財(cái)政局網(wǎng)絡(luò)系統(tǒng)方案文獻(xiàn)

1、XX財(cái)政局網(wǎng)絡(luò)系統(tǒng)方案更改記錄更改日期更改說明更改標(biāo)志2001年4月16日第一版無術(shù)語和縮寫為了方便閱讀，特將文中提及的術(shù)語及縮寫列示如下:術(shù)語或縮寫解釋百兆以太網(wǎng)、Fast Ethernet百兆快速以太網(wǎng):桂林財(cái)政局、市財(cái)政局、財(cái)政局桂林市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)、財(cái)政局網(wǎng)絡(luò)、財(cái)政局網(wǎng) 絡(luò)系統(tǒng)、財(cái)政局辦公網(wǎng)桂林市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)怡海公司、桂林怡海、怡海實(shí)業(yè)、怡 海科技、怡海軟港怡海實(shí)業(yè)發(fā)展有限公司 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document 、前言 6 HYPERLINK l bookmark6 o Current Documen

2、t 、系統(tǒng)概述與需求 7 HYPERLINK l bookmark8 o Current Document 系統(tǒng)建設(shè)的必要性 7 HYPERLINK l bookmark10 o Current Document 系統(tǒng)建設(shè)概況 7 HYPERLINK l bookmark12 o Current Document 總體需求 7 HYPERLINK l bookmark38 o Current Document 建網(wǎng)目的 8 HYPERLINK l bookmark46 o Current Document 、局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述 9 HYPERLINK l bookmark48 o C

3、urrent Document 網(wǎng)絡(luò)技術(shù)選擇 10 HYPERLINK l bookmark50 o Current Document 網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu) 10 HYPERLINK l bookmark52 o Current Document 虛擬專用網(wǎng)絡(luò)（VPN） 11 HYPERLINK l bookmark54 o Current Document 路由功能 11 HYPERLINK l bookmark56 o Current Document 容錯(cuò)功能 11 HYPERLINK l bookmark58 o Current Document 網(wǎng)絡(luò)管理 11 HYPERLINK l

4、bookmark60 o Current Document 、網(wǎng)絡(luò)方案概述 12 HYPERLINK l bookmark62 o Current Document 網(wǎng)絡(luò)設(shè)計(jì)思想 12網(wǎng)絡(luò)邏輯結(jié)構(gòu) 14 HYPERLINK l bookmark64 o Current Document 、網(wǎng)絡(luò)實(shí)現(xiàn) 15 HYPERLINK l bookmark66 o Current Document 系統(tǒng)需求 15網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù) 15主干網(wǎng) 15 HYPERLINK l bookmark71 o Current Document 各子網(wǎng)設(shè)計(jì) 16 HYPERLINK l bookmark73 o Curren

5、t Document 遠(yuǎn)程服務(wù) 16 HYPERLINK l bookmark75 o Current Document 與外部網(wǎng)絡(luò)的連接 16 HYPERLINK l bookmark81 o Current Document 網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu) 17 HYPERLINK l bookmark83 o Current Document 外連方式 17 HYPERLINK l bookmark85 o Current Document PSTN（電話撥號） 18 HYPERLINK l bookmark87 o Current Document ISDN（ 綜合業(yè)務(wù)數(shù)據(jù)網(wǎng) ） 18 HYPERL

6、INK l bookmark89 o Current Document DDN（數(shù)字?jǐn)?shù)據(jù)網(wǎng)） 20 HYPERLINK l bookmark91 o Current Document X.25（ 公共分組數(shù)據(jù)交換網(wǎng) ） 21 HYPERLINK l bookmark93 o Current Document 幀中繼 22網(wǎng)絡(luò)設(shè)備選擇 23交換機(jī) 23 HYPERLINK l bookmark98 o Current Document 路由器 24 HYPERLINK l bookmark100 o Current Document 遠(yuǎn)程訪問服務(wù)器 24 HYPERLINK l bookmark

7、102 o Current Document 服務(wù)器 26 HYPERLINK l bookmark104 o Current Document 系統(tǒng)平臺 26 HYPERLINK l bookmark106 o Current Document 、技術(shù)重點(diǎn)與難點(diǎn) 27 HYPERLINK l bookmark108 o Current Document 子網(wǎng)劃分與地址規(guī)劃 27 HYPERLINK l bookmark110 o Current Document 虛擬局域網(wǎng)的劃分 27 HYPERLINK l bookmark112 o Current Document 增強(qiáng) IP 組播(I

8、P MULTICAST)能力 28 HYPERLINK l bookmark114 o Current Document 、安全性 28 HYPERLINK l bookmark116 o Current Document 網(wǎng)絡(luò)設(shè)計(jì) 28 HYPERLINK l bookmark118 o Current Document 應(yīng)用軟件 29 HYPERLINK l bookmark120 o Current Document 用戶口令加密存儲和傳輸： 29 HYPERLINK l bookmark122 o Current Document 分設(shè)操作員 29 HYPERLINK l bookma

9、rk124 o Current Document 日志記錄和分析 30 HYPERLINK l bookmark126 o Current Document 網(wǎng)絡(luò)配置 30 HYPERLINK l bookmark128 o Current Document 路由 30 HYPERLINK l bookmark130 o Current Document 防火墻 30 HYPERLINK l bookmark132 o Current Document 系統(tǒng)配置 31 HYPERLINK l bookmark134 o Current Document 網(wǎng)絡(luò)服務(wù)程序 31 HYPERLINK

10、l bookmark136 o Current Document 數(shù)據(jù)庫安全配置 31 HYPERLINK l bookmark138 o Current Document 通信軟件 32 HYPERLINK l bookmark140 o Current Document 、維護(hù) 33 HYPERLINK l bookmark142 o Current Document 系統(tǒng)維護(hù) 33支持與服務(wù) 34支持和服務(wù)范圍 34 HYPERLINK l bookmark147 o Current Document 支持和服務(wù)內(nèi)容 34、人員培訓(xùn) 38 HYPERLINK l bookmark159

11、o Current Document . 系統(tǒng)報(bào)價(jià) 39 HYPERLINK l bookmark161 o Current Document 附錄：怡海實(shí)業(yè)發(fā)展有限公司介紹 40怡海公司簡介 40公司業(yè)務(wù)機(jī)構(gòu) 41公司技術(shù)人力資源及培訓(xùn)計(jì)劃 42售后服務(wù)支持 43 HYPERLINK l bookmark163 o Current Document 公司部分典型計(jì)算機(jī)軟件及網(wǎng)絡(luò)工程清單 43、前 言信息化正對人類社會發(fā)展產(chǎn)生越來越巨大而深遠(yuǎn)的影響 , 網(wǎng)絡(luò)正逐步深入到社會生活的各個(gè)方面。 政府部門承擔(dān)著社會經(jīng)濟(jì)管理職能, 政府部門信息化是社會信息化的重要基礎(chǔ)。實(shí)施 政府上網(wǎng)工程 旨在推動(dòng)各級

12、政府部門為社會服務(wù)的公眾信息資源匯集和應(yīng)用上網(wǎng) , 實(shí)現(xiàn)信息資源共享, 這對于全面推進(jìn)國民經(jīng)濟(jì)信息化具有重要意義。目前 , 隨著我國金橋信息網(wǎng)業(yè)務(wù)的順利開展, 國家經(jīng)貿(mào)委、廣電部、水利部、交通部、林業(yè)部等政府部門都已上網(wǎng) , 同時(shí)省級政府部門也將先后在網(wǎng)上建立自己的網(wǎng)站提供信息。 隨著電子商務(wù)的發(fā)展, 更加需要電子政府的出現(xiàn), 實(shí)現(xiàn)網(wǎng)上交互式信息交流和電子命令的傳遞。在政府機(jī)構(gòu)辦公及管理信息化進(jìn)程中，政府機(jī)構(gòu)如何發(fā)揮自身作用，怎樣利用Internet/Intranet 技術(shù)帶來的機(jī)遇和挑戰(zhàn)，來提高工作效率和管理科學(xué)水平，是亟待解決 的問題。這兩年來，桂林市財(cái)政局的科室微機(jī)大部分職能還是報(bào)表處理

