××网络系统工程 技术方案 (模板)
目 录
第一章 1.1 1.2 1.3 第二章 2.1 2.2 2.3 2.4
网络系统设计概述 ................................................................................................................................. 5 项目背景及现状分析 ................................................................................................................................. 5 项目需求 ..................................................................................................................................................... 6 编制依据 ..................................................................................................................................................... 6 网络系统设计 ......................................................................................................................................... 8 网络设计原则 ............................................................................................................................................. 8 设计目标 ..................................................................................................................................................... 8 设备选型 ..................................................................................................................................................... 8 内部网络拓扑结构设计 ............................................................................................................................. 9
2.4.1内部网络设计......................................................... 12 2.4.1.2汇聚层的设计....................................................... 13 2.4.1.3 接入层设计 ........................................................ 14 2.4.2路由协议的设计....................................................... 15 2.4.3 IP地址的设计 ........................................................ 16
.............................................. 16 2.4.3.1 IP地址规划和分配原则
2.4.3.2 网络地址分配 ...................................................... 17 2.4.4 VLAN的设计 .......................................................... 18
............................................ 18 2.4.4.1 VLAN的划分的作用及原则
2.4.4.2 VLAN划分 .......................................................... 20
.................................................. 21 2.4.4.3 VLAN之间路由实现
2.4.4.4 VLAN之间安全控制 .................................................. 22
2.4.5网管系统设计 ............................................................................................................................................ 22 2.5 外部网络设计 ........................................................................................................................................... 23
2.5.1外网设计原则......................................................... 23 2.5.2外部网络拓扑结构..................................................... 23 2.5.3外部网络设备及防火墙的选型设计....................................... 23
2.6 第三章 3.1 3.2
外部网络的路由协议 ............................................................................................................................... 27 网络系统性能和特点分析 ................................................................................................................... 27 网络设计方案技术要点 ........................................................................................................................... 27 网络系统设计特点 ................................................................................................................................... 29
3.2.1先进性............................................................... 29 3.2.2开放性和扩展性....................................................... 29 3.2.3可操作性和稳定性..................................................... 29
3.3
网络系统安全性设计分析 ....................................................................................................................... 30
3.3.1网络安全设计......................................................... 30 3.3.1.1人员角色划分....................................................... 30 3.3.1.2路由认证和保护..................................................... 31 3.3.1.3关闭IP功能服务..................................................... 33
3.3.1.4用户的安全防护..................................................... 34 3.3.1.5设备安全防护....................................................... 38 3.3.1.6关闭设备服务....................................................... 42 3.3.1.7动态访问控制....................................................... 44 3.3.1.8其它安全措施....................................................... 44 3.3.2网络的VLAN的安全管理设计分析......................................... 47 3.3.3 INTERNET安全访问设计分析 ............................................ 47
第四章 4.1 4.2
项目管理 ............................................................................................................................................... 48 项目管理目标 ........................................................................................................................................... 48 项目型组织机构 ....................................................................................................................................... 48
4.2.1各组职责简介......................................................... 48 4.2.2项目人员总体安排..................................................... 50
4.3
项目进度计划 ........................................................................................................................................... 50
4.3.1项目总体进度计划..................................................... 50 4.3.2设备供货日程安排..................................................... 51 4.3.3设备建设进度计划..................................................... 51
4.4
设备及网络的安装调试 ........................................................................................................................... 51
4.4.1安装步骤............................................................. 51 4.4.2设备参数调整及性能优化............................................... 52 4.4.3 网络系统的业务割接(具体见附件4:网络系统业务割接方案模板)........... 52
4.5 4.6
技术文档 ................................................................................................................................................... 52 测试与验收 ............................................................................................................................................... 53
4.6.1设备测试............................................................. 53 4.6.2设备验收............................................................. 53
4.7
质量保障 ................................................................................................................................................... 54
