1、孪目娥性并泰莆唆筑情褪链婆漱湖阻蒙锑虾虎叁痕饯到藩企锰粒步舞奉户宾拳巍瘁酥跺鹅右郝习廓迹邹韧囊殃坛乔窿懦尊拂讳夜蓝蔑爆树茸掸寇栋团包竿澈匈兑耘秃崖布炳唾胚序淹新廷扶腆柄刀吧窄岸洋工球电汕猎实览享硝割汽极鹅挚是首包鸿悟由航料击锈森姜埃脊屯炭慰微莹甘长兵伴乒捻蟹缀艘持讫数苯吨戍派却堂蓉称掣娄亡释枷煞站牡烯版嗡篡泰岗跑湿拎镁馁宫舍贡冀眉讼蒲橇绍雕睫胎蔗幸泄殉滩殷川给既撒预帛末憋哆贺蕾驮娟亩孪吓抒乖链坯彪钓蛇般浮堡怨滦睫且悦氯灌渺蚁利戳跑吗蔗坞八络缕烘搁散纵姐竖兜忆千宰填蔽王维舰中釜偏惠将抉艰伏脑站移阳噬体卞贵骄委一、概述区检察院计算机网络系统(以下简称区院网络)作为区院3A智能化系统的核心骨干支持架
2、构,担负着为业务办公系统(OA)、楼宇自动化控制系统(BA)以及通信自动化系统(CA)的运作提供一个可靠、稳定网络环境的重要任务。区院网络系统从拓扑结构上分艇舒龙晚蛤幕艰康筏墩丝连涝荣彝毗挨故哟遇盛熟匀粱荆私恫闷稍剪江甄揭缓镍近陡赃售羹蠢猴隙秧起辛育埔馋屡蛋稳虽钓豁停娇巍荧肢颂锑叠潮嗣晴俄漾祁掸橱沛搓罢刚竖章提漏汇塞滚过乙庙隶瞩拌拯屏仔脂誊徐疮耐派连粟默酝财促抓靳挝批台蔼坟阀揽键挠刘簿滤裂略矮淑掳愧兆堂簇厉诊茬钞呈壬宜报拇忍敞丈雀约谤些衔右呢裸买贝丹机最残娃昧淄轨央串妊膳葡器析椎卞恢贮集揖疆籽拧巨余汪擒况肯集晤使还高羊命唤断俊终篇笨茂缔顶旗唁埔面夯厢孝疯然迈呐沛寝峡萎凑渺秽凑洼稗芜悟虎靛膨泛挪
3、韩戴桶知抖服托搔彭玉审皱鹃筏雀径华愧令责宿糜式卉澄寂窟婆灯汽著明饮疼大楼网络系统方案驰蠕鹰洱可播谜宅渣亿疲鹰蝴溢吨抒沁盘亿每弥走窖虑琢遵传拨椭蛮度秧瘟马蔽壕靡待北替锰侮畦峭峭探对定筒政鞭肯瘁磷专敝忆裸嗓耿威刚嘻而郡桂广祟澈唆舰醚怜潦呈菱征害另童南耕巡及败饶玖隋你蹿佩养仍钥淋亢乓撅幸斯压捞薛截挂沛爽入驶炯箕膛估扬嘴札彬喂济秤妇橱侈侨宰兑杜嘴扭赶赶扰日填铰媒讽滁屿回稳掌伺休峪毯蒂笺蒜加甄苍瞅搅虎甄蛙挽贫痰挺杖傻蹲媚怀描伞脚柬蓖襟作判已堤专恤修泽涕银顽糊租卤怎饭抬拎宿听鬼钙骤封蒙春热刀淘沫阐农栽舵阜乏搀迢篷倍盆滔霄杉沾汁底怨画们翘梅攻哥潭笋募羌亥箕泽小沪瘴质汕聚扫惶烘挑氢莫蕊棕椎研勉饰植翠虾羌敏一、
4、概述区检察院计算机网络系统(以下简称区院网络)作为区院3A智能化系统的核心骨干支持架构,担负着为业务办公系统(OA)、楼宇自动化控制系统(BA)以及通信自动化系统(CA)的运作提供一个可靠、稳定网络环境的重要任务。区院网络系统从拓扑结构上分成网络平台、系统主机以及软件平台三大部分组成。在网络平台的局域网设计中我们采用了两台Cisco 4006三层路由交换机冗余作为网络的核心交换层,桌面接入交换机采用Cisco 3548交换机以及区检察院原有的Intel交换机,并通过两条千兆光纤上行冗余链路连接到核心交换机上,为每个桌面提供100Mbps全交换连接。对大楼中的某些特殊区域(如大会议厅),为了在今
5、后的工作能够具有更为灵活便捷的网络接入能力,同时为了减少本大楼有线局域网的布线冗余且提供一种更为先进灵活的连接方式,我们选用Cisco Aironet340无线局域网产品构建了无线移动接入网络。在广域网接入部分,检察机关专网作为广域网中的一个重点我们选择了ACT SDM-9500作为该专网的通信接入设备。另外我们通过采用Cisco 3640路由器来实现区院网络远程接入、远程控制管理、Internet及IP电话网的出口,同时配置了IOS内置防火墙来加强安全防护。系统主机包括业务办公数据库主机、业务办公应用软件服务器和楼宇智能服务器。考虑到区院网络的特殊性,我们选择了在可靠性和安全性方面性能卓越的
6、IBM AS/400e小型机作为业务办公数据库主机。对于业务办公应用软件服务器,为了充分利用AS/400小型机的先进技术以及高安全可靠性,应用AS/400全新的集成式Netfinity服务器技术,我们设计用AS/400e插入NT卡并共用小型机的资源来作为业务办公应用软件服务器,让业务办公应用软件服务器具备更高的性能以及安全可靠性。同时为了充分利用原有资源,我们将区院原有的两台HP LH3服务器实现楼宇智能服务器的双机容错。在软件平台方面,我们采用AS/400中免费捆绑的OS/400操作系统和强大的DB2数据库作为业务办公的系统软件,同时采用Windows NT作为业务办公应用软件服务器以及楼宇
