學校網絡實訓室工程項目方案

佛山市我職業(yè)技術學校

網絡安全存儲實訓室

工程項目

項目編號：CCGP2013113G

實

施

方

案

北京大恒軟件技術有限公司

2013年11月1日

目錄

1.1項目建設背景...................................................................4

1.2大恒實施本項目的優(yōu)勢..........................................................4

1.2.1豐富的實際項目經驗.....................................................4

1.2.2專業(yè)化實施、服務隊伍....................................................5

1.2.3強大的系統集成實力......................................................6

1.2.4公司總體實力............................................................6

1.3網絡安全實驗室方案設計（H3c部分）............................................7

1.3.1實驗室總體設計.........................................................7

1.3.2實驗室整體布局..........................................................9

1.3.3實驗室內容設計.........................................................12

1.3.4實驗課程管理...........................................................25

1.3.5實驗室教材.............................................................29

1.4廠家的支持及合作計劃（H3c校企合作部分）....................................32

1.4.1合力共建H3c網絡學院.................................................32

1.4.2共建H3c授權培訓中心..................................................32

1.4.3師資培訓................................................................33

1.4.4定制化教材.............................................................35

1.4.5對外培訓服務...........................................................35

1.4.6新技術、新應用定期交流.................................................35

1.5工程實施......................................................................36

1.5.1工程實施要點...........................................................36

1.5.2需求分析及方案確定.....................................................37

1.5.3整體規(guī)劃項目實施.......................................................37

1.6項目組織管理..................................................................39

1.6.1項目組織...............................................................39

1.6.2崗位職責...............................................................40

1.6.3項目階段管理...........................................................41

1.6.4需方介入................................................................42

1.6.5風險管理...............................................................43

1.7項目實施進度計劃.............................................................45

1.7.1到貨安排...............................................................45

1.7.2執(zhí)行進度計劃...........................................................45

1.7.3項目進度管理...........................................................46

1.7.4采購人配合條件.........................................................48

1.7.5場地及環(huán)境準備.........................................................48

1.7.6安裝工具準備...........................................................50

1.8系統安裝......................................................................51

1.8.1系統安裝時間、地點及相關事宜..........................................51

1.8.2安裝工作的主要目標.....................................................51

1.8.3設備的安裝內容、方法及步驟.............................................51

1.9系統測試及驗收................................................................52

1.9.1概述...................................................................52

1.9.2系統驗收計劃...........................................................54

1.9.3系統初驗................................................................56

1.9.4試運行..................................................................56

1.9.5最終驗收................................................................56

1.10項目實施設備技術響應表.......................................................58

1.11系統具體安裝措施.............................................................68

1.12售后服務承諾.................................................................68

1.12.1交貨服務、交貨期：....................................................68

1.12.2安裝調試、培訓服務：..................................................68

1.12.3免費保修期限與服務方式：..............................................69

1.12.4服務機構：.............................................................69

1.12.5響應時間：.............................................................69

1.12.6試運行和正式運行期支持................................................70

1.12.7正式運行期售后服務.....................................................70

1.12.8備件庫：...............................................................70

1.12.9伴隨服務：.............................................................70

1.12.10保修期過后：..........................................................70

1.1項目建設背景

教育領域以教育體制改革為核心，進行了院校合并、專升本、學員擴招、新校區(qū)建設等等變革,

實現了教育行業(yè)規(guī)模的擴大，基本解決了社會對高學歷人才的供需矛盾，建立了院校自我積累、自

我發(fā)展的健康發(fā)展機制。

隨著通信技術的飛速發(fā)展，社會對網絡的建設人才、管理人才和運營人才有大量的需求，對人

才的技術素質的要求也有很大的提高。因此，學校為了使學生能更好的學習和掌握技術知識，必須

加強相關專業(yè)的教學和科研環(huán)境的建設和改造。只有提高計算機專業(yè)、信息安全專業(yè)、數據通信專

業(yè)的教學質量，改進教學手段，加強實踐環(huán)節(jié)，使學生盡快掌握最新的網絡技術知識，具備較強的

理論和實踐相結合的能力，才能使學生日后更好地服務于社會，同時這也是關系學校教學評估的一

項重要指標。

網絡實驗室是隨著信息科學技術教育的發(fā)展而建立起來的，在教學和科研中具有非常重要的作

用，是學校教學實驗環(huán)節(jié)中最重要的組成部分之一。網絡實驗室的建設水平、教學科研水平不僅反

映出學校的辦學水平，而且對學生的學習、教師的教學也將產生巨大的影響。

復合型人才培養(yǎng)

