第0組 網(wǎng)絡(luò)系統(tǒng)設(shè)計方案

XXX大通關(guān)平臺環(huán)境及網(wǎng)絡(luò)建設(shè)采購項目之網(wǎng)絡(luò)系統(tǒng)方案設(shè)計目錄序言我們方案將對當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)進行改造，更新7個分支局路由器設(shè)備；購置防毒墻，布署在各局LAN出口處，把全省網(wǎng)絡(luò)分成獨立病毒防范區(qū)域，提升安全能力；升級7個分支局主交換機，選擇滿足招標(biāo)性能指標(biāo)、高性價比國內(nèi)市場前三位著名產(chǎn)品。依照機房綜合布線情況和實際網(wǎng)絡(luò)需求，進行網(wǎng)絡(luò)統(tǒng)一規(guī)劃，統(tǒng)一規(guī)劃IP地址，提出詳細網(wǎng)絡(luò)設(shè)計方案與產(chǎn)品配置提議。同時我們將統(tǒng)一規(guī)劃網(wǎng)絡(luò)管理，提出合理網(wǎng)絡(luò)管理策略，對網(wǎng)絡(luò)安全提出詳細組織管理和技術(shù)管理提議。需求分析網(wǎng)絡(luò)規(guī)?，F(xiàn)在，浙江檢驗檢疫廣域網(wǎng)以省局兩臺Cisco7206為關(guān)鍵，每臺配置一個STM-1信道化155M光纖端口，到各分支局采取2條2MSDH數(shù)字電路，全網(wǎng)關(guān)鍵設(shè)備互為備份，線路負載均衡，具備較高可靠性。不過，地域局只有四個局采取了Cisco3845路由器，其余局采取是Cisco2500、2600等低端設(shè)備，性能低下，需更換成高性能路由器。各局之間無安全防范設(shè)備，造成沖擊波等蠕蟲病毒快速全網(wǎng)擴散，嚴重影響網(wǎng)絡(luò)正常運轉(zhuǎn)。地域局關(guān)鍵交換設(shè)備采購于，部分端口不能正常工作，而且不滿足現(xiàn)在數(shù)據(jù)通訊需要，甚至部分設(shè)備時常發(fā)生故障。全省布署了趨勢防病毒系統(tǒng)，經(jīng)過TMCM統(tǒng)一管理。另外，省局網(wǎng)絡(luò)中心局域網(wǎng)關(guān)鍵設(shè)備有兩套Nortel8610、兩套防火墻NetScreenISG。依照用戶需要我們做對網(wǎng)絡(luò)系統(tǒng)做以下更新：更新7個分支局路由器設(shè)備。購置防毒墻，布署在各局LAN出口處，把全省網(wǎng)絡(luò)分成獨立病毒防范區(qū)域，提升安全能力。升級7個分支局主交換機，選擇滿足招標(biāo)性能指標(biāo)、高性價比國內(nèi)市場前三位著名產(chǎn)品。實施省內(nèi)7個分支局路由器和交換機布署、現(xiàn)場培訓(xùn)。實施全省防毒墻布署、現(xiàn)場培訓(xùn)。用戶需求本項目是一個系統(tǒng)集成項目，投標(biāo)人應(yīng)在對本標(biāo)書中所列出技術(shù)要求全方面分析和了解基礎(chǔ)上，同時考慮浙江檢驗檢疫局業(yè)務(wù)平臺軟硬件環(huán)境，按照系統(tǒng)觀點提供所需軟件、硬件設(shè)備、各種配件、組件和線纜等（包含未在招標(biāo)貨物需求一覽表中列明但必須組件）。為便于系統(tǒng)集成、維護和管理，在確保系統(tǒng)最優(yōu)化前提下，應(yīng)盡可能確保所選取同類和/或相關(guān)類軟硬件產(chǎn)品生產(chǎn)廠家一致性，并盡可能與現(xiàn)關(guān)于鍵設(shè)備生產(chǎn)廠家保持良好兼容性。投標(biāo)人應(yīng)充分了解業(yè)主需求，提出系統(tǒng)集成方案和軟硬件配置方案。投標(biāo)人應(yīng)確保系統(tǒng)能夠集成和實際運行，假如招標(biāo)文件要求與此發(fā)生沖突，或投標(biāo)人認為必需設(shè)備或軟件而本招標(biāo)文件沒有要求，投標(biāo)人應(yīng)向招標(biāo)人或招標(biāo)代理機構(gòu)提出書面質(zhì)疑。系統(tǒng)必須有較強容錯能力和故障恢復(fù)能力，投標(biāo)人應(yīng)對此做出明確方案說明。投標(biāo)人必須對所投包中所包括軟硬件產(chǎn)品，提供系統(tǒng)集成方案。系統(tǒng)集成方案應(yīng)包含詳細服務(wù)內(nèi)容、實現(xiàn)方法、實施計劃和價格。系統(tǒng)集成既要考慮到各個系統(tǒng)相關(guān)性，又要突出本系統(tǒng)特點，而且確保能夠與其余應(yīng)用系統(tǒng)順利銜接。在系統(tǒng)集成方案中，要列出全部詳細實施步驟及相關(guān)要求，各項實施任務(wù)要有明確目標(biāo)與時間安排，列出實施必要前提條件，列出詳細、有依照項目實施人員工作量，要求層次清楚，可行性、可操作性高，有時間確保，責(zé)任要明確。安全需求1、應(yīng)在合理網(wǎng)絡(luò)拓撲結(jié)構(gòu)基礎(chǔ)上規(guī)劃以及生產(chǎn)網(wǎng)絡(luò)安全系統(tǒng)，應(yīng)對網(wǎng)絡(luò)協(xié)議和應(yīng)用透明。防止因為安全設(shè)計和實現(xiàn)帶來無須要性能、連接、策略、響應(yīng)等方而漏洞和不安全原因，并由此產(chǎn)生對系統(tǒng)性能、穩(wěn)定性和可靠性方面影響；2、預(yù)防其余網(wǎng)絡(luò)非授權(quán)用戶或非法用戶進入生產(chǎn)內(nèi)網(wǎng)；3、預(yù)防基于Microsoft、linux操作系統(tǒng)辦公內(nèi)網(wǎng)感染計算機病毒，如：蠕蟲或木馬程序等，傳輸?shù)缴a(chǎn)內(nèi)網(wǎng)，造成大通關(guān)生產(chǎn)網(wǎng)癱瘓，影響到整個業(yè)務(wù)系統(tǒng)安全；4、阻止內(nèi)部用戶或外網(wǎng)用戶對大通關(guān)等生產(chǎn)應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及業(yè)務(wù)應(yīng)用等系統(tǒng)非授權(quán)連接和訪問；5、最終網(wǎng)絡(luò)安全系統(tǒng)應(yīng)易操作、易維護，具備自動控制能力，最大程度降低人為介入所造成安全風(fēng)險和管理復(fù)雜度增加。