1、广东省农科院网络方案建议书广东省农科院网络方案建议书-1-广东省农科院网络方案建议书广东省农科院网络方案建议书广东省农科院网络方案建议书广东省农科院网络方案建议书-2-目录目录目录.2第一章需求分析.31.1 系统建设目标.31.2 设计原则.41.3 设计思想.4第二章网络方案描述.82.1 方案概述.82.2 院机关及情报所网络设计.823 院机关与各研究所网络连接.1224 方案技术特点.13第三章网络管理系统.16第四章方案核心技术应用.2241 局域网技术.2242 集群技术.2543 网络安全技术.2844 网络可靠技术.3045 方案技术特点.31第五章投资预算.3451 院机关2、及情报所设备投资预算.3452 其他研究所设备投资预算.3453 其他投资.35广东省农科院网络方案建议书广东省农科院网络方案建议书-3-第一章需求分析第一章需求分析1.11.1 系统建设目标系统建设目标农业计算机信息技术被认为是继农业机械化之后，提高农业生产力和农业资源管理利用水平最有效的手段和工具。近年来在发达国家发展非常迅速。在我国，目前存在对农业计算机信息技术认识不足，对计算机在农业应用需求研究不够和农用软件落后等问题。鉴于我国国情，由于我国农业人口众多，文化水平参差且普遍较低，短期内农业计算机信息技术的应用者将不可能是小农户，而应以国家、省、市、县各级的农业主管及农业技术推广部门等有3、条件，易实现的单位为主。广东省农科院是全国排名数一数二的农业科研大单位，有着悠久的历史，研究领域遍及农业各方面，在农业科研领域及农产品开发方面为国家、人民做出不可估量的贡献。在农业计算机信息技术应用方面也应该走在前列，起到带头示范作用。广东省农科院计算机信息网络系统应建设成以提高办公自动化效率、共享资源为目的的，利用现代先进的计算机系统通信手段将院机关和地域上分散的多个独立研究所连接起来，由统一出口连接到国际互联网，从而形成一个上下贯通、相对独立的网络体系。它不单是一个在网上运行文档办公、事务办公、业务办公、领导办公和通用办公的智能办公自动化系统，也是提供一个充分利用 Internet 丰富信4、息资源方便院内各科研单位、科技人员掌握世界农业科研信息渠道的网络广东省农科院网络方案建议书广东省农科院网络方案建议书-4-和是一个对国内、国际发布信息，普及农业科普知识，对外宣传广东省农科院和各研究所的重要窗口。1.21.2 设计原则设计原则广东省农科院网络的建设，需结合当今最先进的技术，加上最安全、有效的方案设计，以较少的投资构造一个拥有极佳性能、高度集成的开放系统平台，同时又要尽量考虑到农科院的投资规划。在进行系统设计时，主要应遵循以下原则：1）采用先进、成熟、稳定、可靠的技术，降低系统风险；2）有足够的带宽容量，能够满足现有和将来一段时期内的要求；3）有清晰合理的层次结构，便于维护；4）5、网络信息流量合理，不产生瓶颈；5）有良好的安全保密性，并且能稳定、可靠的运行;6）有较好的扩展性，便于将来升级；7）保证系统的开发性，能够和其他网络互连；8）保护原有投资，在规范化前提下尽量利用现有布线和通道；9）标准化建设：符合网络标准；10)产品成熟：网络系统中使用的产品必须是在其它网络系统中经过使用的成熟产品，具有一定的技术超前性。1.31.3 设计思想设计思想广东省农科院网络建设的宗旨是以适当的投资、结合当今最先进的网络技术和产品，建设一个具有领先水平，稳定、安全、可靠、高广东省农科院网络方案建议书广东省农科院网络方案建议书-5-速、便于管理和维护的网络应用环境。根据广东省农科院计算机6、信息系统应用的现状，我们将整个农科院网络建设分为三个阶段：1）第一步，在院机关组成内部网，实现办公自动化，共享Internet 资源。在广东省农科院里科技情报所是较早实现计算机信息网络应用管理的单位，在应用中积累了丰富的实际经验，有能力协助广东省农科院在农业计算机信息技术应用方面达到以上目标。我们建议在这一阶段完成院机关和情报所的网络连接，将重要设备放置在情报所，由情报所技术人员管理维护。考虑到广东省农科院现有的办公环境。在这个步骤中通过充分利用农科院机关存在于各个处室部门原有的电脑、打印机本着必要和节约的原则组建内部网，使到在不浪费的情况下能充分发挥原有设备的能力，利用电脑网络的优势，共享信7、息资源、共享打印机、共享授权的文件，初步达到办公自动化的目标及利用网络线路使整个农科院机关共享畅游 Internet 资源、收发电子邮件、浏览网上图书馆、查找网上农业信息，自己编制互联网页对外宣传广东省农科院等。实现的设备和工作需求是在院机关各个处室进行计算机网络布线，为每一个有需要的办公人员配置一台电脑，在必要的处室配置网络打印机或独立打印机，增加一套网络服务器、一台互联网服务器、一台电子邮件服务器、编制办公自动化软件、相等数量的电脑网卡、网络打印机共享器、相关网络设备就能实现这个步骤。办公自动化服务器是运行农科院域办公自动化软件，实现广东省农科院无纸化办公目标；互联网服务器是运行与国际互联8、网广东省农科院网络方案建议书广东省农科院网络方案建议书-6-（INTERNET）接轨的互联网服务器软件，通过路由器和防火墙电信局专线接入国际互联网，目的是提供互联网通道，提供给科研人员与各级行政人员上网使用，并在互联网服务器上为农科院机关、院级研究所分别开辟网页空间，编制网页达到查资料和宣传目的；域名解析（DNS）与电子邮件服务器是担负农科院内网站域名解析和提供国际电子邮件服务；办公用电脑安装运行农科院办公自动化客户端软件，提供日常办公等使用。快快速速以以太太网网快快速速以以太太网网Internet/ChinaNet路路由由器器/防防火火墙墙电电子子邮邮件件服服务务器器磁磁盘盘阵阵列列办办公公9、用用电电脑脑办办公公自自动动化化服服务务器器域域名名解解析析互互联联网网服服务务器器2）第二步，完成院机关和各研究所之间的网络连接。