某市政府上網(wǎng)工程設(shè)計方案

1、 1.背景22.系統(tǒng)概述與需求32.1系統(tǒng)建設(shè)的必要性32.2系統(tǒng)建設(shè)概況42.3總體需求42.4建網(wǎng)目的53.局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述5網(wǎng)絡技術(shù)選擇6網(wǎng)絡設(shè)備的系統(tǒng)結(jié)構(gòu)7虛擬網(wǎng)絡7路由功能7容錯功能7網(wǎng)絡管理84.網(wǎng)絡方案概述84.1 網(wǎng)絡設(shè)計思想84.2 網(wǎng)絡邏輯結(jié)構(gòu)105.網(wǎng)絡實現(xiàn)115.1系統(tǒng)需求115.2網(wǎng)絡實現(xiàn)技術(shù)125.2.1主干網(wǎng)125.2.2 各子網(wǎng)設(shè)計135.2.3 遠程服務135.2.4 與外部網(wǎng)絡的連接135.2.5 網(wǎng)絡物理拓撲結(jié)構(gòu)145.3 外連方式155.4 網(wǎng)絡設(shè)備選擇235.5 系統(tǒng)平臺306.技術(shù)重點與難點3161 配置的幾點考慮316.1.1、子網(wǎng)劃分

2、與地址規(guī)劃316.1.2、虛擬局域網(wǎng)的劃分316.1.3、增強IP組播(IP Multicast)能力327安全性327.1 網(wǎng)絡設(shè)計327.2 應用軟件337.2.1 用戶口令加密存儲和傳輸：337.2.2 分設(shè)操作員347.2.3 日志記錄和分析347.3 網(wǎng)絡配置347.3.1路由357.3.2防火墻357.4系統(tǒng)配置357.4.1網(wǎng)絡服務程序367.4.2數(shù)據(jù)庫安全配置367.5通信軟件368. 維護388.1系統(tǒng)維護388.2 支持與服務398.2.1支持和服務范圍398.2.2 支持和服務內(nèi)容399.人員培訓459.1系統(tǒng)管理人員培訓4710.系統(tǒng)報價55附錄：1 xx大學網(wǎng)絡與信

3、息工程中心介紹59概況59科研、論著與獲獎60三、技術(shù)隊伍611997年來部分項目61承擔的科技網(wǎng)建設(shè)66附錄2：xx大學校園網(wǎng)簡介67xx大學校園網(wǎng)概況68網(wǎng)絡結(jié)構(gòu)68應用系統(tǒng)69資源管理與安全策略701. 背景時下，信息化浪起潮涌，全球各個角落無一例外地被卷進一場狂飆般的信息革命中。以高度信息化為標志的信息社會正大步朝我們走來，INTERNET正迅速成為人們生活的一部分。政府部門作為社會的重要角色，理應信息化，第一步在INTERNET上建立自己的網(wǎng)站。    中國電信總局和相關(guān)部委信息主管部門策劃發(fā)動和統(tǒng)一規(guī)劃部署，各省、自治區(qū)、直轄市電信管理局作為支持落實單

4、位，聯(lián)合信息產(chǎn)業(yè)界的各方力量（ISP、ICP、軟硬件廠商等），推動中國各級政府部門在網(wǎng)際網(wǎng)絡上建立正式站點并提供信息共享和便民服務的應用項目，構(gòu)建中國的“電子政府”，這便是“政府上網(wǎng)工程”。為加強全社會對政府上網(wǎng)工程的重視，有關(guān)部委將1999年定為中國信息產(chǎn)業(yè)界的“政府上網(wǎng)年”。    “政府上網(wǎng)工程”的實施，將改變中國各級政府的管理模式和行政風氣，并有助于各級政府樹立開放形象、提高工作透明度、提高辦事效率。同時，“政府上網(wǎng)工程”的實施，實現(xiàn)了政府部門之間、政府與社會各界之間資訊的互通，以與政府內(nèi)部辦公自動化，為最終構(gòu)建“電子政府”打下堅實基礎(chǔ)?！罢暇W(wǎng)” 將全

5、面樹立中國各級政府在世人面前的嶄新形象，并有助于提高工資效率，促進勤政和廉政建設(shè)。所謂政府上網(wǎng)，簡單地說就是政府職能上網(wǎng)，在網(wǎng)絡上建立一個虛擬的政府，在<small>Internet</small>實現(xiàn)政府的職能工作。政府上網(wǎng)后，可以在網(wǎng)上公布政府部門的名稱、職能、機構(gòu)組成、工作章程以與各種資料、文檔等，并公開政府部門的各項活動，增加了辦事執(zhí)法的透明度，為公眾與政府打交道提供方便，同時也接受公眾的民主監(jiān)督，提高公眾的參政議政意識。與此同時，由于Internet是跨國界的，我國政府上網(wǎng)將能夠讓世界更好地了解中國，加強與世界各國的交流，從而樹立起面向21世紀的良好形象。&#

6、160; “政府上網(wǎng)”將帶來政府辦公模式與觀念上的一次革命。那種為了辦成一件事而要到處蓋上幾十個公章的現(xiàn)象將不復存在，如XX已經(jīng)實現(xiàn)了網(wǎng)上交稅。在政府內(nèi)部，各部門之間也可以通過Internet聯(lián)系，各級領(lǐng)導可以在網(wǎng)上相隔部門做出各項批示與指導，從而既提高了辦事效率，又節(jié)省了政府開支。  “政府上網(wǎng)”將極大地豐富網(wǎng)上的中文信息資源，為我國信息產(chǎn)業(yè)的健康發(fā)展創(chuàng)造一個良好的生態(tài)環(huán)境，同時對促進我國政治、經(jīng)濟和文化的發(fā)展產(chǎn)生深遠的影響。據(jù)統(tǒng)計，目前各個部委的信息資源占全社會信息資源總額的比例達百分之八十，這些信息資源對公眾來說是很有用處的，如國家教委可以把全國各大專院校的

7、情況上網(wǎng)，供全國考生查詢與選擇等。反過來，政府上網(wǎng)帶來的信息資源的豐富又會促進更多的百姓上網(wǎng)。   “政府上網(wǎng)工程”的實施將對國民經(jīng)濟信息化建設(shè)產(chǎn)生革命性的影響?！罢暇W(wǎng)”是一種政府認可的行動，這一性質(zhì)決定了它較一般的市場自發(fā)行為更具有推動力。政府上網(wǎng)需要建設(shè)大量的信息工程，要采購大批的信息產(chǎn)品，這對廠商來說是一個重要的商機，將對整個國民經(jīng)濟的信息化發(fā)展起到直接的促進作用，從而最終帶動整個信息產(chǎn)業(yè)與服務業(yè)的繁榮。    綜上所述，“政府上網(wǎng)”不僅將促進我國政府部門本身的辦公模式和思維方式的變革，同時也將導致我國億萬普通老百姓社會生活

