浙江省政府电子政务网络工程数据系统建设项目技术方案建议书 110页

'浙江省电子政务网络工程网络数据建设（eGOVnet-02）项目技术投标书浙江省政府电子政务网络工程数据系统建设项目第一部分技术方案建议书长城计算机软件与系统有限公司2003年12月 技术投标书目录第1章项目概述11.1项目简介11.2建设目标21.3建设原则31.3.1实用性31.3.2开放性与标准化31.3.3先进性、成熟性和可扩充性41.3.4系统可靠性和安全性41.3.5可管理性和可维护性51.3.6业务多样性51.3.7最佳性价比5第2章数据系统建设方案72.1数据网络系统概述72.2通信线路选型82.2.1通信线路要求82.2.2通信线路业务介绍82.2.2.1ISDN网92.2.2.2DDN数字数据网92.2.2.3FrameRelay帧中继网102.2.2.4ATM网102.2.2.5MSTP网（基于SDH的多业务传送平台）112.2.3通信线路推荐122.2.4通信线路接入方案132.3网络结构设计142.4主要设备选型建议与配置162.4.1为什么选择Cisco产品162.4.1.1Cisco的MPLS-VPN技术成熟稳定172.4.1.2最优秀的QoS解决方案182.4.1.3业界最高的多层路由交换能力192.4.1.4业界最丰富的业务端口，密度最高192.4.1.5业界目前支持功能和业务特性最丰富202.4.1.6最稳定和最成熟的MPLS-VPN产品202.4.1.7丰富富的实施经验和最强的技术队伍20第105页长城计算机软件与系统有限公司 技术投标书2.4.2网络设备配置212.4.3其它设备建议与配置242.4.4天阗入侵检测系统242.4.5趋势防病毒系统302.4.6华堂防火墙防御系统342.4.7新增设备部署拓扑图362.5IP地址规划及路由设计372.5.1IP地址规划建议372.5.2路由协议介绍402.5.2.1IS-IS路由协议412.5.2.2OSPF路由协议432.5.2.3IS-IS与OSPF的对比442.5.3路由协议设计方案452.5.3.1动态路由设计建议462.5.3.2静态路由设计建议462.5.4组播路由策略设计472.5.4.1组播转发和传输机制512.5.4.2协议支持能力512.5.4.3组播传输性能512.6域名系统设计建议532.6.1DNS原理概述532.6.2DNS方案设计542.7QoS策略设计552.7.1流量整型562.7.2排队机制562.7.2.1排队机制介绍562.7.2.2所推荐的排队机制582.7.3拥塞控制机制592.7.4链路效率机制60第3章网管系统设计613.1网管系统设计原则613.2网管系统总体设计613.3网管软件配置633.4网管系统功能实现633.4.1拓扑管理633.4.2故障管理64第105页长城计算机软件与系统有限公司 技术投标书3.4.3配置管理643.4.4性能管理683.4.5网络安全管理70第4章数据系统网络安全设计714.1数据系统网络安全需求分析714.2网络安全设计原则724.3数据网络安全总体设计724.3.1网络系统安全性设计724.3.2网络服务安全性设计734.4网络设备安全实现734.4.1网络设备分级登录验证744.4.2限制登录会话数744.4.2.1设备并发登录数限制754.4.2.2设备登录地点限制754.4.2.3单用户并发登录数限制754.4.3口令保护764.4.4防资源掠夺式攻击774.4.4.1攻击特点和原理774.4.4.2解决办法784.5路由信息安全794.5.1路由协议的验证机制794.5.2禁止源路由方式794.6网管系统安全实现804.7网络服务的安全性804.7.1防火墙部署设计804.7.2访问控制ACL824.7.3入侵检测技术834.7.4漏洞扫描技术844.8系统安全的非技术因素854.8.1物理环境因素854.8.2安全的管理因素854.8.2.1安全管理原则864.8.2.2安全管理的实现86第5章工程总体建议88第105页长城计算机软件与系统有限公司 技术投标书5.1目前网络数据系统分析885.2网络数据系统优化建议895.3优化后总体调整情况和新增设备清单925.4路由调整设计94第6章场地及环境准备建议956.1网络设备的安装与运行环境956.1.1场地选择956.1.2环境要求956.1.3机房选用的附加设备966.1.4接地系统976.1.5电源系统976.1.6空调系统986.2装机前机房装备应注意事项996.3注意事项101第105页长城计算机软件与系统有限公司 技术投标书第1章项目概述1.1项目简介全球性的网络化、信息化进程正改变着人们的生活方式，Internet技术应用以及电子商务的飞速增长给人们生活工作的各个层面带来了深刻的影响。在这场信息革命的大潮中，各级政府机构在社会经济文化生活中不仅需要扮演管理者和协调员的重要角色，而且为企业和社会服务的职能也日益明显和重要起来。一方面，各级政府机构拥有大量宝贵的信息资源，如各类国家或地方政策法规信息、各行业规章标准、各类招商引资信息、重大项目招标信息等；另一方面，个人、企业和社会对获取政府有关政策法规、各类统计信息、社会保障信息等的快捷和透明程度的要求日益提高，对政府机构的办事效率、服务水平等提出越来越高的要求，对政府机构职能的监督也需日益强化。国家信息化领导小组决定，把电子政务建设作为今后一个时期我国信息化工作的重点，政府先行，带动国民经济和社会发展信息化。中共浙江省第十一次党代会做出了建设“数字浙江”的重大战略决策，作为“数字浙江”建设的核心工程—电子政务建设工程的实施，对于应对加入世界贸易组织后的挑战，加快政府职能转变，提高政府行政监管、效率和服务能力，建立高效、勤政、廉政、务实的政府具有十分重要的意义。我省电子政务网络平台建设主要有两部分组成。一是建成省、市、县三级政务外网，为全省各级政府（以及人大、政协）各部门和省市、市县（区）之间非涉密信息交换和业务互动提供支持，为服务和监管业务提供网络和技术支撑。办公业务资源网按国务院办公厅要求进行建设，为办公业务的信息交换提供支持；二是建成省、市、县三级政务内网，为全省各级政府（以及人大、政协）各部门和省市、市县（区）之间涉密信息交换提供支持，如下图所示。第105页长城计算机软件与系统有限公司 技术投标书图1.1-1浙江省电子政务网络示意图浙江省政府电子政务网络工程是建设一个覆盖全省200多个节点的大型广域网络。网络主要承载浙江省政府电子政务办公数据和业务数据。为电子政务多种业务的发展提供高速的基础网络平台。1.1建设目标本项目的最终建设目标是：建成涉秘与非涉秘分开的安全电子政务网络平台，连接省、市、县（区）三级的党委、人大、政府、政协、检察、法院职能部门系统，以及因工作需要接入的企事业单位。由于电子政务网络建设是一长期而复杂的任务，所以分期进行。本项目的一期建设目标是：建成省电子政务网络内、外网平台，支持数据、语音和视频业务，传输性能满足业务需求，具备密码管理、信任体系、网络管理、容灾备份、信息管理和信息交换等各项功能，实现跨部门、跨地区的业务互联。第105页长城计算机软件与系统有限公司 技术投标书根据此次数据系统网络连接工程所要实现的目标，确定各节点间租用线路的种类、带宽、费用；确定各节点的网络设备和相应投资。选用先进的传输技术、设备组建一个覆盖全省政府行政单位的高可靠性、高安全性的电子政务网络平台。网络平台建设要同时考虑设备的充分利旧和系统的平稳过渡。一方面，已有的主机系统设备、网络系统设备等能满足电子政务要求的可通过必要的数据迁移后投入使用。另一方面，针对各单位网络建设的现状和发展需要，采用不同的过渡和接入方式，以达到系统的平稳过渡而不影响原有的工作和业务。1.1建设原则本设计技术方案将从实际出发，建设一个高效实用的网络系统。网络系统设计必须既适应当前电子政务实际应用考虑，又面向未来信息化发展需求。我们将遵照以下原则对本项目进行设计。1.1.1实用性实用性主要体现在以下几个方面：系统的性能指标应能够满足网络内各项业务对处理能力的要求，整个系统的性能应当是可靠的，便于管理的。所采用的设备应当是易于配置维护。对于本系统的网络结构，最理想的组网形式应是一个层次化的，能支持多种不同的应用，并且能够面对未来网络的膨胀和业务的不可预测性有很好的适应能力。尽量减少网络的连接复杂度，提高网络的利用率，增加网络的冗余度以确保网络的高可靠性，通过简单的网络管理，减少专业人员培训的难度，以及网络管理的压力。1.1.2开放性与标准化开放性与标准化原则是一个系统赖以生存和发展的基础，只有开放的系统，才能充分发挥计算机系统的能力，体现良好的可扩展性和互操作能力，保护用户投资及系统的长远发展。如果开放性与标准化的原则如果不能保证，则会使系统的后期使用和维护出现困难，发生系统维护费用加大、系统发展困难重重、甚至重复投资等问题。第105页长城计算机软件与系统有限公司 技术投标书本建议书充分考虑开放性与标准化的原则，所建议的系统、软硬件产品都遵循该原则。1.1.1先进性、成熟性和可扩充性本设计中将坚持系统结构模块化的设计思想，即软硬件平台可以积木式拼装，可以通过添加组件或相关板卡满足新的需求。选用的设备应考虑选择业界性能优良、可扩充性好、厂商能够承诺对未来的新技术进行支持的设备。硬件设备的选择在档次上应考虑网络在未来的发展情况，在兼顾网络投资预算前提下，适当选择档次较高的设备，避免将来扩容中可能造成的投资浪费。设计立足先进技术，采用新科技，以适应大量数据传输以及多媒体信息的传输。使整个系统在国内三到五年内保持领先的水平，并具有长足的发展能力，以适应未来网络技术的发展。在进行系统设计时我们采用了模块化的设计思想，通过将整个系统划分为不同的模块，各个模块可以很简单的添加到系统中，无需更改现有系统，而且设计时充分的考虑了系统后期建设规模，与其他系统互联的问题，可以保证系统的可扩展性，在将来网络扩展时，可以保证系统平滑的过渡到新的系统。1.1.2系统可靠性和安全性电子政务数据系统的可靠性是整个信息化建设的基石，为保证电子政务数据系统的可靠性，主要考虑以下几方面：在主要网络设备的选择上，考虑其可靠性：如关键部件的冗余及热插拔等。本方案所推荐的产品均选用主流硬件厂商的主流产品，以保证有实际应用的先例（而不选用厂商的非主流产品，或只宣布而无实例的产品），这些产品具有成熟、稳定、实用的特点，并充分满足应用及技术发展的需要，同时能够获得厂商的备品和备件支持。合理的进行网络设计，减少单点故障，在设备或者链路故障时，网络流量能够顺利在其他设备和链路间进行切换，同时避免网络故障引起的连锁反应。在安全性方面，我们所推荐的硬件产品能够阻挡一般性的网络攻击，能够做到流量控制，设置用户的可访问范围等。第105页长城计算机软件与系统有限公司 技术投标书1.1.1可管理性和可维护性整个网络是由多种设备组成的较为复杂的系统，因此必须着重考虑所选产品具有良好的可管理性和可维护性。作为一个系统，所选产品具有良好的可管理性和可维护性。该网络系统应该易于管理，通过网络管理工具，可以方便地监控网络运行情况，对出现的问题及时解决，对网络的优化通过依据。另外，我们在选用硬件设备及系统软件时充分考虑到生产厂家的一致性和兼容性，避免给用户带来运行维护和管理中的问题和不方便。在进行系统设计时，通过良好的设计，减少用户对网络的维护量。1.1.2业务多样性随着新技术的出现以及硬件成本的降低，在网络上传送视频、音频等多媒体信息越来越成为用户的需求，在网络系统里，从多媒体信息共享、网络互动性等需求角度出发，这一需求显得更加重要。这要求我们在网络设计中充分考虑到进行多媒体信息传输的要求。1.1.3最佳性价比在考虑网络设计时，一方面要尽量从经济的角度进行考虑。另一方面，系统在设计时应考虑符合建设单位实际情况。本方案中的最佳性价比原则主要体现在以下几点：n通过良好的设计，充分、合理的利用网络资源，保护用户的投资；n选用易管理以维护的设备，并通过良好的设计，减少用户的维护工作量，可以有效的降低管理、维护和培训费用；n选用高扩充性、可发展的产品，减少网络扩容的投资；n在设备的选择选用性价比最高的产品。第105页长城计算机软件与系统有限公司 技术投标书第1章数据系统建设方案本章主要给出本项目中浙江省政府电子政务底层网络平台的建设方案，包括数据网络系统概述、通讯线路选型、网络结构设计、主要设备选型建议与配置、IP地址规划及路由设计、域名系统设计建议、QoS策略设计等内容。1.1数据网络系统概述浙江省电子政务网络分为内、外网，内、外网之间物理隔离，外网与国际互联网通过网络安全系统（国家保密局推荐产品）实现信息交换，如下图所示。图2.1-1内网、外网与Internet关系示意图省电子政务网络内网（下简称内网）：主要用于传送电子公文、以及不适合通过外网传输的信息，如：政务信息、财务数据、视频会议等。在加密机不到位的现行条件下暂不传输涉及国家秘密的信息。连接范围为省、市、县（区）级政府及相关职能部门，以及因需要接入的企事业单位。第105页长城计算机软件与系统有限公司 技术投标书省电子政务网络外网（以下简称外网）：是电子政务网络对外的窗口，与互联网通过网络安全系统逻辑相连，对外提供一些网上服务，如受理申请、审批等；同时也是办公人员与外面进行信息交流的通道。连接范围为省、市、县（区）级政府及相关职能部门，以及因需要接入的企事业单位。浙江省政府电子政务网络的内网和外网、内网和Internet之间完全是物理隔离的，以确保内网传输的信息的绝对安全性。1.1通信线路选型1.1.1通信线路要求为了实现网络节点高速互连的目标，对通信线路的选择是很严格的。这不仅要求线路可以提供高带宽、高性能，而且为了保证线路使用可靠，在选择主用通信线路的同时，还建议做备份通信线路的考虑。所选通信线路应满足以下要求：n符合项目建设原则，采用目前主流的网络线路；n覆盖范围到达本次项目的所有节点n具有方便、灵活有效的扩容能力；n具有高带宽，所提供的带宽能够满足用户的当前需求；n具有高可靠性，网络骨干网具有故障情况下的自动自愈能力；n具有高质量，误码率低，可实现低时延，高吞吐量；n同时提供对数据、语音和视频综合业务的良好支持能力。1.1.2通信线路业务介绍目前中国电信可以为用户提供多种的数据通信电路业务，可以满足不同用户的应用需要。第105页长城计算机软件与系统有限公司 技术投标书1.1.1.1ISDN网ISDN是基于公用电话网的数字网络，它能够利用普通的电话线双向传送高速数字信号，实现端到端全程数字化通信，能承载多项通信业务，ISDNBRI能提供128K的传输速率，相对于PSTN，它具有以下优势：n更快的连接和更可靠的的传输n更低廉的费用：ISDN可以大大提高网络资源的利用率。一改普通电话网络单一功能的缺点，采用全数字化的网络，使用户不必购买和安装不同的设备和线路来接入不同的网络，采用按需拨号的方式，最大限度节省线路费用。n使用灵活方便：使用先进。成熟的ISDN技术和智能网络终端产品（如NT1+）。用户只需一个入网接口，使用一本统一的号码簿，就能从网络得到所需业务，既可以多台终端共享一条线路同时上网，也可以对传统的DDN进行备份，快捷、安全，多个分枝机构之间进行数据通信，好象在内部网使用一样简单。n数据高速传输：ISDN中最常用的B信道速率为64kbps，支持MLPPP，完成多个信道捆绑，以2B+D为例，比现在的数据网或电话网中的数据速率提高了2倍左右。ISDN相对于专线方式其连接方式不稳定，受线路影响大，而且非实时在线，带宽有限，适用于小业务量数据通信或用作大型网络的备份电路。1.1.1.2DDN数字数据网DDN是随着数据通信业务的发展而发展起来的一种新兴网络，是利用数字信道提供永久或半永久性电路，以传输数据信号为主的数字传输网络。DDN是利用数字信道来连续传输数据信号，它不具备数据交换的功能，不同于通常的报文交换网和分组交换网。归纳起来DDN有以下几个特点：n通明传输：DDN传输信道本身不提供任何协议和规程约束，由智能化的用户终端决定通信协议，所以是全通明网，面向各类数据客户开放。第105页长城计算机软件与系统有限公司 技术投标书n专线方式的同步数据网：DDN采用数字方式来传输数据，要求全网时钟同步。DDN以专线方式传输，完全占用所分配的数字信道，服务质量有保证。n固定传输速率和低网络时延：用户根据实现约定的协议，在固定带宽和约定速率下可靠传输，时延小，性能稳定，可靠性高。n灵活的连接方式：DDN支持数据、语音、图象传输等多种业务，支持多种接入速率，范围从2.4K到2M不等，可满足客户对不同通信速率的要求。1.1.1.1FrameRelay帧中继网帧中继技术是在分组技术充分发展，数字与光纤传输线路替代模拟线路，用户终端日益智能化的条件下发展起来的。帧中继仅完成OSI物理层和链路层核心层的功能，将流量控制、纠错等留给智能终端去完成，大大简化节点机之间的协议；同时，帧中继采用虚电路技术，能充分利用网路资源。帧中继技术主要应用在广域网中，支持多种数据型业务。其主要特点有：n高效性：帧中继使用统计时分复用技术，共享传输线路和网路端口，提高了网路资源的利用率；用户还可在有空余带宽时，超过预定值"偷占"更多的带宽，而只付预定带宽的费用，非常适合于出现突发性大数据量业务的用户。n经济性：目前国内运营商的帧中继网只提供PVC业务，每条帧中继PVC的速率可有一定范围的突发业务，并且端口可以复用，更加经济划算。n可靠性和灵活性：帧中继虽然利用端到端机制实现错误恢复，但网路本身也是可靠的，有PVC管理和拥塞管理机制，以保证网路充分运行；帧中继网在组建和用户接入上方便灵活，对高层协议保持透明，无兼容性问题。1.1.1.2ATM网ATM（AsynchronousTransferMode，异步传输模式），是国际电信联盟ITU-T制定的标准,实际上在80第105页长城计算机软件与系统有限公司 技术投标书年代中期，人们就已经开始进行快速分组交换的实验，建立了多种命名不相同的模型，欧洲重在图象通信把相应的技术称为异步时分复用（ATD）美国重在高速数据通信把相应的技术称为快速分组交换（FPS）,国际电联经过协调研究，于1988年正式命名为AsynchronousTransferMode（ATM）技术，推荐其为宽带综合业务数据网B-ISDN的信息传输模式。ATM是一种传输模式，在这一模式中，信息被组织成信元，因包含来自某用户信息的各个信元不需要周期性出现，这种传输模式是异步的。ATM信元是固定长度的分组，共有53个字节，分为2个部分。前面5个字节为信头，主要完成寻址的功能；后面的48个字节为信息段，用来装载来自不同用户，不同业务的信息。话音，数据，图象等所有的数字信息都要经过切割，封装成统一格式的信元在网中传递，并在接收端恢复成所需格式。由于ATM技术简化了交换过程，去除了不必要的数据校验，采用易于处理的固定信元格式，所以ATM交换速率大大高于传统的数据网，如x.25，DDN,帧中继等。另外，对于如此高速的数据网，ATM网络采用了一些有效的业务流量监控机制，对网上用户数据进行实时监控，把网络拥塞发生的可能性降到最小。对不同业务赋予不同的"特权"，如语音的实时性特权最高，一般数据文件传输的正确性特权最高，网络对不同业务分配不同的网络资源，这样不同的业务在网络中才能做到"和平共处"。在一条物理链路上，可同时建立多条承载不同业务的虚电路，如语音，图象，文件传输等。1.1.1.1MSTP网（基于SDH的多业务传送平台）SDH信号是一种以字节结构为基础的矩形块状帧结构，由9行和270×N列8bit字节组成。整个帧结构主要分为三个部分：段开销、管理单元指针和信息净载荷。其中，在净载荷区可以封装各种信息(如PPP帧、ATM信元等)或其混合体，而不管其具体信息结构，信息的传输具有透明性。因此，在SDH传输网上可以直接实现IPoverSDH技术。IPoverSDH以SDH网络作为IP数据网络的物理传输网络。它使用链路及PPP协议对IP数据包进行封装，把IP分组根据RFC1662规范简单地插入到PPP帧中的信息段。然后再由SDH通道层的业务适配器把封装后的IP数据包映射到SDH的同步净荷中，然后向下，经过SDH传输层和段层，加上相应的开销，把净荷装入一个SDH帧中，最后到达光层，在光纤中传输。SDH是基于时分复用的，在网管的配置下完成半永久性连接的网，在IPoverSDH中，SDH第105页长城计算机软件与系统有限公司 技术投标书以一种工作方式，即SDH以链路方式来支持IP网。SDH作为链路来支持IP网，由于它不能参与IP网的寻址，它的作用只是将路由器以点到点的方式连接起来，提高点到点之间的传送速率。目前，运营商的SDH传输网已经逐步向用户开放，为用户提供高速的通信线路。