XX市工商局广域网系统建设方案.doc

广州市工商局广域网系统建议方案广州市方欣科技有限公司目 录第I章前言4第II章系统需求分析62.1 网络需求分析62.2 应用系统需求分析72.2.1 工作模式分析72.2.2 数据流量分析92.3 解决方案分析10第III章广域网系统总体设计133.1 广域网系统的设计原则和目标133.1.1 系统要安全可靠133.1.2 系统的高性能133.1.3 通信系统的扩充性133.1.4 系统的开放性和标准化143.1.5 具有较好的性能价格比143.1.6 易于网络管理143.2 系统的弹性设计143.2.1 弹性设计的内容153.2.2 WAN的弹性设计153.2.3 通信设备的弹性设计153.2.4 LAN的弹性设计163.3 系统安全性设计163.3.1 防火墙技术173.3.2 加密技术183.3.3 本地网的安全措施183.4 IP地址规划和域名服务193.4.1 设计原则193.4.2 IP网络地址分配193.4.3 域名管理193.5 系统的性能设计193.6 广域网系统总体方案20第IV章广域网系统方案224.1 系统整体结构224.2 市局通信系统244.3 二级机构的通信系统254.4 三级机构的通信系统264.5 网络管理系统274.5.1 网管系统概述274.5.2 基于SUN工作站的网络管理系统284.5.3 基于PC机的网络管理系统304.5.4 网管系统选型31第V章产品选型分析325.1 路由器产品总体选型325.2 市局路由器产品选型335.3 区县局/中心分局路由器产品选型345.4 工商所路由器产品选型375.5 备份线路通信终端设备选型38第VI章系统实施396.1 项目的组织396.2 项目的实施40第VII章服务与支持41第VIII章设备清单及工程预算458.1 主要设备清单及报价458.2 几点说明47附件一 局域网设计481.1 技术概要481.1.1 解决方案选择491.1.2 关于ATM网络模型491.1.3 ATM的优势501.1.4 ATM的问题501.1.5 千兆以太网网络模型501.1.6 千兆以太网的优势511.1.7 千兆以太网的问题511.2 网络部署方法521.2.1 配置途径531.2.2 方案设计54第I章 前言前言近年来，计算机、信息和通讯技术以惊人速度不断发展，为建立信息管理系统提供了坚实的基础。Internet/Intranet在全球的日益普及，使信息更方便地进入每个人的工作中。我国更是把今年定为“政府上网”年。 广州市工商局全局管辖的范围包括：18个分局、区局及（县）市局和各级工商所。拟定中的计算机网络系统将连接包括市局,区（县）局、分局和工商所的三级网络架构。因此计算机系统将结合局域网技术和网络互连的广域网技术。拟建成的系统除实现全市各部门的信息资源共享，便于及时掌握各方面的动态，使管理工作更加高效化、规范化、科学化外，还将是联系省局、市政府、税务局、银行、海关等部门的桥梁。 广州市方欣科技有限公司是一家以从事软件系统开发和网络系统集成为主要经营方向的高新技术企业，在软件的开发和系统集成方面拥有丰富的经验。如山西省电力厅网络工程、海南大学校园网、广州赛马会网络工程（含各地市远程投注）、广东证券广域网工程等都是本公司负责建设。在广东省国税方面，参与了省统一征管软件的开发，承担了集中式统一征管软件的改造工作，完成了清远市国税局网络工程（全市四级网络）、东莞市国税局网络工程（全市三级网络）、三水市国税局网络工程。在本方案建议书中，方欣公司结合对其他网络工程的经验，建议了一套先进的计算机与网络系统方案,充分利用了计算机科学与网络技术的最新发展成果,考虑了系统的实用性,可管理性以及灵活扩展能力,并对方案的具体实施提出了参考建议。系统将在数据传输、设备选型、系统容错、性能价格等方面达到平衡。在可靠性、先进性、安全性和简单且易维护方面得到保障。方欣公司相信,通过与广州市工商局的密切合作，一定能够建设一个高标准的电脑网络系统，从而成为全省工商系统的样板工程，并为将来长期的友好合作关系打下良好的基础。第II章 系统需求分析2.1 网络需求分析广州市工商局计算机网络系统将连接包括市局,区（县）局、分局和工商所的三级网络架构。