庐江县邮政局数据专线解决方案.doc

庐江县邮政局支局联网点数据专线解决方案 庐江县邮政局支局联网点数据专线解决方案建议书安徽移动巢湖分公司集团客户部二零零九年十月一、项目概述及需求分析31、概述32、需求问题分析3二、安徽移动传输网介绍4三、数据专线介绍6三、庐江邮政数据专网建设方案71、方案设计原则71.1、开放性和标准化71.2、稳定可靠性71.3、安全性81.4、可管理性81.5、科学合理性81.6、可扩展性92、解决方案92.1 、2-8M数据专线接入解决方案93、方案关键点103.1、方案的可靠性设计103.2、IP地址规划113.3、路由规划113.4、 网络安全系统规划123.5、网络安全组网建议123.6、安全控制策略的分类13四、价格资费15五、售后服务15一、项目概述及需求分析1、概述进入二十一世纪以来，世界经济发生了显著的变化，物流行业进入了一个全新的发展时期，信息与网络的应用将是体现21世纪物流行业竞争力的重要尺度。目前，巢湖市邮政局信息系统采用的主要手段为：租用电信公用数字数据网（DDN）。这种方式在一定程度上解决了部分数据传输问题。但随着邮政物流业务的不断增长，营业网点的不断增多，新形式下竞争的加剧要求邮政信誉的万无一失，各种用户不断提出新要求，这时，有线网越来越难满足邮政飞速发展的要求。其缺陷也就显露出来，集中表现在对电信线路依赖性过强，难以应付突发事件，给企业造成巨大经济损失，例如：当电信线路一旦中断，邮政系统根本无法短时间内恢复业务通讯，完全处于被动状态，无法通过自身的努力去解决问题。2、需求问题分析庐江县邮政局各支局网点目前通信线路主要租用电信线路。计算中心配置路由器，网络结构为大集中式处理结构，即在各网点没有数据处理能力，每一笔业务均需通过通信线路传至邮政县局计算中心，由主机系统进行处理。从邮政务角度来讲，此种网络结构有利于保障各网点数据统一、准确、便于管理，但从另一角度来讲，此种网络结构完全建立在通信线路可靠、畅通的前提之上。邮政的业务对通信线路的依赖是如此之大，以至于一旦通信线路出现问题，各网点所有业务都将中断。因此，邮政迫切需要找到一种可靠、高效、经济的通信手段，保障网络正常运行。二、安徽移动传输网介绍目前，中国移动经过多年的建设，已经拥有一个覆盖全国所有县以上城市，技术先进的光纤传输网络。中国移动传输网采用分层的结构，分为核心传送层、汇聚传送层、接入传送层三个层面。核心层：由移动交换局移动关口局移动长途汇接局和移动数据中心节点等核心节点组成，即传统意义上的局间中继系统；汇聚层：由部分具有重要意义的基站、BSC等节点构成，负责一定区域内业务的汇聚和疏导，它由原有意义上的本地网（市到县汇聚层）和城市中心地区的汇聚层网络组成。接入层：由基站、数据及其他业务接入点组成。安徽移动传输网结构安徽移动省干传输网于2000年起步开始建设，随着安徽移动业务的发展，传输网承载能力也不断扩大。至2005年8月，安徽移动省内干线传输系统已建设形成A、B二个平面，均为环型网结构，极大地提高了网络的安全性。节点五节点六节点二节点一节点四A平面通道保护环节点三B平面安徽移动省干传输网结构安徽移动传输网主要采用如下两种技术：1、SDH技术SDH传输网是由一些SDH网络单元组成的，在光纤、微波或卫星上进行同步信息传送，融复接、传输、交换功能于一体，由统一网络管理操作的综合信息网。可实现网络有效管理、动态网络维护、对业务性能监视等功能，能有效地提高网络资源的利用率，能满足通信网的信息传输和交换的要求。 2、DWDM技术DWDM技术是WDM技术的一种，WDM分为密集波分DWDM和粗波分CWDM两种，前者广泛应用于省际、省内长途传输网中，后者主要应用于城域网。 WDM技术的实现，主要由波分复用器来完成。波分复用器是一个无源光学器件，器件结构简单，体积小，可靠性高，易于和光纤耦合。三、数据专线介绍数据专线是中国移动通信基于自身强大的网络，利用自己的接入网和传输网络资源，采用固线方式为招行的各分支机构间提供专线接入，从而实现招行专享各种高质量的通信服务和信息化服务的解决方案。方式包括IP专线接入、光纤接入等。附2.2数据专线业务特点基于SDH、DWDM等技术的光纤传输网络，可以满足多种的业务需求，包括高可靠性需求，不同的接口需求，不同的带宽需求的各种业务，均能提供差异化，个性化的服务。