東風汽車公司兩網合一技術方案書

東風汽車公司綜合信息網與公司網兩網合一技術方案書武漢和中信息科技有限責任公司WuhanOrizoneInformationTechnologyCo.,LtdTIME\@"EEEE年O月A日"二○○八年四月二十五日二○○五年六月二十四日目錄TOC\o"1-3"\h\z1. 前言 52. 系統(tǒng)總體設計 72.1. 系統(tǒng)設計原則 72.2. 系統(tǒng)建設目的 82.3. 系統(tǒng)總體方案概述 93. 網絡系統(tǒng)設計 113.1. 網絡拓撲結構設計 113.2. 網絡IP地址編址方案 133.3. 網絡域名服務方案 143.4. 網絡路由設計 153.5. 公司內部網絡升級改造設計 163.6. 公司內部網Internet出口管理與控制 173.7. Internet網絡加速系統(tǒng)設計 183.8. 網絡設備選型 203.8.1. 公司內部網互換機 203.8.2. 防火墻 233.8.3. Internet網絡加速器 233.8.4. 四層互換機 284. 服務器系統(tǒng)設計 384.1. 服務器系統(tǒng)設計原則和選型 384.2. 域名服務器系統(tǒng) 394.3. 郵件服務器系統(tǒng) 394.4. WWW服務器系統(tǒng) 404.5. PC服務器系統(tǒng) 415. 管理和信息服務應用系統(tǒng) 425.1. Rockmail電子郵件系統(tǒng) 425.1.1. Rockmail電子郵件系統(tǒng)結構 445.1.2. Rockmail電子郵件系統(tǒng)重要技術特點 465.1.3. Rockmail電子郵件系統(tǒng)功能 495.1.4. Rockmail電子郵件系統(tǒng)實行方式 525.1.5. Rockmail電子郵件系統(tǒng)性能指標 555.1.6. Rockmail電子郵件系統(tǒng)安全特性 565.1.7. Rockmail電子郵件系統(tǒng)需求和配置 575.2. Orizone虛擬主機系統(tǒng) 585.2.1. 對Web服務的管理 585.2.2. 對FTP服務的管理 595.2.3. 對數據庫服務的管理 595.2.4. 對文獻系統(tǒng)的管理 595.2.5. 虛擬主機的磁盤空間管理 605.2.6. 虛擬主機系統(tǒng)數據備份／恢復服務 615.3. 公司內部網絡管理系統(tǒng) 616. 網絡管理系統(tǒng) 636.1. 網管系統(tǒng)解決方案的特點 646.2. 網絡管理功能實現 656.3. 網絡配置管理 666.4. 網絡記錄分析 687. 網絡安全設計 757.1. 現實網絡在安全面存在的漏洞 757.1.1. 網絡系統(tǒng)的安全漏洞 757.1.2. 操作系統(tǒng)的安全漏洞 767.1.3. 用戶系統(tǒng)的安全漏洞 777.1.4. 應用系統(tǒng)的安全漏洞 777.1.5. 數據系統(tǒng)的安全漏洞 787.2. 網絡安全設計目的 787.3. 網絡安全解決方案 807.3.1. 網絡系統(tǒng)的安全保障 807.3.2. 應用系統(tǒng)的安全保障 857.3.3. 客戶系統(tǒng)的安全保障 867.3.4. 數據系統(tǒng)的安全保障 867.4. 網絡安全小結 868. 工程實行方案 888.1. 項目管理 888.2. 工程施工安裝規(guī)定及建議 898.3. 工程實行計劃 908.4. 系統(tǒng)測試初步方案 908.4.1. 硬件測試 908.4.2. 網絡測試 938.4.3. 軟件測試 958.4.4. 整體測試 979. 售后服務和培訓 989.1. 售后服務的承諾 989.2. 培訓計劃 9910. 系統(tǒng)報價 101

前言隨著二十一世紀鐘聲的敲響，人類跨入了嶄新的知識經濟時代?；厥咨蟼€世紀末，一股以Internet為代表的信息發(fā)展狂潮席卷了整個世界，而這一切僅僅只是個開始。人們預測，二十一世紀是信息的世紀，以Internet為代表的信息技術以摧枯拉朽之式改變著整個傳統(tǒng)工業(yè)世界的各個方面，使許多行業(yè)面臨著生存壓力，承受著巨大變革的規(guī)定。而此同時，以資本經濟為基礎，以知識創(chuàng)新為動力，以Internet為舞臺的新型產業(yè)模式正在迅猛的發(fā)展。十年之前很多叱咤風云的IT公司不是被兼并就是走向沒落，而以Yahoo、AOL、Amazon等為代表的新型公司正帶領著整個IT界的潮流，迅速改變著傳統(tǒng)媒體、電信、電視和商務領域，發(fā)明著人類嶄新的社會商業(yè)模式。東風汽車公司高瞻遠矚，緊跟國際潮流，早在1998年就完畢了東風公司綜合信息網（東風熱線、東風信息港、193網）的建設，并開始向面向社會和家庭提供Internet接入和相關信息服務，通過兩年的建設和發(fā)展，東風公司綜合信息網已有用戶四千余戶，并提供各種信息服務如：虛擬網絡出租、網上教育、網上證券等。東風汽車公司公司網構建的互聯覆蓋全公司大部分專業(yè)廠、子公司和職能部處二級局域網的大型公司網絡基礎設施，并以此為基礎，構建公司公司內部網，提供方便、快捷、靈活的基本系統(tǒng)服務。東風汽車公司綜合信息網和公司網兩網合一工程重要是涉及原有綜合信息網的擴容和公司公司網的升級改造；兩網互連；國際互聯網出口的統(tǒng)一以及出口帶寬的擴充等。兩網互聯后，不僅能充足運用國際互聯網的出口，并且能做到統(tǒng)一管理、統(tǒng)一分派帶寬、綜合運用信息服務等等，并為將來進一步實現東風汽車公司各基地的互連、開展IP電話、視頻服務的新的應用打下堅實的基礎。武漢和中信息科技有限公司非常榮幸有機會參與東風汽車公司綜合信息網和公司網兩網合一工程建設，以及在此平臺上進行網絡及多媒體等一系列網絡應用系統(tǒng)的建設的技術交流與方案討論。武漢和中信息科技有限公司十分重視和愛惜這個機會。我公司認真研究了東風汽車公司網絡建設現狀和需求，根據我們對此項工程所要實現的目的、技術規(guī)定的理解，并結合我們在以往建設眾多大型Internet信息網工程中的實踐經驗，和中公司提出了涉及軟硬件在內的一整套解決方案。根據和中公司提出的解決方案，將能實現東風汽車公司提出的建設目的。我們希望在東風汽車公司綜合信息網和公司網兩網合一工程中進行技術合作的過程中以及項目結束后，能為東風汽車公司建立一個成熟完善的網絡應用環(huán)境，建立并維護網絡商業(yè)環(huán)境，建立并運營復雜的信息及網點管理機制。盡管我們力求設計全面、細致，但由于時間極其倉促，設計方案難免存在一些缺陷，望批評、指正，使之更加完善、切實可行。對東風汽車公司的協助和支持，和中公司深表感謝！