该系统将结合局域网技术和网络互连的广域网技术，实现全市范围内各部门的信息资源共享，便于及时掌握各方面的动态，使管理工作更加高效化、规范化、科学化外，还将是联系省局、市政府、企业、税务、银行、海关等部门的桥梁。对外可接入Internet网。网络技术发展到今天，出现了：一、 以双绞线为传输介质结合集线器构成的星型以太网结构取代单一的以铜轴电缆为传输介质的总线型网络；二、 交换技术引入计算机网络，出现了以交换取代共享的局面；三、 多种高速传输技术的产生，包括：FastEthernet，GigaEthernet，ATM等网络传输技术；四、 从计算机局域网到广域网的一体化解决方案的不断发展。以上四点反映了网络技术的发展趋势。在早期总线型结构以太网实践中，出现的可靠性差，维护困难等问题，导致10BASE-T结构网络的产生，并形成结构化布线的基础，但随着网络规模和网络信息量的增大，虽然通过增加网段的方式可增加和工作站间的通信频宽，减少每个网段的工作站数，提高服务器和工作站通信速度，但由于服务器必须对网段进行管理处理服务器由各网段的包接收发送请求，协调网段间的工作，因此随着网段数的增加，服务器的负荷越来越重，直接影响到服务器的处理能力，引发网络整体速度慢，导致网络阻塞，特别是网络主干上的阻塞，在这种情况下只有新的更高速的网络技术才能彻底解决网络阻塞问题，交换式以太网技术就是在此基础上，以多频道技术，配给高速总线动态交换数据，从而获得最大的有效频宽，提高网络的数据传输速度；交换技术发展到现在，交换不仅是交换式以太网，也可发生在多种网络技术之间，如：Ethernet,FastEthernet,FDDI和ATM；随着Switch、Fast Ethernet、ATM技术的产生，丰富了高速网络技术。广州市工商局广域网络系统既有一般广域网的特点，同时又具有明显的特殊性： 广州市工商局广域网系统的规模不仅在全省国税工商系统为最大型，在信息化行业中广域网的规模都为较大型。网络接点数包括全市18个分局和118个工商所，数据量包含全市二十几万家公司的数据信息。因此，设备的选型应充分考虑工商应用系统的特点及今后的发展趋势。我公司在这方面有一定的经验。广州市工商局广域网络系统的建设，应该是围绕着应用展开的网络建设。网络的一切建设思想应该首先考虑应用。该系统的建设，主要是围绕建设信息管理系统，兼而考虑Internet/Intranet、办公自动化等最新应用技术与管理模式。该网络系统工程的建设，应围绕应用类型、应用规模、数据流量来考虑设备选型。下面对工商局应用系统需求进行简单分析。2.2 应用系统需求分析2.2.1 工作模式分析 广州市工商局网络承担的各项应用系统可归类为：数据库管理系统、综合办公事务处理系统、及领导辅助决策系统。该三类系统的应用工作模式及流程的情况如下：数据库管理系统一个分布式的数据库管理系统可以把同一网上不管是局域网或广域网上的多个数据库看成一个逻辑整体，实现分布式查询、分布式更新、分布式的事务管理，用户可以透明地操作不同地点的不同数据库系统所管理的数据，这要求：网络透明性使用一种网络通信协议的工作站，透明地与使用另一种网络通信协议的服务器通信。位置的透明性保持一个全局的数据字典，将各数据元素与分布式实体，用户可以象访问单个数据库那样访问分布式数据，而不考虑如何存储及存储在哪里。SQL透明性用户使用一种SQL语言解决异构数据的定义、查询、修改，而不必知道不同RDBMS所使用的SQL语言的差别。厂商的透明性用户面向一个逻辑数据库进行操作，透明地访问存储在多种DBMS中的数据，不必关心每一数据库的特殊工作方式。综合办公事务处理系统综合办公事务处理系统面向工商局办公自动化、网络化和员工协同工作，目的是使企业内部信息交流和办公水平更加高效化、规范化、科学化。综合办公事务处理系统应包括非结构化多媒体文档信息的管理和共享、工作流、电子邮件、电子会议和计划图表等功能，在此基础上实现个人办公管理、领导办公管理、公文管理、政务信息管理、签报、报告管理、会议管理、值班管理、日程安排、大事管理、公共信息服务等系统功能。OA系统包括系统层和数据层二大部分。