由于广东省农科院的研究所办公机构地理上相对分散，院与各研究所间公文信息的上传下达没有一套先进高效的通信手段，再加上各个研究所的办公设备落后，拥有的电脑设备分散使用，未能充分利用广东省农科院网络方案建议书广东省农科院网络方案建议书-7-已有的资源，如果在已形成的农科院院域网设施基础上进一步将院内的所有研究所机构进行电子化连接，形成信息网络化；公文无纸化；沟通渠道电子化。形成一个高效的集电子信息、电子办公系统、内部IP 通信于一体的立体现代办公模式，拥有现代的宣传手段10、，在世界性的互联网上（Internet）发布各研究所供需项目，将生意以最低成本的方法做到全国、全世界。广东省农科院院域信息网办公自动化方案图PSTN电信专线网院以下各研究所户外办公拨号用户广东省农科院办公大楼 Internet3）第三步，将农科院的宿舍小区连入到网络中，实现 Internet 资源共享，建成智能化小区。本方案先讨论前两步的建设。广东省农科院网络方案建议书广东省农科院网络方案建议书-8-第二章网络方案描述第二章网络方案描述2.12.1 方案概述方案概述根据广东省农科院网络系统的需求，我们建议农科院院区网络中心设在情报所，院机关和其他 7 个距离较近的研究所通过单模光纤直接连接到网11、络中心交换机，在情报所网络中心配置一台路由器通过租用电信局的 DDN 专线连接 5 个距离较远的研究所。中心路由器同时提供Internet 访问和连接室外办公的移动用户。整个网络采用 IP 协议，网络主干采用千兆以太网技术，提供10/100 兆速率到桌面。2.22.2 院机关及情报所网络设计院机关及情报所网络设计院机关及情报所网络拓扑结构图如下：广东省农科院网络方案建议书广东省农科院网络方案建议书-9-1)情报所网络中心情报所网络中心选用 Cisco 的 Catalyst 6509 作为核心交换机。主要配置如下：Catalyst 6000 SupervisorEngine1,2GE交换机的心脏12、，负责数据交换和一系列的管理功能Catalyst 6000 8-port GigabitEthernet Module边缘交换机到核心交换机的接入点Catalyst 6000 48-port 10/100RJ-45 Module服务器和工作站的接入点广东省农科院网络方案建议书广东省农科院网络方案建议书-10-在本方案的 Catalyst 6509 上，我们配有 1 块 Supervisor 交换引擎、1 块 8 口千兆以太交换模块和 1 块 48 口 10/100 兆以太交换模块，加上交换引擎上的两个千兆以太模块，中心交换机上共有 10个千兆以太网交换端口，不仅可以用来连接接边缘交换机、高档服13、务器，而且支持 Gigabit EtherChannel（GEC），将多个千兆端口捆绑成数 GB 的逻辑链路以提高主干速率。Catalyst 6509 是 Cisco公司的最新核心交换机，也是端口密度最高、性能最佳的千兆交换机，支持多种类型的网络接口，具有第三层和第四层的交换和控制功能，是智能型的多层交换机，具有高性能、高集成度的特点，Catalyst6509 交换机具有的第三层交换功能，使得我们可以实现整个网络中 VLAN 的分布式交换，减轻主干的压力，并可以与 Cisco的增强型 SpanningTree 技术相结合，对不同类型的终端与主机、终端与终端间通讯的数据流向的控制，提高数据传输的14、效率。中心交换机上的千兆模块主要用来与二级交换机相连接。对距离较近的研究所的分中心交换机采用单模光纤相连接，单模光纤在千兆的速率下最远距离可达 10 公里。由于 Cisco 全部的千兆以太网接口都是模块化的，用户只需选择相应的 GBIC(千兆网光纤适配卡)来配合不同种类的光纤连接方式，并且 GBIC 可以通用在所有的交换机、路由器的千兆端口，这样，不但能适应网络环境的变化，保护用户投资，而且也可适应一些应急方案，具有极大的灵活性。Catalyst 6509 具有 9 槽机箱，可支持达 384 个 10/100M 以太网接口、192 个 100FX 快速以太网接口或 130 个千兆网端口业界最高15、的端口数量。Catalyst 6509 支持可扩展的交换带宽到256Gbps、多层交换能力达 150Mpps。客户还可使用 Fast广东省农科院网络方案建议书广东省农科院网络方案建议书-11-EtherChannel 或 Gigabit EtherChannel，集合八个物理快速以太网或千兆以太网链路，实现高达 16Gbps 的逻辑连接。Catalyst6509 提供业界领先的千兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的企业 Intranet 的需求。Cisco Catalyst 6509 为院区网的多层数据及语音交换提供了高效的解决方案。Catalyst 6509 是高扩展性、16、高端口密度、高效率和性能的千兆交换机。自身有应用智能，QOS(质量保证)机制，增强安全性，同 CiscoAssure(Cisco 策略管理软件系列)一起，网络策略可以应用到端到端的二、三、四层信息上，如特别用户，IP 地址和应用等。情报所网络中心选用 Cisco3640 作为中心路由器。主要配置如下：4-Port Serial Network Module 提供远程研究所的 DDN 接入32 port Asynchronous Module提供远程用户的拨号接入4-Port ISDN-BRI with NT-1Network Module提供 ISDN 连接1-Port Fast Ethern17、et NetworkModule连接中心交换机2）院机关网络院机关的二级交换机采用两台 Catalyst 3548，可最多连接 96 台工作站。