1、 XX企業園區信息化建設技術方案PAGE 56PAGE XX企業新園區信息化建設技術方案成都思藍網絡科技有限公司2012.3目 錄 TOC o 1-3 h z HYPERLINK l _Toc320540447 前 言 PAGEREF _Toc320540447 h 3 HYPERLINK l _Toc320540448 網絡子系統 PAGEREF _Toc320540448 h 4 HYPERLINK l _Toc320540449 1.1 XX企業新園區建設背景 PAGEREF _Toc320540449 h 4 HYPERLINK l _Toc320540450 1.2 用戶需求分析 P

2、AGEREF _Toc320540450 h 4 HYPERLINK l _Toc320540451 1.3 網絡的分層設計原則 PAGEREF _Toc320540451 h 6 HYPERLINK l _Toc320540452 1.3.1 核心層 Core Layer PAGEREF _Toc320540452 h 6 HYPERLINK l _Toc320540453 1.3.2 分布層 Distribution Layer PAGEREF _Toc320540453 h 6 HYPERLINK l _Toc320540454 1.3.3 接入層 Access Layer PAGERE

3、F _Toc320540454 h 7 HYPERLINK l _Toc320540455 1.4 網絡系統方案設計 PAGEREF _Toc320540455 h 7 HYPERLINK l _Toc320540456 1.4.1 XX企業網絡的設計目標 PAGEREF _Toc320540456 h 7 HYPERLINK l _Toc320540457 1.4.2 網絡建設原則要求 PAGEREF _Toc320540457 h 7 HYPERLINK l _Toc320540458 1.5 園區網IPV6部署和應用設計 PAGEREF _Toc320540458 h 9 HYPERLI

4、NK l _Toc320540459 1.5.1 設計原則 PAGEREF _Toc320540459 h 9 HYPERLINK l _Toc320540460 1.5.2 設計目標 PAGEREF _Toc320540460 h 10 HYPERLINK l _Toc320540461 1.5.3 高級應用服務 PAGEREF _Toc320540461 h 10 HYPERLINK l _Toc320540462 1.6 網絡結構設計 PAGEREF _Toc320540462 h 13 HYPERLINK l _Toc320540463 1.7 園區網絡安全規劃設計 PAGEREF _

5、Toc320540463 h 15 HYPERLINK l _Toc320540464 1.8 園區智能無線網絡規劃設計 PAGEREF _Toc320540464 h 23 HYPERLINK l _Toc320540465 1.8.1 設計原則 PAGEREF _Toc320540465 h 23 HYPERLINK l _Toc320540466 1.8.2 設計目標 PAGEREF _Toc320540466 h 25 HYPERLINK l _Toc320540467 1.8.3 無線網絡部署介紹 PAGEREF _Toc320540467 h 26 HYPERLINK l _Toc

6、320540468 1.8.4 無線網絡建設后的目標 PAGEREF _Toc320540468 h 30 HYPERLINK l _Toc320540469 1.8.5 產品要求 PAGEREF _Toc320540469 h 32前 言目前，全球已掀起一股信息高速公路規劃和建設的高潮，作為其雛形，國際互聯網（Internet）上相連的計算機已近達數千萬臺，全球有數億人在Internet上進行信息交換和各種業務處理。Internet上積累了大量信息資源，這些資源涉及人類面對和從事的各個領域、行業及社會公用服務信息。成為信息時代全球可共享的最大信息基地。由于計算機網絡技術和通信技術的飛速發展，

7、人們對信息的要求越來越強烈，“網絡就是計算機”的說法被全世界普遍接受。各國紛紛宣布建設本國的信息高速公路，全球信息一體化局面已指日可待。在數字化、信息化不斷發展的今天，各行各業都開始組建自己的網絡系統，同國際接軌，希望能與那些同行業的國際公司抗衡。作為XX企業也不甘落后，在新園區建設中向著數字化、信息化、網絡化方面發展，并建立一套完整的網絡系統，為自己服務。 在信息化越來越發達的今天，XX企業利用網絡來統一各子系統進行統一化管理是大趨勢。此次項目中，貴單位基于網絡子系統就包括：網絡設備子系統、周界監控子系統、無線網絡系統等。網絡子系統1.1 XX企業新園區建設背景重慶市引進的最大外資項目世界化

8、工巨頭巴斯夫與市化醫集團合作投資的MDI(二苯基甲烷二異氰酸酯)一體化項目。MDI是生產聚氨酯的重要原材料，被廣泛應用于汽車儀表盤、建筑外墻保溫層及冰箱、運動鞋等多類產品的生產。XX企業一直非常重視信息化建設，網絡中心是XX企業重要的信息運維支撐機構，負責XX企業信息化建設與運行，承擔著XX企業數字化的研究、規劃、建設、運行、維護、用戶服務與培訓等重要任務。在多年的信息化研究與實踐中，XX企業網絡中心全國同行一道推動著這一行業的信息化的發展。目前，XX企業新園區沒有組建網絡，根據貴方要求，需要對園區建筑物部署網絡、語音、網周界監控、無線網絡覆蓋，實現每個點位的網絡接入。實現園區信息化統一管理，

9、資源共享。1.2 用戶需求分析本次信息化建設還需要把XX企業所有上網帳號進行統一管理，因此，在此次網絡建設中必須滿足對三個網絡的可控可管；功能包括：流控、認證等功能。從園區網安全方面考慮，本次信息化建設必須要有安全設備來保證網絡安全。圍繞貴企業各個部門職能、業務范圍及工作內容進行綜合分析，才能真正了解貴單位園區的網絡系統建設要求。園區職能分析根據我們考查了解，貴單位主要工作內容：企業管理基本職能： 1）XX企業信息化業務開展 2）XX企業信息化管理3）XX企業教職工人員業務辦公4）園區安全保障5）園區人員管理隨著計算機多媒體和網絡技術的不斷發展與普及，網絡信息系統的建設，是非常必要及可行。主要

