xxx政务内网方案

xxx政务内网方案内容摘要：

应能防止系统外部成员的非法入侵以及操作人员的超级操作，尽量避免计算机犯罪问题的发生。 专网系统设计为内、外网物理隔离，确保专网内网系统数据安全。 为了安全其间，本方案建议对整个系统的 LAN 依据不同的部门划分不同的VLAN，这样一方面既隔离了广播域提高了网络性能，又极其重要的提高了各部门子网的网络私有性和安全性，保证各单位独立的 VLAN 之间，系统未经授权不能互相访问。 同时，在核心交换机上设置 ACCESS LIST 将 XXX 政务专网 域网系统的 非安全因素的网络隔离开来，防止未经授权的用户访问核心网络。 另外，为了防止黑客和外部用户的非法入侵，采用防火墙技术和防病毒技术。 网络中的任何设备均可以通过网络管理平台进行控制，网络的设备状态，故障报警等都可以通过网管平台进行监控，通过网络管理平台简化管理工作，提高网络管理的效率。 在设计 内 网时，选择先进的网络管理软件是必不可少的。 网络管理软件应用于网络的设备配置，网络拓扑结构表示，网络设备的状态的显示，网络设备的故障事件报警，网络流量统计分析以及计费等等。 网管软件的应用可以提高网络管理的效率，减轻网络管理 人员的负担。 网络管理的目标是实现零管理，基于策略的管理方式，网络管理是通过制定统一的策略，由管理策略服务器进行全局控制的。 基于 Web 的网管界面，是网管软件的发展趋势，灵活的操作方式简化了管理人员的工作。 在设计局域网的设备选择上，要求网络设备支持标准的网络管理协议 SNMP，同时支持 RMON/RMONII 协议，核心设备要求支持 RAP(远程分析端口 )协议，实施充分的网络管理功能。 在设计 XXX 政务专网 内 网的原则上应该要求设备的可管理性，同时先进的网管软件可以支持网络维护、监控、配置等功能。 灵活性和可扩展性 由于网 络必然随 政务 系统网络规模的扩大而增涨，网络在设计中要分析现有用户需求并预测未来若干年的业务增长，满足短期内网络对带宽需求和设备处理存储能力的期望，网络的结构要合理利于今后节点扩容和增加。 对于未来的网络发展，要立足现有设备的升级改造，与新设备能够在新技术下互操作，保护现有 建设投资。 根据这一原则，我们在网络系统设计时考虑了以下几个方面： 必须尽可能保护用户现有网络设备投资，原有网络设备要尽可能在建成的网络中发挥作用。 选用先进的具有极好扩展性的网络技术； 设备采用模块化结构设计，方便带宽和端口扩展； 设备保留足 够空余插槽，保证业务扩展的需求。 满足 政务 网络业应用需求 网络系统在设计时，充分考虑到了目前应用软件系统的实际需求和将来的发展。 网络系统主干采用高性能路由交换机，为应用软件提供了足够的数据带宽，同时也为将来可能应用的语音、视频、图象等多媒体数据传输做好了准备。 网络系统在安全可靠性、稳定性、开放性、灵活性等方面也为应用软件系统稳定、安全的运行提供了保障。 第四章 网络的总体设计 网络系统总体架构 总体的系统架 构与节点划分如下图 所示，整个网络是一个 内外物理隔离、 分层结构设计的网络。 本次网络设计从 总 体结构上来讲 ，采用内外网隔离措施 ， 各网了星形结构、多业务、多功能的拓扑结构。 网络详细设计 网络设备的选型 华为 3Com 公司 是国内最大的网络设备公司之一，产品性能价格比高，产品线丰富，产品运行稳定。 按组网要求，提供网络解决方案的厂商必须具备有从骨干千兆以太网交换机、工作组千兆以太网交换机、骨干路由器、网络安全、网络管理等全系列产品，与其他厂家的产品互连性好，有良好的服务和技术支持。 同时在网络产品的选型中，必须选择产品售后服务和技术支持好的网络产品供应商。 在满足招标文件的前题下，优 先选择国产网络设备。 华为 3Com 公司 提供完备的电子政务解决方案，用以构筑“安全、可靠、快速、高效、可管理、可控制”的 XXX 政务 网络。 华为 3Com 公司 系列产品完全满足 政务 内网对设备的技术参数的具体要求，并且许多性能指标处于业界领先。 华为 3Com 公司 能够提供全系列的路由器和以太网交换机，以及网络安全、网络管理的产品，在网上应用很多。 