网络实验室建设安全系统与管理系统.docx

资源描述

网络实验室建设安全系统与管理系统.docx

《网络实验室建设安全系统与管理系统.docx》由会员分享，可在线阅读，更多相关《网络实验室建设安全系统与管理系统.docx（22页珍藏版）》请在冰豆网上搜索。

网络实验室建设安全系统与管理系统.docx

网络实验室建设安全系统与管理系统

实验报告书

课程名称：

网络实验室建设、安全与管理

专业：

班级：

学号：

姓名：

指导老师：

实验二：

网络设备采购方案

一.广东南雄市政府网络设计拓扑图

二.广东南雄市政府网络设计概况

内部网络要求：

1、要求通过采用两台CISCO的24口千兆交换机WS-C3560G-24TS-S作为财局的核心交换机。

2、要求通过采用4台CISCO的24口交换机WS-C2960-24TT-L作为财局的办公区接入交换机。

核心交换机使用双核心的架构，接入层交换机以双链路连接核心来提高链路的高可用性。

同时为了解决双核心交换机之间的数据同步，为客户端提供冗余的效果，使用HSRP的协议，使两台核心交换机进行协同工作。

每台交换机通过MSTP和HSRP协议达到两条上联链路的负载分担。

万一其中一台核心设备出现故障，还有一条链路可用，可用带宽比较高。

使用HSRP的多备份组方式，两台核心都是主控交换机，各自负责不同VLAN的数据转发，同时充当对方的备份交换机.有效地保证财局的应用系统能正常地运作提供了稳定的网络平台。

3、存储网络要求采用SAN架构组网：

（1）配置两台作为财局的数据库服务器，构建双机热备环境，将一组独立的服务器作为单一的系统进行管理，来实现更高的可用性和更优越的可伸缩性。

当一台主机出现故障时，热备系统能够秒级响应，将任务及时切换到另一台备用服务器上，保证数据的可靠性和系统的持续不间断运行。

（2）采用一台服务器作为应用与备份服务器，并配置与SYMANTEC的BE备份软件作为数据库的在线备份，防止数据因为病毒或人为的原因造成的数据丢失，有效地保护了财政数据库的安全。

（3）通过一台HPStorageWorks4/8BaseSANSwitch4G光纤交换机来组成SAN交换机网络。

方便以后的网络系统的扩展性。

（4）通过一台4G的光纤盘柜作为企业的数据的集中存储设备。

配置10*300G15K的SAS硬盘。

其中9个硬盘做RAID5阵列，1个硬盘作为全局热备盘。

有效容量为2.4T（有力保证数据在3-5年的增长量）。

同时也配置了双控，双电源来提高盘柜的容灾能力。

（5）通过微软的企业版系统自带的MSCS（集群）软件，在两台数据库服务器上实现双机互为热备（A-A模式），这意味着所有群集计算机（节点）均可主动通过共享负载的方式协同完成工作，并在某个节点出现故障时分担它的工作。

