各省考试机构网络系统建设标准

考务管理与服务平台网络系统技术规范-I-第1章项目概述根据国家考试保密性和考务工作的要求，考务视频监控指挥系统要确保安全、可信、实时、高效。该平台由国家统一开发，遵循国际标准、主流技术，搭建一个功能可扩展的平台。通过国家端、省端平台的建立，进一步规范考试的业务管理流程，能够形成从国家到考点间多级的、垂直的、透明的信息通道，实现考务应急指挥、考务综合管理、网上巡查、视频会议、面向社会的服务等，并为命题、评价、统计、决策提供依据。在技术成熟时，可实现考务中的考试预警、试卷车定位、移动考务等以及网上考试等功能。-1-第2章网络设计技术规范2.1网络设计原则在系统设计过程中将本着科学性和先进性、开放性、可用性、简单性、可扩展性、高性能、可管理性、安全性的原则完成设计。z科学性和先进性：项目规划设计时要充分考虑以往网络建设的经验教训，保证项目设计的科学合理，充分体现当前IT领域的主流技术，严格遵照国家规定的质量标准体系和相关标准进行系统建设。同时，通过选用与技术发展相吻合的网络产品，建立可扩展平台，保证与后续先进技术的衔接，保持网络系统的先进性。z开放性：网络系统选型的软硬件产品将采用标准的技术、结构、系统组件，提供标准的数据、网络、系统和应用软件接口，支持流行的网络标准和协议，采用通用流行的软件。z可用性：作为业务的承载网，本扩建项目的网络工程必须具有很高的可用性。网络要求没有单故障点，同时广域网线路的相关系数最小。z简单性：网络中路由的跳数最少，便于故障排除。z可扩展性：随着网络用户及网络应用的增加，作为基础架构的网络能够平滑稳定地增长以适应这种变化。高可扩展性对于网络的具体要求是：拓扑结构层次化，IP地址层次化，路由域层次化，管理域层次化。z高性能：保证各种应用特别是关键业务应用的稳定高效运行。高性能对于网络的具体要求是：具有良好的QoS及流量控制功能。满足不同应用对网络延时、延时变化、带宽及丢包率的具体要求，同时确保网络不发生拥塞。统一规划QoS策略并分发到各级网络设备，保证QoS策略的一致性。z可管理性：可以随时了解网络的“健康状态”，快速定位并排除故障，根据需要优化网络。可管理性对于网络的具体要求是：全网有统一的时间基准，对各种变化（硬件，软件，配置）进行跟踪，对于日志信息进行分类，并能分析网络现状及发展趋势。z安全性：保证网络的高可用性，传输数据的机密性和完整性。安全性对-2-于网络的具体要求是：网络设备本身必须安全，能够有效抵抗拒绝服务（DOS）攻击，并防范蠕虫病毒的攻击。2.2核心交换区核心交换机是整个网络的交换中心，同时也是整网（LAN）的路由中心，全网绝大部分第三层操作(数据转发、服务器访问、视频会议等)都通过核心交换机集中进行，其有效性拟通过两台核心交换机全线速的多层处理性能以及骨干网的高带宽（GE）来实现保证。1、采用双核心万兆路由交换机承担了核心交换机的功能，而这两台核心交换机并不是简单的一主一备的关系。2、由于楼层接入交换机采取负载均衡双接口分别接入到两台核心交换机上，所以两台核心交换机同时在承担整个网络的流量。这样的组网方式可减轻一主一备模式下主核心交换机的承载压力，降低了对每台核心设备业务转发性能的压力。3、同时，由于楼层接入交换机通过两条链路分别接入到两台核心交换机上，所以每台核心交换机在另一台设备故障时，可承担整个网络的流量。避免了单点故障对整网的影响范围，从而提高了整个网络的安全性。4、为保证整个网络的安全，可对连接在核心交换上的所有端口、VLAN和子网进行防火墙隔离，入侵检测，网络分析。5、局域网主干速率为1000M以上，桌面系统为100M－1000M。核心设备和内部主要链路都采用双核心设备。根据核心交换区设计思路来看，可以确定以下设备技术规范：1.先进的体系结构核心交换区位于网络中心，所有业务流量都要经过核心交换设备的处理，因此建议核心交换机采用全分布式体系结构设计，可进行高速路由查找，并通过Crossbar技术进行高速报文交换，可大大提升了路由交换机的转发性能和扩充能力，并可以通过软件设置工作在主备或负荷分担方式。