计算机网络系统平台设计方案.doc
计算机网络系统平台设计方案 计算机网络系统平台设计方案必须建立在用户、应用软件等对 网络平台的需求之上。只有真正理解了对网络系统平台的要求,我 们才能设计出符合合肥市新站区管委会网络系统实际的、先进性与 实用性同时兼顾的方案来。根据我们对现场的实地调研、以及我们 多年建设信息系统的经验,我们下面从网络系统、主机系统、系统 安全三方面阐述整个网络系统平台的基本需求分析。 一、网络系统需求分析 网络系统是信息系统的基础设施。网络设计时应充分考虑系统 的实用、稳定、开放、先进、扩展、安全和经济性以及使用和维护 的方便。网络主干采用国际或国内先进成熟的网络技术,桌面采用 快速交换以太网方式技术。网络系统需求可以归纳如下: 1) 高速率:网络系统具有强大的核心层,内部主干达到1G速率, 到桌面速率达到100M,保证应用得到及时的处理。 2) 高容错性:为了保证系统稳定运行,核心网络设备端口和通 道有冗余。 3) 互联性:采用TCP/IP协议作为合肥市新站区管委会局域网的 技术基础架构。 4) 高安全性:由于合肥市新站区管委会局域网络是开发区的数 据中心,各外联单位可通过 VPN 节点连接到合肥市新站区 管委会网络,要防止外来非法用户入侵本系统,或防止外来用户对系统的破坏,因而必须具备高安全性。 二、 主机系统需求分析 目前合肥市新站区管委会的业务系统主要有内外网 WEB、OA、MAIL、FTP服务器,用户访问量的不断增加服务器。需求 如下: 一一WEB、FTP应用服务器需求 能够提供用于WEB、FTP应用系统使用。 不仅要求稳定性高,还要考虑到随着业务需求的不断增加, 越来越多的客户会不断加入。 支持Windows/Linux等多操作系统。 一一OA、mail 系统服务器需求 具有较高的运算能力。 可承受每天百万次的访问量。 具有高可用性解决方案。 具有较强的扩展能力。 采用双机工作模式。 支持Windows/Linux等多操作系统。 需要存储客户数据、客户业务办公数据,能够满足 7×24 小时关键业务应用,具有在线扩展能力和高速数据吞吐。 三、系统安全需求分析 (一)防火墙需求防火墙是网络安全最基本、最经济、最有效的手段之一。防火 墙可以实现内外网或不同信任域之间的隔离与访问控制。据有关数 据统计,防火墙的加设会使整个网络的安全风险降低90%。 防火墙可以做到网络间的访问控制需求,过滤一些不安全服务, 可以针对协议、端口号、时间、邮件地址等条件实现安全的访问控 制。同时防火墙具有很强的记录日志的功能,可以对您所要求的策 略来记录所有不安全的访问行为。 (二)安全管理需求 “三分技术,七分管理”是网络安全领域的一句至理名言,在安 全业界,安全重在管理的观念已被广泛接受,因此,对用户安全策 略、安全制度等问题的建议也应当作为安全解决方案的重要组成部 分。通过加强安全管理,才能保证由安全产品和安全技术组成的安 全防护体系能够被有效的使用。 (三)安全总体目标 基于以上的需求分析,投标方案的安全网络系统应可以实现以 下安全目标: 1建立一套完整可行的网络安全与网络管理策略并加强培训, 提高全体人员的安全意识及反黑技术。 2加强物理安全防护,特别是采取措施防止涉密的信息通过电 磁辐射的方式泄露。 3利用防火墙实现内外网及不信任域之间的隔离与访问控制。4通过主机防火墙、防病毒、安全存储、来保证个人主机或重 要服务器的网络安全防护。 (四)建设目标 合肥市新站区管委会的网络建设总体目标是建设一个目前基于 传输数据、确保将来传输语音、视频、图像等信息的可升级、具有 较大容量高速传输能力、有稳定可靠的质量保证的信息化综合网络。 具体建设目标如下: 1、架构高速的网络通道,组建一个延时小、响应速度快、传输 效率高、信息吞吐量大、高可用的综合应用网络,满足数据集中要 求,具备业务可扩展能力。 2、建立多应用统一的网络平台,为目前和今后的业务与管理等 不同应用系统提供统一的多功能的网络支撑环境。 3、建立具有超前性、先进性与可扩展性的网络体系,为新站开 发区的网络提供持续发展前景。 4、建立规范化、标准化的安全体系,为全网提供安全可靠的安 全运行机制。注意避免出现“瓶颈”效应,保证网络 7x24小时可靠 运行。 5、建立统一的网络管理平台,应用高效科学的网络管理技术, 实时监控网络运行情况,提高网络管理水平。 6、采用 TCP/IP 网络协议,UNIX 或 Windows NT 操作系统和 Client/Server、Intranet 体系结构。 根据以上总体目标,网络设计应满足高性能、高可用性、可管理性、安全性等需求和原则,同时,选择的设备应具有可扩展性、 开放性、先进性、成熟性等特征。 四、技术方案要求 (一)网络系统设计 合肥市新站区管委会的计算机网络系统由内外网合一,通过专 线连入合肥市电子政务专网,由合肥市电子政务平台提供互联网统 一出口,同时新站区管委会另有一条 10M 电信宽带线路可提供公网 入口。由于此次改造需要能够使本区工作人员能够在外网正常使用 内网 OA 办公系统,故需要能够为外部网络提供 VPN 拨号通道,办 公大楼部分采用星形拓扑结构交换式千兆以太网技术。 (二)拓扑结构设计 根据国家电子政务的总体设计思想,鉴于合肥市新站区管委会 应用需求及其信息安全等特殊要求性。网络应采用逐层保护的指导 原则,利用宽带 IP 技术,保证网络的互联互通,提供具有一定的 QOS 保障,建成的网络以 IP 为主流技术。在物理网络结构的设计上 采用的拓扑结构划分为核心层和接入层。 (三)网络方案描述 投标方案应设计网络的核心交换机应采用 2台核心交换机,2 台核心交换机采用 vrrp+vllp 备份理由技术实现双机冗余,确保网络 7*24小时不间断。网络运行正常情况下内网的主机是 A 机、备机是 B 机,外网的主机是 B 机、备机是 A 机,任意一台交换机出现故障, A 机与 B 机自动切换。接入层交换机采用 24口百兆 2口千兆电口系列实现千兆电口双 链路上联,百兆到桌面。网络设计需要有高度的扩展性和可靠性, 能够满足现有和未来业务的发展需要。 内网出口与电子政务专网连接,作为内网的边界安全防护,实 现与市政府各委办局的网络进行互联。 外网出口采用一台百兆带 VPN 接入的防火墙与互联网连接,作 为外网的边界安全防护,实现与国际互联网进行互联,并可以利用 VPN 技术实现外部 OA 远程办公。 由于存在电子政务专线和电信 10M 光纤,本系统架构出现两个 互联网出口(一个电信、一个电子政务专网) ,应在核心交换机采用 路由优先级策略,决定大楼内部网络访问使用哪种出口。 由于服务器大部分采用的是单网卡设计,要保证核心交换机的 冗余配备,应采用增加一台全千兆二层交换机作为 DMZ 去服务器 群的汇聚交换机,该交换机双链路上联于千兆防火墙设备,保证服 务器区域高速稳定运转,同时在此部署一台千兆高端防火墙设备, 解决授权部分合法的内网用户访问不同的服务器资源,不合法的用 户不容许访问相关的服务器资源。 区委会下属单位,由于是单链路链接,建议采用一台全千兆高 性能智能三层