SDH最低的线路速率为2Mbps，而且有自愈能力，适合组建宽带通信网络。MSTP是指基于SDH平台，同时实现TDM、ATM、以太网等多种业务的接入、处理和传送，提供统一网管的多业务节点。MSTP的实现基础是充分利用SDH技术对传输业务数据流提供保护恢复能力和较小的延时性能，并对网络业务支撑层加以改造，以适应多业务应用，实现对二层、三层的数据智能支持。即将传送节点与各种业务节点融合在一起，构成业务层和传送层一体化的SDH业务节点，主要定位于网络边缘。MSTP的优势有：n现阶段大量用户的需求还是固定带宽专线，主要是2Mbit/s、10/100Mbit/s、34Mbit/s、155Mbit/s。对于这些专线业务，大致可以划分为固定带宽业务和可变带宽业务。对于固定带宽业务，MSTP设备从SDH那里集成了优秀的承载、调度能力，对于可变带宽业务，可以直接在MSTP设备上提供端到端透明传输通道，充分保证服务质量，可以充分利用MSTP的二层交换和统计复用功能共享带宽，节约成本，同时使用其中的VLAN划分功能隔离数据，用不同的业务质量等级（CoS）来保障重点用户的服务质量。n在城域汇聚层，实现企业网络边缘节点到中心节点的业务汇聚，具有节点多、端口种类多、用户连接分散和较多端口数量等特点。采用MSTP组网,可以实现IP路由设备10M/100M/1000MPOS和2M/FR业务的汇聚或直接接入，支持业务汇聚调度，综合承载，具有良好的生存性。根据不同的网络容量需求，可以选择不同速率等级的MSTP设备。1.1.1通信线路推荐ISDN为低速网络，最高只能支持128Kbps的速率。DDN和帧中继网为中高速网络，最高支持2Mbps速率。ATM网和SDH为高速网络，支持2M及以上更高速率。第105页长城计算机软件与系统有限公司 技术投标书帧中继为分组交换，延时较小，速率可突发。ATM网络是在帧中继网上发展起来的，与帧中继网完全互通，在带宽管理与服务质量(QoS)及高可伸缩性方面有着很好的性能。帧中继和ATM支持线路复用，在局端表现为多条用户线路使用一条物理传输线路，局端通过带宽管理和流量控制满足用户的接入速率，并允许突发，但当网络拥塞时Qos将难以保证。DDN是点对点的透明连接，用户申请一条DDN线路后，该线路就为用户专用，速率恒定不变。因为DDN是透明传输技术，所以它对带宽的利用率最大可以达到95％，而ATM的53个字节信元中包含了5字节的头信息，再加上其他高层开销使得ATM对链路带宽的利用率只有80％，对于帧中继来说，也需要加上帧中继的二层封装，其带宽利用率也低于SDH，但比ATM高。MSTP技术在现有城域传输网络中备受关注，得到了规模应用，并且即将作为业界的一项行业标准而发布。它的技术优势与其他技术相比在于：解决了SDH技术对于数据业务承载效率不高的问题；解决了ATM/IP对于TDM业务承载效率低、成本高的问题；解决了IPQoS不高的问题；解决了RPR技术组网限制问题，实现双重保护，提高业务安全系数；增强数据业务的网络概念，提高网络监测、维护能力；降低业务选型风险；实现降低投资、统一建网、按需建设的组网优势；适应全业务竞争需求，快速提供业务。从覆盖面上来看，PSTN最大，其次就是MSTP（SDH）、DDN、帧中继、ATM，相对范围小些的是ISDN。PSTN为普通电话网，分布在千家万户，DDN、帧中继、ATM和MSTP（SDH）都已经分布在全国各省会城市和大中型城市，ISDN的分布则需要在各地做调研，以确定当地是否有资源，就算在同一个城市里，也有可能分布不均。在应用上来说，DDN、帧中继适合组建2M带宽以下的网络；ATM和MSTP（SDH）作为高速链路，是组建100M以上的大型网络的首选线路；而PSTN和ISDN只能作为专线的备份线路或者应用于通信不频繁量较小的网络环境。第105页长城计算机软件与系统有限公司 技术投标书1.1.1通信线路接入方案浙江省政府电子政务网络工程是要建设一个专用网络，综合比较网络的功能、性能、安全性、保密性、可靠性、可用性、初装与运行费用、技术要求强度等因素，因此，我们选择了中国电信的IPoverSDH作为主用的通信线路。根据此次标书要求，省府信息中心汇集的次级单位节点的内、外网帧中继线路，接入带宽较大，为了节省设备投资和日常维护工作量，在省府信息中心点采用高速的155MATM线路接入，并通过电信网内完成协议的转换，实现总部ATM线路与分支节点帧中继线路的互通。此外对于浙江省政府电子政务外网杭州市区88家单位和公司，基于与电子政务联系的紧密性、通讯的频繁性和投资等考虑因素，选择这些接入点通过分布范围最广的PSTN接入省府信息中心接入服务器。1.2网络结构设计网络如何满足业务的需求将由该业务的组织管理结构决定。根据目前浙江省政府的行政管理体制和网络现状的情况，标书规定的网络结构采用具有单一中心节点的星型网络结构。主干网络辐射到全省各地市，各地市分支节点将来根据网络扩展的需要可以负责本地区范围以内其它办公地点及办事处的联接。本次电子政务网络设计如下：第105页长城计算机软件与系统有限公司 技术投标书图2.3-1浙江省电子政务网络数据系统拓扑图n中心节点：即浙江省政府办公厅信息中心（下联分支节点）n分支节点：浙江省政府大院6幢大楼66家单位杭州市区46家厅局级单位浙江省10个地级市政府杭州市区40家次级单位杭州市区88家单位和公司（分支节点上联中心节点，同时保持向下扩充能力）浙江省电子政务网络的内网和外网，其网络的拓朴结构主相同要采用星型结构。在以下各章块系统实现的关键技术阐述中，将主要以浙江省电子政务网络外网为主。第105页长城计算机软件与系统有限公司 技术投标书星型结构的优点是传输性能较优；高度集中易于网络管理；容易扩展且分支节点的链路失效不会影响其它网络节点。但要求中心节点具有较高的可靠性和冗余度以及较高的处理能力，这些因素我们将在下面的工程总体建议中有所体现。本方案的主用网络采用IPOverSDH技术，可以有效的保证数据传输的安全性、稳定性、强壮性。省政府办公厅信息中心的数据主干设备采用千兆位高速交换路由器。高速路由器要求具备POS模块连接相应的SDH网络接口、线速的数据转发能力、性能优异的备板交换构架、核心层冗余能力和模块扩展能力。具体方案如下：在省府一号楼信息中心放置2台核心路由器（其中一台利旧），分别作为内网数据和外网数据的总出口。10个地区的市政府配置两台交换路由器（一台利旧），将其内网和外网分别通过SDH155M链路分别连接到内网和外网核心路由器。浙江省政府大院内的六幢大楼每一幢楼放置2台路由交换机（其中一台利旧），分别通过1条GE链路与MSTP相连，负责大院内的66家单位的内网和外网的数据通讯。信息中心还需要配置6台不带路由功能的交换机，用于连接内部局域网和路由交换机。杭州市区本级的47家厅局级单位设置2台交换机（一台利旧），分别连接单位的内网和外网，并用2条FE经MSTP网1：12的收敛，分别与内网、外网的核心路由交换机相连（核心路由交换机各有4×GE的带宽与MSTP网相连）。市区还有39家次级部门和单位配置一台路由器和一台2M基带调制解调器，将其内、外网通过256K以上的帧中继链路经电信的帧中继网上联到省政府信息中心的核心路由器，内、外网核心路由器到帧中继网的带宽分别是1个155M。有88家单位或企业采用PSTN拨号方式将单位外网接入核心交换路由器（外网）。各个部门和单位的内网和外网采用物理隔离，各单位新增一套数据网络设备用于外网，并利用原有的网络设备作为内网的设备（利旧），各单位可根据实际情况选择将原有局域网作为内网或者外网使用。外网有Internet出口，核心路由器通过1台防火墙，采用GE链路，连到电信的Internet骨干网。第105页长城计算机软件与系统有限公司 技术投标书1.1主要设备选型建议与配置在上面一节确定了通信链路及链路接入方案后，本节将分别针对各节点给出设备选型建议。1.1.1为什么选择Cisco产品路由器的设备选型上，我们建议选用Cisco公司的路由器设备。我们建议的原因主要是基于下面几方面的考虑：（1）Cisco公司是全球最大的路由器制造和销售厂商，其产品从低档、中档到高档各有不同型号系列以供选择，其产品功能全面，互操作性好，性能稳定可靠，已经过许多国家和地区的运行检验，有着很高的质量和信誉保证。为了网络的可靠运行，保证网络的先进性、开放性，以求更长期的发展，我们建议采用Cisco公司的系列路由器产品作为网络的互连设备。（2）由于Cisco公司产品线较全，在整个网络建设中对设备的选择余地较大。另一方面，考虑网络管理员对Cisco公司的产品比较熟悉，使得将来网络的管理和维护比较容易。除此之外，我们更重要的是考虑到：1.1.1.1Cisco的MPLS-VPN技术成熟稳定Cisco是目前市场上唯一可以提供成熟商用的MPLSVPN解决方案的厂家。在中国也拥有大量的MPLSVPN客户。同时Cisco在大型骨干网络方面也拥有最为丰富的经验和积累。Cisco从1998年起就开始按照RFC2547的规定实现了MPLS-VPN，当时还有许多争论。有的厂商提议采用VirtualRouter的方式来实现VPN和MPLS-VPN，但现在事实上已经证明了RFC2547的成功性。目前所有著名的运营商都采用RFC2547组建了MPLS-VPN网，而采用VirtualRouter组建的运营VPN相当少。第105页长城计算机软件与系统有限公司 技术投标书RFC2547实际上是规定了一套以扩展BGP协议为VPN的路由传递协议，以MPLS为VPN的数据交换基础的一套VPN实现方式。该方式实现VPN的逻辑图如下：图2.4.1.1-1MPLSVPN结构示意图Cisco一直矢志不渝地致力于研发和帮助客户组建及运营商用的大型MPLSVPN网，并且充分吸取大型企业和电信运营商客户的建议与反馈意见，不断地帮助客户完善MPLSVPN的技术方案和应用。思科还积极参与标准的起草和制定，详细经由思科领导和参与制定的技术规范和标准情况如下所示：第105页长城计算机软件与系统有限公司 技术投标书1.1.1.1最优秀的QoS解决方案由于政务信息网络业务应用、数据性质的丰富多样，网络数据流量突发是不可避免的，网络必须拥有良好的拥塞控制能力和对不同性质数据流的处理能力，为各级领导和政府部门提供高品质的服务。CISCOIOS的QoS功能为设备提供了按优先级处理业务的智能。在浙江电子政务信息网络方案中，所有的设备均采用CISCO统一的IOS操作系统，因此QoS已经不仅仅是一种简单的设备特征，而是整个网络端到端体系结构——网络管理人员能够完全控制网络带宽分配、延迟、抖动和数据包丢弃等等。MPLS核心通过为相应的服务级别专门分配一组标签，显著地减低了QoS的处理工作量，使网络获得更佳的性能。提高效率而不会丢失功能。此外，CISCOMPLS还提供了一套先进的流量管理机制——资源预留路由选择(RRR)。管理人员能够显式地配置路由，沿特定的路径发送选择的业务，进行拥塞控制和负载均衡。同时，Cisco的设备能够按IPPrecedence和Layer2的信息识别流量，例如802.1QCoS、ATMCLP位、FrameRelay的DE位、MPLSEXP位，也可以按IP的DSCP和IPRTP的端口范围识别流量（适用于VoIP第105页长城计算机软件与系统有限公司 技术投标书等多媒体应用），还可以按4-7层的信息识别（思科的NBAR能识别网络上层的信息，特别是能识别采用动态L4端口的应用）。由于浙江省电子政务网是构架在基于ATM/FrameRelay的传输网上，考虑到目前多媒体网络的应用，这些高级QoS机制显得特别重要。（其他厂家缺乏类似的QoS保证机制）1.1.1.1业界最高的多层路由交换能力Cisco7600产品可以配置新一代的交换引擎SupervisorEngine720，高性能的四端口万兆以太网模块和无阻塞的双端口万兆以太网模块等，并在不久的将来支持40G以太网模块。交换引擎SupervisorEngine720配备内置的720Gbps交换矩阵，并以硬件加速实现高性能的嵌入式网络管理功能、MPLS、IPv6等智能服务，通过分布式转发技术Supervisor720可以实现高达410Mpps的性能，硬件实现的IPv6路由转发能力在83bytes包长的情况下可以达到400Mpps。针对企业网络设计的高性能的四端口万兆以太网模块连接至SupervisorEngine720交换矩阵，可实现每个机箱上支持32个万兆以太网端口。目前业界唯一可以做到针对网络骨干网，城域网（MAN）和广域网设计的严格无阻塞双端口万兆以太网模块具有更深的缓存和先进的流量整形功能，实现线速的IPv4和IPv6转发功能。同时，新模块兼容所有现有的Catalyst6500接口和服务模块，为用户提供了一条经济有效的移植到千兆位和万兆以太网的途径，使用户可以在网络中全面部署千兆以太网——从桌面、布线室、核心到数据中心，增强应用功能，并最大限度地利用现有的网络投资。1.1.1.2业界最丰富的业务端口，密度最高Cisco7600光服务路由器可以同时提供光WAN和MAN和LAN的联网，在电子政务网的网络核心，汇聚和边缘提供高级的高性能IP服务。Cisco7600光服务路由器是Cisco端到端IP＋光产品的重要组件，能帮助电子政务网突破服务和带宽障碍，提高网络的可靠性和可扩展能力。Cisco7600可以配备光服务模块（OSM）以及任何传统的CiscoCatalyst6000系列接口，包括FlexWAN模块。FlexWAN模块允许使用大量Cisco7200与Cisco7500系列路由器通常使用的WAN接口。第105页长城计算机软件与系统有限公司 技术投标书总的说来，Cisco7600提供了从DS0到OC-48c/STM-16c的WAN连接以及从10Mbps以太网到千兆位以太网的LAN接口。Cisco7600还可以提供了业界领先的DS3与OC-3c端口密度，以满足用户对不同接入的要求。完善的接入手段非常符合浙江省电子政务网的网络需要。1.1.1.1业界目前支持功能和业务特性最丰富SupervisorEngine720交换引擎增加了硬件加速的网络地址翻译（NAT）、通用路由封装（GRE）和其他一些智能服务，例如代表未来IP发展趋势的IPv6，大量用于电信运营商城域网和企业网建设中的MPLS等，从而可以补充现有的线速QoS、访问控制列表和IPv4功能。为了简化网络管理和降低运营开支，思科还推出了业界第一个集成化时域反射计（TDR），它内置在新的48端口10/100/1000模块中，可以通过控制台实现足不出户检测线缆故障，简化网络管理和运维操作。这些服务让企业和电信运营商可以真正在整个网络中端到端地部署创新的、高性能的网络服务，以支持更高的用户移动性和更加丰富的语音、视频功能。这些功能将帮助用户为网络流量和服务质量需求在未来几年中的迅速增长做好充分准备。1.1.1.2最稳定和最成熟的MPLS-VPN产品Cisco从传统的路由器如Cisco7200、Cisco7500，到新一代的路由器如Cisco7300、Cisco7400、Cisco7600、ESR10000、GSR12000和GSR12400以及所有的ATM设备如BPX8260、MGX8850等，一共十几个产品系列，几十种产品型号，都按照同一标准支持MPLS-VPN，互通性和稳定性很好。最重要的是，这些所有的设备，都经过了数不胜数大型企业网和电信运营商网络成功营运和大话务量长时间地考验和验证。1.1.1.3丰富富的实施经验和最强的技术队伍MPLS/VPN是IP网络向电信化发展的里程碑。在此之前的IP第105页长城计算机软件与系统有限公司 技术投标书网络提供的是松散的服务，每个节点独立上网，用户自己考虑如何将其网络形成一个整体，而不像真正电信网络那样提供的是端到端的服务。现在，MPLS/VPN对企业提供的是端到端的IP服务。虽然有很多厂商宣布支持MPLS/VPN，但目前已经在世界上和国内广泛开展的MPLS/VPN业务几乎全部建立在Cisco解决方案上。前文列举了大量的例子。从国内最早的教育网、163/169网，到现在的各地的电力数据网和城域网，Cisco一直是业界的领先者，帮助中国的大型企业和运营商客户建立一个又一个的网络。最近两年，Cisco公司又不遗余力地在原有成熟的IP数据网的基础上广泛地为中国的企业和电信客户建设MPLS/VPN网络。在这个过程中，Cisco公司积累了丰富的网络实施经验，也成熟了一批技术过硬的队伍。这些经验在各地各公司之间互相交流，直接促使了中国IP网络建设的步伐。而MPLS/VPN相对一般IP网络而言，由于历史短而技术较为复杂，经验就更为宝贵。不容置疑，Cisco的这些网络经验可以为用户MPLS/VPN网络的成功实施提供更多一层的保障。1.1.1网络设备配置设备配置上我们在中心节点和10个地市节点路由器配置高档次的Cisco7609高端路由器；在省府大院6幢大楼分支节点和杭州市区46家厅局级单位我们提出采用路由交换机Catalyst3550-24-EMI；对于信息中心我们提出采用Catalyst4506中高档路由交换机；对于40家次级单位，我们提出采用Cisco2621XM低端路由器，可以满足现有的网络数据和语音业务的需求，但扩展性稍差；对于杭州市区88家单位和公司拨号接入省政务网络，我们建议选用Cisco公司的接入服务器AS5350；信息中心交换机我们建议采用Catalyst2950。根据此次标书界定，我们提出了浙江省电子政务网络数据系统新增网络设备的清单，如下：第105页长城计算机软件与系统有限公司 技术投标书一、省政府信息中心核心路由器Cisco7609配置：设备编号设备描述数量CISCO76097609ChassisBundles17609-SUP720-PSCisco7609Chassis,9-slot,SUP720,PowerSupply14000W-AC-INT4000WACPowerSupply,International(cableattached)1WS-CAC-4000W-INT4000WACPowerSupply,International(cableincluded)1S763ZK9M-12217SXCisco7600-SUP720IOSIPMPLS/IPV6W/SSH+BGP1OSM-4OC3-POS-SI+Enhanced4-portOC-3/STM-1SONET/SDHSM-IROSM,w/4GE2WS-X6408A-GBICCatalyst60008-portGE,EnhancedQoS(Req.GBICs)1WS-X6148-RJ-45Catalyst650048-Port10/100,UpgradabletoVoice,RJ-451WS-X6182-2PAFlexWANModuleforCisco7600/Catalyst60001PA-POS-OC3SMI1-PortPacket/SONETOC3c/STM1Singlemode(IR)PortAdapter2WS-X6182-2PAFlexWANModuleforCisco7600/Catalyst60001PA-A3-OC3SMI1-PortATMEnhancedOC3c/STM1Singlemode(IR)PortAdapter1WS-CAC-4000W-INT4000WACPowerSupply,International(cableincluded)1WS-SUP720Catalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3A1MEM-S2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201MEM-MSFC2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201FR-IRC6Catalyst6000FamilyInterDomainRoutingFeatureLicense1WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)16二、10个地市交换路由器Cisco7609配置：设备编号设备描述数量CISCO76097609ChassisBundles17609-SUP720-PSCisco7609Chassis,9-slot,SUP720,PowerSupply14000W-AC-INT4000WACPowerSupply,International(cableattached)1WS-CAC-4000W-INT4000WACPowerSupply,International(cableincluded)1S763ZK9M-12217SXCisco7600-SUP720IOSIPMPLS/IPV6W/SSH+BGP1WS-X6408A-GBICCatalyst60008-portGE,EnhancedQoS(Req.GBICs)1WS-X6148-RJ-45Catalyst650048-Port10/100,UpgradabletoVoice,RJ-451WS-X6182-2PAFlexWANModuleforCisco7600/Catalyst60001PA-POS-OC3SMI1-PortPacket/SONETOC3c/STM1Singlemode(IR)PortAdapter1WS-CAC-4000W-INT4000WACPowerSupply,International(cableincluded)1WS-SUP720Catalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3A1MEM-S2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201MEM-MSFC2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201FR-IRC6Catalyst6000FamilyInterDomainRoutingFeatureLicense1WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)4三、省政府大院各楼路由交换机Catalyst3550：设备编号设备描述数量第105页长城计算机软件与系统有限公司 