4.7.1质量管理的意义....................................................... 54 4.7.2质量的定义........................................................... 54 4.7.3质量控制管理组织..................................................... 54
第五章 5.1 5.2 5.3 5.4
技术支持及售后培训计划 ................................................................................................................... 56 售后服务管理 ........................................................................................................................................... 56 保修期限及收费 ....................................................................................................................................... 56 技术支持服务及服务范围 ....................................................................................................................... 57 服务保证 ................................................................................................................................................... 57
5.4.1提供专业的、优质的本地化售后服务..................................... 57 5.4.2应急响应时间......................................................... 57 5.4.3有效的服务监督机制................................................... 58
5.5
服务方式 ................................................................................................................................................... 58
5.5.1电话故障诊断......................................................... 59 5.5.2远程故障诊断......................................................... 59 5.5.3现场故障排除......................................................... 60
5.6
服务项目 ................................................................................................................................................... 60
5.6.1宕机恢复............................................................. 60 5.6.2设备健康检查、性能调优............................................... 61
5.6.3代理维护服务......................................................... 61 5.6.4网络优化服务......................................................... 61 5.6.5培训与研讨服务....................................................... 62 5.6.6资料共享............................................................. 62 5.6.7协助业务拓展服务..................................................... 62
5.7
培训具体计划 ........................................................................................................................................... 62
= ................................................................................................................................................................................. 63 5.8
维护案例 ................................................................................................................................................... 63
附件1:网络设备总清单..................................................... 63 附件2:网络系统业务割接细化方案模板....................................... 66
1 总体说明 ............................................................................................................................................................ 68 2网上运行设备组网简图 .................................................................................................................................... 68
2.1 割接前组网简图: ...................................................... 68 2.2 割接后组网简图: ...................................................... 69
3 现场准备 .......................................................................................................................................................... 69
3.1 割接小组人员安排 ...................................................... 69
........................................ 69 3.2 备板、网线和电源插板等准备清单
3.3 割接准备 .............................................................. 70
4 现场操作流程 .................................................................................................................................................. 70
4.1 割接设备数据配置 ..................................................... 70 4.2 路由协议配置 ......................................................... 70
.................................................................. 70 4.3 其他
4.4 割接步骤 ............................................................. 70
5 检查设备的割接情况,确认无误 .................................................................................................................. 70 6 系统业务验证 .................................................................................................................................................. 70 7 失败处理方案 .................................................................................................................................................. 71 8 文件会签表 ...................................................................................................................................................... 71
第一章 网络系统设计概述
1.1 项目背景及现状分析
×××大楼信息网络系统是×××电子信息化重点工程。总体目标是建设×××的办公局域网和宽带互联网,实现×××内部的高速互联互通,实现以电子公文传输、数据库和多媒体应用(视频会议,语音服务,VOD点播)为代表的业务系统,实现办公信息的网络化。
在本方案中,公司凭多年的大型高端网络系统集成的经验,充分利用当今最成熟、最先进的网络技术,对×××信息网络系统的建设与实施提出方案。
1、×××公司的网络系统现状拓扑图如下:
2、×××公司现有的网络现状的描述:
随着业务的拓展对网络使用的成熟与需求的升级,在业务发展过程中,用户对网络的使用率越来越高,众多的网络用户和业务,使得网络负载很重。另一方面,×××公司现有情况存在几方面的隐患问题:
(1)网络缺乏合理规划,资源利用不合理:交换设备多使用原产品出厂配置,无针对现状作优化调整,造成硬件资源利用不充分,降低了网络的性能。目前网络使用的IP地址为C类地址,同属一网段内,无统一的规划,容易造成广播风暴。而且个别评标室通过多层交换级联访问业务服务器,存在“网络瓶颈”问题。
(2)内网安全与管理。×××现有外网安全上已加设防火墙保护,将外网隐患问题降至最低。但内网中没有将安全等级高的区域进行等级保护的划分,只是内网中所有的服务器及用户统一安全级别。同时安全与管理问题没有加强,缺乏有效措施进行管理。企业内的数据记录具有一定的机密性,泄露或篡改给企业带来的损失将不可估量。
1.2 项目需求
×××大楼信息网络系统是在高速光纤网的基础上,构建两套相互独立的、物理上隔离的网络系统,以提供安全的、可冗余的、可路由的、IP交换的、可备份的各部门的办公局域网(简称为内网)和可访问INTERNET的网络系统(简称为外网) 。实现公文流转自动化,实现各部门内部和各部门之间公文交换网络化,逐步构建“电子×××”,实现资源的共享,为各部门提高办事效率,提供办事透明度以及快速反应和决策提供可靠的保障。在此网络平台上为×××及其他各机关部门提供电子数据交换、文件传输、网上协同办公等服务。网络系统主要是以光纤作为传输媒介、以IP和Intranet技术为技术主体、以核心交换机为交换中心、下属部门信息网络系统为分节点的多层结构、提供与各种×××职能相关的、功能齐全、技术先进、资源统一的网上应用系统,进一步可扩展成为连接×××的多功能网络平台。
客户对网络系统建设的具体要求如下: (1) (2)
总体目标是建立×××的办公业务信息网络交换平台,集成下属各部门信息网络系统,功能齐全、技术先进、集成化的网络系统,。
1.3 编制依据
《计算机信息系统保密管理暂行规定》(国家保密局1988年2月26日印发) 《计算机信息国际联网保密管理暂行规定》(国家保密局1999年12月29日印发) 《中国公众多媒体通信网技术体制》 《中国公众多媒体通信网工程实施技术要求》 《计算机信息系统保密管理暂行规定》 《计算机信息国际联网保密管理规定》
《 建筑制图标准》(GBJ104-87)及国家建筑标准设计制图的若干规定 《国内卫星通讯地球站工程设计规范 》(YD 5050-97)
《国际电信联盟(ITU-T)形成了视听多媒体通信系统国际H.200标准》 《支持H.320和 H.323工业标准》
《H.224(电视会议的数据协议)和H.281(远端摄像机控制协议)》
IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z 支持路由协议:IP 的RIP v1/2,OSPF,BGP-4;IPX 的RIP 多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM 网络管理协议:SNMP,RMON,RMON2
第二章 网络系统设计
本系统设计主要进行节点网络拓扑、路由组织、IP地址、网络安全设计、VLAN划分和设备的具体配置等设计,详细描述所采用的设备及性能参数、网络管理。
2.1 网络设计原则
遵循《中国公众多媒体通信网技术体制》、《中国公众多媒体通信网工程实施技术要求》