13、、單機(jī)作業(yè)為主。市財(cái)政局與區(qū)財(cái)政廳、 市財(cái)政局與下屬機(jī)構(gòu)的通信也是簡單地文件傳送， 甚至還停留在手工報(bào)表，人工遞送階段，顯然越來越不能滿足現(xiàn)代化管理的需要。、系統(tǒng)概述與需求系統(tǒng)建設(shè)的必要性建設(shè)財(cái)政局綜合信息網(wǎng)絡(luò)目的：一是進(jìn)一步加快全局各機(jī)構(gòu)辦公自動(dòng)化的進(jìn)程， 實(shí)現(xiàn)政府職能的網(wǎng)絡(luò)化， 提高各級領(lǐng)導(dǎo)的決策水平；二是推動(dòng)工作體制和工作方式的改革，打破部門之間各自為政的局面，通過信息暢通，保證政令統(tǒng)一，提高辦事效率；三是通過網(wǎng)絡(luò)加強(qiáng)財(cái)政局與廣大市民的聯(lián)系，聽取群眾的意見和心聲；四是通過財(cái)政局上網(wǎng)， 挖掘市財(cái)政局擁有的豐富的信息資源， 為全市企、 事業(yè)單位服務(wù)，促進(jìn)信息資源的應(yīng)用，促進(jìn)我市經(jīng)濟(jì)發(fā)展和社會

14、進(jìn)步；五是通過政府工作網(wǎng)絡(luò)化， 樹立財(cái)政局局現(xiàn)代化形象， 推動(dòng)全局信息化工作的開展和信息產(chǎn)業(yè)的發(fā)展。系統(tǒng)建設(shè)概況建成市財(cái)政局辦公自動(dòng)化骨干網(wǎng)。建成財(cái)政局網(wǎng)站接入國際互連網(wǎng)總體需求建立一個(gè)全局的信息管理和應(yīng)用的網(wǎng)絡(luò)系統(tǒng)，建立醫(yī)院內(nèi)部的 Intranet ，并提供相應(yīng)的各種服務(wù)。能夠有序地共享網(wǎng)絡(luò)上的各種軟、硬件資源，各種信息能夠在網(wǎng)絡(luò)上快速、穩(wěn)定地傳輸，并提供有效的網(wǎng)絡(luò)信息管理手段。整個(gè)系統(tǒng)采用開放式、標(biāo)準(zhǔn)化的結(jié)構(gòu)，以利于功能擴(kuò)充和技術(shù)升級。能夠與外界進(jìn)行廣域網(wǎng)的連接，提供、享用各種信息服務(wù)。具有完善的網(wǎng)絡(luò)安全機(jī)制。能夠與原有的計(jì)算機(jī)和應(yīng)用系統(tǒng)平滑地連接，調(diào)用原有各種計(jì)算機(jī)系統(tǒng)的信息。建網(wǎng)目的政

15、府上網(wǎng)的另一個(gè)作用就是在網(wǎng)上實(shí)現(xiàn)辦公。以往人們到政府部門辦事,往往要跑到該地區(qū)的各管轄部門的所在地區(qū) , 如果涉及到各個(gè)不同部門 , 要蓋不同的章, 更是費(fèi)時(shí)費(fèi)力。除了有一些手續(xù)必須有實(shí)物證明外, 可以建立一個(gè)文件資料電子化中心, 把各種證明和文件電子化。同時(shí), 項(xiàng)目審批等與政府有關(guān)的各項(xiàng)工作都可以在網(wǎng)上完成。 而在財(cái)政局內(nèi)部, 各部門之間也可以通過 Intranet 相互聯(lián)系 , 各級領(lǐng)導(dǎo)也可以在網(wǎng)上對所管部門作出指示 ,指導(dǎo)各部門機(jī)構(gòu)的工作, 并能及時(shí)地進(jìn)行意見反饋, 節(jié)省了工作時(shí)間 , 提高了工作效率。與INTERNE甘目連后可實(shí)現(xiàn)電子政府的強(qiáng)大管理應(yīng)用功能：監(jiān)督電子化電子政府可以在網(wǎng)上

16、公開政府部門的名稱、職能、組織結(jié)構(gòu)、辦事章程、各項(xiàng)文件等以便公眾迅速了解政府機(jī)構(gòu)的組成、職能和辦事章程、各項(xiàng)政策法規(guī), 增加辦事的透明度同時(shí)設(shè)立友好的訪問界面、豐富的站點(diǎn) , 接受民眾的意見, 自覺接受公眾的監(jiān)督。電子招標(biāo)指通過 Internet 向全國各企業(yè)公開招標(biāo)來購買商品的方式, 由政府在 Internet 網(wǎng)上公開其所需購買產(chǎn)品的有關(guān)信息 , 歡迎各個(gè)企業(yè)前來投標(biāo)。同時(shí), 可以對感興趣的企業(yè)網(wǎng)站發(fā)出 E-mail, 邀請其前來投標(biāo), 并說明前來申請的截止時(shí)間。 有意投標(biāo)的企業(yè)需要取得影象、價(jià)格、規(guī)格等數(shù)據(jù)和產(chǎn)品性能、優(yōu)勢等文字說明 , 報(bào)送到政府招標(biāo)的專門網(wǎng)頁上。由政府有關(guān)人員對其招標(biāo)

17、項(xiàng)目進(jìn)行審核, 初步作出篩選。資料電子化網(wǎng)絡(luò)的一大特點(diǎn)就是能開放、充分地提供各種信息 , 財(cái)政局對外部門的各種資料、檔案、數(shù)據(jù)庫的上網(wǎng)使財(cái)政局的服務(wù)更加完善, 更好地為社會服務(wù)。、局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述目前在局域網(wǎng)組網(wǎng)技術(shù)中比較成熟和應(yīng)用較多的技術(shù)有以下幾方面網(wǎng)絡(luò)類型：Ethernet:10M、100M 千兆以太網(wǎng)，ATM:25M、 155M、 622M、 2.4G，DDN:64K、 128K、 1M、 2M，X.25:64KFDDI:100M 面臨淘汰。在端口數(shù)據(jù)分配上也分為共享式和交換式，網(wǎng)間數(shù)據(jù)交換核心方面分為路由和三層交換兩種技術(shù)。在以上幾個(gè)方面中網(wǎng)絡(luò)類型的選擇是關(guān)鍵， 目前的主

18、要技術(shù)之爭是發(fā)生在以 太網(wǎng)和ATM之間的，這兩種技術(shù)各有短長ATM技術(shù)相對以太網(wǎng)來說是一種較為為新型的技術(shù)，它基于面向連接，提供 QOS呆障，在實(shí)時(shí)數(shù)據(jù)傳送，預(yù)留帶寬方面有不可比擬的優(yōu)越性，特別適合實(shí)時(shí) 多媒體的交互式通訊和一些突發(fā)性的數(shù)據(jù)傳送要求， 它針對不同的數(shù)據(jù)通訊類型 會給予不同的質(zhì)量保證， 另外小信元有利于速率的不斷提高， 但由于其技術(shù)成熟 度不夠，和目前直接基于ATM勺應(yīng)用類型還比較少，它的優(yōu)越性受到了限制，另 外它的元件和設(shè)備價(jià)格昂貴是另一個(gè)不利與推廣的弱點(diǎn)。以太網(wǎng)技術(shù)相對成熟，而且多數(shù)應(yīng)用基于以太網(wǎng)開發(fā)，所以決定了目前它在網(wǎng)絡(luò)中占主導(dǎo)地位， 受多數(shù)用戶的青睞。 在此我們推薦使用

19、千兆以太網(wǎng)技術(shù)， 它 在技術(shù)上由快速以太網(wǎng)衍生出來、 性能價(jià)格比高， 現(xiàn)在相關(guān)技術(shù)已經(jīng)穩(wěn)定， 并且 非常適合財(cái)政局使用。 在此方案中我們選擇千兆以太網(wǎng)與三層交換作為技術(shù)定位 的基本模式。網(wǎng)絡(luò)技術(shù)選擇根據(jù)應(yīng)用實(shí)際需求，和網(wǎng)絡(luò)功能、性能、安全性等多方面的分析，對網(wǎng)絡(luò)技術(shù)做出如下選擇：根據(jù)應(yīng)用系統(tǒng)的需求和接入網(wǎng)絡(luò)方式的特征，財(cái)政局網(wǎng)絡(luò)采用 10M/100M全 交換結(jié)合的方式構(gòu)建自己的網(wǎng)絡(luò)通信平臺， 采用虛網(wǎng)劃分技術(shù)， 虛網(wǎng)間數(shù)據(jù)傳輸 實(shí)現(xiàn)第三層交換， 為桌面設(shè)備提供10/100M 以太網(wǎng)接入， 并同時(shí)具有技術(shù)領(lǐng)先性。主干為百兆快速以太網(wǎng)。服務(wù)器以 100base-T 接入。普通網(wǎng)絡(luò)用戶PC采用10/

