一般网络规范教学文案.doc
《一般网络规范教学文案.doc》由会员分享,可在线阅读,更多相关《一般网络规范教学文案.doc(22页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、Good is good, but better carries it.精益求精,善益求善。一般网络规范-网络系统规范一、 系统架构1、网络拓扑图(图1)图:12、说明2.1、整个网络采取星型网络结构核心层、接入层,核心层与接入层之间采用千兆光纤线路;2.1、公共设施用房值班室、门卫室、综合楼图书室网络点放一台或多台24口,至中心机房布放6芯多模光纤,两端各设光纤收容箱提供跳接面板接至设备;2.2、机房放置一台配置高速引擎、高收敛速度核心交换机(提供36个千兆RJ45端口及82.3、机房放置1台防火墙设备、1台网络行为管理器、1台无线控制器、2台IBM服务器、1台kvm及1台ups;网络设备规
2、格说明(一)核心交换机核心交换机必须是机箱式模块化3插槽三层交换机,支持IP静态路由。核心交换机提供48个千兆位以太网端口,及12个SFP光纤接口。10个SFP光纤模块。核心层交换机必须支持801.1p、TOS、DIFFSERV,能对单播、组播流量进行第二、三、四层QOS管理,能在端口上进行速率限制。320-Gbps容量骨干网提供足够的容量,为IPv4提供不间断线速250Mpps性能,为IPv6提供125Mbps性能,最多支持3个交换模块。灵活交换模块:基于标准的自适应和自协商提供多种接口选择:10/100Mbps以太网和10/100/1000、1000Mbps千兆以太网或者10000Mbps
3、10千兆以太网。容错、负载分担的电源。支持带状态化切换(SSO)的不间断转发(NSF)对SSO敏感的热等待路由器协议(HSRP),网关负载均衡协议(GLBP),支持4096个VLAN,VLAN中继协议(VTP),动态中继协议和802.1Q,专用VLAN,通过并行L2中继线上的扩展树优先级实现负载均衡,Web内容通信协议(WCCP)版本2L2重定向,多层交换。全面的安全性,MAC认证回避MAC地址通知多域认证(MDA)单播RPF(uRPF)针对基于身份的网络服务的802.1x802.1x不可访问认证回避802.1x单向控制端口流量管理模块化QoSCLI(MQC)入口与出口限速控制平面限速每个端口
4、接口上多个队列网络与交换机管理嵌入式远程监控(RMON)增强型交换机端口分析器(SPAN)远程SPAN受密码保护的管理接口本地(带内)管理通过SNMP集或Telnet(客户端)连接提供远程(带外)管理管理控制台完全简单网络管理协议(SNMP)管理(对以太网MIB、MIBII、VTP和系统扩展)(二)接入交换机(Switch)接入交换机必须是第二层,24口10/100自适应RJ45端口及基于铜缆和光纤双重用途的千兆以太网端口,每个双重用途的上行端口都有一个10/100/1000以太网端口和一个基于SFP的千兆以太网端口基于中文界面的快速设置通过Web浏览器简化了初始配置,无需更复杂的终端模拟程序
5、和CLI知识。DHCP能通过一个引导服务器对多个交换机进行自动配置,从而简化了交换机的部署。所有端口上的自动协商功能自动地选择半双工或者全双工传输模式,以优化带宽。动态端口汇聚协议(DTP)能在所有交换机端口上实现动态端口汇聚设置。端口汇聚协议(PAgP)能自动创建思科快速以太通道群组或者千兆以太通道,以便连接到另外一个交换机、路由器或者服务器。端口汇聚控制协议(LACP)让用户能够利用符合IEEE802.3ad的设备创建以太通道。这种功能类似于思科以太通道技术和PAgP。1000BASE-SX、1000BASE-LX/LH和100BASE-FX物理接口能够通过一个可以现场更换的SFP模块支持
6、,在交换机部署中提供灵活性。如果在铜缆端口上安装了某种错误的电缆类型(交叉或者直通),依赖于介质的接口交叉(自动MDIX)能够自动地调整发送和接收对。时域反射计(TDR)能诊断并解决铜缆端口上的布线问题。利用802.1q标记,能从任何一个端口创建VLAN端口汇聚。每个交换机最多能够支持64个VLAN和64个生成树(STP)。支持4000个VLANID。VTP能在所有交换机中支持动态的VLAN和动态的端口汇聚配置。IGMPv3监听功能让客户端能够迅速地加入或者退出组播流,将占用带宽很高的视频流量仅传输到发出请求的用户。内嵌远程监控(RMON)软件代理支持4个RMON群组(历史、统计、警报和事件)
7、。发现协议版本1和2有助于交换机自动发现网络管理工具,与思科IP电话进行有关语音VLAN信息的通信。快速设置特性通过Web浏览器简化了交换机的初始配置,无需终端模拟程序和对于命令行界面(CLI)的了解,从而降低了部署成本。带宽汇聚分别能达到8Gbps和800Mbps,从而能增强容错性,并为交换机之间,以及交换机到路由器和单个服务器之间,提供更高的总带宽。基于单个端口的广播、组播和单播风暴控制能够防止整个系统的性能被发生故障的设备所降低。IEEE802.1sMultipleSTP能够建立针对单个VLAN的生成树实例,从而在冗余连接上实现第二层负载共享。同时使用本地代理ARP与PrivateVLA
