市政府电子政务平台建设项目实施建设方案.docx
《市政府电子政务平台建设项目实施建设方案.docx》由会员分享,可在线阅读,更多相关《市政府电子政务平台建设项目实施建设方案.docx(35页珍藏版)》请在冰豆网上搜索。
市政府电子政务平台建设项目实施建设方案
xx市政府
电子政务平台建设项目
系统集成实施方案
文件编号:
起草部门:
系统网络部
编写人:
审核人:
签发人:
批准日期:
版本标识:
1.5版
目录
xx市政府1
电子政务平台建设项目1
系统集成实施方案1
1.项目概述3
1技术方案概述3
2系统集成方案4
2.1系统集成内容4
2.2网络平台建设8
2.2.1网络拓扑设计8
2.2.2端口规划9
2.2.3地址规划10
2.3数据中心建设方案13
2.3.1机柜设计13
2.3.2服务器&存储系统设计14
2.4安全防护设计17
2.4.1Internet出口设计17
2.4.2远程vpn访问设计18
2.4.3Internet出口区设备端口及ip地址规划18
2.4.4内网终端安全防护设计19
2.4.5服务器及网管工作区安全设计19
3系统集成实施计划20
1.
项目概述
此次xx市电子政务网络平台的建设,包含网络平台建设、数据平台建设和平台安全防护三个主要部分。
网络平台建设分为核心、汇聚、接入三级,具有良好的可扩展性和可靠性,能重分满足本地办公大楼及全市150个以上的分支节点的接入。
数据平台使用高性能服务器及存储阵列组建数据中心,为整个电子政务平台提供高性能、高可靠性的数据存储及访问服务。
安全防护使用防火墙、VPN、IPS、终端安全防护、网络防病毒软件等安全防护技术来保证电子政务网络平台的安全可靠运行。
1技术方案概述
根据xx市电子政务网络平台的建设需求,网络平台在设计上分为核心层、汇聚层、接入层三级,具有较好的可扩展性和可靠性,能够充分满足全市150个以上的分支节点的接入。
核心层负责整个网络的数据交换,同时也是整网的路由中心,全网第三层、第四层操作都通过核心节点集中进行。
核心层下行使用千兆链路分别连接到各个汇聚层的路由交换机上,接入层为终端提供百兆链路接口;在核心路由交换机部署防火墙模块,对内部的数据流进行过滤和分析,充分保证数据中心和网管中心的安全;
在市府设立数据中心和网管中心,负责整个xx市电子政务平台的运行维护。
数据中心和网管中心的服务器直接接入到核心交换机;
全网设置一个到Intetnet的统一出口,以防火墙进行隔离;
增加入侵保护系统IPS,进行4-7层的深度防护;
增加VPN网关,为移动办公的用户提供安全的接入,方便出差在外的用户依然可以安全快捷的访问政务专网。
根据业务应用情况,部署协同办公(移动办公)、网上审批、网站等6台服务器;
部署磁盘阵列1套,支持多种RAID方式,裸盘容量大于4T。
2系统集成方案
2.1系统集成内容
此次xx市政府电子政务平台建设项目需要安装调试的设备如下:
序号
设备名称
品牌
型号
配置要求
数量
1
H3C核心路由交换机
H3C
LS-7510E
H3CS7510E以太网交换机主机
1
LSQM1AC1400
H3CS7500E交流电源模块,1400W
2
LSQM1SRPB0
H3CS7500ESalienceVI交换路由引擎
2
LSQM1GV48SC0
H3CS7500E48端口千兆以太网电接口模块(PoE,RJ45)
1
LSQM1GP24SC0
H3CS7500E24端口千兆以太网光接口模块(SFP,LC)
1
LSQM1FWBSC0
H3CS7500E千兆防火墙业务板模块
1
2
接入层交换机
H3C
LS-3600-52P-SI
H3CS3600-52P-SI以太网交换机主机,48个10/100Base-T,4个千兆SFP上行口,交流供电
10
3
H3C网管软件(含终端管理)
H3C
SWP-IMC-IMPW-CN
智能管理平台(不含节点)标准版
1
LIS-IMC-IMPA-CN-50
License授权函-H3CiMC-SW7M1IMPA-智能管理平台license费用-管理50节点
1
SWP-IMC-EADW-CN
功能模块-H3CiMC-SW7M1EADW-EAD安全策略组件(含500安全认证用户)ForWindows-纯软件(CD)中文版
1
SWP-CAMS-WIEAC-PFS-H3
