桂林市財政局網(wǎng)絡(luò)系統(tǒng).doc

1 38 XXXX 局網(wǎng)絡(luò)系統(tǒng)方案建議書局網(wǎng)絡(luò)系統(tǒng)方案建議書 2 38 目目 錄錄 1 1 前 前 言言 6 6 2 2 系統(tǒng)概述與需求 系統(tǒng)概述與需求 7 7 2 1 系統(tǒng)建設(shè)的必要性 7 2 2 系統(tǒng)建設(shè)概況 7 2 3 總體需求 7 2 4 建網(wǎng)目的 8 3 3 局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述 局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述 9 9 3 1 網(wǎng)絡(luò)技術(shù)選擇 10 3 2 網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu) 10 3 3 虛擬專用網(wǎng)絡(luò) VPN 11 3 4 路由功能 11 3 5 容錯功能 11 3 6 網(wǎng)絡(luò)管理 11 4 4 網(wǎng)絡(luò)方案概述 網(wǎng)絡(luò)方案概述 1212 4 1 網(wǎng)絡(luò)設(shè)計思想 12 4 2 網(wǎng)絡(luò)邏輯結(jié)構(gòu) 14 5 5 網(wǎng)絡(luò)實現(xiàn) 網(wǎng)絡(luò)實現(xiàn) 1515 5 1 系統(tǒng)需求 15 5 2 網(wǎng)絡(luò)實現(xiàn)技術(shù) 15 5 2 1 主干網(wǎng) 15 5 2 2 各子網(wǎng)設(shè)計 16 5 2 3 遠(yuǎn)程服務(wù) 16 5 2 4 與外部網(wǎng)絡(luò)的連接 16 5 2 5 網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu) 17 5 3 外連方式 17 5 3 1 PSTN 電話撥號 18 5 3 2 ISDN 綜合業(yè)務(wù)數(shù)據(jù)網(wǎng) 18 5 3 3 DDN 數(shù)字?jǐn)?shù)據(jù)網(wǎng) 20 5 3 4 X 25 公共分組數(shù)據(jù)交換網(wǎng) 21 3 38 5 3 5 幀中繼 22 5 4 網(wǎng)絡(luò)設(shè)備選擇 23 5 4 1 交換機(jī) 23 5 4 2 路由器 24 5 4 3 遠(yuǎn)程訪問服務(wù)器 24 5 4 4 服務(wù)器 26 5 5 系統(tǒng)平臺 26 6 6 技術(shù)重點與難點 技術(shù)重點與難點 2727 6 1 子網(wǎng)劃分與地址規(guī)劃 27 6 2 虛擬局域網(wǎng)的劃分 27 6 3 增強(qiáng) IP 組播 IP MULTICAST 能力 28 7 7 安全性 安全性 2828 7 1 網(wǎng)絡(luò)設(shè)計 28 7 2 應(yīng)用軟件 29 7 2 1 用戶口令加密存儲和傳輸 29 7 2 2 分設(shè)操作員 29 7 2 3 日志記錄和分析 30 7 3 網(wǎng)絡(luò)配置 30 7 3 1 路由 30 7 3 2 防火墻 30 7 4 系統(tǒng)配置 31 7 4 1 網(wǎng)絡(luò)服務(wù)程序 31 7 4 2 數(shù)據(jù)庫安全配置 31 7 5 通信軟件 32 8 8 維護(hù) 維護(hù) 3333 8 1 系統(tǒng)維護(hù) 33 8 2 支持與服務(wù) 34 8 2 1 支持和服務(wù)范圍 34 8 2 2 支持和服務(wù)內(nèi)容 34 9 9 人員培訓(xùn) 人員培訓(xùn) 3838 1010 系統(tǒng)報價系統(tǒng)報價 3939 4 38 1 1 前前 言言 信息化正對人類社會發(fā)展產(chǎn)生越來越巨大而深遠(yuǎn)的影響 網(wǎng)絡(luò)正逐步深入到 社會生活的各個方面 政府部門承擔(dān)著社會經(jīng)濟(jì)管理職能 政府部門信息化是社 會信息化的重要基礎(chǔ) 實施 政府上網(wǎng)工程 旨在推動各級政府部門為社會服務(wù)的 公眾信息資源匯集和應(yīng)用上網(wǎng) 實現(xiàn)信息資源共享 這對于全面推進(jìn)國民經(jīng)濟(jì)信息 化具有重要意義 目前 隨著我國金橋信息網(wǎng)業(yè)務(wù)的順利開展 國家經(jīng)貿(mào)委 廣電部 水利部 交 通部 林業(yè)部等政府部門都已上網(wǎng) 同時省級政府部門也將先后在網(wǎng)上建立自己的 網(wǎng)站提供信息 隨著電子商務(wù)的發(fā)展 更加需要電子政府的出現(xiàn) 實現(xiàn)網(wǎng)上交互式信 息交流和電子命令的傳遞 在政府機(jī)構(gòu)辦公及管理信息化進(jìn)程中 政府機(jī)構(gòu)如何發(fā)揮自身作用 怎樣利用 Internet Intranet 技術(shù)帶來的機(jī)遇和挑戰(zhàn) 來提高工作效率和管理科學(xué)水平 是 亟待解決的問題 這兩年來 XX 局的科室微機(jī)大部分職能還是報表處理 單機(jī)作業(yè)為主 市 XX 局與區(qū)財政廳 市 XX 局與下屬機(jī)構(gòu)的通信也是簡單地文件傳送 甚至還停留 在手工報表 人工遞送階段 顯然越來越不能滿足現(xiàn)代化管理的需要 5 38 2 系統(tǒng)概述與需求 系統(tǒng)概述與需求 2 1 系統(tǒng)建設(shè)的必要性系統(tǒng)建設(shè)的必要性 建設(shè) XX 局綜合信息網(wǎng)絡(luò)目的 一是進(jìn)一步加快全局各機(jī)構(gòu)辦公自動化的進(jìn)程 實現(xiàn)政府職能的網(wǎng)絡(luò)化 提高 各級領(lǐng)導(dǎo)的決策水平 二是推動工作體制和工作方式的改革 打破部門之間各自為政的局面 通過信 息暢通 保證政令統(tǒng)一 提高辦事效率 三是通過網(wǎng)絡(luò)加強(qiáng) XX 局與廣大市民的聯(lián)系 聽取群眾的意見和心聲 四是通過 XX 局上網(wǎng) 挖掘市 XX 局擁有的豐富的信息資源 為全市企 事業(yè) 單位服務(wù) 促進(jìn)信息資源的應(yīng)用 促進(jìn)我市經(jīng)濟(jì)發(fā)展和社會進(jìn)步 五是通過政府工作網(wǎng)絡(luò)化 樹立 XX 局局現(xiàn)代化形象 推動全局信息化工作的 開展和信息產(chǎn)業(yè)的發(fā)展 2 2 系統(tǒng)建設(shè)概況系統(tǒng)建設(shè)概況 建成市 XX 局辦公自動化骨干網(wǎng) 建成 XX 局網(wǎng)站 接入國際互連網(wǎng) 2 3 總體需求總體需求 建立一個全局的信息管理和應(yīng)用的網(wǎng)絡(luò)系統(tǒng) 建立醫(yī)院內(nèi)部 的 Intranet 并提供相應(yīng)的各種服務(wù) 能夠有序地共享網(wǎng)絡(luò)上的各種軟 硬件資源 各種信息能夠在 網(wǎng)絡(luò)上快速 穩(wěn)定地傳輸 并提供有效的網(wǎng)絡(luò)信息管理手段 整個系統(tǒng)采用開放式 標(biāo)準(zhǔn)化的結(jié)構(gòu) 以利于功能擴(kuò)充和技術(shù) 升級 能夠與外界進(jìn)行廣域網(wǎng)的連接 提供 享用各種信息服務(wù) 6 38 具有完善的網(wǎng)絡(luò)安全機(jī)制 能夠與原有的計算機(jī)和應(yīng)用系統(tǒng)平滑地連接 調(diào)用原有各種 計算機(jī)系統(tǒng)的信息 2 4 建網(wǎng)目的建網(wǎng)目的 