高性能网络系统集成.doc

1、 摘 要：网络系统集成是网络工程实施的重要部分，网络系统集成主要包括：了解用户需求、网络需求分析、网络总体设计、网络设备选型与配置、综合布线方案、网络设备管理等方面。高性能网络系统集成是在网络系统集成的基础上加入一些网络方面的技术，使网络能在原有的性能基础上能够更好的实现网络的高效、安全、稳定。在集成网络系统通过对网络设备采取一些技术，如：集群技术、负载均衡、设备冗余、数据备份等，就能完善网络系统，使网络的通信实现无阻塞，不中断，通信的安全、稳定。关键字：网络设备选型与配置；IP规划；负载均衡High-performance network system integrationAbstract

2、 : The network system integration is an important part of a network projects to implement, the network system integration include : understanding customer demand. demand for network analysis, network design, network equipment selection and configuration, integrated wiring, network equipment manageme

3、nt.High-performance network system integration is the network system integration on the basis of some networks by adding technology, network in the original basis of the performance to achieve better network efficiency, security, stability. Integrated network system in the network through some techn

4、ical equipment, such as : trunking technology, load balancing, equipment redundancy, data backup, we can improve network system that allows the network to achieve non-blocking communication, without interruption, communications security, stability.Keywords : network equipment selection and configura

5、tion; IP planning; Load Balancing目 录摘 要：IAbstract :II1概 述11.1建设背景和现状11.2用户需求与网络需求11.2.1用户需求内容11.2.2与用户交流的方式21.2.3网络需求21.2.4网络安全需求31.3建设目标41.4设计标准和依据52网络总体设计52.1设计目标52.2网络总体设计原则52.2.1开放性原则52.2.2可扩展性原则62.2.3可靠性原则62.2.4可管理性原则62.2.5从实际需求出发的原则72.3网络平台设计72.3.1网络系统平台72.3.2环境平台72.3.3数据库平台82.3.4网络管理平台82.3.5安

6、全平台82.3.6服务平台82.3.7应用平台82.3.8用户平台82.4优化网络层次83网络主干设计分析93.1网络拓扑结构图：93.2核心层分布层主干技术的选择93.3VLAN方案设计103.4网络管理方案设计113.5网络安全方案设计124IP网络规划134.1网络IP地址数量规划134.2规划网络子网（VLAN）135网络设备及网络管理方案165.1网络设备选型原则165.1.1影响交换机选择的因素：165.1.2核心交换机选购原则：175.1.3核心交换机主要参数：185.1.4路由器的选择205.1.5防火墙的选择205.1.6不间断电源205.2网络设备选型分析215.3网络管理

7、系统设计265.3.1操作系统265.3.2网管软件265.3.3防毒软件265.3.4办公软件266网络结构综述266.1网络结构分析266.1.11号楼综合布线结构图：276.1.22、3号楼综合布线结构图：286.1.3五栋宿舍楼综合布线结构图：296.1.4综合布线六大系统说明：296.2网络特点分析317网络测试317.1网络布线的测试317.2布线链路性能测试318.网络方案报价329总结3610致谢3611 参考文献：37371概 述1.1 建设背景和现状整个某市电子政务外网平台是由市政府的新区与市委老区两大块构成。新区是刚刚完成及还在施工的建筑，网络的建设需要全部设计与建造。而

8、老区的网络已经建好，在这次只需要它考虑到整个大的网络之中进行设计。其目标是实现新建电子政务外网与互联网逻辑隔离，纵向与中央，省，县，乡各级党政机关相联，横向与各级部门相联。市级汇接中心要求与各县市区汇接中心相连，通过租用电信营运商的线路实现，上下之间、纵横之间的信息、文件相互传输，设置支持多层以交换和千兆交换的网络核心，采用有千兆上连能力的10M、100M自适应交换机作为访问层交换机，新区1,2,3号办公楼计算机用户和五栋宿舍楼的户主直接与本楼交换机相连访问政务外网。1.2 用户需求与网络需求1.2.1 用户需求内容1) 时效性与预测性在整个计算机网络系统中，及时性与预测性占据了很大的比例。一

