司法网网络规划方案.doc

1、司法网网络规划方案系（部、中心） 电气信息工程学院 姓 名 王海棠 学 号 40409125专业/班级 电信09101 实验日期 2012年10月9日 成 绩 教师签名 一、 用户需求分析：根据市电子政务建设总体规划“三网一库”基本架构的要求，以及建筑使用功能、建筑层数以及相邻的关系，网络系统建设需求如下： （1）网络系统构成：基于三网之间要有较高的安全性、独立性和可靠性，公众信息网（外网）与警察系统内部办公网（内网）和政务专网必须物理隔离，为二个独立的网络系统，内网和专网则采用逻辑隔离。 （2）警察系统专网建设目标是作为警察系统网的横向接入网，实现警察系统信息网的延伸，实现上至公安部的互联互

2、通。 （3）网络拓扑及体系结构：无论是警察系统内部办公网、政务专网还是外网，均为星型网络拓扑结构；内、外网为核心层、接入层二级交换体系，专网为汇聚层、接入层二级交换体系。 （4）计算机主干网络采用千兆以太网组网技术，核心层交换机采用千兆以太网交换机，网络主干应支持第三层交换和VLAN划分。 （5）为了保证网络核心的高可靠性和高带宽，内网的核心层交换机采用双机热备份和端口聚合。 （6）接入层支干采用10/100Mbps自适应交换以太网，信息点采用10/100Mbps端口到桌面。二、 网络拓扑设计及原则：整体安全。公安系统信息化是一个复杂的系统工程，对安全的需求是任何一种单元技术都无法解决的，而是

3、必须从一个完整的安全体系结构出发，综合考虑信息网络的各种实体和各个环节，综合使用各层次的各种安全手段，为信息网络和公安业务系统提供全方位安全服务。有效管理。没有有效的安全管理（如密钥定期更新、防火墙监控、审计日志的分析等等），就很难保证各种安全机制的有效性。“金盾工程”网络信息系统所提供的各种安全服务涉及到各个层次、多个实体和各种安全技术，只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用。合理折衷。单纯考虑安全而不惜一切代价是不合理的。安全与花费、系统性能、易用性、管理的复杂性是存在矛盾内容的，安全保障体系的设计应该在以上四个方面找到一个合理的折衷点，在可接受的风险范围内，以最小的

4、投资换取最大的安全性，同时不因性能开销和使用、管理的复杂而影响整个“金盾工程”的快速反应和高效运行的总体目标。适应一致。安全管理模式应该尽量与公安业务需求相一致，以便于实施和管理。既要保证公安系统上下级之间的统一领导、统一管理，同时又给基层单位以足够的灵活性，以保障公安业务系统的高效运行。责权分明。采用分层、分级管理的模式：一方面，公安的各级系统可以分为三层：信息网络、计算机系统和应用系统；另一方面，网络和应用系统都有部、省、市等的分级结构。各级网络管理中心负责网络的安全可靠运行，为应用信息系统提供安全可靠的网络服务，各级信息中心负责计算机系统和应用系统的安全管理，为公安系统具体的业务服务。三

5、、 网络方案设计：1 千兆以太网技术(GE) GE与以太网、快速以太网兼容，世界80以上的网络节点为以太网形式，GE的实施具有直接、快速和千兆位的特点，设备便宜；传输距离达100Km，可以满足城域网需要。 GE重新定义MAC层，接入冲突检测引入“载波扩展”，但少于512字节帧的载波扩展部份都没有承载用户数据，浪费带宽；以太网平均帧长约200-500字节，GE实际速率能达到390-977Mbps。原来以太网的不足，如多媒体应用及QoS、拓扑结构不可靠和多链路负载分享、虚拟网等，随着新技术、新标准的出现已得到部分解决。 2 异步转移模式(ATM) ATM采用53字节固定长度的信元(Cell)作为基

6、本传输数据单元，是一种面向连接的传输技术，数据传送前需先建立虚通道，接下去的数据传送将一直沿着这条虚通道进行。以信元为传输单元、采用虚通道连接的网络具有良好的流量控制机制和QoS；减少信号传输时延；ATM的工作机制使其在实时应用和服务质量分级方面具有不可比拟的优势。 3 POS技术（IP over SDH技术） POS技术将IP包直接封装到SDH帧中，提高了传输效率；采用高速光纤传输，以点对点方式提供从STM1到STM64甚至更高的传输速率。 4 动态分组传输输技术(DPT) DPT是一种提供SONET/SDH传输的可靠性和恢复功能而无需增加不必要的IP业务开销的光传输技术；采用两条反向循环的

