办公楼计算机网络系统设计方案

1、办公楼计算机网络系统设计方案目录TOC o 1-2 h u HYPERLINK l _Toc24660 一、用户需求分析 PAGEREF _Toc24660 3 HYPERLINK l _Toc8527 1.1、项目概述 PAGEREF _Toc8527 3 HYPERLINK l _Toc17205 1.2、网络基础设施整体建网基本原则 PAGEREF _Toc17205 3 HYPERLINK l _Toc23859 1.3、网络模型 PAGEREF _Toc23859 4 HYPERLINK l _Toc17821 二、组网方案规划 PAGEREF _Toc17821 5 HYPERLI

2、NK l _Toc2274 2.1、整体设计规划思路 PAGEREF _Toc2274 5 HYPERLINK l _Toc10871 2.2、总体结构规划 PAGEREF _Toc10871 6 HYPERLINK l _Toc8376 2.3、网络规划 PAGEREF _Toc8376 7 HYPERLINK l _Toc5478 2.4、可靠性设计 PAGEREF _Toc5478 8 HYPERLINK l _Toc14264 三、IP地址规划 PAGEREF _Toc14264 10 HYPERLINK l _Toc31652 3.1、 IP地址规划的原则 PAGEREF _Toc3

3、1652 10 HYPERLINK l _Toc27500 3.2、IP地址规划方案 PAGEREF _Toc27500 11 HYPERLINK l _Toc29918 3.3、IP地址管理 PAGEREF _Toc29918 12 HYPERLINK l _Toc27605 四、路由规划 PAGEREF _Toc27605 13 HYPERLINK l _Toc13306 五、网络管理规划 PAGEREF _Toc13306 14 HYPERLINK l _Toc24480 5.1、网管系统需求 PAGEREF _Toc24480 14 HYPERLINK l _Toc28383 5.2、

4、Quidview网络管理软系统 PAGEREF _Toc28383 14 HYPERLINK l _Toc28478 5.3、网管系统实施步骤 PAGEREF _Toc28478 17 HYPERLINK l _Toc30142 5.4、网管安全措施 PAGEREF _Toc30142 17 HYPERLINK l _Toc21910 六、网络安全规划 PAGEREF _Toc21910 18 HYPERLINK l _Toc32113 6.1、承载网网络安全概述 PAGEREF _Toc32113 18 HYPERLINK l _Toc2920 6.2、华为3Com网络设备安全技术介绍 PA

5、GEREF _Toc2920 18 HYPERLINK l _Toc32222 6.3、网络建设安全的具体建议 PAGEREF _Toc32222 19 HYPERLINK l _Toc2710 七、用户认证和管理规划 PAGEREF _Toc2710 21一、用户需求分析全球信息化的浪潮对社会、经济、生活产生了重大影响。面对新形势，迫切需要具备支持高效、多业务、性能可靠的网络互连，为XX集团新建办公楼提供迅捷、高效的办公、业务平台。1.1、项目概述XX集团新建办公楼整个网络结构是一个从核心向外辐射的树形结构，在各个不同的楼区设置配线间，从核心机房到分机房之间通过千兆连接，各个接入点分别由配线

6、间负责接入。根据目前网络工程的实际情况，我们所要作的工作主要分以下几部分：1、网络中心设备的性能分析和选择2、网络接入层设备的性能分析和选择3、如何运用正确的方法保证二级交换机的可靠性4、如何运用正确的方法保证核心交换机的可靠性5、如何运用正确的方法保证核心骨干的网络带宽6、如何保证整个局域网环境高效、安全的接入Internet7、如何实现XX集团新建办公楼网的各项功能8、网络安全，包括网络防火墙和网络防病毒功能9、网络管理功能10、网络数据备份和灾难恢复功能正确的实现上述的各项功能，并且兼顾到整个网络的可扩展性、易用性、易管理性等特点，就可以设计一个即满足目前的网络需求，也满足以后的网络扩展

7、的高效的网络架构，为整个办公楼的信息化工程做好坚实的基础。1.2、网络基础设施整体建网基本原则先进性原则：以先进、成熟的网络通信技术进行组网，支持数据、语音、视像等多媒体应用，用基于交换的技术替代传统的基于路由的技术。 标准化和开放性原则：网络协议采用符合ISO及其他标准，如：IEEE、ITUT、ANSI等制定的协议，采用遵从国际和国家标准的网络设备。 可靠性和可用性原则：选用高可靠的产品和技术，充分考虑系统在程序运行时的应变能力和容错能力，确保整个系统的安全与可靠。 灵活性和兼容性原则：选用符合国际发展潮流的国际标准的软件技术，以便系统有可靠性强、可扩展和可升级等特点，保证今后可迅速采用计算