6、與現(xiàn)在全省布署防病毒系統(tǒng)兼容，能夠統(tǒng)一管理。運行需求1）網(wǎng)絡(luò)故障采集方式支持ICMPPing、SNMPTrap監(jiān)控方式。2）能夠自動連續(xù)搜集系統(tǒng)運行性能信息并對這些信息進行分析處理，全部數(shù)據(jù)可提供給用戶進行歷史性分析，以定位系統(tǒng)瓶頸和故障。對引發(fā)網(wǎng)絡(luò)工作效率及功效部分下降時提出告警信息，嚴重下降時則由故障管理處理。3）能夠?qū)崿F(xiàn)故障事件集中管理。應(yīng)有對事件可重定向傳遞功效，使全部或某一類事件轉(zhuǎn)發(fā)至特定事件主控臺，從而實現(xiàn)對事件集中管理。4）能夠?qū)崿F(xiàn)對事件過濾及分類。應(yīng)能經(jīng)過定義(比如依照事件起源、類型、告警級別等)實現(xiàn)對事件主控臺所收到事件過濾和分類并傳遞事件至上級事件主控臺；能夠按照設(shè)置，自動抑制重復(fù)事件，降低系統(tǒng)負載。5）能夠依照要求，實現(xiàn)對所搜集到事件自動處理，比如收到一特定事件信息時，系統(tǒng)能自動執(zhí)行一個或一組動作，動作能夠是各種方式（醒目信息顯示、聲音報警、自動撥通電話或手機短信前轉(zhuǎn)等）。管理需求1）支持網(wǎng)絡(luò)節(jié)點二層、三層自動發(fā)覺，網(wǎng)絡(luò)拓撲結(jié)構(gòu)自動生成及實時更新。對于自動發(fā)覺網(wǎng)絡(luò)設(shè)備和不一樣平臺主機以不一樣圖標(biāo)顯示出來，便于直觀觀察和監(jiān)控。對于無法自動識別生產(chǎn)廠家及產(chǎn)品類型網(wǎng)絡(luò)和主機設(shè)備，應(yīng)提供手工方式加以定義。2）拓撲圖能夠顯示設(shè)備、線路類型，線路及設(shè)備通斷情況。故障設(shè)備和線路能夠清楚地在拓撲圖上顯示。3）能夠基于被管理對象狀態(tài)調(diào)整參數(shù)采集頻率和密度。4）拓撲結(jié)構(gòu)能顯示出TCP/IP廣域連接設(shè)備、線路和當(dāng)?shù)鼐钟蚓W(wǎng)運行狀態(tài)，在需要時以主動、實時方式查看從本級網(wǎng)絡(luò)一直到二級網(wǎng)絡(luò)末端節(jié)點連接情況。5）對設(shè)備擴展MIB進行加載。性能需求網(wǎng)絡(luò)性能管理應(yīng)該表現(xiàn)網(wǎng)絡(luò)中鏈路實時流量，并能保留歷史流量，同時還應(yīng)包含流量分析功效。它能夠使管理人員能夠全方面監(jiān)控關(guān)鍵網(wǎng)絡(luò)內(nèi)各種資源,及時取得資源使用情況,在系統(tǒng)問題惡化之前,就可處理問題，同時也可作為管理人員對于網(wǎng)絡(luò)調(diào)優(yōu)、設(shè)備擴容時主要依據(jù)。1）實時性能監(jiān)測內(nèi)容：菜單方式開啟實時網(wǎng)絡(luò)性能監(jiān)測，包含物理端口、邏輯端口數(shù)據(jù)流量，CPU、內(nèi)存利用率，以及丟包、沖突等，并能夠以數(shù)字或圖表方式打印輸出。能夠直接顯示某個用戶訪問網(wǎng)絡(luò)全路徑，以找出正在使用關(guān)鍵網(wǎng)絡(luò)資源用戶或引發(fā)網(wǎng)絡(luò)性能問題用戶。2）在拓撲圖中，能以鏈路線粗細來顯示網(wǎng)絡(luò)流量情況；3）鏈路旁邊使用提醒信息來顯示網(wǎng)絡(luò)流量詳細數(shù)值（包含利用率）；4）經(jīng)過彈出窗口或者閃爍方式來顯示流量告警情況；5）用戶能夠點擊某條鏈路來顯示其詳細鏈路和流量情況；6）流量數(shù)據(jù)實時更新，更新間隔可配置；7）能夠顯示實時流量趨勢圖；8）性能展示自動關(guān)聯(lián)拓撲圖變更9）后臺周期性能統(tǒng)計：后臺以周、月、季、六個月、整年為周期采集網(wǎng)絡(luò)性能數(shù)據(jù)，包含物理端口、邏輯端口、CPU、內(nèi)存平均利用率，以及丟包、沖突等。在需要時自定義采樣點及采集周期，分別對上述內(nèi)容進行后臺數(shù)據(jù)統(tǒng)計，便于分析一天中或一段時間內(nèi)數(shù)據(jù)通訊走勢。監(jiān)測統(tǒng)計結(jié)果能夠以定制數(shù)字或圖表方式打印輸出以及經(jīng)過瀏覽器方式查詢。網(wǎng)絡(luò)需求1、網(wǎng)絡(luò)設(shè)計與設(shè)備選型配置充分考慮實施、管理、維護需要，確保系統(tǒng)成功實施，正常運行；2、依照機房綜合布線情況和實際網(wǎng)絡(luò)需求，進行網(wǎng)絡(luò)統(tǒng)一規(guī)劃，統(tǒng)一規(guī)劃IP地址，提出詳細網(wǎng)絡(luò)設(shè)計方案與產(chǎn)品配置提議；3、采取主流網(wǎng)絡(luò)產(chǎn)品和技術(shù)，設(shè)計合理局域網(wǎng)絡(luò)系統(tǒng)平臺，可適應(yīng)總局機房布線工程需要，提供多個類型端口連接并滿足帶寬增加需要；4、統(tǒng)一規(guī)劃網(wǎng)絡(luò)管理，提出合理網(wǎng)絡(luò)管理策略，對網(wǎng)絡(luò)安全提出詳細組織管理和技術(shù)管理提議；5、統(tǒng)一規(guī)劃各分支局關(guān)鍵層交換網(wǎng)絡(luò)STP，提出合理Spanningtree規(guī)劃方案與實施計劃。6、整個網(wǎng)絡(luò)系統(tǒng)新購置設(shè)備應(yīng)具備良好平臺兼容性，必須實現(xiàn)與省局現(xiàn)有Cisco7206平滑連接，實現(xiàn)專網(wǎng)上MPLS、VPN、QoS等。三、網(wǎng)絡(luò)總體方案設(shè)計網(wǎng)絡(luò)設(shè)計基本標(biāo)準(zhǔn)技術(shù)先進性、性能超前標(biāo)準(zhǔn)

