计算机网络系统平台设计方案.docx
《计算机网络系统平台设计方案.docx》由会员分享,可在线阅读,更多相关《计算机网络系统平台设计方案.docx(21页珍藏版)》请在冰豆网上搜索。
计算机网络系统平台设计方案
计算机网络系统平台设计方案
计算机网络系统平台设计方案必需成立在用户、应用软件等对网络平台的需求之上。
只有真正理解了对网络系统平台的要求,咱们才能设计出符合合肥市新站区管委会网络系统实际的、先进性与实用性同时兼顾的方案来。
按照咱们对现场的实地调研、和咱们连年建设信息系统的经验,咱们下面从网络系统、主机系统、系统安全三方面论述整个网络系统平台的大体需求分析。
一、网络系统需求分析
网络系统是信息系统的基础设施。
网络设计时应充分考虑系统的实用、稳定、开放、先进、扩展、安全和经济性和利用和保护的方便。
网络骨干采用国际或国内先进成熟的网络技术,桌面采用快速互换以太网方式技术。
网络系统需求可以归纳如下:
1)高速度:
网络系统具有壮大的核心层,内部骨干达到1G速度,到桌面速度达到100M,保证应用取得及时的处置。
2)高容错性:
为了保证系统稳定运行,核心网络设备端口和通道有冗余。
3)互联性:
采用TCP/IP协议作为合肥市新站区管委会局域网的技术基础架构。
4)高安全性:
由于合肥市新站区管委会局域网络是开发区的数据中心,各外联单位可通过VPN节点连接到合肥市新站区管委会网络,要避免外来非法用户入侵本系统,或避免外来用户对系统的破坏,因此必需具有高安全性。
二、主机系统需求分析
目前合肥市新站区管委会的业务系统主要有内外网WEB、OA、MAIL、FTP服务器,用户访问量的不断增加服务器。
需求如下:
一)WEB、FTP应用服务器需求
能够提供用于WEB、FTP应用系统利用。
不仅要求稳定性高,还要考虑到随着业务需求的不断增加,愈来愈多的客户会不断加入。
支持Windows/Linux等多操作系统。
二)OA、mail系统服务器需求
具有较高的运算能力。
可经受天天百万次的访问量。
具有高可用性解决方案。
具有较强的扩展能力。
采用双机工作模式。
支持Windows/Linux等多操作系统。
需要存储客户数据、客户业务办公数据,能够知足7×24小时关键业务应用,具有在线扩展能力和高速数据吞吐。
三、系统安全需求分析
(一)防火墙需求
防火墙是网络安全最大体、最经济、最有效的手腕之一。
防火墙可以实现内外网或不同信赖域之间的隔离与访问控制。
据有关数据统计,防火墙的加设会使整个网络的安全风险降低90%。
防火墙可以做到网络间的访问控制需求,过滤一些不安全服务,可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控制。
同时防火墙具有很强的记录日记的功能,可以对您所要求的策略来记录所有不安全的访问行为。
(二)安全管理需求
“三分技术,七分管理”是网络安全领域的一句至理名言,在安全业界,安全重在管理的观念已被普遍接受,因此,对用户安全策略、安全制度等问题的建议也应看成为安全解决方案的重要组成部份。
通过增强安全管理,才能保证由安全产品和安全技术组成的安全防护体系能够被有效的利用。
(三)安全整体目标
基于以上的需求分析,投标方案的安全网络系统应可以实现以下安全目标:
1成立一套完整可行的网络安全与网络管理策略并增强培训,提高全部人员的安全意识及反黑技术。
2增强物理安全防护,特别是采取办法避免涉密的信息通过电磁辐射的方式泄露。
3利用防火墙实现内外网及不信赖域之间的隔离与访问控制。
4通过主机防火墙、防病毒、安全存储、来保证个人主机或重要服务器的网络安全防护。
(四)建设目标
合肥市新站区管委会的网络建设整体目标是建设一个目前基于传输数据、确保未来传输语音、视频、图像等信息的可升级、具有较大容量高速传输能力、有稳定靠得住的质量保证的信息化综合网络。
