xxxx集团信息化方案建议书

XXXX 集团信息化方案建议书 第 1 页 XXX 集团信息化方案集团信息化方案 建议书建议书 版本信息版本信息:V1.00 广州大洋信息技术有限公司广州大洋信息技术有限公司 2017 年年 4 月月 XXXX 集团信息化方案建议书 第 2 页 目录 第一章第一章 项目背景及需求分析项目背景及需求分析6 .1 概述及背景6 1.2 综合业务网建设的必要性6 1.2.1XXXX 集团系统信息化现状.6 1.2.2 建设的必要性.6 1.3XXXX 集团综合业务网需求分析及业务规划7 1.3.1 需求分析及预测.7 1.3.2 业务规划.7 第二章第二章 网络设计原则网络设计原则10 2.1 网络设计原则.10 2.2 网络设备选型原则.11 第三章第三章 总体建设方案建议总体建设方案建议12 3.1 局域网设计方案12 3.1.1XXXX 集团网络设计.12 网络拓扑图12 网络设计描述12 3.1.2 核心交换机的优势.13 低拥有成本.13 可扩展的灵活的网络.14 高性能的实现.14 基于策略的、基于硬件的高性能 QoS.15 4 层7 层交换15 联想以太网自动保护交换(EAPS).16 高可靠的设备和高可用的网络实现.17 高安全性的网络.18 3.1.3 接入交换机的优势.20 第四章第四章 网络管理网络管理21 4.1 网络管理系统设计原则.21 4.1.1 面向运维的全网故障与性能预警21 4.1.2 面向规划，预见链路、设备的性能趋势21 4.2 网络管理系统解决方案.22 4.2.1 配置管理23 4.2.2 故障管理24 4.2.3 性能管理25 4.2.4 安全管理25 权限管理.26 数据安全管理.26 XXXX 集团信息化方案建议书 第 3 页 网元安全管理.26 安全检测功能.27 第五章第五章 网络系统安全设计网络系统安全设计27 5.1 网络安全设计原则27 5.2.2 主要安全隐患分析29 5.2.3 安全需求.29 5.3 网络安全系统设计方案.30 5.3.1 整体方案设计.30 安全系统模型30 安全方案概述31 第六章第六章 IP 电话与监控系统设计方案电话与监控系统设计方案.31 6.1IP 电话设计原则31 6.2IP 电话设计目标32 6.1IP 电话系统方案建设33 6.1.1 建设综合信息网络.33 6.1.2 系统组网方案分析.33 5.2IP 电话系统设计技术方案.34 6.2.1 中心机房网络方案.34 6.2.2 电话号码分配与呼叫方式.34 6.3 监控系统概述35 6.4、监控系统设计原则.36 6.5、监控系统原理.37 6.6、解决方案.38 6.7监控系统构成及功能介绍.39 第七章第七章 工程实施工程实施41 7.1 工程实施的组织结构.41 7.1.1 工程组织机构42 7.1.2 各项目小组职责分工42 项目领导小组.42 项目监理.43 项目经理.43 技术负责人.44 中心专家组.44 现场勘察组.45 现场实施组.45 实施保障组.46 质量监控组.46 0 项目验收小组.46 7.2 人力资源安排.48 7.3 项目实施流程.49 XXXX 集团信息化方案建议书 第 4 页 7.4 工程实施具体要求.50 7.4.1 组建项目组50 7.4.2 设备到货准备51 7.4.3 工程技术准备51 7.4.4 安装环境准备53 7.4.5 现场勘查及工程配套设备安装54 7.4.6 到货检查55 7.4.7 节点安装测试56 7.4.8 网络测试及系统初验57 7.4.9 系统试运行和终验58 7.5 文档列表59 7.6 系统测试和验收60 7.6.1 网络测试的原则60 7.6.2 网络连通性测试61 7.6.3 网络压力测试63 7.6.4 路由收敛与恢复测试64 7.6.5 网络可靠性测试65 7.6.6 系统验收65 7.7 工程质量保证体系.66 7.7.1 工程质量管理66 7.7.2 组建健全有效、职责明确的项目组织机构66 7.7.3 制订详细、切实的工程技术指导书67 7.7.4 制订详细的工程进度计划67 7.7.5 基于实施计划的严格工程进度管理68 7.7.6 高效合理的资源调配与管理68 7.7.7 必要的工程协调会68 7.7.8 工程和技术文档的管理69 7.8 大洋质量体系介绍.69 7.8.1 质量管理目的和内容69 7.8.2 大洋的质量方针与承诺69 7.8.3 质量管理的基本要求：PDCA.70 7.8.4 文件化的质量保证体系大洋系统集成质量体系文件70 7.8.5 制定计划70 7.8.6 阶段评审和联合评审71 7.8.7 配置管理71 7.8.8 文档管理71 7.8.9 更改控制71 7.8.10 生存周期内的质量管理71 7.8.11 其他72 第八章第八章 工程进度安排工程进度安排74 8.1 项目实施内容.74 8.2 整体实施安排.74 XXXX 集团信息化方案建议书 第 5 页 8.3 工程实施进度安排.75 XXXX 集团信息化方案建议书 第 6 页 第一章 项目背景及需求分析 .1 概述及背景 为了更好发挥整体优势，XXXX 集团组建并形成一个现代化的信息通信平台， 作为高效管理、服务一体化的技术支持系统十分必要。