桂林市财政局网络系统（doc 38）.docx

《桂林市财政局网络系统（doc 38）.docx》由会员分享，可在线阅读，更多相关《桂林市财政局网络系统（doc 38）.docx（38页珍藏版）》请在三一办公上搜索。

1、 XX发展有限公司XX局网络系统方案建议书目 录1 、前 言62 、系统概述与需求72.1 系统建设的必要性72.2 系统建设概况72.3 总体需求72.4 建网目的83 、局域网技术现状分析与技术概述93.1网络技术选择103.2网络设备的系统结构103.3虚拟专用网络(VPN)113.4路由功能113.5容错功能113.6网络管理114 、网络方案概述124.1 网络设计思想124.2 网络逻辑结构145 、网络实现155.1 系统需求155.2 网络实现技术155.2.1 主干网155.2.2 各子网设计165.2.3 远程服务165.2.4 与外部网络的连接165.2.5 网络物理拓扑

2、结构175.3 外连方式175.3.1 PSTN(电话拨号)185.3.2 ISDN(综合业务数据网)185.3.3 DDN(数字数据网)205.3.4 X.25(公共分组数据交换网)215.3.5 帧中继225.4 网络设备选择235.4.1 交换机235.4.2 路由器245.4.3 远程访问服务器245.4.4 服务器265.5 系统平台266 、技术重点与难点276.1 子网划分与地址规划276.2 虚拟局域网的划分276.3 增强IP组播(IP Multicast)能力287 、安全性287.1 网络设计287.2 应用软件297.2.1 用户口令加密存储和传输：297.2.2 分设

3、操作员297.2.3 日志记录和分析307.3 网络配置307.3.1 路由307.3.2 防火墙307.4 系统配置317.4.1 网络服务程序317.4.2 数据库安全配置317.5 通信软件328 、维护338.1 系统维护338.2 支持与服务348.2.1 支持和服务范围348.2.2 支持和服务内容349 、人员培训3810 .系统报价391 前 言 信息化正对人类社会发展产生越来越巨大而深远的影响,网络正逐步深入到社会生活的各个方面。政府部门承担着社会经济管理职能,政府部门信息化是社会信息化的重要基础。实施政府上网工程旨在推动各级政府部门为社会服务的公众信息资源汇集和应用上网,实

4、现信息资源共享,这对于全面推进国民经济信息化具有重要意义。 目前,随着我国金桥信息网业务的顺利开展,国家经贸委、广电部、水利部、交通部、林业部等政府部门都已上网,同时省级政府部门也将先后在网上建立自己的网站提供信息。随着电子商务的发展,更加需要电子政府的出现,实现网上交互式信息交流和电子命令的传递。在政府机构办公及管理信息化进程中，政府机构如何发挥自身作用，怎样利用Internet/Intranet技术带来的机遇和挑战，来提高工作效率和管理科学水平，是亟待解决的问题。 这两年来，XX局的科室微机大部分职能还是报表处理、单机作业为主。市XX局与区财政厅、市XX局与下属机构的通信也是简单地文件传送

5、，甚至还停留在手工报表，人工递送阶段，显然越来越不能满足现代化管理的需要。2 、系统概述与需求2.1 系统建设的必要性建设XX局综合信息网络目的：一是进一步加快全局各机构办公自动化的进程，实现政府职能的网络化，提高各级领导的决策水平；二是推动工作体制和工作方式的改革，打破部门之间各自为政的局面，通过信息畅通，保证政令统一，提高办事效率；三是通过网络加强XX局与广大市民的联系，听取群众的意见和心声；四是通过XX局上网，挖掘市XX局拥有的丰富的信息资源，为全市企、事业单位服务，促进信息资源的应用，促进我市经济发展和社会进步；五是通过政府工作网络化，树立XX局局现代化形象，推动全局信息化工作的开展和

6、信息产业的发展。2.2 系统建设概况建成市XX局办公自动化骨干网。建成XX局网站接入国际互连网2.3 总体需求建立一个全局的信息管理和应用的网络系统，建立医院内部的Intranet，并提供相应的各种服务。能够有序地共享网络上的各种软、硬件资源，各种信息能够在网络上快速、稳定地传输，并提供有效的网络信息管理手段。整个系统采用开放式、标准化的结构，以利于功能扩充和技术升级。能够与外界进行广域网的连接，提供、享用各种信息服务。具有完善的网络安全机制。能够与原有的计算机和应用系统平滑地连接，调用原有各种计算机系统的信息。2.4 建网目的政府上网的另一个作用就是在网上实现办公。以往人们到政府部门办事,往

