《OA硬件方案》word版.doc

第五章 服务器系统设计办公自动化所解决的问题归根到底都是塑造一个利于企业运转的工作流程，同时它能实现协同办公以及知识管理，协同办公需要企业将所有相关的人、财、物等内部和外部资源通过一个办公平台实现协同互动，此即整合工作流的流程；知识管理则是对企业积累的各种知识进行主动的收集、整理、分析、存储和增值应用，是一个整合知识流的流程。由于现代企业在更多的时间里，企业的竞争力并不在战略，而在战术，也就是内部管理。在办公自动化时代已全面到来的今天，应用OA系统对企业是一个快速整理办公流程，加强内部管理的有效手段。今天的PC服务器面对各种各样的用户需求，除了文件、电子邮件及打印服务等传统任务外，还承担起了数据库查询及多媒体应用等新的任务。无论是Internet，还是企业的Intranet，PC服务器的地位都变得越来越重要。总体上讲，本次陕鼓办公自动化系统（OA）一期工程服务器技术选型应在分析性能、高扩展性、高可用性、可管理性、高可靠性基础上，综合考虑市场价格、服务支持等因素，主要包括如下：l 符合技术主流发展要求，即产品要适应网络应用和发展的需求； l 符合可扩展性、可用性、易管理性和可靠性等技术要求；l 较好的总体拥有性能价格比；l 较好的服务和支持水平。 其中拥有总成本（TCO）是很重要的，第一次投入并不是最后的投入，应包括人员成本费用、维护费用、管理费用等，因此不能只看一次的投入，应注重产品的拥有总成本。 l 可靠性服务器的可靠性是由服务器的平均无故障时间（MTBF，Mean Time Between Failure）来度量，故障时间越少，服务器的可靠性越高。 l 可管理性服务器的可管理性是PC服务器的标准性能。使用合适的系统管理工具有助于降低支持和管理成本，有效监控系统的运行状态，及时发现并解决问题，将问题消灭于萌芽状态。安装软件为管理员安装服务器或扩容（增加硬盘、内存等）服务器所提供的方便就像安装PC一样简单。 l 可用性关键的企业应用都追求高可用性服务器，希望系统247不停机、无故障运行。服务器的故障处理技术越成熟，向用户提供的可用性就越高。提高服务器可用性有两个方式：减少硬件的平均故障间隔时间和利用专用功能机制（容错、冗余等）。可在出现故障时自动执行系统或部件切换，以避免或减少意外停机。 l 易用性 l 可扩展性 l 安全性冗余是衡量服务器安全性的重要标准。IBM公司是领先的计算和服务的解决方案全球供应商，其在资金、技术、信息、服务和解决方案方面均在同行业中处于领先地位，它拥有最全面的IT产品线，产品涵盖了计算机及服务器、小型机设备的产品服务和技术支持，IBM服务器、个人电脑等产品均处于全球领先地位。因此，在本次项目中，我们建议选用IBM公司的机柜式服务器构建其网络服务器系统。 5.1 应用需求本次陕鼓办公自动化系统（OA）一期工程服务器操作系统平台设计为Windows 2003 Server构架，基于此操作系统平台之上实现应用：l OA服务： 实现公司OA系统软件的应用，管理企业日常办公业务；l 网络管理：将本次应用纳入陕鼓总网应用系统，采用Cisco网络管理软件进行统一管理。l 数据库服务 实现企业数据的备份、查询及恢复等。5.2 服务器选型通常企业应用（系统）会有多种类型，根据不同应用的需要对应选择不同的服务器，其优点是可以根据应用程序进行系统优化，无论在性能还是资源方面都可以得到最大化的使用，因为不同的应用对服务器的处理器、内存、存储系统、以及网络系统的需求是有所不同的。稳定、高效、实用和扩展性是在进行服务器及存储系统设计时重点考虑的方面，因此，在本系统平台层的规划和设计中，考虑系统应用的要求，选用当前业界成熟的、先进的服务器产品和其他软件产品，将是企业应用平台可靠运行的有力保障；基于办公自动化应用系统对硬件的需求，本次数据库和OA服务器选用机柜优化式服务器：1台数据库服务器和1台OA服务器采用支持 64位运算能力的可高度管理和扩展的3U，最高可支持4路机柜优化型 SMP的X365服务器； X365服务器的特性： 高性能、低密度 IBM eServer xSeries 365 采用灵活的 4路处理器，更高的机柜密度和强大管理功能设计的机架优化服务器，提供领先的性能/价格比和投资保护特性。第二代 IBM 企业级 X-架构（EXA）设计和运行速度高达 3.0GHz 的 Intel Xeon 处理器 MP 提供强大的功能以运行关键任务应用，例如企业资源规划（ERP）、数据库和协作型应用等。每套系统所提供的高达 32GB 内存满足资源密集型应用程序的运行需要。紧凑式的 3U 结构设计占用更小的数据中心空间，因此有助于降低成本。x365 服务器专门设计提供高达 876GB 内置数据存储功能，有助于降低外置数据存储的要求。 出色的可靠性 采用多种组件的冗余设计，x365 服务器有助于避免硬件失效错误并能够创建群集系统以防止出现灾难性结果。新的 N+N 电源提供冗余特性并简化机柜环境安装。