《【网络工程规划与设计案例教程】项目五_任务1_长沙市电子政务一期工程内外网平台实施方案3.doc》由会员分享,可在线阅读,更多相关《【网络工程规划与设计案例教程】项目五_任务1_长沙市电子政务一期工程内外网平台实施方案3.doc(101页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流【网络工程规划与设计案例教程】项目五_任务1_长沙市电子政务一期工程内外网平台实施方案3.精品文档.长沙市电子政务外网平台实施方案湖南省电信有限公司长沙市分公司2008年1月目 录1.建设原则 11.1建设原则 11.2标准及规范 22.网络平台实施方案 42.1长沙市电子政务外网网络平台方案 42.1.1网络平台总体方案设计 42.1.2数据中心网络设计 42.1.3Internet出口设计 62.1.4IP地址和VLAN规划 72.1.5主机名规划 112.1.6IGP路由规划 112.1.7MPLS VPN规划 122.1.8设备端口规
2、划 182.2长沙市电子政务内网网络平台方案 212.2.1网络平台总体方案设计 212.2.2IGP路由设计 222.2.3主机名规划 232.2.4IP地址和VLAN规划 232.2.5设备端口规划 313.安全产品实施方案 363.1出口防火墙部署方案 363.2VPN网关部署方案 373.2.1实施部署规划 373.2.2实施调试规划 373.3防DDOS网关部署方案 383.4上网行为管理系统部署方案 383.4.1实施部署规划 383.4.2实施调试规划 393.5防病毒软件部署方案 394.负载均衡设备实施方案 434.1负载均衡设备部署 434.2Linkproof对流出(Ou
3、tbound)流量的处理过程 444.3Linkproof对流入(Inbound)流量的处理过程 444.4用户会话表的操作 465.服务器和存储设备实施方案 475.1总体结构 475.2服务器功能分布 475.3阵列功能分布 485.4服务器地址分配表 485.5软件配置清单 495.6数据库安装配置 496.网络管理实施方案 517.通信线路实施方案 537.1设计原则 537.2通信线路技术选择 537.3广域网组网方案 547.3.1155M MSTP数字电路组网方案 547.3.2市核心节点 557.3.3155M线路接口规范 557.4城域网组网方案 567.4.1裸光纤组网方案
4、 567.4.2光纤接口规范 567.5中心节点接入工程设计 567.6分支节点接入工程设计 587.6.1(示例)市广播电视局节点接入方案 587.6.2其他节点接入工程设计 608.弱电井改造实施方案 638.1原布线系统介绍 638.1.1建筑物内部原主干布线路由 638.1.2综合布线系统划分 638.2弱电井现状及改造内容 648.2.1现状 648.2.2弱电井改造内容 648.2.3该改造工作特点 648.3改造方案 648.3.1垂直干线子系统改造 648.3.2垂直干线布线改造设计 658.3.3光缆的施工 668.3.4管道光缆的敷设 668.3.5光缆的接续、终端 688
5、.3.6配线间子系统(弱电井改造) 718.3.7弱电井强电及接地改造 788.4工程施工 798.4.1安装施工的基本要求 798.4.2工程施工技术准备 798.4.3工程施工前检查 798.4.4工程验收及测试 838.4.5工程验收 849.网络割接方案 909.1割接方案概述 909.2市政务服务中心2M割接 909.3市政府出口百兆割接 909.4市政府用户割接至新建网络 9110工程配合需求 9311.工程实施组织安排 9411.1项目组织结构 9411.1.1项目组织结构图 9411.1.2项目实施结构图 9411.1.3项目管理组织结构图 9511.1.4项目团队市政府组成
6、9511.1.5项目团队电信方组成 9511.2工程项目组织 9611.2.1工程实施的人力资源初步计划 9611.2.2工程实施过程中紧急事件处理策略 9611.3设备材料进场管理 9711.4安全生产计划 9711.5售后服务组织 9712 验收测试 9812.1测试方案 9812.1.1设备单机测试 9812.1.2服务器和存储系统测试 9812.1.3网络设备测试 9912.1.4安全设备测试 10012.1.5应用软件功能测试 10012.1.6网络连通性测试 10112.1.7网络冗余性测试 10112.1.8网络安全性测试 10213 培训 10313.1培训目的 10313.2
