xxxxx收集项目实施计划_84

1、xxxxxx网络项目实施方案文件状态： 草稿 正式发布 正在修改文件标识：Delteq-Project-telecom当前版本：作 者：完成日期：*技术 目 录 TOC o 1-3 h z u HYPERLINK l _Toc110966175 第一部分 工程描述 PAGEREF _Toc110966175 h 3 HYPERLINK l _Toc110966176 第二部分 网络拓扑图 PAGEREF _Toc110966176 h 4 HYPERLINK l _Toc110966177 第三部分 设备清单 PAGEREF _Toc110966177 h 8 HYPERLINK l _Toc

2、110966178 第四部分 网络设备机柜布局图 PAGEREF _Toc110966178 h 9 HYPERLINK l _Toc110966179 第五部分 技术规划 PAGEREF _Toc110966179 h 11 HYPERLINK l _Toc110966180 核心交换机Catalyst6509和Catalyst4506 PAGEREF _Toc110966180 h 11 HYPERLINK l _Toc110966181 汇聚层Catalyst2970和接入层 Catalyst2950 PAGEREF _Toc110966181 h 12 HYPERLINK l _Toc

3、110966182 5.3 Cisco3845安全路由器 PAGEREF _Toc110966182 h 12 HYPERLINK l _Toc110966183 5.4 防火墙模块FWSM PAGEREF _Toc110966183 h 13 HYPERLINK l _Toc110966184 5.5 入侵检测模块IDSM PAGEREF _Toc110966184 h 14 HYPERLINK l _Toc110966185 5.6 趋势防病毒产品 PAGEREF _Toc110966185 h 15 HYPERLINK l _Toc110966186 5.7 网强网管软件及PCMAIN资

4、产管理软件 PAGEREF _Toc110966186 h 18 HYPERLINK l _Toc110966187 5.8 网络安全规划 PAGEREF _Toc110966187 h 19 HYPERLINK l _Toc110966188 5.9 路由协议规划 PAGEREF _Toc110966188 h 21 HYPERLINK l _Toc110966189 5.10 VLAN及IP地址规划 PAGEREF _Toc110966189 h 21 HYPERLINK l _Toc110966190 5.11 网络管理设置 PAGEREF _Toc110966190 h 25 HYPE

5、RLINK l _Toc110966191 5.12 设备名和口令设置 PAGEREF _Toc110966191 h 25 HYPERLINK l _Toc110966192 5.13 设备连线 PAGEREF _Toc110966192 h 26 HYPERLINK l _Toc110966193 第六部分 项目组及项目进度安排 PAGEREF _Toc110966193 h 27 HYPERLINK l _Toc110966194 第七部分 网络应急方案 PAGEREF _Toc110966194 h 31 HYPERLINK l _Toc110966195 第八部分 参考配置 PAGE

6、REF _Toc110966195 h 34 HYPERLINK l _Toc110966196 8.1 Trunk协议的配置 PAGEREF _Toc110966196 h 34 HYPERLINK l _Toc110966197 8.2 安全VTP域的配置 PAGEREF _Toc110966197 h 34 HYPERLINK l _Toc110966198 8.3 二层VLAN的配置 PAGEREF _Toc110966198 h 34 HYPERLINK l _Toc110966199 8.4 三层VLAN的配置 PAGEREF _Toc110966199 h 34 HYPERLIN

7、K l _Toc110966200 8.5 浮动静态路由的配置 PAGEREF _Toc110966200 h 34 HYPERLINK l _Toc110966201 8.6 安全策略的配置 PAGEREF _Toc110966201 h 34 HYPERLINK l _Toc110966202 8.7 HSPR协议的配置 PAGEREF _Toc110966202 h 35 HYPERLINK l _Toc110966203 8.8 CBAC配置 PAGEREF _Toc110966203 h 35 HYPERLINK l _Toc110966204 附表1：设备连线表 PAGEREF _

8、Toc110966204 h 37 HYPERLINK l _Toc110966205 实施方案认可表： PAGEREF _Toc110966205 h 45第一部分 工程描述宁波xxxxx（集团）股份是一家以铜加工为主的全国大型企业。xxxxx集团网络系统项目建设的总体目标是利用各种先进成熟的网络技术和通信技术，建设一个技术先进、扩展性强、安全性高的数据中心及主干网络。数据中心包括中心服务器和中心存储系统，同时通过网络系统将公司各种PC机、工作站、终端设备和局域网连接起来，并与原有的网络系统、广域网相连，形成结构合理、内外沟通的企业网络系统，并在此基础上建立能满足企业办公、指挥协调和管理需要

9、的软硬件环境，开发各类信息库和应用系统，为集团公司内工作的各类工作人员提供充分的网络信息服务。*对这次参与实施xxxxx网络项目，能为xxxxx建设一个高速、安全的主干网络尽自己的微薄之力而感到非常荣幸，同时也深感责任重大。我们郑重承诺：一定把该系统建设好，完成集团领导交给我们的任务！第二部分 网络拓扑图由于xxxxx网络较为复杂，且设备之间有多种的组合，我们设计了2种网络方案，其中方案1拓扑图如下：主楼放置2台核心交换机Catalyst6509和Catalyst4506，两台核心交换机之间捆绑两条1000M光纤线路互联，配置HSRP互为热备来实现主交换之间的冗余，同时通过ACL来保证VLAN