8、机网络发展出现的新技术，同时为现存不同的网络设备、小型机、工作站、服务器、和微机等设备提供入网和互连手段。 实用性和经济性原则：从实用性和经济性出发，着眼于近期目标和长期的发展，选用先进的设备，进行最佳性能组合，利用有限的投资构造一个性能最佳的网络系统。 安全性和保密性原则：从网络设计安全性和保密性出发，选用安全性能较高的设备，充分保障网络的安全性。 扩展性和升级能力原则：网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。在以后对该网络进行升级和扩展时，必须能保护现有投资。应支持多种网络协议、多种高层协议和多媒体应用。 网络的灵活性原则：系统的灵活性主要表现在软件配置与

9、负载平衡等方面，配合交换机产品与路由器产品支持的最先进的虚拟网络技术，整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络，可以跨越办公室、办公楼，而无需任何硬件的改变，以适应机构的变化。同时也可以通过平衡网络的流量，提高网络性能。1.3、网络模型为了实现网络的组织和规划，建议XX集团新建办公楼网络建设采用层次化建设方案，层次结构如下：核心层由网络中心的核心节点构成汇聚层由各主要建筑楼群汇聚节点构成接入层由各个楼层接入层交换机构成XX集团新建办公楼网络是由核心层节点、汇聚节点及接入节点构成的物理平面网络。二、组网方案规划2.1、整体设计规划思路本方案采用华为3Com路由器

10、和交换机构建统一的IP网络平台，网络骨干带宽1000M，并在保护用户投资的前提下，骨干网络可平滑升级到万兆。同时由于全网采用统一IP网络平台，方便实现统一网管，提高管理效率，Quidview网络管理软件是华为3Com公司对全线数据通信设备进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理、网络管理的功能。Quidview与华为3Com公司的数据通信设备产品一起为用户提供全网解决方案。为了达到可运营的网络要求，采用华为3Com公司推出的综合接入管理服务器CAMS（Comprehensive Access Management Server），可以配合华为3Com网络设备组网

11、，完成对用户上网过程的认证、授权和计费。CAMS作为网络中的用户管理核心，在基本的AAA（Authorization、Authentication and Accounting）功能之上，提供了强大的管理、维护和安全控制平台，可与企业现有系统平滑对接，实现网络的可管理、可运营和高安全。伴随着信息技术的飞速发展和企业信息化程度的不断提高，多业务融合的宽带网络已经成为企业正常运营的重要保障。为了确保一个稳定、安全、高效的网络运营环境，管理员不得不常常面临以下问题如何监控用户的网络应用行为？如何跟踪网络应用资源的使用情况？如何识别网络中的异常流量和性能瓶颈？如何有效的规划和部署网络资源？这些问题的解

12、决依赖于管理员对网络运行详细状况的及时获取，为此，华为3Com公司推出了XLog网络日志审计系统（Network Log Audit System, XLog），可以与路由器、交换机、BAS等网络设备共同组网，根据用户要求采集不同类型的网络流量信息，并通过聚合、分析与统计，为网络管理员提供用户行为审计、流量异常监控和网络部署优化的数据基础和决策依据。XLog是一种低成本、可扩展的网络日志信息审计与分析系统，能够与路由器、以太网交换机、BAS设备等共同组网，完成对NAT、FLOW、DIG等多种网络日志的采集、统计与分析，可以追溯网络使用行为，监视异常活动，为合理的网络规划提供重要参考。为保证视频

13、、话音、数据基于IP技术三网融合，采用统一的IP传输平台，所以要求IP网络平台具备提供保障视频、话音等实时业务的QOS保障能力；2.2、总体结构规划建议网络总体结构如下：1、以区域为中心布局。网络主干网构成分为中心节点（网络中心）、汇聚层节点和接入层节点，全校设1个中心节点，2个汇聚节点，若干台接入层交换机。中心节点为整个网络的核心，为整个网络提供可靠的高带宽核心交换路由，汇聚层节点完成各区域业务的汇集，接入层交换机负责各楼层网络业务的接入。2、三级网络结构。采用统一中心，星型对称式结构，中心采用两台核心路由交换机构建，以提供高可靠性的网络核心。各汇聚层节点到中心节点采用万兆光纤互连，对于网络