9、个完备的系统，应同时具备可靠的及时性与科学和预测性，能够随时应付各种突发性事件，并对未来的业务发展和各种情况做出正确的判断。另外在保修中，必须在4小时内对用户所提出的维修要求作出反应，必须提供及时的备件更换服务，确保备件能够及时抵达用户故障设备现场。2) 实用性当今世界计算机和通信技术处于高速发展阶段，新的技术和新的产品不断的出现，但是一些新的技术和设备往往存在不成熟和不完善等问题，需要在使用过程中不断的完善，但给用户带来的问题将是：系统不稳定、不可靠，存在安全隐患，而且造成了大量不必要的资金浪费，运行和维护费用大大增加。所以本系统在充分满足系统应用需求的前提下，应采用先进的、成熟的、实用性强

10、的技术和产品，不盲目的追求设备的高档、技术的超前。以免造成不必要的资金浪费，从而使系统具有较强的实用性。3) 可靠性与有效性网络系统作为其他应用系统的基础，如发生系统瘫痪，其造成的损失是难以估量的，因此系统必须可靠地连续运行，即系统设计必须从系统结构、设计方案、设备选择、厂商的技术服务与维修响应能力、设备备件供应能力等方面考虑，使故障发生的可能性尽可能少，影响面尽可能小。它应该能实现内部办公事务和外部事务处理的整合，通过建立政务办公信息流和事务信息流的平滑对接，提高信息流的效率。同时，能够实现多种沟通模式的整合，通过通讯平台的多样化优势，提高网站用户信息信息网站系统的覆盖能力。用户信息网站应采

11、用大型关系数据库，模块化等先进成熟的技术方法，在给用户提供了极大的灵活性的同时，也有效地保证了系统的可靠性。4) 可扩展性政府信息化建设是一个分阶段的长期过程，而且由于计算机和通信技术的不断发展，用户的需求也在随着时间的推移不断的发生变化，以及由于应用软件种类和业务数量的增加，功能的强化，系统软件的升级将对主机和网络系统提出更高的要求，某市外部信息网的构造应具有高度的扩展性，以降低系统扩充的投入成本，并满足信息技术高速发展的需要。能适应2-3年内的业务增长和突发性事件的需要，确保各级系统的可扩充性和先进性，并注意设备的冗余设计以及网络的负载均衡。5) 安全性信息安全是政府信息网实施的第一要素，

12、网站系统不但要能够实现功能，更重要的是要稳定安全，否则，会影响政府形象。因此，应采取如下技术以增强网络的安全性：u 设备的安全性u 应用级的安全性u 网络级的安全性u 数据级的安全性1.2.2 与用户交流的方式1) 可通过电话，电子邮件等与用户交流，以能更好的了解用户的需求；2) 应向用户提供中文说明书。1.2.3 网络需求用户需求决定了该网络系统的特殊性，按照用户的要求，网络系统须实现以下功能：1) 政务外网是政府的业务专网，与互联网之间逻辑间隔，主要运行政务部门面向社会的专业性服务业务和不需要在政务内网上运行的业务。建设电子政务外网平台的目的是促进各个业务系统的互联互通，资源共享。2) 物

13、理连接：市级汇接中心与各县（市区）汇接中心相连，实现上下之间，纵横之间的信息，文件的相互传输，设置支持多层交换和千兆交换的网络核心；采用具有千兆上连能力的10/100M自适应交换机作为访问层交换机；新区1，2，3号办公大楼计算机用户和职工用户直接与本楼交换机相连访问政务外网。3) 网络应用平台：应用系统采用符合“建立统一的信息网络应用平台”进行设计和开发。应用系统的建设可根据各应用系统的特点，选用C/S或B/S模式，也可以采用两种模式相结合的方式。4) 资源共享：某市各级行政部门与市政府和市委之间通过FTP等的资源共享。1.2.4 网络安全需求1、来自公网的安全问题 由于应用的需要，外网与In

14、ternet连接，用户可从Internet直接访问到内部相应的服务器，如Web和mail服务器。由于Internet是一个开放的系统，提供各类信息，但也包含了许多无用甚至有害的信息。近年来网络黑客通过Internet入侵专用网络的事情时有发生，因为所有向外访问Internet、外部访问WEB和mail服务器是通过TCP/IP协议来进行的，在发送信息时常包含源地址、目标地址和端口号等信息，所以TCP协议、IP协议和UDP协议成为黑客攻击的目标。利用这些协议自身存在的隐患进行攻击的手段很多，主要包括IP地址欺骗（IP Spoofing）、IP碎片袭击、TCP序号攻击和UDP欺骗等。 2、来自内部网