7、光纤环路同时用于传输数据和控制业务，使用空间复用协议（SRP）在分组环上提供分组寻址、分组剥离、带宽控制和信息传输控制等功能；SRP环形结构对端口数需求少。 内网为二级星型网络结构，主干采用基于光纤信道的千兆以太网（见附图1）。在市政府信息技术楼中心机房配备两台高性能的三层交换机作为双机热备份，两台主干交换机之间通过千兆以太网带宽捆绑聚集技术实现4G互连。每台主干交换机通过1000Base-SX SC光纤接口实现与内网关键服务器群主链路，接入层交换机主备链路连接以及两台主干交换机之间的高速互连。通过10Base-T/100Base-TX自适应以太网接口与中心机房工作站，网管工作站等设备的网络连

8、接并提供与服务器、分支交换机之间的双绞线备份线路。 主干交换机对VLAN以及路由交换的支持，可以将市政府内网根据部门和层次划分为若干子网，各个子网之间通过路由交换技术实现信息的共享和网络互联，并对广播信息进行有效控制，提高网络利用率，同时也提高了网络安全性。在内网与专网连接处，配置了高性能的防火墙。专网也是采用星型拓扑结构及汇聚层、接入层的二级交换体系（见附图2）。各市直单位接入层交换机采用FE口，通过光纤上联至市政务专网汇聚层的三层以太网交换机或cisco catalyst3548二层交换机上。不具备光纤接入的单位可采用DDN专线，移动用户采用PSTN+VPN方式与专网互联。 汇聚层交换机2

9、个FE端口分别与cisco7507和cisco3661路由器相连，路由器将市政务专网的出口数据转发到省政务信息纵向网，实现上至国办、省政府，下至各县（市）政府的互联互通。 专网采用虚拟网VLAN划分来实现各市直单位的安全控制，保证各互连单位的安全性和服务质量，通过汇聚层三层交换机实现各VLAN的路由。四 网络拓扑设计本次模拟的局域网的拓扑图如下图所示：在本拓扑图中，以云模拟广域网，使用一台思科的3560交换机作为核心交换机，接入层交换机使用思科的2950-24交换机充当；基本设计思想是会议室的采用千兆以太网，以便满足视频会议对网络带宽和及时性的要求；其他科室均采用10/100M自适应以太网，以

10、节省成本；管理员的计算机直接连接到核心交换机上，以便管理；政府服务器也直接接在核心交换机，以满足对流量的要求；pc0 pc1 pc2分别代表各个科室的计算机，在核心交换机上把每个科室划分成一个vlan以隔离广播风暴；再把需要通信的vlan建立通信关系；接入互联网使用的是思科的2811路由器，再使用相应的acl策略控制那些部分能接入互联网，那些用户不能接入互联网；下属机构通过千兆以太网连接到政府大楼的路由器上以实现数据的交互；大楼内的各个部门使用vlan划开，在核心交换机上使用vtp技术实现各个部门之间的通信，而达到外面用户的不能访问各部门，而各部门能访问因特网；部分服务器不用设置vlan，以便

11、于外面用户能访问服务器，浏览公布的各项政策和新闻；在与互联网接入使用成熟的ospf方案，据设计如下：（1）通过OSPF连接状态路由选择协议将全网分为骨干层及接入层，提供路由的分层连接的结构。（2）将骨干层节点的路由器划分为Area 0，建立主干区域，负责交换不同Area之间的路由信息。（3）根据链路连接的就近原则将距离核心节点近的汇聚层节点与接入层节点之间互连的接口定义为Area N( )。划分的原则在于减少路由振荡，其中产生的原因可能会是路由端口的不稳定，或是广域网链路的不稳定等。同时划分Area的原则也在于每个Area路由器的数量不应超过50个，以减少路由振荡而带来的大量路由表的重新收敛而

12、造成的路由器负载增加。这种划分有利于减少网络中链路状态数据包在全网范围内的广播，提高带宽利用效率，减少网络开销。（4）通过配置OSPF内部缺省信息源（default-information origin）动态产生的缺省路由（default route）以保证全网动态路由备份。（5）OSPF域分为主干区域(backbone area)和非主干区域，所有非主干区域都直接连到主干区域上，避免虚链路（virtual link）。（6）为使网络中的区域数目适当，将相邻的两个POP接入点的路由器划分在一个区域中，area间的路由作总结。（7）将核心层路由器的互连端口都划分为主干区域，即area0，每个核心

