河北江州市政務(wù)網(wǎng)方案設(shè)計

1、 河北省江州市 政務(wù)網(wǎng)設(shè)計 網(wǎng)絡(luò)設(shè)計投標(biāo)書 設(shè)計院校: 黃岡師范學(xué)院 設(shè)計小組: 第五小組 小組成員：章波 程浩 衛(wèi)露楠 張思琴 彭四婷 方案目錄第一章概述1.1 項目背景1.2 項目范圍1.3 項目目標(biāo)1.4 項目設(shè)計要求 1.5 要求完成的主要內(nèi)容第二章用戶需求 2.1. 技術(shù)目標(biāo)2.2用戶需求的基本情況2.3. 設(shè)計原則2.4. 信息點統(tǒng)計表第三章 綜合布線設(shè)計3.1. 綜合布線系統(tǒng)設(shè)計圖 3.2. 網(wǎng)絡(luò)整體分布示意圖 3.3. 工作區(qū)子系統(tǒng)設(shè)計介紹 3.4. 水平區(qū)子系統(tǒng)設(shè)計介紹 3.5. 垂直主干線子系統(tǒng)設(shè)計介紹3.6. 設(shè)備間子系統(tǒng)設(shè)計介紹3.7. 綜合布線系統(tǒng)的安裝與施工指南3.

2、8. 產(chǎn)品選型說明第四章網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計 4.1. 拓撲結(jié)構(gòu)圖 4.2. 設(shè)計說明 4.3. 主要設(shè)備選型說明第五章VLAN、IP規(guī)劃 5.1. VLAN、IP技術(shù)介紹 5.2. VLAN、IP劃分方案（VLSM/CIDR）第六章網(wǎng)絡(luò)管理與安全方案 6.1. 網(wǎng)絡(luò)管理方案 6.2. 網(wǎng)絡(luò)管理規(guī)劃 6.3. 網(wǎng)管信息四要素 6.4. 網(wǎng)絡(luò)管理技術(shù) 6.5. 網(wǎng)絡(luò)安全方案 第七章 項目預(yù)算7.1. 材料清單7.2. 設(shè)備清單7.3. 預(yù)算總計 第一章 概述1.1項目背景為了提高政府內(nèi)部工作效率，加速信息化辦公，河北省江州市決定建設(shè)一個覆蓋全市6個區(qū)縣(滄縣、青縣、景縣、丘縣、雄縣、易縣)的局域網(wǎng)。

3、基本情況如下:市委機要局機房作為整個網(wǎng)絡(luò)的中心機房，為了保證網(wǎng)絡(luò)的安全和保密性從市到區(qū)縣均采用電信提供的專線連接。其中市到6個區(qū)縣都是電信專線E1線路。市級用戶包含市委市政府兩棟大樓里的所有用戶。原來的網(wǎng)絡(luò)為大家上互聯(lián)網(wǎng)用的，為了網(wǎng)絡(luò)安全，本次局域網(wǎng)內(nèi)網(wǎng)系統(tǒng)，全部新建。1號辦公大樓有6層，樓層高為3米，樓長度為60米，每層用戶數(shù)量為在75個信息點，其中網(wǎng)絡(luò)中心設(shè)在3層中間的房間。2號辦公大樓為5層，樓層高為3米，樓長度為70米，每層用戶數(shù)量為45個信息點?？h級用戶包含縣委、縣政府兩棟樓。每棟樓有4層，每層樓用戶數(shù)量大概在20人左右。1.2項目范圍江州市以及覆蓋全市6個區(qū)縣(滄縣、青縣、景縣、丘

4、縣、雄縣、易縣)。市級用戶包含市委市政府兩棟大樓里的所有用戶。原來的網(wǎng)絡(luò)為大家上互聯(lián)網(wǎng)用的，為了網(wǎng)絡(luò)安全，本次局域網(wǎng)內(nèi)網(wǎng)系統(tǒng)，全部新建。1.3項目目標(biāo)保證網(wǎng)絡(luò)的安全和保密性，實現(xiàn)市政府到各個區(qū)縣的安全通訊。1.4. 項目設(shè)計要求1、要求設(shè)計市委機要局辦公1號大樓的綜合布線示意圖和網(wǎng)絡(luò)整體分布示意圖、光纜選材及配件選用等.2、畫出網(wǎng)絡(luò)綜合設(shè)計拓撲結(jié)構(gòu)圖，并標(biāo)明設(shè)備數(shù)量及所選設(shè)備的基本規(guī)格。3、針對該案例做出解決方案，方案中必須包括：設(shè)計原則、設(shè)計思路、信息點統(tǒng)計表、需求分析、綜合布線設(shè)計、網(wǎng)絡(luò)規(guī)劃設(shè)計、項目實施計劃、售后服務(wù)承諾等內(nèi)容，總體設(shè)計內(nèi)容不得超過30頁（A4幅面）。4、做出IP地址規(guī)劃

