谢希仁计算机网络第五版课后习题答案-第七章-网络安全最新文档

谢希仁计算机网络第五版课后习题答案第七章网络安全最新文档(可以直接使用，可编辑最新文档，欢迎下载）

第七章网络安全谢希仁计算机网络第五版课后习题答案第七章网络安全最新文档(可以直接使用，可编辑最新文档，欢迎下载）7-01计算机网络都面临哪几种威胁？主动攻击和被动攻击的区别是什么？对于计算机网络的安全措施都有哪些？答：计算机网络面临以下的四种威胁：截获（interception），中断(interruption)，篡改(modification),伪造（fabrication）。网络安全的威胁可以分为两大类：即被动攻击和主动攻击。主动攻击是指攻击者对某个连接中通过的PDU进行各种处理。如有选择地更改、删除、延迟这些PDU。甚至还可将合成的或伪造的PDU送入到一个连接中去。主动攻击又可进一步划分为三种，即更改报文流；拒绝报文服务；伪造连接初始化。被动攻击是指观察和分析某一个协议数据单元PDU而不干扰信息流。即使这些数据对攻击者来说是不易理解的，它也可通过观察PDU的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的性质。这种被动攻击又称为通信量分析。还有一种特殊的主动攻击就是恶意程序的攻击。恶意程序种类繁多，对网络安全威胁较大的主要有以下几种：计算机病毒；计算机蠕虫；特洛伊木马；逻辑炸弹。对付被动攻击可采用各种数据加密动技术，而对付主动攻击，则需加密技术与适当的鉴别技术结合。7-02试解释以下名词：（1）重放攻击；（2）拒绝服务；（3）访问控制；（4）流量分析；（5）恶意程序。答：（1）重放攻击：所谓重放攻击（replayattack）就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。（2）拒绝服务：DoS(DenialofService)指攻击者向因特网上的服务器不停地发送大量分组，使因特网或服务器无法提供正常服务。（3）访问控制：（accesscontrol）也叫做存取控制或接入控制。必须对接入网络的权限加以控制，并规定每个用户的接入权限。（4）流量分析：通过观察PDU的协议控制信息部分，了解正在通信的协议实体的地址和身份，研究PDU的长度和传输的频度，以便了解所交换的数据的某种性质。这种被动攻击又称为流量分析（trafficanalysis）。（5）恶意程序：恶意程序（rogueprogram）通常是指带有攻击意图所编写的一段程序。7-03为什么说，计算机网络的安全不仅仅局限于保密性？试举例说明，仅具有保密性的计算机网络不一定是安全的。答：计算机网络安全不仅仅局限于保密性，但不能提供保密性的网络肯定是不安全的。网络的安全性机制除为用户提供保密通信以外，也是许多其他安全机制的基础。例如，存取控制中登陆口令的设计。安全通信协议的设计以及数字签名的设计等，都离不开密码机制。7-04密码编码学、密码分析学和密码学都有哪些区别？答：密码学(cryptology)包含密码编码学(Cryptography)与密码分析学(Cryptanalytics)两部分内容。密码编码学是密码体制的设计学,是研究对数据进行变换的原理、手段和方法的技术和科学，而密码分析学则是在未知密钥的情况下从密文推演出明文或密钥的技术。是为了取得秘密的信息，而对密码系统及其流动的数据进行分析，是对密码原理、手段和方法进行分析、攻击的技术和科学。7-05“无条件安全的密码体制”和“在计算上是安全的密码体制”有什么区别？答：如果不论截取者获得了多少密文，但在密文中都没有足够的信息来惟一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。

如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。破译下面的密文诗。加密采用替代密码。这种密码是把26个字母（从a到z）中的每一个用其他某个字母替代（注意，不是按序替代）。密文中无标点符号。空格未加密。KfdktbdfzmeubdkfdpzyiommztxkukzygurbzhakfthcmurmfudmzhxMftnmzhxmdzythcpzqurezsszcdmzhxgthcmzhxpfakfdmdztmsutythcFukzhxpfdkfdintcmfzldpthcmsokpztkzstkkfduamkdimeitdxsdruidPdfzlduoiefzkruimubduromziduokursidzkfzhxzyyuromzidrzkHufoiiamztxkfdezindhkdikfdakfzhgdxftbboefruikfzk答：单字母表是：明文：abcdefghIjklm密文：zsexdrcftgyb明文：nopqrstuvwxyz密文：hunImkolpka根据该单字母表，可得到下列与与本题中给的密文对应的明文：thetimehascomethewalrussaidtotalkofmanythingsofshoesamdshipsandsealingwaxofcabbagesandkingsandwhytheseaisboilinghotandwhetherpigshavewingsbutwaitabittheoysterscriedbeforewehaveourchatforsomeofusareoutofbreathandallofusarefatnohurrysaidthecarpentertheythankedhimmuchforthat7-07对称密钥体制与公钥密码体制的特点各如何？