7、往要跑到该地区的各管辖部门的所在地区,如果涉及到各个不同部门,要盖不同的章,更是费时费力。除了有一些手续必须有实物证明外,可以建立一个文件资料电子化中心,把各种证明和文件电子化。同时,项目审批等与政府有关的各项工作都可以在网上完成。而在XX局内部,各部门之间也可以通过Intranet相互联系,各级领导也可以在网上对所管部门作出指示,指导各部门机构的工作,并能及时地进行意见反馈,节省了工作时间,提高了工作效率。与INTERNET相连后可实现电子政府的强大管理应用功能：2.4.1监督电子化 电子政府可以在网上公开政府部门的名称、职能、组织结构、办事章程、各项文件等,以便公众迅速了解政府机构的组成、

8、职能和办事章程、各项政策法规,增加办事的透明度,同时设立友好的访问界面、丰富的站点,接受民众的意见,自觉接受公众的监督。2.4.2电子招标指通过Internet向全国各企业公开招标来购买商品的方式, 由政府在Internet网上公开其所需购买产品的有关信息,欢迎各个企业前来投标。同时,可以对感兴趣的企业网站发出E-mail,邀请其前来投标,并说明前来申请的截止时间。有意投标的企业需要取得影象、价格、规格等数据和产品性能、优势等文字说明,报送到政府招标的专门网页上。由政府有关人员对其招标项目进行审核,初步作出筛选。2.4.3资料电子化 网络的一大特点就是能开放、充分地提供各种信息,XX局对外部门

9、的各种资料、档案、数据库的上网使XX局的服务更加完善,更好地为社会服务。3 、局域网技术现状分析与技术概述目前在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型：Ethernet:10M、100M、千兆以太网，ATM:25M、155M、622M、2.4G，DDN:64K、128K、1M、2M，X.25:64KFDDI:100M 面临淘汰。在端口数据分配上也分为共享式和交换式，网间数据交换核心方面分为路由和三层交换两种技术。在以上几个方面中网络类型的选择是关键，目前的主要技术之争是发生在以太网和ATM之间的，这两种技术各有短长ATM技术相对以太网来说是一种较为为新型的技术，它基于面向

10、连接，提供QOS保障，在实时数据传送，预留带宽方面有不可比拟的优越性，特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求，它针对不同的数据通讯类型会给予不同的质量保证，另外小信元有利于速率的不断提高，但由于其技术成熟度不够，和目前直接基于ATM的应用类型还比较少，它的优越性受到了限制，另外它的元件和设备价格昂贵是另一个不利与推广的弱点。以太网技术相对成熟，而且多数应用基于以太网开发，所以决定了目前它在网络中占主导地位，受多数用户的青睐。在此我们推荐使用千兆以太网技术，它在技术上由快速以太网衍生出来、性能价格比高，现在相关技术已经稳定，并且非常适合XX局使用。在此方案中我们选择千兆以太网与

11、三层交换作为技术定位的基本模式。3.1网络技术选择根据应用实际需求，和网络功能、性能、安全性等多方面的分析，对网络技术做出如下选择：根据应用系统的需求和接入网络方式的特征，XX局网络采用10M/100M全交换结合的方式构建自己的网络通信平台，采用虚网划分技术，虚网间数据传输实现第三层交换，为桌面设备提供10/100M以太网接入，并同时具有技术领先性。主干为百兆快速以太网。服务器以100base-T接入。普通网络用户PC采用10/100Base-T方式接入。网络基本形式为交换式网络。3.2网络设备的系统结构 选择完全分布的系统结构（处理能力分布和存储能力分布）。 选择存储转发式交换技术（Stor

12、e-forward）以支持低速网络接口和高速网络接口的交换及对错误帧的过滤。 选择统计时分复用（TMD）数据交换总线结构的交换设备减少系统延时。 选择支持多种网络接口的设备。3.3虚拟专用网络(VPN)灵活多样的虚网划分手段，基于端口，基于地址和给予应用虚网中的站点不应受接口类型的限制。支持网络站点的自由移动，虚网标志可被交换设备自动识别以保持原有虚网属性。虚网可延伸到整个信息中心网络，跨越各种交换设备。3.4路由功能内部路由采用三层交换功能提高其路由识别和包转发能力内部的三层交换虚拟路由功能与外部路由功能有互操作性3.5容错功能提供交换机内部重要模块的全双工配置（管理模块）和冗余电源主要功能

