1、A 集团综合网络信息系统技术方案建议书(硬件集成部分)2018 年 9 月IT 售前论坛A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 1 页 第一章 总则 .41.1 关于本方案建议书 41.2A 集团综合信息系统现状 41.3A 集团综合信息系统建设目标 .4第二章 建设原则 .52.1 先进性 .52.2 标准性 .52.3 兼容性 .62.4 可升级和可扩展性 62.5 安全性 .62.6 可靠性 .62.7 易操作性 .6第三章 网络系统方案 73.1 广域网设计 73.1.1 需求分析 .73.1.2 广域网规划 .83.1.3 网络互连设计 93.1.2.1 带宽分配
2、 93.1.2.2 QOS 设计 .103.1.2.3 网络设备选型 123.1.2.4 网络部署 123.1.2.5VPN 设计 143.1.2.6 网络管理 15第四章 网络安全方案 164.1 安全设计 .164.1.1 防火墙技术 .174.2.1.1 防火墙选型 .174.2.1.2 技术细节 174.2.1.3 防火墙部署 .244.2.2 入侵检测 .244.2.2.1 入侵检测技术 .254.2.3 防病毒设计 .274.2.4.1 产品选型 304.2.4.2 防病毒部署 .32第五章 主机方案 365.1 主机选型原则 365.2 小型机选型与设计 375.2.1IBM P
3、650 介绍 375.3 双机热备 .435.3.1 系统故障分析 445.3.2 HACMP 功能及双机原理 445.4PC 服务器选型 .47第六章 工程管理与实施 476.1 工程督导 .476.1.1 工作目标 476.1.2 内容 .486.1.2.1 详细工程计划 486.1.2.2 基于工程计划协调工程进展 .486.1.2.3 工程管理 .486.1.2.4 人力资源和设备资源的统一管理 486.1.2.5 统一协调 .496.1.3 工程管理计划 496.1.4 工程协调会 .496.2 工程实施进度一览表 506.3 每一个具体工程阶段的详细描述 .516.3.1 开箱验收
4、 516.3.2 安装环境验收 516.3.3 设备的现场安装 516.3.3.1 硬件安装 .516.3.3.2 软件安装 .526.3.3.3 参数配置 .526.3.3.4 现场故障维修 526.3.3.5 网络升级的技术支持 526.3.4 单节点测试与验收 .526.3.5 系统初验和系统试运行 536.3.6 系统终验 536.3.7 在合同设备保修期内的技术支持 546.3.7.1 技术支持概念 546.3.7.2 技术人员的培养 546.3.7.3 技术支持的构架 546.3.7.4 灵活有效的技术支持通信环境 556.3.7.5 有效的技术支持措施 55第七章 网络培训计划
5、567.1 培训规 划 .577.2 培训目的 .577.3 培训方式 .57A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 3 页 7.4 培训对象 .587.5 培训教师 .587.6 培训课程 .587.6.1 课程列表 .58第八章 维护和支持 .618.1 服务的级别 618.2 硬件支持服务 .62第九章 结束语 63第一章 总则1.1 关于本方案建议书然而“功欲善其事,必先利其器” ,A 集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,A 公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与
6、 A 集团综合网络信息系统的建设,希望能尽自己的全力来施展我们的专长来实现 A 集团网络信息系统的建设。1.2A 集团综合信息系统现状目前,A 集团尚未在全公司建立统一的企业信息管理系统,主要是在总公司及七大区域性公司之间通过远程异步数据传动方式(Modem 对拔)进行数据采集和邮件传递,共有二十余个基于 Lotus Domino/Notes4.6 开发的数据模块在应用。A 集团拟建的企业信息系统将是覆盖整个 A 集团的专业化网络信息管理系统。该系统将建立一个统一的企业办公、协同运作及管理支撑综合平台,提高办公效率、提高信息综合利用和提高企业管理水平,从而提高企业经济效益。A 集团信息系统的建