14、接入业务特别多的区域，可以采用链路汇聚的方式，捆绑多条光纤链路以提供足够的带宽互连中心节点。各楼层接入层交换机到各汇聚层节点的联接方式采用千兆光纤互连。3、RRPP以太环保护方案。以太网技术自1973年由3Com公司创始人Bob Metcalfe发明以来，以其简单开放、成本低廉获得了长足发展，渐渐的在局域网的领域获得了领导地位，目前新建的局域网几乎都是基于以太网技术的，进而城域网也开始向以太网靠近，MEF（城域以太网论坛）的成员几乎囊括了所有业界主流厂商。但是，以太网（IEEE 802.3）始终没有解决快速收敛问题。任何链路的中断会导致网络长达数十秒的不可用，这对承载于网络上的各种实时业务是难

15、以忍受的。为了解决了快速收敛的问题，IEEE工作组又提出了IEEE802.17 RPR技术，RPR达到了50ms倒换的自愈保护能力。但是相对传统低成本的以太网技术，投资额成了RPR应用的一个障碍，通常只有对可靠性要求非常严格的用户才会考虑使用RPR技术，而更多的用户需要一种将以太网低成本与RPR高可靠相结合的技术，既可以大幅减少网络自愈的收敛时间，而又不会增加投资额。为此，华为3Com推出了革新性的以太环网技术RRPP（Rapid Ring Protection Protocol，快速环网保护协议）。RRPP技术是一种专门应用于以太网环的链路层协议，它在以太网环中能够防止数据环路引起的广播风暴

16、，当以太网环上链路或设备故障时，能迅速切换到备份链路，保证业务快速恢复。与STP协议相比，RRPP协议具有算法简单、拓扑收敛速度快和收敛时间与环网上节点数无关等显著优势。本方案在网络两个核心和汇聚节点之间采用RRPP以太环解决方案。4、扩展性考虑。在充分满足应用的情况下，网络建设需同时考虑经济实用性及先进性，因为随着各项应用的不断成熟，网络的规模及流量将不断扩大，因此要充分考虑网络的可扩展性及平滑扩容，本方案推荐的核心和汇聚层设备均支持万兆光纤模块，骨干网可以在对设备投资保护的前提下平滑升级到万兆。2.3、网络规划XX集团新建办公楼网络主要包括一个核心节点和两个汇聚节点和相应的建筑物内的楼层接

17、入交换机。由于核心节点和汇聚层节点是整个校区的骨干网，所有的业务全部是通过骨干网来运行，因此骨干网络的性能直接关系着整个办公网络的性能。因此在组建XX集团新建办公楼骨干网时，对于骨干设备的选择要从以下几方面进行考虑，即要考虑到设备的可靠性、稳定性、安全性和处理能力，同时还要考虑到现在选择的设备不但要能充分满足现有数据的处理，而且可以满足未来几年内业务的发展所带来得更大量的数据的处理。核心交换机和各个汇聚节点的汇聚层交换机需要高速运送整个网络的流量，设备承载的压力较大。因此骨干网络的建设，通常必须遵循以下几个原则：1、必须具备高可靠性及高冗余性；2、必须能够提供故障隔离功能；3、必须具有迅速升级

18、能力；4、必须具有较少的时延和好的可管理性。根据以上的业务分析，建议在核心节点配置两台核心交换机S9512，各个汇聚层节点采用S7506交换机，各个汇聚层节点分别和核心交换机采用万兆光纤链路上行。整个结构如下图所示：如上图所示，我们在核心节点上配置了两台核心交换机S9512。在各个汇聚节点各配置了1台汇聚交换机S7506。在网络出口部署一台SecPathF1000-S防火墙，用于接入两个外网出口。每个建筑物楼层内的接入层交换机采用E系列交换机，采用1000M以太网光纤上行的方式与各个区域的汇聚层交换机连接。整网的层次清晰，结构合理，核心层的S9512负责接入汇聚层的S7506R，完成快速转发的

