x縣機關(guān)單位計算機網(wǎng)絡(luò)系統(tǒng)設(shè)計方案2016年.doc

xx縣機關(guān)單位計算機網(wǎng)絡(luò)系統(tǒng)建設(shè)方案建議書XXXX 公司2016年 06 月目錄1 需求分析U.3U1.1 建設(shè)目標(biāo)U. 3U2 設(shè)計方案U. 4U2.1 設(shè)計思路和原則 . .4U2.2XX院內(nèi)網(wǎng)設(shè)計方案U .5U2.2.1 內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)U .6U2.2.2 設(shè)備選型依據(jù)U .7U2.2.3 各層次設(shè)計U .7U2.3 外網(wǎng)網(wǎng)絡(luò)方案設(shè)計U .21U2.3.1 外網(wǎng)DMZ區(qū)設(shè)計U .25U2.4 內(nèi)外網(wǎng)出口防護統(tǒng)一解決方案VPNIPSFWU .25U2.5 內(nèi)外網(wǎng)安全隔離和數(shù)據(jù)交換U .36U2.6 檢查院專網(wǎng)數(shù)據(jù)中心設(shè)計方案U .37U2.6.1 數(shù)據(jù)中心架構(gòu)建設(shè)U . 37U2.6.2 思科數(shù)據(jù)中心方案優(yōu)勢U . 45U2.7 整網(wǎng)信息安全設(shè)計建議U .47U2.7.1 設(shè)備級安全設(shè)計U .47U2.7.2 網(wǎng)絡(luò)級安全設(shè)計U .47U2.7.3 系統(tǒng)級安全設(shè)計U .49U2.8 IP語音系統(tǒng)方案建議U .55U2.8.1 平臺總體建議U .56U2.8.2 IP語音方案同傳統(tǒng)PBX的比較U.59U2.8.3 思科方案優(yōu)勢U . 61U2.8.4 思科IP電話智能終端U .62U2.1 無線接入網(wǎng)絡(luò)設(shè)計U .630B1 需求分析2B1.1 建設(shè)目標(biāo)xx縣機關(guān)單位信息化建設(shè)是是科技強檢的重要組成部分，也是檢察工作改革的重要內(nèi) 容。信息化建設(shè)是一項技術(shù)要求較高的系統(tǒng)工程，所以 xx縣機關(guān)單位在信息化建設(shè)中要注重經(jīng) 實用、高效，高起點建設(shè)，高水平設(shè)計，高技術(shù)配置。對于信息化的建設(shè)基礎(chǔ)網(wǎng)絡(luò)起著 至關(guān)重要的作用，基礎(chǔ)網(wǎng)絡(luò)的設(shè)計規(guī)劃將決定著未來科技信息化的整體框架，所以基礎(chǔ) 網(wǎng)絡(luò)的高標(biāo)準(zhǔn)要求將至關(guān)重要。xx縣機關(guān)單位在信息化建設(shè)要樹立“規(guī)范統(tǒng)一”的思想，在局域網(wǎng)建設(shè)、專線網(wǎng)建設(shè)上， 統(tǒng)一規(guī)劃、統(tǒng)一技術(shù)標(biāo)準(zhǔn)、統(tǒng)一規(guī)范、統(tǒng)一管理，做好協(xié)調(diào)、配合工作，力求建設(shè)規(guī)范 有序、高效率。不重復(fù)、不浪費，運轉(zhuǎn)良好、快速、保密。目前 xx縣機關(guān)單位的機構(gòu)設(shè)置日趨完善，部門之間職責(zé)范圍的劃分更加科學(xué)、合理、規(guī)范， 基本適應(yīng)了社會發(fā)展和形勢任務(wù)的需要。近期我院將遷移至新址辦公，進一步改善業(yè)務(wù) 處理能力和提高辦公效率，以貫徹“科技強院”的工作方針。為了按照“積極建設(shè)，重在應(yīng)用”的工作思路，我院將在新址大樓構(gòu)建一個新的高 效辦公信息化網(wǎng)絡(luò)平臺，以實現(xiàn)了對內(nèi)與職能管理相結(jié)合、對外與司法公信力建設(shè)相結(jié) 合。1B2 設(shè)計方案3B2.1 設(shè)計思路和原則（1）網(wǎng)絡(luò)信息化建設(shè)總體原則市 xx縣機關(guān)單位信息化建設(shè)的指導(dǎo)方針是：統(tǒng)籌規(guī)劃，規(guī)范標(biāo)準(zhǔn)，深化應(yīng)用，注重效益，安全 保障。網(wǎng)絡(luò)信息系統(tǒng)建設(shè)還要遵循以下基本原則：通盤考慮原則：站位要高，從業(yè)界發(fā)展的趨勢入手，按照科學(xué)的設(shè)計框架，兼 顧成熟性和先進性，通盤考慮信息系統(tǒng)網(wǎng)絡(luò)的各級建設(shè)；投資保護原則：要充分考慮與現(xiàn)有資源整合，實現(xiàn)投資保護；安全性原則：在網(wǎng)絡(luò)設(shè)計中充分考慮安全因素，從各個層面充分考慮網(wǎng)絡(luò)安全、 系統(tǒng)安全、信息安全的規(guī)劃和設(shè)計。從而對 xx縣機關(guān)單位提供一個相對安全的系統(tǒng)平臺。可擴展性原則：網(wǎng)絡(luò)不僅要滿足近期的需要，還要前瞻性的考慮業(yè)務(wù)需求的增 長和業(yè)界發(fā)展的總體趨勢，在需要的時候可以平滑升級；能夠平滑支撐 IP 語音、視頻應(yīng)用的融合和部署?？煽啃栽瓌t：鑒于 xx縣機關(guān)單位的重要職能和對信息及時性的較高要求，信息網(wǎng)作為 支撐整個系統(tǒng)運行的基礎(chǔ)實施必須非?？煽?；所采用的產(chǎn)品和技術(shù)必須具有一 定程度上成熟可靠性。網(wǎng)絡(luò)必須具備高安全性和高穩(wěn)定性。整個網(wǎng)絡(luò)應(yīng)有足夠的冗余備份設(shè)計，包括鏈路冗余、設(shè)備冗余、模塊冗余和數(shù)據(jù)冗余備份等，提高網(wǎng)絡(luò)的容錯能力，減少單點故障。經(jīng)濟性原則：在完成預(yù)定功能的情況下，結(jié)合實際信息化程度采用最為經(jīng)濟有 效的方案，盡量節(jié)約項目投資；創(chuàng)新性原則：在設(shè)計和建設(shè)過程中積極開拓思路，不墨守成規(guī)，創(chuàng)造性地解決 問題；系統(tǒng)結(jié)構(gòu)設(shè)計、系統(tǒng)配置、系統(tǒng)管理方式等方面采用國際上先進同時又是成熟、實用的技術(shù)。共同建設(shè)原則：為保證項目的成功，需要處理好與省 xx縣機關(guān)單位專網(wǎng)和下屬單位互 聯(lián)網(wǎng)絡(luò)的關(guān)系。