網(wǎng)絡(luò)安全技術(shù)與實(shí)施項(xiàng)目9-綜合案例-網(wǎng)絡(luò)整體安全部署課件

1、學(xué)習(xí)情境四：綜合案例 項(xiàng)目9 綜合案例 網(wǎng)絡(luò)整體安全部署 9.1 項(xiàng)目背景與需求分析9.2 項(xiàng)目的規(guī)劃設(shè)計(jì)與實(shí)施 9.3 綜合項(xiàng)目施工報(bào)告 9.4項(xiàng)目習(xí)作 網(wǎng)絡(luò)安全技術(shù)與實(shí)施網(wǎng)絡(luò)整體安全部署 網(wǎng)絡(luò)建設(shè)的主要目的就是為廣大用戶(hù)提供寬松、開(kāi)放、易用的網(wǎng)絡(luò)環(huán)境，而對(duì)于一個(gè)企業(yè)來(lái)說(shuō)，圍繞著企業(yè)創(chuàng)造的社會(huì)效益、經(jīng)濟(jì)效益、內(nèi)涵文化等方面建設(shè)有很多種體現(xiàn)形式如網(wǎng)站建設(shè)、OA應(yīng)用、E-MAIL、FTP、BBS等多種Internet服務(wù)項(xiàng)目。企業(yè)內(nèi)部的總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則，充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性，同時(shí)具有良好的開(kāi)放性、可擴(kuò)展性。這樣對(duì)于一個(gè)企業(yè)來(lái)說(shuō)網(wǎng)絡(luò)安全也顯得尤為重要，本

2、項(xiàng)目將從一企業(yè)網(wǎng)絡(luò)整體部署涉及相關(guān)點(diǎn)來(lái)進(jìn)行安全設(shè)計(jì)。9.1項(xiàng)目背景與需求分析 某企業(yè)網(wǎng)絡(luò)A企業(yè)是一個(gè)跨地區(qū)的大型企業(yè)，它由A企業(yè)長(zhǎng)春總部、A企業(yè)上海分公司、A企業(yè)北京辦事處組成，A企業(yè)三個(gè)分部處于不同城市，具有各自的內(nèi)部網(wǎng)絡(luò)，并且都已經(jīng)連接到互聯(lián)網(wǎng)中。A企業(yè)長(zhǎng)春總部園區(qū)網(wǎng)絡(luò)需求：A企業(yè)長(zhǎng)春總部要求有一個(gè)外網(wǎng)服務(wù)器提拱WWW服務(wù)，一個(gè)內(nèi)網(wǎng)服務(wù)器提供OA辦公便于企業(yè)分支進(jìn)行VPN訪(fǎng)問(wèn)，企業(yè)總部有四個(gè)樓層每個(gè)樓層約有20臺(tái)PC左右。A企業(yè)北京辦事處網(wǎng)絡(luò)需求：A企業(yè)北京辦事處有一個(gè)辦公室20人左右，要求不超過(guò)20臺(tái)PC同時(shí)能上互聯(lián)網(wǎng)與客戶(hù)進(jìn)行網(wǎng)絡(luò)溝通并能對(duì)總部進(jìn)行VPN訪(fǎng)問(wèn)。A企業(yè)上海分公司網(wǎng)絡(luò)需求：

3、A企業(yè)上海分公司有兩個(gè)樓層，每個(gè)樓層各有20臺(tái)PC左右，要求內(nèi)網(wǎng)放置一個(gè)服務(wù)器提供文件及打印功能，并要求分公司會(huì)議室能實(shí)現(xiàn)無(wú)線(xiàn)上網(wǎng)。需求分析：A企業(yè)長(zhǎng)春總部園區(qū)網(wǎng)絡(luò)分析：需添加四臺(tái)接入交換機(jī)、二臺(tái)匯聚交換機(jī)、一臺(tái)核心交換機(jī)、一臺(tái)內(nèi)網(wǎng)服務(wù)器、一臺(tái)外網(wǎng)服務(wù)器、一臺(tái)企業(yè)防火墻、一臺(tái)接入路由器、1至4樓各辦室計(jì)算機(jī)每層20臺(tái)PCA企業(yè)北京辦事處網(wǎng)絡(luò)分析：需添加一臺(tái)接入路由器、一臺(tái)交換機(jī)、一個(gè)辦公室20臺(tái)PCA企業(yè)上海分公司網(wǎng)絡(luò)分析：需添加一臺(tái)接入路由器、一臺(tái)核心交換機(jī)、二臺(tái)接入交換機(jī)、一臺(tái)內(nèi)網(wǎng)服務(wù)器、無(wú)線(xiàn)AP、2個(gè)樓層，每層20臺(tái)PC9.2項(xiàng)目的規(guī)劃設(shè)計(jì)與實(shí)施A企業(yè)網(wǎng)絡(luò)設(shè)備涉及企業(yè)防火墻、路由器、核心

