专网建设方案

1 / 27 专网建设方案 县政府政务网建设技术方案 公司 二零零八年五月 目 录 第 一 部 分 ： 县 政 府 政 务 专 网 建 设 方案 . 3 一、概述 . 4 二 、 建 设 原 则 、 依 据 和 总 体 目标 . 4 建 设原则 . 4 设计依据 . 7 电子政务建设的总体目标 . 8 三 、 政 务 网 专 线 接 入 方 式 介绍 . 8 2 / 27 县政府政务专网接入方式选择 . 9 县 各 乡 镇 政 务 专 网 接 入 方 式 选择 . 10 政 府 各 部 门 政 务 专 网 接 入 方 式 选择 . 11 四、县政府政务内网网络结构 . 13 政 务 内 网 拓 扑图 . 13 服 务 器 部署 . 15 五 、 网 络 安 全 设计 . 17 网 络 安 全 需 求 分析 . 17 常 用 安 全 解 决 技术 . 21 六 、 县 政 府 办 公 自 动 化 系统 . 错误！未定义书签。 建设要求 . 错3 / 27 误！未定义书签。 建设目标 . 错误！未定义书签。 平台建设 . 错误！未定义书签。 系统特点 . 错误！未定义书签。 系统功能说明 . 错误！未定义书签。 七 、 县 政 府 信 息 报 送 系统 . 错误！未定义书签。 开发目的 . 错误！未定义书签。 系统功能 . 错误！未定义书签。 八 、 中 心 机 房 建设 . 28 机房建设方案的指导思想 . 28 地面处理 . 4 / 27 28 吊顶处理 . 29 照明系统 . 29 门窗设计 . 29 墙壁处理 . 30 机房供电设计 . 30 第二部分：县政府礼堂音响系统设计方案 . 错误！未定义书签。 一 、 音 响 系 统 概述 . 错误！未定义书签。 二、设计依据 . 错误！未定义书签。 5 / 27 三 、 音 响 工 程 系 统 设 计 流程 . 错误！未定义书签。 四 、 音 响 设 备 选 型 依据 . 错误！未定义书签。 五 、 系 统 的 组 成 及 功 能 介绍 . 错误！未定义书 签。 系统组成 . 错误！未定义书签。 系统功能介绍 . 错误！未定义书签。 设备连接图 . 错误！未定义书签。 礼堂会议设备布局平面图 . 错误！未定义书签。 灯光系统建议 . 错误！未定 义书签。 六、县政府礼堂装修注意事项 . 错误！未定义书签。 第三部分：售后服务及培训计划 . 错误！未定义书签。 一、售后服务 . 错误！未定义6 / 27 书签。 质量方针 . 错误！未定义书签。 服务范围 . 错误！未定义书签。 保修条款 . 错误！未定义书签。 故障等级与响应时间 . 错误！未定义书签。 维护支持中心联系资料 . 错误！未定义书签。 二、培训计划 . 错误！未定义书签。 培训目的 . 错误！未定义书签。 培训目标 . 错误！未定义书签。 培训资料 . 错误！未定义书签。 培训内容 . 错误！未定义书签。 7 / 27 县政府政务专网建设方案 一、 概述 电子政务是政府服务于百姓的一个工具，使得政府更好、更快、高效、高质量 的为社会大众服务，为机构服务。政府信息化是一种新事物，它不仅仅代表着先进的技术，而且也代表着一种新思想、新思维。透明、高效、廉洁、理性、负责任是对政府的普遍要求，为了适应市场经济和经济全球化的新环境提高政府对外部时间的响应速度，就必须调整政府的管理模式，广泛采用信息化技术，加速政府信息化进程。 甘肃省政务专网是面向全省各级政务部门和有关单位的办公业务专网，由省、市、县政务骨干网和各级政务部门局域网或终端组成，是实现信息共享和交换的基础平台，主要满足各级政务部门内部办公、管理、协调、监督和决策的需 要。 甘肃省政务专网采用了高端路由器，大容量光纤传输通道、 MPLS VPN 和 VPLS 技术保障网络的安全性、可靠性和服务质量等级。目前，甘肃省政务骨干网已覆盖全省 14个市州、 86 个县区市、 1078 个 乡 镇 ， 可 以 提 供155M/100M/10M/2M/ADSL 等接入方式。 县政府要接入甘肃省政务专网，必须首先建设自己的政务内网，然后才能根据自己的实际情况选择合适的接入方式接入政务专网骨干网。