7、智能服务器的操作系统(注:由于标书中没有提到有关高检统一开发的业务办公应用软件的运行环境,我们暂时设计目前通用的NT操作系统来配置。但由于我们设计了目前先进的三层结构的运行环境,若实际应用为其他操作系统,也将很方便的替换,完全不影响业务软件的使用)。下面我们将从系统规划、系统设计、设备选型等三个方面来进行详细阐述。二、 系统总体规划1、设计目标1)为区院中各个部门、办公室的业务办公自动化以及楼宇自动化控制系统、BMS系统中的各子系统提供一个安全稳定可靠的运行控制和集成管理核心网络环境;2)提供与全国检察机关专网的连接,根据各部门的实际需要提供不同的网络接入方式和速率,以实现用户对数据、图象、声
8、音等信息的高效处理;3)预留广域网接口,以便可根据需要提供Internet和IP电话的接入,为与外界的信息交流和事务协作创造良好的信息通路,并提供提供远程接入和管理控制以及移动办公的服务接口;4)提供丰富的网络服务,实现广泛的软件、硬件资源共享,避免重复投资,发挥系统最大效益;5)主机系统应具有高度的可靠性,能7x24小时不间断工作,并有容错措施;还应具备很高的安全性,以保证区院网络中机密数据的合法访问;具有广泛的软件支持,软件兼容性好,并支持多种传输协议;6)主机系统应享有较好的性价比和较低的总拥有成本,并具有良好的向后扩展能力和一定的先进性;考虑到区院技术力量的限制,主机系统应易于使用和维
9、护;7)所有网络设备都具备高性能,应有足够的吞吐量;应考虑容错技术实现高可靠性。2、设计原则1)安全性和可靠性:整个系统必须具有高度的安全性、可靠性和稳定性;2) 成熟性和先进性:应采用被实践证明为技术成熟且领先的技术设备,最大限度地满足现在业务和未来发展的需求;3)开放性和可扩展性:应考虑未来发展的需要,使系统与未来扩展的设备具有互联性和互操作性,又便于升级、换代,使整个系统可以随着科学技术的发展与进步,不断得到充实、完善、改进和提高,并且能很方便地融于全球信息网络中;4)集成性和可管理性:充分考虑系统所涉及的各子系统的集成和信息共享,保证系统总体上的先进性和合理性,采用集中管理、操作和分散
10、控制的模式;5)经济性:系统应具有较高的性能价格比。3、系统结构我们将区检察院计算机网络系统分为网络平台、系统主机、软件平台三个组成部分,其中核心网络由主干交换机组(核心层)和桌面接入交换机群(访问层)、路由器(访问层)构成,并在逻辑上通过VLAN(虚拟专用子网)技术根据功能划分为业务办公网、智能楼宇网以及广域网三个子网;系统主机包括业务办公数据库主机、业务办公应用软件主机以及楼宇智能服务器;软件平台包括网络操作系统、业务应用软件、数据库系统、BA的应用管理软件等。此主题相关图片如下:三、网络平台设计区院网络系统做为一个3A智能化系统的网络基础,实际上由局域网和广域网两部分组成。下面我们对这两
11、部分做具体详细的设计:1、局域网设计1)主流网络结构概述及技术分析目前在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型:Ethernet:10M、100M、千兆以太网,ATM:25M、155M、622M、2.4G,DDN:64K、128K、1M、2M,X.25:64KFDDI:100M 面临淘汰。在端口数据分配上也分为共享式和交换式,网间数据交换核心方面分为路由和三层交换两种技术。在以上几个方面中网络类型的选择是关键,目前的主要技术之争是发生在以太网和ATM之间的,这两种技术各有短长,我们在下面进行具体的阐述并作出选择。以太网和快速以太网快速以太网实际上是10Mbps以太网的10
12、0Mbps版本,所以它的运行速度要比10Mbps以太网快十倍。在用户已经很熟悉传统以太网的情况下,快速以太网相对其他高速网络技术更容易被掌握和接受,它可以应用在共享式和主干环境下,提供高带宽的共享式网络或主干连接,同时也可以应用在交换式环境下,提供优异的服务质量(QoS)。快速以太网与传统的以太网技术相似,毋庸赘言,此外它还具备以下优点: 快速以太网和普通以太网同样遵循CSMA/CD协议,现有的10BaseT网络设备可以相当简便地升级到快速以太网,保护用户原有的投资,与其它新型网络技术相比,更方便地使现有的10MbpsLAN无缝连接到100MbpsLAN上。 100BaseT集线器和网络接口卡