技术投标书WS-C3550-24-EMI24-10/100and2GBICports:EnhancedMultilayerSWImage1WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)1CAB-ACAPlug,PowerCord,Australian,10A1四、厅局各楼路由交换机Catalyst3550：设备编号设备描述数量WS-C3550-24-EMI24-10/100and2GBICports:EnhancedMultilayerSWImage1CAB-ACAPlug,PowerCord,Australian,10A1五、信息中心路由交换机：设备编号设备描述数量WS-C4506Catalyst4500Chassis(6-Slot),fan,nop/s1PWR-C45-1000ACCatalyst45001000WACPowerSupply(DataOnly)1PWR-C45-1000AC/2Catalyst45001000WACPowerSupplyRedundant(DataOnly)1CAB-7513ACAACPOWERCORD(AUSTRALIA)2WS-X4515Catalyst4000SupervisorIV(2GE),Console(RJ-45)1S4KL3EK2-12120EWCiscoIOSENHNCDL3C4500SUP3/4,3DES(OSPF,IGRP,EIGRP,IS-IS)1WS-X4548-GB-RJ45Catalyst4500Enhanced48-Port10/100/1000Base-T(RJ-45)1WS-X4302-GBCatalyst4500GigabitEthernetModule,2-Ports(GBIC)1WS-X4306-GBCatalyst4500GigabitEthernetModule,6-Ports(GBIC)1WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)10六、信息中心交换机：设备编号设备描述数量WS-C2950G-24-EICatalyst2950,2410/100with2GBICslots,EnhancedImage1WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)1CAB-ACAPlug,PowerCord,Australian,10A1七、杭州市区次级单位路由器：设备编号设备描述数量CISCO2621XMMidPerformanceDual10/100EthernetRouterw/CiscoIOSIP1CAB-ACAPlug,PowerCord,Australian,10A1WIC-2T2-PortSerialWANInterfaceCard1S26C-12208TCisco2600SeriesIOSIP1MEM2600XM-32U96D32to96MBDRAMfactoryupgradeforCisco261x/2xXM1MEM2600XM-16U32FS16to32MBFlashFactoryUpgradefortheCisco2600XM1CAB-SS-V35MTV.35Cable,DTEMaletoSmartSerial,10Feet2第105页长城计算机软件与系统有限公司 技术投标书设备编号设备描述数量AS535-2E1-60-ACACAS5350;2E1,60ports,IP+IOS,60DataLic1S535CP-12202XBCiscoAS5350SeriesIOSIPPLUS1AS535-DFC-2CE1AS5350DualE1/PRIDFCcard1AS535-DFC-60NPAS535060NextportDFCcard2FR535-DATA-LICAS5350IOSDataLicensePerPort60FR5X-AGREEMENT-LICAS5000SoftwareLicenseAgreement1AS535-AC-PWRAS5350ACPowerSupply1CAB-E1-RJ45BNCE1CableRJ45toDualBNC(Unbalanced)2CAB-ACAACPowerCord,Australia1八、杭州市区单位和公司拨号路由器：九、本次工程的备品备件设备编号设备描述数量CISCO76097609ChassisBundles17609-SUP720-PSCisco7609Chassis,9-slot,SUP720,PowerSupply14000W-AC-INT4000WACPowerSupply,International(cableattached)1WS-SUP720Catalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3A1MEM-S2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201MEM-MSFC2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201FR-IRC6Catalyst6000FamilyInterDomainRoutingFeatureLicense1十、内网设备扩容现有Cisco7513扩容设备编号设备描述数量VIP4-80=VersatileInterfaceProcessor4,Model805PA-POS-OC3SMI1-PortPacket/SONETOC3c/STM1Singlemode(IR)PortAdapter10GEIP+EnhancedGigabitEthernet2WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)2现有Catalyst4006扩容设备编号设备描述数量Catalyst4006　　WS-X4306-GB=Catalyst4500GigabitEthernetModule,6-Ports(GBIC)1第105页长城计算机软件与系统有限公司 技术投标书1.1.1其它设备建议与配置除网络设备统一选用Cisco系列产品外，本次浙江省政府电子政务网络数据系统部署了入侵检测系统、防病毒系统、防火墙系统等，以下将对所建议的产品介绍和配置1.1.2天阗入侵检测系统我们选择的入侵检测产品是启明星辰的天阗S1100，它有两个千兆端口和二个百兆端口，可以满足浙江省电子政务网络的要求。为了满足中国信息化建设的客观需求,适应网络发展的分布化和管理集中化的现状，启明星辰专门设计了与行政业务管理流程紧密结合的天阗集中管理、多层控制体系。通过策略下发机制，使上级部门能够统一全网的安全防护策略；通过信息上传机制，使上级部门能够及时了解和监控全网的安全状态；通过对监测信息统一和全面的分析，能够实现全局预警和全网统一升级。天阗的控制中心可灵活设置，在一个大型网络中，天阗总控制中心可以连接子控制中心、网络探测引擎和主机探测引擎，而且这种连接可以是多层次的。多层控制的最大好处就是可以成倍的解决人力资源的浪费问题，而且不会打乱现有的网络管理分工和部署。天阗可以将网络入侵检测系统和主机入侵检测系统集成在一个控制中心进行集中管理,在一个控制中心即可以管理同级别或低级别的网络探测引擎又可以管理主机探测引擎，针对不同的引擎制定不同的策略，使天阗系统更具广泛的适用性和生命力。第105页长城计算机软件与系统有限公司 技术投标书天阗灵活的界面管理功能保证了不同用户习惯的并存，实现多窗口的灵活管理和窗口显示内容的自主定义，保证了信息的分类显示、专注查看和方便管理人员第一时间进行管理响应。天阗还为用户提供了严格的管理权限，包括用户管理员、管理员、操作员和分析员。另外还提供了用户可选择的IC卡、加密狗、加密软盘等多种身份认证方式。管理权限的分级和多鉴别的身份认证方式使天阗入侵检测系统的管理更具安全性和灵活性。特别值得一提的是，天阗是国内首家为用户提供动态口令卡（双因素用户身份认证系统）用于系统管理的入侵检测产品，尤其满足国家涉密网及特殊用户的安全需求。主要特性如下：一、全面的入侵检测能力入侵检测能力取决于两个方面的技术：攻击特征分析技术和入侵检测支撑技术。天阗的攻击特征分析和研究完全由启明星辰自主承担，长期的积累形成了全面的攻击事件特征库。对于每一种攻击特征都做了严格的分析和验证检测，确保攻击特征的准确性，并建立和相关的网络入侵、主机入侵和漏洞之间的关联关系；对于新的入侵方式，启明星辰第一时间进行分析，并及时发布升级包到网站上供用户下载。同时，天阗攻击特征库可以通过灵活方便的VT++语言由用户根据自身网络应用的特点进行自定义扩充，从而实现天阗的客户化应用检测。在入侵检测的支撑技术上，天阗的技术优势体现在高速捕包、深入协议分析技术、高速树型匹配技术、防躲避处理技术以及事件风暴处理技术等多个方面，有效地保证了入侵检测的准确性、有效性和高性能。1、引擎高速捕包技术采用专门设计的以太网卡驱动程序和应用程序进程共享一块抓包数据缓存区。因为减少了内存拷贝的开销和上下文切换次数，零拷贝的接口能够提供更大的吞吐率，提高了报文捕获效率，同时CPU占用率大大降低。第105页长城计算机软件与系统有限公司 技术投标书2、深入协议分析技术天阗采用协议树方式规范协议分析的流程，保证协议解析的高速度，产生相关的协议分析事件；对具体的协议分析深入到应用数据，对关键字段进行分组，同时支持搜索深度，为特征匹配提供准确定位，减少匹配的代价。3、高速树型匹配技术天阗采用的高速树型匹配技术实现了一次匹配多个规则的模式，在规则数目增多的情况下不会增加特征匹配需要消耗的时间和资源，因此，检测效率得以成倍的量级提高。4、防躲避处理技术天阗采用了IP碎片重组、TCP流重组以及特殊应用编码解析等多种方式，应对躲避IDS检测的手法，如：WHISKER、FRAGROUTE等攻击方式。5、事件风暴处理技术天阗内置了状态检测机制和基于事件的统计技术，可以识别和处理类似“STICK”等的反IDS攻击，并对同一事件采用合并上报，有效地避免了事件风暴的产生。二、细致的检测策略配置天阗针对需要检测的事件提供分类全面的策略集以及具体策略的配置方式和响应方式。策略集按检测范围分为六种：n最大事件集n最小事件集n攻击事件集n协议分析集第105页长城计算机软件与系统有限公司 技术投标书nWEB保护集nMAIL保护集策略集可以由用户在衍生的基础上自主调整具体的策略应用，形成用户定义的策略集。对于具体事件的检测策略，天阗提供了灵活的策略编辑方式，确保用户在最短的时间内产生自己所需要的策略，并支持策略的导入和导出。天阗提供了独有的动态策略功能，可以根据网络事件的变化趋势实现应用检测策略的自动化调整，提高了检测策略的动态适应性，同时降低管理员的管理成本和工作量。三、广泛的联动响应支持天阗具有全面的自主响应和联动响应方式，可以满足不同用户的需求。天阗通过自有VIP协议族，可以充分实现和第三方安全产品以及网络设备的策略响应联动。目前主要的联动方式包括：防火墙联动（VIP—FW）、扫描器联动（VIP—SC）。启明星辰的VIP协议已成为业界不同类型安全产品进行联动的通讯标准，目前已经获得多达20家防火墙厂商的支持。已成功与天阗实现联动的防火墙包括华为、联想、方正数码、中网通讯、三星、亿阳信通、海信数码、中软华泰、龙马卫士通、天融信、四川迈普等十几家厂商的防火墙产品，并且还有更多的厂商加入。用户可以根据网络现状进行有效地投资，利用入侵检测系统和防火墙的联动可以阻断攻击行为，实现动态防御体系。天阗在国内率先实现和漏洞扫描产品的联动。通过漏洞扫描可以检测攻击事件的有效与否，提高了IDS的检测策略专注性和告警的确定性。四、多样的日志综合分析天阗为事中和事后分析提供了多种综合分析、查询方式，包含多种网络事件统计分析、历史日志分析以及天阗所独有的关联分析模块。第105页长城计算机软件与系统有限公司 技术投标书天阗针对当前发生的事件，可以产生事件、源地址、目标地址的TOP10排名分析。天阗日志分析模块可以对当前的日志、历史的日志以及备份存放的日志进行全面的有效分析处理，利用多种模版和过滤条件，产生适合不同对象的综合分析报表。天阗还提供了独立的关联分析模块，通过关联搜索分析，发现具体网络入侵事件和漏洞分析结果、主机检测日志之间的行为对应性，划分黑、白名单，提供确定性的安全解决办法。五、高度的自主安全保障堡垒最容易从内部攻破，因此安全产品要保证自身的安全性尤其重要，很难相信一个自身漏洞百出的产品能够保证他人的安全。从技术上说，天阗采取了多种先进措施保障自己的安全：n控制中心与所探测网段可以实现隔离部署，保证控制中心的自身安全管理；n控制中心与探测引擎通信加密，探测器和控制中心互相认证，防止欺骗，防止日志、策略在传输过程中被篡改；n探测引擎检测网口无IP地址，黑客无法对消失在网络中的目标进行扫描和攻击，这样在网络中实现自身隐藏及带外管理；管理网口不开放额外连接端口，提高自身的隐藏性；n探测引擎操作系统内核重新编译，并经过了特别的优化，不采用通用的TCP/IP堆栈，避免通用TCP/IP堆栈的缺陷导致的安全漏洞。六、优异的综合测评表现天阗多次参加国家主管部门的认证测评、行业系统的入围测评、用户自主选型测试以及第三方机构的公开测评，均取得了良好成绩。天阗取得了所有国家安全主管部门的认证测评，包括公安部的销售许可、国家信息安全测评中心的认证、国家保密局的认证以及解放军信息安全测评中心的认证；第105页长城计算机软件与系统有限公司 技术投标书天阗参加了银行系统的所有IDS产品测试入围工作，包括人行、中行、建行、农行、开行等，在功能和性能测试中均处于领先地位，入围率达100%；天阗参加了多次用户自主选型测试和招标，如：成都电子政务项目、海关总署、人保系统、总参某军队机关的选型测试以及上海电信、湖南移动、山东网通的公开招标，在功能和性能测试中均处于领先地位。天阗参加了赛迪评测主持的公开的第三方IDS测评。在参加的十余家IDS产品中，天阗取得了综合排名第一的成绩，获得了最高奖项“工程师推荐奖”。八、稳定的成熟产品应用天阗产品从投入商业化生产以来，销售数量2000-2002连续三年列国内IDS市场前两名。已投入用户使用的产品数以千套计，并且在国内唯一拥有单用户部署数量超过百套的成功案例。天阗的用户类型覆盖了国内最广泛的行业用户群体，销售领域遍及政府、金融、电信、交通、能源、教育、企业等部门和行业，共200多家；天阗的用户地域分布包含了全国各省、直辖市以及河北秦皇岛、广东南海、山东威海、四川绵阳等中小型城市。天阗的应用给用户的网络安全提供了可靠的保障。根据针对天阗的用户调查结果，80%的用户及时发现了各类入侵行为（黑客入侵、拒绝服务、蠕虫泛滥、内部的可疑行为等），50%的用户发现了系统的脆弱性问题（如系统漏洞、弱口令等），还有一部分用户使用天阗大大加强了内部网络运行状况的管理（对通信内容管理、流量监测、访问控制监测等）。天阗的用户调查结果表明，天阗产品的客户满意度达到90%以上，客户对于天阗产品安全服务（安装调试、排错、升级、应急响应等）的满意率达到99%以上。通过广泛的用户群体，在天阗的应用部署方面积累大量的实际经验，推动着天阗向着成熟化、客户化、国际化的全面发展。第105页长城计算机软件与系统有限公司 技术投标书1.1.1趋势防病毒系统我们选择的防病毒系统产品是趋势防病毒软件，根据标书，我们选用旗下的趋势科技ServerProtect和OfficeScan，完全可以满足浙江省电子政务网络的要求。趋势科技提供全方位的防毒产品，完整产品线：从PC、服务器到Internet网关的全方位计算机防毒领导品牌。趋势科技以“技术开发及创新突破”为导向，于全球建立行销网来推广自有品牌的软件产品。趋势科技拥有最完整的防毒产品线，其产品可以分为下列几类：n网络安全服务方案n防毒委外服务：eDoctorServicen电子邮件安全管理软件（eManager）n网站安全管理软件（WebManager）nY2K扫描器（Y2KScanner）第105页长城计算机软件与系统有限公司 技术投标书n企业网络防毒管理工具：TrendVirusControlSystem趋势防毒中央控制系统n因特网及企业内部网关：InterScanVirusWall因特网病毒防火墙n群组配备：ScanMai电子邮件服务器防毒软件n企业服务器：ServerProtect档案服务器防毒软件n局域网和工作站：OfficeScan和PC-cillin个人计算机防毒软件n在线扫毒：Housecall在线扫毒n主机板上的病毒防护：TrendChipAwayVirus趋势防毒芯片n未来目标：网络安全服务企业—InternetSecurityCompany，为使用者创造“yourInternetVirusWall”。针对方案书内容，我们选配了趋势防病毒产品中的两款：一、OfficeScan网络工作站防毒软件网络工作站的防护位于企业防毒体系中的最底层，对企业计算机用户而言，机防病毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐。为此，趋势推出了OfficeScan企业授权版，通过一台Server服务器管理所也是最后一道查、杀、清、防病毒的要塞。考虑到网络中的工作站数量少则几十台，多则数百上千台甚至更多。如果需要靠网管人员逐一到每台计算机上安装单有客户端防病毒软件的安装和策略制定，该软件具有如下特点：（1）通过服务器自动分发客户端工作站防毒软件，大大简化了安装过程。该系统能自动识别客户机操作系统并下载和安装相应的防毒程序,支持包括NT工作站、WIN95/WIN98、WIN3.x、DOS、OS2等多种作业平台的工作站。OfficeScan提供4种不同方式分发客户端防毒软件，包括：n执行登录脚本；n采用TCP/IP协议，通过浏览器进入OfficeScan站点进行安装；n支持对NT工作站的远程安装；n支持微软SMS远程分发。第105页长城计算机软件与系统有限公司 技术投标书（2）实施集中的病毒码和用户端扫描引擎的更新，并能够监控用户端更新状态。（3）通过服务器设置统一的防毒策略，获取完整的病毒活动日志，（4）储存所有工作站硬盘引导区记录，以备工作站引导区遭受病毒破坏后的紧急救援。（5）与同类型产品相比，该软件占用系统资源少，最大限度地降低了由于防病毒软件实时运行对工作站性能的影响。（6）设有密码保护功能,防止企业内用户随意卸载病毒监控程序，从而形成企业网络的病毒“后门”。系统需求：OfficeScan服务器配置要求为:WindowsNT4.0withIIS3.0以上，150M硬盘空间IE3.02以上或者NetScape3.04以上。