《南充政务网络方案设计书》

南充政务网络方案设计书设计日期：201南充政务网络方案设计书设计日期：2016年7月16日前言当今社会已步入信息化社会，信息成为社会经济发展的核心因素，信息化已成为当今世界的潮流。自从1993年美国政府公布了“信息高速公路计划”后，在世界引起了巨大反响，许多发达国家和一些发展中国家也相继提出了本国的信息基础设施计划。可以说，信息化程度已成为衡量一个国家现代化水平和综合国力的重要标志。当然将信息化管理应用于政府部门也是顺应潮流。换句话说，我国政府部门走信息化道路是时代的发展必要选择。随着近年来信息化建设的深入，政府管理的运作越来越融入计算机网络。政府行业的网络建设也沿着互联网的构建、连通、管理、优化这一趋势发展。我国政府行业单位正迈向主流网络建设稳健信息化步伐向前。本项目概况：园区网概况：整个政府园区有3栋大楼，1号楼和2，3号楼，网络中心位于1号楼7楼，采用三层网络结构，采用双核心冗余架构。广域网概况：

采用冗余路由，上连：省政府，下连：阆中市、西充县、南部县、仪陇县、营山县、蓬安县；主连接使用电信专线，备用连接使用IPSecVPN。互联网概况：采用冗余防火墙，政务网站、移动办公VPN等对外提供服务的设备接入到防火墙DMZ区域。网络安全：部署上网行为管理设备，对办公人员上网进行管理；在数据中心入口、DMZ区域入口、广域网入口部署IDS（入侵检测设备）检测网络安全威胁。总体设计目标在先进成熟的计算机和通信技术的基础上，建成一个覆盖南充市市政府各府各部门、各处室、基层各级单位的办公自动化系统，实现南充市各级政府的综合办公。实现行政机关的办公现代化信息资源化、传输网络化和决策科学化。为用户提供各种现代化办公手段和电子交流方式。本组成员有：组长：孙力跃。组员：王科茗、刘泓麟、李垒、文成和林小强。组长负责设计书中的前言、目录和汇总。Internet拓扑设计图。王科茗负责设计书中的南充政务网络Internet设计段落。1号楼布线设计图。刘泓麟负责设计书中的南充政务网络建设的需求分析段落。2号楼布线设计图。李垒负责设计书中的南充政务综合布线设计段落。3号楼布线设计图。文成负责设计书中的南充政务网络的园区设计段落。园区网拓扑设计图。林小强负责设计书中的南充政务网络广域网设计段落。广域网拓扑设计图。TOC\o"1-3"\h\u4867前言 -1-8819第一章南充政务网络建设的需求分析 -4-73381.1概述 -4-2201.2系统分析 -5-139381.2.1政府办公网网的设计目标 -5-79661.2.2政府办公网网络的总体设计思想 -6-309751.3用户需求分析 -7-243491.4政府办公网网络络系统设计方案 -8-816第二章南充政务网络综合布线设计 -9-160302.1管理间子系统设计 -9-216502.2BIX交叉连接系统 -10-154682.3通信跳线架的安装 -11-164922.4理线架安装 -11-60702.7管理间子系统工程经验 -13-26154第三章南充政务网络园区网设计 -14-172233.1主要园区网技术： -14-169503.1.1堆叠技术 -14-295713.1.2SpaningTree冗余 -14-170233.1.3链路聚合 -15-95543.1.4三层交换 -15-256543.1.5HRSP冗余 -16-116153.2网络拓扑的分层设计： -16-196043.2.1分层网络设计的好处 -17-67433.3网络的拓扑结构 -18-73263.3.1星型网络 -18-189503.3.2环形网络 -19-703.3.3总线型网络 -21-206193.3.4树型网 -21-15197第四章南充政务网络广域网设计 -22-25524.1PSTN -22-192374.2DDN -23-128194.3SDH -25-10646第五章南充政务网络Internet设计 -27-315185.1课题意义 -27-265005.2网络安全技术 -28-91585.3防火墙介绍 -29-156965.4防火墙技术 -29-198875.5IDS技术（入侵检测技术） -30-281085.5.1简介 -30-85015.5.2技术划分 -30-300635.5.3对象划分 -30-287575.6VPN技术 -31-第一章南充政务网络建设的需求分析1.1概述目前，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet）上相连的计算机已近达数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。成为信息时代全球可共享的最大信息基地。当前由于网络、数据库及与之相关的应用技术不断发展，尤其国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算时代。人们传统的交互和工作模式正在改变。处在不同地理位置的人们可以共享数据，使用群件技术（GroupWare）进而能够协同工作；多媒体数据的存储、传输、应用技术的不断成熟；以上这些计算机技术的发展对传统的计算机业务系统产生影响，使用户能更方便。更直观的使用系统，也使系统的性能更完善、功能更强大。政府办公网网络建设的目标简而言之是将政府办公网内各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成政府办公网园区内部的Intranet系统，对外通过路由设备接入广域网。建设政府办公网网络不是一件容易的事情,要经过周密的论证、谨慎的决策和紧张的施工。当一堆设备变成网络的时候,大部分办公人员的满腔热情也慢慢地冷却凝固。政府办公网网络建成了,各种问题也不断涌现:设计目标根本无法实现,没有合适的应用软件,许多设想根本无法实施,后续的维护费用不堪承受等等。我们针对计算机网络提出的需求，结合我们多年来建设各类系统集成项目的实际经验，提出计算机网络建设的设计方案，希望能最好地解决用户的实际应用问题。同时由于我们对用户的具体情况的认识可能存在偏差，因此整个方案在实施过程中有可能需要与用户进行进一步的沟通。1.2系统分析1.2.1政府办公网网的设计目标由于网络是一个新概念,在国内发展还不成熟,所以无论是办公、媒体,还是计算机业界,对网络都缺乏全面深入的理解和认识,并都带有一定的盲目性和偏见,不知道金杯网络应该起什么作用。网络缺乏相应的应用软件。现在所谓的网络多是一些系统集成商基于先进的硬件设备提出的解决方案,是设备集成。由于网络技术是一门比较新的技术,致使许多人产生了"重视硬件,轻视软件"的想法,国内斥资开发这方面软件的软件公司也很少,造成了软件匮乏的局面。只注重有形的网络的建设而忽略了无形的文化的建设是网络失败的最关键的原因。这里所指的"无形的文化"是指人们的观念、工作方式、利益结构、办公的管理运作模式等看不见、摸不着的东西。从某种意义上讲,网络的建设绝不仅仅只是涉及到技术问题,而是会引申到更深的层次,也就是说信息技术所带来的一场革命会彻底改变我们的生活方式和工作方式。网络方案越昂贵越好吗？作为主管人员必须研究,以后会有什么样的用途,能不能发挥这些设备的潜能,这些设备能不能满足未来发展的需要。但是,目前的网络系统集成多数是先进的设备的集成,少则几十万,一般几百万,多则几千万。花几百万采用ATM技术建起来的网络,只用来进行文件共享。基于以上的一些状况，我们提出政府办公网网络建设的目标应该是：第一、网络平台搭建：建设一个以办公自动化、计算机辅助办公、现代计算机政府办公网文化及办公自动化为核心，以现代网络技术为依托，技术先进、扩展性强、能覆盖主要楼宇的政府办公网主干网络，将办公的各种PC机、工作站、终端设备和局域网连接起来，并与有关单位局域网通过INTERNET进行远程互连，在网上宣传自己和获取Internet网上资源。第二、办公自动化：形成结构合理、内外沟通的政府办公网计算机网络系统，在此基础上建立能满足办公、科研和管理工作需要的软硬件环境，开发各类信息库和应用系统，为办公各类人员提供充分的网络信息服务。系统总体设计将本着总体规划、分布实施的原则，充分体现系统的技术先进性、高度的安全可靠性，同时具有良好的开放性、可扩展性。本着为办公着想，合理使用建设资金，使系统经济可行。建立OA无纸自动化办公系统.第三、防盗监控：根据政府办公网实际情况，建立监控防盗系统.要求达到全方位观察、记录各主要场所的人员活动情况，充当政府办公网忠实的守护神，并及时发现各种安全隐患和违章行为，便于有效处理及制止事故的进一步发展，更为某些事件日后的调查、处理提供了直观的查询资料，以创造安全的生活环境及完善各项管理.第四、视频会议：考虑到现行办公网络的需求，我们将通过办公自动化系统的支持，实现高效率的视频会议系统.以用于会议、商务会谈、集团研讨中，并在会议中，对与会者的语言、信息进行准确交流。

