XX財(cái)政局網(wǎng)絡(luò)系統(tǒng)方案_詳細(xì)

1、 XX 財(cái)政局網(wǎng)絡(luò)系統(tǒng)方案財(cái)政局網(wǎng)絡(luò)系統(tǒng)方案 更改記錄更改記錄 更改日期更改說明更改標(biāo)志 20_年 4 月 16 日第一版無 術(shù)語和縮寫術(shù)語和縮寫 為了方便閱讀,特將文中提及的術(shù)語及縮寫列示如下: 術(shù)語或縮寫解釋 百兆以太網(wǎng)、Fast Ethernet百兆快速以太網(wǎng) 桂林財(cái)政 XX 市財(cái)政局、財(cái)政局XX 市財(cái)政局 計(jì)算機(jī)網(wǎng)絡(luò)、財(cái)政局網(wǎng)絡(luò)、財(cái)政局網(wǎng) 絡(luò)系統(tǒng)、財(cái)政局辦公網(wǎng) XX 市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng) 怡海公司、桂林怡海、怡海實(shí)業(yè)、怡 海科技、怡海軟港 怡海 XX 公司 目目 錄錄 1 1 、前、前 言言.6 6 2 2 、系統(tǒng)概述與需求、系統(tǒng)概述與需求.7 7 2.1 系統(tǒng)建設(shè)的必要性 .7 2

2、.2 系統(tǒng)建設(shè)概況 .7 2.3 總體需求 .7 2.4 建網(wǎng)目的 .8 3 3 、局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述、局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述.9 9 3.1 網(wǎng)絡(luò)技術(shù)選擇.10 3.2 網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu).10 3.3 虛擬專用網(wǎng)絡(luò)(VPN).11 3.4 路由功能.11 3.5 容錯功能.11 3.6 網(wǎng)絡(luò)管理.11 4 4 、網(wǎng)絡(luò)方案概述、網(wǎng)絡(luò)方案概述.1212 4.1 網(wǎng)絡(luò)設(shè)計(jì)思想 .12 4.2 網(wǎng)絡(luò)邏輯結(jié)構(gòu) .14 5 5 、網(wǎng)絡(luò)實(shí)現(xiàn)、網(wǎng)絡(luò)實(shí)現(xiàn).1515 5.1 系統(tǒng)需求 .15 5.2 網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù) .15 5.2.1 主干網(wǎng) .15 5.2.2 各子網(wǎng)設(shè)計(jì) .16 5.2.3

3、遠(yuǎn)程服務(wù) .16 5.2.4 與外部網(wǎng)絡(luò)的連接 .16 5.2.5 網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu) .17 5.3 外連方式 .17 5.3.1 PSTN(電話撥號) .18 5.3.2 ISDN(綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)) .18 5.3.3 DDN(數(shù)字?jǐn)?shù)據(jù)網(wǎng)) .20_.3.4 X.25(公共分組數(shù)據(jù)交換網(wǎng)) 21 5.3.5 幀中繼 .22 5.4 網(wǎng)絡(luò)設(shè)備選擇 .23 5.4.1 交換機(jī) .23 5.4.2 路由器 .24 5.4.3 遠(yuǎn)程訪問服務(wù)器 .24 5.4.4 服務(wù)器 .26 5.5 系統(tǒng)平臺 .26 6 6 、技術(shù)重點(diǎn)與難點(diǎn)、技術(shù)重點(diǎn)與難點(diǎn).2727 6.1 子網(wǎng)劃分與地址規(guī)劃 .27 6.2

4、虛擬局域網(wǎng)的劃分 .27 6.3 增強(qiáng) IP 組播(IP MULTICAST)能力 .28 7 7 、安全性、安全性.2828 7.1 網(wǎng)絡(luò)設(shè)計(jì) .28 7.2 應(yīng)用軟件 .29 7.2.1 用戶口令加密存儲和傳輸: .29 7.2.2 分設(shè)操作員 .29 7.2.3 日志記錄和分析 .30 7.3 網(wǎng)絡(luò)配置 .30 7.3.1 路由 .30 7.3.2 防火墻 .30 7.4 系統(tǒng)配置 .31 7.4.1 網(wǎng)絡(luò)服務(wù)程序 .31 7.4.2 數(shù)據(jù)庫安全配置 .31 7.5 通信軟件 .32 8 8 、維護(hù)、維護(hù).3333 8.1 系統(tǒng)維護(hù) .33 8.2 支持與服務(wù) .34 8.2.1 支持和

5、服務(wù)范圍 .34 8.2.2 支持和服務(wù)內(nèi)容 .34 9 9 、人員培訓(xùn)、人員培訓(xùn) .3838 1010 . .系統(tǒng)報(bào)價系統(tǒng)報(bào)價.3939 1111 附錄附錄: :怡海怡海 XXXX 公司介紹公司介紹.4040 1XX1XX 公司簡介公司簡介 .40XX 公司業(yè)務(wù)機(jī)構(gòu)業(yè)務(wù)機(jī)構(gòu) 41XX 公司技術(shù)人力資源及培訓(xùn)計(jì)劃技術(shù)人力資源及培訓(xùn)計(jì)劃42 11.411.4 售后服務(wù)支持售后服務(wù)支持.43XX 公司部分典型計(jì)算機(jī)軟件及網(wǎng)絡(luò)工程清單部分典型計(jì)算機(jī)軟件及網(wǎng)絡(luò)工程清單 43 1 1 、前、前 言言 信息化正對人類社會發(fā)展產(chǎn)生越來越巨大而深遠(yuǎn)的影響,網(wǎng)絡(luò)正逐步深入到社會生 活的各個方面。政府部門承擔(dān)著社

6、會經(jīng)濟(jì)管理職能,政府部門信息化是社會信息化的重 要基礎(chǔ)。實(shí)施政府上網(wǎng)工程旨在推動各級政府部門為社會服務(wù)的公眾信息資源匯集和 應(yīng)用上網(wǎng),實(shí)現(xiàn)信息資源共享,這對于全面推進(jìn)國民經(jīng)濟(jì)信息化具有重要意義。 目前,隨著我國金橋信息網(wǎng)業(yè)務(wù)的順利開展,國家經(jīng)貿(mào)委、廣電部、水利部、 交通部、林業(yè)部等政府部門都已上網(wǎng),XX 省級政府部門也將先后在網(wǎng)上建立自 己的網(wǎng)站提供信息。隨著電子商務(wù)的發(fā)展,更加需要電子政府的出現(xiàn),實(shí)現(xiàn)網(wǎng)上 交互式信息交流和電子命令的傳遞。 在政府機(jī)構(gòu)辦公及管理信息化進(jìn)程中,政府機(jī)構(gòu)如何發(fā)揮自身作用,怎樣利用 Internet/Intranet 技術(shù)帶來的機(jī)遇和挑戰(zhàn),來提高工作效率和管理科學(xué)水

7、平,是亟待解決 的問題。 這兩年來,XX 市財(cái)政局的科室微機(jī)大部分職能還是報(bào)表處理、單機(jī)作業(yè)為 XX 市財(cái)政局 與區(qū)財(cái)政 XX 市財(cái)政局與下屬機(jī)構(gòu)的通信也是簡單地文件傳送,甚至還停留在手工報(bào)表,人工 遞送階段,顯然越來越不能滿足現(xiàn)代化管理的需要。 2 2 、系統(tǒng)概述與需求、系統(tǒng)概述與需求 2.12.1 系統(tǒng)建設(shè)的必要性系統(tǒng)建設(shè)的必要性 建設(shè)財(cái)政局綜合信息網(wǎng)絡(luò)目的: 一是進(jìn)一步加快全局各機(jī)構(gòu)辦公自動化的進(jìn)程,實(shí)現(xiàn)政府職能的網(wǎng)絡(luò)化,提高各級領(lǐng)導(dǎo) 的決策水平； 二是推動工作體制和工作方式的改革,打破部門之間各自為政的局面,通過信息暢通,保 證政令統(tǒng)一,提高辦事效率； 三是通過網(wǎng)絡(luò)加強(qiáng)財(cái)政局與 XX