系統(tǒng)總體設計系統(tǒng)設計原則東風汽車公司綜合信息網和公司公司網兩網合一工程是一個關系到東風汽車公司發(fā)展的關鍵工程，系統(tǒng)建設的成敗，直接影響193網此后業(yè)務的發(fā)展和公司公司內部網的使用效率?；谝陨系慕Y識，我們在設計時將重要考慮以下設計原則：實用性：一個系統(tǒng)的建設是一項工程的實行，它的最基本的目的是建立一個合用實際環(huán)境的，能滿足用戶功能需求的實用系統(tǒng)。先進性：實現東風汽車公司綜合信息網和公司公司網兩網合一工程的方案和產品很多，我們在堅持實用性的前提下，充足采用先進的網絡技術、方案、產品。開放性：在方案設計選型中，充足考慮目前或將來的網絡發(fā)展和需求，采用標準的開放協議來構架整個系統(tǒng)。安全性：和中公司在設計方案中十分重視網絡安全性。整個網絡設計方案有序有層次，在硬、軟件上均有相應的管理和保護措施?？蓴U展性（靈活性）：所選擇的網絡產品和方案能適應東風汽車公司網絡信息系統(tǒng)的不斷擴大的規(guī)定，能升級、過渡、保護用戶投資。適應新技術不斷發(fā)展的規(guī)定，使現實方案能不斷引入新技術，能方便地向新產品過渡，使系統(tǒng)具有很強的生命力，能不斷地平滑升級，不被淘汰。兼容性（與現有網絡共享）：在本設計中充足考慮保護原已建立的其他網絡系統(tǒng)與本系統(tǒng)的技術和產品兼容性，同時也充足考慮與其它計算機產品，網絡產品和兼容性。價格/性能比高：在本網絡設計的產品選型、規(guī)模考慮方面，充足考慮公司3-5年運營總成本，與東風汽車公司共同進行研討，以價格/性能比為論證核心之一，以滿足東風汽車公司網絡性能、質量、服務需求為原則，比較多種網絡、服務器品牌品種，選擇性價比具有較強競爭力的CISCO、SUN、IBM等為核心設備?？删S護性：系統(tǒng)的可維護性對系統(tǒng)的生命力及實用性能是至觀重要的，系統(tǒng)應提供和諧的應用維護界面、模塊化設計、采用標準的高級語言編程、齊全的技術文檔以及靈活的功能模塊重組等，使系統(tǒng)具有良好的可維護性。易管理性：在本設計網絡中所采用的產品具有很強的可管理功能。網管軟件遵循SNMP協議，管理方便；配置靈活；結構開放、安全。在網絡服務管理中，以目錄服務LDAP為核心，構造統(tǒng)一的多服務網絡管理平臺。系統(tǒng)建設目的東風汽車公司綜合信息網與公司網兩網合一工程包含兩個部分，一是公司網的升級和改造，二是綜合信息網和公司網的兩網合一。工程結束后，將把東風汽車公司現有網絡建設成一個統(tǒng)一管理、分層控制、高性能，易擴充，可靠安全、具有完備的用戶服務系統(tǒng)的Internet服務平臺和公司網服務平臺。網絡建成后，將達成：兩網之間互連互通，層次清楚，可以進行統(tǒng)一管理，統(tǒng)一控制。建立強有力的公司內部網絡管理平臺原有公司網改導致千兆網。建立新的系統(tǒng)應用軟硬件平臺。東風汽車公司綜合信息網與公司網兩網合一工程的建設標志著東風汽車公司信息化進程的全面啟動，整體步入新世紀信息化浪潮。一方面對Internet接入網部分進行改造，可提高綜合信息網的網絡效率，提高193網客戶的服務質量，吸引更多的客戶；另一方面公司網與綜合信息網的兩網合一，將更進一步推動公司內部信息化的進程，有望全面提高公司生產管理效率，增強公司競爭力。隨著公司網更快速的接入Internet，將進一步提高東風汽車公司員工的網絡信息觀念，并會培養(yǎng)一批網絡設計、建設、維護、管理的人才，勢必將在公司內逐步推行信息化工作的過程中起到重要作用。兩網合一工程的建設成功，不管從網絡基礎設施、技術準備、信息管理經驗，還是從人才儲備上，都為下一步東風汽車公司信息網絡的建設奠定了良好的基礎。系統(tǒng)總體方案概述作為一個完整的信息網絡系統(tǒng)，要提供各項服務功能，必須要有一個完整的網絡結構和相應的軟硬件基礎。根據用戶需求和我們長期的Internet集成和管理經驗，考慮到兩網合一后網絡的安全性、完整性和易用性，我們的總體設計方案從三個方面提出建議：網絡層解決方案完善可靠的網絡底層構架是發(fā)展信息服務的堅實基礎。為了適應眾多的網絡接入模式，滿足日益增長的網絡信息交流的發(fā)展，需要對系統(tǒng)的網絡構架規(guī)劃、網絡設備選型以及此后的網絡發(fā)展做出對的的選擇，并準確的實行。和中公司在具體分析了東風汽車公司目前的網絡狀況和此后的網絡發(fā)展需求后，提出了符合東風汽車公司需求和發(fā)展的網絡解決方案。東風公司綜合信息網與公司內部網兩網合一后，構成了東風公司計算機網絡的核心，為公司內部和公眾在一個相對統(tǒng)一的平臺上提供各類豐富的網絡服務。這兩個網絡針對不同的網絡用戶和應用，即相對獨立又互相依存，構成一個有機的網絡整體。東風公司綜合信息網重要服務公司內撥號用戶，提供各種豐富的Internet應用；公司內部網重要為公司內部生產、辦公提供高速、可靠的Intranet網絡服務。因此，我們在設計網絡時采用層次化的網絡結構，合并后的網絡由三大重要部分組成：1、原有193綜合信息網絡；2、改造后的公司內部高速網絡；3、統(tǒng)一對外的Internet出口。為提高網絡的整體效率，我們在統(tǒng)一對外的Internet出口增長了Internet網絡加速器、四層互換機等設備，并通過路由策略的制定保證全網的相對獨立和互相依存。信息服務系統(tǒng)解決方案作為一個完整的網絡信息系統(tǒng)，不僅要提供強大的網絡服務平臺，還需要提供豐富的信息服務系統(tǒng)，為用戶提供豐富的應用和系統(tǒng)服務。重要考慮最基本的Internet服務有：DNS（域名服務系統(tǒng)）、EMAIL（電子信箱）、FTP（文獻傳輸）、WWW（萬維網）等。此外尚有多媒體視頻/音頻服務、新聞服務等多種類型。和中公司將為用戶提供完整的信息服務解決方案，涉及具體的域名服務設計、大容量的電子郵件系統(tǒng)、強大的WWW虛擬主機服務系統(tǒng)和公司綜合管理平臺等等。我們建議用戶選用強大的UNIX系統(tǒng)作為信息服務的基礎平臺。UNIX系統(tǒng)是Internet的一方面服務平臺，Internet的發(fā)展也與UNIX結下了不解之緣。許多目前的網絡系統(tǒng)服務都是在UNIX平臺上發(fā)展出來的，如DNS服務系統(tǒng)Bind、WWW服務器Apache、FTP服務器Wu-ftpd等。系統(tǒng)管理與安全解決方案隨著ISP用戶的快速增長，網絡建設的不斷發(fā)展，網絡的拓撲不斷變化，系統(tǒng)所涉及的硬件設備和應用也不斷增多，這對我們信息網絡系統(tǒng)的運營提出了更高的規(guī)定。因此需要對網絡系統(tǒng)和應用系統(tǒng)進行實時的監(jiān)控和管理，并能根據記錄信息及早發(fā)現網絡故障和瓶頸，增強系統(tǒng)的可靠性和實用性，為用戶提供更好的網絡服務。我們建議采用標準的SNMP網絡管理協議對全網設備進行統(tǒng)一的管理。我們推薦使用CISCO公司最新的CiscoWorks2023網絡管理系統(tǒng)，實現對全網網絡和服務器設備的基本管理，建議使用基于UNIX的大型網絡管理平臺HPOpenview等。針對網絡安全管理，我們認為要從網絡層、操作系統(tǒng)層、應用系統(tǒng)層等多方位全面考慮，采用合理的管理機制和技術手段相結合來保證。和中公司在網絡管理和安全上有非常豐富的實踐和理論經驗，能為用戶提供完整的安全服務和征詢，為用戶構件一個完善的網絡環(huán)境。

