某集团综合网络信息系统技术规划书35970.docx

《某集团综合网络信息系统技术规划书35970.docx》由会员分享，可在线阅读，更多相关《某集团综合网络信息系统技术规划书35970.docx（124页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、A集团综合网络络信息系统技技术方案建议议书（硬件集成部分分）第一章 总则41.1关于本方方案建议书41.2A集团综综合信息系统统现状41.3A集团综综合信息系统统建设目标4第二章 建设设原则52.1先进性52.2标准性52.3兼容性62.4可升级和和可扩展性62.5安全性62.6可靠性62.7易操作性性6第三章 网络络系统方案73.1广域网设设计73.1.1需求求分析73.1.2广域域网规划83.1.3网络络互连设计93.1.2.11带宽分配93.1.2.22 QOS设设计103.1.2.33 网络设备备选型123.1.2.44网络部署123.1.2.55VPN设计计143.1.2.66网络管

2、理15第四章 网络安安全方案164.1安全设计计164.1.1防火火墙技术174.2.1.11防火墙选型型174.2.1.22技术细节174.2.1.33防火墙部署署244.2.2入侵侵检测244.2.2.11入侵检测技技术254.2.3防病病毒设计274.2.4.11产品选型304.2.4.22防病毒部署署32第五章 主机方方案365.1主机选型型原则365.2小型机选选型与设计375.2.1IBBM P6550介绍375.3双机热备备435.3.1系统统故障分析445.3.2 HHACMP 功能及双机机原理445.4PC服务务器选型47第六章 工程管管理与实施476.1 工程督督导476.

3、1.1 工工作目标476.1.2内内容486.1.2.11 详细工程程计划486.1.2.22 基于工程程计划协调工工程进展486.1.2.33 工程管理理486.1.2.44 人力资源源和设备资源源的统一管理理486.1.2.55 统一协调调496.1.3工工程管理计划划496.1.4工工程协调会496.2 工程实实施进度一览览表506.3 每一个个具体工程阶阶段的详细描描述516.3.1开开箱验收516.3.2安安装环境验收收516.3.3设设备的现场安安装516.3.3.11 硬件安装装516.3.3.22 软件安装装526.3.3.33 参数配置置526.3.3.44 现场故障障维修5

4、26.3.3.55 网络升级级的技术支持持526.3.4单单节点测试与与验收526.3.5系系统初验和系系统试运行536.3.6系系统终验536.3.7在在合同设备保保修期内的技技术支持546.3.7.11 技术支持持概念546.3.7.22 技术人员员的培养546.3.7.33 技术支持持的构架546.3.7.44 灵活有效效的技术支持持通信环境556.3.7.55 有效的技技术支持措施施55第七章 网络培培训计划567.1培训规划划577.2培训目的的577.3培训方式式577.4培训对象象587.5培训教师师587.6培训课程程587.6.1课程程列表58第八章 维护和和支持618.1服

5、务的级级别618.2 硬件支支持服务62第九章 结束束语63第一章 总则1.1关于本方方案建议书然而“功欲善其其事，必先利利其器”，A集团深深刻认识到业业务要发展、必必须提高企业业内部核心竞竞争力、而建建立一个方便便快捷安全的的通信网络综综合信息支撑撑系统，已迫迫在眉睫，AA公司作为一一个致力于企企业信息化和和系统集成的的高科技公司司非常荣幸参参与A集团综综合网络信息息系统的建设设，希望能尽尽自己的全力力来施展我们们的专长来实实现A集团网网络信息系统统的建设。1.2A集团综综合信息系统统现状目前，A集团尚尚未在全公司司建立统一的的企业信息管管理系统，主主要是在总公公司及七大区区域性公司之之间通

6、过远程程异步数据传传动方式（MModem对对拔）进行数数据采集和邮邮件传递，共共有二十余个个基于Lottus Doomino/Notess4.6开发发的数据模块块在应用。A集团拟建的企企业信息系统统将是覆盖整整个A集团的的专业化网络络信息管理系系统。该系统统将建立一个个统一的企业业办公、协同同运作及管理理支撑综合平平台，提高办办公效率、提提高信息综合合利用和提高高企业管理水水平，从而提提高企业经济济效益。A集团信息系统统的建设最终终将达到以下下目标：(1)以先进成成熟的计算机机技术和建筑筑技术为主要要手段，把AA集团信息系系统建成一个个覆盖全集团团的包括综合合办公和各专专业管理系统统在内的支撑