13、部件的热插拔功能支持网络链路的冗余连接3.6网络管理支持广泛的网络管理平台（如HP OpenView 、3Com Transcend 等）提供交换机配置、管理，虚网配置、管理和网络性能统计监控的 网管工具：基于SNMP网络管理协议，支持标准的MIBs提供友好的用户图形界面4 、网络方案概述4.1 网络设计思想针对以上情况，本方案的设计采用国际流行的分层设计：自顶向下进行结构化设计，自底向上实现各种业务。根据我们以往的经验，XX局的计算机网络应具有如下特性：前瞻性：即所采用的技术应是国际通信界公认的主流技术，具有持续发展的潜力。兼容性：目前，国内各种网络的建设方兴未艾，保证网络良好的兼容性是业务

14、扩展的重要前提之一。经济性：网络建设的最终目的，是要服务于社会和公众，并产生可观的经济效益，进而产生收益和投资之间的良性循环。演绎性：网络建设是一个可持续滚动发展的过程，只有不断地吸收营养、不断地发展壮大，才能产生更大的经济和社会效应。竞争性：只有这样的网络才能在市场竞争中当然会脱颖而出，独占鳌头。稳健性：因为网络系统在将来政府办公的地位非常重要，所以市XX局计算机网络对系统的稳健性将有较高的要求。本方案正是结合实际需求对于系统的稳健性进行了深入的设计。为了实现上述特性，我们本着以下原则进行设计：充分依照国际上的规范、标准，借鉴国内外目前所流行的主流网络体系结构和网络运行系统，采用国际上成熟的

15、模式，汲取国内外各种信息系统的建设经验，从网络信息化的实际要求出发进行设计。确保技术的先进性和实用性，使网络具有良好的可扩展性和灵活性，以适应网络的迅猛发展趋势，既满足当前需求，又照顾未来网络建设发展的需要。充分利用当地已有的各种网络资源，确保网络内部的互联互通。由于此网络是一个实用的服务运行系统，在总体设计时充分考虑工程的可靠性、可用性、可维护性以及网络的安全性，建立完善的安全管理体系。另外，本计算机信息系统的建设是一项庞大而繁杂的工程，它需要领导的支持、大笔资金的及时到位、计算机专业人员具有良好素质和较高技术水平，以及应用科室的配合和多部门的密切协作。所以我们对于系统的建设提出“总体规划、

16、分布实施”的建议。在制定总体规划时，我们遵循“切合实际、分阶段实施、循序渐进、安全有效”的基本原则。网络结构的选择具有先进性和安全性，扩充升级方便，可保护前期投资。基于上述因素考虑，XX局计算机网络建设思想如下：基本构架采用国际上目前流行的INTRANET网络技术，以TCP/IP为基本传输协议；主干网采用百兆快速以太网技术，以便满足市委市府系统中大量数据传输的要求；分支网络采用快速以太网(Fast Ethernet)技术以满足普通应用需求；采用先进的虚拟网络技术，将网络按功能模块划分成不同子网，增强网络的安全性；融合WEB技术，PROXY技术等INTERNET综合应用；采用FIREWALL防火

17、墙技术提高网络安全性，可靠性；4.2 网络逻辑结构XX局计算机网络的逻辑拓扑结构如下： 网络系统逻辑拓扑图 在逻辑拓扑中网络可划分为若干虚拟局域网，虚拟局域网不受设备物理位置的限制，灵活性较大。按各部分功能划分：SERVER VLAN为服务器群虚网，将各种主要服务器（WEB服务器、管理数据服务器、邮件服务器、FTP服务器等）放在一个虚网内便于管理、维护，同时也可以尽可能减少外部入侵及破坏系统的可能性;VLAN1、VLAN2根据不同的职能部门划分，如：党委办、组织部、人事部5 、网络实现5.1 系统需求 首先对整个XX局办公大楼需进行综合布线以及机房标准装修工程。XX局办公大楼是两个6层高的子楼

