XXXX市政府电子政务网络

1、XXXX市市行政中心心电子政务务网络系统解解决方案华为3Coom技术有有限公司2005年年 1 月目 录TOC o 1-3 h z u HYPERLINK l _Toc93053907 第一章 用用户需求分分析 PAGEREF _Toc93053907 h 1 HYPERLINK l _Toc93053908 1.1 项项目概述 PAGEREF _Toc93053908 h 1 HYPERLINK l _Toc9330539909 1.2 需求分析析 PAGEREF _Toc93053909 h 1 HYPERLINK l _Toc93053910 第二章 组组网方案 PAGEREF _Toc

2、93053910 h 3 HYPERLINK l _Toc93053911 2.1 政政务网网络络结构 PAGEREF _Toc93053911 h 3 HYPERLINK l _Toc93053912 2.2 内内外网的逻逻辑隔离 PAGEREF _Toc93053912 h 5 HYPERLINK l _Toc93053913 2.3 政政务网安全全 PAGEREF _Toc93053913 h 5 HYPERLINK l _Toc93053914 第三章 网网络平台安安全设计 PAGEREF _Toc93053914 h 10 HYPERLINK l _Toc93053915 3.1 网

3、网络互联互互通分析及及安全控制制 PAGEREF _Toc93053915 h 10 HYPERLINK l _Toc93053916 3.1.11 二层互互通分析及及控制 PAGEREF _Toc93053916 h 10 HYPERLINK l _Toc93053917 3.1.22 三层互互通分析及及控制 PAGEREF _Toc93053917 h 10 HYPERLINK l _Toc93053918 3.2 设设备自身的的安全防护护技术 PAGEREF _Toc93053918 h 11 HYPERLINK l _Toc93053919 3.2.11 口令管管理 PAGEREF _

4、Toc93053919 h 11 HYPERLINK l _Toc93053920 3.2.22 控制对对设备的访访问 PAGEREF _Toc93053920 h 11 HYPERLINK l _Toc93053921 第四章 网网络规划建建议 PAGEREF _Toc93053921 h 14 HYPERLINK l _Toc93053922 4.1 IIP地址规规划 PAGEREF _Toc93053922 h 14 HYPERLINK l _Toc93053923 4.2 VVLAN设设计 PAGEREF _Toc93053923 h 15 HYPERLINK l _Toc930539

5、24 4.3 路路由策略 PAGEREF _Toc93053924 h 16 HYPERLINK l _Toc93053925 4.4 QQoS设计计 PAGEREF _Toc93053925 h 19 HYPERLINK l _Toc93053926 4.4.11 主要的的QOS服务务模型 PAGEREF _Toc93053926 h 19 HYPERLINK l _Toc93053927 4.4.22 QOSS策略 PAGEREF _Toc93053927 h 20 HYPERLINK l _Toc93053928 第五章 网网络管理 PAGEREF _Toc93053928 h 24 H

6、YPERLINK l _Toc93053929 5.1 网网络管理需需求 PAGEREF _Toc93053929 h 24 HYPERLINK l _Toc93053930 5.2 网网络管理平平台设计 PAGEREF _Toc93053930 h 24 HYPERLINK l _Toc93053931 5.2.11 网络集集中监视 PAGEREF _Toc93053931 h 24 HYPERLINK l _Toc93053932 5.2.22 故障管管理 PAGEREF _Toc93053932 h 25 HYPERLINK l _Toc93053933 5.2.33 流量性性能监控 P

7、AGEREF _Toc93053933 h 25 HYPERLINK l _Toc93053934 5.2.44 故障定定位与地址址反查 PAGEREF _Toc93053934 h 26 HYPERLINK l _Toc93053935 5.2.55 Webb特性 PAGEREF _Toc93053935 h 26 HYPERLINK l _Toc93053936 附录：组网网设备介绍绍 PAGEREF _Toc93053936 h 28 HYPERLINK l _Toc93053937 Quidwway S85000系列万万兆核心路路由交换机机 PAGEREF _Toc93053937 h

8、 28 HYPERLINK l _Toc93053938 Quidwway S55116 千兆兆智能三层层交换机 PAGEREF _Toc93053938 h 34 HYPERLINK l _Toc93053939 Quidwway S30000系列列智能二层层交换机 PAGEREF _Toc93053939 h 36 HYPERLINK l _Toc93053940 Quidvview网络管理理系统 PAGEREF _Toc93053940 h 44 XXXX市行政中心电子政务网络系统解决方案 PAGE 56第一章 用用户需求分分析1.1 项项目概述XXXX市市电子政务务网络作为为XXXXX

9、市机关的工作作中心，需需要建立一一个技术先先进、扩展展性强、能能覆盖所有有功能区域域的计算机机网络系统统。本次工工程旨在建建成连接XXXXX市市行政中心心各种PCC机及服务务器系统的的高速宽带带政务网络络系统，提提供数据的的统一网络络平台，全全面满足政政府办公需需要；统一一标准建立立政府公文文电子信息息资源库，实实现公文等等信息的充充分共享和和广泛使用用；建立公公共信息平平台，在网网上提供方方便、快捷捷、透明的的“一站式”电子政务务服务。参照国家电电子政务的的有关规定定以及XXXXX市电电子政务网网络的实际际情况，XXXXX市市电子政务务网络的网网络系统将将分为政务务内网和政务务外网，内网是业