7、撑建筑行业的的辅助管理系系统，建立一一个统一的企企业办公及运运作支撑综合合平台，以提提高办公效率率和企业管理理水平，提高高信息分析处处理能力，从从而提高企业业经济效益。(2)为A集团团员工、客户户、合作伙伴伴提供各种方方便快捷的交交流形式，提提高服务质量量，增强A集集团竞争力。(3)加强知识识管理，建立立企业自身的的知识库。1.3A集团综综合信息系统统建设目标A集团信息系统统主要提供电电子邮件服务务、日常办公公管理、财务务管理、行业业业务流程处处理和知识管管理功能。根根据A集团目目前发展状况况，预计到22005 年底共有上上网员工约为为1000名名，20088年底约为22000名。A集团综合信

8、息息系统建设，本本着“实用、先进进、升级简便便、扩充性好好、开放性好好”的五项基本本原则进行。 根据公司的的实际情况和和具体的应用用需求及行业业的特点，采采用分期分阶阶段的实施。 在项目实施施过程中，以以少花钱多办办事为原则，每每期的投资都都应有继承性性。 本期项项目的目标是是建立如下系系统：（1）建立连通通A集团内部部各组织机构构的网络平台台；（2）建立一个个安全、稳定定、高效的网网络运行空间间；（3）建立通用用办公系统及及邮件系统；（4）建立财务务管理系统；（5）内部网站站、网络视频频会议、BBBS交流协作作环境的建设设；（6）建立适合合建筑行业的的综合业务管管理系统；（7）加强知识识管理

9、，建立立企业自身的的知识库； 本系统的建设设能满足未来来5年内的业业务需求的升升级，第二章 建设设原则多业务网络系统统方案以实现现以上功能为为基本要求，在在设计上力求求做到既要采采用国际上先先进的技术，又又要保证系统统的安全可靠靠性和实用性性。具体来讲讲，其设计遵遵循以下原则则：2.1先进性系统的主机系统统、网络平台台、数据库系系统、应用软软件均应使用用目前国际上上较先进、较较成熟的技术术，符合国际际标准和规范范；2.2标准性所采用技术的标标准化，可以以保证网络发发展的一致性性，增强网络络的兼容性，以以达到网络的的互连与开放放。为确保将将来不同厂家家设备、不同同应用、不同同协议连接，整整个网络

10、从设设计、技术和和设备的选择择，必须支持持国际标准的的网络接口和和协议，以提提供高度的开开放性。全面支持持IEEE工工业标准：8802.1dd，802.1p，8002.1q，8802.1xx，802.3，8022.3u，8802.3zz；支持路由由协议：IPP 的RIPP V1/22，OSPFF，BGP-4；信令标标准：H.3323,RTTP/CRTTP. 支持：IPsecc、L2TPP、GRE、MMPLS-VVPN规范。支持多址址广播协议：IGMP，DDVMRP，PPIM-DMM，PIM-SM；网络管理理协议：SNNMP，RMMON，RMMON2； 2.3兼容性跟踪世界科技发发展动态，网网络

11、规划与现现有光纤传输输网及将要改改造的分配网网有良好的兼兼容，在采用用先进技术的的前提下，最最大可能地保保护已有投资资，并能在已已有的网络上上扩展多种业业务。2.4可升级和和可扩展性随着技术不断发发展，新的标标准和功能不不断增加，网网络设备必须须可以通过网网络进行升级级，以提供更更先进、更多多的功能。在在网络建成后后，随着应用用和用户的增增加，核心骨骨干网络设备备的交换能力力和容量必须须能作出线性性的增长。设设备应能提供供高端口密度度、模块化的的设计以及多多种类接口、技技术的选择，以以方便未来更更灵活的扩展展。2.5安全性由于系统和其它它系统连接，因因此，考虑系系统的安全性性是一个非常常重要的