信息化建设可以增强办 公效率。为此，XXXX 集团建设自己的综合业务网系统。 1.2 综合业务网建设的必要性 随着分工的细化部门相互之间的关系将会越来越紧密，为加强对工作管理， 各部门将协同、共享资源，以提高快速反应能力。同时随着 XXXX 集团系统对 外业务规模扩大，对先进的信息化手段的需求将愈加强烈和广泛。因此，有必 要建立 XXXX 集团系统专用的信息网络平台。 1.2.1XXXX 集团系统信息化现状 目前，XXXX 集团还没有自己的局域网，PC、打印机等还是单机工作，资 源不能充分利用，急需建设自己的内部局域网，建立一个综合、经济、可靠、 有效的信息网络平台，将很好地解决以上问题。并能够满足现在和将来不断增 长的 XXXX 集团系统语音、数据、图像等各种业务的需求。 1.2.2 建设的必要性 针对 XXXX 集团系统目前信息化状况存在的问题，有必要组建综合业务网： 1使 XXXX 集团成为一个联系紧密的整体，共享资源，合理运用，更好发 挥系统优势； 2加强内部统一管理，提高工作效率，降低办公支出； XXXX 集团信息化方案建议书 第 7 页 3完善的信息化网络建设可以实现数据共享、联合作业、技术交流、远程 培训等，可以极大提高工作效率，节省成本，提高效率； 总之，完善的信息化建设是增强实力，也是 XXXX 集团系统业务发展的切实 要求。 1.3XXXX 集团综合业务网需求分析及业务规划 1.3.1 需求分析及预测 经调查了解和研究分析，目前 XXXX 集团对信息化的需求如下： 1将各个部门局域网互联，形成统一的内部信息及 ERP 网； 2各个部门的电话交换互联，形成内部统一的电话网； 3组建覆盖 XXXX 集团系统的视频监控系统； 如何应对由于业务量增加而带来的在管理上的巨大压力，将在很大程度上 依赖信息化的建设水平。如果保持现有的的信息化水平，将很难满足如此高速 的增长速度。 从局域网的应用来看，彼此无法共享资源，无法联合调度，无法充分发挥 整体优势；而且，由于信息传递不及时，将会大大影响系统的反应速度和合理 的应对速度。 从日常办公系统来看，XXXX 集团的办公系统各异，无法形成统一的办公环 境，这势必增加办公支出，降低办公效率。 总之，XXXX 集团系统组建综合业务网适应了很长一段时间业务发展的实际 需求，可以适应行业之间的激烈竞争环境。 1.3.2 业务规划 根据 XXXX 集团系统现状和今后的业务发展需求，发展规划中应重点考虑以 下业务： 话音业务：电话、会议电话；形成系统内部电话专网，进行统一编号。外 XXXX 集团信息化方案建议书 第 8 页 线可直拨分机（DID 功能） 。 数据业务：将分局现有局域网互联，形成统一的办公环境。 多媒体业务：信息检索、科学计算和信息处理、电子邮件、Web 应用、可 视图文、多媒体会议、视频点/广播、远程教育等。 1) 话音业务 a) 电话 b) 会议电话 2)管理信息数据 管理信息数据信息属于敏感性信息，对安全性和可靠性要求很高。在传输 时延和传输速率上，管理信息数据对此没有特别要求，但在数据传递完整性方 面又有很高要求，不允许出现数据丢失现象。 3) 视频业务会议电视 拟建设的 XXXX 集团系统会议电视网将采用 H.323 系统，是承载在以路由 器为主构成的包交换数据网络上，而数据网络又构筑在数字传输体系之上。 MCU 与终端设备之间需要的带宽为 2Mbps 或 n x64kbps（n=1-31） 。 4) 通用网络业务 通用网络业务主要有 Email 服务、Web 服务、FTP 服务、BBS 服务、GIS 服务、GPS 服务和视频点播等。这些应用一般都是标准的 WWW 应用服务，且 用于服务目的，因此一般对网络传输时延和可靠性要求不高(VOD 除外)，通信 模式多数为双向通信，全部采用标准的 TCP/IP 协议。 a)Web 浏览 Web 浏览的访问量是相当大的。随着多媒体页面的增加和网站的丰富，该 部分带宽需求将进一步增加。 b)电子邮件系统 根据目前的发展趋势，随着每个人对 Internet 熟悉程度的增加以及对外交 流的居多，多媒体邮件的出现，其信件数量和大小都将会随着增加。 c)文件传输服务 FTP 服务器主要用于文件传递服务，其对带宽的需求相对较高，由于 Internet 上免费资源和应用程序补丁越来越多，因此 FTP 服务器的负荷呈现稳步 XXXX 集团信息化方案建议书 第 9 页 上升趋势。 d)视频点播 视频点播（VOD，Vide on Demand）是一个高带宽需求应用，如果采用 MPEG 1 格式进行视频点播，那么一个 VOD 流大概需要 2-4Mbps 的带宽。如果 采用 MPEG 2 进行视频点播，那么单个 VOD 流需要耗费大概 6-8Mbps 的网络 带宽。 e) 远程教育和在线培训 开展远程教育和在线培训的目的是充分利用主办机构的各项教学资源和科 研优势，为不能脱离现职岗位的广大科技人员和管理干部提供继续教育和业务 培训的机会，满足他们对增新、补充、拓展和提高知识与技能的迫切需求，为 XXXX 集团系统的可持续发展打下良好基础。 开展远程教育和在线培训离不开数据网络的支持，它实际上就是根据教育 理论，运用现代教育媒体和通讯手段，有目的地传递教育信息，充分发挥多种 感官的功能，以实现最优化的教育活动。 