具体建设目标如下:
一、架构高速的网络通道,组建一个延时小、响应速度快、传输效率高、信息吞吐量大、高可用的综合应用网络,知足数据集中要求,具有业务可扩展能力。
二、成立多应用统一的网络平台,为目前和此后的业务与管理等不同应用系统提供统一的多功能的网络支撑环境。
3、成立具有超前性、先进性与可扩展性的网络体系,为新站开发区的网络提供持续发展前景。
4、成立规范化、标准化的安全部系,为全网提供安全靠得住的安全运行机制。
注意避免出现“瓶颈”效应,保证网络7x24小时靠得住运行。
五、成立统一的网络管理平台,应用高效科学的网络管理技术,实时监控网络运行情况,提高网络管理水平。
六、采用TCP/IP网络协议,UNIX或WindowsNT操作系统和Client/Server、Intranet体系结构。
按照以上整体目标,网络设计应知足高性能、高可用性、可管理性、安全性等需求和原则,同时,选择的设备应具有可扩展性、开放性、先进性、成熟性等特征。
四、技术方案要求
(一)网络系统设计
合肥市新站区管委会的计算机网络系统由内外网合一,通过专线连入合肥市电子政务专网,由合肥市电子政务平台提供互联网统一出口,同时新站区管委会还有一条10M电信宽带线路可提供公网入口。
由于这次改造需要能够使本区工作人员能够在外网正常利用内网OA办公系统,故需要能够为外部网络提供VPN拨号通道,办公大楼部份采用星形拓扑结构互换式千兆以太网技术。
(二)拓扑结构设计
按照国家电子政务的整体设计思想,鉴于合肥市新站区管委会应用需求及其信息安全等特殊要求性。
网络应采用逐层保护的指导原则,利用宽带IP技术,保证网络的互联互通,提供具有必然的QOS保障,建成的网络以IP为主流技术。
在物理网络结构的设计上采用的拓扑结构划分为核心层和接入层。
(三)网络方案描述
投标方案应设计网络的核心互换机应采用2台核心互换机,2台核心互换机采用vrrp+vllp备份理由技术实现双机冗余,确保网络7*24小时不中断。
网络运行正常情况下内网的主机是A机、备机是B机,外网的主机是B机、备机是A机,任意一台互换机出现故障,A机与B机自动切换。
接入层互换机采用24口百兆2口千兆电口系列实现千兆电口双链路上联,百兆到桌面。
网络设计需要有高度的扩展性和靠得住性,能够知足现有和未来业务的发展需要。
内网出口与电子政务专网连接,作为内网的边界安全防护,实现与市政府各委办局的网络进行互联。
外网出口采用一台百兆带VPN接入的防火墙与互联网连接,作为外网的边界安全防护,实现与国际互联网进行互联,并可以利用VPN技术实现外部OA远程办公。
由于存在电子政务专线和电信10M光纤,本系统架构出现两个互联网出口(一个电信、一个电子政务专网),应在核心互换机采用路由优先级策略,决定大楼内部网络访问利用哪一种出口。
由于服务器大部份采用的是单网卡设计,要保证核心互换机的冗余配备,应采用增加一台全千兆二层互换机作为DMZ去服务器群的汇聚互换机,该互换机双链路上联于千兆防火墙设备,保证服务器区域高速稳定运转,同时在此部署一台千兆高端防火墙设备,解决授权部份合法的内网用户访问不同的服务器资源,不合法的用户不允许访问相关的服务器资源。
区委会下属单位,由于是单链路链接,建议采用一台全千兆高性能智能三层互换机作为外派单位的接入平台,该设备双链路上联于两台核心互换机。
网络整体拓扑结构图计划如下:
(四)系统安全设计
一)防火墙系统
防火墙技术是目前网络边界保护最有效也是最多见的技术。
采用防火墙技术,对重要节点和网段进行边界保护,可以对所有流经防火墙的数据包依照严格的安全规则进行过滤,将所有不安全的或不符合安全规则的数据包屏蔽,防范各类解决行为,杜绝越权访问,避免非法解决,抵御可能的DOS和DDOS解决。
通过合理布局,形成多级的纵深防御体系。
通过在网络边界处部署并正确配置防火墙,可以解决以下安全问题:
●保护脆弱的服务
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
例如,防火墙可以禁止NIS、NFS服务通过,防火墙同时可以拒绝源路由和ICMP重定向封包等安全要挟。
●控制对系统的访问
防火墙可以提供对系统的访问控制。
如允许从外部访问某些主机,同时禁止访问另外的主机。
例如,防火墙允许外部访问特定的Web和FTP服务器。
●集中的安全管理
防火墙对企业内部网实现集中的安全管理,在防火墙概念的安全规则可以运用于整个内部网络系统,而不必在内部网每台机械上别离设立安全策略。
如在防火墙可以概念不同的用户,而不需在每台机械上别离安装特定的认证软件。
内部用户也只需要通过口令认证即可通过透明代理访问外部网。
●保护网络拓扑
利用防火墙可以阻止解决者获取解决网络系统的有效信息,如Finger和DNS等。
●记录和统计网络日记
防火墙可以记录和统计通过防火墙的网络通信,提供关于网络利用的统计数据并对非法访问作记录日记,从防火墙或专门的日记服务器提供统计数据,来判断可能的解决和探测,利用日记可以对入侵和非法访问进行跟踪和事后分析。
二)核心互换机
●整机模块化设计,关键部件均能提供冗余;
●具有较高的互换容量和转发性能,能够保证设备长期稳定、高效的运行;
●通过自身具有的安全防护技术能够增强设备对网络安全事件的防御能力;
●面向10G平台设计,支持IPV6金牌认证和电信入网认证。
三)汇聚接入互换机:
●能够提供24口的百兆用户接入和2个千兆光纤复用接口;
●具有较高的互换容量和转发性能,能够知足直接用户接入的性能需求;
●自身具有较好的抗解决能力和安全防护能力;
●支持网络准入控制安全框架。
●支持标准的SNMP网络管理协议。
四)网络管理系统:
●能够对全网网络设备进行统一的配置和管理;
●提供拓扑自动发现功能;
●具有人性化界面。
五、采购清单
此清单中所列参考品牌仅供参考,投标方应以设备参数为主要依据,进行响应投标。
序号
名称
说明
单位
数量
一、网络设备
1
核心交换机
参考品牌(cisco、ZTE、lenovo)
三层路由机箱式交换机,槽位数≥6,其中业务槽位数≥5,电源数量最大支持≥3,背板带宽≥,交换容量≥960Gbps,、三层包转发速率≥655Mpps,路由表容量≥256K,MAC地址≥64K,
VLAN划分:
支持基于端口、、协议、MAC和IP的VLAN划分,双标记VLAN、SuperVlan、PVLAN
生成树协议:
支持、、
路由协议支持:
静态路由、RIPv12、OSPF、IS-IS、BGP,支持路由负载均衡,支持VRRP等路由冗余协议,支持二层的STP、VLLP、EAPS环路保护协议
ACL:
提供L2/3/4流规则过滤;支持基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口\号的灵活组合的硬件ACL,ACL>=1K
二层组播:
IGMP(静态组播)、IGMPSnooping,三层组播:
IGMP、PIMSM/SSM/DM、DVMRP
管理方式:
支持CLI、telnet、Web-base、SNMPv123
提供IPV6R2金牌认证证书和电信入网证书(需要厂家盖章)
提供原厂项目原件授权函和三年售后服务承诺函。
套
2
交换引擎模块
2
千兆电口≥24其中千兆光口≥12(COMBO)
2
交换机电源(AC)
4
接入交换机
2
接入交换机
参考品牌(cisco、ZTE、lenovo)
端口配置:
24个10/100M以太网电口,2个10/100/1000M电口,2个千兆SFP复用光口.交换背板带宽≥19Gbps
包转发率≥Mpps,4k个VLAN,8KMAC地址
支持端口最小带宽限值为64kbps,带宽粒度为64kbps。
