第一章 项目概述
金融行业属于国内信息化建设较早，应用成熟的行业。随着我国经济的迅速发展，我国的金融公司正向集约化，规模化发展。作为支撑业务运转的基础平台，金融企业的网络也逐渐扩大化，利用统一的计算机网络同时开展多种增值业务，成为最新的应用系统发展趋势。将各种传统业务从专有的系统环境移植到计算机网络中来，不仅可以通过计算机网络带来更佳的灵活性、兼容性。还可以大大扩展服务范围，提高服务质量，降低运营成本。

同时，随着中国金融系统网络大集中的逐步实施，网络业务横向集中，网络架构纵向集中的趋势日趋深刻，如何在统一的网络平台上高效、安全而经济的实现新一代金融网络的需求，成为金融用户越来越关心的问题。

第二章 网络建设需求分析
2.1 网络需求分析

根据用户需求，本次设计方案主要针对金融企业综合楼的智能化进行建设，全网主要围绕于安全机密为重点，整个内分三套网络：互联网、办公网和综合网（辅助办公），其中相关网络之间做物理隔离，内部网通过VLAN划分，两网间部署硬件安全设备。在大楼办公网以及互联网的接入部份使用IRF2技术，能够将多台接入设备虚拟成1台接入设备，并且性能得到极大的提升，并简化大楼的相关网络结构。

2.2 网络设计原则

考虑到金融行业数据的重要性，为了保证各项业务的顺利运行，保障网络的不间断运行，提供强大的处理能力和良好的可管理性，网络应该具备如下的特点：

1. 先进性。

主要表现在设计思想先进、软硬件设备先进、网络结构先进、开发工具先进。

n 采用以信息通信中心为主节点的二层次结构网络。主干网为千兆光纤

交换，10/100/1000M交换到桌面。

n 采用高性能的小型机或服务器，分别提供数据库、办公自动化、Intranet

及因特网等多种服务。

1. 高可靠性。

网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制定可靠的网络备份策略，保证网络具有故障自愈的能力，最大地支持各业务系统的正常运行。

1. 升级性和扩展性。

网络硬件设备和软件平台均能够在规模和性能两方面进行扩展和升级，开发 的应用软件必须具有较大的扩展余地。具体体现在以下几方面：

n 网络带宽的扩充

n 网络接入能力的扩充

n 网络交换方式的扩充

n 网络安全性的扩充和加强

n 系统的硬件扩充与升级

n 系统开发功能的扩充与升级服务功能的扩充

1. 经济性与实用性。

所采用先进的设备与技术，一定要成熟，设备与软件平台都应有良好的声誉，不冒险追求高端的新产品与新技术。建设方案既能满足目前的需要，又要考虑将来发展，做到投资少，开发快，充分利用已有的网络及计算机资源。

1. 安全性。

整个系统建设要充分考虑各方面的安全可靠，诸如，网络安全、数据安全、等；在多个层次上实现安全访问控制，例如采用防火墙，代理服务，虚拟网等多种安全措施。

n 内部办公业务按照用户所管辖的业务不同，分别给予相应的权限，防止越权管理，保证机密信息的安全。

n 内部办公各主体（即各处、室）之间通过VLAN隔离，保护各子网的安全，根据用户需求，可对于财务，人事等处室单独设立一个子网。

n 采用多种防病毒手段，防止系统受侵犯。

1. 可管理性

系统管理员可方便地对整个系统进行维护、更新、取消或恢复某些功能。对主要设备具有良好的可管理性、易维护性，充分发挥网络中各部分资源的效能。初步具备配置管理、故障管理、性能管理、安全管理及计费管理等功能，并根据用户需求，不断加强完善其功能。

2.3 IRF智能弹性架构技术

金融企业的核心网络是整个IT架构的核心领域，不论是服务器部署、网络架构设计，都要做到精细入微，如何保证网络高效、稳定的运行是网络健壮与否的关键。

项目的网络规划和建设首要考虑的是设备和链路的可靠性以及稳定性，在本方案的规划中使用智能弹性架构(intelligent resilient framework, IRF)虚拟化技术，可以将多台设备连接，“横向整合”起来组成一个“联合设备”，并将这些设备看作单一设备进行管理和使用。这种网络虚拟交换技术为数据中心建设提供了一个新标准，定义了新一代网络架构，能够帮助我们在构建永续和高度可用的状态化网络的同时，优化网络资源的使用。

图片

IRF智能弹性架构

上图中的虚拟化数据中心网络架构与传统的网络设计相比，提供了多项显著优势：

1）运营管理简化。数据中心全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。

2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。

3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员发生故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。