H3CiNode-iNodeEAD客户端组件(forWindows)-纯软件(CD)中文版专业版
1
LIS-CAMS-WIEA-PF500-H3
iNodeEAD客户端组件-500License
1
SV-MA-BS-EAD
EAD(服务器端)-基本维保5x8xNBD出发
1
SV-MA-BS-EAD
EAD(客户端每200用户)-基本维保5x8xNBD出发
3
SV-PS-TIM
工程服务-工程实施服务(不含客户端)
1
SV-PS-TIM
客户端每增加200应用软件费用
3
4
防火墙
H3C
NS-SecPathF1000-E-AC
装配组件-H3CSecPathF1000-E-NSQZ1F1000E-SecPathF1000-E防火墙主机-交流电源-国内版
1
RT-HIM-4GBE-WAN-H3
4端口千兆以太网电口接口模块(WAN)
1
5
SSLVPN
H3C
NS-SecPathF1000-S-AC
H3CSecPathF1000-S主机-双交流电源(4GE/2Slot)
1
NS-MIM-SSL-H3
功能模块-H3CSecPathF1000-A-NSQM2SSL-SSL加密处理模块
1
6
入侵保护系统IPS
H3C
NS-SecPathT200E-A
H3CSecPathT200-E-IPS主机(4GE电口),含一年特征库升级,一年病毒库升级
1
7
服务器A
DELL
PER900
4个四核至强处理器E7310,2X2MB缓存,1.60GHz,1066MHz前端总线;8GB(4x2GB),667MHz,ECC,双内存列,全缓冲内存条;4块300GB,3.5",15Krpm,SAS硬盘,;集成4端口千兆以太网卡,
4
8
服务器B
DELL
PE2900
2个四核英特尔至强处理器E54102.33GHz,12MB缓存,1333MHz前端总线;8GB(4x2GB),667MHz,ECC,双内存列,全缓冲内存条;2块300GB,3.5",15Krpm,SAS硬盘;集成双Broadcom千兆网卡
2
9
防病毒软件网络版
江民
江民
6中心350个客户端;支持C/S或B/S模式对网络防病毒集中统一管理;全中文界面;能进行可移动管理;
支持各种主流操作系统,如Win系列,*NIX等;支持实时监视扫描;支持计划任务扫描;对发现的病毒能采取报告、清除、删除、修复、重命名多种处理方式;能查杀未知病毒,能扫描压缩文件内的病毒;能定时或开机自动更新和分发特征码;对文件病毒的完整性检查;对客户端完全管理,包括远程杀毒,查毒,删除等;升级方式可以通过局域网共享和HTTP方式进行增量升级方式;安装、升级、删除后无需重新启动计算机;报警信息分级、多种报警方式并支持过滤;支持中央隔离区,支持扫描延迟和优先级控制;支持扩展的威胁检测和威胁分类,可识别病毒、蠕虫、特洛伊木马和Spyware、Trakware、Adware等;符合国家相关标准和规范,具备公安部颁发的“信息安全产品销售许可证”
1
10
正版操作系统
数据库软件
微软
Windows2008Server企业版10用户版
1
SQL200510用户版
1
11
HA软件
ROSE
ROSE双机软件forWindows版
1
12
H3C磁盘阵列
H3C
NI0Z1E1000B
EX1000T,双64位处理器,4GB缓存,4个GE端口,单电源,含管理软件
1
NI0M1HD1500
500GB一体化企业级SATA硬盘、热插拔磁盘托架
8
NI0M1DPS700
Neocean-网络存储700W电源模块
1
SV-PS--INST-NI-EX
EX系列首次安装服务
1
13
SAN交换机
H3C
LS-5100-16P-EI-H3
H3CS5100-16P-EIL2以太网交换机主机,支持16个10/100/1000BASE-T端口,支持4个100BASE-X或1000BASE-XSFP端口(combo),AC110/220V
1
14
标准机柜
三菱
金属开孔散热门,后门双开;电源插排≥4个(每个带万能插孔10A≥516A≥1,带开关)托盘≥5个;宽800mm;深1000mm;高2000mm;≥42U
6
15
KVM
ATEN
17"LCD液晶显示器、键盘、鼠标等可折叠放入机柜,8路切换,切换线缆等,高度≦2U
1
16
光模块
H3C
SFP-GE-SX-MM850-A
光模块-SFP-GE-多模模块-(850nm,0.55km,LC)
