《X地铁总公司大楼网络工程设计方案.doc》由会员分享,可在线阅读,更多相关《X地铁总公司大楼网络工程设计方案.doc(38页珍藏版)》请在三一办公上搜索。
1、XX地铁总公司网络工程设计方案目录一、项目概述3二、需求分析32.1.网络现状分析32.2.网络需求分析4三、总体设计方案63.1. 系统设计原则63.1.1 高可靠性63.1.2 高安全性63.1.3 先进性63.1.4 易管理、易维护73.1.5 可扩展性73.2系统设计概述73.2.1网络体系结构和逻辑结构设计73.2.2网络拓扑结构73.2.3网络管理系统的确定73.2.4连接Internet7四、系统方案84.1主干网设计方案84.1.1基本网络结构设计84.1.1.1基本网络物理结构84.1.1.3系统的特点94.1.2.2应用功能104.1.3备份服务(建议采用)124.2.防火
2、墙及防病毒解决方案134.2.1网络安全风险分析134.2.3安全管理134.2.4安全方案144.2.5网络设备的安全配置144.2.6对服务器访问的控制144.2.7CheckPoint FireWall-1 4.0154.2.7.1产品简介154.2.7.2状态检测机制164.2.7.3 OPSEC164.2.7.4 企业级防火墙安全管理174.2.7.5 分布的客户机/服务器结构174.5. 主干网拓扑图334.2.7.6 认证(Authentication)194.2.7.7 地址翻译(NAT)194.2.7.8 内容安全224.3. 监控和存诸234.4. 无线网254.5. 设备
3、选型25一、项目概述XX地铁总公司的新办公场所位于XX市中山五路与解放路交界处的中旅商业城第16层,面积约为3700m2,集中了地铁总公司的财务部、企业管理总部、人力资源总部等行政管理部门,大约将有230多名工作人员在此办公。XX地铁总公司将在中旅商业城16层建立计算机网络,该网络是XX地铁总公司企业管理信息系统的平台,将提供以下的服务:l 各种数据库管理系统,如财务管理系统、合同管理系统等; l 办公自动化信息管理,如公文流转、电子邮件系统等;l 国际互联网Internet接入;l 6间会议室有少量的多媒体信息传输;l 要求实现与公司其他总部位于芳村西朗的运营事业总部、位于北京路广百大厦29
4、层的资源开发总部、位于公园前地铁控制中心的建设事业总部、位于环市西路204号的地铁设计院网络互联,构筑XX地铁总公司城域网,实现全公司信息的共享;l 允许外出的工作人员通过拨号访问地铁总公司网络、互换信息。二、需求分析2.1网络现状分析l 布线工程已由XX地铁总公司委托其他公司完成。线该布工程全部采用Lucent公司的超五类设备进行施工,将达到Lucent公司十五年保用标准。l 共有三个设备间,其中一个与计算机房合在一起。三个设备间之间都有电缆直接连接,可形成环路。l 网络布线端口数达到320个,每个设备间所联信息点基本一样,大约为110个。网络操作系统将采用MS Windows 2000 S
5、erver。2.2网络需求分析在人流量很高和事故率频繁的城市地铁,就要求安防系统对地铁候车厅和地铁轨道等重点控区进行实时的监控和对危险情况进行实时的报警。采用专业的、全数字化、网络化和智能化的监控方案,可提高对视频实时监控/记录/报警、事后查询水平及信息交互的能力。在视频监控系统建设的过程中,要考虑到图像的质量、网络的稳定、录像资料的有效保存等问题,北京鹏开翔云科技有限公司采用MPEG-4的压缩方式、高品质的图像质量,确保地铁安全有序的为顾客服务。由网络摄像机进行实时压缩和数字编码处理并生成数字视频流,数字视频流通过网络交换机传输至AimetisSymphony服务器以供用户检索查询或进行实时
6、的智能化分析处理。地铁监控的另外一个重要的任务是对临时的突发事件进行准确及时的报警。比如说当有人不慎掉入地铁轨道或者在地铁轨道上行走,监视系统必须在事件发生的同一时刻报告给安防主管来采取一系列的措施。2.21监控需求分析对地铁现有监控系统的升级改造,达到网络化、实时报警监控和事后查询水平。视频前端设备需要保证4CIF的分辨率和25FPS的实时视频流。需要最多16点实时查看功能,并对有警报的点实时的进行切换。整套系统必须能够同时支持有分析功能的许可证和普通录制功能的许可证。系统中心配置每周备份,并且可以随时恢复到以前的配置。视频监控软件和分析软件必须共享同一个平台。2.2.2智能视频需求分析具有
