【正文】 機S8016上，不僅實現(xiàn)為系統(tǒng)內(nèi)授權(quán)用戶提供檢索、郵件、域名解析等服務(wù)，同時為政府系統(tǒng)信息內(nèi)被授權(quán)訪問的橫向網(wǎng)絡(luò)用戶提供信息檢索以及域名解析等服務(wù)。Quidway7 S6506三層以太網(wǎng)交換機是華為公司采用當(dāng)今最先進的ASIC技術(shù)自主開發(fā)的一款大容量、模塊化的二/三層線速以太網(wǎng)交換產(chǎn)品。一臺大容量撥號服務(wù)器A8010提供分散用戶的PSTN撥號接入，同時為每個鎮(zhèn)做撥號備份，以增強可靠性。匯聚層網(wǎng)絡(luò)拓撲如圖：外網(wǎng)分發(fā)層（匯聚層）網(wǎng)絡(luò)拓撲圖 外網(wǎng)接入層組網(wǎng)方案接入層主要是解決各區(qū)局級單位的接入和各鎮(zhèn)的遠端接入。Quidway7 S5516千兆路由交換機是華為公司面向IP城域網(wǎng)的匯聚層和大型企業(yè)或園區(qū)網(wǎng)的匯聚層推出的盒式高密度可堆疊二/三層全線速以太網(wǎng)交換機產(chǎn)品。Quidway7 S5516 是基于華為公司的VRP（通用路由平臺）網(wǎng)絡(luò)操作系統(tǒng)，提供完善的路由協(xié)議和多播協(xié)議，VLAN控制，QoS保證等機制，提供完善的業(yè)務(wù)控制和用戶管理能力，是園區(qū)網(wǎng)中心和IP城域網(wǎng)匯聚層的理想產(chǎn)品。Quidway174。各鎮(zhèn)統(tǒng)一通過華為公司R3640E模塊化路由器進行遠程高速接入，Quidway174。Quidway174。 R3600系列路由器具有更高的處理能力和更大的接入密度。 R3600系列路由器既適合于在中小型企業(yè)網(wǎng)中擔(dān)當(dāng)核心路由器，也可以在大型網(wǎng)絡(luò)中擔(dān)當(dāng)匯聚層路由器。 R3600系列路由器采用64位的微處理器技術(shù)，使用華為公司的網(wǎng)絡(luò)操作系統(tǒng)平臺——VRP（通用路由平臺）。它提供了豐富的網(wǎng)絡(luò)安全特性，支持啞終端接入服務(wù)器功能，支持SNA/DLSw，提供基于備份中心技術(shù)和HSRP協(xié)議的備份方案。 R3600系列路由器支持VoIP特性、IP組播協(xié)議，并提供豐富的QoS特性，為中小型企業(yè)提供高性價比的三網(wǎng)合一解決方案。 R3600系列路由器可與Quidway174。 R2500系列、Quidway174。 NE 08/16系列、Quidway174。同時，Quidway174。接入層網(wǎng)絡(luò)拓撲如圖外網(wǎng)接入層拓撲圖外網(wǎng)中所采用的設(shè)備及連接部件的詳細配置見配置清單。所有模塊具備熱插拔的功能。 華為CAMS綜合訪問管理軟件（用戶驗證服務(wù)器）華為公司推出了綜合訪問管理服務(wù)器（Comprehensive Access Management Server, CAMS），配合設(shè)備組網(wǎng)，提供全網(wǎng)解決方案。CAMS是一種低成本、可擴展的綜合訪問管理服務(wù)器，能支持不同網(wǎng)絡(luò)設(shè)備的認證、授權(quán)、計帳及用戶管理需求，其主要特點有：低成本，高性能，跨平臺支持CAMS采用PC服務(wù)器+Linux的軟硬件平臺，數(shù)據(jù)庫采用Oracle，為用戶提供了一種低成本、高可用性的解決方案，為用戶提供了高的性價比。另外，CAMS采用分布式模塊化的體系結(jié)構(gòu)和基于TCP/IP的通信機制，可以平滑擴容，并支持冗余服務(wù)器、磁盤陣列、數(shù)據(jù)庫備份等特性，能夠滿足大、中小網(wǎng)絡(luò)的授權(quán)、認證、計費的要求。支持Radius和SNMP協(xié)議，通過配置可以實現(xiàn)PPP、VoIP、DHCP+WEB、ONLY等多種方式的認證。 