首页 企业网络组网解决方案---中国港湾总公司组建网络案例

企业网络组网解决方案---中国港湾总公司组建网络案例

举报
开通vip

企业网络组网解决方案---中国港湾总公司组建网络案例企业网络组网解决方案---中国港湾总公司组建网络案例 1 目录 第一章.需求分析 .......................................................................... 1.1 项目背景 ....................................................................... 1.2 计算机系统需求 .................................................

企业网络组网解决方案---中国港湾总公司组建网络案例
企业网络组网解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ---中国港湾总公司组建网络案例 1 目录 第一章.需求分析 .......................................................................... 1.1 项目背景 ....................................................................... 1.2 计算机系统需求 ................................................................. 1.3 需求分析 ....................................................................... 第二章.网络系统设计 ...................................................................... 2.1 网络系统的特点和用户要求 ........................................................ 2.2 设计原则 ....................................................................... 2.3 局域网总体设计说明 ............................................................. 2.3.1 传统网络的局限性和现实网络技术的解决方案 .................................. 2.3.2 采用交换以太技术构建局域网 ............................................... 2.3.3 大中型局域网设计中的主要问 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 ............................................. 2.3.4 网络互连分析 ............................................................. 2.4 广域网络互联 ................................................................... 2.4.1 广域网连接方式 ........................................................... 2.4.2 现实的WAN互联选择 ....................................................... 2.4.3 Internet接入 ............................................................ 2.5 中国港湾建设总公司网络技术要求 .................................................. 2.5.1 VLAN实现 ................................................................ 2.5.2 LAN设备的功能要求 ....................................................... 2.5.3 WAN连接设备功能要求...................................................... 2.6 产品简介 ....................................................................... 2.6.1 局域网设备简介 ........................................................... 2.7 网络系统实施方案 ............................................................... 第三章.UPS电源系统设计 .................................................................. 3.1 设计原则 ....................................................................... 3.2 产品选择 ....................................................................... 3.3 产品特点 ....................................................................... 第四章.Intranet平台系统设计.............................................................. 4.1 建立Intranet系统的投资收益 ...................................................... 4.2服务平台的建立原则 ............................................................... 4.3 产品选型 ....................................................................... 4.4 平台系统设计 ................................................................... 第五章.网络安全设计 ...................................................................... 5.1 集成的网络安全策略 ............................................................. 5.2 “防火墙”技术与结构............................................................ 5.2.1 防火墙的概念 ............................................................. 5.2.2 防火墙技术的实现 ......................................................... 5.2.3 建设Firewall的原则 ...................................................... 5.4 中国港湾建设总公司的网络安全设计 ................................................ 5.4.1 防火墙建设 ............................................................... 第六章.服务器系统选型与配置 .............................................................. 第七章.工程实施 .......................................................................... 7.1 现场勘测 ....................................................................... 7.2 订货和采购 ..................................................................... 7.3 IP地址和域名规划 ............................................................... 7.4 设备安装及设置 ................................................................. 7.5 Intranet平台和软件开发环境建立 ................................................. 7.6 应用系统开发 ................................................................... 7.7 网络系统和Intranet平台试运行 ................................................... 7.8 工程验收 ....................................................................... 7.9 培训 ........................................................................... 7.10 质量保证体系 .................................................................. 7.11 质量担保 ...................................................................... 第八章.服务 ............................................................................. 8.1 系统集成、安装及日常维护服务 .................................................... 8.2 常规类服务支持方法 ............................................................. 8.3 厂商服务内容 ................................................................... 第九章 设备清单及系统报价 ................................................................ 2 感谢中国港湾建设总公司对凡喜公司的信任,给予我们为中国港湾建设总公司提供网络规划、Intranet/Extranet平台设计及建议的机会。我公司将本着诚挚、科学的态度,从贵方的业务需求出发,利用国际上先进成熟的技术和我们在 网络设计和实施、Intranet/Extranet平台建设以及应用开发方面的经验,力争为中国港湾建设总公司提供最佳的系统解 决方案。 1.1 为了适应业务的发展和国际化的需要,积极参与国家信息化进程,提高管理水平,展现全新的形象,中国港湾建设 总公司准备建立一个现代化的机构内部网,实现信息的共享、协作和通讯,并和属下三个分公司、二十多个办事处互连, 并在此基础上开发建设现代化的企业应用系统,实现智能型、信息化、快节奏、高效率的管理模式。 