公司网络管理规划

公司网络管理规划

2024年6月

公司信息化的整体目标和原则

公司信息化可以有效提升公司的总体水平。信息技术利用的水平，从一定程度上也体现了公司的管理水平和企业文化。公司员工使用信息化成果的同时，也是信息化与公司管理理念紧密结合的过程。信息化可以与公司企业文化紧密结合，员工在日常的工作中就可以体会公司企业文化的部分内涵。由此，信息化的整体目标是以公司企业文化为主线，紧密结合公司内部管理制度，发展适合公司需要的、先进的IT成果，提升公司的信息化总体水平。

信息化发展的原则，先进、可靠、安全、简易、扩展、有针对、易融合。

    

公司目前信息系统规划前的情况

公司组织结构设置（2012年度）

公司组织结构设置		是否在公司网络

网络信息系统规划前的逻辑拓扑结构图

公司目前设备和人员等基础资料汇总整理

公司总部网络内部的所有人员基本信息（人力资源部门提供）

员工编码	员工姓名	所属部门	备注

公司总部信息点位平面图

要点：对区域内所有信息点（包括语音和数据）进行统一编号并绘制平面示意图。

公司总部机房机柜位置图

网络设备汇总登记表

设备识别码	设备名称	设备型号	功能	位置	管理IP地址	子网掩码	管理VLAN	备注

网络设备（路由器、防火墙和交换机等）无需登记网卡型号和网卡MAC。建议：设备识别码6位，2位为公司编码，1位为类别编码，3位同类设备序号。青岛郡威总部：00；类别编码：0网络设备，1服务器，2笔记本电脑，3台式机电脑。如青岛郡威总部交换机编码为000001；青岛郡威总部服务器为001001。

设备名称仅标注设备的类型（如路由器、服务器、防火墙、笔记本电脑和台式机电脑等）；设备型号要标注设备的品牌和设备的厂家型号；位置引用青岛郡威总部机房机柜位置统一编号。

服务器设备汇总登记表

设备识别码	设备名称	设备型号	网卡1型号	网卡1MAC	网卡2型号	网卡2MAC	功能	位置	备注

服务器的网卡型号和网卡MAC有多少物理网卡就记录多少；

终端设备汇总登记表、

设备识别码	设备名称	设备型号	网卡1型号	网卡1MAC	网卡2型号	网卡2MAC	员工编码	使用人	工位号	备注

要点：终端设备的网卡型号和网卡MAC有多少物理网卡就记录多少；位置引用总部平面图内的信息点编号；其它无法分类汇总的信息写在备注项内。终端设备（包括台式机和笔记本电脑）主机名称建议方案：“公司+部门+序号”。00代表青岛郡威总部，部门名称采用简单易记易懂的拼音或缩写，序号为设备在所属部门（或功能）内部序列号，2位。如，资讯中心电脑编号为：“00ZiXun01”。

设备之间连接的端口

设备识别码	设备名称	源端口	设备识别码	设备名称	目的端口	工位号	运行状态

例：Switch A连接Switch B，以Switch A为主时，源端口为Switch A上的连接Switch B的端口；目的端口为Switch B上的连接Switch  A的端口；运行状态为目前使用情况。

下面介绍下目前公司使用的和即将使用的主要网络设备及特点。

路由器

D-Link 7200

概述

∙端口结构：非模块化 

∙广域网接口：2或4个 

∙局域网接口：3或1个 

∙传输速率：10/100Mbps 

∙网络管理：WEB管理 

∙用户数量：120台 

∙防火墙：内置防火墙 

∙VPN支持：支持 

∙产品内存：MB SDRAM 

∙处理器：Intel IXP 266MHz 

∙网络安全：防UDP Flooding攻击防ARP广播...

