政府网络工程规划设计方案.docx
《政府网络工程规划设计方案.docx》由会员分享,可在线阅读,更多相关《政府网络工程规划设计方案.docx(29页珍藏版)》请在冰豆网上搜索。
政府网络工程规划设计方案
政府网络工程规划设计方案
一、现状分析
某市市政府办公决策服务系统一期工程从97年7月开始到11月完成,建成了的市政府局域网,1998年总体通过验收。
有关情况如下:
1)市政府局域网拥有33个工作站点,采用100M快速以太网和10M以太网相结合的网络拓扑结构,实现了1-8楼的布线工程。
布线系统采用5类非屏蔽双绞线,2-3楼布线到个房间,1楼和8楼布线到各楼层。
2)机房放置1台Baystack350T10-100M16口的交换机,1楼和4楼共安装了6台8口的10M集线器,2-3楼各安装了1台24口的10M集线器。
3)现网络操作系统为NOVELL4.11,客户端操作系统为Windows95与DOS两部分。
4)软件方面采用MicrosoftOffice95作为办公处理软件,数据库为FoxPro5.0,采用KV300和瑞星防病毒卡进行安全保护和预防。
5)本系统现在还运行了一套由国务院办公厅推广的办公决策服务系统NDSSV2.0软件。
6)初步建成了市政府的主页(主页内容一部分是从中经网上下载的相关信息供领导查询),网上信息净存储量达300M以上。
市政府中心机房网络图如下:
二、工程目标
在先进成熟的计算机和通信技术的基础上,建成了一个覆盖某市市各府各部门、各处室、基层各级单位的办公自动化系统,实现某市各级政府的综合办公。
为市政府领导决策和机关办公提供服务,实现行政机关的办公现代化、信息资源化、传输网络化和决策科学化。
为用户提供各种现代化办公手段和电子交流方式,以及信息管理、指标统计和辅助决策功能。
1)完成网络系统的升级改造,在现有的网络操作系统Novel1.4的基础上增加NT4.0网络操作系统,并完成由Novell4.1到NT4.0的过渡,是现有Novell4.1服务器CompaqPL800作为NT备份服务器、现有方正PII266暂作为E-Mail服务器。
2)本地网络平台采用中档次的交换机完成二层交换任务。
完善以市政府机关为核心的计算机局域网,新增局域网工作站若干平台,传真机及复印机各1台,政府办公大楼内增加3KVA4H和5KVA4H在线式UPS,并对现分散在各楼层的集线器电源实现集中管理,实现局域网内网卡和机房UPS的智能管理等。
对有条件入网的政府大楼内的部门连线进入局域网。
3)将某市市政府的各级远程站点连接入网。
通过一条384K的DDN通信线路为主线路,及一条2B+D(144K)的ISDN线路作为备用线路对外与INTERNET网络连接。
申请合法域名及IP地址,构造市政府自己的WEB服务器、DNS服务器及E-MAIL服务器。
可通过163、169访问中经网、宁经网等网络资源。
完成各县、区政府、市政府有条件入网的约35个远程站点的连接入网工作。
为此,需增加网络主服务器1台,384KDDN专线1条、ISDN(28+D)备用专线1条、远程多协议网络路由器等。
4)丰富信息资源,增加计算机服务功能。
在应用软件方面,移植或应用国办智能化综合决策支持系统NT版、国家政策法规库、当地区域地理信息系统、当地气象信息决策系统、公文与信息管理系统等急用办公自动化系统等。
5)简称决策支持印刷系统,包括对文字、图形等的编辑排版和激光照排、制版、印刷、裁剪及装订等相关设施的购置。
6)鉴于政府办公系统的重要性和保密性,在网络安全方面,设置软硬件防火墙,结合网关防止非法入侵行为,确保网络系统内部信息的安全保密。
增加密码机、远程工作站监视系统、杀毒软件等,加强网络管理,严格按照技术规范及机关保密要求设定密钥、密码及口令。
7)加强多层次的网络培训工作。
