1南通市通州区电子政务内部网络建设项目方案汇报中国移动通信集团江苏有限公司通州分公司2010年6月目录线路总体建设方案5.售后服务与培训承诺6.项目概况1.设备配置与选型7.网络系统建设方案2.安全系统建设方案3.内网建设施工方案4.项目概况根据省、市文件精神,为满足通州区电子政务应用不断发展要求,拟整合全区信息网络、财力资源,共建共享一个技术先进、安全性强、利用率高、覆盖全区各镇区、各部委办局及下属事业单位的全区电子政务内部网络。该电子政务内网和英特网实现物理隔离,同时根据专业业务信息系统需求及行政系统划分要求,能够快速组建纵向业务专网。该网络配置安全管理、访问控制、病毒防护、终端用户准入管理等安全产品和策略,确保网络接入用户的可信性、政务信息系统的安全运行、敏感政务信息的安全传输、电子政务系统身份的安全认证、政务信息的安全存储等。项目背景:项目概况(1)为在统一的网络平台上实现全区各级机关部门内部的信息交互,可利用MPLS/VPN技术,为各个机关部门内部提供虚拟专用网服务;(2)为实现各级机关部门信息的充分共享和广泛使用,需建立覆盖通州区及乡镇的内部办公信息平台;(3)在政务信息网的网络平台上,充分利用宽带IP技术,实现网络对语音和视频等多媒体业务的良好支持;(4)为保证电子政务内网全网网络设备的运行维护,需要建立统一的网络管理平台,保证整网运行可靠。内网建设需求:项目概况全区电子政务高速宽带网络与英特网实现物理隔离,根据专业业务信息系统需求及行政系统划分要求,日后能够快速组建纵向业务网。建立电子政务网络信息安全保障体系,逐步完善安全管理体制;建立电子政务信任体系、应急支援中心和数据灾难备份基础设施。该网络配置安全管理、访问控制、病毒防护、终端用户准入管理等安全产品和策略,确保网络接入用户的可信性、政务信息系统的安全运行、敏感政务信息的安全传输、电子政务系统身份的安全认证、政务信息的安全存储等。内网建设总体目标:目录线路总体建设方案5.售后服务与培训承诺6.项目概况1.设备配置与选型7.网络系统建设方案2.安全系统建设方案3.内网建设施工方案4.网络系统建设方案南通市政务内网平台向上连接省电子政务内网,向下连接县(市)、区电子政务内网,横向连接市各级党政群机关、有关单位,并向街道、社区和镇、村延伸的政务网络,与互联网物理隔离,是我市电子政务信息传输主通道,是政府部门间业务办公平台。通州区电子政务内网工程将按照同样的建设要求实施,保证各镇区和城区接入点安全、可靠的接入。本网络架构采用先进的快速以太网和MPLS/VPN技术,网络骨干采用光纤以太网,按结构划分为核心层、汇聚层和接入层。核心层主要进行数据的快速转发,汇聚层负责汇集各接入设备,扩大核心层设备的端口密度和种类,同时进行三层路由选择,拟通过MPLS/VPN技术实现划分虚网,实现党政信息专网、行政权力运行专网、财政专网、计生专网等隔离划分接入。接入层负责提供各种类型用户的接入,将不同地理分布的用户接入到政务网络平台中。网络系统需求分析:网络系统建设方案成熟性和先进性原则易安装、操作和可管理性原则可靠性、稳定性和实用性原则开放性原则安全性原则可扩充性原则网络设计原则网络系统建设方案通州电子政务网是一个庞大的城域网,考虑到网络系统的可靠性、节点位置的分散性和投资的最佳性能价格比,通州电子政务网的网络拓扑结构采用星型骨干结构,新建的网络系统具有较高性能、最好的升级途径、充分的应用带宽。系统选用的设备和技术应符合国际标准。网络中使用的设备和协议完全符合国际通用的技术标准,兼容现有的网络环境,提供很好的互联性。网络系统设计:网络系统建设方案核心区:整个区电子政务网网络的核心,主要连接核心服务器、汇聚交换机和防火墙等关键设备,作为数据交换的中枢,核心设备要求支持MPLS/VPN所有的特性,核心节点作为P或PE节点的角色,作为个电子政务内网数据转发的枢纽。汇聚区:行政中心汇聚:主要连接行政各个大楼内的接入交换机,其上行通过双千兆光纤和核心交换机互联。