数据层是系统信息、文件等的存放场所；系统层包括公文管理、信息交换、个人事务等三大模块。公文管理模块实现进口文件报告的登记、分发、催办、归档、查询以及出口文件报告的起文、审批、分发、归档、查询等功能，其核心是工作流引擎（Workflow Engine）。信息交换模块包括电子邮件交换、新闻系统和电子公告系统，其核心是电子邮件系统；个人事务模块，包括个人桌面文字处理、电子表格、日程管理等辅助办公工具。服务及决策支持系统综合办公事务处理和专业管理信息系统只是INTRANET的初级和中级应用阶段，为使INTRANET对管理工作作出实质性的贡献，并取得更大的经济效益，应包含更高级的服务及为领导决策支持服务系统的应用。SDSS（服务决策支持系统）在半结构化和非结构化决策活动过程中，通过人机对话，向决策者提供信息，并为决策者提供一个分析问题、构选模型和模拟决策过程及其效果的决策环境，协助决策者发现和分析问题，探索解决方案，评价、预测和选择方案，提高决策人员的决策技能和决策质量。由于SDSS需要处理的数据类型复杂、格式化程度底，并且包含大量的历史数据和企业外部数据，建议采用数据仓库技术存储和管理数据；又由于SDSS对信息加工的要求比较复杂，并且具有很大的随机性，建议采用专业统计分析软件包和OLAP（联机分析处理）技术来解决。2.2.2 数据流量分析在广域网上运行的应用程序一般采用Client/Server方式，主服务器多位于各分局或区局，多个应用系统的数据库建立在运行于中心服务器的关系数据库之上。在Client/Server的运行模式下，客户端的程序只负责将用户的操作转换为对服务器端应用程序的调用，并将应用程序执行的结果或页面文件的形式返回给用户。这就意味这对中心服务器大量的访问，从而对中心服务器的处理能力和广域网带宽造成压力。而办公自动化系统有一定的局部性，在各个分部之间及上下级之间主要是电子邮件的和少量文件的传输，由于该两种传输具有随机性，一般不会对网络带宽造成持续的影响，因此在带宽估算上不把二者作为主要因素，而是在估算后带宽上增加一些冗余作为解决方法。因此在广域网带宽设计上需注意满足以下容易形成网络通信瓶颈的方面：u 工商所访问分局时分局的广域网带宽形成瓶颈。u 分局的广域网出口带宽形成瓶颈。通常，由于本系统是一个新建立的网络，市工商局原先没有建立互连的内部网络，在得不到日常工作中的网络流量数据的情况下，不能运用排队论进行计算求得广域网带宽需求，只能根据经验结合接点数进行大致的估算。为了对市局和各个区（县）分局的广域网带宽进行估算，首先需确定对每台客户机（PC）在Client/Server的模式下对带宽需求的最小值。同时还要考虑到在同一个局域网内部，所有的对区局本部的访问都需通过唯一一个广域网端口。以太网CSMA/CD的对通信信道争抢方式，使网络的利用率约为30%，由于各地局域网都使用交换技术，因此利用率可达50%以上。由于Frame Relay的带宽常用的有19.2K，64K，128K，256K，1M，2M等，考虑到整个工商系统的应用是个逐步增加的过程，而线路的租费是逐步下调的趋势，建议 DTU设备按较高速率采购，工商所、分局、区（县）局采用64K/128K Frame Relay(待应用基本上运用后可进行排队论计算),市局采用2个512K Frame Relay，兼有互为备份的作用。2.3 解决方案分析 通过以上分析，广州市工商局网络采用何种网络体系结构，首先必须了解当今计算机体系结构模式的分类及其特点：计算机体系结构主要有四种模式：分时（time-sharing）方式、资源共享(resourse-sharing)方式、客户/服务器（client-server）、WWW方式。分时系统（time-sharing）分时系统通常由两大部分组成：系统主机与用户终端。整个系统的所有处理均在主机上运行，分时使用主机资源。资源共享方式资源共享方式的系统也由两大部分组成：系统主机与用户端工作站。系统主机在这里充当资源服务器（如文件、打印服务等）的角色，一般只提供资源共享服务，不作数据处理。用户端工作站通常是微机，用户输入、屏幕输出、数据处理等工作全部在工作站上完成。其常见的例子是一个计算机局域网系统，常见的NETWARE NOVELL即是典型例子。