政府网络技术方案

东胜区罕台庙政府办公大楼北京东联世纪科技有限责任公司第1页,共51页东胜区罕台庙政府办公大楼网络技术方案北京东联世纪科技有限公司2011年5月东胜区罕台庙政府办公大楼北京东联世纪科技有限责任公司第2页,共51页东胜区罕台庙政府办公大楼需求分析此次网络系统设计的目标是在建设新网络系统，满足整合数据平台及视频会议等对基础设施提出的各种新需求，同时能够方便灵活的引入并利用各种最新技术。即：一方面，它能适应未来大集中系统的需要，满足不断发展变化的业务需求；另一方面，它要能兼顾到技术的发展趋势，方便用户未来灵活便捷地引入各种先进、实用的技术。网络部分设计阶段主要完成的具体工作如下：实现体育场内基础网络平台的建设实现体育场内网络高速、稳定、可靠、安全连接根据体育场现状及未来业务发展规划，此次网络系统建设的主要实现如下目标：建立全台统一、共享、规范的网络系统体系架构。建立满足未来管理和业务发展要求的全台网络系统总体架构，以满足系统资源和信息资源整合的需要，规范和统一新应用系统的技术架构和开发方法，同时逐步调整现有的系统结构。确保系统资源的有效管理和运行，整合系统资源，加强系统资源的有效管理，提高系统资源的利用率，降低系统运行成本。提高系统的可靠性，切实保障播出及关键业务的正常运转。建设最终目标1、系统稳定、安全可靠，内部信息共享，且可迅速传递各类信息对系统之间的信息交换进行总体上的统一规划和设计，最终实现各子系统之间的互联互通，实现信息共享和信息交互，完成信息在不同系统间的传递。2、提高信息化工作效率建设一个全数字化、网络化的网络系统，通过网络技术标准平台，避免传统设备之间不兼容的问题，提高各种设备间的通配性，提高设备的使用效率。3、提高企业的综合竞争力在提高生产质量、效率，管理水平的同时，会对企业的品质带来质的提高，使企业的发展进入一个良好的循环上升趋势。4、统一的安全管理措施从网络规划、操作系统以及业务系统等各个层次上统一考虑安全措施，并充分考虑易操作性。这其中包括网络的多层次安全的规划与设计、系统运行状况的监控和管理以及防攻东胜区罕台庙政府办公大楼北京东联世纪科技有限责任公司第3页,共51页击、防病毒等措施的统一规划、设计与部署。网络建设原则根据网络系统分析结果、结合现代网络技术发展趋势，我们确定本次网络设计所采用的总的指导原则如下：（一）安全可靠性原则网络系统的设计必须遵循可靠性的原则，设计中应尽最大可能减少因网络系统故障而造成的业务无法正常进行的现象的发生（如：因服务器或网络故障造成用户无法访问业务系统，进而无法进行正常业务的现象等）；同时，设计中还应注重信息安全体系的建设，提高网络系统的整体安全性，进一步保证数据安全。（二）先进成熟性原则网络系统的设计应具有产品和技术先进性，先进的产品和技术是未来系统性能的保证。在信息技术飞速发展的今天，我们选择的产品和技术应具有一定的前瞻性，能够适应未来一段时间（4-5年）业务需求及技术发展变化的需要。同时，尽可能兼顾产品和技术的成熟性，增强网络系统的整体稳定性。（三）开放与可扩展性原则网络系统的设计应选择开放式设计的产品或技术，满足系统间灵活的信息交互的需要。同时，充分考虑产品可扩展性，满足不断发展变化的业务和技术需求。（四）统一标准化原则网络系统的设计应该坚持标准化的原则，采用业界公认的行业或技术标准，降低管理复杂度。同时，坚持统一化的原则（如：统一vlan划分，统一的ipaddress分配等）应尽可能采用统一的标准。（五）经济性原则网络系统的设计必须实用、经济，应该尽量利用现有资源，坚持在先进、高性能前提下合理投资，以期在成本最佳的前提下获得最大的经济效益和社会效益。网络设计方案网络系统技术的选择不仅关系到整个网络系统性能的好坏，还涉及到未来整个网络系统如何有效地与新技术接轨和升级的问题，希望一次投入，可以满足和适应不断发展的应用环境；对设计者来讲，网络技术的选择首先应立足满足于目前的需求，选择一种适当的有发展前途的网络技术。