10、务务应用系统统运行的网网络平台和和办公业务务系统，外网与因因特网互联联，为社会会公众提供供电子化、网络化服服务。XXXXX市电电子政务网网络的的内内、外网分分别与XXXXX市电电子政务内内网和公众众互联网互互联，采用一张张物理网络络，内外网网逻辑隔离离。1.2 需需求分析XXXX市市电子政务务网络是为为XXXXX市政府、人大和政政协的办公公自动化，上上、下级机机关，国内内外信息互互联等建立立的信息传输通通道。网络络宜采用先先进的千兆兆以太网组组网方式，并并具有进一一步扩展到到万兆的能能力。具备备与外部广广域网的多多种连接方方式，可与与外部实现现方便、快快捷的连接接，实现IInterrnet接接

11、入等互联联方式，为为办公自动动化、国内内外信息互互联、信息息服务等，提提供资源共共享、信息息共享。本次方案主主要是满足足XXXXX市电子政政务网络用用户的内网网、外网业业务的需求求。整个行行政中心分分为主楼和和东西两栋栋辅楼，主主楼为一栋栋地上155层，地下下1层的办公公大楼，辅辅楼为6层层的办公楼楼。网络信信息中心位位于行政中中心主楼33层西南侧，主主楼2115层每层层设计2个个分设备间间，分别位位于每层的的西北角和和东北角，两两侧人大和和政协办公公楼各设一一个分设备备间作为二二级分中心心，其余的的周边单体体建筑若需需建设综合合布线系统统时，均各各设一个分分设备间作作为二级分分中心，管管理本

12、楼的的信息点。根据楼层层的信息点点分布情况况配置配线线间数量，每每个配线间间根据端口口需求配置置一定数量量的交换机机。本着“可扩扩展万兆，部署千兆骨干、百兆到桌面”的建网思路，工程将建设一个高可靠、高性能、可扩展的信息网。第二章 组组网方案根据政务网网络设计思思想及其应应用需求，鉴鉴于各部门门的信息安安全等特殊殊要求性，在在总体的设设计上采用用网络与业业务分层建建设，逐层层保护的指指导原则，利利用宽带IIP技术，保保证网络的的互联互通通，提供具具有一定的的QOS保保障，建成成的网络以以IP为主主流技术。2.1 政政务网网络络结构本次组网主主要设计是是行政中心心大楼各部部门信息网网的建设，不包含

13、局域网出口及出口安全等，局域网内将实现千兆到骨干，百兆到桌面。由于整个楼群包含主楼和东西辅楼共三栋楼宇，且主楼和东西辅楼基本按职能划分为政府，人大和政协。因此，建议在主楼配置核心路由交换机，采用华为3Com公司核心路由交换机Quidway S8505一台，在辅楼的楼宇分中心配置华为3Com公司汇聚路由交换机Quidway S5516各一台，所有楼宇的接入交换机采用华为3Com公司S3000系列智能接入交换机，S3000系列下联的用户按照各自所属的部门和内外网信息点划分到不同的VLAN（虚拟局域网络），通过汇聚路由交换机和核心交换机共同控制VLAN间的访问，实现内外网的逻辑隔离。具体的组网网如下

14、：图 网络拓拓扑图全网核心为为三台高性性能路由交交换机，主主楼由于信信息点数较较多，配置置S85005核心路路由交换机机作为全网网的核心，在在辅楼配置置S55116作为辅辅楼的分中中心，实现现人大和政政协的相对对独立规划划。核心和和分中心交交换机间通通过双千兆兆互连，即即可增加核核心交换机机间带宽，又又可提高端端口链路的的可靠性，保保证在一条条端口链路路失效的情情况下核心心间仍可转转发数据。接入层采用用华为3CCom公司司的智能型型二层交换换机S30000系列列，根据接接入点的具具体信息点点数堆叠，每每个S30026C提提供24个个10/1100M自自适应的以以太网口，22个可扩展展插槽，支支

15、持1000M/10000M单单模、多模模光口，SS30500C提供448个100/1000M自适应应的以太网网口，2个个可扩展插插槽，支持持100MM/10000M单模模、多模光光口，根据据具体情况况选配模块块，具有较较大的组网网灵活性。所有各层配配线间的SS30266C通过千千兆以太网网光口上联联至各自的的核心路由由交换机的的千兆以太太网光口上上,实现业业务的汇聚聚和集中处处理。同时在内网网核心节点点可考虑另另配置政务务OA/DDHCP服服务器一台台，以完成成内部办公公网络的IIP地址的的分配和电电子政务系系统的承载载。另根据据实际应用用需求可以以增配文件件服务器等等配套服务务器。2.2 内

16、内外网的逻逻辑隔离在XXXXX市行政中中心电子政政务网路中中，采用的的是一张电电子政务网网络，通过过逻辑隔离离的方式实实现内外网网的隔离和和访问控制制。目前，在在以太局域域网逻辑隔隔离的方式式指的是VVLANACL的的方式，下下面就这种种方式加以以说明。VLAN（Virttual Locaal Arrea NNetwoork，虚虚拟局域网网）是将一组组位于不同同物理网段段上的用户户在逻辑上上划分成一一个局域网网内，在功功能和操作作上与传统统LAN基本本相同，可可以提供一一定范围内内终端系统统的互联。VLANN可将广播播帧限制在在一个VLLAN中，即VLAN之间二层隔离，必须通过IP层（三层）才

