网络建设方案

　 一、网络建设概述 随着我国互联网络的高速发展，互联网络对人们的影响，不仅体现 在人们的工作与学习方面，而且越来越多地体现于人们生活的各个方 面。互联网络将改变人类整个生活的理念已经深入人心 1、建设背景：

　随着经济的蓬勃发展，为宾馆酒店业的发展提供了良好的机遇，丰 厚的利润和巨大的市场也吸引了众多的竞争者，酒店行业靠什么赢得竞 争优势？ 酒店在做好现有业务种类，不断提高服务水平的同时，如何 把握客户的需求，用最经济的办法获得最大的客户满意度，提高企业自 身的档次和知名度，同时拓展新的业务增长点，成为最根本的竞争所在， 这使得酒店行业对信息化的需求非常迫切。有调查表明，酒店的信息服 务水平在很大程度上影响着客人的入住愿望。无法提供高速互联网接入 服务的酒店，对于客户来说，无疑是一场商业灾难。

　2、上网需求渐增 统计资料显示，酒店客户中45％的人有上网需求，并且其中有30％ 的客人提出了高速上网的要求。值得注意的是，对上网速度有强烈需求 的客户，对价格又不是很敏感，这些客人是各个酒店利润的主要来源， 也是各大酒店竭力争取的商住客户或者常住客户。

　因此，对于同等星级的酒店，在管理水平和房间设施趋于相近的情 况下，提供高质量的互联网接入服务是酒店吸引更多商务客人入住的有 效手段。采用宽带接入可以显著提高星级酒店的信息化服务水平，酒店

　 入住客人可以轻松自如地实现诸如网上冲浪、IP电话及可视电话、电视 会议、电子商务、VOD点播（互动点播电视节目和电影）、虚拟专用网 络（VPN）等功能。

　向客户提供高速上网，提高酒店的服务档次，是为了寻求酒店经济 的增长点，提高酒店的竞争力。通过传播酒店的声音，发布酒店的信息， 开放酒店面向客户的信息，提供查询酒店信息的渠道，建立网络信访机 制，可加深酒店与客人的感情。通过广泛开展对酒店客人提供公益性的 信息服务，例如新闻报道、天气预报、旅游指南、航班信息、求医问药 和列车时刻查询等，可建设酒店的信息化环境。酒店可以在宽带网上运 行酒店管理系统及酒店网站，向全社会推介酒店的业务。可实现酒店内 部资源共享，提高资源的利用率，为酒店节省开支。可为酒店提供电子 商务，扩大酒店的业务范围、促进酒店的管理模式的转变、提高酒店的 工作效率。可为酒店向自动化办公及无纸办公的发展提供条件。

　二、设计原则 1、网络需求分析 石林大酒店上网系统项目涉及到该酒店的3层楼和两个会议室，共计 68个信息点，酒店为每个客房的接入带宽为100M。酒店在二层设置1个 管理间，所有的客房的信息点都进到酒店二层楼管理间，进行集中管理。

　2、建设目标、 石林大酒店以因特网接入的总体目标：实现酒店内部每个房间上网

　 的需求，提供高质量的互联网接入服务吸引更多商务客人入住。提高星 级酒店的信息化服务水平，酒店入住客人可以轻松自如地实现诸如网上 冲浪综合运用计算机网络技术向客户提供高速上网，提高酒店的服务档 次，酒店经济的增长，和酒店的竞争力。

　3、设计原则 设计主要要考虑到先进性、可靠性、开放性、经济性、安全性和可 管理性。设计要立足先进技术，采用最新科技的电网通技术，以改变 酒店布线难的问题。使整个网络在国内保持领先的水平，并具有长足 的发展能力，以适应未来网络技术的发展。所以，网络系统的可靠性 就显得尤为重要。在网络设计中遵循以下技术原则：

　标准化 系统采用的信息分类编码、网络通信协议和数据接口等技术标 准，将严格按照国家有关标准或行业标准规范。

　实用性 满足石林大酒店业务为需要，充分利用现有资源，避免不计成本盲目 追求最新技术。利用最适合酒店使用的电网通设备，采用必要的、先 进的网络安全手段与管理技术，以节省投资。网络系统的开放性要好， 支持国际上通用的网络协议、路由协议等开放的协议标准，保证与其 它网络（内网、外网）的平滑连接和扩展。应用功能交互能力要强， 用户界面要简洁、友好，方便用户的操作使用。网络结构复杂，设备 多样，同时针对企业的业务特点，连接的方式和种类很多。因此在网 络设计的初始对所有可能接入的业务做出底层的数据流向分析，而且 要考虑如何用成熟的技术来满足具体业务的应用特点，因此需要网络