18、以L型连接而成，相互之间要通过网络共享一部分数据，中心机房位于6楼。下面列出XX局各楼层对网络的需求。序号楼 层信息点数1一层62二层123三层154四层165五层166六层37总计68 具体的大楼综合布线以及机房装修详见附件：综合布线实施方案5.2 网络实现技术5.2.1 主干网 网络的主干建议采用四台自适应百兆以太网交换机作为中心交换机。四台核心交换之间采用高速矩阵模块千兆光纤相连，以保证主干网信息的畅通。服务器均以100BASE端口和交换机相连，这样可以提供足够的带宽，减少由于用户对服务的集中请求所产生的网络瓶颈。 建议使用先进的路由交换机产品。路由交换机可将IP路由功能集成在硬件中，以

19、较低的代价就可获得比传统路由器高得多的路由性能。5.2.2 各子网设计市XX局的各部门所形成的子网均以100M的上连带宽分别和中心交换机相连，到桌面采用10/100M。各分支网采用交换式快速以太网技术。5.2.3 远程服务 为了满足其他单位拨号访问进行办公的需要，采用远程拨号把其他单位的计算机和XX局计算机网络通过公共电话网连起来，充分利用现代通信手段和网络资源。群众也可以通过电话拨号访问政府网站上公开的信息资源。5.2.4 与外部网络的连接 与国际互联网的连接可以获得大量的信息资源，同时能将XX局介绍给世界。通过电信局提供的64K/128K数据专线上连到163，169网。5.2.5 网络物理

20、拓扑结构根据以上分析，XX局计算机网络物理拓扑图可以是：5.3 外连方式 XX局网络中心首先是财政办公网的大脑与心脏，承担了财政办公网的运行、维护的重要责任，是一个较为集中的数据中心，和多种应用的中央控制的监测机构，所以XX局网络中心的建设是整个网络建设的关键。 网络中心的地位和功能：管理中心控制中心数据集中及备份中心检查及检测中心对外信息发布中心 为了更好地、更经济地利用XX局网络的资源，满足各种类型节点的具体需求，我们初步比较以下几种节点接入方式：电话拨号、ISDN、DDN、X.25、帧中继。5.3.1 PSTN(电话拨号) 电话拨号接入是利用现有的电话线资源，通过公用电话网实现网络节点的

21、接入。公用电话网在国内覆盖范围最广，应用灵活，方便。公众通信网主要用于话音的交换传输，通常电话线路最高速率只有9600bps，但如果采用具有4倍压缩率功能的Modem，可达56Kbps。和其它的接入方式相比，电话拨号虽然费用最低，但受到电话模拟线路本身技术的限制，其可提供的连接速率较低，且通信质量容易受到影响，不能提供高品质的连接信道。5.3.2 ISDN(综合业务数据网)采用ISDN的优势可归纳为以下几点： 1) 技术成熟 ISDN的技术在80年代就开始试验和使用，ISDN的标准则在1984形成，在1988年趋于稳定。ISDN的网络产品和终端产品已经在市场上被广泛地采用。终端产品价格逐年下降

22、。网络运营者也积累了开放ISDN业务及应用的丰富经验。我国网上交换机设备经过3年的技术和测试工作，已基本具备了ISDN的能力。2) 安装简单 安装又可分为用户把自己的终端设备连接到ISDN线上和局方为用户安装ISDN线两个方面。对于前者，ISDN为用户很好地解决了连接问题，它提供标准的用户网络接口。这一特点是ISDN成功的关键所在。它以标准接口将各种类型的终端设备接入到ISDN网络中。只要用户使用一对用户线、一个ISDN号码、一台有ISDN标准接口的终端适配器(ISDN TA)，将现有的设备(包括模拟设备如：普通电话机、传真机等) 连接到ISDN TA上。这样，用户就可以保留原有的模拟设备，节

23、省投资。如果用户已有了第二条电话线专为电脑上网使用，也就是说终端设备只有电脑，那么就可以不必购买ISDN终端适配器(ISDN TA)了，只需插一块ISDN PC卡就可完成电脑与ISDN线的连接。3) 方便易用 ISDN线路可以一线多号，一线多连，两个终端可以同时使用而互不干扰。比如：在一条ISDN电话线上可以用一个信道保持声音通话，用另一条信道上网。而且由于它属于普通电话网的一部分，所以用户既可以与ISDN用户也可以与普通电话用户通信。当用户在一条ISDN线上与普通电话用户通信时仍按普通市话或长途标准收费。4) 多媒体通信 ISDN为用户提供64Kbit/s的数字连接，使用户可以传递语音、数据