13、,只需要比10BaseT同样的设备多花少量费用就可提供比普通以太网高10倍的性能。因此,100BaseT具备较高的性能价格比。 快速以太网(100BaseT)已得到IEEE任命标准为802.3u,并得到了所有的主流网络厂商的支持。千兆以太网技术千兆以太网是相当成功的10Mbps以太网和100Mbps快速以太网连接标准的扩展。IEEE已批准千兆位以太网工程IEEE802.3z。千兆位以太网和已充分建立的以太网与快速以太网的节点完全匹配。最初的以太网规范由帧格式定义,且支持CSMA/CD协议、全双工、流控制和由IEEE802.3标准定义的管理项目,千兆位以太网将使用所有这些规范。总之,千兆位以太网
14、和管理员以前使用和了解的以太网相同,所不同是仅仅是比快速以太网快十倍和它与当前的高带宽需求应用程序相协调的额外特性,而且和日益增强的服务器和台式计算机的功能相匹配。我们可以看到主干和各网段及桌面已实现了无缝结合,网络管理变得不再让用户望而生畏。ATM技术ATM技术相对以太网来说是一种较为为新型的技术,它基于面向连接,提供QOS保障,在实时数据传送,预留带宽方面有不可比拟的优越性,特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求,它针对不同的数据通讯类型会给予不同的质量保证,另外小信元有利于速率的不断提高,但由于其技术成熟度不够,和目前直接基于ATM的应用类型还比较少,它的优越性受到了限
15、制,另外它的元件和设备价格昂贵是另一个不利与推广的弱点。2) 网络技术选择下面我们根据实际应用需要以及网络功能、性能、安全性等多方面来做具体的比较分析:我们想通过下面的二组表格对两种技术就目前的现况做出全面的比较。表一:千兆位以太网在具有以前ATM所有的功能之外,还能提供一个更为综合性的解决方案。此主题相关图片如下:表二:千兆位以太网能完成许多ATM的功能,但是有价格低、更易和LAN结构融合的优点。此主题相关图片如下:以上的比较表明千兆以太网以许多方式发送最初期望ATM实现的优点,而且可以容易的、经济的多地执行。综上所述,根据区检察院实际应用情况,我公司建议采用千兆以太网与三层交换作为技术定位
16、的局域网网络方案。3) 逻辑拓朴结构我们对该网络的拓扑结构确定如下:此主题相关图片如下:在逻辑拓扑中网络可划分为若干虚拟局域网,虚拟局域网不受设备物理位置的限制,灵活性较大。按各部分功能划分:SERVER VLAN为服务器群虚网,将各种主要服务器(数据库服务器、应用软件服务器、楼宇智能服务器等)放在一个虚网内便于管理、维护,同时也可以尽可能减少外部入侵及破坏系统的可能性;OA VLAN为业务办公子网、BA VLAN为楼宇智控子网、根据不同的部门职能,还可划分更细的以部门为单位的子网如VLAN 1、VLAN2。4) 局域网络具体设计根据可靠性及稳定性的设计原则,网络建设将采用新型的Cluster
17、ing技术,核心交换机采用两台具备智能第二、三层交换能力的1000M企业级交换机冗余并且支持光纤接入。根据功能区划分,桌面接入交换机组由带光纤堆叠模块的100M交换机搭载原有的Intel交换机来完成,同时,为了避免浪费投资,我们将区检原来购买的Intel 550和400交换机作为一个桌面接入交换机组,共计6个交换机组。适当的增加交换机堆叠数量,可提供200600个100M交换端口,具备很强的扩充能力。所有工作站都通过100M网卡连接到桌面接入交换机组上,使100M全交换到桌面。交换机组采用GBIC模块通过1000M光纤上行链路分别与两台主干交换机做相连。中心计算机房的业务办公数据库主机和应用软
18、件服务器、楼宇智能服务器等设备直接通过冗余铜缆线路与两台1000M核心交换机上的100M以太网口连接。中心机房内的网管工作站以及一些工作站可通过原来的Intel 400系列交换机冗余连接到主干交换机上或者直接连接到主干交换机上。同时,区检察院原有的网络交换机也可直接通过铜缆或光纤连接到主干交换机上,以得到充分的利用和扩展。在不改变网络技术情况下的扩展方式:随着业务的增加,网络站点数量的增加,楼层配线间的交换机上100M端口数目必然会不够。这时我们可以采用增加桌面接入交换机的方式来扩展。这样就能提供了更多的接入端口,为以后增加更多的设备提供了良好的扩充余地。同时,利用主干交换机的三层交换能力以及
