福建省民政厅网络设计方案

福建省“数字民政”信息网

(一期)技术方案

福建新大陆电脑股份有限公司

二零零二年五月

目 录

一、 系统建设背景 .......................................................................................................... 1

二、 系统建设目标 .......................................................................................................... 2

三、 系统设计原则 .......................................................................................................... 3

四、 主要网络技术介绍 .................................................................................................. 5

五、 网络拓扑图 ............................................................................................................. 8

六、 网络设计方案 ........................................................................................................ 10

七、 系统设备清单 ........................................................................................................ 20

福建省“数字民政”信息网设计方案

一、 系统建设背景

信息技术的飞速发展，推动全球信息化的迅猛普及，为响应民政部信息化的发展，福建省民政厅提出实现全省的民政系统网络信息化，以提高民政工作水平为出发点，积极推进民政系统信息化建设，逐步实现民政业务工作决策科学化、管理规范化、服务网络化、手段现代化。开展信息化建设是行政管理方式的一场革命；是转变工作方法、提高民政工作整体水平的有效途径；是提高工作效率、促进民政事业快速发展的重要手段；是民政工作为基层、为群众提供优质服务的迫切要求。

承担基层选举、优抚、救济、社会福利、婚姻登记等诸多社会事务管理的民政工作，未来5年内将逐步实现信息化。已经开始实施的“数字民政”和“便民”两项工程，将大大提高民政工作管理的效率和民政服务的质量。开展信息化建设是提高民政工作整体水平的有效途径，是提高工作效率的重要手段，也是民政工作为基层、为群众提供优质服务的迫切要求。

目前，民政系统信息化建设已初具规模。民政部机关除在互联网上推出以政务公开为主要内容的民政部网站外，还有城市居民最低生活保障管理系统单机版、救灾管理统计系统、婚姻登记管理系统、社团管理系统等业务软件在全国或部分地区推广，全国行政区域界线信息管理系统开发工作也有望在近期启动。

根据《全国民政系统信息化2001-2005年发展规划纲要》，未来5年内民政系统将基本建成管理和服务两大网络系统。其中，与重点民政业务相结合的“数字民政”工程，将建成覆盖各级民政部门的高速宽带网络，使各级民政部门可利用通用民政业务平台灵活地查阅、分析各种民政业务信息，利用专用软件处理各项民政业务。而与社区建设相结合的 “便民”工程，则将建成集国际互联网、热线电话和单键呼叫为一体的智能呼叫中心，在最低生活保障申请、婚姻登记、领取抚恤金、社团登记、远程教育、养老服务、医疗护理以及困难求助等各个方面，

为城镇居民提供完善、快捷、优质的服务。

二、 系统建设目标

福建省“数字民政”信息网是为福建省民政系统各项业务工作提供信息技术支持的、以现代化通讯方式为网络联通手段、以Client/Server模式为处理模式的计算机信息管理网络系统。系统建设的总目标是：以先进性、可靠性、安全性、实用性等原则为前提，建立以现代化通讯方式为网络联通手段、以TCP/IP为网络通信协议、以内部交换式网络架构为平台、充分考虑防火墙和防病毒等多种网络安全措施、覆盖福建省各级民政部门的高速宽带信息网络平台；全面实现民政业务工作和财务工作的计算机管理，实现省民政厅办公自动化；使各级民政部门可利用通用民政业务平台灵活地查阅、分析各种民政业务信息，利用专用软件处理各项民政业务；及时为领导提供多种方式的决策支持；为社会公众提供便捷、完备的信息查询服务；确保信息数据和网络系统的长期安全可靠。