15、络的安全威胁 网络规模较大，且网络结构分为多个层次，网络建成后网络上的节点众多，网络应用复杂，网络管理困难。造成网络安全问题的原因，主要包括为：（1）网络连接复杂 （2）无法对网络访问实施有效监控 （3）网络结构变化无法控制 （4）无法了解网络的漏洞和可能发生的攻击 网络建成后，应该制定完善的网络安全和网络管理策略，但是实际情况是，再有经验的网络管理者也不可能完全依靠自身的能力建立十分完善的安全系统。具体原因为： 黑客工具可以轻易得到，依靠网络管理人员的个人力量无法与巨大的黑客群体进行抗衡； 传统方式的安全策略采取被动挨打的方式，等待入侵者的攻击，而缺乏主动防范的功能； 由于网络配置不当导致的

16、安全隐患； 来自内部网的病毒破坏； 内部网络各网段上运行不同应用，而这些应用又要共享某些数据，这些放有共享数据的主机没有有效的保护措施，容易受到攻击； 因此，我们需要一种强有力的工具来帮助网络管理者对网络风险进行客观的评估，及时发现网络中的安全隐患，并提出切实可行的防范措施。u 网络隔离u 充分利用交换机的交换路由功能，根据业务管理需要划分VLAN；u 防火墙技术u 虚拟专用网络（VPN）技术u 病毒防治技术1.3 建设目标某市电子政务外网是某市政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需要在政务内网上运行的业务，建设电子政务外网平台的目的是促进各个业务系统的互联互通、资源共

17、享。电子政务与Internet互联网逻辑隔离，纵向与中央、省、县、乡各级党政机关相联，横向与各级部门相联，整个项目必须按照国家信息化领导小组关于电子政务建设指导意见的要求进行建设。在本次项目建设中，整个计算机网络系统的核心层中心机房设在市政府行政新区（地处某市）的1号办公大楼内，新建市政府行政新区由1号办公楼、2号办公楼、3号办公楼，还有五栋职工宿舍楼组成，三栋新建办公大楼（1、2、3号楼）之间形成“品”字形，其中市政府1号办公楼与2、3号办公楼之间分别隔一条直线距离约为50米的街，五栋宿舍楼距一号楼最近的约150米，而最远的约为450米的距离，市委与新区办公楼距离约10公里。市政府与市委之间

18、通过单膜光缆联接。市委为分中心，辐射以市委为中心的老区各单位，其余不在光缆布线覆盖范围内的部门通过租用电信营运商的线路接入（即：PSTN、ISDN、ADSL、DDN、PCM、SDH、FrameRelay、ATM、Ethernet、Fast Ethernet、千兆以太网、Wireless Ethernet等）。整个计算机计算机网络系统的设计必须要适应某市23年内电子政务业务增长和突发性事件的需要，并能确保整个计算机网络系统的合理性、可扩展性、可靠性、先进性，并注意设备的冗余设计以及网络的负载均衡。1.4 设计标准和依据 工业标准：ISO国际标准组织，IEEE电子电气工业协会，Ethernet:I

19、EEE802.3 标准，国际电工委员会（IEC），美国通信工程协会（TIA），美国电子工程协会（EIA），欧洲电工标准化委员会（CENELEC）与欧洲标准化委员会（CEN）。 u TIA/EIA-568A商业大楼电信布线标准。u EIA/TIA-569电信通道和空间的商业大楼标准（CSA T530）。u EIA/TIA-570住宅和N型商业电信布线标准CSA T525。u TIA/EIA-606商业大楼电信基础设施的管理标准（CSA T528）。u TIA/EIA-607商业大楼接地/连接要求（CSA T527）。u ANSI/IEEE 802.5-1989令牌环网访问方法和物理层规范。u I

20、SO/IEC IS 11801 国际大楼布线标准。u GB/T 50211-2000建筑及建筑群综合布线系统工程设计规范 u GB/T 50212-2000建筑及建筑群综合布线系统工程验收规范u CECS72：97建筑及建筑群综合布线系统工程施工及验收规范2网络总体设计2.1 设计目标 网络的建设关系到将来用户网络信息化水平和所开展业务的成败，因此在设计前掌握如何确立网络总体目标的方法，对主要设计原则进行选择和平衡，并排定其在方案设计中的优先级，对网络的设计和工程实施将具有指导性的意义。网络建设和总体目标应明确采用哪些网络技术和网络标准，构筑一个满足哪些应用的多大规模的网络。如果网络工程分期实

