计算机网络系统平台设计方案.doc

计算机网络系统平台设计方案计算机网络系统平台设计方案必须建立在用户、应用软件等对网络平台的需求之上。只有真正理解了对网络系统平台的要求，我们才能设计出符合合肥市新站区管委会网络系统实际的、先进性与实用性同时兼顾的方案来。根据我们对现场的实地调研、以及我们多年建设信息系统的经验，我们下面从网络系统、主机系统、系统安全三方面阐述整个网络系统平台的基本需求分析。一、网络系统需求分析网络系统是信息系统的基础设施。网络设计时应充分考虑系统的实用、稳定、开放、先进、扩展、安全和经济性以及使用和维护的方便。网络主干采用国际或国内先进成熟的网络技术，桌面采用快速交换以太网方式技术。网络系统需求可以归纳如下：1) 高速率：网络系统具有强大的核心层，内部主干达到1G速率，到桌面速率达到100M，保证应用得到及时的处理。2) 高容错性：为了保证系统稳定运行，核心网络设备端口和通道有冗余。3) 互联性：采用TCP/IP协议作为合肥市新站区管委会局域网的技术基础架构。4) 高安全性：由于合肥市新站区管委会局域网络是开发区的数据中心，各外联单位可通过VPN节点连接到合肥市新站区管委会网络，要防止外来非法用户入侵本系统，或防止外来用户对系统的破坏，因而必须具备高安全性。二、 主机系统需求分析目前合肥市新站区管委会的业务系统主要有内外网WEB、OA、MAIL、FTP服务器，用户访问量的不断增加服务器。需求如下：一） WEB、FTP应用服务器需求u 能够提供用于WEB、FTP应用系统使用。u 不仅要求稳定性高，还要考虑到随着业务需求的不断增加，越来越多的客户会不断加入。u 支持Windows/Linux等多操作系统。二） OA、mail 系统服务器需求u 具有较高的运算能力。u 可承受每天百万次的访问量。u 具有高可用性解决方案。u 具有较强的扩展能力。u 采用双机工作模式。u 支持Windows/Linux等多操作系统。u 需要存储客户数据、客户业务办公数据，能够满足724小时关键业务应用，具有在线扩展能力和高速数据吞吐。三、系统安全需求分析（一）防火墙需求防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。据有关数据统计，防火墙的加设会使整个网络的安全风险降低90%。防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。同时防火墙具有很强的记录日志的功能，可以对您所要求的策略来记录所有不安全的访问行为。（二）安全管理需求“三分技术,七分管理”是网络安全领域的一句至理名言，在安全业界，安全重在管理的观念已被广泛接受，因此，对用户安全策略、安全制度等问题的建议也应当作为安全解决方案的重要组成部分。通过加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系能够被有效的使用。 （三）安全总体目标基于以上的需求分析，投标方案的安全网络系统应可以实现以下安全目标：1建立一套完整可行的网络安全与网络管理策略并加强培训，提高全体人员的安全意识及反黑技术。2加强物理安全防护，特别是采取措施防止涉密的信息通过电磁辐射的方式泄露。3利用防火墙实现内外网及不信任域之间的隔离与访问控制。4通过主机防火墙、防病毒、安全存储、来保证个人主机或重要服务器的网络安全防护。（四）建设目标合肥市新站区管委会的网络建设总体目标是建设一个目前基于传输数据、确保将来传输语音、视频、图像等信息的可升级、具有较大容量高速传输能力、有稳定可靠的质量保证的信息化综合网络。具体建设目标如下：1、架构高速的网络通道，组建一个延时小、响应速度快、传输效率高、信息吞吐量大、高可用的综合应用网络，满足数据集中要求，具备业务可扩展能力。2、建立多应用统一的网络平台，为目前和今后的业务与管理等不同应用系统提供统一的多功能的网络支撑环境。3、建立具有超前性、先进性与可扩展性的网络体系，为新站开发区的网络提供持续发展前景。4、建立规范化、标准化的安全体系，为全网提供安全可靠的安全运行机制。注意避免出现“瓶颈”效应，保证网络7x24小时可靠运行。