20、100Base-T方式接入。網(wǎng)絡(luò)基本形式為交換式網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)備的系統(tǒng)結(jié)構(gòu)選擇完全分布的系統(tǒng)結(jié)構(gòu)（處理能力分布和存儲能力分布） 。選擇存儲轉(zhuǎn)發(fā)式交換技術(shù)（ Store-forward ）以支持低速網(wǎng)絡(luò)接口和高速網(wǎng)絡(luò)接口的交 換及對錯(cuò)誤幀的過濾。選擇統(tǒng)計(jì)時(shí)分復(fù)用（TMD數(shù)據(jù)交換總線結(jié)構(gòu)的交換設(shè)備減少系統(tǒng)延時(shí)。選擇支持多種網(wǎng)絡(luò)接口的設(shè)備。虛擬專用網(wǎng)絡(luò)（VPN）靈活多樣的虛網(wǎng)劃分手段，基于端口，基于地址和給予應(yīng)用虛網(wǎng)中的站點(diǎn)不應(yīng)受接口類型的限制。支持網(wǎng)絡(luò)站點(diǎn)的自由移動(dòng)，虛網(wǎng)標(biāo)志可被交換設(shè)備自動(dòng)識別以保持原有虛網(wǎng)屬性。虛網(wǎng)可延伸到整個(gè)信息中心網(wǎng)絡(luò)，跨越各種交換設(shè)備。路由功能內(nèi)部路由采用三層交換功能提高其

21、路由識別和包轉(zhuǎn)發(fā)能力內(nèi)部的三層交換虛擬路由功能與外部路由功能有互操作性容錯(cuò)功能提供交換機(jī)內(nèi)部重要模塊的全雙工配置（管理模塊）和冗余電源主要功能部件的熱插拔功能支持網(wǎng)絡(luò)鏈路的冗余連接網(wǎng)絡(luò)管理支持廣泛的網(wǎng)絡(luò)管理平臺（如 HP OpenView 、 3Com Transcend 等）提供交換機(jī)配置、管理，虛網(wǎng)配置、管理和網(wǎng)絡(luò)性能統(tǒng)計(jì)監(jiān)控的網(wǎng)管工具：基于 SNM啊絡(luò)管理協(xié)議，支持標(biāo)準(zhǔn)的MIBs提供友好的用戶圖形界面、網(wǎng)絡(luò)方案概述網(wǎng)絡(luò)設(shè)計(jì)思想針對以上情況， 本方案的設(shè)計(jì)采用國際流行的分層設(shè)計(jì)：底向上實(shí)現(xiàn)各種業(yè)務(wù)。根據(jù)我們以往的經(jīng)驗(yàn)，桂林市財(cái)政局的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)具有如下特性：前瞻性：即所采用的技術(shù)應(yīng)是國際通

22、信界公認(rèn)的主流技術(shù)，具有持續(xù)發(fā)展的潛力。兼容性：目前，國內(nèi)各種網(wǎng)絡(luò)的建設(shè)方興未艾，保證網(wǎng)絡(luò)良好的兼容性是業(yè)務(wù)擴(kuò)展的重要前提之一。經(jīng)濟(jì)性： 網(wǎng)絡(luò)建設(shè)的最終目的， 是要服務(wù)于社會和公眾，并產(chǎn)生可觀的經(jīng)濟(jì)效益，進(jìn)而產(chǎn)生收益和投資之間的良性循環(huán)。演繹性：網(wǎng)絡(luò)建設(shè)是一個(gè)可持續(xù)滾動(dòng)發(fā)展的過程，只有不斷地吸收營養(yǎng)、 不斷地發(fā)展壯大， 才能產(chǎn)生更大的經(jīng)濟(jì)和社會效應(yīng)。競爭性：只有這樣的網(wǎng)絡(luò)才能在市場競爭中當(dāng)然會脫穎而出，獨(dú)占鰲頭。穩(wěn)健性： 因?yàn)榫W(wǎng)絡(luò)系統(tǒng)在將來政府辦公的地位非常重要，所以市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)對系統(tǒng)的穩(wěn)健性將有較高的要求。 本方案正是結(jié)合實(shí)際需求對于系統(tǒng)的穩(wěn)健性進(jìn)行了深入的設(shè)計(jì)。為了實(shí)現(xiàn)上述特性，我們

23、本著以下原則進(jìn)行設(shè)計(jì)：充分依照國際上的規(guī)范、 標(biāo)準(zhǔn)， 借鑒國內(nèi)外目前所流行的主流網(wǎng)絡(luò)體系結(jié)構(gòu)和網(wǎng)絡(luò)運(yùn)行系統(tǒng)， 采用國際上成熟的模式， 汲取國內(nèi)外各種信息系統(tǒng)的建設(shè)經(jīng)驗(yàn)， 從網(wǎng)絡(luò)信息化的實(shí)際要求出發(fā)進(jìn)行設(shè)計(jì)。確保技術(shù)的先進(jìn)性和實(shí)用性， 使網(wǎng)絡(luò)具有良好的可擴(kuò)展性和靈活性， 以適應(yīng)網(wǎng)絡(luò)的迅猛發(fā)展趨勢，既滿足當(dāng)前需求，又照顧未來網(wǎng)絡(luò)建設(shè)發(fā)展的需要。充分利用當(dāng)?shù)匾延械母鞣N網(wǎng)絡(luò)資源，確保網(wǎng)絡(luò)內(nèi)部的互聯(lián)互通。由于此網(wǎng)絡(luò)是一個(gè)實(shí)用的服務(wù)運(yùn)行系統(tǒng)， 在總體設(shè)計(jì)時(shí)充分考慮工程的可靠性、 可用性、 可維護(hù)性以及網(wǎng)絡(luò)的安全性，建立完善的安全管理體系。另外，本計(jì)算機(jī)信息系統(tǒng)的建設(shè)是一項(xiàng)龐大而繁雜的工程，它需要領(lǐng)導(dǎo)的支持

24、、大筆資金的及時(shí)到位、 計(jì)算機(jī)專業(yè)人員具有良好素質(zhì)和較高技術(shù)水平， 以及應(yīng)用科室的配合和多部門的密切協(xié)作。所以我們對于系統(tǒng)的建設(shè)提出“總體規(guī)劃、分布實(shí)施”的建議。在制定總體規(guī)劃時(shí)，我們遵循“切合實(shí)際、分階段實(shí)施、循序漸進(jìn)、安全有效”的基本原則。網(wǎng)絡(luò)結(jié)構(gòu)的選擇具有先進(jìn)性和安全性，擴(kuò)充升級方便，可保護(hù)前期投資?；谏鲜鲆蛩乜紤]，桂林市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)思想如下：基本構(gòu)架采用國際上目前流行的INTRANET)絡(luò)技術(shù)，以 TCP/IP 為基本傳輸協(xié)議；主干網(wǎng)采用百兆快速以太網(wǎng)技術(shù)， 以便滿足市委市府系統(tǒng)中大量數(shù)據(jù)傳輸?shù)囊?；分支網(wǎng)絡(luò)采用快速以太網(wǎng) (Fast Ethernet) 技術(shù)以滿足普通應(yīng)用需

