辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案

辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案方案要點(diǎn)概述在XXXXXXXXXXXX新辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，我們對(duì)用戶的需求進(jìn)行了詳細(xì)的分析，并就系統(tǒng)進(jìn)行了深入細(xì)致的設(shè)計(jì)。系統(tǒng)設(shè)計(jì)主要為：網(wǎng)絡(luò)技術(shù)選型的考慮以及網(wǎng)絡(luò)拓樸的設(shè)計(jì)網(wǎng)絡(luò)技術(shù)選型辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共1頁(yè)，當(dāng)前為第1頁(yè)。XXXXXXXXXXXX的網(wǎng)絡(luò)系統(tǒng)經(jīng)過(guò)多年的建設(shè)，目前局域網(wǎng)、城域網(wǎng)主要以千兆為主；到省公司廣域網(wǎng)采用ATM155M，到各個(gè)縣公司目前還以2M專(zhuān)線為主。隨著江蘇省電力公司企業(yè)內(nèi)聯(lián)網(wǎng)系統(tǒng)的建設(shè)，到各個(gè)縣公司將在升級(jí)到千兆，并且在全網(wǎng)采用MPLS/VPN技術(shù)架構(gòu)。核心設(shè)備為Cisco6509及8540交換機(jī)為主，接入層交換機(jī)主要為Cisco3500系列交換機(jī)。目前的網(wǎng)絡(luò)拓?fù)洮F(xiàn)狀如下：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共1頁(yè)，當(dāng)前為第1頁(yè)。新大樓網(wǎng)絡(luò)系統(tǒng)主要是在現(xiàn)有局域網(wǎng)系統(tǒng)上進(jìn)行擴(kuò)容，在技術(shù)及設(shè)備上最好延續(xù)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)，保證系統(tǒng)的平滑互連。并考慮今后網(wǎng)絡(luò)系統(tǒng)升級(jí)的擴(kuò)展性。主干采用千兆以太網(wǎng)技術(shù)，為了增加主干系統(tǒng)的帶寬，可以考慮采用GEC（千兆以太網(wǎng)捆綁）技術(shù)。設(shè)備考慮延續(xù)采用Cisco設(shè)備。網(wǎng)絡(luò)拓樸的設(shè)計(jì)針對(duì)XXXXXXXXXXXX本次網(wǎng)絡(luò)系統(tǒng)建設(shè)范圍主要包括三個(gè)獨(dú)立的建筑物：主樓、服務(wù)樓、信息XXXX樓。網(wǎng)絡(luò)主體架構(gòu)采用環(huán)型＋星型結(jié)構(gòu)，即在三個(gè)建筑物內(nèi)配置三臺(tái)Cisco三層交換機(jī)，相互間采用雙千兆鏈路互連，構(gòu)成核心環(huán)網(wǎng)；在每個(gè)建筑物內(nèi)，根據(jù)樓層信息點(diǎn)的分布，在樓層配線間采用接入級(jí)交換機(jī)采用星型拓?fù)溥B接到本地的核心三層交換機(jī)。網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)中涉及的設(shè)備繁多，需要進(jìn)行狀態(tài)檢測(cè)、設(shè)備配置、策略設(shè)置等，在網(wǎng)絡(luò)發(fā)生故障時(shí)能夠及時(shí)發(fā)現(xiàn)問(wèn)題，這需要一套功能強(qiáng)大的網(wǎng)絡(luò)管理軟件。方案中選用Ciscoworks2000軟件作為局域網(wǎng)管理平臺(tái)，能夠與方案中設(shè)計(jì)的網(wǎng)絡(luò)設(shè)備良好配合。對(duì)應(yīng)用支持的考慮辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共2頁(yè)，當(dāng)前為第2頁(yè)?；诰W(wǎng)絡(luò)的應(yīng)用很多，包括辦公應(yīng)用、用電營(yíng)銷(xiāo)、財(cái)務(wù)、視頻監(jiān)控應(yīng)用等。有些應(yīng)用對(duì)網(wǎng)絡(luò)的要求比較高。針對(duì)XXXX市供電公司新大樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)，在網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候，我們?cè)谠O(shè)備性能以及協(xié)議等方面作了充分的考慮。例如網(wǎng)絡(luò)主干采用1000M以太網(wǎng)技術(shù)，網(wǎng)絡(luò)設(shè)備具有良好的擴(kuò)充性以及擴(kuò)展性。對(duì)于用電營(yíng)銷(xiāo)及視頻監(jiān)控應(yīng)用，需要網(wǎng)絡(luò)具有良好的服務(wù)質(zhì)量（QoS）。在技術(shù)方案中針對(duì)這些網(wǎng)絡(luò)的具體應(yīng)用，我們提出了各自具體的實(shí)施方案。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共2頁(yè)，當(dāng)前為第2頁(yè)。對(duì)IP地址、DNS等網(wǎng)絡(luò)基礎(chǔ)資源的規(guī)劃XXXX市供電公司的網(wǎng)絡(luò)系統(tǒng)屬于江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)（JSEPNET）的一部分，其IP地址及DNS等均遵循江蘇省電力公司的統(tǒng)一規(guī)劃。在此不需要額外規(guī)劃。對(duì)安全的考慮方案中對(duì)系統(tǒng)安全作了建議性的描述，在對(duì)外連接上采用防火墻技術(shù)、DMZ設(shè)置保障信息系統(tǒng)的安全。在設(shè)備和系統(tǒng)設(shè)置上采用其他的一些策略包括針對(duì)Cisco設(shè)備特點(diǎn)采取的網(wǎng)絡(luò)設(shè)備安全加固手段、采用虛擬網(wǎng)技術(shù)（VLAN）劃分不同的網(wǎng)段，實(shí)現(xiàn)不同子網(wǎng)之間的邏輯隔離及控制、在核心服務(wù)器VLAN及主要出口設(shè)置入侵檢測(cè)系統(tǒng)；在主干路由設(shè)備上以及接入設(shè)備上設(shè)置訪問(wèn)控制，隔離外部入侵。出于對(duì)設(shè)備物理安全的考慮，對(duì)機(jī)房以及配線間設(shè)備考慮防雷和接地。主要考慮電源防雷和型號(hào)防雷，并對(duì)設(shè)備以及機(jī)柜等作良好接地。而這一部分也是機(jī)房設(shè)計(jì)的重要組成部分?？傉撓到y(tǒng)建設(shè)背景辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共3頁(yè)，當(dāng)前為第3頁(yè)。XXXX市供電公司作為電力供應(yīng)部門(mén)，更好地為社會(huì)提供供電服務(wù)，提高企業(yè)的辦事效率，為領(lǐng)導(dǎo)和工作人員提供辦公及生產(chǎn)管理，要不斷完善對(duì)信息系統(tǒng)的建設(shè)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共3頁(yè)，當(dāng)前為第3頁(yè)。并且隨著XXXX市供電公司新大樓的建設(shè)，急需對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行擴(kuò)容改造，以此來(lái)滿足對(duì)網(wǎng)絡(luò)性能、可靠性及安全等方面的不斷增長(zhǎng)的需求。系統(tǒng)建設(shè)需求及設(shè)計(jì)原則系統(tǒng)需求分析XXXX市供電公司本次網(wǎng)絡(luò)系統(tǒng)的建設(shè)包括省內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)，重點(diǎn)建設(shè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。XXXX市供電公司的內(nèi)網(wǎng)性質(zhì)為供電公司內(nèi)部的生產(chǎn)辦公業(yè)務(wù)網(wǎng)絡(luò)，其上主要的應(yīng)用系統(tǒng)有辦公自動(dòng)化、用電營(yíng)銷(xiāo)、財(cái)務(wù)、XXXX自動(dòng)化、勞動(dòng)人事等。今后隨著網(wǎng)絡(luò)應(yīng)用的不斷發(fā)展，其上還要承載高質(zhì)量的視頻監(jiān)控系統(tǒng)、視頻點(diǎn)播系統(tǒng)。要求網(wǎng)絡(luò)運(yùn)行可靠穩(wěn)定、數(shù)據(jù)傳輸效率高、支持QoS，從安全角度出發(fā)要與外網(wǎng)從物理上完全隔離、充分保證系統(tǒng)數(shù)據(jù)的安全。因此在網(wǎng)絡(luò)建設(shè)方案中內(nèi)網(wǎng)主干采用千兆以太網(wǎng)技術(shù)、核心三層交換機(jī)具有較高的二至三層的交換能力，并且具備萬(wàn)兆升級(jí)能力。核心層及接入層交換機(jī)均支持不同層次的QoS，以及適用于局域網(wǎng)的各種應(yīng)用需求。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共4頁(yè)，當(dāng)前為第4頁(yè)。外網(wǎng)是XXXX市供電公司與Internet及其它相關(guān)單位（如銀行）間互訪的網(wǎng)絡(luò)系統(tǒng)，屬于非安全網(wǎng)絡(luò)。主要提供專(zhuān)有信息發(fā)布、電子郵件服務(wù)、Internet瀏覽、資料查詢及下載。特別需要加強(qiáng)網(wǎng)絡(luò)的安全及病毒防范能力。因此在外網(wǎng)與內(nèi)網(wǎng)在物理上進(jìn)行隔離，由于外網(wǎng)承載的業(yè)務(wù)相對(duì)內(nèi)網(wǎng)而言對(duì)網(wǎng)絡(luò)的帶寬及性能要求不是很高，所以在外網(wǎng)的建設(shè)中，網(wǎng)絡(luò)系統(tǒng)對(duì)連通性要求較高，但對(duì)網(wǎng)絡(luò)的帶寬及時(shí)延要求不大，重點(diǎn)考慮外網(wǎng)系統(tǒng)的安全性。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共4頁(yè)，當(dāng)前為第4頁(yè)。系統(tǒng)建設(shè)原則本工程技術(shù)方案為實(shí)現(xiàn)前述建設(shè)目標(biāo)，遵循以下建設(shè)原則：1、安全性和可靠性網(wǎng)絡(luò)系統(tǒng)是信息資源的倉(cāng)庫(kù)，其安全與否，直接關(guān)系到供電部門(mén)的切身利益，一旦信息系統(tǒng)因?yàn)榘踩脑虮蝗藶榛蚱渌蚱茐?，其損失不可估量，特別是現(xiàn)階段互聯(lián)網(wǎng)的開(kāi)放性還缺乏有效的監(jiān)督管理機(jī)制。因此，安全性是網(wǎng)絡(luò)信息系統(tǒng)的生命線，在本建設(shè)方案中充分考慮到要保證系統(tǒng)的安全機(jī)制，通過(guò)各種手段確保信息系統(tǒng)的資源得到最大的保護(hù)，同時(shí)網(wǎng)絡(luò)的可靠性是保障網(wǎng)絡(luò)建設(shè)成功發(fā)揮其功能的關(guān)鍵。2、成熟性和先進(jìn)性在目前存在的多種網(wǎng)絡(luò)技術(shù)中，選擇一種既成熟又先進(jìn)的技術(shù)是組網(wǎng)的關(guān)鍵之一。成熟性是前提，它意味著采用這種技術(shù)不會(huì)由于網(wǎng)絡(luò)技術(shù)本身的問(wèn)題而造成損失，可以很好地滿足應(yīng)用要求；同時(shí)先進(jìn)性是為了保證用戶投資興建的網(wǎng)絡(luò)能夠跟得上技術(shù)的發(fā)展，符合應(yīng)用的要求，使用戶的投資得到保護(hù)，在相當(dāng)?shù)臅r(shí)間內(nèi)保持先進(jìn)性，不至于過(guò)早被淘汰。