10、之间的安全互访，主楼中分布7台接入层交换机Catalyst2950，分别通过trunk链路连接到Catalyst6509和Catalyst4506，实现接入层到核心层交换之间冗余，在2个侧楼各分布了1台Catalyst2970和2台Catalyst2950，Catalyst2970通过光纤线路分别连接到Catalyst6509和Catalyst4506，实现汇聚层到核心层交换之间冗余，原老大楼网络主交换为一台avaya三层交换机，通过光纤线路连接到核心交换机，按照整体设计，老大楼需要拉两根光纤线路到中心机房，以达到新老大楼线路连接冗余，另有4个点通过改动后的光纤线路连接到核心交换机，需要安装共

11、4台cisco2950交换机。网络的主出口设备为cisco3845，同时连接电信和网通的线路，内部网络通过cisco3845做NAT地址转换来访问公网，在cisco3845上对两条线路做策略路由通过合理的分配流量来实现线路的负载均衡，同时cisco3845作为VPN服务器，各个分公司用户及移动用户通过VPN安全接入到内部网络，对内网服务器进行访问。在cisco3845后面是PCMAIN行为监控设备，对内网上网的异常行为进行监控，拦截和限制非法收发的邮件，对内部网络上网的带宽进行限制，趋势防毒墙NVW1200接在PCMAIN后面，为透明模式，对所有经过这条链路的流量进行监测，防止网络病毒进入内部

12、网络，在NVW后面是Catalyst6509的防火墙模块FWSM，这是网络中最重要的一道防护，我们将会配置严格的访问控制来保证网络的安全，FWSM将配置为透明模式，以降低网络的复杂程度，Catalyst6509上的IDS模块IDSM对网络中的重要流量进行监控。新增服务器群中每台服务器都分别接到核心交换机Catalyst6509和Catalyst4506上以实现链路的冗余，趋势OFSC和TMCM对内部网络中起着病毒防范和集中管理的作用，网强网管对所有网络设备进行集中管理，PCMAIN服务器对xxxxx中计算机资源进行管理，网络中CISCO的安全设备都通过VMS来集中管理。xxxxx很重视内部网络

13、中对访问权限的控制，我们通过ACS与内网中的域控制器相结合，合理配置ACS来实现，ACS主备服务器各一台，分别接在两台核心交换机上来达到冗余，防止其中一台服务器出现故障导致全网无法正常访问。方案2如下图：与方案1中不同的是网络出口设计为两条链路，一条为主链路，作为内部网络上网的出口，一条链路作为VPN拨入接入，主链路出口为电信线路，下面接趋势防毒墙NVW1200PCMAINFWSM，其中上网通过FWSM做NAT地址转换，并在FWSM进行出入流量的状态检测，VPN链路出口为网通线路，接cisco3845，其中cisco3845作为VPN服务器，并同样起用NAT配置作为主链路的备份，一旦主链路中出

14、现故障无法上网，可以切换到VPN线路来上网，实现上网设备的冗余。 以上2种方案相比，各有优缺点总结如下：从上网出口看方案1的优点在cisco3845上接2条线路通过做策略路由，通过合理的分配可以实现ISP线路的负载均衡，并能作到上网线路的冗余，缺点是如果上网设备出现问题，这个链路就会断掉，无法实现设备的冗余；方案2中出口设备为2个，优点是一旦上网主链路FWSM出现故障，上网设备将会切换到cisco3845上，内网通过cisco3845做NAT出外网，这样可以实现出口设备的冗余，缺点是2条线路一条上网一条走VPN不能通过对流量的调整来达到线路的负载均衡。从安全性看方案1在安全性上是非常高的，网络

15、中进出的所有流量都经过了cisco3845、NVW1200、PCMAIN行为监控设备、FWSM对病毒、进攻及异常流量的多层防护，在方案2中的上网主链路中同样也实现了很高的安全性，经过了NVW1200、PCMAIN和FWSM的多层防护，在VPN的链路上用户拨入到cisco3845经过了安全认证，并且cisco3845对VPN流量进行状态检测，对攻击行为有着很好的防护能力，但是由于未部署防毒墙，对网络病毒缺乏防护，安全性稍低。从故障概率方案1上出口设备都在一条链路上，且为单点故障，设备数量多于方案2，即故障点多于方案2，所以从故障概率来说方案2稍优于方案1。对于以上的2种方案进行了技术分析并结合x

16、xxxx的实际网络需求情况，我们最终决定实施是采用第1种方案，第2中方案作为备用。第三部分 设备清单 CISCO产品核心交换机Catalyst 6509数量主核心交换机WS-C6509Cat 6509 Chassis, 9slot, 15RU, No Pow Supply, No Fan Tray1WS-C6K-9SLOT-FAN2Catalyst 6509 High Speed Fan Tray1WS-CAC-3000WCatalyst 6500 3000W AC power supply2WS-SUP720-3BCatalyst 6500/Cisco 7600 Supervisor 720