政务 网络需要的安全，可靠，可控制，可管理， 华为 3Com 公司 产品已有许多成功应用实例，如 国家 电子政务外网 、 山东省电子政务外网 、国家金保网、全国人大数据网，财政部数据网， 中宣部、中组部网络，东营政务网、江西政务网纵向网、山西省政务网，成都政务网，武汉政务网，深圳龙岗政务网，贵阳政务网，广西电信承载网、上海电信城域网、俄罗斯数字奥伦堡、俄罗斯喀山电信 (MPLS)等。 华为 3Com 公司 具备良好的服务和技术支持，产品售后服务好，在全国建立了 33 个办事处， 35 个客服中心，结合华为在各地的合作伙伴，无处不达和便捷的服务，是华为产品得到用户信任的可靠保障。 同时华为在每个本地网都有办事机构，可以快速响应客户需求。 并且 华为3Com 公司 数据通信研发总部和市场总部都位于北京，强大 的技术力量和地缘优势，使得 华为 3Com 公司 可以在第一时间响应 XXX 政务 的服务需求。 华为 3Com 公司 产品网上应用巨大，路由器 43 万台，交换机 800 万端口，具备和各厂商良好的互通性。 同时 华为 3Com 公司 是全球数通领域具有重要影响力的厂商，公司持续稳定持续发展。 在国内市场综合占有率 35%，位居业界领先地位。 产品经受了网上 大量应用的考验。 因此，我们的网络 建议 选择 HUAWEI 公司的网络产品。 政务外网 总体设计构建策略 为切实达到以上的网络设计原则，实现 XXX 政务专网 外网 系统建设目标，使XXX 政务 骨 干网络 外网 系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护， 市级专网平台主要采用以太网技术、 VPN 技术、防火墙技术、防病毒和入侵 检测技术。 设有核心交换区、应用服务区、骨干网接入区、部门接入区和无线通信接入区。 核心交换区配置多台高速核心三层交换机，并支持 MPLSVPN 技术，提供高速率、高带宽的核心交换能力；应用服务区主要放置各种应用和信息服务器；骨干网络接入区为连接省网和县级网的专线提供可达千兆的接入服务；部门接入区可满足市级部门多种安全接入专网的需要；无线通信接入区主要为移动办公提供安全通道。 核心交换区 的设计 根据这样的功能要求，在进行核心节点的设备选择过程中要求该层次设备具有超高的处理性能、丰富的业务支持能力，综合考虑设备性能价格比，选用了 华为 3Com 公司 的 S9505 作为核心交换设备， S9505 其基于硬件的全线速交换能够使得网络能够有效克服红色代码病毒等病毒给网络带来的瘫痪等侵害，同时它提供了先进的主控单元和交换单元的 1:1 的冗余备份，能够充分保障核心设备的可靠性，考虑到该节点重要性，网络中心采用两台 S9505 双机备份的方式提升网络的可靠性。 采用双核心组网，充分考虑到了网络骨干的高带宽、 高可靠性，整网采用两台S9505 做为交换核心， GE TRUNK 连接；下行使用 千 兆 链路分别连接到各个楼层汇聚 层的 多业务交换机 S5012 上， S5012 为千兆 连接，下行使用 GE 链路分别连 接到楼层各弱电间接入层的高性能二层交换机 S3126C 上， 桌面终端则通过百兆链路连接。 核心层负责整个网络的数据交换，同时也是整网（ LAN）的路由中心，全网第三层、第四层操作都通过核心节点集中进行，为保证核心节点的高可用性 ,核心节点采用双机备份方式 ,即配置两台高性能的 S9505,它们之间通过 GE TRUNK 实现互连，流量在捆绑的多 条链路上负载分担和备份。 两台 S9505 构成双机冗余结构 , 达到无单点故障的目的 . 这样任意核心节点都可以成为是业务的主要汇总中心 .核心节点与接入节点之间形成全冗余连接 ,任意两点间互为业务 /数据异地容灾备份 ,以增强整体网络的容错和故障隔离能力。 两台核心交换机提供局域网内用户对服务器群的高速访问。 为了充分保障核心交换平台的高可靠特性，我们提供 S9505 作为网络的核心交换设备，该设备 采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统交流 /直流可选，采用 1+1 冗余热备份，并支持双路电源 输入；支持 STP/RSTP/MSTP 协议和 VRRP 协议，能够满足苛刻的电信级网络可靠性要求，系统可靠性达到： ％。 S9505 核心交换机有 5 个业务槽位，具有足够的扩展能力和极高的端口密度，其代表了新一代的企业 LAN/WAN 骨干解决方案， 提供了可升级性、高性能和应用控制等特性来充分满足企业在信息时代不断增长的需求。 