Catalyst 3548 具有 48 个 10/100M 端口和 2 个基于 GBIC 的千兆端口，10G 的交换光纤和每秒 750 万的包转发速率为每一个端口提供线速性能。3548 到中心交换机 6509 通过千兆端口单模光纤连接。广东省农科院网络方案建议书广东省农科院网络方案建议书-12-Cisco 的 Catalyst 3500 系列交换机是 Cisco 最新的边缘交换机，是一个可扩展、可堆叠的 10/100M 和 Gigabit Ethern18、et 交换机系列，提供优异的性能、可管理性和灵活性以及无与伦比的投资保护。通过推出本系列交换机和 Cisco 交换机集群技术，Cisco 将堆叠带到一个新的水平。用户可以从单一的 IP 地址管理多达 16 台 3500 交换机，而无论他们的物理位置在那里。Catalyst3500XL 系列交换机包括 CiscoIOS 软件和 Cisco Visual Switch Manager（CVSM）软件以及一个极易使用的基于 Web 的管理界面。企业版 3500 交换机还提供先进的软件特性，包括全面的 802.1Q 和 ISL VLAN 支持、TACACS+安全和由 UplinkFast 实现的容错性19、。2 23 3 院机关与各研究所网络连接院机关与各研究所网络连接整个院区网的拓扑结构如下图所示：防火墙6509水稻所3620畜牧所果树所兽医所InternetDDN情报所院机关作物所362036203524352435243640广东省农科院网络方案建议书广东省农科院网络方案建议书-13-1）7 个距离较近研究所网络7 个距离较近研究所采用 Cisco Catalyst 3524 作为二级中心交换机。Catalyst 3524 具有 24 个 10/100M 端口和 2 个基于 GBIC 的千兆端口，10G 的交换光纤和每秒 750 万的包转发速率为每一个端口提供线速性能。3524 到中心交换20、机 6509 通过千兆端口单模光纤连接。2）5 个距离较远研究所网络5 个距离较远研究所网络 Cisco Catalyst 3524 作为二级中心交换机。Catalyst 3524 具有 24 个 10/100M 端口和 2 个基于 GBIC 的千兆端口，10G 的交换光纤和每秒 750 万的包转发速率为每一个端口提供线速性能。采用 Cisco 3620 作为边缘路由器通过租用的 DDN 线路连接到情报所网络中心。2 24 4 方案技术特点方案技术特点 开放性网络协议采用 TCP/IP，Catalyst 6509、Catalyst 3500XL 系列、Cisco3640、Cisco3620 均21、支持 TCP/IP 通信协议;网络设备均提供标准化接口，易于不同厂商设备的互连;安全性方案中的 Cisco 设备全部支持端口上的安全性过滤，TACACS+、RADIUS、IP 允许访问表、MD5 路由验证等。全部设备也具有 Cisco广东省农科院网络方案建议书广东省农科院网络方案建议书-14-的 IOS 提供了丰富的网络安全功能，如 VLAN 访问控制列表、策略服务、路由/路由器身份识别、数据加密等；内部网采用 VLAN 技术加强内部网各子网之间数据传送的安全性；可靠性中心交换机 Cisco6509 支持双电源；同时还能提供交换机的端口模块的冗余备份以及设备备份功能，从而更加增强了设备的高可靠22、性；可选用 Fast/GigabitEther Channel 技术的应用增强线路的冗余和提高通道速率，从而保证主干连接线路上的高可靠性；可扩展性采用本方案，网络易于扩充。Catalyst 6509 采用的是模块式设计，增加模块数量可以提高网络容量。而本方案中采用的分层结构也有利于网络扩展；当中心交换机需要扩充时，我们只需要在中心交换机增加相应的模块即可。当需连接的二级中心交换机需要增加时，如果中心交换机上有空闲千兆端口，直接连接即可，如果中心交换机上无空闲端口，则可在中心交换机增加一块扩展模块来连接新增加的二层交换机；如果需要增加用户节点，则只需要增加个本地局域网内的交换机。如果某一网段由于23、用户数过多发生拥塞，可将该网段一分为二，增加一个楼层交换机/二层交换机来分担负载，也可通过Channel 技术将几个端口捆邦在一起与上层交换机相连接，从而成倍提高上连的速度而缓解网络拥塞。这样无论出现哪种情况，我们都不需要对网络结构进行修改，在保持原有网络系统的基础上轻松实现网络扩展中心局域网扩展性；广东省农科院网络方案建议书广东省农科院网络方案建议书-15-高性能1000M 主干和 10/100M 桌面的网络带宽可高效地进行数据、视频和音频信号传输，为多媒体较学、IP/TV、VOD 在网络中的应用提供条件；Catalyst6500 支持可扩展的交换带宽到 256Gbps、多层交换能力达15024、Mpps。客户还可使用 Fast EtherChannel 或 GigabitEtherChannel，集合八个物理快速以太网或四个千兆以太网链路，实现最高达 8Gbps 的逻辑连接。Catalyst 6000 系列提供业界领先的千兆以太网骨干网解决方案，以满足当今要求最高的、快速增长的 Intranet 的需求，也为园区网的多层数据及语音交换提供了高效的解决方案；Catalyst 3548、3524 卓越的转发速率为每个用户提供线速访问，在业界同类产品中处于领先地位；可管理性内部网采用 VLAN 技术，同时提供三层数据交换能力，而各个子网之间的数据交换可通过中心交换机进行管理和控制；所有的设25、备均可用 Cisco Works2000 来管理。