办公大楼综合楼智能化工程计算机网络系统设计方案

办公大楼综合楼智能化工程计算机网络系统设计方案办公大楼综合楼智能化工程计算机网络系统设计方案方案要点概述在XXXXXXXXXXXX新办公大楼综合楼智能化工程计算机网络系统设计中，我们对用户的需求进行了详细的分析，并就系统进行了深入细致的设计。系统设计主要为：网络技术选型的考虑以及网络拓朴的设计网络技术选型办公大楼综合楼智能化工程计算机网络系统设计方案全文共1页，当前为第1页。XXXXXXXXXXXX的网络系统经过多年的建设，目前局域网、城域网主要以千兆为主；到省公司广域网采用ATM155M，到各个县公司目前还以2M专线为主。随着江苏省电力公司企业内联网系统的建设，到各个县公司将在升级到千兆，并且在全网采用MPLS/VPN技术架构。核心设备为Cisco6509及8540交换机为主，接入层交换机主要为Cisco3500系列交换机。目前的网络拓扑现状如下：办公大楼综合楼智能化工程计算机网络系统设计方案全文共1页，当前为第1页。新大楼网络系统主要是在现有局域网系统上进行扩容，在技术及设备上最好延续现有的网络系统，保证系统的平滑互连。并考虑今后网络系统升级的扩展性。主干采用千兆以太网技术，为了增加主干系统的带宽，可以考虑采用GEC（千兆以太网捆绑）技术。设备考虑延续采用Cisco设备。网络拓朴的设计针对XXXXXXXXXXXX本次网络系统建设范围主要包括三个独立的建筑物：主楼、服务楼、信息XXXX楼。网络主体架构采用环型＋星型结构，即在三个建筑物内配置三台Cisco三层交换机，相互间采用双千兆链路互连，构成核心环网；在每个建筑物内，根据楼层信息点的分布，在楼层配线间采用接入级交换机采用星型拓扑连接到本地的核心三层交换机。网络管理系统网络中涉及的设备繁多，需要进行状态检测、设备配置、策略设置等，在网络发生故障时能够及时发现问题，这需要一套功能强大的网络管理软件。方案中选用Ciscoworks2000软件作为局域网管理平台，能够与方案中设计的网络设备良好配合。对应用支持的考虑办公大楼综合楼智能化工程计算机网络系统设计方案全文共2页，当前为第2页。基于网络的应用很多，包括办公应用、用电营销、财务、视频监控应用等。有些应用对网络的要求比较高。针对XXXX市供电公司新大楼智能化工程计算机网络系统，在网络设计的时候，我们在设备性能以及协议等方面作了充分的考虑。例如网络主干采用1000M以太网技术，网络设备具有良好的扩充性以及扩展性。对于用电营销及视频监控应用，需要网络具有良好的服务质量（QoS）。在技术方案中针对这些网络的具体应用，我们提出了各自具体的实施方案。办公大楼综合楼智能化工程计算机网络系统设计方案全文共2页，当前为第2页。对IP地址、DNS等网络基础资源的规划XXXX市供电公司的网络系统属于江苏电力企业内联网（JSEPNET）的一部分，其IP地址及DNS等均遵循江苏省电力公司的统一规划。在此不需要额外规划。对安全的考虑方案中对系统安全作了建议性的描述，在对外连接上采用防火墙技术、DMZ设置保障信息系统的安全。在设备和系统设置上采用其他的一些策略包括针对Cisco设备特点采取的网络设备安全加固手段、采用虚拟网技术（VLAN）划分不同的网段，实现不同子网之间的逻辑隔离及控制、在核心服务器VLAN及主要出口设置入侵检测系统；在主干路由设备上以及接入设备上设置访问控制，隔离外部入侵。出于对设备物理安全的考虑，对机房以及配线间设备考虑防雷和接地。主要考虑电源防雷和型号防雷，并对设备以及机柜等作良好接地。而这一部分也是机房设计的重要组成部分。总论系统建设背景办公大楼综合楼智能化工程计算机网络系统设计方案全文共3页，当前为第3页。XXXX市供电公司作为电力供应部门，更好地为社会提供供电服务，提高企业的办事效率，为领导和工作人员提供办公及生产管理，要不断完善对信息系统的建设。办公大楼综合楼智能化工程计算机网络系统设计方案全文共3页，当前为第3页。并且随着XXXX市供电公司新大楼的建设，急需对现有的网络进行扩容改造，以此来满足对网络性能、可靠性及安全等方面的不断增长的需求。系统建设需求及设计原则系统需求分析XXXX市供电公司本次网络系统的建设包括省内部网络及外部网络，重点建设内部网络系统。XXXX市供电公司的内网性质为供电公司内部的生产办公业务网络，其上主要的应用系统有办公自动化、用电营销、财务、XXXX自动化、劳动人事等。今后随着网络应用的不断发展，其上还要承载高质量的视频监控系统、视频点播系统。要求网络运行可靠稳定、数据传输效率高、支持QoS，从安全角度出发要与外网从物理上完全隔离、充分保证系统数据的安全。因此在网络建设方案中内网主干采用千兆以太网技术、核心三层交换机具有较高的二至三层的交换能力，并且具备万兆升级能力。核心层及接入层交换机均支持不同层次的QoS，以及适用于局域网的各种应用需求。办公大楼综合楼智能化工程计算机网络系统设计方案全文共4页，当前为第4页。外网是XXXX市供电公司与Internet及其它相关单位（如银行）间互访的网络系统，属于非安全网络。主要提供专有信息发布、电子邮件服务、Internet浏览、资料查询及下载。特别需要加强网络的安全及病毒防范能力。因此在外网与内网在物理上进行隔离，由于外网承载的业务相对内网而言对网络的带宽及性能要求不是很高，所以在外网的建设中，网络系统对连通性要求较高，但对网络的带宽及时延要求不大，重点考虑外网系统的安全性。办公大楼综合楼智能化工程计算机网络系统设计方案全文共4页，当前为第4页。系统建设原则本工程技术方案为实现前述建设目标，遵循以下建设原则：1、安全性和可靠性网络系统是信息资源的仓库，其安全与否，直接关系到供电部门的切身利益，一旦信息系统因为安全的原因被人为或其它原因破坏，其损失不可估量，特别是现阶段互联网的开放性还缺乏有效的监督管理机制。因此，安全性是网络信息系统的生命线，在本建设方案中充分考虑到要保证系统的安全机制，通过各种手段确保信息系统的资源得到最大的保护，同时网络的可靠性是保障网络建设成功发挥其功能的关键。2、成熟性和先进性在目前存在的多种网络技术中，选择一种既成熟又先进的技术是组网的关键之一。成熟性是前提，它意味着采用这种技术不会由于网络技术本身的问题而造成损失，可以很好地满足应用要求；同时先进性是为了保证用户投资兴建的网络能够跟得上技术的发展，符合应用的要求，使用户的投资得到保护，在相当的时间内保持先进性，不至于过早被淘汰。3、实用性建网的目的是为了提高工作效率，因此采用高速度、低延时的网络系统，建设一个切合应用要求的实用的、经济的网络信息系统是设计指导原则之一。只有所建设的网络信息系统能够满足应用的要求,吸引广大用户使用，提高使用网络人员的操作水平，为企业创造经济效益,充分发挥其功用，才达到建网的目的。办公大楼综合楼智能化工程计算机网络系统设计方案全文共5页，当前为第5页。4、可管理性办公大楼综合楼智能化工程计算机网络系统设计方案全文共5页，当前为第5页。网络管理关系到系统使用的效率、维护、监控的手段以及网络资源的再分配，是一个完整的智能网络必不可少的组成部分。因此采用具有网管能力的网络设备是系统设计的重要思想。