計算機網(wǎng)絡(luò)技術(shù)發(fā)展非?？焖伲谟嬎銠C應(yīng)用領(lǐng)域占有越來越主要地位。必須認識到，建立計算機網(wǎng)絡(luò)是一個動態(tài)過程，在這個過程中將不停有新技術(shù)產(chǎn)生，有新產(chǎn)品出現(xiàn)。所以,一定要采取最先進組網(wǎng)技術(shù)，選取代表當(dāng)今世界時尚趨勢計算機企業(yè)網(wǎng)絡(luò)產(chǎn)品，才能在未來發(fā)展中保持技術(shù)領(lǐng)先。

國際標(biāo)準(zhǔn)及開放性

當(dāng)代網(wǎng)絡(luò)技術(shù)發(fā)展趨勢是遵照國際統(tǒng)一標(biāo)準(zhǔn)開放系統(tǒng)、支持分布式計算和客戶機/計算機，運行多個網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議，兼容其余廠商網(wǎng)絡(luò)產(chǎn)品，恪守國際標(biāo)準(zhǔn)開放式系統(tǒng)。這么，才能在未來發(fā)展中保持網(wǎng)絡(luò)配置和應(yīng)用模式靈活性。

充分、可擴展帶寬

伴隨應(yīng)用軟件復(fù)雜程度增加，網(wǎng)絡(luò)用戶數(shù)量增加以及多媒體技術(shù)普及，當(dāng)今網(wǎng)絡(luò)對帶寬需求日益增加。傳統(tǒng)共享式10M/16M

