市政府电子政务平台建设项目实施建设方案.docx

1、市政府电子政务平台建设项目实施建设方案xx市政府电子政务平台建设项目系统集成实施方案文件编号： 起草部门：系统网络部编 写 人： 审 核 人： 签 发 人： 批准日期： 版本标识： 1.5版 目录xx市政府 1电子政务平台建设项目 1系统集成实施方案 11. 项目概述 31 技术方案概述 32 系统集成方案 42.1 系统集成内容 42.2 网络平台建设 82.2.1 网络拓扑设计 82.2.2 端口规划 92.2.3 地址规划 102.3 数据中心建设方案 132.3.1 机柜设计 132.3.2 服务器&存储系统设计 142.4 安全防护设计 172.4.1 Internet出口设计 17

2、2.4.2 远程vpn访问设计 182.4.3 Internet出口区设备端口及ip地址规划 182.4.4 内网终端安全防护设计 192.4.5 服务器及网管工作区安全设计 193 系统集成实施计划 201. 项目概述此次xx市电子政务网络平台的建设，包含网络平台建设、数据平台建设和平台安全防护三个主要部分。网络平台建设分为核心、汇聚、接入三级，具有良好的可扩展性和可靠性，能重分满足本地办公大楼及全市150个以上的分支节点的接入。数据平台使用高性能服务器及存储阵列组建数据中心，为整个电子政务平台提供高性能、高可靠性的数据存储及访问服务。安全防护使用防火墙、VPN、IPS、终端安全防护、网络防

3、病毒软件等安全防护技术来保证电子政务网络平台的安全可靠运行。1 技术方案概述根据xx市电子政务网络平台的建设需求，网络平台在设计上分为核心层、汇聚层、接入层三级，具有较好的可扩展性和可靠性，能够充分满足全市150个以上的分支节点的接入。核心层负责整个网络的数据交换，同时也是整网的路由中心，全网第三层、第四层操作都通过核心节点集中进行。核心层下行使用千兆链路分别连接到各个汇聚层的路由交换机上，接入层为终端提供百兆链路接口；在核心路由交换机部署防火墙模块，对内部的数据流进行过滤和分析，充分保证数据中心和网管中心的安全；在市府设立数据中心和网管中心，负责整个xx市电子政务平台的运行维护。数据中心和网

4、管中心的服务器直接接入到核心交换机；全网设置一个到Intetnet的统一出口，以防火墙进行隔离；增加入侵保护系统IPS，进行4-7层的深度防护；增加VPN网关，为移动办公的用户提供安全的接入，方便出差在外的用户依然可以安全快捷的访问政务专网。根据业务应用情况，部署协同办公（移动办公）、网上审批、网站等6台服务器；部署磁盘阵列1套，支持多种RAID方式，裸盘容量大于4T。2 系统集成方案2.1 系统集成内容此次xx市政府电子政务平台建设项目需要安装调试的设备如下：序号设备名称品牌型号配置要求数量1H3C核心路由交换机H3CLS-7510EH3C S7510E以太网交换机主机1LSQM1AC140

5、0H3C S7500E 交流电源模块,1400W2LSQM1SRPB0H3C S7500E Salience VI交换路由引擎2LSQM1GV48SC0H3C S7500E 48端口千兆以太网电接口模块(PoE,RJ45)1LSQM1GP24SC0H3C S7500E 24端口千兆以太网光接口模块(SFP,LC)1LSQM1FWBSC0H3C S7500E 千兆防火墙业务板模块12接入层交换机H3CLS-3600-52P-SIH3C S3600-52P-SI以太网交换机主机,48个10/100Base-T,4个千兆SFP上行口,交流供电103H3C网管软件（含终端管理）H3CSWP-IMC-I

