您的当前位置：首页正文

XX市行政中心网络工程方案,综合布线老师给的施工方案

来源：九壹网

XX市行政中心网络工程方案

3.1、需求分析 ................................................... 2

3.1.1、需求背景分析.......................................... 3 3.1.2、本期建设内容.......................................... 6 3.2、设计原则 ................................................... 7 3.3、设备供应商选择 ............................................. 9 3.4、网络设计 .................................................. 15

3.4.1、网络骨干技术选型..................................... 17 3.4.2、网络结构设计......................................... 20 3.4.3、网络可靠性设计....................................... 26 3.4.4、网络设备选型......................................... 30 3.5、网络部署 .................................................. 33

3.5.1、IP地址规划 .......................................... 33 3.5.2、路由规划............................................. 35 3.5.3、组播业务部署......................................... 39 3.5.4、QoS技术部署 ......................................... 43 3.5.5、网络部署小结......................................... 45 3.6、网络安全及管理 ............................................ 46

3.6.1、网络拓扑及网元管理................................... 46 3.6.2、网络设备密码管理..................................... 48 3.6.3、终端接入安全及管理................................... 51 3.6.4、互联网接入安全及管理................................. 54 3.7、无线局域网技术规划 ........................................ 64

3.7.1、概述................................................. 64 3.7.2、需求分析............................................. 65 3.7.3、无线网络建设方案..................................... 66

3.8、电子政务城域网规划 ........................................ 70 3.9、系统配置清单 .............................................. 73

3.1、需求分析

建设XX新城区，是市委、市政府贯彻落实省委、省政府提出的“三圈、五轴、四个特大城市”重大战略部署，着眼于加快XX都市圈和XX特大城市建设，进一步推动城市化发展，作出的一项具有战略意义的重大决策。XX新城区位于XX旧城区东南八公里外的XX境内，东起XX高速公路，西抵XX，南界XX机场和XX高速公路，北接XX风光带，规划面积50平方公里，其中起步区10平方公里。规划近期人口达到10万，远期可容纳26.6万人生活居住。

XX市行政中心位于建设中的XX新城区，本中心分为A、B、C、D、E五个区域和两个附属楼，总建筑面积约130000平米，地下一层，地下最高九层。

XX市行政中心作为XX市市委、市政府、人大、政协等政府部门办公所在地，是XX市的行政管理中心。它集政府办公、政务会议、应急指挥于一体。

XX市政府抓住XX市行政中心建设的契机，依据国家的指导精神及省政府的相关文件部署，积极稳妥的开展XX市电子政务建设。

XX市电子政务建设的目标为：以规范和创新政府行政行为为主导取向，以加强公众监督和公共服务为基本要求，建成标准统一、结构合理、功能完善、安全可靠的电子政务网络平台；推进政务信息资源库建设，使信息共享程度显著提高；实现重点业务系统互联互通，形成信息安全保障体系；主要业务实现网上办公，为机关、企业和市民提供便捷、高效的信息服务；改善和加强各级政务部门的管理能力、决策能力、应急处理能力和公共服务能力，使全市政务信息化应用水平达到全省先进水平；通过统一的CA认证，把“中国XX”政府门户网站建设成统一的网络平台，既是实现政务部门信息共享和办公自动化的工作平台，又是为社会提供政务信息查询、信息咨询和行政审批等功能的服务平台。

XX市电子政务网络建设包含多方面的内容：

1、电子政务网建设； 2、电子政务安全系统； 3、基础支持系统； 4、应用软件系统； 5、四大基础数据库的建设。

XX市电子政务建设的总体框架由网络、硬件和安全平台、系统软件平台、基础平台、交换平台、政务应用系统、政府门户网站几个层次组成。

本次方案设计的主要是XX市行政中心的电子政务网络方案设计。 XX行政中心电子政务网络主要分为三类：电子政务外网，电子政务内网及机要网，三个网络之间物理隔离，三个网络覆盖范围也不相同，电子政务外网覆盖整个建筑物，包括公共区域；电子政务内网覆盖整个建筑物内部所有需要接入内网的办公室和会议室，保证一定的扩充性；机要网只存在于机要部门办公室和副厅级以上领导办公室。

电子政务外网目前的主要功能是提供给建筑物内工作人员和来访者互联网接入功能，提供一个市民和工作人员访问政府门户网站和其它政府网站的网络平台，提供一个建筑物内工作人员和来访者访问内部不涉密信息资源的网络平台。物理上，该网络由一个有线的以太网和无线局域网构成；逻辑上，该网络由各个部门和其它虚拟局域网互联而成。该网络所有物理端口保持开放，通过端口认证等方式保证用户的合法接入。

电子政务内网全部为有线局域网网络，主要是满足目前在省政务内网上运行的业务需要，并同省电子政务内网相连。

机要网用于各个部门特殊要求的专用网络，这个网络会根据网络的不同有不同的出口，与外网、内网都是物理隔绝的。机要网由相关保密部门组织建设，本次方案仅做简单的讨论，具体由相关部门依据相关规定设计。

综上，本方案设计主要涉及新行政中心电子政务外网和内网的建设规划。

3.1.1、需求背景分析

针对XX市行政中心网络系统的需求，进行进一步分析，以便为网络设计提供真实可靠的信息。

对于任何一个网络系统，分析其应用系统流量模式，对于网络系统的设计和优化是十分关键的。在某一种应用环境下，运行良好的网络系统，在其他应用模式下，有可能性能发挥不好，甚至非常糟糕。所以，针对XX市行政中心网络系统，必须从应用系统对网络的要求出发，力求使网络设计更趋合理。

XX市行政中心网络连接覆盖A、B、C、D、E五个区域，内外网共计近万个信息点。内网和外网的信息点数分布基本上是按照1：1的比例分布，并遵循大外网，小内网的设计原则，信息中心暂定位于C区的三层。

由于本次网络建设是针对新行政中心的局域网进行，为行政中心建立一套新的内部网络系统，因此根据运行在局域网上的应用系统和一些新的应用需求，可以看出在XX市行政中心上运行的以及将来会运行的主要应用系统包括：

公文流转系统办公自动化系统综合信息管理系统公务员电子邮件系统网上行政审批系统视频点播系统视频会议系统其他政务应用系统等。

对于办公自动化系统和其他大部分系统来说，其构成都主要为Client/Server结构，系统流量主要集中在各个应用系统内部，对外部的影响较少。对于这样的系统采用虚拟局域网的技术将大多数流量限制在局部网络中，是非常理想的办法。而对于应用系统的数据流量，要根据其规模的大小，网络在大部分时间内的负载量进行合理地分析，从而对桌面带宽进行适当地配置。

在XX市行政中心的局域网应用中，内部信息的交换与传输将不仅仅是数据的访问，还将涉及实时视频和音频的多媒体数据。对于多媒体应用来讲，除了要提供较高的带宽之外，还应注意网络系统可对这些实时数据流提供优先传送保障，也就是网络要提供一定的QoS能力保障。

通过上述分析，我们可以得出：

网络系统以办公自动化、管理系统等应用为主，数据类型为文件共享、Client/Server数据库操作等。这些数据几乎不要求实时能力，只要保证端到端在响应延时内的可靠传输就可以了。以上应用相对局限在本系统内部，将系统服务器与主要应用终端配置在同一网络中，可以大量减少跨网络的流量，减少网络层不必要的数据转发。但是随着Intranet应用模式的广泛兴起，数据流量经常跨越网络边界，随时在用户关心的资源之间发起，造成全网范围内产生大量不确定流量，因此，在XX市行政中心建设中，跨网络边界的流量同样不可忽视，加强网络间的路由能力也是提供网络性能的重要因素之一。

而视频、语音等实时数据流，它们产生的流量分配不均匀，动态地发生变化，而且当今应用的发展趋势也表明，多媒体必将在网络应用中占主导地位。这就要求网络必须对这些多媒体数据提供有效的支持。各种实时应用要求网络不仅应该具有高速带宽，而且能够根据不同应用数据在“最佳效果”（Best-Effort）的网络上网络提供不同类别的服务，以保证实时多媒体数据和用户规定的高优先级数据能够在要求的时间内发送。

对于XX市行政中心网络其他的功能要求，分析如下：（1）Vlan (Virtual LAN) 划分

对于XX市行政中心网络系统来讲，存在多个不同类型的，彼此关系不是非常紧密的子系统，这些子系统的信息点分布可能集中在某一特定的物理范围，也可能分布在全网范围之内。为了将这些子系统在全网范围内互相隔离以及将同一个子系统的信息点划分到一个逻辑的网络中，采用虚拟网技术是必不可少的。所以要求网络设备必须支持全网范围内的虚拟网划分。此外，通过虚拟网的划分也便于系统今后的变化和发展。

必须采用Vlan的另一个原因是，通过VLAN划分可有效的减小网络广播域，

提供网络利用率。而且在不同的虚拟网络间还可以进行比一般桥上过滤功能强得多的控制能力，加强网络的控制。

（2）第三层交换能力

对于第三层交换能力，因为在网络系统内部进行了Vlan划分，各子网间的数据交换必须通过路由器转发。此外，内部网络带宽的急速增加，网络内部Intranet应用使得大量数据不是限制在网络内部，而是跨越网络边界，传统的路由器不能满足这一日益增长的需要，所以在网络中采用第三层交换技术是十分必要的。

（3）多媒体网

在本网络系统中，要建立一个不光是为数据，而且要为视频、图像等多媒体传输的高速网络通信平台。这要求网络系统必须对多媒体数据由支持能力。这包括两点：一、网络必须能区分这些多媒体数据，并应能保证其优先及时的传送；二、支持视频会议和众多多媒体应用所采用的组播技术。

（4）网络可靠性

网络系统的可靠性是整个网络应用稳定可靠的基础，对于一个大型网络系统，保障设备可靠性和骨干网络不间断的运行是网络设计成功与否的一个关键因素。由于XX市行政中心网络系统需要承载其各个政府部门的应用系统，这些应用系统对网络稳定性、可靠性要求非常高，必须满足在日常工作时间内不间断运行，因此在XX市行政中心系统的设计中，稳定性、可靠性设计是此次网络设计的重要因素之一。增加网络基础结构的可靠性/可用性，对于整个系统来讲是必不可少的。

（5）采用开放的、标准的相应协议

XX市行政中心网络系统的建设是一项长期的工程。况且，网络技术日新月异的今天，新的应用推动网络技术更新的形式已显现出来。为保证与今后新建的网络系统可以互联，必须在系统中采用相关的工业标准。

最终我们强调，系统设计要符合XX新市行政中心现在和未来3～5年内的需求，不能盲目追求大而全，以最少的投资创造实际需要的功能。

3.1.2、本期建设内容

XX市行政中心电子政务网络主要是政务内网和外网的建设，两张网络物理隔离，但规模和结构基本相同，对于总体的系统结构要求必须满足如下条件：

1）实用性、先进性、扩展性和标准化的结合

 面向应用，注重实效，确保网络建设能够切合实际，满足使用要求；  网络体系结构具有开放性，协议遵循国际标准；  具有良好的可扩展性，为系统升级提供一个良好的途径。 2）系统结构合理、安全可靠

系统结构有良好的分层设计，结构清晰合理；从各种方面综合保证网络的可靠性；各种设备易于管理和维护。

XX市行政中心内网和外网建成之后至少应符合以下要求：

1）XX市行政中心采用高性能的交换设备，主干带宽至少不小于1000M，并具有合理的带宽收敛比例；具备虚拟局域网划分和第三层交换能力，支持IP等协议标准；桌面带宽不小于交换100M。

2）网络主干无单点失效，主交换机和重要的汇聚交换机具有多项冗余备份措施，提高网络的可靠性。

以上为XX市行政中心网络系统的功能需求，它描述了应用系统对网络的要求，是我们设计的依据和出发点。通过对这些需求的进一步分析，我们期望得出一个合理的，符合用户实际需要的系统技术要求轮廓。 3.2、设计原则