二、ServerProtect服务器防毒软件趋势科技的ServerProtect可以对WindowsTM2000/NT或NovellTMNetWare网络上的档案服务器，提供全面性的病毒防护。ServerProtect是通过直觉的、可携式的主控台来操作，它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。•实时防制病毒、木马程序和蠕虫的入侵。•可通过中央主控台进行远程安装、维护和升级。•自动化的例行软件维护和更新。•在病毒爆发和发生紧急状况时，立即通知管理人员。•通过Microsoft?Windows2000和WindowsNT认证。快速扫描和更新第105页长城计算机软件与系统有限公司 技术投标书•经过ICSA认证，可以100%侦测和清除当前流行(in-the-wild)的病毒。•反复扫描经过多层压缩的档案，支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、MicrosoftCompress，以及UUENCODE和MIME等邮件附件格式。•自动下载和分发病毒码、扫毒引擎和程序文件。集中式的管理•防毒软件可通过单一的主控台来管理。•安装时可以依照网域分组，同时替多部服务器进行安装。•利用集中式报表，管理人员可以监看整个网络的状态。•网络管理可以在有限的资源和预算下完成。•通过TaskManager，管理人员可以轻松地完成各种病毒维护工作，例如设定扫毒模式、更新病毒码和程序、编辑病毒报告，以及设定实时扫描的参数等。事件通知和记录报告•管理员可以从中央记录文件查看整个网络安全状态的历程记录。•记录可以直接在ServerProtect管理主控台里进行分析，或是导出到其它程序。•侦测到病毒和特定程序事件时，可以自动向管理员发出病毒疫情警讯。•警讯可以通过信息框、呼叫器、打印机、Internet邮件、SNMPtrap送出，或是写入WindowsNT的事件记录里。系统需求管理主控台•Windows95/98,WindowsNT4.0（并安装SP1,SP3,SP4或SP5）第105页长城计算机软件与系统有限公司 技术投标书•分辨率800x600以上的显示器（建议使用1024x768）•网络通讯协议和服务：安装的服务器上必须装有TCP/IP,Microsoft网络信息服务器•Windows2000；WindowsNT4.0+SP3（或以上）•16MBRAM；32MB或更高•50MB硬盘空间•IntelPentium166MHz以上处理器普通服务器•WindowsNT4.0+SP4（或以上）•NovellNetWare3.12/4.x/5.x•64MBRAM（建议）•50MB硬盘空间•IntelPentium166MHz以上处理器1.1.1华堂防火墙防御系统我们选择的防火墙设备是华堂防火墙HT4800，可以满足浙江省电子政务网络的要求。一、产品功能n完善的网络安全防护能力和极强的功能扩张能力+VPN网关n网桥/路由/混杂工作模式n专用安全内核n完整的状态检测技术n自身硬件安全管理第105页长城计算机软件与系统有限公司 技术投标书n基本IDS功能n防止DOS攻击n网络地址转换（NAT）n安全事件审计n系统实时监控n图形化操作界面n完善的运行日志n日志分析n支持基于时间段访问控制n计费与流量统计n负载平衡nMAC与IP地址绑定nDNS服务n强制用户认证功能nSMTP过滤nHTTP透明应用过滤nFTP应用过滤n信息检查（URL过滤）n网络数据缓存n可扩展功能模块：VLAN、H.323协议的真正支持、QOS流量管理功能、支持多种IDS产品联动、双/多机热备模块、支持snmp协议模块、高级路由模块、硬件狗功能、支持与指定的邮件防病毒软件联动。二、产品性能吞吐量974.7M并发防火墙连接数1,000,000最大规则数无限制最大路由数无限制每秒新建会话数35000VPN通道数20003DES加密VPN吞吐量120M最大VLAN数4096个/接口热备检测时间缺省6S，可自定义热备切换时间<1S日志容量20GMBF80000小时第105页长城计算机软件与系统有限公司 技术投标书三、物理特性尺寸：43.7cm(长)*43cm（宽）*18cm（高）重量：18.0(kg)LAN接口：二个1000M网络接口和二个100M网络接口；其他接口：一个USB口、一个串口；扩展性：该产品软件功能可扩展，网络接口最大可达6个；环境参数：工作温度：-18~62℃适宜温度：-20~38℃相对湿度：5~85%通用电源：100~240VAC(自适应)1.1.1新增设备部署拓扑图以下为本次浙江省政府电子政务网络数据系统设备部署结构图，以浙江省政府电子政务外网为例：第105页长城计算机软件与系统有限公司 技术投标书图2.4-1浙江省政府电子政务新增设备部署结构图1.1IP地址规划及路由设计在整个系统的接入线路、接入方式和接入设备确定后，必须就路由协议的选定，私网地址的划分进行细致的规划。IP地址及路由组织是IP网络中的基本问题之一，涉及网络的连通性、可达性、稳定性、精确性和易管理性，其设计的好坏直接影响着网络性能。路由组织应根据网络对路由信息的需求，设计网络中路由信息的分布。因为IP地址的规划与路由息息相关，所以我们将以IP地址的规划开始，然后阐述在本项目中我们所推荐的路由设计方案。1.1.1IP地址规划建议IP地址是整个网络系统运行的基石，IP第105页长城计算机软件与系统有限公司 技术投标书地址规划不仅应该满足当前的需求，还应该充分的考虑系统将来的扩展性，以满足将来发展的需要。根据标书要求我们需要对本项目电子政务外网的IP地址进行统一规划，我们所推荐的IP地址规划方案如下：n在整个网络环境中必须保持IP地址的唯一性；n使用RFC1918规定的私有地址网段，为了保证网络的扩展性，建议使用10.0.0.0网段；n充分的考虑到目前已经投入使用的合法地址的迁移，如果某单位现有的网络系统的IP地址规划无法满足规划要求，且更改工作量、困难均较大的情况下，可以使用NAT（网络地址翻译）技术在本地局域网出口处转换成符合符合规划的地址，Cisco路由设备均支持NAT；n根据业务情况，为每个单位局域网分配一个或多个连续的C类地址段（指掩码为255.255.255.0的地址段），各单位内部使用VLSM技术进一步进行细化，如分配64个（掩码255.255.255.192）或者32个（掩码255.255.255.224）地址，满足当前要求，并留有一定的扩充余地（如2-3倍），便于将来增加节点；n地址分配具有层次性和连续性，便于管理，即在IP地址规划时应该充分的考虑利用路由汇总技术，减少路由波动，使得某各局部的变动不影响整个网络的其它部分，增加网络的稳定性，同时由于路由汇总技术能够缩减路由表项数，所以还能够提高路由器的处理效率；n使用VLSM技术，在划分IP地址时应该尽可能的减少IP地址浪费：Ø广域网互联地址使用30位子网掩码（255.255.255.252），以节约IP地址资源；Ø网络设备管理接口使用32位子网掩码（255.255.255.255）；根据以上原则，我们对浙江省政府电子政务外网的IP地址初步分配如下表：地点省政务外网IP地址段省府办公厅信息中心10.1.0.0—10.1.127.255(半个B类地址)省级服务器地址10.1.128.0—10.1.255.255(半个B类地址)省政府大院66家单位10.2.0.0—10.2.255.255(1个B类地址，原则上每幢大楼每层一个C类地址，也可根据实际情况作适当调整，剩余部分IP地址留做将来扩展)第105页长城计算机软件与系统有限公司 技术投标书省级范围的设备互联、设备管理地址10.0.0.0—10.0.255.255(1个B类地址)市区46家厅局单位10.3.0.0—10.32.255.255(共30个B类地址，每个厅局单位半个B类地址，多余部分留做将来扩展)杭州市政府10.33.0.0—10.42.255.255(10个B类地址)嘉兴市政府10.43.0.0—10.52.255.255(10个B类地址)湖州市政府10.53.0.0—10.62.255.255(10个B类地址)丽水市政府10.63.0.0—10.72.255.255(10个B类地址)金华市政府10.73.0.0—10.82.255.255(10个B类地址)绍兴市政府10.83.0.0—10.92.255.255(10个B类地址)台州市政府10.93.0.0—10.102.255.255(10个B类地址)温州市政府10.103.0.0—10.112.255.255(10个B类地址)舟山市政府10.113.0.0—10.122.255.255(10个B类地址)宁波市政府10.123.0.0—10.132.255.255(10个B类地址)衢州市政府10.133.0.0—10.142.255.255(10个B类地址)市区40家次级单位10.143.0.0—10.162.255.255(20个B类地址，每个次级单位1/4个B类地址，多余部分留做将来扩展)市区88家单位、公司10.163.0.0—10.163.255.255(1个B类地址，每个单位1个C类地址，多余部分留做将来扩展)剩余IP地址段10.164.0.0—10.255.255.255(92个B类地址)表2.5.1-1外网地址分配表第105页长城计算机软件与系统有限公司 技术投标书以上IP地址分配只是目前的一个规划情况，在工程实施前还需针对所有接入信息点进行更为详细的IP地址分配。与Internet互联，我们建议在此浙江省政府电子政务网外网内部采用上述的私有地址，当用户需要访问Internet时，通过防火墙做NAT地址翻译来实现其访问公网的要求。电子政务外网某些业务需要提供Internet公众访问，可通过防火墙做静态地址一一映射来实现功能。1.1.1路由协议介绍目前在网络设计中可供选择的路由协议主要有静态路由和动态路由两种：静态路由是在每一点的路由器上指明去另一点需要走的具体路径。动态路由是网络上的所有路由器互相通告自己所连的网段，各路由器根据某种算法计算出到每一点的最佳路径。静态路由方式适用于网络拓扑结构确定并且结构简单，IP地址规划完善，网络规模较小的场合。静态路由配置简单，调试方便，但由于静态路由在网络上每增加一个点时，都需要在网络上所有现有路由器中增加路由，这样使得静态路由不适合于网络规模较大，网络不断发展的场合，动态路由因为在网络上的路由器之间相互交换路由信息，增加一个节点时，网络上的其他路由器的配置可以不作任何修改，非常便于网络的扩展。动态路由协议又可以分为两类：内部网关协议IGP和外部网关协议EGP。EGP包括BGP4、IDRP等路由协议；IGP包括RIPv1、RIPv2、EIGRP、OSPF、IS-IS等。EGP主要解决多自治系统之间的路由选择的问题；IGP主要解决自治系统内部的路由选择问题。上述集中IGP路由协议，比较常用的协议有以下几种：RIP、EIGRP、OSPF和IS-IS：nRIP和EIGRP属于距离向量协议，OSPF属于链路状态协议；nRIP配置简单，适合于较小规模的网络，这就限制了网络的发展，而且RIP路由协议的性能低、占用网络带宽高；nEIGRP路由协议只适用于所有设备都是Cisco产品的情况，这就限制了网络产品的选型，降低了网络的灵活性，不适于网络规模的扩展；nOSPF和IS-IS虽然配置复杂，但是非常适合于较大规模的网络。EIGRP是Cisco公司拥有产权的路由协议，所以它具有开放标准路由协议所不具有的优点。它是Cisco第105页长城计算机软件与系统有限公司 技术投标书把距离向量路由协议和链路状态路由协议的最佳特性融合在一起的路由协议。与IGRP相比，它的增强部分是通过散播更新算法（DUAL）来提供的。距离向量、链路-状态和DUAL的结合产生了EIGRP的下列特性：n快速收敛n减少了带宽消耗n增大网络规模n减少路由器CPU利用但是，EIGRP路由协议只适用于所有路由器都是Cisco产品的情况，这就限制了网络产品的选型，降低了网络的灵活性，不适于网络规模的扩展。目前可以用于大规模网络同时又基于开放标准的IGP的路由协议有OSPF和IS-IS。两种路由协议均是基于链路状态计算的最短路径路由协议；采用同一种最短路径算法(Dijkstra)。两种路由协议在实现方法，网络结构上十分相似，均在大型ISP网络中得到成功应用。下面，我们先简单回顾一下这两种路由协议。1.1.1.1IS-IS路由协议IS-IS为ISO标准路由协议，能够使网络的路由信息能快速收敛，是众多ISP所选用的路由协议。IS-IS的网络拓扑结构分为两个层次，即把Area分为主干Area和非主干Area，非主干Area之间网络流量必须通过主干Area。下图是IS-IS分Area的状态，所有的路由器都完全处于某一Area内，分界点在线上，而不在路由器上。用来连接Area的路由器是Level2和Level1/Level2路由器，和其它Area不直接相连的路由器是Level1路由器。第105页长城计算机软件与系统有限公司 技术投标书图2.5.2.1-1IS-IS路由设计示意图IS-IS将网络路由分为Level1和Level2。Level1中的路由器只知道它所在AREA的路由信息；LEVEL2中的路由器知道去其它AREAs的路由信息。也就是说，所有L1的路由器形成了LEVEL1的AREAS，而所有L2的路由器形成了网络的骨干BACKBONE，用于传递LEVEL1AREAS之间的路由信息。图中ROUTER1和ROUTER4是LEVEL1的路由器，ROUTER2和ROUTER3是LEVEL1/2的路由器。L1的路由器仅知道本AREA的路由，如ROUTER1知道去往ROUTER2的路由，但不知道去AREA2的路由；同样，ROUTER4仅知道AREA2内的路由，只知道去网ROUTER3的路由，而不知道如何去AREA1。LEVEL1/2的路由器ROUTER2和ROUTER3形成了网络的骨干，他们知道所在AREA的路由信息，并将此AREA的路由信息广播道所有L1/2的路由器，即所有L1/2路由器知道全自治域的路由信息。在上图中，如ROUTER1收到要去往ROUTER4的数据包，ROUTER1发现自己的路由表内无此路由信息，就将数据包发往边界L1/2路由器ROUTER2，ROUTER2知道全自治域的路由信息，即知道去往路由器ROUTER4的路由信息，它将数据包送给ROUTER3。因L1/2路由器相对L1路由器少的多。所以可以快速收敛网络的路由信息。使用IS-IS时，必须使所有的Level2路由器保持连通。第105页长城计算机软件与系统有限公司 技术投标书1.1.1.1OSPF路由协议OSPF是一套链路状态路由协议，路由选择的变化基于网络中路由器物理连接的状态与速度，变化被立即广播到网络中的每一个路由器。每个路由器计算到网络的每一目标的一条路径，创建以它为根的路由拓扑结构树，其中包含了形成路由表基础的最短路径优先树（SPF树）。下图是OSPF分Area的状态。OSPFArea的分界处在路由器上，如图所示，一些接口在一个Area内，一些接口在其它Area内，当一个OSPF路由器的接口分布在多个Area内时，这个路由器就被称为边界路由器(ABR)。每个路由器仅与它们自己区域内的其它路由器交换LSA。Area0被作为主干区域，所有区域必须与Area0相邻接。在ABR（区域边界路由器，AreaBorderRouter）上定义了两个区域之间的边界。ABR与Area0和另一个非主干区域至少分别有一个接口。图2.5.2.2-1OSPF路由设计示意图OSPF允许自治系统中的路由按照虚拟拓扑结构配置，而不需要按照物理互连结构配置。不同区域可以利用虚拟链路连接。OSPF路由协议有如下特点：第105页长城计算机软件与系统有限公司 技术投标书n需要每台路由器向同域（Area）的所有其它路由器发送链路状态广播（LSA）信息。路由器收集有关的链路状态信息，并根据SPF的算法计算出到每个结点的最短路径。同域内的路由器共享相同的拓扑信息。n路由选择的分级与RIP路由协议不同，OSPF可在一个域（Area）内进行路由选择。域的最大集合是自治域（AS）。AS是共享同一路由选择策略的网络集合。一个自治域AS可分为多个域（Area），域是由相邻的网络和连接的主机组成。根据源点和目的地是否在同一域内，OSPF有两种类型的路由选择方式：n当源和目的在同一区域时，采用域内路由选择n当源和目的不在同区域时，采用域间路由选择由于有域的概念，OSPF路由协议比那些不将AS分区的情况下所需传送的路由信息少得多。另外，OSPF还支持VLSM（Variable-LengthSubnetMask）可变长度子网掩码技术。由于每个发布的目的地均包括IP子网的掩码，从而可利用子网掩码将IP网络分为不同大小的子网，这种方法可节省IP地址空间并给网络管理员管理带来灵活性。OSPF是一个高效而复杂的协议，存在对带宽和CPU等资源消耗的问题。这个SPF算法占用了CPU的资源，一般来说与运算量与网内链路数目与路由器数目乘积成正比。另外当SPF路由器通电，初始的链路状态包泛滥（Floodting）占用网络带宽，这些情况都是在网络设计中要考虑的。1.1.1.1IS-IS与OSPF的对比作为链路状态协议，IS-IS和OSPF有着许多相同的特征：n通过维护一个链路状态数据库,使用基于Dijkstra的SPF路由算法；n使用Hello包来建立和维护路由器之间的邻接关系；n使用域(area)来建立两个层次的网络拓扑；n具有域间路由聚合的能力；n都是无类(classless)协议；n通过选举指派路由器（DesignedRouter）来代替网络广播；第105页长城计算机软件与系统有限公司 技术投标书n都具有认证的能力。IS-IS与OSPF不同的地方主要包括：nIS-IS的AREA划分在连接上而不是路由器上nIS-IS中存在两个数据库，L1数据库和L2数据库nIS-IS中没有OSPF的骨干AREA，但要求L2路由器连续nIS-IS的每一个AREA都相当于OSPF的TotallyStubArea，其中L1路由器不学习AREA以外的路由，而没有OSPF那么多的类型的AREA类型nIS-IS没有OSPF那么多类型的LSA类型nIS-IS目前只支持简单认证，OSPF除简单认证外还支持MD5认证总之IS-IS的具体细节功能没有OSPF那么丰富那么复杂，但IS-IS占用网络资源较小，路由收敛和恢复时间快。IS-IS采用较小的协议数据包承载路由信息，这使得路由信息繁衍速度更快，一般认为IS-IS在网络拓扑设计和路由分发控制方面更具弹性。1.1.1路由协议设计方案静态路由是由网络管理员所规定的从源地址/网络到目的地址/网络所需要经历的一系列路径信息。静态路由具有最稳定性和在安全方面的优点，但不能动态的根据网络情况的变化（网络连通性，拓扑结构变化等）自动适应路径更改。在这样浙江省政府电子政务数据网络系统这样一个大型的自治域系统中，由管理员指定成千上万条路径，无论从工程量的大小和维护复杂度而言都是不可想象的。静态路由无法单独适应大型网络系统的环境。默认路由是指作为“最后手段”的出口，即通向路由器不知道的目的地业务流被送到这个默认出口。同样，默认路由也无法单独适应大型网络系统的环境。而只有动态路由可以自动收集路由信息，根据网络变化自动调整路由策略，同时具有在路由冗余度、对称性和平衡负载等方面的优点。所以，我们设计在浙江省政府电子政务数据网络系统中以动态路由为主，静态路由和默认路由为辅的路由技术体系。第105页长城计算机软件与系统有限公司 技术投标书1.1.1.1动态路由设计建议根据前面我们对主要两种动态路由协议IS-IS和OSPF的讨论中，这两种协议都可以满足目前浙江省政府电子政务数据网络系统的需要。但是从未来扩展性和性能等方面来考虑，我们推荐使用IS-IS协议作为内部骨干网络的路由协议。建议浙江省电子政务网络数据系统使用2层的IS-IS结构以实现动态的最短路径路由选择。按照层次清晰、具有扩展性的原则，核心节点路由器Cisco7609设为L2router，和核心层连接的10地市核心汇聚节点路由器Cisco7609组成一个area。省府大院6个接入路由交换机Catalyst3550、杭州市区各接入单位路由交换机Catalyst3550和路由器2621XM、拨号接入服务器AS5350分别成为一个L1area，这样以目前统计，浙江省政府电子政务网络数据系统中一共有93个这样的L1域。这些路由交换机和路由器分别成为L1/L2router，其上联核心汇聚节点的链路上采用IS-IS协议。IS-IS路由只用来建立省电子政务网络内部中心节点和主要分支节点网络设备之间的路径，确保骨干网络设备之间的通道的畅通和可靠。Internet路由信息禁止加入IS-IS路由计算；以确保骨干网络稳定。