10、表現在：當前網絡信息系統已經發展到了與國內互聯、國際互聯、靜態資源共享、動態信息發布和協作工作的階段，發展企業信息現代化的建設提出了越來越高的要求。隨著各個企業對物信息量依托的不斷增多,使社會、大眾和管理部門對信息計算機管理和信息服務的要求越來越強烈。隨著經濟發展，我們各個企業對信息化的投入不斷加大；計算機技術的飛速發展，使相應產品價格不斷下降；同時人們的認識水平和經濟實力不斷提高。大量計算機網絡設備進入公司和單位。建立起高速智能化、集成化、結構化、擴展性強的計算機網絡系統，建立能滿足企業管理工作需要的軟硬件環境，開發各類信息庫和應用系統，實現網上辦公、網上業務、開展園區日常監管的工作，為企業

11、提供充分的網絡服務。1.3 網絡的分層設計原則從邏輯上，大型網絡可分為核心層、分布層和接入層，每層都有其特點。層次化設計的優點可以總結為如下幾點：可擴展性：因為網絡可模塊化增長而不會遇到問題；簡單性：通過將網絡分成許多小單元，降低了網絡的整體復雜性，使故障排除更容易，能隔離廣播風暴的傳播、防止路由循環等潛在的問題；設計的靈活性：使網絡容易升級到最新的技術，升級任意層次的網絡不會對其他層次造成影響，無需改變整個環境；可管理性：層次結構使單個設備的配置的復雜性大大降低，更易管理。1.3.1 核心層 Core Layer核心層為下兩層提供優化的數據輸運功能，它是一個高速的交換骨干，其作用是盡可能快地

12、交換數據包而不應卷入到具體的數據包的運算中(ACL，過濾等)，否則會降低數據包的交換速度。1.3.2 分布層 Distribution Layer分布層提供基于統一策略的互連性，它是核心層和訪問層的分界點，定義了網絡的邊界，對數據包進行復雜的運算。在樓宇網絡環境中，分布層主要提供如下功能：地址的聚集工作組的接入廣播域/多目傳輸域的定義Inter VLAN路由介質的轉換安全控制1.3.3 接入層 Access Layer接入層的主要功能是為最終用戶提供對網絡訪問的途徑。本層也可以提供進一步的調整，如Access-list Filtering等。在貴方網絡環境中，接入層主要提供如下功能：Share

13、d BandwidthSwitched BandwidthMAC Layer Filtering(possibly)Microsegmentation在廣域網環境中，接入層主要提供通過Frame Relay、ISDN、Leased Line連入遠程節點。1.4 網絡系統方案設計1.4.1 XX企業網絡的設計目標新一代園區網要以實現有線、無線的網絡融合；實現視頻、語音、數據業務的融合；實現基于多平臺、多協議的IP標準化管理融合為建設目標。要以服務為中心，以人（用戶）為本，以提高XX企業核心競爭力；建設智能融合、面向服務的新一代數字園區為目標。更加有效支持XX企業的科研、管理、生產等各項活動，創造

14、和諧的園區環境，促進產品質量、科研水平、管理效率的提高，促進XX企業的改革與發展，促進高水平企業建設。可以實現網絡接入方式的融合、網絡業務的融合、網絡管理方式的融合。從而構建安全、穩定、高效、協調、整合的、信息資源豐富的、集成化的數字園區綜合信息服務平臺。1.4.2 網絡建設原則要求隨著現代計算機應用的高速發展，特別是諸如圖形、語音、視頻等多媒體信息和技術在管理信息系統、科研設計等領域的廣泛應用，為網絡平臺的設計提出了更高的要求。為了更好地滿足用戶的需求，保證系統能正常穩定運行，在較長的時間內不落后，在本網絡系統方案設計中，我們認為應當把握以下幾個原則：1、穩定性只有運行穩定的網絡才是可靠的網

15、絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠，而選擇一個具有運營此類網絡規模經驗的網絡合作廠商則更為重要。要求有物理層、數據鏈路層和網絡層的備份技術。2、高帶寬為了支持數據、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網絡技術，以適應大量數據和多媒體信息的傳輸，既要滿足目前的業務需求，又要充分考慮未來的發展。為此應選用高帶寬的先進技術。3、先進性網絡硬件、軟件平臺的先進性，要注意選擇性能價格比好的先進技術和硬件和軟件組網，保證系統的基礎環境十年不落后。4、標準性和開放性選擇統一性的網絡結構與軟件硬件平臺，有利于系統的建立與開發。制定信息管理的規范

16、，組織有關人員對管理信息系統進行系統分析，制定數據流圖和數據結構，為信息系統的開發奠定基礎。為了實現與各種網絡互訪的要求，要選擇開放的網絡體系結構，既要選擇當前的主流產品，又要具有開放性，以利于今后的擴充。5、可擴展性系統要有可擴展性和可升級性，隨著業務的增長和應用水平的提高，網絡中的數據和信息流將按指數增長，需要網絡有很好的可擴展性，并能隨著技術的發展不斷升級。易擴展不僅僅指設備端口的擴展，還指網絡結構的易擴展性：即只有在網絡結構設計合理的情況下，新的網絡節點才能方便地加入已有網絡；網絡協議的易擴展：無論是選擇第三層網絡路由協議，還是規劃第二層虛擬網的劃分，都應注意其擴展能力。6、容易控制管