21、施，应明确分期工程的目标、建设内容、所需工程费用、时间和进度计划等。不同的网络用户其网络设计目标大相径庭，除应用外，主要限制因素是投资规模。任何设计都会有权衡和折衷，计算机网络设备性能越好，技术越先进，成本就越高。2.2 网络总体设计原则2.2.1 开放性原则网络系统应采用开放的标准和技术，如TCP/IP协议、IEEE802 系列标准等，其目的是：有利于未来网络系统扩充；有利于在需要时与外部网络互通等。2.2.2 可扩展性原则可扩展性是指网络设计必须支持增长的幅度。对于许多网络项目来说，可扩展性是最基本的目标。大项目经常以很快的速度增添用户应用、新站点以及与外部网络的连接，所以抽用户提交的网络

22、设计应该能够适应网络使用范围的增长。可扩展性包括：u 扩展规划；u 可扩展性约束。在分析客户的可扩展性目标时，一定要记住网络技术固有的、阻碍可伸缩性问题的存在。如若选择不当，对能够达到客户可扩展性目标的技术选择会变成一个带有许多枝节的复杂过程。由于网络设计是一个循环反复的过程，网络的可扩展性目标及解决方案将会在网络设计过程中的不同阶段多次涉及。2.2.3 可靠性原则 在企业网、政府行政办公网、国防军工部门内部网、电子商务网站以及VPN等网络方案设计中应重点体现安全性原则，确保网络系统和数据的安全允许。在社区网、城域网和校园网中，安全性的考虑相对较弱。还有应确保很高的无故障时间和尽可能低的平均故

23、障率。在政府行政网络方案设计中，高可用性和系统可靠性也应优先考虑。 2.2.4 可管理性原则 每个用户都有其不同的网络可管理性目标，有些用户有明确的目标，比如计划使用简单网络管理协议（SNMP）记录每个路由器接收和发送的字节数量，有些用户没有如此明确的目标。可以用国际标准化组织（ISO）术语定义网络管理功能，以帮助那些没有明确目标的用户，包括：u 性能管理：分析通信和应用的行为，以优化网络，满足服务级别协定和确定扩展规划。u 故障管理：检测、隔离和纠正问题，向最终用户和管理员报告问题，跟踪与问题相关的事件。u 配置管理：控制、操作、辨别和收集来自被管理设备的数据。u 安全管理：监控和测试安全性

24、和保护策略，维护度分发口令和其它认证和授权信息，管理加密密钥，审计与安全性策略相关的事项。u 付费管理：按分摊的成本计算网络用户使用网络的费用，规划容量需求的变化。2.2.5 从实际需求出发的原则 服务器设备和网络设备在技术性能逐步提升的同时，其价格却在逐年下降，不可能也没有必要实现所谓“一步到位”。所以，网络方案设计中应把握“够用”和“实用”原则，网络系统应采用成熟可靠的技术和设备，达到实用、经济和有效的结果。2.3 网络平台设计 网络总体方案是网络工程建设的框架结构，网络总体方案的好坏直接影响到网络工程的质量和性能价格比。一个网络系统一般是由多个平台组成。包括网络平台、服务平台、用户平台、

25、开发平台、数据库平台、应用平台、网管平台、安全平台、和环境平台等组成。可大体按类划分为：网络平台，系统平台，应用平台。2.3.1 网络系统平台1) 传输技术：同步数字体系（SDH）、准同步数字体系（PDH）、数字微波传输系统、数字卫星通信（VSAT）、有线电视网（CATV）。2) 交换技术：异步传输模式（ATM）、光纤分布式数据接口（FDDI）、以太网（Ethernet）、快速以太网（Fast Ethernet）、千兆位以太网。3) 接入技术：调制解调器（Modem）、电缆调制解调器（Cable Modem）、高速数字用户环路（HDSL）、非对称数字用户环路（ADSL）、综合数字业务网（ISD