当一台主机出现故障时，将任务及时切换到另一台备用服务器上，保证了客户数据的可靠性和系统的持续不间断运行，做到完全实时热备。

鉴于存储系统的重要性，始兴财局系统的存储系统有如下要求。

1）支持SAN访问。

2）存储设备同数据库服务器之间传输率不低于100MB/s。

3）存储设备无单点故障，不能有数据丢失的情况发生；做到不停机维护、在线调整（包括软、硬件升级、扩容、设备更换等操作）。

4）提供灵活、可靠的管理工具对存储设备和其上的数据进行管理、维护，要求数据能够在连接到该存储设备的各系统之间能灵活迁移。

5）对于存储在这些系统上的数据要有安全控制，各系统之间既能满足数据共享的要求，又必须隔离无关系统对数据的操作。

6）对于内部网络提供双链路1000M带宽。

三.设备采购清单设备清单：

序号

货物名称

规格/性能

数量

单位

价格

磁盘阵列（IBM）

存储系统与服务器同一品牌

双控,220v交流,4GB内存,4*4GFC主机接口，CPU类型INTELXSCALE667MHZ，缓存1GB，最大PARTITION16，最大LUN256，最大磁盘数48，支持磁盘类型SAS/SATA，支持磁盘种类146，300，450GB15KSAS；500，750，1000GB7200RPMSATA，RAID级别0、1、3、5、6、10，最大容量14.4TBSAS或48TBSATA，缓存读最大IOPS110，000IOPS，持续磁盘读IOPS22，000IOPS，持续磁盘写IOPS4，500IOPS，磁盘读持续传输率945MB/SEC，磁盘写持续传输率726MB/SEC，数据容量：

10*300GBSAS。

套

数据服务器（IBM）

2*英特尔至强E7440四核处理器,主频2.4GHz前端总线1066MHz,6MB二级缓存,8MB三级缓存,功耗90W,16GB内存3*146G热插拔SAS硬盘.支持RAID5，光通路诊断,CD刻录光驱,双千兆以太网口,4U规格,RSAII远程管理卡,双1440W电源.2*4GBHBA卡

台

应用服务器（IBM）

英特尔至强E5405四核处理器,主频2.0GHz前端总线1066MHz,12MB二级缓存,功耗80W,4GB内存2*146G热插拔SAS硬盘.支持RAID0、1，光通路诊断,CD刻录光驱,双千兆以太网口,2U规格,双835W电源.2*4GBHBA卡

台

软件

（微软）

微软WindowsServer2008简体中文企业版，支持双机集群。

套

磁盘虚拟带库数据备份存储软件（IBM）

具备文件及裸机恢复功能与硬件同一品牌

套

管理设备（IBM）

与服务器同一品牌，切换器：

8个可转换口，支持UCO/KCO，3M交换机线缆；显示器：

1U高，折叠式17寸液晶套件，含键盘。

套

专业机柜（IBM）

与服务器同一品牌，42U标准机柜

个

FC交换机（IBM）

端口速度达到8Gb,24端口光纤交换机,含机架套件与服务器同一品牌

台

cisco千兆交换机

WS-C3560G-24TS-S

Catalyst35602410/100/1000T+4SFP+IPBImage

台

cisco接入交换机

WS-C2960-24TT-L

Catalyst29602410/100+21000BTLANBaseImage

台

★用友政务安全接入平台

E地通WHOLETON-CZ-10SG-SP（财政行业大客户）基于socksv5协议用友政务e地通安全接入硬件平台，使各乡镇、业务股室的终端零安装、零维护，安全、高速接入县财政，降低乡镇网络、设备和其他操作终端对服务器核心数据的安全风险，延长核心数据端设备的使用寿命，同时也可用于县服务器的远程维护，财政其它系统可以共用此平

