網(wǎng)絡(luò)實(shí)施方案

網(wǎng)絡(luò)實(shí)施方案公司機(jī)密，未經(jīng)許可，請(qǐng)勿傳播第ProjectManager起草日期:[DatePrepared]聲明：該文檔由杭州XX科技有限公司（以下簡(jiǎn)稱“XX科技”）所提交。文檔相關(guān)的信息不應(yīng)被其它公司參考引用。文檔屬性屬性內(nèi)容客戶名稱XXXX項(xiàng)目名稱XXXX項(xiàng)目網(wǎng)絡(luò)實(shí)施方案項(xiàng)目編號(hào)文檔主題網(wǎng)絡(luò)實(shí)施配置規(guī)劃文檔版本1.0版本日期2014-05-20作者文檔變更版本修訂日期修訂人描述1.02014/5/17IP地址規(guī)化修改文檔送呈客戶名稱目的XXXX審閱、存檔目錄第1章項(xiàng)目實(shí)施計(jì)劃 51.1責(zé)任分工界面 51.2項(xiàng)目里程碑目標(biāo) 61.3項(xiàng)目實(shí)施計(jì)劃安排 6第2章網(wǎng)絡(luò)總體規(guī)劃 72.1網(wǎng)絡(luò)現(xiàn)狀 72.2新建網(wǎng)絡(luò)設(shè)計(jì) 7第3章設(shè)備部署 83.1設(shè)備命名 83.2端口描述 83.3軟件版本 83.4槽位部署 8第4章網(wǎng)絡(luò)連接 104.1端口分配原則 104.2端口分配列表 10第5章IP地址和VLAN分配 115.1IP地址分配原則 115.2IP地址整體分配 115.3管理地址 115.4互聯(lián)地址 115.5業(yè)務(wù)地址 125.6VLAN劃分 125.7端口劃分 12第6章路由協(xié)議部署 146.1OSPF設(shè)計(jì) 14第7章局域網(wǎng)部署 157.1設(shè)備接口聚合 157.2VRRP規(guī)劃 157.3MSTP規(guī)劃 167.4VRRP與MSTP 16第8章安全規(guī)劃 188.1網(wǎng)絡(luò)安全原則 188.2設(shè)備安全 188.3業(yè)務(wù)安全 20第9章項(xiàng)目驗(yàn)收標(biāo)準(zhǔn) 219.1測(cè)試驗(yàn)收表 219.2測(cè)試內(nèi)容 24第10章H3C工程安裝規(guī)范一覽表 30第11章設(shè)備配置腳本 31項(xiàng)目實(shí)施計(jì)劃責(zé)任分工界面項(xiàng)目實(shí)施主要參與者為各廠商、展望科技和客戶。具體責(zé)任分工界面為：工程進(jìn)展客戶集成商廠商1.工程準(zhǔn)備階段工程準(zhǔn)備階段項(xiàng)目組籌備參與主要責(zé)任參與/工程規(guī)劃工程環(huán)境調(diào)查主要責(zé)任參與參與產(chǎn)品到貨參與主要責(zé)任參與簽收主要責(zé)任參與參與安裝環(huán)境準(zhǔn)備：網(wǎng)絡(luò)準(zhǔn)備/系統(tǒng)準(zhǔn)備主要責(zé)任參與參與2.工程實(shí)施階段所有產(chǎn)品網(wǎng)絡(luò)準(zhǔn)備主要責(zé)任參與參與應(yīng)急計(jì)劃準(zhǔn)備參與參與主要責(zé)任應(yīng)急及備份參與參與主要責(zé)任提起安裝申請(qǐng)參與主要責(zé)任參與安裝批準(zhǔn)主要責(zé)任參與參與安裝/調(diào)試參與（提供訪問控制關(guān)系）主要責(zé)任（具體實(shí)施、總體協(xié)調(diào)）主要責(zé)任（提供技術(shù)支持）工程文檔主要責(zé)任3.工程驗(yàn)收階段工程驗(yàn)收驗(yàn)收文檔準(zhǔn)備參與主要責(zé)任驗(yàn)收參與主要責(zé)任驗(yàn)收文檔提交參與主要責(zé)任驗(yàn)收簽署主要責(zé)任參與4.試運(yùn)行～終驗(yàn)初驗(yàn)初驗(yàn)完成主要責(zé)任（安全系統(tǒng)日常運(yùn)營維護(hù)）主要責(zé)任（技術(shù)支持）主要責(zé)任（技術(shù)支持）～試運(yùn)行終驗(yàn)終驗(yàn)后主要責(zé)任（系統(tǒng)運(yùn)營維護(hù)）參與（技術(shù)支持）參與（技術(shù)支持）項(xiàng)目里程碑目標(biāo)2014年x月x日前完成項(xiàng)目建設(shè)各個(gè)階段及各項(xiàng)建設(shè)內(nèi)容的方案制定，完成硬件設(shè)備和軟件系統(tǒng)的供貨、安裝、配置、調(diào)試、測(cè)試、總體聯(lián)調(diào)、試運(yùn)行、驗(yàn)收，直至系統(tǒng)正式運(yùn)行。制定明確的培訓(xùn)范圍、培訓(xùn)內(nèi)容和培訓(xùn)計(jì)劃。在用戶單位合適的時(shí)間內(nèi)完成對(duì)用戶現(xiàn)場(chǎng)管理培訓(xùn)、原廠商培訓(xùn)的范圍和內(nèi)容，并保證有足夠的人力和物力確保系統(tǒng)安全穩(wěn)定的運(yùn)行。項(xiàng)目實(shí)施計(jì)劃安排根據(jù)整個(gè)工程的網(wǎng)絡(luò)覆蓋及網(wǎng)絡(luò)技術(shù)要求，我們擬出工程實(shí)施進(jìn)度安排如下表：實(shí)施階段實(shí)施步驟實(shí)施內(nèi)容時(shí)間范圍一、項(xiàng)目準(zhǔn)備12345二、設(shè)備調(diào)試67891011三、試運(yùn)行及調(diào)優(yōu)13四、驗(yàn)收14項(xiàng)目成員單位名稱姓名職務(wù)電話E-mail信泰人壽信息部主管技術(shù)負(fù)責(zé)人技術(shù)負(fù)責(zé)人杭州展望項(xiàng)目經(jīng)理銷售負(fù)責(zé)人技術(shù)負(fù)責(zé)人實(shí)施人員實(shí)施人員網(wǎng)絡(luò)總體規(guī)劃網(wǎng)絡(luò)現(xiàn)狀原組網(wǎng)圖如下：（略）現(xiàn)網(wǎng)存在如下問題：結(jié)構(gòu)混亂，沒有層次，不利于統(tǒng)一管理；使用靜態(tài)路由，維護(hù)工作量大，網(wǎng)絡(luò)擴(kuò)展性差；核心設(shè)備沒有冗余，存在單點(diǎn)故障風(fēng)險(xiǎn)；廣域網(wǎng)帶寬不足，無法滿足日益增長(zhǎng)的業(yè)務(wù)需求?！