普天产业基地信息化系统方案建议书.doc

全有文档友情提供 普天产业基地信息化系统 方案建议书 成都天奥实业有限公司 2007年4月 目 录 第一章 背景概述 4 第二章 系统需求 6 第三章 系统设计 8 3.1 设计依据 8 3.2 设计原则 8 第四章 综合布线系统 10 4.1 综合布线系统概述 10 4.2 系统需求 13 4.2.1 需求描述 13 4.2.2 需求分析 14 4.3 系统设计原则 15 4.4 系统方案 16 4.4.1 设备间子系统设计 17 4.4.2 水平子系统设计 18 4.4.3工作区子系统设计 19 4.4.4 垂直干线子系统设计 20 4.5 方案特点 20 4.6 系统产品描述 22 4.6.1 FOREVER350 超5类模块 22 4.6.2 FOREVER 超5类配线架 23 第五章 网络系统 24 5.1 概述 24 5.2 需求分析和设计原则 24 5.2.1 网络建设目标 24 5.2.2网络设计原则 25 5.3网络建设方案 29 5.3.1 “互联网”网络建设方案 31 5.4 端到端的Qos保障 34 5.4.1 QoS服务模型 35 5.4.2 QoS机制 38 5.4.3 基于MPLS的端到端QoS解决方案 58 5.5 网管平台 60 5.5.1网络管理概述 60 5.5.2 网管系统体系结构及功能 61 5.6 IP地址规划 64 5.6.1 地址及域名体系规划原则 64 5.6.2 地址规划 65 5.6.3 地址规划的基本思想 70 5.6.4 地址分配 73 5.6.5 NAT网络地址转换 75 5.6.6 企业IP地址划分示例 77 5.7 路由规划 80 5.7.1 内部路由协议（IGP）选择 80 5.7.2 外部路由协议(EGP)设计 87 5.7.3 IP组播协议应用 88 5.7.4本次网络项目路由规划 90 第八章 系统安全体系设计 92 8.1 安全体系模型 92 8.2 安全体系结构 95 8.3 物理安全设计 95 8.4 网络安全设计 96 8.5 操作系统安全设计 97 8.6 数据安全设计 98 8.7 应用系统安全设计 99 8.8 管理体系安全设计 100 8.9 防病毒体系设计 103 第九章 机房方案 105 9.1 机房概述 105 9.2 机房需求 105 9.3 机房布局思路 106 9.4 机房设计原则 107 9.5 机房装饰方案 108 9.6 机房配电方案 112 9.7 机房防雷方案 121 9.8 机房接地方案 124 第一章 背景概述 随着计算机技术应用的普及，通信技术，控制技术，网络技术的不断发展，企业以综合布线系统作为各应用系统的信号传输物理链路，以计算机网络系统为技术保障，实现高速和高宽带的传输能力，满足企业园区内信息传输的需要，尤其是数据系统的高速数据传输的要求，并且能够适应现代和未来技术的发展。 远程视频系统以计算机网络系统为基础平台，可实现语音、图像、数据等信息的远距离传输，通过大屏幕等离子显示计算机的图文信息和录像资料、电视以及需要讨论演示的书籍、图纸和会议图像、场景等，即传播信息的来源不仅仅局限于会场内，还包括与会场连接的网络、全球INTERNET网络、远程电视电话系统、通信系统等系统组成；远程会议系统是支持人们进行远距离实时信息交流、开展协同工作的应用系统。远程会议系统实时传输视频与音频信息，使管理层人员可以远距离进行直观、真实的视音频交流。另一方面，利用多媒体技术的支持，远程会议系统可以帮助使用者对工作中各种信息进行相应处理，如共享数据、共享应用程序等，从而构造一个多人共享的虚拟工作空间。在“效率至上”的信息社会中，通过远程视频系统，进行协同工作时既可听到对方的声音，又可看到对方的图像，大大增强了沟通的效果，在节约宝贵的时间、精力和金钱的同时，又提高了企业的管理和决策效率，充分发挥出远程会议真实、高效、实时的优点，为人们提供了一种简便而有效的协同工作手段。 第二章 系统需求 在普天成都工业基总体规划的系统包括计算机网络、综合布线、视频会议系统及机房配套系统。由于根据用户提供的需求资料还不够详尽，综合布线系统无法确定设计方案，我公司进行初步的设计建议。