住宅小區(qū)網(wǎng)絡(luò)系統(tǒng)方案《網(wǎng)絡(luò)工程》課程設(shè)計

1、網(wǎng)絡(luò)工程課程設(shè)計題目：住宅小區(qū)網(wǎng)絡(luò)系統(tǒng)方案系別：計算機系專業(yè)：計算機科學(xué)與技術(shù)年級： 08級姓名： *學(xué)號： 0*9班級： 科學(xué)與技術(shù)2班指導(dǎo)教師： *2010年 12 月 30 日目錄 TOC o 1-3 h z u HYPERLINK l _Toc281441268 HYPERLINK l _Toc281441269 第一章 需求分析與設(shè)計原則 PAGEREF _Toc281441269 h 3 HYPERLINK l _Toc281441270 1.2 網(wǎng)絡(luò)設(shè)計總體要求 PAGEREF _Toc281441270 h 5 HYPERLINK l _Toc281441271 1.3 網(wǎng)絡(luò)設(shè)

2、計的技術(shù)要求 PAGEREF _Toc281441271 h 5 HYPERLINK l _Toc281441272 主干層網(wǎng)絡(luò)承載能力 PAGEREF _Toc281441272 h 6 HYPERLINK l _Toc281441273 1.3.2 接入能力 PAGEREF _Toc281441273 h 6 HYPERLINK l _Toc281441274 可靠性和自愈能力 PAGEREF _Toc281441274 h 6 HYPERLINK l _Toc281441275 擁塞控制與服務(wù)質(zhì)量保障 PAGEREF _Toc281441275 h 7 HYPERLINK l _Toc2

3、81441276 網(wǎng)絡(luò)的擴展能力 PAGEREF _Toc281441276 h 8 HYPERLINK l _Toc281441277 與其他網(wǎng)絡(luò)的互聯(lián) PAGEREF _Toc281441277 h 8 HYPERLINK l _Toc281441278 通信協(xié)議的支持 PAGEREF _Toc281441278 h 8 HYPERLINK l _Toc281441279 網(wǎng)絡(luò)管理與安全體系 PAGEREF _Toc281441279 h 9 HYPERLINK l _Toc281441280 第二章 綜合布線 PAGEREF _Toc281441280 h - 10 - HYPERLIN

4、K l _Toc281441281 工作區(qū)子系統(tǒng) PAGEREF _Toc281441281 h - 10 - HYPERLINK l _Toc281441282 2.2水平子系統(tǒng) PAGEREF _Toc281441282 h - 10 - HYPERLINK l _Toc281441283 管理子系統(tǒng) PAGEREF _Toc281441283 h - 11 - HYPERLINK l _Toc281441284 垂直干線子系統(tǒng) PAGEREF _Toc281441284 h - 12 - HYPERLINK l _Toc281441285 設(shè)備間子系統(tǒng) PAGEREF _Toc28144

5、1285 h - 13 - HYPERLINK l _Toc281441286 建筑群子系統(tǒng) PAGEREF _Toc281441286 h - 14 - HYPERLINK l _Toc281441287 各子系統(tǒng)說明 PAGEREF _Toc281441287 h - 14 - HYPERLINK l _Toc281441288 工作區(qū)子系統(tǒng) PAGEREF _Toc281441288 h - 14 - HYPERLINK l _Toc281441289 2.7.2 水平子系統(tǒng) PAGEREF _Toc281441289 h - 15 - HYPERLINK l _Toc281441290

6、 管理子系統(tǒng) PAGEREF _Toc281441290 h - 16 - HYPERLINK l _Toc281441291 垂直干線子系統(tǒng) PAGEREF _Toc281441291 h - 17 - HYPERLINK l _Toc281441292 設(shè)備間子系統(tǒng) PAGEREF _Toc281441292 h - 18 - HYPERLINK l _Toc281441293 管線方案 PAGEREF _Toc281441293 h - 18 - HYPERLINK l _Toc281441294 水平子系統(tǒng)布線要求 PAGEREF _Toc281441294 h - 19 - HYPE

7、RLINK l _Toc281441295 管理子系統(tǒng)設(shè)計建議 PAGEREF _Toc281441295 h - 20 - HYPERLINK l _Toc281441296 第三章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu). PAGEREF _Toc281441296 h - 20 - HYPERLINK l _Toc281441297 、環(huán)形拓?fù)浣Y(jié)構(gòu) PAGEREF _Toc281441297 h - 21 - HYPERLINK l _Toc281441298 、總線形拓?fù)浣Y(jié)構(gòu) PAGEREF _Toc281441298 h - 21 - HYPERLINK l _Toc281441299 星形拓?fù)浣Y(jié)構(gòu) PAGE

8、REF _Toc281441299 h - 21 - HYPERLINK l _Toc281441300 網(wǎng)絡(luò)拓?fù)鋱D PAGEREF _Toc281441300 h - 23 - HYPERLINK l _Toc281441301 第四章 防御系統(tǒng) PAGEREF _Toc281441301 h - 23 - HYPERLINK l _Toc281441302 設(shè)計原則 PAGEREF _Toc281441302 h - 23 - HYPERLINK l _Toc281441303 安全策略 PAGEREF _Toc281441303 h - 24 - HYPERLINK l _Toc2814

9、41304 防御系統(tǒng) PAGEREF _Toc281441304 h - 25 - HYPERLINK l _Toc281441305 物理安全 PAGEREF _Toc281441305 h - 25 - HYPERLINK l _Toc281441306 防火墻技術(shù) PAGEREF _Toc281441306 h - 26 - HYPERLINK l _Toc281441307 入侵檢測 PAGEREF _Toc281441307 h - 26 - HYPERLINK l _Toc281441308 安全服務(wù) PAGEREF _Toc281441308 h - 27 - HYPERLINK

10、 l _Toc281441309 第五章 小區(qū)網(wǎng)設(shè)備選型 PAGEREF _Toc281441309 h - 28 - HYPERLINK l _Toc281441310 小區(qū)網(wǎng)核心層設(shè)備 PAGEREF _Toc281441310 h - 29 - HYPERLINK l _Toc281441311 小區(qū)網(wǎng)匯聚層設(shè)備 PAGEREF _Toc281441311 h - 29 - HYPERLINK l _Toc281441312 小區(qū)網(wǎng)接入層設(shè)備 PAGEREF _Toc281441312 h - 30 - HYPERLINK l _Toc281441313 小區(qū)網(wǎng)服務(wù)器、路由器設(shè)備 PAG

11、EREF _Toc281441313 h - 31 - HYPERLINK l _Toc281441314 第六章 虛擬網(wǎng)劃分 PAGEREF _Toc281441314 h - 32 - HYPERLINK l _Toc281441315 6.1 VLAN的發(fā)展與現(xiàn)狀 PAGEREF _Toc281441315 h - 32 - HYPERLINK l _Toc281441316 6.2 VLAN及IP劃分 PAGEREF _Toc281441316 h - 33 - HYPERLINK l _Toc281441317 路由器配置 PAGEREF _Toc281441317 h - 34 -

