旅游局接入互联网电路及设备建设方案.docx
- 文档编号:10796282
- 上传时间:2023-02-23
- 格式:DOCX
- 页数:30
- 大小:1.46MB
旅游局接入互联网电路及设备建设方案.docx
《旅游局接入互联网电路及设备建设方案.docx》由会员分享,可在线阅读,更多相关《旅游局接入互联网电路及设备建设方案.docx(30页珍藏版)》请在冰豆网上搜索。
旅游局接入互联网电路及设备建设方案
第1章概述2
1.1旅游局简介2
1.2项目背景2
1.3需求分析2
1.3.1互联网电路建设需求2
1.3.2网络结构分析3
1.3.3网络带宽分析3
1.4建设原则3
1.5设计依据4
第2章互联网电路及设备建设方案6
2.1整体网络拓扑6
2.2互联网电路建设7
2.3设备功能简介7
2.3.1UTM防火墙7
2.3.2核心交换机17
2.3.3接入交换机21
第3章系统配置及商务报价25
3.1设备配置清单、互联网电路租用费用及商务报价25
3.2设备配置清单及商务报价25
3.3旅游局互联网电路租用费用清单27
3.4商务报价(租赁模式)27
3.5商务报价(租赁+一次性建设模式)27
第4章中国电信公司简介及售后服务方案28
4.1中国电信公司简介28
4.2售后服务承诺书28
4.3售后服务体系29
4.4售后服务工作流程29
4.5售后服务内容和方式30
4.6服务支撑方式31
4.7服务响应时间31
4.8故障处理流程31
第1章概述
1.1旅游局简介
根据《人民政府办公厅关于印发旅游局主要职责内设机构和人员编制规定的通知》(府办发〔〕号)精神,旅游局设8个内设机构,分别是:
办公室、政策法规处、市场开发处、规划财务处、质量规范管理处、综合协调处、港澳台处、人事教育处。
设立机关党委和纪检监察机构。
下设旅游质量监督管理所(加挂旅游执法总队牌子)、旅游信息中心,均为财政全额预算管理事业单位。
其主要工作职责、内设机构和人员编制规定具体如下:
(一)贯彻执行国家有关旅游业的方针、政策、法规、标准;制定全旅游业发展规划和旅游业地方标准并监督实施;统筹协调全旅游业发展,指导全旅游工作。
(二)拟订全国内旅游、入境旅游和出境旅游的市场开发战略和实施方案并组织实施;组织全旅游整体形象对外宣传和重大旅游推广活动。
(三)贯彻执行国家港澳台旅游政策;指导全对港澳台旅游市场推广工作;按规定承担内居民赴港澳台旅游的有关事务,审核港澳台在我设立的旅游机构和投资旅行社在我市场准入资格;承担全特种旅游的相关工作。
(四)承担旅游发展改革领导小组办公室工作。
(五)指导旅游协会及其他旅游行业组织的业务工作。
(六)承办人民政府和国家旅游局交办的其他事项。
1.2项目背景
本期项目将完成旅游局互联网接入电路及设备建设,主要实现旅游局办公大楼内办公人员接入互联网,更便捷、实时完成旅游资源普查、开发和相关保护工作,以及统筹协调全旅游业发展,指导全旅游工作。
1.3需求分析
1.3.1互联网电路建设需求
根据旅游局的建设要求,本项目将建设旅游局办公大楼互联网电路接入,部署1台UTM防火墙设备、1台核心交换机及5台接入交换机,实现大楼内办公人员互联网访问需求。
1.3.2网络结构分析
根据网络分层及网络模块化规划设计,旅游局办公大楼以中心机房核心交换机与各楼层配线间接入层交换机分别建立连接;互联网出口设备采用一台UTM防火墙与核心交换机连接。
根据旅游局互联网接入的业务流向特点,决定了它将是一个典型的星型网络,即以核心交换机为中心节点,各楼层配线间接入层交换机为接入节点的星型网络结构。
1.3.3网络带宽分析
预测网络带宽的主要依据是网络流量,确定网络带宽则要在预测网络流量的基础上,考虑性价比。
因此,在确定旅游局接入互联网系统的带宽之前,必须首先对网络的流量做出预测。
下面根据专网建设要求,对旅游局接入互联网系统所涉及的节点网络流量进行简单分析:
节点名称
应用系统类型
最低带宽需求(Mbps)
连接节点
旅游局办公大楼
互联网接入
10M×1=10M
电信互联网
根据上述业务分析及本期项目建设要求,为了确保旅游局接入互联网系统顺利运作,旅游局办公大楼互联网访问流量大约为10M。
1.4建设原则
根据旅游局接入互联网系统的组网方式及实际应用,在进行“旅游局接入互联网电路及设备建设项目”方案设计时,系统总体设计以下遵循原则:
高可靠性
Ø具有很高的容错能力,保证单点故障不影响整个网络的正常运行;
Ø具有抵御外界环境影响和人为操作失误的能力。
高性能
Ø具有较高的传输带宽,并在高负荷情况下仍然具有较高的吞吐能力和效率,延迟低。
支持QoS
Ø能根据业务的要求提供不同等级的服务并保证服务质量;
Ø提供拥塞控制,报文分类,流量整形等强大的IPQoS和MPLSQoS功能。
安全性
Ø具有保证系统安全,防止系统被人为破坏的能力;
Ø支持AAA认证、ACL、VPN、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能。
扩展性
Ø易于增加新设备、新用户,易于和各种公用网络连接;
Ø随系统应用的逐步成熟不断延伸和扩充,充分保护现有投资。
开放性
Ø符合开放性规范,方便接入不同厂商的设备和网络产品。
标准化
Ø各种协议和接口符合国际标准(IEEE、IETF等)。
实用性
Ø具有良好的性能价格比,经济实用,设计方案和设备选型应符合旅游局互联网访问信息量大、信息流要求及时的特点。
1.5设计依据
通过对旅游局接入互联网电路及设备建设项目的需求分析,结合建设的实际情况,方案设计严格按照中国建筑电气设计规范、工业企业通信规范及中华人民共和国通信行业标准技术规范,符合各有关专业主管部门的要求。
1)旅游局调研需求及提供的有关资料;
2)《涉及国家秘密的计算机信息系统分级保护技术要求》;(BMB17-2006);
3)《涉及国家秘密的信息系统分级保护管理规范》(BMB20-2007);
4)《电子信息系统机房设计规范》(GB50174-2008);
5)《通信中心机房环境条件要求》(YD/T1821-2008);
6)《综合布线系统设计规范》(GB/T50311-2007)。
7)《安全防范工程技术规范》(GB50348-2004)
8)《民用闭路电视系统工程技术规范》(GB50198-94)
9)《安全防范工程程序和要求》(GA/T75-94)
10)《电子设备雷击保护导则》(GB7450-87)
11)《信息安全技术基于互联网电子政务信息安全实施指南》(GB/Z24294-2009);
12)工业和信息化部的相关规范和规定。
13)互联网电路及设备建设方案
根据上述需求分析、总体建设原则,旅游局接入互联网系统将依托电信技术先进、安全高效的数据传输网络和光纤网络资源,我公司为旅游局接入互联网电路及设备建设项目提供完成完善的解决方案。
旅游局接入互联网系统拟采用电信互联网平台来搭建,整个建设方案主要涉及到UTM、三层交换等网络技术,我们将在方案中对其进行阐述。
1
1.6整体网络拓扑
依托电信本互联网组建的旅游局接入互联网系统整体拓扑图如下:
从拓扑图中可以看出,旅游局互联网接入系统分为三层:
企业边缘与ISP边缘层、核心/汇聚层、访问层。
核心交换机下连接入交换机,上连UTM防火墙,通过防火墙与电信Ineternet互联,组成旅游局互联网接入平台。
1.7互联网电路建设
本期项目主要建设1条10M互联网电路。
具体建设内容:
从电信661局建设1条互联网电路至旅游局。
1.8设备功能简介
1.8.1UTM防火墙
智能的VSP通用安全平台
网御防火墙采用创新的VSP(VersatileSecurityPlatform)通用安全平台,将实时操作系统、网络处理、安全应用等技术完美地结合在一起,使防火墙产品具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点。
