1、华康医药计算机网络改造项目设计方案 目 录第一章 前 言4第二章 需求分析52.1网络系统设计的原则52.2系统需求归纳62.3系统设计目标6第三章 总体方案设计73.1核心技术介绍7局域网技术选型7虚拟网络的划分9第三层交换与路由123.2 总体方案设计概述193.2.1 总体方案设计目标193.2.2 总体方案设计原则193.1.3 网络平台的设计203.1.4 主机选型概述203.1.5 网络设备选型概述21第四章 网络系统设计224.1网络拓扑结构224.2整体网络结构234.3企业内部局域网244.4 Internet接入244.5 VPN组建244.6方案特点28第五章 主机系统设2、计295.1服务器发展趋势295.2服务器选型和配置315.3 WIN2000操作系统35第六章 网络安全设计376.1 系统安全策略设计原则376.2 系统安全模式设计376.3 StopHacker守护神防火墙406.3.1 StopHacker守护神防火墙的优点406.3.2 StopHacker守护神防火墙功能416.3.3 StopHacker守护神防火墙性能、参数44第七章 UPS电源方案设计45第八章 产品介绍478.1 IBM X370高性能服务器47第一章 前 言21世纪世界竞争的焦点将是信息的竞争，社会和经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大，信息技术的3、发展对政治、经济、科技、教育、军事等诸多方面的发展产生了重大的影响，信息化是世界各国发展经济的共同选择，信息化程度已成为衡量一个国家，一个行业现代化的重要标志。我公司是从事计算机系统集成和软件开发的高科技信息产业公司。主营业务为计算机系统集成，包括信息管理系统及软件开发、网络与通讯、网络安全、安全监控、智能大楼综合布线工程等。公司在承接大中型工程项目上有着坚实的技术基础和丰富的实践经验。工程涉及政府、企业、部队、公安、金融、税务、邮电、电力等各个行业，承接了几十项规模大、技术先进的重点工程。公司在计算机系列产品及网络系统产品上与国内外多家先进厂家进行了密切的合作，并建立了良好的销售及代理渠道，4、使公司能以最先进的技术、最快捷的服务为各类大、中型项目提供良好的支持。华康医药公司计算机网络系统集成项目作为ERP系统重要组成部分，在其设计和建设中应充分考虑当前和未来信息系统的发展需要，采用合理的技术，选用先进的设备和软件，以最大限度地满足当前应用系统的需要。其系统总体目标是根据华康医药公司的现状与需求，建立先进、实用、安全、可靠、开放的计算机网络环境，利用先进的技术和手段实现网络互联，建成企业内部信息网络系统，以实现各个部门的连接及信息共享，最大限度提高企业内部信息系统的的效率。因此，根据华康医药公司网络的需求，并在充分理解华康医药公司ERP信息化系统实际需求的基础上，结合我公司技术人员多5、年的计算机系统集成经验和最新的计算机网络技术，本着“先进性、可靠性、安全性、实用性、开放性、可扩展性、易操作性、易管理维护性”的原则，给出我公司的设计方案。第二章 需求分析2.1网络系统设计的原则“先进性”原则，计算机网络系统的基础结构要立足于目前相关领域国际先进的技术和标准，以Intranet为核心，选用具有代表性和先进性的技术和设备，建成技术先进、性能优良、功能齐全、运行可靠的计算机网络系统。“可靠性”原则运行可靠是计算机网络系统建设的一个先决条件，各种服务器和计算机系统应具有长期的重负荷稳定运行和相对较强的抗干扰能力，必须采用多方面的措施，如尽量采用成熟而通用的技术和产品、在系统设计和软6、硬件选配中尽量简化及优化、对系统关键部分做适当的冗余考虑等，使系统具有良好的可靠性。“安全性”原则，计算机网络系统必须按照多重保护、多层次实现、多个安全单元以及动态发展等安全性策略，在服务器平台方案和部署设计上，应体现较为完善的网内安全隔离和网间互联安全保护等原则，在设备及软件的选型配置上，应对其所具备的安全技术和保护能力等加以充分考虑，形成安全系统机制，并提供有效的备份应急措施，为进行严格的信息安全管理提供技术基础和手段。 “实用性”原则，在网络系统的设计和建设过程中，要尽量采取成熟的、有成功先例的技术，合理选用系统设备和系统软件，优化系统性能价格比，精心设计、科学施工，避免采用过高和华而不7、实的技术、设备和软件，避免失误，避免重复劳动，求的资金投入的最大效益。“开放性”原则，网络系统设计过程中，要坚持标准化和开放的原则，采用广为流行的国家标准和国际标准，使不同生产厂商的硬件、软件产品能融为一体，为信息系统开发提供良好的开发平台。“扩展性”原则，随着企业信息化的不断发展，企业计算机局域网信息系统及应用的规模和水平将会不断发展变化，这就要求计算机网络系统能够适应这些发展变化。另一方面，计算机网络和通信技术发展迅速，新的技术不断涌现，新的需求不断增加。因此，建成的计算机网络系统应具备良好的可升级性、可扩展性，以适应不断发展的应用需要、跟上不断进步的技术水平。“可管理性”原则，系统应支持8、先进有效的管理策略，提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况，并在安全和系统故障方面进行预警，提交日志和分析报告，及时发现故障点，为平衡负载、优化服务、排除故障提供手段和依据。2.2系统需求归纳华康医药公司各业务部门信息点主要分布在旧办公大楼，未来新大楼建成使用之后,中心机房将搬迁到新大楼。需求归纳如下：1. 局域网主干采用千兆以太网技术，100M交换到桌面，采用InternetIntranet 应用模式； 2. 网络必须采用VLAN和第三层交换技术，控制和管理； 3. 广域网采用多种技术，实现各个信息点通信的要求(包括IP电话)； 4. 操作系统采用Windows20009、AdvancedServer； 5. 采用防火墙技术和可靠的防火墙产品，保证整个网络的安全；6. 主机系统采用IBM服务器和磁盘阵列组成，要具有高可靠性，数据库系统 建议采用大型数据库系统(Oracle)。2.3系统设计目标1. 实现华康医药公司各科室及科室内部以及各连锁药房的信息交换和资源共享，满足每个桌面的计算机均能入网的要求；2. 建立远程传输系统，实现在外人员与各部门及时有效的信息交换和移动办公；3. 以网络硬件和各服务器平台为基础，形成IntranetIntemet技术为核心的企业级网络环境，建立ERP系统； 4. 未来实现和社保等单位的网络互连第三章 总体方案设计3.1核心技术介绍10、3.1.1局域网技术选型 随着信息产业的发展，台式机系统的能力火箭般上升，各种新的图形应用和多媒体应用在网上运行，联网用户急剧增加，网络规模和复杂性不断增长。另外，IntranetInternet应用模式的采用，使得网络流量更加难以预测。这一切都对网络通信性能提出了更高的要求。采用高速网络技术势在必行。 目前可供选择的有100Base-T、ATM和千兆位以太网技术，各种技术又可用集线器、交换机、第三层交换机和路由器进行多样组合。对此，我们必须进行探讨，慎重选择。 ATM技术可说是网络上的一大变革，它所有的观念炯异于以前的网络概念，它是一种面向连接的网络技术。所谓面向连接是指传送一方在送资料时需11、和接收一方建立连线，就如同我们打电话一般。另外ATM的报文大小为固定长度(53字节)的信元，如此可保证传输过程的低延迟能力。最特别的是，在ATM的通讯架构中，早已建置了服务质量(QOS)的功能。由于以上的特征，ATM将是一种很有发展前途的技术，也是人们所期待的集成语音、影像及数据等多媒体信息的技术。然而就是因为ATM集合了这么多的优点，造成规格及标准的制定困难，进度缓慢，同时也因为以前的应用程序均是以NDIS及ODI作为应用编程接口(APl)，若要使用ATM的优点，则必须通过LAN Emulation或MPOA之转换，但经由此等转换后，ATM的优异性将荡然无存。 而在ATM到桌面的环境中，由于12、缺乏能有效利用ATM特性的APl标准，导致目前在ATM上的多媒体应用多为厂商专属的解决方案，存在致命的兼容性问题，不利于发挥ATM的优势，加上管理界面的不同，限制了用户的接受度。 为了能与ATM分庭抗礼，以太网络的忠实拥护者于数年前推出了100Mbps快速以太网络。与此同时，业界还问世了另一标准100VG-AnyLAN，这两者同样是100Mbps的传输速度。100VG-AnyLAN支持优先级调度，平心而论，它确实是很好的通讯协议，但在业界及使用者的选择下，100VG-AnyLAN被淘汰出局，成为叫好不叫座的明星。究其原因，在于快速以太网采用和以以太网相同的技术，传承自以太网的规范，原来的应用可13、继承。由于在网络市场中，以太网的用户数比例高达80以上，如此雄厚的用户基础，加上快速以太网良好的性能价格比，使其迅速成为市场主流。 快速以太网与交换技术的结合，使其具备如下优点 * 简单，低成本，可实现原有以太网无缝升级： * 众多处于业界依靠的网络厂商、主机厂商、半导体厂商甚至传统通信业厂商的支持。 