XXX大型局域网组网技术建议书2

PAGEPAGEPAGEPAGE华为3Com技术有限公司XXX项目网络技术建议书第4-页XXX项目网络技术建议书Huawei-3ComTechnologiesCo.,Ltd.

华为3Com技术有限公司2006－08目录第1章综述 -3-1.1前言 -3-1.2网络的可靠性 -4-1.3网络的安全性 -5-1.3.1网络安全概述 -5-1.3.2对国家XXX网络安全的具体建议 -6-1.4网络厂商选择 -7-1.4.1厂商选择原则 -7-1.4.2华为3Com公司 -9-第2章XXX网络整体设计方案 -12-2.1XXX网络总体设计原则 -12-2.2XXX网络建设目标 -13-2.3XXX网络整体规划 -14-2.4XXX网络整体设计 -15-第3章XXX内网设计方案 -17-3.1内网整体规划和建网技术选择 -17-3.1.1内网网络整体规划 -17-3.1.2内网建网技术选择 -20-3.2内网网络层次设计 -23-3.2.1一般的城域网络设计 -23-3.2.2XXX内网层次划分 -23-3.3内网网络具体设计 -25-3.3.1内网部机关局域网设计 -25-3.3.2内网育慧里局域网设计 -29-3.3.3内网和平里局域网设计 -32-3.3.4内网局域网互连设计 -36-3.4内网网络管理 -37-3.5XXX内网方案特点 -43-

综述前言21世纪是人类社会进入一个空前激烈竞争的年代，经济和科技竞争呈现全球化态势，决定这场竞争胜负的已不再是物力和财力资源，而是人才资源。人才资源是社会经济发展最为重要而稀缺的资源，这一认识已经被一些国家，尤其是西方经济发达国家的历史经验所证实。党中央、国务院站在推进改革开放和全面建设小康社会的战略高度,做出了“人才资源是第一资源”的科学判断，提出了“人才强国”战略，确立了我国人才工作的基本思路和宏观布局。小康大业，人才为本，实施人才强国战略，大力培养造就各类高素质人才，是落实全面建设小康社会战略目标的重要保证，是实现中华民族伟大复兴、创建和谐社会的根本大计。当今世界，人才资源已成为最重要的战略资源，综合国力竞争说到底就是人才的竞争，谁拥有了人才优势，谁就拥有了竞争优势。我们要掌握人才竞争的主动权，就必须加强和改进XX人才工作，进一步形成育才、聚才和用才的优势。实施人才强国战略，是全面建设小康社会、开创中国特色社会主义事业新局面的必然要求，是增强党的执政能力、巩固党的执政地位的必然要求。为实施人才强国战略，人才资源管理部门必须从传统的XX行政管理转变为战略性的人才资源开发，抓住培养、吸引、使用人才三个环节，努力营造人才辈出、人尽其才的良好环境。要实现这一转变，没有现代化的信息网络技术作支撑是不可能的。建设XX人才管理信息系统是开发人才资源，实施人才强国战略的基础和保证。XXX作为国务院组成部门，担负着实施人才强国战略的重要使命。不仅要在宏观上负责研究制定XX制度改革规划，拟定XX人才管理政策法规，建立XX人才管理制度，还要具体负责国家公务员、专业技术人员和流动人才的配置与开发；大中专应届毕业生和军队转业干部的分配和安置；留学回国人员和高级专家的服务管理，以及各类人员表彰奖励等工作。在市场经济条件下，要做好上述工作，面向社会和公众提供高效、便捷的管理服务，就必须实现XX人才管理手段的现代化和信息化，没有强有力的信息网络技术的支持，政府便无法获得及时有效的信息，更无法面向社会发挥XX人才工作应有的作用。因此，加快全国XX人才管理信息系统建设，是实施人才强国战略的基础和保证。XXX全国信息化网络建设的目标是；首先建设XXX系统的内网；其次依托国家政务外网，建成以XXX办公局域网为核心，上联党中央、国务院，横向联接国务院各部委XXX门，纵向联接各省、自治区、直辖市和新疆生产建设兵团XXX门的XX人才业务资源网（统称外网）；以及面向公众提供服务的XX人才公众信息服务网（统称门户网站）。最终，在以上三张网络平台上，健全安全保障体系，确保网络与信息的安全，加强XX人才基础信息数据库和XX信息标准体系等基础建设，加快公务员、军转干部和高校毕业生就业等急需应用系统建设，加强执政能力建设，最终提高全国XX系统的工作效率和为公众服务的水平。网络的可靠性高可靠性网络对于某些关键性应用来讲是一项必不可少的特性。随着多服务统一网络的涌现，支持数据、语音和图像的网络加速了对高可用性网络的需求。在国家XXX中，网络将成为日常办公、管理不可缺少的工具，网络的瘫痪是无法设想的。多服务网络的高可用性的重要性已被认为是等价于网络互联，QoS，策略管理和目录服务的一个基本因素。高可用性网络不仅应当解决单个网络设备的可靠性问题，还应考虑整个网络及相应服务的可靠性，因为作为一个网络通信平台来讲，它提供给使用的是一系列从硬件到软件的服务，任何一项得故障，都将会导致网络的不可用，所以高可靠性的网络，应该提供所有关键网络元素的可用性。在XXX网络系统的可靠性设计中，应结合多种方法，综合考虑网络设备的可靠性，网络拓扑的可靠性和相应服务可靠性三个方面，做到一个适合需求，节省资金的高可用性方案。在方案的设计之中，有如下几点建议：定义和度量有效性研究一个组织到底需要多高的可靠性，应把可靠性设计和用户详细的预期值进行仔细的对比。计算每一个网络故障对网络用户的影响范围，在1000人的网络中，影响10人的故障的网络设计可定要比影响100人的设计要好。故障管理和诊断对故障的仔细诊断是提高网络可用性的先决条件，这可以避免相同的故障在网络中再次发生。设备级硬件可靠性相应设备的冗余配置，可以避免由于设备故障导致的可靠性降低的情况，设备冗余配置应和受影响的用户群相联系，这意味着在核心层与汇聚层配置冗余设备比在接入层配置更加有效。网络级的冗余配置网络冗余可以使得网络在各种硬件和硬件故障发生时继续工作，故障切换使得网络服务不会中断，这种切换对网络用户透明。网络的安全性网络安全概述网络安全成为目前必须面对的一个实际问题。网络上存在着各种类型的攻击方式，包括窃听报文、IP地址欺骗、源路由攻击、端口扫描、拒绝服务攻击应用层攻击等。另外，网络本身的可靠性与线路安全也是值得关注的问题。对国家XXX网络安全的具体建议本次国家XXX网络建设将国家XXX、各省XXX门政务网连接在一起，为XXX门系统的内部办公和对外服务提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，XXX网络建成后的网络安全成为必须面对的一个实际问题。在政务网网络上存在着各种类型的攻击方式，包括网络层攻击、应用级攻击和系统级攻击。网络构建及组成中，网络设备仅完成网络级安全的防范。针对以上提到的各种安全隐患，安全网络设备必须具有如下的安全特性：可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。针对国家XXX网络建设存在以上各种安全隐患，建议采取如下的网络级、应用级和系统级安全措施来保证政务网的安全。身份认证只有网络管理员才有权访问XX政务网设备，所以对访问设备的用户需要进行身份认证。用户访问路由器存在多种方式：直接从console口登录进行配置；telnet登录配置；通过SNMP进行配置；通过modem远程配置等等。