17、理因為上網用戶很多，如何管理好他們的通信，做到既保證一定的用戶通信質量，又合理的利用網絡資源，是建好一個網絡所面臨的首要問題。7、經濟性充分利用原有的軟件、硬件資源，減少投資浪費，做到高性能價格比。8、安全性網絡系統應具有良好的安全性，保證數據的安全及網絡使用的安全。由于規劃貴方網絡連接園區內部所有用戶，安全管理十分重要。應支持VLAN的劃分，并能在VLAN之間進行第三層交換時進行有效的安全控制，以保證系統的安全性。9、符合IP發展趨勢的網絡在當前任何一個提供服務的網絡中，對IP的支持服務是最普遍的，而IP技術本身又處在發展變化中，如IpV6，IP QoS，IP Over SONET等等新興的

18、技術不斷出現，貴方網絡必須跟緊IP發展的步伐，也就是必須選擇處于IP發展領導地位的網絡廠商。在后面的網絡技術選型和系統方案中，以上設計原則和思想都將會被貫徹始終。1.5 園區網IPV6部署和應用設計1.5.1 設計原則保證現有IPv4應用的正常應用 現有IPv4網絡中的應用已經支持了大量的用戶，IPv6網絡要對現有IPv4應用提供支持方案，不能對現有的業務造成影響，這種影響包括業務性能的影響、網絡可靠性的影響以及網絡安全性的影響等多方面。 網絡要具有擴展性IPv6技術依然在發展之中，IPv6網絡的建設也不可能一步到位，會是一個逐步建設完善的過程，因此當前的IPv6網絡方案要易于擴展，方便將來的

19、網絡升級。最大限度地保護既有投資在進行IPv6網絡方案設計時，需要結合現有園區網的實際情況，考慮到現有網絡的既有投資，提出很好地保護既有投資的網絡解決方案。要保證網絡的穩定性和可靠性和IPv4網絡設備相比，現有IPv6網絡設備還處于逐步成熟和完善之中，有可能會影響IPv6網絡的穩定性和可靠性，因此推薦的IPv6網絡方案要能夠充分保證網絡的穩定性和可靠性，保證不會對網絡的服務質量有明顯的影響。網絡方案要能夠發揮IPv6的技術優勢 IPv6技術的提出主要是為了解決IP地址空間不足的問題，但也增加了一些其他功能，比如網絡安全性支持能力、網絡組播等。在組網技術方案中應該考慮如何使這些技術優勢得以發揮。

20、 網絡方案設計要考慮周全 在設計網絡方案時，一方面要考慮到IPv4/v6長期共存，另一方面也要考慮到將來網絡全部采用IPv6的可能。因此，網絡方案要注意所選技術能夠支持網絡的平滑過渡，不會形成將來網絡過渡的新障礙。 支持IPv4業務與IPv6業務的互通 網絡方案要實現IPv4網元與IPv6網元的互聯，可以分別支持IPv4業務和IPv6業務，同時要考慮將來能夠支持IPv4業務與IPv6業務的業務層面的互通。要考慮IPv6網絡對用戶認證方式的支持 目前在IPv4網絡中，各企業針對園區網都有各自不同的認證方案，在設計IPv6網絡方案時要充分考慮對認證方案的支持。1.5.2 設計目標網絡實現IPv4網

21、與IPv6網的互聯，可以分別支持IPv4業務和IPv6業務，在企業內可以實現IPV6的基礎應用和高級應用，使XX企業在IPV6的教學科研和應用上保持學術和技術應用的先進性。1.5.3 高級應用服務園區網門戶系統園區網綜合信息門戶系統是面向用戶的大型網絡綜合應用系統。門戶對園區網內的信息和應用系統進行統一的管理和整合，集中控制用戶對信息和應用系統的訪問，為用戶提供統一的訪問入口。同時，門戶會根據用戶的身份提供滿足其需求的特定信息和應用系統，為用戶提供完善的個性化服務。隨著IPv6時代的來臨，各種信息化、網絡化設備的廣泛應用，也充分的使用戶享受到信息整合的個性化應用服務。資源的管理和整合為實現WE

22、B資源的統一訪問，綜合信息門戶需要管理各種WEB資源的訪問地址、訪問方式、訪問權限和所提供的服務等相關信息；為讓園區網用戶可通過門戶訪問這些資源，門戶還需管理用戶信息，并對不同用戶訪問不同資源時所擁有的操作權限進行統一的管理，提供多層次和靈活權限管理策略。同時，門戶提供的不僅是各種資源的集合，還要根據用戶的需求對資源進行整合，包括將獨立的應用系統進行應用層次上的松散集成，以服務的形式提供給用戶使用；將分布的信息進行分類、編目，以索引方式提供給用戶訪問；另外，用戶可以通過各種IPv6終端訪問門戶系統，以進行信息資源的查詢和管理。單點登錄、應用漫游在基于應用的訪問模式下，訪問控制由各資源系統獨立完

23、成。統一訪問入口應用后，需要將安全訪問控制集中在門戶中進行，由門戶統一控制用戶對資源的訪問。因此門戶具有單點登錄、應用漫游等特征。個性化的訪問環境門戶系統改變了原有應用系統的服務模式。原有應用系統實現的是面向功能的服務模式，每個應用系統提供的功能只能滿足特定的需求。門戶提供的是面向人的服務模式。在這種服務模式下，門戶可以提供個性化訪問環境。個性化的訪問環境包括個性化的界面和個性化的資源整合。視頻直播應用利用IPv6組播協議開展高清視頻和電視節目的傳送，使每一個用戶可以享受到高清視頻服務，更充分的享受到下一代互聯網帶來的利益。通過C/S或B/S模式的公共視頻直播系統，可以實現用戶自主進行視頻直播