12、方面面。应采用设设有安全控制制的网关设备备相连，使用用VPN技术术和防火墙等等。2.6可靠性本系统是7x224小时连续续运行系统，从从硬件和软件件两方面来保保证系统的高高可靠性。硬件可靠性系统的主要部件件采用冗余结结构，如：传传输方式的备备份，提供备备份组网结构构；主要的计计算机设备（如如数据库服务务器），采用用CLUSTTER技术,支持双机或或多机高可用用结构；配备备不间断电源源等。软件可靠性充分考虑异常情情况的处理，具具有强的容错错能力、错误误恢复能力、错错误记录及预预警能力并给给用户以提示示；并具有进进程监控管理理功能，保证证各进程的可可靠运行数据据库系统应。网络结构稳定性性当增加/扩充

13、应应用子系统时时，不影响网网络的整体结结构以及整体体性能，对关关键的网络连连接采用主备备方式，已保保证数据的传传输的可靠性性。本系统应具有较较强的容灾容容错能力，具具有完善的系系统恢复和安安全机制；2.7易操作性性提供中文方式的的图形用户界界面，简单易易学，方便实实用。优良的性能价格格比。系统应着重考虑虑和满足以上上的设计要求求。第三章 网络络系统方案该系统包括：336个网络节节点互连方案案、线路备份份、内部局域域网的建设。3.1广域网设设计目前A集团在全全国有36处处公司极其分分支机构，可可以分为3类类：1公司总总部（数量11）、2区域域性公司及本本部（数量77）、3分公公司及事业部部（数量

14、288）。3.1.1需求求分析如下表在全国AA集团有366个节点，其其分布如下：公司名称所属类别所在地用户数备注集团总部总公司杭州100总部A一建区域性公司东阳50区域性公司A二建区域性公司杭州100区域性公司A三建区域性公司上海100区域性公司A四建区域性公司北京50区域性公司A五建区域性公司西安100区域性公司A六建区域性公司武汉50区域性公司A七建区域性公司广州50区域性公司集团本部总公司东阳50同A一建共金华分公司分公司金华隶属A一建义东分公司分公司义乌隶属A一建温州分公司分公司温州隶属A一建衢州分公司分公司衢州隶属A一建宁波分公司分公司宁波隶属A二建嘉兴分公司分公司嘉兴隶属A二建南京

15、分公司分公司南京隶属A三建合肥分公司分公司合肥隶属A三建天津分公司分公司天津隶属A四建内蒙分公司分公司呼和浩特隶属A四建青海分公司分公司西宁隶属A五建甘肃分公司分公司酒泉隶属A五建湖南分公司分公司长沙隶属A六建江西分公司分公司南昌隶属A六建A高级中学子公司东阳子公司杭州天翔房产公公司子公司杭州子公司A房产开发公司司子公司东阳子公司西安亚东房产公公司子公司西安子公司湖南天翔房产公公司子公司长沙子公司上海亚东房产公公司子公司上海子公司华天装饰有限公公司子公司杭州子公司安装工程有限公公司子公司杭州子公司海外工程事业部部事业部北京隶属总公司装饰事业部事业部杭州隶属总公司房地产投资事业业部事业部上海隶属

16、总公司交通工程事业部部事业部杭州隶属总公司项目部项目部分布各地在建项目约5000个3.1.2广域域网规划 根据前面面的需求分析析,考虑到网网络的收敛性性,经济与安安全等因素,我们建议采采用星型结构构的拓扑,这这样可以充分分利用带宽资资源,整个网网络采用3级级结构：一级级节点为：集集团总部共11个，二级节节点为：区域域性公司及本本部共7个，三三级节点为其其他分公司及及事业部共228个，广域域网规划如下下：在相应的一级节节点和二级节节点相应的局局域网内部署署入侵检测和和防火墙，来来保证系统的的安全。 3.1.3网络络互连设计根据网络互连的的需求分析，以以及广域网规规划，我们建建议从以下几几个方面来

17、考考虑网络的设设计：带宽分分配、QOSS设计、路由由设计、IPP地址分配、网网络部署等。3.1.2.11带宽分配为了支持A集团团多业务系统统的可持续发发展，考虑的的经济组网的的原则，我们们来分析该集集团目前和将将来的业务属属性、和业务务逻辑等因素素对网络链路路的需求，同同时也是设备备选型的一个个依据。A集团目前有或或将要有的业业务有全公司司的上网需求求、财务系统统、视频会议议、公司的办办公自动化系系统、建筑行行业的综合业业务管理系统统、邮件系统统、知识库系系统的建设等等的建设。以以上数据涉及及到保密、实实时流媒体等等数据传输要要求，我们从从链路选型、带带宽计算两方方面来确定所所需的带宽。链路选