除了通用热插拔和冗余组件外，x365 服务器内存子系统还提供第三级的冗余保护的镜像功能，以强化 Memory ProteXion 和第三代 Chipkill 技术。 可扩展，按照系统扩展付费 EXA 技术和可选的 IBM RXE-100 远程扩展柜选件支持低成本的 PCI 和 PCI-X 扩展功能以实现独特的按照系统扩展付费的 I/O 可扩展性。x365 服务器超乎寻常的 I/O 功能极具成本效益，能够替换过时的终端服务设备或昂贵的路由器设备等。 完备的管理功能 系统集成远程管理适配器（RSA）II ，通过连续监控子系统提供真正的系统监控功能有助于保证服务器的可用性。此外，IBM Director 还便于降低培训成本的同时提高工作效率。5.3 服务器的部署5.3.1 数据库服务器配置和部署方式数据库服务器在整个公司网络中处于首要地位，因此数据库服务器的应用直接关系到整个网络的应用效率。数据库服务器主要承载后端的数据库应用，实现应用访问时的数据库调用。本次数据库服务器主要为OA系统提供后台数据支持，数据库服务器建议选用1台X365服务器，考虑数据库服务器的高性能、高可靠、高稳定，配置双CPU、高速缓存、双1000M网卡等来提高服务器的性能。并配备ORACLE数据库软件。由于数据库服务主要针对企业内部用户提供服务，因此，建议放置在企业内部局域网。5.3.2 OA服务器配置考虑OA系统是公司主要的应用系统，因此OA服务器的应用直接影响到公司的办公效率。OA系统对服务器的性能有很高的要求，能快速处理并发进程，并保证系统可靠、稳定的运行。OA服务器建议使用1台X365服务器，配置双CPU、高速缓存、73.4G*2硬盘等来提高服务器的性能。部署方式由于OA系统主要针对企业内部用户提供服务，因此，建议放置在企业内部局域网。第六章 存储系统设计6.1 存储系统需求随着日常的业务流程越来越依靠数据，企业对网络系统的存储建设也非常重视；尤其是随着本次陕鼓办公自动化系统（OA）建设项目的实施，但是，如今的企业必须在存储需求和预算之间作权衡。因此，所采用的解决方案必须经济高效、可扩展，并且能够满足各种存储需求。具体体现如下：l 可用性 需要满足陕鼓企业网存储数据中心系统724小时不间断运行要求以及大量数据不可丢失性。 需要满足存储系统的高可靠性，如磁盘阵列冗余控制器、冗余风扇、电源等，能实现不同raid级别、实现在线备份磁盘等。 能实现数据的安全、快捷、准确的备份和恢复。 能实现系统远程、异地容灾及恢复。l 高性能硬件平台需要满足各种应用对硬件平台在大数据量、高反应速度条件下具备良好性能的要求。l 高可扩充性存储容量及处理能力能满足新业务和用户不断增长的需求。l 可管理性易管易用、能实现存储管理的自动化及智能化。能实现对设备状态监控、安全管理、性能分析、流量分析、故障诊断、数据备份与恢复、数据远程复制与容灾、存储容量分配和管理、存储网络链路负载均衡与故障切换等功能。l 开放性 需要符合国际标准、支持各种相关主流厂商的产品。l 互操作性满足高效复杂的网络环境中使用。6.2 存储系统选型及配置在当今快速发展的业务环境中，有效使用信息正在成为一项越来越具有挑战性的任务。变化的脚步如此之快，信息的总量如此之大，以至于信息技术（IT）有时会成为高效信息交换的瓶颈而非推进器。IBM一直在帮助每一行业中的大小公司解决从战略到实现的各种关键存储难题。IBM解决方案系列的广度、性能和可靠性是其他任何一个竞争对手都无法比拟的。IBM解决方案系列可以提供行业最完整的磁盘和磁带硬件、存储组网软件以及将其组合在一起的服务。所以在对陕鼓企业网的存储系统采用IBM的产品和解决方案。6.2.1 方案A针对服务器选型中的方案A而制定的存储解决方案。在服务器选型A中，所选的数据库服务器为2台IBM X365服务器，并且选用ORACLE的数据库软件，所以拟采用 IBM eServer xSeries在Windows 2000/2003下的双机解决方案。xSeries 在Windows 2000/w2003下的双机解决方案中硬件采用两台相同的xSeries服务器和共享磁盘柜DS400，双机软件采用微软的MSCS (Microsoft Cluster Server)，它捆绑在Windows 2000 Advanced Server和Windows 2003 Server企业版中。IBM双机解决方案给企业带来的好处是： 高可用性：x365服务器采用高可靠性部件，同时提供了很多冗余组件，保证了单台服务器的高可用性；MSCS能够自动检测应用或服务器故障，并可将其在备用服务器上快速重新启动；而用户只会体验到瞬间的服务暂停。 高性能：x365支持四路高速Intel Xeon MP处理器，采用第二代EXA设计，保证整个系统的高性能。 高可管理性：MSCS使管理员能够快速检查所有集群资源的状态，并轻松地将工作负载分配给集群之中的不同服务器。这对于人工负载平衡十分有用，并且无需将重要数据和应用脱机即可对服务器进行“滚动升级”。IBM Director 帮助管理员更轻松的管理集群服务器，提高工作效率。 