第三章 网络建设方案
3.1 方案特点

1、构建三套网络，物理隔离，建设高安全、高可靠网络。本次网络建设新建三套网络，一套电信Internet外网，一套内部办公网，一套综合网，三套网络之间物理隔离，实现各自的应用，具体实现方式见下面的方案。

2．提供网络设备的电信级可靠性支持。本次拟选用的路由器、以太网交换机、防火墙均秉承电信级理念，设备均为高可靠，核心交换机（路由器）关键模块都有冗余。

3．满足未来几年金融企业各系统业务发展的需求、VoIP、视频会议对网络系统高性能的要求。本次网络建设选用设备具有很高的处理性能，丰富的业务支持能力和扩展能力保证未来几年新兴业务的开展以及视频业务发展的需要。

4．强大的业务区别服务能力支持，满足多媒体统一网络的需求。目前IP网络承载语音、视频的系列技术已经相当成熟：IP Qos技术已经相当成熟，整网为企业网络以及以后新业务开展提供通用的网络平台，支持业务的平滑升级；高带宽链路为业务开展提供带宽保证；拟选用的核心交换机和系列路由器支持丰富的QOS策略，可以承载多个应用而能保证视频、语音的开展。

5．统一、经济的跨平台网络管理方案，集群解决方案。本次网络建设拟选用的网络设备支持丰富的网管策略，可以对全系列产品进行网络管理，节省网络管理的人力和精力投入。

6．支持未来网络平滑升级。本次网络建设拟选用的核心设备已预留足够的接口，相比业界同档次产品具有极强的可扩展性，保证随着未来业务增加进行设备平滑升级。

3.2 网络选型说明

组网说明：内、外网络整体分为二个层次：核心层、接入层。核心交换机通过千兆多模光纤线路分别连接到接入层主配线间，接入层交换机通过IRF2设备虚拟化，接入千兆到用户，整个网络采用主干千兆到楼层，千兆到桌面的结构方式，扩展性强、管理维护简单。

在内、外网主干中，核心交换通过千兆多模光纤分别连接各楼层配线间，在接入层交换机通过使用IRF2技术将2台接入交换机虚拟为1台交换机，并且性能行到累加。该结构设计清晰明了，充分依据了网络层次结构的设计原则。在内网核心层选用1台高端核心网络设备，即可实现核心设备的稳定性、可保护性，又做到了主干链路的稳定性，确保网络24小时不间断、无故障运行；还可实现负载均衡，分流网络数据流量的负载。通过负载均衡这种性价比高而有效透明的方法扩展现有网络设备的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性的。

在接入层设备启用ARP入侵检测功能，可有效防范ARP的欺骗攻击，还可通过端口、IP、MAC和VLAN的四重绑定功能，有效防范非法地址的仿冒。通过有效的ACL策略的下发，从而第一时间阻断非法终端的通讯。

办公大楼内，外网核心：内网核心交换设备采用H3C S7500E 系列高端多业务路由交换机产品，支持双电源冗余配置，具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。支持多个万兆扩展接口，可以满足用户今后5年的带宽需求；支持IPv4/IPv6硬件双栈及线速转发，使客户能够从容应对即将带来的IPv6时代；除此以外，还有出色的安全性，可靠性和多业务支持能力。

综合大楼核心：综合网核心交换机采用H3C S5120-24P-EI千兆三层以太网交换机。提供灵活的千兆以太网端口的接入密度和万兆上行、增强的安全防御能力、丰富的业务特性、统一的集群配置，为用户提供高性能、低成本、可网管的千兆到桌面的解决方案，是千兆接入的理想选择，交换容量192Gbps，包转发能力达36Mpps。

办公大楼内，外网接入层：接入层采用H3C S5120-EI接入交换机，它是H3C公司为构建高安全、高智能网络需求而专门设计的新一代以太网交换机产品，在满足高性能接入的基础上，提供更全面的安全接入策略和更强的网络管理维护易用性，是理想的安全易用接入层交换机。支持EAD（端点准入防御）功能，配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。S5120-EI交换机还支持特有的ARP入侵检测功能，可有效防止黑客或攻击者通过ARP报文实施日趋盛行的“ARP欺骗攻击”，对不符合DHCP Snooping动态绑定表或手工配置的静态绑定表的非法ARP欺骗报文直接丢弃。同时支持IP Source Check特性，防止包括MAC欺骗、IP欺骗、MAC/IP欺骗在内的非法地址仿冒，以及大流量地址仿冒带来的DoS攻击。

