乡镇政府办公信息化网络改造方案

乡镇政府办公信息化网络改造方案XX市（县）XX乡政府办公信息化网络改造方案制定单位：XXXXXXXXXXXXXX公司制定部门：XXXXXXXXXXXX中心制定日期：XXXX年XX月XX日一、前言随着当代信息技术的发展，互联网成为网络办公的必须手段，网络架构的设计和网络环境的部署直接影响到办公系统的稳定运行。从政府部门的日常办公行为分析，政府的局域网网络可为政府提供内部文件传送、内部通知群发等功能，也可以通过互联网络得到办公所需材料，与其他政府部门之间互相通信和沟通功能。局域网的稳定不仅取决于接入交换机的性能，还取决于网络规划的合理和网络维护的方便性，传统的非网管“傻瓜”交换机无法达到抑制网络风暴、划分网络冲突域、广播域，无法自动实现网络端口的环路检测关闭，无网络维护功能和流量控制等功能，导致出现网络冲突、网络攻击或网络环路影响整个局域网网络的正常运行，通过局域网稳定访问互联网也就无从谈起。为了建立一套稳定高效的局域网网络，配置相关高效路由、交换设备是前提，同时，政府的信息安全问题也是信息时代所关注的重要因素之一，从以上诸多方面考虑，我公司以解决西峰乡政府网络频繁故障问题，从网络架构、网络设备、存在隐患、无线覆盖等问题出发，制定本方案供乡政府参考。二、网络现状2.1主路由器当前乡政府所采用主路由器为TP-Link家用普通路由器，在产品定位中，家用路由器适合终端数量在10台以内、带宽不超过20M的家庭型网络接入。我们在对家用路由器的实际测试中，WAN口转发带宽超过20M时基本都会出现死机现象，且通过一段时间的运行后，也会出现路由器死机情况。家用路由器在政府网络运行极大影响了局域网络的稳定性。2.2核心交换和楼层交换当前乡政府使用交换机共2台，在局域网中承担集线器的角色，仅仅承担着局域网内电脑接入的功能，无任何端口防护、管理功能。当一个端口出现异常后，会影响到整个网络的正常运行。通过对交换机性能分析，交换机无二层功能无法进行网络的隔离规划，从而导致无法进一步改造达到网络稳定运行的条件。2.3无线覆盖当前乡政府的无线上网都是通过各自在办公室内接入小无线路由器实现，由于接入路由器后对路由器的理解不清，随意插入网线，导致局域网主路由器地址冲突、端口打环（同一根网线插入同一台路由器或不同接入网线接入同一交换机）等问题导致局域网的中断。因此在此方案考虑部署固定位置的、可管理的无线接入设备进行统一管理。三、方案内容3.1路由器选型考虑路由器的功能、性能、接入方式、局域网络的管理等诸多因素，本方案建议选型华三ICG-3000E信息网关（全1000M），该设备基本配置如下：（1）多WAN口：2GE电口+1GE光口通过该设备的GE光口可以直接和电信接口通过GE光模块实现连接，减少了从电信接入设备至路由器之间的光电转换设备，极大降低故障的发生几率。同时，在后期的网络拓展中，2GE电口可直接与政务网、政务外网等网络进行融合，实现后期网络整合中的一体化改造。（2）LAN口：14GE电口在对乡政府现场的勘察中，考虑接入交换机、无线网络接入和网管接入，互备交换机线路共4条、无线路由器接入共7条（其中2条为交换机接入）、网管人员接入1条共计10条，满足接入端口数量要求。（3）SIC插槽：4个考虑后期的网络拓展，ICG3000E配置扩展插槽4个，可配置光接口、电接口或4G网络接口，实现灵活扩展。（4）其他关键性能端口镜像：按照公安安全要求，实现公安监控的端口镜像功能（此项要求已在市公安局实施，学校、宾馆已基本完成，后续为政府部门）静态路由和路由策略：灵活配置路由，可实现网络的融合。IPv6协议支持：可平滑过度至IPv6时代，无需后期更换设备。防火墙：集成防火墙防护功能，减少来自互联网的攻击行为。其他安全技术：具有以下安全功能，减少网络安全隐患。