25、求；采用先進(jìn)的虛擬網(wǎng)絡(luò)技術(shù)，將網(wǎng)絡(luò)按功能模塊劃分成不同子網(wǎng)，增強(qiáng)網(wǎng)絡(luò)的安全性；融合 WE或術(shù)，PROX枝術(shù)等INTERNE琮合應(yīng)用；采用FIREWAL防火墻技術(shù)提高網(wǎng)絡(luò)安全性，可靠性;網(wǎng)絡(luò)邏輯結(jié)構(gòu)桂林市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)的邏輯拓?fù)浣Y(jié)構(gòu)如下:網(wǎng)絡(luò)邏輯結(jié)構(gòu)DatabaseDatabaseWANLANSwitchPCPCPC網(wǎng)絡(luò)系統(tǒng)邏輯拓?fù)鋱D在邏輯拓?fù)渲芯W(wǎng)絡(luò)可劃分為若干虛擬局域網(wǎng)，虛擬局域網(wǎng)不受設(shè)備物理位置的限制,靈活性較大。按各部分功能劃分：SERVER VLAM服務(wù)器群虛網(wǎng)，將各種主要服務(wù)器（ WEB服務(wù)器、管理數(shù)據(jù)服務(wù)器、郵件服務(wù)器、FTP服務(wù)器等）放在一個(gè)虛網(wǎng)內(nèi)便于管理、維護(hù)，同時(shí)也可以盡可能

26、減少外部入侵及破壞系統(tǒng)的可能性；VLAN1、VLAN2根據(jù)不同的職能部門劃分，如：黨委辦、組織部、人事部5、網(wǎng)絡(luò)實(shí)現(xiàn)系統(tǒng)需求首先對整個(gè)財(cái)政局辦公大樓需進(jìn)行綜合布線以及機(jī)房標(biāo)準(zhǔn)裝修工程。財(cái)政 局辦公大樓是兩個(gè)6層高的子樓以L型連接而成，相互之間要通過網(wǎng)絡(luò)共享一部 分?jǐn)?shù)據(jù)，中心機(jī)房位于6樓。下面列出財(cái)政局各樓層對網(wǎng)絡(luò)的需求。在舁 廳P樓 層信息點(diǎn)數(shù)1一層62二層123三層154四層165五層166六層r 37總計(jì)68具體的大樓綜合布線以及機(jī)房裝修詳見附件：綜合布線實(shí)施方案網(wǎng)絡(luò)實(shí)現(xiàn)技術(shù)主干網(wǎng)網(wǎng)絡(luò)的主干建議采用四臺自適應(yīng)百兆以太網(wǎng)交換機(jī)作為中心交換機(jī)。四臺核心交換之間采用高速矩陣模塊千兆光纖相連， 以

27、保證主干網(wǎng)信息的暢通。 服務(wù)器均以100BASEa 口和 交換機(jī)相連，這樣可以提供足夠的帶寬， 減少由于用戶對服務(wù)的集中請求所產(chǎn)生的網(wǎng)絡(luò)瓶頸。建議使用先進(jìn)的路由交換機(jī)產(chǎn)品。路由交換機(jī)可將IP路由功能集成在硬件中，以較低的代價(jià)就可獲得比傳統(tǒng)路由器高得多的路由性能。各子網(wǎng)設(shè)計(jì)市財(cái)政局的各部門所形成的子網(wǎng)均以100M的上連帶寬分別和中心交換機(jī)相連，到桌面采用10/100M。各分支網(wǎng)采用交換式快速以太網(wǎng)技術(shù)。遠(yuǎn)程服務(wù)為了滿足其他單位撥號訪問進(jìn)行辦公的需要，采用遠(yuǎn)程撥號把其他單位的計(jì)算機(jī)和財(cái) 政局計(jì)算機(jī)網(wǎng)絡(luò)通過公共電話網(wǎng)連起來，充分利用現(xiàn)代通信手段和網(wǎng)絡(luò)資源。群眾也可以通過電話撥號訪問政府網(wǎng)站上公開的信

28、息資源。與外部網(wǎng)絡(luò)的連接與國際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源， 同時(shí)能將桂林市 財(cái)政局介紹給世界。通過電信局提供的64K/128K數(shù)據(jù)專線上連到163, 169 網(wǎng)。5.2.5網(wǎng)絡(luò)物理拓?fù)浣Y(jié)構(gòu)根據(jù)以上分析，桂林市財(cái)政局計(jì)算機(jī)網(wǎng)絡(luò)物理拓?fù)鋱D可以是:1數(shù)據(jù)庫服務(wù)器備份服務(wù)器WE服務(wù)器交換機(jī)堆疊PSTNInternet路由器交換機(jī)5.3外連萬式桂林市財(cái)政局網(wǎng)絡(luò)中心首先是桂林市財(cái)政辦公網(wǎng)的大腦與心臟，承擔(dān)了桂林市財(cái)政辦公網(wǎng)的運(yùn)行、維護(hù)的重要責(zé)任，是一個(gè)較為集中的數(shù)據(jù)中心， 和多種應(yīng)用的中央控制的監(jiān)測機(jī) 構(gòu)，所以桂林市財(cái)政局網(wǎng)絡(luò)中心的建設(shè)是整個(gè)網(wǎng)絡(luò)建設(shè)的關(guān)鍵。網(wǎng)絡(luò)中心的地位和功能：管理中心控制中心數(shù)

29、據(jù)集中及備份中心檢查及檢測中心對外信息發(fā)布中心為了更好地、更經(jīng)濟(jì)地利用桂林市財(cái)政局網(wǎng)絡(luò)的資源，滿足各種類型節(jié)點(diǎn)的具體需求，我們初步比較以下幾種節(jié)點(diǎn)接入方式：電話撥號、ISDN、DDN X.25、幀中繼。PSTN（ 電話撥號 ）電話撥號接入是利用現(xiàn)有的電話線資源，通過公用 電 話網(wǎng) 實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)的接入。公用 電 話 網(wǎng) 在 國 內(nèi) 覆 蓋 范 圍 最 廣 ， 應(yīng) 用 靈 活 ， 方 便 。 公眾通信網(wǎng)主要用于話音的交換傳輸，通常 電 話 線 路 最 高 速 率 只 有 9600bps ， 但 如 果 采 用 具 有 4 倍壓 縮 率 功 能 的 Modem， 可 達(dá) 56Kbps 。 和其它的接

30、入方式相比，電話撥號雖然費(fèi)用最低， 但受到電話模擬線路本身技術(shù)的限制， 其可提供的連接速率較低， 且通信質(zhì)量容易受到影響，不能提供高品質(zhì)的連接信道。ISDN（ 綜合業(yè)務(wù)數(shù)據(jù)網(wǎng) ）采用 ISDN 的優(yōu)勢可歸納為以下幾點(diǎn)：技術(shù)成熟ISDN 的技術(shù)在80年代就開始試驗(yàn)和使用，ISDN的標(biāo)準(zhǔn)則在1984形成，在1988年趨于 穩(wěn)定。 ISDN 的網(wǎng)絡(luò)產(chǎn)品和終端產(chǎn)品已經(jīng)在市場上被廣泛地采用。終端產(chǎn)品價(jià)格逐年下降。網(wǎng)絡(luò)運(yùn)營者也積累了開放ISDN 業(yè)務(wù)及應(yīng)用的豐富經(jīng)驗(yàn)。我國網(wǎng)上交換機(jī)設(shè)備經(jīng)過3 年的技術(shù)和測試工作，已基本具備了 ISDN 的能力。安裝簡單安裝又可分為用戶把自己的終端設(shè)備連接到ISDN線上和局

31、方為用戶安裝ISDN線兩個(gè)方面。對于前者，ISDN為用戶很好地解決了連接問題，它提供標(biāo)準(zhǔn)的用戶網(wǎng)絡(luò)接口。這一特點(diǎn)是 ISDN 成功的關(guān)鍵所在。它以標(biāo)準(zhǔn)接口將各種類型的終端設(shè)備接入到 ISDN 網(wǎng)絡(luò)中。只要用戶使用一對用戶線、一個(gè) ISDN號碼、一臺有ISDN標(biāo)準(zhǔn)接口的終端適配器 （ISDN TA）, 將現(xiàn)有的設(shè)備（包括模擬設(shè)備如：普通電話機(jī)、傳真機(jī)等）連接到ISDN TA上。這樣，用戶就可以保留原有的模擬設(shè)備，節(jié)省投資。如果用戶已有了第二條電話線專為電腦上網(wǎng)使用，也就是說終端設(shè)備只有電腦，那么就可以不必購買ISDN 終端適配器 （ISDN TA） 了，只需插一塊ISDN PC卡就可完成電腦與I