政府上網(wǎng)的另一個作用就是在網(wǎng)上實現(xiàn)辦公 以往人們到政府部門辦事 往往 要跑到該地區(qū)的各管轄部門的所在地區(qū) 如果涉及到各個不同部門 要蓋不同 的章 更是費(fèi)時費(fèi)力 除了有一些手續(xù)必須有實物證明外 可以建立一個文件 資料電子化中心 把各種證明和文件電子化 同時 項目審批等與政府有關(guān)的 各項工作都可以在網(wǎng)上完成 而在 XX 局內(nèi)部 各部門之間也可以通過 Intranet 相互聯(lián)系 各級領(lǐng)導(dǎo)也可以在網(wǎng)上對所管部門作出指示 指導(dǎo)各部門 機(jī)構(gòu)的工作 并能及時地進(jìn)行意見反饋 節(jié)省了工作時間 提高了工作效率 與 INTERNET 相連后可實現(xiàn)電子政府的強(qiáng)大管理應(yīng)用功能 2 4 1 監(jiān)督電子化監(jiān)督電子化 電子政府可以在網(wǎng)上公開政府部門的名稱 職能 組織結(jié)構(gòu) 辦事章程 各項 文件等 以便公眾迅速了解政府機(jī)構(gòu)的組成 職能和辦事章程 各項政策法規(guī) 增加 辦事的透明度 同時設(shè)立友好的訪問界面 豐富的站點 接受民眾的意見 自覺接受 公眾的監(jiān)督 2 4 2 電子招標(biāo)電子招標(biāo) 指通過 Internet 向全國各企業(yè)公開招標(biāo)來購買商品的方式 由政府在 Internet 網(wǎng)上公開其所需購買產(chǎn)品的有關(guān)信息 歡迎各個企業(yè)前來投標(biāo) 同時 可以 對感興趣的企業(yè)網(wǎng)站發(fā)出 E mail 邀請其前來投標(biāo) 并說明前來申請的截止時間 有 7 38 意投標(biāo)的企業(yè)需要取得影象 價格 規(guī)格等數(shù)據(jù)和產(chǎn)品性能 優(yōu)勢等文字說明 報 送到政府招標(biāo)的專門網(wǎng)頁上 由政府有關(guān)人員對其招標(biāo)項目進(jìn)行審核 初步作出篩 選 2 4 3 資料電子化資料電子化 網(wǎng)絡(luò)的一大特點就是能開放 充分地提供各種信息 XX 局對外部門的各種資 料 檔案 數(shù)據(jù)庫的上網(wǎng)使 XX 局的服務(wù)更加完善 更好地為社會服務(wù) 3 局域網(wǎng)技術(shù)現(xiàn)狀分析 局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述與技術(shù)概述 目前在局域網(wǎng)組網(wǎng)技術(shù)中比較成熟和應(yīng)用較多的技術(shù)有以下幾方面網(wǎng)絡(luò)類型 Ethernet 10M 100M 千兆以太網(wǎng) ATM 25M 155M 622M 2 4G DDN 64K 128K 1M 2M X 25 64K FDDI 100M 面臨淘汰 在端口數(shù)據(jù)分配上也分為共享式和交換式 網(wǎng)間數(shù)據(jù)交換核心方面分為路由和三層交換兩種技術(shù) 在以上幾個方面中網(wǎng)絡(luò)類型的選擇是關(guān)鍵 目前的主要技術(shù)之爭是發(fā)生在以太 網(wǎng)和 ATM 之間的 這兩種技術(shù)各有短長 ATM 技術(shù)相對以太網(wǎng)來說是一種較為為新型的技術(shù) 它基于面向連接 提供 QOS 保障 在實時數(shù)據(jù)傳送 預(yù)留帶寬方面有不可比擬的優(yōu)越性 特別適合實時多媒體 的交互式通訊和一些突發(fā)性的數(shù)據(jù)傳送要求 它針對不同的數(shù)據(jù)通訊類型會給予不 同的質(zhì)量保證 另外小信元有利于速率的不斷提高 但由于其技術(shù)成熟度不夠 和 8 38 目前直接基于 ATM 的應(yīng)用類型還比較少 它的優(yōu)越性受到了限制 另外它的元件和 設(shè)備價格昂貴是另一個不利與推廣的弱點 以太網(wǎng)技術(shù)相對成熟 而且多數(shù)應(yīng)用基于以太網(wǎng)開發(fā) 所以決定了目前它在網(wǎng) 絡(luò)中占主導(dǎo)地位 受多數(shù)用戶的青睞 在此我們推薦使用千兆以太網(wǎng)技術(shù) 它在技 術(shù)上由快速以太網(wǎng)衍生出來 性能價格比高 現(xiàn)在相關(guān)技術(shù)已經(jīng)穩(wěn)定 并且非常適 合 XX 局使用 在此方案中我們選擇千兆以太網(wǎng)與三層交換作為技術(shù)定位的基本模 式 3 13 1 網(wǎng)絡(luò)技術(shù)選擇網(wǎng)絡(luò)技術(shù)選擇 根據(jù)應(yīng)用實際需求 和網(wǎng)絡(luò)功能 性能 安全性等多方面的分析 對網(wǎng)絡(luò)技術(shù) 做出如下選擇 根據(jù)應(yīng)用系統(tǒng)的需求和接入網(wǎng)絡(luò)方式的特征 XX 局網(wǎng)絡(luò)采用 10M 100M 全交換 結(jié)合的方式構(gòu)建自己的網(wǎng)絡(luò)通信平臺 采用虛網(wǎng)劃分技術(shù) 虛網(wǎng)間數(shù)據(jù)傳輸實現(xiàn)第 三層交換 為桌面設(shè)備提供 10 100M 以太網(wǎng)接入 并同時具有技術(shù)領(lǐng)先性 主干為百兆快速以太網(wǎng) 服務(wù)器以 100base T 接入 普通網(wǎng)絡(luò)用戶 PC 采用 10 100Base T 方式接入 網(wǎng)絡(luò)基本形式為交換式網(wǎng)絡(luò) 3 23 2 網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu) 選擇完全分布的系統(tǒng)結(jié)構(gòu) 處理能力分布和存儲能力分布 選擇存儲轉(zhuǎn)發(fā)式交換技術(shù) Store forward 以支持低速網(wǎng)絡(luò)接口和高速網(wǎng)絡(luò)接 口的交換及對錯誤幀的過濾 9 38 選擇統(tǒng)計時分復(fù)用 TMD 數(shù)據(jù)交換總線結(jié)構(gòu)的交換設(shè)備減少系統(tǒng)延時 選擇支持多種網(wǎng)絡(luò)接口的設(shè)備 3 33 3 虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò) VPN VPN 靈活多樣的虛網(wǎng)劃分手段 基于端口 基于地址和給予應(yīng)用 虛網(wǎng)中的站點不應(yīng)受接口類型的限制 支持網(wǎng)絡(luò)站點的自由移動 虛網(wǎng)標(biāo)志可被交換設(shè)備自動識別以保持原有虛網(wǎng)屬性 虛網(wǎng)可延伸到整個信息中心網(wǎng)絡(luò) 跨越各種交換設(shè)備 3 43 4 路由功能路由功能 內(nèi)部路由采用三層交換功能提高其路由識別和包轉(zhuǎn)發(fā)能力 內(nèi)部的三層交換虛擬路由功能與外部路由功能有互操作性 3 53 5 容錯功能容錯功能 提供交換機(jī)內(nèi)部重要模塊的全雙工配置 管理模塊 和冗余電源 主要功能部件的熱插拔功能 支持網(wǎng)絡(luò)鏈路的冗余連接 3 63 6 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 支持廣泛的網(wǎng)絡(luò)管理平臺 如 HP OpenView 3Com Transcend 等 提供交換機(jī)配置 管理 虛網(wǎng)配置 管理和網(wǎng)絡(luò)性能統(tǒng)計監(jiān)控的 網(wǎng)管工具 基于 SNMP 網(wǎng)絡(luò)管理協(xié)議 支持標(biāo)準(zhǔn)的 MIBs 提供友好的用戶圖形界面 10 38 4 網(wǎng)絡(luò)方案概述 