公司韶關(guān)城建局城域網(wǎng)解決策劃方案

韶關(guān)城建局城域網(wǎng)解決方案湖南計(jì)算機(jī)股份有限公司2002.6網(wǎng)絡(luò)設(shè)計(jì)目標(biāo)：韶關(guān)城建局計(jì)算機(jī)網(wǎng)絡(luò)信息平臺(tái)是要利用當(dāng)前先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)，在總體規(guī)劃的前提下，將韶關(guān)城建局的所有網(wǎng)絡(luò)資源互聯(lián)起來，進(jìn)行合理的利用、配置和共享，充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)所帶來的先進(jìn)、高效、快捷的特性。我們建設(shè)“韶關(guān)城建局計(jì)算機(jī)網(wǎng)絡(luò)”的總體目標(biāo)應(yīng)定位在：利用計(jì)算機(jī)網(wǎng)絡(luò)和數(shù)據(jù)庫等現(xiàn)代化網(wǎng)絡(luò)技術(shù)將城建局各個(gè)部門的數(shù)據(jù)有機(jī)地集成起來，綜合運(yùn)用現(xiàn)代治理技術(shù)、信息技術(shù)、自動(dòng)化和系統(tǒng)工程技術(shù)，以實(shí)現(xiàn)城建局的整體優(yōu)化，顯著提高城建局的經(jīng)濟(jì)效益和社會(huì)效益；并聯(lián)入因特網(wǎng)，和世界信息共享。將新一代智能大廈辦公網(wǎng)絡(luò)設(shè)計(jì)理念和城建局行業(yè)應(yīng)用的特點(diǎn)緊密結(jié)合起來，建成新一代的智能大廈辦公網(wǎng)絡(luò)的典范。二、網(wǎng)絡(luò)設(shè)計(jì)要求：依照城建局行業(yè)應(yīng)用的需求分析及其對(duì)網(wǎng)絡(luò)的要求，網(wǎng)絡(luò)設(shè)計(jì)遵循以高性能、高可靠、高度安全、和先進(jìn)的服務(wù)質(zhì)量（QoS）為核心的設(shè)計(jì)要新一代智能大廈網(wǎng)絡(luò)主導(dǎo)技術(shù)的設(shè)計(jì)思想。三、網(wǎng)絡(luò)邏輯設(shè)計(jì)：網(wǎng)絡(luò)邏輯設(shè)計(jì)融合了網(wǎng)絡(luò)層次設(shè)計(jì)，拓?fù)湓O(shè)計(jì)，IP子網(wǎng)設(shè)計(jì)。建立一個(gè)以韶關(guān)市城建局為中心，以下八縣三區(qū)城建分局及三個(gè)單位子網(wǎng)子節(jié)點(diǎn)的內(nèi)部網(wǎng)，并為今后開發(fā)IP語音等增值服務(wù)奠定了良好的基礎(chǔ)。韶關(guān)市城建局網(wǎng)絡(luò)中心通過韶關(guān)電信接入DDN網(wǎng)，通過DDN專線與各城建分局相連。內(nèi)部網(wǎng)只在市城建局網(wǎng)絡(luò)中心設(shè)置163及169電信網(wǎng)出口，所有子節(jié)點(diǎn)都通過市城建局網(wǎng)絡(luò)中心的出口訪問Internet或169網(wǎng)。在各子節(jié)點(diǎn)設(shè)置撥號(hào)服務(wù)器，提供撥號(hào)接入服務(wù)。在各子節(jié)點(diǎn)所在范圍內(nèi)能夠直接撥號(hào)訪問內(nèi)部網(wǎng)并通過內(nèi)部網(wǎng)訪問Internet。職員出差到下級(jí)地區(qū)，可直接撥入就近地區(qū)的撥號(hào)服務(wù)器，或使用VPN（虛擬私有專網(wǎng)）服務(wù)來訪問城建局內(nèi)部網(wǎng)。