24、和图像等多种媒体的信息，并使各种应用可以在这一平台上得以开发和使用。例如：会议电视一般需要三个2B+D，即384kbp/s 就能得到令人满意的会议电视效果。5) 经济实惠 这可以表现在以下几个方面：首先，它可以一线多用，做综合业务的处理，减少投资；其次，它可提高通信能力35倍，节省费用，提高效率；第三，它可即时连接使用数字数据线路，其费用远低于DDN专线。 另外，ISDN是一种需求式服务，所以用户使用它与普通电话一样，只在需要时发起呼叫，支付相应使用时间的通话费，一旦连通，用户获得的就是高速数字通信。 6) 具有数字化优越性。 在传输速度方面，目前最快的模拟调制解调器也只不过是56Kbps，而

25、且这是一个理论值，实际使用时至多只能达到52Kbps，它还依赖于电话线的质量。但在ISDN中仅2BD就可达到64Kbps，若传输一个1MB未压缩文件不到1分钟就可传输完毕，比前者要快很多，显然占有优势。在通话建立方面，模拟Modem要协商电话线支持的带宽(速率)需要1030秒或更长时间，而ISDN无那种咕吱咕吱的杂音，几秒钟就连接好了。从传输质量上讲，ISDN的数字传输比模拟传输更不会受到静电和噪音的影响，使数据通信中更少出现错误与重传现象。 5.3.3 DDN(数字数据网) DDN即数字数据网，它是利用光纤数字传输通道和数字交叉复用节点组成的数字数据传输网，可为用户提供各种高速率、高质量的数

26、字专用电路，以满足用户组建中高速计算机通信网的需要。 DDN业务区别于传统模拟电话专线的显著特点是数字电路，传输质量高、时延小，通信速率可根据需要选择。DDN技术是利用数字信道提供永久或半永久电路,以传输数字信号为主的数字通信网络。其最具吸引力的优点是传输时延短,支持语音、图像等多媒体业务,且已经在一些金融系统中得以广泛使用,是一种较为成熟的技术。出于对未来视频会议、办公自动化等多媒体宽带新业务的考虑,DDN技术有着很强的生命力和发展前景。 传统的网络互连方式是通过租用点对点的DDN专线方式，一般速率为64Kbps/128Kbps。这就是所谓的IP的点对点互连。这种互连方式比较成熟，也是当今I

27、P网络互连中广泛采用的方式。通过模拟专线(用户环路)和Modem入网，通信速率受用户入网距离的限制，最高可到2.048Mbps，对光纤到户的用户，通信速率可灵活选择。 但是，这种互连方式使得路由器必须将IP数据包从一个IP网络向另外一个IP网络转发。这样就会带来一些问题：1) 对于组建大型的IP网络来说,由于租用这种点对点的线路,使网络方案设计变得非常复杂。为了将来网络的可扩展性,一般会考虑设计分层结构的网络体系(如网络分为骨干层及接入层等)。这样就会需要大量的路由器设备来完成这一工作。路由设备的增长,也不可避免地带来资金、IP地址分配、全网路由政策等等一系列问题。 2) 这种点到点的线路互连

28、,完全依靠路由设备来完成各个节点的IP数据交换、传递。从而目前基于IP层交换的路由设备的交换速率及吞吐率又成了全网信息流传递的瓶颈。5.3.4 X.25(公共分组数据交换网) 公共分组数据交换网X.25线路分组交换是为适应计算机通信而发展起来的一种先进通信手段，它以CCITT X.25建议为基础，可以满足不同速率，不同型号终端及计算机以及局域网间的通信，实现数据库资源共享。 分组交换网的突出优点是可以在一条电路上同时开发多条虚电路，为多个用户同时使用，网络具有动态路由功能和先进的误码纠错功能，网络性能最佳。 CHINAPAC提供交换型虚电路(SVC)和永久型虚电路(PVC)。SVC使用灵活，每

