华迪实习-云南xxx学院网络工程设计方案书

1、云南XXX学院校园网改造方案书第四小组方案设计人员（）目录 TOC o 1-3 h z u HYPERLINK l _Toc304322596 第一章 概述 PAGEREF _Toc304322596 h - 5 - HYPERLINK l _Toc304322597 1.1. 文档大纲 PAGEREF _Toc304322597 h - 5 - HYPERLINK l _Toc304322598 1.2. 项目背景 PAGEREF _Toc304322598 h - 5 - HYPERLINK l _Toc304322599 1.3. 项目范围 PAGEREF _Toc304322599 h

2、 - 5 - HYPERLINK l _Toc304322600 1.4. 项目目标 PAGEREF _Toc304322600 h - 5 - HYPERLINK l _Toc304322601 1.5. 设计标准与规范 PAGEREF _Toc304322601 h - 5 - HYPERLINK l _Toc304322602 第二章 用户需求 PAGEREF _Toc304322602 h - 5 - HYPERLINK l _Toc304322603 2.1. 技术目标 PAGEREF _Toc304322603 h - 5 - HYPERLINK l _Toc304322604 2

3、.2. 应用系统 PAGEREF _Toc304322604 h - 6 - HYPERLINK l _Toc304322605 2.3. 服务器要求 PAGEREF _Toc304322605 h - 6 - HYPERLINK l _Toc304322606 2.4. 网络建设需求 PAGEREF _Toc304322606 h - 6 - HYPERLINK l _Toc304322607 2.5. 系统集成要求 PAGEREF _Toc304322607 h - 7 - HYPERLINK l _Toc304322608 第三章 综合布线设计 PAGEREF _Toc304322608

4、 h - 7 - HYPERLINK l _Toc304322609 3.1. 采用综合布线方案概述 PAGEREF _Toc304322609 h - 7 - HYPERLINK l _Toc304322610 3.2 工作区子系统设计介绍 PAGEREF _Toc304322610 h - 8 - HYPERLINK l _Toc304322611 3.3 水平区子系统设计介绍 PAGEREF _Toc304322611 h - 9 - HYPERLINK l _Toc304322612 3.4 垂直主干线子系统设计介绍 PAGEREF _Toc304322612 h - 9 - HYPE

5、RLINK l _Toc304322613 3.5 设备间子系统设计介绍 PAGEREF _Toc304322613 h - 10 - HYPERLINK l _Toc304322614 3.6 建筑群子系统设计介绍 PAGEREF _Toc304322614 h - 10 - HYPERLINK l _Toc304322615 3.7 综合布线系统的安装与施工指南 PAGEREF _Toc304322615 h - 11 - HYPERLINK l _Toc304322616 3.8 产品选型说明 PAGEREF _Toc304322616 h - 12 - HYPERLINK l _Toc

6、304322617 第四章 网络拓扑结构设计 PAGEREF _Toc304322617 h - 13 - HYPERLINK l _Toc304322618 4.1 拓扑图设计 PAGEREF _Toc304322618 h - 13 - HYPERLINK l _Toc304322619 4.1.1 设计说明 PAGEREF _Toc304322619 h - 13 - HYPERLINK l _Toc304322620 4.2 核心层设计 PAGEREF _Toc304322620 h - 14 - HYPERLINK l _Toc304322621 4.2.1 双核心热冗余备份设计 P

7、AGEREF _Toc304322621 h - 15 - HYPERLINK l _Toc304322622 4.3 出口设计 PAGEREF _Toc304322622 h - 16 - HYPERLINK l _Toc304322623 4.4 防火墙 PAGEREF _Toc304322623 h - 17 - HYPERLINK l _Toc304322624 4.5 主要设备选型 PAGEREF _Toc304322624 h - 18 - HYPERLINK l _Toc304322625 第五章 VLAN与IP规划 PAGEREF _Toc304322625 h - 19 -

8、HYPERLINK l _Toc304322626 5.1 VLAN与IP技术介绍 PAGEREF _Toc304322626 h - 19 - HYPERLINK l _Toc304322627 5.1.1 VLAN与IP划分方案 PAGEREF _Toc304322627 h - 20 - HYPERLINK l _Toc304322628 第六章 网络管理与安全方案 PAGEREF _Toc304322628 h - 21 - HYPERLINK l _Toc304322629 6.1 网络管理方案 PAGEREF _Toc304322629 h - 21 - HYPERLINK l _

9、Toc304322630 6.2 网络安全方案 PAGEREF _Toc304322630 h - 21 - HYPERLINK l _Toc304322631 第七章 工程施工管理 PAGEREF _Toc304322631 h - 32 - HYPERLINK l _Toc304322632 7.1 标准化 PAGEREF _Toc304322632 h - 32 - HYPERLINK l _Toc304322633 7.2 施工计划表 PAGEREF _Toc304322633 h - 32 - HYPERLINK l _Toc304322634 7.3 施工配合 PAGEREF _T