7、实时的图像智能分析功能,对行人在地铁轨道或者其他禁区上行走的行为系统进行实时的报警。准确检测地铁列车到站,停驶和离开的行为。当火车经过地铁站的时候,系统将不需要报警。当行人在站台上行走或者停留,系统将不需要报警。利用先进的IT技术让地铁的基础网络,无线网络系统,语音系统,信息服务系统,数据中心系统,网管系统,网络安全系统,语音及网络流量计费系统等进行统一,实现智能化网络管理与应用服务,不仅能提升乘客体验,更能获得更多利润机会和更高的ROI投资回报率,提高市场核心竞争力。2.2.3 PIS系统信息化需求PIS系统作为地铁公司与乘客之间最直观的信息交互平台,所有实时播放的媒体流不能出现图像马赛克、
8、声音停顿的情况,这需要有线网络、车地无线通信网均有足够的带宽和良好的QoS保障机制,同时网络的可靠性要求也非常高,不能因为网络的中断导致PIS系统故障。为了保障列车播放图像的高清晰,目前PIS系统所需最低带宽为8M(按MPEG 2格式),考虑到车辆内部监控还需4M带宽(每列车有多个摄像头,同时只上传两路图像),平均无线网带宽应至少在12M以上,带宽是保障图像高质量的最基本要求。为了满足多辆列车同时接收赛事、股票等实时信息的转播需求,列车PIS系统均要求支持组播技术,但由于列车在快速行驶过程中车载AP与轨旁AP存在漫游切换,而车载网络却无法及时感知这个过程,会依然试图从原有轨旁AP接收数据,最终
9、导致组播数据流的中断,如何保障车辆移动过程中的组播报文不丢失,也是PIS系统成功应用的一个关键技术。由于早期地铁建设缺乏车、地无线通信技术,地铁监控只能局限于车站级别,不能对车辆内部进行监控,并以模拟技术为主,但由于模拟监控大规模部署成本高,不支持远程调阅,历史图像查询困难等多种原因,现在基于IP的数字监控系统已经成为新的发展潮流。新建地铁除了车站可采用IP监控,更可利用PIS系统车、地无线通信网的富裕带宽,构建基于IP的车辆监控系统,地铁控制中心和地铁公安系统能及时发现车辆内的安全事故隐患并提前处理,确保列车行驶安全。以IP技术为核心,车辆监控和车站监控还可融合为一体化解决方案,实现调度系统
10、、存储系统、外置显示系统等多种系统的共享和一体化管理,降低成本,提高监控效率。为了促进列车与地面间顺畅通信,提高列车安防保护水平,增加乘客了解信息渠道,并在日后获得更多的ROI投资回报,XX地铁决定加装列车安防系统和乘客信息系统。凭借思科产品的优良性能,承建单位中国铁路通信信号上海工程公司的雄厚施工力量,业主方XX地铁丰富的协调管理经验。项目施工进展十分顺利。安防系统项目搭建完备的无线宽带传输网络,使得列车无论在站台位置还是高速运行中,都可以在地面与列车之间实现清晰的数字视频流实时播放,控制中心对车厢内的情况观察,列车火灾报警信息实时上传等功能。地铁车站和控制中心值班人员实现观察运行中列车乘客
11、车厢、司机室内情况,司机能实时观察本列车乘客车厢内的情况,控制中心向运行中列车发布及时信息,实时转播数字电视节目;运行中列车的紧急状态,如火灾报警、紧急开关车门,实时上传到控制中心和车辆段车场调度中心。按照每节车厢8块,每列车共48块液晶显示屏的标准进行配置,实时播放基于IP的数字电视节目,视频源采用了广播级的MPEG-2的高清晰码流;每列车安装防暴摄像头,并将对车厢内的观察图像按照MPEG-4编码,通过Wi-Fi网络实时地上传到地铁控制中心。2.2.4 安全需求分析 网络安全需求是保护网络不受破坏,确保网络服务的可用性。对于信息网络内部安全需求,包括:l 能够满足信息网络内的授权用户对相关专
12、用网络资源访问; l 能够对于非授权用户的访问进行有效控制和报警; l 能够坚决杜绝病毒和其他危险程序进入网络; l 能够对于远程访问用户进行安全管理; 加强对于整个信息网络资源和人员的安全管理与培训。根据地铁总公司的要求,这次网络工程的主要内容包括四部分:l 中旅商业城十六层XX地铁总公司计算机局域网FF1Bl 中旅商业城十六层XX地铁总公司计算机局域网防火墙及防病毒解决方案;l XX地铁总公司城域网;l 中旅商业城十六层XX地铁总公司计算机局域网国际互联网接入三、总体设计方案3.1系统设计原则3.1.1高可靠性 计算机网络系统应采用可靠性较高的产品和容错较强的网络结构,以使网络具有高度的可
