国土资源内网网络建设方案详细

可编辑版/可编辑版XXX国土资源局内网网络方案建议书XXXXXXX网络有限公司20XX11月目录前言5第一章网络建设需求6第二章网络设计原则及总体目标82.1网络设计原则82.2网络建设目标9第三章网络设备选型说明103.1核心路由交换机设备选型说明103.2接入交换机设备选型说明133.3服务器群组交换机设备选型说明143.4市局中心路由器设备选型说明173.5区、县接入路由器设备选型说明213.6国土所接入路由器设备选型说明233.7省专网路由器设备选型说明253.8网管软件选型说明27第四章网络建设方案304.1网络拓扑图304.2网络拓扑结构说明304.2.1网络架构304.2.2链路选择31第五章网络规划325.1IP地址规划325.2路由策略规划325.3网络安全规划335.3.1VLAN安全规划335.3.2防网络病毒规划345.3.3防网络攻击规划365.4网管规划395.4.1强劲的网络拓扑发现能力395.4.2网络性能管理405.4.3设备IOS的批量升级405.4.4网络配置管理415.4.5智能化的事件管理机制415.4.6高效的性能监视和预警功能42第六章锐捷网络公司简介446.1公司介绍446.2发展历程456.3关于锐捷网络466.3.1锐捷网络核心理念466.3.2锐捷网络荣誉47第七章锐捷网络服务537.1服务综述537.2服务体系547.2.1服务体系架构547.2.2呼叫中心系统547.2.3备件管理系统547.2.4技术支持系统547.2.5运营监控系统557.2.6锐捷服务团队557.3服务品牌及内涵557.3.1服务标志的两种组合方式557.3.2服务理念557.3.3品牌内涵567.4服务政策567.4.12007年产品保修政策567.4.2产品保修凭证及保换期、保修期计算577.4.3服务须知587.4.4服务导航587.4.5服务响应时效597.4.6服务和约61附录一产品介绍63锐捷新一代多业务万兆核心路由交换机RG-S6810E63锐捷全千兆网管交换机RG-S2724G68锐捷安全智能万兆多层交换机RG-S5750S-24GT/12SFP70锐捷可信多业务路由器RSR50-8074锐捷模块化多业务路由器RG-R374079锐捷可信多业务路由器RSR20-0482锐捷网络管理软件StarView84附录二产品测试报告881锐捷网络公司证书〔部分88锐捷网络——中国名牌8820XX市场占有率8920XX市场占有率证明90全国企业自主创新优秀奖91中国信息产业20年贡献奖9220XX中国电脑商500强之供应商100强922核心交换机IPv6认证证书933网络产品入网许可证及测试报告94RG-S6810E入网许可证94RG-S6810E测试报告95RG-S6810E万兆测试报告97RG-S6810ESPOH测试报告98RG-S2724G入网许可证99RG-S2724G测试报告100RG-S5750S-24GT/12SFP入网许可证102RG-S5750S-24GT/12SFP测试报告103RSR50-80入网许可证105RSR50-80测试报告106RG-R3740入网许可证108RG-R3740测试报告109RSR20-04入网许可证111RSR20-04测试报告112网管软件登记证书114附录三技术白皮书1141、同步式硬件处理——SPOH技术白皮书1142、三层交换技术——LPM+HDR白皮书120前言当前,随着信息技术和网络经济的崛起,信息产业已成为当今世界经济与社会发展最主要的驱动力。特别是对于刚刚跨进21世纪的当代政府单位而言,充分利用现代化办公手段,进一步转变工作方式,提高工作质量和效率,大力推进政府信息化建设,已经成为各级政府和部门当前面临的一项十分紧迫的重要任务。国土资源局是人民政府组成部门,主管土地资源、矿产资源等自然资源的规划、管理、保护、合理利用和测绘事业。国土资源数据中心是以国土资源各类数据为核心,依托成熟的数据库管理、GIS平台和网络系统,按照统一的标准,建立具有信息管理、数据综合分析、数据分类查询、综合统计分析及信息服务等功能一体化的国土资源数据管理体系。国土资源数据中心是信息交换体系的主体,它既是国土资源信息交换体系的节点,又是各级国土资源信息系统的中枢。其主要作用是：一是为本级国土资源政务管理信息系统提供管理及运行平台；二是为远程信息系统按权限调用国土资源信息提供共享和交换机制；三是为本级信息服务系统的信息提取提供数据源支持。XX省国土厅根据全省国土资源信息化建设的需要,积极稳妥地推进全省市、县级国土资源数据中心建设,依据国家和国土资源部有关法律、法规、政策规定和标准,已在全省全面开展国土资源部门信息化建设工作。XXX国土局网络建设就是全省国土部门信息化建设这个大背景下的一项政府信息化工程。通过采购网络设备、铺设光缆等方式建设国土局内部网络,实现内部办公自动化、信息化。并通过和省国土专网互联,实现资源的共享,保证各级机关政令畅通,提高各级机关工作效率,节省各级机关办公经费。同时,通过接入国际互联网,为社会提供国土资源信息服务。第一章网络建设需求XXX国土局网络功能系统的划分必须兼顾不同部门管理、决策、服务及办公自动化等各项业务和职能要求。针对这样的业务要求,对于网络的需求如下：网络的高稳定可靠性网络平台就像大楼的地基一样,他的稳定与否将直接影响承载在网络上的应用能否稳定可靠的使用。而网络结构、网络设备以及路由协议就像大楼地基的搭建结构、选择的沙石水泥合搭建的方式,所以一个网络的高稳定可靠性体现在网络架构的健壮性、网络设备的稳定可靠性设计以及合理的路由方式。网络的高安全性现在网络受到病毒和攻击越来越多,而且造成的影响也越来越大。往往由于这些病毒和攻击导致网络设备无法提供正常的数据转发、用户PC中毒不能访问网络、用户之间传输的数据被截取等,从而给网络带来极大的安全隐患。而网络设备是组成网络的重要元素,就像高速公路的汽车,他的安全性能将直接导致网络是否能够正常稳定的运行,所以一个网络安全的前提是设备的高安全性。技术先进性随着近几年互联网的飞速发展,技术更新非常快,如何让新建的网络更好的适应未来网络的需求,是需要我们重点考虑的。目前IPv4地址即将枯竭,要确保未来网络平滑升级到IPv6网络,本次网络建设要能够确保设备支持IPv6,以确保未来平滑升级。完善的QoS机制在一个稳定、可靠、安全的网络环境下,同时在市局与各个区、县、所互联带宽只有2M,且整个市局要与区、县、所进行很多的信息传输,如何能够确保在有限的带宽情况下确保重要数据的传输,也是需要我们重点考虑的。