年全國(guó)職業(yè)院校技能大賽改革試點(diǎn)賽“網(wǎng)絡(luò)系統(tǒng)管理”賽項(xiàng)“網(wǎng)絡(luò)構(gòu)建”模塊（樣卷1）全國(guó)職業(yè)院校技能大賽執(zhí)委會(huì).技術(shù)專家組2020年9月目錄一．說(shuō)明 3二．項(xiàng)目背景 3三．項(xiàng)目規(guī)劃和設(shè)計(jì) 4四．網(wǎng)絡(luò)項(xiàng)目實(shí)施 13（一）設(shè)備基礎(chǔ)信息配置與驗(yàn)證 13（二）網(wǎng)絡(luò)搭建與網(wǎng)絡(luò)冗余備份方案部署 14（三）移動(dòng)互聯(lián)網(wǎng)搭建與無(wú)線網(wǎng)絡(luò)優(yōu)化 19（四）實(shí)施出口安全防護(hù)與遠(yuǎn)程接入 21五．無(wú)線網(wǎng)絡(luò)規(guī)劃與實(shí)施 22（一）無(wú)線網(wǎng)絡(luò)業(yè)務(wù)背景及需求介紹 22（二）無(wú)線網(wǎng)絡(luò)中的業(yè)務(wù)規(guī)劃 25六．提交競(jìng)賽結(jié)果文件說(shuō)明 28一．說(shuō)明本模塊比賽時(shí)間為4小時(shí)。請(qǐng)合理分配競(jìng)賽時(shí)間。請(qǐng)仔細(xì)閱讀以下要求。1.比賽時(shí)間結(jié)束時(shí)，請(qǐng)將工作站保持運(yùn)行狀態(tài)，評(píng)分過(guò)程需要在運(yùn)行狀態(tài)進(jìn)行，不允許重啟。由于重啟造成配置丟失由考生個(gè)人負(fù)責(zé)。2.為了方便測(cè)試，全網(wǎng)允許ICMP流量通行，請(qǐng)將操作系統(tǒng)的防火墻配置為允許Ping狀態(tài)。3．默認(rèn)密碼：XXXXXX。4．軟件&工具:見(jiàn)“2020年全國(guó)職業(yè)院校技能大賽改革試點(diǎn)賽賽項(xiàng)規(guī)程”。二．項(xiàng)目背景陜西招財(cái)銀行是一家地方性商業(yè)銀行，創(chuàng)建于1985年，其省行（一級(jí)行）位于陜西省西安市，在全省各地市均建有二級(jí)行，各區(qū)縣建立的支行及網(wǎng)點(diǎn)已超過(guò)150個(gè)。隨著省行的網(wǎng)絡(luò)扁平化改造，所有的二級(jí)行、支行及網(wǎng)點(diǎn)均需要直接連接到省行，其網(wǎng)絡(luò)運(yùn)行及維護(hù)的效率也得到了極大的提升。為了保證網(wǎng)絡(luò)的穩(wěn)定且方便維護(hù)，省行網(wǎng)絡(luò)分為核心區(qū)、業(yè)務(wù)區(qū)、互聯(lián)區(qū)、外聯(lián)區(qū)四個(gè)部分。其中：核心區(qū)作為全網(wǎng)的中心樞紐承擔(dān)了各類業(yè)務(wù)數(shù)據(jù)流量的轉(zhuǎn)發(fā)工作。業(yè)務(wù)區(qū)分別通過(guò)有線和無(wú)線網(wǎng)絡(luò)，為生產(chǎn)數(shù)據(jù)流（存/取款等相關(guān)數(shù)據(jù)）和辦公數(shù)據(jù)流（OA、視頻會(huì)議等與錢(qián)無(wú)關(guān)的數(shù)據(jù)）提供了服務(wù)?；ヂ?lián)區(qū)通過(guò)MSTP專線連接總行、全省所有的二級(jí)行、支行及網(wǎng)點(diǎn)。外聯(lián)區(qū)通過(guò)互聯(lián)網(wǎng)向用戶提供如網(wǎng)上銀行等線上服務(wù)，并對(duì)接第三方公司并提供相關(guān)服務(wù)；同時(shí)，省行的辦公人員也能通過(guò)外聯(lián)區(qū)訪問(wèn)Internet。各支行/網(wǎng)點(diǎn)的業(yè)務(wù)也包括生產(chǎn)和辦公兩類。其中，生產(chǎn)性的數(shù)據(jù)主要由ATM機(jī)等設(shè)備通過(guò)有線方式傳輸；辦公業(yè)務(wù)主要通過(guò)無(wú)線網(wǎng)絡(luò)提供服務(wù)。各支行/網(wǎng)點(diǎn)的交換機(jī)通過(guò)兩條MSTP專線分別將生產(chǎn)及辦公數(shù)據(jù)傳至省行。陜西招財(cái)銀行的智慧網(wǎng)絡(luò)需要具備高速、可靠、安全的數(shù)據(jù)傳輸，實(shí)現(xiàn)高度集中計(jì)算和處理能力，為銀行可持續(xù)發(fā)展鑄就雄厚軟實(shí)力。同時(shí)，招財(cái)銀行希望在本次信息化業(yè)務(wù)建設(shè)方面，打通從供應(yīng)商、采購(gòu)物流、生產(chǎn)計(jì)劃以及銷售管理等多業(yè)務(wù)之間的連接環(huán)節(jié)，從而提升銀行業(yè)務(wù)運(yùn)營(yíng)的標(biāo)準(zhǔn)化、智能化、高效化以及應(yīng)對(duì)異常的能力。以上每項(xiàng)業(yè)務(wù)的運(yùn)營(yíng)對(duì)于網(wǎng)絡(luò)穩(wěn)健性、智慧性要求都帶來(lái)挑戰(zhàn)，不僅需要可靠穩(wěn)定的基礎(chǔ)網(wǎng)絡(luò)支撐，更需要統(tǒng)一管理運(yùn)維體系保障其龐大的業(yè)務(wù)正常運(yùn)營(yíng)。為了優(yōu)化省行的網(wǎng)絡(luò)，為其它區(qū)域的網(wǎng)絡(luò)提供高效的保障服務(wù)，陜西招財(cái)銀行同時(shí)針對(duì)各個(gè)分支行、網(wǎng)點(diǎn)的網(wǎng)絡(luò)進(jìn)行升級(jí)、改造和優(yōu)化。其中，對(duì)省行進(jìn)行全網(wǎng)改造，包括調(diào)整全網(wǎng)拓?fù)鋵?shí)現(xiàn)核心網(wǎng)絡(luò)虛擬化、部署集中式AC的智慧無(wú)線網(wǎng)絡(luò)；保證網(wǎng)絡(luò)在宕機(jī)時(shí)能平滑切換，保障各項(xiàng)業(yè)務(wù)不中斷。此次也新建如龍首原支行、鳳翔路支行、虎口鎮(zhèn)網(wǎng)點(diǎn)……等多個(gè)支行和網(wǎng)點(diǎn)；同時(shí)部署網(wǎng)絡(luò)安全整體解決方案，改變之前上網(wǎng)行為管理難的問(wèn)題，實(shí)現(xiàn)員工訪問(wèn)網(wǎng)絡(luò)事后可溯源，省行和各支行/網(wǎng)點(diǎn)之間傳輸?shù)臄?shù)據(jù)實(shí)現(xiàn)加密等多項(xiàng)安全問(wèn)題；構(gòu)建安全高效的網(wǎng)絡(luò)出口，依托互聯(lián)網(wǎng)最大限度實(shí)現(xiàn)各業(yè)務(wù)安全、高效、快速的傳輸，創(chuàng)建新時(shí)代金融網(wǎng)絡(luò)環(huán)境，保障銀行各項(xiàng)業(yè)務(wù)的高效運(yùn)營(yíng)。