VSP面向网络吞吐和安全处理,采用基于组件的多平面架构,整个系统分为控制平面、数据平面、系统服务平面和硬件抽象平面,通过控制平面和数据平面的分离,不同于Linux,FreeBSD等通用操作系统追求均衡的方向,集中主要资源于网络吞吐和安全处理,使系统具有极强的实时性和网络吞吐能力。
由于系统功能与资源管理分别工作在不同的平面,各平面和模块之间共同遵循标准接口函数,系统具有高度灵活性和可扩展性。
通过将硬件驱动与资源管理独立为一个单独的硬件抽象平面模块,对上层软件提供统一调用接口,对下层硬件统一定义驱动标准,适应多种不同规格的硬件架构,实现与多种专用芯片的无缝融合,可充分利用从IXP,PowerPC到NP、多核多线程CPU、内容加速芯片等各种先进硬件平台的优势,使网御防火墙在性能方面一路领先。
高效的USE统一安全引擎
网御防火墙具有高效的USE(UniformSecurityEngine)统一安全引擎。
它将状态包过滤、VPN、IDS、内容过滤、用户认证等多个子系统集成于单一平台,构造统一架构,综合并优化各子系统,去除冗余,简化数据处理流程,实现统一的安全引擎处理机制。
统一安全引擎克服了传统上各个安全引擎独自为战的缺点,通过高效的引擎集成技术,将各个安全功能有机地整合为一体,状态检测、协议分析机、深度过滤、内容检测等引擎协同工作,对于监测的数据包,一次性拆包即可完成2-7层的检测,同时采用联想的专利技术----基于摘要索引的内容处理加速算法,有效地提高了引擎的处理效率。
USE通过多协议融合分析技术和事件关联再分析技术,综合内容实体,时间因素,提高了安全事件的检测率。
USE采用标准化的技术,对内提供统一服务接口,使安全功能易于扩展,充分满足安全需求的快速发展;对外实现安全策略的统一配置,给用户带来可管理的等级化安全。
高可靠的MRP多重冗余协议
基于联想拥有的大型计算机高可靠设计专利技术,利用电信骨干网可靠性运营维护专业经验,网御防火墙通过自有的MRP多重冗余协议,在物理层、链路层、网络层、实体层等多个层面实现多元化冗余设计,有效地保障网御防火墙在用户网络应用中的高可用性。
●基于多出口负载均衡的链路备份。
链路层支持多WAN口出口,实现多出口间的负载均衡和备份,任何一条链路的故障瘫痪不会影响网络的正常运行。
●基于802.3ad标准的端口聚合。
物理端口支持802.3ad标准,可实现多物理端口聚合,帮助用户做到“零投资”带宽倍增。
●基于状态自动探测的双机热备。
当主系统发生故障或对应线路的网络故障时,备份机可自动检测并切换到主状态,接管主系统的工作,切换时间小于1秒钟。
●基于状态增量同步的多机集群。
支持主动负载均衡、会话保护和接管以及主动配置同步等功能,尤其是采用国内首创的“状态增量同步技术”解决多台防火墙之间的状态一致性问题,实现了业务在多台防火墙之间的平滑任意分布和切换,解决了采用VRRP协议和动态路由协议带来的“业务续断问题”,最多可以支持高达8台的防火墙集群。
完备的关联安全标准(CSC:
CorrelativeSecurityCriterion)
网御以“面向业务的安全架构”为技术理念,以“统一安全,立体防御”为设计目标,参照国际标准,系统地开发了安全管理协议、安全联动协议、安全审计协议等协议族,构成了完备的关联安全标准。
网御防火墙系列全面支持CSC标准,一方面可以保证安全管理中心可以通过安全管理协议全面掌控防火墙的运行,另一方面通过统一的事件格式、事件等级、发送协议,使安全审计中心只要遵从安全审计协议即可以对防火墙的安全事件进行集中、可视化审计。
同时,网御防火墙遵从安全联动协议,可以使主机安全软件,入侵检测等系统以防火墙为核心构建深度安全防御体系,使网络安全从独立、单一防护的安全产品保护发展为立体、全面、动态的防护。
