XXXX市行政中心电子政务网络系统解决方案华为3Com技术有限公司2005年1 月目录第一章用户需求分析 (1)1.1项目概述 (1)1.2需求分析 (1)第二章组网方案 (3)2.1政务网网络结构 (3)2.2内外网的逻辑隔离 (5)2.3政务网安全 (5)第三章网络平台安全设计 (10)3.1网络互联互通分析及安全控制 (10)3.1.1 二层互通分析及控制 (10)3.1.2 三层互通分析及控制 (10)3.2设备自身的安全防护技术 (11)3.2.1 口令管理 (11)3.2.2 控制对设备的访问 (11)第四章网络规划建议 (14)4.1IP地址规划 (14)4.2VLAN设计 (15)4.3路由策略 (16)4.4Q O S设计 (19)4.4.1 主要的QOS服务模型 (19)4.4.2 QOS策略 (20)第五章网络管理 (24)5.1网络管理需求 (24)5.2网络管理平台设计 (24)5.2.1 网络集中监视 (24)5.2.2 故障管理 (25)5.2.3 流量性能监控 (25)5.2.4 故障定位与地址反查 (26)5.2.5 Web特性 (26)附录：组网设备介绍 (28)Q UIDWAY®S8500系列万兆核心路由交换机 (28)Q UIDWAY®S5516千兆智能三层交换机 (34)Q UIDWAY®S3000系列智能二层交换机 (36)Q UIDVIEW®网络管理系统 (44)第一章用户需求分析1.1 项目概述XXXX市电子政务网络作为XXXX市机关的工作中心，需要建立一个技术先进、扩展性强、能覆盖所有功能区域的计算机网络系统。

本次工程旨在建成连接XXXX市行政中心各种PC机及服务器系统的高速宽带政务网络系统，提供数据的统一网络平台，全面满足政府办公需要；统一标准建立政府公文电子信息资源库，实现公文等信息的充分共享和广泛使用；建立公共信息平台，在网上提供方便、快捷、透明的“一站式”电子政务服务。

参照国家电子政务的有关规定以及XXXX市电子政务网络的实际情况，XXXX市电子政务网络的网络系统将分为政务内网和政务外网，内网是业务应用系统运行的网络平台和办公业务系统，外网与因特网互联，为社会公众提供电子化、网络化服务。

XXXX市电子政务网络的的内、外网分别与XXXX市电子政务内网和公众互联网互联，采用一张物理网络，内外网逻辑隔离。

1.2 需求分析XXXX市电子政务网络是为XXXX市政府、人大和政协的办公自动化，上、下级机关，国内外信息互联等建立的信息传输通道。

网络宜采用先进的千兆以太网组网方式，并具有进一步扩展到万兆的能力。

具备与外部广域网的多种连接方式，可与外部实现方便、快捷的连接，实现Internet接入等互联方式，为办公自动化、国内外信息互联、信息服务等，提供资源共享、信息共享。

本次方案主要是满足XXXX市电子政务网络用户的内网、外网业务的需求。

整个行政中心分为主楼和东西两栋辅楼，主楼为一栋地上15层，地下1层的办公大楼，辅楼为6层的办公楼。

网络信息中心位于行政中心主楼3层西南侧，主楼2－15层每层设计2个分设备间，分别位于每层的西北角和东北角，两侧人大和政协办公楼各设一个分设备间作为二级分中心，其余的周边单体建筑若需建设综合布线系统时，均各设一个分设备间作为二级分中心，管理本楼的信息点。

根据楼层的信息点分布情况配置配线间数量，每个配线间根据端口需求配置一定数量的交换机。

本着“可扩展万兆，部署千兆骨干、百兆到桌面”的建网思路，工程将建设一个高可靠、高性能、可扩展的信息网。

第二章组网方案根据政务网络设计思想及其应用需求，鉴于各部门的信息安全等特殊要求性，在总体的设计上采用网络与业务分层建设，逐层保护的指导原则，利用宽带IP技术，保证网络的互联互通，提供具有一定的QOS保障，建成的网络以IP 为主流技术。

2.1 政务网网络结构本次组网主要设计是行政中心大楼各部门信息网的建设，不包含局域网出口及出口安全等，局域网内将实现千兆到骨干，百兆到桌面。

由于整个楼群包含主楼和东西辅楼共三栋楼宇，且主楼和东西辅楼基本按职能划分为政府，人大和政协。

因此，建议在主楼配置核心路由交换机，采用华为3Com公司核心路由交换机Quidway S8505一台，在辅楼的楼宇分中心配置华为3Com公司汇聚路由交换机Quidway S5516各一台，所有楼宇的接入交换机采用华为3Com公司S3000系列智能接入交换机，S3000系列下联的用户按照各自所属的部门和内外网信息点划分到不同的VLAN（虚拟局域网络），通过汇聚路由交换机和核心交换机共同控制VLAN间的访问，实现内外网的逻辑隔离。

具体的组网如下：图网络拓扑图全网核心为三台高性能路由交换机，主楼由于信息点数较多，配置S8505核心路由交换机作为全网的核心，在辅楼配置S5516作为辅楼的分中心，实现人大和政协的相对独立规划。

核心和分中心交换机间通过双千兆互连，即可增加核心交换机间带宽，又可提高端口链路的可靠性，保证在一条端口链路失效的情况下核心间仍可转发数据。

接入层采用华为3Com公司的智能型二层交换机S3000系列，根据接入点的具体信息点数堆叠，每个S3026C提供24个10/100M自适应的以太网口，2个可扩展插槽，支持100M/1000M单模、多模光口，S3050C提供48个10/100M自适应的以太网口，2个可扩展插槽，支持100M/1000M单模、多模光口，根据具体情况选配模块，具有较大的组网灵活性。