而在快速以太网规范完成的同时，千兆以太网(Gigabit Ethernet)的规范即已着手制定，希望能将以太网络的频宽从10Mbps、100Mbps提升到1000Mbps。干兆以太网仍属于IEEE 8023类，仍采用CSMACD协议，有着相同的报文格式及长度，同样的管理界面，同样的全双工及半双工14、操作模式。1EEE8023z规范于近期完成，市面上已在产品问世。目前在布线上已明确规范上分为1000Base-SX和1000Base-LX。1000Base-SX支持多模光纤(850nm短波长)，传输距离500m：1000BaseLX(1300波长)，支持多模光纤或单模光纤，多模方式，传输距离不低于550m，单模方式，传输距离最远可达70km。千兆以太网的出现，为以太网、快速以太网提供了一个新的升级途径。 面对IEEE 8023类以太网络在频宽管理能力方面的缺乏，IEEE在其规范中不断采取它种技术以修正，如在服务质量方面(QOS)，积极制定IEEE8021p优先权级别，同时利用RSVP，使用频15、宽保留的技术提供服务类(Class of Service)，供语音及影像等多媒体信息应用。 综上所述，就目前来看，ATM和IEEE8023类的以太网(包括10Mbps、100Mbps和1000Mbps)这两种技术是比较有前途的，其中后者适用于以数据为主的应用环境中，搭配一些频宽管理的特性，也可使用多媒体。适用环境如：ISP、数据交换中心及企业Intranet之主干技术。而ATM则适用需同时提供语音、视频、数据服务之环境。 根据上述当前的技术发展趋势，针对华康医药公司网络的需求，我们建议采用交换技术构筑局域网，为了保护以前的投资，网络主干采用快速以太网，同时具备向千兆以太网升级的能力，而客户机以16、100M以太网接入网。从近年来计算机应用的发展来看，越来越强调各个部门之间的协调、协作与沟通，诸如Intranet和分布式协同计算模式的应用已日趋广泛，这使得任何用户在任何时间都有可能访问任何服务器的资源。下一个瓶颈将在哪里出现是很难预料的。因此，有必要在网络设计时，考虑配置高速交换机，在主干中建立过量的带宽，以确保每一个应用都可以在它需要的时间内得到它需要的资源。而另一方面，随着网络规模的扩大，如果采用全交换方式，而不具备路由能力时，那么整个局域网将不得不作为一个单一的庞大的广播域来运作，这样会造成任何一个与网络连接的端点发出一个广播报文时，它将穿透所有的交换器而影响整个网络效率，进而引起广17、播拥塞，导致网络响应时间缓慢到不能接受的地步。网络规模越大，产生这种广播风暴的机会会越高。这就需要采用路由技术将一个大的广播域分割成互连的几个小的广播域。但传统的路由器吞吐量低、延迟大，且价格昂贵，不适应于应用模式的需要。第三层交换机则应运而生，结合了第二层交换的高吞吐量、低延迟的特性，和路由器的安全控制和管理能力。我们建议在华康医药公司网络工程系统中引入第三层交换技术。根据当前的技术发展趋势，针对华康医药公司域网的应用需求，我们建议采用交换技术构筑内部局域网，网络主干采用千兆以太网，而客户机以100M以太网接入网。3.1.2虚拟网络的划分在华康医药公司域网中，可以采用虚拟网技术，对华康医药公18、司不同的部门划分虚拟网。虚拟网(VLAN)是将一组彼此相关的用户和服务器逻辑地分成工作群组，这样的逻辑划分与物理位置无关，用户、工作站或服务器能够在网络网部任意移动，而始终维持通讯上原有的逻辑关系不变。其实，使用VLAN技术就是把一组用户分配在一个单一的广播域(VLAN)中， 在该广播域上的广播流量只有其成员才能够收到。实际上，VLAN成员的定义可以分为4种:1、根据端口划分VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分，比如CISCO3550的14端口为VLAN A，517为VLAN B，1824为VLAN C，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定19、，如果有多个交换机的话，例如，可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。2、 根据MAC地址划分VLAN这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法20、的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。3、 根据网络层划分VLAN这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划21、分方法可能是根据网络地址，比如IP地址，但它不是路由，不要与网络层的路由混淆。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换。这种方法的优点是用户的物理位置改变了，不需要重新配置他所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的桢标签来识别VLAN，这样可以减少网络的通信量。这种方法的缺点是效率，因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网桢头，但要让芯片能检查IP桢头，需要更高的技术，同时也更费时。22、当然，这也跟各个厂商的实现方法有关。4、IP组播作为VLANIP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高，对于局域网的组播，有二层组播协议GMRP。通过上面可以看出，各种不同的VLAN定义方法有各自的优缺点，所以，很多厂商的交换机都实现了不只一种方法，这样，网络管理者可以根据自己的实际需要进行选择，另外，许多厂商在实现VLAN的时候，考虑到VLAN配置的复杂性，还提供了一定程度的自动配置和方便的网络管理工具。以前，各个厂商都23、声称他们的交换机实现了VLAN，但各个厂商实现的方法都不相同，所以彼此是无法互连，这样，用户一旦买了某个厂商的交换机，就没法买其他厂商的了。而现在，VLAN的标准是IEEE 提出的802.1Q协议，只有支持相同的开放标准才能保证网络的互连互通，以及保护网络设备投资。下面讲述一下VLAN的优点:1、减少移动和改变的代价，即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法24、都能做到这一点。2、虚拟工作组，VLAN的最具雄心的目标就是建立虚拟工作组模型，例如，在校园网中，同一个系的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人，一个人如果从一个办公地点换到另外一个地点，而他仍然在该系，那么，他的配置无须改变，同时，如果一个人虽然办公地点没有变，但他换了一个系，那么，只需网络管理者那配置一下就行了。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个远大的目标，要实现它，还需要一些其他包括管理等方面的支持。3、限制广播包，按照802.1D透明网桥的算法，如果一个数据包找不到路由，那么25、交换机就会将该数据包向所有的其他端口发送，这就是桥的广播方式的转发，这样的结果，毫无疑问极大的浪费了带宽，如果配置了VLAN，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。4、安全性，由于配置了VLAN后，一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，从而就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。理论上，VLAN可以扩展到WAN上，但是，这是不明智的做法，因为VLAN允26、许广播包发送出去，而且它没有很好的路由算法，经常是以广播的形式转发数据包，这样，毫无疑问，极大地浪费了WAN的宝贵的带宽，所以说，将基于端口的，MAC地址和网络地址的VLAN扩展到WAN，是不合理的，而基于多播的VLAN概念则可以灵活有效的扩展到WAN。一般的以太网交换机实现的都是基于端口的VLAN，个别的会实现基于MAC地址和网络层地址的VLAN，而路由器中可以通过IGMP多播协议实现所谓的组播形式的VLAN 。综上所述，建议华康医药公司域网实行VLAN的划分，各个二级节点和关键部门可以划分不同的VLAN，以保证华康医药公司网络的可靠性能。3.1.3第三层交换与路由一、交换技术的发展 - 计27、算机技术与通信技术的结合促进了计算机局域网的飞速发展，从20世纪60年代末Aloha网的出现，到90年代后期千兆交换式以太网的登台亮相，短短的30年间，经历了从单工到双工、从共享到交换、从低速到高速、从简单到复杂、从昂贵到普及、从第二层交换到多层交换的飞跃。 - 1第二层交换 - 在刚开始组建局域网时，主要局限于主机连接、文件和打印共享，多个用户共享10Mbps带宽就能满足这些需求。随着网络规模的日益扩大，先前的网络系统已不能胜任，这是因为在局域网中，最早的网络互联设备是集线器，它是第一层（物理层）设备。由于在这种基于CSMA/CD物理层协议的网络中，经常发生用户数据的冲突，并由此导致重发数据28、，使传输的效率大大降低。当时采用了第二层（数据链路层）设备网桥，它起到细化网段和减小冲突域的作用，从而优化了局域网的性能。但网桥是对高层(第三层以上)协议透明的设备，不能有效阻止广播风暴，因此需要采用路由器。路由器在子网间互联、安全控制和广播风暴限制等方面起了关键的作用，但复杂的算法、较低的数据吞吐量使其成为网络的瓶颈。为了解决以上问题，业界对网桥进行了改进，制造出局域网交换机，用它来替代集线器，以提高网络的性能。 - 局域网交换机是一种第二层网络设备，它在运行过程中不断收集和建立自己的MAC地址表，并且定时刷新。它的引入使网络各站点之间可独享带宽，消除了无谓的冲突检测和出错重发，提高了传输效29、率，而且是点对点传送用户数据，其他节点是不可见的。但第二层交换也有其弱点，包括不能有效解决广播风暴、异种网络互联和安全性控制等问题。因此，产生了交换机上的VLAN（虚拟局域网）技术。 - 2第三层交换 - 第二层交换机工作在OSI参考模型的第二层-数据链路层上，主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制等。为了改进交换机的性能，又推出了第三层交换机，它在保留第二层计算机所有功能的前提上，增加了许多新的功能，如对VLAN的支持、对链路汇聚的支持，甚至具有防火墙的功能等。简单来说，所谓的第三层交换机就是在基于协议的VLAN划分时，增加了路由功能。 - 第三层交换机是Intra30、net应用的关键，它将第二层交换机和第三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案，可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，不仅使第二层与第三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及其他多种功能。 - 第三层交换机分为接口层、交换层和路由层等3个部分。接口层包含了所有重要的局域网接口，如10/100Mbps以太网、千兆以太网、FDDI和ATM等；交换层集成了多种局域网接口，并辅之以策略管理，同时还提供链路汇聚、VLAN和标记机制；路由层提供主要的局域网路由协议，包括IP、IPX和AppleTalk等，并通过策略管理，提供传统路由或直通的第31、三层转发技术。策略管理和行政管理相结合，使得网络管理员能够根据企业的特定需求调整网络。 - 一般来说，第三层交换产品都采用可编程可扩展的ASIC芯片技术，可以提供以下一些丰富的特性： - (1)在所有端口，针对所有网络接口和协议的无阻塞线速交换和路由； - (2)具有极高的吞吐量，数据包的转发速度（即转发包每秒，pps）通常比中高端路由器还要快10100倍； - (3)多种协议的路由选择，如IP（RIPv1/v2、OSPF）、IP Multicast（DVMRP、PIM）和IPX等； - (4)支持多种VLAN的划分，能够根据端口/MAC地址、协议、IP子网、IEEE 802.1Q或3COM 32、ISL等划分； - (5)具有带宽预留（RSVP）及具有服务类别（CoS）和服务质量（QoS）的业务量优先级处理，支持IEEE 802.1p和业务分类（DifferServ）； - （6)可设定访问列表控制(Access List Control)的过滤规则，或基于防火墙的安全策略； - (7)支持通过以太网的点到点协议（PPPoE），支持安全用户认证，配合用户计费，增强用户管理特性； - (8)支持以太网带宽单元递增分配服务； - (9)ASIC的可编程性，支持诸如IPv6的技术和其他未来技术，保护用户投资。 二、第三层交换与路由器的比较 - 在过去，网络中的数据大都遵守80/20规则，即网33、络中只有大约20%的数据包是通过骨干路由器与中央服务器或企业网络的其他部分进行通信，而80%的网络流量主要仍集中在不同的部门子网内。而现在，情况却发生了根本性的变化，以至形成了20/80规则。为了应付不断增长的数据流量，共享介质型的网络纷纷被交换型网络所替代。这种变化对原来用于网络分段的传统路由器产生了直接的冲击。鉴于大部分的数据流量都跨越 IP子网，路由器事实上已经成为了网络传输的瓶颈。 - 传统的路由器主要功能是实现路由选择与网络互联，即通过一定途径获得子网的拓扑信息与各物理线路的网络特性，并通过一定的路由算法获得达到各子网的最佳路径，建立相应路由表，从而将每个IP包跳到跳（hop to 34、hop）传到目的地; 其次，它必须处理不同的链路协议。IP包途经每个路由器时，需经过排队、协议处理和寻址选择路由等软件处理环节，造成延时加大。同时路由器采用共享总线方式，总的吞吐量受到限制，当用户数量增加时，每个用户的接入速率降低。路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。虽然路由器的性能最近也得到了一定的提高，大约达到1Mpps，但采用这种路由器的费用也高得惊人。 - 和路由技术相比，交换技术的好处就是速度快，当网络规模很大时，高速、大容量路由器是十分必要的。另一方面，由于现代通信网络大都采用光纤技术，所以现在数据网络的主要瓶颈是35、节点路由器。现在的第三层交换、路由交换或其他名词都是这种思路的结果。虽然第三层交换最初是为局域网设计的，它采用目的IP地址进行交换，但是现在这种技术也已经开始在广域网中使用。 - 第三层交换在现在的网络建设中起着越来越重要的作用，它不需要将广播封包扩散，而是直接利用动态建立的MAC地址来通信，如IP地址、ARP等，具有多路广播和虚拟网间基于IP和IPX等协议的路由功能，这方面功能的顺利实现，主要依靠专用集成电路（ASIC）。把传统的路由软件处理的指令改为ASIC芯片的嵌入式指令，从而加速了对包的转发和过滤，使得高速下的线性路由和服务质量都有了可靠的保证。 三、第三层交换的应用 - 第三层交换机36、的应用其实很简单，主要用途是代替传统路由器作为网络的核心。因此，凡是没有广域网连接需求，同时又需要路由器的地方，都可以用第三层交换机来代替。 - 在企业网和校园网中，一般会将第三层交换机用在网络的核心层，用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。这样网络结构相对简单，节点数相对较少; 另外，其不需要较多的控制功能，并且成本较低。 - 在目前火爆的宽带网络建设中，第三层交换机一般被放置在小区的中心和多个小区的汇聚层，第三层交换机的出现动摇了企业路由器的地位。正如路由器统治广域网一样，第三层交换机将在今后主宰局域网已成为不争的事实。 - 从当前国内的情况来看，第三层交换机发展势37、头良好。可喜的是，许多国内厂商纷纷推出第三层以太网交换机，而且性能良好。第三层交换机在应用方面具有以下特点。 - 1担当骨干交换机 - 第三层交换机一般用于网络的骨干交换机和服务器群交换机，也可作为网络节点交换机。在网络中，同其他以太网交换机配合使用，网络管理员能构造无缝的10/100/1000Mbps以太网交换系统，为整个信息系统提供统一的网络服务。这样的网络系统结构简单，同时还具有可伸缩性和基于策略的QoS服务等功能。第三层交换机为网络提供QoS服务的内容包括优先级管理、带宽管理、VLAN交换等。基于策略的QoS使得网络管理员能为各种不同类型的网络流量包括TCP/UDP会话按优先级分配带宽38、，而且没有任何交换性能上的损失。 - 由于应用的需求，骨干交换机多为千兆交换机，所以目前第三层交换机也多为千兆交换机，可以提供10/100Mbps自适应端口和千兆端口，既可以连接铜线，也可以连接光纤，并提供高性能的背板通道。这类交换机有机柜式的，也有可堆叠的，可以根据不同的情况选用。 - 2支持Trunk协议 - 在应用中，经常有以太网交换机相互连接或以太网交换机与服务器互联的情况，其中互联用的单根连线往往会成为网络的瓶颈。采用Trunk技术能将若干条相同的源交换机与目的交换机的以太网连接线从逻辑上看成一条连接线。这样既保证局域网不会出现环路，同时也有效地加大了连接带宽。性能良好的第三层交换机39、全面支持Trunk协议，一些可支持8组Trunk，从而能够有效解决了企业局域网中的连接带宽问题。 - 3实现组播和自学 - 一些第三层除了支持动态路由协议RIP和OSPF外，针对日渐流行的支持多点组播的需求，还能够实施基于标准的多点组播协议，如距离矢量多点组播路由协议（DVMRP）。 - 第三层交换机还可以支持自学习功能，它能自动发现主机的IP地址与连接端口的对应关系，而不使用任何路由协议。一旦把交换机接入网络，它就通过不断地侦听ARP、RIP和ICMP数据包来学习所有连接的主机的IP地址和子网掩码信息。