DS400 磁盘柜性能简介 低成本的、具有 3 个单元的机架型入门级工作组存储子系统 为了主机连接，每个控制器都有两个 2GB FC 端口 具有 RAID 级别 0、1、10、5 以及 50 最多可支持 14 个 Ultra320 SCSI 驱动器 支持 36GB，73GB 和 146GB 10K 以及 36GB，73GB 15K Ultra320 SCSI 驱动器 通过使用 146GB Ultra320 SCSI 磁盘和两个 EXP400 可以将物理存储容量扩展到 5.8TB 每个控制器具有 256 MB 备用电池高速缓存，可升级到 1 GB 热交换备用电源和冷却模块，从而实现高可用性 同时为 x 系列和刀片中心服务器提供对异构操作系统环境的支持 易于使用的 IBM ServeRAID Manager，它提供了通用管理软件 部署方式如下图所示：6.2.1 方案B针对服务器选型中的方案B而制定的存储解决方案。在服务器选型B中，所选的数据库服务器为2台小型机（P5-520），同时选用ORACLE的数据库软件，为满足陕鼓的要求，山利公司提出了一个使用IBM TotalStorage FAStT 200、600、700或900服务器的存储区域网SAN解决方案。SAN特别适合于在服务器和存储设备之间进行大量数据的传输，支持以下应用： 大型数据库应用：可预测的响应时间、可用性和可扩展性对这样的应用来说非常重要。（数据共享） 中央存储备份：可帮助保护关键企业数据（存储整合和数据保护） 可用性和应用故障切换环境：能够以更少的成本支持高水平的应用可用性 容灾，可在相距遥远（最远可达150公里99英里）的主机服务器和连接设备之间提供高性能的光纤通道连接本方案的实现将使企业能够： 对当前分布在组织内各处的信息资源进行整合。使多个存储系统看起来如同一个能够提供大量存储的存储资源池。将禁锢在公司异构系统中的信息的价值释放出来。 保护您的业务。数据的不间断访问对企业业务的正常运营来说十分重要，而企业可用于执行恢复的时间段也将越来越短。没人希望（由于系统故障而在）午夜时分听到电话响起特别是在企业的业务要求247365级全球运营的情况下。拥有一个数据保护战略可以使您能够为自己的公司提供预先的防护，防止出现代价高昂的数据丢失。 使公司最关键的信息处于连续可用状态。SAN将能够提高您的数据保护能力因为您的备份和恢复操作将不会受到服务器活动或LAN拥塞的阻碍，所以这些操作通常可以更快和更高效地完成。此外，文件存储和检索的执行也将独立于LAN和服务器。 优化公司的资源。IBM的Tivoli存储管理软件是专为执行此项任务而设计的，它可以帮助存储管理员方便地跟踪存储性能以及定期执行相关的操作，保护和管理企业的关键任务业务数据。通过实现中央存储管理以及自动的备份、归档和检索功能，这一IBM TotalStorage解决方案可以为企业提供一幅有关您存储的完整图画。针对此存储解决方案，拟采用IBM FAStT600 TotalStorage存储服务器、IBM TotalStorage光纤交换机H08、3582 Ultrium磁带库。IBM TotalStorage FAStT 600性能简介： 第二代光纤通道技术，提供更高的性能 提供最高800MB/秒的高性能 为工作组和部门服务器提供一个价格合理的RAID存储解决方案 全面集成光纤通道技术从主机连接到磁盘驱动器 高可用性机型可通过双活动RAID控制器支持实现透明的故障切换 提供广泛的数据保护选项，包括RAID级别0、1、3、5和10 使用冗余、热交换组件，确保高可用性 提供四种机型，包括单控制器机型和使用双控制器的高可用性机型 在一个3U紧凑空间内，存储容量可从36GB扩展到2TB；最大系统容量可以达到6TB。 支持多种运行AIX 4.3.3/5.1/5.2、Windows NT、Windows 2000、Novell NetWare 5.1、HP-UX 11.0和11i、Sun Solaris 2.6、7、8和Red Hat Linux 7.1、7.2和7.3的服务器。IBM TotalStorage FAStT 600优势： 先进的第二代光纤技术 高性能的带宽 SAN就绪设计 紧凑、灵活的配置 可提供更高可用性的冗余 动态存储管理IBM TotalStorage SAN交换机H08型的功能特点： 可提供高级分区功能的入门级网络交换机，并能够连接到一台IBM TotalStorage SAN交换机，支持实现Microsoft Windows NT、Windows 2000和UNIX服务器集群。 可升级到全面企业功能，用于大型核心到边缘网络。 提供8-端口光纤通道交换机，拥有丰富的小型可拔插（SFP）收发器功能。 更高的可用性功能，包括热代码激活、单一现场可替换单元、FRU设计。 提供高达2 Gb/秒（Gbps）的非阻塞性能。 使用WEBTOOLS、Fabric Manager和开放网络接口，可帮助简化小型SAN网络和大型核心到边缘SAN网络的管理。 提供高级网络服务功能，如端到端性能监视和交换机间链路（ISL）主干，汇聚速度可达8 Gbps。 