计算机网络系统平台设计方案

计算机网络系统平台设计方案计算机网络系统平台设计方案必须建立在用户、应用软件等对网络平台的需求之上。只有真正理解了对网络系统平台的要求，我们才能设计出符合合肥市新站区管委会网络系统实际的、先进性与实用性同时兼顾的方案来。根据我们对现场的实地调研、以及我们多年建设信息系统的经验，我们下面从网络系统、主机系统、系统安全三方面阐述整个网络系统平台的基本需求分析。一、网络系统需求分析网络系统是信息系统的基础设施。网络设计时应充分考虑系统的实用、稳定、开放、先进、扩展、安全和经济性以及使用和维护的方便。网络主干采用国际或国内先进成熟的网络技术，桌面采用快速交换以太网方式技术。网络系统需求可以归纳如下：1)高速率：网络系统具有强大的核心层，内部主干达到1G速率，到桌面速率达到100M，保证应用得到及时的处理。2)高容错性：为了保证系统稳定运行，核心网络设备端口和通道有冗余。3)互联性：采用TCP/IP协议作为合肥市新站区管委会局域网的技术基础架构。4)高安全性：由于合肥市新站区管委会局域网络是开发区的数据中心，各外联单位可通过VPN节点连接到合肥市新站区管委会网络，要防止外来非法用户入侵本系统，或防止外来用户对系统的破坏，因而必须具备高安全性。二、主机系统需求分析目前合肥市新站区管委会的业务系统主要有内外网WEB、OA、MAIL、FTP服务器，用户访问量的不断增加服务器。需求如下：一）WEB、FTP应用服务器需求能够提供用于WEB、FTP应用系统使用。不仅要求稳定性高，还要考虑到随着业务需求的不断增加，越来越多的客户会不断加入。支持Windows/Linux等多操作系统。二）OA、mail系统服务器需求具有较高的运算能力。可承受每天百万次的访问量。具有高可用性解决方案。具有较强的扩展能力。采用双机工作模式。支持Windows/Linux等多操作系统。需要存储客户数据、客户业务办公数据，能够满足7×24小时关键业务应用，具有在线扩展能力和高速数据吞吐。三、系统安全需求分析（一）防火墙需求防火墙是网络安全最基本、最经济、最有效的手段之一。防火墙可以实现内外网或不同信任域之间的隔离与访问控制。据有关数据统计，防火墙的加设会使整个网络的安全风险降低90%。防火墙可以做到网络间的访问控制需求，过滤一些不安全服务，可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。同时防火墙具有很强的记录日志的功能，可以对您所要求的策略来记录所有不安全的访问行为。（二）安全管理需求“三分技术,七分管理”是网络安全领域的一句至理名言，在安全业界，安全重在管理的观念已被广泛接受，因此，对用户安全策略、安全制度等问题的建议也应当作为安全解决方案的重要组成部分。通过加强安全管理，才能保证由安全产品和安全技术组成的安全防护体系能够被有效的使用。（三）安全总体目标基于以上的需求分析，投标方案的安全网络系统应可以实现以下安全目标：1建立一套完整可行的网络安全与网络管理策略并加强培训，提高全体人员的安全意识及反黑技术。2加强物理安全防护，特别是采取措施防止涉密的信息通过电磁辐射的方式泄露。3利用防火墙实现内外网及不信任域之间的隔离与访问控制。4通过主机防火墙、防病毒、安全存储、来保证个人主机或重要服务器的网络安全防护。（四）建设目标合肥市新站区管委会的网络建设总体目标是建设一个目前基于传输数据、确保将来传输语音、视频、图像等信息的可升级、具有较大容量高速传输能力、有稳定可靠的质量保证的信息化综合网络。具体建设目标如下：1、架构高速的网络通道，组建一个延时小、响应速度快、传输效率高、信息吞吐量大、高可用的综合应用网络，满足数据集中要求，具备业务可扩展能力。2、建立多应用统一的网络平台，为目前和今后的业务与管理等不同应用系统提供统一的多功能的网络支撑环境。3、建立具有超前性、先进性与可扩展性的网络体系，为新站开发区的网络提供持续发展前景。4、建立规范化、标准化的安全体系，为全网提供安全可靠的安全运行机制。