XX市工商局广域网系统建设方案

资源描述

广州市工商局广域网系统建议方案广州市方欣科技有限公司广州市工商局广域网方案 2 目录第I 章前言 .4 第II章系统需求分析 .6 2.1 网络需求分析 .6 2.2 应用系统需求分析 .7 2.2.1 工作模式分析 .7 2.2.2 数据流量分析 .9 2.3 解决方案分析 .10 第III章广域网系统总体设计 .13 3.1 广域网系统的设计原则和目标 .13 3.1.1 系统要安全可靠 .13 3.1.2 系统的高性能 .13 3.1.3 通信系统的扩充性 .13 3.1.4 系统的开放性和标准化 .14 3.1.5 具有较好的性能价格比 .14 3.1.6 易于网络管理 .14 3.2 系统的弹性设计 .14 3.2.1 弹性设计的内容 .15 3.2.2 WAN的弹性设计 .15 3.2.3 通信设备的弹性设计 .15 3.2.4 LAN的弹性设计 .16 3.3 系统安全性设计 .16 3.3.1 防火墙技术 .17 3.3.2 加密技术 .18 3.3.3 本地网的安全措施 .18 3.4 IP地址规划和域名服务 .19 3.4.1 设计原则 .19 3.4.2 IP网络地址分配 .19 3.4.3 域名管理 .19 3.5 系统的性能设计 .19 3.6 广域网系统总体方案 .20 第IV章广域网系统方案 .22 4.1 系统整体结构 .22 4.2 市局通信系统 .24 广州市工商局广域网方案 3 4.3 二级机构的通信系统 .25 4.4 三级机构的通信系统 .26 4.5 网络管理系统 .27 4.5.1 网管系统概述 .27 4.5.2 基于SUN工作站的网络管理系统 .28 4.5.3 基于PC机的网络管理系统 .30 4.5.4 网管系统选型 .31 第V章产品选型分析 .32 5.1 路由器产品总体选型 .32 5.2 市局路由器产品选型 .33 5.3 区县局/中心分局路由器产品选型 .34 5.4 工商所路由器产品选型 .37 5.5 备份线路通信终端设备选型 .38 第VI章系统实施 .39 6.1 项目的组织 .39 6.2 项目的实施 .40 第VII 章服务与支持 .41 第VIII章设备清单及工程预算 .45 8.1 主要设备清单及报价 .45 8.2 几点说明 .47 附件一局域网设计 .48 1.1 技术概要 .48 1.1.1 解决方案选择 .49 1.1.2 关于ATM网络模型 .49 1.1.3 ATM的优势 .50 1.1.4 ATM的问题 .50 1.1.5 千兆以太网网络模型 .50 1.1.6 千兆以太网的优势 .51 1.1.7 千兆以太网的问题 .51 1.2 网络部署方法 .52 1.2.1 配置途径 .53 1.2.2 方案设计 .54 广州市工商局广域网方案 4 第I章前言前言近年来，计算机、信息和通讯技术以惊人速度不断发展，为建立信息管理系统提供了坚实的基础。Internet/Intranet在全球的日益普及，使信息更方便地进入每个人的工作中。我国更是把今年定为“政府上网”年。广州市工商局全局管辖的范围包括：18个分局、区局及（县）市局和各级工商所。拟定中的计算机网络系统将连接包括市局,区（县）局、分局和工商所的三级网络架构。因此计算机系统将结合局域网技术和网络互连的广域网技术。拟建成的系统除实现全市各部门的信息资源共享，便于及时掌握各方面的动态，使管理工作更加高效化、规范化、科学化外，还将是联系省局、市政府、税务局、银行、海关等部门的桥梁。广州市方欣科技有限公司是一家以从事软件系统开发和网络系统集成为主要经营方向的高新技术企业，在软件的开发和系统集成方面拥有丰富的经验。如山西省电力厅网络工程、海南大学校园网、广州赛马会网络工程（含各地市远程投注）、广东证券广域网工程等都是本公司负责建设。在广东省国税方面，参与了省统一征管软件的开发，承担了集中式统一征管软件的改造工作，完成了清远市国税局网络工程（全市四级网络）、东莞市国税局网络工程（全市三级网络）、三水市国税局网络工程。在本方案建议书中，方欣公司结合对其他网络工程的经验，建议了一套先进的计算机与网络系统方案,充分利用了计算机科学与网络技术的最新发展成果,考虑了系统的实用性,可管理性以及灵活扩展能力,并对方案的具体实施提出了参考建议。系统将在数据传输、设备选型、系统容错、性能价格等方面达到平衡。在可靠性、先进性、安全性和简单且易维护方面得到保障。方欣公司相信,通过与广州市工商局的密切合作，一定能够建设一个高标准的电脑网络系统，从而成为全省工商系统的样板工程，并为将来长期的友好合作关系打下良好的基础。广州市工商局广域网方案 5 第II章系统需求分析 2.1 网络需求分析广州市工商局计算机网络系统将连接包括市局,区（县）局、分局和工商所的三级网络架构。该系统将结合局域网技术和网络互连的广域网技术，实现全市范围内各部门的信息资源共享，便于及时掌握各方面的动态，使管理工作更加高效化、规范化、科学化外，还将是联系省局、市政府、企业、税务、银行、海关等部门的桥梁。对外可接入Internet网。网络技术发展到今天，出现了：一、以双绞线为传输介质结合集线器构成的星型以太网结构取代单一的以铜轴电缆为传输介质的总线型网络；二、交换技术引入计算机网络，出现了以交换取代共享的局面；三、多种高速传输技术的产生，包括： FastEthernet，GigaEthernet，ATM等网络传输技术；四、从计算机局域网到广域网的一体化解决方案的不断发展。以上四点反映了网络技术的发展趋势。