x县机关单位计算机网络系统设计方案2016年学士学位论文

xx县机关单位计算机网络系统建设方案建议书XXXX公司2016年06月目 录1需求分..................................................................31.1建设目..........................................................32设计方.................................................................42.1设计思和原则.....................................................42.2XX院内设计方案....................................................52.2.1内网络结构..................................................62.2.2设备型依据..................................................72.2.3各层设计....................................................72.3外网网方案设计....................................................212.3.1外网Z区设计................................................2.4内外网口防护统一解决方案－VPN＋IPS＋FW.............................2.5内外网全隔离和数据交换............................................362.6检查院网数据中心设计方案..........................................2.6.1数据心架构建设.............................................2.6.2思科据中心方案优势.........................................452.7整网信安全设计建议...............................................2.7.1设备安全设计................................................2.7.2网络安全设计................................................2.7.3系统安全设计................................................492.8IP语音系统方案建议.................................................2.8.1平台体建议................................................562.8.2IP语方案同传统PX的比较...................................592.8.3思科案优势................................................612.8.4思科I电话智能终端.........................................21无线入网络设计..................................................631需求分析1.1建设目标xx县机关单位信息化建设是是科技强检的重要组成部分，也是检察工作改革的重要内容。信息化建设是一项技术要求较高的系统工程，所以xx县机关单位在信息化建设中要注重经实用高效高起点建设高水平设计高技术配置对于信息化的建设基础网络着至关重要的作用基础网络的设计规划将决定着未来科技信息化的整体框架所以基础网络的高标准要求将至关重要。xx县机关单位在信息化建设要树立“规范统一”的思想，在局域网建设、专线网建设上，统一规划统一技术标准统一规范统一管理做好协调配合工作力求建设规范有序、高效率。不重复、不浪费，运转良好、快速、保密。目前xx县机关单位的机构设置日趋完善，部门之间职责范围的划分更加科学、合理、规范，基本适应了社会发展和形势任务的需要近期我院将迁移至新址办公进一步改善业务处理能力和提高办公效率，以贯彻“科技强院”的工作方针。为了按照“积极建设，重在应用”的工作思路，我院将在新址大楼构建一个新的高效办公信息化网络平台以实现了对内与职能管理相结合对外与司法公信力建设相结合。2设计方案2.1设计思路和原则（1）网络信息化建设总体原则市xx县机关单位信息化建设的指导方针是：统筹规划，规范标准，深化应用，注重效益，安全保障。网络信息系统建设还要遵循以下基本原则：• 通盘考虑原则站位高从业界发展的趋势入手按照科学的设计框架兼顾成熟性和先进性，通盘考虑信息系统网络的各级建设；• 投资保护原则：要充考虑与现有资源整合，实现投资保护；• 安全性原则在网络设计中充分考虑安全因素从各个层面充分考虑网络安全、系统安全信息安全的规划和设计从而对xx县机关单位提供一个相对安全的系统平台。• 可扩展性原则网络不仅要满足近期的需要还要前瞻性的考虑业务需求的增长和业界发展的总体趋势，在需要的时候可以平滑升级；能够平滑支撑IP语音、视频应用的融合和部署。• 可靠性原则鉴于xx县机关单位的重要职能和对信息及时性的较高要求信息网作为支撑整个系统运行的基础实施必须非常可靠所采用的产品和技术必须具有一定程度上成熟可靠性网络必须具备高安全性和高稳定性整个网络应有足够的冗余备份设计包括链路冗余设备冗余模块冗余和数据冗余备份等提高网络的容错能力，减少单点故障。• 经济性原则在完成定功能的情况下结合实际信息化程度采用最为经济有效的方案，尽量节约项目投资；• 创新性原则在设计和建设过程中积极开拓思路不墨守成规创造性地解决问题系统结构设计系统配置系统管理方式等方面采用国际上先进同时又是成熟、实用的技术。• 共同建设原则为保证项目的成功需要处理好与省xx县机关单位专网和下属单位互联网络的关系。xx县机关单位新网建设后要能够为院工作的智能化、自动化提供一个高可靠、高性能的信息平台，彻底改善办公、办案条件，为完成日益繁重的工作任务提供了强有力的物质保障。（2）网络信息化建设总体思路市xx县机关单位新络共分为内网和外网两套物理隔离网络，专网用于xx县机关单位A办公应用和上下级单位业务专网互联外网用于日常互联网访问等业务内部网络平台是承载整个公检法网络信息系统运行的硬件平台承载业务较多QoS服务质量和网络安全要求很高网络规划设计要保证能与现有网络兼容并对接，确保网络功能有效实施。同时xx县机关单位内需要与上下级xx县机关单位网互连，与外部网络实行物理隔离，要求能够满足整个大楼各个办公室之间高速安全保密的信息交互与内部信息发布和数据共享能够满足现有和未来发展的政法信息服务和内部办公自动化的要求形成一个智能化综合信息平台可整合广播数据视频、监控等应用，实现多网合一的高效办公网。网络区域将对业务区域进行的合理划分、管理、安全以及与广域网网络的链接规划，同时也设计对部分区域的无线访问解决方案。