5、說明，VLAN劃分說明5、要求根據(jù)項目需求做出設(shè)備配置清單（包含綜合布線設(shè)備清單和網(wǎng)絡(luò)平臺配置清單，具體選材見附件的可選設(shè)備材料單）。 1.5 要求完成主要內(nèi)容：1、綜合布線示意圖2、網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖3、方案設(shè)計的思路4、項目的實施計劃5、IP地址規(guī)劃說明6、V-LAN劃分說明7、整體方案的設(shè)計8、設(shè)備配置清單 第二章用戶需求2.1. 技術(shù)目標(biāo)網(wǎng)絡(luò)隔離：充分利用交換機的交換路由功能，根據(jù)業(yè)務(wù)管理需要劃分VLAN；防火墻技術(shù)；虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)；病毒防治技術(shù)主要運用內(nèi)網(wǎng)（局域網(wǎng)）技術(shù)。 2.2用戶需求的基本情況。（1）市委機要局機房作為整個網(wǎng)絡(luò)的中心機房，為了保證網(wǎng)絡(luò)的安全和保密性從市到區(qū)

6、縣均采用電信提供的專線連接。（2）其中市到6個區(qū)縣都是電信專線E1線路。（3）市級用戶包含市委市政府兩棟大樓里的所有用戶。原來的網(wǎng)絡(luò)為大家上互聯(lián)網(wǎng)用的，為了網(wǎng)絡(luò)安全，本次局域網(wǎng)內(nèi)網(wǎng)系統(tǒng)，全部新建。（4）1號辦公大樓有6層，樓層高為3米，樓長度為60米，每層用戶數(shù)量為在75個信息點，其中網(wǎng)絡(luò)中心設(shè)在3層中間的房間。（5）2號辦公大樓為5層，樓層高為3米，樓長度為70米，每層用戶數(shù)量為45個信息點?？h級用戶包含縣委、縣政府兩棟樓。每棟樓有4層，每層樓用戶數(shù)量大概在20人左右。 2.3. 設(shè)計原則安全保密性-系統(tǒng)提供必要的安全保護手段，防止由于操作人員的失誤以及系統(tǒng)的意外故障而造成數(shù)據(jù)丟失或破壞；同

7、時能防止系統(tǒng)外部的侵入和操作人員的非法操作 ,保證網(wǎng)絡(luò)的安全和保密性，實現(xiàn)市政府到各個區(qū)縣的安全通訊?？蓴U展性-考慮到今后業(yè)務(wù)的發(fā)展需要，系統(tǒng)可以隨時進行升級擴展，可將新技術(shù)應(yīng)用于原有設(shè)備上，不需要丟棄原有設(shè)備造成浪費。可維護性-網(wǎng)絡(luò)系統(tǒng)便于管理和維護，可隨時對系統(tǒng)進行維護和檢測，以確保網(wǎng)絡(luò)系統(tǒng)的安全性。靈活性-系統(tǒng)結(jié)構(gòu)必須靈活，便于日后需要對網(wǎng)絡(luò)進行調(diào)整時可隨時滿足要求，而不必重新大幅度更改。可靠性-系統(tǒng)具備網(wǎng)絡(luò)診斷、測試和在線故障恢復(fù)能力，關(guān)鍵設(shè)備、線路能做到實時備份和自動故障切換，保證網(wǎng)絡(luò)時時都正常工作。高性價比性-一次性投資，永久受益，用最少的投資獲取最大的收益。2.4. 信息點統(tǒng)計表

