可編輯版/可編輯版XXX國土資源局內網網絡方案建議書XXXXXXX網絡有限公司20XX11月目錄前言5第一章網絡建設需求6第二章網絡設計原則及總體目標82.1網絡設計原則82.2網絡建設目標9第三章網絡設備選型說明103.1核心路由交換機設備選型說明103.2接入交換機設備選型說明133.3服務器群組交換機設備選型說明143.4市局中心路由器設備選型說明173.5區、縣接入路由器設備選型說明213.6國土所接入路由器設備選型說明233.7省專網路由器設備選型說明253.8網管軟件選型說明27第四章網絡建設方案304.1網絡拓撲圖304.2網絡拓撲結構說明304.2.1網絡架構304.2.2鏈路選擇31第五章網絡規劃325.1IP地址規劃325.2路由策略規劃325.3網絡安全規劃335.3.1VLAN安全規劃335.3.2防網絡病毒規劃345.3.3防網絡攻擊規劃365.4網管規劃395.4.1強勁的網絡拓撲發現能力395.4.2網絡性能管理405.4.3設備IOS的批量升級405.4.4網絡配置管理415.4.5智能化的事件管理機制415.4.6高效的性能監視和預警功能42第六章銳捷網絡公司簡介446.1公司介紹446.2發展歷程456.3關于銳捷網絡466.3.1銳捷網絡核心理念466.3.2銳捷網絡榮譽47第七章銳捷網絡服務537.1服務綜述537.2服務體系547.2.1服務體系架構547.2.2呼叫中心系統547.2.3備件管理系統547.2.4技術支持系統547.2.5運營監控系統557.2.6銳捷服務團隊557.3服務品牌及內涵557.3.1服務標志的兩種組合方式557.3.2服務理念557.3.3品牌內涵567.4服務政策567.4.12007年產品保修政策567.4.2產品保修憑證及保換期、保修期計算577.4.3服務須知587.4.4服務導航587.4.5服務響應時效597.4.6服務和約61附錄一產品介紹63銳捷新一代多業務萬兆核心路由交換機RG-S6810E63銳捷全千兆網管交換機RG-S2724G68銳捷安全智能萬兆多層交換機RG-S5750S-24GT/12SFP70銳捷可信多業務路由器RSR50-8074銳捷模塊化多業務路由器RG-R374079銳捷可信多業務路由器RSR20-0482銳捷網絡管理軟件StarView84附錄二產品測試報告881銳捷網絡公司證書〔部分88銳捷網絡——中國名牌8820XX市場占有率8920XX市場占有率證明90全國企業自主創新優秀獎91中國信息產業20年貢獻獎9220XX中國電腦商500強之供應商100強922核心交換機IPv6認證證書933網絡產品入網許可證及測試報告94RG-S6810E入網許可證94RG-S6810E測試報告95RG-S6810E萬兆測試報告97RG-S6810ESPOH測試報告98RG-S2724G入網許可證99RG-S2724G測試報告100RG-S5750S-24GT/12SFP入網許可證102RG-S5750S-24GT/12SFP測試報告103RSR50-80入網許可證105RSR50-80測試報告106RG-R3740入網許可證108RG-R3740測試報告109RSR20-04入網許可證111RSR20-04測試報告112網管軟件登記證書114附錄三技術白皮書1141、同步式硬件處理——SPOH技術白皮書1142、三層交換技術——LPM+HDR白皮書120前言當前,隨著信息技術和網絡經濟的崛起,信息產業已成為當今世界經濟與社會發展最主要的驅動力。特別是對于剛剛跨進21世紀的當代政府單位而言,充分利用現代化辦公手段,進一步轉變工作方式,提高工作質量和效率,大力推進政府信息化建設,已經成為各級政府和部門當前面臨的一項十分緊迫的重要任務。國土資源局是人民政府組成部門,主管土地資源、礦產資源等自然資源的規劃、管理、保護、合理利用和測繪事業。國土資源數據中心是以國土資源各類數據為核心,依托成熟的數據庫管理、GIS平臺和網絡系統,按照統一的標準,建立具有信息管理、數據綜合分析、數據分類查詢、綜合統計分析及信息服務等功能一體化的國土資源數據管理體系。國土資源數據中心是信息交換體系的主體,它既是國土資源信息交換體系的節點,又是各級國土資源信息系統的中樞。其主要作用是：一是為本級國土資源政務管理信息系統提供管理及運行平臺；二是為遠程信息系統按權限調用國土資源信息提供共享和交換機制；三是為本級信息服務系統的信息提取提供數據源支持。XX省國土廳根據全省國土資源信息化建設的需要,積極穩妥地推進全省市、縣級國土資源數據中心建設,依據國家和國土資源部有關法律、法規、政策規定和標準,已在全省全面開展國土資源部門信息化建設工作。XXX國土局網絡建設就是全省國土部門信息化建設這個大背景下的一項政府信息化工程。通過采購網絡設備、鋪設光纜等方式建設國土局內部網絡,實現內部辦公自動化、信息化。并通過和省國土專網互聯,實現資源的共享,保證各級機關政令暢通,提高各級機關工作效率,節省各級機關辦公經費。同時,通過接入國際互聯網,為社會提供國土資源信息服務。第一章網絡建設需求XXX國土局網絡功能系統的劃分必須兼顧不同部門管理、決策、服務及辦公自動化等各項業務和職能要求。針對這樣的業務要求,對于網絡的需求如下：網絡的高穩定可靠性網絡平臺就像大樓的地基一樣,他的穩定與否將直接影響承載在網絡上的應用能否穩定可靠的使用。而網絡結構、網絡設備以及路由協議就像大樓地基的搭建結構、選擇的沙石水泥合搭建的方式,所以一個網絡的高穩定可靠性體現在網絡架構的健壯性、網絡設備的穩定可靠性設計以及合理的路由方式。網絡的高安全性現在網絡受到病毒和攻擊越來越多,而且造成的影響也越來越大。往往由于這些病毒和攻擊導致網絡設備無法提供正常的數據轉發、用戶PC中毒不能訪問網絡、用戶之間傳輸的數據被截取等,從而給網絡帶來極大的安全隱患。而網絡設備是組成網絡的重要元素,就像高速公路的汽車,他的安全性能將直接導致網絡是否能夠正常穩定的運行,所以一個網絡安全的前提是設備的高安全性。技術先進性隨著近幾年互聯網的飛速發展,技術更新非常快,如何讓新建的網絡更好的適應未來網絡的需求,是需要我們重點考慮的。目前IPv4地址即將枯竭,要確保未來網絡平滑升級到IPv6網絡,本次網絡建設要能夠確保設備支持IPv6,以確保未來平滑升級。完善的QoS機制在一個穩定、可靠、安全的網絡環境下,同時在市局與各個區、縣、所互聯帶寬只有2M,且整個市局要與區、縣、所進行很多的信息傳輸,如何能夠確保在有限的帶寬情況下確保重要數據的傳輸,也是需要我們重點考慮的。