8、方式與觀念的轉(zhuǎn)變。政府上網(wǎng)將帶來一場革命，這場革命以信息技術(shù)為手段，將把中國以嶄新的形象帶進屬于我們中國人的新世紀。2. 系統(tǒng)概述與需求2.1 系統(tǒng)建設(shè)的必要性建設(shè)xx市黨政綜合信息網(wǎng)目的：一是進一步加快全市黨政機關(guān)辦公自動化的進程，實現(xiàn)政府職能的網(wǎng)絡化，提高各級領(lǐng)導的決策水平；二是推動政府工作體制和工作方式的改革，打破部門之間各自為政的局面，通過信息暢通，保證政令統(tǒng)一，提高辦事效率；三是通過網(wǎng)絡加強政府與廣大市民的聯(lián)系，聽取群眾的意見和心聲；四是通過政府上網(wǎng)，挖掘政府部門擁有的豐富的信息資源，為全市企、事業(yè)單位服務，促進信息資源的應用，促進我市經(jīng)濟發(fā)展和社會進步；五是通過政府工作網(wǎng)絡化，樹立

9、我市現(xiàn)代化形象，推動全市信息化工作的開展和信息產(chǎn)業(yè)的發(fā)展。2.2 系統(tǒng)建設(shè)概況1. 建成市委、市政府辦公自動化骨干網(wǎng)。2. 建成政府網(wǎng)站3. 接入國際互連網(wǎng)2.3 總體需求l 建立一個全院的信息管理和應用的網(wǎng)絡系統(tǒng)，建立醫(yī)院內(nèi)部的Intranet，并提供相應的各種服務。l 能夠有序地共享網(wǎng)絡上的各種軟、硬件資源，各種信息能夠在網(wǎng)絡上快速、穩(wěn)定地傳輸，并提供有效的網(wǎng)絡信息管理手段。l 整個系統(tǒng)采用開放式、標準化的結(jié)構(gòu)，以利于功能擴充和技術(shù)升級。l 能夠與外界進行廣域網(wǎng)的連接，提供、享用各種信息服務。l 具有完善的網(wǎng)絡安全機制。l 能夠與原有的計算機局域網(wǎng)絡和應用系統(tǒng)平滑地連接，調(diào)用原有各種計算機

10、系統(tǒng)的信息。2.4 建網(wǎng)目的實現(xiàn)政府信息化，在任何時候可以向任何地方的人民提供公眾信息服務。管理創(chuàng)新：通過實現(xiàn)基于團隊的、扁平的組織結(jié)構(gòu)，提高政府的運行效率。加強信息建設(shè)：政府首先要在數(shù)據(jù)庫和網(wǎng)絡建設(shè)中處于領(lǐng)先地位。網(wǎng)上稅收和支付系統(tǒng)：政府部門的通訊能力提高可以減少廣大人民的書面工作，為他們帶來便利。政府和社會之間聯(lián)系：政府與社會之間聯(lián)系的加強，將會使政府向社會提供新的服務，并加強政府和經(jīng)濟界的合作。執(zhí)法領(lǐng)域的信息化：將創(chuàng)造一個更加安定團結(jié)的社會。在網(wǎng)上發(fā)布信息：盡可能在網(wǎng)上向人民發(fā)布政府方面的信息。3. 局域網(wǎng)技術(shù)現(xiàn)狀分析與技術(shù)概述目前在局域網(wǎng)組網(wǎng)技術(shù)中比較成熟和應用較多的技術(shù)有以下幾方面網(wǎng)

11、絡類型：Ethernet:10M、100M、Giga以太網(wǎng)，ATM:25M、155M、622M、2.4G，F(xiàn)DDI:100M 面臨淘汰。在端口數(shù)據(jù)分配上也分為共享式和交換式，網(wǎng)間數(shù)據(jù)交換核心方面分為路由和三層交換兩種技術(shù)。在以上幾個方面中網(wǎng)絡類型的選擇是關(guān)鍵，目前的主要技術(shù)之爭是發(fā)生在以太網(wǎng)和ATM之間的，這兩種技術(shù)各有短長ATM技術(shù)相對以太網(wǎng)來說是一種較為為新型的技術(shù)，它基于面向連接，提供QOS保障，在實時數(shù)據(jù)傳送，預留帶寬方面有不可比擬的優(yōu)越性，特別適合實時多媒體的交互式通訊和一些突發(fā)性的數(shù)據(jù)傳送要求，它針對不同的數(shù)據(jù)通訊類型會給予不同的質(zhì)量保證，另外小信元有利于速率的不斷提高，但由于其技

12、術(shù)成熟度不夠，和目前直接基于ATM的應用類型還比較少，它的優(yōu)越性受到了限制，另外它的元件和設(shè)備價格昂貴是另一個不利與推廣的弱點。以太網(wǎng)技術(shù)相對成熟，而且多數(shù)應用基于以太網(wǎng)開發(fā)，所以決定了目前它在網(wǎng)絡中占主導地位，受多數(shù)用戶的青睞。在此我們推薦使用千兆以太網(wǎng)技術(shù)，它在技術(shù)上由快速以太網(wǎng)衍生出來、性能價格比高，現(xiàn)在相關(guān)技術(shù)已經(jīng)穩(wěn)定，并且非常適合中小學使用。在此方案中我們選擇千兆以太網(wǎng)與三層交換作為技術(shù)定位的基本模式。網(wǎng)絡技術(shù)選擇根據(jù)應用實際需求，和網(wǎng)絡功能、性能、安全性等多方面的分析，對網(wǎng)絡技術(shù)做出如下選擇：根據(jù)應用系統(tǒng)的需求和接入網(wǎng)絡方式的特征，xx市委市政府校園網(wǎng)絡采用交換與和共享技術(shù)結(jié)合的方

13、式構(gòu)建自己的網(wǎng)絡通信平臺，采用虛網(wǎng)劃分技術(shù)，虛網(wǎng)間數(shù)據(jù)傳輸實現(xiàn)第三層交換，為桌面設(shè)備提供10/100M以太網(wǎng)接入，并同時具有技術(shù)領(lǐng)先性。主干為千兆以太網(wǎng)。服務器以100base-T接入普通網(wǎng)絡用戶PC采用10/100Base-T方式接入網(wǎng)絡基本形式為交換式網(wǎng)絡。網(wǎng)絡設(shè)備的系統(tǒng)結(jié)構(gòu)選擇完全分布的系統(tǒng)結(jié)構(gòu)（處理能力分布和存儲能力分布）選擇存儲轉(zhuǎn)發(fā)式交換技術(shù)（Store-forward）以支持低速網(wǎng)絡接口和高速網(wǎng)絡接口的交換與對錯誤幀的過濾選擇統(tǒng)計時分復用（TMD）數(shù)據(jù)交換總線結(jié)構(gòu)的交換設(shè)備減少系統(tǒng)延時選擇支持多種網(wǎng)絡接口的設(shè)備虛擬網(wǎng)絡靈活多樣的虛網(wǎng)劃分手段，基于端口，基于地址和給予應用虛網(wǎng)中的站點