对于这些访问方式，都需要输入密码和口令，经过RADIUS服务器或相应的身份认证获得访问设备的权限。访问控制为了保护国家XXX网络设备的配置，对设备的访问权限需要进行口令的分级保护。只有持有网络管理员相应口令的特权用户才能对路由器进行配置；一般用户只有查看普通信息的权力。数据加密在国家XXX网络建设中，如需要对所传送的重要数据进行加密，可以通过华为3Com公司的H3C系列路由器进行手工配置或自动协商密钥两种方式建立IPSEC，在传输或隧道模式下能够单独或组合应用AH(AuthenticationHeader，认证报头)和ESP(ExtendedServicesProcessor，扩展业务处理器)安全协议，可以实现对整个IP报文或数据载荷内容进行不同粒度级别的加密和认证，从而提供验证数据源、校验数据完整性和防止报文重放等(ESP还提供加密)功能，结合ACL访问控制列表共同确保数据信息在电子政务网络上传送的安全保密性。MPLSVPN国家XXX网络建设中为了避免因为数据窃听而造成的信息泄漏，有必要对所传输的信息进行加密，只有与之通信的对端才能对此密文进行解密。通过对所发送的报文进行加密，即使在广域网上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。对于利用公网构建MPLSVPN的情况，数据加密能够保证通过隧道传输的数据安全。应用安全在本次推荐的路由器方案中，可以提供ASPF(ApplicationSpecificPacketFilter，基于应用层规范的包过滤)特性。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，每一个连接状态信息都将被ASPF维护并用于动态地决定数据报文是否被允许通过防火墙或丢弃。通过ASPF的检测，可以保证所有建立的连接都是合法连接，防止地址欺骗、身份伪造等恶意攻击行为。网络厂商选择厂商选择原则因为每个厂商的网络解决方案均有所不同，所以网络厂商的选择也是一个十分复杂的问题，一旦需求确定，只要设备满足需求，都应该被列为选择对象。对于XXX城域网网络系统来说，多个网络设备厂商都可进入选择，国外的如思科公司、北电公司，国内的如华为3Com公司，以及其他一些著名厂商。这些厂家的产品都符合大多数网络应用的需求，但什么产品才是最符合本系统的需求呢，只有从需求入手来检查各种产品。这些设备如何选择，应从以下几个方面进行讨论：1.确定网络需求应用需求前述已经分析过XXX城域网网络系统的应用模型，可知在XXX城域网系统中主要应用为C/S和B/S应用数据，其内容包含范围非常广泛，网络流量不可预知，且在系统中还要预留多媒体数据的扩充努力，应保证其带宽要求和及时可靠传送。上述可以看出这种要求对网络主干带宽和交换能力有一定需求。主干千兆速率，以及现代中心交换机高速交换能力为应用提供基本保障。网络设备要求交换性能满足XXX城域网应用系统需求，并提供扩展能力。对CoS/QoS支持能力带宽增加可以在一定程度上缓解提供不同服务保障的要求，但要从根本上解决必须要求网络提供CoS/QoS能力。首先，网络对多媒体数据有要求，其次，在多种数据共存的网络中如何重要数据优先传送，都要通过网络设备CoS/QoS的保障能力。Vlan及第三层交换能力就系统应用来讲，划分Vlan是必须的。XXX城域网存在多个相对独立的系统，划分Vlan无论从逻辑上还是性能上将都是十分适合的。另外，随着系统规模的扩大或出于某些安全考虑，划分Vlan是必须的，而针对日益普遍的Intranet应用第三层交换能力是非常重要的因素。设备的可靠性对于XXX城域网网络系统可靠性是十分重要的，中心设备自身必须具备相应的可靠性设计，若设备不具备则相应要通过网络结构的设计来弥补。设备整体性能设备第二层/第三层交换能力，丢包率，CoS/QoS能力，访问控制能力，可靠性，配置管理能力，扩展能力等等。2.厂商规模及产品的延续性网络厂商的规模在一定程度上反映了公司的实力，大厂商有雄厚的资金实力来投入产品的研制和开发，可以保证产品的延续性。作为用户，应该考虑到产品在一段时间内的维护和支持，以及今后的扩展。3.性能价格比这一点对于用户十分重要，在投资有限的情况下，如何在性能和价格上求得一种平衡是十分重要的。有限资金必须用在所需要的功能上，俗话说的好“好钢要用在刀刃上”。4.维修及售后服务选择一个厂商，必须要了解其在国内的维修及售后服务情况。对于一个实用系统，维修及售后服务的滞后，必然带来MTTR时间的增加，系统可用性的下降。针对以上对网络厂商选择依据的叙述，XXX城域网网络系统设备的选择可能最主要的取决于厂商提供的完善解决方案和产品性能的优劣。在XXX城域网网络系统设计中，我们推荐采用国内网络设备厂商华为3Com公司的网络产品和解决方案。这是因为：中国最大的网络设备制造商，实力雄厚，技术领先提供从全线路由器到全线交换机的完善产品系列提供完善的端到端的数据，语音和视频的三网合一解决方案优越的性能价格比，卓越的培训和售后服务华为3Com公司华为3Com已经成为全球唯一能够提供全线的路由器和以太网交换机以及VoIP产品、视频会议和网络管理产品的两家厂商之一，从产品的提供上能够充分满足组网应用的需求。从安全性考虑，优先采用国产设备构筑XXX内网，华为3Com公司的所有网络产品均拥有自主知识产权，不存在产品后门漏洞，并且华为3Com的网络产品包括全系列路由器和以太网交换机在国内多个安全性高的行业已得到规模应用，如：中共中央组织部、中共中央宣传部、中共中央纪律检查委员会、全国人大常委会、国家财政部部、国家外经贸部、信息产业部、国家工商总局、国家安全信息中心、国家公安部、中国人民银行、深圳工行、深圳农行、广东建行、中国银行总行、和江西政务网等多个行业。从可靠性考虑，华为3Com公司是国内最大的网络设备供应商，有多年从事网络运营行业的设备组网、实施经验，众所周知，而网络运营商对于可靠性的要求非常的高，要求设备具有99.999%的可靠性，而华为3Com在进行数据通信网络设备的研发、制造都是基于运营级的可靠性要求来进行的。从市场应用来说，华为3Com公司目前是全球数据通讯领域具有重要影响力的厂商之一，公司持续稳定持续发展，在国内市场占有率位居国产厂商之冠。其产品经受了网上大量应用的考验，并得到了客户的充分信任。例如：本次方案设计中作为城域网核心交换机的路由交换机H3CS9512，在中组部，中宣部，国家工商总局核心层全部采用的便是该款产品，足以证明华为3Com公司高端设备在国内已经得到部委客户充分的信任，完全可以满足本次XXX城域网的要求。华为3Com公司系列网络产品均采用了业界先进的技术，具有高的性价比，如：核心路由交换机H3CS9500/7500系列交换机均采用高性能ASIC，采用基于硬件的逐包转发方式，区别于基于流转发的业界的其它交换机，能够有效克服红色代码病毒带来的攻击，每块接口板上支持5k条规则，2k条队列，整机采用全分布式结构，安全可靠转发能力高，同时华为3Com的高端骨干设备均能够提供MPLSVPN，并且在国内已经有了大量的应用。