以及其它国家相关标准和技术体制。
采用层次化设计,网络结构的不同部分有不同的功能,使网络具有优良的结构。 优化网络和系统结构,并在各个层面考虑冗余和备份,使系统具有较高的容错能力和应
变能力,以保证系统的可靠和有效运作。
选用的技术确保开放性、可移植性、兼容性和可扩展性。
采用通用的国际标准和协议,不采用有碍网络互通的厂家特有性能。
提供有效的安全保密措施,确保整个网络的安全。重要网络设备应有适当的冗余备份。 尽量详细准确,减低工程的复杂程度,使系统建设和改造的工作量减至最少,以保证工
程的顺利和有效完成。
2.2 设计目标
×××大楼信息网络系统应是一个以宽带IP网为目标,建立数据、语音、视频三网合一的一体化内部办公网络和外部宽带。网络系统应实现虚拟局域网(VLAN)的功能,以保证全网的良好性能及网络安全性。主干网交换机应具有很高的包交换速度,整个网络应具有高速的三层交换功能。主干网络应该采用成熟的、可靠的千兆以太网技术作为网络系统主干。同时该网应选用先进的网管软件,建立完善的网络管理体系;在设备方面,应选择有成功案例的网络厂商的设备,同时为Intranet、拨号用户和移动用户提供接口,网络还应具有良好的扩展性。
2.3 设备选型
我们根据以下标准进行选择:
设备的性能价格比是选型决策的重要考虑因素。 售后服务:
设备的保修期;
是否在中国有备件库,这样一旦发生硬件故障时可以及时得到更换;
是否提供ONLINE服务,以便与原制造厂商及时取得联系,获得技术咨询和支持; 故障报告的响应电话时间。
公司的经济、技术实力和市场占有率,这在一定程度上反映了该设备的信誉。 设备的技术先进性,这是选型的首要考虑因素。
设备对未来新技术的适应能力,反映设备的可扩展性,这是保护用户投资的一种策略。 设备的技术性能指标必须满足用户的需求并有一定的冗余。 设备的使用的方便程度,这体现设备的可维护性。
设备在大型网络中的应用情况,它反映设备的适应性和可靠性。
网络管理系统的集成性、开放性和功能,它反映网络管理系统是否能对网络作全面深入
的管理,以及它对异构网络的适应能力。
设备的标准化程度和可扩充性,反映网络规模扩展的适应能力。 是否对用户有长期稳定的优惠政策。
交货期的时限和使用这对工程能否如期完成有重大影响。 系统软件的升级条件是否优惠。
差错的检测与隔离能力,这是网络可靠性的重要保证。 手册与培训,反映用户能否较快地掌握设备的使用。
本公司根据以上几个方面的要求,经过认真比较,结合公司实施的成功案例,内部网络选用了以高端企业网络解决方案闻名世界的×××公司的企业级核心交换机×××、接入层交换机×××产品做为本方案的主要设备,外部网络选用×××三层交换机和×××二层交换机、×××M远程路由器及防火墙。设备的性能指标等各方面的参数都符合以上设备选型的原则。
2.4 内部网络拓扑结构设计
在用户的网络结构设计中,我们建议采用层次化的结构设计。
对于用户即将建设的网络系统来说,想要建设成为一个覆盖范围广、网络性能优良、具有
很强扩展能力和升级能力的网络,在起初的设计中就必须采用层次化的网络设计原则。采用这样的结构所建设的网络具有良好的扩充性、管理性,因为新的子网模块和新的网络技术能被更容易集成到整个系统中,而不破坏已存在的骨干网。
大多数的网络都可以被层次性划分为三个逻辑服务单元:核心骨干网(Backbone)、汇聚网(Distribute)和接入网(Local-access),模块化网络设计方法的目标在于把一个大型的网络元素划分成一个个互连的网络层次。层次性结构如下图所示。
根据这种层次化网络设计思想的原则,结合用户的需求,本方案采用了层次化的设计方法,并提出了相应的解决方案。
根据需求分析,×××大楼信息网络系统具有以下特点:
网络系统主要集中在中心机房内,客户计算机和网络方面的需求较大; 网络数据保密和分级管理的要求高; 信息交换以工作站对服务器交换为主;
为各部门等子网提供接入服务,并对其对网络的访问提供监管; 要满足用户网络多样化的需求,提供灵活的组网技术支持; 采用集中式的中心网管方式。
根据项目的具体需求及现有的光纤结构,结合网络建设的基本理论和原则,各入网部门的实际情况,应用需求,资金条件和远,近目标等各方面的要求,设计出该网络为拓扑结构为分层的集中式结构或称星型分级拓扑。
Network Hierarchical DesignInternet
内部办公网拓扑图:
网络逻辑拓扑结构如图所示。它是在基于高端路由交换机的基础之上而设计的新的网络拓扑结构。简要说明如下:
整个网络由核心层、汇聚层和接入层两大部分组成。核心层是由××××核心路由交换机组成。汇聚层由×××路由交换机组成。接入层是由接入层楼层交换机××××组成。
主要网络设备列表:
拓扑结构 核心层核心路由交换机 汇聚层路由交换机 接入层楼层交换机
以×××中心机房为中心,下属部门为接入点的星型连接方式。现阶段出于用户的应用和先进性考虑,通过千兆光纤连接。
各楼层的办公网是以星型的方式千兆直接连接到各汇聚机房的汇聚交换机上后,由汇聚交换机通过千兆接到核心交换机。我们可采用千兆路由交换机与各LAN网段的交换机(Switch)连接而组成星型网络,实现千兆核心网络到各楼层,百兆到桌面,满足各种应用的需要。
核心核心交换机与服务器群的相连是以千兆以太网的方式。 以上拓扑结构设计有以下特点:
它充分利用网络资源,把交换路由模块分开成第二层交换和第三层路由,这样做对网络
的性能大有改善。
网络拓扑结构层次清楚,易于扩充和升级(后面有升级的拓扑方案),同时体现了开放式
的体系结构。
设备型号 数量
由于核心交换机所承载的流量相应减少,从另一个角度来说,也即提高了网络整体的可
靠性,对用户的QOS从网络结构的优化上得到了保证。 大大减少网络瓶颈和由于链路、路由而导致的故障。 通过在网内划分VLAN的技术来确保网络内部的安全性。
2.4.1内部网络设计
2.4.1.1 核心层交换机的设计
核心层主要功能是给下层各业务汇聚节点提供IP业务平面高速承载和交换通道,负责进行数据的高速转发,同时核心层是局域网的骨干,是局域网互连的关键。对核心骨干网络设备的部署应为能够提供高带宽、大容量的核心路由交换设备,同时应具备极高的可靠性,能够保证7*24小时全天候不间断运行,也就必须考虑设备及链路的冗余性、安全性,而且核心骨干设备同时还应拥有非常好的扩展能力,以便随着网络的发展而发展。
基于对核心层的功能及作用,根据用户的实际需求,本方案中对×××大楼网络系统中核心层由×××系列的××台企业级核心交换机×××组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS和为接入层提供高密度的上联端口。为整个大楼宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流。同时为数据中心的服务器提供千兆高速连接。
根据×××的建筑分布及网络规模,以×××大楼的中心机房作为整个网络系统的核心节点。核心节点由两台同档次的网络核心设备构成,它们互为备份且流量负载均衡。二台网络核心交换机作为整个×××的核心层设备,为各个汇聚层和接入层交换机提供上联。同时×××大楼提供了各个服务器的可靠接入。
由于×××是路由交换机,也即同时具有第二层和第三层的交换能力,为了充分利用资源,将WWW服务器、E-mail服务器、数据库服务器、文件VOD服务器、认证的服务器(Radius server)以及网管设备等通过千兆直接连人核心交换机,以解决带宽瓶颈,充分利用核心交换机的交换能力。
核心交换机作为信息网络的核心设备,性能的优劣直接影响到整个网络运行。在设备的选型上必须考虑到有足够的背板带宽,包交换能力,是否支持设备的冗余,安全性,扩展性等各
种性能。企业级核心交换机×××完全满足上述的各项要求。
根据用户的需求,核心交换机上配置情况如下: (1)引擎模块 (2)千兆光纤端口模块 (3)千兆电口模块 (4)电源模块 (5)光模块 (6)交换模块 (7)机箱 (8)机柜
2.4.1.1.1 企业级核心路由交换机的性能特性及技术指标
2.4.1.2汇聚层的设计
汇聚层主要完成的任务是对各业务接入节点的业务汇聚、管理和分发处理,是完成网络流量的安全控制机制,以使核心网和接入访问层环境隔离开来;同时汇聚层起着承上启下的作用,对上连接至核心层,对下将各种宽带数据业务分配到各个接入层的业务节点,汇聚层位于中心机房或下联单位的分配线间,主要用于汇聚接入路由器以及接入交换机。
因此对汇聚层的交换机部署时必须考虑交换机必须具有足够的可靠性和冗余度,防止网络中部分接入层变成孤岛;还必须具有高处理能力,以便完成网络数据会聚、转发处理;具有灵活、优化的网络路由处理能力,实现网络汇聚的优化。而且规划汇聚层时建议汇聚层节点的数量和位置应根据业务和光纤资源情况来选择;汇聚层节点可采用星形连接,每个汇聚层节点保证与两个不同的核心层节点连接。
根据汇聚层在整个网络中的作用以及用户的实际需求,本方案中汇聚层共设计了××个节点,即:××××。
汇聚层网络设备全部采用了×××交换机。该交换机支持各种高级路由协议,如BGP4、
RIPV1、RIPv2、VRRP、OSPF、IP组播、IPX路由。
根据用户的需求,汇聚交换机上配置情况如下: (1)引擎模块 (2)千兆光纤端口模块 (3)千兆电口模块 (4)电源模块 (5)光模块 (6)交换模块 (7)机箱 (8)机柜
2.4.1.2.1 汇聚路由交换机的性能特性及技术指标
2.4.1.3 接入层设计
接入层,我们经常称之为访问网。访问网主要用来支撑客户端机器对服务器的访问,主要是指接入路由器、交换机、终端访问用户。它利用多种接入技术,迅速覆盖至用户节点,将不同地理分布的用户快速有效地接入到信息网的汇聚。对上连接至汇聚层和核心层,对下进行带宽和业务分配,实现用户的接入。
根据我公司的项目设计经验,汇聚层节点与接入层节点可考虑采用星形连接,每个接入层节点与两个汇聚层节点连接。当接入层采用其它结构(如环行)连接到汇聚层时,建议提供两条不同路由通道。
根据接入层处在网络系统中所起的作用以及用户的实际需求,本方案中接入层部分由××公司的××系列的×××交换机构成。其主要功能是为×××下属各部门数量极大的网络用户提供大量性价比极高的10/100兆网络接口,并与信息中心的核心交换机通过1000兆光纤链路互联为接入的用户提供高速上联。根据××公司的网络要求,接入交换机的分布情况如下:
根据用户的需求,接入交换机上配置情况如下:
2.4.1.3.1接入层楼层交换机的性能特性及技术指标
2.4.2路由协议的设计
如果网络中只有一个路由器或路由交换机,不需要使用路由协议;只有当网络中具有多个路由器时,才有必要让它们去共享信息。但如果仅有小型网络,完全可以通过静态路由手动地更新路由表。现使用较多的路由协议,主要以下几种: (1)RIP
RIP(Route information protocol,即路由信息协议)是基于D-V算法(距离向量算法)的内部动态路由协议。RIP协议的标准主要有RFC1058(版本1)和RFC1723(版本2)。 (2)OSPF
OSPF(Open Shortest Path First,即最短路径优先协议)是一种基于链路状态的内部动态路由协议。
目前OSPF的主要标准是RFC2328(版本2)。完整的OSPF功能包括支持广
播、NBMA、点到多点、点到点四种接口类型,以及MD5验证、区域划分、区域间路由聚合、虚连接、STUB区域等特性。 (3)IS-IS
IS-IS(Intermediate System - Intermediate System,中间系统到中间系统协议)是由国际标准化组织(ISO)制订的路由协议,属于开放系统互联协议簇。IS-IS 对应的标准是ISO 10589和RFC1195。
在IGP路由协议的选择上,尽量不要采用扩展性差的(RIP)和厂家的私有路由协议(IGRP和EIGRP),尽量采用OSPF或IS-IS。
对于OSPF和IS-IS的选择依据为:基本原理相同(基于链路状态算法),OSPF用于IP, IS-IS用于ISO的CLNP,也支持IP(“集成IS-IS”);IS-IS结构严谨,OSPF更加灵活,OSPF协议是基于接口的,而IS-IS路由器只能属于一个Area,并且不支持NBMA网络;
IS-IS占用网络资源相对较少,支持网络规模大于OSPF,在网络相当庞大时能体现出优势;一个IGP域运行的三层交换机及路由器的数量一般不会超过200台,因此从实际情况来看,运行
OSPF和IS-IS对IP城域网/承载网的建设不会有差异;对于网络的稳定性、可扩充性,两种协议都能很好地支持;在大型ISP上,IS-IS与OSPF二者均获得普遍应用;
从MPLS草案及现实运行来看,如果要运行MPLS网络的话,OSPF经常被选用做内部IGP,当然IS-IS也有,但是MPLS草案中认为在MPLS环境中运行OSPF更合适;使用MPLS TE的时候,采用IS-IS扩展的较多;
从目前很多厂商的设备来看,存在这样一个问题,不少厂商的中低端路由器及三层交换机不支持IS-IS,从这个角度讲OSPF比IS-IS有优势,所有的主流路由器及三层交换机都支持OSPF。
OSPF路由协议相应的配置策略为: • AS内部节点均运行OSPFv2路由协议;
• 如果与别的IP网络互通,建议配置EBGP路由协议,并且配置OSPF引入BGP路由; 为减少处理开销和网络开销,可将网络的主干部分划分为OSPF主干区域(区域号为0),在边缘的支局子网配置成为OSPF子区域,从而分散路由处理,减少网络带宽占用。通过配置区域,使OSPF可以分层次管理大型网络,实现可扩展性。使用OSPF协议必须考虑到骨干区域的连通性,即使某条链路断掉后能保证骨干区域不会分离;另外,还需要考虑网络边缘层设备的动荡对于核心网络的影响。
对于本次方案,根据初期阶段实现目标:实现信息点最优连通,建议采用OSPF路由协议使路由全网可达。具体设计如下:
核心交换机与汇聚交换机都为三层路由交换机,相互间使用OSPF路由协议,并运行
在AREAR 0区域上。
核心交换机为三层交换机,与防火墙连接通过采用IP静态路由的方式,防火墙通过
配置缺省路由使×××大楼网络用户对INTERNET进行访问。
2.4.3 IP地址的设计
2.4.3.1 IP地址规划和分配原则
(1)根据目前网络结构和以后扩展,遵循以下原则进行IP地址分配。 唯一性:IP地址必须唯一,一个IP地址对应一台数据通讯设备;
连续性:为同一网络区域分配连续的网络地址,便于规划,同时提高路由器寻径效率;
可管理性:地址的分配应该有层次性,某个局部的变动不影响网络的其它部分; 高效性:采用可变长子网掩码技术,要求采用支持可变长子网掩码技术的TCP/IP协
议族;
可汇聚性:方便路由汇总,缩减路由表条目,提高路由器处理效率。
可扩展性:既要考虑到IP地址的使用现状,又要考虑到未来信息网络的发展,为各
单位分配合理的地址空间,在网络上尽可能少地做NAT,减少网络设备CPU处理负担和加快网络访问速度。
(2)业务地址的划分可以按照两个原则来分配:
按照部门规划,每个部门一个独立的网段;这种方案适合业务种类单一的情况,管理