陆ňW(wǎng)絡(luò)設(shè)計(jì)新網(wǎng)絡(luò)拓?fù)淙缦拢海裕┬陆ňW(wǎng)絡(luò)有如下優(yōu)點(diǎn)：結(jié)構(gòu)整齊，層次清晰，便于管理。采用動(dòng)態(tài)路由協(xié)議，維護(hù)簡(jiǎn)單，擴(kuò)展性好；新增一臺(tái)核心設(shè)備，實(shí)現(xiàn)了設(shè)備級(jí)的冗余，網(wǎng)絡(luò)健壯性提高；每個(gè)節(jié)點(diǎn)新增1條廣域網(wǎng)線路，帶寬提高，實(shí)現(xiàn)了線路冗余；設(shè)備部署設(shè)備命名按下列規(guī)則正確設(shè)置主機(jī)名：設(shè)備局點(diǎn)和級(jí)別-設(shè)備廠商名稱-設(shè)備型號(hào)-設(shè)備序列號(hào)（1、2、3等）序號(hào)部署地點(diǎn)設(shè)備層次廠商設(shè)備型號(hào)設(shè)備序號(hào)設(shè)備命名1北海核心H3CS951201BHCore-H3C-S9512-01端口描述為便于識(shí)別和維護(hù)，定義VLAN和VLAN端口、物理端口描述的規(guī)則如下：交換機(jī)之間互聯(lián)用VLAN、VLAN接口的描述規(guī)則為：TO:設(shè)備名稱_端口編號(hào)_V+VLANID例如：本VLAN連接北海核心交換機(jī)01的GE1/1端口，VLAN號(hào)是100，描述為：TO:BHCore-H3C-S9512-01_GE1/1_V100。交換機(jī)連接服務(wù)器或者用戶的VLAN及VLAN接口的描述為：TO:服務(wù)器名或用戶組名例如：本VLAN連接工程部用戶，描述為：TO:Engine_user。軟件版本序號(hào)設(shè)備名稱軟件版本123槽位部署S9512E交換機(jī)：設(shè)備型號(hào)槽位號(hào)板卡名稱板卡型號(hào)S9512E0112端口千兆以太網(wǎng)光接口業(yè)務(wù)板2324端口千兆以太網(wǎng)光接口業(yè)務(wù)板456S9512E交換路由處理板7S9512E交換路由處理板89101148端口千兆以太網(wǎng)電接口業(yè)務(wù)板1213NAT業(yè)務(wù)處理卡網(wǎng)絡(luò)連接端口分配原則在XXXXX網(wǎng)絡(luò)系統(tǒng)中，網(wǎng)絡(luò)連接中設(shè)備端口的分配遵循以下原則：在核心或者匯聚設(shè)備上，連接到核心的上行設(shè)備根據(jù)端口編號(hào)從高到低分配，主備互聯(lián)的平行設(shè)備也根據(jù)編號(hào)從高到低向前分配在核心或者匯聚設(shè)備上，從核心連接下行的匯聚或接入的設(shè)備，其端口的分配從低到高依次分配互聯(lián)的端口均采用光口，不采用電口端口分配列表序號(hào)主機(jī)名/槽位/子槽/端口Host/slot/sub-slot/interface對(duì)端設(shè)備(SideB)端口Interface對(duì)端Host/設(shè)備描述1左側(cè)slot0～32slot0預(yù)留3slot1預(yù)留4slot2預(yù)留5slot3～LSRM2GT24LEB16slot7～LSRM1GP48LEB1789101112slot8預(yù)留13slot9預(yù)留IP地址和VLAN分配IP地址分配原則IP地址的基本原則如下：掩碼選擇loopback地址使用32位掩碼，互連地址使用30位掩碼，業(yè)務(wù)IP地址采用24位掩碼地址分配順序每個(gè)業(yè)務(wù)網(wǎng)絡(luò)分配到的B類地址的最后5個(gè)C類地址可以用來做互聯(lián)地址和二層設(shè)備的管理VLAN地址同類設(shè)備互連，第一個(gè)C類地址作為L(zhǎng)oopback地址的網(wǎng)段。IP地址整體分配區(qū)域地址段掩碼業(yè)務(wù)網(wǎng)16OA網(wǎng)16管理地址設(shè)備的管理地址（即loopback地址）使用/24網(wǎng)段。序號(hào)設(shè)備名稱管理地址掩碼1BHCore-H3C-S9512E-013223互聯(lián)地址廣域網(wǎng)互聯(lián)地址廣域網(wǎng)設(shè)備的互聯(lián)地址使用/16網(wǎng)段。序號(hào)本端設(shè)備本端地址對(duì)端設(shè)備對(duì)端地址掩碼1BHWAN-H3C-SR8812-01CKWAN-H3C-SR8812-01302局域網(wǎng)互聯(lián)地址局域網(wǎng)設(shè)備的互聯(lián)地址使用/16網(wǎng)段。序號(hào)本端設(shè)備本端地址對(duì)端設(shè)備對(duì)端地址掩碼1BHCore-H3C-S9512-01BHCore-H3C-S9512-023023業(yè)務(wù)地址業(yè)務(wù)地址使用/8網(wǎng)段。序號(hào)業(yè)務(wù)部門地址段掩碼1財(cái)務(wù)部242工程部243VLAN劃分保留VLAN:1-99互聯(lián)VLAN：100-199財(cái)務(wù)部VLAN:200-299工程部VLAN：300-399端口劃分本端設(shè)備對(duì)端設(shè)備說明設(shè)備名稱端口端口類型設(shè)備名稱端口端口類型編號(hào)編號(hào)1G（SFP,LC）1G（SFP,LC）VLAN1001G（SFP,LC）1G（SFP,LC）VLAN101路由協(xié)議部署本次網(wǎng)絡(luò)規(guī)劃建議全網(wǎng)采用OSPF，并與靜態(tài)路由相結(jié)合。OSPF設(shè)計(jì)OSPF區(qū)域劃分由于XX公司總部和各分公司每一個(gè)局域網(wǎng)設(shè)備數(shù)量不多（30臺(tái)以下），每個(gè)局域網(wǎng)只需劃分一個(gè)Area0便可以滿足需求，將相關(guān)接口全部加入OSPF區(qū)域0，OSPF的進(jìn)程號(hào)統(tǒng)一設(shè)置為1。