由于市局與21個分之機構采用2M數字專線進行互連,其帶寬是可以滿足相關數據對網絡帶寬的需求,但如何更有效的利用這個帶寬,是需要網絡設備具有良好的QoS的支撐,以確保數據傳輸的效果。網絡的高性能可以看到近幾年網絡帶寬飛速發展,從20XX的100M升級到現在的萬兆,比原有帶寬增長了盡100倍。這與應用的飛速發展是分不開的。而本次網絡建設要承擔整個網絡的骨干架構,那么所選則的設備不僅要能夠支持千兆、萬兆的線速轉發。同時,網絡設備要具有足夠大的背板帶寬、交換容量和包轉發率,以滿足未來應用的需求。網絡的易管理由于本次網絡建設是新辦公大樓,每層節點比較分散,如何做到整網的易管理,也是我們面臨的一個重要問題。為了能夠實現整網的集中統一管理,我們需要有一套完善的機制簡化我們的管理難度,以提高我們的管理效率。第二章網絡設計原則及總體目標2.1網絡設計原則對XXX國土局網絡總體規劃及實施,遵循以下基本原則：統一領導、統一規劃、統一標準：在統一領導下,用科學的理論和系統的方法統一規劃、統一標準。高可靠性：網絡系統的穩定可靠是應用系統正常運行的關鍵保證,在網絡設計中選用高可靠性網絡產品,合理設計網絡架構,制訂可靠的網絡備份策略,最大限度地支持國土局相關業務系統的正常運行。安全性：制訂統一的網絡安全策略,整體考慮網絡平臺的安全性,為國土局的網絡應用提供有利的安全保障。技術先進性和實用性：保證滿足應用系統業務的同時,又要體現出網絡系統的先進性。在網絡設計中要把先進的技術與現有的成熟技術和標準結合起來,充分考慮到國土局網絡應用的現狀和未來發展趨勢。高性能：骨干網絡性能是整個網絡良好運行的基礎,設計中必須保障網絡及設備的高吞吐能力,保證各種信息〔語音、圖象的高質量傳輸,才能使網絡不成為國土局業務開展的瓶頸。兼容性：要求網絡和設備具有良好的兼容性,不同層次級別、不同廠家的不同設備之間使用國際標準化的通信協議,兼容多種網絡線路方式,具有良好的兼容性能,保證網絡順暢高效的通信。標準開放性：支持國際上通用標準的網絡協議〔如TCP/IP、國際標準的大型的動態路由協議等開放協議,有利于以保證與其它網絡之間的平滑連接互通,并為業務應用提供標準的網絡協議的支持以及將來網絡的擴展。靈活性及可擴展性：根據未來業務的增長和變化,網絡可以平滑地擴充和升級,減少最大程度的減少對網絡架構和現有設備的調整。經濟性：要求網絡設備具有良好的性價比,提供最優的性能和效率,同時最大程度節省建設投資。可管理性：對網絡實行集中監測、分權管理,并統一分配帶寬資源。選用先進的網絡管理平臺,具有對設備、端口等的管理、流量統計分析,及可提供故障自動報警。2.2網絡建設目標XXX國土資源局域網包括政務內網和政務外網兩套局域網,內外網物理隔離,按照國家保密要求建設。數據中心所使用的局域網絡為同級國土資源局域網。目前XXX國土局外網平臺已搭建完畢,本次XXX國土資源網絡建設主要為內網建設。政務內網用于運行內部辦公系統、基礎數據和業務數據存儲管理,通過路由器接入國土資源信息專網,實現國家、省、市、縣四級國土資源信息共享和交換。同時,國土資源網接入市電子政務網,實現和其它政府部門的互聯互通。綜合布線廣域網采用2MSDH專線,局域網采用以太網,對內網建設要求達到如下目標：能夠有效確相關業務的順利進行；科學規劃網絡結構,保證網絡的穩定可靠；合理規劃部署,確保網絡安全；整個網絡要求合理先進,要求網絡具備萬兆擴展能力,主干采用千兆,百兆到桌面；能夠無縫支持IPv6,確保網絡從IPv4平滑升級到IPv6；有足夠的性能、功能的擴展性,確保網絡將來能夠支持數據、語音、視頻等相關應用的順利開展；建立全網統一管理系統,對整網設備進行綜合檢控和管理；第三章網絡設備選型說明3.1核心路由交換機設備選型說明根據XXX市國土局內網網絡建設的實際情況,需要在XXX市國土局辦公樓采用兩臺核心路由交換設備,為了滿足實際網絡的需要和未來的升級擴展,同時考慮到核心的高性能和穩定性,該核心交換機要求：支持各種模塊熱插拔、支持多種千兆端口、支持鏈路聚合IEEE802.3ad、支持三層協議、較高的背板帶寬和包轉發率、硬件或NP多業務卡方式支持IPV6〔保證網絡系統以后平滑升級、支持三種生成樹、支持802.1x、各種QOS和組播協議的支持等。根據具體情況,建議核心交換機采用銳捷新一代多業務萬兆核心路由交換機RG-S6810E,該設備具體特點如下：RG-S6810E是銳捷網絡推出的基于NP+ASIC構架的新一代多業務萬兆核心路由交換機,擁有10個擴展插槽,RG-S6810E在保障高性能大容量的基礎上提供強大的安全防護能力,并且擁有業務按需疊加擴展能力,達到業務和性能并重的設計需求。RG-S6810E多業務萬兆核心路由交換機V3.X版本提供2.4T背板帶寬,并支持將來擴展到4.8T的能力,高達857Mpps的二/三層包轉發速率可為用戶提供高速無阻塞的數據交換,強大的交換路由功能、安全智能技術可同銳捷各系列交換機配合,為用戶提供完整的端到端解決方案,是大型網絡核心骨干和大流量節點交換機的理想選擇。RG-S6810E交換機通過擴展高性能的多業務卡支持策略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等業務功能,滿足客戶環境靈活而復雜的不同應用需求。產品特性強大數據處理設計〔SPOH設計RG-S6810E的交換、路由、ACL、QoS等復雜功能通過硬件實現,避免了軟件實現同樣功能對數據高速處理的影響。管理模塊執行路由管理、網絡管理、網絡服務等任務,用戶接口模塊可以獨立實現硬件路由、交換和組播功能；用戶交換端口則獨立實現硬件ACL和QoS功能,同步式處理設計<SPOH設計>極大地提高整機處理能力。強大的擴展能力RG-S6810E多業務萬兆核心路由交換機V3.X版本目前提供2.4T背板帶寬,在不更換機箱的情況下,未來僅通過更換管理模塊可以支持背板帶寬擴展到4.8T。RG-S6810E多業務萬兆核心路由交換機通過擴展高性能的多業務卡,可以支持策略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等功能。高安全保障措施物理安全：RG-S6810E提供冗余管理模塊、冗余電源模塊、各種模塊熱拔插等物理安全保障措施。