三．項(xiàng)目規(guī)劃和設(shè)計(jì)為了順利實(shí)施陜西招財(cái)銀行全省營(yíng)業(yè)網(wǎng)點(diǎn)的網(wǎng)絡(luò)改造，優(yōu)化省行的網(wǎng)絡(luò)，為其它區(qū)域的網(wǎng)絡(luò)提供高效的保障服務(wù)，陜西招財(cái)銀行同時(shí)針對(duì)各個(gè)分支行、網(wǎng)點(diǎn)的網(wǎng)絡(luò)進(jìn)行升級(jí)、改造和優(yōu)化。1.項(xiàng)目規(guī)劃與建設(shè)內(nèi)容主要實(shí)施的網(wǎng)絡(luò)信息化項(xiàng)目規(guī)劃與建設(shè)內(nèi)容如下所示。（1）各支行/網(wǎng)點(diǎn)的網(wǎng)絡(luò)通過(guò)MSTP專線訪問(wèn)省行的業(yè)務(wù)區(qū)，實(shí)現(xiàn)生產(chǎn)和辦公業(yè)務(wù)互通。（2）生產(chǎn)性數(shù)據(jù)通過(guò)有線網(wǎng)絡(luò)傳輸、辦公數(shù)據(jù)通過(guò)無(wú)線網(wǎng)絡(luò)傳輸，保證其穩(wěn)定性。（3）通過(guò)路由策略部署，實(shí)現(xiàn)生產(chǎn)和辦公數(shù)據(jù)按指定路徑進(jìn)行分流和互相備份，保證數(shù)據(jù)來(lái)回路徑一致。（4）省行及各支行網(wǎng)點(diǎn)局域網(wǎng)內(nèi)部部署防環(huán)、防攻擊、數(shù)據(jù)負(fù)載均衡等相關(guān)策略，確保局域網(wǎng)業(yè)務(wù)安全、可靠。（5）保證省行特定服務(wù)器能通過(guò)外聯(lián)區(qū)對(duì)外提供服務(wù)、省行的用戶能正常上網(wǎng)，同時(shí)第三方公司能通過(guò)VPN訪問(wèn)銀行特定資源。2.項(xiàng)目規(guī)劃與建設(shè)拓?fù)潢兾髡胸?cái)銀行全省營(yíng)業(yè)網(wǎng)點(diǎn)的改造和信息化建設(shè)方案拓?fù)鋱D如圖1所示。圖1陜西招財(cái)銀行全省營(yíng)業(yè)網(wǎng)點(diǎn)網(wǎng)絡(luò)改造拓?fù)?.項(xiàng)目規(guī)劃與建設(shè)拓?fù)潢兾髡胸?cái)銀行省行核心網(wǎng)以及營(yíng)業(yè)網(wǎng)點(diǎn)網(wǎng)絡(luò)改造拓?fù)湎嚓P(guān)說(shuō)明如下。（1）兩臺(tái)數(shù)據(jù)中心交換機(jī)作為省行核心區(qū)中的核心交換機(jī)，在網(wǎng)絡(luò)拓?fù)渲械木幪?hào)為S1和S2。（2）兩臺(tái)三層可控交換機(jī)作為省行業(yè)務(wù)區(qū)中的匯聚交換機(jī)，在網(wǎng)絡(luò)拓?fù)渲械木幪?hào)為S3和S4。（3）兩臺(tái)二層可控交換機(jī)作為省行業(yè)務(wù)區(qū)中的接入交換機(jī)，在網(wǎng)絡(luò)拓?fù)渲械木幪?hào)為S5和S6。（4）兩臺(tái)無(wú)線控制器作為省行業(yè)務(wù)區(qū)中的無(wú)線網(wǎng)絡(luò)控制器，在網(wǎng)絡(luò)拓?fù)渲械木幪?hào)為AC1和AC2。（5）一臺(tái)無(wú)線AP作為省行業(yè)務(wù)區(qū)無(wú)線接入點(diǎn)，在網(wǎng)絡(luò)拓?fù)渲芯幪?hào)為AP1。（6）省行通過(guò)互聯(lián)區(qū)和支行/網(wǎng)點(diǎn)的連接，使用兩臺(tái)路由器接入，在網(wǎng)絡(luò)拓?fù)渲械木幪?hào)為R1和R2。（7）省行外聯(lián)區(qū)中使用一臺(tái)出口網(wǎng)關(guān)把省行的網(wǎng)絡(luò)接入互聯(lián)網(wǎng)（運(yùn)營(yíng)商網(wǎng)絡(luò)），在網(wǎng)絡(luò)拓?fù)渲械木幪?hào)為EG1。（8）龍首原支行使用一臺(tái)三層可控交換機(jī)作為支行的業(yè)務(wù)交換機(jī)，在網(wǎng)絡(luò)拓?fù)渲械木幪?hào)為S7。（9）龍首原支行無(wú)線網(wǎng)部署使用一臺(tái)無(wú)線AP接入，在網(wǎng)絡(luò)拓?fù)渲芯幪?hào)為AP2。（10）省行的外聯(lián)區(qū)通過(guò)寬帶鏈路接入運(yùn)營(yíng)商（Internet）路由器，運(yùn)營(yíng)商網(wǎng)絡(luò)中接入路由器在網(wǎng)絡(luò)拓?fù)渲芯幪?hào)為R3。（11）第三方公司使用一臺(tái)出口網(wǎng)關(guān)作網(wǎng)絡(luò)出口，在網(wǎng)絡(luò)拓?fù)渲芯幪?hào)為EG2。（12）第三方公司使用一臺(tái)無(wú)線AP部署無(wú)線網(wǎng)絡(luò)，在網(wǎng)絡(luò)拓?fù)渲芯幪?hào)為AP3。4.網(wǎng)絡(luò)拓?fù)溥B線要求與說(shuō)明在項(xiàng)目實(shí)施過(guò)程中，如用戶無(wú)特殊要求，應(yīng)根據(jù)規(guī)范要求進(jìn)行各級(jí)網(wǎng)絡(luò)設(shè)備互聯(lián)，統(tǒng)一現(xiàn)場(chǎng)設(shè)備互聯(lián)界面；使用線纜標(biāo)簽規(guī)范連接，使網(wǎng)絡(luò)結(jié)構(gòu)清晰明了，方便后續(xù)維護(hù)。請(qǐng)根據(jù)拓?fù)鋱D及網(wǎng)絡(luò)設(shè)備物理連接表，完成設(shè)備的連線。其中，網(wǎng)絡(luò)物理連接表如表1所示；網(wǎng)絡(luò)設(shè)備名稱表如表2所示；網(wǎng)絡(luò)中IPv4地址分配表如表3所示。