14、不應受接口類型的限制。支持網(wǎng)絡站點的自由移動，虛網(wǎng)標志可被交換設(shè)備自動識別以保持原有虛網(wǎng)屬性。虛網(wǎng)可延伸到整個信息中心網(wǎng)絡，跨越各種交換設(shè)備。路由功能內(nèi)部路由采用三層交換功能提高其路由識別和包轉(zhuǎn)發(fā)能力內(nèi)部的三層交換虛擬路由功能與外部路由功能有互操作性容錯功能提供交換機內(nèi)部重要模塊的全雙工配置（管理模塊）和冗余接口主要功能部件的熱插拔功能支持網(wǎng)絡鏈路的冗余連接網(wǎng)絡管理支持廣泛的網(wǎng)絡管理平臺（如HP OpenView SUN NetManager等）提供交換機配置、管理，虛網(wǎng)配置、管理和網(wǎng)絡性能統(tǒng)計監(jiān)控的網(wǎng)管工具：基于SNMP網(wǎng)絡管理協(xié)議，支持標準的MIBs提供友好的用戶圖形界面4. 網(wǎng)絡方案概述

15、4.1 網(wǎng)絡設(shè)計思想針對以上情況，本方案的設(shè)計采用國際流行的分層設(shè)計：自頂向下進行結(jié)構(gòu)化設(shè)計，自底向上實現(xiàn)各種業(yè)務。根據(jù)我們以往的經(jīng)驗，xx市市委市府的計算機網(wǎng)應具有如下特性：ü 前瞻性：即所采用的技術(shù)應是國際通信界公認的主流技術(shù)，具有持續(xù)發(fā)展的潛力。ü 兼容性：目前，國內(nèi)各種網(wǎng)絡的建設(shè)方興未艾，保證網(wǎng)絡良好的兼容性是業(yè)務擴展的重要前提之一。ü 經(jīng)濟性：網(wǎng)絡建設(shè)的最終目的，是要服務于社會和公眾，并產(chǎn)生可觀的經(jīng)濟效益，進而產(chǎn)生收益和投資之間的良性循環(huán)。ü 演繹性：網(wǎng)絡建設(shè)是一個可持續(xù)滾動發(fā)展的過程，只有不斷地吸收營養(yǎng)、不斷地發(fā)展壯大，才能產(chǎn)生更大的經(jīng)濟和社

16、會效應。ü 競爭性：只有這樣的網(wǎng)絡才能在市場競爭中當然會脫穎而出，獨占鰲頭。ü 穩(wěn)健性：因為網(wǎng)絡系統(tǒng)在將來政府辦公的地位非常重要，所以市委市府計算機系統(tǒng)對系統(tǒng)的穩(wěn)健性將有較高的要求。本方案正是結(jié)合實際需求對于系統(tǒng)的穩(wěn)健性進行了深入的設(shè)計。為了實現(xiàn)上述特性，我們本著以下原則進行設(shè)計：充分依照國際上的規(guī)范、標準，借鑒國內(nèi)外目前所流行的主流網(wǎng)絡體系結(jié)構(gòu)和網(wǎng)絡運行系統(tǒng)，采用國際上成熟的模式，汲取國內(nèi)外各種信息系統(tǒng)的建設(shè)經(jīng)驗，從網(wǎng)絡信息化的實際要求出發(fā)進行設(shè)計。確保技術(shù)的先進性和實用性，使網(wǎng)絡具有良好的可擴展性和靈活性，以適應網(wǎng)絡的迅猛發(fā)展趨勢，既滿足當前需求，又照顧未來網(wǎng)絡建設(shè)發(fā)展

17、的需要。充分利用當?shù)匾延械母鞣N網(wǎng)絡資源，確保網(wǎng)絡內(nèi)部的互聯(lián)互通。由于此網(wǎng)絡是一個實用的服務運行系統(tǒng)，在總體設(shè)計時充分考慮工程的可靠性、可用性、可維護性以與網(wǎng)絡的安全性，建立完善的安全管理體系。另外，本計算機信息系統(tǒng)的建設(shè)是一項龐大而繁雜的工程，它需要領(lǐng)導的支持、大筆資金的與時到位、計算機專業(yè)人員具有良好素質(zhì)和較高技術(shù)水平，以與應用科室的配合和多部門的密切協(xié)作。所以我們對于系統(tǒng)的建設(shè)提出“總體規(guī)劃、分布實施”的建議。在制定總體規(guī)劃時，我們遵循“切合實際、分階段實施、循序漸進、安全有效”的基本原則。網(wǎng)絡結(jié)構(gòu)的選擇具有先進性和安全性，擴充升級方便，可保護前期投資?；谏鲜鲆蛩乜紤]，xx市委市政府計算

18、機網(wǎng)絡建設(shè)思想如下：l 基本構(gòu)架采用國際上目前流行的INTRANET網(wǎng)絡技術(shù)，以TCP/IP為基本傳輸協(xié)議；l 主干網(wǎng)采用千兆以太網(wǎng)技術(shù)，以便滿足市委市府系統(tǒng)中大量數(shù)據(jù)傳輸?shù)囊?；l 分支網(wǎng)絡采用Fast Ethernet技術(shù)以滿足普通應用需求；l 采用先進的虛擬網(wǎng)絡技術(shù)，將網(wǎng)絡按功能模塊劃分成不同子網(wǎng)，增強網(wǎng)絡的安全性；l 融合WEB技術(shù)，PROXY技術(shù)等INTERNET綜合應用；l 采用FIREWALL防火墻技術(shù)提高網(wǎng)絡安全性，可靠性；4.2 網(wǎng)絡邏輯結(jié)構(gòu)xx市委市政府計算機網(wǎng)絡的邏輯拓撲結(jié)構(gòu)如下： 在邏輯拓撲中網(wǎng)絡可劃分為若干虛擬局域網(wǎng)，虛擬局域網(wǎng)不受設(shè)備物理位置的限制，靈活性較大。按各

19、部分功能劃分：SERVER VLAN為服務器群虛網(wǎng)，將各種主要服務器（WEB服務器、管理數(shù)據(jù)服務器、郵件服務器、FTP服務器等）放在一個虛網(wǎng)內(nèi)便于管理、維護，同時也可以盡可能減少外部入侵與破壞系統(tǒng)的可能性;VLAN1、VLAN2根據(jù)不同的職能部門劃分，如：市府辦、市委辦、組織部、人事局5. 網(wǎng)絡實現(xiàn)5.1 系統(tǒng)需求目前xx市委市政府已經(jīng)完成了綜合布線部分的工程。xx市市委與市政府分別是一個獨立的大院相距8公里，相互之間要通過網(wǎng)絡共享一部分數(shù)據(jù)。下面列出市政府與市委大院的相關(guān)單位以與對網(wǎng)絡的需求。1. 市政府：序號單位名稱信息點數(shù)1財辦112外事辦83經(jīng)委224農(nóng)委155計生委126無委57體改

20、委98協(xié)作辦129人事局1810國土局1511法制局412外經(jīng)委1513市統(tǒng)計局1614 市計委1615市府辦3916市研室717小計2242. 市委序號單位名稱信息點數(shù)1直屬機關(guān)黨委82宣傳部173組織部194紀委455市委辦（含機要、保密）556小計1445.2 網(wǎng)絡實現(xiàn)技術(shù)5.2.1主干網(wǎng)網(wǎng)絡的主干建議采用兩臺自適應千兆以太網(wǎng)交換機作為中心交換機（分別作為市委與市政府的核心交換機）。兩臺核心交換之間采用千兆光纖相連，以保證主干網(wǎng)信息的暢通。服務器均以100BASE端口和交換機相連，這樣可以提供足夠的帶寬，減少由于用戶對服務的集中請求所產(chǎn)生的網(wǎng)絡瓶頸。 建議使用先進的路由交換機產(chǎn)品。路由交