Cisco Works2000 结合 Web 技术和最好的路由器及交换机管理功能，全面的对网络进行管理；广东省农科院网络方案建议书广东省农科院网络方案建议书-16-第三章网络管理系统第三章网络管理系统在本方案中我们采用了 Cisco Works 2000 网络管理系统。CiscoWorksCiscoWorks 20002000 功能简介功能简介CiscoWorks 2000 应用程序中包含上述特性后可减少管理您的网络所需的时间和与此相关的错误，同时提高工作人员的工作效率和网络可用性。CiscoWorks 2000 系列产品继承了 CiscoWo26、rks、Cisco 资源管理器CRM(Cisco Resource Manager)及 CWSI(CiscoWorks for SwitchedInternetworks)的功能。新推出的管理产品包括功能增强的工具、重要的新功能及基于标准的第三方集成工具。尤为重要的是 CiscoWorks2000 还包括：*用于关键管理工具和产品的基于 Web 接入的 RME(ResourceManager Essentials)*管理交换机和网络业务的 CWSI 园区网*建立管理内部网的 Cisco 管理连接*CiscoView 图形设备管理工具*将来增加功能时可插入的模块提供 Assured Networ27、k Services：革命性的 Telnet AssuredNetwork Services 战略概述了用来管理 Cisco 网络的产品、业务及综合知识。CiscoWorks 2000 系列展示了基于 Web 的全面集成网络管理解决方案的重大进展。该方案将系统管理、业务及支持作为管理内网的组成部分进行了集成。广东省农科院网络方案建议书广东省农科院网络方案建议书-17-CiscoWorks 2000 产品主要在三个基础领域带来好处。面向面向 InternetInternet 的网络管理的网络管理Cisco 在 Internet 联网和 Internet 商务解决方案领域居业界领先地位。对这些解决28、方案的投资目前提供广泛的网上知识基础，Cisco网络管理应用程序使用这些知识指导网络管理人员迎接维护庞大而复杂的企业网的挑战，并获得成功。知识综合一 CiscoWorks 2000 产品预先从 Cisco 的 Web 站点收集信息并在管理程序内显示。例如，RME(Resource Manager Essentials)通过内置的 Internet链路将管理程序扩展到外部数据源，使网络管理员检索并使用信息，如：*技术支持报告的自动生成、提交和跟踪*以储存于 Cisco 在线连接（CCO）上的软件版本作为基础的硬件预先申请信息*新的 Cisco IOS 和 Catalyst 软件版本*有关您的网络29、中采用的软件版本的缺省状况信息用于管理功能和应用集成的浏览器用户接口独特的管理内部网工具使用浏览器接口，该接口有助于将来自不同源的多种应用和工具进行面向任务 Web 级集成，包括第三方和室内开发的工具和应用。这一方案允许创建一种由最佳管理工具构成的客户定制管理环境，其中包括 Hewlett-Packard、Tivoli 及 Computer Associates 的主要网络管理平台。到这些应用的基于浏览器的接入，使用户可进入多个应用程序并轻松地在最佳工具间转移，以排除故障。基于标准的结构能否成功地采用可扩展、自适应性网络解决广东省农科院网络方案建议书广东省农科院网络方案建议书-18-方案在很大30、程度上取决于坚持开放网络管理标准的情况。CiscoWorks2000 系列产品基于业界标准，如 SNMP（简单网络管理协议）、RMON（远程监控）、RMON2、WBEM（基于 Web 的企业网管理指示），HTTP（超文本传输协议）、Web 浏览器技术及 Java。公用信息模式(CIM)这是 DMTF(Desktop Management Force)在基于 Web 的企业网管理(WBEM)初始工作的基础上开发的一种数据交换标准。CIM 有助于实现网络应用程序间的开放管理数据交换，而 Cisco最初使用 CIM 模式交换详细的设备库存数据。然后主要的网络管理平台和主机结构可使用这些数据以进一步了31、解基于 Cisco 的网络。Tivoli 已宣布推出对基于 CIM 的库存数据交换业务的支持功能，用于 TME 库存。管理效率及灵活性管理效率及灵活性将网络作为一个完整的系统而非许多零散的元件或设备进行管理网络在继续发展而且变得日益复杂，同时对商务的作用也日益重要，有鉴于此，网络管理应从一系列与单个设备相关的任务演变成一种更为系统的方法。这些产品可提供对全网络范围问题的深入了解，如配置管理、容量规划，软件缺省跟踪及系统范围的变化的管理。基于任务的管理研究表明为完成一项工作，通常需要使用多种工具，操作员需使用一种又一种工具。基于这些情况，Cisco 在其Cisco Works2000 产品中采用32、了一种面向任务的设计，以简化用户的日常网络管理工作。该设计减少了需要多个步骤，使用多种工具进行的重复性、易于出错的人工操作如在网络设备上更新软件或跟踪库存变化。CiscoCisco Works2000Works2000 的组成部分的组成部分广东省农科院网络方案建议书广东省农科院网络方案建议书-19-RMERME(Resource(Resource ManagerManager Essentialo)Essentialo)RME 是一种适用于 Cisco 路由器、交换及接入服务器的功能强大、基于 Web 的网络管理解决方案。它的浏览器接口可轻松接入到对网络正常运转时间至关重要的信息；而它的模块通33、过处理耗时的管理工作简化了网络管理，这些工作常干扰了小型至大型企业网的运行。