10、oc304322634 h - 33 - HYPERLINK l _Toc304322635 7.4 铺设线缆和管道 PAGEREF _Toc304322635 h - 33 - HYPERLINK l _Toc304322636 7.5 搭建配线架 PAGEREF _Toc304322636 h - 33 - HYPERLINK l _Toc304322637 第八章 测试与验收 PAGEREF _Toc304322637 h - 34 - HYPERLINK l _Toc304322638 8.1 测试目标及其验收标准 PAGEREF _Toc304322638 h - 34 - HYPE

11、RLINK l _Toc304322639 8.2 测试种类 PAGEREF _Toc304322639 h - 34 - HYPERLINK l _Toc304322640 8.3 测试需要的网络设备和网络资源 PAGEREF _Toc304322640 h - 34 - HYPERLINK l _Toc304322641 第九章 售后服务与技术支持 PAGEREF _Toc304322641 h - 34 - HYPERLINK l _Toc304322642 第十章 项目预算 PAGEREF _Toc304322642 h - 34 - HYPERLINK l _Toc304322643

12、 10.1 布线材料清单及报价 PAGEREF _Toc304322643 h - 34 - HYPERLINK l _Toc304322644 10.2 网络设备清单及报价 PAGEREF _Toc304322644 h - 35 -第一章 概述1.1. 文档大纲1.2. 项目背景1.3. 项目范围1.4. 项目目标1.5. 设计标准与规范第二章 用户需求2.1. 技术目标众所周知，电子计算机机房装饰，不同于普通的宾馆、家庭装饰，机房装饰工程是一项系统工程，是现代科学技术和装饰艺术的综合。机房内放置有复杂的电子设备和机电设备，对装饰的要求，主要是满足计算机对机房提出的技术要求，在机房装饰艺术

13、上以既大方舒适，又满足其技术要求为原则。对装饰材料的选择要达到吸音、防火、防潮、防变形、抗干扰、防静电等要求。以期达到现代化的装饰水平和视觉效果。网络核心机房是整个校园计算机网络开展应用的中心和关键所在，为消除安全隐患，确保通信设备和通信网络的安全可靠，应该建设在一个安全、可靠、稳定的基础环境中。数据中心机房应符合国际标准和相关规范，在洁净与温湿度、供配电、接地、防雷、防静电、防盗与防破坏等各方面满足征信系统的环境要求和管理要求。2.2. 应用系统本次机房建设将包括一下几个子系统：1、机房空调与新风系统；2、电气系统（供配电系统）；3、UPS系统；4、建筑装饰系统；5、消防及自动报警系统；6、

14、机房漏水监测系统；7、机房其他配套设备系统2.3. 服务器要求由于此处为校园网，主要功能是实现好学校与外部的上网功能，以及实现学校的资源共享 ，服务器具体功能（安全监控中心、数据中心、存储中心、网管中心），WWW服务，作为信息服务的平台，Email服务，作为信息传递和与外界交流的主要手段。2.4. 网络建设需求实用性和先进性采用先进成熟的技术和设备，尽可能采用先进的技术、设备和材料，以适应高速的数据与需要，使整个系统在一段时期内保证技术的先进性，并具有良好的发展潜力，以适应未来业务的发展和技术升级的需要。 安全可靠性 为保证各项业务应用，网络必须具有高可靠性，决不能出现单点故障。要对机房布局、

15、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制控制手段和事故监控与安全保密等技术措施提高数据中心机房的安全可靠性。 灵活性与可扩展性 计算机机房必须具有良好的灵活性与可扩展性，能够根据机房业务不断深入发展的需要，扩大设备容量和提高用户数量和质量的功能。应具备支持多种网络传输，多种物理接口的能力，提供技术升级设备更新的灵活性。管理性由于机房具有一定复杂性，随着业务的不断发展，管理的任务必定会日益繁重。所以在机房的设计中，必须建立一套全面、完善的数据中心机房管理和监控系统。所选用的设备应具有智能

16、化、可管理的功能，同时条用先进和管理监控系统设备及软件，实现先进的集中管理监控，实时监控、监测整个机房的运行状况，实时灯光、语音报警，实时事件记录，这样可以迅速确定故障，简化机房管理人员的维护工作，从而为计算机机房的安全、可靠运行提供最有力的保障。2.5. 系统集成要求WindowsXP系统，Windows2003 server，linux系统，点播系统（VOD）,网络监视系统，报警系统，认证系统，校园系统，局域网管理系统，UPS不间断电源系统，网络管理系统。第三章 综合布线设计3.1. 采用综合布线方案概述综合布线系统是采用模块化插接件，垂直、水平方向的线路一经布置，只需改变接线间中的跳线，

