望城县电子政务网实施方案
目 录
1. 工程组织简述 1
1.1 工程建设内容 1
1.2 工程分工说明 1
1.3 长沙电信集成部: 1
1.4 望城县电信局: 1
1.5 设备厂商: 1
1.6 工程实施小组说明(华为部分) 1
2. 基础网络架构 2
2.1 网络结构简要说明 2
2.1.1 网络拓扑说明: 2
2.1.2 设备类型与配置: 3
2.2 设备基础配置部署 3
2.2.1 设备命名标识 3
2.2.2 设备loopback接口配置 3
2.2.3 接口描述 4
2.2.4 ROUTER-ID配置 4
2.2.5 IP地址规划 4
2.3 与省电子政务网互联部署 4
2.4 路由部署 4
2.4.1 内网路由示意图如下: 5
2.4.2 路由协议参数 5
2.4.3 路由策略 5
2.5 不同业务之间隔离 6
2.6 网管部署 6
2.6.1 SNMP设置 6
2.6.2 设备TELNET管理 6
2.7 设备安全部署 6
2.8 MPLS部署 6
2.9 QOS部署 6
3. 工程实施细节 6
3.1 工作前期准备内容 6
3.2 点验货的流程 7
3.3 机房条件确认 7
3.4 传输条件确认 7
3.5 施工要求细节 7
3.6 设备安装 8
3.7 设备加电 8
3.8 单节点设备验收的前提条件 8
3.9 单节点设备验收基本内容 8
3.10 整网联调及业务测试(割接)。 9
项目概述
与整体实施方案相同,这里省略。
1. 工程组织简述
1.1 工程建设内容
本次工程建设主要内容:
机房土建
根据传输情况对传输进行扩容
新建2台核心交换机(S8505)分别作为望城县电子政务网外网和内网核心交换。
政府大院新增十台S3928SI三层交换机作为政务大院各单位业务汇聚。
新建76台AR18路由器作为其他县级单位及乡镇政府接入路由器。
新建网络具备以下接入能力:信息中心提供的71家县级单位及19家乡镇单位接入电子政务网;根据需求达到部分单位之间的隔离;根据需求提供MPLS VPN的扩容能力等。
1.2 工程分工说明
1.3 长沙电信集成部:
1.4 望城县电信局:
1.5 设备厂商:
设备厂家为华为公司、天融信公司、*公司、*公司、*公司,设备厂商负责提供实时的技术支持,提供二名高级工程师全工程期间提供软硬件技术支持工作(如果与华为签署的是工程服务制,华为公司负责华为设备安装调试、华为设备产品简单培训等工作)。
1.6 工程实施小组说明(华为部分)
项目经理:袁发源/ 13508480020
技术总负责人:肖丹杰/13397416669
工程实施经理:待定
工程实施小组:分为两个小组。
2. 基础网络架构
2.1 网络结构简要说明
2.1.1 网络拓扑说明:
图 1
望城电子政务网整体分为两个区域:内网区域及外网区域。
内网区域采用核心层、汇聚层、接入层三层结构。核心层采用一台华为高端交换机S8505。接入层分为两类:政府大院县级单位采用十台快速以太网交换机S3928SI,1000M上行到核心交换机,并在接入交换机间采用100M互联起到链路冗余备份作用;其他县级单位及19个乡镇采用华为路由器AR18作为接入设备,接入路由器通过2M(E1)汇聚到内网汇聚路由器。汇聚路由器采用华为高端路由器NE20E,汇聚路由器采用2*GE上行到核心交换机,通过2*CPOS汇聚接入路由器的2M上行。
外网区域核心采用华为高端交换机S8505对外网服务器群进行汇聚,然后通过防火墙、入侵检测设备接入到Internet,提供公众信息发布、VPN等服务。
外网与内网通过网闸进行物理隔离。
内网中,配置防火墙与省电子政务网进行互联。
2.1.2 设备类型与配置:
望城电子政务网数据承载设备分为三类:
C设备:核心交换S8505,配置1块路由引擎,48端口千兆以太网电接口业务板。
P设备:汇聚路由器NE20E,配置两块1端口通道化POS接口板,一块2端口千兆以太网电接口板,
A设备:接入设备,接入交换机S3900-28TP-SI。接入路由器AR18。接入防火墙:
设备配备情况如下:
表 1
2.2 设备基础配置部署
2.2.1 设备命名标识
全网设备命名规范如下,英文字母均为大写。
设备命名:网络名称-设备类型-物理位置-设备型号-设备序号