方便。
按照业务规划,每种业务一个网段,所有的地市同一业务使用同一网段,这种方案适
合业务之间互访的控制。
(3)互联链路地址采用30位掩码,设备地址采用32位掩码 2.4.3.2 网络地址分配
IP地址规划和分配包括以下内容: (1)设备及互连链路地址规划与分配 (2)业务地址规划与分配 (3)服务器地址规划与分配
根据以上IP地址的划分原则,本方案建议IP的设计如下:
2.4.4 VLAN的设计
2.4.4.1 VLAN的划分的作用及原则
VLAN(Virtual Local Area Network)是虚拟局域网的英文缩写,它最简明的描述就是可以实现将连接在同一个物理网络上面的主机分组,使它们看起来就象连接在不同的网络上一样。
VLAN出现之前,人们通过划分网段来提高局域网性能或者限制网上的计算机互访问权限等等。当时每一个网段都必须单独拥有一套网络硬件,各个网段之间不能共享同一套连网设备,而且当计算机从一个网段迁移到另外一个网段的时候,所做的变动相对是比较大的,尤其是计算机的连接必须更换到另外一个网络上面。VLAN出现之后,人们可以通过VLAN为网络分段,各个网段可以共用同一套网络设备,节约了网络硬件的开销,同时在迁移中所需的工作量也大幅度降低了,从而降低了连网成本。
在大中型局域网络组建中,VLAN技术是不可缺少的关键技术,科学的VLAN设计可以为局域网络带来一系列的优点:
(1)在同一个物理网络实现第二层工作组划分,实现不同工作组之间第二层的完全隔离,同时,组员可以处在物理网络中的任何位置,不受同一台设备限制;
(2)隔离广播,提高效率,避免不相关的广播帧在全网扩散,浪费有效带宽资源; 在用户的办公局域网系统中,我们建议基于IEEE 802.1Q标准实现VLAN,在VLAN设计中,我们使用VLAN达到两个目的:
第一,不同业务部门之间的隔离和通信控制; 第二,第二,广播范围抑制。
VLAN的划分可以依据用户的不同的业务部门进行,也可以依据用户所处网络的物理位置进行,后者主要是从网络性能角度出发,而前者还兼顾了网络安全性可控性的需要。根据×××大楼实际业务部门办公环境的分布情况来看,两者基本上实现了重合,而对于少数由于布线结构隔离在不同汇集点的相同业务部门,我们则推荐第一种方式,从后面的内容可以了解到,我们基于×××以太网设备平台的方案在性能的支撑上能够很大程度上忽略物理位置的性能影响。
从广播控制角度出发,为了保障网络的高可用和高性能,我们建议在进行具体VLAN规划时,同一个广播域内(一个VLAN)的通信主机不要超过50台,最好控制在30台以内, 对于主机数量超过50的业务部门,我们通过二层隔离,三层交换的方式来解决。可以完全放心的是,×××系列路由交换产品提供全线速的二三层交换能力,所以,对于我们的VLAN解决方案来说,第二层和第三层处理性能是完全相同的,可以实现两种设计之间的直接融合,从而更加灵活自由。
作为特殊VLAN 的典型,建议保留VLAN1作为管理VLAN,管理VLAN覆盖到全网的每一台交换机,但在第三层接口上,需要与其他业务VLAN进行有效的隔离。网管工作站建议另外设置一个VLAN,例如VLAN ID=4000,VLAN4000与VLAN1在第三层上相通,同时,部分业务VLAN可以访问VLAN4000,从而实现×××网管的分布式监控布局。VLAN1和VLAN4000的第三层路由接口处设置访问控制列表,只有特定的主机或者只有网管VLAN可以直接访问每一台设备,其他均在过滤之列。
对于其他的NOTES、DNS、FTP以及DHCP等等服务器建议单独设置在一个VLAN中,通过S×××全线速的三层交换和四层过滤机制实现可控的用户服务。
通过划分VLAN一般会带来以下几个好处: 网络性能好
交换网络可以通过降低网络碰撞域的大小,实现提升共享介质网络性能的目的。此外,通过逻辑网络对用户进行分组可以把功能或应用相近的设备或用户组合在一起,限制广播流量,提升网络性能。另外,交换网络降低了路由器的工作符合,缩短了网络时延。
易于管理和维护
VLAN技术可以根据变化的网络环境随时对逻辑分组进行调节和改进,简单,灵活,成本低廉。此外,VLAN可以对分散在不同地理位置的网络设备进行集中的管理和配置,使大型网络更加易于管理和维护。
支持多种物理拓扑结构
VLAN技术可以在任何网络物理拓扑结构的基础之上,将不同区域的设备连接在一起,建立一个虚拟的独立广播域,而且对网络的扩展和升级具有良好的支持功能。
网络更加安全可靠
VLAN技术可以在共享介质网络环境的基础之上,提供附加的安全保障。网络管理人员可以通过创建虚拟局域网把需要访问关键信息的用户与普通用户区别开来组成独立的虚拟网,使重要数据免受外界侵害。 2.4.4.2 VLAN划分
我们建议根据各个办公室的地理位置来划分VLAN, 如果同一栋楼内包含很多部门,而这些部门的职能和工作内容又有很大的区别,我们就可以在楼内按照部门来划分VLAN。
另外,如果某个部门需要跨越很多建筑物,分布范围比较广,例如部门A分布的很散,在很多交换机上都预留了部门A的信息点,我们则可以按照交换机的位置来设置VLAN,这样,部门A就可能对应多个VLAN,如果部门A所对应的VLAN之间需要通信的话,我们可以通过VLAN间的路由来实现。这样做的好处是:可以减少广播数据包对网络主干的影响。因为如果将部门A全部划分到一个VLAN中,而这些VLAN又跨越了网络主干,分布在众多不同的交换机上,这样如果有广播包时,这些广播包必然会在网络的主干上传输,然后到达相应的交换机上,也就占用了网络主干的带宽,容易造成其他业务的时延。
为了减少传输冲突,提高系统整体性能和网络处理能力,另外,还考虑到网络良好的管理性,易于维护和安全策略的实施,针对用户网络系统的实际情况,可以把功能(应用)相近的设备群组划分到同一VLAN,不同部门的设备划分到不同VLAN中去,这样就能够通过访问控制列表技术实施安全策略。限制未授权的用户访问重要的服务器和数据库。如图所示,在实际划分VLAN时可以把不同的部门和VLAN之间的编号进行对应。
如果用户需要建设一套数据中心,数据中心要包含各种服务器,而不同的服务器需要配置不同的访问权限,同时也有大量不同部门的局域网用户需要实现受限通信。根据VLAN划分原则,我们建议把业务应用服务器、数据库服务器划分在不同的VLAN内;其他相关服务器根据功能组别划分在不同的VLAN内。这些服务器专用VLAN只对授权的计算机开放访问,非授权的计算机将被访问列表阻隔;局域网用户与中心机房的其它计算机划分在不同的VLAN中,为保障数据库服务器的访问安全,可以限制普通用户只能访问应用服务器所在的VLAN,并通过应用服务器来访问数据库;同时不同部门的计算机可根据需要划分不同的VLAN,例如财务部与其它部门因划分在不同VLAN内。 2.4.4.3 VLAN之间路由实现
在划分了VLAN的环境下,各VLAN成员之间不能直接访问,不同VLAN之间的流量必须经过路由,这一功能可以由三层以太网交换机的多层交换引擎来完成。
在用户网络系统设计中,VLAN的划分可以在核心交换机、楼层交换机上的端口进行划分,不同的交换机端口所连接的设备属于不同的VLAN,而VLAN之间的路由则由具有三层功能的核心交换机来完成。下图表示的是采用这样的路由方法的网络逻辑结构示意图。
2.4.4.4 VLAN之间安全控制
在用户网络系统中,由于在中心使用了三层核心交换机,因此所有的VLAN之间的访问都需要通过三层核心交换机进行,因此可以通过ACL(访问控制列表)控制VLAN之间的流量,这样就可以允许高优先级的VLAN段访问低优先级的VLAN段,而低优先级的VLAN段不能访问或有限的访问高优先级VLAN段。
2.4.5网管系统设计
网络管理系统时对整个网络进行监视、控制和维护管理,以提高网络的有效性、利用率、安全性和可靠性。网络管理系统由网管中心、网管单元、管理信息库和网络管理协议四部分组成。
网管中心是网管人员和管理信息系统间的接口,它将网管人员的命令转换为对实际网元的监视和控制。网管单元在每个节点执行各项网络管理任务,采集网络资源信息,存储本地相关数据并响应网管人员命令。管理信息库(MIB)存放各种网络管理信息的特征参数和逻辑结构。网络管理协议按规约执行网管人员与网管单元和管理信息库之间的通信。 ×××网络系统设一个网管中心,该中心设在×××,负责对全网进行管理。 本工程配置一套基本网络网管,用以监控管理范围内的网络设备。
基本网络网管:根据TMN要求,×××宽带数据网络管理系统应具有配置管理、性能管理、故障管理、计费管理和安全管理等五大管理功能。具体功能要求如下:
(1)配置管理提供在网元上运用控制、识别数据、从网元收集数据和为网元提供数据等功能。
(2)性能管理主要提供评价网络性能和有效性的功能,通过收集与网络有关的统计数据,性能管理帮助运营者分析网络的运行趋势,提出网络运行的评价报告,并将网络性能控制在可接受的水平。
(3)故障管理具有激活检测、故障定位、报警监视和校正网内非正常操作等功能。计费管理测量用户对重要网络资源和业务的使用,并根据相关政策决定其使用费用。
(4)安全管理是指保证运行中的网络安全的一系列功能,应避免非法接入网络,控制接入级别和范围。 2.5 外部网络设计
2.5.1外网设计原则
×××大楼网络用户为对INTERNET进行访问,而且为了保证其安全性,要求能够访问INTERNET的用户与不能访问INTERNET的用户进行完全的物理隔离,则需要另建立一套网络系统(简称为外网)。×××大楼网络用户(即外网用户) 通过外网布线系统接至各楼层的交换机,汇总到外网的主交换机后,接入到防火墙上,防火墙通过IP地址转换功能(NAT),将×××大楼网络用户(即外网用户)的私有IP地址转换成INTERNET公网IP地址,通过光电转换器与电信相连的方式访问INTERNET,以使×××大楼网络内外网互相独立,达到完全的物理隔离的目的。
2.5.2外部网络拓扑结构
外部网拓扑结构图:
2.5.3外部网络设备及防火墙的选型设计
2.5.3.1 核心交换机的选型设计
×××大楼网络系统中外网的核心层由×××系列的××台×××千兆交换机 及×××交换机组成。其主要任务是提供高性能、高安全性的核心数据交换、QoS和为接入层提供高密
度的上联端口。为整个×××大楼宽带办公网提供交换和路由的核心,完成各个部分数据流的中央汇集和分流。
×××为三层交换机,可支持多种路由协议,以及一系列经过验证的服务质量(QoS)特性以进行流量优先级排序, 提供线速硬件路由,并采用通用的硬件和软件基础,因而易于使用和管理。
核心交换机的具体配置如下: 产品代号 描述 2.5.1.2 防火墙的部署设计
根据我们以往的实施经验,在防火墙策略设置方面,我们给出如下的建议,可供用户参考:
1) 根据用户的网络结构、安全风险和安全需求,建议用户网络采用防火墙设备进行边界隔离
和访问控制,制定严格的访问策略,限制未经过许可的访问,从而确保用户的边界安全。 2) 通常我们在设计防火墙部署方案的时候,主要根据网络的主体结构,和网络中不同的应用
系统,将网络从逻辑上划分为多个安全域,每个安全域都承担不同的工作,完成不同的任务。防火墙则被部署在安全域之间,根据预先制定的安全策略,控制哪些数据流可以穿越防火墙,而哪些数据流被阻挡在防火墙之外。这里体现出两个关键因素,一是安全域的划分,利用防火墙形成安全域之间的逻辑隔离,二是安全策略的指定,利用防火墙进行有效的访问控制。
3) 根据用户网络的特点,我们从结构上,将用户网络划分为:内网服务器区(主要包括数据
中心的OA、DB、业务服务器群组)、局内网区域(主要包括内部办公用机)、局外网区域(包括专网出口、互联网出口等);各接入单位网络;
单位 数量 安装位置 备注
4) 由于用户是使用的多端口防火墙,如果用户有外网的一些应用,如MAIL、WEB、对外门户
等等,我们建议用户可以建立一个专门的外网服务器区(DNS、EMAIL、WEB、认证服务器群组),然后统一把他们放置到DMZ区。这样通过划分不同的安全区域来提高整个网络访问的安全性。
针对用户的网络,通过防火墙设备主要解决的问题包括:
1) 下联单位用户的访问控制:下联单位、移动用户需要通过外网访问到内部网时,需要通过
防火墙的认证,不符合防火墙安全策略的数据包在这里就会被全部丢弃。
2) 防止非法的访问与数据包:一般来讲,黑客总是利用高端口发送数据包,从而进行攻击行
为,那么我们只需要封闭这些端口,或者一些没有用处的协议(比如ICMP协议),就能够有效的防范黑客的攻击,特别是针对互联网用户,由于在用户内部有WEB的应用,我们必须确保只有HTTP才能经过防火墙,而其他的访问均被禁止,从而保护WEB服务器的安全,进而还可防范互联网的黑客利用WEB服务器为跳板,发起对用户其他“信息资产”的攻击或窃取;
3) 对移动用户进行身份的鉴别:移动用户在接入网络时,必须提供足够的身份证明信息(比
如用户名、口令、证书、iKEY等),使得防火墙能够正常鉴别出移动用户的真实身份,从而能够根据移动用户的不同身份,给予不同的访问权限或访问范围;
4) 防止地址欺骗:一方面,来自互联网的访问者会将自己的IP地址伪装成内部地址,从而
饶过防火墙发起对内网的攻击;另一方面,内部用户通过修改自己的地址,而获得更高的访问权限;这些行为都会给用户网络形成安全威胁,那么防火墙通过MAC地址绑定技术、源地址识别等技术,能够识别出这些地址欺骗行为,从而更有效的执行访问控制策略; 5) 有效隐藏用户内部真实地址:一方面,在内网与互联网之间,通过防火墙设备进行正向地
址转换,内部的办公用机在访问互联网的过程中,均经过地址转换,将内部办公用机的地址转换为防火墙上预设置的互联网地址;另一方面,针对用户的主页服务器,进行反向地址转换,将主页服务器地址配置为内部地址,并且建立防火墙上预设置的互联网地址与主页服务器的内部地址之间的转换关系;这样,互联网上用户看到的只是防火墙的地址,而无法知道用户内部网的真实地址分配情况,从而有效地隐藏用户内部真实地址,使互联网上的黑客无法直接发起对用户内网的攻击。
6) 有效抵抗黑客攻击行为:在用户采用的防火墙设备能够识别并防范对网络和主机的扫描攻
击、异常网络协议攻击、IP欺骗攻击、源IP攻击、IP碎片攻击、DoS/DDoS攻击等。 7) 与入侵检测系统联动:防火墙能够与部署在用户核心区域的入侵检测系统进行联动,当入
侵检测系统发现外网对用户内网发起的攻击行为,入侵检测系统会将此类报警信息发送给防火墙,防火墙在接受到报警信息后,动态生成访问控制策略,将发起攻击的源头阻断在防火墙之外,从而形成动态防护体系。
8) 保障系统的可用性:当防火墙被部署在用户的网络边界时,会成为连接用户外网和内网的
唯一通道,那么防火墙自身的性能,和加入防火墙后,能否保障用户网络原有的冗余设计特点,就显得非常重要。在这里我们将防火墙配置为主-主负载均衡模式,一方面能够保障用户内、外网之间高可用性的冗余线路设计,另一方面将大大提高并发连接的处理能力,不成为网络连接的瓶颈。
本方案中与INTERNET的连接选用×××防火墙提供了当前最为完备的分支办公室解
决方案,满足企业网络发展所需的各类应用需求。其模块化的结构设计为高灵活性网络的构件做出了有利保证。防火墙为数据和语音通信提供了高性能的局域网和广域网的配置。
