网络实验室建设安全系统与管理系统.docx

1、网络实验室建设安全系统与管理系统实验报告书课程名称： 网络实验室建设、安全与管理专 业： 班 级：学 号：姓 名： 指导老师： 实验二：网络设备采购方案 一. 广东南雄市政府网络设计拓扑图 二. 广东南雄市政府网络设计概况内部网络要求：1、要求通过采用两台CISCO的24口千兆交换机WS-C3560G-24TS-S作为财局的核心交换机。2、要求通过采用4台CISCO的24口交换机WS-C2960-24TT-L作为财局的办公区接入交换机。核心交换机使用双核心的架构，接入层交换机以双链路连接核心来提高链路的高可用性。同时为了解决双核心交换机之间的数据同步，为客户端提供冗余的效果，使用HSRP的协议

2、，使两台核心交换机进行协同工作。每台交换机通过MSTP和HSRP协议达到两条上联链路的负载分担。万一其中一台核心设备出现故障，还有一条链路可用，可用带宽比较高。使用HSRP的多备份组方式，两台核心都是主控交换机，各自负责不同VLAN的数据转发，同时充当对方的备份交换机.有效地保证财局的应用系统能正常地运作提供了稳定的网络平台。3、存储网络要求采用SAN架构组网：（1）配置两台作为财局的数据库服务器，构建双机热备环境，将一组独立的服务器作为单一的系统进行管理，来实现更高的可用性和更优越的可伸缩性。当一台主机出现故障时，热备系统能够秒级响应，将任务及时切换到另一台备用服务器上，保证数据的可靠性和系

3、统的持续不间断运行。（2）采用一台服务器作为应用与备份服务器，并配置与SYMANTEC的BE备份软件作为数据库的在线备份，防止数据因为病毒或人为的原因造成的数据丢失，有效地保护了财政数据库的安全。（3）通过一台HP StorageWorks 4/8 Base SAN Switch 4G光纤交换机来组成SAN交换机网络。方便以后的网络系统的扩展性。（4）通过一台4G的光纤盘柜作为企业的数据的集中存储设备。配置10*300G 15K的SAS硬盘。其中9个硬盘做RAID5阵列，1个硬盘作为全局热备盘。有效容量为2.4T（有力保证数据在3-5年的增长量）。同时也配置了双控，双电源来提高盘柜的容灾能力。

4、（5）通过微软的企业版系统自带的MSCS（集群）软件，在两台数据库服务器上实现双机互为热备（A-A模式），这意味着所有群集计算机（节点）均可主动通过共享负载的方式协同完成工作，并在某个节点出现故障时分担它的工作。当一台主机出现故障时，将任务及时切换到另一台备用服务器上，保证了客户数据的可靠性和系统的持续不间断运行，做到完全实时热备。鉴于存储系统的重要性，始兴财局系统的存储系统有如下要求。1） 支持SAN访问。2） 存储设备同数据库服务器之间传输率不低于100MB/s。3） 存储设备无单点故障，不能有数据丢失的情况发生；做到不停机维护、在线调整（包括软、硬件升级、扩容、设备更换等操作）。4） 提

5、供灵活、可靠的管理工具对存储设备和其上的数据进行管理、维护，要求数据能够在连接到该存储设备的各系统之间能灵活迁移。5） 对于存储在这些系统上的数据要有安全控制，各系统之间既能满足数据共享的要求，又必须隔离无关系统对数据的操作。6)对于内部网络提供双链路1000M带宽。三.设备采购清单设备清单：序号货物名称规格/性能数量单位价格1磁盘阵列（IBM）存储系统与服务器同一品牌双控,220v交流,4GB内存,4*4G FC主机接口，CPU类型INTELXSCALE667 MHZ，缓存 1GB，最大PARTITION 16， 最大LUN 256，最大磁盘数48 ，支持磁盘类型 SAS/SATA ，支持磁

6、盘种类 146，300，450GB 15K SAS；500，750 ，1000GB 7200RPMSATA ，RAID 级别0、1、3、5、6、10，最大容量 14.4 TB SAS 或48TB SATA，缓存读最大IOPS110，000IOPS，持续磁盘读IOPS 22，000IOPS，持续磁盘写IOPS4，500IOPS ，磁盘读持续传输率945MB/SEC，磁盘写持续传输率726MB/SEC，数据容量：10*300GB SAS。1 套2数据服务器（IBM）2*英特尔至强E7440四核处理器,主频2.4GHz 前端总线1066MHz,6MB二级缓存,8MB三级缓存,功耗90W, 16GB内