3.3 Vlan安全设计

VLAN安全设计包括VLAN、VLAN Routing两部分。

1)、VLAN

虚拟局域网（VLAN）技术是为了解决桥接的局域网中存在的广播风暴，以及网络系统的可扩展性、灵活性和易管理性方面的问题，第二层交换机基本上都支持VLAN划分。在局域网设计中，我们可以根据不同部门划分VLAN。VLAN技术的采用为网络系统带来了以下的优点：

l 控制广播

VLAN之间是相互隔离的，所有的广播和多点广播都被限制在一个VLAN的范围内，即一个VLAN产生的广播信息不会被传播到其它的VLAN中，有效地防止了局域网上广播风暴的产生，提供了带宽的利用率。

l 提高安全性

由于VLAN之间是相互隔离的，因此可将高安全性要求的主机服务器可划分到一个VLAN中，而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成，而三层交换机上具有访问控制（Access-List）以及防火墙等安全控制功能，因此VLAN之间的访问可以通过三层交换机进行控制。

l 提高性能

通过VLAN的划分，可将需访问同一服务器/服务器组的用户放到同一个VLAN中，这样该VLAN内部的服务器只由本VLAN内的成员访问，其它VLAN的用户不会影响服务器的性能。

l 便于管理

由于VLAN的划分是逻辑上的，因此用户不再受到物理位置的限制，任意位置的用户可以属于任意一个VLAN，VLAN内的成员可以任意地增加，修改和删除，使得网络管理更加简便易行。

2）、VLAN Routing

每一个VLAN 都具有一个标识，不同的VLAN 标识亦不相同，交换机在数据链路层上可以识别不同的VLAN标识，但不能修改该VLAN标识，只有VLAN标识相同的端口才能形成桥接，数据链路层的连接才能建立，因而不同VLAN的设备在数据链路层上是无法连通的。VLAN Routing技术在网络层将VLAN标识进行转换，使得不同的VLAN间可以沟通，而此时基于网络层、传输层甚至应用层的安全控制手段都可运用，诸如Access-list（访问列表限制）等，VLAN Routing 技术使我们获得了对不同VLAN间数据流动的强有力控制。

3.4 防网络攻击设计

网络中针对交换机的攻击和必须经过交换机的攻击主要有如下几种：

MAC 攻击

DHCP攻击

ARP攻击

IP/MAC欺骗攻击

STP攻击

DoS/DDoS攻击

IP扫描攻击

网络设备管理安全

1）、MAC攻击

攻击一：MAC地址欺骗，将合法的MAC 地址修改成不存在的MAC 地址或其它计算机的MAC 地址，从而隐藏自己真实的MAC，来达到一些不可告人的目的，这就是MAC 地址欺骗。

攻击二：MAC地址洪泛攻击：交换机内部的MAC地址表空间是有限的，MAC攻击会很快占满交换机内部MAC地址表，使得单播包在交换机内部也变成广播包向同一个VLAN中所有端口转发，每个连在端口上的客户端都可以收到该报文，交换机变成了一个Hub，用户的信息传输也没有安全保障了。

防范：利用交换机端口安全功能下的MAC动态地址锁/端口静态绑定MAC，或1x端口下端口自动动态绑定MAC/IP，来限定交换机某个端口上可以学习的源MAC数量或源MAC地址，当该端口学习的MAC数量超过限定数量时，交换机将产生违例动作。

2）、DHCP攻击

DHCP攻击之一：

恶意用户通过更换MAC地址的方式向DHCP Server发送大量的DHCP请求，以消耗DHCP Server可分配的IP地址为目的，使得合法用户的IP请求无法实现。

防范：利用交换机端口安全功能：MAC动态地址锁和端口静态绑定MAC、1x端口下的自动动态绑定用户IP/MAC，来限定交换机某个端口上可以访问网络的MAC地址，从而控制：那些通过变化MAC地址来恶意请求不同IP地址和消耗IP资源的DHCP攻击。当交换机一个端口的MAC地址的数目已经达到允许的最大个数后，如果该端口收到一个源地址不属于端口上的MAC安全地址的包时，交换机则采取措施。

DHCP攻击之二：

非法DHCP Server，为合法用户的IP请求分配不正确的IP地址、网关、DNS等错误信息，不仅影响合法用户的正常通讯，还导致合法用户的信息都发往非法DHCP Server，严重影响合法用户的信息安全。

防范1：

利用DHCP Server（UDP 67）和DHCP Client（UDP 68）发出报文UDP端口的不同，及已知正常DHCP Server的IP地址，利用交换机的ACL功能来限制伪DHCP服务器的报文响应及只允许正常DHCP Server的报文响应