各分系统总体需求如下： 综合布线系统：采用“千兆骨干，百兆桌面”的总体设计思想，具体接入层信息点数量规划为： 序号 楼宇名称 拟开通信息点 1 101# 79 2 102# 10 3 103# 15 4 105# 14 5 106# 10 6 107# 12 7 108# 7 8 109# 7 9 110# 2 10 201# 9 合计 165个信息点 网络系统：系统采用二层式的架构设计，分为核心层和接入层。为保障系统的高可靠性、链路的冗余/负载均衡在核心层采用双核心的设计思想。出口设备可实现于集中管理和规范上网行为，可实现流量实时监控，实现企业网络的防病毒体系部署，接入层交换机的接入规划表如上图。 视频会议系统：在101#会议室设置视频会议系统，采用大屏幕等离子电视作为显示输出，通过互联网接入，可通过会议室的电视会或者桌面会议的形式实现公司领导和集团总部进行远程视频会议。 机房配套系统：为企业园区的所有系统的中心端设备提供可靠的运行环境，主要包括：供配电系统、防静电系统、防雷接地系统等 第三章 系统设计 3.1 设计依据 1. 国家、行业相关规范和标准 2. 普天成都生产基地需求文件 3.2 设计原则 可行性和适应性。系统要保证技术上的可行性和良好的性价比，并满足今后社会和学校发展的需要。 实用性和经济性。系统建设应始终贯彻面向应用、注重实效的方针，坚持实用、经济的原则。 先进性和成熟性。系统设计既要采用先进的设计和理念，又要注意结构、设备、工具的相对成熟。采用成熟的主流技术，不但能反映当今的先进水平，而且具有发展潜力，并能顺利地过度到下一代技术，关键设备应选用国际主流的先进产品。 开放性和标准性。为满足系统所选用的技术和设备的协同运行能力、系 统投资的长期效应以及系统功能不断扩展的需求，要求系统具有开放性和标准性。 可靠性和稳定性：在考虑技术先进和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手，确保系统运行的可靠性和稳定性。 安全性和保密性：在系统的设计中，既要考虑信息资源的充分共享，还要考虑信息的保护和隔离。 兼容性和易维护性：为了适应系统变化的要求，必须充分考虑以最简单的方法、最低的投资、实现系统的兼容和维护。 全有中国 第四章 综合布线系统 4.1 综合布线系统概述 SCS全名为“建筑物结构化综合布线”，按功能称呼为“综合式配线系统”，它是一套为迎接未来信息高速公路的需求而特别设计的配线系统，它应用高品质标准材料，采用组合压接方式，使其很容易组合成一套完整的配线系统。采用一般双绞线即可传送话音、数据、图像信号，并能连接IBM、Wan、DEC等电脑网路和安全报警监控系统，采用光缆及高品质的双绞线可传送高速数据高精度图像并符合FDDI(Fiber Distributed Data Interface)传输介质标准。 智能大厦是随着计算机，通信技术和联网技术，楼宇控制技术的普及应用，逐步发展起来的。智能大厦是指对建筑物的四个基本要素即结构、系统、服务、管理以及它们之间的相互联系的最优考虑，来提供一个投资合理，同时又拥有高效率的舒适、温馨、安全便利的环境以及长远的系统灵活性及市场能力。 智能大厦应是建立在综合布线系统基础上的，具有高度楼宇自动化，通讯自动化和办公自动化的新型建筑，它需要房地产物业和电子技术的紧密结合。智能的程度如何，往往由业主的意愿和投资能力而定，至于自动化的实现，就必然取决于系统的设计水平和合理化程度。 布线系统是建筑物或建筑群内的信息传递的媒介。它不仅将话音和数据通信设备、交换设备和其它信息管理系统彼此相连，同时还能够连接楼宇自控、监控系统和通道控制系统。其灵活性、兼容性和可靠性已得到中国用户的认可，并已经广泛地在国家职能部委、机关、银行、大型集团公司、房地产等行业得以推广。在国际上结构化综合布线系统( SCS )早已成为建筑大楼的基本设施。结构化综合布线系统( SCS )为用户提供了最合理的布线方式，并依靠其高品质的材料，一改传统布线的面貌，为现代化的大厦能够真正的成为智慧型的楼宇奠定了25年内不需改变通讯线路的传输媒介基础。 位于华盛顿特区的智能大楼研究机构把智能大楼定义为：通过对建筑物的四个基本要素，即结构、系统、服务、管理以及它们之间的内在关联的最优化考虑，来提供一个投资合理的但又拥有高效率的舒适、温馨、便利的环境。智能大楼帮助大楼的主人、财产管理者、占有者等意识到他们在诸如花销、舒适、便利及安全等方面的目标，当然还要考虑到长远的系统灵活性及市场能力。 