第五、无线办公网络

：基于网络设计先进性方面的考虑，在方案设计中我们采用了无线网络技术。TREDNET无线网络产品家族遵循最先进的IEEE网络标准，让你自由地配置你的网络。只要你愿意，你可以在任何地方共享网络资源。你可以在办公室里自由地连接到网络共享网络资源而无须线缆羁绊。第六、防雷系统：为了保证网络安全我们应该采用防雷系统，这样，我们的网络就可以有效的避免雷击对网络设备的危害。这部分工作，将在网络系统建设完毕后进行。1.2.2政府办公网网络的总体设计思想政府办公网网络不只是涉及技术方面，而是包括网络设施、应用平台、信息资源、专业应用、人员素质等众多成份的综合化以及信息化办公环境系统。因此，在总体上如何筹划、组织网络建设和开发应用的设计思想是政府办公网网络建设中的最重要的问题。总体设计是政府办公网网络建设的总体思路和工程蓝图，是搞好政府办公网网络建设的核心任务。进行政府办公网网络总体设计，首先是进行对象研究和需求调查，弄清办公的性质、任务和改革发展的特点，对办公的信息化环境进行准确的描述，明确系统建设的需求和条件；其次，在应用需求分析的基础上，确定办公Intranet服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求、建设目标和办公主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排政府办公网网络建设的实施步骤。政府办公网网络总体设计方案是否科学，要看其能否满足以下基本要求：1.整体规划安排。从办公建设的全局和全面工作需要出发，考虑部门的地理分布和通信条件。整体规划网络建设方案，对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规定。2.先进性、开放性和标准化相结合。尽量采用符合国际工业标准的、比较成熟的技术，兼顾网络技术的发展方向，选择结构化、可扩充、多用途的网络产品，保证网络在较长时间内不落后。3.结构合理。在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，便于使用、管理和维护。4.高效实用。着眼于办公、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台，例如可视化计算，计算机协同作业，虚拟网络，虚拟现实，计算机仿真，远程计算机与数据处理等。5．支持宽带多媒体业务，例如远程办公、多媒体网络办公室、视频会议6．为学术交流提供良好的环境与Internet进行高速互连，快速访问Internet，与国内外同行交流信息、协同工作和展示办公的形象。1.3用户需求分析政府办公网网络建设本期工程是一个基础性的建设工程，主要是完成搭建网络平台的任务。我们多年从事各类集成项目的实践经验证明，网络平台只是一个舞台，占据主角地位的是应用系统。虽然在用户中没有对这一部分做出具体要求，但我们本着对用户负责的态度，在方案设计中一方面完成用户本期建设需求，另一方面考虑用户未来的应用发展，提出对用户未来应用的一些建议性意见，以期用户可以最好地实现自己最初的建设目标。本期政府办公网网络建设任务可以归纳为以下几点：1.政府办公网网络布线工程完成办公楼内部的结构化布线工程和信息系统集成。2.网络设备配置配备网络交换设备，实现楼宇间的千兆光纤连接，保证未来各应用系统的实施。3.网管系统设计提供可以对整个网络系统进行管理的中文图形界面工具，使系统维护人员可以集中控制网络的所有设备。（可选）4.内、外网隔离通过硬盘隔离卡及双布线系统、双网络设备实现办公内网与外网隔离。1.4政府办公网网络络系统设计方案网络系统是应用系统的运行平台，在整个系统建设中处于基础性的地位。网络系统的设计必须根据用户的具体情况和实际应用需求。政府办公网网络具有整个系统涉及楼宇数量众多、网络结构复杂、网络主干由于存在未来实施的视频点播等应用造成流量庞大等实际特点。因此，在网络系统设计上，网络技术选型和网络设备配置是需要重点加以考虑的问题。（一）网络技术选型原则稳定可靠的网络只有运行稳定的网络才是可靠的网络，而网络的可靠运行取决于诸多因素，如网络的设计，产品的可靠，而选择一个具有运营此类网络规模经验的网络合作厂商则更为重要。要求有物理层、数据链路层和网络层的备份技术。高带宽为了支持数据、话音、视像多媒体的传输能力，在技术上要到达当前的国际先进水平。要采用最先进的网络技术，以适应大量数据和多媒体信息的传输，既要满足目前的业务需求，又要充分考虑未来的发展。为此应选用高带宽的先进技术。易扩展的网络系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。易扩展不仅仅指设备端口的扩展，还指网络结构的易扩展性：即只有在网络结构设计合理的情况下，新的网络节点才能方便地加入已有网络；网络协议的易扩展：无论是选择第三层网络路由协议，还是规划第二层虚拟网的划分，都应注意其扩展能力。QoS保证随着网络中多媒体的应用越来越多，这类应用对服务质量的要求较高，本网络系统应能保证QoS，以支持这类应用。安全性网络系统应具有良好的安全性，由于网络连接园区内部所有用户，安全管理十分重要。应支持VLAN的划分，并能在VLAN之间进行第三层交换时进行有效的安全控制，以保证系统的安全性。容易控制管理因为上网用户很多，如何管理好他们的通信，做到既保证一定的用户通信质量，又合理的利用网络资源，是建好一个网络所面临的首要问题。IPMulticast由于政府办公网网络中包含许多多媒体应用通信，会存在许多的广播信息，占用大量的带宽资源。所以在本项目中，网络系统应能支持IPMulticast，可以减少网络中不必要的广播，节省主干的带宽。符合IP发展趋势的网络在当前任何一个提供服务的网络中，对IP的支持服务是最普遍的，而IP技术本身又处在发展变化中，如IpV6，IPQoS，IPOverSONET等等新兴的技术不断出现，政府办公网网络络必须跟紧IP发展的步伐，也就是必须选择处于IP发展领导地位的网络厂商。（二）主干网网络技术选型在政府办公网网络的建设中，主干网选择何种网络技术对网络建设的成功与否起着决定性的作用。选择适合政府办公网网络需求特点的主流网络技术，不但能保证网络的高性能，还能保证网络的先进性和扩展性，能够在未来向更新技术平滑过渡，保护用户的投资。根据招用户要求，我们主干网络可选用千兆以太网技术。目前流行的局域网、城域网技术主要包括以太网、快速以太网、ATM（异步传输模式）、FDDI、CDDI、千兆以太网等。在这些技术中，千兆以太网以其在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等特点正逐渐占据主流位置。第二章南充政务网络综合布线设计2.1管理间子系统设计的主要作用是：应考虑的问题6建筑群图2-1管理间子系统示意图间图2-2布线安装结构管理间的设置可以为每层楼都设立一个，但是成本比较高。除非该楼层需要特殊管理或布线点特别多>200个。多数情况下，考虑成本关系，一般按照100—200个信息点设置一个管理间；一个管理间可以负责相邻几个楼层布线点的接入和管理。管理间子系统以配线架(双绞线、光纤、语音）为主要设备，包含其他相关附件，如理线架、跳线等。这些设备和附件都安装在标准机柜上。1．管理间电源要求

管理间应提供不少于两个220V带保护接地的单相电源插座。

管理间如果安装电信管理或其它信息网络管理时，管理供电应符合相应的设计要求。2.管理间门要求

管理间应采用外开丙级防火门，门宽大于0.7m。3.管理间环境要求

管理间内温度应为10～35℃，相对湿度宜为20％～80％。一般应该考虑网络交换机等设备发热对管理间温度的影响，在夏季必须保持管理间温度不超过35℃。2.2BIX交叉连接系统

BIX交叉连接系统是IBDN智能化大厦解决方案中常用的管理器

件，可以用于计算机网络、电话语音、安保等弱电布线系统。BIX交叉连接系统主要由以下配件组成：

（1）50，250，300线对的BIX安装架；

（2）25对BIX连接器，如图7-8所示；

（3）布线管理环；

（4）标签条；

（5）电缆绑扎带；

（6）BIX跳插线。 BIX安装架可以水平或垂直叠加，可以很容易地根据布线现场要求进行扩展，适合于各种规模的综合布线系统。BIX交叉连接系统既可以安装在墙面上，也可使用专用套件固定在19英寸的机柜上。图7-11为一个安装完整的BIX交叉连接系统。图7-11BIX交叉连接系统2.3通信跳线架的安装