本次所选择设备满足对设备的技术参数的具体要求，并且许多性能指标如：包转发率，背板容量等还要优于要求，具有极好的性价比。华为3Com公司具备良好的服务和技术支持，产品售后服务好，健全的培训体制。在全国建立了28个办事处，35个用服中心，结合华为3Com在各地的合作伙伴，无处不达和便捷的服务，是华为3Com产品得到用户信任的可靠保障。同时华为3Com在每个本地网都有办事机构，可以快速响应客户需求。为了满足不同客户不同层次的培训需求，华为3Com服务公司建立了规范、专业的用户培训体系，将总部培训与分部培训、集中培训与现场培训有机结合。此外，技术支持网站、流动学校和网上认证系统，也是华为3Com培训的特色之处。XXX网络整体设计方案2.1XXX网络总体设计原则网络系统必须严格遵守各种相关的技术原则，遵循各种相关的技术标准和规范。在设计中，网络系统必须符合下面的原则：先进性和实用性计算机技术发展日新月异，设备更新淘汰的周期越来越短。为了确保系统具有较长的生命周期，保护投资，在系统软硬件配置上，综合考虑了实用化目标、投资、以及国际计算机技术发展的趋势，进行规划。可持续发展和经济性计算机网络技术是个发展很快的领域，系统建设必须考虑到系统以后的扩充和变化，因此必须保持系统的可扩展性。采用成熟、稳定、性能价格比高、扩展能力强的产品，既要避免采用过高的性能配置，造成资源的浪费和投资的紧张，又要防止系统处理能力不足、扩展能力不够而无法适应未来发展的需要。开放性和可扩展性考虑到发展的需要，所使用的操作系统、网络通讯协议和接口都应该符合国际标准，符合技术发展的潮流，以保持系统具有较强的互联能力，保持一定的开放性和可扩展性。可靠性和安全性系统必须具有很高的可靠性和安全性。在系统设计中，必须考虑这些因素，建立一个高可靠、高安全的网络系统。2.2XXX网络建设目标XXX全国信息化网络建设的总体目标是；首先建设XXX门内部办公局域网（内网）；其次依托国家政务外网，建成以XXX外部办公局域网为核心，上联党中央、国务院，横向联接国务院各部委XXX门，纵向联接各省、自治区、直辖市和新疆生产建设兵团XXX门的XX人才业务资源网（外网）；以及建设面向公众提供服务的XX人才公众信息服务网（门户网站）。最终，在以上三张网络平台上，健全安全保障体系，确保网络与信息的安全，加强XX人才基础信息数据库和XX信息标准体系等基础建设，加快公务员、军转干部和高校毕业生就业等急需应用系统建设，加强执政能力建设，最终提高全国XX系统的工作效率和为公众服务的水平。XXX信息化网络建设涉及全国31个省(自治区、直辖市)、15个计划单列市和国务院各部委XXX门，工程复杂，不确定因素多，建设难度大。因此，该系统建设将分期进行，逐步推进，一期工程的建设周期为两年。在保证建设质量的前提下，为适应XX人才管理工作的迫切需求，力争加快进度，缩短建设周期。一期工程建设的目标是：用二年左右的时间，建成以国家政务专网为依托，连接各省、自治区、直辖市及副省级市XX厅（局）和国务院各部门XX（干部）部门的全国XX人才业务资源网和以国际互联网为依托的XX人才业务公众信息服务网，为机关团体、企事业单位和社会公众提供优质、高效、便捷的网上在线服务；开展以XX人才数据库建设为基础的建库试点工作，总结经验，探索数据库建设与数据维护更新的机制和方法；建设以公务员管理系统、军队转业干部安置管理系统和高校毕业生就业系统为核心的电子政务系统，初步实现XX人才管理、配置与服务的信息化；建设以标准规范和安全防护为基本保障的XX人才标准化体系和信息安全防御系统，确保XX人才管理信息系统的信息共享与安全运行。一期主要任务是：●进一步完善和加强XXX门内部办公局域网建设，为XX人才业务处理信息化和办公自动化创造条件；●依托国家政务专网，建设连接各省、自治区、直辖市及副省级市XX厅（局）和国务院各部门XX（干部）部门的全国XX人才业务资源网，形成全国统一的XX人才业务处理与信息交换平台，为XXX门交流信息、办理业务和公共办公提供方便快捷、安全可靠的信息高速通道，为实现与组织、劳动与社会保障、财政、科技、教育、公安、编制等相关部门，协同开展有关业务和信息共享提供互动的联网协同办公环境；●依托国际互联网，建设国家XX人才业务公众信息服务网，办好各级XXX门户网站，改善网络环境，丰富网站内容与功能，为机关团体、企事业单位和社会公众提供优质、高效、便捷的网上政策咨询、业务办理与信息服务。2.3XXX网络整体规划根据“全国XX人才管理信息系统”的建设目标，建设以国家公共网络平台(政务内网、政务外网和电信公网)为基础，以局域网为主体，以网络应用为核心，多种通信方式并存，跨平台、支持分布式处理的计算机网络系统。从应用层面和工作内容上可划分为XXX内网（涉密网）、XXX外网（非涉密网）和XXX门户网站（公众信息网）三部分。1、XXX内网：XXX内网是依托国家政务内网建立的，上连党中央、国务院，横向连接各部委，下联省、市、区和副省级中心城市XXX门的涉密信息网络。2、XXX外网：XXX外网是依托国家政务外网，采用广域网络技术建立的，连接中央各部门和省（区市）XXX门的非涉密网络。依托该网运行由多种XX人才管理系统构成的XX人才业务处理系统和由数据库群构成的XX人才基础信息管理系统与决策支持系统等。XXX外网从结构上又可分为中央级网络和省级网络。中央级网络在XXX与国务院各部委、各省（市）XX厅（局）、试验点城市XX局及其在京所属单位之间构成，XXX机关内部局域网络是中央级网络的核心节点（即中央节点），通过国家政务外网或电信公网与各节点进行联网办公和信息交换。省级网络在省XX厅（局）及其下属机构、地（市）、县（市）XX局之间构成。省级XX厅（局）内部局域网是省级网络的核心节点，可根据自己的需要和可能，比照中央网络的方式，建立同本级政府、各有关部门的联接。3、XXX门户网站（公众信息网）：XXX公众信息网是依托国家电信公网，充分利用Internet资源，采用VPN技术进行互联，面向社会和广大公众提供XX人才宣传和政策信息咨询、远程培训与人才中介服务的网络。按照政务网络安全性的要求，XXX内网与外网物理隔离，XXX外网与公众信息网之间采用逻辑隔离。因此，XXX的局域网和广域网都是两套，即XXX内网有自己的局域网和广域网，XXX外网也有自己的局域网和广域网。2.4XXX网络整体设计根据对全国XXX门业务的深刻理解，同时本着统一规划、分级分步建设的原则，XXX信息化网络整体上分为核心层、汇聚层、接入层即网络业界最经典的三层网络模型来设计。逻辑拓扑示意图如下所示（注：XXX内网是与外网、门户网站等物理隔离的一个闭环局域网，本身与与外网、门户网站没有互连关系。因此整体逻辑拓扑示意图中不含内网）。一期工程网络系统建设的重点是XXX网络。XXX信息化网络由中央与省（含副省级市）两级节点组成。它既是网络应用支撑平台、消息传送平台、也是信息资源管理平台和事务处理平台。这一核心节点要求网络具有一定的带宽、稳定性和安全性。因此网络结构和相关设备必须保证局域网中各主要服务器之间的高速数据通信。XXX全国网络的核心层由核心城域网和连接31个省组成的广域网络共同组成。其中关键定义如下：1。部机关作为内网、外网的核心。

