XXX政府综合办公楼计算机网络系统设计方案-A4通用版

XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 64 安徽 中杰 信息科技有限公司 XXXX 政府综合办公楼政府综合办公楼 智能化系统工程智能化系统工程 验验 收收 文文 档档 安徽中杰信息科技有限公司安徽中杰信息科技有限公司 Xx 年年 XX 月月 XX 日日 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 1 安徽 中杰 信息科技有限公司 目目 录录 第一部分第一部分 系统详细设计方案系统详细设计方案 4 4 第一节第一节 计算机网络系统设计方案计算机网络系统设计方案.5 1 1、 系统概述 .5 2 2、 需求分析 .5 3 3、 设计依据 .9 4 4、 产品选型 .9 5 5、 系统设计方案 .10 6 6、 系统设备清单 .31 7 7、 主要产品参数 .31 第二部分第二部分 安装调试方案安装调试方案4141 第一节第一节 IP 地址及地址及 VLAN 规划规划.41 1 1、 IP 地址分配基本原则.41 2 2、 IP 地址规划.41 3 3、 VLAN 的规划.42 第二节第二节 生成树的设计生成树的设计.42 第三节第三节 设备安装设计设备安装设计.43 1 1、 核心交换的安装地点.44 2 2、 接入交换机安装地点.44 3 3、 S7503E 的安装.44 4 4、 S7506E 的安装.44 第四节第四节 设备命名及地址分配设备命名及地址分配.45 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 2 安徽 中杰 信息科技有限公司 1 1、 设备命名 .45 2 2、 线缆标签规则 .45 3 3、 设备地址分配 .45 第五节第五节 NTP 网络时间同步管理网络时间同步管理.46 第六节第六节 路由协议规划路由协议规划.47 1 1、 路由协议安全管理 .48 2 2、 VRRP（虚拟路由器冗余协议）.48 3 3、 IP 源路由选项开关 .50 4 4、 重定向开关.50 5 5、 定向广播报文转发开关 .50 6 6、 ICMP 协议的功能开关 .51 第七节第七节 设备安装要求建议设备安装要求建议.51 1 1、 机房要求 .51 2 2、 防静电要求.52 3 3、 抗干扰要求.52 4 4、 接地要求 .53 5 5、 供电要求 .53 第八节第八节 系统安装系统安装.54 1 1、 安装前准备.54 2 2、 安装报告 .58 3 3、 配置指导书.60 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 3 安徽 中杰 信息科技有限公司 第九节第九节 系统测试与验收方案系统测试与验收方案.65 1 1、 测试方案 .65 2 2、 系统初验 .72 3 3、 系统试运行.72 4 4、 系统终验 .72 5 5、 系统维护 .73 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 4 安徽 中杰 信息科技有限公司 第一部分第一部分 系统详细设计方案系统详细设计方案 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 5 安徽 中杰 信息科技有限公司 第第 1 节节 计算机网络系统设计方案计算机网络系统设计方案 1 1、系统概述系统概述 XX 政府简介 XX 政府（以下简称贵单位）信息化建设的基础是计算机网络系统建设，建 设面向未来的信息化平台是贵单位的必经之路。贵单位综合办公楼计算机网络 系统建设包括 2 套网络：内网、外网，两套网物理隔离。内网包括贵单位的内 部局域网、电子政务内网、贵单位与上下级单位的互联内网（该三套网之间逻 辑隔离） ，总计涉及 289 个数据信息点的局域网接入；外网包括电子政务外网、 互联网（该两套网之间逻辑隔离） ，总计涉及 294 个数据信息点的局域网接入。 