　 设备支持“标准化”的网络协议，QOS，Traffic 管理和多种类型的组 网方式以及各种标准的接口类型。

　安全性和保密性 系统网络充分考虑网络的故障容错纠错功能，建立安全保障体系，采 用先进的软硬件等技术手段，实现网络的传输安全、数据安全接口， 确保网络的安全性、保密性。为了保护关键性数据的安全可靠，网络 提供了多种方式和层次的访问控制（包括标准访问控制列表和扩展访 问控制列表）。网络设备的安全是保护网络数 据的基础，防火墙产品具备自身的安全保护（入侵检测，认证，防火 墙、灵活有力的数据包过滤等功能），为通信系统提供高质量的安全保 障。应提供足够的措施防止受到外部用户（包括外用户和内用户）和 黑客的非法访问、攻击和破坏。同时，要保证在采取安全措施后，不 影响各个部门应用系统的正常运行(包括语音/视频的应用)； 开放性和可扩充性 技术上要立足长远发展，坚持选用开放性系统。开放的网络可以让用 户自由地选择不同厂家的产品，不受原有厂家的限制。最大程度地保 护用户的利益。要求网络的设计一定要符合国际标准。随着网络用户 应用规模的不断扩大，要求网络能方便地扩充容量，支持更多的用户 和应用。随着通信技术的不断发展，网络能平滑地过渡到新的技术和 设备，保护用户现有投资。由于内部管理系统和对外业务的不断发展， 网络系统必然随之不断扩大。因此，目前的网络设计必须为今后的扩 充留有足够的余地，这样才能最好地保护投资。系统具有较强的扩充

　 能力，以满足未来的发展需求。

　可维护性 网络接入部分具有较高的模块化程度，可满足不同业务流程的需要， 易于维护和升级。要保证网络能正常稳定运行，要求网络维护人员可 以方便地对网络设备进行远程控制和配置；并且网络设备要能够进行 热插拔，支持冗余、方便进行日常维护。良好的组织和管理对于酒店 网网络的正常运转和高效使用有很大帮助。网络应该能够提供方便， 灵活，有力的管理系统，让使用者可以有效地控制和管理整个网络。

　可对网络实行集中检测、分权管理，并能统一分配带宽资源。网络必 须面向应用，全面支持QoS 服务质量管理。拥有先进的网络管理平台， 通过网管工作站对整个网络提供实时端口级的管理，拓扑管理，VLAN 的配置和管理。具有对设备、断口等的管理、流量统计分析等。随着 网络规模的扩大和系统复杂程度的增加，网络的管理、监控和维护， 以及网络故障的诊断和排除变得越来越复杂。为了使网络系统易于管 理和维护，方案将提供先进而完善的网络管理系统。这样，既方便网 络管理员的工作，减轻了劳动强度，也提高了网络系统的管理程度。

　高性能，高可靠性 网络的设计方案不但要保证理论上可行，更重要的是实际上可用。

　充分考虑到应用系统的具体情况，最好地满足需求。迅速地处理通信数 据，需要网络设备支持高速通信链路，提供高数据吞吐能力。

　当今世界，通信技术和计算机技术的发展日新月异。方案应适应新 技术发展的潮流，既兼顾了技术上的成熟性，同时也保证了系统的先进

　 性。所选设备无论在硬件设备还是软件功能上，都在网络界处在领先地 位。

　网络及设备采用分布式、全线速无阻塞结构设计，确保网络及设 备的高吞吐能力，保证数据、音频、图像、视频等多媒体信息的高质 量传输。具备对多媒体信息的快速查询、实时存取、多路并发的能力， 能满足教学中各个环节对多媒体教学的需要。硬件网络产品的选用需 具 有 很 高 的 可 靠 性 ， 较 高 的 MTBF （ 平 均 无 故 障 时 间 MeanTimeBetweenFailures）值；全对称各处理器的硬件体系结构，能 够做到任意一个处理器和网络接口模块出现故障都不会影响其他模 块，所有的功能部件(电源、系统总线、处理器模块、网络接口模块等) 均可以热插拔和冗余热备份。

　除硬件的容错外，网络设备还应具备软件故障隔离和软件的热备 份和热启动等，这样才能保证网络运行的万无一失。

　为了防止局部的故障引起整个信息系统的瘫痪，要避免网络出现 单点失效。在骨干通信信道上提供了备份链路，提供冗余路由。在主 要通信设备上提供了冗余配置，保证不会由于局部模块的故障影响整 个设备的运行。

