管理信息化信息化方案某企業(yè)信息化建設(shè)技術(shù)方案XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案目錄前言3網(wǎng)絡(luò)子系統(tǒng)41.1XX企業(yè)新園區(qū)建設(shè)背景41.2用戶需求分析41.3網(wǎng)絡(luò)的分層設(shè)計原則61.3.1核心層CoreLayer61.3.2分布層DistributionLayer61.3.3接入層AccessLayer71.4網(wǎng)絡(luò)系統(tǒng)方案設(shè)計71.4.1XX企業(yè)網(wǎng)絡(luò)的設(shè)計目標(biāo)71.4.2網(wǎng)絡(luò)建設(shè)原則要求71.5園區(qū)網(wǎng)IPV6部署和應(yīng)用設(shè)計91.5.1設(shè)計原則91.5.2設(shè)計目標(biāo)101.5.3高級應(yīng)用服務(wù)101.6網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計131.7園區(qū)網(wǎng)絡(luò)安全規(guī)劃設(shè)計151.8園區(qū)智能無線網(wǎng)絡(luò)規(guī)劃設(shè)計231.8.1設(shè)計原則231.8.2設(shè)計目標(biāo)251.8.3無線網(wǎng)絡(luò)部署介紹261.8.4無線網(wǎng)絡(luò)建設(shè)后的目標(biāo)301.8.5產(chǎn)品要求32前言InternetInternetInternet2XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案的要求越來越強烈，“網(wǎng)絡(luò)就是計算機”的說法被全世界普遍接受。各國紛紛宣布建設(shè)本國的信息高速公路，全球信息一體化局面已指日可待。在數(shù)字化、信息化不斷發(fā)展的今天，各行各業(yè)都開始組建自己的網(wǎng)絡(luò)系統(tǒng)，同國際接軌，希望能與那些同行業(yè)的國際公司抗衡。作為XX企業(yè)也不甘落后，系統(tǒng)，為自己服務(wù)。在信息化越來越發(fā)達的今天，XX企業(yè)利用網(wǎng)絡(luò)來統(tǒng)一各子系統(tǒng)進行統(tǒng)一化管界監(jiān)控子系統(tǒng)、無線網(wǎng)絡(luò)系統(tǒng)等。3XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案網(wǎng)絡(luò)子系統(tǒng)1.1XX企業(yè)新園區(qū)建設(shè)背景重慶市引進的最大外資項目——世界化工巨頭巴斯夫與市化醫(yī)集團合作投資的MDI(二苯基甲烷二異氰酸酯)一體化項目。MDI是生產(chǎn)聚氨酯的重要原材料，被廣泛應(yīng)用于汽車儀表盤、建筑外墻保溫層及冰箱、運動鞋等多類產(chǎn)品的生產(chǎn)。XX企業(yè)一直非常重視信息化建設(shè)，網(wǎng)絡(luò)中心是XX企業(yè)重要的信息運維支撐XX企業(yè)信息化建設(shè)與運行，承擔(dān)著XX設(shè)、運行、維護、用戶服務(wù)與培訓(xùn)等重要任務(wù)。在多年的信息化研究與實踐中，XX企業(yè)網(wǎng)絡(luò)中心全國同行一道推動著這一行業(yè)的信息化的發(fā)展。目前，XX信息化統(tǒng)一管理，資源共享。1.2用戶需求分析本次信息化建設(shè)還需要把XX企業(yè)所有上網(wǎng)帳號進行統(tǒng)一管理，因此，在此次網(wǎng)絡(luò)建設(shè)中必須滿足對三個網(wǎng)絡(luò)的可控可管；功能包括：流控、認證等功能。解貴單位園區(qū)的網(wǎng)絡(luò)系統(tǒng)建設(shè)要求。園區(qū)職能分析根據(jù)我們考查了解，貴單位主要工作內(nèi)容：4XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案企業(yè)管理基本職能：1）XX企業(yè)信息化業(yè)務(wù)開展2）XX企業(yè)信息化管理3）XX企業(yè)教職工人員業(yè)務(wù)辦公4）園區(qū)安全保障5）園區(qū)人員管理非常必要及可行。主要表現(xiàn)在：要求。隨著各個企業(yè)對物信息量依托的不斷增多,息計算機管理和信息服務(wù)的要求越來越強烈。隨著經(jīng)濟發(fā)展，我們各個企業(yè)對信息化的投入不斷加大；計算機技術(shù)的大量計算機網(wǎng)絡(luò)設(shè)備進入公司和單位。公、網(wǎng)上業(yè)務(wù)、開展園區(qū)日常監(jiān)管的工作，為企業(yè)提供充分的網(wǎng)絡(luò)服務(wù)。5XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案1.3網(wǎng)絡(luò)的分層設(shè)計原則設(shè)計的優(yōu)點可以總結(jié)為如下幾點：,可擴展性：因為網(wǎng)絡(luò)可模塊化增長而不會遇到問題；簡單性：通過將網(wǎng)絡(luò)分成許多小單元，降低了網(wǎng)絡(luò)的整體復(fù)雜性，使故障排除更容易，能隔離廣播風(fēng)暴的傳播、防止路由循環(huán)等潛在的問題；設(shè)計的靈活性：使網(wǎng)絡(luò)容易升級到最新的技術(shù)，升級任意層次的網(wǎng)絡(luò)不會對其他層次造成影響，無需改變整個環(huán)境；可管理性：層次結(jié)構(gòu)使單個設(shè)備的配置的復(fù)雜性大大降低，更易管理。