计算机网络系统是贵单位重要的信息基础设施，是贵单位对公众政务信息 公开、对内统一办公、公文流转的基石。作为信息系统的支撑，网络系统设计 质量优劣直接决定了整个信息系统的成败。 2 2、需求分析需求分析 2.12.1 总体需求 计算机网络系统是贵单位信息系统的重要组成部分，因此计算机网络系统 要求具备高效性与可靠性。计算机网络系统设备选型及设计方案必须具备先进 性，可扩展性，能适应贵单位信息化发展的需求。 本次计算机网络系统设计方案将满足贵单位综合办公楼的网络建设需要， 该系统将与贵单位现有的计算机网络系统无缝连接，与现有网络完全兼容，实 现系统的统一管理。 具体来说，本次计算机网络系统总体需求如下： 综合办公楼的计算机网络系统建设需求 内、外网的服务器系统建设，内、外网数据集中存储、外网重要数据 的备份需求 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 6 安徽 中杰 信息科技有限公司 实现与现有网络的融合，满足贵单位管理的需要； 具体需求如下： 2.22.2 网络系统需求 2.2.1 网络配置需求 根据本项目综合布线系统设计，网络系统分为 2 套网：内网、外网，该 2 套网之间物理隔离；具体如下： 内网：含内部局域网、电子政务内网、贵单位与上下级单位的互联内 网，三套网之间逻辑隔离，涉及 289 个数据信息点的局域网接入。核心机房在 3 楼的内网中心机房。综合办公楼内弱电间通过千兆多模光纤汇聚至 3 楼的内 网中心机房。综合办公楼内弱电间至桌面是千兆铜缆； 外网：包括政务外网、互联网，该 2 套网之间逻辑隔离；涉及 294 个 数据信息点的局域网接入，核心机房在 3 楼的外网中心机房。综合办公楼内弱 电间通过千兆多模光纤汇聚至 3 楼的外网中心机房。 。各弱电间至桌面是千兆铜 缆。 综合布线系统主要采用 6 类非屏蔽双绞线。弱电间与核心机房间设计有多 模光纤。 网络配置方案需满足上述综合布线设计的各类信息点和不同网络线路的接 入需要。 2.2.2 网络性能需求 为满足贵单位信息应用系统的高速运行需要，本项目计算机网络系统的设 计基础网络须达到千兆接入，千兆上行。未来可以升级至千兆接入，万兆上行。 2.2.3 网络可靠性需求 贵单位综合办公楼项目信息化的稳定运行依赖于其网络平台的健壮性 作为信息化系统的基础设施，网络系统的可靠性显得非常重要，一旦网络 意外中断，各类相关业务将无法正常开展。因此必须确保网络系统的可靠性。 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 7 安徽 中杰 信息科技有限公司 2.2.4 网络服务质量需求 随着网络的发展日新月异，IP 融合是大势所趋，网络上数据、语音、视讯 等新应用的不断出现，对网络的服务质量也提出了新的要求。例如 VoIP 等实时 业务就对报文的传输延迟有较高要求，如果报文传送延时太长，将是用户所不 能接受的（相对而言，E-Mail 和 FTP 业务对时间延迟并不敏感） 。为了支持具 有不同服务需求的语音、视频以及数据等业务，要求网络能够区分出不同的通 信，进而为之提供相应的服务。 因此，网络系统设计中，必须考虑支持多种 QoS（Quality of Service， 服务质量）技术，以满足未来贵单位多种 IP 应用对服务质量的要求。 2.2.5 网络安全需求 如今，信息安全已经成为各行各业最重视的信息化建设关注点。信息安全 问题日益突出，病毒泛滥、系统漏洞、黑客攻击等诸多问题，将会直接影响贵 单位网络的稳定运行、威胁其相关业务的正常运行。如何应对信息安全威胁， 确保其信息系统的安全稳定运行，已经是必须关注的问题。 网络系统设计中，将重点关注各类网络设备的安全防范能力，确保网络基 础设施的安全。