功能特点

D-Link DI-7200详细参数

基本参数   路由器类型：企业级路由器

传输速率：10/100Mbps

端口结构：非模块化

广域网接口：2或4个

局域网接口：3或1个

功能参数防火墙：内置防火墙

VPN支持：支持 

网络安全：防UDP Flooding攻击

防ARP广播报文攻击

防Ping攻击

防Ping、端口扫描

冲击波病毒防范

ARP地址欺骗防范 

网络管理： WEB管理

其他参数处理器：Intel IXP 266MHz 产品内存：MB SDRAM 

用户数量：120台 

其它特点：负载均衡 

其它性能：最大连接数 160000

绿色节能 

保修信息保修：全国联保，享受三包服务客服电话：800-829-6688 

电话备注：9:00-18:00 

详细内容：凡属正常使用情况下由于产品本身质量问题引起的故障，在保修期内D-Link公司将负责给予有限保修。经维修的机器，在保修期内继续享有保修服务；若距保修期结束不足3个月，则所更换的备件自更换之日起享有3个月的保修。产品的保修起始日期为购机日期，如日期晚于D-Link系统发货日期加该产品的宽限期

主要硬件规格

核心交换机

H3C S3100-16TP-EI

概述

核心交换机采用的是H3C公司的增强型IPv6强三层万兆以太网交换机，具体产品型号为“S5500-28C-EI”。

功能特点

H3C S3100-16TP-EI 端口参数 非模块化

端口数量：20个

端口描述：16个10/100Base-TX以太网端口，2个10/100/1000Base-T以太网端口，2个复用的100/1000Base-X SFP端口

控制端口：1个Console口

传输模式：支持全双工

VLAN：支持基于端口的VLAN（4K个）支持基于协议的VLAN 支持Voice VLAN 支持GVRP 支持VLAN VPN（QinQ），灵活QinQ 支持基于端口和全局的VLAN Mapping

QOS：每个端口支持4个输出队列支持802.1p/DSCP优先级支持端口队列调度（SP、WRR、SP+WRR）支持基于流的包过滤支持基于流的流量统计支持基于流的重定向支持基于流的优先级标记支持基于流的限速支持流量整形

组播管理：IGMP Snooping v1/v2/v3 组播VLAN

网络管理：支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持HGMP v2集群管理支持SNMP v1/v2/v3，WEB网管支持RMON 1，2，3，9组MIB 支持H3C iMC智能管理中心支持系统日志，分级告警支持PING、Traceroute，Multicast Traceroute 支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能支持DLDP（Device Link Detection Protocol）单向链路检测协议支持Loopback-detection 端口环回检测支持IPv6 host网络管理特性族

安全管理：用户分级管理和口令保护支持Guest VLAN 支持IEEE 802.1X认证/集中MAC地址认证支持AAA&RADIUS&HWTACACS认证支持MAC地址学习数目支持MAC地址黑洞支持SSH 2.0 支持EAD（终端准入控制）支持IP源地址保护支持ARP入侵检测功能支持ARP报文限速功能支持端口隔离支持IP＋端口的绑定支持IP+MAC的绑定支持端口＋MAC的绑定支持IP+MAC+端口的绑定

H3C S3100-16TP-EI 其它参数

电源电压：AC 100-240V，50-60Hz

电源功率：15W

产品尺寸：360×160×43.6mm

产品重量：<3kg

环境标准：工作温度：0-45℃ 工作湿度：10%-90%（非凝露）

主要硬件规格

产品类型：智能交换机

应用层级：二层

传输速率：10/100/1000Mbps

交换方式：存储-转发

背板带宽：19.2Gbps

包转发率：5.4Mpps

MAC地址表： 8K

接入无线路由器

概述

功能特点与硬件规格

信息系统需求

均豪物业是在全国有多处分公司或项目部的集团性物业管理公司，公网用户需随时访问公司业务应用。 公司信息化是一个循序渐进的过程，下面根据公司目前的实际情况，提出了实施步骤建议：

第一阶段

网络内部用户访问控制 公司内部员工网络访问权限控制。公司业务服务程序全面强大，要求总部网络内部员工只能访问自己专注的业务服务程序；公司仅向有访问业务需求的员工提供访问功能；要求屏蔽部分与公司业务无关的网站；屏蔽与公司工作无关的网络应用，如：IM、P2P程序等。

外来用户内网访问控制 为来公司访问的用户包括客户或公司所属其它分（子）公司的同事提供访问公网网站和收发邮件的服务。外来访问用户多携带笔记本电脑，该类设备多含有无线局域网卡，允许其使用无线内部网络提供上述服务。

