兰州市网建设方案.docx

兰州市网建设方案.docx

《兰州市网建设方案.docx》由会员分享，可在线阅读，更多相关《兰州市网建设方案.docx（34页珍藏版）》请在冰豆网上搜索。

兰州市网建设方案

兰州市XXXX

网络建设方案

xxxxxx科技有限公司

2006-6-26

1.总体描述与总体方案建议

1.1网络建设基本原则

兰州市XXX网络建设在技术选择上综合考虑安全性、先进性、成熟性及良好的性价比，以网络的可扩展性和可管理性为基础，统一规划，分步实施，保证网络安全、高效、可靠。

因此兰州市XXX局域网建设应遵循以下基本原则：

⑴　安全性、可靠性及可管理性。

兰州市XXX的可视化监控网络

（2）扩充性。

兰州市XXX局域网建设必须充分考虑到目前的业务需求和今后较长时间内业务发展的需要。

系统不仅能满足现在的需要，还应具有平滑过渡升级的能力，在采用新技术的同时还要保护用户投资，保证原有设备的可用性。

例如：

核心的网络设备可以根据用户需求，具备将来平滑扩容、在线扩容的能力。

各个分点的网络设备也应具备随用户数量的增加而增加（比如采用堆叠和升级设备的方式）的能力。

（3）开放性与标准化。

网络系统应能支持多协议，多厂商，具有开放的平台性能，支持各种通讯协议，各种数据库和客户机服务应用。

1.2网络建设目标：

依靠充足的网络资源和先进的技术为兰州市XXX搭建一个高速、高可靠性的信息中心局域网。

兰州市XXX此次网络建设完成后，将可以实现：

●保证局域网网络能够安全地到Internet的连接；

●构建一个面向管理、企业和社会的高带宽计算机网络系统，能满足业务数据对带宽的要求；

●网络应具备高性能、高可靠性、高安全性、可扩展性、开放性、标准化、实用性、可管理等特点；

●网络需面向未来可发展新业务（如压缩语音、高清晰度图像）。

2.网络设计方案和网络设备选型

2.1用户需求：

兰州市可视化在线监控系统,整个系统拟建4个视频监控点和一个监控中心之间的联网，采用光纤布线，通过1000M多模链路联至核心交换机。

通过在本次网络构建，以达到以下需求：

局域网设计为快速以太网，提供10/100M到桌面的连接。

内部网络保证各种数据信息资源共享，业务运行与网络的连接应保证稳定，具有较高的可靠性及网络带宽需求。

设计网络时应该从高效、可靠、稳定、安全等方面综合进行考虑。

广域网构建一个VPN接入网,主要提供区,县,环保局接入VPN服务器与监控中心相连共享监控中心服务器的资料.

2..3方案设计及设备选型

2.3.1建设后的网络拓扑图：

2.3.2方案设计与选型：

　·中心局域网

兰州市XXX局域网为星型拓扑结构，由三层设备组成。

QuidwayS5624p是三层核心交换机，为整个内网网络提供高速可靠的数据交换和安全管理，负责为整个内网信息中心网络划分vlan,并为vlan间提供数据路由及交换，同时对vlan间进行安全访问控制和提供安全策略。

QuidwayS5624P可通过下行GE光接口用多模光纤联到其他接入层交换机。

每台上联QuidwayS5624P的交换机使用千兆链路。

网络核心交换机通过硬件实现了三层交换功能，所有交换机均支持802.1Q标准，具有强大的VLAN功能的划分，在实际的规划中，可以按照网络的功能和部门把兰州市XXX局域网划分VLAN，提供VLAN路由和策略控制

　·楼层接入层

因中心交换机采用华为3COM的产品，所以接入层交换机采用的华为3COM二层交换机，采用华为3COM的S3026E-F接入层交换机，S3026E-F提供多个百兆光接口，可提供足够的接口联接，用于对兰州市XXX业务发展提供足够的业务扩展能力。

S3026C交换机支持802.1Q标准，具有强大的VLAN功能的划分，提高网络的带宽。

广域网

兰州市可视化监控网的广域网出口采用QuidwayAR4640路由器,QuidwayAR4640是面向企业中心及大型行业网络应用环境设计，充分继承了华为公司QuidwayNetEngine高端路由器在高性能、高品质业务、可靠性、安全性方面的设计优势，同时又融合了华为公司Quidway中低端路由器的业务能力，以及在企业应用中积累的经验，充分满足信息化迅猛发展对网络性能、业务集成、高可靠性、高安全性、三网合一等方面的要求。