17、能互通。所以通过VLAN 可以提供一定的业务隔离能力，而这种隔离的设置在于ACL（Access Control List，访问控制列表）。前面提到，在在网络中划划分VLAAN后需要要三层设备备才能实现现VLANN间相互通通讯，且这这种通讯能能力是网络络中配置三三层设备后后默认具有有的能力。为了实现现不同网段段间的隔离离，需要使使用访问控控制列表控控制那些网网段可以相相互访问，那那些不可以以。访问控制列列表可以包包括：基本本访问表和和扩展访问问表。基本本访问表控控制基于网网络地址的的信息流，且且只允许过过滤源地址址。扩展访访问表通过过网络地址址和上层应应用数据。在XXXXX电子政务务网络中，可可

18、以对局域域网交换机机的端口细细分，确定定那些端口口接入的PPC是内网网的用户，那那些端口的的用户是外外网的用户户，从而将将不同的端端口划分入入不同的网网段，这种种划分的方方式还可以以延伸加入入接入PCC属于哪个个部门。确确定不同的的网段后，在在三层设备备上通过AACL实现现基于源地地址的控制制，从而保保证不同网网段间接入入的PC是是否可以互互通和访问问，进而做做到逻辑隔隔离。采用VLAANACCL方式实实现简单，对设备的要求也较低，并且具有成熟的国际标准。2.3 政政务网安全全随着以太网网应用的日日益普及，以以太网的安安全为日益益迫切的需需求。以太太网交换机机作为政府府部门网络络内部的网网络之

19、间通通信的关键键设备，有有必要在政政务网内部部提供充分分的安全保保护功能。用户身份验验证传统的以太太网是一个个开放的网网络，所有有的用户只只要接入到到交换机上上的物理端端口就可以以访问网络络的资源，没没有一个逻逻辑上的身身份校验的的过程，这这种不经身身份验证的的网络存在在一定的风风险。用户户接入控制制的目的是是保证接入入政务网的用用户是合法法的或通过过某个以太太网交换机机端口接入入内网局域域网的用户户是预先配配置的。华华为3Coom可提供供完善的接接入认证解解决方案，可可提供的用用户验证包包括PPPPoE验证证、WEBB验证、8802.11X端口验验证等等。针对XXXXX市行政政中心的电电子政

20、务，我我们推荐采采用8022.1X的的用户身份份验证方式式。802.11X用户身身份验证方方式下，需需要在每台台电脑上安安装一个客客户端软件件，用于输输入用户名名和密码。当用户需需要使用网网络时，必必须先输入入用户名和和密码，只只有经过系系统校验合合法的用户户才能接入入网络。用用户输入一一次用户名名和密码信信息，校验验合格后则则可任意访访问网络。在XXXXX行政中心心电子政务务网络中，可可以根据实实际情况，考考虑到主要要领导的多多为独立办办公，外人人不便于接接入网络，因因此可以考考虑对主要要领导的接接入信息点点不做认证证要求，即即领导的办办公室不用用输入用户户名和密码码等信息即即可访问网网络，

21、领导导办公的接接入安全可可采用绑定定MAC地地址的方式式实现。而普通公公务员的信信息点则开开通8022.1X功功能，要求求输入合法法的信息后后才可访问问网络。作为8022.1X接接入认证，需需要配置一一台认证服服务器，用用于完成用用户的信息息管理和用用户自助管管理。访问控制在局域网内内的访问控控制的原则则是只允许许授权的用用户访问某某个主机，通通过网络设设备来提供供这种保障障。访问控控制包括对对交换机的的访问控制制、基于IIP 地址址的访问控控制、基于于MAC 地址的访访问控制、基于端口口的访问的的控制、基基于VLAAN的访问问控制。XXXX市市电子政务务网的数据库库、服务器器等资源是是受限访

22、问问的。一般般一个部门门内的用户户的权限是是相同的，可可以将这些些用户划分分在一个VVLAN内内，只要设设置基于VVLAN的的报文过滤滤策略就可可以实现对对这个VLLAN内所所有的用户户的报文过过滤。这样样可以看出出基于VLLAN 的的报文过滤滤是最简单单实用的某某个用户群群的访问控控制策略。可以设定定Quiddway S 系列列以太网交交换机端口口禁止或允允许转发来来自或去往往某个VLLAN的报报文。Quidwway SS系列以太太网交换机机支持标准准及扩展的的ACL。可以通过过标准的AACL只设设定一个简简单的地址址范围，也也可以使用用扩展的AACL 设设定具体到到协议、源源地址范围围、目

23、的地地址范围、源端口范范围以及优优先级与服服务类型等等。这样可可以实现复复杂的访问问控制策略略。如果有些主主机和内部部应用服务务器在晚上上是要关闭闭的，不接接受访问，我我们可以在在核心交换换机上设置置在特定的的时间段起起作用的访访问控制列列表ACLL，比如可可以设置每每周一的 8:000 至 221:000 此ACCL 起作作用，还可可以具体到到某年某月月某日至某某年某月某某日此ACCL 作用用。对于一些和和以太网交交换机相连连接的特殊殊设备，只只允许接受受和发送到到某个以太太网交换机机端口的报报文，以保保证该设备备的安全。Quiddway S 系列列以太网交交换机支持持基于端口口进行过滤滤，

24、可以设设定禁止或或允许转发发来自或去去往某个端端口的报文文。Quidwway SS 系列以以太网交换换机支持基基于MACC 地址进进行帧过滤滤。如某些些政府单位位召开各部部门的领导导群组开会会，可以设设定和领导导群组相连连的交换机机端口允许许转发来自自或去往领领导的计算算机MACC地址的帧帧，禁止和和普通员工工相连的交交换机端口口转发来自自或去往领领导计算机机MAC地地址的帧。Quidwway系列列以太网交交换机、路路由器实现现了完善的的包过滤，不不仅可以过过滤有安全全隐患的以以太网帧，还还可以过滤滤IP 包包。在内网网内可以实实现对某些些应用进行行过滤，比比如禁止HHTTP / FTTP报文