32、SDN線的連接。方便易用ISDN 線路可以一線多號，一線多連，兩個(gè)終端可以同時(shí)使用而互不干擾。比如：在一條 ISDN 電話線上可以用一個(gè)信道保持聲音通話，用另一條信道上網(wǎng)。而且由于它屬于普通電話網(wǎng)的一部分，所以用戶既可以與ISDN 用戶也可以與普通電話用戶通信。當(dāng)用戶在一條ISDN線上與普通電話用戶通信時(shí)仍按普通市話或長途標(biāo)準(zhǔn)收費(fèi)。多媒體通信ISDN 為用戶提供 64Kbit/s 的數(shù)字連接，使用戶可以傳遞語音、數(shù)據(jù)和圖像等多種媒體的信息，并使各種應(yīng)用可以在這一平臺上得以開發(fā)和使用。例如：會議電視一般需要三個(gè)2B+D,即384kbp/s就能得到令人滿意的會議電視效果。 5） 經(jīng)濟(jì)實(shí)惠這可以表現(xiàn)

33、在以下幾個(gè)方面：首先，它可以一線多用，做綜合業(yè)務(wù)的處理，減少投資；其次，它可提高通信能力35倍，節(jié)省費(fèi)用，提高效率；第三，它可即時(shí)連接使用數(shù)字?jǐn)?shù)據(jù)線路，其費(fèi)用遠(yuǎn)低于DDN線。另外，ISDN是一種需求式服務(wù)，所以用戶使用它與普通電話一樣， 只在需要時(shí)發(fā)起呼叫，支付相應(yīng)使用時(shí)間的通話費(fèi)，一旦連通， 用戶獲得的就是 高速數(shù)字通信。6） 具有數(shù)字化優(yōu)越性。在傳輸速度方面，目前最快的模才調(diào)制解調(diào)器也只不過是56Kbps,而且這是一個(gè)理論值，實(shí)際使用時(shí)至多只能達(dá)到52Kbps,它還依賴于電話線的質(zhì)量。但在 ISDN中僅2B+D就可達(dá)到64Kbps,若傳輸一個(gè)1MB未壓縮文件不到1分鐘就可傳輸完畢，比前者要

34、快很多， 顯然占有優(yōu)勢。在通話建立方面，模擬Modem要協(xié)商電話線支持的帶寬（速率）需要1030秒或更長時(shí)間，而ISDN無那種咕吱咕吱的雜音，幾秒鐘就連接好了。從傳輸質(zhì)量上講，ISDN的數(shù)字傳輸比模擬傳輸更不會受到靜電和噪音的影響， 使數(shù)據(jù)通信中更少出現(xiàn)錯(cuò)誤與重傳現(xiàn) 象。DDN徵字?jǐn)?shù)據(jù)網(wǎng)）DDN 即數(shù)字?jǐn)?shù)據(jù)網(wǎng)， 它是利用光纖數(shù)字傳輸通道和數(shù)字交叉復(fù)用節(jié)點(diǎn)組成的數(shù)字?jǐn)?shù)據(jù)傳輸網(wǎng)， 可為用戶提供各種高速率、 高質(zhì)量的數(shù)字專用電路， 以滿足用戶組建中高速計(jì)算機(jī)通信網(wǎng)的需要。DDN 業(yè)務(wù)區(qū)別于傳統(tǒng)模擬電話專線的顯著特點(diǎn)是數(shù)字電路，傳輸質(zhì)量高、時(shí)延小，通信速率可根據(jù)需要選擇。DDN技術(shù)是利用數(shù)字信道提供永

35、久或半永久電路，以傳輸數(shù)字信號為主的數(shù)字通信網(wǎng)絡(luò)。 其最具吸引力的優(yōu)點(diǎn)是傳輸時(shí)延短, 支持語音、 圖像等多媒體業(yè)務(wù), 且已經(jīng)在一些金融系統(tǒng)中得以廣泛使用 , 是一種較為成熟的技術(shù)。出于對未來視頻會議、辦公自動(dòng)化等多媒體寬帶新業(yè)務(wù)的考慮，DDN技術(shù)有著很強(qiáng)的生命力和發(fā)展前景。傳統(tǒng)的網(wǎng)絡(luò)互連方式是通過租用點(diǎn)對點(diǎn)的DDN線方式，一般速率為64Kbps/128Kbps。這就是所謂的 IP 的點(diǎn)對點(diǎn)互連。 這種互連方式比較成熟， 也是當(dāng)今 IP 網(wǎng)絡(luò)互連中廣泛采用的方式。通過模擬專線（用戶環(huán)路）和Modem入網(wǎng)，通信速率受用戶入網(wǎng)距離的限制，最高可到 2.048Mbps ，對光纖到戶的用戶，通信速率可靈

36、活選擇。但是，這種互連方式使得路由器必須將IP 數(shù)據(jù)包從一個(gè)IP 網(wǎng)絡(luò)向另外一個(gè)IP 網(wǎng)絡(luò)轉(zhuǎn)發(fā)。這樣就會帶來一些問題：對于組建大型的 IP 網(wǎng)絡(luò)來說 , 由于租用這種點(diǎn)對點(diǎn)的線路 , 使網(wǎng)絡(luò)方案設(shè)計(jì)變得非常復(fù)雜。 為了將來網(wǎng)絡(luò)的可擴(kuò)展性 , 一般會考慮設(shè)計(jì)分層結(jié)構(gòu)的網(wǎng)絡(luò)體系 （ 如網(wǎng)絡(luò)分為骨 干層及接入層等） 。 這樣就會需要大量的路由器設(shè)備來完成這一工作。 路由設(shè)備的增長,也不可避免地帶來資金、IP 地址分配、全網(wǎng)路由政策等等一系列問題。這種點(diǎn)到點(diǎn)的線路互連, 完全依靠路由設(shè)備來完成各個(gè)節(jié)點(diǎn)的IP 數(shù)據(jù)交換、 傳遞。 從而目前基于 IP 層交換的路由設(shè)備的交換速率及吞吐率又成了全網(wǎng)信息流傳遞

37、的瓶頸。X.25（ 公共分組數(shù)據(jù)交換網(wǎng) ）公共分組數(shù)據(jù)交換網(wǎng) X.25 線路分組交換是為適應(yīng)計(jì)算機(jī)通信而發(fā)展起來的一種先進(jìn)通信手段，它以 CCITT X.25 建議為基礎(chǔ)，可以滿足不同速率，不同型號終端及計(jì)算機(jī)以及局 域網(wǎng)間的通信，實(shí)現(xiàn)數(shù)據(jù)庫資源共享。分組交換網(wǎng)的突出優(yōu)點(diǎn)是可以在一條電路上同時(shí)開發(fā)多條虛電路， 為多個(gè)用戶同時(shí)使用， 網(wǎng)絡(luò)具有動(dòng)態(tài)路由功能和先進(jìn)的誤碼糾錯(cuò)功能，網(wǎng)絡(luò)性能最佳。CHINAPAC提供交換型虛電路（SVC）和永久型虛電路（PVC）。SVC使用靈活，每次可與不同 的用戶建立通信電路，通信費(fèi)用與通信量有關(guān)，而與距離無關(guān)。PVC類似于固定專線，不需每次通信時(shí)臨時(shí)建立和釋放電路，

38、適用于點(diǎn)對點(diǎn)固定連接的使用。此外，CHINAPACS提供許多可選業(yè)務(wù)，如閉合用戶群、反向計(jì)費(fèi)等。幀中繼幀中繼是一種高性能的WAM議,最初是作為綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)（ISDN）接口設(shè)計(jì)的，現(xiàn)在它已被廣泛地用于多種網(wǎng)絡(luò)接口。 幀中繼是 X.25 地簡化版本， 它省略了 X.25 的一些強(qiáng)健 功能，如提供窗口化技術(shù)和數(shù)據(jù)重發(fā)功能，這是因?yàn)閹欣^工作在性能更好的WANS備上。它即具有分組交換網(wǎng)的突出優(yōu)點(diǎn)： 在一條物理電路上同時(shí)開發(fā)多條虛電路， 為各個(gè)用戶同時(shí) 使用，又能提供較高的網(wǎng)絡(luò)帶寬，（ 56K 2M） ，支持LAN 網(wǎng)之間使用的多種協(xié)議。這種互連方式的優(yōu)勢在于:在網(wǎng)絡(luò)互聯(lián)中 , 路由器的數(shù)目大大減少。

