卷烟行业网络及安全平台系统集成方案

1、第 PAGE 106 页 共 NUMPAGES 106 页卷烟行业网络及安全平台系统集成技术方案目录 TOC o 1-3 h z u HYPERLINK l _Toc523649127 第一章 项目背景 PAGEREF _Toc523649127 h 5 HYPERLINK l _Toc523649128 第二章 项目需求分析 PAGEREF _Toc523649128 h 6 HYPERLINK l _Toc523649129 2.1网络系统需求 PAGEREF _Toc523649129 h 6 HYPERLINK l _Toc523649130 2.2网络安全系统需求 PAGEREF _

2、Toc523649130 h 7 HYPERLINK l _Toc523649131 第三章 系统建设目标、原则 PAGEREF _Toc523649131 h 8 HYPERLINK l _Toc523649132 3.1系统建设的目标 PAGEREF _Toc523649132 h 8 HYPERLINK l _Toc523649133 3.2系统建设原则 PAGEREF _Toc523649133 h 8 HYPERLINK l _Toc523649134 3.3系统建设的主要内容 PAGEREF _Toc523649134 h 9 HYPERLINK l _Toc523649135 3

3、.1.2网络总体结构 PAGEREF _Toc523649135 h 10 HYPERLINK l _Toc523649136 卷烟厂网络改造拓朴图 PAGEREF _Toc523649136 h 12 HYPERLINK l _Toc523649137 3.1.3传输信道设计 PAGEREF _Toc523649137 h 13 HYPERLINK l _Toc523649138 3.1.4核心网络设计 PAGEREF _Toc523649138 h 13 HYPERLINK l _Toc523649139 3.1.5互联网接入设计 PAGEREF _Toc523649139 h 15 HY

4、PERLINK l _Toc523649140 3.1.6IP地址规划 PAGEREF _Toc523649140 h 16 HYPERLINK l _Toc523649141 3.1.7路由协议 PAGEREF _Toc523649141 h 17 HYPERLINK l _Toc523649142 3.1.8VLAN系统规划 PAGEREF _Toc523649142 h 19 HYPERLINK l _Toc523649143 3.1.9下一步的扩展 PAGEREF _Toc523649143 h 19 HYPERLINK l _Toc523649144 第四章 网络及安全系统建设方案

5、PAGEREF _Toc523649144 h 21 HYPERLINK l _Toc523649145 4.1网络及网络安全方案 PAGEREF _Toc523649145 h 21 HYPERLINK l _Toc523649146 4.1.1核心层设计 PAGEREF _Toc523649146 h 21 HYPERLINK l _Toc523649147 4.1.2汇聚层设计 PAGEREF _Toc523649147 h 22 HYPERLINK l _Toc523649148 4.1.3防火墙设计 PAGEREF _Toc523649148 h 24 HYPERLINK l _To

6、c523649149 4.1.4接入层设计 PAGEREF _Toc523649149 h 28 HYPERLINK l _Toc523649150 第五章 后期项目建设建议 PAGEREF _Toc523649150 h 29 HYPERLINK l _Toc523649151 5.1环形网络的建设 PAGEREF _Toc523649151 h 29 HYPERLINK l _Toc523649152 5.2计费软件 PAGEREF _Toc523649152 h 31 HYPERLINK l _Toc523649153 5.3 IPV6的迁移 PAGEREF _Toc523649153

7、h 32 HYPERLINK l _Toc523649154 第六章 工程实施方案 PAGEREF _Toc523649154 h 36 HYPERLINK l _Toc523649155 6.1总则 PAGEREF _Toc523649155 h 36 HYPERLINK l _Toc523649156 6.2工程实施组织结构 PAGEREF _Toc523649156 h 36 HYPERLINK l _Toc523649157 6.3工程实施流程 PAGEREF _Toc523649157 h 39 HYPERLINK l _Toc523649158 6.4工程实施的管理与考核 PAGE

8、REF _Toc523649158 h 40 HYPERLINK l _Toc523649159 6.5实施准备工作 PAGEREF _Toc523649159 h 42 HYPERLINK l _Toc523649160 6.6工作分配矩阵 PAGEREF _Toc523649160 h 44 HYPERLINK l _Toc523649161 6.7设备及系统配置要点 PAGEREF _Toc523649161 h 58 HYPERLINK l _Toc523649162 6.7.1检查与准备现场实施环境 PAGEREF _Toc523649162 h 58 HYPERLINK l _To

9、c523649163 6.7.2设备到货验收 PAGEREF _Toc523649163 h 59 HYPERLINK l _Toc523649164 6.7.3网络系统配置要点 PAGEREF _Toc523649164 h 59 HYPERLINK l _Toc523649165 6.7.4防病毒软件服务器系统配置要点 PAGEREF _Toc523649165 h 61 HYPERLINK l _Toc523649166 6.7.6系统软件配置要点 PAGEREF _Toc523649166 h 62 HYPERLINK l _Toc523649167 6.7.7系统联调 PAGEREF