　为了使网络可靠地运行，本方案选用了高品质、高性能价格比的 产品，把故障率降到最低。同时，我们采用了系统容错技术，当网络 系统内某一点出现故障时，整个系统仍然能够继续运行而不会造成停 机，从而把损失降到最小。

　实时性 保证数据传输的实时性，应符合行业数据传输的标准、规定。要及时， 准确的传递

　 经济性 建设系统性价比要高。设备选型要本着经济合理的原则：够用为主、 适当超前，以最大限度地节约投资。还要保护先前已有的投资 易操作 即插即用的USB电猫设备，使操作简单直观、灵活、易于学习掌握。

　三、方案设计思路 石林大酒店网络结构上将按照层次化的原则来进行设计建设，整个网络 采用星形联结，网络层次为两层结构，即：核心层和接入层。根据当前 和将来网络发展和流行趋势，以及网络优化改造的要求，整个网络全部 采用千兆为主干，百兆交换到桌面的原则实施。

　1、网络拓扑图如下：

　 有线无线互为补充，网络环境有效延伸 在酒店是网络建设中，D-Link将有线和无线的应用特点与酒店的各类环 境进行灵活匹配，从而将以太网和无线技术的优势充分发挥，使酒店的 网络环境得以有效延伸，成功实现了酒店所要求范围内的网络覆盖和接 入。计算机网络系统的设计与综合布线的设计相结合，实现千兆网络为 主干，百兆到房间或桌面，使新建的网络系统能够满足今后用户的升级 与扩展需求。

　2、技术实施 **、IP地址分配 动态地址分配：在ER 5200上面开启DHCP分配功能。

　如下图：

　**、防止ARP地址欺骗 ER5200通过定时发送免费ARP，更新网络主机上被攻击篡改了的网关 MAC地址，保证主机与网关之间的通信。

　ER5200通过授权ARP，只容许静态ARP和DHCP分配的ARP表相中的IP 地址通过，从而防止PC机IP与MAC的欺骗。

　**、IDS防范

　 为 了防止客房网攻击，通常会使用路由器+防火墙的组网。

　ER5200上内置了防攻击的功能，可以省掉防火墙了 **、报文源认证 **、设置异常流量防护

　网络中的主机会由于出现中毒或网卡异常等原因，向Internet 发 送大量的异常报文，阻塞网络，大量消耗设备的资源。启用本功能后， 设备会对各个主机的流量进行检查，发现有异常流量时会进行指定的处 理，以保证设备受到此类异常流量攻击仍能正常工作 **、设置IP流量限制

　某些应用（比如：P2P下载等）在给用户带来方便的同时，同时，也 占用了大量的网络带宽。一个网络的总带宽是有限的，如果这些应用过 度占用网络带宽，必将会影响其他用户正常使用网络。

　为了保证局域网内所有用户都能正常使用网络资源，您可以通过IP流 量限制功能对局域网内指定主机的流量进行限制。

　** 、设置网络连接限数

　 网内的主机遭受NAT攻击时，主机的网络连接数可能会超过几万个， 从而会严重影响业务的正常运行或出现网络掉线现象。此时，您可对指 定主机的最大网络连接数进行限制，保证网络资源的有效利用 四、组网设备介绍 1.路由器（H3C ER5200）

　产品概述：ER5200是H3C公司推出的一款高性能千兆下行路由器，它 主要定位于以太网/光纤/ADSL接入的SM B市场和政府、企业机构、网吧 等网络环境，如需要高速Internet带宽的网吧、企业、学校和酒店等。

　ER5200采用专业的64位双核网络处理器，主频高达500M Hz，并且支 持丰富的软件特性，如IP<->M A C 地址绑定，ARP防攻击，流量限速， 双W A N负载均衡，策略路由，源地址路由等功能。它是H3C E R系列路 由器中的中高端产品，大型网吧用户和大型企业用户的理想选择。

　图1 H3C ER5200企业级路由器

　 产品特点：

　双WAN口负载均衡（仅ER3200、ER3260、ER5200支持）

　负载均衡可以让用户根据线路实际带宽分配网络流量，达到充分利用带 宽的目的。

　策略路由 实现按照用户制定的策略选择路由，如出接口的选择等。

　高性能防火墙 内置高性能防火墙，通过设置出站和入站通信策略来快速地实现访问控 制， 防攻击 支持对来至因特网和内网的常见攻击进行防护。同时，内置内网异常流 量防护模块，对局域网内各台主机的流量进行检查，并根据您所选择的 防护等级（支持高、中、低三种）进行相应的处理，确保网络在遭受此 类异常攻击时仍能正常工作。