39、對網(wǎng)絡(luò)組網(wǎng)的設(shè)計(jì)要求也大大簡化。以幀中繼交換機(jī)代替路由器的交換功能, 使網(wǎng)絡(luò)信息處理傳輸速率非?？? 適應(yīng)于當(dāng)前局域網(wǎng)高速互連的需求。由于幀中繼網(wǎng)絡(luò)中大都采用光纖作為傳輸媒體 , 傳輸誤碼率非常低 , 一般為 10-8 。 幀中繼的無差錯(cuò)控制機(jī)制完全可以提供可靠的端到端的傳輸。如今，世界上50%以上的幀中繼業(yè)務(wù)是在信元一中繼/ATM網(wǎng)絡(luò)上傳輸?shù)?，這主要是由于信元交換設(shè)備具有良好的協(xié)調(diào)性和高效性。 盡管除了傳輸其它類型的通信如話音和視頻外再也沒有其它的優(yōu)點(diǎn)， 作為一種接口， 幀中繼還是最適合于數(shù)據(jù)協(xié)議的傳輸。 而且?guī)欣^結(jié)構(gòu)非常簡單， 這使得它很有吸引力。 幀中繼很適宜于數(shù)據(jù)通信， 因?yàn)橥瑫r(shí)分多

40、路和租用線路傳輸相比，幀中繼更有效地利用了帶寬。幀中繼能通過單一物理信道維持多個(gè)虛擬網(wǎng)絡(luò)， 從而使各種同等重要的通信獨(dú)立通過互聯(lián)網(wǎng)絡(luò)。這種平行信息流的結(jié)構(gòu)與ATM 虛擬網(wǎng)絡(luò)的結(jié)構(gòu)非常一致，而且容易連接。因此，幀中繼既能滿足當(dāng)前的連接要求，又可成為向未來高速網(wǎng)絡(luò)過渡的橋梁。網(wǎng)絡(luò)設(shè)備選擇交換機(jī)目前生產(chǎn)交換機(jī)的廠商比較多，著名的有Intel 、 3COM、 Cisco 、 Bay 等。而3COW是交換機(jī)市場的領(lǐng)袖。經(jīng)過分析比較，我們選擇3CO泌司的SuperStack II 3300 交換機(jī)。采用四臺 3300交換機(jī)通過高速矩陣模塊堆疊起來。SuperStackII 3300 的主要優(yōu)點(diǎn)基于Web的

41、管理-利用網(wǎng)絡(luò)上任何節(jié)點(diǎn)的任何 Wetffl覽器來進(jìn)行簡單的設(shè)備管理，但仍然保 有全部的安全性。支持RMON遠(yuǎn)程監(jiān)控）一 RMON可對所有的交換機(jī)端口提前進(jìn)行用戶友好型的管理。集成的RMO能力支持所有9類RMO能力。漫游分析端口（RAP） 可以把疊堆中任一端口的信息流映射到其它的任一端口，進(jìn)而直接連至網(wǎng)絡(luò)分析器。支持 802.1p 這是針對多媒體應(yīng)用而新制定的信息流等級制傳輸標(biāo)準(zhǔn)。擁堵控制：IFM （智能流才5制）和802.3x-丟失數(shù)據(jù)包是LAN降低速度的最重要起因，基于流控制的IFM和802.3x標(biāo)準(zhǔn)可確保任何數(shù)據(jù)包都不會丟失。支持 802.1Q-這是為了形成VLAN而制定的新標(biāo)準(zhǔn)。IGM

42、琳測 交換機(jī)對多址聯(lián)播信息流進(jìn)行監(jiān)視，并自動(dòng)調(diào)整交換機(jī)的配置，以減輕網(wǎng)絡(luò)上的多址聯(lián)播信息流負(fù)擔(dān)，從而加大網(wǎng)絡(luò)的總流量。支持 Fast IP 兼有路由控制和線速交換性能的雙重優(yōu)點(diǎn)。路由器Cisco 公司的路由器已經(jīng)相當(dāng)于業(yè)界默認(rèn)的標(biāo)準(zhǔn)， 并且 Cisco 路由器的高性能在業(yè)界中也是首屈一指的。 我們選擇 Cisco 公司的 2621 路由器和2610路由器，并且給其配備了 IOS 防火墻。Cisco 2600 模塊化多服務(wù)路由器為分支機(jī)構(gòu)提供通用性、集成和功能。通過 50 多個(gè)網(wǎng)絡(luò)模塊和接口， Cisco 2600 系列的模塊化體系結(jié)構(gòu)允許輕易地升級接口來適應(yīng)網(wǎng)絡(luò)擴(kuò)展。 Cisco 2600 系

43、列是 Cisco 數(shù)據(jù) / 語音 /視頻集成方案的一個(gè)關(guān)鍵成員，提供業(yè)界最廣泛的基于 IP 和幀中繼的端到端分組電話解決方案。Cisco 2600 系列為網(wǎng)絡(luò)管理員和服務(wù)供應(yīng)商提供一個(gè)經(jīng)濟(jì)有效的解決方案來滿足目前的分支機(jī)構(gòu)需求，例如：帶有防火墻安全的 Internet/Intranet 訪問多服務(wù)語音/ 數(shù)據(jù)集成模擬和數(shù)字撥號訪問服務(wù)虛擬專網(wǎng)（VPN）訪問VLAN 間路由帶有帶寬管理的路由遠(yuǎn)程訪問服務(wù)器在傳統(tǒng)的做法中，實(shí)現(xiàn)遠(yuǎn)程訪問的方法都是以路由器加載遠(yuǎn)程訪問模塊來實(shí) 現(xiàn)的。 這種方式在安裝、 調(diào)試以及維護(hù)上都是很復(fù)雜的， 并且由于采用了路由器，投資成本比較高。在本系統(tǒng)中，我們采用專用的遠(yuǎn)程訪

44、問服務(wù)器3COMRAS1500。專用遠(yuǎn)程訪問服務(wù)器提供的專業(yè)的遠(yuǎn)程訪問服務(wù)，具有很高的性價(jià)比。SuperStack II Remote Access System 1500 為中小型企業(yè)和 Internet 服 務(wù)提供商提供全面的遠(yuǎn)程訪問服務(wù)。主要優(yōu)勢： 在一個(gè)平臺中集成了非常廣泛的功能。以較低的設(shè)備開支，提供了撥入/撥出訪問、采用撥號或幀中繼和專線PPP連接的局域網(wǎng)問路由選擇功能，在Transcend Network Supervisor （TNS） 的支持下，將 RAS 1500成至U 3com勺所 有網(wǎng)絡(luò)管理應(yīng)用程序中，而您的遠(yuǎn)程訪問設(shè)備則像您的LAN設(shè)備一樣由同樣的應(yīng) 用程序進(jìn)行管理。

45、-易于安裝?；贖TML瀏覽器的安裝向?qū)?、圖形用戶界面（GUI）和文檔 瀏覽。-先進(jìn)、易于操作。NAT/PA1M址轉(zhuǎn)換功能提供低成本高效率的共享 ISP 訪問。DHCPR務(wù)器、中繼和代理功能為本地和遠(yuǎn)程用戶提供了簡捷的LAN訪問方式。 訪問方式安全。 包括本地驗(yàn)證， 并可與RADIUS、 Windows NT 或 NetWare NOS服務(wù)器配合實(shí)現(xiàn)遠(yuǎn)程驗(yàn)證功能。 I/O 單元模塊化。模塊化單元，便于I/O 卡的添加和擴(kuò)展以及PRI 訪問單元的熱插拔。Univerrsal connectTM 技術(shù)。通過同一基本速率的 ISDN 連接，提供了業(yè)界領(lǐng)先的模擬連接方式（ 速率可高達(dá)V.90） 和 I