系统支持先进有效的管理策略，提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况，并在安全和系统故障方面进行预警，提交日志和分析报告，及时发现故障点，为平衡负载、优化服务、排除故障提供手段和依据。5、开放性和扩展性开放性意味着标准化，在XXXX市供电公司的网络系统建设中，其各种设备之间的连接均采用国际上通用的成熟标准协议或接口，不会因为设备的更改而变动基本结构或采用不同厂商的设备导致系统不兼容。如内网VLAN的划分方式、路由协议的选择等。开放的体系结构为以后的网络升级提供了基础，随着江苏电力信息化建设不断发展，网络信息系统的应用规模和水平将会不断发展变化，这就要求计算机网络能够适应这些发展变化，实现向先进技术的平滑过渡，同时也便于扩大规模，从而保护原有投资。网络系统建设方案网络技术综述办公大楼综合楼智能化工程计算机网络系统设计方案全文共6页，当前为第6页。计算机技术和通信技术的发展推动了网络技术的进步，也产生了许多新的网络技术和网络应用。总的趋势是向着开放、集成、高性能和智能化方向发展。网络技术的发展和应用需求之间是一个不断的反馈过程，呈现一种螺旋式上升地趋势。选择何种网络技术组建XXXXXXXXXXXX的信息基础设施，除了对网络技术本身的详尽分析以外，还要结合XXXXXXXXXXXX具体的应用而定。本章节将按照这个思路，首先详细分析了各种网络技术的最新发展状态，然后根据XXXXXXXXXXXX的网络应用现状及未来几年的应用规划，在后续章节做出相应的网络技术选型的建议。办公大楼综合楼智能化工程计算机网络系统设计方案全文共6页，当前为第6页。局域网技术简介本节对现有的主流的以太网技术特点做了分析，在1997－1999年，由于千兆以太网技术标准还不成熟，ATM技术大量在局域网中应用，当时主要采用局域网仿真方式－LANE来实现以太帧到ATM的信元格式转换。而在ATM到桌面的环境中，由于缺乏能有效利用ATM特性的API标准，ATM的严格的QoS特性也没有得到充分体现。而随着基于IP的应用的大量兴起及网络传输带宽的不断加大，在局域网应用场合中，千兆以太网技术逐渐成为局域网发展的主流，未来的10G比特以太网技术也前景光明。下面着重讲述一下千兆及10G以太网技术。千兆位以太网：办公大楼综合楼智能化工程计算机网络系统设计方案全文共7页，当前为第7页。千兆以太网技术是极为成功的10Mbps和100MbpsIEEE802.3以太网标准的发展。由于千兆以太网所支持的简易网络升级，以及对新应用和数据类型处理的灵活性、网络的可伸缩性，使得千兆以太网成为高速、高带宽网络的战略性选择。千兆以太网提供大致1000Mbps的带宽，和现有的数量极为庞大的以太网节点完全兼容。千兆以太网早在1996年7月就已进入标准化轨道。经过几个月的可行性研究，IEEE802.3工作组成立了802.3z千兆以太网任务小组。802.3z千兆以太网任务小组的关键目标是开发可以完成下列功能的千兆以太网标准：办公大楼综合楼智能化工程计算机网络系统设计方案全文共7页，当前为第7页。允许以1000Mbps的速率进行半双工、全双工操作使用802.3以太网帧格式使用CSMA/CD访问方式与10BASE-T、100BASE-T技术的地址向后兼容性任务小组定义了连接距离的三个特定目标：最大距离为550米的多模光纤，最大距离为3公里的单模光纤，最大距离不小于25米的铜线。IEEE同时在积极地探索可以支持在5类双绞线（UTP）上传输至少100米的技术。千兆以太网支持新的全双工模式，可以在交换机到交换机上，或交换机到端点工作站上连接上。半双工操作模式用于CSMA/CD访问方式和中继器的共享连接上。千兆以太网也将用于5类双绞线。以太网和更高等级的服务：千兆以太网提供高速连接能力，但本身不提供完整的服务功能如服务质量（QoS），自动冗余容错，或是高层路由功能。这些功能在其它开放标准中定义。如同所有的以太网描述，千兆以太网定义OSI协议模型的数据链路层（第二层），TCP和IP分别在传送层（第四层）和网络层（第三层）部分中定义，允许在应用之间的可靠通信服务。QoS等问题在最初的千兆以太网描述中未曾涉及，但是必须由此类标准的几种中加以定义。办公大楼综合楼智能化工程计算机网络系统设计方案全文共8页，当前为第8页。在90年代后期出现的应用要求稳定的网络带宽、延迟和敏感性。此类的网络应用包括语音和影像在局域网和广域网上传送，组播软件分发。相关的标准化组织针对此类需求已经作出了新的开放标准定义如RSVP，IEEE802.1p和IEEE802.1Q标准化小组也正在进行各自的工作。办公大楼综合楼智能化工程计算机网络系统设计方案全文共8页，当前为第8页。作为推荐性的标准，响应连接质量要求、提供网络连接质量的RSVP已经获得了业界的认可。为了使RSVP能发挥作用，为网络应用提供所要求的持续质量，在客户和服务器之间的任何一个网络部件都必须支持RSVP和正常的通信能力。由于在真正获得服务质量的显著效果之前需要如此多的网络部件支持RSVP，有些厂商开发了一些在某种程度上支持QoS的厂家专有方案。尽管它们可以为用户提供QoS的效益，但要求网络的某些部分是这些厂家所独有的。802.1p和802.1Q靠提供一种所谓的“打标记”的方式实现以太网上的服务质量功能。打标签就是在数据包上做标记，注明该数据包所期望的服务类型或是优先级别。这种标记使得应用能够与网络互联设备按不同的优先级通信。RSVP可以由将RSVP映射到802.1p服务级别的方式实现。不同的千兆以太网设备一般只有上述部分标准，这样可以使以太网连接更有效率，功能较强。但千兆以太网的成功不依赖于标准中的任何一个。模块化标准的优点是标准的任何部分都可以在市场和和产品质量有需求时进行更新。请注意所有这些标准都和快速以太网和10M以太网相匹配，各个层次的以太网运行性能和质量都可以从标准化的工作中获益。10G以太网：办公大楼综合楼智能化工程计算机网络系统设计方案全文共9页，当前为第9页。近两年随着传输网络的发展，10G以太网技术渐渐引起了人们的注意，这种高速以太网技术适用于各种网络结构，能够简单、经济地构建各种速率的网络，可以满足骨干网大容量传输的需求，解决了窄带接入、宽带传输的瓶颈问题，并与现行以太网技术兼容。2000年末已经为通往WAN作好了相应的技术储备。此外，由于LAN、MAN和WAN采用同一种核心技术，网络易于管理和维护，同时避免了协议转换，实现了LAN、MAN和WAN的无缝连接。10G以太网赢得青睐的真正原因是，它比ATM和SONET的价位低，在MAN和WAN中应用10G以太网技术，比采用ATM/SONET技术构建的类似MAN和WAN费用低25%。预计10G以太网的每端口价格是单个千兆比端口价格的8.3倍。这就是说，买一个10G以太网端口比买10个千兆比端口节省17%的费用。然而，10G以太网缺少SONET的链路管理能力，无法排除链路故障。有人建议用数字封装法来传递以太网帧，使之具备链路管理能力，但这将增加成本和复杂性。所以，在长距离传输下，SONET有其优势，但以太网处理突发数据和网状网的能力比SONET强。办公大楼综合楼智能化工程计算机网络系统设计方案全文共9页，当前为第9页。尽管10G以太网是在以太网技术的基础上发展起来的，但是，由于工作速率的大幅度提升，适用范围有了显著的变化，与原来的以太网技术相比差异很大，主要表现在：物理层实现方式、帧格式、MAC层的工作速率以及适配策略。