8、NEdge,可以最大限度地减少广播,增加可用带宽。VLAN1最小化让用户能在任何一个VLAN端口汇聚连接上禁用VLAN1。VTP修剪功能能够限制VTP端口汇聚连接的带宽使用。IGMP过滤能过滤出非授权用户并限制每端口的并发组播流数,以提供组播验证。支持802.1pCoS。每个端口的4个输出队列让用户能对四种流量类型进行不同的管理。SRR调度确保为数据包流量提供不同的优先级。加权队尾丢弃(WTD)能在发生中断之前,为输入和输出队列提供避免拥塞功能。严格优先级排序能确保优先级最高的分组先于所有其他流量获得服务。IEEE802.1x能实现动态的、基于端口的安全,提供用户身份验证功能。单播MAC过滤能
9、通过一个匹配MAC地址来防止转发任意类型的分组。SSHv2和SNMPv3能够通过在Telnet和SNMP连接中加密管理员流量,提供网络安全。SPAN端口上的双向数据支持让思科安全入侵检测系统(IDS)能在检测到某个入侵者时采取行动。TACACS+和RADIUS身份验证能对交换机进行集中控制,并防止未经授权的用户更改配置。MAC地址通知让管理员能在网络添加或者删除用户时获得通知。端口安全能根据MAC地址,保护对某个接入或者汇聚端口的访问权限。BPDU防护装置能在接收到用以避免偶然出现的拓扑环路的BPDU时,关闭支持生成树协议PortFast的接口。STRG防止处于网络管理员不可控制范围的边缘设备
10、成为生成树协议根节点。IGMP过滤能够通过滤除非指定用户的访问者,提供组播身份验证,限制每个端口上可用的并发组播流的数量。(三)网络防火墙安全设备3.1提供模块式架构,在一个设备中集成多种网安功能。3.2提供可升级的安全服务。3.3提供网络边缘的实时可升级病毒扫描。3.4提供互联网内容过滤、网络缓存。3.5提供多层状态检测防火墙。3.6提供移动用户虚拟专用网、现场至现场虚拟专用网、点对点隧道协议(PPTP)和IPSec虚拟专用网通道。3.7提供静态与动态网络地址翻译。3.8提供攻击保护模块(IPS)。3.9提供LDAP(轻量目录访问协议)认证,RADIUS远程认证拨号用户服务进行用户认证。3.
11、10提供DHCP(动态主机配置协议)客户端,支持服务器PPoE(包括IPCP(互联网协议控制协议)。3.11提供QoS(服务质量)流量整形。3.12提供网络地址翻译/路由/透明模式、端口转移/IP映像、活动及事件记录、非管制区、高度可用性。(四)网络行为管理器4.1提供上网实时监控、邮件监控审核、聊天内容审计功能4.2提供上网信息归档、上网控制策略、上网带宽管理功能4.3提供网络异常告警、分级权限管理、上网统计分析功能4.4提供报表自动分发、网络虚拟身份、日志离线搜索等功能模块功能4.5管理接口基于B/S结构,除浏览器外,无需安装客户端软件就可通过非常直观的用户接口对系统进行管理和控制(五)无
12、线网络5.1无线控管交换器系统基本功能5.1.1无线控管交换器须为标准机架式设计5.1.2单一机体可提供8port(含)以上10/100Base-TXport5.1.3单一机体可提供1port(含)以上之10/100/1000Base-TXport5.1.410/100Base-TXport,至少4port支持802.3afPoweroverEthernet标准5.1.5须提供SerialoverEthernet功能,以方便透过Ethernet网络设定同厂牌无线基地台5.1.6支持3DES加密处理能力,3DES加密处理throughput可达400Mbps(含)以上5.1.7支持IPSecVP
13、N联机能力,IPSecTunnel同时联机数量需达128个(含)以上5.1.8支持远程AccessPoint联机能力,AP可透过Layer3/Internet网络集中控管于无线控管交换器,并提供安全认证功能,并可侦测查看远程无线网络使用者及RogueAP5.1.9支持远程AccessPointIPSec联机能力,使远程无线网络使用者可透过Internet安全的联机5.1.10单一机体最大可支持8台(含)以上同厂牌之WirelessAP(AccessPoint)联机,远程AP支持32台,以便做集中联机控管设定及RFManagement(无线讯号自动管理)5.1.11系统交换处理能力最大可达2Gb
14、ps(含)以上5.1.12须支援802.1QVLANTagging5.1.13须可支持HA备援架构,备援技术支持VRRP(VirtualRouterRedundancyProtocol)5.1.14须提供DHCPServer与DHCPhelper功能5.1.15须支援802.1dspanningtreeprotocol5.1.16提供VLAN设定功能5.1.17提供Layer3路由功能,支持StaticRoute5.1.18具备DHCPClient及PPPoEClient功能,可由DHCP或PPPoE服务器动态取得IP5.1.19具备AccessPointDebug功能,可显示联机的clien
15、t状态,进出封包,及AccessPoint上次重新开机(reboot)的原因5.1.20提供侦测非法AccessPoint(RogueAP)功能,可判断AP是否连接于内部网络,并可自动阻绝非法AP联机(ContainmentorDestruction)功能5.1.21提供CaptivePortal认证功能,使用者可透过网页浏览器(Browser)认证,取得网络存取权限5.2提供系统安全认证机制5.2.1提供LDAP及RADIUS外部认证服务器整合认证功能,并可支持外部RADIUS及LDAP认证服务器回传之Attribute,以区分使用者群组,且至少可支持下列认证服务器:MicrosoftAct