20
SFP-GE-LX-SM1310-A
光模块-SFP-GE-单模模块-(1310nm,10km,LC)
4
2.2网络平台建设
2.2.1网络拓扑设计
10台H3CLS-3600-52P-SI接入层交换机各使用1对多模光线连接到核心H3CLS-7510E交换机,实现本地各楼层办公计算机的高速网络接入功能,在核心交换机上划分VLAN,配置三层IP地址,为办公计算机提供网关及路由服务。
数据中心服务器及网管中心服务器和网管工作站使用双绞线直接连接到核心交换机的以太网电口,为服务器及网管工作站提供高速网络接入。
服务器使用双线路连接到核心交换机,并在服务器上使用网卡绑定技术,提高服务器的网络接入安全性,提高整个系统的稳定性和可靠性。
对internet提供服务的服务器部署在防护墙的DMZ区,使用双绞线直接连接到防火墙,以增加服务器及内网的安全性。
xx市政府各分支节点通过网通的专用线路直接接入到核心交换机上,并使用trunk及vlan隔离技术与保证分支节点访问核心层数据的安全性和可靠性。
2.2.2端口规划
核心交换机的端口规划(24端口千兆光业务板插在1号槽位,48端口千兆电口业务板插在5号槽位,防火墙模块在3号槽位):
端口
Vlan号/Vlan名
接口类型
对端设备
GE1/0/1
101/floor01
多模SFP
一楼接入层交换机LS-3600-52P-SI
GE1/0/2
102/floor02
多模SFP
二楼接入层交换机LS-3600-52P-SI
GE1/0/3
103/floor03
多模SFP
三楼接入层交换机LS-3600-52P-SI
GE1/0/4
104/floor04
多模SFP
四楼接入层交换机LS-3600-52P-SI
GE1/0/5
105/floor05
多模SFP
五楼接入层交换机LS-3600-52P-SI
GE1/0/6
106/floor06
多模SFP
六楼接入层交换机LS-3600-52P-SI
GE1/0/7
107/floor07
多模SFP
七楼接入层交换机LS-3600-52P-SI
GE1/0/8
108/floor08
多模SFP
八楼接入层交换机LS-3600-52P-SI
GE1/0/9
109/floor09
多模SFP
九楼接入层交换机LS-3600-52P-SI
GE1/0/10
110/floor10
多模SFP
负一楼接入层交换机LS-3600-52P-SI
GE1/0/24
2100/FenZhiJiGou
单模SFP
网通机房交换机,连接各分支机构网络
GE8/0/1-8/0/16
10/server
千兆电口
数据中心服务器
GE8/0/17-8/0/46
11/manage
千兆电口
网管工作站&设备管理端口
GE8/0/47-8/0/48
50/internet
千兆电口
Internet出口区IPS设备
XGE3/0/1
51/secblade
内部虚拟接口
核心交换机防火墙板
楼层交换机的端口规划:
端口
Vlan号
接口类型
对端设备
Eth1/0/1-1/0/48
本楼层所属vlan
百兆电口
办公计算机
GigabitEthernet1/1/1
Trunk口
多模SFP
核心交换机
GigabitEthernet1/1/2
Trunk口
多模SFP
备用端口
出口防火墙端口规划:
端口
Ip地址
掩码
说明
GE0/0
192.168.0.1
255.255.255.0
备用管理端口
GE0/2
222.132.48.114
255.255.255.248
连接Internet出口
GE0/3
172.16.254.2
255.255.255.252
连接内部IPS
GE1/0
172.16.2.1
255.255.255.0
连接Wap视频会议服务器
GE1/1
连接邮件、bbs、视频点播服务器
GE1/2
连接外网web服务器
IPS端口规划:
端口
Ip地址
掩码
对端设备
m-ethernet0/0/0
172.16.3.2
255.255.255.0
带外管理接口
GE1
无,透明模式
无
连接出口防火墙
GE2
无,透明模式
无
连接内部7510E交换机
SSLVPN端口规划;
端口
Ip地址
掩码
对端设备
Eth0/1
172.16.3.3
255.255.255.0
连接7510E交换机
