畢業(yè)論文-企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)

1、<p><b>　　畢 業(yè) 論 文</b></p><p>　　論文題目: ****企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)</p><p>　　****企業(yè)大型網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)</p><p><b>　　摘要：</b></p><p>　　網(wǎng)絡(luò)技術(shù)發(fā)展到現(xiàn)在已經(jīng)相當(dāng)成熟，人們因?yàn)榛ヂ?lián)網(wǎng)而改變了他們的生活，

2、企業(yè)通過(guò)局域網(wǎng)的建設(shè)充分發(fā)揮了信息系統(tǒng)在生產(chǎn)中的作用。</p><p>　　本論文敘述了通過(guò)對(duì)關(guān)鍵技術(shù)的應(yīng)用，結(jié)合相關(guān)網(wǎng)絡(luò)知識(shí)對(duì)一家大型****企業(yè)的網(wǎng)絡(luò)進(jìn)行了整體規(guī)劃設(shè)計(jì)。結(jié)合實(shí)際需求，通過(guò)對(duì)網(wǎng)絡(luò)架構(gòu)組建方案的設(shè)計(jì)、基于安全的網(wǎng)絡(luò)配置方案設(shè)計(jì)、服務(wù)器架設(shè)方案設(shè)計(jì)、企業(yè)網(wǎng)絡(luò)高級(jí)服務(wù)設(shè)計(jì)等方面的研究，詳盡的探討了對(duì)該網(wǎng)絡(luò)進(jìn)行規(guī)劃設(shè)計(jì)時(shí)遇到的關(guān)鍵性問(wèn)題，以及網(wǎng)絡(luò)相關(guān)的服務(wù)，給出了網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)解決方案。</p&g

3、t;<p>　　關(guān)鍵詞：****企業(yè)，網(wǎng)絡(luò)，信息安全，無(wú)線局域網(wǎng)</p><p>　　Cigarette enterprise network planning and design</p><p><b>　　Abstract：</b></p><p>　　The network technology has been quit

4、e mature up till now. People's lives have been changed because of the Internet, Enterprises make full use of the system of information in the production through the construction of local area network (LAN) </p>

5、<p>　　This paper is about making an overall planning and design in a network of a large tobacoo manufacturing enterprise by applying some key technologies and related network knowledge. Combined with the actual de

6、mand,through studying the design of the network infrastructure, the design of security-based network configuration solution, the design of the infrastructure of sever farm, the design of advance services, this paper disc

7、usses in detail some key problems we met in desiging the network, the se</p><p>　　Keywords：tobacco companies, network，information technology security, wireless local area network</p><p><b&g

8、t;　　緒論</b></p><p><b>　　項(xiàng)目背景</b></p><p>　　在****行業(yè)大力推進(jìn)聯(lián)合重組、做大做強(qiáng)的形勢(shì)下，為進(jìn)一步提高制造工藝技術(shù)水平、增強(qiáng)企業(yè)的品牌競(jìng)爭(zhēng)能力、提升企業(yè)的經(jīng)濟(jì)效益，********啟動(dòng)“******”********項(xiàng)目。項(xiàng)目將充分響應(yīng)國(guó)家**********“努力將項(xiàng)目建成國(guó)內(nèi)一流水平”的指示，發(fā)揚(yáng)“敢想敢

9、拼、善謀善為”的企業(yè)精神，打造“國(guó)內(nèi)一流、國(guó)際先進(jìn)”的****制造基地，使公司成為中國(guó)****工業(yè)少數(shù)幾個(gè)強(qiáng)勢(shì)企業(yè)之一奠定基礎(chǔ)。</p><p>　　“******”************項(xiàng)目，將企業(yè)搬遷至新廠區(qū)。整個(gè)項(xiàng)目占地約****畝，規(guī)模年產(chǎn)*******，項(xiàng)目一期建筑面積******萬(wàn)平方米，總投資約**億元。為了在異地****中更好地發(fā)揮信息化系統(tǒng)的作用，企業(yè)要求對(duì)網(wǎng)絡(luò)進(jìn)行整體的規(guī)劃、設(shè)計(jì)。</

10、p><p><b>　　網(wǎng)絡(luò)技術(shù)原理</b></p><p><b>　　路由技術(shù)</b></p><p>　　路由協(xié)議工作在OSI參考模型的第3層，因此它的作用主要是在通信子網(wǎng)間路由數(shù)據(jù)包。路由器具有在網(wǎng)絡(luò)中傳遞數(shù)據(jù)時(shí)選擇最佳路徑的能力。除了可以完成主要的路由任務(wù)，利用訪問(wèn)控制列表，路由器還可以用來(lái)完成以路由器為中心的流量控

11、制和過(guò)濾功能。在本工程案例設(shè)計(jì)中，內(nèi)網(wǎng)用戶不僅通過(guò)路由器接入因特網(wǎng)、內(nèi)網(wǎng)用戶之間也通過(guò)3層交換機(jī)上的路由功能進(jìn)行數(shù)據(jù)包交換。</p><p>　　路由器是外網(wǎng)進(jìn)入企業(yè)網(wǎng)內(nèi)網(wǎng)的第一道關(guān)卡，是網(wǎng)絡(luò)防御的前沿陣地。路由器上的訪問(wèn)控制列表（Access Control List，ACL）是保護(hù)內(nèi)網(wǎng)安全的有效手段。一個(gè)設(shè)計(jì)良好的訪問(wèn)控制列表不僅可以起到控制網(wǎng)絡(luò)流量、流向的作用，還可以在不增加網(wǎng)絡(luò)系統(tǒng)軟、硬件投資的情況下完成

12、一般軟、硬件防火墻產(chǎn)品的功能。由于路由器介于企業(yè)內(nèi)網(wǎng)和外網(wǎng)之間，是外網(wǎng)與內(nèi)網(wǎng)進(jìn)行通信時(shí)的第一道屏障，所以即使在網(wǎng)絡(luò)系統(tǒng)安裝了防火墻產(chǎn)品后，仍然有必要對(duì)路由器的訪問(wèn)控制列表進(jìn)行縝密的設(shè)計(jì)，來(lái)對(duì)企業(yè)內(nèi)網(wǎng)包括防火墻本身實(shí)施保護(hù)[1]。</p><p><b>　　交換技術(shù)</b></p><p>　　傳統(tǒng)意義上的數(shù)據(jù)交換發(fā)生在OSI模型的第2層?，F(xiàn)代交換技術(shù)還實(shí)現(xiàn)了第3層交

13、換和多層交換。高層交換技術(shù)的引入不但提高了園區(qū)網(wǎng)數(shù)據(jù)交換的效率，更大大增強(qiáng)了企業(yè)網(wǎng)數(shù)據(jù)交換服務(wù)質(zhì)量，滿足了不同類型網(wǎng)絡(luò)應(yīng)用程序的需要?，F(xiàn)代交換網(wǎng)絡(luò)還引入了虛擬局域網(wǎng)（Virtual LAN，VLAN）的概念。VLAN將廣播域限制在單個(gè)VLAN內(nèi)部，減小了各VLAN間主機(jī)的廣播通信對(duì)其他VLAN的影響。在VLAN間需要通信的時(shí)候，可以利用VLAN間路由技術(shù)來(lái)實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)管理人員需要管理的交換機(jī)數(shù)量眾多時(shí)，可以使用VLAN中繼協(xié)議（Vlan

14、 Trunking Protocol，VTP）簡(jiǎn)化管理，它只需在單獨(dú)一臺(tái)交換機(jī)上定義所有VLAN。然后通過(guò)VTP協(xié)議將VLAN定義傳播到本管理域中的所有交換機(jī)上。這樣，大大減輕了網(wǎng)絡(luò)管理人員的工作負(fù)擔(dān)和工作強(qiáng)度。為了簡(jiǎn)化交換網(wǎng)絡(luò)設(shè)計(jì)、提高交換網(wǎng)絡(luò)的可擴(kuò)展性，在企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)交換的部署是分層進(jìn)行的。企業(yè)網(wǎng)數(shù)據(jù)交換設(shè)備可以劃分為三個(gè)層次：接入層、分布層、核心層。接入層為所有的終端用戶提供一個(gè)接入點(diǎn)；分布層除了負(fù)責(zé)將訪問(wèn)層交換機(jī)進(jìn)行匯集外，還

15、為整個(gè)交換網(wǎng)絡(luò)提供VLAN間的路由選擇功能；核</p><p><b>　　遠(yuǎn)程訪問(wèn)技術(shù)</b></p><p>　　遠(yuǎn)程訪問(wèn)也是企業(yè)網(wǎng)絡(luò)必須提供的服務(wù)之一。它可以為家庭辦公用戶和出差在外的員工提供移動(dòng)接入服務(wù)。遠(yuǎn)程訪問(wèn)有三種可選的服務(wù)類型：專線連接、電路交換和包交換。不同的廣域網(wǎng)連接類型提供的服務(wù)質(zhì)量不同，花費(fèi)也不相同。企業(yè)用戶可以根據(jù)所需帶寬、本地服務(wù)可用性、花費(fèi)

16、等因素綜合考慮，選擇一種適合企業(yè)自身需要的廣域網(wǎng)接入方案。在本工程案例設(shè)計(jì)中，分別采用專線連接的VPN和PBR兩種方式實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)需求[3]?！?lt;/p><p><b>　　VLAN</b></p><p>　　VLAN（Virtual Local Area Network）的中文名為"虛擬局域網(wǎng)"。VLAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)