中国港湾建设总公司信息系统是中国港湾建设总公司迈向二十一世纪的重要举动之一,是公司业务走向高效率、高 效益的必要条件。在当今的信息时代,信息对每个团体、每个行为、决策、收益起着重要的作用,人们对信息的依赖日趋 强烈。 1.2 目前公司总部只完成了结构化布线工作。总共200多个信息点分布在总部的三层楼内,其中2楼和 3楼的信息点较密集,约有150个。 所以待建网络系统的目标是: ? ? 建立内部网(Intranet)。通过内部网络系统,建立现代化的办公环境,同时提供丰富的信息运行网络平台。 ? ? 将北京总部与和各个分公司、国内办事处互连,建立整个中国港湾建设总公司系统的互连网络。 ? ? 上连Internet,通过Internet,中国港湾建设总公司可以将公用信息放在网上,进行机构形象宣传;也可以通过Internet 与分公司、国内办事处互连,进行信息交互。 1.3 为实现上述目标,可以把整个系统建设分成两个部分,即:网络平台建设和Internet/Intranet平台建设。 (1)网络平台是建立在结构化布线基础上的最基本的平台。可靠的网络平台是Internet/Intranet系统及应用系统正常运行的基础。网络平台的设计应包括局域网的设计、广域网的设计。 (2)Internet/Intranet平台包括Intranet、Internet和Extranet。三者的关系如图: IntranetExtranetInternet Internet/Intranet系统具有客户端单一界面、易于使用的特点。在中中国港湾建设总公司的平台建设中,Extranet部分对应于与各合作伙伴信息交流的相关部分。 2.1 中国港湾建设总公司网络是中国港湾建设总公司总部内部办公以及与下属各个分公司、国内办事处进行计算机信息 交流的平台,是一个跨地区的大型网络系统。总部办公楼将通过专线或者微波的方式连入Internet,进行信息的发布,也可以通过Internet与各分公司、办事处进行信息的交互。 在局域网平台建设方面,经过具体需求进行分析之后,我们建议建立一个主干100M、部分重要应用桌面独享10M、普通应用共享10M的三级以太网结构,并能在未来平滑地升级到ATM、千兆以太网。网络系统要求能够支持视频会议、视 频点播、网上实时交流以及BBS、新闻组等功能。 3 中国港湾建设总公司的网络系统应采用国际、国内应用比较广泛且相对先进的技术和产品,且易于操作、维护:选 用TCP/IP协议、UNIX操作系统、SQL数据库。 2.2 根据本网络系统的特点和用户要求,我们的设计原则是: , , 可靠性??系统具备网络诊断、测试和在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切换。 , , 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 化??网络技术发展迅速,不能盲目求新,必须以符合国际标准为准则,选择技术已经成熟、标准化的产 品,这是保护投资、易于维护的基础。 , , 扩展能力??充分考虑到目前的业务需求和今后长时间内业务发展的需要,系统可方便地实现升级。当将来采 用新技术(如ATM)时原有设备能继续使用,只需增加有限的模块和设备,保护原来的投资。而且,中国港湾建设总公司 有些业务部门应用系统的研制开发,可能会安排在本系统之后,将来随着业务的发展,还可能有新的业务部门出现,本系 统应该能够适应和容纳这种变化。 , , 开放性??网络体系结构与系统应用各自独立,与服务器、工作站的操作模式无关,支持各种通讯协议,各种 数据库和客户机/服务器以及Internet/Intranet的应用,并能方便地和其它机构、企业的主机和网络互连通讯。 , , 灵活性??拓扑结构必须灵活,便于进行网络的管理和调整。 , , 可维护性??网络系统便于管理和维护,配置功能强大的网络管理系统,实现集中维护和检测。 , , 严密的安全控制和保密性能??系统提供必要的安全保护手段,防止由于操作人员的失误以及系统的意外故障 而造成数据丢失或破坏;同时能防止系统外部的侵入和操作人员的非法操作,系统的信息安全性要求达到C2级标准。 , , 经济性??一次性投资,长年受益,维护费用低,使整体性价比达到最优。 , , 先进性??支持任务优先级的划分,具有适当的多媒体应用支持。 2.3 PC机技术和计算机网络技术的广泛应用改变了信息存储和传递的方式,继而改变了人们的生活和工作方式。“网络 就是计算机”,已经成为众所周知的时代口号。 当今,种类繁多的网络解决方案从技术本质来说是从两个方面对传统网络进行改进,,这种方案的思路是提高网络的总带宽,例如各种高速以太网和FDDI 等,这种方法可以使每个站点分到较高的带宽,是对 网络性能提高的一种有效的方法。ATM,这是一种革命性的方法,用户可以从未来的ATM 技术中受益,根据ATM所承诺的技术,未来的网络将解决现在网络存在的所有问题。 传统的网络技术通常主要包括:以太网和令牌环网,他们的共同特征是定义对链路共享访问方式,以太网的CSMA/CD 协议和令牌环的令牌传递协议都是一种共享介质的访问方式,这种方式将随着计算机站点数目的增加使网络效率明显降低, 因此,传统的网络在满足用户的需要时会产生几个方面的问题: * ,无法满足迅速增涨的用户数目; * ,无法满足多媒体,工业图象等对网络速度的需求; * ,网络互连依赖于路由器,这样的做法提高了成本,同时也降低了效率; * ,逻辑网络依赖于物理网络; 网络的发展将会使上述问题得到解决,路由器和网桥通过对网络进行分段细化的方法来保证大型网络的效率,这种 方法由于其代价的昂贵和解决问题的有限性,已经日益不能为人们所接收。 综合看来传统网络技术上有两个主要缺陷,即共享媒体和依赖于路由。 网络技术的发展是由于两方面作用的结果,其一是为了解决现实中网络的问题,另外的一个重要因素是商品社会的 竞争机制所造成的,每个厂家必须有更好更快的产品,实际上最新的技术不一定是用户最迫切需要的技术。 我们粗略的看一下当前网络发展概况,当前网络解决问题的方法主要有以下几种: , , 提高网络速度的主要目的是增加网络的带宽,从而有效的提高网络的效率。 4 , , 划分网段的主要目的是实现网络的管理和缩小网络中的广播风暴。 传统的网络用网桥和路由器来实现对网段的划分,现在取而代之的技术是交换技术,这种方法用最少的花费实现了网络性 能的提高,在交换机上数据帧对特定的端口,因此每个端口都不影响其它的端口。 , , 令牌传递和ATM 交换机等有效的解决了介质访问冲突的问题,在此不必赘言。 , , 虚拟网络技术是解决物理网络和逻辑网络分离的有效手段,虚拟网技术解决的主要问题是网络管理中的问题。以下几种情 况通常要靠虚拟网络的方法解决: , , 不同的物理位置可能组成一个网段,这样以地域为基础划分网段有时无法满足现实的需要; , , 人员或部门的位置调整可能引起网络的变动; , , 网络的使用不平衡可能会造成不同网段的负载差别。 解决这一问题的有效的方法是将逻辑子网和物理子网分开,即实现所谓虚拟网络(VLan)。 交换以太是目前发展最快的一种网络技术,交换机取代了传统使用路由器和网桥连接子网的方法,有效的解决了网 络瓶颈的问题。交换以太网可以应用于桌面系统的大型工作组,同时也可以构造规模较小的局域网络主干,同时可以实现 虚拟网络,另外还可以平滑地过渡到ATM,作为ATM主干的子网。 交换以太可以使用户在以下的方面受益: , , 用户数不断增加时,LAN的性能不会受大的影响,因为可以通过增加网段的方法来增大网络的容量; , , 和现有的以太网完全兼容; , , 完成现有多个局域网的互连; , , 虚拟网络技术,可以很方便的调整网络的逻辑结构; , , HUB之间或HUB和服务器之间的连接可以调整带宽,从而消除网络瓶颈; 目前交换以太技术通常在主干到工作组之间采用,例如ATM-交换以太、FDDI-交换以太、100Mbps交换以太-10Mbps交换以太等网络结构。 连接一个小型的LAN时,可以说几乎没有什么值得讨论的技术问题,当局域网的规模扩大后,网络设计的技术问题 就变的比较突出了,其主要的问题体现在: , , 网络规模的扩大使通讯变的复杂起来,服务器和客户端机器数目的增加,直接导致数据访问方式的复杂性。 , , 基于管理和降低通讯瓶颈提高通讯需要划分成多个网段。 , , 网段的划分具有不同的方式。 , , 网段之间的通讯具有不同的解决方案。 , , 网络的设计是否具有比较好的延展性和可预见的技术更新和升级的方法。 以上所列举的主要问题在大中型的局域网设计中都应该加以考虑,并给出合理的解释。根据我们所知的大中型LAN设计案例中有很多对以上的问题缺乏分析,其结果是造成通讯效率低下、管理困难。 以上问题的核心是如何把一个大型的网络化整为零,又如何把这些小的网络有机的连接在一起,即局域网络互连。 在局域网的设计中各个厂商提出的解决方案的共同点是: , , 采用路由器结合交换机的解决方案; , , 交换机负责划分网段,既VLAN划分,路由器负责网段间通讯; , , 网段的划分方法 目前的交换机从本质上来说有第二层基于数据链路层的交换和第三层基于网络层的交换,二者在划分VLAN表现出来的特点分别为: 5 第二层交换机只能按交换端口划分VLAN。 , , , , 第三层的交换机可以实现的VLAN划分策略有: 1. 1. 按交换端口划分VLAN; 2. 2. 按协议划分VLAN; 3. 3. 按MAC地址划分VLAN; 4. 4. 综合以上的划分方法称为按策略划分VLAN。 从以上的事实可以看出在网络划分上,第三层的交换机优于第二层的交换机。所以目前各个公司最新纷纷推出自己 的第三层交换机,例如Xylan的Pizza 10 Switch,Omini Switch,Bay最新推出的Switch Node,Fore公司的Power HUB, Cabletron的MMAC plus,CISCO的Catalyst5000系列交换机等,都属于第三层的交换。 由于第三层的交换机比较复杂,我们认为在第三层交换机中可能存在的主要问题在于: , , 交换机内的路由软件质量问题; , , 路由效率和交换效率; , , 由于公司之间收购造成的网络产品之间的互连问题,以及网管问题; 局域网络的互连主要方式有: 这是传统的组网方法。在这种方案中,所有的LAN均通过路由器接入主干网。整个主干划分成几个网段。跨越主干 的通信均通过路由器实现。不存在跨主干的VLAN。 LANsLANs 图2-1 路由为中心的网络拓扑图 上述方案存在几个问题: 1. 1. VLAN划分不灵活。 2. 2. 网络传输速率低。 3. 3. 价格比较贵。 “” 大型的局域网通常由中心交换机和边缘交换机组成。在交换以太骨干环境中,中心交换机一般为高端以太交换机, 边缘交换机通常为具有快速以太接口的局域网交换机。二者配合使用,为用户提供大中型局域网解决方案。 在这种环境当中,为连接不同的VLAN和IP子网,仍然需要路由功能。因此,许多厂家采用“交换机+路由器”的混 合解决方案。 “交换机+路由器”的解决方案的主要思路是: , , 以交换机为主,路由器“顶”在后面作为辅助设备 , , 交换、VLAN划分等均在交换机内实现 6 子网划分及网络互连、防火墙等在路由器中实现 , , 数据帧从局部的交换以太网进入交换机后,如果目的节点和源节点在同一个VLAN中,则由交换机进行数据交换。否则,需经过路由器进行路由后,到达目的网络的交换机。 从具体的实现方法上看,“交换机+路由器”又有两种模式。 第一种:以一个路由器和一个局域网交换机为一组,用比较便宜的快速技术(如:快速以太网 )连接在一起,如图2-2。 100M LANsLANs 图2-2 交换+路由的网络拓扑图 这种方案是早期比较多见的一种。它的优点大体有如下几点: 1、设想自然, 容易实现 交换机和路由器均不用做过多的改变。甚至在某些厂商(如Cisco)的早期产品中, 每需要互连一个ELAN,VLAN或IP子网,就需要增加一条路由器到交换机的连接。实际上,这时路由器和交换机均未做任何变化。 2、结构清晰 从网络构架上看, 每一个路由器和一个交换机形成一个“交换-路由”功能组。网络的组成结构非常清晰。 3、价格适中 这是相对而言的。 因为路由器与交换机之间的连接方式为以太网,端口价格比较便宜。 另外, 路由器不需要参予与ATM有关的功能, 故整机的价格也会相对便宜。 