159A集團(tuán)信息系統(tǒng)技術(shù)方案建議書(64頁)

1、a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案 建議書建議書 （硬件集成部分）（硬件集成部分） 2021 年年 7 月月 it 售前論壇售前論壇 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 1 頁 第一章第一章 總則總則.4 1.1 關(guān)于本方案建議書.4 1.2a 集團(tuán)綜合信息系統(tǒng)現(xiàn)狀.4 1.3a 集團(tuán)綜合信息系統(tǒng)建設(shè)目標(biāo).4 第二章第二章 建設(shè)原則建設(shè)原則.5 2.1 先進(jìn)性.5 2.2 標(biāo)準(zhǔn)性.5 2.3 兼容性.6 2.4 可升級和可擴(kuò)展性.6 2.5 安全性.6 2.6 可靠性.6 2.7 易操作性.6 第三

2、章第三章 網(wǎng)絡(luò)系統(tǒng)方案網(wǎng)絡(luò)系統(tǒng)方案.7 3.1 廣域網(wǎng)設(shè)計(jì).7 3.1.1需求分析.7 3.1.2廣域網(wǎng)規(guī)劃.8 3.1.3網(wǎng)絡(luò)互連設(shè)計(jì).9 3.1.2.1 帶寬分配.9 3.1.2.2 qos 設(shè)計(jì).10 3.1.2.3 網(wǎng)絡(luò)設(shè)備選型.12 3.1.2.4 網(wǎng)絡(luò)部署.12 3.1.2.5vpn 設(shè)計(jì).14 3.1.2.6 網(wǎng)絡(luò)管理.15 第四章第四章 網(wǎng)絡(luò)安全方案網(wǎng)絡(luò)安全方案.16 4.1 安全設(shè)計(jì).16 4.1.1防火墻技術(shù).17 4.2.1.1 防火墻選型.17 4.2.1.2 技術(shù)細(xì)節(jié).17 4.2.1.3 防火墻部署.24 4.2.2入侵檢測.24 4.2.2.1 入侵檢測技術(shù).25

3、 4.2.3防病毒設(shè)計(jì).27 4.2.4.1 產(chǎn)品選型.30 4.2.4.2 防病毒部署.32 第五章第五章 主機(jī)方案主機(jī)方案.36 5.1 主機(jī)選型原則.36 5.2 小型機(jī)選型與設(shè)計(jì).37 5.2.1ibm p650介紹.37 5.3 雙機(jī)熱備.43 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 2 頁 5.3.1系統(tǒng)故障分析.44 5.3.2 hacmp 功能及雙機(jī)原理.44 5.4pc 服務(wù)器選型.47 第六章第六章 工程管理與實(shí)施工程管理與實(shí)施.47 6.1 工程督導(dǎo).47 6.1.1 工作目標(biāo).47 6.1.2內(nèi)容.48

4、6.1.2.1 詳細(xì)工程計(jì)劃.48 6.1.2.2 基于工程計(jì)劃協(xié)調(diào)工程進(jìn)展.48 6.1.2.3 工程管理.48 6.1.2.4 人力資源和設(shè)備資源的統(tǒng)一管理.48 6.1.2.5 統(tǒng)一協(xié)調(diào).49 6.1.3工程管理計(jì)劃.49 6.1.4工程協(xié)調(diào)會(huì).49 6.2 工程實(shí)施進(jìn)度一覽表.50 6.3 每一個(gè)具體工程階段的詳細(xì)描述.51 6.3.1開箱驗(yàn)收.51 6.3.2安裝環(huán)境驗(yàn)收.51 6.3.3設(shè)備的現(xiàn)場安裝.51 6.3.3.1 硬件安裝.51 6.3.3.2 軟件安裝.52 6.3.3.3 參數(shù)配置.52 6.3.3.4 現(xiàn)場故障維修.52 6.3.3.5 網(wǎng)絡(luò)升級的技術(shù)支持.52 6

5、.3.4單節(jié)點(diǎn)測試與驗(yàn)收.52 6.3.5系統(tǒng)初驗(yàn)和系統(tǒng)試運(yùn)行.53 6.3.6系統(tǒng)終驗(yàn).53 6.3.7在合同設(shè)備保修期內(nèi)的技術(shù)支持.54 6.3.7.1 技術(shù)支持概念.54 6.3.7.2 技術(shù)人員的培養(yǎng).54 6.3.7.3 技術(shù)支持的構(gòu)架.54 6.3.7.4 靈活有效的技術(shù)支持通信環(huán)境.55 6.3.7.5 有效的技術(shù)支持措施.55 第七章第七章 網(wǎng)絡(luò)培訓(xùn)計(jì)劃網(wǎng)絡(luò)培訓(xùn)計(jì)劃.56 7.1 培訓(xùn)規(guī)劃.57 7.2 培訓(xùn)目的.57 7.3 培訓(xùn)方式.57 7.4 培訓(xùn)對象.58 7.5 培訓(xùn)教師.58 7.6 培訓(xùn)課程.58 7.6.1課程列表.58 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書

6、集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 3 頁 第八章第八章 維護(hù)和支持維護(hù)和支持.61 8.1 服務(wù)的級別.61 8.2 硬件支持服務(wù).62 第九章第九章 結(jié)束語結(jié)束語.63 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 4 頁 第一章第一章 總則總則 1.1 關(guān)于本方案建議書關(guān)于本方案建議書 然而“功欲善其事，必先利其器” ，a 集團(tuán)深刻認(rèn)識到業(yè)務(wù)要發(fā)展、必須提 高企業(yè)內(nèi)部核心競爭力、而建立一個(gè)方便快捷安全的通信網(wǎng)絡(luò)綜合信息支撐 系統(tǒng)，已迫在眉睫，a 公司作為一個(gè)致力于企業(yè)信息化和系統(tǒng)集成的高科技 公司

7、非常榮幸參與 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)，希望能盡自己的全力來 施展我們的專長來實(shí)現(xiàn) a 集團(tuán)網(wǎng)絡(luò)信息系統(tǒng)的建設(shè)。 1.2a 集團(tuán)綜合信息系統(tǒng)現(xiàn)狀集團(tuán)綜合信息系統(tǒng)現(xiàn)狀 目前，a 集團(tuán)尚未在全公司建立統(tǒng)一的企業(yè)信息管理系統(tǒng)，主要是在總公 司及七大區(qū)域性公司之間通過遠(yuǎn)程異步數(shù)據(jù)傳動(dòng)方式（modem 對拔）進(jìn)行數(shù) 據(jù)采集和郵件傳遞，共有二十余個(gè)基于 lotus domino/notes4.6 開發(fā)的數(shù)據(jù)模塊 在應(yīng)用。 a 集團(tuán)擬建的企業(yè)信息系統(tǒng)將是覆蓋整個(gè) a 集團(tuán)的專業(yè)化網(wǎng)絡(luò)信息管理系 統(tǒng)。該系統(tǒng)將建立一個(gè)統(tǒng)一的企業(yè)辦公、協(xié)同運(yùn)作及管理支撐綜合平臺，提高 辦公效率、提高信息綜合利用和提高企業(yè)管

8、理水平，從而提高企業(yè)經(jīng)濟(jì)效益。 a 集團(tuán)信息系統(tǒng)的建設(shè)最終將達(dá)到以下目標(biāo)： (1)以先進(jìn)成熟的計(jì)算機(jī)技術(shù)和建筑技術(shù)為主要手段，把 a 集團(tuán)信息系統(tǒng)建 成一個(gè)覆蓋全集團(tuán)的包括綜合辦公和各專業(yè)管理系統(tǒng)在內(nèi)的支撐建筑行業(yè)的輔 助管理系統(tǒng)，建立一個(gè)統(tǒng)一的企業(yè)辦公及運(yùn)作支撐綜合平臺，以提高辦公效率 和企業(yè)管理水平，提高信息分析處理能力，從而提高企業(yè)經(jīng)濟(jì)效益。 (2)為 a 集團(tuán)員工、客戶、合作伙伴提供各種方便快捷的交流形式，提高服 務(wù)質(zhì)量，增強(qiáng) a 集團(tuán)競爭力。 (3)加強(qiáng)知識管理，建立企業(yè)自身的知識庫。 1.3a 集團(tuán)綜合信息系統(tǒng)建設(shè)目標(biāo)集團(tuán)綜合信息系統(tǒng)建設(shè)目標(biāo) a集團(tuán)信息系統(tǒng)主要提供電子郵件服務(wù)、日