通信跳线架主要是用于语音配线系统。一般采用110跳线架，主要是上级程控交换机过来的接线与到桌面电话终端的语音信息点连接线之间的连接和跳接部分，便于管理、维护、测试。其安装步骤如下：

1）取出110跳线架和附带的螺丝。

2）利用十字螺丝刀把110跳线架用螺丝直接固定在网络机柜的立柱上。

3）理线。

4）按打线标准把每个线芯按照顺序压在跳线架下层模块端接口中。

5）把5对连接模块用力垂直压接在110跳线架上，完成下层端接。

2.4理线架安装理线架的安装步骤如下：

1）取出理线环和所带的配件--螺丝包。

2）将理线环安装在网络机柜的立柱上。

注意：在机柜内设备之间的安装距离至少留1U的空间，便于设备的散热。

2.5建筑物楼道半嵌墙安装方式

在特殊情况下，需要将管理间机柜半嵌墙安装，机柜露在外的部分主要是便于设备的散热。这样的机柜需要单独设计、制作。具体安装如图7-18所示。

图7-18半嵌墙安装网络机柜示意图

2.6住宅楼改造增加综合布线系统

在已有住宅楼中需要增加网络综合布线系统时，一般每个住户考虑1个信息点，这样每个单元的信息点数量比较少，一般将一个单元作为一个管理间，往往把网络管理间机柜设计安装在该单元的中间楼层，如图7-19所示。图7-19旧住宅楼安装网络机柜示意图设备间设计应考虑的问题地面线槽铺设施工图

地面线槽铺设就是从楼层管理间引出的线缆走地面（地板）线槽到地面出线盒或由分线盒引出的支管到墙上的信息出口

图7-20地面线槽铺设施工图2.7管理间子系统工程经验1.一般情况下，我们是根据建筑物中网络信息点的多少，来确定管理间的位置和安装网络机柜的规格。有时我们在规划机柜内安装设备的空间后，必须考虑到增加信息点和设备的散热等因素，还要预留出1~2U的空间，以便将来有更大的发展时，很容易将设备扩充进去。2.工程经验二配线架、交换机端口的冗余

