城域网机房及互联网出口解决方案.doc

重庆市南岸区教育城域网核心安全解决方案中国联合网络通信有限公司重庆市南岸区分公司2017年2月第 1 页 共 15 页 重庆市南岸区教育城域网核心安全解决方案目 录目 录21 项目背景22 项目需求33 系统整体设计方案33.1 系统建设原则43.2 网络平台设计方案53.2.1 网络拓扑图53.2.2 网络设计说明53.2.3 核心网络设备清单63.3 运维管理方案73.4 网络设备配置清单74 质保及售后服务84.1 产品质保期84.2 售后服务标准84.2.1 故障响应时间84.2.2 质保期内服务方式94.2.3 质保期外服务方式94.2.4 售后服务措施104.3 售后服务体系115 案例分享135.1 总部案例135.2 重庆市分公司案例146 结束语151 项目背景当前，数字化校园或智慧校园建设成为各地区信息化建设的重点，在此背景下重庆市南岸区教育城域网拟先通过建设网络核心安全设备提供网络基础。2 项目需求项目是要保证各学校内的师生能够使用终端（手机、平板电脑等）经过认证之后，随时随地的接入内部网络和外部网络。同时网络必须具有一定的安全性、可管理性和可扩展性。本次网络改造建设包括以下几点需求：1、安全功能 根据网络管理需求,对现网网络进行优化改造,并实现安全设备的升级改造,达到如下目的。SCF N:1虚拟化技术，高可靠网络设计具有强大的处理能力丰富路由协议，实现安全与网络融合具有强大的VPN加密处理能力全面深度安全防御阻止恶意攻击，同时能够实现邮件、网页、文件过滤丰富路由协议，实现安全与网络融合2、行为审计功能能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。3、 入侵检测功能确保SecPath IPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。通过掉电保护（PFC）、二层回退、双机热备等高可靠性设计，保证IPS在断电、软硬件故障或链路故障的情况下，网络链路仍然畅通，保证用户业务的不间断正常运行。3 系统整体设计方案重庆市南岸区教育城域网核心安全解决方案主要为今后的网络提供基础平台，里面包括了防火墙，行为审计，IPS等。3.1 系统建设原则总体建设原则：网络运维要有利于管控，最大限度降低网络风险，新建的防火墙，行为审计，IPS能够与原有网络平滑接入，易于总体管理维护。结合实际应用和发展要求，本次方案还需遵循以下原则：(1)实用性：以现行需求为基础，充分考虑发展的需要来确定系统规模。(2)安全性：保障用户接入网络的安全、认证过程中用户名和帐号的安全，用户数据通信过程中用户数据的安全。(3)可靠性：系统设计最大限度地减少故障的可能性及故障发生后修复的及时性。(4)规范性：网络所采用的技术和设备应符合国际标准、国家标准和运营商企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。(5)开放性和标准化：提供开放性好、标准化程度高的技术方案，采用的设备的各种接口满足开放和标准化原则。(6)可扩展性：所有设备不但满足当前需要，并在扩充模块后满足可预见将来的需求，建设完成后的系统能及时向新技术升级演进，同时能最大限度保护现有的投资。(7)可管理性：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量及性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。3.2 网络平台设计方案3.2.1 网络拓扑图3.2.2 网络设计说明网络是基础，我们按逻辑结构分为三层，核心层、汇聚层和接入层，物理结构我们分为了6个部分，即出口区域、核心区域、智能管理综合平台、无线系统区域、业务服务区以及管理平台区。出口区域：在整个教育城域网出口，我们需要部署一台一体化安全网关设备来保障出口安全，为网络提供2-7层的安全防护。部署IPS产品在客户网络的关键路径上，通过对流经该关键路径上的网络数据流进行2到7层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，同时，H3C SecPath T1000/T5000系列产品还具有强大、实用的带宽管理和URL过滤功能。为配合公安部82号令的要求，在方案中设计了一台上网行为管理设备，配合网络认证软件，记录并留存重有线/无线用户的登录和退出时间、账号、访问的互联网地址或域名、系统维护日志等。