13、靠性。应采取多层次的冗余备份手段和技术,保证设备在发生故障时能在最短时间内恢复,以最大程度地保证网络的正常运转。3.1.2高安全性根据建行的管理制度和网络策略制定一套完善的安全政策,采用合适的技术手段,充分保证网络安全性。3.1.3先进性 在技术上要到达当前的国际先进水平。要采用最大先进网络技术,以适应大量数据和多媒体信息的传输,既要满足目前的业务需求,又要充分考虑未来的发展,保证网络建成后3-5年不落后,选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。3.1.4易管理、易维护由于计算机网络系统规模庞大,需要网络系统具有良好的可管理性,网管系统应具有
14、监测、故障诊断、故障隔离、过滤设置等功能,以便于系统的管理和维护。同时应尽可能选取集成度高、模块化、可通用的产品,以便于管理和维护。3.1.5可扩展性网络系统应具有良好可扩展性,随着业务的增长和应用水平的提高,网络应可平滑地扩展的升级,而不需要对网络结构设备进行大的改动。3.2系统设计概述3.2.1网络体系结构和逻辑结构设计确定网络体系结构及相应的通信协议,对于系统的改造是一个十分很重要的问题。由于网络系统的改造涉及到许多部门,而这些部门有的在使用一些专用的系统,有的需要与其它专用系统相连。因此,要共享网络的资源及在网络中交换信息,就必须实现不同系统间的实体通信,这需要不同系统采用同一协议.。
15、网络体系结构的确定:骨干网络使用交换式快速以太网。本网络大量采用以太网产品,因为以太网发展最为迅速,目前拥有广泛用户和众多的产品,容易得到支持。网络的主干采用100Mb/S交换式以太网,原因如下:l 采用100Mb/s以太网交换技术,可使网络主干速率成倍增长;l 便于向千兆位以太网过渡;l 技术成熟;l 有大量的成功案例可查。3.2.2网络管理系统的确定人们往往只重视网络的静态性能,而忽视了对网络动态解决方案重要性的认识。实际上,网络管理有着极其重要的意义。通过网管软件可方便地确定网络故障点,及时解决问题;也可对网络的信息流量进行有效的控制和分流。要管理网络端口,需要网上每台设备都支持SNMP
16、。根据本网络的特点,要求网管程序能够跨越地域对异地的网络节点进行管理。3.2.3连接Internet在与Internet 的连接方面,通过代理服务器,利用ADSL专线访问服务器,实现与远程客户的信息交流。同时,还设立了网管工作站,监控网络的运行状况,使网络达到最大的利用效率。四、系统方案4.1主干网设计方案 4.1.1基本网络物理结构 采用1台H3C的带第三层路由交换功能的千兆以太网交换机 Catalyst 2948G-L3做中心交换机,采用7台Cisco的Catalyst 3548 XL Enterprise Edition交换机(带千兆网堆叠模块)做桌面交换机,每2(3)台堆叠成一组,通过
17、一个千兆以太网模块上联至主干,下联至300多个客户工作站。各服务器、防火墙主机和路由器通过100兆快速以太网端口直接与中心交换机相联。 1) 中心交换机的配置 千兆以太网交换机Catalyst 2948G-L3置于主设备间。中心交换机配置1块20端口10M/100M自适应以太网交换模块、1块12端口10M/100M自适应第三层交换模块、8块2端口1000Base-SX输入输出模块和1块2端口1000Base-LX输出模块。交换机预留1块24Gbps千兆以太网交换引擎的模块接口。2) 桌面交换机的配置 桌面交换机根据用户的实际情况采用7台Cisco的Catalyst 3548 XL Enterp
18、rise Edition交换机,每2(3)台堆叠成一组,共3组,每组配置如下: l Catalyst 3548 XL带48个10/100Base-T自适应端口 l Catalyst 3548 XL堆叠模块 l Catalyst 3548 XL千兆位上联模块 4.1.2虚拟网(VLAN)的构建VLAN是一个交换网络,它可以按功能、部门或是应用为基础来加以逻辑上的划分,而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务,每一个VLAN就是一个广播域,也就等于WinNT网络中的一个子网。这样可以更有效的控制广播,对于访问控制以及日常的网络管理也可以做到很好的控制。采用VLAN
