网络工程与技术课程大作业报告-市政府大楼网络系统规划设计Word下载.doc

1、5地址规划及分配方案226网络管理设计236.1 运用SNMP管理技术236.2 SNMP风险237网络安全设计237.1采用ZoneAlarm Pro防火墙237.2采用硬件防火墙248物理网络建设方案249设备产品选型分析259.1 网络实现 ：259.1.1系统需求259.1.2主干网259.1.3各子网设计259.1.4远程服务259.1.5外连方式259.2网络设备选择259.2.1. 主干设备：9.2.2 交换机:10存储备份/灾难恢复/冗余设计方案2610.1存储备份方案2610.2灾难恢复计划2710.3冗余设计方案28附录A 参考文献291 需求分析根据市电子政务建设总体规划

2、“三网一库”基本架构的要求，以及建筑使用功能、建筑层数以及相邻的关系，网络系统建设需求如下：（1）网络系统构成：基于三网之间要有较高的安全性、独立性和可靠性，公众信息网（外网）与市政府内部办公网（内网）和政务专网必须物理隔离，为二个独立的网络系统，内网和专网则采用逻辑隔离。（2）市政务专网建设目标是作为省政务网的横向接入网，实现省政务信息网的延伸，实现上至国办、省政府，下至各县（市）政府的互联互通。（3）网络拓扑及体系结构：无论是市政府内部办公网、政务专网还是外网，均为星型网络拓扑结构；内、外网为核心层、接入层二级交换体系，专网为汇聚层、接入层二级交换体系。（4）计算机主干网络采用千兆以太网组

3、网技术，核心层交换机采用千兆以太网交换机，网络主干应支持第三层交换和VLAN划分。（5）为了保证网络核心的高可靠性和高带宽，内网的核心层交换机采用双机热备份和端口聚合。（6）接入层支干采用10/100Mbps自适应交换以太网，信息点采用10/100Mbps端口到桌面。1.1 网络业务需求1.1.1 业务状况描述本项目的甲方（客户单位）为各个部门，其目前的业务状况见下表：表11 业务状况描述表内 容状 况 描 述从事行业行政部门，各部门职责不同，如：财政部，党委，民政部等；市场定位面向内部的网络系统，对外有一定的保密性，只有个别部门对外开放，且部门之间也由一定的保密性；服务各司其职，部门之间互不

4、干涉；竞争无商业外部关系有对外公开的一部分信息；1.1.2 客户组织结构图本项目客户的组织机构图见下图：市长室、副市长室、秘书长室、副秘书长室、各种会议室。书记室、副书记室、常委室、秘书长室、副秘书长室主任室、副主任室、秘书一科、秘书二科、秘书三科、应急办公室、人事科、财务科、机关党委、保卫科。主任室、副主任室、经济科、政治文化科、社会保障科局长、副局长、综合科、申诉科、接访科市政府大楼研究室书记室、副书记室、办公室、综治办、维护稳定办、610办、执法监督科、干部政工科政法委部长室、副部长室、组织科、党建研究科、县区干部科、经济干部科、党政干部科、企事业干部科、干部监督科、干部教育科、人才办宣

5、传部部长室、副部长室、办公室（加挂舆情信息科牌子）、文明办、理论科（加挂党教科牌子）、新闻科（加挂市新闻中心牌子）、宣传科（加挂企业宣传科牌子）、对外宣传办公室；干部科、文艺科、文化产业科、国防教育办组织部主任室、副主任室、党建科、经济科、社会文化科监察局书记室、副书记室、常委室、局长室、副局长室、办公室、案件受理科、案件调查一科、案件调查二科、行政监察科、政策研究科、廉政宣传科、人事科、机关党委政策研究室局长、副局长、综合科、后勤科、物资储备科、综合采购科、接待科政府办公室机关事务管理局（接待办）信访局图11 客户组织机构图1.1.3 项目的商业/业务目标经用户调查及需求分析，客户开展本项目

6、的商业/业务目标如下：表12 客户商业/业务目标清单目 标确 认加强对分支机构或部属的调控能力是缩短事件处理周期，提高公务员生产力转变为国际网络产业模式使落后的技术现代化降低电信及网络成本，包括语音、数据、视频等独立网络有关的开销将数据提供给所有公务员及所属部门，以使其做出更好业务决定提高关键任务应用程序和数据的安全性与可靠性提供新型的网络服务，实现即时性和稳定性及保密性1.1.4 项目的网络建设目标经过与用户的深入沟通和深入的需求分析，客户开展本项目的网络建设目标如下：表13 客户网络建设目标清单具 体 要 求 说 明提高网络运行的稳定性线路和设备要有适当形式的备份，主干线路中断后，备份线路