7、设最终将达到以下目标:(1)以先进成熟的计算机技术和建筑技术为主要手段,把 A 集团信息系统建成一个覆盖全集团的包括综合办公和各专业管理系统在内的支撑建筑行业的辅助管理系统,建立一个统一的企业办公及运作支撑综合平台,以提高办公效率和企业管理水平,提高信息分析处理能力,从而提高企业经济效益。(2)为 A 集团员工、客户、合作伙伴提供各种方便快捷的交流形式,提高服务质量,增强 A 集团竞争力。A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 5 页 (3)加强知识管理,建立企业自身的知识库。1.3A 集团综合信息系统建设目标A集团信息系统主要提供电子邮件服务、日常办公管理、财务管理、行业
8、业务流程处理和知识管理功能。根据A集团目前发展状况,预计到 2005 年底共有上网员工约为1000名,2008年底约为2000名。A 集团综合信息系统建设,本着“实用、先进、升级简便、扩充性好、开放性好”的五项基本原则进行。 根据公司的实际情况和具体的应用需求及行业的特点,采用分期分阶段的实施。 在项目实施过程中,以少花钱多办事为原则,每期的投资都应有继承性。 本期项目的目标是建立如下系统:(1)建立连通 A 集团内部各组织机构的网络平台;(2)建立一个安全、稳定、高效的网络运行空间;(3)建立通用办公系统及邮件系统;(4)建立财务管理系统;(5)内部网站、网络视频会议、BBS 交流协作环境的
9、建设;(6)建立适合建筑行业的综合业务管理系统;(7)加强知识管理,建立企业自身的知识库;本系统的建设能满足未来 5 年内的业务需求的升级,第二章 建设原则多业务网络系统方案以实现以上功能为基本要求,在设计上力求做到既要采用国际上先进的技术,又要保证系统的安全可靠性和实用性。具体来讲,其设计遵循以下原则:2.1 先进性系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范;2.2 标准性所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设
10、备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。全面支持 IEEE 工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:IP 的 RIP V1/2, OSPF,BGP-4;信令标准:H.323,RTP/CRTP.支持:IPsec 、L2TP、 GRE、MPLS-VPN 规范。支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;网络管理协议:SNMP ,RMON,RMON2; 2.3 兼容性跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可
11、能地保护已有投资,并能在已有的网络上扩展多种业务。2.4 可升级和可扩展性随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。2.5 安全性由于系统和其它系统连接,因此,考虑系统的安全性是一个非常重要的方面。应采用设有安全控制的网关设备相连,使用 VPN 技术和防火墙等。2.6 可靠性本系统是 7x24 小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。硬件可靠
12、性系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器) ,采用 CLUSTER 技术,支持双机或多机高可用结构;配备不间断电源等。软件可靠性充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 7 页 及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。网络结构稳定性当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制;2.
13、7 易操作性提供中文方式的图形用户界面,简单易学,方便实用。优良的性能价格比。系统应着重考虑和满足以上的设计要求。第三章 网络系统方案该系统包括:36 个网络节点互连方案、线路备份、内部局域网的建设。3.1 广域网设计目前 A 集团在全国有 36 处公司极其分支机构,可以分为 3 类:1 公司总部(数量 1) 、2 区域性公司及本部(数量 7) 、3 分公司及事业部(数量 28) 。3.1.1 需求分析如下表在全国 A 集团有 36 个节点,其分布如下:公司名称 所属类别 所在地 用户数 备注集团总部 总公司 杭州 100 总部A 一建 区域性公司 东阳 50 区域性公司A 二建 区域性公司
