广州市天河区政府网络升级改造技术方案讲解说明Word文件下载.docx
《广州市天河区政府网络升级改造技术方案讲解说明Word文件下载.docx》由会员分享,可在线阅读,更多相关《广州市天河区政府网络升级改造技术方案讲解说明Word文件下载.docx(59页珍藏版)》请在冰豆网上搜索。
2.1网络可靠性需求 8
2.2网络性能需求 9
2.3网络安全需求 9
2.4投资保护建设 10
2.5网络整体规划建设需求 11
2.6网络维护服务建设 11
3网络系统建设原则 12
4网络系统的设计 15
4.1网络核心层设计 15
4.2网络汇聚层设计 18
4.3网络接入层设计 18
4.3.1方案A 18
4.3.2方案B 20
4.3.3方案A和B比较 20
4.4服务器群网络设计 21
4.5网络安全设计 24
4.5.1大院府网络边界安全防火墙 26
4.5.2街道办事处、居委等接入安全设计 27
4.5.3VPN设计 28
4.5.4网络安全监控、分析、响应设计 28
4.6属下单位互联和Internet宽带接入接入设计 31
4.7网络整体规划 34
4.7.1IP地址的规划 34
4.7.2Vlan规划原则 35
4.8网络拓扑和设备清单 36
5网络系统Qos的实现 37
5.1QoS解决方案 37
5.2Cisco交换机对QoS的支持 39
6网络运维安全设计与实现 41
6.1用户安全管理 42
6.2设备级安全 43
6.3应用程序级安全 44
6.4网络互联时的安全性 44
6.5路由协议安全管理 45
6.6网络安全具体实现 46
6.7网管SNMP的安全性 48
6.8设备的安全性 49
6.9用户的分级管理 51
1项目概述
广州市天河区政府是广州市市政府领导下的管理全区的一级政府机构,肩负着对全区的发展进行战略规划,制定、研究、组织、下达本区国民经济发展战略目标和中长期计划的重任,是相关法令法规和方针政策的监督者和执行者,直接领导着各区委会、各街道办事处,责任重大。
为了加强沟通,保证政令畅通,加快信息的传达,政府办公必须因应信息化社会提出的要求实现政府上网。
实施"
政府上网工程"
旨在推动各级
政府部门为社会服务的公众信息资源汇集和应用上网,实现信息资源共享,这对于全面推进国民经济信息化具有重要意义。
目前,天河区政府政务网络建成并投入使用已有7年之久,应该说为天河区政府的日常工作发挥了巨大的作用。
网络系统已经成为天河区政府开展日常工作必不可少的基础设施和平台,是保证OA办公和信息沟通的重要工具和桥梁。
正因为如此,系统的可靠性、安全性是至关重要的,而两者密切相关;
网络一旦出现故障和病毒,将严重影响政府的日常工作和部署,轻者工作效率低下,重者网络的瘫痪直接导致工作的无法进行,因此必须网络系统的建设和维护必须时刻保证系统的可靠性、安全性。
但是我们也应该看到,天河区政府政务网络经过多年的建设及运行,随着设备的老化和前期网络建设的不断增补,目前的网络系统的可靠性、安全性等都已经不能满足天河区政府政务办公的需求,必须进行重新规划和升级改造。
天河区政府政务办公网络以天河区府大院为中心,分别由天河区府大院、区政府管辖内的各下属单位、各街道办事处、居委等部门网络组成。
天河区政府政务办公网络主要分为四个部分,分别是政府机关大院
网络(共有Cisco网络设备54台,其中交换机51台,路由器3台,分别位于大院内的16个配线间内)、通过电信MPLS VPN连接的机关大院外单位网络(需要维护的光线链路43条)、通过电信帧中继接入的外管中心网络(需要维护的帧中继链路13条)、通过电信ADSL+帧中继方式接入的各居委会网络(183个居委接入)。
大院外单位与信息中心的接入还在不断拓展中。
大院内网络采用二级结构,以一台CiscoCatalystSwtich6506作为大院和整个天河区政府政务网络的核心交换机,而另外一台Cisco6506则作为备份交换机(交换机已经损坏)。
有约40台应用服务器连接在天融信的防火墙上,通过防火墙连接到大院核心交换机。
接入层交换机均分布在15个配线间内,包括3台Cisco Catalyst Swtich 4003、多台Cisco Catalyst Swtich 2948,其余均为Cisco Catalyst Swtich
2924。
外联接入设备有一台CiscoRouter3662和一台Cisco3640路由器,前者负责183个居委、外管中心、人口办等单位的接入,同时作为远程
办公的拨号接入服务器;
后者用于连接市信息中心以及网通链路,而电信链路直接通过另外一台防火墙接入。
天河区政府政务办公网络共计有3000多台PC机实现联网,数据流量大。
整体网络拓扑结构如下:
核心服务器区域
10MbVPN
…
光电转换器
电信Internet
Cisco6500
网通Internet
Cisco3640
市信息中心
Cisco3662
Cisco4003
Cisco2948
Cisco2924
ADSL-FR
各居委
远程办公
大院内局域网接入区域(15个配线间)
从上图可以看出,天河区政府政务网络中存在以下一些迫切需要解决的问题:
1.1网络可靠性低
天河区政府政务网络经过多年的建设及运行,随着设备的老化和前期网络建设的不断增补,不可避免的会产生而设备的老化而引起的一些故障,造成部分用户和部分区域断网。