病毒和攻擊防護：面對現在網絡環境越來越多的網絡病毒和攻擊威脅,RG-S6810E提供強大的網絡病毒和攻擊防護能力,不僅提供了基于SPOH技術的ACL功能,而且還支持防源IP地址欺騙〔SouceIPSpoofing、防DOS/DDOS攻擊〔Synflood,Smurf,防掃描〔PingSweep等能力。提供多端口同步監控技術,支持靈活的網絡監控,提升網絡監控能力設備管理安全：為了避免非管理人員登陸并操縱網絡設備,造成網絡傳輸和安全的影響,RG-S6810E提供了SSH加密登陸功能,以及telnet/web登錄的源IP限制功能。接入安全：硬件支持IP、MAC、端口綁定,提高用戶接入控制能力。支持802.1X技術,滿足6元素綁定接入限制支持IGMP源端口檢查,可有效控制非法組播源,提高網絡安全。通過PVLAN〔保護端口隔離用戶之間信息互通,不必占用VLAN資源。端口MAC地址鎖和端口MAC地址接入數量功能可以屏蔽非法主機的接入豐富的應用支持技術〔QOS、組播RG-S6810E提供多種流分類技術和多種QOS技術,包括SP、WRR、WFQ、WRED、CAR、HOL等,為各種應用的帶寬保障提供需要的支持技術。流分類：可以依據數據流的源/目的MAC地址、源/目的三層IP地址、三層協議〔IP/IPX、四層協議〔UDP/TCP、源/目的四層協議端口號、COS、TOS對數據流進行區分,實現2/3/4層的流分類功能。數據標記：802.1p是二層協議,可以為數據提供8個級別的優先級標記；DSCP在三層的IP協議報文里進行優先級標記,可以提供64個級別的優先標記。隊列調度：嚴格優先級隊列SP保證高優先級業務總是在低優先級業務之前處理；WRR是一種加權循環隊列調度機制,首先處理高優先級,但在處理高優先級業務時,較低優先級的業務并沒有被完全阻塞,而是按一定的比例同時進行。WFQ是加權公平隊列,對所有的數據流進行排隊,監控吞吐率,并根據發送的信息量分配權值。WFQ試圖公平地為每個對話分配帶寬,保證低帶寬應用可以獲得對接口的訪問權,而不會被高帶寬應用全部占用。擁塞控制：WRED加權隨機早期檢測協議,可以設置各個數據流在擁塞發生之前自動丟失數據的閥值,避免較高優先級應用的擁塞丟失。HOL通過消除HOL阻塞確保最高可能的吞吐量；最大限度地減少包丟失,減少多路傳輸和廣播流量擁塞承諾信息速率：CAR可以為重要的數據流設定固定的帶寬,如果設定的帶寬合理,滿足該數據流的需求,就可以保證重要數據流的正常轉發。提供多種組播支持技術,包括IGMPsnooping、IGMP、PIM〔SM、DM,DVMRP,保證了網絡中提供組播服務時的帶寬合理占用。支持領先的萬兆以太網技術〔IEEE802.3AE、IEEE802.3AK萬兆以太網采用了IEEE802.3以太網媒體訪問控制〔MAC協議、IEEE802.3以太網幀格式,以及IEEE802.3幀的最大和最小尺寸。萬兆以太網是以太網在速度和距離方面的進步,采用全雙工技術,不需要應用低速的、半雙工的CSMA/CD協議。在其他方面,萬兆以太網保留了初期以太網模型的精髓,因而可以和現有以太網環境無縫融合,支持客戶已有應用。RG-S6810E提供目前主流的四種萬兆局域網傳輸標準：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4,四種傳輸標準在數據鏈路層以上都相同,差別在于物理層。10GBASE-R和10GBASE-CX4用于傳統的以太網環境,10GBASE-R采用光纖作為傳輸介質,10GBASE-CX4采用同軸銅纜作為傳輸介質,而10GBASE-W可與OC-192電路、SONET/SDH設備一起運行,保護傳統基礎投資,使運營商能夠在不同地區通過城域網提供端到端以太網。10GBSE-LX4則使用WDM波分復用技術進行數據傳輸。支持L2VPN〔QINQRG-S6810E支持ServiceProvidervlan<DoubleTagging、VLANtunnel>,允許對交換數據進行二次VLAN標識,外層標識用于創建VPN,提供鏈路選擇,內層標識用于標識業務VLAN信息,實現在以太網環境中的L2VPN,解決了傳統以太網環境無法提供數據傳輸安全控制的問題。ECMP/WCMP〔Equal-CostMultipathRouting/Weight-CostMultipathRouting存在多條不同鏈路到達同一目的地址的網絡環境中,如果使用傳統的路由技術,發往該目地址的數據包只能利用其中的一條鏈路,其它鏈路處于備份狀態或無效狀態,并且在動態路由環境下相互的切換需要一定時間,而等值多路徑路由協議和權重多路徑路由協議可以在該網絡環境下同時使用多條鏈路,不僅增加了傳輸帶寬,并且可以無時延無丟包地備份失效鏈路的數據傳輸。最長匹配〔LPM三層交換技術在傳統的硬件三層交換機中采用"一次路由、多次交換"的路由技術,并且使用精確流匹配方式進行硬件三層轉發,大量耗費CPU資源,并且占用大量的硬件存儲資源。最長匹配〔LPM三層交換技術可以解決傳統方式"多次交換"中采用精確流匹配而帶來存儲空間壓力過大的問題。最長匹配〔LPM技術支持直連路由、靜態路由、動態學習到的路由都直接以網段形式存儲于硬件轉發表,一個目的網段使用一個轉發表項,而不明目的網段IP地址的數據包直接通過硬件缺省路由轉發。因此,LPM技術的優點是極大地節約存儲空間,擁有硬件缺省路由,所以,病毒和攻擊數據包可以通過硬件網段路由或缺省路由進行轉發,不增加額外的硬件表項,避免了存儲溢出問題,保障設備的正常運行。支持完善的雙核心技術RG-S6810E支持包括802.1D、802.1W、802.1S在內的多種生成樹協議以及虛擬路由協議VRRP,提供完善的雙核心保障技術。所以本次網絡建設建議核心交換機采用銳捷新一代多業務萬兆核心路由交換機RG-S6810E。3.2接入交換機設備選型說明根據XXX市國土局內網網絡建設的實際情況,需要在XXX市國土局辦公樓部署接入層交換設備,為了滿足實際網絡的需要和未來的升級擴展,同時考慮到接入交換機的性能特點,該接入交換機要求：能夠提供全千兆接入、支持多種安全策略、支持完善的QOS技術和組播協議等。建議XXX國土局接入交換機采用銳捷全千兆網管交換機RG-S2724G,該交換機特點如下：高性能高背板帶寬為所有端口提供線速的交換能力。完善的QoS策略支持802.1P、DSCP、端口優先級、IPTOS、可以對報文的802.1P和DSCP域優先級進行修改等操作,每端口提供的8個隊列,采用SP和DWRR隊列調度算法實現帶寬控制、優先級轉發等多種QoS策略,可根據網絡不同的業務應用、和所需要的服務質量特性,提供服務。