12、 HYPERLINK l _Toc281441318 交換機配置 PAGEREF _Toc281441318 h - 35 - HYPERLINK l _Toc281441319 第七章 小結(jié) PAGEREF _Toc281441319 h - 38 - HYPERLINK l _Toc281441320 第八章 參考文獻 PAGEREF _Toc281441320 h - 38 -第一章 需求分析與設(shè)計原則 項目概況隨著計算機網(wǎng)絡(luò)技術(shù)的進步，網(wǎng)絡(luò)用戶的所有傳統(tǒng)業(yè)務(wù)和新型業(yè)務(wù)都將在數(shù)據(jù)網(wǎng)中傳輸，使投資和營運成本大為下降，并進一步推動用戶上網(wǎng)的建設(shè)步伐。經(jīng)多次同用戶進行溝通，我們對廣州市XX集團

13、網(wǎng)絡(luò)規(guī)劃和應(yīng)用有了一定的了解，結(jié)合我們以前對信息網(wǎng)絡(luò)的認(rèn)識和建設(shè)經(jīng)驗，并根據(jù)目前網(wǎng)絡(luò)應(yīng)用水平和預(yù)測今后一段時期可能普及的網(wǎng)絡(luò)應(yīng)用，對XX集團智能小區(qū)網(wǎng)絡(luò)系統(tǒng)需求進行詳細的分析。實現(xiàn)了綜合布線的住宅小區(qū)，如果僅從信息服務(wù)功能這方面考慮，對住戶來說最有吸引力、用得最多的應(yīng)該是小區(qū)提供的Internet應(yīng)用和服務(wù)。隨著網(wǎng)絡(luò)應(yīng)用的日益普及，上網(wǎng)將成為住戶的必然需求，方便快捷的Internet服務(wù)將是人們夢寐以求的。因此小區(qū)的信息網(wǎng)絡(luò)系統(tǒng)應(yīng)首先能為住戶提供各種基本的Internet服務(wù)，如讓住戶能夠瀏覽WWW，能收發(fā)Email，進行文件傳輸，網(wǎng)上炒股等。但是僅從信息方面考慮是不夠的，我們還要考慮另外一個

14、非常重要的方面那就是應(yīng)用方面，因為小區(qū)網(wǎng)絡(luò)僅從上網(wǎng)這個角度來考慮是片面的，也是浪費的。我們設(shè)計的小區(qū)網(wǎng)絡(luò)方案，不僅僅是接入Internet的功能，更重要是有小區(qū)自己的應(yīng)用，那樣才能顯示小區(qū)整體優(yōu)勢。小區(qū)信息網(wǎng)絡(luò)系統(tǒng)包括利用WEB服務(wù)器和數(shù)據(jù)庫服務(wù)器，為小區(qū)的物業(yè)管理部門和住戶提供小區(qū)各種網(wǎng)絡(luò)應(yīng)用，例如通過社區(qū)公告欄，架起住戶與住戶，住戶與物業(yè)管理部門的溝通的橋梁。通過小區(qū)網(wǎng)絡(luò)上的綜合電子商務(wù)平臺，住戶與商家可以利用小區(qū)網(wǎng)絡(luò)實現(xiàn)網(wǎng)上購物、網(wǎng)上交易等安全、快捷的電子商務(wù)活動。用戶還可通過小區(qū)網(wǎng)絡(luò)與物業(yè)管理部門聯(lián)系，要求維修服務(wù)或進行投訴；物業(yè)部門可在網(wǎng)上發(fā)布收費通知，而用戶可在網(wǎng)上查詢水電煤氣的使

15、用和收費情況。小區(qū)內(nèi)部網(wǎng)還可以為住戶提供網(wǎng)上游戲，網(wǎng)上聊天室等娛樂項目。小區(qū)的物業(yè)管理部門內(nèi)部可通過小區(qū)的網(wǎng)絡(luò)實現(xiàn)辦公自動化，通過數(shù)據(jù)庫管理住戶資料、內(nèi)部員工資料和小區(qū)物業(yè)數(shù)據(jù)，而小區(qū)內(nèi)的商家也能通過小區(qū)的網(wǎng)絡(luò)發(fā)展自己的應(yīng)用。小區(qū)的網(wǎng)絡(luò)系統(tǒng)還應(yīng)該便于對住戶的網(wǎng)絡(luò)訪問權(quán)限進行管理，同時應(yīng)該具有足夠的安全性，防止來自各種網(wǎng)絡(luò)的入侵。信息系統(tǒng)對終端用戶來說，應(yīng)該簡單易用，因此訪問操作要盡力統(tǒng)一到WWW界面下。小區(qū)的網(wǎng)絡(luò)服務(wù)不僅僅提供由小區(qū)到外部的訪問通道，還要提供由外部到小區(qū)的訪問途徑，通過建造小區(qū)的Internet網(wǎng)站，向外提供房地產(chǎn)咨詢、網(wǎng)上訂購、網(wǎng)上預(yù)約看房等服務(wù)，使之成為外部了解小區(qū)的一個窗

16、口，可為小區(qū)的開發(fā)商樹立良好形象，促進住房銷售。如向小區(qū)提供上述服務(wù)，業(yè)主可以根據(jù)目前住戶人數(shù)及高峰期訪問量選擇以何種方式上網(wǎng)，如DDN專線、ISDN、PSTN撥號上網(wǎng)，根據(jù)我們以往的工程經(jīng)驗，并考慮到小區(qū)用戶總數(shù)，建議使用DDN專線與外界連接，這樣設(shè)計為住戶提供了快捷的Internet服務(wù)?？紤]到網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展，為了以后能提供IP 、電子商務(wù)、遠程教學(xué)、遠程醫(yī)療、家庭辦公等寬帶多媒體應(yīng)用，以及許多目前還難以預(yù)測的其他應(yīng)用，系統(tǒng)還應(yīng)具有相當(dāng)強的擴展能力。所以，一個好的網(wǎng)絡(luò)系統(tǒng)對于一個小區(qū)是十分必要的。1.2 網(wǎng)絡(luò)設(shè)計總體要求 小區(qū)網(wǎng)絡(luò)系統(tǒng)在總體上需滿足以下幾個原則：先進性：采用世界先進