东胜区罕台庙政府办公大楼北京东联世纪科技有限责任公司第4页,共51页采用何种技术来构建网络系统应考虑如下几个方面：按照新一代网络技术结构来设计网络系统；按照模块化、结构化的原则设计，便于扩充和升级；考虑技术的先进性，但以实用性及技术的成熟性和简易性为主；在网络建成后，提供基本的服务和应用，充分体现和发挥网络的价值与效益。网络技术选择的关键是考察这种技术是否能够满足用户的需要，并且在一定阶段内是否有扩展能力。当今，网络主干技术的选择多种多样，究竟什么是符合计算机网络系统的技术，需要我们认真考虑。在网络技术的选择中，根据前述用户需求和分析可以得出需要高速网络技术来满足应用的需要，随着业务需求的不断升级，桌面接入的带宽升级已经成为当前网络建设的一个主题，经历了长时间的酝酿后，随着千兆网卡的普及、千兆端口价格的不断下降以及万兆下移的快速发展，“百兆到桌面，千兆局域网”已经在国内很多区域、行业的应用中成为实际需求。这一切都预示着网络主干应该提供更高或更容易扩展的带宽能力。在本方案设计在核心、接入层均采用高速千兆技术，是应用的需要，也是今后应用发展的需要，因此，在此次红孩子网络系统建设中，核心层与汇聚层主干网络全部采用千兆以太网技术，核心交换机支持高密度万兆以太网端口接入能力，以便在今后平滑扩容。网络整体设计网络的结构是层次化的，正确理解网络层次的划分和每个层次的主要作用，有助于我们合理选择网络拓扑和网络技术。从理论上可以划分为三个层次，即核心层（CoreLayer）、汇聚层（DistributionLayer）和访问层（AccessLayer）。本次的核心层同事兼有汇聚层功能。核心层主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化的体系结构，可通过增加板卡提高端口密度，以便汇聚更多的接入层设备。接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式，对安全性的要求很高，另一方面必须提供灵活的东胜区罕台庙政府办公大楼北京东联世纪科技有限责任公司第5页,共51页用户管理手段。东胜区罕台庙政府办公大楼网络拓扑设计网络外网系统结构如下图所示如上图所示，我们选择在网络核心机房放置外网核心交换机，配置一台可支持万兆的H3C核心交换机H3CLS-5500-28F-EI，LS-5500-28F-EI交换机采用分布式结构，且LS-5500-28F-EI交换机支持双主控板，电源系统采用2+1电源冗余热备份，能够满足苛刻的电信级网络可靠性要求。LS-5500-28F-EI交换机在线速转发的基础上能够提供强大的QoS保障，并支持丰富的ACL、策略路由、安全等特性。LS-5500-28F-EI交换机采用功能强大的ASIC芯片进行高速路由查找，并通过Crossbar技术进行高速报文交换，从而大大提升了路由交换机的转发性能和扩充能力，完全满足现在网络需求。并且直接通过千兆多模光纤与各楼层接入交换机直接互联，使综合楼网络统一管理和运行。LS-5500-28F-EI具备多业务特性，可扩展防火墙模块、负载均衡模块、无线控制器模块、网络流量分析模块等多业务模块，未来可根据业务需求随时进行扩展。接入交换机采用H3C的H3CS3100系列层交换机，它具有19.2G的交换容量和9.6Mpps的二/三层包转发能力，具备丰富的业务特性；多样的队列调度满足高级QoS、更为精细的东胜区罕台庙政府办公大楼北京东联世纪科技有限责任公司第6页,共51页流分类、限速粒度和组播服务，实现网络控制和带宽优化；支持基于VLAN的服务策略配置等，保证高性能及复杂业务能力，并提供优良性价比，同时可以灵活控制网络带宽，防止网络P2P等下载占用大量网络带宽资源。