台

★用友政务安全接入身份认证加密机

E地通安全接入硬件客户端KEY-10SG-SP

台

★系统集成

必须具备用友政务软件厂家正式授权证明，可以提供用友政务R96平台集成服务,集成硬件包括全部硬件

项

技术参数要求：

磁盘阵列存储设备参数

序号

名称

性能参数描述

★品牌要求

必须与数据服务器同一品牌

★阵列控制器

≥2个控制器；每控制器主机端口数量：

≥2个4Gb/s

★阵列控制器缓存

≥512MB/每控制器，可扩≥1GB/每控制器

★RAID级别

支持RAID0,1,5,10

★阵列控制器总带宽

≥900MB/s

★硬盘配置

≥6x300GSAS15K热插拔硬盘

★最大扩展存储容量

≥48TB（SAS）

数据库服务器参数

序号

名称

性能参数描述

★品牌要求

国际知名品牌

★服务器外观

机架式

服务器高度

★处理器类型

IntelXeonE7400系列四核处理器，支持EM64T技术

★处理器主频

≥2.4GHz

★处理器高速缓存

每个处理器三级高速缓存≥8MB

★处理器配置数目

标配2个，最大支持4路SMP

系统前端总线

≥1066MHz

★TPC-C高配峰值

≥510,000tpmC（须提供有相关证明材料，如www.tpc.org网站发布内容等）

★内存类型

PC2-5300CL5ECCDDR2667LPRDIMM

★内存配置数目

16GB

内存最大支持容量

≥256GB

★内存保护技术

支持四位纠错、内存镜像、内存冗余位校验

★内置硬盘类型

2.5英寸热插拔SAS硬盘

★内置硬盘容量及数目

配备3块10Krpm146GB（RAID5模式），最多可支持4个磁盘

★阵列控制器

阵列控制器，带256MB缓存并支持电池保护，支持FlashCopy功能，支持RAID0、1、5、6、10、60、1E、5EE等模式

★PCII/O插槽

5个ActivePCI-Ex8插槽、2个热插拔PCI-Ex8

光纤通道卡

配备2块Emulex4GbpsFibreChannelHBA卡

网卡

双千兆以太网卡

输入输出部件

配置DVD-ROM驱动器，可选3.5英寸标准软盘驱动器

★热插拔组件

电源、风扇、硬盘、PCI插槽

★可管理和维护性

支持IPMI2.0标准：

1、集成系统管理处理器支持：

自动服务器重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、LED控制、本地固件更新、错误日志，LED面板提供系统未来状况的可视显示；2、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力；3、故障部件的快速诊断功能：

在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。

支持的操作系统

MSWindowsSever2003（32位和64位）、MSWindowsSever2008、32位和64位版的RedHatEnterpriseLinux和SUSEEnterpriseLinux、VMwareESXServer、NetWare

★售后服务

提供3年免费人工、部件

操作系统

序号

名称

性能参数描述

★要求

正版操作系统WIN2008，并支持双机集群。

应用、备份服务器

序号

名称

性能参数描述

★品牌要求

国际知名品牌

★服务器外观

机架式

服务器高度

★处理器类型

IntelXeonE5400系列四核处理器

★处理器主频

≥2.0GHz

★处理器高速缓存

每个处理器二级高速缓存≥12MB

★处理器配置数目

标配1个，最大支持2路SMP

系统前端总线

≥1333MHz

★内存类型

667MHzPC2-5300ECC全缓冲内存

★内存配置数目

4GB

内存最大支持容量

≥48GB

★内存保护技术

高级Chipkill内存保护功能,内存镜像和在线热备用内存

★内置硬盘类型

3.5"SAS/SATA或2.5"SAS

★内置硬盘容量及数目

配备2块15Krpm146GB（RAID1模式），最多可支持6个磁盘

★阵列控制器

集成硬件RAID-0/1/10，可选支持RAID-1E、5和6以及256MB缓存和后备电池

★PCII/O插槽

4个PCI-E（2个x8,2个x4）插槽

光纤通道卡

配备2块Emulex4GbpsFibreChannelHBA卡

网卡

双千兆以太网卡

输入输出部件

配置DVD-ROM驱动器，可选3.5英寸标准软盘驱动器

电源

冗余电源、风扇

★热插拔组件

电源、风扇、硬盘

★可管理和维护性

1.对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力；2.故障部件的快速诊断功能：

在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。

3.集成的BMC,支持IPMI2.0

支持的操作系统

MSWindowsSever2003（32位和64位）、MSWindowsSever2008、32位和64位版的RedHatEnterpriseLinux和SUSEEnterpriseLinux、VMwareESXServer、NetWare