4、交換機(jī)、匯聚交換機(jī)、接入交換機(jī)、服務(wù)器、無(wú)線(xiàn)AP等網(wǎng)絡(luò)安全設(shè)備。A企業(yè)長(zhǎng)春總部園區(qū)網(wǎng)絡(luò)是一個(gè)典型的大中型企業(yè)網(wǎng)絡(luò)模型，是一般對(duì)信息要求相對(duì)較高的企事業(yè)單位所采用的基于核心層、匯聚層、接入層三層設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)。對(duì)于網(wǎng)絡(luò)性能、訪(fǎng)問(wèn)控制、接入管理等劃分較為清晰，是一般由多棟建筑形成的園區(qū)所常采用的組網(wǎng)結(jié)構(gòu)。它的基本結(jié)構(gòu)層次清晰，可規(guī)劃、設(shè)計(jì)與改造空間較大，網(wǎng)絡(luò)設(shè)備比較齊全，安全管理與配置也相對(duì)要求較高。它是由若干二層的接入交換機(jī)、若干三層的匯聚交換機(jī)、若干核心交換所連接的內(nèi)部網(wǎng)絡(luò)、防火墻、服務(wù)器和接入路由器組成。此類(lèi)網(wǎng)絡(luò)的安全配置要從多個(gè)角度考慮，如接入部分、內(nèi)網(wǎng)部分等。通過(guò)對(duì)路由器的配置可以實(shí)現(xiàn)N

5、AT、ACL、VPN、IDS、CA、UTM防火墻等功能。此類(lèi)網(wǎng)絡(luò)中的安全設(shè)備可以根據(jù)實(shí)際需求靈活選擇，具體要根據(jù)需求而定。A企業(yè)北京辦事處網(wǎng)絡(luò)是應(yīng)用最為普遍的小型辦公SOHO網(wǎng)絡(luò)，適合于員工人數(shù)在百人以?xún)?nèi)的規(guī)模，它的基本結(jié)構(gòu)簡(jiǎn)單，網(wǎng)絡(luò)設(shè)備較少，員工所用設(shè)備基本處于同一局域網(wǎng)段內(nèi)，安全管理與配置也相對(duì)要求不是很高，并且沒(méi)有專(zhuān)門(mén)人員管理與維護(hù)。它是由一到兩臺(tái)二層交換機(jī)所連接的內(nèi)部網(wǎng)絡(luò)和接入路由器組成。此類(lèi)網(wǎng)絡(luò)的安全配置主要是通過(guò)路由器或具有路由器功能的主機(jī)設(shè)備來(lái)加以實(shí)施的。通過(guò)對(duì)路由器的配置可以實(shí)現(xiàn)NAT、ACL、VPN、DHCP、包過(guò)濾防火墻等基本功能。此類(lèi)網(wǎng)絡(luò)也可以引入專(zhuān)用的安全設(shè)備，具體要看