外网网络结构本着经济简单安全逻辑性扩展性强的原则进行设计网络核心交换机采用单台设计要求具有较好的扩展性以及高稳定性高性能特点考虑到外网数据流量模型主要用于桌面终端到互联网的访问特点，整体网络采用千兆光纤骨干(接入－核心)，百兆桌面接入的方式考虑到外网每个配线间信息点较少接入交换机可采用级联方式连接中心机房公网出口能够提供独立的安全防护边界除了提供外网安全防火墙功能外还可对外提供IPSCVPN和SSVPN访问功能。要将网络可能存在的风险隔离到最小的区域。对外的网络出入口需要有足够的网络安全手段，例如防止病毒、垃圾邮件攻击等。2.2XX院内网设计方案根据院建筑设计结构（AB两个楼体中间通过联体相连结合先进的以太网技术特点以及办公应用在数据访问流量方面的特点内网总体网络结构采用扁平化层次化结构通过接入层设备直接连接核心的两层架构保证网络的最优化设计提供最小的数据交换延时和最高的吞吐带宽核心采用冗余设计考虑统一集成安全方案实现对内网重要区域和应用系统的隔离和防护对网络流量能够提供硬件智能检测分析图形化管理楼内内网主干网络采用万兆光纤以太网技术核心和接入通过多模万兆光纤介质互连按照信息点密度的不同将每3层信息点集中在一个楼层内形成楼层配线间每个配线间设备直接双连接到骨干核心交换内网网络终端采用千兆以太网技术提供至少100M交换到面的接入方式。各配线间接入层设备为了减少单点故障和链路性能瓶颈的因素，建议万兆直连到核心。2.2.1内网网络结构市xx县机关单位内网基础网络架构如下图所示：对于核心交换层和接入层的网络设备功能描述如下：1.核心层：提供高速的三层交换骨干－思科609E旗舰级万兆多业务智能路由交换平台¾核心层不实施影响高速交换性能的ACL等功能。¾核心层能够提供很好的多业务并发处理能力。¾核心层应提供对网络的感知和自愈能力，如能够根据设备状态或链路质量进行自愈(IPSLA).¾核心层做为数据交换中心，除了提供高性能高可靠的平台外，还提供集成安全、应用加速、语音视频优化等多业务处理。2.接入层：提供Laer3的网络接入，－思科360E万兆全三层智能路由交换机¾接入层设备能根据实际使用情况具有逻辑隔离功能，具有相对独立性和扩展性；¾接入层能够实现对各种终端的智能识别；¾接入层设备能够很好的隔离二、三层攻击¾接入层设备能够支持QoS、组播、限速等业务处理能力。¾本功能区VLAN间的路由.¾各功能分区P地址或由区域的汇聚.¾部署功能区内、功能区之间的安全访问策略如ACL等。¾能够隔离来自接入终端的不安全隐患，如ARP攻击、地址盗用等。3.核心路由：作为广域网汇聚－思科7600万兆智能路由平台¾提供各种广域网接口类型，支持万兆平台¾高密度端口接入能力，汇聚各地市单位上联链路。¾集成多种硬件服务功能，并发处理各种网络服务。¾具有极高的可靠性和应用广泛性。¾能够实现对链路状态智能识别，能够完成自愈管理。¾支持各种路由协议，设备可灵活扩展和升级。2.2.2设备选型依据网络系统是日常业务和各种应用系统的基础设施，应保证工作日和重点时期不间断运行整个网络应有足够的冗余设备在发生故障时能以热插拔的方式在最短时间内加以修复。可靠性还应充分考虑网络系统的性价比，使整个网络具有一定的容错能力，减少单点故障。关键设备如核心和汇聚应该具有智能网络分析和自愈能力能够在自身或网络发生问题的时实现自动修复和保护能力。网络设备应该选用国际知名厂商同时要求产品厂家具备短期响应的能力能够提供专业的售后支持服务，以保证在设备发生故障的情况下能够在最短的时间内为用户解决问题。产品的备板备件也要较为充足以保证在用户硬件出现问题时能够及时更换保护用户原有投资。结合xx县机关单位信息化平台的建设思路，网络设备的选择需要考虑整体方案的完整性和扩展性思科做为全球网络方案的提供商其产品和解决方案都是业界最完善和优质的其有线网络无线网络IP语音通讯IP视频通讯的统一解决方案处于业界绝对领先水平其产品品质、品牌信誉和产品生命力都是毋庸置疑的。2.2.3各层次设计核心交换层设计核心层不仅担负着院内部各系统之间的高速数据交换，同时也是整个xx县机关单位业务服务的数据核心在进行核心层设计时必须强调大容量的交换性能和高可靠性同时也要考虑到数据中心的功能要求和业务扩展能力。因此我们采用双核心结构构建设市xx县机关单位网络核心层。我们在核心层设计时充分考虑了系统的扩展性和成本投入高效性故我们提出两种核心架构的解决方案。我们推荐核心交换机采用两台思科旗舰型高性能交换机Calt6509通过万兆链路相连，组成整个xx县机关单位内网的核心，核心层与汇聚层之间采用双千兆光纤链路，构成具有高转发能力和高可靠性的网络骨干。在核心层选择思科旗舰型交换产品6509除了其性能和高稳定性之外，我们主要是考虑到部署659交换机可以将整个内网核心设计成一个统一、高效、智能的业务综合服务平台和数据中心。思科的509交换机以提供：1. 高密度线速万兆端口－为数据中心提供高性能平台2. 高可用性软件系统模块化、业务系统智能感知、自我诊断和自我修复3. 多业务处理平台－可集安全防御负载均衡应用加速业务虚拟化等高性能处理模块为一体，简化网络结构提高运维效率。4. 系统虚拟化－核心完全虚拟化成单一逻辑中心减少由于网络设备变化配置变化等导致的网络恢复和管理时间，进一步提高系统性能和稳定性。核心交换机对于整个网络来书是非常重要的我们利用思科公司的旗舰型核心交换机领先的技术特性－S(虚拟交换系统)技术，将核心建造成一个虚拟化高效的平台。核心两台509通过S技术形成一个万兆核心对于用户管理和接入层设备完全是一个逻辑单元具有一个IP管理和MC地址的特点可以提高整体性能和可用性如可以减少由于部署二层网关协议VRRP或HSRP进行主备切换是的网络终端问题等。服务器区设计关键业务服务器直接通过两条千兆链路连接两台核心交换机这两条链路捆绑这样不但可以充分利用S的功能两条链路捆绑性能加倍且可靠性高无需服务器和系统的额外协议支持而且直接连接核心交换机服务器可以更高效率和性能的提供服务因为服务器交换机的上联只有2个或者4千兆而这样单台服务器就可以有2个千兆的上联性能。在服务器区域分为多个子网子网的划分可初步按照业务应用情况和数据库与其他应用服务器分开相结合的设计来考虑服务器区域子网的划分划分子网可以减少广播风暴而且还可以利用访问控制列表CL部署相应的策略提高服务器区域的安全性。接入层设计接入层是网络的接入边界负责将各种终端连接到网络中去同时需要高速向上连接核心交换设备。接入层需要规范网络访问行为，在网络的访问功能和管理功能中具有重要的作用。接入交换机采用思科高性能350E万兆三层路由交换机提供全千兆多层交换接入万兆上联能力的交换机，支持硬件组播处理，单机能处理多达1000多个组项，对于未来开展组播业务提供非常高效可靠的平台。另外思科3560E还完支持硬件Ipv6和MPLS的处理能力，对未来业务增值服务提供有效保障。通过360E端口高性能IC芯片可以将入口速率限速精度提高到8k，为QoS和病毒防治提供了很好的硬件处理能力。做为接入层设备除了能够承上启下提供高性能链路枢纽之外还能够提供各种业务处理和安全管理功能：高级安全特性接入交换机支持8.1x访问控制列表(CL)SecueShell(SSH)协议、动态ARP检测(AI)源IP防护和专用虚拟LAN(VLAN)等安全特性可增强网络中的控制能力和灵活性通过有选择地或全部实施上述特性网络管理员可防止对于服务器或应用的未授权访问，允许不同的人能以不同的许可权来使用同一PC。基于硬件的组播：支持PIM（密集和疏松模式、IGM。