17、改变集线器，增加接线间的接线模块，便可满足用户对这些系统的扩展和移动。综合布线由六个子系统组成，即工作区子系统(Work Area)、水平布线子系统(Horizontal Cabling)、垂直干线子系统(Backbone Cabling)、设备间子系统(Equipment Rooms)、管理子系统(Administration)和建筑群接入子系统(Premises Entrance Facilities) 。如图：3.2 工作区子系统设计介绍工作区子系统是由终端设备连接到信息插座的连线和信息插座组成。室内房间的一系列设备包括标准RJ-45插座、网卡、五类双绞线。另外需要统一线缆连接标准，EI

18、A/TIA568A或EIA/TIA568B。 信息点数量（RJ-45插座的数量）应根据工作区的实际功能及需求确定，并预留适当数量的冗余。例如办公室可配置23个信息点，此外还应该考虑该办公区是否需要配置专用信息点用于工作组服务器、网络打印机、 机和视频会议等。对于宿舍，一个房间配备1个信息点。注意，在进行建筑弱电设计时，要严格执行有关综合布线标准，每个信息点到设备间的图纸距离应在70m内，因此，楼宇中的设备间的选择以位于或者尽可能位于本建筑物的地理中心为宜。如图3.3 水平区子系统设计介绍水平子系统主要是实现信息插座和管理子系统，及中间配线架间的连接。水平子系统指定的拓扑结构为星型拓扑。选择水平

19、子系统的线缆要根据建筑物内具体信息点的类型、容量、带宽和传输速率来确定。水平组网子系统包括光纤主干线和各个楼层间的组网。室外主干的光纤电缆采用多模光纤，室内采用超五类非屏蔽双绞线。如图3.4 垂直主干线子系统设计介绍垂直主干线子系统提供建筑物主干电缆的路由，实现主配线架与中间配线架、计算机、控制中心与各设备间子系统间的连接。垂直组网在各栋楼中从配线架通过楼道上的桥架连接到设备间。注意，如支持1000Base-TX则必须使用六类双绞线。如图3.5 设备间子系统设计介绍设备间子系统由设备室的电缆、连接器和相关支持硬件组成，把各种公用系统设备互相连接起来。本企业网采用多设备间子系统，包括网络中心机房

20、、办公教学楼、宿舍区、其公共场所设备间子系统。 网络中心机房设备间配线架、交换机安装在标准机柜中，光纤连接到机柜的光纤连接器上。办公教学楼、宿舍区等设备间子系统配备标准机柜，柜中安装光纤连接器、配线架和交换机等，通过水平干线线缆连接到相应网络机柜的配线架上，通过跳线与交换机相连。如图3.6 建筑群子系统设计介绍建筑群子系统主要是实现建筑之间的相互连接，提供楼群之间通信设施所需的硬件。由连接网络中心和各个设备间子系统的室外电缆组成了园区网建筑群子系统。有线通信线缆中，建筑群子系统多采用62.5/125um多模光纤，起最大传输距离为2km，满足该学院网内的距离需求，并把光纤埋入到地下管道中。如图3

21、.7 综合布线系统的安装与施工指南最低配置：适用于综合布线系统中配置标准较低的场合，用铜芯对绞电缆组网。1）每个工作区有1个信息插座； 2）每个信息插座的配线电缆为1条4对对绞电缆； 3）干线电缆的配置，对计算机网络宜按24个信息插座配2对对绞线，或每一个集线器 （HUB）或集线器群（HUB群）配4对对绞线；对 至少每个信息插座配1对对绞线。基本配置：适用于综合布线系统中中等配置标准的场合，用铜芯对绞电缆组网。1） 每个工作区有2个或2个以上信息插座； 2） 每个信息插座的配线电缆为1条4对对绞电缆； 3.8 产品选型说明 在布线设施设计中，需要的主要材料如下：多模光纤；五类双绞线，在布线实施

22、时，应该尽可能考虑选用防火标准高的线缆；各种信息插座，RJ-45等；电源；塑料槽板；PVC管；供电导线；配线架；第四章 网络拓扑结构设计4.1 拓扑图设计云南XXX学院校园网改造拓扑图 设计说明主干是万兆以太网，分别连接网通和电信，这样可以做负载均衡，保证校园网的通畅。核心交换机采用双机热备技术，两个同样的核心交换机，一个做主核心交换机连接个机器使用，一个做备份，只有当主交换机坏了是，备份的交换机会自动启用，提供网络安全保障。SQL服务器采用磁盘阵列，共5个磁盘，两个用来存储数据三个用来备份，这样即使坏了两个数据也不会丢失。汇聚层采用思科4系列交换机，具有处理简单的认证信息和网络管理。外部服务