2.2.3地址规划
因为xx市电子政务网络平台是独立的内部办公网络,只有一个Internet出口,没有与其他网络互联互通的需求,因此可以在内部保留地址段中自由分配,考虑到网络规模,易管理性,易扩充性等因素,建议采用如下ip地址分配方案:
整个网络采用172的内部保留地址段,172.16.*.*分配给市府使用,数据中心服务器、网管工作站、各个楼层分别占用一个C类地址段(最多可以接入253台计算机),172.17.*.*分配给其他县等分支机构使用。
地址段划分:
使用目的
网关
掩码
可分配地址
备注
数据中心服务器
172.16.1.1
255.255.255.0
172.16.1.2-254
核心交换机Vlan10
防火墙DMZ区
172.16.2.1
255.255.255.0
172.16.2.2-254
防火墙扩展模块端口GE1/0-1/3
数据中心网管工作站和设备管理地址
172.16.3.1
255.255.255.0
172.16.3.2-254
核心交换机Vlan11
SAN存储区域地址
192.168.200.0不需要网关
255.255.255.0
192.168.200.1-254
存储交换机vlan100
设备互联地址
172.16.254.0
255.255.255.252
172.16.254.1-254
本C段全部用于设备互联,划分成小段使用。
市府楼层办公计算机
172.16.11.1
255.255.255.0
172.16.11.1-254
一层:
vlan101
……
……
……
……
按照楼层顺序增加
分支节点办公计算机
172.17.0.1
255.255.252.0
172.17.0.2~172.17.3.254
核心交换机vlan2100
设备地址与端口具体分配:
连接设备名称
连接端口
分配地址
掩码
网关
备注
服务器地址分配
网管服务器
GE8/0/1、GE8/0/2
172.16.1.2
255.255.255.0
172.16.1.1
连到核心交换机
HA双机虚拟地址
172.16.1.3
255.255.255.0
172.16.1.1
内网web与热备服务器双机虚拟ip
内网web服务器
GE8/0/3、GE8/0/4
172.16.1.4
255.255.255.0
172.16.1.1
连到核心交换机
热备服务器
GE8/0/5、GE8/0/6
172.16.1.5
255.255.255.0
172.16.1.1
连到核心交换机
Wap视频会议服务器
防火墙GE1/0
172.16.2.2
255.255.255.0
172.16.2.1
连到出口防火墙
邮件、bbs、视频点播服务器
防火墙GE1/1
172.16.2.3
255.255.255.0
172.16.2.1
连到出口防火墙
外网web服务器
防火墙GE1/2
172.16.2.4
255.255.255.0
172.16.2.1
连到出口防火墙
设备管理地址分配
出口防护墙管理地址
核心交换机8/0/48
172.16.254.2
255.255.255.252
互联接口,带内管理地址
核心交换机防火墙模块
核心交换机虚拟接口3/0/1
172.16.1.1
255.255.255.0
服务器网关,带内管理
IPS入侵防护管理地址
核心交换机8/0/33
172.16.3.2
255.255.255.0
172.16.3.1
带外管理
SSLVPN管理地址
核心交换机8/0/34
172.16.3.3
255.255.255.0
172.16.3.1
带内管理
核心交换机管理地址
VLAN11
172.16.3.1
255.255.255.0
存储阵列管理地址
核心交换机8/0/35
172.16.3.4
255.255.255.0
172.16.3.1
带外管理
存储交换机管理地址
核心交换机8/0/36
172.16.3.5
255.255.255.0
172.16.3.1
带外管理
一楼接入层交换机
核心交换机1/0/1
172.16.3.11
255.255.255.0
172.16.3.1
带内管理
二楼接入层交换机
核心交换机1/0/2
172.16.3.12
255.255.255.0
172.16.3.1
带内管理
三楼接入层交换机
核心交换机1/0/3
172.16.3.13