现代化的远程教育一般都充分利用了多媒体手段，在条件具备的地方，还 增加了视频数据和音频数据，以增加教育效果。 如果远程教育没有视频数据和音频数据，不需要实时的双向交流，那么其 对传输时延就没有什么特殊要求，可以等同于其它普通网页。如果增加了视频 和音频等多媒体手段，或者更进一步增加了实时的视频和话音双向交流，则这 些内容对于传输时延比较敏感，否则将不能达到预期效果，因此数据网络应该 支持多媒体数据流的优先传输。 在带宽要求方面，考虑到初期远程教育可能会以文字和静态图像的网页传 输为主，其页面平均大小为 10KB。如果远程教育是带音频和话音数据的双向 交流形式的实时在线教育，则一般而言，维持这样一个在线培训至少需要 512kbps 的带宽，并且需要传输时延保证，因此其对数据网的要求是很高的。 在通信模式上，远程教育主要采取组播方式，也可以采取点对点方式。部 分系统具有双向通信的要求，但在带宽要求上具有不对称性的特点，一般下行 数据量大，而上行数据量小，通讯协议基于 IP 协议。 XXXX 集团信息化方案建议书 第 10 页 第二章 网络设计原则 2.1 网络设计原则 根据 XXXX 集团网络系统的具体情况，在此次网络的规划、设计和实施中 遵循以下原则： 先进性和实用性 系统建设要有一定的前瞻性。在网络建成后的 3-5 年之内，不会由于业务 量的增加导致对网络结构及主要设备的重大调整。同时要考虑实际的应用水平， 避免技术环境过于超前造成投资浪费。 开放性 网络采用开放式体系结构，易于扩充，使相对独立的分系统易于进行组合 和调整。选用的通信协议要符合国际标准或工业标准，网络的硬件环境、通信 环境、软件环境相互独立，自成平台，使相互间依赖减至最小，同时保证网络 的互联。 可扩充性 网络的可扩展性：网络的方案中需充分考虑系统的扩展性，一是网络的规 模可以扩大，网络设备的端口扩展和模块扩展都留有余地，所选的网络设备应 带有可扩展的模块。二是网络的拓扑可以随着设备模块的扩充而灵活改变，具 备很高的可扩充性。 可靠性和高性能 为了减少日后网络系统的故障对 XXXX 集团的正常工作造成的严重影响。 网络系统的设计中应考虑网络的可靠性，对关键节点的设备采用高可靠性，高 性能的设备。并且能为电视会议、IP 电话等扩展应用提供支持。 安全性 网络系统具有高度的安全性，网络设计应该采用一套安全控制方案，以防 止来自内部或外部的安全隐患，阻止非授权人员访问网络，非法利用网络资源。 XXXX 集团信息化方案建议书 第 11 页 可管理性 对于 XXXX 集团网络系统这样一个规模较大的系统，必须为管理员提供先 进而完善的网络管理工具来进行网络配置、监控、调整、故障诊断和处理，以 便及时发现问题，解决问题，并且能够对网络进行性能评估和优化，保证网络 的正常运作。同时要求各个网络设备支持 SNMP、RMON、RMON2 等网管协 议，有良好的可管理性，并在统一的平台下与网管系统相互配合，集中管理。 2.2 网络设备选型原则 设备的选型应从实际需求出发，满足应用系统当前和未来若干年内系统扩 展的需求，选择开放的、技术先进、高性能、高可靠性、高稳定性，具有良好 扩展性的系统平台，组成一个健壮性好、高可用、安全性好、可扩展性强的系 统，并有平滑的升级策略和良好的售后维护，保护用户投资。 我们在进行系统选型时遵循以下几个原则： 开放性、兼容性和可互联性：我们进行设备选型时，将考虑各种设计规 范，技术指标及产品均符合国际和工业标准，并可提供多厂家产品的支 持能力。系统中所采用的所有产品都要满足相关的国际标准和国家标准， 是开放的可兼容系统，能与不同厂家品牌的产品兼容，可有效保护用户 的投资。 技术先进性：尽量采用符合当代信息技术发展形势、既有先进技术又发 展成熟，并且是各个领域公认的领先产品。 高性能：系统是一个综合网络应用系统，具备高性能是保证多业务正常 运行的基础。 高可靠性：应该选择口碑好、具有良好信誉的设备厂商的产品。 可扩展性：计算机行业发展迅速，系统必须具有良好的可扩展性，才能 满足业务不断增长的要求。在设备选型时，我们充分考虑其扩展性，未 将来系统的扩展保留一定的空间。 灵活性：指能够迅速准确地适应不同的网络环境。能适应网络的连通情 况、网络带宽、路由器队列大小、网络延迟以及其它参数的改变。 XXXX 集团信息化方案建议书 第 12 页 第三章 总体建设方案建议 3.1 局域网设计方案 3.1.1XXXX 集团网络设计 网络拓扑图网络拓扑图 网络设计描述网络设计描述 由于 XXXX 集团局域网要承载全集团范围的数据流量，中心局域网瘫痪将直 接导致整个 XXXX 集团网络的瘫痪，中心网络可靠性要求非常高。如上图，在本 次项目中，网络中心核心网络配备了 1 台联想天工 iSpirit4804 千兆路由交换 机，在配备引擎的情况下，核心交换机应提供 4 个业务槽位，支持端口线速转 XXXX 集团信息化方案建议书 第 13 页 发功能， 核心交换机转发能力 48Mpps，可实现全 GE 端口的线速转发。不会因 为端口转发能力弱而导致网络拥塞的情况发生。所有的大楼汇聚交换机和接入 交换机与核心之间千兆互联。 