部门的汇聚:主要连接通州区城区各个部门出口设备,也是通过运营商的光纤资源实现互联。乡镇及相关单位的汇聚:通过运营商的光纤资源将通州区各个乡镇及部门等相关单位连接起来,为了确保乡镇及相关单位的联络的冗余,采用光纤互联的同时,还部署了相应的备份线路。接入区:连接通州区行政大楼内的各个楼层终端设备,主要涉及的设备是交换机。城区其他相关单位的出口设备,如路由器等。电子政务内网功能区:通州区电子政务内网架构按照网络分层结构进行设计,又分为如下功能区:网络系统建设方案电子政务内网拓扑结构:隔离区补丁服务器安全代理服务器防病毒服务器网络管理及安全审计系统DMZ区千兆链路百兆链路SDH链路核心交换机行政中心接入乡镇接入部门接入事业单位接入图列镇/部门汇聚行政中心汇聚SDH汇聚服务器区防火墙数据服务器网络系统建设方案区政府机房为核心层,是整个网络数据集中的交换中心,在本次通州区电子政务内网的核心区建设中,拟配置2台高性能的基于万兆的模块化交换机做双机冗余,保障网络7*24小时不间断运行,同时支持MPLS/VPN,可做为PE或P节点。该网络核心区由两台万兆高端路由交换机一起组成双星结构,两台核心交换机之间通过多个千兆链路捆绑相连,运行VRRP或/IRF2协议形成核心间的链路备份和负载分担,组成一个高可靠的网络核心。各个汇聚层交换机和数据中心机房的相关接入交换机都通过双光纤千兆和2台核心交换机互联,保障链路冗余。方案总体说明-核心层网络系统建设方案方案总体说明-汇聚层汇聚交换机包括3个部分:行政中心汇聚、镇/部门汇聚、其他部门汇聚汇聚层交换机行政中心汇聚镇/部门汇聚其他部门汇聚网络系统建设方案(1)行政中心大楼内汇聚交换机设计本次通州区电子政务内网建设中在行政中心部署两层汇聚,配置一台汇聚交换机,作为PE设备,该汇聚交换机向上通过双光纤链路与核心交换机相连,做双链路的冗余设计,保障网络可靠、稳定;向下链接多台万兆全三层的楼层汇聚交换机,其下行分别连接所属区域内的楼层接入交换机。在通州区行政中心大楼内的楼层汇聚交换机拟在原H3CS6503交换机上增加一台万兆多业务交换机三层交换机,此交换机应有固定有24个千兆的SFP光口和4个1G/10G的上行端口,同时还具备一个网络扩展槽位,可以扩展16端口千兆光或16端口的千兆电或4端口的万兆光口。两个楼层汇聚交换机互为备份。四附楼和会议中心楼仍使用原H3CS5516作楼层汇聚,为提高网络安全,拟增加一备用楼层汇聚交换机。方案总体说明-汇聚层网络系统建设方案(2)城区其他部门及乡镇汇聚交换机为了能够覆盖通州城区内所有的行政单位相关部门以及其它乡镇等相关单位的网络接入,在行政中心各部署了一台汇聚交换机,主要有以下接入方式:城区比较近的部门采用运营商的裸光纤直接接入到汇聚交换机上,然后再通过汇聚交换机和数据中心的2台核心交换机分别互联。乡镇及相关单位也采用运营商的裸光纤将各个乡镇及相关单位汇集到汇聚交换机,同样在通过汇聚交换机双上行光纤分别和2台核心交换机互联。由于这些单位都是通过链路接入进来,为了保护内部网络的安全,尤其是核心服务器的安全,拟在这2台汇聚交换机部署防火墙模块,实现对所有接入进来单位进行安全检测和防护,同时这2台汇聚交换机要支持MPLS/VPN特性。方案总体说明-汇聚层网络系统建设方案(3)移动机房内25家二级单位专用汇聚交换机这部分单位先汇聚到运营商机房的电子政务内网专用光纤交换机上,与乡镇汇聚交换机采用千兆单模互联。因此拟在运营商的机房配置相应的汇聚交换机,该交换机为支持百兆和千兆的光纤交换机,同时部署防火墙模块,上行通过千兆单模光纤和乡镇汇聚交换机进行互联,下行通过运营商的裸光纤与25个单位的出口设备进行互联,最终实现用户访问行政中心的网络的功能。该25个单位,采用百兆的链路汇聚到这台设备上,再通过这台设备的上行千兆口和汇聚交换机进行对接。