防范2：

控制客户端发出的DHCP请求报文被广播出去；

检查和控制DHCP响应报文是否：是合法DHCP Server发出的报文。

防范：接入交换机一般不具有DHCP Relay功能，收到DHCP请求广播报文后，并在VLAN内是向所有端口转发。而H3C交换机具有DHCP Relay功能，一旦启用DHCP Relay功能，并且配置了DHCP Server的IP地址，则客户端发出的DHCP请求，在交换机中将不以广播包的形式转发出去，而是直接到交换机CPU，从而有效避免DHCP请求报文广播出去被非法DHCP Server收到。

交换机CPU处理后，以单播的形式发往指定的DHCP Server。收到DHCP响应报文后（Offer，ACK，NAK报文），CPU会判定报文中的源IP地址是否为交换机中设定的DHCP Server的地址，从而保证DHCP响应报文的合法性。这比仅仅设定交换机某个端口可以接受DHCP响应报文更合理和可靠。

3）、ARP攻击

ARP 攻击：ARP欺骗

ARP欺骗者：利用上页讲到的ARP漏洞，发送虚假的ARP请求报文和响应报文，报文中的源IP和源MAC均为虚假的，或错误的网关IP和网关MAC对应关系，扰乱局域网中各PC以及网关中保存的ARP表，使得网络中的合法PC正常上网、通讯中断，并且流量都可流入到攻击者手中。

ARP欺骗的防范：

利用交换机端口ARP检查安全功能：打开ARP报文检查ARP报文中的源IP和源MAC是否和绑定的一致，可有效防止安全端口上欺骗ARP，防止非法信息点冒充网络关键设备的IP（如服务器），造成网络通讯混乱。

4）、IP/MAC欺骗攻击

MAC欺骗：盗用合法用户的MAC地址，侵入网络，使得正常用户无法上网；

IP欺骗：盗用合法用户的IP地址，使得到合法用户的通讯得不到响应，造成Ping of death，和ICMP不可达风暴；或不断修改IP，发送TCP SYN连接，攻击Server，造成SYN Flood。

防范有以下几种：

交换机端口安全：端口静态绑定；

交换机整机绑定IP和MAC地址；

DHCP动态绑定；

基于802.1x的SAM系统，可在交换机上自动绑定用户的IP和MAC；

绑定后，交换机检查IP报文中源IP和源MAC是否和交换机中管理员设定的是否一致，不一致，报文丢弃（在SAM环境中，并发送告警信息）。

5）、STP攻击

发送虚假的BPDU报文，扰乱网络拓扑和链路架构。

防范：

使用交换机具备的BPDU Guard功能，可以禁止网络中直接接用户的端口或接入层交换机的下连端口收到BPDU报文。从而防范用户发送非法BPDU报文。

对于接入层交换机，在没有冗余链路的情况下，尽量不用开启STP协议。

6）、DoS/DDoS欺骗攻击

Dos攻击：占用网络带宽，占用服务器提供的服务资源，表现为合法用户的请求得不到服务的响应，被攻击方的CPU满负荷或内存不足。攻击报文主要是采用伪装源IP。

防范：RFC 28227的入口过滤规则。

7）、IP扫描攻击

许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的，大量的扫描报文也急剧占用网络带宽，导致正常的网络通讯无法进行。如Ping Flood

防范：

防IP扫描：检测用户、隔离用户（发日志信息）、恢复通讯（发日志信息）。

被监控的攻击主机数量、隔离用户的时间都可以根据网络实际状况设置。

8）、广播风暴攻击

端口接收到过量的广播、未知名多播或未知名单播包时，一个数据包的风暴就产生，这会导致网络变慢和报文传输超时几率大大增加

防范：

利用VLAN划分限制广播风暴的范围及利用交换机的千兆接口支持风暴控制功能。打开端口对应风暴控制开关，则该端口对应输入报文的速度限制为12288帧/秒，百兆接口缺省限制广播和未知名单播的速度，限制为12288帧/秒。

9）、非法组播源

网络中的用户如果私自架设组播服务器的话，会对网络的正常通讯，网络带宽的利用及信息安全等造成极大的危害；因此，在上规模的网络中，都严格禁止用户私自架自组播服务器。

防范：

在交换机上启用IGMP 源端口检查的功能，从而达到防范非法组播源的目的。IGMP 源端口检查指严格限定IGMP 组播流的进入端口，当IGMP 源端口检查关闭时，从任何端口进入的视频流均是合法的，交换机会把它们转发到已注册的端口；当IGMP 源端口检查打开时，只有从路由连接口进入的视频流才是合法的，交换机把它们转发向已注册的端口，而从非路由连接口进入的视频流被视为是非法的，将被丢弃。