随着甘肃省人民政府办公厅8 / 27 关于加快建设甘肃省政务专网的通知，县政府政务网建设已迫在眉睫，县政 府原有的办公环境及应用系统远远不能满足政务专网建设的需求，必须进行全面建设。 二、建设原则、依据和总体目标 建设原则 ? 充分考虑县政府政务网现有的需求和将来的发展。 ? 技术上要体现实用性、先进性和成熟性。 大客户专网设计方案 一、专网用户的需求 1.大客户专网系统对网络的总体要求 整个网络采用开放式、标准化的结构，以利于功能的扩充和升级；通过与广域网的连接，提供和享用各种信息服务； 具 有较完善的网络安全机制； 与原大客户计算机局域网络平滑连接，尽可能不改变原内部局域网。 2.网络结构的划分 大客户专网建议分为以下三部分： 建设内部的办公业务网； 建设与内网有条件互联以及实现各级信息共享的办公业务资源网，不同的地理位置之间能互联； 9 / 27 以因特网为依托的公众信息网。 二、常用的几种接入方式 1.光纤 光纤的通信距离较长，单模光纤在不加中继的情况下可传输 50km 以上，因此用它来连接大 楼之间的网络以及节点间距离较长的网络就比较适用。光纤的这种特点决定了它特别适用于不同地理位置之间的骨干连接。由于光纤和光缆自身的强度不高，容易受损或折断，因此对施工架设的要求较高，为确保光纤能长期稳定地运行，在城市中最好能采用地下管道埋设的方式，从而使光纤的使用更加安全可靠。 2.宽带城域网及 VPN 技术 宽带城域网是以光纤网为基础、以 TCP/IP 为主建立起来的城市范围内的互联网，因此它具有光纤网络的所有特点，同时城域网中由于附加了相应的交换和路由设备，这使得用户能很容易地在此基础上完 成网络构建。宽带城域网在接入部分均采用星形拓扑结构，网络可扩展性强，而且易于实现平滑升级。在宽带城域网上，用户还可以通过运用 IP隧道的方式来实现虚拟专用网。这一方面使用户能享受到价格低廉的公用网设施，另一方面又能在逻辑上组建自己的专用网络，满足对安全性、可靠性的较高要求。 在大客户专网之间采取此种方式互联，既可以保证线路拥有光纤的传输质量，同时又可降低相应费用。 10 / 27 ADSL 是 DSL 的一种非对称版本，它利用数字编码技术从现有铜质电话线上获取更大的数据传输容量 ,同时又不干扰在同 一条线上进行的常规话音业务。 ADSL 理论上能够向终端用户提供 8Mbit/s 的下行传输速率和 1Mbit/s 的上行传输速率。 ADSL 这种接入方式比较适用于网络中用户对带宽需求较高，通信量较大而光纤短期内无法到位的地方。 DDN 技术是利用数字信道提供永久或半永久电路 ,以传输数字信号为主的数字通信网络。其最具吸引力的优点是传输时延短 ,支持语音、图像等多媒体业务 ,目前在金融系统中应用最为广泛 ,是一种较为成熟的技术。目前常用的点对点 DDN 专线的速率范围为 64kbit/s 2Mbit/s。这种接入方式优点十分明显，那就是安全可靠，因为对用户来说，相当于租用了一条直达电路。这对于网络中对带宽要求相对较低同时对安全性要求较高的企业是比较合适的。 ISDN 是基于公用电话网的数字网络 ,它能利用普通的电话线双向传送高速数字信号 ,实现全程数字化通信 ,并可承载多项通信业务。在网络中 ,ISDN 较适用于对网络速度要求在 128kbit/s 以下，并且每天联网时间不长的单位和部11 / 27 门，也可用做日常的备份电路，使 ISDN 可以在很好地满足这部分用户需求的情况下，尽可能地节约通信费用。 6.电话拨号 和其它的接入方式相比，电话拨号的最大优势在于费用最低。目前，电话网的普及率和覆盖率很高，但受到电话模拟线路本身技术的限制，其可提供的连接速率较低，通信质量容易受到影响，不能提供高品质的连接信道。在专网的建设上 ,对一些需移动办公的部门及一些需临时办公的场合可使用电话拨号上网。 三、网络安全性设计 在安全方面有一个最基本的原则是系统的安全性与它被暴露的程度成反比。因此，建议从以下几方面加强网络的安全性。 1.网络传输通道的安全性 在组建大客户专网的过程中，除了要考虑选用最合适的接入方式外，选用何种传输通道也是保证用户的高可靠、高安全性的必要条件。