2.大容量、高密度线速交换-3-考虑到核心交换机承载的局域网网络平台，应可提供高密度接口板，支持线速转发。此外在保持线速转发性能的基础上，支持各种高密度接口板和组合接口板，满足核心层设备高密度、高吞吐量（交换容量在720G以上并可扩充，整机转发性能应不低于400Mpps并可扩充）的要求。3.高密度万兆接口局域网交换机应该可以提供高密度的万兆以太网接口板，可以简化网络结构、降低网络建设成本，并能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性。同时可以支持MPLS转发，可以提供更好的IPVPN业务和透明的LAN服务，更可以通过MPLSTE来提供流量工程功能。4.电信级可靠设计我们建议核心交换机应采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统采用1+1冗余热备份，并支持双路电源输入；支持STP/RSTP/MSTP协议和VRRP协议，能够满足苛刻的复杂网络可靠性要求，系统可靠性达到：99.999％。5.完善的安全机制核心交换机应支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；采用802.1x方式对接入用户进行认证，支持安全的SNMPv3的网管协议、支持配置安全，对登录用户进行认证，不同级别的用户有不同的配置权限，并提供两种用户认证方式：本地认证和RADIUS认证。6.技术要求设备名称性能描述核心网络交换设备主控板交换容量=700GbpsIPv4硬件转发≥350MppsIPv6硬件转发≥200Mpps槽位数=9千兆光纤端口=24万兆光纤端口=4（根据各自情况选择）10/100/1000M自适应RJ45端口=24支持BGPv4、IS-IS、OSPF、RIPv2.0、PolicyRouting等-4-要求具备快速以太网、千兆以太网和万兆以太网跨模块的端口捆绑通道冗余机制支持虚拟为多个路由交换机（多个VRF）为多个隔离的用户服务所有实配端口均要求硬件实现IPv6，GRE，NAT，MPLS-VPN等应用的处理转发提供包括DHCPSnooping，动态ARP检查，IP源地址保护,专用VLAN，SpanningTree的BPDU保护和Root保护等多种交换网络安全功能要求硬件实现Netflow（RFC3954）网络流量统计功能，不影响系统性能支持本地跨板卡的端口镜像、远程跨交换机的端口镜像技术支持MBGP、MSDP、PIMDM/SM2.0、DVMRP、IGMPv1/v2/v3、IGMPSnooping等支持单播逆向路由检查（uRPF），必须通过硬件实现检查和转发，以保证该特性不影响系统性能支持IP地址和MAC地址的绑定支持Active/Standby和Active/Active工作模式具备对HTTP、SMTP、POP3、FTP等协议的访问过滤控制具备Javaapplet、Active-X、Javascript等内容过滤具备对Synflood、Icmpflood、Udpflood、smurf、landattack等拒绝服务攻击的防护能力2.3服务器区由于服务器之间存在着大量的数据交换，为了减轻核心交换机数据交换的压力，在核心交换机和服务器接入交换机之间设计了服务器汇聚层交换机。服务器汇聚层是服务器接入层和核心层之间的分界点，并帮助定义和区分网络核心层。在局域网环境中，该分层提供了边界定义，并在该处对潜在的费力的数据包操作进行处理，以减轻核心层的负担。服务器汇聚层是每个服务器接入网络的交换中心，服务器通过服务器汇聚交换机接入核心交换。为了满足服务器的数据交换，根据服务器区交换机设计思路，可以确定以下-5-服务器区交换机技术规范：1.