能够提供丰富的基于策略的安全功能的高级安全特性。 使用下一代交换机技术的IBM TotalStorage SAN交换机H08型可以提供更高的可用性功能、全面的非阻塞性能和多种高级智能特性。IBM H08 SAN交换机非常适合用于满足中小型公司（SMB）客户对基础设施简化和提高业务连续性的需求。 H08 SAN交换机能够实现与IBM TotalStorage SAN交换机家族中其它成员的互操作。通过配置多种可扩展的解决方案，可以帮助满足中小型公司对价格合理、操作简单和集成的异构开放服务器SAN的需求。 3582 Ultrium磁带库的功能特点： 第二代LTO技术 使用了2Gb光纤通道技术 磁带库逻辑分区支持 支持不同型号的驱动器（光纤通道、SCSI接口等）的混合 支持不同型号的磁带介质（第一代LTO和第二LTO）的混合 35MB/秒的传输性能（非压缩，压缩下可达70MB/秒） 每盘磁带200GB（非压缩）的容量，可以存储大容量数据3582 Ultrium磁带库的优势： 高速LTO有领先的批处理性能与起/停性能。在LTO磁带驱动中使用了IBM公司的巨磁阻磁头技术，高速的数据传输让LTO技术傲视群伦。IBM第二代LTO高性能磁带子系统，数据持续传输速率高达到35MB/秒，在2:1压缩的情况下达到70MB/秒。由此，备份及恢复时间大为缩短，极大地提高了生产效率。 可靠LTO磁带系统采取了独特的伺服轨道，巨磁阻磁头及金属带设计，数据可靠性可达三十年。 大容量LTO磁带采用金属颗粒磁带介质封装，第二代LTO磁带容量为200GB，2：1压缩后达到400GB。 部署方式如下图所示：第七章 网络管理系统设计7.1 网络管理系统需求网络管理的目标是使网络性能优化、使用安全和运行可靠，并使网络管理简单、方便。配置的网络管理软件应实现下述管理功能 ：l 配置管理能够将智能设备的配置信息通过网络传递到被管理的网络设备，还可以对被管理的设备的配置进行查询、修改，建立用于网络管理的数据库。l 性能管理通过网络收集性能数据并进行记录、统计和汇总，实现对网络的监视，查找网络瓶颈，维护系统性能记录，为网络的高效运行提供数据。l 故障管理管理并监督网络的非正常操作，提供维护差错日志，进行故障诊断测试、定位并隔离故障，以及检修排除故障。l 安全管理对网络系统各种资源的访问实施各种保护措施，提供安全服务，维护安全日志，分发有关安全方面的信息。l 计费管理监视并记录用户对网络资源的使用情况，计算应收费用，进行成本核算，并将有关费用进行综合处理。在计算机网络的质量体系中，网络管理是其中一个关键环节，网络管理的质量会直接影响网络的运行质量。目前有影响的网络管理协议是SNMP（Simple Network Management Protocol, 简单网络管理协议）、CMIS/CMIP（the Common Management Information Service/Protocol, 公共管理信息服务和协议）和RMON（远程监控）。随着网络技术的普及，各企业都竞相上网，网络规模日益扩大、网络应用水平的不断提高、网络产品也越来越丰富。一方面使得网络的维护成为网络管理的重要问题之一，例如排除网络故障更加困难、维护成本上升等；另一方面，如何提高网络性能也成为网络系统应用的主要问题。虽然可以通过增强或改善网络的静态措施来提高网络的性能，比如增强网络服务器的处理能力、采用网络交换等新技术来拓宽网络的带宽等，但是网络运行过程中负载平衡等动态措施也是提高网络性能的重要方面。通过静态或动态措施提高的网络性能分别称为网络的静态性能和动态性能。而网络的动态性能的提高是通过网络管理系统即“网管系统”来加以解决的。对中、大型企业来说，网络规模较大，网络结构复杂，一旦网络出现故障，查找和维护起来都很困难。对小型企业和SOHO用户来说，他们需要聘请专业网络管理员费用太高。因此，网络管理软件必然地，就成为网络组网元素中必不可少的一部分。网络管理软件历经三代发展，其中第一代网管就是最常用的命令行方式，并结合一些简单的网络监测工具，这种方式的优点是具有很大的灵活性，缺点是风险系数增大，容易引发误操作，而且不具备图形化和直观性，只能统计和分析网络的数据，并不能监控设备的状态，因此需要配合一系列CLI命令直接在设备上查看系统和端口信息。第二代网管有着良好的图形化界面，用户无须过多了解设备的配置方法，就能图形化地对多台设备同时进行配置和监控，大大提高了工作效率，但仍然存在由于人为因素造成的设备功能使用不全面或不正确的问题，比如CiscoView是一个基于GUI的设备管理软件应用程序，可以图形的方式显示Cisco的物理视图。另外，它还提供配置和监视功能以及基本的故障排除功能。借助CiscoView可以更容易地理解设备提供的大量管理数据，网络管理员无需对远程站点上的每台设备进行物理检测就能够全面查看Cisco产品。