高级Qo：集成的基于第二到四层的QoS和流量管理功能，在300个QoS策略条目的基础上对关键任务和时间敏感型流量进行了分类和优先排序汇聚层交换机可以利用基于主机网络和应用信息的入口和出口策略控制器机制对高带宽流量进行整形和速率限制。全面的管理交换机为所有端口的配置和控制提供了基于eb的管功能，因而可以集中管理重要网络特性，如可用性和响应能力等。接入层集成安全特性：在接入层完全杜绝第二层安全问题由于任何用户都可以访问任何以太网端口而且可能成为潜在的黑客因此开放园区网不能保证网络安全性。因为I模型允许不同通信层次在相互不了解的情况下配合工作，所以第二层安全性至关重要即使某个层次遭到攻击,网安全特性遭到袭击其它层次也可以不受影响。通信可以照常进行，任何用户都意识不到其应用层信息曾遭到过袭击。第二层交换环境一般部署在配线间中很容易成为安全袭击目标第二层最常见的安全威胁之一也是最难检测到的威胁之一是旨在使网络瘫痪或者盗取密码等网络用户的敏感信息的网络袭击。这些袭击将非法利用正常协议处理，例如，交换机通过地址解析协议（AR‐RC86）或动主机控制协议（DHCP）服务器IP地址分配来学习MC地址，执行终端工作站MC地址解析等。常见的第二层安全威胁随着互联网上基于菜单的黑客工具的流行发动安全袭击需要的技能越来越少最常见、破坏力最大的袭击包括：• MC地址洪• DHCP服务器欺骗• 利用ARP发动的“中间人”袭击• IP主机欺骗值得重视的是，虽然使用IEEE82.1x和访问控制列表等验证和安全特性是网络威胁防御策略的重要组成部分但不能预防上述第二层安全袭击因为通过验证的用户仍有可能具有恶意袭击倾向，从而容易地发动上述袭击。利用交换机集成式安全特性可以轻松地预防这些常见的第二层安全威胁各种威胁和防止网络遭受袭击的安全特性如下：(1)MC地址泛洪MC地址指主机设备的物理地址。交换机的正常行为是在地址表中填写每个到达包的源地址和端口。去往未知目标MC地址的帧由VLAN上的每个端口发出。这就是交换机或桥接器在第二层执行转发、过滤和学习机制的方法。交换机具有固定的内存空间存储MAC地址试图造成该表泛洪或溢出的袭击将利用交换机内的在MC地址学习功能和转发行为。这种袭击将利用这种自然硬件限制向交换机发送海量未知MC地址让交换机学习。但是一旦达到了第二层转发表的极限包就会泛洪到VLAN的所有端口使黑客能够通过交换网络盗取网络连接，进而破坏网络性能。预防端口安全特性是一种动态特性，可用于限制和识别允许访问同一物理端口的站点的MC地址当某端口分配了安全MC地址或者动态学习完成之后端口将禁止转发该源地址范围之外的包。通过端口安全特性限制交换机端口上允许的MC地址的数量，有助于防止网络遭受MC地泛洪袭击。(2)DHCP服务器欺骗和中间人袭击网络袭击者通常使用恶意DHCP服务器发出IP主机地址，并将其作为默认网关，在两个端点之间重新转发正常流量从而窃取这两个端点之间的所有流量因此这种袭击也称为中间人袭击。预防:DHCP监听所有第二层端口都可以支持思科已获专利的DHCP监听特性。该特性能够为合法DHCP服务器规定可信端口，使之接发这些服务器的DHCP请求和信息。截获VLAN中的所有DHCP消息后，交换机可以作为用户与合法DHCP服务器之间的小型安全防火墙。(3基于地址解析协议（RP）的中间人攻击地址解析协议（ARP）的最基本的功能是允许两个站点在LAN网段上通信。攻击者可能会发送带假冒源地址的ARP包希望默认网关或其它主机能够承认该地址，并将其保存在ARP表中ARP协议不执行任何验证或过滤就会在目标主机中为这些恶意主机生成记录项从而提高了网络易损性目前恶意主机可以在端点毫不知情的情况下窃取两个端点之间的谈话内容。攻击者不但可以窃取密码和数据，还可以偷听IP电话内容。预防:动态RP检测这种攻击可以通过已获专利的思科安全特性——动态ARP检（AI有效预防这种方法能够保证接入交换机只传“合法的ARP请求和答复AI能够截获交换机上的每个ARP包检查ARP信息然后再更新交换机ARP高速缓存或者将其转发至相应的目的地。(4IP主机欺骗IP地址欺骗攻击者可以模仿合法地址方法是人工修改某个地址或者通过程序执行地址欺骗。互联网蠕虫可以使用欺骗技术隐藏攻击原发地。预防:IP源防护利用IP源防护特性，攻击者将无法冒用合法用户的IP地址发动攻击。该特性只允许转发有合法源地址的包。出口路由层设计在市xx县机关单位内网广域网出口位置部署一台思科万兆电信级多业务路由器，该核心路由器处于网络的出口的核心位置是市检查院广域网互联平台系统业务的集中汇聚点负责上联省院下联县级单位承担及实现整个广域网络数据的处理与转发所以它的可靠性和稳定性是整个备份网络良好运行的关键因此在选用网络核心主干层设备时应该考虑到设备的实用性成熟性先进性可靠性扩展能力以及安全性等方面我们此次选用了思科电信级的核心路由器60做省高法核心业务路由器，该路由器标准配置了8个100M端口用于连接县级下属单位和与其他网络设备互联该核心路由器除了具有大规模应用案例及良好的用户口碑之外，还具有以下特点：z 提供丰富的业务高品质QoS能力，是网络业务的重要技术基础。核心路由器要能实现智能业务感知，提供先进的队列调度算法、ARD拥塞控制算法，精确保证不同业务的带宽、时延和抖动，满足不同用户、不同业务等级的“区分服务”要求。核心路由器对多种业务提供硬件处理能力，具备高性能的业务能力，提供全面的MPLSVPN业务能作为高性能/PE应用提供高品质安全和多层次的MPLSVPN解决方案提供高性能组播能力。该设备支持各种类型广域网口（PS/CPS和1，具备硬处理多业务的能力，标准配置就可提供流量统计(Nflw)、QoS、MPL、IPv6、NT等专用硬件处理芯片，还可以通过选配各种安全服务模块实现安全隔离(防火墙、入侵防护、VPN)、应用加速等。z 路由处理能力此次市级节点核心路由器采用单机双引擎、双电源配置，整机性能达到32Gbs，同时建议再配置一个24个100M光纤层以太网接口用于扩展连接其他和设备同时整机具有万兆扩展能力，未来可仅通过平滑升级引擎将整机性能提升至少0倍。路由协议方面完全支持RIPSPFBGPI‐IS等单播路由协议和IGMPIMMBGPMSDP等多播路由协议，支持路由策略以及策略路由。对与组播和IPv6的高级应用实现完全硬件处理，保证多种业务的综合处理能力。子网划分VLA（VirtualLoalaNtork又称虚拟局域网是指在交换局域网的基础上采用网络管理软件构建的可跨越不同网段不同网络的端到端的逻辑网络一个VLAN组成一个逻辑子网即一个逻辑广播域它可以覆盖多个网络设备允许处于不同地理位置的网络用户加入到一个逻辑子网中。使用VLAN具有以下优点：控制广播风暴和基于链路层的攻击一个VLAN就是一个逻辑广播域通过对VLAN的创建隔离了广播缩小了广播范围，可以控制广播风暴的产生，并把基于数据链路层的攻击限制在所属VLAN中。提高网络整体安全性通过路由访问列表和MC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。网络管理简单、直观对于交换式以太网如果对某些用户重新进行网段分配需要网络管理员对网络系统的物理结构重新进行调整甚至需要追加网络设备增大网络管理的工作量而对于采用VLAN技术的网络来说一个VLAN可以根据部门职能对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动利用虚拟网络技术大大减轻了网络管理和维护工作的负担降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。