结构化布线系统是一个模式化的，灵活性极高的建筑布线网络。它能连接话音、数据、图像以及各种用于合理投资的楼宇控制与管理低压设备与装置。同时，结构化布线系统也是一个工程化的、专门设计的完整系统，它可以被广大建筑设计师、楼宇主人、房地产经纪人、订立合同人、咨询顾问、发展商、设施管理者以及财产管理财团使用。这些财团与商社主要的兴趣在于利用结构化布线系统的动态特性来满足不断变化的使用者的需要，而同时又减少与降低建筑物生活圈内的花费。 1984年，世界上第一座智能大楼在美国落成。自此以后，智能化建筑在世界各国，尤其在发达国家得到了迅速发展。据专家预测，美国到1995年智能大楼将数以万计。而在日本，86～95十年间，预计新建和改建的智能大楼将达到8.6亿平方米。目前，房地产建筑、信息等产业的相关企业纷纷看好这一新的发展趋势，相继投资进入这一领域。 智能建筑，主要指装备了先进的通信系统，办公自动化系统和管理信息系统，对楼内的主要机电设备及安全系统采用计算机自动监控和管理的楼宇自动化系统，并提供高效率的办公环境。 城市中的办公大楼多是企业经营决策的场所，不仅需要与国内有关部门而且需要与世界各地及时通信获取信息，了解瞬息万变的国内国际行情，洽谈贸易，迅速做出正确决策，以利于竞争。这就要求办公大楼装备先进的通信信息系统与办公自动化系统，具有良好的工作环境与条件。办公人员可通过国内、国际直拨电话、电子邮件、图文、传真、电视会议等现代化的通信手段处理大量的日常工作，减少异地奔波，大大提高工作效率。 信息技术与信息产业的迅速发展，也为智能建筑提供了强有力的物质技术基础。八十年代，计算机系统小型化，个人微机得到广泛普及，RISC技术的发展使产品的性能大幅度提高，价格持续下降，应用日趋广泛。为办公自动化提供了先进的设备和技术保障。 通信领域的发展为未来建筑提出了较高的要求，建筑内的通讯设施和信息技术要求标准化、系统化、并且要具有一定的超意识，一般办公大楼的生命周期要远远长于信息技术的发展周期，因此，要尽可能地避免由此而带来的建筑设施的老化现象。 我国近年来随着经济的发展，对信息技术的需求大大增加。尤其外资、合资企业的增加，带动了国内建筑智能化进程的加快。近两年我国出现的高档建筑一般都具有这样一些特点： 建筑讲究，陈设高档，造价也比较高； 楼宇自动化系统先进，消防，保安设施严密，自动化程度高； 楼内通信设施先进； 办公环境舒适，安全； 国内目前也出现了一些具有一定智能化程度的办公大楼。这些大厦大多由国内单位设计，建筑并不奢华，但强调了先进的通信设施和计算机系统。这种大楼很适合目前国内各企业和公司租用。 4.2 系统需求 4.2.1 需求描述 采用“千兆骨干，百兆桌面”的总体设计思想，由于园区建筑楼宇规划数量较多，接入信息点分布不集中，所以我们采用中心配线+楼宇分配线间的设计架构，具体接入层信息点数量规划为： 序号 楼宇名称 拟开通信息点 1 101# 79 2 102# 10 3 103# 15 4 105# 14 5 106# 10 6 107# 12 7 108# 7 8 109# 7 9 110# 2 10 201# 9 合计 165个信息点 4.2.2 需求分析 目前，楼宇布线系统的结构选型一般有两种方式： 1. 结构化综合布线：即语音与数据一体化布线的思想，即在用户前端到配线间这部分也采用数据的双绞线缆来传输模拟的语音信号，配线间的110配线架也采用网络系统制作模式（4芯），这样的设计用于在用户端数据接入点不够的情况下，可将语音模块转接为数据应用，但其造价过高。 2. 传统布线：在实际的环境中，若数据的前端模块数量已考虑得比较饱和，将语音模块转接为数据应用的机率较小，同时这样做不仅会造成该系统材料、预埋工程量大幅上涨，也会使以后的网络管理存在较大的隐患在该系统的设计上更着重系统的实用性和性价比，在前端设计采用市话电缆+满配线架的方式。 在此次系统设计上，我们选择第二种方式，更具实用性和性价比。 4.3 系统设计原则 适用性----本设计从该系统能提供综合服务这一基本功能出发，主要满足以下诸项对布线系统的需求并且能够适应未来网络通讯技术的发展的需求。能支持各种数据通信、语音、、多媒体技术以及信息管理系统等，并且能适应现代和未来技术的发展，保证25年不落后于科技的发展。 