9、常辦公管理、財(cái)務(wù)管理、行業(yè) 業(yè)務(wù)流程處理和知識管理功能。根據(jù)a集團(tuán)目前發(fā)展?fàn)顩r，預(yù)計(jì)到2005 年底共 有上網(wǎng)員工約為1000名，2008年底約為2000名。 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 5 頁 a 集團(tuán)綜合信息系統(tǒng)建設(shè)，本著“實(shí)用、先進(jìn)、升級簡便、擴(kuò)充性好、開放性 好”的五項(xiàng)基本原則進(jìn)行。 根據(jù)公司的實(shí)際情況和具體的應(yīng)用需求及行業(yè)的 特點(diǎn)，采用分期分階段的實(shí)施。 在項(xiàng)目實(shí)施過程中，以少花錢多辦事為原則， 每期的投資都應(yīng)有繼承性。 本期項(xiàng)目的目標(biāo)是建立如下系統(tǒng)： （1）建立連通 a 集團(tuán)內(nèi)部各組織機(jī)構(gòu)的網(wǎng)絡(luò)平臺； （

10、2）建立一個(gè)安全、穩(wěn)定、高效的網(wǎng)絡(luò)運(yùn)行空間； （3）建立通用辦公系統(tǒng)及郵件系統(tǒng)； （4）建立財(cái)務(wù)管理系統(tǒng)； （5）內(nèi)部網(wǎng)站、網(wǎng)絡(luò)視頻會(huì)議、bbs 交流協(xié)作環(huán)境的建設(shè)； （6）建立適合建筑行業(yè)的綜合業(yè)務(wù)管理系統(tǒng)； （7）加強(qiáng)知識管理，建立企業(yè)自身的知識庫； 本系統(tǒng)的建設(shè)能滿足未來 5 年內(nèi)的業(yè)務(wù)需求的升級， 第二章第二章 建設(shè)原則建設(shè)原則 多業(yè)務(wù)網(wǎng)絡(luò)系統(tǒng)方案以實(shí)現(xiàn)以上功能為基本要求，在設(shè)計(jì)上力求做到既 要采用國際上先進(jìn)的技術(shù)，又要保證系統(tǒng)的安全可靠性和實(shí)用性。具體來講， 其設(shè)計(jì)遵循以下原則： 2.1 先進(jìn)性先進(jìn)性 系統(tǒng)的主機(jī)系統(tǒng)、網(wǎng)絡(luò)平臺、數(shù)據(jù)庫系統(tǒng)、應(yīng)用軟件均應(yīng)使用目前國際上 較先進(jìn)、較成熟的

11、技術(shù)，符合國際標(biāo)準(zhǔn)和規(guī)范； 2.2 標(biāo)準(zhǔn)性標(biāo)準(zhǔn)性 所采用技術(shù)的標(biāo)準(zhǔn)化，可以保證網(wǎng)絡(luò)發(fā)展的一致性，增強(qiáng)網(wǎng)絡(luò)的兼容性， 以達(dá)到網(wǎng)絡(luò)的互連與開放。為確保將來不同廠家設(shè)備、不同應(yīng)用、不同協(xié)議連 接，整個(gè)網(wǎng)絡(luò)從設(shè)計(jì)、技術(shù)和設(shè)備的選擇，必須支持國際標(biāo)準(zhǔn)的網(wǎng)絡(luò)接口和協(xié) 議，以提供高度的開放性。 全面支持 ieee 工業(yè)標(biāo)準(zhǔn)： 802.1d，802.1p，802.1q，802.1x，802.3，802.3u，802.3z；支持路由協(xié)議：ip 的 rip v1/2，ospf，bgp-4；信令標(biāo)準(zhǔn)：h.323,rtp/crtp. 支持：ipsec、l2tp、gre、mpls-vpn 規(guī)范。 支持多址廣播協(xié)議：ig

12、mp，dvmrp，pim-dm，pim-sm； 網(wǎng)絡(luò)管理協(xié)議：snmp，rmon，rmon2； a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 6 頁 2.3 兼容性兼容性 跟蹤世界科技發(fā)展動(dòng)態(tài)，網(wǎng)絡(luò)規(guī)劃與現(xiàn)有光纖傳輸網(wǎng)及將要改造的分配 網(wǎng)有良好的兼容，在采用先進(jìn)技術(shù)的前提下，最大可能地保護(hù)已有投資，并能 在已有的網(wǎng)絡(luò)上擴(kuò)展多種業(yè)務(wù)。 2.4 可升級和可擴(kuò)展性可升級和可擴(kuò)展性 隨著技術(shù)不斷發(fā)展，新的標(biāo)準(zhǔn)和功能不斷增加，網(wǎng)絡(luò)設(shè)備必須可以通過網(wǎng) 絡(luò)進(jìn)行升級，以提供更先進(jìn)、更多的功能。在網(wǎng)絡(luò)建成后，隨著應(yīng)用和用戶的 增加，核心骨干網(wǎng)絡(luò)設(shè)備的交

13、換能力和容量必須能作出線性的增長。設(shè)備應(yīng)能 提供高端口密度、模塊化的設(shè)計(jì)以及多種類接口、技術(shù)的選擇，以方便未來更 靈活的擴(kuò)展。 2.5 安全性安全性 由于系統(tǒng)和其它系統(tǒng)連接，因此，考慮系統(tǒng)的安全性是一個(gè)非常重要的方 面。應(yīng)采用設(shè)有安全控制的網(wǎng)關(guān)設(shè)備相連，使用 vpn 技術(shù)和防火墻等。 2.6 可靠性可靠性 本系統(tǒng)是 7x24 小時(shí)連續(xù)運(yùn)行系統(tǒng)，從硬件和軟件兩方面來保證系統(tǒng)的高 可靠性。 硬件可靠性 系統(tǒng)的主要部件采用冗余結(jié)構(gòu)，如：傳輸方式的備份，提供備份組網(wǎng)結(jié)構(gòu)； 主要的計(jì)算機(jī)設(shè)備（如數(shù)據(jù)庫服務(wù)器） ，采用 cluster 技術(shù),支持雙機(jī)或多機(jī) 高可用結(jié)構(gòu)；配備不間斷電源等。 軟件可靠性 充分

14、考慮異常情況的處理，具有強(qiáng)的容錯(cuò)能力、錯(cuò)誤恢復(fù)能力、錯(cuò)誤記錄 及預(yù)警能力并給用戶以提示；并具有進(jìn)程監(jiān)控管理功能，保證各進(jìn)程的可靠運(yùn) 行數(shù)據(jù)庫系統(tǒng)應(yīng)。 網(wǎng)絡(luò)結(jié)構(gòu)穩(wěn)定性 當(dāng)增加/擴(kuò)充應(yīng)用子系統(tǒng)時(shí)，不影響網(wǎng)絡(luò)的整體結(jié)構(gòu)以及整體性能，對關(guān) 鍵的網(wǎng)絡(luò)連接采用主備方式，已保證數(shù)據(jù)的傳輸?shù)目煽啃浴?本系統(tǒng)應(yīng)具有較強(qiáng)的容災(zāi)容錯(cuò)能力，具有完善的系統(tǒng)恢復(fù)和安全機(jī)制； 2.7 易操作性易操作性 提供中文方式的圖形用戶界面，簡單易學(xué)，方便實(shí)用。 優(yōu)良的性能價(jià)格比。 系統(tǒng)應(yīng)著重考慮和滿足以上的設(shè)計(jì)要求。 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 7 頁 第

15、三章第三章 網(wǎng)絡(luò)系統(tǒng)方案網(wǎng)絡(luò)系統(tǒng)方案 該系統(tǒng)包括：36 個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)互連方案、線路備份、內(nèi)部局域網(wǎng)的建設(shè)。 3.1 廣域網(wǎng)設(shè)計(jì)廣域網(wǎng)設(shè)計(jì) 目前 a 集團(tuán)在全國有 36 處公司極其分支機(jī)構(gòu)，可以分為 3 類：1 公司總 部（數(shù)量 1） 、2 區(qū)域性公司及本部（數(shù)量 7） 、3 分公司及事業(yè)部（數(shù)量 28） 。 3.1.1 需求分析需求分析 如下表在全國 a 集團(tuán)有 36 個(gè)節(jié)點(diǎn)，其分布如下： 公司名稱公司名稱所屬類別所屬類別所在地所在地用戶數(shù)用戶數(shù)備注備注 集團(tuán)總部總公司杭州100總部 a 一建區(qū)域性公司東陽50區(qū)域性公司 a 二建區(qū)域性公司杭州100區(qū)域性公司 a 三建區(qū)域性公司上海100區(qū)域性