19、具有下述优势。1)控制网络上的广播风暴VLAN可以提供建立防火墙的机制,防止交换网络的过量广播风暴,使用VLAN,可以将某个交换端口或用户赋于某一个特定的VLAN组,该VLAN组可以在一个交换网中或跨接多个交换机,在一个VLAN中的广播风暴不会送到VLAN之外,同样,相邻的端口不会收到其他VLAN产生的广播风暴。这样,可以减少广播流量,释放带宽给用户应用,减少广播风暴的产生。2)增加网络的安全性使用共享式LAN,安全性很难保证,VLAN提供了安全性防火墙,限制了个别用户的访问,控制组的大小及位置等。交换端口可以基于应用类型和访问特权来进行分组,被限制的应用程序和资源一般置于安全性VLAN中。3
20、)集中化的管理控制 通过集中化的VLAN管理程序,网络管理员可以确定VLAN组,分配特定用户和交换端口给这些VLAN组,设置安全性等级,限制广播域的大小,通过冗余链路负载分担网络流量,跨越交换机配置VLAN通信,监控交通流量和VLAN使用的网络带宽。这些能力有效的提高了网络管理程序的可控性,灵活性和监视功能,减少了管理的费用, 增加了集中管理的功能。本网络系统分成多个逻辑子网,一个逻辑子网是由交换机设置的VLAN。不同VLAN之间在数据链路层(第二层)是互不连通的,当他们需要互相访问时,必须通过路由器或具有路由能力的交换机(第三层交换机)使它们在网络层(第三层)连接起来。本系统种所采用的Cat
21、alyst 2948G-L3具有第三层路由模块,不需要附加路由器,VLAN之间的通信在Catalyst 2948G-L3交换机内部即可解决,能够建立跨过多台交换机而在整个网络中起作用的VLAN。Catalyst 2948G-L3和Catalyst 3548 XL Enterprise Edition都支持VLAN划分,同时由于都支持802.1Q技术,也就能实现VLAN功能,通过802.1Q,网络中所有交换机就可以采用相同的VLAN设置。服务器可以直接连接到交换机,最高速度可以达到800M。Cisco公司IOS操作系统和Cisco Works网管软件的统一应用,以统一的软件平台把各种不同的硬件连
22、接起来,构成有效、无缝的信息系统,更有利于新应用的部署,同时提高了网络的整体性能。4.1.2.1根据端口划分本网络系统利用交换机的端口来划分VLAN成员,通过虚拟网管理应用程序, 中心交换机的端口被定义为虚拟网A、B、C三,分配到一个VLAN的各个LAN网段上的所有站点都在同一个广播域中,它们相互可以直接通信,并允许共享型网络的升级。 通过交换机端口来划分网络成员,其配置过程简单明了,采用这种方法还便于直接监控,可以对端口进行安全控制。与之相比,基于物理地址的划分方案管理起来不方便,网络管理员经常要进行大量改动;而基于协议的划分方案又没有什么必要,因为网络本身基于TCP/IP协议。因此,迄今为
23、止端口划分是最常用的一种方式。4.2系统的特点1) 高性能 核心交换机具有先进高速第三层交换功能,所有端口均可进行线速路由、根据各部门的节点数和对带宽的需求,主干连接分别采用100Mb/s、100Mb/s Trunk和千兆以太网,使网络的性能价格比达到最佳点。2) 先进的子网划分方案VLAN是一个交换网络,它可以按功能、部门或是应用为基础来加以逻辑上的划分,而不是以实体或物理位置为基础来划分。VLAN的建立是为了提供更好的分段服务,每一个VLAN就是一个广播域,也就等于Win95网络中的一个子网。这样可以更有效的控制广播,对于访问控制以及日常的网络管理也可以做到很好的控制。3) 充分利用H3C
24、产品的技术优势综上所述,本网络系统的先进性、安全性等特性是显而易见的,但更重要的是它的网络整体性能好,符合用户的需要。4.3应用功能1)办公自动化和电子邮件服务Microsoft Exchange Server 是带有集成组件的电子信息交换服务器,它使通讯交流更容易。它在单一的平台上结合电子邮件、群组工作表、电子表格和组件应用程序,可以通过一个集中化的管理程序进行管理。它提供了业界最强的扩展性、可靠性和安全性和最高的处理性能,而所有应用都可以从通过Internet浏览器来访问。与微软BackOffice产品相结合,使用通用、熟悉的开发工具, Exchange Server可以快速提供和实施强大