14、杭州 100 区域性公司A 三建 区域性公司 上海 100 区域性公司A 四建 区域性公司 北京 50 区域性公司A 五建 区域性公司 西安 100 区域性公司A 六建 区域性公司 武汉 50 区域性公司A 七建 区域性公司 广州 50 区域性公司集团本部 总公司 东阳 50 同 A 一建共金华分公司 分公司 金华 隶属 A 一建义东分公司 分公司 义乌 隶属 A 一建温州分公司 分公司 温州 隶属 A 一建衢州分公司 分公司 衢州 隶属 A 一建宁波分公司 分公司 宁波 隶属 A 二建嘉兴分公司 分公司 嘉兴 隶属 A 二建南京分公司 分公司 南京 隶属 A 三建合肥分公司 分公司 合肥 隶
15、属 A 三建天津分公司 分公司 天津 隶属 A 四建内蒙分公司 分公司 呼和浩特 隶属 A 四建青海分公司 分公司 西宁 隶属 A 五建甘肃分公司 分公司 酒泉 隶属 A 五建湖南分公司 分公司 长沙 隶属 A 六建江西分公司 分公司 南昌 隶属 A 六建A 高级中学 子公司 东阳 子公司杭州天翔房产公司子公司 杭州 子公司A 房产开发公司 子公司 东阳 子公司西安亚东房产公司子公司 西安 子公司湖南天翔房产公司子公司 长沙 子公司上海亚东房产公司子公司 上海 子公司华天装饰有限公司子公司 杭州 子公司A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 9 页 安装工程有限公司子公司
16、杭州 子公司海外工程事业部 事业部 北京 隶属总公司装饰事业部 事业部 杭州 隶属总公司房地产投资事业部事业部 上海 隶属总公司交通工程事业部 事业部 杭州 隶属总公司项目部 项目部 分布各地 在建项目约 500个3.1.2 广域网规划根据前面的需求分析,考虑到网络的收敛性,经济与安全等因素,我们建议采用星型结构的拓扑,这样可以充分利用带宽资源,整个网络采用 3 级结构:一级节点为:集团总部共 1 个,二级节点为:区域性公司及本部共 7 个,三级节点为其他分公司及事业部共 28 个,广域网规划如下:在相应的一级节点和二级节点相应的局域网内部署入侵检测和防火墙,来保证系统的安全。3.1.3 网络
17、互连设计根据网络互连的需求分析,以及广域网规划,我们建议从以下几个方面来考虑网络的设计:带宽分配、QOS 设计、路由设计、 IP 地址分配、网络部署等。3.1.2.1 带宽分配为了支持 A 集团多业务系统的可持续发展,考虑的经济组网的原则,我们来分析该集团目前和将来的业务属性、和业务逻辑等因素对网络链路的需求,同时也是设备选型的一个依据。A 集团目前有或将要有的业务有全公司的上网需求、财务系统、视频会议、公司的办公自动化系统、建筑行业的综合业务管理系统、邮件系统、知识库系统的建设等的建设。以上数据涉及到保密、实时流媒体等数据传输要求,我们从链路选型、带宽计算两方面来确定所需的带宽。链路选型:目
18、前比较常使用的数据链路业务可以是:DDN、FR、ISDN:DDN 专线接入向用户提供的是永久性的数字连接,沿途不进行复杂的软件处理,因此延时较短,避免了传统的分组网中传输协议复杂、传输时延长且不固定的缺点;DDN 专线接入采用交叉连接装置,可根据用户需要,在约定的时间内接通所需带宽的线路,信道容量的分配和接续均在计算机控制下进行,具有极大的灵活性和可靠性,使用户可以开通各种信息业务,传输任何合适的信息,因此,DDN 专线接入在多种接入方式中深受用户的青睐。DDN 专线接入的主要优点:能提供高性能的点到点通信。通信保密性强,特别适合金融、保险等保密性要求高的客户需要; 传输质量高,网络时延小,通
19、信速率可根据用户需要按 N64Kbps 选择 ;信道固定分配,充分保证了通信的可靠性,保证用户的带宽不会受其他用户的影响 ;用户通过这条高速的国际互联网通道,可构筑自己的 Internet、E-mail 等应用系统 ;用户网络的整体接入使局域网内的 PC 均可共享互联网资源; 用户可免费得到多个 Internet 合法 IP 地址及域名 ;用户可实现每天 24小时全天候的信息发布,即用户可建立自己的 Web 站点,向国际互联网发布自己的信息或提供信息服务 ;用户可通过防火墙等技术保护内部网络免受不良侵害 。本期 A 集团要实现的业务当中,有数据业务(邮件、公文流转、互联网、内部系统、数据查询)