由于市局与21个分之机构采用2M数字专线进行互连,其带宽是可以满足相关数据对网络带宽的需求,但如何更有效的利用这个带宽,是需要网络设备具有良好的QoS的支撑,以确保数据传输的效果。网络的高性能可以看到近几年网络带宽飞速发展,从20XX的100M升级到现在的万兆,比原有带宽增长了尽100倍。这与应用的飞速发展是分不开的。而本次网络建设要承担整个网络的骨干架构,那么所选则的设备不仅要能够支持千兆、万兆的线速转发。同时,网络设备要具有足够大的背板带宽、交换容量和包转发率,以满足未来应用的需求。网络的易管理由于本次网络建设是新办公大楼,每层节点比较分散,如何做到整网的易管理,也是我们面临的一个重要问题。为了能够实现整网的集中统一管理,我们需要有一套完善的机制简化我们的管理难度,以提高我们的管理效率。第二章网络设计原则及总体目标2.1网络设计原则对XXX国土局网络总体规划及实施,遵循以下基本原则：统一领导、统一规划、统一标准：在统一领导下,用科学的理论和系统的方法统一规划、统一标准。高可靠性：网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,最大限度地支持国土局相关业务系统的正常运行。安全性：制订统一的网络安全策略,整体考虑网络平台的安全性,为国土局的网络应用提供有利的安全保障。技术先进性和实用性：保证满足应用系统业务的同时,又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到国土局网络应用的现状和未来发展趋势。高性能：骨干网络性能是整个网络良好运行的基础,设计中必须保障网络及设备的高吞吐能力,保证各种信息〔语音、图象的高质量传输,才能使网络不成为国土局业务开展的瓶颈。兼容性：要求网络和设备具有良好的兼容性,不同层次级别、不同厂家的不同设备之间使用国际标准化的通信协议,兼容多种网络线路方式,具有良好的兼容性能,保证网络顺畅高效的通信。标准开放性：支持国际上通用标准的网络协议〔如TCP/IP、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络之间的平滑连接互通,并为业务应用提供标准的网络协议的支持以及将来网络的扩展。灵活性及可扩展性：根据未来业务的增长和变化,网络可以平滑地扩充和升级,减少最大程度的减少对网络架构和现有设备的调整。经济性：要求网络设备具有良好的性价比,提供最优的性能和效率,同时最大程度节省建设投资。可管理性：对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。2.2网络建设目标XXX国土资源局域网包括政务内网和政务外网两套局域网,内外网物理隔离,按照国家保密要求建设。数据中心所使用的局域网络为同级国土资源局域网。目前XXX国土局外网平台已搭建完毕,本次XXX国土资源网络建设主要为内网建设。政务内网用于运行内部办公系统、基础数据和业务数据存储管理,通过路由器接入国土资源信息专网,实现国家、省、市、县四级国土资源信息共享和交换。同时,国土资源网接入市电子政务网,实现和其它政府部门的互联互通。综合布线广域网采用2MSDH专线,局域网采用以太网,对内网建设要求达到如下目标：能够有效确相关业务的顺利进行；科学规划网络结构,保证网络的稳定可靠；合理规划部署,确保网络安全；整个网络要求合理先进,要求网络具备万兆扩展能力,主干采用千兆,百兆到桌面；能够无缝支持IPv6,确保网络从IPv4平滑升级到IPv6；有足够的性能、功能的扩展性,确保网络将来能够支持数据、语音、视频等相关应用的顺利开展；建立全网统一管理系统,对整网设备进行综合检控和管理；第三章网络设备选型说明3.1核心路由交换机设备选型说明根据XXX市国土局内网网络建设的实际情况,需要在XXX市国土局办公楼采用两台核心路由交换设备,为了满足实际网络的需要和未来的升级扩展,同时考虑到核心的高性能和稳定性,该核心交换机要求：支持各种模块热插拔、支持多种千兆端口、支持链路聚合IEEE802.3ad、支持三层协议、较高的背板带宽和包转发率、硬件或NP多业务卡方式支持IPV6〔保证网络系统以后平滑升级、支持三种生成树、支持802.1x、各种QOS和组播协议的支持等。根据具体情况,建议核心交换机采用锐捷新一代多业务万兆核心路由交换机RG-S6810E,该设备具体特点如下：RG-S6810E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,拥有10个扩展插槽,RG-S6810E在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。RG-S6810E多业务万兆核心路由交换机V3.X版本提供2.4T背板带宽,并支持将来扩展到4.8T的能力,高达857Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换,强大的交换路由功能、安全智能技术可同锐捷各系列交换机配合,为用户提供完整的端到端解决方案,是大型网络核心骨干和大流量节点交换机的理想选择。RG-S6810E交换机通过扩展高性能的多业务卡支持策略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等业务功能,满足客户环境灵活而复杂的不同应用需求。产品特性强大数据处理设计〔SPOH设计RG-S6810E的交换、路由、ACL、QoS等复杂功能通过硬件实现,避免了软件实现同样功能对数据高速处理的影响。管理模块执行路由管理、网络管理、网络服务等任务,用户接口模块可以独立实现硬件路由、交换和组播功能；用户交换端口则独立实现硬件ACL和QoS功能,同步式处理设计<SPOH设计>极大地提高整机处理能力。强大的扩展能力RG-S6810E多业务万兆核心路由交换机V3.X版本目前提供2.4T背板带宽,在不更换机箱的情况下,未来仅通过更换管理模块可以支持背板带宽扩展到4.8T。RG-S6810E多业务万兆核心路由交换机通过扩展高性能的多业务卡,可以支持策略路由、IPV6、MPLS、loadbalancing、NAT、VPN、Firewall、webcacheredirect等功能。高安全保障措施物理安全：RG-S6810E提供冗余管理模块、冗余电源模块、各种模块热拔插等物理安全保障措施。病毒和攻击防护：面对现在网络环境越来越多的网络病毒和攻击威胁,RG-S6810E提供强大的网络病毒和攻击防护能力,不仅提供了基于SPOH技术的ACL功能,而且还支持防源IP地址欺骗〔SouceIPSpoofing、防DOS/DDOS攻击〔Synflood,Smurf,防扫描〔PingSweep等能力。