其具体需求主要包括： 实现安全域划分，并在此基础上实现安全、可控的逻辑隔离； 保护 WEB 网站不会因来自互联网拒绝服务攻击而瘫痪； 对进出各安全域的信息和数据进行严格的控制，防止对安全域的非法 访问； 对于各个安全域之间交互的信息和数据，保护其完整性、可用性、保 密性，防止在传输过程中被窃取、篡改和破坏； 在各个安全域内，能及时发现和响应各种网络攻击与破坏行为； 建立病毒及恶意代码的预警和响应机制，能及时发现和响应各种病毒 及恶意代码的攻击、破坏和信息泄露行为； 使系统内的操作系统能及时升级、安装安全补丁； 应用系统需要有认证、应用访问控制、审计、加密、资源控制等多种 手段，能够保障信息系统被合理使用； 终端需要及时发现和阻断病毒攻击，及时更新病毒补丁； XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 8 安徽 中杰 信息科技有限公司 终端进程的监控、黑白软件的定制； 终端外设接口的管控； 对系统、应用进行审计，建立相应的安全审计机制，对引发事件的根 源进行责任认定。 2.32.3 服务器及存储备份系统需求 2.3.1 服务器系统构建需求 对于内网部分，贵单位的电子政务内网需要购置 4 台服务器，其中 2 台服 务器作为数据库服务器（双机） ，1 台做 WEB 服务器，1 台做应用服务器 对于外网部分，贵单位的电子政务外网需要购置 4 台服务器，其中 2 台服 务器作为数据库服务器（双机） ，1 台做 WEB 服务器，1 台做备份服务器 2.3.2 存储备份系统需求 随着贵单位应用环境越来越复杂，我们认为关键应用和关键数据受到侵害 的可能性越来越大，软灾难发生的情况更加普遍，包括病毒侵害、黑客攻击、 误操作、OS 受损，给系统造成的风险很高。 1、由于 WINDOWS 系统平台的特性，系统可能存在多处隐形漏洞，给黑客和 病毒的侵害提供了条件，就 IDC 评测，每年由于黑客攻击和病毒侵害给客户造 成的损失高达数百亿美元。 2、OS 受损，导致瘫痪，数据没办法读出，此时对于系统恢复和关键数据 的处理是非常棘手的难题。 3、由于误操作给系统造成的影响也不可忽视，重要文件被删除，由于是关 键数据可能只保存在一台机器上，数据将不可恢复。 4、数据保存在硬盘上，由于硬件故障，同样可能造成的数据的不可恢复。 对于关键系统和数据所造成的损坏，不仅仅表现为经济方面的损失，同时影响 关键部门的运转，可能造成不良的社会影响。 由于以上原因，对贵单位的信息平台的价值也产生了负面的影响。如何在 关键应用受到侵害时，第一时间恢复系统和数据是至关重要的。对于系统和数 据的恢复同时提出了多方面的要求： 系统可恢复的时间点 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 9 安徽 中杰 信息科技有限公司 系统恢复的简便性 系统修复的快捷、简单 基于文件或者磁盘、扇区级别的文件、数据、系统恢复 系统可实施性 基与以上原因需要考虑对贵单位内、外的数据进行集中存储；对外网的磁 盘阵列内的关键数据，对外网的终端的重要数据进行备份。以便在遭到病毒破 坏、数据损坏、系统崩溃时可以恢复数据。实现对关键数据的保护。 3 3、设计依据设计依据 计算机网络系统符合以下标准及规范，并保证整个系统在验收之前满足有 关中华人民共和国新颁布的最新版本的标准及规范要求。 民用建筑通信管理标准 EIA/TIA 606 信息安全管理体系标准 JB7799/ISO-17799 信息技术、安全技术评估准则 ISO/IEC15408-1999 信息技术应用级防火墙安全技术要求 GB/T18020-1999 信息技术开放系统互连网络层安全协议 GB/T17963-2000 信息技术开放系统互连高层安全模型 GB/17965-2000 计算机信息系统安全保护等级划分准则 （GB17859-1999） 信息系统安全等级保护基本要求 （GB/T 22239-2008） 。 