25、的业务协作解决方案,满足用户对Intranet协作的多层次的需求,提高企业竞争实力。 本电子系统构建于Microsoft Exchange Server电子交换服务器,安装Exchange服务器作为邮局,存储、交换、管理邮件系统中的用户和信件,以电子邮件为基础,处理公司的所有邮件,构成信息传递的基础,并在此基础上构建如下应用:l 个人级的应用主要完成公司内部工作人员日常的办公工作管理,构建电子办公室环境。完成文书处理、电子表格、电子传真、电子邮件、个人日程安排等功能。构建Microsoft Windows98和Microsoft Office 97 / 2000的套件基础上。l 部门级的应用通
26、过Microsoft Exchange Server的Schedule+和Microsoft Office 97 / 2000的Outlook来协调部门工作,处理会议请求、资源分配和工作安排等。l 企业级的应用 构造公文自动处理系统和档案自动管理系统等办公自动化应用。通过电子公告板和WWW构建信息发布和查询应用,构建与Internet Information Server和Microsoft SQL Server的基础上,形成内部的Intranet。2) 数据库应用目前应用比较广泛大型数据库系统主要有Informix、Oracle、Sybase、Microsoft-SQL Server根据目前
27、业务系统的特点,充分考虑今后系统开放性、高效 性、联机事务处理的要求,数据库系统应该采用SQL Server类型,综合当前SQL Server 产品现状,我们建议采用Microsoft-SQL Server,并使用独立的数据库服务器以提高性能。其原因主要有以下几点:n 由于本系统的体系结构采用客户/服务器模式,Microsoft-SQL Server拥有广泛的客户基础,考虑到本模块主要与控制中心进行数据交换及处理,因此充分估计其它业务及相关系统的要求,采用Microsoft-SQL Server 便于进行与其它系统的数据转换及处理。n 本系统面临一逐步推广使用的过程,因此要求在系统构造时充分考
28、虑其扩展性。MICROSOFT SQL Server 具有开放的体系结构,由于其公开的接口规格,使得现在多数4GL程序开发语言均支持对SQL Server的联接,因此MICROSOFT SQL Server 能够面向多种系统的开发,便于处理与其它系统的接口问题。n 可伸缩性:SQL Server所有的表、SQL代码、存储过程、规则、触发器都能够在不同的平台上运行。在单用户的开发环境下开发的应用能够延伸到多用户开发平台上运行,并且它便于向大型、具有并行处理能力的开放系统硬件环境转移。n 互操作性:MICROSOFT 客户/服务器系统能够透明地与其它厂商的产品联结集成,如DB2、Oracle。n
29、分布式数据库支持:MICROSOFT SQL Server 便于广域网络环境下管理数据的复制和分布。较大的机构建立应用时,可以把它们的SQL Server网络当作一个单一的集成资源来对待。n MICROSOFT SQL Server 与Windows 2000 连接紧密:目前SQL Server 产品较多,但与Windows 2000连接紧密且性能优越的当数MICROSOFT SQL Server。n MICROSOFT SQL Server有良好的安全性,达到C2级安全要求。n 在SQL Serve数据库的基础上,可利用各种数据库开发工具开发数据库管理系统,也可使用现在流行的基于Window
30、s平台的MIS管理系统。3)域名服务由于IP地址是使用一长串的数字来标注主机鹤其他网络设备,非常难于记忆和不便于使用,因此目前在Internet上,采用一种具有直观含义的名字来代替以数字方式表示的IP地址,这种名字形式的地址称为域名地址,整个分层的域名地址体系即是域名解析(DNS)。对于企业来说,域名是企业在网上的标志,也是企业推广自身形象的网络门户。域名解析是当前网络中一种成熟的技术,在本系统中将用Windows 2000的DNS系统来做域名服务。Windows2000包括的DNS系统支持新的DDNS标准,既支持动态更新,又可以兼容于NT4网络,支持手工刷新,结合了WINS的动态能力和传统D