提供多端口同步监控技术,支持灵活的网络监控,提升网络监控能力设备管理安全：为了避免非管理人员登陆并操纵网络设备,造成网络传输和安全的影响,RG-S6810E提供了SSH加密登陆功能,以及telnet/web登录的源IP限制功能。接入安全：硬件支持IP、MAC、端口绑定,提高用户接入控制能力。支持802.1X技术,满足6元素绑定接入限制支持IGMP源端口检查,可有效控制非法组播源,提高网络安全。通过PVLAN〔保护端口隔离用户之间信息互通,不必占用VLAN资源。端口MAC地址锁和端口MAC地址接入数量功能可以屏蔽非法主机的接入丰富的应用支持技术〔QOS、组播RG-S6810E提供多种流分类技术和多种QOS技术,包括SP、WRR、WFQ、WRED、CAR、HOL等,为各种应用的带宽保障提供需要的支持技术。流分类：可以依据数据流的源/目的MAC地址、源/目的三层IP地址、三层协议〔IP/IPX、四层协议〔UDP/TCP、源/目的四层协议端口号、COS、TOS对数据流进行区分,实现2/3/4层的流分类功能。数据标记：802.1p是二层协议,可以为数据提供8个级别的优先级标记；DSCP在三层的IP协议报文里进行优先级标记,可以提供64个级别的优先标记。队列调度：严格优先级队列SP保证高优先级业务总是在低优先级业务之前处理；WRR是一种加权循环队列调度机制,首先处理高优先级,但在处理高优先级业务时,较低优先级的业务并没有被完全阻塞,而是按一定的比例同时进行。WFQ是加权公平队列,对所有的数据流进行排队,监控吞吐率,并根据发送的信息量分配权值。WFQ试图公平地为每个对话分配带宽,保证低带宽应用可以获得对接口的访问权,而不会被高带宽应用全部占用。拥塞控制：WRED加权随机早期检测协议,可以设置各个数据流在拥塞发生之前自动丢失数据的阀值,避免较高优先级应用的拥塞丢失。HOL通过消除HOL阻塞确保最高可能的吞吐量；最大限度地减少包丢失,减少多路传输和广播流量拥塞承诺信息速率：CAR可以为重要的数据流设定固定的带宽,如果设定的带宽合理,满足该数据流的需求,就可以保证重要数据流的正常转发。提供多种组播支持技术,包括IGMPsnooping、IGMP、PIM〔SM、DM,DVMRP,保证了网络中提供组播服务时的带宽合理占用。支持领先的万兆以太网技术〔IEEE802.3AE、IEEE802.3AK万兆以太网采用了IEEE802.3以太网媒体访问控制〔MAC协议、IEEE802.3以太网帧格式,以及IEEE802.3帧的最大和最小尺寸。万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低速的、半双工的CSMA/CD协议。在其他方面,万兆以太网保留了初期以太网模型的精髓,因而可以和现有以太网环境无缝融合,支持客户已有应用。RG-S6810E提供目前主流的四种万兆局域网传输标准：10GBASE-R、10GBASE-W、10GBASE-LX4、10GBASE-CX4,四种传输标准在数据链路层以上都相同,差别在于物理层。10GBASE-R和10GBASE-CX4用于传统的以太网环境,10GBASE-R采用光纤作为传输介质,10GBASE-CX4采用同轴铜缆作为传输介质,而10GBASE-W可与OC-192电路、SONET/SDH设备一起运行,保护传统基础投资,使运营商能够在不同地区通过城域网提供端到端以太网。10GBSE-LX4则使用WDM波分复用技术进行数据传输。支持L2VPN〔QINQRG-S6810E支持ServiceProvidervlan<DoubleTagging、VLANtunnel>,允许对交换数据进行二次VLAN标识,外层标识用于创建VPN,提供链路选择,内层标识用于标识业务VLAN信息,实现在以太网环境中的L2VPN,解决了传统以太网环境无法提供数据传输安全控制的问题。ECMP/WCMP〔Equal-CostMultipathRouting/Weight-CostMultipathRouting存在多条不同链路到达同一目的地址的网络环境中,如果使用传统的路由技术,发往该目地址的数据包只能利用其中的一条链路,其它链路处于备份状态或无效状态,并且在动态路由环境下相互的切换需要一定时间,而等值多路径路由协议和权重多路径路由协议可以在该网络环境下同时使用多条链路,不仅增加了传输带宽,并且可以无时延无丢包地备份失效链路的数据传输。最长匹配〔LPM三层交换技术在传统的硬件三层交换机中采用"一次路由、多次交换"的路由技术,并且使用精确流匹配方式进行硬件三层转发,大量耗费CPU资源,并且占用大量的硬件存储资源。最长匹配〔LPM三层交换技术可以解决传统方式"多次交换"中采用精确流匹配而带来存储空间压力过大的问题。最长匹配〔LPM技术支持直连路由、静态路由、动态学习到的路由都直接以网段形式存储于硬件转发表,一个目的网段使用一个转发表项,而不明目的网段IP地址的数据包直接通过硬件缺省路由转发。因此,LPM技术的优点是极大地节约存储空间,拥有硬件缺省路由,所以,病毒和攻击数据包可以通过硬件网段路由或缺省路由进行转发,不增加额外的硬件表项,避免了存储溢出问题,保障设备的正常运行。支持完善的双核心技术RG-S6810E支持包括802.1D、802.1W、802.1S在内的多种生成树协议以及虚拟路由协议VRRP,提供完善的双核心保障技术。所以本次网络建设建议核心交换机采用锐捷新一代多业务万兆核心路由交换机RG-S6810E。3.2接入交换机设备选型说明根据XXX市国土局内网网络建设的实际情况,需要在XXX市国土局办公楼部署接入层交换设备,为了满足实际网络的需要和未来的升级扩展,同时考虑到接入交换机的性能特点,该接入交换机要求：能够提供全千兆接入、支持多种安全策略、支持完善的QOS技术和组播协议等。建议XXX国土局接入交换机采用锐捷全千兆网管交换机RG-S2724G,该交换机特点如下：高性能高背板带宽为所有端口提供线速的交换能力。完善的QoS策略支持802.1P、DSCP、端口优先级、IPTOS、可以对报文的802.1P和DSCP域优先级进行修改等操作,每端口提供的8个队列,采用SP和DWRR队列调度算法实现带宽控制、优先级转发等多种QoS策略,可根据网络不同的业务应用、和所需要的服务质量特性,提供服务。