17、 Fabric MSFC3 PFC3B1WS-X6548-GE-TXCatalyst 6500 48-port fabric-enabled 10/100/1000 Module1WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)1S6M3AK9H-12217SXBCisco CAT6000-MSFC3 IOS ENT FW W/SSH/3DES1WS-SVC-IDS2-BUN-K9600M IDSM-2 Mod for Cat1WS-SVC-FWM-1-K9Firewall blade for Catalyst 6

18、5001WS-G54841000BASE-SX Short Wavelength GBIC (Multimode only)8核心交换机Catalyst 4506备用核心层WS-C4506Catalyst 4500 Chassis (6-Slot),fan, no p/s1WS-X4515Catalyst 4500 Supervisor IV (2 GE),Console(RJ-45)1S4KL3EK9-12225EWCisco IOS ENHNCD L3 C4500 SUP4/5,3DES(OSPF,EIGRP,IS-IS)1PWR-C45-1300ACVCatalyst 4500 1300

19、W AC Power Supply with Inline Power1PWR-C45-1300ACV/2Catalyst 4500 1300W AC Power Supply with Inline Power1WS-X4548-GB-RJ45Catalyst 4500 Enhanced 48-Port 10/100/1000 Base-T (RJ-45)1WS-X4306-GBCatalyst 4500 Gigabit Ethernet Module, 6-Ports (GBIC)1WS-G54841000BASE-SX Short Wavelength GBIC (Multimode o

20、nly)8汇聚层交换机Catalyst 2970汇聚层WS-C2970G-24TS-ECatalyst 2970 24 10/100/1000T + 4 SFP, Enhanced Image2GLC-SX-MM=GE SFP, LC connector SX transceiver4VPN路由器VPN路由器CISCO3845-HSEC/K93845 Security Bundle,AIM-VPN-HPII-PLUS,Adv. IP Serv,64F/256D1接入层交换机接入层交换机WS-C2950T-48-SI48 10/100 and 2 10/100/1000BASE-T uplink

21、s, Standard Image15安全认证软件用户认证平台Cisco Secure ACS 3.3 for Windows1安全管理软件安全管理平台VMS 2.2 WIN 20 Device Restricted1非CISCO产品说明数量网强网管软件支持100个节点1Pcmain 计算管理系统和内容监控系统，500点1趋势网络防毒墙1200 L型，最多可用至250用户1趋势防毒软件EnterPrise Solution for Internet - B ( 趋势科技防毒墙网络版 + 趋势科技防毒墙服务器版 + ScanMail + Interscan + TMCM )，300点1第四部分

22、网络设备机柜布局图网络设备中需要上架的有cisco6509一台、cisco4506一台、cisco3845一台、趋势防毒墙NVW1200一台、cisco2970二台、cisco2950十五台，其中除2台cisco2970和4台cisco2950分别放置在两个侧楼机柜外，另有4台cisco2950分布在4个分厂，其他设备均分布在主机房的2个机柜中。 主机房网络设备布局如下：下图为两个侧楼机柜布局，由于每个机柜只有3台设备放置，占用空间较小，可以按照实际情况进行调整。第五部分 技术规划2台核心交换机上配置HSRP以实现主交换设备之间的冗余，HSRP如下图所示：通过配置HSRP组可以实现负载分担和核

23、心交换机间的相互热备，如上图所示：主交换机为Catalyst6509，备份路由器为Catalyst 4506，通过HSRP配置中生成的各个VLAN接口的虚拟地址作为下面交换机和终端的网关，所有终端平时通过主交换机Catalyst6509互访和上外网，如果主交换机出现故障，备份交换机承接主交换机的所有任务，并且不会导致主机连通中断现象。同时，通过将对VLAN网段进行分组，可以实现流量的负载均衡功能，充分利用网络带宽资源。核心交换机之间交换机之间采用Cisco GEC（Gigabit EtherChannel）技术相连，在核心交换机上各配置2个千兆光纤接口组成一条逻辑通路（Channel）提供双倍

24、的并行带宽，实现核心之间成倍增加带宽和为线路冗余提供可靠性。在交换机上启用VTP，VTP是思科第2层信息传送协议，主要控制网络范围内 VLANs 的添加、删除和重命名，VTP 减少了交换网络中的管理事务，通过 VTP，其域内的所有交换机都清楚所有的 VLAN的情况。xxxxx网络中VTP规划如下表：VTP domainJTTYVTP modeEnableVTP passwordDelteqVTP serverCatalyst6509、Catalyst4506VTP client Catalyst2970、Catalyst29505.2汇聚层Catalyst2970和接入层 Catalyst29