3、實(shí)用性建網(wǎng)的目的是為了提高工作效率，因此采用高速度、低延時(shí)的網(wǎng)絡(luò)系統(tǒng)，建設(shè)一個(gè)切合應(yīng)用要求的實(shí)用的、經(jīng)濟(jì)的網(wǎng)絡(luò)信息系統(tǒng)是設(shè)計(jì)指導(dǎo)原則之一。只有所建設(shè)的網(wǎng)絡(luò)信息系統(tǒng)能夠滿足應(yīng)用的要求,吸引廣大用戶使用，提高使用網(wǎng)絡(luò)人員的操作水平，為企業(yè)創(chuàng)造經(jīng)濟(jì)效益,充分發(fā)揮其功用，才達(dá)到建網(wǎng)的目的。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共5頁(yè)，當(dāng)前為第5頁(yè)。4、可管理性辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共5頁(yè)，當(dāng)前為第5頁(yè)。網(wǎng)絡(luò)管理關(guān)系到系統(tǒng)使用的效率、維護(hù)、監(jiān)控的手段以及網(wǎng)絡(luò)資源的再分配，是一個(gè)完整的智能網(wǎng)絡(luò)必不可少的組成部分。因此采用具有網(wǎng)管能力的網(wǎng)絡(luò)設(shè)備是系統(tǒng)設(shè)計(jì)的重要思想。系統(tǒng)支持先進(jìn)有效的管理策略，提供良好的管理工具或手段能夠?qū)崟r(shí)監(jiān)視服務(wù)器各種設(shè)備的工作情況，并在安全和系統(tǒng)故障方面進(jìn)行預(yù)警，提交日志和分析報(bào)告，及時(shí)發(fā)現(xiàn)故障點(diǎn)，為平衡負(fù)載、優(yōu)化服務(wù)、排除故障提供手段和依據(jù)。5、開(kāi)放性和擴(kuò)展性開(kāi)放性意味著標(biāo)準(zhǔn)化，在XXXX市供電公司的網(wǎng)絡(luò)系統(tǒng)建設(shè)中，其各種設(shè)備之間的連接均采用國(guó)際上通用的成熟標(biāo)準(zhǔn)協(xié)議或接口，不會(huì)因?yàn)樵O(shè)備的更改而變動(dòng)基本結(jié)構(gòu)或采用不同廠商的設(shè)備導(dǎo)致系統(tǒng)不兼容。如內(nèi)網(wǎng)VLAN的劃分方式、路由協(xié)議的選擇等。開(kāi)放的體系結(jié)構(gòu)為以后的網(wǎng)絡(luò)升級(jí)提供了基礎(chǔ)，隨著江蘇電力信息化建設(shè)不斷發(fā)展，網(wǎng)絡(luò)信息系統(tǒng)的應(yīng)用規(guī)模和水平將會(huì)不斷發(fā)展變化，這就要求計(jì)算機(jī)網(wǎng)絡(luò)能夠適應(yīng)這些發(fā)展變化，實(shí)現(xiàn)向先進(jìn)技術(shù)的平滑過(guò)渡，同時(shí)也便于擴(kuò)大規(guī)模，從而保護(hù)原有投資。網(wǎng)絡(luò)系統(tǒng)建設(shè)方案網(wǎng)絡(luò)技術(shù)綜述辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共6頁(yè)，當(dāng)前為第6頁(yè)。計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展推動(dòng)了網(wǎng)絡(luò)技術(shù)的進(jìn)步，也產(chǎn)生了許多新的網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)應(yīng)用?？偟内厔?shì)是向著開(kāi)放、集成、高性能和智能化方向發(fā)展。網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用需求之間是一個(gè)不斷的反饋過(guò)程，呈現(xiàn)一種螺旋式上升地趨勢(shì)。選擇何種網(wǎng)絡(luò)技術(shù)組建XXXXXXXXXXXX的信息基礎(chǔ)設(shè)施，除了對(duì)網(wǎng)絡(luò)技術(shù)本身的詳盡分析以外，還要結(jié)合XXXXXXXXXXXX具體的應(yīng)用而定。本章節(jié)將按照這個(gè)思路，首先詳細(xì)分析了各種網(wǎng)絡(luò)技術(shù)的最新發(fā)展?fàn)顟B(tài)，然后根據(jù)XXXXXXXXXXXX的網(wǎng)絡(luò)應(yīng)用現(xiàn)狀及未來(lái)幾年的應(yīng)用規(guī)劃，在后續(xù)章節(jié)做出相應(yīng)的網(wǎng)絡(luò)技術(shù)選型的建議。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共6頁(yè)，當(dāng)前為第6頁(yè)。局域網(wǎng)技術(shù)簡(jiǎn)介本節(jié)對(duì)現(xiàn)有的主流的以太網(wǎng)技術(shù)特點(diǎn)做了分析，在1997－1999年，由于千兆以太網(wǎng)技術(shù)標(biāo)準(zhǔn)還不成熟，ATM技術(shù)大量在局域網(wǎng)中應(yīng)用，當(dāng)時(shí)主要采用局域網(wǎng)仿真方式－LANE來(lái)實(shí)現(xiàn)以太幀到ATM的信元格式轉(zhuǎn)換。而在ATM到桌面的環(huán)境中，由于缺乏能有效利用ATM特性的API標(biāo)準(zhǔn)，ATM的嚴(yán)格的QoS特性也沒(méi)有得到充分體現(xiàn)。而隨著基于IP的應(yīng)用的大量興起及網(wǎng)絡(luò)傳輸帶寬的不斷加大，在局域網(wǎng)應(yīng)用場(chǎng)合中，千兆以太網(wǎng)技術(shù)逐漸成為局域網(wǎng)發(fā)展的主流，未來(lái)的10G比特以太網(wǎng)技術(shù)也前景光明。下面著重講述一下千兆及10G以太網(wǎng)技術(shù)。千兆位以太網(wǎng)：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共7頁(yè)，當(dāng)前為第7頁(yè)。千兆以太網(wǎng)技術(shù)是極為成功的10Mbps和100MbpsIEEE802.3以太網(wǎng)標(biāo)準(zhǔn)的發(fā)展。由于千兆以太網(wǎng)所支持的簡(jiǎn)易網(wǎng)絡(luò)升級(jí)，以及對(duì)新應(yīng)用和數(shù)據(jù)類(lèi)型處理的靈活性、網(wǎng)絡(luò)的可伸縮性，使得千兆以太網(wǎng)成為高速、高帶寬網(wǎng)絡(luò)的戰(zhàn)略性選擇。千兆以太網(wǎng)提供大致1000Mbps的帶寬，和現(xiàn)有的數(shù)量極為龐大的以太網(wǎng)節(jié)點(diǎn)完全兼容。千兆以太網(wǎng)早在1996年7月就已進(jìn)入標(biāo)準(zhǔn)化軌道。經(jīng)過(guò)幾個(gè)月的可行性研究，IEEE802.3工作組成立了802.3z千兆以太網(wǎng)任務(wù)小組。802.3z千兆以太網(wǎng)任務(wù)小組的關(guān)鍵目標(biāo)是開(kāi)發(fā)可以完成下列功能的千兆以太網(wǎng)標(biāo)準(zhǔn)：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共7頁(yè)，當(dāng)前為第7頁(yè)。允許以1000Mbps的速率進(jìn)行半雙工、全雙工操作使用802.3以太網(wǎng)幀格式使用CSMA/CD訪問(wèn)方式與10BASE-T、100BASE-T技術(shù)的地址向后兼容性任務(wù)小組定義了連接距離的三個(gè)特定目標(biāo)：最大距離為550米的多模光纖，最大距離為3公里的單模光纖，最大距離不小于25米的銅線。IEEE同時(shí)在積極地探索可以支持在5類(lèi)雙絞線（UTP）上傳輸至少100米的技術(shù)。千兆以太網(wǎng)支持新的全雙工模式，可以在交換機(jī)到交換機(jī)上，或交換機(jī)到端點(diǎn)工作站上連接上。半雙工操作模式用于CSMA/CD訪問(wèn)方式和中繼器的共享連接上。千兆以太網(wǎng)也將用于5類(lèi)雙絞線。以太網(wǎng)和更高等級(jí)的服務(wù)：千兆以太網(wǎng)提供高速連接能力，但本身不提供完整的服務(wù)功能如服務(wù)質(zhì)量（QoS），自動(dòng)冗余容錯(cuò)，或是高層路由功能。這些功能在其它開(kāi)放標(biāo)準(zhǔn)中定義。如同所有的以太網(wǎng)描述，千兆以太網(wǎng)定義OSI協(xié)議模型的數(shù)據(jù)鏈路層（第二層），TCP和IP分別在傳送層（第四層）和網(wǎng)絡(luò)層（第三層）部分中定義，允許在應(yīng)用之間的可靠通信服務(wù)。QoS等問(wèn)題在最初的千兆以太網(wǎng)描述中未曾涉及，但是必須由此類(lèi)標(biāo)準(zhǔn)的幾種中加以定義。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共8頁(yè)，當(dāng)前為第8頁(yè)。在90年代后期出現(xiàn)的應(yīng)用要求穩(wěn)定的網(wǎng)絡(luò)帶寬、延遲和敏感性。此類(lèi)的網(wǎng)絡(luò)應(yīng)用包括語(yǔ)音和影像在局域網(wǎng)和廣域網(wǎng)上傳送，組播軟件分發(fā)。相關(guān)的標(biāo)準(zhǔn)化組織針對(duì)此類(lèi)需求已經(jīng)作出了新的開(kāi)放標(biāo)準(zhǔn)定義如RSVP，IEEE802.1p和IEEE802.1Q標(biāo)準(zhǔn)化小組也正在進(jìn)行各自的工作。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共8頁(yè)，當(dāng)前為第8頁(yè)。作為推薦性的標(biāo)準(zhǔn)，響應(yīng)連接質(zhì)量要求、提供網(wǎng)絡(luò)連接質(zhì)量的RSVP已經(jīng)獲得了業(yè)界的認(rèn)可。為了使RSVP能發(fā)揮作用，為網(wǎng)絡(luò)應(yīng)用提供所要求的持續(xù)質(zhì)量，在客戶和服務(wù)器之間的任何一個(gè)網(wǎng)絡(luò)部件都必須支持RSVP和正常的通信能力。由于在真正獲得服務(wù)質(zhì)量的顯著效果之前需要如此多的網(wǎng)絡(luò)部件支持RSVP，有些廠商開(kāi)發(fā)了一些在某種程度上支持QoS的廠家專(zhuān)有方案。盡管它們可以為用戶提供QoS的效益，但要求網(wǎng)絡(luò)的某些部分是這些廠家所獨(dú)有的。802.1p和802.1Q靠提供一種所謂的“打標(biāo)記”的方式實(shí)現(xiàn)以太網(wǎng)上的服務(wù)質(zhì)量功能。打標(biāo)簽就是在數(shù)據(jù)包上做標(biāo)記，注明該數(shù)據(jù)包所期望的服務(wù)類(lèi)型或是優(yōu)先級(jí)別。這種標(biāo)記使得應(yīng)用能夠與網(wǎng)絡(luò)互聯(lián)設(shè)備按不同的優(yōu)先級(jí)通信。RSVP可以由將RSVP映射到802.1p服務(wù)級(jí)別的方式實(shí)現(xiàn)。不同的千兆以太網(wǎng)設(shè)備一般只有上述部分標(biāo)準(zhǔn)，這樣可以使以太網(wǎng)連接更有效率，功能較強(qiáng)。但千兆以太網(wǎng)的成功不依賴(lài)于標(biāo)準(zhǔn)中的任何一個(gè)。模塊化標(biāo)準(zhǔn)的優(yōu)點(diǎn)是標(biāo)準(zhǔn)的任何部分都可以在市場(chǎng)和和產(chǎn)品質(zhì)量有需求時(shí)進(jìn)行更新。請(qǐng)注意所有這些標(biāo)準(zhǔn)都和快速以太網(wǎng)和10M以太網(wǎng)相匹配，各個(gè)層次的以太網(wǎng)運(yùn)行性能和質(zhì)量都可以從標(biāo)準(zhǔn)化的工作中獲益。10G以太網(wǎng)：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共9頁(yè)，當(dāng)前為第9頁(yè)。