a.培训网络管理员及专职计算机技术员3人,使其能够独立、熟练地使用所从事的设备及软件,进行日常系统维护,如遇紧急情况可作基本故障处理。
b.为各工作站培训网络操作员约80人,要求能够掌握网络基本操作,利用网络资源进行工作,并在特权目录下可独立输入网络共享信息。
c.上门培训政府领导18人,以能够熟练调用网络信息、掌握常用软件及使用手写输入等指挥调度系统为标准。
d.结合具体建设内容,对需要掌握特定技术的人员进行相关培训。
三、网络设计思想
为了满足网络设计要求与网络建设目标,在设计过程中始终坚持如下原则。
(1)标准化及规范化
选择符合工业标准或事实工业标准的网络通信协议、操作系统、网管平台系统软件。
采用标准化、规范化的设计,使得系统具有开放性,保证用户啊在系统上进行有效的开发和使用,并为以后的发展提供一个良好的环境。
(2)先进性及成熟性
为了保证整个系统结构、网络技术的先进性以及网络运行的可靠性,选择合理的、实用的、便于扩展与升级的网络拓扑结构。
网络系统所用的设备、器材以及软件产品,应选择技术先进的、有技术保证的、得到广大用户认可的可靠厂家产品。
(3)安全性及可靠性
计算机网络是一个相对复杂并且相对公开的系统,需要软硬件两方面采取措施以保证整个网络系统安全可靠的运行。
首先保证网络基础设施的安全与可靠性。
网络系统采用防火墙、划分虚拟子网、数据加密和设置优先权限等手段实现系统的安全性。
(4)可管理性及可维护性
计算机网络是一个比较复杂的系统,在设计、组建一个网络时,必须采用先进的、标准的、用户界面友好的网络管理软件,合理的设备布局。
此外,整个网络系统建成后应整理一套完整的文档资料,以便提高整个系统的可管理系与可维护性。
(5)灵活性及可扩充性
为了保护用户的已有投资以及用户不断增长的业务需求,网络系统必须具有灵活的结构并留有合理的扩充余地,以便用户根据需要进行适当的变动和扩充。
(6)优化性能价格比
在满足系统性能、功能以及考虑到在可预见期间仍不失真其先进性的条件下,尽量使得整个网络系统所需投资合理,以便构成一个性能价格比优化的网络结构。
四、网络系统设计
4.1网络拓扑结构
根据用户需求、网络建设目标及设计思想,建议采用交换式快速以太网作为市政府的机关网的主干,网络拓扑结构为星型。
采用星型结构,可以提高网络的看可靠性,便于管理和维护。
采用交换是快速以太网作主干,是因为:
1)速度快,其主干速度为100M×交换端口数,能够满足网络应用对主干网的宽带要求。
2)基于标准的技术,快速以太网使用了在以太网MAC层上定义的CSMA/CD协议。
3)产品成熟。
100BASE以太网技术有许多厂家支持。
4)性能价格比高。
5)使用交换式快速以太网作主干,是目前网络工程中典型的实现方法,其成功案例有案可查。
采用星型交换技术,通过相应的网管软件,在不改变网络节点的物理位置的情况下,可以对物理的逻辑结构进行合理划分,及建立VLAN(虚拟局域网),以达到网络信息流量的有效控制,并提供更好的安全性。
4.2网络系统的组成
网络拓扑如下图所示。
交换机处于防火墙内部,连接各楼层集线器、中心机房集线器及各服务器,如内部域名服务器、内部邮件服务器、内部WWW服务器、代理服务器、网管服务器和应用服务器等。
这是市政府机关网的核心,为安全起见,为远程站介入的访问服务器不直接接在交换机上,而是与市中心机房集线器相连接。
外部域名服务器、内部邮件服务器、内部WWW服务器及外连的路由器与一集线器连接,处于防火墙外。
由于防火墙的存在,防火墙内采用保留IP地址,而防火墙外采用公开的IP地址,因此需采用两套独立的域名服务器系统,分别称为“内部DNS”和外部“DNS”。
内部DNS负责内部域名的解析,并对内部用户访问Internet的域名进行解析。
外部DNS负责Internet上的用户对某某市政府域名进行解析。