xx縣機關(guān)單位新網(wǎng)絡(luò)建設(shè)后要能夠為院工作的智能化、自動化提供一個高可靠、高性能的信息 平臺，徹底改善辦公、辦案條件，為完成日益繁重的工作任務(wù)提供了強有力的物質(zhì)保障。（2）網(wǎng)絡(luò)信息化建設(shè)總體思路市 xx縣機關(guān)單位新網(wǎng)絡(luò)共分為內(nèi)網(wǎng)和外網(wǎng)兩套物理隔離網(wǎng)絡(luò)，專網(wǎng)用于 xx縣機關(guān)單位 OA 辦公應(yīng)用和上下級單位業(yè)務(wù)專網(wǎng)互聯(lián)，外網(wǎng)用于日?；ヂ?lián)網(wǎng)訪問等業(yè)務(wù)。內(nèi)部網(wǎng)絡(luò)平臺是承載整個公檢法 網(wǎng)絡(luò)信息系統(tǒng)運行的硬件平臺，承載業(yè)務(wù)較多，QoS 服務(wù)質(zhì)量和網(wǎng)絡(luò)安全要求很高。網(wǎng)絡(luò)規(guī) 劃設(shè)計要保證能與現(xiàn)有網(wǎng)絡(luò)兼容并對接，確保網(wǎng)絡(luò)功能有效實施。同時 xx縣機關(guān)單位內(nèi)網(wǎng)需要與上 下級 xx縣機關(guān)單位內(nèi)網(wǎng)互連，與外部網(wǎng)絡(luò)實行物理隔離，要求能夠滿足整個大樓各個辦公室之間高 速、安全、保密的信息交互與內(nèi)部信息發(fā)布和數(shù)據(jù)共享，能夠滿足現(xiàn)有和未來發(fā)展的政法信 息服務(wù)和內(nèi)部辦公自動化的要求，形成一個智能化綜合信息平臺，可整合廣播、數(shù)據(jù)、視頻、 監(jiān)控等應(yīng)用，實現(xiàn)多網(wǎng)合一的高效辦公網(wǎng)。網(wǎng)絡(luò)區(qū)域?qū)I(yè)務(wù)區(qū)域進行的合理劃分、管理、 安全以及與廣域網(wǎng)網(wǎng)絡(luò)的鏈接規(guī)劃，同時也設(shè)計對部分區(qū)域的無線訪問解決方案。外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)本著經(jīng)濟、簡單、安全、邏輯性、擴展性強的原則進行設(shè)計。網(wǎng)絡(luò)核心交 換機采用單臺設(shè)計，要求具有較好的擴展性以及高穩(wěn)定性、高性能特點?？紤]到外網(wǎng)數(shù)據(jù)流 量模型主要用于桌面終端到互聯(lián)網(wǎng)的訪問特點，整體網(wǎng)絡(luò)采用千兆光纖骨干(接入核心)， 百兆桌面接入的方式，考慮到外網(wǎng)每個配線間信息點較少，接入交換機可采用級聯(lián)方式連接 中心機房。公網(wǎng)出口能夠提供獨立的安全防護邊界，除了提供外網(wǎng)安全防火墻功能外還可對 外提供 IPSEC VPN 和 SSLVPN 訪問功能。要將網(wǎng)絡(luò)可能存在的風(fēng)險隔離到最小的區(qū)域。對外 的網(wǎng)絡(luò)出入口需要有足夠的網(wǎng)絡(luò)安全手段，例如防止病毒、垃圾郵件攻擊等。4B2.2XX院內(nèi)網(wǎng)設(shè)計方案根據(jù)院建筑設(shè)計結(jié)構(gòu)圖（A、B 兩個樓體中間通過聯(lián)體相連），結(jié)合先進的以太網(wǎng)技術(shù)特 點以及辦公應(yīng)用在數(shù)據(jù)訪問流量方面的特點，內(nèi)網(wǎng)總體網(wǎng)絡(luò)結(jié)構(gòu)采用扁平化層次化結(jié)構(gòu)，通 過接入層設(shè)備直接連接核心的兩層架構(gòu)，保證網(wǎng)絡(luò)的最優(yōu)化設(shè)計，提供最小的數(shù)據(jù)交換延時 和最高的吞吐帶寬。核心采用冗余設(shè)計，考慮統(tǒng)一集成安全方案，實現(xiàn)對內(nèi)網(wǎng)重要區(qū)域和應(yīng) 用系統(tǒng)的隔離和防護，對網(wǎng)絡(luò)流量能夠提供硬件智能檢測分析，圖形化管理。樓內(nèi)內(nèi)網(wǎng)主干 網(wǎng)絡(luò)采用萬兆光纖以太網(wǎng)技術(shù)，核心和接入通過多模萬兆光纖介質(zhì)互連。按照信息點密度的 不同將每 2/3 層信息點集中在一個樓層內(nèi)形成樓層配線間，每個配線間設(shè)備直接雙連接到骨 干核心交換。內(nèi)網(wǎng)網(wǎng)絡(luò)終端采用千兆以太網(wǎng)技術(shù)，提供至少 1000M 交換到桌面的接入方式。 各配線間接入層設(shè)備為了減少單點故障和鏈路性能瓶頸的因素，建議萬兆直連到核心。12B2.2.1 內(nèi)網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)市 xx縣機關(guān)單位內(nèi)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)如下圖所示：對于核心交換層和接入層的網(wǎng)絡(luò)設(shè)備功能描述如下：1. 核心層：提供高速的三層交換骨干思科 6509E 旗艦級萬兆多業(yè)務(wù)智能路由交換平臺 核心層不實施影響高速交換性能的 ACL 等功能。 核心層能夠提供很好的多業(yè)務(wù)并發(fā)處理能力。 核心層應(yīng)提供對網(wǎng)絡(luò)的感知和自愈能力，如能夠根據(jù)設(shè)備狀態(tài)或鏈路質(zhì)量進行自愈(IP SLA). 核心層做為數(shù)據(jù)交換中心，除了提供高性能高可靠的平臺外，還提供集成安全、應(yīng)用加速、語音視頻優(yōu)化等多業(yè)務(wù)處理。2. 接入層：提供 Layer 3 的網(wǎng)絡(luò)接入，思科 3560E 萬兆全三層智能路由交換機 接入層設(shè)備能根據(jù)實際使用情況具有邏輯隔離功能，具有相對獨立性和擴展性； 接入層能夠?qū)崿F(xiàn)對各種終端的智能識別； 接入層設(shè)備能夠很好的隔離二、三層攻擊 接入層設(shè)備能夠支持 QoS、組播、限速等業(yè)務(wù)處理能力。 本功能區(qū) VLAN 間的路由. 各功能分區(qū) IP 地址或路由區(qū)域的匯聚. 部署功能區(qū)內(nèi)、功能區(qū)之間的安全訪問策略 如 ACL 等。 能夠隔離來自接入終端的不安全隱患，如 ARP 攻擊、地址盜用等。3. 