10、 _Toc523649167 h 63 HYPERLINK l _Toc523649168 6.7.8系统试运行 PAGEREF _Toc523649168 h 64 HYPERLINK l _Toc523649169 6.7.9系统迁移 PAGEREF _Toc523649169 h 64 HYPERLINK l _Toc523649170 第七章 文档提交和管理 PAGEREF _Toc523649170 h 65 HYPERLINK l _Toc523649171 7.1文档的管理 PAGEREF _Toc523649171 h 65 HYPERLINK l _Toc523649172

11、7.2各阶段提交的文档列表 PAGEREF _Toc523649172 h 65 HYPERLINK l _Toc523649173 7.2.1工程准备期文档 PAGEREF _Toc523649173 h 65 HYPERLINK l _Toc523649174 7.2.2工程实施期文档 PAGEREF _Toc523649174 h 65 HYPERLINK l _Toc523649175 7.2.3工程验收期文档 PAGEREF _Toc523649175 h 66 HYPERLINK l _Toc523649176 7.2.4系统维护期文档 PAGEREF _Toc523649176

12、h 66 HYPERLINK l _Toc523649177 第八章 培训 PAGEREF _Toc523649177 h 67 HYPERLINK l _Toc523649178 8.1培训目的 PAGEREF _Toc523649178 h 67 HYPERLINK l _Toc523649179 8.2技术培训人员和时间安排 PAGEREF _Toc523649179 h 67 HYPERLINK l _Toc523649180 8.3培训方式 PAGEREF _Toc523649180 h 68 HYPERLINK l _Toc523649181 8.4培训计划 PAGEREF _To

13、c523649181 h 68 HYPERLINK l _Toc523649182 8.5培训内容 PAGEREF _Toc523649182 h 69 HYPERLINK l _Toc523649183 8.5.1局域网基础 PAGEREF _Toc523649183 h 69 HYPERLINK l _Toc523649184 8.5.2瑞星网络版防病毒软件使用与配置 PAGEREF _Toc523649184 h 70 HYPERLINK l _Toc523649185 8.5.3防火墙 PAGEREF _Toc523649185 h 71 HYPERLINK l _Toc5236491

14、86 8.5.4IBM服务器管理 PAGEREF _Toc523649186 h 72 HYPERLINK l _Toc523649187 8.5.5服务器故障排除 PAGEREF _Toc523649187 h 72 HYPERLINK l _Toc523649188 8.6培训师资力量 PAGEREF _Toc523649188 h 73 HYPERLINK l _Toc523649189 8.7厂商的培训 PAGEREF _Toc523649189 h 73 HYPERLINK l _Toc523649190 8.7.1IBM认证培训 PAGEREF _Toc523649190 h 73

15、 HYPERLINK l _Toc523649191 8.7.2华为认证培训 PAGEREF _Toc523649191 h 74 HYPERLINK l _Toc523649192 第九章 项目验收 PAGEREF _Toc523649192 h 88 HYPERLINK l _Toc523649193 9.1设备到货验收 PAGEREF _Toc523649193 h 88 HYPERLINK l _Toc523649194 9.2系统预验收 PAGEREF _Toc523649194 h 88 HYPERLINK l _Toc523649195 9.3系统终验 PAGEREF _Toc5

16、23649195 h 93 HYPERLINK l _Toc523649196 9.4验收测试的标准和内容 PAGEREF _Toc523649196 h 94 HYPERLINK l _Toc523649197 第十章 项目计划 PAGEREF _Toc523649197 h 98 HYPERLINK l _Toc523649198 10.1项目进度与阶段性成果 PAGEREF _Toc523649198 h 98 HYPERLINK l _Toc523649199 10.2项目参加人员计划 PAGEREF _Toc523649199 h 98 HYPERLINK l _Toc5236492

17、00 10.2.1工程总协调小组（2人） PAGEREF _Toc523649200 h 98 HYPERLINK l _Toc523649201 10.2.2项目经理（1人） PAGEREF _Toc523649201 h 98 HYPERLINK l _Toc523649202 10.2.3商务运作小组 （3人） PAGEREF _Toc523649202 h 98 HYPERLINK l _Toc523649203 10.2.4实施小组（1名小组负责人，3名实施工程师） PAGEREF _Toc523649203 h 99 HYPERLINK l _Toc523649204 10.2.5

18、培训小组（4人） PAGEREF _Toc523649204 h 99 HYPERLINK l _Toc523649205 10.2.6项目管理小组（3人） PAGEREF _Toc523649205 h 99 HYPERLINK l _Toc523649206 10.2.7质量监督小组（2人） PAGEREF _Toc523649206 h 99 HYPERLINK l _Toc523649207 10.2.8机动小组成员（4人） PAGEREF _Toc523649207 h 100 HYPERLINK l _Toc523649208 10.2.9服务小组成员（4人） PAGEREF _T

