第一篇：MSTP組網(wǎng)類解決方案

中國人民銀行西安分行網(wǎng)絡(luò)升級(jí)

解決方案

中國電信股份有限公司西安分公司

2018年5月

目錄

1、中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀及需求分析...........................3

1.1 中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀................................3 1.2中國人民銀行西安分行需求分析.................................3

2、中國人民銀行西安分行解決方案....................................4

2.1 方案設(shè)計(jì)原則................................................4 2.2 中國人民銀行西安分行MSTP組網(wǎng)解決方案.......................5

3、MSTP組網(wǎng)方案特點(diǎn)...............................................5

4、方案優(yōu)勢(shì)........................................................6

1、中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀及需求分析

1.1 中國人民銀行西安分行網(wǎng)絡(luò)現(xiàn)狀

中國人民銀行西安分行目前的全省廣域網(wǎng)線路已運(yùn)行多年，具體形式為： 1.西安分行核心路由器通過CPOS光口與電信方專業(yè)傳輸設(shè)備對(duì)接，實(shí)現(xiàn)9個(gè)地市及營業(yè)部單位的數(shù)據(jù)互聯(lián)；

2.目前共開通有11條SDH數(shù)字電路，每條電路帶寬為10M，每個(gè)地市單位同時(shí)開通1條SDH數(shù)字電路，并通過西安分行路由器和地市及營業(yè)部單位路由器進(jìn)行互聯(lián)使用；

3.每個(gè)地市及營業(yè)部單位10M帶寬承載了公文、視頻會(huì)議系統(tǒng)等重要業(yè)務(wù)。4.經(jīng)現(xiàn)場(chǎng)與客戶網(wǎng)絡(luò)設(shè)備廠家技術(shù)人員確認(rèn)：

? 中心端路由器具備空閑千兆FE電口，并且端口具備劃分子接口（VLAN）的功能；

? 地市及營業(yè)部單位路由器均空閑有1個(gè)以太網(wǎng)端口。

1.2中國人民銀行西安分行需求分析

中國人民銀行西安分行現(xiàn)廣域網(wǎng)已經(jīng)運(yùn)行多年，隨著政務(wù)系統(tǒng)信息化建設(shè)的推進(jìn)，現(xiàn)有的網(wǎng)絡(luò)帶寬已經(jīng)不能滿足業(yè)務(wù)量激增的需要，急需進(jìn)行升級(jí)擴(kuò)容，具體要求包括：

1、將西安分行至9個(gè)地市及營業(yè)部單位的廣域網(wǎng)帶寬由10M提升至20M;

2、盡可能利舊現(xiàn)有設(shè)備實(shí)現(xiàn)升速；

3、整個(gè)網(wǎng)絡(luò)升級(jí)擴(kuò)容不能影響到正常工作，并且升級(jí)后全網(wǎng)的ip地址不需要變更。

2、中國人民銀行西安分行解決方案

2.1 方案設(shè)計(jì)原則

針對(duì)中國人民銀行西安分行廣域網(wǎng)升級(jí)項(xiàng)目的重要性和特殊性，我們?cè)谠O(shè)計(jì)項(xiàng)目解決方案時(shí)特別遵循了以下設(shè)計(jì)原則： ? 先進(jìn)性原則

從較高的起點(diǎn)對(duì)網(wǎng)絡(luò)建設(shè)進(jìn)行規(guī)劃，充分采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)，滿足中國人民銀行西安分行業(yè)務(wù)數(shù)據(jù)傳輸需要。用中國電信的傳輸網(wǎng)絡(luò)優(yōu)質(zhì)資源提供全面的解決方案，形成統(tǒng)一先進(jìn)的通信系統(tǒng)。? 可靠性原則

網(wǎng)絡(luò)設(shè)計(jì)過程中從網(wǎng)絡(luò)技術(shù)、骨干路由、專線保護(hù)等多方面考慮中國人民銀行西安分行廣域網(wǎng)線路的可靠性，保證數(shù)據(jù)傳輸?shù)陌踩煽?。同時(shí)提供的7*24小時(shí)的服務(wù)保障，從技術(shù)和服務(wù)兩方面保證中國人民銀行西安分行業(yè)務(wù)專網(wǎng)可用性達(dá)到要求。

? 經(jīng)濟(jì)性原則

通過技術(shù)、經(jīng)濟(jì)比較，性能、價(jià)格比較，選擇優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，做到從實(shí)際出發(fā)，制定經(jīng)濟(jì)、合理的方案，為用戶實(shí)現(xiàn)一個(gè)高可用、高安全的專網(wǎng)線路服務(wù)。? 可擴(kuò)充性原則

考慮到中國人民銀行西安分行業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)承載的信息流量不斷增加。中國人民銀行西安分行專線的設(shè)計(jì)中須考慮未來帶寬擴(kuò)容的需要，從網(wǎng)絡(luò)和設(shè)備的配置上都要保留一定的擴(kuò)充余地，便于未來擴(kuò)容需要。

第二篇：西安市交警MSTP組網(wǎng)方案

西安市交警MSTP組網(wǎng)方案

中國電信西安公司 2011年3月

西安市交警MSTP組網(wǎng)方案

一、概要

中國電信股份有限公司西安分公司（以下簡(jiǎn)稱“中國電信西安公司”）非常珍視本次項(xiàng)目機(jī)會(huì)，組織經(jīng)驗(yàn)豐富的業(yè)務(wù)與技術(shù)專家，認(rèn)真分析西安市交警MSTP組網(wǎng)項(xiàng)目的需求，為西安市交警定制了符合實(shí)際、性能最佳的整體解決方案。

1.1 項(xiàng)目技術(shù)支持概要

根據(jù)我們對(duì)西安市交警MSTP組網(wǎng)項(xiàng)目需求的理解，中國電信西安公司為西安市交警定制了整體解決方案。

? 網(wǎng)絡(luò)整體服務(wù)解決方案

中國電信在線路網(wǎng)絡(luò)及數(shù)據(jù)網(wǎng)絡(luò)服務(wù)上，提供處于國內(nèi)領(lǐng)先地位的“一站購齊，全程無憂”一站式服務(wù)解決方案。西安市交警各單位無論在省內(nèi)任何地方，有何種電信服務(wù)需求，需要解決任何問題，只要與當(dāng)?shù)氐闹袊娦耪罂蛻舨靠蛻艚?jīng)理聯(lián)系，都可以快速得到解決。

中國電信向西安市交警各單位提供高品質(zhì)的服務(wù)，竭誠為西安市交警各單位提供“零距離”貼近客戶和“零偏差”規(guī)范的服務(wù)，追求“零中斷”保障與“零時(shí)延”響應(yīng)的極致品質(zhì)。

另外，根據(jù)西安市交警自身的業(yè)務(wù)特性，中國電信還將為西安市交警提供重要事件及重大活動(dòng)中的通信保障服務(wù)。在自然災(zāi)害、抗災(zāi)搶險(xiǎn)等突發(fā)事件中，中國電信裝備齊全的高水平應(yīng)急通信隊(duì)伍還可為西安市交警提供應(yīng)急通信服務(wù)，為西安市交警快速建立高質(zhì)量臨時(shí)通信系統(tǒng)。

1.2 可靠的項(xiàng)目實(shí)施保障

西安市交警MSTP組網(wǎng)方案

? 成立項(xiàng)目領(lǐng)導(dǎo)小組和項(xiàng)目實(shí)施隊(duì)伍

我們對(duì)西安市交警MSTP組網(wǎng)項(xiàng)目極為重視，成立以由中國電信西安公司政企客戶部總經(jīng)理邢春華擔(dān)任組長(zhǎng)的項(xiàng)目領(lǐng)導(dǎo)小組，并抽調(diào)具有豐富項(xiàng)目管理經(jīng)驗(yàn)的項(xiàng)目經(jīng)理組織項(xiàng)目實(shí)施團(tuán)隊(duì)來保障項(xiàng)目的按期優(yōu)質(zhì)實(shí)施。在項(xiàng)目實(shí)施期間，我們將指定政企客戶高級(jí)技術(shù)專家對(duì)項(xiàng)目全權(quán)負(fù)責(zé)并全程保持不變。

? 科學(xué)的項(xiàng)目管理和嚴(yán)格的工程進(jìn)度把關(guān)

中國電信具有豐富的項(xiàng)目管理和實(shí)施經(jīng)驗(yàn)。我們將在項(xiàng)目實(shí)施過程進(jìn)行科學(xué)的項(xiàng)目管理，嚴(yán)格按照雙方約定的工程進(jìn)度安排，保質(zhì)保量完成工程項(xiàng)目的要求。

? 完善的質(zhì)量監(jiān)督管理體系

我們建立有一套完善的服務(wù)質(zhì)量監(jiān)督管理體系，通過缺陷預(yù)防控制、企業(yè)承諾控制、過程控制、體系控制、大客戶營銷服務(wù)規(guī)范、和大客戶滿意度調(diào)查與持續(xù)改進(jìn)等多項(xiàng)措施，提供了嚴(yán)格的質(zhì)量管理和服務(wù)監(jiān)督。? 客戶回訪規(guī)范