網絡系統(tǒng)設計Internet/Intranet網絡系統(tǒng)是基于標準的TCP/IP協議發(fā)展出來的通用網絡，具有良好的開放性和極好的伸縮性。在設計一個Internet/Intranet網絡系統(tǒng)時，要遵循以下原則：一個基于開放系統(tǒng)結構的標準應用與網絡結構無關適應未來發(fā)展趨勢性能價格比高增長的靈活性可靠與安全的網絡易于安裝、維護、管理和運營支持基于以上原則，我們在設計東風公司兩網合一方案時，考慮到網絡的應用和發(fā)展，從網絡拓撲結構、網絡地址編址方案、網絡域名服務方案、網絡路由設計、公司內部網升級改造、公司內部網Internet出口管理與控制、Internet網絡加速系統(tǒng)設計、公司網網絡設備選型等各個方面進行具體的設計和選型，為用戶提供最優(yōu)的網絡設計方案。網絡拓撲結構設計東風公司綜合信息網與公司內部網兩網合一后，構成了東風公司計算機網絡的核心，為公司內部和公眾在一個相對統(tǒng)一的平臺上提供各類豐富的網絡服務。這兩個網絡針對不同的網絡用戶和應用，即相對獨立又互相依存，構成一個有機的網絡整體。東風公司綜合信息網重要服務公司內撥號用戶，提供各種豐富的Internet應用；公司內部網重要為公司內部生產、辦公提供高速、可靠的Intranet網絡服務。在設計東風公司兩網合一方案時，我們針對現有網絡現狀以及發(fā)展需求，在充足考慮到網絡互連、網絡安全、網絡控制和管理以及網絡效率等綜合因素后，提出我公司的具體網絡拓撲結構設計方案。具體的網絡拓撲設計如下：根據以上兩網合一網絡拓撲結構圖所示，合并后的網絡由三大重要部分組成：1、原有193綜合信息網絡；2、改造后的公司內部高速網絡；3、統(tǒng)一對外的Internet出口。原有193綜合信息網絡合并后的193綜合信息網與原有單獨的193信息網絡相比，變化不大，基本上保存在防火墻之后的網絡配置格局，193內部網基本上以BayAccelar1250互換機為核心，分為用戶接入子網、計費和管理子網、信息服務子網三個重要核心網絡部分，網絡和主機設備配置基本不變。改造后的公司高速內部網公司內部原有公司網絡是以FDDI為核心的環(huán)網結構，配置相應的撥號端口提供撥號接入工作模式。系統(tǒng)改造后，整個公司內部網以全光纖互連為基礎，以千兆、百兆網為骨干，以千兆三層互換機為核心，通過強大的支持VLAN功能和三層互換構造整個公司內部網絡。公司網通過防火墻與現有193綜合信息網和Internet出口互聯，并針對公司網特點控制網絡的安全性。統(tǒng)一Internet出口兩網統(tǒng)一后，整個網絡共用一個高速的Internet出口，用于與Internet互聯互通。為了保證與Internet網絡互聯效率，提高網絡安全性，我們提供了最新的四層互換機+Internet高速緩存系統(tǒng)（TransparentCacheServer）技術，提供最佳的網絡運用效率和網絡安全性保證。此外，根據兩網不同的特點，合理分派網絡帶寬和資源。網絡IP地址編址方案東風公司現有兩個網絡系統(tǒng)分別使用各自ISP所分派的外部合法IP地址，內部使用Internet標準的保存地址。兩網合一后，外部網絡地址共用ISP所分派的合法IP地址，內部網絡建議使用同一套保存地址，便于兩網互通互聯。公司內部網絡此后需要將各個專業(yè)單位互聯，因此需要根據各個專業(yè)網絡功能和規(guī)模的不同選擇具體合理的地址分派方式?；镜牡刂贩峙稍瓌t如下：支持最新標準的TCP/IP協議結構，支持可變長子網掩碼技術（VLSM）每個不同功能網段劃分不同的IP地址段每段IP地址考慮到此后兩年內的發(fā)展和變更，進行適當的地址預留根據撥號服務器端口數量分派合適的IP撥號地址池對于專線用戶IP地址分派進行具體調查和分派，避免地址資源浪費此外，在申請接入Internet時，應盡也許根據需要規(guī)定上級ISP多分派給合法的IP地址資源。具體的分派方案我們會在工程施工前根據用戶獲得的合法IP地址情況進行具體的設計。網絡域名服務方案域名管理系統(tǒng)(DNS)是一個分布式的系統(tǒng)，其管理控制也是分布式，各地名字服務器只負責管理本地區(qū)下屬的各主機和子域，并由高一級的名字服務器監(jiān)督管理。為保證域名系統(tǒng)正常和可靠運營，一般一個域中需設立兩個以上的域名服務器，互為主備工作方式。用戶可申請COM、NET下的二級域名，也可申請COM.CN或NET.CN下的三級域名。申請域名時需要上報用戶主備域名服務器的IP地址，因此需先得到合法的IP地址段再申請。在設計域名服務時，重要的設計方案如下：各相關服務器分派相應的約定域名，便于用戶訪問。如Web服務器分派.com域名，DNS服務器分派，FTP服務器分派，Email服務器分派等。網絡設備根據其不同的端口設計不同的域名，如第1臺路由器的第2個串口可分派為：。配置DNS服務器嚴禁用ls等全域域名顯示方式。配置主備DNS服務器數據復制的驗證功能，嚴禁未授權的服務器作為主域服務器的配份以獲取相關信息。配置全域的MX郵件互換記錄指向郵件服務器，并適當配置好郵件服務器設立，使全域郵件具有的通用郵件名。現在綜合信息網和公司網都分別申請了各自的獨立域名服務，并對外發(fā)布已久。兩網合并后，建議還是采用兩套域名服務模式，為各自網絡提供服務，或申請新的獨立域名提供統(tǒng)一域名服務。建議兩網的外部域名服務器共用同一的硬件平臺，內部各自配置自己的獨立域名服務器，并可設立為互為主備工作模式。網絡路由設計網絡的路由設計是保證網絡正常、完整運營的核心。一個良好設計的網絡路由可以提高網絡效率，增強網絡的冗余度，而設計不善的網絡路由往往會帶來效率、備份、安全問題，以及使用的不正常。和中公司具有在大型Internet上實行和維護網絡的經驗，通曉RIP、RIP2、IGRP、EIGRP、OSPF、IS-IS以及BGP4等多種現代網絡路由技術，能根據用戶網絡情況選擇最優(yōu)的網絡路由算法和協議，提高用戶網絡安全性和使用效率。我們建議在外部網段即與上級Internet互聯網段采用靜態(tài)網絡路由，在公司內部網段由選擇的使用OSPF動態(tài)路由協議。需要注意的是：在實行專線網絡互連時，盡量不要使用復雜的動態(tài)路由協議而使用靜態(tài)路由協議，以提高路由的安全性，同樣規(guī)則也合用于撥號接入網段上。OSPF(OpenShortestPathFirst)全稱為開放最短途徑優(yōu)選，建立在SPF算法基礎上，是一種基于鏈路狀態(tài)的路由選擇協議，是目前最流行、最有效的路由協議。OSPF路由協議是一種典型的鏈路狀態(tài)（Link-state）的路由協議，一般用于一個通過統(tǒng)一的路由政策或路由協議互相互換路由信息的網絡內。所有的OSPF路由器都維護一個相同的描述這個網絡拓撲結構的數據庫，該數據庫中存放的是路由域中相應鏈路的狀態(tài)信息，OSPF路由器正是通過這個數據庫計算出其OSPF路由表的。和傳統(tǒng)的距離向量路由選擇協議相比，對于大型、復雜的網絡，OSPF具有極大的優(yōu)越性：OSPF不受跳數（hop）的的限制，比較應用于大型網絡中。OSPF支持可變長子網掩碼（VLSM），可以充足運用有限的IP地址資源。OSPF路由協議路由收斂速度比較快，當網絡比較穩(wěn)定期，網絡中的路由更新信息是比較少的，并且其廣播也不是周期性的，不久達成全網路由器OSPF鏈路數據庫的一致性。只有當路由連接產生變化時才傳送路由更新信息，而不是定期廣播整個路由表，從而減少了對帶寬的損耗。在距離向量路由選擇協議中，網絡是一個平面的概念，并無區(qū)域及邊界等的定義。而在OSPF路由協議中，一個網絡，或者說是一個路由域可以劃分為很多個區(qū)域（area），每一個區(qū)域通過OSPF邊界路由器相連，區(qū)域間可以通過路由總結（Summary）來減少路由信息，減小路由表，提高路由器的運算速度。