19、oc523649208 h 100 HYPERLINK l _Toc523649209 10.3 知识传输计划 PAGEREF _Toc523649209 h 100 HYPERLINK l _Toc523649210 10.3.1用户集中技术培训及现场培训 PAGEREF _Toc523649210 h 100 HYPERLINK l _Toc523649211 10.3.2文档移交 PAGEREF _Toc523649211 h 100 HYPERLINK l _Toc523649212 10.3.3项目验收 PAGEREF _Toc523649212 h 100 HYPERLINK l

20、_Toc523649213 10.3.4技术移交 PAGEREF _Toc523649213 h 101 HYPERLINK l _Toc523649214 10.3.5技术支持 PAGEREF _Toc523649214 h 101 HYPERLINK l _Toc523649215 第十一章 技术支持与售后服务 PAGEREF _Toc523649215 h 102 HYPERLINK l _Toc523649216 11.1技术支持和售后服务承诺 PAGEREF _Toc523649216 h 102 HYPERLINK l _Toc523649217 11.2组织机构与人员安排 PAG

21、EREF _Toc523649217 h 104 HYPERLINK l _Toc523649218 11.2.1组织结构图 PAGEREF _Toc523649218 h 104 HYPERLINK l _Toc523649219 11.2.2服务体系 PAGEREF _Toc523649219 h 104 HYPERLINK l _Toc523649220 11.2.3服务人员配备和简历 PAGEREF _Toc523649220 h 106 HYPERLINK l _Toc523649221 11.3维护支持实施方案 PAGEREF _Toc523649221 h 108 HYPERLI

22、NK l _Toc523649222 11.3.1服务策略 PAGEREF _Toc523649222 h 108 HYPERLINK l _Toc523649223 11.3.2双方职责界面分工 PAGEREF _Toc523649223 h 110 HYPERLINK l _Toc523649224 11.3.3五星级服务故障等级和处理时限 PAGEREF _Toc523649224 h 111 HYPERLINK l _Toc523649225 11.3.4系统应急方案 PAGEREF _Toc523649225 h 112 HYPERLINK l _Toc523649226 11.4维

23、护支持范围 PAGEREF _Toc523649226 h 115 HYPERLINK l _Toc523649227 11.4.1支持范围 PAGEREF _Toc523649227 h 115 HYPERLINK l _Toc523649228 11.4.2产品质量保证和服务承诺 PAGEREF _Toc523649228 h 115 HYPERLINK l _Toc523649229 11.5 维护支持流程 PAGEREF _Toc523649229 h 116 HYPERLINK l _Toc523649230 11.6 维护响应时间 PAGEREF _Toc523649230 h 1

24、16 HYPERLINK l _Toc523649231 11.7 变更请求的处理流程 PAGEREF _Toc523649231 h 117 HYPERLINK l _Toc523649232 第十二章 设备配置清单 PAGEREF _Toc523649232 h 121 HYPERLINK l _Toc523649233 12.1系统配置清单 PAGEREF _Toc523649233 h 121第一章 项目背景目前，卷烟厂局域网已基本建成和连通。网络主干带宽为100M，铺设的光纤以多模6芯为主，主交换设备3COM非网管二层交换机，各单位使用的交换机也以二层交换机为主，大多数交换机不支持标

25、准网管，给网管人员带来很大的不便。现有网络设备性能过低，基本不具备安全控制功能，无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。并且不具备防火墙功能，使内外网安全性处在一个较低的水平。第二章 项目需求分析本次项目就是为了满足信息化建设需求，建设卷烟厂信息化应用的网络支撑平台，内容包括：平台的整体架构设计；防病毒体系的建立；网络、安全等设备的选型和采购；系统的集成；安全体系、运维体系的建立。针对客户的详细要求，系统地具体需求为：针对本次项目建设的特点，系统需要保证业务7*24小时的连续性，可用性。因此本次系统建设的总体需求有：可管理性实现设备的自动化远程管理控制。实现人员上网

26、的自动化管理控制无单一故障点从网络设备、网络线路、网络协议、路由协议等方面都要考虑到系统的可靠性、可用性，保证系统的整体冗余。网络设备：背板冗余、电源冗余、VRRP实现交换机之间冗余网络线路：多条线路之间的负载均衡、故障切换网络协议、路由协议：采用主流技术，实现故障自动切换。高性能由于业务的特点，应用处理再特定时段会出现处理高峰，这就对数据传输带宽、网络突发性处理提出了很高的要求。2.1网络系统需求目前，卷烟厂局域网已基本建成和连通。网络主干带宽为100M，铺设的光纤以多模6芯为主，主交换设备非网管3COM，各单位使用的交换机以二层交换机为主，大多数交换机不支持标准网管，给网管人员带来很大的不