17、的第2/3層交換機，提供高速的網(wǎng)絡(luò)傳輸。普遍性：采用的設(shè)備和網(wǎng)絡(luò)方案是經(jīng)典的、成熟的、已被普遍應(yīng)用的。統(tǒng)一性：必須遵循技術(shù)規(guī)范方案及規(guī)劃，科學(xué)地統(tǒng)一建設(shè)。必須隨著需求的變化，充分留有擴充余地。安全性及可管理性：應(yīng)注意保證整個系統(tǒng)的可管理性和整個系統(tǒng)的安全性、可靠性。 網(wǎng)絡(luò)設(shè)計的技術(shù)要求根據(jù)上述總體要求，技術(shù)上必須提供相應(yīng)的支持和保證。整個網(wǎng)絡(luò)在技術(shù)上定位為千兆以太網(wǎng)主干網(wǎng)絡(luò)，以光纖和雙絞線為主要傳輸介質(zhì)，因而對網(wǎng)絡(luò)協(xié)議透明，故可以配置成以IP協(xié)議為主的高速IP網(wǎng)絡(luò)。網(wǎng)絡(luò)至少包括包括如下幾個要素：網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化。網(wǎng)絡(luò)體系結(jié)構(gòu)要體現(xiàn)在網(wǎng)絡(luò)層的層次化體系結(jié)構(gòu)，可以減少對傳統(tǒng)傳輸體系的依賴。包轉(zhuǎn)發(fā)的優(yōu)

18、化。適合大型、高速寬帶網(wǎng)絡(luò)的特征，提供高速包轉(zhuǎn)發(fā)機制。帶寬優(yōu)化。在合理的QoS控制下，最大限度的利用帶寬。穩(wěn)定性優(yōu)化。最大限度的利用故障恢復(fù)方面快速切換的能力，快速恢復(fù)網(wǎng)絡(luò)連接，提供符合高速寬帶網(wǎng)絡(luò)要求的可靠性和穩(wěn)定性。下面從主干層、接入層、可靠性、QoS、擴展性、網(wǎng)絡(luò)互聯(lián)、通信協(xié)議、網(wǎng)管與安全等方面論述廣州市XX集團智能小區(qū)網(wǎng)絡(luò)系統(tǒng)的技術(shù)要求。主干層網(wǎng)絡(luò)承載能力主干網(wǎng)核心千兆交換機6509和第二級千兆交換機4006設(shè)備并通過CISCO 7206 提供高速的廣域網(wǎng)連接，提供高可靠性、高性能的帶寬。主干網(wǎng)設(shè)備第二級交換機的無阻塞第二層交換容量為24Gbps，多層交換能力為6Mpps，具備足夠的能

19、力滿足高速端口之間的無丟包線速交換。 主干網(wǎng)設(shè)備的交換模塊或接口模塊應(yīng)提供足夠的緩存和擁塞控制機制，避免前向擁塞時的丟包。建議的數(shù)據(jù)包緩存大小為每端口512K字節(jié)。 接入能力接入的核心是第二級主干交換機，與第三層中心交換機采用2M DDN速率連接。網(wǎng)絡(luò)設(shè)計應(yīng)考慮提供足夠的鏈路冗余能力、設(shè)備冗余能力，以及網(wǎng)絡(luò)的容災(zāi)能力，提供安全可靠的連接服務(wù)。 第二級交換機向第三級交換機1900系列提供100兆的光纖接口，每臺4006交換機最大可提供120個百兆光纖口，用戶計算機采用交換式10M與1900系列相連，可提供比傳統(tǒng)共享網(wǎng)絡(luò)高得多的帶寬。可靠性和自愈能力包括鏈路冗余、模塊冗余、設(shè)備冗余等要求。鏈路冗余

20、。在主干連接(主干設(shè)備之間)具備可靠的線路冗余方式。建議采用負(fù)載均衡的冗余方式，即通常情況下兩條連接均提供數(shù)據(jù)傳輸，并互為備份。主線路切換到備份線路的時間應(yīng)小于10秒。模塊冗余。主要設(shè)備(的所有模塊和環(huán)境部件應(yīng)具備1+1或1：N熱備份的功能，切換時間小于3秒。所有模塊具備熱插拔的功能。系統(tǒng)具備99.999%以上的可用性。設(shè)備冗余。提供由兩臺或兩臺以上設(shè)備組成一個虛擬設(shè)備備件庫的能力。當(dāng)其中一個設(shè)備因故障停止工作時，另一臺設(shè)備上的模塊可以直接用到故障設(shè)備上。擁塞控制與服務(wù)質(zhì)量保障擁塞控制和服務(wù)質(zhì)量保障(QoS)是高速網(wǎng)絡(luò)的重要品質(zhì)。由于接入方式、接入速率、應(yīng)用方式、數(shù)據(jù)性質(zhì)的豐富多樣，網(wǎng)絡(luò)的數(shù)據(jù)

21、流量突發(fā)是不可避免的，因此，網(wǎng)絡(luò)對擁塞的控制和對不同性質(zhì)數(shù)據(jù)流的不同處理是十分重要的。業(yè)務(wù)分類COS。網(wǎng)絡(luò)設(shè)備應(yīng)支持68種業(yè)務(wù)分類(COS)。當(dāng)用戶終端不提供業(yè)務(wù)分類信息時，網(wǎng)絡(luò)設(shè)備應(yīng)根據(jù)用戶所在網(wǎng)段、應(yīng)用類型、流量大小等自動對業(yè)務(wù)進行分類。接入速率控制CAR。接入本網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)遵守其接入速率承諾。超過承諾速率的數(shù)據(jù)將被丟棄或標(biāo)以最低的優(yōu)先級。隊列機制QUEUING。具有先進的隊列機制進行擁塞控制，對不同等級的業(yè)務(wù)進行不同的處理，包括時延的不同和丟包率的不同。先期擁塞控制WRED。當(dāng)網(wǎng)絡(luò)出現(xiàn)真正的擁塞時，瞬間大量的丟包會引起大量TCP數(shù)據(jù)同時重發(fā)，加劇網(wǎng)絡(luò)擁塞的程度并引起網(wǎng)絡(luò)的不穩(wěn)定。網(wǎng)絡(luò)設(shè)備

22、應(yīng)具備先進的技術(shù)，在網(wǎng)路出現(xiàn)擁塞前就自動采取適當(dāng)?shù)拇胧?，進行先期擁塞控制，避免瞬間大量的丟包現(xiàn)象。資源預(yù)留RSVP。對非常重要的特殊應(yīng)用，應(yīng)可以采用保留帶寬資源的方式保證其QoS。網(wǎng)絡(luò)的擴展能力 網(wǎng)絡(luò)的擴展能力包括設(shè)備交換容量的擴展能力、端口密度的擴展能力、主干帶寬的擴展，以及網(wǎng)絡(luò)規(guī)模的擴展能力。交換容量擴展。交換容量應(yīng)具備在現(xiàn)有基礎(chǔ)上繼續(xù)擴充48倍容量的能力，以適應(yīng)業(yè)務(wù)急速膨脹的現(xiàn)實。端口密度擴展。設(shè)備的端口密度應(yīng)能滿足網(wǎng)絡(luò)擴容時設(shè)備間互聯(lián)的需要。主干帶寬擴展。主干帶寬應(yīng)具備48倍甚至更高的帶寬擴展能力，以適應(yīng)業(yè)務(wù)急速膨脹的現(xiàn)實。廣域網(wǎng)擴展。在廣域網(wǎng)的接入層可以在未來運行IP Over DW