对于员工Internet访问，我们选择核心交换机前端设置H3C百兆防火墙H3CF100-E做安全访问控制，保证内部网络的安全性，避免来自Internet的攻击，有效的抵御外部网络DOS/DDOS、ARP地址欺骗、端口扫描、内网安全、流量监控、网页过滤、邮件过滤、应用层过滤等功能。同时担负员工访问Internet，实现NAT地址转换功能，并可提供实现各种VPN如：L2TPVPN、GREVPN、IPSECVPN等功能。防火墙设计目前，Web2.0、音频/视频、P2P、云计算等各种新应用、新业务层出不穷，传统的基于端口进行应用识别和访问控制的防火墙，已远远无法满足各种新应用下安全防护的需求，增加其它辅助设备又会增加组网复杂性；而通过在传统防火墙上简单叠加部分应用层安全防护功能，也由于系统设计和硬件架构的天然不足，造成性能的大幅衰减，导致应用层功能不敢真正启用。特别在对性能、稳定性要求苛刻的数据中心，此问题显得尤为严峻。为解决上述难题，迪普科技推出了基于全新多核处理器架构的下一代防火墙—DPtechFW1000N系列应用防火墙。FW1000对网络层、应用层安全进行融合，并采用独有的“并行流过滤引擎”技术，全部安全策略可以一次匹配完成，即使在应用层功能不断扩展、特征库不断增加的情况下，也不会造成性能的下降和网络时延的增加。以万兆应用防火墙FW1000-GE-N为例，在开启防火墙、IPSec/SSLVPN、NAT、URL过滤、攻击防护、行为审计功能的情况下，扩展应用控制协议库、URL过滤库等，处理能力依然可达万兆线速。FW1000N系列开创了应用防火墙的先河。基于迪普科技自主知识产权的万兆级应用安全硬件处理平台和ConPlatOS安全操作系统，是目前业界性能最高的应用防火墙。无以伦比的高可用性、高性能和高可靠性，使得FW1000N系列可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总东胜区罕台庙政府办公大楼北京东联世纪科技有限责任公司第7页,共51页体拥有成本！FW1000N系列具备如下特点：■先进的多核硬件架构，实现超万兆的安全防护■全内置IPSecVPN、SSLVPN硬件加密■接口模块和业务模块的按需扩展■支持路由模式、透明模式、混合模式组网■支持安全区域划分、虚拟防火墙技术■内嵌丰富的应用层过滤与控制引擎，实现细粒度的安全管理■冗余电源、状态热备等高可靠性■支持丰富的网络协议，适应各种复杂组网环境H3C防火墙产品功能规格：产品型号FW1000-MS-NFW1000-MA-NFW1000-ME-NFW1000-GC-NFW1000-GS-NFW1000-GM-NFW1000-GA-NFW1000-GE-NFW1000-TS-N工作模式路由模式、透明模式、混合模式安全特性支持对Smurf、Land、TearDrop、Fraggle、PingofDeath、IPSpoofing、WinNuke、SYNFlood、ICMPFlood、UDPFlood、ARP欺骗攻击防范支持邮件过滤、URL过滤、内容过滤支持攻击实时告警、黑名单、地址绑定、流量告警功能及其日志支持安全事件统计和邮件告警功能VPN功能支持IPSecVPN、L2TPVPN、GREVPN、SSLVPN地址转换支持NAT地址转换网络协议支持DHCPRelay/Server/Client，支持静态路由、策略路由、RIPv1/2、OSPF、BGP，支持组播协议设备管理支持Web图形化、SSH和串口Console，并支持网管平台集中管理日志与报表日志容量可以使用独立的日志服务器，容量无限制日志备份支持自动定时备份报表输出内置数百种报表，可图形化的查询、审计、统计、检索内网用户的各种网络行为日志，方便管理者了解和掌控网络高可靠性冗余电源、双机状态热备、VRRP、双链路备份详细网络解决方案VLAN规划VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制东胜区罕台庙政府办公大楼北京东联世纪科技有