29、次可与不同的用户建立通信电路，通信费用与通信量有关，而与距离无关。PVC类似于固定专线，不需每次通信时临时建立和释放电路，适用于点对点固定连接的使用。此外，CHINAPAC还提供许多可选业务，如闭合用户群、反向计费等。5.3.5 帧中继 帧中继是一种高性能的WAN协议，最初是作为综合业务数据网（ISDN）接口设计的，现在它已被广泛地用于多种网络接口。帧中继是X.25地简化版本，它省略了X.25的一些强健功能，如提供窗口化技术和数据重发功能，这是因为帧中继工作在性能更好的WAN设备上。它即具有分组交换网的突出优点：在一条物理电路上同时开发多条虚电路，为各个用户同时使用，又能提供较高的网络带宽，（

30、56K2M），支持LAN网之间使用的多种协议。 这种互连方式的优势在于: 1) 在网络互联中,路由器的数目大大减少。对网络组网的设计要求也大大简化。 2) 以帧中继交换机代替路由器的交换功能,使网络信息处理传输速率非常快,适应于当前局域网高速互连的需求。 3) 由于帧中继网络中大都采用光纤作为传输媒体,传输误码率非常低,一般为10-8。帧中继的无差错控制机制完全可以提供可靠的端到端的传输。 如今，世界上50以上的帧中继业务是在信元中继ATM网络上传输的，这主要是由于信元交换设备具有良好的协调性和高效性。尽管除了传输其它类型的通信如话音和视频外再也没有其它的优点，作为一种接口，帧中继还是最适合于

31、数据协议的传输。而且帧中继结构非常简单，这使得它很有吸引力。帧中继很适宜于数据通信，因为同时分多路和租用线路传输相比，帧中继更有效地利用了带宽。帧中继能通过单一物理信道维持多个虚拟网络，从而使各种同等重要的通信独立通过互联网络。这种平行信息流的结构与ATM虚拟网络的结构非常一致，而且容易连接。因此，帧中继既能满足当前的连接要求，又可成为向未来高速网络过渡的桥梁。5.4 网络设备选择5.4.1 交换机目前生产交换机的厂商比较多，著名的有Intel、3COM、Cisco、Bay等。而3COM又是交换机市场的领袖。经过分析比较，我们选择3COM公司的SuperStack II 3300交换机。采用四

32、台3300交换机通过高速矩阵模块堆叠起来。 SuperStackII 3300的主要优点l 基于Web的管理 - 利用网络上任何节点的任何Web浏览器来进行简单的设备管理，但仍然保有全部的安全性。 支持RMON（远程监控） - RMON可对所有的交换机端口提前进行用户友好型的管理。集成的RMON能力支持所有9类RMON能力。 漫游分析端口（RAP） - 可以把叠堆中任一端口的信息流映射到其它的任一端口，进而直接连至网络分析器。 支持802.1p - 这是针对多媒体应用而新制定的信息流等级制传输标准。 拥堵控制：IFM（智能流控制）和802.3x - 丢失数据包是LAN降低速度的最重要起因，基于

33、流控制的IFM和802.3x标准可确保任何数据包都不会丢失。 l 支持802.1Q - 这是为了形成VLAN而制定的新标准。 IGMP探测 - 交换机对多址联播信息流进行监视，并自动调整交换机的配置，以减轻网络上的多址联播信息流负担，从而加大网络的总流量。 支持Fast IP - 兼有路由控制和线速交换性能的双重优点。 5.4.2 路由器Cisco公司的路由器已经相当于业界默认的标准，并且Cisco路由器的高性能在业界中也是首屈一指的。我们选择Cisco公司的2621路由器和2610路由器，并且给其配备了IOS防火墙。Cisco 2600 模块化多服务路由器为分支机构提供通用性、集成和功能。通

34、过50多个网络模块和接口，Cisco 2600 系列的模块化体系结构允许轻易地升级接口来适应网络扩展。Cisco 2600 系列是 Cisco 数据/语音/视频集成方案的一个关键成员，提供业界最广泛的基于 IP 和帧中继的端到端分组电话解决方案。Cisco 2600 系列为网络管理员和服务供应商提供一个经济有效的解决方案来满足目前的分支机构需求，例如： 带有防火墙安全的 Internet/Intranet 访问 多服务语音/数据集成 模拟和数字拨号访问服务 虚拟专网(VPN)访问 VLAN 间路由 带有带宽管理的路由 5.4.3 远程访问服务器 在传统的做法中，实现远程访问的方法都是以路由器加