注意避免出现“瓶颈”效应，保证网络7x24小时可靠运行。5、建立统一的网络管理平台，应用高效科学的网络管理技术，实时监控网络运行情况，提高网络管理水平。6、采用TCP/IP网络协议，UNIX或WindowsNT操作系统和Client/Server、Intranet体系结构。根据以上总体目标，网络设计应满足高性能、高可用性、可管理性、安全性等需求和原则，同时，选择的设备应具有可扩展性、开放性、先进性、成熟性等特征。四、技术方案要求（一）网络系统设计合肥市新站区管委会的计算机网络系统由内外网合一，通过专线连入合肥市电子政务专网，由合肥市电子政务平台提供互联网统一出口，同时新站区管委会另有一条10M电信宽带线路可提供公网入口。由于此次改造需要能够使本区工作人员能够在外网正常使用内网OA办公系统，故需要能够为外部网络提供VPN拨号通道，办公大楼部分采用星形拓扑结构交换式千兆以太网技术。（二）拓扑结构设计根据国家电子政务的总体设计思想，鉴于合肥市新站区管委会应用需求及其信息安全等特殊要求性。网络应采用逐层保护的指导原则，利用宽带IP技术，保证网络的互联互通，提供具有一定的QOS保障，建成的网络以IP为主流技术。在物理网络结构的设计上采用的拓扑结构划分为核心层和接入层。（三）网络方案描述投标方案应设计网络的核心交换机应采用2台核心交换机，2台核心交换机采用vrrp+vllp备份理由技术实现双机冗余，确保网络7*24小时不间断。网络运行正常情况下内网的主机是A机、备机是B机，外网的主机是B机、备机是A机，任意一台交换机出现故障，A机与B机自动切换。接入层交换机采用24口百兆2口千兆电口系列实现千兆电口双链路上联，百兆到桌面。网络设计需要有高度的扩展性和可靠性，能够满足现有和未来业务的发展需要。内网出口与电子政务专网连接，作为内网的边界安全防护，实现与市政府各委办局的网络进行互联。外网出口采用一台百兆带VPN接入的防火墙与互联网连接，作为外网的边界安全防护，实现与国际互联网进行互联，并可以利用VPN技术实现外部OA远程办公。由于存在电子政务专线和电信10M光纤，本系统架构出现两个互联网出口（一个电信、一个电子政务专网），应在核心交换机采用路由优先级策略，决定大楼内部网络访问使用哪种出口。由于服务器大部分采用的是单网卡设计，要保证核心交换机的冗余配备，应采用增加一台全千兆二层交换机作为DMZ去服务器群的汇聚交换机，该交换机双链路上联于千兆防火墙设备，保证服务器区域高速稳定运转，同时在此部署一台千兆高端防火墙设备，解决授权部分合法的内网用户访问不同的服务器资源，不合法的用户不容许访问相关的服务器资源。区委会下属单位，由于是单链路链接，建议采用一台全千兆高性能智能三层交换机作为外派单位的接入平台，该设备双链路上联于两台核心交换机。网络总体拓扑结构图规划如下：（四）系统安全设计一）防火墙系统防火墙技术是目前网络边界保护最有效也是最常见的技术。采用防火墙技术，对重要节点和网段进行边界保护，可以对所有流经防火墙的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，防范各类攻击行为，杜绝越权访问，防止非法攻击，抵御可能的DOS和DDOS攻击。通过合理布局，形成多级的纵深防御体系。通过在网络边界处部署并正确配置防火墙，可以解决以下安全问题：保护脆弱的服务通过过滤不安全的服务，防火墙可以极大地提高网络安全和减少子网中主机的风险。例如，防火墙可以禁止NIS、NFS服务通过，防火墙同时可以拒绝源路由和ICMP重定向封包等安全威胁。控制对系统的访问防火墙可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，防火墙允许外部访问特定的Web和FTP服务器。集中的安全管理防火墙对企业内部网实现集中的安全管理，在防火墙定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在防火墙可以定义不同的用户，而不需在每台机器上分别安装特定的认证软件。