为了最大限度地发挥投资效益，使福建省“数字民政”信息网在最短时间内投入运行，建议网络系统建设分为两个主要阶段。

第一个阶段的规划目标是：

在省民政厅机关主体办公楼内建立内部局域信息交换网络。

与2002年底前建成的部省两级相连的民政系统高速宽带广域网相连接，

实现部省民政部门的公文传递、信息交换（包括文字材料、图形、图像、声音等），共享各级民政部门开发的信息资源。

建立与INTERNET的高速安全连接，提供WWW、Email、FTP等必要的信息

服务，能够及时发布民政信息并了解国内外民政工作动态，以加强与社会

各界的信息交流和对社会提供一定的信息服务。

配备一台广域网路由器，计划二期与全省各地、市、县民政部门的连接。 第二个阶段的规划目标是：

建成覆盖全省各级民政部门的高速宽带网络，使各级民政部门可利用通用

民政业务平台灵活地查阅、分析各种民政业务信息，利用专用软件处理各

项民政业务。

省级广域网的通信速率不低于512Kbps（建议2Mbps）。

提供通过电话拨号连接上网的接入方式，为移动用户提供入网服务。 在“数字民政”高速宽带网络平台的基础上，充分使用数据库、群件

（GROUPWARE）、中间件和互联网技术，为民政厅建立一个计算机网络民政

综合办公业务应用系统。

建成以省民政厅节点为中心，连接全省各级民政部门的视频会议系统。利

用视频技术和设备，通过网络传输信道在两地或多个地点进行会议，可以

实现视频、音频、数据、图像等多媒体信息综合处理和实时交换，为各级

领导、各个部门提供视频会议服务，包括点对点视频会议和多点视频会议

形式。

本设计方案是针对第一个阶段的建设目标完成的。

三、 系统设计原则

1、先进性原则

计算机及网络技术近年来发展极快，技术更新的周期也在缩短，而且这种发展速度还将继续若干年，那么从技术的先进性衡量，就要求为客户新建立的系统有一定的先进性，不至于很快被淘汰。福建省“数字民政”信息网应采用先进并且成熟的网络技术，选择代表发展方向主流的计算机软硬件产品，设备选型要具有很高的品质保证和平均无故障运行时间，使整个系统建成时能达到当时的先进水平并有较长的使用周期和较高的运行效率。

2、实用性原则

实用性就是用较少的资金、较快的速度建成一个用户界面友好、易于操作的实用系统。系统的先进性必须建立在实用性的前提下，实用性的第一要素是以满足应用需求为目标，力求达到最佳的性能价格比，在现有的条件下合理安排，充分运用资金完成各项工作。系统设计依据业务流量分析结果，合理配置主机系统、网络系统，在确保业务处理响应时限和系统可靠性的前提下，通过整合性设计防止出现系统瓶颈，充分利用各种资源，详尽考虑现有软、硬件投资保护，扣紧实用性主题，尽量减少不必要的系统能力购买，做到最佳的性能价格比。

3、可靠性原则

福建省“数字民政”信息网必须能够长时间平稳运行，尽量减少单点故障和服务停顿。我们的设计方案中，网络系统采用交换技术、VLAN技术、广域网通信线路备份技术、网络设备电源冗余技术，保证网络平台不间断可靠安全运行。

4、安全性原则

福建省“数字民政”信息网业务数据和系统十分敏感，需要把系统安全建设提升到战略的高度加以认识和把握，在系统设计和建设的全过程中要充分考虑安全因素，在核心部位采用通过国家验证的安全产品，保证社保系统安全可靠运行，确保社保信息在采集、处理、传输、使用和存贮过程中，不致受到人为或自然因素的危害，而使社保信息丢失、泄露、篡改或破坏。应建立病毒防御体系，确保所有保险信息数据资源不受计算机病毒感染；系统应能对网络数据自动进行实时备份和恢复（包括灾难恢复）；软硬件出现故障时，系统应能够提供不间断服务；应提供多级保密方式和对数据的保护功能，并对业务人员的操作日志进行管理，不使数据受到恶意侵犯；当需要和外界进行数据交换时，应建立防火墙系统。

5、经济性原则

在满足福建省“数字民政”信息网系统需求的前提下，我们在设计方案中尽可能地选用性能价格比最优的设备，以节省投资、用最低成本完成整个计算机及其网络的建设，最大限度地维护用户利益。

6、可伸缩性原则

由于用户的实际工作是可持续发展的，新建立的系统应能保证“平滑升级”，即系统在扩大、改变与发展时能使原有的软硬件资源得到最有效的保护。保证系统可扩充性的关键是一定要使用“开放性”技术。随着新的应用的出现，在现有网络不能满足需求的前提下，必须对网络进行升级改造，在这种情况下，必须保证升级扩展是平滑的，在保持连通性前提下，充分发挥原有网络性能，保护用户的投资，实现原有网络到更先进网络的平稳过渡。

7、可管理性原则

建成后的福建省“数字民政”信息网是一个跨地区、多种先进计算机技术应用的综合业务网系统，系统的可管理性和易维护性相当重要。网络系统必须具有故障自动告警功能，发生故障时及时告警可以缩短故障排除时间，快速恢复网络，

提高网络服务水平。通过系统性能管理，均衡系统负载能力；通过电源管理，确保基础电源供应可靠；通过对网络和站点的远程管理，极大地减少系统的维护工作量；通过对网络的备份和恢复管理，最大限度降低系统灾难性损失。综合措施确保了整个“数字民政”信息网良好的管理体系。

8、开放性原则

由于计算机网络和有关技术发展很快，可以说日新月异，在新技术成熟或新要求提出时，应能扩展升级和灵活变更，而不是推倒重来，以保护今天的投资。系统设计的开放性原则是指系统有适应外界环境变化的能力，即在外界环境改变时，系统可以不作修改或仅作少量修改就能在新环境下运行。