我們?cè)谖靼彩薪痪疢STP組網(wǎng)項(xiàng)目建設(shè)后，通過規(guī)范的大客戶回訪制度，及時(shí)跟蹤了解西安市交警最新的業(yè)務(wù)需求與遇到的問題，更好的為西安市交警提供服務(wù)。? 專家級(jí)技術(shù)咨詢與支持

中國電信北京、上海、廣東研究院成立了大客戶技術(shù)支持中心，可以向客戶提供專家級(jí)業(yè)務(wù)咨詢、網(wǎng)絡(luò)疑難問題診斷、個(gè)性化創(chuàng)新業(yè)務(wù)定制以及各種網(wǎng)絡(luò)、應(yīng)用、維護(hù)等方面的專業(yè)培訓(xùn)。

1.3 中國電信該項(xiàng)目?jī)?yōu)勢(shì)概述

西安市交警MSTP組網(wǎng)方案

? 豐富的資源

中國電信網(wǎng)絡(luò)覆蓋范圍廣，光纜總長(zhǎng)度國內(nèi)第一（123萬公里），擁有原中國電信70%的長(zhǎng)途電路資源。擁有70%的國際出口帶寬和運(yùn)營能力，與眾多國際著名電信運(yùn)營商緊密合作，為客戶提供高質(zhì)量的國內(nèi)、國際電信業(yè)務(wù)服務(wù)。

? 覆蓋全國的業(yè)務(wù)能力

中國電信在保持南方21?。ㄊ校┚W(wǎng)絡(luò)資源、人員、管理等方面優(yōu)勢(shì)的基礎(chǔ)上，在2002年，北方10?。ㄊ校┦?、地市公司陸續(xù)成立，迅速組建了一支以運(yùn)行維護(hù)、技術(shù)支持為主的快速響應(yīng)團(tuán)隊(duì)，給客戶提供及時(shí)、高效的服務(wù)；到目前為至，北方十省市補(bǔ)網(wǎng)擴(kuò)容建設(shè)基本完成，通過跟原來保留的骨干網(wǎng)資源融合，形成了覆蓋全國31個(gè)?。ㄊ校┑囊惑w化網(wǎng)絡(luò)，可以向公眾及大客戶提供數(shù)字電路、DDN、ATM、FR等各類業(yè)務(wù)，形成了覆蓋全國的業(yè)務(wù)能力，可為客戶提供全程全網(wǎng)各類通訊業(yè)務(wù)。? 完善的全國服務(wù)體系

中國電信是國內(nèi)最早（2000年）成立集團(tuán)大客戶服務(wù)機(jī)構(gòu)，最先提出全球一站服務(wù)模式---FocOne一站服務(wù)，擁有最完善的全國三級(jí)平面化大客戶服務(wù)體系的電信運(yùn)營商。? 優(yōu)秀的技術(shù)、服務(wù)隊(duì)伍

中國電信擁有7萬多人的網(wǎng)絡(luò)維護(hù)隊(duì)伍，維護(hù)體系健全，網(wǎng)絡(luò)運(yùn)營經(jīng)驗(yàn)豐富，技術(shù)力量強(qiáng)，半軍事化管理，流程化作業(yè)。目前中國電信為黨、政、軍、金融機(jī)構(gòu)、國家大中小型企業(yè)提供了優(yōu)質(zhì)、高效的服務(wù)。

中國電信發(fā)揚(yáng)軍事化管理的優(yōu)良傳統(tǒng)和嚴(yán)謹(jǐn)?shù)墓ぷ髯黠L(fēng)，擁有先進(jìn)的應(yīng)急通信設(shè)備和隊(duì)伍，具備提供重點(diǎn)通信保障的經(jīng)驗(yàn)和能力。? 有力的物質(zhì)保障

西安市交警MSTP組網(wǎng)方案

二、MSTP組網(wǎng)解決方案

2.1 網(wǎng)絡(luò)通信現(xiàn)狀及交警組網(wǎng)需求分析

目前西安市交警數(shù)據(jù)網(wǎng)組網(wǎng)主要采用了以路由器互聯(lián)的組網(wǎng)模式，中心店與各分支點(diǎn)以星型拓?fù)浼軜?gòu)相連，采用了SDH專線電路組網(wǎng)，專線速率為2M，隨著公司的發(fā)展，基于視訊的多媒體傳輸需求越來越迫切，現(xiàn)有的2M專線已經(jīng)不能滿足發(fā)展的需要，需盡快擴(kuò)容、提速并提出其它可探討的組網(wǎng)技術(shù)需求。

根據(jù)目前西安市交警的業(yè)務(wù)現(xiàn)狀和將來發(fā)展需求，決定對(duì)各地電路帶寬從2M提高到10M,并考慮全部采用以交換機(jī)互聯(lián)的模式組網(wǎng)，即中心店和各分支點(diǎn)點(diǎn)均采用以太網(wǎng)交換機(jī)互聯(lián)，采用以太網(wǎng)接口與運(yùn)營商電路接入設(shè)備相連。

根據(jù)西安市交警提出的提速擴(kuò)容需求，我們建議骨干層采用SDH專線模式，保持SDH專網(wǎng)優(yōu)勢(shì)，接入層采用MSAP接入模式。

我們根據(jù)西安市交警提速的具體需求，結(jié)合電信目前主要的通信組網(wǎng)技術(shù)，提出了MSAP的組網(wǎng)解決方案，以供參考。

2.2 西安電信MSTP組網(wǎng)技術(shù)分析

? 全程MSTP/MSAP技術(shù)，充分利用了MSTP/MSAP技術(shù)本身的各種優(yōu)勢(shì)（良好的業(yè)務(wù)保護(hù)能力，帶寬的穩(wěn)定性和可靠性，網(wǎng)管能力強(qiáng)）；

? 提供標(biāo)準(zhǔn)的FE/GE接口，可以大大節(jié)省相關(guān)網(wǎng)絡(luò)設(shè)備的投資(比如中心點(diǎn)無需昂貴的CPOS端口，各接入網(wǎng)點(diǎn)路由器等也無需配置E1等昂貴端口）； ? 方便將來帶寬升級(jí)（如果將來帶寬由10M升級(jí)到50M等，各個(gè)網(wǎng)點(diǎn)的接入設(shè)備不用更換，只需要在匯聚層和核心層等重新調(diào)配鏈路資源即可完成）；

? 端到端的帶寬獨(dú)享，為客戶提供最佳的QoS保證； ? 高靈活性和擴(kuò)展性，高可靠性，高安全性；

西安市交警MSTP組網(wǎng)方案

另外，MSAP方案相比于SDH方案，主要優(yōu)點(diǎn)還有：

? 可以大量節(jié)省大量的DDF配線架和相應(yīng)的機(jī)房面積，降低E1電纜故障率。? 采用155M口上聯(lián)，可以節(jié)省華為等核心網(wǎng)SDH設(shè)備的昂貴的E1接口盤。? 具備更加完善的網(wǎng)管和監(jiān)控性能。

? MSAP方案具有明顯的可擴(kuò)展性。如果將來用戶的帶寬升級(jí)，遠(yuǎn)端的設(shè)備無須更換就可以實(shí)現(xiàn)。而PDH方案中PDH光端機(jī)和協(xié)議轉(zhuǎn)換器設(shè)備大多需要更換。

? MSAP方案還具有綜合價(jià)格優(yōu)勢(shì)。

2.3 西安市交警MSTP組網(wǎng)方案

? 組網(wǎng)拓?fù)洌?/p>

西安市交警MSTP組網(wǎng)方案

MSAP構(gòu)建一個(gè)完善的接入網(wǎng)。

3、MSAP融合了各種類型的接入技術(shù)，可以滿足現(xiàn)在以及將來用戶各種各樣的接入需求,MSAP部署構(gòu)建接入網(wǎng)是一個(gè)滿足現(xiàn)狀和網(wǎng)絡(luò)發(fā)展的建設(shè)方案。

4、MSAP構(gòu)建接入網(wǎng)可以通過專用網(wǎng)管平臺(tái)對(duì)所有專線接入客戶進(jìn)行統(tǒng)一的端到端全程業(yè)務(wù)管理，方便維護(hù)，提高服務(wù)品質(zhì)。

西安市交警MSTP組網(wǎng)方案

結(jié) 束 語

西安市交警作為西安電信的重點(diǎn)大客戶，一直以來都是我們服務(wù)的重點(diǎn)對(duì)象，我們一直以為西安市交警提供優(yōu)質(zhì)、可靠的通信服務(wù)保障作為自身的一項(xiàng)重大責(zé)任。在本次工程中，西安電信充分認(rèn)識(shí)到在西安市交警現(xiàn)有通信網(wǎng)絡(luò)環(huán)境下，“西安市交警MSTP組網(wǎng)項(xiàng)目”對(duì)提高西安市交警內(nèi)部工作效率所起的重要作用，將組織和調(diào)動(dòng)內(nèi)部各種資源為客戶提供全面、高效的技術(shù)支持服務(wù)。