18、型：目前比较常使用用的数据链路路业务可以是是：DDN、FFR、ISDDN：DDN专线接入入向用户提供供的是永久性性的数字连接接，沿途不进进行复杂的软软件处理，因因此延时较短短，避免了传传统的分组网网中传输协议议复杂、传输输时延长且不不固定的缺点点；DDN专专线接入采用用交叉连接装装置，可根据据用户需要，在在约定的时间间内接通所需需带宽的线路路，信道容量量的分配和接接续均在计算算机控制下进进行，具有极极大的灵活性性和可靠性，使使用户可以开开通各种信息息业务，传输输任何合适的的信息，因此此，DDN专专线接入在多多种接入方式式中深受用户户的青睐。DDN专线接入入的主要优点点：能提供高性能的的点到点通

19、信信。通信保密密性强，特别别适合金融、保保险等保密性性要求高的客客户需要；传输质量高，网网络时延小，通通信速率可根根据用户需要要按N644Kbps选选择 ；信道固定分分配，充分保保证了通信的的可靠性，保保证用户的带带宽不会受其其他用户的影影响 ；用户通过这这条高速的国国际互联网通通道，可构筑筑自己的Innterneet、E-mmail等应应用系统 ；用户网络的的整体接入使使局域网内的的PC均可共共享互联网资资源； 用户可免费费得到多个IInternnet 合法法IP地址及及域名 ；用户可实现现每天24小小时全天候的的信息发布，即即用户可建立立自己的Weeb站点，向向国际互联网网发布自己的的信息

20、或提供供信息服务 ；用户可通过过防火墙等技技术保护内部部网络免受不不良侵害 。 本期AA集团要实现现的业务当中中，有数据业业务（邮件、公公文流转、互互联网、内部部系统、数据据查询）和流流媒体业务（视视频会议等）。 由于整个个网络环境为为TCP/IIP框架下，对对于数据业务务这类非实时时业务来讲，网网络自身可以以实现数据重重传恢复机制制，对带宽的的需求不是很很大，而流媒媒体业务这类类实时业务来来讲，必须具具备两个因素素才可以在IIP环境下实实现的比较好好：（1）具具备一定的带带宽，达到理理想的传输环环境，理论上上传输一路MMPEG视频频为384KK，如果采用用双向视频会会议必须具备备大于2*33

21、84=7668K的带宽宽。（2）网网络具备一定定的QOS机机制（关于QQOS在QOOS设计里详详细介绍）。从一级节点到二二级节点带宽宽计算如下（按按两路视频会会议和20000人上网计计算）：二级节点平均分分配的人数为为：20000/7=2886人；根据Gartnner统计数数据分析，一一个企业一般般只有10%-20%的的人并发上网网或发邮件，我我们按15%计算，即：二级节点并发上上传或下载数数据的人数为为：286*15%=443人；一般24K/秒秒的速度数据据能确保2秒秒钟正常打开开网页，即：二级节点需要广广域网链路基基本带宽为：43*244K=10228K。由于视频会议不不是经常开，当当视频

22、会议必必要是可以通通过QOS优优先级别抢占占1028KK带宽中的7768K。我我们建议采用用1024KK带宽为一级级节点到二级级的节点带宽宽，可以满足足到未来20008年的需需求。如果需需要额外的视视频带宽可以以即使方便的的向电信申请请，而不必更更换网络设备备的模块。从一级节点到互互联网带宽计计算如下：（22000人上上网计算）：到2008年，上上网人数将达达到20000人，根据GGartneer统计数据据分析，一个个企业一般只只有10%-20%的人人并发上网或或发邮件，我我们按15%计算，即：二级节点并发上上传或下载数数据的人数为为：20000*15%=300人；一般24K/秒秒的速度数据据

23、能确保2秒秒钟正常打开开网页，即：二级节点需要广广域网链路基基本带宽为：300*224K=72200K。在在2008年年左右可以申申请10M电路，而而不会添加用用户端设备，完完全满足需求求，目前我们们可以考虑22M电路就可可以满足了。3.1.2.22 QOS设设计 由于考考虑到整个综综合业务网络络信息系统的的可靠性和可可用性，那么么一个质量保保证的体系结结构是必须具具备的，这也也是一个设备备选型的必须须考虑的地方方，要实现网络的稳稳定质量，最最先考虑的就就是什么业务务对整个网络络系统的服务务质量最关心心，在这里最最关键的就是是视频会议和和数据语音，这这两种业务才才是最关心服服务质量的，视频会议