5、建立统一的网络管理平台，应用高效科学的网络管理技术，实时监控网络运行情况，提高网络管理水平。6、采用TCP/IP网络协议，UNIX或Windows NT操作系统和Client/Server、Intranet体系结构。根据以上总体目标，网络设计应满足高性能、高可用性、可管理性、安全性等需求和原则，同时，选择的设备应具有可扩展性、开放性、先进性、成熟性等特征。四、技术方案要求（一）网络系统设计合肥市新站区管委会的计算机网络系统由内外网合一，通过专线连入合肥市电子政务专网，由合肥市电子政务平台提供互联网统一出口，同时新站区管委会另有一条10M电信宽带线路可提供公网入口。由于此次改造需要能够使本区工作人员能够在外网正常使用内网OA办公系统，故需要能够为外部网络提供VPN拨号通道，办公大楼部分采用星形拓扑结构交换式千兆以太网技术。（二）拓扑结构设计根据国家电子政务的总体设计思想，鉴于合肥市新站区管委会应用需求及其信息安全等特殊要求性。网络应采用逐层保护的指导原则，利用宽带IP技术，保证网络的互联互通，提供具有一定的QOS保障，建成的网络以IP为主流技术。在物理网络结构的设计上采用的拓扑结构划分为核心层和接入层。（三）网络方案描述 投标方案应设计网络的核心交换机应采用2台核心交换机，2台核心交换机采用vrrp+vllp备份理由技术实现双机冗余，确保网络7*24小时不间断。网络运行正常情况下内网的主机是A机、备机是B机，外网的主机是B机、备机是A机，任意一台交换机出现故障，A机与B机自动切换。接入层交换机采用24口百兆2口千兆电口系列实现千兆电口双链路上联，百兆到桌面。网络设计需要有高度的扩展性和可靠性，能够满足现有和未来业务的发展需要。内网出口与电子政务专网连接，作为内网的边界安全防护，实现与市政府各委办局的网络进行互联。外网出口采用一台百兆带VPN接入的防火墙与互联网连接，作为外网的边界安全防护，实现与国际互联网进行互联，并可以利用VPN技术实现外部OA远程办公。由于存在电子政务专线和电信10M光纤，本系统架构出现两个互联网出口（一个电信、一个电子政务专网），应在核心交换机采用路由优先级策略，决定大楼内部网络访问使用哪种出口。由于服务器大部分采用的是单网卡设计，要保证核心交换机的冗余配备，应采用增加一台全千兆二层交换机作为DMZ去服务器群的汇聚交换机，该交换机双链路上联于千兆防火墙设备，保证服务器区域高速稳定运转，同时在此部署一台千兆高端防火墙设备，解决授权部分合法的内网用户访问不同的服务器资源，不合法的用户不容许访问相关的服务器资源。区委会下属单位，由于是单链路链接，建议采用一台全千兆高性能智能三层交换机作为外派单位的接入平台，该设备双链路上联于两台核心交换机。网络总体拓扑结构图规划如下：（四）系统安全设计一）防火墙系统防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合理布局，形成多级的纵深防御体系。通过在网络边界处部署并正确配置防火墙，可以解决以下安全问题：l 保护脆弱的服务通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁。l 控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Web和FTP服务器。l 集中的安全管理防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在防火墙可以定义不同的用户，而不需在每台机器上分别安装特定的认证软件。内部用户也只需要经过口令认证即可通过透明代理访问外部网。l 保护网络拓扑使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS等。l 记录和统计网络日志防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从防火墙或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析。二）核心交换机l 整机模块化设计，关键部件均能提供冗余；l 具有较高的交换容量和转发性能，能够保证设备长期稳定、高效的运行；l 通过自身具备的安全防护技术能够增强设备对网络安全事件的防御能力；l 面向10G平台设计，支持IPV6金牌认证和电信入网认证。