近兩年隨著傳輸網(wǎng)絡(luò)的發(fā)展，10G以太網(wǎng)技術(shù)漸漸引起了人們的注意，這種高速以太網(wǎng)技術(shù)適用于各種網(wǎng)絡(luò)結(jié)構(gòu)，能夠簡(jiǎn)單、經(jīng)濟(jì)地構(gòu)建各種速率的網(wǎng)絡(luò)，可以滿足骨干網(wǎng)大容量傳輸?shù)男枨螅鉀Q了窄帶接入、寬帶傳輸?shù)钠款i問(wèn)題，并與現(xiàn)行以太網(wǎng)技術(shù)兼容。2000年末已經(jīng)為通往WAN作好了相應(yīng)的技術(shù)儲(chǔ)備。此外，由于LAN、MAN和WAN采用同一種核心技術(shù)，網(wǎng)絡(luò)易于管理和維護(hù)，同時(shí)避免了協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)了LAN、MAN和WAN的無(wú)縫連接。10G以太網(wǎng)贏得青睞的真正原因是，它比ATM和SONET的價(jià)位低，在MAN和WAN中應(yīng)用10G以太網(wǎng)技術(shù)，比采用ATM/SONET技術(shù)構(gòu)建的類(lèi)似MAN和WAN費(fèi)用低25%。預(yù)計(jì)10G以太網(wǎng)的每端口價(jià)格是單個(gè)千兆比端口價(jià)格的8.3倍。這就是說(shuō)，買(mǎi)一個(gè)10G以太網(wǎng)端口比買(mǎi)10個(gè)千兆比端口節(jié)省17%的費(fèi)用。然而，10G以太網(wǎng)缺少SONET的鏈路管理能力，無(wú)法排除鏈路故障。有人建議用數(shù)字封裝法來(lái)傳遞以太網(wǎng)幀，使之具備鏈路管理能力，但這將增加成本和復(fù)雜性。所以，在長(zhǎng)距離傳輸下，SONET有其優(yōu)勢(shì)，但以太網(wǎng)處理突發(fā)數(shù)據(jù)和網(wǎng)狀網(wǎng)的能力比SONET強(qiáng)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共9頁(yè)，當(dāng)前為第9頁(yè)。盡管10G以太網(wǎng)是在以太網(wǎng)技術(shù)的基礎(chǔ)上發(fā)展起來(lái)的，但是，由于工作速率的大幅度提升，適用范圍有了顯著的變化，與原來(lái)的以太網(wǎng)技術(shù)相比差異很大，主要表現(xiàn)在：物理層實(shí)現(xiàn)方式、幀格式、MAC層的工作速率以及適配策略。由于10G以太網(wǎng)既可以作LAN使用，也可以當(dāng)作WAN使用，而LAN和WAN之間由于工作環(huán)境不同，對(duì)于各項(xiàng)指標(biāo)的要求存在許多的差異，主要表現(xiàn)在時(shí)鐘抖動(dòng)、BER（比特誤碼率）、QoS、速率等的要求不同。為此，IEEE802.3HSSG小組制訂了兩種不同的物理介質(zhì)標(biāo)準(zhǔn)，分別用于以太局域網(wǎng)和以太廣域網(wǎng)。這兩種物理層的共同點(diǎn)是：共用一個(gè)MAC層；僅支持全雙工操作方式；省略了CSMA/CD；采用光纖作為物理介質(zhì)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共10頁(yè)，當(dāng)前為第10頁(yè)。根據(jù)當(dāng)前的局域網(wǎng)技術(shù)發(fā)展趨勢(shì)，針對(duì)XXXX市供電公司局域網(wǎng)的應(yīng)用需求。應(yīng)采用千兆以太交換技術(shù)構(gòu)筑內(nèi)部局域網(wǎng)，并保證今后可向10G以太網(wǎng)平滑升級(jí)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共10頁(yè)，當(dāng)前為第10頁(yè)。內(nèi)網(wǎng)建設(shè)方案組網(wǎng)方案現(xiàn)狀分析XXXX市供電公司局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)于1996年開(kāi)始大規(guī)模建設(shè)，局域網(wǎng)覆蓋XXXX市供電公司本部主要辦公大樓，城域網(wǎng)連接城區(qū)范圍內(nèi)的主要變電所、配電工區(qū)、總公司，網(wǎng)絡(luò)主干為千兆以太網(wǎng)。廣域網(wǎng)主要采用155MATM接入江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)，采用2M專(zhuān)線連接各個(gè)縣公司。聯(lián)網(wǎng)計(jì)算機(jī)達(dá)七百多臺(tái)，采用10/100M交換到桌面。目前對(duì)外部網(wǎng)絡(luò)的訪問(wèn)主要提供省公司的代理服務(wù)器連接Internet，沒(méi)有自己的本地出口。對(duì)于銀行的互連，目前正在現(xiàn)有系統(tǒng)上添加防火墻及入侵檢測(cè)設(shè)備。現(xiàn)有網(wǎng)絡(luò)拓?fù)鋱D如下：系統(tǒng)采用的主要網(wǎng)絡(luò)設(shè)備如下：主干交換機(jī)：采用Cisco公司的Catalyst6509為主干交換機(jī)，該交換機(jī)配置256G交換矩陣，路由能力為15Mpps。接口模塊主要有千兆以太網(wǎng)接口板，主要用于局域網(wǎng)及城域網(wǎng)的千兆主干接入，ATM622M接口與8540互連，通過(guò)XXXX三級(jí)網(wǎng)接入江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共11頁(yè)，當(dāng)前為第11頁(yè)。分支主干交換機(jī)：采用Cisco4000系列交換機(jī)，主要分布在配電工區(qū)、總公司等節(jié)點(diǎn)，作為分支節(jié)點(diǎn)的核心交換機(jī)，采用千兆連接6509。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共11頁(yè)，當(dāng)前為第11頁(yè)。樓層交換機(jī)：主要為Cisco3500系列交換機(jī)。采用千兆連接到核心6509交換機(jī)，10/100M交換到桌面。撥號(hào)路由器：采用IBM8235作為撥號(hào)訪問(wèn)服務(wù)器，實(shí)現(xiàn)遠(yuǎn)程用戶和移動(dòng)辦公用戶通過(guò)電話撥號(hào)接入局域網(wǎng)。該撥號(hào)訪問(wèn)服務(wù)器采用10M以太網(wǎng)接入局域網(wǎng)。廣域網(wǎng)接入交換機(jī)：采用Cisco8540MSR，采用155MATM接口通過(guò)XXXX三級(jí)網(wǎng)接入江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)，通過(guò)622MATM接口連接核心交換機(jī)6509。接入路由器：采用IBM2210作為縣公司接入路由器，通過(guò)2M專(zhuān)線連接各個(gè)縣供電公司。內(nèi)網(wǎng)建設(shè)目標(biāo)實(shí)現(xiàn)主樓、服務(wù)樓、信息XXXX樓的互連。網(wǎng)絡(luò)技術(shù)采用千兆以太網(wǎng)，主干網(wǎng)是以數(shù)據(jù)傳輸速率為1000Mbps，并采取資源保留協(xié)議、保證關(guān)鍵業(yè)務(wù)的通暢。提供樓層用戶的10/100M接入。與現(xiàn)有網(wǎng)絡(luò)系統(tǒng)兼容，并可以平滑升級(jí)。通過(guò)設(shè)備對(duì)策選擇及拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)，保證系統(tǒng)的高可靠性實(shí)現(xiàn)內(nèi)網(wǎng)與外網(wǎng)的物理隔離。內(nèi)網(wǎng)建設(shè)方案核心設(shè)計(jì)：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共12頁(yè)，當(dāng)前為第12頁(yè)。內(nèi)網(wǎng)主要包括三個(gè)主要節(jié)點(diǎn)：新大樓主樓、服務(wù)樓、信息XXXX樓，為保證網(wǎng)絡(luò)系統(tǒng)的高可靠性，設(shè)計(jì)三個(gè)節(jié)點(diǎn)各放置一臺(tái)三層交換機(jī)，相互間采用雙千兆進(jìn)行互連，構(gòu)成核心環(huán)網(wǎng)。在互連協(xié)議方式上可以有兩種方式：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共12頁(yè)，當(dāng)前為第12頁(yè)。采用路由方式互連，在局域網(wǎng)內(nèi)部運(yùn)行OSPF協(xié)議，通過(guò)路由協(xié)議實(shí)現(xiàn)鏈路的最佳選擇及備份切換，通過(guò)調(diào)整OSPF協(xié)議的參數(shù)，可以將鏈路的切換時(shí)間控制在4秒以內(nèi)，但此種方式應(yīng)用在局域網(wǎng)內(nèi)有一定的局限性，例如不能構(gòu)建跨越三大節(jié)點(diǎn)的全局VLAN。通過(guò)數(shù)據(jù)鏈路層的IEEE802.1s及IEEE802.1w協(xié)議實(shí)現(xiàn)鏈路冗余及切換，IEEE802.1s協(xié)議是對(duì)IEEE802.1d（生成樹(shù)協(xié)議）的改進(jìn)，通過(guò)改進(jìn)的BPDU傳輸鏈路及端口狀態(tài)，可以保證將系統(tǒng)的切換時(shí)間控制在1秒以內(nèi)，IEEE802.1w是多生成樹(shù)協(xié)議，即可以在一個(gè)傳統(tǒng)的生成樹(shù)域內(nèi)，通過(guò)分級(jí)控制的方式劃分出多個(gè)生成樹(shù)，在鏈路發(fā)生故障時(shí)，提高系統(tǒng)的收斂時(shí)間。根據(jù)局域網(wǎng)的特點(diǎn)及系統(tǒng)可靠性的保證，建議核心環(huán)網(wǎng)選擇第二種互連方式。根據(jù)接入節(jié)點(diǎn)的數(shù)量及投資規(guī)模，核心節(jié)點(diǎn)的交換機(jī)可以有兩種選擇。主樓采用核心交換機(jī)采用Cisco6509，信息XXXX樓核心交換機(jī)采用現(xiàn)有的Cisco6513，配置720G引擎，最大路由能力為400Mpps；服務(wù)樓配置Cisco4507R，交換能力為64G，路由能力為48Mpps；。主樓核心交換機(jī)采用Cisco4507R，采用全冗余配置；信息XXXX樓核心交換機(jī)采用Cisco6509；服務(wù)樓核心交換機(jī)采用Cisco3550-12G，交換能力為17G，路由能力為6Mpps。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共13頁(yè)，當(dāng)前為第13頁(yè)。新大樓主樓設(shè)計(jì)：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共13頁(yè)，當(dāng)前為第13頁(yè)。新大樓主樓共13層（地下1層），1-12層為辦公場(chǎng)所，在每層均有一個(gè)配線間。在1樓設(shè)置有網(wǎng)絡(luò)分支中心。在主樓內(nèi)部的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)為星型拓?fù)?，在每個(gè)樓層的配線間根據(jù)本樓層接入用戶的數(shù)量放置48端口或24端口交換機(jī)，采用千兆多模光纜上連到主樓核心交換機(jī)。到終端用戶的桌面連接帶寬為10/100M。（1）主交換機(jī)主交換機(jī)是整個(gè)網(wǎng)絡(luò)系統(tǒng)的核心設(shè)備，承擔(dān)網(wǎng)絡(luò)主干的絕大部分流量，由于服務(wù)器包括應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、網(wǎng)管工作站等重要設(shè)備都連接在主交換機(jī)上，并且客戶機(jī)與服務(wù)器的通信都必須經(jīng)過(guò)主交換機(jī)，因此主交換機(jī)的故障會(huì)造成通信中斷，導(dǎo)致整個(gè)網(wǎng)絡(luò)系統(tǒng)癱瘓；同時(shí)主交換機(jī)的性能、穩(wěn)定性、可靠性也密切影響著整個(gè)網(wǎng)絡(luò)系統(tǒng)的性能。