24、系统一般全面支持H.323和T.120标准来完成视频、音频、数据的集中和转发。同样，在我们国家，像联通等语音电话采用的是H.323协议，当然也有像北电的基于软交换功能的语音系统，但是都是要求对时间比较敏感的协议，如UDP，RTP，CRTP等，所以QOS是一定要保证的，除了数字线路的服务质量以外，就是要考虑接入服务器的QOS功能了。 1先进先出（FFIFO）先进先出提供了了基本的存贮贮转发功能，也也是目前Innterneet使用最广广泛的一种方方式，它在网网络拥塞时存存贮分组，在在拥塞解除时时按分组到达达顺序转发分分组。是默认认的排队方法法，因此不需需要配置。缺缺点是不提供供QoS功能能，对突发

25、数数据流在传输输时间要求严严格时，应用用程序会引起起过多的延迟迟，并对突发发性的存在包包丢失的连接接公平性较差差，对上层的的TCP快速速恢复的效率率也较低。2优先级排队队算法（prriorittyQueuuing，PPQ）优先级排队算法法是禁止其它它流量的前提提下，授权一一种类型的流流量通过，使使用优先级排排队给路由接接口上传输的的数据分配优优先级，当有有空闲路由时时，路由就来来回扫描所有有队列，将高高优先队列数数据发出，只只有当高优先先级队列空了了以后，才能能为低优先级级服务，如果果优先级队列列满，则扔掉掉数据包，路路由器不处理理，优先级排排队适用于网网络链路不断断阻塞的情况况。PQ的带宽宽

26、分配独立于于数据包大小小。因此它在在没有牺牲统统计利用的情情况下提供另另外的公平性性，与端到端端的拥塞控制制机制可以较较好的协同，它它的缺点在于于实现起来很很复杂，需要要每个数据流流的排队处理理，每个流状状态统计，数数据包的分类类以及包调度度的额外开销销等。3定制排队定制排队是为允允许具有不同同最低带宽和和延迟要求的的应用程序共共享网络而设设计的。定制制排队为不同同的协议分配配不同的队列列空间，并以以循环方式处处理队列。为为特定的协议议分配较大的的队列空间可可以提高其优优先级。定制制排队比优先先级更为“公公平”。在可可能发生拥塞塞的地方使用用定制排队可可以提供保证证的带宽。定定制排队可以以保证

27、为每一一个特定的通通信类型得到到固定部分的的可用带宽，同同时在链路紧紧张的情况下下，避免数据据包企图占用用超出预分配配量限制的可可能。4加权公平排排队（Weiight ffair qqueuinng，WFQQ）加权公平平排队用于减减少延迟变化化，为数据流流提供可预测测的吞吐量和和响应时间。目目标是为轻载载网络用户和和重载网络用用户提供公平平一致的服务务。保证低权权值的响应时时间与高权值值的响应时间间一致。 加权权公平排队是是一种基于数数据流的排队队算法，它能能识别交互式式应用的数据据流，并将应应用的数据流流调度到队列列前部，以减减少响应时间间。WFQ与与定制排队和和优先排队不不同。能自动动适应

28、不断变变化的网络通通信环境，几几乎不需要配配置。5随机先期检检测（ranndom eearly detecction，RRED）前面介绍的的排队机制是是基本的拥塞塞控制策略。尽尽管这些技术术对控制拥塞塞是必须的。但但它们对避免免拥塞现象的的发生都显得得无能为力。随机先期检检测监视网上上各点的通信信负载，如果果拥塞增多，就就随机丢弃一一些分组，当当源分布点检检测到通信丢丢失，降低传传输速率。RRED可以在在各连接之间间获得较好的的公平性，对对突出业务适适应性较强。6加权随机先先期检测（wweighttedranndom eearly detecction，WWRED）加权随机先先期检测是将将RE