我們希望通過本次工程，以高效、智能、便利、互動(dòng)、安全、貼心的綜合信息服務(wù)贏得本次項(xiàng)目您所給的機(jī)會(huì)。

選擇中國電信就是選擇了優(yōu)質(zhì)、高效、安全、可控、可管理的放心網(wǎng)絡(luò)服務(wù)。

我們也期待與西安市交警在更廣領(lǐng)域開展合作！

第三篇：MSTP、MSAP、SDH光傳輸技術(shù)組網(wǎng)簡(jiǎn)述

MSTP、MSAP、SDH光傳輸技術(shù)大客戶接入方案簡(jiǎn)述

0 前言

大客戶又稱集團(tuán)用戶，是電信運(yùn)營商在電信市場(chǎng)中的商業(yè)客戶，通常是大的行政事業(yè)單位或大的企業(yè)集團(tuán)。相對(duì)于一般用戶，大客戶對(duì)運(yùn)營商而言表現(xiàn)為業(yè)務(wù)量大、業(yè)務(wù)類型復(fù)雜、業(yè)務(wù)質(zhì)量要求高等特點(diǎn)。一般市場(chǎng)中“80％的業(yè)務(wù)來自于20％的客戶”的規(guī)則，在電信市場(chǎng)也同樣適用。毫無疑問，大客戶業(yè)務(wù)是拉動(dòng)各電信運(yùn)營商經(jīng)濟(jì)增長(zhǎng)的重要支撐點(diǎn)，也是目前各運(yùn)營商競(jìng)爭(zhēng)的焦點(diǎn)。因此，如何部署可運(yùn)營、可管理、可持續(xù)發(fā)展的安全、經(jīng)濟(jì)、高效的大客戶解決方案，是電信行業(yè)非常緊迫而且重要的課題。

用戶對(duì)數(shù)據(jù)業(yè)務(wù)不斷增長(zhǎng)的需求來自于通過采用信息化技術(shù)來提高機(jī)構(gòu)運(yùn)作效率，實(shí)現(xiàn)傳統(tǒng)運(yùn)營管理模式向現(xiàn)代化的運(yùn)營管理模式的演變。當(dāng)前，許多企業(yè)已采用以太網(wǎng)、FDDI等局域網(wǎng)技術(shù)組建了公司的內(nèi)部網(wǎng)，同時(shí)企業(yè)的跨地域通信需求隨著其業(yè)務(wù)模式的拓展，對(duì)外聯(lián)絡(luò)的商務(wù)信息的傳遞，遠(yuǎn)程的寬帶語音、數(shù)據(jù)及圖像傳輸需求而變得非常旺盛，愈來愈多的企業(yè)開始考慮如何使用信息技術(shù)來滿足自身發(fā)展的需要。同時(shí)，各企業(yè)由于自身業(yè)務(wù)特點(diǎn)的不同，對(duì)信息的傳輸和管理也存在著個(gè)性化的需求。比如銀行系統(tǒng)的網(wǎng)點(diǎn)遍布市區(qū)，這些網(wǎng)點(diǎn)內(nèi)部需要進(jìn)行具有極高的保密性和安全性的數(shù)據(jù)通信，這就需要運(yùn)營商能夠提供一個(gè)安全的、高度可靠的、可管理的數(shù)據(jù)專網(wǎng)，稅務(wù)、保險(xiǎn)、公安系統(tǒng)等各大型企事業(yè)單位也都存在類似的情況和需求。

局域網(wǎng)之間如何可靠、安全地互聯(lián)，形成全國乃至全球的集團(tuán)用戶內(nèi)部網(wǎng)，來實(shí)現(xiàn)辦公網(wǎng)絡(luò)化，這就需要專業(yè)化的電信網(wǎng)絡(luò)運(yùn)營商來提供質(zhì)優(yōu)價(jià)廉的解決方案。

目前內(nèi)蒙古聯(lián)通配套的SDH傳輸網(wǎng)絡(luò)在全區(qū)已經(jīng)實(shí)現(xiàn)廣泛覆蓋，在長(zhǎng)途干線層、本地網(wǎng)層、城域網(wǎng)層均有豐富的網(wǎng)絡(luò)資源。在發(fā)展大客戶時(shí)，首先要確定大客戶的市場(chǎng)范圍：政府部門、金融用戶、企事業(yè)單位用戶、商住樓、賓館用戶和智能小區(qū)。對(duì)于聯(lián)通而言，過去主要為大客戶提供的是語音及專線業(yè)務(wù)，但隨著越來越多的企業(yè)采用以太網(wǎng)方式組建內(nèi)部網(wǎng)，對(duì)運(yùn)營商提出了安全可靠傳送數(shù)據(jù)業(yè)務(wù)的需求。因此，運(yùn)營商在建設(shè)一個(gè)大客戶傳輸網(wǎng)絡(luò)時(shí)，既要確保支持傳統(tǒng)TDM業(yè)務(wù)傳送，同時(shí)還要支持?jǐn)?shù)據(jù)業(yè)務(wù)的快速增長(zhǎng)。這一問題在城域范圍內(nèi)尤其突出。因此，建設(shè)一個(gè)-1-

能夠覆蓋城市及其郊區(qū)范圍的大客戶多業(yè)務(wù)綜合傳送平臺(tái)就顯得十分重要。目前存在的主要問題

目前支撐大客戶專線業(yè)務(wù)的主要技術(shù)有：數(shù)字?jǐn)?shù)據(jù)（DDN）專線、IP（10/100 Mbit/s）專線、ATM專線等。不同的業(yè)務(wù)需求需要不同的傳輸網(wǎng)絡(luò)來承載，如果為了不同的客戶而建設(shè)不同的網(wǎng)絡(luò)，將存在重復(fù)建設(shè)，維護(hù)困難，無法統(tǒng)一調(diào)度、統(tǒng)一管理的問題。

聯(lián)通的專線業(yè)務(wù)剛剛起步，以IP專線業(yè)務(wù)（10/100 Mbit/s）和2M專線業(yè)務(wù)為主。IP專線價(jià)格便宜，應(yīng)用廣泛，但是其盡力傳送的技術(shù)特點(diǎn)使得其安全性得不到很好的保證，也就是說其QoS達(dá)不到一些對(duì)專線質(zhì)量要求較高的客戶的需求。

另外，當(dāng)前的光邊緣接入由于設(shè)備成本投入的原因，原來采用了大量的PDH接入的方式，但是此方案也存在安全上和管理上的明顯不足。首先，PDH為第一代數(shù)字光通信產(chǎn)品，無法提供網(wǎng)絡(luò)管理，組網(wǎng)能力差，很難提供對(duì)業(yè)務(wù)的保護(hù)。此外PDH速率低，沒有統(tǒng)一的光接口規(guī)范。如果數(shù)據(jù)業(yè)務(wù)的接入采用PDH+E1轉(zhuǎn)換器的方式，會(huì)造成網(wǎng)絡(luò)復(fù)雜、設(shè)備種類多、業(yè)務(wù)可靠性低、網(wǎng)絡(luò)監(jiān)控困難、帶寬僵硬等問題。PDH采用的點(diǎn)對(duì)點(diǎn)方式也限制了網(wǎng)絡(luò)進(jìn)一步發(fā)展。在數(shù)據(jù)業(yè)務(wù)的處理上，目前主要采用的方式為數(shù)據(jù)業(yè)務(wù)10/100M通過網(wǎng)橋轉(zhuǎn)換成N×E1（N<3），上用戶側(cè)PDH傳輸至有以太網(wǎng)交換機(jī)的節(jié)點(diǎn)，通過網(wǎng)橋轉(zhuǎn)換回10/100M接口進(jìn)以太網(wǎng)交換機(jī)。但是網(wǎng)橋（Ethernet協(xié)議轉(zhuǎn)換器）無法進(jìn)行網(wǎng)管，維護(hù)困難。使用Ethernet協(xié)議轉(zhuǎn)換器，一是帶寬受限，上行帶寬固定，帶寬增加須更換網(wǎng)橋，業(yè)務(wù)沒有可擴(kuò)展性，不能提供個(gè)性化服務(wù)；二是轉(zhuǎn)換器無法實(shí)現(xiàn)網(wǎng)管，這與電信網(wǎng)路的可運(yùn)營、可管理的特征不相符，屬于臨時(shí)解決方案。PDH點(diǎn)對(duì)點(diǎn)傳輸，業(yè)務(wù)無法保護(hù)，網(wǎng)絡(luò)擴(kuò)展受限，總帶寬為8M或16M，當(dāng)業(yè)務(wù)增加時(shí)，無法擴(kuò)容；不支持環(huán)形網(wǎng)、鏈狀網(wǎng)及大型星形網(wǎng)絡(luò)結(jié)構(gòu)；網(wǎng)絡(luò)擴(kuò)充性及升級(jí)性差，還占用較多的城域網(wǎng)交換機(jī)端口；以太網(wǎng)交換機(jī)節(jié)點(diǎn)有大量設(shè)備和大量電纜，故障點(diǎn)增多，維護(hù)困難。