網(wǎng)絡(luò)方案概述 4 1 網(wǎng)絡(luò)設(shè)計思想網(wǎng)絡(luò)設(shè)計思想 針對以上情況 本方案的設(shè)計采用國際流行的分層設(shè)計 自頂向下進(jìn)行結(jié)構(gòu)化 設(shè)計 自底向上實現(xiàn)各種業(yè)務(wù) 根據(jù)我們以往的經(jīng)驗 XX 局的計算機(jī)網(wǎng)絡(luò)應(yīng)具有 如下特性 前瞻性 即所采用的技術(shù)應(yīng)是國際通信界公認(rèn)的主流技術(shù) 具有持 續(xù)發(fā)展的潛力 兼容性 目前 國內(nèi)各種網(wǎng)絡(luò)的建設(shè)方興未艾 保證網(wǎng)絡(luò)良好的兼 容性是業(yè)務(wù)擴(kuò)展的重要前提之一 經(jīng)濟(jì)性 網(wǎng)絡(luò)建設(shè)的最終目的 是要服務(wù)于社會和公眾 并產(chǎn)生可 觀的經(jīng)濟(jì)效益 進(jìn)而產(chǎn)生收益和投資之間的良性循環(huán) 演繹性 網(wǎng)絡(luò)建設(shè)是一個可持續(xù)滾動發(fā)展的過程 只有不斷地吸收 營養(yǎng) 不斷地發(fā)展壯大 才能產(chǎn)生更大的經(jīng)濟(jì)和社會效應(yīng) 競爭性 只有這樣的網(wǎng)絡(luò)才能在市場競爭中當(dāng)然會脫穎而出 獨占 鰲頭 穩(wěn)健性 因為網(wǎng)絡(luò)系統(tǒng)在將來政府辦公的地位非常重要 所以市 XX 局計算機(jī)網(wǎng)絡(luò)對系統(tǒng)的穩(wěn)健性將有較高的要求 本方案正是結(jié)合實 際需求對于系統(tǒng)的穩(wěn)健性進(jìn)行了深入的設(shè)計 為了實現(xiàn)上述特性 我們本著以下原則進(jìn)行設(shè)計 充分依照國際上的規(guī)范 標(biāo)準(zhǔn) 借鑒國內(nèi)外目前所流行的主流網(wǎng)絡(luò)體系結(jié)構(gòu)和 網(wǎng)絡(luò)運(yùn)行系統(tǒng) 采用國際上成熟的模式 汲取國內(nèi)外各種信息系統(tǒng)的建設(shè)經(jīng)驗 從 網(wǎng)絡(luò)信息化的實際要求出發(fā)進(jìn)行設(shè)計 確保技術(shù)的先進(jìn)性和實用性 使網(wǎng)絡(luò)具有良好的可擴(kuò)展性和靈活性 以適應(yīng)網(wǎng)絡(luò)的 迅猛發(fā)展趨勢 既滿足當(dāng)前需求 又照顧未來網(wǎng)絡(luò)建設(shè)發(fā)展的需要 充分利用當(dāng)?shù)匾延械母鞣N網(wǎng)絡(luò)資源 確保網(wǎng)絡(luò)內(nèi)部的互聯(lián)互通 由于此網(wǎng)絡(luò)是一個實用的服務(wù)運(yùn)行系統(tǒng) 在總體設(shè)計時充分考慮工程的可靠性 可 11 38 用性 可維護(hù)性以及網(wǎng)絡(luò)的安全性 建立完善的安全管理體系 另外 本計算機(jī)信息系統(tǒng)的建設(shè)是一項龐大而繁雜的工程 它需要領(lǐng)導(dǎo)的支 持 大筆資金的及時到位 計算機(jī)專業(yè)人員具有良好素質(zhì)和較高技術(shù)水平 以及應(yīng) 用科室的配合和多部門的密切協(xié)作 所以我們對于系統(tǒng)的建設(shè)提出 總體規(guī)劃 分 布實施 的建議 在制定總體規(guī)劃時 我們遵循 切合實際 分階段實施 循序漸 進(jìn) 安全有效 的基本原則 網(wǎng)絡(luò)結(jié)構(gòu)的選擇具有先進(jìn)性和安全性 擴(kuò)充升級方便 可保護(hù)前期投資 基于上述因素考慮 XX 局計算機(jī)網(wǎng)絡(luò)建設(shè)思想如下 基本構(gòu)架采用國基本構(gòu)架采用國際際上目前流行的上目前流行的 INTRANET 網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù) 以 以 TCP IP 為為基本基本傳輸協(xié)議傳輸協(xié)議 主干網(wǎng)采用百兆快速以太網(wǎng)技主干網(wǎng)采用百兆快速以太網(wǎng)技術(shù)術(shù) 以便以便滿滿足市委市府系足市委市府系統(tǒng)統(tǒng)中大量中大量 數(shù)據(jù)數(shù)據(jù)傳輸傳輸?shù)囊?的要求 分支網(wǎng)分支網(wǎng)絡(luò)絡(luò)采用快速以太網(wǎng)采用快速以太網(wǎng) Fast Ethernet 技技術(shù)術(shù)以以滿滿足普通足普通應(yīng)應(yīng)用需用需 求 求 采用先采用先進(jìn)進(jìn)的虛的虛擬擬網(wǎng)網(wǎng)絡(luò)絡(luò)技技術(shù)術(shù) 將網(wǎng) 將網(wǎng)絡(luò)絡(luò)按功能模按功能模塊塊劃分成不同子網(wǎng) 劃分成不同子網(wǎng) 增增強(qiáng)強(qiáng)網(wǎng)網(wǎng)絡(luò)絡(luò)的安全性 的安全性 融合融合 WEB 技技術(shù)術(shù) PROXY 技技術(shù)術(shù)等等 INTERNET 綜綜合合應(yīng)應(yīng)用 用 采用采用 FIREWALL 防火防火墻墻技技術(shù)術(shù)提高網(wǎng)提高網(wǎng)絡(luò)絡(luò)安全性 可靠性 安全性 可靠性 12 38 4 2 網(wǎng)絡(luò)邏輯結(jié)構(gòu)網(wǎng)絡(luò)邏輯結(jié)構(gòu) XX 局計算機(jī)網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)如下 網(wǎng)絡(luò)系統(tǒng)邏輯拓?fù)鋱D 在邏輯拓?fù)渲芯W(wǎng)絡(luò)可劃分為若干虛擬局域網(wǎng) 虛擬局域網(wǎng)不受設(shè)備物理位置的 限制 靈活性較大 按各部分功能劃分 SERVER VLAN 為服務(wù)器群虛網(wǎng) 將各種主 要服務(wù)器 WEB 服務(wù)器 管理數(shù)據(jù)服務(wù)器 郵件服務(wù)器 FTP 服務(wù)器等 放在一個 虛網(wǎng)內(nèi)便于管理 維護(hù) 同時也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性 VLAN1 VLAN2 根據(jù)不同的職能部門劃分 如 黨委辦 組織部 人事部 SwitchRoute Database Server Database Server WWW Server Network Management Work Station PCPCPC Route Switch 構(gòu)構(gòu)構(gòu)構(gòu)構(gòu)構(gòu) LAN PCPCPC WAN 13 38 5 網(wǎng)絡(luò)實現(xiàn) 網(wǎng)絡(luò)實現(xiàn) 5 1 系統(tǒng)需求系統(tǒng)需求 首先對整個 XX 局辦公大樓需進(jìn)行綜合布線以及機(jī)房標(biāo)準(zhǔn)裝修工程 XX 局辦 公大樓是兩個 6 層高的子樓以 L 型連接而成 相互之間要通過網(wǎng)絡(luò)共享一部分?jǐn)?shù)據(jù) 中心機(jī)房位于 6 樓 下面列出 XX 局各樓層對網(wǎng)絡(luò)的需求 序號樓 層信息點數(shù) 1一層6 2二層12 3三層15 4四層16 5五層16 6六層3 7總計68 具體的大樓綜合布線以及機(jī)房裝修詳見 附件 綜合布線實施方案 5 2 網(wǎng)絡(luò)實現(xiàn)技術(shù)網(wǎng)絡(luò)實現(xiàn)技術(shù) 5 2 1 主干網(wǎng) 