24、，不要需專業人員的維護，只需要用戶通過瀏覽器或客戶端登錄專用的公共視頻直播服務器，通過門戶系統進行身份確認和授權，用戶可以很方便的利用該系統，將自己現場活動和各種文檔在網上進行直播。視頻源的獲取視頻源的獲取需要通過兩個手段來獲取，首先是直播視頻的獲取。通過模擬或數字的視頻攝像設備，獲取實時的視頻數據，并將視頻數據通過直播機的視頻采集卡進行采集，通過直播機進行視頻的實時處理和壓縮，并將壓縮后數據通過視頻直播服務器發送到IPv6網絡中，供用戶實時在線觀看。第二種視頻數據的獲取是非實時的視頻文件，視頻提供者通過在自己的終端設備上制作完成視頻資料，并發送到視頻服務器上，然后視頻服務器將需要的視頻數據進

25、行壓縮轉換，并通過視頻直播服務器將視頻數據數據發送到IPv6網絡中，供用戶實時在線觀看。視頻數據的分發為了滿足未來對視頻直播服務的需要，視頻服務可采用基于P2P的模式進行視頻數據的分發和傳送，為用戶提供更優質的視頻服務。通過基于P2P的視頻分發模式，極大地降低了對視頻服務器性能和網絡的消耗。在園區網內部，所有的視頻接收端也是視頻的服務端，所有用戶對等的享有由視頻服務器分發的視頻數據。園區網中的所有參與視頻接收的用戶同時也將成為視頻數據的提供者，用戶在接收視頻數據的同時，也在利用空閑的資源為其他用戶提供視頻數據，充分的保證了高質量視頻數據實時的分發到每一個需要的用戶端。極大的提高了視頻直播的服務

26、質量。另外，采取IPv6組播方式分發也可以保證網絡帶寬不會被重復的數據所浪費。對于有多個園區互聯的XX企業，對視頻直播服務提出了更高的要求，需要能夠為多園區的視頻直播用戶提供高質量的視頻直播服務。為了滿足多園區視頻直播服務的需要，采用應用層組播技術（ALM）及Internet間接訪問基礎結構技術等方式，不僅為XX企業內部，同時可以為企業外的合作伙伴、外部用戶提供基于P2P的視頻直播服務。通過應用層組播技術的引入，由用戶端系統來實現組播轉發的功能，不僅有效地減低了服務器的性能消耗，同時可以有效地降低服務器負載和帶寬的使用。同時，通過建立可控管的IPv6組播服務系統實現視頻直播管理和控制，能夠對需

27、要接收視頻數據的用戶進行有效的管理，并在未來提供更高質量的服務的同時，可以獲得良好的收益回報。高清視頻會議應用高清視頻會議系統高清視頻會議系統與高清電視不同，高清電視是單向廣播的，而高清視頻會議則是雙向、互動、實時的傳輸過程。高清電視廣播僅需要保持固定的信號質量，對延時并不敏感，而視頻會議由于需要雙向交互，而過多的延時和抖動會增加語音重疊、視音頻不同步、交互等待時間過長等問題的出現。利用高速的下一代互聯網實現高清視頻會議，是IPv6園區網的一個亮點應用。因此在IPv6園區網的QoS控制中，應對視頻會議類型的數據流定義了最高的優先級別，以保證視頻會議信號的實時傳輸。目前高清視頻會議系統普遍采用硬

28、件方式予以實現。在各個重要接入點，可部署具有硬件壓縮/解壓功能的編解碼器，能夠有效地實現基于IPv6環境下高清多點視頻會議的召開，為XX企業科研團隊的及時溝通和大型網絡會議的召開提供有力的保障。超高清遠程視頻傳輸系統目前有些企業已和國外大企業積極合作，開展基于國際專線的超級高清視頻信號傳輸。現在該傳輸研究項目正在積極開展之中，屆時將實現超高清全景播放。 IPv6網格技術IPv6網格是繼傳統因特網、Web之后，信息革命的第三大浪潮，可稱之為第三代因特網。如果說傳統因特網實現了計算機硬件的連通，Web實現了網頁的連通，網格則是試圖實現互聯網上所有資源的全面連通，即把整個因特網整合成一臺巨大的超級計

29、算機，實現計算資源、存儲資源、數據資源、信息資源、知識資源、專家資源、IPv6設備資源等資源的全面共享。IPv6網格因此被看成是未來的互聯網技術。IPv6網格研究的一個共同點是如何消除信息孤島和知識孤島，實現包括信息、知識在內的各種資源的智能共享。1.6 網絡結構設計考慮到貴企業此次實施為新園區的網絡建造，根據貴方要求，我們設計貴園區網絡核心交換機放置在核心機房。此外，園區還有N個功能區，各個功能區各設置一個匯聚層交換機，用于匯聚本區域內的所有接入層交換機，再通過光纖連接到核心機房。結合園區信息中心要求及相關規范技術文件，計算機網絡系統網絡建設成為主干最高可達10000Mbps，1000Mbp

30、s速度到用戶桌面的高速網絡。網絡拓撲圖園區網絡系統設計：1、核心設備高背板轉發、擁有高帶寬、高背板、提供高可靠性。2、各區域和核心之間均采用萬兆光纜連接。3、核心設備部署于中心機房、接入設備部署于各樓層弱電井。4、每個區域內至少都部署一臺匯聚交換機用于本區域內點位匯聚。5、同一棟樓內弱電井間均采用光纖連接。6、周界安防監控采用IP監控設備，數據傳輸采取就近引線。（從就近的多媒體信息箱引接數據線）1.7 園區網絡安全規劃設計企業園區網的安全建設可以用短板效應來說明，一個小小的安全隱患，就會影響到整個園區網的安全建設的全局。所以園區網的安全建設需要全面考慮、系統規劃。園區網安全現狀原因分析網絡結構