10）、交换机的管理安全

网络管理可以说是网络中最薄弱的一个环节，因为一旦攻击者登录交换机，那么交换机配置的所有安全防范措施则化为乌有，因此必须重视交换机管理安全：

一般的网络管理协议：SNMPv2，Telnet，Web等都是明文登录和传输信息的，因此，尽量使用SSH、SNMPv3等秘文传输方式登录交换机，因为它们都与交换机之间都是加密传输。

管理VLAN与用户VLAN分开

交换机上不用的端口划在一个VLAN中，并将这些口Shutdown，需要用时，再开启

限制可以管理交换机的IP，H3C交换机均支持Telnet和Web的源IP访问控制列表

第四章 网络优化建议
4.1 优化总体建议

在多应用、多系统数据的大型网络中，局域网与广域网交汇点上形成的通讯瓶颈所带来的阻塞往往令人无法接受。TCP/IP 协议的天然属性以及路由器上优化技术的不完美为问题的解决带来重重障碍。导致现象是，网络里的最重要信息流无法顺畅流通，广域网资源使用量无法被很好地识别，区分和控制。通过国际互联网或内联肉进行的各种应用遇到响应迟缓及中断等问题，尤其是图象和语音，通讯质量得不到保障。

l 目前先进的速率控制与整形技术（Rate Control/Rate Shaping）为这些问题的解决带来曙光。专业流量控制器通过对通讯两端机器通讯流量的同时及直接控制，有效地解决拥挤和阻塞。由于流量控制器能看懂 TCP/IP 从第二到第七的协议层，它能自动地分辨超过三百多种不同的各种协议，服务和应用。它能根据一个特定信息流的特点，根据IP地址，子网，服务器地点，TCP应用口，域名及应用将这个信息流和其它信息流区分开来，再根据不同的需要给予适当或应有的带宽分区（Partition）和带宽政策（Policy）。带宽分区和带宽政策的实施可以是硬性或弹性的，根据不同的灵活实施，可以确保广域网有限资源的按需动态分配。

l 针对金融企业信息网，整网部属QoS以来满足应用数据的分类传输，保证关键应用的网络质量。QoS通常通过四大步骤来部署，从而控制出现在广域网接入瓶颈的阻塞。

l 步骤一：分类――自动根据应用程序的种类、子网、URL 和其他信流特征，将网络信息流分成为不同的类别。流量控制设备所作的远远超过静态地对端口、IP 地址等作分辨，而是以 OSI 网络模型二至七层的特征为基础对信息进行分类，对如 SAP 和 Oracle 等各种应用程序进行精确定位。

l 步骤二：分析――提供详细的应用程序性能和网络效率分析，描述最大和平均带宽利用率、响应时间（细分到网络与服务器延迟等）、最主要的用户、网页、应用程序以及其他信息。

l 步骤三：控制――通过基于策略的带宽分配和流量整形，流量控制设备能够保护重要的应用程序、安置非关键信流，并且使有限的广域网接入性能实现优化。您可以为每个对话（session）、每个应用程序指定具体的带宽。控制设备的 TCP 速率控制技术能够主动地同时控制出港和入港的信息传输以避免阻塞、防止不必要的数据包丢弃和重发，力保平稳、均一的流量，实现吞吐优化。

l 步骤四：报告――具有多种报告功能，它可以产生报告、图表、数据和简单网络管理协议的管理信息库（SNMP MIB）。您可以通过服务等级协议来界定性能标准，比较真实性能与服务等级目标，提供两者吻合的报告。