灵活性---- 本设计能满足楼内及群楼各种通信设备的功能要求，即在不同楼层里搭建特定的通讯子网；在大楼任意的信息点上能够连接不同类型的设备；如计算机，电话机，传真机，打印机，终端机等。即，提供统一的线路接口，适应不同类型的设备。 可扩展性---- 实施后的结构化布线系统是可扩展的，以便能适应二十一世纪网络发展的需要，如155Base-T，622MbATM,1000Base-T等。 模块化结构---- 结构化布线系统中除去固定于建筑物内的水平线缆外，其所有的接插件都是积木式的标准件，以方便使用管理和扩充。可以使得在投入运行后的维护工作中，备品备件储备少，故障检查定位快，运行管理简单。 开放性-----即能支持任何厂家的任意网络产品，支持任意网络结构（总线型、星型、环型等）。 在满足应用要求的前提下，尽可能降低造价。 4.4 系统方案 根据结构化布线系统的设计思想 ，本设计方案包括： 工作区子系统--- 为用户提供一个即符合标准，又可满足高速数据、语音及多媒体传输的标准 。每个工作区有几个面板，每个面板有2～4个信息点（数据和电话各半）。 水平子系统 --- 将工作区引至管理子系统。 垂直子系统 --- 将分配线架与主配线架用星形结构连接起来。 设备间子系统 --- 采用跳线和光纤接续单元连接主机及网络设备。 管理子系统 --- 分布在各层竖井配线间，管理各层的水平布线，连接相应的网络设备。 4.4.1 设备间子系统设计 主设备间设根据机房要求位置暂时待定。系统主干采用光纤作为传输介质。在机房中放置24口配线架，用来端接各楼层的水平数据线缆。 4.4.1.1 中心配线间配置说明 本设计中网络系统的中心机房分别设一个总配线间，在每栋楼宇设置一分配线间，每个配线间的接入数据线缆采用19英寸24口机架式配线架进行端接，连接到网络设备上。 本设计中在分配线间数据点均选用19英寸机柜安装配线设备。（如图） 4.4.1.2 设备间及管理子系统元器件选型 24口超5类跳线架；（型号：F-201P-24） 4.4.2 水平子系统设计 为了满足用户今天以及未来发展的需要，同时避免重复布线。水平数据语音线缆选用FOREVER 超5类非屏蔽双绞线，其传输速度可达到155Mpbs。在几十年内内可以满足用户的语音、数据以及视频传输的需求。 由于整个办公区域大多有吊顶，我们将用桥架在每层的电井处吊顶引向走廊，然后PVC管分别引向各个工作部门；在各部门的相对应的位置处，沿墙体垂直开凿敷设PVC线槽（60*20mm）至地板，信息点将安装在墙体或隔断上距地面300mm处。每层的办公楼的信息点数如图（见附图）。 水平线缆的长度根据图纸估算并考虑了端接余量及富余量。 1箱＝1000FT＝305米 平均线缆长度（米）＝（最大长度＋最小长度）/2 ＋6米 ＋10％余量 UTP电缆用量(箱)＝信息点数*平均每信息点线缆长度/305 4.4.2.1 水平线缆子系统元器件选型 超5类非屏蔽双绞线； 4.4.2.2水平连接示意图 4.4.3工作区子系统设计 工作区即用户最终的办公区域。工作区是由信息插座到工作终端设备之间的连接电缆及适配器组成，即从标准的RJ-45型信息插座延伸到工作终端设备接口之间的布线组成。 办公区中部的信息点安装到地上，其信息插座与办公桌内侧贴地安装。其余信息点沿内墙，距地300mm暗装信息盒。根据通常的做法，因为每个I/O口均为计算机终端接口，所以在每个I/O附近宜留220V的电源插座，电源插座和信息出口间最小距离为120毫米。 根据各工作区信息点位置的不同 ，选择相应的信息插座（采用暗装方式）,本设计中暂时考虑全部采用墙面插座暗装（写字楼内是否采用地插待与用户协商后，在最终设计中考虑）。本方案中所有的信息插座均为（RJ45）。在方案中依据用户需求我们为用户共设计了165个信息点。 本方案采用原装符合国标 86 标准的面板。 4.4.3.1 信息点分布说明 各建筑内信息点分布见附图。 同时在设置工作区时作一定的预留，完全满足房间其它用途的需要。 注1：电源配套：每个信息面板配一个86暗装电源插孔（要求中心距不小于300mm）. 4.4.3.2 工作区子系统元器件选型： 超5类非屏蔽模块； 国际防尘单孔方面板； 超5类非屏蔽成型跳线3米； 4.4.4 垂直干线子系统设计 本次设计没有垂直主干系统 4.5 方案特点 l 经济性---长远地经济利益：使用结构化布线系统建立一个智能大楼，就相当于您节约了整个建筑永久的运行花费。 