由浙江省政府电子政务网链路的速度范围可能从256K到1G，对于IS-IS的链路的metric设置必须能够区分链路速度和吞吐能力。对于相同的链路，也可以提供不同的metric来影响路由器路由选择；以达到最佳路径选择。1.1.1.2静态路由设计建议根据浙江省政府电子政务数据系统的结构特点，我们建议：n浙江省政府办公厅信息中心（网络管理中心NMS）与核心骨干节点之间采用静态路由；n接入Internet的防火墙系统与核心骨干节点之间采用静态路由；n对于地市级本地网络相关路由设备，视其规模大小和应用情况，可有选择性采取加入IS-ISLevel-1或直接静态路由指向其汇聚设备Cisco7609第105页长城计算机软件与系统有限公司 技术投标书。对于其它杭州市区分支节点，在以后网络继续扩展，其分支节点下连本地分支节点后，该本地分支节点静态路由指向其各自电子政务网分支节点相应的路由交换机或路由器，数据系统路由设计示意图如下图所示。图2.5.3.2-1数据系统路由设计示意图1.1.1组播路由策略设计IP组播是把数据传输给一些主机，一个或多个主机由一个IP地址表示。组播象平常的IP传输一样以最佳的方式将数据传输给所有的主机。组的成员是动态的，成员可以在任何时间加入一个组或离开一个组。组的大小和位置没有限制。一个主机可以是多个组的成员。组可以是永久的，也可以是临时的，永久的组有一个公证的分配好的IP地址，永久组内的成员数也可以为0。有一些组播地址是保留用于临时组的，只有组内有成员时组才存在。网络上传输组播数据报时是通过组播路由器进行的，组播路由器可以和网关一起，也可以和网关分离。主机在传输IP组播数据报时将它作为本地网络组播进行，本地网络组播向直接相邻的主机传送数据报。如果数据报的IP生存期大于1第105页长城计算机软件与系统有限公司 技术投标书，组播路由器负责转发此数据报到组内的其它成员所在的网络。在IP生存期内能够达到的网络上，相应的组播路由器进行本地组播完成全部的组播过程。Internet中的组播协议包括组管理协议IGMP和组播路由协议（距离矢量组播路由协议(DVMRP）、组播开放最短路径优先协议（MOSPF）、基于核心树的组播协议（CBT）和协议无关的组播协议（PIM）等）。IGMP负责本地路由器到直接与它相连的子网的组播分组的发送，并不关心路由器间或跨越中间网络的组播分组转发，主机使用IGMP通知子网组播路由器，希望加入组播组；路由器使用IGMP查询本地子网中是否有属于某个组播组的主机。组播路由协议则用于发现组播组和建立每个组播组的分布树，完成路由器间和跨网络的组播分组的转发任务。以下为上述组播协议与网络设备的关系：nClienttorouter:IGMPnRoutertoSwitch:CGMPnRoutertoRouter:DVMRP,PIM,MOSPF,CBT组播路由协议可分为以下两种方式：密集方式路由（dense-moderouting)和稀疏方式路由（sparse-moderouting）怎样选用这两种方式，取决于组播组的成员在整个网络中的分布，如果网络中几乎所有的路由器都为每个组播组分发组播信息则使用Dense-mode,为了维护分布树，Dense-mode组播路由协议间歇的flood网络组播信息，Dense-mode适用于组成员密集的分布在整个网络，而且有足够的带宽来容忍flood。sparse-mode路由协议用于每个组播只有很少的几个路由器（并不意味着每个组播组只有很少的成员），它意味着组播组成员被广泛的分散，例如InternetMuticast,sparse-mode也假设网络带宽很有限，sparse-mode不使用flood，　开始时它先建立一个空的分布树，只有当成员请求加入组播组时，它才向分布树添加一个分支。dense-mode路由协议包括：　DistanceVectorMulticastRoutingProtocol(DVMRP),MulticastOpenShortestPathFirst(MOSPF),ProtocolIndependentMulticastDenseMode(PIMDM)第105页长城计算机软件与系统有限公司 技术投标书DVMRP大多数用于组播主干(MBONE)路由器，它使用反路径flood(reversepathflooding),当DVMRP接收一个包时，它在它连接的所有路径上flood这个包，除了接收路径，这样，这个包可以到达所有的LAN，　如果某个网段没有任何组播组的成员，则路由器发送一个削减信息返回分布树，削减信息防止后来的包发送到这个没有成员的区域，DVMRP使用它自己集成的路由协议去决定包返回源的路径，这个点播路由协议很像RIP，它基于hopcounts,为了可以让新的主机加入组播组，DVMRP间断的flood,DVMRP很少在大的网络中使用。DVMRP的扩展性不好，因为它依靠Flood.PIMDM和DVMRP相似，都使用相反路径flooding(reversepathflooding),当PIMDM接收一个包时，它在它连接的所有路径上flood这个包，除了接收路径,如果某个网段没有任何组播组的成员，则路由器发送一个削减信息返回分布树,协议独立意味着它不依赖任何一个指定的点播路由协议，这个原则适用于dense-mode和sparse-mode，PIM可以使用所有的点播路由协议，PIM适用于发送者和接收者的距离很近，也适用于很少的发送者和很多的接收者，以及流量很高的情况.Sparse-mode的两种组播路由协议：ProtocolIndependentMulticastSparseMode(PIMSM)和Core-BasedTrees(CBT)PIMSM适用于只有较少的接收者，以及流量不频繁，这个协议可以同时处理几个组播数据流，非常适合应用于WAN或者是Internet,它定义一个集合点(rendezvouspoint),一个发送者必须发送数据到这个集合点，接收者在接收数据之前要先在集合点登记，路由器自动的优化路径，PIM可以在某些组播组中使用dense-mode的同时，在另外一些组中使用sparse-mode。在CBT环境中，所有的组成员共享一个单独的树，组播流在相同的分布树上传输，不考虑源，CBT和Spanning-tree相似，除了为每个组播组创建一个分离的树，一个基于Core的树可以使用一个单独的路由器，或是一组路由器做为核心，路由器通过发送一个加入信息加入核心，核心发送一个确认返回路由器，一个加入信息不需要必须被核心确认，这台路由器成为分布树的一个分支。组播数据报在传输时所进行的操作和平常的IP传输一样，上层协议模块只告诉IP要传送数据报一个组播地址，而不是一些地址。第105页长城计算机软件与系统有限公司 技术投标书当网络中存在防火墙设备的时候，带有IP地址的组播穿越防火墙要求intranet首先建立组播安全策略，定义哪些组播组（和相应的UDP端口）作为通过防火墙转发的侯选，当任一侯选组/端口需要转发时，通过动态地确定策略，再做决定做实际的转发。我们所建议的CiscoIOS提供了功能强大的IPMulticast路由协议：PIMSparseMode（ProtocolIndependentMulticast-SparseMode）(RFC2362),并提供MulticastBGP(MBGP)/MulticastSourceDiscoveryProtocol(MSDP)用于跨AS提供IPMulticast服务。在浙江省政府电子政务网络数据系统的建设中，基于组播技术的网络应用涉及视频和音频的应用，结合其网络拓扑特点，在本项目中，我们建议采用PIMSM（协议无关组播），它独立于IP路由选择协议，PIM可以使用任何一种单播路由协议实现组播转发，事实上时使用现存的单播路由表去实现RPF（逆向路径转发）校验功能，而不是维护一个分离的组播路由表。因为PIM不必保持他自己的路由表，所以他不需要象其他协议那样发送或接受组播更新，所以与其他组播协议相比，PIM的开销降低了很多。在浙江省政府电子政务网络平台中，除了基于IP数据网的组播，还应该提供点播和广播服务，下面，我们将对点播和广播也做一简单介绍，并与组播做一对比。点播连接是客户端与服务器之间的主动的连接。在点播连接中，用户通过选择内容项目来初始化客户端连接。用户可以开始、停止、后退、快进或暂停流。点播连接提供了对流的最大控制，但这种方式由于每个客户端各自连接服务器，却会迅速用完网络带宽。广播指的是用户被动接收流。在广播过程中，客户端接收流，但不能控制流。例如，用户不能暂停、快进或后退该流。广播方式中数据包的单独一个拷贝将发送给网络上的所有用户。第105页长城计算机软件与系统有限公司 技术投标书使用单播发送时，需要将数据包复制多个拷贝，以多个点对点的方式分别发送到需要它的那些用户，而使用广播方式发送，数据包的单独一个拷贝将发送给网络上的所有用户，而不管用户是否需要，上述两种传输方式会非常浪费网络带宽。组播吸收了上述两种发送方式的长处，克服了上述两种发送方式的弱点，将数据包的单独一个拷贝发送给需要的那些客户。组播不会复制数据包的多个拷贝传输到网络上，也不会将数据包发送给不需要它的那些客户，保证了网络上多媒体应用占用网络的最小带宽。1.1.1.1组播转发和传输机制由于大量的基于组播技术的网络应用涉及视频和音频的应用，因而如何保证基于组播的服务质量的要求也至关重要。为此，Cisco公司开发了针对组播的服务质量保证技术，专门为组播业务建立了一个队列，该队列可以支持8个等级的服务。组播的传输设备包括转发Multicast信息流的各种接入交换机、主干交换机和/或路由器，这里讨论转发和传输功能。1.1.1.2协议支持能力首先设备必须能够实现前述关于组播路由协议部分的设计。本方案所选取的省中心核心设备Cisco7609、10地市交换路由器Cisco7609、拨号服务器AS5300、边缘汇聚设备Catalyst3550、数据中心路由交换机Catalyst4500都可以完全支持IGMPv1/v2、PIM-SM和PIM-DM的v1/v2，对DVMRP可以做到完全的互操作。1.1.1.3组播传输性能设备对组播传输性能的保证体现在设备资源的保证、传输服务质量的保证和带宽资源的保证三个方面。（一）设备资源的保证设备资源包括内存能力、CPU/ASIC处理能力。内存的主要占用者是组播路由表（输出表Oilist），即使为网络建立最短路径树SPT，由于采用单一源，最终的Oilist也不会很大，对内存没有特别要求。CPU/ASIC第105页长城计算机软件与系统有限公司 技术投标书的处理是组播流转发性能的关键，组播中最关键的处理量在包复制上，组播表中的出口项数越多负担越重，实际上在我们的设计中完全可以胜任。首先由于采用的分级分层模式，骨干核心节点上的复制量不大，与Cisco7609的256Gbps以上的吞吐能力相比并不算很大的负担；10个地市汇聚节点对于仅有少数个下连出口也是同理；复制量较大的位置是在边缘汇聚层的设备上，但由于采用IGMP和IGMPSnooping，可以把组播流量定位精确到交换端口，免去很多不必要的复制。本设计中拓扑结构层次清晰简单，又采用的是PIM-SM，我们建议加入/修剪每60秒一次、Hello和邻居维护每30秒一次，都属于低消耗流量，不会造成网络性能问题。除此以外，Cisco设备还有其他优势减轻了设备处理负担、增加单机吞吐能力，比如在组播环境下MLS等基于流的第三层交换技术、CEF等基于拓扑的第三层交换机技术在不同的具体平台上仍然被广泛支持，减轻了CPU和路由处理器的负担，提高的硬件的使用率。总之，本方案的设计中设备资源和处理能力能够保证组播功能的正常进行，不会出现性能瓶颈。（二）传输服务质量的保证IP组播的服务质量保证是Cisco组播应用的优势。由于本网络中通过组播转发的流量大部分是实时、低延迟的视频业务，因而如何保证基于组播流量的服务质量也至关重要。为此，Cisco公司开发了针对组播的服务质量保证技术，专门为组播业务建立了一个队列，该队列可以支持8个等级的服务。在为较低优先级业务公平分配现有带宽的同时，保证要求低延时的高优先级和低优先级流。高优先级流立即得到处理，低优先级流则插入队列，按比例共享现存带宽。在出现拥塞时，低优先级流的分组可能被丢弃。CiscoIOS面向组播流量提供基于特殊的服务质量，提高了网络性能和利用率，保证了组播包的绝对优先调度，确保了多媒体业务高效稳定的运行。（三）网络带宽资源的保证在有吞吐处理能力和服务质量保证的基础上，对于在杭州市区千兆带宽和与10个地市广域网上的155MPOS来说带宽并不是主要问题。以100套电视节目为例，100条MPEG4组播流将产生100M流量，计入运行路由协议和封装的开销不超过120M，无论是用稠密模式还是用疏松模式递送都不会在1G的带宽上出现瓶颈。但如果考虑到其他的点播、窄带等应用，更合理的利于带宽资源还是有必要的。无论组内的RP取在哪里，PIM-SM第105页长城计算机软件与系统有限公司 技术投标书的总是会取道从所接视频源看过来最“近”的路径发送，所谓沿SPT树发送，由于SPT依靠单播计算路径，只要单播路由规划合理，视频源在骨干核心设备上分布均匀，主干部分的负载均衡就较容易实现。从中心节点往下虽然没有冗余线路可供负载均衡，但杭州市区内核心节点和分支节点主干也采用1G，而且PIM的分流和转发机制保证下，根据用户端实际所在组的分布，单链路流量只可能小于等于120M流量，即使考虑其他服务对带宽的占用，一般使用下也不会出现瓶颈，而且还可以通过QoS设计，保证视频服务对带宽的优先享用。1.1域名系统设计建议1.1.1DNS原理概述DNS（DomainNameSystem）是作为一个ISP必须提供的功能之一，ISP必须保证接入用户能正确解析INTERNET域名。同时，建立域名系统，对所有网络设备设置域名也有助于网络故障的确认和诊断。DNS主要由三个部分组成：域名空间和资源记录、域名服务器程序、解释器。域名空间（NameSpace）指由树状的域名结构和与域名相关的IP地址等信息组成的结构。资源记录（ResourceRecords）主要由主域名服务器IP地址、根节点IP地址和子域服务器IP地址等信息组成。一个域名空间通常有一个根节点，当与Internet相连时根节点为Internet根，因此不需设置；否则需要配置根节点。域名服务器程序（NameServers）掌握整个域名空间的全部或部分信息。这些信息包括域名到IP地址的转换和IP地址到域名的转换等。域名服务器程序可以分为主服务器程序、从服务器程序和缓存服务器程序等。多种或多个域名服务器程序可以共存于同一台主机上，也就是说，同一台主机可以完成多个子域的本地域名解析工作，同时还可以作为其他域名地址解析的备份和缓存。在域名服务器主机上通过配置一个域名服务器程序列表可以指定域名服务器程序的启动。通常，域名服务器程序列表中必须包含一个缓存服务器程序，用于指向根节点或上层域的域名服务器主机IP地址。第105页长城计算机软件与系统有限公司 技术投标书解释器程序（Resolver）是用户与域名服务器程序的接口。解释器程序看起来更象一个路由程序，通过配置域名服务器所在主机的IP地址，将请求转发至指定的主机进行域名解析。解释器程序可以和域名服务器在同一主机，也可以分离。需要实现域名解析功能的客户机必须指定域名解析请求的发往地址。否则，可以由网络系统指定域名解析地址。此地址应该设置为解释器程序所在的主机地址。当用户发出域名解析请求后，请求首先被发往解释器所在主机。通过转换列表逐一被转换为绝对域名地址，并发往指定域名服务器主机；域名服务器主机逐一匹配域名服务器程序列表中的域名服务器程序，当判断出绝对域名属于本机可以解析的子域时，由本地或指定的下层子域服务器程序予以解析，如果成功解析，返回转换后的地址；否则，返回地址错误信息。如果本机不可解析，发往由缓存服务器程序指定的根节点或上层子域服务器解析。如果本机无缓存服务器程序，将解析任务返回解释器重新转换。如果解释器收到转换成功的地址，则将地址发给用户；当收到地址错误信息或超时，向客户机发出错误或超时信息，由客户机决定后续工作。1.1.1DNS方案设计作为一个电子政务系统基础网络平台，以浙江电子政务外网为例考虑未来的发展和需求，有必要考虑设置内部DNS服务器，其目的是使专网内部所有终端，通过专网DNS服务器解析，免去通过IP地址直接访问服务器的麻烦。如下图：第105页长城计算机软件与系统有限公司 技术投标书图2.6.2-1DNS访问设计示意图其目的有三：n专网内部所有终端，通过专网DNS服务器解析,使用专网私有IP地址通信；n专网内部所有终端，通过专网DNS服务器的设置，使用递归查询方法指向公网某一设定的DNS服务器，再结合防火墙的地址映射访问公网；n公网用户通过公网DNS服务器的设置，使用递归查询方法指向专网DNS服务器，再结合防火墙的静态地址映射访问专网对外提供服务的服务器；建议在省政府电子政务外网配置一台主域名服务器，一台辅助域名服务器，为全网用户提供域名解析服务。根据我们的经验，一台高档的Unix服务器可以提供每秒1000次（每分钟60,000次）以上的本地域名解析，因此，我们认为两台域名服务器完全可以满足用户的DNS查询。从域名服务器运行的安全性考虑，我们为主域名服务器提供了辅助备份域名服务器，以保证网络域名解析的成功性。另外，建议用户将主域名服务器和辅助域名服务器放在不同的物理位置，如可建议辅助备份域名服务器放置杭州市政府信息中心。避免因为所在网络的问题导致全网无法进行域名解析。第105页长城计算机软件与系统有限公司 技术投标书在配置电子政务网内部的工作站时，使用专网内部的DNS服务器地址作为主DNS解析。根据省政府对域名系统统一规划的域名后缀“zj.gov.cn”，考虑与国际标准衔接。1.1QoS策略设计在新建后浙江省政府电子政务网络数据网络系统中，将不断增加新的网络应用，网络中将可能存在多种的应用系统，这些应用根据对时延的要求可以分为时间敏感型应用和非时间敏感型应用，其中时间敏感型应用对网络带宽、传输延迟、传输可靠性要求较高，这类应用包括VoIP语音及视频服务等，非时间敏感型应用对延迟的要求并不高，这类应用又可分为关键业务应用和非关键业务应用，关键业务应用包括内部业务如数据库访问等，这种类型业务要求有绝对的带宽保证和绝对的可靠性，非关键业务应用指与内部业务关系不大的网络应用。在这一节中我们主要对链路上的流量控制、数据优先级控制及拥塞控制等内容进行设计，以保证时间敏感型和关键业务应用数据流的服务质量。1.1.1流量整型通用流量整形（GTS）提供的机制可在特定接口上控制信息流，通过限制指定流量的速率，它可减少输出流，从而避免了拥塞的发生，同时对特定流量的突发进行排队。这样，遵守特定标准的流量就可得到整形以满足下行流的要求，消除数据速率不匹配产生的网络瓶颈。CiscoIOS支持基于每个端口的通用流量整形，在本系统中，我们建议使用该技术限制各分支节点非关键业务应用数据流进入网络的流量，如FTP、Internet访问等占用的网络带宽。1.1.2排队机制在本系统中，我们推荐使用排队机制达到优先为时间敏感型和关键业务数据流服务的目的，并完成各种业务流占用广域网带宽的分配，以保证它们的服务质量。第105页长城计算机软件与系统有限公司 技术投标书1.1.1.1排队机制介绍CiscoIOS软件能够实现先进先出排队（FIFO）、优先级排队（PQ）、定制排队（CQ）和加权公平排队（WFQ）等几种排队机制，下面对上述几种排队机制进行介绍：1）FIFO：当网络发生拥塞时，它可存贮信息包，并在拥塞消失时按其到达顺序将其转发出去。在某些情况下FIFO是缺省的排队算法，因此无需进行配置。但它有几个缺点。最重要的是FIFO排队不考虑信息包的优先级，信息包到达顺序将决定其使用带宽、处理速度和缓冲器分配。它还不能防止应用（源）的恶意行为。成组的信息源在传送对时间敏感的应用流量时将产生很大延迟，将潜在影响网络控制和信令信息的传送。在控制网络流量方面，FIFO排队只是必需的第一步，而今天的智能网络需要更加成熟的算法。CiscoIOS软件实施的排队算法克服FIFO排队的缺点。2）PQ：PQ保证重要的流量可在其使用处得到最快处理。它的设计是为重要流量提供严格的优先处理。优先级排队算法可根据网络协议（如IP、IPX或AppleTalk）、输入接口、简单和扩展IP访问列表、信息包大小以及应用程序对流量进行灵活的优先化。在PQ算法中，根据所分配的优先级，每个信息包被置于以下四个队列中的一个：高、中、一般和低级队列。没有优先级列表分类的信息包将进入一般队列。在进行传输时，算法将为较高优先级队列提供绝对的优先处理。