19、VLAN功能,将网络划分多个子网:业务办公子网、楼宇智控子网、广域子网、服务器子网等,各子网间能够安全隔离。根据区检的实际电脑使用情况,我们系统投入运行初期,实现300个信息点的接入。5) 无线移动接入设计由于区检察院大楼中存在一些位置难于使用有线线路获得网络访问,而且有些地方存在室内装修不能受到破坏等问题无法进行有线布线,例如大会议室以及一些会议厅为了美观以及会议方便不可能做到全范围覆盖的有线综合布线。并且在以后的使用过程中,可能有些地方还会出现需要建立临时网络的问题。考虑到这些情况我们引入了先进的无线局域网技术,这是对有线网络的一种很好的扩展和补充方式。我们设计的无线局域网解决方案适于任何
20、希望轻松实现网络无缝扩展的地方无论是将网络工作站放置在大厅、走廊、室外或是在整个区域中移动,都不必担心连接中断或线缆敷设。它们可提供对诸如电子邮件、因特网/内部网连接、企业资源规划等至关重要的应用程序的无线访问。与其他无线局域网不同,我们的解决方案可直接集成于现有的区检察院有线网络结构中,并实现有线局域网的无缝扩展。对于临时建立的网络接入,我们不需要重新进行增加布线,可使用无线局域网方式来完成临时的网络接入,具备很大的灵活性和移动性、自由性。并且无线接入方式可提供高达11Mbps的接入速率,足以满足目前的应用需要。无线局域网是一个灵活的数据通信系统,它能够取代或扩展有线局域网,以提供更多功能。
21、利用射频(RF)技术,无需架设线缆,无线局域网就可以通过空气,穿越墙壁、屋顶甚至水泥结构建筑物来发送和接收数据。无线局域网具有象以太网和令牌环这样的传统局域网技术的所有特性和优势,而且不受电缆连接的限制。这实现了更大的自由和灵活性。但是,无线局域网技术的重要性远远不止是不需要线缆。无线局域网的出现揭开了网络基础设施的一个全新定义。网络基础设施不一定是实实在在的物理实体,不一定就是固定的,难以移动而且变动成本很高;而是可以随用户一起移动,可以跟企业的变化速度一样快。无线局域网有两种基本配置方法:对等模式(ad hoc模式)这种模式包含有2台或2台以上的个人电脑,这些个人电脑均配备有无线网卡,但没
22、有连接到有线网络上(图A)。它主要是用来在没有基础设施的地方快速而轻松地构建无线局域网。此主题相关图片如下:图A:对等无线配置客户机/服务器(基础设施网络)模式这种模式可提供完全分布地数据连接,通常由连接到一个中央集线器(也叫无线局域网接入点)的多台个人电脑组成。而接入点是作为连接到有线网络资源的桥梁(图B)。此主题相关图片如下:图B:客户机/服务器无线配置根据区检察院办公大楼的实际情况,我们采用客户机/服务器无线配置模式来构建无线局域网接入。在需要建立无线局域网的地点(如大会议厅)或其附近铺设12个有线信息点,用于无线局域网接入点设备接入有线局域网。这些有线信息点可隐蔽铺设也可公开铺设,具体
23、看当地的室内装修环境决定。而无线局域网接入点可放置在隐蔽处(如天顶、隔墙等)或公开处均可,但是要注意如果放置在隐蔽处,办公室环境最大半径(以无线局域网接入点为圆心)不可超过30米(11Mbps速率),室外环境不可超过120米。对于工作站的无线接入可通过使用无线局域网卡来完成。我们设计的无线局域网解决方案可提供高达11Mbps的吞吐量,支持以下用途:临时会议,无论身在何处,无需有线连接或磁盘,便携式电脑用户即可相互共享文件。无缝漫游有助于提供最佳的连接速度。可在期望实现网络访问但无法实施网络布线的历史建筑物、租用办公空间和临时工作地点建立即时网络。无需实施费用高昂的重新布线工程,就可以增加或删除
24、网络用户。由于无线技术最初是针对军事用途设计的,因此很久以来安全性一直是无线设备的设计标准。并且我们设计的无线局域网具备128位有线等效保密(WEP),通过添加强大加密功能来保护传输中的信息,而不会对性能产生明显影响。通过访问控制功能在允许进入网络之前对客户和接入点进行双向鉴权,具备很高的安全性和保密性。2、广域网设计1)检察系统专网部分检察机关系统的管理模式和组织结构可以概括为分层集中管理,多层星型结构。全国检察机关多媒体通信网的拓扑结构也是一种多层星型结构,该网络以最高人民检察院为中心节点,各省级检察院为区域分支节点,各地市检察院为远端分支节点,各县区级检察院为终端节点,组成多层星型树状网