25、50核心层与汇聚层2970及2950、汇聚层2970与接入层2950之间连接通过trunk封装802.1q协议来透传VLAN信息，Catalyst2970和Catalyst2950之间采用channel技术，在两边交换机上各配置2个千兆以太网接口组成一条逻辑通路（Channel）提供双倍的的并行带宽，实现汇聚层和接入层之间成倍增加带宽和为线路冗余提供可靠性。5.3 Cisco3845安全路由器Cisco3845为整个网络做NAT地址转换来访问公网，xxxxx下属的各个子公司和出差的移动用户有访问内部网络服务器的需求，我们通过配置cisco3845为VPN server来实现vpn远程连接，客户

26、端通过安装cisco vpn client拨号软件，在任何可以上网的地方拨号到cisco3845，经过认证后来实现通过VPN安全的访问内部网络主机。VPN配置参数表：加密算法3DESHASH算法MD5D-H组2认证方式预共享密钥身份标识IP加密图动态Cisco3845采用带有防火墙功能的IOS，通过对CBAC的配置，严格审查源和目的地址，增强端口的和TCP和UDP应用程序的安全，CBAC比目前的ACL解决方案更加安全，因为它根据应用类型决定是否允许一个会话通过防火墙，并决定是否为回返通信流量选择某一通道，cisco3845在实际应用考虑到其自身资源的耗费，既作为VPN服务器又对整个网络做NAT

27、，如果起用CBAC将会导致出口数据流较大的延时，且由于FWSM已完全能保证网络出口链路的安全性，我们在实施时不起用CBAC，但是如果采用方案2时，cisco3845将起用CBAC来保证VPN链路的安全性。5.4 防火墙模块FWSMCisco防火墙服务模块FWSM安装在Cisco Catalyst 6509交换机中，FWSM是业界性能最高的防火墙解决方案，FWSM能提供5Gbps的性能、高达1,000,000的并发连接数及每秒10万个的新增连接数。FWSM完全支持VLAN，提供动态路由，而且可以完全集成在Cisco Catalyst 6500系列交换机内。FWSM基于Cisco PIX Fire

28、wall技术， FWSM采用了通过软件下载增强特性的网络处理器技术，能最大限度地适应未来需求和特性。由于FWSM高达5Gbps出色的性能，我们采用FWSM作为网络出口链路中最重要的一道防护。我们将根据实际网络访问要求制订严格的访问控制策略在FWSM上，对进入内部网络的数据都进行状态检测。（1）服务访问策略：服务访问策略集中在外部网络访问。服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是：允许通过增强认证的用户在必要的情况下从外部访问某些内部主机和服务；允许内部用户访问指定的外部主机和服务。（2）Firewall设计策略：Fir

29、ewall设计策略基于特定的Firewall，定义完成服务访问策略的规则，通常有两种基本的设计策略：允许任何服务除非被明确禁止；禁止任何服务除非被明确允许。我们在对外部网络访问控制中采用第二种类型的设计策略。5.5 入侵检测模块IDSM为了满足xxxxx对交换型局域网中的入侵检测的需求，我们采用Catalyst 6509交换机提供了一个带有IDSM的集成解决方案。IDSM从交换机背板监控网络流量，而不是使用与一个交换机SPAN端口连接的外部IDS检测器。这样就可以对网络流量进行更细化的访问并克服与SPAN的局限性。IDSM将检测网络中的未授权活动（如黑客攻击）并向管理控制台发送告警，提供所发现

30、的活动的详细信息。安全或网络管理员将指明IDSM必须利用VLAN访问控制列表（ACL）捕获特性来检查网络流量，从而实现了严密的流量监控。 IDSM具有最广泛的攻击识别功能，提供了世界最佳的实时入侵检测解决方案。IDSM部署在Catalyst 6509机箱中，只占用一个插槽，交换机内置IDS的解决方案可以通过VLAN访问控制列表VACL获取功能来提供对数据流的访问权限。通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN（RSPAN/SPAN）检测分组的复本，而且如果设备需要维护，因为它并不位于交换机转发路径上，因而它不会导致网络性能降低或

31、者中断。我们将配置IDSM对网络中的出口流量、VPN流量和服务器访问流量等重要的数据流量进行监测，实时监视各个网段的访问请求，并及时将信息反馈给控制台。每秒500Mb（Mbps）的IDS检测能力可以提供高速的分组检查功能，可以为各种类型的网络和流量提供更多的保护，多种用于获取和响应的技术，包括SPAN/RSPAN和VACL获取功能，以及屏蔽和TCP重置功能，从而让监控不同的网段和流量，同时让产品可以采取及时的措施，以消除威胁。重要的管理技术（Cisco VMS安全产品包提供的支持，以及内置的Cisco IDS设备管理器、IDS事件浏览器、本地管理功能和CLI支持）让IDSM更加便于管理，更加善

32、于检测和响应威胁，同时就潜在的攻击向管理人员发出警报。 我们将配置FWSM和IDSM实现联动，当IDS发现与其特征库中相匹配的攻击行为时，会给防火墙发送一条信息，防火墙根据IDS的信息动态的增加一条规则阻断攻击，从而为用户提供一个整体、动态的网络安全。IDSM-2是一个被动设备，在发生故障时不会对Cisco Catalyst设备造成任何破坏性影响。5.6 趋势防病毒产品TMCM中央控管趋势TMCM是中央控管软件，对所有趋势产品进行升级部署和管理，其中最重要的是趋势NVW1200的管理，是必须要注册到TMCM上的，其他趋势产品同样需要注册到TMCM上，在实施中需要注意的是TMCM和NVW及OFS