23、DM、IP Over SDH等技術(shù)，建立起整個集團內(nèi)部的高速IP寬帶城域網(wǎng)。與其他網(wǎng)絡(luò)的互聯(lián)保證與INTERNET國內(nèi)國際出口的無縫連接。保證與現(xiàn)有網(wǎng)絡(luò)的無縫互聯(lián)。保證與下屬網(wǎng)絡(luò)或上級網(wǎng)絡(luò)的無縫互聯(lián)。通信協(xié)議的支持可以支持TCP/IP、IPX、DECNET、APPLE-TALK等協(xié)議。設(shè)備商應(yīng)提供服務(wù)營運級別的網(wǎng)絡(luò)通信軟件和網(wǎng)際操作系統(tǒng)。支持RIP、RIPv2、OSPF、IGRP、IS-IS等多種國際標(biāo)準(zhǔn)路由協(xié)議。網(wǎng)絡(luò)管理與安全體系支持整個網(wǎng)絡(luò)系統(tǒng)各種網(wǎng)絡(luò)設(shè)備的統(tǒng)一網(wǎng)絡(luò)管理。支持故障管理、記帳管理、配置管理、性能管理和安全管理五大功能。支持系統(tǒng)級的管理，包括系統(tǒng)分析、系統(tǒng)規(guī)劃等；支持基于策略的

24、管理，對策略的修改能夠立即反應(yīng)到所有相關(guān)設(shè)備中。網(wǎng)絡(luò)設(shè)備支持多級管理權(quán)限，支持RADIUS、TACACS+等認(rèn)證機制。支持安全監(jiān)控和控制機制，當(dāng)發(fā)現(xiàn)存在安全漏洞和遭到攻擊時，應(yīng)及時通知網(wǎng)絡(luò)管理人員，并應(yīng)自動采取適當(dāng)?shù)拇胧┯枰员Ｗo。第二章 綜合布線從功能上看，綜合布線系統(tǒng)包括工作區(qū)子系統(tǒng)、水平子系統(tǒng)、管理子系統(tǒng)、垂直干線子系統(tǒng)、設(shè)備間子系統(tǒng)、建筑群子系統(tǒng)。 工作區(qū)子系統(tǒng)工作區(qū)指從由水平系統(tǒng)而來的用戶信息插座延伸至數(shù)據(jù)終端設(shè)備的連接線纜和適配器組成。工作區(qū)的UTP/FTP跳線為軟線（Patch Cable）材料，即雙絞線的芯線為多股細銅絲，最大長度不能超過5M。 水平子系統(tǒng)水平子系統(tǒng)指從樓層配線間

25、至工作區(qū)用戶信息插座。由用戶信息插座、水平電纜、配線設(shè)備等組成。綜合布線中水平子系統(tǒng)是計算機網(wǎng)絡(luò)信息傳輸?shù)闹匾M成部分。采用星型拓?fù)浣Y(jié)構(gòu)，每個信息點均需連接到管理子系統(tǒng)。由UTP線纜構(gòu)成。最大水平距離：90m（295ft）。指從管理間子系統(tǒng)中的 配線架的JACK端口至工作區(qū)的信息插座的電纜長度。工作區(qū)的patch cord、連接設(shè)備的patch cord、cross-connection線的總長度不能超過10M。水平布線系統(tǒng)施工是綜合布線系統(tǒng)中最大量的工作，在建筑物施工完成后，不易變更。因此要施工嚴(yán)格， 保證鏈路性能。綜合布線的水平線纜可采用五類、超五類雙絞線、也可采用屏蔽雙絞線。甚至可以采用

26、光纖到桌面。 管理子系統(tǒng)在綜合布線六個系統(tǒng)中對管理子系統(tǒng)的理解定義上各標(biāo)準(zhǔn)、廠商有所差異，單單從布線的角度上看，稱之為樓層配線間或電信間是合理的，而且也形象化；但從綜合布線系統(tǒng)最終應(yīng)用-數(shù)據(jù)、語音網(wǎng)絡(luò)的角度去理解，稱之為管理子系統(tǒng)更合理。它是綜合布線系統(tǒng)區(qū)別與傳統(tǒng)布線系統(tǒng)的一個重要方面，更是綜合布線系統(tǒng)靈活性、可管理性的集中體現(xiàn)。因此在慧錦綜合布線系統(tǒng)中稱之為管理子系統(tǒng)。管理子系統(tǒng)設(shè)置在樓層配線房間、是水平系統(tǒng)電纜端接的場所，也是主干系統(tǒng)電纜端接的場所；由大樓主配線架、樓層分配線架、跳線、轉(zhuǎn)換插座等組成。用戶可以在管理子系統(tǒng)中更改、增加、交接、擴展線纜。用于改變線纜路由。建議采用合適的線纜路由

27、和調(diào)整件組成管理子系統(tǒng)。管理子系統(tǒng)提供了與其他子系統(tǒng)連接的手段，使整個布線系統(tǒng)與其連接的設(shè)備和器件構(gòu)成一個有機的整體。調(diào)整管理子系統(tǒng)的交接則可安排或重新安排線路路由、因而傳輸線路能夠延伸到建筑物內(nèi)部各個工作區(qū)。是綜合布線系統(tǒng)靈活性的集中體現(xiàn)。管理子系統(tǒng)三種應(yīng)用：水平/干線連接；主干線系統(tǒng)互相連接；入樓設(shè)備的連接。線路的色標(biāo)標(biāo)記管理可在管理子系統(tǒng)中實現(xiàn)。 垂直干線子系統(tǒng)垂直干線子系統(tǒng)由連接主設(shè)備間至各樓層配線間之間的線纜構(gòu)成。其功能主要是把各分層配線架與主配線架相連。用主干電纜提供樓層之間通信的通道，使整個布線系統(tǒng)組成一個有機的整體。垂直干線子系統(tǒng)Topology結(jié)構(gòu)采用分層星型拓?fù)浣Y(jié)構(gòu)，每個樓