这是一种简单直观的方法，但是这却会将较高优先级流量本可能经历的延迟随机地转移给较低优先级的流量。从而加大较低优先级流量的抖动。为解决这一问题，可对较高优先级的流量进行速率限制。PQ在确保通过各种广域网链路的关键任务流量获得优先处理方面起到极大作用。3）CQ：优先级排队可能将全部带宽都给了关键任务数据，而不管低优先级数据，而定制排队能够保证每个通信类的最小带宽。定制排队（CQ）以循环的方式依次为每个非空队列服务，为每一个队列传输配置的通信比例，定制排队确保总是给关键任务数据分配一定比例的带宽，同时确保其他通信有可预测的吞吐量。在这种环境中，带宽必须按比例在应用和用户之间分配。可使用CiscoCQ特性在潜在拥塞点提供带宽保障，确保指定流量获得固定比例的可用带宽，剩余带宽则由其它流量使用。第105页长城计算机软件与系统有限公司 技术投标书本排队算法可将信息放入17个队列中的一个（队列0存放系统信息，如保持激活、信令等，系统队列优先级最高，用户通信不能归到这个队列，队列1－16为用户可进行配置），并按加权优先级腾空。路由器按轮循方式对队列1到16依次服务，在每个周期中按配置好的字节数从每个队列中取出数据。这一特性可保证在线路负荷较重时，任何应用（或指定的应用组）都不能使用超过预定比例的容量。4）WFQ：在某些情况下，需要对流量较多和较少的网络用户提供一致的响应时间，且不增加带宽，其解决方案便是WFQ。WFQ是Cisco的一种主要排队技术。它是一种基于流的排队算法，可同时作两件事情：将交互式流量安排到队列前部以减少响应时间，并使各高带宽流公平分享剩余带宽。WFQ可保证队列不会过度缺乏带宽，这样流量就可获得可预测的服务。构成流量主体的低容量信息流可获得优先服务，及时传送它们的所有负载，而高容量的信息流则按比例分享剩余容量。WFQ设计使配置工作减至最少，并可根据变化的网络流量情况自动调整。事实上，WFQ为大部分应用提供了优良服务，已成为大多数配置为以E1或低于E1速率运行的串行接口上的缺省排队模式（2.048Mbps）。CBWFQ为每个通信类分配不同的子队列，而不像WFQ那样为每个流分配一个子队列，它用源地址、目的地址、协议类型、Socket或Port号、ToS/QoS来划分不同的通信类，CBWFQ使得用户可以直接指定每个通信类所需要得最小带宽，当各类数据流确保带宽小于接口带宽时，能自动增加各类流的带宽从而充分利用线路带宽。另外可以使用基于具有优先级队列的CBWFQ提供严格的优先级排队方案，可以用作时间敏感型通信的调度机制，同时可以作为其他通信类的区分和带宽保证的CBWFQ。具有优先级队列的CBWFQ也称作LLO（LowLatencyQueuing，低延迟队列）,CBWFQ为时间敏感优先级队列提供了单个优先级队列，这种队列与优先级排队一节中讨论的高优先级队列类似，其他队列为CBWFQ队列，他们根据配置的权重或为每个队列分配的带宽来提供区分和带宽保证。5）RSVP：CiscoIOS从11.2版本开始均已实现RSVP。RSVP是第一个动态设定端到端的IPQOS的工业标准协议。网络边界的路由器发起了QOS请求，RSVP将这些请求贯穿全网，访问该数据流路由中的每一节点，在每一节点是该数据流作资源保留。第105页长城计算机软件与系统有限公司 技术投标书RSVP须与排队算法集成工作。RSVP请求一特定的QOS，最终由路由器物理接口的排队机制（如：CB-WFQ，WRED）来加以实现。1.1.1.1所推荐的排队机制在一条物理链路上只能启用一种排队机制，所以就需要对上一小节中介绍的各种排队机制进行综合比较，对不同的链路选用最合理的排队机制。因为在高速链路上实施复杂排队机制时，会降低数据包的转发效率，而FIFO的处理简单、处理延迟最小等优点，所以在高速以太网接口和Internet出口推荐使用默认的FIFO排队机制。PQ排队机制虽然能够绝对保证时间敏感型通信类的优先级，但是它做不到对通信带宽的分配，而且其处理速度较慢。CBWFQ和CQ虽然都可以为每个通信类预留带宽，但是相比之下CBWFQ有许多优点：nCBWFQ设置更简单、更直接：CBWFQ只需使用Bandwidth命令为每个通信类设置带宽即可；而CQ需要考虑流中平均地的长度，对每次轮循过程中各通信类所传输的包数目进行设置，很不直观；n在CBWFQ中，对每个通信类除了分配最小地带宽外，还可以应用分组丢弃策略，如WRED；nCBWFQ不受16个队列地限制，可以提供64个队列；n就带宽分配而言，RSVP依赖于CBWFQ；n在处理速度方面，CBWFQ虽然比FIFO处理慢，但是比CQ、PQ处理速度快；另一方面使用具有优先级队列的CBWFQ排队机制，可以为时间敏感型通信提供绝对的优先级保证，而且其配置起来简单、直观，所以在本系统的广域网链路上我们推荐使用具有优先级队列的CBWFQ作为排队机制，在为语音通信和视频通信提供绝对优先级服务的同时保证其预留带宽，并为其他类型通信使用CBWFQ排队机制提供带宽保证，而且结合WRED时提供拥塞控制。RSVP实施起来复杂，而且大型网络中RSVP的效率、可靠性并没有应用先例的验证，所以在本系统中，我们不推荐使用RSVP。第105页长城计算机软件与系统有限公司 技术投标书1.1.1拥塞控制机制本系统中，在网络流量负荷较大时，可能会出现网络拥塞，造成关键业务和实时信息的数据包的丢失，降低了业务的质量，大量的重传还会导致资源利用率的，处理效率不高。因此，如何在本系统中避免拥塞、发生拥塞时如何保证关键业务的服务质量将至关重要。CiscoIOS避免拥塞的主要工具是加权随机早期检测（WRED）。随机早期检测（RED）算法可在网络出现拥塞问题之前，避免拥塞。RED在网络中各点监视流量负荷，如果拥塞开始增加，将采取随机的信息包丢弃措施。丢弃的结果是信息源将发现有流量丢失，从而降低其传输速率。RED主要是在IP互连网环境中与TCP协议共用。WRED是Cisco实现的技术。WRED结合了IP优先级和RED算法的功能。这种结合可为较高优先级信息包提供优先流量处理。当接口开始出现拥塞时，它将有选择地丢弃较低优先级的流量，并为不同服务水平提供不同的性能特性。在本系统中，我们推荐使用WRED技术保证在网络拥塞时关键数据和实时数据不被丢弃，以保证其服务质量。1.1.2链路效率机制目前，CiscoIOS软件有两种链路效率机制－实时协议压缩（CRTP）和链路分割与插入（LFI）。将它们与排队和流量整形功能一同使用，可提高效率和应用服务水平的可预测性。1）CRTP减少带宽浪费：CRTP可以把IP/RTP包头从40个字节压缩到2－4个字节。在VoIP环境下，话音每20微秒作采样，产生20个字节的负载。所有总的包大小为20个字节负载外加20字节IP头，8字节VoIP头12字节RTP头。很显然，数据包的头两倍于真正的负载。CRTP可以大大减少不必要的带宽占用。使用CRTP时会加大设备的处理负荷，增加语音包的延迟，进而对语音质量有一定影响，因此在本系统中，我们不推荐使用该技术。第105页长城计算机软件与系统有限公司 技术投标书2）LFI主要完成IP流量进行分割与插入：当网络处理大型信息包（例如通过WAN的LAN间FTP传送）时，尤其是当它们在较低速链路上进行排队时，交互式流量Telnet、IP语音等)的时延和抖动都将增大。CiscoIOS链路分割和插入（LFI）特性通过分割大型数据报和插入低延迟流量信息包来使较小的实时信息包获得服务，从而减少低速链路上的时延和抖动。第105页长城计算机软件与系统有限公司 技术投标书第1章网管系统设计根据大型网络服务网管中心的实践经验及有关近年来研究工作的进展，结合目前其它主要运行网管系统的现状以及实践经验，并考虑到本网络系统运行和业务特点对网管的要求,本次网管体系建设将遵照高精度、实时化的原则，提供对网络单元及运行状态的综合网管的支持。本项目中的网络系统涉及的节点数目多，技术复杂，合理的统一网络管理是必不可少的。1.1网管系统设计原则适应性原则：现在实施的系统既要满足现有的网络管理、业务管理的要求，又要能够满足今后大规模、大容量、高业务量网络运营的需要；灵活性原则：系统能够适应浙江省政府电子政务数据网络系统的发展，灵活地设计、调整网管处理流程和组织结构，适应未来的发展变化；安全性与可靠性原则：系统具有很强的安全与冗错性，能保障系统的高可用性与不间断运行，以维持和提高网络运营水平；开放性原则：系统应遵循行业中最主要的标准化组织所提供的标准或建议，采用标准的、开放性的技术，能够实现与其他厂商的产品无缝地连接；先进性原则：在系统的实施过程中应用科学的项目管理、计划和实施方法，采用先进的技术，保障系统实施的技术先进性和管理先进性。1.2网管系统总体设计因为系统中所选用的网络设备均为Cisco产品，因此在网络管理系统的选择上，本建议书推荐采用Cisco提出的CiscoWorks2000网络管理解决方案，该解决方案专门提供对Cisco路由器、交换机等网络设备的管理功能，提供一个基于Web界面，可对设备进行配置和监视管理。第105页长城计算机软件与系统有限公司 技术投标书本建议书针对本次工程设计出了相应的网管系统：本次网络管理系统将采用集中式的管理，在省政府信息办公厅信息中心设置网管和监控中心，其网络管理系统将负责对整个网络系统的的管理，包括网络配置管理、性能管理、故障管理、安全管理及生成必要的网管信息报表等。网络中心网络管理系统配置结构，主要由一台网络管理服务器以及运行在上面的网管软件组成。如下图所示：该系统主要提供以下功能：n对网络上的路由器和交换机设备进行监测。n对网络设备进行配置。n对网络设备和网管系统自身的安全进行管理。n了解网络性能和现状，为网络管理维护提供依据。n采集多种信息进行分析处理，便于改进网络结构，为网络投资提供技术和领导决策的依据。n掌握网络运行负荷及设备运行状态，对异常情况进行分析，以便采取改进措施，有效利用网络资源，并向用户提供优质服务。n对应用系统的重要数据采取实时备份或定时备份的保护措施。n采用分布式-集中控制及处理相结合的原则，对网络设备进行统一管理及配置。n能够迅速地找到网络故障的根源，并协助网络管理人员进行网络增长的计划和网络变化的设计。第105页长城计算机软件与系统有限公司 技术投标书1.1网管软件配置本系统的网络结构中主要包括浙江省政府大院各单位的局域网部分和广域网部两个部分部分，因此整个网络管理系统主要指广域网和局域网管理。根据浙江省政府电子政务网络系统的网络整体功能、结构和网管系统所完成的管理功能和管理范围，同时考虑到我方技术建议书在路由设备选型部分中推荐的所有设备均为Cisco公司的产品，我方建议该网管系统采用Cisco公司的网管产品CiscoWorksRoutedWAN（以下简称RWAN），另外为了实现网络拓扑的管理需要配置LANManagementSolution（以下简称LMS）。本方案中建议配置1套CiscoRWAN和CiscoLMS网管软件，安装在浙江省政府办公厅网管中心（信息中心）。可以安装多台客户端，各客户端可分别对所授权的设备进行管理，提供性能统计、故障监视、告警、配置管理等工具和手段。设备编号设备描述数量CWLMS-2.2-K9LANManagment2.2forWIN/SOL;CM,DFM,RME,RTM,CV1CWRW-1.3-P1-K9CrossBundleDiscountforLMSusersaddingRWAN1.3WIN/SOL11.2网管系统功能实现1.2.1拓扑管理为对内部网络进行系统化管理，网络管理员首先需要对全网的当前状态有一个准确、直观的了解。网络拓扑管理作为管理系统的一个重要组成部分可以满足管理员的以上需求。它应能帮助管理员自动生成网络的拓扑结构图和发现节点设备的分布状况，并且能对网络结构的变化进行动态跟踪和更新。CiscoworksLANSolution中的CampusManager可以自动生成网络的全局拓扑。第105页长城计算机软件与系统有限公司 技术投标书1.1.1故障管理网络管理员在获得了最新网络拓扑结构图后，还需对全网的故障进行集中控管。网络故障管理利用了全局拓扑图。通过定义利用Ciscoworks对全网节点的设备，通讯链路等多方面网络资源进行自动定期轮询检测，可发现节点设备的硬件故障和网络链路中断。还可以利用Ciscoworks对SNMPTrap的支持，捕捉网络上传送的故障Trap信息。根据收集到的故障信息，Ciscoworks管理软件可以对所发现的网络异常状态进行跟踪，并在网管中心的图形化管理控制台上以多种方式向网络管理员报警。网络管理员通过察看管理控制台上的不同类型报警信息即可以迅速定位故障出现的准确位置和故障的严重等级。网络管理员还可以在管理控制台上直接启动Cisco设备管理工具CiscoView/Web察看出现故障的的网络节点设备当前的详细信息。1.1.2配置管理网络设备的配置管理在管理功能上分为设备参数的集中配置、对更改设备参数的操作审计和设备操作系统的集中版本管理。为保障全网参数配置的一致性和设备操作系统版本的统一，配置管理应由浙江省政府办公厅信息中心的网络管理员统一控制。Cisco公司为网络管理员提供了配置管理工具：第105页长城计算机软件与系统有限公司 技术投标书CiscoWorks2000ResourceManagerEssentials，负责对网络设备参数进行集中配置和对所有Cisco设备的操作系统（IOS）版本进行升级管理。并可对设备的网络配置文件进行配置校验和配置文件集中备份以及修改设备参数的审计。网络设备的参数集中配置和审计在网管中心（办公厅信息中心），网络管理员首先可利用CiscoWorks2000ResourceManagerEssentials中的Inventory管理工具创建并维护一套所有网络设备的硬件、软件配置数据库，以利于网络管理有针对性地配置设备参数。网络管理员利用管理软件ResourceManagerEssentials对设备的网络参数进行集中配置管理。第105页长城计算机软件与系统有限公司 技术投标书ResourceManagerEssentials不但能帮助网络管理员以图形化操作方式对全网设备进行集中的参数配置，还能保存所有网络设备的参数修改历史纪录：通过定期检查各网络设备的参数，ResourceManagerEssentials中的ChangeAudit管理工具可以发现所有对配置参数的更改，而不论配置参数是利用管理工具修改的还是利用命令行（CLI）修改的。网络管理员在中央管理控制台上可以检索网络设备的所有参数修改纪录。第105页长城计算机软件与系统有限公司 技术投标书网络节点设备的集中IOS的版本管理网管人员利用ResourceManagerEssentails可对浙江省政府电子政务数据全网上的所有Cisco设备，包括路由器、局域网交换机、IP电话网关和关首进行集中的IOS版本管理，定制全网设备的IOS版本的定期升级，保证设备IOS版本的统一。网络设备集中IOS版本管理的工作流程如下图所示：第105页长城计算机软件与系统有限公司 技术投标书1.1.1性能管理Cisco公司建议的管理解决方案中为网络管理员提供了一组网络性能和IP电话服务质量的管理工具，包括：CiscoWorks2000TrafficDirector，进行Cisco网络设备的广域网、局域网端口通讯流量统计，监控设备资源的可用率。还可以进行全网网络流量的历史数据统计，分析网络流量的长期趋势，帮助管理员进行网络容量规划，消除网络中的瓶颈。CiscoWorks2000IPM，进行全网节点设备任意两点间的响应时间检测和Delay，Jitter管理。下图所示为性能管理的示意图：第105页长城计算机软件与系统有限公司 技术投标书在网管中心（浙江省政府办公厅信息中心）管理员可以启动CiscoWorks2000TrafficDirector对全网的局域网和广域网性能进行直接监控。利用TrafficDirector收集网络节点设备中SNMP、RMON和RMON2的性能管理信息，并以图形化方式为网络管理员显示所收集到的管理信息。下图为TrafficDirector生成性能统计图表：在中心节点网管中心管理员利用CiscoWorks2000IPM第105页长城计算机软件与系统有限公司 技术投标书可以监控网络节点的服务质量，并以图形化方式显示网络通信的延时和抖动。管理员还可以对被监控的性能参数设定阈值，如检测到网络性能下降，参数超过了预先设定的阈值，IPM将自动向故障管理系统发送一条报警信息，提示管理员注意。IPM的图形用户界面如下图：1.1.1网络安全管理Cisco公司的所有网络管理软件均支持网络管理员分权机制，不同级别的登陆用户在管理系统中具有不同的管理权限。浙江省政府办公厅信息中心可以为网管系统定义多级的访问权限，在方便管理员操作的前提下保证只有经过授权的管理人员才能对网络进行管理操作，从而保证管理系统的最大安全性。同时网络管理员也可以利用Cisco公司的安全控管软件进一步加强网络整体包括网络管理系统的安全性。Cisco公司建议可选择安全管理软件CiscoWorks2000ACLManager负责定义网络节点设备和网络管理服务器安全访问列表，保障登陆用户只能从安全的客户终端访问网络节点设备和管理服务器。第105页长城计算机软件与系统有限公司 技术投标书第1章数据系统网络安全设计电子政务是电子政务系统的重要组成部分。电子政务最终目标是建设政府办公自动化、面向决策支持、面向公众服务的综合平台。因此电子政务系统一方面要求考虑政府内部网络的安全，另一方面要求考虑面向公众服务的网络安全。电子政务行使政府职能的特点导致来自外部或内部的各种攻击，包括黑客组织、犯罪集团或信息战时期信息对抗等国家行为的攻击。攻击包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。网络威胁包括来自内部与外部的威胁、主动攻击与被动攻击带来的威胁。网络威胁的隐蔽性、体制性、边界模糊性、突发性、易被忽视（如同恐怖的措手不及）的特点要求引起高度重视。1.1数据系统网络安全需求分析根据标书的要求，结合从事电子政务网络建设和安全系统建设的经验，我们认为电子政务数据系统网络层面的安全性涉及两个方面：网络系统自身安全性及网络服务的安全性。对于浙江省政府电子政务网络平台来说，网络系统自身安全性需求主要包括：n路由交换设备本身的安全;n路由信息的安全;n入侵检测功能n漏洞检测功能n网管安全网络服务的安全性需求包括：n用户AAA服务，提供认证，授权及审计的功能n防止冒充合法用户nACL功能第105页长城计算机软件与系统有限公司 技术投标书1.1网络安全设计原则为了有效的提高浙江省政府电子政务数据网络系统安全,我们将遵循以下设计原则：n安全但不影响性能——城域网的客户需要提供高性能的多媒体服务，所以任何影响性能的安全措施将不能被接受；n全方位实现安全性——安全性设计必须从全方位、多层次加以考虑，来确实保证安全；n主动式安全和被动式安全相结合——主动式安全主要是主动对系统中的安全漏洞进行检测，以便及时的消除安全隐患；被动式安全则主要是从被动的实施安全策略，如防火墙措施、ＡＣＬ措施等等。只有主动与被动安全措施的完美结合，方能切实有效地实现安全性；n切合实际实施安全性——必须紧密切合要进行安全防护的实际对象来实施安全性，以免过于庞大冗杂的安全措施导致性能下降。所以要真正做到有的放矢、行之有效；n易于实施、管理与维护——整套安全工程设计必须具有良好的可实施性与可管理性，同时还要具有尚佳的易维护性；n具有较好的可伸缩性——安全工程设计，必须具有良好的可伸缩性。整个安全系统必须留有接口，以适应将来工程规模拓展的需要；n节约系统投资——在保障安全性的前提下必须充分考虑投资，将用户的利益始终放在第一位。通过认真规划安全性设计，认真选择安全性产品(包括利用已有设备)，达到节约系统投资的目的。1.2数据网络安全总体设计1.2.1网络系统安全性设计从保证浙江省政府电子政务网络系统本身安全性的的角度出发，我们可以采用以下几种手段：n在整个网络中，利用OSPF路由更新认证确保全网路由表的安全，通过对策略路由的设置控制路由的过滤；第105页长城计算机软件与系统有限公司 技术投标书n利用ACL，AAA认证，令牌卡技术，操作权限分级等手段确保网络设备不会出现非授权访问.；n在网络设备上，进行防止DOS和其它资源掠夺式攻击的设置；n在运行中心配置漏洞扫描器，统一收集各个网络设备的安全漏洞，进行分析和汇总；1.1.1网络服务安全性设计为保证浙江省电子政务网络平台能给接入单位、企业和个人提供安全的服务，我们建议采用以下几种手段：n在外网Internet出口连接的地方配置国家保密局推荐的高性能千兆防火墙，提供1000M的接口，给多个用户提供安全服务，如投资允许的话，可采用防火墙双机，实现平滑的热备份；n利用高性能路由交换机或者路由器，实现端口线速ACL；n在需要对外提供服务的重要的网段，配置入侵检测传感器，给单个或多个用户提供入侵检测服务。