16、iveDirectory、MicrosoftIASRadiusServer、CiscoACSRadiusServerFunkSteelBeltedRadiusServer、RSAACEserver,Infoblox、InterlinkRadiusServerOpenLDAP5.2.2提供802.1x认证机制,提供下列加密方式:WEP、WPA、DynamicWEP、TKIP、AES-CCMP并提供以下EAP种类:PEAP、TLS、TTLS、LEAP5.2.3提供802.11i认证,支持WPA2(Wi-FiProtectedAccess2)加密。5.2.4支援MSCHAP及MSCHAPv2。5.2
17、.5提供MACAddress认证功能。5.3提供AP联机可靠度及无线射频管理控制功能5.3.1单一无线AP(WirelessAccessPoint)须可支持802.11a/n及802.11b/g/n无线传输标准,同一时间可设定为802.11a/n及802.11b/g/n模式,并通过Wi-Fi认证5.3.2单台无线AP最少可支持16组ESSID。5.3.3提供三度空间SiteSurvey工具,可设定多楼层,自动建议AP装设位置5.3.4须提供自动频道选择功能,可控制无线AP(AccessPoint)自动选择频道以减少干扰5.3.5须提供无线基地台发送功率(transmitpower)自动控制功能
18、5.3.6须提供AccessPoint负载平衡功能,可依照联机数量及使用率做负载平衡功能5.3.7须提供无线射频覆盖率(CoverageHole)自动调整功能5.3.8须提供自动涵盖损毁AP之无线信号范围(SelfHealing)功能5.3.9须提供无线基地台及无线网卡使用者侦测及定位功能,须提供以图形方式显示定位之无线基地台及无线网卡5.3.10须提供WirelessRMON及WirelessPacketCapture功能5.3.11提供下列漫游功能:客户端在单一交换器内,漫游时间需小于23msec客户端在不同交换器之间做漫游,漫游时间需小于1015msec支持跨网段漫游功能(Intersu
19、bnetRoaming)5.3.12提供SSID对应VLAN功能,不同SSID可自动对应至不同VLAN,并且不需要更动现有网络的VLAN设定。5.4提供下列无线Firewall功能:5.4.1提供StatefulFirewall功能,可依据使用者群组及实体端口设定防火墙政策(per-userstatefulfirewall)5.4.2提供CaptivePortal认证功能,使用者不需安装软件,透过网页浏览器即可进行身分认证,不同的使用者群组可以指定不同的防火墙政策5.4.3提供可客制化WebCaptivePortal认证窗口画面5.4.4提供Role-basedfirewall功能,在单一SS
20、ID、单一VLAN及单一埠,可提供多重Firewall政策,可依据认证服务器认证结果决定使用者角色判定,并可依据AP位置、时间套用不同的防火墙政策5.4.5支持8192笔(含)以上StatefulFirewall政策数量或Firewallsession5.4.6提供NAT(NetworkAddressTranslation)功能5.4.7支持NAT自动设定功能,可自动设定NAT政策,自动将其它网段NAT成由DHCP或PPPoE服务器动态取得的IP5.4.8提供频宽管理BandwidthContract功能,可依据使用者群组,设定使用频宽限制5.4.9QoS支援Prioritytrafficqu
21、eue、Wi-FiVoiceprioritization5.5提供下列VPN功能(选项)5.5.1提供IPSec、PPTP及XAUTHtermination功能5.5.2IPSec支援IKE、ESP、SHA-1、MD55.6系统管理功能5.6.1提供Web的图形操作接口及CLI的命令列,CLI包含Console,Telnet,SSH等方式5.6.2支援SNMP与MIBII5.6.3支持Syslog功能,可将系统记录送至外部Logserver5.7WirelessIDS/IPS功能(选项)5.7.1支持无线DoS攻击侦测及保护功能如下:Authentication&Deauthenticatio
22、nfloodsProberequestfloodFakeAPflood5.7.2支持侦测及防护下列Man-in-the-Middle攻击:SequenceNumberEAPrateStationDisconnectanalysis5.7.3支持客户端黑名单功能,可依照下列方式建立:手动方式建立AuthenticationFailureMan-in-the-Middleattack5.7.4支持Rogue、InterferenceAccessPoint及使用者无线网卡的分类5.7.5支持下列侦测及保护功能:支援StationandAPimpersonation支持侦测Bad/weakWEPkey
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一般 网络 规范 教学 文案
限制150内