某电子政务外网升级改造项目

电子政务外网升级改造项目目录1.建设背景2.县电子政务外网现状3.存在的问题3.1互联网出口3.2骨干网络3.3安全防护4.建设内容4.1链路4.2骨干网络4.3安全防护4.4业务系统4.5机房整改4.6运维管理5.建设规范6.建设原则7.设备部署以及网络拓扑图7.1设备安装规划7.2核心交换机7.3汇聚交换机7.4虚拟化服务器7.5多链路负载均衡设备7.6入侵防御设备7.7出口防火墙7.8上网行为管理7.9隔离防火墙7.10数据库审计7.11堡垒机7.12日志审计8.13运维管理系统8.14防病毒软件8.路由、交换及IP地址规划8.1命名规范8.1.1设备命名规范8.1.2命名规则8.2路由规划8.3交换设计8.3.1VLAN使用规范8.3.2端口互联规划Trunk设计8.3.3端口捆绑设计8.4互联IP地址及VLAN规划8.4.1互联地址56段规划8.4.2互联地址57段规划9.机房改造9.1吊顶9.2防静电地板9.3机柜及布线工程10.运维服务规划10.1服务目标10.2服务内容10.2.1信息资产统计服务10.2.2中心机房运维服务10.2.3电子政务外网城域网运维11.链路租赁1.建设背景国家电子政务外网管理中心2015年2月正式发布《国家电子政务外网信息安全标准体系框架》《国家电子政务外网信息安全标准化工作规范》《国家电子政务外网安全接入平台技术规范》《国家电子政务外网安全监测体系技术规范与实施指南》《国家电子政务外网安全管理系统功能技术要求与接口规范》《国家电子政务外网跨网数据安全交换技术要求与实施指南》和《接入政务外网的局域网安全技术规范》等七项安全标准，为规范国家电子政务外网信息安全标准体系建设以及指导各级政务外网开展安全接入、安全交换、安全监测以及各级政务部门局域网安全连接政务外网等技术管理工作提供了标准规范依据。近年来，随着全省电子政务应用不断深入，我县各单位包括县司法局、县交通局、县民政局、县住建局、县人社局等单位都提出了在全县电子政务外网上扩展与省级电子政务链路联通的需求，急需在全县电子政务外网拓展基于MPLS-VPN功能，实现多个省级业务应用安全可靠的在我县电子政务外网上运行。市政府电子政务外网已于2018年完成了相关改造，各县市区电子政务外网自行解决。按照电子政务外网业务发展情况，急需对我县电子政务外网进行拓展，按照国家电子政务外网规范，大力整合各类应用平台，保障与省级电子政务链路联通。并建立统一互联网出口，实现县政府办公大楼以及各单位能通过电子政务外网访问互联网。从互联网接入的安全和可靠性及节约互联网接入费用方面均是非常有必要的，能全面提高电子政务外网资源利用率和安全性。2.x县电子政务外网现状县电子政务外网核心设备存放于县政府中心机房，并与全县各单位互联，目前已有超过100家单位接入，各单位目前接入带宽为100M，并与市电子政务外网实现了互联。目前县电子政务外网的主要的应用系统为互联网监督系统，行政审批系统、商事登记信息管理系统、一次办结政务服务系统等。3.存在的问题从目前的网络情况及未来规划分析，县电子政务外网主要存在如下问题：3.1互联网出口目前，在省、市、县等各级政府采用电子政务外网来统一互联网出口，是全国电子政务发展的必然趋势，另随着互联网攻击越来越多，加上各部门接入互联网的各县直单位缺乏必要的安全投入，急需要对互联网进行统一出口管理，实现整体互联网接入安全防护。另外，各单位互联网接入后，可以最少节约30%及以上各县直部门的互联网接入费用，初步估计，每年可以为县财政结余近百万元。随着我县“一次办结”改革的深入，所有单位审批业务会越来越向政务外网集中，基于电子政务外网的应用不断增加，使得各单位或部门接入电子政务外网网络的带宽急需扩容。统一互联网出口后，现有互联网出口设备因带宽的增加和用户数量急剧增多，已无法满足网络的需求。