23、器群放在DMZ区域，当外面的人访问内网，首先同过DMZ区域，在此区域内检测是否有病毒，如果有则处理掉，保证了内网的安全。为了让全校所有的地方都可以上网，本方案还在校园内装无限路由器。4.2 核心层设计 网络核心交换机是连接各区域并保障各区域高速通信的纽带，因此该设备应采用具有大容量、高密度、模块化体系架构的设备，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，还应具有强大组播功能、基于策略的QOS、有效的安全管理机制和电信级的高可靠设计，从而满足现代信息化网络的多种业务承载融合和业务灵活分类、分流的组网需求。 针对xxx学院网络的实际情况，我们部署两台模块化核心交换机RG-S8610

24、。RG-S8610高密度多业务IPv6核心路由交换机提供3.2T背板带宽，并支持将来更高带宽的扩展能力，高达1190Mpps的二层/三层包转发率可为用户提供高密度端口的高速无阻塞数据交换，具有线速转发数据包的能力。每线卡提供200G的交换能力，满足高密度的千兆/万兆端口线速转发，并且支持未来40G/100G接口的扩展。通过XFP接口万兆线卡下连汇聚层交换机构成万兆骨干链路；千兆端口连接管理工作站、无线控制器、IDS入侵检测设备以及服务器区域交换机。 同时，RG-S8610高密度多业务IPv6核心路由交换机提供全面的安全防护体系，提供分布式的业务融合平台，满足未来网络对安全和业务的更高要求。CP

25、P技术，业界领先的硬件CPU保护技术，通过对发往CPU的IPv4/IPv6等多层协议报文自动进行流区分和流线速，避免异常报文对CPU的攻击和资源消耗，保证核心设备在IPv4/IPv6三层网络、二层网络环境中核心设备CPU稳定运行。同时，RG-S8610核心路由交换机还提供其他更多的安全防护能力，例如防DDOS攻击、非法数据包检测、防扫描、防源IP地址欺骗等等，避免了传统软件实现方式对整机性能的影响。支持广播报文抑制，有效控制非法广播流量对设备造成冲击。支持IPv6/IPv6、VLAN、MAC和端口等多种组合绑定方式，提高用户接入控制能力。 双核心热冗余备份设计 为保障网络具有99.999%的电

26、信级高可靠性，实施时采用双核心、双链路的设计方案。该方式的好处在于，任意一台核心交换机的故障，或者任意一条上行链路的故障，均不会影响网络的稳定运行，备用交换机或备用线路会智能地启用起来。图 要实现这样的热冗余备份机制，需要在核心交换机上启用VRRP（虚拟热冗余备份协议）和MSTP（多生成树协议）。VRRP协议主要用于两台核心设备面向接入用户虚拟出一个实时可用的IP地址，实现核心设备间的智能热备份；MSTP协议则主要用于避免VLAN内部出现环路，配合VRRP协议实现线路的智能热备份。核心交换机与出口路由器之间启用动态路由协议，实现与VRRP/MSTP的配合切换。 根据部分网络信息点建设要求全千兆

27、到桌面的总体设计思想，考虑到万兆、IPv6的建网理念，根据集团各个分部的厂房和库房网络建设的具体情况，考虑到部分信息点数据流量庞大等因素，在攀枝花、西昌、泸州分部核心区域建议采用锐捷RG-S5750-48GT/4SPF-E全千兆三层多业务IPv6交换机。RG-S5750-48GT/4SPF-E全千兆三层多业务交换机具备48口，可容纳多个接入层设备。最重要的是RG-S5750-48GT/4SPF-E三层交换机还具备两个万兆扩展槽，可灵活弹性扩展多种类型的万兆模块和万兆堆叠模块，通过扩展万兆光口实现骨干网络的万兆互联以及部分接入网络的千兆桌面。从RG-S5750-48GT/4SPF-E是锐捷网络推

28、出的融合了高性能、高安全、多智能、易用性的新一代全千兆带万兆扩展机架式多层交换机。可以提供48个10/100/1000M自适应的千兆电口，还能提供PoE远程供电的接口。4.3 出口设计出口区域的网络主要由路由器VPN网关、防火墙组成，以下介绍以路由器为主。我们建议在总部网络出口处部署一台锐捷RG-NPE50E网络出口引擎，RG-NPE50E固化提供了8个光电复用的GE口，可扩展2个扩展糟，定位于中大型网络出口。RG-NPE50E全新融入了智能DNS和多链路负载均衡技术，使得用户对内对外访问都能智能选择最优最快速路径；集成了DPI引擎，让网络管理人员轻松应对P2P等应用的流量控制；重构了WEB界

