网络方案(华三)

计算机网络系统905工程4别是外网〔Internet网、内网〔政务网、专网〔应急指挥网〕和一套预留的网络〔暂不配设备，只进展综合布线。设计目标905整个905理、信息传递、协同工作效劳，而且要使山东905工程信息系统和相关的政府机中远程传输。系统设计目标：网的要求；建立远程传输系统，实现在外人员与各部门准时有效的信息交换；Intranet/Internet技术为核心的外信息效劳系统；实现人防各单位的网络互连；满足实现与相关政府、部队、公安、消防等系统网络互连的总体需求。系统建设原则具体的设计考虑如下：有用性原则：以现行需求为根底，充分考虑进展的需要为依据来确定系状况下，选用性能高、价格优的产品。安全性和牢靠性原则：计算机网络系统效劳于办公和流程的需要，对安全级别要求很高，特别是专网〔应急指挥网。系统应能供给网络层的安全手段性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则：网络构造设计、网络配置、网络治理方式等方面承受,本方术，满足现有需求，考虑潜在扩大。标准性原则：网络设计所承受的组网技术和设备应符合国际标准、国家网络治理设备为统一厂家品牌设备，便于系统实施、维护和网络治理。开放性和标准化原则：建立一个牢靠、高效、灵敏的计算机网络系统平台，不仅着重考虑数据信息能够讯速、准确、安全、牢靠地交换，还要考虑同层各种接口满足开放和标准化原则。可扩大和扩展化原则：全部网络设备不但满足当前需要，并在扩大模块应用的扩展和办公地点的扩展等。并保证建设完成后的网络在向的技术升级时，能保护现有的投资。可治理性原则：随着网络规模的不断扩大，网络的治理越来越重要，治理易学，易用，便于进展网络配置，网络在设备、安全性、数据流量、性能等方面测、配置，数据流量的分析等，简化网络的治理。网络技术需求随着网络规模的扩大，假设承受全交换方式，而不具备路由力气时，那VLAN技术将一个大的播送域分割成互连的几个小的播送域，再通过路由技术以实现VLANRIP、OSPFPIM等路由协议，获得网络拓扑信息，通过监听IP信息流，快速了解与之相连的网络设备。随着人防办职能的渐渐转变，越来越强调各个部门之间的协调、协作与Intranet和分布式协同计算模式的应用已日趋广泛，这使得任何用户带宽，以确保每一个应用都可以在它需要的时间内得到它需要的资源。随着信息产业的进展，计算机系统的力气快速上升，各种的图形应用应用模式的承受，使得网络流量更加难以推想。这一切都对计为专网千兆核心，千兆到桌面，内、外网千兆核心、百兆到桌面。山东省905全省的数据转发，必需部署性能较高的核心交换设备。在局域网中，可以承受虚拟网技术，针对不同部门划分虚拟网。虚拟网是将一组彼此相关的用户和效劳器规律地分成工作群组，这样的规律VLAN技术就是把一组用户安排在一个单一的播送域〔VLAN〕中，在该播送域上的播送流量只有其成员才能够VLAN技术，可以实现以下的功能：削减网络治理的工作量；抑制播送风暴，实现网络流量的把握；增加网络的安全性。随着网络的日益普及，网络中的攻击行为日益泛滥，迫切要求网络中的防护机制，从把握、治理、转发三平面全面保障网络的安全：在把握平面，要求IP、VLAN、MAC和端口等多种组合精细绑定；支持uRPF单播反向路径转发，防止非法流量访问网络，承受最长匹配逐包转发机制，有效抵抗病毒的攻击。随着网络业务的不断增加，各种各样的业务应用对网络的牢靠性不断提出更高的要求。其中核心高端交换设备应承受无单点故障设计，全部关键部件，本期工程建设方案专网建设方案1000M3-1专网网络拓扑构造图考虑到专网系统的高牢靠性，两台核心交换设备均配置冗余引擎和冗余电源。2-7层〔ISO模型〕的整网防护。PC上部署内网终端准入系统，以实现对网络接入终端的检查、隔离、修复、治理和监控。专网部署IP语音和会议系统，语音效劳器实现双机冗余配置，同时在IP语音。专网拓扑图如图3-1。以及安全性。内网建设方案1000M光纤互联。核心交换设备配置单引擎、冗余电源。3-2。