某公司韶关城建局城域网解决方案

《某公司韶关城建局城域网解决方案》由会员分享，可在线阅读，更多相关《某公司韶关城建局城域网解决方案（13页珍藏版）》请在装配图网上搜索。

1、最新 精品 Word 欢迎下载 可修改韶关城建局城域网解决方案 湖南计算机股份有限公司2021.6一、 网络设计目标 ：韶关城建局计算机网络信息平台是要利用当前先进的计算机网络技术，在总体规划的前提下，将韶关城建局的所有网络资源互联起来，进行合理的利用、配置和共享，充分体现计算机网络技术所带来的先进、高效、快捷的特性。我们建设“韶关城建局计算机网络”的总体目标应定位在：利用计算机网络和数据库等现代化网络技术将城建局各个部门的数据有机地集成起来，综合运用现代管理技术、信息技术、自动化和系统工程技术，以实现城建局的整体优化，显著提高城建局的经济效益和社会效益；并联入因特网，和世界信息共享。将新一代

2、智能大厦办公网络设计理念和城建局行业应用的特点紧密结合起来，建成新一代的智能大厦办公网络的典范。 二、网络设计要求：根据城建局行业应用的需求分析及其对网络的要求，网络设计遵循以高性能、高可靠、高度安全、和先进的服务质量（QoS）为核心的设计要新一代智能大厦网络主导技术的设计思想。三、网络逻辑设计：网络逻辑设计融合了网络层次设计，拓扑设计，IP子网设计。建立一个以韶关市城建局为中心，以下八县三区城建分局及三个单位子网子节点的内部网，并为今后开辟IP语音等增值服务奠定了良好的基础。 韶关市城建局网络中心通过韶关电信接入DDN网，通过DDN专线与各城建分局相连。内部网只在市城建局网络中心设置163及

3、169电信网出口，所有子节点都通过市城建局网络中心的出口访问Internet或169网。在各子节点设置拨号服务器，提供拨号接入服务。在各子节点所在范围内可以直接拨号访问内部网并通过内部网访问Internet。员工出差到下级地区，可直接拨入就近地区的拨号服务器，或使用VPN（虚拟私有专网）服务来访问城建局内部网。在韶关市城建局的局域网需支持近100个用户，因此采用了HDS5524F交换机以及HDS4524为用户提供100MB的接入带宽，利用HDS5524F的100MB端口连接中心路由器Cisco 3620，及连接隔离内外网方正方御防火墙FG-FW；在中心路由器Cisco 3620上配置了一块NM

4、-8A/S模块为各分支节点提供了可达128K 的DDN的接入端口；在与163和169网连接时，考虑到系统高安全性的要求，选用了方正方御防火墙FG-FW，安全有效隔离了内网和外网。 8县3区等分支节点考虑到投资成本及将来内部IP电话的发展，选用了支持语音功能的Cisco 2611路由器，通过64K或128K DDN专线与总部连接。网络逻辑设计融合了网络层次设计，拓扑设计，IP子网设计。1. 层次设计网络层次设计上通常分为三层结构，即核心层、分布层、接入层。城建局网络结点分布在4个区域：1、4、5楼办公区、6、7楼办公区、8、9楼办公区、8县3区城建分局和3个单位子网，根据各区域应用的不同要求，采

5、用了相应的层次设计。参照网络总体设计图, 整个网络层次设计具体如下所述：路由器：Cisco 3620路由器从设计之初就将高性能、灵活性和优异的性能价格比考虑在内，因此是特别适合韶关市城建局网络的多功能分支机构之间实现网络互连的。Cisco 3620底板具有80MHz主频的R4700 RISC处理器，吞吐量为2040 Kpps（万信息包）。其模块化的设计思想使得Cisco 3620在分支办公室路由选择，多业务语音/视频/数据集成，ISDN拨号访问，VLAN间路由选择，SNA集成和WAN业务集中等方面均有所长，在中望网实施中，正是通过添加了NM-8A/S模块，为各地分公司提供了128K DDN的接