第二阶段

内网访问公网流量控制 要求对各部门网络流量与服务器数据流量进行规划，达到合理利用网络带宽，保证公网用户访问公司业务服务的目的。

病毒安全防护控制 要求统一IT应用程序的补丁升级，安装安全软件，病毒库升级等，达到病毒或恶意软件可控的目的。

工作站应用安装控制 公司IT设备的应用程序安装标准化、合法化、制度化。

网络设备监控维护管理 使用专业网络管理软件对网络设备、服务器设备和应用程序等进行实时监控，保证公司网络信息系统正常高效运转。

第三阶段

业务数据备份 保证公司业务数据的安全可靠、对业务数据周期性或不定期进行备份。

第四阶段

链路备份 公司对专线进行备份，保证客户访问的可持续性。公司内部核心设备备份，保证公司内部或外部网络服务正常工作。

应用备份 备份公司核心业务程序，保证公司应用程序或服务器故障时可以正常工作。

信息系统规划

网络规划目标

公司网络规划阶段性目标如下图所示

规划部署实现思路简要说明

规划部署实现原则

⏹网络设备部署时要充分考虑网络设备的处理能力

⏹网络策略设置要简洁、易读

⏹网络策略设置布局要合理，要充分发挥该设备的优点

⏹核心交换层仅设置局域网内部各子网的安全访问策略

⏹主要的公网访问策略在路由器上进行设置

规划部署满足信息化需求的整体设想

⏹制定详尽的IP地址规划表及管理制度。

设置防火墙dnstranslation功能

进行必要的流量控制，保证语音数据和信息数据合理使用带宽; 

添加必要的访问控制，IT终端的访问。

⏹路由器

充分发挥流量控制等方面的功能，达到公司各终端访问的流量控制和提供高质量的应用服务的目的；

建立DHCP服务器，为DHCP中继提供基础服务，按MAC与IP地址的对应关系，为终端设备分配固定的IP地址；

添加必要的访问控制，IT终端的访问；

启动防火墙功能，减轻边界防火墙的负载压力。

⏹核心交换机

根据网络系统规划，建立与网络控制单元相对应的VLAN，并为VLAN接口分配IP地址；

启用DHCP中继功能，验证在用户地址表中IP地址与MAC地址的绑定关系，保证非法终端不能访问网络；

添加必要的访问控制，IT终端的访问；

为核心交换层设备提供冗余设备链路，保证公司数据交换正常。

根据网络控制单元划分基于端口的VLAN，逻辑上建立IT设备与所属网络控制单元比较固定的从属关系，为进一步深化网络控制管理提供条件。

连接内部有线局域网络客户的设备，IP地址由路由器根据VLAN ID和MAC等信息为其分配固定的IP地址，并对数据报文的IP地址与MAC对应关系进行验证，保证通过授权的设备连接并使用内部局域网络

⏹无线局域网络

无线局域网络分为外部无线局域网络和内部无线局域网络 

连接内部无线局域网络的设备访问控制由使用该设备的用户的具体工作需求决定

连接内部无线局域网络的设备，IP地址由路由器根据VLAN ID和MAC等信息为其分配固定的IP地址，并对数据报文的IP地址与MAC对应关系进行验证，保证通过授权的设备连接并使用内部局域网络。

允许使用公司内部无线局域网络的用户为行政部人事任命通知中的公司高层管理干部、公司总经理助理、公司专委会、各部室负责人和经公司批准使用内部无线局域网络的其它人员。

连接外部无线局域网络设备仅允许公网访问和网络打印服务，IP地址由路由器进行动态分配。

⏹根据公司数据库及其它应用程序特点，制定完整的备份方案和应急计划。

⏹为公司机房或部分特殊部门提供UPS不间断电源。

⏹优化网络设备，部署网络监控，使其达到有效工作。

从下章开始，将详细介绍为实现上述安全策略所采取的技术手段及简要方案。

网络设备实施方案初步

IPv4协议是目前广泛部署的因特网协议，IPv4协议简单、易于实现、互操作性好。公司内部业务网络的阶段性目标是构建基于IPv4协议下的以太网络，业务核心区域和主要数据链路构建千兆网络，普通办公网络构建标准的百兆网络。