如在网络核心部分,目前只有1台CiscoCatalystSwtich6506交换机在运行,另外一台则因为引擎的故障原因无法运行;
而核心交换机所用的板卡由于运行多年,故障率也在逐步提高;
考虑到核心交换机是整个网络的中枢,一旦产生故障,后果不堪设想,将造成整个网络的瘫痪。
因此必须考虑核心网络设备的可靠性,满足电信级的不停机要求。
在接入路由器中也存在同样的问题,每一台接入路由器,不管是Cisco3662还是Cisco 3640,都存在着设备部件的单点故障,板卡模块的使用已经多年,因此必须给予充分考虑,保证整个网络的畅通无阻。
在系统的可靠性上,核心交换机能使用的只有1台,而接入层交换机与核心交换机采用单链路的形式,一旦链路产生故障,将导致部分区域无法上网,可靠性不高。
1.2网络性能相对较低
随着网络技术的不断发展,CPU处理能力、ASIC芯片研发水平都有了长足的进步,内存和闪存的容量也增长了上百倍、甚至上千倍;
而现在的网络设备处理的数据流量也在迅猛增加,处理的业务种类(同时处理数据、语音、视频、安全、无线等业务)更是越来越多,既有网络设备的处理能力、内存、闪存空间都不足够以应付最新的挑战。
天河区政府政务网络在规划之初具备了较高的前瞻性,采用了业界性能最好、系统最稳定的思科的产品,在一定时期内保证了性系统的先进性、可靠和可扩性。
但也应该看到,网络技术发展到今天,目前的主流已经是主干千兆、万兆,百兆、千兆到桌面,广域网接入技术从模拟拨号、帧中继、X.25等发到更高速的ADSL、以太网、SDH等接入方式。
因此从目前的角度上,网络性能和速度已经无法满足天河区政府的要求,必须进行升级改造。
1.3网络安全性低
在网络病毒肆虐的今天,保证网络系统的安全性至关重要,网络系统的安全也与系统的可靠性密切相关。
目前,网络病毒的发展非常快,每天都有几百种新的病毒释放出来,新的攻击手段层出不穷;
一旦中毒,感染速度相当快,瞬间就能造成整个网络的瘫痪,影响政府的日常工作,这是我们所不愿意看到的。
新的网络安全形势,必须有新的安全观念和解决办法。
必须改变以往的单点防御的概念,而应该从系统、从整网的角度出发,建立一个自防御的网络安全体系,使网络中的每个元素包括交换机、路由器、防火墙、IPS都成为防御攻击的防御点并且能够互相协作,保证网络设备自身和网络系统的安全,同时在出现网络病毒时,我们必须要有有力的工具能够准确定位出攻击的源头、攻击类型、攻击的路径,并且能够采取切实的措施缓解攻击。
而这都不是目前的网络所能做到的。
1.4网络缺乏一个整体的规划
天河区政府政务网络经过多年的建设,已经建成一个相对较大的网络,覆盖了政府办公所需的绝大部分区域。
但由于网络建设是逐步进行、
逐步增加的,因此整个网络会缺乏一个整体的规划,比如在IP地址分配、Vlan分配、设备命名管理、安全区域划分、安全策略等缺乏统一的规划和管理,这必然要增加管理的工作量,容易造成管理上的混乱,不利于
网络系统的维护运行。
又如路由器接入区域,应该对每一台路由器有一个清晰的划分,哪一台连接外管网络、居委、街道办事处都做统一的管理和安排。
1.5缺乏网络设备件更换和服务
目前天河区政府政务办公网络系统的设备已过保,应考虑接入层设备、核心设备在出现故障时由专业的合作伙伴提供备件更换和升级等服务。
而接入层设备可考虑多配置几台以便在产生故障时及时替换。
综上所述,应对新的网络技术的发展和天河区政府对网络性能、可
靠性、安全性方面提出的全新要求,我们必须对现有的网络系统进行升级改造,建设一个安全、可靠、高速、可扩展、易管理的网络,保证网络系统能够有力支撑天河区政府的日常工作。
2需求分析
针对天河区政府政务网网络系统的现状,我们从网络可靠性、网络性能、网络安全、网络规划、网络管理等方面出发,以实际需求为依据,力争通过本次网络升级改造,为天河区政务政务办公提供一个高速、可靠、安全、易管理有服务保障的网络系统平台,实现数据信息的安全、快速交换和传输。
为此,我们从网络系统的可靠性和性能建设、安全建设、投资保护建设、网络规划建设、网络维护服务建设等方面进行分析,详述如下:
2.1网络可靠性需求
天河区政府政务网络系统的可靠性保证需要从下面几个方面考虑:
1、增加设备的可靠性,即增加关键设备如核心交换机、路由器的可靠性。
增加设备的可靠性可以通过增加核心部件的冗余来达到,如冗余电源、冗余引擎,冗余板卡等。
2、增加系统的可靠性,即从整个系统上保证可靠,如采用两台核心交换机,两台核心互连,保证两台核心交换机能够互为冗余和负载均衡;
从接入层交换机来说,采用双链路上联,增加链路的可靠性。
3、充分考虑核心交换机、路由器等设备的操作系统的可靠性和成熟程度,即要考虑该厂商的交换机和路由器已经得到多年的大规模的应用,性能稳定,在防止网络攻击方面要有很好
的预防机制,保证系统的不停顿运行。
在系统出现故障时保证系统的快速切换,提高可靠性
4、 所采用的核心交换机支持在线诊断功能,以便在业务运行情况下对设备进行诊断,提早发现问题,及时处理。
本次网络升级改造在增强可靠性方面主要从这四个角度进行考虑。
2.2网络性能需求
网络性能需求需要从下面几个方面来满足:
1、速率上必须采用至少千兆主干,百兆到桌面这种方式。
即核心交换机与接入层交换机之间、核心交换机与路由器之间、核心交换机与防火墙之间均采用千兆链路连接;
核心交换机与核心
升级会员 