本次的无线网络采用基于锐捷的瘦 AP无线架构，以更好的支持企业移动和多媒体 应用，简化网络部署和管理， 提供卓越的性能、安全性和可扩展性，并支持新兴的射频技术;并且能够为企业网络提供强大的容错能力、特殊服务质量 (QoS)以及增强的语音能力、完整 的安全功能。锐捷提供的无线交换机专为企业部署而设计的， 提供强大的可扩展性支持无缝 企业移动。稻匕，林修部署便捷，无缝接入现有网络1)AP零配置锐捷的AP部署是为企业级无线网络而设计。AP真正无需任何配置，即插即用。所有对无线网络的配置都在无线交换机上完成。AP支持PoE供电

50、，在连接上网线后，AP可以通过DHC防式自动获取 Wireless Switch的地址列表，然后通过 WISPe(Wireless Switch Protocol enhanced) 与 Wireless Switch 进行通信。这样省却了胖 AP模式下对AP复杂的配置；也避免了其他瘦 AP厂家需要在AP上手工配 置Wireless Switch配置的情况。在部署大型无线网络时候，工作量大大降低，极大地缩短了部署时间。2）无须改造现有企业网络锐捷的AP可以无缝接入现有企业网络。远程 AP使用DHC昉式获取地址后就可以跨越3层交换机，与 Wireless Switch 进行自动连接。AP的部署无

51、需对企业内部网络作任何修改。由于使用DHC昉式，网络的规划、网络的扩展可以集中而简单地对 DHCP乍配置即可，而无需去修改分散各地的成百上千的远程AP。这样，网络规划与扩展将十分轻松方便。3）快速部署临时的无线环境当需要在企业办公的环境外部署无线网络的时候，锐捷快速部署的特性更容易显示出 来。例如在会议室临时部署 AR只需要将AP加电，连入互联网络，AP可以自动与放置于企 业内部的无线交换机进行通信。这个临时的无线网络拥有与与其他AP完全相同的特性。这时所有的问题都迎刃而解.4）更换和升级AP方便锐捷的所有配置维护都可以在中心机房完成。接入端的维护更是无需专业管理人员，可以作到像更换电灯泡一样

52、简单的即插即用，节省了日常维护成本。在 AP出现故障时，可以 简单地将新的AP插上即可。无需任何配置。在Wireless Switch作升级后，可以自动对所有 AP作升级，避免对每个 AP手工升级的 繁琐工作。无线设备管理1）锐捷无线交换技术特有的易于管理特性传统的AP作为一种单点设备，每一个AP都需要企业的网络管理人员进行单独的设置，管理和维护。这些设置不仅仅包括IP地址等简单配置，往往还包括大量的服务、安全、 Qos等等配置。当无线网络规模趋于大型化时，原本带来方便的无线网络却给IT人员带来了莫大的麻烦。管理和维护一个多接点的无线网络需要大量的人力投入。D-LINK无线交换体系能够对于硬件

53、、软件配置和网络策略进行统一管理，所有配置在 无线交换机上完成即可。向所有接入点自动部署配置，大大降低了初始化工作量。同时D-LINK的无线交换系统维护非常方便。传统AP一旦出现故障，往往需要IT管理人员赶到现场，进行处理。D-LINK的所有配置维护都可以在中心机房完成。接入端的维护更是无需专业管理人员， 可以作到像更换电灯泡一样简单的即插即用，节省了日常维护成本。无线AP部署由于AP较多，应注意 AP的信道规划。相邻3个区域内要采用完全不干扰的频段，如信道 1、6、11。因为实际施工中，建筑材料、办公环境差异很大，故对信号影响也很大（见下表）如果实测信号穿透情况良好，方案可以进一步优化，每层

54、只需要放置更少数量的AP即可。AP的数量视现场实际勘测情况而定。为了保障无线网络系统处于最佳运营状态。因此，为了保证在发生突发事件的情况下系统的正常运行，设计中需规划一定的冗余数量的AP以及无线信号的冗余。网络升级改造设备清单根据技术需求分析，从整体出发，本次网络规划方案涉及到以下几个部分的建 设：防火墙、流控与行为审计、无线接入系统（核心交换机、接入交换机、无 线AP等关联设备）、网络运维管理系统（根据客户目前的投入定）。（备注：具体报价详见客户经理报价方案）网络设备清单产品型号产品说明数量说明网络出口安全流控行 为审计AC1600深信服AC-2000-D ,用户人数：600-800 ,网络

55、吞 吐量：95Mbps, 100M流量。并发连接数：300000。8个10/100/1000M 自适应电口，吞吐量3Gbps,提供应用控制、带宽管理、URL过滤、恶意软件防护、数据防泄漏、行为审计等多项功能；提供上网安全 防护。包含一年URL库升级，1年质保，终身维护。1出口应 用防火 墙AF-1620-V6个千兆电口，吞吐量3G,并发数6000001支持2-7层安全防护，并能实现功能的智能联动，防应用攻击，制定基于用户与应用的安全策略。深入内容的安全防护，有效过滤风险内容，具备更完整的安全防护功能单次解析构架、多核并行处理有效提升应用层性能满足带宽要求总部核心交 换机S8606-Bse ri

56、es6扩展槽主机箱（含风扇阵列柜，不含电源和管理 引擎模块），电源只能配合 RG-PA800IF使用1放置于核心 总机房（光模 块型号根据 移动专线给 的对应型号 选择对应的 多模还是单模，用于总部 与三个厂区互联）M8606-CMII LITE二代管理引擎模块 （可以冗余，提供USB管理接口，配合多业务卡使用，但不支持MPLS业务卡和WS多业务卡）1RG-PA800IF交流电源模块（可以冗余， 800VV配10A电源线和 电源插头，长度1.5M）,只供S8606-Bserie机箱 使用1M8600-24GT/12SFP-EC24个10/100/1000M自适应电口 +12个复用SFP千兆通用

57、接口 EC线卡2Mini-GBIC-SX1000BASE-SX mini GBIC 转换模块（850nm0Mini-GBIC-LX1000BASE-LX mini GBIC 转换模块（1310nm）024 口接入交换 机RG-S2628G-I24 口 10/100M 自适应电口交换机，2个 10/100/1000M自适应电口， 2个千兆SFP光口（非复用）2100个信息点，其中一24 口用于连 接服务器区48 口接 入交换 机RG-S2652G-I48 口 10/100M 自适应电口交换机，2个 10/100/1000M自适应电口， 2个千兆SFP光口（非复用）2无线控 制器RG-WS5302千兆无线控制器，2个10/100/1000M自适应电口和2个复用的千兆SFP接口，默认支持16个AP,可通过扩展License 最大控制 64个AP1LIC-WS-16WS系列无线控制器产品专用升级许可证License ,每套可支持增加16个AP的控制权，只适附于 WS53021无线APRG-AP220-I室内无线接入点，米用内置天线，双路双频，可支持802.11a/n和802.11b/g/n 同时工作、胖/瘦模式 切换、WAPL PoE和本地供电（PoE和本地电源适配 器需单独选购）11无线POE适配器RG-E-120单端口