现今来自互联网的攻击越来越多，而统一互联网出口后，县电子政务外网将承担全县本网向互联网转发的工作，按照现有安全设备来看，统一出口后缺乏针对攻击手段的防御措施。3.2骨干网络对于有高可用性要求的电子政务外网，目前我县电子政务外网的骨干链路上存在大量的单点故障隐患。同时，当前对于网络层攻击和应用层攻击，无可用的安全设备进行防御。加上大量应用系统的加入和平台集中化管理，使得电子政务外网的网络设备功能已经无法满足现有需求。随着网络建设的发展和需求的增加，现外网核心交换机不能有效的承载新的应用，其处理性能存在较大的瓶颈。3.3安全防护省电子政务外网接入缺乏网络安全设备，为直连市电子政务外网。对于全网的病毒防护目前没有统一高效的防护手段，我县电子政务外网内的终端数量非常庞大，病毒爆发风险较高，随着用户数量的急剧增多，互联网出口缺乏针对带宽控制的有效手段，一旦出现拥塞现象，将导致全网访问互联网速度缓慢，无法让带宽的利用率最大化。同时缺乏针对用户的上网行为分析，一旦发生传播谣言、非法言论、不良上网行为等现象，无法进行追溯定位查找责任人。综上所述，我县目前正在运转的电子政务外网已不满足应用需求，电子政务外网需扩展到更多具有外网业务需求的县直单位；需建立纵向、横向MPLS-VPN，在保证业务隔离及安全的前提下，将更多涉及到政府对外服务的业务平台整合到电子政务外网统一管理；需建立统一的互联网出口，提升政府单位互联网资源利用率；需进一步提升电子政务外网的维护管理水平，提升电子政务外网网络稳定性。4.建设内容为了解决县电子政务外网现状存在的问题，县电子政务外网主要建设如下内容：序号名称品牌型号技术要求单位数量1核心交换机H3CS10508万兆光口≥48，千兆电口≥48，电源≥2，交换网板≥2，虚拟化万兆光口≥8，虚拟化专用电缆≥2，原厂保修服务年数≥3台22汇聚交换机H3CLS-5560X-34S-EI固定48个10/100/1000Base-T以太网端口，4个万兆SFP，交换容量≥5.98Tbps包转发率≥252Mpps台33虚拟化服务器浪潮NF5280M5互联网服务器区、数据中心各配置一台2U服务器台24虚拟化软件浪潮InCloudSphere为2台服务器的4颗CPU购买虚拟化授权套15存储浪潮AS2600G2互联网服务器区、数据中心共用一套存储，存储不低于20T台16多链路负载均衡设备深信服AD-1000-D620吞吐量≥10Gbps，并发连接数400万，4层新建连接数CPS25万，7层新建连接数RPS34万，具备6个千兆电口、4个千兆光口、2个万兆光口。具备全局负载、链路负载、应用负载、访问优化、IPv6转换等功能台27入侵防御设备网御星云Leadsec-6000IPS-5200FM2U上架设备，1个RJ-45Console口，1个10/100/1000Base-T带外管理口，1个10/100/1000Base-THA口，4个具备BYPASS功能的10/100/1000Base-T接口，4个千兆光口，2个USB口，双电源，含嵌入式软件，引擎软件一套，入侵防护系统数据中心软件一套。最大并发300万，最大吞吐量6G，最大IPS吞吐量4G，三年硬件质保，三年IPS特征库升级服务台28出口防火墙网御星云PowerV6000-F4510E标准2U设备，冗余电源；标准配置6个10/100/1000MBase-TX接口，4个千兆光口，4个扩展槽位；整机吞吐量≥10G，最大并发连接数≥500万，每秒新建连接数≥18万；三年硬件质保台29上网行为管理深信服AC-1000-H440吞吐量≥4Gbps，审计性能2Gbps，支持终端数15000；2U，冗余电源；具备8个千兆电口、4个千兆光口、4个万兆光口。