XX市行政中心网络系统设计将严格遵守各种相关的技术原则，遵循各种相关的技术标准和规范，整个网络系统设计严格按照以下原则进行：

 先进性和实用性

采用先进成熟的技术满足内部应用系统的需求，兼顾其他相关的管理需求，尽可能采用先进的网络技术以适应更高的数据、语音、视频（多媒体）的传输需

要，使整个系统在相当一段时期内保持技术的先进性，以适应未来信息化的发展的需要

 安全性和可靠性

为保证各项业务应用，网络必须具有高可靠性，尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。

XX市行政中心网络系统承载整个XX市党政部门的日常工作应用系统，除了网络在设计上具备安全性，在局域网与其他外部网连接处设置安全网络设备以及在局域网中部署防病毒系统、入侵检测系统等安全应用系统外，所选用的网络设备必须具备多种安全措施保证网络的安全。

 灵活性和可扩展性

计算机网络系统是一个不断发展的系统，所以它必须具有良好的灵活性和可扩展性，能够根据行政中心不断深入发展的需要，方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种应用系统的能力，提供技术升级、设备更新的灵活性。

 开放性和互连性

具备与多种协议计算机通信网络互连互通的特性，确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放，基于开放式标准，包括各种局域网、广域网等，坚持统一规范的原则，从而为未来的发展奠定基础。

 可管理性

由于新行政中心内部局域网本身具有一定复杂性，随着业务的不断发展，网络管理的任务必定会日益繁重。所以在网络设计中，必须建立一套全面的网络管理解决方案。网络设备必须采用智能化，可管理的设备，同时采用先进的网络管理软件，实现先进的管理。最终能够实现监控、监测整个网络的运行情况，合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性，简化网络的维护工作，从而为办公、管理提供最有力的保障。

3.3、设备供应商选择

网络厂商的选择也是一个十分复杂的问题，一旦需求确定，只要设备满足需求，都应该被列为选择对象。对于XX市行政中心计算机网络系统来说，仅从业务需求角度出发，多个网络设备厂商都可进入选择，但什么产品才是最符合本系统的需求呢，单纯从需求入手来检查各种产品还不够，还需要从前述的厂商应该满足的要求全方位比较各厂商。

针对以上对网络设备厂商选择依据的分析，XX市行政中心计算机网络系统设备的选择我们推荐采用著名网络设备厂商华为3Com公司的网络产品和解决方案。这是因为：

1）华为3Com公司是中国国内最大的IP网络设备制造商，实力雄厚，技术领先；

2）提供从边缘到中心的全套产品，产品已在全球实现规模的应用； 3）提供完善的端到端的解决方案； 4）优越的性能价格比；

5）作为根植中国的企业，在国内拥有其他厂商无法比拟的服务和用户培训体系；

6）针对电子政务网络，采用华为3Com公司产品最有最小的安全隐患。其产品在多个重大电子政务项目中使用，并获得好评。下面是已经采用华为3Com公司产品建设的部分电子政务网络案例。

国家部委区域项目名称中共中央组织部专网中共中央组织部内网部委中共中央宣传部内网中共中央宣传部城域网中共中央宣传部广域网中共中央办公厅城域网用户名称中组部中组部中宣部中宣部中宣部中共中央办公厅全国人大信息中心核心网国务院新闻办综合网全国人大信息中心中国日报网站中共中央对外联络部新办公楼信息网中共中央外联部中华人民共和国监察部广安门办公大楼网络中华人民共和国监察部 „„ 省级骨干区域江苏浙江安徽江西广西重庆湖南河南吉林天津山西四川内蒙古项目名称江苏省电子政务内网浙江省电子政务外网安徽省电子政务专网江西政务信息网纵向网广西自治区区电子政务外网重庆市电子政务外网重庆市政府党政专网湖南省电子政务内网河南省电子政务外网河南省电子政务内网吉林省电子政务骨干网天津市电子政务专网山西省电子政务外网四川省电子政务外网内蒙古自治区政府数据网 „„ 用户名称江苏省政府办公厅浙江省政府办公厅安徽省信息中心江西省信息中心广西区经济信息中心重庆市政府重庆市政府湖南省政府办公厅河南省政府河南省政府吉林省政府天津市政府信息化办山西省政府办四川省政府办公厅内蒙古自治区人民政府办公厅地市级党政系统政务网(部分) 区域项目名称苏州市电子政务外网江苏无锡市电子政务内网无锡市电子政务内网镇江市电子政务内网纵向网用户名称苏州市政府信息中心无锡市信息中心无锡市信息中心镇江市政府办镇江市电子政务内网横向网淮安市电子政务外网淮安市电子政务内网盐城市政府行政中心外网盐城市政府行政中心内网连云港市政府行政中心内网连云港市政府行政中心外网连云港市政府行政中心机要网北京市政府数据中心北京市委组织部广域网广东省广州市电子政务内网广东省广州市电子政务外网深圳市龙岗区政务网浙江台州市电子政务网福建省福州市电子政务一期福建省泉州市横向接入网四川省成都市电子政务专网湖北省武汉市电子政务网其他省市湖北省宜宾市电子政务网一期工程河北省邯郸市政务工作网河北省邢台市电子政务网河南省新乡市电子政务网山东省济南市政务网山东省东营市政务网黑龙江省齐齐哈尔市电子政务网络吉林省四平市电子政务网吉林省延边州电子政务网云南省红河州电子政务网贵州省贵阳市党政专网一期贵州省遵义市电子政务网镇江市政府办淮安市信息中心淮安市信息中心盐城市信息中心盐城市信息中心连云港市政府办连云港市政府办连云港市政府办北京市信息办北京市委组织部广州市信息中心广州市政府深圳龙岗区政府台州市政府福州市人民政府泉州市信息中心成都市信息化办公室武汉市信息产业局宜宾市信息办邯郸信息中心邢台市政府新乡市政府济南市信息产业局东营市信息产业局齐齐哈尔市政府四平市政府延边州政府红河州政府贵阳市信息产业局遵义市政府陕西省西安市政府城域网山西省太原市电子政务专网山西省晋城市政府政务网山西省运城市电子政务网 „„ 西安市人民政府太原市政府晋城市政府运城市政府而且，华为3Com公司承建了全国第一个基于MPLS VPN实际应用的电子政务网络：成都市电子政务网，并陆续开通了包括：江西省电子政务网、安徽省电子政务网在内的多个MPLS VPN政务网实际应用，具有丰富的MPLS VPN政务应用经验。

同时，华为3Com公司已经成为业界少数能够提供全线的路由器和以太网交换机以及VoIP产品、视频会议和网络管理产品的厂家，从产品的提供上能够充分满足各种规模的组网和应用的需求。

下面再针对政务网中的厂商选择的几个重要问题加以论述。

（1）从安全性考虑，优先采用国产设备构筑XX市行政中心计算机网络系统。华为3Com公司的所有网络产品均拥有自主知识产权，不存在产品后门漏洞，并且华为3Com的网络产品包括全系列路由器和以太网交换机在国内多个安全性高的行业已得到规模应用，如：国家财政部部、中组部、中宣部、国家安全信息中心、广东高等法院、浙江工行、深圳工行、深圳农行、广东建行、中国银行总行、银河证券和江西政务网、江苏省政府内网、苏州市电子政务网、无锡市电子政务内网、成都市电子政务网等多个行业。

（2）从可靠性考虑，华为3Com公司是国内最大的IP网络设备供应商，有多年从事行业网络，尤其是电子政务网络的设备组网、实施经验。

（3）从市场应用来说，华为3Com公司目前是全球数据通讯领域具有重要影响力的厂商之一，公司持续稳定持续发展，在国内市场占有率位居国产厂商之冠。其产品经受了网上大量应用的考验，并得到了客户的充分信任。

据赛迪顾问（CCID）调查报告：截止到2005年第三季度，华为3Com在中国高端路由器市场占有率达到32.3%，中低端路由器市场市场占有率达到30.2%；在中国高端交换机市场占有率达到40.0%，中低端交换机市场占有率达到37.8%；

目前路由器和以太网交换机累积销售47万余台，其中路由器24万余台，以太网交换机23万余台，成为全球主要的数据通信设备及解决方案供应商。

（4）华为3Com公司具备良好的服务和技术支持，产品售后服务好，健全

的培训体制。在全国建立了30个办事处，30个用服中心，结合华为在各地的合作伙伴，无处不达和便捷的服务，是华为3Com产品得到用户信任的可靠保障。同时华为3Com在每个省会城市都有办事机构，每个地级市都有常驻的专职人员，可以快速响应客户需求。

为了满足不同客户不同层次的培训需求，华为3Com服务公司建立了规范、专业的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。此外，技术支持网站、流动学校和网上认证系统，也是华为3Com培训的特色之处。

（5）任何网络设备的正常运行都必须建立在一个强大完善的网络操作系统的基础之上，华为3Com公司的网络操作系统取名为VRP（Versatile Routing Platform，通用路由平台）。在网络上不同厂家的设备能否正常兼容互通，最大程度上取决于不同设备上的网络操作系统能否支持相同的标准协议。华为3Com VRP是华为3Com公司印度研究所和北京研究所约3000人的集体智慧结晶，具备完全的自主知识产权（这在国内网络设备制造商中是屈指可数的，目前许多国内厂家都采用OEM的方式），支持现今网络中所有最常见、实用的符合国际标准的通信协议，如目前主流的TCP/IP协议栈、在金融领域还大规模使用的SNA/DLSW体系等，摒弃了过时的协议体系（如：在国内早已被抛弃的Appletalk协议等），使得VRP操作系统规模小，故障点和隐患少，占用内存也少，运行效率高，精悍但并不短小，这是华为3Com VRP的最大优势，华为3Com的VRP平台作为一个将IP核心技术与电信级高可靠性软件设计融合为一体的通信平台，已经显示出了独特的优势和强大的生命力。

另外华为3Com公司的VRP操作系统为用户提供免费的功能升级，同时VRP中的各个功能模块不按照特性进行收费。

由此可见，选择华为3Com公司产品可以构建一个安全、可靠、服务良好的高性能价格比的XX行政中心计算机网络系统，这也是我们推荐的主要原因。 3.4、网络设计

网络技术的选择不仅关系到整个网络系统性能的好坏，还涉及到未来整个网络系统如何有效地与新技术接轨和升级的问题。希望一次投入，可以满足和适应

不断发展的应用环境是不现实的。对设计者来讲，XX市行政中心网络技术的选择首先应立足满足于目前的需求，选择一种适当的有发展前途的网络技术。

采用何种技术来构建XX市行政中心的网络系统应考虑如下几个方面：（1）按照新一代局域网络来设计XX市行政中心网络系统；（2）按照模块化、结构化的原则设计，便于扩充和升级；

（3）考虑技术的先进性，但以实用性及技术的成熟性和简易性为主；（4）在网络建成后，提供基本的服务和应用，充分体现和发挥网络的价值与效益。

网络技术选择的关键是考察这种技术是否能够满足用户的需要，并且在一定阶段内是否有扩展能力。当今，局域网络主干技术的选择多种多样，究竟什么是符合XX市行政中心计算机网络系统的技术，需要我们认真考虑。在XX市行政中心网络技术的选择中，根据前述用户需求和分析可以得出需要高速网络技术来满足应用的需要，体现在以下几点：

（1）网络规模

在XX市行政中心网络系统中，内网和外网共包括近万个信息点位，数十台服务器，从可预见的日后增长中可以想象得到整个系统对高速网络的渴求。

（2）应用数据类型

在本次设计中，对视频、图像等多媒体数据有一定的要求。因此需要网络系统在桌面以及核心能够提供足够的网络带宽。除了对带宽的要求之外，更为重要的是，网络必须提供对多媒体数据的支持，传统的尽力服务“Best-Effort”网络体系显然不能满足日益增长的多媒体应用的需要，需要有相应的服务质量保证措施保证多媒体数据的服务质量。

（3）应用发展趋势

现今技术不断变化的情况下，新应用对网络技术和网络带宽增长的推动越来越明显。

（4）Intranet网络模式

毫无疑问，当今在局域网络中最重要的驱动就是Internet、Intranet和Extranet技术。这反映在WEB技术爆炸性的增长，正在根本性地改变着传统的操作方式。此外，还有大量的用户使用传统的应用来满足自己的需求（文件传输，MIS，网络备份等等），制造了稳定增长的网络流量。其结果导致网络流量成几何状的增长并且导致了网络性质的永久改变。