第三代网管软件更智能，是真正将网络和管理进行有机结合的软件系统，具有“自动配置”和“自动调整”功能，对网管人员来说，只要把用户情况、设备情况以及用户与网络资源之间的分配关系输入网管系统，系统就能自动地建立图形化的人员与网络的配置关系，并自动鉴别用户身份，分配用户所需的资源(如电子邮件、Web、文档服务等)，同时，整个企业的网络安全得以保证；因此第三代网管系统是企业级的管理平台，由多个软件包构成，涉及到OSI全部七层协议集。目前第三代系统可选的范围比较广，例如CA Unicenter TNG、CiscoWorks2000、HP OpenView、IBM Tivoli、APRISMA Spectrum等。这些网管软件通常包括一系列的子系统，有些子系统具有第二代系统的功能，有些系统集成了其他系统的一些子系统以增强功能。要实现对整个系统完备、规范、行之有效、快捷的管理、维护，如果没有一套性能较高、便于使用的网管软件，其难度，可想而知，因此，无论是实施系统网络拓扑的实时再现、设备的运行状况的监视、性能的分析，还是实施对设备参数的细致调整、优化等，都离不开一套先进、科学、有效的网管软件。而且，这套网管系统一定要能满足网络对网络管理的以下具体需求：l 自动发现联网的设备；l 可以对网络硬件、打印机、服务器、工作站进行管理；l 可定制监视例如FTP、HTTP等服务；l 可以访问到诸如端口状态、带宽利用率、流量状态、协议信息、及其它网络执行状态等数据；l 灵活的制图功能，可以快速分析记录数据；l MIB编译及浏览以管理第三方SNMP设备；l 简化对交换机、HUB、访问服务器的配置与管理；l 线程管理，便于产生告警及事件通知；l 灵活的事件通知方式，包括语音提示、发MAIL等。7.2 网络管理系统选型企业网络是各种路由设备和交换网络设备甚至包括IP语音产品及各种协议和多种应用程序的集合。这种复杂的网络需要新的网络管理方法。今天的网络管理系统必须控制各种各样设备，从堆叠的交换机到模块化的交换机。它必须能够监测共享技术及交换技术，因为大多数不断更新的网络是两者的结合。并且重要的是，它必须能管理这个复杂的网络，使网络易于管理和维护。由于陕鼓网络交换设备选择的是CISCO网络产品，网络设备的管理软件相应的也采用Cisco 的Ciscoworks软件以实现对其网络产品的细致、完备管理。l CISCO网管软件局域网管理解决方案（LMS）是CiscoWorks 2000网络管理系列产品之一。它为局域网提供了配置、管理、监控、故障检测与维修工具，同时还包括了用于管理局域网交换和路由环境的应用软件。 利用Internet的开放式标准及Cisco设备与操作系统的内在功能，局域网管理解决方案使网络管理员能够有效地管理整个局域网。Web浏览器为关键应用提供了便于使用的接口，如拓扑映象、配置服务以及有关交换网的主要系统、设备、故障和性能等信息情况。由于上述应用是具有Web和浏览器访问功能的，因此管理员可从网络的任何地方自由获取这些网络工具。 局域网管理解决方案提供的灵活的安装能力使其能够安装在常用的网络管理系统（NMS）产品之外，或者与之并列安装。鉴于其Web结构，局域网管理解决方案工具可与任何在网络中运行的不同服务器上的常用NMS相集成。局域网管理解决方案与其他CiscoWorks 2000解决方案一样，不需要预先配置NMS，并可以随时直接添加到网络中。 这种多供应商并存与链接能力代表了Cisco一贯追求生态体系的方针：即采用基于浏览器的访问性和集成技术，提供一种端到端的Intranet管理形式。 局域网管理解决方案为园区网管理工具奠定了坚实的基础，并对CiscoWorks 2000的其他产品给予补充。例如，路由WAN管理解决方案体现了广域网的需要。服务管理解决方案则为定义和管理服务级协议提供了一种集中管理方法。而虚拟专网/安全性管理解决方案将web应用集成起来，有助于安装和监控虚拟专网及其安全设备。总之，CiscoWorks 2000系列产品为管理Cisco的重要业务网络提供了具有领先技术水平的解决方案。局域网管理解决方案集成了多种用于配置、监控和维护园区网的应用与工具。其设计体现了当今Cisco的网络技术，同时也为管理未来的网络需要提供了一种灵活的框架。 局域网管理解决方案包括面向操作的多种工具，如故障管理、可扩展的拓扑检查、高级配置、第2层/第3层路径分析、语音支持路径追踪、流量监控、终端工作站跟踪工作流应用服务器管理以及设备故障维修等等。 局域网管理解决方案创建在CiscoWorks 2000常用服务器基础上。这种设计将数据收集、监控和分析工具链接起来，方便了在应用间运行工作流-所有工作都能够通过一种台式计算机应用来完成。譬如，某个抱怨反应时间太长的用户能够利用局域网管理解决方案中的第2层路径工具来自动搜集存储在某个数据库中的用户路径信息，并在拓扑映象中找到所使用的设备，从而能够快速地进行诊断。此外，它还能够迅速检查交换机和路由器的配置情况，或者迅速检查远程监视器的数据传输，从而发现异常情况或可能出现的变化。上述操作能够从一个或多个应用中获取信息。 Web级集成技术提供了创建多供应商管理生态体系的能力。局域网管理解决方案利用Internet标准来将最先进的工具结合起来，并通过数据和任务集成标准来发挥这些工具的功能。