基于应用的内容识别控制
网御防火墙系列拥有目前最完善的应用识别特征库,通过智能分析技术,将P2P、IM、炒股软件和在线游戏等协议的应用行为、加密方式、处理动作等特点整理成库。
当流量经过防火墙时,防火墙启动过滤引擎,对流量进行特征值的匹配。
当过滤引擎搜索到与之匹配的特征码时,防火墙即可应用智能识别技术进行细粒度控制或一键封锁。
如何快速而准确地识别各种上网行为,是决定防火墙性能的关键因素。
网御防火墙从如下几个方面保障内容识别的高速与准确。
智能匹配技术
在特征库上的设置上,网御防火墙按照所有上网行为的特点进行了分类,并对P2P、IM、炒股以及在线游戏等上网行为设置了不同的特征库。
当数据包到达防火墙时,防火墙首先根据用户定制策略将其分配到其对应的特征库管道,如P2P下载行为的流量被输送到P2P特征库管道,即时通讯的流量则被输送到IM特征库管道。
流量被分发到相应的特征库管道以后,再由相应的搜索引擎对流量进行扫描。
这样既大大减少了搜索引擎检索的时间,又提高了过滤引擎的性能。
多线程扫描技术
网御防火墙采用多线程扫描技术,提高了引擎扫描的效率。
比如当BT数据流和MSN数据流同时进入防火墙时,防火墙内容搜索引擎不是在检索完BT数据流以后再去检索MSN数据流,而是可以同时启动BT搜索引擎和MSN搜索引擎。
两个搜索引擎同时工作而互不影响。
这种多线程处理机制同样适用于2种以上不同类型的数据流同时经过防火墙的情况,快速提升了搜索引擎的工作效率。
精确细致的WEB分类过滤
网御防火墙系列在内容过滤库的处理上力求收集齐全、分类准确、更新及时。
通过采用网站全智能搜索引擎技术收集互联网站点,并进行智能分类、人工核验的处理手段对网站进行分类。
目前网御防火墙支持50多种完善的URL类别,分别涉及色情、暴力、赌博、毒品、犯罪、病毒、体育、财经、娱乐等网站分类,这50多个URL类别库总共包含1000万以上特征网站,具有分类全,覆盖面广的特点。
另外,由于在互联网上每天都有大量新网站出现,网御通过在线升级的方式,使URL库中的网站处于持续的更新状态。
可信架构主动云防御技术
网御防火墙通过与已部署的防病毒网关、IPS、UTM等设备联合抓取病毒源、攻击检测源和挂马网站URL等特征,汇集至云防御服务器定时收纳合并,云防御服务器动态更新病毒库、攻击特征库、挂马库等并同步到所有网御安全网关设备中,使其他设备具有防病毒、IPS、防挂马等功能,同时使其具备更高的处理性能,共同形成整体可信架构云防御体系。
网御防火墙产品主要功能
功能类别
详细描述
多操作系统
引导选项
支持多系统引导,并可配置启动顺序
容灾备份
支持系统分区备份,支持将系统A克隆至系统B
配置恢复
支持多个系统配置文件,可导入导出恢复配置
访问控制
状态检测
基于源/目的IP地址、MAC地址、域名、端口或协议、服务、网口、时间、用户的访问控制
基于源/目的IP地址、端口、服务、网口、时间、应用等安全策略的带宽控制
可基于时间和安全域进行安全隔离,同一时间内网主机只能访问DMZ区或者只能访问外网
透明代理
实现基于策略的HTTP、FTP、TELNET、SMTP、POP3等透明代理和深度过滤
IP/MAC绑定
实现IP/MAC地址绑定,且支持IP/MAC地址对的自动探测和唯一性检查
AAA认证服务
支持基于客户端的本地认证、无客户端软件的WEB认证,
支持RADIUS、TACACS/TACACS+、LDAP、域认证等安全认证方式。
支持认证保活功能。
虚拟防火墙
划分虚拟系统
可将一台物理设备,划分为多个虚拟防火墙系统
网口独享与共享模式
采用独享和共享网口模式,最大化复用防火墙资源
独立资源
可拥有独立的系统资源、管理员、安全策略、用户认证数据库等
漏洞扫描
(安保专家)
内网主机漏洞扫描
后门、服务探测、文件共享、系统补丁、IE漏洞等主动式扫描
主动防御
Web监控与防篡改