信息系统安全保护等级定级指南 （GB/T 22240-2008） 信息安全管理指南 ISO-1335 电气装置安装工程施工及验收规范 GB50254-96 GB50258-96 建筑电气装工程质量检验评定标准 GYT253-88 计算机软件开发规范 GB856-8 终端计算机系统安全等级技术要求 （GA/T 671-2006） 信息系统灾难恢复规范 （GB/T 20988-2007） 4 4、产品选型产品选型 根据招标书要求或者用户需求并结合系统特点，本次项目计算机网络系统 的网络设备（包括网管软件、终端安全管理系统）全部选择 H3C 产品，服务器 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 10 安徽 中杰 信息科技有限公司 选择 IBM 的 X3650M2，杀毒软件选择瑞星公司的网络版杀毒软件，数据备份存 储系统采用 IBM 的 DS3200 磁盘阵列 ，光纤交换机选择 IBM 的 B24，备份存储 系统选择爱数。 5 5、系统设计方案系统设计方案 贵单位计算机网络系统设计包括内网：贵单位的内部局域网、电子政务内 网、贵单位与上下级单位的互联内网（该三套网之间逻辑隔离） ；外网：电子政 务外网、互联网（该两套网之间逻辑隔离） 。该 2 套网络采用物理隔离方式，确 保物理安全。对 2.2 网络系统需求、服务器及存储备份系统的需求充分分析， 内、外建设将从如下方面考虑： 内网建设将从网络基础平台建设、网络安全、网络管理、服务器及存储系 统四个方面考虑其设计内容。 外网建设考虑网络基础平台建设、无线网络、网络安全、网络管理、服务 器及存储备份系统五个方面考虑其设计内容。 5.15.1 系统设计原则系统设计原则 本方案将为贵单位提供“高扩展、多业务、高安全”的计算机网络方案。 系统设计中遵循以下基本原则： 开放性开放性 具备与多种协议计算机通信网络互连互通的特性，确保本 MIS 网络系统的 基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准， 包括各种局域网、广域网、计算机等，坚持统一规范的原则，从而为未来的发 展奠定基础。 实用性和先进性实用性和先进性 贵单位的计算网络系统是一个庞大而且复杂的网络，为了保障全网的高速 转发，组网设计的无瓶颈性，应能与贵单位现有系统形成无瓶颈的数据交换。 同时，系统应采用先进成熟的技术满足贵单位大流量，多业务的需求，兼顾其 他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 11 安徽 中杰 信息科技有限公司 频（多媒体）的传输需要，使整个系统在相当一段时期内保持技术的先进性， 以适应未来信息化的发展的需要。 灵活性和可扩展性灵活性和可扩展性 计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和 可扩展性，能够根据贵单位不断深入发展的需要，方便的扩展网络覆盖范围、 扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种 物理接口的能力，提供技术升级、设备更新的灵活性。 安全可靠性安全可靠性 为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。 要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。 在采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强 的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系 统的安全可靠性。 可管理性可管理性 由于系统本身具有一定复杂性，随着业务的不断发展，网络管理的任务必 定会日益繁重。所以必须有全面的网络管理方案，实现监控、监测整个网络的 运行情况，合理分配网络资源、动态配置网络负载、迅速确定网络故障等。