《XXX政府综合办公楼计算机网络系统设计方案 A4通用版.doc》由会员分享,可在线阅读,更多相关《XXX政府综合办公楼计算机网络系统设计方案 A4通用版.doc(74页珍藏版)》请在三一办公上搜索。
1、XX政府综合办公楼智能化系统工程验收文档安徽中杰信息科技有限公司Xx年XX月XX日目 录n 第一部分 系统详细设计方案4第一节 计算机网络系统设计方案51、 系统概述52、 需求分析53、 设计依据94、 产品选型95、 系统设计方案106、 系统设备清单317、 主要产品参数31n 第二部分 安装调试方案41第一节 IP地址及VLAN规划411、 IP地址分配基本原则412、 IP地址规划413、 VLAN的规划42第二节 生成树的设计42第三节 设备安装设计431、 核心交换的安装地点442、 接入交换机安装地点443、 S7503E的安装444、 S7506E的安装44第四节 设备命名及
2、地址分配451、 设备命名452、 线缆标签规则453、 设备地址分配45第五节 NTP网络时间同步管理46第六节 路由协议规划471、 路由协议安全管理482、 VRRP(虚拟路由器冗余协议)483、 IP源路由选项开关504、 重定向开关505、 定向广播报文转发开关506、 ICMP协议的功能开关51第七节 设备安装要求建议511、 机房要求512、 防静电要求523、 抗干扰要求524、 接地要求535、 供电要求53第八节 系统安装541、 安装前准备542、 安装报告583、 配置指导书60第九节 系统测试与验收方案651、 测试方案652、 系统初验723、 系统试运行724、
3、系统终验725、 系统维护73第一部分 系统详细设计方案第1节 计算机网络系统设计方案1、 系统概述XX政府简介XX政府(以下简称贵单位)信息化建设的基础是计算机网络系统建设,建设面向未来的信息化平台是贵单位的必经之路。贵单位综合办公楼计算机网络系统建设包括2套网络:内网、外网,两套网物理隔离。内网包括贵单位的内部局域网、电子政务内网、贵单位与上下级单位的互联内网(该三套网之间逻辑隔离),总计涉及289个数据信息点的局域网接入;外网包括电子政务外网、互联网(该两套网之间逻辑隔离),总计涉及294个数据信息点的局域网接入。计算机网络系统是贵单位重要的信息基础设施,是贵单位对公众政务信息公开、对内
4、统一办公、公文流转的基石。作为信息系统的支撑,网络系统设计质量优劣直接决定了整个信息系统的成败。2、 需求分析2.1 总体需求计算机网络系统是贵单位信息系统的重要组成部分,因此计算机网络系统要求具备高效性与可靠性。计算机网络系统设备选型及设计方案必须具备先进性,可扩展性,能适应贵单位信息化发展的需求。本次计算机网络系统设计方案将满足贵单位综合办公楼的网络建设需要,该系统将与贵单位现有的计算机网络系统无缝连接,与现有网络完全兼容,实现系统的统一管理。具体来说,本次计算机网络系统总体需求如下:u 综合办公楼的计算机网络系统建设需求u 内、外网的服务器系统建设,内、外网数据集中存储、外网重要数据的备
5、份需求u 实现与现有网络的融合,满足贵单位管理的需要;具体需求如下:2.2 网络系统需求2.2.1 网络配置需求根据本项目综合布线系统设计,网络系统分为2套网:内网、外网,该2套网之间物理隔离;具体如下:l 内网:含内部局域网、电子政务内网、贵单位与上下级单位的互联内网,三套网之间逻辑隔离,涉及289个数据信息点的局域网接入。核心机房在3楼的内网中心机房。综合办公楼内弱电间通过千兆多模光纤汇聚至3楼的内网中心机房。综合办公楼内弱电间至桌面是千兆铜缆;l 外网:包括政务外网、互联网,该2套网之间逻辑隔离;涉及294个数据信息点的局域网接入,核心机房在3楼的外网中心机房。综合办公楼内弱电间通过千兆
6、多模光纤汇聚至3楼的外网中心机房。各弱电间至桌面是千兆铜缆。综合布线系统主要采用6类非屏蔽双绞线。弱电间与核心机房间设计有多模光纤。网络配置方案需满足上述综合布线设计的各类信息点和不同网络线路的接入需要。2.2.2 网络性能需求为满足贵单位信息应用系统的高速运行需要,本项目计算机网络系统的设计基础网络须达到千兆接入,千兆上行。未来可以升级至千兆接入,万兆上行。2.2.3 网络可靠性需求贵单位综合办公楼项目信息化的稳定运行依赖于其网络平台的健壮性作为信息化系统的基础设施,网络系统的可靠性显得非常重要,一旦网络意外中断,各类相关业务将无法正常开展。因此必须确保网络系统的可靠性。2.2.4 网络服务