必须在机柜内配线架和交换机端口做相应冗余，如增加用户或设备时，只需简单接入网络即可。

3.工程经验三分清大对数语音电缆的线序

在管理间和设备间的打线过程中，经常会碰到25对或者100对大对数线缆的打接问题，不容易分清，在这里，为大家进行简单的参数。以25对线缆为例，线缆有五个基本颜色，顺序为白、红、黑、黄、紫，每个基本颜色里面又包括五种颜色顺序，分别为蓝、橙、绿、棕、灰。即所有的线对1～25对的排序为白蓝、白橙、白绿、白棕、白灰……紫蓝、紫橙、紫绿、紫棕、紫灰。对于100对线缆里面用以25对线缆为例说明。100对线缆里面用蓝、橙、绿、棕四色的丝带分成四个25对分组，每个分组再按上面的方式相互缠绕，我们就可以区分出100条线对。这样，我们就可以一一对应地打在110配线架的端子上，只要在管理间和设备间都采用同一种打线顺序，然后做好线缆的标识工作，就可以方便地用来传输信号了。第三章南充政务网络园区网设计3.1主要园区网技术：3.1.1堆叠技术交换机堆叠是通过厂家提供的一条专用连接线，从一台交换机的“UP”堆叠端口直接连接到另一台交换机的“DOWN”堆叠端口，以实现单台交换机端口数的扩充。一般交换机能够堆叠4~9台。为了使交换机满足大型网络对端口的数量要求，一般在大型网络中都采用交换机的堆叠方式来解决。要注意的是只有可堆叠交换机才具有这种端口，即拥有“UP”“DOWN”。当多个交换机连接在一起时，可以当做一个单元设备来进行管理。一般情况下，当多个交换机堆叠时，其中存在一个可管理交换机，可对此可堆叠交换机中其他“独立交换机”进行管理。可堆叠交换机可以非常方便的实现对网络的扩充，是新建网络时最为理想的选择。堆叠中的所有交换机可视为一个整体的交换机来进行管理，也就是说，堆叠中所有的交换机从拓扑结构上可视为一个交换机。堆栈在一起的交换机可以当作一台交换机来统一管理。交换机堆叠技术采用了专门的管理模块和堆栈连接电缆，这样做的好处是，一方面增加了用户端口，能够在交换机之间建立一条较宽的宽带链路，这样每个实际使用的用户带宽就有可能更宽（只有在并不是所有端口都在使用情况下）。另一方面多个交换机能够作为一个大的交换机，便于统一管理。3.1.2SpaningTree冗余为了保持网络的稳定性，在多台交换机组成的网络环境中，通常都使用一些备份连接，以提高网络的健壮性、稳定性，这里的备份连接也称为备份链路或者冗余链路。在骨干网设备连接中,单一链路的连接很容易实现,但一个简单的故障就会造成网络的中断.因此在实际网络组建的过程中,为了保持网络的稳定性,在多台交换机组成的网络环境中,通常都使用一些备份连接,以提高网络的健壮性、稳定性.这里的备份连接也称为备份链路或者冗余链路.备份链路之间的交换机经常互相连接,形成一个环路,通过环路可以在一定程度上实现冗余.链路的冗余备份能为网络带来健壮性、稳定性和可靠性等好处,但是备份链路也会使网络存在环路,环路问题是备份链路所面临的最为严重的问题,交换机之间的环路将导致网络新问题的发生:广播风暴，多帧复制，地址表的不稳定。生成树协议的作用是为了提供冗余链路，解决网络环路问题，生成树协议通过SPA（生成树算法）生成一个没有环路的网络，当主要链路出现故障时，能够自动切换到备份链路，保证网络的正常通信3.1.3链路聚合链路聚合是将两个或更多数据信道结合成一个单个的信道，该信道以一个单个的更高带宽的逻辑链路出现。链路聚合一般用来连接一个或多个带宽需求大的设备，例如连接骨干网络的服务器或服务器群。链路聚合有如下优点：1、增加网络带宽链路聚合可以将多个链路捆绑成为一个逻辑链路，捆绑后的链路带宽是每个独立链路的带宽总和。2、提高网络连接的可靠性链路聚合中的多个链路互为备份，当有一条链路断开，流量会自动在剩下链路间重新分配。3.1.4三层交换三层交换（也称多层交换技术，或IP交换技术）是相对于传统交换概念而提出的。众所周知，传统的交换技术是在OSI网络标准模型中的第二层――数据链路层进行操作的，而三层交换技术是在网络模型中的第三层实现了数据包的高速转发。简单地说，三层交换技术就是：二层交换技术+三层转发技术。第三层交换提供以下优点:l提高了网络效率：第三层交换机通过允许网络管理员在第二层VLAN进行路由业务，确保将第二层广播控制在一个VLAN内，降低了业务量负载。l可持续发展：由于OSI层模型的分层特点，第三层交换机能够创建更加易于扩展和维护的更大规模的网络。l更加广泛的拓扑选择：基于路由器的网络支持任何拓扑，并能更轻易超过类似第二层交换网络的更大规模和复杂程度。l工作组和服务器安全：第三层设备能根据第三层网络地址创建接入策略，这允许网络管理员控制和阻塞某些VLAN到VLAN通信，阻塞某些IP地址，甚至能防止某些子网访问特定的信息。l更加优异的性能：通过使用先进的ASIC技术，第三层交换机可提供远远高于基于软件的传统路由器的性能。比如，每秒4000万个数据包对每秒30万个数据包。第三层交换机为千兆网络这样的带宽密集型基础架构提供了所需的路由性能3.1.5HRSP冗余HSRP的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障特点：1.