实时监控Web目录的变化情况,包括文件或文件夹的创建,修改,删除。
脚本后门扫描
根据特征扫描能查出99%以上的脚本后门
绿色上网
P2P下载控制
识别和控制迅雷、BT、eDonkey、eMule等常见P2P下载软件
P2P视频播放控制
识别和控制PPLive、QQLive、PPStream、迅雷看看等常见P2P视频播放软件
IM即时通讯软件控制
识别和控制QQ、MSN等常用IM软件,一键式阻断IM机密文件传输
在线游戏控制
识别和控制魔兽、CounterStrike、征途、联众、浩方、泡泡堂等多种在线游戏软件
炒股软件控制
识别和控制大智慧、同花顺、国泰君安、证券之星、广发证券、指南针、通达信等多种炒股软件
WEB分类过滤
支持基于分类库的URL访问控制,可以对色情、反动等多种负面网站按类别进行选择控制
支持50多种分类库,1000万级网址智能特征库
支持URL独立特征库,支持增量升级管理
网络适应性
接入模式
支持透明、路由、混合三种工作模式
支持DHCPClient、DHCPRelay、DHCPServer
支持PPPoE接入,提供多条ADSL线路同时拨号接入,并具备自动断线重连技术
支持多透明桥,支持端口联动
路由
支持静态路由,动态路由(OSPF、RIP等),VLAN间路由,单臂路由,组播路由等
支持基于源/目的地址、接口、Metric、服务的策略路由
支持多出口路由负载均衡
支持ISP智能选路,内置多种ISP地址库,优化网络带宽;
NAT
支持双向NAT、动态地址转换和静态地址转换,并支持多对一、一对多和一对一等多种方式的地址转换
VLAN
支持802.1Q和ISLVLAN封装协议,支持两种封装的互换以及VlanTrunk
带宽管理
基于IP地址、服务、网口、时间等定义带宽分配策略
支持最小保证带宽和最大限制带宽
支持分层的带宽管理
动态协议
在各种工作模式下均支持H.323(H.323GK)、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多种动态协议
VPN
IPSecVPN
支持标准IPSec协议,能够与CISCO、NETSCREEN等知名厂商的VPN设备互联互通
支持预共享密钥、证书等认证方式且支持X扩展认证
支持3DES、DES、AES等加密算法
支持AH和ESP封装模式以及MD5、SHA1、SHA2等通用摘要算法
支持DH1024、DH2048、RSA1024、RSA2048等非对称加密算法
支持多出口VPN,且支持NAT穿越
支持隧道接力,并可通过隧道接力实现分级的树状VPN结构部署
支持VPN隧道热备份功能,保持隧道连接的可靠性
GRE/PPTP/L2TP
支持GRE、PPTP、L2TP等VPN连接
SSLVPN
支持压缩,缓存、协议优化等应用加速技术,提高访问速度
支持用户终端安全检查,及基于检测结果的访问控制
支持用户账号与终端特征绑定。
支持动态分配虚拟IP,支持虚拟IP与口令用户或证书用户进行绑定。
C/S应用支持,支持TCP/IP协议的应用,包括:
http,Email,Ftp,Notes,Outlook,Oracle,SQL等应用;
支持基于USBKey的证书认证,实现对远程接入用户的身份鉴别,并可根据用户类型和分组进行授权
VRC客户端
VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通
支持基于USBKey的证书认证方式
IPSecVPN客户端支持MicrosoftWindows2000/XP、Vista等操作系统
入侵检测与防御
入侵检测
集成基于统一安全引擎(USE)的IDS模块,具备1600种以上攻击特征库规则
遵循关联安全标准(CSC)实现与IDS的联动
蠕虫防护
支持基于摘要索引的内容加速算法(DCA算法)的蠕虫病毒过滤
采用基于TCP连接数管理的侦测技术,对感染蠕虫病毒的异常主机进行定位