19、功能，同时作为完成各个服务器的接入。各个汇聚节点的汇聚交换机作为各个区域网络的中心交换设备，负责接入各个建筑屋内的楼层接入层交换机设备。全网采用高可靠，高性能，高密度的设备，从而避免了网络上的性能瓶颈，骨干网的带宽及性能可以满足未来几年的应用，从而可以较好的避免日后对骨干网的改造，减小对整个网络的冲击。2.4、可靠性设计本方案提供以下可靠性设计: (1) 核心设备模块冗余。核心设备的所有模块和环境部件应具备1+1或1：N热备份的功能。所有模块具备热插拔的功能,核心层设备对主控模块及关键部件采取了1+1的冗余。华为3Com的H3C S9500和S7500 系列高端多业务交换机提供电信级的高可靠性

20、：支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔。(2) 智能弹性架构IRFIRF（Intelligent Resilient Framework），即智能弹性架构，是华为3Com公司推出的创新性建设网络核心的新技术。它将帮助用户设计和实施高可用性、高可扩展性的千兆以太网核心和汇聚主干。运用IRF技术，可以将多台千兆三层交换机互联在一起，形成分布式交换架构，并作为一个逻辑交换实体运行。从管理和配置的角度看，一个分布式交换架构看起来就像一台交换设备；从性能的角度看，分布式交换架构中的每台交换机都能针对其端口上的第二层/第三层流量通信业务制定本地转发决策，它向用户提供一

21、种新型的堆叠技术。和传统的堆叠技术相比，IRF是一种更为增强的堆叠技术，在多方面进行了创新或增强，除了可以做到扩展端口、统一管理之外，IRF在高可靠性、冗余备份方面比照传统堆叠有了很大的提高。IRF技术可以容许全局范围内的跨设备链路聚合，提供了全面的链路级保护。同时IRF技术实现了跨设备的三层路由冗余，可以支持多种单播路由协议、组播路由协议的分布式处理，真正实现了多种路由协议的热备份技术，这些方面都是传统堆叠技术难以做到的。尤其是单播路由协议和组播路由协议的热备份技术，在业界一直都是一个难题，IRF技术的出现对高可靠性提出了全新的解决方案。此外，IRF技术实现了二层协议在fabric内的分布式

22、运行，提高了堆叠内unit的利用率和可靠性，减少了设备间的协议的依赖关系。具体来说，IRF主要包括3个技术方面：DDM、DRR和DLA。DDM（分布式设备管理）：在外界看来，整个fabric是一台整体设备。用户可以通过CONSOLE、SNMP、TELNET、WEB等多种方式来管理整个fabric。DRR（分布式冗余路由）：fabric的多个设备在外界看来是一台单独的三层交换机。整个fabric将作为一台设备进行路由功能和二三层转发功能。单播路由协议和组播路由协议分布式运行并完全支持热备份，在某一个设备发生故障时，路由协议和数据转发都不会中断。DLA（分布式链路聚合）：支持跨设备的链路聚合，可以

23、在设备之间进行链路的负载分担和互为备份。(3) 三层到桌面：在接入层建议采用高性价比的百兆三层交换机，同时通过华为3Com智能弹性架构IRF进行建设，这样可以大大提高整个网络的可靠性，并且可以实现用户的滚动投资与整个网络性能的滚动提升，可以极高的提升用户投资汇报率。整个网络采用万兆骨干、百兆接入的原则进行建设，同时采用三层到桌面的方式进行建设。三层到桌面有什么好处呢？可以杜绝二层广播风暴。减少二层攻击带来的安全隐患，提升整个网络的安全性。减少核心设备的压力，提升整个网络的性能。下面是三层到桌面和传统的组网方式的对比：传统组网三层到接入核心设备负荷高低核心设备功能复杂简单核心设备路由表要求高要求

24、低核心设备三层接口要求高要求低核心设备成本高低广播域广播风暴影响范围大广播风暴影响范围小网络配置复杂简单三、IP地址规划3.1、 IP地址规划的原则IP地址是被用来唯一地标识网络中主机及设备位置的一个属性，是IP报文转发及寻址的依据。IP地址也是最重要的网络资源之一。IP地址的分配及规划，直接关系着网的建设及维护工作量，同时也会影响业务应用的正常开展。所以，必须对IP规划给予足够的重视。IP地址空间的分配，要与网络层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，提高路由算法的效率，加快路由变化的收敛速度。满足这些要求的IP地址分配技术有：可变

25、长子网掩码技术(VLSMVariable-LengthSubnetMask)和路径叠合（汇聚）技术(RouteSummarization)。总的来说，IP地址规划应该遵循以下原则：1 连续性 IP地址分配要尽量分配连续的IP地址空间；相同的业务和功能尽量分配连续的IP地址空间，有利于路由聚合以及安全控制；2可扩充性 IP地址分配处理要考虑到连续外，又要能做到具有可扩充性. ，并为将来的网络扩展预留一定的地址空间;3 IP地址的分配必须采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小。4在公有地址有