28、層配線間均需采用垂直主干線纜連接到大樓主設(shè)備間。垂直主干采用25對大對數(shù)線纜時，每條25對大對數(shù)線纜對于某個樓層而言是不可再分的單位。垂直主干線纜和水平系統(tǒng)線纜之間的連接需要通過樓層管理間的跳線來實現(xiàn)。垂直主干線纜安裝原則：從大樓主設(shè)備間主配線架上至樓層分配線間各個管理分配線架的銅線纜安裝路徑要避開高EMI電磁干擾源區(qū)域（如馬達、變壓器），并符合ANSI TIA/EIA-569安裝規(guī)定。電纜安裝性能原則：保證整個使用周期中電纜設(shè)施的初始性能和連續(xù)性能。大樓垂直主干線纜長度小于90M時，建議按設(shè)計等級標(biāo)準(zhǔn)來計算主干電纜數(shù)量；但每個樓層至少配置一條CAT5 UPT/FPT做主干。大樓垂直主干線纜長

29、度大于90M，則每個樓層配線間至少配置一條室內(nèi)六芯多模光纖做主干。主配線架在現(xiàn)場中心附近、保持路由最短原則。 設(shè)備間子系統(tǒng)設(shè)備間子系統(tǒng)是一個集中化設(shè)備區(qū)，連接系統(tǒng)公共設(shè)備，如PBX、局域網(wǎng)(LAN)、主機、建筑自動化和保安系統(tǒng)，及通過垂直干線子系統(tǒng)連接至管理子系統(tǒng)。設(shè)備間子系統(tǒng)是大樓中數(shù)據(jù)、語音垂直主干線纜終接的場所；也是建筑群來的線纜進入建筑物終接的場所；更是各種數(shù)據(jù)語音主機設(shè)備及保護設(shè)施的安裝場所。建議設(shè)備間子系統(tǒng)設(shè)在建筑物中部或在建筑物的一、二層，位置不應(yīng)遠離電梯，而且為以后的擴展留有余地，不建議在頂層或地下室。建議建筑群來的線纜進入建筑物時應(yīng)有相應(yīng)的過流、過壓保護設(shè)施。設(shè)備間子系統(tǒng)空間

30、要按ANSI/TIA/EIA-569要求設(shè)計。設(shè)備間子系統(tǒng)空間用于安裝電信設(shè)備、連接硬件、接頭套管等。為接地和連接設(shè)施、保護裝置提供控制環(huán)境；是系統(tǒng)進行管理、控制、維護的場所。設(shè)備間子系統(tǒng)所在的空間還有對門窗、天花板、電源、照明、接地的要求。 建筑群子系統(tǒng)當(dāng)小區(qū)的建筑物之間有語音、數(shù)據(jù)、圖象等相聯(lián)的需要時，由二個及以上建筑物的數(shù)據(jù)、 、視頻系統(tǒng)電纜組成建筑群子系統(tǒng)。包括大樓設(shè)備間子系統(tǒng)配線設(shè)備、室外線纜等。可能的路由：架空電纜、直埋電纜、地下管道穿電纜。建筑群子系統(tǒng)介質(zhì)選擇原則： 樓和樓之間在二公里以內(nèi)、傳輸介質(zhì)為室外光纖、可采用埋入地下或架空(4M以上)方式、需要避開動力線、注意光纖彎曲半徑

31、建筑群子系統(tǒng)施工要點：包括路由起點、終點；線纜長度、入口位置、媒介類型、所需勞動費用以及材料成本計算。建筑群子系統(tǒng)所在的空間還有對門窗、天花板、電源、照明、接地的要求。 工作區(qū)子系統(tǒng)包括所有用戶實際使用區(qū)域。共設(shè)數(shù)據(jù)點500個、語音點500個。為滿足辦公環(huán)境信息高速傳輸具體情況，數(shù)據(jù)點、語音點全部采用五類非屏蔽信息模塊，使用國標(biāo)雙口防塵墻上型插座面板。數(shù)據(jù)點、語音點在每層分布如下表：工作區(qū)子系統(tǒng)數(shù)據(jù)、語音分布表 水平子系統(tǒng)水平子系統(tǒng)是由建筑物各管理間至各工作區(qū)之間的電纜構(gòu)成。為了滿足高速率數(shù)據(jù)傳輸，數(shù)據(jù)、語音傳輸選用五類非屏蔽四對雙絞線。各樓層所需水平電纜長度統(tǒng)計如下表：數(shù)據(jù)點、語音點水平電纜

32、長度統(tǒng)計表備注： 每根水平電纜平均長度按（最長最短）21.1+2*樓層高計算。 每標(biāo)準(zhǔn)箱為1000英尺（305米）。22500米305米/箱=73.77箱，訂74箱非屏蔽雙絞線。管理子系統(tǒng)管理子系統(tǒng)連接水平電纜和垂直干線。是綜合布線系統(tǒng)中關(guān)鍵的一環(huán)，常用設(shè)備包括快接式配線架、理線架、跳線和必要的網(wǎng)絡(luò)設(shè)備。數(shù)據(jù)系統(tǒng)層管理間設(shè)備配置表語音系統(tǒng)層管理間設(shè)備配置表垂直干線子系統(tǒng)垂直干線子系統(tǒng)由連接設(shè)備間與各層管理間的干線構(gòu)成。其任務(wù)是將各樓層管理間的信息，傳遞到設(shè)備間并送至最終接口。垂直干線的設(shè)計必須滿足用戶當(dāng)前的需求，同時又能適合用戶今后的要求。為達此目的，我們采用6芯多模室內(nèi)光纜，支持?jǐn)?shù)據(jù)信息的傳

33、輸，采用5類25對非屏蔽電纜，支持語音信息的傳輸。數(shù)據(jù)主干光纖長度統(tǒng)計表語音主干電纜長度統(tǒng)計表備注：每標(biāo)準(zhǔn)UTP25對電纜軸1000英尺（305米）。400米305米/軸軸，訂2軸。設(shè)備間子系統(tǒng)設(shè)備間子系統(tǒng)是整個布線系統(tǒng)的中心單元，計算機中心設(shè)在一層， 主機房設(shè)在一層。實現(xiàn)每層樓匯接來的電纜的最終管理。計算機中心設(shè)備統(tǒng)計表 主機房設(shè)備統(tǒng)計表原則上盡量利用大廈已經(jīng)鋪好的管路，對不滿足布線要求的管路，需重新鋪管的部位，應(yīng)盡可能減少對建筑環(huán)境的破壞。水平子系統(tǒng)布線要求水平子系統(tǒng)連接配線間和信息出口。水平布線距離應(yīng)不超過90米，信息口到終端設(shè)備連接線，和配線架之間連接線之和不超過10米。兩種走線方式：