由于10G以太网既可以作LAN使用，也可以当作WAN使用，而LAN和WAN之间由于工作环境不同，对于各项指标的要求存在许多的差异，主要表现在时钟抖动、BER（比特误码率）、QoS、速率等的要求不同。为此，IEEE802.3HSSG小组制订了两种不同的物理介质标准，分别用于以太局域网和以太广域网。这两种物理层的共同点是：共用一个MAC层；仅支持全双工操作方式；省略了CSMA/CD；采用光纤作为物理介质。办公大楼综合楼智能化工程计算机网络系统设计方案全文共10页，当前为第10页。根据当前的局域网技术发展趋势，针对XXXX市供电公司局域网的应用需求。应采用千兆以太交换技术构筑内部局域网，并保证今后可向10G以太网平滑升级。办公大楼综合楼智能化工程计算机网络系统设计方案全文共10页，当前为第10页。内网建设方案组网方案现状分析XXXX市供电公司局域网网络系统于1996年开始大规模建设，局域网覆盖XXXX市供电公司本部主要办公大楼，城域网连接城区范围内的主要变电所、配电工区、总公司，网络主干为千兆以太网。广域网主要采用155MATM接入江苏电力企业内联网，采用2M专线连接各个县公司。联网计算机达七百多台，采用10/100M交换到桌面。目前对外部网络的访问主要提供省公司的代理服务器连接Internet，没有自己的本地出口。对于银行的互连，目前正在现有系统上添加防火墙及入侵检测设备。现有网络拓扑图如下：系统采用的主要网络设备如下：主干交换机：采用Cisco公司的Catalyst6509为主干交换机，该交换机配置256G交换矩阵，路由能力为15Mpps。接口模块主要有千兆以太网接口板，主要用于局域网及城域网的千兆主干接入，ATM622M接口与8540互连，通过XXXX三级网接入江苏电力企业内联网。办公大楼综合楼智能化工程计算机网络系统设计方案全文共11页，当前为第11页。分支主干交换机：采用Cisco4000系列交换机，主要分布在配电工区、总公司等节点，作为分支节点的核心交换机，采用千兆连接6509。办公大楼综合楼智能化工程计算机网络系统设计方案全文共11页，当前为第11页。楼层交换机：主要为Cisco3500系列交换机。采用千兆连接到核心6509交换机，10/100M交换到桌面。拨号路由器：采用IBM8235作为拨号访问服务器，实现远程用户和移动办公用户通过电话拨号接入局域网。该拨号访问服务器采用10M以太网接入局域网。广域网接入交换机：采用Cisco8540MSR，采用155MATM接口通过XXXX三级网接入江苏电力企业内联网，通过622MATM接口连接核心交换机6509。接入路由器：采用IBM2210作为县公司接入路由器，通过2M专线连接各个县供电公司。内网建设目标实现主楼、服务楼、信息XXXX楼的互连。网络技术采用千兆以太网，主干网是以数据传输速率为1000Mbps，并采取资源保留协议、保证关键业务的通畅。提供楼层用户的10/100M接入。与现有网络系统兼容，并可以平滑升级。通过设备对策选择及拓扑结构设计，保证系统的高可靠性实现内网与外网的物理隔离。内网建设方案核心设计：办公大楼综合楼智能化工程计算机网络系统设计方案全文共12页，当前为第12页。内网主要包括三个主要节点：新大楼主楼、服务楼、信息XXXX楼，为保证网络系统的高可靠性，设计三个节点各放置一台三层交换机，相互间采用双千兆进行互连，构成核心环网。在互连协议方式上可以有两种方式：办公大楼综合楼智能化工程计算机网络系统设计方案全文共12页，当前为第12页。采用路由方式互连，在局域网内部运行OSPF协议，通过路由协议实现链路的最佳选择及备份切换，通过调整OSPF协议的参数，可以将链路的切换时间控制在4秒以内，但此种方式应用在局域网内有一定的局限性，例如不能构建跨越三大节点的全局VLAN。通过数据链路层的IEEE802.1s及IEEE802.1w协议实现链路冗余及切换，IEEE802.1s协议是对IEEE802.1d（生成树协议）的改进，通过改进的BPDU传输链路及端口状态，可以保证将系统的切换时间控制在1秒以内，IEEE802.1w是多生成树协议，即可以在一个传统的生成树域内，通过分级控制的方式划分出多个生成树，在链路发生故障时，提高系统的收敛时间。根据局域网的特点及系统可靠性的保证，建议核心环网选择第二种互连方式。根据接入节点的数量及投资规模，核心节点的交换机可以有两种选择。主楼采用核心交换机采用Cisco6509，信息XXXX楼核心交换机采用现有的Cisco6513，配置720G引擎，最大路由能力为400Mpps；服务楼配置Cisco4507R，交换能力为64G，路由能力为48Mpps；。主楼核心交换机采用Cisco4507R，采用全冗余配置；信息XXXX楼核心交换机采用Cisco6509；服务楼核心交换机采用Cisco3550-12G，交换能力为17G，路由能力为6Mpps。办公大楼综合楼智能化工程计算机网络系统设计方案全文共13页，当前为第13页。新大楼主楼设计：办公大楼综合楼智能化工程计算机网络系统设计方案全文共13页，当前为第13页。新大楼主楼共13层（地下1层），1-12层为办公场所，在每层均有一个配线间。在1楼设置有网络分支中心。在主楼内部的网络拓扑结构为星型拓扑，在每个楼层的配线间根据本楼层接入用户的数量放置48端口或24端口交换机，采用千兆多模光缆上连到主楼核心交换机。到终端用户的桌面连接带宽为10/100M。（1）主交换机主交换机是整个网络系统的核心设备，承担网络主干的绝大部分流量，由于服务器包括应用服务器、数据库服务器、网管工作站等重要设备都连接在主交换机上，并且客户机与服务器的通信都必须经过主交换机，因此主交换机的故障会造成通信中断，导致整个网络系统瘫痪；同时主交换机的性能、稳定性、可靠性也密切影响着整个网络系统的性能。对主交换机的设计如下：设备配置冗余电源，冗余管理模块，冗余三层交换模块及冗余端口，同时保证提供足够数量的千兆端口用于连接内网骨干网（主交换机与楼层交换机之间的链路）和连接各类服务器；集成LAN/WAN/MAN，集成不同的网络、电信端口；提供智能IP服务，如提供对组播等协议的支持；提供对IP语音的支持；支持各种QoS方式；支持强大的网络管理功能；办公大楼综合楼智能化工程计算机网络系统设计方案全文共14页，当前为第14页。根据以上要求，主楼核心设备根据投资规模的不同，可以有两种选择，第一种选择Cisco6509；第二种选择为Cisco4507R交换机。具体配置详见建议设备配置清单。办公大楼综合楼智能化工程计算机网络系统设计方案全文共14页，当前为第14页。（2）楼层交换机作为用户终端与交换机之间的连接，楼层交换机在整个网络中处于重要的地位。楼层交换机的选择应做到尽可能的高速交换和传递数据，不致成为整个网络的瓶颈。因此，根据网络系统的设计原则以及内网的业务特点，对楼层交换机设计如下：端口密度满足每一楼层40多个信息点百兆交换到桌面的要求；提供至少一个千兆端口作为与主交换机的相连；提供第二层上虚网划分，满足主交换机的第三层交换；支持802.1q及802.1p，支持802.1x用户接入认证。根据以上要求，接入层交换机建议选择Cisco3550－48及Cisco3550-24交换机。