2。育慧里作为公共信息网（门户网站）的核心。3。育慧里的外网同时是全国外网的运行备份中心。4。部机关的门户网站同时是育慧里公共信息网（门户网站）的数据备份中心。5。上海是全网的异地灾备中心。

XXX内网设计方案内网整体规划和建网技术选择根据XXX内网的建网要求，可以看出XXX北京市内网的建设实质上就是一个小型城域网的建设。因此首先对XXX北京市内网的建网思路做一整体规划。内网网络的整体规划不仅关系到整个网络系统性能的好坏，还涉及到未来整个网络系统如何有效地与网络新技术接轨和网络平滑升级的问题。对设计者来讲，XXX内网网络的规划首先应立足满足于目前的需求，选择适合的有发展前途的网络技术，在3－5年能充分满足XXX行政及办公业务对数据通信网络的需求，并在5－8年内也不落后。如何来构建XXX内网的网络系统应考虑如下几个方面：按照新一代城域网络来设计XXX内网网络系统；按照模块化、结构化的原则设计，便于扩充和升级；考虑技术的先进性，但以实用性及技术的成熟性和简易性为主；在网络建成后，提供全面的服务和应用，充分体现和发挥网络的价值与效益。内网网络整体规划网络规划的关键是考察建网采用那种技术是否能够满足用户的需要，并且在一定阶段内是否有扩展能力。当今，网络技术的选择多种多样，究竟什么技术能满足XXX内网网络建设的需求，需要我们认真考虑。在内网网网络技术的选择中，根据前述用户需求和分析可以得出需要高速网络技术来满足应用的需要，整体规划体现在以下几点：网络规模在XXX内网网络系统中，先期考虑A.部机关，B.北京育慧里办公区，C.北京和平里办公区等三个核心节点的互连互通，其次要考虑XXX分布在北京城八区的各个办公分机构与核心节点的互连互通。以后还要考虑异地数据灾备中心等的后续接入。现对XXX内网各业务机构的信息点做一详细统计：部机关，布线点数将达到500个PC信息点（1000MGE接入)；北京育慧里办公区，布线点数将达到100个PC信息点(1000M北京和平里办公区，布线点数将达到300个PC信息点（1000MGE接入)。其他分支节点：1。考试中心，布线点数将达到40个PC信息点（100MFE接入)；2.专家服务中心，布线点数将达到40个PC信息点（100MFE接入)；3.军转培训中心，布线点数将达到40个PC信息点（100MFE接入)；2.人才交流中心，布线点数将达到40个PC信息点（100MFE接入)；应用数据类型在本次网络建设中，内网主要完成XXX系统内部数据信息包的承载，但对视频、图像等多媒体信息包也有一定的考虑。因此需要网络系统在桌面以及核心能够提供足够的网络带宽。除了对带宽的要求之外，更为重要的是，网络必须提供对多媒体的支持，适应未来的发展，传统的“Best-Effort”网络体系显然不能满足日益增长的多媒体应用的需要。应用发展趋势现今技术不断变化的情况下，新应用对网络技术和网络带宽增长的推动越来越明显。1）Intranet网络模式毫无疑问，与XXX城域网一样，当今在城域网络中最重要的驱动就是Internet、Intranet和Extranet技术。这反映在WEB技术爆炸性的增长，正在根本性地改变着传统的操作方式。此外，还有大量的用户使用传统的应用来满足自己的需求（文件传输，MIS，网络备份等等），制造了稳定增长的网络流量。其结果导致网络流量成几何状的增长并且导致了网络性质的永久改变。已发生的一个最重要的变化是不可预知的网络流量模式，Intranet流量、越来越集中服务器群、组播应用的增加等等。传统的80/20原则已经被丢弃。浏览器的使用使得用户能够轻松确定和访问外部的任何信息。流量模式不是决定于物理工作组的配置从而被圈定在一定范围之内，而是受命于哪些外部(内部)服务器有最有价值的页面。这样，大量的流量穿过主干将会形成一条准则。2）网络用户要求更高的带宽网络用户的增长，更多的并发应用，更快的客户计算机以及更快的网络服务器要求局域网段有更高的容量和更快的响应时间。3）流量模式向着“任意到任意”的通信模式发展在城域网络流量模式改变中起作用的因素包括：基于Web技术的应用，中央化服务器群以及组播技术的采用。当基于Web的技术在城域中被采用来提高能力和信息共享时，流量模式朝着“任意到任意”方向改变，要求更高的网络层的性能。中央化的服务器群提供网络管理者以简单的配置，控制和管理。当服务器被集中后，所有的流量必须穿过主干到达服务器并且返回桌面。这就要求主干网络层有更高的带宽。组播应用基于谁需要信息并且加入一个组来产生网络流量。成员可以来自城域中的任何地点。当成员加入和离开一个工作组时，改变了多组成员的关系，组的流量将会动态的改变。这一切都预示着网络主干应该提供更高或更容易扩展的带宽能力。在XXX内网中采用高速主干技术，是应用的需要，也是今后应用发展的需要，是必须的。内网建网技术选择在对先进技术进行选择的同时，建议选择以下满足内网建设的技术：GE级汇聚带宽网络结构和系统实现必须能够传送GB级的数据流并且可以扩展来达到Intranet增长的需求。网络层的数据转发和路由必须以线速进行网络层实现10GB吞吐速率，结合多协议能力，来支持GB速率数据转发和网络服务。网络应用服务必须以GB级速率进行网络服务如安全、QoS、冗余链路、统计和策略实现必须以GB速率支持。每个数据包或数据流被网络层的应用服务分析，这些过程要求分析、决策，并且这些服务应用要以高速、可靠来实现。监控和管理GB级系统GB速率要求新的方法来监控、故障排除和管理。平滑和可扩展的迁移高速主干的建立，要求平滑，稳定和分布的迁移，要使得原有的大量设备和应用能够顺利迁移到新的高速网络技术。万兆以太网技术万兆以太网技术的研究始于1999年底，当时成立了IEEE802.3ae工作组，并于2002年6月正式发布802.3ae10GE标准，图1为802.3ae万兆以太网技术标准的体系结构。物理层在物理层，802.3ae大体分为两种类型，一种为与传统以太网连接速率为10Gbps的“LANPHY”，另一种为连接SDH/SONET速率为9.58464Gbps的“WANPHY”。LANPHY还包括一种可以使用WDM波分复用技术的“10GBASE-LX4”WANPHY与SONETOC-192帧结构的融合，可与OC-192电路、SONET/SDH设备一起运行，保护传统基础投资，使运营商能够在不同地区通过城域网提供端到端以太网。传输介质层802.3ae目前支持9um单模、50um多模和62.5um多模三种光纤，而对电接口的支持规范10GBASE-CX4目前正在讨论之中，尚未形成标准。数据链路层802.3ae继承了802.3以太网的帧格式和最大/最小帧长度，充分兼容已有应用，不影响上层应用，进而降低了升级风险。万兆以太网采用了IEEE802.3以太网媒体访问控制（MAC）协议、IEEE802.3以太网帧格式，以及IEEE802.3帧的最大和最小尺寸。万兆以太网在本质上仍然是以太网在速度和距离方面的自然进化，是一种只采用全双工的技术，网络运营商不需要应用低速的、半双工的CSMA/CD协议。在其他方面，万兆以太网保留了初期以太网模型的精髓。首先，主干带宽和延迟性能对于现今和未来的应用都是十分重要的。传统的80/20原则的翻转，使得现在80％的流量趋向于主干，新的主干设计要求有更高的带宽和交换能力。