已发生的一个最重要的变化是不可预知的网络流量模式，Intranet流量、越来越少的集中服务器群、组播应用的增加等等。传统的80/20原则已经被丢弃。内部浏览器的使用使得用户能够轻松确定和访问内部的任何信息。流量模式不是决定于物理工作组的配置从而被圈定在一定范围之内，而是受命于哪些服务器有最有价值的页面。这样，大量的流量穿过主干将会形成一条准则。

（5）网络用户要求更高的带宽

网络用户的增长，更多的并发应用，更快的客户计算机以及更快的网络服务器要求局域网段有更高的容量和更快的响应时间。

（6）流量模式向着“任意到任意”的通信模式发展

在局域网络流量模式改变中起作用的因素包括：基于Web技术的应用，数据大集中带来的服务器群集中以及组播技术的采用。当基于Web的技术在局域中被采用来提高能力和信息共享时，流量模式朝着“任意到任意”方向改变，要求更高的网络层的性能。

服务器群集中提供网络管理者以简单的配置，控制和管理。当服务器被集中后，所有的流量必须穿过主干到达服务器并且返回桌面。这就要求主干和网络层有更高的带宽。

组播应用基于谁需要信息并且加入一个组来产生网络流量。成员可以来自局域中的任何地点。当成员加入和离开一个工作组时，改变了多组成员的关系，组的流量将会动态的改变。

这一切都预示着网络主干应该提供更高或更容易扩展的带宽能力。在XX市行政中心中采用高速主干技术，是应用的需要，也是今后应用发展的需要，是必须的。

3.4.1、网络骨干技术选型 3.4.1.1、千兆以太网技术

千兆以太网于1998年6月达成标准，在高速局域网的主干连接方面已经形成统治地位。

从数据链路层上讲，千兆以太网与以太网是相同的；千兆以太网只是在物理层通过结合IEEE802.3以太网和ANSI X3T11光纤通道技术，来使速度达到1Gbps。

IEEE802.3以太网帧格式向后兼容，并支持全双工模式。

目前千兆以太网的规范主要采用三种传输介质：在单模和多模光纤上的长波激光（称作1000 Base LX），在多模光纤上的短波激光 (1000Base SX)，1000Base CX在负载均衡屏蔽的150欧姆铜缆上的传输。IEEE802.3ab委员会测试了利用非屏蔽双绞线传输千兆以太网，该标准已于1999年6月份出台。

千兆以太网标准的公布同样也是给以太网诞生25周年最大的贺礼，让这个技术最成熟、性能价格比最好、用户分布最广的网络技术又有了新的发展契机。这个曾经被定义为只能用于低速桌面级应用的网络技术，如今也迈入高速局域网络的领域。这也是众多以太网用户期盼的结果，它表明有的以太网络无需作任何调整和改变，只是在关键应用或网络瓶颈处将原有的100兆传输速率增加到1000兆，同时提供网络品质服务（QoS）和级别服务（CoS）。而且操作非常简单，无需专门的培训，更不要说会增加网络管理的额外开销。

在当今高速骨干网的选择上，对于XX市行政中心网络系统所采用的技术主要应满足两个基本需要：高速带宽和对QoS的支持能力。

首先，主干带宽和延迟性能对于现今和未来的应用都是十分重要的。传统的80/20原则的翻转，使得现在80％的流量趋向于主干，新的主干设计要求有更高的带宽和交换能力。

其次，一个可扩展的网络结构必须能够处理现今的网络和桌面协议。这样的设想要求网络必须兼容当前的PC，服务器，主机和缆线设施。另外，为了保证平滑的迁移，现存的网络协议必须以某种方式被新建网络所支持。

千兆以太网正如其名称所指示的一样，它是以太网在速率上的一种扩展，它建立在以太网协议之上，可以保证网络协议的兼容性。

QoS能力支持显著增长，作为网络管理者要求某些流量相对于其他流量有更高的优先级访问网络（特别在广域网网络）。对于QoS的选择包括保证的品质服务，在这种情况下，特殊用户或数据流被保证有相应的性能；类别服务（Cos）指提供最好效果的QoS，最终，带宽的增加使得这种竞争不再成为问题。

以太网技术，随着技术的不断进步，也在不断地为支持QoS而努力。最重要的就是802.1P/RSVP和交换机端口具有不同流量级别的多个队列。它可以在传统的“Best-Effort”网络上提供一定的端到端类别服务能力。

综上所述，随着千兆以太网以及相应以太网和IP对QoS支持技术的出现、普及和不断发展，以太网技术在局域网技术中已经形成统治地位。用户也逐渐知道了什么才是自己所最需要的。在XX市行政中心网络技术的选择方面，千兆以太网技术对于两个关键因素——带宽和QoS有着自己的解决方案：

带宽：千兆提供高速带宽，并且向更高速度发展。

QoS：对于QoS来讲，千兆以太网交换设备和IP技术都逐渐在完善着对QoS的支持能力。

所以，在XX市行政中心网络技术的选择上，使用千兆以太网技术有着更大的优势。这是因为千兆位以太网技术有着不可比拟的作为局域网成功关键的特点：

带宽和延迟性能

现存和即将出现的应用要求更高的带宽和较低的延迟。千兆位以太网技术，提供相对廉价的带宽和延迟保证。

兼容现有服务器，计算机和网络设备

对于现今终端用户使用的微机、服务器、以太网网络设备，千兆以太网技术可以很好的兼容这些设备。

对QoS需要的涌现

XX市行政中心的多媒体数据对网络的要求，以太网络设备正在涌现的QoS标准，为用户提供可选的QoS和Cos能力。

产品的有效性和互操作性

有效的产品是网络建设的关键因素，千兆以太网标准于1998年正式形成，相应产品于草案标准时期就已在市场上露面。现在基本上所有的网络设备厂商都推出了成熟的符合标准的网络设备。

目前，千兆以太网一般用在两层结构网络的主干或三层结构网络的支干带宽。

3.4.1.2、万兆以太网技术

万兆以太网技术始于2002年6月802.3ae10GE标准的正式发布。在物理层，802.3ae大体上可以分为两种类型，一种为与传统以太网连接速率为10Gbps的“LANPHY”，另一种为连接SDH/SONET速率为9.58464Gbps的“WANPHY”；WANPHY与SONETOC192帧结构的融合，可以与OC192电路和SONET/SDH设备一起运行。在传输介质方面，802.3ae目前可以支持9um单模、50um多模和62.5um多模光纤。在数据链路层，802.3ae继承了802.3以太网的帧格式及最大/最小帧长度，支持多层星型连接、点到点连接及上述拓扑的组合，充分保证对已有应用的兼容性，对上层应用没有影响，使得升级风险极低。 3.4.1.3、骨干技术选型

随着千兆到桌面的日益普及，万兆以太网技术将会在汇聚层和骨干层得到广泛的应用。万兆以太网技术提供了更丰富的带宽和处理能力，并保持了以太网一贯的兼容性和简单易用、升级容易的特点。

万兆以太网的带宽一般用在城域的骨干网或者三层结构网络中对千兆之干网络的合理带宽汇聚。

XX市行政中心网络为融合多种应用的政务网络，对带宽的要求十分的高，因此，我们采用万兆以太网作为主干网络，以满足内部的数据交换要求。

3.4.2、网络结构设计

对于XX市行政中心网络系统，良好的层次设计为网络的可靠性、网络性能和网络的可扩展性都提供了良好的保障。

目前，网络面临的是不断增长的对性能和可扩充性的需要。除此之外，网络还必须保证提供一些关键特性，例如高可用性、可管理性和灵活性等。随着各个厂家的新产品和新技术的推出，如何设计局域网络和如何满足这些不断增长的需求，已经到了重新审视的时候了。

但是基本的设计原则和在第二层、第三层的交换能力并没有明显改变。主要变化产生在网络设备和技术的选择范围更大，可以支持更多的网络应用，并且能够提升扩充性及可用性。新增加的功能特性应包括QoS、多层服务、主干带宽的提升、增加千兆端口的密度、更强的交换能力等。 3.4.2.1、一般的局域网设计

我们建设的是提供一个高性能的、具有扩充能力的，能为新兴应用提供基础环境的局域网络。许多网络管理员已经采用模块化和可扩充的网络体系结构来解决局域网络设计的方面的挑战。多层局域网络的设计提供了很多优点。包括：

先进的扩充能力；

容错能力：部件更换，提供冗余网络服务；

可预测的流量模式：包括各种条件下（正常工作与故障条件）网络的各种行为。

与设备的冗余能力结合，如热插拔部件，可以提供更大的灵活性和网络增长的潜力。

3.4.2.2、层次划分

根据XX市行政中心需求分析，在XX市行政中心的设计中，将采用多层次的网络体系结构。具体为三个层次：接入层、汇聚层、核心层。

（1）核心层

核心层是网络互联的最高层次，应具有如下能力：  核心设备之间应该具有最高速的链路  比较粗的QoS控制粒度  最高的路由前缀  为网络其他模块提供互联

在新行政中心内部局域网网络系统中，核心层为各区域配线间汇聚层交换机以及服务器汇聚交换机之间提供互联。

（2）汇聚层

汇聚层是核心层和接入层的连接模块，主要功能如下：  细到粗QoS粒度的转换  提供到核心的路由合并  提供到访问层的路由过滤

新行政中心内部局域网网络系统的汇聚层，主要是为各个配线间以及服务器群的中心网络设备提供接入层设备的集中和核心层链路的接入。

（3）接入层

接入层是面向最终用户的设备，主要功能如下：  提供高密度的用户端口  提供许可控制，包括：

安全控制 QoS控制

采用多层网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力；所谓扩充性是指根据实际需要，可以在各个不同层次实现升级和扩充，实现对网络可控的、有序的优化。

在这种体系结构内，接入层为终端用户提供10/100M交换端口，并提供到网络汇聚层的上联链路。

各个楼层的终端设备或局域网络全部通过接入层进入网络系统。

网络汇聚层聚集配线间内所有的接入交换机，提供千兆链路连接到核心层网络中，并采用第二和第三层交换技术来划分网段（工作组），提供故障或问题的隔离，使得核心网络免于外围故障的影响。由于汇聚层设备连接的用户数较多，涉及的虚拟网络（VLAN）信息较多，此次网络方案设计将第三层交换设计在汇聚层上，以提升虚拟网络之间的互通能力。

核心网络层连接各个不同的配线间汇聚层交换机以及服务器汇聚交换机，核心网络设备之间提供冗余的、高带宽的交换数据通道，形成网络的核心结构。核心网络中同时会有第二和第三层交换技术的存在，但第三层交换应占有主导地位。第三层交换有利于网络的规模调整并为新的多址发送应用提供更好的性能和流量路由。同时，将服务器群通过服务器汇聚交换机连接在高交换性能的核心网络中，结合虚网技术，为网络提供更安全、效率更高的应用效果。

根据上述论述，我们认为在XX市行政中心中采用核心、汇聚、接入的三层网络结构有利于网络的扩展和管理。同时，采用100M接入到桌面，千兆网络支干，万兆网络主干的合理带宽收敛。 3.4.2.3、服务器接入网络方案

XX市行政中心服务器数量较多，服务器承载的应用系统丰富，用户访问服务器量较大，随着服务器的千兆接入，需要接入服务器的设备提供大量的千兆接口。如果将服务器直接接在核心交换机上，虽然可以缩短用户访问服务器的路径，但需要核心交换机提供大量高速接口接入服务器群，会急剧增加核心交换机的负担；服务器的增加直接造成核心交换机的扩容，不利于整个网络的稳定；考虑服务器群的安全性，我们还需要在接入服务器的核心交换机上对每一台服务器做安全策略，进行VLAN划分，将急剧的增加核心交换机的管理复杂度。因此建议服务器群采用专门的服务器汇聚交换机进行千兆汇聚，通过服务器汇聚交换机与核心交换机连接。此种组网方式的好处主要体现在：