1.3.1核心層CoreLayer用是盡可能快地交換數(shù)據(jù)包而不應(yīng)卷入到具體的數(shù)據(jù)包的運算中(ACL)，否則會降低數(shù)據(jù)包的交換速度。1.3.2分布層DistributionLayer下功能：地址的聚集工作組的接入廣播域/多目傳輸域的定義InterVLAN路由介質(zhì)的轉(zhuǎn)換6XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案安全控制1.3.3接入層AccessLayer一步的調(diào)整，如Access-listFiltering等。在貴方網(wǎng)絡(luò)環(huán)境中，接入層主要提供如下功能：SharedBandwidthSwitchedBandwidthMACLayerFiltering(possibly)Microsegmentation在廣域網(wǎng)環(huán)境中，接入層主要提供通過FrameRelay、ISDN、LeasedLine連入遠程節(jié)點。1.4網(wǎng)絡(luò)系統(tǒng)方案設(shè)計1.4.1XX企業(yè)網(wǎng)絡(luò)的設(shè)計目標(biāo)1.新一代園區(qū)網(wǎng)要以實現(xiàn)有線、無線的網(wǎng)絡(luò)融合；實現(xiàn)視頻、語音、數(shù)據(jù)業(yè)務(wù)的融合；實現(xiàn)基于多平臺、多協(xié)議的IP標(biāo)準(zhǔn)化管理融合為建設(shè)目標(biāo)。2.XX融合、面向服務(wù)的新一代數(shù)字園區(qū)為目標(biāo)。3.更加有效支持XX促進產(chǎn)品質(zhì)量、科研水平、管理效率的提高，促進XX企業(yè)的改革與發(fā)展，促進高水平企業(yè)建設(shè)。4.可以實現(xiàn)網(wǎng)絡(luò)接入方式的融合、網(wǎng)絡(luò)業(yè)務(wù)的融合、網(wǎng)絡(luò)管理方式的融合。5.從而構(gòu)建安全、穩(wěn)定、高效、協(xié)調(diào)、整合的、信息資源豐富的、集成化的數(shù)7XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案字園區(qū)綜合信息服務(wù)平臺。1.4.2網(wǎng)絡(luò)建設(shè)原則要求的時間內(nèi)不落后，在本網(wǎng)絡(luò)系統(tǒng)方案設(shè)計中，我們認為應(yīng)當(dāng)把握以下幾個原則：1、穩(wěn)定性只有運行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò)，而網(wǎng)絡(luò)的可靠運行取決于諸多因素，廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。2、高帶寬術(shù)。3、先進性和軟件組網(wǎng)，保證系統(tǒng)的基礎(chǔ)環(huán)境十年不落后。4、標(biāo)準(zhǔn)性和開放性8XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案的擴充。5、可擴展性都應(yīng)注意其擴展能力。6、容易控制管理量，又合理的利用網(wǎng)絡(luò)資源，是建好一個網(wǎng)絡(luò)所面臨的首要問題。7、經(jīng)濟性充分利用原有的軟件、硬件資源，減少投資浪費，做到高性能價格比。8、安全性劃貴方網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶，安全管理十分重要。應(yīng)支持VLAN的劃分，并能在VLAN9、符合IP發(fā)展趨勢的網(wǎng)絡(luò)IPIP技術(shù)本身又處在發(fā)展變化中，如IpV6，IPQoS，IPOverSONET等等新興的技術(shù)不斷IPIP發(fā)展領(lǐng)導(dǎo)地位9XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案的網(wǎng)絡(luò)廠商。終。1.5園區(qū)網(wǎng)IPV6部署和應(yīng)用設(shè)計1.5.1設(shè)計原則1)保證現(xiàn)有IPv4應(yīng)用的正常應(yīng)用現(xiàn)有IPv4網(wǎng)絡(luò)中的應(yīng)用已經(jīng)支持了大量的用戶，IPv6網(wǎng)絡(luò)要對現(xiàn)有IPv4應(yīng)用提供支持方案，不能對現(xiàn)有的業(yè)務(wù)造成影響，這種影響包括業(yè)務(wù)性能的影響、網(wǎng)絡(luò)可靠性的影響以及網(wǎng)絡(luò)安全性的影響等多方面。2)網(wǎng)絡(luò)要具有擴展性IPv6技術(shù)依然在發(fā)展之中，IPv6網(wǎng)絡(luò)的建設(shè)也不可能一步到位，會是一個逐步IPv63)最大限度地保護既有投資在進行IPv6網(wǎng)絡(luò)方案設(shè)計時，需要結(jié)合現(xiàn)有園區(qū)網(wǎng)的實際情況，考慮到現(xiàn)有網(wǎng)絡(luò)的既有投資，提出很好地保護既有投資的網(wǎng)絡(luò)解決方案。4)要保證網(wǎng)絡(luò)的穩(wěn)定性和可靠性和IPv4IPv6可能會影響IPv6IPv6網(wǎng)絡(luò)方案要能夠充分保證網(wǎng)絡(luò)的穩(wěn)定性和可靠性，保證不會對網(wǎng)絡(luò)的服務(wù)質(zhì)量有明顯的影響。