17、段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。這一技術(shù)主要應(yīng)用于交換機(jī)和路由器中，但主流應(yīng)用還是在三層交換機(jī)之中。</p><p>　　通過(guò)將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)不同的廣播域（或稱虛擬LAN，即VLAN），兩臺(tái)計(jì)算機(jī)有著同樣的網(wǎng)段，但是它們卻沒(méi)有相同的VLAN號(hào)，它們各自的廣播流也不會(huì)相互轉(zhuǎn)發(fā),從而有助于控制流量、減少設(shè)備投資、簡(jiǎn)化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。 </p><

18、p>　　VLAN是為解決以太網(wǎng)的廣播問(wèn)題和安全性而提出的，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。不同的VLAN之間的通訊是需要有路由來(lái)完成的[4]。</p><p><b>　　DHCP</b></p><p>　　DHCP 是 Dynamic Host Co

19、nfiguration Protocol(動(dòng)態(tài)主機(jī)分配協(xié)議)縮寫(xiě)。它分為兩個(gè)部份：一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要求；而客戶端則會(huì)使用從服務(wù)器分配下來(lái)的IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過(guò) "租約" 的概念，有效且動(dòng)態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 的分配形式 首先，必須至少有一

20、臺(tái) DHCP 工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽(tīng)網(wǎng)絡(luò)的 DHCP 請(qǐng)求，并與客戶端磋商 TCP/IP 的設(shè)定環(huán)境。</p><p>　　DHCP是BOOTP的擴(kuò)展，是基于C/S模式的，它提供了一種動(dòng)態(tài)指定IP地址和配置參數(shù)的機(jī)制。這主要用于大型網(wǎng)絡(luò)環(huán)境和配置比較困難的地方。DHCP服務(wù)器自動(dòng)為客戶機(jī)指定IP地址，指定的配置參數(shù)有些和IP協(xié)議并不相關(guān)，但這必沒(méi)有關(guān)系，它的配置參數(shù)使得網(wǎng)絡(luò)上的計(jì)算機(jī)通信變得方便而容易實(shí)現(xiàn)了。D

21、HCP使IP地址的可以租用，對(duì)于許多擁有許多臺(tái)計(jì)算機(jī)的大型網(wǎng)絡(luò)來(lái)說(shuō)，每臺(tái)計(jì)算機(jī)擁有一個(gè)IP地址有時(shí)候可能是不必要的。租期從1分鐘到100年不定，當(dāng)租期到了的時(shí)候，服務(wù)器可以把這個(gè)IP地址分配給別的機(jī)器使用?？蛻粢部梢哉?qǐng)求使用自己喜歡的網(wǎng)絡(luò)地址及相應(yīng)的配置參數(shù)[5]。</p><p><b>　　VPN</b></p><p>　　VPN的英文全稱是“Virtual P

22、rivate Network”，翻譯過(guò)來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買(mǎi)路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一

23、，目前在交換機(jī)，防火墻設(shè)備或WINDOWS2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。</p><p>　　虛擬專用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證

24、數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)[3]。</p><p><b>　　PVST</b></p><p>　　PVST: Per-VLAN Spanning Tree（每VLAN生成樹(shù)） </p><

25、;p>　　PVST是解決在虛擬局域網(wǎng)上處理生成樹(shù)的CISCO特有解決方案．PVST為每個(gè)虛擬局域網(wǎng)運(yùn)行單獨(dú)的生成樹(shù)實(shí)例．一般情況下PVST要求在交換機(jī)之間的中繼鏈路上運(yùn)行CISCO的ISL。 </p><p>　　每VLAN生成樹(shù) (PVST)為每個(gè)在網(wǎng)絡(luò)中配置的VLAN維護(hù)一個(gè)生成樹(shù)實(shí)例。它使用ISL中繼和允許一個(gè)VLAN中繼當(dāng)被其它VLANs的阻塞時(shí)將一些VLANs轉(zhuǎn)發(fā)。盡管PVST對(duì)待每個(gè)VLAN作為

26、一個(gè)單獨(dú)的網(wǎng)絡(luò)，它有能力(在第2層)通過(guò)一些在主干和其它在另一個(gè)主干中的不引起生成樹(shù)循環(huán)的Vlans中的一些VLANs來(lái)負(fù)載平衡通信[6]。</p><p><b>　　HSRP</b></p><p>　　HSRP：熱備份路由器協(xié)議（HSRP：Hot Standby Router Protocol）</p><p>　　熱備份路由器協(xié)議（HS

27、RP）的設(shè)計(jì)目標(biāo)是支持特定情況下 IP 流量失敗轉(zhuǎn)移不會(huì)引起混亂、并允許主機(jī)使用單路由器，以及即使在實(shí)際第一跳路由器使用失敗的情形下仍能維護(hù)路由器間的連通性。換句話說(shuō)，當(dāng)源主機(jī)不能動(dòng)態(tài)知道第一跳路由器的 IP 地址時(shí)，HSRP 協(xié)議能夠保護(hù)第一跳路由器不出故障。該協(xié)議中含有多種路由器，對(duì)應(yīng)一個(gè)虛擬路由器。HSRP 協(xié)議只支持一個(gè)路由器代表虛擬路由器實(shí)現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)過(guò)程。終端主機(jī)將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。</p>

28、<p>　　負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動(dòng)路由器（Active Router）。一旦主動(dòng)路由器出現(xiàn)故障，HSRP 將激活備份路由器（Standby Routers）取代主動(dòng)路由器。HSRP 協(xié)議提供了一種決定使用主動(dòng)路由器還是備份路由器的機(jī)制，并指定一個(gè)虛擬的 IP 地址作為網(wǎng)絡(luò)系統(tǒng)的缺省網(wǎng)關(guān)地址。如果主動(dòng)路由器出現(xiàn)故障，備份路由器（Standby Routers）承接主動(dòng)路由器的所有任務(wù)，并且不會(huì)導(dǎo)致主機(jī)連通中斷現(xiàn)象。&

29、lt;/p><p>　　HSRP 運(yùn)行在 UDP 上，采用端口號(hào)1985。路由器轉(zhuǎn)發(fā)協(xié)議數(shù)據(jù)包的源地址使用的是實(shí)際 IP 地址，而并非虛擬地址，正是基于這一點(diǎn)，HSRP 路由器間能相互識(shí)別[7]。</p><p><b>　　AAA認(rèn)證</b></p><p>　　AAA-----身份驗(yàn)證 (Authentication)、授權(quán) (Authoriz

30、ation)和統(tǒng)計(jì) (Accounting)Cisco開(kāi)發(fā)的一個(gè)提供網(wǎng)絡(luò)安全的系統(tǒng)。</p><p>　　AAA ，認(rèn)證(Authentication)：驗(yàn)證用戶的身份與可使用的網(wǎng)絡(luò)服務(wù);授權(quán)(Authorization)：依據(jù)認(rèn)證結(jié)果開(kāi)放網(wǎng)絡(luò)服務(wù)給用戶;計(jì)帳(Accounting)：記錄用戶對(duì)各種網(wǎng)絡(luò)服務(wù)的用量，并提供給計(jì)費(fèi)系統(tǒng)。整個(gè)系統(tǒng)在網(wǎng)絡(luò)管理與安全問(wèn)題中十分有效。</p><p>

31、　　首先，認(rèn)證部分提供了對(duì)用戶的認(rèn)證。整個(gè)認(rèn)證通常是采用用戶輸入用戶名與密碼來(lái)進(jìn)行權(quán)限審核。認(rèn)證的原理是每個(gè)用戶都有一個(gè)唯一的權(quán)限獲得標(biāo)準(zhǔn)。由AAA服務(wù)器將用戶的標(biāo)準(zhǔn)同數(shù)據(jù)庫(kù)中每個(gè)用戶的標(biāo)準(zhǔn)一一核對(duì)。如果符合，那么對(duì)用戶認(rèn)證通過(guò)。如果不符合，則拒絕提供網(wǎng)絡(luò)連接。</p><p>　　接下來(lái)，用戶還要通過(guò)授權(quán)來(lái)獲得操作相應(yīng)任務(wù)的權(quán)限。比如，登陸系統(tǒng)后，用戶可能會(huì)執(zhí)行一些命令來(lái)進(jìn)行操作，這時(shí)，授權(quán)過(guò)程會(huì)檢測(cè)用戶是否擁

32、有執(zhí)行這些命令的權(quán)限。簡(jiǎn)單而言，授權(quán)過(guò)程是一系列強(qiáng)迫策略的組合，包括：確定活動(dòng)的種類或質(zhì)量、資源或者用戶被允許的服務(wù)有哪些。授權(quán)過(guò)程發(fā)生在認(rèn)證上下文中。一旦用戶通過(guò)了認(rèn)證，他們也就被授予了相應(yīng)的權(quán)限。　最后一步是帳戶，這一過(guò)程將會(huì)計(jì)算用戶在連接過(guò)程中消耗的資源數(shù)目。這些資源包括連接時(shí)間或者用戶在連接過(guò)程中的收發(fā)流量等等?？梢愿鶕?jù)連接過(guò)程的統(tǒng)計(jì)日志以及用戶信息，還有授權(quán)控制、賬單、趨勢(shì)分析、資源利用以及容量計(jì)劃活動(dòng)來(lái)執(zhí)行帳戶過(guò)程。<

33、/p><p>　　驗(yàn)證授權(quán)和帳戶由AAA服務(wù)器來(lái)提供。AAA服務(wù)器是一個(gè)能夠提供這三項(xiàng)服務(wù)的程序。當(dāng)前同AAA服務(wù)器協(xié)作的網(wǎng)絡(luò)連接服務(wù)器接口是“遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (RADIUS)”[7]。</p><p><b>　　ACL</b></p><p>　　內(nèi)外網(wǎng)絡(luò)的通信都是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求，但是為了保證內(nèi)網(wǎng)的安全性，需要通過(guò)安全策