在韶關(guān)市城建局的局域網(wǎng)需支持近100個(gè)用戶，因此采納了HDS5524F交換機(jī)以及HDS4524為用戶提供100MB的接入帶寬，利用HDS5524F的100MB端口連接中心路由器Cisco3620，及連接隔離內(nèi)外網(wǎng)方正方御防火墻FG-FW；在中心路由器Cisco3620上配置了一塊NM-8A/S模塊為各分支節(jié)點(diǎn)提供了可達(dá)128K的DDN的接入端口；在與163和169網(wǎng)連接時(shí)，考慮到系統(tǒng)高安全性的要求，選用了方正方御防火墻FG-FW，安全有效隔離了內(nèi)網(wǎng)和外網(wǎng)。8縣3區(qū)等分支節(jié)點(diǎn)考慮到投資成本及今后內(nèi)部IP電話的進(jìn)展，選用了支持語音功能的Cisco2611路由器，通過64K或128KDDN專線與總部連接。網(wǎng)絡(luò)邏輯設(shè)計(jì)融合了網(wǎng)絡(luò)層次設(shè)計(jì)，拓?fù)湓O(shè)計(jì)，IP子網(wǎng)設(shè)計(jì)。層次設(shè)計(jì)網(wǎng)絡(luò)層次設(shè)計(jì)上通常分為三層結(jié)構(gòu)，即核心層、分布層、接入層。城建局網(wǎng)絡(luò)結(jié)點(diǎn)分布在4個(gè)區(qū)域：1、4、5樓辦公區(qū)、6、7樓辦公區(qū)、8、9樓辦公區(qū)、8縣3區(qū)城建分局和3個(gè)單位子網(wǎng)，依照各區(qū)域應(yīng)用的不同要求，采納了相應(yīng)的層次設(shè)計(jì)。參照網(wǎng)絡(luò)總體設(shè)計(jì)圖,整個(gè)網(wǎng)絡(luò)層次設(shè)計(jì)具體如下所述：路由器：Cisco3620路由器從設(shè)計(jì)之初就將高性能、靈活性和優(yōu)異的性能價(jià)格比考慮在內(nèi)，因此是特不適合韶關(guān)市城建局網(wǎng)絡(luò)的多功能分支機(jī)構(gòu)之間實(shí)現(xiàn)網(wǎng)絡(luò)互連的。Cisco3620底板具有80MHz主頻的R4700RISC處理器，吞吐量為20－40Kpps（萬信息包）。其模塊化的設(shè)計(jì)思想使得Cisco3620在分支辦公室路由選擇，多業(yè)務(wù)語音/視頻/數(shù)據(jù)集成，ISDN撥號(hào)訪問，VLAN間路由選擇，SNA集成和WAN業(yè)務(wù)集中等方面均有所長，在中望網(wǎng)實(shí)施中，正是通過添加了NM-8A/S模塊，為各地分公司提供了128KDDN的接入服務(wù)，并為今后的IP語音提供了可靠的基礎(chǔ)。Cisco3620路由器劃時(shí)代地將撥號(hào)訪問，LAN－LAN路由用于網(wǎng)絡(luò)多媒體應(yīng)用、傳統(tǒng)通訊支持和預(yù)期以后技術(shù)（如數(shù)字用戶線路xDSL和語音/視頻/數(shù)據(jù)集成網(wǎng)絡(luò)）三方面的集成中，過去用戶必須至少購買三種設(shè)備才能滿足要求，現(xiàn)在Cisco3620將三種功能集成到一個(gè)平臺(tái)上。無疑地，中望網(wǎng)因此將在可靠性、治理性、靈活性和性能價(jià)格比方面具有顯著的優(yōu)勢(shì)。Cisco2611路由器是Cisco專為遠(yuǎn)程分支機(jī)構(gòu)提供的具有更高靈活性和投資愛護(hù)的接入設(shè)備。在多業(yè)務(wù)語音/視頻/數(shù)據(jù)集成，部門撥號(hào)服務(wù)，VPN接入等方面具有優(yōu)異性能，是Cisco語音/視頻/數(shù)據(jù)集成策略的關(guān)鍵部分之一，提供業(yè)內(nèi)最大范圍的基于IP的端到端信息包電話網(wǎng)關(guān)解決方案。