通过采用业界数据共享标准-公用信息模型（CIM）和XML，局域网管理解决方案提供了析取数据和与常用网络管理平台产品结合使用的工具。与局域网管理解决方案结合，Cisco提供了一系列完整的专用硬件探测器。专用探测器包括增强局域网功能、交换机和异步传输模式（ATM）的解决方案、用于端到端监控7层网络基础设施的千兆位快速以太网远程监控硬件探测器。局域网管理解决方案包括以下应用： 园区管理器-园区管理器用于新一代CWSI园区网，是为管理Cisco交换网而设计的基于Web的新型应用工具套件。主要工具包括第2层设备和连接探测、工作流应用服务器探测和管理、详细的拓扑检查、虚拟局域网/LANE和异步传输模式配置、终端站追踪、第2层/第3层路径分析工具、IP电话用户与路径信息等。 设备故障管理器-为Cisco设备提供实时故障分析能力。它利用多种数据收集与分析手段生成了智能Cisco陷阱。这些陷阱能够在当地显示，或者用e-mail的方式传递给其他常用的事件管理系统。 内容流量监视器-Cisco内容流量结构优化了基于链接等待时间、地域相邻情况和服务器负载可用性的全球服务器负载分配能力。监视与管理内容传输的设备如LocalDirector或 Catalyst 4840G等是了解并维护网络中关键任务应用与服务的内容流量的关键。内容流量监视器为Cisco服务器负载平衡设备提供了实时性能监视应用工具。 NGenius实时监视器-是一种新型的多用户传输管理工具包，能够为监控网络、故障排除和维护网络可用性提供全网络、实时远程监视信息。其图形应用报告和分析设备、链接和端口级远程监视能够从Catalyst交换机、内部网络分析模块和外部交换机探测器收集传输数据。 资源管理器要素-资源管理器要素（RME）具有网络库存和设备更换管理能力、网络配置与软件图象管理能力、网络可用性和系统记录分析能力。它还提供了强大的与Cisco在线连接相集成的功能。 CiscoView-这种最广泛使用的Cisco图形设备管理应用工具现已具备Web能力。通过浏览器，局域网管理器能够实时获取设备状态、运行与配置功能方面的信息。 CiscoWorks 2000管理服务器-CiscoWorks 2000系列解决方案提供了基本的管理构件、服务和安全性，它也是与其他Cisco产品及第三方应用相集成的基础。主要功能/应用产品管理优势能够智能化自动探测Cisco设备创建的网络拓扑图局域网管理器局域网管理器拓扑服务功能可发现Cisco设备，并计算第2层的关系以检查Cisco网络的ATM域、VTP域、LAN边缘图以及第2层视图拓扑状态指示局域网管理器拓扑映象指示了发现的Cisco设备及其SNMP状态，以及CiscoWorks2000其他应用的发射点配置管理和监视虚拟局域网与ATM服务/网络局域网管理器提供了创建、删除和编辑虚拟局域网的工具；提供了显示VS和配置SPVC/SPVP的ATM工具发现连接到交换机端口的终端站与IP电话，根据用户ID识别用户的位置局域网管理器局域网管理器用户追踪功能可将MAC地址与IP地址与交换机端口相关，并与微软的PDC和Novell的NDS树集成，以便为用户ID提供更高效的用户位置与追踪能力第2层和第3层网络的两个端点（设备、服务器、电话）的追踪连接性局域网管理器局域网管理器路径分析工具可利用设备的主机名或IP地址为第2层和第3层设备提供路径分析，并在台式映象显示器或追踪显示器上显示出分析的结果智能化故障条件的分析能力可在问题中断网络之前发现问题设备故障管理器设备故障管理器的自动故障探测功能可识别网络中的常见故障，而无需使用户定义自己的规则集、SNMP陷阱过滤器或设备的轮询间隔在设备级与虚拟局域网级的故障条件说明设备故障管理器具有预先定义100余个Cisco路由器和交换机的特点，支持新设备的功能可方便地通过CCO增添新设备。设备故障管理器简化了第2层和第3层环境的管理LoadDirector、Catalyst 4840G和Catalyst 6xxx具有监视服务器负载平衡的功能内容流量监视器实时监视来自虚拟网络和实际网络负载平衡构件的包流量数据和负载服务器的负载平衡功能收集来自局域网设备和探测器的RMON/RMON2的数据资料NGerius 实时监视器监视局域网传输协议、应用和接口，以便采用适当的过滤器、降低成本与提高设备性能排除局域网网络与应用包级的故障NGenius实时监视器通过提供整个网络的可视性包括应用层、数据链路层及现有的虚拟拓扑结构，来帮助解决网络与应用问题详细的软、硬件库存报告资源管理器要素准确提供Cisco库存基线信息，包括内存、插槽、软件版本以及网络决策所需的引导ROM用于设备软件和配置更改的自动升级引擎资源管理器要素 