6、MPW-CN智能管理平台(不含节点)标准版1LIS-IMC-IMPA-CN-50License授权函-H3C iMC-SW7M1IMPA-智能管理平台license费用-管理50节点1SWP-IMC-EADW-CN功能模块-H3C iMC-SW7M1EADW-EAD安全策略组件(含500安全认证用户) For Windows-纯软件(CD)中文版1SWP-CAMS-WIEAC-PFS-H3H3C iNode-iNode EAD客户端组件(for Windows)-纯软件(CD)中文版专业版1LIS-CAMS-WIEA-PF500-H3iNode EAD客户端组件-500 License1SV-

7、MA-BS-EADEAD（服务器端）-基本维保5x8xNBD出发1SV-MA-BS-EADEAD（客户端每200用户）-基本维保5x8xNBD出发3SV-PS-TIM工程服务-工程实施服务（不含客户端）1SV-PS-TIM客户端每增加200应用软件费用34防火墙H3CNS-SecPath F1000-E-AC装配组件-H3C SecPath F1000-E-NSQZ1F1000E-SecPath F1000-E 防火墙主机-交流电源-国内版1RT-HIM-4GBE-WAN-H34端口千兆以太网电口接口模块(WAN)15SSL VPNH3CNS-SecPath F1000-S-ACH3C Sec

8、Path F1000-S 主机-双交流电源(4GE/2Slot)1NS-MIM-SSL-H3功能模块-H3C SecPath F1000-A-NSQM2SSL-SSL加密处理模块16入侵保护系统IPSH3CNS-SecPath T200E-AH3C SecPath T200-E-IPS主机(4GE电口),含一年特征库升级,一年病毒库升级17服务器ADELLPER9004个四核至强处理器 E7310, 2X2MB缓存, 1.60GHz, 1066MHz前端总线；8GB (4x2GB), 667MHz, ECC, 双内存列,全缓冲内存条；4块300GB, 3.5, 15Krpm, SAS 硬盘,；

9、集成4端口千兆以太网卡，48服务器BDELLPE29002个四核英特尔至强处理器 E5410 2.33GHz, 12MB缓存, 1333MHz前端总线；8GB (4x2GB), 667MHz, ECC, 双内存列,全缓冲内存条；2块300GB, 3.5, 15Krpm, SAS 硬盘；集成双Broadcom千兆网卡29防病毒软件网络版江民 江民6中心350个客户端；支持C/S或B/S模式对网络防病毒集中统一管理；全中文界面；能进行可移动管理；支持各种主流操作系统，如Win系列,*NIX等；支持实时监视扫描；支持计划任务扫描；对发现的病毒能采取报告、清除、删除、修复、重命名多种处理方式；能查杀未

10、知病毒，能扫描压缩文件内的病毒；能定时或开机自动更新和分发特征码；对文件病毒的完整性检查；对客户端完全管理，包括远程杀毒，查毒，删除等；升级方式可以通过局域网共享和HTTP方式进行增量升级方式；安装、升级、删除后无需重新启动计算机；报警信息分级、多种报警方式并支持过滤；支持中央隔离区，支持扫描延迟和优先级控制；支持扩展的威胁检测和威胁分类，可识别病毒、蠕虫、特洛伊木马和Spyware、Trakware、Adware等；符合国家相关标准和规范，具备公安部颁发的“信息安全产品销售许可证”110正版操作系统 数据库软件微软Windows 2008 Server企业版10用户版 1SQL 2005 1

11、0用户版111HA软件ROSEROSE双机软件for Windows 版112H3C磁盘阵列H3CNI0Z1E1000BEX1000T，双64位处理器，4GB缓存，4个GE端口，单电源，含管理软件1NI0M1HD1500500GB 一体化企业级SATA硬盘、热插拔磁盘托架8NI0M1DPS700Neocean-网络存储700W电源模块1SV-PS-INST-NI-EXEX系列首次安装服务113SAN 交换机H3CLS-5100-16P-EI-H3H3C S5100-16P-EI L2以太网交换机主机, 支持16个10/100/1000BASE-T端口,支持4个100BASE-X 或1000BA