三）汇聚接入交换机：l 能够提供24口的百兆用户接入和2个千兆光纤复用接口；l 具有较高的交换容量和转发性能，能够满足直接用户接入的性能需求；l 自身具备较好的抗攻击能力和安全防护能力；l 支持网络准入控制安全框架。l 支持标准的SNMP网络管理协议。四）网络管理系统：l 能够对全网网络设备进行统一的配置和管理；l 提供拓扑自动发现功能；l 具备人性化界面。五、采购清单此清单中所列参考品牌仅供参考，投标方应以设备参数为主要依据，进行响应投标。序号名称说明单位数量一、网络设备1核心交换机参考品牌（cisco、ZTE、lenovo）三层路由机箱式交换机，槽位数6,其中业务槽位数5，电源数量最大支持3，背板带宽1.7Tbps，交换容量960Gbps，、三层包转发速率655Mpps，路由表容量256K，MAC地址64K,VLAN划分：支持基于端口、802.1q、协议、MAC和IP的VLAN划分,双标记VLAN、SuperVlan、PVLAN生成树协议：支持802.1d、802.1s、802.1w路由协议支持：静态路由、RIPv1 2、OSPF、IS-IS、BGP,支持路由负载均衡 ，支持VRRP等路由冗余协议，支持二层的STP、VLLP、EAPS环路保护协议 ACL：提供L2/3/4流规则过滤；支持基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号的灵活组合的硬件ACL，ACL=1K二层组播：IGMP（静态组播）、IGMP Snooping,三层组播：IGMP、PIM SM/SSM/DM、DVMRP管理方式：支持CLI、telnet、Web-base、SNMPv1 2 3提供IPV6 R2金牌认证证书和电信入网证书（需要厂家盖章）提供原厂项目原件授权函和三年售后服务承诺函。套2交换引擎模块 2千兆电口24 其中 千兆光口12 （COMBO）2交换机电源(AC)4接入交换机2接入交换机参考品牌（cisco、ZTE、lenovo）端口配置：24个10/100M以太网电口，2个10/100/1000M电口，2个千兆SFP复用光口. 交换背板带宽19Gbps包转发率12.8Mpps Mpps，4k个VLAN，8K MAC地址支持端口最小带宽限值为64kbps，带宽粒度为64kbps。支持端口镜像，任一端口经设定监控另一端口的运行状况；支持802.1x认证（基于MAC）；支持Radius Client具有扩散控制(Flood Control)、广播风暴控制支持通过ACL进行对交换机本身的访问控制支持手工设置和自动学习MAC地址两种方式。支持MAC地址绑定。支持广播风暴抑制功能，触发抑制功能的广播数据包阈值可从0到10Mbps。支持支持超长距离网线传输功能。100M速率可以传送140米。支持用户分级管理支持SNMP、Telnet、和Console管理支持私有VLAN，保护VLAN，协议VLAN对于非法包访问交换机以及大流量数据包攻击CPU有非常严格的控制台103DMZ区交换机参考品牌（cisco、ZTE、lenovo）24个10/100/1000M RJ-45自适应端口，2个SFP 1000M 光接口（COMBO）;背板带宽64Gbps,包转发率38.68Mpps，MAC地址表8K，支持全线速转发。支持服务质量(QoS) ，支持高层（L2L4）流分类和等级划分；支持SNMP，Telnet，RMON，CLI，通用网管协议。网络安全支持IEEE 802.1x，支持802.1x认证、基于端口的访问控制、IP+MAC+PORT绑定，支持CPU保护功能。台14接入交换机参考品牌（cisco、ZTE、lenovo）端口配置：12个SFP千兆光纤端口(combo)、12个10/100/1000Base-T端口、1个万兆扩展插槽。