7、应能够自动接替工作，故障设备能被及时替换，以不影响业务正常运行为根本原则。提高网络带宽对现有业务和将要实行的新业务进行统一考虑。要求带宽在比较大的范围内可升级，以便满足不断出现的新要求。提高网络的可扩展性在不变动网络基本结构和主要设备的情况下，应可自由的增加或减少网点数量，语音图像等新的应用也应能平滑的融入到现有网络中运行。合理的利用已有投资对网络设备、网络技术，主干线路，备份方案等精心选型，并有效利用已有资源，在满足网络建设要求的前提下，力求以最小投资赢得最大回报。降低成本准备最精简高效的设计规划，为客户降低成本。1.1.5 项目的范围定义本设计涉及到整个办公大楼的各个部门及各个房间的各台计

8、算机，整体结构十分复杂，具体应实现整个局域网的规划，使各个部门能够在其局域网中实现网络互联，并且各个部门都有其一定的保密性，其他部门不能任意进入该部门。规划布线，尽量使其精简并且能够尽量少的占用办公空间。1.1.6 项目的约束条件1、 政策约束由于是政府部门，政治敏感度高，要求保密措施恰当，针对相关的安全产品必须查看其是否得到相应的许可证，如：1）密码产品满足国家密码管理委员会的要求；2）安全产品获得国家公安部颁发的销售许可证；3）安全产品获得中国信息安全产品测评认证中心的测评认证；4）安全产品获得总参谋部颁发的国防通信网设备器材进网许可证；5）符合国家保密局有关国际联网管理规定以及涉密网审批

9、管理规定；2、 预算约束其次是资金约束，竞争对手多，所以要拿出好的规划能够使客户满意，尽量的减少资金的投入。客户组织机构开展本项目的财务预算约束条件如下：表15 客户预算约束清单预算项目设备采购购买软件维护测试外包费用培训系统设计布线安装信息不可预见费预算金额250100103050预算总额500说明备注单位：万元3、时间约束客户组织机构开展本项目的时间约束条件如下：表16 客户时间约束清单任务/阶段开始时间结束日期备注可行性研究6-16-1010天需求分析6-116-20系统设计7-1020天软件开发7-117-30硬件采购安装8-18-10系统集成测试8-118-20试运行维护8-219-

10、1930天备注：红色日期为项目预定里程碑1.2 用户需求经用户调查及需求分析，本网络工程项目应满足客户组织机构中最终用户的下列服务需求：表17 最终用户需求概况表用户需求当前服务现状用户需求具体描述 & 说明及时性及时性得不到满足，不能支持视频会议网络畅通，能够即时的现实所需要的信息交互性保密性不是很强，屏蔽措施不够好具有强保密性，权限严格，责任到人可靠性网络安全设计不够稳定具有网络安全设计服务质量服务质量能满足一般要求快速，精简，投资少，效率高安全性安全级别达不到国家的相关要求安全级别超高，能阻挡一定的攻击，稳定性强可负担性不能满足用户需求能够支持市政府需求的最大量用户数目11个部门，88个

11、科室，每科室按5人算用户位置在同一幢大楼同一幢大楼中用户增长规模增长规模很小增长小，可以忽略1.3 应用需求经用户调查及需求分析，本网络工程项目目标网络将开展的网络应用应满足客户组织机构的下列应用服务需求：表18 网络应用需求概况表应用程序名称应用类型物理位置是否新应用重要性平均用户数使用频率平均交易规模峰值持续时间平均会话长度是否实时位置数据App A：SNMP网络管理软件控制中心汇聚层极高400500高超大8hApp B：Domino邮件服务器邮件收发，web访问各pc机应用层App C：FrontPage、Dreamweaver、Photoshop等网页制作和图形设计工具Pc机300中3

12、hApp D：VFP、Delphi档案管理，人事管理服务器20低0hApp E：ZoneAlarm Pro网络防火墙软件全部网络层上述应用需求的优先级别如下：表19 网络应用需求优先级别表应 用优 先 级 别 & 说 明最高，保障网络安全SMMP其次，保证网络管理能切实有效中，能满足邮件收发需求低，能满足一般用户需求即可1.4 硬件需求经用户调查及需求分析，本网络工程项目目标网络所需要的各种物理硬件设备资源如下：1、主机和附属设备的需求概况表110 主机及附属设备需求概况表主机名主机类型主机上的应用程序主机位置速率系统容量冗余性是否需要采购操作系统网卡类型系统安全性要求维护要求台式机个人pco