网络名称,外网为:WCZWWW;内网为:WCZWNW。
设备类型,分为四类,C为核心设备、P为汇聚设备、A为接入设备、S为服务器类。
物理位置:设备安装位置名称拼音首字母,如果出现重复,将出现重复的物理位置第一个首字母改为全拼。详见设备命名表。
设备型号:设备具体型号。
设备序号:一个物理位置相同类型相同型号设备序号,从1开始编号。
比如:内网核心,物理位置为托管机房。命名为:WCZWNW-C-TGJF-S8505-1
丁字镇接入路由器,命名为:WCZWNW-A-DZZ-AR18-1
2.2.2 设备loopback接口配置
每台数据设备配置一个LOOPBACK口loopback0,用于对设备进行管理和标识设备。
2.2.3 接口描述
所有物理接口和逻辑接口,但不包括loopback口。接口描述格式如下:
To 对端设备名_对端接口 via 端口速率或电路类型
比如:AR上联端口描述
To WCZWNW-P-TGJF-NE20E_S1/1/0:1 via E1
2.2.4 ROUTER-ID配置
每台数据设备指定设备一个ROUTER-ID,以便在运行的协议当中标识该设备。数据设备ROUTER-ID使用LOOPBACK0接口IP地址表示。
2.2.5 IP地址规划
IP地址分为三类:接口互联地址、LOOPBACK地址、业务地址。
由于省电子政务网分配IP地址有限,因此接口互联地址与LOOPBACK地址自行使用私网地址,为了避免与省电子政务网地址冲突,不使用20及30的A类地址段。
接口互联地址:使用172.16.24.0-172.16.27.255四个C的地址段。接口互联地址严格使用30位掩码。
LOOPBACK地址:使用172.16.31.0/24一个C的地址段,严格使用32位掩码。
业务地址段,部分业务使用省电子政务网分配的地址,还有部分使用172.16.0.0-172.16.15.255地址段。
详细地址分配见IP地址分配表,IP地址分配遵循合理、实用、可扩展的原则。
2.3 与省电子政务网互联部署
望城电子政务网与省电子政务网互联通过防火墙连接省电子政务网的接入交换机S3928和望城电子政务网核心交换机。
防火墙根据需求严格控制数据流的进出。同时建议防火墙工作在混合模式,一方面对内网自行规划地址部分业务访问省网时进行地址转换,另一方面可以将内网与其他地市MPLS VPN业务以VLAN方式透传至省网汇聚路由器NE40实现MPLS VPN业务。
2.4 路由部署
路由的部署直接影响数据流的走向,望城电子政务网路由的部署分为外网部分与内网部分。其中外网采用静态路由方式,内网使用动态路由协议学习全网路由。
2.4.1 内网路由示意图如下:
图 2
2.4.2 路由协议参数
内网路由协议选择OSPF,其中核心交换机S8505、汇聚路由器NE20E、接入交换机S3928设备运行OSPF协议,以上设备所有接口运行协议,对互联设备没有运行OSPF的接口使用silent的方式。参数如下:
Process id 10
Area id 0.0.0.0
Reference-bandwidth:10000M
Network-type 接口默认
Hello interval 10s
Authen-type MD5
MD5-KEY zwnw@wc
Router-id loopback0地址
2.4.3 路由策略
所有设备将静态路由以type1类型引入到OSPF,服务器群、AR18等不运行OSPF协议设备使用默认路由引导上行。
2.5 不同业务之间隔离
本次工程部分业务间不允许相互访问,针对完全相互隔离的业务在核心交换机与汇聚路由器上使用VRF进行隔离;对部分隔离的业务使用访问控制列表进行隔离。
2.6 网管部署
2.6.1 SNMP设置
网内所有设备启用SNMP版本1和v2,配置只读团体名:zwnw@wc,启用标准TRAP及OSPF、system TRAP。trap信息发往网管服务器,携带loopback0源地址。
2.6.2 设备TELNET管理
全网设备telnet管理使用AAA认证,建立用户名和密码,用户权限设置为level 1,设置用户service-type为telnet。建立super密码。用户名密码暂时统一为:
用户名:wczwnw
密码:zwnw@wc
Super 密码:super@wczwnw
2.7 设备安全部署
设备自身安全,关闭FTP、SSH、WEB等服务。对telnet、snmp建立访问控制列表进行访问控制。
2.8 MPLS部署
核心设备支持MPLS以备今后开展VPN业务,此次工程不部署MPLS VPN。
2.9 QOS部署
目前网内业务单一,此次工程不部署QOS。
3. 工程实施细节
3.1 工作前期准备内容
望城县电子政务网作为望城县党政全新的业务平台,其建设工期长、工程跨度较大,整体组织工作非常重要。
特别是如何通过完善的组织协调工作最大限度的完成工作内容是我们必须切实思考并实现的。妥善协调的前提是准确、可信的完成前期工程准备工作,为后期实施进度奠定可控的基础。
要求相关工程组织人员和相关工程技术人员,必须熟悉自己工作内容和范围;要求熟悉集成体系、厂商支撑体系、用户建设单位等相关联部分的人员构成和具体分工。
要求各单位必须围绕硬件基础建设条件切实完成对设计图纸的充分理解和对机房条件的准确调查。避免出现反复到场施工现象耽误整体时间进度。
要求各施工小组针对自己施工范围,必须制定全面细致的施工路线,保障小组施工计划可行性。
要求了解新增整机、板卡软硬件的基本特性,能就软硬件问题完成初次问题定位,并及时在后台支撑下完成故障排查、解决。
3.2 点验货的流程
本次政务网工程,用户建设单位、网络集成商、厂商为不同单位。这样在设备到货后,就整体点验货流程必须明确各自的工作内容。
集成商应该及时将自己的工作路线及时间安排通知设备厂商保障其能及时随集成商施工路线,完成设备清点工作,作为最终设备到货数目确认。
3.3 机房条件确认
电子政务网涉及政府相关信息,新增设备对机房整体条件要求较高。主要涉及工程相关内容如下:
整体机房装修是否完成;
整体机房空调、通风情况;
整体机房供电是否符合;
整体机房电源配套是否完成;
相关新增设备机架是否安装完成;
机架电源布放是否完成;
数据ODF机架同传输ODF机架之间光纤布放是否完成;
是否具备新增机架-数据ODF机架之间光纤布放条件;
机房安防条件是否完备。
3.4 传输条件确认
网络建设涉及大量传输电路开通,其对整体工程进度影响很大,集成商应该就其相关资料和进度及时汇总统计,并就具体情况总结在周报中体现,由项目组进行把控。
3.5 施工要求细节
工程涉及节点多,涉及用户建设单位多,希望各相关施工人员必须遵守各节点具体的施工要求,并能及时完成必要的工程记录和扫尾工作。
主要要求如下:
必须按照机房要求规范完成中继线缆布放;
必须在软件系统升级和配置期间实时记录完整LOG信息;
必须遵守机房要求,保持当地节点机房的清洁;
必须按照当地机房要求在完成设备清点、上架安装后将必要的配件分类交当地保存;
必须对当地机房技术人员的相关问题在自己了解的范围内详细回复,对相关问题如果无法及时回复,应在同支撑单位确认后回复用户;
必须在每次施工后及时完成相应文档签字确认;
必须每天完成必要的总结报告和相应周报。
3.6 设备安装
本次工程涉及设备厂家和设备型号较多,请相关施工人员能准确了解自己工作范围内设备(包括板卡)的安装调测手册,严格安装设计文本进行硬件安装。
3.7 设备加电
要求相关施工人员必须在明确整体电源配套完成设备监测验收情况下完成机架电源引接或者电源列头柜直接引接。
要求相关施工人员必须在明确电源电压,并在机房建设人员监测电压后,开启设备加电。
3.8 单节点设备验收的前提条件
在完成下面施工内容后,可以就单节点完成设备验收,作为相关节点阶段性建设的关键时间点。
完成硬件上架加电;
完成全部线缆布放;
完成系统软件升级工作;
完成基础业务设备配置;
完成同当地建设单位必要的工程交接。
在完成单节点设备安装后,本节点应具备在传输开通后,设备能在当地建设单位人员简单光纤跳线或者简单配置操作后及时上线互联。
3.9 单节点设备验收基本内容
单点验收主要针对建设的硬件施工,完成软硬件基本可用性确认,并完成基础业务能力的功能确认。其具体内容要求文档参考《设备验收手册》。
3.10 整网联调及业务测试(割接)。
附件:华为部分设备验收手册,仅供参考
图 3
