某市水利局网络升级及系统安全建设方案Word下载.docx

1、XX市三维电子沙盘系统即XX市水利地理信息系统。1.4目前存在的问题 （1）核心交换机CISCO CATALYST 2950于2002年9月采购，早已过维保期，目前总局包含下属的水利站总PC台数已经超过200，以其为核心的网络架构已无法满足新商业环境和IT技术迅速变化的需要。（2）由于下属的水利站分支机构均通过MPLS-VPN与总局互联，并且分支机构没有自己的出口，全部通过总局的100M光纤出口，因此对总局的网络性能和吞吐量有较高的要求，而从整体上看，现有网络覆盖面窄，传输能力低，远远不能满足水利业务的需求；网络缺乏有效的安全措施，总局和分支机构使用的趋势的杀毒软件也已到期。对局域网内的PC使

2、用情况缺乏有效的监督和管理，制约了信息技术应用整体水平的提高。（3）局数据中心既是实现互联互通、数据交换和信息共享的关键，同时又负责水利工作的管理监督、防汛决策及统计数据的采集、汇总和上报等。该数据中心建立是进一步实现XX水利局信息共享和信息标准化的核心内容。另外XX水利局的所有数据及核心业务都依赖本地相关的服务器和网络通讯设备支撑，万一发生灾难事故，必定会造成严重影响和巨大损失。为保证系统内核心业务和关键数据的有效性，势必需要做一个安全可靠的灾难备份。二、建设目标针对局内目前的IT状况，网络系统改造目标为：1更换和升级硬件设备，并部署新的系统，解决目前存在的问题，并大大提高系统运行的速度，对

3、网络进行VLAN划分和IP子网的重新划分，提高网络系统的可管理性。2增加网络安全设备，制定网络运维规范，提高网络安全性。本次项目建设从技术的角度，将着重从边界防护、系统加固、数据传输的机密性、应用系统的安全防护、系统灾难恢复等多个方面进行，在中心部署防火墙、文档安全保护系统、网络流量管理、网络防病毒、Web应用防护系统3、建设本地双机热备和异地灾备系统，保证数据中心核心业务和关键数据的有效性，有效避免万一发生灾难事故，造成严重影响和巨大损失。三、建设方案本方案主要从基础网络升级、网络安全、本地双机和异地灾备三个方面展开阐述。3.1基础网络升级改造方案3.1.1 基本网络升级将原来核心交换机更新

4、为更高配置、更为先进的新核心交换机，配置2块交换路由引擎，核心交换机必须满足提供高达768 Gbps的背板带宽和492 Mpps的数据转发速率，提供完全无阻塞的L2/L3/L4 数据交换能力，提供一个集成网络弹性、高可用性、扩展性和安全性的融合网络平台，提供对单位未来业务和技术的平滑过渡，如：ipv6，城域以太网等；在核心交换机上配置 2 块1400W相同瓦特电源，形成1+1的电源冗余方式，提供单电源供电，在主电源失效的情况下不会中断交换机电源供电，保证网络的高可用性；将原先核心交换机更换，具体参数如下：功能特性特性参数电源要求双电源冗余整机交换容量768Gbps背板容量1.6TbpsIPv4

5、包转发率492Mpps槽位数量不小于8业务槽位数量不小于6接口特性配置双路Salience VI-Lite交换路由模块冗余；24端口千兆以太网电接口模块；24端口千兆/百兆以太网光接口模块二层特性支持IEEE 802.1P（CoS优先级）支持IEEE 802.1Q（VLAN）支持IEEE 802.1d（STP）/802.1w（RSTP）/802.1s（MSTP）支持IEEE 802.1ad（QinQ），灵活QinQ和Vlan mapping支持IEEE 802.3x（全双工流控）和背压式流控（半双工）支持IEEE 802.3ad（链路聚合）和跨板链路聚合支持IEEE 802.3（10Base-

6、T）/802.3u（100Base-T）支持IEEE 802.3z（1000BASE-X）/802.3ab（1000BaseT）支持IEEE 802.3ae（10Gbase）支持IEEE 802.3af（PoE）支持IEEE 802.3at（PoE+）支持RRPP（快速环网保护协议）支持跨板端口/流镜像支持端口广播/多播/未知单播风暴抑制支持Jumbo Frame支持基于端口、协议、子网和MAC的VLAN划分支持SuperVLAN支持PVLAN支持Multicast VLAN+支持点到点 单VLAN交叉连接、双VLAN交叉连接全部依靠VLAN-ID进行转发，不涉及MAC地址学习支持最大VLAN