1、 高可靠性：从网络级和设备级等方面着手加强安全性（1）网络级l 通道环网保护(单向、双向)l 复用段环网保护(专向、共享2F/4F MSP)l 线形保护(1+1 MSP、1:N MSP)l SNCPl DNI（符合G.841、G.842）l 共享光纤虚拟保护l ET-Ringl VP-Ringl RPR（2）设备级l 电源1+1；l 交叉1+1l 时钟1+12、接口多样性：提供各种速率、各种跨距的接口，用于组网；支持多种业务接入、处理和传送；3、带宽需求多样性：大容量接入能力，提供廉价带宽；通信速率可根据需要在2Mbps、155Mbps、622Mbps、2.5Gbps、10Gbps等速率中任意选择。安徽移动网传输资源充裕，能满足话音、数据、集团客户等多种业务需求。三、庐江邮政数据专网建设方案1、方案设计原则1.1、开放性和标准化此次网络设计严格遵循开放性原则，所提供的网络设备支持国际流行的网络协议工业准，支持多种交换/路由协议，容易实现动态扩充，具备极好的兼容性，方便与各厂商的网络产品互连、互通、互操作。1.2、稳定可靠性网络的稳定性和可靠性是一个网络能够投入使用的基础，是用户最关心的问题之一。中国移动提供给贵单位的方案设备采用的技术是最新最成熟的技术，完全遵循国际标准、国家标准，在功能的实现上是成熟和稳定的，和其他设备具有完全的兼容性。我们提供的设备在国内外众多行业中得到了广泛的应用，在众多的网络中发挥重要作用。同时我们提供网络的整套解决方案，提供了路由、交换、传输等所有产品，完全可以保证网络的稳定、可靠、无间断运行。1.3、安全性安全性是设计网络必须要考虑的一个方面，由于网络会存在一些安全隐患，在设计网络的时候就要对此有充足的考虑和相应的应对措施。我们提供的方案可以提供多种方式来保证网络的安全性：如包过滤防火墙技术，可以通过路由器/交换机的包过滤功能实现针对原地址、目的地址、TCP端口、UDP端口等的访问控制；可以提供RADIUS和TACACS+等认证；同时还可以支持标准的基于IPSec的线路加密技术外，实现更高级别的安全性。1.4、可管理性在网络建成后，网络的管理将成为最重要的日常工作。移动提供的整网解决方案设备均支持SNMP协议，而交换机还支持WEB方式管理。移动能够提供全面第三方网管软件，可以完成对支持SNMP协议的其他厂商网络设备的管理。1.5、科学合理性网络设计要求依据科学规范化的设计要求，保证整个网络结构的科学性。我们提供的网络方案严格遵循网络设计规范要求，采用层次化结构化设计，使设计的网络层次分明，结构分明。1.6、可扩展性设计一个网络要考虑到今后的扩展性，包括硬件的扩展性和功能的扩展性，以满足不断发展的网络互联需求。移动提供的路由器和交换机均按此用模块化、标准化设计，紧跟技术发展方向，持续推出新的网络模块，模块采用了标准化设计，具有可替换性。而网络设备的IOS采用国际标准的路由协议，同时也采用了一些事实上的标准协议，具有非常好的兼容性2、解决方案2.1 、2-8M数据专线接入解决方案 此方案针对庐江邮政全网SDH的三层网络解决方案； 在庐江邮政中心，我们可以采用155M CPOS接入的方式，提供E1/CPOS接口与庐江邮政核心路由器连接； 在每个邮政支局、联网点，通过SDH延伸下延通过PDH至分支机构，通过E1直连接入路由器，或者通过E1-V35协议转换器连接路由器V35接口； 在部分邮政联网点，可以采用协转交换机的接入方式，在对应的中心路由器CPOS支路上启用虚拟以太桥接协议，可以直接和分支机构的协转交换机互通，在CPOS支路上启用三层地址作为分支机构应用设备的网关； 在一些带宽要求较高的分支机构，采用24路E1捆绑的方式进行提供2M以上的带宽接入； 而在两端对应贵单位的路由器上启用PPP多链路捆绑协议即可。3、方案关键点3.1、方案的可靠性设计可靠性包括网络级的可靠性，设备级的可靠性，应用级的可靠性，系统级的可靠性四个方面。网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持贵单位网络各业务系统的正常运行。设备级的高端产品提供双主控，双交换，双总线，热插拔，多电源技术保证网络设备的5个9的高可靠性。系统的可靠性是由解决方案来个性化的定制构架，策略，产品，方案，技术，综合解决的系统工程问题。可管理性分为网络级，设备级，用户级三个层次的管理，由他们构成网络的智能性。通过提供智能性的网络，降低贵单位运行成本，提供工作效率，达成电子建设的目标。网络管理系统包括网元设备管理系统和业务管理系统，全面保证网络的高可管理性。