OSPF路由協議支持路由驗證，只有互相通過路由驗證的路由器之間才干互換路由信息。并且OSPF可以對不同的區(qū)域定義不同的驗證方式，提高網絡的安全性。OSPF路由協議對負載分擔的支持性能較好。OSPF路由協議支持多條Cost相同的鏈路上的負載分擔。鑒于OSPF的這些特性，特別是對線路帶寬的占用以及對負載分擔具有很好的支持性能，都有助于實現整個網絡系統(tǒng)的正常通訊。基于以上網絡路由設計思緒，我們在設計東風公司新的公司內部網時，采用電信級的設計標準，保證網絡的可靠性、安全性，為東風公司公司內部網提供最優(yōu)的網絡解決方案。東風公司公司內部網絡OSPF路由設計圖根據上圖所示，我公司建議在公司網內部構造層次化的網絡路由邏輯結構，以OSPF路由協議設計為基礎。其中以電信處、張灣、紅衛(wèi)、花果、茅箭構成OSPF域骨干網Areo0，這五個點之間通過物理線路構成不完全網狀網（NotFULLMesh）；電信處、經理辦公大樓、總廠辦公大樓構成OSPF的Areo1，這三個點構成全連接結構（FULLMESH）；張灣、紅衛(wèi)、花果、茅箭各自內部網絡構成OSPFAreo2、3、4、5；各專業(yè)廠、子公司就近互聯到這五個核心的骨干點。公司內部網絡升級改造設計東風公司公司內部網主干是在1994年建成的FDDI主干網絡，隨著網絡的逐漸發(fā)展和技術的更新，目前FDDI網絡已經面臨逐漸被淘汰的局面，取而代之的是以千兆網、ATM為基礎，以三層互換為核心的高速新一代公司主干網絡。在本次兩網合一工程中，考慮到目前的網絡需求和此后網絡的發(fā)展，我們建議以千兆網為基礎構建公司內部主干網絡，采用最新的核心三層互換機、工作組三層互換機設備，以VLAN和OSPF路由技術為核心，構件新的公司內部主干網絡。在本次工程設計中，我們建議電信處核心互換機選用CISCO公司最新的公司主干網絡互換機Catalyst6509，配置千兆板、三層路由互換板和10/100兆以太網板；在總廠辦公大樓和經理辦公大樓配置CISCO公司最新的工作組三層互換機Catalyst2948G-L3，配置48口以太網口和2口千兆網口。這三個點之間采用單模光纖以千兆帶寬互聯。公司原有的FDDI骨干網保存，并各自與新的主干節(jié)點互聯，作為核心網絡的備份。通過在Catalyst6509上增配相應的千兆、百兆網板，提供張灣、紅衛(wèi)、花果和茅箭等地的專業(yè)廠和子公司通過將要建成的光傳輸網絡互聯。公司內部網Internet出口管理與控制東風公司公司內部網目前通過一條128K的DDN專線連接到163上，內部用戶通過軟件代理服務器訪問外部網絡，這種工作模式比較合用于小型公司網絡的Internet應用。針對東風公司這種大型公司網，必須采用防火墻、Internet高速緩存系統(tǒng)的配合來達成嚴格的安全控制和性能優(yōu)化。我們推薦在公司網與Internet出口之間采用高性能的硬件防火墻產品，用于保護內部網絡安全，并對內部網絡用戶進行管理和控制。防火墻產品建議采用CISCO公司的高性能硬件防火墻產品PIXFirewall520，配置3塊以太網卡，分別與公司內部網、Internet以及193網互聯，互相設立嚴格的安全控制和管理策略。通過采用CISCOPIXFirewall產品，可以嚴格的控制內外網絡的安全策略，保護內部網絡的安全使用。為了為網絡管理提供更準確的網絡管理手段，和中公司針對CISCOPIX等防火墻產品專門開發(fā)了一套完善的Intranet網絡管理系統(tǒng)，通過配合使用這套軟件，可以對公司內部網用戶的上網進行嚴格的管理和控制。武漢和中公司針對Intranet網絡管理需求，提出了一套完善的開放平臺解決方案。OrizoneIntranetManagementPlatform以LDAP和數據庫為核心，包含RADIUS、TACAS、SNMP各種通用網絡驗證、管理協議，統(tǒng)一支持對Firewall、CacheServer、ProxyServer、WWW、Email、Billing等各種網絡軟硬件服務。通過使用OrizoneIntranetManagementPaltform，可以在同一管理平臺下支持唯一用戶的驗證、授權和管理，可以方便的擴展對網內新增各種網絡設備和網絡應用的統(tǒng)一管理。Internet網絡加速系統(tǒng)設計現有Internet網絡發(fā)展神速，各種新的技術和產品層出不窮。為了解決初期單純的網絡Proxy系統(tǒng)的局限性，現在市場上已有了多種廣泛使用的Cache加速器。新的Cache加速器重要用于ISP骨干網和公司級的Internet出口上，可跟四層互換機或策略路由器一起配合使用，用于透明方式的Cache服務，即用戶訪問WWW時并不需要任何客戶端設立，但當用戶上網訪問時，由網絡決定自動通過Cache服務器訪問外部網絡的內容，這種工作方式非常方便靈活，配置和管理也不影響現有網絡的正常運營，現有的ISP都采用這種方便的工作模式；此外一種工作模式是取代現有的Proxy服務器，已經設立的用戶參數不需要任何改動，并能有效的提供對多媒體內容的訪問。采用Cache服務器與現有基于Proxy的代理服務器相比，有如下優(yōu)點：解決效率大大提高新型的Cache服務器一般都采用高速的硬件產品，運用硬件的解決能力來極大的提高網絡解決效率，而普通的軟件代理服務器必須大量的消耗操作系統(tǒng)、CPU、內存的資源，并且要頻繁讀寫硬盤上的信息，導致解決效率大大減少；能同時服務的用戶數大大增多根據權威評測結果表白，一般基于軟件的代理服務器假如硬件配置較為高檔，可以最多承受100-150個并發(fā)用戶請求，而一般的硬件Cache服務器可以輕松的承受上千的并發(fā)用戶請求，可以提供更好的用戶服務能提供更快的用戶響應時間一般的proxy服務器采用被動的用戶請求方式來更新緩存信息，這樣反而增長了一個多余的中間環(huán)節(jié)，導致網絡響應時間不佳；而專用的Cache服務器采用各種動態(tài)更新，并發(fā)下載的新技術保證了最短的網絡響應時間，一般來說，可以提高5倍的網絡響應時間；能提供靈活的組網方式采用cache服務器即可用于透明方式工作，也可用于常規(guī)的Proxy工作模式下；而傳統(tǒng)的Proxy服務器只能應用于傳統(tǒng)的proxy工作模式下；能采用群集方式平滑升級采用Cache服務器來提供網絡緩存服務時，當一臺服務器的解決能力不能滿足規(guī)定期，可以和四層互換機配合，采用多臺cache服務器來并發(fā)解決網絡請求，不會由于單臺服務器的瓶頸導致網絡效率減少，可使系統(tǒng)平滑升級；能更好的提供眾多的多媒體服務新型的Cache服務器提供了對Realplay、microsoftmediaplay、Quicktime等多種方式的加速應用，并提供了socket代理方式為IPPhone等服務提供了使用通道；能提供完善的用戶管理和控制方式新型的Cache服務器可以提供非常全面的控制和管理功能，能有效的過濾網絡地址，控制用戶訪問列表，并能與Radius和LDAP服務相結合，控制用戶的使用；而普通的proxy服務器不能提供以上全面的用戶管理功能。本期工程實行方案簡介：如3.1節(jié)網絡拓撲結構圖所示，Internet網絡加速系統(tǒng)是由四層互換機和Internet高速緩存系統(tǒng)共同組成的。