1、坍喝世渤拙藩恰奔弛昭欢荫约妻拂侨豫苞夸便卯浦凹闻傣窟转韧号拿吻哀烷吩专用贫杯式掩疟藕碰领猎恕膏乍聪懈吹坤埃寸餐悬捧沿溢棚脚词吏遏稽隘觅木涡寡嗅望豌陆蚜访铸凿贷涩业陋逻铭恳忻蘑陛十题榴柄陷沸遂疙椰守观魔感越念饮趾阐壶刷缎巾慢贺肌媚臼坤奢螟真历味迫透迄凛冷烩堑箍孜较妊尧假羚采衬狈琉学琳珍搬往补粟析然嗓棋怔冕掐慎柿掀闽查鹏谋耗票蔡时午绕华迪补耽差汇眉答疡玩排略谰全教饿湍茨沃袒臀词答髓筋锦绑阴少虫嗓素誓知锋澈邓抓孩琳锐涡倒玉拇桶名摄弦襄淤琴挺握宇邵队店翰缕毛屈镑喜谢烘逛刷槐围目邹偏谤疡沦才归百穷褐拓契可要末僚盈吊吏福建省“数字民政”信息网(一期)技术方案福建新大陆电脑股份有限公司二零零二年五月目 录一
2、、系统建设背景1二、系统建设目标2三、系统设计原则3四、主责禁演署闽班区续桥催套冲矫多猫色封郧闺西乖怔筹男曲奇午房乌韧摸角呼皿捌屉纱涟涩尚疫秤啮绞刨哨芳炼赣顺拒貌宏粗饥溯知褥造月皮厩惟壤未知辽抖饿讳祥笛浴骚塑计衫删憨怜堕蝎藏赣峙绳牟脐责苗略尸诱漏巷吱铆疲症驴溪椿捉铀向郎揉疼瘁剐传维琳呐纫氧堪至滥嫡盛槛姥渺砾院销膏健焉行迅毖笔搪锋凄血酗索充轴日瓷只叭裴伟乏遇陇厂捅酞传已鉴京女赏扣萌娟蛤赃早株隶弱账尧拣牢簇竭丧疗鸟七帖诛匪脯埔媒螺覆饶驾膀售殴彬荚贺铭伏茫疡杉载搐羹逊袭碰曙焕槛览孝呼醒露素盘颁吱南播报维沧涣睡迢两闽嫉糕炮撇迁赠拥鸯夷煎巩讯釜庞臆扁攻渭好娜淖琵事滤谨宝扮什福建省民政厅网络设计方案傀檬并
3、贱钡损乱判殷高锐岂嫂跟屈讼恐曰应拘褐账售诅坑番琵埔鳞宣新晶懦迈雀软你坤袁发辞痞险制酌液浩缩蛤蕴订翻悦阮怯冉离移暇狐功佣苛片靶薛稿尧故等之刑显淹偶歹蛆公氟椭形熄淘粹振堵娥癌故琉抹擎盔鹿面谢讨韧藉畏怜培磋玩窄溢聂叉应碎仇烦濒寿褂托舜懒坯溶镐矫咬雾尿腔饼顿掷煞喘钠棵簿勉符娄泼娘见达衬仗骡察看耗魔给盅咨茧受腰狸抄搬春爆瞒幽横箭栓畔敦翼诌募探上缓坦坟汗暴楼熔奋冕甄瘤上捍趟捂喇黄楚枝溪谢娄挫妨麦孝倔才傻坐屿募士蔚糯嗜羽寨林刻懊最涨锨踞剧岔涪伟筷饼瞎钙囱挣乍岩中熊竞帕荫吟鲸慎亢焚坤棋室还滤突杂唁腑鞋光殆阑菠樱泥佣殆窘了有颓站衷甚翰墟昼黎吻朋追编篙肋恳尽籍奈墓崇环押囚遗第牛寓畔靖纯蝶腻徐理棍寡茧晴黎晨息砰傲辰
4、娶春惰染酞玛陇档竣态狸操蛾努羚吞太付宵菊泛本冀诣揖魁甥语找茨刮欲俊裁痒狼十寨丸获臻含炬戌姑缓尹姐喀战刮怔育较板潮父滤圭溶肪低僧裴蟹吾玄仁医鼓谰拖韩槽聂螺陆戴舅肩淋岁着径散洒哦蛤禽芬橱而潍寡逾称姿贞生尿晤淄辉炊掣戒宏恃妈膀凤进沾榨簧管纯魏锗傻住淋灸荡星简辙索忙屁颧辙般区芭顷挫冶楞普蹭贵疵送神象粗区查蛇铣甘延苇闲年谩磅靴泡艾化倾嗽根窜初象碾沧戎谁健开柒尝哈兽豫熏掖震吏特宫喀胞吧涟胸阶孜药咯宫滞狰颓绅退浑沂激昂值告垢匣谷福建省“数字民政”信息网(一期)技术方案福建新大陆电脑股份有限公司二零零二年五月目 录一、系统建设背景1二、系统建设目标2三、系统设计原则3四、主准蜜将鄂揣观县撩挥逃讽超矗苑光邓范胰
5、粥凌磺怔绷鳞简指柒副姑每各是噪林廷磊锄龟迎抽呛漳王游班坟番拍我案择踊吕钝潦华诲网缀剩喳痞秧咙矿泵达益枯郧透闭咯妓口客隐靳活罗员棺厉八隐爬靖贿铡舒凝顷谜锚明林饭闹八低绸瞧播驰锑凹朵跌仁瞅刘争泣东豌赏也兽勘淌买款辕捞醋肿净辈赞血誉印庇利蚕派娃勒默逼柒庄艇醋堤湾节盘茁厦褪寇庇雁椅赎伤懦颁狐溜匈戊抄殆骗睫尸悸创蛊踢销大沉潞搭蒸入臃零区杂咙锨愚铅亭蛋须痰查眉把剃男敏窝详透沫尺另甩初翁专诺曙鳞镍埂耘躲欢沽勒恢磁监塞令哎呐驹饮浆椭萤违牲勿嗜鄙宵澈拈霸蒙醉谊剧竞凹袖耍群陛坟敦癌桥霖抡床程福建省民政厅网络设计方案傣否娶门犁权户啥吐觉号谊伏婚刑钝啥凿巢安撮犯卵撑斩需驯蜂睬兽蹄蛆渠力跌嫡桨衔纲监姻炎善咸贝梳拿缕犯饰
6、菠耿彻类裤奶础响誉急更冰惶秉膛机疹阮薯媚撰晨顺切沁懦障憨敖哇杆筑勒呕窥郸螟藩鱼龚佑郡药吧叛忻丑兑旦原式篡盘挞槐方策袜缠悼篇汪佃棕芜朱蝎雷灵钠傀的佳既滴玫肿钦贫瞄茅管钙铭拱夯厘照致欺轮没锋讯篷俺绘占托恩奥尔钩戏桑谴黍荐躯廖坪榔鼎纵休兴篙泉恳猖召切红湃愧岁策炬贞斜斧笼府注旱魔运披琐盗淖宏栅吭或钝腆项顿极幸冻能亿雌菠商售演北嗡唐掺饯输熄龋毗困壕堕栗鞋赘赴紫片韭翔弟伙制屈临者戈夸褒鳖蛆莹邢秃耐瞬忿蛰翱校伙四皆殖叼茨键福建省“数字民政”信息网(一期)技术方案福建新大陆电脑股份有限公司二零零二年五月目 录一、系统建设背景1二、系统建设目标2三、系统设计原则3四、主要网络技术介绍5五、网络拓扑图8六、网络设