根据学习到的信息，交换机将建立和维护路由表中的路由信息，并且自动地为所有IP数据包提供路由40、服务。 - 4提高安全性 - 在网络中，对于所传输数据包，出于安全考虑，需要根据很多规则对数据进行过滤，确保只有符合规定的数据包才能通过第三层交换机。第三层交换机支持内部具有硬件的过滤器，能在不降低系统性能的情况下对所有数据包进行过滤，而且能根据从第二层到第七层的任意内容对数据包进行过滤。 - 第三层交换机的典型应用如图所示。 - 在上图中，是一个三级交换结构的局域网，其中骨干交换机是一台第三层交换机，通过它来划分不同功能的逻辑子网（图中有4个），并通过网络管理系统对整个网络进行集中式控制和管理，包括监控、调整网络的运行状态、自动分配用户的IP地址、统计网上信息流量及用户的使用情况等内容。可直41、接连到骨干交换机的设备有路由器、各种服务器、中心工作站和二级交换机。二级交换机可选用普通的第二层交换机。第三级交换机可以选用第二层交换机或集线器。 综上所述，第三层交换技术是现在解决虚拟网通讯的最成熟的技术，它在路由交换机中运行RIP、OSPF或PIM等路由协议，获得网络拓扑信息，通过监听IP信息流，迅速了解与之相连的网络设备端口，直接把第三层信息包(VLAN之间的信息流)发送到其目的端口，而不必将信息包发送给路由器，从而缩短了等待时间，提高了网络速度，降低了设备成本。所以我们建议华康医药公司网络采用第三层交换机，各VLAN之间通过第三层交换进行通讯。3.2 总体方案设计概述3.2.1 总体方42、案设计目标设计的依据:l 华康医药公司对局域网的技术要求相关规章l 国家保密局关于计算机信息系统保密管理暂行规定l 国家保密局关于计算机信息系统国际联网保密管理规定针对用户的需求和我公司的分析，我公司建议的方案将达到如下的设计目标：l 应用系统可扩展性强，可根据用户的需求调整。l 主机系统的处理能力强，可满足用户三年内业务量的增长。l 系统可用性强，能24小时连续工作。l 网络速度快，在局域网和广域网上都没有瓶颈。l 网管系统可管理网络设备、监测网络性能、可实现端对端管理。l 全网安全级高，可防止外部侵扰，网络内部也设有多种访问权限，做到存储文件的保密性。 3.2.2 总体方案设计原则我公司在43、设计该系统时遵循了如下原则：l 应用系统建设采用Internet/Intranet技术，本着实用的原则，使用成熟先进的应用软件平台l 应用系统采用分布式的结构，统一采用Windows2000 Sever操作系统，便于开发和维护。l 主机系统采用先进的、高性能的解决方案，保证24小时连续工作以上原则决定了网络系统和应用系统的设计和开发的规范和目标。因此，要以系统集成的思想来进行系统设计，再考虑建设合适的硬件和网络平台来支撑应用软件，使网络硬件环境和应用系统的软件环境达到有机的结合，并保证系统具有一定的冗余，以最大限度地提高效率。根据用户需求的技术方案内容，本工程的设计方案应包含以下内容： 网络系44、统方案设计 主机系统方案设计 网络操作系统设计 系统安全系统设计 UPS电源方案设计3.1.3 网络平台的设计网络平台是本项目的核心，是决定未来若干年华康医药公司局域网建设的基础。在吉比特以太网、FDDI主干网和ATM主干网三种和选择中，我公司建议华康医药公司采用千兆以太网网络技术作为全网的主干，以百兆到桌面。在产品选型上，我公司根据用户需求和实际的需求采用了华为公司的网络产品。内部网中各部门所属虚拟网的互联主要通过二层交换机实现。同时交换机还可以对各个部门分别实现访问控制，实现各个部门、各个终端之间的安全性。通过防火墙和路由器实现到广域网的连接以及对内部网的安全保护。3.1.4 主机选型概述45、我们在众多的主机中，选择IBM公司的系列服务器作为华康医药公司的主机系统。之所以选择IBM服务器，是因为他是全球著名的服务器生产、制造商，其产品种类全、质量可靠是其一贯的特点，遍布全球的营消体系、服务体系随时给用户提供最优的服务质量。我们在分析了华康医药公司实际情况和需求后，结合性能、费用、价格等各方面的因素，决定在华康医药公司网络系统的采用IBM公司最新产品高性能的X370作为整个华康医药公司中心数据库服务器，他完全可以保证整个网络的信息发布，电子邮件系统和办公自动化等业务的稳定、可靠运行。根据各个部门的情况和要求，我们根据各个部门的应用情况，设计采用部门级的服务器采用X370。他能很好的满46、足各个部门的信息发布、文件、打印及办公自动化系统等业务。IBM公司的服务器产品可以完全满足华康医药公司局域网的所有业务需求。采用高档服务器可以大幅度的提高整个网络系统的性能，加上安全可靠的Windows 2000 Server，保证了所有大容量数据的存储和高速传送以及安全的维护3.1.5 网络设备选型概述由于采取了开放式的系统体系结构，使得我们拥有更多的选择自由，能够降低成本，但众多可供选择的产品也给我们带来选择的困难。在选择网络产品的性能价格比、功能、特性外，还应考虑到生产厂商的市场地位、技术后续开发能力、售后服务能力等各方面因素。现在的大型网络设备厂家，主要有CISCO、3Com、Bay 47、Networks、IBM、Intel、华为、中兴等，其中，IBM和Intel分别是计算机和芯片的最大公司，其专长不在网络设备上，而Bay被北方电讯收购后，其主要的市场已转向电讯。因此，我们重点分析了CISCO、3Com和华为的网络设备。 CISCO和3Com作为全球最大的网络设备公司之一，其产品均非常的全面，但它们又有着不同的侧重点。我们可以选择CISCO的三层交换机WS-C3550-48。第四章 网络系统设计4.1网络拓扑结构根据以上原则，我们为华康医药公司设计以下网络结构。当今企业网络性能的好坏，已经成为一个企业信息发展的关键，越来越多的Internet、Intranet应用以及运行于In48、ternet/Intranet上的电子商务，多媒体应用（视频点播VOD、可视会议、语音传输），OA系统都对网络主干高带宽、高性能、高服务质量（QOS Quality Of Service）提出了严格要求，这就需要一个具有智能性的企业网络作为基础，同时作为企业网络的规划者管理者需要能够全面控制网络资源的使用，能够方便合理分配网络的带宽、服务质量、网络安全以适应爆炸式的网络应用的增长，因此我们提出了基于CISCO产品的网络解决方案我们在中心机房放置1台高性能的交换机，作为整个网络系统的核心交换机，使其支持更多的QOS服务和路由协议，使各个部门工作站直接接入中心交换机。每个部门可以根据具体的要求划分49、，可以根据具体的要求来限制部门间的相互通信。我们产品的划分十分的灵活，并支持，这样在之间通过划分可以充分的利用地址空间。 拓扑图如下：4.2整体网络结构建成后的华康医药公司的网络，是一个以华为网络设备组成的千兆以太网方案，我们根据原有的网络情况，考虑到计算机的访问流量，建议在信息中心放置企业数据库服务器、WEB服务器等应用服务器和与Internet 相连的路由器。建成后，整个网络形成了一个以网络设备和服务器平台为基础的，以Intranet/Internet技术为核心的企业级千兆网络应用环境。网络系统主要有三个部分：企业内部局域网：企业与外部（Internet）相连的广域网4.3企业内部局域网在50、本方案中，信息中心局域网配置一台高性能、模块化Layer3（第三层）网络交换机CISCO3550系列智能多层交换机作为中心交换机，所有计算机节点直接接入中心交换机。未来我们可以配置千兆电接口供网络中心服务器、网管工作站、防火墙、访问服务器等接入网内；或者配置千兆光接口使用千兆光纤把其他分部连入网内。4.4 Internet接入华康医药公司和Internet之间的连接是通过10M光纤接入，使用华为2621路由器。接入到Internet，首先需要考虑的是网络的安全性，在Internet接入和外部局域网之间，增加一台金税硬件网络防火墙，以达到国家安全部门的要求。4.5 VPN组建 虚拟专用网络可以实51、现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet或其它公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。 （图1） 虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。虚拟专用网络对用户端透明，用户好象使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。虚拟专用网络技术同样支持企业通过Internet等公共互联网络与分支机构或其它公司建立连接，进行安全的通讯。这种跨越Internet建立的VPN连接逻辑上等同于两地之间使用52、广域网建立的连接。虽然VPN通讯建立在公共互联网络的基础上，但是用户在使用VPN时感觉如同在使用专用网络进行通讯，所以得名虚拟专用网络。