　ARP双重防护 通过静态ARP绑定功能，固化了网关的ARP表项；另外，对于DHCP分配的 IP地址，则采用DHCP授 权ARP技术，自动绑定分配的IP地 址/MAC地址信 息，从而可以有效地防止ARP欺骗引起的内网通讯中断问题；同时，提

　 供毫秒级的免费ARP定时发送机制，可以有效地避免局域网内主机中毒 后引发的ARP攻击。

　VLAN 支持多局域网功能，您可以方便的划分局域网为多个网段，降低广播域 和ARP病毒的影响。针对每个局域网可以配置单独的DHCP Server和防火 墙规则。

　业务控制 QQ/MSN等即时通讯软件的大量普及，可能会引起员工办公效率低下，无 法集中精力。路由器独有的应用控制功能，可以方便地限制内网用户对 QQ/MSN等应用的使用；同时还支持对大智慧/分析家/同花顺/广发至强/ 光大证券/国元证券等金融软件的应用控制功能。另外，您还可以通过 对特权用户组的设置保证关键用户的使用不受影响。

　IPSec VPN 通过VPN安全连接，最多支持10路IPSec连接到办公网络。

　网络流量监控 提供流量实时监控和排序功能，同时提供多种安全日志，包括内/外网 攻击实时日志、地址绑定日志、流量告警日志和会话日志，为网络管理 员实时监控网络运行状态和安全状态提供了更快捷的窗口。

　网络流量限速 通过基于IP的网络流量限速功能，可以有效地控制指定用户的上/下行 流量，限制了P2P软件对网络带宽的过度占用。同时，提供弹性带宽功 能，在网络空闲时可以智能地提升用户的限制带宽，既充分地提升了网

　 络带宽的利用率，又保证了网络繁忙时带宽的可用性。

　产品规格：

　项目 概述 内存 FLASH 软件特性 主备模式, 智能负载均衡 手动负载均衡(电信走电信，联通走联通) 路由转发模式 PPPoE ，DHCP 客户端，DHCP服务器，NAPT， NTP DDNS(www.3322.org)

　 出站通信策略(源接口/IP/MAC/用 户/目的 IP/协 议/端 口/时间段) 入站通信策略(源接口/IP/MAC/用 户/目的 IP/协 议/端 口/时间段) ARP防攻击/免 费ARP，状态数据包检查，防 止WAN口 的Ping，防止TCP syn扫描，防止 Stealth FIN扫描，防止TCP Xmas Tree扫描， 防止TCP Null扫描，防止UDP扫描功能，防 止Land 攻击功能，防止Smurf攻击功能，防 止WinNuke攻击功能。防止Ping of Death 攻击，防止SYN Flood攻击功能，防止UDP Flood攻击功能，防止ICMP Flood攻击功能， 防止IP Spoofing功能，防止碎片包攻击， 防止TearDrop攻击，防止Fraggle攻击功能 网络安全 IP<->MAC地址绑定(静 态ARP) ，URL过 滤(黑 白名单)，MAC地址过滤，QQ/MSN访问控制， 金融软件控制：大智慧/分析家/同花顺/广 发至强/光大证券/国元证券 访问控制 流量统计(基 于IP/端口的流量统计),网络 流量限速(基 于IP，上下行流量分别限 速),NAT表项限制,应用通道限制(绿色通道 /限制通道) QoS

　 基于物理端口的流量统计,基于IP的流量统 计，支持自动排序功能,基于IP的NAT链接数 统计 静态路由，策略路由(基于源IP/目 的IP/协 议/端 口/出接口/时间段) ALG，端口触发，UPnP，虚拟服务器，静态 NAT(一对一NAT)，DMZ 主机，VPN透 传(PPTP、 L2TP、IPSec) 基于Web的用户管理接口(远程管理/本地管 理)，HTTPS远程管理，命令行CLI，通过HTTP 升级系统软件 Ping / Tracert，设备自检，故障信息一键 导出 2.核心交换机(H3C S5024P) 产品概述：