33、C服务器和客户端之间都要保证双向的通信，趋势所有产品在实施中我们都会设置预设升级（每天）和预设定时扫描，以达到最佳的防护效果。趋势防病毒控管中心TMCM软件安装在xxxxx内部网络中趋势防病毒服务器上。实现对所有趋势防毒软件的集中管理、集中设置、集中维护；在xxxxx内部网络中搭建一个三层的病毒防护、管理构架；集成临时策略功能，有效阻止爆发初期，病毒在内网的感染和扩散；形成统一报告，提供分析内网漏洞的有效数据。我们将配置TMCM提供漏洞评估工具和病毒爆发防御服务，为整个网络内部的计算机做一次整体的扫描，结合趋势科技提供的损害清除服务，从后台自动的将被病毒感染的机器清除干净，避免了人为手动清除病

34、毒，从而将网管从大量的手动清除病毒的状态下解脱出来。病毒爆发防御服务将网络内部所有病毒可能利用的途径全部关闭，例如：自动关闭病毒的利用和攻击的特定端口，并自动的隔离已经感染病毒的PC，关闭共享文件夹等以保证在大规模病毒泛滥时内部网络的安全。趋势防毒墙NVW1200我们将NVW布署在主出口链路上，对所有进过这条链路的流量进行病毒监测，NVW将发起病毒攻击的计算机的IP地址记录实时上传到TMCM加以记录。所有感染病毒的客户机在企图向外发送病毒数据包时，病毒数据包均会被Network Viruswall所阻挡，同时，Network Viruswall会联动TMCM，自动的将被病毒感染的计算机上的病毒

35、清除。配置中需要注意的地方在FWSM上为两端的TMCM和NVW1200开放10319注册管理所必需的端口以保证通信正常。我们将利用Network Viruswall检测网络中防病毒漏洞和安全漏洞，由于xxxxx中的Windows 2000professional系统，windows XP系统以及windows 2000Server或以上的系统存在着防病毒漏洞和部分微软系统安全隐患，极有可能被病毒利用（如：冲击波病毒），从而对整个网络的速度，性能造成极大的影响，甚至可能造成网络瘫痪。通过利用Network Viruswall的系统安全漏洞检测功能可以将有系统漏洞的机器做暂时的隔离。我们将配置NV

36、W将有系统漏洞的机器重定向到安装安全补丁的内部网站，从而避免了IT网管人员大量的手动工作，更有效率的提升内部网络的安全。通过分析网络数据流量变化、任何时刻连入或连出任一客户端的联机数、任一端口号或通讯协议（TCP、UDP、ICMP和IGMP）突然流量激增。找出中毒的主机、病毒攻击目标，以及针对特定弱点的攻击，并通过集中管理控制台（TMCM）通知IT管理人员。OFFICESCAN网络版我们将在内部网络中部署一台防病毒网络版OFSC服务器，由于管理跨多网段我们必须通过IP地址方式来进行安装管理，网络中的计算机可以通过多种方式（如web安装、客户端安装包安装等）来安装客户端防病毒软件。透过Offic

37、escan服务器端的Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全网的防毒策略，并且也能迅速响应各种紧急事件。Officescan网络版防病毒软件布署后有以下优点及特性：支持防护策略的自动/手动配置：有效控制病毒扩散（通过主控服务器，在设定的时间段内，关闭所有客户机的共享文件，特定端口，保护文件或文件夹不被病毒修改）；集成网络版防火墙：通过Officescan服务器端统一配置和管理每个计算上安装的网络版网络墙；集成专杀工具：病毒专杀工具和客户端防病毒软件无缝集成，专杀工具的扫描引擎和病毒码可以自动更新，完全摆脱传统防病毒软件需要独立使用专杀工具，并且每一个病毒都有特定的

38、专杀工具，造成数量巨大；安全的通信机制：Officescan服务器和客户机的通讯不依赖ICMP（Ping），而采用Winsock API的方式；移动管理界面：HTTP Base具有Web管理功能,可以跨WAN进行管理；实时更新病毒日志：方便而简单的配置管理与实时报告；自动更新：先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动；支持客户端自行上互联网更新防毒组件；灵活的更新代理设置：通过设定网络中任意计算机做为病毒码更新源，将其它计算机指定到该计算机更新，以节省网络带宽。对低带宽网络环境特别有效；检测为安装防病毒软件的计算机：支持网段扫描侦测尚未安装OfficeScan的用户机,杜

39、绝防毒漏洞；强大的数据库管理：支持将纪录数据导入SQL服务器方便数据分析与管理；灵活的客户端迁移：支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装；预扫描系统病毒：软件安装时可对病毒进行预处理；定位病毒源头病毒：客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导；POP3病毒邮件的查杀；ServerProtec服务器版ServerProtec服务器版防病毒软件本身被设计成一个多层结构的软件。它共有三个模块：Information Server (IS)，Normal Server (NS)，Management Console (MC)。NS是安装在每台文件服务器上