市检查院ALN划分原则为数据中心和每个处室分别为一个VLANVLAN间的访问规则通过接入层交换机实现。路由设计对于规模较大的网络选择一个合适的路由协议非常重要路由协议包括两类静态路由协议和动态路由协议。市检查院专网路由协议的选择从管理和技术两个方面综合考虑路由协议选择的基本原则是：1、管理层次分明，局部的路由变动不影响上层路由配置和全局路由配置；2、路由技术的应用尽量简单、灵活，以提高路由器的处理效率。市检查院专网考虑到其网络结构简单稳定线路可靠等因素市检查院专网采用静态路由协议，并在适当位置进行手动路由汇总。网络管理设计配置一套智能化网络管理平台，统一设备资源和用户资源管理的平台框架的基础上，实现的基础业务管理平台包括基础网络管理和基本接入管理基础网络管理涵盖了传统网管的主要功能包括告警管理性能管理拓扑管理等基本接入管理主要管理用户的接入准入和控制。智能网络管理平台和CLQoVLAN等网络资源管理一起构成了承载其他业务的基础平台。网络管理是网络组建中不可缺少的重要组成部分一个良好的网络管理系统可以帮助用户在很大程度上优化网络结构、预防和及时排除故障，减少网络的维护费用。针对网络的具体情况，我们建议采用CISOORS000管理工具集Ciscoor2000是基于Iernt的网络管工具，它将传统路由器和交换机管理的最佳功能与基于b的最新技术于一体既充分利用了现有工具和设备中内置的管理数据也为快速发展的大型网络提供了新型网络管理工具，尽管它是CISO的产品，但却能与多厂商管理工具结合使用。思科智能网络管理平台CiscoWorksLMS的基本资源管理管理特性主要包括：一、网络资源管理------RME要管好任何规模的网络首先应掌握本网络系统内的各种资源包括路由器交换机等硬件设备和这些设备所运行的软（IS和配置文件这就需要oucemanaerEssetials（RM，它包含在Ciscoor2000的LMS工中。RME是基于eb网管工具，用于管理路由器、访问服务器和交换机。ME的浏览器界面允许网管员很容易的收集关系到网络可用性和可靠性的信息，从而简化了网管工作中大量费时的管理任务。RME包括了几个主要的应用程序：（1）库存管理（Inventory）网管员可用此程序收集网络中网络设备的分布状况和详细的软硬件配置清单RME通过内置的网络设备配置查询功能可以定期扫描网络中的每台Cisco网络设备读取其配置信息，这些配置信息被存储在一个中央管理数据库中，有了这个全网设备的配置数据库，网管员就可以准确了解到网络中所有设备的配置状况，并及时发现配置的变更情况。（2）软件管理RME中有一个SoftwareManagement管理模块，能针对一台或多台Cisco网络设备进行自动的操作系统升级管理员只需简单地设置好需要升级的操作系统版本和升级时间RME就可以自动地帮助管理员对大批量的Csco网络设备进行OS升级，如在升级过程中出现故障或错误还可以向管理报警，这也降低了网管员的工作强度，降低了维护成本。（3）配置管理从网络设备中读取配置文件并归档设备存储的配置文件与设备当前运行配置文件的比较，自动找出差别；可先在网管机上面编辑配置文件，再将编辑好的配置文件发送给网络设备，免去了现场配置的麻烦。（4）变化审计服务可生成针对设备变更的记录报表检查网络中所有设备变化配置修改设备软件的变化情况，将报表转存为文本文件输出。（5）系统日志（syslog）分析将库存设备发送给网管机CW2000的syslog信息生成报表，将报表转存为文本文件输出。（6）可用性管理可报告设备的可达性、接口状态、和反应时间等信息，并可重点监视关键设备可用性。二、网络资源监控------CiscoViewViw是一个基于图形化的设备管理应用软件，它包含在LMS工中，为o的交换机路由器提供动态的状态统计以及全面的配置信息Vw以图形方式显示设备的物理视图而且这种基于SNMP的网络管理工具还提供针对单个端口或整个设备的监控功能和基本的故障诊断功能由于CiscoView将CISO设备以图形化方式显示网管员可更直观的了解网络设备产生的大量管理数据诸如设备性能信息流使用率收发的帧、错误和其它设备状态指示等关键信息与数据这些都可以是图形化实时监控与跟踪能够进行配置更改如陷阱IP路由VLAN和桥接配置CiscoView中有阈值管理程序使网管员能够在预定义情况发生时定义告警条件和监控程序这样就降低了管理开销并缩短了排除故障的时间。三、网络性能监视------IPMIPM（IerntorkerormanceMonier）可监视并分析网络响应时间和可用性。网管员应及时掌握网络的健康状况和使用情况通过IPM网管员不必坐等发生故障后再去救火，而可以主动解决网络响应时间的利用率上的问题给用户提供实时和历史数据的报告利用IPM可以使Ciscoork2000管理从VPN到广域网的所有网络环境IPM采用基于A的技术提供b管理接口管理人员和普通用户都可以通过b浏览器查看响应时间和网络可用性的各种信息IPM可以输出日报周报月报IPM支持多个用户同时对IPM服务器进行访问。InternetworkPerformanceMonitor生成的网络延时统计报告四、网络故障管理------DFM当网中出现影响业务正常运行的故障时，DFM能及时监测到故障的发生，并根据故障对网络业务的影响程度向有关的网管中心发出实时的故障报警网络管理员在收到报警后应能迅速定位和分析出现故障的准确位置，并可根据故障管理系统的指引找出故障的解决方案。五、园区网管理------CmusagrCampusManer(CM)的主要功能是：建立局域网的二层拓扑图(CDP自动拓扑发现要严格限定在局域网内)；VLAN管理：在实际环境中通过VLAN管理功能实现局域网的VLAN管理。路径分析管理：通过此功能分析两个IP节点之间IP流量穿越的第二层路径和第三层路径，将显示结果与实际状况加以比较。用户跟踪管理：通过此功能显示所有的终端节点（即所有具有MC地址并接入网络中的PC服务器打印机IP电话等在显示结果表格中通过MC地IP地址VLAN等信息寻找主机。一般来说，网络管理提供的是一种服务，它通过一系列的工具、程序和设备，帮助管理人员监视和维护网络运行以及为网络系统的规划提供网络层和应用层的可靠数据在日常的网络管理过程当中经常包含下面三个过程安装配置和更改配置网络监视和故障诊断、网络设计和优化。网络理提供的不只是一个网络管理平台而是基于全线网络设备的一系列系统管理软件。网络管理系统必须实现比如设备面板监控、配置管理、设备软件升级管理、QoS服务质量管理等以及许多现代网络中必备的技术管理如VLAN管理访问控制管理等功能。为用户提供强大的网络管理、分析和规划手段。2.3外网网络方案设计外部网络连接主要有Iernt连接线、1个外服务器网络。所有网络使用防火墙连接到内部核心交换。防火墙上分有内部、DM、外部、等多个区域。外网网络结构本着经济简单安全逻辑性扩展性强的原则进行设计网络核心交换机采用单台设计采用一台思科40E做为外网交换核心思科400E有较好的扩展性以及高稳定性、高性能特点。采用了CeerFlx技术的CisoCalt400系列交机能够通过安全灵活不间断的通信提供可以扩展的无阻碍L2L4层换从而保障关键业务应用的永续性由于oCalt450E能提供先进的动态服务质（QoS功能和配置灵活性因而能提供可以预测和扩展的高性能硬件和软件中的集成式永续特性有助于提高网络可用性，以提高劳动力的生产率和。