26、保证的前提下，尽量使用公有地址，主要包括设备loopback地址、设备间互连地址。为了利于整个网络的统一管理及各种应用（如不同部门之间共享部分网络资源）的顺利开展。建议在对整个网络的IP地址进行统一规划，并在此前提下，兼顾现有网络，以减少对原有各部门网络的影响。3.2、IP地址规划方案按照前面介绍的路由规划的策略，地址规划应该配合路由规划策略，应该从下面几个方面来考虑IP地址的规划（下面的IP地址规划采用私有IP地址为例）。骨干互联部分: 骨干部分为两台核心设备和若干个汇聚层设备，属于整个网络的最高层，由于整网采用私有地址具备足够的地址空间，建议骨干部分的IP地址采用A类地址，比如10.0.0

27、.0/8 、 10.1.0.0/8等，下属汇聚层的节点采用路由汇聚的策略把各自己的IP路由汇聚到这些A类地址空间内。各汇聚层设备采用B类地址做为下属接入层部门的网关地址，比如10.0.1.0/16、10.0.2.0/16等，在发布路由时采用路由汇聚策略对多个B类地址进行路由合并(当A类地址足够多时，也可以全部采用A类地址)。各单位内部地址：各单位内部的各个部门统一分配C类地址(当A类地址足够多时，也可以全部采用A类地址)。由于采用带内网管的网管策略，所以设备的管理IP可以与loopback地址合二为一。具体的IP地址方案需参照实际情况制定，以上为IP地址的规划原则，可作为IP地址规划参考。3.

28、3、IP地址管理IP地址的管理和分配采用动态及静态结合的方式。普通用户的IP地址由DHCP服务器动态分配；服务器、设备管理地址等需要固定IP地址，由网络管理部门静态分配。IP地址管理是用户管理的重要内容，也是构件完整的安全架构中不可或缺的一部分，应该在网络设计初期就对网络多种用户的IP地址分配方式进行统一规划。普通用户建议采用动态获取IP地址的地址分配方式，可以减少IP地址分配的复杂度同时防止IP地址重叠的情况发生。为了防止动态IP地址用户私自配置静态IP地址以及恶意假冒他人IP地址可以启用DHCP特性，限制用户获取IP地址的方式只能为动态获取，私自配置的静态IP地址将无法正常接入网络。同时为

29、了对用户的身份进行合法性验证可以在网络的汇聚层对用户的身份进行验证，验证方式可以根据实际情况进行选择，可以采用强制PORTAL认证、802.1x认证等多种认证方式。重要用户以及特殊用户（比如网管系统）可以配置静态IP地址并在用户接入的网络设备上静态添加用户的IP地址并且实现IPMAC端口的绑定，一方面保证了用户IP地址的固定配置，另一方面也防止了其他恶意用户的地址假冒。重要用户及特殊用户可以不用身份验证而直接接入网络。四、路由规划4.1、路由协议的选择对于IGP协议，建议采用OSPF，因为OSPF的适应性好，功能完善，当核心层设备在20台以内的时候，我们建议只运行一个骨干域“0”，这样网络规划

30、简单、维护方便，并且有利于今后骨干层网络的扩展。对于各个汇聚层节点，最普遍应用的就是OSPF、直连路由，将直连路由汇聚后再引入到OSPF路由协议中，只要准循上面提到的IP地址分配原则，各汇聚节点的路由都可以汇聚成一条或者数目较少的几条，这时应用最简单、最高效，而且网络的维护非常方便。OSPF是Open Shortest Path First （开放最短路由优先协议）的缩写。它是IETF组织开发的一个基于链路状态的自治系统内部路由协议。非常适合类似这种中、大型网络。综上，在本期工程中，我们建议的路由协议类型就是：骨干层OSPF、汇聚层节点采用直连路由并引入到OSPF中。这样对整个网络中的设备要求