通 过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护 工作，从而为办公、管理提供最有力的保障。 5.25.2 内网设计方案内网设计方案 5.2.1 总体设计 由于贵单位综合办公楼是新建的 6 层大楼，其内网涉及内部局域网、电子 政务内网、贵单位与上下级单位的互联内网三套网、该三套网络之间实现逻辑 隔离（通过核心交换部署千兆防火墙插卡，利用其千兆防火墙插卡具有虚拟防 火墙功能，三个虚拟防火墙启用策略限制实现三套网之间的逻辑隔离） ，目前涉 及 289 个数据信息点的局域网接入，将考虑采用星型拓扑设计分核心、接入层。 由于网络可靠性要求比较高，主干采用双核心、双链路设计。核心机房在 3 楼 的内网中心机房。综合办公楼内每层弱电间分别通过 2 根千兆多模光缆汇聚至 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 12 安徽 中杰 信息科技有限公司 3 楼内网中心机房。综合办公楼内每层弱电间至桌面是千兆铜缆；内网出口边 界各部署 1 台 H3C MSR30-40 路由器分别接上级单位、电子政务内网，在 2 台路 由器与两台核心交换之间部署各部署 1 台 H3C SecPath F1000-S，千兆防火墙 以透明模式部署做可以做到 L2-L4 的安全防护。 在核心交换上旁挂 1 台深信服的网络行为审计系统对内网的网络行为进行 事前监控，事后审计。 在服务器区部署 1 台 IBM 的 DS3200 磁盘阵列实现对政务内网中的数据库服 务器数据的集中存储。 网络拓扑： 5.2.2 网络基础平台设计 贵单位内网将采用星型网络拓扑设计，分核心层、接入层；具体设计思路 如下： 核心交换设计：考虑内网信息点较多，内部数据交换量较多，核心交 换建议采用 2 台 H3C 的高端路由交换机 S7503E，每台配备 1 块管理引擎，2 块 1400W 交流冗余电源，1 块 24 千兆光口业务板（其中 8 个是千兆光电复用口） XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 13 安徽 中杰 信息科技有限公司 与该综合办公楼内的 6 台内网接入交换通过千兆多模光缆相连，余下的光口可 以用于以后网络拓展使用，其中 8 个千兆电口（与光口复用）将与该套网内的 系统服务器（WEB 服务器、数据库服务器、应用服务器）通过千兆铜缆相连； 两台核心交换配备 12 块千兆多模模块分别与该综合办公楼的各弱电间的接入交 换机相连，构成千兆主干的用户需求。2 台核心交换通过启用 VRRP+MSTP（需要 另配 4 个千兆多模模块）实现 VLAN 数据负载分担，通过这些设计增强了网络的 高可靠及稳定性。 接入交换设计：接入层交换采用 H3C S3100-52TP-SI。综合办公楼内 部署 6 台 S3100-52TP-SI，综合办公楼内每个弱电间（每层 1 个弱电间）各部 署 1 台 S3100-52TP-SI 作为内网接入交换，其分别通过两根千兆多模光缆汇聚 至核心机房的两台 S7503E 上。 5.2.3 网络安全设计 随着网络的日新月异，网络安全问题日益突出，病毒泛滥、系统漏洞、黑 客攻击等诸多问题，将会直接影响贵单位内网的稳定运行、威胁其相关业务的 正常运行。如何应对网络安全威胁，确保其信息系统的安全稳定运行，已经是 必须关注的问题。 考虑到内网的安全性，实现对进出贵单位内网出口的数据包过滤和 L2-L4 的安全防护，需要在内网的两台核心交换前部署 2 台 H3C SECPATH F1000-S 千 兆级防火墙， ，同时通过旁挂部署在该套网核心交换上的网络行为审计系统（深 信服的 M5100-AC-P）实现对内部局域网用户与电子政务内网、贵单位上下级单 位的访问行为进行审计，以便事后发生安全事件、可以取证。 