29、面，让其在设备管理维护层面变得简化。RG-NPE50E网络出口引擎采用MIPS多核处理器体系架构，单个处理器内部基于锐捷网络自主知识产权的虚拟多处理器 （vCPU）技术，从而在x-flow框架下构建起一个高性能、高稳定的转发平台。RG-NPE50E网络出口引擎支持的最大并发用户数最多达10000人，4G的DDR II内存，最高达6Mpps的转发能力具有卓越的转发性能。RG-NPE50E网络出口引擎充分利用x-flow技术，实现高速NAT，每秒高达30万条的NAT新建连接会话，最大支持整机200万条并发会话数。64bytes小包转发率可达100Mbps，同时实现出口防火墙功能，在各业务功能全开的

30、情况下，能实现最大3000-10000用户的并发带机量。RG-NPE50E网络出口引擎配有先进的DPI深入分析引擎、行为分析/管理引擎，能够在保证网络出口高效转发的基础上，提供专业的流控功能、出色的URL过滤以及本地化的日志存储/审计服务。此外，RG-NPE50E网络出口引擎还提供WEB认证、IPsec/L2TP/SSL VPN、智能DNS、多链路负载均衡等多种功能的支持。同时可根据网络使用分部情况，RG-NPE50E网络出口引擎提供专业的流量限速策略，用户可根据不同时段指定，分时段限速策略。同时RG-NPE50E的多出口负载均衡，可综合利用不同运营商、不同自费的线路，提升网络带宽的同时，降低

31、线路资费。4.4 防火墙根据学院对网络安全的统一规划，需要在网络出口处均部署防火墙产品进行网络安全防护，建议采用RG-WALL 1600E防火墙用在内外网间链路上作防护，从而实现对外部的攻击防御，保护内部网络的安全性。RG-WALL 1600E防火墙是面向大型园区网出口用户开发的新一代电信级高性能防火墙设备。RG-WALL 1600E可支持数十个GE接口，可以广泛应用于企业、教育、政府、医疗等行业的千兆网络环境。配合锐捷网络交换机、路由器产品，可以为用户提供完整的端到端解决方案，是大型网络出口和不同策略区域之间安全互联的理想选择。RG-WALL 1600E基于锐捷网络自主开发的RG-SecOS

32、和独创的分类算法使得它的高速性能不受策略数和会话数多少的影响。RG-WALL 1600E采用独立的安全协议栈，可以自由处理通过协议栈的网络数据，基于网络行为检测多流关联分析技术，支持对网络数据深度状态检测。同时还采用快速流检测引擎，对网络报文处理进行了革命性的改造和优化；内置专用的硬件VPN模块，支持SSL、IPsec、PPTP、L2TP VPN等多种VPN业务模式。在消除通用操作系统漏洞的前提下，完整实现了状态检测包过滤/应用代理防火墙、动态路由、入侵检测防护、病毒过滤、IPSec VPN、抗DDoS攻击、深度内容检测、带宽管理和流量控制等综合安全网关功能。4.5 主要设备选型设备类型设备型

33、号设备说明交换机RG-8610RG-S8606网管功能：SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSHv1/v2背板带宽：1638Gbps 包转发率：L2: 595MppsL3: 595MppsRG-S5750-24 GT/8SFP-E24口10/100/1000M自适应端口(支持远程PoE供电)，8个SFP光电复用口，2个扩展槽、模块化电源、2个电源插槽、包转发速率：96Mpps,交换容量:360GbpsRG-2352G背板带宽 包转发率13.2Mpps 接口数目52口 路由器RG-NPE50EMIPS多核处理器、内存:4G、flash:512M、8GE光

34、电复用接口、包转发速率6Mpps、NAT并发会话数：整机200万。防火墙RG-WALL1600E支持数十个GE接口、独创的分类算法、RG-SecOS、支持对网络数据深度状态检测、快速流检测引擎入侵检测RG-IDS2000全面检测、分布式结构、高可靠、高性能、低误报率服务器IBM服务器X3850M2标配四个Intel 四核Xeon E7420处理器(2.13GHz, 8M L3缓存)，可扩至四路处理器，标配8GB DDR2内存，0GB SAS硬盘，最大可扩充至256GB，标配1块内存板，标配2个热插拔电源,4U机架式，配置2个146GB 10K ” SAS Hot-Swap HDDIBM服务器X

35、3650M22U机架式服务器。配置一颗四核英特尔至强处理器5504 2.0GHz(4MB三级缓存，最高支持800MHz内存频率，4.8 GT/s QPI，支持超线程、TurboBoost功能), 可扩展至2个处理器。2x2GB DDR3 RDIMM内存，高达16个内存插槽(每处理器配置8个内存插槽)。4个PCI-Express二代插槽；4个x8插槽通过可选的扩展卡可转换为2个x16插槽；通过可选的扩展卡支持PCI-X。配置4个146GB热插拔SAS硬盘，共计12个2.5英寸热插拔硬盘托架。集成双千兆以太网。三年免费保修和服务。第五章 VLAN与IP规划5.1 VLAN与IP技术介绍(1) VL

