【導讀】未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。未定義書簽。

　　

【正文】 城市管理系統(tǒng)的業(yè)務應用區(qū)域，包括 XX 市市級監(jiān)督中心、 XX 市市級指揮中心和 XX 市城管局內部辦公網(wǎng)，在安全級別上市級監(jiān)督中心和市級指揮中心采取相同的安全訪問控制策略，這個安全訪問級別將大大嚴格于 XX 市城管局內部辦公網(wǎng)的安全訪問控制策略，這是由于這兩個軸心已經(jīng)涉及國家秘密所至；數(shù)字化城管核心安全區(qū)域是本項目的最高級別的安全防護區(qū)域，由一系列服務器、存儲設備和核心網(wǎng)絡設備組成，保存著XX市 1： 500的地圖數(shù)據(jù)，該數(shù)據(jù)已經(jīng)涉及國家秘密。 揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 16 揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 17 揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 18 如上圖所示，整個網(wǎng)絡的骨干線路采用 1000M光纖，各市級委辦局接入采用100M，各區(qū)級、街道辦事處亦采用 100M 帶寬接入，各社區(qū)采用 10M 帶寬接入，此外各類服務器采用 100/1000M帶寬連接。監(jiān)督中心坐席、指揮中心坐席和數(shù)字化城管核心服務器區(qū)域采用 1000M屏蔽雙絞線，其余鏈路采用超 5類雙絞線連接。 本項目中，各類應用服務器是保護的重點，這里所說的核心服務器是指數(shù)據(jù)庫服務器、 WEB服務器和城管通服務器。我們?yōu)樗械姆掌骶渲?2塊 1000M電口網(wǎng)卡。網(wǎng)卡 1 作為外部用戶訪問用，單 獨劃分一個 VLAN，分配一個統(tǒng)一規(guī)劃的 IP 地址段。網(wǎng)卡 2 作為服務器內部互相訪問用，也單獨劃分一個 VLAN，并分配一個統(tǒng)一規(guī)劃的 IP 地址段，但不為該網(wǎng)段設置網(wǎng)關，以保證外部用戶無法通過此網(wǎng)段訪問服務器。對于其他服務器，如防病毒服務器、視頻監(jiān)控服務器和測試服務器，由于其有訪問公網(wǎng)的需要或其它業(yè)務需求，不適宜放在核心服務器網(wǎng)段內，我們建議將這些服務器直接連接在核心交換機上，與監(jiān)督中心的坐席pc 配置在一個 VLAN內。 我們?yōu)楹诵姆掌鲗ｉT配置一臺匯聚交換機，并建議匯聚交換機采用華為公司的 S5024G24 交換機，配 置 24 個 10/100/1000 兆自適應電口和 4 個 1000兆 GBIC 光纖模塊。匯聚交換機與核心交換機之間采用 2 條 1000M 光纖進行連接，并配置成快速以太通道的形式，保證 2 臺交換機之間的連接帶寬可以達到2G，在其中 1 條鏈路斷開的時候，數(shù)據(jù)仍然可以從另一條鏈路通過。 在本網(wǎng)絡設計中， 我們建議選用華為公司的 S6506交換機作為核心交換機，并為該交換機配置 雙引擎，雙電源，雙背板 。監(jiān)督中心坐席 pc 直接連接到核心交換機上，所有辦公 pc 通過匯聚交換機后再連接到核心交換機上。 本項目中的坐席主要包括 2 個 部分： 2 樓監(jiān)督中心坐席和 4 樓指揮中心坐席。在 2 個中心的業(yè)務流程中，均需要多次、大量的訪問應用服務器，為保證網(wǎng)絡應用流暢，建議采用 1000M 接入方式。