oCalt450E创新、灵活的集中式系统设计有助于顺利迁移到线速IPv6和兆以太网。oCalt450E的灵活性可扩展性以及向前和向后兼容性，延长了部署周期，提供了卓越的投资保护，并降低了总体拥有成本。●性能CiscoCatalyt450E供的高级交换解决方案不但能随着端口的增加扩充带宽还采用了业内领先的应用专用集成电路（ASIC）技术，能够提供线速L2-L310/10或千兆交换能力。由于L2交换提供模块化管理引擎灵活性和全面的线路卡兼容性，因而能将性能扩展到28Gbps和225Mpps。●为关键业务应用提供带宽保护：利用QoS或安全特性，在部署Ciscoatalyst4500列管理引擎时，将不会降低转发性能，CiscoCatalyst400系列平台将继续以完全线速转发。●端口密度456E单机箱最多能够满足244个以太网端口的网络组件连接要求CiscoCatalyst4500系列支持万兆以太网上行链路端口，支持高密度千兆以太网到桌面部署和交换机到交换机应用。CiscoCatalyst4500系列的可热插拔、易于使用的模块化交换解决方案不但能降低复杂性，还能容易地支持当今网络中不断变化的桌面环境。●功能上透明的线路卡：只添加新的管理引擎，CiscoCatalyst4500列系统就可以容易地将所有系统端口升级到更高交换功能与迁移过程中需要执行全面设备升级的传统交换产品不同该系统不需要更换老线路卡和布线就可以增强所有系统端口的功能。这种架构优势延长了CiscoCatalyst4500系列线路卡的有用部署时间。●高级安全性：在CiscoCatalyst4500系列上支持多种安全特性，例如802.1x、访问控制列s表（ACL）、安全Shell（H）协议、单播RPF（uRP）、端口安全性、动态ARP检测（DAI）、IPourceGuar、控制平面限速、802.1x可访问认证回避、802.1x向控制端口、MAC认证回避多域认证和专用虚拟局域（PVLAN以便增强网络控制和灵活性如果有选择地或者全部采用这些特性网络管理员不但能防止非法访问服务器或应用让不同的人用不同的权限使用同一台C，还能防止网络入侵者通过盗窃用户名和密码访问交换机，或者防止出现有意或意外广播风暴。●基于硬件的组播独立于协的组（PIM密集模式和稀疏模式互联网小组管理协（IGMP、组播侦听器识（MLD侦听和思科组管理协议支持基于标准的经过思科技术增强的高效多媒体网络，而且不会降低性能。●可管理性：CiscoCatalyst4500系列得到了CiscoWorks产品线的支持，提供的创新工具能够集中管理主要网络特性例如可用性响应能力永续性和安全性以便建立智能交换基础设施通用模块化QoS命令行界面（CLI）不但能简化策略流量图的创建，还能为大、小型CiscoCatalyst交换机提供一致的界面网络运作可以通过基于ebGUI和CLI的灵活管理方式得到增强最重要的是，每台CiscoCatalyst450系列交换机都有思科服务和支持解决方案作后盾。●千兆到桌面：CiscoCatalst4500系列已经提供了很多1000Mbs桌面和服务器交换解决方案。利用为CiscoCatlst4500系列开发的8端口和4端口三速自适应、自协商10/100/1000BASE-T线路，千兆解决方案的范围很容易扩展到桌面。三速8端口和4端口模块再加上自适应技术能够提供局域网投资保护因为在未来快速以太网桌面无需更换线路卡就能迁移到千兆以太网。考虑到外网数据流量走向全部是由桌面终端到互联网出口的访问特点所以此次外网结构采用千兆光纤骨干(接入－核心)百兆桌面接入的方式，考虑到外网每个配线间信息点较少，接入交换机可采用级联方式连接中心机房。如下图所示：公网出口能够提供独立的安全防护边界，通过一台思科统一安全平台A0提综合安全防护在提供地址翻译防火墙安全隔离的功能外还可以提供IPSCVPN和SSVPN公网访问接入功能。另外再在防火墙隔离出DZ区连接外网应用服务器，实现内外访问的安全区域划分。同时为将网络可能存在的风险隔离到最小的区域建议在A0上增配安全网关模块实现对病毒、垃圾邮件攻击的防护。在外网接入层设备选型上考虑到必须具有足够的端口密度同时还要有一定的智能访问控制能力，在整个网络安全体系中构建设第一道安全屏障。我们建议采用思科Calt298系列交换机，其采用简体中文的设备面板和图形化界面，以特优的性价比，为级线间提供桌面快速以太网和千兆上行网络连接。oCalt2918系列过提供标准安全策略、服务质量(QoS)和可用性功能，降低了网络总体拥有成本。1.安装和配置ƒ 中文快速设置ƒ Smartpors和Smartportsdvisorƒ DHCPAuoInall(IP地址，配置文件，IS镜像)ƒ 配置更换，能回退配置更改ƒ 使用思科发现协议，发现邻近设备ƒ 通过elnet和控制台接入用户熟悉的CisoIS命令行界面CiscoSmartports.CiscoCatalvst

CiscoSmart.ÓQoS.CiscoCIystWeb-HTML2.8物面保护缆或

域计(T电测障点这一防缆成单

向检测()向路路保协缆或破坏

太（EheCanne）建个，高宽时供多输2.3.1外网DM区设计DMZ区是检查院外网与内网不同的设计功能。在外网中，业务系统和相关的数据库等配置在逻辑隔离设备（防火墙）的内部，xx县机关单位以外的合法用户通过VPN网络连接，正常使用业务系统公众用户不能访问面向公众的服务系统如网站群系统邮件系统案件登记的预约系统以及其它面向公众开放的系统配置在在外网DZ区中，既能够对公检法系统的工作人员提供服务，也能够对公众提供服务。这种设计能够有效保护xx县机关单位业务系统，使之能够在相对安全的环境中运行。DMZ区的网络设备为一台交换机，在本方案中建议采用专用服务器区交换机设备，提供的电接口数量不能少于24个。2.4内外网出口防护统一解决方案－PN＋IP＋FW由于以往的网络边界安全防范方案大部分采用路由器－负载均衡设备－防火墙－VN网关－IPS串接的网络架构，使得网络架构复杂且多台安全设备无法统一管理和互动，给网络性能和管理带来不小挑战。所以为了使xx县机关单位网络边界的安全部署简单而高性能，我们建议采用冗余安全平台网关的部署方式在互联网出口并行部署两台A540用于内外网间的安全防范。该设备作为UTM网管，将防火墙、VPN、IPS、NT等多功能整合。思科A500支持多种PN技术的同时使用使得接入更为灵活方便，在远程分支机构和总部之间可以采用Sie‐o‐Sie的方式进行VPN连接，对一些分支办公室或小型单位可以采用IsecVPN的emeCliet端方式进行VPN安全通道的快速建立对于一些在家办公或出差员工没有固定PC终端的移动用户可以采用SSLVPN的方式进行安全连接SSLVPN无需在电脑安装、配置和维护相对复杂的VPN客户端软件。通过双A500的部署不解决了来自互联网的多种安全VPN连接方式的同时有效安问题，而且解决了防火墙等安全平台的单点故障问题，双A可以做到双VPN网关的集群，以及双防火墙的冗余热备。ASA5520自适应统一威胁平台由于00系列通过IPS模块的配置可以将IPS设备的部署简化，以提高其与防火墙互动性的维护复杂性。IPS模块采用专用设计芯片和处理器对网络数据包进行深度检测，能够实现对非法应用程序和流量的终结。有效保护了xx县机关单位网络的安全，大幅度降低了外来安全隐患。