21、換機可將IP路由功能集成在硬件中，以較低的代價就可獲得比傳統(tǒng)路由器高得多的路由性能。5.2.2 各子網(wǎng)設(shè)計市政府與市委的各部門所形成的子網(wǎng)均以100M的上連帶寬分別和中心交換機相連，到桌面采用10/100M。各分支網(wǎng)采用交換式快速以太網(wǎng)技術(shù)。5.2.3 遠程服務 為了滿足工作人員在家中進行辦公的需要，采用遠程撥號把政府工作人員家中的計算機和校園網(wǎng)通過公共網(wǎng)連起來，充分利用現(xiàn)代通信手段和網(wǎng)絡資源。群眾也可以通過撥號訪問政府網(wǎng)站上公開的信息資源。5.2.4 與外部網(wǎng)絡的連接 與國際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源，同時能將xx市政府介紹給世界。根據(jù)信息產(chǎn)業(yè)部的有關(guān)精神，在2000年12月31日之

22、前市級政府可以從當?shù)仉娦诺玫揭桓赓M的64K數(shù)據(jù)專線上連到163，169網(wǎng)。5.2.5 網(wǎng)絡物理拓撲結(jié)構(gòu)根據(jù)以上分析，xx市市委市政府計算機網(wǎng)絡物理拓撲圖可以是：5.3 外連方式xx市委市政府網(wǎng)絡中心首先是xx市委市政府辦公網(wǎng)的大腦與心臟，承擔了xx市委市政府辦公網(wǎng)的運行、維護的重要責任；除此以外還是xx信息網(wǎng)的核心節(jié)點，她的計算資源、網(wǎng)絡資源、信息資源對于xx市以與珠江三角洲具有重要的輻射作用，是一個較為集中的數(shù)據(jù)中心，和多種應用的中央控制的監(jiān)測機構(gòu)，所以xx市委市政府辦公網(wǎng)的建設(shè)是整個網(wǎng)絡建設(shè)的關(guān)鍵。網(wǎng)絡中心的地位和功能：1、 管理中心2、 控制中心3、 數(shù)據(jù)集中與備份中心4、 檢查與檢測

23、中心5、 對外信息發(fā)布中心為了更好地、更經(jīng)濟地利用xx市信息網(wǎng)的資源，滿足各種類型節(jié)點的具體需求，我們初步比較以下幾種節(jié)點接入方式：撥號、ISDN、DDN、幀中繼、光纖。撥號撥號上網(wǎng)是利用現(xiàn)有的線資源，通過公眾通信網(wǎng)實現(xiàn)網(wǎng)絡節(jié)點的接入。公眾通信網(wǎng)主要用于話音的交換傳輸，但由于速率低，數(shù)據(jù)傳輸存在困難，網(wǎng)上的業(yè)務主要是通信。數(shù)字數(shù)據(jù)網(wǎng)主要用于進行點到點的數(shù)據(jù)傳輸，但不能交換，網(wǎng)絡利用率低。網(wǎng)上的業(yè)務主要就是將計算機上的數(shù)據(jù)快速地從一個點傳送到另一個點上。和其它的接入方式相比，撥號雖然費用最低，但受到模擬線路本身技術(shù)的限制，其可提供的連接速率較低，且通信質(zhì)量容易受到影響，不能提供高品質(zhì)的連接信道。

24、ISDN采用ISDN的優(yōu)勢可歸納為以下幾點：1) 技術(shù)成熟ISDN的技術(shù)在80年代就開始試驗和使用，ISDN的標準則在1984形成，在1988年趨于穩(wěn)定。ISDN的網(wǎng)絡產(chǎn)品和終端產(chǎn)品已經(jīng)在市場上被廣泛地采用。終端產(chǎn)品價格逐年下降。網(wǎng)絡運營者也積累了開放ISDN業(yè)務與應用的豐富經(jīng)驗。我國網(wǎng)上交換機設(shè)備經(jīng)過3年的技術(shù)和測試工作，已基本具備了ISDN的能力。安裝簡單安裝又可分為用戶把自己的終端設(shè)備連接到ISDN線上和局方為用戶安裝ISDN線兩個方面。對于前者，ISDN為用戶很好地解決了連接問題，它提供標準的用戶網(wǎng)絡接口。這一特點是ISDN成功的關(guān)鍵所在。它以標準接口將各種類型的終端設(shè)備接入到ISDN

25、網(wǎng)絡中。只要用戶使用一對用戶線、一個ISDN號碼、一臺有ISDN標準接口的終端適配器(ISDN TA)，將現(xiàn)有的設(shè)備(包括模擬設(shè)備如：普通機、 機等) 連接到ISDN TA上。這樣，用戶就可以保留原有的模擬設(shè)備，節(jié)省投資。如果用戶已有了第二條線專為電腦上網(wǎng)使用，也就是說終端設(shè)備只有電腦，那么就可以不必購買ISDN終端適配器(ISDN TA)了，只需插一塊ISDN PC卡就可完成電腦與ISDN線的連接。3) 方便易用ISDN線路可以一線多號，一線多連，兩個終端可以同時使用而互不干擾。比如：在一條ISDN線上可以用一個信道保持聲音通話，用另一條信道上網(wǎng)。而且由于它屬于普通網(wǎng)的一部分，所以用戶既可以

26、與ISDN用戶也可以與普通用戶通信。當用戶在一條ISDN線上與普通用戶通信時仍按普通市話或長途標準收費。4) 多媒體通信ISDN為用戶提供64Kbit/s的數(shù)字連接，使用戶可以傳遞語音、數(shù)據(jù)和圖像等多種媒體的信息，并使各種應用可以在這一平臺上得以開發(fā)和使用。例如：會議電視一般需要三個2B+D，即384kbp/s 就能得到令人滿意的會議電視效果。5) 經(jīng)濟實惠這可以表現(xiàn)在以下幾個方面：首先，它可以一線多用，做綜合業(yè)務的處理，減少投資；其次，它可提高通信能力35倍，節(jié)省費用，提高效率；第三，它可即時連接使用數(shù)字數(shù)據(jù)線路，其費用遠低于DDN專線。另外，ISDN是一種需求式服務，所以用戶使用它與普通一

27、樣，只在需要時發(fā)起呼叫，支付相應使用時間的通話費，一旦連通，用戶獲得的就是高速數(shù)字通信。6) 具有數(shù)字化優(yōu)越性。在傳輸速度方面，目前最快的模擬調(diào)制解調(diào)器也只不過是56Kbps，而且這是一個理論值，實際使用時至多只能達到52Kbps，它還依賴于線的質(zhì)量。但在ISDN中僅2BD就可達到64Kbps，若傳輸一個1MB未壓縮文件不到1分鐘就可傳輸完畢，比前者要快很多，顯然占有優(yōu)勢。在通話建立方面，模擬Modem要協(xié)商線支持的帶寬(速率)需要1030秒或更長時間，而ISDN無那種咕吱咕吱的雜音，幾秒鐘就連接好了。從傳輸質(zhì)量上講，ISDN的數(shù)字傳輸比模擬傳輸更不會受到靜電和噪音的影響，使數(shù)據(jù)通信中更少出現(xiàn)

