网络改造建议方案.docx
- 文档编号:29455318
- 上传时间:2023-07-23
- 格式:DOCX
- 页数:23
- 大小:1.26MB
网络改造建议方案.docx
《网络改造建议方案.docx》由会员分享,可在线阅读,更多相关《网络改造建议方案.docx(23页珍藏版)》请在冰豆网上搜索。
网络改造建议方案
XXXXX政府服务中心
网络规划建议方案
目录
第1章前言-2-
第2章XXXXX政府服务中心需求分析-3-
2.1骨干网络高性能、高稳定性需求-3-
2.2网络安全性需求-3-
2.3网络数据增长的需求-3-
第3章XXXXX政府服务中心网络建设要求-4-
3.1建设目标-4-
3.2建设内容-4-
3.2.1安全性-4-
3.2.2先进性-4-
3.2.3开放性-4-
3.2.4扩展性-5-
3.2.5高性能-5-
3.2.6标准化-5-
3.2.7可管理-5-
第4章XXXXX政府服务中心网络建设方案-6-
4.1骨干网络高性能、高稳定性-7-
4.1.1骨干设备选择-7-
4.2网络安全性保证-11-
4.2.1出口设备安全策略-11-
4.2.2核心、接入交换机安全策略-11-
4.2.3病毒、攻击防护方式-12-
第5章设备原厂商服务-14-
5.1原厂商标准服务内容-14-
5.1.1保修服务内容-14-
5.1.27×24小时远程支持中心-16-
5.1.3便捷的自主服务平台-16-
5.1.4快捷的服务响应-17-
5.1.5服务网点-17-
5.2原厂商服务保障体系-18-
5.2.1售后服务模式-18-
5.2.2技术支持系统-19-
5.2.3备件管理系统-20-
5.2.4服务质量管理体系-20-
5.2.5服务团队-21-
第1章前言
随着当代信息技术的发展,随着多媒体技术在各行各业的应用越来越普遍,网络的建设提到了重要的议事日程。
从当今世界发达国家社会机构信息化发展的经验来看,从单机发展到网络,是全社会信息化发展的必然趋势。
因此,在当前我国发达地区的基础信息化发展过程中,以社会机构网络的建设为核心与基础,加快现代化的进程,实现我国社会改革发展中的跳跃式发展,这是全面贯彻科技兴国的关键性步骤。
当前的网络发展正发生着巨大的变化,社会服务机构的网络正从传统的、简单的以数据共享、电子邮件服务等数据处理为中心的数据承载网过渡到以多媒体流(多媒体视频、网上视频转播、VOD点播、视频会议等)处理为中心的多业务应用网络。
随着网络的信息化的发展,越来越的多的服务方式依托于网络给用户提供多种的特色模式;通过建立VOD视频服务器平台,为用户提供优质的视频内容服务;通过召开视频会议,从时间、空间上改变传统的会议方式,方便了与会者,提高了效率并节省了会议费用。
应用趋势决定了服务机构网络要能支持丰富的应用,如资源共享、网络远程会议、WEB访问、网络监控、财务系统等等。
丰富的应用要求网络具备高性能、高安全性、高可靠性。
为了保护投资,要充分的考虑到未来的扩展要求。
第2章XXXXX政府服务中心需求分析
2.1骨干网络高性能、高稳定性需求
网络骨干包括网络的核心层和汇聚层,是整个网络流量的承受者和汇聚者,因此对骨干网络高性能、高稳定性提出了高的要求。
为了提高设备的可靠性和稳定性,可采用骨干网络冗余设计,能够实现设备的热备和失效自动切换。
2.2网络安全性需求
网络安全包括网络级、系统级、用户级、应用级的安全,在网络级,需要利用防火墙的过滤与隔离功能,将信任网络(内网)和不信任的网络(外网)隔离开来,并利用防火墙或出口路由器的NAT(网络地址转换)功能,对外屏蔽内网的网络拓扑信息,从而避免整网受到外来攻击。
在网络内部,根据用户的网络使用需求,将用户和网络资源划分为不同的VLAN,在VLAN间根据需求启用相应的ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全。
2.3网络数据增长的需求