27、便。现有网络设备性能过低，基本不具备安全控制功能，无法满足企业大规模ERP的部署和企业未来几年信息化对网络平台的要求。针对目前网络的现状主要存在以下问题：1、随着网络规模的扩大，对网络核心的处理能力提出了很高的要求，需要提供高达数百G的交换容量和数百M的转发速率。2、ERP应用有大量的数据在网络进行传输，并且在特定的阶段有传输高峰的出现，对网络带宽提出了很高的要求。3、ERP系统需要大量的主机运行平台，为了实现用户对服务器的快速访问，需要建立一个服务器区，实现服务器的集中访问和管理。4、为了保证网络的运维管理，所有网络设备必须支持网络管理，并且支持VLAN划分以及802.1X认证，实现对端口级

28、别的管理和控制。5、利用原有的部分交换机，实现与老系统的互联和统一管理。2.2网络安全系统需求信息化网络建设，涉及与Internet的连接，涉及到与多个下属部分单位的连接。ERP应用、OA应用、WWW应用、FTP应用等等需要针对不同的部门、不同的人员服务，对网络的安全提出了以下的需求：采用安全控制措施，实现人员的集中管理和控制。采用安全措施，加强对核心服务器系统的保护。采用安全措施，实现与Internet的安全连接，同时对外提供服务。采取安全措施，实现网上行为的审计，进行事中、事后分析。实现集中统一的全网安全管理，减轻管理的负担。第三章 系统建设目标、原则3.1系统建设的目标本次卷烟厂信息化建

29、设的主要目标为：建设覆盖本次应用软件系统所涉及的所有单位和用户，利用千兆以太网技术构建高性能、高可靠性、安全、可管理的网络平台。建设网络安全管理系统，实现对设备、人员、网络行为、终端设备的安全管理。3.2系统建设原则本次系统建设应满足以下总体设计要求：1.高可靠性在系统整体设计中应选用高可靠性设备产品，设备充分考虑冗余、容错能力和备份，同时合理设计总体架构，制订可靠的QoS质量保证策略，最大限度保障系统正常运行。2.可扩展性根据未来业务的增长和变化，系统可平滑扩充和升级，避免在系统扩展时对网络架构的大幅度调整。3.可管理性支持集中监控、分权管理，以便统一分配网络资源。支持故障自动报警。4.高性

30、能设计必须保障网络及设备的高吞吐能力，保证数据的高质量传输，预留出一定的流量增长的范围，保证在可预见的将来满足流量要求，避免网络瓶颈影响整体的系统应用。5.先进性和成熟性网络设备采用先进的技术和制造工艺，对于路由协议支持、数据流量分配，抵御网络攻击、高性能方面保持技术领先，网络结构和路由协议采用成熟的、普遍应用的并被证明是可靠的结构模型和技术。6.标准开放性支持国际上通用标准的网络协议、国际标准的应用与大型网络规模的动态路由协议等开放协议，保证与其它网络之间的平滑连接互通，保证与其它主流网络产品的兼容性，以及将来网络的扩展性。7.成功应用针对ERP系统这种关键业务应用，所选择的设备必须要经过长

31、时间的成功应应用检验，具有非常高的市场占有率。3.3系统建设的主要内容建设内容主要网络建设、安全建设、防病毒建设三个部分。具体内容主要有；核心网络系统建设，通过双核心交换机实现核心的高性能和高可靠性。在四个办公楼部署汇聚交换机，通过双千兆光纤实现实现到两台核心交换机的冗余连接。同时上上述四个楼层的汇聚交换机作为接入交换机使用，实现终端用户的接入。在Internet的出口处部署防火墙，实现到Internet的连接，并且原有专网路由线路也接入此防火墙，保证核心区服务器和应用的安全。同时此防火墙支持国密VPN算法，为日后远程VPN连网打下基础。在核心区部署防病毒网络版软件及相关服务器等应用软件系统，

32、保证整个网络设备、人员、应用的安全。调整网络结构，由原来的多级代理改为直接连接，保证了C/S应用的访问。实现与原有网络设备的连接。3.1.2网络总体结构根据要求及其应用需求，鉴于卷烟厂各部门的特殊安全性要求，在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则，利用标准IP+MPLS VPN技术，保证网络的互联互通性，并提供各部门、应用系统网络间的逻辑隔离(VPN)，保证互访的安全控制，同时通过QOS和基于MPLS VPN的流量工程（TE），保证关键业务在网络上传输的优先级。对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离，我们设计采用MPLS VPN技术实现网络横向

33、业务部门的隔离和纵向应用系统的互通，所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性，充分保护用户投资。根据网络业务不断发展的需求，未来将在现有数据网络平台基础上增加语音、视频等业务功能，并将各种业务充分融合，统一实现，从而构建一个基于“三网合一” 概念的企业信息化综合业务平台。全网分为三部分：核心层、汇聚层、接层。各部分描述如下：核心层：数据网主干网络设备采用交换机进行组网，配置两台高性能核心三层交换机，完成各汇聚节点与核心节点以及各汇聚节点之间的数据高速路由转发以及各节点园区网的业务汇聚，并在整个骨干网上启用MPLS VPN，进行业务隔离。核心层为下两层提供优化的数据