允许软件与配置更新信息按计划传送到选定的设备，从而节省了时间和避免了网络更新过程中出现的错误整合的故障排除工具设备中心资源管理器要素广泛收集的交换机和路由器分析工具，可从单点访问，设备中心能够链接到第三方的应用上集中管理变化审计记录资源管理器要素可彻底改变记录用户与应用在网上活动的监视日志图形设备管理CiscoView显示的浏览器代表Cisco路由器和交换机设备，彩色编码代表运行的状态及可获得的配置与监视工具应用访问安全性CiscoWorks2000服务器CiscoWorks2000台式设备控制用户获得的应用，确保合适级别的用户才能获得改变网络参数的工具，而不符合要求的用户只能使用只读工具第三方集成工具（集成的实用性）CiscoWorks2000服务器简化了Web与第三方及其它Cisco管理工具的集成网管系统设备配置如下：软件名称描述数量Ciscoworks for Windows 6.1网络设备管理系统1套第八章 网络安全体系设计在安全体系总体设计基础上，按照分布实施的思想，陕鼓企业网项目网络安全前期主要围绕企业的内网安全、外网安全、安全管理而展开；后期可以针对安全评测、安全加固以及安全服务展开。8.1外网安全8.1.1互联网接入安全本次项目主要采用防火墙产品实现到互联网以及安全子网之外的接入安全。防火墙需求随着网络技术应用的推广普及，应用层次的不断深入，网络应用领域也正从传统的、小型业务系统向大型、关键业务系统扩展。网络所具有的开放性、国际性和自由性在增加应用自由度的同时，也为网络安全增加了更多的风险，网络安全正日益成为影响网络效能的重要因素。建成后的西安陕鼓动力股份有限公司计算机网络并不是一个信息孤岛，一方面它与INTERNET直接接入，而且，企业内部的技术、财务等部门也要实现相对要求更为严格的安全控制，因此，对于内部局域网需要同外部INTRANET/INTERNET实现物理连接、内部局域网不同部门之间需要单向访问等情况，作为网络安全最基本、最经济、最有效的手段之一的防火墙，自然，也应该体现于安全体系之中。西安陕鼓动力股份有限公司防火墙方面安全需求如下：l 实现西安陕鼓动力股份有限公司企业网与互联网之间的隔离；l 西安陕鼓动力股份有限公司计算机网络的地址转换工作，使外网内其他网段用户不能看到内部网络特定网段的结构，使黑客攻击失去目的；l 保留西安陕鼓动力股份有限公司计算机网络内有用的服务，将其他不需要的服务关闭，将系统受攻击的可能性降低到最小限度，防止外网的入侵，使黑客无机可乘；l 制定西安西安陕鼓动力股份有限公司计算机网络访问策略，只有被授权的外网内相应网段主机可以访问内部网络的允许的有限IP地址，通过源地址过滤，拒绝外网内其他网段非法IP地址，有效的避免外网内其他网段上与业务无关的主机的越权访问，保证外网内其他网段只能访问内部网络中的必要资源；l 外部网内其他网段对西安陕鼓动力股份有限公司计算机内部网络特定网段的访问活动都要经过全面监视，并进行详细的记录，通过分析可以得出可疑的攻击行为；l 做到单向访问控制的功能，仅允许内部网用户及合法外部用户可以通过防火墙来访问公开服务器，而公开服务器不可以主动发起对内部网络的访问；l 抗拒绝服务攻击；l 西安陕鼓动力股份有限公司企业网内不同部门之间的安全访问控制等。 防火墙选型防火墙作为网络安全体系的基础设备，其作用是切断受控网络的通信主干线，对通过受控干线的任何通信进行安全处理。防病毒、防火墙已经成为信息系统事实上的标准配置产品，目前防火墙主要有包过滤、应用代理和状态检测等几种类型。在选购企业防火墙时应注意考虑以下因素：l 安全性：防火墙是否基于安全的操作系统和是否采用专用的硬件平台、是否能抗拒绝服务攻击；l 高效性：传送速度、延时长短；l 功能灵活性：能够有效地控制通信，能够为不同级别、不同需求的用户提供不同的控制策略；l 管理、配置方便性及全面性：能否工作于混合方式。是否既能支持命令行方式管理，又能支持GUI和集中式管理；最好要适合网管员的管理习惯，设有远程Telnet登录管理以及管理命令的在线帮助等。GUI类管理器作为防火墙的管理工具，为网管员提供了有效、直观的管理方式；l 可靠性：部件的强健性、设计阀值和冗余部件。是否能针对用户身份进行过滤 ；l 可扩展和可升级性：是否具有良好的扩展、升级能力； l 与其它网络安全产品的协同互动性；l 服务能力、售后服务及客户满意度：可以对用户提供安全检测、风险评估、安全加固、顾问咨询、系统认证、应急响应、渗透测试、SOC 服务等多种多样灵活、全面的安全服务，并由通过相关安全认证的专家进行； 北京天融信公司是中国网络安全行业的领先企业，是目前国内最大的专业从事网络安全技术研究、产品开发和安全服务的高科技企业。同时天融信公司正向集团化、国际化迈进，努力成为中国网络安全领域内最优秀最具国际竞争力的企业。天融信公司最早成立于1995年，目前公司总部设在北京，形成北京、武汉、成都三大研发中心，同时在上海、广州、西安、沈阳、成都、长沙、武汉等30个省市设有分支机构，拥有800多名信息安全专业研发、咨询与服务人员。天融信公司于1996年推出了填补国内空白的中国第一套自主版权的防火墙产品，随后几年又推出了VPN、IDS、安全监控、安全审计、安全管理、过滤网关等产品。组织并构建了TOPSEC联动协议安全标准，提出了一套集各类安全产品及集中管理、集中审计为一体的全面的、联动的、高效的、易于管理的TopSEC安全解决方案2000年至2004年，天融信公司连续五年市场份额均居国内安全厂商之首。