對(duì)主交換機(jī)的設(shè)計(jì)如下：設(shè)備配置冗余電源，冗余管理模塊，冗余三層交換模塊及冗余端口，同時(shí)保證提供足夠數(shù)量的千兆端口用于連接內(nèi)網(wǎng)骨干網(wǎng)（主交換機(jī)與樓層交換機(jī)之間的鏈路）和連接各類(lèi)服務(wù)器；集成LAN/WAN/MAN，集成不同的網(wǎng)絡(luò)、電信端口；提供智能IP服務(wù)，如提供對(duì)組播等協(xié)議的支持；提供對(duì)IP語(yǔ)音的支持；支持各種QoS方式；支持強(qiáng)大的網(wǎng)絡(luò)管理功能；辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共14頁(yè)，當(dāng)前為第14頁(yè)。根據(jù)以上要求，主樓核心設(shè)備根據(jù)投資規(guī)模的不同，可以有兩種選擇，第一種選擇Cisco6509；第二種選擇為Cisco4507R交換機(jī)。具體配置詳見(jiàn)建議設(shè)備配置清單。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共14頁(yè)，當(dāng)前為第14頁(yè)。（2）樓層交換機(jī)作為用戶終端與交換機(jī)之間的連接，樓層交換機(jī)在整個(gè)網(wǎng)絡(luò)中處于重要的地位。樓層交換機(jī)的選擇應(yīng)做到盡可能的高速交換和傳遞數(shù)據(jù)，不致成為整個(gè)網(wǎng)絡(luò)的瓶頸。因此，根據(jù)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)原則以及內(nèi)網(wǎng)的業(yè)務(wù)特點(diǎn)，對(duì)樓層交換機(jī)設(shè)計(jì)如下：端口密度滿足每一樓層40多個(gè)信息點(diǎn)百兆交換到桌面的要求；提供至少一個(gè)千兆端口作為與主交換機(jī)的相連；提供第二層上虛網(wǎng)劃分，滿足主交換機(jī)的第三層交換；支持802.1q及802.1p，支持802.1x用戶接入認(rèn)證。根據(jù)以上要求，接入層交換機(jī)建議選擇Cisco3550－48及Cisco3550-24交換機(jī)。信息XXXX樓：信息XXXX樓內(nèi)主要是信息中心及XXXX自動(dòng)化部門(mén)，這兩個(gè)部門(mén)均為XXXXXXXXXXXX的核心業(yè)務(wù)部門(mén)，對(duì)網(wǎng)絡(luò)的要求較高，并且也是網(wǎng)絡(luò)中心的所在地。因此在信息XXXX樓內(nèi)的核心交換機(jī)選擇Cisco6513承擔(dān)，配置雙720G交換引擎，樓層內(nèi)的配線間配置Cisco3550-48交換機(jī)，為了保證網(wǎng)絡(luò)系統(tǒng)的可靠性及帶寬，3550與6513間采用雙千兆GEC（千兆以太網(wǎng)捆綁）。網(wǎng)絡(luò)中心Cisco6513與本部老大樓的6509采用雙路單模光纜千兆互連，互連方式也采用GEC。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共15頁(yè)，當(dāng)前為第15頁(yè)。具體配置詳見(jiàn)建議設(shè)備配置清單。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共15頁(yè)，當(dāng)前為第15頁(yè)。服務(wù)樓：服務(wù)樓內(nèi)主要是就餐及休閑活動(dòng)區(qū)域，主要應(yīng)用為一卡通消費(fèi)。同時(shí)服務(wù)樓作為核心節(jié)點(diǎn)之一，雖然其本地的數(shù)據(jù)流量并不會(huì)很大，但由于其在XXXXXXXXXXXX新大樓局域網(wǎng)系統(tǒng)中起著重要的核心連接作用，因此服務(wù)樓交換機(jī)選擇稍低一檔的Cisco三層交換機(jī)。由于在服務(wù)樓內(nèi)的節(jié)點(diǎn)數(shù)量總計(jì)為46個(gè)，可以只設(shè)置一個(gè)分支中心，不需要每層樓設(shè)置獨(dú)立的配線間。根據(jù)投資規(guī)模，設(shè)備可以有兩種選擇，第一種選擇Cisco4507R交換機(jī)，配置如下：6端口千兆模塊48端口10/100M交換模塊，雙引擎及雙電源具體配置詳見(jiàn)建議設(shè)備配置清單。網(wǎng)絡(luò)拓?fù)洌焊鶕?jù)三個(gè)核心節(jié)點(diǎn)設(shè)備選擇的不同，存在兩種網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案，各自的拓?fù)浣Y(jié)構(gòu)分別如下：方案一拓?fù)洌?、方案二拓?fù)洌恨k公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共16頁(yè)，當(dāng)前為第16頁(yè)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共16頁(yè)，當(dāng)前為第16頁(yè)。外網(wǎng)建設(shè)方案外網(wǎng)建設(shè)目標(biāo)建立獨(dú)立于內(nèi)網(wǎng)的網(wǎng)絡(luò)系統(tǒng)，實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離；建立外網(wǎng)信息服務(wù)平臺(tái)，提供豐富的信息服務(wù)；提供Internet接入，為XXXXXXXXXXXX職工安全上網(wǎng)提供便利條件；提供對(duì)社會(huì)公眾的服務(wù)窗口。外網(wǎng)構(gòu)建方案XXXXXXXXXXXX的外網(wǎng)主要用于連接非江蘇電力系統(tǒng)的網(wǎng)絡(luò)，如Internet、銀行等。采取與內(nèi)網(wǎng)物理隔離的方式來(lái)保證內(nèi)網(wǎng)系統(tǒng)的安全性。為實(shí)現(xiàn)內(nèi)外網(wǎng)物理隔離目標(biāo)，建立獨(dú)立的外網(wǎng)系統(tǒng)，在每個(gè)辦公室里設(shè)置一個(gè)到兩個(gè)獨(dú)立的信息點(diǎn)，這些信息點(diǎn)的機(jī)器不與內(nèi)網(wǎng)有任何連接，通過(guò)這種方式實(shí)現(xiàn)與外網(wǎng)的連接。由于外網(wǎng)系統(tǒng)的數(shù)據(jù)流量不大，只要保證連通性，最為主要的是安全性，因此交換設(shè)備可以選擇抵檔一些的設(shè)備，如國(guó)產(chǎn)設(shè)備或不適用于原有網(wǎng)絡(luò)的設(shè)備。新增配置一臺(tái)核心三層交換機(jī)，關(guān)鍵要設(shè)計(jì)好外網(wǎng)出口的安全，建議在外網(wǎng)的Internet及銀行互連端口處設(shè)置防火墻及入侵檢測(cè)裝置。防火墻要設(shè)置DMZ區(qū)域，用于放置WWW、外部Email、DNS等服務(wù)器，將來(lái)可提供對(duì)社會(huì)公眾的信息查詢服務(wù)以及企業(yè)自我宣傳的窗口。外網(wǎng)拓?fù)浣Y(jié)構(gòu)大致如下：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共17頁(yè)，當(dāng)前為第17頁(yè)。由于外網(wǎng)不是本次網(wǎng)絡(luò)系統(tǒng)建設(shè)的重點(diǎn)，本設(shè)計(jì)方案只給出一些建設(shè)意見(jiàn)，不涉及具體的設(shè)備配置。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共17頁(yè)，當(dāng)前為第17頁(yè)。內(nèi)網(wǎng)及外網(wǎng)的IP地址分配方式網(wǎng)絡(luò)內(nèi)部主機(jī)的IP地址的分配方式有以下幾種：手工靜態(tài)配置通過(guò)DHCP動(dòng)態(tài)分配，即通過(guò)DHCP服務(wù)器獲得的IP地址有可能每次都不一樣。在DHCP服務(wù)器上進(jìn)行IP及MAC的綁定，實(shí)行綁定分配，在這種方式下，只要網(wǎng)卡沒(méi)有更換，每次獲得的IP地址均相同。根據(jù)主機(jī)及設(shè)備的屬性，應(yīng)采取不同的IP導(dǎo)致分配方式：對(duì)于服務(wù)器及網(wǎng)絡(luò)設(shè)備，由于相對(duì)穩(wěn)定，建議采用手工靜態(tài)配置IP地址。對(duì)于固定的辦公PC機(jī)，由于手工配置IP地址，要人工記錄已經(jīng)分配的IP地址，以避免同一個(gè)IP地址分配給多臺(tái)機(jī)器，導(dǎo)致網(wǎng)絡(luò)沖突。這些機(jī)器平時(shí)的接入的子網(wǎng)相對(duì)固定，同時(shí)為了便于對(duì)上網(wǎng)機(jī)器統(tǒng)一管理及監(jiān)控，建議內(nèi)網(wǎng)及外網(wǎng)的內(nèi)部的PC機(jī)采用DHCP方式，并且將IP與MAC地址綁定分配，保證每次獲得的IP地址均相同。對(duì)于移動(dòng)上網(wǎng)的筆記本電腦，由于每次所連接的子網(wǎng)可能不同，建議采用DHCP動(dòng)態(tài)分配方式，建議每個(gè)子網(wǎng)的動(dòng)態(tài)分配的IP地址空間為最后20個(gè)。即：X.X.X.234-X.X.X.253。對(duì)于內(nèi)網(wǎng)及外網(wǎng)的DHCP服務(wù)器，有以下兩種選擇：采用PC服務(wù)器，安裝WindowsNT或Windows2000Server操作系統(tǒng)，操作系統(tǒng)內(nèi)置有DHCP服務(wù)功能。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共18頁(yè)，當(dāng)前為第18頁(yè)。由CiscoIOS提供，內(nèi)網(wǎng)的核心由于為6509，配置有MSFC3路由模塊，可以在IOS中啟用DHCP服務(wù)器功能，由6509作為DHCP服務(wù)器。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共18頁(yè)，當(dāng)前為第18頁(yè)。今后可以考慮采用CiscoURT（用戶注冊(cè)管理工具）根據(jù)用戶輸入的用戶名及口令，通過(guò)IEEE802.1x認(rèn)證后接入網(wǎng)絡(luò)，就可以將用戶分配到相應(yīng)的子網(wǎng)并獲得正確的IP地址。服務(wù)質(zhì)量(QoS)的實(shí)施局域網(wǎng)服務(wù)質(zhì)量的實(shí)施隨著視頻監(jiān)控、IP電話以及重要的電力企業(yè)應(yīng)用（如營(yíng)銷(xiāo)）等各種在某段時(shí)間內(nèi)持續(xù)高帶寬低延時(shí)的應(yīng)用的開(kāi)展，網(wǎng)絡(luò)流量的復(fù)雜化，IP交換技術(shù)的發(fā)展，二層、三層交換技術(shù)在保障網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量QoS，避免網(wǎng)絡(luò)擁塞上可以起到不可缺少的作用。概括而言，QoS主要包括數(shù)據(jù)智能分類(lèi)技術(shù)，擁塞控制技術(shù)兩大方面，一般在園區(qū)網(wǎng)絡(luò)中采用以下步驟實(shí)現(xiàn)服務(wù)質(zhì)量：在接入層交換機(jī)中對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)的基本分類(lèi)或根據(jù)交換機(jī)設(shè)定來(lái)進(jìn)行重分類(lèi)（Reclassify），同時(shí)對(duì)網(wǎng)絡(luò)的流量采用監(jiān)控(Policing)，避免由于客戶設(shè)備故障或病毒產(chǎn)生的過(guò)度流量，然后根據(jù)監(jiān)控決策結(jié)果來(lái)將這些流量放入相應(yīng)的上聯(lián)端口的隊(duì)列，然后在此端口上采用加權(quán)XXXX算法來(lái)對(duì)該端口出去的流量進(jìn)行擁塞控制(SchedulingCongestionControl)，確保在接入層上關(guān)鍵數(shù)據(jù)流量的服務(wù)質(zhì)量，在這些數(shù)據(jù)的處理過(guò)程中，同時(shí)完成了第二層以太網(wǎng)幀中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值決定了IP報(bào)文的優(yōu)先級(jí)別，而TOS或DSCP值在經(jīng)過(guò)IP路由器默認(rèn)情況下其值不會(huì)改變，從而能夠提供跨全網(wǎng)的端到端的QoS。