核心路由：作為廣域網(wǎng)匯聚 思科 7600 萬兆智能路由平臺 提供各種廣域網(wǎng)接口類型，支持萬兆平臺 高密度端口接入能力，匯聚各地市單位上聯(lián)鏈路。 集成多種硬件服務(wù)功能，并發(fā)處理各種網(wǎng)絡(luò)服務(wù)。 具有極高的可靠性和應(yīng)用廣泛性。 能夠?qū)崿F(xiàn)對鏈路狀態(tài)智能識別，能夠完成自愈管理。 支持各種路由協(xié)議，設(shè)備可靈活擴展和升級。13B2.2.2 設(shè)備選型依據(jù)網(wǎng)絡(luò)系統(tǒng)是日常業(yè)務(wù)和各種應(yīng)用系統(tǒng)的基礎(chǔ)設(shè)施，應(yīng)保證工作日和重點時期不間斷運 行。整個網(wǎng)絡(luò)應(yīng)有足夠的冗余，設(shè)備在發(fā)生故障時能以熱插拔的方式在最短時間內(nèi)加以修復(fù)。 可靠性還應(yīng)充分考慮網(wǎng)絡(luò)系統(tǒng)的性價比，使整個網(wǎng)絡(luò)具有一定的容錯能力，減少單點故障。關(guān)鍵設(shè)備如核心和匯聚應(yīng)該具有智能網(wǎng)絡(luò)分析和自愈能力，能夠在自身或網(wǎng)絡(luò)發(fā)生問題 的時實現(xiàn)自動修復(fù)和保護能力。網(wǎng)絡(luò)設(shè)備應(yīng)該選用國際知名廠商，同時要求產(chǎn)品廠家具備短期響應(yīng)的能力，能夠提供專 業(yè)的售后支持服務(wù)，以保證在設(shè)備發(fā)生故障的情況下能夠在最短的時間內(nèi)為用戶解決問題。 產(chǎn)品的備板、備件也要較為充足，以保證在用戶硬件出現(xiàn)問題時能夠及時更換，保護用戶原 有投資。結(jié)合 xx縣機關(guān)單位信息化平臺的建設(shè)思路，網(wǎng)絡(luò)設(shè)備的選擇需要考慮整體方案的完整性和擴展 性，思科做為全球網(wǎng)絡(luò)方案的提供商，其產(chǎn)品和解決方案都是業(yè)界最完善和優(yōu)質(zhì)的，其有線 網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、IP 語音通訊、IP 視頻通訊的統(tǒng)一解決方案處于業(yè)界絕對領(lǐng)先水平，其產(chǎn)品 品質(zhì)、品牌信譽和產(chǎn)品生命力都是毋庸置疑的。14B2.2.3 各層次設(shè)計25B2.2.3.1 核心交換層設(shè)計核心層不僅擔(dān)負著院內(nèi)部各系統(tǒng)之間的高速數(shù)據(jù)交換，同時也是整個 xx縣機關(guān)單位業(yè)務(wù)服務(wù)的 數(shù)據(jù)核心，在進行核心層設(shè)計時必須強調(diào)大容量的交換性能和高可靠性，同時也要考慮到數(shù)據(jù)中心的功能要求和業(yè)務(wù)擴展能力。因此我們采用雙核心結(jié)構(gòu)構(gòu)建設(shè)市 xx縣機關(guān)單位網(wǎng)絡(luò)核心層。我們在核心層設(shè)計時，充分考慮了系統(tǒng)的擴展性和成本投入高效性，故我們提出兩種核心架 構(gòu)的解決方案。我們推薦核心交換機采用兩臺思科旗艦型高性能交換機 Catalyst 6509，通過萬兆鏈路相 連，組成整個 xx縣機關(guān)單位內(nèi)網(wǎng)的核心，核心層與匯聚層之間采用雙千兆光纖鏈路，構(gòu)成具有高轉(zhuǎn) 發(fā)能力和高可靠性的網(wǎng)絡(luò)骨干。在核心層選擇思科旗艦型交換產(chǎn)品 6509 除了其高性能和高穩(wěn)定性之外，我們主要是考 慮到部署 6509 交換機可以將整個內(nèi)網(wǎng)核心設(shè)計成一個統(tǒng)一、高效、智能的業(yè)務(wù)綜合服務(wù)平 臺和數(shù)據(jù)中心。思科的 6509 交換機可以提供：1.高密度線速萬兆端口為數(shù)據(jù)中心提供高性能平臺2.高可用性 軟件系統(tǒng)模塊化、業(yè)務(wù)系統(tǒng)智能感知、自我診斷和自我修復(fù)3.多業(yè)務(wù)處理平臺可集安全防御、負載均衡、應(yīng)用加速、業(yè)務(wù)虛擬化等高性能處理模塊為一體，簡化網(wǎng)絡(luò)結(jié)構(gòu)提高運維效率。4.系統(tǒng)虛擬化核心完全虛擬化成單一邏輯中心，減少由于網(wǎng)絡(luò)設(shè)備變化、配置變化等導(dǎo)致的網(wǎng)絡(luò)恢復(fù)和管理時間，進一步提高系統(tǒng)性能和穩(wěn)定性。核心交換機對于整個網(wǎng)絡(luò)來書是非常重要的，我們利用思科公司的旗艦型核心交換機領(lǐng) 先的技術(shù)特性VSS (虛擬交換系統(tǒng))技術(shù)，將核心建造成一個虛擬化高效的平臺。核心兩臺 6509 通過 VSS 技術(shù) 形成一個萬兆核心，對于用戶管理和接入層設(shè)備完全是一個邏輯單元，具有一個 IP 管理和 MAC 地址的特點。可以提高整體性能和可用性，如可以 減少由于部署二層網(wǎng)關(guān)協(xié)議 VRRP 或 HSRP 進行主備切換是的網(wǎng)絡(luò)終端問題等。26B2.2.3.2 服務(wù)器區(qū)設(shè)計關(guān)鍵業(yè)務(wù)服務(wù)器直接通過兩條千兆鏈路連接兩臺核心交換機，這兩條鏈路捆綁，這樣不 但可以充分利用 VSS 的功能，兩條鏈路捆綁，性能加倍且可靠性高，無需服務(wù)器和系統(tǒng)的額外協(xié)議支持。而且直接連接核心交換機，服務(wù)器可以更高效率和性能的提供服務(wù)，因為服務(wù)器交換機的上聯(lián)只有 2 個或者 4 個千兆，而這樣，單臺服務(wù)器就可以有 2 個千兆的上聯(lián)性能。 在服務(wù)器區(qū)域分為多個子網(wǎng)，子網(wǎng)的劃分可初步按照業(yè)務(wù)應(yīng)用情況和數(shù)據(jù)庫與其他應(yīng)用服務(wù)器分開相結(jié)合的設(shè)計來考慮服務(wù)器區(qū)域子網(wǎng)的劃分，劃分子網(wǎng)可以減少廣播風(fēng)暴而且還 可以利用訪問控制列表 ACL 部署相應(yīng)的策略提高服務(wù)器區(qū)域的安全性。27B2.2.3.3 接入層設(shè)計接入層是網(wǎng)絡(luò)的接入邊界，負責(zé)將各種終端連接到網(wǎng)絡(luò)中去，同時需要高速向上連接核 心交換設(shè)備。