如线路铺设是否走管道，光纤网络设计时是否考虑了自愈环保护、是否设置了备用通道等等，这些在网络建成后都将直接影响网络的运行质量和安全性。 2.服务器的安全性 在专网的建设中，除了在网络建设中加入安全性策12 / 27 略以外，在服务器一级也要相应地进行安全管理，如为了保证系统的高可靠和高安全性，对其中重要的设备应加入相应的硬件冗余保护，如电源、硬盘等，同时为了保证数据的安全性，应考虑进行 异地数据备份等措施。 3.对内部网络和外部网络进行物理隔离 将对外信息发布的服务器与内部应用服务器隔离，将数据库和内部应用系统封闭在系统内部，以增加系统的安全性。针对需建设对外开放网站的要求，这些网站必将联入Internet 网络，为防止这部分网络影响整个专网的安全运行，建议建立一个专用的数据中心 IDC，单独管理和规划，与内部网从物理上分离开。 4.专网内部各系统网络之间实现逻辑隔离 建议采用网段分离技术，把整个专网上相互间没有直接关系的系统分布在不同的网段，由 于各网段间不能直接互访，从而减少各系统被正面攻击的机会。 5.专网与互联网之间的隔离 随着互联网的发展，用户专网与之相连是必然的趋势，但互联网因其开放性的特征，安全性往往得不到保证，因此在专网和互联网之间必须加设防火墙加以保护。通过使用防火墙技术，一方面可以将各种非法 IP、非法连接阻挡在网络之外，同时，网络的管理者也可以通过对防火墙安全策略的选择来决定内部网中哪些部分可与外界互联，从而实现13 / 27 相应的内部网络管理。 6.对专网中要求高安全性的部分独立组网 大客户专网 对保密性的要求很高，可以考虑单独组网。例如在骨干一级采用光纤，汇接一级采取 DDN 专线方式等。这样组成的专网，与公众网完全分离，也就不存在网络安全性的问题了。 7.对专网中要求高安全性的部分建立虚拟专用网VPN 组建物理上的专网，其性能、安全性无疑是最好的，但其费用也是比较昂贵的。现在可以通过虚拟专用网技术VPN 在公众网上实现逻辑上的独立组网。这一方面降低了组网费用，包括各种软硬件的投资、各种维护和管理的建设等，另一方面也避免了用户因缺少相应的管理手段和管理技术而不能有效地保证网络的运 行。 四、组网方案 1.专网内部网络建设 结合大客户专网各种不同的特点和要求，可将大客户专网划分为骨干网、汇聚网、接入网三个层次，具体组网方式如下。 方案一：将整个大客户专网设成物理上独立的专网，不经过任何公众网。 骨干网：对带宽和安全性的要求都是最高的，因14 / 27 此建议使用光纤互联。 汇聚网：对网络带宽和安全性的要求相对较小，因此建议使用 DDN 专线方式。 接入网：数目较为庞大，覆盖的区域广阔，对网络带宽和安全性的要求也最低。建 议采用 ADSL、 ISDN、普通拨号等方式，以便在满足系统需要的前提下尽可能地节省费用。 这种方案无论在性能还是安全可靠性上无疑都是最优的，但它需要用户自己进行整个网络的建设，包括各种软硬件的投资、各种维护和管理的建设等。这一方面使投资加大，更主要的是用户必须拥有一套高素质的网络维护和管理系统，才能有效地保证网络的正常运行。 方案二：利用已建成的电信宽带城域网，运用虚拟专用网 VPN 技术实现逻辑上的专网。目前各地电信的宽带城域网已颇具规模，随着用户的不断扩展，电信的宽带网络建设将会进一步 覆盖到各个角落。同时为了满足大客户对高可靠性和高保密性电路的需求，不少电信公司还建立了针对重要大客户的宽带 VPN 专网。因此将宽带城域网作为大客户专网的网络平台是完全适合的。 骨干网：对安全性的要求较高，故建议直接接入针对重要大客户的宽带 VPN 专网，采用 MPLSVPN 技术实现互联，或采取 IP 隧道技术在电信宽带城域网上实现虚拟专用15 / 27 网 VPN。 汇接网：对安全性和速率要求相对较低，在条件已具备的地区也可直接使用宽带城域网的 VPN 技术连入，对于还不具备条件的地区建议采用普通拨号、 ISDN、 ADSL 来实现与专网的互联。 接入网：用户数量多、覆盖面广，建议采用普通拨号、 ISDN、 ADSL 来实现与大客户专网的互联。 这一方案具有如下优势： 建网快速方便； 降低建网投资； 节约使用成本； 网络安全可靠； 简化用户对网络的维护及管理工作。 