34、略來(lái)保障非授權(quán)用戶只能訪問(wèn)特定的網(wǎng)絡(luò)資源，從而達(dá)到對(duì)訪問(wèn)進(jìn)行控制的目的。簡(jiǎn)而言之，ACL可以過(guò)濾網(wǎng)絡(luò)中的流量，控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。</p><p>　　ACL可以限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能。例如，ACL可以根據(jù)數(shù)據(jù)包的協(xié)議，指定數(shù)據(jù)包的優(yōu)先級(jí)。</p><p>　　ACL提供對(duì)通信流量的控制手段。例如，ACL可以限定或簡(jiǎn)化路由更新信息的長(zhǎng)度，從而限制通過(guò)路由器某一網(wǎng)段的通信流量。&

35、lt;/p><p>　　ACL是提供網(wǎng)絡(luò)安全訪問(wèn)的基本手段。ACL允許主機(jī)A訪問(wèn)人力資源網(wǎng)絡(luò)，而拒絕主機(jī)B訪問(wèn)。</p><p>　　ACL可以在路由器端口處決定哪種類型的通信流量被轉(zhuǎn)發(fā)或被阻塞。例如，用戶可以允許E-mail通信流量被路由，拒絕所有的Telnet通信流量。 例如：某部門(mén)要求只能使用 WWW 這個(gè)功能，就可以通過(guò)ACL實(shí)現(xiàn)； 又例如，為了某部門(mén)的保密性，不允許其訪問(wèn)外網(wǎng)，也不允

36、許外網(wǎng)訪問(wèn)它，就可以通過(guò)ACL實(shí)現(xiàn)。</p><p><b>　　網(wǎng)絡(luò)技術(shù)方案</b></p><p><b>　　總體架構(gòu)</b></p><p>　　************項(xiàng)目整個(gè)基礎(chǔ)網(wǎng)絡(luò)分為兩大塊，辦公大樓網(wǎng)絡(luò)和生產(chǎn)廠區(qū)網(wǎng)絡(luò)。辦公大樓網(wǎng)絡(luò)設(shè)立一個(gè)主中心和三個(gè)分中心，分別為主中心機(jī)房、服務(wù)器機(jī)房、辦公大樓匯聚和技術(shù)中

37、心匯聚。生產(chǎn)廠區(qū)設(shè)立三個(gè)分中心，分別為卷包中控室、制絲中控室和能源管理中心。各分中心、互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域、網(wǎng)絡(luò)安全區(qū)域與主中心核心交換機(jī)相連進(jìn)行業(yè)務(wù)通訊。</p><p><b>　　網(wǎng)絡(luò)拓?fù)浼軜?gòu)如下：</b></p><p>　　針對(duì)新廠區(qū)網(wǎng)絡(luò)情況分析，我們可以看到業(yè)務(wù)系統(tǒng)對(duì)于網(wǎng)絡(luò)的需求主要由7個(gè)部分組成：</p><p>　　核心網(wǎng)絡(luò)區(qū)域

38、設(shè)計(jì)：核心網(wǎng)絡(luò)區(qū)域的設(shè)計(jì)主要包括核心交換機(jī)、互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域和網(wǎng)絡(luò)安全區(qū)域設(shè)計(jì)。</p><p>　　服務(wù)器區(qū)域設(shè)計(jì)：服務(wù)器區(qū)域的設(shè)計(jì)主要包括服務(wù)器機(jī)房?jī)?nèi)網(wǎng)絡(luò)基礎(chǔ)設(shè)備的設(shè)計(jì)。</p><p>　　辦公大樓設(shè)計(jì)：辦公大樓設(shè)計(jì)主要為辦公大樓、技術(shù)中心和實(shí)驗(yàn)室基礎(chǔ)網(wǎng)絡(luò)的設(shè)計(jì)。</p><p>　　生產(chǎn)廠區(qū)設(shè)計(jì)：生產(chǎn)廠區(qū)設(shè)計(jì)主要為卷包中控、制絲中控和能源管理中心基礎(chǔ)網(wǎng)絡(luò)

39、設(shè)計(jì)。</p><p>　　無(wú)線網(wǎng)絡(luò)設(shè)計(jì)：無(wú)線網(wǎng)絡(luò)設(shè)計(jì)主要為辦公大樓、技術(shù)中心、卷包中控、制絲中控和能源管理中心無(wú)線網(wǎng)絡(luò)的設(shè)計(jì)。</p><p>　　整體路由設(shè)計(jì)：廠區(qū)整體基礎(chǔ)網(wǎng)絡(luò)設(shè)備路由設(shè)計(jì)及與互聯(lián)網(wǎng)區(qū)域、外聯(lián)區(qū)域、物流網(wǎng)、高架庫(kù)、制絲集控等各邊緣區(qū)域路由設(shè)計(jì)。</p><p><b>　　核心網(wǎng)絡(luò)區(qū)域設(shè)計(jì)</b></p>&l

40、t;p>　　核心網(wǎng)絡(luò)區(qū)域包括整體網(wǎng)絡(luò)核心交換機(jī)、互聯(lián)網(wǎng)接入?yún)^(qū)域、外聯(lián)區(qū)域和安全區(qū)域，所有設(shè)備均部署在辦公大樓五樓信息中心機(jī)房?jī)?nèi)。核心網(wǎng)絡(luò)區(qū)域拓?fù)浣Y(jié)構(gòu)如下圖：</p><p><b>　　核心交換機(jī)設(shè)計(jì)</b></p><p>　　核心交換機(jī)是整個(gè)網(wǎng)絡(luò)的核心，支撐整個(gè)體系架構(gòu)的運(yùn)作，同時(shí)，它和辦公網(wǎng)，生產(chǎn)網(wǎng)，Internet接入網(wǎng)，無(wú)線網(wǎng)絡(luò)，數(shù)據(jù)中心連接，負(fù)責(zé)各網(wǎng)

41、數(shù)據(jù)交換。此處的數(shù)據(jù)轉(zhuǎn)發(fā)性能直接關(guān)系到全網(wǎng)的業(yè)務(wù)運(yùn)行。作為廠區(qū)網(wǎng)絡(luò)核心節(jié)點(diǎn)，其可靠性也需格外關(guān)注。我司選用兩臺(tái)思科高性能Cisco Nexus 7000系列核心交換機(jī)互為冗余，以提供盡可能最好的系統(tǒng)級(jí)冗余性。為了確保核心網(wǎng)絡(luò)高帶寬和高穩(wěn)定性的要求，核心交換機(jī)與各匯聚交換機(jī)互連采用萬(wàn)兆光纖互連，與其它設(shè)備互連采用千兆光纖互連。從維護(hù)和運(yùn)行的角度說(shuō)，冗余拓?fù)浣Y(jié)構(gòu)可實(shí)現(xiàn)絕好的收斂性和可用性。</p><p>　　兩臺(tái)C

42、isco Nexus 7000 都配置雙電源，單引擎， 48口10/100/1000M電口，48口千兆光口以及32口萬(wàn)兆板卡，萬(wàn)兆板卡用于兩臺(tái)Nexus 7000互聯(lián)和連接各個(gè)子網(wǎng)。</p><p><b>　　外聯(lián)區(qū)域設(shè)計(jì)</b></p><p>　　外聯(lián)區(qū)域?yàn)榉謴S與公司總部以及老廠房的互連區(qū)域，與公司總部采用兩條裸光纖進(jìn)行互連，與老廠房采用一條裸光纖進(jìn)行互連，待老

43、廠房設(shè)備搬遷完成后，互連設(shè)備和線路即可拆除。</p><p>　　與公司總部互連路由器我司選用兩臺(tái)Cisco 3945集成多業(yè)務(wù)路由器。與老廠房互連路由器我司選用一臺(tái)Cisco 3945集成多業(yè)務(wù)路由器。</p><p>　　三臺(tái)CISCO 3945路由器默認(rèn)4個(gè)千兆接口其中兩個(gè)為COMBO接口。另外各配了一塊千兆70公里遠(yuǎn)距離單模模塊用于與****公司總部雙鏈路進(jìn)行互連，和與中山南路77

44、號(hào)原廠單鏈路進(jìn)行互連。</p><p><b>　　互聯(lián)網(wǎng)區(qū)域設(shè)計(jì)</b></p><p>　　互聯(lián)網(wǎng)區(qū)域這里有兩個(gè)運(yùn)營(yíng)商出口，其中一個(gè)運(yùn)營(yíng)商出口用于新廠區(qū)服務(wù)器提供MAIL、WEB等互聯(lián)網(wǎng)業(yè)務(wù)和員工互聯(lián)網(wǎng)業(yè)務(wù)訪問(wèn)。另一個(gè)運(yùn)營(yíng)商出口用于互聯(lián)網(wǎng)VPN接入?？紤]到安全性，在電信互聯(lián)網(wǎng)出口部署一臺(tái)高性能juniper NS-ISG-2000防火墻，提供NAT地址轉(zhuǎn)換和DMZ

45、區(qū)服務(wù)器地址映射，另外為了使得電信出口支持SSL VPN功能，我司配置了一臺(tái)juniper SA 700 SSL VPN設(shè)備。在運(yùn)營(yíng)商二互聯(lián)網(wǎng)出口部署一臺(tái)思科ASA 5520 VPN防火墻提供SSL VPN功能，并配置50個(gè)SSL VPN許可證，提供SSL VPN接入。使互聯(lián)網(wǎng)用戶通過(guò)SSL VPN訪問(wèn)新廠區(qū)內(nèi)部網(wǎng)絡(luò)，進(jìn)行業(yè)務(wù)訪問(wèn)和遠(yuǎn)程技術(shù)維護(hù)工作。在互聯(lián)網(wǎng)防火墻的DMZ區(qū)部署一臺(tái)思科48口千兆交換機(jī)，用于DMZ區(qū)服務(wù)器接入，提供互聯(lián)網(wǎng)