但是,这种构架的缺点也是显而易见的。归结起来,大的方面有如下几点: 1、转发效率低 所有跨不同VLAN和IP子网的通信流量都需要经过路由器,路由器的转发速率要比交换机要慢的多,这样,就把交 换网络带来的速度优势都损失了。 2、通信流量出现瓶颈 大量的不同VLAN之间的通信流量均需要通过路由器。因此,在存在大量VLAN的环境中,交换机与路由器之间的通 信量很大。 显然,采用“每个VLAN占用一个路由器端口”的策略是不可取的。所以,大量的流量必然挤占一条很有限的带宽。 而且,由于所有被路由的数据对路由器均有“一来一回”两个过程,所以路由器到交换机之间的链路的有效带宽的最大值只 有其线率的50%。 举例来说,如果在主干网上有128个VLAN,同时还有64个IP子网,网络有16组“交换机-路由器”,路由器与交换机之间以快速以太网连接,则该链路上平均每个网络获得的有效带宽只有(50M×16/192)=4M,整体的网络性能将变得很低。 3、非标准的实现方法 采用以太网(快速以太网)连接交换机和路由器的实现方法,一定是非标准的。如图2-3,交换机内的3个VLAN用ATM接入主干网。当它们接入后端路由器时,该链路显然不能仅仅属于任何一个已经定义的VLAN(VLAN1,VLAN2,VLAN3),也不能属于新的VLAN。为实现不同VLAN的互连,它必须同时属于3个VLAN 但是,没有任何标准可以做到实现的方式依赖 厂商。这种情况很类似于VLAN中PortGroup实现方法,在需要跨设备划分或互连时的情况。所有厂商的实现方案一定是非 标准的。 7 VLAN1FastEthernet??VLAN2To Router VLAN3 图2-3 交换机+路由器的非标准化 4、价格较高 在每一个骨干网边缘的接入点,都需要一台路由器,使整个网络的造价很高。 第二种“交换机+路由器”的实现方式比前一种有所改进。主要的不同在于,路由器不是直接“顶”在交换机的后 面,而是直接接入主干网。它可以属于不同的VLAN,直接参与主干网范围内不同VLAN,不同IP子网之间的互连,见图2 -4。 LANs LANs 图2-4 路由器连入主干的交换机+路由器的网络拓扑图 与第一种“交换机+路由器”的方案相比,这种实现方案有明显的改进,主要包括: 1、如果没有采用PortGroup的方法来划分VLAN,全部的VLAN都以ELAN(或其它基于标准的方法)来实现的话,所有的网络技术将完全是基于标准的。 2、在整个网络范围内来看,路由器和交换机不是一一对应的。路由器的数量可以少于交换机的数量。在极端的情况 下,全网可以只有一台路由器,为所有的ELAN进行路由。 但是,这种实现方法依然不能克服“交换机+路由器”方式固有的“价格高,效率低”的弱点。具体的分析如下: 1、数据流向不合理 对于一个跨越主干的数据包,它的理想流向应该是: 源局域网-交换机-主干-交换机-目的局域网 而在这种实现方法中,只要源和目的节点不属于同一个VLAN且同一个IP子网,那么它的数据流向就是: 源局域网—交换机—主干—路由器—主干—交换机—目的局域网 显然,数据进入主干两次,造成网络流量的不必要增加和网络延迟的增这是很不合理的。 2、路由器的数据瓶颈依然存在 所有需要路由的数据在进出路由器的过程中,仍然拥挤在一个带宽相对很窄的链路上,形成网络的瓶颈。特别是, 具有快速局域网模块的高端路由器比较昂贵,在一个大型的骨干网中不可能使用很多。这就必然形成少量路由器带大量网 络的局面,进一步加剧瓶颈的严重性。 有些公司声称他们采用“路由服务器”的技术,在为不同VLAN之间的帧做路由时,只需查看第一帧,以后不必经过 路由器。目前还没有任何一个厂商可以做到这一点。 8 3、数据交换对路由器的要求很高 4、价格昂贵 除主干交换机外,高端路由器的存在,仍使网络价格昂贵。 通过上述分析,我们可以看到:以“交换机+路由器”为基本特征的解决方案不是真正基于交换技术的方案。它具 有很强的传统以路由器为核心的网络结构的痕迹。仅仅是由路由走向交换过程中一种过渡性方案。由于带有传统路由网络 固有的局限性,很难摆脱其“价格高,性能低”的致命弱点。 基于具有路由功能的交换机的解决方案 第三类解决方案是完全基于交换技术的。它直接在网络交换机上加入路由功能,使交换机具有局网交换和路由功能 为一体的特征,使得数据的流向趋于合理,消除网络瓶颈,全面提升网络的整体性能。 一个数据帧进入交换机后,交换机将判断该帧是需要交换还是需要路由,然后送入相应的引擎中进行处理,或在局 部进行交换,或透过骨干网,到达目的节点。 在这种解决方案中,通常可在骨干网上定义一个VLAN,上面具有唯一的IP子网,并且连接所有的边缘交换机。这样,如果互连的两个VLAN、IP子网不在同一个交换机上时,通过骨干网的VLAN,经一次转发就可到达目的交换机。即:对于任何需要路由的数据包,局部的主干网络中,最大的转发距离为2跳。 所以,总结起来,采用具有路由功能的第三层交换机的解决方案具有以下优点: 1、在大型网络中的高性能。 局部转发速度快 , , , , 无网络瓶颈 , , 不因路由等功能的引入影响骨干的性能 , , 整体性能随网络的扩展线性增加 2、所有VLAN方案均为基于标准的实现方法。 3、 3、 网络整体造价适中,“性能价格比”高。 “路由服务器”是在“交换机+路由器”中提高数据传输效率的办法。它的总的设想是尽量减少数据进入路由器的 次数。 图2-5 路由服务器的解决办法 如图2-5,这仍然是“交换机+路由器”的模式。当数据进入交换机,发现需要经由路由器进行转发时,交换机不仅 仅是把数据送给路由器,在根据返回的数据帧进行交换,而是要经过一次数据包的路由,学到一些路由信息,在下一次遇 到相同情况时,交换机可不经过路由器,独立完成数据的转发工作。 在这种技术中,交换机被赋予了部分的路由功能。它将保存一张临时路由表,存在高速缓存中,记载从路由器学到 的路由信息。在这一过程中,路由器作为“路由服务器”,为交换机提供路由信息,交换机作为客户端学习。 如果交换机能够学到路由器全部的路由,则已经很接近第三层交换机了。目前还没有一个厂商能够做到。从技术上 看,把“路由服务器”实现到这一步,不如直接实现第三层交换更顺畅。 我们认为很多厂家鼓吹的“路由服务器”的性能如何值得考虑。 “路由服务器”最大的局限性在于它是非标准的。通常只有同一厂家的路由器和交换机之间才可能有此功能。整体 性能上也有局限,是一种过渡技术。 综上所述,我们可以得出以下的结论: 9 VLAN 2.4 中国港湾建设总公司的分支机构遍布全国各地,为了实现信息管理现代化,不可避免地要与外埠机构进行紧密的联 系,远程访问局总部的计算机网络是必不可少的。 另外,中国港湾建设总公司各个分公司与国内办事处将建立或完善自己的局域网,这些子网与局总部的计算机网络 之间要形成一个安全的、可靠的广域网。 广域网的连接是将本地网络系统与外部网络互联,以提供本地网络和外部网络系统的通讯。由于技术和费用等其它 原因,广域网络互联要根据系统具体需求以及外部环境,采用相应的策略和设备,以获得最佳的性能价格比。 广域网的连接主要有几种情况: , , 市内相距较远的相关单位。 , , 市外连网。 , , 联入公共数据网。 , , 远程工作站的PPP接入。 , , 少量的ISP接入。 我们认为以上的工作内容的实质是: , , 分析广域网应用的模式和流量。 , , 选择合理的连网方法和线路。 , , 选择合理的网络设备进行连网。 目前我国公共数据通讯服务主要由邮电部垄断,目前的公用数据通信网络以中低速网络为主,主要包括公用数字数 据网(CHINADDN)、公用分组交换数据网(CHINAPAC)、公用计算机互联网(CHINANET),在建的有中国公用帧中继网(CHINAFRN)。 下面我们分述一下各种连网方式的特点。 , , (CHINAPAC) 分组交换网是为计算机通讯发展起来的通讯手段,它以CCITT X.25建议为基础,可以满足不同速率、不同型号,终 端与终端、终端与计算机、计算机与计算机间以及以及局域网间的通讯。 分组交换综合了报文交换和电路交换的优点,是适合数据通讯的新型交换方式。分组交换充分利用统计时分复用的 原理,将一条数据链路复用成多个逻辑信道,在建立呼叫时,通过逐段选择逻辑信道,最终构成一条主叫、被叫用户之间 的信息传送通路,即虚电路,从而实现数据分组的传送。分组交换网络具有动态路由功能和先进的误码纠错功能。。 分组交换网是我国建立最早、敷设范围最广的公共通讯网络。从70年代开始,分组交换技术成为数据通讯网的唯一 交换方式。1988年邮电部由法国SESA公司引进分组交换设备,组建了我国第一个分组交换公用数据网(CHINAPAC),并于1989年11月投入使用;1993年又从加拿大北方电讯公司(NT)引进更大规模和容量的DPN100设备,组成我国第二个分组交换网的骨干网,并于1994年1月1日投入运营。 邮电部于1993年新建的骨干网,由32个交换中心组成,其中北京有两个。建网初期采用不完全网状结构,网中北 京、上海、沈阳、武汉、成都、西安、广州、南京等8个城市为汇接中心,北京为国际出入口局,上海为辅助出入口局, 广州为港澳地区出入口局。汇接中心之间采用完全网状结构,网内每个交换中心都有两个或两个以上不同汇接方向的中继 电路,以确保网路安全。各交换中心之间根据业务量和网路可靠性要求可设置直达高效路由。骨干网32个主节点机共有5800个端口,同步与异步端口之比约为2:1。每个节点的处理能力为3000~6000分组/s(每个分组为128字节),呼叫处理能力为250次/s。用户速率为1200bps~64kbps; 中继线速率为64kbps~2.048Mbps。北京国际出入口局以X.75规程与20多个国家和地区的41个公用分组交换网互连,国际间的中继线速率为9600bps~64kbps。网路提供交换型虚电路(SVC)和永久型虚电路(PVC),并按照CCITT X.21建议,用户任选业务常用的有速率、分组长度、流量控制等参数的协商和选用、 各种闭合用户群、呼叫封阻、被叫付费等等。新业务有虚拟专用网、广播业务、SNA(IBM主机)环境、令牌环局域网、异-16步轮询接口、中继线带宽动态分配等。骨干网路不可检误码率小于4x10,网路时延,国内通讯约为500ms ,国际的约为270ms。 随着 CHINAPAC 的建成,我国各地区纷纷建立本地的分组交换数据网。地区分组网是由省、市、自治区交换中心组 成,骨干网与地区网各交换中心之间采用辐射连接,但地区内的每个交换机应具有两个或两个以上不同方向的中继电路。 10 全网已有3万个端口,覆盖500多个城市。 CHINAPAC提供两种基本业务类型: 交换虚电路(SVC) , , 用户通讯时通过呼叫建立虚电路,通讯结束后释放虚电路。交换型虚电路使用灵活,每次可以与不同的用户进行通讯。 通讯费与通讯量有关。 , , 永久型虚电路 类似固定专线,用户申请时提出,电信部门固定作好,用户一开机即建立起电路,不需要每次通讯时临时建立和释放, 适用与点对点固定连接的用户使用。 CCITT X.25、C.28、X.29、X.32、X.75、帧中继、TCP/IP , , 电话拨号进网 可以分为X.28异步拨号入网或X.32同步拨号入网。 , , 专线进网 分为X.28异步专线入网或小X.25/SDLC同步专线进网,进网专线分为模拟专线和DDN数据专线。 , , (CHINADDN) 数字数据网(DDN)是利用数字信道来传输数据信号的数据传输网。它为用户提供话音、数据、图象信号的半永久性 连接电路的传输网,它必须建立在光缆、数字微波和数字卫星通道的基础上,以数字交叉连接技术为核心,为用户提供 1200bps直到N×64kbps甚至2Mbps, N×2Mbps的电路。DDN为专用数据网和分组交换数据网提供高速、高质量的通讯环境, 并逐步拓展到支持多种业务和增值业务的公用网路。 DDN区别于传统模拟电话专线的显著特点是数字电路,传输质量高,时延小,通讯速率可根据需要选择;电路可以 自动迂回,可靠性高;一线可以多用,既可以通话、传真、传输数据,还可以组建会议电视会议系统,开放帧中继业务, 做多媒体服务,或组建自己的虚拟专网,建立网管中心,自己管理自己的网络。 目前DDN专线已经覆盖到全国所有的省会城市和部分县城,DDN是我国的中高速信息国道。 我国数字数据网(CHINADDN)也是由国家骨干网和各省、市、自治区的地区网组成。我国DDN骨干网一期工程由全国21个省、市、自治区的节点机和连接它们的数字电路组成。