31、單一和設備防護技術欠缺網絡目前為單核心結構，相應作為骨干區域的設備級別的保護技術較少。如CPU的硬件保護，設備防DOS攻擊等功能。無法進行有效的身份管理園區網缺少用戶身份認證機制，外來用戶、非法用戶隨意接入；缺少可控的身份集中認證系統，對用戶進行管理難度大；用戶賬號存在被盜用的風險，安全審計無法有效進行。無法保證用戶終端合法性Windows系統補丁未更新，系統存在致命漏洞；沒有按規定安裝殺毒軟件及防火墻，成為病毒和木馬的溫床；隨意安裝違禁軟件，不規范使用網絡；上述問題造成了病毒和攻擊在園區網內的泛濫，影響正常應用的開展。內網安全無法有效控制70以上威脅網絡安全的攻擊行為都是來自園區網內用戶；內

32、網防御能力弱，病毒、木馬泛濫；“合法用戶”的“非法行為”危害巨大；常規手段難以及時發現并阻斷攻擊行為；發生的安全事件不能審計到人，無法進行有效處理。安全網絡設計原則根據防范安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素，參照SSE-CMM(系統安全工程能力成熟模型)和ISO17799(信息安全管理標準)等國際標準，綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面，網絡安全防范體系在整體設計過程中應遵循以下9項原則： 網絡信息安全的木桶原則 網絡信息系統是一個復雜的計算機系統，它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性，尤其是多用戶

33、網絡系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的“最易滲透原則”，必然在系統中最薄弱的地方進行攻擊。因此，充分、全面、完整地對系統的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段，根本目的是提高整個系統的安全最低點的安全性能。 網絡信息安全的整體性原則 要求在網絡發生被攻擊、破壞事件的情況下，必須盡可能地快速恢復網絡網絡中心的服務，減少損失。因此，信息安全系統應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統存在的各種安全威脅采取的相應的防護措施，避免

34、非法攻擊的進行。安全檢測機制是檢測系統的運行情況，及時發現和制止對系統進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下，進行應急處理和盡量、及時地恢復信息，減少供給的破壞程度。 安全性評價與平衡原則 對任何網絡，絕對安全難以達到，也不一定是必要的，所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系，做到安全性與可用性相容，做到組織上可執行。評價信息是否安全，沒有絕對的評判標準和衡量指標，只能決定于系統的用戶需求和具體的應用環境，具體取決于系統的規模和范圍，系統的性質和信息的重要程度。 標準化與一致性原則 系統是一個龐大的系統工程，其安全體

35、系的設計必須遵循一系列的標準，這樣才能確保各個分系統的一致性，使整個系統安全地互聯互通、信息共享。 技術與行政管理相結合原則 安全體系是一個復雜的系統工程，涉及人、技術、操作等要素，單靠技術或單靠管理都不可能實現。因此，必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。 統籌規劃，分步實施原則 由于政策規定、服務需求的不明朗，環境、條件、時間的變化，攻擊手段的進步，安全防護不可能一步到位，可在一個比較全面的安全規劃下，根據網絡的實際需要，先建立基本的安全體系，保證基本的、必須的安全性。隨著今后隨著網絡規模的擴大及應用的增加，網絡應用和復雜程度的變化，網絡脆弱性也

36、會不斷增加，調整或增強安全防護力度，保證整個網絡最根本的安全需求。 等級性原則 等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權限分級，對網絡安全程度分級（安全子網和安全區域），對系統實現結構的分級（應用層、網絡層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網絡中不同層次的各種實際需求。 動態發展原則 要根據網絡安全的變化不斷調整安全措施，適應新的網絡環境，滿足新的網絡安全需求。 易操作性原則 首先，安全措施需要人為去完成，如果措施過于復雜，對人的要求過高，本身就降低了安全性。其次，措施的采用

37、不能影響系統的正常運行。安全網絡設計目標為了維護網絡安全和用戶自身利益的考慮，在全網部署安全防護體系。達到內網盡量的干凈，從而杜絕現網頻繁出現的ARP欺騙和病毒泛濫情況。從而確保企業內網絡的安全、穩定、可靠。確保網絡設備安全網絡設備和相應系統是網絡架構的基礎，一旦網絡設備崩潰和出現軟故障，則網絡造成不可用等高危事故，因此網絡設備的安全保護是安全網絡的基礎。確保網絡數據流安全安全系統在園區網內建立起網絡通信防護體系，對網絡數據流進行實時監控，偵測并隔離危險網絡行為。建立全網立體防御ARP欺騙功能，從可能遭受ARP欺騙攻擊的三個層面出發全面防治ARP欺騙帶來的危害。確保用戶身份安全建立成熟可靠的網

38、絡身份管理體系，確保入網用戶身份的合法有效，將非法用戶隔離在內網大門之外。，對每一個試圖對接入內網的用戶，都要經過安全系統的身份合法性驗證，包括用戶的賬號、密碼、IP等關鍵信息。只有當用戶提供了合法有效的身份信息之后，才能允許正常接入并使用網絡。確保用戶終端安全通過建立用戶終端安全防護體系，確保入網用戶主機終端的安全。安全系統能夠通過和多家殺毒軟件的聯動，強制入網用戶必須正常安裝、運行指定的殺毒軟件。安全系統能夠與內網的WSUS服務器進行聯動，引導用戶使用WSUS的服務進行Windows補丁自動更新，幫助內網的用戶主機及時更新操作系統補丁，避免因為操作系統漏洞帶來的安全隱患威脅。保護園區網內用

39、戶終端的安全。確保遠程VPN用戶訪問網絡的安全企業外辦公和差旅用戶需要訪問企業內資源時，認證技術和VPN技術則需要良好的配合，保證VPN用戶的訪問網絡行為能夠監控和內網的安全。確保web 服務的安全企業的WEB 應用相當豐富，對于對外宣傳的WEB 網站則需要進行精心防護，防止篡改網頁并造成不良的公示效應。安全網絡方案設計依據國家信息安全等級保護體系的要求，全面規劃園區網的安全建設。使之可以全面衡量園區網安全建設的情況，保證了園區網的安全建設有體系、有步驟的完成。國家信息等級保護體系主要包含了：技術要求和管理要求。技術要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個方面提出；管理要求從