各接入层交换机分别选择联想天工 iSpirit2924 作为接入层设备，千兆接 入核心交换机。联想天工 iSpirit2924 具有完全满足用户需求的处理能力，达 到经证明的千兆全线速处理，具有丰富的控制能力，每端口实现 4 个队列管理 控制，交换机之间可通过 802.1P、IP Diffserv 和 RSVP QoS 信令协议完成 QoS 管理，联想天工 iSpirit2948、iSpirit2924F 的线速组播能力，线速 QOS 能力 将在接入层网络为用户提供高性能、线速的数据包控制和转发能力 3.1.2 核心交换机的优势 低拥有成本低拥有成本 先进的高标准的网络建设必须是在合理的投资预算范围内才是可实现的，除 初始的购买设备投资外，也必须考虑整个网络生命周期内的所有投入，包括安 装调试、日常管理、设备维护等。大洋的解决方案能够最大程度地满足用户最 低拥有成本的要求。 以太网技术由于其技术的简洁实用成为当前主流的 LAN 技术，已被大规模 地使用，从而进一步地降低了其产品成本。联想作为以太网技术和产品的领先 者，最先开发出千兆三层交换机，并积极倡导推动千兆以太网乃至万兆以太网 在骨干网络中的应用。从边缘终端用户到核心骨干采用一致的以太技术可充份 利用以太技术的简单实用的特点，利用其可构成一个统一高效的 IP 传输的链 路平台，避免了其他技术带来的多层封装、格式转换的复杂和低效，减少了网 络实现的设备成本。另一方面，以太网作为成熟的技术已为多数技术人员熟悉， 能够减少技术培训和人力资源成本，从而降低系统的日常管理和维护费用。 联想的产品无论边缘还是核心均采用一致的软件、硬件和管理体系结构设 XXXX 集团信息化方案建议书 第 14 页 计，相同的管理界面、相同的升级步骤以及相同的故障处理，进一步保证了网 络端到端的管理一致性和功能一致性。最终可使用户获得低于其他解决方案的 拥有成本。 可扩展的灵活的网络可扩展的灵活的网络 随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长， 需要网络有很好的可扩展性，并能随着技术的发展不断升级。同时网络应具有 灵活的配置和适应多种互连方式的能力。 联想提供了丰富的产品系列，从核心的骨干设备、中规模的汇聚设备到边缘 的接入设备，均有多种容量的机箱选择，可根据网络当前和未来的规模灵活选 择。同时联想提供了丰富的接口支持，支持的以太网速率为 10/100M、1G、10G，采用 WDM 技术可实现单芯光纤 4G，利用链路捆绑技术 可实现 Nx1G、Nx4G 和 Nx10G 等多种带宽连接。此外，为灵活地透过其他链 路网络互连，大洋产品提供 POS 和 ATM 接口，均支持桥接和路由模式，可有 效地实现以太网帧的传输，支持多种以太网机制，如 802.1Q、802.1p 等。对于 边缘接入端，联想产品支持 Ethernet over VDSL 技术，可通过双芯电话线实现 双向 10M 以太网连接；同时透过传统的 E1 信道，可实现低速的 FR/PPP 方式 互连。 丰富的产品和接口选择，是构建契合需求的灵活的园区网络的基础。 高性能的实现高性能的实现 大密度的高速端口要求网络设备具有大容量的交换处理能力，以避免拥塞和 延迟。联想采用无阻塞交换结构，基于先进路由交换机制，能够提供线速处理 能力。以此为基础，通过合理的网络设计实现高性能的网络。 联想的全线三层产品交换产品均可实现满载情况下的二层线速帧交换和三层 线速包转发。 XXXX 集团信息化方案建议书 第 15 页 应该强调的是，实际运行的网络需要配置很多控制功能，如 QoS 处理、 ACL、策略路由等，此时需要交换机耗费更多的资源以实现相应的网络控制处 理功能。联想产品能够保证性能和功能的一致实现，即在打开诸多控制处理功 能的前提下，依然保证数据包的线速处理和转发。 基于策略的、基于硬件的高性能基于策略的、基于硬件的高性能 QoS 联想的基于策略的 QoS 技术可在以太网上提供前所未有的服务质量保证。 联想的交换机可对通过交换机的流量(数据包)的 14 层的特征(如物理地址、 MAC 地址、IP 地址或子网、TCP 带宽等)对其分类，并根据流量的不同类别采 取不同的传输策略。例如，可保证某个视频流量的最小带宽和最大带宽，可以 实现双向流量控制，而且可以保证数据传输的时延和抖动，这类似于传统的 TDM 技术。由于可保证流量的最小带宽，因此可提供真正的 QoS 保证。此外， 联想的交换机中每个端口提供 8 个优先级队列，支持 IEEE802.1p 标准的 8 个队 列的优先权,可提供业界最强的 QoS 支持。 联想完成采用硬件实现 QOS 技术，无论是分级进行优先级识别，还是进行 QOS 带宽分配，或是进行 IETF DifferServ 重写。均是采用联想的 I 系列硬件实 现。 这样通过 QoS 的带宽控制就可以做到好似 ATM PVC 永久链路一样，做到 带宽的保证。 4 层层7 层交换层交换 服务器负载均衡（服务器负载均衡（Server Load Balancing） 当采用多台服务器提供服务时，通过服务器负载均衡技术可将用户对服务器 的访问流量自动地动态分配到多台服务器上，从而消除多台服务器忙闲不均的 情况，减小用户的等待时间，提高服务质量。