8、市民的聯(lián)系,聽取群眾的意見和心聲； 四是通過財(cái)政局上網(wǎng),XX 市財(cái)政局擁有的豐富的信息資源,XX 市企、事業(yè)單位服務(wù),促 進(jìn)信息資源的應(yīng)用,促 XX 市經(jīng)濟(jì)發(fā)展和社會進(jìn)步； 五是通過政府工作網(wǎng)絡(luò)化,樹立財(cái)政局局現(xiàn)代化形象,推動全局信息化工作的開展和信 息產(chǎn)業(yè)的發(fā)展。 2.22.2 系統(tǒng)建設(shè)概況系統(tǒng)建設(shè)概況 XX 市財(cái)政局辦公自動化骨干網(wǎng)。 建成財(cái)政局網(wǎng)站 接入國際互連網(wǎng) 2.32.3 總體需求總體需求 建立一個全局的信息管理和應(yīng)用的網(wǎng)絡(luò)系統(tǒng),建立醫(yī)院 內(nèi)部的 Intranet,并提供相應(yīng)的各種服務(wù)。 能夠有序地共享網(wǎng)絡(luò)上的各種軟、硬件資源,各種信息 能夠在網(wǎng)絡(luò)上快速、穩(wěn)定地傳輸,并提供有效的網(wǎng)

9、絡(luò)信息管 理手段。 整個系統(tǒng)采用開放式、標(biāo)準(zhǔn)化的結(jié)構(gòu),以利于功能擴(kuò)充 和技術(shù)升級。 能夠與外界進(jìn)行廣域網(wǎng)的連接,提供、享用各種信息服 務(wù)。 具有完善的網(wǎng)絡(luò)安全機(jī)制。 能夠與原有的計(jì)算機(jī)和應(yīng)用系統(tǒng)平滑地連接,調(diào)用原有 各種計(jì)算機(jī)系統(tǒng)的信息。 2.42.4 建網(wǎng)目的建網(wǎng)目的 政府上網(wǎng)的另一個作用就是在網(wǎng)上實(shí)現(xiàn)辦公。以往人們到政府部門辦事, 往往要跑到該地區(qū)的各管轄部門的所在地區(qū),如果涉及到各個不同部門,要 蓋不同的章,更是費(fèi)時費(fèi)力。除了有一些手續(xù)必須有實(shí)物證明外,可以建立 一個文件資料電子化中心,把各種證明和文件電子化。同時,項(xiàng)目審批等與 政府有關(guān)的各項(xiàng)工作都可以在網(wǎng)上完成。而在財(cái)政局內(nèi)部,各部門

10、之間也 可以通過 Intranet 相互聯(lián)系,各級領(lǐng)導(dǎo)也可以在網(wǎng)上對所管部門作出指示,指 導(dǎo)各部門機(jī)構(gòu)的工作,并能及時地進(jìn)行意見反饋 XX 省了工作時間,提高了 工作效率。 與 INTERNET 相連后可實(shí)現(xiàn)電子政府的強(qiáng)大管理應(yīng)用功能: .1 監(jiān)督電子化監(jiān)督電子化 電子政府可以在網(wǎng)上公開政府部門的名稱、職能、組織結(jié)構(gòu)、辦事章程、各項(xiàng)文件等,以 便公眾迅速了解政府機(jī)構(gòu)的組成、職能和辦事章程、各項(xiàng)政策法規(guī),增加辦事的透明度,同 時設(shè)立友好的訪問界面、豐富的站點(diǎn),接受民眾的意見,自覺接受公眾的監(jiān)督。 .2 電子招標(biāo)電子招標(biāo) 指通過 Internet 向全國各企業(yè)公開招

11、標(biāo)來購買商品的方式, 由政府在 Internet 網(wǎng)上 公開其所需購買產(chǎn)品的有關(guān)信息,歡迎各個企業(yè)前來投標(biāo)。同時,可以對感興趣的企業(yè)網(wǎng)站 發(fā)出 E-mail,邀請其前來投標(biāo),并說明前來申請的截止時間。有意投標(biāo)的企業(yè)需要取得影象、 價格、規(guī)格等數(shù)據(jù)和產(chǎn)品性能、優(yōu)勢等文字說明,報(bào)送到政府招標(biāo)的專門網(wǎng)頁上。由政府 有關(guān)人員對其招標(biāo)項(xiàng)目進(jìn)行審核,初步作出篩選。 .3 資料電子化資料電子化 網(wǎng)絡(luò)的一大特點(diǎn)就是能開放、充分地提供各種信息,財(cái)政局對外部門的各種資料、 檔案、數(shù)據(jù)庫的上網(wǎng)使財(cái)政局的服務(wù)更加完善,更好地為社會服務(wù)。 3 3 、局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述、局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)

12、概述 目前在局域網(wǎng)組網(wǎng)技術(shù)中比較成熟和應(yīng)用較多的技術(shù)有以下幾方面網(wǎng)絡(luò)類 型: Ethernet:10M、100M、千兆以太網(wǎng), ATM:25M、155M、622M、2.4G, DDN:64K、128K、1M、2M, X.25:64K FDDI:100M 面臨淘汰。 在端口數(shù)據(jù)分配上也分為共享式和交換式, 網(wǎng)間數(shù)據(jù)交換核心方面分為路由和三層交換兩種技術(shù)。 在以上幾個方面中網(wǎng)絡(luò)類型的選擇是關(guān)鍵,目前的主要技術(shù)之爭是發(fā)生在以 太網(wǎng)和 ATM 之間的,這兩種技術(shù)各有短長 ATM 技術(shù)相對以太網(wǎng)來說是一種較為為新型的技術(shù),它基于面向連接,提供 QOS 保障,在實(shí)時數(shù)據(jù)傳送,預(yù)留帶寬方面有不可比擬的優(yōu)越性

13、,特別適合實(shí)時多 媒體的交互式通訊和一些突發(fā)性的數(shù)據(jù)傳送要求,它針對不同的數(shù)據(jù)通訊類型會 給予不同的質(zhì)量保證,另外小信元有利于速率的不斷提高,但由于其技術(shù)成熟度 不夠,和目前直接基于 ATM 的應(yīng)用類型還比較少,它的優(yōu)越性受到了限制,另外它 的元件和設(shè)備價格昂貴是另一個不利與推廣的弱點(diǎn)。 以太網(wǎng)技術(shù)相對成熟,而且多數(shù)應(yīng)用基于以太網(wǎng)開發(fā),所以決定了目前它在 網(wǎng)絡(luò)中占主導(dǎo)地位,受多數(shù)用戶的青睞。在此我們推薦使用千兆以太網(wǎng)技術(shù),它 在技術(shù)上由快速以太網(wǎng)衍生出來、性能價格比高,現(xiàn)在相關(guān)技術(shù)已經(jīng)穩(wěn)定,并且 非常適合財(cái)政局使用。在此方案中我們選擇千兆以太網(wǎng)與三層交換作為技術(shù)定 位的基本模式。 3.13.1

14、 網(wǎng)絡(luò)技術(shù)選擇網(wǎng)絡(luò)技術(shù)選擇 根據(jù)應(yīng)用實(shí)際需求,和網(wǎng)絡(luò)功能、性能、安全性等多方面的分析,對網(wǎng)絡(luò)技 術(shù)做出如下選擇: 根據(jù)應(yīng)用系統(tǒng)的需求和接入網(wǎng)絡(luò)方式的特征,財(cái)政局網(wǎng)絡(luò)采用 10M/100M 全 交換結(jié)合的方式構(gòu)建自己的網(wǎng)絡(luò)通信平臺,采用虛網(wǎng)劃分技術(shù),虛網(wǎng)間數(shù)據(jù)傳輸 實(shí)現(xiàn)第三層交換,為桌面設(shè)備提供 10/100M 以太網(wǎng)接入,并同時具有技術(shù)領(lǐng)先性。 主干為百兆快速以太網(wǎng)。 服務(wù)器以 100base-T 接入。 普通網(wǎng)絡(luò)用戶 PC 采用 10/100Base-T 方式接入。 網(wǎng)絡(luò)基本形式為交換式網(wǎng)絡(luò)。 3.23.2 網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu)網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu) 選擇完全分布的系統(tǒng)結(jié)構(gòu)(處理能力分布和存儲能力