降低了核心交换机的负担，使得核心交换机管理简单；

扩展性好，增加服务器只用在服务器汇聚交换机上增加接口即可，不用影响XX市行政中心其他网络部分的正常运转；

安全性好，我们可以在服务器汇聚交换机上对服务器进行VLAN以及其他安全设置，也可以很方便的在服务器群汇聚交换机与核心交换机之间增加相应的安全设备以增加服务器群的安全性。

管理容易，对服务器群的网络管理可以在服务器汇聚交换机上进行，而不用考虑XX市行政中心其他部分网络的设置。

服务器汇聚交换机选择2台华为3Com公司高端千兆路由交换机Quidway S6506负载分担工作，每台S6506配置冗余电源、风扇，配置千兆接口实现服务器的汇聚，配置万兆接口与核心交换机之间的连接。

服务器与2台服务器汇聚交换机S6506之间通过千兆链路连接，S6506与2台核心交换机之间通过双万兆链路连接，提高服务器汇聚交换机到核心交换机之间的带宽；2台S6506之间通过千兆链路连接并运行VRRP协议，将服务器根据所承载的业务系统不同分为两个群组，每台服务器均通过GE链路连接到2台服务器汇聚交换机S6506上，通过VRRP协议实现服务器汇聚交换机的负载分担。 3.4.2.4、网络拓朴

依据前述分析，XX市行政中心外网的拓扑结构如下图所示：

XX市行政中心内网的拓扑结构如下图所示：

XX市行政中心机要网的拓扑结构如下图所示：

3.4.3、网络可靠性设计

XX市行政中心计算机网络的可靠运行要求，对XX市行政中心网络的可靠性提出了很高的要求。特别随着各党政群部门的信息化、数字化办公的逐步深入开展，可以说一旦网络或服务器等中断，将会使整个办公陷于瘫痪，引起严重的后果。因此在网络的设计实施中必须对网络的可靠性进行详尽的考虑和设计。网络系统的可靠性由两个大部分组成，即承载网络的可靠性和应用系统的可靠性。应用系统的可靠性主要由服务器、存储设备、应用程序、数据库等的可靠性构成；承载网络的可靠性则包括网络拓扑组网结构的可靠性及组网设备可靠性，下面对本次XX市行政中心承载网络的可靠性设计进行说明。 3.4.3.1、设备可靠性设计

网络核心节点设备的可靠是确保整个网络的有效运转的关键所在。要保证XX市行政中心的可靠性，必须要选用具备电信级可靠性的网络设备进行组网，才能使网络具有自动恢复能力、降低人工维护工作，达到电信级的可靠运行。

要实现设备的可靠性，应考虑如下内容： 1)网络关键设备必须具有电信级可靠性；

2)网络中的关键设备，如核心路由器、核心交换机等，应该具备电信级可靠性：

3)可靠性指标必须达到99.999%；

4)网络核心设备采用全分布式体系结构，路由与转发分离；

5)所有关键器件，如主控板、电源等都采用冗余设计，业务模块支持热插拔； 6)网络核心设备支持不间断转发，主控板热备份。主备倒换过程不影响业务转发，不丢包。

本期采用的核心设备华为3Com公司的S8500系列高端路由交换机具有以下可靠特性：

1、采用分布式体系结构

在核心节点的高性能路由交换机S8500采用分布式体系结构，与集中式体系

设备相比较，分布式体系设备除性能可以通过插入更多的接口处理板提高整体性能外，更为关键的是将管理、路由转发、接口处理等功能分配在不同的部件上，协同工作，分布式体系可以分散故障风险、隔离故障、提供冗余配置，提高系统的自动恢复能力；如管理部件故障，只需要更换这部分板件，不影响其他功能。

2、关键部件冗余：

核心网络设备采用分布式体系下，对设备的关键部件，进行冗余构造配置，保证系统在工作中不会全部失效。

3、实时热备份机制：

在系统软件及硬件的支持下，关键部件在发生故障能自动启动备份系统，而且主备之间的切换要能够实时热倒换，即运行中即使发生设备故障切换也不会对网络业务造成影响。

4、热插拔特性：

核心网络设备任意单板均支持热插拔特性，保证系统出现故障需要维护，或系统需要升级扩展时，不需要停机处理，保证网络的7×24小时不间断运行。

5、冗余电源支持：

核心路由器能提供冗余电源负载分担及备份供电，保障系统具有可靠的能量源。

6、散热系统：

网络设备的散热系统使设备能够长时间稳定运行而不至因为系统升温过高出现故障，冗余风扇等散热装置可以增加设备的运行时间及减少故障发生。 3.4.3.2、拓扑可靠性设计

XX市行政中心从网络结构上保证可靠性、冗余性：

1)核心节点两台路由交换机采用双冗余备份方式，确保了核心网络的可靠性与健壮性；

2)采用星型的双归属网络拓扑结构，可以保证在任何一个链路出现故障时，

都不会中断全局通信，从网络拓扑结构上确保了网络具有很高的可靠性；

3)在故障出现的时候，通过动态路由协议等机制，保证网络数据自动迂回切换到连通的线路上，保证通信的正常进行。

配合星型双归属，网络中采用VRRP来实现双核心的可靠性。

虚拟路由冗余协议 Virtual Router Redundancy Protocol (VRRP)在国际标准 RFC3768定义，被众多网络设备厂商所支持。虚拟路由冗余协议对共享多存取访问介质（如以太网）上终端IP设备的默认网关(Default Gateway)进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。

在VRRP协议中，有两组重要的概念：VRRP路由器和虚拟路由器，主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端使用者系统是透明的。

VRRP工作原理：

一个VRRP路由器有唯一的标识：VRID，范围为0—255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。

VRRP控制报文只有一种：VRRP通告(advertisement)。它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期

性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。

在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

为了保证VRRP协议的安全性，提供了两种安全认证措施：明文认证和IP头认证。明文认证方式要求：在加入一个VRRP路由器组时，必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。

VRRP部署应用：RTA、RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。

在VRRP应用中，RTA在线时RTB只是作为后备，不参与转发工作，闲置了路由器RTA和链路L1。通过合理的网络设计，可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组：在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1的默认网关设定为RTA；H2、H3的默认网关设定为RTB。这样，既分担了设备负载和网络流量，又提高了网络可靠性。

XX市行政中心网络设备选型中，采用的核心网络设备S8500支持VRRP，可以实现核心的高可靠和冗余拓扑。 3.4.4、网络设备选型

依据前述对设备供应商和产品选型定位，我们推荐采用下列设备构建XX市行政中心计算机网络系统。 3.4.4.1、外网设备选型

核心交换机：华为3Com Quidway S8512 汇聚交换机：华为3Com Quidway S5624F

接入交换机：华为3Com Quidway S3952P-SI、S3928P-SI 数据中心汇聚交换机：华为3Com Quidway S6506 无线AP：华为3Com Quidway WA1208E-DG 出口路由器：华为3Com Netengine 20-4 出口防火墙：华为3Com SecPath 1800F 入侵防御系统：华为3Com UnityOne 1200 IPS 业务系统软件：Quidview、CAMS、XLog等

3.4.4.2、内网设备选型

核心交换机：华为3Com Quidway S8512 汇聚交换机：华为3Com Quidway S5624F

接入交换机：华为3Com Quidway S3952P-SI、S3928P-SI 数据中心汇聚交换机：华为3Com Quidway S6506 出口防火墙：华为3Com SecPath 1800F 业务系统软件：Quidview等

3.4.4.3、机要网设备选型

依据招标文件要求，机要网仅做设计参考，设备预算不包含在本次项目预算中。

机要网交换机：华为3Com Quidway S6506R。

3.5、网络部署 3.5.1、IP地址规划

IP地址的合理规划是网络设计中的重要一环，计算机网络必须对IP地址进行统一规划并得到实施。IP地址规划的好坏，影响到网络路由协议算法的效率，影响到网络的性能，影响到网络的扩展，影响到网络的管理，也必将直接影响到网络应用的进一步发展。

IP地址空间分配，要与网络拓扑层次结构相适应，既要有效地利用地址空间，又要体现出网络的可扩展性和灵活性，同时能满足路由协议的要求，以便于网络中的路由聚类，减少路由器中路由表的长度，减少对路由器CPU、内存的消耗，提高路由算法的效率，加快路由变化的收敛速度，同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则：

唯一性：一个IP网络中不能有两个主机采用相同的IP地址；

简单性：地址分配应简单易于管理，降低网络扩展的复杂性，简化路由表项；连续性：连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率；

可扩展性：地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址的连续性；

灵活性：地址分配应具有灵活性，以满足多种路由策略的优化，充分利用地址空间。

主流的IP地址规划方案分为纯公网地址、纯私网地址和混合网络地址三种。当网络以私网地址分配或采用混合网络地址接入时，网络应提供地址变换功能（NAT），过滤掉私网地址。 3.5.1.1、外网IP地址规划

建议外网采用私网IP地址，由于省电子政务外网还未建成，未全省统一规划IP地址段分配，可选用A类私有地址段：10.0.0.0/8。

建议采用静态地址分配方案，即给每台主机分配一个固定的地址。

建议根据部门和权限划分，为不同的业务分配一段连续的IP地址，便于业务的区分。

设备Loopback地址的分配，各种三层设备的Loopback地址的使用，在不同的方面都需要它的参与，对于内部路由协议的正常运行，整个网络的正常运行，有着至关重要的作用。因而对于各个路由器设备的Loopback的分配和管理，应当采取统一的专有地址空间。通过为所有的设备分配一个专有的地址空间，能够更为有效地进行路由器设备的路由配置和管理，以及方便今后的故障的诊断和排除。Loopback地址分配采用32位掩码的原则。

设备间互连地址的分配，设备间互连的IP地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个路由器之间的连接。因而从这个角度上讲，这部分的地址空间的分配应当考虑以下的方面：

（1）尽可能以分层次的方式为他们分配地址。

由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。

（2）提供足够的预留空间，以满足今后新增链路的需要。

同一区域(area)内的设备互联地址连续分配，每个互联段分配1个/30的最小地址段。

3.5.1.2、内网IP地址规划

江苏省已经建成了省电子政务内网，并要求所有接入内网的网络，必须依据江苏省电子政务建设协调指导小组颁发的《关于印发江苏省电子政务内网IP地址和域名管理有关文件的通知》的要求，采用32.0.0.0－32.255.255.255的A类地址空间。

依据通知规定，XX市电子政务内网的地址段空间为：32.255.144.0/20至32.255.158.0/23。

具体的IP地址规划可根据实际情况规划。

设备Loopback地址和设备的互联地址规划原则同外网规划。 3.5.1.3、机要网IP地址规划

机要网IP地址规划遵循相关保密部门规定进行。 3.5.2、路由规划

路由是网络中数据从一个点到另一个点的数据流向。路由由组成网络设备的路由协议学习和产生。路由协议是通过提供共享路由选择信息的机制来支持被动路由协议。路由的产生可以由管理员指定，或者由路由器运行动态路由协议而产生。

由管理员指定的路由称为静态路由，它是由管理员手工设置每一个路由器，它的优点是不占用网络的资源，没有路由更新信息所占用的网络开销，缺点是网络中的管理员要对每一条路由都非常清晰地了解，当一个网络变得规模很大时，系统设置很困难。

由路由器动态产生的路由叫动态路由，它是由路由器动行一定的动态路由协议，彼此通告路由信息，然后在此信息的基础上产生各个路由器的路由表，常见的动态路由协议有RIP v1/v2、IGRP、EIGRP、OSPF等协议。

RIP使用广播用户数据报协议（UDP）数据报文的方式把路由表项发送到相邻路由器。因为RIP使用UDP作为其发送机制，所以发送到相邻路由器的路由表更新不能得到保证。路由器间RIP表项的发送缺省是在路由器初始启动后30s。当一个路由器在到另一个已经活动的路由器的连接上变成活动时，这种路由器的“公布”也会出现在路由器之间。

使用RIP的路由器期待在180s之内从邻接路由器获得更新。如果在这段时间内没有收到邻接路由器的路由表更新，则去往未更新路由器的网络路由被标识为不可用，强制把ICMP网络不可到达消息返回给通过未更新路由器而连接的资源请求者。一旦接收更新计时器到达240 s，未更新路由器的路由表项将被从路由表中移去。路由器现在接收到的要到达通过未更新路由器连接的报文，现在可以被重定向到此路由器的缺省网络路径上。