表1網(wǎng)絡(luò)設(shè)備物理連接表源設(shè)備名稱設(shè)備接口接口描述目標(biāo)設(shè)備名稱設(shè)備接口S1Gi0/1Connect_To_EG1_Gi0/1EG1Gi0/1Gi0/2Connect_To_S3_Gi0/23S3Gi0/23Gi0/3Connect_To_S4_Gi0/23S4Gi0/23Gi0/4Connect_To_R1_Gi0/0R1Gi0/0Gi0/5Connect_To_R2_Gi0/0R2Gi0/0Gi0/47Connect_To_S2_Gi0/47S2Gi0/47Gi0/48Connect_To_S2_Gi0/48Gi0/48S2Gi0/1Connect_To_EG1_Gi0/2EG1Gi0/2Gi0/2Connect_To_S3_Gi0/24S3Gi0/24Gi0/3Connect_To_S4_Gi0/24S4Gi0/24Gi0/4Connect_To_R1_Gi0/1R1Gi0/1Gi0/5Connect_To_R2_Gi0/1R2Gi0/1Gi0/47Connect_To_S1_Gi0/47S1Gi0/47Gi0/48Connect_To_S1_Gi0/48Gi0/48S3Gi0/1Connect_To_AC1_Gi0/3AC1Gi0/3Gi0/3Connect_To_S5_Gi0/23S5Gi0/23Gi0/4Connect_To_S6_Gi0/23S6Gi0/23Gi0/21Connect_To_S4_Gi0/21S4Gi0/21Gi0/22Connect_To_S4_Gi0/22Gi0/22Gi0/23Connect_To_S1_Gi0/2S1Gi0/2Gi0/24Connect_To_S2_Gi0/2S2Gi0/2S4Gi0/2Connect_To_AC2_Gi0/4AC2Gi0/4Gi0/3Connect_To_S5_Gi0/24S5Gi0/24Gi0/4Connect_To_S6_Gi0/24S6Gi0/24Gi0/21Connect_To_S3_Gi0/21S3Gi0/21Gi0/22Connect_To_S3_Gi0/22Gi0/22Gi0/23Connect_To_S1_Gi0/3S1Gi0/3Gi0/24Connect_To_S2_Gi0/3S2Gi0/3S5Gi0/1Connect_To_AP1_Gi0/1AP1Gi0/1Gi0/22Connect_To_S6_Gi0/22S6Gi0/22Gi0/23Connect_To_S3_Gi0/3S3Gi0/3Gi0/24Connect_To_S4_Gi0/3S4Gi0/3Te0/27Connect_To_S6_Te0/27S6Te0/27Te0/28Connect_To_S6_Te0/28Te0/28S6Gi0/22Connect_To_S5_Gi0/22S5Gi0/22Gi0/23Connect_To_S3_Gi0/4S3Gi0/4Gi0/24Connect_To_S4_Gi0/4S4Gi0/4Te0/27Connect_To_S5_Te0/27S5Te0/27Te0/28Connect_To_S5_Te0/28Te0/28AC1Gi0/3Connect_To_S3_Gi0/1S3Gi0/1AC2Gi0/4Connect_To_S4_Gi0/2S4Gi0/2AP1Gi0/1Connect_To_S5_Gi0/1S5Gi0/1R1Gi0/0Connect_To_S1_Gi0/4S1Gi0/4Gi0/1Connect_To_S2_Gi0/4S2Gi0/4Fa1/1Connect_To_S7_Gi0/23S7Gi0/23Fa1/0Connect_To_R2_Fa1/0R2Fa1/0R2Gi0/0Connect_To_S1_Gi0/5S1Gi0/5Gi0/1Connect_To_S2_Gi0/5S2Gi0/5Fa1/1Connect_To_S7_Gi0/24S7Gi0/24Fa1/0Connect_To_R1_Fa1/0R1Fa1/0S7Gi0/1Connect_To_AP2_Gi0/1AP2Gi0/1Gi0/23Connect_To_R1_Fa1/1R1Fa1/1Gi0/24Connect_To_R2_Fa1/1R2Fa1/1AP2Gi0/1Connect_To_S7_Gi0/1S7Gi0/1EG1Gi0/1Connect_To_S1_Gi0/1S1Gi0/1Gi0/2Connect_To_S2_Gi0/1S2Gi0/1Gi0/4Connect_To_R3_Gi0/1R3Gi0/1R3Gi0/0Connect_To_EG2_Gi0/4EG2Gi0/4Gi0/1Connect_To_EG1_Gi0/4EG1Gi0/4EG2Gi0/1Connect_To_AP3_Gi0/1AP3Gi0/1Gi0/4Connect_To_R3_Gi0/0R3Gi0/0AP3Gi0/1Connect_To_EG2_Gi0/1EG2Gi0/1表2網(wǎng)絡(luò)設(shè)備名稱表拓?fù)渲性O(shè)備名稱配置主機(jī)名（hostname名）備注S1SHHXQ-DataCenter-Switch-S1省行核心區(qū)核心交換機(jī)1S2SHHXQ-DataCenter-Switch-S2省行核心區(qū)核心交換機(jī)2S3SHYWQ-Aggregation-Switch-S3省行業(yè)務(wù)區(qū)匯聚交換機(jī)1S4SHYWQ-Aggregation-Switch-S4省行業(yè)務(wù)區(qū)匯聚交換機(jī)2S5/S6(VSU)SHYWQ-Access-Switch-Virtual-Switch省行業(yè)務(wù)區(qū)接入交換機(jī)(虛擬化)AC1/AC2(VAC)SHYWQ-Wireless-Switch省行業(yè)務(wù)區(qū)無(wú)線控制器(VAC)R1SHHLQ-Router-R1省行互聯(lián)區(qū)互聯(lián)路由器1R2SHHLQ-Router-R2省行互聯(lián)區(qū)互聯(lián)路由器2S7LSYZH-Aggregation-Switch-S7龍首原支行業(yè)務(wù)網(wǎng)中匯聚交換機(jī)EG1SHWLQ-Egress-Gateway-EG1省行外聯(lián)區(qū)出口網(wǎng)關(guān)設(shè)備R3ISP-Router-R3運(yùn)營(yíng)商網(wǎng)絡(luò)中接入路由器EG2DSF-Egress-Gateway-EG2第三方公司出口網(wǎng)關(guān)表3IPv4地址分配表設(shè)備接口或VLANVLAN名稱二層或三層規(guī)劃說(shuō)明S1Gi0/1\10.1.3.1/30互聯(lián)地址Gi0/2\10.1.1.1/30互聯(lián)地址Gi0/3\10.1.1.5/30互聯(lián)地址Gi0/4\10.1.2.1/30互聯(lián)地址Gi0/5\10.1.2.5/30互聯(lián)地址Gi0/47-48（AG1）\10.1.254.253/30OSPF100進(jìn)程Loopback0\10.1.0.1/32——S2Gi0/1\10.1.3.5/30互聯(lián)地址Gi0/2\10.1.1.9/30互聯(lián)地址Gi0/3\10.1.1.13/30互聯(lián)地址Gi0/4\10.1.2.9/30互聯(lián)地址Gi0/5\10.1.2.13/30互聯(lián)地址Gi0/47-48（AG1）\10.1.254.254/30OSPF100進(jìn)程Loopback0\10.1.0.2/32——S3VLAN10Production192.1.10