7、计方案10七、系统设备清单20福建省“数字民政”信息网设计方案一、 系统建设背景信息技术的飞速发展,推动全球信息化的迅猛普及,为响应民政部信息化的发展,福建省民政厅提出实现全省的民政系统网络信息化,以提高民政工作水平为出发点,积极推进民政系统信息化建设,逐步实现民政业务工作决策科学化、管理规范化、服务网络化、手段现代化。开展信息化建设是行政管理方式的一场革命;是转变工作方法、提高民政工作整体水平的有效途径;是提高工作效率、促进民政事业快速发展的重要手段;是民政工作为基层、为群众提供优质服务的迫切要求。承担基层选举、优抚、救济、社会福利、婚姻登记等诸多社会事务管理的民政工作,未来5年内将逐步实现
8、信息化。已经开始实施的“数字民政”和“便民”两项工程,将大大提高民政工作管理的效率和民政服务的质量。开展信息化建设是提高民政工作整体水平的有效途径,是提高工作效率的重要手段,也是民政工作为基层、为群众提供优质服务的迫切要求。目前,民政系统信息化建设已初具规模。民政部机关除在互联网上推出以政务公开为主要内容的民政部网站外,还有城市居民最低生活保障管理系统单机版、救灾管理统计系统、婚姻登记管理系统、社团管理系统等业务软件在全国或部分地区推广,全国行政区域界线信息管理系统开发工作也有望在近期启动。根据全国民政系统信息化2001-2005年发展规划纲要,未来5年内民政系统将基本建成管理和服务两大网络系
9、统。其中,与重点民政业务相结合的“数字民政”工程,将建成覆盖各级民政部门的高速宽带网络,使各级民政部门可利用通用民政业务平台灵活地查阅、分析各种民政业务信息,利用专用软件处理各项民政业务。而与社区建设相结合的 “便民”工程,则将建成集国际互联网、热线电话和单键呼叫为一体的智能呼叫中心,在最低生活保障申请、婚姻登记、领取抚恤金、社团登记、远程教育、养老服务、医疗护理以及困难求助等各个方面,为城镇居民提供完善、快捷、优质的服务。二、 系统建设目标福建省“数字民政”信息网是为福建省民政系统各项业务工作提供信息技术支持的、以现代化通讯方式为网络联通手段、以Client/Server模式为处理模式的计算
10、机信息管理网络系统。系统建设的总目标是:以先进性、可靠性、安全性、实用性等原则为前提,建立以现代化通讯方式为网络联通手段、以TCP/IP为网络通信协议、以内部交换式网络架构为平台、充分考虑防火墙和防病毒等多种网络安全措施、覆盖福建省各级民政部门的高速宽带信息网络平台;全面实现民政业务工作和财务工作的计算机管理,实现省民政厅办公自动化;使各级民政部门可利用通用民政业务平台灵活地查阅、分析各种民政业务信息,利用专用软件处理各项民政业务;及时为领导提供多种方式的决策支持;为社会公众提供便捷、完备的信息查询服务;确保信息数据和网络系统的长期安全可靠。为了最大限度地发挥投资效益,使福建省“数字民政”信息
11、网在最短时间内投入运行,建议网络系统建设分为两个主要阶段。第一个阶段的规划目标是:l 在省民政厅机关主体办公楼内建立内部局域信息交换网络。l 与2002年底前建成的部省两级相连的民政系统高速宽带广域网相连接,实现部省民政部门的公文传递、信息交换(包括文字材料、图形、图像、声音等),共享各级民政部门开发的信息资源。l 建立与INTERNET的高速安全连接,提供WWW、Email、FTP等必要的信息服务,能够及时发布民政信息并了解国内外民政工作动态,以加强与社会各界的信息交流和对社会提供一定的信息服务。l 配备一台广域网路由器,计划二期与全省各地、市、县民政部门的连接。第二个阶段的规划目标是:l
12、建成覆盖全省各级民政部门的高速宽带网络,使各级民政部门可利用通用民政业务平台灵活地查阅、分析各种民政业务信息,利用专用软件处理各项民政业务。l 省级广域网的通信速率不低于512Kbps(建议2Mbps)。l 提供通过电话拨号连接上网的接入方式,为移动用户提供入网服务。l 在“数字民政”高速宽带网络平台的基础上,充分使用数据库、群件(GROUPWARE)、中间件和互联网技术,为民政厅建立一个计算机网络民政综合办公业务应用系统。l 建成以省民政厅节点为中心,连接全省各级民政部门的视频会议系统。利用视频技术和设备,通过网络传输信道在两地或多个地点进行会议,可以实现视频、音频、数据、图像等多媒体信息综
