《集客接入施工项目招标技术规范书.doc》由会员分享,可在线阅读,更多相关《集客接入施工项目招标技术规范书.doc(26页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 集客接入施工项目技术规范书 第一部分 数据网配合工程技术要求 第一章 综述 本项目的建设应坚持标准化的建设模式,遵循国际、国家和行业有关的规范标准,以提高项目实施效率,避免走弯路,并保证系统的集成性、交互性和可发展性。 参考的文件和规范标准包括三大类:通信行业标准、公安部网络安全标准以及机房装修标准,如下所述。 通信行业标准 YD/T 1123-2001 综合交换机技术规范 YD/T 1130-2001 基于 IP 网的信息点播业务技术要求 YD/T 1131-2001 基于包的多媒体通信系统的呼叫信令协议及媒体流打包技术 YD/T 1132-2001 防火墙设备技术要求 YD/T 1133
2、-2001 数据通信名称术语 YD/T 1141-2001 千兆以太网交换机测试方法 YD/T 761-95 词汇 维护术语和定义 1 YD/T 849-1996 开放系统互连安全体系结构 YD 5036-97 智能网工程设计暂行规定 YD/T 819-1996 数据传输链路和系统的性能分配及限值 YD/T 802-1996 消息处理系统 消息存储 抽象服务定义 YD 5037-97 中国公用计算机互联网工程设计暂行规定 公安部网络安全标准 GA 163-1997 计算机信息系统安全专用产品分类原则 GA 216.1-1999 计算机信息系统安全产品部件 第一部分:安全功能检测 GB 1785
3、9-1999 计算机信息系统安全保护等级划分准则 GB/T 17900-1999 网络代理服务器的安全技术要求 GB/T 18018-1999 路由器安全技术要求 GB/T 18019-1999 信息技术包过滤防火墙安全技术要求 GB/T 18020-1999 信息技术应用级防火墙安全技术要求 机房装修标准 GB 9361-88 计算站场地安全要求( Safety requirements for computation center field) YD/T926.1-3 大 楼 通信 综 合 布 线 系 统 YD5003-94 电信专用房屋设计规范 DBJ13-32-2000 建筑智能系统设
4、计标准 GB/T50311-2000 建筑与建筑群综合布线系统工程 设计规范 GB/T50312-2000 建筑与建筑群综合布线系统工程施工规范 YD/T926-1997 邮电部颁发的中华人民共和国通信行业标准 2 GB50174-93 电子计算机机房设计规范 GB6650-86 计算机机房用活动地板的技术要求 GBJ232-92 电气装置安装工程施工及验收规范 GB 50198-94 民用闭路监控电视系统工程技术规范 GBJ57-98 建筑物防雷设计规范 CECS09:89 工业企业程控用户交换机工程设计规范 GB50200-94 有线电视系统工程技术规范 EN 50173 欧洲布线标准 I
5、SO/IEC 11801 国际布线标准 EIA/TIA 568A 美国布线标准 第一章 网络设计方案 总体网络设计原则 计算机网络系统设计必须要求按照统一规划、统一标准的原则,总体设计,提供一个技术先进、结构合理、安全可靠的综合网络平台,为网络信息的快速传递和各类应用系统建设提供有力保障。在设计网络时,需要遵循以下原则: 实用性和先进性 采用先进成熟的技术满足各类业务需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术 以适应更高的数据传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要。 安全可靠性 为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点
6、故障。要对网络结构、网络设备、服务器设备等各个方面进行高可靠性的设计和建设。 3 在采用硬件备份、冗余等可靠性技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控与网络安全保密等技术措施提高整个网络系统的安全可靠性。 灵活性和可扩展性 计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性, 能够根据会展中心不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种通信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。 开放性和互连性 具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的
7、作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网、计算机等,坚持统一规范的原则,从而为未来的发展奠定基础。 经济性和投资保护 应以较高的性能价格比构建本计算机网络系统,使资金的产出投入比达到最大值。能以较低的成 本、较少的人员投入来维持系统运转,提供高效能与高效益。尽可能保留延长已有系统的投资,充分利用以往在资金与技术方面的投入。 可管理性 由于系统本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以网络设备必须采用智能化,可管理的设备提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。 4 拓扑结构设计 客户
8、数据网络主要由专网和外网两套网络,根据楼层配线间架构,最适合的网络模型是星型组网,即各楼层配线间为楼层接入节点,然后通过光纤连接中心机房,每个接 入层设备通过双链路接入核心设备,从而构成一个双星型二级网络架构,分别为接入层和核心层。 采用层次化星型网络拓扑结构具有以下特点: ( 1)符合大网建设的要求 分层的模块化设计使得网络成长更加方便。升级的费用和复杂度限制在整个网络的小范围内,当局部网络环境发生变化时不影响其它无关的层次。便于发现和隔离故障,有助于故障点的识别。 ( 2)可靠性高 可以保证在任何一个链路出现故障时,都不会中断全局通信,因此,网络具有很高的可靠性。 ( 3)建设和维护成本合