.252/24生產(chǎn)/有線用戶地址VLAN50APManage_YWQ192.1.50.252/24業(yè)務(wù)區(qū)AP管理地址VLAN60Wireless192.1.60.252/24辦公/無(wú)線用戶地址VLAN100Manage192.1.100.252/24設(shè)備管理Gi0/23\10.1.1.2/30互聯(lián)地址Gi0/24\10.1.1.10/30互聯(lián)地址Loopback0\10.1.0.3/32——S4VLAN10Production192.1.10.253/24生產(chǎn)/有線用戶地址VLAN50APManage_YWQ192.1.50.253/24業(yè)務(wù)區(qū)AP管理地址VLAN60Wireless192.1.60.253/24辦公/無(wú)線用戶地址VLAN100Manage192.1.100.253/24設(shè)備管理地址Gi0/23\10.1.1.6/30互聯(lián)地址Gi0/24\10.1.1.14/30互聯(lián)地址Loopback0\10.1.0.4/32——S5-S6(虛擬化)VLAN10ProductionGi1/0/6至Gi1/0/20,Gi2/0/6至Gi2/0/20生產(chǎn)/有線用戶地址VLAN50APManage_YWQGi1/0/1至Gi1/0/5,Gi2/0/1至Gi2/0/5業(yè)務(wù)區(qū)AP管理地址VLAN100Manage192.1.100.1/24設(shè)備管理地址AC1VLAN100Manage192.1.100.2/24設(shè)備管理地址Loopback0\10.1.0.5/32——AC2VLAN100Manage192.1.100.3/24設(shè)備管理地址Loopback0\10.1.0.6/32——R1Gi0/0\10.1.2.2/30互聯(lián)地址Gi0/1\10.1.2.10/30互聯(lián)地址Fa1/0\10.1.2.253/30互聯(lián)地址Fa1/1\10.1.2.21/30互聯(lián)地址Loopback0\10.1.0.7/32——R2Gi0/0\10.1.2.6/30互聯(lián)地址Gi0/1\10.1.2.14/30互聯(lián)地址Fa1/0\10.1.2.254/30互聯(lián)地址Fa1/1\10.1.2.25/30互聯(lián)地址Loopback0\10.1.0.8/32——S7Gi0/23\10.1.2.22/30互聯(lián)地址Gi0/24\10.1.2.26/30互聯(lián)地址VLAN410Production194.1.10.254/24G0/11-20生產(chǎn)/有線用戶地址VLAN450APManage_YWQ194.1.50.254/24業(yè)務(wù)區(qū)AP管理地址VLAN460Wireless194.1.60.254/24辦公/無(wú)線用戶地址Loopback0\10.1.0.9/32——EG1Gi0/1\10.1.3.2/30互聯(lián)地址Gi0/2\10.1.3.6/30互聯(lián)地址Gi0/4\200.1.1.2/29互聯(lián)地址Tunnel0\10.1.4.1/30GRE接口地址Loopback0\10.1.0.10/32——R3Gi0/0\200.2.1.1/29互聯(lián)地址Gi0/1\200.1.1.1/29互聯(lián)地址Loopback1\195.1.1.1/32——EG2Gi0/1.60\195.1.60.254/24用戶地址Gi0/1.100\195.1.100.254/24AP管理地址Gi0/4\200.2.1.2/29互聯(lián)地址Tunnel0\10.1.4.2/30GRE接口地址Loopback0\10.1.0.11/32——四．網(wǎng)絡(luò)項(xiàng)目實(shí)施（一）設(shè)備基礎(chǔ)信息配置與驗(yàn)證1.完成網(wǎng)絡(luò)設(shè)備規(guī)范命名；配置網(wǎng)絡(luò)設(shè)備基礎(chǔ)信息。（1）根據(jù)網(wǎng)絡(luò)設(shè)備名稱表（表2），修訂所有設(shè)備名稱。（2）依據(jù)網(wǎng)絡(luò)設(shè)備物理連接表（表1），配置設(shè)備接口描述信息。2.完成網(wǎng)絡(luò)設(shè)備密碼恢復(fù)，實(shí)現(xiàn)設(shè)備軟件版本統(tǒng)一。（1）交換機(jī)S7做密碼恢復(fù)，新密碼設(shè)置為admin1234。（2）交換機(jī)S7進(jìn)行版本更新至指定版本，指定版本見(jiàn)現(xiàn)場(chǎng)升級(jí)文件包。3.保障全網(wǎng)中的網(wǎng)絡(luò)設(shè)備安全。（1）在所有的網(wǎng)絡(luò)設(shè)備上都需要開(kāi)啟SSH服務(wù)，以保障網(wǎng)絡(luò)設(shè)備的安全。其中，用戶名密碼分別為admin、admin1234；特權(quán)密碼為admin1234。（2）為方便實(shí)現(xiàn)對(duì)全網(wǎng)開(kāi)展網(wǎng)絡(luò)管理功能，網(wǎng)絡(luò)管理員計(jì)劃增設(shè)網(wǎng)管平臺(tái)，網(wǎng)管平臺(tái)的IP規(guī)劃為172.16.0.254/24。（3）為了實(shí)現(xiàn)網(wǎng)管平臺(tái)后期上線后可用，需要在每臺(tái)設(shè)備上部署SNMP功能，配置所有網(wǎng)絡(luò)設(shè)備的SNMP消息報(bào)告機(jī)制。其中，向主機(jī)172.16.0.254發(fā)送Trap消息版本采用V2C；讀寫(xiě)的Community為“admin”；只讀的Community為“public”；開(kāi)啟Trap消息通告。（二）網(wǎng)絡(luò)搭建與網(wǎng)絡(luò)冗余備份方案部署1.在全網(wǎng)部署虛擬局域網(wǎng)，完成全網(wǎng)IPv4地址部署。為了減少全網(wǎng)中廣播干擾，需要在全網(wǎng)規(guī)劃和部署VLAN，需要實(shí)施的內(nèi)容如下所示。（1）全網(wǎng)的VLAN規(guī)劃和配置合理，并在Trunk鏈路上不允許不必要VLAN中的數(shù)據(jù)流通過(guò)。（2）為了隔離網(wǎng)絡(luò)終端之間的二層互訪，需要在交換機(jī)S5、S6的Gi0/6-Gi0/20端口上，啟用端口保護(hù)功能。（3）根據(jù)“網(wǎng)絡(luò)設(shè)備名稱表（表2）”、“IPv4地址分配表（表3）”中規(guī)劃要求，在各設(shè)備上完成對(duì)應(yīng)的VLAN、IP地址的配置。2.