　H3C S5024P以太网交换机是H3C公司自主开发的支持 Web管理的 二层线速以太网交换产品，是为要求具备高性能且易于安装的网络环境 而设计的智能型交换机。S5024P提供24个千兆以太网端口、4个千兆 SFP端口（与后4个千兆以太网端口复用）以及一个Console端口。该交 换机可以通过console口、telnet以 及web方式登录进行配置，支持VLAN 划分、端口双向镜像、端口+M A C 地址绑定和端口聚合等功能。

　 图1 H3C S5024P产品外观示意图 产品特点：

　符合IEEE802.3、IEEE802.3u、IEEE802.3ab/z和IEEE802.3x标 准 支持端口流量控制，符合IEEE 802.3x 提供24个10/100/1000M自适应以太网端口，支持端口自动翻转 （Auto MDI/MDIX）

　、4个1000M SFP端口（与最后4个1000M电口 复用）及1个Console口 最多支持255个符合IEEE 802.1q标准的VLAN，VLAN ID 1－4094 可配；最多支持24个基于端口的VLAN 端口汇聚：支持整机最多4组，每组最多24个端口 支持基于端口的带宽控制，最小粒度为25Mbps 支持IEEE 802.1p优先级、IP优先级和DSCP优先级，支持SP队列 调度，支持每端口2个优先级队列； 支持广播风暴抑制 支持端口镜像功能 支持端口绑定 支持端口收发报文统计 支持MAC地址老化时间设置

　 提供命令行接口管理和Web管理 支持交换机系统软件的升级 内置通用电源，1U钢壳，19英寸标准机架结构，可上机架。

　产品规格：

　项目 概述 标准 24个10/100/1000BASE-T自协商的以太网端口 1个Console端口 固定端口 可选端口 4个1000Base-SX/LX SFP光口

　 连接器类型：RJ-45 固定端口 属性 连接器类型：LC 支持1000Mbit/s传输速率 全双工 双绞线：采用5类双绞线，传输距离100m 光纤 多模：50/125µm多模光纤，配有LC插头，传输距 离550m 单模短距：9/125µm单模光纤，配有LC插头，传输 距离10km 网线类型 单模中距：9/125µm单模光纤，配有LC插头，传输 距离40km 单模长距：9/125µm单模光纤，配有LC插头，传输 距离70km 性能 背板带宽 48G

　 交换模式 存储转发模式 支持地址自动学习、自动老化（老化时间为5分钟）； MAC地址 最多支持MAC（Media Access Control）地址：8K； 支持手工配置静态MAC：64项 表 软件 最多支持255个符合IEEE 802.1q标准的VLAN，VLAN ID在1-4094范围内可配 VLAN 最多支持24个基于端口的VLAN 支持802.1p优先级、IP优先级和DSCP优先级 队列数：每端口2个 优先级队 列（QoS）

　端口汇聚 支持整机最多4个汇聚组，每组最多24个端口 端口镜像 支持基于端口的双向镜像 端口带宽 最小粒度为25Mbps 控制 广播风暴 所有端口上支持基于带宽百分比的广播风暴抑制 抑制

　 支持通过Telnet登录进行配置 维护 3.接入交换机(H3C S1526) H3C S1526交换机是H3C公司自主开发的二层线速以太网交换产品，是 为要求具备高性能且易于安装的网络环境而设计的智能型交换机。

　S1526提供了24个10/100 Mbps端口，2个千兆铜缆/SFP（mini GBIC）组 合端口用于灵活的千兆铜缆或光纤骨干连接，用户可根据传送距离的不 同要求灵活的选择1000BASE-LX、1000BASE-SX、1000BASE-T等多种接口 类型。该款交换机支持Vlan划分、端口镜像、端口聚合和QoS等功能， 可以通过WEB界面进行方便地配置。

　H3C S1526 产品规格

　 100BASE-TX 快速以太网；IEEE802.3ab 1000BASE-T

　 ** 10BASE-T以太网；IEEE802.3u 千兆以太网；IEEE802.3z 千兆以太网（光纤）； ANSI/IEEE 802.3 NWay自动协商；IEEE802.3x流 量控制 24个10/100Base-TX自适应以太网端口；2个千兆 光电复用端口；1个Console接口 固定端口 连接器类型：RJ-45；支持10/100/1000Mbit/s传 输速率；支持半双工、全双工、自协商工作模式； 支持MDI/MDI-X自适应 固定端口属性 10Base-T：3/4/5类双绞线，支持最大传输距离 100m；100Base-TX：5类双绞线，支持最大传输距 离100m；1000Base-T：5类双绞线，支持最大传输 距离100m 网线类型 1000Base-LX-SFP：9/125µm单模光纤，传输距离 10km；1000BASE-ZX-LR-SFP：9/125µm单模光纤， 传输距离40km；1000BASE-ZX-VR-SFP：9/125µm 单模光纤，传输距离70km；1000BASE-SX-SFP：