40、安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理幾個方面提出，技術要求和管理要求是確保信息系統安全不可分割的兩個部分。本方案結合企業內認證系統和業界企業采用和推薦的較為成熟先進的安全理念進行設計。本方案包含網絡設備和架構安全、主機安全、應用安全、網絡安全和數據安全。網絡基礎平臺安全網絡設備和架構的安全是園區網安全建設的基礎，為保證網絡設備和架構的安全，網絡提供以下技術保證企業內網絡設備的健壯和可靠：CPU及引擎保護技術CPP技術隨著交換機應用的逐漸普及，以及網絡攻擊的不斷增多，越來越需要為數據交換機提供一種保護機制，對發往交換機CPU的數據流，進行流分類和優先級分級處理，以

41、及CPU的帶寬限速，以確保在任何情況下CPU都不會出現負載過高的狀況，這種保護機制就是CPU Protect Policy，簡稱CPP。CPP功能早期只是作為某些單一功能出現的，如ARP check，IP sys guard，這一種CPP主要是反攻擊的。隨著市場應用的逐漸增多，對于CPU保護提出了更高的要求，第二種cpp應用需要對trap到CPU的管理報文進行分類處理，第一類是作為維護基礎協議的BPDU、GVRP和VRRP，第二類是作為維護路由協議的PIM，OSPF，IGMP，RIP報文，第三類是作為需要CPU處理的IP數據報文，第四類是堆疊中的管理報文，通過對這些報文的分級處理，確定優先關系

42、，確保在CPU高負載的情況下仍能保證基本的網絡拓撲穩定。CPP的第三種應用是對各種報文的帶寬限制，這種方式主要根據具體的網絡應用環境確定各類報文的帶寬限制，以及CPU可以處理的最高總帶寬限制。網絡CPP技術保證了網絡的路由穩定可靠，最大程度上避免網絡受到攻擊的的拓撲震蕩。從而為用戶提供一個穩定的網絡環境。NFPP-基礎網絡保護策略(Network Foundation Protection Policy)目前業界已開發了一些用于防攻擊的功能模塊(比如：ACL、QOS、URPF、SysGuard 等等)，通過這些功能模塊自行建立攻擊檢測和保護的機制，并提供對外的管理接口。但實現得不夠系統，基本是

43、針對一個問題解決一個問題，在體系上沒有統一的框架。從現有的數據幀實現的流程來看，缺乏從流的主干上考慮實施防攻擊保護。為了在這個日益重視安全性的環境中應對日益復雜的攻擊，銳捷網絡開發出一套完整的網絡基礎保護體系，稱之為基礎網絡保護策略(Network Foundation Protection Policy)，簡稱NFPP。NFPP技術能夠對設備本身實施保護，通過對報文流進行限制、隔離，以保證設備及網絡可靠、安全、有效地運行。針對交換機設備而言，數據的路由和交換過程主要由硬件來完成，而CPU主要對控制流、管理流和部分交換芯片無法處理的數據流進行處理，并同時提供交互界面供用戶進行本地管理配置。大量

44、的報文流送向CPU，占用了整個送CPU的報文通路的帶寬，導致正常的控制流和管理流無法達到CPU，從而帶來協議振蕩無法管理，進而影響到數據面的轉發，如果是核心設備將導致整個網絡無法正常運行。NFPP接受報文的端口或者發送到CPU通過對送往CPU的報文進行攻擊檢測，的場景進行安全檢測，采取相應保護措施，從而達到對管理面、數據面和控制面的保護作用。NFPP技術特點有：防止多種攻擊NFPP能夠防止目前網絡上常見的多種攻擊手段，包括ARP攻擊、ICMP攻擊、IP掃描攻擊及DHCP耗竭攻擊等，形成一套完整的保護體系，為用戶提供一個安全可靠的網絡平臺。配置靈活方便NFPP的用戶界面CLI命令設計簡單方便，這

45、樣使用戶無需對相關專業知識有很深認識的情況下，也能完成配置。NFPP所實現的防攻擊技術如ARP防攻擊、ICMP防攻擊都集中在NFPP配置模式下進行配置，且對各種類型防攻擊的配置基本相仿，使得用戶只須熟悉其中一種配置就可以了。同時，用戶可以根據實際需要選擇相應功能，即可以選擇打開ARP防攻擊功能而關閉ICMP防攻擊功能。整網設備聯動結合銳捷網絡的IPFIX流量監控技術，可以基于端口進行流量檢測，將流量發送到上層網絡管理中心。一旦有異常流量，安全管理平臺就立即協助網絡管理者發現網絡中的非法數據源，并由網絡設備聯動整網下發NFPP安全策略，最終杜絕攻擊保證全網安全。支持特權用戶NFPP支持特權用戶，

46、即管理者能夠設置一些可信任用戶為特權用戶。設置為特權用戶后，就不會對該用戶進行監控，即該用戶不會被限速，更不會被隔離。需要注意的是，特權用戶是針對某種攻擊而言，即若該用戶為ARP特權用戶，僅表示該用戶的ARP報文不受監控。因此NFPP涵蓋了設備硬件級別的各種安全措施；作為園區網安全建設的第一道防護線，可以隔絕大多數的安全隱患。同時，給網絡帶來設備硬件級別的安全，而不會影響數據的轉發。 遠程接入安全針對企業外需要訪問企業內資源的差旅人員，本方案設計了使用專用千兆VPN網關進行提供園區辦公人員的企業外訪問。該VPN網關為出口區域的安全防火墻，該設備工作在透明模式也可以作為VPN網關使用。VPN技術