信息XXXX楼：信息XXXX楼内主要是信息中心及XXXX自动化部门，这两个部门均为XXXXXXXXXXXX的核心业务部门，对网络的要求较高，并且也是网络中心的所在地。因此在信息XXXX楼内的核心交换机选择Cisco6513承担，配置双720G交换引擎，楼层内的配线间配置Cisco3550-48交换机，为了保证网络系统的可靠性及带宽，3550与6513间采用双千兆GEC（千兆以太网捆绑）。网络中心Cisco6513与本部老大楼的6509采用双路单模光缆千兆互连，互连方式也采用GEC。办公大楼综合楼智能化工程计算机网络系统设计方案全文共15页，当前为第15页。具体配置详见建议设备配置清单。办公大楼综合楼智能化工程计算机网络系统设计方案全文共15页，当前为第15页。服务楼：服务楼内主要是就餐及休闲活动区域，主要应用为一卡通消费。同时服务楼作为核心节点之一，虽然其本地的数据流量并不会很大，但由于其在XXXXXXXXXXXX新大楼局域网系统中起着重要的核心连接作用，因此服务楼交换机选择稍低一档的Cisco三层交换机。由于在服务楼内的节点数量总计为46个，可以只设置一个分支中心，不需要每层楼设置独立的配线间。根据投资规模，设备可以有两种选择，第一种选择Cisco4507R交换机，配置如下：6端口千兆模块48端口10/100M交换模块，双引擎及双电源具体配置详见建议设备配置清单。网络拓扑：根据三个核心节点设备选择的不同，存在两种网络系统设计方案，各自的拓扑结构分别如下：方案一拓扑：2、方案二拓扑：办公大楼综合楼智能化工程计算机网络系统设计方案全文共16页，当前为第16页。办公大楼综合楼智能化工程计算机网络系统设计方案全文共16页，当前为第16页。外网建设方案外网建设目标建立独立于内网的网络系统，实现内外网物理隔离；建立外网信息服务平台，提供丰富的信息服务；提供Internet接入，为XXXXXXXXXXXX职工安全上网提供便利条件；提供对社会公众的服务窗口。外网构建方案XXXXXXXXXXXX的外网主要用于连接非江苏电力系统的网络，如Internet、银行等。采取与内网物理隔离的方式来保证内网系统的安全性。为实现内外网物理隔离目标，建立独立的外网系统，在每个办公室里设置一个到两个独立的信息点，这些信息点的机器不与内网有任何连接，通过这种方式实现与外网的连接。由于外网系统的数据流量不大，只要保证连通性，最为主要的是安全性，因此交换设备可以选择抵档一些的设备，如国产设备或不适用于原有网络的设备。新增配置一台核心三层交换机，关键要设计好外网出口的安全，建议在外网的Internet及银行互连端口处设置防火墙及入侵检测装置。防火墙要设置DMZ区域，用于放置WWW、外部Email、DNS等服务器，将来可提供对社会公众的信息查询服务以及企业自我宣传的窗口。外网拓扑结构大致如下：办公大楼综合楼智能化工程计算机网络系统设计方案全文共17页，当前为第17页。由于外网不是本次网络系统建设的重点，本设计方案只给出一些建设意见，不涉及具体的设备配置。办公大楼综合楼智能化工程计算机网络系统设计方案全文共17页，当前为第17页。内网及外网的IP地址分配方式网络内部主机的IP地址的分配方式有以下几种：手工静态配置通过DHCP动态分配，即通过DHCP服务器获得的IP地址有可能每次都不一样。在DHCP服务器上进行IP及MAC的绑定，实行绑定分配，在这种方式下，只要网卡没有更换，每次获得的IP地址均相同。根据主机及设备的属性，应采取不同的IP导致分配方式：对于服务器及网络设备，由于相对稳定，建议采用手工静态配置IP地址。对于固定的办公PC机，由于手工配置IP地址，要人工记录已经分配的IP地址，以避免同一个IP地址分配给多台机器，导致网络冲突。这些机器平时的接入的子网相对固定，同时为了便于对上网机器统一管理及监控，建议内网及外网的内部的PC机采用DHCP方式，并且将IP与MAC地址绑定分配，保证每次获得的IP地址均相同。对于移动上网的笔记本电脑，由于每次所连接的子网可能不同，建议采用DHCP动态分配方式，建议每个子网的动态分配的IP地址空间为最后20个。即：X.X.X.234-X.X.X.253。对于内网及外网的DHCP服务器，有以下两种选择：采用PC服务器，安装WindowsNT或Windows2000Server操作系统，操作系统内置有DHCP服务功能。办公大楼综合楼智能化工程计算机网络系统设计方案全文共18页，当前为第18页。由CiscoIOS提供，内网的核心由于为6509，配置有MSFC3路由模块，可以在IOS中启用DHCP服务器功能，由6509作为DHCP服务器。办公大楼综合楼智能化工程计算机网络系统设计方案全文共18页，当前为第18页。今后可以考虑采用CiscoURT（用户注册管理工具）根据用户输入的用户名及口令，通过IEEE802.1x认证后接入网络，就可以将用户分配到相应的子网并获得正确的IP地址。服务质量(QoS)的实施局域网服务质量的实施随着视频监控、IP电话以及重要的电力企业应用（如营销）等各种在某段时间内持续高带宽低延时的应用的开展，网络流量的复杂化，IP交换技术的发展，二层、三层交换技术在保障网络应用的服务质量QoS，避免网络拥塞上可以起到不可缺少的作用。概括而言，QoS主要包括数据智能分类技术，拥塞控制技术两大方面，一般在园区网络中采用以下步骤实现服务质量：在接入层交换机中对进入网络的数据包进行网络的基本分类或根据交换机设定来进行重分类（Reclassify），同时对网络的流量采用监控(Policing)，避免由于客户设备故障或病毒产生的过度流量，然后根据监控决策结果来将这些流量放入相应的上联端口的队列，然后在此端口上采用加权XXXX算法来对该端口出去的流量进行拥塞控制(SchedulingCongestionControl)，确保在接入层上关键数据流量的服务质量，在这些数据的处理过程中，同时完成了第二层以太网帧中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值决定了IP报文的优先级别，而TOS或DSCP值在经过IP路由器默认情况下其值不会改变，从而能够提供跨全网的端到端的QoS。办公大楼综合楼智能化工程计算机网络系统设计方案全文共19页，当前为第19页。核心三层交换机在收到了从接入层交换机上传来的数据包，它开始正式对其第三层IP数据包进行分析，首先根据IP地址信息可以选择不同的转发链路，在选择了相应的链路后，这时候核心三层交换机在这些链路上对流量的拥塞XXXX不再是依据以太网帧中的CoS，而是依据在接入层交换中以及完成赋值的TOS或DSCP，分布层交换机可以根据这些值可以对网络中的流量进行更细致的划分，保证关键流量将根据其各自的优先权进入网络核心。办公大楼综合楼智能化工程计算机网络系统设计方案全文共19页，当前为第19页。从上述技术分析来看，实施时技术要求较高，要求在实施前对网络应用模式和具体需要进行详细分析，然后合理的规划采用连接协议及QoS控制方式，使网络在满足需求的前提下趋于最高性能和可靠性。具体实现的技术方案：在XXXXXXXXXXXX的企业内网中接入层交换机采用Cisco3550交换机，能够提供完善的LAN边缘QoS，在业内此类产品中无以匹敌。所有的Cisco3550交换机支持两种模式的重新分类方法。