灵活完备的安全接入和访问控制硬件实现三元素绑定〔端口、用户IP、MAC地址的绑定,严格限定端口上用户接入；多种内置安全机制可有效防止和控制病毒传播和网络流量攻击,控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、带宽限速、多元素绑定等,满足企业网、网吧、校园网加强对访问者进行控制、限制非授权用户通信的需求；简单方便的广播风暴抑制,不仅设置简单,方便管理员的管理,而且充分保障了网络的稳定和安全；SSH〔SecureShell和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备；通过802.1X技术、锐捷SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定,有效确认用户的合法性和唯一性。方便易用易管理可监听IGMPv1/v2/v3全部版本组播报文,适应不同组播环境,满足组播安全应用的需要；多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理；CLI界面,方便高级用户配置和使用；Java-basedWeb管理方式,实现对交换机的可视化图形管理,快速和高效地配置设备。所以本次网络建设我们建议选择千兆网管交换机RG-S2724G作为接入交换机。3.3服务器群组交换机设备选型说明根据XXX国土局服务器区的实际情况,为了满足实际网络环境的需要及用户对服务器的高速访问,该服务器群组交换机要求：提供全千兆接入方式,考虑到将来的扩展,能够提供万兆扩展能力,支持访问控制列表等多种安全策略,支持完善的QOS技术和组播协议等。根据服务器群组交换机的实际需求,建议服务器群组交换机采用锐捷安全智能万兆多层交换机RG-S5750S-24GT/12SFP,该设备具体特点如下：RG-S5750S-24GT/12SFP是锐捷网络推出的融合了高性能、高安全、多智能、易用性的新一代万兆机架式多层交换机。该交换机接口形式和组合非常灵活,可提供24个10/100/1000M自适应的千兆电口,和灵活复用的高密度千兆SFP光纤连接,满足网络建设中不同介质的连接需要,同时为满足网络的弹性扩展,和高带宽传输需要,可灵活弹性扩展多种类型的万兆模块。特别适合高带宽、高性能和灵活扩展的大型网络汇聚层,中型网络核心,以及数据中心服务器接入的使用。该交换机硬件支持多层线速交换,并提供了丰富而完善的路由协议,以适合大型网络多种路由和高性能的需要。RG-S5750S-24GT/12SFP交换机提供二到七层的智能的业务流分类、完善的服务质量〔QoS保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入和使用网络,保证合法用户合理使用网络资源,充分保障网络安全、网络合理化使用和运营,并可以根据网络实际使用环境,实施灵活多样的安全控制策略。RG-S5750S-24GT/12SFP交换机以极高的性价比为大型网络汇聚和中型网络核心提供了多层交换、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。产品特性：高性能多层交换高背板带宽为所有的端口提供非阻塞性能；丰富完善的路由性能和超大容量路由表资源可满足大型网络动态路由的需要；基于LPM硬件路由转发方式使得RG-S5750S-24GT/12SFP不仅适用于大型网络环境,而且可防御各种网络病毒的侵袭,保障所有报文的线速转发,有效保证了设备的安全性；硬件支持多层线速交换,能够识别二到七层的应用业务流,所有端口都具有单独的数据包过滤、区分不同应用流,并根据不同的流进行不同的管理和控制。灵活完备的安全控制具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制等,还网络一片绿色；硬件实现端口与MAC地址和用户IP地址的灵活绑定,严格限定端口上的用户接入;通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,不必占用VLAN资源；基于源IP地址控制的Telnet和Web设备访问控制,增强了设备网管的安全性,避免黑客恶意攻击和控制设备；基于端口速率百分比和基于速率pps的广播风暴抑制功能,确保网络稳定安全；SSH〔SecureShell和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备；控制非法用户使用网络,保证合法用户合理化使用网络,如端口安全、端口隔离、专家级ACL、时间ACL、基于数据流的带宽限速、六元素绑定等等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。丰富的组播特性支持各种单播和组播动态路由协议,可适应不同的网络规模和需要进行大量多播服务的环境,实现网络的可扩展和多业务应用；支持IGMP源端口和源IP检查功能,有效地杜绝非法的组播源,提高网络的安全性；支持IGMPv1/v2/v3全部版本,适应不同组播环境,满足组播安全应用的需要。完善的QoS策略以DiffServ标准为核心的QoS保障系统,支持802.1P、IPTOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑；具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级、流量管理,流量整形等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供流量限速千兆端口粒度达64Kbps,万兆端口粒度达1Mbps。高可靠性支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率；支持VRRP虚拟路由器冗余协议,有效保障网络稳定；支持锐捷网络的可选冗余电源系统STAR-RPS,可为S5750系列设备提供卓越的电源冗余,提高容错能力和网络正常运行时间。方便易用易管理灵活复用的多种千兆形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择；为满足网络灵活弹性扩展和高带宽传输需要,简单选配多种类型的万兆模块,网络即可平滑升级到万兆上链骨干；简单网络时间协议〔SNTP保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理；Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理；多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率；CLI界面,方便高级用户配置和使用；可提供Xmodem、FTP、TFTP等多种加载升级方式,方便用户使用；Java-basedWeb管理方式,实现对交换机的可视化图形界面管理,快速和高效地配置设备。