現在很多學生都面臨就業(yè)難的問題，70%畢業(yè)生找工作難，而工作崗位卻很多，這就說明很多

畢業(yè)生和企業(yè)用人標準之間存在一定差距，很多用人單位更希望應聘者不僅具備較好的理論知識，

更應具備較好的實踐能力，乃至對相關行業(yè)有一定認識。這就說明掌握理論、實踐能力、行業(yè)知識

的復合型人才才能更具競爭優(yōu)勢，更能滿足社會的需要。

行業(yè)網絡、信息技術發(fā)展的需求

在很多行業(yè)中，IT部門更多的是提出新技術新應用的需求，而缺乏獨立開發(fā)的能力，這往往是

因為IT在這些行業(yè)當中是作為輔助支撐的角色。那就需要在此方面專業(yè)的研究機構提供幫助。同

時職教的科研成果在各個行業(yè)當中得到采用，是形成生產力轉化的重要途徑。從這兩點我們可以得

出，職教完全可以利用自身技術與設施的優(yōu)勢服務于社會。

1.2大恒實施本項目的優(yōu)勢

大恒實施本項目的優(yōu)勢主要體現我們在集成行業(yè)具有豐富的實施經驗，具體表現在以下方面：

1.2.1豐富的實際項目經驗

我公司從成立以來，始終將為集成服務作為自己的主要目標，每年都為各行業(yè)用戶提供從電腦、

主機設備、到網絡系統、存儲備份系統、監(jiān)控系統以及保修、服務等全方位的設備、技術服務等，

在長期的合作中，不僅鍛煉了自己，獲得了在各行業(yè)（如教育、政府、公檢法、工商業(yè)、制造業(yè)等）

的信譽，更重要的是了解了每個行業(yè)的IT的應用發(fā)展狀況，為向用戶提供更加具有針對性的滿足客

戶要求的解決方案奠定了良好的基礎。

大恒系統集成部是一支從事網絡工程的專業(yè)化隊伍，依托中科院自動化所，在樓宇自控系統、

綜合布線系統、保安監(jiān)控系統、計算機網絡系統、辦公自動化管理系統、信息管理系統、智能化社

區(qū)綜合系統、商業(yè)自動化系統等系統集成方面擁有強大的技術實力和豐富的工程總包管理經驗，為

用戶提供從咨詢、規(guī)劃、設計到安裝、調試、技術培訓、售后服務一體化的服務。

尤其在SAN存儲方面，大恒推出自有品牌的SAN存儲系統和存儲解決方案。同時同國際知

名主機和存儲廠商（IBM、華為賽門鐵克、HP、EMC、HDS等）合作，在北京投資建立了“大恒

存儲中心試驗室”，該試驗室是基于開放性概念設計，整個系統環(huán)境以主流操作系統、主流計算機

體系、主流數據接口、主流數據管理軟件、主流存儲設備為依據搭建。在此試驗室可以進行產品測

試、培訓等工作，培養(yǎng)了一大批專業(yè)工程師。

我們有著多年系統集成服務經驗的工程師，長期參與各個行業(yè)的工程實施和系統維護，也是我

們在此項工程比其他公司所具有的優(yōu)勢之一。

1.2.2專業(yè)化實施、服務隊伍

我公司總部位于北京，并在廣州、上海、深圳、杭州、成都等全國各地區(qū)設有分公司或辦事處,

配備了專業(yè)技術人員和現場服務人員，為用戶提供及時、全面的技術支持服務。

我公司擁有一支工作經驗豐富、技術實力雄厚、人員穩(wěn)定的技術服務隊伍，全公司擁有員工近

500人。其中65%是專業(yè)人員。分別在各事業(yè)部、工程管理部、測試部、客戶服務中心工作。其中

系統集成部的工程師有近80人,他們大多數擁有3-15年舊M、HP、SUN、CISCO>華為、3coM、

Microsoft,AVAYA、VERITAS,CA、LEGATO>Quest等主機、存儲、網絡、布線系統、操作系

統、備份系統等的一系列工作經驗。

在廣州，北京大恒軟件技術有限公司廣州分公司擁有一支工作經驗豐富、技術實力雄厚、人員

穩(wěn)定的技術服務隊伍，全公司擁有員工42人。其中65%是專業(yè)人員。分別在技術支持部、系統集

成部、工程管理部、調試部、客戶服務中心工作。