防火墙的具体配置如下:
产品代号 描述 单位 数量 安装位置 备注
2.5.3.2核心交换机产品特性及技术指标
2.5.3.3防火墙产品特性及技术指标
2.5.3.4外网接入交换机的选型
外网接入交换机选用×××的产品,提供从外网信息点的接入,结合×××的高端口密度和线速性能的特性,支持1000M上行链路和内置堆叠连接器,为用户提供一种经济高效的解决方案。接入交换机的具体配置如下: 产品代号
2.5.3.4.1接入交换机的产品特性及技术指标
2.6 外部网络的路由协议
××××交换机为三层交换机,与路由器连接通过采用IP静态路由的方式,路由器通过配置缺省路由使×××大楼网络用户对INTERNET进行访问。
×××大楼网络IP地址采用内部保留地址,通过防火墙的IP地址转换功能(NAT),使内部用户访问外部站点。
第三章 网络系统性能和特点分析
3.1 网络设计方案技术要点
主干网采用1000M快速以太交换技术;保证了传输数据的要求;
×××大楼信息网络系统采用标准的通信协议,路由协议和内部IP网络地址;
描述 单位 数量 安装位置 备注
网络系统主干网由网管中心实行统一集中式的网络管理,建立统一的网络管理系统; ×××大楼信息网络系统的信息资源采用集中控制与分布配置相结合的策略。 采用VLAN和第三层交换技术。
×××交换机的 ACL安全特性允许对所有访问进行鉴权。 核心节点的考虑
考虑到×××的建筑布局及其余局域网的地域特点,我们考虑把计算机网络的核心节点设置于×××楼的中心机房,该节点将配置2台核心设备互为冗余,以保证主干网络的可靠性。 系统的冗余性设计
本方案的设计已采用了如下的冗余技术,保证系统的高可用性: (1)网络设备的冗余
设备的冗余是指在两个物理节点间的网络设备,为了防止由于网络设备的故障导致网络通信故障的发生,而在节点间采用冗余设备。这样当其中一台设备发生故障时,另外一台设备会自动负担其故障设备的工作,从而保障了通信的正常。但是由于设备的冗余,必须考虑到物理链路的租用和设备的购买等问题,因此网络的投资会比较大。因此通常会在网络的核心节点上采用设备的冗余,来保证网络的冗余,提供核心网络的可靠性。
本方案中在核心层上,配置了2台核心交换机,在网络的核心节点上采用了设备的冗余,来保证网络的冗余,提供核心网络的可靠性。 (2)网络链路冗余。
网络链路的冗余是指到在两个网络节点间的网络链路,为了防止由于网络链路中断导致网络通讯故障的发生,而分别采用两条网络链路。当其中一条链路发生中断时,另外一条链路仍然能够继续保证网络的数据能够正常通信。通常情况下,在某些非常重要的核心节点间采用双链路的方式进行互连,但是由于采用双链路会导致物理链路的资费增加,因此需要根据网络情况综合考虑。但是,在局域网中,由于局域网的地理距离比较近,且局域网线不存在租用问题,因此,在局域网中的核心节点通常都会采用双链路的方式进行互连。
本方案中,把所有的汇聚层节点的交换机均采用双链路上联的方式连接至核心节点。保证任何一路光纤上连链路断开都不会影响系统的正常运行。
(3)网络设备结构的冗余。
网络设备结构的冗余是指在设备硬件结构上,充分考虑了由于设备上的某些关键部件发生故障而导致网络通信故障的因素,在这些关键部件上采用了冗余的设计,保证了由于某些原
因,这些部件发生故障时网络设备仍然能够正常的工作。从而提高了设备的工作弹性 ,但是由于网络设备的关键部件采用了冗余的设计,因此会导致网络设备的硬件成本大大增加了,从而提高了网络设备的采购价。通常情况下,设备关键部件冗余,一般指引擎、电源的冗余。但是冗余设计只会在关键的核心设备上采用冗余设计,在一些低端的设备上一般不会采用此设计。因此 ,在网络的核心节点上建议采用较高端的设备,从而通过网络设备的冗余也提高了网络系统的冗余和弹性。
本方案中在核心层和汇聚层的交换机都配置冗余电源,冗余背板以及冗余风扇等,以保证单体设备的整体高可靠性。
3.2 网络系统设计特点 3.2.1先进性
本方案设计以当今世界最成熟,最先进的千兆以太网技术为解决方案的核心,以网络性能最高的第3/4层交换功能的千兆以太网交换机为核心设备,为×××大楼信息网络系统提出了整体的解决方案。本方案在对多媒体的应用,灵活的网络拓扑结构,多链路负载分享,与WAN的连接等都有新的技术和标准所解决。同时对最新的业界标准,如802.1X,万兆以太网等都有良好的支持和升级能力。
3.2.2开放性和扩展性
本方案的所有设备均遵循国际标准,整个系统能支持多协议、各种通讯协议,网管协议等国际标准。
核心交换机×××有××个扩展槽,足够的容量和交换能力,支持日后业务发展的需要,通过固件升级支持更多新协议、和功能。×××系列交换机支持多种类接口,如10/100MB快速以太网、千兆以太网、广域网接口,和CMTS、POS、ATM、ISDN-PRI、Channelized E1等等,提供用户多种接入选择。
3.2.3可操作性和稳定性
网络解决方案中所使用的×××系列设备均支持SNMP、RMON和RMON2,透过网络管理、或WEB浏览器,可以对设备进行远程监控、配置。网络管理员可通过专业网管系统,可以通过网
管工作站对整个网络提供是时端口级的管理,拓扑管理,VLAN的配置和管理。
网络解决方案中所使用的××××系列是可靠性达到99.999%电信级可靠性要求的网络设备。
它支持冗余的CPU、冗余的交换背板、冗余的电源系统和冗余的冷却系统, 并且设备的模块、电源和冷却系统都支持热插拔。这些功能提供了设备的可靠性。 各接入交换机可通过多链路中继可以在交换机和另一个交换机或服务器之间实现链路的捆绑使用,以提供更高 的带宽,最高可达××× Mbps。
3.3 网络系统安全性设计分析
网络安全是一种策略及管理,而不仅仅是某一种产品,是一个系统工程,它包括了物理层、网络层、应用层等一系列安全措施和策略。从外在上安全包括五个基本要素:机密性、完整性、可用性、可控性与可审查性。
机密性:确保信息不暴露给未授权的实体或进程。
完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。 可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权
者的工作。
可控性:可以控制授权范围内的信息流向及行为方式。
可审查性:对出现的网络安全问题提供调查的依据和手段。
3.3.1网络安全设计
通常认为,安全是三分技术,七分管理,因此我们建议×××大楼网络系统的安全保护措施:
3.3.1.1人员角色划分
要对用户网络进行有效的安全管理,必须对系统的使用人员和管理人员的不同角色进行清晰的划分,不同的角色拥有不同的权限和职责,互相制约,共同保障整个系统的安全性。
对于用户网络系统涉及的各类人员,我们建议划分如下角色:
1) 决策专家 负责分析用户网络系统安全状况,对购买和使用的产品和工具进行评估和决策,制定和修正系统总体安全框架,制定确保系统安全的策略和其他人员遵守的安
全管理规章制度等等。这些高层次的专家只是确定安全的策略,可能在真正的IT系统中根本没有帐户,因此他们不会构成对安全的威胁。
2) 安全管理员 负责把决策专家制定的策略和制定在IT系统中实现。如配置各网络设备、计算机的安全属性,甚至防火墙、访问控制等安全产品的安全规则,进行日常的用户增加、修改管理,维护资产的访问权限等。
3) 审计员 负责对用户违反安全策略的情况、安全管理员、口令管理员操作和设置的工作进行审计,以发现用户或者其他管理人员的违规操作,形成安全状况报告。 4) 口令管理员 负责维护口令的质量,保证用户按照决策专家制定的口令规则使用。同时帮助新用户设置口令或者复位用户丢失、忘记的口令。
5) 安全值班员 负责日常的安全监视,一旦系统报告严重的安全问题,立即报告或执行安全管理员预先制定的应对措施。
6) 系统管理员 负责对网络设备、计算机、操作系统、数据库等系统进行管理。但不涉及安全方面的管理。
7) 用户系统的使用者,是被管理的对象之一。
8) 安全管理员、审计员、口令管理员、系统管理员等角色会相互制约,避免出现单一的“超级”用户。 3.3.1.2路由认证和保护 路由认证
路由认证(Routing Authentication),就是运行于不同设备的相同的动态路由协议之间,对相互传递的路由刷新报文进行的确认,以便使得设备能够接受真正而安全的路由刷新报文。
任何运行一个不支持路由认证的路由协议,都存在着巨大的安全隐患。某些恶意的攻击者可以利用这些漏洞,向网络发送不正确或者不一致的路由刷新,由于设备无法证实这些刷新,而使得设备被欺骗,最终导致网络的瘫痪。
目前,多数路由协议支持路由认证,并且实现的方式大体相同。认证过程有基于明文的,也有基于更安全的MD5校验。
MD5认证与明文认证的过程类似,只不过密钥不在网络上以明文方式直接传送。路由器将使用MD5算法产生一个密钥的“消息摘要”。这个消息摘要将代替密钥本身发送出去。这样可以保证没有人可以在密钥传输的过程中窃取到密钥信息。使用MD5认证算法的路由协议有:
OSPF RIP版本2 BGP4 EIGRP
OSPFv2 路由认证:
OSPF的路由认证用于两个OSPF的邻居之间的报文交换。邻居间必须同意认证类型并验证通过,否则报文不被交换甚至根本无法建立邻接关系。
OSPF的认证类型包含在所有报文中。认证类型分为: 0:无认证 1:简单密码验证 2:MD5校验 RIP2 路由认证:
RIP协议有V1和V2两个版本。RIPv1是一种过于简单的路由选择协议,不能配置和使用路由选择认证。
RIPv2支持了路由认证,并且允许配置成使用明码口令或者MD5验证。 在RIPv2支持三种认证类型: 无认证 简单密码验证 MD5校验和 BGP4路由认证:
BGP区别与内部网关协议,它是目前最为流行的外部网关协议。为了提高BGP的可靠性,BGP协议采用TCP来提供可靠的连接,也因此BGP本身的刷新报文就不再需要可靠性保证了。
为了防止被欺骗的TCP分段进入到连接流中,从而对BGP的连接进行攻击,TCP为BGP提供了“TCP MD5签名”选项。 “TCP MD5签名”选项的意思就是说,在每个TCP分段中加入一个MD5的摘要,摘要的信息仅仅能够被连接的对端所识别。从而增强了基于TCP连接的BGP的安全。
加入“TCP MD5签名”,攻击者不但需要获得正确的TCP报文的序列号,而且需要包含在MD5摘要中的密码。密码不会在连接流中传递,它最终在设备的应用层根据摘要形成。
“TCP MD5签名”不是协商选项,在一个TCP连接中,使用它与否完全是应用层的一种策略。并且这些策略最终在上层的应用程序中获得解释,比如BGP对摘要密码的提取和验证。
ISIS路由认证:
目前的标准IS-IS使用非常基本的认证形式,支持密码来验证路由信息,但只能用明文形式来传送密码。因此标准IS-IS的认证不提供非常可靠的安全保证。 3.3.1.3关闭IP功能服务
有些IP特性对局域网来说是有用的,但对广域网或城域网节点的设备是不适用的。如果这些特性被恶意攻击者利用,会增加网络的危险,因此,网络设备应具备关闭这些IP功能的能力。
IP源路由选项开关
在IP路由技术中,通常一个IP报文总是沿着网络中的每个路由器所选择的路径上转发分组。IP协议中提供了源站和记录路由选项,它的含义是允许源站明确指定一条到目的地的路由,覆盖掉中间路由器的路由选择。并且,在分组到达目的地的过程中,把该路由记录下来。源路由选项通常用于指定网络路径的故障诊断和某种特殊业务的临时传送。
因为IP源路由选项忽略了报文传输路径中的各个设备的中间转发过程,而不管转发接口的工作状态,可能被恶意攻击者利用,刺探网络结构。 因此,设备应能关闭IP源路由选项功能。
重定向开关
网络设备向同一个子网的主机发送ICMP重定向报文,请求主机改变路由。一般情况下,设备仅向主机而不向其它设备发送ICMP重定向报文。但一些恶意的攻击可能跨越网段向另外一个网络的主机发送虚假的重定向报文,以期改变主机的路由表,干扰主机正常的IP报文转发。
因此,设备应能关闭ICMP重定向报文的转发。 定向广播报文转发开关
在接口上进行配置,禁止目的地址为子网广播地址的报文从该接口转发,以防止smurf攻击。 因此,设备应能关闭定向广播报文的转发。缺省应为关闭状态。
ICMP协议的功能开关
很多常见的网络攻击利用了ICMP协议功能。
ICMP协议允许网络设备中间节点(路由器)向其它设备节点和主机发送差错或控制报文;主机也可用ICMP协议与网络设备或另一台主机通信。
对ICMP的防护比较复杂,因为ICMP中一些消息已经作废,而有一些消息在基本传送中不使用,而另外一些则是常用的消息。因此ICMP协议处理中应根据这三种差别对不同的ICMP消息处理。以减少ICMP对网络安全的影响。 3.3.1.4用户的安全防护
本节描述对接入用户的安全保护。有两个方面的要求: 保护接入的用户不受网络攻击; 阻止接入用户攻击其他用户和网络。 用户验证
用户验证是实现用户安全防护的基础功能。只有对用户进行识别和区分,才能有效的对其进行保护。经过验证的用户可以享受服务,而未经验证的用户则被拒绝。用户验证一般都与用户流量参数的配置结合在一起。用户的流量合同从业务服务器下载到业务接入节点,作为对用户提供服务的依据。用户验证的手段包括:PPP验证、WEB验证和端口验证、以及802.1x的验证。
802.1x是IEEE为了解决基于端口的接入控制(Port-Based Network Access Control)而定义的一个标准。
从上图可以看到802.1x协议主要有三个组件构成:
1. 客户端Supplicant:一般安装在用户的工作站上,当用户有上网需求时,激活客户端程序,输入必要的用户名和口令,客户端程序将会送出连接请求。
2. 认证系统Authenticator:在以太网系统中指认证交换机,其主要作用是完成用户认证信息的上传、下达工作,并根据认证的结果打开或关闭端口。
3. 认证服务器Authentication Server:通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务,并根据认证结果向交换机发出打开或保持端口关闭的状态。
802.1x的端口具有三种控制状态:
Force Authorized:强制开,端口一直维持授权状态; Force Unauthorized:强制关,端口一直维持未授权状态;
Auto:激活802.1x,设置端口为未授权状态,并通知设备管理模块需要进行端口认证,端口的控制状态决定了客户端是否能接入网络:启用802.1x认证端口(Auto)的初始状态一般为非授权(unauthorized),在该状态下,除了802.1x 报文外不允许任何业务输入、输出。当客户通过认证后,端口状态切换到授权状态(authorized),允许客户端通过端口进行正常通信。
由此可见,802.1x的认证过程,就是控制系统的802.1x逻辑端口认证状态的过程。
在具有802.1X认证功能的网络系统中,当一个用户需要对网络资源进行访问之前必须先要完成以下的认证过程。