其次，一个可扩展的网络结构必须能够处理现今的网络和桌面协议。这样的设想要求网络必须兼容当前的PC，服务器，主机和缆线设施。另外，为了保证平滑的迁移，现存的网络协议必须以某种方式被新建网络所支持。万兆以太网正如其名称所指示的一样，它是以太网在速率上的一种扩展，它建立在以太网协议之上，可以保证网络协议的兼容性。QoS能力支持显著增长，作为网络管理者要求某些流量相对于其他流量有更高的优先级访问网络(特别在广域网网络)。对于QoS的选择包括保证的品质服务，在这种情况下，特殊用户或数据流被保证有相应的性能；类别服务（CoS）指提供最好效果的QoS，最终，带宽的增加使得这种竞争不再成为问题。以太网技术，随着技术的不断进步，也在不断地为支持QoS而努力。最重要的就是802.1P和交换机端口具有不同流量级别的多个队列。它可以在传统的“Best-Effort”网络上提供一定的端到端类别服务能力。综上所述，随着万兆以太网以及相应以太网和IP对QoS支持技术的出现、普及和不断发展，以太网技术在局域网技术中已经形成统治地位。用户也逐渐知道了什么才是自己所最需要的。在XXX北京内网中局域网核心网络技术的选择方面，万兆以太网技术对于两个关键因素——带宽和QoS有着绝对领先的解决方案：所以，在XXX北京内网中局域网核心网络技术的选择上，使用万兆以太网技术有着更大的优势，这是因为万兆位以太网技术有着不可比拟的优势。根据上述论述，我们认为在XXX网络核心中采用万兆以太网技术是最符合用户“即满足需求又适度超前”的网络建设原则。内网网络层次设计对于XXX内网网络系统，良好的层次设计为网络的可靠性、网络性能和网络的可扩展性都提供了良好的保障。目前，网络面临的是不断增长的对性能和可扩充性的需要。除此之外，网络还必须保证提供一些关键特性，例如高可用性、可管理性和灵活性等。随着各个厂家的新产品和新技术的推出，如何设计城域网络和如何满足这些不断增长的需求，已经到了重新审视的时候了。但是基本的设计原则和在第二层、第三层的交换能力并没有明显改变。主要变化产生在网络设备和技术的选择范围更大，可以支持更多的网络应用，并且能够提升扩充性及可用性。新增加的功能特性应包括QoS、多层服务、主干带宽的提升、增加千兆端口的密度、更强的交换能力等。一般的城域网络设计XXX北京内网要建设的是提供一个高性能的、具有扩充能力的，能为新兴应用提供基础环境的城域网络。许多企业和机构的网络管理员已经采用模块化和可扩充的网络体系结构来解决城域网络设计的方面的挑战。多层城域网络的设计提供了很多优点。包括先进的扩充能力；容错能力：部件更换，提供冗余网络服务；可预测的流量模式：包括各种条件下（正常工作与故障条件）网络的各种行为。与设备的冗余能力结合，如热插拔部件，可以提供更大的灵活性和网络增长的潜力。XXX内网层次划分在XXX北京内网网络结构的设计中，包括3个核心局域网同城互连，组成XXX内网城域网。因此将采用现今局域网组网效率最高的扁平架构来设计3个局域网，以保证全网有高的访问效率。即内网中每个局域网分为两个简洁的层次：核心层和接入层。对于分布在北京城八区的4个小型分支机构，本方案建议统一将其接入内网核心层的核心节点即部机关广域网设备上。核心层核心层是城域网的最高层次，通常应具有如下能力：核心设备之间应该具有最高速的链路比较粗的QoS控制粒度最高的路由前缀为网络其他模块提供互联在局域网中，核心层为各个接入层设备提供互联，并通过千兆线路互连XXX广域网出口设备。接入层接入层由面向最终用户的设备组成，主要功能如下：提供高密度的用户端口提供许可控制，包括：安全访问控制QoS控制地址指派采用扁平式网络的设计方法，必须依赖于利用网络的高弹性和扩充性。所谓的弹性指的是对故障的容忍度和故障情况下的恢复能力；所谓扩充性是指根据实际需要，可以在各个不同层次实现升级和扩充，实现对网络可控的、有序的优化。在这种体系结构内，接入层为终端用户提供10/100M乃至1000M的自适应交换端口，并提供到汇聚层的上联链路。如快速以太网链路、GigabitEthernet等。并在上行链路采用各种可用的技术，如Trunk,RSTP、MSTP等实现负载均衡和冗余链路，使得一旦上行链路出现故障，可以有快速的恢复能力。各个部门的终端设备如PC全部通过接入层进入网络系统，并在此建立必要的、有效的网络安全措施。内网网络具体设计在XXX内网局域网方案中，核心互连技术选用万兆以太网络技术，所有的帧格式全部选用以太网格式。根据上述总体设计中的思路，主要设计如下：局域网网络主干选用万兆以太网局域网网络按二层结构进行设计，包括核心层和接入层局域网通过802.1Q实现全网每端口的虚拟网络划分局域网通过核心层强大的第三层交换功能实现全网的集中式路由，在信息点数众多的区域中心使用第三层交换机进行分布路由。采用华为3Com公司的网络管理软件管理全网所有交换设备在物理结构、链路拓朴和设备选型上，XXX北京内网的三个局域网将分别进行设计。内网部机关局域网设计内网部机关局域网布线点数将达到500个PC信息点(100M/1000M内网部机关局域网核心层设计采用2台H3CS9512万兆交换机作为核心交换机，为保证核心节点的高可用性，两台之间通过10GE互相连接构成网络核心的冗余备份，达到无单点故障的目的。核心层负责整个网络的数据交换，同时也是整网（LAN）的路由中心，全网绝大部分第三层、第四层操作都通过核心节点集中进行。这样任意一台核心节点都可以成为是业务的主要汇总中心。为了充分保障核心交换平台的高可靠特性，核心双机即2台S9512交换机均配置了双电源冗余配置。华为3Com公司的S9512是业界领先的万兆核心交换机。它配置了高达1.8T的交换背板，所有业务单板可靠性规格指标均达到电信级要求。S9512VRP企业版软件提供了丰富的业务特性，其中包括了对于服务质量保证的QOS支持，配合S9512基于网络处理器的硬件平台，系统承载的局域网络平台可以有效支撑非常复杂而且规模庞大的QOS应用，满足部机关当前以及未来一段时间之内复杂的业务、数据以及视频会议的需求。内网部机关局域网接入层采用10台H3CS7506R交换机作为用户接入交换机，分别通过万兆链路和千兆链路采用双归方式与核心交换机H3CS9512互联；核心层交换机与接入层交换机之间形成双链路全冗余连接，任意两点间互为业务/数据容灾备份，以增强整体网络的容错和故障隔离能力。同时每台S7506R接入交换机通过1000M接入桌面PC用户。H3C®S7500系列高端多业务交换机是华为3Com公司面向IP城域网、大型企业网及园区网用户的系列大容量、高密度、模块化的二、三层线速以太网交换机产品，主要作为企业的核心交换机或城域网汇聚层交换机。该系列包括S7502（2槽），S7503（4槽），S7506（7槽），S7506R(8槽)。H3C®S7500能够为城域网、园区网、数据中心提供超高速链路，构建端到端以太网络，打造低成本、高性能、具有丰富业务支持能力的高性能网络。H3C®S7500提供大容量、高密度、模块化的二、三层线速转发性能，同时具有丰富的业务功能、强大的QoS保障、完善的安全管理机制和电信级的高可靠设计，完全满足行业客户和运营商用户对多业务、高可靠、大容量、模块化的需求。