46、業(yè)務(wù)。</p><p><b>　　安全區(qū)域設(shè)計(jì)</b></p><p>　　隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)系統(tǒng)潛在面臨著各種類型的威脅，包括內(nèi)部和外部威脅，已知和未知威脅。一般來(lái)說(shuō)，內(nèi)部威脅比外部威脅的損失更高、破壞性更大，同時(shí)，外部威脅發(fā)生的頻率卻更高。這些威脅，都對(duì)網(wǎng)絡(luò)自身的穩(wěn)定運(yùn)行帶來(lái)了極大的安全隱患，問(wèn)題一旦發(fā)作，會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備資源耗盡，網(wǎng)絡(luò)帶寬被塞滿，網(wǎng)絡(luò)系統(tǒng)無(wú)

47、法正常工作，使得企業(yè)業(yè)務(wù)不能有效進(jìn)行，應(yīng)用系統(tǒng)被侵入或篡改，造成的損失非常巨大，后果極為嚴(yán)重。</p><p>　　本次項(xiàng)目?jī)?nèi)部基礎(chǔ)網(wǎng)絡(luò)安全主要包括以下幾個(gè)系統(tǒng)：防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)和身份認(rèn)證系統(tǒng)。</p><p><b>　　入侵檢測(cè)系統(tǒng)設(shè)計(jì)</b></p><p>　　在本次項(xiàng)目中，外聯(lián)邊界入侵檢測(cè)系統(tǒng)部署在

48、外聯(lián)邊界防火墻之后，對(duì)通過(guò)防火墻過(guò)濾的信息進(jìn)行4-7層的檢測(cè)。入侵檢測(cè)系統(tǒng)探測(cè)器采用并聯(lián)的方式部署，但入侵檢測(cè)與防護(hù)系統(tǒng)在線部署是當(dāng)前的趨勢(shì)，在線的部署能夠?qū)崟r(shí)的檢測(cè)并抵御攻擊，相比單純的檢測(cè)，安全級(jí)別更高。但在線的部署也對(duì)入侵檢測(cè)與防護(hù)設(shè)備的性能，檢測(cè)能力提出了更高的要求?？紤]到上述因素，在滿足標(biāo)書(shū)技術(shù)要求的基礎(chǔ)上，我司選用用思科的IPS 4260系列入侵檢測(cè)系統(tǒng)。思科 IPS 4200系列傳感器和Cisco IPS傳感器軟件是思科入

49、侵防御解決方案的核心組件。憑借思科 IPS傳感器軟件的內(nèi)置防御技術(shù)，思科 IPS 4200系列傳感器能準(zhǔn)確地檢測(cè)、分類和終止惡意流量的傳輸。</p><p><b>　　漏洞掃描系統(tǒng)設(shè)計(jì)</b></p><p>　　由于網(wǎng)絡(luò)具有開(kāi)放性，使主機(jī)、網(wǎng)絡(luò)設(shè)備直接面對(duì)大量的攻擊的可能。攻擊可能來(lái)自于網(wǎng)絡(luò)的各個(gè)方面。而日益增加的網(wǎng)絡(luò)攻擊手段，也不斷地降低網(wǎng)絡(luò)的安全性。操作系統(tǒng)的

50、日益復(fù)雜，協(xié)議本身的安全漏洞，都是對(duì)網(wǎng)絡(luò)的大量威脅。</p><p>　　我司選用啟明星辰硬件漏洞掃描系統(tǒng)，定期對(duì)絡(luò)進(jìn)行漏洞掃描和安全評(píng)估，網(wǎng)絡(luò)安全評(píng)估系統(tǒng)是對(duì)Internet和Intranet中所有部件如WEB站點(diǎn)、防火墻、路由器、TCP/IP及相關(guān)協(xié)議服務(wù)進(jìn)行實(shí)踐性掃描、分析和評(píng)估，發(fā)現(xiàn)并報(bào)告系統(tǒng)中存在的弱點(diǎn)和漏洞，評(píng)估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施。</p><p><b>　　安

51、全審計(jì)系統(tǒng)設(shè)計(jì)</b></p><p>　　當(dāng)用戶的計(jì)算機(jī)網(wǎng)絡(luò)擴(kuò)展到包含了許多主機(jī)和應(yīng)用系統(tǒng)時(shí)，管理與安全相關(guān)的事件變成越來(lái)越復(fù)雜的任務(wù)。而操作系統(tǒng)本身雖然提供審計(jì)工具，但起不到多大作用。它們?nèi)鄙僦庇^的界面、提供的功能有限，給出含義模糊甚至無(wú)用的事件消息。本地操作系統(tǒng)的審計(jì)工具提供有限的功能，給出含義模糊的或者甚至無(wú)用的事件消息。其中主要存在的問(wèn)題：</p><p>　　審計(jì)記

52、錄會(huì)增大并被覆寫(xiě)。</p><p>　　審計(jì)數(shù)據(jù)在本地寫(xiě)入和丟棄。</p><p>　　發(fā)生在不同主機(jī)上的事件不能關(guān)聯(lián)起來(lái)。</p><p>　　在本地審計(jì)記錄中產(chǎn)生了如此大量的數(shù)據(jù)以至于無(wú)法發(fā)現(xiàn)重要的事件。</p><p>　　不能跨平臺(tái)分析審計(jì)記錄。</p><p>　　審計(jì)人員這為每一環(huán)境使用不同的審計(jì)工具。&l

53、t;/p><p>　　因此需要的是一個(gè)能清楚地將相關(guān)數(shù)據(jù)與安全性以及系統(tǒng)管理員聯(lián)系起來(lái)，并產(chǎn)生快速評(píng)價(jià)與響應(yīng)的解決方案。此外，隨著電腦黑客的攻擊和客戶的電子商務(wù)環(huán)境日趨復(fù)雜，快速發(fā)現(xiàn)訪問(wèn)模式和訪問(wèn)行為中的可疑情況已經(jīng)成為客戶的一個(gè)基本需求。</p><p>　　安全審計(jì)系統(tǒng)使電子商務(wù)安全信息觸手可及。這一綜合安全審計(jì)解決方案可以有效地收集和分析來(lái)自異構(gòu)服務(wù)器和其它來(lái)源的事件數(shù)據(jù)，使系統(tǒng)管理員能

54、夠輕松識(shí)別電子商務(wù)環(huán)境中潛在的惡意系統(tǒng)活動(dòng)。 </p><p>　　該系統(tǒng)收集用戶范圍內(nèi)的安全和系統(tǒng)審計(jì)信息，同時(shí)不會(huì)像其它審計(jì)產(chǎn)品那樣會(huì)降低系統(tǒng)性能或造成網(wǎng)絡(luò)流量阻塞。同時(shí)它克服了UNIX/Windows NT 管理障礙，是一個(gè)真正的跨平臺(tái)安全事件管理解決方案。該系統(tǒng)能提供的基本審計(jì)和分析功能，可以幫助客戶明顯地降低受到來(lái)自外界和內(nèi)部的惡意侵襲的風(fēng)險(xiǎn)。而且電子簽名法的出臺(tái)，使得強(qiáng)審計(jì)的日志可以作為給犯罪份子定罪

55、的法律依據(jù)！</p><p>　　本次項(xiàng)目我司選用啟明星辰CA500安全審計(jì)系統(tǒng)。</p><p><b>　　身份認(rèn)證系統(tǒng)設(shè)計(jì)</b></p><p>　　網(wǎng)絡(luò)信息安全是指通過(guò)保護(hù)網(wǎng)絡(luò)程序、數(shù)據(jù)或者設(shè)備，使其免受非授權(quán)使用或訪問(wèn)，來(lái)達(dá)到保護(hù)信息和資源、保護(hù)客戶和用戶、保證私有性等目的。為了確保在各種攻擊下，網(wǎng)絡(luò)程序和數(shù)據(jù)在服務(wù)器、物理信道和主

56、機(jī)上的安全性，網(wǎng)絡(luò)安全必須有效地實(shí)現(xiàn)以下各種功能：</p><p>　　身份認(rèn)證（Authentication）鑒定信息的真實(shí)性，核實(shí)源實(shí)體與接受實(shí)體是否與宣稱的一致。</p><p>　　授權(quán)（Authorization）用一些特殊的參數(shù)表明訪問(wèn)（或存?。┑臋?quán)限。</p><p>　　保密性（Confidentiality）使信息只被授權(quán)用戶享用，確保通信機(jī)密。&

57、lt;/p><p>　　完整性（Integrity）確保數(shù)據(jù)的完整和準(zhǔn)確。</p><p>　　不可否認(rèn)（Nonrepudiation）驗(yàn)明身份后，不能夠拒絕傳送和接受。</p><p>　　在所有功能中，身份認(rèn)證（Authentication）是最基本最重要的環(huán)節(jié)，即使將授權(quán)、保密性、完整性、不可否認(rèn)等環(huán)節(jié)做得很完善，但如果盜用了合法的帳號(hào)和口令登錄系統(tǒng)，系統(tǒng)仍然認(rèn)為