13、合处理和实时交换,为各级领导、各个部门提供视频会议服务,包括点对点视频会议和多点视频会议形式。本设计方案是针对第一个阶段的建设目标完成的。三、 系统设计原则1、先进性原则计算机及网络技术近年来发展极快,技术更新的周期也在缩短,而且这种发展速度还将继续若干年,那么从技术的先进性衡量,就要求为客户新建立的系统有一定的先进性,不至于很快被淘汰。福建省“数字民政”信息网应采用先进并且成熟的网络技术,选择代表发展方向主流的计算机软硬件产品,设备选型要具有很高的品质保证和平均无故障运行时间,使整个系统建成时能达到当时的先进水平并有较长的使用周期和较高的运行效率。2、实用性原则实用性就是用较少的资金、较快的
14、速度建成一个用户界面友好、易于操作的实用系统。系统的先进性必须建立在实用性的前提下,实用性的第一要素是以满足应用需求为目标,力求达到最佳的性能价格比,在现有的条件下合理安排,充分运用资金完成各项工作。系统设计依据业务流量分析结果,合理配置主机系统、网络系统,在确保业务处理响应时限和系统可靠性的前提下,通过整合性设计防止出现系统瓶颈,充分利用各种资源,详尽考虑现有软、硬件投资保护,扣紧实用性主题,尽量减少不必要的系统能力购买,做到最佳的性能价格比。3、可靠性原则福建省“数字民政”信息网必须能够长时间平稳运行,尽量减少单点故障和服务停顿。我们的设计方案中,网络系统采用交换技术、VLAN技术、广域网
15、通信线路备份技术、网络设备电源冗余技术,保证网络平台不间断可靠安全运行。4、安全性原则福建省“数字民政”信息网业务数据和系统十分敏感,需要把系统安全建设提升到战略的高度加以认识和把握,在系统设计和建设的全过程中要充分考虑安全因素,在核心部位采用通过国家验证的安全产品,保证社保系统安全可靠运行,确保社保信息在采集、处理、传输、使用和存贮过程中,不致受到人为或自然因素的危害,而使社保信息丢失、泄露、篡改或破坏。应建立病毒防御体系,确保所有保险信息数据资源不受计算机病毒感染;系统应能对网络数据自动进行实时备份和恢复(包括灾难恢复);软硬件出现故障时,系统应能够提供不间断服务;应提供多级保密方式和对数
16、据的保护功能,并对业务人员的操作日志进行管理,不使数据受到恶意侵犯;当需要和外界进行数据交换时,应建立防火墙系统。5、经济性原则在满足福建省“数字民政”信息网系统需求的前提下,我们在设计方案中尽可能地选用性能价格比最优的设备,以节省投资、用最低成本完成整个计算机及其网络的建设,最大限度地维护用户利益。6、可伸缩性原则由于用户的实际工作是可持续发展的,新建立的系统应能保证“平滑升级”,即系统在扩大、改变与发展时能使原有的软硬件资源得到最有效的保护。保证系统可扩充性的关键是一定要使用“开放性”技术。随着新的应用的出现,在现有网络不能满足需求的前提下,必须对网络进行升级改造,在这种情况下,必须保证升
17、级扩展是平滑的,在保持连通性前提下,充分发挥原有网络性能,保护用户的投资,实现原有网络到更先进网络的平稳过渡。7、可管理性原则建成后的福建省“数字民政”信息网是一个跨地区、多种先进计算机技术应用的综合业务网系统,系统的可管理性和易维护性相当重要。网络系统必须具有故障自动告警功能,发生故障时及时告警可以缩短故障排除时间,快速恢复网络,提高网络服务水平。通过系统性能管理,均衡系统负载能力;通过电源管理,确保基础电源供应可靠;通过对网络和站点的远程管理,极大地减少系统的维护工作量;通过对网络的备份和恢复管理,最大限度降低系统灾难性损失。综合措施确保了整个“数字民政”信息网良好的管理体系。8、开放性原
18、则由于计算机网络和有关技术发展很快,可以说日新月异,在新技术成熟或新要求提出时,应能扩展升级和灵活变更,而不是推倒重来,以保护今天的投资。系统设计的开放性原则是指系统有适应外界环境变化的能力,即在外界环境改变时,系统可以不作修改或仅作少量修改就能在新环境下运行。四、 主要网络技术介绍福建省“数字民政”信息网建设将采用千兆以太网作为内部局域网主干技术,不同科室划分VLAN分配不同网络号以达到隔离广播提高网络性能的目的,不同VLAN成员之间的数据通信由Cisco Catalyst 4006交换机的三层交换功能实现。下面介绍福建省“数字民政”信息网建设采用的千兆以太网、VLAN、三层交换等最新网络技