8、 市縣樓棟 信息點數(shù)（個）江州市 1號樓450 2號樓 225 滄縣 縣委樓 80 縣政府樓 80 青縣 縣委樓80縣政府樓80 景縣縣委樓80縣政府樓80 丘縣縣委樓80縣政府樓80 雄縣縣委樓80縣政府樓80 易縣縣委樓80縣政府樓80 總計1635 第三章 綜合布線設(shè)計3.1. 綜合布線系統(tǒng)設(shè)計圖 采用綜合布線方案概述（含綜合布線系統(tǒng)結(jié)構(gòu)圖）設(shè)計好市委機要局機房的綜合布線：市委市政府有兩棟大樓（1、2號）其中中心設(shè)備放在1號樓的三層中間的房間位置。根據(jù)信息點的數(shù)目，每兩層樓設(shè)置一個管理子系統(tǒng)。設(shè)計好各個區(qū)縣的綜合布線：縣政府各有兩棟樓（1、2號），其中中心設(shè)備放在1 號樓的一層。各個樓的

9、管理子系統(tǒng)都設(shè)置在一層，考慮到各個縣區(qū)的信息點的數(shù)目，各個樓只設(shè)置一個管理子系統(tǒng)，且放在一樓。設(shè)計市到縣的綜合布線：電信專線E1線路，構(gòu)成建筑群子系統(tǒng)。3.2 網(wǎng)絡(luò)整體分布示意圖 區(qū)縣大樓綜合布線圖3.3 工作區(qū)子系統(tǒng)設(shè)計介紹工作子系統(tǒng)由用戶終端設(shè)備連接至信息插座的器件組成，它包括裝配軟線，連接器和連接所需的擴展軟線，信息插座由墻上，地上，桌上，軟基型多種，標(biāo)準(zhǔn)有RJ45/RJ11單，雙，多孔等各種型號。這里我們采用超五類信息模塊，單口信息面板設(shè)計，安裝方式采用暗裝底盒固定。 水平區(qū)子系統(tǒng)設(shè)計介紹水平電為超5類UTP雙絞線，數(shù)據(jù)主干線纜為6芯室內(nèi)多模光纜。3.5 垂直主干線子系統(tǒng)設(shè)計介紹主干線

10、子系統(tǒng)提供建筑物的主干電纜的路由，是綜合布線的神經(jīng)中樞，實現(xiàn)主配線架和中間配線架的連接。我們采用多模光纖作為主干傳輸介質(zhì)。3.6 設(shè)備間子系統(tǒng)設(shè)計介紹設(shè)備間子系統(tǒng)把中繼線交叉處和布線交叉連接處鏈接到應(yīng)用系統(tǒng)設(shè)備上，由設(shè)備室的電纜及連接器和相關(guān)支撐硬件組成。把公用系統(tǒng)設(shè)備的各種不同設(shè)備連接起來。市政府1號樓設(shè)計三個設(shè)備間子系統(tǒng)，分別分布在一樓、三樓和五樓，其中三樓同時作為設(shè)備中心。3.7 綜合布線系統(tǒng)的安裝與施工指南按照綜合布線圖，將施工交付給工程人員，注意施工過程中的問題；網(wǎng)線離信息點的距離至少2m；線纜應(yīng)盡量避免電子等干擾；應(yīng)保證到所有的信息出口的距離小于90米；在一個布線鏈路中，不應(yīng)混用標(biāo)

11、稱特性阻抗不同的電纜，也不能混用光纖芯徑不同的光纖；電纜彎曲半徑至少是電纜直徑的4倍；布線遵循整潔，美觀等標(biāo)準(zhǔn)。 產(chǎn)品選型說明我們所選的產(chǎn)品主要是根據(jù)需求，合理的選擇產(chǎn)品。主要體現(xiàn)了合理性、實時性、實用性，舉要較高的性價比。網(wǎng)絡(luò)拓撲結(jié)構(gòu)設(shè)計4.1 拓撲結(jié)構(gòu)圖 4.2 設(shè)計說明如上拓撲結(jié)構(gòu)圖中，用入侵檢測系統(tǒng)IDS連接方式連接內(nèi)網(wǎng)和服務(wù)器，其中市區(qū)服務(wù)器，防火墻，集線器，路由器之間都是用超五類雙絞線連接，核心交換機和匯聚層交換機之間用多模光纖連接，為防止網(wǎng)絡(luò)故障，添加一個備用的核心交換機以提高網(wǎng)絡(luò)的連通性和可靠性。市區(qū)路由器接到電信專線E1線路連至六個縣的路由器，按用戶要求，縣每棟樓配置一個相應(yīng)

