乐彩网,乐彩网APP,乐彩网正版

　东莞市XX局网络改造⌒　方案

　　一 项目概况

　　1.1 项目背景

　　现代社会中,政府工☉作与信息通信技术的紧密结合,更好地为政府转变职能,发挥服务功能起到了重要的作用。信息时代,信息网╲络与各行各业都在发生越来越紧密的联系,在政府实施有效的管理工作中,同样越来越离不开信息网络。这些网络系统需要满足XX局关于信息化建设的要求，并且具有增容、扩容和升级的能力，所以突出了其不同于普通办公大楼网络系统集成的特点。

　　东莞市XX局网络系统项目，需对XX局、XX局两个办公大楼的工作网系〖统提供规划、设计、设备采购、安装调试、培训、维护等一系列相关的服务。主要建设内容如△下：

　　1. 网络系统：东莞市XX局、XX局两个办公楼现在卐分别有核心交换机和接」入交换机，采用〇百兆接入方式，两地办公网※络不能满足信息化办公需求，需要把网络系统升级为千兆接入，万兆链接。

　　2. 安全系统：需要规划两个办公楼的网络为统一管理界面，可以实现∞两个办公楼的统一管理、在核心输出地方接入防火墙，做好能不网络安全防护工作。

　　1.2 总体设计原则

　　结合东莞市XX局网络工程建设∩项目的实际应用和发展要求，主要遵循以下系统总体原则：

　　实〒用性原则：以现行需◇求为基础，充分考虑发展的需要来确定系统规模。

　　安●全性原则：对用户的安全以及网络的安全要↙求较高。

　　可靠性∑　原则：系统设计能有效的避●免单点失败，在设备的选择和关键设备的互联ζ　时，应提供充分↑的冗余备份，一方面最大限度地减㊣少故障的可能性，另一方面要保证网络能在最短时间内修复。

　　成熟和先进性原则：由于新大楼网络工程应用于法院和运营网络仍然属于新技术，需要及时将新技术引用进来，更好的开展业务，同时也要求保证网络与业务的★可靠性。

　　规范性原╳则：系统设计所采用的技术和设备应符合国际☆标准、国家标准，为系统＠的扩展升级、与其∏他系统的互联提供良好的基础。

　　开放⌒性和标准化原则：在设计时，要求提供开放ξ性好、标准化程度高的技术方案;设备的各种接口满足开放和标准¤化原则。

　　可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可○预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。

　　二 总ζ体设计方案

　　2.1 网络♀系统设计

　　XX局的业务对于信息化的依赖性越来越强，如果关键业务中①断，将会给XX局带来非常♀严重的损失、影响。如何保障XX局业务的高可用性，保障〗信息系统的稳定运行成为XX局最关●注的问题。

　　2.1.1 网络ξ　现状分析

　　XX局整体网络拓︽扑图如下：

　　通过和XX局、XX局相⊙关负责人沟通，客户网络系统主要存在如下问题：

　　1)目前东莞XX局及XX大楼的网络设备都已经使用了多年，包括核心交换机、楼层交换机、防火墙、路由器等设备老化严重，容易出♀现故障，而且大部分的设备厂家已经停产，无法提★供维修配件;

　　2)东莞XX局办↓公大楼♀、XX大¤楼目前是属于同一个单位，但由于之前的∏机房是独立建设的，因此两边的网络⊙规划、IP地址分配、外网出口等都是独立的，目前无法进『行统一的管理，主要有以下问题：

　　XX局内网ω使用(192.168.0.0)网段的私网地址，访问互联网的时候由防火墙进行NAT地址转¤换电子政务网地址，而XX大楼的内网直接使用电子政务网(19.106.163.0)地址，由于两边使用的地址不一致，导致无法对内网电脑进行统一管理，而且内网互访的也要做※复杂的路由设置;

　　XX局和XX大楼都有独立的电子政务网线路，但由于网络规≡划的问题，虽然有∞两条线路，但没有∴实现互为备份;

　　XX局∮部署了上网行〒为管理设备，可以对内网◣电脑的接入和上网行为进行精细化ぷ控制，但由于网络出口不统一◥，XX大楼无法使↘用XX局机房的行为管理设备，无法对内网用户的接入进行控制和管理;

　　3)XX局与XX楼之间互联的线路不☆是点对点的线路，中间经过电信机房的三层设备进行转发，对线路性能有一定影响;

　　4)XX楼的楼层交换机到核心交换机使用光纤收发器进行连接，光纤收发器稳定性较低，故障率高。

　　5)XX大楼【有部分外部单位通过专线直接接入到核心交换㊣机，没有经过防火墙进行安全隔离，存在隐患;