VPN网络

兰州市可视化监控网的VPN网络主要提供区,县下属环保局接入VPN服务器与监控中心相连.根本客户的具体需求,推荐采用Quidway®SecPath100V,Quidway®SecPath100V是华为3Com公司面向企业用户开发的新一代专业安全网关设备,可以作为企业的汇聚及接入网关设备；支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络；支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN等等，可以针对客户需求通过拨号、xDSL、小区宽带等有线或者其他无线方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN

3.产品特性参数

Quidway®SecPath100V安全网关

Quidway®SecPath100V是华为3Com公司面向企业用户开发的新一代专业安全网关设备,可以作为企业的汇聚及接入网关设备；支持防火墙、AAA、NAT、QoS等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的私有网络；支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN等等，可以针对客户需求通过拨号、xDSL、小区宽带等有线或者其他无线方式接入远端用户，构建Internet、Intranet、Access等多种形式的VPN。

◆       支持丰富的VPN业务特性：

●         支持L2TPVPN、GREVPN、IPSecVPN、华为动态VPN等多种VPN业务模式；支持华为专利动态VPN（DVPN）技术，实现穿越NAT网关，动态IP地址构建VPN，自动建立隧道技术，多个VPN域等功能特性；支持IPSec硬件加速；

●         支持通过QuidviewVPNManager组件进行统一网管和统一的VPN隧道监控；支持通过华为3ComBIMS分支网点智能管理系统实现VPN配置自动下发；

◆       具有强大的NAT功能特性：

●         支持局域网内用户使用地址池中的IP地址访问外部网络；支持将访问控制列表与地址池的关联；支持将访问控制列表与接口的关联；支持外部网络主机访问内部的服务器；可配置支持地址转换的有效时间；支持多种ALG；

◆       全面细粒度的QoS保证：

●         支持流分类、流量监管、流量整形及接口限速；支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ）；支持拥塞避免（WRED）；

◆       提供企业网络的安全保障和防护功能

●         防火墙安全过滤能力：

支持包过滤技术，还可以按照时间段进行过滤；支持华为3Com专有ASPF应用层报文过滤（ApplicationSpecificPacketFilter）协议；

●         组合多种安全认证能力：

提供基于PKI/X.509的证书认证功能；支持与RSASecurID动态口令认证结合；在PPP线路上支持CHAP和PAP验证协议；支持USBKey方式存储数字证书、配置信息以及用户名密码；支持用户身份管理，不同身份用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限；支持与Radius服务器配合，实施对接入用户的验证、授权和计费；OSPF、RIP2具有MD5认证功能，确保所交换路由信息的可靠性。