思科A50系列集成成熟的安全技术在攻击扩散到整个网络之前及时加以制止，能够为各种规模的组织提供安全保障多业务并发的情况下各种业务功能通过其内置专用处理器进行独立处理，从而不会影响设备性能。另外A500系列是科自防御网络（SDN）的重要组成部分，oA500系列可以控制网络和应用流量降低总体部署和运营成本避免了全面的安全保障所可能导致的复杂性。A除了高级防火墙功能外还提供灵活的虚拟专用（VPN连接集成了硬件VPN(支持Isec/SSL可同时使用)加速，以及硬件IPS功能。对于VPN服务，由于oA500系列提供灵活的技术，因而能根据远程接入和站点到站点连接要求，提供定制的解决方案。oA500系列提供易于管理的IPSecurity（Isec）和安全套接字层（SSL）VPN远程和网络敏感型站点到站点VPN连接，使网络能够通过公共网络为移动用户、远程站点和业务合作伙伴创建安全连接。利用oA500系列，各机构不需要降低各单位的安全策略的完整性，就能够获得互联网的连接和成本优势oA500系列将VPN服务与全面威胁消除服务有机地结合在一起提供安全的VPN连接和通信。集成式自适应威胁防御功能提供统一保护，保证VPN部署不会成为网络攻击的导体，例如蠕虫、病毒、坏件或黑客等。不仅如此，还可以为VPN流量应用详细的应用和访问控制策略使个人和用户组能够访问到他们有权访问的应用网络服务和资源（见图1。远程接入oA00系列提供支持多种连接方式的完整远程接入VPN解决方案，包括ebVPN（SSLVPN、oVPNCliet（IPSecVPN）以及从Winds移动设备建立的Nokiaymbian移动无线和无客户端接入利用思科的远程接入技术各机关位只需部署一个集成式平台，就能广泛支持各种核心应用，简化管理，并提高部署灵活性。安全的远程连接可以通过SSL型b浏览器或VPN客户端建立因此不需要部署和管理独立的设备就能够获得最高的灵活性和应用接入。利用oA500系列全设备，各单位可以为每个用户组选用最适当的技术而不需要同时部署多种解决方案利用安全远程接入由于企业不再需要同时为SSL和IPSecVPN分别建立立的平台因而提高了效率，降低了成本。基于IPSec的远程接入利用IPSec提供远程接入能够建立最增强型的可定制连接。利用IPSec，用户几乎可以访问任何应用就好像自己与总部局域网建立了实际连接一样思科IPSec远程接具有高度可定制性，利用提供的API，管理员可以编写执行程序及其它定制程序。oA500系列是科系统®公提供的功能最丰富的基于IPSec的远程接入解决方案。对于IPSec部署，由于A50系列充利用了oVPN3000列集中器平台的特性和功能，因而能提供几乎相同的功能，但每用户吞吐量更高。不仅如此，A50系列还能无缝地与现有VPN300集器集群集成在一起，使两个平台同时为相同的用户群服务。另外，oA500列还提供其它思科安全解决方案也提供的新型oyVPN远程接入功能例如oPIX®安设备oIS®路由器和oVPN3000系中器。oyVPN提供可扩展经济高效易于管理的独特远程接入VPN架构并能够降低传统VPN解决方案维护远程设备配置所需要的运作成本CiscoA500系列设备能够将最新的VPN安全策略动态推广到远程VPN设备和客户端，以保证这些远程端点在建立连接之前先实施最新策略，从而实现最高的灵活性、可扩展性和易于使用性。oA500系列安设备支持VPN客户端安全策略实施，在试图建立VPN连接时执行安全检查，包括安全策略执行情况、版本号以及公司管理的主机安全产品（例如SecurityAent或个人防火墙软件，然后再允许远程用户接入公司网络。另外，CioVPNCliet还可以根据客户端的类型、安装的操作系统以及oVPNCliet软件的版本限制网络连接，以防非法VPN客户端接入公司网络。oVPNCliet和oVPN302HadaeCliet可以自动执行软件更新，即能够在建立VPN连接时触发更新，或者根据需要更新当前连接的VPN客户端。这种方法使管理者能够轻松地更新远程用户的客户端软件。远程接入用户可以依据设备本身的内部用户数据库进行认证，也可以利用RADIUS或CC+通过外部源完成认证。由于与主流认证服务，包括MicostctieDieory、MicostWindsDomainerbeos轻量目录访问协（P和ASecurID集成在一起，因此，不需要通过独立的RADIU/CCS+服务器就能完成用户认证。基于SSLVPN的远程接入oA500系列能同时为无客户端和完全网络接入部署提供核心SSLVPN功能。无客户端接入适用于非公司管理的桌面例如外部网系统和公共接入点完全网络接入适用于需要一致"局域网型"用户体验并需要访问所有应用或网络资源的远程接入用户基于SSL的完全网络接入通过oSSLVPNClietorebVPN提供，这种网络接入与IPSecVPN客户端相似，但不需要预装VPNCliet软件。SSLVPN只使用eb览器及其本地SSL加密，不需要预装VPN客户端软件就几乎能够从可以接入互联网的任何位置远程访问网络资源。利用oA500系列上支持的ebVPN能够容易地访问多种政府应用包括eb资源eb型应NctieDiecory文件共（eb型电邮件以及基于CP的其它应用例如来自与互联网相连可以到达HTTP互联网站点的任何计算机的elnt或Wids终端服务ebVPN使用SSL后续产品ansporterSecurit（TLS）在远程用户与中央站点的特殊内部资源之间建立安全连接。使用ebVPN建立安全连接之后，不需要安装其它桌面软件就可以从任何系统接入网络。站点到站点利用oA500系安全设备提供的网络敏感型IPSec站点到站点VPN功能，政府单位可以利用低成本的互联网连接安全地将其网络扩展到商业合作伙伴以及世界各地的远程和卫星办公室。A500系是思科推出的功能最丰富的基于设备的站点到站点VPN解决方案。通过无与伦比的网络特性集成，ioIS路由器能够提供业内最先进、最灵活的站点到站点VPN连接。分支机构和远程机构能够将公司的范围扩展到主要市场和位置基于oA500系列的VPN解决方案能够在多个位置之间建立安全的高速通信，提供政府单位通信所需要的性能、可靠性和可用性。VPN连接可以使用数字证书和预共享加密等多种方法认证。oA500系列安设备提供的VPN基础设施支持当今的各种应用并能够通过安全的IPSec网络传输语音、视频和数据。增强型的站点到站点VPN服务与丰富的检测功能和服务质（QoS特性结合在一起使政府单位能够利用融合型网络的诸多优势由于政府单位能够利用oA500系设备，并能够将VPN与QoS特性和丰富的检测功能结合在一起因而能安全地将语音和多媒体服务扩展到远程机构环境充分利用融合型网络具有的诸多优势，包括提高生产率、降低运作成本和增强竞争优势等。延迟抖动和包损失都会降低语音和视频质量oA500系列延迟队（LQ）和流量侦听特性支持QoS要求很高的应用例如语音或视频以保证端到端网络QoS策略。延迟敏感型流量的传输可以优先于文件传输以及能够容忍延迟的其它流量队列性能可以通过一系列配置参数优化。通过VPN部署语音和视频时应该状态化方式检测流经网络的所有多服务流量A500列安全设备能够为多种IP语（oIP和其它多媒体标准提供市场领先的保护。支持的oIP和多媒体标准包括H.323版本4话发起协（SIP思科瘦客户端控制协议（SCC实时流协（P和媒体网关控制协（MGCP这些协议能够帮助政府单位安全地部署多种当前及新一代oIP和多媒体应用。