　50/125µm多模光纤，传输距离550m 可选模块

　存储转发模式

　 背板带宽 转发能力 交换模式 ** ** 支持地址自动学习、自动老化（老化时间为5分 钟）；最多支持MAC（Medium Access Control）

　地址：8K 软件 基于端口VLAN，支持VLAN最大数目:26 VLAN 支持128个802.1Q的VLAN，VLAN ID 1-4094可配 优先级队列 标准:802.1p；队列数:4个 （QoS）

　最多可设置3组端口聚合；2个10/100Mbps端口干 路（每个干路2到4个端口）；1个千兆端口干路（2 个千兆端口）

　端口聚合 端口镜像 端口带宽控制 VCT N:1 最小粒度为64Kbps 支持线路诊断功能

　配置和管理 支持配置文件导入/导出 五． 网络安全 酒店网络的安全威胁主要来源于两大块，一块是来自于网内，一块 来自于网外。来源于网内的威胁主要是病毒攻击和黑客行为攻击。

　** 威胁网络安全因素分析 计算机网络安全受到的威胁包括：

　1.“黑客”的攻击； 2. 计算机病毒； 3. 拒绝服务攻击（Denial of Service Attack）。

　安全威胁的类型：

　1、非授权访问。指对网络设备及信息资源进行非正常使用或越权 使用等。如操作员安全配置不当造成的安全漏洞，用户安全意识不强， 用户口令选择不慎，用户将自己的账号随意转借他人或与别人共享。

　2、冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合 法用户的使用权限，以达到占用合法用户资源的目的。

　3、破坏数据的完整性。指使用非法手段，删除、修改、重发某些 重要信息，以干扰用户的正常使用。

　4、干扰系统正常运行，破坏网络系统的可用性。指改变系统的正 常运行方法，减慢系统的响应时间等手段。这会使合法用户不能正常访 问网络资源，使有严格响应时间要求的服务不能及时得到响应。

　5、病毒与恶意攻击。指通过网络传播病毒或恶意Java、active X等， 其破坏性非常高，而且用户很难防范。

　6、软件的漏洞和“后门”。软件不可能没有安全漏洞和设计缺陷， 这些漏洞和缺陷最易受到黑客的利用。另外，软件的“后门”都是软件 编程人员为了方便而设置的，一般不为外人所知，可是一旦“后门”被 发现，网络信息将没有什么安全可言。如 Windows 的安全漏洞便有很多。

　7、电磁辐射。电磁辐射对网络信息安全有两方面影响。一方面， 电磁辐射能够破坏网络中的数据和软件，这种辐射的来源主要是网络周 围电子电气设备产生的电磁辐射和试图破坏数据传输而预谋的干扰辐 射源。另一方面，电磁泄漏可以导致信息泄露。

　** 网络安全防范措施 在不改变原有网络结构的基础上实现多种信息安全，保障校园内部 网络安全，我们选购了一套网络安全防范设备。

　1 瑞星杀毒软件网络版 1. 超强病毒查杀 2. 智能主动防御 3. 增强型全网漏洞管理

　 4. 强大的网络管理能力是网络安全的基础部署、控制、执行、升 级、报告和日志、二次开发。

　6. 一体化智能服务体系 瑞星全功能 NP 防火墙是一款整合多种安全防护功能的智能网 络安全防火墙，它是瑞星公司针对中小企业级用户定制的一款高端 防火墙，型号为：

　RFW-SME。

　瑞星全功能 NP 防火墙整合了多种安全防护功能， 是建构中小型 企业网络的最佳选择。

　RFW-SME 拥有通用防火墙功能、网络地址转 换（NAT）、主动式入侵检测（IDS）、虚拟专网（VPN）、带宽管理、 内容过滤、以及策略管理等功能。通过架设瑞星全功能 NP 防火墙， 可以保护用户的网络免于黑客的攻击，同时也帮助用户利用因特网 的资源建构网络安全机制及虚拟专网服务，还提供了不同等级的网 络带宽管理，让一些特殊的应用服务可以确保使用带宽。

　3 瑞星入侵检测系统 作为一种防火墙的合理补充，入侵检测技术能够帮助系统对付网络 攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击 识别和响应），提高了信息安全基础结构的完整性。瑞星RIDS-100 入侵 检测系统能实时捕获内外网之间传输的所有数据，利用内置的攻击特征