46、SDN 撥入訪問方式。-可伸縮性。將ISDN和模擬連接方式集于一身，端口范圍為4至24端口，可以隨著您的需要進(jìn)行擴(kuò)展。-采用NAT/PAT多個(gè)基于LAN而有各自的IP地址的用戶可以通過單獨(dú)的 公用地址（PAT）訪問Internet或公用LAN或者，眾多用戶可以共用一個(gè)小型共 用子網(wǎng)（NAT）。NAT/PAT等這些專用的IP地址翻譯到一個(gè)單獨(dú)的公共地址或翻譯 到 Internet 服務(wù)供應(yīng)商認(rèn)可的公共子網(wǎng)。這一功能特性可以降低公司的操作費(fèi) 用并簡化其Internet 訪問。- 對遠(yuǎn)程用戶和基于LAN的用戶來說，RAS1500都是作為中央DHCPK務(wù)器工作的。此外，它還能代理 或轉(zhuǎn)播 對其他中央服

47、務(wù)器的 IP 地址請求。這種特性簡化了網(wǎng)絡(luò)管理，并增強(qiáng)了遠(yuǎn)程用戶和本地用戶的移動(dòng)性。 除了 固定 和漫游 回叫之外， RAS 1500 還增加了更多的安全性和降低遠(yuǎn)程話費(fèi)的選擇功能。來話ISDN呼叫（BRI和PRI）可通過D信道顯現(xiàn)的主叫方 ID 信息予以屏蔽。如果識別出主叫方，則其呼叫就會下線并自動(dòng)重新?lián)芴?，這樣就可以確保適當(dāng)?shù)牡刂肥盏交亟校?并確保電話公司不對來自遠(yuǎn)程地址的始發(fā)呼叫收取費(fèi)用（此種特性在與OfficeConnect ISDN LAN調(diào)制解調(diào)器等產(chǎn)品的路由器到路由器連接方式中使用 ） 。服務(wù)器在服務(wù)器方面我們選擇了國際著名廠商 DELL公司的系列服務(wù)器。主服務(wù)器選 用 DELL

48、 PowerEdge6400 備份服務(wù)器選用 DELL PowerEdge6400 WEB務(wù)器選 用 DELL PowerEdge2400。PowerEdge?6400經(jīng)過精心設(shè)計(jì)，提供了強(qiáng)勁的服務(wù)器可用性和操作性能，并且最大限度地減少了系統(tǒng)的停機(jī)時(shí)間。 與以前的戴爾四處理器平臺相比， 其操作性能更強(qiáng)大，可用性與可維修性也更高。 PowerEdge 6400 支持多達(dá)四個(gè)最新的 英特爾？奔騰？ III至強(qiáng)？處理器、8GB ECC SDRAM66MHz PCI插槽以及容 量高達(dá) 252 GB 的硬盤驅(qū)動(dòng)器。PowerEdge?4400 在高性能與企業(yè)級可用性方面特別突出， 其設(shè)計(jì)有助于進(jìn) 一步提

49、高部門的工作效率。通過支持兩個(gè)英特爾? 奔騰 ? III Xeon? 處理器、 133MHz前側(cè)總線、多達(dá)4GB的內(nèi)存和嵌入式 NIC、雙通道Ultra3 (Ultra160) SCSI 控制器以及可選的 RAID 控制器， PowerEdge4400 可以幫助您快速有效地 分發(fā)用戶所需的重要數(shù)據(jù)。PowerEdge? 2400 服務(wù)器使工作組級應(yīng)用具有部門級計(jì)算能力。 PowerEdge 2400這種極具力量的系統(tǒng)可采用雙處理器、133MHz勺前端數(shù)據(jù)總線、64位PCI 插槽以及180G可熱插拔的硬盤存儲容量。支持熱插拔電源是這種重新定義工作 組級應(yīng)用范圍的高性能系統(tǒng)一種額外的功能。系統(tǒng)平臺

50、當(dāng)前主流的應(yīng)用平臺主要是SUN ( Solaris ), PC (Windows)或PC (Linux)的結(jié)構(gòu)：SUN( Solaris )是一種比較安全和穩(wěn)健的網(wǎng)絡(luò)服務(wù)器結(jié)構(gòu)，但價(jià)格較為昂貴，對管理人員的技術(shù)要求比較高。PC(Windows2000): Windows2000 是 Microsoft 公司在 PC上發(fā)展起來的 32 位操作系統(tǒng)。 基于 Client/Server 體系結(jié)構(gòu)的多線程的操作系統(tǒng)， 支持虛擬內(nèi)存。 管理簡單方便，價(jià)格適中，具有C2 級安全性。系統(tǒng)開銷合理，運(yùn)行效率較高。PC( Linux ) ：價(jià)格最為便宜，但安全性沒有經(jīng)過認(rèn)證，另外無生產(chǎn)廠家提供可靠的技術(shù)支持，出

51、現(xiàn)問題時(shí)沒有保障。從近期的發(fā)展方向來看， Microsoft 公司正在提供源源不斷的 2000 系列產(chǎn)品支持保證一個(gè) Intranet 方案，如 Office2000 、 SQL Server2000 、 Exchange2000 等。在這個(gè)方案中，從操作系統(tǒng)層次就具備支持Internet/Intranet 的基本特性，以 Microsoft 2000 系列產(chǎn)品族表現(xiàn)了極強(qiáng)的整合能力。 Microsoft 的解決方案更具有靈活性、系列性和可持續(xù)性，各種組件之間的聯(lián)系非常緊密，效率也自然提高。因此選擇Microsoft 的從操作系統(tǒng)開始的Intranet 解決方案具備可比的優(yōu)勢。在桂林市財(cái)政局辦

52、公網(wǎng)的方案中， 我們將主要采用 Microsoft 公司在PC( Windows2000)上的解決方案， 在一些涉及應(yīng)用安全性和伸縮性敏感的部件上， 可以選擇更有效的產(chǎn)品作為Microsoft 產(chǎn)品的替代。、技術(shù)重點(diǎn)與難點(diǎn)子網(wǎng)劃分與地址規(guī)劃在一個(gè)平面網(wǎng)絡(luò)中存在大量廣播信息， 將一個(gè)大的網(wǎng)絡(luò)劃分為小的子網(wǎng)， 是為了縮小廣播域，防止廣播風(fēng)暴，將廣播信息限制在必須廣播的范圍內(nèi)，而過濾掉不必要的廣播信息。子網(wǎng)劃分的工作一般由路由器來完成。子網(wǎng)之間的通信也需要路由尋址。虛擬局域網(wǎng)的劃分局域網(wǎng)設(shè)備工作在 OSI 七層模型的第二層，傳統(tǒng)的局域網(wǎng)設(shè)備連接的網(wǎng)絡(luò)是單個(gè)廣播域。局域網(wǎng)交換機(jī)雖然能根據(jù)MAC%址進(jìn)行

53、數(shù)據(jù)包的交換，但它會將任何廣播信息廣播到全部網(wǎng)絡(luò)。新的局域網(wǎng)交換機(jī)可以將網(wǎng)絡(luò)劃分為多個(gè)廣播域， 即 VLAN。 但它不能在兩個(gè)VLAN 之間傳送信息。 VLAN 之間的通信仍然需要路由尋址，也就是仍然需要路由器。有時(shí)也將路由尋址的功能做到交換機(jī)內(nèi)，即所謂三層交換。增強(qiáng) IP 組播 (IP Multicast) 能力組播也稱多點(diǎn)播放， 是一種有選擇的將信息播送到需要它的其它節(jié)點(diǎn)的點(diǎn)對多點(diǎn)的通信方式。 與另一種點(diǎn)到多點(diǎn)的廣播方式相比， 采用組播技術(shù)可以節(jié)約寶貴的網(wǎng)絡(luò)資源， 大大降低廣播風(fēng)暴。各級網(wǎng)絡(luò)設(shè)備必須具備對IP 組播的支持，我們?yōu)楦骷壨扑]的交換機(jī)設(shè)備均具備這一能力。、安全性安全是在網(wǎng)絡(luò)建設(shè)中