3-2内网网络拓扑构造图件实现一样VLAN中的两个端口相互隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当一样VLAN中的主机之间没有互访要求时，可以设置各自连接的端口为隔离端口。这样可以更好的保证一样安全区域内主机之间的安主机可能造成的危害。外网建设方案1000M光纤互联。核心交换设备配置单引擎、冗余电源。虚拟防护墙，同时对互联网出口以及内部的各部门实现独立防护。办公外网拓扑图如下：3-3外网网络拓扑构造图为解决传统基于VLAN和ACL模块，通过防火墙模块对内网各个VLAN之间的访问进展精细化的把握。同时协作交换机的端口隔离特性，实现对同一VLAN内终端之间的访问限制。高性能数据转发的同时，能够依据组网的特点处理安全业务。VLANSecureVLAN绑缚到其中的一个防SecureVLAN〔不同VLAN之间〕的访问策略进展定制。接入交换机配置状况依据山东省905承受堆叠的方式。表3-1 山东省905工程接入交换机设置状况表序 IDF编 外交换机内交换机 交换机 预留网号放置位置号网数量网数量专网数量系地面指挥中心1IDF1光端机室〔2-6〕8047942IDF2二层设备间〔2-11〕4124123IDF3设备间〔3-25〕6235634IDF4专网设备间〔1-2〕10851015IDF5专网设备间〔4-14〕51336地下指挥所6IDF6通信值班室482482462437IDF7作战值班室352402322303.6.5建设内容力，还需要周密的统一规划，才能使软件功能得以发挥。本期工程，不包括应用软件系统的建设。效劳器子系统效劳器配置维护供给手段，并保证数据的安全和完整性，具有统计、分析功能。建立各种军事地理信息、人防工程、重点目标、人防通信警报、空袭兵器毁伤数据、核化生等危害参数数据、气象、环境、道路、交通、救援、物资等数据库。建立人防处置空袭及核生化事故的各种文档及多媒体数据库。3-19058台效劳器，配置状况见下表：序号品牌型号应用类型备注1联想专网网管效劳器专网2联想专网补丁效劳器专网3联想专网病毒库效劳器专网4联想内网网管效劳器内网5联想外网网管效劳器外网6联想自动化应用效劳平台专网7联想邮件效劳器外网8联想应用类型备注内网操作系统选择在效劳器操作系统的配置上，现主要有三种：Unix效劳器操作系统，主要支持大型的文件系统效劳、数据效劳等应用。Unix操作SUNSolaris、IBM-AIX都是定位于高端效劳器操作系统市场的。以其较高的系统安全性和稳定性受到高端用户的青睐，但由于是非开源代码，技术层面未能得到有效推广，所以在中低端市场的推广与普及还需时日。LinuxI/O要求较高，那么LinuxRHELServer打造，有良好的售后效劳。虽然它Linux下运行的应用软件也相对较少，的小型网络环境。Windows性，尤其是花力气弥补后台漏洞之后，可以给用户带来最高的使用效能。Windows操作系统。安全保密系统4.1计算机网络系统的安全保密计算机网络的安全需求信息的完整性、可用性、保密性和牢靠性”；把握安全则指身份认证、了很多安全问题：难点。脱节和真空，从而使信息安全问题变得广泛而简洁。随着社会重要根底设施的高度信息化，社会的“命脉”和核心把握系统有金融系统和政府网站等。变化，主要有以下特点：网络信息系统和设施成为战斗首先摧毁的目标，使对手失去指挥力气。息优势的根本手段。之一。对人防指挥所计算机网络的安全要求主要有以下几点：各种灾难等力气，支持网络牢靠、稳定运行。抗网络攻击。一个地方的人防力气是敌方格外关心的情报信息，人防指具有很强的抗网络攻击力气。访问把握机制和制止非授权主机上网的力气。计算机网络面临的威逼与风险分析能受到的威逼有：由于微软操作系统windows2023/2023脆弱性较大，漏洞较多，对网络的安全性有较大影响。网络黑客对微软系统生疏，目前网络攻击工具大局部都是针对微软系统的。能受到来自政府网络的非授权访问。由于网络需要和Internet连接，可能面临众多外部黑客高手的攻击，甚至来自敌对地区黑客的攻击。