網(wǎng)絡(luò)已不能滿足需求。網(wǎng)絡(luò)系統(tǒng)應(yīng)該能為用戶提供足夠帶寬，滿足用戶實際應(yīng)用需求，而且?guī)拺?yīng)該是動態(tài)可調(diào)整、可擴展。

安全可靠性

網(wǎng)絡(luò)安全可靠性是網(wǎng)絡(luò)一個主要指標(biāo)。計算機網(wǎng)絡(luò)系統(tǒng)必須絕對可靠，網(wǎng)絡(luò)設(shè)計必須可靠性重點考慮。從結(jié)構(gòu)設(shè)計、產(chǎn)品選擇以及網(wǎng)絡(luò)管理上要對網(wǎng)絡(luò)可靠性作出確保。安全性與可靠性一樣主要，除了系統(tǒng)提供多個安全控制伎倆外，網(wǎng)絡(luò)設(shè)計也要提供保障其安全伎倆。

網(wǎng)絡(luò)可管理

網(wǎng)絡(luò)系統(tǒng)有限企業(yè)網(wǎng)絡(luò)是一條信息公路，設(shè)計時必須提供足夠伎倆對信息公路進行方便管理，以確保其一直保持在最好狀態(tài)下運行。沒有網(wǎng)絡(luò)管理功效將極難確保系統(tǒng)正常運行。

實用性

網(wǎng)絡(luò)設(shè)計一定要充分保護網(wǎng)絡(luò)系統(tǒng)現(xiàn)有資源。同時要依照實際情況，采取新技術(shù)和新裝備，還需要考慮組網(wǎng)過程要與平臺建設(shè)及開發(fā)同時進行，建立一個實用網(wǎng)絡(luò)。力爭使網(wǎng)絡(luò)既滿足現(xiàn)在需要，又能適應(yīng)未來發(fā)展，同時達成很好性能/價格比。

低成本性標(biāo)準(zhǔn)用最少錢辦最多最好事

買得起馬配得起鞍模塊化、層次化設(shè)計標(biāo)準(zhǔn)2.1模塊化標(biāo)準(zhǔn)：模塊化設(shè)計標(biāo)準(zhǔn)是力爭以少數(shù)模塊組成盡可能多產(chǎn)品，并在滿足要求基礎(chǔ)上使產(chǎn)品精度高、性能穩(wěn)定、結(jié)構(gòu)簡單、成本低廉，且模塊結(jié)構(gòu)應(yīng)盡可能簡單、規(guī)范，模塊間聯(lián)絡(luò)盡可能簡單。所以，怎樣科學(xué)地、有節(jié)制地劃分模塊，是模塊化設(shè)計中很具備藝術(shù)性一項工作，既要照料制造管理方便，具備較大靈活性，防止組合時產(chǎn)生混亂，又要考慮到該模塊系列未來擴展和向?qū)Ｓ?、變型產(chǎn)品輻射。劃分好壞直接影響到模塊系列設(shè)計成功是否?？傉f來，劃分前必須對系統(tǒng)進行仔細、系統(tǒng)功效分析和結(jié)構(gòu)分析，并要注意以

下各點：

l）模塊在整個系統(tǒng)中作用及其更換可能性和必要性。

2）保持模塊在功效及結(jié)構(gòu)方面有一定獨立性和完整性。

3）模塊間接合要素要便于聯(lián)接與分離。

4）模塊劃分不能影響系統(tǒng)主要功效。我們將網(wǎng)絡(luò)化分為三個模塊：計費管理，網(wǎng)絡(luò)管理，安全管理。2.2層次化標(biāo)準(zhǔn)為降低網(wǎng)絡(luò)中各部分相關(guān)性，便于網(wǎng)絡(luò)實施及管理，在網(wǎng)絡(luò)構(gòu)建中，從整體上能夠?qū)⒕W(wǎng)絡(luò)劃分為關(guān)鍵層、匯聚層、接入層等三個層次。

1、關(guān)鍵層

負責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點之間互聯(lián)及完成高效數(shù)據(jù)傳輸、交換、轉(zhuǎn)發(fā)及路由分發(fā)。

2、匯聚層

負責(zé)將各種接入業(yè)務(wù)集中起來，除了進行局部數(shù)據(jù)交換、轉(zhuǎn)發(fā)以外，經(jīng)過高速接口將數(shù)據(jù)輸送到關(guān)鍵層去，在更大范圍內(nèi)進行數(shù)據(jù)路由以及處理。