各有何优缺点？答：在对称密钥体制中，它的加密密钥与解密密钥的密码体制是相同的，且收发双方必须共享密钥，对称密码的密钥是保密的，没有密钥，解密就不可行，知道算法和若干密文不足以确定密钥。公钥密码体制中，它使用不同的加密密钥和解密密钥，且加密密钥是向公众公开的，而解密密钥是需要保密的，发送方拥有加密或者解密密钥，而接收方拥有另一个密钥。两个密钥之一也是保密的，无解密密钥，解密不可行，知道算法和其中一个密钥以及若干密文不能确定另一个密钥。优点：对称密码技术的优点在于效率高，算法简单，系统开销小，适合加密大量数据。对称密钥算法具有加密处理简单，加解密速度快，密钥较短，发展历史悠久等优点。缺点：对称密码技术进行安全通信前需要以安全方式进行密钥交换，且它的规模复杂。公钥密钥算法具有加解密速度慢的特点，密钥尺寸大，发展历史较短等特点。7-08为什么密钥分配是一个非常重要但又十分复杂的问题？试举出一种密钥分配的方法。答：密钥必须通过最安全的通路进行分配。可以使用非常可靠的信使携带密钥非配给互相通信的各用户，多少用户越来越多且网络流量越来越大，密钥跟换过于频繁，派信使的方法已不再适用。举例：公钥的分配，首先建立一个值得信赖的机构（认证中心CA），将公钥与其对应的实体进行绑定，每个实体都有CA发来的证书，里面有公钥及其拥有者的标识信息，此证书被CA进行了数字签名，任何用户都可从可信的地方获得CA的公钥，此公钥可用来验证某个公钥是否为某个实体所拥有。7-09公钥密码体制下的加密和解密过程是怎么的？为什么公钥可以公开？如果不公开是否可以提高安全性？答：加密和解密过程如下：（1）、密钥对产生器产生出接收者的一对密钥：加密密钥和解密密钥；（2）、发送者用接受者的公钥加密密钥通过加密运算对明文进行加密，得出密文，发送给接受者；接受者用自己的私钥解密密钥通过解密运算进行解密，恢复出明文；因为无解密密钥，解密是不可行的，所以公钥可以公开，知道算法和其中一个密钥以及若干密文不能确定另一个密钥。7-10试述数字签名的原理答：数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：被发送文件用SHA编码加密产生128bit的数字摘要。然后发送方用自己的私用密钥对摘要再加密，这就形成了数字签名。将原文和加密的摘要同时传给对方。对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要。将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。7-11为什么需要进行报文鉴别？鉴别和保密、授权有什么不同？报文鉴别和实体鉴别有什么区别？答：(1)使用报文鉴别是为了对付主动攻击中的篡改和伪造。当报文加密的时候就可以达到报文鉴别的目的，但是当传送不需要加密报文时，接收者应该能用简单的方法来鉴别报文的真伪。(2)鉴别和保密并不相同。鉴别是要验证通信对方的确是自己所需通信的对象，而不是其他的冒充者。鉴别分为报文鉴别和实体鉴别。授权涉及到的问题是：所进行的过程是否被允许(如是否可以对某文件进行读或写)。(3)报文鉴别和实体鉴别不同。报文鉴别是对每一个收到的报文都要鉴别报文的发送者，而实体鉴别是在系统接入的全部持续时间内对和自己通信的对方实体只需验证一次。7-12试述实现报文鉴别和实体鉴别的方法。答：(1)报文摘要MD是进行报文鉴别的简单方法。A把较长的报文X经过报文摘要算法运算后得出很短的报文摘要H。然后用自己的私钥对H进行D运算，即进行数字签名。得出已签名的报文摘要D(H)后，并将其追加在报文X后面发送给B。B收到报文后首先把已签名的D(H)和报文X分离。然后再做两件事。第一，用A的公钥对D(H)进行E运算，得出报文摘要H。第二，对报文X进行报文摘要运算，看是否能够得出同样的报文摘要H。如一样，就能以极高的概率断定收到的报文是A产生的。否则就不是。(2)A首先用明文发送身份A和一个不重数RA给B。接着，B响应A的查问，用共享的密钥KAB对RA加密后发回给A，同时也给出了自己的不重数RB。最后，A再响应B的查问，用共享的密钥KAB对RB加密后发回给B。由于不重数不能重复使用，所以C在进行重放攻击时无法重复使用是哟截获的不重数。7-13报文的保密性与完整性有何区别？什么是MD5？答：(1)报文的保密性和完整性是完全不同的概念。保密性的特点是：即使加密后的报文被攻击者截获了，攻击者也无法了解报文的内容。完整性的特点是：接收者接收到报文后，知道报文没有被篡改或伪造。(2)MD5是[RFC1321]提出的报文摘要算法，目前已获得了广泛的应用。它可以对任意长的报文进行运算，然后得出128bit的MD报文摘要代码。算法的大致过程如下：①先将任意长的报文按模264计算其余数(64bit)，追加在报文的后面。这就是说，最后得出的MD5代码已包含了报文长度的信息。②在报文和余数之间填充1~512bit，使得填充后的总长度是512的整数倍。填充比特的首位是1，后面都是0。③将追加和填充的报文分割为一个个512bit的数据块，512bit的报文数据分成4个128bit的数据依次送到不同的散列函数进行4论计算。每一轮又都按32bit的小数据块进行复杂的运算。一直到最后计算出MD5报文摘要代码。这样得出的MD5代码中的每一个比特，都与原来的报文中的每一个比特有关。7-14什么是重放攻击？怎样防止重放攻击？答：(1)入侵者C可以从网络上截获A发给B的报文。