接入層需要規(guī)范網(wǎng)絡(luò)訪問行為，在網(wǎng)絡(luò)的訪問功能和管理功能中具有重要的作用。 接入交換機采用思科高性能 3560E 萬兆三層路由交換機，提供全千兆多層交換接入萬兆上聯(lián)能力的交換機，支持硬件組播處理，單機能處理多達 1000 多個組播項，對于未來開展 組播業(yè)務(wù)提供非常高效可靠的平臺。另外思科 3560E 還完全支持硬件 Ipv6 和 MPLS 的處理 能力，對未來業(yè)務(wù)增值服務(wù)提供有效保障。通過 3560E 的端口高性能 ASIC 芯片可以將入口 速率限速精度提高到 8kbps，為 QoS 和病毒防治提供了很好的硬件處理能力。做為接入層設(shè)備除了能夠承上啟下提供高性能鏈路樞紐之外，還能夠提供各種業(yè)務(wù)處理 和安全管理功能：高級安全特性：接入交換機支持 802.1x、訪問控制列表(ACL)、Secure Shell(SSH)協(xié)議、動態(tài) ARP 檢測(DAI)、源 IP 防護和專用虛擬 LAN(PVLAN)等安全特性，可增強網(wǎng)絡(luò)中的控制能力和靈活性。通過有選擇地或全部實施上述特性，網(wǎng)絡(luò)管理員可防止對于服務(wù)器或應(yīng)用的未 授權(quán)訪問，允許不同的人能以不同的許可權(quán)來使用同一 PC。基于硬件的組播：支持 PIM（密集和疏松模式）、IGMP。高級 QoS：集成的基于第二到四層的 QoS 和流量管理功能，在 32000 個 QoS 策略條 目的基礎(chǔ)上，對關(guān)鍵任務(wù)和時間敏感型流量進行了分類和優(yōu)先排序。匯聚層交換機可以利用 基于主機、網(wǎng)絡(luò)和應(yīng)用信息的入口和出口策略控制器機制，對高帶寬流量進行整形和速率限制。全面的管理：交換機為所有端口的配置和控制提供了基于 Web 的管理功能，因而可以集中管理重要網(wǎng)絡(luò)特性，如可用性和響應(yīng)能力等。接入層集成安全特性：在接入層完全杜絕第二層安全問題 由于任何用戶都可以訪問任何以太網(wǎng)端口，而且可能成為潛在的黑客，因此，開放園區(qū)網(wǎng)不能保證網(wǎng)絡(luò)安全性。因為 OSI 模型允許不同通信層次在相互不了解的情況下配合工作， 所以第二層安全性至關(guān)重要。即使某個層次遭到攻擊, 網(wǎng)絡(luò)安全特性遭到襲擊，其它層次也 可以不受影響。通信可以照常進行，任何用戶都意識不到其應(yīng)用層信息曾遭到過襲擊。第二層交換環(huán)境一般部署在配線間中，很容易成為安全襲擊目標(biāo)。第二層最常見的安全 威脅之一，也是最難檢測到的威脅之一，是旨在使網(wǎng)絡(luò)癱瘓，或者盜取密碼等網(wǎng)絡(luò)用戶的敏 感信息的網(wǎng)絡(luò)襲擊。這些襲擊將非法利用正常協(xié)議處理，例如，交換機通過地址解析協(xié)議（ARPRFC 826）或動態(tài)主機控制協(xié)議（DHCP）服務(wù)器 IP 地址分配來學(xué)習(xí) MAC 地址，執(zhí)行 終端工作站 MAC 地址解析等。常見的第二層安全威脅 隨著互聯(lián)網(wǎng)上基于菜單的黑客工具的流行，發(fā)動安全襲擊需要的技能越來越少。最常見、破壞力最大的襲擊包括：MAC 地址泛洪DHCP 服務(wù)器欺騙利用 ARP 發(fā)動的“中間人” 襲擊IP 主機欺騙值得重視的是，雖然使用 IEEE 802.1x 和訪問控制列表等驗證和安全特性是網(wǎng)絡(luò)威脅防御策略的重要組成部分，但不能預(yù)防上述第二層安全襲擊，因為通過驗證的用戶仍有可能具 有惡意襲擊傾向，從而容易地發(fā)動上述襲擊。利用交換機集成式安全特性，可以輕松地預(yù)防這些常見的第二層安全威脅。各種威脅和防止網(wǎng)絡(luò)遭受襲擊的安全特性如下：U(1)MAC 地址泛洪MAC 地址指主機設(shè)備的物理地址。交換機的正常行為是在地址表中填寫每個到達包的源地址和端口。去往未知目標(biāo) MAC 地址的幀由 VLAN 上的每個端口發(fā)出。這就是交換機或 橋接器在第二層執(zhí)行轉(zhuǎn)發(fā)、過濾和學(xué)習(xí)機制的方法。交換機具有固定的內(nèi)存空間存儲 MAC 地址。試圖造成該表泛洪或溢出的襲擊將利用交換機內(nèi)的在 MAC 地址學(xué)習(xí)功能和轉(zhuǎn)發(fā)行為。這種襲擊將利用這種自然硬件限制，向交換機發(fā)送海量未知 MAC 地址，讓交換機學(xué)習(xí)。 但是，一旦達到了第二層轉(zhuǎn)發(fā)表的極限，包就會泛洪到 VLAN 的所有端口，使黑客能夠通過 交換網(wǎng)絡(luò)盜取網(wǎng)絡(luò)連接，進而破壞網(wǎng)絡(luò)性能。預(yù)防端口安全特性是一種動態(tài)特性，可用于限制和識別允許訪問同一物理端口的站點的MAC 地址。當(dāng)某端口分配了安全 MAC 地址，或者動態(tài)學(xué)習(xí)完成之后，端口將禁止轉(zhuǎn)發(fā)該源 地址范圍之外的包。通過端口安全特性限制交換機端口上允許的 MAC 地址的數(shù)量，有助于 防止網(wǎng)絡(luò)遭受 MAC 地址泛洪襲擊。U(2)DHCP 服務(wù)器欺騙和中間人襲擊網(wǎng)絡(luò)襲擊者通常使用惡意 DHCP 服務(wù)器發(fā)出 IP 主機地址，并將其作為默認網(wǎng)關(guān)，在兩個端點之間重新轉(zhuǎn)發(fā)正常流量，從而竊取這兩個端點之間的所有流量。因此，這種襲擊也稱 為中間人襲擊。預(yù)防: DHCP 監(jiān)聽所有第二層端口都可以支持思科已獲專利的 DHCP 監(jiān)聽特性。該特性能夠為合法 DHCP服務(wù)器規(guī)定可信端口，使之接發(fā)這些服務(wù)器的 DHCP 請求和信息。截獲 VLAN 中的所有 DHCP 消息后，交換機可以作為用戶與合法 DHCP 服務(wù)器之間的小 型安全防火墻。U(3)基于地址解析協(xié)議（ARP）的中間人攻擊 地址解析協(xié)議（ARP）的最基本的功能是允許兩個站點在 LAN 網(wǎng)段上通信。攻擊者可能會發(fā)送帶假冒源地址的 ARP 包，希望默認網(wǎng)關(guān)或其它主機能夠承認該地址， 并將其保存在 ARP 表中。ARP 協(xié)議不執(zhí)行任何驗證或過濾就會在目標(biāo)主機中為這些惡意主機 生成記錄項，從而提高了網(wǎng)絡(luò)易損性。目前，惡意主機可以在端點毫不知情的情況下竊取兩 個端點之間的談話內(nèi)容。