使用VPN技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。如果希望企业员工无论身处何地都能够与企业计算资源建立连接，企业必须采用一个可靠性高、扩展性强的远程访问解决方案。一般的，企业有如下选择：1.管理信息系统（MIS）部门驱动方案。建立一个内部的MIS部门专门负责购买，安装和维护企业modem池和专用网络基础设施。2.增值网络（VAN）方案。企业雇佣一个外部公司负责购买，安53、装和维护modem池和远程通讯网络基础设施。从费用，可靠性，管理和便于连接等几方面来看，这两种方案都不能最大程度的满足企业对网络安全性或扩展性的要求。因此，选择一种基于Internet技术的廉价方案取代企业花费在modem池和专用网络基础设施上的投资就显得极为重要。虚拟专用网络的基本用途通过Internet实现远程用户访问虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。 与使用专线拨打长途或（1-800）电话连接企业的网络接入服务器（NAS）不同，虚拟专用网络用户首先拨通本地ISP的NAS，然后VPN软件利用与本地ISP建立的连接在拨号用户和企业VPN服务器之间创建一个跨越Int54、ernet或其它公共互联网络的虚拟专用网络。通过Internet实现网络互连可以采用以下两种方式使用VPN连接远程局域网络。1.使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的ISP连通Internet。VPN软件使用与当本地ISP建立的连接和Internet网络在分支机构和企业端路由器之间创建一个虚拟专用网络。2.使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或（1-800）电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地IS55、P建立起的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。应当注意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet之间建立连接。无论是在客户端还是服务器端都是通过拨打本地接入电话建立连接，因此VPN可以大大节省连接的费用。建议作为VPN服务器的企业端路由器使用专线连接本地ISP。VPN服务器必须一天24小时对VPN数据流进行监听。连接企业内部网络计算机在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使56、其他部门的用户无法，造成通讯上的困难。采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。使用VPN服务器，但是企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。4.6方案特点 支持主干为千兆以太网(未来扩展)； 交换机所有端口的2/3层交换能力； 支持多种CoS/QoS功能； 划分VLAN提供网络的安全可靠性；57、 支持分支机构与总部VPN架构。第五章 主机系统设计5.1服务器发展趋势把对服务器供应商的考察放在技术因素前面，是基于对我们的客户充分负责的考虑。因为服务器供应商的技术领先程度、经济实力、发展思路等直接关系到我们的客户的系统的系统可用性、兼容性、扩展升级能力、售后服务等。如所选厂商不在业界处于领导地位，尽管有时所选产品在技术上有暂时的领先性，但很容易被激烈的市场竞争所淘汰，用户的投资将得不到保护。所以我们认为首先应对服务器供应商的历史背景、财务状况、发展趋势、技术领先程度有一个全面了解，这对业务量增长迅速的客户尤为重要。目前来讲，选择 IBM 的服务器，可以在系统综合性能、可用性、兼容性、扩展58、升级能力、售后服务等方面都能够得到保证。在数据库服务器的选型上，数据库服务器要有强大的CPU和I/O处理能力、足够的内外存储容量和高可靠性能；数据库服务器系统应代表当代计算机技术的最高水平，并具有长远的生命周期和易扩充性，能适应用现在及未来的需要，并具有最佳的性能比。数据库服务器系统应遵循开放系统标准，具有良好的用户界面，拥有丰富的应用集成工具和汉化版本，具有分布处理能力和应用程序的可移植性和互操作性。还应能支持多种先进的数据库管理系统。总体来说，数据库服务器系统的选择需充分考虑：高性能：所采用的数据库服务器必须是吞吐量大，响应时间快。具体表现在具有很高的实时联机事务处理能力及快速的I/O通道59、。应具有较高的事务处理能力（tpmC），I/O通道和系统总线开放性：不论硬件、软件都应满足开放系统标准。开放系统以实际的和发展中的工业标准为基础。这些标准不仅保护了您在软件、硬件和培训上的投资，而且能持续降低计算成本。开放系统之所以如此流行，关键是对用户投资的保护。用户不再局限于某个厂商，可把市场上最好的各类产品组合起来，构成用户的系统框架。产品的生产量达到一定的规模后，其价格才会相应降低，各专业厂商从事于特定领域，不但技术不断更新，而且产品单价随产量的增加而降低，最终受惠的还是用户。开放系统可在多机平台之间进行无障碍通信，通过更大范围地存取商业信息，提高您公司的灵活性。您可以把现有系统与新系60、统集成起来，并自信您今天的选择能灵活地适应未来需要。随着开放系统的激增，您将能够在不同的厂商丰富的创新产品中进行选择。这些开放、灵活的信息系统的出现使人们能够更迅速、更有效地进行决策。选择开放性好的硬件、软件和网络系统，保证系统之间的可连续性、相互可操作性、应用可移植性及其将来的扩充。可支持各种标准的外部设备。可用性（Availability）：服务器系统的可用性包括容错能力、安全性和联网能力、业务开发能力、系统的整体性能、汉字处理能力、故障隔离能力等。其中系统的整体性能主要指系统要有足够的处理速度、快捷的I/O速度和充分的内存及外存。在对服务器系统设计时，服务器处理能力的选择以及服务器配置的61、确定，主要依据应用系统的需求，同时，还要考虑到业务的增长对服务器扩展能力和系统升级能力的要求。作为Client/Server和Intranet结构中的服务器，要求有较高的响应速度，这不仅要求服务器的CPU有较高的处理能力，同时要求系统总线、I/O、内存、硬盘、网络以及数据库查询、数据处理有较高的能力。OLTP的性能基本上反映出这些能力。服务器的OLTP能力可以用TPC-C值来衡量，TPC-C值涉及到服务器的CPU处理速度、数据库查询速度、OS调度能力、内存访问速度以及Disk I/O能力。可靠性(Reliability)：服务器系统的可靠性在硬件上体现在CPU、内存、硬盘、I/O和系统结构上。62、选择高可靠性硬件、软件和网络设备，具有高可靠性的保证措施，具有错误的自动识别、自动纠错和RAID支持及双机互备份等，保证系统不停机。安全性：系统必须具有较高的安全级别，对CRSP-MIS信息系统而言，它所涉及的数据来自各个部门，包括技术数据、商业信息，涉及到企业利益和国家利益。所以保证数据的安全性和一致性是十分重要的。可扩展性(Scalability)：服务器的可扩展性体现在随着用户业务的增长，在已有系统上扩充CPU、内存、硬盘、外设的能力。易维护性：服务器最终的使用和维护是由客户直接操作的。好的服务器应该是硬件配置简单、软件安装升级方便、系统管理轻松的系统。其他：应具有全汉化的软硬件环境确保63、使用方便、好的性能价格比、好的售后服务，包括安装、调试、培训以及软硬件的维修、升级服务、适用于用户具体需求5.2服务器选型和配置数据库服务器选择数据库服务器是各服务器中的核心，它运行企业最为关键的运用，存储企业经营管理最为重要的数据，并为公司领导及决策部门提供综合信息查询的服务和数据服务。在华康医药公司局的网络系统中，网络服务器是系统中的关键。我们建议选用速度快、稳定性好、可扩展性强的IBM X370做为数据库服务器，因为任何一家公司，尤其是华康医药公司的信息系统，数据库服务器可以说是其心脏，而且为了系统的安全可靠，最好采用两台IBM X370热备，从而对华康医药公司局的实际运用能够达到高质量64、高速度、高可靠的应用要求(本期暂不实施)。此外，我们选择一台IBM X2350做为财务部服务器，用于财务数据和文档存储。服务器档次的定位如何定位数据库服务器的档次目前业界还没有一种参照的方法，因为应用千差万别。虽然对一特定应用可以根据其数据量来确定服务器的档次，但也只能是一个大概的定位，因为二者之间没有直接的对应关系。下面从两个方面对数据库服务器作一个粗略的定位。根据支持的用户数任何一种机型对支持的用户数是不是无限的，即在一定的性能（响应时间）要求下，系统所支持的用户数是有限的，性能要求越高，支持的用户越少，反之亦然。大部分的主机生产产家针对一些著名的应用会公布一些测试结果，但不同的应用如S65、AP、QAD或者基于数据库的财务系统在同样的性能要求下所支持的最大用户数是不一样的。