20、和流媒体业务(视频会议等) 。由于整个网络环境为 TCP/IP 框架下,对于数据业务这类非实时业务来讲,网络自身可以实现数据重传恢复机制,对带宽的需求不是很大,而流媒体业务这类实时业务来讲,必须具备两个因素才可以在 IP 环境下实现的比较好:(1)具备一定的带宽,达到理想的传输环境,理论上传输一路 MPEG 视频为384K,如果采用双向视频会议必须具备大于 2*384=768K 的带宽。 (2)网络具A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 11 页 备一定的 QOS 机制(关于 QOS 在 QOS 设计里详细介绍) 。从一级节点到二级节点带宽计算如下(按两路视频会议和 20
21、00 人上网计算):二级节点平均分配的人数为:2000/7=286 人;根据 Gartner 统计数据分析,一个企业一般只有 10%-20%的人并发上网或发邮件,我们按 15%计算,即:二级节点并发上传或下载数据的人数为:286*15%=43 人;一般 24K/秒的速度数据能确保 2 秒钟正常打开网页,即:二级节点需要广域网链路基本带宽为:43*24K=1028K 。由于视频会议不是经常开,当视频会议必要是可以通过 QOS 优先级别抢占 1028K 带宽中的 768K。我们建议采用 1024K 带宽为一级节点到二级的节点带宽,可以满足到未来 2008 年的需求。如果需要额外的视频带宽可以即使方
22、便的向电信申请,而不必更换网络设备的模块。从一级节点到互联网带宽计算如下:(2000 人上网计算):到 2008 年,上网人数将达到 2000 人,根据 Gartner 统计数据分析,一个企业一般只有 10%-20%的人并发上网或发邮件,我们按 15%计算,即:二级节点并发上传或下载数据的人数为:2000*15%=300 人;一般 24K/秒的速度数据能确保 2 秒钟正常打开网页,即:二级节点需要广域网链路基本带宽为:300*24K=7200K 。在 2008 年左右可以申请 10M 电路,而不会添加用户端设备,完全满足需求,目前我们可以考虑 2M 电路就可以满足了。3.1.2.2 QOS 设
23、计由于考虑到整个综合业务网络信息系统的可靠性和可用性,那么一个质量保证的体系结构是必须具备的,这也是一个设备选型的必须考虑的地方,要实现网络的稳定质量,最先考虑的就是什么业务对整个网络系统的服务质量最关心,在这里最关键的就是视频会议和数据语音,这两种业务才是最关心服务质量的,视频会议系统一般全面支持 H.323 和 T.120 标准来完成视频、音频、数据的集中和转发。同样,在我们国家,像联通等语音电话采用的是H.323 协议,当然也有像北电的基于软交换功能的语音系统,但是都是要求对时间比较敏感的协议,如 UDP,RTP ,CRTP 等,所以 QOS 是一定要保证的,除了数字线路的服务质量以外,
24、就是要考虑接入服务器的 QOS 功能了。 1先进先出(FIFO)先进先出提供了基本的存贮转发功能,也是目前 Internet 使用最广泛的一种方式,它在网络拥塞时存贮分组,在拥塞解除时按分组到达顺序转发分组。是默认的排队方法,因此不需要配置。缺点是不提供 QoS 功能,对突发数据流在传输时间要求严格时,应用程序会引起过多的延迟,并对突发性的存在包丢失的连接公平性较差,对上层的 TCP 快速恢复的效率也较低。2优先级排队算法(priorityQueuing,PQ)优先级排队算法是禁止其它流量的前提下,授权一种类型的流量通过,使用优先级排队给路由接口上传输的数据分配优先级,当有空闲路由时,路由就来
25、回扫描所有队列,将高优先队列数据发出,只有当高优先级队列空了以后,才能为低优先级服务,如果优先级队列满,则扔掉数据包,路由器不处理,优先级排队适用于网络链路不断阻塞的情况。PQ 的带宽分配独立于数据包大小。因此它在没有牺牲统计利用的情况下提供另外的公平性,与端到端的拥塞控制机制可以较好的协同,它的缺点在于实现起来很复杂,需要每个数据流的排队处理,每个流状态统计,数据包的分类以及包调度的额外开销等。3定制排队定制排队是为允许具有不同最低带宽和延迟要求的应用程序共享网络而设计的。定制排队为不同的协议分配不同的队列空间,并以循环方式处理队列。为特定的协议分配较大的队列空间可以提高其优先级。定制排队比