35、载远程访问模块来实现的。这种方式在安装、调试以及维护上都是很复杂的，并且由于采用了路由器，投资成本比较高。在本系统中，我们采用专用的远程访问服务器3COM RAS1500。专用远程访问服务器提供的专业的远程访问服务，具有很高的性价比。SuperStack II Remote Access System 1500为中小型企业和Internet 服务提供商提供全面的远程访问服务。 主要优势：- 在一个平台中集成了非常广泛的功能。以较低的设备开支，提供了拨入/拨出访问、采用拨号或帧中继和专线PPP连接的局域网间路由选择功能，在Transcend Network Supervisor (TNS)的支持

36、下，将RAS 1500集成到3Com的所有网络管理应用程序中，而您的远程访问设备则像您的LAN设备一样由同样的应用程序进行管理。 - 易于安装。基于HTML浏览器的安装向导、图形用户界面(GUI)和文档浏览。 - 先进、易于操作。NAT/PAT地址转换功能提供低成本高效率的共享ISP访问。DHCP服务器、中继和代理功能为本地和远程用户提供了简捷的LAN访问方式。 - 访问方式安全。包括本地验证，并可与RADIUS、 Windows NT 或NetWare NOS 服务器配合实现远程验证功能。 - I/O单元模块化。模块化单元，便于I/O卡的添加和扩展以及PRI访问单元的热插拔。 - Unive

37、rrsal ConnectTM技术。通过同一基本速率的 ISDN 连接，提供了业界领先的模拟连接方式(速率可高达V.90)和 ISDN 拨入访问方式。 - 可伸缩性。将 ISDN 和模拟连接方式集于一身，端口范围为至24端口，可以随着您的需要进行扩展。 -采用NAT/PAT，多个基于LAN而有各自的IP地址的用户可以通过单独的公用地址(PAT)访问Internet或公用LAN，或者，众多用户可以共用一个小型共用子网(NAT)。NAT/PAT将这些专用的IP地址翻译到一个单独的公共地址或翻译到Internet服务供应商认可的公共子网。这一功能特性可以降低公司的操作费用并简化其Internet访问

38、。 - 对远程用户和基于LAN的用户来说，RAS 1500都是作为中央DHCP服务器工作的。此外，它还能代理或转播对其他中央服务器的IP地址请求。这种特性简化了网络管理，并增强了远程用户和本地用户的移动性。 - 除了固定和漫游回叫之外，RAS 1500还增加了更多的安全性和降低远程话费的选择功能。 来话ISDN呼叫(BRI和PRI)可通过D信道显现的主叫方ID信息予以屏蔽。 如果识别出主叫方，则其呼叫就会下线并自动重新拨号，这样就可以确保适当的地址收到回叫，并确保电话公司不对来自远程地址的始发呼叫收取费用(此种特性在与OfficeConnect ISDN LAN调制解调器等产品的路由器到路由器

39、连接方式中使用)。5.4.4 服务器 在服务器方面我们选择了国际著名厂商DELL公司的系列服务器。主服务器选用DELL PowerEdge6400，备份服务器选用DELL PowerEdge6400，WEB服务器选用DELL PowerEdge2400。PowerEdge6400 经过精心设计，提供了强劲的服务器可用性和操作性能，并且最大限度地减少了系统的停机时间。与以前的戴尔四处理器平台相比，其操作性能更强大，可用性与可维修性也更高。PowerEdge 6400 支持多达四个最新的 英特尔 奔腾 III 至强处理器、8GB ECC SDRAM、66MHz PCI 插槽以及容量高达 252 G

40、B 的硬盘驱动器。PowerEdge 4400 在高性能与企业级可用性方面特别突出，其设计有助于进一步提高部门的工作效率。通过支持两个 英特尔 奔腾 III Xeon处理器、133MHz 前侧总线、多达 4GB 的内存和嵌入式 NIC、双通道 Ultra3 (Ultra160) SCSI 控制器以及可选的 RAID 控制器，PowerEdge 4400 可以帮助您快速有效地分发用户所需的重要数据。PowerEdge 2400服务器使工作组级应用具有部门级计算能力。PowerEdge 2400这种极具力量的系统可采用双处理器、133MHz的前端数据总线、64位PCI插槽以及180G可热插拔的硬盘