RIP协议的优点：简单，应用广泛，几乎所有的厂商在其网络产品中都提供对它的支持。

它的缺点：整个网络不能超过15跳，采用全网广播来发送路由更新信息在广域网内占用带宽。路由更新不带子网信息，要求连续的子网。

内部网关路由选择协议（ IGRP）是Cisco专有的距离向量路由选择协议，目的在于解决RIP协议的限制。虽然RIP在小型同构网络上工作得相当好，但它的跳数小（16）的特点严重限制了网络的大小下，并且单一的度量（跳数）不能给复杂网络提供有弹性的路由选择。IGRP通过使网络跳数增加到255跳和为满足当今复杂网络路由选择弹性提供而提供的多种度量（链路可靠性、带宽、网络间延迟和负载），解决了RIP的不足。

EIGRP是Cisco 公司拥有的路由协议。EIGRP综合了距离向量协议与链路状态协议的优点。此外EIGRP利用散播更新算法（ Diffusing Update Algorithm，DUAL），从而加快了收敛，并且减少了网络中产生路由环的可能。EIGRP比其他路由协议更有优势的一点是：它不仅支持IP，并且支持Novell NetWare IPX和AppleTalk。因此，减化了网络设计和故障处理。

OSPF用链路状态算法来计算在每个区域中到所有目的的最短路径，当一个路由器首先开始工作，或者任一个路由变化发生，这个配备给OSPF的路由器将LSA扩散到同一级区域内所有路由器，这些LSA包含这个路由器的链接状态和它与邻居路由器联系的信息，从这些LSA的收集中形成了链路状态数据库，在这个区域中的所有路由器都有一个特定的数据库来描述这个区域的拓扑结构。这个路由器于是就运行Diskjtra算法，这个算法利用链路状态数据库在该区域中形成到所有目的的最短路径树，从这个最短路径树中形成了IP路由表。在网络中发生的任何改变将会被链路状态包扩散出去，同时使路由器利用这些新信息，重新计算最短路径树。

依据前述分析，我们建议XX市行政中心计算机网络采用动态路由协议OSPF作为骨干路由协议。

3.5.2.1、外网路由规划

依据前述分析，我们建议外网采用动态路由协议OSPF。具体的部署如下：

3.5.2.2、内网路由规划

依据前述分析，我们建议外网采用动态路由协议OSPF。具体的部署如下：

3.5.2.3、机要网路由规划

由于机要网规模较少，且为单设备汇接形式，我们建议采用静态路由方式。 3.5.3、组播业务部署

在XX市行政中心的应用中，存在大量的多媒体应用，如：网上学习，网上会议，视频资料转播等。

目前针对媒体流等的传输，主要有两种技术：第一种是在一台源 IP 主机和一台目的 IP 主机之间进行，即单播（unicast）；第二种是在一台源 IP 主机和网络中所有其它的 IP 主机之间进行，即广播（broadcast）。如果要将信息发送给网络中的多个主机而非所有主机，则要么采用广播方式，要么由源主机分别向网络中的多台目标主机以单播方式发送 IP 包。采用广播方式实现时，不仅会将信息发送给不需要的主机而浪费带宽，也可能由于路由回环引起严重的广播风暴；采用单播方式实现时，由于 IP 包的重复发送会白白浪费掉大量带宽，也增加了服务器的负载。所以，传统的单播和广播通信方式不能有效地解决单点发送多点接收的问题。

IP 组播是指在 IP 网络中将数据包以尽力传送（best-effort）的形式发送到网络中的某个确定节点子集，这个子集称为组播组（multicast group）。IP 组播的基本思想是，源主机只发送一份数据，这份数据中的目的地址为组播组地址；组播组中的所有接收者都可接收到同样的数据拷贝，并且只有组播组内的主机（目标主机）可以接收该数据，网络中其它主机不能收到。组播组用 D 类 IP 地址（224.0.0.0 ～ 239.255.255.255）来标识。

由前述分析可知，在网络中当有多个PC终端需要调看同一个媒体源时，如果网络采用单播方式，必然占用大量到用户单位处的带宽，同时增加单位接入网络的流量压力。因此，必须采用组播方式减少带宽压力，降低带宽采购的成本。

目前，组播协议分为主机-路由器之间的协议，即组播成员管理协议，以及路由器-路由器之间协议，主要是各种路由协议。组成员关系协议包括 IGMP（互连网组管理协议）；组播路由协议又分为域内组播路由协议及域间组播路由协议两类。域内组播路由协议包括 PIM-SM、PIM-DM、DVMRP 等协议，域间组播路由协议包括 MBGP、MSDP 等协议。同时为了有效抑制组播数据在二层网络中的扩散，引入了 IGMP Snooping 等二层组播协议。

在XX市行政中心政务内外网中，从协议的大量应用和成熟度出发，主要采用的组播技术包括：

域内组播路由协议PIM-SM，组播成员管理协议IGMP，IGMP Snooping 二层组播协议。

与单播报文的转发相比，组播报文的转发相对复杂。一方面，组播路由类型与单播路由不同，是点到多点的一棵路由树；另一方面组播报文转发的处理过程

也有所不同。

在 PIM-SM 域中，运行 PIM-SM 协议的路由器周期性的发送 Hello 消息，用以发现邻接的 PIM 路由器，并且负责在多路访问网络中进行 DR 的选举。这里，DR 负责为与其直连的组成员向组播树根节点的方向发送“加入/剪枝”消息，或是将直连组播源的数据发向组播分发树。

PIM-SM 通过建立组播分发树来进行组播数据包的转发。组播分发树分为两种：以组 G 的 RP 为根的共享树和以组播源为根的最短路径树。PIM-SM 通过显式的加入/剪枝机制来完成组播分发树的建立与维护。

PIM-SM 中还涉及到 RP 的选择机制。在 PIM-SM 域内配置了一个或多个候选自举路由器(Candidate-BSR)。使用一定的规则从中选出自举路由器 (BSR) 。PIM-SM 域中还配置有候选 RP 路由器(Candidate-RP)，这些候选 RP 将包含了它们地址及可以服务的组播组等信息的报文单播发送给自举路由器，再由 BSR 定期生成包括一系列候选 RP 以及相应的组地址的“自举”消息。“自举”消息在整个域中逐跳发送。路由器接收并保存这些“自举”消息。若 DR 从直连主机收到了 IGMP 加入报文后，如果它没有这个组的路由项，将使用 hash 算法将组地址映射到一个候选 RP。然后朝 RP 方向逐跳组播“加入/剪枝”消息。若 DR 从直连主机收到组播数据包，如果它没有这个组的路由项，也将使用 hash 算法将组地址映射到一个候选 RP，然后将组播数据封装在注册消息中单播发送到 RP。

在多路访问网络中，PIM-SM 还引入了以下机制：使用断言机制选举唯一的转发者，以防向同一网段重复转发组播数据包；使用加入/剪枝抑制机制减少冗余的加入/剪枝消息；使用剪枝否决机制否决不应有的剪枝行为。

IGMP 协议运行于主机和与主机直接相连的组播路由器之间，IGMP 实现的功能是双向的：一方面，通过 IGMP 协议，主机通知本地路由器希望加入并接收某个特定组播组的信息；另一方面，路由器通过 IGMP 协议周期性地查询局域网内某个已知组的成员是否处于活动状态（即该网段是否仍有属于某个组播组的成员），实现所连网络组成员关系的收集与维护。通过 IGMP，在路由器中记录的信息是某个组播组是否在本地有组成员，而不是组播组与主机之间的对应关系。

查询组成员响应抑制组成员响应定时查询和特定查询组播网络时开和离告入加动报主IGMP 组播成员管理机制是针对第三层设计的，在第三层，路由器可以对组播报文的转发进行控制，只要进行适当的接口配置和对 TTL 值的检测就可以了。但是在很多情况下，组播报文要不可避免地经过一些二层交换设备，尤其是在局域网环境里。如果不对二层设备进行相应的配置，则组播报文就会转发给二层交换设备的所有接口，这显然会浪费大量的系统资源。IGMP 监听（IGMP Snooping）可以解决这个问题。

IGMP 监听的工作原理如下：

主机发出 IGMP 成员报告消息，这个消息是给路由器的；在 IGMP 成员报告经过交换机时，交换机对这个消息进行监听并记录下来，形成组成员和接口的对应关系；

交换机在收到组播数据报文时，根据组成员和接口的对应关系，仅向具有组成员的接口转发组播报文。

IGMP 监听可以解决二层环境中的组播报文泛滥问题，但要求交换机具有提取第三层信息的功能；其次，要求交换机对所有的组播报文进行监听和解读，这会产生很多的无效工作；此外，组播报文监听和解读工作也会占用大量的 CPU 处理时间。

本期推荐的设备，核心交换机、汇聚交换机均支持PIM-SM/DM，IGMP，接入交换机均支持IGMP Snooping，可实现对组播业务的良好支持。 3.5.4、QoS技术部署

在传统的IP网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出（FIFO）的策略进行处理，它尽最大的努力（best-effort）

将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。

随着IP网络上新应用的不断出现，对IP网络的服务质量也提出了新的要求，传统IP网络的尽力服务已不能满足应用的需要。如VoIP业务，如果报文传送延时太长，将是用户所不能接受的（相对而言，email和FTP对时间延迟并不敏感），为Internet提供支持QoS的能力是解决问题的可行方法。

QoS旨在针对各种应用的不同需求，为其提供不同的服务质量，例如：提供专用带宽、减少报文丢失率、降低报文传送时延及时延抖动等。

目前实现IP QOS主要基于两种模型: IntServ和DiffServ。

Integrated service是一个综合服务模型，它可以满足多种QoS需求。实现这种服务模型需要实现QOS信令，资源预留，服务接入控制，智能队列调度等，并且需要为每个流维护状态，对网络设备的要求非常高，目前尚未进入实用阶段。

Differentiated service是一个多服务模型，它可以满足不同的QoS需求。与Integrated service不同，它不需要信令，即应用程序在发出报文前，不需要通知路由器。对Differentiated service，网络不需要为每个流维护状态，它根据每个报文指定的QoS，来提供特定的服务。可以用不同的方法来指定报文的QoS，如IP包的优先级位（IP Precedence)，报文的源地址和目的地址等。网络通过这些信息来进行报文的分类、流量整形、流量监管和排队。

相对而言，DiffServ模型更具可行性，是目前IP网络采用的主流QOS模型。 Differentiated service一般用来为一些重要的应用提供端到端的QoS。它通过下列技术来实现：流量监管，流量整形，报文标记，队列技术，拥塞避免技术等。

通常在DiffServ网络时，在网络接入层或汇聚层，按照特定的策略，对报文进行流量监管，防止接入用户过渡实用网络，同时对报文进行分类，并根据分类结果在报文中打上优先级标记; 在网络的骨干层，根据报文携带的优先级标记及QOS策略对报文进行队列调度，同时也可以采取一定的拥塞避免措施来减少网络拥塞。在某些设备的输出接口，可能还要进行流量整形，以减少网络报文的丢失。

业务是由网络承载的，离开了高品质的IP基础网络，QoS技术无法落地，

保证多种业务的服务质量就成了镜花水月。根据中华人民共和国通信行业标《IP网络技术要求－－网络性能参数与指标》中规定：进行多媒体传输（视讯业务），网络性能要求达到1级或1级以上。中华人民共和国通信行业标准《IP网络技术要求－－网络性能参数与指标》中规定的网络性能等级参数为： Qos等级默认值 0级 150ms 50ms 1/1000 默认 1级（交互式） 2级（一般模式） 3级（U级） 400ms 50ms 1/1000 默认 1s 1s 1/1000 默认 U U U 默认网络延时上限未规定延时抖动上限未规定丢包率上限未规定包误差率上限 1/10000 由于网络的容量是有限的，所以满足以上指标的业务流量也是有限的。为此，从网络的可运营性来说，只有给出满足以上指标的极限业务容量（等效最大并发用户数），才能确实保证用户的服务质量。