26、优先级更为“公平”。在可能发生拥塞的地方使用定制排队可以提供保证的带宽。定制排队可以保证为每一个特定的通信类型得到固定部分的可用带宽,同时在链路紧张的情况下,避免数据包企图占用超出预分配量限制的可能。4加权公平排队(Weight fair queuing,WFQ)加权公平排队用于减少延迟变化,为数据流提供可预测的吞吐量和响应时间。目标是为轻载网络用户和重载网络用户提供公平一致的服务。保证低权值的响应时间与高权值的响应时间一致。 加权公平排队是一种基于数据流的排队算法,它能识别交互式应用的数据流,并将应用的数据流调度到队列前部,以减少响应时间。WFQ 与定制排队和优先排队不同。能自动适应不断变化
27、的网络通信环境,几乎不需要配置。5随机先期检测(random early detection,RED)前面介绍的排队机制是基本的拥塞控制策略。尽管这些技术对控制拥塞是必须的。但它们对避免拥塞现象的发生都显得无能为力。 随机先期检测监视网上各点的通信负载,如果拥塞增多,就随机丢弃一些分组,当源分布点检测到通信丢失,降低传输速率。RED 可以在各连接之间获得较好的公平性,对突出业务适应性较强。6加权随机先期检测(weightedrandom early detection,WRED)加权随机先期检测是将 RED 与优先级排队结合起来,这种结合为高优先级分组提供了优先通信处理能力,当某个接口开始出现
28、拥塞时,它有选择地丢弃较低优先级的通信,而不是简单地随机丢弃分组。A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 13 页 总之,在传统 TCP 拥塞控制中,结合 IP 层拥塞控制算法,将是完善Internet 拥塞控制最有效的途径。3.1.2.3 网络设备选型设备的选型对整个网络系统的质量十分重要,A 公司做为一个成熟的系统集成商,有一套科学而有效的质量管理体系,首先,要考虑用户的需求、售后服务、关键应用、特殊应用、质量保证、网络属性、目前系统系统结构等几个方面来考虑。现在国内的著名网络设备的供应商主要有三家 Cisco,3COM 和华为。其中3COM 的路由器设备在中国使用不是
29、十分广泛,同时网络产品以交换机为主要产品,在其他网络产品方面力量相对其他两家厂商稍弱。华为作为中国重要的网络产品供应商,产品线齐全,种类多档次较齐全在,中国市场有一定的占有率,价格比较便宜,主要是通常的网络应用环境,在 VPN、VOIP 和其他复杂应用中比较少。Cisco 做为全球最大的网络设备供应商,在路由器和交换机领域的成果有目共睹,它的产品应用在世界各个角落,在中国也广为使用。Cisco 产品线齐全,从小型的 SOHO 用路由器和交换机到大型骨干路由器、交换机一应俱全。同时产品端口密度高,同一产品具有多种不同配置方案有利于产品的多功能化如 VOIP、VPN 等。它拥有许多独创的技术如IS
30、L、NetFlow、Fast EtherChannel 等,对系统今后的演进和发展有很大好处,而在 IP 广域互连上,CISCO 具有最大的优势,同时由于 Cisco 完整的产品线为用户提供了丰富的选择余地,Cisco 网络设备的优秀兼容性也为和其他公司产品互连提供了可靠的保证。在售后方面,CISCO 也做的很好,在 A 集团综合网络信息系统中原有设备大部分为 CISCO 产品,考虑到网络的平滑性,和维护方便等各个原因,特别是特殊应用 QOS 的保证方面, VPN 特性方面、安全方面等,比其他两个厂家都要成熟和更多的案例,针对本次项目我们推荐CISCO 高可用的产品在实现系统的网络支撑平台。3
31、.1.2.4 网络部署杭州 A 集团总部一级节点,作为核心节点,具备如下功能 :汇接二级 7 个节点的数据,终结 VPN 隧道,我们建议采用 CISCO 最新高性能路由器 CISCO374-VPN/K9 作为核心路由器, 模块化 Cisco 3700 系列应用服务路由器充分利用了Cisco 1700、2600 和 3600 系列路由器针对 WAN 访问、语音网关和拨号应用等而配备的可选的网络模块(NM)、WAN 接口卡(WIG)和高级集成模块(AIM)。此外,Cisco 3725 和 Cisco 3745 这两个 Cisco 3700 平台引进一种新的、可提供更广泛接口的高密度服务模块 (HD