網(wǎng)絡(luò)的主干建議采用四臺自適應(yīng)百兆以太網(wǎng)交換機(jī)作為中心交換機(jī) 四臺核心 交換之間采用高速矩陣模塊千兆光纖相連 以保證主干網(wǎng)信息的暢通 服務(wù)器均以 100BASE 端口和交換機(jī)相連 這樣可以提供足夠的帶寬 減少由于用戶對服務(wù)的集 中請求所產(chǎn)生的網(wǎng)絡(luò)瓶頸 建議使用先進(jìn)的路由交換機(jī)產(chǎn)品 路由交換機(jī)可將 IP 路由功能集成在硬件中 以較低的代價就可獲得比傳統(tǒng)路由器高得多的路由性能 14 38 5 2 2 各子網(wǎng)設(shè)計 市 XX 局的各部門所形成的子網(wǎng)均以 100M 的上連帶寬分別和中心交換機(jī)相連 到桌面采用 10 100M 各分支網(wǎng)采用交換式快速以太網(wǎng)技術(shù) 5 2 3 遠(yuǎn)程服務(wù) 為了滿足其他單位撥號訪問進(jìn)行辦公的需要 采用遠(yuǎn)程撥號把其他單位的計算 機(jī)和 XX 局計算機(jī)網(wǎng)絡(luò)通過公共電話網(wǎng)連起來 充分利用現(xiàn)代通信手段和網(wǎng)絡(luò)資源 群眾也可以通過電話撥號訪問政府網(wǎng)站上公開的信息資源 5 2 4 與外部網(wǎng)與外部網(wǎng)絡(luò)絡(luò)的的連連接接 與國際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源 同時能將 XX 局介 紹給世界 通過電信局提供的 64K 128K 數(shù)據(jù)專線上連到 163 169 網(wǎng) 15 38 5 2 5 網(wǎng)網(wǎng)絡(luò)絡(luò)物理拓?fù)湮锢硗負(fù)浣Y(jié)結(jié)構(gòu)構(gòu) 根據(jù)以上分析 XX 局計算機(jī)網(wǎng)絡(luò)物理拓?fù)鋱D可以是 5 3 外連方式外連方式 XX 局網(wǎng)絡(luò)中心首先是財政辦公網(wǎng)的大腦與心臟 承擔(dān)了財政辦公網(wǎng)的運(yùn)行 維 護(hù)的重要責(zé)任 是一個較為集中的數(shù)據(jù)中心 和多種應(yīng)用的中央控制的監(jiān)測機(jī)構(gòu) 所以 XX 局網(wǎng)絡(luò)中心的建設(shè)是整個網(wǎng)絡(luò)建設(shè)的關(guān)鍵 網(wǎng)絡(luò)中心的地位和功能 管理中心 控制中心 數(shù)據(jù)集中及備份中心 防火墻 交換機(jī) 數(shù)據(jù)庫服務(wù)器 工作站工作站工作站 路由器 RAS訪問服務(wù)器 DDN Internet PSTN WEB服務(wù)器 路由器 路由器 交換機(jī)堆疊 交換機(jī) 工作站工作站工作站 備份服務(wù)器 工作站 工作站 工作站工作站工作站服務(wù)器 防火墻 防火墻 工作站工作站 16 38 檢查及檢測中心 對外信息發(fā)布中心 為了更好地 更經(jīng)濟(jì)地利用 XX 局網(wǎng)絡(luò)的資源 滿足各種類型節(jié)點的具體需求 我們初步比較以下幾種節(jié)點接入方式 電話撥號 ISDN DDN X 25 幀中繼 5 3 15 3 1 PSTN PSTN 電話撥號電話撥號 電話撥號接入是利用現(xiàn)有的電話線資源 通過公用電話網(wǎng) 實現(xiàn)網(wǎng)絡(luò)節(jié)點的接 入 公用電話網(wǎng)在國內(nèi)覆蓋范圍最廣 應(yīng)用靈活 方便 公眾通信網(wǎng) 主要用于話音的交換傳輸 通常電話線路最高速率只有9600bps 但如果 采用具有4 倍壓縮率功能的Modem 可達(dá)56Kbps 和其它的接入方式 相比 電話撥號雖然費(fèi)用最低 但受到電話模擬線路本身技術(shù)的限制 其可提供的 連接速率較低 且通信質(zhì)量容易受到影響 不能提供高品質(zhì)的連接信道 5 3 25 3 2 ISDN ISDN 綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)綜合業(yè)務(wù)數(shù)據(jù)網(wǎng) 采用 ISDN 的優(yōu)勢可歸納為以下幾點 1 技術(shù)成熟 ISDN 的技術(shù)在 80 年代就開始試驗和使用 ISDN 的標(biāo)準(zhǔn)則在 1984 形成 在 1988 年趨于穩(wěn)定 ISDN 的網(wǎng)絡(luò)產(chǎn)品和終端產(chǎn)品已經(jīng)在市場上被廣泛地采用 終端 產(chǎn)品價格逐年下降 網(wǎng)絡(luò)運(yùn)營者也積累了開放 ISDN 業(yè)務(wù)及應(yīng)用的豐富經(jīng)驗 我國 網(wǎng)上交換機(jī)設(shè)備經(jīng)過 3 年的技術(shù)和測試工作 已基本具備了 ISDN 的能力 2 安裝簡單 17 38 安裝又可分為用戶把自己的終端設(shè)備連接到 ISDN 線上和局方為用戶安裝 ISDN 線兩個方面 對于前者 ISDN 為用戶很好地解決了連接問題 它提供標(biāo)準(zhǔn)的用戶網(wǎng) 絡(luò)接口 這一特點是 ISDN 成功的關(guān)鍵所在 它以標(biāo)準(zhǔn)接口將各種類型的終端設(shè)備 接入到 ISDN 網(wǎng)絡(luò)中 只要用戶使用一對用戶線 一個 ISDN 號碼 一臺有 ISDN 標(biāo) 準(zhǔn)接口的終端適配器 ISDN TA 將現(xiàn)有的設(shè)備 包括模擬設(shè)備如 普通電話機(jī) 傳 真機(jī)等 連接到 ISDN TA 上 這樣 用戶就可以保留原有的模擬設(shè)備 節(jié)省投資 如果用戶已有了第二條電話線專為電腦上網(wǎng)使用 也就是說終端設(shè)備只有電腦 那 么就可以不必購買 ISDN 終端適配器 ISDN TA 了 只需插一塊 ISDN PC 卡就可完成 電腦與 ISDN 線的連接 3 方便易用 ISDN 線路可以一線多號 一線多連 兩個終端可以同時使用而互不干擾 比如 在一條 ISDN 電話線上可以用一個信道保持聲音通話 用另一條信道上網(wǎng) 而且由 于它屬于普通電話網(wǎng)的一部分 所以用戶既可以與 ISDN 用戶也可以與普通電話用 戶通信 當(dāng)用戶在一條 ISDN 線上與普通電話用戶通信時仍按普通市話或長途標(biāo)準(zhǔn) 收費(fèi) 4 多媒體通信 ISDN 為用戶提供 64Kbit s 的數(shù)字連接 使用戶可以傳遞語音 數(shù)據(jù)和圖像等 多種媒體的信息 并使各種應(yīng)用可以在這一平臺上得以開發(fā)和使用 例如 會議電 視一般需要三個 2B D 即 384kbp s 就能得到令人滿意的會議電視效果 5 經(jīng)濟(jì)實惠 這可以表現(xiàn)在以下幾個方面 首先 它可以一線多用 做綜合業(yè)務(wù)的處理 減 少投資 其次 它可提高通信能力 3 5 倍 節(jié)省費(fèi)用 提高效率 第三 它可即 時連接使用數(shù)字?jǐn)?shù)據(jù)線路 其費(fèi)用遠(yuǎn)低于 DDN 專線 另外 ISDN 是一種需求式服 務(wù) 所以用戶使用它與普通電話一樣 只在需要時發(fā)起呼叫 支付相應(yīng)使用時間的 18 38 通話費(fèi) 一旦連通 用戶獲得的就是高速數(shù)字通信 6 具有數(shù)字化優(yōu)越性 在傳輸速度方面 目前最快的模擬調(diào)制解調(diào)器也只不過是 56Kbps 而且這是一 個理論值 實際使用時至多只能達(dá)到 52Kbps 它還依賴于電話線的質(zhì)量 但在 ISDN 中僅 2B D 就可達(dá)到 64Kbps 若傳輸一個 1MB 未壓縮文件不到 1 分鐘就可傳 輸完畢 比前者要快很多 顯然占有優(yōu)勢 在通話建立方面 模擬 Modem 