7、质量需求随着网络的发展日新月异,IP融合是大势所趋,网络上数据、语音、视讯等新应用的不断出现,对网络的服务质量也提出了新的要求。例如VoIP等实时业务就对报文的传输延迟有较高要求,如果报文传送延时太长,将是用户所不能接受的(相对而言,E-Mail和FTP业务对时间延迟并不敏感)。为了支持具有不同服务需求的语音、视频以及数据等业务,要求网络能够区分出不同的通信,进而为之提供相应的服务。因此,网络系统设计中,必须考虑支持多种QoS(Quality of Service,服务质量)技术,以满足未来贵单位多种IP应用对服务质量的要求。2.2.5 网络安全需求如今,信息安全已经成为各行各业最重视的信息化
8、建设关注点。信息安全问题日益突出,病毒泛滥、系统漏洞、黑客攻击等诸多问题,将会直接影响贵单位网络的稳定运行、威胁其相关业务的正常运行。如何应对信息安全威胁,确保其信息系统的安全稳定运行,已经是必须关注的问题。网络系统设计中,将重点关注各类网络设备的安全防范能力,确保网络基础设施的安全。其具体需求主要包括:l 实现安全域划分,并在此基础上实现安全、可控的逻辑隔离;l 保护WEB网站不会因来自互联网拒绝服务攻击而瘫痪;l 对进出各安全域的信息和数据进行严格的控制,防止对安全域的非法访问;l 对于各个安全域之间交互的信息和数据,保护其完整性、可用性、保密性,防止在传输过程中被窃取、篡改和破坏;l 在
9、各个安全域内,能及时发现和响应各种网络攻击与破坏行为;l 建立病毒及恶意代码的预警和响应机制,能及时发现和响应各种病毒及恶意代码的攻击、破坏和信息泄露行为;l 使系统内的操作系统能及时升级、安装安全补丁;l 应用系统需要有认证、应用访问控制、审计、加密、资源控制等多种手段,能够保障信息系统被合理使用;l 终端需要及时发现和阻断病毒攻击,及时更新病毒补丁;l 终端进程的监控、黑白软件的定制;l 终端外设接口的管控;l 对系统、应用进行审计,建立相应的安全审计机制,对引发事件的根源进行责任认定。2.3 服务器及存储备份系统需求2.3.1 服务器系统构建需求对于内网部分,贵单位的电子政务内网需要购置
10、4台服务器,其中2台服务器作为数据库服务器(双机),1台做WEB服务器,1台做应用服务器对于外网部分,贵单位的电子政务外网需要购置4台服务器,其中2台服务器作为数据库服务器(双机),1台做WEB服务器,1台做备份服务器2.3.2 存储备份系统需求随着贵单位应用环境越来越复杂,我们认为关键应用和关键数据受到侵害的可能性越来越大,软灾难发生的情况更加普遍,包括病毒侵害、黑客攻击、误操作、OS受损,给系统造成的风险很高。1、由于WINDOWS系统平台的特性,系统可能存在多处隐形漏洞,给黑客和病毒的侵害提供了条件,就IDC评测,每年由于黑客攻击和病毒侵害给客户造成的损失高达数百亿美元。2、OS受损,导
11、致瘫痪,数据没办法读出,此时对于系统恢复和关键数据的处理是非常棘手的难题。3、由于误操作给系统造成的影响也不可忽视,重要文件被删除,由于是关键数据可能只保存在一台机器上,数据将不可恢复。4、数据保存在硬盘上,由于硬件故障,同样可能造成的数据的不可恢复。对于关键系统和数据所造成的损坏,不仅仅表现为经济方面的损失,同时影响关键部门的运转,可能造成不良的社会影响。由于以上原因,对贵单位的信息平台的价值也产生了负面的影响。如何在关键应用受到侵害时,第一时间恢复系统和数据是至关重要的。对于系统和数据的恢复同时提出了多方面的要求: 系统可恢复的时间点 系统恢复的简便性 系统修复的快捷、简单 基于文件或者磁
12、盘、扇区级别的文件、数据、系统恢复 系统可实施性 基与以上原因需要考虑对贵单位内、外的数据进行集中存储;对外网的磁盘阵列内的关键数据,对外网的终端的重要数据进行备份。以便在遭到病毒破坏、数据损坏、系统崩溃时可以恢复数据。实现对关键数据的保护。3、 设计依据计算机网络系统符合以下标准及规范,并保证整个系统在验收之前满足有关中华人民共和国新颁布的最新版本的标准及规范要求。 民用建筑通信管理标准 EIA/TIA 606 信息安全管理体系标准 JB7799/ISO-17799 信息技术、安全技术评估准则 ISO/IEC15408-1999 信息技术应用级防火墙安全技术要求 GB/T18020-1999