具备用户认证、行为管控、流量控制、行为审计、终端安全检查、安全准入、管控非法内联和非法外联等功能；设备生产厂商是《上网行为管理系统安全评价规范》（RB/T204-2014）的主要起草单位之一台210隔离防火墙网御星云PowerV6000-F6510E标准2U设备，冗余电源；标准配置6个10/100/1000MBase-TX接口和4个SFP插槽，6个扩展槽位；整机吞吐量≥22G，最大并发连接数≥800万，每秒新建连接数≥25万；三年硬件质保台111数据库审计深信服DAS-1000-A6201U设备，具备6个千兆电口、2个千兆光口，SQL处理性能：15000条SQL语句/s；日志存储：10亿条；从四大方向全面保护数据库中数据的安全：保护对数据库非法操作及时告警与审计：数据库安全审计系统内置大量安全规则，针对各种非法操作如：业务系统使用grant、客户端sp_addrolemember提权、web端sp_addrolemember提权、查询内置敏感表、篡改内置敏感表等都能够准确识别与告警，保护数据库安全。设备生产厂商是《信息安全技术信息系统安全审计产品技术要求和测试评价方法》的主要起草单位之一台112堡垒机绿盟OSMSNX3-600C可管理路由器，交换机，防火墙，Windows/Linux/UNIX服务器；支持旁路部署，不改变网络架构。支持集群部署；可管理资产数≥200个；支持本地认证、RADIUS认证、AD域认证、LDAP域认证以及多种可配置的双因素认证等；支持设备、设备组管理、设备账号管理、账号密码定期修改、自动生成等；实配：4*GE电口，2TSATA硬盘，总资产数100，三年维保台113日志审计深信服LAS-1000-C6002U设备，单电源，具备6个千兆电口，内置200个主机审计许可证书（可扩展）；支持通过页面直接将日志文件导入或以syslog方式接收日志信息；支持SNMP日志采集；支持以图表方式（饼图、柱图、曲线图）显示当日日志数据分布情况；支持Windows、Linux等操作系统、支持网络设备（交换机、路由器等）、安全设备）、数据库系统、中间件（Tomcat、Webspere、weblogic等）、应用系统（Web服务器、邮件服务器、OA、CRM等）日志集中管理与审计；设备生产厂商是《信息安全技术信息系统安全审计产品技术要求和测试评价方法》的主要起草单位之一台114运维管理系统飞思网巡V5.0对网络设备进行可控管理套115防病毒软件金山V8+网络防病毒软件、支持客户端实时与服务端同步病毒库、提供100点位、2年时间授权点1001665寸电视机康佳B65U用于运维管理系统展示台117机柜兰贝NCE42-66-BAA42U网络机柜，新增设备放置台518理线架清华同方CP200L整理线路个2519配线架清华同方CP21024-M24模块理线架个820网线清华同方7类网线箱121光模块（千兆）国产SFP-GE-LX-SM1310-A用于带光口设备、核心交换区与各区域互联统一采用光纤连接个1222光模块（万兆）国产SFP-XG-LX-SM1310用于核心交换万兆板卡个7023网络跳线清华同方CJ410-3M整理机房杂乱线路，统一使用3M网络跳线进行设备连接根5024PDU拓贸隆8位16A-1U-PDU带防雷机柜供电个2525机房整改实施费用//改造县政府中心机房强弱电设施，清理替换老化零部件、线路；整理机房线路；优化部署机房设备设施，新增5个机柜，理线架，配线架等综合布线设施，保障机房各项设备线路整齐有序项126运维服务//1名运维工程师驻点在县政府中心机房运维，3名机动运维工程师远程及不定期运维年127系统集成费//对所有设备进行整体集成调试项128主链路租赁移动移动当地运营商提供4G互联网出口链路（租赁时间为一年），不能与备链路提供商为同一运营单位条129备链路租赁联通联通当地运营商提供2G互联网出口链路（租赁时间为一年），不能与主链路提供商为同一运营单位条14.1链路架设高可用性的电子政务外网链路，按电子政务外网应用推广需求，将还未接入电子政务外网的单位及部门接入到电子政务外网中来。外网扩展到县委、县政府、县人大、县政协等单位，将除企业外的机关、事业单位全部融入进来；承载的业务从网上审批与电子监察系统，并整合全县各部门、各行业电子政务应用业务。