或者说在同样的用户数条件下，其性能是不一样的。而且在系统和应用与所支持的用户数的因果关系是反的，也就是说，在一个硬件平台下，针对某个应用所能支持的用户数是测试出来，难于从用户要求反推出某一应用所需的服务器平台。但可以从相应的测试结果大致地确定服务器的档次。根据信息处理量华康医药公司局网络这种规模的数据处理要求一个企业级的服务器，并且在I/O等方面要保留较好的扩展性。所以数据库服务器定位在IBM企业级服务器IBM X370上。系统可靠性设计可靠性设计的目标可靠性设计的目的是为减少系统因故障而产生的系统停止，数据丢66、失。应达到下列要求：保证对用户的服务连续性；保证用户不受非正当侵害；控制故障中断时间；保证系统一定的运行计划和方法；及时准确的处置故障，避免社会风险。 可靠性设计的内容硬件备份方式；软件备份方式；事故策略 系统的硬件可靠性设计提高硬件可靠性要着眼于采用高可靠性零部件。故障检测技术、设备冗余等技术来延长平均故障修复时间。硬盘系统中的核心系统，解决硬盘系统的可靠性问题，应使用磁盘冗余阵列技术。提高网络可靠性应采用故障屏障和网络冗余等技术。应划分不同网络功能区域，限制故障影响范围，网络线路冗余，多类线路备份。线路多路由化根本路径，提高程序设计与开发可靠性设计的关键。系统的高可靠性设计：数据库服务器系67、统的可靠性设计华康医药公司系统业务依赖于一些关键性的重要应用（如联机事务处理，客户机NFS网络文件服务，电子邮件服务，电子邮件服务，数据库查询系统等），则系统不能容忍因任何故障或其他原因造成的服务中断。对每个服务器可以使用采用双电源，可以避免因电源故障或意外停断电引起停机。其次采取双CPU技术确保在一个CPU发生故障时实现故障渡越，保证系统的持续运行。在磁盘数据的备份上使用RAID技术，磁盘阵列（Disk Array）是由一个硬盘控制器来控制多个硬盘的相互连接，使多个硬盘的读写同步，减少错误，增加效率和可靠度的技术；RAID Level 3采用Byteinterleaving(数据交错存储)技68、术，硬盘在SCSI控制卡下同时动作，并将用于奇偶校验的数据储存到特定硬盘机中，它具备了容错能力，硬盘的使用效率是安装几个就减掉一个，它的可靠度较佳，RAID Level 5使用的是Disk Striping(硬盘分割)技术，与Level 3的不同之处在于它把奇偶校验数据存放到各个硬盘里，各个硬盘在SCSI控制卡的控制下平行动作，有容错能力，跟Level 3一样，它的使用效率也是安装几个再减掉一个使用Raid技术后，服务器的数据在各个硬盘上，即使其中一个硬盘由于某种特殊原因损坏，也可以在其他的几个硬盘上获得丢失的数据，能够使磁盘阵列的服务器的数据有一个高的可靠性 应用软件可靠性软件可靠性设计是为69、了通过各种软件技术延长平均故障进间和缩短平均故障修复时间。提高程序设计与开发与可靠性是软件系统可靠性的根本途径。提高程序设计与开发可靠性的要点是：编制程序设计文档；模块化设计方法；程序复用；标准化编程；结构化程序设计；采用的设计工具；软件测试； 故障恢复策略故障恢复是提高系统可靠性的重要内容，就制定完善的事故策略，故障恢复的基本功能与方式有：基本恢复目标；故障前处理；故障后处理；故障恢复处理；恢复后处理。因此我们推荐选择IBM X370服务器，在服务器上配置3个硬盘，使用RAID5技术，使得服务器有一个高的可靠性； IBM X370 服务器家族结合了INTEL XEON的强大计算能力和领先技术70、。它拥有强大的性能、极高的可靠性、可用性和耐用性，完全满足当今网络应用的各种需求。推荐选择IBM X235服务器，在服务器上配置1个硬盘，扩充1G内存，作为财务部部门服务器。5.3 WIN2000操作系统操作系统是计算机硬件和网络的核心，选择一个好的、适用的操作系统对于一个企业的计算机网络来说至关重要。在目前可用的所有服务器操作系统中，Microsoft Windows 2000 Advance Server操作系统提供最佳的性价比。Microsoft Windows 2000 Advance Server中的处理器不相关性和对称多处理（SMP）的低层支持是过去几年其扩展性迅速提高的关键。现行71、的业界标准的数据库性能度量是事务处理委员会的TPC-C基准测试。在从1995年10月到1997年4月的大约18个月时间里，其所公布的Microsoft Windows 2000 Advance Server的TPC-C事务处理速率提高了三倍之多，与此同时，这些系统上的每事务处理成本下降了75%以上。Microsoft Windows 2000 Advance Server支持着许多大规模关键任务应用程序，4GB的RAM Tuning（4GT）能够在Microsoft Windows 2000 Advance Server的4GB地址空间内，从操作系统到内存强化的应用程序重新分配RAM。通过使用72、4GT，一个内存强化的应用程序可以利用多达3GB的RAM，这比基本Microsoft Windows 2000 Advance Server产品增加了50%，因此能够高速缓存更多的数据，而且性能也得到了提高。在特大规模系统上运行的Microsoft Windows 2000 Advance Server和Microsoft Back Office的技术演示使“可扩展性”格外引人注目，这些演示包括：每天10亿次事务Microsoft Windows 2000 Advance Server通过利用一个多节点配置的Compaq硬件（配置了Intel Pentium Pro处理器），在24小时的时间里73、能够处理相当于18亿次自动柜员机事务。这超过了美国5家最大银行处理的事务量总和。64位支持，Microsoft Windows 2000 Advance Server和Sphinx中的64位内存支持提供巨大的性能改进（高达1,700%）。对于数据仓库客户来说，应答时间的改善意味着更快的决策。Microsoft Windows 2000 Advance Server利用下列工具而使之成为最易于安装、部署和管理的服务器操作系统。管理向导 易于访问的工具，指导你完成最常见的服务器安装和管理任务。网络监视器 一种强大的诊断工具，它使你能够很简单地分析网络流量和排除故障。系统政策编辑器和用户轮廓 用于帮74、助系统管理员有效、一致地管理和维护用户的桌面。任务管理器 允许你通过监控应用程序、任务和关键的性能度量，最大限度地提高系统可靠性。打印增强 最大限度地减少用户在启动一项打印作业之后返回应用程序时所必须等待的时间。改进的Microsoft Windows 2000 Advance Server诊断工具 提供简单的图形系统检查。Web管理 能使你利用现有的运行于Microsoft Windows、Macintosh和UNIX平台的HTML浏览器，远程管理Microsoft Windows 2000 Advance Server。分布式文件系统（Dfs） 它允许管理员建立跨多部文件服务器和文件共享的75、分级目录。Dfs包括一个易于使用的管理工具，它使网络管理员能够简单地建立和维护Dfs目录。由于大多数管理任务不需要新工具，因此Dfs易于管理。第六章 网络安全设计华康医药公司客观上要求该网络具有很强的安全监控能力，既能抵御外部的侵扰，又能根据信息的保密程度，对内部用户进行权限控制。因此我公司建议在网络设计时，应全面考虑系统的安全策略。系统整体安全策略，是由系统内各个组成部分的安全策略相结合构成的。安全策略建立了全方位的防御体系来保护机构的信息资源。这种安全策略体系应当出版安全指南加以说明，告诉用户他们应有的责任，系统规定的网络访问，服务访问，本地与远程的用户认证，拨入拨出控制，磁盘和数据加密，76、病毒防护措施，以及雇员培训等。所有可能受到攻击的地方都必须以同样的安全级别加以保护。6.1 系统安全策略设计原则网络系统安全策略实际上是一个系统工程，单靠系统设计并不能完全解决问题，它需要网络系统的管理人员以及用户的密切配合。所以在网络系统的安全策略时，我公司将遵循如下原则： 增强各级领导、系统的管理人员和所有用户提高安全意识，制定系统安全管理规范，并监督执行，定期检查。 在网络系统设计时，就建立系统防护型安全模式，措施如下：提供网络安全保护的措施提供应用系统安全保护措施下面的部分将依据上面的原则，详细描述我公司建议的安全模式，该安全模式可使用户的网络确保安全可靠。6.2 系统安全模式设计我公77、司建议华康医药公司网络系统采用如下安全模型，其实现方法如下：交换机控制根据华康医药公司的用户需求要求，各部门之间相互独立成系统，可以通过对交换机的VLAN的划分实现各个部门的独立，同时可通过对各个VLAN、IP地址、端口设定相应的访问权限对各种访问进行控制，保证部门内数据安全。服务器端安全控制在华康医药公司的网络中，中心服务器、各个部门服务器中的操作系统等软件都可以对用户帐号进行管理，在服务器端可以设定多种安全策略对用户的权限进行管理，如对在中心服务器内的某个重要的敏感文件，可以设定对局领导有权阅读而其他部门如电台等、其他人员则没有阅读的权限。