搜索
1计算机网络系统3.1概述以山东905工程建设为契机,建设完善人防办公室的电子政务,可以提供更加良好的对外服务、并且提高内部办公自动化水平。利用先进成熟的计算机和通信技术,建设一个高质量、高效率、智能化的计算机网络系统,目的是为领导决策和办公流程提供信息服务,提高办公效率、减轻办公人员负担,节约办公经费,从而实现行政机关的办公自动化、资源信息化、决策科学化。山东905工程信息系统工程的计算机网络系统分为4个独立的子系统,四个网络物理隔离,分别是外网(Internet网)、内网(政务网)、专网(应急指挥网)和一套预留的网络(暂不配设备,只进行综合布线)。3.2设计目标山东905工程自动化指挥系统主要实现战时防空袭、平时防灾害及应付突发事件,为省委、省政府、军区领导决策时提供信息和辅助决策的手段。该系统是整个905工程系统通信指挥系统的重要组成部分,是实现上情下达、上下沟通的通信环节上的要点。构建一套先进的计算机网络系统不光在平时为办公、信息处理、信息传递、协同工作服务,而且要使山东905工程信息系统和相关的政府机关、部队、公安、消防、电信、电力等部门联网,同时还要与所辖各市的人防部门联网。配合专用的人防软件,能将各种信息资料汇总,并能随时进行情报资料的检索。同时可将相应的计算机信息传送至大屏幕上,并能在数字电话会议系统中远程传输。系统设计目标:1)实现人防各部门的信息交换和资源共享,满足每个桌面的计算机均能入网的要求;2)建立远程传输系统,实现在外人员与各部门及时有效的信息交换;3)以网络硬件和各服务器平台为基础,形成Intranet/Internet技术为核心的企业级网络环境,建立办公自动化系统、各种业务系统、对内信息服务系统和对外信息服务系统;4)实现人防各单位的网络互连;5)满足实现与相关政府、部队、公安、消防等系统网络互连的总体需求。3.3系统建设原则根据人防工作的实际应用和发展要求,在进行网络系统设计时,主要应遵循以下原则:统一规划、统一标准、统一设计、统一实施、集中管理、资源共享。具体的设计考虑如下:1)实用性原则:以现行需求为基础,充分考虑发展的需要为依据来确定系统规模。本方案充分满足了系统应用功能和性能的需求,在保证系统安全可靠的情况下,选用性能高、价格优的产品。2)安全性和可靠性原则:计算机网络系统服务于办公和流程的需要,对安全级别要求很高,特别是专网(应急指挥网)。系统应能提供网络层的安全手段防止系统外部成员的非法侵入。网络设计能有效的避免单点失败,在设备的选择和关键设备的互联时,提供充分的冗余备份,一方面最大限度地减少故障的可能性,另一方面要保证网络能在最短时间内修复。3)成熟和先进性原则:网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实用的技术。设备厂商和投标商应有相关领域的丰富经验。计算机及网络技术发展十分迅速,在设计中应顺应主流技术发展,本方案的设计宗旨是“立足今日,着眼未来”,在保证技术成熟的前提下,充分先进技术,满足现有需求,考虑潜在扩充。4)规范性原则:网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准,为网络的扩展升级、与其他网络的互联提供良好的基础。所选网络设备品牌应为业界主流品牌,并且交换机、路由器、无线设备、安全设备、网络管理设备为统一厂家品牌设备,便于系统实施、维护和网络管理。5)开放性和标准化原则:建立一个可靠、高效、灵活的计算机网络系统平台,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互连,远程分部的互联,以及与相关信息系统网际互联,以充分共享资源。这些需求体现在设计时,要求提供开放性好、标准化程度高的技术方案;设备的各种接口满足开放和标准化原则。