綜上所述，目前存在的主要問題是多網(wǎng)疊加，建設(shè)和維護(hù)成本較高；純數(shù)據(jù)專線雖然價(jià)格便宜，但是無法保證專線客戶的高QoS要求。這些問題在原有大客戶傳

輸網(wǎng)中消耗了較多的設(shè)備成本和運(yùn)營成本，對(duì)客戶滿意度和忠誠度的提升非常不力。目前，中國聯(lián)通已經(jīng)開始提升網(wǎng)絡(luò)品質(zhì)，進(jìn)行網(wǎng)絡(luò)擴(kuò)容改造和優(yōu)化，為打造經(jīng)濟(jì)、高效、可運(yùn)營和可管理的大客戶網(wǎng)進(jìn)行了大量的工作。大客戶傳輸組網(wǎng)解決方案

基于目前內(nèi)蒙古聯(lián)通公司的區(qū)內(nèi)傳送網(wǎng)絡(luò)現(xiàn)狀，在建設(shè)新的大客戶傳輸接入網(wǎng)絡(luò)時(shí)，有三種傳輸技術(shù)可供選擇，分別為SDH、MSTP、MSAP技術(shù)。

2.1 MSTP技術(shù)簡(jiǎn)介

多業(yè)務(wù)傳送平臺(tái)（MSTP）是指基于SDH、同時(shí)實(shí)現(xiàn)TDM、ATM、IP等業(yè)務(wù)接入、處理和傳送，提供統(tǒng)一網(wǎng)管的多業(yè)務(wù)傳送平臺(tái)。作為傳送網(wǎng)解決方案，MSTP伴隨著電信網(wǎng)絡(luò)的發(fā)展和技術(shù)進(jìn)步，SDH／MSTP的演進(jìn)經(jīng)歷了三個(gè)階段：

第一階段是傳統(tǒng)SDH設(shè)備，數(shù)據(jù)業(yè)務(wù)通過POS接入，端口昂貴，傳送效率低。

第二階段，MSTP設(shè)備，采用VC虛級(jí)聯(lián)、LCAS、GFP等技術(shù)，增加了以太網(wǎng)二層交換能力、ATM交換能力，實(shí)現(xiàn)RPR處理功能，實(shí)現(xiàn)以太網(wǎng)帶寬的統(tǒng)計(jì)復(fù)用。

第三階段為新一代MSTP設(shè)備，隨著RPR／MPLS技術(shù)的成熟，以及數(shù)據(jù)業(yè)務(wù)量的增多，以太網(wǎng)經(jīng)過RPR／MPLS板卡處理后，不但可以通過交叉矩陣后上線路傳送，在容量加大時(shí)還可以通過Fiber／CWDM／DWDM進(jìn)行傳輸，TDM業(yè)務(wù)仍然進(jìn)入TDM交叉矩陣進(jìn)行調(diào)度。一部分?jǐn)?shù)據(jù)業(yè)務(wù)仍然可通過GFP封裝VC映射傳送，而另一部分業(yè)務(wù)可以通過純的數(shù)據(jù)交換卡、RPR卡、MPLS處理卡、波分OTU卡等多種方式直接進(jìn)行群路傳送。

MSTP技術(shù)通過自身的多業(yè)務(wù)承載能力可解決城域網(wǎng)多種業(yè)務(wù)的匯聚，實(shí)現(xiàn)傳統(tǒng)SDH所無法實(shí)現(xiàn)的綜合業(yè)務(wù)的傳送。綜合來說，基于SDH 的MSTP 具有以下技術(shù)特點(diǎn)：

（1）具有較大的交叉連接容量，能夠支持VC-4/VC-3/VC-12 各種等級(jí)的交叉連接以及連續(xù)級(jí)聯(lián)或虛級(jí)聯(lián)處理；

（2）提供豐富的多業(yè)務(wù)（SDH、ATM、以太網(wǎng)/IP、圖像業(yè)務(wù)等）接口，可以通過增加或更換接口模塊，靈活適應(yīng)業(yè)務(wù)的發(fā)展變化；

（3）具有以太網(wǎng)和ATM 業(yè)務(wù)的透明傳輸或二層交換能力，其傳輸鏈路的帶寬可配置，并支持VLAN、流量控制、業(yè)務(wù)和端口的匯聚或統(tǒng)計(jì)復(fù)用功能；

（4）具備多種完善的保護(hù)機(jī)制（SDH、ATM、以太網(wǎng)/IP）和靈活的組網(wǎng)特性；

（5）可實(shí)現(xiàn)統(tǒng)一、智能的網(wǎng)絡(luò)管理，具有良好的兼容性和互操作性。

隨著城域數(shù)據(jù)業(yè)務(wù)的開展，MSTP以太網(wǎng)匯聚傳送技術(shù)和RPR動(dòng)態(tài)分組環(huán)網(wǎng)技術(shù)等數(shù)據(jù)處理功能，將會(huì)得到廣泛的應(yīng)用。

2.2 MSAP技術(shù)簡(jiǎn)介

綜合業(yè)務(wù)接入平臺(tái)MSAP（Multi-ServiceAccessPlatform）技術(shù)顧名思義，是基于SDH平臺(tái)實(shí)現(xiàn) PDH 光口、STM-1 光口、E1 等多種業(yè)務(wù)的接入、匯聚，同時(shí)實(shí)現(xiàn)TDM、以太網(wǎng)等數(shù)據(jù)業(yè)務(wù)的接入處理和傳送，并提供統(tǒng)一網(wǎng)管的多業(yè)務(wù)節(jié)點(diǎn)；是MSTP技術(shù)的向下延伸，能使接入網(wǎng)與SDH傳輸網(wǎng)的全光無縫連接，管理統(tǒng)一；減少機(jī)房的DDF配線架和大量的2M線，減少投資，減少故障率。MSAP技術(shù)提供了更好的邊緣接入網(wǎng)解決方案，便于運(yùn)營商針對(duì)不同客戶采取靈活的接入策略。

基于MSAP技術(shù)的設(shè)備一般體積較小，成本較低，其核心設(shè)計(jì)思想是MSTP技術(shù)，由于靠近接入網(wǎng)的邊緣，MSAP系統(tǒng)盡可能多地提供各種物理接口來滿足不同終端接入用戶的設(shè)備要求。在保證兼容基于傳統(tǒng)SDH網(wǎng)業(yè)務(wù)的同時(shí)，能夠提供多業(yè)務(wù)靈活接入，相對(duì)于以前的PDH+協(xié)議轉(zhuǎn)換器的接入方式而言，它提供了網(wǎng)絡(luò)的可管理性、帶寬的可擴(kuò)展性以及業(yè)務(wù)的互通性，可減少將現(xiàn)有SDH設(shè)備重新升級(jí)為MSTP設(shè)備的成本，對(duì)于電信運(yùn)營商的設(shè)備升級(jí)低成本是很重要的。

MSAP設(shè)備適用于大客戶分布點(diǎn)較分散，且數(shù)據(jù)帶寬需求非常高的場(chǎng)合或者用于總部與分支的網(wǎng)絡(luò)。其組網(wǎng)特點(diǎn)是各節(jié)點(diǎn)都能獨(dú)自獲得高達(dá)155M或622M的接入帶寬，用戶間相互沒有干擾；缺點(diǎn)是需要星型光纖，網(wǎng)絡(luò)不能成環(huán)，無法作SDH或數(shù)據(jù)保護(hù)，針對(duì)重點(diǎn)用戶高可靠性業(yè)務(wù)可采用雙回路的方案實(shí)現(xiàn)業(yè)務(wù)和端口的保護(hù)。與傳統(tǒng)的PDH設(shè)備相比，為用戶節(jié)省了基帶Modem（E1到V.35轉(zhuǎn)換）、路由器（V.35到Ethernet轉(zhuǎn)換）或EOE（E1到Ethernet）等設(shè)備的投資。數(shù)據(jù)帶寬靈活，可通過網(wǎng)管指配N×2M（N<48，滿帶寬）。設(shè)備數(shù)量少、體積小、功耗低、維護(hù)方便。

2.3SDH、MSTP、MSAP三種技術(shù)組網(wǎng)應(yīng)用

近年來，伴隨著主體電信業(yè)務(wù)由原來的以話音等TDM 業(yè)務(wù)為主，迅速向以IP、分組等寬帶數(shù)據(jù)業(yè)務(wù)轉(zhuǎn)換的情況下，選擇以SDH為基礎(chǔ)的MSTP建設(shè)方案是穩(wěn)妥且可持續(xù)發(fā)展的城域傳輸系統(tǒng)建設(shè)策略。