36、AN技术即虚拟子网技术起始于1994/1995年的LAN交换技术，VLAN就是一个广播域，是由跨越物理LAN网段的多台终端机组成的相互可以通信的逻辑网段。划分VLAN可以基于端口、MAC地址、第三层的IP、多址广播及混合技术。(2) VLAN的划分可以提供更多的服务网络管理及性能的提高。(3) VLAN可以减少移动及改变的花费；(4) VLAN建立的虚拟工作组可以提供方便管理的可能；(5) 一种资源可以属于不同的VLAN，减少对广播的路由，防止局域的网络风暴的产生；(6) 更高的安全性，可以在局域只能够建立安全屏障，分割安全等级；(7) 高性能，低延迟，提供比路由器高得多的速率，却有更低的价格

37、； VLAN与IP划分方案部门VLAN名VLAN号VLAN IPIP网段可用范围财务部CWB10 254/24学工部XGB20254/24行政部XZB30254/24教务处JWC40254/24图书馆TSG50254/24内部服务器区NBFWQ60254/24外部服务器区WBFWQ70254/24管理GL80254/24学生区教工区教学区第六章 网络管理与安全方案6.1 网络管理方案 配置管理过程是对处于不断演化、完善过程中的 HYPERLINK :/baike.baidu /view/37.htm t _blank 软件产品的管理过程。其最终目标是实现软件产品的完整性、一致性、可控性，使产品

38、极大程度地与用户 HYPERLINK :/baike.baidu /view/195818.htm t _blank 需求相吻合。它通过控制、记录、追踪对软件的修改和每个修改生成的软件组成部件来实现对软件产品的 HYPERLINK :/baike.baidu /view/181277.htm t _blank 管理功能。性能管理是对电信设备的性能和网络单元的有效性进行评估，并提出评价报告的一组功能。包括性能测试，性能分析及性能控制。性能管理（Performance Management）性能管理指的是优化网络以及联网的应用系统性能的活动，包括对网络以及应用的监测、及时发现网络堵塞或中断情况、全

39、面的故障排除、基于事实的容量规划和有效地分配网络资源。安全管理：安装系统补丁程序(Patch) ；采用最新版本的服务方软件；设置系统日志；定期检查系统安全性；6.2 网络安全方案 GSN今天的网络安全正遭受严峻挑战。病毒、外部入侵（黑客）、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。但与此同时，大多数正在使用的网络安全系统都缺乏真正的全局防护能力。当网络受到来自各方面的攻击时，由防毒软件和防火墙等独立安全产品堆砌起来的措施不仅漏洞百出，还会处处被动挨打。可以断言：面对复杂的安全隐患，这种“各自为战”的安全系统已彻底失去效力。今天，网络安全技术与各

40、种安全隐患之间进行的是一场深入、多层次的战争。为了彻底扭转“各自为战”的被动局面，唯有用全局化、智能化的安全体系代替陈旧的安防措施。业界领先的网络设备及解决方案供应商锐捷网络率先发布了集自动防御（自御）、自动修复（自愈）与自动学习（自育）等三大自“YU”功能于一体的GSN全局安全网络解决方案。GSN强调“多兵种协同作战”，将安全结构覆盖网络传输设备（网络交换机、路由器等）和网络终端设备（用户PC、服务器等），成为一个全局化的网络安全综合体系。在此基础上，GSN不仅能够满足现阶段网络安全环境的需求，同时也为今后可能发生的安全威胁做出了准备。GSN，即 Global Security Networ

41、k，中文名称“全局安全网络”。GSN通过将用户入网强制安全、主机信息收集和健康性检查、安全事件下的网络设备联动处理集成到一个网络安全解决方案中，达到对网络安全威胁的自动防御，网络受损系统的自动修复，同时针对网络环境的变化和新的网络行为进行学习，达到对未知安全事件的防范。GSN方案由锐捷安全交换机、锐捷安全管理平台、锐捷安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素组成，能实现同一网络环境下的全局联动，使每个设备都发挥安全防护的作用。GSN由三个层面组成;后台服务层面：身份认证系统身份认证系统能够提供严格的用户接入控制，通过准确的身份认证和物理定位来确保接入用户的可靠性。用户认证

42、系统针对用户的入网，提供入网控制功能，同时，认证系统还可以实现用户帐号、用户IP、用户MAC、设备IP、设备端口的静态绑定、动态绑定以及自动绑定，保证用户入网身份唯一。安全管理平台安全管理平台是安全防御体系的管理与控制中心，是统一安全管理平台的核心组成部分。通过安全管理平台，可以对系统内的安全设备与系统安全策略进行管理，实现全系统安全策略的统一配置、分发和管理，并能有效的配置和管理全局安全设备，从而实现全局安全设备的集中管理，起到安全网管的作用。通过统一的技术方法，将系统所有的安全日志、安全事件集中收集管理，实现集中的日志分析、审计与报告。同时通过集中的分析审计，发现潜在的攻击征兆和安全发展趋