在高品质的IP网络基础上，实施合理的QoS策略，才能真正保证端到端所有业务的QoS。

为了提高QoS服务质量和转发效率，端到端QoS要求在最接近数据源端的设备上识别数据流并根据统一的业务模型进行标记，之后的各个节点信任数据流的标记并根据标记进行QoS处理，保证QoS服务质量。在整个端到端连接上都可以遵循的标记DSCP。为了保证核心层网络的带宽和转发性能，尽量在最接近数据源端的设备上作流量限速。在保证合理流量的基础上防范攻击。

LAN网络的组网特点是大量的以太网交换机的部署，这就使得局域网的QoS部署具有如下特点：

以太网的带宽资源丰富；

交换机的QoS功能较为简单（相对于路由器），不能做复杂的QoS处理。对于语音、视频业务而言，以太网带宽资源丰富，语音报头压缩、LFI等复杂的QoS处理可以不做，而且不多数交换机也做不到。最重要的QoS处理就是保证语音、视频流的优先发送，但同时需要注意对语音、视频流进行限速，否则会严重影响其它数据流的正常转发。

因此，在局域网中网络QoS的处理流程主要包括：

1、在接入层识别业务并标记DSCP。在LAN接入端，能够正确识别语音、视频业务是关键。针对不同的设备、不同的应用程序需要不同的识别方式。简单说就是接入层的识别模式。

2、在接入层上行口利用PQ保证语音、视频业务的优先发送，同时保证合理的带宽分配。

3、汇聚层在信任DSCP标记的基础上，并利用PQ保证语音、视频业务的优先发送，同时保证合理的带宽分配。

4、核心层在信任DSCP标记的基础上，并利用PQ保证语音、视频业务的优先发送，同时保证合理的带宽分配。 3.5.5、网络部署小结

（1）我们建议采用固定地址分配方案，外网采用私有IP地址段，内网采用符合省电子政务内网规划的地址段，合理的考虑和分配设备Loopback地址和互连地址；

（2）我们建议外网和内网均采用OSPF动态路由协议作为网络骨干路由协议；

（3）我们建议在局域网中，部署PIM-SM、IGMP和IGMP Snooping组播技术；

（4）我们建议在具有良好业务带宽的同时，适当部署QoS策略，保障未来语音和视频业务。 3.6、网络安全及管理 3.6.1、网络拓扑及网元管理

方案中采用华为3Com公司的Quidview网络管理软件。Quidview使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。

3.6.1.1、网络集中监视

Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。

1)全网设备的统一拓扑视图

2)拓扑自动发现，拓扑结构动态刷新

3)可视化操作方式：拓扑视图节点直接点击进入设备操作面板 4)在网络、设备状态改变时，改变节点颜色，提示用户

5)对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现在网络视图上

6)支持拓扑过滤，让用户关注所关心的网络设备情况

7)支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象 3.6.1.2、故障管理

故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。

1)告警实时监视，提供告警声光提示，支持外接告警箱 2)支持告警转到Email、手机短信

3)支持告警过滤，让用户关注重要的告警，查询结果可生成报表

4)支持告警基级别重新定义，支持告警转存，保证系统的运行效率和稳定性 5)支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象 6)支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等

3.6.1.3、集群管理

针对本次组网中大量二层交换机等低端设备的应用环境，Quidview网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。

1)实现对一组设备统一、集中、批量配置管理； 2)实现设备的集中维护管理；

3)网络拓扑信息自动收集、维护，动态更新； 4)节省公网IP地址资源；

5)实现方便的软件升级、配置数据备份、配置数据恢复； 3.6.1.4、流量性能监控

Quidview网络管理软件可以统计不同线路的利用情况，不同资源的利用情况，为优化或扩充网络提供依据。Quidview提出了层次化性能监控的概念，针对不同的侧重点，提供不同的性能监控工具。

Quidview网络管理软件提供Traffic View工具，能够检测网络设备端口流量变化，它使得网络管理者能够直观地观测设备流量的变化，从而对网络设备进行有效的管理。

3.6.1.5、故障定位与地址反查

针对最为常见的端口故障，Quidview网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。

为了网管工作自动化，网络设备内嵌智能Agent，对需要经过复杂计算的性能数据主动进行监视，在超出阈值时自动上报告警，并转发到Email、BP、手机短信及时通知网络管理员，让网络管理员随时随地监控网络运行状况。

3.6.1.6、WEB特性

提供Web特性，具有完善的安全机制，用户可随时随地管理网络，降低管理网络的难度与强度，使网络运维过程流程化，能够灵活地组织设备集合，快捷地获得设备各类信息。

1)提供设备日志分析工具，使用户及时了解网络中设备运行状况。 2)通过定期轮询机制，帮助用户及时了解网络关键设备的在线情况。 3)提供批量配置功能，将用户从烦琐，重复的配置工作中解脱。

4)提供设备配置文件管理功能，帮助用户建立配置文件版本管理机制，减少灾难情况下网络的恢复时间。

5)具有完善的报表功能，让用户对网络运行情况一目了然。 6)提供统一的任务机制，使用户对网络运维管理能够统一流程。 3.6.2、网络设备密码管理

XX市行政中心计算机网络系统全网庞大，且路由器，交换机众多，如果按照传统的Telnet访问的方式，需要自己建立一个维护各设备用户名和密码的数据库，而依据密码管理的经验，一般3个月左右需要更改一次密码。而传统的方式下，修改、更换均不方便。

华为3Com路由器及交换机等网络设备支持多种登录验证的方式，用户登录路由器时，系统会对用户的身份进行认证。对用户的认证有3种方式：不认证、Password认证、AAA认证。不认证即不需用户名和口令，就可登录路由器。为安全起见，不认证方案是不可取的。Password认证只需口令，不需用户名，可以获得一定的安全性。AAA的本地认证需要用户提供用户名和口令，AAA认证方案通常需要AAA服务器的配合。

建议使用华为3com CAMS统一认证平台，对全网设备的用户名密码进行管理。所有的用户名密码都到远端的RADIUS服务器认证后才能登陆设备。

下面是CAMS管理密码的一些GUI界面。（1）设备管理用户

设备管理用户面向的是网络管理员，是为了方便管理员管理网络上的网络设备而设置的用户。主机上相关应用的用户名、密码保存在CAMS系统中，用户使用相关应用时通过CAMS进行认证。

单击系统菜单树中的[用户管理/设备管理用户]菜单项，将进入如图所示的设备管理用户窗口：

图设备管理用户窗口

1、增加设备管理用户：

单击窗口中的<增加>按钮，将进入如图所示的用户开户窗口：

图用户开户窗口

窗口上半部分为用户以及应用的相关信息，下半部分为绑定信息。如图所示，增加一个用户admin，设置了主机的起始、结束IP地址，并设置了服务类型为

Telnet。那么用户就可以通过用户名admin以及对应的密码对IP地址范围在10.153.10.10～10.153.10.20的主机进行Telnet操作了。

为了增加安全性，还可以对设备管理用户的使用设置绑定信息，如上图所示，只有通过IP地址为10.153.1.2的接入设备的端口2才能Telnet到对应的主机。

2、查询用户详细信息：

单击设备管理用户窗口中用户列表对应的“详细信息”链接可以查询该用户的详细信息。

3、删除用户：

单击设备管理用户窗口中用户列表对应的“删除”链接，经过确认可以删除该用户。

4、修改用户：

单击设备管理用户窗口中用户列表对应的“修改”链接可以修改除用户名以外的相关信息。

3.6.3、终端接入安全及管理

随着基础网络平台建设的逐步完善，如何提供安全的资源共享，有效的对访问资源的人员进行安全管理，已变成网络管理人员越来越关注的焦点。目前，网络管理人员关注的问题主要有以下几个方面：

谁是你可信赖的用户？这些用户应该看到什么？

他们允许在网络的资源上用到什么？他们是否可以接入到信息资源？他们什么时候可以获得操作权？

怎么管理这些移动的或分散于全省各地的用户？

这些用户对网络资源的访问是否符合省局所设定的安全规范？ ……

为了解决现有网络安全管理中存在的不足，应对网络安全威胁，华为3Com公司推出了端点准入防御（EAD）解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。

EAD解决方案提供网络安全管理的平台，通过整合孤立的单点防御系统，加强对用户的集中管理，统一实施网络安全策略，提高网络终端的主动抵抗能力。其基本原理图如下：

架构端点安全客户端防病毒插件认证插件补丁管理插件设备层安全联动设备控制层安全策略服务器隔离区第三方服务器其他插件安全客户端平台CAMS服务器防病毒服务器，补丁服务器等第三方软件流程身份认证(用户名、密码、MAC、VLAN)安全认证(病毒库版本、补丁、安全设置)策略实施(访问策略、QoS策略、安全设置)非法用户拒绝接入不合格用户进入隔离区，进行补丁升级、病毒库升级为合格用户提供个性化服务 EAD基本原理:

EAD系统由四部分组成，具体包括安全策略服务器、安全客户端平台、安全联动设备和第三方服务器。

安全策略服务器是EAD方案中的管理与控制中心，是EAD解决方案的核心组成部分，实现用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。目前华为3Com公司的CAMS产品实现了安全策略服务器的功能，该系统在全面管理网络用户信息的基础上，支持多种网络认证方式，支持针对用户的安全策略设置，以标准协议与网络设备联动，实现对用户接入行

为的控制，同时，该系统可详细记录用户上网信息和安全事件信息，审计用户上网行为和安全事件。

安全客户端平台是安装在用户终端系统上的软件，该平台可集成各种安全厂商的安全产品插件，对用户终端进行身份认证、安全状态评估以及实施网络安全策略。

安全联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。CAMS综合接入管理平台作为安全策略服务器，提供标准的协议接口，支持同交换机、路由器等各类网络设备的安全联动。

第三方服务器为病毒服务器、补丁服务器等第三方网络安全产品，通过安全策略的设置实施，第三方安全产品的功能集成至EAD解决方案种，实现安全产品功能的整合。

EAD原理图示意了应用EAD系统实现终端安全准入的流程：

用户终端试图接入网络时，首先通过安全客户端上传用户信息至安全策略服务器进行用户身份认证，非法用户将被拒绝接入网络

合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本等信息是否合格，不合格用户将被安全联动设备隔离到隔离区

进入隔离区的用户可以根据网络安全策略，通过第三方服务器进行安装系统补丁、升级病毒库、检查终端系统信息等操作，直到接入终端符合网络安全策略

安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务

端点准入防御系统（EAD）具有如下功能特点：

完备的安全状态评估

用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态进行评估，使得只有符合安全标准的终端才能正常访问网络

实时的“危险”用户隔离

系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。

基于角色的网络服务

在用户终端在通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全客户端下发系统配置的安全策略，按照用户角色权限规范用户的网络使用行为。终端用户的ACL访问策略、QoS策略、是否禁止使用代理、是否禁止使用双网卡等安全措施设置均可由管理员统一管理，并实时应用实施。

可扩展的、开放的安全解决方案

EAD是一个可扩展的安全解决方案，对现有网络设备和组网方式改造较小。在现有网络中，只需对网络设备和第三方软件进行简单升级，即可实现接入控制和防病毒的联动，达到端点准入控制的目的，有效保护用户的网络投资。

EAD也是一个开放的解决方案。EAD系统中，安全策略服务器同设备的交互、同第三方服务器的交互都基于开放的、标准的协议实现。在防病毒方面，目前EAD系统已金山、瑞星、江民等多家主流防病毒厂商的产品实现联动。

灵活、方便的部署与维护

EAD方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。 3.6.4、互联网接入安全及管理 3.6.4.1、出口安全网关部署

随着网络技术的普及，网络攻击行为出现得越来越频繁。通过各种攻击软件，只要具有一般计算机常识的初学者也能完成对网络的攻击。各种网络病毒的泛滥，也加剧了网络被攻击的危险。

防火墙是网络系统的核心基础防护措施，它可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击（ping of death, land, syn flooding, ping flooding, tear drop, …）、端口扫描（port scanning）、IP欺骗(ip spoofing)、IP盗用等进行有效防护；并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