分布式业务处理体系结构所有流经服务器的重要数据都要由服务器汇聚交换机负责，根据网络技术的发展和现状，我们建议服务器汇聚交换机采用先进的全分布式体系结构设计，通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作，实现ACL、流分类、QOS、组播等业务的全分布式处理。2.强大的L2/L3转发性能服务器汇聚交换机应拥有强大的交换容量，并具有高速的数据转发能力，由于服务器众多，该设备要要支持大容量的GE的线速转发或10GE接入能力，保障服务器汇聚层网络全面升级至万兆平台。3.电信级、自适应的可靠性设计为了保障交换机的安全和可靠，服务器汇聚交换机应支持无源背板，支持双路电源供电，支持引擎、电源、风扇的冗余，支持单板热插拔，并可以支持STP/RSTP/MSTP/VRRP等协议实现链路冗余，同时服务器汇聚交换机具有弹性环网保护技术，可以提供毫秒级别的链路故障业务快速恢复手段，这些使得该交换机为核心的骨干网络可靠性大大提高，保障了业务的永续性。4.完善的自适应网络安全特性服务器汇聚交换机遵从最小服务原则，所有可能遭受到攻击的网络服务在默认情况下均关闭。支持安全的SSH登陆、基于用户安全策略的SNMPV3、MAC+IP+VLAN绑定、802.1X认证等安全策略。支持防网络风暴攻击、防DOS/DDOS攻击、防扫描窥探攻击、防畸形报文攻击、防网络协议报文攻击等安全技术。5.丰富的多业务支持服务器汇聚交换机应支持强大的组播功能、灵活QinQ、802.1x、内置DHCP-SERVER、NAT、POE、EPON等多种业务特性，这些业务特性极大的提高了网络业务部署的简便性和灵活性，同时增强了对IP语音、视频、WLAN的支持能力。-6-6.人性化的运营维护管理特性服务器汇聚应交换机支持集群管理，可以对网元进行批量配置和批量升级，实现ACL/VLAN的动态策略下发，同时网络管理平台可以实现拓扑管理、可视化图形界面、智能化性能监控、告警管理等功能，这些有助于提高网络管理人员的效率、缩短网络故障及维护扩容的时间。7.技术要求设备名称性能指标描述服务器接入汇聚交换机主控板交换容量=120Gbps三层转发能力=100Mpps槽位数=6千兆光纤端口=12万兆光纤端口=210/100/1000M自适应RJ45端口=48要求具备快速以太网、千兆以太网和万兆以太网跨模块的端口捆绑通道支持虚拟为多个路由交换机（多个VRF）为多个隔离的用户服务提供包括DHCPSnooping，动态ARP检查，IP源地址保护,专用VLAN，SpanningTree的BPDU保护和Root保护等多种交换网络安全功能支持本地跨板卡的端口镜像、远程跨交换机的端口镜像技术支持MBGP、PIMDM/SM2.0、DVMRP、IGMPv1/v2/v3、IGMPSnooping等，要求硬件实现组播管理支持IPv6协议转发支持BGPv4、IS-IS、OSPF、RIPv2.0、PolicyRouting等2.4楼层接入区楼层交换机是每个楼层网络的交换中心，每个楼层用户之间通过划分VLAN实现隔离与互访。普通楼层交换机采用千兆接入的2或3层交换机，具备先进的体系结构、大-7-容量高密度端口线速交换、高可靠性设计、精细化用户管理等特性。楼层交换机需要支持堆叠功能，每组楼层交换机两条GE千兆光纤接入核心交换机。为了满足楼层的数据交换，根据楼层交换机设计思路，可以确定以下楼层交换机技术规范：1.丰富的IPv4和IPv6三层功能为了满足未来网络的发展，我们建议楼层交换机应具有硬件支持IPv4/IPv6双栈和IPv6overIPv4隧道，三层线速转发。支持IPv4/IPv6双栈和常用IPv6过渡隧道协议（手工Tunnel,6to4Tunnel,ISATAPTunnel,auto-Tunnel），既可以用于纯IPv4或IPv6网络，也可以用于IPv4到IPv6共存的网络，具有组网方式灵活，可以用于企业网络或宽带接入。2.完备的安全控制策略出于对接入用户的安全考虑，楼层交换机应支持802.1x及MAC认证，在用户接入网络时完成必要的身份认证，还可以通过