在早期总线型结构以太网实践中，出现的可靠性差，维护困难等问题，导致10BASE-T结构网络的产生，并形成结构化布线的基础，但随着网络规模和网络信息量的增大，虽然通过增加网段的方式可增加和工作站间的通信频宽，减少每个网段的工作站数，提高服务器和工作站通信速度，但由于服务器必须对网段进行管理处理服务器由各网段的包接收发送请求，协调网段间的工作，因此随着网段数的增加，服务器的负荷越来越重，直接影响到服务器的处理能力，引发网络整体速度慢，导致网络阻塞，特别是网络主干上的阻塞，在这种情况下只有新的更高速的网络技术才能彻底解决网络阻塞问题，交换式以太网技术就是在此基础上，以多频道技术，配给高速总线动态交换数据，从而获得最大的有效频宽，提高网络的数据传输速度；交换技术发展到现在，交换不仅是交换式以太网，也可发生在多种网络技术之间，如：Ethernet,FastEthernet,FDDI和ATM；随着Switch、Fast Ethernet、ATM 技术的产生，丰富了高速网络技术。广州市工商局广域网方案 6 广州市工商局广域网络系统既有一般广域网的特点，同时又具有明显的特殊性：广州市工商局广域网系统的规模不仅在全省国税工商系统为最大型，在信息化行业中广域网的规模都为较大型。网络接点数包括全市18个分局和118个工商所，数据量包含全市二十几万家公司的数据信息。因此，设备的选型应充分考虑工商应用系统的特点及今后的发展趋势。我公司在这方面有一定的经验。广州市工商局广域网络系统的建设，应该是围绕着应用展开的网络建设。网络的一切建设思想应该首先考虑应用。该系统的建设，主要是围绕建设信息管理系统，兼而考虑Internet/Intranet、办公自动化等最新应用技术与管理模式。该网络系统工程的建设，应围绕应用类型、应用规模、数据流量来考虑设备选型。下面对工商局应用系统需求进行简单分析。 2.2 应用系统需求分析 2.2.1 工作模式分析广州市工商局网络承担的各项应用系统可归类为：数据库管理系统、综合办公事务处理系统、及领导辅助决策系统。该三类系统的应用工作模式及流程的情况如下：数据库管理系统一个分布式的数据库管理系统可以把同一网上不管是局域网或广域网上的多个数据库看成一个逻辑整体，实现分布式查询、分布式更新、分布式的事务管理，用户可以透明地操作不同地点的不同数据库系统所管理的数据，这要求：网络透明性使用一种网络通信协议的工作站，透明地与使用另一种网络通信协议的服务器通信。位置的透明性保持一个全局的数据字典，将各数据元素与分布式实体，用户可以象广州市工商局广域网方案 7 访问单个数据库那样访问分布式数据，而不考虑如何存储及存储在哪里。 SQL透明性用户使用一种SQL语言解决异构数据的定义、查询、修改，而不必知道不同RDBMS 所使用的SQL 语言的差别。厂商的透明性用户面向一个逻辑数据库进行操作，透明地访问存储在多种DBMS中的数据，不必关心每一数据库的特殊工作方式。综合办公事务处理系统综合办公事务处理系统面向工商局办公自动化、网络化和员工协同工作，目的是使企业内部信息交流和办公水平更加高效化、规范化、科学化。综合办公事务处理系统应包括非结构化多媒体文档信息的管理和共享、工作流、电子邮件、电子会议和计划图表等功能，在此基础上实现个人办公管理、领导办公管理、公文管理、政务信息管理、签报、报告管理、会议管理、值班管理、日程安排、大事管理、公共信息服务等系统功能。 OA系统包括系统层和数据层二大部分。数据层是系统信息、文件等的存放场所；系统层包括公文管理、信息交换、个人事务等三大模块。公文管理模块实现进口文件报告的登记、分发、催办、归档、查询以及出口文件报告的起文、审批、分发、归档、查询等功能，其核心是工作流引擎（Workflow Engine）。信息交换模块包括电子邮件交换、新闻系统和电子公告系统，其核心是电子邮件系统；个人事务模块，包括个人桌面文字处理、电子表格、日程管理等辅助办公工具。服务及决策支持系统综合办公事务处理和专业管理信息系统只是INTRANET的初级和中级应用阶段，为使INTRANET对管理工作作出实质性的贡献，并取得更大的经济效益，应包含更高级的服务及为领导决策支持服务系统的应用。 SDSS（服务决策支持系统）在半结构化和非结构化决策活动过程中，通过人机对话，向决策者提供信息，并为决策者提供一个分析问题、构选模型和模拟决策过程及其效果的决策环境，协助决策者发现和分析问题，探索解决方广州市工商局广域网方案 8 案，评价、预测和选择方案，提高决策人员的决策技能和决策质量。由于SDSS 需要处理的数据类型复杂、格式化程度底，并且包含大量的历史数据和企业外部数据，建议采用数据仓库技术存储和管理数据；又由于SDSS对信息加工的要求比较复杂，并且具有很大的随机性，建议采用专业统计分析软件包和 OLAP（联机分析处理）技术来解决。 2.2.2 数据流量分析在广域网上运行的应用程序一般采用Client/Server 方式，主服务器多位于各分局或区局，多个应用系统的数据库建立在运行于中心服务器的关系数据库之上。在Client/Server的运行模式下，客户端的程序只负责将用户的操作转换为对服务器端应用程序的调用，并将应用程序执行的结果或页面文件的形式返回给用户。这就意味这对中心服务器大量的访问，从而对中心服务器的处理能力和广域网带宽造成压力。而办公自动化系统有一定的局部性，在各个分部之间及上下级之间主要是电子邮件的和少量文件的传输，由于该两种传输具有随机性，一般不会对网络带宽造成持续的影响，因此在带宽估算上不把二者作为主要因素，而是在估算后带宽上增加一些冗余作为解决方法。因此在广域网带宽设计上需注意满足以下容易形成网络通信瓶颈的方面：工商所访问分局时分局的广域网带宽形成瓶颈。分局的广域网出口带宽形成瓶颈。通常，由于本系统是一个新建立的网络，市工商局原先没有建立互连的内部网络，在得不到日常工作中的网络流量数据的情况下，不能运用排队论进行计算求得广域网带宽需求，只能根据经验结合接点数进行大致的估算。