如 Resource Manager Essentialo：*使管理网络库存和设备变化、归档和查寻配置文件及迅速采用新的软件版本的工作一体化*帮助排除关键网络设备的基本连接状态的故障，并提供硬件容量规划所需的信息*有一条内置链路与 CCO 链接，按照你的网络库存要求提供最新管理信息和 Cisco 知识RME 包括下列关链模块和功能；*库存管理器 Inventory Maneger 保持一个最新的硬件和软件库存。*变化审查业务 Change Audix Service 提供有关软件、硬件及配置变化的综合报告。*设备配置管34、理器 Device Configuration Manager 进行路由器和交换机配置的及时归档。*可用性管理器 Availability Manager 监控关键设备。*Syslog 分析器查出网络故障情况，并给出故障原因及建议措施。*软件版本管理器 Software Image Manager 简化并加速软件版本的规划和采用。广东省农科院网络方案建议书广东省农科院网络方案建议书-20-*Netsys 集成配置归档产生一个仅包含最近配置变化的 shadow 目录，该目录可用于 Cisco 的 Netsys 产品，进行模型建造、完整性检查并生成业务级别管理报告。*管理连接提供一个工具包及后续程35、序，用基于 Internet 的标准和技术进行网络管理应用程序集成。*网络工具提供用于管理 SMARTnet 合同的合同连接、发出技术援助中心（TAC）申请的案例管理器及确定有效协议的连接工具。CWSICWSI 园区网园区网CWSI 园区网是一种管理 Cisco Catalyst 和 LightStream 交换机的综合管理解决方案，它在单个设备和整个网络范围的基础上提供广泛的网络搜索和显示、配置、LAN/WAN 业务及性能管理功能。CWSI 园区网提供：*物理层和逻辑层的综合网络搜索和拓扑结构，智能性地显示多达500 个设备*通过一个图形接口的设备配置，易于进行设备管理*使用 RMON/RM36、ON2 收集的流量数据进行的性能监控和分析*优化 LAN 和 WAN 性能的配置及分析工具*VLAN 配置功能可以逻辑方式将网络分隔成定义好的广播群*ATM 和 LAN 仿真(LANE)配置及诊断工具*用于诊断连接故障的终端用户站追踪CWSI 园区网建立在 Resource Manager Essentialo 基础上，大大降低了交换的互联网管理的复杂性，同时对于任何使用 Cisco 交换机的网络来说，它也是一种有价值的解决方案。CiscoViewCiscoView广东省农科院网络方案建议书广东省农科院网络方案建议书-21-管理交换的网络需要接入工具以了解设备配置，并在必要时进行改变。不管是独37、立配置还是在园区网内，CiscoView 均可用图像显示所选设备，包括已安装的模块、配置状况，同时提供设备及端口状态的彩色编码图示。*Cisco 路由器、交换机及所配置模块的图像显示*设备端口或接口状态及 RMON 数据的实时状态轮询*实现简易配置或状态识别的可拆卸式配置菜单第三方集成第三方集成网络运行环境互不相同。目前基于 Web 的网络管理应用向用户展示了建立用户定制的管理内部网，将 Cisco 管理应用程序、普通第三方管理工具和室内开发的功能链接的大好商机。Cisco 管理连接是 RME 的一种特性。它可提供一个工具包及后续程序，使用基于 Internet 的标准和技术集成网络管理应用。38、该工具包允许用户将基于 Web 的管理应用程序链接到 RME，同时使应用程序开发通过一种识别机制将他们基于 Web 的应用程序轻松地链接。Cisco 与约30 家网络管理厂家都使用这一工具包为他们的应用程序建立经认证的Cisco 管理连接，包括 Computer Assciates、Hewlett-Packard、SunMicrosystems 及 Tivoli。由此产生了这样一种状况：用户可轻松地建立连接基于 Web 的管理应用程序的管理内部网。广东省农科院网络方案建议书广东省农科院网络方案建议书-22-第四章第四章方案核心技术应用方案核心技术应用4 41 1 局域网技术局域网技术1)1)未39、来网间连接采用未来网间连接采用 ATMATM 还是还是 IPIP 技术技术ATM 是一种面向连接的服务，宽带高速和 QoS 是 ATM 网络的主要特点。ATM 传输速率相当高，高达数百兆比特，它具有良好的服务质量，可将不同种类的数据分成 A、B、C、D 各种等级，并按服务优先级要求保证数据在允许的延迟范围内传输。由于采用面向连接的传输方式，其资源可以预定，传输质量相当高，非常适合多媒体传输。但 ATM 局域网的投资要比以太网的投资高得多，用户要实现 LAN与 ATM 互连，建立 IP 地址和 ATM 地址间的转换、ATM 间 VLAN 所要付出的代价相当昂贵，造成网络复杂，难以管理。IP 并不40、是面向连接的技术，而是一个传输帧数据的技术，传输视频、音频信号延迟较大，但 IP 是 INTERNET 的支撑协议，有非常好的发展前景，未来的 IPv6 提出的 IP 包划分优先级很好支持 QoS，它的 DHCP、IPSec 技术能满足未来网络发展的需要。建议建议广东省农科院广东省农科院网网络络建设中采用建设中采用 IPIP 技术，数据、动态图像、技术，数据、动态图像、VODVOD、图文和声音的传输都可以通过、图文和声音的传输都可以通过 IPIP 实现，实现，10/100M10/100M 交换到桌面交换到桌面所达到的效果非常理想。所达到的效果非常理想。2)2)千兆位以太网技术千兆位以太网技术广41、东省农科院网络方案建议书广东省农科院网络方案建议书-23-千兆位以太网以简单的以太网技术为基础，为网络主干提供 1Gbps的带宽。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆位以太网与其他速度相当的高速网络技术相比，价格低，同时比较简单，例如保留以太网的帧格式、管理工具和对网络概念上的认识。