要協(xié)商電 話線支持的帶寬 速率 需要 10 30 秒或更長時間 而 ISDN 無那種咕吱咕吱的雜音 幾秒鐘就連接好了 從傳輸質(zhì)量上講 ISDN 的數(shù)字傳輸比模擬傳輸更不會受到靜電 和噪音的影響 使數(shù)據(jù)通信中更少出現(xiàn)錯誤與重傳現(xiàn)象 5 3 3 DDN DDN 數(shù)字?jǐn)?shù)據(jù)網(wǎng)數(shù)字?jǐn)?shù)據(jù)網(wǎng) DDN 即數(shù)字?jǐn)?shù)據(jù)網(wǎng) 它是利用光纖數(shù)字傳輸通道和數(shù)字交叉復(fù)用節(jié)點組成的數(shù) 字?jǐn)?shù)據(jù)傳輸網(wǎng) 可為用戶提供各種高速率 高質(zhì)量的數(shù)字專用電路 以滿足用戶組 建中高速計算機(jī)通信網(wǎng)的需要 DDN 業(yè)務(wù)區(qū)別于傳統(tǒng)模擬電話專線的顯著特點是數(shù)字電路 傳輸質(zhì)量高 時延 小 通信速率可根據(jù)需要選擇 DDN 技術(shù)是利用數(shù)字信道提供永久或半永久電路 以 傳輸數(shù)字信號為主的數(shù)字通信網(wǎng)絡(luò) 其最具吸引力的優(yōu)點是傳輸時延短 支持語音 圖像等多媒體業(yè)務(wù) 且已經(jīng)在一些金融系統(tǒng)中得以廣泛使用 是一種較為成熟的技術(shù) 出于對未來視頻會議 辦公自動化等多媒體寬帶新業(yè)務(wù)的考慮 DDN 技術(shù)有著很強(qiáng)的 生命力和發(fā)展前景 傳統(tǒng)的網(wǎng)絡(luò)互連方式是通過租用點對點的 DDN 專線方式 一般速率為 64Kbps 128Kbps 這就是所謂的 IP 的點對點互連 這種互連方式比較成熟 也是 19 38 當(dāng)今 IP 網(wǎng)絡(luò)互連中廣泛采用的方式 通過模擬專線 用戶環(huán)路 和 Modem 入網(wǎng) 通 信速率受用戶入網(wǎng)距離的限制 最高可到 2 048Mbps 對光纖到戶的用戶 通信速 率可靈活選擇 但是 這種互連方式使得路由器必須將 IP 數(shù)據(jù)包從一個 IP 網(wǎng)絡(luò)向另外一個 IP 網(wǎng)絡(luò)轉(zhuǎn)發(fā) 這樣就會帶來一些問題 1 對于組建大型的 IP 網(wǎng)絡(luò)來說 由于租用這種點對點的線路 使網(wǎng)絡(luò)方案設(shè)計 變得非常復(fù)雜 為了將來網(wǎng)絡(luò)的可擴(kuò)展性 一般會考慮設(shè)計分層結(jié)構(gòu)的網(wǎng)絡(luò)體系 如網(wǎng)絡(luò)分為骨干層及接入層等 這樣就會需要大量的路由器設(shè)備來完成這一 工作 路由設(shè)備的增長 也不可避免地帶來資金 IP 地址分配 全網(wǎng)路由政策 等等一系列問題 2 這種點到點的線路互連 完全依靠路由設(shè)備來完成各個節(jié)點的 IP 數(shù)據(jù)交換 傳遞 從而目前基于 IP 層交換的路由設(shè)備的交換速率及吞吐率又成了全網(wǎng)信息 流傳遞的瓶頸 5 3 4 X 25 公共分組數(shù)據(jù)交換網(wǎng)公共分組數(shù)據(jù)交換網(wǎng) 公共分組數(shù)據(jù)交換網(wǎng) X 25 線路分組交換是為適應(yīng)計算機(jī)通信而發(fā)展起來的一種 先進(jìn)通信手段 它以 CCITT X 25 建議為基礎(chǔ) 可以滿足不同速率 不同型號終端 及計算機(jī)以及局域網(wǎng)間的通信 實現(xiàn)數(shù)據(jù)庫資源共享 分組交換網(wǎng)的突出優(yōu)點是可以在一條電路上同時開發(fā)多條虛電路 為多個用戶 同時使用 網(wǎng)絡(luò)具有動態(tài)路由功能和先進(jìn)的誤碼糾錯功能 網(wǎng)絡(luò)性能最佳 CHINAPAC 提供交換型虛電路 SVC 和永久型虛電路 PVC SVC 使用靈活 每次 可與不同的用戶建立通信電路 通信費(fèi)用與通信量有關(guān) 而與距離無關(guān) PVC 類似 于固定專線 不需每次通信時臨時建立和釋放電路 適用于點對點固定連接的使用 20 38 此外 CHINAPAC 還提供許多可選業(yè)務(wù) 如閉合用戶群 反向計費(fèi)等 5 3 55 3 5 幀中繼幀中繼 幀中繼是一種高性能的 WAN 協(xié)議 最初是作為綜合業(yè)務(wù)數(shù)據(jù)網(wǎng) ISDN 接口設(shè) 計的 現(xiàn)在它已被廣泛地用于多種網(wǎng)絡(luò)接口 幀中繼是 X 25 地簡化版本 它省略 了 X 25 的一些強(qiáng)健功能 如提供窗口化技術(shù)和數(shù)據(jù)重發(fā)功能 這是因為幀中繼工 作在性能更好的 WAN 設(shè)備上 它即具有分組交換網(wǎng)的突出優(yōu)點 在一條物理電路上 同時開發(fā)多條虛電路 為各個用戶同時使用 又能提供較高的網(wǎng)絡(luò)帶寬 56K 2M 支持 LAN 網(wǎng)之間使用的多種協(xié)議 這種互連方式的優(yōu)勢在于 1 在網(wǎng)絡(luò)互聯(lián)中 路由器的數(shù)目大大減少 對網(wǎng)絡(luò)組網(wǎng)的設(shè)計要求也大大簡化 2 以幀中繼交換機(jī)代替路由器的交換功能 使網(wǎng)絡(luò)信息處理傳輸速率非常快 適應(yīng)于當(dāng)前局域網(wǎng)高速互連的需求 3 由于幀中繼網(wǎng)絡(luò)中大都采用光纖作為傳輸媒體 傳輸誤碼率非常低 一般為 10 8 幀中繼的無差錯控制機(jī)制完全可以提供可靠的端到端的傳輸 如今 世界上 50 以上的幀中繼業(yè)務(wù)是在信元 中繼 ATM 網(wǎng)絡(luò)上傳輸?shù)?這 主要是由于信元交換設(shè)備具有良好的協(xié)調(diào)性和高效性 盡管除了傳輸其它類型的通 信如話音和視頻外再也沒有其它的優(yōu)點 作為一種接口 幀中繼還是最適合于數(shù)據(jù) 協(xié)議的傳輸 而且?guī)欣^結(jié)構(gòu)非常簡單 這使得它很有吸引力 幀中繼很適宜于數(shù) 據(jù)通信 因為同時分多路和租用線路傳輸相比 幀中繼更有效地利用了帶寬 幀中 繼能通過單一物理信道維持多個虛擬網(wǎng)絡(luò) 從而使各種同等重要的通信獨立通過互 聯(lián)網(wǎng)絡(luò) 這種平行信息流的結(jié)構(gòu)與 ATM 虛擬網(wǎng)絡(luò)的結(jié)構(gòu)非常一致 而且容易連接 21 38 因此 幀中繼既能滿足當(dāng)前的連接要求 又可成為向未來高速網(wǎng)絡(luò)過渡的橋梁 5 4 網(wǎng)絡(luò)設(shè)備選擇網(wǎng)絡(luò)設(shè)備選擇 5 4 15 4 1 交換機(jī)交換機(jī) 目前生產(chǎn)交換機(jī)的廠商比較多 著名的有 Intel 3COM Cisco Bay 等 而 3COM 又是交換機(jī)市場的領(lǐng)袖 經(jīng)過分析比較 我們選擇 3COM 公司的 SuperStack II 3300 交換機(jī) 采用四臺 3300 交換機(jī)通過高速矩陣模塊堆疊起來 SuperStackII 3300 的主要優(yōu)點 基于 Web 的管理 利用網(wǎng)絡(luò)上任何節(jié)點的任何 Web 瀏覽器來進(jìn)行簡單的設(shè)備管理 但仍然保有 全部的安全性 支持 RMON 遠(yuǎn)程監(jiān)控 RMON 可對所有的交換機(jī)端口提前進(jìn)行用戶友好型的管理 集成的 RMON 能力支 持所有 9 類 RMON 能力 漫游分析端口 RAP 可以把疊堆中任一端口的信息流映射到其它的任一端口 進(jìn)而直接連至網(wǎng)絡(luò) 