　　2.1.2 网络系【统总体设计

　　2.1.2.1 网络系统拓▓扑结构

　　2.1.2.2 网络系♀统设计说明

　　根据XX局实√际情况我司建议，整个网◣络采用2层结构，分别◆为核心层和接入层，XX局大楼配置2台核心交换机，楼层交换机采用双千兆光纤链①路与两台核心交换机互连;XX大楼配置1台核心交换机，接入交换机通过光纤、光模块和核心交换机相连。

　　n 在XX局大楼」部署两台华为 S7706作为整个网络的核心交换机，华为 S7706配置48个光№口和电口〓，两台核心交换机通过ΨCSS技术实现双机虚拟化※备份，以保障整个网络运行←稳定高效;在XX楼配置一台7703作为XX楼的核心，通过申◤请专线与XX局大楼的核心▃交换机相连，所有信息№数据通过XX局大楼核心交换机出外网。

　　n 接入↘层采用华为 S5720-28P-LI-AC交换机，华为S5720-28P-LI-AC提供28个10/100/1000BASE-T电口和4个千兆光口。XX局大楼接入层交换机通过双光纤千兆链路与两台核心交换机互连，XX楼通过光纤与华为7703核心相连。

　　2.1.3 核心交换机技ξ　术特点

　　? 虚拟化技术

　　虚拟化技术是当前企业IT技术领⊙域的关注焦点，采用虚拟化来优化IT架构、提升IT系统运行效率是当前技术发展的█方向。

　　我们知道，以太╱网是广播性质的网络，一旦链路成环路很容易卐导致广播风暴，耗尽网络链路及设备资〖源。然而√在传统的数据中心网络部署中，为了保证网络设备和链路的高可靠，往往通过引『入双机热备、双链路双归属的冗余方式组网，引入MSTP+VRRP协议来实现链路和设备网关的热备，这种部署方式必※然会带来网络环路和复杂度的增加。

　　对于基础网络来说，虚拟化技术也有相同的体现：在一套物理网络上采用VPN或VRF技术划分出多个相互隔离的逻ω辑网络，是1:N的虚拟化;将多个物理网络设备整合成一台逻辑设备，简化◇网络架构，是N:1虚拟化。华为虚拟¤化技术CSS属于N:1整合型虚拟化技●术范畴。CSS是Cluster Switch System的简称，又被称〒为集群交换机系统(简称为CSS)，是将2台交换机通过特∑　定的集群线缆链接起来，对外呈№现为一台逻辑交换机，用以提升网络的可靠性及转发能力。

　　? CSS的特征:

　　1. 交换↑机多虚一：CSS对外表现为一台逻辑交换机，控制平面合●一，统一管理;

　　2. 转发平面合一：CSS内屋里设备转发平面合一，转发信息共享并实时同步;

　　3. 跨设备链路聚合：跨CSS内物理设备的链路被聚合成一个ETH-TRUNK端口ω　和下游的设备进行互联;

　　4. 简化运营：整个CSS被作为一台交换机来管理，简化运维、降低Opex ;

　　5. 可靠性高：CSS 内一台设备故＠ 障，其他设备可□　以接管 CSS 的控制和转╳发，避免单点故『障;

　　6. 无环网络：跨设备的链☆路聚合，在CSS和其他设】备互联时，天然避免ξ了环路问题;

　　7. 链路均衡：跨设备的链路ECMP，100%的网▼络链路和带宽的利用率 ;

　　8.扩容网络时，保护已有投资;

　　9.扩々容的同时，将2台物理设备虚拟为1台设备，简化了设备的配置和管理;

　　10.多台设备间冗余、备份，提高系统的可靠性。

　　? CSS硬件特征

　　硬件要求：支持2台框式◣交换机设备组成集群，支持集群的设备型号∩为： S7706、S7712(S7706和S7712之间ω可以混合集群。)

　　集群方式为：集群卡方式和业务口方〓式。

　　集群卡方式：即ㄨ在主控板SRU的子卡槽位插♂入集群卡VSTSA，原有主︽控板、接口

　　板、机框不用更◤新，就可以支持集群。

　　业务口ξ　方式：集群成员交换机之间通过LPU上的普通业务口连接。将LPU上的业

　　务口配置为集群物理成员端口后加入逻辑集群端口，通过SFP+光模块和光纤或SFP+集群线缆将集群物理成员】端口连接起来。

　　l 1+1组网：配置两个逻辑↘集群端口，物理集群端口分布在两块单板上，不同单¤板上的集群链路形成备份。

　　l 一个逻辑集群口下★的物理集群口只能与对框的一〓个逻辑集群口下物理集群ω　口相连，不允许混连。 为保『证集群系统稳定和方便后期的维护，集群连线时建议按照如下几点原则： 在1+1组网中，建议两块集群单板上的集◣群链路数量保持一致，并且使用相同端口速率的单板来配置物理集群口。

　　2.2 网络安全性能改造

　　安全保障体系建设是XX局网络建设的基础工作，XX局网络的安全包括信息系统及√其网络平◣台的安全(平台安全网络层面∞通过防火墙实现攻击防护、边界访问控※制、入侵防御IPS)。信息系统安全就是要保证XX局信息Ψ 的可靠、可用、不泄密、不被非法更改(数据ぷ库审计、SSL、堡垒机)等。系统◣及其网络平台安全就是要保持系统软硬①件的稳定性、可靠性、可控性。