基于SDH 的MSTP 比較適合于已大量敷設(shè)SDH 網(wǎng)絡(luò)的電信運(yùn)營商，可以靈活有效的支持迅速發(fā)展的分組數(shù)據(jù)業(yè)務(wù)，同時(shí)可以保證對(duì)多業(yè)務(wù)的統(tǒng)一網(wǎng)絡(luò)管理，實(shí)

現(xiàn)從電路交換網(wǎng)向分組交換網(wǎng)的平滑過渡。在本地、城域傳輸系統(tǒng)中應(yīng)用MSTP設(shè)備時(shí)，需根據(jù)業(yè)務(wù)需要和光纜資源情況來選擇合適的組網(wǎng)方案，要充分考慮現(xiàn)有SDH資源的消化利用、新增投資的最小化、網(wǎng)絡(luò)的安全穩(wěn)定性以及技術(shù)的可實(shí)現(xiàn)性等問題，堅(jiān)持以應(yīng)用推動(dòng)網(wǎng)絡(luò)建設(shè)的原則，積極整合和優(yōu)化現(xiàn)有傳輸設(shè)備、傳輸通路組織和光纜線路資源，并注意與現(xiàn)有SDH設(shè)備的融合。能夠利用現(xiàn)有設(shè)備升級(jí)而代價(jià)又比較小的話，應(yīng)盡量采取升級(jí)方式來實(shí)現(xiàn)MSTP功能，努力提高傳輸設(shè)備和通道的利用率。

如前所述，MSAP技術(shù)其核心設(shè)計(jì)理念為MSTP技術(shù)，是為城域網(wǎng)接入層解決傳統(tǒng)TDM業(yè)務(wù)和數(shù)據(jù)以太網(wǎng)業(yè)務(wù)接入而設(shè)計(jì)的，更趨向于應(yīng)用在城域接入網(wǎng)層面。MSAP技術(shù)可以提高大客戶接入業(yè)務(wù)的可靠性和以太網(wǎng)業(yè)務(wù)的互通性，減少網(wǎng)絡(luò)故障；提高運(yùn)營維護(hù)能力，縮短故障排除時(shí)間；提高網(wǎng)絡(luò)安全性和保護(hù)能力；適應(yīng)不同客戶對(duì)網(wǎng)絡(luò)質(zhì)量的差異化需求以及未來網(wǎng)絡(luò)發(fā)展的需要。

在具體的大客戶組網(wǎng)應(yīng)用中，可根據(jù)我公司的自身情況，實(shí)現(xiàn)SDH、MSTP、MSAP混合組網(wǎng)。其中：

SDH、MSTP設(shè)備更適合應(yīng)用于網(wǎng)絡(luò)的核心、匯聚層面，或是大客戶的核心節(jié)點(diǎn)，組成基于10G/2.5G的環(huán)網(wǎng)，實(shí)現(xiàn)大容量的交叉連接和規(guī)范的網(wǎng)絡(luò)管理；在新建網(wǎng)元時(shí)，建議采用MSTP設(shè)備，新一代的MSTP設(shè)備無論是在交叉與組網(wǎng)能力方面，在業(yè)務(wù)接入能力與類型方面，還是在網(wǎng)絡(luò)保護(hù)方面，在產(chǎn)品兼容性和互聯(lián)互通方面都優(yōu)于傳統(tǒng)的SDH設(shè)備，是替代SDH設(shè)備的最佳選擇。

對(duì)于接入層網(wǎng)絡(luò)，則可根據(jù)接入業(yè)務(wù)量的大小采用集成型MSTP設(shè)備或是MSAP設(shè)備，通過STM-1/4光口上聯(lián)至核心、匯聚層的SDH/MSTP設(shè)備，組成環(huán)形網(wǎng)或者星形、鏈狀網(wǎng)，靈活實(shí)現(xiàn)業(yè)務(wù)的調(diào)度和處理，減少同軸電纜、DDF架和機(jī)房空間等綜合投入，通過網(wǎng)管系統(tǒng)可實(shí)現(xiàn)故障出現(xiàn)后的快速定位和修復(fù)，特別是針對(duì)不同行業(yè)對(duì)不同業(yè)務(wù)接口的需求，MSAP在一個(gè)網(wǎng)絡(luò)上可以統(tǒng)一提供對(duì)包括E1/V35電路、以太網(wǎng)、ATM在內(nèi)的多種通道的透?jìng)?、捆綁和?fù)用的支持和管理。結(jié)束語

隨著數(shù)據(jù)業(yè)務(wù)和專線業(yè)務(wù)的發(fā)展，MSTP、MSAP傳輸技術(shù)在服務(wù)質(zhì)量、網(wǎng)絡(luò)管理和提供多業(yè)務(wù)差分服務(wù)方面的優(yōu)勢(shì)將越來越得到運(yùn)營商青睞。尤其在原來傳統(tǒng)的數(shù)據(jù)網(wǎng)絡(luò)改造和擴(kuò)容的過程中，MSTP、MSAP將扮演關(guān)鍵的角色。新的傳送網(wǎng)需要新的MSTP設(shè)備來建設(shè)，新的MSTP/MSAP傳送網(wǎng)將為運(yùn)營商帶來更高的投資回報(bào)。

第四篇：XX證券VPN組網(wǎng)解決方案

XX證券VPN組網(wǎng)解決方案

第一章 前言

以Internet為基礎(chǔ)的信息高速公路的迅猛發(fā)展，正以前所未有的速度和能力改變著人們的生活和工作方式，我們真正處于一個(gè)“信息爆炸”的時(shí)代。

一方面，Internet使得人們能夠跨越時(shí)空的限制，為學(xué)習(xí)、生活和工作帶來空前的便利；許多企事業(yè)單位不僅僅充分利用Internet的豐富資源，同時(shí)，為了企事業(yè)單位內(nèi)部的資源共享和信息傳輸，也紛紛建起了企事業(yè)單位內(nèi)部Intranet，達(dá)到企事業(yè)單位內(nèi)部資源的高度共享。甚至一些信息化建設(shè)程度較高的企事業(yè)單位已經(jīng)建起了Extranet，與其他政府機(jī)構(gòu)、合作伙伴也進(jìn)行了資源共享。

另一方面，面對(duì)信息的汪洋大海，人們往往感到無所適從，出現(xiàn)“信息迷向”的現(xiàn)象。更嚴(yán)重的是Internet是一個(gè)無國界的虛擬信息社會(huì)，現(xiàn)實(shí)社會(huì)中的各種問題都會(huì)在Internet上通過電子手段予以重現(xiàn)，信息犯罪愈演愈烈。網(wǎng)絡(luò)的開放性，互連性，共享性程度的擴(kuò)大，使網(wǎng)絡(luò)的重要性和對(duì)社會(huì)的影響也越來越大，信息安全問題變得越來越重要。信息安全問題不僅僅涉及到國家的經(jīng)濟(jì)安全、金融安全，還涉及到國家的國防安全、政治安全和文化安全。對(duì)于企事業(yè)單位的重要信息和資源，也構(gòu)成了巨大威脅，致使一些企事業(yè)單位單位不敢聯(lián)網(wǎng)，把網(wǎng)絡(luò)互聯(lián)的優(yōu)勢(shì)完全拋棄，形成了一個(gè)一個(gè)信息孤島。

政府信息化的發(fā)展已經(jīng)成為當(dāng)代信息化的最重要的領(lǐng)域之一。據(jù)聯(lián)合國教科文組織在2000年的調(diào)查，89%的國家都在不同程度地推進(jìn)政府信息化的發(fā)展，并將其列為國家級(jí)的重要工作。

江澤民總書記明確指出：“四個(gè)現(xiàn)代化，那一化也離不開信息化?！蔽覈恼?wù)現(xiàn)代化也離不開信息化。

“兩會(huì)”前，朱總理提出：“電子政務(wù)的發(fā)展正在成為當(dāng)代信息化的最重要的領(lǐng)域之一。為了適應(yīng)國際形勢(shì)和我國經(jīng)濟(jì)建設(shè)與社會(huì)發(fā)展的需要，我國必須加快電子政務(wù)的發(fā)展?！痹诮衲甑摹墩ぷ鲌?bào)告》中，朱總理更明確指出，要“加快政府管理信息化建設(shè)，推廣電子政務(wù)，提高工作效率和監(jiān)管有效性?！?/p>