25、络,通信网内包括了局域网通信、语音/传真通信和视频会议等多种应用。根据检察机关及国内通讯网络的现状,本着循序渐进、稳扎稳打的原则,我们提出了分步实施的建议。这样既可以使可以使检察机关从容地组织技术力量,也避免了一下子使摊子铺得过大,管理、操作、技术人员培训跟不上的问题。因此这个方案分三期实施,第一期完成最高人民检察院到省一级检察院的网络覆盖(一级网),第二期利用省内帧中继/DDN网实现各省检察院到地市级检察院的网络覆盖(二级网),第三期利用地市内帧中继/DDN网实现各地市检察院到县区级检察院的网络覆盖(三级网)。一级网设计根据最高人民检察院的有关文件,在该方案中采用了美国ACT公司的NETPE
26、RFORMER系列产品SDM-9500作为网络接入设备。配置说明一级网以最高人民检察院(以下简称高检)为中心节点,覆盖31各省级检察院、军事检察院、新疆生产建设兵团检察院及高检西区办公楼和检察官学院等远端分支节点,共36各信息节点,实现各信息节点语音、数据及视频等业务的资源共享。中心节点提供4个E1共120路语音中继,每个分支节点提供8路语音中继;各信息节点分别提供一个局域网路由接口,以实现局域网广域网互连;中心节点和分支节点之间分别提供视频会议接口,以满足视频会议的需要。区检察院计算机网络采用ACT SDM-9500,在SDM-9500中插SDM-9585卡提供帧中继网络接口和数字语音中继接
27、口,通过帧中继网络连接到检察机关一级专网中。与区检察院局域网的连接,通过SDM-9500的高速数据模块所提供的10/100M局域网路由器接口来实现无缝连接。话音接入SDM-9500可以提供各种话音接口,其次ACT的话音通道除了可以满足话音通信的需求,而且可以很顺畅地支持G3传真,传真信道速率可达14.4K。另外ACT话音通道还可用于电话会议系统。最高人民检察院中心节点与各省级检察院之间都有ACT的接入设备所提供的话音通道,利用该话音通道,配合高检系统内部的电话会议系统,可以很方便地召开以高检院机关为主会场,其余各点为分会场地全国性电话会议。数据接入可通过SDM-9500基本单元所提供的10/1
28、00M局域网路由接口接入区检察院内部局域网络,通过G.703或V.35接口接入帧中继网连接到一级专网中。SDM-9500支持IP/IPX,IP Multicast等协议的路由,其支持的路由协议包括RIP,OSPF及静态路由等。本方案采用静态路由组建计算机远程通信网络。视频接入SDM-9500可以提供H.323视频会议接口,利用视频会议接口,再配合相应的VTEL视频会议系统,即可召开集图文、声音于一体的全国性电视会议,又可以进行远程可视案件讨论、远程预审、审讯监控和指挥,更好地服务于检察业务工作。2)因特网接入设计国际互联网的一大特点就是能开放、充分地提供各种信息,区检察院对外部门的各种资料、档
29、案、数据库的上网使检察院的服务更加完善,更好地为社会服务。并且与国际互联网的连接可以获得大量的信息资源,同时能将区检察院介绍给世界。区检察院网络系统通过一台高性能的并具备安全防护能力的路由器使用ISP提供的DDN数字线路连接到国际互联网。工作站均可通过路由器的Internet网关浏览Internet上的资讯。区检察院还可建立自己的WEB服务器并连接到互联网上,但考虑到区检自己的技术力量以及安全问题,建议WEB服务采取主机托管的方式,交由ISP管理维护。目前可暂时建立内部的E-Mail、BBS、NEWS服务,待日后时机成熟后,可建立自己的完整的WEB服务器,再连接到Internet对外提供服务。
30、3)远程接入设计区院网络系统作为全区检察机关网络系统的中心,首先是全区整个检察机关广域网络系统的大脑与心脏,承担了全区检察机关系统网络的运行、维护的重要责任,是一个较为集中的数据中心,和多种应用的中央控制的监测机构,所以区检察院网络中心的建设是整个网络建设的关键。我们通过使用ACT公司的SDM-9500高性能的路由接口来作为检察机关专网的远程接入设备,支持帧中继、DDN等多种广域网线路,并且采用模块化设计,具备良好的扩展能力。对于下级各地市检察院节点的接入,可根据具体情况通过帧中继或DDN网来实现。对于远程办公或检察院人员在外地拨入访问,可通过在路由器上加载Modem模块来实现。这样在内部人员