58、他是合法用戶，給予他相應(yīng)的訪問(wèn)權(quán)限，使系統(tǒng)處于危險(xiǎn)狀態(tài)。</p><p>　　為了解決無(wú)線用戶和外來(lái)用戶有線接入的安全，我司選用思科ACS身份認(rèn)證系統(tǒng)，對(duì)無(wú)線和有線用戶進(jìn)行身份認(rèn)證提高網(wǎng)絡(luò)安全性。</p><p><b>　　網(wǎng)絡(luò)管理系統(tǒng)設(shè)計(jì)</b></p><p>　　通過(guò)在網(wǎng)絡(luò)中心安裝集中網(wǎng)管系統(tǒng)，通過(guò)帶內(nèi)的方式實(shí)現(xiàn)對(duì)整網(wǎng)設(shè)備的統(tǒng)一管理，提

59、供集中、統(tǒng)一、分級(jí)、分權(quán)的網(wǎng)元管理、網(wǎng)絡(luò)管理功能。網(wǎng)管系統(tǒng)采用先進(jìn)的組件化結(jié)構(gòu)，通過(guò)SNMP協(xié)議由網(wǎng)管中心服務(wù)器發(fā)出管理信息報(bào)文，各寬帶網(wǎng)絡(luò)設(shè)備上的網(wǎng)管代理進(jìn)行本設(shè)備運(yùn)行狀態(tài)，數(shù)據(jù)信息的收集，然后通過(guò)SNMP協(xié)議將本網(wǎng)絡(luò)設(shè)備的網(wǎng)管信息上報(bào)給網(wǎng)管中心服務(wù)器，由網(wǎng)管中心服務(wù)器統(tǒng)一對(duì)上報(bào)的網(wǎng)管信息進(jìn)行處理和分析，然后通過(guò)SNMP協(xié)議下發(fā)控制命令，由各設(shè)備網(wǎng)管代理接收控制命令后，完成對(duì)本設(shè)備的管理和控制。綜合網(wǎng)管系統(tǒng)提供如下管理能力：</

60、p><p><b>　　拓?fù)涔芾?lt;/b></p><p>　　拓?fù)涔芾碛糜跇?gòu)造并管理整個(gè)通信網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過(guò)自動(dòng)上載網(wǎng)絡(luò)設(shè)備的拓?fù)鋽?shù)據(jù)形成與實(shí)際網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)相同的網(wǎng)絡(luò)拓?fù)湟晥D。運(yùn)行中通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行定時(shí)（根據(jù)用戶設(shè)定的每一設(shè)備的狀態(tài)與配置輪詢間隔時(shí)間）的輪循監(jiān)視與設(shè)備上報(bào)TRAP或告警處理，保證顯示網(wǎng)絡(luò)視圖與實(shí)際網(wǎng)絡(luò)拓?fù)湟恢?，用戶可通過(guò)瀏覽網(wǎng)絡(luò)視圖來(lái)實(shí)時(shí)了解整個(gè)

61、網(wǎng)絡(luò)的運(yùn)行情況。</p><p>　　網(wǎng)管系統(tǒng)的拓?fù)湟晥D是采用分層結(jié)構(gòu)的，其中拓?fù)漤攲语@示的子圖稱為視圖，根據(jù)被管對(duì)象的種類和實(shí)際需求抽象出了幾種視圖顯示在拓?fù)涞捻攲?，目前包含了三個(gè)邏輯視圖（IP設(shè)備視圖、交換設(shè)備視圖和接入設(shè)備視圖）和一個(gè)物理視圖。在這些視圖下是子網(wǎng)，它是具有相同屬性的設(shè)備的集合，在子網(wǎng)下就是具體的網(wǎng)絡(luò)設(shè)備，子網(wǎng)也可以再包含子網(wǎng)。其中邏輯視圖中只包含了各自類型的網(wǎng)絡(luò)設(shè)備，它反映了網(wǎng)絡(luò)設(shè)備之間的邏

62、輯關(guān)系，而物理視圖中的子圖和設(shè)備是用戶自己設(shè)定的，用戶可以根據(jù)地理位置去創(chuàng)建物理子圖并定義它們之間的連接關(guān)系。</p><p>　　IP視圖用于IP層網(wǎng)絡(luò)拓?fù)涞墓芾?，描述整個(gè)基于IP路由器的IP網(wǎng)絡(luò)的網(wǎng)絡(luò)層拓?fù)浣Y(jié)構(gòu)，主要包括路由器、LAN Switch、接入服務(wù)器和計(jì)算機(jī)等IP設(shè)備?；贗P路由器的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分成兩層，上層由路由器和IP子網(wǎng)組成，IP子網(wǎng)表示某一傳輸類型的物理網(wǎng)絡(luò)，如以太網(wǎng)，F(xiàn)rame Rela

63、y網(wǎng)等，在同一IP子網(wǎng)下的所有設(shè)備具有同樣的IP子網(wǎng)地址設(shè)置；路由器和IP子網(wǎng)之間通過(guò)路由器端口連接，如以太網(wǎng)口，F(xiàn)rame Relay廣域網(wǎng)口等。路由器和路由器之間的連接有兩種：一是通過(guò)IP子網(wǎng)連接，如兩路由器通過(guò)以太網(wǎng)或Frame Relay網(wǎng)互連；二是直接的點(diǎn)到點(diǎn)連接，如PPP連接等。 </p><p>　　物理視圖用于反映網(wǎng)絡(luò)設(shè)備之間的物理關(guān)系和連接，用戶可以自由創(chuàng)建物理子網(wǎng)，在物理子網(wǎng)中加入邏輯子網(wǎng)中已

64、經(jīng)存在的設(shè)備，建立它們之間的連接關(guān)系。</p><p>　　拓?fù)涔芾碇饕僮饔性鰟h設(shè)備或子網(wǎng)，查看節(jié)點(diǎn)、鏈路或子網(wǎng)的狀態(tài)， 通過(guò)定時(shí)輪詢或手動(dòng)啟動(dòng)對(duì)任一設(shè)備的狀態(tài)或配置數(shù)據(jù)輪詢，實(shí)時(shí)刷新拓?fù)滹@示數(shù)據(jù)。</p><p>　　拓?fù)涔芾磉€具有改變背景圖象、設(shè)置網(wǎng)絡(luò)對(duì)象屬性、保存拓?fù)湟晥D修改、查找網(wǎng)絡(luò)對(duì)象、顯示網(wǎng)絡(luò)對(duì)象信息、拓?fù)湟晥D顯示效果設(shè)置等功能。用戶可對(duì)每個(gè)子網(wǎng)設(shè)置背景圖象（gif）格式，背

65、景圖象的大小根據(jù)窗口大小自動(dòng)調(diào)整。</p><p><b>　　配置管理</b></p><p>　　網(wǎng)管系統(tǒng)提供全網(wǎng)瀏覽樹(shù)和設(shè)備面板圖對(duì)配置進(jìn)行維護(hù)。</p><p>　　全網(wǎng)瀏覽樹(shù)把網(wǎng)絡(luò)中的所有設(shè)備按不同的分組方式組織在一個(gè)樹(shù)形結(jié)構(gòu)中，操作者可靈活切換要進(jìn)行配置操作的設(shè)備。對(duì)所有設(shè)備和設(shè)備組件的操作都通過(guò)右鍵菜單來(lái)完成。用戶右鍵點(diǎn)中待管理的

66、對(duì)象，系統(tǒng)將自動(dòng)彈出該設(shè)備或設(shè)備組件所對(duì)應(yīng)的管理菜單，所有設(shè)備和設(shè)備組件（如端口等）的配置、實(shí)時(shí)性能管理功能都可通過(guò)該右鍵菜單完成。</p><p>　　本瀏覽樹(shù)可裝載并顯示所有路由器，以及其它支持SNMP協(xié)議的設(shè)備端口數(shù)據(jù)，在瀏覽樹(shù)中的端口顯示數(shù)據(jù)包括：端口狀態(tài)，端口索引，端口類型，IP地址，掩碼設(shè)置（如設(shè)置有），用戶右鍵點(diǎn)中該端口即可彈出該端口所對(duì)應(yīng)的配置菜單。</p><p>　　通

67、過(guò)在拓?fù)鋱D上雙擊拓?fù)湓O(shè)備節(jié)點(diǎn)啟動(dòng)設(shè)備面板圖，在面板視圖上對(duì)設(shè)備進(jìn)行配置；設(shè)備面板圖和全網(wǎng)瀏覽樹(shù)所提供的配置功能是完全一樣的。在面板上進(jìn)行配置顯得更直觀，提供設(shè)備的機(jī)架視圖，實(shí)時(shí)顯示各單板的狀態(tài)和告警信息，對(duì)于面板中的每個(gè)單板節(jié)點(diǎn)，提供右鍵彈出菜單，該菜單是針對(duì)該單板的一系列的應(yīng)用，包括配置，性能、維護(hù)管理等；而全網(wǎng)瀏覽樹(shù)則是提供了一種對(duì)全網(wǎng)設(shè)備進(jìn)行管理的手段， 在配置較多的設(shè)備時(shí)比較方便。</p><p><

68、;b>　　故障管理</b></p><p>　　故障管理主要包括對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢?cè)O(shè)備的歷史告警信息和運(yùn)行信息，定義發(fā)送過(guò)來(lái)的SNMP Trap，查詢和配置設(shè)備的告警表。</p><p>　　故障管理系統(tǒng)收集和處理設(shè)備告警。設(shè)備告警包括Snmp Trap和MML格式的告警，前者告警來(lái)源為SNMP設(shè)備，大部分?jǐn)?shù)據(jù)通信設(shè)備支持SNMP。 Trap