所以服务器群组交换机我们建议选择锐捷安全智能万兆多层交换机RG-S5750S-24GT/12SFP。3.4市局中心路由器设备选型说明根据XXX市国土局内网网络建设的实际情况,为了能够便于市局与各个区县进行有效的互联,需要在XXX市国土局办公楼采用一台核心路由设备,为了满足实际网络的需要和未来的升级扩展,同时考虑到路由器的高性能和稳定性,该路由器要求：支持冗余电源、支持多种网络接口、各种模块热插拔、支持多种千兆端口、支持三层协议、较高的背板带宽和包转发率、支持IPV6、支持完善的QOS技术和组播协议,同时要求支持对未来新业务的扩展、性能的提高等。建议XXX市国土局市局路由器采用锐捷可信多业务路由器RSR50-80。RSR50-80具有8个扩展槽,28Gbps的背板带宽、4.5Mpps的包转发率,为全市国土系统提供高速的数据处理和未来业务的扩展需求,该设备具体特点如下：先进的硬件体系架构采用双核NP架构,NP内双核CPU并行处理,性能倍增。在主控板上固化提供了3个GE口,直接和NP连接,不占用背板带宽,达到线速转发。高达28Gbps的高背板带宽的设计,在RSR50上,共有5条PCI总线。主板带宽不成为数据转发的瓶颈。主控板提供3个光电复用的GE口3个GE口直接和NP连接,不占用背板带宽,可以达到GE口的线速转发。不需要额外单独购买价格昂贵的GE模块,节省投资,光电复用应用更灵活。提供IP转发的高性能RSR50系列达到28Gbps的背板带宽,4.5Mpps的报文转发率。先进的软件体系架构,支持IPv6、BGP、ISIS等协议3平面完全分离的软件体系架构,无论受到多大流量的攻击,还是转发多少的数据报文,管理、配置不受任何影响。CPU内部的流水线处理机制,让双核CPU不处于等待状态,整体性能提升2倍以上。支持IPv6、BGP、ISIS、组播、QOS、VPN应用。支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。完整的QOS支持支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等拥塞管理排队策略；支持WRED、RED的拥塞避免策略；支持GTS流量整形策略支持CAR流量监管策略支持CTCP、CRTP等提高链路效率的QOS策略支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。灵活的单宽、倍宽模块通槽设计RSR50路由器上,5-6,7-8采用宽插槽设计,在插槽中可以把挡板抽取出来,形成一个双宽的DNMX插槽,可以用来插24口或者48口以太网模块。支持USB的应用RSR50提供了2个标准USB插槽,采用USB2.0的标准,兼容USB1.1标准。支持USBFLASHMemory〔U盘,可存储配置文件及日志文件,因其具有良好的可移动性,可减少许多重复的配置工作,大大减少系统维护的工作量。提供产品兼容性和可扩展性,保护投资提供流行的配置界面和风格,简单易用,并遵循RFC标准和主流的业界标准,能够做到与业界主流厂商的网络设备互连互通。提供设备硬件和软件的高可靠性管理控制引擎和转发引擎完全分离：更好的稳定性、更稳定的性能、更容易实现可靠的服务特性关键装置的冗余：CPU冗余5条PCI总线冗余电源冗余双启动映像文件双配置文件关键部件热拔插：电源热拔插、风扇热拔插、模块热拔插模块化软件设计：某个软件模块出错,不会让机器崩溃,软件的复杂度降低支持软件在线升级将问题隔离在软件模块内多种备份机制支持VRRP、VRRP+支持链路备份机制支持路由备份所有RSR系列路由器使用同一个RGNOS软件系统,给维护带来极大的方便。所以本次市局中心路由器我们建议选用锐捷可信多业务路由器RSR50-80。3.5区、县接入路由器设备选型说明根据XXX市国土局内网网络建设的实际情况,为了能够便于区、县与市局进行有效的互联,需要在XXX市各个区、县国土局采用一台接入路由设备,为了满足实际网络的需要和未来的升级扩展,同时考虑到路由器的高性能和稳定性,该路由器要求：支持标准以太口、CE1等接口,支持良好的QoS、路由协议、组播等。建议XXX市国土局区、县接入路由器采用锐捷模块化多业务中心路由器RG-R3740。该设备具体特点如下：RG-R3740多业务汇聚路由器,是锐捷网络公司面向企业核心及行业、运营商网络的高性能、高可靠性的多业务路由器需求,面向开放的业务模型而开发的新一代智能业务路由器。RG-R3740路由器提供4个模块扩展插槽,主控板上固化提供1个控制口/1个辅口；2个10M/100/1000M自适应的以太网电口；2个SFP光模块插槽〔支持千兆以太网,与电口只能2选1。采用833Mhz的MPC产品特性高数据处理能力采用先进的MotorolaMPC8540CPU,主频达到833MHz,2G带宽的PCI总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用。高汇聚能力R3740可以同时插4个NM-1CPOS-STM1模块,每个模块提供63路的2M接入,最多可以达到252路2M的接入。主控板固化2个10/100/1000M快速以太网口,光口电口可选主控板卡上固化两个10/100/1000M快速以太网口,可以根据实际情况,选择光口或者电口模块,在不购买任何模块的情况下,便可以实现宽带互联。主控板可以拔插、更换,今后可以通过升级主控板升级路由器。高可靠性关键部件热插拔：所有电源、风扇都支持热插拔功能,充分满足网络维护、升级、优化的需求；支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性；支持VRRP热备份协议,实现线路和设备的冗余备份。RPS冗余电源支持。模块化结构设计RG-R3740具有4个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。良好的语音支持功能支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多家VOIP厂商的设备互通；支持实时传真功能；支持语音网守功能。