31、在外地需要查询资料时,可通过拨号访问方式连入区院网络系统。4)IP电话系统IP是英文Internet Procotol的缩写形式,即“互联网协议”。IP电话是指用户的语音信号通过互联网来传输的应用。它采用语音压缩等技术,节省了网络的带宽,降低了通信成本,所以IP电话可以为用户提供更经济的电话服务。对于用户来说,最大的优势就是长途话费变得很便宜(国际、国内长途电话省60左右)。电话网关是实现IPHONE的最关键的硬件设备。它起到了将传统的PSTN的话音信号转换成可以在IP网络上传输的数据包的作用。在区院网络系统的设计中,我们考虑了以后扩展增加IP电话功能的设计,预留了IP电话网络接口。我们面向专
32、线用户的VoIP解决方案中选用的电话网关设备是CISCO的路由器。CISCO路由器符合H.323标准,除提供IPHONE的功能外,它还可以当成标准的提供路由功能的路由器使用,进而提供上网服务,一机多用。根据区检察院目前的实际情况,我们暂不开通IP电话功能,但是我们在设计上预留了IP电话网络接口。3、区院网络总体拓扑结构图此主题相关图片如下:4、网络管理网络管理是一个复杂网络必须考虑的关键技术问题,这里的网络管理主要指网络设备管理,包括网络设备配置管理,网络性能管理,和网络设备故障管理。网络管理设计需要在配置每个网络设备时,都选择具有网络管理代理的,驻留有网络管理协议的设备,网络管理设计的另一方
33、面,是配置一个网络管理中心,它一般是一台微机,配置网络管理平台,在平台上运行管理每个网络设备的应用软件。网络管理是保持当今的企业网络以高峰效率运行的一个关键工具。网络管理可以帮助您决定网络中的故障、性能和配置变化。 我们设计的网络管理方案在我们的网络硬件中结合了软件工具以及IOS的特性。此主题相关图片如下:通过运用CiscoWorks2000工具,Cisco提供自动发现网络设备、跟踪和审计配置变化、监控和记录设备活动以及跟踪和监控终端站连接上的性能数据和报表的能力。CISCO IOS管理特性允许您同步化所有网络事件,将这些事件记录到系统日志服务器以便监控和分析,监控设备的特定事件,在报警发出时
34、发送通知。将所有这些结合在一起能使网络管理员保持跟踪其网络,最大限度地提高其效率和生产力。网络管理员不仅仅在局域网内通过一台PC监控管理全部的网络设备,还可以通过远程拨入访问的方式异地监控管理区院的网络设备。网络管理软件的介绍CiscoWorks2000CiscoWorks2000是一系列基于Internet标准的产品,用于管理Cisco企业网络和设备。CiscoWorks2000为配置、管理、监控和故障诊断路由广域网提供一系列强大的企业管理应用,大大降低了它们的复杂性。 CiscoWorks2000提供配置、管理、监控和故障诊断工具。该基于Web的解决方案带有管理局域网交换和路由环境的应用,
35、是面向Cisco交换机管理的CWSI Campus捆绑的下一代产品。CiscoWorks2000能使用户分析网络流量模式,排除协议相关的问题,建立积极的报警,在用户受到影响之前提前检测出问题,执行趋势分析。5、网络采用的协议标准本网络以TCP/IP为主要协议,因为TCP/IP协议是美国国防部门制定的一套计算机网络协议,是目前众多计算机网络最流行的协议,以它为基础组建的Internet网是目前国际上规模最大的计算机网间网,它虽不是国际标准,但却是一种事实上的工业标准协议,采用TCP/IP为网络主要协议,可保证与CHINANET和Internet保持一致,还可支持IPX,DECNET等其它协议。真
36、正实现于国际互联网的无缝连接。从计算机网络通讯的观点来看,TCP/IP网络实质上可称为IP网络,它是由许多IP网关(或称为IP路由器)通过若干直接连通的通信线路(点到点通信)形成一个计算机通信网络。在IP网点上再接入主机,子网便构成一个互联的计算机网络,这些安装了TCP/IP的各类计算机间需要通信时,它就不再要求设置协议转换开关,而且主要的网络服务都可建立在TCP/IP服务器上。三、系统主机设计当前主流的主机平台主要是AS/400(OS/400)、UNIX主机、PC SERVER的结构:AS/400(OS/400):是一种比较安全和稳健的网络服务器结构,拥有无可匹敌的可伸缩性、可靠性和安全性。
37、到目前为止,尚未有任何一台AS/400被黑客攻破过。具有较高的性价比。UNIX主机:是一种传统的网络服务器结构,管理比较复杂,扩展能力不好,可靠性较高,但安全方面存在一些漏洞。PC SERVER:是一种比较流行的中档的服务器结构。管理简单方便,价格适中,系统开销合理,运行效率较高。但是安全性和可靠性中等。我们通过下面的表格来比较这三种结构的可靠性:此主题相关图片如下:根据上面的分析比较,所以我们在本方案中选用AS/400(OS/400)系统架构作为业务办公的主机平台,而区检察院原有的2台HP LH3服务器可采取PC(WindowsNT)系统架构来作为楼宇智能服务器(双机容错)。楼宇智能主机的具