靈活、開放的計費策略系統(tǒng)采用抽象的計費模型，具有良好的適應(yīng)性，能夠滿足用戶不同的計費要求。易用性CAMS提供了基于Web的管理界面和上下文敏感的幫助功能，最大程度的方便用戶使用。CAMS提供終端用戶自助服務(wù)，終端用戶登錄到指定的Web頁面，即可以查詢自己的話單、余額，還可以修改自己的密碼。良好的可擴展性和組件化設(shè)計采用開放式的“平臺+業(yè)務(wù)組件”的體系結(jié)構(gòu)，基于CAMS平臺之上，認證、授權(quán)、計費等各業(yè)務(wù)模塊可以獨立存在。系統(tǒng)有API接口，可以此為基礎(chǔ)二次開發(fā)。靈活、強大的安全策略對于交互報文和報文中的口令屬性加密處理，防止報文偽造和口令竊取。通過訪問控制功能可以有效的控制屏蔽非法的用戶連接。 業(yè)務(wù)與應(yīng)用CAMS與華為公司的系列網(wǎng)絡(luò)產(chǎn)品無縫集成，支持從低端到高端各種設(shè)備的認證和用戶管理。通過業(yè)務(wù)模塊的動態(tài)加載，基于預(yù)留的API接口二次開發(fā)，CAMS 能夠適應(yīng)不斷發(fā)展的各種認證、計費和管理需求。并可以通過與企業(yè)網(wǎng)Quidview網(wǎng)管軟件之間的接口，與Quidview結(jié)合提供更為復(fù)雜的網(wǎng)絡(luò)業(yè)務(wù)控制管理功能。與設(shè)備配合，實現(xiàn)對用戶的QoS、優(yōu)先級、多播和VLAN管理。最終用戶自助網(wǎng)絡(luò)的終端用戶可以通過Web隨時查詢對網(wǎng)絡(luò)的使用情況，如訪問時長、流量、費用等的綜合統(tǒng)計和明細信息，并完成對個人信息的管理，如密碼修改等。能夠?qū)崿F(xiàn)優(yōu)化的網(wǎng)絡(luò)路徑選擇，同時具有路徑均衡功能，在網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化時數(shù)據(jù)能夠通過其他路徑迂回，保證網(wǎng)絡(luò)的暢通。在工程實施中，選用OSPF協(xié)議，OSPF是基于Link_State的路由協(xié)議。 龍崗區(qū)政務(wù)網(wǎng)以區(qū)信息中心為全網(wǎng)的系統(tǒng)中心，全網(wǎng)的10個鎮(zhèn)通過廣域網(wǎng)鏈路與中心相連。OSPF協(xié)議采用多區(qū)(AREA)模式，具有較好的擴展性，而且區(qū)內(nèi)的錯誤路由不會影響全網(wǎng)，大大增加了網(wǎng)絡(luò)的可靠性。這將最大限度地利用OSPF的分區(qū)管理優(yōu)勢。通過對OSPF的適當(dāng)配置，可以對各鎮(zhèn)的路由信息進行匯總。這樣，可避免客戶路由波動對骨干路由造成影響。 IP地址規(guī)劃 招標(biāo)要求標(biāo)書要求從便于管理和便于路由匯聚的原則出發(fā)，規(guī)劃各單位內(nèi)外網(wǎng)的內(nèi)部地址和內(nèi)外網(wǎng)平臺的地址，以及服務(wù)器、網(wǎng)絡(luò)設(shè)備、路由互連地址。 IP地址規(guī)劃原則1 連續(xù)性 IP地址分配要盡量分配連續(xù)的IP地址空間；相同的業(yè)務(wù)和功能盡量分配連續(xù)的IP地址空間，有利于路由聚合以及安全控制；2可擴充性 IP地址分配處理要考慮到連續(xù)外，又要能做到具有可擴充性. ，并為將來的網(wǎng)絡(luò)擴展預(yù)留一定的地址空間。4在公有地址有保證的前提下，盡量使用公有地址，主要包括設(shè)備loopback地址、設(shè)備間互連地址。 內(nèi)網(wǎng)IP地址規(guī)劃內(nèi)網(wǎng)平臺IP地址規(guī)劃網(wǎng)絡(luò)地址主要包括以下幾個部分：節(jié)點設(shè)備標(biāo)識地址(即LOOPBACK地址)，主要用來標(biāo)識節(jié)點設(shè)備和開展網(wǎng)絡(luò)管理的需要，通常用單個IP地址(即掩碼為/32的IP地址)，為了便于管理，這些地址通常集中到一段單獨連續(xù)的地址中分配，而不用過多考慮與其他地址的歸總。