某市水利局网络升级及系统安全建设方案Word下载.docx
《某市水利局网络升级及系统安全建设方案Word下载.docx》由会员分享,可在线阅读,更多相关《某市水利局网络升级及系统安全建设方案Word下载.docx(34页珍藏版)》请在冰豆网上搜索。
XX市三维电子沙盘系统即XX市水利地理信息系统。
1.4目前存在的问题
(1)核心交换机CISCOCATALYST2950于2002年9月采购,早已过维保期,目前总局包含下属的水利站总PC台数已经超过200,以其为核心的网络架构已无法满足新商业环境和IT技术迅速变化的需要。
(2)由于下属的水利站分支机构均通过MPLS-VPN与总局互联,并且分支机构没有自己的出口,全部通过总局的100M光纤出口,因此对总局的网络性能和吞吐量有较高的要求,而从整体上看,现有网络覆盖面窄,传输能力低,远远不能满足水利业务的需求;
网络缺乏有效的安全措施,总局和分支机构使用的趋势的杀毒软件也已到期。
对局域网内的PC使用情况缺乏有效的监督和管理,制约了信息技术应用整体水平的提高。
(3)局数据中心既是实现互联互通、数据交换和信息共享的关键,同时又负责水利工作的管理监督、防汛决策及统计数据的采集、汇总和上报等。
该数据中心建立是进一步实现XX水利局信息共享和信息标准化的核心内容。
另外XX水利局的所有数据及核心业务都依赖本地相关的服务器和网络通讯设备支撑,万一发生灾难事故,必定会造成严重影响和巨大损失。
为保证系统内核心业务和关键数据的有效性,势必需要做一个安全可靠的灾难备份。
二、建设目标
针对局内目前的IT状况,网络系统改造目标为:
1.更换和升级硬件设备,并部署新的系统,解决目前存在的问题,并大大提高系统运行的速度,对网络进行VLAN划分和IP子网的重新划分,提高网络系统的可管理性。
2.增加网络安全设备,制定网络运维规范,提高网络安全性。
本次项目建设从技术的角度,将着重从边界防护、系统加固、数据传输的机密性、应用系统的安全防护、系统灾难恢复等多个方面进行,在中心部署防火墙、文档安全保护系统、网络流量管理、网络防病毒、Web应用防护系统
3、建设本地双机热备和异地灾备系统,保证数据中心核心业务和关键数据的有效性,有效避免万一发生灾难事故,造成严重影响和巨大损失。
三、建设方案
本方案主要从基础网络升级、网络安全、本地双机和异地灾备三个方面展开阐述。
3.1基础网络升级改造方案
3.1.1基本网络升级
将原来核心交换机更新为更高配置、更为先进的新核心交换机,配置2块交换路由引擎,核心交换机必须满足提供高达768Gbps的背板带宽和492Mpps的数据转发速率,提供完全无阻塞的L2/L3/L4数据交换能力,提供一个集成网络弹性、高可用性、扩展性和安全性的融合网络平台,提供对单位未来业务和技术的平滑过渡,如:
ipv6,城域以太网等;
在核心交换机上配置2块1400W相同瓦特电源,形成1+1的电源冗余方式,提供单电源供电,在主电源失效的情况下不会中断交换机电源供电,保证网络的高可用性;
将原先核心交换机更换,具体参数如下:
功能特性
特性参数
电源要求
双电源冗余
整机交换容量
≥768Gbps
背板容量
≥1.6Tbps
IPv4包转发率
≥492Mpps
槽位数量
不小于8
业务槽位数量
不小于6
★接口特性
配置双路SalienceVI-Lite交换路由模块冗余;
24端口千兆以太网电接口模块;
24端口千兆/百兆以太网光接口模块
★二层特性
支持IEEE802.1P(CoS优先级)
支持IEEE802.1Q(VLAN)
支持IEEE802.1d(STP)/802.1w(RSTP)/802.1s(MSTP)
支持IEEE802.1ad(QinQ),灵活QinQ和Vlanmapping
支持IEEE802.3x(全双工流控)和背压式流控(半双工)
支持IEEE802.3ad(链路聚合)和跨板链路聚合
支持IEEE802.3(10Base-T)/802.3u(100Base-T)
支持IEEE802.3z(1000BASE-X)/802.3ab(1000BaseT)
支持IEEE802.3ae(10Gbase)
支持IEEE802.3af(PoE)
支持IEEE802.3at(PoE+)
支持RRPP(快速环网保护协议)
支持跨板端口/流镜像
支持端口广播/多播/未知单播风暴抑制
支持JumboFrame
支持基于端口、协议、子网和MAC的VLAN划分
支持SuperVLAN
支持PVLAN
支持MulticastVLAN+
支持点到点单VLAN交叉连接、双VLAN交叉连接
全部依靠VLAN-ID进行转发,不涉及MAC地址学习
支持最大VLANMAPING/灵活QinQ表项
全面支持1:
1,2:
1,1:
2,2:
2VLANMAPPING能力
支持GVRP
★路由特性
支持ARPProxy