一种模式基于IEEE802.1p标准，遵从接入点的服务等级（CoS）值并把数据包分配到合适的队列中。第二种模式，数据包根据由网络管理员分配给接入端口的缺省CoS值来进行重新分类。如果到达的帧没有CoS值(如未做标记的帧)，Cisco3550交换机就根据网络管理员分配给每个端口的缺省CoS值来进行分类。办公大楼综合楼智能化工程计算机网络系统设计方案全文共20页，当前为第20页。一旦数据帧使用上面所说的两种模式分类或重新分类后，即被分配到最合适的输出队列中去。Cisco3550交换机支持四种输出队列，使网络管理员在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配可以保证诸如语音等时间敏感的应用在通过交换结构时一直使用高速路径。另外，另一种重要的增强措施即加权循环（WRR）策略也能保证低优先级的负载在没有被网络管理员进行优先级配置的情况下，能够得到重视。办公大楼综合楼智能化工程计算机网络系统设计方案全文共20页，当前为第20页。这些特性使网络管理员可以把关键任务和时间敏感的流量，如视频（视频会议，视频监控等）、语音（IP电话流量）和CAD/CAM，优于低时间敏感的应用如FTP或e-mail（SMTP）等来设置更高级别的优先权。Cisco3550交换机每个端口可以工作在两种模式下：Trust和Untrust。Trust状态下交换机将相信从端口进入交换机的以太网帧中CoS值，这种状态下必须依赖于客户端程序或系统能够对其产生的流量能够正确的赋予CoS值；在Untrust模式下交换机可以设定改写所有进入该交换机端口的以太网帧中的CoS值，无论其现有的CoS值为多少，可以根据端口的直接设定。对于智能型的Cisco3550也可以通过ACL来对网络流量分类来重新设定。为了同时也对第三层IP数据中的ToS或DSCP赋值，交换机也对应一些相应的规则，由于CoS和ToS均为0-7，可以直接对应，CoS和DSCP直接采用DSCP=CoSx8的公式进行转换。在网络流量的监控上，Cisco3550采用了以前只有在6500交换机上才采用的ratelimit技术，可以以8Kbps为单位来定义10/100兆端口上实际数据传输速率，当速率超过预先定义的值可以采用丢弃或降低DSCP的方法来处理。在上联端口的拥塞处理中Cisco3550交换机采用4条队列的方式，其中一条为严格优先队列（StrictPriority），其余3条队为加权轮询队列，这样的话为了保证要求服务质量保证的系统最高优先级，可以将所有的有服务质量要求的数据设定分类后放入严格优先队列中，其余的应用根据其各自的情况分类，赋予不同的DSCP值。办公大楼综合楼智能化工程计算机网络系统设计方案全文共21页，当前为第21页。各个VLAN通过核心的6513或6509实现三层互联，对于不同的应用，采用策略访问控制列表（PolicyACL）对有服务质量要求的报文（如视频及语音报文）设定IP优先级，根据优先级采用加权公平队列（WFQ）进行报文端到端的QoS传输；在路由端口上缺省的队列为公平队列（FQ），6509MSFC2路由模块可以根据IP优先级计算一个权重，权重＝4096/(优先级＋1)，根据到达路由端口的报文不同的IP优先级计算出各自的权重，将报文放进不同的转发队列，根据权重的比例进行报文的排放，保证在网络拥塞时优先级高的报文优先通过。办公大楼综合楼智能化工程计算机网络系统设计方案全文共21页，当前为第21页。网络管理系统在当今的网络系统中，随着网络系统的不断建设和完善，网络中涉及的设备将越来越多，如路由器、交换机、防火墙、拨号服务服务器等；其次，网络技术也日趋复杂，从10/100M以太网、千兆以太网、ATM、多媒体技术、安全策略等等；再有不同的网络设备的配置命令也不尽相同。导致在网络系统发生故障时，使网管人员无从下手，降低了网络运行的效率。这就客观要求要有一套好的网络管理系统与之相配套。网络管理任务及策略网络管理是网络建设中不可缺少的重要组成部分。一个良好的网络管理系统可以帮助用户在很大的程度上优化网络结构，预防和及时排除故障，减少网络的维护费用。因此，网络管理对保证网络安全高效的运行是非常重要的。网络管理的任务主要包括以下方面内容：办公大楼综合楼智能化工程计算机网络系统设计方案全文共22页，当前为第22页。网络性能管理：收集网络运行各种统计信息，例如设备和链路的负载、可用性及可靠性、网络的可用率等，优化网络性能，消除网络中的瓶颈，实现网络流量分布的均匀性，实现各种策略管理。办公大楼综合楼智能化工程计算机网络系统设计方案全文共22页，当前为第22页。网络配置管理：网络节点部件、端口及路由的配置，收集当前系统状态的有关信息，更改系统的配置等。网络故障管理：维护并检查错误日志，接受错误检测报告并作出反应，跟踪错误检测报告并作出反应，跟踪及辨认错误，执行诊断测试，纠正错误等。业务量统计：对网络节点、设备等的告警产生、告警内容和告警清除的统计；根据IP地址，统计业务流量和流向，实现对网管人员操作网管设备过程的记录和统计。网络安全管理：包括各种级别、层次的安全防护措施的管理，对网络中各种配置数据必须有保护措施，当网管系统出现故障时，能自动及人工恢复正常工作，不影响网络的正常运行。对于XXXXXXXXXXXX网络系统来说，由于其内网、外网网络界限划分明显，且随着网络的发展今后其覆盖面将越来越广，涉及的网络设备众多，因此如何有效地管理整个网络，提高网络运行效率是网络运行管理过程中一件非常重要的工作。办公大楼综合楼智能化工程计算机网络系统设计方案全文共23页，当前为第23页。网络的管理不仅仅是配置一套网管系统，而应该是制定一个系统的网管策略，包括网络设备的管理（配置、监控、性能等方面）、网络终端用户信息管理、网络地址的分配、网络配线（包括光配及线配）的管理、网络安全的管理、网络认证的管理、网络权限的管理等等。网管软件只能完成其中部分功能，其他功能如网络终端用户管理、网络配线管理等需要结合其他根据软件或人工来完成。办公大楼综合楼智能化工程计算机网络系统设计方案全文共23页，当前为第23页。网管平台选择网管系统的建立与选择应该根据以下的几个原则来进行：网管软件应能监控网络设备，以图形方式实时显示设备的运行状态；网管软件能自动寻找并显示网络的拓扑结构；网管软件能监控网络的状态并在一定的情况下报警；网管软件应能监控网络的性能，并设置一定的阀值，在超过阀值的情况下自动报警；应能用图形方式对虚拟网进行设置与管理；动态分配网络资源；记录与搜索网络的历史性资料；支持SNMP及RMON网络管理协议；具有良好的用户界面，方便网络管理者的工作，如有基于XWINDOWS图形用户界面（GUI）或基于WEB的浏览器界面；能对网络资源的利用率、趋势、MIB变量进行查询与分析并能用图表的形式显示出来；能进行安全性管理，控制用户对网络资源的未经授权的访问；能对设备的配置文件、软件进行管理；办公大楼综合楼智能化工程计算机网络系统设计方案全文共24页，当前为第24页。目前各主要网络厂家都向用户提供与本厂家设备相关的网管软件，都有较全面的管理功能，且都提供图形操作界面，使用直观方便。如Cisco的CiscoWorks2000、IBM的Netview、HP的Openview等。但一个厂家的设备只有用本厂家的网管软件才能得到全功能的管理。