【導(dǎo)讀】未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。

　　

【正文】 城市管理系統(tǒng)的業(yè)務(wù)應(yīng)用區(qū)域，包括 XX 市市級監(jiān)督中心、 XX 市市級指揮中心和 XX 市城管局內(nèi)部辦公網(wǎng)，在安全級別上市級監(jiān)督中心和市級指揮中心采取相同的安全訪問控制策略，這個安全訪問級別將大大嚴(yán)格于 XX 市城管局內(nèi)部辦公網(wǎng)的安全訪問控制策略，這是由于這兩個軸心已經(jīng)涉及國家秘密所至；數(shù)字化城管核心安全區(qū)域是本項目的最高級別的安全防護(hù)區(qū)域，由一系列服務(wù)器、存儲設(shè)備和核心網(wǎng)絡(luò)設(shè)備組成，保存著XX市 1： 500的地圖數(shù)據(jù)，該數(shù)據(jù)已經(jīng)涉及國家秘密。 揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 16 揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 17 揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 18 如上圖所示，整個網(wǎng)絡(luò)的骨干線路采用 1000M光纖，各市級委辦局接入采用100M，各區(qū)級、街道辦事處亦采用 100M 帶寬接入，各社區(qū)采用 10M 帶寬接入，此外各類服務(wù)器采用 100/1000M帶寬連接。監(jiān)督中心坐席、指揮中心坐席和數(shù)字化城管核心服務(wù)器區(qū)域采用 1000M屏蔽雙絞線，其余鏈路采用超 5類雙絞線連接。 本項目中，各類應(yīng)用服務(wù)器是保護(hù)的重點，這里所說的核心服務(wù)器是指數(shù)據(jù)庫服務(wù)器、 WEB服務(wù)器和城管通服務(wù)器。我們?yōu)樗械姆?wù)器均配置 2塊 1000M電口網(wǎng)卡。網(wǎng)卡 1 作為外部用戶訪問用，單 獨劃分一個 VLAN，分配一個統(tǒng)一規(guī)劃的 IP 地址段。網(wǎng)卡 2 作為服務(wù)器內(nèi)部互相訪問用，也單獨劃分一個 VLAN，并分配一個統(tǒng)一規(guī)劃的 IP 地址段，但不為該網(wǎng)段設(shè)置網(wǎng)關(guān)，以保證外部用戶無法通過此網(wǎng)段訪問服務(wù)器。對于其他服務(wù)器，如防病毒服務(wù)器、視頻監(jiān)控服務(wù)器和測試服務(wù)器，由于其有訪問公網(wǎng)的需要或其它業(yè)務(wù)需求，不適宜放在核心服務(wù)器網(wǎng)段內(nèi)，我們建議將這些服務(wù)器直接連接在核心交換機(jī)上，與監(jiān)督中心的坐席pc 配置在一個 VLAN內(nèi)。 我們?yōu)楹诵姆?wù)器專門配置一臺匯聚交換機(jī)，并建議匯聚交換機(jī)采用華為公司的 S5024G24 交換機(jī)，配 置 24 個 10/100/1000 兆自適應(yīng)電口和 4 個 1000兆 GBIC 光纖模塊。匯聚交換機(jī)與核心交換機(jī)之間采用 2 條 1000M 光纖進(jìn)行連接，并配置成快速以太通道的形式，保證 2 臺交換機(jī)之間的連接帶寬可以達(dá)到2G，在其中 1 條鏈路斷開的時候，數(shù)據(jù)仍然可以從另一條鏈路通過。 在本網(wǎng)絡(luò)設(shè)計中， 我們建議選用華為公司的 S6506交換機(jī)作為核心交換機(jī)，并為該交換機(jī)配置 雙引擎，雙電源，雙背板 。監(jiān)督中心坐席 pc 直接連接到核心交換機(jī)上，所有辦公 pc 通過匯聚交換機(jī)后再連接到核心交換機(jī)上。 本項目中的坐席主要包括 2 個 部分： 2 樓監(jiān)督中心坐席和 4 樓指揮中心坐席。在 2 個中心的業(yè)務(wù)流程中，均需要多次、大量的訪問應(yīng)用服務(wù)器，為保證網(wǎng)絡(luò)應(yīng)用流暢，建議采用 1000M 接入方式。