25、等等。我们可可以配置网网络设备端端口的输入入帧的前880字节范范围内的664字节任任意域设置置过滤规则则。对于政务网网中一些关关键的地方方，可以对对符合条件件的报文或或帧做日志志，记录报报文或帧的的相关信息息。Quiidwayy S系列列以太网交交换机支持持日志功能能并提供了了机制保证证在有大量量相同的触触发日志的的情况下不不会消耗过过多的资源源。端口绑定为了加强对对接入用户户的控制和和限制，防防止用户地地址被假冒冒，Quiidwayy 系列以以太网交换换机支持 4 种地地址安全技技术：MAAC 地址址固定、限限制MACC地址的个个数、端口口和MACC 地址绑绑定、IPP地址MMAC地址址VL

26、AAN IDD 绑定。Quidwway SS 系列以以太网交换换机支持设设置以太网网交换机端端口的MAAC 地址址学习状态态。对于安安全要求较较高又有移移动办公需需求的固定定计算机设设备的办公公区和的办办公区。可可以关闭该该区以太网网交换端口口的MACC地址学习习状态，这这样该端口口上只能通通过认识的的MAC地地址，来自自其它陌生生的MACC 地址的的报文被丢丢弃。支持端口和和MAC 地址的绑绑定方式。通过在端端口上配置置静态MAAC 地址址，并禁止止该端口进进行地址学学习，从而而限定在该该端口上允允许通过的的MAC 地址，来来自其它MMAC 地地址的报文文被丢弃。这可以应应用于接入入政务网的

27、的系统主机机的MACC 地址是是固定的，且且接入政务务网的端口口较固定的的情况，如如内网的机机要系统。支持IP 地址、MMAC地址址和VLAAN IDD的相关绑绑定。可以以有效的防防止IP 地址仿冒冒和MACC地址仿冒冒，还可以以有效控制制相同VLLAN 下下的用户数数目。在一一些MACC 地址、IP 地地址、VLLAN IID固定的的部门，可可以在部门门以太网交交换机端口口上配置IIP 地址址MACC 地址VLANN ID 的认证。政务网只允允许会议电电视系统相相连接的以以太网交换换机端口支支持广播报报文转发，一一般的以太太网交换机机端口上关关闭广播报报文转发开开关，禁止止目的地址址为广播地

28、地址的报文文从该端口口转发，以以防止Smmurf 攻击。入侵检测与与防范政务网的局局域网有可可能受到入入侵流量攻攻击，对于于一些连接接关键部门门的端口，特特别是连接接广域网设设备的端口口（上联政政务内网横横线网的端端口）和财财务部门、领导部门门的端口，可可以将以太太网交换机机连接协议议分析仪，通通过报文镜镜象、报文文统计来监监控端口流流量和统计计某个应用用流的流量量。Quiidwayy 系列以以太网交换换机支持端端口镜象和和流镜象，通通过基于AACL 的的报文包数数和字节数数统计，从从而了解网网络的运行行状况，发发现网络设设备是否受受到入侵攻攻击。华为3Coom公司提提供图形化化的Tafffi

29、cVView 流量监控控软件（已已包含在专专业版Quuidviiew网管管系统中），可以监控多个设备，用户可以自行添加、删除所要检测的设备，非常方便。内网拥有Web服务器的情况下，可以在安装TrafficView时选择将监测设备的生成的数据（含有流量图形的页面和数据记录）放置在web服务器的目录下，网络管理员可以通过政务内网上任意一台计算机来查看设备流量图形和数据报表。当发现存在在大流量的的报文攻击击时，最常常用的方法法是限制到到达被攻击击目的地址址的报文流流量，超过过流量范围围的报文被被Quiddway S系列以以太网交换换机丢弃。可以对匹匹配规则的的报文实施施平均流量量限制和突突发流量限限

30、制，还可可以分时段段流量限制制。网络设备的的安全管理理Quidwway 系系列设备提提供对多种种系统信息息的记录功功能。如在在配置ACCL 时加加入LOGG 关键字字，这样可可以在交换换机处理相相应的报文文时记录报报文的关键键信息；还还可以对关关键事件进进行记录；对DEBBUG 信信息进行记记录，用于于分析网络络运行出现现的问题。Quidwway 系系列设备支支持对各监监控信息设设置重要性性程度；配配置各监控控信息的输输出设备，包包括配置终终端、Coonsolle 口、内部缓冲冲区、日志志主机等。通过分析析这些信息息，可以对对网络进行行运行维护护和管理。因为越来越越高的网络络安全性要要求，为了

31、了设定各种种功能下的的安全策略略，使得交交换机的安安全配置越越来越复杂杂，虽然华华为网络管管理软件的的图形化配配置方式可可以减轻命命令行方式式的缺点，但但远远不够够。Quiidwayy 系列以以太网交换换机实现策策略分析和和管理，以以简化用户户的使用，保保证网络的的安全性。接入终端设设备的安全全由于局域网网内部的有有些计算机机既要访问问内网，又又要访问外外网，这就就出现了当当计算机从从内网切换换到外网时时，如何防防止政务内内网中信息息泄露的问问题，我们们提供了如如下几套方方案供参考考：方案一：按按照访问IInterrnet的的迫切性和和政府职能能的级别进进行规划，给给重要领导导和机要人人员配置