同時，為了保證能夠有效地抑制廣播風暴帶來的影響，提高網(wǎng)絡安全性，我們采取了劃分 VLAN的方式，具體可參考下表： VLAN名稱 VLAN號 IP 地址 備注 監(jiān)督中心坐席 VLAN5 監(jiān)督中心辦公 VLAN7 指揮中心坐席 VLAN9 揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 19 指揮中心辦公 VLAN11 其他辦公室 VLAN252 可根據(jù)需要添加 其他辦公室 VLAN253 同時，由于數(shù)字化城管的指揮中心設置在 4 樓，如直接從 4 樓通過屏蔽雙絞線接入到 1 樓機房，要受到 100 米的距離限制，也為弱電布線帶來不便，所以建議在 5 樓配線間內放置 2 臺交換機，作為匯聚指揮中心坐席 pc 和 45 樓辦公 pc 用。從以后發(fā)展的角度考慮，建議該交換機也采用華為公司的 S5024G24交換機， 2 臺交換機通過背板的堆疊口進行堆疊，配置 40 個 10/100/1000M 自適應電口和 4 個 1000M 光纖 GBIC 模塊。通過防火墻上連到核心交換機。 根據(jù)辦公樓的布局情況， 1 樓可能作為城管 12319 熱線的工作大廳，所以信息點的數(shù)量會較其他樓層稍多一些， 3 樓作為城管局主要辦公區(qū)域，信息點也較多，而這些信息點是不需要訪問數(shù)字化城管網(wǎng)絡的，從安全性和易管理性的角度考慮，我們建議在 1 樓監(jiān)督中心機房內放置 2 臺華為公司的 S5024G24 交換機，用來匯聚辦公樓 13 層的各辦公信息點。配置與連接方式和 5 樓配線間內華為交換機相同。 XX 市網(wǎng)管中心核心網(wǎng)絡已經(jīng)建成，但其現(xiàn)有的核心交換機無法勝任即將啟動的數(shù)字化城市管理系統(tǒng)帶來的高數(shù)據(jù)流量的網(wǎng)絡訪問，所以在本項目中，需要對市政府網(wǎng)管中心的核心交換機進行升級，以適應日益增加的網(wǎng)絡需求。 對于中心機房的核心交換機，我們同樣建議選擇華為公司的 S6506 交換機，為該交換機配置雙引擎、雙電源、雙背板。并且保留原有的 Cisco 3750G 交換機， 2 臺交換機通過鏈路連接在一起，配置成雙機熱備的形式，平時 讓 S6506交換機作為主用交換機， Cisco 3750G 交換機作為備份交換機，在需要的時候可以在 10s 內進行切換。同時根據(jù)實際需要和設備的連接情況，進行 VLAN 的劃分和訪問控制的配置。在市政府中心機房與數(shù)字化城管監(jiān)督中心機房之間連接 2條 1000M 單模光纖鏈路，分別從華為的 S6506 和 Cisco 的 3750G24T 交換機上與監(jiān)督中心機房的防火墻互聯(lián)，以實現(xiàn)市政府相關部門訪問該網(wǎng)絡和異地數(shù)據(jù)備份；此外需要對原有的鏈路進行升級改造，使其達到 1000M 帶寬的目標。 、街道辦事處網(wǎng)絡設計 該部分包括 4 個區(qū) 級指揮中心， 16 個街道辦事處。該部分網(wǎng)絡的建設工作由運營商完成。各分支網(wǎng)絡由運營商進行網(wǎng)絡匯聚，并通過 1 條 1000M 單模光纖連接到監(jiān)督中心機房。分支機構可以通過信息中心與監(jiān)督中心的 1000M 單模揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 20 光纖訪問到 XX 市政府的政務專網(wǎng)，其中區(qū)級部門主要通過電信運營網(wǎng)與市級監(jiān)督中心機房直聯(lián)的光纖進行訪問，市級部門可以通過網(wǎng)通的運營網(wǎng)絡，經(jīng)過 XX市網(wǎng)管中心再與市監(jiān)督中心機房互聯(lián)的通道進行訪問。 這里考慮到今后區(qū)級平臺可能需要將各區(qū)屬的委辦局接入到該網(wǎng)絡中來，所以在這部分網(wǎng)絡中需要提前考慮到今后網(wǎng)絡擴展的問題，這里建議在區(qū) 級指揮中心放置 1 臺 3 層交換機，這樣該交換機以后可以作為該區(qū)的一個小型核心交換機來使用。