四、 主要网络技术介绍

福建省“数字民政”信息网建设将采用千兆以太网作为内部局域网主干技术，不同科室划分VLAN分配不同网络号以达到隔离广播提高网络性能的目的，不同VLAN成员之间的数据通信由Cisco Catalyst 4006交换机的三层交换功能实现。下面介绍福建省“数字民政”信息网建设采用的千兆以太网、VLAN、三层交换等最新网络技术。

1、千兆以太网

经济在高速发展，信息在迅猛膨胀。多媒体应用的日益增加、IP语音传输需求的激增，对网络的带宽提出了新的挑战。局域以太网从10M开始发展，经历几多的变迁，风风雨雨二十多年，发展到今天风靡一世的千兆以太网。千兆以太网以高效、高速、高性能而著称，已经广泛应用于各行各业。

千兆以太网是建立在以太网标准基础之上的技术。千兆以太网和大量使用的以太网与快速以太网完全兼容，并利用了原以太网标准所规定的全部技术规范，其中包括CSMA/CD协议、以太网帧、全双工、流量控制以及IEEE 802.3标准中所定义的管理对象。作为以太网的一个组成部分，千兆以太网也支持流量管理技术，它保证在以太网上的服务质量，这些技术包括IEEE 802.1P第二层优先级、第三层优先级的QoS编码位、特别服务和资源预留协议（RSVP）。

千兆以太网还利用IEEE 802.1Q VLAN支持、第四层过滤、千兆位的第三层交

换。千兆以太网原先是作为一种交换技术设计的，采用光纤作为上行链路，用于楼宇之间的连接。之后，在服务器的连接和骨干网中，千兆以太网获得广泛应用，由于IEEE 802.3ab标准（采用5类及以上非屏蔽双绞线的千兆以太网标准）的出台，千兆以太网可适用于任何大中小型企事业单位。千兆以太网技术甚至正在取代ATM技术，成为城域网建设的主力军。

千兆以太网的特点主要包括如下：

①、千兆位以太网提供完美无缺的迁移途径，充分保护在现有网络基础设施上的投资。千兆位以太网将保留IEEE 802.3和以太网帧格式以及802.3受管理的对象规格，从而使企业能够在升级至千兆性能的同时，保留现有的线缆、操作系统、协议、桌面应用程序和网络管理战略与工具；

②、千兆位以太网相对于原有的快速以太网、FDDI、ATM等主干网解决方案，提供了一条最佳的路径。至少在目前看来，是改善交换机与交换机之间骨干连接和交换机与服务器之间连接的可靠、经济的途径。网络设计人员能够建立有效使用高速、关键任务的应用程序和文件备份的高速基础设施。网络管理人员将为用户提供对Internet、Intranet、城域网与广域网的更快速的访问。

③、IEEE 802.3工作组建立了802.3z和802.3ab千兆位以太网工作组，其任务是开发适应不同需求的千兆位以太网标准。该标准支持全双工和半双工1000Mbps，相应的操作采用IEEE 802.3以太网的帧格式和CSMA/CD介质访问控制方法。千兆位以太网还要与10BaseT和100BaseT向后兼容。此外，IEEE标准将支持最大距离为550米的多模光纤、最大距离为70千米的单模光纤和最大距离为100米的铜轴电缆。千兆位以太网填补了802.3以太网/快速以太网标准的不足。

2、VLAN

虚拟局域网（Virtual Local Area Network，VLAN）是与物理局域网相对的，利用专门软件，建立在网络数据交换基础上的数据网络。虚拟局域网其实就是一个计算机网络，其中的计算机就好像处在一个普通的局域网中一样。但事实上，它们可能处于物理上的不同区域，甚至可能不在本地。

采用VLAN的优点有：

①、广播的隔离：由于在网络的接入层采用以太网接入方式，而以太网技术存在大量的“广播”问题，寻址、ARP协议、多媒体应用等，如不加以控制会造

成严重的“广播风暴”，特别是对于较大型的网络。通过VLAN技术，可以将一个大型的网络虚拟（逻辑）地划分成若干个规模较小的“广播域”，每一个“广播域”即是一个VLAN，这样可以将广播控制在一个个较小的范围内，以达到广播隔离的作用。

②、增强网络安全：VLAN的划分构造的虚拟网络边界，位于不同边界的子网之间的网络流量只能通过路由跨越。因此，可能通过路由器或多层交换机的安全措施来控制和过滤网络的访问，从而提高网络的安全性。