高度的可靠性，两台路由器之间采用HSRP（热备份冗余协议）协议，来保证两台路由器中的任意一台down掉，或路由器的广域网口down，都会迅速切换到另外一台。2.有效的实现了负载均衡，在STAR－S1924F+上划分出各自的VLAN，储蓄子网VLAN在左侧路由器上的HSRP的优先级较高，默认使用网通的FR线路；邮政系统（办公、报刊、EMS、VOIP等等）子网VLAN在右侧路由器上的HSRP的优先级较高，默认使用联通的FR线路。充分利用了带宽资源，而且实现了负载均衡。3.充分利用了多以太口路由器在划分多业务网段上的功能，也只有多以太口路由器在HSRP应用中才能实现两个路由器间的负载分担，这是具有四个以太口路由器的极大的优点。4.在右侧路由器上启用QoS策略，VoIP业务需要较低的延时，所以将VoIP业务设置成较高的优先级。5.通过在交换机上设置VLAN，有效的控制了两个子网间的安全。6.不存在单点故障问题。3.2网络拓扑的分层设计：设计大型网络，可以从中心开始把网络划分为核心层、分布层和接入层，每层的功能不一样，各有其特点，然后按照层次用不同的要求设计网络，3.2.1分层网络设计的好处采用分层网络设计有许多好处，如：可伸缩性：分层网络伸缩性非常好，模块化设计允许你在网络扩大时直接复制设计元素，因为模块的每一个实例都是一致的，网络扩展更易于规划和实施，例如，如果你的设计模型是每10个访问层交换机配两个分发层交换机，在添加分发层交换机之前，你可以继续添加访问层交换机，直到这两个分发层交换机连接的访问层交换机达到10个，同样，当你的分发层交换机达到一定数量后，你也应该添加核心层交换机，分担来自分发层交换机的网络流量。冗余：随着网络的增长，可用性变得越来越重要，你可以通过分层网络的冗余实现提高其可用性，访问层交换机连接到两个不同的分发层交换机，确保链路冗余，如果某个分发层交换机出现故障，访问层交换机可以转到另一个分发层交换机。此外，分发层交换机也连接到两个或更多核心层交换机，在核心交换机出现故障的情况下，确保链路始终可用。只有访问层不容易做到冗余，通常，每个终端设备，如PC、打印机和IP电话不能连接到多个访问交换机，因为它们往往只有一块网络接口卡，如果访问层交换机出现故障，只有连接到该交换机的终端设备受到影响，网络中的其它设备可以继续正常使用网络。性能：避免通过低性能，中间交换机传输数据提高通信性能，大多数时候，数据是通过汇聚交换机端口链路从访问层到分发层以近线速发送的，分发层使用它的高性能交换机能力将数据转发给核心层，再路由到最终目的地。因为核心层和分发层以非常快的速度执行它们的操作，不会造成网络带宽竞争。最终，设计良好的分层网络可以实现所有设备之间的近线速数据传输。安全：在分层网络设计中，安全得到了改善，并且更加易于管理，访问层交换机可以配置多种端口安全选项，控制哪些设备可以连接到网络，在分发层，你还可以灵活使用更先进的安全策略来控制，你可以应用访问控制策略定义哪些通信协议可以在你的网络上使用，例如，如果你想限制某个用户在访问层上使用HTTP协议，你可以在分发层应用策略阻止HTTP通信，基于高层协议约束通信，如IP和HTTP，需要你的交换机能在那一层处理这些策略，有些访问层交换机也支持3层功能，但通常应该由分发层交换机来完成3层数据的处理，因为它们处理效率更高。可管理性：对于分层网络，管理相对来说更简单了，分层设计中的每一层执行特定的功能，因此，如果你需要改变某个访问层交换机的功能，你需要同时修改网络中所有访问层交换机的功能，以便保持一致。部署新交换机也很简单，因为交换机的配置可以直接从其它同层设备复制过来，只做少量改动即可。每一层交换机之间的一致性对于快速恢复和简化故障排除都有帮助，在某些特殊情况下，设备之间的配置可能不一致，因此你应该确保所有设备的配置都有良好的文档记录，以便于在部署前对比。可维护性：因为分层网络天生就是模块化的，且具有很好的伸缩性，因此可维护性自然也就很好，对于其它网络拓扑设计，可管理性会随网络的增长变得越来越复杂，同样，在某些网络设计模型中，网络扩容的量是有限制的，不可能无限制地增长，因为它的复杂性会变得几乎不可维护，价格更是高昂。在分层设计模型中，交换机功能是在每一层定义的，正确选择交换机变得更加容易。向某一层添加交换机也并不一定意味着那一层存在瓶颈或其它层存在限制，为了让一个完整的网络拓扑实现性能最大化，所有交换机都需要高性能交换机，因为每个交换机都需要具有执行所有网络功能的能力。在分层模型中，交换机功能在每一层都有所不同，你可以在最底层通过使用廉价的访问层交换机来节省成本，在分发层和核心层交换机上花更多的钱，实现高性能的网络。3.3网络的拓扑结构网络拓扑结构分类：3.3.1星型网络各站点通过点到点的链路与中心站相连。特点是很容易在网络中增加新的站点，数据的安全性和优先级容易控制，易实现网络监控，但中心节点的故障会引起整个网络瘫痪。星型结构是最古老的一种连接方式，大家每天都使用的电话就属于这种结构。