同時，為了保證能夠有效地抑制廣播風(fēng)暴帶來的影響，提高網(wǎng)絡(luò)安全性，我們采取了劃分 VLAN的方式，具體可參考下表： VLAN名稱 VLAN號 IP 地址 備注 監(jiān)督中心坐席 VLAN5 監(jiān)督中心辦公 VLAN7 指揮中心坐席 VLAN9 揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 19 指揮中心辦公 VLAN11 其他辦公室 VLAN252 可根據(jù)需要添加 其他辦公室 VLAN253 同時，由于數(shù)字化城管的指揮中心設(shè)置在 4 樓，如直接從 4 樓通過屏蔽雙絞線接入到 1 樓機(jī)房，要受到 100 米的距離限制，也為弱電布線帶來不便，所以建議在 5 樓配線間內(nèi)放置 2 臺交換機(jī)，作為匯聚指揮中心坐席 pc 和 45 樓辦公 pc 用。從以后發(fā)展的角度考慮，建議該交換機(jī)也采用華為公司的 S5024G24交換機(jī)， 2 臺交換機(jī)通過背板的堆疊口進(jìn)行堆疊，配置 40 個 10/100/1000M 自適應(yīng)電口和 4 個 1000M 光纖 GBIC 模塊。通過防火墻上連到核心交換機(jī)。 根據(jù)辦公樓的布局情況， 1 樓可能作為城管 12319 熱線的工作大廳，所以信息點的數(shù)量會較其他樓層稍多一些， 3 樓作為城管局主要辦公區(qū)域，信息點也較多，而這些信息點是不需要訪問數(shù)字化城管網(wǎng)絡(luò)的，從安全性和易管理性的角度考慮，我們建議在 1 樓監(jiān)督中心機(jī)房內(nèi)放置 2 臺華為公司的 S5024G24 交換機(jī)，用來匯聚辦公樓 13 層的各辦公信息點。配置與連接方式和 5 樓配線間內(nèi)華為交換機(jī)相同。 XX 市網(wǎng)管中心核心網(wǎng)絡(luò)已經(jīng)建成，但其現(xiàn)有的核心交換機(jī)無法勝任即將啟動的數(shù)字化城市管理系統(tǒng)帶來的高數(shù)據(jù)流量的網(wǎng)絡(luò)訪問，所以在本項目中，需要對市政府網(wǎng)管中心的核心交換機(jī)進(jìn)行升級，以適應(yīng)日益增加的網(wǎng)絡(luò)需求。 對于中心機(jī)房的核心交換機(jī)，我們同樣建議選擇華為公司的 S6506 交換機(jī)，為該交換機(jī)配置雙引擎、雙電源、雙背板。并且保留原有的 Cisco 3750G 交換機(jī)， 2 臺交換機(jī)通過鏈路連接在一起，配置成雙機(jī)熱備的形式，平時 讓 S6506交換機(jī)作為主用交換機(jī)， Cisco 3750G 交換機(jī)作為備份交換機(jī)，在需要的時候可以在 10s 內(nèi)進(jìn)行切換。同時根據(jù)實際需要和設(shè)備的連接情況，進(jìn)行 VLAN 的劃分和訪問控制的配置。在市政府中心機(jī)房與數(shù)字化城管監(jiān)督中心機(jī)房之間連接 2條 1000M 單模光纖鏈路，分別從華為的 S6506 和 Cisco 的 3750G24T 交換機(jī)上與監(jiān)督中心機(jī)房的防火墻互聯(lián)，以實現(xiàn)市政府相關(guān)部門訪問該網(wǎng)絡(luò)和異地數(shù)據(jù)備份；此外需要對原有的鏈路進(jìn)行升級改造，使其達(dá)到 1000M 帶寬的目標(biāo)。 、街道辦事處網(wǎng)絡(luò)設(shè)計 該部分包括 4 個區(qū) 級指揮中心， 16 個街道辦事處。該部分網(wǎng)絡(luò)的建設(shè)工作由運營商完成。各分支網(wǎng)絡(luò)由運營商進(jìn)行網(wǎng)絡(luò)匯聚，并通過 1 條 1000M 單模光纖連接到監(jiān)督中心機(jī)房。分支機(jī)構(gòu)可以通過信息中心與監(jiān)督中心的 1000M 單模揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 20 光纖訪問到 XX 市政府的政務(wù)專網(wǎng)，其中區(qū)級部門主要通過電信運營網(wǎng)與市級監(jiān)督中心機(jī)房直聯(lián)的光纖進(jìn)行訪問，市級部門可以通過網(wǎng)通的運營網(wǎng)絡(luò)，經(jīng)過 XX市網(wǎng)管中心再與市監(jiān)督中心機(jī)房互聯(lián)的通道進(jìn)行訪問。 這里考慮到今后區(qū)級平臺可能需要將各區(qū)屬的委辦局接入到該網(wǎng)絡(luò)中來，所以在這部分網(wǎng)絡(luò)中需要提前考慮到今后網(wǎng)絡(luò)擴(kuò)展的問題，這里建議在區(qū) 級指揮中心放置 1 臺 3 層交換機(jī)，這樣該交換機(jī)以后可以作為該區(qū)的一個小型核心交換機(jī)來使用。