6、入服务，并为将来的IP语音提供了可靠的基础。 Cisco 3620路由器划时代地将拨号访问，LANLAN路由用于网络多媒体应用、传统通讯支持和预期未来技术（如数字用户线路xDSL和语音/视频/数据集成网络）三方面的集成中，过去用户必须至少购买三种设备才能满足要求，现在Cisco 3620将三种功能集成到一个平台上。无疑地，中望网因此将在可靠性、管理性、灵活性和性能价格比方面具有显著的优势。Cisco 2611路由器是Cisco专为远程分支机构提供的具有更高灵活性和投资保护的接入设备。在多业务语音/视频/数据集成，部门拨号服务，VPN接入等方面具有优异性能，是Cisco语音/视频/数据集成策略的

7、关键部分之一，提供业内最大范围的基于IP的端到端信息包电话网关解决方案。Cisco 2611有两个LAN接口，两个WAN接口，一个高密度Cisco网络模块槽和一个AIM槽。在多业务集成方面，Cisco 2611安装Cisco话音/传真模块后就能提供与众不同的数据和语音服务质量；2611还支持现场升级，可以很容易地改变网络接口而不必对整个远程分支机构解决方案进行全面升级，这对于中望公司不断扩大的各地分公司来说尤为适用；2611还提供冗余电源（RPS），以便在主链路出现故障时自动恢复数据和话音服务。 Cisco 3620和2611具有相同的管理界面，都可以通过Cisco著名的IOS软件进行管理，包

8、括RSVP网络资源预备协议，策略路由，IP优先级，WRED加权随机早期检测，WFQ加权公平队列，CAR限制访问速率，通信流量管理-NetFlow交换和数据输出，扩展访问控制列表（扩展ACL），分布式交换和服务，标志交换等关键技术的使用，充分保障了内部网IP服务质量（IP QoS）。核心层：采用一台智能网管型二层交换机HDS5524F。为保证服务器的高数据传输率，直接以100M端口与各服务器相联，使下级工作站的大量访问数据得以畅通无阻；9.6G的背板带宽，充分保证网络的高速性，避免网络瓶颈的出现；具有广播风暴控制；第二层线速交换。办公区接入层：采用HDS4524，10M/100M的用户端口，并提

9、供标准完善的管理功能。HDS4524系列交换机支持基于端口的VLAN，使各部门的局域自成体系，增强安全性并隔离了广播风暴。远程接入用户：采用Cisco 2611路由器，通过DDN连接市城建局网络中心Cisco 3620路由器。2.网络拓扑 参照网络总体设计图：2. IP子网设计根据城建局网络系统的区域特点，IP子网设计中将每个业务部门划分为一个IP子网，各部门服务器划分到相应的子网，共享服务器采用基于IP子网的VLAN方式映射到相应的多个子网中。不同子网之间 的通讯通过基于策略的路由和访问控制来实现。3. 流量设计根据业务流量分析，在流量设计上采用负载均衡和带宽匹配的原则。服务器组与核心交换机

10、通过两条全双工百兆链路互连，实现全双工400Mbps负载均衡的高速可靠的传输通道，构成网络的高速主干。分布层结点、通过1条全双工百兆链路连接到核心层结点，保200Mbps的高速可靠传输。用户端提供灵活的10M或100M自适应的接入方式。4网络安全设计从今后长远的网络可靠性角度来说，网络安全性必将成为系统安全运行和内部资源保护的一种重要手段。这一点，在信息中尤显得更加重要，因此，网络安全的手段应主要包括：1、访问控制，2、用户认证，3、入侵检测，4、内容审查，5、病毒防范6、防火墙设置防火墙：采用方正方御防火墙FG-FW。利用防火墙隔断内网与外网，统一部署安全策略，为内网设备与数据信息提供安全保

11、障；利用入侵检测实现发现攻击企图，为内部提供更多的可了解信息；利用扫描器对自己的网络进行安全扫描，评估内部风险，并定期维护内网安全。FG1000M是一款基于包过滤的防火墙，除了防火墙功能外，还集成了许多有价值的网络安全工具，主要包括：入侵检测系统（IDS），虚拟局域网支持（VLAN），路由选择协议控制，网络地址转换（NAT），双机热备，完备的审计功能，完善的访问控制等，如下图：（具体技术参数见方正方御千兆防火墙白皮书）防杀病毒：采KILL 100 USE PACK。实时查杀所有病毒（先进的技术 、 全球化的病毒检测机构）不影响系统性能（网络效能、 兼容性）全面、安全、灵活的管理及升级方式，本地