③、提高网络性能：通过对VLAN的合理划分，可以使大量的网络通讯流量都包含在VLAN子网内部，从而减少网络主干的通信量；另外，可以将网络服务器集中放置，并将它们配置成多个VLAN的成员，也会减少从工作站到服务器路由通信的需求，从而优化网络资源。

VLAN的划分技术选择有多种方式，可以是基于交换机端口的划分，也可以是基于主机或设备的MAC地址，也可以基于IP地址、网络协议或基于用户定义的策略动态地划分等等。不同的VLAN划分方法各有不同的优缺点，在实际应用时可根据用户具体需求灵活选择。但较常用而简易的方法之一，是采用基于交换机的端口来划分VLAN，连接到交换机上同一端口的主机归属于同一个VLAN成员。

3、三层交换

目前主干交换机一般都采用流行的Cisco、Extreme、Nortel等厂家的第三层交换机。要弄清楚第三层交换机的定义以及它与路由器为什么不同是比较麻烦的，许多生产商把第三层交换机等同于比传统路由器更快的路由器，事实上这是毫无道理的。报文从一个接口转发到另一个接口的过程中，第三层交换机和路由器的判定过程无论在意图上，还是在目的上都是相同的，唯一不同的是物理实现。第三层交换机使用流行的ASIC，而路由器使用通用微处理器。第三层交换机和路由器均根据目的IP转发报文，改变MAC地址，减少生存期（Time to Live,TTL）域，执行一次帧检测。

除转发报文外，路由器一般使用路由协议（如RIP或OSPF）创建和维护路由表，这与第三层交换机相同。第三层交换机必须用一种方法使用当前的路由表。实际上，这可以通过第三层交换机参与到路由协议处理过程中，或者第3层交换机使用传统路由器的路由表来实现。

另外，第三层交换机和路由器更有趣的区别是“路由一次，交换多次”。第三层交换机在第一次需要与远程目的连接时，就能在路由表中发现正确路由，这样同一目的的后续报文的处理就可以“快捷”交换。这种快捷方式一般来源于在报文后增加一个标识符，该标识符表示报文是一个特定流的一部分，其优点在于：可以根据这个简单标识交换报文，设备不需检查每个报文整体。

由上述可知，第三层交换机的路由功能由两部分组成：一是路由引擎，负责地址表的维护，仍然采用传统的路由协议如RIP、OSPF，二是交换引擎，负责数据包的转发和它们安全策略的控制与过滤，交换引擎采用专用的集成电路ASIC，具有极高的数据包转发能力。

五、 网络拓扑图

福建省“数字民政”信息网(一期)设计方案

福建新大陆电脑股份有限公司

第9页

共 22 页

六、 网络设计方案

1、局域网设计

（1）配置描述

福建省民政厅再就业与社区服务中心大楼综合布线系统正在实施中，整栋大楼的数据信息点、语音信息点等弱电系统正在进行统一布线。其中语音点有220个，数据点有232个（含双口地插和光纤点）。福建省民政信息网的中心机房设在大楼五层，另外设置三个楼层配线间：一楼、二楼、三楼、四楼共有48个超五类双绞线信息点、1个光纤信息点，汇总到二楼配线间；五楼、六楼、七楼共有90个超五类双绞线信息点、2个光纤信息点，汇总到六楼配线间；八楼、九楼、十楼共有72个超五类双绞线信息点、8个光纤信息点，汇总到九楼配线间。

福建省民政厅信息中心作为全省民政网络的中心节点，其地位是不言而喻。因此必须配置性能高、可靠性好、满足近期网络扩充要求的网络交换机，作为信息中心主干交换机。建议局域网主干交换机采用Cisco Catalyst 4006三层交换机，该交换机有六个模块插槽，具有灵活的端口配置能力，支持快速以太网、千兆以太网等多种现行主流网络技术。配置一块Supervisor Engine III系统模块，Supervisor Engine III可以提供64Gbps无阻塞交换矩阵、48Mpps第2层数据包转发率（硬件） 、基于Cisco快速转发（硬件）的48Mpps第3/4层转发率——IP路由以及基于硬件的第2层、第3层、第4层交换引擎（基于ASIC）。第2层和第3/4层的交换被集成到Supervisor Engine III上的单一硬件引擎中，可以通过范围广泛的第3层服务（例如基于端口的QoS，负载共享，容错功能等，这些服务可以加强它在高端配线间中的部署能力），简化传统的第2层LAN交换。

Cisco Catalyst 4006配置以下网络模块：一块WS-X4232-GB-RJ网络模块，提供32个自适应10/100M以太网RJ45端口和2个GBIC插槽；一块WS-X4306-GB千兆以太网模块，提供6个GBIC插槽，加上Supervisor Engine III系统模块提供的2个GBIC插槽和WS-X4232-GB-RJ提供的2个GBIC插槽，以及配置的10个1000BASE-SX Short Wavelength GBIC，总共可以提供10个千兆多模光纤以太网连接，用于连接楼层接入交换机和和关键服务器。