 Quidway®SecPath100V系统说明表：

项目

属性

接口

1个配置口（CON）

1个备份口（AUX）

4个10/100M以太网口

1个10/100MWAN口

FLASH

8MB

SDRAM

128MB

外型尺寸（W×H×D）

300×42×220（mm）

重量

2kg

电源模块

输入

额定电压范围：

100-240Va.c.；50/60Hz

最大电压范围：

90-264Va.c.；50/60Hz

输入电流：

0.5A~1A

输出

电压：

12V

电流：

4A

工作环境温度

0～40℃

环境相对湿度

10～90%（不结露）

Quidway®SecPath100V功能特性列表：

属性

说明

VPN

L2TPVPN

可以根据VPN用户完整用户名，用户域名和电话号码向指定LNS发起连接

可以为VPN用户分配地址

可以进行LCP重协商和二次CHAP验证

IPSec/IKE

支持AH、ESP协议

支持手工或通过IKE自动建立安全联盟

ESP支持DES、3DES两种加密算法

支持MD5及SHA-1验证算法

支持IKE主模式及野蛮模式

支持NAT穿越

GREVPN

DVPN

支持自动建立隧道技术

提供GRE、UDP两种隧道

支持登录认证及节点间的加密认证

支持依赖动态IP地址构建VPN

同一个节点可以属于不同的VPN域

支持多个VPN域

支持NAT穿越

DVPN隧道可以承载IPSec加密

通过动态建立隧道节省Server带宽

网络协议

IP服务

ARP

静态域名解析

IP地址借用

DHCP中继

DHCP服务器

DHCP客户端

IP路由

静态路由管理

动态路由协议

RIP-1/RIP-2

OSPF

路由策略

策略路由

网络安全性

AAA服务

RADIUS

CHAP验证

PAP验证

结合RSAACE/Server和SecurID实现双因素安全认证

防火墙

基于接口的访问控制列表

基于时间段的访问控制列表

包过滤防火墙

状态防火墙

数据安全

支持终端访问安全

IPSec

IKE

NAT

支持局域网内用户使用地址池中的IP地址访问外部网络

支持将访问控制列表与地址池的关联

支持将访问控制列表与接口的关联

支持外部网络主机访问内部的服务器

可配置支持地址转换的有效时间

支持多种ALG

网络可靠性

备份中心、VRRP

服务质量保证（QoS）

流量监管

TrafficPolicing

拥塞管理

FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ

拥塞避免

WRED

流量整形

GTS

接口速率限制

LR、CAR

配置管理

命令行接口

通过Console口进行本地配置

通过AUX口进行远程配置

通过Telnet或SSH进行本地或远程配置

配置命令分级保护，确保未授权用户无法配置设备

提供全中文的提示和帮助信息

详尽的调试信息，帮助诊断网络故障

提供网络测试工具，如Tracert、Ping命令等，迅速诊断网络是否正常

用Telnet命令直接登录并管理其它网络设备

FTPServer/Client，可以使用FTP下载、上载配置文件和应用程序

支持TFTP上传下载文件

支持日志功能

文件系统管理

User-interface配置，提供对登录用户多种方式的认证和授权功能。

支持标准网管SNMPv3，并且兼容SNMPv2c、SNMPv1

支持NTP时间同步

Quidway®SecPath100F防火墙

Quidway®SecPath100F防火墙是华为3Com公司面向中小企业用户开发的新一代专业防火墙设备。

支持外部攻击防范、内网安全、流量监控、网页过滤、邮件过滤等功能，能够有效的保证网络的安全；采用ASPF状态检测技术，可对连接状态过程和异常命令进行检测；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持AAA、NAT等技术，可以确保在开放的Internet上实现安全的、满足可靠质量要求的网络；支持多种VPN业务，如L2TPVPN、IPSecVPN、GREVPN、华为动态VPN等，可以构建Internet、Intranet、RemoteAccess等多种形式的VPN；提供基本的路由能力，支持RIP/OSPF/路由策略及策略路由；支持丰富的QoS特性，提供流量监管、流量整形及多种队列调度策略。

◆       提供企业网络的安全保障和防护功能

●         防火墙安全过滤能力：

支持状态检测包过滤技术，还可以按照时间段进行过滤；支持华为3Com专有ASPF应用层报文过滤（ApplicationSpecificPacketFilter）协议；

●         提供多种攻击防范技术：

包括多种DoS/DDoS攻击防范、ARP欺骗攻击的防范、提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能、静态和动态黑名单功能、MAC和IP绑定功能，支持智能防范蠕虫病毒技术。

●         支持细粒度内容过滤能力：

支持邮件过滤，提供SMTP邮件地址过滤、SMTP邮件标题过滤、SMTP邮件内容过滤，HTTPURL过滤、HTTP内容过滤；

●         支持多种安全认证：

提供基于PKI/X.509的证书认证功能；支持RSASecurID动态口令认证；在PPP线路上支持CHAP和PAP验证协议；支持USBKey方式存储数字证书、配置信息以及用户名密码；支持用户身份管理，不同身份的用户拥有不同的命令执行权限；支持用户视图分级，不同级别的用户赋予不同的管理配置权限；支持与Radius服务器配合，实现对接入用户的验证、授权和计费；另外，OSPF、RIP2具有MD5认证功能，确保所交换路由信息的可靠性。

●         强大灵活的管理功能：

提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

●         全面的NAT应用支持：

提供多对一、地址池、ACL控制等地址转换方式，在一个接口上支持多个不同的地址转换服务，通过内部服务器可以向外提供FTP、Telnet和WWW等服务，实现公网和私网混合地址解决方案。