上网行为管理能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助运维人员全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。核心区域： 核心交换机:此次核心交换机无需再建设，利旧原有的华三 S12508核心交换机作为整个网络的数据核心交换设备。 网络管理综合平台随着信息化建设的大量投入，信息化水平在全国逐渐处于领先水平。而IT信息系统体现应用价值基础是拥有良好的运维保障能力。现在的IT运维人员水平、人数不可能像IT系统建设的速度增长，需要较长时间改善和提升。因此，配套建设一套良好的IT信息运维流程方法、运维产品十分必要，以提升整个信息中心运维管理效率，改善未来面临的多种管理问题。本次建设方案采用一套网络管理平台，通过数据接口和定制模块来扩充系统能力，以客户化定制来进一步贴近用户业务和服务监控环境，形成一体化、实用化的解决方案。该系统需全面监控网络硬件、服务器、软件系统、机房环境的运行状态，并用直观的方式展示给管理人员，以求提高信息化的管理水平和管理效率。 汇聚区域：本次不涉及接入区域：本次不涉及3.2.3 核心网络设备清单设备说明数量核心交换机华三S12508：（已建）1防火墙华三 F5020（加IPS组件）1上网行为审计华三 ACG1000-X 1智能网络管理平台H3C IMC:基础管理13.3 运维管理方案运营管理组件为管理员提供了灵活的组件选择，同时符合业界主流的SOA架构，具备良好的扩展性，能够满足师生网络管理不断发展的需求。基于Web的管理系统，管理者提供了简便、友好的管理平台。其它组件配合，还可实现设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。多样化的拓扑管理业务逻辑拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源，有效进行拓扑分组、真实组织全网资源。物理位置视图中管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。3.4 网络设备配置清单序号 产品名称 品牌 产品型号 单位 数量 1NS-SecPath F5020 H3C NS-SecPath F5020台12H3C SecPath F5000,IPS 特征库升级服务,1年 H3C LIS-F5000-IPS-1Y个13H3C iMC-智能管理平台标准版 H3C SWP-IMC7-IMP个14H3C iMC-智能管理平台标准版-100 License H3C LIS-IMC7-IMPC-100个15NS-ACG1000-X+LIS-1 上网行为管理NS-ACG1000-X+LIS-1台16H3C UIS-Cell 华三云机R390G2-B1 H3C UIS-Cell-R390G2-B1台14 质保及售后服务4.1 产品质保期重庆联通公司为本项目质保服务标准如下：1、 所用产品免费质量保证期不低于2年。2、 本项目所使用的产品均属于厂家原装正品，符合国家质量标准、手续完备。2、所用产品属于国家规定“三包”范围的，产品质量保证期不得低于“三包”规定。3、所用产品由制造商（指产品生产制造商，或其负责销售、售后服务机构，以下同）负责标准售后服务的，提供制造商售后服务承诺函。4、重庆联通公司为本项目提供整体质保期不低于2年。4.2 售后服务标准4.2.1 故障响应时间如设备出现了故障，自我司接到电话之时起立即作出响应，由于我公司在重庆市各区县都设有分支机构，覆盖面达到100%，所以服务人员将在城区2小时内（远郊区6小时内到达现场）派经过专业认证且合格的工程师到达现场进行维修。如果到达现场后，在6小时内不能解决问题，立即在24小时内提供同档次备机，使业务能够正常使用。4.2.2 质保期内服务方式在质保期内，如学校设备需要维修，我司特提供如下技术支持服务：A、电话咨询：我公司将为用户提供7*24小时技术援助电话解答用户在系统使用中遇到的问题，及时提出解决问题的建议和操作方法。B、远程在线诊断和故障排除：对于电话咨询解决不了的问题，经学校授权我司可通过网络远程在线诊断和故障排除。C、现场响应：遇到重大技术问题，我公司将及时组织有关技术专家进行会诊，提供专业的上门服务，免费更换一切在正常情况下损坏的配件。由于我公司在各区县都设有分支机构，覆盖面达到100%，所以服务人员将在城区2小时内，远郊6小时内到达产品使用现场，以确保系统的正常运行。如果到达现场后，在6小时内不能解决问题，将24小时内提供同档次备机。D、技术升级，如果我司和制造商的产品技术升级，我司应及时通知区教委，如区教委有相应要求，我司和制造商应对区教委购买的产品进行升级服务。