支持端口镜像,任一端口经设定监控另一端口的运行状况;支持认证(基于MAC);支持RadiusClient
具有扩散控制(FloodControl)、广播风暴控制
支持通过ACL进行对交换机本身的访问控制
支持手工设置和自动学习MAC地址两种方式。
支持MAC地址绑定。
支持广播风暴抑制功能,触发抑制功能的广播数据包阈值可从0到10Mbps。
支持支持超长距离网线传输功能。
100M速率可以传送140米。
支持用户分级管理
支持SNMP、Telnet、和Console管理
支持私有VLAN,保护VLAN,协议VLAN
对于非法包访问交换机以及大流量数据包攻击CPU有非常严格的控制
台
10
3
DMZ区交换机
参考品牌(cisco、ZTE、lenovo)
24个10/100/1000MRJ-45自适应端口,2个SFP1000M光接口(COMBO);背板带宽≥64Gbps,包转发率≥,MAC地址表≥8K,支持全线速转发。
支持服务质量(QoS),支持高层(L2~L4)流分类和等级划分;支持SNMP,Telnet,RMON,CLI,通用网管协议。
网络安全支持IEEE,支持认证、基于端口的访问控制、IP+MAC+PORT绑定,支持CPU保护功能。
台
1
4
接入交换机
参考品牌(cisco、ZTE、lenovo)
端口配置:
12个SFP千兆光纤端口(combo)、12个10/100/1000Base-T端口、1个万兆扩展插槽。
三层路由交换机,交换容量≥210Gbps包转发率≥80Mpps,MAC地址表≥16K,支持CPU保护功能
IPV6:
ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、BGP4+、IS-ISv6、NAT-PT、TCP/UDPforipv6、SOCKETforipv6、手工隧道、ISATAP、6to4、隧道静态路由、等价路由、策略路由
ARP安全特性:
支持手动绑定、支持自动绑定、支持ARP锁定、DHCP-snoopin
网络管理:
支持SNMP、Telnet、Web、串口等标准网络管理
ACL特性:
支持标准ACL、扩展ACL。
环路保护:
支持VRRP二层环路保护技术
提供IPV6金牌入网证书和电信入网证书(需要厂家盖章)
台
1
网络管理系统
5
网络管理软件
50个点支持自动拓扑发现和远程管理,提供计算机软件著作权登记证书(原厂盖章)。
(要求和网络设备统一品牌)
套
1
二、防火墙设备
6
防火墙
参考品牌(Cisco、lenovo、Topsec)
机架式、模块化结构主机;最大配置为8个接口;包括1个可插拔的扩展槽。
整机吞吐量≥800M;最大并发连接数≥120万;MTBF≥8万小时,每秒新建连接数≥100000;IPSECVPN隧道数≥100;加密数度≥35M;8个10/100BASE-T接口;系统采用多种可靠性设计:
冗余电源、VRRP、基于状态的热备份;支持虚拟防火墙技术;支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志;支持静态路由、RIPv1/2、OSPF、BGP、策略路由等;支持应用层过滤,必须支持JavaBlocking、ActiveX过滤;能够防范DOS/DDOS攻击;支持网管软件统一网管。
采用统一的、自主版权的双TOS系统(两个操作系统:
主系统和备份系统);支持IPSECVPN及SSLVPN,支持防病毒等功能,支持防火墙的双机备份,并通过防火墙自身的负载均衡,提高防火墙在高带宽的网络环境中的有效性能,采用基于操作系统内核的会话检测技术(核检测);具有透明应用代理功能;支支持众多网络通信协议和应用协议,保证用户的网络应用,方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。