32、SM)。配备四个 NM 插槽的 Cisco 3745 路由器取消了在每一对相邻 NM 插槽之间的中心导轨,因此可以采用两个 HDSM ,而不是四个 NM。配备两个 NM 插槽的 Cisco 3725 路由器可在它所配备的两个 NM 插槽之一中采用一个 HDSM ,并仍可在剩余的 NM 插槽内采用一个 NM 。采用新的 HDSM 之后,Cisco 3700 系列路由器就能够集成更高端口密度和新的高性能服务了。支持 VPN,提供 7 个广域网接口,和一个Internet 广域网口,通过高级集成模块 AIM-VPN-HP 来实现 VPN 加密隧道的发起与终结,CISCO3745 本身集成了 3 个
33、WIC 卡,我们可以通过提供 2 个 NM-2W 模块,配置 2 个 WIC-2T,和 1 个 WIC-1T,共 8 个,其中 7 个接入二级节点,另外一个可以作为 Internet 接驳,Internet 接驳速率暂时定为 2M,将来可以通过升级到 10M。如图所示:在本次项目中,CISCO3745-VPN/K9 最大可以同时支持 2000 个 Tunnels,即便是 2008 年全体上网人数同时与总部通信,都没有任何问题;局域网采用天融信防火墙 NGFW4000-S 来实现阻隔某些端口的入侵和非法探测,提供详细的日志与审计功能,该防火墙也可以跟入侵检测系统天阗 500 联动,动态检测黑客的
34、入侵并禁用相应端口,在防火墙的 DMZ 部署 WEB 服务器供外部访问,详细描述见网络安全设计。对于三级节点的 VPN 接入就可以支持多种方式了,最经济的方式就是采用SITE TO Client 方式,由 CISCO 自带的 VPN Client(支持多种操作系统)通过拨号或通过专线、ISDN、FR 等方式访问 VPN,由对端的 VPN 网关提供认证,具体方式见下面章节:VPN 设计。整体拓扑如下所示:A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 15 页 3.1.2.5VPN 设计VPN(虚拟专网)是利用公共网络资源(如公用电信网) 为客户组建专用网的一种技术,它通过对网络数据
35、进行封包和加密传输,在公网上传输私有数据,达到私有网络的安全级别,从而利用公网构筑专网(即 VPN) 。它是一种逻辑上的专用网络,向用户提供专用网络所具有的功能,但本身却不是一个独立的物理网络。本次项目中根据前面规划:在一级节点与二级节点之间部署端到到端 VPN:Site TO Site,结构为星型结构:HUB-SPOKE。在二级节点与三级节点部署端到点方式 VPN:Site TO Clint 。在本次项目应用中考虑到传输的有视频、语音、数据 3 类信息,各类信息对网络环境都有一定的要求,特别是 VPN 环境下的实现更是比较复杂,我们采用 CISCO3745、2621XM VPN 多应用服务器
36、可以支持 V3PN,即能在 IPsec隧道上实现视频、语音、数据 3 类信息的封装,而保证 IP 中的 QOS 特性不改变,从而保证数据的 IP 连贯应用。这个过程多用户来讲是透明的。在 CISCO3745、2621XM 中,提供 12.2(13) T 或以上版本的 IOS,支持IPSec 提供 DES 和 3DES 的 Advanced Encryption Standard (AES),新型的AES 支持 128-bit key (default), 和 192-bit key, 或 256-bit key.提供更加复杂更加安全的应用。如图所示:通过以上设计可以保证原来的 QOS 机制在网
37、络中一直启用,保证网络的平滑。考虑到网络规模的变大,如将来可能需要建立新的办事处或地域性分公司,这样添加的路由器可能会对基于传统 IPsec 方式的 VPN 造成一定的影响,我们可以采用 IPsec+GRE(通用路由封装)技术来实现基于 IP 路由收敛的 VPN 技术,这样,路由的更新可以完全透过 2 层 VPN 来实现,这对用户来讲是完全透明的,一旦 A 集团的规模发生巨大的变化,网络拓扑方式要变化如构成MESH 方式或节点数大大增加,我们可以完全在不更改设备的情况下建立基于MPLS VPN,CISCO3745 完全可以设置 PE 路由器,而 CISCO2621 可以相应地设置为 CE 路由