31、NS的稳定性和健壮性。在Windows2000中,活动目录与DNS紧密集成在一起,客户可以更容易更迅速地找到目录服务器,企业可以把活动目录直接连接到Internet以简化与客户和合作伙伴进行通讯和提供电子商务,网络规划和管理变得更容易。4) 远程访问服务RAS(远程访问服务)接入提供了协议封装和数据加密功能,允许移动用户通过Internet 或公共网络建立虚拟专用网络(VPN)模拟点对点专用连接,在计算机之间收发数据,其效果与在专用线路上进行数据传输一样安全、有效。在本系统中Cisco远程路由器配有三个Modem端口 ,外出的工作人员可通过电话网拨号远程接入与公司进行安全的信息交换。5)Web
32、服务Windows 2000服务器中内置了一个新的Web服务器-Internet Information Server(IIS) 5.0。IIS以其强大的服务能力和丰富的开发手段,使其成为了电子商务的主要服务器平台,5.0在原有的基础上,又增加了许多新的功能:l l IIS 5.0将运行在它上面的Web站点应用和IIS核心服务隔离开来,而且可以对每个站点应用配置独立的CPU使用率,并可以独立停止和重起每个进程。这大大提高了Web服务器的可靠性和稳定性,使您建立的电子商务站点运行的更加可靠。l 在安全性方面,IIS 5.0可以使用Windows 2000 Active Directory实现用户
33、身份的验证,也可以使用证书和Active Directory的结合来验证用户。这为电子商务系统提供了即灵活又可靠的对用户身份的确认。 l IIS 5.0上的Web站点的开发使用的是Active Server Page (ASP) 3.0。ASP提供了强大的功能和与Windows的紧密集成,同时ASP 3.0又进一步提高了效率。ASP 3.0提供了和XML的集成,同时也可以用ADSI 2.0对Windows 2000 Active Directory进行操作。使用Microsoft Visual InterDev 6.0开发工具,您可以快速建立您的电子商务系统,也可以建立一个复杂但是功能强劲的电
34、子商务系统。因此在本系统中将配置一台Web服务器,使用IIS 5.0进行Web开发,提供完善的Web服务。6)多媒体信息传输根据客户的需求,本系统采用Microsoft NetMeeting构建多媒体会议系统。7)备份服务(建议采用) 使用计算机系统处理日常业务在提高效率的同时, 有一个问题越来越不容忽视, 即数据失效问题。 一旦发生数据失效, 企业就会陷入困境: 客户资料、 技术文件、 财务账目等数据可能被破坏得面 目全非, 如果系统无法顺利恢复, 最终结局将不堪设想。 所以企业信息化程度越高, 备份和灾难恢复 措施就越重要。根据系统自身的特点和对备份功能的要求,我们建议 在本系统中采用CA
35、公司的ARC serve备份系统。ARCserve 是一 个 跨平台的网络数据备份软件,在数据保护、灾难恢复、病毒防护方面均提供全面的产品支持,目前已成为了业界的事实标准。CA公司的软件产品涵盖大型网络管理、数据库系统和工具软件等诸多方面。全球最大的500家企业中有95%使用了CA公司的产品。产品特性: l 全面保护Windows操作系统l 支持打开文件备份l 支持对各种数据库如Betrieve、Sybase、Oracle等的备份l 支持从服务器到工作站的全面网络备份l 可以实现无人值守的自动备份l 备份前扫描病毒,可以实现无毒备份l 支 持灾难恢复4.4 H3C网络管理Quidview网络管
36、理软件是H3C公司对全线数据通信设备实现统一管理和维护的网管产品,位于网络解决方案的管理层,实现基础网络管理和网元管理功能。Quidview与H3C公司的数据通信设备一起为用户提供全网解决方案。Quidview网络管理软件基于灵活的组件化结构,包括网络管理框架、设备管理系统、网络配置中心、分支网点智能管理系统、Web报表系统等多个组件,用户可以根据组网情况和管理需要灵活选择自己需要的组件,真正实现“按需构建”。此外,Quidview网络管理软件支持与业界通用的网络管理系统包括(HP OpenView、SNMPc等)集成应用,提供与第三方厂商设备的统一管理;通过和专业软件供应商合作,共同向客户提