客户/服务器客户/服务器技术是融合了分时系统与资源共享方式的优点的基础上发展起来的。它有效地解决了前两种方式存在的问题。它将一个系统分成两大部分，并在两部分内协调工作，达到最佳效果。前端处理所有的屏幕和用户的输入/输出；后端系统提供数据处理、信息共享、高级管理及安全服务。税务信息系统的核心系统统一征管软件系统采用的就是该种模式，对广州国税统一征管软件系统而言，其数据库的分布显得很关键：大多数的分布式网络系统应用都会面临一个艰难的选择：采用集中式的数据处理还是采用分布式的数据处理。以下是数据集中处理与数据分布处理在性能、安全性、应用开发难度、投资、可管理性、和易维护性等方面的比较。集中式数据处理集中式数据处理的优点：² 技术非常成熟，避免了分布式处理所带来的诸多技术难题；² 应用软件的开发工作相对简单；² 数据库系统容易维护，管理简单；² 系统初期投资、实现成本和运行成本低:初期投资包含对数据库系统软件的投资、主机服务器投资和各数据中心间的高速通讯线路。实现成本包含软件开发成本和为分布式数据管理配备管理机构。运行成本包含通讯费用，运行维护费用和管理人员费用等；² 适合于集中管理的企业组织和业务模式。² 集中式数据处理的缺点：² 系统中各节点依赖广网络，当广域网发生故障时，节点无法工作；² 系统依赖于数据中心，当数据中心发生故障时，整个系统瘫痪；² 物理数据远离用户，远程节点的响应时间较长。 分布式数据处理 分布式数据处理的优点：² 较之集中式数据处理技术先进、高效、灵活、易扩充、全局安全性高；² 适合于分散形式的企业组织和业务模式；² 系统中的各节点对广域网的依赖较小，当某数据中心出现故障时，除部分全局业务功能受影响外，其他业务受影响程度教小；² 物理数据接近用户，响应时间较短；² 适合于分布或合作关系的企业组织模式。分布式数据处理的缺点：² 技术尚未完全成熟，分布式算法的实现效率较低，如分布式更新、复制、备份、分布式快照、全局一致性保障等；² 应用软件的开发难度和工作量较大，尤其在故障恢复时和保障全局一致性时，设计和实现难度较大，系统实现存在难以预见的风险因素；² 数据库系统维护要求人员多，对人员素质要求高，系统管理和维护复杂；² 系统初期投资、实现成本和运行成本较高；数据库在市局一级会使数据库系统的管理维护工作得到保证，节约区（县）一级的计算机系统投资与维护工作。比起分布式方案会依赖于网络通讯条件。但接点数及数据量太大，且当广域网发生故障时，影响面太大。数据库在工商所或分局内,使得业务处理最为灵活,响应时间也快。缺点是数据库的管理任务太大，运行维护成本会很高。同时每个数据库服务器的配置与维护工作也会加大。由此可见，选择怎样的数据处理模式会受不同条件的影响并与应用程序的实现有很大关系。需要根据不同条件从管理模式、业务处理、通讯条件、投资规模、技术人员状况以及风险等各方面综合考虑。故建议采用分布式与集中式相结合，数据库集中于区（县）分局，通过复制服务器向市局复制，实现全市数据集中于市局。Sybase复制服务器技术我公司有丰富的经验。WWW（Brower/Server）方式Brower/Server方式实质也是基于Client/Server计算体系结构，是多层次Client/Server结构，它是随着Internet/Intranet技术发展而来；从抽象的角度上看，Web已经发展成为一种新的计算平台；基于Web的应用程序通过Web服务器可提供各种服务，从简单的信息查询到复杂的事物处理；统一、标准的前端交互工具，表现为Web页面的、简单易用的用户界面，易于实现的通讯协议，成熟的广域网访问技术，数字签名提供的可靠的安全性保证，使得Web成为办公自动化及辅助决策系统的最佳模式。第III章 广域网系统总体设计3.1 广域网系统的设计原则和目标根据广州市工商局的要求，要达到系统的目标，高水平高起点建设好广州工商广域网，必须在以下几个方面出发来设计方案。3.1.1 系统要安全可靠在实时性较强的应用系统中，安全可靠性是系统是否实用的关键。在我们设计的系统中，主要就中心路由器的可靠性和线路的容错来实现。中心路由器采用Cisco公司的高性能大型路由器7204，Cisco7204路由器具有双电源容错系统，并且具有端口容错等安全措施来保证系统的稳定运行。