C并不需要破译这个报文(因为这可能很花很多时间)而可以直接把这个由A加密的报文发送给B，使B误认为C就是A。然后B就向伪装是A的C发送许多本来应当发送给A的报文。这就叫做重放攻击。(2)为了对付重放攻击，可以使用不重数。不重数就是一个不重复使用的大随机数，即“一次一数”。7-15什么是“中间人攻击”？怎样防止这种攻击？答：(1)中间人攻击（Man-in-the-MiddleAttack，简称“MITM攻击”）是一种“间接”的入侵攻击，这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间，这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机，使“中间人”能够与原始计算机建立活动连接并允许其读取或篡改传递的信息，然而两个原始计算机用户却认为他们是在互相通信，因而这种攻击方式并不很容易被发现。所以中间人攻击很早就成为了黑客常用的一种古老的攻击手段，并且一直到今天还具有极大的扩展空间。(2)要防范MITM攻击，我们可以将一些机密信息进行加密后再传输，这样即使被“中间人”截取也难以破解，另外，有一些认证方式可以检测到MITM攻击。比如设备或IP异常检测：如果用户以前从未使用某个设备或IP访问系统，则系统会采取措施。还有设备或IP频率检测：如果单一的设备或IP同时访问大量的用户帐号，系统也会采取措施。更有效防范MITM攻击的方法是进行带外认证。7－16试讨论Kerberos协议的优缺点。答：Kerberos协议主要用于计算机网络的身份鉴别(Authentication),其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-grantingticket)访问多个服务，即SSO(SingleSignOn)。由于在每个Client和Service之间建立了共享密钥，使得该协议具有相当的安全性。概括起来说Kerberos协议主要做了两件事：Ticket的安全传递；SessionKey的安全发布。再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用SessionKey，在通过鉴别之后Client和Service之间传递的消息也可以获得Confidentiality(机密性),Integrity(完整性)的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性，这也限制了它的应用。不过相对而言它比X.509PKI的身份鉴别方式实施起来要简单多了。7－17因特网的网络层安全协议族Ipsec都包含哪些主要协议？答：在Ipsec中最主要的两个部分就是：鉴别首部AH和封装安全有效载荷ESP。AH将每个数据报中的数据和一个变化的数字签名结合起来，共同验证发送方身份，使得通信一方能够确认发送数据的另一方的身份，并能够确认数据在传输过程中没有被篡改，防止受到第三方的攻击。它提供源站鉴别和数据完整性，但不提供数据加密。ESP提供了一种对IP负载进行加密的机制，对数据报中的数据另外进行加密，因此它不仅提供源站鉴别、数据完整性，也提供保密性。IPSec是IETF（InternetEngineeringTaskForce，Internet工程任务组）的IPSec小组建立的一套安全协作的密钥管理方案，目的是尽量使下层的安全与上层的应用程序及用户独立，使应用程序和用户不必了解底层什么样的安全技术和手段，就能保证数据传输的可靠性及安全性。IPSec是集多种安全技术为一体的安全体系结构，是一组IP安全协议集。IPSec定义了在网际层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。7-18试简述SSL和SET的工作过程。答：首先举例说明SSL的工作过程。假定A有一个使用SSL的安全网页，B上网时用鼠标点击到这个安全网页的链接。接着，服务器和浏览器就进行握手协议，其主要过程如下。（1）浏览器向服务器发送浏览器的SSL版本号和密码编码的参数选择。（2）服务器向浏览器发送服务器的SSL版本号、密码编码的参数选择及服务器的证书。证书包括服务器的RSA分开密钥。此证书用某个认证中心的秘密密钥加密。（3）浏览器有一个可信赖的CA表，表中有每一个CA的分开密钥。当浏览器收到服务器发来的证书时，就检查此证书是否在自己的可信赖的CA表中。如不在，则后来的加密和鉴别连接就不能进行下去；如在，浏览器就使用CA的公开密钥对证书解密，这样就得到了服务器的公开密钥。（4）浏览器随机地产生一个对称会话密钥，并用服务器的分开密钥加密，然后将加密的会话密钥发送给服务器。（5）浏览器向服务器发送一个报文，说明以后浏览器将使用此会话密钥进行加密。然后浏览器再向服务器发送一个单独的加密报文，表明浏览器端的握手过程已经完成。（6）服务器也向浏览器发送一个报文，说明以后服务器将使用此会话密钥进行加密。然后服务器再向浏览器发送一个单独的加密报文，表明服务器端的握手过程已经完成。（7）SSL的握手过程到此已经完成，下面就可开始SSL的会话过程。下面再以顾客B到公司A用SET购买物品为例来说明SET的工作过程。这里涉及到两个银行，即A的银行（公司A的支付银行）和B的银行（给B发出信用卡的银行）。（1）B告诉A他想用信用卡购买公司A的物品。（2）A将物品清单和一个唯一的交易标识符发送给B。（3）A将其商家的证书，包括商家的公开密钥发送给B。A还向B发送其银行的证书，包括银行的公开密钥。