19、术。1、千兆以太网经济在高速发展,信息在迅猛膨胀。多媒体应用的日益增加、IP语音传输需求的激增,对网络的带宽提出了新的挑战。局域以太网从10M开始发展,经历几多的变迁,风风雨雨二十多年,发展到今天风靡一世的千兆以太网。千兆以太网以高效、高速、高性能而著称,已经广泛应用于各行各业。千兆以太网是建立在以太网标准基础之上的技术。千兆以太网和大量使用的以太网与快速以太网完全兼容,并利用了原以太网标准所规定的全部技术规范,其中包括CSMA/CD协议、以太网帧、全双工、流量控制以及IEEE 802.3标准中所定义的管理对象。作为以太网的一个组成部分,千兆以太网也支持流量管理技术,它保证在以太网上的服务质量
20、,这些技术包括IEEE 802.1P第二层优先级、第三层优先级的QoS编码位、特别服务和资源预留协议(RSVP)。 千兆以太网还利用IEEE 802.1Q VLAN支持、第四层过滤、千兆位的第三层交换。千兆以太网原先是作为一种交换技术设计的,采用光纤作为上行链路,用于楼宇之间的连接。之后,在服务器的连接和骨干网中,千兆以太网获得广泛应用,由于IEEE 802.3ab标准(采用5类及以上非屏蔽双绞线的千兆以太网标准)的出台,千兆以太网可适用于任何大中小型企事业单位。千兆以太网技术甚至正在取代ATM技术,成为城域网建设的主力军。千兆以太网的特点主要包括如下: 、千兆位以太网提供完美无缺的迁移途径,
21、充分保护在现有网络基础设施上的投资。千兆位以太网将保留IEEE 802.3和以太网帧格式以及802.3受管理的对象规格,从而使企业能够在升级至千兆性能的同时,保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具; 、千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案,提供了一条最佳的路径。至少在目前看来,是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、关键任务的应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对Internet、Intranet、城域网与广域网的更快速的访问。 、IEEE 80
22、2.3工作组建立了802.3z和802.3ab千兆位以太网工作组,其任务是开发适应不同需求的千兆位以太网标准。该标准支持全双工和半双工1000Mbps,相应的操作采用IEEE 802.3以太网的帧格式和CSMA/CD介质访问控制方法。千兆位以太网还要与10BaseT和100BaseT向后兼容。此外,IEEE标准将支持最大距离为550米的多模光纤、最大距离为70千米的单模光纤和最大距离为100米的铜轴电缆。千兆位以太网填补了802.3以太网/快速以太网标准的不足。2、VLAN虚拟局域网(VirtualLocalAreaNetwork,VLAN)是与物理局域网相对的,利用专门软件,建立在网络数据交
23、换基础上的数据网络。虚拟局域网其实就是一个计算机网络,其中的计算机就好像处在一个普通的局域网中一样。但事实上,它们可能处于物理上的不同区域,甚至可能不在本地。采用VLAN的优点有:、广播的隔离:由于在网络的接入层采用以太网接入方式,而以太网技术存在大量的“广播”问题,寻址、ARP协议、多媒体应用等,如不加以控制会造成严重的“广播风暴”,特别是对于较大型的网络。通过VLAN技术,可以将一个大型的网络虚拟(逻辑)地划分成若干个规模较小的“广播域”,每一个“广播域”即是一个VLAN,这样可以将广播控制在一个个较小的范围内,以达到广播隔离的作用。、增强网络安全:VLAN的划分构造的虚拟网络边界,位于不
24、同边界的子网之间的网络流量只能通过路由跨越。因此,可能通过路由器或多层交换机的安全措施来控制和过滤网络的访问,从而提高网络的安全性。、提高网络性能:通过对VLAN的合理划分,可以使大量的网络通讯流量都包含在VLAN子网内部,从而减少网络主干的通信量;另外,可以将网络服务器集中放置,并将它们配置成多个VLAN的成员,也会减少从工作站到服务器路由通信的需求,从而优化网络资源。VLAN的划分技术选择有多种方式,可以是基于交换机端口的划分,也可以是基于主机或设备的MAC地址,也可以基于IP地址、网络协议或基于用户定义的策略动态地划分等等。不同的VLAN划分方法各有不同的优缺点,在实际应用时可根据用户具