支持DHCPRelay
支持DHCPServer
支持静态路由
支持RIPv1/v2
支持OSPFv2
支持IS-IS
支持BGPv4
支持OSPF/IS-IS/BGPGR(GracefulRestart优雅重启)
支持等价路由
支持策略路由
支持路由策略
组播特性
支持IGMPv1/v2/v3
支持IGMPv1/v2/v3Snooping
支持IGMPFilter
支持IGMPFastleave
支持PIM-SM/PIM-DM/PIM-SSM
支持MSDP
支持AnyCast-RP
支持MLDv2/MLDv2Snooping
支持PIM-SMv6、PIM-DMv6、PIM-SSMv6
ACL/QoS
每单板最大支持16KACL
支持标准和扩展ACL
支持基于VLAN的ACL
支持Ingress/EgressACL
支持Ingress/EgressCAR,粒度可达8Kbps
支持两级Meter能力
支持VLAN聚合CAR,MAC聚合CAR功能
支持流量整形(TrafficShaping)
支持802.1P/DSCP优先级Mark/Remark
支持层次化QoS(H-QoS),支持三级队列调度
支持队列调度机制,包括SP、WRR、SP+WRR、CBWFQ
支持每端口8队列
支持拥塞避免机制,包括Tail-Drop、WRED
支持N:
2Mirroring
MPLS/VPLS
支持L3MPLSVPN
支持L2VPN:
VLL(Martini,Kompella)
支持MCE
支持MPLSOAM
支持VPLS,VLL
支持分层VPLS,以及QinQ+VPLS接入
支持P/PE功能
支持LDP协议
在水利局各楼层的配线间配置汇聚交换机并配置多模光模块,通过光纤连接到核心交换机,提供网络接入层到网络核心层的光纤高速接入,保障网络的高速通道;
分支机构通过MPLS-VPN技术与水利局中心机房建立连接。
汇聚交换机主要参数:
背板交换容量
256Gbps
交换容量
(全双工)
192Gbps
包转发率(整机)
96Mpps
外形尺寸(长×
宽×
高)
(单位:
mm)
440×
300×
43.6
重量
4kg
管理端口
1个Console口
业务端口描述
24个10/100/1000Base-T以太网端口
4个复用的1000Base-X千兆SFP端口
扩展插槽
2个扩展插槽
可选接口模块
单端口10GEXFP接口模块
两端口10GEXFP接口模块
两端口10GECX4接口模块
两端口SFP接口模块
两端口SFP+接口模块
端口聚合
支持LACP
支持手工聚合
支持最多14/26个聚合组,每组支持最多8个GE或4个10GE端口
端口特性
支持IEEE802.3x流量控制(全双工)
支持基于端口速率百分比的风暴抑制
支持基于PPS的风暴抑制
MAC地址表
支持32K个MAC地址
支持黑洞MAC地址
支持设置端口MAC地址学习最大个数
★VLAN
支持基于端口的VLAN(4K个)
支持基于MAC的VLAN
基于协议的VLAN
基于IP子网的VLAN
支持QinQ,灵活QinQ
支持VLANMapping
支持VoiceVLAN
二层环网协议
支持STP/RSTP/MSTP
支持RRPP
DHCP
DHCPClient
DHCPSnooping
DHCPRelay
DHCPServer
DHCPSnoopingoption82/DHCPRelayoption82
IRF2
智能弹性架构
支持IRF2智能弹性架构
支持分布式设备管理,分布式链路聚合,分布式弹性路由
支持通过标准以太网接口进行堆叠
支持本地堆叠和远程堆叠
IP路由
支持RIPv1/v2,RIPng
支持OSPFv1/v2,OSPFv3
支持BGP4,BGP4+forIPv6
支持等价路由,策略路由
支持VRRP/VRRPv3
MCE
支持
★IPv6
支持ND(NeighborDiscovery)
支持PMTU
支持IPv6-Ping,IPv6-Tracert,IPv6-Telnet,IPv6-TFTP
支持手动配置Tunnel
支持6to4tunnel
支持ISATAPtunnel
组播
支持IGMPSnoopingv1/v2/v3,MLDSnoopingv1/v2
支持组播VLAN
支持IGMPv1/v2/v3,MLDv1/v2
支持PIM-DM,PIM-SM,PIM-SSM
支持MSDP,MSDPforIPv6
支持MBGP,MBGPforIPv6
镜像
支持流镜像
支持N:
4端口镜像
支持本地和远程端口镜像
QoS/ACL
支持ACL
支持L2(Layer2)~L4(Layer4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP(IPv4/IPv6)地址、目的IP(IPv4/IPv6)地址、TCP
升级会员 