内网部机关局域网是全国内网的核心节点，局域网内大量服务器群对外提供XX信息应用服务。因此，，在核心区块和接入区块的基础上，再增加一个服务器接入区，构成内网部机关整体的局域网架构。对于服务器接入区，不仅需要为其提供高速高性能的二、三层交换，还要根据以后的业务发展需要，为服务器群提供一些增值服务如负载分担、4－7层交换等功能。综合以上两点需求，设计在服务器接入区核心采用两台H3CS9505交换机作为服务器接入区数据交换设备，两台H3CS9505交换机之间通过10GE互联，达到互相负载分担、冗余备份的目的；服务器设备双千兆链路直接接到两台H3CS9505交换机上，从而达到服务器接入区对外提供高可用、不间断的数据转发和信息服务。服务器接入区的安全设计也是重要的一点。服务器接入区即要对外为访问者提供高安全、高可靠的业务访问能力，同时也要对内保证服务器接入区中大量服务器群关键数据信息的安全。为此，方案设计新增两台H3C®SecPath1000安全网关设备，H3C®SecPath1000安全网关支持VPN、防火墙、AAA、NAT、QoS等技术，可以确保在开放的网络上实现安全的、满足各种访问策略的私有网络保护。将两台H3CS9505交换机分别交叉连接到防火墙H3C®SecPath1000上，两台H3C®SecPath1000又分别双链路上联到核心层交换机，这样将整个服务器接入区所有的服务器设备都在防火墙的保护下。XXX北京内网中，部机关局域网与育慧里、和平里局域网之间互连的广域网设备采用一台支持电信SDH传输链路如POS155的高性能路由器H3C®NetEngine40－8。H3C®NetEngine40系列通用交换路由器(USR)，充分继承了华为NE80核心路由器的设计理念和关键技术，是华为3Com公司面向大型企业网、行业网、IP城域网和IP骨干网的高端网络产品。H3C®NetEngine40（以下简称NE40）包括NE40－8、NE40－4和NE40－2三款型号。继64G交换矩阵后，NE40-8推出256G交换矩阵和线速10G接口，并向前兼容NE40所有类型线路板。NE40基于分布式的网络处理器硬件转发和无阻塞交换技术，具备优异的扩展能力，可以通过软件平滑升级的方式支持IPv6。NE40融合核心路由器强大的IP业务处理能力和三层交换机低成本以太交换能力，可提供更丰富的业务、更灵活的组网和更理想的性价比。NE40是企业骨干网和IP城域网的向宽带化、安全化、业务化发展的重要源动力。安全，在网络设计中也是非常重要的一个因素。在XXX内网中，要在内外两方面充分考虑安全因患，进而部署关键设备保证网络内外安全。首先，在部机关核心层部署一台入侵检测设备H3CSecEngineD200。H3CSecEngineD200（以下简称D200）是华为3Com公司面向企业用户开发的新一代专业入侵检测设备,可以作为中小企业的出口或者内部的网络入侵检测设备。对于网络中可能存在的安全风险，例如黑客入侵、网络病毒和网络资源滥用等行为，D200可以进行有效识别。通过对网络流量进行监听分析，D200可以对流经被保护网络的流量进行基于三种技术的综合检测，包括：基于状态的内容特征匹配：采用了高精度的智能模式识别算法，对协议交互特定阶段的报文进行检测，可以识别隐藏在正常业务流量中的网络攻击的特征。协议跟踪分析：以网络层、传输层和应用层的常用协议为对象，记录和分析协议交互的过程，为基于状态的内容特征匹配提供了状态依据，并且可以有效的探测那些利用协议漏洞的网络攻击。流量异常探测：通过对网络流量规律的数学建模和智能分析，可以有效的抵御DoS/DDoS攻击和端口扫描。D200可以将检测到的异常和网络攻击的详细信息记入数据库，并且可以根据用户预先的设定上报这些信息到统一的安全管理中心；同时，通过联动接口，D200可以通知交换机、路由器、防火墙对网络攻击进行阻断，从而达到整体防御的目的。其次，在部机关局域网与育慧里、和平里局域网之间互连的出口位置放置一台H3C®SecPath1000安全网关设备,为部机关内网提供安全保障和安全策略的执行。H3C®SecPath1000是华为3Com公司面向企业用户开发的新一代专业安全网关设备,可以作为企业的核心及汇聚网关设备，为政府、金融、电力、教育等行业和领域提供高可靠、高安全、高扩展性、可管理的网络一体化安全解决方案。H3C®SecPath1000安全网关支持VPN、防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。H3C®SecPath1000支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN、MPLSVPN等等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、AAA、NAT、QoS等技术，安全网关可以确保在开放的Internet上实现安全的、满足高可靠质量要求的私有网络。H3C®SecPath1000提供两个固定的10/100/1000M自适应GE口，支持光口和电口两种形式。提供一个MIM扩展槽位，支持多功能接口模块热插拔，目前可选的接口模块有1FE/2FE/2GE/NDECII/HDC五种。提供双电源冗余备份解决方案（AC+AC，DC+DC两种机型），提供机箱内部环境温度检测功能，并支持网管，可满足电信级产品的高可靠性要求。综上所述，部机关内网拓扑如下图部分：内网育慧里局域网设计内网育慧里局域网：布线点数将达到100个PC信息点(100M/1000M接入).内网育慧里局域网核心层设计采用2台H3CS9505万兆交换机作为核心交换机，为保证核心节点的高可用性，两台之间通过10GE互相连接构成网络核心的冗余备份，达到无单点故障的目的。核心层负责整个网络的数据交换，同时也是整网（LAN）的路由中心，全网绝大部分第三层、第四层操作都通过核心节点集中进行。这样任意核心节点都可以成为是业务的主要汇总中心。为了充分保障核心交换平台的高可靠特性，核心双机即2台S9505交换机均配置了双电源冗余配置。华为3Com公司的S9505配置了高达750G的交换背板，所有业务单板可靠性规格指标均达到电信级要求。S9505VRP企业版软件提供了丰富的业务特性，其中包括了对于服务质量保证的QOS支持，配合S9505基于网络处理器的硬件平台，系统承载的局域网络平台可以有效支撑非常复杂而且规模庞大的QOS应用，满足部机关当前以及未来一段时间之内复杂的业务、数据以及视频会议的需求。内网育慧里局域网接入层采用2台H3CS5600－50C交换机作为用户接入交换机，分别通过万兆链路和千兆链路采用双归方式与核心交换机H3CS9512互联；核心节点与接入层交换机之间形成双链路全冗余连接，任意两点间互为业务/数据容灾备份，以增强整体网络的容错和故障隔离能力。同时每台S5600－50C接入交换机通过100M或1000M接入桌面PC用户。H3CS5600系列全千兆智能弹性交换机是华为-3COM公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF（IntelligentResilientFramework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。