缘由，有可能造成计算机病毒在内网的流行。可能会危及军网的安全。以上很多威逼可以通过良好的安全设计和配置相应的安全产品加以防范。计算机网络安全保密设计访问;外网关心的是互联网出口的安全防范以及病毒在网络内的传播，所以局域网安全关注的重点是网络自身安全及数据传送安全。在分析清楚安全威逼对象和安全威逼手法的根底上，我们有针对性地提出IP安全网络模型，从技术上对网络进展全面的保护。IP4类，包括：安全身份识别，安全传送、安全防范和安全监控。安全身份识别控接入网络的安全性很高，PPP连接中的CHAP/PAP协议，以太网组网中的802.1x、PPPoE都是用于支持二层验证的具体协议。而松散型接入网络则对每一通过地址/端口访问把握等治理方式来实现网络资源的保护。来进展鉴权，传统的〔用户名，口令〕组合的方式是应用的最为广泛的一种，而SIMRadius效劳器是最根本的一种访问策略效劳器〔和网管效劳器一体。用户使用网络的合法性、时间长度限制、时间范围、效劳保证、网络效劳端口范围等，都可以在网络访问策略中证的进展趋势。安全传送现。Email(SSL)TCPTCP的应用SSLSSL协议传送的安全SSLTelnet则可以使原本明文传送的远程登陆协议无法被攻击者监听。本次工程在三个网络供给此功能。边界安全防范上加以实现。905工程在三个网络分别配置了防火墙。专网和内网配置了独立防火墙，外网配置了防火墙模块。位于网络层的防火墙通常实现了报文过滤的功能，它依据IP报文的五元组(源地址、目的地址、源段口号、目的段口号和协议类型)TCP/UDP等报文或允许通过的动作。使用报文过滤防火墙可以识别并拒绝掉绝大多数针对IP、TCPDoS攻击有确定效果。TCP或者UDP的会IP/UDP/TCPTCP/UDP攻击现对内部网外出流量的监控。火墙可以针对具体的应用类型完全对内部网络进展保护并且对流经防火墙的应络出口的性能造成较大影响。防火墙的过滤行为随着其对应监控层次的上升，对性能的影响也是越来越ASIC芯片实现防火墙到网络处理器实现防火墙，是过滤引擎功能和性能不断升级的技术历程。深度安全防范置了入侵防范系统。905及非法网站访问进展防范。数据灾备系统数据灾备系统建设的必要性的重点。动。但随着“两防一体化”思路的提出，人防向民防功能的转变，它也担当着寻常要求都提出了人防数据灾备系统建设的必要性。容灾备份的分类难，供给系统恢复机制，将灾难引发的业务损失降低到可承受的程度。力气，可选择不同级别的备份容灾系统。1〕数据级容灾中心。在生产系统消灭灾难状况后〔如地震、水灾、火灾、瘟疫、人为灾难故障通过备份容灾中心的备份数据对生产系统的数据进展恢复，实现系统的备份容灾。(2〕业务级容灾地复制到备份容灾中心。的持续运行。〔主机、存储、网络、数据、传输线路、根底设施等全部环节的灾难备份。建设数据灾备中心的考虑其建设涉及多种外部条件。比较重要的有以下几点：政府部门的大力支持905考虑这个问题。市场需求需要明确根底网络完善根底设施优良造成的灾难。905人防数据本身的重要性需要建设人防内部的数据灾备中心。设应用级的容灾中心。本期工程建设省人防内部的数据灾备系统。本期数据灾备中心的建设方案本期工程，专网部署一台IP存储系统，通过千兆存储交换机，与前段全部网效劳器，对全部效劳器数据供给备份效劳。支持Oracle、DB2、SQLServer、SybaseIPOSSAS10块，9RAID5，12.4TB。系统图如下:4-1专网数据灾备中心系统图TimeMark/TimeView可以实现多个快照时间标记点，当数据Timemark功能可以回滚到之前某一时刻,或通过TimeView110.5天的数据变化。TimeMark全自动连续数据快照功能，特别“回滚”来快速恢复数据。设备要求SAS接口技术，可供给高数据存储性能和访问，同时配置和治理简洁灵敏，可扩展性强，稳定牢靠。16SASSATAⅡ磁盘，并支持混插。用户可在初期仅配置满足IPSAN交换机，动态构建海量横向扩展方式更可突破性能限制，实现容量、性能、带宽的三维无限扩展。IPS