S9505 基于新一代核心交换机的设计理念，具备大容量高性能、可扩展能力强和业务与性能兼具的特点。 S9505 支持新一代高性能万兆接口，能够为城域网、园区网、数据中心提供超高速链路，构建端 到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络。 S9505 提供大容量、高密度、模块化的二、三层线速转发性能，内置强劲的全分布式业务处理引擎， 最大可以支持 857Mpps的包转发率，交换容量 720G，可扩展至 ，背板带宽高达 ，可扩展到 ，以全线速处理二层、三层、 MPLS VPN、组播等各种业务流量，提供完善的 QoS保障、安全管理机制和电信级的高可靠设计，满足大型 IP 网络对多业务、高可靠、大容量、模块化的需求。 核心交换机 Quidway S9505 关键特性： 先进 的体系结构：全分布式体系结构，模块化设计；最长匹配、逐包转发。 大容量、高性能：可提供高达 背板带宽； 857Mpps 转发能力。 支持万兆接口： 基于 10G 平台设计， 并在国内厂商中率先提供 10GE 接口。 电信级可靠性设计：关键单板、电源系统真正冗余设计；无源背板、热插拔设计，系统可靠性达到： ％。 完善的安全机制：支持 OSPF 、 RIP v2 及 BGP v4 报文的明文及 MD5 密文认证；支持安全的 SNMPv3 的网管协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置 权限，并提供两种用户认证方式 —— 本地认证和RADIUS 认证。 强大的二层特性：支持 STP、 RSTP；支持 ，提供 4K VLAN；支持 端口聚合，并可提供多达 8 端口的聚合；支持端口镜像；能够抑制广播风暴。 丰富的三层特性：支持丰富的路由协议包括 RIP、 OSPF、 BGP4，以及 IGMP、PIMSM、 PIMDM 等组播协议，支持高达 128K 路由表项。 实用的网管系统：可以由 Quidview 网管系统统一管理；支持 SNMP v3 网管协议；支持系统日志和分级告警；支持本地、远程诊断 ；提供多语言支持。 应用服务区 的设计 在政务 外网 系统中，运行着多个基于网络应用服务，以满足信息化办公的需要，考虑到各应用服务的重要性，本方案设立了服务器区， 服务器 通过 四 台 S5012交换机通过病毒网关连接 到 核心交换机 ，服务器通过千兆 链路接入。 骨干网络接入区 的设计 骨干网络接入区为连接省网和县级网的专线提供可达千兆的接入服务 ，为政务系统提供高速数据通道。 接入层的设计 部门接入区可满足市级部门多种安全接入专网的需要 ，市级各部门机关通过 千兆链路通过防火墙系统连接至政务平台，为各级政务部门提供安全的高速数 据通道。 市政府核心网设计 XXX 市政府 核心网分为核心层和接入层，核心层采用华为 3Com 公司 S5012全千兆交换机，接入层采用华为 3Com 公司 S3126C 和 S2020 交换机。 H3C S5012 全千兆智能以太网交换机是华为 3Com公司自主开发的二层线速全千兆以太网交换产品，是为企业网高速互连和千兆到桌面应用而设计的智能型可网管交换机。 H3C S5000 系列以太网交换机应用在城域网，可以提供多路千兆光口，从而能够进行城域网汇聚，解决高端设备的 GE 端口紧张的问题； H3C S5000系列还提供设备电源冗余 备份保护。 2 第五章 华为三康集中存储方案设计 华为 3Com 存储简介 Neocean IX5000 是华为 3Com 公司 在结合 iSCSI 和 IP 技术的基础上， 面向 存储市场 推出的 全新 IPSAN 存储产品。 IX5000 可广泛应用于 政府、教育、大中型企业、媒体应用、电信、金融非核心应用等行业 ，并且提供了高性能、高可靠、高可扩展性的 IP 存储平台，是华为三康公司“自适应网络存储架构”的重要组成部分。 IX5000 产品 与华为 3Com 公司、 华为 3Com 公司 其他产品，如 NE 系列高端路由器、 R 系列中低端路由器、 S 系列以太网交 换机 、安全、语音、视讯等， 一起构建高性能端到端 的 IP 网络 存储 解决方案。 Neocean IX5000 采用 IP 全交换结构 ， 所有资源均基于交换的架构下，高度共。