7、培训方式 10313.2.1集中培训 10313.2.2现场培训 10313.3培训方法与教材 10313.4培训内容与范围 10413.4.1培训内容 10413.4.2参加人员 10413.5培训环境 10413.5.1场地 10413.5.2设备 10413.5.3现场管理 10413.6培训计划与安排 1041. 建设原则1.1 建设原则根据中央办公厅、国务院办公厅转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知(中办发200618号)的要求和长沙市的实际情况,长沙市电子政务内外网平台的建设目标是建设覆盖全市各级政府部门的互联互通信息网络平台。为达到以上目标,本次网络建设
8、的主要原则是:先进性、实用性原则从较高的起点对网络建设进行规划,充分采用先进成熟的网络技术,满足长沙市电子政务平台各种业务实时数据、非实时数据传输需要。在方案中采用新技术、新功能,采用电信公司的传输和数据网络资源为长沙市电子政务专网平台提供全面的解决方案,形成统一先进的通信系统。工程建设方案要面向未来,技术必须具有先进性和前瞻性,以确保在未来3-5年内不落后,同时也要坚持实用的原则,在满足性能价格比的前提下,坚持选用符合标准的,先进成熟的产品和开发平台。可靠性原则网络设计过程中从网络技术、电路保护、设备等多方面考虑电子政务专网平台的可靠性,保证数据传输的安全可靠。同时提供的724的服务保障,从
9、技术和服务两方面保证长沙市电子政务内外网平台的可用性达到要求。成熟性和发展性的结合工程建设应首先采用符合目前业界计算机及应用系统发展趋势的主流技术,技术先进并趋于成熟的,被公众认可的优质产品。既要保证当前系统的高可靠性,又能适应未来技术的发展,满足多业务发展的要求。要本着“有用、适用和好用”的原则,不片面追求硬软件设施的先进性,强调整个系统的可连接性和整体布局、应用的合理性。经济性原则通过技术经济比较,性能价格比较,选择优化的网络结构和网络技术,尽可能利用和保护现有设备和投资,做到从实际出发,制定经济、合理的方案,以最小的网络建设和网络维护成本建设一个高可用、高安全的电子政务专网平台。可管理性
10、原则电子政务系统是一个比较大、较复杂的系统,它包含大量硬件设备、软件系统和数据信息资源,这些资源分布在全区各部门,因此系统的技术方案要为市政府提供多层次、方便、有效的管理手段,为系统正常运行提供网络技术管理保障。标准性原则现有信息技术的发展越来越快,为了使该系统在未来运行过程中其技术能和整个信息技术的发展同步,系统应具有备灵活适应性和良好的可扩展性,系统的结构设计和产品选型要坚持标准化,首先采用国家标准和国际标准,其次采用广为流传的实用化工业标准。可扩充性原则考虑到市政府电子政务内、外网平台各种应用业务的飞速发展,网络承载的信息流量不断增加。长沙市政府电子政务内、外网平台的设计中充分考虑未来带
11、宽扩容的需要,从网络和设备的配置上都保留一定的扩充余地,便于融入随着新技术发展带来的新功能,满足长沙市政务不断发展的业务需要。1.2 标准及规范国家、省市有关信息化的政策法规和技术规范,是电子政务建设顺利实施和健康运行的重要保证。本方案将参照国家关于信息化和电子政务建设的法律、法规、相关政策以及各种技术标准规范,湖南省、长沙市电子政务建设的相关政策和规划进行编制。湖南省电子政务外网平台技术规范( 湖南省信息化领导小组 2006-10-01)信息系统安全等级保护定级指南国家政务外网网络互连及安全防护指南_征求意见稿信息安全等级保护管理办法(公安部、国家保密局、国家密码局、国信办联合发布,公通字2
12、007 43号)国家政务外网网络互连及安全防护指南_征求意见稿,是2007年9月关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知(中办发200217号) 2002年8月5日中共中央办公厅 国务院办公厅转发国家信息化领导小组关于推进国家电子政务网络建设的意见的通知(中办发200618号)国务院办公厅关于印发全国政府系统政务信息化建设2001-2005年规划纲要的通知 (国办发200125号)电子政务标准化指南(征求意见稿)国家标准化管理委员会、国务院信息化工作办公室 2003年2月国务院信息化工作办公室、科学技术部、信息产业部关于印发电子政务工程技术指南的通知 (国信办2003 2号
13、)互联网信息服务管理办法中华人民共和国国务院令(第292号)2000年9月25日计算机信息系统国际联网保密管理规定国家保密局2000年1月1日中华人民共和国计算机信息系统安全保护条例国务院令147号 1994年2月18日加强计算机信息网络保密管理的通知(中保委发【2002】4号)计算机软件保护条例(国务院令2001年第339号)计算机场地通用规范(GB28872000)电子计算机机房设计规范(GB 5017493)湖南省电子政务外网平台技术方案湖南省电子政务外网平台应用规范(讨论稿)中共湖南省委办公厅 湖南省人民政府办公厅转发省信息化领导小组关于加强电子政务外网平台建设和管理的意见的通知(湘办