楼层接入交换机配置如下：九楼配线间配置1台Cisco 3508G-XL、1台3524X

和1台3548XL交换机，其中3524XL和3548XL交换机之间作堆叠，这样总共能够提供72个自适应10/100M以太网端口和8个GBIC千兆以太网端口用于连接光纤信息点；六楼配线间配置2台Cisco 3548XL交换机，分别通过千兆以太网端口与Cisco Catalyst 4006主干交换机连接，可提供96个自适应10/100M以太网端口和2个GBIC千兆以太网端口用于连接光纤信息点；二楼配线间配置1台Cisco 3548XL交换机，通过千兆以太网端口与Cisco Catalyst 4006主干交换机连接，提供48个10/100M自适应以太网端口和1个GBIC千兆以太网端口用于连接光纤信息点。

为了方便管理和提高安全性，省民政厅可以按科室划分VLAN，即不同的科室分配不同的子网号，各个科室各自构成一个独立的子网，这个过程可以在主干交换机或接入交换机的端口上实现。不同的VLAN有自己独立的ID号，VLAN ID号的定义在交换机端口上实现的，而VLAN ID的标记和识别是由支持VLAN功能的以太网交换机自动执行的，这个过程对工作站本身是透明的。在网络划分了VLAN之后，不同VLAN成员之间不能够直接通信，它们之间的数据传输通过主干交换机Cisco Catalyst 4006的三层模块功能实现。

（2）性能描述

Cisco Catalyst 4000系统是一种经济、高效、灵活的网络解决方案，能进行伸缩来满足当今的高性能需求并提供将来的投资保护，完全满足福建省“数字民政”信息网要求。Cisco Catalyst 4000交换机主要优点包括：