26、N）、TDMA和CDMA无线接入。4) 布线系统：传输介质（光缆、双绞线、同轴电缆、无线）、综合布线设备（信息插座、端口设备、跳线设备、适配器、信号传输设备、电气保护设备、支持工具）、架设设备（桥架、金属槽、塑料槽、金属管、塑料管）。5) 网络互联技术：路由器、网桥、中继器、集中器、网关、交换机、防火墙等。6) 网络操作系统：LINUX、Novell NetAWare、Microsoft Windows 2000、IBM LAN Server。7) 服务器：WEB服务器、数据库服务器、Mail服务器、域名服务器、文件服务器、DHCP服务器。8) 网络测试设备：电缆测试、局域网测试仪、光缆测试仪

27、等。2.3.2 环境平台1) 机房：机房装修应符合国家标准GB288789计算站场地技术条件中的主要技术指标。空调机建议采用上送风恒温恒湿型。2) 电源：网络电源设备是确保网络运行最重要的设施之一，通常采用智能型不间断电源UPS，应包括网络监控软件和控制插件。3) 其它辅助设备：网络打印机、扫描仪等。2.3.3 数据库平台1) 小型数据库：广泛使用的小型数据库有Access、Visual FoxPro。2) 大型数据库：广泛使用的大型数据库有Oracle、SQL server、Sybase、DB2。2.3.4 网络管理平台1) 管理者的网络平台：HP Open View 、IBM Tivoli

28、 TME10、CA Uni-center TNG、Sun SunNet Manager、Cabletron Spectrum。2) 代理的网络管理工具：Cisco Works、3Com Transcend、Nortel Networks Optivity。2.3.5 安全平台广泛使用的网络安全技术：防火墙、分组过滤、代理服务器、加密与认证技术。2.3.6 服务平台1) 信息点播服务：视频点播（VOD）、音频点播（AOD）、多媒体信息点播（MOD）。2) 信息广播服务：视频广播、音频广播、数据广播。3) Internet服务：万维网（WWW）、电子邮件（E-Mail）、新闻服务（News）、文件

29、传输（FTP）、远程登录（Telnet）、信息查询（Archie、Gopher、WAIS）。4) 远程计算与事务处理服务：软件共享、远程CAD、远程数据处理、联机服务。5) 其他服务：会议电视、可视电话、IP电话、监测控制、多媒体综合信息服务。2.3.7 应用平台 应用平台主要包括网络上开展的各种应用，如：远程医疗、电子数据交换（EDI）、管理信息系统（MIS）、计算机集成制造系统（CIMS）、电子商务、办公自动化、多媒体监控系统。2.3.8 用户平台1) PC+浏览器：用户使用个人计算机，需安装WEB浏览器软件。2) 办公软件：用户常用的办公软件有字处理、数据库、表格等，如Microsoft

30、的Office 2003。2.4 优化网络层次1) 怎样从物理信道上来优化并保证高性能，例如高带宽，高可靠，高利用率等等。目前密集波分复用DWDM光通信，宽带无线接入3G，4G，XDSL技术,CABLE MODEM技术等。2) 怎样从网络体系结构上来优化并保证高性能，例如高集成，高可靠，高灵活，高可扩展。目前基于GMPLS的统一平台的网络体系结构，SOFTSWITCH体系，以TINA为代表的智能网和移动智能网等。3) 怎样从协议机制上来优化并保证高性能，例如协议轻型化，可定制，高灵活，高可扩展。目前主动网，智能AGENT，网络中间件技术都是研究的热点，包括IPV6等等。4) 大大提高网络中间节

31、点的性能，包括路由器，交换机，以及各种新型的中间设备如光交叉连接OXC和光分/插复用OADM等，使其提供近乎线速的处理能力。目前各种新型的交换机制如空分交换，并行处理，以及相应的队列管理是研究的热点。在光设备上，无源光交换，硅控光交换，光存储等技术也是热点。 3网络主干设计分析3.1 网络拓扑结构图： 图（一）网络拓扑结构图3.2 核心层分布层主干技术的选择千兆位以太网保留了传统以太网的特点，同时又极大地拓展了带宽，保持了良好的兼容性，使得原有的(如市委老区的网络)10/100Mbps以太网应用程序能平滑地过渡到千兆位以太网上。而且千兆位以太网将从带宽和流量控制两个方面来满足应用的需要。选用千