3、接入層

設(shè)備提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基本業(yè)務(wù)系統(tǒng)之間隔離和安全性控制、認證管理等功效。標(biāo)準(zhǔn)化、規(guī)范化設(shè)計標(biāo)準(zhǔn)依照網(wǎng)絡(luò)標(biāo)準(zhǔn)化設(shè)計標(biāo)準(zhǔn)，結(jié)合浙江局網(wǎng)絡(luò)結(jié)構(gòu)特點，考慮網(wǎng)絡(luò)擴展性，此次網(wǎng)絡(luò)改造實施方案設(shè)計征循以下設(shè)計標(biāo)準(zhǔn)：1．?dāng)U展性在一個網(wǎng)絡(luò)上考慮網(wǎng)絡(luò)增值業(yè)務(wù)，必須在增值業(yè)務(wù)上要考慮到今后擴展性，包含硬件擴展性和功效擴展性，以滿足不停發(fā)展網(wǎng)絡(luò)互聯(lián)需求。邁普1700路由器堅持模塊化與標(biāo)準(zhǔn)化設(shè)計，緊跟技術(shù)發(fā)展方向，連續(xù)推出新接口模塊和傳輸模塊，模塊采取了標(biāo)準(zhǔn)化設(shè)計，具備可替換性。邁普1700路由器IOS堅持采取國際標(biāo)準(zhǔn)網(wǎng)絡(luò)鏈路協(xié)議和路由協(xié)議，同時也支持一些通用國際路由協(xié)議，具用很好兼容性。邁普企業(yè)擁有完全自主知識產(chǎn)權(quán)，緊跟網(wǎng)絡(luò)技術(shù)發(fā)展，不停擴充新技術(shù)與功效，使MP1700路由器具用非常好擴展性，能夠滿足客戶對新技術(shù)新應(yīng)用不停需求。2．科學(xué)性網(wǎng)絡(luò)改造實施方案設(shè)計要求依據(jù)科學(xué)規(guī)范化設(shè)計要求，確保整個網(wǎng)絡(luò)結(jié)構(gòu)科學(xué)性。提供網(wǎng)絡(luò)改造實施方案嚴格遵照網(wǎng)絡(luò)設(shè)計規(guī)范要求，采取層次化結(jié)構(gòu)化設(shè)計，使設(shè)計網(wǎng)絡(luò)層次分明，結(jié)構(gòu)分明。3．穩(wěn)定可靠性網(wǎng)絡(luò)穩(wěn)定性和可靠性是一個網(wǎng)絡(luò)能夠投入使用基礎(chǔ)，也是用戶最關(guān)心問題之一。邁普提供設(shè)備采取技術(shù)是最新最成熟技術(shù)，完全遵照國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)，在功效實現(xiàn)上是成熟和穩(wěn)定，和其余設(shè)備具用完全兼容性。提供設(shè)備在國內(nèi)外眾多行業(yè)中得到了廣泛應(yīng)用，在眾多網(wǎng)絡(luò)中發(fā)揮主要作用。同時提供網(wǎng)絡(luò)整套處理方案，提供了路由器、交換機、網(wǎng)絡(luò)管理、安全產(chǎn)品等所用產(chǎn)品，完全能夠確保網(wǎng)絡(luò)穩(wěn)定可靠性。4．網(wǎng)絡(luò)管理在網(wǎng)絡(luò)建成后，網(wǎng)絡(luò)設(shè)備管理將成為最主要日常工作。邁普MP1700路由器和和交換機支持SNMP協(xié)議。邁普企業(yè)能夠提供全方面網(wǎng)絡(luò)管理軟件MasterPlan，能夠完成對邁普網(wǎng)絡(luò)設(shè)備全方面管理。5．安全性確保網(wǎng)絡(luò)傳輸，內(nèi)部數(shù)據(jù)安全，對于以后安全擴展非常方便。技術(shù)及策略標(biāo)準(zhǔn)4.1、IPPrecedenceforTrafficClassificationIPprecedenceClassification在網(wǎng)絡(luò)邊緣進行，利用IPv4包頭Type-of-Service3個比特對每一個IP包依據(jù)其地址進行優(yōu)先級分類。最多能夠?qū)raffic分為6個等級。在關(guān)鍵利用不一樣Queuing技術(shù)對不一樣等級traffic進行不一樣處理，使得不一樣服務(wù)級別得到表現(xiàn)。4.2、用CAR限制接入帶寬CommittedAccessRate提供一個伎倆來提供承諾帶寬和限制帶寬使用，在此同時，提供處理超出承諾帶寬以外流量策略。CAR配置在城域網(wǎng)邊緣，能夠基于接入端口、IP地址以及傳輸層端口號進行分類。CAR采取令牌桶算法進行流量整形。對于超出流量，CAR利用extendedburst定義閾值，超出閾值流量降低優(yōu)先級或丟掉。CAR策略選項包含：FirmCAR–超出流量被丟棄CAR+Premium–超出流量被標(biāo)為更低優(yōu)先級CAR+BestEffort–超出流量有一個突發(fā)閾值，再超出該閾值流量被丟棄PerApplicationCAR–不一樣CAR策略作用于不一樣應(yīng)用。比如，主要應(yīng)用采取CAR+Premium策略，多媒體應(yīng)用采取CAR+BestEffort策略。4.3、用WRED進行擁塞管理采取WRED進行擁塞管理。WRED在網(wǎng)絡(luò)瓶頸處監(jiān)視并緩解網(wǎng)絡(luò)擁塞。城域網(wǎng)瓶頸可能出現(xiàn)地方主要是和163省網(wǎng)骨干連接地方。WRED監(jiān)視網(wǎng)絡(luò)負載，當(dāng)擁塞開始剛出現(xiàn)時，它就開始有選擇丟棄一些包以降低流量。