28、錯誤與重傳現(xiàn)象。3、DDNDDN技術(shù)是利用數(shù)字信道提供永久或半永久電路,以傳輸數(shù)字信號為主的數(shù)字通信網(wǎng)絡。其最具吸引力的優(yōu)點是傳輸時延短,支持語音、圖像等多媒體業(yè)務,且已經(jīng)在一些金融系統(tǒng)中得以廣泛使用,是一種較為成熟的技術(shù)。出于對未來視頻會議、辦公自動化等多媒體寬帶新業(yè)務的考慮,DDN技術(shù)有著很強的生命力和發(fā)展前景。傳統(tǒng)的網(wǎng)絡互連方式是通過租用點對點的DDN專線方式，一般速率為64Kbps/128Kbps。這就是所謂的IP的點對點互連。這種互連方式比較成熟，也是當今IP網(wǎng)絡互連中廣泛采用的方式。但是，這種互連方式使得路由器必須將IP數(shù)據(jù)包從一個IP網(wǎng)絡向另外一個IP網(wǎng)絡轉(zhuǎn)發(fā)。這樣就會帶來一些問

29、題：1) 對于組建大型的IP網(wǎng)絡來說,由于租用這種點對點的線路,使網(wǎng)絡方案設(shè)計變得非常復雜。為了將來網(wǎng)絡的可擴展性,一般會考慮設(shè)計分層結(jié)構(gòu)的網(wǎng)絡體系(如網(wǎng)絡分為骨干層與接入層等)。這樣就會需要大量的路由器設(shè)備來完成這一工作。路由設(shè)備的增長,也不可避免地帶來資金、IP地址分配、全網(wǎng)路由政策等等一系列問題。 2) 這種點到點的線路互連,完全依靠路由設(shè)備來完成各個節(jié)點的IP數(shù)據(jù)交換、傳遞。從而目前基于IP層交換的路由設(shè)備的交換速率與吞吐率又成了全網(wǎng)信息流傳遞的瓶頸。4、幀中繼目前的網(wǎng)絡互連包括了基于路由器的互連網(wǎng)絡和基于交換的互連網(wǎng)絡。其趨勢是將網(wǎng)絡互連在廣域網(wǎng)(WAN)上的傳輸盡可能地移至交換網(wǎng)絡

30、(X.25、FrameRelay、ATM)來承擔。路由器當然是必不可少的,然而路由器的數(shù)目與在路由器內(nèi)的路由尋徑表都應該保持最小。這種互連方式的優(yōu)勢在于: 1) 在網(wǎng)絡互聯(lián)中,路由器的數(shù)目大大減少。對網(wǎng)絡組網(wǎng)的設(shè)計要求也大大簡化。 2) 以幀中繼交換機代替路由器的交換功能,使網(wǎng)絡信息處理傳輸速率非?？?適應于當前局域網(wǎng)高速互連的需求。 3) 由于幀中繼網(wǎng)絡中大都采用光纖作為傳輸媒體,傳輸誤碼率非常低,一般為10-8。幀中繼的無差錯控制機制完全可以提供可靠的端到端的傳輸。如今，世界上50以上的幀中繼業(yè)務是在信元中繼ATM網(wǎng)絡上傳輸?shù)倪@主要是由于信元交換設(shè)備具有良好的協(xié)調(diào)性和高效性。盡管除了傳輸其

31、它類型的通信如話音和視頻外再也沒有其它的優(yōu)點，作為一種接口，幀中繼還是最適合于數(shù)據(jù)協(xié)議的傳輸。而且?guī)欣^結(jié)構(gòu)非常簡單，這使得它很有吸引力。幀中繼很適宜于數(shù)據(jù)通信，因為同時分多路和租用線路傳輸相比，幀中繼更有效地利用了帶寬。同ATM一樣，幀中繼每個數(shù)據(jù)包也有至少5比特的首標，但與ATM不同的是，幀中繼的有效載荷的長度是可變的長度剛好能裝下要傳輸?shù)男畔?。若幀?000比特長，則首標只占05，若信息非常短，如一條告知收悉的消息，幀就可以非常短，比方說是20比特，這個因素在低速即每比特秒的費用較高時就顯得很重要。幀中繼能通過單一物理信道維持多個虛擬網(wǎng)絡，從而使各種同等重要的通信獨立通過互聯(lián)網(wǎng)絡。這種平

32、行信息流的結(jié)構(gòu)與ATM虛擬網(wǎng)絡的結(jié)構(gòu)非常一致，而且容易連接。因此，幀中繼既能滿足當前的連接要求，又可成為向未來高速網(wǎng)絡過渡的橋梁。5、光纖盡管光纖產(chǎn)品的價格比銅線產(chǎn)品的價格貴許多，但它的通信距離較長，因此用它來連接大樓之間的網(wǎng)絡以與距離較長節(jié)點間的連接。TIAEIAANSI標準光纖主干運行距離超過2Km。而在LAN應用中，UTP的傳輸距離只有100m，光纖還能提供大樓之間的電氣絕緣。光纖通信系統(tǒng)的主要優(yōu)點有：傳輸頻帶寬，通信容量大。光纖的帶寬最高可達幾十Gbps,可滿足圖形、聲音和文件的大容量傳輸。線路損耗低，傳輸距離遠。多模光纖達到2公里,而單模光纖可以達到40100公里。 (3)抗干擾能力

33、強，應用范圍廣。 (4)線徑細，重量輕?？够瘜W腐蝕能力強。應用周期長。保密性能好。光纖通信由于沒有電流的作用,僅以光束在光導纖維內(nèi)部傳輸,不產(chǎn)生任何形式的輻射,電子竊聽技術(shù)對此毫無辦法,外界無法完成非侵入竊聽。與國際互聯(lián)網(wǎng)的連接可以獲得大量的信息資源，同時能使xx市委市政府直接將自己介紹給世界。5.4 網(wǎng)絡設(shè)備選擇Baystack 350-24T選用Bay Networks公司的350-24T以太網(wǎng)交換機提供24個10/100M以太網(wǎng)接口，可以與C100/50以與Accelar 1100更緊密的集成，達到最佳的性能。BayStack交換機支持業(yè)界標準IEEE 802.3，每一個10/100BA

34、SE-T端口能夠自動地以10/100Mbps的轉(zhuǎn)發(fā)速率連接到獨立桌面或網(wǎng)段，同時允許多路數(shù)據(jù)同時傳送。Accelar 1100Bay Networks Accelar 1100路由交換機具有高速的包轉(zhuǎn)發(fā)率，同時具備完整的IP路由功能，代表著最新的高速網(wǎng)絡技術(shù)。這個在技術(shù)上具有突破性意義的路由交換機提供了極大的帶寬，并最大程度的減少了廣播影響，而且支持對時延與其敏感的多媒體應用。Accelar 1100在支持10Mbps以太網(wǎng)和100Mbps快速以太網(wǎng)的同時還支持千兆以太網(wǎng)。本系統(tǒng)的Accelar 1100提供網(wǎng)絡的路由，并且為高級工作站提供高速率的網(wǎng)絡連接。OptivityOptivity E