29、D与优优先级排队结结合起来，这这种结合为高高优先级分组组提供了优先先通信处理能能力，当某个个接口开始出出现拥塞时，它它有选择地丢丢弃较低优先先级的通信，而而不是简单地地随机丢弃分分组。总之，在在传统TCPP拥塞控制中中，结合IPP层拥塞控制制算法，将是是完善Intternett拥塞控制最最有效的途径径。3.1.2.33 网络设备备选型 设备备的选型对整整个网络系统统的质量十分分重要，A公公司做为一个个成熟的系统统集成商，有有一套科学而而有效的质量量管理体系，首首先，要考虑虑用户的需求求、售后服务务、关键应用用、特殊应用用、质量保证证、网络属性性、目前系统统系统结构等等几个方面来来考虑。 现在国

30、国内的著名网网络设备的供供应商主要有有三家Cissco,3CCOM和华为为。其中3CCOM的路由由器设备在中中国使用不是是十分广泛，同同时网络产品品以交换机为为主要产品，在在其他网络产产品方面力量量相对其他两两家厂商稍弱弱。华为作为为中国重要的的网络产品供供应商，产品品线齐全，种种类多档次较较齐全在，中中国市场有一一定的占有率率，价格比较较便宜，主要要是通常的网网络应用环境境，在VPNN、VOIPP和其他复杂杂应用中比较较少。Cissco做为全全球最大的网网络设备供应应商，在路由由器和交换机机领域的成果果有目共睹，它它的产品应用用在世界各个个角落，在中中国也广为使使用。Cissco产品线线齐全

31、，从小小型的SOHHO用路由器器和交换机到到大型骨干路路由器、交换换机一应俱全全。同时产品品端口密度高高，同一产品品具有多种不不同配置方案案有利于产品品的多功能化化如VOIPP、VPN等等。它拥有许许多独创的技技术如ISLL、NetFFlow、Fast EtherrChannnel等，对对系统今后的的演进和发展展有很大好处处，而在IPP广域互连上上，CISCCO具有最大大的优势，同同时由于Ciisco完整整的产品线为为用户提供了了丰富的选择择余地，Ciisco网络络设备的优秀秀兼容性也为为和其他公司司产品互连提提供了可靠的的保证。在售售后方面，CCISCO也也做的很好，在在A集团综合合网络信息

32、系系统中原有设设备大部分为为CISCOO产品，考虑虑到网络的平平滑性，和维维护方便等各各个原因，特特别是特殊应应用QOS的的保证方面，VVPN特性方方面、安全方方面等，比其其他两个厂家家都要成熟和和更多的案例例，针对本次次项目我们推推荐CISCCO高可用的的产品在实现现系统的网络络支撑平台。3.1.2.44网络部署 杭州A集集团总部一级级节点,作为为核心节点,具备如下功功能:汇接二二级7个节点点的数据,终终结VPN隧隧道,我们建建议采用CIISCO最新新高性能路由由器CISCCO374-VPN/KK9作为核心心路由器, 模块化 CCisco 3700 系列应用服服务路由器充充分利用了CCisc

33、o 1700、22600和33600 系系列路由器针针对WAN访访问、语音网网关和拨号应应用等而配备备的可选的网网络模块(NNM)、WAAN接口卡(WIG)和和高级集成模模块(AIMM)。此外，CCisco 3725 和 Cissco 37745 这两两个 Cissco 37700 平台台引进一种新新的、可提供供更广泛接口口的高密度服服务模块 (HDSM)。配备四个个NM插槽的的Ciscoo 37455 路由器取取消了在每一一对相邻 NNM 插槽之之间的中心导导轨，因此可可以采用两个个 HDSMM ，而不是是四个 NMM。配备两个个 NM 插插槽的 Ciisco 33725 路路由器可在它它所

34、配备的两两个 NM 插槽之一中中采用一个 HDSM ，并仍可在在剩余的 NNM 插槽内内采用一个 NM 。采采用新的 HHDSM 之之后，Cissco 37700 系列列路由器就能能够集成更高高端口密度和和新的高性能能服务了。支支持VPN,提供7个广广域网接口,和一个Innterneet广域网口口,通过高级级集成模块AAIM-VPPN-HP来来实现VPNN加密隧道的的发起与终结结,CISCCO37455本身集成了了3个WICC卡，我们可可以通过提供供2个NM-2W模块，配配置2个WIIC-2T，和和1个WICC-1T，共共8个，其中中7个接入二二级节点，另另外一个可以以作为Intternett