另一方面，通过服务器负载均衡 技术还可以极大地提高服务器群的可靠性当共担负载的一组服务器中的某一 台发生故障时，其工作可自动由其它服务器接替，从而保证了服务（应用）的 XXXX 集团信息化方案建议书 第 16 页 不中断。 流量重定向（流量重定向（Flow Redirection） 当高速园区网/局域网建成后，其与 Internet 连接的出口通常会成为网络中的 瓶颈。目前有效的解决办法是在本地设立高速缓存服务器(cache server)，将已 经访问过的网站的内容在本地 cache server 中保存一副本。联想交换机可自动地 将随后对这些网站的访问重定向到 Cache server 上。只有对 Cache Server 中没有 副本的网站的访问才发往 Internet，因此可大大提高 web 访问速度，并且上述操 作对用户是透明的。 以上功能并不仅限于对 Web 的访问，它同样可用于其它任何由用户所定义 的业务的重定向。利用此功能，可以实现强大的基于策略的路由。 策略路由（策略路由（Policy based Routing） 联想交换机提供功能强大的、线速的策略路由功能。通过联想的策略路由功 能，可以将私网 IP 地址访问公网 IP 地址的流量自动转向到防火墙，通过防火 墙进行地址转换；而公网地址访问公网地址的流量不经过防火墙。同时，联想 交换机可以使用多个防火墙进行负载均衡。而且，联想交换机具备对防火墙的 健康检查功能，如果某个防火墙出现故障，则联想交换机可以自动绕过此发生 故障的防火墙。 联想以太网自动保护交换联想以太网自动保护交换(EAPS) 以太网自动保护交换（EAPS）技术是联想的解决方案，用于对以太网环型 拓扑提供快速保护。该技术为基于以太网技术的环网提供了 SDH 级的自动保护 机制，其自愈时间达到 50ms, 因而不会造成路由层的中断，也不会有业务数据 包的丢失。 技术亮点技术亮点 基于现有以太网技术，低成本，易操作，易维护 XXXX 集团信息化方案建议书 第 17 页 无需额外硬件投资。 环网技术可进一步降低铺设光纤的成本。 高可靠的设备和高可用的网络实现高可靠的设备和高可用的网络实现 联想能够为企业网应用提供高度容错的网络所要求的硬件冗余和软件智能。 物理层冗余物理层冗余 骨干设备采用全冗余设计，所有关键部件均有冗余备份，包括电源、风扇、 交换引擎等，所有模块可热插拔维护，机箱为无源背板设计，可实现最大程度 的高可用性。联想可实现物理接口冗余，当物理接口故障时，可快速切换至备 份接口。 链路层冗余链路层冗余 联想产品提供多种二层功能实现冗余的链路保护，包括链路捆绑（802.1ad） 、 快速 STP、EAPS、ESRP 等。 第三层冗余第三层冗余 第三层网络的一个主要优点是，报文沿着多条路由转发，这些路由动态更 新，以反映当前的网络拓扑。如果发生故障，网络会自动迂回流量，绕过故障 设备。路由协议发布动态的拓扑更新信息，并在网络状态变化时自动更新路由 器和交换机。联想支持业内标准单点广播路由协议，包括路由信息协议(RIP)、 开放最短路径优先协议(OSPF)、针对外部边界网关协议(EBGP)和内部边界网关 协议(IBGP)的边界网关协议第 4 版 (BGP4)。为实现第三层 IP 多路广播流量冗 余，支持 DVMRP、PIM 密集模式和 PIM 稀疏模式。 在边缘用户子网中的 IP 主机使用默认网关与其它网络、子网或 VLAN 中的 主机通信。网关的故障会把主机与网络其余部分隔离开来，因此关键事务型网 络应该配备冗余的网关。 联想通过 ESRP/VRRP 协议的支持可实现多台出口设 备的冗余和自动切换。 XXXX 集团信息化方案建议书 第 18 页 设备管理冗余设备管理冗余 在构建冗余网络的过程中，网络内部设备的管理和配置及其交互也同样非常 重要。所有联想交换机可以包括两个单独的配置和两个单独的软件映像，以在 网络移动、增加和变动过程中平滑地实现过渡。在配置或升级发生问题时，用 户可以迅速恢复原来的配置。以下特点也有助于实现配置管理： 基于 ASCII 的可读配置文件 自动定时配置上传 下载递增的配置变化，而不需重新引导系统 为多个/冗余的 Syslog、RADIUS、SNTP 和 DNS 服务器提供客户端支持 本地和远 程 (Syslog)日志记录所有配置变化 高安全性的网络高安全性的网络 XXXX 集团网络是一个综合性的网络，连接不同种类的用户提供不同类型 的服务，其安全性设计如下几个方面： 网络设备的安全 网络管理系统的安全 网络业务的安全 数据传输的安全 用户网络的安全 联想提供基于标准实现的诸多安全控制功能以及独有的网络认证技术实现了 卓越的安全的网络解决方案。 为保证网络设备的安全，交换机设置了用户管理机制，不同的用户具有不同 的管理和访问权限，并可通 RADIUS（支持对每个用户的认证和每条命令的认 证）和 TACACS+实施认证。 通过访问交换机访问控制权限列表，可对每个用户的各种管理方式访问方法 XXXX 集团信息化方案建议书 第 19 页 (SNMBread，SNMPwrite，Telnet，Web，SSH2)分别进行控制(容许或禁止)。 为防止通过路由报文对路由设备的欺骗攻击，联想交换机可对路由协议报文 进行密码验证，如 MD5 加密，使假的消息不会被接受。