43、势，确保安全事件、事故得到及时的响应和处理。安全修复系统安全修复系统的作用是跟踪安全漏洞的变化，能够有效地进行系统补丁、病毒特征码或者用户指定应用程序补丁的管理。针对不同的安全策略，点到面自动强制分发部署补丁程序。网络层面：安全联动设备安全联动设备是校园网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。由安全管理平台提供标准的协议接口，同交换机、路由器、防火墙、IDS等各类网络设备实现安全联动。用户层面：安全客户端安全客户端是安装在个人电脑和服务器上的端点保护软件。安全客户端负责收集不同用户的安全软件的状态信息，包括对防病毒软件信息的收集。同时安全客户

44、端可以评估操作系统的版本、补丁程度等信息，并且把这些信息传递到安全管理平台，没有进行适当升级的主机将被隔离到网络修复区域，从而保障网络的安全运行。与传统的解决方案不同，安全客户端通过对用户终端设备信息的搜集，可预先识别和防止用户对网络的恶意行为，排除潜在的已知和未知的安全风险。GSN的优势：(1)提供统一、严格的用户入网身份验证机制GSN提供了统一的身份管理模式，对接入内网的用户进行身份合法性验证没有合法身份的用户被隔离在内网之外，无法登录访问网络。图（2）支持对用户名、密码、用户IP、用户MAC、交换机IP及交换机端口六元素进行灵活绑定（3）灵活的用户访问权限管理不同部门和组织的用户往往需要

45、约束不同的访问控制权限财务部门的数据服务器不允许其它部门访问访客用户不能访问所有内网资源，但允许访问外网及内网的DNSGSN提供了灵活的访问权限控制功能充分满足用户权限控制的多样化需求（4）GSN端点防护体系，检验终端无漏洞、病毒、木马后方能进入网络（5）与杀毒软件、IDS等联动通过对网络结构、网络安全风险分析，再加上黑客、病毒等安全危胁日益严重。网络安全问题的解决势在必行。针对不同安全风险必须采用相应的安全措施来解决。使网络安全达到一定的安全目标。 需求 1、物理上安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放机密信息的机房进行必要的设计，如构建屏蔽室。采用辐射干扰机，防止

46、电磁辐射泄漏机密信息。对重要的设备进行备份；对重要系统进行备份等安全保护。 2、访问控制需求 防范非法用户非法访问非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下，网络的安全主要是靠主机系统自身的安全，如用户名及口令字这些简单的控制。但对于用户名及口令的保护方式，对有攻出击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听，得到用户名及口令或者通过猜测用户及口令，这都将不是难事，而且可以说只要花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，严格控制只在合法用户才能访问合法资源。 防范合法用户非授权访问合法用户的非授权访问是指合法用户

47、在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部份信息是可以对外开放，而有些信息是要求保密或具有一定的隐私性。外部用户被允许正常访问的一定的信息，但他同时通过一些手段越权访问了别人不允许他访问的信息，因此而造成他人的信息泄密。所以，还得加密访问控制的机制，对服务及访问仅限过行严格控制。 防范假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源。既然合法用户可以访问资源。那么，入侵者便会在用户下班或关机的情况下，假冒合法用户的IP地址或用户名等资源进行非法访问。因此，必需从访问控制上做到防止假冒而过行的非法访问。 3、 加密机需求加密

48、传输是网络安全重要手段之一。信息的泄漏很多都是在链路上被搭线窃取，数据也可能因为在链路上被截获、被篡改后传输给对方，造成数据真实性、完整性得不到保证。如果利用加密设备对传输数据进行加密，使得在网上传的数据以密文传输，因为数据是密文。所以，即使，在传输过程中被截获，入侵者也读不懂，而且加密机还能通过先进行技术手段，对数据传输过程中的完整性、真实性进行鉴别。可以保证数据的保密性、完整性及可靠性。因此，必需配备加密设备对数据进行传输加密。 4、入侵检测系统需求也许有人认为，网络配了防火墙就安全了，就可以高枕无忧了。其实，这是一种错误的认识，网络安全是整体的，动态的，不是单一产品能够完全实现。防火墙是

49、实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。所以确保网络更加安全必须配备入侵检测系统，对透过防火墙的攻击进行检测并做相应反应（记录、报警、阻断）。 5、安全风险评估系统需求网络系统存在安全漏洞（如安全配置不严密等）和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。入侵者通常都是通过一些程来探测网络中系统中存在的一些安全漏洞，然后通过发现的安全漏洞，采取相就技术进行攻击，因此，必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞，并采用相应的措施填补系统