4.2.3 质保期外服务方式在质保期满后，如区教委的设备需要维修，我公司特提供如下服务方式：A、电话咨询：我公司将为用户提供7*24小时技术援助电话解答用户在系统使用中遇到的问题，及时提出解决问题的建议和操作方法。B、远程在线诊断和故障排除：对于电话咨询解决不了的问题，经学校授权我司可通过网络远程在线诊断和故障排除。C、现场响应：遇到重大技术问题，我公司将及时组织有关技术专家进行会诊，提供专业的上门服务；协助更换一切在正常情况下损坏的配件。由于我公司在各区县都设有分支机构，服务人员将在城区3小时内，远郊8小时内到达产品使用现场，采取相应措施进行处理，以确保系统的正常运行。D、公司保证为用户提供系统技术咨询服务，主要包括计算机应用、网络设计、网络最佳操作系统建议、故障分析等服务。4.2.4 售后服务措施1、售后服务基本流程2、售后服务质量保护措施1） 用户登记：本公司设有用户登记卡，保存各用户的详细资料以便于更好的服务于用户。2） 定期维护：在运行期间，定期对设备进行维护保养。3、服务质量保障措施本公司主要通过以下措施确保客户售后服务质量：1）接到客户服务请求，售后服务专员将做好客户服务需求表，并在部门进行备案；由部门专职行政助理对其工作进行登记，并对服务过程和质量进行监督，工作过程的效率和质量将录入公司售后服务信息管理系统进行统一管理，并进行考评。2）售后服务专员抵达客户现场服务完毕后，将由客户代表在其售后服务情况表中对其服务效率和质量等进行评价，客户的评价意见将纳入售后服务人员绩效考核，以加强对售后服务质量的监督和考评。3）部门专职行政助理以及项目市场经理，将定期或不定期的对客户进行回访，调查客户对公司售后服务的满意度，客户满意度将作为重要考核指标，纳入售后服务部门和员工年度考核体系。4）客户也可通过我方售后服务热线等方式，对售后服务人员的服务情况提出意见或投诉，我方将在接到客户投诉1天内调查核实相关投诉，并根据核实结果，及时反馈客户处理意见，以加强对公司服务质量的持续改进。4.3 售后服务体系 1、组织体系保障：重庆联通为集团用户售后服务设有专业的服务机构。自公司成立开始，便由公司分管副总经理亲自挂帅，全面管理集团客户的服务工作，成立了集团客户服务联动小组，将集团客户的服务作为数固业务的重中之重。目前，已建立并实施了集团客户分级服务保障条例、集团客户联席制度、集团客户督导制度、集团客户协调员专项职责、集团客户技术经理服务制度、集团客户服务规范、集团客户延伸服务规范等一系列规定和流程，在全公司推行，进行严格的考核。根据集团客户服务的特点，重庆联通公司组织进行专门认证考试，选拔技术尖子类人才，给予较高的待遇专项开展集团客户服务工作。同时，公司建立了集团客户专用备品备件应急库，确保集团客户的网络安全及业务安全。重庆联通公司从组织架构、人才保障、设备保障、网络保障、服务保障等多个方面切实做好集团客户的服务工作。重庆联通公司在各个区县设立了县一级分公司，配备了专业人员，专门开展业务发展、建设、维护和服务等方面的工作，不仅如此，联通公司还在乡镇乃至行政村等设立了中国联通乡镇（村）分部，为客户提供及时、快捷、周到的属地化服务，让用户感受到心贴心的关爱。区县一级分公司建设维护部及下属乡镇（村）分部建维分中心将承担起区县的建设维护工作，实行定期巡检制度，将故障隐患消灭在萌芽之中。当出现紧急情况时，当地建维部门会在第一时间作出反映，30分钟内赶到故障现场，及时恢复业务。 2、延伸服务：通过对客户故障的统计和分析，我们发现，用户故障的60属于用户自有网络、设备、环境造成通信中断。虽然不属于我们的责任，但是最终的结果是影响了作为战略合作伙伴的正常通信和业务安全。为此，重庆联通从各个专业选拔技术领域的骨干人员组成一只特工队，可以根据用户的自有网络情况、设备情况、安全情况及应用情况，在用户的许可下，对用户网络进行定期的优化和巡查；根据用户的需要，为用户组织开展专项技术培训工作；在紧急情况下，尽最大努力为用户提供备品备件及应急设备和资源，保障用户的业务通畅。 3、健康体系：我们还为每一个大客户量身定制健康卡，包含客户网络拓扑、技术参数资料、历次故障分析记录、历次网络优化记录、历次回访记录、历次客户批评与意见等方方面面。并将上述内容每月通报客户，每周和客户沟通，以便于用户及时准确的了解和把握网络、业务、安全情况。同时，通过健康档案的建立，我们的技术人员能够随时、全面的了解到某一客户的网络、服务状况，有针对性的做好服务。 4、技术经理：重庆联通针对集团客户全面推行22专职经理制度。2个客户经理，负责用户业务咨询、费用结