47、上可以選擇SSL VPN、IPSEC VPN方式，同時VPN網關認證和SAM 進行聯動，使VPN用戶認證和訪問網絡的信息都可以實時記錄。建議該類型帳戶企業內認證賬號和VPN賬號相同，便于管理。認證方式，該類型用戶在企業內可以使用802.1x，企業外選擇無客戶端的SSL VPN的WEB 登陸認證方式。從而使得VPN用戶和企業內用戶賬號信息進行了統一，更加便于管理。用戶訪問企業內資源通過VPN隧道，也最大程度上保障了用戶信息和數據信息的安全。 入網主機安全園區網內，主機的安全問題最為常見，也是大部分安全問題源頭，主機安全涉及到統一身份認證和主機安全防護體系兩大部分。通過園區網身份認證和主機防護來實

48、現園區網的主機安全目標；園區網統一身份認證系統：實現了辦公網、生產網統一認證；有線、無線的統一認證；企業內、企業外的VPN統一認證；同時針對各種接入方式的用戶認證，實現了多種信息元素的校驗，例如有線1X認證中的用戶IP、MAC、NAS IP等；無線1X接入的AP MAC等信息。用戶只有符合這些預先設定的認證校驗信息，才可以通過認證；確保了用戶的主機身份合法，安全接入；園區網統主機安全防護系統：園區網主機防護體系可以實現多種用戶主機防護的內容，時刻保證用戶的主機的完整性、健康性。主機接入網絡前就要進行健康檢查，只有符合規定的健康的主機才可以接入網絡。例如：Windows補丁的檢查和修復；防毒軟件

49、的檢測和修復等等；園區網主機防護體系全面的保障了主機的完整性、安全性； ARP 防御體系用戶在完成了身份認證和主機端點防護之后，就可以接入網絡，但用戶在網絡中的行為依然受到安全系統全局安全網絡系統的管理和規范。通過后臺服務器、網關設備、接入設備與客戶端的多重聯動而實現的ARP欺騙三重立體防御功能。可通過后臺服務器平臺作為可信的第三方，來向網關設備和客戶端提供可信的ARP信息，避免了由ARP協議本身的漏洞帶來的ARP欺騙現象的發生。該防御體系通過在用戶的主機、接入交換機、三層網關，三個部分，綁定的策略有SMP服務器進行對客戶端進行綁定網關地址，接入交換機上為自動綁定用戶IP和ARP表項。自動進行

50、ARP可信任的列表綁定實現了ARP病毒的全面防御，徹底地解決了ARP病毒泛濫的問題。 業務數據安全數據，已經成為企業信息化建設中最寶貴的資源，其重要性已經越來越得到重視。園區網的安全建設中，數據安全是一個不可忽視的方面。數據的遺失或損壞對于XX企業而言，其后果不可想象。 園區網數據容災方案可以采用業界推崇和先進的基于SAN網絡層容災技術架構，采用虛擬化引擎和FC光纖陣列共同實現，實現應用級容災，來保證數據安全。數據安全方案支持零時間故障自動恢復，體現高性能、高穩定性、高擴展性，特別為SAM系統的財務和賬務數據提供可靠的數據安全保障。完善的日志審計體系日志體系包含了網絡流量分析系統和出口日志審計

51、系統；實現內網了安全違法行為進行審查和記錄，做到安全違法事件發生后，有據可查，可以追溯到終端用戶。通過網絡流量分析系統，有助于網絡優化、網絡規劃、異常流量檢測。可以及時發現網絡中的異常情況，發現安全事件的前兆，為網絡中心提供決策的數據。通過出口日志審計系統，可以詳細記錄五元組流日志、NAT轉換日志、URL日志、用戶身份：姓名、帳號，上網位置、上網主機（MAC）、上網時間，當發生安全時間的時候，可以準確定位追溯到人。同時能夠清晰提供 NAT轉換日志，滿足公安部82令的行政要求：詳細的NAT和訪問記錄信息。提供詳細的用戶訪問外網的URL日志園區網安全日志審計方案實現了網絡流量的透明化；全面地實現了

52、基于用戶身份的安全行為記錄、審計；做到了事前認證、事中記錄、事后審計。1.8 園區智能無線網絡規劃設計1.8.1 設計原則標準的成熟性必須遵循標準的統一性，所采用的各項技術必須與國際主流標準協議相一致，并能夠保證與多個主流廠商的互操作性。遵循了標準協議，才能滿足良好的互操作性和兼容協調工作。解決方案技術成熟性無線網絡技術已經發展多年，期間誕生了各種各樣的解決方案技術，但是對于XX企業的網絡現狀和規模而言，必須采用國內眾多企業已經在使用的成熟解決方案技術，才能將網絡使用和維護風險降到最低。完善的安全措施對于XX企業在選擇組網規劃時，就要仔細地考慮任何有可能造成網絡安全危機的隱患。因此，對于XX企

53、業而言，無線網絡的安全必須放在重要位置，可以從以下幾個方面考慮：用戶接入認證的控制XX企業園區網建成后的無線網絡必須完全融合進該認證系統中，針對不同的用戶開設不同的認證權限。基于用戶的訪問策略不同的用戶可能有不同的上網行為，包括HTTP、FTP、語音等，針對不同的應用，應加以配置不同的行為控制權限，既滿足針對不同用戶的網絡互訪的安全性，又可以針對特殊需求（如安全級別較高的領導等）賦予單獨的隔離訪問，不會受到非法用戶的入侵。受保護的無線數據傳輸無線網絡安全事件往往會發生在數據傳輸階段，因此，針對建成的無線網絡，必須能夠同時滿足合法的無線用戶與無線接入點的數據傳輸的安全性，以及無線接入點與上行網絡