41、存储容量。支持热插拔电源是这种重新定义工作组级应用范围的高性能系统一种额外的功能。5.5 系统平台当前主流的应用平台主要是SUN（Solaris），PC（Windows）或PC（Linux）的结构：l SUN（Solaris）是一种比较安全和稳健的网络服务器结构，但价格较为昂贵，对管理人员的技术要求比较高。l PC（Windows2000）：Windows2000是Microsoft公司在PC上发展起来的32位操作系统。基于Client/Server体系结构的多线程的操作系统，支持虚拟内存。管理简单方便，价格适中，具有C2级安全性。系统开销合理，运行效率较高。l PC（Linux）：价格最为便

42、宜，但安全性没有经过认证，另外无生产厂家提供可靠的技术支持，出现问题时没有保障。 从近期的发展方向来看，Microsoft公司正在提供源源不断的2000系列产品支持保证一个Intranet方案，如Office2000、SQL Server2000、Exchange2000等。在这个方案中，从操作系统层次就具备支持Internet/Intranet的基本特性，以Microsoft 2000系列产品族表现了极强的整合能力。Microsoft的解决方案更具有灵活性、系列性和可持续性，各种组件之间的联系非常紧密，效率也自然提高。因此选择Microsoft的从操作系统开始的Intranet解决方案具备可

43、比的优势。在XX局办公网的方案中，我们将主要采用Microsoft公司在PC（Windows2000）上的解决方案，在一些涉及应用安全性和伸缩性敏感的部件上，可以选择更有效的产品作为Microsoft产品的替代。6 、技术重点与难点6.1 子网划分与地址规划在一个平面网络中存在大量广播信息，将一个大的网络划分为小的子网，是为了缩小广播域，防止广播风暴，将广播信息限制在必须广播的范围内，而过滤掉不必要的广播信息。子网划分的工作一般由路由器来完成。子网之间的通信也需要路由寻址。6.2 虚拟局域网的划分局域网设备工作在OSI七层模型的第二层，传统的局域网设备连接的网络是单个广播域。局域网交换机虽然能

44、根据MAC地址进行数据包的交换，但它会将任何广播信息广播到全部网络。新的局域网交换机可以将网络划分为多个广播域，即VLAN。但它不能在两个VLAN 之间传送信息。VLAN之间的通信仍然需要路由寻址，也就是仍然需要路由器。有时也将路由寻址的功能做到交换机内，即所谓三层交换。6.3 增强IP组播(IP Multicast)能力组播也称多点播放，是一种有选择的将信息播送到需要它的其它节点的点对多点的通信方式。与另一种点到多点的广播方式相比，采用组播技术可以节约宝贵的网络资源，大大降低广播风暴。各级网络设备必须具备对IP组播的支持，我们为各级推荐的交换机设备均具备这一能力。7 、安全性安全是在网络建设

45、中需要认真分析、综合考虑的关键问题。下面我们将从5个方面来讨论保障网络安全的若干措施。7.1 网络设计在内部网络设计中主要考虑的是网络的可靠性和性能，而如何确保网络安全也是一个不容忽视的问题。采用网段分离技术，把网络上相互间没有直接关系的系统分布在不同的网段，由于各网段间不能直接互访，从而减少各系统被正面攻击的机会。以前，网段分离是物理概念，组网单位要为各网段单独购置集线器等网络设备。现在有了虚拟网技术，网段分离成为逻辑概念，网络管理员可以在网络控制台上对网段做任意划分。另外，在安全方面有一个最基本的原则：系统的安全性与它被暴露的程度成反比。因此，建议将对外信息发布的服务器与内部应用服务器隔离

46、，由于将数据库和内部应用系统封闭在系统内部，增加了系统的安全性。7.2 应用软件在网上运行的网络软件需要通过网络收发数据，要确保安全就必须采用一些安全保障方式。7.2.1 用户口令加密存储和传输：目前，绝大多数应用仍采用口令来确保安全，口令需要通过网络传输，并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输，一旦被读取或窃听，入侵者将能以合法的身份进行非法操作，绝大多数的安全防范措施将会失效。7.2.2 分设操作员分设操作员的方式在许多单机系统中早已使用。在网络系统中，应增加管理员、一般使用员等多种操作员类型，以便对用户的网络行为进行限制。7.2.3 日志记录和分析完整的日志不仅要包括用户的各项操作，而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。对日志的分析还可用于预防入侵，提高