★售后服务

提供3年免费人工、部件

存储备份软件

序号

性能参数描述

能够支持Windows平台的文件数据，数据库数据，操作系统的在线备份；能够支持Oracle、DB2、SQLServer、Exchange、Domino等应用数据的在线备份；能够支持Exchange的在线备份和单个邮箱、单个邮件、单个附件级别的数据恢复；能够与MicrosoftActiveDirecotry相结合，实现备份和恢复的服务器的帐户管理，保证备份和恢复系统的安全性；能够实现瞬间恢复，业务系统能够在数据恢复的同时进行访问，从而提供最优的RTO（RecoveryTimeObjective）；详细解释该功能的实现方式；

能够在没有进行数据恢复的情况下，直接访问备份数据；详细解释该功能的实现方式；

要求与数据库服务器为同一品牌

能够提供操作系统的裸机恢复功能（BMR），能够对业务系统的操作系统进行在线备份，备份时不需要关机或重起，当操作系统意外损坏时，能够通过将操作系统迅速恢复到之前备份的状态，而不需要重新安装操作系统；

裸机恢复功能（BMR）不仅能够将所备份的操作系统恢复到与原系统完全一致的硬件平台，还需要能够恢复到相尽的硬件平台；裸机恢复功能（BMR）的引导光盘应具备可定制性，用户能够自己加载特殊的硬件驱动，并定制生成相应的引导光盘；