1. 当用户有上网需求时打开802.1X客户端程序,输入已经申请、登记过的用户名和口令,发起连接请求。此时,客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。
2. 交换机收到请求认证的数据帧后,将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。
3. 客户端程序响应交换机发出的请求,将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。
4. 认证服务器收到交换机转发上来的用户名信息后,将该信息与数据库中的用户名表相比对,找到该用户名对应的口令信息,用随机生成的一个加密字对它进行加密处理,同时也将此加密字传送给交换机,由交换机传给客户端程序。
5. 客户端程序收到由交换机传来的加密字后,用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的),并通过交换机传给认证服务器。
6. 认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比,如果相同,则认为该用户为合法用户,反馈认证通过的消息,并向交换机发出打开端口的
指令,允许用户的业务流通过端口访问网络。否则,反馈认证失败的消息,并保持交换机端口的关闭状态,只允许认证信息数据通过而不允许业务数据通过。
在客户端与认证服务器交换口令信息的时候,没有将口令以明文直接送到网络上进行传输,而是对口令信息进行了不可逆的加密算法处理,使在网络上传输的敏感信息有了更高的安全保障,杜绝了由于下级接入设备所具有的广播特性而导致敏感信息泄漏的问题。
基于PPP的验证
PPP是传统窄带拨号网络的接入技术。PPP在NCP过程中,可以采用PAP或CHAP进行口令验证,然后由业务接入节点分配IP地址,应用流量合约。在宽带网络上,引入了对PPP的扩展:PPPoE和PPPoA。
支持PPP验证的设备应满足如下要求:
支持CHAP验证,能够处理MD5加密的帐号、密码; 支持Radius验证;
根据验证的结果为用户分配IP地址,应用流量合约; 对于ADSL接入,支持PPP在ATM上的扩展PPPoA;
对于以太网和Cable 接入,支持PPP在以太网上的扩展PPPoE; PPPoE应用在共享的网络介质上,必须采用CHAP进行口令交换,以避免明文口令被侦听。
基于WEB的验证
基于Web的验证是一种应用层的验证方法,与接入的介质没有直接的关系。用户通过DHCP获得IP地址,然后通过通用浏览器访问指定Web页面(地址、端口及URL),或者由业务接入节点自动导向运营商的Portal页面。基于Web的验证可以充分的定制。
支持Web验证的设备应满足如下要求:
提供初始的访问规则,使用户在验证前能够访问指定的网络服务,启动验证规程; 通过标准或私有的协议,可以动态改变用户的访问规则及流量合约,控制用户对网络的访问;
加密传输用户的帐号、密码等关键信息; 提供Radius验证; 基于端口的验证
基于端口的验证,是由IEEE进行标准化的验证方法,标准号是802.1x。
802.1x用于交换式的以太网环境,要求与客户和与其直接相连的设备都实现802.1x。当应用于共享式以太网环境时,应对用户名、密码等关键信息进行加密传输。 在运营过程中,设备也可以随时要求客户重新进行验证。
支持端口验证的设备应满足如下要求:
识别并支持 EAPOL 封装,包括源、目的地址确定,VLAN TAG 要求等; 支持受控端口与非受控端口,并根据数据帧类型送入不同的端口; 支持受控端口在端口控制参数下的行为; 支持Radius验证。 3.3.1.5设备安全防护 设备自身的安全防护技术 一、口令管理
为防止对系统未经授权的访问,系统必须具有完善的密码管理功能。虽然几乎所有数据通信设备都具有RADIUS或TACACS认证服务器进行口令管理的能力,但在设备本地进行密码分配和管理仍是设备本身应具有的安全特性。这里只描述本地密码管理。
口令的密文显示
若系统的配置文件以文本方式进行保存,则在配置文件中,所有的口令都必须以密文方式显示和保存。
二、控制对设备的访问 控制台访问:
控制台是设备提供的最基本的配置方式。控制台拥有对设备最高配置权限,对控制台访问方式的权限管理应拥有最严格的方式。
1. 用户登录验证
对从设备CONSOLE口进行访问配置的用户必需具有身份认证的能力,可以通过本地用户验证或RADIUS验证实现。
2. 控制台超时注销
控制台访问用户超过一段时间对设备没有交互操作,设备将自动注销本次控制台配置任务。超时时间必须可配置,缺省为10分钟。
3. 使能/禁止用户通过控制台对设备进行访问
通过禁止控制台数据收发,禁止用户直接通过异步线路进行配置。这样,即使非法用户占领了控制台,通过重启设备清除了控制台访问口令,也无法通过控制台对设备进行非法配置。
4. 控制台终端锁定
配置用户离开配置现场,设备应提供暂时锁定终端的能力,并设置解锁口令。 异步辅助端口的本地/远程拨号访问
通过设备的其它异步辅助端口对设备进行本地、远程拨号的交互配置,是设备通供的额外配置方式。
1. 缺省要求身份验证
对于非控制台的其它一切配置手段,必须要求设备配置身份验证,如果设备未配,将拒绝接受用户登录。
2. 用户登录验证
原理同控制台访问控制的基本能力,这是无论那种配置方式都必需提供的基本控制能力。 3. 终端超时注销/挂断
原理同控制台访问控制的基本能力,对于PSTN拨号配置方式,超时将挂断连接。 超时时间必须可配置,缺省为10分钟。
4. 使能/禁止用户通过辅助端口对设备进行交互访问 5. 终端锁定
6. 拨号用户回呼功能
当通过辅助端口以拨号方式对设备进行配置时,可以保证当口令被盗用时,非法用户也不能盗用线路。
TELNET访问
1. 缺省要求身份验证
对于非控制台的其它一切配置手段,必须要求设备配置身份验证,如果设备未配,将拒绝登录。
2. 用户登录验证 3. 终端超时退出
当telnet连接未交互超过一定时间时,将断开本次telnet连接。 超时时间必须可配置,缺省为10分钟
4. 限制telnet用户数目
设备对telnet用户数量必需做出上限控制。 5. 使能/禁止用户通过telnet方式对设备进行访问 6. telnet访问的限入限出
限制哪些用户可以通过telnet客户端对设备进行访问; 限制设备通过telnet客户端程序对那些目标主机进行访问。 7. telnet终端锁定 SNMP访问
SNMP是一种使用非常广泛的协议,主要用于设备的监控和配置的更改。SNMP协议自身有安全性保障,同时SNMP Agent还应该具备对网管站的访问进行限制的能力。
需特别指出:SNMP的网管站通常有大量的关于验证信息的数据库,例如团体名。这些信息可以提供访问许多路由器或者其他网络设备的途径。这使得网管站成为许多攻击的目标,因此,必须要保证网管站的安全。
1. SNMPv1的安全性
SNMPV1使用的验证方式是基于团体名字符串的验证机制,SNMPv1的验证非常弱: 1) 它使用明文作为验证字。
2) 大部分的SNMP操作重复使用该字符串作为周期性轮流检测的一部分。 如果必须使用SNMPV1,应当注意如下事项,以避免安全隐患: 1) 最好不要使用常用的\"public\"和\"private\"作为团体名;
2) 对每个设备使用不同的团体名,或者至少是对网络上的每个区域使用不同的团体名。 3) 不要使只读的团体名和读写的团体名一致。如果可能,应该实现使用只读的团体名进行周期性的轮流检测。读写的团体名应该仅仅用于当前的写操作。
2. SNMPv2的安全性
SNMP的后序版本SNMPv2进行了改进,它支持基于MD5的验证方案,并且允许对访问的管理数据进行存取上的限制。SNMPv2基本上是一个过渡版本,有多个版本,尽管也考虑了协议自身的安全性,但是技术上并不成熟,安全性仍比较弱。 尤其要注意的是,目前常用的SNMPv2c,没有增加安全特性,其安全能力与SNMPv1相同。
3. SNMPv3的安全性
SNMPv3对协议的安全性给出了全面的解决方案。
SNMPv3继承了SNMPv2u的很多优点,并且从系统的角度进行了优化。它提供了一个SNMP NMS和AGENT的完整的系统框架。从安全角度来讲,SNMPv3使用了基于用户的安全模式(USM)和基于视图的访问控制模式(VACM)。USM使用MD5或者SHA对报文进行验证,使用DES对报文进行加密。这样保证了数据的完整性和正确性。VACM则对当前用户的访问权限进行检查,看当前用户是否可以对管理数据进行操作。关于USM和VACM的详细介绍可以参见RFC2574和RFC2575。
4. 网管访问控制列表
在大多数网络中,合法的SNMP报文将来自于某几个网管站。SNMP Agent应使用访问列表对SNMP报文进行限制,仅仅允许指定IP地址的网管站访问。
HTTP访问
HTTP访问方式通过HTTP协议对设备进行配置和监控,同样是对设备的一种交互访问方式。 1. HTTP用户验证
对HTTP客户端进行身份认证,可以选择采用本地或RADIUS、TACACS协议等多种方式进行认证。但目前HTTP协议本身仅支持明文验证。
2. HTTP访问控制列表
与访问受限的网管站和telnet客户端一样,限制那些HTTP客户端能够对设备进行访问。 3.3.1.6关闭设备服务 关闭UDP/TCP小端口服务
早期的TCP/UDP端口服务,设计比较简单,没有考虑网络安全问题,这类小端口服务可能被恶意攻击者利用。例如7号UDP端口服务“echo”回应所有发送给它的包,19号UDP端口服务“chargen”自动发送字符串。常见网络攻击中,UDP洪水就是利用chargen和echo来传送毫无用处的占满带宽的数据:通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,从而消耗网络带宽。其他常见的端口服务索引参见RFC1700。
如果网络设备实现了这些早期的小端口服务,应能通过一条指令关闭所有的小端口服务。作为网络设备,最好不实现这些无用的小端口服务。
关闭协议服务
设备上提供很多服务和应用,在不同的网络环境中这些服务可能是不必要的,若开启这些服务将对设备自身性能造成影响,因此需要这些关闭服务;有些服务还会带来潜在的安全问题,也同样需要关闭。
1. 关闭finger服务
利用finger服务,远程主机可以监听到所有登录到设备中的用户login信息。若被恶意攻击者利用可以窃取登录到系统的所有用户的详细信息。网络设备需要禁止finger服务。
2. 关闭NTP协议服务
NTP协议用来在整个网络发布精确时钟。通常在设备上指定特定的接口去发送和接收NTP报文;同时在某些特定接口上禁止接收NTP报文,以减少对设备性能的损耗。
设备健壮性设计
网络设备暴露出来的安全问题,很多情况下,并不是直接由设备安全不足产生的,而是设备本身不健壮导致的。
首先,流量负荷较重容易导致系统崩溃。网络在恶意攻击下,容易呈现流量不对称现象,有些设备对这个现象没有做相应的可靠性设计。
其次,设备需要对这类畸形包做健壮性设计。在常见网络攻击中,有一类是利用畸形包来攻击网络设备。例如: 泪滴(teardrop)攻击,对IP分片的报文头,伪造分段长度,制造出重叠偏移的情况。 某些设备的TCP/IP协议栈,在收到含有这样的重叠偏移分段时将崩溃。
因此,对于宽带产品,有必要在产品测试过程中,引入模拟网络攻击测试,验证各宽带产品在各类常见攻击下的可靠性。
设备安全补丁
软件补丁是为了对系统软件中的某些错误进行修改而发布的独立的软件单元。软件补丁应当在不影响系统正常运行的情况下,完成对系统错误的修正。对于设备存在的软件安全漏洞,可以采用打软件补丁的方法进行补救。
1. 基本要求
软件补丁的加载和生效需要动态进行,即在不影响用户业务的情况下完成。 提供补丁软件校验码,增加补丁软件加载的自身安全。 2. 注意事项
软件补丁动态加载的能力可能被恶意攻击者利用,需要加强权限管理。 缺省应关闭软件补丁动态加载的能力。
3.3.1.7动态访问控制
基于ACL(Access-List,访问控制列表):
支持标准及扩展的ACL:可以通过标准的ACL只设定一个简单的地址范围,也可以使
用扩展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围、目的端口范围以及优先级与服务类型等。
支持时间段:可以使ACL在特定的时间段内起作用,比如可设置每周一的8:00至20:00
此ACL起作用,还可以具体到某年某月某日至某年某月某日此ACL起作用。 支持ACL的自动排序:可以选择是否针对某一类的ACL进行自动排序,以简化配置的
复杂度,方便对于ACL的配置及维护。 支持名称方式的ACL:易于记忆及配置。
支持将包过滤规则应用到接口的输入及输出方向:比如可以在连接广域网接口的输出
方向上应用包过滤规则,也可以在该接口的输入方向上应用另外的包过滤规则。 支持基于接口的过滤:可以在一个接口的某个方向上设定禁止或允许转发来自某个接
口的报文。
支持对符合条件的报文做日志:可以记录报文的相关信息,并提供了相应的机制确保
在有大量相同触发日志产生的情况下不会消耗过多的资源。
包过滤技术确保了企业内部网络不受外部网络攻击,该特性一般在用户路由器上启用。 3.3.1.8其它安全措施 1、信息隐匿:NAT
在出口路由器上使用NAT,使得公网用户无法看见本网络的用户IP地址,保护本网用户免受公网用户的攻击。
2、对所有重要事件log
利用Syslog记录重要的设备信息(如告警,设备状态变化信息),可以为故障定位排除提供有利数据。
3、URPF
对基于源地址欺骗的网络攻击,一般是使用防火墙技术来解决的,即通过手工配置防火墙策略来拒绝非法源地址的报文,但这种方法具有一定的局限性。首先,基于源地址欺骗的攻击者,会经常改变其报文的源地址来进行攻击,而防火墙是无法动态检测到这种变化的,需要网络管理人员定期地去更新防火墙的配置。其次,防火墙的实现需要在接口上配置ACL,如果配置过多的ACL,对性能会有很大的影响。
URPF的原理如下:
单播逆向路径转发(Unicast Reverse Path Forwarding)的主要功能就是防止基于源地址欺骗的网络攻击行为。只所以称之为“逆向”,是针对正常的查找FIB表而言的。一般情况下,路由器接收到报文后获取到报文的目的地址,然后根据目的地址查找转发表(FIB)。如果没有找到匹配的地址,则丢弃;否则进行正常的转发。而URPF却是通过获取报文的源地址,在FIB表中查找是否有匹配的地址和相应的接口。如果发现通过源地址查找到的输出接口与该报文的输入接口不同,则丢弃。通过这种方式,URPF就能有效的防范网络中通过修改源地址而进行恶意攻击行为的发生。
ISP通过URPF特性,即可防止外部网络对ISP内部用户的攻击,也可以防止内部企业用户对外部网络的攻击。
针对用户的实际情况,可以综合采用上述的各种安全技术,保护主机、网络设备,以及广域网线路及业务安全。
总之,加强用户的认证,网络设备的认证能力,提高网络管理的严密性,确保密码等安全数据的保密性,是提高网络安全的必要工作。
4、使用PKI/CA个人身份认证体系系统(尽管不在本次招标范围之列,仅作为方案的补充建议)