攻擊者不但可以竊取密碼和數(shù)據(jù)，還可以偷聽 IP 電話內(nèi)容。預(yù)防: 動態(tài) ARP 檢測這種攻擊可以通過已獲專利的思科安全特性動態(tài) ARP 檢測（DAI）有效預(yù)防，這種方法能夠保證接入交換機只傳輸“合法”的 ARP 請求和答復(fù)。DAI 能夠截獲交換機上的每個 ARP 包，檢查 ARP 信息，然后再更新交換機 ARP 高速緩存，或者將其轉(zhuǎn)發(fā)至相應(yīng)的目的地。 U(4)IP主機欺騙IP 地址欺騙攻擊者可以模仿合法地址，方法是人工修改某個地址，或者通過程序執(zhí)行地址欺騙?；ヂ?lián)網(wǎng)蠕蟲可以使用欺騙技術(shù)隱藏攻擊原發(fā)地。預(yù)防: IP 源防護利用 IP 源防護特性，攻擊者將無法冒用合法用戶的 IP 地址發(fā)動攻擊。該特性只允許轉(zhuǎn)發(fā)有合法源地址的包。28B2.2.3.4 出口路由層設(shè)計在市 xx縣機關(guān)單位內(nèi)網(wǎng)廣域網(wǎng)出口位置部署一臺思科萬兆電信級多業(yè)務(wù)路由器，該核心路由器 處于網(wǎng)絡(luò)的出口的核心位置，是市檢查院廣域網(wǎng)互聯(lián)平臺系統(tǒng)業(yè)務(wù)的集中匯聚點，負責(zé)上聯(lián) 省院下聯(lián)縣級單位，承擔(dān)及實現(xiàn)整個廣域網(wǎng)絡(luò)數(shù)據(jù)的處理與轉(zhuǎn)發(fā)，所以它的可靠性和穩(wěn)定性 是整個備份網(wǎng)絡(luò)良好運行的關(guān)鍵。因此，在選用網(wǎng)絡(luò)核心主干層設(shè)備時應(yīng)該考慮到設(shè)備的實 用性、成熟性、先進性、可靠性、擴展能力以及安全性等方面。我們此次選用了思科電信級 的核心路由器 7600 做為省高法核心業(yè)務(wù)路由器，該路由器標(biāo)準(zhǔn)配置了 8 個 1000M 端口用 于連接縣級下屬單位和與其他網(wǎng)絡(luò)設(shè)備互聯(lián)，該核心路由器除了具有大規(guī)模應(yīng)用案例及良好的用戶口碑之外，還具有以下特點：z提供豐富的業(yè)務(wù)高品質(zhì) QoS 能力，是網(wǎng)絡(luò)業(yè)務(wù)的重要技術(shù)基礎(chǔ)。核心路由器要能實現(xiàn)智能業(yè)務(wù)感知， 提供先進的隊列調(diào)度算法、SARED 擁塞控制算法，精確保證不同業(yè)務(wù)的帶寬、時延和抖動， 滿足不同用戶、不同業(yè)務(wù)等級的“區(qū)分服務(wù)”要求。核心路由器對多種業(yè)務(wù)提供硬件處理能力，具備高性能的業(yè)務(wù)能力，提供全面的 MPLS VPN 業(yè)務(wù)，能作為高性能 P/PE 應(yīng)用，提供高品質(zhì)、安全和多層次的 MPLS VPN 解決方案；提 供高性能組播能力。該設(shè)備支持各種類型廣域網(wǎng)口（POS/CPOS 和 E1），具備硬件處理多業(yè)務(wù)的能力，標(biāo)準(zhǔn) 配置就可提供流量統(tǒng)計(Netflow)、QoS、MPLS、IPv6、NAT 等專用硬件處理芯片，還可以通 過選配各種安全服務(wù)模塊實現(xiàn)安全隔離(防火墻、入侵防護、VPN)、應(yīng)用加速等。z路由處理能力此次市級節(jié)點核心路由器采用單機雙引擎、雙電源配置，整機性能達到 32Gbps，同時 建議再配置一個 24 個 1000M 光纖三層以太網(wǎng)接口，用于擴展連接其他和設(shè)備。同時整機具 有萬兆擴展能力，未來可僅通過平滑升級引擎將整機性能提升至少 20 倍。路由協(xié)議方面完 全支持 RIP、OSPF、BGP、ISIS 等單播路由協(xié)議和 IGMP、PIM、MBGP、MSDP 等多播路由協(xié) 議，支持路由策略以及策略路由。對與組播和 IPv6 的高級應(yīng)用實現(xiàn)完全硬件處理，保證多 種業(yè)務(wù)的綜合處理能力。29B2.2.3.5 子網(wǎng)劃分VLAN（Virtual Local Area Network）又稱虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采 用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。一個 VLAN 組成一 個邏輯子網(wǎng)，即一個邏輯廣播域，它可以覆蓋多個網(wǎng)絡(luò)設(shè)備，允許處于不同地理位置的網(wǎng)絡(luò) 用戶加入到一個邏輯子網(wǎng)中。使用 VLAN 具有以下優(yōu)點： 控制廣播風(fēng)暴和基于鏈路層的攻擊一個 VLAN 就是一個邏輯廣播域，通過對 VLAN 的創(chuàng)建，隔離了廣播，縮小了廣播范圍， 可以控制廣播風(fēng)暴的產(chǎn)生，并把基于數(shù)據(jù)鏈路層的攻擊限制在所屬 VLAN 中，。提高網(wǎng)絡(luò)整體安全性通過路由訪問列表和 MAC 地址分配等 VLAN 劃分原則，可以控制用戶訪問權(quán)限和邏輯網(wǎng)段大小，將不同用戶群劃分在不同 VLAN，從而提高交換式網(wǎng)絡(luò)的整體性能和安全性。網(wǎng)絡(luò)管理簡單、直觀 對于交換式以太網(wǎng)，如果對某些用戶重新進行網(wǎng)段分配，需要網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)系統(tǒng)的物理結(jié)構(gòu)重新進行調(diào)整，甚至需要追加網(wǎng)絡(luò)設(shè)備，增大網(wǎng)絡(luò)管理的工作量。而對于采用 VLAN 技術(shù)的網(wǎng)絡(luò)來說，一個 VLAN 可以根據(jù)部門職能、對象組或者應(yīng)用將不同地理位置的網(wǎng)絡(luò)用 戶劃分為一個邏輯網(wǎng)段。在不改動網(wǎng)絡(luò)物理連接的情況下可以任意地將工作站在工作組或子 網(wǎng)之間移動。利用虛擬網(wǎng)絡(luò)技術(shù)，大大減輕了網(wǎng)絡(luò)管理和維護工作的負擔(dān)，降低了網(wǎng)絡(luò)維護 費用。在一個交換網(wǎng)絡(luò)中，VLAN 提供了網(wǎng)段和機構(gòu)的彈性組合機制。市檢查院 VALN 劃分原則為：數(shù)據(jù)中心和每個處室分別為一個 VLAN。VLAN 間的訪問規(guī) 則通過接入層交換機實現(xiàn)。