13、ffice软件（正版）办公桌上10/100M自适应500G硬盘不需要冗余XP独立正版杀毒软件除公务员自己维护，还要配备专门维护人员各部门主控室1000M点阵式硬盘双机热备份Linux专门维护人员路由器思科路由器配线间交换机思科三层、二层、底层交换机1000M（主干）（分支）核心交换机冗余网络硬件防火墙CISCO ASA5510-BUN-K9专门人员维护3、 机房特殊设备见表111：表111 机房特殊设备需求概况表设 备无人值守系统单元控制器2台动力源交直流监控系统漏水传感器20台烟感探测器温感探测器温度传感器湿度传感器门禁控制设备电视监控：快球摄像机，50台防盗报警装置10台1.5 网络需求1

14、.5.1 网络性能/规格需求经用户调查及深入的需求分析，本网络工程项目目标网络在性能、规格方面的需求如下：1） 设备选型符合国家相关政策的规定；2） 对于涉密部分要采用物理屏蔽，保证涉密设备的安全性；3） 网络安全是首要考虑的因素；4） 网络时延要尽量小；5） 误码率要足够小；6） 丢帧率要控制在一个很小的范围，保证文件传输的完整性；7） 网络故障要经可能少发生，发生后要求能尽快从故障中恢复；8） 对数据要有备份功能，以保证在发生事故后能保证文件的完整性；9）1.5.2 网络管理需求经用户调查及深入的需求分析，本网络工程项目目标网络的网络管理需求如下：表112 目标网络管理需求概况表需 求说

15、明事件监控要求监控外来用户的介入，主动防御，身份识别，发出预警。网络配置要求能够满足基本的办公需求，网速及系统运行不间歇网络性能监视要求当网络接入为最大时，测试系统性能及网络速度错误管理机制有专门维护人员来进行错误排除和系统修复等维护工作网络管理协议要求对网站及公开信息有专门的授权1.5.3 网络安全需求经用户调查及深入的需求分析，本网络工程项目目标网络的网络安全需求如下：表113 目标网络安全需求概况表需 求 说 明安全要求类型严密的保护Internet安全性极高，外来访问者不能进入，黑客攻击能够主动防御数据完整性/可靠性要求极高，需要多种身份验证信息1.5.4 网络地理位置分布经用户调查及

16、深入的需求分析，本网络工程项目目标网络的网络地理位置分布结构图图12 网络地址位置分布结构图1.6 网络应用概述由1.3节的应用需求分析，本项目欲建设的目标网络，将承载的应用程序所产生的网络流量定义如下：视频会议：会议室通过此程序，参加远程会议；网络管理：管理员通过它管理该网络；网络通话：各科室工作人员通过它与其他部门交流；网络监控：监控网络异常与否；对上述应用程序的类型、物理位置（应用程序安装位置、后台数据位置）、是否是新应用、重要性、平均用户数、使用频率、平均交易规模、峰值持续时间、平均会话长度、是否是实时应用、应用的优先级别等内容的说明，详见1.3节的表18、表19。1.7 应用需求规格

17、说明对目标网络的应用程序在服务质量方面的需求概况表如下：表21 目标网络应用服务需求概况表应用程序分类是否是可控速率Controlled-Rate是否是实时应用Real-Time是否是尽力而为应用Best-Effort应用物理位置视频会议否会议室网络管理控制室网络通话各科室网络监控1.8 主机需求规格说明对目标网络的应用程序所需服务器主机设备类型、数量及位置情况的需求概况总结如下：表22 目标网络主机服务需求概况表类 型数量及位置分布说明500台左右，主要是各科室的办公的计算机三层交换机一台，核心层，中心控制室二层交换机若干台，汇聚层，各楼层控制室底层交换设备若干台，接入层，各楼层配线间一台，

18、接入广域网，中心配线间3台，核心层，中心控制室2 技术方案选型分析基于本项目的特殊性，对网络的安全性很高，所以网络的安全性应该放在首位，其次就是网络的稳定性和网络的性能，对网络的运作成本不纳入首要考虑范围。2.1 网络总体设计目标本项目目标网络的网络总体设计目标定义如下：表2-1 网络总体设计目标表顺 序1完备的安全性是最重要的，应该放在首要位置考虑2最大化网络的性能特性满足完备的安全性的前提下，要求网络性能最大化3充分的可靠性要求网络的可靠性要足够高4易于操作使用和可管理性减少专业网管人员的开销，要求网络易于操作5最小化运作成本在保证其他条件的同时，适当减少成本6可扩展性，满足用户的新需求适