采用路由访问策略可控 制对 BGP、OSPF、RIP、DVMRP、PIM/DM 广播和可信赖的源地址的限制。 通过 Route Map 功能可控制不同路由域间的路由信息的分派，可实施过滤和修 改，控制 IGP 与 BGP 以及 BGP 与 BGP 之间的路由处理。 全线速访问控制表（ACL）用来实现按访问控制表中列出的策略对不同的 用户控制其访问权限。如： 根据不同用户的 IP 源/目的/子网地址、第 4 层源/目的地址/地址段决定 收发容许每个用户访问网络； 可限制 TCP 连接为单向方式； 拒绝或容许基于策略的服务质量(PolicyBased-QoS)的流量组合功能； 对于接入用户的安全管理，联想采用多种技术实现： 采用 VLAN 技术实施网络二层区域的划分；采用端口控制技术，防止非 授权 的设备访问网络；联想交换机所具有的 MAC Security 功能提供基 于 MAC 地址的安全机制。本功能仅允许持有特定 MAC 地址的主机接 入网络。 采用 Network Login 技术实现用户的认证机制，通常的以太交换机无法 根据用户的身份决定是否容许某用户使用网络，因此对网络安全保障带 来困难。联想的 Network Login 技术可帮助用户解决这些捆扰。使用 network login 技术后，当某用户要通过某台接入交换机上网时，接入交 换机首先提示其用户输入其用户名和口令，并将用户输入的户名和口令 送给网络中的 RADIUS 认证服务器进行认证。只有当用户通过认证后交 换机才将该用户的接入端口打开，使该用户可以使用网络。否则，接入 交换机将阻止该用户上网。 XXXX 集团信息化方案建议书 第 20 页 Dos-attack-protectionDos-attack-protection 当联想 e 交换机检测到网络攻击流量（如连续大量的 ICMP 攻击）时，可自动 触发防攻击功能，阻止恶意攻击对网络和网络资源的影响。 3.1.3 接入交换机的优势 选择联想天工选择联想天工 iSpirit2924 作为接入层设备具有以下优点：作为接入层设备具有以下优点： 设备高可靠性，设备高可靠性，我们推荐采用的接入层交换机联想天工、iSpirit2924 是 联想专为高可靠性的网络环境设计的， 设备高性能，设备高性能，联想天工 iSpirit2924 具有完全满足用户需求的处理能力， 达到经证明的千兆全线速处理。 设备高智能，设备高智能，联想天工 iSpirit2924 具有丰富的控制能力，每端口实现 4 个队列管理控制，交换机之间可通过 802.1P、IP Diffserv 和 RSVP QoS 信令协议完成 QoS 管理。 网络的高性能，网络的高性能，在整个接入层网络中，作为联想的新一代产品，联想天 工 iSpirit2924 的线速组播能力，线速 QOS 能力将在接入层网络为用户 提供高性能、线速的数据包控制和转发能力。 XXXX 集团信息化方案建议书 第 21 页 第四章 网络管理 4.1 网络管理系统设计原则 XXXX 集团网络系统作为一个集团范围的大网，如何进行有效的管理，如 何快速的发现故障、排除故障，监视网络的性能，必须进行整体系统规划。我 们建议按照以下原则来进行网管系统设计。 4.1.1 面向运维的全网故障与性能预警 XXXX 集团需要通过网管系统为全网管理提供强大的集中事件/故障管理平 台。中心网管服务器将通过各种 Probe 和 Monitor，针对各节点的网络设备，网 络服务提供全面的事件/故障管理。 作为 XXXX 集团网络中心的集中的事件/故障平台，可以让网络管理人员 通过对整个服务环境的各种硬件和软件系统的实时事件/故障信息收集，对各类 事件/故障信息进行过滤、相关性分析与处理，实时显示出完整的事件/故障信息， 并能自动响应.并将这些信息分发给负责服务水平监视的操作管理员。有效地提 高故障管理的效率,减少故障的定位及解决时间,保证提供高质量的网络服务. 通常来说，性能方面的故障通常是由于长期的资源耗尽的增长未得到足够 的重视，而在某一时刻对性能需求的突然增长就造成了性能故障的出现。此系 统通过故障分析引擎通过将实时采集的数据与历史数据进行比较，找出有别于 历史平均趋势的异常情况，因此，管理人员可以把精力集中在真正的性能故障 上。 4.1.2 面向规划，预见链路、设备的性能趋势 网络规划的重要原则是基于历史数据揭示发展规律，从而作为规划与投资 的依据。分析引擎完全基于历史数据进行分析，揭示性能发展趋势。系统不但 可对故障产生的时间进行预测，而且可预测某项性能指标（如 CPU 利用率，带 XXXX 集团信息化方案建议书 第 22 页 宽利用率，实际流量等）在特定时间后的具体数值，并提出购买或升级建议。 管理员可以使用系统产生的报表作为容量规划的依据，更加有效地利用投资。 4.2 网络管理系统解决方案 网络管理简单的说就是监督和控制网络的运行，网络管理可以包括：监督 日常运行；定位系统问题、解决问题；规划网络的未来扩充；跟踪网络设备清 单。从更广泛的意义上讲，网络管理还可以包括计费和用户安全控制等等。 