网络必须能够扩展以适应适应用户以及业务的发展,并保护用户的投资。
随着信息化建设步骤的加强和网络应用利用率的增加,服务机构各种类型的重要资源都需要进行数字化的存储,需要能够提供大容量的存储空间,并且保证数据安全可靠的存储,这就要求网络在规划的初期就考虑到存储系统的应用,为服务机构的资源提供集中、安全的数据存储。
第3章XXXXX政府服务中心网络建设要求
3.1建设目标
XXXXX政府服务中心此次进行的网络建设,目的是将整个网络建设成为一个借助信息化服务和管理手段的高水平的智能化、数字化的服务机构网络,完成政府服务中心网络和统一软件资源平台的构建,实现各种应用利用现代信息技术从事服务和管理等工作。
3.2建设内容
XXXXX政府服务中心此次进行的网络建设,本着是“总体规划,分步实施”的建设思路,搭建一个安全可靠,稳定成熟的网络基础平台,为管理信息化、办公信息化提供服务。
本次建设考虑以下几点:
骨干网络全万兆、信息点千兆接入、一体化安全网络出口的网络系统设计原则。
3.2.1安全性
网络必须具有良好的安全防范措施和密码保护技术,灵活方便的权限设定和控制机制,使系统具有多种有效手段,防范各种形式对网络的非法入侵和内部攻击,以保证网络的实体安全、网络安全、系统安全和信息安全,有效地保障正常的业务活动和防止内部信息数据不被非法窃取、篡改或泄漏。
因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。
3.2.2先进性
系统设计既要采用先进的概念、技术和方法,又要注意结构、设备、工具的相对先进成熟,整个系统的生命周期应有比较长的时间,可以在信息技术不断发展的今天,在系统建成以后比较长的一段时间内能满足用户需求增长的需要;不但能反映当今的先进水平,而且具有发展潜力,能保证在未来若干年内占主导地位,保证网络建设的领先地位。
本方案的设计宗旨是“立足今日,着眼未来”,在保证技术成熟的前提下,充分先进技术,满足现有需求,充分考虑潜在扩充。
从而最大限度保护用户投资。
3.2.3开放性
采用开放的软硬件平台和数据库管理系统,遵循国际标准化组织提出的开放系统互联的标准,应用软件必须独立于软硬件平台,能集成任何第三方的应用,具有良好的可扩展性、可移植性和互操作性。
3.2.4扩展性
系统必须具有良好的可扩充性,在系统结构、系统容量与技术方案等方面必须具有升级换代的可能,核心设备必须采用模块化的结构,符合网络的发展趋势并具有充分的扩展性。
系统建设必须尽量保护现有的软、硬件资源,保证各部门现有的计算机系统的使用,逐步过渡,有效保护用户投资。
3.2.5高性能
网络链路和设备具备足够高的数据转发能力,保证各种信息的高质量无阻塞传输;交换系统具有很高的交换容量与多服务支持的能力,保证网络服务的质量。
3.2.6标准化
建立一个可靠、高效、灵活的计算机网络系统平台,不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换,还要考虑同层次网络互连,远程分部的互联,以及与相关信息系统网际互联,以充分共享资源。
这些需求体现在设计时,要求提供开放性好、标准化程度高的技术方案,设备的各种接口满足标准化原则。
3.2.7可管理
随着网络规模的不断扩大,网络的管理越来越重要,管理的事务也越来越复杂。
整个网络系统的设备应易于管理,易于维护,操作简单,易学,易用,便于进行网络配置,网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
如:
可以通过友好的图形化界面,对网络进行网络划分,设置各子网的访问权限,实施网络的动态监测、配置,数据流量的分析等,简化网络的管理。
第4章XXXXX政府服务中心网络建设方案
本方案是以局域网以太网技术为基础,建设智能化的机构网络。
工作站整个网络采用万兆主干,千兆交换到桌面,核心设备采用锐捷十万兆交换机RG-S12000,具备很强的稳定性和可靠性,充分保证整个网络的稳定性;接入设备采用锐捷安全网管接入交换机RG-S5750-L系列,为整个楼宇提供高性能高安全的接入。