32、兆位以太网，不但满足了今天网上视频、语音、数据等信息的传输的需求，还能兼顾原有网络的投资，同时不失在一段时间内保持网络技术的先进性。所以，我们选择了用千兆位光纤以太网技术作为某市政府电子政务网络主干架。本次建设的外网网络是星型结构的千兆快速以太网，网络主干部分采用光纤。 （1）以政府新区1号楼为中心，汇聚所有的网络设备和应用系统。市委通过单模光纤与政府新区1号楼相连，市委老区各单位以市委为中心辐射老区各单位。 （2）新区1号楼在3层和10层分别设一个配线间，3层和10层通过多模光纤与7层网络中心相连。 （3）新区2、3号楼到网络中心采用多模光纤，分别在3层和7层设立一个设备间，15层会聚于3层

33、设备间，69层会聚于7层的设备间。2号楼，3号楼通过多模光纤与1号楼7楼中心机房相连。（4）新区的宿舍楼到网络中心也同样采用多模光纤，宿舍楼因用户比较多，所以在1、3、5层设立设备间，然后再与网络中心连接使用多模光纤。3.3 VLAN方案设计 表（1） VLAN的划分 单位名称VLANname VLANIDIP地址范围主机数默认网关子网掩码网管中心Guanli1192.168.1.1192.168.1.254X192.168.1.1255.255.255.0市政办公室Shizheng2192.168.2.1192.168.2.101100192.168.2.1255.255.255.154信息

34、产办Xinxichanye3192.168.2.102192.168.2.254150192.168.2.254255.255.255.104卫生局Weishengju4192.168.3.1192.168.3.101100192.168.3.1255.255.255.154统计局Tongjiju5192.168.2.102192.168.2.254150192.168.3.254255.255.255.104外事办Waishiban6192.168.4.1192.168.4.101100192.168.4.1255.255.255.154司法局Sifaju7192.168.4.102192.

35、168.4.254150192.168.4.254255.255.255.104计委Jiwei8192.168.5.1192.168.5.101100192.168.5.1255.255.255.154农工办Nonggongban9192.168.5.102192.168.5.254150192.168.5.254255.255.255.104国土局Guotuju10192.168.6.1192.168.6.111110192.168.6.1255.255.255.143科技局Kejiju11192.168.7.1192.168.7.254250192.168.7.1255.255.255.0

36、宿舍1楼Sushe112192.168.8.1192.168.10.254600192.168.8.1255.255.252.0宿舍2楼Sushe213192.168.11.1192.168.13.254600192.168.11.1255.255.252.0宿舍3楼Sushe314192.168.14.1192.168.16.254600192.168.14.1255.255.252.0宿舍4楼Sushe415192.168.17.1192.168.19.254600192.168.17.1255.255.252.0宿舍5楼Sushe516192.168.20.1192.168.22.254

37、600192.168.20.1255.255.252.03.4 网络管理方案设计网络管理就是监控、组织和控制网络通信服务以及信息处理所必需的各种活动的总称。其目标是确保计算机网络的持续正常运行，并在计算机网络运行出现异常时能及时响应和排除故障。因此我们建议网络管理包含以下几个方面的内容：1) 配置管理。在网络设备（交换机，路由器等），服务器上开启SNMP服务，并配置好相关参数。2) 故障管理。查找并解决因硬件和软件问题而引起的网络故障。3) 性能管理。采用ExtremeWare Enterprice Manager，网管软件，它使得交换机配置、排除故障、状态监控和基于策略的管理更加容易，它提供

38、一整套全面的网络管理工具，可以通过支持JAVA的浏览器就能很容易的运用这些工具4) 安全管理。* 数据私有性管理：设备配置表，口令，数据库等。* 授权管理：设备和文件系统的管理权限。* 访问控制：对系统资源访问的控制。* 加密管理：对传输数据进行加密。* 安全日志管理：对网络设备和服务器每天产生的日志进行分析，找出异常的记录，进而对安全漏洞进行修补，防范，清除。3.5 网络安全方案设计某市电子政务外网具有规模大，结构复杂，对性能的要求高等特点。尤其是作为政府部门的特殊性，整个网络的安全性与稳定性成为网络至关重要的问题。应把把网络系统的稳定性及安全性作为第一要素。 因此我们采取了以下措施：1)