69、和Alarm可以同屏顯示也可以分屏顯示。（以下敘述中“告警”如無(wú)特殊說(shuō)明包括 Snmp Trap 和 MML Alarm）。</p><p>　　故障管理系統(tǒng)包括故障管理后臺(tái)、實(shí)時(shí)告警顯示、歷史告警顯示、Trap規(guī)則定義工具，故障監(jiān)視面板和當(dāng)前故障窗口。故障管理后臺(tái)接收設(shè)備告警、寫(xiě)數(shù)據(jù)庫(kù)、發(fā)送給實(shí)時(shí)告警前臺(tái)顯示，如果有其他應(yīng)用關(guān)心某些類型的告警，還要上報(bào)給該應(yīng)用。實(shí)時(shí)告警顯示從故障后臺(tái)實(shí)時(shí)接收設(shè)備告警并顯示；歷史

70、告警顯示從數(shù)據(jù)庫(kù)檢索告警并顯示；實(shí)時(shí)告警顯示和歷史告警顯示都支持過(guò)濾條件，可以檢索指定設(shè)備（一個(gè)或多個(gè)）的告警，也可以按類別檢索指定類型的告警。Trap規(guī)則定義工具主要是定義Snmp Trap的描述信息。因?yàn)镾nmp Trap是二進(jìn)制編碼，Trap規(guī)則定義了該二進(jìn)制流中各字段的描述信息。故障管理后臺(tái)接收設(shè)備發(fā)送的Trap后根據(jù)當(dāng)前的 Trap 規(guī)則定義對(duì) Trap 進(jìn)行解釋，將解釋后得到的告警數(shù)據(jù)寫(xiě)入歷史告警庫(kù)，并發(fā)送給前臺(tái)程序。 MM

71、L Alarm本身是ASCII字符流，故障后臺(tái)經(jīng)過(guò)適當(dāng)?shù)淖侄味ㄎ缓笾苯尤霂?kù)和發(fā)送給前臺(tái)進(jìn)程。故障監(jiān)視面板為您提供了一個(gè)直觀的了解設(shè)備故障情況的工具，它可以提供單個(gè)設(shè)備或所有設(shè)備的告警狀態(tài)數(shù)據(jù)，實(shí)時(shí)刷新?tīng)顟B(tài)數(shù)據(jù)，并可以通過(guò)激活當(dāng)前告警窗口為您提供告警的詳細(xì)數(shù)據(jù)。它由六個(gè)代表不同級(jí)別故障的告警</p><p><b>　　性能管理</b></p><p>　　用戶可以獲得

72、網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并可以設(shè)置性能的門(mén)限值，當(dāng)性能超過(guò)門(mén)限時(shí)，網(wǎng)絡(luò)以告警的方式通知網(wǎng)管系統(tǒng)。用戶也可以收集一定時(shí)間段內(nèi)的性能數(shù)據(jù)，并保存在數(shù)據(jù)庫(kù)中，以做進(jìn)一步的分析。 該應(yīng)用提供三種方式對(duì)采集來(lái)的數(shù)據(jù)進(jìn)行顯示：折線圖方式、直方圖方式和餅圖方式。折線圖方式在一個(gè)窗口內(nèi)可顯示一定時(shí)間范圍內(nèi)的各個(gè)對(duì)象表達(dá)式的值；直方圖方式在一個(gè)窗口內(nèi)只顯示某一采集時(shí)間點(diǎn)的各個(gè)對(duì)象表達(dá)式的值；餅圖方式顯示的是某一數(shù)據(jù)采集點(diǎn)各個(gè)對(duì)象表達(dá)式之間的比例值。用戶在

73、此應(yīng)用中還可以設(shè)置對(duì)性能數(shù)據(jù)輪循的間隔，采集數(shù)據(jù)的顯示比例和顯示顏色。</p><p>　　我司選用思科CISCO WORKS2000作為網(wǎng)絡(luò)基礎(chǔ)設(shè)備的管理系統(tǒng)。CiscoWorks Windows 是全面的網(wǎng)絡(luò)管理軟件，它為簡(jiǎn)單地管理中小型企業(yè)網(wǎng)絡(luò)或工作組提供功能強(qiáng)大的工具集。動(dòng)態(tài)的狀態(tài)、統(tǒng)計(jì)以及全面的配置信息等可用于 Cisco 路由器、交換機(jī)、集線器和訪問(wèn)服務(wù)器。</p><p>&

74、lt;b>　　服務(wù)器區(qū)域設(shè)計(jì)</b></p><p>　　根據(jù)服務(wù)器區(qū)域設(shè)計(jì)，拓?fù)淙缦拢?lt;/p><p>　　服務(wù)器區(qū)域部署兩臺(tái)思科高性能Catalyst 6509交換機(jī)互為冗余備份，同時(shí)在6509交換機(jī)上各配置一塊FWSM防火墻模塊用于對(duì)服務(wù)器區(qū)域的安全防護(hù)。每臺(tái)6509另外配置了一塊48口光纖模塊和一塊48口千兆電口模塊，用于小型機(jī)及服務(wù)器接入，配置一塊萬(wàn)兆光纖模塊用

75、于與網(wǎng)絡(luò)核心區(qū)域設(shè)備nexus7000互連。</p><p>　　服務(wù)器區(qū)域有兩排服務(wù)器機(jī)柜，每一排機(jī)柜各部署一臺(tái)思科3750-12S和一臺(tái)3750-48TS交換機(jī)，兩臺(tái)3750通過(guò)堆疊模塊進(jìn)行堆疊，用于PC服務(wù)器光纖及銅纜接入。</p><p><b>　　辦公大樓區(qū)域設(shè)計(jì)</b></p><p>　　辦公大樓共有12個(gè)弱電間，各弱電間信息點(diǎn)

76、位情況如下表：</p><p>　　根據(jù)辦公大樓信息點(diǎn)，辦公大樓網(wǎng)絡(luò)拓?fù)鋱D如下：</p><p>　　辦公大樓匯聚交換機(jī)采用兩臺(tái)思科4506互為冗余，匯聚交換機(jī)配置14個(gè)萬(wàn)兆接口模塊用于與核心交換機(jī)nexus 7000互連和樓層交換機(jī)接入。配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護(hù)。考慮到辦公大樓業(yè)務(wù)的重要性，所有接入交換機(jī)采用萬(wàn)兆上聯(lián)至兩臺(tái)思科4506匯聚交換機(jī)。</p&g

77、t;<p>　　辦公大樓樓層交換機(jī)我司選用思科2960-S系列可堆疊交換機(jī)，部署10臺(tái)思科48口萬(wàn)兆POE交換機(jī)和2臺(tái)思科24口萬(wàn)兆POE交換機(jī)用于無(wú)線AP POE供電接入和萬(wàn)兆上聯(lián)匯聚交換機(jī)，另外配置2臺(tái)48口千兆交換機(jī)和4臺(tái)24口千兆交換機(jī)用于終端接入。</p><p><b>　　技術(shù)中心區(qū)域設(shè)計(jì)</b></p><p>　　技術(shù)中心區(qū)域包括技術(shù)中

78、心和實(shí)驗(yàn)實(shí)，其中技術(shù)中心有8個(gè)弱電間，實(shí)驗(yàn)室有5個(gè)弱電間，實(shí)驗(yàn)室弱電間與技術(shù)中心弱電間共用，但是設(shè)備互為獨(dú)立。各弱電間信息點(diǎn)位情況如下表：</p><p>　　根據(jù)技術(shù)中心區(qū)域信息點(diǎn)位，技術(shù)中心網(wǎng)絡(luò)拓?fù)鋱D如下：</p><p>　　技術(shù)中心匯聚交換機(jī)采用兩臺(tái)思科4506互為冗余備份，每臺(tái)匯聚交換機(jī)配置2端口萬(wàn)兆光纖模塊用于與核心交換機(jī)nexus7000相連，配置一塊24口千兆光纖模塊用于樓

79、層交換機(jī)接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護(hù)。技術(shù)中心樓層交換機(jī)選用思科2960-S系列可堆疊交換機(jī)，部署4臺(tái)48口千兆POE交換機(jī)和4臺(tái)24口千兆POE交換機(jī)用于無(wú)線AP POE供電接入和終端接入，另外4臺(tái)48口千兆交換機(jī)用于終端接入。</p><p>　　實(shí)驗(yàn)室通過(guò)部署一臺(tái)思科3560 12口千兆光纖交換機(jī)作為匯聚交換機(jī)提供樓層交換機(jī)接入，另外與技術(shù)中心匯聚交換機(jī)之間通過(guò)部署一臺(tái)思科ASA

80、5540防火墻用于安全隔離。實(shí)驗(yàn)室樓層交換機(jī)同樣選用思科2960-S系列可堆疊交換機(jī)，通過(guò)部署5臺(tái)48口千兆交換機(jī)和3臺(tái)24口千兆交換機(jī)用于終端接入。</p><p><b>　　卷包中控區(qū)域設(shè)計(jì)</b></p><p>　　卷包中控區(qū)域包括卷包中控和卷包數(shù)采。其中卷包中控有10個(gè)弱電間，卷包數(shù)采有4個(gè)弱電間，各弱電間信息點(diǎn)如下表：</p><p&

81、gt;　　根據(jù)信息點(diǎn)情況，卷包中控網(wǎng)絡(luò)拓?fù)淙缦拢?lt;/p><p>　　卷包中控匯聚交換機(jī)采用兩臺(tái)思科4506互為冗余備份，每臺(tái)匯聚交換機(jī)配置2端口萬(wàn)兆光纖模塊用于與核心交換機(jī)nexus7000相連，配置一塊24口千兆光纖模塊用于樓層交換機(jī)接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護(hù)。卷包中控樓層交換機(jī)選用思科2960-S系列可堆疊交換機(jī)，部署1臺(tái)48口千兆POE交換機(jī)用于無(wú)線AP POE供電接入和終端