如何有效地利用網(wǎng)絡(luò)互聯(lián)的優(yōu)勢(shì)，提升XX證券系統(tǒng)信息化建設(shè)的速度,同時(shí)保證網(wǎng)絡(luò)和信息的安全共享，是擺在我們面前的迫切問題。虛擬私有網(wǎng)絡(luò)(Virtual Private Network,VPN)的出現(xiàn)，為我們提供了一個(gè)安全、經(jīng)濟(jì)、快捷、靈活的網(wǎng)絡(luò)安全互聯(lián)組網(wǎng)方案。結(jié)合的XX證券實(shí)際需求和現(xiàn)狀網(wǎng)絡(luò)，通過對(duì)必要性和可行性，實(shí)施效果、成本和風(fēng)險(xiǎn)，硬件和網(wǎng)絡(luò)方案等進(jìn)行了充分的調(diào)研和論證，提出了《XX證券VPN組網(wǎng)解決方案》。

根據(jù)項(xiàng)目計(jì)劃，將在XX證券中心機(jī)房和全國各營業(yè)點(diǎn)部署VPN安全網(wǎng)關(guān)，實(shí)施安全訪問控制和各點(diǎn)之間的加密通信。

第二章 項(xiàng)目情況介紹

2.1 目前網(wǎng)絡(luò)的現(xiàn)狀

目前，XX證券總部在電信申請(qǐng)了2個(gè)互聯(lián)網(wǎng)線路，一條線路用于同其他各營業(yè)點(diǎn)（在全國共27個(gè)）進(jìn)行OA系統(tǒng)的信息傳輸，另外一條線路用戶內(nèi)部員工訪問互聯(lián)網(wǎng)。其他各營業(yè)點(diǎn)均在本地電信申請(qǐng)ADSL線路。

目前的網(wǎng)絡(luò)示意圖如下：

圖2-1 XX證券網(wǎng)絡(luò)示意圖 2.2 目前網(wǎng)絡(luò)系統(tǒng)存在的需求

1、應(yīng)用需求 目前，XX證券全國各營業(yè)點(diǎn)需要實(shí)時(shí)訪問XX證券總部（武漢）應(yīng)用服務(wù)器（OA服務(wù)器、mail服務(wù)器等）。利用傳統(tǒng)的公網(wǎng)是無法快捷、安全地訪問內(nèi)部服務(wù)器。因?yàn)樗袛?shù)據(jù)在傳輸過程中都是以明文的，如果別有用心的人利用Sniffer等網(wǎng)絡(luò)監(jiān)聽分析工具，極易篡改、竊取甚至破壞關(guān)鍵數(shù)據(jù)，給造成不可估量的損失。針對(duì)的相關(guān)應(yīng)用需求，我們建議采用VPN的組網(wǎng)方式，可以安全、方便地在XX證券和全國27各營業(yè)點(diǎn)之間的“虛擬專用網(wǎng)絡(luò)”。

2、安全需求

目前XX證券應(yīng)用系統(tǒng)和重要數(shù)據(jù)都以明文在網(wǎng)絡(luò)進(jìn)行直接傳輸，因應(yīng)用系統(tǒng)的網(wǎng)絡(luò)傳輸數(shù)據(jù)體現(xiàn)了XX證券的重要情況和保密敏感信息，屬于高度機(jī)密，以明文在公共網(wǎng)絡(luò)上直接傳輸存在著很大的隱患，黑客或網(wǎng)絡(luò)運(yùn)營商中的某些有不良居心的人員可以利用專用軟件在網(wǎng)絡(luò)結(jié)點(diǎn)設(shè)備或線路上截獲應(yīng)用系統(tǒng)或重要數(shù)據(jù)，如果這些數(shù)據(jù)被公布或透露給外界，對(duì)于來說，后果是非常嚴(yán)重的。

另一方面，各營業(yè)點(diǎn)網(wǎng)絡(luò)直接和internet相連，這樣就存在極大的安全隱患，外部網(wǎng)絡(luò)可以隨意訪問內(nèi)部網(wǎng)絡(luò)，甚至控制內(nèi)部服務(wù)器，然后已內(nèi)部主機(jī)作為跳板，轉(zhuǎn)而攻擊網(wǎng)絡(luò)總部的服務(wù)器，那么整個(gè)系統(tǒng)將無安全性可言。

綜上所述，如何很好地解決“信息的共享和信息的安全問題”是本方案重點(diǎn)討論要解決的問題。使整個(gè)網(wǎng)絡(luò)的安全達(dá)到一個(gè)全面加強(qiáng)，使網(wǎng)絡(luò)系統(tǒng)的每個(gè)部分都不會(huì)成為“木桶的最短一塊木板”是本系統(tǒng)方案要實(shí)現(xiàn)的目標(biāo)。

第三章 設(shè)計(jì)原則和設(shè)計(jì)思想

系統(tǒng)的總體設(shè)計(jì)思想是要體現(xiàn)技術(shù)的先進(jìn)性和決策的前瞻性，著力于“實(shí)用性、高起點(diǎn)、前瞻性、擴(kuò)展性”。具體的我們遵循了以下原則： 3.1 安全性原則

在網(wǎng)絡(luò)運(yùn)行的各個(gè)環(huán)節(jié)中，都應(yīng)該嚴(yán)格注意安全的問題，防止其中的任一過程存在著安全的漏洞，從而影響整個(gè)區(qū)政府正常辦公的大局。

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的提高，網(wǎng)絡(luò)的安全性也越來越值得人們注意和防范，在該方案中，安達(dá)通公司時(shí)刻強(qiáng)調(diào)高度的安全性。我們?cè)谶M(jìn)行系統(tǒng)設(shè)計(jì)時(shí)將提供多種手段保障系統(tǒng)的安全，對(duì)相關(guān)的網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、應(yīng)用數(shù)據(jù)庫提供嚴(yán)密的保護(hù)。同時(shí)，采用國際上最新的主流VPN技術(shù)，確保用戶能充分利用網(wǎng)絡(luò)的互通性和易用性，同時(shí)可以為用戶盡可能地降低系統(tǒng)投入成本，實(shí)現(xiàn)高效益。網(wǎng)絡(luò)安全需要依靠綜合手段才能夠?qū)崿F(xiàn)。一方面需要好的安全技術(shù)產(chǎn)品，好的安全策略；另一方面，更為重要的是要有完善的安全管理制度。3.2 實(shí)用性原則

系統(tǒng)在設(shè)計(jì)上一方面將滿足雙向的數(shù)據(jù)傳送、實(shí)時(shí)處理的要求；另一方面，又采用國際上最先進(jìn)的技術(shù)，使系統(tǒng)完成后，保持一定時(shí)期的領(lǐng)先地位。

尤其是采用了目前國際上領(lǐng)先的“安全網(wǎng)關(guān)”技術(shù)，將“Firewall+VPN+IDS”技術(shù)的充分糅合，較單純的Firewall技術(shù)具有不可比擬的優(yōu)勢(shì)，體現(xiàn)在：不僅具有FireWall的保護(hù)內(nèi)網(wǎng)、提供服務(wù)的功能，而且利用VPN技術(shù)，可以解決Firewall所不能解決的外網(wǎng)用戶的安全接入問題（在本方案中，導(dǎo)致可以直接省略“撥號(hào)服務(wù)器”），同時(shí)可以不受接入數(shù)量限制，這使整個(gè)網(wǎng)絡(luò)系統(tǒng)的可用性大幅度提高。利用IDS技術(shù)，不僅強(qiáng)化了本身的抗攻擊能力，而且可以與IDS系統(tǒng)互動(dòng)。

實(shí)用性原則既要做到先進(jìn)技術(shù)與現(xiàn)有成熟技術(shù)相兼顧，又要使系統(tǒng)的高性能與實(shí)用性相結(jié)合。

3.3 可靠性原則

這套網(wǎng)絡(luò)安全系統(tǒng)是網(wǎng)絡(luò)的門戶。它的穩(wěn)定可靠關(guān)系重大，特別是WEB網(wǎng)上服務(wù)等具體業(yè)務(wù)項(xiàng)目，隨著使用的普及，信息平臺(tái)的運(yùn)行不穩(wěn)定甚至癱瘓將嚴(yán)重影響政府的形象，也將給為政府帶來不便和不可低估的損失。因此可靠性是平臺(tái)運(yùn)行的首要保證。

我公司將采用相應(yīng)的手段保證系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)的穩(wěn)定可靠性，采用負(fù)載均衡技術(shù)、備份技術(shù)就是其中的重要策略。3.4 可擴(kuò)展性原則

網(wǎng)絡(luò)安全建設(shè)應(yīng)該是統(tǒng)一規(guī)劃、分步實(shí)施、逐步完善的的過程。我公司在該方案的設(shè)計(jì)中充分考慮它的可擴(kuò)展性，在實(shí)現(xiàn)基本的網(wǎng)絡(luò)被動(dòng)防護(hù)系統(tǒng)（安裝防火墻、VPN安全網(wǎng)關(guān)及其管理平臺(tái)）以及信息傳輸加密的前提下，為以后進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)的主動(dòng)防護(hù)系統(tǒng)，主要包括IDS、漏洞掃描系統(tǒng)和統(tǒng)一的安全策略管理系統(tǒng)都留有相應(yīng)的接口，便于以后的擴(kuò)展以及與IDS等設(shè)備實(shí)現(xiàn)互動(dòng)。3.5 易管理性原則