7、存 3*146G热插拔SAS硬盘.支持RAID5，光通路诊断,CD刻录光驱,双千兆以太网口,4U规格,RSAII远程管理卡,双1440W电源. 2*4GB HBA卡2台3应用服务器（IBM）英特尔至强E5405四核处理器,主频2.0GHz 前端总线1066MHz,12MB二级缓存,功耗80W, 4GB内存 2*146G热插拔SAS硬盘.支持RAID0、1，光通路诊断,CD刻录光驱,双千兆以太网口,2U规格 ,双835W电源. 2*4GB HBA卡1台4软件（微软）微软 Windows Server 2008简体中文企业版，支持双机集群。1套5磁盘虚拟带库数据备份存储软件（IBM）具备文件及裸机

8、恢复功能与硬件同一品牌1套6管理设备（IBM）与服务器同一品牌，切换器：8个可转换口，支持UCO/KCO，3M 交换机线缆；显示器：1U 高，折叠式17寸液晶套件，含 键盘。 1套7专业机柜（IBM）与服务器同一品牌，42U标准机柜1个8FC交换机(IBM)端口速度达到8Gb,24端口光纤交换机,含机架套件与服务器同一品牌1台9cisco千兆交换机WS-C3560G-24TS-SCatalyst 3560 24 10/100/1000T + 4 SFP + IPB Image2台10cisco接入交换机WS-C2960-24TT-LCatalyst 2960 24 10/100 + 2 100

9、0BT LAN Base Image4台11用友政务安全接入平台E地通WHOLETON-CZ-10SG-SP（财政行业大客户）基于socks v5协议用友政务e地通安全接入硬件平台，使各乡镇、业务股室的终端零安装、零维护，安全、高速接入县财政，降低乡镇网络、设备和其他操作终端对服务器核心数据的安全风险，延长核心数据端设备的使用寿命，同时也可用于县服务器的远程维护，财政其它系统可以共用此平1台12用友政务安全接入身份认证加密机E地通安全接入硬件客户端KEY-10SG-SP32台13系统集成必须具备用友政务软件厂家正式授权证明，可以提供用友政务R96平台集成服务,集成硬件包括全部硬件1项技术参数要

10、求：磁盘阵列存储设备参数序号名称性能参数描述1品牌要求必须与数据服务器同一品牌2阵列控制器2个控制器；每控制器主机端口数量：2 个4Gb/s3阵列控制器缓存512MB/ 每控制器，可扩1GB/ 每控制器4RAID级别支持RAID 0, 1, 5, 105阵列控制器总带宽 900MB/s 6硬盘配置 6 x 300G SAS 15K 热插拔硬盘7最大扩展存储容量48TB （SAS）数据库服务器参数序号名称性能参数描述1品牌要求国际知名品牌2服务器外观机架式3服务器高度4U4处理器类型Intel Xeon E7400系列 四核处理器，支持 EM64T 技术5处理器主频 2.4GHz6处理器高速缓存

11、每个处理器三级高速缓存 8MB 7处理器配置数目标配 2 个，最大支持 4 路 SMP8系统前端总线 1066MHz 9TPC-C 高配峰值 510,000 tpmC（须提供有相关证明材料，如www.tpc.org网站发布内容等）10内存类型PC2-5300 CL5 ECC DDR2 667 LP RDIMM11内存配置数目16GB12内存最大支持容量256GB13内存保护技术支持四位纠错、内存镜像、内存冗余位校验14内置硬盘类型2.5 英寸热插拔 SAS 硬盘15内置硬盘容量及数目配备 3 块 10Krpm 146GB（RAID 5 模式），最多可支持4 个磁盘16阵列控制器阵列控制器，带

12、256MB 缓存并支持电池保护，支持FlashCopy 功能，支持RAID 0、1、5、6、10、60、1E、5EE 等模式17PCI I/O插槽5个Active PCI-E x8插槽 、 2个 热插拔 PCI-E x818光纤通道卡配备2块 Emulex 4Gbps Fibre Channel HBA 卡19网卡双千兆以太网卡20输入输出部件配置DVD-ROM驱动器，可选3.5英寸标准软盘驱动器21热插拔组件电源、风扇、硬盘、PCI 插槽22可管理 和 维护性 支持 IPMI 2.0 标准：1、集成系统管理处理器支持：自动服务器重启、风扇监视和控制、电源监控、温度监控、启动/关闭、按序重启、

13、LED控制、本地固件更新、错误日志，LED面板提供系统未来状况的可视显示；2、对CPU、内存、硬盘驱动器、电源及风扇等关键部分的潜在的故障具有提前预警能力； 3、故障部件的快速诊断功能： 在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。23支持的操作系统MS Windows Sever 2003(32位和64位)、MS Windows Sever 2008、32位和64位版的Red Hat Enterprise Linux 和 SUSE Enterprise Linux 、VMware ESX Server、NetWare24售后服务提供3年免费人工、部件操作系统序号名称性能参