同样各个部门内的文件可以设定对本部门的人员开放，而78、其他部门人员则无法阅读。客户端安全控制计算中心制定系统安全使用规则，建章立制，并对所有用户进行安全使用系统的教育，使每位用户都了解安全操作的必要性，并自觉遵守。如定期更改个人密码，长时间离开工作站自觉退出系统等等。在客户端的文件，也可以通过对不同的文件针对不同的人员设定不同的权限实现客户端的安全。防火墙控制今天的企、事业单位正竭力通过利用Internet来提高市场反应速度和企业办事效率，以便更加具有竞争力。随着越来越多的事务在办公室之外进行，基于Internet的技术一方面具有良好的开放性，资源共享，协议通用，互联方便，但同时又带来了严重的安全性问题。不妨从三方面来考虑安全问题：系统的安全，信79、息加密和网络安全。系统的安全包括管理员帐户，密码，数据库存取权限以及Mail等方面的问题。在主机的选型，操作系统和数据库方面，我们已充分考虑了安全问题，各厂家，如ORACLE, DEC, Microsoft等均有相应的策略。关键问题是用户如何加强管理，比如，重要场合的出入，系统管理员的素质，以及帐户管理策略等（帐户划分，时效性等）。信息安全包括应用层和基于IP的加密信息加/解密技术可以分为两种体系，即单密钥的加密体系和双密钥的加密体系，单密钥的加密体系在加密和解密是时采用相同的密匙，如著名的加密算法DES；双密匙的加密方法又叫公开密匙的加密方法，加密和解密时采用不同的密钥，即公开密钥和私人密钥80、，如著名的RSA算法。这两种加密体系在Internet都得到了不同的应用，如UNIX系统的用户密码password就采用了DES算法。网络安全的主要技术是防火墙技术(Firewall), 防火墙技术的核心思想是在网间环境中构造一个相对安全的子网环境。有两种实现方式， 即基于包过滤(Packet Filter)的防火墙和基于代理(Proxy)的防火墙。包过滤型防火墙处在网络层， 根据IP包的包头信息来对信息的访问进行控制。基于代理的防火墙也叫应用层防火墙，处于应用层，可对IP地址和在该IP地址上具体应用进行控制，比如在应用建立时的密码验证， 在FTP应用中允许某站点GET而不许PUT等等。这两种81、防火墙各有优缺点，包过滤型防火墙由于基于网络层，因此对用户来说比较透明，但它一般采用“没被禁止的就是允许的”这一策略，在它失败时，网络是畅通的。这时内部网络将失去安全的屏障，而应用层防火墙采用“没被允许就是禁止的”这一策略，在它失效时，内部网络与外部网络是隔离的，因次，应用层防火墙要比包过滤性防火墙安全。大多数路由器均支持过滤功能，比如在路由器上可以通过设置规则来实现包过滤功能，禁止外部网络对内部网络的某些重要机器的访问，禁止内部网络主机对Internet上部分站点的访问，并利用端口号来选择控制的应用协议，这样就可以设置一些较复杂的规则，比如可以允许某台机器对Internet具有E-mail访82、问功能，却不能使用WWW和FTP等。因此它相当于一个黑盒子，用户无法检测到它的存在。安全代理服务器软件主要分为两种：一种直接利用原有的TCP/IP应用的客户。在这种方式下，用户想访问Internet时，必须先登录到代理所在的工作站上，然后才能访问。另一种方式是利用与代理服务器配套的客户软件。这种方式在访问Internet时不需先登录到代理服务器，可实现对Internet的透明访问，因此在使用时比较方便。本方案推荐通过金税公司高性能的StopHacker守护神防火墙使华康医药公司的网络系统可以访问Internet，并保证起安全性。通过防火墙来划分不同的区域，把华康医药公司的网络系统放置在安全级别83、最高的区域，而一些对外提供服务的服务器放在安全级别比较低的区域，通过对安全级别的划分可以有效的保护需要保护的数据和用户。6.3 StopHacker守护神防火墙6.3.1 StopHacker守护神防火墙的优点1、自主产权软硬件一体化设计，采用专用安全操作系统，拥有软件和硬件的全部自主产权。2、多工作模式StopHacker守护神防火墙的工作模式有三种：路由模式、透明网桥模式、混合模式。* 路由模式路由模式是防火墙的基本工作模式，该模式运行在网络层。在路由模式下，一般要做NAT地址转换，这时防火墙的各个端口IP地址都位于不同的网段。在路由模式支持NAT地址转换和PAT端口转换。* 透明网桥模式84、透明网桥模式在数据链路层实现。防火墙在该模式下工作时，可以透明的接入到网络的任何部位，无需改动用户网络结构和配置，即插即用，简便高效，使用方便。* 混合模式在混合模式下，防火墙可以有部分端口在路由模式下工作，部分端口在透明模式下工作。 3、一次性口令用户认证模块一次性口令（OTP，One-Time Password）机制是一种高强度的认证，它无须在网上传输用户的真实口令，并且由于具有一次性的特点，可以有效防止重放攻击（Replay Attack）。在采用了一次性口令认证机制后，即使有窃听者在网络上截取网络传输信息，由于该信息的有效期仅为一次，故也无法再利用这个信息进行认证鉴别。StopHack85、er守护神一次性口令认证还可以结合智能IC卡、ikey等硬件进行辅助认证。 4、计费StopHacker守护神防火墙支持按用户或者IP地址进行计费，可按时间或者流量设置计费规则，支持预交费管理，并可以结合一次性口令用户认证实现使用智能IC卡等硬件计费管理。5、 用户与MAC地址、IP地址的绑定在网络管理中IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因此也会对用户造成大量的经济上的损失和潜在的安全隐患；守护神防火墙支持MAC地址和IP地址绑定。另外，通过使用一次性口令用户认证，可以实现跨网段的用户、MAC和IP地址的绑定。6、支持和StopHa86、cker守护神系列安全产品联动。6.3.2 StopHacker守护神防火墙功能1、基于IP地址、协议、端口、方向等的包过滤和访问控制IP报文的报头及所承载的上层协议(如TCP)报头的每个字段包含了可以由防火墙进行处理的信息。包过滤通常用到的属性有：* IP的源和目的地址；* 所使用的协议；* TCP/UDP的端口；* ICMP的类型；* TCP的标志位；* 表示请求连接的单独的SYN；* 表示连接确认的SYN/ACK；* 表示正在使用的一个会话连接；* 表示连接终端的FIN；可以由这些属性的各式各样的组合形成不同规则。StopHacker守护神防火墙提供了基于接口的包过滤，即可以在一个接口的87、进出两个方向上对报文进行过滤。2、基于时间的访问控制基于时间段的包过滤，可以规定过滤规则发生作用的时间范围。3、IP地址转换（NAT）功能StopHacker守护神防火墙拥有强大的地址转换能力。 同时支持正向、反向地址转换，能为用户提供完整的地址转换解决方案。正向地址转换。用于使用保留IP 地址的内部网用户通过防火墙访问公众网中的地址时对源地址进行转换。对公众网来说，访问全部是来自于防火墙转换后的地址，并不认为是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。同时内部网用户共享使用这些转换地址，自身使用保留IP 地址就可以正常访问公众网，有效的解决了全局IP 地址不足的问题。反向88、地址转换。内部网用户对公众网提供访问服务（如Web、FTP 服务等）的所在服务器如果是放置在局域网中，使用虚拟IP 地址，或者想隐藏服务器的真实IP 地址，都可以使用防火墙的反向地址转换来对目的地址进行转换。公众网访问防火墙的反向转换地址，由内部网使用保留IP 地址的服务器提供服务，同样既可以解决全局IP 地址不足的问题，又能有效的隐藏内部服务器信息，对服务器进行保护。防火墙能提供端口映射和IP 映射两种反向地址转换方式，端口映射安全性更高、更节省全局IP 地址，IP 映射则更为灵活方便。4、 全面支持TCP/IP协议；5、 透明代理：提供对常用的应用协议如HTTP、FTP等的透明代理服务；689、 两种对资源使用的用户身份认证网络为本地用户、移动用户和各种远程用户提供信息资源，所以为了保护网络和信息安全，必须对访问连接用户采用有效的权限控制和身份识别，以确保系统安全。* 透明代理用户认证针对HTTP和FTP协议的代理级的用户认证。当用户使用浏览器上网时，弹出用户认证对话框，要求输入用户名称和口令。* 一次性口令用户认证（模块）和协议无关的用户认证机制，用户口令不真正在网上传输，安全性高。由于采用一次性的口令认证机制，即使窃听者在网络上截取到口令，也无法再利用这个口令与内部网建立连接。，并支持使用IC卡、ikey等硬件方式辅助认证。7、 完善的计费功能支持按流量、用户、IP地址或时间进90、行统计计费，并支持预缴费方式；8、 审计日志；提供日志下载、备份和报表式、统计图式查询功能：防火墙的日志管理方式包括日志下载、备份和日志查询，这为用户进行日志的审计和分析提供了方便。