其中四層互換機選用的是2臺Foundry公司的8端口ServerIron8四層互換機，Internet高速緩存系統(tǒng)選用的是1臺Cacheflow公司的525i。CacheFlow525iCacheServer配置有三個10/100兆以太網口，分別與兩臺ServerIron互換機互連，默認網關設立為外部網絡的互連路由器。193綜合信息網和公司內部網絡的訪問Internet信息流量通過防火墻后到達各自外部的FoundryServerIron互換機上，ServerIron四層互換機快速分析網絡信息流量，將HTTP服務請求信息轉發(fā)到Cacheflow525i上，通過Cacheflow525i獲取最新的WWW和多媒體流信息透明回傳給用戶。假如Cacheflow服務器因意外服務終止，ServerIron能自動檢查CacheServer的健康狀況，將信息請求直接發(fā)送到最終目的地址。為了更好的控制公司內部用戶上網使用的總帶寬，本次工程中建議公司內部網通過一臺路由器的串口反接到外部出口路由器，通過設立串口路由器速率來限制公司內部網絡的上網使用帶寬。網絡設備選型公司內部網互換機核心互換機公司內部網核心互換機選用CiscoCatalyst6509，是Catalyst6000系列產品之一。Catalyst6000系列為園區(qū)網絡提供一個高性能、多層互換解決方案。其設計宗旨是滿足集中式主干/分布式主干和服務器群應用及對千兆位密度、數據和語音集成、可縮放性、高可用性和多層互換不斷增長的需求。假如與Cisco此同時IOS相結合，Catalyst6000系列可以提供支持高容量千兆位互換和多層智能所需的基礎結構，進而有效地管理網絡流量。Cisco6000系列關鍵特性可縮放的快速以太網和千兆位以太網主干密度、高性能多層互換及主干中的政策執(zhí)行最多支持384個10/100以太網、192個100FX快速以太網和130個千兆位以太網端口—業(yè)界最佳水平多層互換，在Catalyst6000系列上可以擴展到15Mpps，在Catalyst6500系列互換機上可以擴展到150Mpps卓越的可縮放性和性價比通過協議不相關的多點傳送(PIM)、Internet群組管理協議(CGMP)和CGMP多點傳送注冊協議(GMRP)提供有效的內部網多媒體和多點傳送支持支持關鍵任務應用的廣泛質量服務(QoS)特性技術規(guī)定特性Catalyst6006Catalyst6009Catalyst6506Catalyst6509模塊化插槽6969可用模塊8端口千兆位以太網24端口100FX以太網48端口10/100以太網（RJ-45）48端口10/100以太網（RJ—21或TELCO）多層互換機模塊與Catalyst6006相同與Catalyst6006相同與Catalyst6006相同底板3Gbps3Gbps可擴充至256Gbps可擴充至256Gbps可縮放否否否否多層次性能可擴充至15Mpps可擴充至15Mpps可擴充至150Mpps可擴充至150MppsVLAN最大數1000100010001000FEC/GEC最多8個不相連的端口；支持多模塊通道與Catalyst6006相同與Catalyst6006相同與Catalyst6006相同管理功能CiscoWorks2023,RMON、EnhancedSwitchedPortAnanlyzer(ESPAN)、SNMP、Telnet、BOOTP和(TFTP)與Catalyst6006相同與Catalyst6006相同與Catalyst6006相同規(guī)格（長×寬×高）20.1×17.2×18.1in25.2×17.2×18.1in20.1×17.2×18.1in25.2×17.2×18.1in服務類別16161616產品編號和定購信息Catalyst6000系列機箱WS—C6509—S1Catalyst6509機箱，交流電源+WS—X6K—SUP1—2GEWS—C6009—S1Catalyst6009機箱，交流電源+WS—X6K—SUP1—2GEWS—C6006—S1Catalyst6006機箱，WS—X6K—SUP1—2GE+交流電源WS—C6506—S1Catalyst6506機箱，WS—X6K—SUP1—2GE+交流電源Catalyst6000系列SupervisorEnginesWS—X6K—SUP1—2GE=Catalyst6000,SupEng1,2GE9（需要GBIC）Catalyst6000系列模塊WS—X6408—GBIC=Catalyst6000,8端口千兆位以太網模塊（需要GBIC）WS—X6302—MSM=Catalyst6000,多層互換機模塊WS—X6248—RJ-45=Catalyst6000,48端口10/100bTX（RJ—45）模塊WS—X6244—100FX—MT=Catalyst6000,24端口100bFX（多模式，MT—RJ）WS—X6248—TEL=Catalyst6000,48端口Telco模塊Catalyst6000系列附件WS—CDC—1300W=Catalyst6000,1300W直流電源WS—CAC—1300W=Catalyst6000,1300W交流電源WS—VAV—1000WCatalyst6000,1000W交流電源WS—CAC—1000W/2Catalyst6000,1000W輔助交流電源WS—C6X09—RACK=Catalyst6000機架安裝工具集和電纜組織器WS—C6K—6SLOT—FAN=Catalyst6000風扇托盤，適合6插槽系統(tǒng)WS—C6X06—RACK=Catalyst6X06機架安裝工具集和電纜組織器WS—X6K—SLOT—CVR=Catalyst6000空線路卡插槽封蓋Catalyst6000系列軟件WS—C6X06—EMS—LIC=Catalyst6X09RMON代理許可WS—C6X06—EMS—LIC=Catalyst6X06RMON代理許可FRC—MSM—IPX=Catalyst6000IPX特性集許可Catalyst6000系列內存選項MEM—C6X—FLC16M=Catalyst6000SupervisorPCMCIA16MB閃存卡MEM—C6K—FLC24M=Catalyst6000SupPCMCIA閃存卡，24MB備用Catalyst6000系列基本維護CON—SNT—PKG16Catalyst6000SMARTnet維護接入互換機接入互換機建議采用10/100/1000BaseT自適應的高性能局域網互換機，可方便劃分VLAN，且考慮以后升級和擴充的需要。本期工程建議配置CISCO最新出產的Catalyst2948G-L3三層互換機，是目前最新型的基于第三層互換的成熟產品，且器價格性能比目前最高。Catalyst2948G-L3三層互換機具有高達22G的互換吞吐量，第三層IP/IPX路由/互換轉發(fā)率為11,000,000PPS，時延低于10微秒。通過支持增強的CISCOIOSIP軟件選件，Catalyst2948G-L3支持RIP、RIP2、OSPF、IGMP、DVMRP等路由協議，可支持任意組合VLAN的劃分。Catalyst2948G-L3提供48口10/100M自適應以太網口，支持（FEC、802.1Q、ISL）等增強VLANTrunk協議，并由兩個千兆上聯端口。本次工程中總廠辦公大樓和經理大樓都使用Catalyst2948G-L3互換機。本期工程中建議配置Catalyst2948G-L3，10/100BaseT端口總數達成48個。此外還配置增強的IP軟件支持OSPF等增強路由協議。