5)網(wǎng)絡(luò)方案要能夠發(fā)揮IPv6的技術(shù)優(yōu)勢IPv6技術(shù)的提出主要是為了解決IP地址空間不足的問題，但也增加了一些10XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案如何使這些技術(shù)優(yōu)勢得以發(fā)揮。6)網(wǎng)絡(luò)方案設(shè)計要考慮周全IPv4/v6到將來網(wǎng)絡(luò)全部采用IPv6的可能。因此，網(wǎng)絡(luò)方案要注意所選技術(shù)能夠支持網(wǎng)絡(luò)的平滑過渡，不會形成將來網(wǎng)絡(luò)過渡的新障礙。7)支持IPv4業(yè)務(wù)與IPv6業(yè)務(wù)的互通網(wǎng)絡(luò)方案要實現(xiàn)IPv4網(wǎng)元與IPv6網(wǎng)元的互聯(lián)，可以分別支持IPv4業(yè)務(wù)和IPv6業(yè)務(wù)，同時要考慮將來能夠支持IPv4業(yè)務(wù)與IPv6業(yè)務(wù)的業(yè)務(wù)層面的互通。8)要考慮IPv6網(wǎng)絡(luò)對用戶認證方式的支持目前在IPv4網(wǎng)絡(luò)中，各企業(yè)針對園區(qū)網(wǎng)都有各自不同的認證方案，在設(shè)計IPv6網(wǎng)絡(luò)方案時要充分考慮對認證方案的支持。1.5.2設(shè)計目標(biāo)網(wǎng)絡(luò)實現(xiàn)IPv4網(wǎng)與IPv6網(wǎng)的互聯(lián)，可以分別支持IPv4業(yè)務(wù)和IPv6業(yè)務(wù)，在企業(yè)內(nèi)可以實現(xiàn)IPV6的基礎(chǔ)應(yīng)用和高級應(yīng)用，使XX企業(yè)在IPV6的教學(xué)科研和應(yīng)用上保持學(xué)術(shù)和技術(shù)應(yīng)用的先進性。1.5.3高級應(yīng)用服務(wù)園區(qū)網(wǎng)門戶系統(tǒng)需求的特定信息和應(yīng)用系統(tǒng)，為用戶提供完善的個性化服務(wù)。隨著IPv6時代的11XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案個性化應(yīng)用服務(wù)。資源的管理和整合為實現(xiàn)WEBWEB資源的訪問地的操作權(quán)限進行統(tǒng)一的管理，提供多層次和靈活權(quán)限管理策略。用戶使用；將分布的信息進行分類、編目，以索引方式提供給用戶訪問；另外，用戶可以通過各種IPv6終端訪問門戶系統(tǒng)，以進行信息資源的查詢和管理。單點登錄、應(yīng)用漫游訪問。因此門戶具有單點登錄、應(yīng)用漫游等特征。個性化的訪問環(huán)境問環(huán)境包括個性化的界面和個性化的資源整合。視頻直播應(yīng)用利用IPv6組播協(xié)議開展高清視頻和電視節(jié)目的傳送，使每一個用戶可以享受到高清視頻服務(wù)，更充分的享受到下一代互聯(lián)網(wǎng)帶來的利益。通過C/S或B/S12XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案各種文檔在網(wǎng)上進行直播。視頻源的獲取視頻直播服務(wù)器發(fā)送到IPv6網(wǎng)絡(luò)中，供用戶實時在線觀看。頻數(shù)據(jù)進行壓縮轉(zhuǎn)換，并通過視頻直播服務(wù)器將視頻數(shù)據(jù)數(shù)據(jù)發(fā)送到IPv6網(wǎng)絡(luò)中，供用戶實時在線觀看。視頻數(shù)據(jù)的分發(fā)P2P的模式進行P2P的視頻分播的服務(wù)質(zhì)量。另外，采取IPv6組播方式分發(fā)也可以保證網(wǎng)絡(luò)帶寬不會被重復(fù)13XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案的數(shù)據(jù)所浪費。對于有多個園區(qū)互聯(lián)的XX企業(yè)，對視頻直播服務(wù)提出了更高的要求，需要直播服務(wù)的需要，采用應(yīng)用層組播技術(shù)（ALMInternet間接訪問基礎(chǔ)結(jié)構(gòu)技術(shù)等方式，不僅為XX企業(yè)內(nèi)部，同時可以為企業(yè)外的合作伙伴、外部用戶提供基于P2P器負載和帶寬的使用。同時，通過建立可控管的IPv6組播服務(wù)系統(tǒng)實現(xiàn)視頻直播管理和控制，能同時，可以獲得良好的收益回報。高清視頻會議應(yīng)用高清視頻會議系統(tǒng)IPv6IPv6園區(qū)網(wǎng)的QoS控制中，應(yīng)對視頻會議類型的數(shù)據(jù)流定義了最高的優(yōu)先級別，以保證視頻會議信號的實時傳輸。部署具有硬件壓縮/IPv6環(huán)境下高清14XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案多點視頻會議的召開，為XX企業(yè)科研團隊的及時溝通和大型網(wǎng)絡(luò)會議的召開提供有力的保障。超高清遠程視頻傳輸系統(tǒng)IPv6網(wǎng)格技術(shù)IPv6Web三代因特網(wǎng)。如果說傳統(tǒng)因特網(wǎng)實現(xiàn)了計算機硬件的連通，Web實現(xiàn)了網(wǎng)頁的連源、專家資源、IPv6設(shè)備資源等資源的全面共享。IPv6網(wǎng)格因此被看成是未來的互聯(lián)網(wǎng)技術(shù)。IPv6現(xiàn)包括信息、知識在內(nèi)的各種資源的智能共享。