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共19頁(yè)，當(dāng)前為第19頁(yè)。核心三層交換機(jī)在收到了從接入層交換機(jī)上傳來(lái)的數(shù)據(jù)包，它開(kāi)始正式對(duì)其第三層IP數(shù)據(jù)包進(jìn)行分析，首先根據(jù)IP地址信息可以選擇不同的轉(zhuǎn)發(fā)鏈路，在選擇了相應(yīng)的鏈路后，這時(shí)候核心三層交換機(jī)在這些鏈路上對(duì)流量的擁塞XXXX不再是依據(jù)以太網(wǎng)幀中的CoS，而是依據(jù)在接入層交換中以及完成賦值的TOS或DSCP，分布層交換機(jī)可以根據(jù)這些值可以對(duì)網(wǎng)絡(luò)中的流量進(jìn)行更細(xì)致的劃分，保證關(guān)鍵流量將根據(jù)其各自的優(yōu)先權(quán)進(jìn)入網(wǎng)絡(luò)核心。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共19頁(yè)，當(dāng)前為第19頁(yè)。從上述技術(shù)分析來(lái)看，實(shí)施時(shí)技術(shù)要求較高，要求在實(shí)施前對(duì)網(wǎng)絡(luò)應(yīng)用模式和具體需要進(jìn)行詳細(xì)分析，然后合理的規(guī)劃采用連接協(xié)議及QoS控制方式，使網(wǎng)絡(luò)在滿足需求的前提下趨于最高性能和可靠性。具體實(shí)現(xiàn)的技術(shù)方案：在XXXXXXXXXXXX的企業(yè)內(nèi)網(wǎng)中接入層交換機(jī)采用Cisco3550交換機(jī)，能夠提供完善的LAN邊緣QoS，在業(yè)內(nèi)此類(lèi)產(chǎn)品中無(wú)以匹敵。所有的Cisco3550交換機(jī)支持兩種模式的重新分類(lèi)方法。一種模式基于IEEE802.1p標(biāo)準(zhǔn)，遵從接入點(diǎn)的服務(wù)等級(jí)（CoS）值并把數(shù)據(jù)包分配到合適的隊(duì)列中。第二種模式，數(shù)據(jù)包根據(jù)由網(wǎng)絡(luò)管理員分配給接入端口的缺省CoS值來(lái)進(jìn)行重新分類(lèi)。如果到達(dá)的幀沒(méi)有CoS值(如未做標(biāo)記的幀)，Cisco3550交換機(jī)就根據(jù)網(wǎng)絡(luò)管理員分配給每個(gè)端口的缺省CoS值來(lái)進(jìn)行分類(lèi)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共20頁(yè)，當(dāng)前為第20頁(yè)。一旦數(shù)據(jù)幀使用上面所說(shuō)的兩種模式分類(lèi)或重新分類(lèi)后，即被分配到最合適的輸出隊(duì)列中去。Cisco3550交換機(jī)支持四種輸出隊(duì)列，使網(wǎng)絡(luò)管理員在為L(zhǎng)AN流量的各種應(yīng)用指定優(yōu)先權(quán)時(shí)更加容易區(qū)分和有針對(duì)性。嚴(yán)格的優(yōu)先權(quán)分配可以保證諸如語(yǔ)音等時(shí)間敏感的應(yīng)用在通過(guò)交換結(jié)構(gòu)時(shí)一直使用高速路徑。另外，另一種重要的增強(qiáng)措施即加權(quán)循環(huán)（WRR）策略也能保證低優(yōu)先級(jí)的負(fù)載在沒(méi)有被網(wǎng)絡(luò)管理員進(jìn)行優(yōu)先級(jí)配置的情況下，能夠得到重視。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共20頁(yè)，當(dāng)前為第20頁(yè)。這些特性使網(wǎng)絡(luò)管理員可以把關(guān)鍵任務(wù)和時(shí)間敏感的流量，如視頻（視頻會(huì)議，視頻監(jiān)控等）、語(yǔ)音（IP電話流量）和CAD/CAM，優(yōu)于低時(shí)間敏感的應(yīng)用如FTP或e-mail（SMTP）等來(lái)設(shè)置更高級(jí)別的優(yōu)先權(quán)。Cisco3550交換機(jī)每個(gè)端口可以工作在兩種模式下：Trust和Untrust。Trust狀態(tài)下交換機(jī)將相信從端口進(jìn)入交換機(jī)的以太網(wǎng)幀中CoS值，這種狀態(tài)下必須依賴(lài)于客戶端程序或系統(tǒng)能夠?qū)ζ洚a(chǎn)生的流量能夠正確的賦予CoS值；在Untrust模式下交換機(jī)可以設(shè)定改寫(xiě)所有進(jìn)入該交換機(jī)端口的以太網(wǎng)幀中的CoS值，無(wú)論其現(xiàn)有的CoS值為多少，可以根據(jù)端口的直接設(shè)定。對(duì)于智能型的Cisco3550也可以通過(guò)ACL來(lái)對(duì)網(wǎng)絡(luò)流量分類(lèi)來(lái)重新設(shè)定。為了同時(shí)也對(duì)第三層IP數(shù)據(jù)中的ToS或DSCP賦值，交換機(jī)也對(duì)應(yīng)一些相應(yīng)的規(guī)則，由于CoS和ToS均為0-7，可以直接對(duì)應(yīng)，CoS和DSCP直接采用DSCP=CoSx8的公式進(jìn)行轉(zhuǎn)換。在網(wǎng)絡(luò)流量的監(jiān)控上，Cisco3550采用了以前只有在6500交換機(jī)上才采用的ratelimit技術(shù)，可以以8Kbps為單位來(lái)定義10/100兆端口上實(shí)際數(shù)據(jù)傳輸速率，當(dāng)速率超過(guò)預(yù)先定義的值可以采用丟棄或降低DSCP的方法來(lái)處理。在上聯(lián)端口的擁塞處理中Cisco3550交換機(jī)采用4條隊(duì)列的方式，其中一條為嚴(yán)格優(yōu)先隊(duì)列（StrictPriority），其余3條隊(duì)為加權(quán)輪詢隊(duì)列，這樣的話為了保證要求服務(wù)質(zhì)量保證的系統(tǒng)最高優(yōu)先級(jí)，可以將所有的有服務(wù)質(zhì)量要求的數(shù)據(jù)設(shè)定分類(lèi)后放入嚴(yán)格優(yōu)先隊(duì)列中，其余的應(yīng)用根據(jù)其各自的情況分類(lèi)，賦予不同的DSCP值。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共21頁(yè)，當(dāng)前為第21頁(yè)。各個(gè)VLAN通過(guò)核心的6513或6509實(shí)現(xiàn)三層互聯(lián)，對(duì)于不同的應(yīng)用，采用策略訪問(wèn)控制列表（PolicyACL）對(duì)有服務(wù)質(zhì)量要求的報(bào)文（如視頻及語(yǔ)音報(bào)文）設(shè)定IP優(yōu)先級(jí)，根據(jù)優(yōu)先級(jí)采用加權(quán)公平隊(duì)列（WFQ）進(jìn)行報(bào)文端到端的QoS傳輸；在路由端口上缺省的隊(duì)列為公平隊(duì)列（FQ），6509MSFC2路由模塊可以根據(jù)IP優(yōu)先級(jí)計(jì)算一個(gè)權(quán)重，權(quán)重＝4096/(優(yōu)先級(jí)＋1)，根據(jù)到達(dá)路由端口的報(bào)文不同的IP優(yōu)先級(jí)計(jì)算出各自的權(quán)重，將報(bào)文放進(jìn)不同的轉(zhuǎn)發(fā)隊(duì)列，根據(jù)權(quán)重的比例進(jìn)行報(bào)文的排放，保證在網(wǎng)絡(luò)擁塞時(shí)優(yōu)先級(jí)高的報(bào)文優(yōu)先通過(guò)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共21頁(yè)，當(dāng)前為第21頁(yè)。網(wǎng)絡(luò)管理系統(tǒng)在當(dāng)今的網(wǎng)絡(luò)系統(tǒng)中，隨著網(wǎng)絡(luò)系統(tǒng)的不斷建設(shè)和完善，網(wǎng)絡(luò)中涉及的設(shè)備將越來(lái)越多，如路由器、交換機(jī)、防火墻、撥號(hào)服務(wù)服務(wù)器等；其次，網(wǎng)絡(luò)技術(shù)也日趨復(fù)雜，從10/100M以太網(wǎng)、千兆以太網(wǎng)、ATM、多媒體技術(shù)、安全策略等等；再有不同的網(wǎng)絡(luò)設(shè)備的配置命令也不盡相同。導(dǎo)致在網(wǎng)絡(luò)系統(tǒng)發(fā)生故障時(shí)，使網(wǎng)管人員無(wú)從下手，降低了網(wǎng)絡(luò)運(yùn)行的效率。這就客觀要求要有一套好的網(wǎng)絡(luò)管理系統(tǒng)與之相配套。網(wǎng)絡(luò)管理任務(wù)及策略網(wǎng)絡(luò)管理是網(wǎng)絡(luò)建設(shè)中不可缺少的重要組成部分。一個(gè)良好的網(wǎng)絡(luò)管理系統(tǒng)可以幫助用戶在很大的程度上優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，預(yù)防和及時(shí)排除故障，減少網(wǎng)絡(luò)的維護(hù)費(fèi)用。因此，網(wǎng)絡(luò)管理對(duì)保證網(wǎng)絡(luò)安全高效的運(yùn)行是非常重要的。網(wǎng)絡(luò)管理的任務(wù)主要包括以下方面內(nèi)容：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共22頁(yè)，當(dāng)前為第22頁(yè)。網(wǎng)絡(luò)性能管理：收集網(wǎng)絡(luò)運(yùn)行各種統(tǒng)計(jì)信息，例如設(shè)備和鏈路的負(fù)載、可用性及可靠性、網(wǎng)絡(luò)的可用率等，優(yōu)化網(wǎng)絡(luò)性能，消除網(wǎng)絡(luò)中的瓶頸，實(shí)現(xiàn)網(wǎng)絡(luò)流量分布的均勻性，實(shí)現(xiàn)各種策略管理。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共22頁(yè)，當(dāng)前為第22頁(yè)。網(wǎng)絡(luò)配置管理：網(wǎng)絡(luò)節(jié)點(diǎn)部件、端口及路由的配置，收集當(dāng)前系統(tǒng)狀態(tài)的有關(guān)信息，更改系統(tǒng)的配置等。網(wǎng)絡(luò)故障管理：維護(hù)并檢查錯(cuò)誤日志，接受錯(cuò)誤檢測(cè)報(bào)告并作出反應(yīng)，跟蹤錯(cuò)誤檢測(cè)報(bào)告并作出反應(yīng)，跟蹤及辨認(rèn)錯(cuò)誤，執(zhí)行診斷測(cè)試，糾正錯(cuò)誤等。業(yè)務(wù)量統(tǒng)計(jì)：對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)、設(shè)備等的告警產(chǎn)生、告警內(nèi)容和告警清除的統(tǒng)計(jì)；根據(jù)IP地址，統(tǒng)計(jì)業(yè)務(wù)流量和流向，實(shí)現(xiàn)對(duì)網(wǎng)管人員操作網(wǎng)管設(shè)備過(guò)程的記錄和統(tǒng)計(jì)。網(wǎng)絡(luò)安全管理：包括各種級(jí)別、層次的安全防護(hù)措施的管理，對(duì)網(wǎng)絡(luò)中各種配置數(shù)據(jù)必須有保護(hù)措施，當(dāng)網(wǎng)管系統(tǒng)出現(xiàn)故障時(shí)，能自動(dòng)及人工恢復(fù)正常工作，不影響網(wǎng)絡(luò)的正常運(yùn)行。對(duì)于XXXXXXXXXXXX網(wǎng)絡(luò)系統(tǒng)來(lái)說(shuō)，由于其內(nèi)網(wǎng)、外網(wǎng)網(wǎng)絡(luò)界限劃分明顯，且隨著網(wǎng)絡(luò)的發(fā)展今后其覆蓋面將越來(lái)越廣，涉及的網(wǎng)絡(luò)設(shè)備眾多，因此如何有效地管理整個(gè)網(wǎng)絡(luò)，提高網(wǎng)絡(luò)運(yùn)行效率是網(wǎng)絡(luò)運(yùn)行管理過(guò)程中一件非常重要的工作。