15、分布)。 選擇存儲轉(zhuǎn)發(fā)式交換技術(shù)(Store-forward)以支持低速網(wǎng)絡(luò)接口和高速網(wǎng)絡(luò)接口的交換 及對錯誤幀的過濾。 選擇統(tǒng)計(jì)時分復(fù)用(TMD)數(shù)據(jù)交換總線結(jié)構(gòu)的交換設(shè)備減少系統(tǒng)延時。 選擇支持多種網(wǎng)絡(luò)接口的設(shè)備。 3.33.3 虛擬虛擬專用專用網(wǎng)絡(luò)網(wǎng)絡(luò)(VPN)(VPN) 靈活多樣的虛網(wǎng)劃分手段,基于端口,基于地址和給予應(yīng)用 虛網(wǎng)中的站點(diǎn)不應(yīng)受接口類型的限制。 支持網(wǎng)絡(luò)站點(diǎn)的自由移動,虛網(wǎng)標(biāo)志可被交換設(shè)備自動識別以保持原有虛網(wǎng)屬性。 虛網(wǎng)可延伸到整個信息中心網(wǎng)絡(luò),跨越各種交換設(shè)備。 3.43.4 路由功能路由功能 內(nèi)部路由采用三層交換功能提高其路由識別和包轉(zhuǎn)發(fā)能力 內(nèi)部的三層交換虛擬路由

16、功能與外部路由功能有互操作性 3.53.5 容錯功能容錯功能 提供交換機(jī)內(nèi)部重要模塊的全雙工配置(管理模塊)和冗余電源 主要功能部件的熱插拔功能 支持網(wǎng)絡(luò)鏈路的冗余連接 3.63.6 網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理 支持廣泛的網(wǎng)絡(luò)管理平臺(如 HP OpenView 、3Com Transcend 等) 提供交換機(jī)配置、管理,虛網(wǎng)配置、管理和網(wǎng)絡(luò)性能統(tǒng)計(jì)監(jiān)控的 網(wǎng)管工具:基于 SNMP 網(wǎng)絡(luò)管理協(xié)議,支持標(biāo)準(zhǔn)的 MIBs 提供友好的用戶圖形界面 4 4 、網(wǎng)絡(luò)方案概述、網(wǎng)絡(luò)方案概述 4.14.1 網(wǎng)絡(luò)設(shè)計(jì)思想網(wǎng)絡(luò)設(shè)計(jì)思想 針對以上情況,本方案的設(shè)計(jì)采用國際流行的分層設(shè)計(jì):自頂向下進(jìn)行結(jié)構(gòu)化設(shè)計(jì),自底 向上實(shí)

17、現(xiàn)各種業(yè)務(wù)。根據(jù)我們以往的經(jīng)驗(yàn),XX 市財(cái)政局的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)具有如下特性: 前瞻性:即所采用的技術(shù)應(yīng)是國際通信界公認(rèn)的主流技 術(shù),具有持續(xù)發(fā)展的潛力。 兼容性:目前,國內(nèi)各種網(wǎng)絡(luò)的建設(shè)方興未艾,保證網(wǎng)絡(luò) 良好的兼容性是業(yè)務(wù)擴(kuò)展的重要前提之一。 經(jīng)濟(jì)性:網(wǎng)絡(luò)建設(shè)的最終目的,是要服務(wù)于社會和公眾, 并產(chǎn)生可觀的經(jīng)濟(jì)效益,進(jìn)而產(chǎn)生收益和投資之間的良性循環(huán)。 演繹性:網(wǎng)絡(luò)建設(shè)是一個可持續(xù)滾動發(fā)展的過程,只有不 斷地吸收營養(yǎng)、不斷地發(fā)展壯大,才能產(chǎn)生更大的經(jīng)濟(jì)和社會效應(yīng)。 競爭性:只有這樣的網(wǎng)絡(luò)才 XX 市場競爭中當(dāng)然會脫穎而 出,獨(dú)占鰲頭。 穩(wěn)健性:因?yàn)榫W(wǎng)絡(luò)系統(tǒng)在將來政府辦公的地位非常重要, XX 市

18、財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)對系統(tǒng)的穩(wěn)健性將有較高的要求。本方案正 是結(jié)合實(shí)際需求對于系統(tǒng)的穩(wěn)健性進(jìn)行了深入的設(shè)計(jì)。 為了實(shí)現(xiàn)上述特性,我們本著以下原則進(jìn)行設(shè)計(jì): 充分依照國際上的規(guī)范、標(biāo)準(zhǔn),借鑒國內(nèi)外目前所流行的主流網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)運(yùn)行 系統(tǒng),采用國際上成熟的模式,汲取國內(nèi)外各種信息系統(tǒng)的建設(shè)經(jīng)驗(yàn),從網(wǎng)絡(luò)信息化的實(shí)際要 求出發(fā)進(jìn)行設(shè)計(jì)。 確保技術(shù)的先進(jìn)性和實(shí)用性,使網(wǎng)絡(luò)具有良好的可擴(kuò)展性和靈活性,以適應(yīng)網(wǎng)絡(luò)的迅猛發(fā)展 趨勢,既滿足當(dāng)前需求,又照顧未來網(wǎng)絡(luò)建設(shè)發(fā)展的需要。 充分利用當(dāng)?shù)匾延械母鞣N網(wǎng)絡(luò)資源,確保網(wǎng)絡(luò)內(nèi)部的互聯(lián)互通。 由于此網(wǎng)絡(luò)是一個實(shí)用的服務(wù)運(yùn)行系統(tǒng),在總體設(shè)計(jì)時充分考慮工程的可靠性、可用

19、性、可 維護(hù)性以及網(wǎng)絡(luò)的安全性,建立完善的安全管理體系。 另外,本計(jì)算機(jī)信息系統(tǒng)的建設(shè)是一項(xiàng)龐大而繁雜的工程,它需要領(lǐng)導(dǎo)的支持、大筆 資金的及時到位、計(jì)算機(jī)專業(yè)人員具有良好素質(zhì)和較高技術(shù)水平,以及應(yīng)用科室的配合和多 部門的密切協(xié)作。所以我們對于系統(tǒng)的建設(shè)提出“總體規(guī)劃、分布實(shí)施”的建議。在制定 總體規(guī)劃時,我們遵循“切合實(shí)際、分階段實(shí)施、循序漸進(jìn)、安全有效”的基本原則。網(wǎng)絡(luò) 結(jié)構(gòu)的選擇具有先進(jìn)性和安全性,擴(kuò)充升級方便,可保護(hù)前期投資。 基于上述因素考慮,XX 市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)思想如下: 基本構(gòu)架采用國際上目前流行的基本構(gòu)架采用國際上目前流行的 INTRANETINTRANET 網(wǎng)絡(luò)技術(shù)網(wǎng)

20、絡(luò)技術(shù), ,以以 TCP/IPTCP/IP 為基本傳輸協(xié)議；為基本傳輸協(xié)議； 主干網(wǎng)采用百兆快速以太網(wǎng)技術(shù)主干網(wǎng)采用百兆快速以太網(wǎng)技術(shù), ,以便以便 XXXX 市委市府市委市府 系統(tǒng)中大量數(shù)據(jù)傳輸?shù)囊?；系統(tǒng)中大量數(shù)據(jù)傳輸?shù)囊螅?分支網(wǎng)絡(luò)采用快速以太網(wǎng)分支網(wǎng)絡(luò)采用快速以太網(wǎng)(Fast(Fast Ethernet)Ethernet)技術(shù)以滿技術(shù)以滿 足普通應(yīng)用需求；足普通應(yīng)用需求； 采用先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)采用先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù), ,將網(wǎng)絡(luò)按功能模塊劃分成將網(wǎng)絡(luò)按功能模塊劃分成 不同子網(wǎng)不同子網(wǎng), ,增強(qiáng)網(wǎng)絡(luò)的安全性；增強(qiáng)網(wǎng)絡(luò)的安全性； 融合融合 WEBWEB 技術(shù)技術(shù),PROXY,PROXY

21、技術(shù)等技術(shù)等 INTERNETINTERNET 綜合應(yīng)用；綜合應(yīng)用； 采用采用 FIREWALLFIREWALL 防火墻技術(shù)提高網(wǎng)絡(luò)安全性防火墻技術(shù)提高網(wǎng)絡(luò)安全性, ,可靠性；可靠性； 4.24.2 網(wǎng)絡(luò)邏輯結(jié)構(gòu)網(wǎng)絡(luò)邏輯結(jié)構(gòu) XX 市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)如下: 網(wǎng)絡(luò)系統(tǒng)邏輯拓?fù)鋱D 在邏輯拓?fù)渲芯W(wǎng)絡(luò)可劃分為若干虛擬局域網(wǎng),虛擬局域網(wǎng)不受設(shè)備物理位置的限制, SwitchRoute Database Server Database Server WWW Server Network Management Work Station PCPCPC Route Switch 構(gòu)構(gòu)構(gòu)構(gòu)構(gòu)構(gòu) LA