整个网络通过核心交换机直接接入社保居住证政务专网、民政专网、医保专网、劳动专网。
整个网络设计采用二层结构:
核心层和接入层二层结构,采用双星星架构,分别是中心机房双核心交换机以及楼层的接入交换机。
接入层交换机使用锐捷高性能的智能千兆交换机RG-S5750-L系列,通过光纤以千兆上联至楼栋的核心交换机。
中心交换机采用锐捷万兆核心路由交换机RG-S12000,该款交换机作整网的核心交换机,具有极高的数据包转发能力和很好的扩展性。
核心层的功能主要是实现骨干网络之间的优化传输,核心层设计任务的重点通常是冗余能力、可靠性和高速的传输。
网络的控制功能、网络的各种应用应尽量少在核心层上实施。
核心层一直被认为是流量的最终承受者和汇聚者,因此对核心层的设计以及网络设备的要求十分严格。
外接一台千兆综合一体化安全网关RG-WALL1600-EA,为接入internet的开发工作站提供了高安全的防护系统,
无线部分建设,次方案中推荐使用锐捷网络无线控制器RG-WS5708.该设备支持8个10/100/1000M自适应电口和8个复用的千兆SFP接口,默认支持128个AP,可通过扩展License最大控制768个AP、802.11性能8Gbps,支持IEEE802.11a/b/g/n无线协议。
根据本次设计要求,需要所有AP支持802.11n协议,且必须是双路双频,3×3MIMO天线。
方案中推荐使用RG-AP220-E无线无线AP,该设备是室内增强型无线接入点,双路双频,3x3MIMO,可支持802.11a/n和802.11b/g/n同时工作、胖/瘦模式切换、WAPI、PoE和本地供电。
采用802.11n技术的无线的接入协议。
802.11n技术由于采用了多种无线技术,极大地提升了无线接入的带宽和覆盖范围。
无线设备通过MIMO(多输入、多输出,本次无线AP的天线采用3×3的MIMO技术)、OFDM(正交频分复用)、40MHzChannels(通道绑定)PacketAggregation(数据包聚合),其理论带宽达到150Mbps-600Mbps,实测接入带宽可以达到100Mbps-300Mbps,是传统无线的5倍。
同时极大地提高了无线的覆盖范围,同环境下比802.11a、b/g模式的覆盖范围提高了20%。
4.1骨干网络高性能、高稳定性
4.1.1骨干设备选择
网络一般分为二层:
核心层、接入层。
通常核心层组成了整个网络的骨干。
核心层的功能主要是实现骨干网络之间的优化传输,核心层任务的重点通常是冗余能力、可靠性和高速的传输。
网络的控制功能、网络的各种应用应尽量少在核心层上实施。
核心层一直被认为是流量的最终承受者和汇聚者,因此对核心层的设计以及网络设备的要求十分严格。
方案中在核心层采用锐捷网络RG-S12000系列多业务IPv6核心路由交换机作为整网的路由交换平台,该核心路由交换机硬件实现路由交换和线速万兆转发功能满足整网核心的路由交换。
RG-S12000系列多业务IPv6核心路由交换机和汇聚层设备通过启用OSPF路由协议和RSTP、MSTP生成树协议,保证线路的负载均衡和冗余备份。
整个核心部分具有强大的未来扩展能力。
同时RG-S12000系列多业务IPv6核心路由交换机完全兼容主流网络设备的CLI界面,配置方便,支持完善的流分类策略和丰富的QOS特性,是建设核心层网络设备的理想选择。
核心层设备RG-S12000系列多业务IPv6核心路由交换机采用千兆光纤与接入层设备相连,充分保证网络骨干线路的带宽需求,真正达到网络内部的高速数据交换。
4.1.1.1SPOH技术提供更强的数据处理能力
SPOH:
SynchronizationProcess0verHardware,是“基于硬件的同步式处理技术”缩写。
锐捷核心设备支持SPOH技术——专注于安全防护和智能保障的交换技术!