12、的匯聚層交換機，由于用戶數(shù)不多，為充分利用資源，可將同縣中1棟樓的匯聚層交換機用多模光纖連接到另一棟樓的匯聚層交換機上使之充當(dāng)核心交換機，匯聚層交換機與各樓棟接入層交換機之間用超五類雙絞線連接，然后分別在不同的樓層中劃分不用的Vlan便于更好地安全地管理，其它縣的網(wǎng)絡(luò)結(jié)構(gòu)類似。4.3 主要設(shè)備選型說明（交換機、路由器、防火墻、入侵檢測、服務(wù)器等） 交換機：匯聚層交換機背板帶寬盡量大，端口數(shù)盡量大于6即可：匯聚層交換機背板帶寬量大，端口盡量多；接入層交換機接口要多. 路由器：默認網(wǎng)關(guān)負責(zé)整個網(wǎng)絡(luò)和Internet的接口，因此要求吞吐量和幾口帶寬在1000MB以上，端口數(shù)不要求很多，滿足需要即可；

13、每個縣的路由器要求不如默認網(wǎng)關(guān)這么嚴格，選擇普通的路由器即可. 防火墻：防火墻的整個局域網(wǎng)的基本安全措施，可以防御一些基本的網(wǎng)絡(luò)入侵。 入侵檢測：政府部門要求信息保密性比較強，入侵檢測是必不可少的。 服務(wù)器：政府的服務(wù)器要求沒有商業(yè)上的要求那么高，一般只是一些簡單的Web、FTP服務(wù)，用兩臺服務(wù)器來提供Web、FTP、DNS、WINS、DHCP即可。VLAN、IP規(guī)劃5.1 VLAN、IP技術(shù)介紹虛擬局域網(wǎng)VLAN（Virtual Local Area Network）又稱虛擬網(wǎng)，從網(wǎng)絡(luò)管理上被定義為一個位置無關(guān)的局域網(wǎng)廣播域。VLAN技術(shù)是隨著交換技術(shù)的出現(xiàn)而產(chǎn)生的，在一個校園網(wǎng)內(nèi)劃分若干虛

14、擬子網(wǎng)有以下好處： 1隔離廣播。劃分虛擬子網(wǎng)后，所有廣播將局限在本VLAN子網(wǎng)內(nèi)，從而有效的提高了網(wǎng)絡(luò)整體的有效帶寬，隔絕了網(wǎng)絡(luò)的廣播風(fēng)暴。 2方便的工作組劃分和管理。劃分虛網(wǎng)后，對工作組的劃分不再局限于他們的物理位置，而可根據(jù)他們的功能進行劃分，從而實現(xiàn)網(wǎng)絡(luò)物理結(jié)構(gòu)和虛擬子網(wǎng)的無關(guān)性。 3增強網(wǎng)絡(luò)安全性。由于各VLAN子網(wǎng)在邏輯上的獨立性，可對各虛網(wǎng)按實際情況分別定義安全策略，有效的避免非法入侵，提高各虛網(wǎng)的安全性。 在第三層交換機面世之前，交換機所提供的VLAN劃分方式只有兩種。第一是基于端口。即提供把某個或某幾個端口上的機器劃分為一個VLAN的方法，這和物理網(wǎng)段較為類似，無法實現(xiàn)位置無關(guān)

15、的虛擬網(wǎng)配置。第二是基于MAC地址的。即將子網(wǎng)以MAC地址來劃分，這種策略實現(xiàn)了位置無關(guān)的虛擬網(wǎng)。ip地址管理確定我們的地址需要 選擇正確的掩碼。獲得足夠的I P地址 VLAN、IP劃分方案（VLSM/CIDR）我們按照每層樓劃分一個vlan，即每層樓的用戶之間可以相互通信。江州市的核心機房設(shè)在1號樓3層可以與市政府以及縣區(qū)政府之間通信，即可以與所有用戶進行通信。江州市的2號樓的中心機房設(shè)在3層，可以整棟樓之間進行通信。其余六個縣區(qū)：1號樓的中心機房設(shè)在2層，可以與12號樓的所有用戶進行通信。2號樓的2層可以與2號樓的所有用戶進行通信。其余的都是每層的用戶可以相互通信。每個vlan都有足夠的i

16、pvlan 的劃分江州市:1號樓1-6樓，每樓都是75個信息點，在私有C類地址中進行劃分， 2縣區(qū)：1、2號樓每層都是20個信息點，在主機號中劃分3位做子網(wǎng)號。每個vlan都有足夠的ip用與擴充，充分體現(xiàn)了可擴展性。服務(wù)器名IP劃分DHCPDNSFTPWeb 市縣樓棟樓層電腦數(shù)量Vlan號Vlan IPIP網(wǎng)段可用范圍江州市1號樓17511 126/2527512 255/2537513 126/2547514 255/2557515 126/2567516 255/252號樓14521 62/2624522 126/2634523 180/2644524 255/265452562/26市縣