32、两两台计算机机，一台用用于访问政政务内网，一一台用于访访问政务外外网。方案二：对对重要领导导和机要人人员依旧采采用配置两两台计算机机的方式，对对于其它的的计算机则则采用在计计算机中配配置双硬盘盘，一块硬硬盘用于连连接政务内内网，另一一块硬盘则则用于连接接政务外网网。采用双双硬盘可以以保证，每每次政务内内外网进行行切换时，计计算机都需需要进行重重启，这样样就使得驻驻留在内存存中的一些些资料可以以得到彻底底清除，从从而保证政政务内网的的信息不被被泄露。方案三：对对重要领导导和机要人人员依旧采采用配置两两台计算机机的方式，对对于其它的的计算机则则采用在计计算机中配配置双网卡卡，一块网网卡用于连连接政

33、务内内网，另一一块网卡则则用于连接接政务外网网，两网的的切换只需需要在操作作系统中进进行相应的的禁止操作作即可。这这样可以保保证切换速速度。以上三种方方案具体选选用那一种种可根据实实际情况选选用，也可可以采用双双机、双硬硬盘和双网网卡混用的的方式来组组网。第三章 网网络平台安安全设计网络平台的的安全需要要从多方面面保证，包包括设备管管理安全，访访问安全，路路由安全，设设备安全等等，针对XXXXX市市行政中心心网络系统，我们们建议从以以下几个方方面实施及及考虑安全全策略。3.1 网网络互联互互通分析及及安全控制制3.1.11 二层互互通分析及及控制在XXXXX市行政中中心内外网中，如如果两个内内

34、部客户机机之间二层能能够互通（处处于同一网网段），那那么两者之之间的三层层互通是直直接的，不不需要经过过核心路由由交换机的的三层交换换功能。因因此，核心心路由交换换机的三层层访问控制制策略不能能生效，在在没有任何何安全措施施的情况下下，各种攻攻击方法都都可以使用用。因此，从保保护内部各各客户机的的角度出发发，建议对对不同部门门和类型的的客户机在在二层完全全隔离。一一般隔离采用的的方法是：VLANN（虚拟局局域网络）。3.1.22 三层互互通分析及及控制采用VLAAN在二层层隔离了两两个内部客客户，他们们只在三层层互通，这这时核心路路由交换机机的三层访访问控制策策略就可以以生效了。因此，目目前有

35、两个个安全措施施：VLAAN、三层层访问控制制策略。它们配合合可实现：内部服务器器隔离(例如：三三层访问控控制策略)；设备安全技技术(例如：验验证、授权权)和防火墙墙技术；二层完全隔隔离(例如：VLLAN)；二层完全隔隔离(例如：VLLAN)三层隔离离(例如：三三层防火墙墙)；设备安全技技术；带宽管理。3.2 设设备自身的的安全防护护技术3.2.11 口令管管理为防止对系系统中网络络设备未经经授权的访访问，系统统必须具有有完善的密密码管理功功能。虽然然几乎所有有数据通信信设备都具具有RADDIUS或或TACAACS认证证服务器进进行口令管管理的能力力，但在设设备本地进进行密码分分配和管理理仍是

36、设备备本身应具具有的安全全特性。这这里只描述述本地密码码管理，主主要是口令令的密文显显示。在本地存储储访问权限限验证信息息的情况下下，若系统统的配置文文件以文本本方式进行行保存，则则在配置文文件中，所所有的口令令都必须以以密文方式式显示和保保存。3.2.22 控制对对设备的访访问控制台访问问：控制台是设设备提供的的最基本的的配置方式式。控制台台拥有对设设备最高配配置权限，对对控制台访访问方式的的权限管理理应拥有最最严格的方方式。1.用户户登录验证证对从设备CCONSOOLE口进进行访问配配置的用户户必需具有有身份认证证的能力，可可以通过本本地用户验验证或RAADIUSS验证实现现。2.控制制台

37、超时注注销控制台访问问用户超过过一段时间间对设备没没有交互操操作，设备备将自动注注销本次控控制台配置置任务。超超时时间必必须可配置置，缺省为为10分钟。3.使能能/禁止用户户通过控制制台对设备备进行访问问通过禁止控控制台数据据收发，禁禁止用户直直接通过异异步线路进进行配置。这样，即即使非法用用户占领了了控制台，通通过重启设设备清除了了控制台访访问口令，也也无法通过过控制台对对设备进行行非法配置置。4.控制制台终端锁锁定配置用户离离开配置现现场，设备备应提供暂暂时锁定终终端的能力力，并设置置解锁口令令。TELNEET访问1.缺省省要求身份份验证对于非控制制台的其它它一切配置置手段，必必须要求设设

38、备配置身身份验证，如如果设备未未配，将拒拒绝登录。2.用户户登录验证证3.终端端超时退出出当telnnet连接接未交互超超过一定时时间时，将将断开本次次telnnet连接接。 超时时间间必须可配配置，缺省省为10分钟5. 使使能/禁止用户户通过teelnett方式对设设备进行访访问6. ttelneet访问的的限入限出出限制哪些用用户可以通通过tellnet客客户端对设设备进行访访问；限制设备通通过tellnet客客户端程序序对那些目目标主机进进行访问。7.teelnett终端锁定定SNMP访访问SNMP是是一种使用用非常广泛泛的协议，主主要用于设设备的监控控和配置的的更改。SSNMP协协议自