三层路由交换机，交换容量210Gbps 包转发率80Mpps，MAC地址表16K，支持CPU保护功能IPV6: ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、BGP4+、IS-ISv6、NAT-PT、TCP/UDP for ipv6、SOCKET for ipv6、手工隧道、ISATAP、6to4、隧道静态路由、等价路由、策略路由ARP安全特性:支持手动绑定、支持自动绑定、支持ARP锁定、DHCP-snoopin网络管理：支持 SNMP、Telnet、Web、串口等标准网络管理ACL特性：支持标准ACL、扩展ACL。环路保护：支持VRRP二层环路保护技术提供IPV6金牌入网证书和电信入网证书（需要厂家盖章）台1网络管理系统5网络管理软件50个点 支持自动拓扑发现和远程管理，提供计算机软件著作权登记证书(原厂盖章)。（要求和网络设备统一品牌）套1二、防火墙设备6防火墙参考品牌（Cisco、lenovo、Topsec）机架式、模块化结构主机；最大配置为8个接口；包括1个可插拔的扩展槽。整机吞吐量800M；最大并发连接数120万；MTBF8万小时，每秒新建连接数 100000；IPSECVPN隧道数100；加密数度35M;8个10/100BASE-T接口；系统采用多种可靠性设计：冗余电源、VRRP、基于状态的热备份；支持虚拟防火墙技术；支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志；支持静态路由、RIP v1/2、OSPF、BGP、策略路由等；支持应用层过滤，必须支持Java Blocking、ActiveX 过滤；能够防范DOS/DDOS攻击；支持网管软件统一网管。采用统一的、自主版权的双TOS系统（两个操作系统：主系统和备份系统）；支持IPSEC VPN及SSLVPN，支持防病毒等功能，支持防火墙的双机备份，并通过防火墙自身的负载均衡，提高防火墙在高带宽的网络环境中的有效性能，采用基于操作系统内核的会话检测技术（核检测）；具有透明应用代理功能；支支持众多网络通信协议和应用协议，保证用户的网络应用，方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。防火墙具有抓包功能，可以快速定位网络故障，可以把经过其的数据包保存下来，以网络分析工具打开分析。可以很好的控制QQ/BT等应用，具有双操作系统，软件故障降低一半。支持设备：防火强、VPN、IDS、IPS、过滤网关、UTM、OS、网络设备、应用服务等。产品资质：销售许可证（公安部）、产品型号证书（国家测评中心）、涉密信息系统产品检测证书（国家保密局）、军用信息安全产品认证证书（军队测评中心）、信息技术产品自主原创测评证书、提供生产厂商开具的3年原厂商软硬件免费维修升级服务承诺证明文件（原件）。台1防火墙参考品牌（Cisco、lenovo、Topsec）机架式、模块化结构主机；最大配置为12个接口；包括1个可插拔的扩展槽。整机吞吐量2G；最大并发连接数180万；MTBF8万小时，每秒新建连接数 100000；4个10/100/1000BASE-T接口；支持SFP接口插槽，系统采用多种可靠性设计：冗余电源、VRRP、基于状态的热备份；支持虚拟防火墙技术；支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志；支持静态路由、RIP v1/2、OSPF、BGP、策略路由等；支持应用层过滤，必须支持Java Blocking、ActiveX 过滤；能够防范DOS/DDOS攻击；支持网管软件统一网管。采用统一的、自主版权的双TOS系统（两个操作系统：主系统和备份系统）；支持IPSEC VPN及SSLVPN，支持防病毒等功能，支持防火墙的双机备份，并通过防火墙自身的负载均衡，提高防火墙在高带宽的网络环境中的有效性能，采用基于操作系统内核的会话检测技术（核检测）；具有透明应用代理功能；支支持众多网络通信协议和应用协议，保证用户的网络应用，方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。防火墙具有抓包功能，可以快速定位网络故障，可以把经过其的数据包保存下来，以网络分析工具打开分析。可以很好的控制QQ/BT等应用，具有双操作系统，软件故障降低一半。支持设备：防火强、VPN、IDS、IPS、过滤网关、UTM、OS、网络设备