为了对市局和各个区（县）分局的广域网带宽进行估算，首先需确定对每台客户机（PC）在Client/Server 的模式下对带宽需求的最小值。同时还要考虑到在同一个局域网内部，所有的对区局本部的访问都需通过唯一一个广域网端口。以太网CSMA/CD的对通信信道争抢方式，使网络的利用率约为30% ，由于各地局域网都使用交换技术，因此利用率可达50%以上。由于Frame Relay的带宽常用的有 19.2K，64K，128K，256K ，1M，2M 等，考虑到整个工商系统的应用是个逐步增加的过程，而线路的租费是逐步下调的趋势，建议 DTU设备按较高速率采购，工商所、分局、区（县）局采用广州市工商局广域网方案 9 64K/128K Frame Relay(待应用基本上运用后可进行排队论计算),市局采用2个 512K Frame Relay，兼有互为备份的作用。 2.3 解决方案分析通过以上分析，广州市工商局网络采用何种网络体系结构，首先必须了解当今计算机体系结构模式的分类及其特点：计算机体系结构主要有四种模式：分时（time-sharing）方式、资源共享 (resourse-sharing)方式、客户 /服务器（client-server）、WWW方式。分时系统（time-sharing）分时系统通常由两大部分组成：系统主机与用户终端。整个系统的所有处理均在主机上运行，分时使用主机资源。资源共享方式资源共享方式的系统也由两大部分组成：系统主机与用户端工作站。系统主机在这里充当资源服务器（如文件、打印服务等）的角色，一般只提供资源共享服务，不作数据处理。用户端工作站通常是微机，用户输入、屏幕输出、数据处理等工作全部在工作站上完成。其常见的例子是一个计算机局域网系统，常见的NETWARE NOVELL即是典型例子。客户/服务器客户/服务器技术是融合了分时系统与资源共享方式的优点的基础上发展起来的。它有效地解决了前两种方式存在的问题。它将一个系统分成两大部分，并在两部分内协调工作，达到最佳效果。前端处理所有的屏幕和用户的输入/输出；后端系统提供数据处理、信息共享、高级管理及安全服务。税务信息系统的核心系统统一征管软件系统采用的就是该种模式，对广州国税统一征管软件系统而言，其数据库的分布显得很关键：大多数的分布式网络系统应用都会面临一个艰难的选择：采用集中式的数据处理还是采用分布式的数据处理。以下是数据集中处理与数据分布处理在性能、安全性、应用开发难度、投资、可管理性、和易维护性等方面的比较。集中式数据处理集中式数据处理的优点：广州市工商局广域网方案 10 技术非常成熟，避免了分布式处理所带来的诸多技术难题；应用软件的开发工作相对简单；数据库系统容易维护，管理简单；系统初期投资、实现成本和运行成本低: 初期投资包含对数据库系统软件的投资、主机服务器投资和各数据中心间的高速通讯线路。实现成本包含软件开发成本和为分布式数据管理配备管理机构。运行成本包含通讯费用，运行维护费用和管理人员费用等；适合于集中管理的企业组织和业务模式。集中式数据处理的缺点：系统中各节点依赖广网络，当广域网发生故障时，节点无法工作；系统依赖于数据中心，当数据中心发生故障时，整个系统瘫痪；物理数据远离用户，远程节点的响应时间较长。分布式数据处理分布式数据处理的优点：较之集中式数据处理技术先进、高效、灵活、易扩充、全局安全性高；适合于分散形式的企业组织和业务模式；系统中的各节点对广域网的依赖较小，当某数据中心出现故障时，除部分全局业务功能受影响外，其他业务受影响程度教小；物理数据接近用户，响应时间较短；适合于分布或合作关系的企业组织模式。分布式数据处理的缺点：技术尚未完全成熟，分布式算法的实现效率较低，如分布式更新、复制、备份、分布式快照、全局一致性保障等；应用软件的开发难度和工作量较大，尤其在故障恢复时和保障全局一致性时，设计和实现难度较大，系统实现存在难以预见的风险因素；数据库系统维护要求人员多，对人员素质要求高，系统管理和维护复杂；系统初期投资、实现成本和运行成本较高；数据库在市局一级会使数据库系统的管理维护工作得到保证，节约区（县）广州市工商局广域网方案 11 一级的计算机系统投资与维护工作。比起分布式方案会依赖于网络通讯条件。但接点数及数据量太大，且当广域网发生故障时，影响面太大。数据库在工商所或分局内,使得业务处理最为灵活,响应时间也快。缺点是数据库的管理任务太大，运行维护成本会很高。同时每个数据库服务器的配置与维护工作也会加大。由此可见，选择怎样的数据处理模式会受不同条件的影响并与应用程序的实现有很大关系。需要根据不同条件从管理模式、业务处理、通讯条件、投资规模、技术人员状况以及风险等各方面综合考虑。故建议采用分布式与集中式相结合，数据库集中于区（县）分局，通过复制服务器向市局复制，实现全市数据集中于市局。Sybase复制服务器技术我公司有丰富的经验。 WWW（Brower/Server）方式 Brower/Server方式实质也是基于 Client/Server计算体系结构，是多层次 Client/Server结构，它是随着 Internet/Intranet技术发展而来；从抽象的角度上看， Web已经发展成为一种新的计算平台；基于 Web的应用程序通过 Web服务器可提供各种服务，从简单的信息查询到复杂的事物处理；统一、标准的前端交互工具，表现为Web页面的、简单易用的用户界面，易于实现的通讯协议，成熟的广域网访问技术，数字签名提供的可靠的安全性保证，使得Web成为办公自动化及辅助决策系统的最佳模式。广州市工商局广域网方案 12 第III 章广域网系统总体设计 3.1 广域网系统的设计原则和目标根据广州市工商局的要求，要达到系统的目标，高水平高起点建设好广州工商广域网，必须在以下几个方面出发来设计方案。 