40、的防毒模块，IS是所有NS的集中管理模块；MC是给管理员使用的管理界面模块。在部署时我们将安装ServerProtect信息服务器及管理控制台（SP Information Server & Managemnet Console）到趋势防病毒服务器上，作为Serverprotect的管理中心。在管理中心上实现每一个管理单位内所有服务器的防病毒策略部署和病毒代码、引擎的升级，然后在每一台NT或2000服务器上安装ServerProtect的普通服务器（SP Normal Server）。同时，通过安装TMCM代理程序，Serverprotect就能够被整合在TMCM的管理体系中，并且能够通过TM

41、CM得到“病毒爆发抑制策略”。Serverprotect应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹。从而保护网络中的服务器群，在最新的病毒码没做出来之前不被新病毒攻击。5.7 网强网管软件及PCMAIN资产管理软件网强公司是完全站在第三方角度来开发软件。对于硬件设备的管理，只要该设备是支持业界标准SNMP协议的，我们都可以毫无障碍的完全支持。因此任何厂商的任何型号，主要它支持管理，我们就可以纳入管理范围。网强网络管理系统充分考虑到网络安全性以及网络稳定性。所以实施起来万无一失。如果运行中网管机发生故障（系统崩溃，硬盘损坏等）。网络仍然保证完好运行，不会有任

42、何影响。网强网络管理系统的开发标准都是基于业界通用标准。支持SNMP各个版本等各个通用协议。网强网络管理系统的数据库结构使用业界通用的主流数据库SQL结构。结构非常稳定，有无数的应用充分证明SQL结构是经的起考验的。按照宁波xxxxx的网络规模及现状，在信息中心安装网强网络管理系统，通过信息中心的核心网络设备对整个网络进行管理。在本次实施过程中，网强信息技术（上海）负责宁波xxxxx网管软件的安装、调试，并对负责本次项目的用户技术工程师、技术负责人进行相关技术培训交流。网络管理系统实施部署1采集信息 获得宁波xxxxx的网络拓扑图。填写主要设备类型名称和ip地址填写网管系统所要管理的所有ip子

43、网地址。登入所有需要管理设备获取snmp agent信息和 stp信息2数据分析确定可网管设备数量。用第3方软件确定管理通路。对于未开启snmp的设备进行配置。确定统一共同体命。3安装网强网络管理系统填写子网地址和服务器地址进行拓扑发现。生成网络拓扑和原先拓扑图进行对比4添加主干设备告警规则。5自动化报表系统能够正常工作。6 填写网强网络管理软件安装表另外PCMAIN产品实施方案将会由厂商直接递交用户，在本方案中暂不做描述。5.8 网络安全规划在xxxxx网络中，采用了多种安全设备来实现内部网络的安全性，包括Catalyst6509防火墙模块FWSM、入侵监测模块IDSM、安全VPN路由器、趋

44、势防病毒软件OFSC和趋势防病毒墙NVW1200等对感染内部网络的病毒的防范，在对网络和服务器的安全访问控制上我们将通过5个方面来实现：我们在ACS里通过TACACS协议来控制网络连接，凡是连接到网络中的终端，都要经过802.1x认证，如果成功，则用户将连接到内部网络中，如果失败，用户的PC上网卡将处于“down”的状态，802.1x认证实现对非法用户连接到网络的限制。依照xxxxx网络改造项目系统访问权限调查表的调查结果，我们通过在Catalyst6509和Catalyst4506上应用ACL来实现不同的用户对内网中服务器的访问权限的不同，ACL在这里基于IP来进行控制，在每个VLAN中均会

45、设置几个子网，不同子网里的用户对服务器有着不同的访问权限。对于上网和收发邮件的控制，内网中只有部分用户可以上网，部分用户可以访问固定的网址，部分人可以收发邮件，其中用户的上网权限将通过FWSM做ACL来进行控制，其他功能通过PCMAIN来实现，PCMAIN能通过URL过滤作到限制用户只能对部分网址的访问，通过自定义及系统本身定义的对邮件信箱URL过滤和表单提交的限制来实现对大部分非企业邮箱信件收发的限制，对非企业邮箱邮件的限制要达到很好的效果必须还要结合良好的管理制度来实现。为了更好的保证上网用户的安全性，防止非法用户通过盗取他人的IP地址来上网，我们将对所有上网PC的MAC地址进行统计，通过

46、PCMAIN将IP和MAC进行绑定来实现。通过在域控制器上对不同域用户权限的分配来实现对服务器不同的访问权限，用户登陆到网络中必须要输入分配的用户名和密码，才能被授予对不同服务器的访问权限，同时配合各个应用系统中本身软件系统对其各个子系统对外访问的权限控制功能，来实现整个网络和应用系统的安全访问。考虑到xxxxx内部网络中会出现这种情况，即在一些重要会议中领导可能会使用笔记本电脑，这些用户需要上网或访问某些服务器，为了满足需要我们将会采用动态VLAN技术，当这些笔记本电脑接入到网络中后，在输入用户名经过认证后只需要将IP地址设置为自动获取，则可以获取到IP地址并同时获得相应的权限，可以上网和对