分支機構的網(wǎng)絡與運營商的骨干網(wǎng)絡之間通過靜態(tài)路由進行連接。 該部分共包括 112 個社區(qū)居委會的網(wǎng)絡接入。同樣由運營商完成接入工作。每個居委會提供 10M 帶寬的光纖，通過光電轉換器與用戶 pc 相連，原則上保證每個居委會有 1 臺 pc 接入該網(wǎng)絡即可。所有居委會的網(wǎng)絡同樣首先匯聚到運營商的骨干網(wǎng)絡中，再通過運營商與監(jiān)督中心機房互聯(lián)的 1000M 光纖訪問核心服務器。 Inter的設計 終端是否需要訪問 Inter 網(wǎng)，取決于業(yè)主對該網(wǎng)絡的管理需求，以下僅在允許訪問 Inter 網(wǎng)的情況下可以采取的設計。注意“數(shù)字化城管核心安全區(qū)域”內的所有設備均不能訪問 Inter，而且 Inter 網(wǎng)也不允許訪問該區(qū)域。 從安全的角度考慮，屬于數(shù)字化城管網(wǎng)絡的 pc 和服務器是不允許訪問公網(wǎng)的，但本網(wǎng)絡的其他 pc 是需要訪問公網(wǎng)的，所以對于公網(wǎng)的訪問權限，可以在防火墻上進行設置。公網(wǎng)的連接方式和訪問的權限可以參考下圖的說明： 揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 21 在上圖中，核心交換機不作為也不能作為訪問公網(wǎng)的設備，在核心交換機上僅配置一條缺省路由，指向防火墻， 所有訪問公網(wǎng)的任務由防火墻來完成。 千兆以太網(wǎng)和快速以太網(wǎng)都是在以太網(wǎng)基礎上發(fā)展起來的新技術，保留了以太網(wǎng)傳輸結構上的簡單性、靈活性、相同的幀格式、相同的介質訪問方法。國內以太網(wǎng)的市場占有率為 80%，采用千兆以太網(wǎng)技術可對已有的應用和產(chǎn)品具有極好的兼容性。它與已有的快速以太網(wǎng)和以太網(wǎng)網(wǎng)絡產(chǎn)品保持了最大的兼容性，它支持交換機到交換機、交換機到終端使用新全雙工操作模式及共享式連接使用半雙工操作模式，它使用光纖、五類非屏蔽雙絞線為傳輸介質。千兆以太網(wǎng)避免了象 ATM的局域網(wǎng)仿 真（ LANE）等棘手問題。為此，千兆以太網(wǎng)已成為業(yè)界優(yōu)選的主干網(wǎng)方案，而且業(yè)界 10千兆以太網(wǎng)技術發(fā)展，升級空間極大。 在千兆以太網(wǎng)中， 1000BASECX 是一種基于銅纜的標準，使用 8B/10B 編碼解碼方式，最大傳輸距離為 25 米。 1000BASESX 的波長為 780nm 時，使用 微米的多模光纖，傳輸距離為 275 米，若使用 50 微米的多模光纖，傳輸距離為 525 米。 1000BASELX 的波長為 1300nm，如果使用多模光纖，傳輸距離為 550 或 525 米，使用單模光纖，則可傳輸 10公里。目前采用 1000BASEZX的 GBIC 技術，采用單模光纖，則可傳輸 70 公里。 1000BASET 是基于無屏蔽揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 22 雙絞線傳輸介質，使用 1000BASET Copper PHY 編碼解碼方式，傳輸距離為25 米，它具有可選的千兆位介質無關接口 (GMII) ，當每幀大小為 512Bytes 時，最大傳輸距離為 100 米。所以核心交換機與樓層交換機之間應采用1000BASESX GBIC，與電信廣域網(wǎng)之間采用 1000BASELX GBIC。 