宜昌航道网络建设方案分析Word文档格式.docx
《宜昌航道网络建设方案分析Word文档格式.docx》由会员分享,可在线阅读,更多相关《宜昌航道网络建设方案分析Word文档格式.docx(20页珍藏版)》请在冰点文库上搜索。
一、系统建设背景
实现航道管理的信息化,是长江航道的现代化建设与发展的需要,也是时代发展的必然之路。
自“九五”期以来,随着国家改革开放步伐的加快,国民经济发展速度的提高,使得长江经济带得以迅速发展。
海轮进江、东西部物资交流,都使作为长江航运重基础条件的长江航道担负起更大的历史重任。
而利用计算机及相关的网络通信技术构筑长江航道信息管理系统,提高航道建设与维护管理水平是促进长江航道科技进步和事业发展的重要之举,在全球经济一体化的今天,发展高科技、加强技术创新,是加快交通运输事业发展的迫切需要。
全面落实交通部信息化“十五”规划以及长江航务管理局、长江航道局信息化建设“十五”规划和2015年发展纲要中提出的各项任务,依照“统筹规划、分层建设、统一标准、资源共享、突出重点、逐步推进”的指导方针,根据我单位信息化建设的实际情况,制定本实施方案。
二、系统建设目标
逐步实施长江航道核心信息资源的开发利用,分期建成生产与管理急需的办公自动化、计算机辅助设计、计算机辅助管理等应用系统工程。
为长江航道生产与管理信息广泛畅通的传输、简便灵活的处理、迅捷及时的共享支持,促进长江航道生产的管理的信息化。
三、系统建设功能
1、办公自动化系统;
2、航道维护管理信息系统;
3、长江航道生产指挥调度信息系统;
4、航道生产基本建设工程管理信息系统;
5、航道生产基建计划管理系统;
6、工程船舶管理信息系统;
7、工程经营管理信息系统;
8、科技管理信息系统;
9、质量管理信息系统;
10、安全监督与防汛指挥管理信息系统;
11、干部人事管理信息系统
12、财务管理信息系统;
13、档案管理信息系统;
14、纪检管理信息系统。
四、局域网络建设方案
4.1局域网的基本结构及技术要求
1、根据当前局域网技术的发展和航道系统的工作特点,考虑局域网的先进性、可靠性、开放性、互连性、安全性和易管理性等因素,航道局机关局域网选择快速以太网络技术,采用层次式的树状网络拓扑。
2、局域网采用TCP/IP协议,采用Intranet运行模式。
3、与同级的各预算单位、相关职能部门,均通过“隔离区”方式接入内部网。
4、为保证数据、信息的安全,在局域网络中具备虚拟网络(VLAN)的划分和管理能力。
5、局域网布线系统采用结构化布线系统。
局域网使用的线缆满足当前信息传输的需求,并能适应将来网络结构的更改或设备的扩充。
6、局域网的中心交换机目前采用千兆或百兆以太网交换机,支持虚拟网络划分和管理。
不支持虚拟网划分的局域网交换机不得用作中心交换机。
7、网络采用一级交换交换,使用交换机实现千兆主干、百兆交换到用户桌面。
8、为了保证管理系统的高可用性,网内设置了系统备份与灾难恢复功能。
4.2现状分析
本单位已经初步建立了内部局域网,有一台服务器及部分工作站,由于新实施长江航道信息化系统,原有网络体系结构已经不能满足办公要求,需要重新统一设计、规划网络,以满足需求。
4.3网络需求分析
计算机中心网络的建立,将成为宜昌航道管理局信息化管理的数据库中心。
因此需要一个能正常运行、稳定、吞吐量大、安全的网络,同时即便在出现故障时能够快速地查找故障原因,在网络选型中采用l000M交换式快速以太网作为网络主干,100M交换到桌面,采用双网物理隔离、防火墙接入、功能强大的服务器等技术手段作为安全保障,星型拓扑结构。
信息点布点分布表:
楼层
信息点数
语音点数
1
36
12
2
51
15
3
4
39
5
6
7
14
合计
4.4网络整体规划
网络选型:
交换式快速以太网
网络速度:
1000M网络主干、100M交换到桌面
网络结构:
星型拓扑结构(附1:
网络拓扑图)
网络安全:
防火墙、双网物理隔离
布线方式:
每个办公室到中心机房均是采用独立的四根双绞网线直接铺设到中心机房,并上标准的配线架及机柜。