34、传输功能，它是一个高速的路由交换骨干，其作用是尽可能快地交换数据包，满足汇聚节点与核心节点之间高速通信的需要。为保证本项目未来规模庞大，业务众多的特点，核心交换机应具备尽可能强大的性能、业务支持和端口接入的扩展能力。汇聚层：每个汇聚节点的汇聚交换机通过2个1000M光口与卷烟厂网络中心的2台核心交换机相联，构成双核心，双归属的骨干网络。汇聚层提供基于统一策略的互连性，它是核心层和接入层的分界点，定义了网络的边界，对数据包进行复杂的运算。在整个网络环境中，汇聚层主要提供如下功能：部门和工作组的接入和汇聚，VLAN的路由，对多个部门及多种业务的安全隔离和带宽保障，安全控制等。 接入层：接入层与汇聚

35、层节点采用同一台三层接入交换机，支持802.1x接入，做到面向端点的安全控制能力。卷烟厂网络改造拓朴图电信100M光纤接入省专网44M SDH专网路由器Eudemon 300 千兆防火墙S3952P楼层交换机百兆以太网线千兆多模光纤千兆以太网线楼层PC楼层PC楼层PC内部服务器群S3952P楼层交换机S3952P楼层交换机S7810主核心交换机S7810备份交换机3.1.3传输信道设计采用现有光缆资源，以网络中心辐射至各汇聚点。现有各条光缆主要为6芯多模，计划本次项目采用“双核心”方案，只需用到其中的四芯，完全可满足本次项目“双核心”的部署方式。各汇聚点至接入层交换机，可根据各汇聚区域的具体情

36、况和实际距离，通过千兆光/电接口灵活连接。网络中心内部各设备均采用千兆以太网电缆互联。3.1.4核心网络设计根据招标文件结合用户实际需求，本次采用“双核心”、“双归属”的方式，构建核心-汇聚骨干网络，汇聚-接入千兆连接。根据总体结构图，核心交换机至各个业务区域和汇聚节点均采用双千兆多模光纤，保证链路的可靠性；汇聚交换机至各接入交换机采用千兆多模光纤。核心交换机：作为全网数据和业务的核心，网络上所有业务的数据流都要经过核心交换机进行交换，因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。建议采用模块化万兆核心路由交换机。1、引擎、电源等关键部件全部采用冗余设计，支持多操作系

37、统、多配置文件，保证可靠性；2、全面支持分布式IP/MPLS VPN业务转发，保证高性能；3、内置的802.1x SERVER可以作为接入认证服务器的备份系统；4、硬件支持IPv6，支持10G RPR高速环网数据接口，满足未来构建企业大型核心环网要求；汇聚交换机：汇聚层在骨干网络中起到承上启下的作用，应具备可靠性、高性能和多业务兼顾的特点。采用万兆核心路由交换机，在本项目中具备如下特色：1、引擎、电源等关键部件全部采用冗余设计，支持多操作系统、多配置文件，保证可靠性；2、全面支持分布式高速率全线速业务转发，保证高性能；3、完善的ACL、流量监管、多元组绑定等安全机制；4、硬件支持IPv6，支持

38、10G RPR高速环网数据接口，满足未来构建企业大型核心环网要求；5、全面实施VLAN配置，实现部门及业务的隔离；接入交换机：在一个大型园区网络里，接入交换机具有数量多，部署分散的特点，且直接负责终端的接入，应具备可管理性强、端口控制能力强、性价比高的特点。建议选用的三层接入交换机，具备如下优势：1、支持堆叠，至此对堆叠组虚拟管理，完全可看作一个设备，使可管理性大幅度提高。2、具有良好的端点控制能力，支持丰富的MAC、IP、端口的灵活绑定。3、支持802.1X认证功能，可通过此功能实现对终端接入的控制。4、VLAN能力强，支持最高的4096个VLAN；网络安全系统设计：数据中心是本网络最重要的

39、部位，是信息化的神经中枢，数据中心的设计应具备最高的安全性，同时应保证流畅的带宽和一定的可靠性。作为一个单独的区域来建设，结合客户要求，我们采用“防火墙核心交换机”的建设思路，全部采用双千兆设备，全千兆连接的方式，保证给数据中心最强大的安全保障能力和数据吞吐量。对数据中心做如下部署：核心防火墙：防火墙可以部署在网络内部数据中心的前面，实现对所有访问内部的网络流量进行身份控制，提供对厂区内部网络的完整的保护。除了完善的隔离控制能力和安全防范能力，数据中心防火墙的部署我们同时考虑两个关键特性：高性能：数据中心部署大量的服务器，是整个网络的数据流量的汇集点，因此要求防火墙必须具备非常高的性能，保证部