12、SE-X SFP端口(combo),AC 110/220V114标准机柜三菱金属开孔散热门，后门双开；电源插排4个（每个带万能插孔10A5 16A1，带开关）托盘5个；宽800mm；深1000mm；高2000mm；42U615KVMATEN17 LCD液晶显示器、键盘、鼠标等可折叠放入机柜，8路切换，切换线缆等，高度2U116光模块H3CSFP-GE-SX-MM850-A光模块-SFP-GE-多模模块-(850nm,0.55km,LC)20SFP-GE-LX-SM1310-A光模块-SFP-GE-单模模块-(1310nm,10km,LC)42.2 网络平台建设2.2.1 网络拓扑设计10台H3

13、C LS-3600-52P-SI接入层交换机各使用1对多模光线连接到核心H3C LS-7510E交换机，实现本地各楼层办公计算机的高速网络接入功能，在核心交换机上划分VLAN，配置三层IP地址，为办公计算机提供网关及路由服务。数据中心服务器及网管中心服务器和网管工作站使用双绞线直接连接到核心交换机的以太网电口，为服务器及网管工作站提供高速网络接入。服务器使用双线路连接到核心交换机，并在服务器上使用网卡绑定技术，提高服务器的网络接入安全性，提高整个系统的稳定性和可靠性。对internet提供服务的服务器部署在防护墙的DMZ区，使用双绞线直接连接到防火墙，以增加服务器及内网的安全性。xx市政府各分

14、支节点通过网通的专用线路直接接入到核心交换机上，并使用trunk及vlan隔离技术与保证分支节点访问核心层数据的安全性和可靠性。2.2.2 端口规划核心交换机的端口规划（24端口千兆光业务板插在1号槽位，48端口千兆电口业务板插在5号槽位，防火墙模块在3号槽位）：端口Vlan号/Vlan名接口类型对端设备GE1/0/1101/floor01多模SFP一楼接入层交换机LS-3600-52P-SIGE1/0/2102/floor02多模SFP二楼接入层交换机LS-3600-52P-SIGE1/0/3103/floor03多模SFP三楼接入层交换机LS-3600-52P-SIGE1/0/4104/f

15、loor04多模SFP四楼接入层交换机LS-3600-52P-SIGE1/0/5105/floor05多模SFP五楼接入层交换机LS-3600-52P-SIGE1/0/6106/floor06多模SFP六楼接入层交换机LS-3600-52P-SIGE1/0/7107/floor07多模SFP七楼接入层交换机LS-3600-52P-SIGE1/0/8108/floor08多模SFP八楼接入层交换机LS-3600-52P-SIGE1/0/9109/floor09多模SFP九楼接入层交换机LS-3600-52P-SIGE1/0/10110/floor10多模SFP负一楼接入层交换机LS-3600-5

16、2P-SIGE1/0/242100/FenZhiJiGou单模SFP网通机房交换机，连接各分支机构网络GE8/0/1-8/0/1610/server千兆电口数据中心服务器GE8/0/17-8/0/4611/manage千兆电口网管工作站&设备管理端口GE8/0/47-8/0/4850/internet千兆电口Internet出口区IPS设备XGE3/0/151/secblade内部虚拟接口核心交换机防火墙板楼层交换机的端口规划：端口Vlan号接口类型对端设备Eth1/0/1- 1/0/48本楼层所属vlan百兆电口办公计算机GigabitEthernet1/1/1Trunk口多模SFP核心交换

17、机GigabitEthernet1/1/2Trunk口多模SFP备用端口 出口防火墙端口规划：端口Ip地址掩码说明GE0/0192.168.0.1255.255.255.0备用管理端口GE0/2222.132.48.114255.255.255.248连接Internet出口GE0/3172.16.254.2255.255.255.252连接内部IPSGE1/0172.16.2.1255.255.255.0连接Wap视频会议服务器GE1/1连接邮件、bbs、视频点播服务器GE1/2连接外网web服务器 IPS端口规划：端口Ip地址掩码对端设备m-ethernet0/0/0172.16.3.22