3.1.1 系统要安全可靠在实时性较强的应用系统中，安全可靠性是系统是否实用的关键。在我们设计的系统中，主要就中心路由器的可靠性和线路的容错来实现。中心路由器采用Cisco公司的高性能大型路由器 7204，Cisco7204 路由器具有双电源容错系统，并且具有端口容错等安全措施来保证系统的稳定运行。在下一级与上一级机构通信时，建立FrameRelay线路相应的拨号电话或ISDN备份线路，通信线路故障时系统会自动启动备份线路建立连接并维持通信，保证系统运行不受影响。同时，网络路由器的既连通、又控制的功能也为系统安全性提供了有力的保证。 3.1.2 系统的高性能系统必须具备很强的系统性能，满足联机事务处理的要求，能够支持分布式的Client/Server模式的数据库管理系统。 3.1.3 通信系统的扩充性通信设备(路由器) 的端口能够支持包括拨号电话线、电话专线、数据专线、 X.25、DDN网、FrameRelay等各种不同的通信线路，因此系统的可扩充性要很广州市工商局广域网方案 13 好。当条件许可，可以启用更好的通信线路时，所有的通信设备的硬件不用作任何更改或增加，只要重新设定软件配置，就可以在更好的线路上提供更高的速率和更多的通信服务。当各机构不断增加而使得通信量加大时，系统中所采用的通信设备将不会成为系统的瓶颈。 Cisco的路由设备满足对线路类型的适应性。而且中心路由器 7204的总线处理能力达到600MB ，有6个可用的扩展槽，每个扩展槽都可任意选配，能够满足系统以后的扩展需求。 3.1.4 系统的开放性和标准化网络通信协议和接口要遵循国际标准，支持多种机型，多操作系统的网络互联。根据要求系统至少提供IPX、TCP/IP 和SNA三种协议支持，基本满足 NOVELL NetWare、UNIX和AS/400等平台的网络互联。 3.1.5 具有较好的性能价格比系统根据不同的线路条件和网络环境选用不同设备，力求最符合广州工商局的应用环境，并且有较好的性能价格比。 3.1.6 易于网络管理一个大型的网络系统而言，一个有效网络管理系统对系统运行的监控、系统性能分析和故障诊断都是相当重要的。因此系统必须配备合适的网管系统。 3.2 系统的弹性设计对于一个网络系统来说，弹性就是对应用程序和数据的有效支持。可以说有弹性的网络系统就是当有人或某事试图破坏它时，还能连续支持用户的应用程序，即系统的可靠性。在实际应用中，提高网络的弹性能力的可行方法是消广州市工商局广域网方案 14 除故障孤点,特别是单点故障。 3.2.1 弹性设计的内容弹性设计包含三方面的内容：物理可靠：指系统对关键硬件设备（如CPU、存储介质等）损坏、不可遇见性灾难（如地震、飓风、陨石、强磁场等）、对硬件、数据库及服务资源等的人为破坏的耐受能力。逻辑可靠：包含操作系统可靠，数据库管理系统可靠，应用程序可靠等。健壮性：指系统在故障情况下的恢复容易程度。对关键硬件设备的损坏，我们将采取一定程度的容错措施。根据经验，系统最可能出现的故障原因依次为：电源故障；雷击；线路连接；火灾失效。我们在此方案中，考虑系统的弹性包括：WAN的弹性设计，通信设备的弹性设计。 3.2.2 WAN的弹性设计网间网即WAN 的弹性包括冗余的 WAN线路及其所带来的额外开销。一种主要的方法是连接备份线路，可以避免重复路由保持和再计算。在此方案中，路由器通过DDN/FrameRelay 连接主干的通信线路。当主干线路出现故障时，路由器可以自动通过PSTN或ISDN 拨入中心路由。在此方案中，WAN 的弹性设计包括：线路的备份，中心路由器的备份。系统中以上两个部件出现故障时，系统能够自动地在约5秒中内切换到备份部件上，而无需人工干预。 3.2.3 通信设备的弹性设计随着租用线路服务可靠性的增强及其使用ISDN/PSTN作为后备策略的成熟，广州市工商局广域网方案 15 系统的可靠性已经很大程度上转移到通信设备连接的弹性上。通信设备的损坏的一个很好的解决方案就是使用双电源和双路供电。中心路由器采用Cisco公司的高性能大型路由器7204，Cisco7204路由器具有双电源容错系统，并且具有端口容错等安全措施来保证系统的稳定运行。 3.2.4 LAN的弹性设计随着通信线路和通信设备的可靠性提高，系统的可靠性已经很大程度上转移到LAN 连接的弹性上。一个很好的解决方案就是使用双LAN服务。主机与两个LAN 适配器相连，每个适配器连接到一个单独的HUB或交换机上，这样主机与主干交换设备之间的关键连接是弹性的。 3.3 系统安全性设计系统的安全性主要是因为网络经过公共通信网（如帧中继，Internet）后所引起的对系统的蓄意破坏和对信息的窃取。如今Internet火爆全球,可令人头疼的问题也随之而来,那就是由于黑客在网上的活动极具危害性和破坏性,所以网络安全问题已成为网络管理员关心的大事, 它也是决定Internet 命运的重要因素。然而从根本意义上讲,绝对安全的计算机系统是根本不存在的,绝对安全的计算机网络也是不可能有的。只有存放在一个无人知晓的秘室里,而又不插电的计算机才可以称之为安全。只要使用,就或多或少存在着安全问题,只是程度不同而已。美国国防部制定的可靠计算机标准评估准则 (Trusted Computing Standards Evaluation Criteria) 将计算机安全划分为从 A到D四个级别,每个级别之内还可以再细分。A1级为最高,但除了放在一个无人知晓的地方且未插电的计算机可以算得上A1级,再没有计算机可以享此殊荣。标准的 Unix(只具有login口令、文件保护等几项安全措施)被定为C1级,DOS被定为 D1级。目前还很少有操作系广州市工商局广域网方案 16 统能够符合B级标准。我们在探讨网络安全的时候,实际上是指一定程度的网络安全。而到底需要多大的安全性,却要完全依据实际需要及自身能力而定。