在线卡分布式设计的基础上,为各个物理端口配备专用的FFP(FFP:
fastfilterprocessor)处理模块,FFP模块可以实现硬件处理QoS与ACL功能,实现整机数据端口级同步处理ACL/QOS;同时,通过线卡芯片线速转发L2/L3/组播数据,实现了从线卡到端口的全面分布式硬件设计,有效分流、缓解线卡ASIC芯片的负载压力,极大地提升交换机的整体数据处理能力。
既满足业务急剧增长,保持网络的高性能无阻塞交换和网络安全的防护,实现大数据多业务全线速处理。
SPOH技术保障了核心设备的高性能无阻塞数据交换和网络安全的高级防护,实现大数据多业务全线速处理,从而达到了电信级的可靠性保障。
4.1.1.2LPM+HDR技术提供更高的路由处理效率
最长匹配(LPM)三层交换技术可以解决传统方式“多次交换”中采用“流精确匹配”而带来存储空间压力过大的问题。
最长匹配(LPM)技术支持静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表,一个目的网段使用一个转发表项,而直连网段仅生成表项内容为“目的IP地址”的主机转发表,对于其它不明目的网段IP地址的数据包直接通过硬件缺省路由转发。
因此,LPM技术的优点是极大地节约存储空间,病毒和攻击数据可以通过硬件网段路由或缺省路由进行转发,不增加额外的硬件表项,避免了存储溢出问题,保障设备的正常运行。
在LPM技术中依然保留了CPU参与一次路由的需要,虽然每个网段只有一次CPU参与的需要,但是在三层设备拥有直连网段,主机转发表数量比较多的情况下,CPU的第一次参与依然会对三层转发的处理效率产生一些影响,HDR技术可以进一步优化LPM技术的处理效率,主机直接路由(HDR:
HostdirectRoute)用于解决CPU参与“一次路由”的不足。
主机直接路由(HDR)支持三层设备在最长匹配硬件转发中的下一跳节点和数据转发出口运行ARP协议时把对应的MAC地址直接下载到硬件转发表。
因此,没有了第一次CPU参与路由的效率影响,网络中的所有主机(Host)都可以通过最长匹配硬件转发表进行直接的三层转发。
LPM+HDR三层交换技术不需要CPU参与、节约了缓存空间,不仅极大地提高了路由效率,而且避免了病毒和攻击对网络设备本身的影响,提高设备的稳定性。
4.1.1.3三平面分离保护技术提供更高的稳定可靠性
锐捷网络核心路由交换机通过采用数据平面、控制平面、管理平面相互分离的设计方式,保证了最耗费主机资源的数据处理转发任务不影响交换机的管理和协议运行,而在路由和环境复杂多变条件下,控制平面的任务不影响交换机的管理,高度保证了交换机系统的稳定性。
保证了即便出现设备由于数据交换异常瘫痪状态情况,依然可以通过Telnet、Console等管理界面正常登陆管理该设备。
从根本上高度保证了系统的稳定可靠性。
4.1.1.4CPP(CPUProtectPolicy)机制提供更强的安全性
尽管通过加密认证可以保护网络中的通信协议,但是它并不能完全的防止非法恶意用户对路由引擎(CPU)上特定协议的攻击。
例如,攻击者仍可以利用伪造的数据包瞄准具体协议,向路由交换机发动攻击。
尽管这些数据包无法通过鉴权检查,但是攻击仍可以消耗CPU上的资源(CPU循环和通信队列),因此在某种程度上达到攻击的目的。
锐捷网络核心路由交换产品通过硬件的方式对发往控制平面的数据进行分类,把不同的协议数据归类到不同的队列然后对不同的队列进行限速,专门对路由引擎进行保护,阻挡外界的DOS攻击。
而且并不影响转发速度,所以CPP能够在不限制性能的前提下,灵活且有力的防止攻击,而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。
CPP提供三种保护方法,来保护CPU的利用率。
第一,可以配置CPU接受数据流的总带宽,从全局上保护CPU。