在下一级与上一级机构通信时，建立FrameRelay线路相应的拨号电话或ISDN备份线路，通信线路故障时系统会自动启动备份线路建立连接并维持通信，保证系统运行不受影响。同时，网络路由器的既连通、又控制的功能也为系统安全性提供了有力的保证。3.1.2 系统的高性能系统必须具备很强的系统性能，满足联机事务处理的要求，能够支持分布式的Client/Server模式的数据库管理系统。3.1.3 通信系统的扩充性通信设备(路由器)的端口能够支持包括拨号电话线、电话专线、数据专线、X.25、DDN网、FrameRelay等各种不同的通信线路，因此系统的可扩充性要很好。当条件许可，可以启用更好的通信线路时，所有的通信设备的硬件不用作任何更改或增加，只要重新设定软件配置，就可以在更好的线路上提供更高的速率和更多的通信服务。当各机构不断增加而使得通信量加大时，系统中所采用的通信设备将不会成为系统的瓶颈。Cisco的路由设备满足对线路类型的适应性。而且中心路由器7204的总线处理能力达到600MB，有6个可用的扩展槽，每个扩展槽都可任意选配，能够满足系统以后的扩展需求。3.1.4 系统的开放性和标准化网络通信协议和接口要遵循国际标准，支持多种机型，多操作系统的网络互联。根据要求系统至少提供IPX、TCP/IP和SNA三种协议支持，基本满足NOVELL NetWare、UNIX和AS/400等平台的网络互联。3.1.5 具有较好的性能价格比系统根据不同的线路条件和网络环境选用不同设备，力求最符合广州工商局的应用环境，并且有较好的性能价格比。3.1.6 易于网络管理一个大型的网络系统而言，一个有效网络管理系统对系统运行的监控、系统性能分析和故障诊断都是相当重要的。因此系统必须配备合适的网管系统。3.2 系统的弹性设计对于一个网络系统来说，弹性就是对应用程序和数据的有效支持。可以说有弹性的网络系统就是当有人或某事试图破坏它时，还能连续支持用户的应用程序，即系统的可靠性。在实际应用中，提高网络的弹性能力的可行方法是消除故障孤点,特别是单点故障。3.2.1 弹性设计的内容弹性设计包含三方面的内容：l 物理可靠：指系统对关键硬件设备（如CPU、存储介质等）损坏、不可遇见性灾难（如地震、飓风、陨石、强磁场等）、对硬件、数据库及服务资源等的人为破坏的耐受能力。l 逻辑可靠：包含操作系统可靠，数据库管理系统可靠，应用程序可靠等。l 健壮性：指系统在故障情况下的恢复容易程度。对关键硬件设备的损坏，我们将采取一定程度的容错措施。根据经验，系统最可能出现的故障原因依次为：电源故障；雷击；线路连接；火灾失效。我们在此方案中，考虑系统的弹性包括：WAN的弹性设计，通信设备的弹性设计。3.2.2 WAN的弹性设计网间网即WAN的弹性包括冗余的WAN线路及其所带来的额外开销。一种主要的方法是连接备份线路，可以避免重复路由保持和再计算。在此方案中，路由器通过DDN/FrameRelay连接主干的通信线路。当主干线路出现故障时，路由器可以自动通过PSTN或ISDN拨入中心路由。在此方案中，WAN的弹性设计包括：线路的备份，中心路由器的备份。系统中以上两个部件出现故障时，系统能够自动地在约5秒中内切换到备份部件上，而无需人工干预。3.2.3 通信设备的弹性设计随着租用线路服务可靠性的增强及其使用ISDN/PSTN作为后备策略的成熟，系统的可靠性已经很大程度上转移到通信设备连接的弹性上。通信设备的损坏的一个很好的解决方案就是使用双电源和双路供电。中心路由器采用Cisco公司的高性能大型路由器7204，Cisco7204路由器具有双电源容错系统，并且具有端口容错等安全措施来保证系统的稳定运行。3.2.4 LAN的弹性设计随着通信线路和通信设备的可靠性提高，系统的可靠性已经很大程度上转移到LAN连接的弹性上。一个很好的解决方案就是使用双LAN服务。主机与两个LAN适配器相连，每个适配器连接到一个单独的HUB或交换机上，这样主机与主干交换设备之间的关键连接是弹性的。3.3 系统安全性设计系统的安全性主要是因为网络经过公共通信网（如帧中继，Internet）后所引起的对系统的蓄意破坏和对信息的窃取。