千兆位以太网同样采用 CSMA/CD 协议，相同的帧格式和长度，就象10M 以太网一样。对于广大用户来说，这意味着他们的网络投资可以得到保护，并且可以以较低的成本使原有的网络升级到 1Gbps 而无需对用户进行再培训，也无需为额外的网络协议进行投资。由于有这样的特42、点和兼有支持全双工操作的能力，千兆位以太网将会是 10/100 交换机之间的理想主干，高性能服务器群的理想连接方法，为高性能工作站提供 10 倍于 100Mbps 的带宽。建议建议广东省农科院网络广东省农科院网络建设中建设中骨干采用千兆以太网，骨干采用千兆以太网，10/100M10/100M以太以太网到桌面。同时可以结合网到桌面。同时可以结合GigabitEtherGigabitEther ChannelChannel技术提供中心交换机技术提供中心交换机与二级千兆交换机之间的高带宽、高冗余。与二级千兆交换机之间的高带宽、高冗余。3)3)Fast/GigabitFast/Gigabit Ethe43、rChannelEtherChannel 技术技术Cisco 的快速以太信道技术是应用最广泛的快速以太信道技术，已经运行在许多生产网络上。随着骨干线路业务量的持续增加，Cisco的快速以太信道技术，可以使关键骨干中继的吞吐量扩充至几百兆位。通过将多条(可达 4 条)百兆位以太网合成 1 条逻辑链路，设备间的吞吐量可达 800Mbps(全双工)。专用硬件自动实现物理链路间的业务量平衡，提供线速(Wire-speed)交换性能。广东省农科院网络方案建议书广东省农科院网络方案建议书-24-Cisco 千兆以太信道技术是 FEC 技术的延续，可合成 8 条千兆链路，实现 16Gbps 的连接速度。用于44、未来骨干网的 Cisco GigabitEther Channel技术使关键的骨干中继线的吞吐量，随骨干业务量的不断增长可扩展至数千兆比特。将八个千兆比特以太网链路合并到一个逻辑链路上，可在设备之间实现 16Gbps 的吞吐量。利用 PortAggregation Protocol，业务量可以在物理链路上以最高效的方式自动进行平衡。用户可以充分利用新的多模块通道（Channeling）特性，将同一个模块或不同模块上的端口合并到一个 Gigabit EtherChannel 链路上。而且，Gigabit Ether Channel 技术提供了无可比拟的弹性。如果 Gigabit Ether Ch45、annel 链路上的一个物理端口出现故障，该端口上的所有业务将被自动重新定向。并平衡到其它端口上。重新定向不会中断操作，保证最大的骨干网吞吐量和可靠性。Gigabit EtherChannel有以下特点：基于标准Gigabit EtherChannel技术基于标准802.3z的全双工千兆以太网。多平台灵活的Gigabit EtherChannel技术可以应用在任何将要发生阻塞的网络当中，增加交换机间、交换机与路由器间的带宽，甚至可以为网络服务器，如大型的UNIX主机、Web服务器提供可伸缩的带宽。灵活增加带宽通过将多条1G链路组合起来，Gigabit EtherChannel可以提供全双工2G46、到8G的可变带宽。负载均衡-广东省农科院网络方案建议书广东省农科院网络方案建议书-25-Gigabit EtherChannel有多条链路组成，数据流可以均匀的穿过Channel，当Channel某条Link断开时，数据流会被重新定向而无须用户干预。快速收敛当一条Link失败时，Channel会在一秒钟内将数据流切换到其余正常的Link上。对应用透明Gigabit Ether Channel不需要对网络作任何改动，可自动提供负载均衡。4 42 2 集群技术集群技术在本方案中，采用了 Cisco Catalyst 3500XL 系列交换机和 Cisco交换集群技术作为与桌面信息点的连接设备和连接47、技术，同时提供千兆上联到中心交换机。通过推出 Cisco Systems Catalyst 3500XL 系列和 Cisco 交换集群技术，Cisco 将堆叠提高到一个相当高的水平，由于所有 Catalyst 3500XL、2900XL 和 Catalyst 1900 交换机上都支持交换机集群，因此用户可从一个单一 IP 地址管理 380 多个端口，并能够通过广泛的以太网、快速以太网和 Gigabit Ethernet 介质连接所有交换机，而无论它们的物理位置在哪里。1)1)CiscoCisco 可扩展的堆叠体系结构可扩展的堆叠体系结构作为互联网解决方案的领先机构,Cisco System 为48、 Catalyst 3500XL 系列交换机提供业界最灵活、可扩展和可管理的堆叠体系结构。广东省农科院网络方案建议书广东省农科院网络方案建议书-26-(1)灵活的堆叠Catalyst 3500 XL 系列交换机可以使用低成本的 Cisco GigaStackGBIC 进行堆叠，2 端口的 GigaStack GBIC 提供广泛的高度灵活的堆叠和性能选项。它在一个菊花链配置中提供 1Gbps 半双工连接，或者在专用交换机到交换机的配置中提供 2Gbps 全双工连接。(2)Cisco 交换机集群突破性的 Cisco 交换机集群技术能使多达 16 个 Catalyst 3500XL、2900XL 和49、 Catalyst 1900 交换机互连在一起（而无论它们的物理距离多远），组成一个可管理的单一 IP 地址网络。这些交换机可以使用广泛的基于标准的连接选项集群在一起，提供不同层次的性能来满足客户要求。Catalyst 3500XL 系列的集群连接选项包括以太网、快速以太网、Fast EtherChannel、低成本 Cisco GigaStack GBIC GigabitEthernet 和 Gigabit EtherChannel。