14、发200625号)2. 网络平台实施方案2.1 长沙市电子政务外网网络平台方案2.1.1 网络平台总体方案设计对于长沙市电子政务外网平台这样的大型网络,我们采用标准的分层设计模型,将整个政务外网在逻辑结构上分为核心层、汇聚层和接入层三个层次。核心层设置两台高端路由器H3C SR8805,采用设备全冗余、线路全备份结构,负责将长沙市政务外网接入到省政务外网的骨干,同时为汇聚设备提供接入。在市委、市政府、河东各设置一个汇聚点,每个汇聚点设置一台高端三层交换机H3C S9505作为汇聚设备,通过双上行冗余线路连接至核心路由器,每个区县各设置一个汇聚点,各设置一台中端路由器(或交换机)作为汇聚设备,通
15、过双上行冗余线路连接至核心路由器。每个单位各设置一台三层交换机H3C S3600-28TP-SI或者二层交换机H3C S3100-26TP-SI作为接入层设备。电子政务外网拓扑示意图:图2.1电子政务外网拓扑示意图2.1.2 数据中心网络设计长沙市电子政务外网平台需建立内部数据中心和外部数据中心,分别部署在网络的不同安全区域,内部数据中心部署协同办公平台等内部应用需求,外部数据中心部署门户网站等应用需求。l 内部数据中心合理规划数据中心网络,保障各种类型设备之间网络通信畅通是关系数据中心整体性能的重要因素。同时,对数据中心网络结构的合理规划,对于数据中心日后的运行维护也具有很大影响。我们设计的
16、内部数据中心采用冗余设备、冗余线路的网络结构,两台三层交换机实现服务器群的接入和整个数据中心的核心交换,我们选择H3C的S5500-28C-EI交换机,配置多个千兆交换接口。两台三层交换机上配置VRRP热备份协议,作为服务器的冗余网关;当一台交换机出现故障时,虚拟网关可由另外一台交换机接管。同时按照业务功能区域,在三层交换机上划分VLAN,并根据各个业务功能区域安全运行级别,配置访问控制列表,以过滤子网间的通讯,隔离数据流,做到基本的安全防护。为了保证内部数据中心服务器的安全,我们还配置了两台并联的千兆防火墙,防火墙可以工作在ACTIVE-ACTIVE模式,也可工作于ACTIVE-STANDB
17、Y模式实现设备和链路的备份或者负载均衡。来自政务外网的数据流的访问控制功能均在防火墙中实现。内部数据中心网络拓扑示意图如下:图2.2 内部数据中心网络拓扑示意图l 外部数据中心外部数据中心同样采用2台三层交换机作为服务器设备的接入,同时由于外部数据中心是为公众提供服务,势必会有部分业务暴露在互联网上,因此我们考虑将外部数据中心连接到Internet出口防火墙的DMZ区,同时配置一台抗DDOS设备保证服务器的安全。外部数据中心网络拓扑示意图如下:图2.3 外部数据中心网络拓扑示意图2.1.3 Internet出口设计根据湖南省电子政务外网平台技术规范,市(州)级政务部门应通过市(州)网络中心统一
18、的互联网出口联接互联网,因此,长沙市电子政务外网应该提供一个高速、安全、可靠的统一Internet出口。为此,在Internet出口,我们部署两台高性能的千兆防火墙,使用主备工作模式,对内分别连接到上网行为管理设备,对外通过负载均衡器和IPS连接到电信的两个100M出口。负载均衡设备能实现对多条internet接入链路的负载均衡,可以同时实现outbound流量(外部数据中心服务器及政务网用户访问internet)和inbound流量(internet用户访问政务网外部数据中心服务器)双向的负载均衡,同时通过对政务外网内部地址进行地址转换,为政务外网用户提供稳定、安全的Internet访问服务
19、。图2.4 internet接入图2.1.4 IP地址和VLAN规划IP地址的合理规划是网络设计中的重要一环,大型网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。如果要看一个网络的规划质量、如果要看一个网络设计师的技术水准,直接看他的IP地址规划好了。l 地址分配原则唯一性:一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术,也尽量不要规划为相同的地址。连续性连续地址在层次结构网络中易于进行路径叠合,大大缩减路由表,提