40、署防火墙后不会影响这些大流量的数据传输，不能成为性能的瓶颈；可靠性：所有与省专网及INTERNAT通信都依赖于此核心防火墙，这些应用是企业运行的关键支撑，必须要严格的保证网络的可靠性与可用性，因此，部署防火墙以后，不对网络传输的可靠性造成影响，不能形成单点故障。基于上述两个的关键特性，我们进行以下设备部署模式和配置策略：设备部署模式：我们在INTERNAT出口及省中烟公司专网线路出口上部署一台千兆防火墙，以双链路方式连接两台核心交换机和1G的吞吐量保证可靠性和高性能。安全控制策略：防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全；在两台防火墙上设定

41、严格的访问控制规则，配置只有规则允许用户能够访问数据中心中的指定的资源，严格限制外部网络用户对内部服务器及PC的资源访问，以避免网络用户可能会对肉网的攻击、非授权访问以及病毒的传播，保护网网的核心数据信息资产；配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为；根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制，实现只有IP/MAC匹配的

42、用户才能访问内网；3.1.5互联网接入设计对外访问区负责全网对INTERNET的访问，同时承载卷烟厂门户网站的对外发布和EMAIL系统。虽然现在网络上80%的安全隐患都在内网，但互联网出口的安全问题仍然是对企业网络最具威胁的区域，黑客入侵、企业机密数据外泄、新病毒的导入都几乎全部发生在这里，所以互联网接入设计中，安全设计仍然放在首位。我们采用路由三层交换机+防火墙的方式来构建对外访问区。防火墙：防火墙是连接内外网的纽带，防火墙的性能直接影响对于宝贵带宽的使用率，此外对于大型园区网出口，由于内部网络用户数量庞大，防火墙应该具备高性能的NAT转发能力。1、高性能：具备=1G bps吞吐量的包转发性

43、能，满足未来千兆线路的全线速转发。2、强大的ACL功能：ACL规则数：=5万3、支持RIP、OSPF、BGP、IS-IS等多种路由协议4、支持多种网络接口5、支持IPV63.1.6IP地址规划IP地址是网络互联的基础，合理的IP地址规划将大大方便网络的维护和管理。IP地址规划的原则唯一性：保持整个网络中IP地址的唯一性简单性：尽量避免采用复杂的掩码方式连续性：为同一网络区域分配连续的网络地址，便于缩减路由表项，提高路由器的处理效率可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机节点增加时仍然能够保持地址的连续性可管理性：地址的分配应该有层次性，某个局部的变动不影响网络的其他部

44、分地域性：尽量考虑IP的地域特性，以便于统一管理和规划全面性：统一规划局域网和广域网IP地址，保证网络有效连通和管理IP地址规划策略对卷烟厂信息化系统IP地址规划可以采用以下两种方式：采用Internet网合法地址由于要实现与Internet的连接，对外发布信息；在DMZ区中的服务器建议采用合法的由电信服务商分配的地址。本系统自行规划IP地址在内部网络中整体统一采用结构化地址规划和分配原则进行IP地址设计，可以大大提高网络的可管理性，同时通过NAT实现与外部网络地址的映射，对外部网络隐藏了被网的网络结构，提高了网络的安全性。IP地址规划IP地址的规划应在遵循方便管理、易于扩展的原则下，统一规划

45、、统一分配。建议IP地址采用-网段IP地址，通过结构化划分方法对各级机构进行统一分配。数据中心和各级单位和相关部门IP地址分配如下表：省/市地址空间网段数据中心1个C-55服务器区1个C-55网络设备区1个C-55一号楼8个C-55二号楼8个C-55三号楼8个C-55四号楼8个C-55 3.1.7路由协议在设计大中型网络时，由于静态路由协议设置麻烦、对网络的变化适应性差，一般不予采用，而今作为路由设计的补充。现在，常用的动态路由协议有以下四种：RIPRIP是一种Distance Vector路由协议，有以下特点：简单，广泛使用，技术成熟，信息源与目的地间限制在15个hops（或路由器）之内，超

46、过15hops将认为不可及。RIPv1不支持VLSM（Variable Length Subnet Mask），不可能有效地利用IP地址。每30秒传送路由信息将耗费大量的带宽，在大型网络及低速链路中更明显。路由收敛较慢，此算法将经历Hold-down(180S)的周期。RIP在计算路径时，只考虑hop count，不考虑网络链路的延迟和cost。RIP网络适用于平面结构的网络。RIP适用于中、小型网络。一般网络的路由器数目少于20个。OSPFOSPF是Link State，层次化拓扑的路由协议。有以下特点：仅用于IP网络，无hop count的限制，适于大型网络，支持VLSM，用hello通知