第二,可以设备QOS队列,为每种队列设置带宽。
第三,为每种类型的报文设置最大速率。
具体实现方式如下:
●针对不同的系统报文进行分类。
CPP可针对arp、bpdu、dhcp、igmp、rip、ospf、pim、gvrp、vvrp的报文进行分类,并分别设置不同的带宽。
●CPU端口共有8个优先级队列(queue),可以配置每种类型的报文对应的队列,硬件根据配置自动地将这种类型的报文的送到指定队列,并可分别设置队列的最大速率。
●可以配置CPU端口的总的带宽,从全局上保护CPU。
4.2网络安全性保证
4.2.1出口设备安全策略
在防一体化安全网关RG-WALL1600-EA上启用多种防攻击策略;为服务器(DMZ区)做相应的地址映射;启用多种病毒过滤策略,如下图所示;同时启用多种个性化的过滤、状态检测等安全手段。
启用NAT特性;针对每个用户做限速:
每个IP上行限速300kbps下行限速800kbps,同时每个IP限200并发会话数。
4.2.2核心、接入交换机安全策略
4.2.2.1完善的用户IP/MAC地址绑定
方案中提供的包括核心、接入交换机均支持基于整机级和端口级两种IP、MAC地址绑定功能,并采用硬件芯片直接实现。
在提高安全性的同时不影响交换机数据交换性能。
4.2.2.2分布式网络病毒(攻击)防御
基于网络的特点,它是一个开放的应用环境,在这种环境下尤其容易感染网络病毒和发生网络攻击,这会给网络主干带来严重冲击,甚至可能造成整网瘫痪。
因此,为了保证整个网络的带宽可用性。
防止网络病毒传播扩散,防止网络攻击的发生,在该方案中,采用分布式网络病毒(攻击)防御体系设计思想。
核心、接入层网络设备均支持嵌入式防DDoS攻击、防病毒扩散等,可直接屏蔽网络特征病毒传播扩散,防止网络攻击。
同时接入层设备S20系列硬件智能识别2-4层数据流、可实现非常丰富的ACL访问控制功能,最大程度的实现分布式的网络安全控制防护。
4.2.2.3防ARP欺骗攻击
目前网络中较多的出现了ARP欺骗攻击,可造成整个网段瘫痪或者信息泄密的严重后果。
S57支持防ARP欺骗功能,有效地杜绝ARP网关欺骗行为的发生,更好地提高了网络的安全性。
4.2.3病毒、攻击防护方式
4.2.3.1IP扫描攻击及防范
众所周知,许多黑客攻击、网络病毒入侵都是从扫描网络内活动的主机开始的,大量的扫描报文也急剧占用网络带宽,导致正常的网络通讯无法进行。
为此,锐捷RG-S57交换机提供了防扫描的功能,用以防止黑客扫描和类似“冲击波病毒”的攻击,并能减少三层交换机的CPU负担。
目前发现的扫描攻击有两种:
目的IP地址变化的扫描,我们称为“scandestipattack”。
这种扫描是最危害网络的,不但消耗网络带宽,增加交换机的负担,更是大部分黑客攻击手段的起手。
目的IP地址不存在,却不断的发送大量报文,我们称为“samedestipattack”。
这种攻击主要是针对减少交换机CPU的负担来设计。
对三层交换机来说,如果目的IP地址存在,则报文的转发会通过交换芯片直接转发,不会占用交换机CPU的资源,而如果目的IP不存在,交换机CPU会定时的尝试连接,而如果大量的这种攻击存在,也会消耗着CPU资源。
当然,这种攻击的危害比第一种小得多了。
以上这两种攻击,我们交换机都可以在每个接口上调整相应的攻击阀值、攻击主机隔离的时间等参数,以便管理员最细化的管理配置。
4.2.3.2DDoS攻击及防范
近年来,各种DoS攻击(DenialofService,拒绝服务)报文在互联网上传播,给互联网用户带来很大烦恼。
DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。
攻击报文主要采用伪装源IP以防暴露其踪迹。
针对这种情况,RFC2827提出在网络接入处设置入口过滤(IngressFilting),来限制伪装源IP的报文进入网络。