7、 MAPING/灵活QinQ表项全面支持1:1, 2:1,1:2, 2:2 VLAN MAPPING能力支持GVRP路由特性支持ARP Proxy支持DHCP Relay支持DHCP Server支持静态路由支持RIPv1/v2支持OSPFv2支持IS-IS支持BGPv4支持OSPF/IS-IS/BGP GR （Graceful Restart优雅重启）支持等价路由支持策略路由支持路由策略组播特性支持IGMPv1/v2/v3 支持IGMPv1/v2/v3 Snooping支持IGMP Filter支持IGMP Fast leave支持PIM-SM/PIM-DM/PIM-SSM支持MSDP支持A

8、nyCast-RP支持MLDv2/MLDv2 Snooping支持PIM-SMv6、PIM-DMv6、PIM-SSMv6ACL/QoS每单板最大支持16K ACL支持标准和扩展ACL支持基于VLAN的ACL支持Ingress/Egress ACL支持Ingress/Egress CAR，粒度可达8Kbps支持两级Meter能力支持VLAN聚合CAR，MAC聚合CAR功能支持流量整形（Traffic Shaping）支持802.1P/DSCP优先级Mark/Remark支持层次化QoS（H-QoS），支持三级队列调度支持队列调度机制，包括SP、WRR、SP+WRR、CBWFQ支持每端口8队列支持

9、拥塞避免机制，包括Tail-Drop、WRED支持N：2 MirroringMPLS/VPLS支持L3 MPLS VPN支持L2 VPN: VLL （Martini, Kompella）支持MCE支持MPLS OAM支持VPLS,VLL支持分层VPLS，以及QinQ+VPLS接入支持P/PE功能支持LDP协议在水利局各楼层的配线间配置汇聚交换机并配置多模光模块，通过光纤连接到核心交换机,提供网络接入层到网络核心层的光纤高速接入，保障网络的高速通道；分支机构通过MPLS-VPN技术与水利局中心机房建立连接。汇聚交换机主要参数：背板交换容量256Gbps交换容量（全双工）192Gbps包转发率（整

10、机）96Mpps外形尺寸（长宽高）（单位：mm）44030043.6重量4kg管理端口1个Console口业务端口描述24个10/100/1000Base-T以太网端口4个复用的1000Base-X千兆SFP端口扩展插槽2个扩展插槽可选接口模块单端口10GE XFP接口模块两端口10GE XFP接口模块两端口10GE CX4接口模块两端口SFP接口模块两端口SFP接口模块端口聚合支持LACP支持手工聚合支持最多14/26个聚合组，每组支持最多8个GE或4个10GE端口端口特性支持IEEE802.3x 流量控制（全双工）支持基于端口速率百分比的风暴抑制支持基于PPS的风暴抑制MAC地址表支持32

11、K个MAC地址支持黑洞MAC地址支持设置端口MAC地址学习最大个数VLAN支持基于端口的VLAN（4K个）支持基于MAC的VLAN基于协议的VLAN基于IP子网的VLAN支持QinQ，灵活QinQ支持VLAN Mapping支持Voice VLAN二层环网协议支持STP/RSTP/MSTP支持RRPPDHCPDHCP ClientDHCP SnoopingDHCP RelayDHCP ServerDHCP Snooping option82/DHCP Relay option82IRF2智能弹性架构支持IRF2智能弹性架构支持分布式设备管理，分布式链路聚合，分布式弹性路由支持通过标准以太网接口

12、进行堆叠支持本地堆叠和远程堆叠IP路由支持RIPv1/v2，RIPng支持OSPFv1/v2，OSPFv3支持BGP4，BGP4+ for IPv6支持等价路由，策略路由支持VRRP/VRRPv3MCE支持IPv6支持ND（Neighbor Discovery）支持PMTU支持IPv6-Ping，IPv6-Tracert，IPv6-Telnet，IPv6-TFTP支持手动配置Tunnel支持6to4 tunnel支持ISATAP tunnel组播支持IGMP Snooping v1/v2/v3，MLD Snooping v1/v2支持组播VLAN支持IGMP v1/v2/v3，MLD v1/v2支持PIM-DM，PIM-SM，PIM-SSM支持MSDP，MSDP for IPv6支持MBGP，MBGP for IPv6镜像支持流镜像支持N:4端口镜像支持本地和远程端口镜像QoS/ACL支持ACL支持L2（Layer 2）L4（Layer 4）包过滤功能，提供基于源MAC地址、目的MAC地址、源IP（IPv4/IPv6）地址、目的IP（IPv4/IPv6）地址、TCP