　库，使用模式匹配和智能分析的方法，检测网络上发生的入侵行为和异 常现象，并在数据库中记录有关事件，另外RIDS-100入侵检测系统可 以与防火墙联动，自动配置防火墙策略，配合防火墙系统使用，可以全 面保障网络的安全，组成完整的网络安全解决方案。

　为了加强对引擎进行访问的用户的管理，RIDS-100 系统设计了一套 完善的用户管理机制，每个管理用户配有一把电子钥匙（串口或USB 接 口），内装有该用户的密钥和加密算法。用户在对系统进行管理时必须 插入自己的钥匙并输入正确的口令。

　检测引擎的接入对被保护网络是透明的，它对被保护网络的任何流 量和请求均不做反应，不影响被保护网络的性能。

　** 网络管理 网络管理就是指监督、组织和控制网络通信服务以及信息处理所必 需的各种活动的总称。

　** 网络管理的内容 (1）网络故障管理； (2) 网络配置管理； (3) 网络性能管理； (4) 网络计费管理； (5) 网络安全管理。

　** 网络管理的手段 在网络管理方面，为了便于、网络管理人员的管理及维护，我们选 购 Quidview 网络管理软件。Quidview 网络管理软件基于灵活的组件化 结构，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组 件，真正实现“按需建构”。

　 Quidview 网络管理软件采用组件化结构设计，通过安装不同的业务 组件实现了设备管理、VPN 监视与部署、软件升级管理、配置文件管理、 告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网 管平台集成，实现从设备级到网络级全方位的网络管理。

　1. 网络集中监视 Quidview 网络管理软件提供统一拓扑发现功能，实现全网监控，可 以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的 方式对网络参数进行配置修改，保证网络以最优性能正常运行。

　2. 故障管理 故障管理主要功能是对全网设备的告警信息和运行信息进行实时 监控，查询和统计设备的告警信息。

　3. 性能监控 Quidview 网管系统提供丰富的性能管理功能，同时以直观的方式显 示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据， 并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网 管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络 提供依据。

　3. 服务器监视管理 服务器是企业 IP 架构中的重要组成部分，通过Quidview，可实现 服务器与设备的统一管理。

　4. 设备配置文件管理 当网络规模较大时，网络管理员的配置文件管理工作将十分繁重， 如果没有好的配置文件维护工具，网络管理员就只能手动备份配置文 件。这样就给网络管理员管理、维护网络带来一定的困难。

　 Quidview网络配置中心支持对设备配置文件的集中管理，包括配置 文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线 化管理，可以对配置文件的变化进行比较跟踪。

　6. 设备软件升级管理 Quidview提供完善的设备软件备份升级控制机制。使用 Quidview， 管理员可以方便地查询设备上运行的软件版本，并利用升级分析功能来 确定设备运行软件是否需要升级。当升级软件版本时，可以利用 Quidview集中备份设备运行软件，然后进行批量升级。升级之后，可以 使用 Quidview进行升级结果验证，确保升级操作万无一失。

　7.集群管理 针对大量二层交换机设备的应用环境，Quidview网络管理软件提供 集群管理功能，通过一个指定公网IP 的设备（称作命令交换机）对网 络进行管理。

　8. 堆叠管理 Quidview网络管理软件通过堆叠管理，可以集中管理较大量的低端 设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管 理维护。

　9. 故障定位与地址反查 针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定 位检测工具——路径跟踪和端口环回测试；当用户报告网络端口使用异 常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位 端口故障。

　10. RMON管理 RMON管理根据RFC1757定义的标准RMON-MIB及华为3Com自定义告

　 警扩展 MIB 对主机设备进行远程监视管理。

　** 网络安全策略配置 ** 安全接入和配置 安全接入和配置是指在物理 (控制台)或逻辑(telnet)端口接入网 络基础设施设备前必须通过认证和授权限制，从而为网络基础设施提供 安全性。限制远程访问的安全设置方法如下表19 安全接入和配置方法 访问方式 Console 控制接 口的访问 保证网络设备安全的方法 备注 建 议 超 时 限 制 设成 5 分钟 设置密码和超时限制 配置 Radius 来记录 logon/logout 时间和操 作活动；配置至少一个本地账户作应急之用 telnet 访问 SSH 访问 WEB 管理访问 SNMP 访问 取消 Web 管理功能 常规的 SNMP 访问是用 ACL 限制从特定 IP 地 为增加安全 ,建 址来进行 SNMP 访问；记录非授权的SNMP 访 议 更 改 缺 省 的