l 高效性---不断增长的建筑物运行花费是各种楼宇管理系统的主要关注点，安装结构化布线系统就是克服或降低这种花费的合理投资方式。这是因为结构化布线系统的高效性，对客户的需求保证快速反应，即是最低的花费。 l 便于重新安装---结构化布线系统，即可是面向新建筑的安装，又可用于建筑的翻新。一旦选用了结构化布线系统，那么不管是现在还是将来，它都能对建筑物内的环境提供完全的兼容支持。 l 低廉的运行花费---利用结构化布线系统，使系统运用、管理变为模块化和高灵活性，这可以大大降低运行花费。结构化布线系统即是一种节省运行花费的系统，这些运行花费主要包括：楼宇或建筑群中人员与设备的增加与重新安置，以及占用者不断变化的需求等方面所带来的花销。 l 布线系统是整个信息系统的基础。如果说信息系统是智能建筑的灵魂，那么布线系统就相当于信息系统的神经。因此，可以说布线技术的选择和布线系统的设计就决定了整个大楼的信息系统的生命力，它将关系到大楼未来三十年甚至五十年的使用效果。 4.6 系统产品描述 针对该建筑的使用性质，本设计方案中，我公司选择超5类系统（FOREVER350系统）来构造本大厦的通信及网络传输通道。 FOREVER350系列由“FOREVER认证工程安装商”安装，可获得15年质量保证，这意味着整套系统可在15年内享受迄今为止最好的产品和服务，要想让网络投资持续15年不落后，FOREVER350是最佳解决方案。 FOREVER350系统已经过全面测试，以保证满足155Mbps～ 622Mbps ATM和千兆以太网的需求。如测试报告结果显示，FOREVER350的通道性能远远高ANSI/EIA/TIA-568-A-6标准草案的通道要求。 4.6.1 FOREVER350 超5类模块 FOREVER 超5类模块特性： ☆单、双口模块配置 ☆空白板方便今后增容 ☆多种颜色编码设计和端口保护附件 ☆满足所有FCC规格 ☆FOREVER 超5类模块符合ISO提出的超5类标准，超过ISO／IEC11801－B规定的100欧姆标准，并能保证足够的安全余量。 ☆符合100 Mbps IEEE 802.3 (100Base-T)和16 Mbps IEEE 802.5令牌环网（UTP）应用 ☆在100MHz～350 MHz内通过UTP （每ANSI X3T12）全面支持100Mbps TP-PMD数据速度，模块完全支持622MbpsATM和千兆太网 4.6.2 FOREVER 超5类配线架 ☆配线架有12、24口和48口几种配置，标准19″（48.26cm）宽， ☆FOREVER超5类配线架符合标准规定之线缆绑扎张力和弯曲半径的要求和FOREVER的传输性能。 具有对多种线缆（如同轴电缆）的兼容性 第五章 网络系统 5.1 概述 随着电子商务的发展以及电子办公平台发展的需要，需要建设一套与之相配套、提高机构办公效率的信息化基础设施。另外，通过建设一套高效的电子公文传递机制、视频会议、视频电话等系统可以极大的提高办公效率、降低办公运作成本。 我们将利用先进成熟的计算机通信和IP网络技术和丰富的军网、企业网络建设经验，为企业集团构建一套基于网络系统的高效机动、快速准确、保密的信息沟通体系，建成连接集团总部和各级子单位的高速宽带城域网络系统，提供数据、语音、视频、监控等传输的统一网络平台，全面满足整个集团办公需要；建成各级部门的信息交换中心，实现各级部门间公文信息传递、交换、处理的网上互动；建成标准的电子公文信息资源库，在保证各种信息传递安全传输的同时实现信息的充分共享和广泛使用。 5.2 需求分析和设计原则 5.2.1 网络建设目标 建设总体目标是，立足办公工作的现实和发展，建设覆整个办公大楼的专用信息网络系统；以办公业务为中心，以保密性为第一原则，推进各类业务系统建设，实现数据、语音和视频图像等各类信息的交换和共享。 此次网络建设的具体建设目标可分解如下： 1、以办公业务为中心，以保密性为第一原则，把企业网络建设成为信息一体化、管理集中化、业务多样化的优秀网络； 2、网络结构清晰，网络层次合理。数据网络需要采用分布式布线，各个配线节点通过双绞线与中心交换机相连，形成千兆铜缆为骨干、桌面百兆接入的宽带网络，支持MPLS、IPV6等特性，方便的网络管理、安全的认证； 3、运营商级的网络系统安全性、运营安全性； 4、专网建设中应当充分考虑语音、数据、视频图像、监控等综合信息的传输、存储和交换，并且具备一定的扩充能力，以适应未来网络带宽的增长需求； 5、专网建设中必须确保信息安全、保密和传输安全。 