OSPFRouter-id設(shè)置OSPF需要使用唯一的RouterID標(biāo)識(shí)每一臺(tái)路由器，建議相關(guān)網(wǎng)絡(luò)設(shè)備的Loopback地址作為其OSPFRouterID。OSPFCost設(shè)置同層次設(shè)備名字段末位為01的交換機(jī)的上下行線路接口的COST值為默認(rèn)值（10），設(shè)備名字字段末位為02的交換機(jī)的上下行線路接口的COST值為1000，以保證在正常情況下報(bào)文由設(shè)備名字字段末位為01的設(shè)備進(jìn)行轉(zhuǎn)發(fā)，在主用路徑失效的情況下再走備份路徑。如下圖所示：（圖略）局域網(wǎng)部署XXXXX每個(gè)業(yè)務(wù)網(wǎng)段的接入交換機(jī)和核心交換機(jī)間為二層交換網(wǎng)絡(luò)，并有鏈路的冗余，出現(xiàn)了二層環(huán)路，所以在接入交換機(jī)和核心交換機(jī)間啟用MSTP協(xié)議。其中，作為VRRP主網(wǎng)關(guān)的核心交換機(jī)配置為首選根橋(Primary)，作為VRRP備份網(wǎng)關(guān)的核心交換機(jī)配置為備份根橋(Secondary)，所有負(fù)責(zé)終端接入的電接口啟用邊緣端口、BPDU保護(hù)。設(shè)備接口聚合鏈路聚合是將多個(gè)物理以太網(wǎng)端口聚合在一起形成一個(gè)邏輯上的聚合組，使用鏈路聚合服務(wù)的上層實(shí)體把同一聚合組內(nèi)的多條物理鏈路視為一條邏輯鏈路。在XXXX兩臺(tái)核心交換機(jī)啟用鏈路聚合功能，鏈路聚合可以實(shí)現(xiàn)出/入負(fù)荷在聚合組中各個(gè)成員端口之間分擔(dān)，以增加帶寬。同時(shí)，同一聚合組的各個(gè)成員端口之間彼此動(dòng)態(tài)備份，提高了連接可靠性。采用動(dòng)態(tài)聚合模式VRRP規(guī)劃為了保障業(yè)務(wù)網(wǎng)關(guān)的備份，在核心交換機(jī)上開啟VRRP協(xié)議。保證核心交換機(jī)上的業(yè)務(wù)負(fù)載均衡，對(duì)于不同的VLAN，由不同的核心交換機(jī)設(shè)置為主交換機(jī)。業(yè)務(wù)網(wǎng)段的網(wǎng)關(guān)配置在XXXX_Core_S7503E_FW1上，非業(yè)務(wù)網(wǎng)段配置在XXXX_Core_S7503E_FW2上。XXXX_Core_S7503E_FW1和XXXX_Core_S7503E_FW2之間建立VRRP主從關(guān)系。主設(shè)備的VRRP優(yōu)先級(jí)設(shè)置為120，從設(shè)備的VRRP優(yōu)先級(jí)設(shè)置為100。VRRP配置規(guī)劃表如下：VLANIDVLAN應(yīng)用XXXX_Core_S7503E_FW1XXXX_Core_S7503E_FW2VRRP虛地址MSTP規(guī)劃為防止網(wǎng)絡(luò)產(chǎn)生冗余鏈路，需配置STP協(xié)議來消除二層環(huán)路?？紤]到

STP不能快速遷移，即使是在點(diǎn)對(duì)點(diǎn)鏈路或邊緣端口（邊緣端口指的是該端口直接與用戶終端相連，而沒有連接到其它設(shè)備或共享網(wǎng)段上），也必須等待2倍的ForwardDelay的時(shí)間延遲，端口才能遷移到轉(zhuǎn)發(fā)狀態(tài)。RSTP可以快速收斂，但是和STP一樣存在以下缺陷：局域網(wǎng)內(nèi)所有網(wǎng)橋共享一棵生成樹，不能按VLAN阻塞冗余鏈路，所有VLAN的報(bào)文都沿著一棵生成樹進(jìn)行轉(zhuǎn)發(fā)。因此，本次STP配置推薦使用MSTP。MSTP由IEEE制定的802.1s標(biāo)準(zhǔn)定義，它可以彌補(bǔ)STP和RSTP的缺陷，既可以快速收斂，也能使不同VLAN的流量沿各自的路徑轉(zhuǎn)發(fā)，從而為冗余鏈路提供了更好的負(fù)載分擔(dān)機(jī)制。樓層所有設(shè)備屬于同一個(gè)MST域，根據(jù)VRRP的主備方式，MST域里分為兩個(gè)instance，分別為instance1（主要針對(duì)業(yè)務(wù)VLAN）instance2（主要針對(duì)非業(yè)務(wù)VLAN），XXXX-S7503E-S-1，XXXX-S7503E-S-1直接與接入交換機(jī)之間的MSTP規(guī)劃：共分2個(gè)Instance：Instance1：指定根交換機(jī)為XXXX-S7503E-S-1，備份根交換機(jī)為XXXX-S7503E-S-1，包含VLAN2、VLAN3、VLAN4、VLAN12、VLAN13Instance2：指定根交換機(jī)為XXXX-S7503E-S-2，備份根交換機(jī)為XXXX-S7503E-S-1，包含VLAN5、VLAN6、VLAN7、VLAN8、VLAN9、VLAN10、VLAN11、VLAN14、VLAN15、VLAN16、VLAN17、VLAN18、VLAN100、VLNA200；在接入交換機(jī)同樣需要進(jìn)行相應(yīng)的mstpinstance映射。VRRP與MSTPVRRP與MSTP的規(guī)劃VRRP作為一種容錯(cuò)協(xié)議，它保證當(dāng)主機(jī)的下一跳設(shè)備出現(xiàn)故障時(shí)，可以及時(shí)的由另一臺(tái)設(shè)備來代替，從而保持通訊的連續(xù)性和可靠性。兩臺(tái)設(shè)備配置VRRP，其中一臺(tái)為Master，一臺(tái)為Slave，兩臺(tái)設(shè)備對(duì)應(yīng)一個(gè)VirtualIP。生成樹協(xié)議用于防止數(shù)據(jù)鏈路層由于冗余鏈路的連接而產(chǎn)生的以太網(wǎng)環(huán)路，從而避免廣播風(fēng)暴的發(fā)生。在各個(gè)大網(wǎng)的網(wǎng)關(guān)處部署MSTP，可以MSTP中的根橋設(shè)備與VRRP中Master設(shè)備保持一致。同時(shí)一個(gè)MSTP的實(shí)例對(duì)應(yīng)一個(gè)或多個(gè)業(yè)務(wù)Vlan，實(shí)例一對(duì)應(yīng)設(shè)備的管理Vlan。