这两个证书都用一个认证中心CA的秘密密钥进行加密。（4）B使用认证中心CA的公开密钥对这两个证书解密。（5）B生成两个数据包：给A用的定货信息OI和给A的银行用的购买指令PI。（6）A生成对信用卡支付请求的授权请求，它包括交易标识符。（7）A用银行的公开密钥将一个报文加密发送给银行，此报文包括授权请求、从B发过来的PI数据包以及A的证书。（8）A的银行收到此报文，将其解密。A的银行要检查此报文有无被篡改，以及检查在授权请求中的交易标识符是否与B的PI数据包给出的一致。（9）A的银行通过传统的银行信用卡信道向B的银行发送请求支付授权的报文。（10）一旦B的银行准许支付，A的银行就向A发送响应（加密的）。此响应包括交易标识符。（11）若此次交易被批准，A就向B发送响应报文。7-19电子邮件的安全协议PGP主要都包含哪些措施？答：PGP是一种长期得到广泛使用和安全邮件标准。PGP是RSA和传统加密的杂合算法，因为RSA算法计算量大，在速度上不适合加密大量数据，所以PGP实际上并不使用RSA来加密内容本身，而是采用IDEA的传统加密算法。PGP用一个随机生成密钥及IDEA算法对明文加密，然后再用RSA算法对该密钥加密。收信人同样是用RSA解密出这个随机密钥，再用IDEA解密邮件明文。7-20路加密与端到端加密各有何特点？各用在什么场合？答：（1）链路加密优点：某条链路受到破坏不会导致其他链路上传送的信息被析出，能防止各种形式的通信量析出；不会减少网络系统的带宽；相邻结点的密钥相同，因而密钥管理易于实现；链路加密对用户是透明的。缺点：中间结点暴露了信息的内容；仅仅采用链路加密是不可能实现通信安全的；不适用于广播网络。（2）端到端加密优点：报文的安全性不会因中间结点的不可靠而受到影响；端到端加密更容易适合不同用户服务的要求，不仅适用于互联网环境，而且同样也适用于广播网。缺点：由于PDU的控制信息部分不能被加密，所以容易受到通信量分析的攻击。同时由于各结点必须持有与其他结点相同的密钥，需要在全网范围内进行密钥管理和分配.为了获得更好的安全性，可将链路加密与端到端加密结合在一起使用。链路加密用来对PDU的目的地址进行加密，而端到端加密则提供了对端到端数据的保护。7-21试述防火墙的工作原理和所提供的功能。什么叫做网络级防火墙和应用级防火墙？答：防火墙的工作原理：防火墙中的分组过滤路由器检查进出被保护网络的分组数据，按照系统管理员事先设置好的防火墙规则来与分组进行匹配，符合条件的分组就能通过，否则就丢弃。防火墙提供的功能有两个：一个是阻止，另一个是允许。阻止就是阻止某种类型的通信量通过防火墙。允许的功能与阻止的恰好相反。不过在大多数情况下防火墙的主要功能是阻止。网络级防火墙：主要是用来防止整个网络出现外来非法的入侵，属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息，然后拒绝不符合事先制定好的一套准则的数据，而后者则是检查用户的登录是否合法。应用级防火墙：从应用程序来进行介入控制。通常使用应用网关或代理服务器来区分各种应用。PAGEv目录TOC\o"1—3"\h\zHYPERLINK\l”_Toc343783763”1 项目概况 —1-HYPERLINK\l”_Toc343783764"1。1 项目背景 -1-HYPERLINK\l”_Toc343783765"1。2 建设目标 —1—HYPERLINK\l”_Toc343783766”1。3 工程范围 -1—1。4 网络信息点位分布与数量表 —1—HYPERLINK\l”_Toc343783768”2 总体设计 —3-_Toc343783770"2。2 设计原则 —3-3 网络系统 -5—HYPERLINK\l”_Toc343783772”3。1 网络协议的选择 —5—HYPERLINK\l”_Toc343783773”3.2 网络技术选择 -5— VLAN（VirtualLANs） -5-3.2。2 三层交换技术 -6—3.2。3 VRRP -7—3.3 网络设计概要 -8-HYPERLINK\l”_Toc343783779”3。4 网络的分层设计 —9- 汇聚层 -9—_Toc343783783” 选用华为3COM的网络设备 —10-_Toc343783785”3。5 网络拓扑图 —24-3.6 网络冗余设计 —26—HYPERLINK\l”_Toc343783787”3。7 路由规划 -26-HYPERLINK\l”_Toc343783788”3.8 应用VRRP技术 -28-3。10 VLAN规划 -33—HYPERLINK\l”_Toc343783791"3。11 IP地址分配原则 -33-HYPERLINK\l”_Toc343783792” 内网IP分配规划 —34-HYPERLINK\l”_Toc343783793"3.11。2 外网IP分配规划 —34-_Toc343783795”3。12。1 完全的分布式的处理方式 -35-HYPERLINK\l”_Toc343783796”3。12。2 核心交换机先进的体系架构设计 —35-3。12.4 QOS功能 -35—HYPERLINK\l”_Toc343783799" 广播风暴的抑止 —36—3。12。6 高可用性保障 —36-HYPERLINK\l”_Toc343783801”4 网管管理系统 -36-4.1 网络管理的重要性 -36—HYPERLINK\l”_Toc343783803”4。2 管理系统的总体设计 —37-4。