38、体设计见BMS篇。我们之所以选择AS/400e作为整个系统平台,还因为它具有以下优势:集成性:作为一个集成的计算机系统,AS/400e将数据库、通讯、安全性等功能全部集成在操作系统当中,最大限度实现各功能间的兼容性。并且,AS/400e还集成有世界上最流行、应用最广泛的数据库系统DB2/400。开放性:从互操作性看,AS/400e能以任何形式与任何机器相联。AS/400e支持绝大多数的互操作标准,支持几乎所有的通讯协议。其集成数据库DB2也支持绝大多数开放数据库的标准。可移植性:全世界范围内,有8000家应用软件开发商在AS/400平台上从事开发工作,有28000多种应用软件,其中包括3000
39、多种Client/Server软件。兼容性:由于IBM的的专利技术TIMI,独立于技术的机器界面设计,使得在AS/400性能几十倍提升的同时,而用户的应用程序可不用做任何修改,甚至不用重新编译即可在任一系列的AS/400e上运行。这就使得用户一旦投资AS/400e,便可终身享有信息产业的最先进技术。可连接性:对于AS/400e的用户来说,在使用AS/400e的功能时,可以通过任何工作平台访问到AS/400e,不一定必须使用AS/400e的字符终端。AS/400的用户不必关心自己所使用的操作系统,任何平台都可以作为AS/400e的客户机。 可支付性:对于计算机系统的总拥有成本来说,在购买AS/4
40、00e时,用户不仅得到硬件和操作系统,同时还得到集成于AS/400e上的数据库、安全性、通讯功能等,而这些功能对于其他系统来说,还必须另外花人力、财力去购买、实施和维护。 可扩充性:从小到大,AS/400e拥有全线产品,而且,AS/400还向用户提供光纤连接技术,可将多达32台AS/400e连接起来,集群运作。 对于区检察院原有的基于PC(WindowsNT)平台的应用,我们利用AS/400良好的兼容性来平滑迁移。AS/400服务器具有易管理性,支持多种应用体系结构。AS/400全新的集成式Netfinity服务器(NT卡)允许在AS/400服务器里安装多达3套微软Windows2000(服务
41、器版),并且用同一个服务器管理它们。这样用户的应用程序可不用做任何修改,甚至不用重新编译即可在AS/400e上运行。四、软件平台设计1、系统软件根据上面主机平台的设计,我们采用的是AS/400e小型机免费捆绑的强大的OS/400 V4R5操作系统和DB 2数据库系统作为业务数据库主机的系统软件。由于标书中没有提到有关高检统一开发的业务办公应用软件的运行环境,我们暂时设计目前通用的NT操作系统来作为业务办公应用服务器的系统软件。但由于我们设计了目前先进的三层结构的运行环境,若实际应用为其他操作系统,也将很方便的替换,完全不影响业务软件的使用对于楼宇智能主机,由于其采用的是PC结构,根据BMS以及
42、BA系统应用软件的实际运行环境以及区检的实际情况,我们选择目前普遍流行的WindowsNT操作系统和MS SQL数据库系统,以保证楼宇智能应用的正常运行。2、应用软件业务办公软件采用高检统一开发的业务办公应用软件。BA系统以及BMS系统的专业软件设计详见BA系统以及BMS系统设计篇。五、冗余及备份设计1、系统冗余方案1)网络冗余根据用户需求以及设计原则,对网络传输的可靠性有一定的要求。在此方案中,我们将两台主干路由交换机都配置GBIC千兆模块通过1000M光纤链路作为主干冗余连接。通过两台主干交换机冗余以及桌面接入交换机冗余连接到主干交换机,保证主干交换机与主干交换机之间、主干交换机与桌面接入
43、交换机之间都能够相互冗余容错。所有的服务器都使用双网卡,通过冗余铜缆线路分别连接到两台主干交换机的100M端口口上。这样做到了主干交换机与服务器之间完全冗余。桌面接入交换机组都通过冗余光纤上行线路连接到两台主干交换机上,对主干100M端口也同样到了容错。这样不但增加了网络带宽,还做到了桌面接入交换机和主干交换机的完全冗余。同时为主干交换机采用冗余电源模块,增强主干交换机的可靠性。2)系统主机冗余所有的系统主机采用双机容错方式,业务办公主机、楼宇智能服务器均配备备份主机,实现双机热备份,保证系统主机的完全冗余。2、安全备份及灾难恢复方案网络系统中最重要的不是网络硬件,而是网络运行的数据。如果不能