1.2网络设备安全实现整个浙江省政府电子政务数据网络系统是由许多路由交换设备组成的，网络设备的安全是是许多安全措施能够顺利实施的基础。如果网络设备的配置能够被随意看到，其所配置的路由识别ID、密码等都失去意义；VLAN的配置如能被随意改动，则VLAN将形同虚设。保护网络设备应注意两个方面：设备的配置需要保护，防止非授权访问；设备的资源必须有效保护，防止像DOS这样的资源掠夺式攻击。1.2.1网络设备分级登录验证防范对网络设备的非法访问，需要保护关键的配置信息（如密码、ID等），管理员必须经过严格身份鉴别和授权。在本次浙江省政府电子政务网络工程数据系统建设项目中，我们推荐的Cisco所有设备本身都有相应的安全措施。第105页长城计算机软件与系统有限公司 技术投标书针对于单一管理员权限无限大的问题，我们可以根据具体管理员的职能分工进行权限分配。在Cisco的路由交换设备上，可以将管理员的权限划分为15级权限档次，针对每个权限可以定制相应的命令集，为实现各种管理目的而设立的不同职能管理员之间可互不侵扰的完成各自工作。例如，普通操作员只能监视设备运行，不可进行其他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有所有功能权限等。同样，对于SNMP服务也可以通过设置不同级别的Community，让不同级别的网管系统获得不同的操作权限。1.1.1限制登录会话数Cisco网络设备必须通过严格的认证程序才能够进行登录，这种认证既包括对远程登录，也包括本地的Console登录。Cisco网络设备可以设定对本身的登录会话数，这种限制包括两个层次：(1)并发远程登录会话总数的限制；(2)一个用户同时登录数的限制；建议对每个管理员都分配一个User-ID。有两种方法登记User-ID。一种是在路由器上配置username/password。另一种方法是用AAA来保护路由器，由一中心AAA(TACACS+/Radius)服务器维护Username/Password。第二种方法更具扩展性和安全性。另外使用Token服务器提供一次性口令的更换，与AAA服务器相结合便可向网络管理员提供对设备的一次性口令登录。我们推荐在网络中心配置CiscoSecureACS服务器，为管理员登录到Cisco设备提供统一的身份认证中心。CiscoSecureACS服务器支持RADIUS，TACACS+等标准的认证协议，提供网络设备的用户AAA服务。CiscoSecureACS具有良好的管理界面，管理员可以通过浏览器进行用户管理与配置。管理员登录网络设备的过程如下：(1)用户执行远程登录命令(例如：Telnet)，网络设备判断当前的并发连接数是否已经达到上限。如果数量没有超，网络设备提示输入用户姓名、口令。第105页长城计算机软件与系统有限公司 技术投标书(2)用户输入口令后，网络设备向AAA服务器查询该用户是否有权登录AAA服务器检索用户数据库，如果该用户允许登录则向网络设备返回PERMIT信息和该用户在该网络设备上可执行的命令同时将用户登录的时间、IP作详细记录；若不能在用户数据库中检索到该用户的信息则返回DENY信息，并可以根据设置向网管工作站发送SNMP的警告消息。(3)当网络设备得到AAA的应答后，可以根据应答的内容作出相应的操作，如果应答为DENY则关闭掉当前的SESSION进程；如果为PERMIT则根据AAA服务器返回的用户权限为该用户开启SESSION进程，并将用户所执行的操作向AAA服务器进行报告。由于本次投标设备项目中并没有该设备和软件的采购，如果原先浙江省政府网络没有部署，同时考虑到投资，我们可先在路由器上配置username/password，手工进行登录控制。1.1.1.1设备并发登录数限制通过对CiscoIOS中vty的配置，可以指定对本设备并发远程登录会话数的上限，也可以配置成为不可被远程登录的设备。1.1.1.2设备登录地点限制Cisco的IOS支持专门针对远程登录或者SNMP访问的安全访问控制列表功能，可以禁止来自于指定站点的登录或者SNMP请求。1.1.1.3单用户并发登录数限制通过对CiscoSecureACS进行配置，特定用户并发的登录次数可以得到限定。1.1.2口令保护对于IOS，在配置中出现的用户名、口令、路由识别ID等关键信息都可以以加密方式储存和显示，而且加密分为一般和高级两种，后者用MD5第105页长城计算机软件与系统有限公司 技术投标书编码，很难用数学方法破解；网络设备和CiscoSecureACS之间进行用户认证时，采用加密的方法传送用户登录信息，避免口令的泄漏。另外，为了防止口令泄漏问题，我们推荐用户为管理员配备RSA公司的ACE/SecurID令牌卡产品。RSAACE产品采用Client/Server的结构方式，后台运行RSAACE/Server提供认证，每位用户配置一块TokenCard，该TokenCard利用唯一的一个64位基数、UCT时间生成一个6位数的TokenCode,用户用自己的PIN号码与TokenCode组成认证用的PASSCODE，PASSCODE是每60秒变化一次，而同时在统一时间内只能一个用户成功登录。由于密码是实时动态变化的，因此用户不需要关心他的密码回被泄露。RSAACE服务器可以和CiscoSecureACS相配合，作为SecureACS的用户库，为持有令牌卡的管理员用户提供口令认证。其工作模式如图：1.1.1防资源掠夺式攻击1.1.1.1攻击特点和原理对设备的另一种安全威胁是资源掠夺式攻击，是指通过持续调用设备的一些检测用途的应用和端口号或利用设备对异常包处理的漏洞占用CPU第105页长城计算机软件与系统有限公司 技术投标书资源或导致内存溢出，影响设备的正常功能，严重的甚至导致网络设备死机，常见的DOS，DDOS和ping攻击都属于此种情况。在拒绝服务（DoS）攻击中，恶意用户向网络设备发送多个请求，使其满负载，并且所有请求的返回地址都是伪造的。当网络设备企图将结果返回给用户时，它将无法找到这些用户。在这种情况下，网络设备只好等待，有时甚至会等待1分钟才能关闭此次连接。当网络设备关闭连接之后，攻击者又发送新的一批虚假请求，以上过程又重复发生，直到网络设备因过载而拒绝提供服务。分布式拒绝服务（DDOS）把DoS又向前发展了一步。DoS攻击需要攻击者手工操作，而DDOS则将这种攻击行为自动化。与其他分布式概念类似，分布式拒绝服务可以方便地协调从多台计算机上启动的进程。在这种情况下，就会有一股拒绝服务洪流冲击网络，并使其因过载而崩溃。黑客(client)在不同的主机(handler)上安装大量的DoS服务程序，它们等待来自中央客户端(client)的命令，中央客户端随后通知全体受控服务程序(agent)，并指示它们对一个特定目标发送尽可能多的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的DoS服务程序，这就是它被叫做分布式DoS的原因。实际的攻击并不仅仅是简单地发送海量信息，而是采用DDOS的变种工具，这些工具可以利用网络协议的缺陷使攻击力更强大或者使追踪攻击者变得更困难。首先，现在的DDOS工具基本上都可以伪装源地址。它们发送原始的IP包（rawIPpacket），由于Internet协议本身的缺陷，IP包中包括的源地址是可以伪装的，这也是追踪DDOS攻击者很困难的主要原因。其次，DDOS也可以利用协议的缺陷，例如，它可以通过SYN打开半开的TCP连接，这是一个很老且早已为人所熟知的协议缺陷。为了使攻击力更强，DDOS通常会利用任何一种通过发送单独的数据包就能探测到的协议缺陷，并利用这些缺陷进行攻击。1.1.1.1解决办法针对资源掠夺性攻击，在网络设备上可以进行多层次的防范：(1)在CiscoIOS中使用命令可一次性关闭所有带有安全隐患的端口检测和进程调用。A.在路由器全局模式下键入第105页长城计算机软件与系统有限公司 技术投标书noservicetcp-small-serversnoserviceudp-small-servers可以避免UDP/TCP诊断端口DoS(DenialofService)攻击B.在路由器全局模式下键入noservicefinger可以避免被外人窥测出用户login信息。C.在骨干路由器全局模式下键入noipredirectsnoipdirected-broadcastnoipproxy-arp可以避免SMURF攻击。D.在骨干路由器全局模式下键入noservicepadnoipbootpservernocdprunnocdpenable可以避免损耗CPU攻击。(2)过滤进网和出网的流量浙江省政府电子政务网络可以在各接入分支节点的交换机或路由器上实施进网流量过滤措施，目的是阻止任何伪造IP地址的数据包进入网络，从而从源头阻止诸如DDOS这样的分布式网络攻击的发生或削弱其攻击效果。第105页长城计算机软件与系统有限公司 技术投标书(3)可疑数据流带宽控制在各接入分支节点交换机、路由器和核心路由器上，使用队列技术或者CAR的方法对ping及SYN数据流进行带宽控制，以预防DDOS的攻击。(4)采用网络入侵检测系统IDS当系统收到来自奇怪或未知地址的可疑流量时，网络入侵检测系统IDS（IntrusionDetectionSystems）能够给系统管理人员发出报警信号，提醒他们及时采取应对措施，如切断连接或反向跟踪等。1.1路由信息安全对于浙江省政府电子政务网络这样大规模的网络，如果某台主机或者路由器未按照IP地址规划，错误配置IP网段，那么该错误配置就有可能通过动态路由扩散到全网，引起整个网络的路由混乱。为保证全网络路由表的安全性，防止路由更新及路由表的非法更改，确保整个网络系统路由的可靠和稳定，我们建议采取以下措施：1.1.1路由协议的验证机制我们推荐的浙江省电子政务网络工程中的路由设备全部采用支持路由更新认证的动态路由协议（例如OSPF协议，IS-IS，BGP4协议）。在我们的方案中所推荐的路由协议IS-IS支持路由认证。如果两台路由器的认证关键字不匹配，相应的两台路由器之间就不能建立交换路由更新信息所必须的“紧邻关系”（AdjacentMembership），因而即使在物理上连通，也不能交换路由。从而保证未配置相同口令的路由器无法将非法路由注入整个网络。1.1.2禁止源路由方式Internet上有一种不依靠路由器的路由表仍能实现在源和目的间进行正确的包传输的路由方式，这就是所谓“源路由方式”第105页长城计算机软件与系统有限公司 技术投标书。在源路由环境中，即使我们有效的保护了私网路由信息不扩散、不被写入非法路由信息，黑客仍能利用源路由传输方式完成攻击。源路由是被设计来进行测试和调试的，一般的路由器默认状态下都予以支持，但在我们政务网中它只会带来安全漏洞，因此我们必须注意在实施中将路由设备的源路由特性关闭掉，这一特性在Cisco路由器中是可以被支持的。可在路由器配置的全局模式中插入如下命令：noipsource-route1.1网管系统安全实现我们推荐的网管系统CiscoWorks2000符合C2安全标准，不同用户对不同的设备和网络管理软件的不同模块拥有不同的权利，并且CW2000将用户的工作进行全程监督并形成历史文档记录备查。网络设备的配置将保持历史记录有利于网络的恢复和安全；Cisco公司的网络管理程序是网络设备管理界面，实际的功能是由网络设备本身来完成的，因此当网管系统出现故障时，网络设备能自动及人工恢复正常工作，不影响网络的正常运行。另外，通过在网络设备上设置SNMP的ACL，可以限定只有特定IP地址的网管工作站才能对网络设备进行SNMP的操作。1.2网络服务的安全性浙江省电子政务网络的目标是：建成省电子政务网络内、外网平台，支持数据、语音和视频业务，传输性能满足业务需求，具备密码管理、信任体系、网络管理、容灾备份、信息管理和信息交换等各项功能，实现跨部门、跨地区的业务互联，因此必须确保为用户提供的服务是安全可靠的。1.2.1防火墙部署设计根据标书的界定，本节将只讨论浙江省电子政务Internet出口的防火墙设计和办公厅信息中心防火墙设计。我们建议在浙江省政府政务外网核心交换路由器Cisco7609通过华堂防火墙HT4800联入Internet，实现政务外网和Internet的安全隔离的，同时华堂防火墙还将完成浙江省政府外网内部私有地址到公网地址的转换(NAT)工作。我们建议信息中心防火墙工作在透明模式，使之不影响原有网络设计和配置，管理员不需要对保护网络主机属性进行重新设置。第105页长城计算机软件与系统有限公司 技术投标书我们推荐的华堂防火墙为基于自主开发的安全内核，是在第三代防御系统技术--状态检测技术之上发展而来的智能过滤型软硬件一体化防御系统。其主要特性如下：n华堂防火墙HT4800产品支持1Gbps吞吐率，同时支持1,000,000个并发连接。n支持病毒扫描：支持防病毒功能，如扫描电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。n提供内容过滤：支持内容过滤，防御系统在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防御系统控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。过滤内容主要指URL、HTTP携带的信息：JavaApplet、JavaScript、ActiveX和电子邮件中的Subject、To、From域等。n能防御的DoS攻击类型：防御系统通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。n阻止ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防御系统能够从HTTP页面剥离JavaApplet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。n提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警，报警的方式可能通过主控台报警、邮件、呼机及用户预先定义的动作等。n提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防御系统能够动态响应，调整安全策略，阻挡恶意报文。n识别/记录/防止企图进行IP地址欺骗：IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击，防御系统能够禁止来自外部网络而源地址是内部IP地址的数据包通过。n提供处理完整日志的方法：防御系统规定了对于符合条件的报文做日志，并提供日志信息管理和存储。其部署结构示意图如下：第105页长城计算机软件与系统有限公司 技术投标书图4.7.1-1网络服务安全设计示意图1.1.1访问控制ACL通过在分支节点的三层交换机或路由器上设置IP访问控制，可以防止个人节点对电子政务网络中重要系统的非法访问。访问列表的建立是为了保护政务网络的安全，因此，建立安全合理的访问列表，首先需要对政务网络的应用进行深入细致的了解，有哪些应用、使用哪些端口，访问哪些地址等等，使得访问列表的建立，不会影响到电子政务网络的运转。我们推荐的三层交换机和路由器支持线速ACL功能，可以支持：n基本的存取列表：基于源IP地址进行检查；n扩展的存取列表：基于源IP地址，源端口号，目的IP地址，目的端口号及ICMP包的各种类型进行检查。第105页长城计算机软件与系统有限公司 技术投标书1.1.1入侵检测技术入侵检测具有监视分析用户和系统的行为、审计系统配置和漏洞、评估敏感系统和数据的完整性、识别攻击行为、对异常行为进行统计、自动地收集和系统相关的补丁、进行审计跟踪识别违反安全法规的行为、使用诱骗服务器记录黑客行为等功能，使系统管理员可以较有效地监视、审计、评估自己的系统。我们推荐的"天阗"黑客入侵检测与预警系统是是国内第一批在入侵检测方面获得国家公安部销售许可证的网络安全产品，同时天阗还通过了所有权威管理部门的测评和认证。"天阗"黑客入侵检测与预警系统是一种动态的入侵检测与响应系统。它能够实时监控网络传输，自动检测可疑行为，及时发现来自网络外部或内部的攻击，并可以实时响应，切断攻击方的连接。天阗系统可以与防火墙紧密结合，弥补了防火墙的访问控制不严密的问题。其联机文档提供了丰富的事件说明及恢复措施，可以最大程度地为网络系统提供安全保障。在本设计方案中建议部署天阗S1100，其关键特性与效果：n通过实时监视和检测功能，能够积极主动地对非授权行为做出响应，阻止网络访问、中断恶意的通讯连接以及系统内部越权操作；n能够弥补其它安全机制（如防火墙、加密和认证）的不足。天阗能够在外网和内网环境中操作，从而保护组织的整个网络和重要主机；n具备综合的攻击识别/特征覆盖，探测引擎能够检测各类攻击，包括那些复杂的IP碎片重组以及“Whisker”反IDS检测功能；n优化的网络引擎在1000M环境中仍保持最佳的运行状态，优化的主机引擎占用的资源消耗对主机的正常运行几无影响；n硬件网络引擎提供即插即用的解决方案，软件操作界面友好；n维护成本很低，探测引擎的安装、配置和维护简单易行；n不仅不会影响网络性能，对于最终用户也是完全透明的。加进网络之后，最终用户看不见，安全措施得以增强，网络性能和功能丝毫不受影响；n可以把主机入侵检测和网络入侵检测进行同台管理，并实现和其他安全产品的互动和综合分析。我们建议在浙江省政府办公厅信息中心核心路由器上部署天阗S1100，用于监控访问信息中心的网络连接，我们可以获得如下效果：第105页长城计算机软件与系统有限公司 技术投标书(1)对合法流量/网络使用透明的实时入侵检测；(2)对未经授权活动的实时应对可以阻止黑客访问网络或终止违规会话；(3)全面的攻击签名目录可以检测广泛的攻击，检测基于内容和上下文的攻击(4)取得证据：从相关的事件和活动的多个角度提供了具有标准格式的独特数据。其产品部署结构图可参看“图4.7.1-1网络服务安全设计示意图”。1.1.1漏洞扫描技术漏洞检测就是对重要计算机信息系统进行检查，发现其中可被黑客利用的漏洞。漏洞检测的结果实际上就是系统安全性能的一个评估，它指出了哪些攻击是可能的，提供了积极的预防性安全，因此成为安全方案的一个重要组成部分。安全扫描服务器可以对网络设备进行自动的安全漏洞检测和分析，并且在实行过程中支持基于策略的安全风险管理过程。另外，互联网扫描执行预定的或事件驱动的网络探测，包括对网络通信服务、操作系统、路由器、电子邮件、Web服务器、防火墙和应用程序的检测，从而去识别能被入侵者利用来进入网络的漏洞。能进行系统扫描。系统扫描通过对企业内部操作系统安全弱点的完全的分析，帮助组织管理安全风险。系统扫描通过比较规定的安全策略和实际的主机配置来发现潜在的安全风险，包括缺少安全补丁、词典中可猜的口令、不适当的用户权限、不正确的系统登录权限、不安全的服务配置和代表攻击的可疑的行为。系统安全扫描还可以修复有问题的系统，自动产生文件所有权和文件权限的修复脚本。当收到安全性消息时图形用户界面上相应的主机状态颜色和安全性消息组的图标都应有相应变化，以帮助操作人员快速地确定报警的原因和范畴。由于本项目标书界定，本项目设备采购中并不涉及漏洞扫描系统，但我们认为漏洞扫描/安全评估系统是浙江省政府电子政务安全建设中必不可少的环节，通过漏洞扫描系统，可以检查和监控浙江电信IP网中网络设备、主机和应用系统的安全状态，一旦发现安全漏洞，可以及时修补，以避免造成安全隐患。第105页长城计算机软件与系统有限公司 技术投标书1.1系统安全的非技术因素安全体系的建立是全方位多因素制约的复杂过程，存在许多非技术因素同样对信息系统的安全起至关重要的作用。1.1.1物理环境因素在前面我们偏重于使用一定的设备、一定的软件和相应的技术达到系统安全性，除此以外信息系统所存在的物理环境也非常重要，不安全的环境所导致的违规行为可以轻易的绕过由技术所设定的重重障碍，比如机房应按安全规定进行区域设置，否则可能发生管理员输入密码的键盘操作被不法人员轻易窥测，无需繁冗的破解算法就可被得到口令字；设备机柜必须上锁，否则会被轻易改变端口跳线，使VLAN设置等技术失去意义；更有甚者直接接入到网络设备上进行网络探测或接入Console口便可以轻易破解密码。