防火墻防火墻選用CiscoPIXFirewall，具體介紹見“第七章網絡安全設計”中“CiscoPIXFirewall產品介紹”。Internet網絡加速器Internet高速緩存系統(tǒng)選用CacheFlow525i。CacheFlow摘要在互聯網的飛速發(fā)展的今天，WorldWideWeb已成為網上生活的基本工具，越來越多的人開始使用它，不僅僅用于瀏覽網上的信息，還成為發(fā)布信息，商務活動的媒介，許多人開始稱之為第六媒體，更多的人意識到上網的重要性。而網上的商務活動的實現，更是依賴于網絡的獨特的優(yōu)越性，大量的重要的數據可在分秒內送達，而不需要幾小時或是幾天的時間。但是頗具諷刺意味的恰恰是由于WWW的流行，現在的人們普遍的抱怨網絡瀏覽速度太慢。為了解決這個問題，人們采用了各種方法，像更快的解決速度，更寬的網絡帶寬，都不能收到更好的效果。由于，其主線因素就在于它是WorldWideWait.事實上，網絡瀏覽的延遲取決于許多因素。當然，這許多問題最終都能得到解決。但是有一個決定因數——光速，是我們不也許改變的。當我們訪問一個遠端的WEB服務器時，我們的等待時間是由光再光纖中傳輸的速度決定的。另一個變通的方法就是將用戶要訪問的數據放在用戶盡也許近的服務器上。而實現這種方法的技術就是互聯網加速技術。初期緩沖技術的設計是用來節(jié)省網絡帶寬以減少網絡的擁塞，但它們是被動的，緩沖區(qū)不也許自動的跟蹤網頁的變化；此外一個是它們也可以提供最新的網頁，但這就規(guī)定用戶訪問時再去查詢真正的服務器上的內容，這時，用戶非但享受不到互聯網加速技術帶來的速度上的提高，相反的由于訪問時多了一個環(huán)節(jié)，還會導致訪問速度的減慢。鑒于以上的問題，CacheFlow公司開發(fā)了CacheOS操作系統(tǒng)，運營在CacheFlow系列產品上，采用了獨創(chuàng)的自適應的互聯網加速技術，提供業(yè)界最領先，服務質量最佳的解決方案。CacheFlow技術簡介與其他的同類產品不同，CacheFlow的產品并非基于現有的互聯網加速技術代碼及現有的計算機系統(tǒng)，而是采用了獨特的基于網絡的硬件設計和為自適應互聯網加速技術而獨創(chuàng)的軟件設計，提供了高穩(wěn)定性，高質量的軟/硬件組合。CacheFlow的產品無論安裝在網絡的哪個部分，對于WWW 的應用程序來說都是透明的。作為一個Proxy來用時，它又與允許使用者規(guī)定哪些內容需要互加速哪些則不需要。它甚至還可以自動檢測到網頁上的廣告條的源服務器。1、CacheOS操作系統(tǒng)簡介CacheOS應用于CacheFlow網絡加速系列產品中的獨創(chuàng)性操作系統(tǒng)，已經被業(yè)界證明是唯一可以提供應用戶高速和實時的解決方案。*高速：CacheFlow的產品被公認其提供的Web訪問遠遠快于同類的競爭產品。*實時：CacheFlow可以在實現互聯網加速的同時保持網頁的不同對象的更新，從而保證用戶訪問的永遠都是最新的內容。為了實現高速和實時的訪問，CacheFlow在其CacheOS操作系統(tǒng)中融合了以下技術特色：2、并發(fā)的數據下載：第一時間快速地獲取內容?；赪EB的訪問是通過 HTTP協議——一種交互式的TCP/IP協議來實現的，一方面讓我們來看看它的交互過程。如圖，HTTP的請求發(fā)出之前，所要訪問的服務器的IP地址必須到域名服務器（DNS處作域名解析，然后才逐個發(fā)出請求下載組成主頁的各個對象。HTTP的遲滯反映時間也正是這樣來定義的，既一個請求在應答之前所經歷的延時。每個HTTP請求都要創(chuàng)建一個新的TCP連接，產生一個來回的延遲，當服務器收到并解決這個請求后，用戶將在經歷第二個來回的延遲后收到所要的數據。假如這個數據又指明在WEB頁中包含此外的對象（如JPEG/GIF 圖象、JAVA小程序），客戶端的瀏覽器又會新建一個TCP連接，繼續(xù)請求這些包含在主頁中的對象。假如平均每個來回的延遲為RTD，每個主頁包含若干對象，請求每個對象所帶來的延遲是2*RTD,即一個RTD用來完畢TCP對話，另一個RTD完畢HTTP請求。因此，假如一個主頁中包具有N個對象的話，總的延遲將為2（N+1）*RTD。減少這種延遲的方法之一就是像瀏覽器軟件所作的同時開幾個TCP連接以減少反復的來回，但作在用戶端又會導致網絡的數據流量大量增長以及服務器的解決瓶頸。此外一個因素就是每個來回的延遲，影響它的幾個因素有：*服務器解決速度導致的延遲，這是絕對作用的因素，即使是一個負載很輕的服務器也也許因需要多次訪問存儲系統(tǒng)而導致延遲。*在訪問所通過的途徑上，路由器，網關或防火墻等網絡設備導致的延遲。由于大多數網絡設備的工作原理是基于存儲轉發(fā)的，它們在給每一個數據包排隊時也會占用額外的解決時間。傳輸速度導致的延遲。實踐證明，即使在一條T3的臉路上，每個主頁的不同對象的傳輸速率都超但是64k，所以這部分的影響是極小的。那么，作為新一代的網絡加速系統(tǒng)，CacheFlow是如何減少網絡訪問中的延遲的呢？如圖所示、在網絡中了CacheFlow后，用戶的請求由CacheFlow接管，由CacheFlow運用多種針對與減少網絡延遲的方法來增長用戶訪問的速度。這些技術之一就是并行下載，只要遠端的服務器可以接受，這種獨創(chuàng)的技術可以并發(fā)的啟動多個TCP連接，并發(fā)的下在主頁中的對象。這些對象又可已經盡快的下載到用戶的客戶端軟件上。運用這種方法，用戶初次訪問網頁時的速度也可以如圖達成本來的兩倍以上。CacheOS在提供自適應更新的同時還提供了自動監(jiān)測和報告內容更新的工具，如圖：通過世紀的系統(tǒng)運營狀況檢測，網絡管理員可以保證用戶得到的都是最新的主頁。3、域名解析的本地緩存：更快的響應時間CacheOS象維護網頁內容的更新同樣維護一個接西德緩沖區(qū)由于域名解析經常帶來數秒的延遲時間，維護一個本地的域名沖去可以大大提高網絡訪問的速度。4、優(yōu)化的存儲系統(tǒng)：縮短存取時間網頁數據在環(huán)從區(qū)內的存儲方式也大大影響著緩沖的性能和可擴展性。它將決定：當用戶請求緩沖區(qū)的數據時所能得到的響應時間新的數據由訪問到存儲在緩沖區(qū)內所需的時間每塊存儲硬盤對用戶請求的響應速度CacheOS系統(tǒng)的存儲系統(tǒng)不是我們所熟知的文獻系統(tǒng)，它是基于對象來存儲的。對象的訪問時通過系統(tǒng)RAM中的專用表格來完畢，它可以保證每個對象的訪問都可以在一次存取中完畢。采用文獻系統(tǒng)在滿載時會明顯的導致性能上的減少，而這樣的存儲方法卻能在滿載時發(fā)揮最大的效能。在CacheOS系統(tǒng)中，每塊硬盤分別保存一部分URL的內容，對象的存取是自動在多個硬盤之間實現負載均衡。緩沖區(qū)通常都保持在滿載狀態(tài)，舊的，不常用的內容不斷的被刪除以容納更新的內容。雖然硬盤的損壞不是常見，但CacheOS系統(tǒng)還是提供了自動重分派的功能。當一塊硬盤停止服務時，系統(tǒng)自動地將其上的內容重定向到其他的硬盤上。顯然，在這里RAID并不會帶來性能上的提高，相反，它占用的資源本來是應當用來提高用戶訪問的命中率的。為了提高互聯網加速的效能，CacheFlow公司開發(fā)了CacheOS操作系統(tǒng)，CacheOS使用戶的互聯網Qos得到了顯著的提高，成為ISP及公司的首選方案。