5.2.2网络设计原则 IP协议是网络发展的一个重要推动力，是与Internet同步成长起来的网络协议。过去，IP协议并非主导的网络协议，但随着Internet的爆炸性增长，IP协议得到了广泛的应用。越来越多的应用程序，例如WWW技术，电子邮件，文件传输，等等。IP协议成为主导协议的趋势已经不可能逆转，这是技术的选择、是市场的选择，也是用户的选择。以IP技术为核心的现代制造企业网络，将为基于数据、语音、视频业务的广泛应用提供坚实的基础。 针对本次网络项目提出的方案是基于IP协议的设计。为实现网络高质、高效互联的目标要求，以及保证物理链路带宽、分析数据流的特点，合理分配网络资源、考虑网络层次清晰、网络冗余备份等，在网络设计中，我们始终坚持以下建网原则： 实用性原则： 以现行需求为基础，充分考虑发展的需要为依据来确定系统规模。本方案充分满足政务网络特定的应用功能和性能的需求，在保证系统安全可靠的情况下，选用性能高、价格优的产品。 安全性和可靠性原则： 计算机网络系统服务于办公的需要，对安全级别要求很高。系统应能提供网络层的安全手段防止系统外部成员的非法侵入。网络设计能有效的避免单点失败，在设备的选择和关键设备的互联时，提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。为此我们在网络设计上考虑以下的技术： 选择的网络设备必需具有良好的可靠性保证，可热插拔的模块，快速的恢复机制等； 冗余及负载均衡的电源系统。据研究，电源故障在实际系统中导致的系统故障比率高达60%； 其它关键设备的冗余，如控制模块、交换结构的冗余； 冗余及负载均衡的网络链路，确保不因为单条线路的故障而导致整个网络系统的失效，而且，确保在某条线路故障时对系统性能的影响也能最小。 企业网络的安全性尤其重要，必须确保系统的动作正常、用户信息、信息传输的保密，相关的安全机制包括： 完善的网络管理，基于政策式的控制； 基于网络五元组元素（源IP地址、目标IP地址、源MAC地址、目标MAC地址、端口号）进行用户地址唯一性标识和业务区分 网络设备支持多级别管理权限，支持RADIUS、TACACS+等认证机制，配置改变的管理记录； 支持VPN标准协议：L2TP、IPSec、MPLS VPN等功能。 成熟和先进性原则： 网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实用的技术。计算机及网络技术发展十分迅速，在设计中应顺应主流技术发展,本方案的设计宗旨是“立足今日，着眼未来”，在保证技术成熟的前提下，充分利用先进技术，满足现有需求，考虑潜在扩充。 规范性原则： 网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准，为网络的扩展升级、与其他网络的互联提供良好的基础。 开放性和标准化原则： 建立一个可靠、高效、灵活的计算机网络系统平台，不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换，还要考虑同层次网络互连，远程分部的互联，以及与相关信息系统网际互联，以充分共享资源。这些需求体现在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。 可扩充和扩展化原则： 所有网络设备不但满足当前需要，并在扩充模块后满足可预见将来需求，网络的拓扑可以灵活改变，实现如带宽和设备的扩展，应用的扩展和办公地点的扩展等。并保证建设完成后的网络在向新的技术升级时，能保护现有的投资。 可管理性、易维护原则： 随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂。整个网络系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。如：可以通过友好的图形化界面，对网络进行虚网划分，设置各子网的访问权限，实施网络的动态监测、配置，数据流量的分析等，简化网络的管理。 5.3网络建设方案 建设网络系统主要是为了满足管理层以及各职能部门管理层办公的需要，网络需要具备最高等级的可靠性和安全性才能实现企业管理层办公自动化和决策科学化。