统一互联网出口，租赁电信、移动两条外网出口链路，将全县除企业外的机关、事业单位的所有公网出口全部统一，共用县电子政务外网的网络出口，实现整体的管理、监控和安全部署。4.2骨干网络对电子政务外网网络的设备部署、摆放。全网IP地址、拓扑布局、以及设备配置参数进行统一的优化和调整。核心区是整个网络的枢纽，连接着政务中心的各个区域。承担了内部数据流量和对外数据流量，在逻辑上成为可靠性、安全设计的中心。核心区建议采用网络出口、核心层、汇聚层和接入层的架构模型，该架构模型具有如下的优势：l层次化设计：核心层、汇聚层、接入层，每层功能清晰，架构稳定，易于扩展和维护。l模块化设计：每一个模块一个部门，部门内部调整涉及范围小，定位问题也容易。l冗余性设计：双节点冗余性设计，适当的冗余性提高可靠性，过度的冗余不便于运行维护。l对称性设计：网络的对称性便于业务部署，拓扑直观，便于设计和分析。互联网出口区指企业接入广域网和Internet的出口，互联网出口的主要功能是外部的互访，Internet网络的安全性低、可靠性低、费用低，WAN安全性高、可靠性高、费用高。为保证WAN/Internet链路的高可靠性，可申请两条链路，实现冗余备份，也可以WAN作为主用链路，Internet作为备份链路。互联网出口网关需要配置防火墙、IPS等，根据不同的安全性要求和投资规模选择安全部件。互联网服务器区，数据中心以及运维管理区新增3台三层千兆交换机，对各类安全以及应用设备提供接入服务。4.3安全防护使得县电子政务外网达到三级等级保护的信息网络安全标准，解决电子政务外网出口，网络层及应用层攻击防御、主干链路上的安全设备吞吐瓶颈、完善安全设备冗余主备、优化网络行为、优化网络带宽利用率，并且对电子政务外网实现全面的运维审计和统一监管。一般在政务外网出口部署双入侵防御，两台入侵防御呈主备或负载均衡的方式工作。这样政务出口及核心交换机之间都有备份作用，保证了链路的可靠性。对县政务外网出口，一般在出口部署双防火墙，两防火墙呈主备或负载均衡的方式工作。在核心交换机之间采用直路全双归方式接入防火墙设备，两台防火墙设备之间采用主备或负载均衡方式连接。这样，园区出口防火墙及核心路由器之间都有备份作用，保证了链路的可靠性。互联网出口区新增2台上网行为管理设备，该系列产品可深度识别、管控和审计IM聊天软件、P2P下载软件、炒股软件、网络游戏应用、流媒体在线视频应用等近千种常见应用，并利用多级流控、精准阻断、智能路由等技术提供强大的带宽管理特性。配合创新的网络应用行为精细化管理功能和清晰的易管理日志等功能。该产品可以帮助企业及各类机构提升员工工作效率、营造安全办公环境，为用户提供一套综合、完善的上网行为审计解决方案。运维管理区新增1台运维安全审计系统（堡垒机）设备，统一运维审计系统通过集中管理、监控与审计企业所有运维人员的操作行为，有效降低网络设备、服务器、数据库、业务系统等资源的内部运维风险，完善IT管理体系，同时满足相关法规、标准要求。运维管理区新增1台日志审计系统设备，保证了日志统一采集、存储、审计平台，满足日志的统一管理和分析、上网的NAT追踪，用户的上网行为分析。同时保证有效日志存储六个月以上，便于追根朔源取证。互联网服务区部署网络防病毒软件1套，通过全网的防火墙策略，确保机房所有主机、服务器都能够访问网络防病毒软件服务器，下载防病毒客户端、升级病毒库。数据中心部署内网防火墙1台，起到逻辑隔离外部数据，地址访问控制的作用。数据中心部署数据库审计1台，能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强数据库网络行为记录，提高数据资产安全。数据中心部署备份一体机1台，对互联网服务区，数据中心的业务系统应用以及数据库进行容灾备份，保障出现故障等异常情况时，能够进行及时的数据恢复。