网络管理能够提供更好的服务：有了网络管理，管理员可以进行主动的、 而不是被动的管理；降低了停机成本：有效运行的网络不会损害停机；投资回 收：有管理的网络其投资回报要大大高于无管理的网络。 一般而言，网管中心应具有以下五个方面的管理功能： 性能管理 网管系统可以实时连续地收集网络运行的相关数据，监视网络拥塞、设备 失效的情况，用图形方式显示网络情况发生的级别，在需要时发送命令到各节 点，进行网络控制。 网管系统能够从网络节点收集以下业务量数据，并进行处理，形成日或月 报告，进行网络运行分析。 发生严重拥塞的历史 发生中度拥塞的历史 发生轻度拥塞的历史 拥塞告警次数 设备故障次数、历史 重大告警次数、轻度告警次数 网络管理系统应具有网络结构、网络节点、中继线配置和利用情况的显示 功能。网络管理系统应记录网络节点、资源信息，包括已使用和未使用的端口 数，中继线的容量等，并随着网络的变化及时加以修改。 配置管理 网络结构的配置：网络节点、中继线的增加、删除和改动及显示拓扑结构； 网络节点插板、端口和冗余结构的配置；网络节点访问口令的设置和改变。 XXXX 集团信息化方案建议书 第 23 页 网络业务的配置：网管系统可以通过人/机接口，根据业务特性要求，配置 各类参数；可以对必要的故障、拥塞监测门限进行设置和改变。 计帐管理 网络管理系统应能够实时收集网络资源的利用信息，并对信息进行处理、 存储，形成计费报告。 故障管理 网络管理系统应能够从网络中实时地收集故障监视信息，并对这些信息及 时地处理，显示较明显的告警，并对网络设备实施必要的控制。 网络管理系统可以生成网络节点及中继线的告警生成，告警内容和告警清 除的统计报告。 网络管理平台上应以声、光等形式显示网络的故障信息。 安全管理 安全管理可以避免非法进入网络管理系统，控制接入级别和范围。网络管 理系统可以配置用户识别符、口令，以及登录操作员的查询指令等，并能给管 理员分配管理权限。 根据此网管模型和 XXXX 集团网络系统的具体需求，我们认为 XXXX 集 团的网络管理需要实现四方面的功能：配置管理、故障管理、性能管理、安全 管理。 4.2.1 配置管理 配置管理主要是进行网元的配置，网络互通配置等功能，主要负责全网的 配置管理工作。 配置管理功能主要负责全面动态的管理全网所有网元设备的配置数据、网 元等设备的保障、状态检查和安装功能，能够以图形、文字等形式分层显示配 置相关的各类信息，并且具有编辑（增加、删除、更改） 、分类统计和打印输出 这些网元配置数据的功能。 设备配置数据应包括系统内各网元已生成的设备配置参数，也包括根据设 XXXX 集团信息化方案建议书 第 24 页 计文件及管理资料人工生成的参数两部分内容。为使配置数据与实际配置情况 始终保持一致，对于能从网元设备输出的配置信息，提供定时和手工启动方式 的自动核对；其他配置信息，提供录入、编辑等手段由操作员及时更正以反映 实际情况。 配置管理也应提供对特定配置的分析和管理工具。该工具可以对一组相关 设备进行配置策略的分析，并能模拟配置后所产生的结果。同时对配置的变动 自动生成报告，为管理员提供配置优化的依据。 4.2.2 故障管理 在网管人员日常操作中，最重要的职责莫过于及时发现、定位、分析和解 决随时发生在网络上任意部分的网络故障，因此，提供完善的故障管理体系， 提供可以帮助管理员迅速发现重要信息，高效率的故障管理平台和故障诊断工 具，也是十分必要的。 我们建议采用基于事件管理的故障管理平台。事件管理架构是网络和基础 管理应用以及工作流应用的结合，它们用相关性技术组合或者集成在一起。相 关性技术用来分析所发生事件的相互关系，它可以发现最近发生的事件之间的 联系，并且对网络事件的根本原因做出最佳推测。 全网事件/故障的统一管理 我们建议建立 XXXX 集团全网集中的故障管理平台，网络管理人员通过对 整个服务环境的各种硬件和软件系统的实时事件/故障信息收集，对各类事件/故 障信息进行过滤、相关性分析与处理，实时显示出完整的事件/故障信息，并能 自动响应。有效地提高故障管理的效率,减少故障的定位及解决时间,保证提供高 质量的网络服务。 在 XXXX 集团各节点建立网管中心，负责采集全网范围内的网络与系统故 障、安全信息。 作为一个整体的网管系统，各个功能之间实现好的互动是系统整和的关键， 在故障管理方面，与性能管理、配置管理、安全管理等方面都有互动关系。下 面以实例说明故障管理与其它模块的关系。 与性能管理的互动，性能指标有不同的阈值范围，当阈值超过警告门限时， XXXX 集团信息化方案建议书 第 25 页 将激活故障管理。 与配置管理的互动，在故障发生时，自动索引出相关设备，可以连接到相 关设备的配置管理界面，查询故障原因；对于可以自动处理的故障，可以激活 配置管理，组织预定义自动配置。 与安全管理的互动，故障管理自动激活安全管理，调查引起故障的可能的 安全方面的原因，如安全日志，备份设备被激活等。 4.2.3 性能管理 性能管理主要负责全网性能监视、性能控制和性能分析，完成链路性能测 试，以及各类性能信息的收集、统计、存储，性能信息数据库的维护，性能管 理阈值的设置与阈值越过报告，产生按需的性能报告，即提供性能信息查询功 能，或周期性的性能报告。为操作人员和管理部门提供网络运行状态、报文数 统计情况、处理机负荷能力等。