其中三根用于数据点,其中一根用于语音点
管理方式:
中心机房集中管理,通过机房灵活跳线来选择办公室的电脑应用在内网或是外网,使得管理安全、高效。
布线品牌:
AVAYA(朗迅)
4.5本网络功能及特点
功能
1)局域网能满足住航道局的各种软件应用、服务及日常的办公需求。
2)通过双网及防火墙隔离技术,实现局域网与互联网的互连。
让内部工作站既可上内部服务器进行日常工作的开展,又可上互联网以获取信息。
特点
1)先进性
交换式快速以太网是目前局域网选型的主要潮流,既经济实惠而且实施方便。
采用超五类双绞线完全可以达到1000M的主干速率,100M交换到桌面,完全满足日常办公及信息数据的异地传递。
2)可靠性
AVAYA系统布线产品,型号齐全,质量可靠。
采用星型拓扑结构,使得各信息点均是直接与中心机房相连,便于故障的查找,即使哪一根线路完全损坏也不影响其他线路的运行,增强了网络的冗余性。
采用每个办公室多网线布线方式,是实现双网隔离的必备基础条件。
另外布多网线方式比传统布单网线的方式在安全上更加可靠有保障,除非每个办公点的三根网络线同时损坏掉,否则至少可以保证有一根网线可以连到内网或外网,保证日常工作的正常顺利进行。
3)安全性
防火墙、双网隔离技术保证了网络的安全,使得内网与外网在物理上完全隔离。
即保证了内网信息数据的安全,又开放了外网,可以方便即时的获取外部的最新信息。
4)互连性
采用标准的结构化布线可以使得各种设备和其他接入线路方便的接入。
5)易管理性
采用中心机房集中管理,通过机房灵活跳线来选择业务网、办公网、互联网,使得管理安全、高效。
4.6外网接入规划
线路上租用电信的2M光纤接入互联网上,在设备上采用一台防火墙代替路由器接入互联网和内网,即安全又高效。
五、综合布线建设方案
5.1综合布线要求
在机关局域网建设中,应采用技术成熟、安全方便的结构化综合布线系统(PDS)。
1、局域网采用机房集中配线的模式,即所有线缆集中在主机房配跳线,不另设分线间。
2、机关局域网布设信息点,考虑了业务的扩展性,满足当前需要并有适当冗余。
3、局域网综合布线系统中的信息传输介质,选用超五类或六类双绞线。
布线材料应选择AVAYA公司的合格产品。
4、综合布线工程设计施工单位具有独立法人资质,有承担综合布线工程的设计、施工、调试及维修的能力和相应的资质(即有相应的资格证书和专用测试仪器等),能在要求的时间内提供技术支持和响应。
5、在进行综合布线的设计和施工时,应严格遵守以下技术标准:
1)IEEE802.310Base-T
2)IEEE802.3u100Base-t
3)IEEE802.3ab(z)1000Base-T(F)
4)EIT/TIA586A/B,569
5)GB/T50311-2000建筑及建筑群综合布线系统工程设计规范
6)GB/T50312-2000建筑及建筑群综合布线系统工程验收规范
5.2现状分析
已经初步建立了内部局域网,有一台服务器及部分工作站,但只是简单的用双绞线与交换机进行相连,还达不到结构化综合布线的要求,需要重新进行网络的综合化布线。
5.3总体规划
结构化综合布线
布线系统选择:
AVAYA布线系统
交换级别:
一级交换
机房集中跳线管理
布线标准:
EIT/TIA568B
5.4各子系统规划
根据国际标准EIA/TIA568B的规定综合布线系统由六个子系统构成:
如下图
工作区子系统:
采用标准的超五类跳线与墙上的信息模块相连。
高性能的超五类跳线,适用于可靠的数据传输且多变动的环境要求。
经精心设计及过硬的生产流程令,PowerSum快接跳线系列均有完美无缺的阻抗匹配性能,从而具有最小的反射信号及显著的传输性能。
水平子系统:
涉及的设备有:
模块化信息端口、双口面板/单口面板、超五类非屏蔽双绞线
按照布线的规范在墙上安装面板及标准模块,这样不管电脑在什么地方,只要有足够长的跳线就可以很方便的进行连接。
垂直干线子系统:
由于网络中所有信息点集中在一栋大楼内,
从信息点到机房的距离不超过100M,因此每一根网络线可直达中心机房,无需主干线,因此垂直干线就是网络双绞线。