靈活完備的安全接入和訪問控制硬件實現三元素綁定〔端口、用戶IP、MAC地址的綁定,嚴格限定端口上用戶接入；多種內置安全機制可有效防止和控制病毒傳播和網絡流量攻擊,控制非法用戶使用網絡,保證合法用戶合理化使用網絡,如端口安全、帶寬限速、多元素綁定等,滿足企業網、網吧、校園網加強對訪問者進行控制、限制非授權用戶通信的需求；簡單方便的廣播風暴抑制,不僅設置簡單,方便管理員的管理,而且充分保障了網絡的穩定和安全；SSH〔SecureShell和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息,保證管理設備信息的安全性,防止黑客攻擊和控制設備；通過802.1X技術、銳捷SAM平臺,可實現用戶賬號、MAC地址、IP地址、交換機IP、交換機端口等多元素之間的靈活任意綁定,有效確認用戶的合法性和唯一性。方便易用易管理可監聽IGMPv1/v2/v3全部版本組播報文,適應不同組播環境,滿足組播安全應用的需要；多端口同步監控,通過一個端口即可同時監控多個端口的數據流,可以只監控輸入幀或只監控輸出幀或雙向幀,大大提高維護效率；Syslog方便各種日志信息的統一收集、維護、分析、故障定位、備份,便于管理員網絡維護和管理；CLI界面,方便高級用戶配置和使用；Java-basedWeb管理方式,實現對交換機的可視化圖形管理,快速和高效地配置設備。所以本次網絡建設我們建議選擇千兆網管交換機RG-S2724G作為接入交換機。3.3服務器群組交換機設備選型說明根據XXX國土局服務器區的實際情況,為了滿足實際網絡環境的需要及用戶對服務器的高速訪問,該服務器群組交換機要求：提供全千兆接入方式,考慮到將來的擴展,能夠提供萬兆擴展能力,支持訪問控制列表等多種安全策略,支持完善的QOS技術和組播協議等。根據服務器群組交換機的實際需求,建議服務器群組交換機采用銳捷安全智能萬兆多層交換機RG-S5750S-24GT/12SFP,該設備具體特點如下：RG-S5750S-24GT/12SFP是銳捷網絡推出的融合了高性能、高安全、多智能、易用性的新一代萬兆機架式多層交換機。該交換機接口形式和組合非常靈活,可提供24個10/100/1000M自適應的千兆電口,和靈活復用的高密度千兆SFP光纖連接,滿足網絡建設中不同介質的連接需要,同時為滿足網絡的彈性擴展,和高帶寬傳輸需要,可靈活彈性擴展多種類型的萬兆模塊。特別適合高帶寬、高性能和靈活擴展的大型網絡匯聚層,中型網絡核心,以及數據中心服務器接入的使用。該交換機硬件支持多層線速交換,并提供了豐富而完善的路由協議,以適合大型網絡多種路由和高性能的需要。RG-S5750S-24GT/12SFP交換機提供二到七層的智能的業務流分類、完善的服務質量〔QoS保證和組播應用管理特性。在提供高性能、多智能的同時,其內在的安全防御機制和用戶管理能力,更可有效防止和控制病毒傳播和網絡攻擊,控制非法用戶接入和使用網絡,保證合法用戶合理使用網絡資源,充分保障網絡安全、網絡合理化使用和運營,并可以根據網絡實際使用環境,實施靈活多樣的安全控制策略。RG-S5750S-24GT/12SFP交換機以極高的性價比為大型網絡匯聚和中型網絡核心提供了多層交換、完善的端到端的服務質量、靈活豐富的安全設置和基于策略的網管,最大化滿足高速、安全、智能的企業網需求。產品特性：高性能多層交換高背板帶寬為所有的端口提供非阻塞性能；豐富完善的路由性能和超大容量路由表資源可滿足大型網絡動態路由的需要；基于LPM硬件路由轉發方式使得RG-S5750S-24GT/12SFP不僅適用于大型網絡環境,而且可防御各種網絡病毒的侵襲,保障所有報文的線速轉發,有效保證了設備的安全性；硬件支持多層線速交換,能夠識別二到七層的應用業務流,所有端口都具有單獨的數據包過濾、區分不同應用流,并根據不同的流進行不同的管理和控制。靈活完備的安全控制具有的多種內在機制可以有效防范和控制病毒傳播和黑客攻擊,如預防Dos攻擊、防黑客IP掃描機制等,還網絡一片綠色；硬件實現端口與MAC地址和用戶IP地址的靈活綁定,嚴格限定端口上的用戶接入;通過將端口設為保護端口即可簡單方便地隔離用戶之間信息互通,不必占用VLAN資源；基于源IP地址控制的Telnet和Web設備訪問控制,增強了設備網管的安全性,避免黑客惡意攻擊和控制設備；基于端口速率百分比和基于速率pps的廣播風暴抑制功能,確保網絡穩定安全；SSH〔SecureShell和SNMPv3可以通過在Telnet和SNMP進程中加密管理信息,保證管理設備信息的安全性,防止黑客攻擊和控制設備；控制非法用戶使用網絡,保證合法用戶合理化使用網絡,如端口安全、端口隔離、專家級ACL、時間ACL、基于數據流的帶寬限速、六元素綁定等等,滿足企業網、校園網加強對訪問者進行控制、限制非授權用戶通信的需求。豐富的組播特性支持各種單播和組播動態路由協議,可適應不同的網絡規模和需要進行大量多播服務的環境,實現網絡的可擴展和多業務應用；支持IGMP源端口和源IP檢查功能,有效地杜絕非法的組播源,提高網絡的安全性；支持IGMPv1/v2/v3全部版本,適應不同組播環境,滿足組播安全應用的需要。完善的QoS策略以DiffServ標準為核心的QoS保障系統,支持802.1P、IPTOS、二到七層流過濾、SP、WRR等完整的QoS策略,實現基于全網系統多業務的QoS邏輯；具備MAC流、IP流、應用流等多層流分類和流控制能力,實現帶寬控制、轉發優先級、流量管理,流量整形等多種流策略,支持網絡根據不同的應用、以及不同應用所需要的服務質量特性,提供流量限速千兆端口粒度達64Kbps,萬兆端口粒度達1Mbps。高可靠性支持生成樹協議802.1d、802.1w、802.1s,完全保證快速收斂,提高容錯能力,保證網絡的穩定運行和鏈路的負載均衡,合理使用網絡通道,提供冗余鏈路利用率；支持VRRP虛擬路由器冗余協議,有效保障網絡穩定；支持銳捷網絡的可選冗余電源系統STAR-RPS,可為S5750系列設備提供卓越的電源冗余,提高容錯能力和網絡正常運行時間。