34、采用走吊頂?shù)妮p型槽型電纜橋架的方式這種方式適用于大型建筑物。為水平線纜提供機械保護和支持的裝配式槽型電纜橋架，是一種閉合式金屬橋架，安裝在吊頂內(nèi)，從弱電豎井引向設(shè)有信息點的房間，在由預(yù)埋在墻內(nèi)的不同規(guī)格的鐵管，將線路引到墻上的暗裝鐵盒內(nèi)。綜合布線系統(tǒng)的水平布線是放射型的，線路量大，因此線槽容量的計算很重要，按照標(biāo)準(zhǔn)的線槽設(shè)計方法，應(yīng)根據(jù)水平線纜的直徑來確定線槽的容量即：線槽的橫截面積 = 水平線路橫截面積3線槽的材料為冷軋合金板，表面可進行相應(yīng)處理，如鍍鋅、噴塑、烤漆等，線槽可以根據(jù)情況選用不同的規(guī)格。為保證線纜的轉(zhuǎn)彎半徑，線槽需配以相應(yīng)規(guī)格的分支配件，以提供線路路由的轉(zhuǎn)彎自如。為確保線路的安

35、全，應(yīng)使槽體有良好的接地端，金屬線槽、金屬軟管、金屬橋架及分配線機柜均需整體連接，然后接地，如不能確定信息出口準(zhǔn)確位置，拉線時可先將線纜盤在吊頂內(nèi)的出線口，待具體位置確定后，再引到信息出口。采用地面線槽走線方式這種方式適應(yīng)于大開間的辦公間，有密集的地面型信息出口的情況，建議先在地面墊層中預(yù)埋金屬線槽或線槽地板。主干槽從弱電豎井引出，沿走廊引向設(shè)有信息點的各房間，再用支架槽引向房間內(nèi)的信息點出線口，強電線路可以與弱電線路平等配置，但需分隔于不同的線槽中，這樣可以向每一個用戶提供一個包括數(shù)據(jù)、話音、不間斷電源、照明電源出口的集成面板，真正作到在一個清潔的環(huán)境中，實現(xiàn)辦公自動化。由于地面墊層中可能會

36、有消防等其它系統(tǒng)的線路，所以必須由建筑設(shè)計單位根據(jù)管線設(shè)計人員提出要求，綜合個系統(tǒng)的實際情況，完成地面線槽路由部分的設(shè)計，線槽容量的計算應(yīng)根據(jù)水平線的外經(jīng)來確定。即：線槽的橫截面積 = 水平線路橫截面積3管理子系統(tǒng)設(shè)計建議管理子系統(tǒng)是整個配線系統(tǒng)的中心單元，它的布放、選型及環(huán)境條件的考慮是否恰當(dāng)，都直接影響到將來信息系統(tǒng)的正常運行和使用的靈活性，室內(nèi)照明不低于150Lx，室內(nèi)應(yīng)提供UPS電源配電盤，以保證網(wǎng)絡(luò)設(shè)備運行及維護的供電。 每個電源插座的容量不小于300W，管理子系統(tǒng)（配線室）應(yīng)盡量靠近弱電豎井旁，而弱電豎井應(yīng)盡量在大樓的中間，以方便布線并節(jié)省投資。 設(shè)備室的環(huán)境條件如下： 溫度保持在

37、8-27攝氏度之間 濕度保持在30%-50%之間 通風(fēng)良好，室內(nèi)無塵第三章 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu).目前常用的數(shù)據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)有三種，它們是環(huán)形、總線形和星形結(jié)構(gòu)三種。3.1、環(huán)形拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)的一個例子是令牌環(huán)局域網(wǎng)，它的傳輸速率為 4Mbit/s 和16Mbit/s，這種網(wǎng)絡(luò)結(jié)構(gòu)最早由 IBM 推出，但現(xiàn)在被其他廠家采用。在令牌環(huán)網(wǎng)絡(luò)中，擁有令牌的設(shè)備允許在網(wǎng)絡(luò)中傳輸數(shù)據(jù)。這樣可以保證在某一時間內(nèi)網(wǎng)絡(luò)中只有一臺設(shè)備可以傳送信息。 3.2、總線形拓?fù)浣Y(jié)構(gòu) 總線形拓?fù)浣Y(jié)構(gòu)是局域網(wǎng)主要的拓?fù)浣Y(jié)構(gòu)之一?？偩€形拓?fù)浣Y(jié)構(gòu)的優(yōu)點是：結(jié)構(gòu)簡單，容易實現(xiàn)，易于擴展，可靠性較好。總線形拓?fù)浣Y(jié)構(gòu)的主要特點如下：總線型局域

38、網(wǎng)的介質(zhì)訪問控制方法采用的是“共享介質(zhì)”方式；所有結(jié)點都連接到一條作為公共傳輸介質(zhì)的總線上；總線傳輸介質(zhì)通常采用同軸電纜或雙絞線；所有結(jié)點都可以通過總線傳輸介質(zhì)以“廣播”方式發(fā)送或接收數(shù)據(jù)，因此出現(xiàn)“沖突（collision）”是不可避免的；“沖突”會造成傳輸失敗；必須解決多個結(jié)點訪問總線的介質(zhì)訪問控制（MAC， medium access control）問題。 總線形網(wǎng)絡(luò)使用一定長度的電纜，也就是必要的高速通信鏈路將設(shè)備連接在一起。設(shè)備可以在不影響系統(tǒng)中其他設(shè)備工作的情況下從總線中取下?？偩€形網(wǎng)絡(luò)中最主要的實現(xiàn)就是以太網(wǎng)，它目前已經(jīng)成為局域網(wǎng)的標(biāo)準(zhǔn)。連接在總線上的設(shè)備通過監(jiān)察總線上傳送的信

39、息來檢查發(fā)給自己的數(shù)據(jù)。當(dāng)兩個設(shè)備想在同一時間內(nèi)發(fā)送數(shù)據(jù)時，以太網(wǎng)上將發(fā)生碰撞現(xiàn)象，但是使用一種叫作載波偵聽多重訪問/碰撞監(jiān)測(CSMA/CD) 的協(xié)議可以將碰撞的負(fù)面影響降到最低。 在出現(xiàn)交換式局域網(wǎng)（switched LAN）后，才真正出現(xiàn)了物理結(jié)構(gòu)與邏輯結(jié)構(gòu)統(tǒng)一的星形拓?fù)浣Y(jié)構(gòu)。交換局域網(wǎng)的中心結(jié)點是一種局域網(wǎng)交換機。在典型的交換局域網(wǎng)中，結(jié)點可以通過點對點線路與局域網(wǎng)交換機連接，局域網(wǎng)交換機可以在多對通信結(jié)點之間建立并發(fā)的邏輯連接。星形網(wǎng)的組成通過中心設(shè)備將許多點到點連接。在 網(wǎng)絡(luò)中，這種中心結(jié)構(gòu)是PABX。在數(shù)據(jù)網(wǎng)絡(luò)中，這種設(shè)備是主機或集線器。在星形網(wǎng)中，可以在不影響系統(tǒng)其他設(shè)備工作的