网络安全性越高,就越意味着对网络使用的不便。因此,网络管理员在考虑网络安全时,必须两者兼顾。 3.3.1 防火墙技术一个使用很广泛的网络安全技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。目前在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。那么什么是防火墙呢?顾名思义,防火墙是用来阻挡外部(Internet) 火情影响内部网络的(Internal network)屏障。无论外部世界多么错综复杂,良莠不齐,经过防火墙的过滤,内部网络大可隔岸观火,不受火灾危害。用专业语言来描述,防火墙的主要目的就是防止外部网络的未授权访问。如果决定某个网络设防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。另外,还要确定防火墙类型,即防火墙拓扑。防火墙的技术实现通常是基于包过滤 (Packet Filtering) 。而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单 (Access Control List)中设定的。需要说明的是网络的安全性通常是以网络服务的开放性、便利性和灵活性为代价的。对防火墙的设置也不例外,由于防火墙的隔断作用,一方面加强了内部网络的安全, 另一方面却使内部网络与外部网络(Internet )的信息交流受到阻碍, 必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且也减慢了信息传递速率。因此,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网,才建议使用防火墙。广州市工商局广域网方案 17 另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。 3.3.2 加密技术网络安全的另一个非常重要的手段就是加密技术(cryptography)。它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息全部通过加密处理。 3.3.3 本地网的安全措施目前,在Unix/NT上发现的大多数问题,都归因于一些编程漏洞及管理不善 ,如果每个网络及系统管理员都能注意到以下几点,即可在现有条件下,将网络安全风险降至最低。口令管理目前发现的漏洞,大多是由于口令管理不严,使黑客得以乘虚而入。因此口令的有效管理是非常基本的,也是非常重要的。用户帐号管理在为用户建立帐号时, 应注意保证每个用户的 UID是唯一的,应避免使用公用帐号,对于过期的帐号要及时封闭,对于长期不用的帐号要定期检查,必要时封闭。(因为这样的帐号通常是黑客袭击的目标,他们可以在上面大做手脚而很长时间不被发现)。拨号用户的安全策略通过电话线拨号访问网络，采用Radius或TACAS安全认证和授权标准来确保对系统资源的访问。通过回叫(Dial-back)功能可以确保拨入的位置和站点的安全许可。广州市工商局广域网方案 18 3.4 IP地址规划和域名服务 3.4.1 设计原则 Internet网域名管理及网络地址的分配将遵循INTERNET的有关规则来设计。 Intranet的每个网络和主机都有唯一的IP地址和与之对应的名字（即域名）。 3.4.2 IP网络地址分配当用户申请的IP 地址超过一定数量时，建议由用户直接向亚太Intranet 网络信息中心（APNIC）申请。用户申请IP地址应按要求填写申请表，说明自己的网络情况和IP地址的需求。 IP地址的分配原则是： 1 用户本身不是网络时，可根据需要按单个IP地址分配。 1用户是以网络方式上网时，视业务需要分配一组IP地址。 2内部网地址最好使用Internet的保留地址，通过代理服务器/ 防火墙等设备将内部地址进行翻译，达到连接Internet的目的。 3.4.3 域名管理由于IP地址是用一长串数字来表示网络和主机，即使对管理人员及专业人员来说也是很难记忆，更何况对一般使用Intranet的用户。因此用和IP 地址相对应的域名来表示网络和主机，能极大的方便记忆和使用。 3.5 系统的性能设计在Intranet和Client/Server 体系结构下，对系统性能的影响主要体现在网络通信的性能上。对网络系统主要是采用快速交换式以太网技术增加LAN的带宽。而对 WAN而言，由于WAN 的带宽限制，提高性能主要采用以下策略：限制广播区域：ARP， RARP，BOOTP和路由协议在路由器处终止；广州市工商局广域网方案 19 高效路由协议：主干WAN采用IP通信协议，能够发挥寻径能力。在有限带宽的情况下，我们可以采用静态路由。如果需要动态路由，Cisco 公司的 OSPF和EIGRP 等都是高效的路由算法。如果需要实现自治系统边界功能，可以利用路由过滤器限制BGP4 路由更新的大小。高速缓存。优先级特性：在TCP/IP 协议中，对于交互式的通信类型设置高级的通信优先级，而对于批处理的通信类型，可设置低优先级。保证交互式的应用能够得到适当的带宽。使用高速的主干，将规划ATM或GigaEthernet 来实现市局、区县局的主干局域网。 3.6 广域网系统总体方案本方案致力于建立广州市工商局企业级网络系统，完成市局及下属各区、县级分局及分局、工商所的全市范围联网，实现网络的资源共享，加快数据和信息的流通，同时加强局内的内部管理和办公自动化应用，以高起点建设广州市工商系统内部的网络通信系统。广州市工商局的机构设置为典型的树型结构，共分为三层：市局、区县分局第二级机构、工商所为第三级机构。与此相同，整个网络系统在结构上也相应地分为三个层次。