方便易用易管理靈活復用的多種千兆形式,可靈活滿足需要多個千兆銅纜和多個千兆光纖鏈路的連接,方便用戶靈活選擇；為滿足網絡靈活彈性擴展和高帶寬傳輸需要,簡單選配多種類型的萬兆模塊,網絡即可平滑升級到萬兆上鏈骨干；簡單網絡時間協議〔SNTP保證交換機時間的準確性,并與網絡中時間服務器時間統一化,方便日志信息和流量信息的分析、故障診斷等管理；Syslog方便各種日志信息的統一收集、維護、分析、故障定位、備份,便于管理員網絡維護和管理；多端口同步監控,通過一個端口即可同時監控多個端口的數據流,可以只監控輸入幀或只監控輸出幀或雙向幀,大大提高維護效率；CLI界面,方便高級用戶配置和使用；可提供Xmodem、FTP、TFTP等多種加載升級方式,方便用戶使用；Java-basedWeb管理方式,實現對交換機的可視化圖形界面管理,快速和高效地配置設備。所以服務器群組交換機我們建議選擇銳捷安全智能萬兆多層交換機RG-S5750S-24GT/12SFP。3.4市局中心路由器設備選型說明根據XXX市國土局內網網絡建設的實際情況,為了能夠便于市局與各個區縣進行有效的互聯,需要在XXX市國土局辦公樓采用一臺核心路由設備,為了滿足實際網絡的需要和未來的升級擴展,同時考慮到路由器的高性能和穩定性,該路由器要求：支持冗余電源、支持多種網絡接口、各種模塊熱插拔、支持多種千兆端口、支持三層協議、較高的背板帶寬和包轉發率、支持IPV6、支持完善的QOS技術和組播協議,同時要求支持對未來新業務的擴展、性能的提高等。建議XXX市國土局市局路由器采用銳捷可信多業務路由器RSR50-80。RSR50-80具有8個擴展槽,28Gbps的背板帶寬、4.5Mpps的包轉發率,為全市國土系統提供高速的數據處理和未來業務的擴展需求,該設備具體特點如下：先進的硬件體系架構采用雙核NP架構,NP內雙核CPU并行處理,性能倍增。在主控板上固化提供了3個GE口,直接和NP連接,不占用背板帶寬,達到線速轉發。高達28Gbps的高背板帶寬的設計,在RSR50上,共有5條PCI總線。主板帶寬不成為數據轉發的瓶頸。主控板提供3個光電復用的GE口3個GE口直接和NP連接,不占用背板帶寬,可以達到GE口的線速轉發。不需要額外單獨購買價格昂貴的GE模塊,節省投資,光電復用應用更靈活。提供IP轉發的高性能RSR50系列達到28Gbps的背板帶寬,4.5Mpps的報文轉發率。先進的軟件體系架構,支持IPv6、BGP、ISIS等協議3平面完全分離的軟件體系架構,無論受到多大流量的攻擊,還是轉發多少的數據報文,管理、配置不受任何影響。CPU內部的流水線處理機制,讓雙核CPU不處于等待狀態,整體性能提升2倍以上。支持IPv6、BGP、ISIS、組播、QOS、VPN應用。支持設置語音數據包優先級,可以為中小型企業提供滿足要求的、高性價比的多功能服務平臺。完整的QOS支持支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等擁塞管理排隊策略；支持WRED、RED的擁塞避免策略；支持GTS流量整形策略支持CAR流量監管策略支持CTCP、CRTP等提高鏈路效率的QOS策略支持設置語音數據包優先級,可以為中小型企業提供滿足要求的、高性價比的多功能服務平臺。靈活的單寬、倍寬模塊通槽設計RSR50路由器上,5-6,7-8采用寬插槽設計,在插槽中可以把擋板抽取出來,形成一個雙寬的DNMX插槽,可以用來插24口或者48口以太網模塊。支持USB的應用RSR50提供了2個標準USB插槽,采用USB2.0的標準,兼容USB1.1標準。支持USBFLASHMemory〔U盤,可存儲配置文件及日志文件,因其具有良好的可移動性,可減少許多重復的配置工作,大大減少系統維護的工作量。提供產品兼容性和可擴展性,保護投資提供流行的配置界面和風格,簡單易用,并遵循RFC標準和主流的業界標準,能夠做到與業界主流廠商的網絡設備互連互通。提供設備硬件和軟件的高可靠性管理控制引擎和轉發引擎完全分離：更好的穩定性、更穩定的性能、更容易實現可靠的服務特性關鍵裝置的冗余：CPU冗余5條PCI總線冗余電源冗余雙啟動映像文件雙配置文件關鍵部件熱拔插：電源熱拔插、風扇熱拔插、模塊熱拔插模塊化軟件設計：某個軟件模塊出錯,不會讓機器崩潰,軟件的復雜度降低支持軟件在線升級將問題隔離在軟件模塊內多種備份機制支持VRRP、VRRP+支持鏈路備份機制支持路由備份所有RSR系列路由器使用同一個RGNOS軟件系統,給維護帶來極大的方便。所以本次市局中心路由器我們建議選用銳捷可信多業務路由器RSR50-80。3.5區、縣接入路由器設備選型說明根據XXX市國土局內網網絡建設的實際情況,為了能夠便于區、縣與市局進行有效的互聯,需要在XXX市各個區、縣國土局采用一臺接入路由設備,為了滿足實際網絡的需要和未來的升級擴展,同時考慮到路由器的高性能和穩定性,該路由器要求：支持標準以太口、CE1等接口,支持良好的QoS、路由協議、組播等。建議XXX市國土局區、縣接入路由器采用銳捷模塊化多業務中心路由器RG-R3740。該設備具體特點如下：RG-R3740多業務匯聚路由器,是銳捷網絡公司面向企業核心及行業、運營商網絡的高性能、高可靠性的多業務路由器需求,面向開放的業務模型而開發的新一代智能業務路由器。RG-R3740路由器提供4個模塊擴展插槽,主控板上固化提供1個控制口/1個輔口；2個10M/100/1000M自適應的以太網電口；2個SFP光模塊插槽〔支持千兆以太網,與電口只能2選1。采用833Mhz的MPC產品特性高數據處理能力采用先進的MotorolaMPC8540CPU,主頻達到833MHz,2G帶寬的PCI總線技術,包轉發延遲小,高效的數據處理能力支持高密度端口,保證在高速環境下的網絡應用。高匯聚能力R3740可以同時插4個NM-1CPOS-STM1模塊,每個模塊提供63路的2M接入,最多可以達到252路2M的接入。主控板固化2個10/100/1000M快速以太網口,光口電口可選主控板卡上固化兩個10/100/1000M快速以太網口,可以根據實際情況,選擇光口或者電口模塊,在不購買任何模塊的情況下,便可以實現寬帶互聯。主控板可以拔插、更換,今后可以通過升級主控板升級路由器。高可靠性關鍵部件熱插拔：所有電源、風扇都支持熱插拔功能,充分滿足網絡維護、升級、優化的需求；支持鏈路備份、路由備份等多種方式的備份技術,提高整個網絡的可靠性；支持VRRP熱備份協議,實現線路和設備的冗余備份。RPS冗余電源支持。模塊化結構設計RG-R3740具有4個網絡/語音模塊插槽,支持種類豐富、功能齊全、高密度的網絡/語音模塊,可實現更多的組合應用。良好的語音支持功能支持G.711、G.723、G.729等多種語音編碼格式,支持H.323協議棧,可以和多家VOIP廠商的設備互通；支持實時傳真功能；支持語音網守功能。