31、不是太高并且便于进行维护。OSPF具有如下特点：1、快速收敛在网络的拓扑结构发生变化后立即发送更新报文，使这一变化在自治系统中同步。可以迅速反应网络拓朴的变化，提高全网对网络故障和网络改造的反应速度。2、无自环OSPF根据收集到的链路状态用最短路径树算法计算路由，从算法上本身保证了不会生成自环路由。从而避免网因路由环造成的带宽浪费。3、区域划分允许自治系统的网络被划分成区域来管理，区域间传送的 路由信息被进一步抽象，从而减少了占用的网络带宽。通过合理的区域划分策略，可以有效减少参与OSPF路由计算的网络规模，降低由于路由计算造成的路由器CPU的开销开销，避免由于动态路由协议的引用，造成的路由器

32、转发性能的过渡下降。4、其他路由的引入能力OSPF具有将其他路由协议发现的路由和静态路由引入到系统中的能力，从而可以在网中根据各级网络设备的网络层次，灵活采用OSPF与静态路由、RIP等动态路由协议相结合的方式，在保证系统畅通的情况下，有效减少设备负载。5、路由聚合能力OSPF可以按照指定的聚合策略，聚合区域边界路由器向外发布的路由，减少发布的路由条数，从而减少全系统的路由表规模，降低整个网路由器的资源损耗，提高全系统的数据转发能力。五、网络管理规划5.1、网管系统需求网络管理包括有三个部分：网管平台、设备管理系统、业务网管。网管平台则需要对全网进行管理，要有拓扑发现功能等，它力求全面地覆盖企

33、业IT业务的各个方面。网元管理系统一般均由设备原厂商提供，实现对网络设备的故障管理、配置管理和性能管理、故障管理等。 5.2、Quidview网络管理软系统Quidview是华为3Com公司自行设计开发的适合于中、小规模的网络管理的网管软件，主要用于管理华为公司生产的Quidway系列路由器和交换机。它是一个简洁的网络管理工具，充分利用设备自己的管理信息库完成设备配置、浏览设备配置信息、监视设备运行状态等网管功能，并且还能集成到SNMPc、HP Openview NNM等一些通用的网管平台上，实现从网络级到设备级全方位的网络管理。力求帮助用户在降低产品成本的同时满足更丰富的功能需求。Quidv

34、iew网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络集中监视Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。全网设备的统一拓扑视图；拓扑自动发现，拓扑结构动态刷新；可视化操作方式：拓扑视图节点直接点击进入设备操作面板；在网络、设备状态改变时，改变节点颜色，提示用户；对网络设备进

35、行定时（轮询间隔时间可配置）的轮循监视和状态 刷新并表现在网络视图上；支持拓扑过滤，让用户关注所关心的网络设备情况；支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象；故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。告警实时监视，提供告警声光提示；支持告警转到Email、手机短信；支持告警过滤，让用户关注重要的告警，查询结果可生成报表；支持告警级别重新定义，支持告警转存，保证系统的运行效率和稳定性；支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象；支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警等。性能监控Quidview网管

36、系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。管理多厂商设备Quidview可管理所有支持标准SNMP网管协议的网络设备，为多厂商设备共存的网络提供了统一的管理方式。拓扑图自动发现多厂商设备，如华为、3Com、Cisco等；可以对设备进行性能监视，包括接口的流量监视，利用率监视等；可以接收设备告警，并进行告警信息显示。服务器监视管理服务器是企业IP架构中的重要组成部分，通过Quidview，可实现服

37、务器与设备设备的统一管理。支持对CPU、内存资源消耗的监视；支持对硬盘使用情况的监视；支持运行进程的资源监视；支持对服务的资源监视；集群管理针对大量二层交换机设备的应用环境，Quidview网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。节省公网IP地址资源；实现对一组设备统一、集中、批量配置管理；实现设备的集中维护管理；网络拓扑信息自动收集、维护，动态更新；实现方便的软件升级、配置数据备份、配置数据恢复；堆叠管理Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。故障

38、定位与地址反查针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。Quidview提供的端口反查功能支持两种方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用时分别输入终端用户的MAC地址或IP地址，能够定位该终端用户连接的交换机及交换机的端口，帮助网络管理员及早定位非法报文接入网络的原始端口，及时关闭端口，防止一些违规用户进行非法操作比如滥发报文、访问非法站点等，危害网络安全。RMON管理RMON管理根据RFC1757定义的标准RMON-