支持多种应用协议，如FTP、H323、RAS、HWCC、SIP、ICMP、DNS、ILS、PPTP、NBT的NATALG功能。

◆       支持丰富的VPN业务特性：

●         支持L2TPVPN、GREVPN、IPSecVPN、华为动态VPN等多种VPN业务模式；利用华为专利的动态VPN（DVPN）技术，实现穿越NAT网关、动态IP地址灵活构建VPN网络；

●         支持通过QuidViewVPNManager组件进行统一网管和统一的VPN隧道监控；支持通过华为3ComBIMS分支网点智能管理系统实现VPN配置自动下发；

◆       保证高可靠性：

●         支持机箱内部环境温度自动检测，并可通过网管自动采集告警信息；支持双机热备，支持Active/Active方式实现负载分担和业务备份；

◆       全面细粒度的QoS保证：

●         支持流分类、流量监管、流量整形及接口限速；支持拥塞管理（FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ）；支持拥塞避免（WRED）；

Quidway®SecPath100F系统说明表：

项目

属性

接口

1个配置口（CON）

1个备份口（AUX）

4LANFE＋3WANFE

插槽

1个MIM插槽,可选的接口模块有1FE/2FE/4FE/NDECII/HDC五种

FLASH

16MB

SDRAM

256MB

外型尺寸（W×D×H）

436mmx420mmx44mm

重量

4kg

电源模块

输入

交流主机：

100-240V；50/60Hz

直流主机：

-48V－-60V

输出

电压：

12V

最大功率

22W

工作环境温度

0～40℃

环境相对湿度

10～90%（不结露）

Quidway®SecPath100F产品规格表：

属性

说明

网络安全性

AAA服务

RADIUS

CHAP验证

PAP验证

结合RSAACE/Server和SecurID实现双因素认证

域认证

防火墙

包过滤

基于接口的访问控制列表

基于时间段的访问控制列表

动态包过滤

防攻击特性

Land、Smurf、Fraggle、WinNuke、PingofDeath、TearDrop、IPSpoofing、SYNFlood、ICMPFlood、UDPFlood、ARP欺骗攻击防范