全网设3个国际出入口局,北京、上海和广州,负责与国际 数据网的连接。全国设8个枢纽局,即北京、上海、沈阳、广州、武汉、成都、南京和西安。 CHINADDN骨干网主要由干线传输层,用户接入层以及用户层组成。干线传输层采用美国数字交叉连接设备DACSI, 用户接入层采用加拿大新桥公司的3600 Mainstreet机,其速率为64kbps和nx64kbps (n=1~31) 的数字交叉能力,对子速率也具有交叉连接和复用功能,包括X.50复用,即1200bps~64kbps均可。 我国DDN公用骨干网,除提供点对点、点对多点的数据、图象和话音电路,还提供帧中继业务传输,虚拟专用网(VPN) 业务和半固定交叉连接电路。 全国各地的DDN网几年来也发展迅速,已有几十个城市建设本省、市、自治区的骨干DDN网为金融、证券交易、机关、企事业单位提供高质量、高速率的数字数据专用电路。 , , 租用专线业务 点对点专线,一点对多点轮询、广播、多点会议。DDN的多点业务使用于金融证券等用户组建总部于分支机构的业 务网。利用多点会议功能还可以组建会议电视系统。 , , 帧中继业务 用户以一条专线接入DDN,可以同时与多点建立帧中继电路(PVC)。帧中继业务特别适合局域网(LAN)间的互联。 , , 虚拟专网功能 , , 通过模拟专线(用户环路)和调制解调器入网使用于大部分用户(光纤未到户的用户),通讯速率最高可到 E1(2.048M)。 , , 通过光纤电路入网,适用于光纤到户的用户,通讯速率可灵活选择。具体的连网方式选择,取决于业务类型和 业务量,以及当地的线路条件等。 11 , , 帧中继技术是在光纤数字线路逐步替代模拟线路、线路质量有了很大提高,局域网、广域网互联和其它大容量的突 发性通信需求猛增,用户终端进一步智能化等条件下发展起来的。帧中继带宽的可调性来自于承载信息速率(CIR: Committed Information rate)和接入线路速率的综合利用。承载信息速率体现了平均业务量,而接入速率实质上包含了最 大突发速率。这意味着一个运行于T1(1.544Mbps)接入速率,承载信息速率为256Kbps的帧中继连接,可容纳的峰值速率为T1,而用户支付的是256Kbps服务费用。与传统的租用专线相比,帧中继灵活方便且价格便宜,相当于租用专线价格的 40%-50%。 公用帧中继宽带多业务网将提供帧中继永久虚电路(PVC)业务和帧中继交换虚电路(SVC)业务,具备标准的用户-网络接口(UNI)和网络-网络接口(NNI)功能,同时具备ATM业务功能,用户入网的速率在64Kbps~34Mbps之间,以后还可以提供更高的速率。目前,帧中继多以永久虚电路(PVC)方式提供服务,非常类似于租用专线,不能随时建立或释放电路。有了 SVC,就可根据需要建立或释放电路,必然产生很大的灵活性。 国内公用帧中继业务最初主要是在公用数字数据网(CHINADDN)上配备帧中继模块来实现的。1996年底中国电信开始进行公用帧中继宽带多业务网(CHINAFRN)的工程建设,该网的建设运营标志着我国公用数据通信已由中低速网络向高速网 络迈进,整体水平将达到一个新的高度。公用帧中继宽带多业务网骨干网一期工程定于1997年6月建设完成,覆盖21个省会城市,即北京、上海、广州、沈阳、西安、成都、武汉、南京、哈尔滨、长春、天津、石家庄、济南、郑州、合肥、 杭州、长沙、南昌、福州、南宁和海口。在北京设立全国网络管理中心。北京、上海和广州为该网国际出入口局。其中北 京、上海、广州、沈阳、武汉、南京、成都和西安八个节点为骨干枢纽节点,采用全网状连接。所有节点均配备了ATM和帧中继模块,可以同时提供ATM信元方式的业务和帧中继业务。 1997年将进行公用帧中继宽带多业务网的二期工程建设,预计到1997年底公用帧中继网将覆盖到全国所有的省会 城市,实现帧中继网与分组网、ISDN和数字数据网的互通,在经济发达、有业务需求的地区建设帧中继本地网。 CHINAFRN提供两种基本业务类型: , , 交换虚电路(SVC) 用户通讯时通过呼叫建立虚电路,通讯结束后释放虚电路。交换型虚电路使用灵活,每次可以与不同的用户进行通讯。 通讯费与通讯量有关。 , , 永久型虚电路 类似固定专线,用户申请时提出,电信部门固定作好,用户一开机即建立起电路,不需要每次通讯时临时建立和释放, 适用与点对点固定连接的用户使用。 , , 通过模拟专线(用户环路)和调制解调器入网使用于大部分用户(光纤未到户的用户),通讯速率最高可到 E1(2.048M)。 , , 通过光纤电路入网,适用于光纤到户的用户,通讯速率可灵活选择。具体的连网方式选择,取决于业务类型和 业务量,以及当地的线路条件等。 虽然目前市场上出现了多种WAN互联的技术,不同的通信需求广域网互连方式也不同。在通信量较大或者要求瞬时 通信速率较高时,一般采用直接铺设专线或者租用公用数据网;在通信量较小并且不要求有很高的瞬时通信速率时,可以 采用电话网拨号方式或者通过Chinanet/Internet(Chinanet是中国境内的Internet主干网)互连的方式。 中国港湾建设总公司的WAN连接目标是和分公司、国内办事处、海外办事处互连,以及移动用户的访问。在一期工 程经费有限,而且网络的实时性要求不高、要求的通信量不大的情况下,可以通过电话拨号或者Internet方式互连。考虑安全因素,可以在总部与分公司各安装一套防火墙,通过Internet建立虚拟专用网(VPN)。在以后具有远程电视会议系统等对网络的实时性、瞬时通信速率要求很高的应用需求时,必需通过中高速数据网络进行(除非ISDN已建立),并且最好选用帧中继网络(在突发信息量频繁的情况下,选用帧中继网络性能/价格比最高)。 我们把中国港湾建设总公司的总部WAN设计为一方面通过专线连入Chinanet,另一方面提供拨号访问设备。各分公 司、办事处可以通过拨号或者专线连入Chinanet,通过Chinanet与总部及各兄弟单位进行通信,也可以通过电话线直接 拨号进入总部网络。 Internet 是一个巨大的信息海洋,也是不同地区的人们相互之间沟通的重要手段,所以本系统需要具有Internet的接入功能,使得中国港湾建设总公司的每一个管理人员都能够访问Internet的信息、都有自己的电子邮箱,并能实现电 子邮件组的功能。 Internet的接入一是可以通过Cisco2511路由器,用64KDDN专线与CHINA NET相连来实现Internet漫游,DDN专 12 线需向邮电局申请。二是通过微波发射与CERNET无线对接的方式来实现与Internet的连接。这两种解决方案都可以通过建立自己的WEB站向外界以Homepage的形式发布信息或者实现跨地区的局域网之间的互连。这种方案的特点是可以实 现与Internet的不间断连接,费用较高。 INTERNET接入收费标准如下:(该费用由北京电信及CERNET中心收取) DDN专线费:MODEM费用为7800元,初装费合计10,000元,月租费1270元。(北京电信收费标准) 微波接入费:一次性投资费用为10万元。 CERNET接入费:一次性接入费2万元。如果用64K DDN,月收费4800元+7元/M(超过100M的国际流量部分,单向收费,国内流量不限);如果用128K DDN,月收费7200元+7元/M(超过200M的国际流量部分,单向收费,国内流量不限);如果用微波,月收费4800元+7元/M(超过100M的国际流量部分,单向收费,国内流量不限)。(CERNET中心收费标准) ChinaNet接入费用(不分国内、国际流量,统一双向收费) 包月制:64K DDN 4万元/月;128K DDN 7万元/月。 限流量:限400M/月,费用7680元/月,超过部分按 10元/M计算。 铺设专线周期:3个月(目前线路紧张,周期可能更长); 微波建设周期:大约一星期。 根据中国港湾建设总公司目前的实际情况,我们建议选用DDN接入Chiannet。 2.5 以太网的VLAN工业标准比较模糊,各厂商的VLAN解决方案差别很大,不同厂商的VLAN兼容性比较差,在同一网络系统中只能采用一个厂商的VLAN方案。 中国港湾建设总公司的局域网络系统,将运行大量的业务及办公应用,要求: , , 灵活的VLAN划分能力; , , 支持多种协议的网络层交换能力; , , 高可靠性及快速的故障恢复和定位能力; , , 完善的网络管理和监控。 VLAN 由于中国港湾建设总公司业务的复杂性,需要灵活而快速的VLAN划分能力。 , , 支持基于端口(分布在不同的Switch上)、MAC地址、网络层协议的VLAN划分。 , , 网络节点可同时位于多个VLAN广播域。将主服务器置于多个VLAN中,可降低路由负荷并提高响应时间。特别 对不支持路由的网络协议和应用(如NT服务器),可充分利用NT的Computer Browse及安全特性。 , , 支持多种网络协议,如IP, IPX, DECNET, APPLETALK等,便于与异种网络互连。 , , 可通过GUI快速改变VLAN设置。 划分VLAN的主要目标是限制广播域及提高网络系统的安全性,但要求在VLAN之间实现高效及可控制的交换。 在中国港湾建设总公司的LAN设计中,放弃了传统的中心路由器,使用网络层交换技术实现VLAN间的互联。 , , 端口设置广播阀门,隔离广播风暴; , , 支持多种网络协议,如IP, IPX, DECNET, APPLETALK; , , 可通过网管系统实现基于策略的VLAN互连。 由于中国港湾建设总公司局域网络运行了大量关键应用,因此,最大程度地降低网络停顿时间及故障次数,是整个网 络系统可行的重要因素。 , , 网络骨干无阻塞设计。 , , 交换端口可进行优先级设置。 13 骨干交换机(完成交换及VLAN虚拟路由)不存在故障瓶颈。如冗余电源,无源底板及独立路由设计。 , , , , 网络骨干故障冗余设计。 , , 网管系统能快速定位故障,并支持一定程度的自动恢复。 , , 网络设备自动隔离故障点。 VLAN VLAN的监控及管理为网络管理人员收集和分析网络运行数据,以调整VLAN结构,修改 VLAN策略及快速定位故障提 供有力工具。 , , 支持到端口的RMON。(嵌入式RMON) , , 完善的运行日志。 , , 统计报表和分析。 , , 报警处理。 , , 实时网络状态显示。 设计LAN通常由三个层次的网络设备组成,为了便于选择产品,我们看一下各个层次的网络设备应该具备的主要功 能。 1.中心网络设备 中心网络设备应该具备的特点为: , , 模块化机箱结构,支持模块热插拔。 , , 背板高速交换总线,带宽可升级;具有较强的数据吞吐能力和数据缓存。 , , 较大的端口扩展能力,确保今后对网络扩充的需要。 , , 支持多速率、多介质,至少提供光纤、双绞线的10M、100M以太网接口。 , , 高容错能力,具有电源冗余、线路冗余、关键模块冗余等功能,主干网络设备应该具有很少的停机时间。 , , 支持多种协议,尤其是以太、快速以太和ATM交换。 , , 较好的数据包的丢失和断帧控制能力。交换以太缺乏流量控制机制,同时受到数据缓冲能力的限制,在通讯量 大时会产生丢包和重传等现象。 , , 划分网段和虚拟网的能力,具有第三层IP/IPX交换的能力。 , , 支持SNMP和RMON,通过网管工作站可集中地图形化管理交换机各模块、端口。 2. 2. 二级接入设备 , , 能够以100M连接中心网络设备。 , , 最好采用100M-10M的交换设备,以利于网络总体性能的提高和网络的划分管理等。 , , 具有优越的性能价格比,每个端口应该具有最优的性能价格比。 3. 3. 三级共享设备 , , 端口价格; , , 是否为可进行网管和远程监控的智能设备; , , 是否可以进行多网段的划分; 1. Modem 调制或解调用于远程通讯的数字信号。具体通讯速率与调制方式、通讯方式、线路质量、通讯距离有关,可以从 9600-2M不等。通常为获取较好的性能,Modem均配对使用。 2. Router 完成协议转换、网络路由、封包过滤、通讯流量控制、数据解压缩等功能。 14 另外对以上的设备最好提供统一的网管平台进行网络管理,以发挥网络的最大效能。 2.6 Catalyst5500 CiscoCatalyst5500不但建立在屡获大奖的Catalyst5000和LightStream*1010交换机体系结构的基础上,还在同一个平 台上集成了基于Cisco网间网操作系统(CiscoIOSTM)的路由技术。 