16、公司 a 四建區(qū)域性公司北京50區(qū)域性公司 a 五建區(qū)域性公司西安100區(qū)域性公司 a 六建區(qū)域性公司武漢50區(qū)域性公司 a 七建區(qū)域性公司廣州50區(qū)域性公司 集團(tuán)本部總公司東陽50同 a 一建共 金華分公司分公司金華隸屬 a 一建 義東分公司分公司義烏隸屬 a 一建 溫州分公司分公司溫州隸屬 a 一建 衢州分公司分公司衢州隸屬 a 一建 寧波分公司分公司寧波隸屬 a 二建 嘉興分公司分公司嘉興隸屬 a 二建 南京分公司分公司南京隸屬 a 三建 合肥分公司分公司合肥隸屬 a 三建 天津分公司分公司天津隸屬 a 四建 內(nèi)蒙分公司分公司呼和浩特隸屬 a 四建 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書

17、集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 8 頁 青海分公司分公司西寧隸屬 a 五建 甘肅分公司分公司酒泉隸屬 a 五建 湖南分公司分公司長沙隸屬 a 六建 江西分公司分公司南昌隸屬 a 六建 a 高級中學(xué)子公司東陽子公司 杭州天翔房產(chǎn)公 司 子公司杭州子公司 a 房產(chǎn)開發(fā)公司子公司東陽子公司 西安亞東房產(chǎn)公 司 子公司西安子公司 湖南天翔房產(chǎn)公 司 子公司長沙子公司 上海亞東房產(chǎn)公 司 子公司上海子公司 華天裝飾有限公 司 子公司杭州子公司 安裝工程有限公 司 子公司杭州子公司 海外工程事業(yè)部事業(yè)部北京隸屬總公司 裝飾事業(yè)部事業(yè)部杭州隸屬總公司 房地產(chǎn)投資事業(yè) 部

18、事業(yè)部上海隸屬總公司 交通工程事業(yè)部事業(yè)部杭州隸屬總公司 項(xiàng)目部項(xiàng)目部分布各地在建項(xiàng)目約 500 個(gè) 3.1.2 廣域網(wǎng)規(guī)劃廣域網(wǎng)規(guī)劃 根據(jù)前面的需求分析,考慮到網(wǎng)絡(luò)的收斂性,經(jīng)濟(jì)與安全等因素,我們建議采用 星型結(jié)構(gòu)的拓?fù)?這樣可以充分利用帶寬資源,整個(gè)網(wǎng)絡(luò)采用 3 級結(jié)構(gòu)：一級節(jié) 點(diǎn)為：集團(tuán)總部共 1 個(gè)，二級節(jié)點(diǎn)為：區(qū)域性公司及本部共 7 個(gè)，三級節(jié)點(diǎn)為 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 9 頁 其他分公司及事業(yè)部共 28 個(gè)，廣域網(wǎng)規(guī)劃如下： 在相應(yīng)的一級節(jié)點(diǎn)和二級節(jié)點(diǎn)相應(yīng)的局域網(wǎng)內(nèi)部署入侵檢測和防火墻，來保證 系統(tǒng)

19、的安全。 3.1.3 網(wǎng)絡(luò)互連設(shè)計(jì)網(wǎng)絡(luò)互連設(shè)計(jì) 根據(jù)網(wǎng)絡(luò)互連的需求分析，以及廣域網(wǎng)規(guī)劃，我們建議從以下幾個(gè)方面來 考慮網(wǎng)絡(luò)的設(shè)計(jì)：帶寬分配、qos 設(shè)計(jì)、路由設(shè)計(jì)、ip 地址分配、網(wǎng)絡(luò)部署 等。 3.1.2.1 帶寬分配帶寬分配 為了支持 a 集團(tuán)多業(yè)務(wù)系統(tǒng)的可持續(xù)發(fā)展，考慮的經(jīng)濟(jì)組網(wǎng)的原則，我們 來分析該集團(tuán)目前和將來的業(yè)務(wù)屬性、和業(yè)務(wù)邏輯等因素對網(wǎng)絡(luò)鏈路的需求， 同時(shí)也是設(shè)備選型的一個(gè)依據(jù)。 a 集團(tuán)目前有或?qū)⒁械臉I(yè)務(wù)有全公司的上網(wǎng)需求、財(cái)務(wù)系統(tǒng)、視頻會(huì)議、 公司的辦公自動(dòng)化系統(tǒng)、建筑行業(yè)的綜合業(yè)務(wù)管理系統(tǒng)、郵件系統(tǒng)、知識庫系 統(tǒng)的建設(shè)等的建設(shè)。以上數(shù)據(jù)涉及到保密、實(shí)時(shí)流媒體等數(shù)據(jù)傳輸要

20、求，我們 從鏈路選型、帶寬計(jì)算兩方面來確定所需的帶寬。 鏈路選型： 目前比較常使用的數(shù)據(jù)鏈路業(yè)務(wù)可以是：ddn、fr、isdn： ddn 專線接入向用戶提供的是永久性的數(shù)字連接，沿途不進(jìn)行復(fù)雜的軟件 處理，因此延時(shí)較短，避免了傳統(tǒng)的分組網(wǎng)中傳輸協(xié)議復(fù)雜、傳輸時(shí)延長且不 固定的缺點(diǎn)；ddn 專線接入采用交叉連接裝置，可根據(jù)用戶需要，在約定的時(shí) 間內(nèi)接通所需帶寬的線路，信道容量的分配和接續(xù)均在計(jì)算機(jī)控制下進(jìn)行，具 有極大的靈活性和可靠性，使用戶可以開通各種信息業(yè)務(wù)，傳輸任何合適的信 息，因此，ddn 專線接入在多種接入方式中深受用戶的青睞。 ddn 專線接入的主要優(yōu)點(diǎn)： 能提供高性能的點(diǎn)到點(diǎn)通信。

21、通信保密性強(qiáng)，特別適合金融、保險(xiǎn)等保密性要 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 10 頁 求高的客戶需要； 傳輸質(zhì)量高，網(wǎng)絡(luò)時(shí)延小，通信速率可根據(jù)用戶需要按 n64kbps 選擇 ；信道固定分配，充分保證了通信的可靠性，保證用戶的帶寬不會(huì)受其他用戶 的影響 ；用戶通過這條高速的國際互聯(lián)網(wǎng)通道，可構(gòu)筑自己的 internet、e- mail 等應(yīng)用系統(tǒng) ；用戶網(wǎng)絡(luò)的整體接入使局域網(wǎng)內(nèi)的 pc 均可共享互聯(lián)網(wǎng)資 源； 用戶可免費(fèi)得到多個(gè) internet 合法 ip 地址及域名 ；用戶可實(shí)現(xiàn)每天 24 小時(shí)全天候的信息發(fā)布，即用

22、戶可建立自己的 web 站點(diǎn)，向國際互聯(lián)網(wǎng)發(fā)布 自己的信息或提供信息服務(wù) ；用戶可通過防火墻等技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)免受不 良侵害 。 本期 a 集團(tuán)要實(shí)現(xiàn)的業(yè)務(wù)當(dāng)中，有數(shù)據(jù)業(yè)務(wù)（郵件、公文流轉(zhuǎn)、互聯(lián)網(wǎng)、 內(nèi)部系統(tǒng)、數(shù)據(jù)查詢）和流媒體業(yè)務(wù)（視頻會(huì)議等） 。 由于整個(gè)網(wǎng)絡(luò)環(huán)境為 tcp/ip 框架下，對于數(shù)據(jù)業(yè)務(wù)這類非實(shí)時(shí)業(yè)務(wù)來講， 網(wǎng)絡(luò)自身可以實(shí)現(xiàn)數(shù)據(jù)重傳恢復(fù)機(jī)制，對帶寬的需求不是很大，而流媒體業(yè)務(wù) 這類實(shí)時(shí)業(yè)務(wù)來講，必須具備兩個(gè)因素才可以在 ip 環(huán)境下實(shí)現(xiàn)的比較好： （1）具備一定的帶寬，達(dá)到理想的傳輸環(huán)境，理論上傳輸一路 mpeg 視頻為 384k，如果采用雙向視頻會(huì)議必須具備大于 2*384