40、情況下，非常容易地增加和減少設(shè)備。綜合上述，按組網(wǎng)規(guī)則，規(guī)劃網(wǎng)絡(luò)要規(guī)劃到未來的三到五年。并且在未來，公司的電腦會不斷增加。比較三種結(jié)構(gòu)，星形連接在將用戶接入網(wǎng)絡(luò)時具有更大的靈活性。當(dāng)系統(tǒng)不斷發(fā)展或系統(tǒng)發(fā)生重大變化時，這種優(yōu)點將變得更加突出，所以選擇星形網(wǎng)絡(luò)最好。具體網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下頁所示：一區(qū)四區(qū)五區(qū)三區(qū)二區(qū)帶雙網(wǎng)卡的網(wǎng)絡(luò)服務(wù)器1中心交換機網(wǎng)絡(luò)服務(wù)器2帶路由功能的VDSL Modem二級交換機PCPCPCPCPC二級交換機PCPCPCPCPC二級交換機PCPCPCPCPC二級交換機PCPCPCPCPC二級交換機PCPCPCPCPC第四章 防御系統(tǒng)針對網(wǎng)絡(luò)系統(tǒng)實際情況，解決網(wǎng)絡(luò)的安全保密問題是當(dāng)

41、務(wù)之急，考慮技術(shù)難度及經(jīng)費等因素，設(shè)計時應(yīng)遵循如下思想：1大幅度地提高系統(tǒng)的安全性和保密性；2保持網(wǎng)絡(luò)原有的性能特點，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性； 3易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；4盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展；5安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；6安全與密碼產(chǎn)品具有合法性，及經(jīng)過國家有關(guān)管理部門的認(rèn)可或認(rèn)證；7分步實施原則：分級管理 分步實施。1采用漏洞掃描技術(shù)，對重要網(wǎng)絡(luò)設(shè)備進行風(fēng)險評估，保證信息系統(tǒng)盡量在最優(yōu)的狀況下運行。2采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有：(1) 防火墻技術(shù)：在網(wǎng)絡(luò)的對外接

42、口，采用防火墻技術(shù)，在網(wǎng)絡(luò)層進行訪問控制。(2) NAT技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。(3) VPN：虛擬專用網(wǎng)(VPN)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,通過一個私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個安全的私有連接。它通過安全的數(shù)據(jù)通道將遠程用戶、公司分支機構(gòu)、公司業(yè)務(wù)伙伴等與公司的企業(yè)網(wǎng)連接起來，構(gòu)成一個擴展的公司企業(yè)網(wǎng)。在該網(wǎng)中的主機將不會覺察到公共網(wǎng)絡(luò)的存在，仿佛所有的機器都處于一個網(wǎng)絡(luò)之中。公共網(wǎng)絡(luò)似乎只由本網(wǎng)絡(luò)在獨占使用，而事實上并非如此。(4）網(wǎng)絡(luò)加密技術(shù)(Ipsec) ：采用網(wǎng)絡(luò)加密技術(shù)，對公網(wǎng)中傳輸?shù)腎P包進行加密和封裝，實現(xiàn)數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性。它可解決網(wǎng)絡(luò)在公網(wǎng)的數(shù)據(jù)傳輸安全性問

43、題，也可解決遠程用戶訪問內(nèi)網(wǎng)的安全問題。(5) 認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機制中可選擇使用。(6) 多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護。(7）網(wǎng)絡(luò)的實時監(jiān)測：采用入侵檢測系統(tǒng)，對主機和網(wǎng)絡(luò)進行監(jiān)測和預(yù)警，進一步提高網(wǎng)絡(luò)防御外來攻擊的能力。3實時響應(yīng)與恢復(fù)：制定和完善安全管理制度，提高對網(wǎng)絡(luò)攻擊等實時響應(yīng)與恢復(fù)能力。4建立分層管理和各級安全管理中心。采用防火墻技術(shù)、NAT技術(shù)、VPN技術(shù)、網(wǎng)絡(luò)加密技術(shù)（Ipsec）、身份認(rèn)證技術(shù)、多層次多級別的防病毒系統(tǒng)、入侵檢測技術(shù)，構(gòu)成網(wǎng)絡(luò)安全的防御系統(tǒng)。物理安全物理安全是保護計算機網(wǎng)絡(luò)設(shè)

44、備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導(dǎo)致的破壞過程。為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，還要防止系統(tǒng)信息在空間的擴散。通常是在物理上采取一定的防護措施，來減少或干擾擴散出去的空間信號。這是政府、軍隊、金融機構(gòu)在興建信息中心時首要的設(shè)置的條件。為保證網(wǎng)絡(luò)的正常運行，在物理安全方面應(yīng)采取如下措施：1產(chǎn)品保障方面：主要指產(chǎn)品采購、運輸、安裝等方面的安全措施。 2運行安全方面：網(wǎng)絡(luò)中的設(shè)備，特別是安全類產(chǎn)品在使用過程中，必須能夠從生成廠家或供貨單位得到迅速的技術(shù)支持服務(wù)。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置備份系統(tǒng)。 3防電磁輻射方面：所有重要涉密的設(shè)備都需安

45、裝防電磁輻射產(chǎn)品，如輻射干擾機。 4保安方面：主要是防盜、防火等，還包括網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備、計算機、安全設(shè)備的安全防護。防火墻技術(shù)防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時執(zhí)行的一種訪問控制尺度,其主要目標(biāo)就是通過控制入、出一個網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過這樣的檢查,防止一個需要保護的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計算機或其他特制地硬件設(shè)備。防火墻可以是獨立地系統(tǒng)，也可以在一個進行網(wǎng)絡(luò)互連地路由器

46、上實現(xiàn)防火墻。用防火墻來實現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：（1）屏蔽路由器：又稱包過濾防火墻。（2）雙穴主機：雙穴主機是包過濾網(wǎng)關(guān)的一種替代。（3）主機過濾結(jié)構(gòu)：這種結(jié)構(gòu)實際上是包過濾和代理的結(jié)合。（4）屏蔽子網(wǎng)結(jié)構(gòu)：這種防火墻是雙穴主機和被屏蔽主機的變形。根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、代理型和監(jiān)測型。入侵檢測入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、進攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是

47、否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執(zhí)行以下任務(wù)來實現(xiàn)：1監(jiān)視、分析用戶及系統(tǒng)活動； 2系統(tǒng)構(gòu)造和弱點的審計； 3識別反映已知進攻的活動模式并向相關(guān)人士報警；4異常行為模式的統(tǒng)計分析；5評估重要系統(tǒng)和數(shù)據(jù)文件的完整性； 6 操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。安全服務(wù)網(wǎng)絡(luò)是個動態(tài)的系統(tǒng)，它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整，網(wǎng)絡(luò)配置的變化，各種操作系統(tǒng)、應(yīng)用程序的變化，管理人員的變化。即使最初制定的安全策略十分可靠，但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用