对内网的终端用户安全防护，将采用部署 1 套瑞星网络版杀毒软来实现， 所有终端用户的病毒补丁可以通过管理区的瑞星网络版病毒服务器来实现分发、 自动更新等。 对内网的终端用户的安全管理，可以采用在内网管理区部署 1 套 H3C 的终 端安全管理系统（配合 H3C 网络管理系统）的方法来实现，具体可以实现身份 认证，病毒补丁、漏洞补丁分发、黑白软件定制、资产管理、终端外设管理等 功能。充分的保障了终端用户的安全性。 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 14 安徽 中杰 信息科技有限公司 5.2.4 网络管理设计 内网要实现拓扑发现、故障告警、端口流量和设备硬件检测、性能报表分 析等功能，需要配备 1 套网络管理系统，为了简化网络管理的工作量，提高工 作效率，建议内网部署 1 套 H3C IMC 基础网络系统。配备 50 个网络节点管理。 5.2.5 服务器及存储系统设计 结合 2.3 服务器及存储备份系统需求，内网服务器及存储系统设计如下： 在贵单位的内网部署 4 台 IBM X3650M2，其中 2 台服务器做数据库服务器 （利用 HA 软件做双机热备） ，1 台服务器做 WEB 服务器，1 台做应用服务器。 2 台数据库服务器分别通过光纤 HBA 卡接 IBM DS3200 磁盘阵列的双控制器， 实现对数据库服务器的数据存储需求。 5.35.3 外网设计方案外网设计方案 5.3.1 总体设计 贵单位的外网包括电子政务外网、互联网两套网，这两套之间逻辑隔离。 目前该套网涉及 XX 个左右数据信息点的局域网接入，将考虑采用星型网络拓扑 设计分核心、接入层。由于网络可靠性要求比较高，主干可以采用双核心、双 链路设计。核心机房在 3 楼外网中心机房。其中心机房与综合办公楼内各弱电 间皆通过 2 根千兆多模光纤连接；各弱电间至桌面是千兆铜缆。 在两套网的出口都各部署 1 台 H3C 的千兆防火墙 SECPATH F1000-S，电子 政务外网的出口防火墙主要是做地址转换和 L2-L4 的安全防护；互联网出口的 防火墙（增加 SSL VPN 板卡）主要做地址转换、与外联单位的 IPSEC VPN 互联、 外出移动办公人员的 SSL VPN 互联；服务器区各通过 1 台千兆防火墙上联两台 核心交换，利用千兆防火墙的安全域的划分来限制外网 PC 对服务群的安全访问； 在外网的核心交换与千兆防火墙之间部署 1 台入侵防御系统（H3C SECPATH T200-A）充分阻断来自内外网的对网站后台数据库的注入扫描攻击、异常字段 进行过滤，保障网站的安全性。 在服务器区部署 4 台 IBM X3650M2 服务器，其中 2 台作为数据库服务器使 用（利用 HA 软件做双机） 、1 台作为 WEB 服务器使用、1 台作为备份服务器使用； 部署 1 台 IBM DS3200 磁盘阵列实现对外网数据的集中存储。部署 1 台备份存储 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 15 安徽 中杰 信息科技有限公司 系统实现对 DS3200 磁盘阵列、外网终端 PC 重要数据的备份。 利用旁挂部署在核心交换上的无线控制器，组合无线瘦 AP 的方式实现对互 联网部分重要区域的无线覆盖，实现该部分终端用户高速接入的需求。 网络拓扑网络拓扑: : 5.3.2 网络基础平台设计： 外网将采用层次化网络拓扑设计，分核心层、接入层。具体设计思路如下： 核心交换设计：考虑外网信息点较多，内部数据交换量较大，核心交 换采用 2 台 H3C 的高端路由交换机 S7506E，每台各配置 1 块 24 千兆光口（其 中其中 8 端口光电复用） ，1 块交换引擎、2 块 1400W 电源；配备 12 个千兆多模 模块分别与该套网的各个弱电间的接入交换相连。这两台核心交换通过 VRRP+MSTP 实现 VLAN 数据负载分担，通过以上设计，可以保障网络的可靠性及 稳定性。 