良好的VPN功能支持IPSec的VPN功能；支持GRE的VPN功能；支持L2TP/PPTP的VPDN應用；在NAT應用下,支持L2TP/PPTP的穿透功能。完善的QoS策略支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等擁塞管理排隊策略；支持WRED、RED的擁塞避免策略；支持GTS流量整形策略支持CAR流量監管策略支持CTCP、CRTP等提高鏈路效率的QOS策略支持設置語音數據包優先級,可以為中小型企業提供滿足要求的、高性價比的多功能服務平臺。高安全性完善的防火墻技術,支持基于源目的IP、協議、端口以及時間段的訪問列表控制策略；支持IP與MAC地址的綁定,有效防止IP地址的欺騙；支持認證、授權、記錄用戶信息的AAA認證技術,支持Radius認證協議；支持動態路由協議中的路由信息認證技術,保證動態路由網絡中路由信息的安全和可靠；支持PPP協議中的PAP、CHAP認證及回撥技術；方便易用易管理采用標準CLI界面,操作更簡單；支持SNMP協議,配置文件的TFTP上傳下載,方便網絡管理；支持Telnet/Console,方便的實現遠程管理和控制；多樣的在線升級,為將來的功能擴展預留空間；所以區、縣接入路由器我們建議選用銳捷模塊化多業務中心路由器RG-R3740。3.6國土所接入路由器設備選型說明根據XXX市國土局內網網絡建設的實際情況,為了能夠便于國土所與市局進行有效的互聯,需要在XXX市各個所國土所采用一臺接入路由設備,為了滿足實際網絡的需要和未來的升級擴展,同時考慮到路由器的高性能和穩定性,該路由器要求：支持標準以太口、CE1等接口,支持良好的QoS、路由協議、組播等。建議XXX市國土局所接入路由器采用銳捷可信多業務路由器RSR20-04。RSR20-04具有4個SIC網絡/語音模塊插槽,固化2個10/100M以太口,130Kpps的包轉發率,為所系統提供與市局進行互聯的需求,該設備具體特點如下：模塊化設計固化2個10/100M快速以太口；具有4個SIC網絡/語音模塊插槽,支持種類豐富、功能齊全、高密度的網絡/語音模塊,可實現更多的組合應用。內置加密模塊RSR20-04內置加密模塊,加密、解密由硬件完成,大幅度提高加密解密性能,滿足多媒體等大數據量業務的加密需求；高性能采用先進的PowerPC通訊專用處理器,先進的總線技術,包轉發延遲小,高效的數據處理能力支持高密度端口,保證在高速環境下的網絡應用。包轉發率達到130Kpps。良好的VPN功能支持IPSec的VPN功能；支持GRE的VPN功能；支持L2TP/PPTP的VPDN應用；在NAT應用下,支持L2TP/PPTP的穿透功能。完善的QoS策略支持WRED、RED的擁塞避免策略；支持GTS流量整形策略支持CAR流量監管策略支持CTCP、CRTP的鏈路效率的QOS策略支持設置語音數據包優先級,可以為中小型企業提供滿足要求的、高性價比的多功能服務平臺。高可靠性支持鏈路備份、路由備份等多種方式的備份技術,提高整個網絡的可靠性；支持VRRP熱備份協議,實現線路和設備的冗余備份。高安全性完善的防火墻技術,支持基于源目的IP、協議、端口以及時間段的訪問列表控制策略；支持IP與MAC地址的綁定,有效防止IP地址的欺騙；支持認證、授權、記錄用戶信息的AAA認證技術,支持Radius認證協議；支持動態路由協議中的路由信息認證技術,保證動態路由網絡中路由信息的安全和可靠；支持PPP協議中的PAP、CHAP認證及回撥技術；高性能的NAT。支持用戶密碼登錄,根據登錄用戶級別分配相應權限。內置硬件加密模塊,大大提高加密解密的性能。方便易用易管理采用標準CLI界面,操作更簡單,降低學習和使用成本。支持SNMP協議,配置文件的TFTP上傳下載,方便網絡管理；支持Telnet/Console,方便的實現遠程管理和控制；多樣的在線升級,為將來的功能擴展預留空間；采用防靜電的鐵殼設計,散熱縫隙設計合理可有效防塵,提高了設備穩定性。所以國土所接入路由器我們建議選用銳捷可信多業務路由器RSR20-04。3.7省專網路由器設備選型說明根據XXX市國土局內網網絡建設的實際情況,為了能夠便于市國土局與省局進行有效的互聯,需要在XXX市國土局采用一臺路由設備與省國土局進行互聯,為了滿足實際網絡的需要和未來的升級擴展,同時考慮到路由器的高性能和穩定性,該路由器要求：支持標準以太口、CE1等接口,支持良好的QoS、路由協議、組播等。建議省專網路由器采用銳捷模塊化多業務中心路由器RG-R3740。該設備具體特點如下：RG-R3740多業務匯聚路由器,是銳捷網絡公司面向企業核心及行業、運營商網絡的高性能、高可靠性的多業務路由器需求,面向開放的業務模型而開發的新一代智能業務路由器。RG-R3740路由器提供4個模塊擴展插槽,主控板上固化提供1個控制口/1個輔口；2個10M/100/1000M自適應的以太網電口；2個SFP光模塊插槽〔支持千兆以太網,與電口只能2選1。采用833Mhz的MPC產品特性高數據處理能力采用先進的MotorolaMPC8540CPU,主頻達到833MHz,2G帶寬的PCI總線技術,包轉發延遲小,高效的數據處理能力支持高密度端口,保證在高速環境下的網絡應用。高匯聚能力R3740可以同時插4個NM-1CPOS-STM1模塊,每個模塊提供63路的2M接入,最多可以達到252路2M的接入。主控板固化2個10/100/1000M快速以太網口,光口電口可選主控板卡上固化兩個10/100/1000M快速以太網口,可以根據實際情況,選擇光口或者電口模塊,在不購買任何模塊的情況下,便可以實現寬帶互聯。主控板可以拔插、更換,今后可以通過升級主控板升級路由器。高可靠性關鍵部件熱插拔：所有電源、風扇都支持熱插拔功能,充分滿足網絡維護、升級、優化的需求；支持鏈路備份、路由備份等多種方式的備份技術,提高整個網絡的可靠性；支持VRRP熱備份協議,實現線路和設備的冗余備份。RPS冗余電源支持。模塊化結構設計RG-R3740具有4個網絡/語音模塊插槽,支持種類豐富、功能齊全、高密度的網絡/語音模塊,可實現更多的組合應用。良好的語音支持功能支持G.711、G.723、G.729等多種語音編碼格式,支持H.323協議棧,可以和多家VOIP廠商的設備互通；支持實時傳真功能；支持語音網守功能。良好的VPN功能支持IPSec的VPN功能；支持GRE的VPN功能；支持L2TP/PPTP的VPDN應用；在NAT應用下,支持L2TP/PPTP的穿透功能。