在XX市行政中心网络中，我们推荐采用华为3Com公司的千兆NP技术防火墙SecPath 1800F。

Quidway® SecPath 1800F防火墙是华为3Com公司开发的新一代基于网络处理器技术（NP）的硬件高速状态检测防火墙设备，可以作为大型园区的出口防火墙，也可以作为大型园区的内部骨干防火墙。支持外部攻击防范、内网安全、流量监控等功能，能够有效地保证网络的安全；采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持多种日志，提供多种网络安全管理手段；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TP VPN、IPSec VPN；支持RIP/OSPF/BGP/路由策略/路由迭代及策略路由。

Quidway® SecPath 1800F防火墙充分考虑网络应用对高可靠性的要求，融入了电信设备可靠性技术，设备关键部件如总线、电源、散热系统、BootRom等都采用冗余设计；采用互为冗余备份的双电源（1＋1备份）模块，支持交、直流输入电源模块；业务接口卡及风扇、电源支持热插拔，充分满足网络维护、升级、优化的需求。支持双机状态热备，支持Active/Active和Active/Backup两种工作模式。提供机箱内部环境温度检测功能，并支持网管。

随着互联网技术的发展，仅有防火墙是否能够满足对网关处安全问题的防御，答案是否定的。下面让我们从安全防御发展的历史讲起。

从1990开始，随着Internet的快速发展，网络安全的问题也逐步为人们所重视，从最初采用简单的访问控制列表，到部署防火墙来保护周界安全。从1993年防火墙被广泛地部署在各种网络中，如下图所示：

虽然，网络中已部署了防火墙，但是，随着网络的发展，蠕虫、点到点，入侵技术日益滋长并演变到应用层面（L7）的结果，而这些有害代码总是伪装成客户正常业务进行传播，目前部署的防火墙其软硬件设计当初仅按照其工作在L2-L4时的情况考虑，不具有对数据流进行综合、深度监测的能力，自然就无法有效识别伪装成正常业务的非法流量，结果蠕虫、攻击、间谍软件、点到点应用等非法流量轻而易举地通过防火墙开放的端口进出网络，如下图所示：

图蠕虫、P2P等非法流量穿透防火墙

这就是为何用户在部署了防火墙后，仍然遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC都既需要访问Internet又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪，吞噬宝贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞，对公司业务系统的危害极大。

为了能够让防火墙具备深入的监测能力，许多厂商都基于现有的平台增加了L4-L7分析能力，但问题是仅仅将上千个基于简单模式匹配过滤器同时打开来完成对数据包的L4-L7深入检测时，防火墙的在数据流量较大时会迅速崩溃，或虽可以勉强工作，却引入很大的处理延时，造成业务系统性能的严重下降，所以基于现有防火墙体系结构增加深入包检测功能的方案存在严重的性能问题。

另外，由于已经部署的防火墙从能力和性能上都不具备对大量流量进行综合、深入分析的能力，自2000年开始，许多用户在网络中部署了入侵检测系统，即IDS，如下图所示：

图自2000年开始IDS被部署在网络中

IDS确实为防止入侵和控制非法流量具有开创意义，然而，在实际的应用中，用户发现其存在严重不足：

IDS是一个被动的监听者，而不能采取有效的行动立即阻止针对系统漏洞的攻击、屏蔽蠕虫和病毒、防御DOS攻击以及限制P2P等非法应用，当IDS报警的时候，攻击已经发生而损失已不可避免，如下图所示：

图 IDS报告却无法及时阻止攻击

如上文所述，防火墙加IDS的方案虽然能够对局域网网关处的安全威胁作出抵御，但随着时间的推移，无法完成所有的工作。它存在无法识别高层攻击、漏报和误报、响应速度慢、性能不高以及运行维护管理复杂等缺陷，显然这些问题使IT部门无法完成支持日益增长的安全需求的关键任务。在这种充满挑战的环境下，IT部门急需能够保护应用系统、网络基础设施和性能的利器，而能够帮助IT部门实现这些关键任务的解决方案只有主动式入侵防御系统。

主动式入侵防御系统具有如下五个特点：（1）线内操作方式（2）交换机一样的性能（3）高可靠性

（4）精确防御和及时更新（5）良好的可管理性

以上5个特点，能保证用户应对目前的安全挑战而不牺牲性能。

针对上述需求特点，华为3Com的 UnityOne 1200 IPS能够很好的满足该需求。

华为3Com公司的主动入侵防御系统（IPS）是业界的领先产品和解决方案，具有如下特点：

（1）高性能

UnityOne采用业界独有威胁抑制引擎（TSE），其集成了网络处理器（NP）、专用集成电路（ASIC）、现场可编程逻辑阵列（FPGA）的强大功能和处理能力，是能够实现所有入侵防御功能的线速处理引擎。其处理能力高达5G并能够保证处理延迟小于125微妙，完全满足IP话音，关键交易等时延敏感应用的要求。即使有上万条过滤器同时工作，系统的性能也不会降低。

（2）高可靠性

由于IPS部署在数据传输的路径中，所以其必须具有极高的可靠性，否则成为业务的阻断点（自我拒绝服务攻击）。UnityOne提供真正的HA功能，两台以

上设备完全同步并可以同时工作（Active - Active）模式或热备模式（Active - Standby）。即使发生最坏的情况，系统自动恢复时，UnityOne仍可以工作在交换模式，不会成为业务的阻断点。

（3）全面的防御功能

UnityOne支持应用保护、网络架构保护和性能保护，彻底防护各种网络攻击行为：病毒、间谍软件/木马、蠕虫、DOS和DDOS、以及各种入侵行为。UnityOne运用三个独立且互补的入侵防御机制，即弱点过滤器、流量异常过滤器和攻击特征过滤器，这些过滤器功能强大，如弱点过滤器能重组第七层信息以完整检测应用层流量，还可以指定检测条件为应用程序流程（侦测缓冲区溢出攻击对应用程序的异常调用）和通信协议规程（IETF RFC异常攻击侦测）。此外，这些过滤器全部由ASIC和FPGA实现，从而保证了系统的高吞吐量和低时延。

（4）专业的安全团队服务

提供数字疫苗（Digital Vaccine）更新服务，Tipping Point安全专家举世公认，全球超过25万安全管理员订阅了由Tipping Point安全专家主编的SAN@risk的安全漏洞分析报告，同时这些研究成果已用于数字疫苗的开发和生成。数字疫苗被持续地自动发布到每台UnityOne上并完成更新。针对漏洞的数字疫苗起到了虚拟软件补丁的作用，极大地方便了客户对安全漏洞的攻击的防护，而且为用户在真正的服务器上打补丁并测试其对已有补丁和应用的影响争取了时间并为服务器下线维护提供了灵活性，保证客户业务的不间断运营。

（5）物超所值

除完备的入侵防御功能外，UnityOne还支持对P2P、IM（如MSN）、VOIP（SIP, H.323, MGCP）应用的流量管理功能，可以按照客户的要求完全阻断或限制P2P、IM的带宽；解析VOIP协议，保证媒体流的所需的带宽，同时保证IP电话系统的高安全性。总之，为用户提供了丰富的增值应用保护功能。

通过出口防火墙和入侵防御系统的配合，可以很好的防御L3-L7层的安全威胁。

3.6.4.2、出口NAT日志审计

由于XX市行政中心具有大量的用户，不可能全部使用公网IP地址，因此，在使用私网IP地址的情况下，必然需要在互联网的出口处进行NAT（网络地址转换）。但随着NAT设备在网络上的应用，暴露出的问题也就越来越多。例如，某个人的PC机是通过NAT设备后接入了Internet，这个用户在维护某个非法站点，或者访问一些非法站点。在这种情况下，由于这台PC机的IP地址是经过NAT转换的，即使有关部门最后根据IP地址定位追踪这个人，也无法定位具体是从事非法活动的人使用了哪台PC机。在一些企事业单位，诸如这类网上的违法违规行为也屡见不鲜。因此，针对这类的网络安全问题，NAT日志就应运而生。

华为3Com公司的XLog日志服务器可实现NAT日志的功能。

XLOG与支持NAT日志的设备对接，设备将NAT日志发送到XLOG服务器，XLOG对接收到的日志进行过滤、聚合等处理。通过NAT日志，能够得到经过NAT转换前的源IP地址、源端口，以及经过NAT转换后的源IP地址、源端口，以及源IP所访问的目的IP、目的端口、协议号、开始时间、结束时间等关键信息，管理员通过XLOG可审计到通过NAT设备接入的某个源IP访问网络的情况。

3.6.4.3、出口流量管理

目前，P2P应用逐渐兴起，并对出口的带宽管理带来的巨大的挑战。在国内，P2P的应用主要是BT类软件的应用。

BT：BT是一种用来进行文件下载的共享软件，全名叫\"BitTorrent\"。BitTorrent是一个多点下载的源码公开的P2P软件，使用非常方便，就像一个浏览器插件，很适合新发布的热门下载。其特点简单的说就是：下载的人越多，速度越快。

一般来讲，下载是把文件由服务器端传送到客户端，例如FTP，HTTP，PUB等等。工作原理如下图：

但是这样就出现了一个问题，随着用户的增多，对带宽的要求也随之增多，用户过多就会造成瓶颈，而且搞不好还会把服务器挂掉，所以很多的服务器会都有用户人数的限制，下载速度的限制，这样就给用户造成了诸多的不便。

但BT就不同，用BT下载反而是用户越多，下载越快，这是为什么呢？因为BT用的是一种传销的方式来达到共享的，工作原理如下图：

BT首先在上传者端把一个文件分成了Z个部分，甲在服务器随机下载了第N各部分，乙在服务器随机下载了第M个部分，这样甲的BT就会根据情况到乙的电脑上去拿乙已经下载好的M部分，乙的BT就会根据情况去到甲的电脑上去拿甲已经下载好的N部分，这样就不但减轻了服务器端得负荷，也加快了用户方（甲乙）的下载速度，效率也提高了，更同样减少了地域之间的限制。比如说丙要连到服务器去下载的话可能才几K，但是要是到甲和乙的电脑上去拿就快得多了。所以说用的人越多，下载的人越多，大家也就越快，BT的优越性就在这里。而且，在你下载的同时，你也在上传（别人从你的电脑上拿那个文件的某个部分），所以说在享受别人提供的下载的同时，你也在贡献。

由此可见，BT改变了以往网络流量逐渐收敛的模型。局域网内部的员工大量使用BT软件，将极大的占用出口的带宽，并最终导致正常业务难以开展。因此，需要考虑对出口流量进行管理。

对出口流量的管理，最突出的是对BT类软件的限制上。目前，BT限流的解决方案主要有两种。

方法一，利用客户端与客户端连接的端口号：

BT实现中，提供了一个端口范围（6881～6889），如果通过这个范围的所有端口来现流，一些运营商曾采用这种方法来封杀BT。这种方法在前期一定程度上是可用的；因为：BT的官方网站提供了一个默认的监听端口范围（6881～6889）。但是，这种方法比较片面，因为通过一定的技术手段可以改变这个端口范围（网上有）；另外，BT的客户端较多，它们所采用的端口范围及实现方式各

不相同（见下表）。

BT客户端贪婪ABC BitComet BitTorrent Plus BitTorrent 比特精灵Bit Spirit 端口范围可以手工设置没有公开可以手工设置 6881～6889 16881 所以，采用这种方来对BT进行限流效果不是很好。方法二，基于深度业务感知－对协议进行分析：

对所有的 IP 包都进行检查，如果 IP 包的数据区包含 BT 对等协议的特征“BitTorrent Protocol”（BT协议规定），那么可以标识这是一个BT流，标识了以后，就可以采取相应的措施（CAR）对它进行限流。

目前，华为3Com公司的NE20系列、TP IPS系列和SecPath1800F防火墙均可以对包含 BT 对等协议的特征进行分析，从而对相应数据流进行限制。 3.7、无线局域网技术规划 3.7.1、概述