17、樓棟樓層電腦數(shù)量Vlan號Vlan IPIP網(wǎng)段可用范圍滄縣1號樓12010130/2722010262/26320103194/26420104126/262號樓120201158/26220202190/26320203222/26420204255/26 市縣樓棟樓層電腦數(shù)量Vlan號Vlan IPIP網(wǎng)段可用范圍青縣1號樓12011130/2722011262/26320113194/26420114126/262號樓120211158/26220212190/26320213222/26420214255/26 市縣樓棟樓層電腦數(shù)量Vlan號Vlan IPIP網(wǎng)段可用范圍景縣1號樓1

18、2012130/2722012262/26320123194/26420124126/262號樓120221158/26220222190/26320223222/26420224255/26 市縣樓棟樓層電腦數(shù)量Vlan號Vlan IPIP網(wǎng)段可用范圍丘縣1號樓12013130/2722013262/26320133194/26420134126/262號樓120231158/26220232190/26320233222/26420234255/26 市縣樓棟樓層電腦數(shù)量Vlan號Vlan IPIP網(wǎng)段可用范圍雄縣1號樓120141192.168. 10.0/27192.168. 10.2

19、30/272201423/27192.168. 10.3462/26320143194/26420144126/262號樓120241158/26220242190/26320243222/26420244255/26 市縣樓棟樓層電腦數(shù)量Vlan號Vlan IPIP網(wǎng)段可用范圍易縣1號樓120151192.168. 11.0/27192.168. 11.230/272201523/27192.168. 11.3462/26320153194/26420154126/262號樓120251158/26220252190/26320253222/2

20、6420254255/26 第六章網(wǎng)絡(luò)管理與安全方案 6.1 網(wǎng)絡(luò)管理方案（設(shè)備與端口、虛擬網(wǎng)管理、性能管理、故障管理、配置管理、安全管理、記帳管理、網(wǎng)絡(luò)管理工具選取）配制管理：對設(shè)備和系統(tǒng)進行各類網(wǎng)絡(luò)參數(shù)的定義和設(shè)置故障管理：查找并解決因硬件和軟件問題而引起的網(wǎng)絡(luò)故障性能管理：使用特定的管理軟件和設(shè)備對系統(tǒng)運行效率進行監(jiān)測，通過監(jiān)測數(shù)據(jù)的統(tǒng)計分析作為網(wǎng)絡(luò)系統(tǒng)改進和升級的依據(jù)安全管理：數(shù)據(jù)私有性管理：設(shè)備配制表，口令，數(shù)據(jù)庫等等 授權(quán)管理：設(shè)備和文件系統(tǒng)的管理權(quán)限 訪問控制：對系統(tǒng)資源的訪問控制，如路由和交換的ACL，上網(wǎng)限制 加密管理：口令加密，加密證書，SSL 安全日志管理：對網(wǎng)絡(luò)設(shè)備和服

21、務(wù)器每天產(chǎn)生的日志進行分析，找出異常的記錄，進而對安全漏洞進行修補，防護，清除 計費管理: 記錄用戶對網(wǎng)絡(luò)資源的使用情況（流量，時間，空間等），計算用戶占有網(wǎng)絡(luò)系統(tǒng)資源的各項費用的和總計費用6. 2 網(wǎng)絡(luò)管理規(guī)劃：了解網(wǎng)絡(luò)結(jié)構(gòu)勾畫整體網(wǎng)絡(luò)結(jié)構(gòu)和組成部分：該部分是整個網(wǎng)絡(luò)各部分，各網(wǎng)段內(nèi)部和相互之間連接情況的勾畫，包括局域網(wǎng)，園區(qū)網(wǎng)，廣域網(wǎng)，互聯(lián)網(wǎng)等等勾畫核心設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)：勾畫出核心網(wǎng)絡(luò)設(shè)備（中心交換機，中心路由器）的內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，包括Vlan，IP，子網(wǎng)，物理和邏輯組件以及各組件之間的關(guān)聯(lián)描述以上兩部分的網(wǎng)絡(luò)參數(shù) 啟用SNMP 啟用交換機的SNMP Switch(config)#interf