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共23頁(yè)，當(dāng)前為第23頁(yè)。網(wǎng)絡(luò)的管理不僅僅是配置一套網(wǎng)管系統(tǒng)，而應(yīng)該是制定一個(gè)系統(tǒng)的網(wǎng)管策略，包括網(wǎng)絡(luò)設(shè)備的管理（配置、監(jiān)控、性能等方面）、網(wǎng)絡(luò)終端用戶信息管理、網(wǎng)絡(luò)地址的分配、網(wǎng)絡(luò)配線（包括光配及線配）的管理、網(wǎng)絡(luò)安全的管理、網(wǎng)絡(luò)認(rèn)證的管理、網(wǎng)絡(luò)權(quán)限的管理等等。網(wǎng)管軟件只能完成其中部分功能，其他功能如網(wǎng)絡(luò)終端用戶管理、網(wǎng)絡(luò)配線管理等需要結(jié)合其他根據(jù)軟件或人工來(lái)完成。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共23頁(yè)，當(dāng)前為第23頁(yè)。網(wǎng)管平臺(tái)選擇網(wǎng)管系統(tǒng)的建立與選擇應(yīng)該根據(jù)以下的幾個(gè)原則來(lái)進(jìn)行：網(wǎng)管軟件應(yīng)能監(jiān)控網(wǎng)絡(luò)設(shè)備，以圖形方式實(shí)時(shí)顯示設(shè)備的運(yùn)行狀態(tài)；網(wǎng)管軟件能自動(dòng)尋找并顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；網(wǎng)管軟件能監(jiān)控網(wǎng)絡(luò)的狀態(tài)并在一定的情況下報(bào)警；網(wǎng)管軟件應(yīng)能監(jiān)控網(wǎng)絡(luò)的性能，并設(shè)置一定的閥值，在超過(guò)閥值的情況下自動(dòng)報(bào)警；應(yīng)能用圖形方式對(duì)虛擬網(wǎng)進(jìn)行設(shè)置與管理；動(dòng)態(tài)分配網(wǎng)絡(luò)資源；記錄與搜索網(wǎng)絡(luò)的歷史性資料；支持SNMP及RMON網(wǎng)絡(luò)管理協(xié)議；具有良好的用戶界面，方便網(wǎng)絡(luò)管理者的工作，如有基于XWINDOWS圖形用戶界面（GUI）或基于WEB的瀏覽器界面；能對(duì)網(wǎng)絡(luò)資源的利用率、趨勢(shì)、MIB變量進(jìn)行查詢與分析并能用圖表的形式顯示出來(lái)；能進(jìn)行安全性管理，控制用戶對(duì)網(wǎng)絡(luò)資源的未經(jīng)授權(quán)的訪問(wèn)；能對(duì)設(shè)備的配置文件、軟件進(jìn)行管理；辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共24頁(yè)，當(dāng)前為第24頁(yè)。目前各主要網(wǎng)絡(luò)廠家都向用戶提供與本廠家設(shè)備相關(guān)的網(wǎng)管軟件，都有較全面的管理功能，且都提供圖形操作界面，使用直觀方便。如Cisco的CiscoWorks2000、IBM的Netview、HP的Openview等。但一個(gè)廠家的設(shè)備只有用本廠家的網(wǎng)管軟件才能得到全功能的管理。如果一個(gè)廠家的網(wǎng)絡(luò)設(shè)備采用另外一家的網(wǎng)管軟件來(lái)管理，則除非網(wǎng)絡(luò)設(shè)備的原廠商能夠提供基于此網(wǎng)管平臺(tái)的設(shè)備管理信息庫(kù)（MIB），否則將不能直觀的看到網(wǎng)絡(luò)設(shè)備的面板及真實(shí)的端口狀態(tài)，只能看到一些SNMP的基本信息，非常不直觀，不便于管理。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共24頁(yè)，當(dāng)前為第24頁(yè)。由于XXXXXXXXXXXX的網(wǎng)絡(luò)基本由Cisco設(shè)備構(gòu)建而成，網(wǎng)絡(luò)管理以XXXXXXXXXXXX的局域網(wǎng)系統(tǒng)管理為主，建議采用Cisco公司的局域網(wǎng)網(wǎng)絡(luò)管理軟件LanManagementSolution，在今后覆蓋全省的MPLS/VPN網(wǎng)絡(luò)系統(tǒng)建成后，其網(wǎng)管中心將放置在省公司，由省公司統(tǒng)一管理各個(gè)VPN的劃分。各個(gè)地市供電公司只負(fù)責(zé)本地PE路由器以下的局域網(wǎng)系統(tǒng)管理，與現(xiàn)在的管理權(quán)限基本相同。LanManagementSolution可基于WindowsNT/2000Server及SUN的Solaris操作系統(tǒng)，是一種多功能的企業(yè)級(jí)網(wǎng)絡(luò)管理軟件。它包括如下網(wǎng)絡(luò)管理模塊：最基本的模塊CDONE及RME，是其他網(wǎng)絡(luò)管理模塊的基礎(chǔ)，提供了網(wǎng)絡(luò)設(shè)備狀態(tài)采集及遠(yuǎn)程監(jiān)控等功能?；谶@兩個(gè)模塊還有園區(qū)網(wǎng)管理核心模塊－CM，提供設(shè)備的配置及信息采集功能、內(nèi)容流管理模塊－CFM、還有設(shè)備報(bào)錯(cuò)管理模塊－DFM。這些網(wǎng)絡(luò)管理模塊給網(wǎng)絡(luò)管理員提供了一套工具組來(lái)輕松地管理整個(gè)園區(qū)網(wǎng)絡(luò)。組網(wǎng)設(shè)備簡(jiǎn)介CiscoCatalyst6500系列交換機(jī)辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共25頁(yè)，當(dāng)前為第25頁(yè)。CiscoCatalyst6500系列交換機(jī)為園區(qū)網(wǎng)提供了一組高性能、多層交換的解決方案，專(zhuān)為需要千兆擴(kuò)展、高度適用、多層交換的主從分布而服務(wù)器集中的應(yīng)用環(huán)境設(shè)計(jì)。Catalyst6500系列具備強(qiáng)大的網(wǎng)絡(luò)管理性，用戶機(jī)動(dòng)性，安全性，高度實(shí)用性和對(duì)多媒體的支持。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共25頁(yè)，當(dāng)前為第25頁(yè)。產(chǎn)品特性：多層交換功能卡(MSFC3)可實(shí)現(xiàn)以線速進(jìn)行IP（RIP、RIP2、OSPF、EIGRP、PIM、HSRP）,IPX和IP-multicast路由，同時(shí)支持AppleTalk,DecNet,Vines和CacheEngine。在缺省狀態(tài)下，每塊MSFC3可以提供30Mpps的路由轉(zhuǎn)發(fā)能力，如果結(jié)合分布式轉(zhuǎn)發(fā)處理模塊（DFC），實(shí)現(xiàn)第三層交換在板卡的端口間完成，可將第三層的報(bào)文處理能力提供至400Mpps以上。Catalyst6500缺省的背板交換能力為32Gbps，采用SUP720交換引擎，可將整機(jī)的交換能力升級(jí)到720Gbps完備的IOS功能（ACL、TACACS+、QoS--WRR）。Catalyst6509可配置內(nèi)置入侵檢測(cè)模塊，對(duì)流經(jīng)6509的報(bào)文進(jìn)行監(jiān)測(cè)。支持多達(dá)8個(gè)物理的快速/千兆以太網(wǎng)口利用以太網(wǎng)通道技術(shù)（FastEtherChannel—FEC或GigabitEtherChannel—GEC）連接,在邏輯上實(shí)現(xiàn)達(dá)到16Gbps.EtherChannel端口連接，同時(shí)可以跨模塊端口聚合實(shí)現(xiàn)高效能連接。通過(guò)FlexWAN(WAN擴(kuò)展)模塊可提供與7200/7500系列相同的WAN接口。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共26頁(yè)，當(dāng)前為第26頁(yè)。全面提供業(yè)界領(lǐng)先的基于Cisco互連網(wǎng)操作系統(tǒng)（IOS）的各項(xiàng)網(wǎng)絡(luò)特性：.可靠的網(wǎng)絡(luò)安全性管理,增強(qiáng)的服務(wù)質(zhì)量（QOS）管理,提供增值的網(wǎng)絡(luò)彈性管理，為網(wǎng)管軟件CiscoWorks2000和CiscoResourceEssentials提供接口管理框架。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共26頁(yè)，當(dāng)前為第26頁(yè)。支持多層次的網(wǎng)絡(luò)彈性和服務(wù)功能，設(shè)備級(jí)的故障容錯(cuò)性能，包括下面選項(xiàng)：—冗余超級(jí)引擎—冗余負(fù)載共享的電源（AC&DC）—冗余負(fù)載共享的風(fēng)扇—冗余的系統(tǒng)時(shí)鐘—冗余上連—冗余交換背板（Catalyst6500系列）策略功能卡(PFC)能夠以線速實(shí)現(xiàn)IOS的流量控制功能，并可對(duì)不同3層交換路徑實(shí)現(xiàn)負(fù)載均衡。通過(guò)Console/Auxiliary端口在本地或遠(yuǎn)程對(duì)交換機(jī)進(jìn)行連接設(shè)置。CiscoCatalyst4507RCatalyst4507R為Cisco新推出的Catalyst局域網(wǎng)解決方案，將基于Catalyst交換機(jī)的主干網(wǎng)網(wǎng)絡(luò)服務(wù)擴(kuò)展到企業(yè)配線間。通過(guò)新的Catalyst4507R系統(tǒng)，在原來(lái)Catalyst4000系列交換機(jī)基礎(chǔ)上提供冗余引擎功能，提供64Gbps的交換能力，通過(guò)4代引擎提供48Mpps的路由轉(zhuǎn)發(fā)能力。將Catalyst4000系列交換機(jī)從企業(yè)配線間大容量接入設(shè)備提升為小型局域網(wǎng)核心交換設(shè)備。Catalyst4507R還提供如下功能：IP電話設(shè)備及網(wǎng)關(guān)組播流應(yīng)用，例如CiscoIP/TV解決方案辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共27頁(yè)，當(dāng)前為第27頁(yè)。第四至第七層服務(wù)辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共27頁(yè)，當(dāng)前為第27頁(yè)。千兆位桌面CiscoCatalyst3550CiscoCatalyst3550系列智能以太網(wǎng)交換機(jī)是一個(gè)可堆疊多層交換機(jī)系列，可通過(guò)高可用性、服務(wù)質(zhì)量（QoS）和安全性來(lái)改進(jìn)網(wǎng)絡(luò)運(yùn)行。憑借一系列快速以太網(wǎng)和千兆位以太網(wǎng)配置，CiscoCatalyst3550系列堪稱(chēng)一款適用于企業(yè)和城域接入應(yīng)用的強(qiáng)大選擇。主要企業(yè)特性：能利用傳統(tǒng)LAN交換的簡(jiǎn)潔性來(lái)部署網(wǎng)絡(luò)智能服務(wù)將CiscoIOS軟件中的一套第2-4層功能——IP路由、QoS、限速、訪問(wèn)控制列表（ACL）和多播服務(wù)擴(kuò)展到邊緣憑借內(nèi)置Cisco集群管理套件來(lái)簡(jiǎn)化接入層和小型骨干網(wǎng)的部署用全套千兆位接口轉(zhuǎn)換器（GBIC）設(shè)備提供強(qiáng)大的千兆位以太網(wǎng)連接主要的城域接入優(yōu)勢(shì)通過(guò)高性能IP路由、802.1Q隧道、高級(jí)QoS和限速速率限制來(lái)提供廣泛的服務(wù)通過(guò)生成樹(shù)協(xié)議改進(jìn)和ACL來(lái)提供服務(wù)可用性和安全性辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共28頁(yè)，當(dāng)前為第28頁(yè)。