23、=768k 的帶寬。 （2）網(wǎng)絡(luò)具 備一定的 qos 機(jī)制（關(guān)于 qos 在 qos 設(shè)計(jì)里詳細(xì)介紹） 。 從一級節(jié)點(diǎn)到二級節(jié)點(diǎn)帶寬一級節(jié)點(diǎn)到二級節(jié)點(diǎn)帶寬計(jì)算如下（按兩路視頻會(huì)議和 2000 人上網(wǎng)計(jì) 算）： 二級節(jié)點(diǎn)平均分配的人數(shù)為：2000/7=286 人； 根據(jù) gartner 統(tǒng)計(jì)數(shù)據(jù)分析，一個(gè)企業(yè)一般只有 10%-20%的人并發(fā)上網(wǎng)或 發(fā)郵件，我們按 15%計(jì)算，即： 二級節(jié)點(diǎn)并發(fā)上傳或下載數(shù)據(jù)的人數(shù)為：286*15%=43 人； 一般 24k/秒的速度數(shù)據(jù)能確保 2 秒鐘正常打開網(wǎng)頁，即： 二級節(jié)點(diǎn)需要廣域網(wǎng)鏈路基本帶寬為：43*24k=1028k。 由于視頻會(huì)議不是經(jīng)常開，當(dāng)視頻

24、會(huì)議必要是可以通過 qos 優(yōu)先級別搶 占 1028k 帶寬中的 768k。我們建議采用 1024k 帶寬為一級節(jié)點(diǎn)到二級的節(jié)點(diǎn) 帶寬，可以滿足到未來 2008 年的需求。如果需要額外的視頻帶寬可以即使方 便的向電信申請，而不必更換網(wǎng)絡(luò)設(shè)備的模塊。 從一級節(jié)點(diǎn)到互聯(lián)網(wǎng)帶寬計(jì)算一級節(jié)點(diǎn)到互聯(lián)網(wǎng)帶寬計(jì)算如下：（2000 人上網(wǎng)計(jì)算）： 到 2008 年，上網(wǎng)人數(shù)將達(dá)到 2000 人，根據(jù) gartner 統(tǒng)計(jì)數(shù)據(jù)分析，一個(gè) 企業(yè)一般只有 10%-20%的人并發(fā)上網(wǎng)或發(fā)郵件，我們按 15%計(jì)算，即： 二級節(jié)點(diǎn)并發(fā)上傳或下載數(shù)據(jù)的人數(shù)為：2000*15%=300 人； 一般 24k/秒的速度數(shù)據(jù)能確保

25、 2 秒鐘正常打開網(wǎng)頁，即： 二級節(jié)點(diǎn)需要廣域網(wǎng)鏈路基本帶寬為：300*24k=7200k。在 2008 年左右 可以申請 10m 電路，而不會(huì)添加用戶端設(shè)備，完全滿足需求，目前我們可以 考慮 2m 電路就可以滿足了。 3.1.2.2 qos 設(shè)計(jì)設(shè)計(jì) 由于考慮到整個(gè)綜合業(yè)務(wù)網(wǎng)絡(luò)信息系統(tǒng)的可靠性和可用性，那么一個(gè)質(zhì)量 保證的體系結(jié)構(gòu)是必須具備的，這也是一個(gè)設(shè)備選型的必須考慮的地方， a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 11 頁 要實(shí)現(xiàn)網(wǎng)絡(luò)的穩(wěn)定質(zhì)量，最先考慮的就是什么業(yè)務(wù)對整個(gè)網(wǎng)絡(luò)系統(tǒng)的服務(wù) 質(zhì)量最關(guān)心，在這里最關(guān)鍵的就是視

26、頻會(huì)議和數(shù)據(jù)語音，這兩種業(yè)務(wù)才是最關(guān) 心服務(wù)質(zhì)量的，視頻會(huì)議系統(tǒng)一般全面支持 h.323 和 t.120 標(biāo)準(zhǔn)來完成視頻、 音頻、數(shù)據(jù)的集中和轉(zhuǎn)發(fā)。同樣，在我們國家，像聯(lián)通等語音電話采用的是 h.323 協(xié)議，當(dāng)然也有像北電的基于軟交換功能的語音系統(tǒng)，但是都是要求對 時(shí)間比較敏感的協(xié)議，如 udp，rtp，crtp 等，所以 qos 是一定要保證的， 除了數(shù)字線路的服務(wù)質(zhì)量以外，就是要考慮接入服務(wù)器的 qos 功能了。 1先進(jìn)先出（fifo） 先進(jìn)先出提供了基本的存貯轉(zhuǎn)發(fā)功能，也是目前 internet 使用最廣泛的一種 方式，它在網(wǎng)絡(luò)擁塞時(shí)存貯分組，在擁塞解除時(shí)按分組到達(dá)順序轉(zhuǎn)發(fā)分組。是 默

27、認(rèn)的排隊(duì)方法，因此不需要配置。缺點(diǎn)是不提供 qos 功能，對突發(fā)數(shù)據(jù)流在 傳輸時(shí)間要求嚴(yán)格時(shí)，應(yīng)用程序會(huì)引起過多的延遲，并對突發(fā)性的存在包丟失 的連接公平性較差，對上層的 tcp 快速恢復(fù)的效率也較低。 2優(yōu)先級排隊(duì)算法（priorityqueuing，pq） 優(yōu)先級排隊(duì)算法是禁止其它流量的前提下，授權(quán)一種類型的流量通過，使 用優(yōu)先級排隊(duì)給路由接口上傳輸?shù)臄?shù)據(jù)分配優(yōu)先級，當(dāng)有空閑路由時(shí)，路由就 來回掃描所有隊(duì)列，將高優(yōu)先隊(duì)列數(shù)據(jù)發(fā)出，只有當(dāng)高優(yōu)先級隊(duì)列空了以后， 才能為低優(yōu)先級服務(wù)，如果優(yōu)先級隊(duì)列滿，則扔掉數(shù)據(jù)包，路由器不處理，優(yōu) 先級排隊(duì)適用于網(wǎng)絡(luò)鏈路不斷阻塞的情況。 pq 的帶寬分配獨(dú)立于

28、數(shù)據(jù)包大小。因此它在沒有犧牲統(tǒng)計(jì)利用的情況下 提供另外的公平性，與端到端的擁塞控制機(jī)制可以較好的協(xié)同，它的缺點(diǎn)在于 實(shí)現(xiàn)起來很復(fù)雜，需要每個(gè)數(shù)據(jù)流的排隊(duì)處理，每個(gè)流狀態(tài)統(tǒng)計(jì)，數(shù)據(jù)包的分 類以及包調(diào)度的額外開銷等。 3定制排隊(duì) 定制排隊(duì)是為允許具有不同最低帶寬和延遲要求的應(yīng)用程序共享網(wǎng)絡(luò)而設(shè) 計(jì)的。定制排隊(duì)為不同的協(xié)議分配不同的隊(duì)列空間，并以循環(huán)方式處理隊(duì)列。 為特定的協(xié)議分配較大的隊(duì)列空間可以提高其優(yōu)先級。定制排隊(duì)比優(yōu)先級更為 “公平”。在可能發(fā)生擁塞的地方使用定制排隊(duì)可以提供保證的帶寬。定制排 隊(duì)可以保證為每一個(gè)特定的通信類型得到固定部分的可用帶寬，同時(shí)在鏈路緊 張的情況下，避免數(shù)據(jù)包企圖占

