韶關城建局城域網解決方案湖南計算機股份有限公司2002.6網絡設計目標：韶關城建局計算機網絡信息平臺是要利用當前先進的計算機網絡技術，在總體規劃的前提下，將韶關城建局的所有網絡資源互聯起來，進行合理的利用、配置和共享，充分體現計算機網絡技術所帶來的先進、高效、快捷的特性。我們建設“韶關城建局計算機網絡”的總體目標應定位在：利用計算機網絡和數據庫等現代化網絡技術將城建局各個部門的數據有機地集成起來，綜合運用現代治理技術、信息技術、自動化和系統工程技術，以實現城建局的整體優化，顯著提高城建局的經濟效益和社會效益；并聯入因特網，和世界信息共享。將新一代智能大廈辦公網絡設計理念和城建局行業應用的特點緊密結合起來，建成新一代的智能大廈辦公網絡的典范。二、網絡設計要求：依照城建局行業應用的需求分析及其對網絡的要求，網絡設計遵循以高性能、高可靠、高度安全、和先進的服務質量（QoS）為核心的設計要新一代智能大廈網絡主導技術的設計思想。三、網絡邏輯設計：網絡邏輯設計融合了網絡層次設計，拓撲設計，IP子網設計。建立一個以韶關市城建局為中心，以下八縣三區城建分局及三個單位子網子節點的內部網，并為今后開發IP語音等增值服務奠定了良好的基礎。韶關市城建局網絡中心通過韶關電信接入DDN網，通過DDN專線與各城建分局相連。內部網只在市城建局網絡中心設置163及169電信網出口，所有子節點都通過市城建局網絡中心的出口訪問Internet或169網。在各子節點設置撥號服務器，提供撥號接入服務。在各子節點所在范圍內能夠直接撥號訪問內部網并通過內部網訪問Internet。職員出差到下級地區，可直接撥入就近地區的撥號服務器，或使用VPN（虛擬私有專網）服務來訪問城建局內部網。在韶關市城建局的局域網需支持近100個用戶，因此采納了HDS5524F交換機以及HDS4524為用戶提供100MB的接入帶寬，利用HDS5524F的100MB端口連接中心路由器Cisco3620，及連接隔離內外網方正方御防火墻FG-FW；在中心路由器Cisco3620上配置了一塊NM-8A/S模塊為各分支節點提供了可達128K的DDN的接入端口；在與163和169網連接時，考慮到系統高安全性的要求，選用了方正方御防火墻FG-FW，安全有效隔離了內網和外網。8縣3區等分支節點考慮到投資成本及今后內部IP電話的進展，選用了支持語音功能的Cisco2611路由器，通過64K或128KDDN專線與總部連接。網絡邏輯設計融合了網絡層次設計，拓撲設計，IP子網設計。層次設計網絡層次設計上通常分為三層結構，即核心層、分布層、接入層。城建局網絡結點分布在4個區域：1、4、5樓辦公區、6、7樓辦公區、8、9樓辦公區、8縣3區城建分局和3個單位子網，依照各區域應用的不同要求，采納了相應的層次設計。參照網絡總體設計圖,整個網絡層次設計具體如下所述：路由器：Cisco3620路由器從設計之初就將高性能、靈活性和優異的性能價格比考慮在內，因此是特不適合韶關市城建局網絡的多功能分支機構之間實現網絡互連的。Cisco3620底板具有80MHz主頻的R4700RISC處理器，吞吐量為20－40Kpps（萬信息包）。其模塊化的設計思想使得Cisco3620在分支辦公室路由選擇，多業務語音/視頻/數據集成，ISDN撥號訪問，VLAN間路由選擇，SNA集成和WAN業務集中等方面均有所長，在中望網實施中，正是通過添加了NM-8A/S模塊，為各地分公司提供了128KDDN的接入服務，并為今后的IP語音提供了可靠的基礎。Cisco3620路由器劃時代地將撥號訪問，LAN－LAN路由用于網絡多媒體應用、傳統通訊支持和預期以后技術（如數字用戶線路xDSL和語音/視頻/數據集成網絡）三方面的集成中，過去用戶必須至少購買三種設備才能滿足要求，現在Cisco3620將三種功能集成到一個平臺上。