Cisco2611有兩個(gè)LAN接口，兩個(gè)WAN接口，一個(gè)高密度Cisco網(wǎng)絡(luò)模塊槽和一個(gè)AIM槽。在多業(yè)務(wù)集成方面，Cisco2611安裝Cisco話音/傳真模塊后就能提供與眾不同的數(shù)據(jù)和語音服務(wù)質(zhì)量；2611還支持現(xiàn)場(chǎng)升級(jí)，能夠?qū)ｉT容易地改變網(wǎng)絡(luò)接口而不必對(duì)整個(gè)遠(yuǎn)程分支機(jī)構(gòu)解決方案進(jìn)行全面升級(jí)，這關(guān)于中望公司不斷擴(kuò)大的各地分公司來講尤為適用；2611還提供冗余電源（RPS），以便在主鏈路出現(xiàn)故障時(shí)自動(dòng)恢復(fù)數(shù)據(jù)和話音服務(wù)。Cisco3620和2611具有相同的治理界面，都能夠通過Cisco聞名的IOS軟件進(jìn)行治理，包括RSVP網(wǎng)絡(luò)資源預(yù)備協(xié)議，策略路由，IP優(yōu)先級(jí)，WRED加權(quán)隨機(jī)早期檢測(cè)，WFQ加權(quán)公平隊(duì)列，CAR限制訪問速率，通信流量治理--NetFlow交換和數(shù)據(jù)輸出，擴(kuò)展訪問操縱列表（擴(kuò)展ACL），分布式交換和服務(wù)，標(biāo)志交換等關(guān)鍵技術(shù)的使用，充分保障了內(nèi)部網(wǎng)IP服務(wù)質(zhì)量（IPQoS）。核心層：采納一臺(tái)智能網(wǎng)管型二層交換機(jī)HDS5524F。為保證服務(wù)器的高數(shù)據(jù)傳輸率，直接以100M端口與各服務(wù)器相聯(lián)，使下級(jí)工作站的大量訪問數(shù)據(jù)得以暢通無阻；9.6G的背板帶寬，充分保證網(wǎng)絡(luò)的高速性，幸免網(wǎng)絡(luò)瓶頸的出現(xiàn)；；具有廣播風(fēng)暴操縱；第二層線速交換。辦公區(qū)接入層：采納HDS4524，10M/100M的用戶端口，并提供標(biāo)準(zhǔn)完善的治理功能。HDS4524系列交換機(jī)支持基于端口的VLAN，使各部門的局域自成體系，增強(qiáng)安全性并隔離了廣播風(fēng)暴。遠(yuǎn)程接入用戶：采納Cisco2611路由器，通過DDN連接市城建局網(wǎng)絡(luò)中心Cisco3620路由器。2.網(wǎng)絡(luò)拓?fù)鋮⒄站W(wǎng)絡(luò)總體設(shè)計(jì)圖：2.IP子網(wǎng)設(shè)計(jì)依照城建局網(wǎng)絡(luò)系統(tǒng)的區(qū)域特點(diǎn)，IP子網(wǎng)設(shè)計(jì)中將每個(gè)業(yè)務(wù)部門劃分為一個(gè)IP子網(wǎng)，各部門服務(wù)器劃分到相應(yīng)的子網(wǎng)，共享服務(wù)器采納基于IP子網(wǎng)的VLAN方式映射到相應(yīng)的多個(gè)子網(wǎng)中。不同子網(wǎng)之間的通訊通過基于策略的路由和訪問操縱來實(shí)現(xiàn)。3.流量設(shè)計(jì)依照業(yè)務(wù)流量分析，在流量設(shè)計(jì)上采納負(fù)載均衡和帶寬匹配的原則。服務(wù)器組與核心交換機(jī)通過兩條全雙工百兆鏈路互連，實(shí)現(xiàn)全雙工400Mbps負(fù)載均衡的高速可靠的傳輸通道，構(gòu)成網(wǎng)絡(luò)的高速主干。分布層結(jié)點(diǎn)、通過1條全雙工百兆鏈路連接到核心層結(jié)點(diǎn)，保200Mbps的高速可靠傳輸。