3 华为3Com网络管理解决方案 -37—HYPERLINK\l”_Toc343783805”4。3。1 产品特点 —37-_Toc343783808"5 网络系统安全特性 -42—HYPERLINK\l”_Toc343783809”5。1 配置IDS —42—HYPERLINK\l”_Toc343783810”5。2 网络病毒的诊断 -42-_Toc343783813"5。3。2 路由协议的安全 -43-HYPERLINK\l”_Toc343783814”5。3.3 网管SNMP的安全性 —43—HYPERLINK\l”_Toc343783815"5。4 网络设备的安全性 —43-5.4。1 控制口console的控制 -43— 远程登录telnet的控制 —44-_Toc343783819"5.6 多元绑定技术的应用 —47-HYPERLINK\l”_Toc343783820”5。6。1 网络安全特征 -48—_Toc343783822"5。7 防止对DHCP服务器的攻击 -52-HYPERLINK\l”_Toc343783823"5。7.1 PrivateVLAN -52-HYPERLINK\l”_Toc343783824"5。7.2 访问控制列表 -53-_Toc343783826”5。8 恶意用户追查 -53—_Toc343783828"5。9.1 防止DOS攻击 —54—5。9.3 防止病毒的广播传递 -55-HYPERLINK\l”_Toc343783831”6 网络入侵检测 -56-HYPERLINK\l”_Toc343783832"6.1 入侵检测系统在外网网络的作用 -56—6。2 本系统外网络入侵检测产品选型 —59-HYPERLINK\l”_Toc343783835”6。2.1 网络入侵检测技术简介 -59—HYPERLINK\l”_Toc343783836"6。2。2 网络入侵检测技术分析 -60-6。2。3 网络入侵产品选型 -62-HYPERLINK\l”_Toc343783838"6.3 网络入侵检测产品部署 -65-_Toc343783840”6.3。2 NetEyeIDS的集中管理 —66-HYPERLINK\l”_Toc343783841"6.3。3 NetEyeIDS的系统结构 —67-6.4 网络入侵检测产品扩展及建议 —68—HYPERLINK\l”_Toc343783844”6。4。1 NetEyeIDS平滑扩展 —68-HYPERLINK\l”_Toc343783845” NetEyeIDS安全联动 —68—HYPERLINK\l”_Toc343783846”6.5 NetEyeIDS优势介绍 —69—HYPERLINK\l”_Toc343783847"7 网络防病毒 —72-7。1.1 计算机病毒的发展趋势 -72—HYPERLINK\l”_Toc343783850” 病毒入侵渠道分析 —73-7.3 网络防病毒需求分析 —76—7。4 防病毒解决方案 -78-HYPERLINK\l”_Toc343783854”7。4。1 设计思想 —78—_Toc343783856”7.4。3 部署产品 -79—HYPERLINK\l”_Toc343783857”7。4。4 部署示意 -79—7。4。5 部署防病毒系统实现的效果 —80-_Toc343783860” 网络版产品简介 -81—HYPERLINK\l”_Toc343783861"7。5.2 网络版系统需求 —82-7。5。3 网络版部署方式 —83-HYPERLINK\l”_Toc343783863"7。5。4 网络版管理方式 —84—HYPERLINK\l”_Toc343783864” 网络版升级方式 -84—HYPERLINK\l”_Toc343783865"7。5.6 网络版功能特色 —84—HYPERLINK\l”_Toc343783866”8 设备安装场地及环境要求 -92—HYPERLINK\l”_Toc343783867"8。1 机房的选址建议要求 —92—_Toc343783869"8。3 网络设备工作环境的要求 -93- 温度和湿度要求 -93-_Toc343783872”8。3.3 防静电要求 -94-HYPERLINK\l”_Toc343783873"8。3.4 电磁环境要求 -95-8。3.5 防雷击要求 -95—8。3。6 抗干扰要求 —95-_Toc343783877"9 实施方案 —97—HYPERLINK\l”_Toc343783878"9。1 总体实施规划 -97-HYPERLINK\l”_Toc343783879”9.2 工程界面 -98-HYPERLINK\l”_Toc343783880"9.3 工程实施组织结构和分工 —99—HYPERLINK\l”_Toc343783881"9.4 项目实施计划编制和文档修改控制 -100-HYPERLINK\l”_Toc343783882”9.5 工程协调会和工程进度安排 —102-9.6 项目实施 —107-HYPERLINK\l”_Toc343783884"9。6。1 安装准备 —107-HYPERLINK\l”_Toc343783885”9.6。2 到货检查 —107-_Toc343783888” 系统测试和验收 —110-9。6.6 培训 -110—HYPERLINK\l”_Toc343783890"9。6。7 实施总结 —111—9.6。8 售后维护 —111—HYPERLINK\l”_Toc343783892"9。6。