29、用超出預(yù)分配量限制的可能。 4加權(quán)公平排隊(duì)（weight fair queuing，wfq） 加權(quán)公平排隊(duì)用于減少延遲變化，為數(shù)據(jù)流提供可預(yù)測的吞吐量和響 應(yīng)時(shí)間。目標(biāo)是為輕載網(wǎng)絡(luò)用戶和重載網(wǎng)絡(luò)用戶提供公平一致的服務(wù)。保證低 權(quán)值的響應(yīng)時(shí)間與高權(quán)值的響應(yīng)時(shí)間一致。 加權(quán)公平排隊(duì)是一種基于數(shù)據(jù)流的排隊(duì)算法，它能識別交互式應(yīng)用的數(shù)據(jù) 流，并將應(yīng)用的數(shù)據(jù)流調(diào)度到隊(duì)列前部，以減少響應(yīng)時(shí)間。wfq 與定制排隊(duì)和 優(yōu)先排隊(duì)不同。能自動(dòng)適應(yīng)不斷變化的網(wǎng)絡(luò)通信環(huán)境，幾乎不需要配置。 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 12 頁 5隨機(jī)先期檢

30、測（random early detection，red） 前面介紹的排隊(duì)機(jī)制是基本的擁塞控制策略。盡管這些技術(shù)對控制擁塞 是必須的。但它們對避免擁塞現(xiàn)象的發(fā)生都顯得無能為力。 隨機(jī)先期檢測監(jiān) 視網(wǎng)上各點(diǎn)的通信負(fù)載，如果擁塞增多，就隨機(jī)丟棄一些分組，當(dāng)源分布點(diǎn)檢 測到通信丟失，降低傳輸速率。red 可以在各連接之間獲得較好的公平性，對 突出業(yè)務(wù)適應(yīng)性較強(qiáng)。 6加權(quán)隨機(jī)先期檢測（weightedrandom early detection，wred） 加權(quán)隨機(jī)先期檢測是將 red 與優(yōu)先級排隊(duì)結(jié)合起來，這種結(jié)合為高優(yōu)先 級分組提供了優(yōu)先通信處理能力，當(dāng)某個(gè)接口開始出現(xiàn)擁塞時(shí)，它有選擇地丟 棄較低

31、優(yōu)先級的通信，而不是簡單地隨機(jī)丟棄分組。 總之，在傳統(tǒng) tcp 擁塞控制中，結(jié)合 ip 層擁塞控制算法，將是完善 internet 擁塞控制最有效的途徑。 3.1.2.3 網(wǎng)絡(luò)設(shè)備選型網(wǎng)絡(luò)設(shè)備選型 設(shè)備的選型對整個(gè)網(wǎng)絡(luò)系統(tǒng)的質(zhì)量十分重要，a 公司做為一個(gè)成熟的系 統(tǒng)集成商，有一套科學(xué)而有效的質(zhì)量管理體系，首先，要考慮用戶的需求、售 后服務(wù)、關(guān)鍵應(yīng)用、特殊應(yīng)用、質(zhì)量保證、網(wǎng)絡(luò)屬性、目前系統(tǒng)系統(tǒng)結(jié)構(gòu)等幾 個(gè)方面來考慮。 現(xiàn)在國內(nèi)的著名網(wǎng)絡(luò)設(shè)備的供應(yīng)商主要有三家 cisco,3com 和華為。其中 3com 的路由器設(shè)備在中國使用不是十分廣泛，同時(shí)網(wǎng)絡(luò)產(chǎn)品以交換機(jī)為主要 產(chǎn)品，在其他網(wǎng)絡(luò)產(chǎn)品方面力量

32、相對其他兩家廠商稍弱。華為作為中國重要的 網(wǎng)絡(luò)產(chǎn)品供應(yīng)商，產(chǎn)品線齊全，種類多檔次較齊全在，中國市場有一定的占有 率，價(jià)格比較便宜，主要是通常的網(wǎng)絡(luò)應(yīng)用環(huán)境，在 vpn、voip 和其他復(fù)雜 應(yīng)用中比較少。cisco 做為全球最大的網(wǎng)絡(luò)設(shè)備供應(yīng)商，在路由器和交換機(jī)領(lǐng) 域的成果有目共睹，它的產(chǎn)品應(yīng)用在世界各個(gè)角落，在中國也廣為使用。 cisco 產(chǎn)品線齊全，從小型的 soho 用路由器和交換機(jī)到大型骨干路由器、交 換機(jī)一應(yīng)俱全。同時(shí)產(chǎn)品端口密度高，同一產(chǎn)品具有多種不同配置方案有利于 產(chǎn)品的多功能化如 voip、vpn 等。它擁有許多獨(dú)創(chuàng)的技術(shù)如 isl、netflow、fast etherchan

33、nel 等，對系統(tǒng)今后的演進(jìn)和發(fā)展有很大好處， 而在 ip 廣域互連上，cisco 具有最大的優(yōu)勢，同時(shí)由于 cisco 完整的產(chǎn)品線 為用戶提供了豐富的選擇余地，cisco 網(wǎng)絡(luò)設(shè)備的優(yōu)秀兼容性也為和其他公司 產(chǎn)品互連提供了可靠的保證。在售后方面，cisco 也做的很好，在 a 集團(tuán)綜 合網(wǎng)絡(luò)信息系統(tǒng)中原有設(shè)備大部分為 cisco 產(chǎn)品，考慮到網(wǎng)絡(luò)的平滑性，和 維護(hù)方便等各個(gè)原因，特別是特殊應(yīng)用 qos 的保證方面，vpn 特性方面、安 全方面等，比其他兩個(gè)廠家都要成熟和更多的案例，針對本次項(xiàng)目我們推薦 cisco 高可用的產(chǎn)品在實(shí)現(xiàn)系統(tǒng)的網(wǎng)絡(luò)支撐平臺。 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議

34、書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 13 頁 3.1.2.4 網(wǎng)絡(luò)部署網(wǎng)絡(luò)部署 杭州 a 集團(tuán)總部一級節(jié)點(diǎn),作為核心節(jié)點(diǎn),具備如下功能:匯接二級 7 個(gè)節(jié)點(diǎn) 的數(shù)據(jù),終結(jié) vpn 隧道,我們建議采用 cisco 最新高性能路由器 cisco374- vpn/k9 作為核心路由器, 模塊化 cisco 3700 系列應(yīng)用服務(wù)路由器充分利用了 cisco 1700、2600 和 3600 系列路由器針對 wan 訪問、語音網(wǎng)關(guān)和撥號應(yīng)用 等而配備的可選的網(wǎng)絡(luò)模塊(nm)、wan 接口卡(wig)和高級集成模塊(aim)。 此外，cisco 3725 和 cisco

35、 3745 這兩個(gè) cisco 3700 平臺引進(jìn)一種新的、可提 供更廣泛接口的高密度服務(wù)模塊 (hdsm)。配備四個(gè) nm 插槽的 cisco 3745 路由器取消了在每一對相鄰 nm 插槽之間的中心導(dǎo)軌，因此可以采用兩個(gè) hdsm ，而不是四個(gè) nm。配備兩個(gè) nm 插槽的 cisco 3725 路由器可在它 所配備的兩個(gè) nm 插槽之一中采用一個(gè) hdsm ，并仍可在剩余的 nm 插槽 內(nèi)采用一個(gè) nm 。采用新的 hdsm 之后，cisco 3700 系列路由器就能夠集 成更高端口密度和新的高性能服務(wù)了。支持 vpn,提供 7 個(gè)廣域網(wǎng)接口,和一個(gè) internet 廣域網(wǎng)口,通過高級

36、集成模塊 aim-vpn-hp 來實(shí)現(xiàn) vpn 加密隧道的發(fā) 起與終結(jié),cisco3745 本身集成了 3 個(gè) wic 卡，我們可以通過提供 2 個(gè) nm- 2w 模塊，配置 2 個(gè) wic-2t，和 1 個(gè) wic-1t，共 8 個(gè)，其中 7 個(gè)接入二級節(jié) 點(diǎn)，另外一個(gè)可以作為 internet 接駁，internet 接駁速率暫時(shí)定為 2m，將來可 以通過升級到 10m。如圖所示： 在本次項(xiàng)目中，cisco3745-vpn/k9 最大可以同時(shí)支持 2000 個(gè) tunnels，即便 是 2008 年全體上網(wǎng)人數(shù)同時(shí)與總部通信，都沒有任何問題；局域網(wǎng)采用天融 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案