用戶端提供靈活的10M或100M自適應(yīng)的接入方式。4．網(wǎng)絡(luò)安全設(shè)計(jì)從今后長遠(yuǎn)的網(wǎng)絡(luò)可靠性角度來講，網(wǎng)絡(luò)安全性必將成為系統(tǒng)安全運(yùn)行和內(nèi)部資源愛護(hù)的一種重要手段。這一點(diǎn)，在信息中尤顯得更加重要，因此，網(wǎng)絡(luò)安全的手段應(yīng)要緊包括：1、訪問操縱，2、用戶認(rèn)證，3、入侵檢測(cè)，4、內(nèi)容審查，5、病毒防范6、防火墻設(shè)置防火墻：采納方正方御防火墻FG-FW。利用防火墻隔斷內(nèi)網(wǎng)與外網(wǎng)，統(tǒng)一部署安全策略，為內(nèi)網(wǎng)設(shè)備與數(shù)據(jù)信息提供安全保障；利用入侵檢測(cè)實(shí)現(xiàn)發(fā)覺攻擊企圖，為內(nèi)部提供更多的可了解信息；利用掃描器對(duì)自己的網(wǎng)絡(luò)進(jìn)行安全掃描，評(píng)估內(nèi)部風(fēng)險(xiǎn)，并定期維護(hù)內(nèi)網(wǎng)安全。FG1000M是一款基于包過濾的防火墻，除了防火墻功能外，還集成了許多有價(jià)值的網(wǎng)絡(luò)安全工具，要緊包括：入侵檢測(cè)系統(tǒng)（IDS），虛擬局域網(wǎng)支持（VLAN），路由選擇協(xié)議操縱，網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT），雙機(jī)熱備，完備的審計(jì)功能，完善的訪問操縱等，如下圖：（具體技術(shù)參數(shù)見《方正方御千兆防火墻白皮書》）防殺病毒：采KILL100USEPACK。實(shí)時(shí)查殺所有病毒（先進(jìn)的技術(shù)、全球化的病毒檢測(cè)機(jī)構(gòu)）不阻礙系統(tǒng)性能（網(wǎng)絡(luò)效能、兼容性）全面、安全、靈活的治理及升級(jí)方式，本地化的服務(wù)和支持。同時(shí)采納層層設(shè)防、集中操縱、以防為主、防殺結(jié)合的防病毒策略。見下圖：詳見：〈〈KILL安全胄甲解決方案〉〉四、方案論證：高可靠性為了防止局部故障引起整個(gè)網(wǎng)絡(luò)系統(tǒng)的癱瘓，要幸免網(wǎng)絡(luò)出現(xiàn)單點(diǎn)失效。在網(wǎng)絡(luò)骨干上要提供備份鏈路，提供冗余路由。在網(wǎng)絡(luò)設(shè)備上要提供冗余配置，保證把局部故障對(duì)網(wǎng)絡(luò)的阻礙降低到最小。主干網(wǎng)的設(shè)計(jì)和選用的設(shè)備均具有專門高的可靠性與可用性，具體表現(xiàn)在：·充分保證骨干網(wǎng)上在核心交換機(jī)HDS5524F及其電源模塊、千兆交換模塊不存在單點(diǎn)失敗；·接入交換機(jī)HDS4524F及其電源模塊/百兆交換模塊不存在單點(diǎn)失敗；·HDS5524F和HDS4524之間的百兆光纖鏈路不存在單點(diǎn)失??；高效性為了及時(shí)、迅速地處理網(wǎng)絡(luò)上傳送的數(shù)據(jù)、語音和視頻，網(wǎng)絡(luò)設(shè)備必須具備高速處理能力，提供高速數(shù)據(jù)鏈路，保證網(wǎng)絡(luò)高吞吐能力，滿足各種應(yīng)用（如：圖文發(fā)送和視頻會(huì)議系統(tǒng)）對(duì)網(wǎng)絡(luò)帶寬的需求；主干交換機(jī)采納基于ASIC分布式處理的體系結(jié)構(gòu)，充分保證了線速轉(zhuǎn)發(fā)提高性能，消除集中式處理的瓶頸難題。