每個(gè)業(yè)務(wù)網(wǎng)的接入交換機(jī)和匯聚交換機(jī)間為二層交換網(wǎng)絡(luò)，并有鏈路的冗余，出現(xiàn)了二層環(huán)路，所以在接入交換機(jī)和匯聚交換機(jī)間啟MSTP協(xié)議。其中，作為VRRP主網(wǎng)關(guān)的匯聚交換機(jī)配置為首選根橋(Primary)，并在相應(yīng)的端口上啟用根保護(hù)和TC攻擊保護(hù)功能，防止網(wǎng)絡(luò)震蕩的產(chǎn)生；作為VRRP備份網(wǎng)關(guān)的匯聚交換機(jī)配置為備份根橋(Secondary)，并在相應(yīng)的端口上啟用TC攻擊保護(hù)功能；接入層交換機(jī)上連匯聚交換機(jī)的端口啟用環(huán)路保護(hù)功能和TC攻擊防范功能，所有負(fù)責(zé)終端接入的電接口啟用邊緣端口、BPDU保護(hù)和TC攻擊保護(hù)功能。其配置和工作狀態(tài)如下圖所示：MSTP配置及工作狀態(tài)圖所啟用的各種保護(hù)功能的作用如下：根保護(hù)：防止網(wǎng)絡(luò)中惡意攻擊或誤用造成根橋改變而重新計(jì)算，引起網(wǎng)絡(luò)中斷；BPDU保護(hù)：有效防止了接入端口私自添加交換機(jī)或HUB對(duì)網(wǎng)絡(luò)造成的震蕩；環(huán)路保護(hù)：在網(wǎng)絡(luò)出現(xiàn)短暫擁塞無法正常接收BPDU時(shí)，防止Blocking端口狀態(tài)轉(zhuǎn)變?yōu)镕orwarding，形成環(huán)路；TC攻擊保護(hù)：針對(duì)網(wǎng)絡(luò)中惡意的TC攻擊報(bào)文，防止交換機(jī)頻繁刪除ARP表和MAC地址表。安全規(guī)劃網(wǎng)絡(luò)安全原則網(wǎng)絡(luò)安全是XXXX網(wǎng)絡(luò)系統(tǒng)項(xiàng)目建設(shè)中非常重要的一環(huán)，網(wǎng)絡(luò)安全設(shè)計(jì)原則如下：設(shè)備安全主要指核心骨干交換機(jī)及各個(gè)業(yè)務(wù)網(wǎng)的設(shè)備安全。只有經(jīng)過認(rèn)證的用戶才能訪問系統(tǒng)中的設(shè)備，以防止非授權(quán)用戶對(duì)網(wǎng)絡(luò)設(shè)備的惡意攻擊。業(yè)務(wù)安全通過路由加ACL的方式實(shí)現(xiàn)網(wǎng)絡(luò)層面的安全防護(hù)，防止不信任應(yīng)用之間的互訪。要實(shí)現(xiàn)全面的安全防護(hù)，還需要通過安全專用設(shè)備（防火墻、IDS等）實(shí)現(xiàn)應(yīng)用層面的保護(hù)。設(shè)備安全只開放必要的網(wǎng)絡(luò)服務(wù)網(wǎng)絡(luò)設(shè)備可以提供很多網(wǎng)絡(luò)服務(wù)，有些服務(wù)可能成為網(wǎng)絡(luò)攻擊的對(duì)象。為了提供網(wǎng)絡(luò)設(shè)備的安全級(jí)別，盡可能關(guān)閉不必要的服務(wù)，降低網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。用戶認(rèn)證用戶認(rèn)證應(yīng)采用集中認(rèn)證和本地認(rèn)證相結(jié)合的方式，集中認(rèn)證為主要認(rèn)證方式，本地認(rèn)證為備份認(rèn)證方式，在集中認(rèn)證服務(wù)器無法訪問的情況下使用本地認(rèn)證。集中認(rèn)證采用Radius認(rèn)證協(xié)議，在Radius服務(wù)器上建立設(shè)備管理用戶，通過單一用戶便可以實(shí)現(xiàn)全網(wǎng)設(shè)備的統(tǒng)一管理。同時(shí)在設(shè)備上建立本地用戶數(shù)據(jù)庫，可在Radius服務(wù)器不可用的情況下，使用本地?cái)?shù)據(jù)庫進(jìn)行驗(yàn)證。在VTY和Console接口上啟用用戶認(rèn)證，認(rèn)證方式為集中認(rèn)證和本地認(rèn)證相結(jié)合。Telnet接入安全Telnet是對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的主要手段，可以對(duì)設(shè)備進(jìn)行最為有效的操作，為了確保Telnet訪問的合法性和安全性，我們需要注意：（1）設(shè)置最大會(huì)話連接數(shù)；（2）設(shè)置訪問控制列表，限制Telnet的連接請(qǐng)求來自指定的源IP網(wǎng)段；（3）盡量用SSH代替Telnet，采用SSH的好處是所有信息以加密的形式在網(wǎng)絡(luò)中傳輸。SNMP安全通過SNMP我們可以對(duì)設(shè)備進(jìn)行全面的日常管理，為了提高SNMP管理的安全性，需要應(yīng)注意以下幾點(diǎn)：（1）避免使用缺省的snmpcommunity，設(shè)置高質(zhì)量的口令；（2）不同區(qū)域的網(wǎng)絡(luò)設(shè)備采用不同的snmpcommunity；（3）把只讀snmpcommunity和可讀寫snmpcommunity區(qū)分開來；（4）配置ACL來限制能夠通過SNMP訪問網(wǎng)絡(luò)設(shè)備的網(wǎng)管服務(wù)器的IP地址。日志記錄為了能夠?qū)φ麄€(gè)XX網(wǎng)絡(luò)系統(tǒng)設(shè)備進(jìn)行監(jiān)控和故障信息記錄，需要記錄網(wǎng)絡(luò)設(shè)備的運(yùn)行狀態(tài)。日志記錄主要包括以下內(nèi)容：（1）收集網(wǎng)絡(luò)設(shè)備的SYSLOG；（2）設(shè)置SYSLOGServer（通常位于網(wǎng)管工作站上）用于收集所有網(wǎng)絡(luò)設(shè)備的SYSLOG；（3）所有的SYSLOG可以送到專門的事件管理服務(wù)器上，進(jìn)行事件的壓縮、關(guān)聯(lián)和分析，有利于更好的故障定位和處理。