建議網(wǎng)絡(luò)設(shè)備互聯(lián)地址分配如下：各個節(jié)點的鏈路地址范圍區(qū)信息中心骨干節(jié)點S8016區(qū)政府大院機房骨干節(jié)點C6509區(qū)信息中心匯聚路由器節(jié)點R3680E預(yù)留地址：～區(qū)辦公大樓匯聚節(jié)點1(S3526)…………區(qū)辦公大樓匯聚節(jié)點23(S3526)區(qū)建設(shè)局辦公大樓匯聚節(jié)點 (S5516)預(yù)留地址：～鎮(zhèn)節(jié)點1(R2621)…………鎮(zhèn)節(jié)點10(R2621)預(yù)留地址：～內(nèi)網(wǎng)用戶（各單位內(nèi)部局域網(wǎng)和服務(wù)器）地址規(guī)劃考慮各單位內(nèi)部局域網(wǎng)和服務(wù)器的業(yè)務(wù)模型，建議IP地址的管理和分配采用動態(tài)及靜態(tài)結(jié)合的方式。具體的地址規(guī)劃方法與內(nèi)網(wǎng)規(guī)劃方法一致，這里不再多述。新增服務(wù)器采用與原有服務(wù)器接近的IP地址，這樣有利于地址規(guī)劃。具體規(guī)劃方法同內(nèi)網(wǎng)地址規(guī)劃，規(guī)劃時需要注意保留預(yù)留地址段，保證服務(wù)器地址的可擴展性。外網(wǎng)的節(jié)點設(shè)備標(biāo)識地址(LOOPBACK地址，標(biāo)識節(jié)點設(shè)備和網(wǎng)絡(luò)管理)，設(shè)備互聯(lián)地址以及內(nèi)部局域網(wǎng)和服務(wù)器地址的規(guī)劃，方法同內(nèi)網(wǎng)IP地址規(guī)劃。普通用戶的IP地址由DHCP服務(wù)器動態(tài)分配；服務(wù)器地址、設(shè)備管理地址、接口互聯(lián)地址等需要固定IP地址，在經(jīng)過NAT時采用NAT與PAT方法。此外，在外網(wǎng)私有地址規(guī)劃時盡量保持與原有用戶IP段相同。采用華為公司QuidwayNE05E、S8016的組網(wǎng)可實現(xiàn)NAT的NAT、PAT功能以及動態(tài)地址分配的功能。對新的設(shè)備和網(wǎng)絡(luò)，由于充分保留了預(yù)留地址段，可以有效避免地址重疊問題。第六章 VPN互聯(lián)設(shè)計及流量工程在第二章對對本次招標(biāo)的組網(wǎng)實現(xiàn)技術(shù)進行分析，確定了采用三層MPLS VPN技術(shù)可有效的實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)需求、安全控制、端到端QoS等。結(jié)合以上兩點我們對 VPN實現(xiàn)進行以下劃分為Server VPN（包括公共服務(wù)器VPN、橫向服務(wù)器VPN、縱向服務(wù)器VPN）、用戶VPN（各部門的內(nèi)部網(wǎng)絡(luò)VPN）、公共應(yīng)用VPN。 內(nèi)網(wǎng)VPN設(shè)計根據(jù)內(nèi)網(wǎng)的建設(shè)目標(biāo)，是可以為某一系統(tǒng)提供專用的虛擬通信通道，組建系統(tǒng)橫向、縱向的互聯(lián)網(wǎng)絡(luò)，如：－為區(qū)政府提供與各部門通信的橫向虛擬通道－為區(qū)局提供與各涉密部門通信的橫向虛擬通道－為視頻會議服務(wù)提供公共的虛擬通信通道，保證視頻會議的帶寬要求。為實現(xiàn)這些建設(shè)目標(biāo)，保證政務(wù)網(wǎng)各系統(tǒng)的安全，必須要為各系統(tǒng)的網(wǎng)絡(luò)互聯(lián)提供安全隔離及網(wǎng)絡(luò)服務(wù)質(zhì)量保證，使用MPLS VPN及VLAN技術(shù)是在IP網(wǎng)上解決這種安全隔離的最好手段。