如今Internet火爆全球,可令人头疼的问题也随之而来,那就是由于"黑客"在网上的活动极具危害性和破坏性,所以网络安全问题已成为网络管理员关心的大事,它也是决定Internet 命运的重要因素。然而从根本意义上讲,绝对安全的计算机系统是根本不存在的,绝对安全的计算机网络也是不可能有的。只有存放在一个无人知晓的秘室里,而又不插电的计算机才可以称之为安全。只要使用,就或多或少存在着安全问题,只是程度不同而已。美国国防部制定的 "可靠计算机标准评估准则" (Trusted Computing Standards Evaluation Criteria) 将计算机安全划分为从A到D四个级别,每个级别之内还可以再细分。A1级为最高,但除了放在一个无人知晓的地方且未插电的计算机可以算得上A1级,再没有计算机可以享此殊荣。标准的Unix(只具有login口令、 文件保护等几项安全措施)被定为C1级,DOS被定为D1级。目前还很少有操作系统能够符合B级标准。 我们在探讨网络安全的时候,实际上是指一定程度的网络安全。而到底需要多大的安全性,却要完全依据实际需要及自身能力而定。网络安全性越高,就越意味着对网络使用的不便。因此,网络管理员在考虑网络安全时,必须两者兼顾。3.3.1 防火墙技术 一个使用很广泛的网络安全技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。 目前在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。 那么什么是防火墙呢?顾名思义,防火墙是用来阻挡外部(Internet)火情影响内部网络的(Internal network)屏障。无论外部世界多么错综复杂,良莠不齐,经过防火墙的过滤,内部网络大可隔岸观火,不受火灾危害。用专业语言来描述,防火墙的主要目的就是防止外部网络的未授权访问。如果决定某个网络设防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。另外,还要确定防火墙类型,即防火墙拓扑。防火墙的技术实现通常是基于 "包过滤" (Packet Filtering) 。而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单 (Access Control List)中设定的。需要说明的是网络的安全性通常是以网络服务的开放性、便利性和灵活性为代价的。对防火墙的设置也不例外,由于防火墙的隔断作用,一方面加强了内部网络的安全, 另一方面却使内部网络与外部网络(Internet )的信息交流受到阻碍,必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且也减慢了信息传递速率。 因此,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网,才建议使用防火墙。 另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。3.3.2 加密技术网络安全的另一个非常重要的手段就是加密技术(cryptography)。它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息全部通过加密处理。3.3.3 本地网的安全措施目前,在Unix/NT上发现的大多数问题,都归因于一些编程漏洞及管理不善,如果每个网络及系统管理员都能注意到以下几点,即可在现有条件下,将网络安全风险降至最低。l 口令管理 目前发现的漏洞,大多是由于口令管理不严,使"黑客"得以乘虚而入。因此口令的有效管理是非常基本的,也是非常重要的。 l 用户帐号管理 在为用户建立帐号时, 应注意保证每个用户的UID是唯一的,应避免使用公用帐号,对于过期的帐号要及时封闭,对于长期不用的帐号要定期检查,必要时封闭。(因为这样的帐号通常是"黑客"袭击的目标,他们可以在上面大做手脚而很长时间不被发现)。l 拨号用户的安全策略通过电话线拨号访问网络，采用Radius或TACAS安全认证和授权标准来确保对系统资源的访问。