分析器 支持 802 1p 這是針對多媒體應(yīng)用而新制定的信息流等級制傳輸標(biāo)準(zhǔn) 擁堵控制 IFM 智能流控制 和 802 3x 丟失數(shù)據(jù)包是 LAN 降低速度的最重要起因 基于流控制的 IFM 和 802 3x 標(biāo)準(zhǔn) 可確保任何數(shù)據(jù)包都不會丟失 22 38 支持 802 1Q 這是為了形成 VLAN 而制定的新標(biāo)準(zhǔn) IGMP 探測 交換機(jī)對多址聯(lián)播信息流進(jìn)行監(jiān)視 并自動調(diào)整交換機(jī)的配置 以減輕網(wǎng)絡(luò) 上的多址聯(lián)播信息流負(fù)擔(dān) 從而加大網(wǎng)絡(luò)的總流量 支持 Fast IP 兼有路由控制和線速交換性能的雙重優(yōu)點 5 4 25 4 2 路由器路由器 Cisco 公司的路由器已經(jīng)相當(dāng)于業(yè)界默認(rèn)的標(biāo)準(zhǔn) 并且 Cisco 路由器的高性能 在業(yè)界中也是首屈一指的 我們選擇 Cisco 公司的 2621 路由器和 2610 路由器 并 且給其配備了 IOS 防火墻 Cisco 2600 模塊化多服務(wù)路由器為分支機(jī)構(gòu)提供通用性 集成和功能 通過 50 多個網(wǎng)絡(luò)模塊和接口 Cisco 2600 系列的模塊化體系結(jié)構(gòu)允許輕易地升級接口 來適應(yīng)網(wǎng)絡(luò)擴(kuò)展 Cisco 2600 系列是 Cisco 數(shù)據(jù) 語音 視頻集成方案的一個關(guān)鍵 成員 提供業(yè)界最廣泛的基于 IP 和幀中繼的端到端分組電話解決方案 Cisco 2600 系列為網(wǎng)絡(luò)管理員和服務(wù)供應(yīng)商提供一個經(jīng)濟(jì)有效的解決方案來 滿足目前的分支機(jī)構(gòu)需求 例如 帶有防火墻安全的 Internet Intranet 訪問 多服務(wù)語音 數(shù)據(jù)集成 模擬和數(shù)字撥號訪問服務(wù) 虛擬專網(wǎng) VPN 訪問 VLAN 間路由 帶有帶寬管理的路由 5 4 35 4 3 遠(yuǎn)程訪問服務(wù)器遠(yuǎn)程訪問服務(wù)器 在傳統(tǒng)的做法中 實現(xiàn)遠(yuǎn)程訪問的方法都是以路由器加載遠(yuǎn)程訪問模塊來實現(xiàn) 23 38 的 這種方式在安裝 調(diào)試以及維護(hù)上都是很復(fù)雜的 并且由于采用了路由器 投 資成本比較高 在本系統(tǒng)中 我們采用專用的遠(yuǎn)程訪問服務(wù)器 3COM RAS1500 專用 遠(yuǎn)程訪問服務(wù)器提供的專業(yè)的遠(yuǎn)程訪問服務(wù) 具有很高的性價比 SuperStack II Remote Access System 1500 為中小型企業(yè)和 Internet 服務(wù)提 供商提供全面的遠(yuǎn)程訪問服務(wù) 主要優(yōu)勢 在一個平臺中集成了非常廣泛的功能 以較低的設(shè)備開支 提供了撥入 撥出訪問 采用撥號或幀中繼和專線 PPP 連接的局域網(wǎng)間路由選擇功能 在 Transcend Network Supervisor TNS 的支持下 將 RAS 1500 集成到 3Com 的所有 網(wǎng)絡(luò)管理應(yīng)用程序中 而您的遠(yuǎn)程訪問設(shè)備則像您的 LAN 設(shè)備一樣由同樣的應(yīng)用程 序進(jìn)行管理 易于安裝 基于 HTML 瀏覽器的安裝向?qū)?圖形用戶界面 GUI 和文檔瀏覽 先進(jìn) 易于操作 NAT PAT 地址轉(zhuǎn)換功能提供低成本高效率的共享 ISP 訪 問 DHCP 服務(wù)器 中繼和代理功能為本地和遠(yuǎn)程用戶提供了簡捷的 LAN 訪問方式 訪問方式安全 包括本地驗證 并可與 RADIUS Windows NT 或 NetWare NOS 服務(wù)器配合實現(xiàn)遠(yuǎn)程驗證功能 I O 單元模塊化 模塊化單元 便于 I O 卡的添加和擴(kuò)展以及 PRI 訪問單 元的熱插拔 Univerrsal ConnectTM 技術(shù) 通過同一基本速率的 ISDN 連接 提供了 業(yè)界領(lǐng)先的模擬連接方式 速率可高達(dá) V 90 和 ISDN 撥入訪問方式 可伸縮性 將 ISDN 和模擬連接方式集于一身 端口范圍為 至 24 端口 可以隨著您的需要進(jìn)行擴(kuò)展 采用 NAT PAT 多個基于 LAN 而有各自的 IP 地址的用戶可以通過單獨的公 用地址 PAT 訪問 Internet 或公用 LAN 或者 眾多用戶可以共用一個小型共用子 網(wǎng) NAT NAT PAT 將這些專用的 IP 地址翻譯到一個單獨的公共地址或翻譯到 Internet 服務(wù)供應(yīng)商認(rèn)可的公共子網(wǎng) 這一功能特性可以降低公司的操作費(fèi)用并簡 化其 Internet 訪問 對遠(yuǎn)程用戶和基于 LAN 的用戶來說 RAS 1500 都是作為中央 DHCP 服務(wù)器 工作的 此外 它還能 代理 或 轉(zhuǎn)播 對其他中央服務(wù)器的 IP 地址請求 這種特 性簡化了網(wǎng)絡(luò)管理 并增強(qiáng)了遠(yuǎn)程用戶和本地用戶的移動性 除了 固定 和 漫游 回叫之外 RAS 1500 還增加了更多的安全性和降低遠(yuǎn) 程話費(fèi)的選擇功能 來話 ISDN 呼叫 BRI 和 PRI 可通過 D 信道顯現(xiàn)的主叫方 ID 信 息予以屏蔽 如果識別出主叫方 則其呼叫就會下線并自動重新?lián)芴?這樣就可 以確保適當(dāng)?shù)牡刂肥盏交亟?并確保電話公司不對來自遠(yuǎn)程地址的始發(fā)呼叫收取費(fèi) 用 此種特性在與 OfficeConnect ISDN LAN 調(diào)制解調(diào)器等產(chǎn)品的路由器到路由器連 24 38 接方式中使用 5 4 45 4 4 服務(wù)器服務(wù)器 在服務(wù)器方面我們選擇了國際著名廠商 DELL 公司的系列服務(wù)器 主服務(wù)器選用 DELL PowerEdge6400 備份服務(wù)器選用 DELL PowerEdge6400 WEB 服務(wù)器選用 DELL PowerEdge2400 PowerEdge 6400 經(jīng)過精心設(shè)計 提供了強(qiáng)勁的服務(wù)器可用性和操作性能 并 且最大限度地減少了系統(tǒng)的停機(jī)時間 與以前的戴爾四處理器平臺相比 其操作性 能更強(qiáng)大 可用性與可維修性也更高 PowerEdge 6400 支持多達(dá)四個最新的 英特 爾 奔騰 III 至強(qiáng) 處理器 8GB ECC SDRAM 66MHz PCI 插槽以及容量高達(dá) 252 GB 的硬盤驅(qū)動器 PowerEdge 4400 在高性能與企業(yè)級可用性方面特別突出 其設(shè)計有助于進(jìn) 一步提高部門的工作效率 通過支持兩個 英特爾 奔騰 III Xeon 處理器 133MHz 前側(cè)總線 多達(dá) 4GB 的內(nèi)存和嵌入式 NIC 雙通道 Ultra3 Ultra160 SCSI 控制器以及可選的 RAID 控制器 PowerEdge 4400 可以幫助您快速有效地分 發(fā)用戶所需的重要數(shù)據(jù) PowerEdge 2400 服務(wù)器使工作組級應(yīng)用具有部門級計算能力 PowerEdge 2400 這種極具力量的系統(tǒng)可采用雙處理器 133MHz 的前端數(shù)據(jù)總線 64 位 PCI 插 槽以及 180G 可熱插拔的硬盤存儲容量 支持熱插拔電源是這種重新定義工作組級 應(yīng)用范圍的高性能系統(tǒng)一種額外的功能 