4.2 IP优先级划分

l 针对金融企业信息化网络的实际的应用情况，可以把需要使用QOS的各种应用划分为5类：

1. 办公类应用：这是对延时非常敏感的一种应用，实时性要求高，应该定义为最高级别的优先级；

2. 视频/语音： 这类数据对延时也非常敏感，但属于多媒体业务，可以定义为次优先级；

3. 工程类业务： 这类数据的特点是交易包长度固定，交易时限要求实时，上下行数据流量基本对等，因为是网络中的关键应用，所以应定义为比较高的优先级；

4. 管理类业务： 这类数据通常对网络实时性要求不高，可定义为一般优先级业务；

5. 其它应用： 其它应用包括大部分Internet访问，典型的应用是FTP或HTTP等，可以把这类应用定义为最低的优先级。

l IP Precedence 规划表：

业务应用类型 IP Precedence值

其它应用（如FTP和HTTP） 0

管理类业务 2

工程类业务 3

视频/语音 4

办公类应用 5

l

4.3 QoS策略规划

l 根据网络以及与WAN的网络结构，同时考虑应用业务类型及特点，在整个网络服务质量保证方面可以使用下面的策略：

l 优先级分类——通过在分布层的交换机对接入端口设置COS实现；

l 拥塞避免机制——采用WRED- Weighted Random Early Detection实现；

l 拥塞管理机制——采用CBWFQ- Class Based Weighted Fair Queuing实现。

4.4 QoS数据分类

l 业务类

l 在网络数据中心内部，办公类应用数据和业务类数据主要在业务交换核心一侧，所以，数据优先级分类可以在数据中心核心交换机上根据连接主机的端口上完成。

l 具体的做法是将连接主机的交换机端口设置为untrust，并根据上表对进入该端口的数据包打上相应的Cos值。

l OA业务及视频类

l 在数据中心内部，EAS类数据服务和视频数据主要在交换核心一侧，所以，数据优先级分类可以在数据中心核心交换机等交换机上根据应用类型或连接相应网段的交换端口上完成。

l 具体的做法是将连接主机的交换机端口设置为untrust，并根据上表对进入该端口的数据包打上相应的Cos值。

4.5 QoS拥塞管理与拥塞避免

l 由于数据中心局域网多采用千兆或捆绑的多千兆端口互联，应该不会存在网络拥塞的情况。所以在交换机上无需考虑拥塞管理。

l 数据中心之间的广域网链路，数据中心与一级节点之间的广域网链路都是可能发生拥塞的网段，需要使用QoS的拥塞管理机制，CBWFQ。QoS的拥塞管理机制可以在数据中心之间以及数据中心与各一级节点的广域网电路上实现。同时QoS的拥塞避免机制，如数据包丢弃WRED也可以同时在相应的广域网端口上实施，以保证高优先级业务数据的服务质量。

第五章 网络管理建议
对于金融行业这样的网络，只依靠采用先进的技术和硬件设备是不够的，因为不论多先进的网络，如果缺乏一套专业，完善的网络管理系统也无法保障能为用户提供高效、优质的网络服务。利用网络管理系统提供的专业管理功能，网络管理员能实现对本地传输和接入网络从物理链路到上层复杂应用和业务的分层次集中管理，进而提高网络的可管理性和运行的稳定性，缩短信息网在提供新业务时的开通周期。通过简化网络管理流程，提高管理员的工作效率，降低网络的运行成本。

5.1 网管软件的要求

网管软件基于上述的要求，应尽量具有如下的特点：

1.基于公共的管理框架。为便于管理系统各功能模块间进行管理信息的共享和数据交换，所有管理体系中的其它管理工具和模块都与之进行集成，由其作为整个管理系统的支撑平台。

2.模块化设计。包含了一组提供不同管理功能的管理工具，各管理工具即可以独立工作也可以通过集成共享管理信息。在网元设备管理层，通过选择集成在其管理框架上的不同网元设备模块，网络管理员可以管理网络中的任何网元硬件设备。在服务和业务管理层，网络管理员可以通过选择不同的管理模块实现网络容量规划管理、配置管理、故障管理、性能管理和计费管理等一系列管理功能。这种模块化设计保证了用户可以根据自己的管理需求构建最符合要求的管理系统，节省用户的投资。

3.高系统强壮性。并运行在NT或者Unix管理服务器平台上，管理软件自身具有良好的系统强壮性，符合xx信息网用户对管理系统高可用性的要求。

4.优秀的规模可扩展性。管理服务器不但支持单机中央处理模式，也同时支持多服务器分布式处理模式，并能实现从中央处理模式向分布式处理模式地平滑过渡。可保证网络管理系统能适应用户网络规模的增长。

5.高容错性。管理系统中的管理工具都支持双机主备工作方式，当主管理服务器出现故障时，备用管理服务器可以接管主服务器的管理职能，保障管理系统的不间断运行。

6.支持多种网络和设备管理标准。在网络层支持SNMPv3管理标准。

7.提供安全认证和用户分权的管理机制。管理员首先需要登录才能使用管理系统对网络进行管理，这样就保证了只有拥有合法授权的管理员才能使用管理系统。同时可以利用管理系统的管理员分权机制，定义每一个登录的管理员所拥有的管理权限，进一步确保每个管理员只能管理他职责范围内网络资源。

5.2 网络管理解决方案

H3C网络管理系统IMC是一套基于 Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。它是由H3C网络自主开发的软件产品。