39、身有有安全性保保障，同时时SNMPP Ageent还应应该具备对对网管站的的访问进行行限制的能能力。需特别指出出：SNMMP的网管管站通常有有大量的关关于验证信信息的数据据库，例如如团体名。这些信息息可以提供供访问许多多路由器或或者其他网网络设备的的途径。这这使得网管管站成为许许多攻击的的目标，因因此，必须须要保证网网管站的安安全。1.SNNMPv11的安全性性SNMPVV1使用的的验证方式式是基于团团体名字符符串的验证证机制，SSNMPvv1的验证证非常弱：1)它使用用明文作为为验证字。2)大部分分的SNMMP操作重重复使用该该字符串作作为周期性性轮流检测测的一部分分。如果必须使使用SNMM

40、PV1，应应当注意如如下事项，以以避免安全全隐患：1)最好不不要使用常常用的ppubliic和priivatee作为团团体名；2)对每个个设备使用用不同的团团体名，或或者至少是是对网络上上的每个区区域使用不不同的团体体名。3)不要使使只读的团团体名和读读写的团体体名一致。如果可能能，应该实实现使用只只读的团体体名进行周周期性的轮轮流检测。读写的团团体名应该该仅仅用于于当前的写写操作。2.SNNMPv22的安全性性SNMP的的后序版本本SNMPPv2进行行了改进，它它支持基于于MD5的验验证方案，并并且允许对对访问的管管理数据进进行存取上上的限制。SNMPPv2基本本上是一个个过渡版本本，有多个

41、个版本，尽尽管也考虑虑了协议自自身的安全全性，但是是技术上并并不成熟，安安全性仍比比较弱。尤尤其要注意意的是，目目前常用的的SNMPPv2c，没没有增加安安全特性，其其安全能力力与SNMMPv1相相同。3.SNNMPv33的安全性性SNMPvv3对协议议的安全性性给出了全全面的解决决方案。SNMPvv3继承了了SNMPPv2u的的很多优点点，并且从从系统的角角度进行了了优化。它它提供了一一个SNMMP NMMS和AGENNT的完整整的系统框框架。从安安全角度来来讲，SNNMPv33使用了基基于用户的的安全模式式（USMM）和基于于视图的访访问控制模模式（VAACM）。USM使用用MD5或者者S

42、HA对报报文进行验验证，使用用DES对报报文进行加加密。这样样保证了数数据的完整整性和正确确性。VAACM则对对当前用户户的访问权权限进行检检查，看当当前用户是是否可以对对管理数据据进行操作作。关于UUSM和VACMM的详细介介绍可以参参见RFCC25744和RFC22575。华为3Coom的设备备均支持SSNMPvv1/v22/v3。第四章 网网络规划建建议4.1 IIP地址规规划IP地址的的合理规划划是网络设设计中的重重要一环，计计算机网络络必须对IIP地址进进行统一规规划并得到到实施。IIP地址规规划的好坏坏，影响到到网络路由由协议算法法的效率，影影响到网络络的性能，影影响到网络络的扩展

43、，影影响到网络络的管理，也也必将直接接影响到网网络应用的的进一步发发展。IP地址空空间分配，要要与网络拓拓扑层次结结构相适应应，既要有有效地利用用地址空间间，又要体体现出网络络的可扩展展性和灵活活性，同时时能满足路路由协议的的要求，以以便于网络络中的路由由聚类，减减少路由器器中路由表表的长度，减减少对路由由器CPUU、内存的的消耗，提提高路由算算法的效率率，加快路路由变化的的收敛速度度，同时还还要考虑到到网络地址址的可管理理性。具体体分配时要要遵循以下下原则：唯一性：一一个IP网络中中不能有两两个主机采采用相同的的IP地址；简单性：地地址分配应应简单易于于管理，降降低网络扩扩展的复杂杂性，简化

44、化路由表项项连续性：连连续地址在在层次结构构网络中易易于进行路路径叠合，大大大缩减路路由表，提提高路由算算法的效率率可扩展性：地址分配配在每一层层次上都要要留有余量量，在网络络规模扩展展时能保证证地址的连连续性灵活性：地地址分配应应具有灵活活性，以满满足多种路路由策略的的优化，充充分利用地地址空间。主流的IPP地址规划划方案分为为纯公网地地址、纯私私网地址和和混合网络络地址三种种。当网络以私私网地址分分配或采用用混合网络络地址接入入时，网络络应提供地地址变换功功能，过滤滤掉私网地地址。根据本次项项目的实际际情况，IIP地址的的具体规划划需参照信信息主管部部门的规范范，若规范范尚未制定定，可灵活

45、活选择IPP地址。建建议选用AA类私网（10.2255.2255.2254）地地址，为未未来提供足足够的IPP地址空间间。具体的的IP地址址规划内容容可在技术术联系会上上确定，但但应遵循上上述的原则则。4.2 VVLAN设设计VLAN可可以实现将将连接在同同一个物理理网络上面面的主机分分组，使它它们看起来来就象连接接在不同的的网络上一一样。可以以通过VLLAN为网网络分段，各各个网段可可以共用同同一套网络络设备，节节约了网络络硬件的开开销，同时时在迁移中中所需的工工作量也大大幅度降低低了，从而而降低了连连网成本。在大型局局域网络组组建中，VVLAN技技术是不可可缺少的关关键技