接入交换设计：接入层交换采用 H3C S3100-52TP-SI。综合办公楼内 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 16 安徽 中杰 信息科技有限公司 部署 6 台 S3100-52TP-SI 做外网的接入交换使用。每层一个弱电间，每个弱电 间部署 1 台接入交换；各弱电间通过 2 根千兆多模汇聚至 3 楼的外网中心机房； 5.3.3 无线网络设计 贵单位综合办公楼的 3、4 层的会议室、走廊，需要采用无线网络覆盖。将 采用成熟的无线网络技术作为贵单位综合办公楼 3-4 楼有线局域网的补充，无 线局域网（WLAN ）有效地克服了有线网络的弊端，利用 PDA 、平板无线电 脑和无线终端设备采集数据，智能分析等。 通过贵单位综合办公楼信息化建设中对无线网络平台应用模式的综合分析， 我们总结出贵单位信息化系统对无线网络平台具体要求包括： 数据保密性要求高，重要区域数据不能泄密； 无线网络系统整体安全性要求高，包括物理设备 系统可维护性要求高，无线网络的维护不能成为贵单位信息科的负担； 对无线访客的带宽做限制，保障全网带宽。 为满足以上要求，贵单位综合办公楼的无线网络建设（3-4 层局部覆盖）可 采用基于统一管理理念的“瘦 AP”无线解决方案。方案由无线接入点、无线控 制器和无线网络管理系统（未来考虑）组成。 具体部署情况：在 3 楼核心机房部署 1 台 H3C 无线控制器 EWP-WX3010- POEP-H3，无线控制器旁挂在两台核心交换上。默认可以管理 12 个 FIT AP。 在综合办公楼的 3、4 楼的 2 个会议室、2 个走廊部署 4 台 H3C EWP- WA2610E-AGN-FIT （支持 802.11N） ，实现无线客户端的 300M 高速接入。 系统采用最新的 802.11n 无线传输标准协议。在传输速率方面，将 WLAN 的传输速率由目前 802.11a 及 802.11g 54Mbps，提高到 300Mbps 甚至高达 600Mbps。在覆盖范围方面，802.11n 采用智能天线技术，通过多组独立天线组 成的天线阵列，可以动态调整波束，保证让 WLAN 用户接收到稳定的信号，并 可以减少其它信号的干扰。 系统中无线 AP 采用无配置管理方式，所有配置全部集中在无线控制器中。 无线 AP 的配置在启动后由无线控制器下发，实现无线网络的集中管理与自动 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 17 安徽 中杰 信息科技有限公司 配置， 由于无线信号的开放性，易引起各种各样的攻击行为，此时安全问题在建 设无线网时必须考虑问题，无线安全主要侧重两个方面：用户安全接入、网络 安全加密传输。我们将利用 MAC 地址过滤、SSID 管理、WEP 加密、AES 加 密等多种安全技术来保证无线用户的安全接入及传输。 5.3.4 网络安全设计 随着网络的日新月异，网络安全问题日益突出，病毒泛滥、系统漏洞、黑 客攻击等诸多问题，将会直接影响贵单位外网的稳定运行、威胁其相关业务的 正常运行。如何应对网络安全威胁，确保其信息系统的安全稳定运行，已经是 必须关注的问题。 在电子政务外网、互联网的出口都各部署 1 台 H3C 的千兆防火墙 SECPATH F1000-S，电子政务外网的出口防火墙主要是做地址转换和 L2-L4 的安全防护； 互联网出口的防火墙（增加 SSL VPN 板卡）主要做地址转换、与外联单位的 IPSEC VPN 互联、外出移动办公人员的 SSL VPN 互联；服务器区各通过 1 台千 兆防火墙上联两台核心交换，利用千兆防火墙的安全域的划分来限制外网 PC 对 服务群的安全访问；在外网的核心交换与千兆防火墙之间部署 1 台入侵防御系 统充分阻断来自内外网的对网站后台数据库的注入扫描攻击、异常字段进行过 滤，保障网站的安全性。 