所有各层配线间的S3026C通过千兆以太网光口上联至各自的核心路由交换机的千兆以太网光口上,实现业务的汇聚和集中处理。

同时在内网核心节点可考虑另配置政务OA/DHCP服务器一台，以完成内部办公网络的IP地址的分配和电子政务系统的承载。

另根据实际应用需求可以增配文件服务器等配套服务器。

2.2 内外网的逻辑隔离在XXXX市行政中心电子政务网路中，采用的是一张电子政务网络，通过逻辑隔离的方式实现内外网的隔离和访问控制。

目前，在以太局域网逻辑隔离的方式指的是VLAN＋ACL的方式，下面就这种方式加以说明。

VLAN（Virtual Local Area Network，虚拟局域网）是将一组位于不同物理网段上的用户在逻辑上划分成一个局域网内，在功能和操作上与传统LAN基本相同，可以提供一定范围内终端系统的互联。

VLAN可将广播帧限制在一个VLAN 中，即VLAN之间二层隔离，必须通过IP层（三层）才能互通。

所以通过VLAN 可以提供一定的业务隔离能力，而这种隔离的设置在于ACL（Access Control List，访问控制列表）。

前面提到，在网络中划分VLAN后需要三层设备才能实现VLAN间相互通讯，且这种通讯能力是网络中配置三层设备后默认具有的能力。

为了实现不同网段间的隔离，需要使用访问控制列表控制那些网段可以相互访问，那些不可以。

访问控制列表可以包括：基本访问表和扩展访问表。

基本访问表控制基于网络地址的信息流，且只允许过滤源地址。

扩展访问表通过网络地址和上层应用数据。

在XXXX电子政务网络中，可以对局域网交换机的端口细分，确定那些端口接入的PC是内网的用户，那些端口的用户是外网的用户，从而将不同的端口划分入不同的网段，这种划分的方式还可以延伸加入接入PC属于哪个部门。

确定不同的网段后，在三层设备上通过ACL实现基于源地址的控制，从而保证不同网段间接入的PC是否可以互通和访问，进而做到逻辑隔离。

采用VLAN＋ACL方式实现简单，对设备的要求也较低，并且具有成熟的国际标准。

2.3 政务网安全随着以太网应用的日益普及，以太网的安全为日益迫切的需求。

以太网交换机作为政府部门网络内部的网络之间通信的关键设备，有必要在政务网内部提供充分的安全保护功能。

●用户身份验证传统的以太网是一个开放的网络，所有的用户只要接入到交换机上的物理端口就可以访问网络的资源，没有一个逻辑上的身份校验的过程，这种不经身份验证的网络存在一定的风险。

用户接入控制的目的是保证接入政务网的用户是合法的或通过某个以太网交换机端口接入内网局域网的用户是预先配置的。

华为3Com可提供完善的接入认证解决方案，可提供的用户验证包括PPPoE验证、WEB 验证、802.1X端口验证等等。

针对XXXX市行政中心的电子政务，我们推荐采用802.1X的用户身份验证方式。

802.1X用户身份验证方式下，需要在每台电脑上安装一个客户端软件，用于输入用户名和密码。

当用户需要使用网络时，必须先输入用户名和密码，只有经过系统校验合法的用户才能接入网络。

用户输入一次用户名和密码信息，校验合格后则可任意访问网络。

在XXXX行政中心电子政务网络中，可以根据实际情况，考虑到主要领导的多为独立办公，外人不便于接入网络，因此可以考虑对主要领导的接入信息点不做认证要求，即领导的办公室不用输入用户名和密码等信息即可访问网络，领导办公的接入安全可采用绑定MAC地址的方式实现。

而普通公务员的信息点则开通802.1X功能，要求输入合法的信息后才可访问网络。

作为802.1X接入认证，需要配置一台认证服务器，用于完成用户的信息管理和用户自助管理。

●访问控制在局域网内的访问控制的原则是只允许授权的用户访问某个主机，通过网络设备来提供这种保障。

访问控制包括对交换机的访问控制、基于IP 地址的访问控制、基于MAC 地址的访问控制、基于端口的访问的控制、基于VLAN的访问控制。

XXXX市电子政务网的数据库、服务器等资源是受限访问的。

一般一个部门内的用户的权限是相同的，可以将这些用户划分在一个VLAN内，只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。

这样可以看出基于VLAN 的报文过滤是最简单实用的某个用户群的访问控制策略。

可以设定Quidway S 系列以太网交换机端口禁止或允许转发来自或去往某个VLAN的报文。

Quidway S系列以太网交换机支持标准及扩展的ACL。

可以通过标准的ACL 只设定一个简单的地址范围，也可以使用扩展的ACL 设定具体到协议、源地址范围、目的地址范围、源端口范围以及优先级与服务类型等。

这样可以实现复杂的访问控制策略。

如果有些主机和内部应用服务器在晚上是要关闭的，不接受访问，我们可以在核心交换机上设置在特定的时间段起作用的访问控制列表ACL，比如可以设置每周一的8:00 至21:00 此ACL 起作用，还可以具体到某年某月某日至某年某月某日此ACL 作用。

对于一些和以太网交换机相连接的特殊设备，只允许接受和发送到某个以太网交换机端口的报文，以保证该设备的安全。

Quidway S 系列以太网交换机支持基于端口进行过滤，可以设定禁止或允许转发来自或去往某个端口的报文。