外部WWW服务器是市政府对外公开的信息,供Internet上的用户使用。
内部WWW服务器为市政府机关服务。
整个机关网通过Router1利用DDN和ISDN接入电信局,从而实现与Internet的连接。
初期可采用一条384KDDN线路作主要路线,用一条2B+D的ISDN线路作备份。
1.网络设备的技术规范
1)桌面采用交换10M/100M以太网。
在此方案中,根据各楼层信息点分布情况,分别在子配线间配置相应的网络产品,提供了足够的交换式以太网端口,直接与桌面连接,满足上述要求。
2)整个网络设计支持虚拟网络的划分。
Catalyst3000系列最多可支持虚拟网,完全支持虚拟网要求。
3)中心交换设备的设计是容易扩充、方便升级的。
4)中心交换设备的设计至少支持光纤与5类双绞线两种连接方式。
5)本局域网与地、市局网络的连接通过拨号方式上网。
6)所有设备均是可管理的,支持SNMP网管协议。
2.网络管理
技术规范书中对网络管理要求以下功能:
·网络配置功能。
·实时网络运行监控。
·统计功能。
·网管操作过程的统计功能。
·故障排除功能。
在本系统中,系统管理平台选用MicrosoftWindows95/NT平台,网络管理软件选用CISCO公司的CiscoWorldWindows。
MicrosoftWindows95/NT是一个十分优秀的网络管理软件,包含SNMPc网络管理系统、HPOpenViewforWindows和OpenViewNetworkManagerforWindowsNT等,具有配置维护、故障排除、健康监视、环境监视、路径监视等功能,能很好的管理路由器、交换机、集线器、网卡、UPS等设备,完全符合技术规范书中关于网络管理各种功能的要求。
3.网络安全
CiscoIOS软件提供多种特性,以保证敏感数据的安全。
其中包括:
功能强大的防火墙和远程访问安全、全面的访问控制以及加密的话路级通信。
CiscoIOS特性还可以可Catalyst交换机配合提供安全机制,他们将端口锁定后只有经认可的用户,才能与交换网通信。
出口路由器(Cisco1601)具有包过滤功能,通过检查数据流中的每一个数据包,根据数据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素,或者它们的组合来确定是否允许通过,只有满足条件的数据包才能被同通过,可由该功能封锁某地址或关闭某种服务。
4.虚拟网络(VLAN)
方案设计中,在考虑网络安全方面采用Cisco公司的强大专用防火墙设备PIX,它在网络用户的认证、身份识别,网络数据安全,内部信息访问权和数据传输加密等方面都提供了很强的安全性。
虚拟VLAN是CiscoFusion体系结构的组成部分。
Cisco将VLAN视为:
作用于建立交换机、路由器及其相关网络管理应用的大规模、可扩展、交换式因特网的技术和系统解决方案。
Cisco已经提供、并将继续提供业界领先的VLAN性能。
这些性能可以很容易地在整个交换网上实现,但不会降低交换性能、应用互操作性以及现有网络的集成等关键功能。
VLAN的实现是通过在支持VLAN的交换设备上配置端口。
VLAN的实现不需要额外的硬件投资,只需要增加一些必要的软件升级费用。
Cisco的Catalyst产品系列在OSI的第二层和第三层上提供VLAN的能力,第2层VLAN配置选项可通过嵌入系统软件或VLANView网络管理用用软件来讲每一个端口分配到某一VLAN中。
第三层中IP路由组允许网管员跨越一系列交换机的逻辑配置IP子网。
通过嵌入IP路由选择,每个子网都作为VLAN来对待,从而实现VLAN之间的通信。
这就是基于广域网、IP子网和端口的分段。
由于技术规范书中要求每一个桌面都独占一个交换10M/100M以太网口,在虚拟划分时采用配置端口的方式。