18、55.255.255.0带外管理接口GE1无，透明模式无连接出口防火墙GE2无，透明模式无连接内部7510E交换机 SSL VPN端口规划；端口Ip地址掩码对端设备Eth0/1172.16.3.3255.255.255.0连接7510E交换机2.2.3 地址规划因为xx市电子政务网络平台是独立的内部办公网络，只有一个Internet出口，没有与其他网络互联互通的需求，因此可以在内部保留地址段中自由分配，考虑到网络规模，易管理性，易扩充性等因素，建议采用如下ip地址分配方案：整个网络采用172的内部保留地址段，172.16.*.*分配给市府使用，数据中心服务器、网管工作站、各个楼层分别占用一个C

19、类地址段（最多可以接入253台计算机），172.17.*.*分配给其他县等分支机构使用。地址段划分：使用目的网关掩码可分配地址备注数据中心服务器172.16.1.1255.255.255.0172.16.1.2-254核心交换机Vlan10防火墙DMZ区172.16.2.1255.255.255.0172.16.2.2-254防火墙扩展模块端口GE1/0-1/3数据中心网管工作站和设备管理地址172.16.3.1255.255.255.0172.16.3.2-254核心交换机Vlan11SAN存储区域地址192.168.200.0不需要网关255.255.255.0192.168.200.1-

20、254存储交换机vlan100设备互联地址172.16.254.0255.255.255.252172.16.254.1-254本C段全部用于设备互联，划分成小段使用。市府楼层办公计算机172.16.11.1255.255.255.0172.16.11.1-254一层：vlan101按照楼层顺序增加分支节点办公计算机172.17.0.1255.255.252.0172.17.0.2172.17.3.254核心交换机vlan2100设备地址与端口具体分配：连接设备名称连接端口分配地址掩码网关备注服务器地址分配网管服务器GE8/0/1、GE8/0/2172.16.1.2255.255.255.01

21、72.16.1.1连到核心交换机HA双机虚拟地址172.16.1.3255.255.255.0172.16.1.1内网web与热备服务器双机虚拟ip内网web服务器GE8/0/3、GE8/0/4172.16.1.4255.255.255.0172.16.1.1连到核心交换机热备服务器GE8/0/5、GE8/0/6172.16.1.5255.255.255.0172.16.1.1连到核心交换机Wap视频会议服务器防火墙GE1/0172.16.2.2255.255.255.0172.16.2.1连到出口防火墙邮件、bbs、视频点播服务器防火墙GE1/1172.16.2.3255.255.255.0

22、172.16.2.1连到出口防火墙外网web服务器防火墙GE1/2172.16.2.4255.255.255.0172.16.2.1连到出口防火墙设备管理地址分配出口防护墙管理地址核心交换机8/0/48172.16.254.2255.255.255.252互联接口，带内管理地址核心交换机防火墙模块核心交换机虚拟接口3/0/1172.16.1.1255.255.255.0服务器网关，带内管理IPS入侵防护管理地址核心交换机8/0/33172.16.3.2255.255.255.0172.16.3.1带外管理SSL VPN管理地址核心交换机8/0/34172.16.3.3255.255.255.0

23、172.16.3.1带内管理核心交换机管理地址VLAN11172.16.3.1255.255.255.0存储阵列管理地址核心交换机8/0/35172.16.3.4255.255.255.0172.16.3.1带外管理存储交换机管理地址核心交换机8/0/36172.16.3.5255.255.255.0172.16.3.1带外管理一楼接入层交换机核心交换机1/0/1172.16.3.11255.255.255.0172.16.3.1带内管理二楼接入层交换机核心交换机1/0/2172.16.3.12255.255.255.0172.16.3.1带内管理三楼接入层交换机核心交换机1/0/3172.1