（4）收集SNMPTrap，通過網(wǎng)管工作站收集網(wǎng)絡(luò)設(shè)備的SNMPTrap信息，便于及時(shí)的故障處理；（5）收集用戶操作記錄，通過AAA服務(wù)器，對(duì)用戶進(jìn)行認(rèn)證、授權(quán)和行為跟蹤，并產(chǎn)生相應(yīng)的日志報(bào)告，以供安全審計(jì)。路由協(xié)議安全路由協(xié)議的安全主要指鄰居關(guān)系的可靠建立和路由信息的安全交換，此網(wǎng)絡(luò)項(xiàng)目中主要涉及BGP和OSPF兩種路由協(xié)議，通過啟用它們的安全驗(yàn)證功能，可以提高網(wǎng)絡(luò)中路由協(xié)議的安全性。（1）BGP路由驗(yàn)證（必要）核心骨干網(wǎng)與各個(gè)業(yè)務(wù)網(wǎng)核心的eBGP鄰居關(guān)系，應(yīng)該使用MD5密碼驗(yàn)證，保證BGP鄰居關(guān)系的合法建立，提高BGP路由交換的安全性。（2）OSPF路由驗(yàn)證（必要）在OSPF進(jìn)程上都啟用基于Area的MD5驗(yàn)證，保證OSPF鄰居關(guān)系的合法建立。OSPF路由驗(yàn)證的配置方法為在OSPF區(qū)域視圖下authentication-modemd5。訪問控制為了防止局域網(wǎng)對(duì)廣域網(wǎng)設(shè)備的非法訪問，在廣域區(qū)交換機(jī)與局域網(wǎng)相連的端口上應(yīng)用入方向的ACL訪問控制，只允許運(yùn)行管理區(qū)的特定主機(jī)可以訪問廣域網(wǎng)設(shè)備，其他的一概不能訪問。路由隔離由于各個(gè)業(yè)務(wù)網(wǎng)都能訪問到數(shù)據(jù)中心網(wǎng)，而各個(gè)業(yè)務(wù)網(wǎng)之間是相互隔離的，因此需要在各個(gè)業(yè)務(wù)網(wǎng)的核心設(shè)備上開啟路由隔離，防止各個(gè)業(yè)務(wù)網(wǎng)的設(shè)備間互相學(xué)習(xí)路由，從而禁止相互訪問。端口組播/廣播抑制當(dāng)網(wǎng)絡(luò)中因?yàn)槟撤N因素出現(xiàn)廣播風(fēng)暴或者較多組播報(bào)文時(shí)，這些報(bào)文的泛濫會(huì)造成端口的阻塞，交換機(jī)會(huì)把大量的廣播幀轉(zhuǎn)發(fā)到每個(gè)端口上，這會(huì)極大地消耗鏈路帶寬和硬件資源。我們可以設(shè)置各個(gè)業(yè)務(wù)網(wǎng)交換機(jī)的端口或VLAN廣播風(fēng)暴抑制比,從而有效地抑制廣播風(fēng)暴，避免網(wǎng)絡(luò)擁塞。業(yè)務(wù)安全網(wǎng)絡(luò)層面ACL的缺省規(guī)則應(yīng)該為deny，開放的訪問需要通過手工添加permit規(guī)則，以防止可能產(chǎn)生的安全漏洞。應(yīng)用層面ACL控制只能實(shí)現(xiàn)網(wǎng)絡(luò)層面的防護(hù)，并不能識(shí)別應(yīng)用層的數(shù)據(jù)，要實(shí)現(xiàn)全面的安全防護(hù)，還需要借助于專用的安全設(shè)備。高級(jí)的業(yè)務(wù)安全控制端口安全：根據(jù)用戶的網(wǎng)絡(luò)安全特性，在可維護(hù)性和網(wǎng)絡(luò)安全性之間選擇平衡點(diǎn)；設(shè)備端口在接入用戶之前處于關(guān)閉狀態(tài)；端口使能Port-security功能，限定用戶接入位置網(wǎng)絡(luò)實(shí)施方案公司機(jī)密，未經(jīng)許可，請(qǐng)勿傳播第24頁,共SECTIONPAGES31頁文檔編號(hào)：xxx項(xiàng)目驗(yàn)收標(biāo)準(zhǔn)測(cè)試驗(yàn)收表測(cè)試項(xiàng)目設(shè)備驗(yàn)收測(cè)試測(cè)試結(jié)果竣工驗(yàn)收測(cè)試測(cè)試結(jié)果移交運(yùn)行測(cè)試測(cè)試結(jié)果1.1網(wǎng)絡(luò)設(shè)備√OKPOKNGNT1.1.1啟動(dòng)測(cè)試√OKPOKNGNT1.1.2狀態(tài)檢查√OKPOKNGNT√OKPOKNGNT1.1.3配置檢查√OKPOKNGNT√OKPOKNGNT1.1.4端口檢查√OKPOKNGNT1.1.5物理檢查√OKPOKNGNT3.2性能指標(biāo)√OKPOKNGNT√OKPOKNGNT1.2.1帶寬測(cè)試√OKPOKNGNT√OKPOKNGNT1.2.2利用率測(cè)試√OKPOKNGNT√OKPOKNGNT1.2.3吞吐量測(cè)試√OKPOKNGNT√OKPOKNGNT1.2.4延遲測(cè)試√OKPOKNGNT√OKPOKNGNT3.3網(wǎng)絡(luò)容錯(cuò)性√OKPOKNGNT√OKPOKNGNT1.3.1設(shè)備單點(diǎn)故障測(cè)試√OKPOKNGNT√OKPOKNGNT1.3.2網(wǎng)絡(luò)單點(diǎn)故障測(cè)試√OKPOKNGNT√OKPOKNGNT1.4網(wǎng)絡(luò)連通性√OKPOKNGNT√OKPOKNGNT1.4.1鏈路連通性√OKPOKNGNT√OKPOKNGNT1.4.2鏈路冗余√OKPOKNGNT√OKPOKNGNT1.5網(wǎng)絡(luò)可用性和穩(wěn)定性O(shè)KPOKNGNT√OKPOKNGNT1.5.1網(wǎng)絡(luò)可用性測(cè)試OKPOKNGNT√OKPOKNGNT1.5.2網(wǎng)絡(luò)穩(wěn)定性測(cè)試√OKPOKNGNT√OKPOKNGNT1.6網(wǎng)絡(luò)安全性√OKPOKNGNT√OKPOKNGNT1.6.1訪問控制和過濾測(cè)試√OKPOKNGNT√OKPOKNGNT1.7設(shè)備可管理性√OKPOKNGNT√OKPOKNGNT1.7.1故障診斷√OKPOKNGNT√OKPOKNGNT1.7.2故障恢復(fù)√OKPOKNGNT√OKPOKNGNT1.8網(wǎng)絡(luò)功能√OKPOKNGNT√OKPOKNGNT1.8.1分行應(yīng)用測(cè)試√OKPOKNGNT√OKPOKNGNT1.8.2支行應(yīng)用測(cè)試√OKPOKNGNTOKPOKNGNT1.8.3VLAN功能測(cè)試√OKPOKNGNT√OKPOKNGNT1.8.4路由備份√OKPOKNGNTOKPOKNGNT1.9網(wǎng)管功能測(cè)試√OKPOKNGNT√OKPOKNGNT1.9.1可用性測(cè)試√OKPOKNGNT注：本測(cè)試項(xiàng)目中的編號(hào)為本標(biāo)準(zhǔn)相應(yīng)層次編號(hào)。