47、部分服务器进行访问，这样既保证了网络的安全性有提高了网络的灵活性。由于域控制器和ACS对于网络安全访问的重要性，如果一旦出现问题将导致整个网络的重大灾难，我们安装了主域控制器和备份域控制器及主备ACS服务器来实现服务器之间的冗余。 在趋势防病毒墙NVW1200实施中我们将会将其和win2000域紧密的结合在一起，在趋势中央控管TMCM中我们将对整个域进行定时扫描，通过TMCM和NVW对域中所有成员进行在线损害清除（DCS）和漏洞扫描，一旦有外来的感染了病毒的PC加入到域中就会被强制进行扫描和其他处理，如果没有安装防病毒软件或者没有打上系统补丁的PC同样会被进行处理。另外，我们还可以适当地在思科

48、交换机上选配如下功能，以大大增强网络的安全性，所有设备中访问控制在实施过程中和用户协商制订。这里列举了一些通用安全清单以供参考：控制交换机的物理访问端口。设置复杂的enable secret密码设置会话时。明确禁止未经授权的访问。使能并且安全地配置必要的网路服务；关闭不必要的网络服务。为SSH设置更安全的密码，然后利用SSH代替telnet进行远程管理。使用SNMP协议时，为SNMP设置更难以破解的community字符串。限制基于MAC地址的访问来保护端口安全，关闭端口的自动中继功能。关闭没有使用的交换机端口并且为它们分配一个无用的VLAN号。限制中继端口能传输的VLAN数。思科标准和扩展

49、IP 安全路由器 ACL （ RACL ）可以针对控制面板和数据面板流量，在路由接口上指定安全策略。 使能日志功能，并且将日志文件专门放到一台安全的日志主机上。使用NTP和时间戳来标记日志文件的时间信息。定期查看日志文件以预防可能发生的事故，依照安全策略将日志文件存档。使用AAA认证来保护对交换机的本地和远程访问。对交换机配置文件进行脱机安全备份，并且限制对配置文件的访问。同时应该对不同的配置添加描述性注释以方便查看。5.9 路由协议规划xxxxx网络都采用静态路由，静态路由完全满足网络需要。静态路由的优点如下：1、就带宽而言，静态路由没有开销。而在动态路由中，路由协议存在一个相关的带宽问题以

50、维护它与临近路由器的关系。尤其是基于距离向量的协议对带宽要求更高。2、就安全性而言，静态路由可以人工限定IP地址的访问权限，因此对于高安全行网络而言是非常必要的。5.10 VLAN及IP地址规划按照xxxxx的网络总体设计，我们规划vlan主要以部门为单位来进行划分并考虑到服务器网段保持不变。Vlan网段规划表：Vlan号Vlan说明Vlan 网段Vlan 名称网关地址Vlan 1管理managementVlan 2服务器群_1Server_1Vlan 3服务器群_2Server_2Vlan 4总裁办zongcaibanVlan 5行政部xingzhengVlan 6信息中心ITVlan 7企

51、管部qiguanVlan 8财务部caiwuVlan 9人力资源部HRVlan 10市场部shichangVlan 11供应部gongyingVlan 12铜棒公司tongbangVlan 13合金线材厂hejinxiancaiVlan 14阀门公司famenVlan 15电材公司diancaiVlan 16磁业公司ciyeVlan 17板带公司bandaiVlan 18铜管公司tongguanVlan 19冶炼公司yelianVlan 20铜线公司tongxianVlan 21物资公司wuziVlan 22工程部gongchengVlan 23品质部pinzhiVlan 24审计部 shen

52、ji两台核心交换机做HSRP冗余，VLAN接口地址规划表：接口Cisco6509Cisco4506HSRP虚拟地址INT VLAN 2INT VLAN 3INT VLAN 4INT VLAN 5INT VLAN 6INT VLAN 7INT VLAN 8INT VLAN 9INT VLAN 10INT VLAN 11INT VLAN 12INT VLAN 13INT VLAN 14INT VLAN 15INT VLAN 16INT VLAN 17INT VLAN 18INT VLAN 19INT VLAN 20INT VLAN 21INT VLAN 22INT VLAN 23INT VLAN

53、24交换机管理地址规划表:Cisco6509Cisco4506Cisco2950_主楼_1Cisco2950_主楼_2Cisco2950_主楼_3Cisco2950_主楼_4Cisco2950_主楼_5Cisco2950_主楼_6Cisco2950_主楼_7Cisco2950_分厂_1Cisco2950_分厂_2Cisco2950_分厂_3Cisco2950_分厂_4Cisco2970_左侧楼Cisco2950_左侧楼_1Cisco2950_左侧楼_2Cisco2970_右侧楼Cisco2950_右侧楼_1Cisco2950_右侧楼_2网络设备IP地址及新增服务器内网IP地址规划表：设备名称I