在本方案中，广州市工商局市局是整个网络系统的数据处理和网络管理中心，将配置有UNIX和NT主机，网络协议为TCP/IP，通过FrameRelay线路连接各地的二级机构。每个二级机构既作为市局的分支节点，同时又作为所属地区的分部数据处理与网络管理中心，连接其下属的三级机构。根据不同的线路和地域情况及通讯要求，二级机构与三级机构的连接可通过FrameRelay、DDN 或PSTN、ISDN 等不同的方式，每个二级机构配置相应的NT主机。三级机构为工商所，由于数据处理量小，不配备专业的维护管理人员，因此不配置服务器，直接作为第三级的远程接入工作站来设计。由于规模和业务广州市工商局广域网方案 20 量的不同，对于三级机构，可选择配置华为路由器。基于网络的数据库应用，系统采用分布式Client/Server数据库，数据不存放在本地，对数据的操作采用Client/Server 的调用方式，以提高整个网络系统的通信效率，基本上实现零维护。广州市工商局广域网方案 21 第IV章广域网系统方案广域网通信系统是连接市局及各分支机构电脑网络系统的关键，通信系统性能的好坏，将会直接影响到整个网络的运行，因此本方案在各方面都予以了仔细的考虑。 4.1 系统整体结构按照广州市工商管理局的组织架构，分别分为市局、区县分局二级机构、工商所三级机构共三个层次，通信系统的整体结构，也是基于这种树型结构，将整个通信系统划分为多个层次，按照每个层次的不同大小和规模分别进行考虑，同时从全局的角度出发，将各个层次紧密地融合在一起，从而形成一个完整的广域网通信系统。整个通信系统共分为三个部分：市局与二级机构的通信、二级机构与三级机构的通信。根据目前初步提供的各个下级单位的站点数量，设备选型方案如下： 4.2 市局通信系统市局的通信系统负责完成市局总部与下属二级机构的通信，通信线路采用 FrameRealy帧中继线路。总部选用一台模块式的Cisco 7204路由器，通过选配的两个快速以太网模块分别连接总部局域网环境中的两个子网，一般为两个独立的交换机，每个交换机设定为一个子网，或者是一台交换机中的两个虚拟网VLAN，这样防止本广州市工商局广域网方案 22 地局域网出现故障（如电源失效，或交换机坏），远程网对服务器的访问不受影响，当然相应的服务器也应配备两个网卡，分别连接到两个不同的子网，（在局域网未实现多子网前，可只连接一个以太网接口）。通过选配的同步通信模块连接各个二级机构，由于帧中继可以实现一点对多点的通信，Cisco 7204 上只需一个或几个同步通信接口即可实现总部对所有二级机构的通信。按目前的要求，配置一个4口模块，其中2口分别连接已经铺设的FrameRealy端口，其余2口备用。总部通信系统的备份系统，是在总部放置一台Cisco 3640模块化拨号访问服务器，既可通过MODEM连接PSTN电话交换网，也可连接ISDN 实现ISDN备份。位于各二级机构的Cisco 3620或Cisco 2610则通过MODEM 连接到PSTN网上，以拨号备份的方式实现通信线路的容错。在业务量未达到饱和的初期，可以将主路由器和备份路由器合一，在主路由器上加插备份线路的支持模块，即只实现线路备份，不做路由器设备备份。作为整个广域网通信系统的管理、监视、控制中心网管系统，也位于总部的网络中，有关网管部分请参考本方案中的相应部分。全市四级连网结构图见图2。 4.3 二级机构的通信系统二级机构通信系统一方面完成二级机构与总部的通信，另一方面完成二级机构与下属三级机构的通信。根据二级机构不同规模的大小主要分为四类： A、规模较大的二级机构（各县局：包括番禺、花都、增城和从化）各选用一台模块式的Cisco 3640路由器。规模较大的二级机构通过Cisco 3640的以太网模块中的两个接口分别连接局域网中的两个子网（在局域网未实现多子网前，可只连接一个以太网接口），通过它的同步通信模块经过帧中继网连接总部，并通过同步通信模块上的同一接口或其他同步通信接口经过帧中继连接各自的三级机构。由Cisco 3640的异步端口通过MODEM连接PSTN网，实现与市局网络的PSTN 拨号备份。同时，与三级机构的路由器或主机的PSTN/ISDN连接也通过Cisco 3640的异步端口实现。把PSTN网作为帧中继的备份线路。也可通过 ISDN模块完成ISDN备份。广州市工商局广域网方案 23 B、规模较小的二级机构，则选用一台Cisco 2610路由器，通过它以太网接口连接各自的局域网环境，通过它的一个同步通信端口经帧中继线连接市局。而其中的异步通信端口或ISDN端口通过MODEM或ISDN完成线路备份，及连接三级机构。 C、大的区局，则选用一台Cisco 3620路由器，通过它的以太网接口连接各自的局域网环境，通过它的一个同步通信端口经帧中继线连接市局。而其中的异步通信端口或ISDN端口通过MODEM或ISDN 完成线路备份及连接三级机构。市局与二级机构的连网结构见图3。 4.4 三级机构的通信系统三级机构的通信系统只实现与二级机构的通信。对于规模小（如只有单台计算机）的一般三级机构可通过单台主机连接MODEM，通过拨号连接二级机构，作为远程工作站，实现通讯。对于有两台及两台以上主机的三级机构选用一台低档的Quidway 1603路由器，通过一个同异步串口接MODEM与二级机构实现连接，或通过另一个ISDN 口实现连接。三级机构连网结构见图4-8。 4.5 网络管理系统 4.5.1 网管系统概述通信系统的管理分为三部分：一是网络通信连接设备即 DTE设备的管理，本系统中包括所有 Cisco 路由器和 Cisco通信服务器；二是线路连接设备即 DCE设备的管理，其中包括由电信局提供的 DTU(Data Termination Units) 数字广州市工商局广域网方案 24 终端单元和带宽管理器等设备的管理；三是线路的管理。