湖南省消防总队机关办公大楼网络升级改造方案湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司2014年1月湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司1第一章项目分析1.1总队机关办公大楼现状介绍湖南省消防总队机关办公大楼网络系统组建于2002年。其网络系统设备使用已达到12年,远远超过了国家规定设备报废年限,且在一定程度上满足不了总队机关办公的需求。为了进一步完成部消防局部署的信息化建设任务,完善总队机关信息中心建设,湖南省消防总队拟于2014年对总队机关办公大楼进行网络系统升级改造,主要涉及5楼、8楼、11楼、13楼、16楼的cisco等品牌交换机、视频会议系统华为MCU8650服务器及UPS不间断供电电源。1.2应用需求分析总队机关办公大楼内部、外部能有效的传递相关信息,提高信息交流速度和范围,达到双向以及多向的畅通传递,再根据所有信息制定出正确的策略,高效有力的在内部执行或与外界交流,都将是再次提高总队机关的核心竞争力、执行力和工作协作效率的关键因素。在总队机关日常工作中,各种相关业务的交流日益广泛,这些相关业务正常运行都离不开高速安全稳定的内部网络环境,为了提高总队机关的执行力、工作效率,总队机关决定建设一套更安全、更高速、更稳定的办公网络系统。由于总队机关办公大楼2002年建设时,使用的是多模光纤网络,因此本次升级改造首先需要拆除原有的多模光纤网络环境,然后新建单模光纤网络,并重新制作光纤配线架。原楼层配线间至各房间的网线保留继续使用。本次升级改造还需要拆除各楼层原有机柜、电源及UPS和电池组,并新建机柜、电源、UPS和电池组。网络交换机在满足各楼层使用的情况下,还需另外提供2台作为备品备件使用。其次本次建设中还需更换总队视频会议系统华为MCU8650服务器,增加一台录播服务器,实现对电视电话会议和视频培训的录像功能。并同时对总队原有华为MCU8650服务器进行系统版本升级和会议控制软件升级,升级后的原有设备将作为备机使用。湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司2本方案中将要介绍的H3C网络交换机系统完全可以替代原有cisco等品牌网络交换机系统;UPS不间断供电电源能满足对升级后的网络环境的供电需求;视频会议系统升级改造也能实现总队的需求。湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司3第二章总队公安网及互联网网络改造设计方案1.概述1.1网络建设的发展方向网络的智能化、可靠性、广覆盖要求:原有各自独立的路由、交换、安全等功能,现在都开始向融合方向发展,在这个演进发展趋势中,通用性的网络设备如何实现个性化、行业化的定制,成为网络智能化发展的方向,同时带来了集成化后的设备配置和管理方面的易用性要求;对于网络可靠性的保障,尤其是对核心层架构和设备的可靠性要求;对于在不同的环境下的接入技术的要求;网络对于多业务承载,需要逻辑隔离,并且端到端保障用户权限的控制等。数据中心的整合:应用系统将深度融合,数据高度集中,在数据大集中的过程中,原有分散建设的各自独立的异构系统需要进行整合,需要有一套标准化的技术和协议对整合后的平台进行规范,有利于后续业务的发展和扩张。在这样的数据大集中后,最大的挑战是随之带来的风险的大集中,如何保障集中后数据访问的可靠、数据访问的安全?这不仅仅只需考虑网络,还有数据的备份和恢复,访问的安全控制等。全网全方位的安全:当前的安全也已经从单一的对网络安全防护,扩展到全方位的安全规划,不仅原有的防火墙、防毒墙、IPS在融合,对员工的安全认证、管理也必须考虑,还要考虑环境的安全,供电、防潮、防灰层等,这样才能构建一个真正意义上的安全环境。统一管理:诸多的网络设备、诸多的业务系统、诸多的访问用户,管理面临的是完全分散的,相互隔离的管理资源,如何简单的做到整体资源的统一管理,只有通过面向业务的管理方式,统一资源、业务、人贯穿到整个业务平台。湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司41.2湖南省消防总队网络现状分析省消防总队局域网络于2002年左右建设完成,至今已运行超过10年,现有网络的设备性能及组网架构已不能满足正常办公的应用需求,随着业务需求不断发展以及信息化技术的不断进步,越来越多的企事业单位通过信息化来完成其业务的部署,体验到了信息化带来的效率的极大提升。随着业务量的不断提高,如何通过信息化技术来提高办事效率的核心竞争力,是现所有网络管理人员重点关注的问题。本方案对湖南省消防总队的网络改造进行详细说明。省消防总队公安网及互联网主要存在如下问题:1.网络功能分区不清晰,日常维护成本较高。目前的网络没有明确的接入层、汇聚层及核心层,也没有规划单独的数据中心区域,日常维护过程中,对单设备的操作容易引起整网的震荡。2.核心采用1台CISCO设备,运行时间超过10年,产品功能受限。同时现网络设备采用单设备组网,没有冗余设计,作为核心设备风险较大。3.核心设备不与楼层接入交换机互联的网络是通过光纤链路与核心交换机互联的,互联之间是采用单链路,稳定可靠性较差。4.安全方面:最近几年,陆续的进行过改造,数据中心及网络边界安全状况较好,但在网络接入层存在ARP病毒攻击,环路等现象时有产生,导致网络访问速率较低,或网络访问不稳定等情况。5.整个网络管理都是通过人工方式对点对排除,效率较低,此外无法有效的预知网络存在的风险,隐患较大。6.接入设备前期全部采用24端口百兆接入交换机,没有任何冗余,信息点增加时,只能通过增加交换机与设备进行串联,导致网络架构混,引起网络风暴,甚至网络出现环路,以至于网络访问缓慢,或不能访问。2.改造原则及设计标准2.1总队机关办公大楼网络改造原则根据现有网络的实际需求,在系统改造设计原则应以满足本阶段和总体项目湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司5的应用需求为基础,并具有良好的扩充能力,从实际应用和网络技术发展趋势来看,解决方案的选购应参考以下原则:标准化计算机网络系统就是要实现网络信息及设备资源的共享,实现方便的信息交流,完成不同厂商的设备和计算机软件的互连。在一个复杂的大型网络系统里,必然有多个厂商的硬件及软件,为了保证用户的网络系统具有互操作性、可用性、可靠性、可扩充性、可管理性,应建立一个开放式,遵循国际标准的网络系统。以避免造成用户在网络使用上的局限性。可扩展性由于用户业务的不断扩展,网络系统必然随之不断扩大。因此,目前的网络设计必须为今后的扩充留有足够的余地,以保护投资,使设计的计算机系统可以在一定的时间内满足不断增长的应用需求。先进性当今世界,通信和计算机技术的发展日新月异。我们的方案要适应新技术发展的潮流,满足用户对新应用的需求,并保证网络系统在若干年内不落伍,适应飞速发展的科学技术。有效性和可靠性方案要充分考虑用户的具体情况,不仅理论上可行,更重要的是实际上可用和高效。最好地适应用户需求。为了使网络能可靠地运行,在方案中一方面要选用高品质的产品,把故障率降降到最低;另一方面,要使用系统容错技术,从而使停机损失率降到最低。可管理性随着网络规模和复杂程度的增加,管理和故障排除就越来越困难。现在的工作越来越多地依靠计算机系统,计算机将成为必不可少的办公设备,计算机系统的故障给我们带来的损失将越来越大。为了减少损失,必须尽快排除故障,使用的网络设备具备网管的能力,并且拥有一套良好的网络管理软件也就显得越来越重要。它可以减少故障排除时间,优化网络性能,节省开支,创造效益。我们的方案将提供先进而完善的网络管理。同时保证网络易于管理和维护也是网络安全运行、可靠有效的重要因素。湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司6易用性任何一项高端的科学技术(包括计算机网络)开发的目的是更好的服务于人类,提高人们的办事效率,降低工作强度,提高工作质量。