22、N PCPCPC WAN 靈活性較大。按各部分功能劃分:SERVER VLAN 為服務(wù)器群虛網(wǎng),將各種主要服務(wù)器(WEB 服 務(wù)器、管理數(shù)據(jù)服務(wù)器、郵件服務(wù)器、FTP 服務(wù)器等)放在一個虛網(wǎng)內(nèi)便于管理、維護(hù),同 時也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性;VLAN1、VLAN2根據(jù)不同的職能部門 劃分,如:黨委辦、組織部、人事部 5 5 、網(wǎng)絡(luò)實(shí)現(xiàn)、網(wǎng)絡(luò)實(shí)現(xiàn) 5.15.1 系統(tǒng)需求系統(tǒng)需求 首先對整個財(cái)政局辦公大樓需進(jìn)行綜合布線以及機(jī)房標(biāo)準(zhǔn)裝修工程。財(cái)政 局辦公大樓是兩個 6 層高的子樓以 L 型連接而成,相互之間要通過網(wǎng)絡(luò)共享一部 分?jǐn)?shù)據(jù),中心機(jī)房位于 6 樓。下面列出財(cái)政局各樓層對網(wǎng)絡(luò)的

23、需求。 序號樓 層信息點(diǎn)數(shù) 1 一層 6 2 二層 12 3 三層 15 4 四層 16 5 五層 16 6 六層 3 7 總計(jì) 68 具體的大樓綜合布線以及機(jī)房裝修詳見附件:綜合布線實(shí)施方案 5.25.2 網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù) 5.2.1 主干網(wǎng) 網(wǎng)絡(luò)的主干建議采用四臺自適應(yīng)百兆以太網(wǎng)交換機(jī)作為中心交換機(jī)。四臺核心交換 之間采用高速矩陣模塊千兆光纖相連,以保證主干網(wǎng)信息的暢通。服務(wù)器均以 100BASE 端口 和交換機(jī)相連,這樣可以提供足夠的帶寬,減少由于用戶對服務(wù)的集中請求所產(chǎn)生的網(wǎng)絡(luò)瓶 頸。 建議使用先進(jìn)的路由交換機(jī)產(chǎn)品。路由交換機(jī)可將 IP 路由功能集成在硬件中,以較低 的代價就可

24、獲得比傳統(tǒng)路由器高得多的路由性能。 5.2.2 各子網(wǎng)設(shè)各子網(wǎng)設(shè) XX 市市財(cái)政局的各部門所形成的子網(wǎng)均以 100M 的上連帶寬分別和中心 交換機(jī)相連,到桌面采用 10/100M。各分支網(wǎng)采用交換式快速以太網(wǎng)技術(shù)。 .3 遠(yuǎn)程服務(wù) 為了滿足其他單位撥號訪問進(jìn)行辦公的需要,采用遠(yuǎn)程撥號把其他單位的計(jì)算機(jī)和財(cái) 政局計(jì)算機(jī)網(wǎng)絡(luò)通過公共電話網(wǎng)連起來,充分利用現(xiàn)代通信手段和網(wǎng)絡(luò)資源。群眾也可以通 過電話撥號訪問政府網(wǎng)站上公開的信息資源。 .4 與外部網(wǎng)絡(luò)的連接與外部網(wǎng)絡(luò)的連接 與國際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源,同時能將 XX 市 財(cái)政局介紹給世界。通過電信局提供的

25、 64K/128K 數(shù)據(jù)專線上連到 163,169 網(wǎng)。 .5 網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu) 根據(jù)以上分析,XX 市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)物理拓?fù)鋱D可以是: 5.35.3 外連方式外連方式 XX 市財(cái)政局網(wǎng)絡(luò)中心首先是 XX 市財(cái)政辦公網(wǎng)的大腦與心臟,承擔(dān)了 XX 市財(cái)政辦公網(wǎng) 的運(yùn)行、維護(hù)的重要責(zé)任,是一個較為集中的數(shù)據(jù)中心,和多種應(yīng)用的中央控制的監(jiān)測機(jī)構(gòu), 所以 XX 市財(cái)政局網(wǎng)絡(luò)中心的建設(shè)是整個網(wǎng)絡(luò)建設(shè)的關(guān)鍵。 網(wǎng)絡(luò)中心的地位和功能: 管理中心 控制中心 數(shù)據(jù)集中及備份中心 檢查及檢測中心 對外信息發(fā)布中心 為了更好地、更經(jīng)濟(jì)地利用 XX 市財(cái)政局網(wǎng)絡(luò)的資源,滿足各種類型節(jié)

26、點(diǎn)的具體需求,我 們初步比較以下幾種節(jié)點(diǎn)接入方式:電話撥號、ISDN、DDN、X.25、幀中繼。 防火墻 交換機(jī) 數(shù)據(jù)庫服務(wù)器 工作站工作站工作站 路由器 RAS訪問服務(wù)器 DDN Internet PSTN WEB服務(wù)器 路由器 路由器 交換機(jī)堆疊 交換機(jī) 工作站工作站工作站 備份服務(wù)器 工作站 工作站 工作站工作站工作站服務(wù)器 防火墻 防火墻 工作站工作站 .1 PSTN(PSTN(電話撥號電話撥號) ) 電話撥號接入是利用現(xiàn)有的電話線資源,通過公用電話網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的接入。公 用電話網(wǎng)在國內(nèi)覆蓋范圍最廣,應(yīng)用靈活 ,方便。 公眾通信網(wǎng)主要用于話音的 交換傳輸,通常電話線路

27、最高速率只有9600bps,但如果采用具有4 倍壓縮 率功能的Modem,可達(dá) 56Kbps。 和其它的接入方式相比,電話撥號雖然費(fèi)用最低,但 受到電話模擬線路本身技術(shù)的限制,其可提供的連接速率較低,且通信質(zhì)量容易受到影響,不 能提供高品質(zhì)的連接信道。 .2 ISDN(ISDN(綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)) ) 采用 ISDN 的優(yōu)勢可歸納為以下幾點(diǎn): 1) 技術(shù)成熟 ISDN 的技術(shù)在 80 年代就開始試驗(yàn)和使用,ISDN 的標(biāo)準(zhǔn)則在 1984 形成,在 1988 年趨于 穩(wěn)定。ISDN 的網(wǎng)絡(luò)產(chǎn)品和終端產(chǎn)品已 XX 市場上被廣泛地采用。終端產(chǎn)品價格逐年下降。 網(wǎng)絡(luò)運(yùn)營者也

28、積累了開放 ISDN 業(yè)務(wù)及應(yīng)用的豐富經(jīng)驗(yàn)。我國網(wǎng)上交換機(jī)設(shè)備經(jīng)過 3 年的技 術(shù)和測試工作,已基本具備了 ISDN 的能力。 2) 安裝簡單 安裝又可分為用戶把自己的終端設(shè)備連接到 ISDN 線上和局方為用戶安裝 ISDN 線兩個 方面。對于前者,ISDN 為用戶很好地解決了連接問題,它提供標(biāo)準(zhǔn)的用戶網(wǎng)絡(luò)接口。這一特 點(diǎn)是 ISDN 成功的關(guān)鍵所在。它以標(biāo)準(zhǔn)接口將各種類型的終端設(shè)備接入到 ISDN 網(wǎng)絡(luò)中。只 要用戶使用一對用戶線、一個 ISDN 號碼、一臺有 ISDN 標(biāo)準(zhǔn)接口的終端適配器(ISDN TA), 將現(xiàn)有的設(shè)備(包括模擬設(shè)備如:普通電話機(jī)、傳真機(jī)等) 連接到 ISDN TA 上

29、。這樣,用戶 就可以保留原有的模擬設(shè)備 XX 省投資。如果用戶已有了第二條電話線專為電腦上網(wǎng)使用, 也就是說終端設(shè)備只有電腦,那么就可以不必購買 ISDN 終端適配器(ISDN TA)了,只需插一 塊 ISDN PC 卡就可完成電腦與 ISDN 線的連接。 3) 方便易用 ISDN 線路可以一線多號,一線多連,兩個終端可以同時使用而互不干擾。比如:在一條 ISDN 電話線上可以用一個信道保持聲音通話,用另一條信道上網(wǎng)。而且由于它屬于普通電 話網(wǎng)的一部分,所以用戶既可以與 ISDN 用戶也可以與普通電話用戶通信。當(dāng)用戶在一條 ISDN 線上與普通電話用戶通信時仍按 XX 市話或長途標(biāo)準(zhǔn)收費(fèi)。 4