39、进行网络隔离（划分内网与外网）：所有向Internet提供的信息发布服务放在外部网上、所有政务内网应用放在内部网上，内部网与外部网之间设置防火墙以保证内部网的安全。2) 按部门划分VLAN.通过VLAN技术控制内网各部门之间的访问，杜绝非授权的访问。3) 虚拟专用网络（VPN）技术。通过VPN技术，保证了外部访问内网时的安全性. 4) 病毒防治技术。采用了 Microsoft ISA Server 2000 版，防止病毒的侵袭。5) 防火墙技术。采用东软 Neteye FW4200-FE2-GE2防火墙 ， 防止外部黑客入侵，支持PPP认证及审计，告警，抗攻击和自我保护能力，有NAT包过滤功能

40、。6) 专线拨入方式：与中央，省以及地方的通信，租用电信DDN线路进行拨号接入。 7) 其他安全措施：包括确保数据的完整性、计算机容错和加强审计等。 8) 备份策略：备份系统的目的是尽可能快地全盘恢复运行计算机系统所需要的数据和系统信息。备份不仅在网络系统硬件故障或人为事物时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性起到保护作用。在中心交换机上实现HSRP（双机热备份技术），数据中心采用RAID技术，实现数据备份。 4IP网络规划4.1 网络IP地址数量规划 三栋工作楼，分别标为1#，2#，3#楼，1#楼为中心楼，成品字型，三栋楼分别相隔50米，还有五栋宿舍楼供职员住宿，平

41、均每栋200用户。楼高分别为：1#12层，2#9层，3#9层，宿舍楼分别为6层，距中心楼最近的150多米，最远的那栋450米。信息点的分布情况为：1#600个，平均每层50个，2#、3#各360个，平均每层40个，宿舍里每个用户3个信息点。总共约为4200多个信息点。还有以前老市委的办工楼总信息点约为500个信息点。总共大约估计5000个信息点。4.2 规划网络子网（VLAN）核心交换机A：VLAN 1： 192.168.1.1 255.255.255.0VLAN IP分配:Vlan 2： 192.168.2.1 255.255.255.154Vlan 3： 192.168.2.254 255

42、.255.255.104Vlan 4： 192.168.3.1 255.255.255.154Vlan 5： 192.168.3.254 255.255.255.104Vlan 6： 192.168.4.1 255.255.255.154Vlan 7： 192.168.4.254 255.255.255.104Vlan 8： 192.168.5.1 255.255.255.154Vlan 9： 192.168.5.254 255.255.255.104Vlan 10：192.168.6.1 255.255.255.143Vlan 11：192.168.7.1 255.255.255.0Vlan

43、 12：192.168.8.1 255.255.252.0Vlan 13：192.168.11.1 255.255.252.0Vlan 14：192.168.14.1 255.255.252.0Vlan 15：192.168.17.1 255.255.252.0Vlan 16：192.168.20.1 255.255.252.0核心交换机B：VLAN 1： 192.168.1.2 255.255.255.0VLAN IP分配:Vlan 2： 192.168.2.2 255.255.255.154Vlan 3： 192.168.2.253 255.255.255.104Vlan 4： 192.1

44、68.3.2 255.255.255.154Vlan 5： 192.168.3.253 255.255.255.104Vlan 6： 192.168.4.2 255.255.255.154Vlan 7： 192.168.4.253 255.255.255.104Vlan 8： 192.168.5.2 255.255.255.154Vlan 9： 192.168.5.253 255.255.255.104Vlan 10：192.168.6.2 255.255.255.143Vlan 11：192.168.7.2 255.255.255.0Vlan 12：192.168.8.2 255.255.2

45、52.0Vlan 13：192.168.11.2 255.255.252.0Vlan 14：192.168.14.2 255.255.252.0Vlan 15：192.168.17.2 255.255.252.0Vlan 16：192.168.20.2 255.255.252.0汇聚层交换机的IP地址分配：1号楼3层汇聚交换机Vlan 1 192.168.1.4 255.255.255.02号楼3层汇聚交换机Vlan 1 192.168.1.7 255.255.255.03号楼3层汇聚交换机Vlan 1 192.168.1.9 255.255.255.01号宿舍楼1层汇聚交换机Vlan 1 192.168.1.11 255.255.255.02号宿舍楼1层汇聚交换机Vlan 1 192.168.1.12 255.255.255.03号宿舍楼1层汇聚交换机Vlan 1 192.168.1.13 255.255.255.04号宿舍楼1层汇聚交换机Vlan 1 192.168.1.14 255.255.255.05号宿舍