分支機(jī)構(gòu)的網(wǎng)絡(luò)與運營商的骨干網(wǎng)絡(luò)之間通過靜態(tài)路由進(jìn)行連接。 該部分共包括 112 個社區(qū)居委會的網(wǎng)絡(luò)接入。同樣由運營商完成接入工作。每個居委會提供 10M 帶寬的光纖，通過光電轉(zhuǎn)換器與用戶 pc 相連，原則上保證每個居委會有 1 臺 pc 接入該網(wǎng)絡(luò)即可。所有居委會的網(wǎng)絡(luò)同樣首先匯聚到運營商的骨干網(wǎng)絡(luò)中，再通過運營商與監(jiān)督中心機(jī)房互聯(lián)的 1000M 光纖訪問核心服務(wù)器。 Inter的設(shè)計 終端是否需要訪問 Inter 網(wǎng)，取決于業(yè)主對該網(wǎng)絡(luò)的管理需求，以下僅在允許訪問 Inter 網(wǎng)的情況下可以采取的設(shè)計。注意“數(shù)字化城管核心安全區(qū)域”內(nèi)的所有設(shè)備均不能訪問 Inter，而且 Inter 網(wǎng)也不允許訪問該區(qū)域。 從安全的角度考慮，屬于數(shù)字化城管網(wǎng)絡(luò)的 pc 和服務(wù)器是不允許訪問公網(wǎng)的，但本網(wǎng)絡(luò)的其他 pc 是需要訪問公網(wǎng)的，所以對于公網(wǎng)的訪問權(quán)限，可以在防火墻上進(jìn)行設(shè)置。公網(wǎng)的連接方式和訪問的權(quán)限可以參考下圖的說明： 揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 21 在上圖中，核心交換機(jī)不作為也不能作為訪問公網(wǎng)的設(shè)備，在核心交換機(jī)上僅配置一條缺省路由，指向防火墻， 所有訪問公網(wǎng)的任務(wù)由防火墻來完成。 千兆以太網(wǎng)和快速以太網(wǎng)都是在以太網(wǎng)基礎(chǔ)上發(fā)展起來的新技術(shù)，保留了以太網(wǎng)傳輸結(jié)構(gòu)上的簡單性、靈活性、相同的幀格式、相同的介質(zhì)訪問方法。國內(nèi)以太網(wǎng)的市場占有率為 80%，采用千兆以太網(wǎng)技術(shù)可對已有的應(yīng)用和產(chǎn)品具有極好的兼容性。它與已有的快速以太網(wǎng)和以太網(wǎng)網(wǎng)絡(luò)產(chǎn)品保持了最大的兼容性，它支持交換機(jī)到交換機(jī)、交換機(jī)到終端使用新全雙工操作模式及共享式連接使用半雙工操作模式，它使用光纖、五類非屏蔽雙絞線為傳輸介質(zhì)。千兆以太網(wǎng)避免了象 ATM的局域網(wǎng)仿 真（ LANE）等棘手問題。為此，千兆以太網(wǎng)已成為業(yè)界優(yōu)選的主干網(wǎng)方案，而且業(yè)界 10千兆以太網(wǎng)技術(shù)發(fā)展，升級空間極大。 在千兆以太網(wǎng)中， 1000BASECX 是一種基于銅纜的標(biāo)準(zhǔn)，使用 8B/10B 編碼解碼方式，最大傳輸距離為 25 米。 1000BASESX 的波長為 780nm 時，使用 微米的多模光纖，傳輸距離為 275 米，若使用 50 微米的多模光纖，傳輸距離為 525 米。 1000BASELX 的波長為 1300nm，如果使用多模光纖，傳輸距離為 550 或 525 米，使用單模光纖，則可傳輸 10公里。目前采用 1000BASEZX的 GBIC 技術(shù)，采用單模光纖，則可傳輸 70 公里。 1000BASET 是基于無屏蔽揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 22 雙絞線傳輸介質(zhì)，使用 1000BASET Copper PHY 編碼解碼方式，傳輸距離為25 米，它具有可選的千兆位介質(zhì)無關(guān)接口 (GMII) ，當(dāng)每幀大小為 512Bytes 時，最大傳輸距離為 100 米。所以核心交換機(jī)與樓層交換機(jī)之間應(yīng)采用1000BASESX GBIC，與電信廣域網(wǎng)之間采用 1000BASELX GBIC。 考慮到 XX 市數(shù)字化城市管理系統(tǒng)工程規(guī)模較大，連接的用戶非常多，如果將所有的 PC 都接 入一個網(wǎng)絡(luò)，那么網(wǎng)絡(luò)的廣播風(fēng)暴非常明顯，而且網(wǎng)絡(luò)系統(tǒng)的交換性能也得不到保證，安全也成問題，所以我們必須采用 VLAN 技術(shù)，而且便于網(wǎng)絡(luò)管理，我們可以按部門、按節(jié)點劃分 VLAN。 