82、接入，另外部署4臺(tái)48口千兆交換機(jī)和5臺(tái)24口千兆交換機(jī)用于終端接入。在卷包中控匯聚交換機(jī)與物流網(wǎng)絡(luò)之間部署兩臺(tái)思科ASA5540防火墻用于安全隔離。</p><p>　　卷包數(shù)采網(wǎng)絡(luò)分為生產(chǎn)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)，生產(chǎn)網(wǎng)絡(luò)選用思科IE3000系列工業(yè)交換機(jī)，共部署一臺(tái)思科3750-M交換機(jī)作為匯聚交換機(jī)，另外部署5臺(tái)24口IE3000、2臺(tái)16口IE3000和1臺(tái)8口IE3000工業(yè)交換機(jī)用于生產(chǎn)網(wǎng)絡(luò)終端接入。管理網(wǎng)絡(luò)

83、接入交換機(jī)選用思科2960-S系列交換機(jī)，通過(guò)部署一臺(tái)思科3560 12口千兆光纖交換機(jī)作為匯聚交換機(jī)提供樓層交換機(jī)接入，另外部署1臺(tái)48口千兆POE交換機(jī)和2臺(tái)24口千兆POE交換機(jī)用于無(wú)線AP POE供電接入和終端接入，部署1臺(tái)48口千兆交換機(jī)和1臺(tái)24口千兆交換機(jī)用于終端接入。卷包數(shù)采生產(chǎn)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)與卷包中控匯聚交換機(jī)之間部署一臺(tái)思科ASA5540防火墻用于安全隔離。</p><p><b>

84、　　制絲中控區(qū)域設(shè)計(jì)</b></p><p>　　制絲中控區(qū)域包括制絲中控和制絲車間，其中制絲中控有5個(gè)弱電間，制絲車間有9個(gè)弱電間。各弱電間信息點(diǎn)情況如下：</p><p>　　根據(jù)制絲中控區(qū)域信息點(diǎn)情況，制絲中控網(wǎng)絡(luò)拓?fù)鋱D如下：</p><p>　　制絲中控匯聚交換機(jī)采用兩臺(tái)思科6509互為冗余備份，每臺(tái)匯聚交換機(jī)配置4端口萬(wàn)兆光纖模塊用于與核心交換

85、機(jī)nexus7000相連，配置一塊FWSM防火墻模塊，開(kāi)啟虛擬防火墻功能，用于與高架庫(kù)和制絲集控網(wǎng)絡(luò)的安全隔離。配置一塊24口千兆光纖模塊用于樓層交換機(jī)接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護(hù)。制絲中控樓層交換機(jī)選用思科2960-S系列可堆疊交換機(jī)，部署2臺(tái)48口千兆POE交換機(jī)用于無(wú)線AP POE供電接入和終端接入，另外4臺(tái)24口千兆交換機(jī)用于終端接入。</p><p>　　制絲車間匯聚交換機(jī)通

86、過(guò)部署兩臺(tái)思科3560 12口千兆光纖交換機(jī)作為匯聚交換機(jī)提供樓層交換機(jī)接入，另外與制絲中控匯聚交換機(jī)之間通過(guò)兩條光纖鏈路進(jìn)行互連。制絲車間樓層交換機(jī)同樣選用思科2960-S系列可堆疊交換機(jī)，通過(guò)部署9臺(tái)24口千兆交換機(jī)用于終端接入。</p><p>　　能源管理中心區(qū)域設(shè)計(jì)</p><p>　　能源管理中心區(qū)域共有15個(gè)弱電間，各弱電間信息點(diǎn)情況如下表：</p><p

87、>　　根據(jù)能源管理中心信息點(diǎn)，能源管理網(wǎng)絡(luò)拓?fù)鋱D如下：</p><p>　　能源管理中心匯聚交換機(jī)采用兩臺(tái)思科4506互為冗余備份，每臺(tái)匯聚交換機(jī)配置2端口萬(wàn)兆光纖模塊用于與核心交換機(jī)nexus7000相連，配置一塊24口千兆光纖模塊用于樓層交換機(jī)接入，配置48口千兆電口模塊用于服務(wù)器接入和日常網(wǎng)絡(luò)維護(hù)。部署兩臺(tái)思科ASA5540防火墻用于與能源管理生產(chǎn)網(wǎng)絡(luò)安全隔離。能源管理中心樓層交換機(jī)選用思科2960-

88、S系列可堆疊交換機(jī)，部署2臺(tái)48口千兆POE交換機(jī)和2臺(tái)24口千兆POE交換機(jī)用于無(wú)線AP POE供電接入和終端接入，另外1臺(tái)48口千兆交換機(jī)和5臺(tái)24口千兆交換機(jī)用于終端接入。</p><p><b>　　安防互聯(lián)區(qū)域設(shè)計(jì)</b></p><p>　　安防網(wǎng)絡(luò)將直接與辦公管理網(wǎng)核心交換機(jī)相連，考慮到網(wǎng)絡(luò)的安全性，在安防網(wǎng)絡(luò)與辦公管理網(wǎng)之間部署一臺(tái)思科ASA5540防

89、火墻，用于與安防網(wǎng)絡(luò)的安全隔離。</p><p><b>　　無(wú)線網(wǎng)絡(luò)設(shè)計(jì)</b></p><p>　　本項(xiàng)目的無(wú)線網(wǎng)絡(luò)采用集中控制式的無(wú)線網(wǎng)絡(luò)架構(gòu)。</p><p>　　集中控制式的無(wú)線網(wǎng)絡(luò)同樣采用層次化的設(shè)計(jì)思路，可分為4個(gè)層次：無(wú)線終端層、無(wú)線接入層、有線傳輸層、網(wǎng)絡(luò)控制層。</p><p>　　無(wú)線終端層主要由筆

90、記本終端，無(wú)線手持設(shè)備， WIFI話機(jī)等組成。為無(wú)線網(wǎng)絡(luò)訪問(wèn)的發(fā)起方。</p><p>　　無(wú)線接入層包括不同類型的無(wú)線接入點(diǎn)，可能有室內(nèi)AP，室外型AP，甚至可以是MESH AP?？梢砸罁?jù)不同的環(huán)境，選取不同需求的無(wú)線接入點(diǎn)設(shè)備。無(wú)線接入點(diǎn)通過(guò)有線傳輸層和無(wú)線控制器建立專用隧道進(jìn)行通信。</p><p>　　有線傳輸層為無(wú)線網(wǎng)數(shù)據(jù)的有線承載體，包括接入層交換機(jī)，匯聚層交換機(jī)等。</

91、p><p>　　網(wǎng)絡(luò)控制器包括無(wú)線控制器，無(wú)線定位設(shè)備，無(wú)線網(wǎng)絡(luò)網(wǎng)管等。無(wú)線控制器作為無(wú)線數(shù)據(jù)的終結(jié)點(diǎn)，將數(shù)據(jù)轉(zhuǎn)發(fā)給有線網(wǎng)絡(luò)，并提供豐富的智能化的無(wú)線網(wǎng)絡(luò)功能，提高無(wú)線網(wǎng)絡(luò)服務(wù)質(zhì)量。無(wú)線網(wǎng)管則提供一個(gè)一體化，高效率的網(wǎng)絡(luò)管理平臺(tái)。</p><p>　　本項(xiàng)目無(wú)線接點(diǎn)分布情況如下表：</p><p>　　具體無(wú)線拓?fù)鋱D如下：</p><p>　　辦

92、公大樓和技術(shù)中心無(wú)線接點(diǎn)均在辦公大樓內(nèi)，所以我司選用153臺(tái)思科3502I無(wú)線AP作為室內(nèi)AP。聯(lián)合工房、能源管理中心和卷包數(shù)無(wú)線接點(diǎn)均在廠房?jī)?nèi)，所以我司選用42臺(tái)思科3502I無(wú)線AP作為車間AP，每臺(tái)車間AP均配置了2.4G和5G天線。</p><p><b>　　無(wú)線控制器</b></p><p>　　無(wú)線網(wǎng)絡(luò)控制層需要對(duì)不同的對(duì)象進(jìn)行安全權(quán)限及網(wǎng)絡(luò)接入能力等方

93、面的控制。思科提供的網(wǎng)絡(luò)控制層可以根據(jù)不同的用戶對(duì)象做出不同的控制反應(yīng)，比如根據(jù)不同用戶群進(jìn)行不同的安全策略并且返回不同的服務(wù)質(zhì)量和服務(wù)控制參數(shù)。這樣，通過(guò)網(wǎng)絡(luò)控制層，每種用戶群都可以訪問(wèn)相應(yīng)的資源，并且得到相應(yīng)的服務(wù)質(zhì)量保證和安全保證。</p><p>　　在思科統(tǒng)一無(wú)線網(wǎng)絡(luò)中，無(wú)線接入點(diǎn)只執(zhí)行實(shí)時(shí)的802.11操作。管理和控制功能都由無(wú)線控制器執(zhí)行，無(wú)線控制器由眾多無(wú)線接入點(diǎn)所共享。無(wú)線接入點(diǎn)只執(zhí)行第一層和第

94、二層的功能，幀在這兩層進(jìn)入或離開(kāi)RF域，無(wú)線接入點(diǎn)完全依賴于無(wú)線控制器來(lái)執(zhí)行其它功能，如用戶認(rèn)證、安全策略管理以及RF信道和輸出功率的選擇。這種勞動(dòng)分工被稱為split-MAC架構(gòu)，正常的MAC操作被分到兩個(gè)不同的地方。無(wú)線網(wǎng)絡(luò)中的每個(gè)無(wú)線接入點(diǎn)都如此，它們必須將自己綁定到一個(gè)無(wú)線控制器才能啟動(dòng)并支持無(wú)線客戶端。無(wú)線控制器成為無(wú)線網(wǎng)絡(luò)的中央樞紐，支持分散在有線網(wǎng)絡(luò)中的大量無(wú)線接入點(diǎn)。</p><p>　　無(wú)線接入