为了保证业务数据的安全性，根据不同业务的需求和各管理层分级管理的必要性，网络开通MPLS VPN业务把不同管理层或不同的业务部门隔离开来，以达到政务信息“最小授权原则、与己相关原则”，保证企业信息安全性。 建议网络采用标准星形架构，分核心层和接入层，越简单的网络结构越利于网络的管理和扩容。从接入交换机至核心交换机使用千兆或双千兆光纤链路互联，保证传输链路的高可靠性和高带宽，终端用户使用双绞线上行至接入交换机，保证终端用户的百兆接入。 1、核心层千兆路由交换机 在中心机房部署1台RS-5928千兆路由交换机，作为网络的核心交换设备，该款路由交换机是新一代的大容量、高性能核心路由交换机产品，其背板带宽高达240Gbps、交换容量可达240Gbps，包转发速率可达95Mpps，具备L2/L3/L4线速交换能力。关键模块均采用1:1冗余备份。可提供GE、FE、POS等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。支持ACL安全过滤机制，可提供基于用户、地址、应用以及端口级的安全控制功能，并支持IPSec、MPLS VPN特性。同时，支持基于端口不同优先级队列和基于流的入口和出口的带宽限制，支持uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传，VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外，系统还具备完善的抗病毒机制，可以为网络运营提供全面的安全保证。 2、接入层 在接入层各信息点部署2852S-LE，该款交换机具有32Gbps的交换容量，提供固定的48个10/100M以太网接口，提供2个模块插槽，提供100M光口、1000M光口和10/100/1000M自适应接口板，支持端口的捆绑，支持端口入口和出口的端口限速。实现用户隔离；实现4级QOS队列，满足用户等级区分要求，支持VoIP等业务的开展；支持ZGMP集群管理，自动发现和管理中兴交换机群组；支持IEEE 802.3x流量控制协议、IEEE 802.1x用户认证计费协议；支持端口、VLAN ID和MAC地址的捆绑，支持MAC地址过滤，封锁非法用户,充分保证管理层接入网络的高安全性需求。 3、网络安全实施方案 互连网建设的成败关键在于能否保证网络的高可用性和高安全性，本方案从系统设备到应用实施等多方面来考虑保证整个网络各层次的安全性。 对于核心交换设备，使用双电源系统，保证核心物理交换设备的电信级高可靠性； 接入层交换机使用千兆上联至RS-5928，保证整网链路的高可用性；同时为了进一步保证网络访问权限的隔离和分类，通过在接入层交换机上面根据具体情况划分VLAN，把同等级或同类用户划分在同一VLAN中，以进一步保证各类信息访问的安全性，并且使用QOS策略保证用户等级区分要求； 应用服务器使用千兆链路直接挂在核心交换设备RS-5928上，保证用户终端对于各种应用服务、数据库等访问的高带宽。 为了进一步保证业务数据的安全性，根据不同业务的需求和各管理层分级管理的必要性，网络开通MPLS VPN业务把不同管理层或不同的业务部门隔离开来，以达到企业信息“最小授权原则、与己相关原则”，保证企业信息安全性。 5.3.1 “互联网”网络建设方案 建设“互联网”主要是为了满足管理层以及各职能部门管理层办公的需要，网络需要具备最高等级的可靠性和安全性才能实现企业管理层办公自动化和决策科学化。为了保证业务数据的安全性，根据不同业务的需求和各管理层分级管理的必要性，网络开通MPLS VPN业务把不同管理层或不同的业务部门隔离开来，以达到政务信息“最小授权原则、与己相关原则”，保证企业信息安全性。 图1 互联网建设组网图 如图1所示，建议互连网采用标准星形架构，分核心层和接入层，越简单的网络结构越利于网络的管理和扩容。从接入交换机至核心交换机使用千兆或双兆光纤链路互联，保证传输链路的高可靠性和高带宽，终端用户使用双绞线上行至接入交换机，保证终端用户的百兆接入。 1、核心层路由交换机 在中心机房部署1台5928路由交换机，作为互联网的核心交换设备，该款路由交换机是新一代的大容量、高性能核心路由交换机产品，具备L2/L3/L4线速交换能力。