通過(guò)CiscoIE2100系列智能引擎支持和簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）來(lái)進(jìn)行服務(wù)管理辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共28頁(yè)，當(dāng)前為第28頁(yè)。系統(tǒng)安全建設(shè)系統(tǒng)安全分析網(wǎng)絡(luò)系統(tǒng)安全問(wèn)題一直為人們所關(guān)注。如何保證網(wǎng)絡(luò)的安全性，除了需要制訂相應(yīng)的法律法規(guī)加以約束外，采用什么樣的技術(shù)手段來(lái)控制是非常重要的。一個(gè)完整的安全解決方案應(yīng)該是一個(gè)系統(tǒng)化、一體化的立體的防御結(jié)構(gòu)。如下圖所示，系統(tǒng)安全包括網(wǎng)絡(luò)群體、系統(tǒng)群體、用戶群體、應(yīng)用群體、數(shù)據(jù)加密等不同層次多角度的安全控制。安全體系建立的原則一個(gè)系統(tǒng)的安全體系建設(shè)應(yīng)從兩方面加以建設(shè)，要采用兩條腿一起走路：一是網(wǎng)絡(luò)安全的結(jié)構(gòu)設(shè)計(jì)，包括網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)、用戶級(jí)、應(yīng)用級(jí)、數(shù)據(jù)級(jí)安全防御體系；二是網(wǎng)絡(luò)安全管理，包括建立安全組織、制訂安全策略、網(wǎng)絡(luò)安全管理規(guī)范、安全管理工作流程、網(wǎng)絡(luò)安全審計(jì)等。兩方面的工作要相輔相成，貫穿于整個(gè)的網(wǎng)絡(luò)生命周期。網(wǎng)絡(luò)安全不是某個(gè)產(chǎn)品點(diǎn)，它涉及到各種技術(shù)，它應(yīng)該是優(yōu)秀的網(wǎng)絡(luò)設(shè)計(jì)的一部分。各種網(wǎng)絡(luò)安全措施構(gòu)建一個(gè)完整的安全體系應(yīng)包含以下幾個(gè)方面：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共29頁(yè)，當(dāng)前為第29頁(yè)。訪問(wèn)控制-通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的訪問(wèn)控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻擊目標(biāo)之前。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共29頁(yè)，當(dāng)前為第29頁(yè)。檢查安全漏洞-通過(guò)對(duì)安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無(wú)效。攻擊監(jiān)控-通過(guò)對(duì)特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測(cè)出絕大多數(shù)攻擊，并采取相應(yīng)的行動(dòng)（如斷開(kāi)網(wǎng)絡(luò)連接、記錄攻擊過(guò)程、跟蹤攻擊源等）。加密通訊-主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息。認(rèn)證-良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)-良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。網(wǎng)絡(luò)防病毒－對(duì)病毒傳播途徑的有效控制，包括郵件系統(tǒng)、網(wǎng)關(guān)、防火墻等要做到全面防毒；對(duì)病毒生存環(huán)境的有效清理，包括殺毒引擎、病毒庫(kù)更新等。多層防御-攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。設(shè)立安全監(jiān)控中心-為信息系統(tǒng)提供安全體系管理、監(jiān)控，保護(hù)及緊急情況服務(wù)。為此，我們突出地提出如下三個(gè)方面的安全理念--安全策略、管理和技術(shù)。安全策略--包括各種策略、法律法規(guī)、規(guī)章制度、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)等，是信息安全的最核心問(wèn)題，是整個(gè)信息安全建設(shè)的依據(jù)；安全管理--主要是人員、組織和流程的管理，是實(shí)現(xiàn)信息安全的落實(shí)手段；安全技術(shù)--包含工具、產(chǎn)品和服務(wù)等，是實(shí)現(xiàn)信息安全的有力保證。設(shè)備自身的安全措施辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共30頁(yè)，當(dāng)前為第30頁(yè)。網(wǎng)絡(luò)設(shè)備的安全對(duì)整個(gè)網(wǎng)絡(luò)的安全、正常運(yùn)行有很大的意義。網(wǎng)絡(luò)設(shè)備的安全是是許多安全措施能夠順利實(shí)施的基礎(chǔ)。如果網(wǎng)絡(luò)設(shè)備的配置能夠被隨意看到，其所配置的路由識(shí)別ID、密碼等都失去意義；VLAN的配置如能被隨意改動(dòng)，則VLAN將形同虛設(shè)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共30頁(yè)，當(dāng)前為第30頁(yè)。保護(hù)網(wǎng)絡(luò)設(shè)備應(yīng)注意兩個(gè)方面：設(shè)備的配置需要保護(hù)，防止非授權(quán)訪問(wèn)；設(shè)備的資源必須有效保護(hù)，防止像DOS這樣的資源掠奪式攻擊。網(wǎng)絡(luò)設(shè)備分級(jí)登錄驗(yàn)證防范對(duì)網(wǎng)絡(luò)設(shè)備的非法訪問(wèn)，需要保護(hù)關(guān)鍵的配置信息（如密碼、ID等），管理員必須經(jīng)過(guò)嚴(yán)格身份鑒別和授權(quán)。在江蘇電力企業(yè)內(nèi)聯(lián)網(wǎng)系統(tǒng)中，投標(biāo)方推薦的Cisco所有設(shè)備本身都有相應(yīng)的安全措施。針對(duì)于單一管理員權(quán)限無(wú)限大的問(wèn)題，可以根據(jù)具體管理員的職能分工進(jìn)行權(quán)限分配。在Cisco的路由交換設(shè)備上，可以將管理員的權(quán)限劃分為15級(jí)權(quán)限檔次，針對(duì)每個(gè)權(quán)限可以定制相應(yīng)的命令集，為實(shí)現(xiàn)各種管理目的而設(shè)立的不同職能管理員之間可互不侵?jǐn)_的完成各自工作。例如，普通操作員只能監(jiān)視設(shè)備運(yùn)行，不可進(jìn)行其他操作；高級(jí)的管理員可做故障診斷，不可修改設(shè)備配置文件；系統(tǒng)管理員可具有所有功能權(quán)限等。同樣，對(duì)于SNMP服務(wù)也可以通過(guò)設(shè)置不同級(jí)別的Community，讓不同級(jí)別的網(wǎng)管系統(tǒng)獲得不同的操作權(quán)限。限制登錄會(huì)話數(shù)Cisco網(wǎng)絡(luò)設(shè)備必須通過(guò)嚴(yán)格的認(rèn)證程序才能夠進(jìn)行登錄，這種認(rèn)證既包括對(duì)遠(yuǎn)程登錄，也包括本地的Console登錄。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共31頁(yè)，當(dāng)前為第31頁(yè)。Cisco網(wǎng)絡(luò)設(shè)備可以設(shè)定對(duì)本身的登錄會(huì)話數(shù)，這種限制包括兩個(gè)層次：辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共31頁(yè)，當(dāng)前為第31頁(yè)。并發(fā)遠(yuǎn)程登錄會(huì)話總數(shù)的限制;一個(gè)用戶同時(shí)登錄數(shù)的限制;建議對(duì)每個(gè)管理員都分配一個(gè)User-ID。有兩種方法登記User-ID。一種是在路由器上配置username/password。另一種方法是用AAA來(lái)保護(hù)路由器，由一中心AAA(TACACS+/Radius)服務(wù)器維護(hù)Username/Password。第二種方法更具擴(kuò)展性和安全性。另外使用Token服務(wù)器提供一次性口令的更換，與AAA服務(wù)器相結(jié)合便可向網(wǎng)絡(luò)管理員提供對(duì)設(shè)備的一次性口令登錄。我們推薦，在條件具備時(shí)，網(wǎng)絡(luò)中心配置CiscoSecureACS服務(wù)器，為管理員登錄到Cisco設(shè)備提供統(tǒng)一的身份認(rèn)證中心。CiscoSecureACS服務(wù)器支持RADIUS，TACACS+等標(biāo)準(zhǔn)的認(rèn)證協(xié)議，提供網(wǎng)絡(luò)設(shè)備的用戶AAA服務(wù)。CiscoSecureACS具有良好的管理界面，管理員可以通過(guò)瀏覽器進(jìn)行用戶管理與配置。管理員登錄網(wǎng)絡(luò)設(shè)備的過(guò)程如下：用戶執(zhí)行遠(yuǎn)程登錄命令(例如：Telnet)，網(wǎng)絡(luò)設(shè)備判斷當(dāng)前的并發(fā)連接數(shù)是否已經(jīng)達(dá)到上限。如果數(shù)量沒(méi)有超，網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。輸入口令后，網(wǎng)絡(luò)設(shè)備向AAA服務(wù)器查詢?cè)撚脩羰欠裼袡?quán)登錄AAA服務(wù)器檢索用戶數(shù)據(jù)庫(kù)，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶登錄的時(shí)間、IP作詳細(xì)記錄；若不能在用戶數(shù)據(jù)庫(kù)中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SNMP的警告消息。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共32頁(yè)，當(dāng)前為第32頁(yè)。網(wǎng)絡(luò)設(shè)備得到AAA的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，如果應(yīng)答為DENY則關(guān)閉掉當(dāng)前的SESSION進(jìn)程；如果為PERMIT則根據(jù)AAA服務(wù)器返回的用戶權(quán)限為該用戶開(kāi)啟SESSION進(jìn)程，并將用戶所執(zhí)行的操作向AAA服務(wù)器進(jìn)行報(bào)告。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共32頁(yè)，當(dāng)前為第32頁(yè)。設(shè)備并發(fā)登錄數(shù)限制通過(guò)對(duì)CiscoIOS中vty的配置，可以指定對(duì)本設(shè)備并發(fā)遠(yuǎn)程登錄會(huì)話數(shù)的上限，也可以配置成為不可被遠(yuǎn)程登錄的設(shè)備。設(shè)備登錄地點(diǎn)限制Cisco的IOS支持專(zhuān)門(mén)針對(duì)遠(yuǎn)程登錄或者SNMP訪問(wèn)的安全訪問(wèn)控制列表功能，可以禁止來(lái)自于某些節(jié)點(diǎn)的登錄或者SNMP請(qǐng)求。單用戶并發(fā)登錄數(shù)限制通過(guò)對(duì)CiscoSecureACS進(jìn)行配置，特定用戶并發(fā)的登錄次數(shù)可以得到限定?？诹畋Ｗo(hù)對(duì)于IOS，在配置中出現(xiàn)的用戶名、口令、路由識(shí)別ID等關(guān)鍵信息都可以以加密方式儲(chǔ)存和顯示，而且加密分為一般和高級(jí)兩種，后者用MD5編碼，很難用數(shù)學(xué)方法破解；網(wǎng)絡(luò)設(shè)備和CiscoSecureACS之間進(jìn)行用戶認(rèn)證時(shí)，采用加密的方法傳送用戶登錄信息，避免口令的泄漏。