46、术，科科学的VLLAN设计计可以为局局域网络带带来一系列列的优点：在同一个物物理网络实实现第二层层工作组划划分，实现现不同工作作组之间第第二层的完完全隔离，同同时，组员员可以处在在物理网络络中的任何何位置，不不受同一台台设备限制制；隔离广播，提提高效率，避避免不相关关的广播帧帧在全网扩扩散，浪费费有效带宽宽资源；在局域网系系统中，建建议基于IIEEE 802.1Q标准准实现VLLAN，在在分行VLLAN设计计中，使用用VLANN技术达到到两个目的的，第一，不不同业务部部门之间的的隔离和通通信控制；第二，广广播范围抑抑制。VLAN的的划分可以以依据内外外网用户和和不同的业业务部门以以及用户所所处

47、网络的的物理结构构进行，后后者主要是是从网络性性能角度出出发，而前前者还同时时兼顾了网网络安全性性可控性的的需要。从广播控制制角度出发发，为了保保障网络的的高可用和和高性能，按按照惯例原原则，我们们在进行具具体VLAAN规划时时，同一个个广播域内内（一个VVLAN）的的通信主机机一般不超超过50台台，最好控控制在300台以内，对对于主机数数量超过550的业务务部门，我我们通过二二层隔离，三三层交换的的方式来解解决。作为特殊 VLANN 的典型型，建议保保留VLAAN1作为为管理VLLAN，管管理VLAAN覆盖到到全网的每每一台交换换机，但在在第三层接接口上，需需要通过控控制列表与与其他业务务V

48、LANN进行有效效的隔离。网管工作作站建议另另外设置一一个VLAAN，例如如VLANN ID=40000，VLAAN40000与VLLAN1在在第三层上上相通，同同时，保证证只有部分分业务VLLAN可以以访问VLLAN40000，从从而实现网网管的分布布式监控布布局。VLLAN1和和VLANN40000的第三层层路由接口口处设置访访问控制列列表，只有有特定的主主机或者只只有网管VVLAN可可以直接访访问每一台台设备，其其他均在过过滤之列。华为QuiidVieew综合网网管系统提提供非常快快捷的VLLAN批量量设置和修修改工具，只只需要通过过图形化界界面对具体体端口标识识选取或者者非选取，就就能

49、轻松设设置其VLLAN归属属。网络的VLLAN规划划，在明确确其网络资资源访问权权限分配的的具体要求求后，我们们可对网络络具体划分分不同的权权限、VLLAN等其其它的安全全策略。4.3 路路由策略在不同的VVLAN间间要实现互互通必须提提供路由，路路由的产生生可以由管管理员指定定，或者由由路由器运运行动态路路由协议而而产生。由管理员指指定的路由由称为静态态路由，它它是由管理理员手工设设置每一个个路由器，它它的优点是是不占用网网络的资源源，没有路路由更新信信息所占用用的网络开开销，缺点点是网络中中的管理员员要对每一一条路由都都非常清晰晰地了解，当当一个网络络变得规模模很大时，系系统设置很很困难。

50、由路由器动动态产生的的路由叫动动态路由，它它是由路由由器动行一一定的动态态路由协议议，彼此通通告路由信信息，然后后在此信息息的基础上上产生各个个路由器的的路由表，常常见的动态态路由协议议有RIPP v1/v2、IIGRP、EIGRRP、OSSPF、IIS-ISS、BGPP4等协议议。4.3.11 RIPP协议RIP使用用广播用户户数据报协协议（UDDP）数据据报文的方方式把路由由表项发送送到相邻路路由器。因因为RIPP使用UDDP作为其其发送机制制，所以发发送到相邻邻路由器的的路由表更更新不能得得到保证。路由器间间RIP表表项的发送送缺省是在在路由器初初始启动后后30s。当一个路路由器在到到另

51、一个已已经活动的的路由器的的连接上变变成活动时时，这种路路由器的“公布”也会出现现在路由器器之间。使用RIPP的路由器器期待在1180s之之内从邻接接路由器获获得更新。如果在这这段时间内内没有收到到邻接路由由器的路由由表更新，则则去往未更更新路由器器的网络路路由被标识识为不可用用，强制把把ICMPP网络不可可到达消息息返回给通通过未更新新路由器而而连接的资资源请求者者。一旦接接收更新计计时器到达达240 s，未更更新路由器器的路由表表项将被从从路由表中中移去。路路由器现在在接收到的的要到达通通过未更新新路由器连连接的报文文，现在可可以被重定定向到此路路由器的缺缺省网络路路径上。RIP协议议的优

52、点：简单，应应用广泛，几几乎所有的的厂商在其其网络产品品中都提供供对它的支支持。它的缺点：整个网络络不能超过过15跳，采采用全网广广播来发送送路由更新新信息在广广域网内占占用带宽。路由更新新不带子网网信息，要要求连续的的子网。4.3.22 IGRRP协议内部网关路路由选择协协议（ IIGRP）是是Ciscco专有的的距离向量量路由选择择协议，目目的在于解解决RIPP协议的限限制。虽然然RIP在在小型同构构网络上工工作得相当当好，但它它的跳数小小（16）的的特点严重重限制了网网络的大小小下，并且且单一的度度量（跳数数）不能给给复杂网络络提供有弹弹性的路由由选择。IIGRP通通过使网络络跳数增加加