37、供全面的IT管理解决方案。4.4.1产品特点Quidview网络管理系统采用分布式、组件化、跨平台的开放体系结构,用户通过选择安装不同的业务组件,可以实现设备管理、拓扑管理、告警管理、性能管理、软件升级管理、配置文件管理、VPN监视与部署等多种管理功能。产品不仅能够独立提供完整的网络管理平台,还能够与HP OpenView、SNMPc多种主流通用网管平台灵活集成;不仅能够管理H3C公司的全线数据通信设备,还能够通过标准MIB实现对Cisco、3Com等各主流厂商的数据通信设备的管理。4.4.2灵活展示网络拓扑Quidview网络管理软件可以通过拓扑发现功能,帮助客户迅速发现网络资源,构建网络拓
38、扑。能够实时监视所有设备的运行状况,通过可视化的网络拓扑界面帮助用户及时了解网络的变化。l 自动发现网络拓扑结构;l 支持全网设备的统一拓扑视图;l 可以灵活裁减拓扑视图,聚焦网络的关键区域;l 可以灵活选择设备、背景图标,构建逼近真实网络的拓扑;l 可以直接点击拓扑视图节点,快速查看设备面板;l 拓扑节点颜色能够直观反映网络、设备状态;l 可以灵活定制对设备状态的轮询间隔;l 支持二层拓扑管理功能,帮助用户清晰浏览网络物理连接,准确定位设备。4.4.3全流程的故障管理Quidview的网络故障管理功能为用户及时发现问题、深入分析问题、快速解决问题提供了全流程的支持。l 支持从告警快速定位到拓
39、扑中的故障节点;l 支持多种告警通知方式,包括:声光提示、告警转Email和手机短信;l 支持告警相关性分析,包括屏蔽重复告警、自动确认相关告警等;l 支持告警查询,用户能够按照告警级别、告警源、关键词等过滤条件迅速聚焦到 “真正有价值的告警”;l 支持告警屏蔽,可以按告警类型、接口、时间段等条件屏蔽用户不关心的告警;l 可以灵活定义告警级别,以符合客户网络的实际状况;l 提供常见问题的修复建议。同时用户可以根据实际的维护经验,不断完善丰富维护经验库。4.4.4主动的网络监视Quidview网管系统提供了丰富的性能管理功能,帮助用户主动监视网络的状况,及时发现网络潜在的隐患。同时,丰富的历史性
40、能统计数据为用户升级扩容网络提供了客观准确的参考依据。l 提供基于任务的工作向导,简化用户网络监视活动的操作;提供接口流入、流出、广播报文等常用的性能统计模板,使用户不需要关注MIB表达式的技术细节;l 支持At a glance功能,使用户能够快速了解关键设备的CPU、内存、流量等重要信息;l 支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势;l 支持性能的门限设置,触发告警及时通知到网络管理员,预警网络的隐患或瓶颈,并可以实现超过阈值时自动关闭端口;l 支持RFC1757定义的标准RMON-MIB及H3C自定义告警扩展MIB,实现统计组、事件组、告警组等分组的配置和浏览
41、。 4.4.5批量的设备配置备份据权威机构统计,60的设备故障是由于网络误配置造成的,有效地管理配置文件可以帮助用户尽快从网络故障中恢复。Quidview网管系统为用户提供了强大的网络配置文件管理功能,可以方便管理员对设备配置文件进行集中管理,包括配置文件的备份、恢复、批量更新以及配置跟踪等操作,提高了网络的可维护性。l 支持设备配置文件的批量备份和恢复功能,提高了网络设备配置的安全性,同时极大提高了管理员的工作效率;l 支持配置的历史版本和基线化,当配置发生异常时可精确恢复到设置基线;l 支持灵活的设备配置文件比较功能,包括指定设备的运行配置和启动配置的比较、不同设备间的配置文件比较等,使管