　　2.2.1 客户原有网络安全分析

　　XX局▓原有系统的安全是在网络边界部署防火墙，XX局大楼部署了一台思科PIX 525防火墙做安全访问控制，PIX525已经是思科10多年前的产品，是属→于包过滤防火墙，无法识别应用层数据，安全控制能力很有限。

　　XX大楼采▃用的是华为防火墙是华为USG3000，是华为早期推出的防火墙，目前已经停▓产，XX大楼∑之前在使用此防火墙的时候，会出现网速变慢╲、网络卡的】情况，可能是设备》故障，工作不稳定引起。为了解√决此问题，我司提供了一台天融信的防火墙临时备用，故障解决。

　　XX局部署了深信服的上网行为管理设备，可以对内网电脑的接入和上网行为进行①精细化控制，但由于目前XX楼访问外网不经过XX局机房，因此不能使用此上网行为管理设备对上网行为▼进行管控。

　　2.2.2 网络安全拓△扑图

　　n 把XX大楼原Ψ有的政务网链路迁移到XX局中心」机房，统一互←联网出口，便∞于安全控制。

　　n XX大楼和XX局大楼之间重新申请数据专线进行◤互联，建议向运营商申请1000M以上带宽的→线路，为了确保冗余性，建议双线路。

　　n 由于整改之后深信服行▅为管理设备需要同时承载XX大楼和XX局大楼的用户，目前使用的SG4300性能不能满足，建议更换成深信服最新的型号AC-1000-D600。

　　n XX大楼∑　原来连接其它外部单位的线路通过客户的启明星辰FW310T防火墙和原ξ　来XX楼的SG4300一起提供保■护;

　　n 整改后，所有内网用户在㊣访问政务网的时候都经过深信卐服上网行为管理设备进行安█全检查和认证。

　　2.2.3 网络安全产品选型

　　本次工程中╱的网络安全产品主要选择华为防火墙USG6550和深信服行为管理▽AC-1000-D600;。下面对主要产品做简单介绍：

　　1)防火墙

　　? 全面安全防护

　　兼具防火墙、VPN、上网行为管理等9大专业防护能力，全面满足安全合规要求;1.2亿URL分类库，防止恶意、非法网站的伤害，满】足合规要求;支持URL黑白名单，阻止/放行对◆特定网站的访问

　　? 高□效安全管理与部署

　　全面Web化管理配置●，可使用eSight网管管理◇多台设备;支持U盘零配置部署，提升部署〗效率

　　2)上网行为管理(深信服AC-1000-D600)

　　深信服上网↙行为管理是连续十年市场占有率首位的中⌒　国第一品牌(数据来源：IDC)。它一直秉持“让上→网可视可控，让数据更有价值”的理念，通过专业的用户认证与管理、应用控制、流量管控、信息资产防护、非法热点管控、大数据日◣志分析等功能，让客户看得清带宽①流量现状， 管得住应用和内∩容，以此提高办公效率、规⊙避泄密和法规风险、保ξ　障内网数据安全、实现可视化管⌒理，同时让数据更有∮价值。深信服AC-1000-D600上网行为管理设备具＠有以下优势：

　　? 实现上网可控本』质

　　总结各类上网行为，从逻辑上可以△分为用户、终端、应用、内容、流量 5 个要素，而从业务管理的角度可以合并为“用 户和终端”、“应用和内容”、“流量”三个元素。因此，要解决上述问题，即要实现上网的可视可控，就是要实现〓“用户和终端”、“应用和内容” 以及“流量”的可视与◥可控。

　　? 挑战：非法用户和终ω端通过非法方式接入内网

　　一些非法用户◣和终端采用非法的方式接入内网(如：随身Wi-Fi、家∩用无线路由器等)，这些无线共享工具将组织内网暴露在无线中，容易被◎不法分子入侵，一※旦被侵入内网，不法分子可窃取内部核心资◤料，甚至破坏内部网络，造成网络︽瘫痪。

　　? 疏堵结合，兼顾业务保障和用户体验

　　当用户的配额超限的时候，传统流控设备会直接封堵用户所有流量，这种一刀切的封堵，不仅影响了业务开展∞，同时还影响∴了该员工的用户体验。深信服流控黑名单技术，针对超额的用户▅，将该用户非业务应用的流量(P2P 流量等)引入惩★罚通道，降低此类应用的流量。

　　而该用户的正常业↓务流量仍然在业务保障╳通道中，不受影响。这种疏堵结合∏的流控方式，兼顾业务和用户体验，有助＠于减少内部投诉，缓和部门间矛盾。

　　? 动态流控，空闲时突破限制，带宽利用率提◥高15%

　　组织管理员往往既希望在网络应用高峰期保障核心用户、核心业务╲带宽，限制无关应用占用资源，又希望在带◣宽空闲时实现资源的充分利用。为此，深信服AC 支持用》户间带宽的“自由竞争”与“动态分配”，除了基∞于父子通道进行流量控制之◆外，还可以根据整体带宽的利用率进行√动态调整，上浮“限制通道”的最大带宽值，避免带宽①浪费，提高带宽利用◥率15% 以上。