通过回叫(Dial-back)功能可以确保拨入的位置和站点的安全许可。3.4 IP地址规划和域名服务3.4.1 设计原则 Internet网域名管理及网络地址的分配将遵循INTERNET的有关规则来设计。Intranet的每个网络和主机都有唯一的IP地址和与之对应的名字（即域名）。3.4.2 IP网络地址分配当用户申请的IP 地址超过一定数量时，建议由用户直接向亚太Intranet网络信息中心（APNIC）申请。用户申请IP地址应按要求填写申请表，说明自己的网络情况和IP地址的需求。 IP地址的分配原则是： 1用户本身不是网络时，可根据需要按单个IP地址分配。1 用户是以网络方式上网时，视业务需要分配一组IP地址。2 内部网地址最好使用Internet的保留地址，通过代理服务器/防火墙等设备将内部地址进行翻译，达到连接Internet的目的。3.4.3 域名管理 由于IP地址是用一长串数字来表示网络和主机，即使对管理人员及专业人员来说也是很难记忆，更何况对一般使用Intranet的用户。因此用和IP地址相对应的域名来表示网络和主机，能极大的方便记忆和使用。3.5 系统的性能设计在Intranet和Client/Server体系结构下，对系统性能的影响主要体现在网络通信的性能上。对网络系统主要是采用快速交换式以太网技术增加LAN的带宽。而对WAN而言，由于WAN的带宽限制，提高性能主要采用以下策略：l 限制广播区域：ARP，RARP，BOOTP和路由协议在路由器处终止；l 高效路由协议：主干WAN采用IP通信协议，能够发挥寻径能力。在有限带宽的情况下，我们可以采用静态路由。如果需要动态路由，Cisco公司的OSPF和EIGRP等都是高效的路由算法。如果需要实现自治系统边界功能，可以利用路由过滤器限制BGP4路由更新的大小。l 高速缓存。l 优先级特性：在TCP/IP协议中，对于交互式的通信类型设置高级的通信优先级，而对于批处理的通信类型，可设置低优先级。保证交互式的应用能够得到适当的带宽。l 使用高速的主干，将规划ATM或GigaEthernet来实现市局、区县局的主干局域网。3.6 广域网系统总体方案本方案致力于建立广州市工商局企业级网络系统，完成市局及下属各区、县级分局及分局、工商所的全市范围联网，实现网络的资源共享，加快数据和信息的流通，同时加强局内的内部管理和办公自动化应用，以高起点建设广州市工商系统内部的网络通信系统。广州市工商局的机构设置为典型的树型结构，共分为三层：市局、区县分局第二级机构、工商所为第三级机构。与此相同，整个网络系统在结构上也相应地分为三个层次。在本方案中，广州市工商局市局是整个网络系统的数据处理和网络管理中心，将配置有UNIX和NT主机，网络协议为TCP/IP，通过FrameRelay线路连接各地的二级机构。每个二级机构既作为市局的分支节点，同时又作为所属地区的分部数据处理与网络管理中心，连接其下属的三级机构。根据不同的线路和地域情况及通讯要求，二级机构与三级机构的连接可通过FrameRelay、DDN或PSTN、ISDN等不同的方式，每个二级机构配置相应的NT主机。三级机构为工商所，由于数据处理量小，不配备专业的维护管理人员，因此不配置服务器，直接作为第三级的远程接入工作站来设计。由于规模和业务量的不同，对于三级机构，可选择配置华为路由器。基于网络的数据库应用，系统采用分布式Client/Server数据库，数据不存放在本地，对数据的操作采用Client/Server的调用方式，以提高整个网络系统的通信效率，基本上实现零维护。第IV章 广域网系统方案广域网通信系统是连接市局及各分支机构电脑网络系统的关键，通信系统性能的好坏，将会直接影响到整个网络的运行，因此本方案在各方面都予以了仔细的考虑。4.1 系统整体结构按照广州市工商管理局的组织架构，分别分为市局、区县分局二级机构、工商所三级机构共三个层次，通信系统的整体结构，也是基于这种树型结构，将整个通信系统划分为多个层次，按照每个层次的不同大小和规模分别进行考虑，同时从全局的角度出发，将各个层次紧密地融合在一起，从而形成一个完整的广域网通信系统。