内部用户也只需要经过口令认证即可通过透明代理访问外部网。保护网络拓扑使用防火墙可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS等。记录和统计网络日志防火墙可以记录和统计通过防火墙的网络通讯，提供关于网络使用的统计数据并对非法访问作记录日志，从防火墙或专门的日志服务器提供统计数据，来判断可能的攻击和探测，利用日志可以对入侵和非法访问进行跟踪以及事后分析。二）核心交换机整机模块化设计，关键部件均能提供冗余；具有较高的交换容量和转发性能，能够保证设备长期稳定、高效的运行；通过自身具备的安全防护技术能够增强设备对网络安全事件的防御能力；面向10G平台设计，支持IPV6金牌认证和电信入网认证。三）汇聚接入交换机：能够提供24口的百兆用户接入和2个千兆光纤复用接口；具有较高的交换容量和转发性能，能够满足直接用户接入的性能需求；自身具备较好的抗攻击能力和安全防护能力；支持网络准入控制安全框架。支持标准的SNMP网络管理协议。四）网络管理系统：能够对全网网络设备进行统一的配置和管理；提供拓扑自动发现功能；具备人性化界面。五、采购清单此清单中所列参考品牌仅供参考，投标方应以设备参数为主要依据，进行响应投标。序号名称说明单位数量一、网络设备1核心交换机参考品牌（cisco、ZTE、lenovo）三层路由机箱式交换机，槽位数≥6,其中业务槽位数≥5，电源数量最大支持≥3，背板带宽≥1.7Tbps，交换容量≥960Gbps，、三层包转发速率≥655Mpps，路由表容量≥256K，MAC地址≥64K,VLAN划分：支持基于端口、802.1q、协议、MAC和IP的VLAN划分,双标记VLAN、SuperVlan、PVLAN生成树协议：支持802.1d、802.1s、套2802.1w路由协议支持：静态路由、RIPv12、OSPF、IS-IS、BGP,支持路由负载均衡，支持VRRP等路由冗余协议，支持二层的STP、VLLP、EAPS环路保护协议ACL：提供L2/3/4流规则过滤；支持基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口\号的灵活组合的硬件ACL，ACL=1K二层组播：IGMP（静态组播）、IGMPSnooping,三层组播：IGMP、PIMSM/SSM/DM、DVMRP管理方式：支持CLI、telnet、Web-base、SNMPv123提供IPV6R2金牌认证证书和电信入网证书（需要厂家盖章）提供原厂项目原件授权函和三年售后服务承诺函。交换引擎模块2千兆电口≥24其中千兆光口≥12（COMBO）2交换机电源(AC)4接入交换机2接入交换机参考品牌（cisco、ZTE、lenovo）端口配置：24个10/100M以太网电口，2个10/100/1000M电口，2个千兆SFP复用光口.交换背板带宽≥19Gbps包转发率≥12.8MppsMpps，4k个VLAN，8KMAC地址支持端口最小带宽限值为64kbps，带宽粒度为64kbps。支持端口镜像，任一端口经设定监控另一端口的运行状况；支持802.1x认证（基于MAC）；支持RadiusClient具有扩散控制(FloodControl)、广播风暴控制支持通过ACL进行对交换机本身的访问控制支持手工设置和自动学习MAC地址两种方式。支持MAC地址绑定。支持广播风暴抑制功能，触发抑制功能的广播数据包阈值可从0到台1010Mbps。支持支持超长距离网线传输功能。100M速率可以传送140米。支持用户分级管理支持SNMP、Telnet、和Console管理支持私有VLAN，保护VLAN，协议VLAN对于非法包访问交换机以及大流量数据包攻击CPU有非常严格的控制3DMZ区交换机参考品牌（cisco、ZTE、lenovo）24个10/100/1000MRJ-45自适应端口，2个SFP1000M光接口（COMBO）;背板带宽≥64Gbps,包转发率≥38.68Mpps，MAC地址表