2.专网与互联网的连接 考虑到安全性和可靠性，大客户专网与互联网的连接建议采用一个网关来实现。也就是说专网中只有一个出口通过防火墙与互联网相连，从安 全角度考虑也可再设一个出口做冗余备份。具体方式可采用光纤直接连入宽带城域网，也可采用 DDN 专线直接连入 CHINANET。这种方式一方面较为安全，可以通过对防火墙的设置阻挡各种非法 IP；另一方面也可以通过对内网中各部门谁可以上网、谁不能上网、能上网的权限又是什么等安全策略的考虑来对专网内部进行综合16 / 27 管理，从内部减少安全隐患。 五、结束语 目前不少大客户单位对专网的建设还处于初步规划、论证的阶段，许多需求均不明确，因此本方案主要是从技术的角度，尽可能多地向用户介绍网络和接入方式的现状，以便给用户更多的选择，待用户明确其具体需求后，应按要求进一步细化上述方案，以便提供更好的服务。 V P N 项 目 建 设 方 案 目 录 1. 概述 . 4 2. 网 络 物 理 规17 / 27 划 . 5 网 络 拓 朴图 . 5 专 网 全 网 拓 扑图 . 5 二 级 节 点 拓 扑图 . 6 设 备 命名 . 6 命 名 规则 .18 / 27 . 6 专 网 主 要 设 备 命 名 一 览表 . 9 专 网 设 备 及 线 缆 标 签表 . . 11 设 备 物 理 位置 . 16 中 心 节 点 设 备 物 理 位置 . 16 二 级 节 点 设 备 物 理 位置 . 17 设备连接 . 17 19 / 27 中 心 节 点 设 备 连接 . 17 二 级 节 点 设 备 连接 . 18 3. 网 络 逻 辑 规划 . 18 IP 地址规划 . 18 中 心 节 点 IP 地 址 设置 . 19 二 级 节 点 IP 地 址 设置 . 21 20 / 27 4. 安装部署 . 1 中 心 节 点 安 装 部署 . 1 VPN 网 关 设置 . 1 服 务 器 区 交 换 机 设置 . 1 服 务 器 设置 . 1 门 户 网 站 服 务 器 设置 . 1 21 / 27 邮 件 及 域 名 服 务 器 设置 . 1 防 病 毒 软 件 服 务 器 设置 . 1 网 管 软 件 服 务 器 设置 . 1 文 件 传 输 服 务 器 设置 . 1 二 级 节 点 安 装 部署 . 2 二 级 节 点 网 络 实 施 方法 . 2 二 级 网 关 设 置 手册 .22 / 27 . 2 二 级 节 点 网 络 技 术 参 数表 . 4 二 级 节 点 VPN 隧 道 一 览表 . 10 二 级 节 点 VPN 网 关 登 陆 口 令表 . 11 二 级 节 点 VPN 网 关 序 列 号 一 览表 . 12 专 网 二 级 节 点 新 增 用 户 数 许 可 一 览表 . 13 VRC 客 户 端 密 钥 制 作 及 使用 . 14 VRC 客 户 端 密 钥 制 作 方法 . 14 23 / 27 VRC 客 户 端 密 钥 使 用 方法 . 14 5. 项目实施 . 16 任 务 分 解 与 进 度 安排 . 16 项 目 团 队 成 员 构 成 及 职责 . 18 安 装 调 试 工 具 的 配备 . 19 安 装 实 施 流程 . 19 24 / 27 6. 测试验收 . 21 VPN 设 备 硬 件 测试 . 21 VPN 设 备 系 统 测试 . 22 VPN 设 备 基 本 信 息 测试 . 22 VPN 设 备 包 过 滤 功 能 测试 . 22 通 信 协 议 支 持 测试 . 23 25 / 27 网 络 资 源 访 问 测试 . 23 全 网 的 系 统 测 试 与 系 统 验收 . 23 附件一：中心 节 点 硬 件 设 备 及 软 件 登 记表 . 错误！未定义书签。 附件二：中心节点局域网接入终端登记表 . 错 误 ！ 未 定 义 书 签 。 附 件 三 ： 中 心 节 点 密 钥 登 记表 . 错误！未定义书签。 附件四：二级 节 点 密 钥 登 记表 . 错误！未定义书签。 附件五：二级 节 点 VPN 网 关 安 装 实 物图 . 错误！未定义书签。 1.