1.6網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計區(qū)網(wǎng)絡(luò)核心交換機放置在核心機房。N聚本區(qū)域內(nèi)的所有接入層交換機，再通過光纖連接到核心機房。主干最高可達10000Mbps，1000Mbps速度到用戶桌面的高速網(wǎng)絡(luò)。網(wǎng)絡(luò)拓撲圖園區(qū)網(wǎng)絡(luò)系統(tǒng)設(shè)計：15XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案1、核心設(shè)備高背板轉(zhuǎn)發(fā)、擁有高帶寬、高背板、提供高可靠性。2、各區(qū)域和核心之間均采用萬兆光纜連接。3、核心設(shè)備部署于中心機房、接入設(shè)備部署于各樓層弱電井。4、每個區(qū)域內(nèi)至少都部署一臺匯聚交換機用于本區(qū)域內(nèi)點位匯聚。5、同一棟樓內(nèi)弱電井間均采用光纖連接。6、周界安防監(jiān)控采用IP信息箱引接數(shù)據(jù)線）1.7園區(qū)網(wǎng)絡(luò)安全規(guī)劃設(shè)計統(tǒng)規(guī)劃。園區(qū)網(wǎng)安全現(xiàn)狀原因分析網(wǎng)絡(luò)結(jié)構(gòu)單一和設(shè)備防護技術(shù)欠缺CPU的硬件保護，設(shè)備防DOS攻擊等功能。無法進行有效的身份管理園區(qū)網(wǎng)缺少用戶身份認證機制，外來用戶、非法用戶隨意接入；缺少可控的審計無法有效進行。16XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案無法保證用戶終端合法性Windows造成了病毒和攻擊在園區(qū)網(wǎng)內(nèi)的泛濫，影響正常應(yīng)用的開展。內(nèi)網(wǎng)安全無法有效控制70病毒、木馬泛濫；“合法用戶的“非法行為危害巨大；常規(guī)手段難以及時發(fā)現(xiàn)并阻斷攻擊行為；發(fā)生的安全事件不能審計到人，無法進行有效處理。安全網(wǎng)絡(luò)設(shè)計原則安全服務(wù)等因素，參照SSE-CMM(系統(tǒng)安全工程能力成熟模型)和ISO17799(信息安全管理標(biāo)準(zhǔn))等國際標(biāo)準(zhǔn)，綜合考慮可實施性、可管理性、可擴展性、綜合完9項原則：1)網(wǎng)絡(luò)信息安全的木桶原則源共享性使單純的技術(shù)保護防不勝防。攻擊者使用的“最易滲透原則，必然在17XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案的是提高整個系統(tǒng)的"安全最低點"的安全性能。2)網(wǎng)絡(luò)信息安全的整體性原則情況下，進行應(yīng)急處理和盡量、及時地恢復(fù)信息，減少供給的破壞程度。3)安全性評價與平衡原則具體取決于系統(tǒng)的規(guī)模和范圍，系統(tǒng)的性質(zhì)和信息的重要程度。4)標(biāo)準(zhǔn)化與一致性原則樣才能確保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。5)技術(shù)與行政管理相結(jié)合原則教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。6)統(tǒng)籌規(guī)劃，分步實施原則18XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案斷增加，調(diào)整或增強安全防護力度，保證整個網(wǎng)絡(luò)最根本的安全需求。7)等級性原則（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層以滿足網(wǎng)絡(luò)中不同層次的各種實際需求。8)動態(tài)發(fā)展原則絡(luò)安全需求。9)易操作性原則身就降低了安全性。其次，措施的采用不能影響系統(tǒng)的正常運行。安全網(wǎng)絡(luò)設(shè)計目標(biāo)ARP企業(yè)內(nèi)網(wǎng)絡(luò)的安全、穩(wěn)定、可靠。1)確保網(wǎng)絡(luò)設(shè)備安全19XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案網(wǎng)絡(luò)設(shè)備和相應(yīng)系統(tǒng)是網(wǎng)絡(luò)架構(gòu)的基礎(chǔ)，一旦網(wǎng)絡(luò)設(shè)備崩潰和出現(xiàn)軟故障，則網(wǎng)絡(luò)造成不可用等高危事故，因此網(wǎng)絡(luò)設(shè)備的安全保護是安全網(wǎng)絡(luò)的基礎(chǔ)。2)確保網(wǎng)絡(luò)數(shù)據(jù)流安全ARPARP欺騙攻擊的三個層面出發(fā)全面防治ARP欺騙帶來的危害。3)確保用戶身份安全IP了合法有效的身份信息之后，才能允許正常接入并使用網(wǎng)絡(luò)。4)確保用戶終端安全WSUSWSUS的服務(wù)進行Windows因為操作系統(tǒng)漏洞帶來的安全隱患威脅。保護園區(qū)網(wǎng)內(nèi)用戶終端的安全。5)確保遠程VPN用戶訪問網(wǎng)絡(luò)的安全VPN技術(shù)則需要良好的配合，保證VPN用戶的訪問網(wǎng)絡(luò)行為能夠監(jiān)控和內(nèi)網(wǎng)的安全。20XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案6)確保web服務(wù)的安全企業(yè)的WEB應(yīng)用相當(dāng)豐富，對于對外宣傳的WEB網(wǎng)站則需要進行精心防護，防止篡改網(wǎng)頁并造成不良的公示效應(yīng)。安全網(wǎng)絡(luò)方案設(shè)計的完成。國家信息等級保護體系主要包含了：技術(shù)要求和管理要求。割的兩個部分。本方案結(jié)合企業(yè)內(nèi)認證系統(tǒng)和業(yè)界企業(yè)采用和推薦的較為成熟先進的安全全和數(shù)據(jù)安全。網(wǎng)絡(luò)基礎(chǔ)平臺安全安全，網(wǎng)絡(luò)提供以下技術(shù)保證企業(yè)內(nèi)網(wǎng)絡(luò)設(shè)備的健壯和可靠：1.CPU及引擎保護技術(shù)——CPP技術(shù)21XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案CPUCPUCPU都不會出現(xiàn)負載過高的狀況，這種保護機制就是CPUProtectPolicy，簡稱CPP。CPPARPcheckIPsysguard一種CPPCPU保護提出了更高的要求，第二種cpp應(yīng)用需要對trap到CPU的管理報文進行分類處理，第一類是作為維護基礎(chǔ)協(xié)議的BPDUGVRP和VRRPPIM，OSPFIGMPRIPCPU處理的IPCPU高負載的情況下仍能保證基本的網(wǎng)絡(luò)拓撲穩(wěn)定。CPP的第三種應(yīng)用是對各種報文的帶CPU可以處理的最高總帶寬限制。網(wǎng)絡(luò)CPP的拓撲震蕩。從而為用戶提供一個穩(wěn)定的網(wǎng)絡(luò)環(huán)境。2.NFPP-基礎(chǔ)網(wǎng)絡(luò)保護策略(NetworkFoundationProtectionPolicy)目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊(比如：ACL、QOS、URPF、SysGuard等等)，通過這些功能模塊自行建立攻擊檢測和保護的機制，并提供對網(wǎng)絡(luò)開發(fā)出一套完整的網(wǎng)絡(luò)基礎(chǔ)保護體系，稱之為基礎(chǔ)網(wǎng)絡(luò)保護策略(NetworkFoundationProtectionPolicy)NFPPNFPP技術(shù)能夠?qū)υO(shè)備本身22XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案地運行。針對交換機設(shè)備而言，數(shù)據(jù)的路由和交換過程主要由硬件來完成，而CPU主互界面供用戶進行本地管理配置。大量的報文流送向CPU，占用了整個送CPU的報文通路的帶寬，導(dǎo)致正常的控制流和管理流無法達到CPU，從而帶來協(xié)議振蕩運行。NFPP接受報文的端口或者發(fā)送到CPU通過對送往CPU的報文進行攻擊檢測，的保護作用。NFPP技術(shù)特點有：防止多種攻擊NFPP能夠防止目前網(wǎng)絡(luò)上常見的多種攻擊手段，包括ARP攻擊、ICMP攻擊、IP掃描攻擊及DHCP耗竭攻擊等，形成一套完整的保護體系，為用戶提供一個安全可靠的網(wǎng)絡(luò)平臺。配置靈活方便NFPP的用戶界面CLI認識的情況下，也能完成配置。NFPP所實現(xiàn)的防攻擊技術(shù)如ARP防攻擊、ICMP防攻擊都集中在NFPP配置模式下進行配置，且對各種類型防攻擊的配置基本相擇相應(yīng)功能，即可以選擇打開ARP防攻擊功能而關(guān)閉ICMP防攻擊功能。整網(wǎng)設(shè)備聯(lián)動結(jié)合銳捷網(wǎng)絡(luò)的IPFIX23XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案現(xiàn)網(wǎng)絡(luò)中的非法數(shù)據(jù)源，并由網(wǎng)絡(luò)設(shè)備聯(lián)動整網(wǎng)下發(fā)NFPP安全策略，最終杜絕攻擊保證全網(wǎng)安全。支持特權(quán)用戶NFPPARP該用戶的ARP報文不受監(jiān)控。因此NFPP涵蓋了設(shè)備硬件級別的各種安全措施；作為園區(qū)網(wǎng)安全建設(shè)的第全，而不會影響數(shù)據(jù)的轉(zhuǎn)發(fā)。遠程接入安全針對企業(yè)外需要訪問企業(yè)內(nèi)資源的差旅人員，本方案設(shè)計了使用專用千兆VPN網(wǎng)關(guān)進行提供園區(qū)辦公人員的企業(yè)外訪問。該VPN網(wǎng)關(guān)為出口區(qū)域的安全防火墻，該設(shè)備工作在透明模式也可以作為VPN網(wǎng)關(guān)使用。VPN技術(shù)上可以選擇SSLVPNIPSECVPNVPN網(wǎng)關(guān)認證和SAM進行VPN用戶認證和訪問網(wǎng)絡(luò)的信息都可以實時記錄。建議該類型帳戶企業(yè)內(nèi)認證賬號和VPN賬號相同，便于管理。認證方式，該類型用戶在企業(yè)內(nèi)可以使用802.1x，企業(yè)外選擇無客戶端的SSLVPN的WEB登陸認證方式。從而使得VPN訪問企業(yè)內(nèi)資源通過VPN24XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案入網(wǎng)主機安全防護來實現(xiàn)園區(qū)網(wǎng)的主機安全目標(biāo)；1)園區(qū)網(wǎng)統(tǒng)一身份認證系統(tǒng)：實現(xiàn)了辦公網(wǎng)、生產(chǎn)網(wǎng)統(tǒng)一認證；有線、無線的統(tǒng)一認證；企業(yè)內(nèi)、企業(yè)外的VPN驗，例如有線1X認證中的用戶IP、MAC、NASIP等；無線1X接入的APMAC等信的主機身份合法，安全接入；2)園區(qū)網(wǎng)統(tǒng)主機安全防護系統(tǒng)：園區(qū)網(wǎng)主機防護體系可以實現(xiàn)多種用戶主機防護的內(nèi)容，時刻保證用戶的主的主機才可以接入網(wǎng)絡(luò)。