9 过程监控 —111—HYPERLINK\l”_Toc343783893"9.7 项目质量保证计划 —112—HYPERLINK\l”_Toc343783894"9。8 工程文档 —113—HYPERLINK\l”_Toc343783895"10 验收方案 —115—HYPERLINK\l”_Toc343783896"10.1 验收的方法与步骤 —115—HYPERLINK\l”_Toc343783897"10.2 验收测试标准 —115—HYPERLINK\l”_Toc343783898”10.3 验收测试流程 —115-HYPERLINK\l”_Toc343783899"10.4 整体系统验收 -116-HYPERLINK\l”_Toc343783900"10。5 检测方法与目的 -118-10。5.1 设备到货验收 -118-10。5.2 初验收 -122-10。5。3 系统终验 —123-11 培训方案 -126-11。1 培训目的 -126-11。1。1 的培训优势 -126-11.2 华为3COM培训机构简介 —129—HYPERLINK\l”_Toc343783908" 培训理念 -129-_Toc343783910” 培训师资 -130—HYPERLINK\l”_Toc343783911" 课程设计 —130- 中高端路由器产品培训项目 —133—11.3 本项目培训计划 -134-11。3。1 现场培训 -134—HYPERLINK\l”_Toc343783915”11。3。2 国内技术培训 -134—HYPERLINK\l”_Toc343783916"12 质保和售后服务 -140-_Toc343783918”12.2 公司的服务承诺 —140—HYPERLINK\l”_Toc343783919"12.3 华为3COM的服务承诺 —141—HYPERLINK\l”_Toc343783920”12。3。1 技术服务 -141—12。3。2 技术支持 —142—_Toc343783924"12.4。1 技术支持部分 —143-_Toc343783926”12。4。3 新版本更新权利 -144-HYPERLINK\l”_Toc343783927"12。5 服务体系简介 —144—HYPERLINK\l”_Toc343783928”12。5。1 服务架构 -144-12.5。2 服务范围及程度 —146-95-项目概况项目背景目前,XXX办公大楼改造已进入工程实施阶段，即将建成。届时1#、2＃和3＃楼将通过光纤链路和综合布线系统进行组网，实现的办公内部网络。为充分发挥XXX办公大楼的作用，有必要在楼内进行办公网络联网建设，实现真正意义上的内部网络连接，同时建设于内网完全物理隔离的办公外网,提高办公自动化程度，进一步加速和推进的信息化建设。通过与工程技术人员进行详细的技术交流并到办公大楼现场考察，在充分理解用户方需求的基础上，提出本设计方案.建设目标在XXX办公大楼综合布线系统的基础上，建立起联系3座办公楼内的所有单位内部办公网络和外部办公网络，集信息收集、传递、发布等多功能为一体，可用图、文、声、像等多媒体方式进行信息交互的专用办公内网。可以实现部属机关内部的互联互通、数据传输,使信息交互的实效性更加增强，提高可靠性和信息化办公程度，从而降低总体办公费用.工程范围本次网络工程范围是1#、2#、3#三栋办公楼,总建筑面积约为6500平米.每栋大楼均有两个独立的弱电竖井，本次改造要求内网、外网之间物理隔离，内网、外网由弱电竖井分别置各层。本大楼的功能定位对数据通信有较高的要求,因此垂直主干设12芯多模光缆,水平布线全面采用6类线缆.重点部分区域建议光纤到桌面.内网、外网网络机房均设在3＃楼4层。网络信息点位分布与数量表1#2＃3#楼网络信息点位分布与数量表楼号楼层网络信息点数量光网点内网点外网点1＃1097548548F1384877F1883866F161281315F171241274F10981433F18901082F972921F86468地下1F044地下2F0782＃731975201312F4373911F1018518810F102072109F61731768F102072107F61731766F61731765F61731764F61831863F61831862F11291321F29698地下1F0911地下2F047491＃654835258F351557F1586886F51221275F513204F1752553F618262F7961011F71422地下1F055地下2F02626合计24732123392

总体设计设计依据《信息化网络集成项目比选文件》；国内国际信息化建设相关标准和规范；政府、企业网络建设方面的丰富的经验。设计原则我们在进行总体设计和设备选型时遵循以下设计原则:可靠性高可靠性是大楼智能化的重要标准。采用先进的设计思想,提供连续的网络工作环境，系统应具有较强的自动纠错能力，合理的网络链路策略，确保系统7X24小时正常服务。扩展性随着业务发展，需求也会不断增长，因而对大楼网络系统要求有很高的扩展性。设计时应支持多种的系统标准，达到在各个系统上提供一些预留接口，使得在用户需要时，系统可以跨越现有的平台，增加新的功能,实现平滑的扩展。采用的技术和设备遵循相关国际、国内标准，能支持各种相应的接口和标准协议，具有兼容性、灵活性和可移植性.先进性和成熟性在对系统进行设计时,要符合当今技术发展方向，系统硬、软件的选择和系统的设计，采用符合当前技术和管理发展方向的先进性技术和思想.同时，确保设备和技术都是有成功应用先例的。使用被证明了是成熟的设备和技术，减少实施风险。安全性XXX办公大楼是国家政策、文件、信息的核心地。承担着极其重要的工作。系统安全性主要体现在防止来自外部对网络的攻击、侵扰、病毒。保证文件信息的不篡改不丢失。中选单位必须有中国信息安全评测认证中心的《信息安全服务资质标准》的信息安全服务资质认证.可维护性为确保投资的有效性和大楼的实用性,应针对功能特点选用设备和技术，并尽量简化系统配置步骤，使其容易得到维护和维修。