結(jié)論表示方式：OK：測(cè)試結(jié)果全部正確POK：測(cè)試結(jié)果大部分正確NG：測(cè)試結(jié)果有較大的錯(cuò)誤NT：由于各種原因本次無法測(cè)試網(wǎng)絡(luò)實(shí)施方案公司機(jī)密，未經(jīng)許可，請(qǐng)勿傳播第31頁,共31頁文檔編號(hào)：xxx測(cè)試內(nèi)容網(wǎng)絡(luò)設(shè)備測(cè)試目的是驗(yàn)證設(shè)備質(zhì)量和配置是否合格。對(duì)每一臺(tái)網(wǎng)絡(luò)設(shè)備，均需進(jìn)行如下所列的測(cè)試項(xiàng)目。啟動(dòng)測(cè)試?yán)鋯?dòng)對(duì)單個(gè)設(shè)備兩次開關(guān)電源，觀察能否正常啟動(dòng)。有冗余電源配置的設(shè)備，在切斷冗余電源的情況下，斷開和閉合主電源，觀察能否正常啟動(dòng)；在切斷主電源的情況下，斷開和閉合冗余電源，觀察能否正常啟動(dòng)。熱啟動(dòng)單個(gè)設(shè)備正常啟動(dòng)后，用該產(chǎn)品的熱啟動(dòng)命令進(jìn)行熱啟動(dòng)測(cè)試，觀察能否正常啟動(dòng)。狀態(tài)檢查一般設(shè)備都有電源和每個(gè)物理端口的指示燈，配合相應(yīng)產(chǎn)品的說明書，檢查設(shè)備的指示燈是否正常。一臺(tái)設(shè)備狀態(tài)正常必須是所有指示燈正常。配置檢查用被測(cè)產(chǎn)品的相應(yīng)命令檢查網(wǎng)絡(luò)設(shè)備的硬軟件配置，特別注意軟件版本。如顯示的信息符合設(shè)備合同的要求及與產(chǎn)品說明一致，即為正常。端口檢查用被測(cè)產(chǎn)品的相應(yīng)命令檢查網(wǎng)絡(luò)設(shè)備中端口配置，并用網(wǎng)絡(luò)測(cè)試設(shè)備對(duì)端口進(jìn)行速率、校驗(yàn)機(jī)制等進(jìn)行測(cè)試。如測(cè)試結(jié)果符合設(shè)備合同的要求及與產(chǎn)品說明一致，即為正常。物理檢查對(duì)設(shè)備進(jìn)行檢查，應(yīng)記錄網(wǎng)絡(luò)設(shè)備（對(duì)模塊結(jié)構(gòu)的設(shè)備，還包括獨(dú)立部件）出廠編號(hào)、產(chǎn)地、出廠日期等內(nèi)容，與合同和產(chǎn)品說明一致為正常。網(wǎng)絡(luò)性能指標(biāo)測(cè)試目的是獲取網(wǎng)絡(luò)運(yùn)行基本指標(biāo)，以評(píng)判網(wǎng)絡(luò)性能指標(biāo)是否正常和達(dá)到設(shè)計(jì)要求。應(yīng)測(cè)試網(wǎng)絡(luò)帶寬、利用率、吞吐量、精確度、延遲等指標(biāo)。帶寬測(cè)試應(yīng)采用專用網(wǎng)絡(luò)測(cè)試設(shè)備對(duì)網(wǎng)絡(luò)的骨干層、匯聚層、接入層等進(jìn)行可用帶寬測(cè)試。測(cè)試結(jié)果達(dá)到良好、一般為合格。與設(shè)計(jì)帶寬一致即為正常。以太網(wǎng)指標(biāo)如表1所示。在雙鏈路和負(fù)載均衡情況下，可用帶寬應(yīng)為單鏈路的1.8倍以上。表1以太網(wǎng)可用帶寬指標(biāo)單位（Mb）以太網(wǎng)類型良好一般差千兆端口間≥800500至800≤500百兆端口間≥8050至80≤50利用率測(cè)試網(wǎng)絡(luò)帶寬利用率測(cè)試應(yīng)采用專用網(wǎng)絡(luò)測(cè)試設(shè)備對(duì)網(wǎng)絡(luò)的骨干層、匯聚層、接入層等進(jìn)行帶寬利用率測(cè)試。以24h為一個(gè)周期，分網(wǎng)段采用專用的網(wǎng)絡(luò)測(cè)試設(shè)備進(jìn)行網(wǎng)絡(luò)帶寬利用率測(cè)試抽查，每隔1min為一個(gè)統(tǒng)計(jì)點(diǎn)，并作好記錄。要求測(cè)試最大利用率/流量、最小利用率/流量、平均利用率/流量；網(wǎng)絡(luò)帶寬利用率=實(shí)際占用帶寬/總設(shè)計(jì)帶寬。平均利用率指標(biāo)達(dá)到良好、一般為合格；以太網(wǎng)平均利用率指標(biāo)：0至20%范圍內(nèi)，網(wǎng)絡(luò)狀況良好；20%至40%范圍內(nèi)，網(wǎng)絡(luò)狀況一般；超過40%，網(wǎng)絡(luò)狀況較差。吞吐量測(cè)試在網(wǎng)絡(luò)利用率最低和最高的時(shí)間段，采用FTP工具從網(wǎng)絡(luò)中心的FTPSERVER下載和上傳文件方法進(jìn)行測(cè)試。文件的腳本分兩類。一類為單個(gè)容量為100MB至1000MB的大文件，另一類為同等容量的一批1KB至10KB左右的小文件。在三種不同的環(huán)境下進(jìn)行測(cè)試：第一種：在網(wǎng)絡(luò)中心的兩臺(tái)工作站上做點(diǎn)到點(diǎn)的FTP測(cè)試，測(cè)試同一網(wǎng)段內(nèi)的吞吐量，并記錄FTP的時(shí)間；第二種：在不同網(wǎng)段的工作站上做同樣的FTP測(cè)試，測(cè)試跨網(wǎng)段的吞吐量，并記錄FTP的時(shí)間；第三種：在支行上的工作站上做同樣的FTP測(cè)試，并記錄FTP的時(shí)間。分析三次的結(jié)果是否穩(wěn)定、正常。并作好記錄（著重記錄傳輸時(shí)間）；吞吐量=傳輸文件容量/傳輸時(shí)間。對(duì)于以太網(wǎng)，在網(wǎng)絡(luò)利用率低的情況下，上傳的吞吐量指標(biāo)大于等于總帶寬的60%為合格，下傳的吞吐量指標(biāo)大于等于總帶寬的40%為合格。對(duì)于IP廣域網(wǎng)，以專線（物理、虛擬）方式組網(wǎng)，吞吐量指標(biāo)大于等于專線帶寬的80%為合格。