例如：Windows補丁的檢查和修復(fù)；防毒軟件的檢測和修復(fù)等等；園區(qū)網(wǎng)主機防護體系全面的保障了主機的完整性、安全性；ARP防御體系用戶在完成了身份認證和主機端點防護之后，就可以接入網(wǎng)絡(luò)，但用戶在網(wǎng)網(wǎng)關(guān)設(shè)備、接入設(shè)備與客戶端的多重聯(lián)動而實現(xiàn)的ARP欺騙三重立體防御功能。可通過后臺服務(wù)器平臺作為可信的第三方，來向網(wǎng)關(guān)設(shè)備和客戶端提供可信的ARP信息，避免了由ARP協(xié)議本身的漏洞帶來的ARP欺騙現(xiàn)象的發(fā)生。該防御體SMP服25XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案務(wù)器進行對客戶端進行綁定網(wǎng)關(guān)地址，接入交換機上為自動綁定用戶IP和ARP表項。自動進行ARP可信任的列表綁定實現(xiàn)了ARP病毒的全面防御，徹底地解決了ARP病毒泛濫的問題。業(yè)務(wù)數(shù)據(jù)安全數(shù)據(jù)，已經(jīng)成為企業(yè)信息化建設(shè)中最寶貴的資源，其重要性已經(jīng)越來越得到壞對于XX企業(yè)而言，其后果不可想象。園區(qū)網(wǎng)數(shù)據(jù)容災(zāi)方案可以采用業(yè)界推崇和先進的基于SAN網(wǎng)絡(luò)層容災(zāi)技術(shù)架構(gòu)，采用虛擬化引擎和FC光纖陣列共同實現(xiàn)，實現(xiàn)應(yīng)用級容災(zāi)，來保證數(shù)據(jù)安全。特別為SAM系統(tǒng)的財務(wù)和賬務(wù)數(shù)據(jù)提供可靠的數(shù)據(jù)安全保障。完善的日志審計體系日志體系包含了網(wǎng)絡(luò)流量分析系統(tǒng)和出口日志審計系統(tǒng)；實現(xiàn)內(nèi)網(wǎng)了安全違用戶。通過網(wǎng)絡(luò)流量分析系統(tǒng)，有助于網(wǎng)絡(luò)優(yōu)化、網(wǎng)絡(luò)規(guī)劃、異常流量檢測?？梢酝ㄟ^出口日志審計系統(tǒng)NATURL日MAC全時間的時候，可以準(zhǔn)確定位追溯到人。26XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案同時能夠清晰提供NAT轉(zhuǎn)換日志，滿足公安部82令的行政要求：詳細的NAT和訪問記錄信息。提供詳細的用戶訪問外網(wǎng)的URL日志園區(qū)網(wǎng)安全日志審計方案實現(xiàn)了網(wǎng)絡(luò)流量的透明化；全面地實現(xiàn)了基于用戶身份的安全行為記錄、審計；做到了事前認證、事中記錄、事后審計。1.8園區(qū)智能無線網(wǎng)絡(luò)規(guī)劃設(shè)計1.8.1設(shè)計原則1)標(biāo)準(zhǔn)的成熟性作性和兼容協(xié)調(diào)工作。2)解決方案技術(shù)成熟性于XX企業(yè)的網(wǎng)絡(luò)現(xiàn)狀和規(guī)模而言，必須采用國內(nèi)眾多企業(yè)已經(jīng)在使用的成熟解決方案技術(shù)，才能將網(wǎng)絡(luò)使用和維護風(fēng)險降到最低。3)完善的安全措施對于XX企業(yè)在選擇組網(wǎng)規(guī)劃時，就要仔細地考慮任何有可能造成網(wǎng)絡(luò)安全危機的隱患。因此，對于XX企業(yè)而言，無線網(wǎng)絡(luò)的安全必須放在重要位置，可以從以下幾個方面考慮：4)用戶接入認證的控制XX用戶開設(shè)不同的認證權(quán)限。27XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案5)基于用戶的訪問策略不同的用戶可能有不同的上網(wǎng)行為，包括HTTP、FTP、語音等，針對不同的會受到非法用戶的入侵。6)受保護的無線數(shù)據(jù)傳輸接入點與上行網(wǎng)絡(luò)的數(shù)據(jù)傳輸?shù)陌踩浴?)對射頻環(huán)境的監(jiān)控必須具備無線射頻監(jiān)控能力，能針對非法用戶的掃頻行為和嘗試連接進行定位，繼而第一時間告警并將其剔除；對于非法無線設(shè)備也需要進行快速發(fā)現(xiàn)與告警。8)網(wǎng)絡(luò)可擴展性重要。28XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案所有功能和管理的模式保持不便。即便是未來的802.11n無線技術(shù)的成熟之后，也只要增加相應(yīng)的接入點產(chǎn)品即可，無需改變整個無線網(wǎng)絡(luò)架構(gòu)。9)功能豐富的集中管理XX用集中管理的方式來實現(xiàn)對全網(wǎng)設(shè)備的集中控制和管理。用戶及設(shè)備的定位、豐富的報表輸出等實用功能。10)可冗余的高可靠性性必須經(jīng)受住大規(guī)模長時間使用的考驗，對于網(wǎng)絡(luò)的冗余性設(shè)計也在考慮之列?？啃?。11)靈活的部署方式針對XX企業(yè)的無線網(wǎng)絡(luò)部署，實現(xiàn)任何地方的靈活部署。