39、MIB及华为3Com自定义告警扩展MIB对主机设备进行远程监视管理。Quidview网络管理软件的RMON管理包含的功能如下：统计组的配置及数据浏览；历史组的配置及数据浏览；告警组的配置及浏览；事件组的配置及浏览；扩展告警组的配置及浏览；5.3、网管系统实施步骤完成网络设备安装和链路连通；完成网络设备IP地址、路由等配置，网络设备统一使能为 SNMPv3 版本。设置网络设备的Trap目标工作站的地址为网管工作站的地址；设置被管理设备发送Trap 的源地址为该设备的 loopback 地址或管理地址；在网络中心安装一套QuidView网管系统，搜索发现所有网上设备,可以完成对网上多种厂家的设备进

40、行统一的网络管理与维护。5.4、网管安全措施Quidview网管系统可以通过下面的一些措施，保证网管系统的安全性，防止非法用户进行访问；在设备与网管服务器之间增加防火墙；网管的安全管理，操作员的帐号与IP地址、登录时间等进行绑定，在一定范围限定非法入侵；进行网管组网设计时，设备的业务网段与网管的管理网段进行隔离，例如：采用VLAN隔离的方式，业务用户无法访问网管网；网管增加登录、命令操作等方面的日志功能。六、网络安全规划6.1、承载网网络安全概述网络安全成为目前必须面对的一个实际问题。网络上存在着各种类型的攻击方式，包括窃听报文、IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击应用层攻击等。另

41、外，网络本身的可靠性与线路安全也是值得关注的问题。6.2、华为3Com网络设备安全技术介绍针对网络存在各种安全隐患，安全路由器必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。Quidway系列网络设备提供一个全面的网络安全解决方案，包括线路可靠、用户验证、授权、数据保护、智能访问控制等等。所采用的安全技术包括：CallBack技术备份中心AAACA技术包过滤技术地址转换VPN技术加密与密钥交换技术智能防火墙安全管理VLAN划分其他安全技术与措施6.3、网络建设安全的具体建议本次XX集团新建办公楼网络的建设，为单位的内部办公

42、和对外服务提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。在网络上存在着各种类型的攻击方式，包括网络层攻击、应用级攻击和系统级攻击。网络构建及组成中，网络设备仅完成网络级安全的防范。针对以上提到的各种安全隐患，安全网络设备必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。针对本次网络建设存在以上各种安全隐患，建议采取如下的网络级、应用级和系统级安全措施来保证网络的安全。6.3.1、身份认证只有网络管理员才有权访问网络设备，所以对访问设备的用户需要进行身份认证。

43、用户访问路由器存在多种方式：直接从console口登录进行配置；telnet登录配置；通过SNMP进行配置；通过modem远程配置等等。对于这些访问方式，都需要输入密码和口令，经过RADIUS服务器或相应的身份认证获得访问设备的权限。6.3.2、访问控制为了保护本次网设备的配置，对设备的访问权限需要进行口令的分级保护。只有持有网络管理员相应口令的特权用户才能对路由器进行配置；一般用户只有查看普通信息的权力。6.3.3、数据加密在本次网络建设中，如需要对所传送的重要数据进行加密，可以通过华为公司的Quidway系列路由器进行手工配置或自动协商密钥两种方式建立IP SEC，在传输或隧道模式下能够单

44、独或组合应用AH(Authentication Header，认证报头)和ESP(Extended Services Processor，扩展业务处理器)安全协议，可以实现对整个IP报文或数据载荷内容进行不同粒度级别的加密和认证，从而提供验证数据源、校验数据完整性和防止报文重放等(ESP还提供加密)功能，结合ACL访问控制列表共同确保数据信息在网络上传送的安全保密性。6.3.4、应用级安全在本次推荐的方案中，可以提供ASPF(Application Specific Packet Filter，基于应用层规范的包过滤)特性。ASPFASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连

45、接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据报文是否被允许通过防火墙或丢弃。通过ASPF的检测，可以保证所有建立的连接都是合法连接，防止地址欺骗、身份伪造等恶意攻击行为。6.3.5、系统级安全策略综合访问认证系统各个政府部门通过政务上网带来工作效率的提高，实现了政务公开信息化和办公自动化，但目前一些部门的信息的共享和传递以及对网络无限制的访问也引入了信息安全问题。为了适应这种需求，华为3Com公司推出了综合访问管理服务器（Comprehensive Access Management Server, CAMS），配合网络设备组网，可以对网用户进行统