30、) 多媒體通信 ISDN 為用戶提供 64Kbit/s 的數(shù)字連接,使用戶可以傳遞語音、數(shù)據(jù)和圖像等多種媒體 的信息,并使各種應(yīng)用可以在這一平臺上得以開發(fā)和使用。例如:會議電視一般需要三個 2B+D,即 384kbp/s 就能得到令人滿意的會議電視效果。 5) 經(jīng)濟(jì)實(shí)惠 這可以表現(xiàn)在以下幾個方面:首先,它可以一線多用,做綜合業(yè)務(wù)的處理,減少投資；其 次,它可提高通信能力 35 倍 XX 省費(fèi)用,提高效率；第三,它可即時連接使用數(shù)字?jǐn)?shù)據(jù)線路,其 費(fèi)用遠(yuǎn)低于 DDN 專線。另外,ISDN 是一種需求式服務(wù),所以用戶使用它與普通電話一樣,只 在需要時發(fā)起呼叫,支付相應(yīng)使用時間的通話費(fèi),一旦連通,用戶

31、獲得的就是高速數(shù)字通信。 6) 具有數(shù)字化優(yōu)越性。 在傳輸速度方面,目前最快的模擬調(diào)制解調(diào)器也只不過是 56Kbps,而且這是一個理論值,實(shí) 際使用時至多只能達(dá)到 52Kbps,它還依賴于電話線的質(zhì)量。但在 ISDN 中僅 2BD 就可達(dá)到 64Kbps,若傳輸一個 1MB 未壓縮文件不到 1 分鐘就可傳輸完畢,比前者要快很多,顯然占有優(yōu) 勢。在通話建立方面,模擬 Modem 要協(xié)商電話線支持的帶寬(速率)需要 1030 秒或更長時 間,而 ISDN 無那種咕吱咕吱的雜音,幾秒鐘就連接好了。從傳輸質(zhì)量上講,ISDN 的數(shù)字傳輸 比模擬傳輸更不會受到靜電和噪音的影響,使數(shù)據(jù)通信中更少出現(xiàn)錯誤與重

32、傳現(xiàn)象。 .3 DDN(DDN(數(shù)字?jǐn)?shù)據(jù)網(wǎng)數(shù)字?jǐn)?shù)據(jù)網(wǎng)) ) DDN 即數(shù)字?jǐn)?shù)據(jù)網(wǎng),它是利用光纖數(shù)字傳輸通道和數(shù)字交叉復(fù)用節(jié)點(diǎn)組成的數(shù)字?jǐn)?shù)據(jù)傳 輸網(wǎng),可為用戶提供各種高速率、高質(zhì)量的數(shù)字專用電路,以滿足用戶組建中高速計(jì)算機(jī)通 信網(wǎng)的需要。 DDN 業(yè)務(wù)區(qū)別于傳統(tǒng)模擬電話專線的顯著特點(diǎn)是數(shù)字電路,傳輸質(zhì)量高、時延小,通信 速率可根據(jù)需要選擇。DDN 技術(shù)是利用數(shù)字信道提供永久或半永久電路,以傳輸數(shù)字信號為 主的數(shù)字通信網(wǎng)絡(luò)。其最具吸引力的優(yōu)點(diǎn)是傳輸時延短,支持語音、圖像等多媒體業(yè)務(wù),且 已經(jīng)在一些金融系統(tǒng)中得以廣泛使用,是一種較為成熟的技術(shù)。出于對未來視頻會議、辦公 自動化等多媒體

33、寬帶新業(yè)務(wù)的考慮,DDN 技術(shù)有著很強(qiáng)的生命力和發(fā)展前景。 傳統(tǒng)的網(wǎng)絡(luò)互連方式是通過租用點(diǎn)對點(diǎn)的 DDN 專線方式,一般速率為 64Kbps/128Kbps。 這就是所謂的 IP 的點(diǎn)對點(diǎn)互連。這種互連方式比較成熟,也是當(dāng)今 IP 網(wǎng)絡(luò)互連中廣泛采用 的方式。通過模擬專線(用戶環(huán)路)和 Modem 入網(wǎng),通信速率受用戶入網(wǎng)距離的限制,最高可 到 2.048Mbps,對光纖到戶的用戶,通信速率可靈活選擇。 但是,這種互連方式使得路由器必須將 IP 數(shù)據(jù)包從一個 IP 網(wǎng)絡(luò)向另外一個 IP 網(wǎng)絡(luò)轉(zhuǎn) 發(fā)。這樣就會帶來一些問題: 1) 對于組建大型的 IP 網(wǎng)絡(luò)來說,由于租用這種點(diǎn)對點(diǎn)的線路,使網(wǎng)絡(luò)方

34、案設(shè)計(jì)變得非 常復(fù)雜。為了將來網(wǎng)絡(luò)的可擴(kuò)展性,一般會考慮設(shè)計(jì)分層結(jié)構(gòu)的網(wǎng)絡(luò)體系(如網(wǎng)絡(luò)分為 骨干層及接入層等)。這樣就會需要大量的路由器設(shè)備來完成這一工作。路由設(shè)備的增 長,也不可避免地帶來資金、IP 地址分配、全網(wǎng)路由政策等等一系列問題。 2) 這種點(diǎn)到點(diǎn)的線路互連,完全依靠路由設(shè)備來完成各個節(jié)點(diǎn)的 IP 數(shù)據(jù)交換、傳遞。 從而目前基于 IP 層交換的路由設(shè)備的交換速率及吞吐率又成了全網(wǎng)信息流傳遞的瓶頸。 .4 X.25(X.25(公共分組數(shù)據(jù)交換網(wǎng)公共分組數(shù)據(jù)交換網(wǎng)) ) 公共分組數(shù)據(jù)交換網(wǎng) X.25 線路分組交換是為適應(yīng)計(jì)算機(jī)通信而發(fā)展起來的一種先進(jìn)通 信手段,它以 CC

35、ITT X.25 建議為基礎(chǔ),可以滿足不同速率,不同型號終端及計(jì)算機(jī)以及局域 網(wǎng)間的通信,實(shí)現(xiàn)數(shù)據(jù)庫資源共享。 分組交換網(wǎng)的突出優(yōu)點(diǎn)是可以在一條電路上同時開發(fā)多條虛電路,為多個用戶同時使用, 網(wǎng)絡(luò)具有動態(tài)路由功能和先進(jìn)的誤碼糾錯功能,網(wǎng)絡(luò)性能最佳。 CHINAPAC 提供交換型虛電路(SVC)和永久型虛電路(PVC)。SVC 使用靈活,每次可與不同 的用戶建立通信電路,通信費(fèi)用與通信量有關(guān),而與距離無關(guān)。PVC 類似于固定專線,不需每 次通信時臨時建立和釋放電路,適用于點(diǎn)對點(diǎn)固定連接的使用。此外,CHINAPAC 還提供許多 可選業(yè)務(wù),如閉合用戶群、反向計(jì)費(fèi)等。 .5 幀中繼幀

36、中繼 幀中繼是一種高性能的 WAN 協(xié)議,最初是作為綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)(ISDN)接口設(shè)計(jì)的,現(xiàn)在 它已被廣泛地用于多種網(wǎng)絡(luò)接口。幀中繼是 X.25 地簡化版本 XX 省略了 X.25 的一些強(qiáng)健功 能,如提供窗口化技術(shù)和數(shù)據(jù)重發(fā)功能,這是因?yàn)閹欣^工作在性能更好的 WAN 設(shè)備上。它 即具有分組交換網(wǎng)的突出優(yōu)點(diǎn):在一條物理電路上同時開發(fā)多條虛電路,為各個用戶同時使 用,又能提供較高的網(wǎng)絡(luò)帶寬,(56K2M),支持 LAN 網(wǎng)之間使用的多種協(xié)議。 這種互連方式的優(yōu)勢在于: 1) 在網(wǎng)絡(luò)互聯(lián)中,路由器的數(shù)目大大減少。對網(wǎng)絡(luò)組網(wǎng)的設(shè)計(jì)要求也大大簡化。 2) 以幀中繼交換機(jī)代替路由器的交換功能,使網(wǎng)絡(luò)信