良好的VPN功能支持IPSec的VPN功能；支持GRE的VPN功能；支持L2TP/PPTP的VPDN应用；在NAT应用下,支持L2TP/PPTP的穿透功能。完善的QoS策略支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等拥塞管理排队策略；支持WRED、RED的拥塞避免策略；支持GTS流量整形策略支持CAR流量监管策略支持CTCP、CRTP等提高链路效率的QOS策略支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。高安全性完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制策略；支持IP与MAC地址的绑定,有效防止IP地址的欺骗；支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议；支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全和可靠；支持PPP协议中的PAP、CHAP认证及回拨技术；方便易用易管理采用标准CLI界面,操作更简单；支持SNMP协议,配置文件的TFTP上传下载,方便网络管理；支持Telnet/Console,方便的实现远程管理和控制；多样的在线升级,为将来的功能扩展预留空间；所以区、县接入路由器我们建议选用锐捷模块化多业务中心路由器RG-R3740。3.6国土所接入路由器设备选型说明根据XXX市国土局内网网络建设的实际情况,为了能够便于国土所与市局进行有效的互联,需要在XXX市各个所国土所采用一台接入路由设备,为了满足实际网络的需要和未来的升级扩展,同时考虑到路由器的高性能和稳定性,该路由器要求：支持标准以太口、CE1等接口,支持良好的QoS、路由协议、组播等。建议XXX市国土局所接入路由器采用锐捷可信多业务路由器RSR20-04。RSR20-04具有4个SIC网络/语音模块插槽,固化2个10/100M以太口,130Kpps的包转发率,为所系统提供与市局进行互联的需求,该设备具体特点如下：模块化设计固化2个10/100M快速以太口；具有4个SIC网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。内置加密模块RSR20-04内置加密模块,加密、解密由硬件完成,大幅度提高加密解密性能,满足多媒体等大数据量业务的加密需求；高性能采用先进的PowerPC通讯专用处理器,先进的总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用。包转发率达到130Kpps。良好的VPN功能支持IPSec的VPN功能；支持GRE的VPN功能；支持L2TP/PPTP的VPDN应用；在NAT应用下,支持L2TP/PPTP的穿透功能。完善的QoS策略支持WRED、RED的拥塞避免策略；支持GTS流量整形策略支持CAR流量监管策略支持CTCP、CRTP的链路效率的QOS策略支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。高可靠性支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性；支持VRRP热备份协议,实现线路和设备的冗余备份。高安全性完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制策略；支持IP与MAC地址的绑定,有效防止IP地址的欺骗；支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议；支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全和可靠；支持PPP协议中的PAP、CHAP认证及回拨技术；高性能的NAT。支持用户密码登录,根据登录用户级别分配相应权限。内置硬件加密模块,大大提高加密解密的性能。方便易用易管理采用标准CLI界面,操作更简单,降低学习和使用成本。支持SNMP协议,配置文件的TFTP上传下载,方便网络管理；支持Telnet/Console,方便的实现远程管理和控制；多样的在线升级,为将来的功能扩展预留空间；采用防静电的铁壳设计,散热缝隙设计合理可有效防尘,提高了设备稳定性。所以国土所接入路由器我们建议选用锐捷可信多业务路由器RSR20-04。3.7省专网路由器设备选型说明根据XXX市国土局内网网络建设的实际情况,为了能够便于市国土局与省局进行有效的互联,需要在XXX市国土局采用一台路由设备与省国土局进行互联,为了满足实际网络的需要和未来的升级扩展,同时考虑到路由器的高性能和稳定性,该路由器要求：支持标准以太口、CE1等接口,支持良好的QoS、路由协议、组播等。建议省专网路由器采用锐捷模块化多业务中心路由器RG-R3740。该设备具体特点如下：RG-R3740多业务汇聚路由器,是锐捷网络公司面向企业核心及行业、运营商网络的高性能、高可靠性的多业务路由器需求,面向开放的业务模型而开发的新一代智能业务路由器。RG-R3740路由器提供4个模块扩展插槽,主控板上固化提供1个控制口/1个辅口；2个10M/100/1000M自适应的以太网电口；2个SFP光模块插槽〔支持千兆以太网,与电口只能2选1。采用833Mhz的MPC产品特性高数据处理能力采用先进的MotorolaMPC8540CPU,主频达到833MHz,2G带宽的PCI总线技术,包转发延迟小,高效的数据处理能力支持高密度端口,保证在高速环境下的网络应用。高汇聚能力R3740可以同时插4个NM-1CPOS-STM1模块,每个模块提供63路的2M接入,最多可以达到252路2M的接入。主控板固化2个10/100/1000M快速以太网口,光口电口可选主控板卡上固化两个10/100/1000M快速以太网口,可以根据实际情况,选择光口或者电口模块,在不购买任何模块的情况下,便可以实现宽带互联。主控板可以拔插、更换,今后可以通过升级主控板升级路由器。高可靠性关键部件热插拔：所有电源、风扇都支持热插拔功能,充分满足网络维护、升级、优化的需求；支持链路备份、路由备份等多种方式的备份技术,提高整个网络的可靠性；支持VRRP热备份协议,实现线路和设备的冗余备份。RPS冗余电源支持。模块化结构设计RG-R3740具有4个网络/语音模块插槽,支持种类丰富、功能齐全、高密度的网络/语音模块,可实现更多的组合应用。良好的语音支持功能支持G.711、G.723、G.729等多种语音编码格式,支持H.323协议栈,可以和多家VOIP厂商的设备互通；支持实时传真功能；支持语音网守功能。