同時，我公司是一個專業(yè)的存儲設備生產商，提供一套整體的DAS、NAS、SAN、IP-SAN等

的解決方案。對本次方案的主機、服務器、存儲陣列、數據安全備份等規(guī)劃實施有著強大的技術實

力。

基于以往的項目經驗，我公司可以保障在最短的時間內安全、可靠地實施整個項目，充分滿足

用戶的需求，確保該項目的順利啟動和正式運作。

1.2.3強大的系統集成實力

我公司實施的項目綜合了主機、存儲、備份、網絡、布線、應用、安全等各方面設備和技術，

使公司具備了強大的系統集成的工程能力，能解決實際項目中的各種技術問題和工程實施問題。

我公司獲得了國家信息產業(yè)部授予的“計算機系統集成一級資質”和“涉及國家秘密的計算機信

息系統集成甲級資質”等，公司的系統集成綜合實力獲得了國家的認可。公司同時是舊M、賽門鐵

克、Oracle、HP、SUN、Cisco,華為、華賽、Intel、H3C、康普、聯想等公司的代理商。在與廠

商的長期合作中，我們對他們的各種產品及相關組合有很好的了解和經驗。

1.2.4公司總體實力

?大恒公司是上市公司大恒集團的核心企業(yè)，股票名稱“大恒科技”，代碼：600288；

?具有信息產業(yè)部頒發(fā)的信息系統集成一級資質，建設部頒發(fā)的建設部甲級設計資質，國家保密

局頒發(fā)的計算機系統集成涉密甲級資質，國家人民防空辦公室頒發(fā)的人防設計施工甲級資質，

規(guī)劃委員會頒發(fā)的建筑智能化工程設計和施工二級資質；

?公司成立于1993年，廣州分公司成立于2001年，可以提供長期穩(wěn)定的售后服務保障；

?公司通過IS09000質量體系認證以及高新技術企業(yè)認證，按其規(guī)定嚴格實施項目管理;

1.3網絡安全實驗室方案設計(H3c部分)

H3C的IToIP(ITonIP)的網絡實驗室架構理念，是以IP網絡為核心整合IT的“計

算”、“通信”、“存儲”三大基礎資源的新IT網絡實驗室架構。其精髓在于“全業(yè)務”，即網

絡實驗室包括了所有的業(yè)務；其核心內涵可以用七個字概括：整合、開放、價值鏈。

整合一一網絡實驗室是各種IT技術融合的黏合劑與催化劑。網絡實驗室不再僅僅是數

據通信網絡，而且還是語音、視訊等多媒體融合通信的網絡，是IP與存儲技術的融合，改

變傳統的存儲方式，進行存儲逐步虛擬化的網絡；是基于“1P集合通信”實現分散的多業(yè)

務、多技術體制、多媒體網絡的整合。

開放一一網絡實驗室的體系是開放的，體現在以下幾點：實驗室的設備可以根據需要分

期建設，持續(xù)擴展，平滑升級，不需要更換原有設備；實驗室的使用也是開放的，從使用人

群來看，不僅面向校內的師生，也可面向社會開放，從使用地點來看，不僅可在校內的網絡

實驗室進行實驗，也可通過VPN技術構建遠程訪問實驗室，即使在家里也可以使用網絡實

驗室；實驗室的架構是公開的，可通過開放的中間件平臺進行各種軟件的二次開發(fā)和定制，

實現各種富有特色的行業(yè)解決方案等。

價值鏈一一通過網絡實驗室的建設，相關科研項目的開發(fā)、社會培訓的開展，校企業(yè)合作的

深入，構造信息化建設的價值鏈，首先幅射教育行業(yè)，其次可幅射到其它各個行業(yè)，成為其

它行業(yè)信息化考察學習的實驗基地，最終打造成為區(qū)域信息化的龍頭。

1.3.1實驗室總體設計

網絡技術方面的相關課程具有很強的實踐性,學生除了需要學習大量的網絡知識之外同

時也需要大量的網絡實驗。隨著需要進行網絡實驗的學生數量越來越多，網絡實驗的需求量

也越來越大，如何有效管理網絡實驗室，如何方便的進行靈活的網絡實驗組合，如何組織配

套的相關實驗資料，成為了建設網絡實驗室的重要問題。

針對網絡實驗室的需求現狀，采用實驗設備和實驗PC分離設計，以分組實驗臺為網絡

實驗基本單元的實驗室設計理念。

整體結構如下圖所示:

學生組教師學生組

S3600V2-2BIPS3600V2-2STP-E1

E12GB

學生組

.S3GOOV2-28IP-H

單一算警且

學生組L21n

S3C00V2-2STF-

1-51120WX301DE^WA2210E-GE

網絡實驗室從邏輯上可分為實驗臺區(qū)域、學生機區(qū)域和教師管理區(qū)域，各區(qū)域通過實

驗室中心交換機進行接入等。

在實驗臺區(qū)，根據實驗小組的劃分及實驗內容的不同，將不同類型的網絡設備分類組

成各個實驗臺，并且可以將不同類型的實驗設備在不同實驗臺內進行劃分部署。實驗臺區(qū)計

劃共分為10組，每組配置相同，可滿足10組學生同時實驗。

學生上機操作配置專門的操作終端，目前規(guī)劃共分為10組，每組5至6人，每組學生

對應1組實驗臺，同時，學生的操作終端配置雙網卡，其中一為有線、另一為無線，一方面

可以對設備進行實驗操作，另一方面終端也將作為實驗臺的終端PC機，用于校驗實驗結果。

網絡實驗中需要教師進行大量的管理工作，如管理實驗設備，配置網絡實驗環(huán)境，管

理學員的認證、授權等。實驗室配置有實驗室管理系統，系統將有助于教師可以方便、快捷

地完成這些工作。

同時為保護用戶原有的投資，我們這次的實驗設備，在保證實驗功能的情況下，保留了原來

用戶的網絡設備。保留了20臺S2108-E18交換機和10臺AR28-09B路由器用于路由交換技

術實驗；另外的思科3560則用為實驗室的中心交換機，連接各個區(qū)域的設備，另外兩臺3com

的4400交換機，則做為學生機的接入交換機來用o

1.3.2實驗室整體布局

本次設計按照每個實驗臺可供5到6人同時實驗，每個實驗小組都能在一個實驗臺上

單獨完成全部實驗內容，通過10個實驗臺可以構成一個實驗室，供60人左右實驗。

為達到良好的實驗效果，有利于加強每組成員之間的交流，并增加對設備的直觀感受,

提高學生動手組網的能力，實驗室采用實驗臺+學生機形成島式布局。

1.3.2.1實驗室布局平面圖

網絡實驗室島式布局

,丁?務?"而動

H3c網絡實訓室

島式布局是目前最流行的實驗室布局方式，每個物理實驗組成為一個小島，每個組推

薦5—6個學生使用，最多不應該超過8人。

L3.2.2實驗室布局效果圖

實驗室中有一個核心機柜，放置中心交換機組（可能是一臺交換機，也可能是幾臺交

換機級聯或者堆疊而成，提供足夠的網絡接口）、防火墻、實驗室管理系統服務器以及其他

必要的服務器等。

因此，網絡實驗室機柜的數量=附1（N=實驗組的數量）。

1.3.2.3實驗室網絡布線圖

空調

1號線：紅色,4條雙絞線,小機柜與核心機柜相連，不可拔除。

2號線：藍色,6條串口線,學生機串口與實驗機柜相連，不可拔除。

3號線：黃色,6條雙絞線,學生機網卡與實驗機柜相連，不可拔除。

注意：跳線區(qū)分直通線纜和交叉線纜。

1.3.3實驗室內容設計

實驗內容根據配置的實驗設備，共分綜合路由交換、網絡高可用性、無線局域網、網絡

安全技術和IP管理系統等五大類別?？蓪嶒瀮热輰⒏采w業(yè)界主流的網絡技術和安全技術，

如路由交換、無線、應用層安全以及網絡管理、用戶認證系統內容，將針對目前廣泛關注的

網絡高可用性實驗。

1.3.3.1綜合路由交換實驗

路由和交換是網絡建設的基礎，也是各種網絡應用的傳輸平臺。路由交換實驗也是實驗

室建設的重點，本次建設的路由交換實驗臺具有貼切實際組網需都求，可根據課程靈活組合，

使學員可以熟悉網絡基本協議、學習組網設計、模擬各類實際環(huán)境、排除網絡故障等，同時

親身體驗所設計網絡的高速連通性、高可靠冗余等特性，完成從認識、熟悉到設計、排錯等

多種教學和實驗，熟練掌握網絡實用技術。

綜合路由交換實驗共分10組，每組配置4臺路由器MSR2020、1臺F100-M防火墻、

2臺三層交換機3600、2臺二層交換機E126B、1臺WX3010無線控制器和1臺WA2210-AG

無線AP。實驗臺組網結構如下圖：

綜合型路由交換臺可完成以下實驗課程。

實驗項目實驗內容

在具體實驗之前，安排課時集中介紹常用的網絡設備、相應

各種網絡接口的接口和連接線纜等，講解網絡產品、相應的工作方式、連

接控制方法以及工作原理，并聯系如何通過線纜連接設備。

交換機基本配置

交換機堆疊

利用TFTP管理交換機配置

升級交換機操作系統

交換機的基本配置

交換機集群管理

交換機端口鏡像

交換機QOS

交換機端口聚合

路由器的基本配置

路由器基本配置利用TFTP管理路由器配置

升級路由器操作系統

靜態(tài)路由

路由協議RIPVersion1\2路由協議

OSPF路由協議

IS-IS路由協議

BGP路由協議

路由備份技術

路由過濾配置

路由重分布、策略路由

VRRP

Q0S

虛擬局域網VLAN

生成樹配置

局域網生成樹的高級技術

技術實驗VLAN配置

組播技術

防ARP欺騙

MPLS信令

MPLSL3VPN

MPLS

MPLSL2VPN

MPLSVPNQOS

IPv6基礎

IPv6過渡技術

IPV6技術IPv6路由技術

IPv6組播技術

IPv6QOS及安全

1.3.3.2WLAN無線實驗

隨著網絡應用的逐漸普及，人們對網絡的依賴性愈來愈強，需要隨時隨地接入網絡，獲

取服務，WLAN無線接入方式越來越得到用戶的認可，并已成為網絡建設的熱點技術。

但如何解決WLAN部署過程中涉及的網絡安全、帶寬、QOS、傳輸距離、抗干擾能力

等問題，成為WLAN成功實施的關鍵。

網絡實驗室設計了WLAN實驗課程，以使學生、學員隨時掌握無線網絡技術的最新發(fā)

展。

本次無線實驗臺采用目前業(yè)界最為先進的技術，采用FitAP組網方案,支持802.1la/b/g。

無線實驗將作為最基礎的內容，共配置10組，與路由交換實驗臺一起，無線設備包括1臺

無線交換機和1臺無線AP.