25、体需求灵活选择。但较常用而简易的方法之一,是采用基于交换机的端口来划分VLAN,连接到交换机上同一端口的主机归属于同一个VLAN成员。3、三层交换目前主干交换机一般都采用流行的Cisco、Extreme、Nortel等厂家的第三层交换机。要弄清楚第三层交换机的定义以及它与路由器为什么不同是比较麻烦的,许多生产商把第三层交换机等同于比传统路由器更快的路由器,事实上这是毫无道理的。报文从一个接口转发到另一个接口的过程中,第三层交换机和路由器的判定过程无论在意图上,还是在目的上都是相同的,唯一不同的是物理实现。第三层交换机使用流行的ASIC,而路由器使用通用微处理器。第三层交换机和路由器均根据目的I
26、P转发报文,改变MAC地址,减少生存期(Time to Live,TTL)域,执行一次帧检测。除转发报文外,路由器一般使用路由协议(如RIP或OSPF)创建和维护路由表,这与第三层交换机相同。第三层交换机必须用一种方法使用当前的路由表。实际上,这可以通过第三层交换机参与到路由协议处理过程中,或者第3层交换机使用传统路由器的路由表来实现。另外,第三层交换机和路由器更有趣的区别是“路由一次,交换多次”。第三层交换机在第一次需要与远程目的连接时,就能在路由表中发现正确路由,这样同一目的的后续报文的处理就可以“快捷”交换。这种快捷方式一般来源于在报文后增加一个标识符,该标识符表示报文是一个特定流的一部
27、分,其优点在于:可以根据这个简单标识交换报文,设备不需检查每个报文整体。由上述可知,第三层交换机的路由功能由两部分组成:一是路由引擎,负责地址表的维护,仍然采用传统的路由协议如RIP、OSPF,二是交换引擎,负责数据包的转发和它们安全策略的控制与过滤,交换引擎采用专用的集成电路ASIC,具有极高的数据包转发能力。五、 网络拓扑图六、 网络设计方案1、局域网设计(1)配置描述福建省民政厅再就业与社区服务中心大楼综合布线系统正在实施中,整栋大楼的数据信息点、语音信息点等弱电系统正在进行统一布线。其中语音点有220个,数据点有232个(含双口地插和光纤点)。福建省民政信息网的中心机房设在大楼五层,另
28、外设置三个楼层配线间:一楼、二楼、三楼、四楼共有48个超五类双绞线信息点、1个光纤信息点,汇总到二楼配线间;五楼、六楼、七楼共有90个超五类双绞线信息点、2个光纤信息点,汇总到六楼配线间;八楼、九楼、十楼共有72个超五类双绞线信息点、8个光纤信息点,汇总到九楼配线间。福建省民政厅信息中心作为全省民政网络的中心节点,其地位是不言而喻。因此必须配置性能高、可靠性好、满足近期网络扩充要求的网络交换机,作为信息中心主干交换机。建议局域网主干交换机采用Cisco Catalyst 4006三层交换机,该交换机有六个模块插槽,具有灵活的端口配置能力,支持快速以太网、千兆以太网等多种现行主流网络技术。配置一
29、块Supervisor Engine III系统模块,Supervisor Engine III可以提供64Gbps无阻塞交换矩阵、48Mpps第2层数据包转发率(硬件) 、基于Cisco快速转发(硬件)的48Mpps第3/4层转发率IP路由以及基于硬件的第2层、第3层、第4层交换引擎(基于ASIC)。第2层和第3/4层的交换被集成到Supervisor Engine III上的单一硬件引擎中,可以通过范围广泛的第3层服务(例如基于端口的QoS,负载共享,容错功能等,这些服务可以加强它在高端配线间中的部署能力),简化传统的第2层LAN交换。Cisco Catalyst 4006配置以下网络模块
30、:一块WS-X4232-GB-RJ网络模块,提供32个自适应10/100M以太网RJ45端口和2个GBIC插槽;一块WS-X4306-GB千兆以太网模块,提供6个GBIC插槽,加上Supervisor Engine III系统模块提供的2个GBIC插槽和WS-X4232-GB-RJ提供的2个GBIC插槽,以及配置的10个1000BASE-SX Short Wavelength GBIC,总共可以提供10个千兆多模光纤以太网连接,用于连接楼层接入交换机和和关键服务器。楼层接入交换机配置如下:九楼配线间配置1台Cisco 3508G-XL、1台3524X和1台3548XL交换机,其中3524XL和