橫向VPN構(gòu)建：在內(nèi)網(wǎng)城域網(wǎng)中，使用VPN技術(shù)來進行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪問互通，如為機要、區(qū)法院等本區(qū)內(nèi)訪問提供專用的VPN通道，保證網(wǎng)絡(luò)安全，如圖所示。城域網(wǎng)內(nèi)，對在本地有訪問要求的系統(tǒng)及應(yīng)用，如每個單位對機要服務(wù)器進行訪問的機要主機，與本單位其他機器位于不同的VLAN,實現(xiàn)了本地安全隔離。由于這些各部門機要主機不需要跨級縱向訪問（如鎮(zhèn)訪問區(qū)），因此VPN1的范圍只設(shè)置在本地城域網(wǎng)中（如區(qū)直機關(guān)），從而防止非法的跨級互通?？v向VPN構(gòu)建：在內(nèi)網(wǎng)廣域網(wǎng)上，利用MPLS VPN組網(wǎng)實現(xiàn)各系統(tǒng)間縱向網(wǎng)絡(luò)的互聯(lián)，以及相互之間的安全隔離，如機要局內(nèi)部的鎮(zhèn)與區(qū)之間的互聯(lián)、視頻會議系統(tǒng)在區(qū)市之間的互聯(lián)等，如圖所示。如圖所示，在城域網(wǎng)中，機要局內(nèi)部部門主機位于VLAN21內(nèi)，與其它部門主機（包括機要局能被其它部門訪問的服務(wù)器）相互隔離，確保不被非法訪問。由于VPN3只引入了機要局內(nèi)部主機所在的VLAN，因此可與其它系統(tǒng),如視頻會議實現(xiàn)橫向隔離，保證網(wǎng)絡(luò)安全。從網(wǎng)絡(luò)安全及管理安全上看，VPN/VLAN的管理都應(yīng)該由網(wǎng)絡(luò)中心進行統(tǒng)一規(guī)劃，在邊緣接入處提供相應(yīng)的VPN/VLAN的接口，以確保整個網(wǎng)絡(luò)的安全。為實現(xiàn)這些建設(shè)目標(biāo)，保證政務(wù)網(wǎng)各系統(tǒng)的安全，必須要為各系統(tǒng)的網(wǎng)絡(luò)互聯(lián)提供安全隔離及網(wǎng)絡(luò)服務(wù)質(zhì)量保證，使用MPLS VPN及VLAN技術(shù)是在IP網(wǎng)上解決這種安全隔離的最好手段。城域網(wǎng)橫向互訪VPN構(gòu)建：在外網(wǎng)城域網(wǎng)中，使用VPN技術(shù)來進行各系統(tǒng)的網(wǎng)絡(luò)隔離及特殊應(yīng)用的橫向訪問互通，保證網(wǎng)絡(luò)安全，如下圖所示。在城域網(wǎng)不同的網(wǎng)絡(luò)節(jié)點，這些需要橫向互訪的主機設(shè)備也分屬于不同的VLAN，如在區(qū)法院與區(qū)檢察院，這些主機是位于不同的VLAN的，這樣避免了在一個VLAN內(nèi)有太多的主機；當(dāng)然，如果VPN內(nèi)沒有太多的主機，則可以將這些主機在城域網(wǎng)內(nèi)設(shè)置在1個VLAN內(nèi)，直接在二層互通，可以提高網(wǎng)絡(luò)效率；如果沒有任何路由措施，這些位于不同VLAN的主機是不能互通的；在核心層PE處（核心路由交換機S8016），利用MPLS技術(shù)，將這些需要相互訪問的主機的VLAN，引入到同一個VPN(VPN1)內(nèi)進行路由，從而實現(xiàn)在城域網(wǎng)不同單位主機信息的互訪。從而實現(xiàn)了城域網(wǎng)內(nèi)的跨部門主機訪問，又防止對各單位內(nèi)部不需要橫向訪問主機的安全性。如圖所示，在城域網(wǎng)中，不同部門的主機位于不同的VLAN內(nèi)；這些主機與其它部門主機相互隔離，確保不被非法訪問。對于其它具有橫向和縱向訪問的應(yīng)用，如能被公共訪問的WWW站點等，可被同級不同機構(gòu)間訪問，也可以在跨級（區(qū)與鎮(zhèn)）間互通，可以結(jié)合利用這兩種設(shè)置來進行實現(xiàn)；對于只需要縱向互聯(lián)訪問的網(wǎng)絡(luò)（如各系統(tǒng)內(nèi)部辦公網(wǎng)），在各地的PE處只引入本系統(tǒng)VLAN信息，即可實現(xiàn)系統(tǒng)內(nèi)全區(qū)的互通，并與其它系統(tǒng)隔離保證安全。