性能——提供了先进的交换解决方案，它能随着端口的添加而增大带宽。

领先的ASIC技术更是使Catalyst 4000系列解决方案如虎添翼，ASIC

技术提供了线速第2层和第3层 10/100或千兆位交换。其中，第2层交

换由24 Gbps、18 Mpps引擎驱动，第3层交换则由可伸缩的8 Gbps、6 Mpps

引擎驱动。

密度——能够在一个机箱上满足最多240个快速以太网端口的网络单元

连接要求。Catalyst 4000系列的热插拔模块即插即用交换解决方案降低

了复杂性并能轻松地支持当前网络中不断变化的桌面环境。特别是，还

提供了无线PC连接来支持未来的端口接口需要。

一致的软件体系结构——因为Catalyst软件和用户界面的一致性，客户

能继续利用他们的知识，并利用Catalyst 1900、2900、3500、4000、5000、6000、8500家族产品来继续发展自己的基础设施。

投资保护——灵活的模块化体系结构对配线室中的动态桌面连接提供了

经济高效的管理。Catalyst 4006背板进一步提供了网络保护能力，因为

它支持60 Gbps无阻塞容量，所以这种机箱更能适应未来需要。另外，

Catalyst 4003和4006机箱之间的兼容备份，使它的电源和交换板卡之

间的通用性更强，从而降低了总拥有成本。

功能透明板卡——Catalyst 4000的结构优势扩大了Catalyst 4000系列

板卡的部署寿命。只要简单地添加其它引擎模块，如新的第3层服务模

块，Catalyst 4000系统就能方便地将所有系统端口升级到更高层的交换

功能。不需要更换现有板卡就能在系统端口上实现高层功能增强，这在

常规交换产品中是很常见的。这样，新的Catalyst 4006端口可以随时

用于WAN、IP电话、第4层到第7层Web交换。

模块化监控器引擎保护——Catalyst 4006机箱背板和监控器连接器可

以支持未来的监控器引擎升级。未来改进的可能性包括将可伸缩交换机

结构容量增加到64 Gbps、使用线速第3层和第4层交换和基于未来技术

的千兆位上行链路。

Cisco IOS网络服务——Catalyst 4000系列交换机提供了成熟的企业第

2层和第3层特性，能够有效地增强公司网络的能力，这些特性满足大中

型企业的高级联网要求。

基于硬件的组播——协议独立组播（PIM）密集和稀疏模式、Internet

组群组播协议（IGMP）、以及Cisco组群组播协议（CGMP）支持基于标准

的、Cisco改进的高效多媒体联网。

经济高效——结合先进的工程和制造工艺优势，Catalyst 4000系列以高

性能/价格比的价格提供了更加强大和更加可靠的企业交换解决方案，重

新定义了新的价格/性能比。

共享内存体系结构，没有线路头阻塞——集中式低等待延迟（1.4微秒）、

共享内存交换结构提供了领先的能力，消除了所有可能的线路头部阻塞。 桌面能够使用千兆位能力——Catalyst 4000系列已经提供了丰富的

1000 Mbps千兆位和千兆位服务器交换解决方案。Catalyst 4000系统的

千兆位解决方案的使用范围可以方便地扩展到桌面。

可管理性——利用每一种Catalyst 4000系列交换解决方案提供的先进

的管理能力以及每一个端口中内置的基于业界标准的管理功能，

Catalyst 4000系列的控制能力和安全性都得到了加强。您可以灵活地选

择是使用基于Web的图形用户接口（GUI）还是命令行接口（CLI）来完

成管理任务，从而增强了您的网络操作能力。

降低网络操作费用——因为Catalyst平台、体系结构和软件之间有更高

的一致性，所以费用得到了很大降低。另外，端到端的Cisco管理和服

务也降低了网络的总拥有成本。

保护关键任务应用的性能——集中式企业策略创建加上CiscoAssure支

持和针对第2层CoS和第3层ToS的网络服务质量，这些可共同保证您

能够从边缘到核心得到一致的应用性能。

高可用性——Catalyst 4000系列提供了自恢复网络智能，它的速度足以

从端口、设备、链路上发现故障而在桌面上没有明显延迟。

面向未来的网络——Catalyst 4000系列能轻松地应对网络发展，通过简

单地添加更多的端口，可以有效地提高您网络的带宽。另外，功能上透

明的体系结构优势将扩大每个交换板卡的有效时间，允许随着需求而添

加更高级的功能，而不需要进行彻底升级。

光纤延伸到桌面——Catalyst 4000系列24端口和48端口100 BASE-FX

板卡提供了光缆的保密性和复原能力，考虑到距离限制、入侵或射频干

扰等诸多因素，这使他们非常适合网络使用。处理机密信息或提供电子

交易的政府机构和企业客户是这种板卡的最佳客户。

Catalyst 4000第3层引擎——与所有Catalyst 4000系列机箱和监控器

引擎兼容，并利用具有加权循环（WRR）规划和服务类型/服务等级

（ToS/CoS）优先级的多个排队（最多4个）来提供了先进的服务质量

（QoS）。另外，Catalyst 4000系列第3层服务板卡还给非路由协议如

NetBIOS、DECnet和局域传输（LAT）等提供了线速第2层交换。

2、广域网设计

（1）配置描述

广域网路由器建议采用Cisco 7204VXR路由器。它是一款可扩展的高性能多功能路由器，能够满足不断增长的网络需求，Cisco 7200系列路由器满足了对高性能、高密度、低费效比解决方案的需求，其中包括了数据、语音和视频传输应用需求。Cisco 7204VXR路由器配置一个NPE-225网络处理引擎，提供225-kpps CEF交换、2MB L2高速缓存、64MB SDRAM（可扩展至128MB）。另外配置两块PA-8T-V35网络模块和两根CAB-OCT-V35-MT线缆，提供16个广域网连接。为提高系统可靠性，采用了一个主电源PWR-7200和一个备份冗余电源PWR-7200/2 ，提供电源负载均衡和故障备份。

（2）性能描述

拥有出色性价比的Cisco 7200系列路由器可以提供很多网络服务加速解决方案，如通过网关连接到WAN和Internet的地区和分支办公室、企业和服务供应商的远地集中（多个分散地点通过一个中央地点实现互连）、要求IBM数据中心连接的地点、要求能够将以上所有功能结合起来实现多服务语音、视频和数据的多功能能力的地点。Cisco 7200系列路由器的主要优点如下：