19、当考虑网络的可扩展性，满足日后扩展的需求2.2备选技术方案的评价准则本项目目标网络的网络备选技术方案的评价标准：表2-2 网络总体设计目标表一是安全产品必须符合国家有关安全管理部门的政策要求；二是安全产品的功能与性能要求网络时延要小，抖动不明显，丢包率小要求可靠性要高，故障率要小，而且，在出故障后能快速的从故障中恢复，有一定的容错能力要求操作易于实现，管理简单有效保证其他条件满足后，适当考虑减少成本满足日后网络的发展，能有一定的扩展空间，能在至少5-10年内不换代2.3 各种备选技术方案选型分析2.3.1宽带网骨干层技术1 千兆以太网技术（GE） GE与以太网、快速以太网兼容，世界80以上的网

20、络节点为以太网形式，GE的实施具有直接、快速和千兆位的特点，设备便宜；传输距离达100Km，可以满足城域网需要。 GE重新定义MAC层，接入冲突检测引入“载波扩展”，但少于512字节帧的载波扩展部份都没有承载用户数据，浪费带宽；以太网平均帧长约200-500字节，GE实际速率能达到390-977Mbps。原来以太网的不足，如多媒体应用及QoS、拓扑结构不可靠和多链路负载分享、虚拟网等，随着新技术、新标准的出现已得到部分解决。 2 异步转移模式（ATM） ATM采用53字节固定长度的信元（Cell）作为基本传输数据单元，是一种面向连接的传输技术，数据传送前需先建立虚通道，接下去的数据传送将一直沿

21、着这条虚通道进行。以信元为传输单元、采用虚通道连接的网络具有良好的流量控制机制和QoS；减少信号传输时延；ATM的工作机制使其在实时应用和服务质量分级方面具有不可比拟的优势。3 POS技术（IP over SDH技术） POS技术将IP包直接封装到SDH帧中，提高了传输效率；采用高速光纤传输，以点对点方式提供从STM1到STM64甚至更高的传输速率。4 动态分组传输输技术（DPT） DPT是一种提供SONET/SDH传输的可靠性和恢复功能而无需增加不必要的IP业务开销的光传输技术；采用两条反向循环的光纤环路同时用于传输数据和控制业务，使用空间复用协议（SRP）在分组环上提供分组寻址、分组剥离、

22、带宽控制和信息传输控制等功能；SRP环形结构对端口数需求少。2.3.2 骨干技术性能对比分析 1、GE技术 GE技术核心为简单提高传输带宽和交换容量；主干可靠性由TRUNK技术（Cisco为GEC技术）提供，耗费端口多，切换时间、网络自愈等方面不能用足光纤网络潜力。其沿用的以太网机制CSMA/CD具有不确定性，媒质接入取决于概率，缺少优先级机制；业务流量等待时间不定，不适于实时多媒体应用。虽然资源预留协议（RSVP）提供了基本的QoS，但公共电信网要求更高级的QoS，关键是目前许多应用对实时业务不敏感；GE能否成为主流技术取决于市场所需的QoS方向。GE技术的优势是低价的设备、简单的技术路线；

23、和以太网、快速以太网兼容的接口。2、ATM技术 ATM协议复杂和信头开销多、设备价高、需局域网仿真才能完成信元和数据包间的转换来支持IP应用；ATM可以在本地和广域提供QoS，但目前企业端到端的ATM难以实现。3、POS技术 最大缺点是网络呈环状时带宽分配不够灵活（基于点对点传输，且最低速率为155M）。4、DPT技术 主要优点是动态使用带宽，带宽利用率大大提高，避免点对点连接的限制，减少需要的端口数。DPT也避免了ATM协议的复杂性、信令系统和过高的信头开销，直接支持IP，无需IP包的拆分和重组，提高了交换机处理能力，降低了设备价格。5、结论 小型、简单的网络GE技术组网性价比高；大型、复杂的网络DPT组网性价比最高，但此技术仅CISCO拥有,未成为标准。2.4技术方案选型结论2.4.1技术方案选型依据1）客户需求市政府电子政务建设的基本架构，也就是全国政府系统政务信息化建设20012005年规划纲要中所指明的“三网一库”建设。由于电子政务建设是一项跨系统、跨部门、技术难度大的系统工程，市政府电子政务建设规划用三至五年时间初步建设立起“三网一库”的技术架构。电子政务建设是一个渐进发展的过程，也是逐步实施的过程。作为与本工程建筑主体，建筑智能化系统建设同步实施的，主要是网络传输平台的搭建。