H3CS5600－50C：采用交、直流双输入电源模块供电，并可通过更换电源模块提供千兆PoE功能。后面板提供两个固定的堆叠接口和一个扩展模块插槽，扩展模块可选配8端口千兆SFP模块、1端口万兆模块或2端口万兆模块。前面板提供48个10/100/1000Base-T自协商以太网端口（RJ-45连接器）及4个SFPCombo接口。XXX北京内网中， 育慧里局域网与部机关、和平里局域网之间互连的广域网设备采用一台支持电信SDH传输链路如POS155的高性能路由器NetEngine40－8。NetEngine40系列通用交换路由器(USR)，充分继承了华为NE80核心路由器的设计理念和关键技术，是华为3Com公司面向大型企业网、行业网、IP城域网和IP骨干网的高端网络产品。NetEngine40（以下简称NE40）包括NE40－8、NE40－4和NE40－2三款型号。继64G交换矩阵后，NE40-8推出256G交换矩阵和线速10G接口，并向前兼容NE40所有类型线路板。NE40基于分布式的网络处理器硬件转发和无阻塞交换技术，具备优异的扩展能力，可以通过软件平滑升级的方式支持IPv6。NE40融合核心路由器强大的IP业务处理能力和三层交换机低成本以太交换能力，可提供更丰富的业务、更灵活的组网和更理想的性价比。NE40是企业骨干网和IP城域网的向宽带化、安全化、业务化发展的重要源动力。安全，在网络设计中是非常重要的一个因素。在XXX内网中，要在内外两方面充分考虑安全因患，进而部署关键设备保证网络内外安全。首先，在育慧里核心层部署一台入侵检测设备SecEngineD200。SecEngineD200（以下简称D200）是华为3Com公司面向企业用户开发的新一代专业入侵检测设备,可以作为中小企业的出口或者内部的网络入侵检测设备。对于网络中可能存在的安全风险，例如黑客入侵、网络病毒和网络资源滥用等行为，D200可以进行有效识别。通过对网络流量进行监听分析，D200可以对流经被保护网络的流量进行基于三种技术的综合检测，包括：基于状态的内容特征匹配：采用了高精度的智能模式识别算法，对协议交互特定阶段的报文进行检测，可以识别隐藏在正常业务流量中的网络攻击的特征。协议跟踪分析：以网络层、传输层和应用层的常用协议为对象，记录和分析协议交互的过程，为基于状态的内容特征匹配提供了状态依据，并且可以有效的探测那些利用协议漏洞的网络攻击。流量异常探测：通过对网络流量规律的数学建模和智能分析，可以有效的抵御DoS/DDoS攻击和端口扫描。D200可以将检测到的异常和网络攻击的详细信息记入数据库，并且可以根据用户预先的设定上报这些信息到统一的安全管理中心；同时，通过联动接口，D200可以通知交换机、路由器、防火墙对网络攻击进行阻断，从而达到整体防御的目的。其次，在育慧里局域网与部机关、和平里局域网之间互连的出口位置放置一台H3C®SecPath1000安全网关设备,为部机关内网提供安全保障和安全策略的执行。H3C®SecPath1000是华为3Com公司面向企业用户开发的新一代专业安全网关设备,可以作为企业的核心及汇聚网关设备，为政府、金融、电力、教育等行业和领域提供高可靠、高安全、高扩展性、可管理的网络一体化安全解决方案。H3C®SecPath1000安全网关支持VPN、防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。H3C®SecPath1000支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN、MPLSVPN等等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、AAA、NAT、QoS等技术，安全网关可以确保在开放的Internet上实现安全的、满足高可靠质量要求的私有网络。H3C®SecPath1000提供两个固定的10/100/1000M自适应GE口，支持光口和电口两种形式。提供一个MIM扩展槽位，支持多功能接口模块热插拔，目前可选的接口模块有1FE/2FE/2GE/NDECII/HDC五种。提供双电源冗余备份解决方案（AC+AC，DC+DC两种机型），提供机箱内部环境温度检测功能，并支持网管，可满足电信级产品的高可靠性要求。综上所述，育慧里内网拓扑如下图部分：内网和平里局域网设计内网和平里局域网：布线点数将达到300个PC信息点(100M/1000内网和平里局域网核心层设计采用2台H3CS9505万兆交换机作为核心交换机，为保证核心节点的高可用性，两台之间通过10GE互相连接构成网络核心的冗余备份，达到无单点故障的目的。核心层负责整个网络的数据交换，同时也是整网（LAN）的路由中心，全网绝大部分第三层、第四层操作都通过核心节点集中进行。这样任意核心节点都可以成为是业务的主要汇总中心。为了充分保障核心交换平台的高可靠特性，核心双机即2台S9505交换机均配置了双电源冗余配置。华为3Com公司的S9505配置了高达750G的交换背板，所有业务单板可靠性规格指标均达到电信级要求。S9505企业版软件提供了丰富的业务特性，其中包括了对于服务质量保证的QOS支持，配合S9505基于网络处理器的硬件平台，系统承载的局域网络平台可以有效支撑非常复杂而且规模庞大的QOS应用，满足部机关当前以及未来一段时间之内复杂的业务、数据以及视频会议的需求。内网和平里局域网接入层采用6台H3CS5600-50C交换机作为用户接入交换机，分别通过万兆链路和千兆链路采用双归方式与核心交换机H3CS9512互联；核心节点与接入层交换机之间形成双链路全冗余连接，任意两点间互为业务/数据容灾备份，以增强整体网络的容错和故障隔离能力。同时每台S5600－50C接入交换机通过100M或1000M接入桌面PC用户。H3CS5600系列全千兆智能弹性交换机是华为-3COM公司为设计和构建高弹性和高智能网络需求而推出的新一代以太网交换机产品。系统采用华为-3COM公司创新的IRF（IntelligentResilientFramework，智能弹性架构)技术，支持高达96G的堆叠带宽和高密度千兆端口，支持万兆上行。特别适合作为需要高带宽、高性能和高扩展性的中小企业网核心、大型企业网络和园区网的汇聚层以及数据中心的服务器接入设备。XXX北京内网中， 和平里局域网与部机关、育慧里局域网之间互连的广域网设备采用一台支持电信SDH传输链路如POS155的高性能路由器NetEngine40－8。NetEngine40系列通用交换路由器(USR)，充分继承了华为NE80核心路由器的设计理念和关键技术，是华为3Com公司面向大型企业网、行业网、IP城域网和IP骨干网的高端网络产品。NetEngine40（以下简称NE40）包括NE40－8、NE40－4和NE40－2三款型号。继64G交换矩阵后，NE40-8推出256G交换矩阵和线速10G接口，并向前兼容NE40所有类型线路板。