宽带集中——7200系列最高可以在2000个L2TP隧道上处理8000个使用

点对点协议的用户（每机箱），同时具备世界级的路由选择和服务选择网

关功能，这使7200系列成为宽带端接的一站式选择。

服务质量——7200系列拥有广泛的网络服务和接口选项，对于在您的网

络中实现服务质量的需要来说，7200系列是领先的边缘选件。

MPLS——对一个MPLS内核来说，Cisco 7200系列是最好的标记交换机或

边缘路由器。由于对MPLS VP的行业标准支持，当您的网络对MPLS主干

的可扩展性、灵活性和性能提出要求时，7200系列可以提供强大的行业

同盟。

VPN——对于为专用WAN或VPN应用寻求可以得到硬件辅助的、高性能的

隧道服务和加密服务的客户来说，7200系列是理想的点对点虚拟专网

（VPN）路由器选择。

多服务——7200系列在一个多服务平台上实现了最高的性能和DS1密度

-使客户能够集成自己的语音和数据网络，以简化这两个并行网络的维护

并减少其运行成本。所有7200系列VXR机箱提供的集成TDM交换功能都

可以支持通过一个单一多用途设备升级到IP语音网络。除了集成TDM交

换，7200系列还提供了多种通道化接口，这些端口可以同时部分实现语

音通道配置和数据通道配置。

加速高接触IP服务——使用NSE-1引擎的7200系列是从Cisco并行快

速转发（PXF）专利中受益的第一个平台，能够在一条硬件加速路径上实

现线速高接触服务。当引入新服务时，只需通过简单的软件升级就可以

将其合并到您的拥有PXF功能的网络之中。

3、外部网设计

（1）配置描述

外部网主要用作WEB服务、FTP服务、Email服务以及域名解析（DNS），实现对外发布公众信息并及时了解国内外动态。

福州电信城域宽带网接入是作为实现楼宇和小区信息化、智能化重要基础的“网络新干线”。利用综合布线联接小区用户，通过光纤接入国际互联网，是数字化社会的神经中枢，实现千兆到小区，百兆到楼层，十兆到住户。福州电信目前的ATM骨干网络和163骨干网络支持各种接入方式，包括FTTB+LAN（光纤到大楼+局域网）、ADSL（非对称用户数字环路）、宽窄带综合接入网、HomePNA（家庭电话网络整合）和LMDS等方案，福州电信将根据用户不同的需求提供不同的宽带接入方案。根据省民政厅的实际情况，建议采用FTTB+LAN方案接入福州电信城域宽带网。

建议配置一台联想网御2000 FW E 防火墙，该防火墙有3个100M以太网络接口，其中一个100M以太网口用于连接Cisco Catalyst 4006主干交换机，第二个100M以太网口用于接入福州电信城域宽带网访问INTERNET，第三个以太网口连接外部网交换机Cisco Catalyst 3512XL。外部网配置三台服务器，安装Microsoft Windows 2000 Server操作系统，其中WEB和FTP服务器安装Microsoft IIS 5.0，Email服务器安装Microsoft Exchange 2000，省民政厅原有一台HP服务器用作DNS域名解析服务器。

（2）性能描述

联想网御2000防火墙在入侵检测与自动响应、网络病毒检测、基于密码技术的安全认证管理以及3层和4层交换方式防火墙等关键技术上有重大突破，同时，针对攻击行为的变化，联想的动态安全在线升级服务，可以为网络提供强大的、持续的安全保障，抵御来自外部网络的攻击、保障单位内部网络的安全。联想网御2000防火墙已通过了公安部、信息产业部、国家保密局、中国人民解放军信息评测认证中心的测试认可，获得了中华人民共和国公安部颁发的销售许可证，完全符合国标GB/T18020-1999--应用级防火墙安全技术要求。联想网御2000防火墙的基本功能如下：

状态包过滤

基于状态检测技术，对源地址/目的地址，源端口/目的端口，协议，服务等的过滤。工作在3层交换方式下。

透明代理

在4层交换方式下，支持HTTP，FTP（可限制GET、PUT命令），Telnet，SMTP，用户自定义服务等，提供基于用户及客户机的认证，支持本地认证服务器（防火墙上）及远程认证服务器，支持RADIUS。

应用层信息过滤

支持协议：HTTP、SMTP等协议

对HTTP协议：对URL过滤

对SMTP协议：对邮件主、邮件内容、收件人、发件人、附件名等的过滤 病毒过滤

支持协议：HTTP、FTP、SMTP协议

支持文件格式：COM、EXE ,20余种压缩格式

操作方式：可实时查杀病毒

报警方式：向管理员发报警邮件

病毒库和扫描引擎更新：可手动更新或自动更新。联想集团提供良好的用户服务。

IP地址与MAC地址绑定

防止IP地址盗用，尤其是内部网络。

用户认证

主要用于HTTP，FTP，TELNET等代理的用户认证。

认证协议：PAP、SKEY

认证服务器：本地认证服务器(在防火墙上)、远程认证服务器，支持RADIUS 远程认证服务器可进行用户分组管理，可实现对远程用户的统一认证策略管理。

本地认证服务器支持100用户数。

规则一致性检查

对管理员下的安全规则进行一致性检测，对矛盾或重复的安全规则给出提示。 规则及配置信息的导入导出

管理员可以把配置的各项数据从防火墙导出，在本地做备份。一旦发现当前的配置策略不合适可以把以前的配置信息导入到防火墙，恢复到以前的状态。也可以把一台防火墙的配置数据导入到另一台防火墙。给管理员的工作带来很大的便利。