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共33頁(yè)，當(dāng)前為第33頁(yè)。另外，為了防止口令泄漏問(wèn)題，我們推薦用戶為管理員配備RSA公司的ACE/SecurID令牌卡產(chǎn)品。RSAACE產(chǎn)品采用Client/Server的結(jié)構(gòu)方式，后臺(tái)運(yùn)行RSAACE/Server提供認(rèn)證，每位用戶配置一塊TokenCard，該TokenCard利用唯一的一個(gè)64位基數(shù)、UCT時(shí)間生成一個(gè)6位數(shù)的TokenCode,用戶用自己的PIN號(hào)碼與TokenCode組成認(rèn)證用的PASSCODE，PASSCODE是每60秒變化一次，而同時(shí)在統(tǒng)一時(shí)間內(nèi)只能一個(gè)用戶成功登錄。由于密碼是實(shí)時(shí)動(dòng)態(tài)變化的，因此用戶不需要關(guān)心他的密碼回被泄露。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共33頁(yè)，當(dāng)前為第33頁(yè)。RSAACE服務(wù)器可以和CiscoSecureACS相配合，作為SecureACS的用戶庫(kù)，為持有令牌卡的管理員用戶提供口令認(rèn)證。其工作模式如圖：防資源掠奪式攻擊攻擊特點(diǎn)和原理對(duì)設(shè)備的另一種安全威脅是資源掠奪式攻擊，是指通過(guò)持續(xù)調(diào)用設(shè)備的一些檢測(cè)用途的應(yīng)用和端口號(hào)或利用設(shè)備對(duì)異常包處理的漏洞占用CPU資源或?qū)е聝?nèi)存溢出，影響設(shè)備的正常功能，嚴(yán)重的甚至導(dǎo)致網(wǎng)絡(luò)設(shè)備死機(jī)，常見(jiàn)的DOS，DDOS和ping攻擊都屬于此種情況。在拒絕服務(wù)（DoS）攻擊中，惡意用戶向網(wǎng)絡(luò)設(shè)備發(fā)送多個(gè)請(qǐng)求，使其滿負(fù)載，并且所有請(qǐng)求的返回地址都是偽造的。當(dāng)網(wǎng)絡(luò)設(shè)備企圖將結(jié)果返回給用戶時(shí)，它將無(wú)法找到這些用戶。在這種情況下，網(wǎng)絡(luò)設(shè)備只好等待，有時(shí)甚至?xí)却?分鐘才能關(guān)閉此次連接。當(dāng)網(wǎng)絡(luò)設(shè)備關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請(qǐng)求，以上過(guò)程又重復(fù)發(fā)生，直到網(wǎng)絡(luò)設(shè)備因過(guò)載而拒絕提供服務(wù)。分布式拒絕服務(wù)（DDOS）把DoS又向前發(fā)展了一步。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動(dòng)化。與其他分布式概念類(lèi)似，分布式拒絕服務(wù)可以方便地協(xié)調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下，就會(huì)有一股拒絕服務(wù)洪流沖擊網(wǎng)絡(luò)，并使其因過(guò)載而崩潰。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共34頁(yè)，當(dāng)前為第34頁(yè)。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共34頁(yè)，當(dāng)前為第34頁(yè)。DDOS工作的基本概念如圖所示。黑客(client)在不同的主機(jī)(handler)上安裝大量的DoS服務(wù)程序，它們等待來(lái)自中央客戶端(client)的命令，中央客戶端隨后通知全體受控服務(wù)程序(agent)，并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的DoS服務(wù)程序，這就是它被叫做分布式DoS的原因。實(shí)際的攻擊并不僅僅是簡(jiǎn)單地發(fā)送海量信息，而是采用DDOS的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的DDOS工具基本上都可以偽裝源地址。它們發(fā)送原始的IP包（rawIPpacket），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過(guò)SYN打開(kāi)半開(kāi)的TCP連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強(qiáng)，DDOS通常會(huì)利用任何一種通過(guò)發(fā)送單獨(dú)的數(shù)據(jù)包就能探測(cè)到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊。解決辦法針對(duì)資源掠奪性攻擊，在網(wǎng)絡(luò)設(shè)備上可以進(jìn)行多層次的防范：(1)在CiscoIOS中使用命令可一次性關(guān)閉所有帶有安全隱患的端口檢測(cè)和進(jìn)程調(diào)用。A.在路由器全局模式下鍵入noservicetcp-small-servers辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共35頁(yè)，當(dāng)前為第35頁(yè)。noserviceudp-small-servers辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共35頁(yè)，當(dāng)前為第35頁(yè)?？梢员苊釻DP/TCP診斷端口DoS(DenialofService)攻擊B.在路由器全局模式下鍵入noservicefinger可以避免被外人窺測(cè)出login信息。C.在骨干路由器全局模式下鍵入noipredirectsnoipdirected-broadcastnoipproxy-arp可以避免SMURF攻擊。D.在骨干路由器全局模式下鍵入noservicepadnoipbootpservernocdprunnocdpenable可以避免損耗CPU攻擊。(2)可疑數(shù)據(jù)流帶寬控制在邊緣匯聚層的交換機(jī)和路由器上，使用隊(duì)列技術(shù)或者CAR的方法對(duì)ping及SYN數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防DDOS的攻擊。(3)采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共36頁(yè)，當(dāng)前為第36頁(yè)。當(dāng)系統(tǒng)收到來(lái)自奇怪或未知地址的可疑流量時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystems）能夠給系統(tǒng)管理人員發(fā)出報(bào)警信號(hào)，提醒他們及時(shí)采取應(yīng)對(duì)措施，如切斷連接或反向跟蹤等。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共36頁(yè)，當(dāng)前為第36頁(yè)。SNMP協(xié)議安全禁止使用SNMPv1，因?yàn)樵揝NMPv1的communitystring是明文在網(wǎng)絡(luò)中傳遞的；如果可能的話，最好使用SNMPv2，該版本對(duì)于communitystring使用了基于MD5的消息摘要認(rèn)證機(jī)制，同時(shí)考慮了限制各種管理數(shù)據(jù)的訪問(wèn)；如果使用了SNMPv2的話，那么可以使用snmp-serverparty中的authentication和md5來(lái)配置消息認(rèn)證，并且配置訪問(wèn)列表來(lái)定義只有網(wǎng)管工作站可以通過(guò)SNMP對(duì)路由器進(jìn)行管理。CDP協(xié)議CDP協(xié)議為Cisco自有的協(xié)議，可以通過(guò)其自動(dòng)發(fā)現(xiàn)直接連接的Cisco設(shè)備，但CDP服務(wù)同樣也可以暴露網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)及IP地址信息，建議在網(wǎng)絡(luò)正常運(yùn)行過(guò)程中將CDP協(xié)議禁用。配置命令為：nocdprunHTTP服務(wù)安全分析路由器缺省均正常HTTPserver功能，任何一臺(tái)機(jī)器均可以通過(guò)HTTP協(xié)議訪問(wèn)路由器，這樣容易暴露路由器的配置信息，建議禁止HTTP服務(wù)。如果要啟用HTTP服務(wù)進(jìn)行管理的話，則需要對(duì)其進(jìn)行安全配置，最好使用iphttpaccess-class來(lái)限制可以訪問(wèn)的IP地址并且通過(guò)使用iphttpauthentication命令來(lái)配置認(rèn)證選項(xiàng)，設(shè)置用戶名和密碼。TCP、UDPSmall服務(wù)路由器缺省開(kāi)放的TCP及UDPSmallservice服務(wù)功能存在安全隱患，建議將其關(guān)閉。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共37頁(yè)，當(dāng)前為第37頁(yè)。配置命令為：noservicetcp-small-service辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共37頁(yè)，當(dāng)前為第37頁(yè)。 noserviceudp-small-serviceBOOTp服務(wù)路由器缺省啟用Bootp服務(wù)，可以從網(wǎng)絡(luò)啟動(dòng)和自動(dòng)從網(wǎng)絡(luò)下載初始配置文件，由于沒(méi)有用戶名口令限制，可能導(dǎo)致下載錯(cuò)誤的代碼及配置文件，導(dǎo)致路由器配置和功能更改，建議將其關(guān)閉。配置命令為：nobootnetworknoipbootpserver內(nèi)網(wǎng)的安全設(shè)計(jì)在XXXX市供電公司的內(nèi)部網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，所選擇的Cisco交換機(jī)都支持VLAN功能，這樣，可以將具有同一安全級(jí)別的用戶劃分到一個(gè)VLAN中，這樣，不同VLAN之間的用戶不能直接訪問(wèn)，保證了網(wǎng)絡(luò)系統(tǒng)的安全性。在Catalyst6506交換機(jī)上，通過(guò)Cisco的訪問(wèn)控制列表控制VLAN之間的安全，這樣就可以允許高優(yōu)先級(jí)的VLAN段訪問(wèn)低優(yōu)先級(jí)的VLAN段，而低優(yōu)先級(jí)的VLAN段不能訪問(wèn)或有限的訪問(wèn)高優(yōu)先級(jí)VLAN段。Cisco支持的訪問(wèn)列表包括以下幾種類(lèi)型：標(biāo)準(zhǔn)訪問(wèn)控制列表：通過(guò)網(wǎng)絡(luò)層的源地址來(lái)限制指定的站點(diǎn)訪問(wèn)指定的VLAN，從而限制特定的站點(diǎn)訪問(wèn)特定VLAN的能力。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共38頁(yè)，當(dāng)前為第38頁(yè)。擴(kuò)展訪問(wèn)控制列表：通過(guò)網(wǎng)絡(luò)層的源地址、目的地址、協(xié)議號(hào)、源端口、目的端口、包大小以及是否是已經(jīng)建立連接的包等來(lái)實(shí)現(xiàn)對(duì)特定數(shù)據(jù)流的控制，從而保證限制特定站點(diǎn)訪問(wèn)特定服務(wù)的能力。辦公大樓綜合樓智能化工程計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)方案全文共38頁(yè)，當(dāng)前為第38頁(yè)。動(dòng)態(tài)訪問(wèn)控制列表：動(dòng)態(tài)訪問(wèn)列表同普通的標(biāo)準(zhǔn)和擴(kuò)展訪問(wèn)列表類(lèi)似，但是這個(gè)訪問(wèn)控制列表需要通過(guò)Telnet到Cisco路由器上，并在Cisco路由器的