1.8.2設(shè)計目標(biāo)對于XX決方案與技術(shù)上的領(lǐng)先，為用戶提供一個靈活的移動教學(xué)和辦公的平臺,對用戶29XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案此作為園區(qū)有線網(wǎng)絡(luò)重要輔助網(wǎng)絡(luò)和補充。1.8.3無線網(wǎng)絡(luò)部署介紹重點是園區(qū)室外覆蓋，達到全園區(qū)的無線覆蓋的目標(biāo)。XX企業(yè)園區(qū)無線網(wǎng)絡(luò)總體建設(shè)需求根據(jù)XX企業(yè)的網(wǎng)絡(luò)建設(shè)發(fā)展，無線網(wǎng)絡(luò)建設(shè)將完成行政辦公區(qū)的會議室、室外區(qū)域的覆蓋。詳細描述。無線園區(qū)建設(shè)需要信號覆蓋的區(qū)域：室內(nèi)區(qū)域（需要設(shè)計圖或者地勘）演播大廳（X個座位）會議室（X個座位）XX企業(yè)領(lǐng)導(dǎo)辦公區(qū)會議室（X座位）食堂（X座位）教學(xué)樓（根據(jù)預(yù)算選擇性部署）室外區(qū)域（需要設(shè)計圖或者地勘）30XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案室外區(qū)域的覆蓋為本次無線網(wǎng)絡(luò)規(guī)劃與設(shè)計的重點，原則上是全園區(qū)的覆蓋，考慮到部分區(qū)域正在施工，或者為待建區(qū)域，所以也存在重點覆蓋區(qū)域，如下：辦公區(qū)全園重點覆蓋運動場完全覆蓋行政樓重點區(qū)域完全覆蓋宿舍區(qū)域重點區(qū)域完全覆蓋案等方向進行規(guī)劃的介紹。全園區(qū)覆蓋的信號標(biāo)準(zhǔn)選擇用技術(shù)和協(xié)議，以保證網(wǎng)絡(luò)設(shè)備的互通性，有利于網(wǎng)絡(luò)的投資保護。因此企業(yè)無線網(wǎng)絡(luò)信號將選擇IEEE802.11ag/n等信號標(biāo)準(zhǔn)，在建設(shè)網(wǎng)絡(luò)的時候，充分考慮到網(wǎng)絡(luò)的可擴展性，以及兼容性。全園區(qū)的漫游規(guī)劃全園區(qū)的無線漫游包括了二層漫游、三層漫游、以及跨無線控制器的漫游。IP的IP地址、認證與加密方式，不存在重新獲取的必要，因此也不會中斷連接。31XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案的。壯，同時為將來的語音等應(yīng)用的開展奠定基礎(chǔ)。身份認證規(guī)劃對于企業(yè)這樣的大規(guī)模部署無線網(wǎng)絡(luò)的環(huán)境，最合適的入網(wǎng)認證方式就是基于Web的認證與基于802.1x的認證方式。在規(guī)劃時，考慮到用戶的訪問的便利WEB認證的方式，用戶無需安裝任何客戶端產(chǎn)品，利用標(biāo)準(zhǔn)的瀏覽器產(chǎn)品即可完成上網(wǎng)登錄。同時可以做很好的安全審計。通過分布式聯(lián)動的web認證，不但可以延續(xù)原有的web認證方式，對用戶完用戶名分配不同的訪問權(quán)限和行為控制，保護無線網(wǎng)絡(luò)訪問安全。無線安全規(guī)劃在目前面向行業(yè)級的WLANSSIDWEPWPAVLAN等一系列技的設(shè)計理念，完成北京師范大學(xué)的無線網(wǎng)絡(luò)安全需求。SSID是啟用了目前先進的SSIDSSID號碼，使得那些擁有截獲SSID密碼的無線終端非法訪問網(wǎng)絡(luò)。32XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案另外，WEPWPA時間的發(fā)生。在園區(qū)無線網(wǎng)絡(luò)規(guī)劃中，由于目前園區(qū)有線網(wǎng)絡(luò)咦具備一定規(guī)模，WEP和WPA加密技術(shù)可以增加一層保護手段，可以極大的提升安全防御的能力。另外，對于室內(nèi)、外型AP產(chǎn)品，由于其開放于公共環(huán)境，面對的是所有用戶群AP產(chǎn)品應(yīng)選擇具備802.1QVLAN功能的無線產(chǎn)品，協(xié)助接入層無線用戶與接入層交換機用戶同樣接受全網(wǎng)統(tǒng)一管理和VLAN的劃分，這樣可以徹底解決無線用戶無法管、不方便管的疑難問題?；谝陨系男枨螅髽I(yè)要無線規(guī)劃時采用的AP及控制器，均可支持獨立的802.1QVLANVLANVLAN實現(xiàn)單獨的SSID分配、WEP和WPA802.1XAP覆蓋范圍該功能尤其對于啟用了DHCP動態(tài)地址分配能力之后，可獲得更好的效果，可以針對不同的地址段實現(xiàn)VLAN劃分，并賦予不同的安全策略，實現(xiàn)園區(qū)的動態(tài)安全體系，更可以為未來發(fā)展中的網(wǎng)絡(luò)自防御體系打下很好的基礎(chǔ)。在整個智能無線園區(qū)網(wǎng)中，將采用高性能的無線交換機組建集群，一方面提供強大的無線AP的升級與擴展空間，另一方面可以起到良好的負載均衡，保障在大規(guī)模部署無線AP的環(huán)境下，起到網(wǎng)絡(luò)架構(gòu)的穩(wěn)定性與健壯性。室內(nèi)區(qū)域覆蓋示意圖會議室等室內(nèi)區(qū)域無線規(guī)劃及清單33XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案AP數(shù)。