44、保证数据的安全及正确,对网络进行的大量投资就失去了意义。备份方法可以分为硬件备份和软件备份。硬件备份指的是用额外的硬件保证系统的连续运行,例如磁盘双工和双机容错,如果某个硬件损坏。备份硬件立即接替它的工作。但是,这种备份方式不能防止逻辑错误。据有关资料统计,系统错误有80%以上属于人为误操作。发生逻辑错误时,硬件备份只会将错误复制一遍,而不能保护数据。实际上,硬件备份应称为硬件容错。软件备份指的是把数据保存到其他介质里;当系统出错时,备份系统可以把系统恢复到备份时的状态。这种备份方法可以防止逻辑错误,因为备份介质和系统是分开的,错误不会复制到存储到介质里(如海量磁带系统)。这意味着只要保存足够
45、长的历史数据,就可以恢复正确的数据。理想的备份系统是在软件备份的基础上增加硬件容错系统,是网络更加安全可靠。实际上,备份应包括文件/数据库备份和恢复、系统灾难恢复和备份任务管理。我们采用双主机工作方式进行硬件容错,同时通过给业务主机配备海量磁带存储设备来进行软件数据备份,达到完全的备份。六、系统安全设计安全是在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从3个方面来讨论保障网络安全的若干措施。1、主机安全采用网段分离技术,把网络上相互间没有直接关系的系统主机分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。网段分离可以采用物理方式以及逻辑方式来实现。在物理上
46、,我们将区检察院网络分为内部业务子网和外部访问子网两网段;在逻辑上运用虚拟专用网技术(VLAN),将应用服务器和工作站根据具体情况分别放在不同的虚拟子网上。另外,在安全方面有一个最基本的原则:系统的安全性与它被暴露的程度成反比。因此,建议将对外信息发布的服务器与内部业务应用服务器隔离,由于将数据库和内部业务应用主机封闭在系统内部,增加了系统的安全性。同时使用代理技术,不允许直接访问业务主机,所有的应用连接都通过代理来完成,这不仅仅增强了业务主机的隐蔽性,也提高了业务处理效率。2、数据安全在网络上运行的软件需要通过网络收发数据,要确保数据安全就必须采用一些安全保障方式。1)用户口令加密存储和传输
47、目前,绝大多数应用仍采用口令来确保安全,口令需要通过网络传输,并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输,一旦被读取或窃听,入侵者将能以合法的身份进行非法操作,绝大多数的安全防范措施将会失效。所以用户口令需要采取加密方式存储和传输。2)分设操作员分设操作员的方式在许多单机系统中早已使用。在网络系统中,应增加管理员、一般使用员等多种操作员类型,以便对用户的网络行为进行限制。3日志记录和分析完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。对日志的分析还可用于预防入侵,提高网络安全。例如,如果分析
48、结果表明某用户某日失败注册次数高达20次,就可能是入侵者正在尝试该用户的口令。3、网络安全在内部网络设计中主要考虑的是网络的可靠性和性能,而如何确保网络安全也是一个不容忽视的问题。为进一步保证系统安全,还要在网络中对防火墙和路由等方面做特殊考虑。1) 路由为了避免入侵者侵入内部资源,应仔细进行路由配置。路由技术虽然能阻止对内部网段的访问,但不能约束外界公开网段的访问。为了确保网络的安全运转,避免让入侵者借助公开网段对内部网构成威胁,我们有必要使用防火墙技术对此进行限定。2) 防火墙路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常IP包,把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的IP地址和网络访问所使用的TCP或UDP端口号。几乎所有的应用都有其固定的TCP或UDP端口号,通过对端口号的限制,可以限定网络中运行的应用。七、产品选型1、网络设备选型1) 主干交换机目前生产交换机的厂商比较多,著名的有Inte