这就要求计算机网络的开发具有良好的易用性,真正成为工作的得力助手。安全性安全性设计是网络设计中最重要的方面之一,每个单位都有秘密数据资源需要保护。最基本的安全性要求是保护资源以防止其无法使用、被盗用、被修改或被破坏。资源包括网络主机、服务器、用户系统、网络设备、数据。同时要考虑来自外部和内部的威胁,最重要的是制定一套严密的安全策略。2.2网络改造设计参考标准GB/T50314-2000《智能建筑设计标准》JGJ/T16-92《民用建筑电气设计规范》ISQ/IEC11801-95《信息技术互联国际标准》ISO/IEC9126:1991GB/T16260-1996信息技术软件产品质量特性及使用指南ISO9000-3:1997质量管理和质量保证标准第三部分ISO9001-1994在计算机软件开发、供应、安装和维护中的应用指南ISO/IEC12207-1995信息技术软件生存周期过程GB9386-1988计算机软件测试文件编制规范GB/T12504-1990计算机软件质量保证计划规范YD/T1800-2008信息安全运行管理系统总体架构GB/T21050-2007网络交换机安全技术要求ISO7498OSI七层参考模型IEEE802.3快速以太网标准规范IEEE802.3千兆位以太网标准规范IEEE802.10虚拟网络标准规范湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司73.湖南省消防总队网络改造设计详细说明3.1消防总队公安网总体设计本次湖南省消防总队公安网网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。总队机关办公大楼网络结构分成二层:即核心层与接入层。具体如下,核心层:设计新增两台高性能的万兆核心交换机,未来可升级支持40G/100G平台,2台设备之间通过双万兆链路进行互联,组网虚拟冗余系统,以提升网络的整体性能及可靠性。接入层:直接与用户终端连接,上行通过双千兆光纤与网络核心设备互联。设计采用48端口全千兆交换机。数据中心区域:设计独立的服务器接入交换机,采用扁平化设计,上行直接与核心交换机连接。改造后整体网络拓扑图如下:湖南省消防总队机关办公大楼网络升级改造方案湖南天大天财科技发展有限公司83.1.1公安网网络设备选型接入层:提供网络的第一级接入功能,完成简单的二、三层交换,安全、QoS都位于这一层。本方案设计拟对现有楼层全部接入交换机进行替换升级。接入层的设计目标如下:管理接入网络的终端设备。由于接入层是用户进入网络的入口,所以也是黑客入侵的门户。接入层通常用VLAN、包过滤等提供基本的安全性,保护局域网段免受网络内外的攻击。因此设计接入层设备时,应参考如下条例:1.支持VLAN的数量。同样为48口交换机,但是支持的VLAN数量差别很多,有的支持64个,有的可高达256个。显然,这个数字也是越大越好,可以划分更多的VLAN。2.链路聚合可以让交换机之间的链路带宽有非常好的伸缩性,使链路的带宽成倍增长。链路聚合技术可以实现不同端口的负载均衡,同时也能够互为备份,保证链路的冗余性。3.QoS功能。现在的局域网中不仅仅是数据,还有IP语音、视频等的传输,这些数据会有轻重缓急之分,如何优先保障关键数据的正常转发,这些都需要交换机QOS特性来实现。一个有QoS功能的接入层交换机就能够解决这种情况。4.Web管理界面。Web界面配置和管理起来非常方便,易于操作,对网管来说大大减轻了配置的工作量。现在的交换机基本上都是Web管理界面了。WEB管理界面只是网管的一部分内容,目前大型网络都是由统一的智能管理软件进行统一的管理。5.安全性也是需要考虑的一个因素,交换机应该可以根据端口、MAC地址/IP地址等指标,用来拒绝或限制1~4层的网络访问,还应对组播、广播和泛洪控制等常见的安全威胁有一定的处理能力。通过上述分析,本次方案设计在楼层接入交换机部署H3CS5120S-52P-EI,可以很好满足上述特性要求,在物理连接方面,设计采用双链路与核心交换机互联。湖南省消防总队机关办公大楼网络升