不同虚拟网络间的通信路径,传统情况下,虚拟网络间的通信要通过路由器来完成,每一次通信,数据都经过路由器。
但是,近期Cisco公司提供一种新技术,虚拟网络间的通信只在第一次时经过路由器,并形成一条永久通道,之后的虚拟网络间的通信就不需要经过路由器了。
4.3系统选型
1.系统硬件配置
某市市政府机关大楼网络系统的硬件配置主要包括网络设备、服务器设备和网络管理等方面的内容,其中网络设备包括交换机、路由器等设备。
2.交换机
(1)交换机选型原则
交换机是某市市政府机关大楼网络系统中重要的局域网互连设备。
交换机的选择应遵循以下原则:
·是否支持纯链路交换,具备高速的背板交换总线,巨大的数据包吞吐量和稳定的结构。
·支持多种标准局域网协议。
·支持标准的网络管理。
·是否同时支持直通式和存储转发式两种数据包处理方式。
·具有较低的帧丢失率和较小的网络延迟。
·在桥接表中可维持大量的活动的MAC地址。
·虚拟网络的支持。
(2)主干网交换机的选择
在某市市政府机关大楼网络主干网中,交换机是肩负着本地所有局域网互联、交换处理的重要设备,所以应具有可靠性高、交互处理能力强及扩展性好等特点,并且提供主干网连接的高速网络接口。
基于上述分析主干网交换机产品在方案中建议选用catalyst 2900作为主交换机。
3.路由器设备选型
(1)路由器选型
根据系统要求,路由器建议选用Cisco公司的产品。
鉴于Cisco是远程网络路由器的最大提供商,而且国内主要远程网络,包括中央各部委网络一般选择了Cisco路由器,因此无疑这是一个合适的选择,这里便不再讨论。
在选择具体的路由器产品时,将强调满足用户需求,采用最新技术。
以下是Cisco公司的产品系列,包括:
Cisco 7500
Cisco 7000
AGS+FAMILY
Cisco 4000
Cisco 3000
Cisco 2000
Cisco 500-CS
其产品路由协议所支持的网络协议有:
TCP/IP
NOVELLNETWARE
APPLETALKPHASE1&PHASE2
BanyanVINES
DECnetPhaseIV&Phase2
OSI(OSI8473,8880)
XNS(3Com,XEROX,UNGERMANN-BASS)
APOLLODoman
对于网络接口技术,Cisco支持:
TokenRing4&16MBPS
Ethernet
FDDI
EIA-232
V.35
EIA-449
X.21
EIA-613(HSSI)等
远程网络支持:
HDLC
HSSI
PPP
T1,E1
DDNX.25
FRAMERELAY
SMDSInterfaceProtocol
TCP/IPHeaderCompression
PriorityOutputQqeuing
DialBackupandLoadSharing
Dial-on-DemandRoutingViaX.25Bis
IPXWAN2.0
另外,Cisco也有丰富的路由器管理和安全保密功能。
同时也具有对ATM技术的支持。
(2)路由器的选择
某市市政府机关大楼主路由器选配Cisco公司的Cisco 1601与INTERNET路由器远程工作站相连:
Cisco 2511访问路由器:
Cisco 2511路由器是美国Cisco公司的远程存取路由器产品,主要用于网络中的远程数据的通信部分。
Cisco 2511路由器包含两个高速同步Serial口与一个以太网接口,支持E1、DDN、X.25、PSTN等多种远程通信协议和以太网介质存取协议。
同时还包含一个控制口和一个辅助口,主要用于路由器的远程或本地的网络管理、软件安装等工作。
另外Cisco 2511 路由器还包含有16个AsyncSerial口,可以供远程用户拨号访问。
在本系统中就是通过AsyncSerial口为系统提供PSTN备份。
4.4服务器选择
服务器设备选型原则