主干網(wǎng)的高容量，主干網(wǎng)為全連接的結(jié)構(gòu)，提供了9.6Gbps的主干背板容量和100Mbps鏈路帶寬。高度安全性為了愛護(hù)用戶在網(wǎng)絡(luò)上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的訪問操縱，通過使用VLAN、包過濾及防火墻等技術(shù)保證數(shù)據(jù)的安全傳輸。方案中提供多種方式和層次的訪問操縱安全機(jī)制，可進(jìn)行端到端的安全性操縱。要緊包括：·VLAN的劃分在縮小廣播域規(guī)模的同時(shí)，提供了局域網(wǎng)的安全操縱；··HDS的包過濾功能特不強(qiáng)大，在每個(gè)以太端口上均可加載輸入輸出過濾器，每個(gè)過濾器通過深層過濾監(jiān)測(cè)數(shù)據(jù)包·為了愛護(hù)用戶在網(wǎng)絡(luò)上數(shù)據(jù)的安全可靠，必須提供多種方式和層次的訪問操縱，通過使用VLAN、包過濾及防火墻等技術(shù)保證數(shù)據(jù)的安全傳輸。先進(jìn)的QoS辦公大樓網(wǎng)絡(luò)提供了一個(gè)綜合的辦公網(wǎng)絡(luò)平臺(tái)來承載圖像、語音和數(shù)據(jù)業(yè)務(wù)，因此提供先進(jìn)的QoS機(jī)制是必不可少的。通過實(shí)現(xiàn)QoS,能夠充分保證圖像、語音等應(yīng)用有較高的帶寬和較小的延遲。湖南計(jì)算機(jī)股份有限公司網(wǎng)絡(luò)通信及安全事業(yè)部的解決方案能夠通過對(duì)優(yōu)先級(jí)隊(duì)列、IPMulticast優(yōu)化(IGMP/DVMRP)的支持保證在千兆位以太網(wǎng)環(huán)境中對(duì)多媒體應(yīng)用的支持。例如使用IPMulticast技術(shù)和VideoServer能夠在整個(gè)骨干網(wǎng)中播放MPEG-1或MPEG-2圖像，并能夠在不引入大量廣播數(shù)據(jù)包的情況下完成骨干網(wǎng)內(nèi)部的視頻廣播。多點(diǎn)廣播隊(duì)列還能夠防止擁塞，在高負(fù)荷的情況下保持性能。此外，單點(diǎn)廣播隊(duì)列和多點(diǎn)廣播隊(duì)列能夠在繁忙的網(wǎng)絡(luò)環(huán)境中提供低延時(shí)信道，保證時(shí)延敏感的多媒體應(yīng)用的正常運(yùn)行。在HDS中還支持8個(gè)優(yōu)先級(jí)隊(duì)列，同時(shí)能夠依照數(shù)據(jù)包的端口、MAC地址、VLAN、IP流進(jìn)行優(yōu)先級(jí)的劃分，使視頻、語音等應(yīng)用有較高的優(yōu)先級(jí)，以保證其帶寬和時(shí)延要求。五、方案特色1.韶關(guān)城建局網(wǎng)絡(luò)核心骨干網(wǎng)采納代表業(yè)界高性能的智能性千兆交換機(jī)HDS5524F；2.韶關(guān)城建局網(wǎng)絡(luò)接入交換機(jī)采納高可靠/高性能10/100/M交換機(jī)HDS4524，采納業(yè)界良好的容錯(cuò)設(shè)計(jì)；3.網(wǎng)絡(luò)設(shè)備之間的鏈接全部采納最具特色的負(fù)載均衡和鏈路容錯(cuò)設(shè)計(jì)，充分保證任一鏈路的可靠性并發(fā)揮其最大的利用率；4.提供端到端的服務(wù)質(zhì)量(QoS)、虛擬網(wǎng)功能(VLAN)，充分滿足接入用戶的服務(wù)質(zhì)量和用戶服務(wù)的靈活性、安全性的要求5.用戶端全部采納10M/100M最靈活的接入方式入網(wǎng)，具有最大的可伸縮性和擴(kuò)展能力6.網(wǎng)絡(luò)及系統(tǒng)治理方便，集成