6、此部分網(wǎng)絡(luò)對(duì)安全性的要求。A企業(yè)上海分公司網(wǎng)絡(luò)是比較常見(jiàn)的中小型企業(yè)網(wǎng)絡(luò)，適合于員工人數(shù)在百人以上的規(guī)模，它的基本結(jié)構(gòu)簡(jiǎn)單，網(wǎng)絡(luò)設(shè)備相對(duì)簡(jiǎn)單，通過(guò)VLAN等技術(shù)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行了邏輯的分段，引入了三層交換設(shè)備，安全管理與配置相對(duì)要求一般。它是由一到兩臺(tái)三層交換機(jī)和若干臺(tái)二層交換機(jī)、無(wú)線(xiàn)AP所連接的內(nèi)部網(wǎng)絡(luò)和接入路由器組成。此類(lèi)網(wǎng)絡(luò)的安全配置主要是通過(guò)路由器來(lái)加以實(shí)施的，同時(shí)與內(nèi)容的三層交換機(jī)相配合實(shí)現(xiàn)安全訪(fǎng)問(wèn)的控制。通過(guò)對(duì)路由器的配置可以實(shí)現(xiàn)NAT、ACL、VPN、VLAN、DHCP、無(wú)線(xiàn)安全、包過(guò)濾防火墻等基本功能。此類(lèi)網(wǎng)絡(luò)也可以引入專(zhuān)用的安全設(shè)備，具體要看此部分網(wǎng)絡(luò)對(duì)安全性的要求。9.2.1

7、 VLAN、IP地址規(guī)劃與需求分析 拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)如圖2-1A企業(yè)整體網(wǎng)絡(luò)結(jié)構(gòu)圖為A企業(yè)長(zhǎng)春總部、A企業(yè)上海分公司、A企業(yè)北京辦事處三個(gè)部分網(wǎng)絡(luò)拓?fù)?。根?jù)網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)交換機(jī)、路由器、防火墻、IPS等網(wǎng)絡(luò)設(shè)備。VLAN（Virtual Local Area Network）又稱(chēng)虛擬局域網(wǎng)，是指在交換局域網(wǎng)的基礎(chǔ)上，采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)，可以使物理上連接的各工作站在邏輯上限制通信，實(shí)現(xiàn)各網(wǎng)段之間的互相獨(dú)立。使用VLAN技術(shù)，可以有效地控制網(wǎng)絡(luò)廣播風(fēng)暴，優(yōu)化網(wǎng)絡(luò)帶寬，減少網(wǎng)絡(luò)交通量，提高整體網(wǎng)絡(luò)安全性，簡(jiǎn)化網(wǎng)絡(luò)管理工作。VLAN之間理論上不需要互相通信，但也

8、可以通過(guò)核心交換機(jī)或路由器等設(shè)備的路由選擇功能實(shí)現(xiàn)不同VLAN間的數(shù)據(jù)通信，這樣可以滿(mǎn)足不同部門(mén)對(duì)其他VLAN中的部分工作站資源的訪(fǎng)問(wèn)需要。從技術(shù)角度講，VLAN的劃分策略主要有：基于端口的VLAN劃分、基于MAC地址的VLAN劃分以及基于協(xié)議的VLAN劃分三種方式，其中基于端口和基于協(xié)議是VLAN劃分的主要方式。項(xiàng)目9.2.1 VLAN、IP地址規(guī)劃背景與需求分析 A企業(yè)網(wǎng)絡(luò)接入用戶(hù)采用基于802.1Q協(xié)議劃分，將企業(yè)網(wǎng)絡(luò)初步劃分為150個(gè)VLAN，如表9.1所示，各VLAN由于都是通過(guò)DHCP服務(wù)器自動(dòng)獲取IP，為簡(jiǎn)單易行VLAN內(nèi)部均采取24位掩碼，各VLAN之間通過(guò)本樓匯聚交換機(jī)進(jìn)行路

9、由轉(zhuǎn)化，故匯聚交換機(jī)與核心交換機(jī)通過(guò)路由進(jìn)行通信，這部分掩碼采用30位掩碼，需要引起注意。在本案例中，為了便于學(xué)習(xí)與理解，設(shè)計(jì)了一個(gè)模擬的互聯(lián)網(wǎng)，包括6臺(tái)互相連通路由器（運(yùn)行OSPF動(dòng)態(tài)路由協(xié)議）、一臺(tái)DNS服務(wù)器、一臺(tái)WWW服務(wù)器、一臺(tái)CA服務(wù)器。項(xiàng)目9.2.1 VLAN、IP地址規(guī)劃背景與需求分析 表9.1 A企業(yè)網(wǎng)絡(luò)VLAN及IP地址分配一覽表VLAN IDVLAN NameIP/Subnetwork描述111213141521229.2.2 設(shè)備選型總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊

10、化的設(shè)計(jì)方法。防火墻主要控制用戶(hù)內(nèi)網(wǎng)用戶(hù)上網(wǎng)，通過(guò)訪(fǎng)問(wèn)策略實(shí)現(xiàn)網(wǎng)絡(luò)安全訪(fǎng)問(wèn)。防火墻參數(shù)主要如下：吞吐量、并發(fā)會(huì)話(huà)數(shù)、是否支持VPN集群和負(fù)載均衡、流量監(jiān)控、防御拒絕服務(wù)（DOS）攻擊，例如SYN泛濫、互聯(lián)網(wǎng)控制信息協(xié)議（ICMP）泛濫、端口掃描、PING OF DEATH等攻擊方式。路由器在網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候要考慮采用統(tǒng)一的網(wǎng)絡(luò)出口設(shè)備，參數(shù)主要如下：保證內(nèi)網(wǎng)的用戶(hù)可以簡(jiǎn)單高速的訪(fǎng)問(wèn)互聯(lián)網(wǎng)包轉(zhuǎn)發(fā)能力、背板帶寬、路由協(xié)議、VPN、流量分析、NAT。9.2.2 設(shè)備選型NAT（Network Address Translation）是在IP地址資源日益短缺的情況下提出的，一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，可

11、是不能保證每臺(tái)主機(jī)都擁有合法的IP地址，為了達(dá)到所有的內(nèi)部主機(jī)都可以連接Internet網(wǎng)絡(luò)的目的，可以使用地址轉(zhuǎn)換。NAT是改變IP報(bào)文中源地址或目的地址的一種處理方式?？梢允挂粋€(gè)局域網(wǎng)中的多臺(tái)主機(jī)使用少數(shù)的合法地址訪(fǎng)問(wèn)外部的資源，也可以設(shè)定內(nèi)部的www、ftp、telnet等服務(wù)提供給外部網(wǎng)絡(luò)使用。NAT同時(shí)隱藏了內(nèi)部局域網(wǎng)的主機(jī)地址，可以在一定程度上防止外部的非法攻擊。在網(wǎng)絡(luò)地址轉(zhuǎn)換時(shí)，根據(jù)轉(zhuǎn)換關(guān)聯(lián)可以找到與數(shù)據(jù)包對(duì)應(yīng)的地址池，根據(jù)地址池就可以找到HASH表，將轉(zhuǎn)換記錄記在相應(yīng)的HASH表。還原時(shí)，根據(jù)目的地址可以知道是屬于哪個(gè)地址池，從而找到相應(yīng)的HASH表，就可以進(jìn)行還原操作。9.2

12、.2 設(shè)備選型總體設(shè)計(jì)以高性能、高可靠性、高安全性、良好的可擴(kuò)展性、可管理性和統(tǒng)一的網(wǎng)管系統(tǒng)及可靠組播為原則，以及考慮到技術(shù)的先進(jìn)性、成熟性，并采用模塊化的設(shè)計(jì)方法。防火墻主要控制用戶(hù)內(nèi)網(wǎng)用戶(hù)上網(wǎng)，通過(guò)訪(fǎng)問(wèn)策略實(shí)現(xiàn)網(wǎng)絡(luò)安全訪(fǎng)問(wèn)。防火墻參數(shù)主要如下：吞吐量、并發(fā)會(huì)話(huà)數(shù)、是否支持VPN集群和負(fù)載均衡、流量監(jiān)控、防御拒絕服務(wù)（DOS）攻擊，例如SYN泛濫、互聯(lián)網(wǎng)控制信息協(xié)議（ICMP）泛濫、端口掃描、PING OF DEATH等攻擊方式。路由器在網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候要考慮采用統(tǒng)一的網(wǎng)絡(luò)出口設(shè)備，參數(shù)主要如下：保證內(nèi)網(wǎng)的用戶(hù)可以簡(jiǎn)單高速的訪(fǎng)問(wèn)互聯(lián)網(wǎng)包轉(zhuǎn)發(fā)能力、背板帶寬、路由協(xié)議、VPN、流量分析、NAT。9