由于 Cisco 交换机集群技术不受专用堆叠模块和堆叠电缆的限制,因此它将传统堆叠域扩展到一个配线间之外，允许用户“混用和匹配”互连，进而满足特定的管理，性能和50、成本要求。在 Cisco 交换机集群中，有一个 Catalyst3500XL 系列或 2900Xl交换机被指定为“命令”交换机，命令交换机作为单一 IP 地址管理点运行，并分配网络管理员控制的所有管理行为，命令交换机最多能够集成另外 15 个互连的成员交换机，而无论它们的互连介质是什么。Cisco 交换机集群命令软件被预装在所有 Catalyst3500XL 系列交换机上，并可以通过 Catalyst 2900XL 命令软件升级工具集，作为系列交换机上的一个升级。2)2)堆叠和集群堆叠和集群广东省农科院网络方案建议书广东省农科院网络方案建议书-27-Cisco GigaStack GBIC 技51、术为客户提供广泛的性能水准，从菊花链配置中 1Gbps 的转发速率，到点到点连接中的 1Gbps 的转发速率。通过安装 GigaStack GBIC，可以把 Catalyst 3500 XL 系列交换机部署在一个堆叠配置中，GigaStack GBIC 通过标准的 Gigabit Ethernet 连接提供一个 1Gbps 的独立堆叠总线，允许通过一个单一 IP 地址堆叠和管理多达 9 个交换机；同时通过顶部和底部交换机中的辅助 GigaStackGBIC，可以实现冗余环回连接。3)3)CiscoCisco 交换机集群交换机集群如下图所示，Cisco Catalyst 3500 Xl 和 Ca52、talyst 1900 交换机可以部署一个互连的交换机集群配置中，从一个单一 IP 地址进行管理，其中一个交换机被指定为命令交换机，用作集群的单一管理点，剩下的交换机被指定为成员交换机。客户可以在这种集群配置中使用以太网，快速以太网、Fast EtherChannel、低成本 Cisco GigStackGBIC、Gigabit Ethernet 或 Gigabit EtherChannel 连接。Cisco 交换广东省农科院网络方案建议书广东省农科院网络方案建议书-28-机集群给客户提供巨大的灵活性，因为集群中的所有交换机可以定位在不同的物理位置，通过基于标准的介质连接。4 43 3 网络安53、全技术网络安全技术1)1)局域网的安全策略局域网的安全策略局域网交换技术具备 VLAN 划分和 VLAN 路由功能。VLAN 是将一个物理上连接的网络在逻辑上完全分开，这种隔离不仅是数据访问的隔离，也是广播域的隔离，是一种安全的防护。由于广东省农科院有多个部门，所以 VLAN 对于网络建设意义重大，可通过将不同的系统划分在不同的 VLAN 的方式，把各系统完全隔离，既保证了安全性，也提高了可管理性；Cisco 的 Multilayer Switch 技术提供 VLAN 间的数据传输。Cisco 局域网交换机具有 MAC 地址过滤功能，通过在交换机上对每个端口进行配置，可以禁止或允许特定 MAC54、 地址的源站点或目的站广东省农科院网络方案建议书广东省农科院网络方案建议书-29-点，从而实现各站点之间的访问控制。由于每块网卡有唯一的 MAC 地址，是固定不变的，所以对 MAC 地址的访问控制实际上就是对指定工作站这个物理设备的访问控制，与对 IP 地址的过滤相比，具有更高的安全性。2)2)广域网的安全策略广域网的安全策略广东省农科院网络实际是一个 Intranet 系统，Intranet 实现对内与对外的信息发布，提供 WWW 服务，因此与外部相连的接口成为最易受到“黑客”攻击的环节，需要进行特别的安全控制，提供可靠的安全保障。当前业界先进的 Cisco 防火墙产品和防火墙技术，为整个网55、络系统提供优良的安全保护。Cisco 防火墙全面的安全特性，可以满足边界政策加强、扩展到更加复杂的 VPN、内容过滤以及服务否决检测和预防的需求。通过在网络基础机构本身内提供访问目录政策加强，完善了 Cisco 的端到端安全产品，从而实现独立设备不能提供的灵活性和控制水准。Cisco 防火墙家族包括专用设备(PIX 防火墙)、基于 NT 的解决方案（Centri 防火墙）和 Cisco IOS 防火墙特性集。在院区网方案规划中,推荐采用 PIX 防火墙的方式，PIX 防火墙安全服务为建立 Internet、广东省农科院网络方案建议书广东省农科院网络方案建议书-30-内部网和远程访问网络提供安全56、解决方案，从而提高端到端的安全。PIX 防火墙的特点包括：灵活性一揽子解决方案可以执行路由，提供安全的Internet连接，可根据用户定义的政策，针对每一个接口采用不同的安全特征；投资保护将防火墙功能性集成进一个路由器可以充分利用路由器的投资，增量变化可以节省与学习新平台相关的成本和管理培训；容易管理通过利用远程管理功能，管理员可以从网络上的一个中央控制台实现安全特性；无缝的互操作性与其他Cisco IOS软件一起使用，优化广域网使用，提供稳定、可伸缩的路由；4 44 4 网络可靠技术网络可靠技术为实现网络的高可靠性，必须考虑线路和设备的容错、冗余问题，可采用 GigabitEther Cha57、nnel 技术提供千兆位以太网交换机与服务器、交换机与交换机之间的线路和设备高带宽、高冗余性，利用Spanning Tree 增强线路的可靠性；作为中心的网络设备采用双电源，同时将来中心的网络设备采用双处理模块、双端口模块和冗余设备来提高网络的可靠性。广东省农科院网络方案建议书广东省农科院网络方案建议书-31-4 45 5 方案技术特点方案技术特点1)1)端到端的解决方案端到端的解决方案端到端的解决方案是包含软、硬件平台的一种通用体系，通过统一的 Cisco 网络操作系统 IOS，为用户提供一致的网络服务。