如果一个厂家的网络设备采用另外一家的网管软件来管理，则除非网络设备的原厂商能够提供基于此网管平台的设备管理信息库（MIB），否则将不能直观的看到网络设备的面板及真实的端口状态，只能看到一些SNMP的基本信息，非常不直观，不便于管理。办公大楼综合楼智能化工程计算机网络系统设计方案全文共24页，当前为第24页。由于XXXXXXXXXXXX的网络基本由Cisco设备构建而成，网络管理以XXXXXXXXXXXX的局域网系统管理为主，建议采用Cisco公司的局域网网络管理软件LanManagementSolution，在今后覆盖全省的MPLS/VPN网络系统建成后，其网管中心将放置在省公司，由省公司统一管理各个VPN的划分。各个地市供电公司只负责本地PE路由器以下的局域网系统管理，与现在的管理权限基本相同。LanManagementSolution可基于WindowsNT/2000Server及SUN的Solaris操作系统，是一种多功能的企业级网络管理软件。它包括如下网络管理模块：最基本的模块CDONE及RME，是其他网络管理模块的基础，提供了网络设备状态采集及远程监控等功能。基于这两个模块还有园区网管理核心模块－CM，提供设备的配置及信息采集功能、内容流管理模块－CFM、还有设备报错管理模块－DFM。这些网络管理模块给网络管理员提供了一套工具组来轻松地管理整个园区网络。组网设备简介CiscoCatalyst6500系列交换机办公大楼综合楼智能化工程计算机网络系统设计方案全文共25页，当前为第25页。CiscoCatalyst6500系列交换机为园区网提供了一组高性能、多层交换的解决方案，专为需要千兆扩展、高度适用、多层交换的主从分布而服务器集中的应用环境设计。Catalyst6500系列具备强大的网络管理性，用户机动性，安全性，高度实用性和对多媒体的支持。办公大楼综合楼智能化工程计算机网络系统设计方案全文共25页，当前为第25页。产品特性：多层交换功能卡(MSFC3)可实现以线速进行IP（RIP、RIP2、OSPF、EIGRP、PIM、HSRP）,IPX和IP-multicast路由，同时支持AppleTalk,DecNet,Vines和CacheEngine。在缺省状态下，每块MSFC3可以提供30Mpps的路由转发能力，如果结合分布式转发处理模块（DFC），实现第三层交换在板卡的端口间完成，可将第三层的报文处理能力提供至400Mpps以上。Catalyst6500缺省的背板交换能力为32Gbps，采用SUP720交换引擎，可将整机的交换能力升级到720Gbps完备的IOS功能（ACL、TACACS+、QoS--WRR）。Catalyst6509可配置内置入侵检测模块，对流经6509的报文进行监测。支持多达8个物理的快速/千兆以太网口利用以太网通道技术（FastEtherChannel—FEC或GigabitEtherChannel—GEC）连接,在逻辑上实现达到16Gbps.EtherChannel端口连接，同时可以跨模块端口聚合实现高效能连接。通过FlexWAN(WAN扩展)模块可提供与7200/7500系列相同的WAN接口。办公大楼综合楼智能化工程计算机网络系统设计方案全文共26页，当前为第26页。全面提供业界领先的基于Cisco互连网操作系统（IOS）的各项网络特性：.可靠的网络安全性管理,增强的服务质量（QOS）管理,提供增值的网络弹性管理，为网管软件CiscoWorks2000和CiscoResourceEssentials提供接口管理框架。办公大楼综合楼智能化工程计算机网络系统设计方案全文共26页，当前为第26页。支持多层次的网络弹性和服务功能，设备级的故障容错性能，包括下面选项：—冗余超级引擎—冗余负载共享的电源（AC&DC）—冗余负载共享的风扇—冗余的系统时钟—冗余上连—冗余交换背板（Catalyst6500系列）策略功能卡(PFC)能够以线速实现IOS的流量控制功能，并可对不同3层交换路径实现负载均衡。通过Console/Auxiliary端口在本地或远程对交换机进行连接设置。CiscoCatalyst4507RCatalyst4507R为Cisco新推出的Catalyst局域网解决方案，将基于Catalyst交换机的主干网网络服务扩展到企业配线间。通过新的Catalyst4507R系统，在原来Catalyst4000系列交换机基础上提供冗余引擎功能，提供64Gbps的交换能力，通过4代引擎提供48Mpps的路由转发能力。将Catalyst4000系列交换机从企业配线间大容量接入设备提升为小型局域网核心交换设备。Catalyst4507R还提供如下功能：IP电话设备及网关组播流应用，例如CiscoIP/TV解决方案办公大楼综合楼智能化工程计算机网络系统设计方案全文共27页，当前为第27页。第四至第七层服务办公大楼综合楼智能化工程计算机网络系统设计方案全文共27页，当前为第27页。千兆位桌面CiscoCatalyst3550CiscoCatalyst3550系列智能以太网交换机是一个可堆叠多层交换机系列，可通过高可用性、服务质量（QoS）和安全性来改进网络运行。凭借一系列快速以太网和千兆位以太网配置，CiscoCatalyst3550系列堪称一款适用于企业和城域接入应用的强大选择。主要企业特性：能利用传统LAN交换的简洁性来部署网络智能服务将CiscoIOS软件中的一套第2-4层功能——IP路由、QoS、限速、访问控制列表（ACL）和多播服务扩展到边缘凭借内置Cisco集群管理套件来简化接入层和小型骨干网的部署用全套千兆位接口转换器（GBIC）设备提供强大的千兆位以太网连接主要的城域接入优势通过高性能IP路由、802.1Q隧道、高级QoS和限速速率限制来提供广泛的服务通过生成树协议改进和ACL来提供服务可用性和安全性办公大楼综合楼智能化工程计算机网络系统设计方案全文共28页，当前为第28页。通过CiscoIE2100系列智能引擎支持和简单网络管理协议（SNMP）来进行服务管理办公大楼综合楼智能化工程计算机网络系统设计方案全文共28页，当前为第28页。系统安全建设系统安全分析网络系统安全问题一直为人们所关注。如何保证网络的安全性，除了需要制订相应的法律法规加以约束外，采用什么样的技术手段来控制是非常重要的。一个完整的安全解决方案应该是一个系统化、一体化的立体的防御结构。如下图所示，系统安全包括网络群体、系统群体、用户群体、应用群体、数据加密等不同层次多角度的安全控制。安全体系建立的原则一个系统的安全体系建设应从两方面加以建设，要采用两条腿一起走路：一是网络安全的结构设计，包括网络级、系统级、用户级、应用级、数据级安全防御体系；二是网络安全管理，包括建立安全组织、制订安全策略、网络安全管理规范、安全管理工作流程、网络安全审计等。两方面的工作要相辅相成，贯穿于整个的网络生命周期。网络安全不是某个产品点，它涉及到各种技术，它应该是优秀的网络设计的一部分。各种网络安全措施构建一个完整的安全体系应包含以下几个方面：办公大楼综合楼智能化工程计算机网络系统设计方案全文共29页，当前为第29页。访问控制-通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。