传统上是将第二、三部分由电信部门进行管理，但这种情况下，每当通信线路或 DCE 设备故障时，甚至当无法判断是 DCE 还是 DTE 出现故障时，电脑管理人员完全处于被动状态。在网管中心内，不但可以做到及时发现故障并及时排除故障；更重要的是，通过对系统的监控与分析，及时发现和预见系统可能出现的问题，比如，通过观察分析各条线路上的带宽利用率，可以及时对带宽进行调整，避免因带宽利用率过高产生瓶颈，导致通信的中断。广州工商广域网全部完成后将使全市范围的一百多个分支机构全部联网，其整个网络系统将是十分庞大的，要使整个系统能高速正常地工作，必须建立一套功能齐备的网络管理系统。网络管理系统的主要管理任务有：保证网络系统能正常工作，减少网络故障对系统的冲击。自动查询网络上的设备并构造现有网络的拓扑结构图，监视网络性能，检测网络或系统的早期故障，通过LAN和WAN性能的监视，减少网络瓶颈。管理、检测、修复或解决网络硬件或软件故障。保护重要信息，维护数据的完整性和一致性，监视和防止非法访问网络系统资源。广州工商广域网网络管理系统将直接管理广州市工商局内部的所有主机、工作站、路由器、集线器和其他网络连接设备。网络中心可通过网络管理系统看到整个网络结构(物理上的和逻辑上的)图，可以动态地发现、映象和监视网络资源，实时跟踪系统资源的变化；在故障检测方面，网络管理系统会自动地连续地检查设备的连接性，拓扑结构的改变也会反映出来，同时，还可以用如 PING这样的工具测试有问题的节点。网络管理系统由两部分组成：网络管理硬件平台和网络管理软件。网络管理硬件平台一般分为各类高档UNIX工作站和普通 PC机两种，根据硬件平台的不同，相应的网络管理软件也有两种选择，基于各类UNIX工作站和基于普通 PC机 Windows的网管软件。 4.5.2 基于SUN工作站的网络管理系统广州市工商局广域网方案 25 基于SUN工作站的网管系统由一台SUN工作站和相应的网管软件 CiscoWorks组成。 Cisco公司提供的CiscoWorks网管软件功能包括：自动安装管理器可自动将集中存贮的路由器配置文件下载到一台新的Cisco 路由器上。当用 AutoInstall设置一个新的路由器时，在远地的管理员仅仅只需物理地连接 LAN/WAN 接口电缆，然后打开路由器电源，其余所有事情将由网络运行中心直接控制，中心管理员采用AutoInstall Manager后，只需输入新路由器的名字及口令，然后CiscoWorks 将发送一个完整的配文件给远地新的路由器，免去了派技术人员到每个地点进行安装的金钱与时间上的花费。 CiscoConnect 提供跟踪、配置、网络拓朴结构等信息，加快对网络故障的分析。同时可以通过CIO（Cisco Information Online）获得与本网络有关的有关性能及一些错误纠正。 CiscoView 提供有关Cisco产品的动态状态、统计数据及配置信息。有监控功能和部分简单的排错功能。能够以图形界面形象地显示出每个物理设备。 Configuration File Management 跟踪对路由器的任何修改及修改时间，防止非法对系统配置的修改。 Contacts 管理设备操作员的信息，包括名称、电话、地址等。 Device Management 建立及保持一个完整的资产登记数据库，包括网络上硬件、软件、部件的版本，负责管理这些设备的人名及联系地址。 Global Command Facility 用于自动配置大部分路由器中相同的部分，简化配置过程。 Health Monitor 监控某个设备的状态，包括：缓冲区、CPU 负载、内存的可用度，以及正在使用的接口和协议。 Offline Network Analysis 广州市工商局广域网方案 26 收集网络历史数据，用于对性能趋势及传输模式的下线分析。集成的Sybase SQL 关系数据库服务器可存贮 SNMP 管理信息库(Management Information Base) 变量( 字节数，数据包数等)，供管理员查询及建立图表。 Online Help System CiscoWorks提供完整的在线式帮助系统。 Path Tool 观察和分析两个设备间的路径。同时在这个路径上收集线路利用率及出错数据的情况。 Security Manager 在大型的互联网中，管理员需要把对网络数据的访问限制在一些被授权的人中。Cisco Work 的安全性管理可控制对关键信息的访问，同时给网络上的人或组分派不同的优先权。 Software Manager 简化对整个网络系统路由软件的升级，包括软件库、软件查询管理、设备软件管理等功能。 Workgroup Director 在 SNMP 平台上监控网络设备的环境及接口统计信息。 4.5.3 基于PC机的网络管理系统基于PC机的网管系统由一台普通 PC机和相应的网管软件 CiscoWorks for Windows组成，是Cisco公司推荐用于中型网络或使用 4到50个Cisco设备的远程工作组的网管系统，包括Configuration Builder，Show Commands，Health Monitor和CiscoView四部分。其中Configuration Builder可以运行在PC机的 Windows平台或HP OpenView for Windows平台；Show Commands、Health Monitor和CiscoView只能运行在HP OpenView for Windows或HP OpenView for Windows Workgroup Node Manager平台。值得注意的是，在TCP/IP环境中的Windows平台上运行时需要WINSOCK 1.1或相应软件的支持。