13、.2.2 設(shè)備選型核心交換機(jī)是局域網(wǎng)核心層的骨干，重點(diǎn)考慮全網(wǎng)的安全建設(shè)，采用的核心設(shè)備必須具備完整的安全體系架構(gòu)，具備防源IP地址欺騙、防DOS/DDOS攻擊，防IP掃描等防攻擊功能，支持千兆端口鏈路聚合，支持端口鏡像，支持DHCP Snooping，設(shè)備的管理支持采用SNMPV3標(biāo)準(zhǔn)協(xié)議，具備數(shù)據(jù)加密，非法數(shù)據(jù)包檢測(cè)等安全功能，保證網(wǎng)絡(luò)設(shè)備的安全，負(fù)責(zé)可靠而迅速的傳輸大量的數(shù)據(jù)流。參數(shù)主要如下：背板帶寬、第三層轉(zhuǎn)發(fā)性能、高可用性特性。匯聚交換機(jī)主要是選用三層交換機(jī)。在全網(wǎng)絡(luò)的設(shè)計(jì)上體現(xiàn)了分布式路由思想，可以大大減輕核心層交換機(jī)的路由壓力，有效的進(jìn)行路由流量的均衡。作為本地網(wǎng)絡(luò)的邏輯核心，對(duì)

14、于突發(fā)流量大、控制要求高、需要對(duì)QoS有良好支持的應(yīng)用(多媒體流-語(yǔ)音、視頻和數(shù)據(jù)的融合應(yīng)用，比如多媒體教室和教學(xué))實(shí)施策略部署和接入的匯聚。對(duì)于沒(méi)有特殊需求(多媒體傳輸、安全、控制等)的子網(wǎng)，比如正常辦公子網(wǎng)（通常只進(jìn)行數(shù)據(jù)的傳輸）可以考慮選擇性能中等的二層交換機(jī)設(shè)備。參數(shù)主要如下：背板帶寬、包轉(zhuǎn)發(fā)率、鏈路聚合。接入交換機(jī)就是每棟樓的樓層接入交換機(jī)，接入層交換機(jī)的選擇仍然非常重要，考慮到接入層交換機(jī)的對(duì)于終端用戶(hù)接入的控制起著非常重要的作用，因此建議采用安全性、控制性較高的設(shè)備，接入層設(shè)備可以通過(guò)包過(guò)濾或訪(fǎng)問(wèn)控制列表提供對(duì)用戶(hù)流量的控制，完成基本業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功能

15、。設(shè)備應(yīng)該能夠提供MAC地址綁定、支持IEEE802.1qVLAN的劃分、802.1X的認(rèn)證等等功能，滿(mǎn)足網(wǎng)絡(luò)對(duì)接入控制和管理的需求。參數(shù)主要如下：背板帶寬、交換容量、轉(zhuǎn)發(fā)性能、端口數(shù)量、端口/IP/MAC三元組的綁定。網(wǎng)絡(luò)中幾臺(tái)服務(wù)器，要體現(xiàn)具有下列這樣功能：僅供A公司內(nèi)網(wǎng)用戶(hù)訪(fǎng)問(wèn)；網(wǎng)絡(luò)中的WWW服務(wù)器、MAIL服務(wù)器、OA服務(wù)器等可以同時(shí)被內(nèi)網(wǎng)及外網(wǎng)訪(fǎng)問(wèn)，提供入侵檢測(cè)、協(xié)議分析、流量控制及SNMP網(wǎng)絡(luò)管理等功能。無(wú)線(xiàn)AP根據(jù)網(wǎng)絡(luò)規(guī)劃的需要，在無(wú)線(xiàn)網(wǎng)絡(luò)中可以有選擇支持Fat和Fit兩種工作模式，在組網(wǎng)模式上可以通過(guò)與無(wú)線(xiàn)控制器配套使用，參數(shù)主要如下：交換容量bit/s（全雙工）、包轉(zhuǎn)發(fā)率pp