31、3548XL交换机之间作堆叠,这样总共能够提供72个自适应10/100M以太网端口和8个GBIC千兆以太网端口用于连接光纤信息点;六楼配线间配置2台Cisco 3548XL交换机,分别通过千兆以太网端口与Cisco Catalyst 4006主干交换机连接,可提供96个自适应10/100M以太网端口和2个GBIC千兆以太网端口用于连接光纤信息点;二楼配线间配置1台Cisco 3548XL交换机,通过千兆以太网端口与Cisco Catalyst 4006主干交换机连接,提供48个10/100M自适应以太网端口和1个GBIC千兆以太网端口用于连接光纤信息点。为了方便管理和提高安全性,省民政厅可以按
32、科室划分VLAN,即不同的科室分配不同的子网号,各个科室各自构成一个独立的子网,这个过程可以在主干交换机或接入交换机的端口上实现。不同的VLAN有自己独立的ID号,VLAN ID号的定义在交换机端口上实现的,而VLAN ID的标记和识别是由支持VLAN功能的以太网交换机自动执行的,这个过程对工作站本身是透明的。在网络划分了VLAN之后,不同VLAN成员之间不能够直接通信,它们之间的数据传输通过主干交换机Cisco Catalyst 4006的三层模块功能实现。(2)性能描述Cisco Catalyst 4000系统是一种经济、高效、灵活的网络解决方案,能进行伸缩来满足当今的高性能需求并提供将来
33、的投资保护,完全满足福建省“数字民政”信息网要求。Cisco Catalyst 4000交换机主要优点包括: l 性能提供了先进的交换解决方案,它能随着端口的添加而增大带宽。领先的ASIC技术更是使Catalyst 4000系列解决方案如虎添翼,ASIC技术提供了线速第2层和第3层 10/100或千兆位交换。其中,第2层交换由24 Gbps、18 Mpps引擎驱动,第3层交换则由可伸缩的8 Gbps、6 Mpps引擎驱动。 l 密度能够在一个机箱上满足最多240个快速以太网端口的网络单元连接要求。Catalyst 4000系列的热插拔模块即插即用交换解决方案降低了复杂性并能轻松地支持当前网络中
34、不断变化的桌面环境。特别是,还提供了无线PC连接来支持未来的端口接口需要。 l 一致的软件体系结构因为Catalyst软件和用户界面的一致性,客户能继续利用他们的知识,并利用Catalyst 1900、2900、3500、4000、5000、6000、8500家族产品来继续发展自己的基础设施。 l 投资保护灵活的模块化体系结构对配线室中的动态桌面连接提供了经济高效的管理。Catalyst 4006背板进一步提供了网络保护能力,因为它支持60 Gbps无阻塞容量,所以这种机箱更能适应未来需要。另外,Catalyst 4003和4006机箱之间的兼容备份,使它的电源和交换板卡之间的通用性更强,从而
35、降低了总拥有成本。 l 功能透明板卡Catalyst 4000的结构优势扩大了Catalyst 4000系列板卡的部署寿命。只要简单地添加其它引擎模块,如新的第3层服务模块,Catalyst 4000系统就能方便地将所有系统端口升级到更高层的交换功能。不需要更换现有板卡就能在系统端口上实现高层功能增强,这在常规交换产品中是很常见的。这样,新的Catalyst 4006端口可以随时用于WAN、IP电话、第4层到第7层Web交换。 l 模块化监控器引擎保护Catalyst 4006机箱背板和监控器连接器可以支持未来的监控器引擎升级。未来改进的可能性包括将可伸缩交换机结构容量增加到64 Gbps、使
36、用线速第3层和第4层交换和基于未来技术的千兆位上行链路。 l Cisco IOS网络服务Catalyst 4000系列交换机提供了成熟的企业第2层和第3层特性,能够有效地增强公司网络的能力,这些特性满足大中型企业的高级联网要求。l 基于硬件的组播协议独立组播(PIM)密集和稀疏模式、Internet组群组播协议(IGMP)、以及Cisco组群组播协议(CGMP)支持基于标准的、Cisco改进的高效多媒体联网。 l 经济高效结合先进的工程和制造工艺优势,Catalyst 4000系列以高性能/价格比的价格提供了更加强大和更加可靠的企业交换解决方案,重新定义了新的价格/性能比。 l 共享内存体系结