13、路由器均为区域边界路由器（Area Border Router，ABR）负责区域间的路由，并进行必要的路由总结(summary)。注意：路由总结必须建立在合理划分IP地址的基础上，建议地址尽量按照区域进行独立分配。五 网络管理设计MIB，Management Information Base：管理信息库，由网络管理协议访问的管理对象数据库，它包括SNMP可以通过网络设备的SNMP管理代理进行设置的变量。SMI，Structure of Management Information：管理信息结构，用于定义通过网络管理协议可访问的对象的规则。SMI定义在MIB中使用的数据类型及网络资源在MIB中的

14、名称或表示。 使用SNMP进行网络管理需要下面几个重要部分：管理基站，管理代理，管理信息库和网络管理工具。管理基站通常是一个独立的设备，它用作网络管理者进行网络管理的用户接口。基站上必须装备有管理软件，管理员可以使用的用户接口和从MIB取得信息的数据库，同时为了进行网络管理它应该具备将管理命令发出基站的能力。 管理代理是一种网络设备，如主机，网桥，路由器和集线器等，这些设备都必须能够接收管理基站发来的信息，它们的状态也必须可以由管理基站监视。管理代理响应基站的请求进行相应的操作，也可以在没有请求的情况下向基站发送信息硬件防火墙而言软件防火墙在性能和处理能力等方面存在着很大的不同。所谓硬件防火墙

15、就是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。 硬件防火墙作为企业安全的屏障所起的作用是巨大的，正是因为防火墙程序和过滤规则的硬件化芯片化，所以硬件防火墙在处理并发数和连接数比较多的情况下优势更加明显，平时出现问题的机率也比较低。 六 设备产品选型分析1 主干设备：从长远角度考虑，我们仍然统一选用 Cisco 的设备，可以再技术上实现统一，而且其设备的内核大体相同，更加有利于管理。Cisco 设备的性能也是相当好的，出错率低，管理界面人性化。 2 交换机:核心交换机采用cisco 3560三层交换机，Cisco Catalyst 3560系列通过IEEE

16、 802.3af和思科预标准以太网电源支持，可自动发现思科预标准或IEEE 802.3af端点，且无需任何用户配置即能提供必要电源。 它支持的应用有IP电话、无线接入、视频监视、建筑物管理系统和远程视频售货亭等，使用者可在整个网络范围中部署智能服务如高级服务质量(QoS)、限速、访问控制列表(ACL)、组播管理和高性能IP路由，且同时保持LAN交换的简洁性。汇聚层交换机采用Cisco catalyst 2950交换机，二层交换机，Catalyst 2950系列包括Catalyst 2950T-24、2950-24、2950-12和2950C-24交换机。Catalyst 2950-24交换机有

17、24个10/100端口；2950-12有12个10/100端口；2950T-24有24个10/100端口和2个固定10/100/1000 BaseT上行链路端口； 2950C-24有24个10/100端口和2个固定100 BaseFX上行链路端口。接入层采用低端的Cisco catalyst 1900 系列的交换机适用于网络末端的桌面计算机接入，是一款典型的低端产品。它提供 12 或 24 个 10M 端口及 2 个 100M 端口，其中 100M 端口支持全双工通讯，可提供高达 200Mbps 的端口带宽。机器的背板带宽是 320Mbps 。路由器选择的是Cisco2600系列的路由器，Ci

18、sco 2600系列是模块化多服务接入路由器系列，具有灵活的LAN和WAN配置、多个安全性选项、语音/数据集成和一系列高性能处理器。这些特性使Cisco 2600系列成为可满足当今及未来客户要求的理想分支机构路由器。Cisco 2600系列模块化路由器最新添加了Cisco 2600XM和Cisco 2691。这些新型号具有扩展性能、更高密度、强化安全性和更高同步应用支持，可满足分支机构日益提高的要求。3 防火墙由于该项目安全性的要求很高，所以在接入互联网上时，应该配置硬件防火墙。防火墙的选择为CISCO ASA5510-BUN-K9。CISCO ASA5510-BUN-K9自适应安全设备是思科专门设计的解决方案，能够将最高的安全性和VPN服务与全新的自适应识别和防御（AIM）架构有机地结合在一起。作为思科自防御网络的关键组件，CISCO ASA5510-BUN-K9能够提供主动威胁防御，在网络受到威胁之前就能及时阻挡攻击，控制网络行为和应用流量，并提供灵活的VPN连接。思科提供的强大多功能网络安全设备系列不但能为保护中小企业和大型企业网络提供广泛而深入的安全功能，还能降低与实现这种安全性相关的总体部署和运营成本及复杂性。是用户统一威胁防御（UTM）解决方案的理想选择。