22、ace Vlan 1 Switch(config-if)#ip address Switch(config-if)#no shut Switch(config)#snmp-server community ro(rw)(一般口令串設(shè)置為public,只讀權(quán)限) 啟用路由器的SNMP Switch(config)#snmp-server community ro(rw)(一般口令串設(shè)置為public,只讀權(quán)限) 啟用服務(wù)器的SNMP ：Windows SNMP服務(wù)是作為系統(tǒng)的組件添加 網(wǎng)絡(luò)管理軟件 網(wǎng)管軟件分類 網(wǎng)管軟件結(jié)構(gòu) Web網(wǎng)管WBM 網(wǎng)絡(luò)監(jiān)測軟件 MRTG ：基于SNMP的網(wǎng)絡(luò)流量統(tǒng)工

23、具，通過SNMP協(xié)議從外設(shè)得到其它流量信息并將流量負載以包含JPEG圖形的HTML文檔直觀地顯示 IPSENTRY ：周期性循環(huán)檢測網(wǎng)絡(luò)結(jié)點通斷或主機上運行的業(yè)務(wù)，自動產(chǎn)生HTML的檢驗結(jié)果，并按日期記錄Log文件，這些Log文件可以被導(dǎo)入到數(shù)據(jù)庫中，按任意時間段做出網(wǎng)絡(luò)統(tǒng)計報表 警報方式：當(dāng)檢測的服務(wù)故障時，IPSentry可以通過播放聲音或EMAIL或播打電話（短信）或運行其它軟件來提醒管理員 IPTOOLS ：IP Moniter（網(wǎng)絡(luò)數(shù)據(jù)收發(fā)/錯誤實時統(tǒng)計）能實時圖形顯示本地IP的TCP，UDP和ICMP協(xié)議的接收，發(fā)送和錯誤數(shù)據(jù)報的數(shù)目 Hosts Moniter(網(wǎng)絡(luò)結(jié)點通斷監(jiān)測)

24、它可周期性的ping網(wǎng)絡(luò)結(jié)點，并在故障或恢復(fù)的時候通知管理員 Sniffer ：利用計算機網(wǎng)絡(luò)接口截獲數(shù)據(jù)報文的一種工具，sniffer主機的網(wǎng)卡處于promiscuous(混雜模式)的狀態(tài)，這樣接收到同一網(wǎng)段（同一個沖突域的每一個信息包）。所以也就存著sniffer可以用來捕獲密碼，Email信息，秘密文檔等一些沒有加密的信息 Sniffer工作在網(wǎng)絡(luò)環(huán)境中的底層，Sniffer主機的網(wǎng)卡具備“廣播地址”，它對所以探測到的數(shù)據(jù)幀都產(chǎn)生一個硬件中斷以便提醒操作系統(tǒng)處理網(wǎng)卡接收到的每個報文6.3 網(wǎng)管信息四要素SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）管理信息庫（MIB）代理（Agent）：運行在網(wǎng)絡(luò)設(shè)備的軟

25、件模塊，它直接操作設(shè)備本地的管理信息庫（MIB） 讀取MIB中各種參數(shù)；修改MIB中各種參數(shù)管理器（管理軟件）：運行在網(wǎng)管工作站上的網(wǎng)絡(luò)設(shè)備配制，管理的監(jiān)測的網(wǎng)管軟件，在SNMP的支持下，向代理發(fā)送指令執(zhí)行各種操作。6.4 網(wǎng)絡(luò)管理技術(shù) Windows網(wǎng)絡(luò)命令 SNMP的典型應(yīng)用 設(shè)備配制 ：通過SNMP可實現(xiàn)可視化設(shè)備配制 網(wǎng)絡(luò)發(fā)現(xiàn) ：網(wǎng)絡(luò)結(jié)點信息；網(wǎng)絡(luò)中MAC及IP信息；網(wǎng)絡(luò)拓樸結(jié)構(gòu)及IP網(wǎng)絡(luò)結(jié)構(gòu) 流量監(jiān)測 ：實時（Real-Time）流量監(jiān)測:Bandwidth Gauges(流量度量)能夠監(jiān)測網(wǎng)絡(luò)設(shè)備接口實時（精確到3秒）收發(fā)流量，它使用SNMP與網(wǎng)絡(luò)設(shè)備通信獲取流量狀態(tài)。適用于動態(tài)監(jiān)