95、點(diǎn)與無(wú)線控制器之間的綁定是通過(guò)建立一條隧道，用于傳輸與802.11相關(guān)的消息和客戶端數(shù)據(jù)。無(wú)線接入點(diǎn)和無(wú)線控制器可以位于同一個(gè)IP子網(wǎng)中，也可以位于兩個(gè)完全不同的IP子網(wǎng)，而且這兩個(gè)IP子網(wǎng)可以位于不同的地方。</p><p>　　無(wú)線接入點(diǎn)和無(wú)線控制器必須使用數(shù)字證書(shū)彼此認(rèn)證對(duì)方，這樣可以在每臺(tái)設(shè)備成為思科統(tǒng)一無(wú)線網(wǎng)絡(luò)的一部分前正確地對(duì)其進(jìn)行認(rèn)證，有助于確保惡意無(wú)線接入點(diǎn)和無(wú)線控制器無(wú)法進(jìn)入網(wǎng)絡(luò)。</p&

96、gt;<p>　　我司選用思科5508無(wú)線控制器一臺(tái)，用于對(duì)無(wú)線AP的統(tǒng)一接入管理。</p><p><b>　　無(wú)線網(wǎng)管</b></p><p>　　隨著網(wǎng)絡(luò)中的設(shè)備數(shù)量不斷增多，不可避免地需要一個(gè)網(wǎng)絡(luò)管理平臺(tái)進(jìn)行有效地管理和監(jiān)控。思科無(wú)線控制系統(tǒng)WCS是業(yè)界支持無(wú)線網(wǎng)絡(luò)規(guī)劃、配置、管理和移動(dòng)服務(wù)的領(lǐng)先平臺(tái)，它提供了一個(gè)強(qiáng)大的基礎(chǔ)平臺(tái)，使網(wǎng)絡(luò)管理員能從

97、中央地點(diǎn)設(shè)計(jì)、控制和監(jiān)控?zé)o線網(wǎng)絡(luò)，簡(jiǎn)化運(yùn)營(yíng)并降低總擁有成本。</p><p>　　憑借WCS，網(wǎng)絡(luò)管理員可擁有單一解決方案，來(lái)進(jìn)行RF預(yù)測(cè)、策略配置、網(wǎng)絡(luò)優(yōu)化、排障、用戶跟蹤、安全監(jiān)控和無(wú)線網(wǎng)絡(luò)系統(tǒng)管理。強(qiáng)大的圖形化界面使無(wú)線網(wǎng)絡(luò)的部署和運(yùn)營(yíng)簡(jiǎn)單且經(jīng)濟(jì)有效，詳細(xì)的趨勢(shì)和分析報(bào)告使WCS可為持續(xù)網(wǎng)絡(luò)運(yùn)營(yíng)提供重要作用。</p><p>　　WCS運(yùn)行在Windows或者Linux服務(wù)器平臺(tái)上，

98、有一個(gè)內(nèi)嵌數(shù)據(jù)庫(kù)。它提供了可管理數(shù)百個(gè)思科無(wú)線控制器的可擴(kuò)展性，而這些無(wú)線控制器可管理數(shù)千思科無(wú)線接入點(diǎn)。</p><p>　　思科WCS使無(wú)線網(wǎng)絡(luò)的配置、監(jiān)控和管理就如同有線系統(tǒng)管理一樣簡(jiǎn)便高效。它包括以下核心功能：</p><p>　　思科WCS提供的工具能幫助網(wǎng)絡(luò)管理員查看其無(wú)線網(wǎng)絡(luò)的布局，并持續(xù)監(jiān)控?zé)o線網(wǎng)絡(luò)性能。它可以查看無(wú)線網(wǎng)絡(luò)中現(xiàn)有設(shè)備包括無(wú)線控制器，無(wú)線AP，以及無(wú)線客戶端的

99、現(xiàn)有狀態(tài)及統(tǒng)計(jì)信息。這些信息包括：網(wǎng)絡(luò)設(shè)備的狀態(tài)，性能；無(wú)線終端的狀態(tài)，性能；無(wú)線RF環(huán)境的狀態(tài)等等，為無(wú)線網(wǎng)絡(luò)的管理提供了重要的數(shù)據(jù)。</p><p>　　同時(shí)，WCS可以提供詳細(xì)的熱點(diǎn)圖，顯示了所輸入的地面之上的RF覆蓋范圍。思科WCS還提供了一個(gè)門(mén)戶，用戶能通過(guò)它獲得思科無(wú)線控制器所提供的實(shí)時(shí)RF管理功能，包括信道分配和接入點(diǎn)發(fā)射功率設(shè)置。此外，思科WCS能快速查看覆蓋盲區(qū)、報(bào)警和關(guān)鍵的使用統(tǒng)計(jì)數(shù)據(jù)，實(shí)現(xiàn)了

100、方便的無(wú)線局域網(wǎng)監(jiān)控。</p><p>　　思科WCS只需要將無(wú)線控制添加入系統(tǒng)，就可自動(dòng)發(fā)現(xiàn)相關(guān)控制器上的無(wú)線AP以及這些AP上的無(wú)線客戶端，無(wú)需手工添加AP。這樣的自動(dòng)發(fā)現(xiàn)功能極大的簡(jiǎn)化了無(wú)線網(wǎng)絡(luò)的管理工作。</p><p>　　思科WCS在網(wǎng)絡(luò)報(bào)告和對(duì)噪音級(jí)別、信噪比、干擾、信號(hào)強(qiáng)度、客戶端、控制器、接入點(diǎn)、安全和性能等進(jìn)行快速搜索的基礎(chǔ)上，支持網(wǎng)絡(luò)故障排除。藉此，網(wǎng)絡(luò)管理員能在無(wú)線

101、網(wǎng)絡(luò)的所有層次隔離和解決問(wèn)題。另外，還提供了一個(gè)客戶端故障排除工具和支持與Cognio Spectrum Expert集成，以便對(duì)客戶端設(shè)備和非Wi-Fi干擾故障排除。</p><p>　　客戶端故障排除工具：一個(gè)內(nèi)置的客戶端故障排除工具允許網(wǎng)絡(luò)管理員快速方便地對(duì)客戶端問(wèn)題進(jìn)行故障排除。故障排除面板上顯示詳細(xì)的客戶端信息，以幫助網(wǎng)絡(luò)管理員快速進(jìn)行故障排除。該工具包括一個(gè)總結(jié)頁(yè)面，上面列出了所定義的問(wèn)題和建議采取的

102、故障排除行動(dòng)，以及日志分析，它從控制器獲取日志消息，提供詳細(xì)事件歷史記錄。該工具能幫助網(wǎng)絡(luò)管理員通過(guò)逐步方式，對(duì)客戶端從物理層到網(wǎng)絡(luò)層進(jìn)行問(wèn)題糾錯(cuò)。</p><p>　　思科WCS支持可定制的安全訪客接入，在保持其無(wú)線網(wǎng)絡(luò)安全的同時(shí)，使客戶、供應(yīng)商和合作伙伴都能在受控情況下接入其無(wú)線網(wǎng)絡(luò)。借助思科訪客接入，管理員能向無(wú)線控制器上載一個(gè)HTML文件，以替代基于無(wú)線控制器的默認(rèn)訪客登錄頁(yè)面。管理員能先預(yù)覽定制頁(yè)，然后

103、再激活它并選擇顯示默認(rèn)訪客屏幕還是定制登錄屏幕。 </p><p>　　訪客用戶配置人員能夠根據(jù)時(shí)間和日期來(lái)安排和定制自動(dòng)訪客接入，并在訪客到達(dá)前通過(guò)電子郵件向他們發(fā)送登錄信息，對(duì)訪客進(jìn)行預(yù)配置。此外還能定義思科WCS園區(qū)、建筑物或樓層區(qū)域，來(lái)根據(jù)網(wǎng)絡(luò)地點(diǎn)限制訪客用戶的接入。密碼能自動(dòng)生成，也能人工定義。</p><p><b>　　主要設(shè)備選型</b></p&

104、gt;<p>　　核心交換機(jī)CISCO nexus 7000（2臺(tái)）</p><p>　　制絲中控匯聚交換機(jī)CISCO 6509（2臺(tái)）</p><p>　　制絲中控防火墻模塊CISCO FWSM（2臺(tái)）</p><p>　　萬(wàn)兆匯聚交換機(jī)CISCO 4506（2臺(tái)）</p><p>　　千兆匯聚交換機(jī)CISCO 4506（6臺(tái)

105、）</p><p>　　千兆匯聚光纖交換機(jī)CISCO 3560-E（4臺(tái)）</p><p>　　48口萬(wàn)兆POE交換機(jī)CISCO 2960S（10臺(tái)）</p><p>　　24口萬(wàn)兆POE交換機(jī)CISCO 2960S（2臺(tái)）</p><p>　　48口千兆POE交換機(jī)CISCO 2960S（10臺(tái)）</p><p>　

106、　24口千兆POE交換機(jī)CISCO 2960S（8臺(tái)）</p><p>　　48口千兆交換機(jī)CISCO 2960S（19臺(tái)）</p><p>　　24口千兆交換機(jī)CISCO 2960S（35臺(tái)）</p><p>　　工業(yè)以太網(wǎng)匯聚交換機(jī)CISCO 3750-M（1臺(tái)）</p><p>　　24口工業(yè)以太網(wǎng)交換機(jī)CISCO IE3000（5臺(tái)）