35、nterprise 提供了一個開放的、功能強大的并且容易掌握的企業(yè)網(wǎng)管理解決方案。Optivity Enterprise系列網(wǎng)絡管理產(chǎn)品Optivity LAN，Optivity Internetwork和Optivity Analysis,提供由單一的控制平臺到整體網(wǎng)絡管理的可升級的網(wǎng)絡解決方案。作為Optivity Enterprise整體組成部分的BaySIS,企業(yè)網(wǎng)系統(tǒng)部定義為交換網(wǎng)絡設(shè)計模塊，提供交換網(wǎng)絡設(shè)計等功能，對集線器，交換機和路由器進行端到端的管理，并且提供了網(wǎng)絡診斷的功能。Optivity Enterprise的Analysis（網(wǎng)絡分析）和PLAN（網(wǎng)絡規(guī)劃）模塊對網(wǎng)絡進

36、行管理和流量分析，包括對LAN和WAN，可按不同設(shè)備或協(xié)議對網(wǎng)絡進行管理；并且，能對整個網(wǎng)絡進行狀況統(tǒng)計分析、設(shè)計和模擬以與對網(wǎng)絡的拓撲結(jié)構(gòu)進行分析整理。Optivity 將其強大的管理功能統(tǒng)一集成在一個網(wǎng)管平臺上，使網(wǎng)絡管理人員只需在中心機房通過一個屏幕就可以完成對整個網(wǎng)絡的管理，診斷分析和模擬，迅速發(fā)現(xiàn)和修復故障，預測故障點，預防問題的發(fā)生，使網(wǎng)絡運行在最佳狀態(tài)。作為網(wǎng)絡管理系統(tǒng)的Optivity Campus以與Optivity EZ是對Optivity Enterprise管理應用程序的補充，Optivity Enterprise支持主要的SNMP網(wǎng)絡管理平臺，其中包括HP Openv

37、iew, IBM Netview for AIX, 以與Sun Domain Manager。所有的Optivity Enterprise系列應用程序與網(wǎng)絡管理平臺緊密結(jié)合，提供了簡單、無缺陷的業(yè)界管理解決方案。UPS：選用APC公司的產(chǎn)品，用于保護關(guān)鍵設(shè)備（服務器、交換機）在斷電或電壓不穩(wěn)定時不受破壞。服務器：市委與市政府各需三臺服務器。選用高性能的DELL POWEREDGE 4300服務器，作為信息存儲的中心（用來存放辦公的管理服務信息，并配置磁帶機用于數(shù)據(jù)備份）。一臺DELL POWEREDGE 2300用作內(nèi)部Web、FTP、PROXY服務器，并配置大容量硬盤以存儲大量的郵件、圖像、

38、軟件等資源。一臺DELL POWEREDGE 2300用作E-MAIL服務器。DELL PowerEdgeTM4300服務器簡介 DELL PowerEdgeTM4300服務器能為重要部門的應用提供高性能、容量和正常運行時間。其出色的可擴展性將滿足部門業(yè)務增長的需要,其系統(tǒng)處理能力和高速體系結(jié)構(gòu)在在線交易處理、Internet應用與其它要求更多處理能力的任務等方面都具有卓越的性能。 E-mail、Internet應用、文件和打印共享對于部門工作很重要, 因此,在設(shè)計PowerEdge4300時加入了正常運行時間、易維護性和可管理性等功能。 了解了數(shù)據(jù)的重要性。PowerEdge4300采用標準

39、ECC(檢錯與 糾錯)內(nèi)存和多種RAID(廉價磁盤冗余 陣列)選項保護數(shù)據(jù)。此系統(tǒng)可根據(jù)網(wǎng)絡需要進行擴展,容納高達lGB 的RAM和多達2個Intel Pentium II 處理器。它甚至可升級為一個具有巨大處理器功能的基于四處理器Pentium II Xeon處理器系統(tǒng)。機箱的設(shè)計體現(xiàn)了快捷、無需工具的升級和維護,以與機架便捷安裝的特色。一個工業(yè)標準42U 機架可安裝6個PowerEdge4300系統(tǒng)。 PowerEdge4300服務器裝有工業(yè)標準系統(tǒng)管理軟件,便于監(jiān)控和管理。 與工作的需求共同擴展 僅提供具有長正常運行時間和高水平數(shù)據(jù)可用性的強大、經(jīng)濟有效且具業(yè)界標準的系統(tǒng)還不夠。服務器必

40、須與用戶的需求一起成長。隨著需要的增加,可方便地在PowerEdge4300中增加處理能力、RAM、外設(shè)和硬盤容量。6個I/0槽給附加的NICs、磁盤控制器或其它外部設(shè)備帶來大量的空間?？稍黾拥?個Intel Pentium II處理器和高達1GB的RAM達到最高性能以滿足工作發(fā)展的需要。2個集成式SCSI控制器和2個多用途媒體托架給 PowerEdge4300一系列儲存選擇。在可拆裝媒體托架內(nèi)的硬盤內(nèi)裝入操作系統(tǒng),和從RAID配置中 的6個熱插拔硬盤運行數(shù)據(jù)庫。通過提供多個硬盤和 硬驅(qū)控制器增加操作系統(tǒng)和應用軟件的運行可靠性。還提供巨大的內(nèi)部存儲容量一一高達126GB?？墒褂秒p重驅(qū)動器以清除

41、單點故障,保證操作系統(tǒng)或應用軟件的正常運行。還可利用多種Dell外部存儲設(shè)備以與DDS3，DLT和Auto Loader磁帶備份設(shè)備。而這只是PowerEdge4300系統(tǒng)升級的開始。它使用與4處理器PowerEdge6300系統(tǒng)一樣的機箱。由于系統(tǒng)板設(shè)計成容易滑出,這使得其可天衣無縫地升級為4個 Intel Pentium II Xeon處理器系統(tǒng)。這些處理器是特別為工作站和高端服務器設(shè)計的。它們提供更大容量的內(nèi)部高速緩存,使多處理器應用的總體性能更佳。 保護數(shù)據(jù),提高生產(chǎn)率 PowerEdge4300能夠持續(xù)不斷地運轉(zhuǎn)并保護用戶數(shù)據(jù)。它提供RAID配置的多種選項,實際上熱插拔或冗余熱插拔元

42、件是每個主要子系統(tǒng)的特色。假如主要元件發(fā)生故障,備用元件立即投入使用,采用冗余元件因而可以清除單點故障。熱插拔元件可迅速被在線更換而不會中斷您的系統(tǒng)運行。 PowerEdge4300服務器的特點是采用冗余熱插拔風扇、電源和熱插拔硬盤。采用RAID選項后,一個硬盤故障并不意味著數(shù)據(jù)丟失;RAID選項確保任何一 個硬盤的數(shù)據(jù)都可從其他硬盤中得到。PowerEdge4300支持。級、l級、5級、10級和 50級RAID,并提供2個RAID選項:PERC2和 PERC2/SC。單通道32位PERC-2SCUltra一 2/LVD系統(tǒng)提供一個快速、經(jīng)濟有效的RAID解決方案。 完善的系統(tǒng)管理,更長的正常