其結(jié)果是，數(shù)據(jù)源覺察到丟包，就開始降低發(fā)包速率，從而防止了擁塞。WRED丟包策略為：低優(yōu)先級流先丟，以確保高優(yōu)先級流能夠順通暢過。在可能發(fā)生擁塞端口運行WRED和DRR是防止擁塞很好選擇。4.4、基于CoSDRRAlternatepriority隊列能夠和其它隊列交替，Alternatpriority為基于CoS隊列指定“deficitcounter”。GSR開始以交替、Round-robin方式清空隊列長度，每個隊列被清掉traffic決定于該隊列deficitcounter值，這個值對于每個隊列是不一樣。比如，有三個服務(wù)類別，那么在GSR上有三個活動隊列。隊列1是一個特殊隊列，它采取Alternatepriority。GSR開始清空該隊列traffic，直抵達成deficitcounter值。然后，GSR開始清空隊列2traffic，直到用完deficitcounter。然后，它再轉(zhuǎn)回到隊列1。接著，GSR再開始從隊列3清空traffic，然后，再轉(zhuǎn)回隊列1。每趟清空traffic取決于隊列deficitcounter值。Deficitcounter值由系統(tǒng)管理員決定。Strictpriority隊列不采取deficitcounter，不過其它隊列采取。Strictpriority隊列相對其它隊列具備絕正確優(yōu)先權(quán)。GSR首先清空Strictpriority隊列，然后才是其它隊列。這一機制在網(wǎng)絡(luò)繁忙時候可能會造成其它隊列完全得不到服務(wù)。其它隊列以一個Round-robin方式輪轉(zhuǎn)，每次服務(wù)權(quán)值為deficitcounter。4.5、SDH同時數(shù)字體系SDH（SynchronousDigitalHierarchy，同時數(shù)字體系）是一個將復(fù)接、線路傳輸及交換功效融為一體、并由統(tǒng)一網(wǎng)管系統(tǒng)操作綜合信息傳送網(wǎng)絡(luò)，是美國貝爾通信技術(shù)研究所提出來同時光網(wǎng)絡(luò)（SONET）。國際電話電報咨詢委員會（CCITT）（現(xiàn)ITU-T）于1988年接收了SONET概念并重新命名為SDH，使其成為不但適適用于光纖也適適用于微波和衛(wèi)星傳輸通用技術(shù)體制。它可實現(xiàn)網(wǎng)絡(luò)有效管理、實時業(yè)務(wù)監(jiān)控、動態(tài)網(wǎng)絡(luò)維護、不一樣廠商設(shè)備間互通等多項功效，能大大提升網(wǎng)絡(luò)資源利用率、降低管理及維護費用、實現(xiàn)靈活可靠和高效網(wǎng)絡(luò)運行與維護，所以是當(dāng)今世界信息領(lǐng)域在傳輸技術(shù)方面發(fā)展和應(yīng)用熱點，受到人們廣泛重視。SDH采取信息結(jié)構(gòu)等級稱為同時傳送模塊STM－N（SynchronousTransport，N=1，4，16，64），最基本模塊為STM－1。SDH幀傳輸時按由左到右、由上到下次序排成串型碼流依次傳輸，每幀傳輸時間為125μs，每秒傳輸1／125×1000000幀，對STM－1而言每幀字節(jié)為8bit×（9×270×1）=19440bit，則STM－1傳輸速率為19440×8000=155.520Mbit／SDH關(guān)鍵就是應(yīng)用了波分多路復(fù)用技術(shù),就是一條光纖信道上傳輸多條信號,SDH網(wǎng)絡(luò)是ATM,DDN等中繼網(wǎng)絡(luò)服務(wù)承載網(wǎng)4.6、MPLS和VPN支持。MPLS(MultiprotocolLabelSwitching，多協(xié)議標(biāo)識交換)是從90年代中期起新興多層交換技術(shù)標(biāo)準(zhǔn)化和最新進展，最初提出MPLS技術(shù)初衷是為了加緊IP轉(zhuǎn)發(fā)速度。即使MPLS最初是動機是提升路由交換設(shè)備轉(zhuǎn)發(fā)速度，伴隨硬件技術(shù)及網(wǎng)絡(luò)處理器技術(shù)不停發(fā)展，MPLS應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLSVPN等。MPLSVPN是一個基于MPLS技術(shù)IP-VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)，簡化關(guān)鍵路由器路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)標(biāo)識交換實現(xiàn)IP虛擬專用網(wǎng)絡(luò)（IPVPN），可用來結(jié)構(gòu)寬帶Intranet、Extranet，滿足多個靈活業(yè)務(wù)需求。采取MPLSVPN技術(shù)能夠把現(xiàn)有IP網(wǎng)絡(luò)分解成邏輯上隔離網(wǎng)絡(luò)，這種邏輯上隔離網(wǎng)絡(luò)應(yīng)用能夠是千變?nèi)f化：能夠是用在處理企業(yè)互連、政府相同/不一樣部門互連、也能夠時用來提供新業(yè)務(wù)---如為IP電話業(yè)務(wù)專門開辟一個VPN、以此處理IP網(wǎng)絡(luò)地址不足和QoS問題，也能夠為用MPLSVPN為IPv6提供開展業(yè)務(wù)可能。4.7、分局網(wǎng)絡(luò)STP統(tǒng)一設(shè)計。STP即生成樹協(xié)議（spanning-tree