37、息處理傳輸速率非常快,適應(yīng)于當(dāng) 前局域網(wǎng)高速互連的需求。 3) 由于幀中繼網(wǎng)絡(luò)中大都采用光纖作為傳輸媒體,傳輸誤碼率非常低,一般為 10-8。 幀中繼的無差錯控制機(jī)制完全可以提供可靠的端到端的傳輸。 如今,世界上 50以上的幀中繼業(yè)務(wù)是在信元中繼ATM 網(wǎng)絡(luò)上傳輸?shù)?這主要是由 于信元交換設(shè)備具有良好的協(xié)調(diào)性和高效性。盡管除了傳輸其它類型的通信如話音和視頻 外再也沒有其它的優(yōu)點(diǎn),作為一種接口,幀中繼還是最適合于數(shù)據(jù)協(xié)議的傳輸。而且?guī)欣^ 結(jié)構(gòu)非常簡單,這使得它很有吸引力。幀中繼很適宜于數(shù)據(jù)通信,因?yàn)橥瑫r分多路和租用線 路傳輸相比,幀中繼更有效地利用了帶寬。幀中繼能通過單一物理信道維持多個虛擬網(wǎng)

38、絡(luò), 從而使各種同等重要的通信獨(dú)立通過互聯(lián)網(wǎng)絡(luò)。這種平行信息流的結(jié)構(gòu)與 ATM 虛擬網(wǎng)絡(luò)的 結(jié)構(gòu)非常一致,而且容易連接。因此,幀中繼既能滿足當(dāng)前的連接要求,又可成為向未來高速 網(wǎng)絡(luò)過渡的橋梁。 5.45.4 網(wǎng)絡(luò)設(shè)備選擇網(wǎng)絡(luò)設(shè)備選擇 .1 交換機(jī)交換機(jī) 目前生產(chǎn)交換機(jī)的廠商比較多,著名的有 Intel、3COM、Cisco、Bay 等。而 3COM 又是交 XX 市場的領(lǐng)袖。經(jīng)過分析比較,我們 XX 公司的 SuperStack II 3300 交換機(jī)。采用四臺 3300 交換機(jī)通過高速矩陣模塊堆疊起來。 SuperStackII 3300 的主要優(yōu)點(diǎn) 基于 Web 的管理 -

39、 利用網(wǎng)絡(luò)上任何節(jié)點(diǎn)的任何 Web 瀏覽器來進(jìn)行簡單的設(shè)備管理,但仍然保 有全部的安全性。 支持 RMON(遠(yuǎn)程監(jiān)控) - RMON 可對所有的交換機(jī)端口提前進(jìn)行用戶友好型的管理。集成的 RMON 能 力支持所有 9 類 RMON 能力。 漫游分析端口(RAP) - 可以把疊堆中任一端口的信息流映射到其它的任一端口,進(jìn)而直接連至網(wǎng) 絡(luò)分析器。 支持 802.1p - 這是針對多媒體應(yīng)用而新制定的信息流等級制傳輸標(biāo)準(zhǔn)。 擁堵控制:IFM(智能流控制)和 802.3x - 丟失數(shù)據(jù)包是 LAN 降低速度的最重要起因,基于流控制的 IFM 和 802.3x 標(biāo) 準(zhǔn)可確保任何數(shù)據(jù)包都不會丟失。 支持

40、802.1Q - 這是為了形成 VLAN 而制定的新標(biāo)準(zhǔn)。 IGMP 探測 - 交換機(jī)對多址聯(lián)播信息流進(jìn)行監(jiān)視,并自動調(diào)整交換機(jī)的配置,以減輕網(wǎng)絡(luò) 上的多址聯(lián)播信息流負(fù)擔(dān),從而加大網(wǎng)絡(luò)的總流量。 支持 Fast IP - 兼有路由控制和線速交換性能的雙重優(yōu)點(diǎn)。 5.4.2 路由器 XX 公司的路由器已經(jīng)相當(dāng)于業(yè)界默認(rèn)的標(biāo)準(zhǔn),并且 Cisco 路 由器的高性能在業(yè)界中也是首屈一指的。我們選 XX 公司的 2621 路由器和 2610 路由器,并且給其配備了 IOS 防火墻。 Cisco 2600 模塊化多服務(wù)路由器為分支機(jī)構(gòu)提供通用性、集成和功能。通 過 50 多個網(wǎng)絡(luò)模塊和接口,Cisco 2

41、600 系列的模塊化體系結(jié)構(gòu)允許輕易地升級 接口來適應(yīng)網(wǎng)絡(luò)擴(kuò)展。Cisco 2600 系列是 Cisco 數(shù)據(jù)/語音/視頻集成方案的 一個關(guān)鍵成員,提供業(yè)界最廣泛的基于 IP 和幀中繼的端到端分組電話解決方案。 Cisco 2600 系列為網(wǎng)絡(luò)管理員和服務(wù)供應(yīng)商提供一個經(jīng)濟(jì)有效的解決方案 來滿足目前的分支機(jī)構(gòu)需求,例如: 帶有防火墻安全的 Internet/Intranet 訪問 多服務(wù)語音/數(shù)據(jù)集成 模擬和數(shù)字撥號訪問服務(wù) 虛擬專網(wǎng)(VPN)訪問 VLAN 間路由 帶有帶寬管理的路由 .3 遠(yuǎn)程訪問服務(wù)器遠(yuǎn)程訪問服務(wù)器 在傳統(tǒng)的做法中,實(shí)現(xiàn)遠(yuǎn)程訪問的方法都是以路由器加載遠(yuǎn)程訪

42、問模塊來實(shí) 現(xiàn)的。這種方式在安裝、調(diào)試以及維護(hù)上都是很復(fù)雜的,并且由于采用了路由器,投 資成本比較高。在本系統(tǒng)中,我們采用專用的遠(yuǎn)程訪問服務(wù)器 3COM RAS1500。 專用遠(yuǎn)程訪問服務(wù)器提供的專業(yè)的遠(yuǎn)程訪問服務(wù),具有很高的性價比。 SuperStack II Remote Access System 1500 為中小型企業(yè)和 Internet 服 務(wù)提供商提供全面的遠(yuǎn)程訪問服務(wù)。 主要優(yōu)勢: - 在一個平臺中集成了非常廣泛的功能。以較低的設(shè)備開支,提供了撥 入/撥出訪問、采用撥號或幀中繼和專線 PPP 連接的局域網(wǎng)間路由選擇功能,在 Transcend Network Supervisor

43、 (TNS)的支持下,將 RAS 1500 集成到 3Com 的所 有網(wǎng)絡(luò)管理應(yīng)用程序中,而您的遠(yuǎn)程訪問設(shè)備則像您的 LAN 設(shè)備一樣由同樣的應(yīng) 用程序進(jìn)行管理。 - 易于安裝。基于 HTML 瀏覽器的安裝向?qū)?、圖形用戶界面(GUI)和文檔 瀏覽。 - 先進(jìn)、易于操作。NAT/PAT 地址轉(zhuǎn)換功能提供低成本高效率的共享 ISP 訪問。DHCP 服務(wù)器、中繼和代理功能為本地和遠(yuǎn)程用戶提供了簡捷的 LAN 訪問方式。 - 訪問方式安全。包括本地驗(yàn)證,并可與 RADIUS、 Windows NT 或 NetWare NOS 服務(wù)器配合實(shí)現(xiàn)遠(yuǎn)程驗(yàn)證功能。 - I/O 單元模塊化。模塊化單元,便于 I/

44、O 卡的添加和擴(kuò)展以及 PRI 訪問 單元的熱插拔。 - Univerrsal ConnectTM 技術(shù)。通過同一基本速率的 ISDN 連接,提供 了業(yè)界領(lǐng)先的模擬連接方式(速率可高達(dá) V.90)和 ISDN 撥入訪問方式。 - 可伸縮性。將 ISDN 和模擬連接方式集于一身,端口范圍為至 24 端 口,可以隨著您的需要進(jìn)行擴(kuò)展。 -采用 NAT/PAT,多個基于 LAN 而有各自的 IP 地址的用戶可以通過單獨(dú)的 公用地址(PAT)訪問 Internet 或公用 LAN,或者,眾多用戶可以共用一個小型共 用子網(wǎng)(NAT)。NAT/PAT 將這些專用的 IP 地址翻譯到一個單獨(dú)的公共地址或翻