4.4业务系统互联网服务区、数据中心区各部署虚拟化服务器一套，部署需要被互联网或者电子政务网访问的业务系统应用以及数据库，并预留一定的冗余空间，方便后期扩容。4.5机房整改改造县政府中心机房强弱电设施，清理替换老化零部件、线路；整理机房线路；优化部署机房设备设施，新增5个机柜，理线架，配线架等综合布线设施，保障机房各项设备线路整齐有序。4.6运维管理部署一套运维管理软件，方便运维管理人员能够直观的了解设备、网络运行状况，及时处理故障。并组建专业的运维服务团队，并长期派驻1到2人对电子政务网核心机房以及县电子政务网网络进行运维服务。5.建设规范根据国家电子政务外网规范，国家电子政务外网按照管理层次划分，可分为一级网、二级网、三级网。一级网络主要指中央广域骨干网、中央城域网。二级网络主要指省级广域骨干网、省级城域网。三级网络主要指地市级广域骨干网、地市级城域网。另外，根据实际部署，在县市区级建立的电子政务外网，一般定义为四级网络，包括县级广域骨干网、县级城域网及乡镇接入。根据国家电子政务外网所承载的业务和系统服务的类型不同，国家电子政务外网按照逻辑划分为专用网络区、公用网络区和互联网接入区三个功能区域，分别提供专用VPN业务、政务外网互连互通业务和互联网业务。其中：公用网络区：即采用国家电子政务外网注册地址（59地址）的网络区域，是国家电子政务外网的主干道，实现各部门、各地区互连互通，为跨地区、跨部门的业务应用提供支撑平台；国家电子政务外网承载网只路由国家电子政务外网注册地址。专用网络区：是依托国家电子政务外网基础设施，开辟为特定需求的部门或业务设置的VPN区域，实现不同部门或不同业务之间的相互隔离，VPN业务主要为各部门的敏感数据提供安全通道。电子政务外网采用MPLSVPN技术将敏感业务数据与其他数据安全隔离，用于满足“自上而下”及“自下而上”的业务需求，为省、市、县相关部门的互连互通提供安全通道。该区域主要采用私有地址，在骨干网上采取标签进行交换。互联网接入区：是各级电子政务外网各部门通过逻辑隔离安全接入互联网的网络区域，满足各级政务部门使用互联网的需求，同时也是移动办公的公务人员通过数字证书认证安全接入电子政务外网的途径。在互联网接入区，采取了综合的安全防护措施，如使用防火墙系统、入侵防御系统和网络防病毒系统等。在接入区采用NAT技术，通过静态路由连接本地互联网。6.建设原则县电子政务外网建设应符合下列原则：层次化将县电子政务网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。模块化将网络中的每个部门或者每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。冗余性关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。安全隔离电子政务网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。可管理性和可维护性网络应当具有良好的可管理性。为了便于维护，应尽可能选取集成度高、模块可通用的产品。保护现有投资在保证前面原则的前提下尽量能利用已有设备进行未来的网络容量扩容改造或升级，并可与未来的网络平滑相接。7.设备部署以及网络拓扑图县电子政务外网建设，将按照国家电子政务外网规范，在现有电子政务外网基础上，对县级电子政务外网骨干网进行升级改造。将网络结构按功能建设成5个部分：电子政务外网核心网、互联网服务区、数据中心、互联网出口区、运维管理区。7.1设备安装规划7.2核心交换机从业务数据流向来看，核心路由交换机就是整个县电子政务外网的核心节点，地位非常重要，对于处理能力、稳定性、可靠性要求比较高，如果出现问题将影响全区政务外网。核心层部署2台H3CS10508核心交换机设备，连接所有的接入交换机，转发各个政务单位之间的流量。