如下图所示，是目前使用最普遍的以太网（Ethernet）星型结构，处于中心位置的网络设备称为集线器，英文名为Hub。星形拓扑：这种结构便于集中控制，因为端用户之间的通信必须经过中心站。由于这一特点，也带来了易于维护和安全等优点。端用户设备因为故障而停机时也不会影响其它端用户间的通信。但这种结构非常不利的一点是，中心系统必须具有极高的可靠性，因为中心系统一旦损坏，整个系统便趋于瘫痪。对此中心系统通常采用双机热备份，以提高系统的可靠性。还应指出，以Hub构成的网络结构，虽然呈星型布局，但它使用的访问媒体的机制却仍是共享媒体的总线方式。星形拓扑结构具有以下优点：（1）控制简单。（2）故障诊断和隔离容易。（3）方便服务。星形拓扑结构的缺点：（1）电缆长度和安装工作量可观。（2）中央节点的负担较重，形成瓶颈。（3）各站点的分布处理能力较低图3-13.3.2环形网络各站点通过通信介质连成一个封闭的环形。环形网容易安装和监控，但容量有限，网络建成后，难以增加新的站点。环型结构在LAN中使用较多。这种结构中的传输媒体从一个端用户到另一个端用户，直到将所有端用户连成环型，如下图所示。这种结构显而易见消除了端用户通信时对中心系统的依赖性。环型结构的特点是，每个端用户都与两个相临的端用户相连，因而存在着点到点链路，但总是以单向方式操作，于是便有上游端用户和下游端用户之称。例如用户N是用户N+1的上游端用户，N+1是N的下游端用户。如果N+1端需将数据发送到N端，则几乎要绕环一周才能到达N端。环上传输的任何信息都必须穿过所有端点，因此，如果环的某一点断开，环上所有端间的通信便会终止。为克服这种网络拓扑结构的脆弱，每个端点除与一个环相连外，还连接到备用环上，当主环故障时，自动转到备用环上。环型网络的一个例子是令牌环局域网，这种网络结构最早由IBM推出，但之前被其它厂家采用。在令牌环网络中，拥有“令牌”的设备允许在网络中传输数据。这样可以保证在某一时间内网络中只有一台设备可以传送信息。适用于IEEE802.5的令牌网（Tokenringnetwork）在这种网络中，"令牌"是在环型连接中依次传递。所用的传输介质一般是同轴电缆。网络实现非常简单，投资最小可以从其网络结构示意图中看出，组成这个网络除了各工作站就是传输介质--同轴电缆，以及一些连接器材，没有价格昂贵的节点集中设备，如集线器和交换机。但也正因为这样，所以这种网络所能实现的功能最为简单，仅能当作一般的文件服务模式；传输速度较快在令牌网中允许有16Mbps的传输速度，它比普通的10Mbps以太网要快许多。当然随着以太网的广泛应用和以太网技术的发展，以太网的速度也得到了极大提高，之前普遍都能提供100Mbps的网速，远比16Mbps要高。维护困难从其网络结构可以看到，整个网络各节点间是直接串联，这样任何一个节点出了故障都会造成整个网络的中断、瘫痪，维护起来非常不便。另一方面因为同轴电缆所采用的是插针式的接触方式，所以非常容易造成接触不良，网络中断，而且这样查找起来非常困难，这一点相信维护过这种网络的人都会深有体会。扩展性能差也是因为它的环型结构，决定了它的扩展性能远不如星型结构的好，如果要新添加或移动节点，就必须中断整个网络，在环的两端作好连接器才能连接。图3-23.3.3总线型网络网络中所有的站点共享一条数据通道。总线型网络安装简单方便，需要铺设的电缆最短，成本低，某个站点的故障一般不会影响整个网络。但介质的故障会导致网络瘫痪，总线网安全性低，监控比较困难，增加新站点也不如星型网容易，现在已经基本淘汰此类网络。1、结构简单：网络各接点通过简单的搭线器（T头）即可接入网络，施工类似接电视天线。2、走线量小：星型网络需要从中心集线器向每个网络接点单独甩线，如果不用线巢走线的话，地面上经常爬满一捆一捆的网线。对于装修考究的网吧，必须要用线巢、接线盒走线，这会大量增加布线成本和工作量，在需要移动接点位置时，更是麻烦。而总线型网络所有接点共用一条电缆，走线量要比星型小许多倍，并且看起来很规整，除个别处外，可以不用线巢。所以这种布线方式最适合对网速要求不高，单个房间内有大量接点相临摆放的网吧使用。3、成本较低；总线型网络因用线量小，无需集线器等昂贵的网络设备，不用线巢、接线盒等结构化布线材料，成本要大大低于星型网络。如果再采用无盘工作站，是网吧最廉价的解决方案。4、扩充灵活：星型网络在增加接点数目时有时是一件极其痛苦的事，如果在网络最初规划时留的空间较小，可能会遇到下列情况可能会因为只增加一个接点而必须购买一个交换机；而总线型网络只需增加一段电缆和一个T头就可增加一个接点。缺点：1、最高速度为10M。2、无法应用交换技术。3、网络无法采用分层结构3.3.4树型网树型拓扑实际上是星型拓扑的发展和补充，为分层结构，具有根节点和各分支节点，适用于分支管理和控制的系统。[树型拓扑结构是网络节点呈树状排列，整体看来就象一棵朝上的树，因而得名。树型拓扑具有较强的可折叠性，非常适用于构建网络主干，还能够有效地保护布线投资。这种拓扑结构的网络一般采用光纤作为网络主干，用于军事单位、政府单位等上下界限相当严格和层次分明的网络结构。