H3C管理系统能提供整个网络的拓扑结构，能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案，实现从网络级到设备级的全方位的网络管理。

H3C可以对整个网络上的网络设备进行集中式的配置、监视和控制，自动检测网络拓扑结构，监视和控制网段和端口，以及进行网络流量的统计和错误统计，网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。

一、稳定的可扩展的软件体系结构

H3C的软件体系结构采用多进程挂靠的方式进行设计，保留了丰富的可扩展接口，为系统进一步扩展和软件外联提供了稳定的平台基础。

二、 强劲的网络拓朴发现能力

H3C集成了目前最先进的三层拓朴发现算法，可自动检测和描绘网络拓扑结构，为管理员提供统一的拓扑视图和集中式管理视角。

1、使用三层拓朴和子网自动发现功能，即可自动完成全网逻辑拓朴的发现，了解整个网络的设备及其运行状况。

2、系统提供DIY方式，满足管理员按照物理连接或个人习惯自组物理视图。

3、自动检测网络活动，采用不同的位图标识不同类型的设备，不同颜色的三色状态图标识设备的不同状态，更好的描绘了网络设备节点的状态，为管理员提供了快速准确的的告警定位。

4、通过与事件管理器的无缝连接，实现设备状态在事件管理器中的实时通知与处理。

三、增强的设备管理能力

对以太网络中的通用IP设备、SNMP管理型设备提供了Web、Telnet、MIB-Browser、RMON View等多种综合管理方式，并在此基础上，为H3C网络设备，提供了增强的设备管理和功能管理。

1、为H3C网络设备提供各自的管理窗口及其管理功能。

2、为管理员提供逼真的H3C网络设备面板图，直观显示端口的连接状态，并可在设备面板图上进行点击操作，完成设备整体或接口的信息配置、浏览以及性能监视。

四、智能化的事件管理机制

1、结合拓朴管理和性能管理器于一体，集中管理Trap事件、拓朴管理事件、阈值报警事件、拓扑管理的系统事件和未知类型事件。

2、 事件管理器提供丰富的事件分类查看和存储功能，使管理员可在大量的网络事件中迅速查找并标识重要事件，从而进行有效处理。

3、 根据网络状况和管理需要，管理员可使用自定义的方式扩展软件支持的事件类型，从而避免了多设备混用时事件管理混乱问题。

4、事件管理器提供了事件报表功能，可根据管理员定义的搜索条件，检索数据库，并形成HTML报表供管理员汇总和分析。

5、 事件管理器除了为管理员提供了基于声音、EMAIL的事件告警功能，有效地帮助管理员及时了解整个网络运行状况外，还提供了针对网络事件的管理动作自动响应功能，从而使得管理员可对网络事件进行最及时的处理。

五、高效的性能监视和预警功能

1、提供完美的组合式曲线统计方式，为网络性能分析和故障分析提供直观的分析视图集。

2、提供统计视图打印功能，为网络故障分析提供了现场保存的能力。

3、主动式的阈值告警功能使得管理员可根据网络实际应用自定义网络关键性能变更事件，并通过与事件管理器连接得到有效的预警和处理。

4、提供多设备多性能同视图对比监视的方式，使得管理员可方便的对多项网络性能进行对比分析。

5、自动视图记忆功能使得监视视图被设定后即可永久保存，从而使得软件一旦启动即可对历史监视点进行后台监视，免除了管理员重复再设定的烦恼。

六、基于数据库的灵活的网络应用

1、软件使用SQL数据库作为后台数据库，基于SQL Server的网络功能，H3C可实现基于网络的分布式的高级应用，即所有管理站收集到的事件信息、性能数据以及拓朴视图可在SQL Server进行汇总，从而使得网络性能历史重现、网络事件报表等功能可共享数据信息，为管理进行统计分析提供最丰富的信息资源。

2、基于SQL数据库的网络性能历史重现功能可有效记录大量的性能数据，并提供管理员最多长达一年的对网络性能变化趋势进行描绘的能力。

七、友好的用户界面

1、采用全中文的用户界面和标准Windows界面风格，用户极易快速掌握软件使用和操作。

2、高度简化的软件操作方式使得复杂的软件功能应用只需简单的步骤即可完成

H3C金融行业技术建议书相关推荐

1. 权威机构统计：2021 年最佳数据中心网络公司，中国华为和H3C上榜

   长期以来,网络被认为只是连接服务器.存储和客户端.在各个点之间运行数据的必要数据中心管道.然而,过去几年 IT 发生了重大变化,世界迅速变得更加以数据为中心.更加软件定义.更加分布式和更加移动化. 与 ...