核心层需要采用全连接结构，保持核心层设备的配置尽量简单，并且和政务网业务无关。核心层设备需要具有高带宽、高转发性能，否则将无法支撑政务网内外部业务流量。7.3汇聚交换机部署3台千兆三层汇聚交换机，分别放置在互联网服务区、运维管理区、数据中心、作为各区域设备接入汇聚用。汇聚层将众多的接入设备和大量用户经过一次汇聚后再接入到核心层，扩展核心层接入用户的数量。汇聚层通常还作为用户三层网关，承担L2/L3边缘设备的角色，提供用户管理、安全管理、QoS（QualityofService）调度等各项跟用户和业务相关的处理。7.4虚拟化服务器配置四套虚拟化服务器，分别部署于互联网服务器区，以及数据中心，为节省投资，四套虚拟化服务器共用一套存储。7.5多链路负载均衡设备网络出口位置布署2台，接入移动、电信各一个G的互联网出口链路，对访问互联网的流量进行NAT转换，对外发布服务器业务系统。与入侵防御互联、通过端口聚合的方式，通过聚合2个千兆接口，将流量发送至后端设备。7.6入侵防御设备一般在政务外网出口部署双入侵防御，两台入侵防御呈主备或负载均衡的方式工作。这样政务出口及核心交换机之间都有备份作用，保证了链路的可靠性。7.7出口防火墙对政务外网出口，一般在出口部署双防火墙，两台防火墙呈主备或负载均衡的方式工作。在核心交换机之间采用直路全双归方式接入防火墙设备，两台防火墙设备之间采用主备或负载均衡方式连接。这样，园区出口防火墙及核心路由器之间都有备份作用，保证了链路的可靠性。7.8上网行为管理部署2台于互联网出口区、对所有上网流量进行审计，可以控制分时段、分应用类型、分带宽等策略控制上网流量，并能到处相应的上网行为报告。7.9隔离防火墙数据中心部署内网防火墙1台，起到逻辑隔离外部数据，地址访问控制的作用。7.10数据库审计数据中心部署数据库审计1台，能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强数据库网络行为记录，提高数据资产安全。7.11堡垒机运维管理区新增1台运维安全审计系统（堡垒机）设备，所有网络设备、服务器的运维操控都通过运维安全审计系统来实现，分配不同的管理员操作权限，可以对操作行为进行录屏，避免不信任的第三方人员的操作造成对单位的损伤。7.12日志审计运维管理区新增1台日志审计系统设备，大规模日志的统一的采集、存储、审计平台，满足日志的统一管理和分析、上网追溯NAT。保证有效日志存储六个月以上，便于追根朔源取证。8.13运维管理系统部署一套运维管理软件，方便后期管理人员能够直观的了解设备、网络运行状况，及时处理故障，100个点位授权要求。8.14防病毒软件网络防病毒软件、支持客户端实时与服务端同步病毒库、8.路由、交换及IP地址规划8.1命名规范8.1.1设备命名规范数据中心设备命名规范应遵循以下原则：Ø网络设备在全网范围内命名唯一；Ø能标示网络设备的物理位置；Ø能标示网络设备所处的网络层次；Ø能标示网络设备的业务属性或功能；Ø相同物理位置，网络层次，业务属性和类型的设备用不同序号区分。8.1.2命名规则设备命名遵循以下格式：“物理位置标识-设备功能标识-设备编号”其中设备编号为可变部分，如果设备采用虚拟化（堆叠）配置，则使用V（虚拟化编号）取代设备编号部分。设备属性标识，规定如下防火墙：FW核心交换机：HSW接入交换机：ASW8.2路由规划对一个大型网络来说，路由协议对网络的稳定高效运行、网络在拓扑变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展具有重要影响；同时对于网络承载业务的控制方面具有重要影响。县电子政务外网路由协议的选择基本遵循以下原则：1）管理上层次分明，局部的变动不影响上层路由配置和全局路由配置。2）技术上应尽量简单、灵活，以提高路由器的处理效率。