VLAN具有兩個既重要又基本的優(yōu)點。第一，跨越 Intra 的帶寬和性能管理，能有效地對廣播進(jìn)行控制。 VLAN 是控制廣播信息轉(zhuǎn)發(fā)的有效技術(shù)。它的布置結(jié)構(gòu)最大限度地減少了對最終用戶站、網(wǎng)絡(luò)服務(wù)器和處理關(guān)鍵業(yè)務(wù)數(shù)據(jù)的骨干關(guān)鍵部分的性能影響。 VLAN的第二個優(yōu)點，就是管理功能的更改方便，用戶可以創(chuàng)建不基于物理位置或介質(zhì)的工作組，即在整個 網(wǎng)絡(luò)范圍內(nèi)與用戶增加、移動和物理位置變更相關(guān)的對管理工作的要求，也大為減少。由于網(wǎng)絡(luò)管理組負(fù)責(zé)這項任務(wù)，而預(yù)算日益緊張，技術(shù)水平也差強(qiáng)人意，所以這是很關(guān)鍵的要求。當(dāng)作出網(wǎng)絡(luò)更改時，不僅可以減少了管理工作，而且網(wǎng)絡(luò)訪問的安全性、集中化管理和控制也得到相應(yīng)的控制。 綜合上面的兩個優(yōu)點，通過將 VLAN 與服務(wù)級別對應(yīng)，在交換機(jī)和鏈路上則能設(shè)置優(yōu)先級別，作為交換機(jī)內(nèi)部流量優(yōu)先功能的一部分，具有更高優(yōu)先權(quán)的VLAN就可以首先通過。這些策略的界定有助于控制網(wǎng)絡(luò)資源和最大限度地減少潛在的問題。也可以使財務(wù)部門的所有計算機(jī)組 建一個 VLAN，保證數(shù)據(jù)的安全和保密。 VLAN的實施需要結(jié)合設(shè)備和用戶的具體需求進(jìn)行。 VLAN可采用以下方式來指定： 網(wǎng)絡(luò)設(shè)備端口：基于端口的 VLAN容許指定交換機(jī)的端口到 VLAN。端口可以通過組、整個行甚至經(jīng)由主干協(xié)議通過交換機(jī)進(jìn)行通信來個別地指定。該方法比較通用。 MAC 地址：基于 MAC 地址的 VLAN 容許用戶加入到同一 VLAN，甚至當(dāng)用戶從一個地方轉(zhuǎn)移到另一個地方時也行。這種方法需要網(wǎng)絡(luò)管理員識別每一個工作站的 MAC 地址，并且將這個信息配置到交換機(jī)。管理起來比較復(fù)雜。該方揚(yáng)州市數(shù)字化城市管理系統(tǒng)工程建設(shè)技術(shù)方案 第一章 系統(tǒng)建設(shè)方案建議書 23 法不常用，但對網(wǎng)絡(luò)的安全性控制 有極大的好處，因為 MAC 地址唯一，非法用戶用其它網(wǎng)卡是無論如何也加入不到該 VLAN。 用戶 ID：由于目前操作系統(tǒng)對用戶 ID 管理起來非常方便，一般不采用用戶ID 來指定 VLAN。 網(wǎng)絡(luò)地址：基于網(wǎng)絡(luò)地址的 VLAN容許用戶加入到同一 VLAN，甚至當(dāng)用戶從一個地方移到另一個地方也行。這種方式的 VLAN 和用戶連接到的每一個交換機(jī)的工作站的第三層地址一同移動。這種方式在安全性方面很重要，并且在訪問控制到通過路由器中的訪問列表場合很有用。因此，在安全的 VLAN 中的用戶，能夠搬到另一個建筑同時仍能與同一設(shè)備通信，因為第三層 地址維護(hù)沒變?；诰W(wǎng)絡(luò)地址的 VLAN可能對故障排除來說比較復(fù)雜。 地址和路由規(guī)劃 IP 地址規(guī)劃的建議性原則 ? 唯一性 在同一個互聯(lián)網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)地址應(yīng)該保持其唯一性 ? 簡單性 地址的分配應(yīng)該簡單易管理，避免在主干上采用復(fù)雜的掩碼方式。 IP 協(xié)議不允許子網(wǎng)掩碼（ sub mask）的“ 0”和“ 1”不連續(xù)，比如子網(wǎng)掩碼為： ，會給路由尋徑帶來困難，所 以 應(yīng) 該 采 用 連 續(xù) 的 子 網(wǎng) 掩 碼 （ sub mask ），比如：。 ? 連續(xù)性 為同一個網(wǎng)絡(luò)區(qū)域分配連續(xù)的網(wǎng)絡(luò)地址，便于縮簡路由表的表項，提高路由器的