35、接驳，Innterneet接驳速率率暂时定为22M，将来可可以通过升级级到10M。如图图所示：在本次项目中，CCISCO33745-VVPN/K99最大可以同同时支持20000个Tuunnelss，即便是22008年全全体上网人数数同时与总部部通信，都没没有任何问题题；局域网采采用天融信防防火墙NGFFW40000-S来实现现阻隔某些端端口的入侵和和非法探测，提提供详细的日日志与审计功功能，该防火火墙也可以跟跟入侵检测系系统天阗5000联动，动动态检测黑客客的入侵并禁禁用相应端口口，在防火墙墙的DMZ部部署WEB服服务器供外部部访问，详细细描述见网络络安全设计。对于三级节点的的VPN接入入就可

36、以支持持多种方式了了，最经济的的方式就是采采用SITEE TO CClientt方式，由CCISCO自自带的VPNN Clieent（支持持多种操作系系统）通过拨拨号或通过专专线、ISDDN、FR等等方式访问VVPN，由对对端的VPNN网关提供认认证，具体方方式见下面章章节：VPNN设计。整体体拓扑如下所所示：3.1.2.55VPN设计计VPN（虚拟专专网）是利用用公共网络资资源(如公用用电信网)为为客户组建专专用网的一种种技术，它通通过对网络数数据进行封包包和加密传输输，在公网上上传输私有数数据，达到私私有网络的安安全级别，从从而利用公网网构筑专网（即即VPN）。它它是一种逻辑辑上的专用网网

37、络，向用户户提供专用网网络所具有的的功能，但本本身却不是一一个独立的物物理网络。本次项目中根据据前面规划：在一级节点与二二级节点之间间部署端到到到端VPN：Site TO Siite，结构构为星型结构构：HUB-SPOKEE。在二级节点与三三级节点部署署端到点方式式VPN：SSite TTO Cliint。在本次项目应用用中考虑到传传输的有视频频、语音、数数据3类信息息，各类信息息对网络环境境都有一定的的要求，特别别是VPN环环境下的实现现更是比较复复杂，我们采采用CISCCO37455、26211XM VPPN多应用服服务器可以支支持V3PNN，即能在IIPsec隧隧道上实现视视频、语音、数

38、数据3类信息息的封装，而而保证IP中中的QOS特特性不改变，从从而保证数据据的IP连贯贯应用。这个个过程多用户户来讲是透明明的。在CISCO33745、22621XMM中，提供112.2(113) T或或以上版本的的IOS，支支持IPSeec 提供DES 和3DES的 Advaanced Encryyptionn Stanndard (AES)，新型的AAES支持1128-biit keyy (deffault), 和 192-bit kkey, 或或256-bbit keey.提供更更加复杂更加加安全的应用用。如图所示示：通过以上设计可可以保证原来来的QOS机机制在网络中中一直启用，保保证网

39、络的平平滑。考虑到网络规模模的变大，如如将来可能需需要建立新的的办事处或地地域性分公司司，这样添加加的路由器可可能会对基于于传统IPssec方式的的VPN造成成一定的影响响，我们可以以采用IPssec+GRRE（通用路路由封装）技技术来实现基基于IP路由由收敛的VPPN技术，这这样，路由的的更新可以完完全透过2层层VPN来实实现，这对用用户来讲是完完全透明的，一一旦A集团的的规模发生巨巨大的变化，网网络拓扑方式式要变化如构构成MESHH方式或节点点数大大增加加，我们可以以完全在不更更改设备的情情况下建立基基于MPLSS VPN，CCISCO33745完全全可以设置PPE路由器，而而CISCOO

40、2621可可以相应地设设置为CE路路由器，这样样整个核心VVPN网络就就从2层VPPN直接升级级到3层IPP VPN构构架来了。在二级节点与三三级节点采用用端到点方式式VPN：SSite TTO Cliient。对于3级节点加加入到集团VVPN当中来来，就非常方方便了，我们们购买的CIISCO37745和CIISCO26621 VPPN路由器，随随机附带了一一份CD，包包含了Cliient端IIPsec程程序，该程序序非常简单大大部分的设置置都是预定义义的，VPNN访问策略和和配置可以直直接从相应所所属的二级或或一级VPNN Gateeway（这这里是37445或26221路由器）直直接下载，