網(wǎng)絡(luò)系統(tǒng)的管理和維護(hù)工作也是至關(guān)重要的。在系統(tǒng)設(shè)計(jì)時(shí)既要充分考慮平臺(tái)的易管理性，為平臺(tái)維護(hù)者提供方便的管理工具；同時(shí)又要設(shè)計(jì)規(guī)范但不失靈活的工作流程。另外，通過網(wǎng)管平臺(tái)，可以實(shí)現(xiàn)遠(yuǎn)程安全管理和本地管理等多種管理手段。第四章 XX證券VPN組網(wǎng)建設(shè)方案

4.1 VPN技術(shù)簡(jiǎn)介

VPN（虛擬專用網(wǎng)）技術(shù)是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道），將遠(yuǎn)程的分支機(jī)構(gòu)、商業(yè)伙伴、移動(dòng)辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。在該網(wǎng)中的主機(jī)將不再感覺到公共網(wǎng)絡(luò)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)之中。對(duì)企業(yè)而言，VPN可以替代傳統(tǒng)租用線來連接計(jì)算機(jī)或局域網(wǎng)等。而任何VPN業(yè)務(wù)都是基于隧道技術(shù)實(shí)現(xiàn)的，隧道機(jī)制是VPN實(shí)施的關(guān)鍵。數(shù)據(jù)通過安全的“加密管道”在公共網(wǎng)絡(luò)中傳播。企業(yè)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，各地的機(jī)構(gòu)就可以互相傳遞信息；同時(shí)，企業(yè)還可以利用公眾信息網(wǎng)的撥號(hào)接入設(shè)備，讓自己的用戶撥號(hào)到公眾信息網(wǎng)上，就可以連接進(jìn)入企業(yè)網(wǎng)中。使用VPN有節(jié)省成本、提供遠(yuǎn)程訪問、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處，是目前和今后企業(yè)網(wǎng)絡(luò)發(fā)展的趨勢(shì)。

在眾多的VPN解決方案中，IP-VPN脫穎而出，成為眾多企業(yè)組建VPN的首選方案。IP-VPN是指在運(yùn)行IP協(xié)議的網(wǎng)絡(luò)上實(shí)現(xiàn)的VPN。世界上最大的IP網(wǎng)絡(luò)就是Internet。由于Internet正在使用的IPv4協(xié)議在設(shè)計(jì)初期并沒有過多地考慮安全問題，因此無法為用戶解決他們所擔(dān)心的數(shù)據(jù)安全保密性。IP-VPN在使用了一些額外的安全技術(shù)后，解決了這一難題。

目前，國際主流的大多是基于Ipsec的VPN技術(shù)，該技術(shù)正在迅速走向成熟，而且它正處于興盛期。

圖4-1 VPN組網(wǎng)示意圖

虛擬專網(wǎng)的重點(diǎn)在于建立安全的數(shù)據(jù)傳輸通道，構(gòu)造這條安全通道的協(xié)議必須具備以下條件：

保證數(shù)據(jù)的真實(shí)性：通信主機(jī)必須是經(jīng)過授權(quán)的，要有抵抗地址冒認(rèn)（IP Spoofing）的能力。

保證數(shù)據(jù)的完整性:接收到的數(shù)據(jù)必須與發(fā)送時(shí)的一致，要有抵抗不法分子纂改數(shù)據(jù)的能力。

保證通道的機(jī)密性:提供強(qiáng)有力的加密手段，必須使偷聽者不能破解攔截到的通道數(shù)據(jù)。

提供動(dòng)態(tài)密匙交換功能:提供密匙中心管理服務(wù)器，必須具備防止數(shù)據(jù)重演（Replay）的功能，保證通道不能被重演。

提供安全防護(hù)措施和訪問控制:要有抵抗黑客通過VPN通道攻擊企業(yè)網(wǎng)絡(luò)的能力，并且可以對(duì)VPN通道進(jìn)行訪問控制（Access Control）。

虛擬專用網(wǎng)VPN可以使在Internet中的信息交換有安全保障，大多數(shù)的VPN產(chǎn)品支持IPSec。最初VPN技術(shù)被設(shè)想為Intenet節(jié)點(diǎn)的連接方式，后來它很快被公認(rèn)為是一種遠(yuǎn)端的接入技術(shù)，例如在一個(gè)遠(yuǎn)程的PC或筆記本電腦用戶與他的公司本部之間建立的加密通道。目前，VPN技術(shù)正在迅速走向成熟，而且它正處于興盛期。

安達(dá)通公司作為國內(nèi)領(lǐng)先的專業(yè)VPN廠商，投入了很大的人力、財(cái)力，經(jīng)過一段時(shí)間的研究和攻關(guān)，提出了國內(nèi)領(lǐng)先的全動(dòng)態(tài)地址VPN的解決方案。安達(dá)通公司的解決方案不但真正解決了全動(dòng)態(tài)VPN的組網(wǎng)問題，還融入了PKI技術(shù)，采用基于數(shù)字證書的身份認(rèn)證機(jī)制，解決了大規(guī)模VPN應(yīng)用中的設(shè)備管理和網(wǎng)絡(luò)管理的難題。4.2 產(chǎn)品選型

上海安達(dá)通信息安全技術(shù)有限公司（簡(jiǎn)稱ADT）是一家專業(yè)致力于解決企業(yè)互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的網(wǎng)絡(luò)信息傳輸和管理的公司。公司將自己定位為：基于PKI的網(wǎng)絡(luò)安全傳輸平臺(tái)供應(yīng)商。目前已經(jīng)擁有“PKI安全網(wǎng)關(guān)SGW系列、安全網(wǎng)關(guān)客戶端軟件、PKI網(wǎng)管平臺(tái)、單/雙密鑰體系的企業(yè)CA系統(tǒng)、數(shù)字證書載體SureID系列、證書中間件”等產(chǎn)品。形成了一個(gè)以CA為核心，證書為靈魂，網(wǎng)絡(luò)類安全設(shè)備和桌面安全軟件/設(shè)備相互聯(lián)動(dòng)、密切配合的構(gòu)建在PKI平臺(tái)上的網(wǎng)絡(luò)安全系統(tǒng)。

安全網(wǎng)關(guān)是一種結(jié)合防火墻、VPN技術(shù)的綜合的網(wǎng)絡(luò)邊界安全設(shè)備，并且具有和入侵檢測(cè)系統(tǒng)（IDS）互動(dòng)的功能；隨著系統(tǒng)的升級(jí)，ADT安全網(wǎng)關(guān)SGW系列產(chǎn)品，還將整合防病毒網(wǎng)關(guān)的功能以及基本的入侵檢測(cè)功能來增強(qiáng)“安全網(wǎng)關(guān)”自身的穩(wěn)定性、安全性和抗攻擊性。作為網(wǎng)絡(luò)的邊界安全設(shè)備，安全網(wǎng)關(guān)將具有綜合的安全作用，使網(wǎng)絡(luò)的安全和投入，獲得最佳的安全和效益。

另外，安達(dá)通公司的“安全網(wǎng)關(guān)”具有一個(gè)很明顯的技術(shù)優(yōu)勢(shì)――解決了目前國際上的VPN技術(shù)的難題――非固定IP間的VPN通訊連接（如：通訊雙方均采用ADSL進(jìn)行連接）。

故此，我們建議目前的各XX證券組網(wǎng)方式改為VPN組網(wǎng)方案。

VPN組網(wǎng)除了以太網(wǎng)絡(luò)聯(lián)網(wǎng)方式外，還可以用于專用線路、幀中繼/ATM鏈路或普通的舊式電話網(wǎng)（PSTN）提供的服務(wù)：如Modem撥號(hào)方式、ISDN、ADSL等。利用專線、幀中繼/ATM或以太網(wǎng)方式，從經(jīng)濟(jì)上和功能上不太適合的組網(wǎng)需求，利用電話線路的組網(wǎng)方式中，由于Modem撥號(hào)方式從技術(shù)上、管理上、安全上不太適合目前業(yè)務(wù)發(fā)展的需要。ADSL是電信力推的企事業(yè)單位上網(wǎng)模式，不但速度快、性能好、實(shí)時(shí)性好，針對(duì)的應(yīng)用特點(diǎn)和聯(lián)網(wǎng)規(guī)模，從經(jīng)濟(jì)上也是前幾種組網(wǎng)方式所不能比擬的。

針對(duì)的實(shí)際需求和具體應(yīng)用，我們推薦此方案采用安達(dá)通公司的SGW25C、SGW25B、SGW25A等型號(hào)的硬件產(chǎn)品。4.3 網(wǎng)絡(luò)規(guī)劃與產(chǎn)品部署