47、其他路由器本路由器工作正常。通过IP multicast发送链路更新的信息，并且仅在路由发生变化是进行更新，由此优化路由器的资源和带宽。路由收敛较快，在路径的选择中，metric主要考虑链路的延迟，支持相同cost的多条链路路由，较好地实现负载均衡。cost=100,000,000/bandwidth in bps。通过划分区域更好的规划网络，减少路由更新信息。在网络设计中推荐每个AS区域中路由器少于50个。IGRPIGRP是Distance Vector路由协议，由CISCO开发，用于大型IP及OSI网络，有以下特点：不支持VLSM（Variable Length Subnet Mask)，

48、不可能有效地利用IP地址。每90秒传送路由信息将耗费部分的带宽。在路径的选择上采用组合的metrics包括：延迟、带宽、可靠性、MTU和负载。支持多条路径路由。EIGRPEIGRP是intra-domain，先进的Distance Vector路由协议，由CISCO开发和支持：结合了距离向量(DV)协议和连接状态(LS)协议的优点，采用了DUAL算法达到网络的快速收敛。支持层次化和平面网络结构，支持VLSM网络地址分配，可在任意位边界对直接相连的网络进行路径叠合，只有在网络变化时EIGRP才发送路由表更新信息，而且只发给相关路由器，因此广域网带宽浪费很少，DUAL算法使其具有最好的收敛性。采用

49、五维参数来决定最佳路径：带宽、时延、可靠性、线路负载和最大数据包尺寸。EIGRP路由算法自动根据这五项参数值动态计算最优路径，随时更新。它采用模块化软件支持IP、IPX和AT协议。RIP由于性能和扩展性差而逐渐推出了历史的舞台。EIGRP本身的设计定位是取代IGRP的，所以IGRP也逐渐淡出。根据以上的比较，EIGRP和OSPF都比较适合大型网络，并且两者均有很多成功案例。但EIGRP属于Cisco公司专有的路由协议，兼容性较差。而OSPF的开放性和对备份线路的特别支持特性，适合作为中大规模网络。故建议采用OSPF协议作为设计广域网的路由协议。路由设计，在核心交换机上启用三层路由功能，实现各V

50、LAN间的通信，同时在核心路由器上启用动态路由协议OSPF，支持变长子网掩码，在接入的工作站和服务器上配置缺省网关。同时配合国家数据及主控中心、各省及控制中心启动OSPF动态路由协议，并做好相应的路由协议参数配置，从而实现全网统一的大的OSPF动态路由网络。将区域数据中心的路由器划入OSPF的area0内，与之相连的下级节点的设备再分别划分为不同的OSPF area，可以各级节点为单位，不同的级别节点划分不同的区域。这将最大限度的利用OSPF的分区管理优势。在IP地址的规划时已经考虑到路由汇聚，以便可以汇聚成一条路由信息向其他区域传送。通过对OSPF的适当配置，可以对省内的路由信息进行汇总。各

51、省的核心路由器作为区域边界路由器ABR，可以把进入一个区域的各单位的多条路由减少到一条路由。OSPF在路径的选择中，metric主要考虑链路的延迟。如果不同的路径有相同cost，那么OSPF可以在这些不同的路径上实现负载均衡。如果不同的路径的也cost不同，那么OSPF会有先启动cost值小（cost值越小，则链路的延迟越小）的那条路径，如果该路径失效，则OSPF会启动cost大的其他路径。OSPF的这点功能可以被用来在主备线路或多条链路上实现负载均衡功能或主备线路之间自动切换功能。为了保证网络上的工作站和服务器的最大可用性，在核心交换机上对不同的VLAN分别使用HSRP热备份路由协议，虚拟出

52、一个缺省网关，在一台核心交换机失效时，仍可以保证工作站和服务器的正常运行。在最大程度上保证了用户业务正常运行。3.1.8VLAN系统规划我们会按照用户要求，对相应部门划分不同的VLAN，满足本区域内用户的接入。实现不同VLAN的访问隔离，。3.1.9下一步的扩展1、增加INP（或IPS）入侵检测系统，动态跟踪攻击。2、外网INTERNET 增加专用路由，简少核心防火墙工作量。3、增加两套核心网络，一套专用内网，一套专用于外网，并增加安全网闸，使内外网完全隔离的同时又能相互访问。4、有条件做到专网专机使用，完全从物理上隔离。5、增加网络管理、接入认证、日志审计系统。第四章 网络及安全系统建设方案

53、4.1网络及网络安全方案根据客户要求及其应用需求，鉴于卷烟厂各部门的特殊安全性要求，在总体建设上我们采用业务与网络分层构建、逐层保护的指导原则，利用标准IP+MPLS VPN技术，保证网络的互联互通性，并提供各部门、应用系统网络间的逻辑隔离(VPN)，保证互访的安全控制，同时通过QOS和基于MPLS VPN的流量工程（TE），保证关键业务在网络上传输的优先级。对于基于同一传输网络之上的多个不同部门、应用系统之间的业务和数据隔离，我们设计采用VLAN技术实现网络横向业务部门的隔离和纵向应用系统的互通，所采用的传输及网络设备以及整体网络构架都具有良好性能、高可靠和可扩展性，充分保护用户投资。根据网