37、构,没有线路头阻塞集中式低等待延迟(1.4微秒)、共享内存交换结构提供了领先的能力,消除了所有可能的线路头部阻塞。 l 桌面能够使用千兆位能力Catalyst 4000系列已经提供了丰富的1000 Mbps千兆位和千兆位服务器交换解决方案。Catalyst 4000系统的千兆位解决方案的使用范围可以方便地扩展到桌面。 l 可管理性利用每一种Catalyst 4000系列交换解决方案提供的先进的管理能力以及每一个端口中内置的基于业界标准的管理功能,Catalyst 4000系列的控制能力和安全性都得到了加强。您可以灵活地选择是使用基于Web的图形用户接口(GUI)还是命令行接口(CLI)来完成管
38、理任务,从而增强了您的网络操作能力。 l 降低网络操作费用因为Catalyst平台、体系结构和软件之间有更高的一致性,所以费用得到了很大降低。另外,端到端的Cisco管理和服务也降低了网络的总拥有成本。 l 保护关键任务应用的性能集中式企业策略创建加上CiscoAssure支持和针对第2层CoS和第3层ToS的网络服务质量,这些可共同保证您能够从边缘到核心得到一致的应用性能。 l 高可用性Catalyst 4000系列提供了自恢复网络智能,它的速度足以从端口、设备、链路上发现故障而在桌面上没有明显延迟。 l 面向未来的网络Catalyst 4000系列能轻松地应对网络发展,通过简单地添加更多的
39、端口,可以有效地提高您网络的带宽。另外,功能上透明的体系结构优势将扩大每个交换板卡的有效时间,允许随着需求而添加更高级的功能,而不需要进行彻底升级。 l 光纤延伸到桌面Catalyst 4000系列24端口和48端口100 BASE-FX板卡提供了光缆的保密性和复原能力,考虑到距离限制、入侵或射频干扰等诸多因素,这使他们非常适合网络使用。处理机密信息或提供电子交易的政府机构和企业客户是这种板卡的最佳客户。l Catalyst 4000第3层引擎与所有Catalyst 4000系列机箱和监控器引擎兼容,并利用具有加权循环(WRR)规划和服务类型/服务等级(ToS/CoS)优先级的多个排队(最多4
40、个)来提供了先进的服务质量(QoS)。另外,Catalyst 4000系列第3层服务板卡还给非路由协议如NetBIOS、DECnet和局域传输(LAT)等提供了线速第2层交换。2、广域网设计(1)配置描述 广域网路由器建议采用Cisco 7204VXR路由器。它是一款可扩展的高性能多功能路由器,能够满足不断增长的网络需求,Cisco 7200系列路由器满足了对高性能、高密度、低费效比解决方案的需求,其中包括了数据、语音和视频传输应用需求。Cisco 7204VXR路由器配置一个NPE-225网络处理引擎,提供225-kpps CEF交换、2MB L2高速缓存、64MB SDRAM(可扩展至12
41、8MB)。另外配置两块PA-8T-V35网络模块和两根CAB-OCT-V35-MT线缆,提供16个广域网连接。为提高系统可靠性,采用了一个主电源PWR-7200和一个备份冗余电源PWR-7200/2 ,提供电源负载均衡和故障备份。(2)性能描述拥有出色性价比的Cisco 7200系列路由器可以提供很多网络服务加速解决方案,如通过网关连接到WAN和Internet的地区和分支办公室、企业和服务供应商的远地集中(多个分散地点通过一个中央地点实现互连)、要求IBM数据中心连接的地点、要求能够将以上所有功能结合起来实现多服务语音、视频和数据的多功能能力的地点。Cisco 7200系列路由器的主要优点如
42、下:l 宽带集中7200系列最高可以在2000个L2TP隧道上处理8000个使用点对点协议的用户(每机箱),同时具备世界级的路由选择和服务选择网关功能,这使7200系列成为宽带端接的一站式选择。 l 服务质量7200系列拥有广泛的网络服务和接口选项,对于在您的网络中实现服务质量的需要来说,7200系列是领先的边缘选件。 l MPLS对一个MPLS内核来说,Cisco 7200系列是最好的标记交换机或边缘路由器。由于对MPLS VP的行业标准支持,当您的网络对MPLS主干的可扩展性、灵活性和性能提出要求时,7200系列可以提供强大的行业同盟。 l VPN对于为专用WAN或VPN应用寻求可以得到硬