系统服务器平台的选择应重点考虑一下几个方面:
·系统的开放性。
·系统的延续性。
·系统的可扩展性。
·系统的互连性能。
·应用软件的支持。
·系统的性能价格比。
·生产厂商的技术支持。
目前较为著名的专业服务器生产厂商有DEC、Sun、HP、SGI和IBM公司等,其产品均是以个人计算机环境和分布网络环境为前提的高性能计算机。
4.5防火墙
某市市政府要进入Internet,一方面可以查询网上有用的信息,另一方面又要防止本企业内不保密数据不被非法用户窃取,网络安全性是一项很重要的指标,防火墙的选择十分重要,在本系统中选择了Cisco公司的专用防火墙PIX。
Cisco的专用防火墙具有以下优点:
(1)PIX防火墙安装、配置简单
一般可以在5分钟内配置完毕的PIX防火墙可以对外部世界提供的全面防火墙安全防护装置彻底隐藏起您的内部网络。
(2)执行速度快
与典型的CPU集中地代理服务器不同的是,前者是对每一个数据包进行大量的处理,而PIX防火墙采用一个非UNIX的、安全实时的嵌入式系统。
这种设置令PIX防火墙具有能够同时连接16000条线路的卓越性能,在不影响用户性能的情况下支持无数用户。
满负荷时,PIX防火墙的运行速度超过45Mbps,支持T3速度。
这速度是基于UNIX的防火墙的几倍。
(3)先进的安全技术
PIX防火墙高性能的核心是一种基于自适应安全性算法(ASA)的防护方案,它能有效地对黑客隐藏起客户地址,这样他们无从获得这些地址。
解决安全性的面向固定连接的ASA方法是建立起基于源地址和目的地址、TCP序列号、端口号码、和附加TCP标记的对话流。
这种信息存储在一个列表中,所有进入的数据包都和列表中的项目相比较。
只有存在能够批准通过的相应连接线路,才允许通过Cisco的PIX防火墙进行访问。
这种方案帮助您的机构授权内部用户进行透明访问,同时保护您的内部网络免遭未经受权的人的访问。
防火墙逻辑位置示意图
(4)增强性能的新功能——直通代理
Cisco的PIX防火墙通过一个直通代理的新特性进一步增强了这一颇受瞩目的性能优势。
尽管急于UNIX的代理服务器是一个理想的平台,并可以提供用户鉴别功能和保护“状态”,从而具有不错的安全性,但是由于它们在OSI模型的第七层处理所有数据包,因此它们的性能大打折扣。
另一方面,Cisco的PIX防火墙的直通代理特性像代理服务器一样在应用层先审查用户。
但是,一旦用户被证实符合一个基于终端访问控制器控制系统(TACACS)或远程鉴别拨人服务(RADIUS)的工业标准数据库以及核对过策略后,Cisco的PIX防火墙就转换对话流,此后所有通信量都直接快速在双方之间流动,同时保持对话状态。
这种直通性能令Cisco的PIX防火墙的运行速度大大高于代理服务器。
(5)简单性降低拥有成本
凭借Cisco的PIX防火墙,公司不再需要难于得到的UNIX专家来配置和安装昂贵的高档UNIX工作站。
相反,没怎么受过计算机培训的用户一般在5分钟之内就可以配置完毕的Cisco的PIX防火墙。
由于Cisco的PIX防火墙实际上不要求日常管理,因此经常性的维护费用明显降低。
(6)专用的链路加密插件——使通过Internet进行的安全通信更放心
Cisco公司采用CiscoPIX防火墙专用的链路加密插件的加密功能。
借助这个插件,公司可以选择专用租用线路并在包括Internet在内的任何基于公共IP的网络上发送经过加密的IP数据包,从而显著地降低了电话费用。
在每一个PIX防火墙处采用PIX专用的链路加密插件,公司可以对采用数据加密标准(DES)算法,通过Internet进行的安全通信感到放心。
PIX专用的链路加密还采用基于标准的技术,引入Internet工程任务组(IETF)的鉴别标题(AH)和封闭安全性负载(ESP)协议。
(7)Cisco的PIX防火墙改善IP地址不足的问题