这两种最佳技术的完美结合不但建立了强有力的平台,而且还进一步完善了Catalyst交换机系列。Catalyst5500采用千兆级以太网体系结构,这种体系结构可扩充到50Gbps,吞吐量高达数千万PPS,因而可提供建立大型交换式内部网所需的扩展 性、灵活性和冗余性,并可用于布线室和骨干网应用。 ? , Catalyst5500是Cisco的新型高档模块化交换平台,它能够满足今天就需要且发展很快的企业内部网的需求。同时新的 Catalyst5500还能将现有的Catalyst5000和LightStream1010接口模块顺滑地集成到新的Catalyst5500机柜中,从而保护客户在当前Cisco产品上的投资。 不依赖于介质的体系结构通过各种以太网、快速以太网、光纤分布式数据接口(FDDI)、令牌环网和ATM交换机模块支持所有遗留的LAN和异步传输模块(ATM)交换技术。根据所配备模块的不同,Catalyst5500可作为功能丰富的可伸缩快速以太网或ATM交换机用于骨干网应用中,也可以在布线室应用中支持各种交换式以太网或令牌环网模块,在同一平台上提 供500个以上的端口密度。 Gb级体系结构支持当今的FastEtherChannelTM,可在Catalyst5002/5000和5500交换机之间提供高达800Mbps(全双工)的负载共享的冗余的点到点连接、交换机到路由器的连接以及交换机到服务器的连接。借助为支持Gb级以太网上行链路Gb级以太网交换机模块和Gb级EtherChannel而提供的明确移植路径,Catalyst5500能够提供大型园区网所需的带宽和扩展性。 Route/Switch模块上提供对Cisco的IOS多协议路由选择的完全集成支持。此模块在Catalyst5000系列中提供企业网IOS路由选择性能。 Catalyst5500的监测工具上设有一块模块化性能卡,它的用途是支持Cisco的分布式网络流交换(NetflowSwitching),从而在监测工具上提供高速多层交换。Route/Switch模块和网络流交换(NetflowSwitching)性能卡的结合能够提供CiscoFusion的承诺,即将交换的速度和便捷与路由选择的智能和扩展性结合到同一个平台上。 借助其对可热插拔模块、电源供应和风扇的支持,Catalyst5500机柜可为生产网络提供高可用性。双冗余交换工具、电源 供应和被动背板设计可为关键任务环境保证全面系统冗余。 Catalyst5500机柜采用标准的19英寸背板,所有系统部件都可以从机柜的同一侧看到。只需一套电源就可以运行完全配置 的系统。 Catalyst5000,5500 48 528 工作组交换10BaseT以太网 48 528 交换式10BaseT以太网 12 132 交换式10BaseFL以太网 24 264 交换式10/100BaseTX快速以太网 12 134 交换式10/100BaseTX快速以太网通道 12 134 交换式100BaseFX快速以太网 2 ATMLAN仿真 22(双物理接口) CDDI/FDDI 1 11 4 32 ATMOC-3,155Mbps多模光纤 4 32 ATMOC-3,155Mbps单模光纤 4 32 ATMOC-3,155Mbps5类非屏蔽双绞线(UTP) 1 8 ATMOC-12622Mbps单模光纤 15 DS3 2 16 E-3 2 16 4 32 T1/E1ATM中继 4 32 T1/E1电路仿真 25MbpsATM 12 96 ? , 作为解决方案的一部分,Catalyst5500能够提供全套内部网服务,以便提供大型内部网所需的应用程序完整性,因而很适 用于建立大型园区内部网。这些服务有助于及时、优质地为企业内部网中的台式机提供应用软件。 , , 通过PIM、IGMP和Cisco工作组管理协议(CGMP)实现的有效的内部网多媒体和多点广播支持可为多媒体和多 点广播应用提供可扩展的端到端带宽。 , , 未来将通过将资源保留协议(RSVP)映射到Catalyst5500优先级序列的方法支持为每台台式机设定的服务级别, 以保证及时提供时间敏感型内部网应用软件。 , , 网络冗余通过Catalyst5500系列支持的设备、链路和网络服务冗余的结合实现。 , , 设备冗余借助对交换工具、电源供应和Route/Switch模块的支持提供。链路冗余在Cisco的双物理ATM模块 上实施、在FastEtherChannel中集成并在所有VLAN中继链路上支持。网络服务冗余则通过以每个VLAN为基础的 ATM简单服务器冗余协议(SSRP)、HSRP和对生成树协议的支持实现。 , , 内部网中的安全性借助安全端口筛选支持,以便只允许单个端口访问某些工作站。终端访问控制器访问控制系 统(TACACS)+可防止对安全环境中的交换机进行非授权访问。 , , 内部网中的移动性或“移动—添加—更改”借助DHCP、DNS以及为实现可伸缩优化性能而提供的动态VLAN 服务和分布式网络流交换支持。 ? , Catalyst5500提供一整套管理工具以提供网络中所需的可视性和控制。可借助CiscoWorksTMforSwitchedInternetworks(CWSI) 对Catalyst5500交换机进行配置和管理。以提供端到端设备、VLAN、流量、ATM和策略管理。 策略管理通过交换机上智能嵌入代理和强有力的网络管理应用软件CiscoWorksTMforSwitchedInternetworks的结合实现。CWSI将为服务等级、多点广播、安全性、网络冗余和用户移动性等所有Cisco网络服务提供策略管理。策略管理通过Cisco的虚拟管理策略服务器(VMPS)实现。所有Catalyst5000系列交换机上都配有VMPS,VMPS能够为所有Cisco网络服务提供实施策略所需的数据库信息。 所有Catalyst5000系列交换机上的智能嵌入代理包括对Cisco识别协议(CDP)(用于提供网络拓朴结构识别和地图绘制)和Cisco的虚拟中继协议(VTP)(用于在所有交换机上支持动态VLAN和动态中继配置)的支持。每个端口上的嵌入式智能远程 监视(RMON)代理用于提供强有力的流量监视和控制,所支持的RMON组包括统计数字、历史、事件、主机和警报组。 增强的交换端口分析器(SPAN)功能使用户能够将任何端口或VLAN上的流量映射到另一个以太网或快速以太网端口以便 通过探测器或RMONSwitchProbeTM产品进行分析。对当地带外管理的支持通过与EIA/TIA-232接口相连的终端或调制/解调器实现,对远程带内管理的支持则通过简单网络管理协议(SNMP)、Telnet客户机软件、BOOTP和普通文件传输协议(TFTP)实现。 ? , Catalyst5500将Catalyst5000系列的扩展性、灵活性和功能性提高到了一个新水平。借助各种功能模块,Catalyst系列现在能有效地满足新企业内部网的所有需求。 Catalyst5500支持的标准网络协议 , , 以太网:IEE802.3.10BaseT和10BaseFL , , 快速以太网:IEEE802.3u.100BaseTX和100BaseFX , , FDDI:ISO9314-1FDDPHY标准、ISO9314-3元纤分布式数据接口(FDDI)依赖于物理介质(PMD)的标准、铜线 分布式数据接口(CDDI)TP-PMD标准以及美国国家标准局(ANSI)FDDIx3T9.5站点管理(SMT)7.3。 , , ATM:ATM论坛3.0,3.1,4.0UNI规范、Q.2931信令协议和LAN仿真。 16 ? , , , UNI3.0,UNI3.1,UNI4.0 , , 本地管理接口(ILMI) , , 专用网—网络接口(PNNIPhase-I),交换机互交换信令协议(IISP) , , 软永久虚拟电路(PVC)/永久虚拟电路(PVP)支持 , , ATM访问控制表和防火墙 , , 折回SVC路由控制 , , 即插即用模式的PNNI内核 , , 具有负载平衡或最佳选择的冗余链路支持 ? , , , CWSI图形用户接口(GUI)管理,包括: , , CiscoViewTM , , VlanDirectorTM , , TrafficDirectorTM , , AtmDirectorTM , , NETSYS工具 , , Cisco识别协议 , , 虚拟网(VLAN)中继协议 , , SNMPagentV.1(RFC1155-1157) , , Cisco工作组MIB , , 以太网MIB(RFC1643) , , SNMPMIBII(RFC1213) , , RMON(RFC1757) , , 接口表(RFC1573) , , 桥接MIB(RFC1493) , , ILMIMIB , , FDDIMIB(RFC1512) , , ATOMMIB , , ATMRMON , , PNNIMIB , , LAN仿真配置服务器(LECS)、LAN仿真服务器(LES)以及广播和未知服务器(BUS)MIB , , SMT7.3(RFC1285) , , 增强的SPAN , , 端口监视和连接筹划 , , 以熟悉的路由器命令行接口为基础的基于文本的命令行接口 , , 标准的CiscoIOS安全性能:口令和终端访问控制器访问控制系统(TACACS) , , 为管理访问提供的Telnet、TFTP、BOOTP、LAN仿真客户机软件以及通过ATM客户机软件实现的RFC1577 分级IP ? , 17 每端口流量跟踪 , , , , 每个连接、端口和交换机阈值的多种配置 , , 多个优先级 , , 所有ATM连接类型和ATM匹配层(AAL) , , 连接允许控制 , , 信元丢弃优先级(CLP)标记和丢弃 , , 智能信息包丢弃 , , 可用位率支持:明确向前拥塞指示(EFCI)标记模式和相对速率标记模式 2.7 根据中国港湾建设总公司网络的实际需要以及现有的布线情况,我们设计的中国港湾建设总公司的网络结构如下: 一台Catalyst5500作为中心交换机,以太网连接到各个点。 一台Cisco2511作为Internet 接入路由器。 在Catalyst5500上的各个模块之间以及模块上的各个端口之间都可以通过划分VLAN的方式实现广播风暴的控制以及网络安全的实现,当然Catalyst5500可以支持基于MAC地址、基于端口、以及基于政策的VLAN。各个VLAN之间的 通信通过路由交换模块实现线速路由。 网络设备的连接如下: , , 整座楼的各个点直接与Catalyst的工作组交换10BaseT以太网模块相连 , , 主干服务器以100BASE-TX的方式接在Catalyst的交换式10/100BaseTX快速以太网模块上 , , Internet接入通过Cisco2511接到Internet(Chinanet) , , Cisco2511与接入Modem以及Catalyst5500的路由交换模块上 , , 办事处、分公司可以通过Internet或者通过拨号的方式与总公司相连; 图2-6是采用本方案的企业内部网络系统示意图 3.1 当互连网络设备供电中断时,所有数据通信都将中止。即使电力恢复,其连接也要在一段时间后才能恢复。因此, 在网络环境下,躲避电力故障,保证系统连续运行是至关重要的。不间断电源可用来保证关键网络设备的安装、运行及有 效性。 针对中国港湾建设总公司网络中心配备的集中式UPS,应该具有以下功能: * ,浪涌及雷击保护 * ,通过网管界面实现网络程序化关机 * ,模块化设计,支持运行状态下的热插拔,保证运行时间 * ,自动稳压功能,完全的正弦波输出 * ,具有智能电池管理功能,延长电池寿命,增加工作时间 * ,提供电力质量登录,定时开关机及UPS自检 * ,图形化软件特性,支持广域的SNMP管理 * ,具有扩展性,能够快速方便地增加运行时间的电池模块 3.2 我们选择美国APC公司的UPS产品。这是因为: , , 浪涌及雷击保护 18 APC是全球最大的UPS厂商 , , , , APC所获美国权威中介机构的各种奖励超过所有其他UPS厂商之和 , , APC是唯一有能力提供完整的容错系统的UPS公司 , , APC的产品还得到大多数世界著名的计算机软硬件厂商的认证,如Novell、Microsoft、IBM、SCO、SUN等 等 , , 国内大中型计算机系统大多数选用APC的UPS电源保护,普遍反应良好。 3.3 我们选择APC公司的Matrix-UPS作为中国港湾建设总公司网络中心的UPS。