这种方法更注重在攻击的早期和从整体上防止DoS的发生,因而具有较好效果。
使用这种过滤也能够帮助ISP和网管来准确定位使用真实有效的源IP的攻击者。
ISP应该也必须采用此功能防止报文攻击进入Internet;网络管理员应该执行过滤来确保内网不会成为此类攻击的发源地。
锐捷S12000,S57交换机采用基于RFC2827的入口过滤规则来防止DoS攻击,该过滤采用硬件实现而不会给网络转发增加负担。
4.2.3.3ARP欺骗攻击及防范
ARP欺骗攻击近年来呈愈演愈烈之势,每个网络管理员基本上都会碰到。
该欺骗攻击会导致经常出现断网、设备cpu利用率居高不下、信息泄密等多种恶果。
ARP欺骗主要存在以下5种方式:
冒充网关欺骗主机、冒充主机欺骗网关、冒充主机欺骗主机、黑洞攻击、泛洪攻击。
这些攻击的防御可以在接入层交换机上做,无论用户的IP地址是动态的还是静态的,均可以有效的进行防御。
防御基本原理是采用IP+MAC+端口三元素绑定,启用ARPcheck功能。
若用户的IP地址是静态的,可以采用手工绑定或通过802.1X认证中的IP授权模式自动绑定;若用户的IP地址是静态的,可以采用DHCPSnooping的方式,用户获取地址的同时在交换机端口绑定mac地址。
第5章设备原厂商服务
针对此次XXXXX政府服务中心建设,锐捷公司向用户提供硬件设备3年免费质保,软件终生免费升级,以及其他优惠服务,具体服务承诺详见标书中的服务承诺函。
下文中服务年限等如有和此冲突之处,以此为准。
5.1原厂商标准服务内容
5.1.1保修服务内容
基本保修服务BasicWarranty
基本保障
保障说明
备注
硬件保修
3年保修
RGNOS软件
免费提供升级软件;客户自行升级
保修服务提供方式
用户送修或寄修5日完成
(7天×24小时受理)
远程服务支持
远程支持中心:
4008-111-000
免费开放远程知识平台
(7天×24小时受理)
1.硬件:
主机(含模块)保修3年。
在产品使用说明书规定环境及状态下,排除其他相关设备及网络故障等引发因素后的产品缺陷或功能异常,可判定为硬件故障。
2.保修扩展条款:
1)免费提供可供客户自行升级的RGNOS升级软件
2)承诺保修提供方式为客户送修或寄修,5日内快速处理
3)随机附送光盘或其他介质不能读取,从购机之日起15日内可免费更换。
4)7天×24小时可获取4008-111-000远程支持中心技术支持
5)免费开放锐捷远程知识平台
3.附件:
产品随机附件、资料,如连接线、电源线、光盘、软盘、说明书等均不在保修范围之列。
4.保修政策
保修期开始日期
本政策中所述的“保修期开始日期”指
1、福建星网锐捷网络有限公司(以下简称“锐捷网络”)收到客户盖章的《锐捷网络服务承诺确认函》的日期;该日期不晚于设备发货之日90天。
2、可证实的购机发票和有效的保修卡上标注的日期;该日期必须一致,且不晚于设备发货之日90天。
3、如客户无法提供以上资料,以锐捷网络发货之日90天起计算。
保修条款
1、软件保修期为90天。
在产品说明书所述的正常使用条件下,保修期内出现软件不符合产品说明书所述软件功能标准、或软件介质出现质量问题,锐捷网络为客户免费更换软件介质或修复软件缺陷。
对缺陷软件,锐捷网络有权决定采用补丁软件进行修复、提供升级软件予以更换或以退款方式进行处理。
2、硬件保修期:
在产品说明书所述的正常使用条件下,保修期内出现硬件故障,锐捷网络接到申请后提供返厂维修服务,周期为锐捷网络客户支援中心或授权维修站收到设备后30天。
锐捷网络有权决定对故障件进行维修或更换处理,如果进行更换,则更换件可能是新设备或者为具有同等类别、功能、质量的修复品,更换下来的故障件归锐捷网络所有。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 改造 建议 方案