在局域網(wǎng)中部署環(huán)路規(guī)避方案為避免網(wǎng)絡(luò)接入設(shè)備上出現(xiàn)環(huán)路，影響全網(wǎng)運(yùn)行狀態(tài)。要求在網(wǎng)絡(luò)接入交換機(jī)S5、S6上進(jìn)行防環(huán)處理。具體要求如下所示。（1）在連接PC機(jī)端口上開(kāi)啟Portfast和BPDUguard防護(hù)功能。（2）為防止接入交換機(jī)的下聯(lián)端口出現(xiàn)用戶私接集線器（Hub）設(shè)備引起辦公網(wǎng)中的環(huán)路，需要啟用RLDP協(xié)議進(jìn)行防環(huán)處理。（3）接入交換機(jī)的連接終端的接口上檢測(cè)到環(huán)路后，要求處理的方式為Shutdown-Port，實(shí)現(xiàn)防環(huán)保護(hù)。（4）一旦端口檢測(cè)異常事件并進(jìn)入Err-Disabled狀態(tài)，設(shè)置300秒自動(dòng)恢復(fù)機(jī)制（基于接口部署策略）。3.部署DHCP中繼與服務(wù)安全（1）在交換機(jī)S3、S4上配置DHCP中繼功能，使得網(wǎng)絡(luò)中的終端用戶通過(guò)DHCPRelay方式獲取IP地址。（2）省行的DHCP服務(wù)器搭建于S1交換機(jī)上,一方面為無(wú)線網(wǎng)絡(luò)中的用戶提供地址服務(wù)；同時(shí)為網(wǎng)絡(luò)中的無(wú)線AP設(shè)備提供管理地址（具體參數(shù)見(jiàn)表3：IPv4地址分配表，共3個(gè)網(wǎng)段：192.1.10.0/24，192.1.50.0/24，192.1.60.0/24）。其中，無(wú)線AP的地址租約為永久；無(wú)線網(wǎng)絡(luò)中用戶設(shè)備的租約為0.5天。（3）為了防御局域網(wǎng)中出現(xiàn)偽造DHCP服務(wù)器與ARP欺騙安全事件，需要在S5、S6交換機(jī)上部署DHCP的“Snooping+DAI”功能。其中，DAI安全功能主要針對(duì)VLAN10中用戶設(shè)備啟用ARP防御。（4）為了防止網(wǎng)關(guān)設(shè)備連續(xù)發(fā)送大量、正常報(bào)文，被接入交換機(jī)誤認(rèn)是攻擊事件而被丟棄，導(dǎo)致下聯(lián)網(wǎng)絡(luò)中的用戶設(shè)備無(wú)法獲取網(wǎng)關(guān)設(shè)備上發(fā)出ARP信息，造成無(wú)法上網(wǎng)，要求關(guān)閉S5、S6交換機(jī)上聯(lián)口上“NFPParp-guard”功能。（5）調(diào)整S5、S6交換機(jī)設(shè)備上的“CPU保護(hù)機(jī)制”，其中，調(diào)整ARP帶寬為1500pps。4.部署MSTP及VRRP技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)冗余。在交換機(jī)S3、S4、S5、S6上配置MSTP防止二層環(huán)路。（1）配置MSTP要求來(lái)自VLAN10、VLAN100中的數(shù)據(jù)流經(jīng)過(guò)S3交換機(jī)轉(zhuǎn)發(fā)，一旦S3交換機(jī)失效時(shí)，經(jīng)過(guò)S4交換機(jī)轉(zhuǎn)發(fā)。要求來(lái)自VLAN50、VLAN60中的數(shù)據(jù)流經(jīng)過(guò)S4交換機(jī)轉(zhuǎn)發(fā)，一旦S4交換機(jī)失效時(shí)，經(jīng)過(guò)S3交換機(jī)轉(zhuǎn)發(fā)。其中，所配置的MSTP參數(shù)要求：region-name為test；revision版本為1；實(shí)例1包含VLAN10，VLAN100；實(shí)例2包含VLAN50,VLAN60。（2）配置S3交換機(jī)作為實(shí)例1的主根、實(shí)例2的從根；配置S4交換機(jī)作為實(shí)例2的主根、實(shí)例1的從根；其中，主根交換機(jī)的優(yōu)先級(jí)為4096；從根交換機(jī)的優(yōu)先級(jí)為8192。（3）在交換機(jī)S3、S4連接接入交換機(jī)S5、S6的接口上，啟用“TC-IGNORE”功能，規(guī)避網(wǎng)絡(luò)中的接入設(shè)備出現(xiàn)頻繁的網(wǎng)絡(luò)震蕩。（4）在交換機(jī)S3和S4上配置VRRP，實(shí)現(xiàn)網(wǎng)絡(luò)中的主機(jī)的網(wǎng)關(guān)冗余，所配置的參數(shù)要求如表4所示。其中，在交換機(jī)S3、S4上設(shè)置各VRRP組中的高優(yōu)先級(jí)設(shè)置為150，低優(yōu)先級(jí)設(shè)置為120。（5）為提升網(wǎng)絡(luò)的冗余功能，在交換機(jī)S3與S4之間部署2條互聯(lián)鏈路（Gi0/21、Gi0/22），并采取LACP動(dòng)態(tài)聚合模式配置二層鏈路聚合；其它接口根據(jù)網(wǎng)絡(luò)設(shè)備互聯(lián)需要，進(jìn)行靜態(tài)鏈路聚合配置，生成聚合接口AG2。表4S3和S4的VRRP參數(shù)表VLANVRRP備份組號(hào)（VRID）VRRP虛擬IPVLAN1010192.1.10.254VLAN5050192.1.50.254VLAN6060192.1.60.254VLAN100100192.1.100.2545.部署網(wǎng)絡(luò)設(shè)備虛擬化，保障核心網(wǎng)絡(luò)穩(wěn)健。為增加網(wǎng)絡(luò)的穩(wěn)健性，業(yè)務(wù)區(qū)域中的兩臺(tái)接入交換機(jī)通過(guò)核心網(wǎng)絡(luò)虛擬化技術(shù)，虛擬成一臺(tái)設(shè)備進(jìn)行集中管理，從而實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性。當(dāng)網(wǎng)絡(luò)中的任意一臺(tái)交換機(jī)出現(xiàn)故障時(shí)，都能夠?qū)崿F(xiàn)設(shè)備、鏈路切換，保證業(yè)務(wù)不中斷。（1）部署交換機(jī)S5和S6之間的Te0/27-28端口作為VSL鏈路，使用核心網(wǎng)絡(luò)的虛擬化技術(shù)實(shí)現(xiàn)核心網(wǎng)絡(luò)的虛擬化。其中：設(shè)置S5交換機(jī)為主交換機(jī)；設(shè)置S6交換機(jī)為備用交換機(jī)。（2）規(guī)劃交換機(jī)S5和S6之間的Gi0/22端口作為雙主機(jī)檢測(cè)鏈路，配置基于BFD的雙主機(jī)檢測(cè)。當(dāng)VSL鏈路中的所有物理鏈路都異常斷開(kāi)時(shí)，備用交換機(jī)會(huì)切換成主機(jī)，從而保障網(wǎng)絡(luò)正常運(yùn)營(yíng)。