30B2.2.3.6 路由設(shè)計對于規(guī)模較大的網(wǎng)絡(luò)，選擇一個合適的路由協(xié)議非常重要。路由協(xié)議包括兩類：靜態(tài)路 由協(xié)議和動態(tài)路由協(xié)議。市檢查院專網(wǎng)路由協(xié)議的選擇從管理和技術(shù)兩個方面綜合考慮，路由協(xié)議選擇的基本原 則是：1、管理層次分明，局部的路由變動不影響上層路由配置和全局路由配置；2、路由技術(shù)的應(yīng)用盡量簡單、靈活，以提高路由器的處理效率。 市檢查院專網(wǎng)考慮到其網(wǎng)絡(luò)結(jié)構(gòu)簡單、穩(wěn)定，線路可靠等因素，市檢查院專網(wǎng)采用靜態(tài)路由協(xié)議，并在適當(dāng)位置進行手動路由匯總。31B2.2.3.7 網(wǎng)絡(luò)管理設(shè)計配置一套智能化網(wǎng)絡(luò)管理平臺，在統(tǒng)一設(shè)備資源和用戶資源管理的平臺框架的基礎(chǔ)上， 實現(xiàn)的基礎(chǔ)業(yè)務(wù)管理平臺，包括基礎(chǔ)網(wǎng)絡(luò)管理和基本接入管理?；A(chǔ)網(wǎng)絡(luò)管理，涵蓋了傳統(tǒng) 網(wǎng)管的主要功能，包括告警管理、性能管理、拓撲管理等?；窘尤牍芾恚饕芾碛脩舻?接入準(zhǔn)入和控制。智能網(wǎng)絡(luò)管理平臺和 ACL、Qos、VLAN 等網(wǎng)絡(luò)資源管理一起構(gòu)成了承載其他業(yè)務(wù)的基礎(chǔ) 平臺。網(wǎng)絡(luò)管理是網(wǎng)絡(luò)組建中不可缺少的重要組成部分。一個良好的網(wǎng)絡(luò)管理系統(tǒng)可以幫助用 戶在很大程度上優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、預(yù)防和及時排除故障，減少網(wǎng)絡(luò)的維護費用。針對網(wǎng)絡(luò)的具體情況，我們建議采用 CISCO WORKS2000 管理工具集 CiscoWorks2000 是基于 Internet 的網(wǎng)絡(luò)管理工具，它將傳統(tǒng)路由器和交換機管理的最佳功能與基于 Web 的最 新技術(shù)于一體。既充分利用了現(xiàn)有工具和設(shè)備中內(nèi)置的管理數(shù)據(jù)，也為快速發(fā)展的大型網(wǎng)絡(luò) 提供了新型網(wǎng)絡(luò)管理工具，盡管它是 CISCO 的產(chǎn)品，但卻能與多廠商管理工具結(jié)合使用。思科智能網(wǎng)絡(luò)管理平臺 Cisco Works LMS 的基本資源管理管理特性主要包 括：一、網(wǎng)絡(luò)資源管理-RME要管好任何規(guī)模的網(wǎng)絡(luò)，首先應(yīng)掌握本網(wǎng)絡(luò)系統(tǒng)內(nèi)的各種資源，包括路由器、交換機等硬件設(shè)備和這些設(shè)備所運行的軟件（IOS）和配置文件。這就需要 Resource manager Essentials（RME），它包含在 CiscoWorks2000 的 LMS 工具中。RME 是基于 Web 的網(wǎng)管工具，用于管 理路由器、訪問服務(wù)器和交換機。RME 的瀏覽器界面允許網(wǎng)管員很容易的收集關(guān)系到網(wǎng)絡(luò) 可用性和可靠性的信息，從而簡化了網(wǎng)管工作中大量費時的管理任務(wù)。RME 包括了幾個主 要的應(yīng)用程序：（1）庫存管理（Inventory） 網(wǎng)管員可用此程序收集網(wǎng)絡(luò)中網(wǎng)絡(luò)設(shè)備的分布狀況和詳細的軟、硬件配置清單。RME通過內(nèi) 置的網(wǎng)絡(luò)設(shè)備配置查詢功能，可以定期掃描網(wǎng)絡(luò)中的每臺Cisco網(wǎng)絡(luò)設(shè)備，讀取其配置信息， 這些配置信息被存儲在一個中央管理數(shù)據(jù)庫中，有了這個全網(wǎng)設(shè)備的配置數(shù)據(jù)庫，網(wǎng)管員 就可以準(zhǔn)確了解到網(wǎng)絡(luò)中所有設(shè)備的配置狀況，并及時發(fā)現(xiàn)配置的變更情況。（2）軟件管理RME中有一個Software Management管理模塊，能針對一臺或多臺Cisco網(wǎng)絡(luò)設(shè)備進行自動的操作系統(tǒng)升級。管理員只需簡單地設(shè)置好需要升級的操作系統(tǒng)版本和升級時間，RME就可以自動地幫助管理員對大批量的Cisco網(wǎng)絡(luò)設(shè)備進行IOS升級，如在升級過程中出現(xiàn)故障或錯誤還可以向管理報警，這也降低了網(wǎng)管員的工作強度，降低了維護成本。（3）配置管理 從網(wǎng)絡(luò)設(shè)備中讀取配置文件并歸檔；設(shè)備存儲的配置文件與設(shè)備當(dāng)前運行配置文件的比較，自動找出差別；可先在網(wǎng)管機上面編輯配置文件，再將編輯好的配置文件發(fā)送給網(wǎng)絡(luò) 設(shè)備，免去了現(xiàn)場配置的麻煩。（4）變化審計服務(wù) 可生成針對設(shè)備變更的記錄報表，檢查網(wǎng)絡(luò)中所有設(shè)備變化，配置修改、設(shè)備軟件的變化情況，將報表轉(zhuǎn)存為文本文件輸出。（5）系統(tǒng)日志（syslog）分析將庫存設(shè)備發(fā)送給網(wǎng)管機CW2000的syslog信息生成報表，將報表轉(zhuǎn)存為文本文件輸出。（6）可用性管理 可報告設(shè)備的可達性、接口狀態(tài)、和反應(yīng)時間等信息，并可重點監(jiān)視關(guān)鍵設(shè)備可用性。二、網(wǎng)絡(luò)資源監(jiān)控-CiscoViewCiscoV iew 是一個基于圖形化的設(shè)備管理應(yīng)用軟件，它包含在 LMS 工具中，為 Cisco 的 交換機、路由器提供動態(tài)的狀態(tài)、統(tǒng)計以及全面的配置信息。CiscoV iew 以圖形方式顯示 Cisco 設(shè)備的物理視圖。而且，這種基于 SNMP 的網(wǎng)絡(luò)管理工具還提供針對單個端口或整個設(shè)備的 監(jiān)控功能和基本的故障診斷功能。