protocol）是一個二層鏈路管理協(xié)議，經(jīng)過一個專用算法來發(fā)覺網(wǎng)絡(luò)中物理環(huán)路并產(chǎn)生一個邏輯無環(huán)（loop-free）拓撲結(jié)構(gòu)，它在提供鏈路冗余同時預(yù)防網(wǎng)絡(luò)產(chǎn)生環(huán)路。stp生成了一個無環(huán)樹形結(jié)構(gòu)，包含能夠在整個2層網(wǎng)絡(luò)范圍內(nèi)擴展葉和枝。一個高冗余度網(wǎng)絡(luò)，假如沒有

stp

存在，將會產(chǎn)生大量廣播環(huán)路，嚴重影響性能。網(wǎng)絡(luò)分層標(biāo)準(zhǔn)為降低網(wǎng)絡(luò)中各部分相關(guān)性，便于網(wǎng)絡(luò)實施及管理，在網(wǎng)絡(luò)構(gòu)建中，從整體上能夠?qū)⒕W(wǎng)絡(luò)劃分為關(guān)鍵層、匯聚層、接入層等三個層次。1、關(guān)鍵層負責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點之間互聯(lián)及完成高效數(shù)據(jù)傳輸、交換、轉(zhuǎn)發(fā)及路由分發(fā)。2、匯聚層負責(zé)將各種接入業(yè)務(wù)集中起來，除了進行局部數(shù)據(jù)交換、轉(zhuǎn)發(fā)以外，經(jīng)過高速接口將數(shù)據(jù)輸送到關(guān)鍵層去，在更大范圍內(nèi)進行數(shù)據(jù)路由以及處理。3、接入層設(shè)備提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基本業(yè)務(wù)系統(tǒng)之間隔離和安全性控制、認證管理等功效。四、處理方案1、網(wǎng)絡(luò)系統(tǒng)拓撲結(jié)構(gòu)（圖）方案說明（網(wǎng)段流量要求、信息點數(shù)量分析等）2.1主干網(wǎng)拓撲結(jié)構(gòu)采取星型結(jié)構(gòu)。以SDH或DDN等專線系統(tǒng)為基礎(chǔ)，設(shè)置信息中心，將各二級單位局域網(wǎng)連接起來，同時考慮了線路和設(shè)備備份。為了確保在現(xiàn)有和不停發(fā)展通訊條件基礎(chǔ)上，實現(xiàn)系統(tǒng)最大程度互聯(lián)性和管理性，在網(wǎng)絡(luò)設(shè)計中統(tǒng)一采取一致網(wǎng)絡(luò)協(xié)議、路由協(xié)議和網(wǎng)絡(luò)操作系統(tǒng)標(biāo)準(zhǔn)，建立了Intranet網(wǎng)絡(luò)。2.2實現(xiàn)基于CoS差分服務(wù)結(jié)構(gòu)需要4個步驟：入口帶寬限制在邊緣路由器7206和6506上實現(xiàn)，同時完成入口trafficClassification。邊緣設(shè)備完成大部分processor-intensive任務(wù)，針對不一樣用戶策略進行分類。

對需要提供帶寬確保流量邊緣設(shè)備也需要做帶寬管理工作，采取CAR，對于小區(qū)、商業(yè)、政府接入模塊端口，按照一定帶寬對其進行帶寬限制。該帶寬<100M。關(guān)鍵路由器GSR完成CoS管理工作，進行有差異服務(wù)質(zhì)量確保。出口設(shè)備，作WRED設(shè)置，預(yù)告丟棄可能造成擁塞非主要IP包。入口、出口設(shè)備對帶寬限制保護了網(wǎng)絡(luò)免于擁塞，使得網(wǎng)絡(luò)具備很高可擴展性。2.3、配置WREDRED(隨機早期丟棄)是利用TCP窗口機制而采取擁塞防止技術(shù)，經(jīng)過在擁塞發(fā)生前隨機丟棄一些包，RED通知數(shù)據(jù)源，可能要發(fā)生擁塞，請降低速率。WRED依據(jù)IPprecendence來丟棄數(shù)據(jù)包，以確保優(yōu)先級高traffic得到服務(wù)確保。WRED通常配置在關(guān)鍵路由器上，而不是接入路由器。WRED處理流程以下：計算平均隊列長度假如平均隊列長度小于域值下限，將到來包放入隊列中假如平均隊列長度在域值下限和上限之間，是否丟棄該包取決于這個包優(yōu)先級假如平均隊列長度大于域值上限，則丟棄該包。3．網(wǎng)絡(luò)系統(tǒng)產(chǎn)品選型（提議選型）（注：整個網(wǎng)絡(luò)系統(tǒng)新購置設(shè)備應(yīng)具備良好平臺兼容性，必須與省局現(xiàn)有Cisco7206平滑連接，實現(xiàn)專網(wǎng)上MPLS,VPN,QOS）一級路由器Cisco3800系列特征Cisco3845網(wǎng)絡(luò)模塊插槽—這些插槽可支持一個標(biāo)準(zhǔn)網(wǎng)絡(luò)模塊、增強網(wǎng)絡(luò)模塊(NME)、增強擴展網(wǎng)絡(luò)模塊(NME－X)和高密度擴展模塊(EVM－HD)。NME－X在可用時，其機型將寬于NME。兩個緊鄰NME插槽可結(jié)合起來，容納一個雙寬網(wǎng)絡(luò)模塊(NMD)，或在適當(dāng)初，容納一個雙寬增強擴展網(wǎng)絡(luò)模塊(NME－XD)。NM

