城域网机房及互联网出口解决方案

重庆市南岸区教育城域网核心安全解决方案

中国联合网络通信有限公司重庆市

南岸区分公司

2017年2月

目录

目录 (2)

1 项目背景 (2)

2 项目需求 (3)

3 系统整体设计方案 (3)

3.1 系统建设原则 (4)

3.2 网络平台设计方案 (5)

3.2.1 网络拓扑图 (5)

3.2.2 网络设计说明 (5)

3.2.3 核心网络设备清单 (6)

3.3 运维管理方案 (7)

3.4 网络设备配置清单 (7)

4 质保及售后服务 (8)

4.1 产品质保期 (8)

4.2 售后服务标准 (8)

4.2.1 故障响应时间 (8)

4.2.2 质保期内服务方式 (8)

4.2.3 质保期外服务方式 (9)

4.2.4 售后服务措施 (9)

4.3 售后服务体系 (11)

5 案例分享 (13)

5.1 总部案例............................................................................................ 错误!未定义书签。

5.2 重庆市分公司案例............................................................................ 错误!未定义书签。

6 结束语 (15)

1项目背景

当前，数字化校园或智慧校园建设成为各地区信息化建设的重点，在此背景下重庆市南岸区教育城域网拟先通过建设网络核心安全设备提供网络基础。

2项目需求

项目是要保证各学校内的师生能够使用终端（手机、平板电脑等）经过认证之后，随时随地的接入内部网络和外部网络。同时网络必须具有一定的安全性、可管理性和可扩展性。

本次网络改造建设包括以下几点需求：

1、安全功能

根据网络管理需求,对现网网络进行优化改造,并实现安全设备的升级改造,达到如下目的。

SCF N:1虚拟化技术，高可靠网络设计

具有强大的处理能力

丰富路由协议，实现安全与网络融合

具有强大的VPN加密处理能力

全面深度安全防御阻止恶意攻击，同时能够实现邮件、网页、文件过滤

丰富路由协议，实现安全与网络融合

2、行为审计功能

能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

3、入侵检测功能

确保SecPath IPS在各种大流量、复杂应用的环境下，仍能具备线速深度检测和防护能力，仅有微秒级时延。通过掉电保护（PFC）、二层回退、双机热备等高可靠性设计，保证IPS在断电、软硬件故障或链路故障的情况下，网络链路仍然畅通，保证用户业务的不间断正常运行。

3系统整体设计方案

重庆市南岸区教育城域网核心安全解决方案主要为今后的网络提供基础平台，里面包括了防火墙，行为审计，IPS等。

3.1系统建设原则

总体建设原则：网络运维要有利于管控，最大限度降低网络风险，新建的防火墙，行为审计，IPS能够与原有网络平滑接入，易于总体管理维护。

结合实际应用和发展要求，本次方案还需遵循以下原则：

(1)实用性：以现行需求为基础，充分考虑发展的需要来确定系统规模。

(2)安全性：保障用户接入网络的安全、认证过程中用户名和帐号的安全，用户数据通信过程中用户数据的安全。

(3)可靠性：系统设计最大限度地减少故障的可能性及故障发生后修复的及时性。

(4)规范性：网络所采用的技术和设备应符合国际标准、国家标准和运营商企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。

(5)开放性和标准化：提供开放性好、标准化程度高的技术方案，采用的设备的各种接口满足开放和标准化原则。

(6)可扩展性：所有设备不但满足当前需要，并在扩充模块后满足可预见将来的需求，建设完成后的系统能及时向新技术升级演进，同时能最大限度保护现有的投资。

(7)可管理性：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量及性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。

3.2网络平台设计方案

3.2.1 网络拓扑图

3.2.2 网络设计说明

网络是基础，我们按逻辑结构分为三层，核心层、汇聚层和接入层，物理结构我们分为了6个部分，即出口区域、核心区域、智能管理综合平台、无线系统区域、业务服务区以及管理平台区。

出口区域：

在整个教育城域网出口，我们需要部署一台一体化安全网关设备来保障出口安全，为网络提供2-7层的安全防护。

部署IPS产品在客户网络的关键路径上，通过对流经该关键路径上的网络数据流进行2到7层的深度分析，能精确、实时地识别并阻断或限制黑客、蠕虫、病毒、木马、DoS/DDoS、

扫描、间谍软件、协议异常、网络钓鱼、P2P、IM、网游等网络攻击或网络滥用，同时，H3C SecPath T1000/T5000系列产品还具有强大、实用的带宽管理和URL过滤功能。

为配合公安部82号令的要求，在方案中设计了一台上网行为管理设备，配合网络认证软件，记录并留存重有线/无线用户的登录和退出时间、账号、访问的互联网地址或域名、系统维护日志等。上网行为管理能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助运维人员全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。

核心区域：

①核心交换机:

此次核心交换机无需再建设，利旧原有的华三S12508核心交换机作为整个网络的数据核心交换设备。

②网络管理综合平台

随着信息化建设的大量投入，信息化水平在全国逐渐处于领先水平。而IT信息系统体现应用价值基础是拥有良好的运维保障能力。现在的IT运维人员水平、人数不可能像IT系统建设的速度增长，需要较长时间改善和提升。因此，配套建设一套良好的IT信息运维流程方法、运维产品十分必要，以提升整个信息中心运维管理效率，改善未来面临的多种管理问题。

本次建设方案采用一套网络管理平台，通过数据接口和定制模块来扩充系统能力，以客户化定制来进一步贴近用户业务和服务监控环境，形成一体化、实用化的解决方案。

该系统需全面监控网络硬件、服务器、软件系统、机房环境的运行状态，并用直观的方式展示给管理人员，以求提高信息化的管理水平和管理效率。

汇聚区域：本次不涉及

接入区域：本次不涉及

3.2.3 核心网络设备清单

设备说明数量核心交换机华三S12508：（已建） 1