由于 CiscoV iew 將 CISCO 設(shè)備以圖形化方式顯示，網(wǎng)管員 可更直觀的了解網(wǎng)絡(luò)設(shè)備產(chǎn)生的大量管理數(shù)據(jù)，諸如設(shè)備性能、信息流、使用率、收發(fā)的幀、 錯誤和其它設(shè)備狀態(tài)指示等關(guān)鍵信息與數(shù)據(jù)，這些都可以是圖形化實時監(jiān)控與跟蹤；能夠進 行配置更改，如陷阱、IP 路由、VLAN 和橋接配置；CiscoV iew 中有閾值管理程序，使網(wǎng)管員 能夠在預(yù)定義情況發(fā)生時定義告警條件和監(jiān)控程序，這樣就降低了管理開銷并縮短了排除故 障的時間。三、網(wǎng)絡(luò)性能監(jiān)視-IPMIPM（InternetWork Performance Moniter）可監(jiān)視并分析網(wǎng)絡(luò)響應(yīng)時間和可用性。網(wǎng)管員應(yīng)及時掌握網(wǎng)絡(luò)的健康狀況和使用情況，通過 IPM，網(wǎng)管員不必坐等發(fā)生故障后再去救火， 而可以主動解決網(wǎng)絡(luò)響應(yīng)時間的利用率上的問題，給用戶提供實時和歷史數(shù)據(jù)的報告。利用 IPM，可以使 CiscoWork2000 管理從 VPN 到廣域網(wǎng)的所有網(wǎng)絡(luò)環(huán)境；IPM 采用基于 JAVA 的技 術(shù)，提供 Web 管理接口，管理人員和普通用戶都可以通過 Web 瀏覽器查看響應(yīng)時間和網(wǎng)絡(luò) 可用性的各種信息；IPM 可以輸出日報、周報、月報，IPM 支持多個用戶同時對 IPM 服務(wù)器進行訪問。I n t e rn e t w o rk P e r f o r m a n c eM o n i t o r 生 成 的 網(wǎng) 絡(luò) 延 時 統(tǒng) 計 報 告 25 四、網(wǎng)絡(luò)故障管理-DFM當(dāng)網(wǎng)中出現(xiàn)影響業(yè)務(wù)正常運行的故障時，DFM 能及時監(jiān)測到故障的發(fā)生，并根據(jù)故障對網(wǎng)絡(luò)業(yè)務(wù)的影響程度向有關(guān)的網(wǎng)管中心發(fā)出實時的故障報警。網(wǎng)絡(luò)管理員在收到報警后應(yīng) 能迅速定位和分析出現(xiàn)故障的準(zhǔn)確位置，并可根據(jù)故障管理系統(tǒng)的指引找出故障的解決方 案。五、園區(qū)網(wǎng)管理- Campus ManagerCampus Manager(CM)的主要功能是：建立局域網(wǎng)的二層拓撲圖(CDP 自動拓撲發(fā)現(xiàn)要嚴格限定在局域網(wǎng)內(nèi))； VLAN 管理：在實際環(huán)境中通過 VLAN 管理功能實現(xiàn)局域網(wǎng)的 VLAN 管理。 路徑分析管理：通過此功能分析兩個 IP 節(jié)點之間 IP 流量穿越的第二層路徑和第三層路徑，將顯示結(jié)果與實際狀況加以比較。 用戶跟蹤管理：通過此功能顯示所有的終端節(jié)點（即所有具有 MAC 地址并接入網(wǎng)絡(luò)中的 PC、服務(wù)器、打印機、IP 電話等），在顯示結(jié)果表格中通過 MAC 地址、IP 地址、VLAN 等 信息尋找主機。一般來說，網(wǎng)絡(luò)管理提供的是一種服務(wù)，它通過一系列的工具、程序和設(shè)備，幫助 管理人員監(jiān)視和維護網(wǎng)絡(luò)運行，以及為網(wǎng)絡(luò)系統(tǒng)的規(guī)劃提供網(wǎng)絡(luò)層和應(yīng)用層的可靠數(shù)據(jù)。在 日常的網(wǎng)絡(luò)管理過程當(dāng)中，經(jīng)常包含下面三個過程：安裝配置和更改配置、網(wǎng)絡(luò)監(jiān)視和故障 診斷、網(wǎng)絡(luò)設(shè)計和優(yōu)化。網(wǎng)絡(luò)管理提供的不只是一個網(wǎng)絡(luò)管理平臺，而是基于全線網(wǎng)絡(luò)設(shè)備的一系列系統(tǒng)管 理軟件。網(wǎng)絡(luò)管理系統(tǒng)必須實現(xiàn)比如設(shè)備面板監(jiān)控、配置管理、設(shè)備軟件升級管理、QoS 服務(wù)質(zhì)量管理等，以及許多現(xiàn)代網(wǎng)絡(luò)中必備的技術(shù)管理，如 VLAN 管理、訪問控制管理等功 能。為用戶提供強大的網(wǎng)絡(luò)管理、分析和規(guī)劃手段。5B2.3 外網(wǎng)網(wǎng)絡(luò)方案設(shè)計外部網(wǎng)絡(luò)連接主要有 Internet 連接專線、1 個外部服務(wù)器網(wǎng)絡(luò)。所有網(wǎng)絡(luò)使用防火墻連 接到內(nèi)部核心交換。防火墻上分有內(nèi)部、DMZ、外部、等多個區(qū)域。外網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)本著經(jīng)濟、簡單、安全、邏輯性、擴展性強的原則進行設(shè)計。網(wǎng)絡(luò)核心交 換機采用單臺設(shè)計，采用一臺思科 4500E 做為外網(wǎng)交換核心，思科 4500E 具有較好的擴展性 以及高穩(wěn)定性、高性能特點。采用了 CenterFlex 技術(shù)的 Cisco Catalyst 4500 系列交換機能 夠通過安全、靈活、不間斷的通信，提供可以擴展的無阻礙 L2L4 層交換，從而保障關(guān)鍵業(yè) 務(wù)應(yīng)用的永續(xù)性。由于 Cisco Catalyst 4500E 能夠提供先進的動態(tài)服務(wù)質(zhì)量（QoS）功能和配 置靈活性，因而能提供可以預(yù)測和擴展的高性能。硬件和軟件中的集成式永續(xù)特性有助于提 高網(wǎng)絡(luò)可用性，以提高勞動力的生產(chǎn)率和。Cisco Catalyst 4500E 創(chuàng)新、靈活的集中式系統(tǒng)設(shè) 計有助于順利遷移到線速 IPv6 和萬兆以太網(wǎng)。 Cisco Catalyst 4500E 的靈活性、可擴展性以 及向前和向后兼容性，延長了部署周期，提供了卓越的投資保護，并降低了總體擁有成本。 性能：Cisco Catalyst 4500E 提供的高級交換解決方案不但能隨著端口的增加擴充帶寬，還采用了業(yè) 內(nèi)領(lǐng)先的應(yīng)用專用集成電路（ASIC）技術(shù)，能夠提供線速 L2-L3 10/100 或千兆交換能力。