管理子系统:
在网络建设中,一栋楼内信息点可直达中心机房,则无需设立管理子系统,只需设置一个中心机房进行网络设备的放置及管理。
这样既方便操作、维护也可保护网络的运行速度及稳定性,因此不涉及到此项子系统。
设备间子系统:
根据办公应用需求,将中心机房设置在办公大楼的四楼办公室,外房间作为中心人员办公地方,内房间作为网络设备放置地点。
在机房内采用配线架连接各信息点线路,使用跳线进行灵活的跳线管理。
涉及的设备主要有:
标准立式机柜
超五类配线架
各种网络设备
建筑群子系统:
此次不涉及此系统。
六、机房建设方案
6.1机房设计技术规范
为了保证系统的高可用性,应建造计算机专用机房,用于放置计算机主机、网络设备、维护用网络工作站和数据备份的各种介质。
机房设计与建设遵循以下要求:
1、机房建设根据实事求是的原则,适应计算机网络分布式处理、设备小型化、智能化、网络化的发展。
竣工后应组织验收,并保存设计和施工文档。
2、机房须铺设防静电地板,对整个机房进行屏蔽和封闭处理,在保证机房防静电、防幅射、防尘的同时,有利于机房内布线。
3、机房应配备具有网上集中监控功能,在线式不间断电源系统(UPS),负载能力一般应大于满负荷时的150%,后备时间应满载大于半小时。
4、按标准和设备要求建立可靠的接地系统。
交流和避雷接地电阻小于4欧姆。
5、机房将配备空调和新风设备,保证要求的温度、湿度和新风量。
6.2防静电设计
机房采用600mm*600mm全钢制防静电地板。
6.3不间断电源设计
随着中心网络的逐步建设,以及精密电子设备的广泛使用,供电质量的好坏越来越影起人们的重视,而采用不间断电源供应机房的电源,是保证网络系统能否正常工作的一个重要组成部分。
UPS选型为山顿6KVA/4H,提供方要能够提供以下的要求和服务:
1、在线式不间断电源系统(UPS),负载能力一般应大于满负荷时的150%,后备时间应满载大于半小时。
2、免费的现场安装及调试服务,
3、维修中心和备件库,维护中心可提供正常维修、保险服务及定期巡回检修、定期保养三种服务。
4、保修期内的免费维修服务
根据机房设备的功率计算:
四台服务器2000W+两台交换机140W+一台防火墙100W+两台网管工作站600W=2840W*150%=4260W,考虑到以后WEB服务器及MAIL服务器和其他网络设备的增容,因此采用6KVA/4H,因为目前的功率只有3000W左右,6KVA/4H足够支持八小时,既经济又实用。
当将来设备的功率达到6KVA时,可以在现有的投资基础上加装UPS电池,即可扩展到6KVA/8H。
6.4接地设计
整个系统建立起来后,整个系统中包含了大量的电子设备及仪器。
电子设备本身会有静电产生也有漏电情况的发生,这都会危害电子设备的安全,严重的会给电子设备带来巨大的灾难。
为了避免此种情况的发生,需要做整个系统的接地工程以确保系统设备及人身的安全,保证系统的正常使用。
将采用大对电缆接铜板地埋的方式来进行地线安装。
为了达到更好的使铜板与大地接触的效果,采用气象专用的降阻剂,铺于铜板的下方与上方,其效果完全可以达到机房接地电阻小于4ΩM的标准。
除在机房内的地面上铺设防静电地板,还将在防静电地板下铺设机房等电位铜排,并接到专用地线上,用以保证整个机房的安全接地。
6.5防雷安全设计
此次方案我们将采取二级防雷。
1、在整个机房的市电接入口配置一个主配电柜防雷器,做第一级防雷,用来保证接入市电的安全。
2、在服务器的强电入口及UPS电源的输出端口各配置一个防雷器,用以保证设备的安全。
七、网络设备选型
局域网设备的选型,应首先考虑网络的可靠性和易管理性。
7.1交换机
网络中心根据业务应用的需要,采用一级交换方式。
主交换机有电源、系统主板的冗余备份,并留有足够的空余插槽,以利于将来的升级和扩容。
主交换机具有以下主要功能:
1、支持千兆以太网或快速以太网交换能力;
2、支持虚拟交换网能力(VLAN);
3、具有高速的宽背板带宽;
系统模块化设计,有良好的可扩展性;
4、支持高密度和多种形式的网络接口。