NME

NME－X

NMD

EVM－HD支持最大網(wǎng)絡(luò)模塊、NME和NME－X數(shù)目4支持最大EVM數(shù)目2支持最大NMD/NME－XD數(shù)目2支持最大EVM－HD數(shù)目2高速WIC(HWIC)插槽數(shù)—這些HWIC插槽也支持VIC、VWIC和WIC4固定LAN端口數(shù)(固定RJ－45端口，用于10/100/1000連接)2個千兆位以太網(wǎng)(10/100/1000)固定小型可插拔(SFP)端口數(shù)(用于SFP千兆位以太網(wǎng)連接)1AIM插槽數(shù)(用于可選AIM，以卸載計算密集型功效)2PVDM插槽數(shù)(用于可選PVDM2)4USB1.1端口數(shù)(未來與USB閃存、用于保護CiscoIOS軟件配置分發(fā)安全令牌和VPN證書平臺外存放共用)2內(nèi)嵌VPN(基于硬件VPN加密加速)有控制臺端口數(shù)(高達115.2kbps)1輔助端口數(shù)(高達115.2kbps)1內(nèi)存—外部小型閃存和內(nèi)部按需撥號路由(DDR)同時動態(tài)RAM(SDRAM)，帶ECC確省—64－MB小型閃存；256－MBDDRSDRAM

最大—256－MB小型閃存；1－GBDDRSDRAM一級交換機CISCOWS-C6506(1300AC)主要參數(shù)交換機類型快速以太網(wǎng)交換機傳輸速率10Mbps/100Mbps/1000Mbps網(wǎng)絡(luò)標(biāo)準(zhǔn)IEEE802.3，IEEE802.3U端口數(shù)量300接口介質(zhì)10/100/1000Base-TX,1000Base-FX傳輸模式支持全雙工配置形式可堆疊交換方式存放-轉(zhuǎn)發(fā)背板帶寬720GbpsVLAN支持支持MAC地址表16000模塊化插槽數(shù)6尺寸(mm)437×460×511重量(Kg)52一級防毒墻FORTINETFortiGate3600LX2主要參數(shù)

設(shè)備類型病毒防火墻

并發(fā)連接數(shù)1000000

網(wǎng)絡(luò)吞吐量4000Mpps

安全過濾帶寬4000MB

用戶數(shù)限制無用戶數(shù)限制

入侵檢測Dos、DDoS

安全標(biāo)準(zhǔn)FCCClassAPart15、CSA/CUS、ICSAAntivirus、ICSAFirewall、ICSAIPSec

控制端口Console口

管理SNMP

通常參數(shù)

適用環(huán)境工作溫度（℃）0-40

工作濕度5%-95%

存放溫度（℃）-25-70

存放濕度5%-95%

電源100-240V

防火墻尺寸343*425*89mm

防火墻重量8kg

其余性能CPU：DualIntelXeon2.4G；內(nèi)存：1GB

5000個VPN通道數(shù),50000條策略數(shù)、支持內(nèi)容過濾、入侵檢測、病毒蠕蟲掃描。內(nèi)嵌日志、二級防毒墻FORTINETFortiGate3000防毒墻

主要參數(shù)

設(shè)備類型病毒防火墻

并發(fā)連接數(shù)975000

網(wǎng)絡(luò)吞吐量2250Mpps

用戶數(shù)限制無用戶數(shù)限制

入侵檢測Dos、DDoS

安全標(biāo)準(zhǔn)FCCClassAPart15、CSA/CUS、ICSAAntivirus、ICSAFirewall、ICSAIPSec

控制端口RS-232

管理SNMP

通常參數(shù)

防火墻尺寸343×425×89mm

防火墻重量8kg三級防毒墻FORTINETFortiGate50A防毒墻主要參數(shù)

設(shè)備類型病毒防火墻

并發(fā)連接數(shù)25000

網(wǎng)絡(luò)吞吐量50Mpps

安全過濾帶寬10MB

網(wǎng)絡(luò)端口2個10/100M

HYPERLINK"/p