方案总体说明-汇聚层网络系统建设方案(1)行政中心大楼内接入交换机设计在通州区行政中心大楼内需部署楼层接入交换机,接入交换机主要用于连接用户的终端设备,楼层接入交换机下行直接通过千兆的电口接入用户的终端,上行通过千兆多模光纤和汇聚交换机互联或通过双上行光纤分别和2台核心交换机互联,同时对于设备间交换机超过一台的,配置堆叠模块,将多台交换机进行堆叠,达到增加带宽的同时实现一个IP地址管理。根据用户网络的实际需求和基于将来网络的发展,接入交换机拟采用二层或三层带网管的千兆接入交换机,目前组网我们可以采用千兆光纤上行,百兆交换到桌面。方案总体说明-接入层和汇聚层一样,接入交换机也包括3个部分:行政中心接入、镇/部门接入、其他部门接入网络系统建设方案(2)通州区政府直属部门、镇的接入设计在这些单位通过运营商的裸光纤与之对应的汇聚交换机互联,对于这些单位的出口设备的选型,拟按各使用单位情况和用户数分两类:各镇和城区交通运输局、城管局、农委、环保局、财政局和农工商接入点等于28个点,拟采用MSR3060路由器+S3100带网管交换机组成接入设备,满足虚拟专用多和用户量大的特点,其MSR3060承担PE作用,实现MPLS/VPN功能,交换机可通过VLAN方式控制端口实现虚拟专网的划分;除此以外各部门拟采用多业务路由器MSR3011F,该设备本身除具备2个百兆的广域网WAN口,还自带48个百兆的交换端口,可以直接连接单位的电脑,具备很高的灵活性和扩展性。这些部门和乡镇的这一级的互联,均采用千兆的单模上行到汇聚交换机。方案总体说明-接入层网络系统建设方案(3)通州区政府二级部门和事业单位的接入设计二级部门和事业单位终端较少,同时应用比较明确,其接入方式通过SDH专线或光纤方式。为实现MPLS/VPN功能,各单位只需配置MSR960路由交换机即可。方案总体说明-接入层目录线路总体建设方案5.售后服务与培训承诺6.项目概况1.设备配置与选型7.网络系统建设方案2.安全系统建设方案3.内网建设施工方案4.安全系统建设方案(一)、安全风险分析站在信息系统攻击者的角度看,对现有网络可能采用的攻击手段主要有:线路窃听、网络入侵、节点假冒、伪造网络地址和非法用户、中间人攻击、非授权访问、业务抵赖、病毒入侵等。(二)、安全需求分析物理安全、系统安全、网络信息的安全和管理控制的安全。安全系统需求分析安全系统建设方案适应性及灵活性原则一致性原则需求、风险、代价平衡分析的原则多重保护原则易操作性原则可评价性原则综合性、整体性原则总体规划、分步实施、不断完善原则安全系统设计原则安全系统建设方案通州电子政务网的信息安全建设目标是:对部分核心计算机网络系统的安全进行全方位的安全防范,保证内部信息和数据安全和系统顺利运行,安全而且实际可行。具体包括:(1)保护网络系统的可用性;(2)保护系统服务的连续性;(3)防范网络资源的非法访问及非授权访问;(4)防范入侵者的恶意攻击与破坏;(5)保护网络信息在存储、处理、传输等过程环节上的机密性、完整性;(6)防范病毒的侵害;(7)实现网络的安全管理。安全系统建设目标安全系统建设方案(一)、安全区域划分—安全域安全区域是指在属性上具有一定安全性质和需求的一定数量物理设备或逻辑功能的集合。划分安全区域的好处在于制定统一的安全策略、控制有害信息的传播范围、缩定安全问题源。根据通州电子政务网的应用特性,建议系统划分3个逻辑上的安全区域,具体是:通州电子政务网核心网安全区域:为通州电子政务网核心网与接入单位以及南通电子政务网的安全边界划分;服务器安全域:为服务器群与普通业务数据之间的安全边界划分;南通电子政务网安全域:通州电子政务网核心网与南通电子政务网的安全边界划分;为各部门根据行政归属划分的安全域,各部门之间的安全隔离与互访。安全系统设计安全系统建设方案(二)网络划分—网络分段基于MAC的VLAN不能防止MAC欺骗攻击,面临着被假冒MAC地址的攻击的可能。因此,VLAN的划分最好基于交换机端口。这就要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的V