延遲測(cè)試主要測(cè)試數(shù)據(jù)包往返耗時(shí)，應(yīng)做三項(xiàng)測(cè)試。這三種測(cè)試，對(duì)于64Byte、和1518Byte、5000Byte每種大小的數(shù)據(jù)包，各發(fā)送100個(gè)，測(cè)試并記錄其平均延遲時(shí)間：第一種是跨骨干的交換機(jī)之間的PING測(cè)試；第二種是跨骨干的工作站間的PING測(cè)試；第三種是廣域網(wǎng)上的工作站間的PING測(cè)試；對(duì)于第一、二種測(cè)試，平均延遲時(shí)間正常值范圍為：對(duì)于64Byte的包，延遲時(shí)間小于2ms，網(wǎng)絡(luò)狀況良好，2ms至5ms之間，網(wǎng)絡(luò)狀況一般，大于5ms網(wǎng)絡(luò)狀況較差；對(duì)于1518Byte的包，延遲時(shí)間小于5ms，網(wǎng)絡(luò)狀況良好，5ms至10ms之間，網(wǎng)絡(luò)狀況一般，大于10ms網(wǎng)絡(luò)狀況較差。延遲值相對(duì)穩(wěn)定，波動(dòng)??；對(duì)第三種測(cè)試，以2M帶寬為例，延遲時(shí)間在15ms以下，每跨過一個(gè)設(shè)備路由器，增加1.5ms。延遲時(shí)間值=15ms+n*1.5ms，其中n為跨過的廣域網(wǎng)設(shè)備的個(gè)數(shù)，不計(jì)傳輸時(shí)延?？傃舆t不得超過30ms。網(wǎng)絡(luò)容錯(cuò)性設(shè)備單點(diǎn)故障測(cè)試模擬設(shè)備單點(diǎn)故障環(huán)境，檢測(cè)對(duì)網(wǎng)絡(luò)運(yùn)行的影響。電源容錯(cuò)對(duì)于冗余電源配置的設(shè)備，要測(cè)試電源的冗余情況。在測(cè)試時(shí)關(guān)掉主電源，看能否正常工作；之后，讓關(guān)掉的電源重新上電；再關(guān)掉另一個(gè)冗余電源，看能否正常工作。同時(shí)運(yùn)行典型應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常持續(xù)提供服務(wù)。模塊容錯(cuò)多種網(wǎng)絡(luò)設(shè)備的模塊有冗余功能，如交換機(jī)上可插兩塊引擎，平時(shí)只有一塊處于工作狀態(tài)，另一塊備用，處在監(jiān)視狀態(tài)。試用被測(cè)產(chǎn)品的相應(yīng)命令使工作模塊DISBALE（模擬故障），測(cè)試另一模塊是否立即開始啟動(dòng)工作，記錄切換時(shí)間和網(wǎng)絡(luò)恢復(fù)時(shí)間。同時(shí)運(yùn)行典型的原有應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常持續(xù)提供服務(wù)。同時(shí)采用專用網(wǎng)絡(luò)測(cè)試儀器檢測(cè)網(wǎng)絡(luò)能否正常提供服務(wù)。網(wǎng)絡(luò)單點(diǎn)故障測(cè)試模擬設(shè)備、鏈路等故障環(huán)境，檢測(cè)對(duì)網(wǎng)絡(luò)運(yùn)行的影響。設(shè)備故障在有設(shè)備冗余并設(shè)置好設(shè)備熱備份的地方，人為使主設(shè)備產(chǎn)生模擬故障，用被測(cè)產(chǎn)品的相應(yīng)命令檢查備用設(shè)備是否啟動(dòng)，并且記錄切換時(shí)間和網(wǎng)絡(luò)恢復(fù)時(shí)間；重新正常啟動(dòng)原主設(shè)備，用被測(cè)產(chǎn)品的相應(yīng)命令檢查該設(shè)備是否啟動(dòng)并切換回來，并且記錄切換時(shí)間和網(wǎng)絡(luò)恢復(fù)時(shí)間。同時(shí)運(yùn)行原有典型的應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常持續(xù)提供服務(wù)，否則記錄服務(wù)中斷后到恢復(fù)正常的時(shí)間，分析中斷服務(wù)的原因。鏈路容錯(cuò)在有鏈路冗余的網(wǎng)絡(luò)中，切斷當(dāng)前工作鏈路，用被測(cè)產(chǎn)品的相應(yīng)命令檢查備用線路是否啟動(dòng)，并且記錄切換時(shí)間；重新連通被切斷的鏈路，用被測(cè)產(chǎn)品的相應(yīng)命令檢查工作線路是否啟動(dòng)并切換回來，并且記錄切換時(shí)間和網(wǎng)絡(luò)恢復(fù)時(shí)間。同時(shí)運(yùn)行原有典型的應(yīng)用系統(tǒng)，觀察應(yīng)用系統(tǒng)能否正常提供服務(wù)，否則記錄服務(wù)中斷后到恢復(fù)正常的時(shí)間，分析中斷服務(wù)的原因。網(wǎng)絡(luò)連通性鏈路連通性應(yīng)做兩項(xiàng)測(cè)試，只有兩項(xiàng)測(cè)試都合格，鏈路連通性測(cè)試才合格：在測(cè)試用工作站上運(yùn)行Telnet程序，連到待測(cè)試的設(shè)備上，用設(shè)備的相應(yīng)命令，查看各個(gè)實(shí)際上物理鏈路連接的端口是否正常。必須看到端口正常和協(xié)議正常才為鏈路連接正常；Ping對(duì)方端口的IP地址。分別PING1000次64、1518字節(jié)的包，對(duì)于以太局域網(wǎng)成功率應(yīng)在99.8%以上，對(duì)于廣域網(wǎng)成功率應(yīng)在99.5%以上，且無連續(xù)二次以上的“Timeout”信息為正常。鏈路冗余環(huán)形鏈路在存在環(huán)形鏈路的以太網(wǎng)中，對(duì)于采用生成樹保證鏈路冗余的網(wǎng)絡(luò)，在測(cè)試用工作站上運(yùn)行Telnet程序登錄到相應(yīng)網(wǎng)絡(luò)設(shè)備上，通過該設(shè)備的相應(yīng)命令檢查生成樹連接是否準(zhǔn)確完整、是否有明確的斷點(diǎn)，檢查生成樹的重算次數(shù)以確定網(wǎng)絡(luò)是否穩(wěn)定；用切斷某條鏈路的方法斷開環(huán)，檢查生成樹的重算次數(shù)以確定網(wǎng)絡(luò)是否穩(wěn)定，待網(wǎng)絡(luò)達(dá)到穩(wěn)定后，測(cè)試網(wǎng)絡(luò)的連通性并記錄收斂時(shí)間；重新合上被切斷的鏈路，檢查生成樹的重算次數(shù)以確定網(wǎng)絡(luò)是否穩(wěn)定，測(cè)試網(wǎng)絡(luò)的連通性并記錄收斂時(shí)間。