6)可扩充和扩展化原则:所有网络设备不但满足当前需要,并在扩充模块后满足可预见将来需求,网络的拓扑可以灵活改变,实现如带宽和设备的扩展,应用的扩展和办公地点的扩展等。并保证建设完成后的网络在向新的技术升级时,能保护现有的投资。7)可管理性原则:随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂。整个网络系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。如:可以通过友好的图形化界面,对网络进行虚网划分,设置各子网的访问权限,实施网络的动态监测、配置,数据流量的分析等,简化网络的管理。3.4网络技术需求1)随着网络规模的扩大,如果采用全交换方式,而不具备路由能力时,那么整个局域网将不得不作为一个单一的庞大的广播域来运作,这样会造成任何一个与网络连接的端点发出一个广播报文时,它将穿透所有的交换器而影响整个网络效率,进而引起广播拥塞,导致网络响应时间缓慢到不能接受的地步。网络规模越大,产生这种广播风暴的机率会越高。这就需要采用虚拟网VLAN技术将一个大的广播域分割成互连的几个小的广播域,再通过路由技术以实现VLAN间的互访。但传统的路由器吞吐量低、延迟大、端口数少,且价格昂贵,不适应于应用模式的需要。三层交换机则应运而生,结合了第二层交换的高吞吐量、低延迟和端口丰富的特性,和路由器的安全控制和管理能力。我们建议在省人防网络工程系统中可以考虑引入第三层交换技术。第三层交换技术是现在解决虚拟网通讯的最成熟的技术,它在路由交换机中运行静态、RIP、OSPF或PIM等路由协议,获得网络拓扑信息,通过监听IP信息流,迅速了解与之相连的网络设备端口,直接把第三层信息包(VLAN之间的信息流)发送到其目的端口,而不必将信息包发送给路由器,从而缩短了等待时间,提高了网络速度,降低了设备成本。2)随着人防办职能的逐渐转变,越来越强调各个部门之间的协调、协作与沟通,诸如Intranet和分布式协同计算模式的应用已日趋广泛,这使得任何用户在任何时间都有可能访问任何服务器的资源。下一个瓶颈将在哪里出现是很难预料的。因此,有必要在网络设计时,考虑配置高速交换机,在主干中建立过量的带宽,以确保每一个应用都可以在它需要的时间内得到它需要的资源。3)随着信息产业的发展,计算机系统的能力迅速上升,各种新的图形应用和多媒体应用在网上运行,联网用户急剧增加,网络规模和复杂性不断增长。另外,Intranet/Internet应用模式的采用,使得网络流量更加难以预测。这一切都对网络通信性能提出了更高的要求。采用高速网络技术势在必行。本次网络规划设计为专网千兆核心,千兆到桌面,内、外网千兆核心、百兆到桌面。山东省905工程计算机网络系统是全省人防网络的核心汇聚点。作为全省的数据平台,负责全省的数据转发,必需部署性能较高的核心交换设备。4)在局域网中,可以采用虚拟网技术,针对不同部门划分虚拟网。虚拟网(VLAN)是将一组彼此相关的用户和服务器逻辑地分成工作群组,这样的逻辑划分与物理位置无关,用户、工作站或服务器能够在网络网部任意移动,而始终维持通讯上原有的逻辑关系不变。其实,使用VLAN技术就是把一组用户分配在一个单一的广播域(VLAN)中,在该广播域上的广播流量只有其成员才能够收到。采用VLAN技术,可以实现以下的功能:减少网络管理的工作量;抑制广播风暴,实现网络流量的控制;增加网络的安全性。5)随着网络的日益普及,网络中的攻击行为日益泛滥,迫切要求网络中的设备能够防御各种各样的网络攻击,同样,网络中的交换设备应提供完善的安全防护机制,从控制、管理、转发三平面全面保障网络的安全:在控制平面,要求内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSHV2,基于802.1x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。