13、 信息技术开放系统互连网络层安全协议 GB/T17963-2000 信息技术开放系统互连高层安全模型 GB/17965-2000 计算机信息系统安全保护等级划分准则(GB17859-1999) 信息系统安全等级保护基本要求(GB/T 22239-2008)。 信息系统安全保护等级定级指南(GB/T 22240-2008) 信息安全管理指南 ISO-1335 电气装置安装工程施工及验收规范 GB50254-96 GB50258-96 建筑电气装工程质量检验评定标准 GYT253-88 计算机软件开发规范 GB856-8 终端计算机系统安全等级技术要求(GA/T 671-2006) 信息系统灾难恢
14、复规范(GB/T 20988-2007)4、 产品选型根据招标书要求或者用户需求并结合系统特点,本次项目计算机网络系统的网络设备(包括网管软件、终端安全管理系统)全部选择H3C产品,服务器选择IBM的X3650M2,杀毒软件选择瑞星公司的网络版杀毒软件,数据备份存储系统采用IBM的DS3200磁盘阵列 ,光纤交换机选择IBM的B24,备份存储系统选择爱数。5、 系统设计方案贵单位计算机网络系统设计包括内网:贵单位的内部局域网、电子政务内网、贵单位与上下级单位的互联内网(该三套网之间逻辑隔离);外网:电子政务外网、互联网(该两套网之间逻辑隔离)。该2套网络采用物理隔离方式,确保物理安全。对2.2
15、网络系统需求、服务器及存储备份系统的需求充分分析,内、外建设将从如下方面考虑:内网建设将从网络基础平台建设、网络安全、网络管理、服务器及存储系统四个方面考虑其设计内容。外网建设考虑网络基础平台建设、无线网络、网络安全、网络管理、服务器及存储备份系统五个方面考虑其设计内容。5.1 系统设计原则本方案将为贵单位提供“高扩展、多业务、高安全”的计算机网络方案。系统设计中遵循以下基本原则:l 开放性具备与多种协议计算机通信网络互连互通的特性,确保本MIS网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠
16、定基础。 l 实用性和先进性贵单位的计算网络系统是一个庞大而且复杂的网络,为了保障全网的高速转发,组网设计的无瓶颈性,应能与贵单位现有系统形成无瓶颈的数据交换。同时,系统应采用先进成熟的技术满足贵单位大流量,多业务的需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、语音、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。l 灵活性和可扩展性计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据贵单位不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种
17、通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。l 安全可靠性为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。l 可管理性由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以必须有全面的网络管理方案,实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、迅速确定网络故障等。通过先进的管理策略、管理工
18、具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。5.2 内网设计方案5.2.1 总体设计由于贵单位综合办公楼是新建的6层大楼,其内网涉及内部局域网、电子政务内网、贵单位与上下级单位的互联内网三套网、该三套网络之间实现逻辑隔离(通过核心交换部署千兆防火墙插卡,利用其千兆防火墙插卡具有虚拟防火墙功能,三个虚拟防火墙启用策略限制实现三套网之间的逻辑隔离),目前涉及289个数据信息点的局域网接入,将考虑采用星型拓扑设计分核心、接入层。由于网络可靠性要求比较高,主干采用双核心、双链路设计。核心机房在3楼的内网中心机房。综合办公楼内每层弱电间分别通过2根千兆多模光缆汇聚