根据我局的情况,最终将有约八十台电脑正常运行,因此至少要两台48口交换机,每台交换机的背板至少约为48*100M=4.8G
7.2防火墙
产品要具有优异的开放性和升级扩展能力,并提供最佳的用户投资保护;
网络传输具备高可靠性、安全性;
网络易于维护、易于管理;
系统主要设备均采用广泛应用且具有良好性能价格比的产品,尽量利用已有资源,既考虑节省投资,又保证产品的先进性和可用性。
防火墙具有以下主要功能:
1、带有DMZ的连接方式
2、防止IP地址欺骗功能
3、包过滤功能
4、代理层的访问控制
5、地址转换功能
6、反向地址转换功能
7、地址绑定功能
8、实时的审计日志功能
9、路由功能
10、支持VLAN和IP地址别名功能
八、网络应用平台设计
8.1服务器配置
1、服务器规划:
根据我局的应用情况,服务器作以下规划:
外网服务器二台:
一台邮件服务器、一台WWW服务器
内网服务器四台:
一台数据库主服务器、一台数据库备份服务器、一台OA服务器、一台域控制(包含内网WWW服务器)。
2、服务器配置需求:
数据库主服务器及备份服务器:
Xeon2.8*2/1GM/CDROM/36.4*3SCSI/1000M/RAID5/15寸
其产品支持多CPU、支持热插拨和RAID技术的企业及服务器
OA应用服务器:
Xeon2.4*2/512M/CDROM/36.4*3SCSI/1000M/RAID5/15寸
其产品支持多CPU、支持热插拨和RAID技术的企业及服务器
邮件服务器:
Xeon2.4/256M/CDROM/80GSCSI/1000M/15寸
WWW服务器:
8.2网络操作系统
网络操作系统的选择原则:
1、网络操作系统与应用系统的类型和规模相适应。
系统一般应选择能较好地支持B/S结构和Internet结构的操作系统;
2、具有开放的多用户、多任务平台;
3、支持TCP/IP网络协议;
4、支持多种网络协议;
5、同服务器硬件能力匹配、支持全对称多处理器;
6、支持服务器硬件的升级;
7、支持开放式接口、易同其它机种互连。
服务器网络操作系统选择:
Windows2000Server
工作站网络操作系统选择:
Windows2000Professional或WindowsXP
8.3数据库管理系统
数据库管理系统是各级计算机网络应用中主要技术组成部分,涉及系统各类信息数据的组织、存放和应用。
按照交通部的要求,为保证核心业务应用系统的统一,统一信息采集、加工、应用的角度出发,局域网选择数据库产品时,应根据应用类型来确定。
办公自动化系统:
LOTUS
数据库平台系统:
ORACLE
8.4应用软件平台
其他各种工程软件,由全国统一开发,统一配置。
九、网络安全设计规划
9.1网络安全要求
1、为了符合交通部和国家保密局关于网络安全的有关规定及保证数据的安全,局域网内部网络系统与国际互联网在物理上隔离。
2、建立安全检测和防病毒机制。
全网建立统一的符合国家规定的安全检测机制和网络防病毒体系,实时对网络系统进行自动的安全漏洞检测和分析,实时监控病毒,以提高系统的整体安全性。
9.2双网隔离设计方案
随着我国政府大力推动的电子政务、电子商务等工程的实施,采用物理隔离技术对不同安全级别的网络进行保护是必须考虑的一个重要措施。
物理隔离在技术上主要解决以下三个方面的问题:
1、在物理传导上隔断内部网与外部网,确保外部网不能通过网络连接而侵入内部网;
2、防止内部网信息通过网络连接泄露到外部网。
3、在物理存储上隔断内部网与外部网,对于断电后会逸失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息窜网;
对于断电后非逸失性设备如磁带机、硬盘等存储设备,内部网与外部网信息分开存储;
严格限制软盘、光盘等可移动介质的使用。
4、在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄露到外部网。
根据我局的具体情况,我局将采用内网、外网完全物理隔离的方式,即指定单台电脑只能工作在内网内,或是外网内,专机专用,以达到真正的完全隔离。