26、測網(wǎng)絡(luò)流量，有利于發(fā)現(xiàn)和排除突發(fā)的網(wǎng)絡(luò)流量引起的故障 流量記錄監(jiān)測：SNMP Real-Time Graph能夠監(jiān)測并記錄網(wǎng)絡(luò)接口（精確到每秒）的收發(fā)流量。它使用SNMP與網(wǎng)絡(luò)設(shè)備通訊獲取流量狀態(tài)，適用于動態(tài)監(jiān)測并記錄網(wǎng)絡(luò)流量，有利于發(fā)現(xiàn)和排除突發(fā)的網(wǎng)絡(luò)流量引起的故障 性能監(jiān)測:（cpu性能，程序運行性能，線路流量性能，網(wǎng)絡(luò)延遲性能，網(wǎng)絡(luò)轉(zhuǎn)發(fā)性能，網(wǎng)絡(luò)錯誤/丟棄性能等等） 網(wǎng)絡(luò)數(shù)據(jù)分析 網(wǎng)絡(luò)故障監(jiān)測 ：周期性循環(huán)檢測網(wǎng)絡(luò)通訊及服務(wù)，故障時自動報警，每次輪循刷新檢測報告，并記錄各子系統(tǒng)及總體可靠性報表 遠程控制與管理 ：PcAnywhere C/S結(jié)構(gòu)（經(jīng)典派） RemotelyAnywhere

27、 B/S結(jié)構(gòu)（現(xiàn)代派） Windows 遠程桌面虛擬終端（Win2003專有） X-Window linux/Unix虛擬終端（經(jīng)典派）網(wǎng)絡(luò)安全方案（物理安全措施、VLAN劃分、防火墻、入侵檢測系統(tǒng)、安全訪問策略、虛擬專用網(wǎng)絡(luò)VPN、病毒防治、數(shù)據(jù)安全（磁盤陣列、雙機熱備）數(shù)據(jù)安全（磁盤陣列、雙機熱備） 磁盤陣列軟件RAID一些網(wǎng)絡(luò)操作系統(tǒng)可以使用標(biāo)準(zhǔn)的SCSI適配卡支持和管理驅(qū)動器。一些網(wǎng)絡(luò)操作系統(tǒng)支持RAID0，RAID1和RAID5。由于是操作系統(tǒng)下實現(xiàn)RAID，軟RAID不能保護系統(tǒng)盤。亦即系統(tǒng)分區(qū)不能參與實現(xiàn)RAID。有些操作系統(tǒng)，RAID的配置信息存在系統(tǒng)信息中，而不是存在硬盤上；

28、當(dāng)系統(tǒng)崩潰，需重新安裝時，RAID的信息也會丟失。當(dāng)運行I/O增強應(yīng)用程序，如文件服務(wù)器或應(yīng)用程序服務(wù)器，可適當(dāng)?shù)氖褂密浖AID。RAID 5是CPU的增強方式，所以不建議使用軟件RAID在增強的處理器服務(wù)器中。磁盤的容錯技術(shù)并不等于完全支持在線更換，熱插拔或熱交換，有些操作系統(tǒng)不能支持系統(tǒng)不經(jīng)過重啟的在線熱交換。能否支持錯誤硬盤的熱交換與操作系統(tǒng)有關(guān)。 NetWare支持 RAID 1 (鏡像和雙工) 。 Windows NT 、Windows2000、LINUX、OPENSERVER支持RAID 0, RAID1和RAID5。另一種方案是配置系統(tǒng)在線擴充，服務(wù)器中配置一塊備用硬盤，當(dāng)系統(tǒng)

29、中沒有硬盤錯誤時，它處于等待狀態(tài)，當(dāng)RAID5或RAID1中出現(xiàn)硬盤錯誤時，它可以自動取代壞盤，當(dāng)系統(tǒng)確認后，即可成為陣列的一部分。硬件RAID硬件 RAID是采用集成的陣列卡或?qū)Ｓ玫年嚵锌▉砜刂朴脖P驅(qū)動器，這樣可以極大節(jié)省服務(wù)器系統(tǒng)CPU和操作系統(tǒng)的資源。從而使網(wǎng)絡(luò)服務(wù)器的性能獲得很大的提高。RAID控制器對主系統(tǒng)，是藉由連接至其存取接口(目前以SCSI 為主)作信道。換言之，它在主系統(tǒng)的存取接口上，是一個獨立的直接存取儲存體DASD Direct Access Storage Device。 而這個大的儲存體內(nèi)，可以有不只一個的邏輯磁盤LUN Logical Unit Number。 RA