物理环境的安全管理现已有大量标准和规范，如GB9361-88《计算机场地安全要求》、GFB2887-88《计算机场地技术条件》等，应当参照执行。1.1.2安全的管理因素网络安全可以采用多种技术来增强和执行。但是，很多安全威胁不是首先起因于技术上的落后，而是直接源于管理上的松懈及对安全威胁认识的淡化。安全威胁主要利用以下途径：（1）系统实现存在的漏洞；（2）系统安全体系的缺陷；（3）用人员的安全意识薄弱；（4）管理制度的薄弱；良好的平台管理有助于增强系统的安全性：（1）及时发现系统安全的漏洞；第105页长城计算机软件与系统有限公司 技术投标书（2）审查系统安全体系；（3）加强对使用人员的安全知识教育；（4）建立完善的系统管理制度。安全系统需要人来执行，即使是最好的、最值得信赖的系统安全措施，也不能完全由计算机系统来完全承担安全保证任务，因此必须建立完备的安全组织和管理制度。下面简单介绍一下制订安全制度时所应遵循的安全管理原则和安全管理的具体实现。1.1.1.1安全管理原则计算机信息系统的安全管理主要基于三个原则。（1）多人负责原则每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。（2）任期有限原则一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。（3）职责分离原则除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。1.1.1.2安全管理的实现浙江省政府信息中心的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应规范，其具体工作是：(1)确定该系统的安全等级；第105页长城计算机软件与系统有限公司 技术投标书(2)根据确定的安全等级，确定安全管理的范围；(3)制订相应的机房出入管理制度，对安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域；(4)制订严格的操作规程，操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围；(5)制订完备的系统维护制度，维护时，要首先经主管部门批准，并有安全管理人员在场，故障原因、维护内容和维护前后的情况要详细记录；(6)定期安全检查：维系系统的安全不只是在建设时期的事情，而是长期维护的过程，需要定期根据安全制度、辅助一些技术手段进行检查，及时发现漏洞弥补漏洞，防患于未然；(7)制订应急措施，要制订在紧急情况下，系统如何尽快恢复的应急措施，使损失减至最小；(8)建立人员雇用和解聘制度，对工作调动和离职人员要及时调整相应的授权。这里要重申，安全系统需要由人来计划和管理，任何系统安全设施也不能完全由计算机系统独立承担系统安全保障的任务。一方面，各级领导一定要高度重视并积极支持有关系统安全方面的各项措施。其次，对各级管理员的培训也十分重要，只有各级管理员对网络安全性都有了深入了解后，才能降低网络信息系统的安全风险。总之，制定系统安全策略、安装网络安全系统只是网络系统安全性实施的第一步，只有当各级组织机构均严格执行网络安全的各项规定，认真维护各自负责的分系统的网络安全性，才能保证整个系统网络的整体安全性。第105页长城计算机软件与系统有限公司 技术投标书第1章工程总体建议1.1目前网络数据系统分析根据标书界定，浙江省政府电子政务网络数据系统采用IPOverSDH技术/千兆/百以太网/ATM等技术，设备选用了由Cisco公司提供路由器、路由交换机、接入服务器和交换机等系列产品。以本次主要新增设备的外网为例，对本次项目标书所提出的网络结构做一分析，见下图。图5.1-1本次项目标书的网络结构示意图该网络主要采用星型结构，分为中心节点和分支节点。详细描述情况参见本技术建议方案2.3节。中间主干传输网络具有一定的自愈能力，提供了一定的可靠性。根据网络的现状，整个宽带网在网络设计及对宽带业务稳定运行的支持上，存在着一定的弱点与有待优化之处，具体来讲，主要表现在以下几个方面：1、该网络属于典型的单星型结构，核心路由器采用Cisco7609为整个浙江省政府电子政务数据网络系统的中心节点。它将对浙江省电子政务数据网络的第105页长城计算机软件与系统有限公司 技术投标书IP网络业务服务，应用业务服务，接入服务等进行集中统一管理；同时，它还是本数据网络系统对外提供数据访问服务的中心点。它应该具有高的可靠性和稳定性，而单台设备的提供无疑会存在单点的故障隐患，一旦中心节点设备出现问题，将可能导致整个浙江省政府电子政务网络数据系统的崩溃，给全网的业务带来及其严重的影响，所以目前的网络在设备可靠性上存在不尽优化之处；2、针对本次项目的电子政务外网，承载全省电子政务数据业务流量的核心路由器是通过单台Internet出口防火墙联入Internet，该防火墙提供公众安全访问省政务外网上的相关数据信息的服务，同时也提供政务外网上的用户访问Internet所需的连接服务和内外网地址翻译功能，其设备稳定运行的重要性是不言可喻的，应该考虑其热备或负载均衡。同样提供信息中心防火墙也有类似的问题需要考虑；3、从重要分支节点的传输线路上的冗余和负载分担上看，10个地市与核心路由器的连接有造成单链路的故障隐患，应当考虑一定线路的冗余或故障发生的应急措施。1.1网络数据系统优化建议从本技术建议书5.1节的分析，本网络数据系统需要作出调整的地方还是比较多的，但出于投资方面的考虑，我们不要求全网结构全部采用双设备双链路冗余，本着从增加一定量的投资得到系统网络最大优化的折衷思路，我们提出了如下数据系统网络优化建议：1、我们强烈建议中心节点新增一台核心路由器Cisco7609，通过双千兆链路与原设计中的核心路由器连接，从而使整个浙江省政府政务网核心层起负载分担和冗余备份，提高了网络的接入能力和安全稳定性，避免了网络核心单点故障问题，而且在网络结构规划上，与原有的网络保持一致，从而确保了整个网络的演进过程的平滑性；2、对于10个地市政府单台交换路由器上联至核心路由器，在中心节点核心路由器扩充以后，可考虑10个地市政府通过长途电信传输网上各新开通1条155MPOS联入新增的核心路由器，起到链路冗余和负载均衡、提高网络接入能力的作用，如果考虑到租用长途数据链路的费用而不采取双链路，我们建议划分10个地市政府路由器为两组，分别接入核心路由器，见下图。第105页长城计算机软件与系统有限公司 技术投标书图5.2-110地市双链路接入中心节点示意图3、标书中未涉及域名系统规划的要求，但作为一个电子政务系统基础网络平台，以浙江电子政务外网为例考虑未来的发展和需求，有必要考虑设置内部DNS服务器，其目的是使专网内部所有终端，通过专网DNS服务器解析，免去通过IP地址直接访问服务器的麻烦，域名系统的规划和建议可参看本技术建议方案2.6节；4、对于40家杭州市区次级单位帧中继接入和88家单位和企业的PSTN拨号接入，从路由规划的合理性、负载分担的需要、我们建议进行一些网络调整：n对于40家杭州市区次级单位帧中继接入，并通过电信网内完成协议转换，以155MATM线路联入核心路由器，通过新增核心节点路由器以后，我们建议新部署一台Cisco2691路由器，以两条FE分别联入双核心路由器，同时电信网内与帧中继完成协议转换的155MATM链路接入Cisco2691；n对于负责88家单位和企业拨号接入的AS5350利用设备已有的一个10/100MFE和一个10MFE双链路链路连入双核心路由器。第105页长城计算机软件与系统有限公司 技术投标书如下图所示：图5.2-2帧中继接入和PSTN接入网络调整示意图5、在5.1节的网络拓扑分析中，Internet出口防火墙起路由模式，并负责浙江省政府电子政务外网用户NAT地址翻译，该设备存在单点故障，我们推荐部署的华堂网络安全防御系统提供双机热备份功能，通过双机热备份功能，提供较高的网络设备冗余。通过新增加防火墙设备和相关双机热备模块，我们可以为浙江省政府电子政务网络数据系统与Internet的高可靠连接。对于信息中心防火墙的部署，启用的是防火墙的透明模式，参看本技术建议方案的4.7.1防火墙部署设计，如果出于投资方面考虑，可以不必新增防火墙设备和相关双机热备模块，一旦系统出现故障，可考虑信息中心路由交换机与中心节点路由器直接互联，同时注意安全防护，由于如下图所示。第105页长城计算机软件与系统有限公司 技术投标书图5.2-3数据系统Internet出口防火墙设备冗余示意图6、除设备、线路的负载分担和冗余性考虑外，设备本身模块也建议做相关备件考虑，以便即使设备发生故障，也能在短时间尽快恢复。1.1优化后总体调整情况和新增设备清单通过本技术方案建议书5.1节和5.2节方面的分析和优化建议，从总体投资方面的考虑，我们建议总体网络结构的优化调整建议拓扑图如下。第105页长城计算机软件与系统有限公司 技术投标书图5.3-1网络数据系统优化调整示意总图新增设备清单：1、汇聚路由器Cisco2691设备编号设备描述数量CISCO2691HighPerformance10/100DualEthRouterw/3WICSlots,1NM1NM-1A-OC3MMOne-portATMOC-3MultimodeNMfor2691,3600,372512、对于新增核心路由器，考虑与原有标书模块的配置，结合图5.3-1网络数据系统优化调整示意图的拓扑结构，只需新增下列模块，同时可节省本技术方案中2.4.1节中原配置的WS-X6182-2PA和PA-A3-OC3SMI，新增模块如下：设备编号设备描述数量CISCO76097609ChassisBundles17609-SUP720-PSCisco7609Chassis,9-slot,SUP720,PowerSupply14000W-AC-INT4000WACPowerSupply,International(cableattached)1WS-CAC-4000W-INT4000WACPowerSupply,International(cableincluded)1S763ZK9M-12217SXCisco7600-SUP720IOSIPMPLS/IPV6W/SSH+BGP1WS-X6408A-GBICCatalyst60008-portGE,EnhancedQoS(Req.GBICs)1WS-X6148-RJ-45Catalyst650048-Port10/100,UpgradabletoVoice,RJ-451第105页长城计算机软件与系统有限公司 技术投标书WS-X6182-2PAFlexWANModuleforCisco7600/Catalyst60001PA-POS-OC3SMI1-PortPacket/SONETOC3c/STM1Singlemode(IR)PortAdapter2WS-CAC-4000W-INT4000WACPowerSupply,International(cableincluded)1WS-SUP720Catalyst6500/Cisco7600Supervisor720FabricMSFC3PFC3A1MEM-S2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201MEM-MSFC2-512MB512MBDRAM,Catalyst6500Sup2,MSFC2,Sup7201FR-IRC6Catalyst6000FamilyInterDomainRoutingFeatureLicense1WS-G54841000BASE-SXShortWavelengthGBIC(Multimodeonly)73、新增华堂防火墙HT4800一台，并增加HA(双机/多机热备份)模块。1.1路由调整设计结合网络优化后的调整情况，我们对浙江省政府电子政务网络数据系统的路由设计进行相应的调整建议，新增加的核心路由器Cisco7609加入IS-ISLevel-2中，新增加的Cisco2691与40家次级节点单位接入路由器Cisco2621XM作为IS-ISLevel-1，其中Cisco2691作为IS-ISL1/L2路由器，此外：n浙江省政府办公厅信息中心（网络管理中心NMS）与核心骨干节点之间仍采用静态路由；n接入Internet的防火墙系统双机与核心骨干节点之间采用仍采用静态路由；第105页长城计算机软件与系统有限公司 技术投标书第1章场地及环境准备建议1.1网络设备的安装与运行环境大型的网络系统是计算机应用系统的基础，应用系统的可靠运行依赖于网络系统的正常工作。网络设备机房则是整个网络系统环境中的最重要组成部分之一，机房环境的好坏将直接影响到应用系统的运行。有缺陷的运行环境会对网络产生不良的影响。比如：电压不稳定容易造成设备的损坏，系统意外掉电将影响网络的正常运行。提供良好的网络设备安装及运行环境，避免设备在恶劣的环境中运行，既有利于提高网络系统的无故障运行时间，也会减少意外事故的发生。良好的环境还可以延长网络设备的使用寿命。1.1.1场地选择•场地的位置应该于海平面0至4570米的高度之间。•如果安装现场距离发电机、大功率马达、无线电台、雷达、高频干扰、强电场、强磁场等设备较近，应加装隔离设备；否则应使安装现场远离上述设备。•安装现场应远离高电压、大电流及腐蚀性气体、易燃易爆物品等储放地点或工作场所。•机房地点的选定，必须以系统安装及电源、空调系统施工等是否方便为原则，同时应照顾到将来搬运设备时是否方便。•机房必须有足够的空间，以利于系统的安装、操作、维护，以及软盘、CD-ROM、资料、手册的保存和将来可能的扩充。•如果机房内使用高架地板，则地板的强度必须能名承受系统设备的重量。1.1.2环境要求•如果机房内使用高架地板，则必须满足坚硬、防静电的要求。第105页长城计算机软件与系统有限公司 技术投标书•地板载重量必须大于500kg/m2，表面电阻应大于0.5MW；若使用高架地板，其对天花板距离应为2.4m，对地距离（即地板高度）应大于25cm，建议为30cm。•机房的装修应选择防火材料，并应有防尘措施。•注意窗户的位置、数量和形式，不可让阳光直接照射在机器设备上，必要时需加装窗帘，以避免影响机房的温度控制。•网络设备的位置应在电脑设备附近，并配合进/出信号线的长度。打印机等应隔间放置，以防止纸屑污染。•预留维护工作空间，以及设备有效散热空间，机柜的前后左右至少各留75cm，建议为90cm，以方便日后的维护和散热。•勿在机房内或设备放置场所铺设地毯，以防静电产生；如果是高架地板，请在地面上铺设适当隔离材料，以提高空调效率。1.1.1机房选用的附加设备•温度/湿度计•除尘器、吸尘器•除湿器、冷气机•如果安装现场靠近有腐蚀性气体的场所，则应该加装空气过滤器•拖鞋•灭火器•紧急停电照明设备•电源稳压器，请参考本方案提供的设备耗电量选择品质优良的产品。•为顾及系统稳定性，需增设不间断电源设备(UPS)。采用UPS时，请注意将其与网络设备隔离，以防电池散发出的腐蚀性气体影响设备。第105页长城计算机软件与系统有限公司 技术投标书•2条电话线路，分别用于远程通话与远程通信。1.1.1接地系统•网络设备的电源应有独立的接地系统，并应符合相应的技术规定。•分支电路的每一条回路都需有独立的接地线，并接至配电箱内与接地总线相连。•配电箱与最终接地端应以单独绝缘导线相连；其线径至少需与输入端、电源路径相同，接地电阻应小于5W。•接地线不可使用零线或以铁管代替。•在雷电频繁地区或有架空电缆的地区，必须加装避雷装置。•网络设备的接地系统不可与避雷装置共用，应各自独立，并且其间距应在10米以上；与其他接地装置也应有4米以上的间距。•在有高架地板的机房内，应有14mm的铜线地网，此地网应直接接地；若使用铝钢架地板，则可用铝钢架代替接地地网。•地线与零线之间所测得的交流电压应小于1伏特。1.1.2电源系统•电源规格：电压：180～264VAC频率：47～63Hz其它单一谐波不得高于3％•设备电力总容量计算：第105页长城计算机软件与系统有限公司 技术投标书设备总容量是指各单位设备电力容量的总和(注意：设备的最大启动负载电流也适用同样方法来计算）•电源稳压器或不间断电源的容量计算：其系统应为设备总容量，另加30％的安全容量；如考虑今后系统的扩容，其容量也应计算在内。•机房用电应使用独立的电线，专用变压器、电源稳压器(AVR)，若考虑系统的稳定性与资料的重要性，须增设不间断电源设备(UPS)。•请勿将机房电源与下列设备共用同一电源或同一地线，以避免受到干扰：例如大型电梯、升降机、窗型冷气机、复印机等。•请在机房内安装适当数量的普通插座，以供维修人员使用，并且这些插座不宜与电源系统共用电源。•配电箱的位置应尽量靠近机房，并且便于操作。1.1.1空调系统•环境温度湿度的要求如下：²温度：18℃~24℃；²温度变化率：不高于2℃/小时²相对湿度：40％～60％(不结霜)²相对湿度变化率：2％/小时•机房空调冷却系统容量计算：总安全量=(设备散热量＋环境散热量）×130％(未包括未来扩充设备容量)环境散热量，可简单地以每平方米600BTU/小时预估(不含操作员)•您所需冷气量=总安全量BTU/小时¸8500BTU/小时第105页长城计算机软件与系统有限公司 技术投标书•其他热源如人员、辐射热、灯光、通风设备、墙等产生的热量请参考下表，并进行合并计算。环境散热量参考表：名称散热量(BTU/小时)墙体(包括窗户)每平方米30～120窗户(无百叶窗)每平方米290～830窗户(有百叶窗)每平方米230～550空间每平方米600电灯、日光灯每瓦特3.4工作人员每人500通风设备每台340～825安全量总量的130％1.1装机前机房装备应注意事项检查事项装备情况(完全符合、部分符合、不符合)1机房装备(机房位置、照明、高架地板、线槽)2确认网络设备安装位置319英寸标准机柜到位4控制台(console)到位(位置、桌椅、信号线)5手册、资料、软件储放柜6广域网线路的申请、安装及测试7机房装备电源(插座、配线)/电源稳压器(AVR)/不间断电源(UPS)8机房装备：接地(Grounding)9机房装备：空调(Cooling)10机房消防/安全系统11机房工程完工报告12现场检验(CheckSite)19英寸标准机柜的选择(EquipmentRack)选择重点•前、后门可拆卸设计(前门可选用透明材料)第105页长城计算机软件与系统有限公司 技术投标书•后骨架采用电源插板设计•顶部采用抽风扇设计•前后采用19英寸骨架设计(符合DIN25mm间距方孔及圆孔设计)•载重托板(mountingplate)设计•建议尺寸：84TE×40U(60cm(宽)×85cm(长)×200cm(高))(1TE=0.2"宽,1U=1.75"高)机柜简图机房布局示意图第105页长城计算机软件与系统有限公司 技术投标书根据标书界定，浙江省政府电子政务网络数据系统采用IPOverSDH技术/千兆/百以太网/ATM等技术，设备选用了由Cisco公司提供路由器、路由交换机、接入服务器和交换机等系列产品。以本次主要新增设备的外网为例，对本次项目标书所提出的网络结构做一分析，见下图。1.1注意事项•机架通常用固定底盘(另外配置)固定在机房水泥地板上，该底盘应按机架尺寸特别定制，并且不影响下走线。•高度：底盘＋机架＋上部空间(上走线或上排热)机房总高度•机架与控制台终端等计算机设备走线距离(实际走线距离)应不超过15米(以供连接RS232控制设备)。•机架与其它机架设备之间的实际走线距离应应不超过连接电缆长度，需用短互联电缆连接的设备应安排在同一机架内(注意该机架应该有足够的空间放置所有上述设备)。•根据设备总数确定机架个数，并确定最佳的设备布放位置。•北方机房应特别注意加湿、密闭防尘，并提供防静电拖鞋、桌椅、工作服；南方机房应特别注意去湿防霉。•机架深度应能满足结构化布线要求，前后布线预留足够的深度，应保证连线结束后前、后、左、右门能正常关闭。•机架固定骨架应配有足够的固定螺丝用以固定设备，该螺丝应通过带有螺纹的固定孔直接固定在骨架上(即不需其它固定栓或垫片)。•机架左右侧也可开门拆卸。第105页长城计算机软件与系统有限公司 技术投标书•如需上走线则排风扇应安装在左、右门上。•机架底部应足够开孔供下走线。•如果使用-48V直流电源，则应该有-48V进线及保险，线径及保险容量应有余量；如用220V电源，则应有足够插座或提供插座板，插脚类型应符合设备电源线要求。•机架提供排风扇所需的220V电源。•根据设备散热排气的方向确定机架前后、左右、上下所留空隙，上下排气的载重板应为空洞型。第105页长城计算机软件与系统有限公司'