無疑地，中望網因此將在可靠性、治理性、靈活性和性能價格比方面具有顯著的優勢。Cisco2611路由器是Cisco專為遠程分支機構提供的具有更高靈活性和投資愛護的接入設備。在多業務語音/視頻/數據集成，部門撥號服務，VPN接入等方面具有優異性能，是Cisco語音/視頻/數據集成策略的關鍵部分之一，提供業內最大范圍的基于IP的端到端信息包電話網關解決方案。Cisco2611有兩個LAN接口，兩個WAN接口，一個高密度Cisco網絡模塊槽和一個AIM槽。在多業務集成方面，Cisco2611安裝Cisco話音/傳真模塊后就能提供與眾不同的數據和語音服務質量；2611還支持現場升級，能夠專門容易地改變網絡接口而不必對整個遠程分支機構解決方案進行全面升級，這關于中望公司不斷擴大的各地分公司來講尤為適用；2611還提供冗余電源（RPS），以便在主鏈路出現故障時自動恢復數據和話音服務。Cisco3620和2611具有相同的治理界面，都能夠通過Cisco聞名的IOS軟件進行治理，包括RSVP網絡資源預備協議，策略路由，IP優先級，WRED加權隨機早期檢測，WFQ加權公平隊列，CAR限制訪問速率，通信流量治理--NetFlow交換和數據輸出，擴展訪問操縱列表（擴展ACL），分布式交換和服務，標志交換等關鍵技術的使用，充分保障了內部網IP服務質量（IPQoS）。核心層：采納一臺智能網管型二層交換機HDS5524F。為保證服務器的高數據傳輸率，直接以100M端口與各服務器相聯，使下級工作站的大量訪問數據得以暢通無阻；9.6G的背板帶寬，充分保證網絡的高速性，幸免網絡瓶頸的出現；；具有廣播風暴操縱；第二層線速交換。辦公區接入層：采納HDS4524，10M/100M的用戶端口，并提供標準完善的治理功能。HDS4524系列交換機支持基于端口的VLAN，使各部門的局域自成體系，增強安全性并隔離了廣播風暴。遠程接入用戶：采納Cisco2611路由器，通過DDN連接市城建局網絡中心Cisco3620路由器。2.網絡拓撲參照網絡總體設計圖：2.IP子網設計依照城建局網絡系統的區域特點，IP子網設計中將每個業務部門劃分為一個IP子網，各部門服務器劃分到相應的子網，共享服務器采納基于IP子網的VLAN方式映射到相應的多個子網中。不同子網之間的通訊通過基于策略的路由和訪問操縱來實現。3.流量設計依照業務流量分析，在流量設計上采納負載均衡和帶寬匹配的原則。服務器組與核心交換機通過兩條全雙工百兆鏈路互連，實現全雙工400Mbps負載均衡的高速可靠的傳輸通道，構成網絡的高速主干。分布層結點、通過1條全雙工百兆鏈路連接到核心層結點，保200Mbps的高速可靠傳輸。用戶端提供靈活的10M或100M自適應的接入方式。4．網絡安全設計從今后長遠的網絡可靠性角度來講，網絡安全性必將成為系統安全運行和內部資源愛護的一種重要手段。這一點，在信息中尤顯得更加重要，因此，網絡安全的手段應要緊包括：1、訪問操縱，2、用戶認證，3、入侵檢測，4、內容審查，5、病毒防范6、防火墻設置防火墻：采納方正方御防火墻FG-FW。利用防火墻隔斷內網與外網，統一部署安全策略，為內網設備與數據信息提供安全保障；利用入侵檢測實現發覺攻擊企圖，為內部提供更多的可了解信息；利用掃描器對自己的網絡進行安全掃描，評估內部風險，并定期維護內網安全。FG1000M是一款基于包過濾的防火墻，除了防火墻功能外，還集成了許多有價值的網絡安全工具，要緊包括：入侵檢測系統（IDS），虛擬局域網支持（VLAN），路由選擇協議操縱，網絡地址轉換（NAT），雙機熱備，完備的審計功能，完善的訪問操縱等，如下圖：（具體技術參數見《方正方御千兆防火墻白皮書》）防殺病毒：采KILL100USEPACK。