接入层交换机与公用设备（如网络打印机等）连接的接入端口采用mac地址认证的方式，控制（未）授权设备接入（未）授权网络；终端设备组根据所属网络控制单元划分基于端口的VLAN，保证设备物理位置和所属网控单元变更的情况下，网络设备设置简单易用。核心交换机验证IP地址与MAC对应地址表项，并对设备进行有必要的访问控制。网络设备管理服务器负责管理网络所有设备，包括版本升级、策略调整、设备监控、日志检查等维护工作。

下面讲述公司已有的网络设备及建议的设备的具体功能设置与部署。

公司总部内部网络控制单元

概述

网络控制单元定义 根据青岛郡威公司总部各部室网络访问需要和信息系统服务等级程度，或所属个人及其它使用网络系统需求的情况，同时为了便于网络控制策略的设置与实现，对公司总部内部IT设备进行网络控制单元的划分与管理。

网络控制单元范围 网络控制单元可以是一个部室，可以是一个使用信息设备的自然人，也可以是其它具有同一网络系统使用需求的逻辑区域。 

作为部门的网络控制单元

请填写各部室名称

其它逻辑区域的网络控制单元

网络设备、无线内部网络、无线外部网络、应用服务器、数据服务器。

IP地址规划

IP地址分配原则

⏹IP地址的最终分配和解释权在青岛郡威总部XX部

⏹IP地址规划基于IPv4协议标准，IPv4协议规定私有地址（网络数量），A类10.0.0.0(1个)，B类172.16.0.0_172.31.0.0（16），C类192.168.0.0（256）

⏹子网数量、主机数量满足公司近期发展规划要求

⏹不同子（分）公司或项目部使用不同子网的IP地址，同一公司内部不同网络控制单元根据信息发展需要划分子网

⏹同一局域网（LAN）内设备的IP地址是唯一的， 同一网络控制单元内的设备使用同一子网的IP地址

⏹被一台路由器或防火墙等三层设备分割连接不同端口的设备使用不同子网的IP地址

⏹内部有线设备根据MAC分配固定IP地址

⏹IP地址分配方式

针对IT设备的不同需求，提供了三种IP地址分配方式：

⏹手工分配地址：由青岛郡威公司总部XX部室为业务服务器或网络设备等手工分配设定IP地址。

⏹自动分配固定的地址：将连接内部无线和有线局域网络的IT终端设备的MAC地址与IP地址绑定，通过DHCP服务为其分配与MAC地址有对应关系的固定的IP地址。

⏹自动分配动态的地址：DHCP为外部无线局域网络客户端分配动态IP地址。

核心路由器

⏹系统名称：自定义

⏹interface Ethernet0/0（连接80C），ip地址：自定义；

⏹子网掩码：255.255.255.0

⏹interface Ethernet0/1（内网连接核心交换机），ip地址：自定义：子网掩码：255.255.255.0

核心交换机

⏹系统名称：自定义

⏹管理Vlan 1，ip地址：自定义；

⏹子网掩码：255.255.255.0

⏹建立IP VLAN接口，IP地址为各IP子网的最大可用IP地址

内部有线局域网

工作站IP地址分配从每一子网的最小IP地址开始，最大IP地址为每个IP子网网关，核心层交换机VLAN接口地址。

部门	部门名称	子网号	最小IP地址	最大IP地址	子网掩码
品牌管理部	PinPai
园区设施管理部	YuanQu
相关部室设置

无线局域网

工作站IP地址分配从子网的最小IP地址开始，最大IP地址为子网网关，核心层交换机VLAN接口地址。无线AP地址从最大无线AP地址（最大IP地址-1）回数。（以总部为例）

功能区域	规划个数	子网号	最小IP地址	最大IP地址	子网掩码
内部无线局域网	250	192.168.2.000	192.168.2.001	192.168.2.254	255.255.255.0