2. 2022-2028年中国场景金融行业深度调研及投资前景预测报告

   [报告类型]产业研究 [出版时间]即时更新(交付时间约3个工作日) [发布机构]智研瞻产业研究院 [报告格式]PDF版 本报告介绍了场景金融行业相关概述.中国场景金融行业运行环境.分析了中国场景金融行 ...

3. 2022-2028年中国房地产金融行业投资分析及前景预测报告

   [报告类型]产业研究 [出版时间]即时更新(交付时间约3个工作日) [发布机构]智研瞻产业研究院 [报告格式]PDF版 本报告介绍了房地产金融行业相关概述.中国房地产金融行业运行环境.分析了中国房地产 ...

4. 华三h3c交换机最详细的配置实例手册_华为/思科/华三基本命令对比

   很多朋友反映,对华为/思科/华三交换机配置命令有些分不清楚,那么今天弱电君和大家来看下他们的区别在哪里,这里对命令做了个汇总,平时对命令不熟的朋友这次可以看下. CISCO H3C HUAWEI 描述 ...

5. 《Cisco/H3C交换机配置与管理完全手册（第2版）》终稿封面和目录

   无数网友一直殷切期待和关注的<Cisco/H3C交换机配置与管理完全手册>(第2版)一书即将于本月底正式上市了.到时对于真实读者,写书评后可以参加全额返款的抽奖活动,加入我的微博(本博客首 ...

6. 2017年7个主要的金融行业数据趋势

   大数据预示着金融行业的一些巨大变化,而新技术正在推动行业发展的新趋势.任何人在金融领域甚至普通消费者都能从认识到他们中获益.任何金融界人士,甚至普通消费者,都可以从这些技术中受益. 2017年金融行业 ...

7. 使用command-privilege给H3C、华为设备的用户帐号授权

   一.H3C设备的权限默认分为0-3这四种级别 数值越小,用户的级别越低 (1)访问权限0 级 : ping.tracert.telnet 等网络诊断小程序,不可以dis current (2)监控权限 ...

8. 金融行业安全漏洞分析报告

   报告介绍 互联网+时代的到来,人们充分享受新时代科技创新成果的便利同时,万物互联带来的信息安全风险也日渐提高,信息泄密事件层出不穷,在资金体量庞大.用户信息集中.安全隐患影响深远的金融领域,所面临的安 ...

9. h3c 3600 acl 配置 滤源IP是网关的ARP报文的ACL规则

   h3c 3600 acl 配置 滤源IP是网关的ARP报文的ACL规则 悬赏分:100 - 解决时间:2009-3-8 14:30 星号之间是我在网上查到的华为交换机的配置方法: ********** ...

最新文章

1. UF_DRAW_set_view_display 使用问题
2. Linux C编程--进程介绍3--进程终止和等待
3. bugzilla perl mysql apache windows,windows下apache安装bugzilla
4. NEFU 560 半数集
5. 青海行－－（7月２6日）翻越祁连山
6. 漫画：什么是冒泡排序
7. 前端学习（780）：日期对象
8. Openwrt常用软件模块之CWMP
9. python的split函数作用_spilt函数 详解 for Python
10. 未备份cf卡数据删除了怎么办？有这3个恢复方法
11. 6软硬约束下的轨迹优化
12. SftpGo：一款高性能的sftp server服务
13. 游戏思考15：全区全服和分区分服的思考
14. linux驱动调试--段错误之栈信息分析
15. 读《如何阅读一本书》有感
16. python爬取某壁纸网站壁纸
17. CreateJS-EaselJS文档翻译
18. 初识GeneXus产品
19. 最万能的登录、注册页。带输入数据的验证。邮箱的正则表达式、正则表达式验证输入的数据
20. 独自封装windows 10系统详细教程（一）

热门文章

1. HTML+CSS笔记4
2. python rowcount_如何在ponyorm中创建rowcount？Python
3. JavaScript构建新对象及其原型用到原型设计模式详细剖析
4. 12306自动刷票下单-登录篇
5. 社交网站击溃游戏专业队 占领近9成网页游戏市场
6. 谷歌浏览器中隐藏的小游戏彩蛋
7. java逆向工程_JAVA语言：详解MyBatis逆向工程[Java代码]
8. 【超详细】计算机组成原理总结及思维导图
9. 一个草根的网络创业经验分享
10. unity3d 虚拟博物馆_什么是Web3D虚拟展厅技术，商迪3D针对虚拟展厅，提供虚拟博物馆在线3D漫游服务！...