37、建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 14 頁 信防火墻 ngfw4000-s 來實(shí)現(xiàn)阻隔某些端口的入侵和非法探測，提供詳細(xì)的 日志與審計(jì)功能，該防火墻也可以跟入侵檢測系統(tǒng)天闐 500 聯(lián)動(dòng)，動(dòng)態(tài)檢測黑 客的入侵并禁用相應(yīng)端口，在防火墻的 dmz 部署 web 服務(wù)器供外部訪問， 詳細(xì)描述見網(wǎng)絡(luò)安全設(shè)計(jì)。 對于三級節(jié)點(diǎn)的 vpn 接入就可以支持多種方式了，最經(jīng)濟(jì)的方式就是采用 site to client 方式，由 cisco 自帶的 vpn client（支持多種操作系統(tǒng)）通過 撥號或通過專線、isdn、fr 等方式訪問 vpn，由對端的 vpn 網(wǎng)關(guān)提供

38、認(rèn)證， 具體方式見下面章節(jié)：vpn 設(shè)計(jì)。整體拓?fù)淙缦滤荆?3.1.2.5vpn 設(shè)計(jì)設(shè)計(jì) vpn（虛擬專網(wǎng)）是利用公共網(wǎng)絡(luò)資源(如公用電信網(wǎng))為客戶組建專用網(wǎng) 的一種技術(shù)，它通過對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行封包和加密傳輸，在公網(wǎng)上傳輸私有數(shù)據(jù)， 達(dá)到私有網(wǎng)絡(luò)的安全級別，從而利用公網(wǎng)構(gòu)筑專網(wǎng)（即 vpn） 。它是一種邏輯 上的專用網(wǎng)絡(luò)，向用戶提供專用網(wǎng)絡(luò)所具有的功能，但本身卻不是一個(gè)獨(dú)立的 物理網(wǎng)絡(luò)。 本次項(xiàng)目中根據(jù)前面規(guī)劃： 在一級節(jié)點(diǎn)與二級節(jié)點(diǎn)之間部署端到到端 vpn：site to site，結(jié)構(gòu)為星型 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部

39、分) 第 15 頁 結(jié)構(gòu)：hub-spoke。 在二級節(jié)點(diǎn)與三級節(jié)點(diǎn)部署端到點(diǎn)方式 vpn：site to clint。 在本次項(xiàng)目應(yīng)用中考慮到傳輸?shù)挠幸曨l、語音、數(shù)據(jù) 3 類信息，各類信息 對網(wǎng)絡(luò)環(huán)境都有一定的要求，特別是 vpn 環(huán)境下的實(shí)現(xiàn)更是比較復(fù)雜，我們 采用 cisco3745、2621xm vpn 多應(yīng)用服務(wù)器可以支持 v3pn，即能在 ipsec 隧道上實(shí)現(xiàn)視頻、語音、數(shù)據(jù) 3 類信息的封裝，而保證 ip 中的 qos 特性不改 變，從而保證數(shù)據(jù)的 ip 連貫應(yīng)用。這個(gè)過程多用戶來講是透明的。 在 cisco3745、2621xm 中，提供 12.2(13) t 或以上版本的

40、ios，支持 ipsec 提供 des 和 3des 的 advanced encryption standard (aes)，新型的 aes 支持 128-bit key (default), 和 192-bit key, 或 256-bit key.提供更加復(fù)雜更 加安全的應(yīng)用。如圖所示： 通過以上設(shè)計(jì)可以保證原來的 qos 機(jī)制在網(wǎng)絡(luò)中一直啟用，保證網(wǎng)絡(luò)的 平滑。 考慮到網(wǎng)絡(luò)規(guī)模的變大，如將來可能需要建立新的辦事處或地域性分公司， 這樣添加的路由器可能會(huì)對基于傳統(tǒng) ipsec 方式的 vpn 造成一定的影響，我們 可以采用 ipsec+gre（通用路由封裝）技術(shù)來實(shí)現(xiàn)基于 ip 路由收斂

41、的 vpn 技 術(shù)，這樣，路由的更新可以完全透過 2 層 vpn 來實(shí)現(xiàn)，這對用戶來講是完全 透明的，一旦 a 集團(tuán)的規(guī)模發(fā)生巨大的變化，網(wǎng)絡(luò)拓?fù)浞绞揭兓鐦?gòu)成 mesh 方式或節(jié)點(diǎn)數(shù)大大增加，我們可以完全在不更改設(shè)備的情況下建立基于 mpls vpn，cisco3745 完全可以設(shè)置 pe 路由器，而 cisco2621 可以相應(yīng)地 設(shè)置為 ce 路由器，這樣整個(gè)核心 vpn 網(wǎng)絡(luò)就從 2 層 vpn 直接升級到 3 層 ip vpn 構(gòu)架來了。 在二級節(jié)點(diǎn)與三級節(jié)點(diǎn)采用端到點(diǎn)方式 vpn：site to client。 對于 3 級節(jié)點(diǎn)加入到集團(tuán) vpn 當(dāng)中來，就非常方便了，我們購買的

42、 cisco3745 和 cisco2621 vpn 路由器，隨機(jī)附帶了一份 cd，包含了 client 端 ipsec 程序，該程序非常簡單大部分的設(shè)置都是預(yù)定義的，vpn 訪問策略和 配置可以直接從相應(yīng)所屬的二級或一級 vpn gateway（這里是 3745 或 2621 路 由器）直接下載，目前 vpn client 可以支持如下系統(tǒng) windows 95(osr2+), 98, me, nt 4.0, 2000, xp, linux (intel), solaris (ultrasparc-32 每個(gè) 7311-d20 可增加 7 個(gè)適配器插槽。因此 pseries 650 的插槽總

43、數(shù)最多可達(dá) 63 個(gè)， i/o 帶寬最高可達(dá) 16gb/秒。所有插槽均可熱插；pseries 650 和 7311-d10 插槽 也可以隨意交換，因此在客戶添加或拆下適配器時(shí)，不必將 i/o 機(jī)箱移到維修 位置-也不會(huì)因此中斷系統(tǒng)操作。pseries 650 還配置有可恢復(fù) pci 總線，以保 證奇偶錯(cuò)誤不導(dǎo)致系統(tǒng)故障。 pseries 650 服務(wù)器提供了 4 個(gè)可安裝 36.4gb、73.4gb 或 146.8gb 驅(qū)動(dòng)器 的熱插拔內(nèi)置磁盤槽，使總磁盤存儲(chǔ)容量高達(dá) 587.2gb。連接 7311-d20 可增 加 12 個(gè)附加磁盤槽，使存儲(chǔ)容量達(dá) 1.7tb。一個(gè)滿配的 pseries 6

44、50 加上 8 個(gè) 7311-d20 可有 14.6tb 的聯(lián)機(jī)磁盤存儲(chǔ)容量。外置磁盤存儲(chǔ)器也可裝如機(jī)柜中， 例如 ibm 2104 expandable storage plus (ultra scsi) 和 ibm 2105 enterprise storage server 均是可提供高可靠性、高性能、可熱插拔的 tb 級磁盤存儲(chǔ)器。 裝入機(jī)柜的 pseries 650 系統(tǒng)和 i/o 機(jī)箱數(shù)量極其靈活，使每平方英尺占地面積 內(nèi)的計(jì)算和 i/o 能力大大提高。在最高配置中，一臺 pseries 650 服務(wù)器的系統(tǒng) 機(jī)箱由 8 個(gè) 1.45 ghz power4+處理器和 8 個(gè) 731

45、1-d20 i/o 抽屜組成，共占 40 個(gè) eia 單位(40u)機(jī)柜空間（系統(tǒng)機(jī)箱占 8u，每個(gè) i/o 機(jī)箱占 4u） 。這種配 置可擁有 63 個(gè)適配器槽和 100 個(gè)磁盤槽。根據(jù)連接的 i/o 抽屜數(shù)，一個(gè) t00 機(jī)柜最多可裝 4 臺 pseries 650 系統(tǒng)，t42 機(jī)柜最多可裝 5 臺 p 系列 650 系統(tǒng)。 保證業(yè)務(wù)持續(xù)運(yùn)作 許多源于 ibm 自主運(yùn)算的創(chuàng)新-為自主運(yùn)算勾畫的藍(lán)圖-使 pseries 的可靠 性、可管理性和可維護(hù)性得以實(shí)現(xiàn)。旨在創(chuàng)建一個(gè)能夠響應(yīng)意外容量要求或系 統(tǒng)故障，同時(shí)緩解關(guān)鍵技能、軟件和服務(wù)/支持費(fèi)用壓力的智能化 it 基礎(chǔ)架構(gòu)。 a 集團(tuán)綜合網(wǎng)絡(luò)