對(duì)每個(gè)環(huán)測(cè)一次。路由備份方式下的鏈路冗余在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)間切斷主鏈路，測(cè)試備份鏈路連接是否正常及收斂時(shí)間、丟包數(shù)。負(fù)載均衡方式下的鏈路冗余在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)間切斷任一條鏈路，測(cè)試連接是否正常及收斂時(shí)間、丟包數(shù)。允許PING包在短時(shí)間內(nèi)沒有回音，但在15s內(nèi)要求恢復(fù)。網(wǎng)絡(luò)可用性和穩(wěn)定性以試運(yùn)行期間運(yùn)行日志的數(shù)據(jù)為依據(jù)計(jì)算網(wǎng)絡(luò)運(yùn)行可用率。設(shè)備可用率、網(wǎng)絡(luò)可用率應(yīng)達(dá)到設(shè)計(jì)指標(biāo)；網(wǎng)絡(luò)實(shí)際運(yùn)行時(shí)間指網(wǎng)絡(luò)無故障運(yùn)行時(shí)間（除去計(jì)劃檢修時(shí)間）。設(shè)備故障和鏈路故障均計(jì)入故障時(shí)間；當(dāng)分支系統(tǒng)出現(xiàn)故障時(shí)，系統(tǒng)的故障時(shí)間按1/（分支數(shù)+1）計(jì)；由于傳輸網(wǎng)絡(luò)而出現(xiàn)的故障時(shí)間不計(jì)入；網(wǎng)絡(luò)總運(yùn)行時(shí)間指網(wǎng)絡(luò)試運(yùn)行至測(cè)試時(shí)的自然時(shí)間。網(wǎng)絡(luò)穩(wěn)定性測(cè)試以試運(yùn)行期間的運(yùn)行數(shù)據(jù)進(jìn)行評(píng)判。應(yīng)給出連續(xù)試運(yùn)行無故障時(shí)間和故障時(shí)間及次數(shù)；在測(cè)試期間，網(wǎng)絡(luò)系統(tǒng)必須連續(xù)試運(yùn)行（7*24）h以上無故障情況的發(fā)生，特別是不會(huì)出現(xiàn)網(wǎng)絡(luò)中斷的情況。在測(cè)試過程中，網(wǎng)絡(luò)系統(tǒng)上必須運(yùn)行相應(yīng)的應(yīng)用或者模擬的應(yīng)用，必須有相當(dāng)?shù)呢?fù)荷量。網(wǎng)絡(luò)安全性從VLAN、設(shè)備配置保護(hù)、產(chǎn)品安全等方面進(jìn)行測(cè)試。訪問控制和過濾測(cè)試訪問控制測(cè)試：根據(jù)產(chǎn)品說明書，檢查網(wǎng)絡(luò)產(chǎn)品是否支持訪問控制列表的使用。若支持，則測(cè)試若干訪問列表項(xiàng)，如該產(chǎn)品根據(jù)測(cè)試要求進(jìn)行了訪問控制，則為正常；過濾測(cè)試：測(cè)試是否支持基于TCPport、UDPport、ICMP的過濾。設(shè)備可管理性該測(cè)試所指設(shè)備可管理性主要指設(shè)備的配置是否簡(jiǎn)單，一般故障的診斷是否智能化，故障的恢復(fù)是否較為容易等。從設(shè)備配置簡(jiǎn)單、故障恢復(fù)、故障診斷等方面進(jìn)行測(cè)試。本地網(wǎng)絡(luò)管理、遠(yuǎn)地網(wǎng)絡(luò)管理、通過串口管理或者其他維護(hù)接口的帶外管理，和通過網(wǎng)絡(luò)傳輸信道的帶內(nèi)管理。設(shè)備配置選用的網(wǎng)絡(luò)產(chǎn)品是否可用多種方式進(jìn)行配置，如WEB方式、命令行方式、遠(yuǎn)程配置等。故障診斷人為對(duì)設(shè)備進(jìn)行故障設(shè)置，如拔去某一塊接口卡，觀察設(shè)備的指示燈、控制口輸出、揚(yáng)聲器等是否有相應(yīng)的提示或說明，其提示或說明是否正確。故障恢復(fù)對(duì)硬件的故障一旦恢復(fù)（如修復(fù)接口卡后重新插入），觀察設(shè)備的指示燈、控制口輸出、揚(yáng)聲器等是否有相應(yīng)的提示或說明，其提示或說明是否正確；網(wǎng)絡(luò)設(shè)備操作系統(tǒng)是否能方便地從異地備份（TXT文件、FLASH卡等）中恢復(fù)。網(wǎng)絡(luò)功能分行應(yīng)用測(cè)試通過分行的應(yīng)用程序訪問服務(wù)器。測(cè)試是否正常使用支行應(yīng)用測(cè)試通過支行的應(yīng)用程序訪問服務(wù)器。測(cè)試是否正常使用VLAN功能測(cè)試VLAN隔離功能采用兩種方法測(cè)試：在隔離的虛網(wǎng)間進(jìn)行互相的訪問操作（如PING），如不能PING通，即為正常；在一個(gè)VLAN中發(fā)一組廣播數(shù)據(jù)，在非該VLAN的工作站中進(jìn)行監(jiān)測(cè)，如未收到該數(shù)據(jù)，則VLAN功能正常；測(cè)試各VLAN內(nèi)網(wǎng)絡(luò)利用率、碰撞率、差錯(cuò)率、廣播量、延遲等指標(biāo)。路由備份在設(shè)備與軟件到位的情況下，如已設(shè)置了局域網(wǎng)路由備份，則可將正常工作的設(shè)備/路由模塊關(guān)機(jī)或設(shè)置成故障，檢測(cè)備份設(shè)備/備份路由是否正常啟動(dòng)并開始工作。記錄網(wǎng)絡(luò)恢復(fù)正常時(shí)間。網(wǎng)管功能測(cè)試配置管理通過測(cè)試明確網(wǎng)絡(luò)管理軟件能實(shí)現(xiàn)的網(wǎng)絡(luò)配置功能。測(cè)試應(yīng)針對(duì)不同的配置管理對(duì)象進(jìn)行。系統(tǒng)拓?fù)渥詣?dòng)發(fā)現(xiàn)，檢查拓?fù)淠芊褡詣?dòng)生成；拓?fù)渥詣?dòng)層次