需要配置主交換機(jī)參數(shù)信息為：Domainid：1；Switchid:1;priority150;description:Access-Switch-Virtual-Switch1。需要配置備交換機(jī)設(shè)備參數(shù)信息為：Domainid：1；Switchid:2；priority120；description:Access-Switch-Virtual-Switch2。6.部署全網(wǎng)路由協(xié)議，實(shí)現(xiàn)全網(wǎng)的互聯(lián)互通。在省行的核心區(qū)、業(yè)務(wù)區(qū)、互聯(lián)區(qū)以及各支行/網(wǎng)點(diǎn)之間，使用OSPF協(xié)議組網(wǎng)，實(shí)現(xiàn)全網(wǎng)的互聯(lián)互通，具體要求如下。（1）在省行的核心區(qū)與業(yè)務(wù)區(qū)（S1、S2、S3、S4）中，部署OSPF100；使用單區(qū)域（區(qū)域0）部署。（2）在省行的互聯(lián)區(qū)和各支行/網(wǎng)點(diǎn)（S1、S2、R1、R2、S7）連接上，部署OSPF200；使用多區(qū)域規(guī)劃。其中，省行互聯(lián)區(qū)（S1、S2、R1、R2）屬于AREA0；龍首原支行（R1、R2、S7）屬于AREA1。（3）在省行業(yè)務(wù)區(qū)，要求VLAN100設(shè)備管理地址段不參與OSPF鄰居建立。（4）在省行的業(yè)務(wù)區(qū)，要在交換機(jī)S3、S4的始發(fā)終端網(wǎng)段以及VLAN100設(shè)備管理地址段，均以重發(fā)布直連的方式注入路由。（5）在交換機(jī)S1和S2之間啟用OSPF與BFD聯(lián)動(dòng)，以達(dá)到迅速檢測(cè)對(duì)端中斷，快速實(shí)現(xiàn)備份，提高用戶網(wǎng)絡(luò)體驗(yàn)。（6）優(yōu)化OSPF相關(guān)配置，以盡量加快OSPF收斂。（7）重發(fā)布路由進(jìn)OSPF中使用類型1。此外，使用靜態(tài)路由實(shí)現(xiàn)以下區(qū)域之間的網(wǎng)絡(luò)通信。（8）在AC1和AC2之間通過(guò)靜態(tài)路由，使用管理地址（VLAN100）分別與S3、S4交換機(jī)之間通信。（9）使用靜態(tài)路由實(shí)現(xiàn)省行的外聯(lián)區(qū)之間（EG1、S1、S2）通信。（10）使用靜態(tài)路由第三方公司（EG2、AP3）之間通信。（11）使用靜態(tài)路由Internet區(qū)域（EG1、R3、EG2）之間通信。7.部署部分區(qū)域路由選路，實(shí)現(xiàn)策略路由。考慮到全網(wǎng)中數(shù)據(jù)分流需求以及實(shí)現(xiàn)網(wǎng)絡(luò)的負(fù)載均衡的目的，需要進(jìn)行路由策略部署，具體要求如下所示。（1）龍首原支行的原生產(chǎn)網(wǎng)段（VLAN410）、辦公網(wǎng)段（VLAN460）需要與省行的業(yè)務(wù)區(qū)、生產(chǎn)辦公區(qū)的業(yè)務(wù)互聯(lián)互通，需要在交換機(jī)S7本地以Network發(fā)布明細(xì)路由。因業(yè)務(wù)連通的需要，所有增加的網(wǎng)絡(luò)終端數(shù)據(jù)之間的通信，一并劃入辦公網(wǎng)段進(jìn)行轉(zhuǎn)發(fā)。（2）在S3、S4交換機(jī)中引入路由時(shí)，需要進(jìn)行路由標(biāo)記。其中，生產(chǎn)網(wǎng)段（VLAN10）標(biāo)記為10；辦公網(wǎng)段（VLAN60）標(biāo)記為20。因業(yè)務(wù)連通需要，所有增加的網(wǎng)絡(luò)終端數(shù)據(jù)之間的通信，一并劃入辦公網(wǎng)段進(jìn)行路由標(biāo)記，路由圖定義為SET_TAG。（3）在S1、S2交換機(jī)上，要求通過(guò)OSPF雙進(jìn)程實(shí)施重發(fā)布。其中，在OSPF100進(jìn)程發(fā)布至OSPF200進(jìn)程時(shí)，關(guān)聯(lián)路由圖定義為OSPF100_TO_OSPF200；在OSPF200進(jìn)程發(fā)布至OSPF100進(jìn)程時(shí)，關(guān)聯(lián)路由圖定義為OSPF200_TO_OSPF100。（4）為了防止路由環(huán)路以及次優(yōu)路徑的風(fēng)險(xiǎn)，在S1和S2交換機(jī)上配置FILTER-LIST。其中，把OSPF200進(jìn)程內(nèi)路由過(guò)濾關(guān)聯(lián)路由圖定義為FILTER_OSPF100_Route；OSPF100進(jìn)程內(nèi)關(guān)聯(lián)路由圖定義為FILTER_OSPF200_Route。（5）各路由圖以及連接的各接口中，凡是涉及COST值的調(diào)整，要求其值必須調(diào)整為5或10。（6）通過(guò)部署策略，使得生產(chǎn)網(wǎng)段的業(yè)務(wù)（VLAN410-VLAN10）的主路徑為S7-R1-S1-S3-VSU；辦公網(wǎng)段的業(yè)務(wù)（VLAN460-VLAN60）的主路徑為S7-R2-S2-S4-VSU；并且要求來(lái)回路徑一致。（7）在交換機(jī)S1連接S2、路由器R1連接R2的主鏈路或主設(shè)備發(fā)生故障時(shí)，可以無(wú)縫地切換到備用鏈路或備用設(shè)備上。（8）配置省區(qū)業(yè)務(wù)區(qū)中的辦公數(shù)據(jù)（VLAN60）訪問(wèn)Internet的路徑為S4-S2-EG1；配置各支行/網(wǎng)點(diǎn)中的辦公數(shù)據(jù)（VLAN460）訪問(wèn)Internet的路徑為：S7-R2-S2-EG1；并且要求來(lái)回路徑一致。8.在省行的業(yè)務(wù)區(qū)中部署IPv6業(yè)務(wù)。（1）在省行的業(yè)務(wù)區(qū)中部署IPv6業(yè)務(wù)，實(shí)現(xiàn)機(jī)構(gòu)內(nèi)網(wǎng)中的IPv6終端設(shè)備可自動(dòng)從網(wǎng)關(guān)處獲取IPv6地址。（2）在S3、S4交換機(jī)上配置VRRPforIPv6路由，在網(wǎng)絡(luò)中主機(jī)上實(shí)現(xiàn)IPv6網(wǎng)關(guān)冗余。其中，VRRPforIPv6與MSTP的主備狀態(tài)與IPV4網(wǎng)絡(luò)中配置保持一致。