實時查殺所有病毒（先進的技術、全球化的病毒檢測機構）不阻礙系統性能（網絡效能、兼容性）全面、安全、靈活的治理及升級方式，本地化的服務和支持。同時采納層層設防、集中操縱、以防為主、防殺結合的防病毒策略。見下圖：詳見：〈〈KILL安全胄甲解決方案〉〉四、方案論證：高可靠性為了防止局部故障引起整個網絡系統的癱瘓，要幸免網絡出現單點失效。在網絡骨干上要提供備份鏈路，提供冗余路由。在網絡設備上要提供冗余配置，保證把局部故障對網絡的阻礙降低到最小。主干網的設計和選用的設備均具有專門高的可靠性與可用性，具體表現在：·充分保證骨干網上在核心交換機HDS5524F及其電源模塊、千兆交換模塊不存在單點失敗；·接入交換機HDS4524F及其電源模塊/百兆交換模塊不存在單點失??；·HDS5524F和HDS4524之間的百兆光纖鏈路不存在單點失敗；高效性為了及時、迅速地處理網絡上傳送的數據、語音和視頻，網絡設備必須具備高速處理能力，提供高速數據鏈路，保證網絡高吞吐能力，滿足各種應用（如：圖文發送和視頻會議系統）對網絡帶寬的需求；主干交換機采納基于ASIC分布式處理的體系結構，充分保證了線速轉發提高性能，消除集中式處理的瓶頸難題。主干網的高容量，主干網為全連接的結構，提供了9.6Gbps的主干背板容量和100Mbps鏈路帶寬。高度安全性為了愛護用戶在網絡上數據的安全可靠，必須提供多種方式和層次的訪問操縱，通過使用VLAN、包過濾及防火墻等技術保證數據的安全傳輸。方案中提供多種方式和層次的訪問操縱安全機制，可進行端到端的安全性操縱。要緊包括：·VLAN的劃分在縮小廣播域規模的同時，提供了局域網的安全操縱；··HDS的包過濾功能特不強大，在每個以太端口上均可加載輸入輸出過濾器，每個過濾器通過深層過濾監測數據包·為了愛護用戶在網絡上數據的安全可靠，必須提供多種方式和層次的訪問操縱，通過使用VLAN、包過濾及防火墻等技術保證數據的安全傳輸。先進的QoS辦公大樓網絡提供了一個綜合的辦公網絡平臺來承載圖像、語音和數據業務，因此提供先進的QoS機制是必不可少的。通過實現QoS,能夠充分保證圖像、語音等應用有較高的帶寬和較小的延遲。湖南計算機股份有限公司網絡通信及安全事業部的解決方案能夠通過對優先級隊列、IPMulticast優化(IGMP/DVMRP)的支持保證在千兆位以太網環境中對多媒體應用的支持。例如使用IPMulticast技術和VideoServer能夠在整個骨干網中播放MPEG-1或MPEG-2圖像，并能夠在不引入大量廣播數據包的情況下完成骨干網內部的視頻廣播。多點廣播隊列還能夠防止擁塞，在高負荷的情況下保持性能。此外，單點廣播隊列和多點廣播隊列能夠在繁忙的網絡環境中提供低延時信道，保證時延敏感的多媒體應用的正常運行。在HDS中還支持8個優先級隊列，同時能夠依照數據包的端口、MAC地址、VLAN、IP流進行優先級的劃分，使視頻、語音等應用有較高的優先級，以保證其帶寬和時延要求。五、方案特色1.韶關城建局網絡核心骨干網采納代表業界高性能的智能性千兆交換機HDS5524F；2.韶關城建局網絡接入交換機采納高可靠/高性能10/100/M交換機HDS4524，采納業界良好的容錯設計；3.網絡設備之間的鏈接全部采納最具特色的負載均衡和鏈路容錯設計，充分保證任一鏈路的可靠性并發揮其最大的利用率；4.提供端到端的服務質量(QoS)、虛擬網功能(VLAN)，充分滿足接入用戶的服務質量和用戶服務的靈活性、安全性的要求5.用戶端全部采納10M/100M最靈活的接入方式入網，具有最大的可伸縮性和擴展能力6.網絡及系統治理方便，集成