46、信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 41 頁 為增強(qiáng)可用性，每臺 pseries 650 服務(wù)器都有一個(gè)集成服務(wù)處理器，用于持 續(xù)監(jiān)視系統(tǒng)的運(yùn)行狀況。此功能通?？梢栽诠收铣尸F(xiàn)給用戶之前檢測硬件內(nèi)部 的錯(cuò)誤狀態(tài)，自動(dòng)撥接到 ibm 服務(wù)中心。然后，如果需要維修，服務(wù)器則自 動(dòng)開始動(dòng)態(tài)再分配以排除故障。因此，自動(dòng)監(jiān)視功能可以幫助企業(yè)減少代價(jià)昂 貴的宕機(jī)，減少管理開支和服務(wù)支持成本。 第一次故障數(shù)據(jù)獲取(ffdc)識別并記錄系統(tǒng)故障的來源和根本原因，防止 再發(fā)生診斷時(shí)無法再現(xiàn)的間發(fā)性故障。ffdc 旨在通過實(shí)時(shí)識別故障部件防止 宕機(jī)和縮短維修時(shí)間

47、，同時(shí)也有利于增強(qiáng) pseries 卓越的系統(tǒng)可用性。 為防止主存儲(chǔ)器和 l2/l3 緩存錯(cuò)誤導(dǎo)致系統(tǒng)關(guān)閉，檢錯(cuò)與糾錯(cuò)（ecc）內(nèi) 存既檢測單位錯(cuò)誤，也檢測雙位錯(cuò)誤，并能動(dòng)態(tài)糾正所有單位錯(cuò)誤-作為 chipkill 內(nèi)存的補(bǔ)充，提高可靠性。此外，pseries 650 還包括備用主存儲(chǔ)器芯 片。通過一形稱為位導(dǎo)航指令的技術(shù)，當(dāng)多位存儲(chǔ)錯(cuò)誤超過臨界值時(shí)，備用芯 片可被動(dòng)態(tài)激活，取代有故障的存儲(chǔ)器芯片。 ibm chipkill 存儲(chǔ)技術(shù)可檢查和糾正大多數(shù)多位錯(cuò)誤。它可以防止內(nèi)存出 現(xiàn)故障，有助于防止代價(jià)昂貴的系統(tǒng)存儲(chǔ)器故障，提高 pseries 可靠性。事實(shí) 上，ibm 研究表明，具有 chip

48、kill 內(nèi)存的系統(tǒng)因內(nèi)存故障導(dǎo)致宕機(jī)的可能性比 沒有使用此類技術(shù)的系統(tǒng)低 100 倍。 pseries 650 服務(wù)器還有對系統(tǒng)關(guān)鍵資源進(jìn)行動(dòng)態(tài)重分配的功能，包括處理 器和 pci-x 總線槽等。在其中某一部件發(fā)生故障或故障即將發(fā)生時(shí)，該功能能 夠使故障部件動(dòng)態(tài)脫機(jī)。該部件負(fù)載的工作量自動(dòng)重新分配到其它處理器，避 免操作中斷。如果系統(tǒng)必須重新啟動(dòng)，則啟動(dòng)時(shí)不再包括已解除分配的部件， 從而避免故障重復(fù)出現(xiàn)。故障部件的更換可以安排在正常的系統(tǒng)維護(hù)時(shí)進(jìn)行， 以減少系統(tǒng)和應(yīng)用宕機(jī)時(shí)間。 pseries 650 系統(tǒng)機(jī)箱和 i/o 抽屜、冗余熱插電源和冷卻風(fēng)扇也同樣具有可 靠性和可用性特點(diǎn)，更換十分容

49、易，而且不影響系統(tǒng)操作。環(huán)境監(jiān)測功能-如 可在超過正常溫度時(shí)能提高風(fēng)扇轉(zhuǎn)速的溫度監(jiān)測功能-通過保持系統(tǒng)穩(wěn)定運(yùn)行 所需的環(huán)境提高系統(tǒng)可靠性。 為達(dá)到近乎持續(xù)的可用性，可用 ibm 的 high availability cluster multiprocessing (hacmp)軟件將 2 到 32 臺 pseries 650 服務(wù)器群集在一起。 hacmp 有助于降低系統(tǒng)和應(yīng)用程序宕機(jī)時(shí)間，從而為高可用性奠定良好基礎(chǔ)- 高可用性是關(guān)鍵業(yè)務(wù)環(huán)境的基本要素。 通過群集實(shí)現(xiàn)隨需應(yīng)變的可用性 集群是為提高性能、可擴(kuò)展性和可用性而設(shè)計(jì)的一種先進(jìn)的計(jì)算技術(shù)，可使多 臺服務(wù)器互連成為一個(gè)計(jì)算資源。ibm

50、cluster 1600 是為提高隨需應(yīng)變環(huán)境中 的可用性、可擴(kuò)展性和性能而設(shè)計(jì)的，具有可管理性，能連續(xù)存取關(guān)鍵商務(wù)數(shù) a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 42 頁 據(jù)和應(yīng)用程序，通過使新舊技術(shù)共存等措施保護(hù)投資。 特別適于需共享數(shù)據(jù) 和提高作業(yè)處理能力的不同工程和科學(xué)工作負(fù)荷，解決大型、復(fù)雜的高性能運(yùn) 算問題，托管極其龐大而又不斷增長的公司數(shù)據(jù)庫。 開放的電子商務(wù)標(biāo)準(zhǔn) pseries 650 服務(wù)器采用了 ibm 先進(jìn)、開放和可擴(kuò)展的 unix 操作系統(tǒng) aix 5l。aix 5l 在可靠性、可用性和安全性等方面具有現(xiàn)實(shí)價(jià)

51、值，適合電子商務(wù) 應(yīng)用性能，被人們普遍認(rèn)為是系統(tǒng)和網(wǎng)絡(luò)管理領(lǐng)域最先進(jìn)的技術(shù)。 aix 5l 提供的 java 技術(shù)、網(wǎng)絡(luò)功能和增強(qiáng)的可擴(kuò)展性，既適用于管理單 個(gè)服務(wù)器，又適用于管理大型、復(fù)雜的電子商務(wù)設(shè)備?；谌f維網(wǎng)的遠(yuǎn)程管理 工具控制和監(jiān)視關(guān)鍵資源，如適配器和網(wǎng)絡(luò)可用性、文件系統(tǒng)狀態(tài)和處理器工 作負(fù)荷。aix 5l 還包括 workload manager，是系統(tǒng)即使在高峰負(fù)荷期間，也 能確保關(guān)鍵應(yīng)用程序的響應(yīng)速度。 pseries 650 展示了 ibm 通過開放標(biāo)準(zhǔn)提供應(yīng)用靈活性的承諾。除增強(qiáng) java 的可擴(kuò)展性和性能外，aix 5l 還提供了應(yīng)用編程接口（apis） ，使流行的 li

52、nux 開放源代碼應(yīng)用程序通過簡單的重新編譯便可在 aix 5l 上運(yùn)行。aix toolbox for linux applications，為重新編譯提供了實(shí)用工具、編輯器、調(diào)試程 序及其它應(yīng)用開發(fā)工具。 應(yīng)用選擇更加廣泛 ibm eserver 產(chǎn)品線，為想在隨需應(yīng)變的世界中取得成功的企業(yè)提供了從 選擇、創(chuàng)建到實(shí)施應(yīng)用所需的卓越的靈活性。為此，ibm 提供了業(yè)內(nèi)應(yīng)用范圍 最廣的平臺和操作系統(tǒng)。ibm 致力于工業(yè)標(biāo)準(zhǔn)、跨平臺技術(shù)-這些技術(shù)都是靈 活的電子商務(wù)基礎(chǔ)架構(gòu)的核心。 對與中間件-包括 db2，universal database, websphere application ser