54、需要認(rèn)真分析、綜合考慮的關(guān)鍵問題。下面我們將從5個(gè)方面來討論保障網(wǎng)絡(luò)安全的若干措施。網(wǎng)絡(luò)設(shè)計(jì)在內(nèi)部網(wǎng)絡(luò)設(shè)計(jì)中主要考慮的是網(wǎng)絡(luò)的可靠性和性能， 而如何確保網(wǎng)絡(luò)安全也是一個(gè)不容忽視的問題。采用網(wǎng)段分離技術(shù)，把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段，由于各網(wǎng)段間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機(jī)會。以前，網(wǎng)段分離是物理概念， 組網(wǎng)單位要為各網(wǎng)段單獨(dú)購置集線器等網(wǎng)絡(luò)設(shè)備。 現(xiàn)在有了虛擬網(wǎng)技術(shù)， 網(wǎng)段分離成為邏輯概念， 網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)控制臺上對網(wǎng)段做任意劃分。另外，在安全方面有一個(gè)最基本的原則：系統(tǒng)的安全性與它被暴露的程度成反比。 因此， 建議將對外信息發(fā)布的服務(wù)器與內(nèi)部應(yīng)用服務(wù)器

55、隔離， 由于將數(shù)據(jù)庫和內(nèi)部應(yīng)用系統(tǒng)封閉在系統(tǒng)內(nèi)部，增加了系統(tǒng)的安全性。應(yīng)用軟件在網(wǎng)上運(yùn)行的網(wǎng)絡(luò)軟件需要通過網(wǎng)絡(luò)收發(fā)數(shù)據(jù)， 要確保安全就必須采用一些安全保障方式。用戶口令加密存儲和傳輸：目前，絕大多數(shù)應(yīng)用仍采用口令來確保安全，口令需要通過網(wǎng)絡(luò)傳輸，并且作為數(shù)據(jù)存儲在計(jì)算機(jī)硬盤中。 如果用戶口令仍以原碼的形式存儲和傳輸， 一旦被讀取或竊聽， 入侵者將能以合法的身份進(jìn)行非法操作， 絕大多數(shù)的安全防范措施將會失效。分設(shè)操作員分設(shè)操作員的方式在許多單機(jī)系統(tǒng)中早已使用。在網(wǎng)絡(luò)系統(tǒng)中，應(yīng)增加管理員、一般使用員等多種操作員類型，以便對用戶的網(wǎng)絡(luò)行為進(jìn)行限制。日志記錄和分析完整的日志不僅要包括用戶的各項(xiàng)操作，

56、而且還要包括網(wǎng)絡(luò)中數(shù)據(jù)接收的正確性、 有效性及合法性的檢查結(jié)果， 為日后網(wǎng)絡(luò)安全分析提供依據(jù)。 對日志的分析還可用于預(yù)防入侵， 提高網(wǎng)絡(luò)安全。 例如， 如果分析結(jié)果表明某用戶某日失敗注冊次數(shù)高達(dá)20 次，就可能是入侵者正在嘗試該用戶的口令。網(wǎng)絡(luò)配置網(wǎng)段分離等安全措施要想起作用，還需要由網(wǎng)絡(luò)配置來具體實(shí)施和保證，如用于實(shí)現(xiàn)網(wǎng)段分離的虛網(wǎng)配置。 為進(jìn)一步保證系統(tǒng)安全， 還要在網(wǎng)絡(luò)配置中對防 火墻和路由等方面做特殊考慮。路由為了避免入侵者侵入內(nèi)部資源，應(yīng)仔細(xì)進(jìn)行路由配置。路由技術(shù)雖然能阻止對內(nèi)部網(wǎng)段的訪問， 但不能約束外界公開網(wǎng)段的訪問。 為了確保信息發(fā)布服務(wù)器的安全運(yùn)轉(zhuǎn)， 避免讓入侵者借助公開網(wǎng)段

57、對內(nèi)部網(wǎng)構(gòu)成威脅， 我們有必要使用防火墻技術(shù)對此進(jìn)行限定。防火墻CISCO公司的路由器通常都具有過濾型防火墻功能。這一功能通俗地說就是由路由器過濾掉非正常IP 包，把大量的非法訪問隔離在路由器之外。過濾的主要依據(jù)在源、目的IP地址和網(wǎng)絡(luò)訪問所使用的TCP或UD嘲口號。幾乎所有的 應(yīng)用都有其固定的TCP或UD圖口號，通過對端口號的限制，可以限定網(wǎng)絡(luò)中運(yùn) 行的應(yīng)用。同時(shí)我們通過增加路由器中地IOS擴(kuò)展模塊Cisco IOS防火墻，來加強(qiáng)安全防護(hù)能力。 Cisco IOS 防火墻是可用于廣泛Cisco 路由器和交換機(jī)的 Cisco IOS 軟件的一個(gè)擴(kuò)展模塊。它提供先進(jìn)的防火墻功能以及入侵檢測和認(rèn)證

58、等安全技術(shù)。 它通過最新的安全特性例如靜態(tài)、 基于應(yīng)用的過濾 （ 基于上下文的訪問控制 ） ， 網(wǎng)絡(luò)攻擊防御，事先用戶鑒別和授權(quán)，及實(shí)時(shí)報(bào)警增強(qiáng)了現(xiàn)有的 Cisco IOS 安全功能，例如鑒別、加密和故障恢復(fù)。系統(tǒng)配置這里的系統(tǒng)配置是主機(jī)的安全配置和數(shù)據(jù)庫的安全配置。據(jù)調(diào)查表明， 85的計(jì)算機(jī)犯罪是內(nèi)部作案， 因此這兩方面的安全配置也相當(dāng)重要。 在主機(jī)的安全配置方面， 應(yīng)主要考慮普通用戶的安全管理、 系統(tǒng)管理員的安全管理及通信與網(wǎng)絡(luò)的安全管理。網(wǎng)絡(luò)服務(wù)程序任何非法的入侵最終都需要通過被入侵主機(jī)上的服務(wù)程序來實(shí)現(xiàn)， 如果關(guān)閉被入侵主機(jī)上的這些程序， 入侵必然無效。 因此， 這也是保證主機(jī)安全的一

59、個(gè)相當(dāng)徹底的措施。 當(dāng)然， 我們不能關(guān)閉所有的服務(wù)程序， 可以只關(guān)閉其中沒有必要運(yùn)行的部分。數(shù)據(jù)庫安全配置在數(shù)據(jù)庫安全配置方面，應(yīng)主要注意以下幾點(diǎn)：選擇口令加密傳輸?shù)臄?shù)據(jù)庫。避免直接使用超級用戶，超級用戶的行為不受數(shù)據(jù)庫管理系統(tǒng)的任何約束，一旦它的口令泄露，數(shù)據(jù)庫就毫無安全可言。一般情況下，不要直接對外界暴露數(shù)據(jù)庫，數(shù)據(jù)收發(fā)最好以存儲 過程的方式提供，并以最低的權(quán)限運(yùn)行。通信軟件應(yīng)用程序要發(fā)送數(shù)據(jù)時(shí)，先發(fā)往本地通信服務(wù)器，再由它發(fā)往目的通信服務(wù)器，最后由目的應(yīng)用主動(dòng)向目的通信服務(wù)器查詢、接收。通信服務(wù)器上的通信軟件除了能在業(yè)務(wù)中不重、不錯(cuò)、不漏地轉(zhuǎn)發(fā)業(yè)務(wù)數(shù)據(jù)外，還應(yīng)在安全方面具有以下特點(diǎn)：在本

60、地應(yīng)用與本地通信服務(wù)器間提供口令保護(hù)。應(yīng)用向本地通信服務(wù)器發(fā)送數(shù)據(jù)或查詢、接收數(shù)據(jù)時(shí)要提供口令，由通信服務(wù)器判別IP 地址及其對應(yīng)口令的有效性。在通信服務(wù)器之間傳輸密文時(shí)，可以采用 SSL 加密方式。如果在此基礎(chǔ)上更再增加簽名技術(shù)，則更能提高通信的安全性。在通信服務(wù)器之間也提供了口令保護(hù)。接收方在接收數(shù)據(jù)時(shí)，要驗(yàn)證發(fā)送方的 IP 地址和口令，當(dāng)出現(xiàn)IP 地址無效或口令錯(cuò)時(shí)，拒絕進(jìn)行數(shù)據(jù)接收。提供完整的日志記錄和分析。日志對通信服務(wù)器的所有行為進(jìn)行記錄，日志分析將對其中各種行為和錯(cuò)誤的頻度進(jìn)行統(tǒng)計(jì)。綜上所述，網(wǎng)絡(luò)安全問題是一個(gè)系統(tǒng)性、綜合性的問題。我們在進(jìn)行網(wǎng)絡(luò)建設(shè)時(shí)不能將它孤立考慮， 只有層層