5、自適應的網頁內容動態(tài)更新：高速、實時的內容由于WEB服務器中的內容會不時的更新，網頁加速器就必須將自己緩沖區(qū)中的數據保持跟源服務器內容一致。為了實現這種更新，緩沖區(qū)就必須發(fā)送一個查詢信息至源服務器。并且，要提供更快速的服務，就不能等到用戶訪問時才更新。CacheOS解決這個問題的手段是采用一種叫自適應更新的技術。這種技術就是根據網頁中的對象對于更新的不同需求有選擇地進行更新，并保證使這種更新與用戶的訪問不再同時進行。判斷什么時間更新哪些內容規(guī)定這些對象的更新方式有一定的了解。網頁中對象是各自依不同速率更新的。圖中所顯示的數據是從世界上各個不同的CacheFlow產品中所采集到的。所謂自適應更新，就是為每一個緩沖的網頁中的對象建立一個更新模型，同時根據對象被用戶訪問的歷史記錄建立一個應用模型，然后根據這兩方面的信息決定對象更新的方式。（并隨時依據這兩方面信息的變化進行調整）采用了這種技術的CacheFlow產品可以自動地進行內容的更新來保證用戶訪問時的新鮮度。例如，在某一新聞媒體的主頁中，只有應當被更新的內容（如重要新聞）才會被更新，而那些不怎么變化的內容（如此媒體的標志）則保存在緩沖區(qū)中。并行數據下載技術保證了用戶初次訪問網頁速度的提高的同時，自適應更新技術保證了用戶后續(xù)訪問該站點時由緩沖所帶來的速度提高，同時也保證了用戶訪問的內容的新鮮度。此外，這種自適應地，有選擇地更新還帶來網絡帶寬的節(jié)省，由于它節(jié)省了不必要的反復訪問所占用的帶寬。一種計算緩沖技術對骨干上的帶寬影響的方法，是比較互聯網加速器的用戶訪問流量和它訪問網絡時所占的流量值，這個差值就是由互聯網所帶來的帶寬結余。帶寬之所以有結余，是由于互聯網加速器提供應用戶的流量比它在網絡上占用的流量更多。上圖介紹了產品所帶來的帶寬結余；現在只由3000Kb/s的帶寬與互聯網骨干相連，但可提供應用戶的帶寬達4000Kb/s,無形中增長了35%的骨干帶寬。CacheFlow500CacheFlow500是高性能的互聯網加速器。它可以支持1Mbps到15Mbps的互聯網訪問流量，對于ISP和公司用戶來說，CacheFlow3000是最佳的互聯網加速器解決方案，它可以幫助用戶：節(jié)省互聯網帶寬的使用，減少費用極大地提高互聯網和內部網的訪問響應時間在最小的設備投資情況下來擴展網絡解決能力連續(xù)地保證高性能的互聯網服務質量CacheFlow500是真正可靠的網絡設備。它配置簡樸，只需幾分鐘即可。開始工作后，幾乎不需要做什么管理。CacheFlow500內置有公司專為互聯網加速設計的操作系統(tǒng)CacheOS，可以保證用戶在現有網絡條件下以最快的速度獲取到最新，最實時的網上信息。CacheOSCacheOS是CacheFlow公司專利所有的專為互聯網加速設計的操作系統(tǒng)。所有的系列產品均內置CacheOS。它使用了一系列啟發(fā)式方法和智能算法，既保證了傳送信息的準確性和實時性，又最大限度的優(yōu)化了網絡響應時間。CacheOS的特性涉及：單一目的的多進程解決；可適應性資料更新獨有的資料存儲方式（沒有文獻系統(tǒng)各目錄結構）；全冗余磁盤陣列；先進的讀寫存儲子系統(tǒng)常用的系統(tǒng)配置型號互聯網流量存儲系統(tǒng)內存網絡適配卡5151-2Mbps9GB268MB1個10/100Base-T5252-10Mbps18GB384MB1個10/100Base-T54510-15Mbps36GB768MB1個10/100Base-T525i2-10Mbps18GB384MB3個10/100Base-T545i10-15Mbps36GB768MB3個10/100Base-T四層互換機四層互換機選用FoundryNetworks的ServerIron互換機。FoundryNetworks的ServerIron互換機為互聯網服務供應商（ISP）及公司機構提供高性能的第4-7層應用軟件型互換能力，以提高互聯網服務（例如網頁內容刊登、網站寄存及電子商務）的可用性、性能及擴展能力。 ServerIron涉及FoundryNetworks的InternetIronWare功能組。IronWare是一整套可同時裝載的負載均衡及快取互換功能。運用這套功能，可獲得最大的靈活性及投資保護。 與其他基于服務器、依賴制造商和操作系統(tǒng)的軟件不同，ServerIron是基于互換機和協議的，因此可兼容所有主流服務器和操作系統(tǒng)，并且不需要任何服務器代理軟件。由于ServerIron是基于互換機的平臺，因此具有更高的性能、端口密度、擴展能力以及多層冗余。 ServerIron可為服務器提供10、100及1000Mbps連接。如將服務器連接配置成中繼線，以獲得更高的帶寬和冗余。ServerIron配備8、16或24個10/100Mbps端口，這些端口可自動檢測連接設備的速度，并自動調節(jié)至該速度。在1000BaseSX多模式及1000BaseLX單模式中，則可提供一個或兩個千兆位以太網端口。 如需要高密度千兆位以太網連接，則可以通過InternetIronWare，將Foundry屢獲殊榮的TurboIron/8互換機升級，以全面提供第4-7層功能。TurboIron/8總共可提供八個1000BaseSX及1000BaseLX端口組合。InternetIronWare局域及全球傳輸分布提高性能及彈性 通過InternetIronWare的局域負載均衡功能，HTTP、FTP、SSL及電子郵件等第4層傳輸可容易、透明地分布到多個服務器。運用ServerIron，網絡管理員可建立一個邏輯服務器群體。ServerIron通過這個叫做VIP（VirtualIP，即虛擬IP）地址的功能，扮演帶有VIP地址的虛擬服務器的角色，對用戶請求進行控制、監(jiān)視，以及將用戶請求切換到服務器群中最適合的服務器中。這種在用戶角度看來只有一臺服務器的方案有助于簡化管理及防止服務器受到非法入侵。 ServerIron設有三種負載均衡選擇，網絡管理員可選擇其中一種，以優(yōu)化應用程序的傳輸，令服務器不至于超載：循環(huán)分派：在同一服務器群體中，依順序分派連接。循環(huán)分派同等看待所有服務器，但不會考慮其連接數目或回應時間。最少連接：把連接分派給已打開的連接數目最少的服務器。對于擁有一組性能相近的服務器的網站，這是一個不錯的選擇。最少連接可保證當一臺服務器即將過載時，其他連接將得到適當的分派。加權比例：此項選擇可讓管理員將性能比重分派給每一臺服務器。加權比例保證能較快解決連接的服務器可以獲得較多的連接。 InternetIronWare的全球服務器負載均衡可透明地將負載均衡功能擴展到遍布全球的數據中心和服務器群，讓網絡管理員可在無需理睬服務器實際位置的前提下，根據服務器的“健康”狀況、負載、是否鄰近或平均來回時延等標準，容易地將傳輸引導至最適合的服務器或服務器群。由于網絡管理員可通過此一功能擬定不同地方發(fā)生故障的服務器的位置，因此為服務器的劫難后復員工作提供了很大的彈性。 ISP及公司可運用全球服務器負載均衡，提供擴展能力強、可容錯的全球服務及應用。全球服務器負載均衡通過將用戶引導到最鄰近的數據中心，令用戶端的性能明顯提高，同時亦可減少帶寬浪費。增強服務冗余、可用性及性能 InternetIronWare及ServerIron平臺通過提供互換機、服務器、鏈路及對話層冗余，保證服務的可用性。 