ARP主动反向查询

TCP报文标志位不合法攻击防范

超大ICMP报文攻击防范

地址/端口扫描的防范

DoS/DDoS攻击防范

ICMP重定向或不可达报文控制功能

Tracert报文控制功能

带路由记录选项IP报文控制功能

静态和动态黑名单功能

MAC和IP绑定功能

透明防火墙

邮件/网页过滤

邮件过滤

SMTP邮件地址过滤、邮件标题过滤、邮件内容过滤

网页过滤

HTTPURL过滤、HTTP内容过滤

安全管理

攻击实时日志

黑名单日志

地址绑定日志

流量告警日志

会话日志

进制格式日志功能

流量统计和分析功能

全局/基于安全域连接数率监控

全局/基于安全域协议报文比例监控

安全事件统计功能

E-MAIL邮件实时告警功能

E-MAIL邮件定期信息发布功能

数据安全

支持终端访问安全

IPSec

IKE

NAT

支持局域网内用户使用地址池中的IP地址访问外部网络

支持将访问控制列表与地址池的关联

支持将访问控制列表与接口的关联

支持外部网络主机访问内部的服务器

可配置支持地址转换的有效时间

支持多种ALG

VPN

L2TPVPN

可以根据VPN用户完整用户名，用户域名和电话号码向指定LNS发起连接

可以为VPN用户分配地址

可以进行LCP重协商和二次CHAP验证

IPSec/IKE

支持AH、ESP协议

支持手工或通过IKE自动建立安全联盟

ESP支持DES、3DES两种加密算法

支持MD5及SHA-1验证算法

支持IKE主模式及野蛮模式

支持NAT穿越

GREVPN

DVPN

支持自动建立隧道技术

提供GRE、UDP两种隧道

支持登录认证及节点间的加密认证

支持依赖动态IP地址构建VPN

同一个节点可以属于不同的VPN域

支持多个VPN域

支持NAT穿越

DVPN隧道可以承载IPSec加密

通过动态建立隧道节省Server带宽

网络协议

IP服务

ARP

静态域名解析

IP地址借用

DHCP中继

DHCP服务器

DHCP客户端

IP路由

静态路由管理

动态路由协议

RIP-1/RIP-2

OSPF

路由策略

策略路由

网络可靠性

备份中心、VRRP

服务质量保证（QoS）

流量监管

TrafficPolicing

拥塞管理

FIFO、PQ、CQ、WFQ、CBWFQ、RTPQ

拥塞避免

WRED

流量整形

GTS

接口速率限制

LR、CAR

配置管理

命令行接口

通过Console口进行本地配置

通过AUX口进行远程配置

通过Telnet或SSH进行本地或远程配置

配置命令分级保护，确保未授权用户无法配置设备

提供全中文的提示和帮助信息

详尽的调试信息，帮助诊断网络故障

提供网络测试工具，如Tracert、Ping命令等，迅速诊断网络是否正常

用Telnet命令直接登录并管理其它网络设备

FTPServer/Client，可以使用FTP下载、上载配置文件和应用程序

支持TFTP上传下载文件

支持日志功能

文件系统管理

User-interface配置，提供对登录用户多种方式的认证和授权功能。

支持标准网管SNMPv3，并且兼容SNMPv2c、SNMPv1

支持NTP时间同步

Quidway®S3000系列千兆智能二层交换机

Quidway®S3000系列智能二层交换机是华为3Com公司为充分满足高QOS保证的需求而推出的智能型以太网交换机。

系统采用高性能的ASIC，采用灵活的模块化结构，提供二到七层的智能的流分类和和完善的服务质量（QoS），实现完备的业务控制和用户管理能力，可作为关注业务管理控制和网络安全保障能力的企业网和城域网的接入层交换机。

◆       全线速的二层交换：

Quidway®S3000系列智能二层交换机12.8/18.5Gbps的总线带宽为交换机所有的端口提供二层线速交换能力，硬件能够识别、处理四到七层的应用业务流，所有端口都具有单独的数据包过滤、区分不同应用流，并根据不同的流进行不同的管理和控制。

◆       完备的安全智能控制策略：

Quidway®S3000系列智能二层交换机支持802.1x认证，在用户接入网络时完成必要的身份认证，还可以通过灵活的MAC、IP、VLAN、PORT任意组合绑定，有效的防止非法用户访问网络。

支持多种ACL访问控制策略，能够对用户访问网络资源的权限进行设置，保证网络的受控访问。

◆       高可靠性：

Quidway®S3000系列智能二层交换机不仅支持STP/RSTP生成树协议，还提供了基于多VLAN的生成树MSTP，极大提高了链路的冗余备份，提高容错能力，保证网络的稳定运行。

支持可选的冗余电源系统RPS，提高容错能力和网络正常运行时间。

◆       优异的远程供电功能：

Quidway®S3026C-PWR以太网交换机支持PoE（PowerOverEthernet），即可通过以太网双绞线向远端下挂PD（PoweredDevice）设备（IPPhone、WLANAP、NetworkCamera等）提供-48V直流电源，实现对下挂PD设备远端供电。

作为供电方PSE（PowerSourcingEquipment）设备，满IEEE802.3af线路供电标准。

Quidway®S3026C-PWR可通过3/5类双绞线的数据线（1、3、2、6）同时传递数据和电流，也可通过3/5类双绞线的数据线（1、3、2、6）传递数据、空闲线（4、5、7、8）传递电流。

可通过命令行进行相关供电参数配置，也可通过模式按钮进行选择。

Quidway®S3026C-PWR最多可以向24台下挂以太网交换机进行远程供电，最长供电距离为100m。

每个以太网口向下挂设备提供的最大功率为15.4W。

Quidway®S3026C-PWR采用交流供电时向下挂设备供电的总功率最大为160W，采用RPS冗余电源则高达280W，满足24个端口同时以最大输出功率提供远程供电。

S3026C-PWR会依据计算当前对外提供的功率判断是否对检测到的下一个设备进行远程供电。

◆       丰富的QOS策略：

Quidway®S3000系列智能二层交换机支持基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、端口、协议的L2~L7复杂流分类；支持1K个流规则。

提供了三种各具特色的队列调度算法，严格优先级（Strict-PriorityQueue，简称PQ）、加权轮循（WeightedRoundRobin，简称WRR）调度算法和DelayboundedWRR调度算法；

支持带宽控制功能，确保进入交换机的特定业务流