办公大楼综合楼智能化工程计算机网络系统设计方案全文共29页，当前为第29页。检查安全漏洞-通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控-通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯-主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证-良好的认证体系可防止攻击者假冒合法用户。备份和恢复-良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。网络防病毒－对病毒传播途径的有效控制，包括邮件系统、网关、防火墙等要做到全面防毒；对病毒生存环境的有效清理，包括杀毒引擎、病毒库更新等。多层防御-攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。设立安全监控中心-为信息系统提供安全体系管理、监控，保护及紧急情况服务。为此，我们突出地提出如下三个方面的安全理念--安全策略、管理和技术。安全策略--包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信息安全的最核心问题，是整个信息安全建设的依据；安全管理--主要是人员、组织和流程的管理，是实现信息安全的落实手段；安全技术--包含工具、产品和服务等，是实现信息安全的有力保证。设备自身的安全措施办公大楼综合楼智能化工程计算机网络系统设计方案全文共30页，当前为第30页。网络设备的安全对整个网络的安全、正常运行有很大的意义。网络设备的安全是是许多安全措施能够顺利实施的基础。如果网络设备的配置能够被随意看到，其所配置的路由识别ID、密码等都失去意义；VLAN的配置如能被随意改动，则VLAN将形同虚设。办公大楼综合楼智能化工程计算机网络系统设计方案全文共30页，当前为第30页。保护网络设备应注意两个方面：设备的配置需要保护，防止非授权访问；设备的资源必须有效保护，防止像DOS这样的资源掠夺式攻击。网络设备分级登录验证防范对网络设备的非法访问，需要保护关键的配置信息（如密码、ID等），管理员必须经过严格身份鉴别和授权。在江苏电力企业内联网系统中，投标方推荐的Cisco所有设备本身都有相应的安全措施。针对于单一管理员权限无限大的问题，可以根据具体管理员的职能分工进行权限分配。在Cisco的路由交换设备上，可以将管理员的权限划分为15级权限档次，针对每个权限可以定制相应的命令集，为实现各种管理目的而设立的不同职能管理员之间可互不侵扰的完成各自工作。例如，普通操作员只能监视设备运行，不可进行其他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有所有功能权限等。同样，对于SNMP服务也可以通过设置不同级别的Community，让不同级别的网管系统获得不同的操作权限。限制登录会话数Cisco网络设备必须通过严格的认证程序才能够进行登录，这种认证既包括对远程登录，也包括本地的Console登录。办公大楼综合楼智能化工程计算机网络系统设计方案全文共31页，当前为第31页。Cisco网络设备可以设定对本身的登录会话数，这种限制包括两个层次：办公大楼综合楼智能化工程计算机网络系统设计方案全文共31页，当前为第31页。并发远程登录会话总数的限制;一个用户同时登录数的限制;建议对每个管理员都分配一个User-ID。有两种方法登记User-ID。一种是在路由器上配置username/password。另一种方法是用AAA来保护路由器，由一中心AAA(TACACS+/Radius)服务器维护Username/Password。第二种方法更具扩展性和安全性。另外使用Token服务器提供一次性口令的更换，与AAA服务器相结合便可向网络管理员提供对设备的一次性口令登录。我们推荐，在条件具备时，网络中心配置CiscoSecureACS服务器，为管理员登录到Cisco设备提供统一的身份认证中心。CiscoSecureACS服务器支持RADIUS，TACACS+等标准的认证协议，提供网络设备的用户AAA服务。CiscoSecureACS具有良好的管理界面，管理员可以通过浏览器进行用户管理与配置。管理员登录网络设备的过程如下：用户执行远程登录命令(例如：Telnet)，网络设备判断当前的并发连接数是否已经达到上限。如果数量没有超，网络设备提示输入用户姓名、口令。输入口令后，网络设备向AAA服务器查询该用户是否有权登录AAA服务器检索用户数据库，如果该用户允许登录则向网络设备返回PERMIT信息和该用户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录；若不能在用户数据库中检索到该用户的信息则返回DENY信息，并可以根据设置向网管工作站发送SNMP的警告消息。办公大楼综合楼智能化工程计算机网络系统设计方案全文共32页，当前为第32页。网络设备得到AAA的应答后，可以根据应答的内容作出相应的操作，如果应答为DENY则关闭掉当前的SESSION进程；如果为PERMIT则根据AAA服务器返回的用户权限为该用户开启SESSION进程，并将用户所执行的操作向AAA服务器进行报告。办公大楼综合楼智能化工程计算机网络系统设计方案全文共32页，当前为第32页。设备并发登录数限制通过对CiscoIOS中vty的配置，可以指定对本设备并发远程登录会话数的上限，也可以配置成为不可被远程登录的设备。设备登录地点限制Cisco的IOS支持专门针对远程登录或者SNMP访问的安全访问控制列表功能，可以禁止来自于某些节点的登录或者SNMP请求。单用户并发登录数限制通过对CiscoSecureACS进行配置，特定用户并发的登录次数可以得到限定。口令保护对于IOS，在配置中出现的用户名、口令、路由识别ID等关键信息都可以以加密方式储存和显示，而且加密分为一般和高级两种，后者用MD5编码，很难用数学方法破解；网络设备和CiscoSecureACS之间进行用户认证时，采用加密的方法传送用户登录信息，避免口令的泄漏。办公大楼综合楼智能化工程计算机网络系统设计方案全文共33页，当前为第33页。另外，为了防止口令泄漏问题，我们推荐用户为管理员配备RSA公司的ACE/SecurID令牌卡产品。RSAACE产品采用Client/Server的结构方式，后台运行RSAACE/Server提供认证，每位用户配置一块TokenCard，该TokenCard利用唯一的一个64位基数、UCT时间生成一个6位数的TokenCode,用户用自己的PIN号码与TokenCode组成认证用的PASSCODE，PASSCODE是每60秒变化一次，而同时在统一时间内只能一个用户成功登录。由于密码是实时动态变化的，因此用户不需要关心他的密码回被泄露。办公大楼综合楼智能化工程计算机网络系统设计方案全文共33页，当前为第33页。RSAACE服务器可以和CiscoSecureACS相配合，作为SecureACS的用户库，为持有令牌卡的管理员用户提供口令认证。