无线局域网（WLAN）技术于20世纪90年代逐步成熟并投入商用，既可以作传统有线网络的延伸，在某些环境也可以替代传统的有线网络。无线局域网具有以下显著特点：

1）简易性：WLAN网桥传输系统的安装快速简单，可极大的减少敷设管道及布线等繁琐工作；

2）灵活性：无线技术使得WLAN设备可以灵活的进行安装并调整位置，使无线网络达到有线网络不易覆盖的区域；

3）综合成本较低：一方面WLAN网络减少了布线的费用，另一方面在需要频繁移动和变化的动态环境中，无线局域网技术可以更好地保护已有投资。同时，由于WLAN技术本身就是面向数据通信领域的IP传输技术，因此可直接通过百兆自适应网口和Intranet相连，从体系结构上节省了协议转换器等相关设备；

4）扩展能力强：WLAN网桥系统支持多种拓扑结构及平滑扩容，可以十分容易地从小容量传输系统平滑扩展为中等容量传输系统；

随着WLAN技术的快速发展和不断成熟，目前在国内外具有较多的中大规模应用，诸如荷兰的阿姆斯特丹市的全城覆盖，向客户提供各种业务。 3.7.2、需求分析

XX行政中心无线局域示范网建设的总体目标是：

1）利用无线网络技术进一步扩展园区网的覆盖范围，使行政中心能够随时随地、方便高效地使用网络；

2）提升行政中心网络环境，提高管理水平和效率，推动信息化建设； 3）有线网络无法接入的室外场所：园区内一些场所很难实现网络有线接入，采用无线方式可以实现覆盖大范围室外空间的无线网络接入。

4）有线网络使用不便或受限的室内空间：用无线网络覆盖来解决相当数量的移动设备同时访问网络的问题。主要包括各会议室、地下室、餐厅等；

由于本工程是在园区有线网的基础上加以无线扩充（即采用AP将无线网络不近接入到有线网络）；

本工程具体的建设目标是：

1）侧重实际应用，覆盖主要包括各会议室、地下室、餐厅等

2）采取通行的网络协议标准：目前无线局域网普遍采用802.11系列标准，因此园区无线局域网将主要支持802.11g（54M带宽）标准以提供可供实际应用的相对稳定的网络通讯服务；

3）全面的无线网络支撑系统（包括无线网管、无线安全，无线计费等），以避免无线设备及软件之间的不兼容性或网络管理的混乱而导致的问题；

4）保证网络访问的安全性，支持802.1x安全认证方式； 5）采用非独立型的无线网络结构选型； 6）覆盖范围要求

有线网络使用不便或受限的室内空间：用无线网络覆盖来解决相当数量的移

动设备同时访问网络的问题。主要包括各会议室，大厅，地下室、餐厅等；

7）安全、认证、计费和管理要求

为了阻止非授权用户访问无线网络，以及防止对无线局域网数据流的非法侦听，无线网络要具有相应的安全手段，主要包括：物理地址（MAC）过滤、服务区标识符(SSID)匹配、有线等效保密（WEP）、二层隔离、WPA支持等；

本无线局域网的用户认证支持集中认证（WEB PORTAL认证方式）和802.1X安全认证方式（支持受保护的 PEAP(Protected EAP)）， AP、访问控制系统及认证计费系统必须为要配合要通过验证，便于使用用户的使用及维护。在连续覆盖区域的认证和覆盖应充分考虑移动用户的易用性，达到一次认证，移动使用的目的；

3.7.3、无线网络建设方案

针对行政中心采用WLAN技术构架宽带网络服务，从技术上、工程上以及提供的服务质量上均能较好的满足校方的要求，具体组网构架如下： 3.7.3.1、方案罗辑组网图

鉴于的有线网络已经较为完善，已经是百兆到楼，部分楼已经做到千兆到楼，本次工程采用无线网就近接入的原则，同时又由于现在每栋楼的有线网络为无线网络只能提供一个有线接口，此有线接口下接一台交换机完成网络接口的扩展，同时完成POE供电的功能，具体的逻辑组网图如下图所示：

图1

XX行政中心无线局域网工程方案逻辑组网示意图

3.7.3.2、认证方式及认证点选择

本方案主要采用802.1X认证，交换机作为802.1X协议终结点，CAMS系统为用户鉴权点。

802.1X认证是一种二层认认证机制，建议使用二层信息与帐号进行捆绑，此时的网络是一种安全网络，在网络运营时不会出现资费流失的现象。 3.7.3.3、整网安全

XX行政中心无线局域网络主要服务于行政中心人员以及部分外来访客，也是一种小规模的公众型网络，同时由于接入人员类型复杂，会对网络发起各种各样的攻击行为，此时网络安全问题在建网时必须考虑问题，安全方式主要侧重几个方面：用户安全、网络安全.

无线网络安全部分主要包括以下方面的内容：

1）MAC地址过滤：目前我司AP都支持基于MAC地址的过滤，限制具有某种类型的MAC地址特征的终端才能进入网络中.

2）SSID管理：是一种网络标识的方案，将网络进行一个逻辑化标识，对终

端上发的报文都要求进行上带SSID，如果没有SSID标识则不能进入网络；

3）WEP\\AES加密：WEP加密是一种静态加密的机制，通信双方具有一个共同的密钥，终端发送的空口信息报文必须使用共同的密钥进行加密；AES属于一种动态加密机制，密钥进行定期的刷新； 3.7.3.4、频率规划与负载均衡

频率规划

802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。

针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。

图2

频率规划原理图

频率规划需要配合使用的功能包括： 1）AP支持13个信道设置

2）AP支持500～200mW、60～10mW功率以及多级功率控制 3）AP支持外置天线以及定向天线

4）针对特殊应用还需要AP支持桥接功能、接入功能以及WDS功能 3.7.3.5、网络管理

基于标准的SNMP协议实现对设备的管理，QuidView网管系统通过SNMP实现对WLAN所有网元的管理。网管工作站可以放在网上的任意位置，通过标准的SNMP即可实现对所有设备的管理。采用标准的SNMP可以实现更为强大的管理包括自动拓扑发现、自动升级、批量配置、分级管理、分级告警等。 3.7.3.6、供电问题

由于本次无线网中AP设备数量较多，AP布放位置根据实际覆盖效果而调整，在已建设完成的建筑物上较难进行本地供电，对于园区室外覆盖主要采用AP放在室外，对AP的本地供电问题难度更大。基于标准的802.3af实现对AP的供电。通过在汇集交换机处叠加一个供电电源或者内嵌交换机内，通过以太网线在传输数据同时给AP供电，供电距离达200米，满足实际组网的要求。 3.7.3.7、覆盖效果理论计算

信号强度和传输距离的换算公式 AP加卡的信号总强度公式：

Gt－Gr＋AP天线增益＋终端天线增益＝L信号总强度（dB） Gt（AP或终端功率，单位dB），Gr（终端或AP灵敏度，单位dB）距离产生的信号衰减公式：

40＋20lgd＝L1（dB） d（距离，单位m）工程中最大传输距离以45m计算，所以L1＝72dB 障碍物的衰减：物体地板带窗户的砖墙 dB 30 2 办公室墙办公室墙的金属门砖墙的金属门靠近金属门的砖墙 6 6 12.4 3 工程中实际的障碍物的最大衰减是临窗墙的衰减3dB加上房间墙的衰减12dB等于15dB。

3.8、电子政务城域网规划

要实现XX市的电子政务，首先必须建立行政中心网络系统，其次还要考虑覆盖XX市及区县的政务网络平台，即建立XX市电子政务的城域网。前述内容论述了行政中心网络的建设，下面讨论一下电子政务城域网建设。

依据招标文件要求，XX市电子政务网将建成为大外网、小内网的政务网络，电子政务城域网将是电子政务外网城域网。下面讨论的电子政务城域网建设是外网城域网的建设。

电子政务城域网建设将分为三个部分：城域网骨干、城域网汇聚及县区接入网络。

目前，作为城域网的骨干技术，存在多种选择，主要包括：POS环网、以太网、RPR环网。

POS环网是网络设备通过POS接口接入SDH传输网，它具有SDH的优点，包括：高可靠性，满足用户的通讯要求；能够提供保护和快速恢复机制；但是其点到点、电路交换的设计目标也为它带来了诸多缺点：1、带宽在节点间点到点的链路中固定分配并保留；2、带宽不能根据网络中流量的实际情况而改变，不利于带宽的高效利用；3、广播和组播报文将分成多个单播完成，浪费带宽；4、通常为实现保护机制，50% 的带宽将保留，未能提供灵活的选择机制。

以太网技术以其成本低、简洁、易扩展、以及便于IP 包的传输和处理等特点，但它在规模、端到端业务建立、质量保证、可靠性等方面还存在不少需要克服的难题。

RPR（Resilient Packet Ring）弹性分组数据环技术集IP的智能化、以太网的

经济性和光纤环网的高带宽效率、可靠性于一体，为宽带IP城域网运营商提供了一个良好的组网方案。RPR技术使得运营商在城域网内以低成本提供电信级的服务成为可能，在提供类似SDH级网络可靠性的同时降低了传送费用。RPR有别与传统MAC最吸引人的特点是具有电信级的可靠性，使其不仅仅只是局限于处理面向数据的业务传送需求，同时可以形成处理多业务传送的综合传输解决方案。

三种组网方式的综合对比情况如下表所示：特点网络形式 50ms快速保护 IP业务的支持控制延迟和抖动多播支持带宽利用率带宽公平性 QOS支持可管理性拓扑自动发现业务扩容组网经济性复用方式支持速率 Ethernet 总线/点点互联无好差支持较高差差差不支持简单经济统计复用 10/100M/1000M/10G SONET/SDH 双环网支持不太好好不支持低差较差较好，复杂不支持复杂昂贵时分复用 155M－10G RPR 双环网支持好好支持高好好好支持简单经济统计复用 155M－10G 比较前述三种组网技术，POS环网为租用运营商SDH线路，城域以太网和RPR环网为租用运营商裸光纤，后两种组网方式具有更强的自主性，适合电子政务这种对线路自主管理要求较高的应用需求。而且，采用城域以太网和RPR环网技术，未来带宽扩容时不需要再同运营商申请带宽，支付额外的费用，仅需升级设备板卡既可。因此，建议在目前运营商城域范围内裸光纤资源相对较富裕、租用成本较低的情况下，城域网骨干采用以太网或RPR环网技术。

以太网和RPR环网技术相比，各有优缺点，具体比较如下：

RPR环网具有可靠的电信级环网保护，可充分保证骨干网的可靠性，但设备成本相对更高；

以太网不具备电信级环网保护，仅能通过冗余的光纤路由和动态路由协议形成保护，对骨干的链路的中断保护需要较长的时间，但设备成本较低；

一般情况下，RPR适合城域网范围内数据流向不确定的情况，而以太网适合数据流向相对固定，由边缘向核心汇聚的情况。

综合上述分析，XX市电子政务城域网建成后网内的数据流向不仅包括院外单位和区县向行政中心的流量，也包括院外单位间和区县间的数据交换，因此数据的流向不定，建议采用RPR方式。

XX市电子政务网中有大量市区机关单位局域网需要接入，如果都直接接入骨干必将导致核心设备需要配置大量接入端口，从而极大的提高了核心设备的成本。因此，需要配置汇聚设备对接入单位的链路汇聚后，实现流量的收敛，通过汇聚设备双归属到核心设备，实现安全的汇聚。在汇聚设备和核心设备及汇聚设备和接入设备间，也可采用包括POS、以太网等多种接入方式，但考虑到在城域范围内，裸光纤资源相对较丰富，也便于未来带宽扩容，故建议采用租用裸光纤以太网方式。

同时考虑到，县级单位相对距离较远，租用裸光纤的成本较高，且远距离的裸光纤维护也较难，因此建议县级单位通过汇聚路由汇聚后，接入采用MSTP/POS方式至核心设备，MSTP/POS方式可通过SDH传输环网提高区县接入到XX电子政务网的可靠性。

总结一下，XX市电子政务网可采用的组网方式为：采用RPR方式构成城域网骨干，城区租用裸光纤，接入单位经汇聚后接入核心路由器，县级单位经汇聚后，采用MSTP/POS方式接入核心。 3.9、系统配置清单

因篇幅问题不能全部显示，请点此查看更多更全内容

查看全文