Matrix-UPS是APC公司最高档系列的UPS,是适用于数据中心及重要部门服务器的先进的模块化的电源管理系统。Matrix-UPS功能强大且具有一些独特的设计特点: * ,“100%工作时间” * ,易于扩充 * ,灵活性强 * ,得到象《PC杂志》、《网络周刊》等权威机构的公认 * ,易于管理 * ,模块化的组合结构 4.1 Intranet Intranet是以Web服务器、Intranet应用服务器、应用服务器(如数据库服务器)作为企业内部网的服务平台,使用 统一的用户界面(如Netscape Navigator和 IE)作为客户工具,通讯基于工业标准的网络和应用协议的企业内部网平台。 Intranet与传统的C/S结构比较,有以下几个特点: , , 在传统的C/S模式下,客户机与服务器采用固定的连接方式,每个应用需要不同的客户界面,当应用升 级或修改时,需要在每台客户机上重新配置客户软件。在Intranet模式下,由于在客户机与应用服务器之间增加了Web服务器作为代理,客户机和服务器的连接可以是动态的。由于客户机采用统一的Web界面,而应用直接从Web下载,客户机对不同的应用可以维持相同的界面,并且当应用改变时,客户机无需作任何变动。 , , 同样由于在传统C/S模式下,客户机与服务器采用固定的连接方式,整个应用系统需要缺乏操作系统、 硬件和网络平台的灵活性。在Intranet模式下,所有的通讯基于TCP/IP和其它工业标准协议,应用系统可以跨越操作系统、 硬件平台和网络平台,所以Intranet系统非常容易扩展和升级。 , , 在传统C/S模式下,客户机需要执行大量的计算和处理,而在Intranet模式下,客户机可以简单地发出请求,由Web服务器和应用服务器进行处理并返回结果。 , , 由于传统的C/S模式的固有特征,应用系统基本是一封闭系统。由于Internet已经扩展到全球,基于Intranet模式的应用系统可以自然地透过Internet,从而便捷、廉价地建立企业的虚拟专用网(VPN)。 , , 采用Intranet模式建立企业应用,还可以获得传统C/S模式以外的许多特征。由于Internet的日益发展,通过Internet进行商业活动日益普及,特别对经营跨地区、跨国业务的企业,通过Internet/Intranet提供的服务,可以直接同遍布全球的分支机构、合作伙伴、用户进行协同工作、业务往来、信息发布和用户服务。 , , 采用Intranet模式建设企业应用系统,还具有投资省,开发周期短,见效快等特点。 19 4.2 中国港湾建设总公司信息系统服务平台根据下列原则来建立: , 1) 本方案中所用的产品以及所构建的应用系统都是基于国际标准,所以可以吸收各厂家的优点,同时随着技术的进步和标准 的延伸,不断吸收新的技术和新的标准。 , 2) 本方案采用的设计和产品均基于模块化设计,可根据不同需求灵活配置,并且在平台上的修改和扩充不用手工修改 客户端设置。 所选的Internet/Intranet服务器产品提供了很好的服务性能。 本方案支持集中和分布计算的灵活分配。 , 3) 本服务平台所选产品可以和其他厂家的产品通过开放标准实现互连。 , 4) 数据库连接支持INFORMIX,ORACLE,SYBASE,SQLServer,DB2,以及通过ODBC支持十多种其他厂商的数据库。 , 5) 由于基于标准和模块化设计,服务平台从功能、性能和服务内容上都具有扩展性。 , 6) 方案中所采用的产品都是业界成熟和先进的产品,同时具有很高的性价比;各种平台服务器支持大容量用户访问,灵活的 模块化设计,因而显著地提高其性能价格比。 , 7) 20 本方案在很多方面体现出统一性,包括平台管理的统一性、用户管理的统一性、资源管理的统一性。产品选择时,考虑到 各种产品有机集成; , 8) 服务平台具有很高的可靠性。在方案设计时,考虑到每层的可靠性以及系统的可靠性。包括网络层的可靠性、服务平台的 可靠性、主机的可靠性;采用了HA技术、负载平衡和冗余技术、分布技术等来实现高的可靠性; , 9) 本方案采用多种标准技术来完成中国港湾建设总公司信息系统的管理。如关系数据库技术、Java、SNMP、http、LDAP等。支持中国港湾建设总公司信息系统主机管理、IP和域名管理、网络服务管理、应用服务管理、应用系统管理及客户端管理。 , 10) 服务平台提供了系统维护工具,供系统维护人员来维护和保证系统的正常运行。 4.3 Netscape是目前唯一一家真正专注于Internet/Intranet并且推出完善解决方案的软件公司,由于它没有任何传统应用 的包袱,所以能够集中力量,充分发挥其技术上的优势,不断推出开放的、跨平台和数据库的Internet/Intranet产品,并得到了许多Unix厂商的支持。我们建议选用Netscape的产品来建设中国港湾建设总公司的Internet和Intranet骨干系统。 以下,我们就选用的Netscape产品作详细的功能说明。以下资料引自Netscape的技术白皮书和产品 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 。 Netscape将其Intranet体系结构称为Full service Intranet。Intranet服务被分为两种基本类型:用户服务和网络服务。 用户服务指为最终用户提供资源和应用的服务,而网络服务则是为保证网络系统安全、高效、正确运行的服务。 主要的用户服务集中在信息共享和管理、导航、通讯和协作以及应用存取。 * ,信息共享和管理 Intranet上的信息共享使网络上的每个用户能够透明而方便地发布和获得需要的各种信息。利用HTML提供的跨网络的超文本链接,用户可以方便地组织多种媒体的信息内容,并且享受交互式的信息发布和获取方式。信息共享服务也提供将使 用传统的系统生成的各种信息内容(如microsoft offfice)无缝地集成进Intranet系统中。同时,用户可以对放置在中心服 务器或桌面的发布信息内容进行配置和修改。 * ,导航 导航服务提供给网络上用户方便、快速检索所需内容的能力。利用导航服务,用户只需要关心信息的内容,而无须知道信 息具体存放在网络上的节点。对信息发布方来讲,导航服务可以使仅被授权的用户快速地定位信息,而无须单独通知每个 用户。 * ,通讯和协作 利用Internet开放标准建立的通讯和协作服务提供了通过Internet完成诸如邮件、群件和Video conference任务的能力。存取控制和安全服务保证用户完成加密的Email和讨论。通过MIME,可以在Email和讨论组中直接提供包括Audio和Video的多媒体功能。同时还提供了透明的日历和日程安排能力。用户通过目录服务查找email地址、密匙和Iphone号码。 * ,应用存取 用户通过统一的界面来存取已有的数据库和传统应用。利用Java可以开发跨平台的新型应用(如数据库检索,工作流等), 所有客户端应用通过Internet和Intranet从服务器端下载来升级。因为应用程序被集中管理,所以应用程序的配置和分发更 加容易。 主要的网络服务集中在目录、复制、安全以及管理服务。 * ,目录服务 目录服务跟踪和管理企业网内的人员、存取控制、服务器配置和应用资源。基于工业标准的LDAP打破了专有目录服务的瓶颈,能够无缝地跨越Internet/Intranet的所有操作环境。终端用户利用目录服务查找网络上目录资源;管理员利用目录服 务进行存取控制、服务器设置。应用程序利用目录服务来管理相关的信息。目录信息在整个企业网上高效地复制,以保持 企业网内目录数据的一致性。 * ,复制服务 复制服务提供分布在Intranet上数据的高效复制能力。数据如Web内容、讨论组、目录数据和数据库表透明地分布在Intranet上,以降低网络流量和提高存取效率。复制服务允许用户离线地改变和更新数据,当用户连到网上时,复制服务自动地更 新数据。Netscape目前支持讨论组、Web内容、目录和邮箱数据的复制。 21 * ,安全服务 安全服务保护数据不被未授权的用户存取、提供经过认证和加密的通讯,以及提供信息的完整性检验。对应用系统、Web 页、目录、讨论组和数据库的存取都必须通过存取控制,可以利用分布在企业Intranet上的目录服务存储的网络资源及相 关的用户特权信息来进行集中管理。Email和实时通讯可以通过双向认证和报文加密来实现安全传输。企业可以发布和管 理用户的密匙,以帮助用户安全地在Intranet上处理业务。 * ,管理服务 管理服务使管理员可以通过Intranet使用Web浏览器安全地对Intranet服务器和其它资源进行管理。Intranet server 支持SNMP协议,以使基于SNMP的网管系统能对其进行监视和管理。目录服务允许用户安全地管理服务器配置、存取权 限参数等信息。 4.4 我们设计中国港湾建设总公司目前的INTERENT/INTRANET系统主要完成以下几个比较典型的、切合目前应用需要的服务。 WWW服务:通过该服务在中国港湾建设总公司内部网上的应用系统可以实现三层结构,便于应用系统的开发和使 用、方便员工使用网络资源,在INTERNET部分通过WWW服务,可以提供全国建筑工程系统对中国中国港湾建设总公司信息资源的充分利用(这种信息服务当然也可以采取有偿方式),同时也提高了中国港湾建设总公司在国际、国内的知名度。同时可以通过虚拟主机服务,为公司不同的部门提供信息发布的条件。 E-MAIL服务:E-Mail服务是Internet上最重要的服务之一,它改变了人们的通信方式。通过该服务中国港湾建设总 公司的全体员工能够方便快捷地与国内、外的人员进行电子通信,方便信息的交流与共享。 PROXY代理服务:为公司内部没有真实IP的主机提供Internet访问功能,实现访问流量过滤,访问信息的缓存以及流量统计功能,从而提高系统的效率和安全性。 . 网络系统使计算机资源在广泛的地理区域内共享,具有分布广域性、体系结构开放性、资源共享性、通信信道的共 同性等特点。这些特点增强了系统的实用性,同时也带来了系统的脆弱性,网络上的许多敏感信息和保密数据难免受到各 种主动的或被动的人为攻击,如信息泄露、窃取、数据篡改及计算机病毒感染等。因此,在网络上构筑一系列完善的安全 策略是必不可少的。 安全,通常是指这样一种机制,即只有那些被授权的人才能使用其相应的资源。网络的安全性主要包括网络路由的 安全性和网络信息的安全性。对应的,网络系统安全保障的方法可以分为二大类:即以“防火墙”技术为代表的防卫型和 建立在数据加密、用户授权确认机制上的主动型网络安全保障系统。前者的特征是通过在网络路由上建立相应的网络通讯 监控系统(即“防火墙”)来达到安全控制的目的;而后者的特征是通过对网络数据(包括用户数据和保证网络正常运行所 需的数据)的可靠加密和用户确认,实现对网络的安全保护。 在网络上运行的应用,其数据安全性要求是必然的,特别是在网络联入Internet网的情况下。 对系统安全的考虑来源于以下方面: 外界闯入的恶意攻击; 非授权的资料存取; 假冒合法用户; 病毒; 我们可以利用现有的安全机制和系统设计,从以下几个方面来增强数据的安全性: 在内外网间设置访火墙; 对敏感数据的传输采用不对称加密; 利用客户端和服务器端的SSL协议; 服务器和客户端的双向认证; 数字签名; 操作系统的存取控制; 数据库的存取控制; 22 对应用程序的存取控制; 日常的病毒扫描。 由于普遍采用了以网络为中心的集中服务方式,在网络上传输病毒的机会大大减少。以下我们将集中讨论如何利用 防火墙、SSL、数字签名、VPN、LDAP等技术,来实现集成的企业级网络安全。 5.1 在设计网络安全策略时,需要考虑在初建费用、网络安全的扩展性、灵活性、维护费用等方面进行综合考虑,采取 适当的策略。 我们设计的安全策略包括: * ,网络系统的安全性,通过网络管理软件等实现网络安全控制; * ,通过设置防火墙实现网络网络安全; * ,在应用软件上通过用户认证数字签名等手段实现网络安全; 5.2 所谓防火墙,就是在内部网与外部网之间的界面上构造一个保护层,并强制所有的连接都必须经过此保护层,在此 进行检查和连接。只有被授权的通信才能通过此保护层,从而保护内部网络资源免遭非法入侵。 防火墙具有以下特点: * ,保护那些易受攻击的服务 防火墙能过滤那些不安全的服务(如Finger、NFS等),只有设定被允许的服务才能通过防火墙,这样就降低了受到 非法攻击的风险性。 * ,控制对特殊站点的访问 防火墙能控制对特殊站点的访问,如有些主机能被外部网络访问,而有些则要被保护起来。 * ,集中化的安全管理 防火墙实现安全保护的前提是内部与外部的信息交换都必须通过该控制点。换言之,内部网与外部具有唯一的通道, 这样所有的安全技术与措施都可以集中在该控制点。 * ,对网络存取访问进行记录和审计 防火墙能够记录所有访问的详细审计信息,以及网络使用情况的统计数据,当发生可疑动作时,防火墙能发出告警, 并提供网络是否受到探测和攻击的历史数据便于分析。 虚拟网技术为防火墙的应用提供了更广阔的领域。通过虚拟网的分割,将各工作组与“外界”隔离,各自形成独立 的“内部网”,从而与外部其它虚拟网之间可实现隔离,虚拟网之间的网络通讯通过某种策略管理设备来管理,如路由器。 这就使得网管人员可以设置防火墙进行过滤保护,在工作组间实施安全策略。 在一个给定的物理基础设施中可分割出多种不同的虚拟网组合。这种灵活性允许虚拟网的成员划分可根据需要决定, 而不是根据它们在网上的物理位置决定。五层楼的用户可方便地连入二层楼的工作组,工作组成员关系可随组织变化而动 态地变化。 虚拟网改善了网络安全性。由于具有了对移动、加入以及变更的控制能力,使得网络中的连接控制得到加强。网管 系统了解虚拟网中所有的终端用户,并可针对连接哪些用户、在何处需要存取何种服务等实行各种策略及控制。 实现“防火墙”所用的主要技术有数据包过滤,应用网关和代理服务器等,在此基础上合理的网络拓扑结构及有关 技术(在位置和配置上)的安排也是保证防火墙有效性的重要因素。 包过滤(packet filter)技术顾名思义即在网络中适当的位置对数据包实施有选择通过。通过检查数据流中的每个数 据包后根据数据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发至相应的目的的地出口端。其佘数据包则被从数据流中删除。 包过滤技术实现方式简洁,目前网络的路由设备通常均具有一定的数据包过滤能力,因而使路由设备在完成路由选 择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。此外在工作站上使用软件包过滤也不失为一种可行的 方案,但相对较为昂贵。若在适当的路由设备上启动包过滤功能(作此用途的路由器称Screening Router)则通常不需要 23 额外增加硬件/软件配置,也不需要对网络拓扑结构作改动。但是,包过滤技术本身对网络的保护功能是有局限的,这是因 为: , , 包过滤是在网络层和传输层上运作的技术,因而对位于网络更高协议层的信息无理解能力,使得它对通 过网络应用层协议实现的安全威胁无防范能力。 , , 由于数据包过滤逻辑是静态指定的,因而系统的操作、维护工作量相当可观。包过滤逻辑的静态设置也 使得它对需要动态指定TCP端口的应用协议(如FTP和X-Window)的应用受到限制。 , , 进行数据包的检查和过滤会对路由设备的工作性能产生可观的影响。并且由于路由器内部资源的限制, 通常路由器对所发现的非法数据包仅是删除而已,并不作报告,从而不具有保障系统所要求的可审计性。 应用网关是建立在网络应用层上的协议过滤、转发功能,它针对特别的网络应用服务协议指定数据过滤逻辑。并可 根据在按应用协议指定的数据过滤逻辑进行过滤的同时将对数据包的分析的结果及采取的措施作登录和统计,形成报告。 实际中应用网关通常由专用工作站系统实现。 数据包过滤技术与应用网关技术的一个共同特点是它们仅依特定的逻辑检查是否允许特定的数据包通过。一旦特定 的网络数据流满足逻辑,则防火墙内外的计算机系统建立直接联系,因而保留了防火墙外部网络系统直接了解防火墙内网 络结构和运行状态的可能,代理服务器技术则是针对这一问题引入的防火墙技术,其特点是将所有跨越防火墙的网络通信 链路分为二段,防火墙内外计算机系统间的应用层的“链接”由二个终止于代理服务器上的“链接”来实现。外部计算机 的网络链路只能到达代理服务器,由此实现了防火墙内外计算机系统的隔离,代理服务器在此等效于一个网络传输层上的数 据转发器的功能。 代理服务器是防火墙技术中颇受推崇的一种,它的优点在于可以将被保护网络内部结构屏蔽起来,显著增强了网络的安全性能。同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。使用代理服务器的缺点在于需 要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能,并且由于代理服务器具有相当的工作量,因此通 常需要专用的硬件(即工作站)来承担。 记录文件 应用软件ProxyProxy应用软件 ServerServerClientClient 数据受控互传 图5-1 代理服务技术原理示意图 在上述基本技术基础上,建设性能良好的防火墙的关键在于网络拓扑结构的合理选用及防火墙技术的合理配置。图 6-2给出了最简单的防火墙拓扑结构:即在每个内部网络与外界接壤点采用Screening Router进行数据包过滤。这里Screening Router也可换用应用网关或代理服务器。这一网络拓扑结构优点在于简单明了、易于实现、成本低。但是它把 整个网络的安全性能全部寄托于其中的单个安全单元。而单个网络安全单元在实际中往往是受攻击的首选目标。并且防火 墙技术本身并不使安全单元有自我防卫功能,因而这一拓扑结构仅在网络安全的早期实现中可见。 Intranet 安全控制单元 图5-2 包过滤防火墙 为了克服上述防火墙拓扑结构的限制。目前在实际中的防火墙结构通常含有1或2个停火区(DMZ即Demilitarized Zone)。图6-3给出了这类结构的一种典型拓扑形式,其中Screening Router和堡垒主机直接串连,保证了跨越防火墙的数据流必须先后经过这二个网络安全单元,在Screening Router和堡垒主机之间的子网上不放置任何其它网络,因而称之 为停火区(内停火区)。在这样的拓扑结构中,堡垒主机可以是应用网关,也可以是代理服务器。 24 通常被保护网络会有部分信息可以与外部网络在较大的程度上共享,允许外部用户直接读取(如WWW服务器,无记 名文件传输服务器等)。其中外停火区的子网上可以加上共公信息服务器,在这一配置中,外停火区上的路由应以静态设置。 并且所有外停火区内的网络系统均不应被内部网络认为是可靠系统。 Screen Router Intranet Screen RouterBastion Station PublicPublic ServerServer Outside DMZInside DMZ 图5-3 堡垒主机型防火墙 , , 分析安全和服务需求 以下问题有助于分析安全和服务需求: , , 计划使用哪些Internet服务(如http, ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。 , , 增加的需要,如加密或拨号接入支持。 , , 提供以上服务和访问的风险。 , , 提供网络安全控制的同时,对系统应用服务牺牲的代价。 , , 策略的灵活性 Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因: , , Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带 来新的安全问题,安全策略必须能反应和处理这些问题。 , , 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。 , , 远程用户认证策略 , , 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。 , , PPP/SLIP连接必须通过Firewall认证。 , , 对远程用户进行认证方法培训。 , , 拨入/拨出策略 , , 拨入/拨出能力必须在设计Firewall时进行考虑和集成。 , , 外部拨入用户必须通过Firewall的认证。 , , Information Server策略 , , 公共信息服务器的安全必须集成到Firewall中。 , , 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。 , , 为Information server定义折中的安全策略允许提供公共服务。 , , 对公共信息服务和商业信息(如email)进行安全策略区分。 Firewall系统的基本特征 , , Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。 25 Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。 , , , , Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。 , , Firewall必须支持增强的认证机制。 , , Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。 , , IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型, 源和目的TCP/UDP口, 以及到 达和离开界面。 , , firewall应该为FTP, TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如 NNTP,http等)也必须通过代理服务器。 , , Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。 , , Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。 , , Firewall可支持对拨号接入的集中管理和过滤。 , , Firewall应支持对交通、可疑活动的日志记录。 , , 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有已知的安全漏洞Patch。 , , Firewall的设计应该是可理解和管理的。 , , Firewall和依赖的操作系统应及时地升级以弥补安全漏洞。 5.4 由于中国港湾建设总公司网络系统需要接入Internet。因此考虑防火墙建设。 我们选择美国网络联盟的Gauntlet 作为中国港湾建设总公司的防火墙软件,美国网络联盟是全球最大的安全软件供 应商、也是十大独立软件供应商之一,Gauntlet作为它的拳头产品,是在国内外安全市场占有率比例高、安全功能齐全的 防火墙产品。 Gauntlet , , 通过代理完全的防火墙透明; , , 工业标准防火墙间加密; , , 支持强力的用户认证设备; , , 安全的集成的GUI管理工具(通过Web浏览器); , , 加密系统完整性检查; , , 实时非法活动报警; , , 安全信息网关,部署安全的Web或者FTP服务器; , , 一组应用网关(代理)。 Gauntlet 包括的代理: , , 终端服务(TELNET、Rlogin) , , 文件传输(FTP) , , 电子邮件(SMTP、POP3) , , WWW(HTTP、SHTTP、SSL、Gopher) , , X窗口系统(X11) , , 远程运行(Rsh) , , 域名服务(DNS) , , 简单网络管理协议(SNMP) 26 Sybase SQL , , , , Oracle SQL*Net , , RealAudio/RealVideo , , Xing , , NetShow , , VODLive 可插入的网关 , , Finger , , USENET News(NNTP) , , Whois , , Lotus Notes , , AOL 支持的扩展内容过滤 , , FTP、WWW、Email的病毒扫描 , , URL过滤 信息系统的安全保护是一个复杂而艰巨的课题,网络安全控制仅仅是策略之一;从设备的物理保护一直到操作系统、 数据库、应用软件,各个层次都有一系列的安全控制手段。而且安全管理不只是一个技术问题,也是一个行政管理问题。 除了采用相应的软硬件设备进行维护外,在制度与管理上也应有完善的规划,这样才有系统安全的实施意义。 服务器是中国港湾建设总公司网络系统的主要设备,具体的各种网络应用信息服务是由服务器实现的,所以服务器 的配置在网络中具有重要的作用。 