与星型拓扑相比，它们有许多相似的优点，比星型拓扑的扩展性更高。树型拓扑优点：易于扩展，可以延伸出很多分支和子分支，因而容易在网络中加入新的分支或新的节点。易于隔离故障。如果某一线路或某一分支节点出现故障，它主要影响局部区域，因而能比较容易地将故障部位跟整个系统隔离开。树型拓扑缺点：树型拓扑的缺点与星型拓扑类似，若根节点出现故障，也会引起全网不能正常工作。图3-3第四章南充政务网络广域网设计4.1PSTNPSTN提供的是一个模拟的专有通道，通道之间经由若干个电话交换机连接而成。当两个主机或路由器设备需要通过PSTN连接时，在两端的网络接入侧（即用户回路侧）必须使用图4-1PSTN调制解调器（Modem）实现信号的模/数、数/模转换。从OSI七层模型的角度来看，PSTN可以看成是物理层的一个简单的延伸，没有向用户提供流量控制、差错控制等服务。而且，由于PSTN是一种电路交换的方式，所以一条通路自建立直至释放，其全部带宽仅能被通路两端的设备使用，即使他们之间并没有任何数据需要传送。因此，这种电路交换的方式不能实现对网络带宽的充分利用。通过PSTN进行网络互联举例下图是一个通过PSTN连接两个局域网的网络互连的例子。在这两个局域网中，各有一个路由器，每个路由器均有一个串行端口与Modem相连，Modem再与PSTN相连，从而实现了这两个局域网的互连。PSTN的入网方式比较简便灵活，通常有以下几种：通过普通拨号电话线入网。只要在通信双方原有的电话线上并接Modem，再将Modem与相应的上网设备相连即可。2013年大多数上网设备，如PC或者路由器，均提供有若干个串行端口，串行口和Modem之间采用RS-232等串行接口规范。这种连接方式的费用比较经济，收费价格与普通电话的收费相同，可适用于通信不太频繁的场合。通过租用电话专线入网。与普通拨号电话线方式相比，租用电话专线可以提供更高的通信速率和数据传输质量，但相应的费用也较前一种方式高。使用专线的接入方式与使用普通拨号线的接入方式没有太大的区别，但是省去了拨号连接的过程。通常，当决定使用专线方式时，用户必须向所在地的电信局提出申请，由电信局负责架设和开通。经普通拨号或租用专用电话线方式由PSTN转接入公共数据交换网（X.25或Frame-Relay等）的入网方式。利用该方式实现与远地的连接是一种较好的远程方式，因为公共数据交换网为用户提供可靠的面向连接的虚电路服务，其可靠性与传输速率都比PSTN强得多。4.2DDNDDN（DigitalDataNetwork，数字数据网）是一种利用光纤、数字微波或卫星等数字传输通道和数字交叉复用设备组成的数字数据传输网。它可以为用户提供各种速率的高质量数字专用电图4-2数字数据网ddn路和其他新业务，以满足用户多媒体通信和组建中高速计算机通信网的需要。数字数据网主要由六个部分组成：光纤或数字微波通信系统；智能节点或集线器设备；网络管理系统；数据电路终端设备；用户环路；用户端计算机或终端设备。它的主要作用是向用户提供永久性和半永久性连接的数字数据传输信道，既可用于计算机之间的通信，也可用于传送数字化传真，数字话音，数字图像信号或其它数字化信号。永久性连接的数字数据传输信道是指用户间建立固定连接，传输速率不变的独占带宽电路。半永久性连接的数字数据传输信道对用户来说是非交换性的。但用户可提出申请，由网络管理人员对其提出的传输速率、传输数据的目的地和传输路由进行修改。网络经营者向广大用户提供了灵活方便的数字电路出租业务，供各行业构成自己的专用网。DDN提供半固定连接的专用电路，是面向所有专线用户或专网用户的基础电信网，可为专线用户提供高速、点到点的数字传输。DDN本身是一种数据传输网，支持任何通信协议，使用何种协议由用户决定（如X.25或帧中继）。所谓半固定是指根据用户需要临时建立的一种固定连接。对用户来说，专线申请之后，连接就已完成，且连接信道的数据传输速率、路由及所用的网络协议等随时可根据需要申请改变。DDN是利用数字信道提供半永久性连接电路，以传输数据信号为主的数据传输网络。通过DDN节点的交叉连接，在网络内为用户提供一条固定的，由用户独自完全占有的数字电路物理通道。无论用户是否在传送数据，该通道始终为用户独享，除非网管删除此条用户电路。这是一种电路交换方式。图4-3数字数据网(ddnDDN可向用户提供2.4k、4.8k、9.6k、19.2k、N*64（N=1~31）及2048kbps速率的全透明的专用电路。DDN用户终端可以是异步终端（DTE）、计算机（PC）或局域网络。DDN是一个透明传输网，为用户提供物理通道，只负责传送，不改动任何用户数据，没有额外的资源交换及协议开销。在接入上，DDN只要求用户的物理接口与网络提供的物理接口匹配即可。