它的好处是由统一的平台来综合多种技术(如 路由、交换、远程接入、广域网、话音处理等等)，58、统一的操作界面使用户降低运营成本和改善系统的可管理性。它还提高网络配置的灵活性和可扩展性，保护用户的投资。统一的体系结构：使用户在整个网络中享有 Cisco IOS 提供的各种特性：可靠、适合的路由选择服务，WAN 优化服务，管理和安全服务，扩充性服务等。统一的网络界面：便于操作和维护，使用户减少了培训费用，降低了运营成本。统一的产品系列：在网络集成或网络维护时，避免了多厂家产品互连所可能产生的复杂状态，在网络故障情况时能够有较快的恢复时间。网络新技术潮流：Cisco 的产品系列覆盖了网络技术的各个领域，并且领导着网络最新技术的潮流。这一点对用户非常重要，保证用户在网络扩展和技术更新时能够最大59、限度地保护原有投资。IOS-事实上的标准：Cisco 的所有产品均是基于最常用的数据网络(如以太网、令牌环网、FDDI/CDDI、ATM、X.25、VSAT、公用电话网、帧中继、ISDN 等)之上而制成，且要比其它网络厂家的产品支持更多更全面的通讯协议(其中包括 TCP/IP、Novell IPX、DECnet、IBM广东省农科院网络方案建议书广东省农科院网络方案建议书-32-SNA、OSI、SDLC、Banyan VINES、XNS、桥接等)。所有这些都包含在 IOS 中，使 Cisco 的产品具有高性能、最全面的功能、高度的稳定性。IOS 是所有 Cisco 产品的灵魂，同时许多其它厂家在60、他们的产品中也采用 Cisco 的 IOS，它已成为网络工业界的事实上的标准。2)2)动态动态 VLANVLAN-VLANVLAN 划分的灵活性划分的灵活性实现全网的 VLAN 的统一管理划分，可通过网管的图形界面进行统一的在线 VLAN 拖、拉划分。除了基于交换机端口上的静态 VLAN 功能外，Cisco 的可提供基于Policy 的 VLAN 划分，即动态 VLAN。Catalyst 6509 交换机作为PolicyServer 以用户 MAC 地址或计算机名称为根据对于交换网上的所有计算机节点进行 VLAN 的划分。可规定具有某一个 MAC 地址或某一个用户名称的节点可属于某个 VLAN61、，这样在用户移动时不需网络管理员参与。3)3)网络安全性网络安全性随着 Internet 的快速发展，网络安全已成为网络方面最受关注的问题之一。防火墙为系统设立了第一道防线，但不能彻底解决安全性问题，它只是完整的安全体系的一个组成部分。对频繁传送重要信息的通信，加密被证明比防火墙更为有用。安全性的风险也并不仅仅来自外界，调查表明各种计算机被滥用的情况中大约 80%来自系统内部。因此，网络安全是基于一个集硬件、软件、策略为一体的综合体系。本方案中 Cisco 设备全部支持端口上的安全性过滤，TACACS+、RADIUS、IP 允 许访问表、MD5 路由验证等。全部设备也具有 Cisco广东省农科62、院网络方案建议书广东省农科院网络方案建议书-33-的 IOS 提供了丰富的网络安全功能，如 VLAN 访问控制列表、策略服务、路由/路由器身份识别、数据加密等。另外，其他辅助的安全手段如 Cisco Netsonar 用于网络安全漏洞扫描，帮助网络管理员发现网络中等安全隐患，以便及时采取措施加以弥补；Cisco Netranger 用于网络的实时监控，可根据用户的定义，对网络上的各种攻击行为，非法访问等作出判断，将非法进程切断、记录并报警。4)4)QoSQoS 服务及网络上的多媒体服务及网络上的多媒体Cisco IOS 软件是一个提供网络服务，使网络应用满足连接性、安全性、可靠性、可扩展性、可63、管理性的要求的平台，并支持先进的应用程序，如 IBM、多媒体、语音和 QoS 服务等。Cisco IOS QoS 服务由三个关键组件构成：一个快速发展的构件和功能集；一个高度灵活、用于执行策略的工具，它利用构件控制网络资源的分配，以支持网络客户和应用程序的要求；一个功能分布组件，它优化了网络所有者(企业或 Internet 服务商)在服务配置和带宽/容量方面的可扩展性要求。广东省农科院网络方案建议书广东省农科院网络方案建议书-34-第五章投资预算第五章投资预算5 51 1 院机关及情报所设备投资预算院机关及情报所设备投资预算项项目目设备名称设备名称数数量量单价单价合计合计1办公自动化服务器1264、电子邮件服务器13互联网服务器14网管服务器15网络机柜46Cisco 650917Cisco 364018Cisco 354829办公自动化软件110网管软件111PIX防火墙1总价：5 52 2 其他研究所设备投资预算其他研究所设备投资预算1）光纤直接连入研究所投资预算项项目目设备名称设备名称数数量量单价单价合计合计1Cisco 352412办公自动化服务器13办公自动化软件1总价：2）租用 DDN 专线连入研究所投资预算项项目目设备名称设备名称数数量量单价单价合计合计广东省农科院网络方案建议书广东省农科院网络方案建议书-35-1Cisco 352412Cisco 362013办公自动化服务器14办公自动化软件1总价：5 53 3 其他投资其他投资1）办公楼综合布线系统布线预算根据具体的信息点数量、信息点的分布、布线要求而定。一般为 700-800 元/点。2）光纤铺设光纤铺设根据铺设距离而定。一般单模光纤材料费为 40 元/米，如铺设时需跨越道路会产生附加费用。3）办公自动化设备其他办公自动化设备包括个人电脑、网络打印机、激光打印机和网络打印服务器等。项目项目设备名称设备名称单价单价1个人办公电脑2网络打印机3激光打印机4网络打印服务器