16、s、端口聚合、802.1x 。9.2.3 網(wǎng)絡(luò)整體實(shí)施制定實(shí)施進(jìn)度計(jì)劃網(wǎng)絡(luò)工程的整個(gè)完成時(shí)間計(jì)劃為八周，工程進(jìn)度安排如表9.2所示，在網(wǎng)絡(luò)實(shí)施工程中，要嚴(yán)格按照網(wǎng)絡(luò)規(guī)劃進(jìn)行實(shí)施，對(duì)網(wǎng)絡(luò)設(shè)備的安裝與調(diào)試過(guò)程中，局部采取邊施工邊測(cè)試的原則，防止出現(xiàn)網(wǎng)絡(luò)環(huán)路、漏調(diào)、漏接等現(xiàn)象的發(fā)生。9.2.2 設(shè)備選型表9.2 網(wǎng)絡(luò)工程進(jìn)度表工作日工作內(nèi)容1234567890123456789入場(chǎng)，核實(shí)現(xiàn)場(chǎng)數(shù)據(jù)設(shè)備、材料入場(chǎng)網(wǎng)絡(luò)設(shè)備安裝調(diào)試無(wú)線(xiàn)網(wǎng)絡(luò)安裝調(diào)試服務(wù)器安裝調(diào)試工程文檔工程驗(yàn)收技術(shù)培訓(xùn)9.2.4 網(wǎng)絡(luò)整體測(cè)試在A(yíng)企業(yè)內(nèi)部局域網(wǎng)中，核心層設(shè)備是起著承載匯聚層設(shè)備的高速上連，并且根據(jù)網(wǎng)絡(luò)的目的地址進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)發(fā)，

17、這就要求核心層設(shè)備達(dá)到線(xiàn)速，因此在核心層設(shè)備上盡量把規(guī)則下放。在核心層設(shè)備的主管理引擎執(zhí)行路由管理、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)服務(wù)等任務(wù)，利用交換的高速背板,可以獨(dú)立實(shí)現(xiàn)硬件路由、交換和組播功能以及硬件ACL和QOS功能，從而保證了網(wǎng)絡(luò)的高速穩(wěn)定運(yùn)行。接入交換機(jī)是直接連接用戶(hù)的終端設(shè)備，能通過(guò)認(rèn)證客戶(hù)端后實(shí)現(xiàn)自動(dòng)獲取IP地址，并且訪(fǎng)問(wèn)內(nèi)、外網(wǎng)資源。另外在接入交換機(jī)中配置訪(fǎng)問(wèn)控制列表(ACL)、設(shè)置IP數(shù)據(jù)過(guò)濾，禁止如沖擊波、震蕩波等眾所周知的端口跨VLAN進(jìn)行訪(fǎng)問(wèn)資源，達(dá)到一個(gè)保護(hù)網(wǎng)絡(luò)的安全的作用。局域網(wǎng)內(nèi)部功能測(cè)試是網(wǎng)絡(luò)安全的一個(gè)重要部分，通過(guò)內(nèi)部局域網(wǎng)的組建，檢測(cè)網(wǎng)絡(luò)設(shè)備能否為網(wǎng)絡(luò)正常運(yùn)行提供安全穩(wěn)定

18、的保障，測(cè)試部分可運(yùn)用常用網(wǎng)絡(luò)命令如ping、tracert等，對(duì)網(wǎng)絡(luò)基本狀態(tài)進(jìn)行檢測(cè)，再給合交換機(jī)內(nèi)置命令，完成如下操作：顯示接口信息、顯示所有TCP連接的狀態(tài)、顯示TCP連接的流量統(tǒng)計(jì)信息、顯示UDP流量統(tǒng)計(jì)信息、顯示IP報(bào)文統(tǒng)計(jì)信息、顯示ICMP流量統(tǒng)計(jì)信息、清除IP報(bào)文統(tǒng)計(jì)信息、清除TCP連接的流量統(tǒng)計(jì)信息、清除UDP流量統(tǒng)計(jì)信息等進(jìn)行測(cè)試。9.2.4 網(wǎng)絡(luò)整體測(cè)試廣域網(wǎng)接入功能測(cè)試是檢驗(yàn)網(wǎng)絡(luò)絡(luò)成果的一個(gè)重要組成部分，測(cè)試部分可運(yùn)用常用網(wǎng)絡(luò)命令如ping、tracert、netstatan、nslookup等，對(duì)網(wǎng)絡(luò)基本狀態(tài)進(jìn)行檢測(cè)測(cè)試。如在路由器上測(cè)試局域網(wǎng)接口及廣域網(wǎng)接口、數(shù)據(jù)包轉(zhuǎn)