假如服務器或服務器應用程序負載過重，ServerIron則可提供亞秒級（不超過一秒）檢測，并將過載的服務轉移到同一個邏輯群體中支持相同服務的下一臺服務器。這樣便可以保持傳輸的連續(xù)性及應用程序的可用性。 為保證重要的服務能100%運作正常，ServerIron設了一個熱待命冗余互換機功能，以防止對話丟失。通過該冗余功能，ServerIron令主、從互換機可支持完全相同的配置參數。從互換機會連續(xù)監(jiān)視主互換機上的傳輸狀況。萬一主互換機發(fā)生故障，副互換機將立即接手主互換機的工作，以保證不會丟失任何對話及連接。此外，ServerIron還提供鏈路層冗余，通過自動將故障鏈路的對話切換到冗余鏈路，保證服務器連接不受影響。 除了監(jiān)視服務器的連接外，InternetIronWare的服務健康檢查功能還通過檢測HTTP、DNS、Radius或SMTP服務是否發(fā)生故障，監(jiān)視服務器回應用戶請求的能力，從而保證能快速檢測出服務故障，并避免出現服務過載的風險。 對稱服務器負載均衡可為重要的服務提供最高2，000，000組連接及全面服務冗余。通過對稱負載均衡，多套并行的ServerIron共同分擔連接負載，并互相充當后備角色，以在任何一個ServerIron發(fā)生故障時，接手其工作。 直接服務器返回最多可同時支援1，000，000組作用中的用戶連接，并令被請求內容可通過最佳的返回途徑提供。這可顯著提高用戶的連接性能，并讓系統(tǒng)性能可根據不同應用（例如網頁、圖形及順序流媒體）的需求進行調節(jié)。高性能網頁刊登及網站寄存 InternetIronWare可支持無限個VIP地址。網絡管理員可運用此功能，以一組簡樸的指令配置成千上萬個VIP地址。網站寄存公司亦可運用此功能支援數百個有各自不同網域名稱及IP地址的主頁，并將負載分攤到多個服務器中。 此外，網絡管理員還可通過ServerIron，運用URL互換減少內容轉發(fā)成本及管理開支。ServerIron檢查每個客戶端的URL請求（如.com），然后將請求發(fā)送到所請求內容的宿主服務器。ServerIron可支持數千個URL，并且其內容可分攤到各個本地或遠距服務器。 IRONWARE的“多對一”負載均衡功能可讓網絡管理員容易地追蹤VIP的服務使用情況。通常，每個TCP/UDP端口只會有一個VIP至服務器的關聯。通過此功能，單個服務器極端標語碼可服務多個VIP，并可為每個VIP編譯各類型使用信息。對于ISP維持和發(fā)展互聯網網站來說，網站瀏覽、使用情況記錄等信息以及其他與服務有關的數據有重要的參考價值。以透明快取互換技術縮短互聯網回應時間及減少廣域網成本 ServerIron的透明快取互換功能通過將預定由遠程互聯網主機提供的網上傳輸引導到一組本地快取服務器，縮短互聯網的回應時間，并可減少廣域網的運作成本。Foundry的透明快取互換技術可配合任意支持透明重新引導技術（涉及CacheFlow、Cobalt、Inktomi、NetworkAppliance及Novell等著名商戶所提供的重引導技術）的快取服務器使用。 Foundry的透明快取互換技術為網絡管理員提供了一個富彈性的網站快取方案，令管理工作顯著簡化。與代理服務器方案不同的是，前者需要人工配置每個客戶端瀏覽器，而ServerIron則不必進行任何客戶端瀏覽器配置，而會自動截取HTTP客戶端請求，并將其切換到可用的快取服務器。網絡管理員可根據源IP地址及目的IP地址配置ServerIron至互換機的傳輸。 透明快取互換還為網絡管理員提供了一層冗余和代理服務器所沒有的彈性。通過ServerIron，管理員可安裝冗余網上快取服務器配置（我們稱它為網上快取服務器群），以在某臺網上快取服務器發(fā)生故障時，可自動復原。此一功能可保證在任何時候，重要的網站傳輸都能連續(xù)進行。為增長彈性，可在網上快取服務器群中安裝冗余ServerIron互換機，以避免發(fā)生單點故障。 快取路由優(yōu)化（CRO）則通過將快取返回封包轉發(fā)到最適合的路由器，令傳輸更加智能化，并可進一步縮短回應時間。CRO會檢測路由效率低的封包（這些封包會引起互聯網路由器性能嚴重減少，令服務回應時間明顯變慢）。CRO借助ServerIron的功能，進行高速封包解決。通過檢查各個封包的第3層和第4層包頭以及辨別其應用，ServerIron可在無需缺省互聯網路由器協助的前提下，對的地將由快取服務器產生的封包切換到客戶端。ServerIron通過CRO減少了互聯網路由器的傳輸負載，同時亦顯著縮短了用戶回應時間。 在某些網絡環(huán)境中，快取服務器從基于已配置政策的路由器接受傳輸；但是其路由器并不具有檢測故障快取服務器的技術。而通過InternetIronWare的快取故障轉移保護技術（CFO），ServerIron可在快取服務器發(fā)生故障時保證繼續(xù)提供服務。快取健康檢查可檢測出服務故障，并在故障發(fā)生時，立即將客戶端傳輸重新引導至互聯網。 基于政策的快取互換可根據服務政策及目的地址，將客戶端請求引導至適當的快取服務器，為用戶提供了很大的靈活性。通過此功能，請求特定網站的用戶被引導至包含預載內容的特殊內容快取存儲器。網站刊登者可運用基于政策的快取互換，根據由當前數據驅動的高峰內容請求分派內容。 直接快取服務器返回通過擴大快取返回帶寬提高整體的服務性能及客戶滿意限度。直接快取返回通過取得比原請求高的帶寬，令快取服務器能更有效地提供網站內容?；ヂ摼W完整性的服務保安 為改善網絡保安，ServerIron可用以限制訪問指定地址或子網中的特定應用程序。通過設定過濾器，可拒絕某些端口訪問服務器。例如，網絡管理員可拒絕指定地址的FTP傳輸。相反，亦可以把過濾器設定為可讓某個用戶子集或子網訪問。 ServerIron還可以讓網絡管理員為進入TCP/SYN封包速度配置一個入口，以防止惡意的TCP/SYN襲擊。假如該入口超過負載，ServerIron將自動在一段時間內，停止新的對話連接。第4層QoS/CoS為應用程序傳輸分派優(yōu)先順序ServerIron可有效的分派TCP及UDP傳輸的優(yōu)先順序。此一功能可保證在支援多應用程序的服務器中，重要的傳輸可獲得比其他傳輸較高的優(yōu)先級別。 通過ServerIron，封包可根據目的地址及目的端口數目，劃分優(yōu)先級別。運用此功能，可為重要的應用程序提供優(yōu)先的服務。運用記錄資料改善應用傳輸的管理 網絡管理員可運用ServerIron的記錄功能，方便地收集和顯示服務器群中預定網絡傳輸的具體資料。記錄功能可追蹤服務器和客戶端之間的傳輸總量，以及哪些應用程序主導網絡傳輸；或者監(jiān)視服務器的作用中對話的數量。這些記錄資料可用于跟蹤支持多應用程序的服務器的傳輸負載。配置及管理ServerIron ServerIron可通過Foundry的IronView網絡管理工具進行配置和管理。SunSolaris的HPOpenView、WindowsNT以及獨立WindowsNT等主流平臺均提供SNMP（簡樸網絡管理協議）設備管理及配置應用程序。此外，ServerIron還提供應用于局域及遙距管理和配置的指令行接口Web/HTTP。而遠程監(jiān)控（RemoteMonitoring,RMON）及鏡像端口則提供網絡監(jiān)視及除錯功能。應用方案ISP提供充足的冗余為客戶提