20、高路由算法的效率。扩展性地址分配在每一层次上都要留有余量,在网络规模扩展时能保证地址叠合所需的连续性。实意性“望址生义”,好的IP地址规划使每个地址具有实际含义,看到一个地址就可以大至判断出该地址所属的设备。这是IP地址规划中最具技巧型和艺术性的部分。最完美的方式是得出一个IP地址公式,以及一些参数及系数,通过计算得出每一个需要用到的IP地址。l 地址分配方法参照以上分配原则和具体规定,我们在具体分配地址时使用以下技术手段或方法: 采用可变长度的掩码技术(VLSM) 点对点的广域网线路连接,采用30位的地址掩码,最大限度节约地址资源;针对各个局域网的大小,可分别采用25、26、27、28位长的
21、掩码,既节约地址,又便于以后扩充。 局域网、广域网地址采用不同的地址段,并适当留有余地,便于网络扩充时能够使用连续地址。 各段地址尽可能在各地州用于相同的网络。(一)管理和互连地址规划从省中心分配的59地址段中划分一段作为管理和互连地址段,长沙市政务外网所分配的地址段为59.231.144.0/20,共16个C类地址段,我们使用其中第1个C类地址段作为管理地址段,第2个C类地址段作为互连地址段。表2.1 管理地址分配设备端口ip地址备注核心路由器1Loopback059.231.144.1用于全局路由Loopback159.231.144.6用于管理VPN核心路由器2Loopback059.2
22、31.144.2用于全局路由Loopback159.231.144.7用于管理VPN市政府汇聚交换机Loopback059.231.144.3用于全局路由Loopback159.231.144.8用于管理VPN市委汇聚交换机Loopback059.231.144.4用于全局路由Loopback159.231.144.6用于管理VPN河东汇聚交换机Loopback059.231.144.5用于全局路由Loopback159.231.144.9用于管理VPN59.231.144.1063预留市政府汇聚节点接入交换机VLAN259.231.144.64/26详细分配参见用户地址表市委汇聚节点接入交换
23、机VLAN259.231.144.128/26详细分配参见用户地址表河东汇聚节点接入交换机VLAN259.231.144.192/26详细分配参见用户地址表表2.2互连地址分配表设备ip地址备注核心路由器1-核心路由器259.231.145.0/3059.231.145.4/30核心路由器1-市政府汇聚交换机59.231.145.8/30核心路由器2-市政府汇聚交换机59.231.145.12/30核心路由器1-市委汇聚交换机59.231.145.16/30核心路由器2-市委汇聚交换机59.231.145.20/30核心路由器1-河东汇聚交换机59.231.145.24/30核心路由器2-河东
24、汇聚交换机59.231.145.28/30核心路由器1-出口防火墙59.231.145.32/29防火墙1-外部数据中心159.231.145.40/30防火墙2-外部数据中心259.231.145.44/30核心路由器1-内部数据中心防火墙159.231.145.48/30核心路由器2-内部数据中心防火墙259.231.145.52/30内部数据中心防火墙1-交换机159.231.145.56/30内部数据中心防火墙2-交换机259.231.145.60/30防火墙负载均衡59.231.145.64/27核心路由器1-省政务外网59.231.145.96/30核心路由器2-省政务外网59.2
25、31.145.100/3059.231.145.100-127预留(二)用户地址规划省中心对各地州的IP地址做了统一的规划和分配,长沙市政务外网所分配的地址段为59.231.144.0/20,共16个C类地址段,内部和外部数据中心使用1个C类地址段,用户地址使用后14个C类地址段,分配原则如下: 内部数据中心和外部数据中心各分配128个地址内部数据中心:59.231.145.128/25外部数据中心:59.231.146.0/25预留:59.231.146.128/25 横向VPN分配1个C类地址段,每个汇聚点分配64个地址市政府汇聚点:59.231.147.0/26市委汇聚点:59.231.147.64/26河东汇聚点:59.231.147.128/26预留:59.231.147.192/26 各市直单位纵向VPN分配59段IP地址,原则上为每个市直单位分配8个地址。纵向VPN用户使用私网172地址段,由汇聚交换机将这些172地址段转换为59地址后在政务网上传播。由于初期各个单位对纵向VPN的需求不确定,因此我们按汇聚点预分配59地址段,一旦某个单位有相应的需求时,再从预分配的地址段中进行地址分配。市委汇聚点单位纵向VPN地址段:59.231.148.0/25市政府汇聚点单位纵向VPN地址段:59.231.148.128/25河东汇聚点单位纵向VPN地址段:59.231.149