实现对blaster,nachi,nimda,codered,sasser,slapper,sqlexp,zotob等主流蠕虫病毒的识别、过滤和拦截
抗DDoS/DoS攻击
可识别和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、CC攻击、圣诞树、碎片等多种攻击
内容过滤
网页过滤
支持对网页关键字和Java、JavaScript、ActiveX进行过滤
邮件过滤
支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配过滤
支持对中转垃圾邮件进行识别和过滤
FTP过滤
支持对FTP上传和下载文件的控制
关联安全应用
关联安全
支持关联安全标准(CSC)
可实现与IDS等设备的联动
可实现与内网安全管理系统(ISM)的联动
管理配置
系统管理
支持友好的Web图形界面配置
支持快速配置向导,增强系统配置易用性
支持远程SSH和串口命令行配置
支持数字证书和电子钥匙两种管理员认证方式,支持管理员权限分级
支持SNMP管理,与当前通用的网络管理平台兼容
可导出可读的配置文件并进行打印存档
可进行配置文件的备份、下载、恢复和上传
系统监控
支持对CPU、内存、磁盘、网口、用户在线状态、连接数、路由表等信息的监控
日志报警
支持设备内存储和专用事件分析服务器两种日志管理方式
日志采用中文方式,可读性强,并采用颜色区分日志级别
可支持日志回滚操作,保存或覆盖最初日志信息;
支持分级报警,支持SNMPTrap和邮件等报警方式
集中管理
可通过专用的集中管理系统实现对防火墙的集中设备监控、集中日志审计、安全报警以及防火墙、VPN部分策略的分发等功能
可通过专用的集中管理系统,实现对网络拓扑的管理,基于域的权限分配和报表自动生成,以及设备的历史状况回放
可提供专用的软件实现对防火墙接入用户认证的集中管理,至少可同时管理2048台防火墙
高可用性
负载均衡
支持多重冗余协议(MRP),实现链路备份、端口备份、热备份、集群备份等
支持服务器负载均衡,支持轮询、加权轮叫、源地址HASH、目的地址HASH、最少连接、加权最少链接等多种调度算法
支持防火墙多WAN口备份和负载均衡
支持基于802.3ad标准的多端口聚合,实现零成本扩展带宽
通过状态同步技术实现2~32台防火墙的多机集群
双机热备
在NAT、路由、透明模式下支持A-A,A-S模式,且切换时间小于1秒
可在热备和集群工作模式下支持多台防火墙的配置自动同步
VRRP协议
支持多台设备的热备和负载均衡
支持虚拟MAC技术,对客户端完全透明
1.8.2核心交换机
Quidway®S5300系列全千兆交换机是华为为满足大带宽接入和以太网多业务汇聚而推出的新一代全千兆高性能以太网交换机,可为客户提供强大的以太网功能。
产品特性
S5300基于新一代高性能硬件和华为统一的VRP®(VersatileRoutingPlatform)软件,具备大容量、高密度千兆端口,可提供万兆上行,充分满足客户对高密度千兆和万兆上行设备的需求。
S5300可满足运营商园区网汇聚、企业网汇聚、IDC千兆接入以及企业千兆到桌面等多种场合的需求。
产品应用和客户利益
Quidway®系列交换机全球累计发货超过500万台,为客户构建了具备强大扩展性和可靠性、无线有线承载的视频服务与云计算网络基础设施。
1.8.3接入交换机
Quidway®S2300系列交换机是华为推出的新一代以太网智能接入交换机,面向IP城域网和企业网,满足以太网多业务承载以及各种以太接入场景。
产品特性
S2300基于新一代高性能硬件和华为VRP®(VersatileRoutingPlat
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 旅游局 接入 互联网 电路 设备 建设 方案