42、理员能够快速查看设备配置差异,迅速定位导致问题的配置命令;l 支持网络配置的变化检测,一旦发现配置发生变化,立刻以告警方式通知管理员关注。4.4.6设备的批量配置设备的配置比较复杂繁琐,尤其是在大规模业务部署的时候,Quidview网管系统提供设备的批量配置功能可以快速灵活的完成业务部署。l 支持设备的批量配置,实现快速的业务部署。l 可以使用模版配置(RADIUS、NTP、802.1x等)或者自定义配置,灵活的实现业务需求。l 支持配置失败时,安全恢复设备之前的配置。 4.4.7可靠的设备软件升级设备软件的升级是项非常烦琐而复杂的工作,尤其是在整网大规模设备的软件升级时,既要考虑软件版本的配
43、套、统一,又要考虑升级过程的安全、可靠,避免升级故障时出现整网瘫痪。Quidview网管系统提供简易、直观的操作界面,可以帮助用户安全、可靠的完成此项重要任务。l 提供基于任务的工作向导,降低用户操作的复杂性;l 支持网络运行设备的软件版本查询功能,使用户对网络中的版本情况一清二楚;l 提供设备软件版本库功能,使用户可以集中管理设备软件,建立版本基线;l 支持对设备软件的批量升级功能,极大提高了管理员的工作效率;l 支持先备份后升级,保证一旦升级失败后可以恢复到原有设备软件版本;l 支持对整个升级过程的可靠性检查,如设备软件版本和设备是否配套,flash空间是否足够等,确保用户的整个升级操作万
44、无一失;l 支持版本的智能检测,在发现设备有可用的新版本时醒目提醒管理员及时完成升级;l 支持版本和设备的自动关联。在选择设备后,自动关联到可用的最新版本,避免管理员疏漏导致选择错误版本。4.4.8简便直观的设备管理Quidview向用户提供了网元管理功能,通过逼真的面板图片,直观地反映了设备运行情况。l 通过面板图标直观地反映设备的框、架、槽、卡、端口等关键部件的运行状态;l 能够方便查询和设置端口的速率、双工模式、管理状态等信息;l 能够实时观测CPU、内存、端口流量等关键性能指标的趋势;l 支持对H3C公司交换机集群、堆叠能力的管理;l 支持对路由协议和二层协议的查询和配置功能;l 支持
45、跨多个设备进行VLAN、STP协议等配置,加快部署效率;l 支持同时监控多个设备面板;l 支持面板上的端口颜色按照运行状态、工作速率、双工模式、所在VLAN等信息进行显示。l 支持VLAN管理。l 支持查询IPv6基本信息,IPv6地址表添加、删除,监视IPv6端口流量。l 支持POS接口管理:POS端口浏览和配置。l 支持光模块浏览。4.4.9快捷易用的管理工具针对设备端口故障,Quidview网络管理软件提供了便捷的定位检测工具?路径跟踪和端口环回测试工具。当用户报告网络接入存在问题时,网络管理员不需要到达用户现场,直接通过网管对指定用户端口做环回测试,实现用户侧端口的远程诊断。同时,Qu
46、idview还提供了按MAC地址或IP地址查找端口的功能。管理员只需要输入终端用户的MAC地址或IP地址,就能够直接定位终端用户所连接的交换机及交换机的端口,迅速定位非法报文所接入网络的原始端口,以及时关闭端口,阻止违规用户进行滥发报文、盗用IP等恶意行为。4.4.10 多厂商设备的统一管理Quidview可管理所有支持标准SNMP网管协议的网络设备,为多厂商设备共存的网络提供了统一的管理方式:l 自动发现多厂商设备,展示多厂商设备组成的网络拓扑;l 监视设备性能,包括接口的流量、错包率、丢包率等指标;l 接收和解析设备告警,提供告警分析和查询功能。服务器的集成管理服务器是企业IT架构中的重要
47、组成部分,通过Quidview可以实现服务器与网络设备的统一管理。包括:l 支持对CPU、内存资源消耗的监视;l 支持对硬盘使用情况的监视;l 支持运行进程的资源监视。4.5防火墙及防病毒解决方案 4.5.1网络安全风险分析 对于信息网所面临的安全风险涉及网络环境多方面,包括:l 自然灾害水灾、火灾、地震等; l 电子化系统故障系统硬件、电力系统故障等; l 人员无意识行为编码缺陷、系统配置漏洞、误操作及无意泄漏等; l 人员蓄意行为网络环境可用性破坏、恶意攻击等。 其中,前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善,尽可能将风险降低到能够被控制和管理的程度。而对于第四方面的安全风险,对整个信息网的安全环境所构成的危害最大,同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的,尽管安全管理非常重要。同时需要相应的安全技术手段辅助完成