良好的VPN功能支持IPSec的VPN功能；支持GRE的VPN功能；支持L2TP/PPTP的VPDN应用；在NAT应用下,支持L2TP/PPTP的穿透功能。完善的QoS策略支持PQ、CQ、FIFO、WFQ、CBWFQ、LLQ、RTPQ等拥塞管理排队策略；支持WRED、RED的拥塞避免策略；支持GTS流量整形策略支持CAR流量监管策略支持CTCP、CRTP等提高链路效率的QOS策略支持设置语音数据包优先级,可以为中小型企业提供满足要求的、高性价比的多功能服务平台。高安全性完善的防火墙技术,支持基于源目的IP、协议、端口以及时间段的访问列表控制策略；支持IP与MAC地址的绑定,有效防止IP地址的欺骗；支持认证、授权、记录用户信息的AAA认证技术,支持Radius认证协议；支持动态路由协议中的路由信息认证技术,保证动态路由网络中路由信息的安全和可靠；支持PPP协议中的PAP、CHAP认证及回拨技术；方便易用易管理采用标准CLI界面,操作更简单；支持SNMP协议,配置文件的TFTP上传下载,方便网络管理；支持Telnet/Console,方便的实现远程管理和控制；多样的在线升级,为将来的功能扩展预留空间；所以省专网路由器我们建议选用锐捷模块化多业务中心路由器RG-R3740。3.8网管软件选型说明根据XXX市国土局的实际情况及网络应用发展的实际情况,需要在网络环境中部署一套网络管理软件,该网络管理软件要求：操作简单、界面友好、支持标准的SNMP协议、具有强大的拓扑发现能力、能够实时监视网络流量、支持性能监控及预警功能等。根据具体情况,建议网络管理软件采用锐捷网络管理系统StarView,该系统具体特点如下：StarView网络管理系统是一套基于Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。它是由锐捷网络自主开发的软件产品。StarView管理系统能提供整个网络的拓扑结构,能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理,结合管理设备所支持的SNMP管理、Telnet管理、Web管理、RMON管理等构成一个功能齐全的网络管理解决方案,实现从网络级到设备级的全方位的网络管理。StarView可以对整个网络上的网络设备进行集中式的配置、监视和控制,自动检测网络拓扑结构,监视和控制网段和端口,以及进行网络流量的统计和错误统计,网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。稳定的可扩展的软件体系结构StarView的软件体系结构采用多进程挂靠的方式进行设计,保留了丰富的可扩展接口,为系统进一步扩展和软件外联提供了稳定的平台基础。强劲的网络拓扑发现能力StarView集成了目前最先进的三层拓扑发现算法,可自动检测和描绘网络拓扑结构,为管理员提供统一的拓扑视图和集中式管理视角。使用三层拓扑和子网自动发现功能,即可自动完成全网逻辑拓扑的发现,了解整个网络的设备及其运行状况。系统提供DIY方式,满足管理员按照物理连接或个人习惯自组物理视图。自动检测网络活动,采用不同的位图标识不同类型的设备,不同颜色的三色状态图标识设备的不同状态,更好的描绘了网络设备节点的状态,为管理员提供了快速准确的的告警定位。通过与事件管理器的无缝连接,实现设备状态在事件管理器中的实时通知与处理。增强的设备管理能力对以太网络中的通用IP设备、SNMP管理型设备提供了Web、Telnet、MIB-Browser、RMONView等多种综合管理方式,并在此基础上,为锐捷网络设备,提供了增强的设备管理和功能管理。为锐捷网络设备提供各自的管理窗口及其管理功能。为管理员提供逼真的锐捷网络设备面板图,直观显示端口的连接状态,并可在设备面板图上进行点击操作,完成设备整体或接口的信息配置、浏览以及性能监视。智能化的事件管理机制结合拓扑管理和性能管理器于一体,集中管理Trap事件、拓扑管理事件、阈值报警事件、拓扑管理的系统事件和未知类型事件。事件管理器提供丰富的事件分类查看和存储功能,使管理员可在大量的网络事件中迅速查找并标识重要事件,从而进行有效处理。根据网络状况和管理需要,管理员可使用自定义的方式扩展软件支持的事件类型,从而避免了多设备混用时事件管理混乱问题。事件管理器提供了事件报表功能,可根据管理员定义的搜索条件,检索数据库,并形成HTML报表供管理员汇总和分析。事件管理器除了为管理员提供了基于声音、EMAIL的事件告警功能,有效地帮助管理员及时了解整个网络运行状况外,还提供了针对网络事件的管理动作自动响应功能,从而使得管理员可对网络事件进行最及时的处理。高效的性能监视和预警功能提供完美的组合式曲线统计方式,为网络性能分析和故障分析提供直观的分析视图集。提供统计视图打印功能,为网络故障分析提供了现场保存的能力。主动式的阈值告警功能使得管理员可根据网络实际应用自定义网络关键性能变更事件,并通过与事件管理器连接得到有效的预警和处理。提供多设备多性能同视图对比监视的方式,使得管理员可方便的对多项网络性能进行对比分析。自动视图记忆功能使得监视视图被设定后即可永久保存,从而使得软件一旦启动即可对历史监视点进行后台监视,免除了管理员重复再设定的烦恼。基于数据库的灵活的网络应用软件使用SQL数据库作为后台数据库,基于SQLServer的网络功能,StarView可实现基于网络的分布式的高级应用,即所有管理站收集到的事件信息、性能数据以及拓扑视图可在SQLServer进行汇总,从而使得网络性能历史重现、网络事件报表等功能可共享数据信息,为管理进行统计分析提供最丰富的信息资源。基于SQL数据库的网络性能历史重现功能可有效记录大量的性能数据,并提供管理员最多长达一年的对网络性能变化趋势进行描绘的能力。友好的用户界面采用全中文的用户界面和标准Windows界面风格,用户极易快速掌握软件使用和操作。高度简化的软件操作方式使得复杂的软件功能应用只需简单的步骤即可完成。所以本次网管软件我们建议选用锐捷企业级网络管理软件STAR-VIEW。第四章网络建设方案4.1网络拓扑图4.2网络拓扑结构说明网络架构根据XXX国土局网络建设总体需求及目标,结合各节点的具体分布情况,本次网络建设建议采用二层星型拓扑图架构,同时考虑到本次网络建设的重要性,我们在二层架构的基础上采用双核心双链路的方式,确保整个网络的稳定性,在任何一台核心或者一条链路出现问题后,都不会影响整个网络的稳定性,这种方式可有效确保内网的7×24小时的稳定性。