19、發(fā)功能、路由信息維護(hù)功能、SNMP功能，日志、地址轉(zhuǎn)換，訪(fǎng)問(wèn)控制，防火墻，地址分配等功能。同時(shí)啟動(dòng)若干機(jī)器在ISP運(yùn)營(yíng)商下載比較大的數(shù)據(jù)，通過(guò)對(duì)路由器吞吐量、時(shí)延、丟包率等能力檢驗(yàn)路由器的穩(wěn)定性和可靠性。表9.3 功能測(cè)試表9.2.4 網(wǎng)絡(luò)整體測(cè)試測(cè)試命令或內(nèi)容測(cè)試手段、方法測(cè)試結(jié)果9.3 綜合項(xiàng)目施工報(bào)告綜合項(xiàng)目施工報(bào)告撰寫(xiě)是很重要的，因?yàn)槭亲钤嫉牡谝皇植牧希脑O(shè)計(jì)每一項(xiàng)目的內(nèi)容。而邊施工邊測(cè)試是檢驗(yàn)工程質(zhì)量的關(guān)鍵，只有設(shè)計(jì)合理、科學(xué)，才能簡(jiǎn)化工作步驟。下面給出幾個(gè)我們就針對(duì)施工過(guò)程中設(shè)計(jì)幾個(gè)表，可以放倒施工報(bào)告及驗(yàn)收?qǐng)?bào)告中。網(wǎng)絡(luò)測(cè)試是正常運(yùn)行網(wǎng)絡(luò)的安全保障，要求對(duì)從接入層設(shè)備、匯聚層

20、設(shè)備、核心層設(shè)備、無(wú)線(xiàn)控制器及AP、出口路由器等進(jìn)行全方位的測(cè)評(píng)。測(cè)評(píng)要求給出具體的結(jié)果，形成文檔。網(wǎng)絡(luò)綜合測(cè)試表如表9.4所示。9.3 綜合項(xiàng)目施工報(bào)告表9.4網(wǎng)絡(luò)綜合測(cè)試表測(cè)試內(nèi)容測(cè)試方法檢查結(jié)果說(shuō)明1.telnet和串口登錄：telnet和串口兩種方式能正常登錄。完善不完善如有特殊要求不強(qiáng)制檢查2.端口統(tǒng)計(jì)數(shù)據(jù)：查看各個(gè)使用的端口收發(fā)統(tǒng)計(jì)數(shù)據(jù)是否正常，異常報(bào)文是否有增長(zhǎng)。參照設(shè)備命令手冊(cè)完善不完善3.debug開(kāi)關(guān)：日志信息應(yīng)正常，所有debug開(kāi)關(guān)關(guān)閉。參照設(shè)備命令手冊(cè)完善不完善4.電源狀態(tài)查看：各電源模塊工作狀態(tài)正常。參照設(shè)備命令手冊(cè)完善不完善5.CPU占有率：CPU占有率應(yīng)正常，與

21、當(dāng)前開(kāi)展的業(yè)務(wù)類(lèi)型和轉(zhuǎn)發(fā)流量相符。參照設(shè)備命令手冊(cè)完善不完善6.不使用的網(wǎng)絡(luò)服務(wù)端口要關(guān)閉：比如FTP SERVER功能在不使用時(shí)要及時(shí)關(guān)閉。參照設(shè)備命令手冊(cè)完善不完善7.系統(tǒng)當(dāng)前正在發(fā)生的告警信息：有告警及時(shí)處理。參照設(shè)備命令手冊(cè)完善不完善8.抽樣檢查9%AP設(shè)備信號(hào)覆蓋效果抽樣點(diǎn)信號(hào)強(qiáng)度不低于-70dBm。關(guān)聯(lián)無(wú)線(xiàn)服務(wù)是否正常、迅速。抽樣點(diǎn)讀數(shù)信號(hào)強(qiáng)度。詳細(xì)標(biāo)注抽檢AP設(shè)備的物理地點(diǎn)、IP地址、信號(hào)強(qiáng)度讀數(shù)等。9.3 綜合項(xiàng)目施工報(bào)告施工過(guò)程中針對(duì)機(jī)房中設(shè)備如服務(wù)器、防火墻等進(jìn)行全方位的測(cè)評(píng)。測(cè)評(píng)要求給出具體的結(jié)果，形成文檔。如表9.5所示 9.3 綜合項(xiàng)目施工報(bào)告施工過(guò)程中針對(duì)機(jī)房中設(shè)備如服務(wù)器被攻擊情況。測(cè)評(píng)要求給出具體的結(jié)果，