14、数描述1要求正版操作系统WIN2008，并支持双机集群。应用、备份服务器序号名称性能参数描述1品牌要求国际知名品牌2服务器外观机架式3服务器高度2U4处理器类型Intel Xeon E5400系列 四核处理器5处理器主频 2.0GHz6处理器高速缓存每个处理器二级高速缓存 12MB 7处理器配置数目标配 1 个，最大支持 2 路 SMP8系统前端总线 1333MHz 9内存类型667MHz PC2-5300 ECC 全缓冲内存10内存配置数目4GB11内存最大支持容量48GB12内存保护技术高级 Chipkill 内存保护功能, 内存镜像和在线热备用内存13内置硬盘类型3.5 SAS/SATA

15、 或 2.5 SAS14内置硬盘容量及数目配备 2块 15Krpm 146GB（RAID 1 模式），最多可支持6个磁盘15阵列控制器集成硬件RAID-0/1/10 ，可选支持RAID-1E、5 和6 以及 256MB 缓存和后备电池16PCI I/O插槽4个PCI-E(2个 x8,2个 x4) 插槽17光纤通道卡配备2块 Emulex 4Gbps Fibre Channel HBA 卡18网卡双千兆以太网卡19输入输出部件配置DVD-ROM驱动器，可选3.5英寸标准软盘驱动器20电源冗余电源、风扇21热插拔组件电源、风扇、硬盘22可管理 和 维护性 1. 对CPU、内存、硬盘驱动器、电源及风

16、扇等关键部分的潜在的故障具有提前预警能力； 2.故障部件的快速诊断功能 ： 在断电的情况下，能够通过诊断板快速定位故障的部件，提高维修速度。3.集成的BMC,支持IPMI 2.023支持的操作系统MS Windows Sever 2003(32位和64位)、MS Windows Sever 2008、32位和64位版的Red Hat Enterprise Linux 和 SUSE Enterprise Linux 、VMware ESX Server、NetWare24售后服务提供3年免费人工、部件存储备份软件序号性能参数描述1能够支持Windows平台的文件数据，数据库数据，操作系统的在线备

17、份；能够支持Oracle、DB2、SQL Server、Exchange、Domino等应用数据的在线备份；能够支持Exchange的在线备份和单个邮箱、单个邮件、单个附件级别的数据恢复；能够与Microsoft Active Direcotry相结合，实现备份和恢复的服务器的帐户管理，保证备份和恢复系统的安全性；能够实现瞬间恢复，业务系统能够在数据恢复的同时进行访问，从而提供最优的RTO(Recovery Time Objective)；详细解释该功能的实现方式；2能够在没有进行数据恢复的情况下，直接访问备份数据；详细解释该功能的实现方式；3要求与数据库服务器为同一品牌4能够提供操作系统的裸

18、机恢复功能（BMR），能够对业务系统的操作系统进行在线备份，备份时不需要关机或重起，当操作系统意外损坏时，能够通过将操作系统迅速恢复到之前备份的状态，而不需要重新安装操作系统；5裸机恢复功能（BMR）不仅能够将所备份的操作系统恢复到与原系统完全一致的硬件平台，还需要能够恢复到相尽的硬件平台；裸机恢复功能（BMR）的引导光盘应具备可定制性，用户能够自己加载特殊的硬件驱动，并定制生成相应的引导光盘；6能够支持备份数据压缩功能，降低备份存储空间需求；7能够支持远程分支机构或分公司的数据备份，并可以将分支机构的备份数据传输到数据中心进行集中容灾管理；8在SAN的环境下，能够实现LAN-Free的数据备

19、份和恢复，提高备份和恢复速度，缩短备份和恢复窗口；管理设备序号名称性能参数描述1品牌要求必须与数据服务器同一品牌2机柜规格42U标准机柜3显示器1U 高，折叠式17寸液晶套件，包含机柜小键盘4交换机8个可转换口，支持UCO/KCO，3M 交换机线缆备份存储序号名称性能参数描述1品牌要求必须与数据服务器同一品牌2阵列控制器每控制器主机端口数量：2 个4Gb/s3阵列控制器缓存512MB/ 每控制器，可扩1GB/ 每控制器4RAID级别支持RAID 0, 1, 5, 105阵列控制器总带宽 900MB/s 6硬盘配置10 x 300G SAS 15K 热插拔硬盘7最大扩展存储容量48TB （SAS

20、）安全接入平台参数要求 序号性能参数描述架构及性能要求1架构协议是基于高级别的客户端访问服务器端访问控制，需是IETF推荐标准SOCKS V5协议2具有成功实施案例的成熟产品，客户端绿色免安装3服务器端和客户端网络都不能改变现有网络规划4访问应用支持端到端的安全级别，安全粒度细化到应用级5支持设备内网与外网用户的安全隔离，除非采用了已经认证的客户端程序6内网用户禁止设置路由或者默认网关，使之不能建立与外网用户的可能通道7支持大型应用程序的中心端部署，在客户端无需安装任何应用软件8安全策略制订后，能够自动分发至网络中所有授权客户端，根据策略类型决定如何执行9安全策略需支持上级锁定并强制下级执行，