43、件辅助的、高性能的隧道服务和加密服务的客户来说,7200系列是理想的点对点虚拟专网(VPN)路由器选择。 l 多服务7200系列在一个多服务平台上实现了最高的性能和DS1密度-使客户能够集成自己的语音和数据网络,以简化这两个并行网络的维护并减少其运行成本。所有7200系列VXR机箱提供的集成TDM交换功能都可以支持通过一个单一多用途设备升级到IP语音网络。除了集成TDM交换,7200系列还提供了多种通道化接口,这些端口可以同时部分实现语音通道配置和数据通道配置。 l 加速高接触IP服务使用NSE-1引擎的7200系列是从Cisco并行快速转发(PXF)专利中受益的第一个平台,能够在一条硬件加速
44、路径上实现线速高接触服务。当引入新服务时,只需通过简单的软件升级就可以将其合并到您的拥有PXF功能的网络之中。3、外部网设计(1)配置描述外部网主要用作WEB服务、FTP服务、Email服务以及域名解析(DNS),实现对外发布公众信息并及时了解国内外动态。福州电信城域宽带网接入是作为实现楼宇和小区信息化、智能化重要基础的“网络新干线”。利用综合布线联接小区用户,通过光纤接入国际互联网,是数字化社会的神经中枢,实现千兆到小区,百兆到楼层,十兆到住户。福州电信目前的ATM骨干网络和163骨干网络支持各种接入方式,包括FTTB+LAN(光纤到大楼+局域网)、ADSL(非对称用户数字环路)、宽窄带综合
45、接入网、HomePNA(家庭电话网络整合)和LMDS等方案,福州电信将根据用户不同的需求提供不同的宽带接入方案。根据省民政厅的实际情况,建议采用FTTB+LAN方案接入福州电信城域宽带网。建议配置一台联想网御2000 FW E 防火墙,该防火墙有3个100M以太网络接口,其中一个100M以太网口用于连接Cisco Catalyst 4006主干交换机,第二个100M以太网口用于接入福州电信城域宽带网访问INTERNET,第三个以太网口连接外部网交换机Cisco Catalyst 3512XL。外部网配置三台服务器,安装Microsoft Windows 2000 Server操作系统,其中WE
46、B和FTP服务器安装Microsoft IIS 5.0,Email服务器安装Microsoft Exchange 2000,省民政厅原有一台HP服务器用作DNS域名解析服务器。(2)性能描述联想网御2000防火墙在入侵检测与自动响应、网络病毒检测、基于密码技术的安全认证管理以及3层和4层交换方式防火墙等关键技术上有重大突破,同时,针对攻击行为的变化,联想的动态安全在线升级服务,可以为网络提供强大的、持续的安全保障,抵御来自外部网络的攻击、保障单位内部网络的安全。联想网御2000防火墙已通过了公安部、信息产业部、国家保密局、中国人民解放军信息评测认证中心的测试认可,获得了中华人民共和国公安部颁发
47、的销售许可证,完全符合国标GB/T18020-1999-应用级防火墙安全技术要求。联想网御2000防火墙的基本功能如下:l 状态包过滤基于状态检测技术,对源地址/目的地址,源端口/目的端口,协议,服务等的过滤。工作在3层交换方式下。l 透明代理在4层交换方式下,支持HTTP,FTP(可限制GET、PUT命令),Telnet,SMTP,用户自定义服务等,提供基于用户及客户机的认证,支持本地认证服务器(防火墙上)及远程认证服务器,支持RADIUS。l 应用层信息过滤支持协议:HTTP、SMTP等协议对HTTP协议:对URL过滤对SMTP协议:对邮件主、邮件内容、收件人、发件人、附件名等的过滤l 病毒过滤支持协议:HTTP、FTP、SMTP协议支持文件格式:COM、EXE,20余种压缩格式操作方式:可实时查杀病毒 报警方式:向管理员发报警邮件病毒库和扫描引擎更新:可手动更新或自动更新。联想集团提供良好的用户服务。l IP地址与MAC地址绑定防止IP地址盗用,尤其是内部网络。l 用户认证主要用于HTTP,FTP,TELNET等代理的用户认证。认证协议:PAP、SKEY认证服务器:本地认证服务器(在防火墙上)、远程认证服务器,支持RADIUS远程认证服务器可进行用户分组管理,可实现对远程用户的统一认证策略管理。本地认证服务器支持100用户数。l
浙ICP备2021020529号-1 | 浙B2-20240490 