45、譯到 Internet 服務(wù)供應(yīng)商認(rèn)可的公共子網(wǎng)。這一功能 XX 公司的操作費(fèi)用并簡 化其 Internet 訪問。 - 對遠(yuǎn)程用戶和基于 LAN 的用戶來說,RAS 1500 都是作為中央 DHCP 服務(wù) 器工作的。此外,它還能代理或轉(zhuǎn)播對其他中央服務(wù)器的 IP 地址請求。這 種特性簡化了網(wǎng)絡(luò)管理,并增強(qiáng)了遠(yuǎn)程用戶和本地用戶的移動性。 - 除了固定和漫游回叫之外,RAS 1500 還增加了更多的安全性和降 低遠(yuǎn)程話費(fèi)的選擇功能。 來話 ISDN 呼叫(BRI 和 PRI)可通過 D 信道顯現(xiàn)的主叫 方 ID 信息予以屏蔽。如果識別出主叫方,則其呼叫就會下線并自動重新?lián)芴?這 樣就可以確保適當(dāng)

46、的地址收到回叫 XX 公司不對來自遠(yuǎn)程地址的始發(fā)呼叫收取費(fèi) 用(此種特性在與 OfficeConnect ISDN LAN 調(diào)制解調(diào)器等產(chǎn)品的路由器到路由 器連接方式中使用)。 .4 服務(wù)器服務(wù)器 在服務(wù)器方面我們選擇了國際著名 XX 公司的系列服務(wù)器。主服務(wù)器選用 DELL PowerEdge6400,備份服務(wù)器選用 DELL PowerEdge6400,WEB 服務(wù)器選用 DELL PowerEdge2400。 PowerEdge6400 經(jīng)過精心設(shè)計(jì),提供了強(qiáng)勁的服務(wù)器可用性和操作性能,并 且最大限度地減少了系統(tǒng)的停機(jī)時間。與以前的戴爾四處理器平臺相比,其操作 性能更強(qiáng)大

47、,可用性與可維修性也更高。PowerEdge 6400 支持多達(dá)四個最新的 英特爾 奔騰 III 至強(qiáng)處理器、8GB ECC SDRAM、66MHz PCI 插槽以及容量 高達(dá) 252 GB 的硬盤驅(qū)動器。 PowerEdge 4400 在高性能與企業(yè)級可用性方面特別突出,其設(shè)計(jì)有助于進(jìn) 一步提高部門的工作效率。通過支持兩個英特爾 奔騰 III Xeon處理器、 133MHz 前側(cè)總線、多達(dá) 4GB 的內(nèi)存和嵌入式 NIC、雙通道 Ultra3 (Ultra160) SCSI 控制器以及可選的 RAID 控制器,PowerEdge 4400 可以幫助您快速有效地 分發(fā)用戶所需的重要數(shù)據(jù)。 Po

48、werEdge 2400 服務(wù)器使工作組級應(yīng)用具有部門級計(jì)算能力。PowerEdge 2400 這種極具力量的系統(tǒng)可采用雙處理器、133MHz 的前端數(shù)據(jù)總線、64 位 PCI 插槽以及 180G 可熱插拔的硬盤存儲容量。支持熱插拔電源是這種重新定義工作 組級應(yīng)用范圍的高性能系統(tǒng)一種額外的功能。 5.55.5 系統(tǒng)平臺系統(tǒng)平臺 當(dāng)前主流的應(yīng)用平臺主要是 SUN(Solaris),PC(Windows)或 PC(Linux)的結(jié)構(gòu): SUN(Solaris)是一種比較安全和穩(wěn)健的網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu),但價格較為昂貴,對管理 人員的技術(shù)要求比較高。 PC(Windows2000):Windows2000

49、 是 MicXX 公司在 PC 上發(fā)展起來的 32 位操作系統(tǒng)。 基于 Client/Server 體系結(jié)構(gòu)的多線程的操作系統(tǒng),支持虛擬內(nèi)存。管理簡單方便,價 格適中,具有 C2 級安全性。系統(tǒng)開銷合理,運(yùn)行效率較高。 PC(Linux):價格最為便宜,但安全性沒有經(jīng)過認(rèn)證,另外無生產(chǎn)廠家提供可靠的技 術(shù)支持,出現(xiàn)問題時沒有保障。 從近期的發(fā)展方向來看,MicXX 公司正在提供源源不斷的 2000 系列產(chǎn)品支持保證一個 Intranet 方案,如 Office2000、SQL Server2000、Exchange2000 等。在這個方案中,從操 作系統(tǒng)層次就具備支持 Internet/Int

50、ranet 的基本特性,以 Microsoft 2000 系列產(chǎn)品族表 現(xiàn)了極強(qiáng)的整合能力。Microsoft 的解決方案更具有靈活性、系列性和可持續(xù)性,各種組件 之間的聯(lián)系非常緊密,效率也自然提高。因此選擇 Microsoft 的從操作系統(tǒng)開始的 Intranet 解決方案具備可比的優(yōu)勢。 在 XX 市財(cái)政局辦公網(wǎng)的方案中,我們將主要采用 MicXX 公司在 PC(Windows2000)上的 解決方案,在一些涉及應(yīng)用安全性和伸縮性敏感的部件上,可以選擇更有效的產(chǎn)品作為 Microsoft 產(chǎn)品的替代。 6 6 、技術(shù)重點(diǎn)與難點(diǎn)、技術(shù)重點(diǎn)與難點(diǎn) 6.16.1 子網(wǎng)劃分與地址規(guī)劃子網(wǎng)劃分與地址

51、規(guī)劃 在一個平面網(wǎng)絡(luò)中存在大量廣播信息,將一個大的網(wǎng)絡(luò)劃分為小的子網(wǎng),是為了縮小廣 播域,防止廣播風(fēng)暴,將廣播信息限制在必須廣播的范圍內(nèi),而過濾掉不必要的廣播信息。 子網(wǎng)劃分的工作一般由路由器來完成。子網(wǎng)之間的通信也需要路由尋址。 6.26.2 虛擬局域網(wǎng)的劃分虛擬局域網(wǎng)的劃分 局域網(wǎng)設(shè)備工作在 OSI 七層模型的第二層,傳統(tǒng)的局域網(wǎng)設(shè)備連接的網(wǎng)絡(luò)是單個廣播域。 局域網(wǎng)交換機(jī)雖然能根據(jù) MAC 地址進(jìn)行數(shù)據(jù)包的交換,但它會將任何廣播信息廣播到全部網(wǎng) 絡(luò)。 新的局域網(wǎng)交換機(jī)可以將網(wǎng)絡(luò)劃分為多個廣播域,即 VLAN。但它不能在兩個 VLAN 之間 傳送信息。VLAN 之間的通信仍然需要路由尋址,也

52、就是仍然需要路由器。有時也將路由尋 址的功能做到交換機(jī)內(nèi),即所謂三層交換。 6.36.3 增強(qiáng)增強(qiáng) IPIP 組播組播(IP(IP Multicast)Multicast)能力能力 組播也稱多點(diǎn)播放,是一種有選擇的將信息播送到需要它的其它節(jié)點(diǎn)的點(diǎn)對多點(diǎn)的通信 方式。與另一種點(diǎn)到多點(diǎn)的廣播方式相比,采用組播技術(shù)可以節(jié)約寶貴的網(wǎng)絡(luò)資源,大大降 低廣播風(fēng)暴。各級網(wǎng)絡(luò)設(shè)備必須具備對 IP 組播的支持,我們?yōu)楦骷壨扑]的交換機(jī)設(shè)備均具 備這一能力。 7 7 、安全性、安全性 安全是在網(wǎng)絡(luò)建設(shè)中需要認(rèn)真分析、綜合考慮的關(guān)鍵問題。下面我們將從 5 個方面來討論保障網(wǎng)絡(luò)安全的若干措施。 7 7. .1 1 網(wǎng)網(wǎng)

53、絡(luò)絡(luò)設(shè)設(shè)計(jì)計(jì) 在內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)的可靠性和性能,而如何確保網(wǎng)絡(luò)安全 也是一個不容忽視的問題。 采用網(wǎng)段分離技術(shù),把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段,由 于各網(wǎng)段間不能直接互訪,從而減少各系統(tǒng)被正面攻擊的機(jī)會。以前,網(wǎng)段分離 是物理概念,組網(wǎng)單位要為各網(wǎng)段單獨(dú)購置集線器等網(wǎng)絡(luò)設(shè)備。現(xiàn)在有了虛擬網(wǎng) 技術(shù),網(wǎng)段分離成為邏輯概念,網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)控制臺上對網(wǎng)段做任意劃 分。 另外,在安全方面有一個最基本的原則:系統(tǒng)的安全性與它被暴露的程度成 反比。因此,建議將對外信息發(fā)布的服務(wù)器與內(nèi)部應(yīng)用服務(wù)器隔離,由于將數(shù)據(jù) 庫和內(nèi)部應(yīng)用系統(tǒng)封閉在系統(tǒng)內(nèi)部,增加了系統(tǒng)的安全性。 7