50、漏洞，对网络设备等存在的不安全配置重新进行安全配置。 6、防病毒系统需求针对防病毒危害性极大并且传播极为迅速，必须配备从客户端到网关的整套防病毒软件，实现全网的病毒安全防护。 安全管理体制健全的人的安全意识可以通过安全常识培训来提高。人的行为的约束只能通过严格的管理体制，并利用法律手段来实现。 构建CA系统由于网络系统必须采用加密措施。而加密系统通常都通过加密密钥来实现，而密钥的分发及管理的可靠性却存在安全问题，构建CA系统就是在这个基础上提出的。通过信任的第三方来确保通信双方互相交换信息。 安全目标基于以上的需求分析，我们认为网络系统可以实现以下安全目标： 保护网络系统的可用性 保护网络系统

51、服务的连续性 防范网络资源的非法访问及非授权访问防范入侵者的恶意攻击与破坏保护校园信息通过网上传输过程中的机密性、完整性防范病毒的侵害实现网络的安全管理。 网络安全实现策略及产品选型原则网络安全防范是通过安全技术、安全产品集成及安全管理来实现。其中安全产品的集成便涉及如何选择网络安全产品？在进行网络安全产品选型时，应该要求网络安全产品满足两方面的要求：一是安全产品必须符合国家有关安全管理部门的政策要求；二是安全产品的功能与性能要求。1、满足国家管理部门的政策性方面要求针对相关的安全产品必须查看其是否得到相应的许可证，如： 密码产品满足国家密码管理委员会的要求。 安全产品获得国家公安部颁发的销售

52、许可证。 安全产品获得中国信息安全产品测评认证中心的测评认证。 安全产品获得总参谋部颁发的国防通信网设备器材进网许可证。符合国家保密局有关国际联网管理规定以及涉密网审批管理规定。2、安全产品的选型原则从安全产品自来选择必须考虑产品功能、性能、运行稳定性以及扩展性，并且对安全产品，还必须考查其产品自身的安全性。 网络安全方案设计原则在进行网络系统安全方案设计、规划时，应遵循以下原则：1、需求、风险、代价平衡分析的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，

53、然后制定规范和措施，确定系统的安全策略。2、综合性、整体性原则应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性

54、原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。3、一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期(或生命周期)同时存在，制定的安全体系结构必须与网络的安全需求相一致。安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等，都要有安全的内容及措施。实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也少得多。4、易操作性原则安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。5、适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变

55、化而变化，要容易适应、容易修改和升级。6、多重保护原则任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。7、可评价性原则如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。网络安全是整体的、动态的。网络安全的整体性是指一个安全系统的建立，即包括采用相应的安全设备，又包括相应的管理手段。安全设备不是指单一的某种安全设备，而是指几种安全设备的综合。网络安全的动态性是指，网络安全是随着环境、时间的变化而变化的，在一定环境下是安全的系统，环境发生变化了（如更换了某个

56、机器），原来安全的系统就变的不安全了；在一段时间里安全的系统，时间发生变化了（如今天是安全的系统，可能因为黑客发现了某种系统的漏洞，明天就会变的不安全了），原来的系统就会变的不安全。所以，建立网络安全系统不是一劳永逸的事情。针对安全体系的特性，我们可以采用统一规划、分步实施的原则。具体而言，我们可以先对网络做一个比较全面的安全体系规划，然后，根据我们网络的实际应用状况，先建立一个基础的安全防护体系，保证基本的、应有的安全性。随着今后应用的种类和复杂程度的增加，再在原来基础防护体系之上，建立增强的安全防护体系。对于学校行业网络安全体系的建立，我们建议采取以上的原则，先对整个网络进行整体的安全规划

57、，然后，根据实际状况建立一个从防护-检测-响应的基础的安全防护体系，提高整个网络基础的安全性，保证应用系统的安全性。 网络安全体系结构通过对网络应用的全面了解，按照安全风险、需求分析结果、安全策略以及网络的安全目标。具体的安全控制系统可以从以下几个方面分述: 物理安全、系统安全、网络安全、应用安全、管理安全。1、物理安全保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面： 对系统所在环境的安全保护，如区域保护和灾难保护；（参见国

58、家标准GB5017393电子计算机机房设计规范、国标GB288789计算站场地技术条件、GB936188计算站场地安全要求 设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份；通过严格管理及提高员工的整体安全意识来实现。1.3 媒体安全包括媒体数据的安全及媒体本身的安全。显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的

59、危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时都将成为首要设置的条件。正常的防范措施主要在三个方面：对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、 线、空调、消防控制线，以及通风、波导，门的关起等。对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采光缆传输的方式，大多

60、数均在Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。对终端设备辐射的防范。终端机尤其是CRT显示器，由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取，个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，这种方法虽降低了部份屏蔽效能，但可大大改善工作环境，使人感到在普通机房内一样工作。2、系统安全2.1 网络结构安全网络结构的安全主要指，网络拓扑结构是否合理；线路是否有冗余；路由是否冗余，防止单点失败等。工行网络在设