网络系统本规划将从当前及未来一个时期内应用的实际出发,对信息管理系统的基础设施—网络系统进行规划设计，从而达到一个先进、高效、可靠、实用和便于维护、扩展性能较强的网络,为信息化提供稳定和功能强大的网络平台。网络协议的选择本网络系统以TCP/IP为主要协议.因为TCP/IP协议簇是目前众多计算机网络最流行的协议，以它为基础组建的Internet网是目前国际上规模最大的计算机网间网,采用TCP/IP为网络主要协议，可保证系统各部分网络保持一致。网络技术选择网络技术发展很快，新技术层出不穷，有的具有旺盛的生命力，如以太网技术；有的很快就被淘汰,如TokenRing、FDDI等。因此，就给用户投资带来一定的风险，如何把握网络发展的方向，选择合适的技术和产品非常重要.在本项目中，我们采用千兆以太网作为骨干网技术，同时,我们将采用一些其它的先进且成熟的网络技术，如VLAN、三层交换、虚拟路由器冗余协议（VRRP，RFC2338）、入侵检测(IDS)、服务质量（QoS）、组播（MultiCast）等,使整个网络具有优异的性能、良好的安全可靠性及未来的可扩展性.下面重点介绍几种先进实用的网络技术。VLAN（VirtualLANs）随着网络技术日新月异，L3,L4交换已经非常成熟。Internet中也越来越广泛地应用了交换技术,全交换网络已经非常普遍.在这些网络中，VLAN的使用是必不可少的。VLAN是一个根据作用、计划组、应用等进行逻辑划分的交换式网络。与用户的物理位置没有关系。举个例子来说，几个终端可能被组成一个部分，可能包括工程师或财务人员。当终端的实际物理位置比较相近，可以组成一个局域网（LAN）。如果他们在不同的建筑物中,就可以通过VLAN将他们聚合在一起。同一个VLAN中的端口可以接受VLAN中的广播包。但别的VLAN中的端口却接受不到。VLAN提供以下一些特性简化了终端的删除、增加、改动当一个终端从物理上移动到一个新的位置，它的特征可以从网络管理工作站通过SNMP或用户界面菜单中重新定义.而对于仅在同一个VLAN中移动的终端来说，它会保持以前定义的特征。在不同VLAN中移动的终端来说，终端可以获得新的VLAN定义。控制通讯活动VLAN可以由相同或不同的交换机端口组成。广播信息被限制在VLAN中。这个特征限定了只在VLAN中的端口才有广播、多播通讯.管理域（managementdomain）是一个仅有单一管理者的多个VLAN的集合。工作组和网络安全将网络划分不同的域可以增加安全性。VLAN可以限制广播域的用户数。控制VLAN的大小和组成可以控制广播域的相应特性.在VLAN中应用最广的就是GVRP和STP技术。它们是VLAN中优点的集中体现。三层交换技术现在，网络业界对“三层交换”这个词已经不感到陌生了，在中大型规模网络建设中，以千兆三层交换机为核心的主流网络模型已不胜枚举。其实,三层交换从其出现到今天的普及应用也不过几年的时间，计算机网络加速度式的迅猛发展势头，实在快得令人吃惊。“三层交换”概念的出现，与VLAN有着密不可分的联系。事实上,一个虚拟网就是逻辑上的子网。为了避免在大型交换机上进行广播所引起的广播风暴，可将其进一步划分为多个虚拟网.在一个虚拟网内，由一个工作站发出的信息，只能发送到具有相同虚拟网号的其他站点，而其他虚拟网的成员收不到这些信息或广播帧。由于网络变得越来越复杂，性能要求也越来越高,这就要求网管员能够成功地部署VLAN，从而使网络更加灵活而且易于管理。以往，网管员将3/4的时间花费在维护网络的基础结构，确保通信流量的优化,并处理移动和变更等工作.通常情况下，当一名用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作。针对于此,VLAN的部署就是将通过减少管理网络中移动与变更所需的资源，从而实现为用户节约大量宝贵的资源。VLAN技术还可以在以下关键领域内为用户提供价值：比路由器更具有成本效益的广播控制，有效抑制广播风暴。支持多媒体应用与高效组播控制,提高网络带宽的有效利用率。提高网络的安全性,各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制。网络监督与管理的自动化，更多的有效的网络监控。减少路由需要，基于ASIC技术,大幅度提高设备的数据包转发能力。VLAN之间如何通信？简单回答就是“通过路由”.因此，这种技术也引发出一些新的问题：虚拟网之间通信是不允许的，这也包括地址解析(ARP）封包。要想通信，就需要用路由器桥接这些虚拟网，这就是虚拟网的问题：用交换机速度快但不能解决广播风暴问题，在交换机中采用虚拟网技术可以解决广播风暴问题，但又必须放置路由器来实现虚拟网之间的互通.在这种网络系统集成模式中，路由器是核心。过去的网络在一般情况下按“80/20分配”规则，即只有20％的流量是通过骨干路由器与中央服务器或企业网的其他部分进行通信,而80%的网络流量主要仍集中在不同的部门子网内。