同時考慮到一個AP的覆蓋理論范圍為100-200為半徑的圓，以及60-100個人的并發(fā)上網(wǎng)，來選擇無線的AP數(shù)。辦公區(qū)室內(nèi)區(qū)域無線規(guī)劃AP數(shù)。同時考慮到一個AP的覆蓋理論范圍為100-200為半徑的圓，以及60-100個人的并發(fā)上網(wǎng)，來選擇無線的AP數(shù)。1.8.4無線網(wǎng)絡(luò)建設(shè)后的目標(biāo)地提供企業(yè)的信息化建設(shè)水平與業(yè)界的地位。主要如下：無線辦公——提高辦公自動化效率考慮到XX企業(yè)教職工筆記本擁有的數(shù)量越來越多，且是一個趨勢。而無線接入網(wǎng)絡(luò)，通過認證，隨時查詢資料。從而將辦公的效率與便利性大大提高。無線災(zāi)備——地震、火災(zāi)等應(yīng)急網(wǎng)絡(luò)系統(tǒng)對于2008中期發(fā)生的四川大地震我們記憶猶新，網(wǎng)絡(luò)對于我們了解及時的全園區(qū)所有空曠地帶均可以成為將來的應(yīng)急辦公區(qū)域。無線信息化——提升企業(yè)信息化建設(shè)水平34XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案常大的幫助。有線無線融合統(tǒng)一的園區(qū)網(wǎng)絡(luò)，從而充分利用園區(qū)網(wǎng)內(nèi)現(xiàn)有的各種資源。易管理的無線網(wǎng)絡(luò)RF理的概念，因此對于無線網(wǎng)絡(luò)的管理，要在每個無線接入點上進行設(shè)置和更改，權(quán)也可能會產(chǎn)生問題，因此集中控制和管理顯得非常必要。能無線交換機上就可開通、管理、維護所有處于接入層的智能無線接入點設(shè)備，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶的訪問策略。無線增值應(yīng)用開展平臺WI-FI35XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案RFID有線網(wǎng)絡(luò)內(nèi)都是很難開展的。1.8.5產(chǎn)品要求核心交換機參數(shù)要求：功能及技術(shù)指標(biāo),參數(shù)要求插槽數(shù),>=9單引擎交換容量,>=720Gbps單引擎包轉(zhuǎn)發(fā)能力,>=450Mpps每插槽帶寬,>=40GIPv4協(xié)議,硬件支持IPv4，其中路由協(xié)議必須支持RIP、OSPFV2、IS-IS,組播協(xié)議必須支持IGMPV1V3SnoopingIPv6協(xié)議,硬件支持IPv6流量分析統(tǒng)計功能,支持NetFlow流量統(tǒng)計與分析功能軟件可靠性,支持模塊化軟件和在線升級功能，提高可靠性QOS,支持基于源MACMAC（MediumAccessControlIP地址、目的IP地址、端口、協(xié)議、VLAN等內(nèi)容的L2（Layer2）~L4（Layer4）包過濾功能；優(yōu)先級隊列調(diào)度：支持擁塞避免，支持802.1P，DSCP/TOS優(yōu)先級和重新標(biāo)記能力；支持基于時間段的流分類和QoS控制能力虛擬化,支持2IP可擴充至1.4T36XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案鏈路捆綁,支持跨交換機的鏈路捆綁，所有需上聯(lián)設(shè)備通過跨交換機的鏈路捆綁實現(xiàn)快速冗余保護和流量均衡，避免冗余協(xié)議帶來的切換時間問題。服務(wù)水平測量SLA,支持對HTTPFTP等參數(shù)。交換機智能,支持內(nèi)嵌數(shù)百個事件觸發(fā)器，在滿足條件后自動執(zhí)行預(yù)先定義腳本程序，并發(fā)出告警。無需人員干預(yù)GRE封裝,支持GRE封裝，以滿足跨路由環(huán)境的遠程端口鏡像交換機智能,支持內(nèi)嵌事件功能，交換機可以在觸發(fā)內(nèi)置的時間或得到IPSLA測量結(jié)果后，自動調(diào)用腳本程序，實現(xiàn)智能管理、智能響應(yīng)帶寬控制,支持帶寬控制，控制粒度<=8Kbps單臺設(shè)備配置要求,主機引擎2個、10個千兆電口、4個10G光口、雙電源冗余匯聚層交換機參數(shù)要求：功能及技術(shù)指標(biāo),參數(shù)要求交換容量,>=320Gbps每秒分組數(shù),>=17.8MppsDRAM,≥128MBMAC地址數(shù)量,≥12000路由數(shù)量,≥20000VLAN特性,支持基于端口的VLAN，支持基于MAC的VLAN，802.1qVlan封裝，支持GVRP、VoiceVLANACL,支持硬件的ACL設(shè)備發(fā)現(xiàn)協(xié)議,支持LLDP設(shè)備發(fā)現(xiàn)標(biāo)準(zhǔn)37XX企業(yè)園區(qū)信息化建設(shè)技術(shù)方案QOS,支持基于源MACMAC（MediumAccessControlIP地址、目的IP地址、端口、協(xié)議、VLAN等內(nèi)容的L2（Layer2）~L4（Layer4）包過濾功能；802.1P，DSCP/TOS支持基于時間段的流分類和QoS控制能力認證協(xié)議特性,支持IEEE802.1X組播協(xié)議,支持IGMP、IGMPSnoopingv3協(xié)議；DHCP功能,支持DHCPCLIENT/DHCPSNOOPING/DHCPSERVER設(shè)備管理,SNMPV1V3；RMON?9；CLI;TELNET；支持WEB網(wǎng)管，支持NTP，圖形化管理；支持電纜檢測功能及單向鏈路檢測功能單臺設(shè)