3）能够反映出整个网络的层次结构，并与自治域、各结点子网的IP地址分配相结合，做到合理的路由聚合，减少路由表的长度，减轻路由更新给网络带来的负荷。政务外网路由器的管理地址和政务外网内部地址的路由由IGP承载；根据国家政务外网的设计原则，建议政务外网IGP采用标准协议OSPF或静态路由。8.3交换设计8.3.1VLAN使用规范为使VLAN名称简单的同时具有一定的标示性与可读性，VLAN命名将遵循以下格式：业务VLAN：“功能名”互联VLAN：“HULIAN”VLAN命名示例如下：业务VLAN：SERVER互联VLAN：HULIAN8.3.2端口互联规划Trunk设计交换设备之间二层Trunk链路部署应遵循以下原则：Ø交换设备间Trunk协议统一采用dot1q协议；ØTrunk两端的native-vlan必须设为一致；ØTrunk两端接口的速率和双工必须一致；Ø连接接入服务器的trunk线路应手工配置allowVLAN。8.3.3端口捆绑设计交换设备间部署端口捆绑时应遵循以下原则：Ø端口捆绑中所有端口的速率和双工必须一致；Ø端口捆绑应尽量使用不同接口卡上的接口；Ø端口捆绑中所有端口必须在同一个VLAN中，或都是Trunk端口；Ø部署在同一个接口卡或固定端口设备上的端口捆绑应使用不同接口控制器上的接口；Ø相同厂商交换机间端口捆绑使用LACP协议的Active模式；Ø不同厂商交换机之间，交换机与其它网络功能设备，如防火墙、负载均衡设备等使用手工on模式；8.4互联IP地址及VLAN规划8.4.1互联地址56段规划8.4.2互联地址57段规划9.机房改造9.1吊顶吊顶吊顶是装饰工程的重要组成部分，吊顶材料应该不起尘、不吸尘，具有一定的吸音、防火、防水、防腐等性能，方便拆装、自重轻，有一定的强度，并具良好的装饰效果。机房吊顶的铝扣板优质的铝扣板一般采用优质涂料，由进口全自动高速涂装线涂装，板面平整，无色差，涂层附着力强，能耐酸、碱、盐雾的侵蚀，长时间不变色，涂料不脱落，氟碳涂层板是户外使用的极为理想的装饰材料，使用寿命二十年以上，且保养方便，用水冲洗便洁净如新。铝扣板板面平整，棱线分明，吊顶系统体现出整齐、大方、富贵高雅、视野开阔的外观效果。铝扣板具备阻燃、防腐、防潮的优点，而且装拆方便，每件板均可独立拆装，方便施工和维护。如需调换和清洁吊顶面板时，可用磁性吸盘或专用拆板器快速取板，也可在穿孔板背面覆加一层吸音面纸或黑色阻燃棉布，能够达到一定的吸音标准。9.2防静电地板准确来说，防静电地板应该叫做导静电地板。静电地板的工作原理是通过地板表面上的那层物质将静电导入到地下。众所周知，大地是传播静电的介质，而静电地板就是连接大地与工作场所产生的静电的装置。极强的复合牢度。优质的铝扣板精选高聚塑料与高分子材料经热压复合而成，一般经2小时沸水试验无粘合层破坏现象。适温性强。铝扣板一般可在较大的温度变化下使用，其优良性能不受影响。重量轻，强度高。一般每张板平均在8.5公斤左右，在相同刚度情况下，重量远比其它材料轻。隔音隔热、防震。铝塑板具有金属和塑料的双重性能，其震动衰减系数是纯铝板的六倍，空气隔声量优于其他板材，且导热系数小，是理想的隔音、隔热、防震的建筑材料。安全无毒、防火。铝扣板的芯层是无毒的聚乙烯，其表面是非可燃的铝板，故表面燃烧特性符合建筑法规的耐火要求。9.3机柜及布线工程布线配置本系统设置为星型拓扑结构布线系统，结合本机房的实际用途，综合考虑以后机房区设备等可能的变化，综合布线系统进行冗余设计。布线系统水平通道部分采用在地板下金属桥架敷设至各机柜处连接服务器设备。机房内敷设双绞线沿机架安装，信息插座均布在机柜内，本工程中数据、语音采用不同标签加以识别。本机房内的综合布线系统，包括金属线槽、金属套管、线缆、面板等，布线实施过程全程接地。机柜选型机柜符合ANSI/EIA-RS310-C/D国际标准；机柜主体颜色为黑色；前后为高密度网孔，静载承重可达1000KG，网孔的通风面积高达80%，通风率≥55%，内部的2m