19、至3楼内网中心机房。综合办公楼内每层弱电间至桌面是千兆铜缆;内网出口边界各部署1台H3C MSR30-40路由器分别接上级单位、电子政务内网,在2台路由器与两台核心交换之间部署各部署1台H3C SecPath F1000-S,千兆防火墙以透明模式部署做可以做到L2-L4的安全防护。在核心交换上旁挂1台深信服的网络行为审计系统对内网的网络行为进行事前监控,事后审计。在服务器区部署1台IBM的DS3200磁盘阵列实现对政务内网中的数据库服务器数据的集中存储。网络拓扑:5.2.2 网络基础平台设计贵单位内网将采用星型网络拓扑设计,分核心层、接入层;具体设计思路如下:l 核心交换设计:考虑内网信息点较
20、多,内部数据交换量较多,核心交换建议采用2台H3C 的高端路由交换机S7503E,每台配备1块管理引擎,2块1400W交流冗余电源,1块24千兆光口业务板(其中8个是千兆光电复用口)与该综合办公楼内的6台内网接入交换通过千兆多模光缆相连,余下的光口可以用于以后网络拓展使用,其中8个千兆电口(与光口复用)将与该套网内的系统服务器(WEB服务器、数据库服务器、应用服务器)通过千兆铜缆相连;两台核心交换配备12块千兆多模模块分别与该综合办公楼的各弱电间的接入交换机相连,构成千兆主干的用户需求。2台核心交换通过启用VRRP+MSTP(需要另配4个千兆多模模块)实现VLAN数据负载分担,通过这些设计增强
21、了网络的高可靠及稳定性。l 接入交换设计:接入层交换采用H3C S3100-52TP-SI。综合办公楼内部署6台S3100-52TP-SI,综合办公楼内每个弱电间(每层1个弱电间)各部署1台S3100-52TP-SI作为内网接入交换,其分别通过两根千兆多模光缆汇聚至核心机房的两台S7503E上。5.2.3 网络安全设计随着网络的日新月异,网络安全问题日益突出,病毒泛滥、系统漏洞、黑客攻击等诸多问题,将会直接影响贵单位内网的稳定运行、威胁其相关业务的正常运行。如何应对网络安全威胁,确保其信息系统的安全稳定运行,已经是必须关注的问题。考虑到内网的安全性,实现对进出贵单位内网出口的数据包过滤和L2-
22、L4的安全防护,需要在内网的两台核心交换前部署2台H3C SECPATH F1000-S千兆级防火墙,同时通过旁挂部署在该套网核心交换上的网络行为审计系统(深信服的M5100-AC-P)实现对内部局域网用户与电子政务内网、贵单位上下级单位的访问行为进行审计,以便事后发生安全事件、可以取证。对内网的终端用户安全防护,将采用部署1套瑞星网络版杀毒软来实现,所有终端用户的病毒补丁可以通过管理区的瑞星网络版病毒服务器来实现分发、自动更新等。对内网的终端用户的安全管理,可以采用在内网管理区部署1套H3C的终端安全管理系统(配合H3C网络管理系统)的方法来实现,具体可以实现身份认证,病毒补丁、漏洞补丁分发
23、、黑白软件定制、资产管理、终端外设管理等功能。充分的保障了终端用户的安全性。5.2.4 网络管理设计内网要实现拓扑发现、故障告警、端口流量和设备硬件检测、性能报表分析等功能,需要配备1套网络管理系统,为了简化网络管理的工作量,提高工作效率,建议内网部署1套H3C IMC基础网络系统。配备50个网络节点管理。5.2.5 服务器及存储系统设计结合2.3服务器及存储备份系统需求,内网服务器及存储系统设计如下:在贵单位的内网部署4台IBM X3650M2,其中2台服务器做数据库服务器(利用HA软件做双机热备),1台服务器做WEB服务器,1台做应用服务器。2台数据库服务器分别通过光纤HBA卡接IBM D
24、S3200磁盘阵列的双控制器,实现对数据库服务器的数据存储需求。5.3 外网设计方案5.3.1 总体设计贵单位的外网包括电子政务外网、互联网两套网,这两套之间逻辑隔离。目前该套网涉及XX个左右数据信息点的局域网接入,将考虑采用星型网络拓扑设计分核心、接入层。由于网络可靠性要求比较高,主干可以采用双核心、双链路设计。核心机房在3楼外网中心机房。其中心机房与综合办公楼内各弱电间皆通过2根千兆多模光纤连接;各弱电间至桌面是千兆铜缆。在两套网的出口都各部署1台H3C的千兆防火墙SECPATH F1000-S,电子政务外网的出口防火墙主要是做地址转换和L2-L4的安全防护;互联网出口的防火墙(增加SSL