分公司内网IP规划

分公司内部局域网络指的是与总部网络相对且具有一定规模与公司总部有VPN数据传输业务的子公司或项目部。它的内网IP规划范围初步设定为从192.168.11.X开始，子网掩码为255.255.255.0。

需要做的事

根据终端设备所在部门和IP规划，分配IP地址和系统主机名。

交换机

便于网络接入，将报文的接收端口和终端设备的MAC地址安全认证；根据所属部门或设备功能对接入网络的设备划分基于端口的VLAN。此时，交换机只对从该端口收到的符合规定的终端设备发出的报文进行转发。

端口汇聚

端口汇聚是将多个以太网端口汇聚在一起形成一个逻辑上的汇聚组，使用汇聚服务的上层实体把同一汇聚组内的多条物理链路视为一条逻辑链路。端口汇聚可以实现出/入负荷在汇聚组中各个成员端口之间分担，以增加带宽。同时，同一汇聚组的各个成员端口之间彼此动态备份，提高了连接可靠性。

端口安全

端口安全（Port Security）是一种对网络接入进行控制的安全机制，通过定义各种安全模式，让设备学习到合法的源MAC地址，以达到相应的网络管理效果。启动了端口安全功能之后，对于交换机不能通过安全模式学习到其源MAC地址的报文，系统将视为非法报文；对于不能通过802.1x认证或MAC地址认证的事件，将被视为非法事件。当发现非法报文或非法事件后，系统将触发相应特性，并按照预先指定的方式自动进行处理，减少了用户的维护工作量，极大地提高了系统的安全性和可管理性。

端口安全的Intrusion Protection特性：该特性通过检测端口接收到的数据帧的源MAC地址或802.1x认证的用户名、密码，发现非法报文或非法事件，并采取相应的动作，包括暂时断开端口连接、永久断开端口连接或是过滤源地址是此MAC地址的报文，保证了端口的安全性。

1.1.1DHCP Snooping

S3100-SI系列以太网交换机不支持DHCP Snooping信任端口功能。但为了防御因私自架设DHCP服务器，而导致的网络混乱；或者攻击者恶意冒充DHCP服务器，为客户端分配IP地址等配置参数等情况，S3100-SI系列以太网交换机提供了防DHCP服务器仿冒功能。

在开启DHCP Snooping功能的交换机的下游端口（与DHCP客户端直接或间接相连的端口）上配置防DHCP服务器仿冒功能后，交换机会从该端口向外发送DHCP-DISCOVER报文，用于探测连接到该端口的DHCP服务器，如果接收到回应报文（DHCP-OFFER报文），则认为该端口连接了仿冒的DHCP服务器，交换机会根据配置的处理策略进行处理，例如仅发送告警信息，或发送告警信息的同时将相应端口进行管理Down操作。

端口VLAN

根据所属部门或设备功能对接入网络的设备划分端口VLAN。VLAN（Virtual Local Area Network，虚拟局域网）把一个物理上的LAN划分成多个逻辑上的LAN，每个VLAN是一个广播域。各个VLAN内的主机间不能直接通信，增强了LAN的安全性。使用VLAN可以创建跨物理网络范围的虚拟工作组，位置改变后也可以通过简单VLAN管理使其在网络访问方面没有根本改变。

核心交换机

通过H3C的IRF2（第二代智能弹性架构）技术，便于控制多台核心交换设备，同时达到连接可靠的目的。启用DHCP中继功能，验证在用户地址表中IP地址与MAC地址的绑定关系，保证非法终端不能通过DHCP中继访问外部网络。对VLAN之间进行策略，实现公司内部终端设备访问控制的目的。

1.1.2IP地址分配与安全验证的实现

无线网络终端设备IP地址分配

内部无线局域网络是给部分员工提供在公司内部有控制的使用网络工作的辅助手段，内部无线AP功能的设备连接到公司接入交换机。启用核心交换机的DHCP服务，将客户端的MAC地址与IP地址绑定，即采用静态MAC绑定方式进行IP地址分配，当具有此MAC地址的客户端申请IP地址时，DHCP服务器将根据客户端的MAC地址查找对应的IP地址，并分配给客户端。