并全面支持IPv4、IPv6、NAT、组播、QoS、带宽控制等业务功能。支持ACL安全过滤机制，可提供基于用户、地址、应用以及端口级的安全控制功能，并支持IPSec、MPLS VPN特性。同时，支持基于端口不同优先级队列和基于流的入口和出口的带宽限制，支持uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传，VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外，系统还具备完善的抗病毒机制，可以为网络运营提供全面的安全保证。 2、接入层 在接入层各信息点部署2852S-LE，该款交换机具有大的交换容量，提供固定的48个10/100M以太网接口，提供2个模块插槽，提供100M光口、1000M光口和10/100/1000M自适应接口板，支持端口的捆绑，支持端口入口和出口的端口限速。实现用户隔离；实现4级QOS队列，满足用户等级区分要求，支持VoIP等业务的开展；支持ZGMP集群管理，自动发现和管理中兴交换机群组；支持IEEE 802.3x流量控制协议、IEEE 802.1x用户认证计费协议；支持端口、VLAN ID和MAC地址的捆绑，支持MAC地址过滤，封锁非法用户,充分保证管理层接入网络的高安全性需求。 3、网络安全实施方案 互连网建设的成败关键在于能否保证网络的高可用性和高安全性，本方案从系统设备到应用实施等多方面来考虑保证整个网络各层次的安全性。 接入层交换机使用千兆上联至5928S，保证整网链路的高可用性；同时为了进一步保证网络访问权限的隔离和分类，通过在接入层交换机上面根据具体情况划分VLAN，把同等级或同类用户划分在同一VLAN中，以进一步保证各类信息访问的安全性，并且使用QOS策略保证用户等级区分要求； 应用服务器使用千兆链路直接挂在核心交换设备5928S上，保证用户终端对于各种应用服务、数据库等访问的高带宽。 为了进一步保证业务数据的安全性，根据不同业务的需求和各管理层分级管理的必要性，网络开通MPLS VPN业务把不同管理层或不同的业务部门隔离开来，以达到企业信息“最小授权原则、与己相关原则”，保证企业信息安全性。 5.4 端到端的Qos保障 每端口线速路由 消除路由器瓶颈，实现对网络的全面控制 无阻塞多点交换矩阵 避免因交换硬件阻塞导致输出端口过端，隔离网络阻塞节点从而避免对其它数据流产生影响 大缓冲能力 避免在出现数据包突发时由于超过输出端口的能力而产生丢包现象分组的分段大小可达64K。 流量分类和优先化 基于硬件的第二层802.1p，第三层的DIFFSERV分类/TOS位映射保证线速的区分服务。 层四流交换 提供应用级的策略路由 资源，COS，QoS SNMP MIBS，SDK库 允许快速地应用和实现强有力的QoS策略，ISP能利用这些资源定义增殖服务 每端口的RMONandRMON2 了解现有网络的流量情况，也便进一步优化及规划网络. 访问速率限制 可提供基于端口的访问速率限制，基于流的访问速率限制(双向) 冲突管理和排队机制 提供严格队列，加权公平队列，及随机早期检测机制避免冲突 5.4.1 QoS服务模型 QoS服务模型，是指网络提供的满足业务端到端的QoS服务能力。RS-5900系列产品可以提供以下三种QoS服务模型： 1.Best-Effort service 2.Intserv（Integrated service） 3. Diffserv（Differentiated service） Best-Effort service Best-Effort是一个单一的服务模型。对Best-Effort服务，网络尽最大的可能性来发送报文，但对时延、可靠性等性能不提供任何保证。 Best-Effort服务是RS-5900的缺省服务模型，它适用于绝大多数网络应用，通过先进先出（FIFO）队列来实现。 Intserv (Integrated service) Intserv是一个综合服务模型，可以满足多种QoS需求。这种服务模型在发送报文前，需要通过信令（signal）向网络发出请求，申请特定的服务。请求通知网络服务的流量参数和需要的特定服务质量请求，包括带宽、时延等，当确认网络已经为这个应用程序的报文预留了足够资源后，才开始发送报文。 可以用RSVP(资源预留协议)作为信令发送QoS请求，它通知网络应用(服务)的