25、 VPN板卡)主要做地址转换、与外联单位的IPSEC VPN互联、外出移动办公人员的SSL VPN互联;服务器区各通过1台千兆防火墙上联两台核心交换,利用千兆防火墙的安全域的划分来限制外网PC对服务群的安全访问;在外网的核心交换与千兆防火墙之间部署1台入侵防御系统(H3C SECPATH T200-A)充分阻断来自内外网的对网站后台数据库的注入扫描攻击、异常字段进行过滤,保障网站的安全性。在服务器区部署4台IBM X3650M2服务器,其中2台作为数据库服务器使用(利用HA软件做双机)、1台作为WEB服务器使用、1台作为备份服务器使用;部署1台IBM DS3200磁盘阵列实现对外网数据的集中存
26、储。部署1台备份存储系统实现对DS3200磁盘阵列、外网终端PC重要数据的备份。利用旁挂部署在核心交换上的无线控制器,组合无线瘦AP的方式实现对互联网部分重要区域的无线覆盖,实现该部分终端用户高速接入的需求。网络拓扑:5.3.2 网络基础平台设计:外网将采用层次化网络拓扑设计,分核心层、接入层。具体设计思路如下:l 核心交换设计:考虑外网信息点较多,内部数据交换量较大,核心交换采用2台H3C 的高端路由交换机S7506E,每台各配置1块24千兆光口(其中其中8端口光电复用),1块交换引擎、2块1400W电源;配备12个千兆多模模块分别与该套网的各个弱电间的接入交换相连。这两台核心交换通过VRR
27、P+MSTP实现VLAN数据负载分担,通过以上设计,可以保障网络的可靠性及稳定性。l 接入交换设计:接入层交换采用H3C S3100-52TP-SI。综合办公楼内部署6台S3100-52TP-SI做外网的接入交换使用。每层一个弱电间,每个弱电间部署1台接入交换;各弱电间通过2根千兆多模汇聚至3楼的外网中心机房;5.3.3 无线网络设计贵单位综合办公楼的3、4层的会议室、走廊,需要采用无线网络覆盖。将采用成熟的无线网络技术作为贵单位综合办公楼3-4楼有线局域网的补充,无线局域网(WLAN )有效地克服了有线网络的弊端,利用PDA 、平板无线电脑和无线终端设备采集数据,智能分析等。通过贵单位综合办
28、公楼信息化建设中对无线网络平台应用模式的综合分析,我们总结出贵单位信息化系统对无线网络平台具体要求包括:l 数据保密性要求高,重要区域数据不能泄密;l 无线网络系统整体安全性要求高,包括物理设备l 系统可维护性要求高,无线网络的维护不能成为贵单位信息科的负担;l 对无线访客的带宽做限制,保障全网带宽。为满足以上要求,贵单位综合办公楼的无线网络建设(3-4层局部覆盖)可采用基于统一管理理念的“瘦AP”无线解决方案。方案由无线接入点、无线控制器和无线网络管理系统(未来考虑)组成。具体部署情况:在3楼核心机房部署1台H3C无线控制器EWP-WX3010-POEP-H3,无线控制器旁挂在两台核心交换上
29、。默认可以管理12个FIT AP。在综合办公楼的3、4楼的2个会议室、2个走廊部署4台H3C EWP-WA2610E-AGN-FIT (支持802.11N),实现无线客户端的300M高速接入。系统采用最新的802.11n无线传输标准协议。在传输速率方面,将WLAN的传输速率由目前802.11a及802.11g 54Mbps,提高到300Mbps甚至高达600Mbps。在覆盖范围方面,802.11n采用智能天线技术,通过多组独立天线组成的天线阵列,可以动态调整波束,保证让WLAN用户接收到稳定的信号,并可以减少其它信号的干扰。系统中无线AP采用无配置管理方式,所有配置全部集中在无线控制器中。无线
30、AP的配置在启动后由无线控制器下发,实现无线网络的集中管理与自动配置,由于无线信号的开放性,易引起各种各样的攻击行为,此时安全问题在建设无线网时必须考虑问题,无线安全主要侧重两个方面:用户安全接入、网络安全加密传输。我们将利用MAC地址过滤、SSID管理、WEP加密、AES加密等多种安全技术来保证无线用户的安全接入及传输。5.3.4 网络安全设计随着网络的日新月异,网络安全问题日益突出,病毒泛滥、系统漏洞、黑客攻击等诸多问题,将会直接影响贵单位外网的稳定运行、威胁其相关业务的正常运行。如何应对网络安全威胁,确保其信息系统的安全稳定运行,已经是必须关注的问题。在电子政务外网、互联网的出口都各部署