43、運行時間管理軟件通過顯示網(wǎng)絡和元件運行的報知信息來幫助減少停機時間。每臺Dell PowerEdge服務器均裝有適用于Windows NT的HP OpenView Network Node Manager Special Edition管理 軟件。這種業(yè)界標準軟件能在一個混合網(wǎng)絡環(huán)境中管理多達250個網(wǎng)絡設(shè)備。圖形接口使您的系 統(tǒng)管理員能夠監(jiān)視和評價網(wǎng)絡運行的報警信息, 幫助防止停機、預知增長或其它變化。集成式熱、電壓和風扇監(jiān)視系統(tǒng)都是PowerEdge 4300服務器的標準配置。這些系統(tǒng)傳送信息給 HP OpenView Network Node Manager Special Editio

44、口使服務器本身得到嚴密的監(jiān)視。在網(wǎng)絡管 理員不在的遠程地點,自動服務器恢復功能很有 用,如果操作系統(tǒng)中止運行,則該恢復功能可使 服務器自動啟動。 對于遠程與故障系統(tǒng)管理,PowerEdge4300系 統(tǒng)支持可選Dell Remote Assistant Card 2.0版 (DRAC2)。借助該軟件,即使是另一地點的服務 器發(fā)生故障,網(wǎng)管員也能對該服務器進行控制。 通過集成PCMCIA調(diào)制解調(diào)器和以太網(wǎng)適配器進 行遠程管理。假如服務器發(fā)生故障,內(nèi)置電池可 提供電源。 Dell系統(tǒng)管理和遠程能力是Dell OpenManage 策略的一部分,是工具、技術(shù)和聯(lián)盟的結(jié)合,目的是提高經(jīng)濟有效的系統(tǒng)管理

45、水平。Dell OpenManage服務器輔助C D-ROM是每個 PowerEdge系統(tǒng)的標準配置。除了裝有所有的系統(tǒng)實用程序、驅(qū)動程序和診斷程序之外,服務器還裝有一套完整的電子版系統(tǒng)文檔。 快速升級,無需工具 精心設(shè)計的PowerEdge4300服務器機箱無需任何工具即可更方便、更快速地對系統(tǒng)進行維護和升級,從而減少停機時間。在一個鎖定擋板后面即可接近所有驅(qū)動器。擰動一個指旋螺釘即可移去蓋子。無需工具就可以方便地 安裝或卸下I/O卡。輕按控制桿系統(tǒng)板即滑出,使升級或 維護易如反掌。PowerEdge4300系統(tǒng)機箱的總體設(shè)計與 Power Edge6300一樣,采用與所有新一代Dell P

46、owerEdge服務器一樣的、方便的鎖扣一一啟動式驅(qū)動 器托架。 使用簡單工具即可方便地把PowerEdge4300機箱從塔式 改變?yōu)闄C架式。服務器僅占7U的機架空間,允許在一個 工業(yè)標準42U機架外殼內(nèi)安裝6個系統(tǒng)。Dell具有的按單制造能力和PowerEdge Rack Program,使PowerEdge 4300可按照您的規(guī)格預先配置,且與您選擇的Dell RAID 和存儲系統(tǒng)一起方便地安裝在Dell的業(yè)界標準機架中。 高端性能,負載平衡PowerEdge4300采用Intel443BX芯片以提高I/0速度和減少數(shù)據(jù)存取時間。該芯片提供100MHz的總線速度, 而前一代Pentium

47、II處理器芯片組提供66MHz的總線速度。需要更多處理器能力的應用方面,比如數(shù)據(jù)庫應用, 采用更快的總線速度就顯得特別重要。 l個集成式高速Ultra-2/LVD SCSI控制器和1個附加集成式Ultra/Narrow SCSI一3控制器提供重要的負載平衡能力。更快速的Ultra-2/LVD SCSI控制器提供80MB/s 的最大數(shù)據(jù)傳輸速率是Ultra/Wide SCSI-3速度的 2倍。它很適合新一代高速硬盤。同時,其它外設(shè)如CD- ROM驅(qū)動器可安裝在Ultra/Narrow SCSI一3控制器上, 以避免它們對快速Ultra-2/LVD控制器的影響。PowerEdge4300還 具有可

48、擴展I/O子 系統(tǒng)。4個PCI插槽 和2個共享P C I/ ISA槽,提供類似于 2個硬盤控制器能力的負載分擔能力。5.5 系統(tǒng)平臺當前主流的應用平臺主要是SUN（Solaris），PC（NT）或PC（Linux）的結(jié)構(gòu)：SUN（Solaris）是一種比較安全和穩(wěn)健的網(wǎng)絡服務器結(jié)構(gòu)，但價格較為昂貴，對管理人員的技術(shù)要求比較高。PC（NT）：NT是在PC上發(fā)展起來的32位操作系統(tǒng)?；贑lient/Server體系結(jié)構(gòu)的多線程的操作系統(tǒng)，支持虛擬內(nèi)存。管理簡單方便，價格適中，具有C2級安全性。系統(tǒng)開銷合理，運行效率較高。PC（Linux）：價格最為便宜，但安全性沒有經(jīng)過認證，另外無生產(chǎn)廠家提供可

49、靠的技術(shù)支持，出現(xiàn)問題時沒有保障。 從近期的發(fā)展方向來看，Microsoft公司正在提供源源不斷的產(chǎn)品支持保證一個Intranet方案，在這個方案中，從操作系統(tǒng)層次就具備支持Internet/Intranet的基本特性，以Microsoft BackOffice產(chǎn)品族表現(xiàn)了極強的整合能力。Microsoft的解決方案更具有靈活性、系列性和可持續(xù)性，各種組件之間的聯(lián)系非常緊密，效率也自然提高。因此選擇Microsoft的從操作系統(tǒng)開始的Intranet解決方案具備可比的優(yōu)勢。在xx市委市政府辦公網(wǎng)的方案中，我們將主要采用Microsoft公司在PC（NT）上的解決方案，在一些涉與應用安全性和伸縮

50、性敏感的部件上，可以選擇更有效的產(chǎn)品作為Microsoft產(chǎn)品的替代。6. 技術(shù)重點與難點61 配置的幾點考慮6.1.1、子網(wǎng)劃分與地址規(guī)劃在一個平面網(wǎng)絡中存在大量廣播信息，將一個大的網(wǎng)絡劃分為小的子網(wǎng)，是為了縮小廣播域，防止廣播風暴，將廣播信息限制在必須廣播的范圍內(nèi)，而過濾掉不必要的廣播信息。子網(wǎng)劃分的工作一般由路由器來完成。子網(wǎng)之間的通信也需要路由尋址。6.1.2、虛擬局域網(wǎng)的劃分局域網(wǎng)設(shè)備工作在OSI七層模型的第二層，傳統(tǒng)的局域網(wǎng)設(shè)備連接的網(wǎng)絡是單個廣播域。局域網(wǎng)交換機雖然能根據(jù)MAC地址進行數(shù)據(jù)包的交換，但它會將任何廣播信息廣播到全部網(wǎng)絡。新的局域網(wǎng)交換機可以將網(wǎng)絡劃分為多個廣播域，即