30、ID控制器，對下管理多顆數(shù)組硬盤機們。而主系統(tǒng)是不會看到或直接管理該硬盤的。 現(xiàn)在的RAID卡產(chǎn)品，都支持在線更換，熱插拔或熱交換。并在部分操作系統(tǒng)下實現(xiàn)軟件監(jiān)控和管理。雙機熱備第一，確定對于雙機熱備或其他高可用性的要求。有哪些服務(wù)器在運行 服務(wù)器的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件都是什么 使用什么樣的應(yīng)用系統(tǒng) 能夠承擔(dān)多長時間的服務(wù)中斷 數(shù)據(jù)量、數(shù)據(jù)寫入的頻繁程度 硬件條件 大致的預(yù)算 第二，確定雙機熱備及其他高可用性方案的模式。1. 決定要不要備、誰和誰備。采用數(shù)據(jù)庫雙機熱備，應(yīng)用服務(wù)器集群，是主從方式還是互備？亦或是多臺服務(wù)器？雙機熱備與數(shù)據(jù)備份的關(guān)系；雙機熱備、雙機互備與雙機雙工的區(qū)別；

31、Web服務(wù)器和應(yīng)用服務(wù)器的負載均衡2. 決定如何備。就雙機熱備而言，是采用共享存儲方式、純軟件備份方式、備機方式，甚至什么都不采用？基于存儲共享的雙機熱備方案術(shù)語解釋：磁盤陣列；純軟件方式的雙機熱備方案第三，選擇確定具體的設(shè)備、軟件的型號。不同的軟件、存儲設(shè)備之間存在兼容性的問題，因此一定要統(tǒng)一考慮，并提前及時咨詢專業(yè)人員。切忌出現(xiàn)采購了雙機軟件對相關(guān)的存儲設(shè)備不兼容等問題。第四，實施。第五，在雙機熱備或其他高可用性方案實施完成后，一定要進行測試。第六，在使用階段，要定期對雙機熱備或其他高可用性系統(tǒng)是否能夠正常切換進行測試。入侵檢測系統(tǒng)IDS侵檢測：顧名思義，便是對入侵行為的發(fā)覺。它通過對計算

32、機網(wǎng)絡(luò)或計算機系統(tǒng)中得若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)（Intrusion Detection System,簡稱IDS）。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運行。方正方通入侵檢測系統(tǒng)是具備2Gbps網(wǎng)絡(luò)流量處理能力、同時支持八個監(jiān)測端口的實時網(wǎng)絡(luò)入侵檢測系統(tǒng)。方通入侵檢測系統(tǒng)可監(jiān)控網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流，自動檢測和響應(yīng)非授權(quán)活動、內(nèi)部網(wǎng)絡(luò)濫用和內(nèi)部信息泄露等行為，

33、使管理員在網(wǎng)絡(luò)和系統(tǒng)受到危害之前發(fā)現(xiàn)并阻止非法入侵。方通入侵檢測系統(tǒng)可在廣域網(wǎng)上進行大規(guī)模、分布式部署，以及實現(xiàn)遠程與集中相結(jié)合的分級管理。方正方通入侵防護系統(tǒng)結(jié)合防火墻和入侵檢測技術(shù)結(jié)合入侵檢測和防火墻兩種技術(shù)，解決了以前防火墻在阻斷有害流量時存在的問題：當(dāng)阻斷規(guī)則增加時，防火墻的性能快速下降。方通入侵防護系統(tǒng)改進數(shù)據(jù)包過濾引擎，以適合大量和動態(tài)的規(guī)則變化的需要，支持Failover功能，提供單向攻擊阻塞功能(如蠕蟲，緩沖區(qū)溢出漏洞攻擊)，使用異常檢測技術(shù)對未知攻擊進行防御，同時還有對惡意流量(如蠕蟲、病毒、黑客等)的防御功能。防火墻1. 防火墻技術(shù) 防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中2. 防火墻技術(shù)綜述 因特網(wǎng)防火墻是這樣的（一組）系統(tǒng)，它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性，因特網(wǎng)防火墻用于加強網(wǎng)絡(luò)間的訪問控制，防止外部用戶非法使用內(nèi)部網(wǎng)的資源，保護內(nèi)部網(wǎng)絡(luò)的設(shè)備不被破壞，防止內(nèi)部網(wǎng)絡(luò)的敏感數(shù)據(jù)被竊取。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些可以訪問的服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個防火墻有效，所有來自和去往因特網(wǎng)的信息都