对于区、县、国土所的情况,由于信息点较少,本次建设主要为区、县、国土所提供接入的方式,我们采用接入路由器作为每个区、县、国土所的接入设备,该设备负责区、县、所的相关的用户接入和路由规划,从而提高区、县、所的网络的合理性以及相关的安全性。考虑到目前服务器较多,为了确保服务器的安全,我们在原有防火墙上划出DMZ区,并通过服务器群组交换机将所有服务器放在防火墙的DMZ区,以确保整个服务器群的安全。为了确保XXX市国土局与省局的互联互通,我们在XXX市局部署一台专网路由器将市局与省局进行互联,从而确保信息的实时传输和数据的实时共享；同时我们在市局部署一台高性能路由器,负责与区、县、国土所互联,作为区、县、国土所的互联设备,使得XXX市局与区、县、国土所形成互联互通。链路选择对于XXX市内网链路的选择,我们根据目前布线的实际情况,核心与接入之间我们采用千兆单模光纤互联,同时核心与防火墙、省专网路由器以及中心路由器都采用千兆互联的方式,从而实现整个千兆骨干、百兆到桌面的互联方式。对于区、县接入路由器与交换机之间通过1000M双绞线进行互联,同时通过100M下联接入用户。对于国土所国土局,由于相对信息点较少,接入路由器与交换机之间通过100M双绞线进行互联,同时通过100M下联接入用户。对于广域网,我们采用2MSDH专线连接,通过市中心路由器与各个区、县、所的接入路由器进行互联,从而确保整个XXX市国土局专网的互联互通。第五章网络规划5.1IP地址规划IP地址的合理规划是网络设计中的重要一环,大型计算机网络必须对ＩＰ地址进行统一规划并得到实施。IP地址规划的好坏,影响到网络路由协议算法的效率,影响到网络的性能,影响到网络的扩展,影响到网络的管理,也必将直接影响到网络应用的进一步发展。IP地址空间分配,要与网络拓扑层次结构相适应,既要有效地利用地址空间,又要体现出网络的可扩展性和灵活性,同时能满足路由协议的要求,以便于网络中的路由聚类,减少路由器中路由表的长度,减少对路由器CPU、内存的消耗,提高路由算法的效率,加快路由变化的收敛速度,同时还要考虑到网络地址的可管理性。具体分配时要遵循以下原则:唯一性:一个IP网络中不能有两个主机采用相同的IP地址；简单性:地址分配应简单易于管理,降低网络扩展的复杂性,简化路由表的款项灵活性:地址分配应具有灵活性,以满足多种路由策略的优化,充分利用地址空间。带外网管应使用私有IP地址,只限于市网内开放的业务可使用私有IP地址；IP地址分配既要考虑到扩充,又要能做到连续；尽量分配连续的IP地址空间,并为将来的网络扩展预留一定的地址空间；在每个区、县、所网络中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制；5.2路由策略规划在IGP路由协议的选择上,尽量不要采用扩展性差的<RIP>和厂家的私有路由协议<IGRP和EIGRP>,尽量采用OSPF或IS-IS。对于OSPF和IS-IS的选择依据为:基本原理相同<基于链路状态算法>,OSPF用于IP,IS-IS用于ISO的CLNP,也支持IP<"集成IS-IS">；IS-IS结构严谨,OSPF更加灵活,OSPF协议是基于接口的,而IS-IS路由器只能属于一个Area,并且不支持NBMA网络；IS-IS占用网络资源相对较少,支持网络规模大于OSPF,在网络相当庞大时能体现出优势；一个IGP域运行的三层交换机及路由器的数量一般不会超过200台,因此从实际情况来看,运行OSPF和IS-IS对IP城域网/DCN网的建设不会有差异；对于网络的稳定性、可扩充性,两种协议都能很好地支持；在大型ISP上,IS-IS与OSPF二者均获得普遍应用；但从目前很多厂商的设备来看,存在这样一个问题,很多用户的中低端路由器及三层交换机不支持IS-IS,从这个角度讲OSPF比IS-IS有优势,所有的主流路由器及三层交换机都支持OSPF。综合考虑,考虑到网络的扩展,建议仍然使用目前的OSPF更符合实际。5.3网络安全规划5.3.1VLAN安全规划VLAN虚拟局域网〔VLAN技术是为了解决桥接的局域网中存在的广播风暴,以及网络系统的可扩展性、灵活性和易管理性方面的问题,第二层交换机基本上都支持VLAN划分。在局域网设计中,我们可以根据不同部门划分VLAN。VLAN技术的采用为网络系统带来了以下的优点：控制广播VLAN之间是相互隔离的,所有的广播和多点广播都被限制在一个VLAN的范围内,即一个VLAN产生的广播信息不会被传播到其它的VLAN中,有效地防止了局域网上广播风暴的产生,提供了带宽的利用率。提高安全性由于VLAN之间是相互隔离的,因此可将高安全性要求的主机服务器可划分到一个VLAN中,而其它VLAN的用户则不能访问它们。如果VLAN之间要进行通信则必需通过三层交换机才能完成,而三层交换机上具有访问控制〔Access-List以及防火墙等安全控制功能,因此VLAN之间的访问可以通过三层交换机进行控制。提高性能通过VLAN的划分,可将需访问同一服务器/服务器组的用户放到同一个VLAN中,这样该VLAN内部的服务器只由本VLAN内的成员访问,其它VLAN的用户不会影响服务器的性能。便于管理由于VLAN的划分是逻辑上的,因此用户不再受到物理位置的限制,任意位置的用户可以属于任意一个VLAN,VLAN内的成员可以任意地增加,修改和删除,使得网络管理更加简便易行。VLAN的划分可以有三种方式：ByPort、ByProtocol、ByaUser-DefinedValue。VLANRouting规划每一个VLAN都具有一个标识,不同的VLAN标识亦不相同,交换机在数据链路层上可以识别不同的VLAN标识,但不能修改该VLAN标识,只有VLAN标识相同的端口才能形成桥接,数据链路层的连接才能建立,因而不同VLAN的设备在数据链路层上是无法连通的。VLANRouting技术在网络层将VLAN标识进行转换,使得不同的VLAN间可以沟通,而此时基于网络层、传输层甚至应用层的安全控制手段都可运用,诸如Access-list〔访问列表限制等,VLANRouting技术使我们获得了对不同VLAN间数据流动的强有力控制。5.3.2防网络病毒规划现在网络病毒对网络的冲击影响已经越来越大,如非常猖狂的红色代码〔codered、冲击波〔MSBlaster等网络病毒,所以有必要对网络病毒继续有效的控制。红色代码病毒－－蠕虫、特洛伊木马、黑客结合的双特征病毒恶意IP地址扫描,病毒向按一定算法生成的IP网段的IP地址的80端口发送HTTPGET请求,请求连接成功,就会发送包