为简化配置和提高永续性oA50系列具有网络拓扑敏感性由于A5系列支持VPN隧道上首先打开的最短路径（PF）路由，因而能沿用网络可到达性知识，保证流量的有效传输。不仅如此，子网自动识别特性还能简化配置，因为它能够识别每个VPN网关背后的所有主机。VPN连接的威胁防御威胁防御：蠕虫、病毒、间谍软件、广告软件、特洛伊木马、DoS攻击蠕虫病毒应用嵌入式攻击和应用滥用是当今网络面临的重大安全问题由于当今的VPN设计具有漏洞，因此，远程接入和远程机构VPN连接是这些威胁的通用切入点。目前，很多VPN部署都没有在总部位置的通道终点采取适当的检测和威胁防御措施，因而使坏件很容易从远程机构或用户感染到网络并伺机传播。利用oA500系，不需要增加成本，不需要增加设计、部署或运作的复杂性，就能够使检测和威胁防御作为VPN解决方案的一部分利用A500系列的融合型威胁防御功能客户可以在坏件进入网络内部并传播之前就及时发现并阻止对于应用嵌入式攻击，例如通过文件共享对等网络传播的间谍软件或广告软件，A500列能够深入检测应用流量，以便在坏件瞄准目标并造成危害之前就及时发现危险负载并丢弃其内容。oA500系列安设备的应用层检测功能能够防止VPN部署遭受拒绝服（Do）攻击例如YN泛滥互联网控制消息协（ICM泛滥ado端口扫描"pingsfdth"以及很多其它常见攻击。应用滥用与访问控制适当的VPN安全设计不但要阻止威胁还要了哪些VPN流量正在使用网络资源和带宽，并控制对网络资源的访问。HTTP端口80最初是为eb流量设计的，现在主要用于即时消息传送、aa等对等程序以及其它应用。oA500系能够识别、检查和控制隐蔽端口80应用的各个方面。它能够全面阻止某些流量或文件类型，也可以细致地限制某些行为，例如来自即时消息传送应用的文件传输。应用敏感型检测引擎提供丰富的状态化检测服务，能够跟踪所有合法网络通信的状态，并防止非法访问接入这些集成功能能够为当今不断变化的网络环境提供一道坚实的多层防线。将详细的安全策略应用到VPN流量之后，个人和小组将能够访问他们有权访问的服务和资源。所有VPN流量都将解密和检测，以保证只有合法内容才能通过设备。网络管理员能够定义用来协调远程机构和员工的安全性和连接性的策略这个策略既能提供无与伦比的安全性又能保持可访问的网络环境oA500系列安全设备提供集成式安全方法使各机构既能充分利用互联网的连接和成本优势又不会降低公司安全策略的完整性（见图2。图2oA500系将威胁防御与VPN功能结合在一起，提供安全的VPN连接永续性oA500系列安设备支持多种永续性以保证VPN部署能够实现最高的可靠性和性能。由于永续性集群功能能够将VPN会话均匀地分布到所有CiscoA500系列和VPN3000系列设备，因而能经济高效地扩展远程接入部署。集群提供的集成式负载均衡不要用户干预也不需要外部负载分布就能够分布远程接入oA500系列和PN3000系列集中器的不同型号可以共存于同一个集群中并按照每台设备的容量分布负载这种高度灵活的容量不仅消除了单故障点还能保护客户的投资因为利用一个解决方案就能满足整个机构的需求。由于VPN状态化故障切换能够延长VPN正常连接时间因而能保证网络的永续性和冗余性。利用oA500系列安设备的状态化故障切换功能，所有VPN安全关联状态信息和会话关键材料，都能在故障切换对列的成员之间自动同步，从而建立永续性极高的VPN解决方案。配置为故障切换对列的设备能够实现连接状态和设备配置数据的连续同步。同步可以通过高性能局域网连接实现利用地理位置不同的故障切换对列可以增加一道防线当系统或网络发生故障时网络通话可以自动从主用设备转移到备用设备上而且整个过程对用户是透明的。PF动态路由服务支持IPSecVPN隧道邻居，能够提高VPN连接网络的可靠性。网络停顿在几秒钟之内就可以被检测到并能够及时转移流量另外为提高网络性能和可靠性，还支持反向路径注入（RRI。集成式管理集成式odatieSecurityDviceManager提基于eb世界级管理界面，能够大大简化单台oA500系列安全设备的部署后续配置和监控而且不需要在管理员的计算机上安装任何软件（需要标准的eb浏览和Ja插接件。VPN和智能设置向导能够容易地集成到任何网络环境中信息监控特性包括仪表盘和实时系统日志浏览器则能够提供重要的设备/网络运行状态和事件监控。这种集成式eb管理供易于使用的简单界面以便配置和监控所有VPN服务在IPSec和SSLVPN用户环境中提供易于管理性基于角色的管理使管理员能够为每个远程接入用户/用户组配置所有访问控制、安全策略和认证方法。oA500系安全设备总共提供16个可定制管理角色，使政府单位能够向管理员和操作员授予对每种设备的不同访问等级（例如：只允许执行VPN服务配置、只允许执行防火墙服务配置、只允许监控或者只提供对配置的只读访问等。另外odatieSecurityDviceMaer还能面管理所有威胁防御特性通过同一个控制台配置和保护VPN连接的各个方面思科A独有的内置安全管理软件平台(SDM)可以以图形画的界面帮助用户进行所有相关功能的配置以及设备监控包括CPU带宽利用率以及连接及并发会话数量监控等等。从而大大降低安全设备的管理复杂性•提供对ASA的图形化管理配置和监控工具。•支持通过图形化界面配置下列安全功能:-访问控制-应用安全-Anti-x&atckscs-VPN策略-路由-AAA认证及其他•支持下列网络监控功能:-Sslog(eal-tie)-连接数量-数据吞吐量-系统状态&more完整的功能管理理当前设备状态实时动态检测实时性能监控集成时间管理PolicyiwopologyiwoA500系列为VPN部署提供了一个灵活的全特性平台安全的远程接入会话可以从SSL型eb浏览建立，也可以从VPN客户端建立，因而实现了最高的灵活性和应用连接。强大的站点到站点VPN服务、丰富的检查功能和QoS特性，为当今的应用提供了一种能够通过安全IPSec网络传输语音、视频和数据的VPN基础设施。利用oA50系不需要增加成本也不需要提高设计部署或运作的复杂性，就能够将访问控制、应用检测和威胁防御作为VPN解决方案的一部分。管理员只需制定一个网络策略，就可以既提高安全性，又保持网络环境的可访问性。利用思科在VPN方面的丰富专业知识，xx县机关单位内络只需部署一个集成式平台，就可以一方面支持核心网络应用，一方面提高易于管理性和部署灵活性。初次之外，思科A独有的内置安全管理软件平台(SDM可以以图形画的界面帮助用户进行所有相关功能的配置以设备监控包括CPU带宽利用率以及连接及并发会话数量监控等等。从而大大降低安全设备的管理复杂性•提供对ASA的图形化管理配置和监控工具。•支持通过图形化界面配置下列安全功能:-访问控制-应用安全-Anti-x&atckscs-VPN策略-路由-AAA认证及其他•支持下列网络监控功能:-Sslog(eal-tie)-连接数量-数据吞吐量-系统状态&more完整的功能管理理当前设备状态实时动态检测实时性能监控集成时间管理Policyiwopologyiw2.5内外网安全隔离和数据交换为实现市检查院外网门户网站对公服务业务的在线快速受理和信息处理结果的及时反馈，在保障xx县机关单位专网安全性的前提下，在专网和外网之间进行数据互交换。可以在专网和外网之间部署一台高性能安全隔离网闸安全隔离网闸部署在外网前置数据库服务器和专网核心数据库服务器之间数据库服务器以双千兆链路通过交换设备连接到安全隔离网闸。在保证专网和外网的物理隔离和专网数据安全的基础上实现专网和外网之间的双向高速数据交换。