53、ver 和 mqseries 的支持-意味著隨著業(yè)務(wù)的不斷發(fā)展企業(yè)無需再固守在一個(gè)單一 的平臺上。 企業(yè)通過接受開放標(biāo)準(zhǔn)，可以低成本、靈活地部署應(yīng)用。 管理隨需應(yīng)變業(yè)務(wù) ibm 產(chǎn)品線擁有一套綜合產(chǎn)品和資源的支持，它們在 it 實(shí)施的每個(gè)階段 都能產(chǎn)生價(jià)值。除應(yīng)用了基于芯片技術(shù)、集群和多平臺設(shè)計(jì)等 ibm 創(chuàng)新外， pseries 650 還利用了靈活的隨需應(yīng)變?nèi)萘啃璺峙涔δ?，是?dāng)今最具擴(kuò)展性和快 速適應(yīng)性的服務(wù)器之一。在隨需應(yīng)變領(lǐng)域?yàn)榻鉀Q電子商務(wù)的復(fù)雜性和迅速增長 提供一種比較容易的方法。 購買 pseries 650 1.45 ghz 系統(tǒng)時(shí)可訂購隨需應(yīng)變?nèi)萘可墸╟uod）功能， 從而可

54、在需要時(shí)激活附加處理器及內(nèi)存。至于費(fèi)用，cuod 允許客戶在購買服 務(wù)器時(shí)預(yù)裝附加容量并根據(jù)需要逐漸激活這些附加資源，來滿足業(yè)務(wù)增長和工 作負(fù)荷的需求。 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 43 頁 pseries 650 最多可安裝 6 個(gè) cuod 1.45 ghz 處理器，以后每次可以激活 2 個(gè)處理器。最多可安裝 56gb cuod 內(nèi)存，以后每次激活 4gb。動(dòng)態(tài)邏輯分區(qū) 可以實(shí)現(xiàn)無縫激活。通過根據(jù)需求的增長添加容量，客戶可以十分方便和經(jīng)濟(jì) 地實(shí)現(xiàn)擴(kuò)展，來滿足市場需求。 啟用/關(guān)閉 pseries 650 1.45

55、 ghz 處理器的隨需應(yīng)變?nèi)萘康墓δ埽€為企業(yè) 提供了應(yīng)對業(yè)務(wù)高峰的能力。該功能類似于借計(jì)卡，可成對暫時(shí)激活儲(chǔ)備處理 器。用戶僅為需要時(shí)所需的處理能力付費(fèi)，這樣就使 pseries 650 服務(wù)器在支持 意外高峰工作負(fù)荷的方面性能超群。 在 cuod 和 aix 5l v5.2 環(huán)境中，一種稱為 dynamic processor sparing 的 可用性功能，可使待用處理器處于動(dòng)態(tài)備用狀態(tài)。當(dāng)故障處理器達(dá)到錯(cuò)誤臨 界值時(shí)，可以激活待用處理器，以保持性能和增強(qiáng)系統(tǒng)可用性。當(dāng)故障處理器 能夠恢復(fù)使用時(shí)，備用處理器回到待用 cuod 資源池。 ibm global financing 為隨需應(yīng)變

56、的電子商務(wù)提供了廣泛的貸款銷售業(yè)務(wù), 以幫助企業(yè)節(jié)省開支, 滿足多變的業(yè)務(wù)需求。 此外，ibm global services 專家可以提供商務(wù)和 it 咨詢、商業(yè)轉(zhuǎn)型和總體 系統(tǒng)管理服務(wù)及定制電子商務(wù)解決方案。 ibm 的支持 ibm 為 pseries 650 系統(tǒng)提供全球性服務(wù)和支持。1 年基本保修期為端對端 服務(wù)，包括 aix 5l 操作系統(tǒng)支持、硬件維修、人工電話硬件支持和電話跟蹤。 在基本硬件保修期內(nèi)，提供 5x8 的專業(yè)現(xiàn)場服務(wù)，上述保修可以升級為 24x7x365 的服務(wù)模式。 5.3 雙機(jī)熱備雙機(jī)熱備 近幾年計(jì)算機(jī)技術(shù)及互聯(lián)網(wǎng)發(fā)展迅速，越來越多的傳統(tǒng)應(yīng)用被轉(zhuǎn)移至計(jì)算 機(jī)和互聯(lián)

57、網(wǎng)上，信息化進(jìn)程正逐步地改變著人們的生活，電子商務(wù)與我們的聯(lián) 系越來越緊密，用戶對系統(tǒng)的持續(xù)運(yùn)行能力的要求越來越高。在我們繼續(xù)進(jìn)行 信息化建設(shè)的同時(shí)如何保障用戶系統(tǒng)的高可用性維持用戶的商務(wù)活動(dòng)不間斷成 為我們必須面對的問題。 高可用性是指系統(tǒng)無論是硬件或是軟件失效，保證客戶應(yīng)用服務(wù)不間斷的 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 44 頁 能力。高可用性軟件簡單的說是兩種功能的綜合：監(jiān)控功能、切換功能，其基 本工作原理是服務(wù)器間通過軟件監(jiān)控服務(wù)器，當(dāng)某服務(wù)器硬件或是軟件失效， 軟件的切換功能發(fā)生作用將中斷服務(wù)器的工作在指定服務(wù)器

58、上啟動(dòng)起來使服務(wù) 器的工作得以繼續(xù)。高可用性軟件從功能上分可以分為熱備、容錯(cuò)兩種，細(xì)分 為雙機(jī)熱備、雙機(jī)容錯(cuò)、集群熱備、集群容錯(cuò)。熱備與容錯(cuò)的區(qū)別在于容錯(cuò)軟 件是應(yīng)用級的監(jiān)控，而熱備是主機(jī)級的監(jiān)控。容錯(cuò)軟件有著比熱備軟件更高的 不間斷性。 5.3.1 系統(tǒng)故障分析系統(tǒng)故障分析 運(yùn)運(yùn)行行停停頓頓的的原原因因 (按按出出現(xiàn)現(xiàn)頻頻率率的的順順序序) 自然災(zāi)害自然災(zāi)害 應(yīng)用失效應(yīng)用失效 (e.g., (e.g., 軟件系統(tǒng)崩潰軟件系統(tǒng)崩潰) ) 按計(jì)劃的硬件按計(jì)劃的硬件/ /操作系統(tǒng)維護(hù)操作系統(tǒng)維護(hù) 操作員出錯(cuò)操作員出錯(cuò) 操作系統(tǒng)故障操作系統(tǒng)故障 硬件故障硬件故障 斷電斷電/ /沒有沒有upsups

59、source: gartnergroup, strategic analysis report “strategies to increase lan availability” 1996 停頓原因大致可分為 7 類（見上表）：按計(jì)劃的硬件、操作系統(tǒng)的維護(hù)， 如增加硬盤、操作系統(tǒng)補(bǔ)丁等；應(yīng)用失效，如數(shù)據(jù)庫出錯(cuò)等；操作員出錯(cuò)， 如誤操作等人為錯(cuò)誤；操作系統(tǒng)故障，如操作系統(tǒng)死機(jī)等；硬件故障，如 硬盤、網(wǎng)卡損壞等；斷電（沒有 ups） ；自然災(zāi)害，如火災(zāi)、地震、洪水等。 從上面的說明我們可以看出，在停頓原因中軟件的因素占到了絕大多數(shù)，而硬 件原因只占其中的以小部分原因，而按計(jì)劃的硬件、操作系統(tǒng)的維護(hù)

60、是系統(tǒng)停 機(jī)的最大原因。 a 集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書集團(tuán)綜合網(wǎng)絡(luò)信息系統(tǒng)技術(shù)方案建議書(硬件集成部分硬件集成部分) 第 45 頁 5.3.2 hacmp 功能及雙機(jī)原理功能及雙機(jī)原理 用于 aix 的高可用性群集多處理（hacmp for aix）是一種控制應(yīng)用程序， 它在使用高效群集內(nèi)置的增強(qiáng)擴(kuò)展性（es）特征是可以鏈接多達(dá) 32 個(gè) rs/6000 服務(wù)器或 sp 節(jié)點(diǎn)。群集服務(wù)器或節(jié)點(diǎn)允許對數(shù)據(jù)進(jìn)行并行訪問，可以提供關(guān) 鍵商業(yè)應(yīng)用所要求的冗余性和容錯(cuò)性。hacmp 提供了圖形用戶界面工具來幫助 用戶高效的安裝、配置和管理群集。更重要的是，hacmp 在配置和使用方面也 很靈活