防火墙具有抓包功能,可以快速定位网络故障,可以把经过其的数据包保存下来,以网络分析工具打开分析。
可以很好的控制QQ/BT等应用,具有双操作系统,软件故障降低一半。
支持设备:
防火强、VPN、IDS、IPS、过滤网关、UTM、OS、网络设备、应用服务等。
产品资质:
销售许可证(公安部)、产品型号证书(国家测评中心)、涉密信息系统产品检测证书(国家保密局)、军用信息安全产品认证证书(军队测评中心)、信息技术产品自主原创测评证书、提供生产厂商开具的3年原厂商软硬件免费维修升级服务承诺证明文件(原件)。
台
1
防火墙
参考品牌(Cisco、lenovo、Topsec)
机架式、模块化结构主机;最大配置为12个接口;包括1个可插拔的扩展槽。
整机吞吐量≥2G;最大并发连接数≥180万;MTBF≥8万小时,每秒新建连接数≥100000;4个10/100/1000BASE-T接口;支持SFP接口插槽,系统采用多种可靠性设计:
冗余电源、VRRP、基于状态的热备份;支持虚拟防火墙技术;支持Syslog、NAT转换、攻击防范、黑名单、地址绑定等日志;支持静态路由、RIPv1/2、OSPF、BGP、策略路由等;支持应用层过滤,必须支持JavaBlocking、ActiveX过滤;能够防范DOS/DDOS攻击;支持网管软件统一网管。
采用统一的、自主版权的双TOS系统(两个操作系统:
主系统和备份系统);支持IPSECVPN及SSLVPN,支持防病毒等功能,支持防火墙的双机备份,并通过防火墙自身的负载均衡,提高防火墙在高带宽的网络环境中的有效性能,采用基于操作系统内核的会话检测技术(核检测);具有透明应用代理功能;支支持众多网络通信协议和应用协议,保证用户的网络应用,方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用。
防火墙具有抓包功能,可以快速定位网络故障,可以把经过其的数据包保存下来,以网络分析工具打开分析。
可以很好的控制QQ/BT等应用,具有双操作系统,软件故障降低一半。
支持设备:
防火强、VPN、IDS、IPS、过滤网关、UTM、OS、网络设备、应用服务等。
产品资质:
销售许可证(公安部)、产品型号证书(国家测评中心)、涉密信息系统产品检测证书(国家保密局)、军用信息安全产品认证证书(军队测评中心)、信息技术产品自主原创测评证书、提供生产厂商开具的3年原厂商软硬件免费维修升级服务承诺证明文件(原件)。
台
1
三、应用服务器
7
服务器
参考品牌(IBM、SUN、Inspur)
4U机架式服务器,一颗IntelMP7420/8ML3/Q四核处理器,支持四颗,8GDDR2FBD,必须配满24个内存插槽,最大可扩展192GB内存,3块146G15000转SAS硬盘,RAID5,最大支持10个热插拔硬盘,集成高性能双千兆网卡,支持网络唤醒,网络冗余,负载均衡等网络高级特性,双电源,配置BMC,必须提供操作系统备份还原软件;提供ISO9001和ISO14001认证,国家3C认证,国家免检证书(需厂商盖章有效),提服务器主要部件(硬盘、电源、内存、CPU、主板、网卡)四年上门全免费质保服务(包括现场服务、人工、部件、材料),提供生产厂商原件授权和四年售后服务承诺函原件
台
2
四、UPS及网络机柜
8
网络机柜
图腾2米600*600网络机柜(前后网孔黑色)
台
2
9
UPS电源
艾默生UHA1R-0100L额定功率:
10KVA/9KW提供本项目生产厂商原件授权。
三年质保。
台
1
设计单位:
广州莱安智能化系统开发有限公司
网站:
地址:
广州市天河区中山大道建中路5号天河软件园海天楼3A06
用户服务中心:
Tel:
联系人:
周先生:
欢迎来电索取详细方案或来电洽谈业务,免费提供设计方案,价钱实惠
我司开发和生产大量的机房建设管理系统,欢迎各界人士批发和代理。