3.2、IP地址规划IP地址的规划和分配是网络建设的重要内容，它与网络的整体结构、技术体制、连接方式相关，是实现全网互联互通的基础，必须实行统一规划、统一分配、分级编制、分级管理。3.3、路由规划对一个大型网络来说，路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响；同时对于网络承载业务的控制方面具有重要影响。路由协议的选择基本遵循以下原则：1） 管理上层次分明，局部的变动不影响上层路由配置和全局路由配置。2） 技术上应尽量简单、灵活，以提高路由器的处理效率。3） 能够反映出整个网络的层次结构，并与自治域、各结点子网的IP 地址分配相结合，做到合理的路由聚合，减少路由表的长度，减轻路由更新给网络带来的负荷。3.4、 网络安全系统规划网络安全核心理念在于七分管理，三分技术。中国移动在给贵单位进行网络规划设计时，充分考虑了贵单位的网络信息安全。网络安全建设7分靠管理，3分靠技术。即安全管理是信息安全的关键；人员管理是安全管理的核心；安全策略是安全管理的依据；安全工具是安全管理的保证。在技术层面，提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证。3.5、网络安全组网建议完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障网络的安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对网络各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控，防止不法分子利用操作系统的安全漏洞对网络构成安全威胁；管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障网的安全。3.6、安全控制策略的分类对于整网而言，拥有一套物理结构、管理结构都很合理的网络并不足够，这套网络要达到高可用性的要求，还需要提供尽可能强的安全控制能力。如同在需求分析中提到的，本网络的安全控制需求主要来自于以下几方面：终端访问权限病毒传播抑制服务器数据访问控制分机构的访问控制控制与隔离策略包括不同逻辑网络VLAN之间的隔离等，不同业务之间的网段ACL隔离等，保证不同级别和内容的网络之间不会发生非法访问；准入控制策略包括分支机构用户访问权限控制，局域网内部终端PC的访问权限控制，端口级设备特征绑定，高级应用准入控制等；保证指定级别或权限的用户不能接入网络或访问非授权的内容。 流量监控策略包括端口级和网络级的流量限制等；保证低优先级的业务受到速率和访问限制，对高优先级别的业务带宽和响应速度提供保障。病毒和攻击抑制策略包括网络内到终端PC的病毒监控，局域网内设备级的网络病毒传播抑制等；保证网络对病毒危害的抵抗能力，以及减少病毒对终端PC用户业务的危害。3.7、安全控制策略的实现通过以上安全控制策略的部署，我们给贵单位设计的网络所能实现以下安全控制：逻辑网络VLAN隔离方案中提供的路由器交换机均支持通过802.1Q VLAN技术，将地理位置不同但逻辑上属于同一虚拟网络的用户划归为相同的VLAN，并通过二层隔离技术确保这些VLAN间的互访是按照一定权限和规划受限制或完全隔离的。终端PC访问资源权限受控交换机和路由器上的IP策略可以确保指定的计算机对资源的访问权限。终端PC绑定将端口和MAC唯一绑定。配合IP绑定功能和相应的IP策略，我们可将终端PC的物理位置也唯一绑定在网络上，从而有效的支持各种基于IP的策略。流量限制和数据流优先进行端口级的限速，首先将指定端口的带宽控制在一定水平内；可进行二次的针对IP的流量控制；防火墙上则可以进行针对IP的详细数据包/线程流量策略，利用QoS机制对其进行优先传输。服务器防攻击防火墙将服务器和网管置于专门的安全区域内，并设定详细的IP策略及安全控制策略，以防止对服务器的非法访问或攻击行为。四、价格资费数据专线速率目录报价（元/月/条）优惠价（元/月/条）2M6003004M10005008M24001000五、售后服务巢湖移动实施“服务与业务领先”战略，以创建优势服务和迈向一流服务为目标。多年来，巢湖移动不断强化基础服务，提升企业形象和客户满意度；创新服务管理模式，提升服务效率；强化集团客户服务。统一的客户服务中心为用户提供7x24不间断的客户