54、7. .2 2 應(yīng)應(yīng)用用軟軟件件 在網(wǎng)上運(yùn)行的網(wǎng)絡(luò)軟件需要通過網(wǎng)絡(luò)收發(fā)數(shù)據(jù),要確保安全就必須采用一些 安全保障方式。 7.2.1 用戶口令加密存儲和傳輸: 目前,絕大多數(shù)應(yīng)用仍采用口令來確保安全,口令需要通過網(wǎng)絡(luò)傳輸,并且作 為數(shù)據(jù)存儲在計(jì)算機(jī)硬盤中。如果用戶口令仍以原碼的形式存儲和傳輸,一旦被 讀取或竊聽,入侵者將能以合法的身份進(jìn)行非法操作,絕大多數(shù)的安全防范措施 將會失效。 7.2.2 分設(shè)操作員 分設(shè)操作員的方式在許多單機(jī)系統(tǒng)中早已使用。在網(wǎng)絡(luò)系統(tǒng)中,應(yīng)增加管理 員、一般使用員等多種操作員類型,以便對用戶的網(wǎng)絡(luò)行為進(jìn)行限制。 7.2.3 日志記錄和分析 完整的日志不僅要包括用戶的各項(xiàng)操作

55、,而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接收的正 確性、有效性及合法性的檢查結(jié)果,為日后網(wǎng)絡(luò)安全分析提供依據(jù)。對日志的分 析還可用于預(yù)防入侵,提高網(wǎng)絡(luò)安全。例如,如果分析結(jié)果表明某用戶某日失敗 注冊次數(shù)高達(dá) 20 次,就可能是入侵者正在嘗試該用戶的口令。 7 7. .3 3 網(wǎng)網(wǎng)絡(luò)絡(luò)配配置置 網(wǎng)段分離等安全措施要想起作用,還需要由網(wǎng)絡(luò)配置來具體實(shí)施和保證,如 用于實(shí)現(xiàn)網(wǎng)段分離的虛網(wǎng)配置。為進(jìn)一步保證系統(tǒng)安全,還要在網(wǎng)絡(luò)配置中對防 火墻和路由等方面做特殊考慮。 7.3.1 路由 為了避免入侵者侵入內(nèi)部資源,應(yīng)仔細(xì)進(jìn)行路由配置。路由技術(shù)雖然能阻止 對內(nèi)部網(wǎng)段的訪問,但不能約束外界公開網(wǎng)段的訪問。為了確保信息發(fā)布服

56、務(wù)器 的安全運(yùn)轉(zhuǎn),避免讓入侵者借助公開網(wǎng)段對內(nèi)部網(wǎng)構(gòu)成威脅,我們有必要使用防 火墻技術(shù)對此進(jìn)行限定。 7.3.2 防火墻防火墻 XX 公司公司的路由器通常都具有過濾型防火墻功能。這一功能通俗 地說就是由路由器過濾掉非正常 IP 包,把大量的非法訪問隔離在路由器之外。 過濾的主要依據(jù)在源、目的 IP 地址和網(wǎng)絡(luò)訪問所使用的 TCP 或 UDP 端口號。幾 乎所有的應(yīng)用都有其固定的 TCP 或 UDP 端口號,通過對端口號的限制,可以限定 網(wǎng)絡(luò)中運(yùn)行的應(yīng)用。 同時我們通過增加路由器中地 IOS 擴(kuò)展模塊 Cisco IOS 防火墻,來加強(qiáng)安全 防護(hù)能力。Cisco IOS 防火墻是可用于廣泛 Ci

57、sco 路由器和交換機(jī)的 Cisco IOS 軟件的一個擴(kuò)展模塊。它提供先進(jìn)的防火墻功能以及入侵檢測和認(rèn)證等安 全技術(shù)。它通過最新的安全特性例如靜態(tài)、基于應(yīng)用的過濾(基于上下文的訪問 控制),網(wǎng)絡(luò)攻擊防御,事先用戶鑒別和授權(quán),及實(shí)時報(bào)警增強(qiáng)了現(xiàn)有的 Cisco IOS 安全功能,例如鑒別、加密和故障恢復(fù)。 7 7. .4 4 系系統(tǒng)統(tǒng)配配置置 這里的系統(tǒng)配置是主機(jī)的安全配置和數(shù)據(jù)庫的安全配置。據(jù)調(diào)查表明,85 的計(jì)算機(jī)犯罪是內(nèi)部作案,因此這兩方面的安全配置也相當(dāng)重要。在主機(jī)的安全 配置方面,應(yīng)主要考慮普通用戶的安全管理、系統(tǒng)管理員的安全管理及通信與網(wǎng) 絡(luò)的安全管理。 7.4.1 網(wǎng)絡(luò)服務(wù)程序

58、任何非法的入侵最終都需要通過被入侵主機(jī)上的服務(wù)程序來實(shí)現(xiàn),如果關(guān)閉 被入侵主機(jī)上的這些程序,入侵必然無效。因此,這也是保證主機(jī)安全的一個相 當(dāng)徹底的措施。當(dāng)然,我們不能關(guān)閉所有的服務(wù)程序,可以只關(guān)閉其中沒有必要 運(yùn)行的部分。 7.4.2 數(shù)據(jù)庫安全配置 在數(shù)據(jù)庫安全配置方面,應(yīng)主要注意以下幾點(diǎn): 選擇口令加密傳輸?shù)臄?shù)據(jù)庫。 避免直接使用超級用戶,超級用戶的行為不受數(shù)據(jù)庫管理系統(tǒng)的 任何約束,一旦它的口令泄露,數(shù)據(jù)庫就毫無安全可言。 一般情況下,不要直接對外界暴露數(shù)據(jù)庫,數(shù)據(jù)收發(fā)最好以存儲過 程的方式提供,并以最低的權(quán)限運(yùn)行。 7 7. .5 5 通通信信軟軟件件 應(yīng)用程序要發(fā)送數(shù)據(jù)時,先發(fā)往本

59、地通信服務(wù)器,再由它發(fā)往目的通信服務(wù) 器,最后由目的應(yīng)用主動向目的通信服務(wù)器查詢、接收。 通信服務(wù)器上的通信軟件除了能在業(yè)務(wù)中不重、不錯、不漏地轉(zhuǎn)發(fā)業(yè)務(wù)數(shù) 據(jù)外,還應(yīng)在安全方面具有以下特點(diǎn): 在本地應(yīng)用與本地通信服務(wù)器間提供口令保護(hù)。應(yīng)用向本地通信 服務(wù)器發(fā)送數(shù)據(jù)或查詢、接收數(shù)據(jù)時要提供口令,由通信服務(wù)器判別 IP 地址及其對應(yīng)口令的有效性。 在通信服務(wù)器之間傳輸密文時,可以采用 SSL 加密方式。如果在 此基礎(chǔ)上更再增加簽名技術(shù),則更能提高通信的安全性。 在通信服務(wù)器之間也提供了口令保護(hù)。接收方在接收數(shù)據(jù)時,要 驗(yàn)證發(fā)送方的 IP 地址和口令,當(dāng)出現(xiàn) IP 地址無效或口令錯時,拒絕進(jìn) 行數(shù)據(jù)接收。 提供完整的日志記錄和分析。日志對通信服務(wù)器的所有行為進(jìn)行 記錄,日志分析將對其中各種行為和錯誤的頻度進(jìn)行統(tǒng)計(jì)。 綜上所述,網(wǎng)絡(luò)安全問題是一個系統(tǒng)性、綜合性的問題。我們在進(jìn)行網(wǎng)絡(luò)建 設(shè)時不能將它孤立考慮,只有層層設(shè)防,這個問題才能得到有效的解決。我們還 應(yīng)看到,像其他技術(shù)一樣,入侵者的手段也在不斷提高。在安全防范方面沒有一 個一勞永逸的措施,只有通過不斷地改進(jìn)和完善安全手段,才能保證不出現(xiàn)漏洞, 保證網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。 8 8 、維護(hù)、維護(hù) XX 市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)完成后,將交付 XX 市財(cái)政局一份辦公網(wǎng)絡(luò)管 理手冊。根據(jù)要求可隨時通過網(wǎng)絡(luò)遠(yuǎn)程對辦公網(wǎng)進(jìn)行維護(hù)。 項(xiàng)目完成后的一年內(nèi)免