255.255.255.0
172.16.3.1
带内管理
四楼接入层交换机
核心交换机1/0/4
172.16.3.14
255.255.255.0
172.16.3.1
带内管理
五楼接入层交换机
核心交换机1/0/5
172.16.3.15
255.255.255.0
172.16.3.1
带内管理
六楼接入层交换机
核心交换机1/0/6
172.16.3.16
255.255.255.0
172.16.3.1
带内管理
七楼接入层交换机
核心交换机1/0/7
172.16.3.17
255.255.255.0
172.16.3.1
带内管理
八楼接入层交换机
核心交换机1/0/8
172.16.3.18
255.255.255.0
172.16.3.1
带内管理
九楼接入层交换机
核心交换机1/0/9
172.16.3.19
255.255.255.0
172.16.3.1
带内管理
负一楼接入层交换机
核心交换机1/0/10
172.16.3.20
255.255.255.0
172.16.3.1
带内管理
设备互联地址分配
核心交换机到internet出口
核心交换机GE8/0/48
172.16.254.1
255.255.255.252
172.16.254.2
连接IPS及Internet防火墙
核心交换机到交换机防护墙业务板
核心交换机XGE3/0/1虚拟端口
172.16.254.5
255.255.255.252
172.16.254.6
连接核心交换机防火墙业务板
2.3数据中心建设方案
2.3.1机柜设计
本次项目中使用了6台高性能服务器、1个阵列存储及若干网络设备,设计服务器组占用3个机柜,存储阵列占用1个机柜,核心交换机占用一个机柜,防火墙、vpn等安全设备占用一个机柜。
具体的机柜及机柜内的设备部署如下:
2.3.2服务器&存储系统设计
本项目中使用了6台DELL服务器,其中有4台服务器需要挂接存储系统,有3台对Internet提供服务的服务器需要部署在防火墙的DMZ区,有2台服务器需要部署成HA双机系统。
服务器及存储系统部署方式如下:
本项目中使用的H3CNeoceanEX1000T存储系统共配置了8块500GBSATA硬盘,除去一块热备盘外,共有7块硬盘可分为2个磁盘组,使用RAID5后每个磁盘组可用空间分别为1T和1.5T,总共可提供2.5T的磁盘存储空间。
各服务器配置及存储划分情况如下:
外网web服务器(DMZ区)
内网web服务器(内网)
设备型号
PER900
设备型号
PER900
主机名
Cms
主机名
Java
IP地址
主机地址:
172.16.2.4/24
存储连接地址:
192.168.200.3/24
主DNS:
202.102.128.68
备DNS:
218.56.57.58
IP地址
主机实际地址:
172.16.1.4/24
双机虚拟地址:
172.16.1.3/24
心跳线地址:
192.168.254.2/24
存储连接地址:
192.168.200.2/24
网卡分配
网卡1:
防火墙GE1/2
网卡2:
空
网卡3:
空
网卡4:
存储交换机1/3
网卡分配
网卡1:
核心交换机GE8/0/3
网卡2:
核心交换机GE8/0/4
网卡3:
双机心跳线
网卡4:
存储交换机1/2
OS版本
Windows2008Server企业版10用户版
OS版本
Windows2008Server企业版10用户版
数据库版本
(SQL200510用户版)
数据库版本
(SQL200510用户版)
HA软件
(不需要)
HA软件
(需要)
Raid方式
(Raid5)
Raid方式
(Raid5)
内置硬盘划分
盘符:
c:
卷标:
sys空间:
50G
盘符:
d:
卷标:
cms空间:
300G
盘符:
e:
卷标:
bak空间:
550G
内置硬盘划分
盘符:
c:
卷标:
sys空间:
100G
盘符:
d:
卷标:
bak空间:
800G
磁盘阵列存储划分
盘符:
f:
卷标:
bak空间:
100G
磁盘阵列存储划分
盘符:
f:
卷标:
bak空间:
200G
应用
cms服务器
应用
内网办公服务器
实施责任人
网通:
硬件安装、网络配置、操作系统、HA
雷音:
数据库安装配置,配合网通实现双机、其他软件工作
实施责任人
网通:
硬件安装、网络配置、操作系统