广州市工商局广域网方案 27 CiscoWorks for Windows网管软件功能如下： Configuration Builder 可对多个Cisco设备建立配置文件，而不需要记忆每个设备复杂的命令行参数，可以很容易地设置新的参数。主要特点如下： - 可以同时对多个设备进行配置。 - 可以很容易地对多个配置文件进行优先级、存取控制及过滤设置。 - 对配置文件及路由地址进行重复性检查。 - 有指导性配置方式。 - 自动检查硬件的配置。 - 可以进行远程配置。 - 支持访问服务器和HUB。 Show Commands 快速显示Cisco设备的详细系统参数和协议信息，而不需要记住复杂的命令行参数和格式。 Health Monitor 基于SNMP的动态的故障和性能管理工具，提供实时的设备性能统计、接口状态、错误和协议利用率，并且通过颜色的变化来表示CPU和环境的状态变化。 CiscoView 形象地显示设备的后面板物理结构，实时显示每个接口的状态，并且通过每个接口颜色的变化来表示接口的状态变化，同样基于SNMP协议。 4.5.4 网管系统选型根据以上对两种网管系统的分析，可以归纳如下： 1、基于SUN工作站的网管系统能够提供更多的功能，真正实现网管在网络中的重要作用，而基于PC机的网管系统只能提供部分网管功能，而且需要一些第三方的产品，如WinSock等。 2、基于SUN工作站的网管系统能够同时运行其它的软件，可以实现对网络广州市工商局广域网方案 28 其它设备的管理，如IBM AS/400，而基于PC机的网管工作站只能作为 Cisco产品的网管工作站，不能升级为网络其它设备的网管工作站。 3、由于基于SUN工作站的网管系统的硬件平台是一台 SUN工作站，从硬件投资上要比基于PC机的硬件投资大一些。 4、由于两种网管系统的硬件平台不同，无法在以后对硬件平台升级后再对网管软件进行升级，而只能再购买一套新的网管软件。因此，我们在方案中选用基于SUN工作站的网管系统作为整个广域网通信系统的网管系统。广州市工商局广域网方案 29 第V章产品选型分析 5.1 路由器产品总体选型在通信系统中，我们选用了美国 Cisco 公司的 Cisco 路由器作为完成整个远程通信系统的主要通信设备。通过几年来对 Cisco 路由器及其它一些厂家相应产品的测试、比较与应用，我们认为 Cisco 不愧为世界上排行第一的路由器厂家。Cisco 公司为当今日益增长的各种联网需求提供了全线产品。Cisco 产品所特有的分布式系统处理结构，功能强大的软件和极高的端口处理能力，使得几千个复杂网络的连接成为可能。同时，Cisco公司凭借各方面的雄厚实力，一直都是世界最新网络通信技术的领导者。 Cisco公司是目前世界上最著名的路由器生产厂家，其生产销售的路由器占世界市场的50以上。 Cisco公司藉着其长期生产销售路由器的宝贵经验，经过不断的产品更新换代，因而生产出品质超群、功能完善的路由器。 Cisco产品的平均无故障运行时间高达七年。所有Cisco产品都带有标准的网管功能，可以通过 Cisco网管工作站或其它厂家的网管工作站统一管理。 Cisco产品有齐全的接口，包括E1/T1、FDDI和ATM。用FLASH MEMORY存放操作系统，启动速度快，可方便地升级操作系统。总线速度快，处理能力强。其中Cisco 7010达533M 的总线速度， Cisco7500系列有两条高达1GB的Cisco总线，上面还带有一个交换处理机，可以独立交换数据包。Cisco一般的同步接口支持的速率为 4M，Cisco 7500系列同步接口支持的速率为8M，其高速同步接口支持的速率更高达 52M。Cisco7000系列的处理能力高达250KPPS。广州市工商局广域网方案 30 拥有IGRP/EIGRP等自己特有的路由协议，并且这些协议能与标准协议共存，这些路由协议在大型网络中显示了很高的效率。IGRP/EIGRP还支持Load Balancing，必要时可以通过增加线路数量来分担负荷。强大的安全性控制功能。支持ON LINE软件配置修改，毋须重新启动新配置就可即时生效。具有Dial Backup 和Dial_On_Demand功能。具有LAPB 和X.25 的数据压缩功能，从而大大地提高了有效通信速率。支持线路HOT STANDBY（热备份）功能。 Cisco路由器能够支持的协议最多，这使它在多协议异种机联网时显得灵活方便。由于Cisco路由器的处理能力很强，通过选择较宽的通信通道，可以实现高速数据传送。在局域网连接中，可以很容易实现从10M的以太网到100M 的快速以太网或100M的FDDI，直至155M的ATM的升级。下面分别对广州市国税网络通信系统中的三个层次进行产品选型。 5.2 市局路由器产品选型市局作为整个网络结构的最高机构，同时也作为整个通信系统的核心，使得总部路由器的选型问题非常重要。从Cisco的路由器产品来看，有两种系列的产品可以加以考虑：Cisco 7200系列和Cisco 4000系列。 Cisco7200是以更高的性能/价格比提供企业连网的主干功能，以较低的每端口价格提供较高的性能、密度和可用性，并具备业界领先的可维护性和可管理特性。 Cisco7200由于具有150Mhz的RISC处理器，Cisco7200 能够提供600Mbps以上的带宽容量和140,000PPS( 包/秒）的交换能力。 NetFlow是一种Cisco IOS软件交换机制，它首先确定互连网络主机之间的通信流量，然后在其应用相关服务的同时交换这些流量中的信息包。NetFlow交换允许Cisco7200将高性能的网络层交换与安全访问清单和通信量计数等面向连接的应用结合起来。 Cisco7200系列包括四插槽的7204和六

展开阅读全文

XX市工商局广域网系统建设方案

最新文档