38、器,这样整个核心 VPN 网络就从 2 层 VPN 直接升级到 3 层 IP VPN 构架来了。在二级节点与三级节点采用端到点方式 VPN:Site TO Client。对于 3 级节点加入到集团 VPN 当中来,就非常方便了,我们购买的CISCO3745 和 CISCO2621 VPN 路由器,随机附带了一份 CD,包含了 Client端 IPsec 程序,该程序非常简单大部分的设置都是预定义的,VPN 访问策略和配置可以直接从相应所属的二级或一级 VPN Gateway(这里是 3745 或 2621 路由器)直接下载,目前 VPN Client 可以支持如下系统 Windows 95(O
39、SR2+), 98, ME, NT 4.0, 2000, XP, Linux (Intel), Solaris (UltraSparc-32 & 64 bit) and MAC OS X 10.1 & 10.2 (Jaguar)A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 17 页 3.1.2.6 网络管理在本方案中采用了 CISCO 的解决方案,对于网络的管理,我们建议采用CISCOWORKS2000。CiscoWorks2000 服务管理解决方案建构在第 3 层结构基础之上,包括可远程安装的数据收集应用、Cisco IOS 的内嵌式技术以及一整套融合了业界最先进的评估服务和定
40、额引擎的应用软件。该解决方案的构件包括: 管理引擎 1110(ME1110)可在网络中远程安装,是具有极高扩展性和灵活性的数据收集解决方案。ME1110 是专为收集 Cisco 设备的度量数据而设计,并允许在数据收集需求增长的情况下暂停管理服务器来安装新的 ME1110 设备。服务保障代理一种用来确定度量数据服务级别的技术,以验证度量数据是否符合服务级别的要求。鉴于服务保障代理技术已内嵌于 Cisco IOS 软件中,因此它是随时可用的,并且对网络基础设施的费用几乎不会构成任何影响。 服务级别管理器建构于开放的 XML 应用程序接口基础上,可提供给合作伙伴以用于第三方的应用集成。 - Cisc
41、oWorks2000 服务管理解决方案使网络经理能够验证他们为广域连接和网络服务提供的服务级别。它将基于标准的开放式管理应用程序接口、Cisco 内嵌式 IOS 代理、可扩展服务级别的管理应用与第三方产品相结合,从而具有了端到端服务级检查和全面管理能力。因此,客户现在可以完全放心地使用这些新的应用,比如 VoIP、IP 电话、虚拟专网和电子商务解决方案等,可轻松地获得不同的服务和更好的终端用户满意度,执行同时监视多个服务级协议,调试并改进网络以及定制故障报告。与此同时,第三方应用开发人员和系统集成人员能够连续地获得有关网络层的数据,并对定义和收集到的服务级度量信息进行标准化。 第四章 网络安全
42、方案4.1 安全设计网络面临的安全威胁大体可分为两种:一是对网络数据的威胁; 二是对网络设备的威胁。这些威胁可能来源于各种因素:可能是源于网络外部的, 也可能是内部人员造成的; 总结起来,最主要威胁是来自外部和内部人员的恶意攻击和入侵,这是企业信息化等顺利发展的最大障碍。基于 VPN 的网络基本上安全了,但是考虑到 Internet 的应用,内部人员的网络入侵、资料盗取、恶意破坏,病毒入侵等因素,综合的安全设计还是必要的,我们建议针对这些因素提出如下安全防护措施:1、防火墙技术2、IDS 入侵检测系统3、防病毒系统4、备份(关于备份的配置,我们在主机设计里描述)4.1.1 防火墙技术防火墙是一
43、种成熟的技术,目前防火墙的功能也越来越强大,技术越来越统一,考虑到企业信息系统的安全级别,在选型上注重国产的,具备一定的应用案例,选型原则如下:4.2.1.1 防火墙选型由于网络信息化系统网络安全的重要性,并结合网络信息化系统信息安全工作的实际条件及情况,我们确定如下选型原则:防火墙必须具有自我系统保护能力。防火墙必须具有强大 NAT 转换功能。防火墙支持各类加密算法和 VPN 功能。防火墙的端口是可扩展的。防火墙产品应提供避免或禁止内外网络用户进入系统的手段,即使对安全管理员而言,也应遵循对系统操作的最小授权原则。防火墙产品硬件/软件必须具备经国家授权部门测试认证的安全等级。防火墙产品遇故障
44、工作失效,系统应自动转为缺省禁止状态。防火墙产品必须至少具有履行所需安全服务的最小能力。防火墙产品所采用的技术,不单纯追求先进、完善,而必须保证实用和成熟性,相关技术标准应采用、引用和接近国家标准。防火墙产品的接入不影响原网络拓扑结构,防火墙产品的运行最小影响原网络系统的运行效率。防火墙产品如果涉及密码技术的使用,必须获得国家密码管理委员会办公室的立项和鉴定批准;防火墙产品如涉及密码算法必须按国家密码委员会办公室的规定进行申请和使用。防火墙产品须经过国家信息安全产品认证机构的认证。通过以上分析,我们建议采用国内著名防火墙厂商天融信防火墙的产品 NG FW4000,其强大的性能处理和全面的控制规