其工作模式如图：防资源掠夺式攻击攻击特点和原理对设备的另一种安全威胁是资源掠夺式攻击，是指通过持续调用设备的一些检测用途的应用和端口号或利用设备对异常包处理的漏洞占用CPU资源或导致内存溢出，影响设备的正常功能，严重的甚至导致网络设备死机，常见的DOS，DDOS和ping攻击都属于此种情况。在拒绝服务（DoS）攻击中，恶意用户向网络设备发送多个请求，使其满负载，并且所有请求的返回地址都是伪造的。当网络设备企图将结果返回给用户时，它将无法找到这些用户。在这种情况下，网络设备只好等待，有时甚至会等待1分钟才能关闭此次连接。当网络设备关闭连接之后，攻击者又发送新的一批虚假请求，以上过程又重复发生，直到网络设备因过载而拒绝提供服务。分布式拒绝服务（DDOS）把DoS又向前发展了一步。DoS攻击需要攻击者手工操作，而DDOS则将这种攻击行为自动化。与其他分布式概念类似，分布式拒绝服务可以方便地协调从多台计算机上启动的进程。在这种情况下，就会有一股拒绝服务洪流冲击网络，并使其因过载而崩溃。办公大楼综合楼智能化工程计算机网络系统设计方案全文共34页，当前为第34页。办公大楼综合楼智能化工程计算机网络系统设计方案全文共34页，当前为第34页。DDOS工作的基本概念如图所示。黑客(client)在不同的主机(handler)上安装大量的DoS服务程序，它们等待来自中央客户端(client)的命令，中央客户端随后通知全体受控服务程序(agent)，并指示它们对一个特定目标发送尽可能多的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的DoS服务程序，这就是它被叫做分布式DoS的原因。实际的攻击并不仅仅是简单地发送海量信息，而是采用DDOS的变种工具，这些工具可以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困难。首先，现在的DDOS工具基本上都可以伪装源地址。它们发送原始的IP包（rawIPpacket），由于Internet协议本身的缺陷，IP包中包括的源地址是可以伪装的，这也是追踪DDOS攻击者很困难的主要原因。其次，DDOS也可以利用协议的缺陷，例如，它可以通过SYN打开半开的TCP连接，这是一个很老且早已为人所熟知的协议缺陷。为了使攻击力更强，DDOS通常会利用任何一种通过发送单独的数据包就能探测到的协议缺陷，并利用这些缺陷进行攻击。解决办法针对资源掠夺性攻击，在网络设备上可以进行多层次的防范：(1)在CiscoIOS中使用命令可一次性关闭所有带有安全隐患的端口检测和进程调用。A.在路由器全局模式下键入noservicetcp-small-servers办公大楼综合楼智能化工程计算机网络系统设计方案全文共35页，当前为第35页。noserviceudp-small-servers办公大楼综合楼智能化工程计算机网络系统设计方案全文共35页，当前为第35页。可以避免UDP/TCP诊断端口DoS(DenialofService)攻击B.在路由器全局模式下键入noservicefinger可以避免被外人窥测出login信息。C.在骨干路由器全局模式下键入noipredirectsnoipdirected-broadcastnoipproxy-arp可以避免SMURF攻击。D.在骨干路由器全局模式下键入noservicepadnoipbootpservernocdprunnocdpenable可以避免损耗CPU攻击。(2)可疑数据流带宽控制在边缘汇聚层的交换机和路由器上，使用队列技术或者CAR的方法对ping及SYN数据流进行带宽控制，以预防DDOS的攻击。(3)采用网络入侵检测系统IDS办公大楼综合楼智能化工程计算机网络系统设计方案全文共36页，当前为第36页。当系统收到来自奇怪或未知地址的可疑流量时，网络入侵检测系统IDS（IntrusionDetectionSystems）能够给系统管理人员发出报警信号，提醒他们及时采取应对措施，如切断连接或反向跟踪等。办公大楼综合楼智能化工程计算机网络系统设计方案全文共36页，当前为第36页。SNMP协议安全禁止使用SNMPv1，因为该SNMPv1的communitystring是明文在网络中传递的；如果可能的话，最好使用SNMPv2，该版本对于communitystring使用了基于MD5的消息摘要认证机制，同时考虑了限制各种管理数据的访问；如果使用了SNMPv2的话，那么可以使用snmp-serverparty中的authentication和md5来配置消息认证，并且配置访问列表来定义只有网管工作站可以通过SNMP对路由器进行管理。CDP协议CDP协议为Cisco自有的协议，可以通过其自动发现直接连接的Cisco设备，但CDP服务同样也可以暴露网络的拓扑结构及IP地址信息，建议在网络正常运行过程中将CDP协议禁用。配置命令为：nocdprunHTTP服务安全分析路由器缺省均正常HTTPserver功能，任何一台机器均可以通过HTTP协议访问路由器，这样容易暴露路由器的配置信息，建议禁止HTTP服务。如果要启用HTTP服务进行管理的话，则需要对其进行安全配置，最好使用iphttpaccess-class来限制可以访问的IP地址并且通过使用iphttpauthentication命令来配置认证选项，设置用户名和密码。TCP、UDPSmall服务路由器缺省开放的TCP及UDPSmallservice服务功能存在安全隐患，建议将其关闭。办公大楼综合楼智能化工程计算机网络系统设计方案全文共37页，当前为第37页。配置命令为：noservicetcp-small-service办公大楼综合楼智能化工程计算机网络系统设计方案全文共37页，当前为第37页。 noserviceudp-small-serviceBOOTp服务路由器缺省启用Bootp服务，可以从网络启动和自动从网络下载初始配置文件，由于没有用户名口令限制，可能导致下载错误的代码及配置文件，导致路由器配置和功能更改，建议将其关闭。配置命令为：nobootnetworknoipbootpserver内网的安全设计在XXXX市供电公司的内部网络系统设计中，所选择的Cisco交换机都支持VLAN功能，这样，可以将具有同一安全级别的用户划分到一个VLAN中，这样，不同VLAN之间的用户不能直接访问，保证了网络系统的安全性。在Catalyst6506交换机上，通过Cisco的访问控制列表控制VLAN之间的安全，这样就可以允许高优先级的VLAN段访问低优先级的VLAN段，而低优先级的VLAN段不能访问或有限的访问高优先级VLAN段。Cisco支持的访问列表包括以下几种类型：标准访问控制列表：通过网络层的源地址来限制指定的站点访问指定的VLAN，从而限制特定的站点访问特定VLAN的能力。办公大楼综合楼智能化工程计算机网络系统设计方案全文共38页，当前为第38页。扩展访问控制列表：通过网络层的源地址、目的地址、协议号、源端口、目的端口、包大小以及是否是已经建立连接的包等来实现对特定数据流的控制，从而保证限制特定站点访问特定服务的能力。办公大楼综合楼智能化工程计算机网络系统设计方案全文共38页，当前为第38页。动态访问控制列表：动态访问列表同普通的标准和扩展访问列表类似，但是这个访问控制列表需要通过Telnet到Cisco路由器上，并在Cisco路由器的