防火墙还提供日志导出工具，将各种日志信息导出到管理服务器，方便进一步处理。日志包括管理日志和运行日志。其中，运行日志又包括简洁日志和祥细日志两种； 9、 标准Windows配置界面图形化的配置界面，对防火墙进行远程控制，更方便于配置管理；10、 对防火墙访问配置的用户分级控制提供管理员、操作员和审记员的分权管理安全机制，且不同用户级别，所能行使的权限不同；防火墙使用唯一锁定技术对远程控制软件进行识别。11、 提供安91、全策略检测机制，对规则进行控制逻辑检查，保证用户配置规则 的正确性；12、 URL拦截与内容过滤13、 防御攻击功能；* 防TCP、UDP等端口扫描；* 抗DOS/DDOS攻击；* 可防御源路由攻击、IP碎片包攻击、DNS/RIP/ICMP攻击、SYN等多种 攻击；* 阻止ActiveX、Java、Javascript等侵入；14、 双机热备份；提供防火墙的双机热备份，提高系统可靠性和性能。热备份通过多种方式触发工作模式切换，模式切换时间短。15、 VPN模块16、 防病毒网关6.3.3 StopHacker守护神防火墙性能、参数1、防火墙性能* MTBF（无故障运行）: 30000小时* 设92、计策略（规则）数量许可值：8000 条* 设计性能策略数量：512 条* 最大并发连接数：60000条* 设计性能：98 Mbps2、物理、电气参数* 工业级的CPU主机板，高强度钢壳结构* 支持电信标准电源： 220V 50/60Hz存储温度：0-70摄氏度运行温度：10-40摄氏度存储湿度：5-90 %运行湿度：10-80 %第七章 UPS电源方案设计在系统设计中，我们根据标书要求，在中心机房中设置一台UPS。我们根据投标书要求，在众多的UPS厂商中选用山特公司的UPS产品，山特公司的UPS一贯以性能出众、运行稳定而著称。本系统在主机房选用一台山特 UPS-6KVA、8H的产品，该产品属于93、智能式在线UPS，可通过网管工作站的RS-232接口进行管理工作，实现两台UPS的最佳运行参数。UPS提供6KVA容量的不间断电源组，足以满足计算机网络中心服务器、交换机对电源的特殊要求。一、 可靠性高：在线互动式设计，具有效率高、发热小、噪音低、且故障率低于千分之一，具有极大的可靠性。主要有如下几个方面：1、 低直流电压（48V）电路设计：低直流电压（48V）电路设计从根本上解决了传统的UPS产品在潮湿、灰尘多的地区易发故障的问题。2、 在线互动式设计：UPS的逆变器在有市电时，处于输出电压调整状态，同时给电池充电。UPS的逆变器不承担全部负荷，具有效率高、发热小，极大的降低了UPS的故障率94、。3、 智能风扇设计：UPS散热风扇受CPU控制，只在UPS处于电池供电状态时和UPS内部温过高时工作，大多数时间不运转，有效的降低了UPS的工作噪声，极大的延长了风扇的使用寿命，同时减少UPS内部的灰尘推积。4、 变压器输出方式：采用传统的变压器输出方式，使UPS具有很强的输出抗负载冲击能力，极大的提高了UPS供电可靠性。二、 高度智能化：先进的微处理器控制的UPS，使得UPS具有高度的智能化，主要有如下几个方面：1、 定期自检和故障自我侦测。通过对UPS的系统设定，可令UPS进行定期的自检，确保UPS处于最佳的运行状态。当UPS出现异常时，可通过UPS内部的检测，将故障的部位及时通知用户。95、2、 智能电池管理。UPS通过对安装在电池模块内的处理器的通信，可及时的侦测电池的容量、电压 、温度，可计算出电池的供电时间，判断电池的性能，调节对电池的充电电压、方式，从而达到延长电池寿命，并保证在电池出现故障时及时通知用户进行更换。3、 具有强大的软件通讯和监控功能。UPS与山特电源管理软件的配合使用，可实现计算机系统的安全关机、定时开关机、定期的电池运行时间检测、UPS自检、以及UPS工作异常时的小区广播或通过电话，寻呼等功能。同时，软件有记录的功能，可记录UPS的运行日志、运行数据。通过软件可对UPS的工作参数进行修改，包括UPS的输入输出电压、电池运行时间、UPS的温度保护、电池低电96、压保护值、关机时间、通讯参数、等等。UPS与山特的其它智能附件的配合使用，可实现更多的功能。如UPS与山特SNMP卡可实UPS的网络管理功能，并可通过网络同时控制多达50台计算机的安全关闭。与CALL UPS可实现UPS的远程管理和UPS的故障寻呼功能。与其它附件的配合使用还可实现如UPS的工作环境监控、并机冗余等。 第八章 产品介绍由于在整个网络工程中，数据库服务器尤为关键，因此我们重点介绍IBM服务器产品性能，并推荐了另一款SUN机器供用户参考。8.1 IBM X370高性能服务器更多的处理器、更多的内存、更多I/O处理性能 IBM xSeries 370 是高性能的8路、基于Intel 97、处理器的企业级服务器，专门设计用于满足极端需求的应用程序运行需要。xSeries 370 服务器运行极端需求的应用程序、高达12个 Active PCI插槽并支持高达32GB内存，轻松完成数据密集型的任务处理。最佳化SAN解决方案设计，支持SCSI和光纤通道解决方案。IBM xSeries 370服务器的上述技术特性使其成为面向关键商务应用，如SAP R/3, Siebel eBusiness 应用程序，Congnos 商业智能解决方案和更多应用的理想选择。此外，xSeries 370 服务器还广泛采用IBM X-架构TM技术，将大型机所应用的先进技术移植到Intel平台中。主要技术特性 7098、0MHz或900MHz Intel PentiumIII XeonTM处理器 512MB ECC SDRAM，可扩展至32G 高达12个ActiveTM PCI插槽以满足系统扩展和可用性要求 系统连续运行的最大可用性 ActiveTM PCI 技术使xSeries 370 服务器系统连续运行；无需宕机停止商务应用程序，就可以在12个插槽中的任何一个扩展系统性能。甚至将多个xSeries 370 服务器组成群集系统，运行Microsoft Windows 2000 Datacenter Server 或 Windows 2000 Advanced Server，扩展系统可用性。系统还具有失效保护99、特性：冗余的热插拔电源和风扇、热插拔磁盘和预测故障分析、内存、稳压模块、驱动器和处理器。简单而直观的管理 IBM Director软件提供系统处理能力规划和远程管理。其光通路诊断面板能及时给出各子系统状态的清晰图像，并存贮系统监控期间临界时段的数据。IBM x370 技术性能一览表 型号8681-1RX8681-2RX8681-3RX外形/高度机柜（机柜塔型转换选件）/ 8UIntel 处理器Pentium III Xeon 700MHz/100MHzPentium III Xeon 700MHz/100MHzPentium III Xeon 900MHz/100MHz处理器数量（标配/最大）100、1/81/81/8二级高速缓存（每个处理器）1M2M2M内存（标配/最大）512MB/32GB ECC SDRAMI/O插槽12个64位Active PCI插槽，其中4个为66MHz, 8个为33MHzPCI磁盘控制器集成双通道Ultra2 SCSI高级系统管理适配器高级系统管理PCI适配器托架4个开放托架（分别用于两个热插拔；40x-17x光驱；1.44M软驱）内置热插拔存储器（标配/最大）0/146.8GSCSI RAID支持可选的ServeRAIDTM-4系列Ultra160，Active PCI SCSI RAID控制器外置SAN存储器FAStT 200, FAStT 500, FAS101、tT EXP500,及光纤通道硬盘驱动器网络可选I/O端口2个串口，1个并口，2个USB接口,1个鼠标接口，1个键盘接口，1个视频接口电源750瓦(220V);3个热插拔及N+1个备用电源风扇6个热插拔及冗余光通路诊断TM有预测故障分析硬盘驱动器，处理器，稳压模块，风扇，电源及内存支持操作系统Mircosoft Windows 2000 Datacenter Server，Mircosoft Windows 2000 Server/Advanced Server，Mircosoft Windows NT ，Novell NetWare，SCO UnixWare及Linux (包括Red Hat，SuSE，Caldera，TurboLinux)软件IBM Director，IBM ServerGuideTM服务、技术支持3年有限现场保修IBM x370 透视图 1处理器盒（三个热插拔风扇已拆卸）2两个HH/SH 热插拔硬盘驱动器3操作控制面板440X CD-ROM (IDE)51.44 软盘驱动器6光通路诊断显示面板7安装在内存（最大32MB 内存）前端的铁架子 8传统I/O 端口9键盘和鼠标端口10三个750W/220V 热插拔电源（冗余）118U X 28 深的机柜优化、高度可维护的机械设计/PCI 插槽12系统管理、以太网、串口、RS485 端口