實驗內容、目標：

內容包括WLAN網絡環(huán)境的構建，FIT/FATAP的切換及配置，無線網卡、無線交換機、

工作組網橋、室外網橋等的配置，嘗試各種聯結方式，同時試驗各種加密認證方式，無線切

換、漫游，模擬實際實施環(huán)境，嘗試無線用戶管理，FATAP組網、FITAPL2/L3組網。

教學的最終目標是使學生、學員掌握WLAN的基礎技術，成為無線技術的專業(yè)人員。

1.3.3.3網絡安全技術實驗

安全威脅無處不在，簡單的防火墻已遠遠不能保護網絡的安全，用戶在盡情享受網絡帶

來的巨大便利性的同時，如何保障關鍵信息不受侵犯，還需要多層次、多種安全技術的相互

配合。

對于來自Internet的外部安全威脅，防火墻是網絡安全的第一道防線，而與防火墻相配

合的IPS/IDS、VPN等設備和技術，則能充分彌補防火墻只能在IP層抵御網絡攻擊的不足。

而最大的城脅還是來自用戶網絡內部。據統計，80%的網絡攻擊和泄密行為都是在網絡

內部發(fā)生，如何防范非法用戶的接入，如何為不同部門、不同類型的應用、不同的人員提供

不同的網絡訪問控制權限，成為內部網絡安全的關注點，這涉及交換機VLAN技術，ACL

技術，終端用戶認證等多種技術。

同時，目前安全技術更趨向于應用層安全，包括IPS、P2P控制、行為審計、防病毒等。

在安全實驗臺，設計了多種安全實驗，為廣大學生及學員提供不同層次的安全產品實驗

環(huán)境，覆蓋防火墻軟、IPSec/SSLVPN、網絡深度檢測與在線防御、防病毒、防垃圾郵件、

WEBURL過濾、P2P控制和行為審計等安全技術，以期學生可以全面掌握網絡安全技術，

并最終成為網絡安全專家。

安全實驗將作為最基礎的內容，共配置5組，與路由交換實驗臺一起，每組安全設備包

括1臺具有多種安全功能一體的UTM設備和1臺MSR2020路由器，UTM可偏重于IPS、

P2P控制、行為審計、防病毒等實驗，多功能路由器MSR2020可偏重于各種VPN包括SSL

VPN的實驗。

以下是部分安全課程的實驗內容：

防火墻實驗、安全VPN實驗。

1.3.3.4IP存儲試驗

基于IP的存儲網絡技術讓數據的集中整合和遠程共享成為可能，并且?guī)砹藰O具競爭

力的高性能、低成本特性。作為全球IP領域的領導廠商之一，H3c一直致力于推動iSCSI

技術的發(fā)展，潛心開發(fā)符合客戶應用需要的網絡存儲產品和相關解決方案.

H3C的存儲產品支持持續(xù)數據保護和系統級的數據備份功能，可為應用系統提供連續(xù)

的數據快照，有效的應對病毒、人為誤操作導致的數據丟失問題，結合遠程啟動功能，能對

用戶終端進行快速恢復。除此之外，H3C存儲產品還提供VTL虛擬帶庫功能、WORM等

多種功能，能為用戶的數據保護、業(yè)務保護提供全面的解決方案。

通過對H3c的網絡存儲產品進行學習，可讓學生掌握當前存儲領域的最實用技術，并針對

不同用戶需求設計不同安全級別的存儲解決方案。

H3C網絡學院存儲技術課程，主要定位于網絡存儲的基本概念和理論、H3C網絡存儲

設備的管理、配置、維護和故障排除。覆蓋了存儲的架構、網絡存儲的協議、磁盤和RAID

等基礎知識以及H3C網絡存儲設備配置方法、Windows和Linux主機連接配置、高級數據

保護功能配置、主機磁盤保護功能配置和故障的排除等知識點。

課程內容設置考慮了前瞻性和實用性，覆蓋了從存儲原理、配置，項目實施到維護等全方

位的存儲技術，強調學生、學員的實際應用能力已經將在社會上面臨的考驗，將H3c在行

業(yè)、企業(yè)中關于應用的解決方案、案例等直接納入課程教學體系中。通過針對性的實際操作，

學生、學員不僅可以提高動手能力、更能切身體驗相關行業(yè)的應用特點，為以后的就業(yè)打下

良好的基礎。

備份詼復數據謹

主數據中心導入得出數據奇

實驗內容、目標

>IP存儲系統以及網絡環(huán)境搭建

>了解RAID技術和存儲設備的配置升級方式

>掌握數據快照、VTL、WORM、遠程啟動技術的配置方法

>模擬遠程備份、設計存儲解決方案

>教學的最終目標是使學生、學員掌握存儲基本原理，了解存儲技術的最新發(fā)展情況，能

對存儲設備進行熟練配置，并設計完整存儲解決方案。

1.3.3.5IPS試驗

1.3.3.5.1入侵檢測實驗

客尸端交換機應用服務器

實驗內容:

IPS產品在旁路部署時可以作為IDS使用。

第一步：使用客戶端的攻擊軟件對服務器進行模擬攻擊。

第二步：配置交換機為監(jiān)聽模式，讓IPS能夠監(jiān)控到流經交換機的流量。

第三步：觀察IPS的安全日志，看是否有攻擊信息。

教學目標:

了解IDS入侵檢測的工作原理及操作方法。

1.3.3.5.2端蟲威脅實驗

客戶端IPS應用服務器

實驗內容:

IPS產品在線部署時可以作為IPS使用。

第一步：配置IPS,打開蠕蟲防護規(guī)則。

第二步：在客戶端安裝蠕蟲程序，人為將客戶端感染蠕蟲病毒。

第三步：觀察服務器是否遭受蠕蟲病毒感染,觀察IPS的日志是否有蠕蟲病毒傳播II志。

第四步：將IPS的蠕蟲防護規(guī)則關閉。

第五步：觀察服務器是否遭受蠕蟲病毒感染。

教學目標:

了解蠕蟲病毒傳播原理及IPS防護蠕蟲病毒的操作方法。

1.3.3.5.3后門威脅實驗

客戶端應用服務器

實驗內容：

IPS產品在線部署時可以作為IPS使用。

第一步：配置IPS,打開后門防護規(guī)則。

第二步：在客戶端安裝后門控制程序，在服務器端安裝帶有后門的服務程序。在客戶端

使用控制程序控制服務器的后門程序。

第三步：觀察客戶端是否能控制服務器，觀察IPS的日志是否有后門攻擊日志。

第四步：將IPS的后門防護規(guī)則關閉。繼續(xù)在客戶端使用控制程序控制服務器。

第五步：觀察服務器是否被控制。

教學目標：

了解后門攻擊的原理及IPS防護后門病毒的操作方法。

1.3.3.5.4木馬威脅實驗

客戶端應用服務器

實驗內容：

第一步：配置IPS,打開木馬防護規(guī)則.

第二步：在客戶端安裝木馬控制程序，在服務器端拷貝客戶端的木馬程序。

第三步：觀察是否能夠拷貝成功，觀察IPS的攻擊日志。

第四步：將IPS的木馬防護規(guī)則關閉。繼續(xù)在服務器端拷貝客戶端的木馬程序。

第五步：觀察服務器是否中毒。

教學目標：

了解木馬攻擊的原理及IPS防護木馬病毒的操作方法。

1.3.3.5.5CC攻擊實驗

客尸端應用服務器

實驗內容:

第一步:配置IPS,打開CC防護規(guī)則。

第二步:在客戶端安裝安裝CC攻擊客戶端，在服務器端安裝測試用論壇或聊天室。使

用CC攻擊客戶端攻擊服務器。

第三步:觀察服務器是否還能正常工作，觀察IPS的攻擊日志。

第四步:將IPS的CC防護規(guī)則關閉。繼續(xù)攻擊服務器。

第五步:觀察服務器是否還能正常訪問。

教學目標:

了解CC攻擊的原理及IPS防護CC攻擊的操作方法。

1.3.3.5.6迅雷限速實驗

INTERNET

客尸端

IPS

實驗內容:

第一步：配置IPS,打開迅雷限速規(guī)則。將總體迅雷流量限制在10Kbps。

第二步：在客戶端安裝迅雷客戶端，進行下載，帶寬至少要達到128K。

第三步：觀察迅雷下載速度是否能夠超過10Ko

教學目標：

了解IPS對迅雷的限速操作方法及效果。

實驗內容：

第一步：配置IPS,打開電騾限速規(guī)則。將總體電騾流量限制在10Kbps。

第二步：在客戶端安裝電騾客戶端，進行下載，帶寬至少要達到128K。

第三步：觀察電騾下載速度是否能夠超過10K?