31、1台H3C的千兆防火墙SECPATH F1000-S,电子政务外网的出口防火墙主要是做地址转换和L2-L4的安全防护;互联网出口的防火墙(增加SSL VPN板卡)主要做地址转换、与外联单位的IPSEC VPN互联、外出移动办公人员的SSL VPN互联;服务器区各通过1台千兆防火墙上联两台核心交换,利用千兆防火墙的安全域的划分来限制外网PC对服务群的安全访问;在外网的核心交换与千兆防火墙之间部署1台入侵防御系统充分阻断来自内外网的对网站后台数据库的注入扫描攻击、异常字段进行过滤,保障网站的安全性。根据公安部72号文必须对互联网的上网行为进行审计的规定,如XX政府综合办公外网拓扑所示,建议在互联网
32、出口防火墙与入侵防御系统之间部署1台深信服的上网行为审计网关MA5100-AC-P。对外网的终端用户的安全防护,将采用部署1套瑞星网络版杀毒软来实现,所有终端用户的病毒补丁可以通过瑞星网络版病毒服务器来实现分发、自动更新等。对外网的终端用户的安全管理,可以采用在外网管理区部署1套H3C的终端安全管理系统(配合H3C网络管理系统)的方法来实现,具体可以实现身份认证,病毒补丁、漏洞补丁分发、黑白软件定制、资产管理、终端外设管理等功能。充分的保障了终端用户的安全性。5.3.5 网络管理设计外网要实现拓扑发现、故障告警、端口流量和设备硬件检测、性能报表分析等功能,需要配备1套网络管理系统,为了简化网络
33、管理的工作量,提高工作效率,建议外网部署1套H3C IMC基础网络系统。配备50个网络节点管理。下面简述下H3C IMC智能网管系统:随着网络中的设备,接入用户的增加,迫切需要一种管理系统,能根据业务、设备、用户的扩展增加组件,使得用户、网络、业务能在单一管理平台上统一管理、互相协同、操作简便、满足安全的多种业务、接入管理的需要。H3C公司的IMC智能网络管理系统,采用组件化、模块化设计,随着业务、设备、用户的扩展,添加需要的组件,能很好适应集团对网络管理不断丰富需要。iMC智能管理平台,是在统一了设备资源和用户资源管理的平台框架的基础上,实现的基础业务管理平台,包括iMC基本资源管理部分(不
34、包括在本方案中)、iMC基础网络管理和iMC基本接入管理。本方案实现的具体内容包括:实现拓扑管理、图形化界面设备配置管理(包括有线无线网融合管理、统一界面中实现从拓扑到终端用户的无缝管理)、安全准入。IMC基础网络管理iMC基础网络管理,涵盖了传统网管的主要功能,包括告警管理、性能管理、拓扑管理等。iMC基础网络管理特性主要包括:丰富、实用的网络视图多样化的网络拓扑智能的告警显示、过滤和关联直观的状态监控性能管理用户管理与网络拓扑管理相融合 丰富、实用的网络视图具备丰富的视图功能,使得管理员可以从多个角度观测和管理网络。1) 通过IP视图,用户可以观测网络的逻辑结构和物理结构。2) 设备视图,
35、使得用户对网络中设备类型和数量一目了然。3) 自定义视图,使用户可以按照任何希望的方式构造客户化的网络拓扑。并提供直观简便的预览功能,集中监控用户关心的重点设备和接口的状态。 多样化的网络拓扑拓扑更加美观清晰,能够实时显示当前视图的拓扑状态。通过在拓扑上浮动显示设备、链路的基本信息和CPU、链路流量等性能信息,管理员可以在拓扑界面中方便的对网络中的设备以及相关链路进行监视,拓扑上提供了常用的Ping、telnet、TraceRT、打开设备Web网管和管理/不管理设备等常用操作和相关链接,拓扑可以作为管理员管理网络的唯一入口。1) 提供完整的IP拓扑、二层拓扑、邻居拓扑,能够显示接入设备上的接入