中国港湾建设总公司的网络实现的服务主要是以Web服务和E-Mail为中心的多种服务 服务器的选择很重要,他是网络系统的心脏,服务器的选择主要考虑其I/0吞吐能力,以及其综合处理能力(CPU, MEMORY,SYSTEM,BUS),系统的可靠性与稳定性,系统的先进性与安全性,最终的性能价格比,特别是对于大型数 据库服务器来说,系统的性能尤为重要。 中国港湾建设总公司网络的中央计算机系统包括数据库服务器以及提供Internet服务的WWW服务器、邮局服务器、 代理服务器等;提供局域网服务的文件服务器、设备管理服务器等;以及相应的操作系统、应用软件系统等。 一般情况下,提供Internet服务的三台服务器可合为一台以减少投资,但同时提高了对服务器的要求。因此 Internet/Intranet服务器设计采用1台SUN Enterprise 450,3台SUN Ultra5其网络操作系统运行Solaris 2.6, 并设置WWW 服务器、邮件服务器、代理服务器;一台SUN Enterprise 450作为数据库服务器。 中央计算机系统的组成见下表: Internet服务器2台 WWW服务器 提供主页发布及页面浏览服务 代理服务器 提供数据存取缓存服务 邮件服务器 提供E-mail邮件收发服务 FTP服务器 提供文件上传、下载服务 数据库服务器1台 数据库服务器 提供数据库服务 网管服务器1台 网管服务器 提供网络管理功能 局域网服务器1台 防火墙服务器 提供网络安全服务 域名服务器 提供域名服务 工程实施分三部分: , , 网络平台建设 27 Intranet平台建设 , , , , 管理信息系统建设 双方签订工程 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 (网络和系统平台建设)后,成立工程领导小组和开发领导小组,分别开展工作。 开发领导小组负责协调双方工作人员对中国港湾建设总公司的业务模型进行调研,对最终用户进行先期培训,写出 系统需求说明,制定开发计划,签订开发合同。 7.1 确定系统机房位置和面积,设备间位置,各工作站物理位置,建筑结构;确定距子系统最近的端局和线缆距离,建筑 物周围环境。 7.2 选择代理商,签订订货合同, 发出订货单。现货国内采购。 7.3 IP IP地址规划。 域名规划。 7.4 设备进场测试、系统安装、连接和设置。建立系统运行平台。 7.5 建立企业Intranet平台,测试所需功能,并在此平台上开发管理信息系统 7.6 根据应用系统开发合同和需求说明书,分步骤开发应用系统。用户方至少应派一名工作人员参加应用系统开发。完成 一项应用,上网试运行一项,逐步完成。 7.7 网络系统经2周试运行(运行各种典型应用,测试和记录系统运行状况,调整系统参数),未出现设备故障或连接错误 后,完成系统试运行。 7.8 工程验收和工程文档归档,含网络蓝图、网络连接图、机器配置文档、应用系统设置、使用手册、测试和试运行报 告等。 7.9 提供2~4名系统管理人员为期一周的免费培训,含网络设备和系统、应用系统、数据库系统管理维护的培训。 7.10 整个工程项目过程中,我们将遵循以下的质量保证体系: , , 质量保证体系包括从设备采购、运输、现场安装调试、维护等从设备订购到使用的所有环节。 , , 定货:保证按合同中注明的产品定货号和规格、品牌等进行定货,验货以合同中规定的细则为依据,由 双方验收每一项合格后由双方签字。 , , 安装调试:安装调试中出现的问题由我公司负责。 , , 维护:设备安装验收合格后,进入产品维护期,合同中签定的整个周期内的维护工作和质量问题由我公 司负责。 , , 硬件系统的质量保证由由设备原厂商提供,我公司保证按合同细则中规定定货验收。提供的质量保证为: HUB Switch、Router、 Access Server等其它产品提供一年的免费质量保证,超过一年的质量保证,每年按公开报价的3% 收取质量保证费。 28 7.11 , , 由于设计中出现的质量问题,而达不到预期的性能,我们负全部责任。 , , 在合同中遗漏的产品,由我们自己补齐。 , , 网络设备的安装由协调、组织能力强的主管工程师负责。 , , 合同中规定的定货和安装周期等,因我方出现的问题,我方负全部责任。 , , 保证按合同中规定维护条件进行维护,解决设备运行中出现的问题。 服务的主要目的是保证系统安全、可靠、高效的运行。 8.1 1. 1. 安装及验收:选择的产品供应商应具有雄厚的技术力量和完善的售后服务网,在客户中具有很高的信誉。选用 的产品均至少免费保修一年。 , , 网络设备及相关产品订货及验收由供应商、凡喜公司及用户三方协同进行,并同时在场进行开机试验; 机器正常运行后,供应商以及凡喜公司与用户签收验机报告,保修期开始计算。 , , 网络系统的安装与联通由凡喜公司负责,成功后即可投入使用。 2. 2. 保修期内,在中国港湾建设总公司提出维修后4小时内,凡喜公司将作出响应,必要时, 8小时到现场;并按 与厂家协定的保修条件,通知或会同供货商实施保修。 3. 3. 用户一旦发现问题,可先进行系统自查;若用户认为是由凡喜公司集成的产品或开发的软件发生故障,可与供 货商(或凡喜公司)直接联系,从而提高服务效率。 4. 4. 经用户申明,我们可对中国港湾建设总公司的其他相关工程提供辅助性服务。 5. 5. 凡喜公司将对所提供的所有软、硬件产品提供终身维护服务。 8.2 保修期后,凡喜公司继续提供与保修期内服务质量相当的维护服务,与中国港湾建设总公司保持密切联系,随时了 解系统的使用状况,解答运行中的问题并协助解决疑难问题,提供技术支持和售后服务。 8.3 1. 目标:为使中国港湾建设总公司计算机系统成功运行,产品生产厂家应全力支持该项目的建设,使之成为全行业内信 息系统成功的典范。 2. 方式: , 现场服务:若有重大技术问题,供货商派技术专家24小时内到现场解决问题。 , 电话咨询:用户遇到一般技术问题,随时可以打电话到厂家在北京的办事机构进行技术咨询,厂家应保证有专人负责 立即解答,并帮助解决。 , 用户跟踪服务:随时记录用户的问题,并尽快解答。定期电话询问或走访用户,不定期地向用户寄资料发布新产品、 新技术。 3. 内容: , 产品安装、系统调试支持 , 长期技术咨询 , 系统维护支持 , , 提供产品使用经验的交流机会 , , 其他 , 九章 设备清单及系统报价9.1 Cisco 29 Catalyst 5500 Chassis $10,493 1 WS-C5500 $10,493 Catalyst 5500 AC Power Supply $5,993 2 WS-C5508 $11,986 Catalyst 5002/5000/5500 Supvr Engine III $20,993 1 WS-X5530-E1 $20,993 Without Uplink Mod 48 Port 10BT Desktop Ethernet Switching $11,243 4 WS-X5012 $44,972 Module Catalyst Switch Route Switch Module $29,993 1 WS-X5302 $29,993 C5000 24 Port 10/100 (RJ-45) Desktop $14,993 1 WS-X5224 $14,993 Switching Module Cisco IOS Catalyst 5000 RSM Enterprise $12,000 1 SFC5A-11.3.1T $12,000 Cisco Access Server 2511 Ethernet/Dual $3,143 1 Cisco2511 $3,143 Serial/16 Async V.35 Cable, DTE, Male, 10 Feet $150 1 CAB-V35MT $150 Cisco 2500 Series IOS IP Only Feature Set $1,800 1 SF25C-11.2.11 $1,800 CWSI,Solar,OpenView,SunNet Manager, $14,993 1 CWSI-2.1-SOLAR $14,993 standalone $165,516 人民币报价 汇率*11 1,092,406 9.2 SUN SUN Ultra Enterprise 450Server with One 250MHz UltraSPARC-II $35,160 2 $70,320 Processors, Each with 1-Mbyte UltraCache,10/100BASE-T Ethernet 128-Mbytes Memory 4. 2-Gbyte 7200RPM Internal Fast/Wide SCSI-2 Disk 10PCI I/O slots,12XCD-ROM,1.44MB Floppy one power supply,Solaris Server Licenses 4 hot swap UltraSCSI disk bays,one with 4.2GB drive 17”PCI FrameBuffer Color Monitor $1,960 4 $7,840 PGX Graphics Option $770 1 $770 WS ULTRA 5 Workstation with 270MHz Ultra-SPARC-II Processor, $8,628 3 $25,884 128Mbyte DRAM 4. 3Gbyte Floopy 1.44-Mbyte Floppy 24xCD-ROM,On-board PGX Graphics 10/100BASE-T Ethernet,self-sensing Universal UNIX Country kit Solaris 2.6 5/98 $640 4 $2,560 Simplified Chinese Server Media Kit 10/100BaseT FastEthernet PCI Adapter 2.0 w/MII $1,112 1 $1,112 SunNet Mgr 2.3 sol 2,CD DOC Li $11,192 1 $11,192 Site Mgr 2.3 Sol 2,CD DOC Li $3,192 1 $3,192 $122,870 小计 $71,265 折扣42% 人民币 汇率*11 783,911 报价 30 9.3 UPS 1 防火墙,100用户 ¥120,000 120,000 小计 120,000 服务器报价 Netscape Web server 1 ¥20,706 20,706 Netscape Mail Server 1 ¥20,706 20,706 Netscape Proxy Server 1 ¥10,118 10,118 1 网页制作工具 ¥1,300 1,300 小计 52,830 不间断电源UPS报价 1 APC Matrix UPS裸机 ¥24,000 24,000 2 长延时电池模块 ¥8,800 17,600 1 多操作系统关闭设备 ¥2,400 2,400 1 NT管理软件 ¥1,400 1,400 小计 45,400 总计 218,230 9.4 Cisco网络设备 1,092,406 Sun服务器 783,911 其他服务器与设备 218,230 设备与软件总报价 2,094,547 系统集成费用(总报价*15%) 314,182 项目总体报价 2,408,729 网络集成服务费用按照设备与软件的总报价的15%收取; Ciso及SUN的产品采用美元FOB HK报价,汇率按美元对人民币1:11计算。
本文档为【企业网络组网解决方案---中国港湾总公司组建网络案例】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑, 图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
该文档来自用户分享,如有侵权行为请发邮件ishare@vip.sina.com联系网站客服,我们会及时删除。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
下载需要: 免费 已有0 人下载
最新资料
资料动态
专题动态
is_321575
暂无简介~
格式:doc
大小:160KB
软件:Word
页数:0
分类:互联网
上传时间:2017-10-07
浏览量:48