5 5 系統(tǒng)平臺系統(tǒng)平臺 當(dāng)前主流的應(yīng)用平臺主要是 SUN Solaris PC Windows 或 PC Linux 的 結(jié)構(gòu) SUN Solaris 是一種比較安全和穩(wěn)健的網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu) 但價格較為昂貴 對管理人員的技術(shù)要求比較高 PC Windows2000 Windows2000 是 Microsoft 公司在 PC 上發(fā)展起來的 32 位 操作系統(tǒng) 基于 Client Server 體系結(jié)構(gòu)的多線程的操作系統(tǒng) 支持虛擬內(nèi)存 25 38 管理簡單方便 價格適中 具有 C2 級安全性 系統(tǒng)開銷合理 運(yùn)行效率較高 PC Linux 價格最為便宜 但安全性沒有經(jīng)過認(rèn)證 另外無生產(chǎn)廠家提供可 靠的技術(shù)支持 出現(xiàn)問題時沒有保障 從近期的發(fā)展方向來看 Microsoft 公司正在提供源源不斷的 2000 系列產(chǎn)品 支持保證一個 Intranet 方案 如 Office2000 SQL Server2000 Exchange2000 等 在這個方案中 從操作系統(tǒng)層次就具備支持 Internet Intranet 的基本特性 以 Microsoft 2000 系列產(chǎn)品族表現(xiàn)了極強(qiáng)的整合能力 Microsoft 的解決方案更具有 靈活性 系列性和可持續(xù)性 各種組件之間的聯(lián)系非常緊密 效率也自然提高 因 此選擇 Microsoft 的從操作系統(tǒng)開始的 Intranet 解決方案具備可比的優(yōu)勢 在 XX 局辦公網(wǎng)的方案中 我們將主要采用 Microsoft 公司在 PC Windows2000 上的解決方案 在一些涉及應(yīng)用安全性和伸縮性敏感的部件上 可以選擇更有效的產(chǎn)品作為 Microsoft 產(chǎn)品的替代 6 技術(shù)重點與難點 技術(shù)重點與難點 6 1 子網(wǎng)劃分與地址規(guī)劃子網(wǎng)劃分與地址規(guī)劃 在一個平面網(wǎng)絡(luò)中存在大量廣播信息 將一個大的網(wǎng)絡(luò)劃分為小的子網(wǎng) 是為 了縮小廣播域 防止廣播風(fēng)暴 將廣播信息限制在必須廣播的范圍內(nèi) 而過濾掉不 必要的廣播信息 子網(wǎng)劃分的工作一般由路由器來完成 子網(wǎng)之間的通信也需要路由尋址 26 38 6 2 虛擬局域網(wǎng)的劃分虛擬局域網(wǎng)的劃分 局域網(wǎng)設(shè)備工作在 OSI 七層模型的第二層 傳統(tǒng)的局域網(wǎng)設(shè)備連接的網(wǎng)絡(luò)是單 個廣播域 局域網(wǎng)交換機(jī)雖然能根據(jù) MAC 地址進(jìn)行數(shù)據(jù)包的交換 但它會將任何廣 播信息廣播到全部網(wǎng)絡(luò) 新的局域網(wǎng)交換機(jī)可以將網(wǎng)絡(luò)劃分為多個廣播域 即 VLAN 但它不能在兩個 VLAN 之間傳送信息 VLAN 之間的通信仍然需要路由尋址 也就是仍然需要路由器 有時也將路由尋址的功能做到交換機(jī)內(nèi) 即所謂三層交換 6 3 增強(qiáng)增強(qiáng) IP 組播組播 IP Multicast 能力能力 組播也稱多點播放 是一種有選擇的將信息播送到需要它的其它節(jié)點的點對多 點的通信方式 與另一種點到多點的廣播方式相比 采用組播技術(shù)可以節(jié)約寶貴的 網(wǎng)絡(luò)資源 大大降低廣播風(fēng)暴 各級網(wǎng)絡(luò)設(shè)備必須具備對 IP 組播的支持 我們?yōu)?各級推薦的交換機(jī)設(shè)備均具備這一能力 7 安全性 安全性 安全是在網(wǎng)絡(luò)建設(shè)中需要認(rèn)真分析 綜合考慮的關(guān)鍵問題 下面我們將從 5 個 方面來討論保障網(wǎng)絡(luò)安全的若干措施 7 1 網(wǎng)網(wǎng)絡(luò)絡(luò)設(shè)設(shè)計計 在內(nèi)部網(wǎng)絡(luò)設(shè)計中主要考慮的是網(wǎng)絡(luò)的可靠性和性能 而如何確保網(wǎng)絡(luò)安全也 是一個不容忽視的問題 27 38 采用網(wǎng)段分離技術(shù) 把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段 由于各網(wǎng)段間不能直接互訪 從而減少各系統(tǒng)被正面攻擊的機(jī)會 以前 網(wǎng)段分離 是物理概念 組網(wǎng)單位要為各網(wǎng)段單獨購置集線器等網(wǎng)絡(luò)設(shè)備 現(xiàn)在有了虛擬網(wǎng)技 術(shù) 網(wǎng)段分離成為邏輯概念 網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)控制臺上對網(wǎng)段做任意劃分 另外 在安全方面有一個最基本的原則 系統(tǒng)的安全性與它被暴露的程度成反 比 因此 建議將對外信息發(fā)布的服務(wù)器與內(nèi)部應(yīng)用服務(wù)器隔離 由于將數(shù)據(jù)庫和 內(nèi)部應(yīng)用系統(tǒng)封閉在系統(tǒng)內(nèi)部 增加了系統(tǒng)的安全性 7 2 應(yīng)應(yīng)用用軟軟件件 在網(wǎng)上運(yùn)行的網(wǎng)絡(luò)軟件需要通過網(wǎng)絡(luò)收發(fā)數(shù)據(jù) 要確保安全就必須采用一些安 全保障方式 7 2 1 用戶口令加密存儲和傳輸 目前 絕大多數(shù)應(yīng)用仍采用口令來確保安全 口令需要通過網(wǎng)絡(luò)傳輸 并且作 為數(shù)據(jù)存儲在計算機(jī)硬盤中 如果用戶口令仍以原碼的形式存儲和傳輸 一旦被讀 取或竊聽 入侵者將能以合法的身份進(jìn)行非法操作 絕大多數(shù)的安全防范措施將會 失效 7 2 2 分設(shè)操作員 分設(shè)操作員的方式在許多單機(jī)系統(tǒng)中早已使用 在網(wǎng)絡(luò)系統(tǒng)中 應(yīng)增加管理員 一般使用員等多種操作員類型 以便對用戶的網(wǎng)絡(luò)行為進(jìn)行限制 28 38 7 2 3 日志記錄和分析 完整的日志不僅要包括用戶的各項操作 而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接收的正確 性 有效性及合法性的檢查結(jié)果 為日后網(wǎng)絡(luò)安全分析提供依據(jù) 對日志的分析還 可用于預(yù)防入侵 提高網(wǎng)絡(luò)安全 例如 如果分析結(jié)果表明某用戶某日失敗注冊次 數(shù)高達(dá) 20 次 就可能是入侵者正在嘗試該用戶的口令 7 3 網(wǎng)網(wǎng)絡(luò)絡(luò)配配置置 網(wǎng)段分離等安全措施要想起作用 還需要由網(wǎng)絡(luò)配置來具體實施和保證 如用 于實現(xiàn)網(wǎng)段分離的虛網(wǎng)配置 為進(jìn)一步保證系統(tǒng)安全 還要在網(wǎng)絡(luò)配置中對防火墻 和路由等方面做特殊考慮 7 3 1 路由 為了避免入侵者侵入內(nèi)部資源 應(yīng)仔細(xì)進(jìn)行路由配置 路由技術(shù)雖然能阻止對 內(nèi)部網(wǎng)段的訪問 但不能約束外界公開網(wǎng)段的訪問 為了確保信息發(fā)布服務(wù)器的安 全運(yùn)轉(zhuǎn) 避免讓入侵者借助公開網(wǎng)段對內(nèi)部網(wǎng)構(gòu)成威脅 