48、的不斷變化，安全策略可能失效，必須及時進行相應(yīng)的調(diào)整。針對以上問題和網(wǎng)管人員的不足，下面介紹一系列比較重要的網(wǎng)絡(luò)服務(wù)。包括：通信伙伴認(rèn)證通信伙伴認(rèn)證服務(wù)的作用是通信伙伴之間相互確庥身份，防止他人插入通信過程。認(rèn)證一般在通信之前進行。但在必要的時候也可以在通信過程中隨時進行。認(rèn)證有兩種形式，一種是檢查一方標(biāo)識的單方認(rèn)證，一種是通信雙方相互檢查對方標(biāo)識的相互認(rèn)證。通信伙伴認(rèn)證服務(wù)可以通過加密機制，數(shù)字簽名機制以及認(rèn)證機制實現(xiàn)。訪問控制訪問控制服務(wù)的作用是保證只有被授權(quán)的用戶才能訪問網(wǎng)絡(luò)和利用資源。訪問控制的基本原理是檢查用戶標(biāo)識，口令，根據(jù)授予的權(quán)限限制其對資源的利用范圍和程度。例如是否有權(quán)利用主

49、機CPU運行程序，是否有權(quán)對數(shù)據(jù)庫進行查詢和修改等等。訪問控制服務(wù)通過訪問控制機制實現(xiàn)。數(shù)據(jù)保密數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無權(quán)者閱讀。數(shù)據(jù)保密既包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。保密查以對特定文件，通信鏈路，甚至文件中指定的字段進行。數(shù)據(jù)保密服務(wù)可以通過加密機制和路由控制機制實現(xiàn)。業(yè)務(wù)流分析保護業(yè)務(wù)流分析保護服務(wù)的作用是防止通過分析業(yè)務(wù)流，來獲取業(yè)務(wù)量特征，信息長度以及信息源和目的地等信息。業(yè)務(wù)流分析保護服務(wù)可以通過加密機制，偽裝業(yè)務(wù)流機制，路由控制機制實現(xiàn)。數(shù)據(jù)完整性保護數(shù)據(jù)完整性保護服務(wù)的作用是保護存儲和傳輸中的數(shù)據(jù)不被刪除，更改，插入和重復(fù)，必要時該服務(wù)也可以包含一定的恢復(fù)功能。

50、數(shù)據(jù)完整性保護服務(wù)可以通過加密機制，數(shù)字簽名機制以及數(shù)據(jù)完整性機制實現(xiàn)簽字簽字服務(wù)是用發(fā)送簽字的辦法來對信息的接收進行確認(rèn)，以證明和承認(rèn)信息是由簽字者發(fā)出或接收的。這個服務(wù)的作用在于避免通信雙方對信息的來源發(fā)生爭議。簽字服務(wù)通過數(shù)字簽名機制及公證機制實現(xiàn)。第五章 小區(qū)網(wǎng)設(shè)備選型本小區(qū)網(wǎng)設(shè)備選型中，采用了華為S5328C-EI-24S核心層交換機、華為Quidway S3952P-SI匯聚層交換機、以及若干個3COM(H3C)華為 S1526接入層交換機，其各層設(shè)備具體性能參數(shù)如下：小區(qū)網(wǎng)核心層設(shè)備核心層采用華為S5328C-EI-24S交換機，其具體參數(shù)如下：華為S5328C-EI-24S主要

51、參數(shù)交換機類型運營級千兆以太網(wǎng)交換機應(yīng)用層級三層傳輸速率10Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)端口結(jié)構(gòu)模塊化端口數(shù)量28接口介質(zhì)24個100/1000Base-X SFP, 4個10/100/1000Base-T Combo, 上行2個10GE XFP插卡或者4個1000Base-X SFP傳輸模式全雙工交換方式存儲-轉(zhuǎn)發(fā)背板帶寬256Gbps包轉(zhuǎn)發(fā)率66MppsVLAN支持支持QOS支持支持網(wǎng)管支持支持網(wǎng)管功能支持Telnet 遠程配置、維護、支持SNMPv1/v2/v3、RMON、iManager 網(wǎng)管系統(tǒng)、集群管理HGMP、支持系統(tǒng)日志、分級告警MAC地址表32K安全性用

52、戶分級管理和口令保護、支持防止DoS、ARP 攻擊功能、支持IP、MAC、端口的組合綁定、支持端口隔離、支持MAC 地址黑洞、支持MAC 地址學(xué)習(xí)數(shù)目限制、支持IEEE 802.1X 認(rèn)證, 支持單端口最大用戶數(shù)限制、支持AAA 認(rèn)證, 支持Radius、TACACS+等多種方式、支持CPU 保護功能尺寸(mm)44242043.6 mm重量(Kg) #啟動路由器后進入用戶模式router0enrouter0#configure terminalrouter0(config)#router0(config)#router ospf 100 #配置OSPF路由協(xié)議router0(config)#

53、network .0 area 0router0(config)#redistribute rip subnets router0(config)#exitrouter0(config)#ip nat pool router0.131 0.139netmask #定義用于轉(zhuǎn)換的外部全局地址池router0(config)#access-list 1 permit any #定義需要轉(zhuǎn)換的地址范圍router0(config)#ip nat inside source list 1 pool router0 overload#配置端口地址轉(zhuǎn)換router0(config)#interface f

54、astEthernet 0/0 #定義f0/0為內(nèi)部接口router0(config-if)#ip address router0(config-if)#ip nat insiderouter0(config-if)#no shutdownrouter0(config-if)#interface fastEthernet 0/1#定義F0/1外部接口router0(config-if)#router0(config-if)#ip nat outsiderouter0(config-if)#no shutdownrouter0(config-if)exitrouter0(config)#acce

55、ss-list deny 1 host #配置ACL訪問控制router0(config)#access-list 1 permit anyrouter0(config)#exitrouter0(config)#interface fastEthernet 0/1 #將規(guī)則定義到指定的接口router0(config-if)#ip access-group 1 outrouter0(config-if)#exitrouter0(config)# #返回特權(quán)模式router0#write #保存配置華為S5328C-EI-24S交換機的具體配置：啟動交換機后默認(rèn)進入用戶模式Switch #進入特

56、權(quán)模式Switchenable #進入全局模式Switch#configure terminal Switch(config)#hostname Center #交換機名稱配置Center(config)#enable password 123456 #配置進入特權(quán)模式口令Center(config)#enable secret CenterCenter(config)#vtp domain Center #配置VTP，設(shè)VTP域名為CenterCenter(config)#vtp mode server #將VTP設(shè)置為服務(wù)器模式Center(config)#Center(config)#exit #返回到特權(quán)模式Center#configure terminal #進入全局模式Center(config)#interface fas