45、则得到诸多企业和企业的青睐。A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 19 页 4.2.1.2 技术细节采用独创的最新最先进的技术-核检测技术,即基于OS 内核的会话检测技术,在OS 内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制,同时,更有效保证了防火墙的性能。采用独创的先进的设计思想-面向资源的进行设计,对不同对象的具体的组成资源,如文件、防火区域、节点对象、协议类型、应用行为、应用类型、管理端口协议等,直接进行控制,极大的提高了安全性,并保证了配置的方便性。先进独特的防火墙策略体系-面向资源的防火墙策略体系。建立独
46、立的防火区域,通过中央管理接口、管理端口协议、不同节点对象(网络邻居、自定义网路、防火墙所在子网等)、协议类型、应用行为等不同资源配置策略,使防火墙的策略配置更加简单,且便于维护。分层式管理结构防火墙的管理采用集中的层次管理结构,实现“防火墙防火区-对象资源”的安全策略定义结构。配置简单、配置安全性高;管理简单、维护方便;更好的保证了性能。支持 TOPSEC 技术体系的核心技术支持TOPSEC技术体系的核心技术,可以实现防火墙、IDS、病毒防护系统、信息审计系统等的互通与联动,并支持TopsecManager综合管理系统和SAS安全审计系统。适用更广泛的网络及应用环境支持众多网络通信协议和应用
47、协议,如DHCP 、VLAN 、ADSL 、IPX 、RIP 、ISL 、802.1Q 、Spanning tree 、DECnet 、NETBEUI 、IPSEC 、PPTP 、AppleTalk 、H.323 、BOOTP、pppoe协议等,使4000防火墙适用网络的范围更加广泛,保证用户的网络应用。方便用户扩展IP 宽带接入及IP电话、视频会议、VOD 点播等多媒体应用。支持多种工作模式可以支持透明、路由和混合工作模式。其中,独创的混合模式源于天融信网络接口物理实现技术和天融信专用安全协议实现,并在 NGFW4000 中进行了重新设计和实现,进一步得到了优化,方便适用于复杂网络结构和应用
48、的接入。支持远程集中管理可通过安全的认证及管理信息的加密传输实现全局防火墙设备的集中管理。实现统一的安全政策布署,保证整个系统的安全策略的一致性,提高整个系统的安全强度。NGFW4000 的主要配置和管理都是基于 GUI(Graphic User Interface) 方式的,管理主机只需安装专门的管理软件,就可以在不同操作系统平台、不同地域对防火墙进行配置和管理。支持负载均衡和双机备份支持两台防火墙之间的双机备份和负载均衡;支持多台服务器之间的负载均衡。不但更好的适用不同的网络环境,且更好的提供高性能和保证可靠性。支持服务器的负载均衡NGFW4000 防火墙可以支持一个服务器阵列,这个阵列经
49、过防火墙对外表现为单台的机器,防火墙将外部来的访问在这些服务器之间进行均衡,同时可以识别出故障的服务器。图表 1 防火墙的负载均衡技术防火墙自身的负载均衡NGFW4000 支持负载均衡功能,可以在高带宽的网络环境中有效的提高性能,同时负载均衡还实现了接口之间的备份,当 A 机器的某个接口故障时,B 机器的相应接口可以接管它的工作,同时 A 机器的其他接口仍然正常地工作。双机备份为了保证网络的高可用性与高可靠性,NGFW4000 提供了双机备份功能,即在同一个网络节点使用两个配置相同的防火墙。正常情况下一个处于工作状态,为主防火墙,另一个处于备份状态,为从防火墙。当主防火墙发生意外down 机、网络故障、硬件故障等情况时,主从防火墙自动切换工作状态,从防火墙代替主防火墙正常工作,从而保证了网络的正常使用。切换过程不需要人为操作和其他系统的参与,切换时间可以以秒计算。同时 NGFW4000 还实现了状态传送协议 STP ,当一台防火墙故障时,这台防火墙上的连接不需要重新建立就可以透明地迁移到另一台防火墙上,用户不会觉察到。图表 2 防火墙双机备份A 集团综合网络信息系统技术方案建议书( 硬件集成部分)第 21 页 多层次分布式带宽管理带宽管理完全虚拟了网络带宽应用的实际环境,并实现多层次的分布式管理模式,避免了单层集中管