NE40基于分布式的网络处理器硬件转发和无阻塞交换技术，具备优异的扩展能力，可以通过软件平滑升级的方式支持IPv6。NE40融合核心路由器强大的IP业务处理能力和三层交换机低成本以太交换能力，可提供更丰富的业务、更灵活的组网和更理想的性价比。NE40是企业骨干网和IP城域网的向宽带化、安全化、业务化发展的重要源动力。安全，在网络设计中是非常重要的一个因素。在XXX内网中，要在内外两方面充分考虑安全因患，进而部署关键设备保证网络内外安全。首先，在和平里核心层部署一台入侵检测设备SecEngineD200。SecEngineD200（以下简称D200）是华为3Com公司面向企业用户开发的新一代专业入侵检测设备,可以作为中小企业的出口或者内部的网络入侵检测设备。对于网络中可能存在的安全风险，例如黑客入侵、网络病毒和网络资源滥用等行为，D200可以进行有效识别。通过对网络流量进行监听分析，D200可以对流经被保护网络的流量进行基于三种技术的综合检测，包括：基于状态的内容特征匹配：采用了高精度的智能模式识别算法，对协议交互特定阶段的报文进行检测，可以识别隐藏在正常业务流量中的网络攻击的特征。协议跟踪分析：以网络层、传输层和应用层的常用协议为对象，记录和分析协议交互的过程，为基于状态的内容特征匹配提供了状态依据，并且可以有效的探测那些利用协议漏洞的网络攻击。流量异常探测：通过对网络流量规律的数学建模和智能分析，可以有效的抵御DoS/DDoS攻击和端口扫描。D200可以将检测到的异常和网络攻击的详细信息记入数据库，并且可以根据用户预先的设定上报这些信息到统一的安全管理中心；同时，通过联动接口，D200可以通知交换机、路由器、防火墙对网络攻击进行阻断，从而达到整体防御的目的。其次，在和平里局域网与部机关、育慧里局域网之间互连的出口位置放置一台H3C®SecPath1000安全网关设备,为部机关内网提供安全保障和安全策略的执行。H3C®SecPath1000是华为3Com公司面向企业用户开发的新一代专业安全网关设备,可以作为企业的核心及汇聚网关设备，为政府、金融、电力、教育等行业和领域提供高可靠、高安全、高扩展性、可管理的网络一体化安全解决方案。H3C®SecPath1000安全网关支持VPN、防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络。H3C®SecPath1000支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN、MPLSVPN等等，可以针对客户需求通过拨号、租用线、VLAN或隧道等方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。配合防火墙、AAA、NAT、QoS等技术，安全网关可以确保在开放的Internet上实现安全的、满足高可靠质量要求的私有网络。H3C®SecPath1000提供两个固定的10/100/1000M自适应GE口，支持光口和电口两种形式。提供一个MIM扩展槽位，支持多功能接口模块热插拔，目前可选的接口模块有1FE/2FE/2GE/NDECII/HDC五种。提供双电源冗余备份解决方案（AC+AC，DC+DC两种机型），提供机箱内部环境温度检测功能，并支持网管，可满足电信级产品的高可靠性要求。综上所述，和平里内网拓扑如下图部分：内网局域网互连设计以上3个局域网，作为XXX北京内网的三部分，将租用电信的链路进行整体的互连：即部机关局域网与育慧里局域网之间采用10M的带宽互连；育慧里局域网与和平里局域网之间采用2M的带宽互连；和平里局域网与部机关局域网之间采用2M的带宽互连。三张局域网的互连，关键点在安全。因此，在各局域网两个出口之处，均部署一台安全网关，做访问控制和安全策略之用。在网关之外，配置一台提供广域接口的路由器，从而实现物理上三个局域网之间的两两相连。另外，对于分布在北京城八区的4个小型分支机构，本方案建议统一将其接入内网核心层的核心节点即部机关广域网设备上。具体见如下拓扑图：内网网络管理华为3Com的Quidview网络管理平台能实现网络的性能管理，故障管理，配置管理，安全管理和计费管理等基本管理功能及其它功能。Quidview网络管理软件是华为3Com公司对全线数据通信设备进行统一管理和维护的网管产品，位于网络解决方案的管理层，能够实现网元管理、网络管理的功能。Quidview与华为3Com公司的数据通信设备产品一起为用户提供全网解决方案。Quidview网络管理软件基于灵活的组件化结构，包括网络管理框架、设备管理系统、网络配置中心、分支网点智能管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。此外，Quidview网络管理软件能够集成到SNMPc、HPOpenview等一些通用的网管平台，给用户提供整合的统一网管解决方案。产品特点Quidview网络管理软件采用组件化结构设计，通过安装不同的业务组件实现了设备管理、VPN监视与部署、软件升级管理、配置文件管理、告警和性能管理等功能。支持多种操作系统平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理。网络集中监视Quidview网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。全网设备的统一拓扑视图；拓扑自动发现，拓扑结构动态刷新；可视化操作方式：拓扑视图节点直接点击进入设备操作面板；在网络、设备状态改变时，改变节点颜色，提示用户；对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现在网络视图上；支持拓扑过滤，让用户关注所关心的网络设备情况；支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象；故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。告警实时监视，提供告警声光提示；支持告警转到Email、手机短信；支持告警过滤，让用户关注重要的告警，查询结果可生成报表；支持告警级别重新定义，支持告警转存，保证系统的运行效率和稳定性；支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象；支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警等。性能监控Quidview网管系统提供丰富的性能管理功能，同时以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据，并支持设置性能的门限，当性能超过门限时，可以以告警的方式通知网管系统。通过统计不同线路、不同资源的利用情况，为优化或扩充网络提供依据。管理多厂商设备Quidview可管理所有支持标准SNMP网管协议的网络设备，为多厂商设备共存的网络提供了统一的管理方式。拓扑图自动发现多厂商设备；可以对设备进行性能监视，包括接口的流量监视，利用率监视等；可以接收设备告警，并进行告警信