36、情况。2) 用户可以根据实际组网情况,定义自己关注的网络拓扑。3) 在安装了其他组件的情况下,拓扑会增加相应的业务拓扑和操作链接,以满足不同业务的需求。 智能的告警显示、过滤和关联1) 提供丰富的声光告警,还可以针对不同的告警定义不同的操作提 示以及维护参考等;2) 汇总显示发生故障的设备, 方便管理员日常维护工作展。3) 提供重复告警过滤、突发的大流量告警过滤、未知告警过滤和用户自定义规则过滤,可以有效压缩海量网络告警,使得管理员直接关注真正的网络故障。4) 在安装其他组件的情况下,还提供基本告警和业务告警的关联, 5) 在基本告警发生后,系统进行关联分析,自动产生业务告警。管理员即可根据基
37、本告警从而迅速定位问题,缩短平均修复时间。又可根据业务告警,分析出受影响的业务,为网络的现状评估和优化提供数据基础。 直观的状态监控与传统的网管告警和拓扑状态互相分离做法不同,使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上,用户仅需要查看拓扑,即可知道网络的整体运行状态。 性能管理 提供了对系统所管理的各种设备性能参数的公共监视功能,比如内存利用率、CPU利用率、设备不可达率、设备响应时间和接口性能数据等。 可对每一个性能指标设置二级阈值,发送不同级别的告警。用户可以根据告警信息直接了解到设备某指标的性能情况,有助于用户随时了解网络的运行状态,预防网络故障,预测网络发展趋势,合理
38、优化网络。 通过历史监控报表和TopN报表管理员可以快速得到网络中需要关注的设备的详细信息,通过报表的导出和打印功能,管理员能够迅速将网络状况汇总数据上报给各级领导,为网络的决策提供有利的支撑。 用户管理与网络拓扑管理相融合在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。 用户管理与网络设备管理相融合,用户管理操作更加简单 接入设备列表中可以直接看到用户相关信息,在使得操作简单方便的基础上,又提高了操作员日常维护的效率: 可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理
39、等; 可以在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。该功能使得操作更友好,全面提升操作员的操作体验;IMC接入用户管理iMC基本接入管理,主要管理用户的接入准入和控制。主要包括:支持多种接入及认证方式严格的权限控制手段详尽的用户监控集中方便的用户管理为接入设备提供查询设备明细信息的链接接入设备管理与拓扑管理的融合 支持多种接入及认证方式,适合多种接入组网场景及应用场景: 支持802.1x、无线接入等多种认证接入方式; 支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户
40、认证的安全性,防止账号盗用和非法接入; 支持与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。 支持端点准入防御(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略。 严格的权限控制手段,强化用户接入控制管理: 用户权限控制策略,可以为不同用户定制不同网络访问权限; 禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用; 可限制用户IP地址分配策略,防止IP地址盗用和冲突; 可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网; 可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露; 可以限制用户必
41、须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性; 详尽的用户监控,强化对终端用户的监视控制: 接入业务组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源; 管理员可以实时监控在线用户,强制非法用户下线; 支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等; iMC接入业务组件记录认证失败日志,便于方便定位用户无法认证通过的原因; 集中方便的接入业务用户管理,简化管理员维护操作 基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装