53、到2555跳和为满满足当今复复杂网络路路由选择弹弹性提供而而提供的多多种度量（链链路可靠性性、带宽、网络间延延迟和负载载），解决决了RIPP的不足。4.3.33 EIGGRP协议议EIGRPP是Cissco 公公司拥有的的路由协议议。EIGGRP综合合了距离向向量协议与与链路状态态协议的优优点。此外外EIGRRP利用散散播更新算算法（ DDiffuusingg Upddate Algoorithhm，DUUAL），从从而加快了了收敛，并并且减少了了网络中产产生路由环环的可能。EIGRRP比其他他路由协议议更有优势势的一点是是：它不仅仅支持IPP，并且支支持Novvell NetWWare IP

54、X和和ApplleTallk。因此此，减化了了网络设计计和故障处处理。4.3.44 OSPPF协议OSPF用用链路状态态算法来计计算在每个个区域中到到所有目的的的最短路路径，当一一个路由器器首先开始始工作，或或者任一个个路由变化化发生，这这个配备给给OSPFF的路由器器将LSAA扩散到同同一级区域域内所有路路由器，这这些LSAA包含这个个路由器的的链接状态态和它与邻邻居路由器器联系的信信息，从这这些LSAA的收集中中形成了链链路状态数数据库，在在这个区域域中的所有有路由器都都有一个特特定的数据据库来描述述这个区域域的拓扑结结构。这个个路由器于于是就运行行Diskkjtraa算法，这这个算法利利

55、用链路状状态数据库库在该区域域中形成到到所有目的的的最短路路径树，从从这个最短短路径树中中形成了IIP路由表表。在网络络中发生的的任何改变变将会被链链路状态包包扩散出去去，同时使使路由器利利用这些新新信息，重重新计算最最短路径树树。4.3.55 IS-IS协议议IS - IS（IInterrmediiate Systtem -to-IInterrmediiate Systtem,中中间系统到到中间系统统）是一个个分级的链链接状态路路由协议。IS - IS可可以在不同同的子网上上操作，包包括广播型型的LANN、WA N和点到到点链路。IS - IS是是一个链接接状态协议议，实际上上与O SS P

56、 FF非常相似似，它也使使用H eello协协议寻找毗毗邻节点，使使用一个传传播协议发发送链接信信息。但是，至少少存在两个个技术问题题：IS - IS使用用一个小的的度量值（66比特），严严重限制了了能与它进进行转换的的信息；而且链接状状态也只有有8比特长长，路由器器能通告的的记录只有有2 5 6个。4.3.66 BGPP4协议B G PP是自治系系统间的路路由协议，它它的主要功功能是和其其他B GG P会话话者之间交交换网络可可达性信息息。一个BB G PP说话者是是任何为BB G PP配置的设设备。B G P使使用T CC P作为为它的传输输协议（端端口1 77 9），这这提供了可可靠的数

57、据据传输。两个B GG P路由由器形成了了一个传输输协议连接接。这两个个路由器被被称为邻居居或者对等等体。一旦旦传输连接接形成，两两对等路由由器交换报报文以开放放并确认连连接参数。在这一步步，路由器器交换B G P版版本号、AA S号、持续时间间、BGPP标识和其其他可选参参数等信息息。如果对对等体间有有任何一个个参数不一一致，就会会有差错通通知发送，这这个对等体体连接就不不会建立。如果对等路路由器都同同意这些参参数，则整整个BGPP路由表通通过Upddate报报文进行交交换。Updatte报文包包含了经过过每个系统统的可达目目的地的列列表（即网网络层可达达性信息）以以及每个路路由的路径径属性

58、。路路径属性包包含了诸如如路由源（OORIGIIN）之类类的信息和和优先权的的高低。路路径属性将将会在本章章后面详细细讨论。BGP表在在BGP连连接的过程程中对每个个对等体都都是有效的的。如果有有路由报文文发生了变变化，邻居居路由器使使用增量的的更新（报报文）来传传递这个信信息。BGGP并不要要求刷新路路由信息。如果没有有路由变化化产生，BBGP对等等体仅交换换保留( keeppalivve )报报文，保留留报文被周周期性地发发送以确保保连接是保保持有效的的。方案中建议议配置的华华为3Coom核心路路由交换机机S85005支持除除私有协议议EIGRRP以外的的所有路由由协议。从上面介绍绍的路由

59、协协议来看，我我们建议XXXXX电电子政务网网络路由的的设置可以以根据网络络规模的发发展采用分分步实施的的方式。第一步采用用静态路由由，因为此此时XXXXX电子政政务网络的三层层数据交换换均在核心心交换机完完成。第二步当XXXXX电电子政务网网络的网络络规模扩大大以后再采采用OSPPF动态路路由协议，这这个协议的的的优点是是路由的开开销小、收收敛速度快快、协议是是开放的标标准，能保保证以后升升级的兼容容性。方案中选择择的路由交交换机均支支持以上两两种路由协协议，可满满足目前及及未来需求求。4.4 QQoS设计计4.4.11 主要的的QOS服服务模型InterrServv 方式：Integgra

60、teed seervicce是一个个综合服务务模型，它它可以满足足多种QooS需求。这种服务务模型在发发送报文前前，需要向向网络申请请特定的服服务。这个个请求是通通过信令（signal）来完成的，应用程序首先通知网络它自己的流量参数和需要的特定服务质量请求，包括带宽、时延等，应用程序一般在收到网络的确认信息，即网络已经为这个应用程序的报文预留了资源后，发送报文。而应用程序发出的报文应该控制在流量参数描述的范围内。网络在收到到应用程序序的资源请请求后，执执行资源分分配检查（Admission control），即基于应用程序的资源申请和网络现有的资源情况，判断是否为应用程序分配资源。一旦网络确认