实时入侵检测与自动响应

实时检测：实时检测透明方式下的全部数据流，可以检测出600多类，1000种以上的攻击行为。

防范攻击：（1）识别并防范对网络和主机的扫描（2）识别网络协议异常（3）识别并防范IP欺骗（4）识别并防范DDOS攻击（5）根据检测结果自动设置包过滤规则，并报告管理员。

实时报警：邮件报警及面板上报警灯显示，生成日志。

规则设置：（1）提供灵活的策略设置功能（2）支持用户自定义监测规则（3）支持规则库的手动升级

抵抗DoS攻击

在核心部分实现了改进的安全TCP/IP协议，可有效抵抗外部黑客对内部网络的攻击，提高了被保护网络的安全性。

智能日志审计

日志服务器接收日志信息，并进行自动分析与扫描处理，异常时报警提示，管理员设定审计和查询的规则，以HTML格式生成日志查询报告。

安全管理

远程安全管理：基于SSL加密信道，配置信息全部加密。

局域网管理：管理员身份认证基于硬件自动完成，使用一次性口令。

串口管理：基于串口的WEB管理方式，极大地方便了管理员的操作。

在线升级及维护

用于防火墙软件模块升级，安全服务升级。

防火墙软件与升级服务包的升级方式：（1）手工升级将升级软件包直接送到管理员手中（2）在线升级，管理员通过安全信道将加密软件取到本地。

工件状态显示

在防火墙前面板上用指示灯显示主要技术参数。

工作状态显示内容：流量显示，入侵报警，阻断报警。其中，流量显示主要是防火墙的网卡上流量情况的显示；入侵报警主要是当有检测到有入侵行为时亮灯报警；阻断报警主要是当有IP地址被阻断时亮灯报警。

联想网御2000防火墙采用多种主要网络安全机制：

多端口结构

网御防火墙2000有三个独立的网络接口，将受控网络从物理上分开，提高了安全保护和性能，同时方便网络连接。

透明连接方式

隐式防火墙，采用全透明连接方式，即：3层和4层交换方式，其IP地址只对管理员可见，对用户不可见，因此用户端不需要修改任何周边网络设备的设置。在全透明模式下工作，实现包过滤、NAT、透明代理等功能。

只有一个用于管理的IP地址，从外网进行远程管理时需要为合法的IP地址，做NAT地址转换时也需要为合法的IP地址。从内网管理时可用保留地址。

多级过滤技术

为了保证系统保护能力，增强控制的灵活性，联想网御2000防火墙采用多级过滤策略，提供基于硬件、网络地址、用户鉴别和控制方式，过滤的层次也是多级别的，在网络层、应用层都有各自灵活的过滤策略。

入侵检测与自动响应

对进出网络的所有数据进行实时检测与响应，当鉴别有入侵攻击企图时，会立刻进行自动阻断，限制连接，及时发出报警通知管理员，并有报警灯提示。

日志审计

在安全体系中，对日志的分析是一个重要环节。通过日志可以分析黑客入侵手段，追查黑客来源。日志审计服务器保证日志不被入侵者修改，并对日志进行分析，提供表格或HTML格式的报告。

自身安全

采用具有自主知识产权的安全OS，从底层保证自身安全。

采用全透明连接方式，可以使防火墙本身不被探测及非授权访问。

有专门针对自身安全的安全策略。

管理员安全

无法假冒管理员。

使用基于硬件的一次口令技术，保证管理员口令不被窃取。

在远程管理时可以使用安全加密信道SSL，保证管理数据在网上传输的安全。

4、网管系统设计

（1）配置描述

在省民政厅信息中心配置一台网管工作站，运行Cisco公司的网管软件CiscoWorks for Windows 6.0 NT/98/2000，它能够对整个“数字民政”信息网的所有Cisco设备和其他支持SNMP协议的网络设备进行有效的监控管理，及时发现网络设备和网络连接中的隐患，预防网络故障的发生。或当网络故障发生时，快速进行定位故障，迅速修复系统，保证系统能够稳定运行，减少网络管理人员的工作量。

（2）性能描述

CiscoWorks for Windows 6.0 NT/98/2000网管系统提供路由器和交换机等网络设备的配置管理、性能管理、故障管理、安全管理等任务，具有以下功能：

具有先进的侦测技术、端口分配工具、高级连接分析和配置管理工具、

设备与网络诊断工具等，具备包括故障管理、远程监控、流量监控等等

的能力。所有的功能应建构在一个便于使用的框架中。

网管软件包括面向操作的多种工具，如故障管理、可扩展的拓扑检查、

高级配置、第2层/第3层路径分析、语音支持路径追踪、流量监控、终

本文来源：https://www.bwwdw.com/article/hfp4.html