根据公安部 72 号文必须对互联网的上网行为进行审计的规定，如 XX 政府 综合办公外网拓扑所示，建议在互联网出口防火墙与入侵防御系统之间部署 1 台深信服的上网行为审计网关 MA5100-AC-P。 对外网的终端用户的安全防护，将采用部署 1 套瑞星网络版杀毒软来实现， 所有终端用户的病毒补丁可以通过瑞星网络版病毒服务器来实现分发、自动更 新等。 对外网的终端用户的安全管理，可以采用在外网管理区部署 1 套 H3C 的终 端安全管理系统（配合 H3C 网络管理系统）的方法来实现，具体可以实现身份 认证，病毒补丁、漏洞补丁分发、黑白软件定制、资产管理、终端外设管理等 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 18 安徽 中杰 信息科技有限公司 功能。充分的保障了终端用户的安全性。 5.3.5 网络管理设计 外网要实现拓扑发现、故障告警、端口流量和设备硬件检测、性能报表分 析等功能，需要配备 1 套网络管理系统，为了简化网络管理的工作量，提高工 作效率，建议外网部署 1 套 H3C IMC 基础网络系统。配备 50 个网络节点管理。 下面简述下 H3C IMC 智能网管系统： 随着网络中的设备，接入用户的增加，迫切需要一种管理系统，能根据业 务、设备、用户的扩展增加组件，使得用户、网络、业务能在单一管理平台上 统一管理、互相协同、操作简便、满足安全的多种业务、接入管理的需要。 H3C 公司的 IMC 智能网络管理系统，采用组件化、模块化设计，随着业务、 设备、用户的扩展，添加需要的组件，能很好适应集团对网络管理不断丰富需 要。 iMC 智能管理平台，是在统一了设备资源和用户资源管理的平台框架的基 础上，实现的基础业务管理平台，包括 iMC 基本资源管理部分（不包括在本方 案中） 、iMC 基础网络管理和 iMC 基本接入管理。 本方案实现的具体内容包括：实现拓扑管理、图形化界面设备配置管理 （包括有线无线网融合管理、统一界面中实现从拓扑到终端用户的无缝管理） 、 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 19 安徽 中杰 信息科技有限公司 安全准入。 IMCIMC 基础网络管理基础网络管理 iMC 基础网络管理，涵盖了传统网管的主要功能，包括告警管理、性能管 理、拓扑管理等。 iMC 基础网络管理特性主要包括： 丰富、实用的网络视图 多样化的网络拓扑 智能的告警显示、过滤和关联 直观的状态监控 性能管理 用户管理与网络拓扑管理相融合 丰富、实用的网络视图丰富、实用的网络视图 具备丰富的视图功能，使得管理员可以从多个角度观测和管理网络。 1)通过IP视图，用户可以观测网络的逻辑结构和物理结构。 2)设备视图，使得用户对网络中设备类型和数量一目了然。 3)自定义视图，使用户可以按照任何希望的方式构造客户化的网络拓 扑。并提供直观简便的预览功能，集中监控用户关心的重点设备和接口的状 态。 XXXX 政府综合办公楼智能化系统工程政府综合办公楼智能化系统工程 验收文档验收文档 20 安徽 中杰 信息科技有限公司 多样化的网络拓扑多样化的网络拓扑 拓扑更加美观清晰，能够实时显示当前视图的拓扑状态。通过在拓扑上浮 动显示设备、链路的基本信息和 CPU、链路流量等性能信息，管理员可以在拓 扑界面中方便的对网络中的设备以及相关链路进行监视，拓扑上提供了常用的 Ping、telnet、TraceRT、打开设备 Web 网管和管理/不管理设备等常用操作和 相关链接，拓扑可以作为管理员管理网络的唯一入口。 1）提供完整的IP拓扑、二层拓扑、邻居拓扑，能够显示接入设备上的接入 情况。 2）用户可以根据实际组网情况，定义自己关注的网络拓扑。 3）在安装了其他组件的情况下，拓扑会增加相应的业务拓扑和操作链接， 以满足不同业务的需求。 智能的告警显示、过滤和关联智能的告警显示、过滤和关联 1）提供丰富的声光告警，还可以针对不同的告警定义不同的操作提 示以及维护