54、的數據傳輸的安全性。對射頻環境的監控無線網絡依靠空中的無線頻譜載頻工作，正常、合理的無線信道，可以支撐無線設備穩定的工作，滿足數據的正常發送。但是非法用戶與非法無線設備的存在，將會對整個網絡的穩定運行構成極大的威脅。因此，對于規劃中的無線網絡，必須具備無線射頻監控能力，能針對非法用戶的掃頻行為和嘗試連接進行定位，繼而第一時間告警并將其剔除；對于非法無線設備也需要進行快速發現與告警。網絡可擴展性無線網絡作為一項新興網絡技術，其普及速度越來越快，相應也帶來了其解決方案技術的更新速度加快。網絡系統面向未來的可擴充性和可升級性顯得非常重要。因此，針對本次的無線網絡設計原則中，要求無線網絡能夠實現對所有

55、的無線接入點功能的配置和管理、無線入侵監控、無線終端追蹤定位、無線電波傳輸分析的工作模式。同時整個系統可以根據用戶的需要進行規模上的擴展，擴展后所有功能和管理的模式保持不便。即便是未來的802.11n無線技術的成熟之后，也只要增加相應的接入點產品即可，無需改變整個無線網絡架構。功能豐富的集中管理XX企業設計的無線網絡的無線接入點規模較大，且均分布于各個樓棟的天花板、墻壁和戶外樓頂等位置，平時很難直接觀察設備的工作狀態，因此，必須采用集中管理的方式來實現對全網設備的集中控制和管理。因此，在網絡管理方面，規劃中的無線網絡必須具有全網設備工作狀態參數的集中監控、射頻智能調控、射頻環境的實時監控、網絡

56、鏈路狀況的報警、無線用戶及設備的定位、豐富的報表輸出等實用功能。可冗余的高可靠性由于目前企業內已經擁有了較多的支持無線上網的計算機，可以預料到該無線網絡很快就會成為該企業的重要網絡接入方式，因此，該網絡的穩定性與可靠性必須經受住大規模長時間使用的考驗，對于網絡的冗余性設計也在考慮之列。本次規劃所使用的設備，必須支持較好的冗余和故障熱備能力，以提高網絡的可靠性。靈活的部署方式針對XX企業的無線網絡部署，實現任何地方的靈活部署。1.8.2 設計目標對于XX企業整體園區重點區域無線網絡的規劃設計，應著眼于高效、穩定、安全的總體設計目標，同時易于使用、用戶界面統一、標準；易于安裝、維護和管理，網絡運行

57、質量高；開放性好，便于移植、擴展和推廣；要在幾年內保持解決方案與技術上的領先，為用戶提供一個靈活的移動教學和辦公的平臺, 對用戶和無線網絡進行有效的管理，構建了一個穩定的、可拓展的無線園區網環境，以此作為園區有線網絡重要輔助網絡和補充。1.8.3 無線網絡部署介紹根據園區樓宇分布狀況、重要空曠地區的分布狀況，在詳細的地形勘測、信道檢驗、信息點分布等了解之后，提出了室內與室外的無線網絡的具體部署規劃、重點是園區室外覆蓋，達到全園區的無線覆蓋的目標。XX企業園區無線網絡總體建設需求根據XX企業的網絡建設發展，無線網絡建設將完成行政辦公區的會議室、學術報告廳、演播大廳、食堂等重點區域的室內無線覆蓋，

58、以及完成園區大部分室外區域的覆蓋。以下規劃中所展示的部署圖為邏輯圖，并不標注處具體的部署位置，在經過對各個建筑物內部的部署點勘測之后，已經可以肯定均具備良好的部署條件，無需擔心。具體的部署方式和位置，將會在該工程實施前提交具體的部署方案書中詳細描述。無線園區建設需要信號覆蓋的區域：室內區域（需要設計圖或者地勘）演播大廳（X個座位）會議室（X個座位）XX企業領導辦公區會議室（X座位）食堂（X座位）教學樓（根據預算選擇性部署）室外區域（需要設計圖或者地勘）室外區域的覆蓋為本次無線網絡規劃與設計的重點，原則上是全園區的覆蓋，考慮到部分區域正在施工，或者為待建區域，所以也存在重點覆蓋區域，如下：辦公區

59、全園重點覆蓋運動場完全覆蓋行政樓重點區域完全覆蓋宿舍區域重點區域完全覆蓋下面將根據室內室外區域分別進行無線網絡的規劃的介紹。由于無線網絡的規劃存在特殊性，下面分別從信號選擇、漫游技術、認證技術、園區無線覆蓋方案等方向進行規劃的介紹。全園區覆蓋的信號標準選擇無線局域網采用的技術支持應為國際標準或業界標準，不使用某個廠商的專用技術和協議，以保證網絡設備的互通性，有利于網絡的投資保護。因此企業無線網絡信號將選擇IEEE802.11a/b/g/n等信號標準，在建設網絡的時候，充分考慮到網絡的可擴展性，以及兼容性。全園區的漫游規劃全園區的無線漫游包括了二層漫游、三層漫游、以及跨無線控制器的漫游。利用先進

60、的智能無線交換網絡架構，由于所有用戶信息并不保存在本地的無線接入點中，而是全部集中在無線控制器上，因此無論是單臺無線控制器還是多臺無線控制器的集群體，包括連接狀態、認證狀態、IP地址分配信息、加密驗證狀態等用戶信息總是實時存在的，即便是無線用戶跨網段移動，還是會延續原有的IP地址、認證與加密方式，不存在重新獲取的必要，因此也不會中斷連接。實現這一過程，并不需要有線網絡的參與，對有線網絡和無線用戶而言都是透明的。通過無線網絡全園區的無縫漫游的實現，將使得企業的無線網絡變得更加健壯，同時為將來的語音等應用的開展奠定基礎。身份認證規劃對于企業這樣的大規模部署無線網絡的環境，最合適的入網認證方式就是基