46、一的认证、授权、安全、策略管理，是一个多业务用户管理系统，提供全网解决方案。华为公司提供完整的网安全认证管理系统，包括设备管理平台QuidView 、用户管理平台802.1X和WEB 认证、策略服务器 CAMS 系统。华为公司不仅能够提供网络安全产品Quidway SecPath系列，而且Quidway 系列网络设备能提供充分的安全保护功能。Quidway系列路由器提供了多种网络安全机制，为内部网络及外部数据提供了有力的安全保护。七、用户认证和管理规划7.1、用户管理解决方案概述针对此次XX集团新建办公楼网络用户管理的需求，我们在网络中配置了1套华为3Com公司自主研发的用户认证管理服务器CA

47、MS，通过CAMS可以解决用户管理的问题。CAMS（Comprehensive Access Management Server）是华为3Com公司推出的综合接入管理服务器，可以配合路由器、以太网交换机设备组网，完成对用户上网过程的认证、授权和计费。 CAMS作为网络中的用户管理核心，在基本的AAA（Authorization、Authentication and Accounting）功能之上， 提供了强大的管理、维护和安全控制平台，可与企业现有系统平滑对接，实现网络的可管理、可运营和高安全。下面我们再来看一下CAMS是如何解决用户的相关问题。用户相关信息的搜集：CAMS的“用户预注册”解决

48、网管人员搜集用户信息中遇到的问题，传统的方式是通过网管人员的信息录入来搜集客户的信息，这种方式使得网管人员的工作量剧增。举例来说，一个6000用户的开户工作，我们假设1个用户的录入工作需要2分钟（包括检查用户提供的信息是否正确）,6000用户需要的工作量就是6000212000分钟，共计200小时，按照一天8小时工作时间计算，共需要25天，这样的工作量对网管人员来说是不可忍受的，CAMS支持用户预注册功能，所有的用户名密码等信息都由用户自己输入，而且用户其他的部分信息还可以进行定制。用户预注册：用户预注册可以帮助用户在开户前的相关信息的搜集，用户可以通过固定的网上申请用户名、密码等相关信息，而

49、且网管人员需要搜集的信息可以在“用户附加信息”中进行自行定义，定义的方式也是可选的，可以是下拉菜单方式的、也可以是输入的，为了避免用户输错，可规定输入文档的格式，详见“用户附加信息”。我们可以在用户预注册的时候要求用户输入我们要搜集的相关MAC、部门等信息。用户附加信息：用户附加信息是为了给网管人员自助定义用户信息的工具，每个网管人员标识用户的方法、种类可能各不相同，用户附加信息如下所示：网管人员可以在用户附加信息选项中灵活定义需要用户输入的信息，同时可以选择这些字段是否在用户预注册时必须输入。这样用户信息的搜集就由网管人员主动搜集变为用户主动上报，网管人员需要作的更多的是用户开户时信息的确认

50、。CAMS除了可以大大减少用户的工作量以外，还可以给用户提供强大的安全管理措施。元素的绑定技术。CAMS可以实现通过AAA服务器的IP、MAC、VLAN地址等绑定技术，在实际应用的过程当中，CAMS可以对接入用户的各种元素进行绑定。对于各种元素的灵活绑定可以实现各种接入方式，如：绑定MAC与账号，就可以实现账号与主机的对应；绑定IP、MAC、端口、VLAN、账号，就可规定用户采用自己的主机、规定的IP、从规定的端口进行接入。元素的绑定技术对于网络的管理安全起了重要的作用，通过元素的绑定技术可以大大提高网络的安全性。访问时间的控制。CAMS可以实现对接入用户的上网时间的规定，网管人员可以规定用户

51、允许接入的时间段，如：上午6：00晚上12：00，在这段时间内允许用户接入网络，其余时间，禁止接入。Proxy用户的禁止。CAMS可以对接入层用户进行有效的控制，配合华为3Com的802.1X客户端可对各种Proxy用户进行禁止。屏蔽非华为客户端，可以实现对于非华为客户端的用户禁止接入；屏蔽IE代理，对于在IE中设置代理的用户可以实时进行检测，一旦发见，禁止用户进行上网操作；屏蔽双网卡，对于存在两个活动网卡的用户，CAMS可以通知用户存在两个活动的网卡，用户必须对其中的一个网卡进行禁用才能够接入网络；对于任何形式代理的禁止，CAMS可以实现对任何形式的Proxy用户的禁止，无论用户采用何种Proxy的方式，如果不产生Proxy动作就不进行操作，当用户一旦发生了Proxy的动作，CAMS就下发下线通知，强制用户下线，对于以上的Proxy禁止方式，是可以进行灵活