41、目目前VPN Cliennt可以支持持如下系统WWindowws 95(OSR2+), 988, ME, NT 44.0, 22000, XP, LLinux (Inteel), SSolariis (UlltraSpparc-332 & 664 bitt) andd MAC OS X 10.1 & 10.2 (Jaaguar)3.1.2.66网络管理在本方案中采用用了CISCCO的解决方方案，对于网网络的管理，我我们建议采用用CISCOOWORKSS2000。CiscoWoorks20000服务管管理解决方案案建构在第33层结构基础础之上，包括括可远程安装装的数据收集集应用、Ciisco I

42、IOS的内嵌嵌式技术以及及一整套融合合了业界最先先进的评估服服务和定额引引擎的应用软软件。该解决决方案的构件件包括： 管理引擎11110（ME11110）可在网络络中远程安装装，是具有极极高扩展性和和灵活性的数数据收集解决决方案。MEE1110是是专为收集CCisco设设备的度量数数据而设计，并并允许在数据据收集需求增增长的情况下下暂停管理服服务器来安装装新的ME11110设备备。 服务保障代理一种用来来确定度量数数据服务级别别的技术，以以验证度量数数据是否符合合服务级别的的要求。鉴于于服务保障代代理技术已内内嵌于Cissco IOOS软件中，因因此它是随时时可用的，并并且对网络基基础设施的费

43、费用几乎不会会构成任何影影响。 服务级别管理器器建构于于开放的XMML应用程序序接口基础上上，可提供给给合作伙伴以以用于第三方方的应用集成成。 - CiiscoWoorks20000服务管管理解决方案案使网络经理理能够验证他他们为广域连连接和网络服服务提供的服服务级别。它它将基于标准准的开放式管管理应用程序序接口、Ciisco 内内嵌式IOSS代理、可扩扩展服务级别别的管理应用用与第三方产产品相结合，从从而具有了端端到端服务级级检查和全面面管理能力。因因此，客户现现在可以完全全放心地使用用这些新的应应用，比如VVoIP、IIP电话、虚虚拟专网和电电子商务解决决方案等，可可轻松地获得得不同的服务

44、务和更好的终终端用户满意意度，执行同同时监视多个个服务级协议议，调试并改改进网络以及及定制故障报报告。与此同同时，第三方方应用开发人人员和系统集集成人员能够够连续地获得得有关网络层层的数据，并并对定义和收收集到的服务务级度量信息息进行标准化化。 第四章 网络安安全方案4.1安全设计计网络面临的安全全威胁大体可可分为两种：一是对网络络数据的威胁胁； 二是对网络络设备的威胁胁。这些威胁胁可能来源于于各种因素：可能是源于于网络外部的的， 也可能是内内部人员造成成的； 总结起来，最最主要威胁是是来自外部和和内部人员的的恶意攻击和和入侵，这是是企业信息化化等顺利发展展的最大障碍碍。基于VPN的网网络基本

45、上安安全了，但是是考虑到Innterneet的应用，内内部人员的网网络入侵、资资料盗取、恶恶意破坏，病病毒入侵等因因素，综合的的安全设计还还是必要的，我我们建议针对对这些因素提提出如下安全全防护措施：1、防火墙技术术2、IDS入侵侵检测系统3、防病毒系统统4、备份（关于于备份的配置置，我们在主主机设计里描描述）4.1.1防火火墙技术防火墙是一种成成熟的技术,目前防火墙墙的功能也越越来越强大,技术越来越越统一,考虑虑到企业信息息系统的安全全级别,在选选型上注重国国产的,具备备一定的应用用案例,选型型原则如下:4.2.1.11防火墙选型型由于网络信息化化系统网络安安全的重要性性，并结合网网络信息化系系统信息安全全工作的实际际条件及情况况，我们确定定如下选型原原则：防火墙必须具有有自我系统保保护能力。防火墙必须具有有强大NATT转换功能。防火墙支持各类类加密算法和和VPN功能能。防火墙的端口是是可扩展的。防火墙产品应提提供避免或禁禁止内外网络络用户进入系系统的手段，即即使对安全管管理员而言，也也应遵循对系系统操作的最最小授权原则则。防火墙产品硬件件/软件必须具具备经国家授授权部门测试试认证的安全全等级。防火墙产品遇故故障工作失效效，系统应自自动转为缺省省禁止状态。防火墙产品必须