21、下级无法修改10同时支持大型应用软件C/S或者B/S结构应用软件的分布式和集中式部署，并且必须采用128位加密隧道保持传输数据的安全。数据安全接入要求11支持应用优先级管理，保证优先级高的应用得到最大带宽12保证数据在局域网传输的安全，数据需加密、压缩、认证等处理，防止LAN用户的数据窃听13局域网用户访问行为能够受到约束，一旦检测到某客户端连接授权访问的应用时，自动切断该客户端对外的所有连接，包括Internet14隐藏服务器群网络结构、对于内、外访问用户都不透明，服务器群服务只对系统设备可视15应用服务器群对内、外网不开放任何端口，网关防火墙只允许开放设备指定单一工作端口，降低端口对内、外

22、发布的风险16客户端对病毒和木马敏感，一旦客户端检测到该客户端被感染，自动切断与服务器端的一切会话通讯17在进行数据加密压缩的同时保持60Mbps以上的数据加解密能力系统其他要求18系统设备的WAN连接不影响现有网络规划，设备WAN 口IP地址必须与应用服务器群IP地址在同一网段19系统管理支持批量添加用户，应用管理容量9000条20系统权限管理可以与应用服务器实现统一密码管理21系统要求产品的组件间通信时，传输数据必须加密，客户端数据上报和服务器端指令、策略下发采用加密算法，防止他人旁路嗅探信息22系统设备支持基于隧道安全的外部网络远程管理，而且是必须通过系统授权客户端23客户端进程基于会话

23、同服务器端通讯，不影响网络流量，运行时CPU占用率不超过0.6%，客户端程序大小小于300K；如采用硬件KEY认证，客户端程序大小小于600K24客户端通过硬件KEY，即插即用，无需任何其他安装措施25系统日志需完整显示客户端到服务器端路径选择描述用友政务安全接入平台（E地通）序号性能指标招标参数描述响应要求1防火墙性能100Mbps/95Mbps完全响应2AES128位加密性能60M/45M3并发会话650000/2080004接口数量5/45internet捆绑数4/36传输协议Socks5 RFC19287智能选路客户端支持不同运行商网络的智能路由选择8动态IP支持支持跳板寻址9密匙协商

24、IKE(DH算法)10加密压缩AES128位加密算法，LZO流压缩算法11internet接入支持ADSL、LAN、DDN、DHCP等接入12用户权限移动用户的权限控制，针对服务的权限控制13状态检测优秀的状态检测引擎为每个访问策略进行状态检测14包过滤支持TCP/UDP/ICMP的所有包过滤功能15防火墙模式支持透明桥模式、NAT模式、router模式16虚拟服务/DMZ独立DMZ分区，并支持（多）端口映射17阻止攻击种类支持抵抗DOS、DDOS、扫描、嗅探、同步等攻击18Flood攻击抵制TCP/UDP/ICMP的flood攻击检测策略19过滤规则支持对IP组、时间段、P2P协议、内容、服

25、务类型的控制20URL地址过滤过滤特殊网站，如：，过滤所有*21文件类型过滤过滤特殊类型的文件，如*.exe *.js *.gif，抵制恶意脚本的攻击22关键字过滤过滤关键字，如：sex23QOS级别分带宽、分级别的9级QOS控制24QOS控制支持对IP组、时间段、P2P协议、内容、服务类型的QOS控制25智能路由支持不同运营商的策略路由，内网用户访问网通的WEB选择网通的线路，访问铁通的WEB选择铁通的线路26应用统一发布门户统一，可以实现应用大集中访问。27端口统一管理通过应用平台，将大量的应用系统服务器进行细致的端口管理28支持DHCP支持DHCP服务，对内网进行动态IP地址管理29支持

26、VLAN支持内网多个VLAN，禁止启动VLAN间通讯30静态路由支持静态路由31IP地址映射将公网IP地址，映射到内网的一个或多个服务器，负载均衡32系统管理全中文WEB管理界面，采用HTTPS安全连接管理服务器33日志本地日志服务器，系统日志、告警日志、错误日志、调试日志、访问控制记录，支持日志的定制34备份恢复支持配置数据的备份与恢复五.实验中的问题及心得星型网络主要是以相对廉价的双绞线为传输介质的，网线的两端各用一个RJ-45水晶头为网络连接器。这里所指的小型星型网络是指只有一台交换机(当然也可以是集线器，但前已很少使用)的星型网络，主要应用于小型独立办公室企业和SOHO用户中。这类小型型网络所能连接的用户数一般在20个左右，当然也有可以连接高达40多个用户的，如48 的交换机，具体要根据交换机可用端口数而定。