我們有必要使用防火墻技 術(shù)對此進(jìn)行限定 7 3 2 防火墻 CISCO 公司的路由器通常都具有過濾型防火墻功能 這一功能通俗地說就是由 路由器過濾掉非正常 IP 包 把大量的非法訪問隔離在路由器之外 過濾的主要依 29 38 據(jù)在源 目的 IP 地址和網(wǎng)絡(luò)訪問所使用的 TCP 或 UDP 端口號 幾乎所有的應(yīng)用都 有其固定的 TCP 或 UDP 端口號 通過對端口號的限制 可以限定網(wǎng)絡(luò)中運(yùn)行的應(yīng)用 同時我們通過增加路由器中地 IOS 擴(kuò)展模塊 Cisco IOS 防火墻 來加強(qiáng)安全防 護(hù)能力 Cisco IOS 防火墻是可用于廣泛 Cisco 路由器和交換機(jī)的 Cisco IOS 軟 件的一個擴(kuò)展模塊 它提供先進(jìn)的防火墻功能以及入侵檢測和認(rèn)證等安全技術(shù) 它 通過最新的安全特性例如靜態(tài) 基于應(yīng)用的過濾 基于上下文的訪問控制 網(wǎng)絡(luò)攻 擊防御 事先用戶鑒別和授權(quán) 及實時報警增強(qiáng)了現(xiàn)有的 Cisco IOS 安全功能 例如鑒別 加密和故障恢復(fù) 7 4 系系統(tǒng)統(tǒng)配配置置 這里的系統(tǒng)配置是主機(jī)的安全配置和數(shù)據(jù)庫的安全配置 據(jù)調(diào)查表明 85 的 計算機(jī)犯罪是內(nèi)部作案 因此這兩方面的安全配置也相當(dāng)重要 在主機(jī)的安全配置 方面 應(yīng)主要考慮普通用戶的安全管理 系統(tǒng)管理員的安全管理及通信與網(wǎng)絡(luò)的安 全管理 7 4 1 網(wǎng)絡(luò)服務(wù)程序 任何非法的入侵最終都需要通過被入侵主機(jī)上的服務(wù)程序來實現(xiàn) 如果關(guān)閉被 入侵主機(jī)上的這些程序 入侵必然無效 因此 這也是保證主機(jī)安全的一個相當(dāng)徹 底的措施 當(dāng)然 我們不能關(guān)閉所有的服務(wù)程序 可以只關(guān)閉其中沒有必要運(yùn)行的 部分 30 38 7 4 2 數(shù)據(jù)庫安全配置 在數(shù)據(jù)庫安全配置方面 應(yīng)主要注意以下幾點 選擇口令加密傳輸?shù)臄?shù)據(jù)庫 避免直接使用超級用戶 超級用戶的行為不受數(shù)據(jù)庫管理系統(tǒng)的任何約 束 一旦它的口令泄露 數(shù)據(jù)庫就毫無安全可言 一般情況下 不要直接對外界暴露數(shù)據(jù)庫 數(shù)據(jù)收發(fā)最好以存儲過程的 方式提供 并以最低的權(quán)限運(yùn)行 7 5 通通信信軟軟件件 應(yīng)用程序要發(fā)送數(shù)據(jù)時 先發(fā)往本地通信服務(wù)器 再由它發(fā)往目的通信服務(wù)器 最后由目的應(yīng)用主動向目的通信服務(wù)器查詢 接收 通信服務(wù)器上的通信軟件除了能在業(yè)務(wù)中不重 不錯 不漏地轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)外 還應(yīng)在安全方面具有以下特點 在本地應(yīng)用與本地通信服務(wù)器間提供口令保護(hù) 應(yīng)用向本地通信服務(wù)器 發(fā)送數(shù)據(jù)或查詢 接收數(shù)據(jù)時要提供口令 由通信服務(wù)器判別 IP 地址及 其對應(yīng)口令的有效性 在通信服務(wù)器之間傳輸密文時 可以采用 SSL 加密方式 如果在此基礎(chǔ) 上更再增加簽名技術(shù) 則更能提高通信的安全性 在通信服務(wù)器之間也提供了口令保護(hù) 接收方在接收數(shù)據(jù)時 要驗證發(fā) 送方的 IP 地址和口令 當(dāng)出現(xiàn) IP 地址無效或口令錯時 拒絕進(jìn)行數(shù)據(jù) 接收 提供完整的日志記錄和分析 日志對通信服務(wù)器的所有行為進(jìn)行記錄 日志分析將對其中各種行為和錯誤的頻度進(jìn)行統(tǒng)計 31 38 綜上所述 網(wǎng)絡(luò)安全問題是一個系統(tǒng)性 綜合性的問題 我們在進(jìn)行網(wǎng)絡(luò)建設(shè) 時不能將它孤立考慮 只有層層設(shè)防 這個問題才能得到有效的解決 我們還應(yīng)看 到 像其他技術(shù)一樣 入侵者的手段也在不斷提高 在安全防范方面沒有一個一勞 永逸的措施 只有通過不斷地改進(jìn)和完善安全手段 才能保證不出現(xiàn)漏洞 保證網(wǎng) 絡(luò)的正常運(yùn)轉(zhuǎn) 8 維護(hù) 維護(hù) XX 局計算機(jī)網(wǎng)絡(luò)建設(shè)完成后 將交付 XX 局一份辦公網(wǎng)絡(luò)管理手冊 根據(jù)要求 可隨時通過網(wǎng)絡(luò)遠(yuǎn)程對辦公網(wǎng)進(jìn)行維護(hù) 項目完成后的一年內(nèi)免費(fèi)維護(hù) 并派專業(yè)人員定期進(jìn)行系統(tǒng)維護(hù)和咨詢 所 有的軟件硬件都將備有完整的使用手冊 8 1 系系統(tǒng)維護(hù)統(tǒng)維護(hù) XX 局應(yīng)該具有一支自己的系統(tǒng)管理和維護(hù)隊伍 在系統(tǒng)建設(shè)的初期 技術(shù)人員 不足時 可以接受外部技術(shù)力量的協(xié)助進(jìn)行系統(tǒng)維護(hù) 同時在建設(shè)過程中培養(yǎng)出一 批能夠勝任工作的技術(shù)人員 系統(tǒng)維護(hù)的主要任務(wù) 日常事務(wù)的處理 數(shù)據(jù)備份 日志管理 服務(wù)器優(yōu)化和信息管理 32 38 用戶數(shù)據(jù)的維護(hù) 應(yīng)付突發(fā)性事件 針對以上需求 我們的的售后服務(wù)將包括 8 2 支持與服支持與服務(wù)務(wù) 8 2 1 支持和服務(wù)范圍 AA 公司對 XX 局計算機(jī)網(wǎng)絡(luò)系統(tǒng)集成工程提供支持和服務(wù)包括以下內(nèi)容 1 系統(tǒng)設(shè)備采購和到貨 2 設(shè)備安裝 調(diào)測和開通 3 系統(tǒng)驗收 4 保修 5 技術(shù)支持和服務(wù) 6 培訓(xùn) 7 工程進(jìn)度安排 8 工程文檔 33 38 8 2 2 支持和服務(wù)內(nèi)容 8 2 2 1 AA 公司基于系統(tǒng)集成和服務(wù)的技術(shù)優(yōu)勢為公司基于系統(tǒng)集成和服務(wù)的技術(shù)優(yōu)勢為 XX 局辦公網(wǎng)的安全可靠局辦公網(wǎng)的安全可靠 運(yùn)行做工作運(yùn)行做工作 以下的內(nèi)容在是基于以下的內(nèi)容在是基于 AA 公司以系統(tǒng)集成商為背景敘述的公司以系統(tǒng)集成商為背景敘述的 具體具體 操作可根據(jù)操作可根據(jù) XX 局的實際情況共同協(xié)商 局的實際情況共同協(xié)商 系系統(tǒng)設(shè)備統(tǒng)設(shè)備到到貨貨 1 系統(tǒng)設(shè)備包括路由器 局域網(wǎng)交換設(shè)備 系統(tǒng)軟件以及附件和相關(guān)配套設(shè) 備 2 在設(shè)備運(yùn)抵目的地之后由 AA 公司和 XX 局的工程技術(shù)人員及相關(guān)負(fù)責(zé)人員 共同組成的驗收小組進(jìn)行設(shè)備的開箱驗收 驗收的詳細(xì)條款由雙方共同商定 以保證所購設(shè)備為協(xié)議中的指定設(shè)備 并且在運(yùn)輸途中沒有損壞 3 在交貨時 AA 公司和 XX 局技術(shù)人員共同對設(shè)備作全面檢驗 測試和結(jié)果 須予以說明并將其附在檢驗證明書上