L2TP，NAT/NAPT，PKI，RSA，SSHv1.5/2.0，SSL（SSLVPN），URPF，GRE、ADVPN支持DAR业务识别的报文过滤和限制支持DDOS防攻击支持ARP防攻击支持EAD端点准入防御功能功能（包括穿越广域网的模式）可靠性：具有备份功能、NQA联动机制、BFD联动机制等Qos服务质量保障：具有二层Qos、流量监管、拥塞管理、拥塞避免、流量整形、分类流量限制等功能。网络管理功能：SNMPV1/V2c/V3，MIB，SYSLOG，RMON，WEB网管，TR069，支持支持console口登录，支持telnet（VTY）登录，支持SSH登录，支持FTP登录等。3.2交换机选型按照当前交换机占用端口及后期线路分离综合布线接入设计，选配48口接入交换机两台，建议型号：H3CS3100V2-52TP，配置及功能如下：交换机端口及端口聚合：48个10/100Base-TX以太网端口，4个1000Base-XSFP与2个1000Base-T（Combo）以太网端口，设计至主路由器之间的双1000M互备份，占用combo光/电口2个，其余接入电脑。交换机容量：32Gbps，转发能力强。VLAN支持：支持基于端口VLAN（4K个）；支持基于MAC的VLAN；支持基于协议的VLAN；支持VoiceVLAN；支持QinQ；支持灵活QinQ；支持VLANMAPPING；支持GVRP。通过VLAN功能，可灵活分配业务至电脑终端。广播风暴抑制：支持基于端口带宽百分比的广播风暴抑制。二层环网协议：支持STP/RSTP/MSTP；支持SmartLink；支持RRPP。安全性能：用户分级管理和口令保护支持GuestVLAN支持IEEE802.1X认证支持基于MAC地址的认证支持集中MAC地址认证支持portal认证支持triple认证用户分级管理和口令保护支持AAA&Radius&HWTACACS认证支持MAC地址学习数目限制支持SecurityMAC支持StickyMAC支持MAC地址黑洞支持SSH2.0支持EAD（终端准入控制）支持IPSourceGuard防DOS攻击支持ARP入侵检测功能支持ARP报文限速功能支持端口隔离支持管理用户RADIUS认证支持IP＋端口的绑定支持端口＋MAC的绑定支持IP+MAC+端口的绑定其他功能：支持QoS管理及ACL控制；支持telnet等设备管理功能。3.3无线路由器选型3.3.1PoE供电管理设备：提供无线路由器的线路供电功能和无线路由器的远程断电重启功能，建议选型：S3100V2-8TP-PWR-EI。主要性能：PoE最大输出功率135W，IEEE802.3af以太网供电标准。3.3.2无线路由器（AP设备）：由于普通路由器存在性能不佳、频间干扰大、覆盖范围小等缺陷，为保证网络覆盖范围和网络接入速率，建议选用AP设备进行覆盖。建议选型1：华三WA2610无线AP，该设备价格每台在3000元左右，可根据实际覆盖情况增减布放数量，但涉及费用相对较高。建议选型2：TPlink厂家TL-AP900C-PoE（双频），价格为800元左右。优点为价格低，缺点为设备性能相对不稳定，部分覆盖区域可能达不到预期效果。3.4线路改造由于乡政府机房位置选择不太合理，导致东侧网线线路过长（估算举例最远约60米），线路老化极易造成电脑和交换机之间网线协商异常导致掉线问题，因此建议对乡政府网线进行综合布线改造，在二楼东北角、西北角分别安装综合箱一个，西北角侧综合箱安装主路由器、交换机、PoE供电设备各1台；东北角安装交换机1台，布放皮线光缆一对与主路由器互联。两台交换机按照楼体中间位置分开部署网线，实现电脑至交换机的就近接入。四、费用预算4.1设备费用（此价格按照互联网公布价格作为参考）（报价略）4.2工程施工（人工、耗材）及调测预算布放光纤线路1条：X元预计布放网线50条（根据实际布放核算）：X元安装调试无线AP设备7台：X元厂商远程网络调试：X元总计：X元4.3总体预算设备费+工程施工+调测=A+B+C=X元