6)随着网络业务的不断增加,各种各样的业务应用对网络的可靠性不断提出更高的要求。其中核心高端交换设备应采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;可以在恶劣的环境下长时间稳定运行,达到99.999%的可靠性。支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份。通过上述技术,可以在承载多业务的情况下不间断运行,实现业务的永续。3.5本期工程建设方案3.5.1专网建设方案山东省人防专网主要采用双星型组网,地上中心机房和地下的指挥中心各放置一台核心交换机,平时两个核心负载分担业务并且互为备份,战时核心保持不变,不需要搬迁核心设备,满足战时快速部署的需要。双核心与接入层交换机通过1000M光纤连接,实现双上行的线路冗余,所有接入交换机均是千兆到桌面。图3-1专网网络拓扑结构图考虑到专网系统的高可靠性,两台核心交换设备均配置冗余引擎和冗余电源。在广域网出口处通过一台接入路由器连接到军网专网,同时部署千兆防火墙和入侵防御,以实现2-7层(ISO模型)的整网防护。在接入终端PC上部署内网终端准入系统,以实现对网络接入终端的检查、隔离、修复、管理和监控。专网部署IP语音和电话会议系统,语音服务器实现双机冗余配置,同时在用户端部署IP语音电话。专网拓扑图如图3-1。在此结构中,核心设备支持虚拟化技术,可以将两台或多台设备虚拟化成一台核心设备,对于其他设备而言面对的只是一台虚拟设备。当其中任何一台出现突发故障,对虚拟设备而言不会有任何影响,同样对其他所有设备而言也不会有任何影响,所有业务和数据转发不会中断。而传统双核心组网,一旦其中一台核心发生故障,所有业务要迁移到另一台核心,中间会有几秒至十几秒的业务中断,此时的数据会丢失。相比而言,核心设备的虚拟化技术大大提高了网络的可靠性以及安全性。3.5.2内网建设方案鉴于内网系统的可靠性、安全性和交换性能相对于专网级别较低,所以采用单星型组网架构,千兆骨干,百兆到桌面。核心交换机和接入交换机均通过1000M光纤互联。核心交换设备配置单引擎、冗余电源。通过千兆防火墙与省电子政务网互联,对网络层实时保护。内网拓扑图如图3-2。图3-2内网网络拓扑结构图端口隔离也是内网访问控制的一个有效手段,端口隔离是指交换机可以由硬件实现相同VLAN中的两个端口互相隔离。隔离后这两个端口在本设备内不能实现二、三层互通。当相同VLAN中的主机之间没有互访要求时,可以设置各自连接的端口为隔离端口。这样可以更好的保证相同安全区域内主机之间的安全。即使非法用户利用后门控制了其中一台主机,也无法利用该主机作为跳板攻击该安全区域内的其他主机。并且可以有效的隔离蠕虫病毒的传播,减小受感染主机可能造成的危害。3.5.3外网建设方案鉴于外网系统的可靠性、安全性和交换性能相对于专网级别较低,所以采用单星型组网架构,千兆骨干,百兆到桌面。核心交换机和接入交换机均通过1000M光纤互联。核心交换设备配置单引擎、冗余电源。在核心交换机部署防火墙模块,以实现对整个外网的安全域划分,通过配置虚拟防护墙,同时对互联网出口以及内部的各部门实现独立防护。办公外网拓扑图如下:图3-3外网网络拓扑结构图为解决传统基于VLAN和ACL的内网访问控制解决方案的不足,本次提出了以防火墙为核心的内网访问控制解决方案。其核心是可以插入交换机中的防火墙模块,通过防火墙模块对内网各个VLAN之间的访问进行精细化的控制。同时配合交换机的端口隔离特性,实现对同一VLAN内终端之间的访问限制。防火墙模块是将交换机的转发和业务的处理有机融合在一起,使得交换机在高性能数据转发的同时,能够根据组网的特点处理安全业务。防火墙模块可以对需要保护的区域进行策略定制,可以支持所有报文的安全检测,同时防火墙模块支持多安全区域的设置,支持Sec