外部无线局域网络为来访客户提供有限访问网络的功能，外部无线AP（路由器）连接到公司核心交换机。可以考虑采用路由器动态地址分配方式，配置该地址池可分配的IP地址。

1.1.3基于IP 子网的VLAN 简介

基于 IP 子网的VLAN 是根据报文源IP 地址及子网掩码来进行划分的。设备从端口接收到untagged 报文后，会根据报文的源IP地址来确定报文所属的VLAN，然后将报文自动划分到指定VLAN 中传输。基于 IP 子网的VLAN 只对Hybrid 端口配置有效。

需要做的事

1、设置端口类型。核心交换机与服务器之间连接的端口类型为Access类型；与接入交换机连接端口设置为TRUNK，并添加到相应汇聚组。

2、使能DHCP服务, 配置VLAN接口工作在DHCP中继模式, 当接口收到DHCP客户端发来的DHCP报文时，会将报文转发给DHCP服务器，由服务器分配地址。

3、手工配置IP地址与MAC地址的绑定关系，在接口上使能DHCP中继的地址匹配检查功能。

4、确定必要的访问控制策略，对内网设备提供有限的访问控制。

路由器

建立DHCP服务器，为连接DHCP 中继接口的终端设备提供必要的IP地址。使用防火墙的 Web 和邮件过滤功能可以阻止内部用户访问非法的网址或访问含有非法内容的网页，防止内网用户向非法邮件地址发送邮件或向外发送与工作无关的邮件。

DHCP服务器

在VLAN接口上建立DHCP服务器。配置地址池动态分配的IP地址范围时，请尽量保证该地址范围与DHCP服务器接口或DHCP中继接口地址的网段一致，以免分配错误的IP地址。

通过将客户端的MAC地址与IP地址绑定的方式实现为客户端分配固定的IP地址。当具有此MAC地址的客户端申请IP地址时，DHCP服务器将根据客户端的MAC地址查找到对应的IP地址，并分配给客户端。

日常管理与维护

QoS

拥塞管理

传统的 IP 网络无区别地对待所有的报文，设备处理报文采用的策略是FIFO（First In First Out，先入先出）。FIFO依照报文到达时间的先后顺序分配转发所需要的资源。为用户提供专用带宽、减少报文的丢失率、管理和避免网络拥塞、网络的流量、设置报文的优先级。这种服务策略称作Best-Effort，它尽最大的努力将报文送到目的地，但对分组转发的延迟、抖动、丢包率和可靠性等需求不提供任何承诺和保证。只适用于对带宽、延迟不敏感的WWW、FTP、E-mail等业务。

在分组交换以及多用户业务并存的复杂环境下，拥塞又是常见的。拥塞，是指由于供给资源的相对不足而造成转发速率下降、引入额外的延迟的一种现象。引发网络拥塞的因素：链路带宽流量在出端口超过线速；用以正常转发处理的资源的不足，如可分配的处理器时间、缓冲区、内存资源的不足；在某个时间内对所到达的流量控制不力，使之超出了可分配的网络资源。

拥塞使流量不能及时获得资源，造成服务性能下降。拥塞有可能会引发的负面影响：拥塞增加了报文传输的延迟和抖动，过高的延迟会引起报文重传；拥塞使网络的有效吞吐率降低，造成网络资源的利用率降低；拥塞加剧会耗费大量的网络资源（特别是存储资源），不合理的资源分配甚至可能导致系统陷入资源死锁而崩溃。

解决网络拥塞问题的一个直接途径是增加网络带宽，更有效的办法是在网络中增加流量控制和资源分配的功能，为有不同服务需求的业务提供有区别的服务，正确地分配和使用资源。在进行资源分配和流量控制的过程中，尽可能地控制好那些可能引发网络拥塞的直接或间接因素，减少拥塞发生的概率；在拥塞发生时，依据业务的性质及其需求特性权衡资源的分配，将拥塞对QoS 的影响减到最小。

流量管理技术

主要的流量管理技术有流分类、流量监管、流量整形、拥塞管理和拥塞避免。流分类是基础，它依据一定的匹配规则识别出报文，是有区别地实施服务的前提；而流量监管、流量整形、拥塞管理和拥塞避免从不同方面对网络流量及其分配的资源实施控制，是有区别地提供服务思想的具体体现。