教學目標：

了解IPS對電騾的限速操作方法及效果。

1.3.3.5.8QQ限速實驗

實驗內容：

第一步：配置IPS，打開QQ限速規(guī)則。將總體QQ流量限制在10Kbps。

第二步：在客戶端安裝QQ客戶端，從好友處下載文件，帶寬至少要達到128K。

第三步：觀察QQ下載速度是否能夠超過10K。

教學目標：

了解IPS對QQ的限速操作方法及效果。

1.3.3.5.9MSN限速實驗

實驗內容：

第一步：配置IPS,打開MSN限速規(guī)則。將總體MSN流量限制在10Kbps。

第二步：在客戶端安裝MSN客戶端，從好友處下載文件，帶寬至少要達到128K。

第三步：觀察MSN下載速度是否能夠超過10K。

教學目標：

了解IPS對MSN的限速操作方法及效果。

1.3.3.5.10禁止傳奇游戲實驗

實驗內容：

第一步：配置IPS,打開傳奇游戲禁止規(guī)則。

第二步：在客戶端安裝傳奇客戶端，登陸傳奇服務器。

第三步：觀察是否能正常進行傳奇游戲。

教學目標：

了解IPS對傳奇游戲的禁止操作方法及效果。

1.3.3.5.11禁止跑跑卡丁車游戲實驗

客戶端IPS

實驗內容：

第一步：配置IPS,打開跑跑卡丁車游戲禁止規(guī)則。

第二步：在客戶端安裝跑跑卡丁車客戶端，登陸跑跑卡丁車服務器。

第三步：觀察是否能正常進行跑跑卡丁車游戲。

教學目標：

了解IPS對跑跑卡丁車游戲的禁止操作方法及效果。

1.3.3.5.12禁止大智慧炒股軟件實驗

客戶端

實驗內容：

第一步：配置IPS,打開大智慧炒股軟件禁止規(guī)則。

第二步：在客戶端安裝大智慧炒股軟件客戶端，登陸大智慧炒股軟件服務器。

第三步：觀察是否能正常運行大智慧炒股軟件，看股票行情。

教學目標：

了解IPS對大智慧炒股軟件的禁止操作方法及效果。

1.3.3.5.13基于用戶的帶寬管理實驗

客戶端

實驗內容：

第一步：配置IPS,設置客戶端的IP的帶寬僅有10Kbps。

第二步：在客戶端運行任意網絡程序，使用任意工具下載。

第三步：使用流量分析工具，在客戶端上觀察是否超過10Kbps的流量。

教學目標：

J'解IPS基于用戶的流量限制操作方法及效果。

1.3.3.5.14基于時間段的帶寬管理實驗

IPS

實驗內容：

第一步：配置IPS,設置客戶端的IP在上班時間（8點至18點）的帶寬僅有10Kbps,

其他時間不限。

第二步：上班時間，在客戶端運行任意網絡程序，使用任意工具下載。

第三步：使用流量分析工具，在客戶端上觀察是否超過10Kbps的流量。

第四步：非上班時間，在客戶端運行任意網絡程序，使用任意工具下載。

第五步：使用流量分析工具，在客戶端上觀察是否超過10Kbps的流量。

教學目標：

了解IPS基于時間段對用戶的流量限制操作方法及效果。

1.3.3.6UTM實驗

HTTPserver

UTM包括IPS/IDS、防火墻、VPN等多種功能。

模擬實際網絡環(huán)境，配置IDS抵御來自網絡內部的攻擊，尤其來自于合法用戶的病毒

和攻擊。包括IDS監(jiān)控數據采集、設備安全性測試、攻擊應對策略測試、主動告警功能測

試等內容。

H3CSecPathIPS(IntrusionPreventionSystem)集成入侵防御與檢測、病毒過濾、帶寬

管理和URL過濾等功能，是業(yè)界綜合防護技術最領先的入侵防御/檢測系統。通過深入到7

層的分析與檢測，實時阻斷網絡流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、DDoS等攻擊

和惡意行為，并對分布在網絡中的各種P2P、IM等非關鍵業(yè)務進行有效管理，實現對網絡

應用、網絡基礎設施和網絡性能的全面保護SecPathIPS強大的功能可以讓學生深度地理解

IDS/IPS技術。

教學目標：

掌握IDS/IPS部署設計，理解工作原理，熟悉IDS/IPS網絡安全策略以及相關工程實施

步驟。

內容包括：

UTM病毒檢測實驗、UTM病毒庫離線升級實驗、IPS攻擊特征庫離線升級實驗、UTM

垃圾郵件過濾實驗、UTMWEB內容過濾實驗、UTM深度攻擊實驗等。

1.3.4實驗課程管理

本次實驗室建設配置有實驗室管理系統，采用H3C的NEMS(NetworkExperiment

ManagementSystem,H3CNEMS是教師用來進行網絡實驗教學管理的輔助工具。教師通過NEMS

進行實驗設備的管理、實驗課程的設置、實驗內容的定制、實驗環(huán)境的部署、實驗過程的管

理監(jiān)控、實驗環(huán)境的恢復、實驗結果的獲取驗證等。

H3C實驗室管理系統主要包括如下功能：

?管理實驗設備：提供對設備控制臺、實驗設備和配置文件的管理功能，包括獲取實