24、6.3.13255.255.255.0172.16.3.1带内管理四楼接入层交换机核心交换机1/0/4172.16.3.14255.255.255.0172.16.3.1带内管理五楼接入层交换机核心交换机1/0/5172.16.3.15255.255.255.0172.16.3.1带内管理六楼接入层交换机核心交换机1/0/6172.16.3.16255.255.255.0172.16.3.1带内管理七楼接入层交换机核心交换机1/0/7172.16.3.17255.255.255.0172.16.3.1带内管理八楼接入层交换机核心交换机1/0/8172.16.3.18255.255.255.01

25、72.16.3.1带内管理九楼接入层交换机核心交换机1/0/9172.16.3.19255.255.255.0172.16.3.1带内管理负一楼接入层交换机核心交换机1/0/10172.16.3.20255.255.255.0172.16.3.1带内管理设备互联地址分配核心交换机到internet出口核心交换机GE8/0/48172.16.254.1255.255.255.252172.16.254.2连接IPS及Internet防火墙核心交换机到交换机防护墙业务板核心交换机XGE3/0/1虚拟端口172.16.254.5255.255.255.252172.16.254.6连接核心交换机防火

26、墙业务板2.3 数据中心建设方案2.3.1 机柜设计本次项目中使用了6台高性能服务器、1个阵列存储及若干网络设备，设计服务器组占用3个机柜，存储阵列占用1个机柜，核心交换机占用一个机柜，防火墙、vpn等安全设备占用一个机柜。具体的机柜及机柜内的设备部署如下：2.3.2 服务器&存储系统设计本项目中使用了6台DELL服务器，其中有4台服务器需要挂接存储系统，有3台对Internet提供服务的服务器需要部署在防火墙的DMZ区，有2台服务器需要部署成HA双机系统。服务器及存储系统部署方式如下：本项目中使用的H3C Neocean EX1000T存储系统共配置了8块500GB SATA硬盘，除去一块热

27、备盘外，共有7块硬盘可分为2个磁盘组，使用RAID 5后每个磁盘组可用空间分别为1T和1.5T，总共可提供2.5T的磁盘存储空间。各服务器配置及存储划分情况如下：外网web服务器（DMZ区）内网web服务器（内网）设备型号PER900设备型号PER900主机名Cms主机名JavaIP地址主机地址：172.16.2.4/24存储连接地址：192.168.200.3/24主DNS：202.102.128.68备DNS:218.56.57.58IP地址主机实际地址：172.16.1.4/24双机虚拟地址：172.16.1.3/24心跳线地址：192.168.254.2/24存储连接地址：192.16

28、8.200.2/24网卡分配网卡1：防火墙GE1/2网卡2：空网卡3：空网卡4：存储交换机1/3网卡分配网卡1：核心交换机GE8/0/3网卡2：核心交换机GE8/0/4网卡3：双机心跳线网卡4：存储交换机1/2OS版本Windows 2008 Server企业版10用户版OS版本Windows 2008 Server企业版10用户版数据库版本（SQL 2005 10用户版）数据库版本（SQL 2005 10用户版）HA软件（不需要）HA软件（需要）Raid方式（Raid5）Raid方式（Raid5）内置硬盘划分盘符：c：卷标：sys空间：50G盘符：d：卷标：cms空间：300G盘符：e：卷标：bak空间：550G内置硬盘划分盘符：c：卷标：sys空间：100G盘符：d：卷标：bak空间：800G磁盘阵列存储划分盘符：f：卷标：bak空间：100G磁盘阵列存储划分盘符：f：卷标：bak空间：200G应用cms服务器应用内网办公服务器实施责任人网通：硬件安装、网络配置、操作系统、HA雷音：数据库安装配置，配合网通实现双机、其他软件工作实施责任人网通：硬件安装、网络配置、操作系统