54、P地址子网掩码所接端口FWSMIDSM PCMAIN行为检测趋势OFSC服务器趋势TMCM服务器趋势NVW1200主ACS服务器备ACS服务器网强网管服务器PCmain服务器VMS服务器以上地址均属于服务器网段涉及到用户的IP地址规划，在实施过程中按照用户要求制定。5.11 网络管理设置网络管理需要注意的几个方面：1、通过网络管软件对设备进行管理，使得网络设备的维护与管理直观、方便。同时，可以随时监控网络中每台设备的运行状况。如果网络设备使用却缺省的SNMP RW字符串，使用类似网管软件的用户就可能轻易地对设备的配置进行修改，做为网络安全的一个方面，需要将各个设备上的SNMP RW字符串设置较

55、为复杂。2、配置SSH和 SNMPv3，这样可以通过在 Telnet 和 SNMP 进程中加密管理员流量，提供网络安全。3、控制台访问权限的多级安全可以防止未经授权的用户更改交换机配置，只允许可信IP地址段对设备进行配置管理。 5.12 设备名和口令设置各个设备的命名设置规则为：“X_Y_Z其中：字母含义X表示产品名称，如Catalyst6509X表示安装位置：M-表示主楼 L左侧楼 R右侧楼Z表示同型号交换机的数量序号所有cisco设备的口令设置规则：为方便在路由器调试时，所有口令暂定为delteq，工程实施完毕后，用户自行更改。5.13 设备连线为了整个设备维护的方便，要求将每台设备的线路

56、连接制表保存，xxxxx网络项目设备主要包括以下几种类型Cisco 3845路由器Catalyst 6509交换机Catalyst 4506交换机Catalyst 2970交换机Catalyst 2950交换机趋势NVW1200防毒墙PCMAIN行为监控设备工程实施过程中要求认真、如实地填写后面附表中的每个表格。第六部分 项目组及项目进度安排xxxxx网络项目中，项目组成员包括：项目经理、技术负责人、实施工程师、客户经理和商务。以下是项目组成员名单：yd项目实施组项目成员工作职责联系方式项目经理技术负责人实施工程师项目联系人、实施工程师客户经理项目商务PCmain实施网强实施在工程期间项目经理

57、、技术负责人具体职责如下：项目经理：项目经理的主要职责是从公司、中心整体利益出发，维护公司形象；制定项目实施详细计划（包括人员要求），项目完成时间和费用预算；负责工程实施到初验间与局方的协调工作，以及组织人员解决此期间工程遗留问题；对项目的实施负主要职责；对项目中所有文档的编写、完整性和归档负责；负责项目各个方面的有关协调工作，处理突然事件，调配有关的资源以保证项目按原计划开展，对项目实施的整个过程中的重大问题进行决策。项目技术负责人项目技术负责人，由公司技术专家组成，主要职责是完成以下各项工程任务：系统总体设计；对各分系统深化设计进行审核并提出优化建议；对各分系统进行技术协调；对各分系统的设

58、备配置予以确认；对现场设备安装、调试提供必要的技术支持；工程文档的审核；协助项目负责人制订本项目的质量工作计划，并贯彻实施；贯彻公司的质量方针、目标和质量体系文件的有关规定和要求；负责对工程任务全过程的质量活动进行监督检查，参与设计评审。客户经理协助项目经理和实施工程师解决项目中需要配合的问题，推进项目的进度，包括对公司和实施厂商之间工作开展的协调，配合客户在项目范围内的其他采购等。现场实施工程师，主要职责现场按照实施方案对设备进行调试，包括安装、测试、初验前和试运行期间的维护、现场培训等，在工程实施前准备好所需要的实施文档、割接方案等；负责项目现场各个方面的有关协调工作，处理突发事件，调配现

59、场有关的资源以保证项目按原计划开展。其中实施工程师中的指定的项目联系人在实施前期负责对前期的准备工作和用户保持沟通，及时传达项目组的意见，实施期间每周向项目经理和客户递交实施工作情况报告及实施计划。项目商务主要对合同签定后订货及供货的工作负责，对整个项目实施过程中的商务方面的问题进行处理，协助项目顺利进行。厂商实施工程师主要对其负责的产品按照项目要求进行安装调试测试，在实施过程中负责对用户进行现场培训。本次项目实施范围包括对严格按照项目实施方案所有产品进行安装调试，保证网络的良好运行，对用户进行网强网管、PCmain、趋势等产品的培训及实施过程中的现场培训，对用户提交完整的项目文档。项目进度安

60、排表：ID任务名称开始时间结束时间责任人1项目实施方案确认2005-8-42005-8-5jt，yd2项目启动大会2005-8-92005-8-93PCmain 培训2005-8-102005-8-10厂家，jt4趋势培训2005-8-122005-8-12yd，jt5配合用户方弱电项目验收2005-8-102005-8-10yd，jt，布线公司6设备配置脚本的编写2005-8-82005-8-12yd7实施用的材料到位及电源的到位2005-8-82005-8-12jt8设备进场验收2005-8-152005-8-15yd，jt9项目的实施2005-8-152005-8-31yd，jt10两台