42、于服务中,简化管理员的操作,保证网络管理模式的统一; 接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用: 为接入设备提供查询设备明细信息的链接,操作简便:可以通过简单的鼠标点击即可看到接入设备的详细信息,比如,对应的基本信息、告警、性能状况等; 接入设备管理与拓扑管理的融合,使得设备管理更简单,管理更方便: 拓扑中可以清晰的显示出接入设备,并能查看接入设备相关信息,并可以通过很简单的鼠标点击方式,将此接入设备设置为非接入设备。EAD端点准入控制802.1x协议在传统的局域网环境中,只要有物理的连接端口,未经授权的网络设备就可以接入局域网,或者是未经授权的用户可以通过连接到局域网
43、的设备进入网络。这样造成了潜在的安全威胁。另外,在网络中涉及到机密数据,所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药,目前已经被集成到二层智能交换机中,完成对用户的接入安全审核。802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议,其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段,达到了接受合法用户接入,保护网络安全的目的。 802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性,实现了LAN端口上的设备认证。在认证过
44、程中,LAN端口要么充当认证者,要么扮演请求者。在作为认证者时,LAN端口在需要用户通过该端口接入相应的服务之前,首先进行认证,如若认证失败则不允许接入;在作为请求者时,LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃,从而确保最大限度的安全性。我们选择H3C交换机完全支持802.1x协议,H3C交换机在802.1x认证中充当认证系统及认证服务器角色(需要配合IMC平台使用),用户在使用网络前需要经过认证交换机802.1x的认证,即使非法用户有条件盗用合法用户计算机上网,但无法通过交换机的80
45、2.1x认证,也是无法接入网络的。采用H3C设备实现端点准入802.1X与认证服务器、策略服务器、安全代理结合的内网安全防护体系,能够防止非法用户和设备接入网络,防止不符合安全策略的用户对网络产生威胁,例如恶意接入点、病毒库未及时升级、操作系统未打补丁等。5.3.6 服务器及存储系统设计在服务器区部署4台IBM X3650M2服务器,其中2台作为数据库服务器使用(利用HA软件做双机)、1台作为WEB服务器使用、1台作为备份服务器使用;结合2.3.1存储备份系统需求,外网的存储备份系统设计如下:4台服务器分别通过光纤HBA卡与两台IBMB24光纤交换机相连,两台光纤交换机通过千兆短波模块与1台I
46、BM DS3200磁盘阵列相连,构成FC SAN网络,实现对外网服务器区数据的集中存储。另外在外网服务器区部署1台爱数的备份存储系统实现对DS3200磁盘阵列中的关键数据、外网终端PC的重要数据的集中备份。以便在系统遭到病毒破坏、数据损坏、崩溃时可以恢复数据。实现对关键数据的保护。5.4 虚拟园区网技术针对贵单位计算机网络系统设计时,需要考虑引入虚拟园区网技术,来实现业务访问接入和业务访问隔离,有关业务访问接入和业务访问隔离的内容请见下面章节详述。5.4.1业务访问接入实现数据中心虚拟网需求进行分析,不仅不同的用户需要隔离和下发不同的访问权限,同一个用户在不同的情况下也需要下发不同的访问权限,我们称之为用户灵活业务访问模式。针对该需求,结合网络规划设计中交换机设备和EAD的相关特性,可以通过两种方式来实现:GuestVLAN方式和EAD多服务认证方式。n GuestVLAN方式GuestVLAN是指客户认证端口在认证之前应该属于一个缺省VLAN,用户访问该VLAN内的资源不需要认证,但此时不能够访问其他资源。用户经过802.1X认证成功后,又属于用户配置的VLAN,此时用户可以访问其他的网络资源。通过对网络的初始配置,可以限定用户在GuestVLAN中所能访问的