12、化的服务和支持。同时采用层层设防、集中控制、以防为主、防杀结合的防病毒策略。见下图：详见：KILL安全胄甲解决方案四、方案论证：1. 高可靠性为了防止局部故障引起整个网络系统的瘫痪，要避免网络出现单点失效。在网络骨干上要提供备份链路，提供冗余路由。在网络设备上要提供冗余配置，保证把局部故障对网络的影响降低到最小。主干网的设计和选用的设备均具有很高的可靠性与可用性，具体表现在： 充分保证骨干网上在核心交换机HDS5524F及其电源模块、千兆交换模块不存在单点失败； 接入交换机HDS4524F及其电源模块/百兆交换模块不存在单点失败； HDS5524F和HDS4524之间的百兆光纤链路不存在单点失

13、败；2. 高效性为了及时、迅速地处理网络上传送的数据、语音和视频，网络设备必须具备高速处理能力，提供高速数据链路，保证网络高吞吐能力，满足各种应用（如：图文发送和视频会议系统）对网络带宽的需求；主干交换机采用基于ASIC分布式处理的体系结构，充分保证了线速转发提高性能，消除集中式处理的瓶颈难题。主干网的高容量，主干网为全连接的结构，提供了9.6Gbps的主干背板容量和100Mbps链路带宽。3. 高度安全性为了保护用户在网络上数据的安全可靠，必须提供多种方式和层次的访问控制，通过使用VLAN、包过滤及防火墙等技术保证数据的安全传输。方案中提供多种方式和层次的访问控制安全机制，可进行端到端的安全

14、性控制。主要包括： VLAN的划分在缩小广播域规模的同时，提供了局域网的安全控制；HDS的包过滤功能非常强大，在每个以太端口上均可加载输入输出过滤器，每个过滤器通过深层过滤监测数据包 为了保护用户在网络上数据的安全可靠，必须提供多种方式和层次的访问控制，通过使用VLAN、包过滤及防火墙等技术保证数据的安全传输。4. 先进的QoS办公大楼网络提供了一个综合的办公网络平台来承载图像、语音和数据业务，因此提供先进的QoS机制是必不可少的。通过实现QoS, 可以充分保证图像、语音等应用有较高的带宽和较小的延迟。湖南计算机股份有限公司网络通信及安全事业部的解决方案可以通过对优先级队列、IPMultica

15、st优化(IGMP/DVMRP)的支持保证在千兆位以太网环境中对多媒体应用的支持。例如使用IPMulticast技术和VideoServer可以在整个骨干网中播放MPEG-1或MPEG-2图像，并可以在不引入大量广播数据包的情况下完成骨干网内部的视频广播。多点广播队列还可以防止拥塞，在高负荷的情况下保持性能。此外，单点广播队列和多点广播队列可以在繁忙的网络环境中提供低延时信道，保证时延敏感的多媒体应用的正常运行。在HDS中还支持8个优先级队列，并且可以根据数据包的端口、MAC地址、VLAN、IP流进行优先级的划分，使视频、语音等应用有较高的优先级，以保证其带宽和时延要求。五、方案特色 1. 韶

16、关城建局网络核心骨干网采用代表业界高性能的智能性千兆交换机HDS5524F；2. 韶关城建局网络接入交换机采用高可靠/高性能10/100/M交换机HDS4524，采用业界良好的容错设计 ；3. 网络设备之间的链接全部采用最具特色的负载均衡和链路容错设计，充分保证任一链路的可靠性并发挥其最大的利用率 ；4. 提供端到端的服务质量(QoS)、虚拟网功能(VLAN)，充分满足接入用户的服务质量和用户服务的灵活性、安全性的要求 5. 用户端全部采用10M/100M最灵活的接入方式入网，具有最大的可伸缩性和扩展能力 6. 网络及系统管理方便，集成业界最出色的IP服务功能，采用策略化网络管理附件：投资预算编号产品型号价格数量备注01CISCO362016800102CISCO3640375001建议使用该型号03方正方御防火墙FG-FW550001参考报价：7200004方正方御防火墙FG-P440001参考报价：5880005KILL 6.0 1560001100用户06HDS5524F51001参考报价：560007HDS452424803参考报价：290008HDM6510-SX-SC1端口千兆（SC）模块29101参考报价：3200可选