避免非法用户在未授权的情况下实现对重要数据的窃取、篡改,以及对服务提供点的攻击,避免仿冒用户、伪用户获得授权造成网络危害。可通过认证体系系统实现用户的PKI/CA、用户名/口令、帐号等的精细认证授权管理以及服务策略集中管理。
5、部署入侵检测系统(尽管不在本次招标范围之列,仅作为方案的补充建议)
入侵检测系统能够通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测对系统的闯入或闯入的企图。换言之,入侵检测系统是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的安全防护系统,是一种用于检
测计算机网络中违反安全策略行为的技术。
6、启用漏洞扫描系统(尽管不在本次招标范围之列,仅作为方案的补充建议)
网络漏洞扫描评估系统是用于分析网络上的设备安全性的漏洞(弱点)扫描评估产品。它检查路由器、Web服务器、Unix服务器、Windows NT服务器、桌面系统和防火墙的弱点,从而识别能被入侵者用来非法进入网络的漏洞。网络漏洞扫描评估系统能生成综合性的评估报告,提交检测到的漏洞信息,包括位置、详细描述和建议的改进方法。
7、内部网部署网络防病毒体系(尽管不在本次招标范围之列,仅作为方案的补充建议)
伴随网络的普及和应用,病毒也日益猖獗,各大企事业部门已将网络安全提到工作的
日程安排当中,防病毒已是不可缺少的一部分。而今的病毒已不止停留在单一的版本系列,而是层出不穷、变化多端,使人们防不胜防,并且危害力越来越强,给机关、企业带来了严重的经济损失和后顾之忧。为了充分保障×××大楼网络的各服务器及终端用户不受病毒的侵害,尽管不在本次招标范围之列,仅作为方案的补充建议,我公司建议在办公网内部安装网络版的防病毒软件,如美国趋势(Trend)公司的防毒产品为×××大楼网络系统提供安全保障。
同时也可以考虑在网关( InterScan ) 、邮件( ScanMail )、文件服务器
( ServerProtect ) 、客户端( OfficeScan )组成立体防护平台,同时通过集中控管平台—— TVCS 来管理整个防毒体系。
8、构建集中安全管理平台(尽管不在本次招标范围之列,仅作为方案的补充建议)
根据三分技术、七分管理的原则,构建企业的集中安全管理平台,针对安全管理关键要素:安全策略、安全配置、安全事件和安全事故进行集中管理,实现企业信息与网络系统真正意义上的安全--可管理的安全。
9、在交换机端口上提供安全性。交换机支持多种地址绑定规则,如果不匹配规则,则这个设
备将不被认证,其入侵结果会导致一个SNMP的Trap。这种特性减少了地址欺骗的发生。交换机支持六种绑定规则,绑定规则的主要区别是基于各种安全原因阻塞流量源的条件不同。
MAC + 端口 + IP地址, MAC + 端口 MAC + 协议
MAC + 端口 + 协议 端口 + 协议 端口 + IP地址
3.3.2网络的VLAN的安全管理设计分析
网络解决方案中的××交换机可以划分基于端口的VLAN,ACL的安全特性允许对所有访问进行鉴权,不只是对交换机的管理和配置访问,还包括通过这些交换机对基础设施的访问。这个软件特性使网络访问仅限于授权的和委托的用户,同时它还全程跟踪网络连接。
×××核心及汇聚交换机通过数据包头中的数据链路层(MAC)、网络层(IP、IPX)和传输层(TCP、UDP、RTP、Sock)的信息进行访问控制,可以充分的保证各个VLAN之间的安全性,而且可以防止不必要和不符合访问策略的网络访问。对整个网络运作性能、故障、问题进行分析,定时产生报告。访问控制从第二层端口——MAC,第三层网段——IP,到第四层应用级别,均可控制。支持RADIUS、TACACS+验证。
3.3.3 INTERNET安全访问设计分析
为了保证用户上联INTERNET的系统安全,防止黑客及其他的非法侵入,本方案在INTERNET的出口放置×××防火墙。通过采用防火墙的安全技术屏蔽内部网络结构,同时利用访问控制列表对数据包进行过滤,根据需要封闭存在安全漏洞所用的协议和端口,保证内部网络的安全。
第四章 项目管理
4.1 项目管理目标
良好的项目管理是系统集成企业长期成功的根本保证,本项目组制订和实施系统的、规范的项目管理制度已有多年的历史。在本项目的整个实施过程中,将参照我们在多个同类项目实施中所积累的经验进行过程控制。针对疫情信息网络系统的设备采购招标项目,我们将成立专门的质量监督部门,总体监控项目实施过程,并在各部门设立了项目管理专员,负责各部门的项目管理工作,并向项目经理汇报。
项目管理目标:有效的分配人力、物力资源,使得项目的建设能按工程进度计划高质量、高效率、低成本地完成。
4.2 项目型组织机构
为确保×××大楼网络系统项目的顺利进行,在规定时间内完成交货、安装和调试,我方将成立专门的项目组织机构并对项目组织机构成员的职责进行了分工。
4.2.1各组职责简介
1)项目经理
项目经理为工程施工的第一责任人,对本工程的施工实施体系正确有效运作负责; 确定本工程质量、安全、工期目标,确保达标投产工程的实现; 负责本工程项目施工实施体系所需要资源配备; 组织设备到货验收;
组织搭建系统模拟测试平台及模拟测试;
负责本工程项目质量、安全、工期责任的考核及奖罚; 具体负责本工程项目施工实施体系的运行; 负责审批施工手册、施工技术措施;
负责执行项目法人、监理工程师对工程的有关通知和要求;
负责工程最终检验和竣工交付; 1)技术负责人
在项目经理的领导下,负责组织编制项目深化设计方案和系统测试方案; 参加施工设计会审及技术交底; 负责搭建系统模拟测试平台及模拟测试; 主持技术配置检验工作,参与、指导工程施工; 主持技术交流会;
负责组织工序间交接及检验;
参与不合格参品的评审,参与不合格及存在不合格原因分析; 负责设备配置、系统测试、业务的切割; 负责技术资料的整理; 负责技术培训; 负责提供技术支持; 负责系统验收工作。 2)项目管理员
在项目经理的领导下,负责组织编制项目质量、安全、工期计划和各主要项目施工质量、技术措施; 负责现场堪察;
参加施工设计会审及技术交底; 协助搭建系统模拟测试平台及模拟测试; 负责按照施工方案组织实施安装工作;
主持质量检验、安全检查工作,参与、监督、检查、指导工程施工; 负责检查设备的安装位置及线缆的敷设是否符合客户要求; 负责现场安装工艺是否符合工程的要求; 负责预约客户,安排安装工作; 负责施工过程资料的记录整理; 负责设备的现场调试; 负责配合业务切换实施工作; 负责组织工序间交接及检验;
组织不合格产品的评审,组织不合格及存在不合格原因分析,负责制定纠正和预防措施; 负责配合系统的测试、参与验收工作。 3)工作小组
掌握施工过程各个阶段和工序的质量、安全要求,监督施工手册和施工技术措施的执行,并纠正违章作业; 负责设备的安装 负责线缆的敷设 做好安全措施; 负责电源的接入;
安装完毕,检查接线的正确性; 清扫现场;
督促施工人员做好施工记录,确保施工记录的准确性、完整性;
坚持三级验收制度,工作完成后施工小组人员进行自检、验收合格,将工作完成时间报告项目负责人;
根据验收小组的意见,决定是否返工。 4.2.2项目人员总体安排
为确保本工程如期开工和按时完工,优质安全地完成工程,并达到优质工程的要求,我公司将由公司经理进行综合管理和统一指挥形式,委派施工经验丰富、优秀的工程管理人员、技术骨干组成项目小组,进行全面施工管理、全面协调,形成强有力的管理机构。
4.3 项目进度计划 4.3.1项目总体进度计划
时间进度(工作日) 阶段 具体工作 项目建设内容 设备供货 实施进度表 5日 8日 10日 路由器、交换机等网络设备和相关配件安装 调试
培训 验收
4.3.2设备供货日程安排
子项 路由器、交换机等网络设备和相关配件的供货
预计所需时间(合同签定后) 15日内 4.3.3设备建设进度计划
阶段 路由器、交换机等网络设备和相关配件等安装调试 培训 验收 预计所需时间(合同签定后) 8日内 10日内 10日内 4.4 设备及网络的安装调试
制订详尽的设备安装计划(含工作日程、工作内容、工作方法等)。在工作日程表内注明设备到货日期、现场安装、系统测试、验收、技术培训等条款。征得项目单位方认可后严格按照日程表执行。
我方项目组工作人员及项目单位方的技术人员一起参与系统的安装、测试、诊断及解决遇到的问题等各项工作。
4.4.1安装步骤
(1)开箱验货:根据清单逐一清点所到货物,填写开箱检查报告。
(2)完成硬件连接:将网络系统的各种设备正确安装上去,联接其它外部设备。 (3)硬件加电测试:仔细观察指示灯,如果有硬件出错,填写报告。 (4)对设备进行配置。
(5)对设备进行功能测试。
(6)测试路由器、交换机产品是否与设计方案一致。 (7)业务割接。 (8)系统验收 (9)资料的移交
4.4.2设备参数调整及性能优化
当新的系统运行一段时间之后,可能因为种种原因,发现整体性能不如人意,这时会有调整系统整体运行性能的要求,这也是十分常见的。这样的工作较为复杂,牵涉的面也比较广。这是需要有一个专业队伍来完成此项任务的,我们通常的做法是:
与客户一起讨论问题出现的方式,方法,时间,频度等等。尽早将问题定性,定位。 进一步深层次分析,建立各种压力测试环境,努力寻找改进系统性能的方案。 确定提高系统性能的方案,如需要协调各方,与原厂家共同完成提高整体性能的任务。
4.4.3 网络系统的业务割接(具体见附件4:网络系统业务割接方案模板)
系统割接的目标和要求是:无缝割接、平滑过渡。
为了确保整个系统平滑过渡,系统割接是“确保重点,逐步割接”。即确保各节点的整个系统割接工作,要做到万无一失,一举成功;在割接安排上是逐步进行,确保割接一项成功一项。
实施过程中,要求具备具体可行的割接方案(具体见附件4:网络系统业务割接方案模板)。
4.5 技术文档
项目 路由器、交换机等网络设备和相关配件 相关文档 设备到货外包装验收报告、设备到货开箱验收报告、设备安装现场环境测试报告、设备测试报告、相关设备验收报告、技术文档 所有文档都为中文书写的标准的Word .
4.6 测试与验收 4.6.1设备测试
测试对象:路由器、交换机等网络设备和相关配件。 测试内容:
(1)设备通电自检:观察设备的开机信息、信号指示灯等检查状态是否正常。 (2)设备连接测试(与外部设备的连接,电源等的连接):对各个外设进行功能测试。 (3)网络连接测试(与实际的网络环境的互联测试):检查网络响应时间、数据传输速率等。
(4)系统测试:对设备整体性能进行综合测试;对路由器的安全稳定性能的测试。
4.6.2设备验收
验收对象:路由器、交换机等网络设备和相关配件。 验收内容如下:
我公司与各厂商签署的技术合作协议、售后服务合同副本各一份。
按投标文件要求对全部设备、产品、型号、规格、数量、外型、外观、包装及资料、文件(如装箱单、保修单、随箱介质等)的验收。设备验收后我公司向项目单位方提交设备验收报告。
拆箱后,对其全部产品、零件、配件、用户许可证书、资料、介质造册登记,并与装箱单对比,如有出入应立即书面记录,由供货商解决,我方保证不影响安装。对设备单台进行通电测试,所有设备通电自检正常后,才相互联结。
设备全部安装完成且连接完毕进行系统测试,包括路由器、交换机等网络设备和相关配件,严格按测试计划进行,做好各项原始记录。我方承诺保证设备性能指标或功能符合标书和合同的要求。
4.7 质量保障 4.7.1质量管理的意义
项目建设的最终也是唯一的目标就是:建设出高质量的项目。这一目标决定了项目质量管理的重要性,拥有完善的质量管理才会拥有高质量的项目产出。高质量的项目管理将导致成本下降和效率的提高。
4.7.2质量的定义
高质量的项目是适当的、无错误的,能在预算内按时完成项目建设,满足需求或期望,并且是可维护的。
项目质量的定义:明确声明的功能和性能需求,明确文档化过的建设标准。具体表现在以下两方面:
项目需求是进行“质量”度量的基础,与需求不符就是质量不高。
指定的标准定义了一组指导项目建设的准则,如果不能遵照这些准则,就极有可能导致质量不高。
4.7.3质量控制管理组织
4.7.3.1QM小组的组建 QM小组简介
为了让项目质量在建设过程中得到最大限度的保障,我们对每个项目成立一个专门的、独立的组织,即项目质量管理小组,我们称为QM(QuanlityManagement)小组。在整个质量管理过程中,“QM”小组的职责是辅助系统集成小组得到最终高质量的项目,“QM”小组的成员必须以客户的观点看待项目建设(交换机、路由器),在项目实施过程中,检查项目是否充分满足各项质量因素,项目建设是否按照预先设定的标准进行,以确保项目质量得到维护与保证。
4.7.3.2QM小组的组织时间
成立时间:它必须是在进行可行性研究前就已成立,然后参与项目实施的整个过程。一般
是在可行性研究前3天成立。
活动时间及内容:QM小组在每周的周六上午对所负责监督的工程进行进度、质量和工作安排方面的检查,而每次时间不应该超过2个小时;在每个建设阶段完成时,该小组对项目当前阶段的建设质量进行详细的检验,并对建设进度进行审议。
4.7.3.3QM小组的成员
本项目的QM小组由3个成员组成,其成员包括1个项目总负责人、1个系统集成经理和1个客户方负责人,由项目负责人对质量保障进行总负责。QM小组成员与项目建设人员在工程中始终紧密合作。
第五章 技术支持及售后培训计划
企业唯有不断为用户提供低成本、高增值的服务,才能立于不败之地。公司的核心竞争力主要表现在两个方面:一是对内的高效管理,一是对外的优质的本地化服务。公司在本着实现客户满意、追求服务领先、促进持久双赢的基础上制定了售后服务内容。针对本项目,结合其他方案对本项目的人员结构、计算机应用水平、系统对人员素质要求等情况的分析,我们认为:公司为×××大楼网络系统设备采购项目提供专业的本地化服务,是保证本项目建设成功的一项关键因素。
5.1 售后服务管理
只有有效的管理制度,才能为客户提供优质的售后服务。在售后服务方面,我们制定以下管理制度:
◆ 维护管理
我们将详细记录每次维护的人员、时间、内容及结果,备录在案,以便于检查和监督问题解决的进度情况。
◆ 投诉管理
我们将设立投诉接纳人员,负责收集用户对我公司服务的投诉,客户可以通过email、投诉热线或其它方式对我公司服务不满的地方提出投诉,我公司的投诉接纳人员将投诉记录在案,并提交给售后服务经理,售后服务经理确认投诉,处理并监督改正,将处理结果通过email或其它方式发送到用户处。投诉服务流程如下:
◆ 会议管理
售后服务部将设立两星期一次的例会制度,处理服务过程中出现的问题,用户的投诉等。
5.2 保修期限及收费
1、本次项目所有软件、硬件设备质保期为1年,软件产品质保期内免费升级,提供整机1年免费上门保修服务和系统技术支持服务,自供需双方代表在设备验收单上签字之日起计算。
2、公司和第三方供应商对提供的产品保证终生的技术支持售后服务。 3、公司提供备用服务器、交换机、防火墙等网络设备应急。
4、免费每月定期上门走访客户进行设备健康检查服务(包括交换机及路由器的运行情况、
防静电处理、性能优化等),保证用户工作正常运作。