　问并禁止非授权的SNMP 企图和攻击 SNMP Commutiy 子串 通过设置不同的账号的访问权限，提高安全 性 ** 拒绝服务的防止 网络设备拒绝服务攻击的防止主要是防止出现TCP SYN泛滥攻击、 Smurf 攻击等；网络设备的防TCP SYN的方法主要是配置网络设备TCP SYN 临界值，若多于这个临界值，则丢弃多余的TCP SYN 数据包；防 Smurf 攻击主要是配置 网络设备不转发 ICM P echo 请求 (directed broadcast)和设置 IC MP 包临界值，避免成为一个Smurf 攻击的转发者、 受害者。

　** 访问控制 1 允许从内网访问internet，端口全开放。

　2 允许从公网到 DMZ（非军事）区的访问请求：WEB 服务器只开放 80 端口，mail 服务器只开放25 和 110 端口。

　3 禁止从公网到内部区的访问请求，端口全关闭。

　4 允许从内网访问DMZ（非军事）区，端口全开放 5 允许从 DMZ（非军事）区访问internet，端口全开放 6 禁止从 DMZ（非军事）区访问内网，端口全关闭。

　** 电源系统

　 六． 网络存储设计 为保证网络系统的安全运转及电源发生故障时重要数据的储存,须 配置具有高可靠性的 U PS 电源。为此 ,在网络中心配置了一套山特 C3KVA/2100 W的 UPS 电源。

　1、 在网络中将SAN和NAS融合 作为一种主流技术，SAN具有传统存储方案无以比拟的优势，但从现状 来看传统的基于文件访问服务器的存储方案仍然占据一定地位，两种方 案将会在很长的一段时间内并存，新的&州方案可以考虑到与NAS存储系 统的互操作性与融合。SAN存储网络系统是以块级的方式操作，而NAS网 络存储系统是以文件(File)级的方式表达。这意味着NAS系统对于文件 级的服务有着更高效和快速的性能。而应用数据块的数据库应用和大数 据块的I／o操作则以SAN为优先。随着校园网络中数据量的增加，服务 器的数据存储和操作越来越频繁，直接影响整个网络的性能，并成为使 用的瓶颈。SAN和NAS有着不同的存储结构和特点。SAN能够实现高速数 据存储，适合做数据库服务器存储以及一些对读取数据要求高的应用； NAS着重于文件共享功能，完成多台服务器文件系统级的共享，适合做 文件服务器。在校园网络中存在着不同的数据需求，因此，根据校园网 络中传输数据的特点，将SAN和NAS融合应用于校园网络，是提高系统性 能的有效途经。在NAS与SAN融合的过程中，在融合的方案中“既有NAS， 又有SAN”，我校在现有的存储系统中增加了NAS功能作为文件服务器， 使整个存储部署更加灵活。

　 2、 分级存储 数据分级存储是指数据客体存放在不同级别的存储设备(磁盘、磁盘阵 列、存储系统等)中的存储方式。现在高校的数据中心越来越复杂，数 据保 护是其关键。但是并非所有的数据都具有同样的价值和要求同样的存储 性能。用分级存储的方式构建存储体系可以在很大程度上降低存储成 本，为学校节约资金。我校根据数据的重要性和利用率高低将数据存储 在不同类型的设备上。这些设备根据其性能和成本划分为不同的级别， 这些分级设备可以包括本地硬盘、本地阵列、DAS磁盘阵列，IP SAN存 储等。经常被读、写访问的关键应用数据，如Oracle数据库文件、邮件 服务器、网上教学。计费系统，重要的视频点播等，存放于IP SAN存储 系统中；而一些本身数据量大，读访问量也大但是不是很关键的数据就 存储到DAS磁盘阵列，比如影视视频资料；而其他那些数据量不是很大， 读数据要求不是很高的数据放在磁盘阵列上，比如WWW服务器的数据。

　由上图可以看出，我校所使用的分级存储方式。既充分利用了存储设备 的性能。又科学合理有效地组织了数据存储。

　七．设备报价清单 名称 单位 套 单价 小计 金浪（面板+地盒）

　68

　金浪超五类模块 志盟2号网线 2M豪华机柜 金浪110网络配线架 （24口）

　个 箱 个 68 12 1 金浪超五类水晶头 理线器 包 3 信息点施工费 管材 S5024P 总计