9.3防火墙设计方案
此项目主要是针对网络进行更进一步的安全设计。
毋庸置疑,中心网络是保证整个网络工作正常进行的一个重要支撑基础,而网络安全工作是关系管理中心信息化建设的大事。
在上外网的时候,系统还是有可能受到外部的不安全因素的威胁,将采用网络安全主流的防火墙技术来为网络管理中心设计安全解决方案。
1、网络环境分析
局域网络将是一个连接除本单位网络外还将连接省、市及其他单
位、部门或移动拔号用户的综合网络。
局域网(外网)通过宽带线路与互联网线路相连。
2、系统应用分析
内部WEB及电子邮件系统的应用。
内部财务软件系统的应用。
内部管理软件系统的应用。
3、隐患分析
1)外部网对内部网的访问没有进行严格相应控制,内部网络很容易被非法者入侵。
内部网没有进行任何认证和访问控制技术,重要的服务器有可能被内部职员越权访问。
2)存在着遭受病毒感染的安全脆弱性:
现今存在着众多的病毒,如文件型的病毒、引导区病毒等,中心网络中的服务器或相应的工作站一旦感染这些病毒,将会破坏整个网络的正常运转,或使得相应的数据无法正常使用,从而将会给国家、管理中心造成巨大的损失。
3)操作系统、传输协议、数据库系统等的安全脆弱性:
由于操作系统、传输协议、数据库系统在设计上本身就存在着许多先天脆弱性,这些安全脆弱性都会带来内外攻击者的相应攻击的威胁。
4)人员操作使用上的安全脆弱性:
由于各种原因(如知识上的
缺陷、精力的透支等)将会使得操作人员操作失误,从而造成数据误删除、被破坏等威胁。
5)破坏性蔓延的安全脆弱性:
这是由于攻击者可以通过各种途径、方式攻击管理中心网络中最不安全的节点,由于该节点与系统中的其它节点存在着较强的信任关系,攻击者就可以以该节点为跳板来攻击其它节点,破坏、盗取其上的数据,从而将破坏该网络与信息系统的整体安全。
采用一台国产硬件防火墙。
4、防火墙要达到的主要功能
支持透明连接
带有DMZ的连接方式
防止IP地址欺骗功能
包过滤功能
支持时间段特性
过滤规则测试
透明代理功能
代理层的访问控制
地址转换功能
反向地址转换功能
地址绑定功能
实时的审计日志功能
路由功能
支持VLAN和IP地址别名功能
支持远程在线状态管理
支持远程配置管理
支持远程审计管理
支持在线升级功能
支持安全规则的导入导出功能
支持安全管理中心的集中统一管理
5、实施设置
防火墙将安装在内网和外网之间。
接入INTERNET的接口接到防火墙的外网口上,内部网络接口接到防火墙的内网接口上,而WEB服务器可以接到防火墙的DMZ口上面。
通过地址转换功能可以把内网的IP地址转换成防火墙外网口上的由ISP提供商提供的外网IP地址,因此上网后可以屏蔽掉内部的IP地址,从而防止从外网查到内部的网络地址及网络结构。
将WEB服务器接入到防火墙的DMZ口,可以通过反向地址转换,使外部可以访问对外的WEB服务器而又访问不到内部网络的其他电脑,从而保证了双向访问的安全性。
9.4数据安全设计方案
硬件运行的稳定直接关系到数据的传输、存储的完整性,在整个网络中最基础的环节。
因此选择成熟的产品有助于网络的稳定、安全运行。
提高硬件可靠性、设备冗余和预防性维护等技术将可延长平均故障时间;
还可用恢复控制功能、自动诊断、硬件模块化结构来缩短平均故障修复时间。
双机切换系统是提高可靠性的传统结构,通过冗余服务器主机实现高可靠性;
硬盘系统是信息系统中核心系统,解决硬盘系统的可靠性问题,应采用磁盘冗余阵列技术,即RAID技术。
1、采用磁盘阵列技术:
在数据库服务器、OA服务器等重要的服务器,在安全方面将采用磁盘阵列技术。
即使用三块硬盘做磁盘阵列,更加保证了数据的稳定性。
2、双介质备份:
以上方案只是从服务器本身去考虑数据的安全性,但也不是绝对的具有安全性。
由于人为因素或是雷电等外在因素有可能使服务器完全瘫痪,从而造成数据的丢失。
因此采取双介质备份,即采用外置磁带机在磁带上备份和外置刻录机在光盘上备份。
这样即使服务器瘫痪或者是所有硬盘坏掉,只要有数据仍可在短时间内恢复系统并保证数据的准确性。
而且磁带和光盘保存时间长,也不占任何空间。
网络拓扑图