54、络业务不断发展的需求，未来将在现有数据网络平台基础上增加语音、视频等业务功能，并将各种业务充分融合，统一实现，从而构建一个基于“三网合一” 概念的企业信息化综合业务平台。全网分为核心层、汇聚层、接入层的部署思路，各部分描述如下：4.1.1核心层设计作为全网数据和业务的核心，网络上所有业务的数据流都要经过核心交换机进行交换，因此它的安全性、可靠性和高性能对于全网数据和业务应用的正常开展至关重要。我们采用的华为公司万兆核心路由交换机S7810，基于新一代核心交换机的设计理念，在本项目中具备如下特色：S7810采用先进的全分布式体系结构设计，通过主控引擎和分布式高速业务接口板上内置的Crossbar

55、交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过分布式高速业务接口板上内置的高性能ASIC和CPU与主控引擎上的CPU协同工作，实现ACL、流分类、QoS、组播等业务的全分布式处理；S7810支持灵活QinQ功能，可根据内层VLAN tag灵活标记外层VLAN tag，满足城域接入网一般建设需求；S7810采用分布式结构，支持双主控交换板，无源背板设计，所有单板支持热插拔；电源系统采用1+1冗余热备份，并支持双路电源输入；同时，Quidway S7810支持完善的QoS服务、全面的安全管理机制和电信级的高可靠性，是一款业界领先的万兆核心路由交换机产品。S7810采用先进的全分布式体系

56、结构设计，通过主控引擎和分布式高速业务接口 板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发，通过 分布式高速业务接口板上内置的高性能ASIC和CPU与主控引擎上的CPU协同工作，实现 ACL、流分类、QoS、组播等业务的全分布式处理。 S7810提供完善的QoS功能，支持WFQ和流量整形功能、WRED拥塞避免机制、基于 复杂策略的双向速率限制，提供灵活的带宽管理和保证能力，满足精细化运营需求。大容量，高性能 S7810支持1.536Tbps交换容量，支持多种高密度板卡，整机可以提供480个千兆端 口或52个万兆端口，满足核心、汇聚层设备大容量、高端口密度的要求，

57、可以满足用 户日益增长的带宽需求，能够极大地保护和节约用户投资。 灵活的VLAN交换功能 S7810支持灵活QinQ功能，可根据内层VLAN tag灵活标记外层VLAN tag，满足城域 接入网一般建设需求。还支持策略QinQ功能，可根据丰富的流分类策略，包括 VLAN tag、MAC地址、IP协议、源/目的地址、优先级或端口号等，灵活标记外 层VLAN tag， 弥补传统灵活QinQ的不足，更好地满足城域接入网不同业务分类和分流的需求。S7810 支持VLAN交换(VLAN Translation)，支持单、双层VLAN复杂交换功能，可灵活规划接入网VLAN资源。4.1.2汇聚层设计汇聚层在

58、骨干网络中起到承上启下的作用，应具备可靠性、高性能和多业务兼顾的特点。我们采用的华为公司三层交换机S3952P，在本项目中具备如下特色：Quidway S3952P全千兆交换机作为政务网项目汇聚层，汇聚层设备不但分担了核心设备的部分压力，同时提高了网络的安全性，同时提供大容量、高密度、模块化的二、三层线速转发性能，具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足卷烟厂网络多业务、高可靠、大容量、模块化的需求。基于VLAN的业务控制 S3900提供基于VLAN的批量ACL下发，能支持对报文的过滤、优先级设置。S3900支持QinQ和灵活QinQ，针对不同业务

59、报文打不同外层标签，便于业务分离。 高可靠性 S3952支持STP/RSTP/MSTP生成树协议和Smartlink技术，能实现主备链路毫秒级倒换。S3952支持VRRP虚拟路由冗余协议，支持等价路由，实现路由多级备份。S3952支持交流/直流双输入，二者之间热备份。 丰富业务支撑能力 S3952（PWR型号）支持PoE（Power Over Ethernet），即可通过双绞线向远端下挂PD设备提供-48V直流电源，实现对下挂PD设备远端供电。S3952通过支持POE和Voice VLAN技术，提供完美的数据和语音融合解决方案。S3952支持DHCP Snooping、DHCP Snoopin

60、g Trust和Option82，满足IPTV业务开展需要。S3952支持单纤双向模块，能实现单根光纤双向传输，解决光纤资源不足问题。完备的安全控制策略 S3952支持集中式MAC地址认证和802.1x认证，还可以通过灵活的MAC、IP、PORT任意组合绑定，有效地防止非法用户访问网络。支持DUD(Disconnect Unauthorized Device)认证，通过MAC地址学习数目限制和MAC地址与端口绑定实现。支持用户分级管理和口令保护，支持MAC地址学习数目限制、MAC地址与端口绑定、端口隔离、MAC地址黑洞；支持防止DoS攻击功能。支持HWTACACS，可提供安全的信息保障和强大的