51、VLAN。但它不能在兩個VLAN 之間傳送信息。VLAN之間的通信仍然需要路由尋址，也就是仍然需要路由器。有時也將路由尋址的功能做到交換機內(nèi)，即所謂三層交換。6.1.3、增強IP組播(IP Multicast)能力組播也稱多點播放，是一種有選擇的將信息播送到需要它的其它節(jié)點的點對多點的通信方式。與另一種點到多點的廣播方式相比，采用組播技術(shù)可以節(jié)約寶貴的網(wǎng)絡資源，大大降低廣播風暴。各級網(wǎng)絡設(shè)備必須具備對IP組播的支持，我們?yōu)楦骷壨扑]的交換機設(shè)備均具備這一能力。7安全性安全是在網(wǎng)絡建設(shè)中需要認真分析、綜合考慮的關(guān)鍵問題。下面我們將從5個方面來討論保障網(wǎng)絡安全的若干措施。7.1網(wǎng)絡設(shè)計在內(nèi)部網(wǎng)絡設(shè)計

52、中主要考慮的是網(wǎng)絡的可靠性和性能，而如何確保網(wǎng)絡安全也是一個不容忽視的問題。采用網(wǎng)段分離技術(shù)，把網(wǎng)絡上相互間沒有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段，由于各網(wǎng)段間不能直接互訪，從而減少各系統(tǒng)被正面攻擊的機會。以前，網(wǎng)段分離是物理概念，組網(wǎng)單位要為各網(wǎng)段單獨購置集線器等網(wǎng)絡設(shè)備?，F(xiàn)在有了虛擬網(wǎng)技術(shù)，網(wǎng)段分離成為邏輯概念，網(wǎng)絡管理員可以在網(wǎng)絡控制臺上對網(wǎng)段做任意劃分。另外，在安全方面有一個最基本的原則：系統(tǒng)的安全性與它被暴露的程度成反比。因此，建議將對外信息發(fā)布的服務器與內(nèi)部應用服務器隔離，由于將數(shù)據(jù)庫和內(nèi)部應用系統(tǒng)封閉在系統(tǒng)內(nèi)部，增加了系統(tǒng)的安全性。另外，由xx大學網(wǎng)絡與信息工程中心開發(fā)成功的網(wǎng)絡安全

53、與審計系統(tǒng)，經(jīng)過大量的應用與實踐效果良好，目前我們xx大學網(wǎng)絡與信息工程中心國家安全部與公安部正在全國范圍內(nèi)聯(lián)合推廣。7.2 應用軟件在網(wǎng)上運行的網(wǎng)絡軟件需要通過網(wǎng)絡收發(fā)數(shù)據(jù)，要確保安全就必須采用一些安全保障方式。7.2.1 用戶口令加密存儲和傳輸：目前，絕大多數(shù)應用仍采用口令來確保安全，口令需要通過網(wǎng)絡傳輸，并且作為數(shù)據(jù)存儲在計算機硬盤中。如果用戶口令仍以原碼的形式存儲和傳輸，一旦被讀取或竊聽，入侵者將能以合法的身份進行非法操作，絕大多數(shù)的安全防范措施將會失效。7.2.2 分設(shè)操作員分設(shè)操作員的方式在許多單機系統(tǒng)中早已使用。在網(wǎng)絡系統(tǒng)中，應增加管理員、一般使用員等多種操作員類型，以便對用戶的

54、網(wǎng)絡行為進行限制。7.2.3 日志記錄和分析完整的日志不僅要包括用戶的各項操作，而且還要包括網(wǎng)絡中數(shù)據(jù)接收的正確性、有效性與合法性的檢查結(jié)果，為日后網(wǎng)絡安全分析提供依據(jù)。對日志的分析還可用于預防入侵，提高網(wǎng)絡安全。例如，如果分析結(jié)果表明某用戶某日失敗注冊次數(shù)高達20次，就可能是入侵者正在嘗試該用戶的口令。7.3 網(wǎng)絡配置網(wǎng)段分離等安全措施要想起作用，還需要由網(wǎng)絡配置來具體實施和保證，如用于實現(xiàn)網(wǎng)段分離的虛網(wǎng)配置。為進一步保證系統(tǒng)安全，還要在網(wǎng)絡配置中對防火墻和路由等方面做特殊考慮。7.3.1路由為了避免入侵者侵入內(nèi)部資源，應仔細進行路由配置。路由技術(shù)雖然能阻止對內(nèi)部網(wǎng)段的訪問，但不能約束外界公

55、開網(wǎng)段的訪問。為了確保信息發(fā)布服務器的安全運轉(zhuǎn)，避免讓入侵者借助公開網(wǎng)段對內(nèi)部網(wǎng)構(gòu)成威脅，我們有必要使用防火墻技術(shù)對此進行限定。7.3.2防火墻BAY、CISCO等公司的路由器通常都具有過濾型防火墻功能。這一功能通俗地說就是由路由器過濾掉非正常IP包，把大量的非法訪問隔離在路由器之外。過濾的主要依據(jù)在源、目的IP地址和網(wǎng)絡訪問所使用的TCP或UDP端口號。幾乎所有的應用都有其固定的TCP或UDP端口號，通過對端口號的限制，可以限定網(wǎng)絡中運行的應用。7.4系統(tǒng)配置這里的系統(tǒng)配置是主機的安全配置和數(shù)據(jù)庫的安全配置。據(jù)調(diào)查表明，85的計算機犯罪是內(nèi)部作案，因此這兩方面的安全配置也相當重要。在主機的安

56、全配置方面，應主要考慮普通用戶的安全管理、系統(tǒng)管理員的安全管理與通信與網(wǎng)絡的安全管理。7.4.1網(wǎng)絡服務程序任何非法的入侵最終都需要通過被入侵主機上的服務程序來實現(xiàn)，如果關(guān)閉被入侵主機上的這些程序，入侵必然無效。因此，這也是保證主機安全的一個相當徹底的措施。當然，我們不能關(guān)閉所有的服務程序，可以只關(guān)閉其中沒有必要運行的部分。7.4.2數(shù)據(jù)庫安全配置在數(shù)據(jù)庫安全配置方面，應主要注意以下幾點：l 選擇口令加密傳輸?shù)臄?shù)據(jù)庫。l 避免直接使用超級用戶，超級用戶的行為不受數(shù)據(jù)庫管理系統(tǒng)的任何約束，一旦它的口令泄露，數(shù)據(jù)庫就毫無安全可言。l 一般情況下，不要直接對外界暴露數(shù)據(jù)庫，數(shù)據(jù)收發(fā)最好以存儲過程的方式提供，并以最低的權(quán)限運行。7.5通信軟件應用程序要發(fā)送數(shù)據(jù)時，先發(fā)往本地通信服務器，再由它發(fā)往目的通信服務器，最后由目的應用主動向目的通信服務器查詢、接收。通信服務器上的通信軟件除了能在業(yè)務中不重、不錯、不漏地轉(zhuǎn)發(fā)業(yè)務數(shù)據(jù)外，還應在安全方面具有以下特點：l 在本地應用與本地通信服務器間提供口令保護。應用向本地通信服務器發(fā)送數(shù)據(jù)或查詢、接收數(shù)據(jù)時要提供口令，由通信服務器判別IP地址與其對應口令的有效性。l 在通信