Cisco的PIX防火墙还提供了一个扩充和重新配置IP网络的特征,不必担心缺乏IP地址或存储在Internet分配号码机制(IANA)的储备库(RFC1918)中的地址。
Cisco的PIX防火墙还可以根据需要有选择的转换或不转换一组地址。
4.6网管系统软件配置
1.网管软件选择原则
根据本项目的实际情况,一个计算机网络的网络系统管理与运行建设应该满足下列需求。
同时支持网络监视和控制两方面的能力,系统监视功能是为了掌握网络的当前状态,而系统控制功能是采取措施影响系统的运行状态。
许多网络系统管理功能同时还包括这两方面的能力。
例如:
在失效管理中,网络监视能力用来发现和诊断网络故障,网络控制能力用来隔离故障、定位故障、最终排除故障。
(1)能够管理所有的网络协议
应该做到管理一个网络中的尽可能多的协议层,从物理层到应用层。
尽可能大的管理范围,在管理尽可能多的网络协议层的同时,还应该考虑扩大网络管理的范围。
不仅管理点带点的网络通信,还应管理端到端的网络通信;不仅管理基本的网络设备,还应该管理应用层的功能。
(2)尽可能小的系统开销
管理尽可能多的协议层和尽可能大的范围肯定是以增大系统开销作为代价的,应该根据实际情况对网络管理的范围和所需系统开销作为一个统一的合理的分配和选择。
在同样的网络管理中,尽可能的减少系统开销,提高网络运行的效率。
(3)容纳不同的管理系统
大型计算机网络一般能连接不同局域网计算机网络,这些网络可能具备各自不同的网络管理功能。
尽可能容纳不同的网络管理功能在一起,形成统一的网络管理和运行机制是十分重要的一项工作。
(4)系统管理的标准化
管理不同的厂家的连网设备和容纳不同的网络生产管理系统一般应该通过网络管理的标准化来实现。
国际化标准组织(OSI)十分重视网络管理的标准化工作,制定了一系列的网络管理标准。
在设计网络管理和运行时,应采用标准化的网络管理机制和协议。
Cisco公司的OSI如下图:
2.网管软件的选择
在本系统中网络管理软件选用Cisco公司的CiscoWorks。
4.7服务器操作系统
目前主要的主服务器网络操作系统是:
WindowsNT、UNIX、NETWARE和OS/2。
服务器操作系统选择美国Microsoft公司的WinNT4.0。
它具有以下特点:
·支持Client/Server工作模式。
·系统扩充性好。
·多用户、多任务。
·很高的安全性。
·可管理性好。
·界面友好。
·可操作性强。
·具有容错功能。
五、应用系统平台设计
某实施政府Intranet系统采用微软的产品,操作系统采用NTServer4.0中文版,Web服务器采用IISWebServer,域名服务器采用微软的DNSServer,代理服务器采用微软的ProxyServer2.0,邮件服务器采用微软的ExchangeServer5.5,数据库采用MSSQLServer6.5,页面制作工具采用FrontPage98,浏览器采用InternetExplorer4.0。
5.1NTServer4.0中文版
1.综述
MicrosoftWindowsNTServer4.0是比以往任何系统都更为理想的选择。
WindowsNTServer4.0选项功能包中所纳入的新增功能使WindowsNTServer4.0成为建立和支持基于Web应用程序的最完整的平台,成为当今最简单的网络操作系统。
从盒中取出软件后不到一小时,您就能够将其安装完毕并运行起来。
它具有灵活性和兼容性,从而使软件和硬件费用大大降低。
2.优点
WindowsNTServer4.0用于帮助开发者用比以往更快的速度建立和利用商务应用程序。
选项功能将新的Web、食事务、脚本编写、组件和消息排队等服务功能直接集成到WindowsNTServer4.0中。
WindowsNTServer