（3）在省行的業(yè)務(wù)區(qū)中部署IPv6業(yè)務(wù)，其中，IPV6地址規(guī)劃如表5所示。表5IPV6地址規(guī)劃表設(shè)備接口IPV6地址VRRP組號(hào)虛擬IP虛擬鏈路本地地址S3VLAN102001:192:10::252/64102001:192:10::254/64FE80::4/64VLAN502001:192:50::252/64502001:192:50::254/64FE80::4/64VLAN602001:192:60::252/64602001:192:60::254/64FE80::4/64VLAN1002001:192:100::252/641002001:192:100::254/64FE80::4/64S4VLAN102001:192:10::253/64102001:192:10::254/64FE80::4/64VLAN502001:192:50::253/64502001:192:50::254/64FE80::4/64VLAN602001:192:60::253/64602001:192:60::254/64FE80::4/64VLAN1002001:192:100::253/641002001:192:100::254/64FE80::4/64（三）移動(dòng)互聯(lián)網(wǎng)搭建與無(wú)線網(wǎng)絡(luò)優(yōu)化1.在省行的業(yè)務(wù)區(qū)中部署無(wú)線網(wǎng)絡(luò)。（1）在省行的業(yè)務(wù)區(qū)中部署無(wú)線網(wǎng)絡(luò)，無(wú)線網(wǎng)絡(luò)架構(gòu)采用FITAP+AC的方案。區(qū)域內(nèi)所有AP（AP1）都關(guān)聯(lián)到雙AC進(jìn)行管理。（2）在省行的業(yè)務(wù)區(qū)中，配置S1交換機(jī)作為無(wú)線網(wǎng)絡(luò)中用戶（VLAN60）和無(wú)線FITAP（VLAN50）的DHCP服務(wù)器。（3）在省行的業(yè)務(wù)區(qū)部署無(wú)線網(wǎng)絡(luò)，設(shè)置內(nèi)網(wǎng)中的SSID為Admin_SHYWQ_XX(XX現(xiàn)場(chǎng)提供)；WLANID為1；AP-GROUP為Admin_SHYWQ。內(nèi)網(wǎng)中的無(wú)線用戶在關(guān)聯(lián)SSID后，可自動(dòng)獲取VLAN60地址。2.在龍首原支行部署無(wú)線網(wǎng)絡(luò)。（1）龍首原支行無(wú)線網(wǎng)絡(luò)架構(gòu)采用FITAP+AC的方案，區(qū)域內(nèi)所有AP（AP2）都關(guān)聯(lián)到雙AC進(jìn)行管理。（2）龍首原支行使用S7交換機(jī)作為無(wú)線網(wǎng)絡(luò)中用戶（VLAN460）和無(wú)線網(wǎng)絡(luò)中的FITAP（VLAN450）設(shè)備的DHCP服務(wù)器。（3）在龍首原支行中配置內(nèi)網(wǎng)的SSID為Admin_LSYZH_XX(XX現(xiàn)場(chǎng)提供)；WLANID為2；AP-GROUP為Admin_LSYZH；內(nèi)網(wǎng)中的無(wú)線用戶在關(guān)聯(lián)到SSID后，可自動(dòng)獲取VLAN460地址。3.在無(wú)線網(wǎng)絡(luò)中部署AC冗余，實(shí)現(xiàn)備份。（1）在無(wú)線網(wǎng)絡(luò)中部署AC冗余，實(shí)現(xiàn)備份。其中，配置AC1為主用；配置AC2為備用。此外，AP與AC1、AC2之間均需要建立隧道，規(guī)劃FitAP與雙AC的VLAN100設(shè)備管理地址建立隧道建立。（2）當(dāng)AP與AC1失去連接時(shí)，能無(wú)縫切換至AC2，并提供連續(xù)服務(wù)。4.第三方公司胖AP部署。第三方公司的AP3使用胖模式進(jìn)行部署，具體要求如下所示。（1）配置AP3設(shè)備，使用透明模式傳輸。其中，管理地址為195.1.100.1/24；網(wǎng)關(guān)地址為195.1.100.254，網(wǎng)關(guān)部署在EG2上。（2）在AP3設(shè)備上，創(chuàng)建SSID(WLAN-ID3)為Admin-Fat_XX(備注：XX現(xiàn)場(chǎng)提供)，保障內(nèi)網(wǎng)中無(wú)線網(wǎng)絡(luò)中的用戶在關(guān)聯(lián)SSID后，可自動(dòng)獲取195.1.60.0/24網(wǎng)段地址（DHCP部署在EG2上）。5.保障無(wú)線網(wǎng)絡(luò)安全。（1）無(wú)線網(wǎng)絡(luò)中的用戶通過(guò)FitAP方式接入無(wú)線網(wǎng)絡(luò)時(shí)，采用WPA2加密方式，加密密碼為XX(現(xiàn)場(chǎng)提供)。（2）無(wú)線網(wǎng)絡(luò)中的用戶通過(guò)FatAP方式接入無(wú)線網(wǎng)絡(luò)時(shí)，采用WEB認(rèn)證方式，認(rèn)證用戶名、密碼為XX(現(xiàn)場(chǎng)提供)。6.實(shí)施無(wú)線網(wǎng)絡(luò)的性能優(yōu)化（1）省行業(yè)務(wù)區(qū)AP（AP1）采用集中轉(zhuǎn)發(fā)模式，各支行/網(wǎng)點(diǎn)AP（AP2）采用本地轉(zhuǎn)發(fā)模式。（2）限制AP的每個(gè)射頻卡最大帶點(diǎn)人數(shù)為18人。（3）調(diào)整2.4G頻段的射頻卡powerlocal功率數(shù)值為20；5.8G頻段的射頻卡powerlocal功率數(shù)值為100。盡量降低同頻干擾帶來(lái)的影響。（4）調(diào)整5.8G射頻卡的無(wú)線頻率帶寬至40MHz，增大數(shù)據(jù)傳輸帶寬。（5）為保證終端走到AP覆蓋的邊緣區(qū)域，終端能夠及時(shí)發(fā)起漫游，調(diào)整Coverage-area-control功率參數(shù)，其中：5.8G的Coverage-area-control功率調(diào)整為17db；2.4G的Coverage-area-control功率調(diào)整為10db。（6）關(guān)閉低速率（11b/g1M、2M、5M，11a6M、9M）應(yīng)用接入。（四）實(shí)施出口安全防護(hù)與遠(yuǎn)程接入1.出口設(shè)備上部署NAT，實(shí)現(xiàn)遠(yuǎn)程接入。出口設(shè)備上部署NAT，實(shí)現(xiàn)遠(yuǎn)程接入，具體配置參數(shù)如下。（1）省行外聯(lián)區(qū)出口網(wǎng)關(guān)EG1上進(jìn)行NAT配置，實(shí)現(xiàn)省行業(yè)務(wù)區(qū)辦公網(wǎng)絡(luò)（VLAN60、VLAN460），通過(guò)NAPT方式將內(nèi)網(wǎng)IP地址轉(zhuǎn)換到互聯(lián)網(wǎng)接口上。