⏹流分类：依据一定的匹配规则识别出对象。

⏹流量监管：对进入设备的特定流量的规格进行监管。当流量超出规格时，可以采取或惩罚措施，以保护客户利益和网络资源不受损害。

⏹流量整形：一种主动调整流的输出速率的流控措施，通常是为了使流量适配下游设备可供给的网络资源，避免不必要的报文丢弃和拥塞。

⏹拥塞管理：拥塞管理是必须采取的解决资源竞争的措施。通常是将报文放入队列中缓存，并采取某种调度算法安排报文的转发次序。

⏹拥塞避免：过度的拥塞会对网络资源造成损害。拥塞避免监督网络资源的使用情况，当发现拥塞有加剧的趋势时采取主动丢弃报文的策略，通过调整流量来解除网络的过载。

日志管理与系统维护

构建网络管理站

在网络内部建立网络管理站（Network Management Station，NMS）。安装运行适合公司网络设备的网络管理平台的工作站，目前常用的网管平台有h3c iMC、Sun NetManager和IBM NetView等。建立网络设备软件版本管理的存储服务器，网络设备建立仅为网络管理站访问的FTP服务器，实时对网络设备提供版本升级工作。

开启网络设备内网FTP服务功能

开启网络设备内网FTP服务功能，便于管理人员对网络设备进行软件和配置等文件的升级备份操作。

日志管理

信息中心是H3C网络设备的信息枢纽，它能够对所有的系统信息进行分类、管理，为网络管理员监控网络运行情况和诊断网络故障提供了强有力的支持。

信息中心的系统信息共分为三类：log类，日志类信息；trap类，告警类信息；debug类，调试类信息。

信息按严重性划分为八个等级，严重性由高到底的顺序依次为：系统不可用信息（emergencies）、需要立刻做出反应的信息（alerts）、严重信息（critical）、错误信息（errors）、警告信息（warnings）、正常出现但是重要的信息（notifications）、需要记录的通知信息(informational)和调试过程产生的信息(debugging)。

系统可以向以下六个方向发送系统信息：控制台（console）、监视终端（monitor）、日志缓冲区（logbuffer）、日志主机（loghost）、告警缓冲区（trapbuffer）和SNMP模块六个方向。

系统支持十个通道，缺省情况下，0～5六个通道已经定义了通道名、输出规则和输出方向。可以通过命令改变通道名、输出规则和输出方向，用户还可以在不改变六个通道缺省配置的情况下，配置6、7、8、9这四个富余通道，将他们与输出方向关联，以便对输出的系统信息实施配置的过滤规则。

缺省输出规则规定了各个输出方向可以输出的信息模块、输出的信息类型以及输出的信息级别，缺省情况下：

⏹允许所有模块的高于或等于informational级别的log信息发往日志主机；允许所有模块的高于或等于warnings级别的log信息发往控制台、监视终端和日志缓冲区；所有模块的所有log信息不允许发往告警缓冲区和SNMP模块方向。

⏹允许所有模块的所有Trap信息发往控制台、监视终端和日志主机；允许所有模块的高于或等于warnings级别的Trap信息发往告警缓冲区和SNMP模块；所有模块的所有Trap信息不允许发往日志缓冲区方向。

⏹允许所有模块的所有debug信息发往控制台和监视终端；所有模块的所有debug信息不允许发往日志主机、告警缓冲区、日志缓冲区和SNMP模块。

不同网络设备支持日志管理协议也不同，一般支持简单网络管理协议（Simple Network Management Protocol，SNMP）。

SNMP（Simple Network Management Protocol，简单网络管理协议）是网络中管理设备和被管理设备之间的通信规则，它定义了一系列消息、方法和语法，用于实现管理设备对被管理设备的访问和管理。SNMP 具有以下优势：

⏹自动化网络管理。网络管理员可以利用 SNMP 平台在网络上的节点检索信息、修改信息、发现故障、完成故障诊断、进行容量规划和生成报告。

⏹屏蔽不同设备的物理差异，实现对不同厂商产品的自动化管理。