整个通信系统共分为三个部分：市局与二级机构的通信、二级机构与三级机构的通信。根据目前初步提供的各个下级单位的站点数量，设备选型方案如下：4.2 市局通信系统市局的通信系统负责完成市局总部与下属二级机构的通信，通信线路采用FrameRealy帧中继线路。总部选用一台模块式的Cisco 7204路由器，通过选配的两个快速以太网模块分别连接总部局域网环境中的两个子网，一般为两个独立的交换机，每个交换机设定为一个子网，或者是一台交换机中的两个虚拟网VLAN，这样防止本地局域网出现故障（如电源失效，或交换机坏），远程网对服务器的访问不受影响，当然相应的服务器也应配备两个网卡，分别连接到两个不同的子网，（在局域网未实现多子网前，可只连接一个以太网接口）。通过选配的同步通信模块连接各个二级机构，由于帧中继可以实现一点对多点的通信，Cisco 7204上只需一个或几个同步通信接口即可实现总部对所有二级机构的通信。按目前的要求，配置一个4口模块，其中2口分别连接已经铺设的FrameRealy端口，其余2口备用。总部通信系统的备份系统，是在总部放置一台Cisco 3640模块化拨号访问服务器，既可通过MODEM连接PSTN电话交换网，也可连接ISDN实现ISDN备份。位于各二级机构的Cisco 3620或Cisco 2610则通过MODEM连接到PSTN网上，以拨号备份的方式实现通信线路的容错。在业务量未达到饱和的初期，可以将主路由器和备份路由器合一，在主路由器上加插备份线路的支持模块，即只实现线路备份，不做路由器设备备份。作为整个广域网通信系统的管理、监视、控制中心网管系统，也位于总部的网络中，有关网管部分请参考本方案中的相应部分。全市四级连网结构图见图2。4.3 二级机构的通信系统二级机构通信系统一方面完成二级机构与总部的通信，另一方面完成二级机构与下属三级机构的通信。根据二级机构不同规模的大小主要分为四类：A、规模较大的二级机构（各县局：包括番禺、花都、增城和从化）各选用一台模块式的Cisco 3640路由器。规模较大的二级机构通过Cisco 3640的以太网模块中的两个接口分别连接局域网中的两个子网（在局域网未实现多子网前，可只连接一个以太网接口），通过它的同步通信模块经过帧中继网连接总部，并通过同步通信模块上的同一接口或其他同步通信接口经过帧中继连接各自的三级机构。由Cisco 3640的异步端口通过MODEM连接PSTN网，实现与市局网络的PSTN拨号备份。同时，与三级机构的路由器或主机的PSTN/ISDN连接也通过Cisco 3640的异步端口实现。把PSTN网作为帧中继的备份线路。也可通过ISDN模块完成ISDN备份。B、规模较小的二级机构，则选用一台Cisco 2610路由器，通过它以太网接口连接各自的局域网环境，通过它的一个同步通信端口经帧中继线连接市局。而其中的异步通信端口或ISDN端口通过MODEM或ISDN完成线路备份，及连接三级机构。C、大的区局，则选用一台Cisco 3620路由器，通过它的以太网接口连接各自的局域网环境，通过它的一个同步通信端口经帧中继线连接市局。而其中的异步通信端口或ISDN端口通过MODEM或ISDN完成线路备份及连接三级机构。市局与二级机构的连网结构见图3。4.4 三级机构的通信系统三级机构的通信系统只实现与二级机构的通信。对于规模小（如只有单台计算机）的一般三级机构可通过单台主机连接MODEM，通过拨号连接二级机构，作为远程工作站，实现通讯。对于有两台及两台以上主机的三级机构选用一台低档的Quidway 1603路由器，通过一个同异步串口接MODEM与二级机构实现连接，或通过另一个ISDN口实现连接。三级机构连网结构见图4-8。4.5 网络管理系统4.5.1 网管系统概述通信系统的管理分为三部分：一是网络通信连接设备即 DTE设备的管理，本系统中包括所有 Cisco 路由器和 Cisco通信服务器；二是线路连接设备即 DCE设备的管理，其中包括由电信局提供的 DTU(Data Termination Units) 数字终端单元和带宽管理器等设备的管理；三是线路的管理。传统上是将第二、三部分由电信部门进行管理，但这种情况下，每当通信线路或 DCE 设备故障时，甚至当无法判断是 DC