完善的QoS策略支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等擁塞管理排隊策略；支持WRED、RED的擁塞避免策略；支持GTS流量整形策略支持CAR流量監管策略支持CTCP、CRTP等提高鏈路效率的QOS策略支持設置語音數據包優先級,可以為中小型企業提供滿足要求的、高性價比的多功能服務平臺。高安全性完善的防火墻技術,支持基于源目的IP、協議、端口以及時間段的訪問列表控制策略；支持IP與MAC地址的綁定,有效防止IP地址的欺騙；支持認證、授權、記錄用戶信息的AAA認證技術,支持Radius認證協議；支持動態路由協議中的路由信息認證技術,保證動態路由網絡中路由信息的安全和可靠；支持PPP協議中的PAP、CHAP認證及回撥技術；方便易用易管理采用標準CLI界面,操作更簡單；支持SNMP協議,配置文件的TFTP上傳下載,方便網絡管理；支持Telnet/Console,方便的實現遠程管理和控制；多樣的在線升級,為將來的功能擴展預留空間；所以省專網路由器我們建議選用銳捷模塊化多業務中心路由器RG-R3740。3.8網管軟件選型說明根據XXX市國土局的實際情況及網絡應用發展的實際情況,需要在網絡環境中部署一套網絡管理軟件,該網絡管理軟件要求：操作簡單、界面友好、支持標準的SNMP協議、具有強大的拓撲發現能力、能夠實時監視網絡流量、支持性能監控及預警功能等。根據具體情況,建議網絡管理軟件采用銳捷網絡管理系統StarView,該系統具體特點如下：StarView網絡管理系統是一套基于Windows平臺的高度集成、功能完善、實用性強、方便易用的全中文用戶界面的網絡級網絡管理系統。它是由銳捷網絡自主開發的軟件產品。StarView管理系統能提供整個網絡的拓撲結構,能對以太網絡中的任何通用IP設備、SNMP管理型設備進行管理,結合管理設備所支持的SNMP管理、Telnet管理、Web管理、RMON管理等構成一個功能齊全的網絡管理解決方案,實現從網絡級到設備級的全方位的網絡管理。StarView可以對整個網絡上的網絡設備進行集中式的配置、監視和控制,自動檢測網絡拓撲結構,監視和控制網段和端口,以及進行網絡流量的統計和錯誤統計,網絡設備事件的自動收集和管理等一系列綜合而詳盡的管理和監測。通過對網絡的全面監控,網絡管理員可以重構網絡結構,使網絡達到最佳效果。穩定的可擴展的軟件體系結構StarView的軟件體系結構采用多進程掛靠的方式進行設計,保留了豐富的可擴展接口,為系統進一步擴展和軟件外聯提供了穩定的平臺基礎。強勁的網絡拓撲發現能力StarView集成了目前最先進的三層拓撲發現算法,可自動檢測和描繪網絡拓撲結構,為管理員提供統一的拓撲視圖和集中式管理視角。使用三層拓撲和子網自動發現功能,即可自動完成全網邏輯拓撲的發現,了解整個網絡的設備及其運行狀況。系統提供DIY方式,滿足管理員按照物理連接或個人習慣自組物理視圖。自動檢測網絡活動,采用不同的位圖標識不同類型的設備,不同顏色的三色狀態圖標識設備的不同狀態,更好的描繪了網絡設備節點的狀態,為管理員提供了快速準確的的告警定位。通過與事件管理器的無縫連接,實現設備狀態在事件管理器中的實時通知與處理。增強的設備管理能力對以太網絡中的通用IP設備、SNMP管理型設備提供了Web、Telnet、MIB-Browser、RMONView等多種綜合管理方式,并在此基礎上,為銳捷網絡設備,提供了增強的設備管理和功能管理。為銳捷網絡設備提供各自的管理窗口及其管理功能。為管理員提供逼真的銳捷網絡設備面板圖,直觀顯示端口的連接狀態,并可在設備面板圖上進行點擊操作,完成設備整體或接口的信息配置、瀏覽以及性能監視。智能化的事件管理機制結合拓撲管理和性能管理器于一體,集中管理Trap事件、拓撲管理事件、閾值報警事件、拓撲管理的系統事件和未知類型事件。事件管理器提供豐富的事件分類查看和存儲功能,使管理員可在大量的網絡事件中迅速查找并標識重要事件,從而進行有效處理。根據網絡狀況和管理需要,管理員可使用自定義的方式擴展軟件支持的事件類型,從而避免了多設備混用時事件管理混亂問題。事件管理器提供了事件報表功能,可根據管理員定義的搜索條件,檢索數據庫,并形成HTML報表供管理員匯總和分析。事件管理器除了為管理員提供了基于聲音、EMAIL的事件告警功能,有效地幫助管理員及時了解整個網絡運行狀況外,還提供了針對網絡事件的管理動作自動響應功能,從而使得管理員可對網絡事件進行最及時的處理。高效的性能監視和預警功能提供完美的組合式曲線統計方式,為網絡性能分析和故障分析提供直觀的分析視圖集。提供統計視圖打印功能,為網絡故障分析提供了現場保存的能力。主動式的閾值告警功能使得管理員可根據網絡實際應用自定義網絡關鍵性能變更事件,并通過與事件管理器連接得到有效的預警和處理。提供多設備多性能同視圖對比監視的方式,使得管理員可方便的對多項網絡性能進行對比分析。自動視圖記憶功能使得監視視圖被設定后即可永久保存,從而使得軟件一旦啟動即可對歷史監視點進行后臺監視,免除了管理員重復再設定的煩惱。基于數據庫的靈活的網絡應用軟件使用SQL數據庫作為后臺數據庫,基于SQLServer的網絡功能,StarView可實現基于網絡的分布式的高級應用,即所有管理站收集到的事件信息、性能數據以及拓撲視圖可在SQLServer進行匯總,從而使得網絡性能歷史重現、網絡事件報表等功能可共享數據信息,為管理進行統計分析提供最豐富的信息資源。基于SQL數據庫的網絡性能歷史重現功能可有效記錄大量的性能數據,并提供管理員最多長達一年的對網絡性能變化趨勢進行描繪的能力。友好的用戶界面采用全中文的用戶界面和標準Windows界面風格,用戶極易快速掌握軟件使用和操作。高度簡化的軟件操作方式使得復雜的軟件功能應用只需簡單的步驟即可完成。所以本次網管軟件我們建議選用銳捷企業級網絡管理軟件STAR-VIEW。第四章網絡建設方案4.1網絡拓撲圖4.2網絡拓撲結構說明網絡架構根據XXX國土局網絡建設總體需求及目標,結合各節點的具體分布情況,本次網絡建設建議采用二層星型拓撲圖架構,同時考慮到本次網絡建設的重要性,我們在二層架構的基礎上采用雙核心雙鏈路的方式,確保整個網絡的穩定性,在任何一臺核心或者一條鏈路出現問題后,都不會影響整個網絡的穩定性,這種方式可有效確保內網的7×24小時的穩定性。