而今天，这个比例已经提高到了50％(“平分秋色"）甚至80%（倒二八，20/80），这是因为今天的网络正在经历着诸多应用的集合影响。网络应用已经超越了组件和电子邮件，新型应用已经如此迅速和深刻地冲击着网络，比如，任何人通过任何一个浏览器便可进行访问设定的Web网页,支持诸如销售、服务和财务之类商业功能的数据仓库。这种变化对传统路由器产生了直接的冲击。因为传统的路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。路由器的高费用、低性能,使其成为网络的瓶颈.但由于网络间互连的需求，它又是不可缺少的并处于网络的核心位置，虽然也开发了高速路由器，但是由于其成本太高，仅用于Internet主干部分。在这种情况下,提出了三层交换技术.三层交换机是采用Intranet应用的关键,它将二层交换机和三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案，可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，不仅使二层与三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及多种其它的灵活功能。三层交换机分为LAN接口层、二层交换矩阵层和三层交换矩阵（路由控制）层三部分。三层交换机的应用其实很简单，主要用途是代替传统路由器作为网络的核心。因此，凡是没有广域网连接需求，同时需要路由器的地方，都可以用三层交换机代替。在企业网中，一般会将三层交换机用在网络的核心层，用三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。因为其网络结构相对简单，节点数相对较少。另外，其不需要较多的控制功能，并且要求成本较低。简单地说，三层交换技术就是：二层交换技术＋三层转发技术。它解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈问题。VRRP当路由器功能出现故障时,VRRP（虚拟路由器冗余协议，RFC2338)通过同一个局域网中的另一台路由器来保障网络的正常运行。通过设置虚拟路由器为缺省路由器，终端用户在路由器发生故障时可以继续通信，而不必考虑转换到另一台路由器上。利用同一个以太网中的两台路由器设置一台虚拟路由器。在实际运行中，两台路由器中的任一台成为主路由器，该主路由器模拟虚拟路由器。备份路由器监控主由器状态。一旦主路由器出现故障影响网络运行，备份路由器立即进入主路由器状态以模拟虚拟路由器。IP地址被分配给虚拟路由器.指定虚拟路由器IP地址为缺省路由器的服务器将不会觉察主路由器的切换而继续进行正常通信.关于VRRP的详细设计和部署情况请参见后续章节。其它网络技术在本网络中,除了采用三层交换和VRRP技术，根据应用情况，还可采用组播(Multicast）、QoS和负载均衡等先进网络技术。全面支持MultiCast：选择设备全部支持MultiCast，主干设备支持DVMRP、PIM、IGMP、GARP组管理协议和多点发送、多点广播协议，充分适应网络特殊网络传输要求。一定的QoS保证：核心设备支持RSVP、CAR(CommittedAccessRate)以及可配置门限的多种队列采用WAED、WRR、业务类型/业务级别（ToS/CoS）映射机制，在满足基本要求前提下保持高性价比,也为多媒体应用提供了坚实地网络基础.负载均衡实现：在核心设备上通过设置不同的VLAN的优先级，可将所有的VLAN流量分担在各楼的两台汇聚设备上,通过两台汇聚设备的VRRP功能,实现网络层的负载均衡。也可根据未来网络扩展的需求，增加相关的专用负载均衡设备实现3-7层的负载均衡功能。网络设计概要XXX办公大楼内、外网网络系统项目的总体设计目标以高可靠性、高安全性、高性能、极好的可扩展性和有效的可管理性为原则,同时兼顾考虑到技术的成熟性、先进性和可扩充性,网络系统设计采用层次化、结构化的设计方法。根据对本系统网络需求的初步分析，确定办公内、外网网络采用多千兆链路捆绑，百兆到桌面的方案，本方案具有较好的性能价格比，整个网络采用分层设计技术，骨干为网络中心与1#、2＃和3#楼之间的多千兆光纤线路,接入网为各终端节点的10/100M以太网接入线路。核心设备使用高端路由交换机，接入设备选用具备三层交换功能的接入交换机。各楼内采用虚拟网VLAN技术实现功能群的划分，VLAN可在汇聚设备上创建。利用统一的标准调整网络规划，避免可能的不兼容性,保证整个网络的统一架构。根据我们对网络系统需求的初步分析并结合本系统的特点，我公司提出一套基于华为3COM网络设备的解决方案，本方案具有较好的性能价格比，内网和外网全部采用分层设计，利用统一的标准调整网络扩容规划，避免可能的不兼容性，保证整个内、外网络的统一架构.网络的分层设计XXX办公大楼内、外网网络系统设计为两级网络，三级设备节点：以网络中心（中心节点）为中心，边界至1＃、2＃和3#楼(汇聚节点）的骨干网；以1#、2#和3#楼(汇聚节点）为中心，边界至同各配线间(接入节点）的接入网；本系统的办公内、外网拓扑为冗余树型结构,无汇聚与汇聚和接入与接入节点之间有物理直联的需求。因此所有汇聚节点之间的通信全部经过网络中心的核心路由交换机实现数据交换，比较容易对各楼之间的流量和访问控制进行有效控制.层次化设计的优点为：可扩展性：因为网络可模块化增长而不会遇到问题;简单性：通过将网络分成许多小单元，降低了网络的整体复杂性，使故障排除更容易，能隔离广播风暴的传播、防止路由循环等潜在的