考慮到 XX 市數(shù)字化城市管理系統(tǒng)工程規(guī)模較大，連接的用戶非常多，如果將所有的 PC 都接 入一個網(wǎng)絡，那么網(wǎng)絡的廣播風暴非常明顯，而且網(wǎng)絡系統(tǒng)的交換性能也得不到保證，安全也成問題，所以我們必須采用 VLAN 技術，而且便于網(wǎng)絡管理，我們可以按部門、按節(jié)點劃分 VLAN。 VLAN具有兩個既重要又基本的優(yōu)點。第一，跨越 Intra 的帶寬和性能管理，能有效地對廣播進行控制。 VLAN 是控制廣播信息轉發(fā)的有效技術。它的布置結構最大限度地減少了對最終用戶站、網(wǎng)絡服務器和處理關鍵業(yè)務數(shù)據(jù)的骨干關鍵部分的性能影響。 VLAN的第二個優(yōu)點，就是管理功能的更改方便，用戶可以創(chuàng)建不基于物理位置或介質的工作組，即在整個 網(wǎng)絡范圍內與用戶增加、移動和物理位置變更相關的對管理工作的要求，也大為減少。由于網(wǎng)絡管理組負責這項任務，而預算日益緊張，技術水平也差強人意，所以這是很關鍵的要求。當作出網(wǎng)絡更改時，不僅可以減少了管理工作，而且網(wǎng)絡訪問的安全性、集中化管理和控制也得到相應的控制。 綜合上面的兩個優(yōu)點，通過將 VLAN 與服務級別對應，在交換機和鏈路上則能設置優(yōu)先級別，作為交換機內部流量優(yōu)先功能的一部分，具有更高優(yōu)先權的VLAN就可以首先通過。這些策略的界定有助于控制網(wǎng)絡資源和最大限度地減少潛在的問題。也可以使財務部門的所有計算機組 建一個 VLAN，保證數(shù)據(jù)的安全和保密。 VLAN的實施需要結合設備和用戶的具體需求進行。 VLAN可采用以下方式來指定： 網(wǎng)絡設備端口：基于端口的 VLAN容許指定交換機的端口到 VLAN。端口可以通過組、整個行甚至經(jīng)由主干協(xié)議通過交換機進行通信來個別地指定。該方法比較通用。 MAC 地址：基于 MAC 地址的 VLAN 容許用戶加入到同一 VLAN，甚至當用戶從一個地方轉移到另一個地方時也行。這種方法需要網(wǎng)絡管理員識別每一個工作站的 MAC 地址，并且將這個信息配置到交換機。管理起來比較復雜。該方揚州市數(shù)字化城市管理系統(tǒng)工程建設技術方案 第一章 系統(tǒng)建設方案建議書 23 法不常用，但對網(wǎng)絡的安全性控制 有極大的好處，因為 MAC 地址唯一，非法用戶用其它網(wǎng)卡是無論如何也加入不到該 VLAN。 用戶 ID：由于目前操作系統(tǒng)對用戶 ID 管理起來非常方便，一般不采用用戶ID 來指定 VLAN。 網(wǎng)絡地址：基于網(wǎng)絡地址的 VLAN容許用戶加入到同一 VLAN，甚至當用戶從一個地方移到另一個地方也行。這種方式的 VLAN 和用戶連接到的每一個交換機的工作站的第三層地址一同移動。這種方式在安全性方面很重要，并且在訪問控制到通過路由器中的訪問列表場合很有用。因此，在安全的 VLAN 中的用戶，能夠搬到另一個建筑同時仍能與同一設備通信，因為第三層 地址維護沒變?；诰W(wǎng)絡地址的 VLAN可能對故障排除來說比較復雜。 地址和路由規(guī)劃 IP 地址規(guī)劃的建議性原則 ? 唯一性 在同一個互聯(lián)網(wǎng)絡內網(wǎng)絡地址應該保持其唯一性 ? 簡單性 地址的分配應該簡單易管理，避免在主干上采用復雜的掩碼方式。 IP 協(xié)議不允許子網(wǎng)掩碼（ sub mask）的“ 0”和“ 1”不連續(xù)，比如子網(wǎng)掩碼為： ，會給路由尋徑帶來困難，所 以 應 該 采 用 連 續(xù) 的 子 網(wǎng) 掩 碼 （ sub mask ），比如：。 ? 連續(xù)性 為同一個網(wǎng)絡區(qū)域分配連續(xù)的網(wǎng)絡地址，便于縮簡路由表的表項，提高路由器的