由于 L2 交換提供模塊 化管理引擎靈 活性和全面的 線路卡兼容性 ，因而能將性 能擴展到 280Gbps 和225Mpps。 為關(guān)鍵業(yè)務(wù)應(yīng)用提供帶寬保護：利用 QoS 或安全特性，在部署 Cisco Catalyst 4500 系列管理引擎 時，將不會降低轉(zhuǎn)發(fā)性能，Cisco Catalyst 4500 系列平臺將繼續(xù)以完全線速轉(zhuǎn)發(fā)。 端口密度：4506E 單機箱最多能夠滿足 244 個以太網(wǎng)端口的網(wǎng)絡(luò)組件連接要求。Cisco Catalyst 4500 系列支持萬兆以太網(wǎng)上行鏈路端口，支持高密度千兆以太網(wǎng)到桌面部署和交換機到交換機應(yīng)用。 Cisco Catalyst 4500 系列的可熱插拔、易于使用的模塊化交換解決方案不但能降低復(fù)雜性，還能容 易地支持當(dāng)今網(wǎng)絡(luò)中不斷變化的桌面環(huán)境。 功能上透明的線路卡：只需添加新的管理引擎，Cisco Catalyst 4500 系列系統(tǒng)就可以容易地將所有 系統(tǒng)端口升級到更高交換功能。與遷移過程中需要執(zhí)行全面設(shè)備升級的傳統(tǒng)交換產(chǎn)品不同，該系統(tǒng) 不需要更換老線路卡和布線就可以增強所有系統(tǒng)端口的功能。這種架構(gòu)優(yōu)勢延長了 Cisco Catalyst4500 系列線路卡的有用部署時間。 高級安全性：在 Cisco Catalyst 4500 系列上支持多種安全特性，例如 802.1x、訪問控制列 s 表（ACL）、安全 Shell（SSH）協(xié)議、單播 RPF（uRPF）、端口安全性、動態(tài) ARP 檢測（DAI）、IP Source Guard、控制平面限速、802.1x 不可訪問認證回避、802.1x 單向控制端口、MAC 認證回 避、多域認證和專用虛擬局域網(wǎng)（PVLAN），以便增強網(wǎng)絡(luò)控制和靈活性。如果有選擇地或者全部 采用這些特性，網(wǎng)絡(luò)管理員不但能防止非法訪問服務(wù)器或應(yīng)用，讓不同的人用不同的權(quán)限使用同一臺 PC，還能防止網(wǎng)絡(luò)入侵者通過盜竊用戶名和密碼訪問交換機，或者防止出現(xiàn)有意或意外廣播風(fēng) 暴。 基于硬件的組播：獨立于協(xié)議的組播（PIM）、密集模式和稀疏模式、互聯(lián)網(wǎng)小組管理協(xié)議（IGMP）、 組播偵聽器識別（MLD）偵聽和思科組管理協(xié)議支持基于標(biāo)準(zhǔn)的經(jīng)過思科技術(shù)增強的高效多媒體網(wǎng) 絡(luò)，而且不會降低性能。 可管理性：Cisco Catalyst 4500 系列得到了 CiscoWorks 產(chǎn)品線的支持，提供的創(chuàng)新工具能夠集中管理主要網(wǎng)絡(luò)特性，例如可用性、響應(yīng)能力、永續(xù)性和安全性，以便建立智能交換基礎(chǔ)設(shè)施。通用 模塊化 QoS 命令行界面（CLI）不但能簡化策略流量圖的創(chuàng)建，還能為大、小型 Cisco Catalyst 交換機提供一致的界面。網(wǎng)絡(luò)運作可以通過基于 Web、GUI 和 CLI 的靈活管理方式得到增強。最重要 的是，每臺 Cisco Catalyst 4500 系列交換機都有思科服務(wù)和支持解決方案作后盾。 千兆到桌面：Cisco Catalyst 4500 系列已經(jīng)提供了很多 1000Mbps 桌面和服務(wù)器交換解決方 案。利用 為 Cisco Catalyst 4500 系列開發(fā)的 48 端口和 24 端口三速 自 適應(yīng)、自 協(xié) 商10/100/1000BASE-T 線路卡，千兆解決方案的范圍很容易擴展到桌面。三速 48 端口和 24 端口模塊，再加上自適應(yīng)技術(shù)，能夠提供 局域網(wǎng) 投資保護，因為在未來，快速以太網(wǎng)桌面無需更換線路 卡就能遷移到千兆以太網(wǎng)?？紤]到外網(wǎng)數(shù)據(jù)流量走向全部是由桌面終端到互聯(lián)網(wǎng)出口的訪問特點，所以此次外網(wǎng)結(jié) 構(gòu)采用千兆光纖骨干(接入核心)百兆桌面接入的方式，考慮到外網(wǎng)每個配線間信息點較 少，接入交換機可采用級聯(lián)方式連接中心機房。如下圖所示：公網(wǎng)出口能夠提供獨立的安全防護邊界，通過一臺思科統(tǒng)一安全平臺 ASA 5520 提供綜 合安全防護，在提供地址翻譯、防火墻安全隔離的功能外，還可以提供 IPSEC VPN 和 SSLVPN 公網(wǎng)訪問接入功能。另外再在防火墻隔離出 DMZ 區(qū)連接外網(wǎng)應(yīng)用服務(wù)器，實現(xiàn)內(nèi)外訪問的 安全區(qū)域劃分。同時為將網(wǎng)絡(luò)可能存在的風(fēng)險隔離到最小的區(qū)域建議在 ASA5520 上增配安 全網(wǎng)關(guān)模塊實現(xiàn)對病毒、垃圾郵件攻擊的防護。在外網(wǎng)接入層設(shè)備選型上，考慮到必須具有足夠的端口密度，同時還要有一定的智能訪問控制能力，在整個網(wǎng)絡(luò)安全體系中構(gòu)建設(shè)第一道安全屏障。我們建議采用思科 Catalyst2918 系列交換機，其采用簡體中文的設(shè)備面板和圖形化界面，以特優(yōu)的性價比，為級配線 間提供桌面快速以太網(wǎng)和千兆上行網(wǎng)絡(luò)連接。Cisco Catalyst 2918 系列通過提供標(biāo)準(zhǔn)安全策略、服務(wù)質(zhì)量(QoS)和可用性功能，降低了網(wǎng)絡(luò)總體擁有成本。1. 安裝和配置中文快速設(shè)置Smartports 和 Smartports AdvisorDHCP AutoInstall (IP 地址，配置文件，IOS 鏡像)配置更換，能回退配置更改使用思科發(fā)現(xiàn)協(xié)議，發(fā)現(xiàn)鄰近設(shè)備通過 Telnet 和控制臺接入用戶熟悉的 Cisco IOS 命令行界面Cisco Smartports.Cisco CatalvstCisco Smart.EQoS.Cisco CaIystWeb-HTML2.2918物理層面的保護電纜破損或卷曲時域反射計 (TDR)沿電纜檢測故障發(fā)生點。這是第一道防線。電纜只能成功單向傳輸單向鏈路檢測 (UDLD