2.6检查院专网数据中心设计方案2.6.1数据中心架构建设传统内网/局域网内的服务器部署没有严格的规定往往造成数据的分散存储由此带来安全性性能性可靠性方面的各种问题新的网络在设计之初就应该避免业务数据的分散部署因此构建一个高效安全可靠的数据中心就成为一个公检法信息化的重要内容。数据中心的设计，必须考虑以下5点：1.存储整合与虚拟化使用计算的出现要求数据中心及其存储联网基础设施进行相应的改进以实现使用计算的优势对于AN这就意味着进行前所未有的大规模整合并通过存储及网络虚拟化方面的改进提高可管理性。2.服务器群整合为改善服务，对业务需求快速作出响应，数据集中已经成为政府业务发展的必然趋势。业务连续性业务连续性计划中最重要的部分是存储技术和基础网络它们能够保护公司的数据和知识资产并保持其可用性。3.内容网络思科内容传输网络(CDN)允许服务供应商和政府将丰富的媒体内容分配到离目标客户更近的地方它克服了如网络带宽可用性距离或延迟障碍源服务器可扩展性和峰值期间的拥塞等问题。4.高性能运算集群和高性能计算正逐步进入政府很多应用例如MicostEchane和Oacle10g都能组成集群（而且经常按集群销售。5.存储网络安全为了保持一个业务的正常运行，数据——政府最重要的资产——必须在任何时候都可供使用。不仅数据丢失会造成灾难性的后果，数据无法访问也会造成同样严重的损失。以往的数据中心建设中遵循的“以服务器为中心的原则由于业务的复杂性客户往往需要选择数据交换机、4‐7交换机、Cache设备、SSL访问集中、应用加速设备、防火墙入侵检测设备等种类繁多的设备来实现数据交换服务器负载均衡业务数据缓存SSL流量处理网络安全管理等业务需求复杂的技术组合带来了更高的投资成本和管理维护成本，不同厂商产品间的无缝集成也极大的困扰着客户。随着应用的要求不断变化新的数据中心设计已开始遵“以业务为中心的原则所有的服务器网络设备计算能力等都必须具备模块化的组合能力以适应持续增长的业务处理要求。公检法单位需要对大量信息数据进行集中管理提高服务响应能力同时xx县机关单位的IT管理部门在管理数据中心时总是需要在现网的基础上尽可能多的降低运维管理费用并且不增加管理复杂度不增加网络设备的占用空间为了达到上述目标在高效的网络上传送应用服务，通常会遇到各种各样的困难，这些困难包括：•部署一项新的、按需而生的应用需要耗费大量的时间和金钱•未充分利用服务器资源导致效率偏低•多厂家设备使得应用传送平台架构越来越复杂•应用响应时间越来越长，导致客户满意度降低，降低生产率，丧失竞争优势•交易数增长受限于数据网络容量，降低应用效率• 基于应用的攻击呈上升趋势为了克服以上困难，xx县机关单位数据中心需要一个简单的易于管理的应用平台架构。基于该平台应当能够快速的部署各种新应用应当能部署各种高级别的关键应用所以我们建议此次网络建设中，在数据中心建设中可以在网络设备层面提供完善的解决方案。可以通过在650平台嵌入智能服务模块－CE负载均衡器解决以上问题，这也正是思科公司CE负载均衡模块的设计初衷。思科的650交换机提供了一个高性能的综合业务交换平台集成了各类业务服务模块，能够满足客户最全面的技术需求简化了网络结构的复杂度并提供更优的设备兼容性和更高效简单的综合管理思科的服务器交换机提供全线速的千兆接入和万兆上联是服务器集群接入的理想之选同时思科还将提供存储交换高性能计算光交换等全线数据中心技术产品。CE产品介绍o应用控制模块(ApplictionCotolEngine,C)是适用于Calt650备的专用业务模块，可以为后台应用服务器提供高性能表现和最高级别的体系控制和安全保护。CE主要针对政府大型用户的服务器集群环境可以有效地对重要应用数据的传送进行优化和简化，同时具备良好的性价比。CE提供如下的性能和功能：（1）ACE提四七层数包内容交和载均衡能为服务机提供虚地址和端口。ACE在插入atalyst6500后，交换机上的所有端即可成为四层交换端口AE与Ctyt6509数据总和换矩阵有接为b为50（2）ACE具备分配和离能在一理模块ACE以划多个独的分区每个区都可分给一个用者一个户用另一个分都持层次化管模式，供资源管的活性和全。ACE支持基于角的问控制(role-basedccesscontrol),有的用都分配了应角色(role),每个角色在区被允许行关的命集例如系管员角(systemadminrole)可以执行ACE所有的命令而应用程序管员角色(applicationdminrole)只能执行和后台用内容交的令等。（3）ACE具有的安全能可以有地护后台应程序免恶攻击。要：P静态和基于策略的地址转换(NAT/PAT)，访问控列、TCP包证、TCP状态监等。（4）ACE支持次的冗性对关键务供最高级可用性ACE的冗余保护对动的接进行护保证当业板卡故时务连接然以保持ACE是目前业唯可以实以三种高用保护的层换机• 机箱间余---台机间的ACE板可互为余护• 板卡间余---一机内的个ACE板卡可为余保护• 虚拟分前余同一ACE卡内同虚拟区前可互保护（5）硬件加方的协议制对常见议供有效检、过滤绑。这协议包括HTTP,RTSP,DNS,FTP,ICMP等。硬件方式实现ACL和NAT功能，最多支持一百万个NAT转表项。CE的优势思科CE系列产品具有应用和网络运行管理功能，可从新的层面控制用户在扩展企业内部署、运行、提供、保护和管理应用及业务服务的方式（图1。科CE提供了更强大的应用基础设施控制使企业能够快速部署和迁移应用在为终端用户提供最高服务水平的同时简化数据中心的总体管理和运营凭借将最高的应用性能应用安全和基础设施简化汇集于一身，思科CE解决方案可以帮助企业和运营商降低总运营开支(OpEx)和投资开支(CapEx)。图1.思科CE模块应用基础设施控制虚拟分区实现了资源分段和隔离，使思科CE可作为一个物理模块中的多个独立虚拟模块运行。凭借这个解决方案，企业能够利用一个思科CE模块，为多达50个不同的企业机构应用或客户和合作伙伴提供事先定义的服务水平虚拟分区使应用基础设施能更好地用于业务运营，同时减少设备并实现出色的控制。另外每个虚拟分区还包括分级管理域既能确保应用的性能水平又可使C模块中的可用资源得到最大限度的利用。思科CE为分散的管理提供集中的控制，从而为每个虚拟分区提供了基于模板的或可自定义的用户访问权限基于角色的访问控制(RC)特性允许企业对管理角色进行定义限定管理员对模块或虚拟分区内特定功能的使用权由于一个机构中可能有多位管理员需要以不同级（例如应用管理服务器管理网络管理安全管理等与思科CE模块互动，因此对这些管理角色进行准确定义使每个管理员群组都能够在不影响其他群组的情况下顺利地执行任务，无疑是一项重要工作。凭借应用基础设施控制功能，思科CE大幅提高了工作总量，使您能对应用需求作出快速响应（图2。图2.思科CE虚拟分区和RC物理模块管理分区区A区B定义

分区A 分区B1域 2

角色管理网络安全资理

VP2服务器群1服务器群2

服务3服务4SSL证书12

服务器管理监控管理工站应用性能思科CE提供了业界最高水平的应用供应能力每个思科CE模块的吞吐率可高达16s每秒支持34,00个持续连接可以轻松地处理大量数据文件多媒体应用和庞大的用户群体CE系列模块配备“随增长而投资的付费许可证提供了最高16s的可扩展吞吐率客户无需为扩充容量而全面升级系统在设计上CE也为未来的增值服务和扩展功能预留了空间。实际上，通过在单一oCalt600机箱中装四个CE