對于區、縣、國土所的情況,由于信息點較少,本次建設主要為區、縣、國土所提供接入的方式,我們采用接入路由器作為每個區、縣、國土所的接入設備,該設備負責區、縣、所的相關的用戶接入和路由規劃,從而提高區、縣、所的網絡的合理性以及相關的安全性。考慮到目前服務器較多,為了確保服務器的安全,我們在原有防火墻上劃出DMZ區,并通過服務器群組交換機將所有服務器放在防火墻的DMZ區,以確保整個服務器群的安全。為了確保XXX市國土局與省局的互聯互通,我們在XXX市局部署一臺專網路由器將市局與省局進行互聯,從而確保信息的實時傳輸和數據的實時共享；同時我們在市局部署一臺高性能路由器,負責與區、縣、國土所互聯,作為區、縣、國土所的互聯設備,使得XXX市局與區、縣、國土所形成互聯互通。鏈路選擇對于XXX市內網鏈路的選擇,我們根據目前布線的實際情況,核心與接入之間我們采用千兆單模光纖互聯,同時核心與防火墻、省專網路由器以及中心路由器都采用千兆互聯的方式,從而實現整個千兆骨干、百兆到桌面的互聯方式。對于區、縣接入路由器與交換機之間通過1000M雙絞線進行互聯,同時通過100M下聯接入用戶。對于國土所國土局,由于相對信息點較少,接入路由器與交換機之間通過100M雙絞線進行互聯,同時通過100M下聯接入用戶。對于廣域網,我們采用2MSDH專線連接,通過市中心路由器與各個區、縣、所的接入路由器進行互聯,從而確保整個XXX市國土局專網的互聯互通。第五章網絡規劃5.1IP地址規劃IP地址的合理規劃是網絡設計中的重要一環,大型計算機網絡必須對ＩＰ地址進行統一規劃并得到實施。IP地址規劃的好壞,影響到網絡路由協議算法的效率,影響到網絡的性能,影響到網絡的擴展,影響到網絡的管理,也必將直接影響到網絡應用的進一步發展。IP地址空間分配,要與網絡拓撲層次結構相適應,既要有效地利用地址空間,又要體現出網絡的可擴展性和靈活性,同時能滿足路由協議的要求,以便于網絡中的路由聚類,減少路由器中路由表的長度,減少對路由器CPU、內存的消耗,提高路由算法的效率,加快路由變化的收斂速度,同時還要考慮到網絡地址的可管理性。具體分配時要遵循以下原則:唯一性:一個IP網絡中不能有兩個主機采用相同的IP地址；簡單性:地址分配應簡單易于管理,降低網絡擴展的復雜性,簡化路由表的款項靈活性:地址分配應具有靈活性,以滿足多種路由策略的優化,充分利用地址空間。帶外網管應使用私有IP地址,只限于市網內開放的業務可使用私有IP地址；IP地址分配既要考慮到擴充,又要能做到連續；盡量分配連續的IP地址空間,并為將來的網絡擴展預留一定的地址空間；在每個區、縣、所網絡中,相同的業務和功能盡量分配連續的IP地址空間,有利于路由聚合以及安全控制；5.2路由策略規劃在IGP路由協議的選擇上,盡量不要采用擴展性差的<RIP>和廠家的私有路由協議<IGRP和EIGRP>,盡量采用OSPF或IS-IS。對于OSPF和IS-IS的選擇依據為:基本原理相同<基于鏈路狀態算法>,OSPF用于IP,IS-IS用于ISO的CLNP,也支持IP<"集成IS-IS">；IS-IS結構嚴謹,OSPF更加靈活,OSPF協議是基于接口的,而IS-IS路由器只能屬于一個Area,并且不支持NBMA網絡；IS-IS占用網絡資源相對較少,支持網絡規模大于OSPF,在網絡相當龐大時能體現出優勢；一個IGP域運行的三層交換機及路由器的數量一般不會超過200臺,因此從實際情況來看,運行OSPF和IS-IS對IP城域網/DCN網的建設不會有差異；對于網絡的穩定性、可擴充性,兩種協議都能很好地支持；在大型ISP上,IS-IS與OSPF二者均獲得普遍應用；但從目前很多廠商的設備來看,存在這樣一個問題,很多用戶的中低端路由器及三層交換機不支持IS-IS,從這個角度講OSPF比IS-IS有優勢,所有的主流路由器及三層交換機都支持OSPF。綜合考慮,考慮到網絡的擴展,建議仍然使用目前的OSPF更符合實際。5.3網絡安全規劃5.3.1VLAN安全規劃VLAN虛擬局域網〔VLAN技術是為了解決橋接的局域網中存在的廣播風暴,以及網絡系統的可擴展性、靈活性和易管理性方面的問題,第二層交換機基本上都支持VLAN劃分。在局域網設計中,我們可以根據不同部門劃分VLAN。VLAN技術的采用為網絡系統帶來了以下的優點：控制廣播VLAN之間是相互隔離的,所有的廣播和多點廣播都被限制在一個VLAN的范圍內,即一個VLAN產生的廣播信息不會被傳播到其它的VLAN中,有效地防止了局域網上廣播風暴的產生,提供了帶寬的利用率。提高安全性由于VLAN之間是相互隔離的,因此可將高安全性要求的主機服務器可劃分到一個VLAN中,而其它VLAN的用戶則不能訪問它們。如果VLAN之間要進行通信則必需通過三層交換機才能完成,而三層交換機上具有訪問控制〔Access-List以及防火墻等安全控制功能,因此VLAN之間的訪問可以通過三層交換機進行控制。提高性能通過VLAN的劃分,可將需訪問同一服務器/服務器組的用戶放到同一個VLAN中,這樣該VLAN內部的服務器只由本VLAN內的成員訪問,其它VLAN的用戶不會影響服務器的性能。便于管理由于VLAN的劃分是邏輯上的,因此用戶不再受到物理位置的限制,任意位置的用戶可以屬于任意一個VLAN,VLAN內的成員可以任意地增加,修改和刪除,使得網絡管理更加簡便易行。VLAN的劃分可以有三種方式：ByPort、ByProtocol、ByaUser-DefinedValue。VLANRouting規劃每一個VLAN都具有一個標識,不同的VLAN標識亦不相同,交換機在數據鏈路層上可以識別不同的VLAN標識,但不能修改該VLAN標識,只有VLAN標識相同的端口才能形成橋接,數據鏈路層的連接才能建立,因而不同VLAN的設備在數據鏈路層上是無法連通的。VLANRouting技術在網絡層將VLAN標識進行轉換,使得不同的VLAN間可以溝通,而此時基于網絡層、傳輸層甚至應用層的安全控制手段都可運用,諸如Access-list〔訪問列表限制等,VLANRouting技術使我們獲得了對不同VLAN間數據流動的強有力控制。5.3.2防網絡病毒規劃現在網絡病毒對網絡的沖擊影響已經越來越大,如非常猖狂的紅色代碼〔codered、沖擊波〔MSBlaster等網絡病毒,所以有必要對網絡病毒繼續有效的控制。紅色代碼病毒－－蠕蟲、特洛伊木馬、黑客結合的雙特征病毒惡意IP地址掃描,病毒向按一定算法生成的IP網段的IP地址的80端口發送HTTPGET請求,請求連接成功,就會發送包