4.3SDHSDH采用的信息结构等级称为同步传送模块STM－N（SynchronousTransportMode，图4-4N=1，4，16，64），最基本的模块为STM－1，四个STM－1同步复用构成STM－4，16个STM－1或四个STM－4同步复用构成STM－16，四个STM－16同步复用构成STM－64，甚至四个STM－64同步复用构成STM－256；SDH采用块状的帧结构来承载信息，每帧由纵向9行和横向270×N列字节组成，每个字节含8bit，整个帧结构分成段开销（SectionOverHead，SOH）区、STM－N净负荷区和管理单元指针（AUPTR）区三个区域，其中段开销区主要用于网络的运行、管理、维护及指配以保证信息能够正常灵活地传送，它又分为再生段开销（RegeneratorSectionOverHead，RSOH）和复用段开销（MultiplexSectionOverHead，MSOH）；净负荷区用于存放真正用于信息业务的比特和少量的用于通道维护管理的通道开销字节；管理单元指针用来指示净负荷区内的信息首字节在STM－N帧内的准确位置以便接收时能正确分离净负荷。SDH的帧传输时按由左到右、由上到下的顺序排成串型码流依次传输，每帧传输时间为125μs，每秒传输1/125×1000000帧，对STM－1而言每帧比特数为8bit×（9×270×1）=19440bit，则STM－1的传输速率为19440×8000=155.520Mbit/s；而STM－4的传输速率为4×155.520Mbit/s=622.080Mbit/s；STM－16的传输速率为16×155.520（或4×622.080）=2488.320Mbit/s。SDH传输业务信号时各种业务信号要进入SDH的帧都要经过映射、定位和复用三个步骤。ITU-TG.707标准建议的复用映射结构如图所示。图4-5映射是将各种速率的信号先经过码速调整装入相应的标准容器（C），再加入通道开销（POH）形成虚容器（VC）的过程，帧相位发生偏差称为帧偏移。定位即是将帧偏移信息收进支路单元（TU）或管理单元（AU）的过程，它通过支路单元指针（TUPTR）或管理单元指针（AUPTR）的功能来实现。复用的概念比较简单，复用是一种使多个低阶通道层的信号适配进高阶通道层，或把多个高阶通道层信号适配进复用层的过程。复用也就是通过字节交错间插方式把TU组织进高阶VC或把AU组织进STM-N的过程，由于经过TU和AU指针处理后的各VC支路信号已相位同步，因此该复用过程是同步复用原理与数据的串并变换相类似。由于以上所述的SDH的众多特性，使其在广域网领域和专用网领域得到了巨大的发展。中国移动、电信、联通、广电等电信运营商都已经大规模建设了基于SDH的骨干光传输网络。利用大容量的SDH环路承载IP业务、ATM业务或直接以租用电路的方式出租给企、事业单位。而一些大型的专用网络也采用了SDH技术，架设系统内部的SDH光环路，以承载各种业务。比如电力系统，就利用SDH环路承载内部的数据、远控、视频、语音等业务。而对于组网更加迫切、而又没有可能架设专用SDH环路的单位，很多都采用了租用电信运营商电路的方式。由于SDH基于物理层的特点，单位可在租用电路上承载各种业务而不受传输的限制。承载方式有很多种，可以是利用基于TDM技术的综合复用设备实现多业务的复用，也可以利用基于IP的设备实现多业务的分组交换。SDH技术可真正实现租用电路的带宽保证，安全性方面也优于VPN等方式。在政府机关和对安全性非常注重的企业，SDH租用线路得到了广泛的应用。一般来说，SDH可提供E1、E3、STM-1或STM-5等接口，完全可以满足各种带宽要求。同时在价格方面，也已经为大部分单位所接受。第五章南充政务网络Internet设计5.1课题意义安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。当局域网与外部网连接时，可以在中间加入一个或多个中介系统，这样就可以保障网络安全，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术如图5-1所示。图5-1防火墙功能图它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。因此本课题的任务与目的在于如何构建一个相对安全的计算机网络平台。使其免受外部网络的攻击。5.2网络安全技术网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。网络安全技术分为：虚拟网技术、防火墙枝术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术、以及应用系统的安全技术。其中虚拟网技术防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。例如vlan，但是其安全漏洞相对更多，如IPsweep,teardrop,sync-flood,IPspoofing攻击等。防火墙枝术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许,并监视网络运行状态。但是防火墙无法防范通过防火墙以外的其它途径的攻击，不能防止来自内部用户们带来的威胁，也不能完全防止传送已