其中，NAT地址池的地址為200.1.1.3/29-200.1.1.5/29；生產(chǎn)網(wǎng)絡(luò)（VLAN10,VLAN410）及其他地址均不允許訪問(wèn)互聯(lián)網(wǎng)。（2）在省行外聯(lián)區(qū)的出口網(wǎng)關(guān)EG1上配置以下業(yè)務(wù)，使業(yè)務(wù)區(qū)中的VSU接入交換機(jī)（S5、S6，地址為192.1.100.1）的Telnet服務(wù)可以通過(guò)互聯(lián)網(wǎng)被訪問(wèn)，并將其地址映射至運(yùn)營(yíng)商線路上，映射地址為200.1.1.6，映射端口23333。（3）在第三方公司的出口網(wǎng)關(guān)EG2上，進(jìn)行NAT部署，實(shí)現(xiàn)其無(wú)線網(wǎng)絡(luò)中的用戶能訪問(wèn)Internet。其中，NAT地址池與EG2的Gi0/4接口IP相同。2.在出口設(shè)備上部署WebPortal用戶認(rèn)證，實(shí)現(xiàn)出口安全防護(hù)。（1）在網(wǎng)關(guān)EG1上啟用WebPortal認(rèn)證服務(wù)。創(chuàng)建兩個(gè)認(rèn)證用戶，其用戶名/密碼分別為：user1/user1、user2/user2。（2）在各支行/網(wǎng)點(diǎn)用戶（VLAN460）上，使用WEB認(rèn)證方式訪問(wèn)互聯(lián)網(wǎng)。（3）在省行的業(yè)務(wù)區(qū)中辦公的用戶（VLAN60），不需在EG上進(jìn)行WEB認(rèn)證，即可訪問(wèn)互聯(lián)網(wǎng)。3.在出口設(shè)備上應(yīng)用流量控制。在第三方公司出口網(wǎng)關(guān)EG2上，針對(duì)內(nèi)網(wǎng)訪問(wèn)互聯(lián)網(wǎng)WEB流量，限速每個(gè)IP為1000Kbps；內(nèi)網(wǎng)中WEB總流量不超過(guò)20Mbps。通道名稱定義為WEB。4.在出口設(shè)備上部署用戶行為策略。（1）在第三方公司出口網(wǎng)關(guān)EG2上，實(shí)施基于網(wǎng)站訪問(wèn)、郵件收發(fā)、IM聊天、論壇發(fā)帖、搜索引擎等多應(yīng)用，啟用審計(jì)功能。（2）配置EG2設(shè)備安全防護(hù)，要求從周一到周六的工作時(shí)間09：00—17:00（命名為work）內(nèi)，阻斷并審計(jì)P2P應(yīng)用軟件使用,審計(jì)策略名稱定義為P2P。5.在出口設(shè)備上部署VPN安全。為了實(shí)現(xiàn)陜西招財(cái)銀行與第三方公司之間互訪數(shù)據(jù)的安全性，針對(duì)來(lái)往數(shù)據(jù)使用VPN技術(shù)進(jìn)行安全保障，具體規(guī)劃如下所示。（1）在網(wǎng)絡(luò)安全出口設(shè)備EG1與EG2之間，啟用GREOverIPSecVPN嵌套功能。（2）配置IPSec使用靜態(tài)點(diǎn)對(duì)點(diǎn)模式；esp傳輸模式封裝協(xié)議；isakmp策略定義加密算法采用3des；散列算法采用md5；預(yù)共享密碼為ruijie；DH使用組2。轉(zhuǎn)換集myset定義加密驗(yàn)證方式為esp-3desesp-md5-hmac，感興趣流ACL編號(hào)為103，加密圖定義為mymap。五．無(wú)線網(wǎng)絡(luò)規(guī)劃與實(shí)施某局點(diǎn)銀行最近在天地城新租用了一棟綜合商住兩用樓，用于網(wǎng)點(diǎn)臨時(shí)辦公，對(duì)于部分已經(jīng)有有線信息點(diǎn)的辦公室利舊部署無(wú)線，要求在有線使用的同時(shí)能使用無(wú)線。本次項(xiàng)目因?yàn)橘Y金緊張，經(jīng)充分論證，本次無(wú)線覆蓋項(xiàng)目擬投入17.5萬(wàn)元（網(wǎng)絡(luò)設(shè)備采購(gòu)部分），項(xiàng)目要求辦公區(qū)、辦公室、會(huì)議廳、寢室、展廳均覆蓋（不要求覆蓋茶水間、洗手間）。（一）無(wú)線網(wǎng)絡(luò)業(yè)務(wù)背景及需求介紹1.樓宇相關(guān)信息介紹。（1）建筑使用說(shuō)明。該樓宇為一棟綜合樓，101—106為獨(dú)立辦公室，107—108為小型會(huì)議室，109為大型會(huì)議室，1001—1016為員工寢室，預(yù)計(jì)展廳人流量為60人左右。（2）建筑現(xiàn)場(chǎng)情況介紹。該樓層室內(nèi)無(wú)吊頂，開(kāi)放式辦公區(qū)和走廊為吊頂布置，原有強(qiáng)電布線室內(nèi)外均采用了pvc線槽敷設(shè)，獨(dú)立辦公室布為有線網(wǎng)絡(luò)，客戶希望利用原有網(wǎng)絡(luò)。墻高3米，無(wú)梁。（3）建筑物弱電間情況介紹。該樓宇目前有獨(dú)立的弱電間整層建筑平面布局圖，如圖2所示。圖2平面布局圖2.無(wú)線產(chǎn)品的參數(shù)與價(jià)格介紹。無(wú)線產(chǎn)品及配件價(jià)格表如表6所示。表6無(wú)線產(chǎn)品及配件價(jià)格表產(chǎn)品型號(hào)產(chǎn)品特征傳輸速率（2.4G/最大）推薦/最大帶點(diǎn)數(shù)功率價(jià)格（元）AP330-I雙頻雙流300M/1.167G32/256100mW6000AP220-E(M)-V3.0雙頻雙流300M/600M32/256100mW11000RG-Cab-SMA-10m10米饋線N/AN/AN/A1600RG-Cab-SMA-15m15米饋線N/AN/AN/A2400RG-IOA-2505-S1雙頻單流/單頻單流N/AN/AN/A500AP110-w單頻單流150M12/3260mW2500S2928G-24P24口POE交換機(jī)N/AN/A240W15000WS6008無(wú)線控制器6*1000M32/20040W500003.無(wú)線網(wǎng)絡(luò)系統(tǒng)中集成物料清單。無(wú)線網(wǎng)絡(luò)系統(tǒng)中綜合布線工程材料清單如表7所示。表7綜合布線工程材料清單產(chǎn)品名稱規(guī)格容納網(wǎng)線數(shù)單位Cat5e網(wǎng)絡(luò)配線架24口、1U24個(gè)理線架1U24個(gè)PVC線槽20mm*10mm*2.8m1~2條25mm*12.5mm*2.8m3~4條30mm*16mm*2.8m5~7條39mm*19mm*2.8m8~12條50mm*25mm*2