5、公司提供7×24小时的全天候客户咨询服务及热线电话服务,响应及到达现场时间不大于8小时,8小时内恢复系统正常运行,12小时内不解排除故障的,提供相同档次的设备应急;
5.3 技术支持服务及服务范围
公司承诺提供1年免费系统技术支持服务,自供需双方代表在设备验收单上签字之日起计算。并承诺提供终身技术支持服务。
服务范围:
1.由我方提供的所有硬件设备的维护。 2.备件备品的购买。
3.大故障或特殊故障的紧急远端或现场抢救。
4.软硬件维护:由我方提供的硬件设备若出现故障,由我方负责维护,在不涉及硬件更换的前提下,由我方负责系统软件维护。
5.技术咨询:解答用户在系统使用中的常见问题。
5.4 服务保证
5.4.1提供专业的、优质的本地化售后服务
长期以来,公司始终遵循客户满意的服务宗旨,贯彻以客户为中心的服务战略,通过专业化、标准化、多元化的主动服务,切实保障服务质量,树立客户服务的竞争优势。我公司根据不同的项目,制订了适合各个项目的完整的售后服务方案,以提供给各项目完善的售后服务。完善的本地售后服务是公司给客户的服务承诺。充分保证×××大楼网络系统侦控系统工程在×××能够得到良好的、快速的、完善的售后服务。
5.4.2应急响应时间
公司承诺提供24小时×365天的全天候客户咨询服务及热线电话服务,响应时间不大于4
分钟,到达现场时间不大于8小时,12小时内不解排除故障的,我公司承诺在此后的24小时内提供相同型号或功能相同的设备供项目单位使用,直至故障设备修复。
公司承诺如因我公司售后响应的问题造成不良影响或损失,我公司承担由此产生的一切费用及其损失。发生重大故障时,我公司技术人员在4小时内到达现场,在24小时内我公司负责解决问题。
对于不能明确是否是硬件出现故障时,我公司承诺尽力配合项目单位确定的应用开发商进行检查,并能在上述响应时间内到达现场协助排除故障。
下表为我公司售后服务部对不同系统故障的平均响应时间:
5.4.3有效的服务监督机制
当客户对我们的服务质量和服务态度有任何不满意,可拨打公司服务投诉电话。我们将通过服务事件升级体系保证在三个工作日内认真处理您的投诉,直到您满意为止。
同时我们将定期、主动给客户打电话,了解客户网络设备的运行状况,将系统隐患消灭在萌芽状态;定期上门例行检查,对发现的问题及时修复,并给出《检测及改进建议》报告。
5.5 服务方式
公司为了满足用户高层次、全方位、个性化的服务需求,保障用户网上设备的稳定、高效运行,设立了三种售后服务方式。包括:电话故障诊断、远程故障诊断、现场故障诊断三类,具体如下。
故障类型 一级故障 故障内容 网络核心交换机、路由器系统等瘫痪 响应时间 4小时 支持方式 8小时内到达现场,通过换用公司备用交换机等方式马上恢复正常 通过电话、远程、现场故障诊断等方二级故障 设备严重故障、部分服务不正常 4小时 式保证8小时内恢复正常;如必要,到达现场时间不大于12小时
通过电话、远程、现场故障诊断等方三级故障 系统个别服务不正常 4小时 式保证24小时内恢复正常;如必要,到达现场时间不大于24小时
5.5.1电话故障诊断
电话故障诊断是指用户在使用公司产品时遇到使用中的疑难或者设备出现不正常状态,通过电话或传真向公司寻求技术支持和帮助,公司在确认用户的服务请求后,将安排技术人员在规定的时间内(即响应时间)通过电话帮助用户进行故障定位,并提出解决方案,最终指导用户排除设备故障。
用户在维护设备过程中,当出现技术故障的时候,应对故障现象进行仔细认真的调查和记录,然后通过服务热线向公司提供故障的详细情况、服务请求时间、联系人和联系电话等。
公司服务热线提供每周7天、每天24小时的电话故障诊断,如热线电话号码需要更改,公司至少提前三天以书面形式(含传真)通知用户。
用户应及时反馈解决方案的有效性,以便公司决定是否进一步采取技术支持措施。 对于不同级别的故障,服务响应时间参考的服务时间响应表。
5.5.2远程故障诊断
远程故障诊断是指用户在使用公司产品时遇到使用中的疑难或者设备出现不正常状态,通过电话或传真向公司寻求技术支持和帮助,公司在确认用户的服务请求后,通过服务项目(电话故障诊断)不能解决设备故障问题的情况下,或在进行电话故障诊断的同时,根据需要并征得用户同意后,采用远程拨号技术,将用户设备与工程师所在地终端连通,在远端对用户设备
进行诊断,提出解决问题的方案,并最终指导用户解决问题。
1.公司工程师负责进行远程故障诊断,即只查看数据,寻找故障原因,不对数据进行修改,具体故障排除由公司工程师指导用户维护人员进行。
2.用户应按公司的要求提供必要的配合和协助,确认并反馈方案的有效性。 3.公司还可以通过远程故障诊断对用户数据进行检查,进行远程巡检。 4.公司提供每周7天,每天24小时的远程故障诊断。
5.5.3现场故障排除
现场故障排除是指用户在使用公司产品时遇到疑难或者设备出现不正常状态,通过电话或传真向公司寻求技术支持和帮助,公司在确认用户的服务请求后,如果不能通过服务项目(电话故障诊断)和服务项目(远程故障诊断)解决设备的技术故障,在经过双方商议确定需要进行现场故障排除的情况下,公司将派经验丰富的工程师在8小时内赴现场分析故障原因,制定故障排除方案,并最终排除故障。
1、该技术方案经过用户批准后,由用户的技术人员具体实施,或者在用户的允许下,由公司的工程师进行具体实施。
2、对于现场故障排除方案可能带来的其他影响,公司工程师在用户评审方案时需要提醒用户。
3、一般情况下,只有发生较为严重的故障,才需要服务维护人员进行现场故障排除。 4、现场故障排除以后,公司工程师必须向用户提交一份故障解决的书面分析报告。
5.6 服务项目
为了满足用户高层次、全方位、个性化的服务需求而提供的,保障用户网络设备的稳定、高效运行, 公司提供多种的不同类型的服务项目供应用单位进行选择。让用户感受全方位的优越的售后服务。
5.6.1宕机恢复
宕机恢复是指用户在使用公司产品时遇到设备出现严重影响系统可用性或者出现系统已经全部瘫痪的一级故障时,通过电话或传真向公司寻求技术支持和帮助,公司确认用户的服务请求后,公司将派工程师以最快时间协助用户进行系统恢复。
1.出现一级故障时,公司将立刻委派工程师在8小时内携带备用设备赶到现场,在到达现场后将设备尽快恢复正常。
2.在宕机恢复结束以后,公司工程师向用户提交一份故障解决的书面分析报告。
5.6.2设备健康检查、性能调优
公司网络设备健康检查服务旨在对我公司所提供的网络设备提供健康检查。它是及早发现各种安全问题故障、网络设备性能故障和操作故障,以免影响客户关键业务的经济有效的方法。收集的数据将针对基准网络设备管理惯例进行比较,为客户提供网络设备运行状况。
网络设备健康检查结果将以报告形式记录在案,对需要进一步关注的情况将按优先顺序排列,并就需要采取的相关行动提出建议。技术客户经理和公司网络设备健康检查小组的专家人员,将对报告中的检查结果进行讨论,并提出公司的建议。在公司关键任务支持组织领导下,网络设备健康检查程序每年将在系统运行两次。
性能调优工作的过程以及结果将以报告的形式记录在案,并递交给用户方。
5.6.3代理维护服务
1.公司安排技术人员负责用户设备的维护工作。 2.技术人员的数量由公司与用户共同协商。
3.用户设备包含用户所购的公司设备;对用户所购的其他设备供应厂商的设备,如需由公司代理维护,需由双方共同确认。
4.公司的技术人员负责设备的日常维护工作,保证设备的运行正常。
5.6.4网络优化服务
1. 公司可以根据用户单位的需求,提供网络优化服务,相关责任和维护费用等须双方另行协商解决。
2.公司向用户提供网络优化方案,改善网络运行质量与效益的服务。
3.网络优化服务范围由公司与用户共同确认,而另行签订专题服务条款(如提高网上接通率等)。
4.公司在得到用户的服务请求后,选派维护工程师开展服务。
5.公司技术人员在现场开展工作时,用户应能安排维护人员协助工作。
5.6.5培训与研讨服务
公司提供与所购设备日常维护有关的各种培训与研讨服务,包括短期集中培训、公司培训、维护研讨等服务。培训内容包括路由器、交换机的日常使用与检测、公司的代理产品知识等。此部分费用已经计算入投标方案的总价。
5.6.6资料共享
资料共享是指用户可以通过公司网上站点或者通过公司发放的纸面文档、电子邮件、磁盘、光盘等形式及时掌握最新的维护经验和技巧、了解自己所维护设备的一些预防性措施、获得最新的产品知识等。
公司建立与用户设备维护有关的技术支持网页,提供与日常维护相关的资料,用户可以在公司开放的权限内,获取有关设备运行、产品知识、维护经验等方面的资料,公司负责定期对网上资料进行更新。
公司通过电子邮件或邮寄方式,向用户发放技术资料,技术资料包括公司最新产品技术资料等。
5.6.7协助业务拓展服务
当用户开展与公司设备有关的业务拓展活动时,公司提供安排技术人员到现场进行技术支持的服务。
公司在得到用户的服务请求后,选派技术人员开展服务。 公司技术人员在现场工作时间与用户工作时间相同。
5.7 培训具体计划
为用户提供全面技术讲解,通过讲练相结合的教学方式让用户学员学习路由器、交换机等网络设备方面的安装调试等基本知识,以及让计算机管理人员学习网络设备的日常维护技能。 培训名称 培训地培训对象 培训人培训日培训时培训内容 点 数(人) 期 间(天)
路由器安装调试 集中培训场所 网络管理员及操作人员 5 签订合同后的第9、10日 2 网络安全知识、路由器技术参数的解释、详细的使用管理方法、网络升级等,并随时解答使用方人员的咨询。 网络设备安装调试 集中培训场所 网络管理员及操作人员 5 签订合同后的第9、10日 2 详细解释网络设备的使用及相关的网络知识,对网络设备的技术参数进行讲解,并协助解决使用方的关于网络方面的实际问题,随时解答使用方人员的咨询 =
5.8 维护案例
附件1:网络设备总清单
×××网络系统设备清单 产品描述 数量 序号 Order Number 中心机房核心层核心交换机 1 2 3 配线间汇聚交换机 1 2 3 4 5 ×××办公大楼 1F-2F 1 2 3F 1 2 4F 单价 价格
1 2 5F 1 2 6F 1 2 7F 1 2 8F 外网 外网中心交换机 1 2 3 4 外网办公楼 1 2
设备总清单
核心交换机 序号 1 2 3 4 5 汇聚交换机 Order Number
产品描述 数量
1 2 3
工作组设备 1 2 防火墙 1
附件2:网络系统业务割接细化方案模板
×××接点割接方案
66
目 录
1 总体说明 .................................................................. 68 2网上运行设备组网简图 ...................................................... 68 2.1 割接前组网简图: ...................................................... 68 2.2 割接后组网简图: ...................................................... 69 3 现场准备 ................................................................. 69 3.1 割接小组人员安排 ...................................................... 69 3.2 备板、网线和电源插板等准备清单 ........................................ 69 3.3 割接准备 .............................................................. 70 4 现场操作流程 ............................................................. 70 4.1 割接设备数据配置 ..................................................... 70 4.2 路由协议配置 ......................................................... 70 4.3 其他 .................................................................. 70 4.4 割接步骤 ............................................................. 70 5 检查设备的割接情况,确认无误 ............................................. 70 6 系统业务验证 ............................................................. 70 7 失败处理方案 ............................................................. 71 8 文件会签表 ............................................................... 71
67
×××节点割接方案
1 总体说明
局点名称 施工单位 主机版本号 计划割接时间 建议割接时间段 割接局点 1、割接改造原因说明: 2、割接改造对现有业务的修改说明:
2网上运行设备组网简图 2.1 割接前组网简图:
68
2.2 割接后组网简图:
3 现场准备
3.1 割接小组人员安排
割接小组人员
单位 局点名称 联系电话 3.2 备板、网线和电源插板等准备清单
物料名称 数量 提供方 备注 69
3.3 割接准备
1、测试前的业务运行情况说明 2、设备间的互通情况的测试情况
3、准备好设备割接时所需要的尾纤,并做好相应的测试工作。 4、在割接前,做好有关设备上数据的备份。 5、……………………….。 6、……………………….。
4 现场操作流程 4.1 割接设备数据配置 4.2 路由协议配置 4.3 其他 4.4 割接步骤
4.4.1 线路的割接 4.4.2 交换机的割接 4.4.3 服务器等业务的割接
5 检查设备的割接情况,确认无误
a) 逐一检查割接情况,看看是否有遗漏或错误的地方。 b) 测试业务,观察半个小时以上。
c) 在确认割成功以前,尽量保持割接前状态,以便需要倒回时,能够及时恢复业务. d) 严格按照交换机软件质量检查标准对交换机进行检查。
e)……………………………………………………………………..。
6 系统业务验证
模拟各种业务用户长时间(至少半个小时以上)PING 有关交换机或服务器的地址确保无丢包。PING包报文大小从缺省大小到4096字节等,反复测试链路畅通情况。测试各种业务是否正常。
70
7 失败处理方案 8 文件会签表
在此处会签,表示您已经对本报告内容进行了严格审核,并同意本方案的策划。 江门供电局审核 姓名 签章 时间
公司审核 姓名 签章 时间 71
因篇幅问题不能全部显示,请点此查看更多更全内容