驗設備信息，獲取、查看、編輯、比較設備配置文件，設置實驗設備缺省配置等功能。

?管理實驗內容：提供靈活的實驗內容定制功能，包括定義每個網絡實驗所使用的實

驗設備，每個實驗設備在實驗開始時的初始配置，在實驗完成后應有的正確配置，并可以對

這些已定義的網絡實驗進行分類，組成不同的實驗集，便于管理。

?管理實驗課程：提供管理學員信息和實驗課程的功能，包括錄入學員信息，定義實

驗課程，為學員指定應完成的所有實驗，查看和管理學員的實驗結果和成績等。

?管理實驗過程：提供對整個實驗過程的管理功能，包括實驗環(huán)境的快速部署、實驗

結果的快速獲取等，并可以將已有的實驗結果重新部署到實驗環(huán)境，便于驗證或繼續(xù)進行實

驗。

H3CNEMS系統基于B/S架構，提供完善的實驗室管理功能。

H3Cwe?Koerr.htensgteneniC*rier0幫口“?才干:口出[admin]

首貢一學生管理|設備管理實險管理系統管理

功能導航

?拗口設備控制臺

整實驗環(huán)境修理

凈硒]實物小組

9增加實驗場景

■拗口賣瞼包

?增加實驗課程

?除作品

①慟口學生

Q管理員展作日志

，學員操作日志

所rtWu給登錄名，y06621(10.153.130.60)登錄時間:20咚9「3:54:09Q退出

H3CNEMS系統可以自動獲取學員IP信息，通過訪問控制綁定，并下發(fā)到設備控制器,

實現和實驗設備自動綁定。

在實際實驗部署中，針對某一實驗，學生登陸后只能看到所做實驗的設備。

完備的實驗定義

II3CNEMS系統內置多個以上路由和交換實驗，同時可分類進行管理，如新建、編輯和

刪除。同時，實驗管理中包括定義實驗需要的設備，包括設備類型、實驗初始配置、實驗正

確配置、屏蔽命令集等。定義實驗組網拓撲圖、實驗操作手冊等。

增加實疆包

「基本信息-----------------------------------------------

*實驗包名稱:

雌I

-實驗設備列表―

I選擇設備I

共有3條記錄

設備名稱設備類型初始配置正確配直屏蔽命令集

曾100~16TP-）制太眼交啟動配置v運行配置|無_*J*

黑1M16TP-路由器|啟動配置v運行配置▼無vjX

甯°076Tp-蠹以太網交■）配置"M-IX

-實驗說明一

組網圖|]|瀏覽...]

附件1||曰覽…|

附件2||[瀏覽…|

全面的實驗管理：

■控制實驗啟動、結束。

■一鍵恢復實驗環(huán)境。

■批量獲取實驗結果。

■強制學員下線。

&實物管理?實裝過程

實驗過程列表

一龍一1:遺薪據函看::獲取實驗純蛇11下發(fā)ACL

共有3條記錄，當前第1-3,第1"頁.K4??1每頁顯不18[15]50100200

實驗狀

■實鎏環(huán)境名稱實姜場景太開始時間結束時間進入實驗■除

廣域網協議庾理及配置-廣域網協議原理及配置

已完成2008-09-172008-09-17進入實驗X

□001場景-00118:28:1920:28:22

廣域網協議原理及配置-廣域網協議原理及配置

實驗中2008-09-172008-09-18進入實晚X

□002場景-00220:23:0309:23:00

X.25協議原理及其配置

X.25協議原理及其配苴已部署2008-09-172008-09-18進入實晚X

□場景-00120:23:0309:23:00

實驗結果管理

查詢實驗結果，支持根據實驗課程、實驗包等查詢，并查看實驗詳細信息。

S實驗管理?實驗結果

實驗結果查詢

實艇果名稱1]狀態(tài)1所有狀態(tài)■

實驗課程酶謨程實驗包1所有實驗包V1查詢II重置1

實驗結果列表

共有3條記錄，當前第1-3,第1/1頁.141??!每頁顯示：8[15]50100200

■實驗結果名稱狀態(tài)實整包實驗課程校驗.除

□交換機基本配置實驗結果待驗證交換機基本配重麒路由器培訓課程圖X

□X.25協議原理及其配置結果待驗證X.25協議原理及其配置交換機培訓課程aX

□幀中繼協議原理及其配置結果待驗證幀中繼協議原理及其配置交換機培訓課程SX

同時，具有強大的實驗結果校驗能力，可根據預先定義的實驗結果，進行實驗結果校

對。

?顯示所有內容。只顯示差異內容

配置文件Conf-Riimiiiig配置文件Conf-Stait

#I#

version5.20.Test5311Jversion5.20,Test5311

#-：#

sysnameQuidwaysysnameH3C

#Q

superpasswordlevel3cipher'RCZal8Z:_F30M7YYT

#

domaindefaultenablesystembdomaindefaultenablesystem