在VPN SERVER處終結(jié)Internet來的用戶隧道（L2TP等），然后將VPN SERVER后面開MPLS VPN連接各政府部門內(nèi)部網(wǎng)。 MPLS VPN實現(xiàn)業(yè)務(wù)隔離和完善的QOS保證由于建成后的政務(wù)網(wǎng)在同一物理網(wǎng)絡(luò)上同時運行多個系統(tǒng)，因此該網(wǎng)絡(luò)必須支持系統(tǒng)隔離，而且要能夠隔離不斷增加的新業(yè)務(wù)。該技術(shù)已經(jīng)為國內(nèi)外各大運營商采用。在廣域網(wǎng)中，通過MPLS VPN實現(xiàn)了業(yè)務(wù)隔離。結(jié)合本方案具體如下：在用戶接入側(cè)，可以通過劃分VLAN的方法實現(xiàn)二層隔離, 交換機上傳VLAN，將需要實現(xiàn)VPN功能用戶的標(biāo)識提供給PE設(shè)備。具體實施如下： IPSEC為政務(wù)提供了安全保障鑒于政務(wù)網(wǎng)各部門的特殊安全性要求，在總體建設(shè)上就安全性而言，采用隔離＋加密，雙管齊下的方式比較有效。到了區(qū)骨干網(wǎng)上，運行著MPLS VPN。因此，把IPSEC技術(shù)與MPLS VPN技術(shù)結(jié)合起來，是非常好的一種安全解決方案。然而MPLS并沒有描述對于用戶數(shù)據(jù)的加密機制以及用戶的認證過程，所以，當(dāng)對于數(shù)據(jù)的加突以及用戶的認證有較高的要求時，需要將MPLS與IPSEC等安全協(xié)議結(jié)合起來進行使用。即VPN需要提供整個網(wǎng)絡(luò)的端到端的安全性。安全可用性：安全系統(tǒng)應(yīng)該與其他VPN用戶一樣能登錄到VPN，以便在VPN的任何節(jié)點都能對安全系統(tǒng)進行管理。在專網(wǎng)中，一般只是使用用戶名和密碼對用戶進行識別，而對于專網(wǎng)對公網(wǎng)的接口設(shè)備上，特別在VPN中，需要進行以下幾個方面的保護：l用戶身份的識別和鑒權(quán)l(xiāng)數(shù)據(jù)的完整性保證，保證網(wǎng)絡(luò)的可用性和VPN的私有性l實時監(jiān)控網(wǎng)絡(luò)的安全狀態(tài)l基于策略的安全管理，以保證網(wǎng)絡(luò)資源的安全用戶身份識別和鑒權(quán)網(wǎng)絡(luò)用戶的正確識別和鑒權(quán)對VPN的實施非常關(guān)鍵，通過使用AAA服務(wù)器對訪問單位網(wǎng)絡(luò)資源的用戶進行認證、鑒權(quán)和計費。網(wǎng)絡(luò)資源的安全性網(wǎng)絡(luò)資源、應(yīng)用的訪問控制也是VPN安全的一個重要方面，通常使用防火墻、訪問控制列表、數(shù)據(jù)過濾器等手段來保證網(wǎng)絡(luò)資源的安全性。防火墻的主要功能如下：用戶認證和鑒權(quán)：對訪問單位內(nèi)部網(wǎng)絡(luò)的用戶進行用戶認證和鑒權(quán)，只有合法用戶才能訪問單位內(nèi)部網(wǎng)絡(luò)資源。數(shù)據(jù)包過濾：對來自公網(wǎng)的數(shù)據(jù)包使用訪問控制列表可以根據(jù)數(shù)據(jù)包類型或者其他變量來決定接收還是拒絕訪問。數(shù)據(jù)的完整性和可靠性在公共網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)，VPN需要保證用戶數(shù)據(jù)的完整性和可靠性。在VPN實現(xiàn)中，通常使用IPSec協(xié)議完成認證、加密和密鑰管理，IPSec已經(jīng)成為IP網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)。網(wǎng)絡(luò)安全實時監(jiān)控系統(tǒng)將對外部和內(nèi)部資源的任何非法訪