特别指出的是，据国际权威咨询机构IDC统计：天融信2003年下半年防火墙市场份额达到了17.28%，名列所有国内外安全厂商第一位，打破了国内安全厂商长期处于弱势地位的局面，为国内网络安全企业树立了新的里程碑。到目前为止，天融信公司拥有覆盖全国，涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的万余家客户群体。天融信公司致力于：l 各种网络安全整体解决方案。l 安全操作系统和操作系统的安全增强工具（Windows /Unix）。l 操作系统及其网络安全保密平台。l 防火墙、安全网关以及IPSEC系列产品。l 系统漏洞扫描系统、黑客入侵检测系统(IDS)以及实时网络安全监控系统。l 电子商务安全和信息对抗安全产品。l 操作系统应用产品开发。l 安全咨询和培训在本次陕鼓企业网项目建设安全产品选型中，建议选择天融信公司的防火墙作为陕鼓企业边界的安全防护设备。 防火墙配置对于西安陕鼓动力股份有限公司企业网同广域企业网的连接，建议采用天融信的NGFW 4000-T-VPN(S)防火墙，除了防火墙选型中提到的各项关键性能外， 对于西安陕鼓动力股份有限公司内部局域网内的一些关键性、涉密程度较高的部门，如财务部、技术中心等，除了充分利用VLAN 、访问控制列表等一些现有的安全措施外，建议采用天融信的NGFW 4000-T-VPN(S)防火墙以增强访问控制能力，实现严格的单向访问控制。如果有必要采取更严格的措施，对这些部门，也可以采用物理隔离的方法，比如使用硬盘隔离卡，或者敷设2套线路的方法以实现更高程度访问的安全性。对于陕鼓来说，网络的安全体系是本次网络建设的重中之重，而防火墙的选择与设计又是安全体系构建中的最基础、最主要的部分，通过企业边缘防火墙由它可以实现： 对内外网通信数据进行状态检测、入侵检测、包过滤机制，对公司内网同外网的信息流通进行硬件上的防御和过滤。 外地移动办公用户同公司内网的连接通过VPN专线形式，在VPN线路里传输数据是经过加密的密文形式传输，极大限度的保证数据传输的安全性。可以应用到各地办事处及移动用户终端。 针对内网，将在NGFW 4000-T-VPN(S)上采取防病毒、防攻击、状态检测、包过滤、内容过滤、日志审计、灾难恢复、日志备份来保证内部网络的安全。即使发生安全问题也可以马上恢复，还可以通过日志进行进行追查事故的原因，极大的方便管理员的管理 应用时间段访问控制和地址绑定策略到防火墙上，连控制厂内各终端同互联网连通的时间。从而解决部分办公人员在上班时间上互联网，影响工作效率的问题。 应用路由过滤解决只有被管理员允许的终端才能同互联网通信，使部分保密部门不能同互联网进行物理线路上的连接，从而保证重要数据的丢失、被窃取等问题的发生。 针对内部信息传输安全将采取数据加密传输，保证信息通信的安全性。 将公司的公共服务器（如WWW/MAIL服务器等）连接在防火墙的DMZ区域，对服务器进行保护。l 防火墙NGFW4000-E-VPN(S)功能： 支持透明连接； 支持包过滤； 支持地址绑定功能； 支持地址转换功能； 支持双机热备功能； 支持完整的日志审计； 支持用户认证功能； 支持代理功能； 支持代理层的访问控制功能； 支持与代理服务器的直接连接； 支持IDS入侵检测功能； 支持流量控制功能； 支持带宽管理功能； 支持VPN功能扩展； 智能判断IP地址来源，防止IP地 址欺骗； 管理守护进程为安全管理中心留有加密接口程序，实现统一管理优化，加固的系统内核； 可视不同需求调整防火墙的工作，在操作简便和安全稳定之间达到了完美和平衡技术指标产品名称产品型号吞吐率接口说明网络卫士防火墙4000NGFW 4000-T-VPN(S)100M3个10/100BASE-TX口,最多可扩展5个端口 防火墙部署陕鼓企业内部局域网的边缘部署带有VPN功能的NGFW 4000-T-VPN(S)防火墙，其中一个口用于和电信提供的接入Internet的RJ45头相连，一个口用于连接企业内网核心交换机，一个口用于连接WWW/MAIL服务器。8.1.2分支机构及移动用户接入安全VPN是在公用网络上建立专用网络的技术。称之为虚拟网，是因为VPN任意两个节点之间的连接并没有传统广域网络所需的点到点的物理连接链路，而是架构在公用网络服务供应商ISP所提供的网络平台之上的逻辑网络。用户数据是通过在ISP提供的公用网络(Internet)中建立的逻辑隧道(Tunnel)，即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证企业内部网络数据在公用网络上安全传输。从而真正实现网络数据传递的专有性。VPN也摆脱了传统专线连接方案总部和分支之间使用相同线路、相同设备的情况，它支持已经目前几乎所有广域网络连接技术。由于在经年累月的广域连接中，费用支出最大的部分在于线路的租费、使用费上，因此，很明显，常见的广域连接方式这方面的性价比并不高，近年来，随