能够支持备份数据压缩功能，降低备份存储空间需求；

能够支持远程分支机构或分公司的数据备份，并可以将分支机构的备份数据传输到数据中心进行集中容灾管理；

在SAN的环境下，能够实现LAN-Free的数据备份和恢复，提高备份和恢复速度，缩短备份和恢复窗口；

管理设备

序号

名称

性能参数描述

★品牌要求

必须与数据服务器同一品牌

★机柜规格

42U标准机柜

★显示器

1U高，折叠式17寸液晶套件，包含机柜小键盘

★交换机

8个可转换口，支持UCO/KCO，3M交换机线缆

备份存储

序号

名称

性能参数描述

★品牌要求

必须与数据服务器同一品牌

★阵列控制器

每控制器主机端口数量：

≥2个4Gb/s

★阵列控制器缓存

≥512MB/每控制器，可扩≥1GB/每控制器

★RAID级别

支持RAID0,1,5,10

★阵列控制器总带宽

≥900MB/s

★硬盘配置

≥10x300GSAS15K热插拔硬盘

★最大扩展存储容量

≥48TB（SAS）

安全接入平台参数要求

序号

性能参数描述

架构及性能要求

架构协议是基于高级别的客户端访问服务器端访问控制，需是IETF推荐标准SOCKSV5协议

具有成功实施案例的成熟产品，客户端绿色免安装

服务器端和客户端网络都不能改变现有网络规划

访问应用支持端到端的安全级别，安全粒度细化到应用级

支持设备内网与外网用户的安全隔离，除非采用了已经认证的客户端程序

内网用户禁止设置路由或者默认网关，使之不能建立与外网用户的可能通道

支持大型应用程序的中心端部署，在客户端无需安装任何应用软件

安全策略制订后，能够自动分发至网络中所有授权客户端，根据策略类型决定如何执行

安全策略需支持上级锁定并强制下级执行，下级无法修改

同时支持大型应用软件C/S或者B/S结构应用软件的分布式和集中式部署，并且必须采用128位加密隧道保持传输数据的安全。

数据安全接入要求

支持应用优先级管理，保证优先级高的应用得到最大带宽

保证数据在局域网传输的安全，数据需加密、压缩、认证等处理，防止LAN用户的数据窃听

局域网用户访问行为能够受到约束，一旦检测到某客户端连接授权访问的应用时，自动切断该客户端对外的所有连接，包括Internet

隐藏服务器群网络结构、对于内、外访问用户都不透明，服务器群服务只对系统设备可视

应用服务器群对内、外网不开放任何端口，网关防火墙只允许开放设备指定单一工作端口，降低端口对内、外发布的风险

客户端对病毒和木马敏感，一旦客户端检测到该客户端被感染，自动切断与服务器端的一切会话通讯

在进行数据加密压缩的同时保持60Mbps以上的数据加解密能力

系统其他要求

系统设备的WAN连接不影响现有网络规划，设备WAN口IP地址必须与应用服务器群IP地址在同一网段

系统管理支持批量添加用户，应用管理容量>9000条

系统权限管理可以与应用服务器实现统一密码管理

系统要求产品的组件间通信时，传输数据必须加密，客户端数据上报和服务器端指令、策略下发采用加密算法，防止他人旁路嗅探信息

系统设备支持基于隧道安全的外部网络远程管理，而且是必须通过系统授权客户端

客户端进程基于会话同服务器端通讯，不影响网络流量，运行时CPU占用率不超过0.6%，客户端程序大小小于300K；如采用硬件KEY认证，客户端程序大小小于600K

客户端通过硬件KEY，即插即用，无需任何其他安装措施

系统日志需完整显示客户端到服务器端路径选择描述

用友政务安全接入平台（E地通）

序号

性能指标

招标参数描述

响应要求

防火墙性能

100Mbps/95Mbps

完全响应

AES128位加密性能

60M/45M

并发会话

650000/208000

接口数量

5/4

internet捆绑数

4/3

传输协议

Socks5RFC1928

智能选路

客户端支持不同运行商网络的智能路由选择

动态IP支持

支持跳板寻址

密匙协商

IKE（DH算法）

加密压缩

AES128位加密算法，LZO流压缩算法

internet接入

支持ADSL、LAN、DDN、DHCP等接入

用户权限

移动用户的权限控制，针对服务的权限控制

状态检测

优秀的状态检测引擎为每个访问策略进行状态检测

包过滤

支持TCP/UDP/ICMP的所有包过滤功能

防火墙模式

支持透明桥模式、NAT模式、router模式

虚拟服务/DMZ

独立DMZ分区，并支持（多）端口映射

阻止攻击种类

支持抵抗DOS、DDOS、扫描、嗅探、同步等攻击

Flood攻击

抵制TCP/UDP/ICMP的flood攻击检测策略

过滤规则

支持对IP组、时间段、P2P协议、内容、服务类型的控制

URL地址过滤

过滤特殊网站，如：

，过滤所有*

文件类型过滤

过滤特殊类型的文件，如*.exe*.js*.gif，抵制恶意脚本的攻击

关键字过滤

过滤关键字，如：

sex

QOS级别

分带宽、分级别的9级QOS控制

QOS控制

支持对IP组、时间段、P2P协议、内容、服务类型的QOS控制

智能路由

支持不同运营商的策略路由，内网用户访问网通的WEB选择网通的线路，访问铁通的WEB选择铁通的线路

应用统一发布

门户统一，可以实现应用大集中访问。

端口统一管理

通过应用平台，将大量的应用系统服务器进行细致的端口管理

支持DHCP

支持DHCP服务，对内网进行动态IP地址管理

支持VLAN

支持内网多个VLAN，禁止启动VLAN间通讯

静态路由

支持静态路由

IP地址映射

将公网IP地址，映射到内网的一个或多个服务器，负载均衡

系统管理

全中文WEB管理界面，采用HTTPS安全连接管理服务器

日志

本地日志服务器，系统日志、告警日志、错误日志、调试日志、访问控制记录，支持日志的定制

备份恢复

支持配置数据的备份与恢复

五.实验中的问题及心得

星型网络主要是以相对廉价的双绞线为传输介质的，网线的两端各用一个RJ-45水晶头为网络连接器。

这里所指的小型星型网络是指只有一台交换机（当然也可以是集线器，但前已很少使用）的星型网络，主要应用于小型独立办公室企业和SOHO用户中。

这类小型型网络所能连接的用户数一般在20个左右，当然也有可以连接高达40多个用户的，如48的交换机，具体要根据交换机可用端口数而定。

展开阅读全文