通过对网络的各种记录，识别特定问题和进行 质量分析。必要时通过运行管理功能和配置管理功能对网络进行调整，改善网 络的总体性能水平。 全网性能统一管理 我们建议建立 XXXX 集团全网集中的性能管理平台，在 XXXX 集团节点 建立 NOC，负责采集全网范围内的设备和端口信息，数据流量信息，进行各种 性能分析，产生各类报表。 性能管理也可和其他管理模块进行互动，提高网管的智能性： 1) 与配置管理互动，当设备和链路的性能持续下降时，提示管理员修改配 置策略,以降低该设备和链路的负载。 2) 与故障管理互动，当性能统计参数超过告警门限值，向故障管理提供告 警信息。 4.2.4 安全管理 系统安全管理主要是对全网安全起保证作用，其主要功能包括：权限管理 功能、数据安全管理以及安全检测功能。 XXXX 集团信息化方案建议书 第 26 页 权限管理权限管理 系统具备完善的权限管理功能。对系统的权限管理通过下述几个方面来进 行： 基于用户的权限管理 基于用户组的权限管理 基于访问时间的权限管理 基于访问网元组的权限管理 对以上几类访问的组合 系统每一个用户综合上述的类别和功能级别进行设定，规定其授权、时间 限制、制定授权范围。 数据安全管理数据安全管理 对系统中告警、配置、性能、用户资料等数据的安全性提供保障措施，防 止数据受到破坏或丢失。 系统具有数据备份和恢复的功能，以保证数据的完备、可靠和安全。 根据用户的权限及职能划分对该用户能够管理和使用的数据进行限制。 对于数据进行修改和删除的权限需要在功能执行权限和职能划分权限的基 础上进一步加以限制，以保证本地网管系统数据的安全使用。 网元安全管理网元安全管理 系统与网元设备直接相连，为了保证网元设备的安全，由系统管理员集中 对网元操作进行管理。管理的内容包括网管用户和网元用户的对应、对网元设 备操作命令的权限管理，确保无关人员无法对网元发送控制指令。 系统提供系统管理员对网元设备安全进行管理的工具，可以限制某些用户 对某些网元的访问权限、限制用户在网元上可以执行的指令、对于重要的指令 在执行前给出提示，经用户确认后才可以执行。 系统提供多种方式来保证操作的安全： 网元权限的分类：用户能够自定义网元管理的范围。 XXXX 集团信息化方案建议书 第 27 页 同一网元上的操作权限的分类：可以定义用户在网元上可操作的命令范围。 操作的日志记录：系统自动记录用户所执行的操作。 冲突处理：系统自动监测冲突，当冲突发生时系统提示用户选择等待或退 出。 超时释放端口；当连接操作某网元设备后，在指定时间内未做任何操作时， 系统可以动退出此网元设备并释放端口操作权限。超时的时间可以由管理人员 确定。 安全检测功能安全检测功能 当用户操作出现以下情况时，系统能及时产生告警信息，并禁止当前用户 的进一步操作。 试图多次登录一无效的帐号 密码的多次尝试 用户多次试图操作自身权限范围之外的操作功能 其它非法操作 第五章 网络系统安全设计 5.1 网络安全设计原则 为了保证网络系统的安全，结合 XXXX 集团网络系统的具体情况，归纳出 以下几条原则： 最小授权原则：最小授权原则： 该原则是指，对某一秘密知道的人越多，就越有可能泄密。不同职责的人 相互无权过问。在网络系统中，有些信息是严格保密的，只有相应权限的人才 能访问。 均衡与非均衡防卫原则：均衡与非均衡防卫原则： XXXX 集团信息化方案建议书 第 28 页 对于系统中的一条信息流，其各环节安全防卫应均衡；系统的安全等于最 薄弱处的安全，如果完全忽视某一环节的安全风险，即使其他环节得到完全加 强，对总体系统的安全效果没有增益。 效能投资相容原则：效能投资相容原则： 任何一个网络系统与任何其它系统一样，不可能做到绝对的安全与保密。 系统的安全保密对策，需要在投资与效益之间加以审慎的权衡。既要充分而有 效，把可能造成的危害减少到能承受的最小程度；又要适度，不必付出与其效 果不相称的过高的投资代价或系统效能代价，从而取得综合性的、最佳的安全 与保密效果。同时，也不能因为安全措施的过分使用而带来管理和使用上的过 多不便。效能投资相容原则将体现在我们设计安全体系的每一环节中。 综合性、整体性原则：综合性、整体性原则： 运用系统工程的观点、方法，分析网络的安全问题，并制定具体措施。一 个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络包括 个人、设备、软件、数据等环节。它们在网络安全中的地位和影响作用，只有 从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。 易操作性原则：易操作性原则： 安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降 低了安全性。其次，采用的措施不能影响系统正常运行。 适应性、灵活性原则适应性、灵活性原则 ： 安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容 易修改。不易于或没有及时适应和更新的安全防护系统，本身就易于产生漏洞。 多重保护原则多重保护原则 ： 任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一