1、總部設(shè)計(jì)方案

考慮到目前總部服務(wù)器的高安全性、高載荷和將來的發(fā)展，建議在總部業(yè)務(wù)線路（100M線路上）放置兩臺(tái)安達(dá)通SGW25C型VPN安全網(wǎng)關(guān)。為了避免出現(xiàn)單點(diǎn)故障，兩網(wǎng)關(guān)作雙機(jī)熱備。

利用安達(dá)通安全網(wǎng)關(guān)的VPN技術(shù)建立總部和下面各營業(yè)點(diǎn)的“安全隧道”，實(shí)現(xiàn)總部和營業(yè)點(diǎn)之間安全的VPN“虛擬專用通道”。

利用安達(dá)通安全網(wǎng)關(guān)的防火墻功能實(shí)現(xiàn)基本的訪問控制和安全隔離。普通數(shù)據(jù)包通過防火墻模塊到達(dá)XX證券內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)包狀態(tài)檢測(cè)和訪問控制功能。只有需要加密的數(shù)據(jù)和信息才可以通過安達(dá)通VPN網(wǎng)關(guān)到總部?jī)?nèi)部網(wǎng)絡(luò)，對(duì)于非法的數(shù)據(jù)包則可以利用VPN安全策略將其進(jìn)行過濾和處理。

另外，作為VPN備份線路，建議在總部的另外一個(gè)出口（10M線路，用于內(nèi)部訪問互聯(lián)網(wǎng)）處步署一臺(tái)安達(dá)通SGW25B安全網(wǎng)關(guān)，當(dāng)業(yè)務(wù)線路出現(xiàn)故障（如路由器出現(xiàn)故障，被攻擊，或者電信部門調(diào)整線路）時(shí)，下面各營業(yè)點(diǎn)可以同該網(wǎng)關(guān)（SGW25B）建立VPN通道，從而連接到內(nèi)部網(wǎng)絡(luò)。

2、全國各營業(yè)點(diǎn)網(wǎng)絡(luò)設(shè)計(jì)方案

目前各營業(yè)點(diǎn)的使用adsl接入互聯(lián)網(wǎng)，鑒于其網(wǎng)絡(luò)流量不是很大的特點(diǎn)，建議在各營業(yè)點(diǎn)步署安達(dá)通公司SGW25A安全網(wǎng)關(guān)，利用其VPN功能，可以通總部建立VPN通道，從而安全的連接到總部?jī)?nèi)部網(wǎng)絡(luò)；另外，利用其強(qiáng)大的防火墻功能，可以保護(hù)營業(yè)點(diǎn)內(nèi)部網(wǎng)絡(luò)。VPN組網(wǎng)結(jié)構(gòu)如下： 圖4-2 XX證券VPN組網(wǎng)結(jié)構(gòu)示意圖

第五篇：OA辦公自動(dòng)化系統(tǒng)組網(wǎng)解決方案

oa 辦公自動(dòng)化系統(tǒng)利用先進(jìn)的技術(shù)，使人的各種辦公業(yè)務(wù)活動(dòng)逐步由各種設(shè)備、各種人機(jī)信息系統(tǒng)來協(xié)助完成，達(dá)到充分利用信息，提高工作效率和工作 質(zhì)量，提高生產(chǎn)率的目的。作為企業(yè)信息化的重要組成部分，oa系統(tǒng)一直都是必須的一項(xiàng)業(yè)務(wù)。隨著企業(yè)的發(fā)展，開設(shè)分公司、新辦事處、在家辦公、移動(dòng)辦公等都成了一種新的需求。因此，oa系統(tǒng)的應(yīng)用不僅僅局限于某個(gè)公司總部或單位總局小型局域網(wǎng)了，現(xiàn)在總部都需要實(shí)現(xiàn)和分支機(jī)構(gòu)的互聯(lián)，使oa系統(tǒng)中的個(gè)人辦公、公文系統(tǒng)、綜合業(yè)務(wù)、行政管理、綜合信息等資源共享，讓公司管理更加統(tǒng)一規(guī)范，保證物流、信息流的實(shí)時(shí)更新，確保公司市場(chǎng)信息的及時(shí)傳遞，營銷方案的及時(shí)執(zhí)行，提高工作效率；對(duì)于政府機(jī)構(gòu)來講，需要實(shí)現(xiàn)和分局的實(shí)時(shí)聯(lián)絡(luò)，保證公文流轉(zhuǎn)的時(shí)效性和安全性等等。

要實(shí)現(xiàn)這些目標(biāo)，過去通過電話，電子郵件，不僅效率低，而且費(fèi)用也不低；采用ddn專線造價(jià)太高，用modem遠(yuǎn)程撥號(hào)的方式速度又太慢。如何達(dá)到價(jià)格和性能的完美統(tǒng)一呢？有了iceflow vpn，只需要運(yùn)行一套c/s、或者b/s的oa系統(tǒng)，全球各地的同事就可以協(xié)作完成任務(wù)了。

iceflow vpn特點(diǎn)

◇ 安全：iceflow vpn基于國際標(biāo)準(zhǔn)ipsec協(xié)議構(gòu)建，采用192位idea、des、3des高強(qiáng)度加密算法，并采用動(dòng)態(tài)密鑰交換機(jī)制，其具有全面日志分析管理功能，最大程度保證公網(wǎng)傳輸中數(shù)據(jù)安全問題?？梢詫⒎植縫ptp用戶和特定主機(jī)綁定，即使pptp客戶用戶名密碼泄漏也絕無安全隱患。另外，與某類產(chǎn)品相比，iceflow vpn免受網(wǎng)絡(luò)上病毒的攻擊，也避免重啟等手續(xù)，更有效保證數(shù)據(jù)傳輸?shù)陌踩?/p>

◇ 穩(wěn)定：iceflow vpn按照工業(yè)標(biāo)準(zhǔn)設(shè)計(jì)，支持30000小時(shí)連續(xù)無故障運(yùn)行，自動(dòng)撥號(hào)，斷線后可在線路恢復(fù)正常后10秒內(nèi)恢復(fù)正常運(yùn)行，支持單機(jī)雙線路和雙機(jī)分流備份，有效保證數(shù)據(jù)流暢通

◇ 靈活：iceflow vpn可實(shí)時(shí)查看當(dāng)前數(shù)據(jù)流量；支持ddn，adsl，cable等多種方式接入internet；支持網(wǎng)狀結(jié)構(gòu)和星型結(jié)構(gòu)等多種組網(wǎng)方式；可通過監(jiān)控中心即時(shí)監(jiān)測(cè)各個(gè)節(jié)點(diǎn)使用狀態(tài)等，內(nèi)建update功能，一般新發(fā)布的功能均可以免費(fèi)得到。性價(jià)比高：iceflow vpn與同行業(yè)產(chǎn)品相比，價(jià)格合理，并且根據(jù)性能檔次分不同價(jià)位，可滿足不同用戶需求。iceflow充分考慮用戶的實(shí)際需求，為其良身定放產(chǎn)品

方案概述

oa辦公自動(dòng)化vpn組網(wǎng)原理和遠(yuǎn)程erp系統(tǒng)組網(wǎng)原理相同，都屬于應(yīng)用系統(tǒng)遠(yuǎn)程組網(wǎng)。iceflow建議，只需要在客戶的總部以及各個(gè)分支機(jī)構(gòu)分別放一臺(tái)iceflow系列路由器，各點(diǎn)通過adsl或其它方式接入公網(wǎng)internet，就可以為客戶構(gòu)建廉價(jià)，穩(wěn)定的vpn網(wǎng)絡(luò)。因公司或企業(yè)領(lǐng)導(dǎo)需要在家或出差在外時(shí)仍能方便辦公，故可采用pptp撥號(hào)方式接入，實(shí)現(xiàn)與總部的互聯(lián)。

網(wǎng)絡(luò)架構(gòu)

◇ 總部：總部一般來講是企業(yè)信息存放、處理的中心，網(wǎng)絡(luò)內(nèi)部主機(jī)數(shù)量多，數(shù)據(jù)流量大，安全性和實(shí)時(shí)性要求高；因此推薦采用高性能的iceflow r5000h作為接入服務(wù)器。對(duì)于實(shí)時(shí)要求很高的企業(yè)用戶，可以在總部采用兩臺(tái)r5000h 作雙機(jī)備份，保證穩(wěn)定數(shù)據(jù)傳輸

◇ 分支機(jī)構(gòu)：企業(yè)分支機(jī)構(gòu)一般指分布在全國各地規(guī)模中等的分公司，公司內(nèi)部建有中等規(guī)模的局域網(wǎng)，同時(shí)通過當(dāng)?shù)豬sp提供的寬帶接入方式接入因特網(wǎng)。安裝一臺(tái)iceflowr5000l或1700h路由器，作為客戶端接入總部

◇ 移動(dòng)辦公用戶：采用pptp或l2tp協(xié)議，接入總部，可支持cdma/gprs及802.11b等無線移動(dòng)接入，用戶即使在乘坐車船甚至飛機(jī)的途中，可隨時(shí)隨地實(shí)現(xiàn)移動(dòng)辦公