9、理 从建设和维护成本上来分析,网络分层次建设,不同层次的带宽选择 可以分别考虑。根据流量需求,主干层采用比较高的带宽,而接入层采用相对低一些的带宽,可以极大提高网络主干层的性能,网络的可实施性,同时又增加了带宽分配的合理性,避免带宽资源的浪费,节约了建设和维护成本。 ( 4)路由效率高 模块化、层次化拓扑结构便于路由协议分层设计,减少了路由选择协议在网络链路上的开销,以及路由器的处理时间,这样,提高了路由效率。 信息外网详细设计 5 核心层 采用高性能的双核心交换机构成整个外网的数据交换中心,对其他各区域通过双设备双链路汇聚保证全网核心的可靠性。 接入层 在 IP 数据接入方面,百兆的接入完全
10、满足了终端用户使用带宽, ARP 入侵检测可以有效防止 ARP 病毒攻击,提高接入层的安全性。 针对接入层交换机,可以实现以下安全策略 : ( 1)使用交换机端口安全防范针对MAC 地址表的攻击。 ( 2) DHCP 侦听技术防范 DHCP 攻击。 ( 3)动态 ARP 检测防范 ARP攻击。 ( 4) IP 源地址保护技术防范 ARP 攻击。 ( 5)通过端口绑定技术防止私有地址、SQL 蠕虫攻击。 ( 6)对于 ICMP 攻击的防范。 ( 7)用伪流量进行网络泛洪攻击。 ( 8)防范对交换机的第二层转发表进行泛洪攻击。 ( 9)防范对交换机第三层表的泛洪攻击。 ( 10)防范通过生成树增强
11、特性防止非法交换机连接。 ( 11)防范 ARP 欺骗攻击。 外网出口区 信息外网网络安全主要针对服务器的访问控制以及应用层威胁抵御,目前主要依靠防火墙和入侵防御系统( IPS)来完成。 防火墙:主要针对 L2L4 等进行访问控制,通俗来说,就是基于 MAC地址、 6 VLAN、 IP、端口等元素进行网络层的访问控制。 入侵防御系统( IPS):主要针对应用层( L7)的威胁防御,包括针对操作系统漏洞的蠕虫攻击、网络钓鱼、 DDoS 攻击、网络病毒等,这些威 胁可能通过正常的服务端口(如 80 端口、 21 端口等)发起攻击,传统防火墙无法抵御。 外网设计特点 接入层交换机支持 ARP 入侵检
12、测,可以防止 ARP 攻击,一定程度上提高了网络接入的安全性。 通过VLAN 的划分把工作区进行有效隔离,避免各业务数据在不同工作区之间的冲突,同时可以在核心交换机上进行访问规则的设定在某些情况下可以做到 VLAN 之间的互访。既提高了网络的安全性又增加了网络的灵活性。 核心层通过 VRRP 组成冗余架构,极大的加强了核心层的稳定性,从而保证整网的数据安全性。 信息专网详细设计 核心层 采用三层交换 机或路由器,丰富的业务特性和强大的性能保证专网数据的流畅传输。 接入层 在 IP数据接入方面,百兆的接入完全满足了终端用户使用带宽, ARP 入侵检测可以有效防止ARP 病毒攻击,提高接入层的安全
13、性。 出口安全区 考虑专网的安全需求,在出口处放置一台统一威胁处理,它集防病毒,防攻击,放漏洞于一体,从 2-7 层对专网进行安全保护,提高了专网应用的安全 7 等级 内网设计特点 接入层交换机支持 ARP 入侵检测,可以防止 ARP 攻击,一定程度上提高了网络接入的安全性。 出口安全充分考虑各种威胁因素, UTM 为专网可靠性 、安全性、稳定性提供保障。 无线网络详细设计 集团客户采用先进的 FIT AP 模式进行组网,本着无线和有线一体化原则设计,能够进行有线无线一体化管理。本次所提供的核心交换机配置了无线控制插卡,可通过核心交换机实现各楼层 AP 的远程控制;接入 AP 要求瘦 AP,保
14、证在配置简单、价格便宜,保护用户投资。AP 部署在各楼层,由接入交换机上引出双绞线连接,就近取电。这样所有的配置均在无线控制器上进行, AP 本身不保存配置,大规模 WLAN 网络的可维护性和安全性得到了充分保证。 第二章 IP 地址规划及设备命名 IP地址规划原则 客 户网络是基于传输控制 /互联协议( TCP/IP)结构的互联网络。其 IP 地址的编制是网络建设的重要内容,它与网络的整体结构、技术体制、连接方式相关,是实现全网互联互通的基础,必须实行统一规划、统一分配、分级编制、分级管理。 IP 地址的规划需要遵循以下原则: 1唯一性原则 唯一性是 IP 地址在 TCP/IP 协议中最基本
15、的要求,是 IP 地址的基本特征和 IP 8 地址编制的重要依据。网络中每一网络所使用的 IP 地址的网络地址字段必须是唯一的,在同一网络中所使用的 IP 地址中包含的主机地址字段也必须是唯一的,这是实 现 IP 网络互联互通的基本条件。 2连续性原则 在层次化结构的网络中为各个节点划分连续的 IP地址区间,便于实现路径叠合( Route Summarization)等优化 IP 地址的分配技术,简化路由表数据,提高路由算法的计算效率和动态路由的快速收敛,能有效利用地址空间。 3扩展性原则 IP 地址编制要兼顾网络规模扩展的需求,为各个节点预留足够的 IP地址扩展区间时,应考虑对网络在用地址的
16、继承性,满足路由协议的要求、实现 IP 地址编用的平滑连接等,这是保证网络扩展和有序管理的重要条件。 4规范性原则 信息网的网络互 联设备和控制网内主要设备等采用规范的地址编制技术和方法,是网络互联互通和提高网络管理效率的有效措施。 5标准化原则 遵循有关 TCP/IP 协议标准来规划 IP地址,是网络建设的重要原则。 IP 地址编制方法 1完全二叉树分配法 网络中各级子网IP 地址的编制,是从完全二叉树地址空间中某一子树的根开始,逐级向下地将该子树下的从属子树分配给各级子网和其下级子网,同级子网均以同样方法分配同根的二叉子树。网络互联 IP 地址和用户主机 IP 地址,都是从本级子网的从属子树地址空间中分配。采用
黑公网安备:91230400333293403D