大钢网络设计方案.doc

大连钢铁集团企业管理网络系统设计方案大连钢铁集团企业管理网络系统设计方案大连诚高电子有限公司二零零零年四月目 录前言.3第一部分 需求分析.4第二部分 系统设计原则.5第三部分 系统设计方案.7第一章、系统总体设计.7第二章、大钢集团网络系统基本应用.9第三章、网络布线系统设计.10第四章、局域网主要技术分析.11第五章、网络系统设计.14第六章、服务器选型方案.15第七章、网络管理方案.16第八章、系统安全策略.18第九章、本方案特点.24第四部分 项目组织和进度管理.25第五部分 系统测试和验收.26第六部分 技术服务与售后服务.27第七部分 方案附件.32前 言 先进的网络系统对于企业加强管理、提高工作效率和增加市场竞争力是至关重要的。因此，企业网络采用的技术必须先进、成熟、稳定、可靠，整个系统设计既要立足于现实，也要考虑到今后的发展。大连诚高电子有限公司非常感谢大钢集团给我们这个宝贵的机会参加贵方网络项目投标。作为网络信息领域的前沿公司，诚高公司正以其卓越的技术、优异的产品和完善的技术支持，服务于众多行业用户。同时，诚高公司也在与广大客户的交流合作中不断地完善提高自己。客户的信赖，是诚高公司最可宝贵的财富，也是我们努力的目标。在多年的网络工程实践中，尤其是在企业、金融、证券、邮电、广电等行业我们付出了辛勤的努力，积累了宝贵的经验，得到了广大用户及业界同行的信任与肯定。我公司愿借这次机会，与贵方建立长期、友好的合作关系，以我们在系统集成领域积累的丰富经验为大钢的信息化建设尽微薄之力。第一部分 需求分析随着市场竞争的加剧,大钢集团希望通过企业内部信息化建设来提高工作 质量，降低内部周转时间,增加市场竞争力并改善与客户的联系。随着业务发展、企业规模扩大，建设园区范围的企业内部网，是大钢集团发展的必然趋势。伴随着Internet在全球范围内的飞速发展，企业网站已经成为对外信息发布与交流的窗口，网上电子商务蓬勃发展，各种网上交易系统屡见不鲜，上网成为企业信息化建设的重要组成部分。恰逢2000年又是我国企业上网年，紧跟时代的步伐，大钢将迈出企业信息化建设的第一步。我们从大钢的实际出发，根据大钢的管理模式和发展需要，为大钢建设以信息中心为企业网络交换中心，财务、销售、物资供应等各部门为节点的二级交换结构网络，各部门到信息中心为1000M，部门内部100M交换到桌面。考虑到企业各种应用模式及系统可管理性的原则，将各种服务器集中放置于信息中心，充分发挥高速骨干网的优势，并实现以下三年目标：1、一期工程（2000年）：实现财务、销售、物资供应等部门的联网，重点在年内完成财务电算化，销售及物资供应等系统逐步开发，统一规划，分步实施。2、二期工程（2001年）：实现生产、质量、技术等部门的联网，逐步实现生产、管理、控制自动化。3、三期工程（2002年）：实现其他各个业务部门联网，企业MIS系统初具规模，网上电子商务发挥重要作用，企业信息化建设上一个新台阶，现代化的企业管理模式初步形成。第二部分 系统设计原则整个系统的设计必须遵循一定的规则，我们在进行大钢企业网络系统设计时，坚持如下原则：第一，确保实现技术的标准化。当今计算机网络技术发展的一个重要特点就是标准化。只有遵循国际标准，才能确保整个系统的开放性和长久的生命力。大钢集团网络建设目前仅仅是一期工程，将来会有二期、三期等，产品的标准化是后续工程的保证。第二，确保的可靠性。为了确保计算机系统能够正常地运行，我们在进行设计时，将充分地考虑提高整个系统的高可靠性，为此我们将采取核心设备冗余电源、模块备份、通信线路备份等一系列措施。第三，确保技术的先进性。先进性能确保整个系统有一个较长的生命周期，这是对整个投资的最大也是最有效的保护。网络的先进性还表现在用户能够对其进行较为平滑的升级，平滑的升级就意味着并不会造成前期投资的废弃。为了确保技术的先进性，我们将从如下几个方面入手：首先，选用厂家新推出来的设备以及那些推出时间较长并且获得了良好的市场声誉的有生命力的产品；其次，采用新的技术，如快速以太、千兆网等。第四，充分重视系统的可扩展性。可扩展性也即可伸缩性，即网络应能自如地适应规模的变化。良好的可扩展性表现之一就是当用户的规模增大时，无需增加新的设备，只需要增加相应的设备模块即可，这既能有效地降低用户的投资，又可以降低整体的复杂性。大钢网络系统建设应着眼于未来，全盘考虑，优先选择高性能、规模扩展性强的产品。第五，保护用户已有的投资。网络系统的建设要尽可能地保护用户在主机、网络设备以及通信线路等方面的投资，避免造成不必要的浪费。第六，实施有效的网络管理。保证用户能够对整个系统进行有效的管理，确保整个系统能够正常、高效地运行，降低用户系统运行成本。第七，树立全局观念，作好系统的总体规划。网络和主机系统的建设是整个信息系统的基础。它建设的好坏将对整个信息系统的生产和运行产生深远的影响。由于它是一项基础设施，因此必须确保建好后的系统在不做重大改动的前提下，能够承担起未来五到十年业务发展的重任。系统建设的第一步就是研究并确定系统的总体规划，如整个的功能组成、方案技术选型、重要设备的选型、系统的拓扑结构、网络地址的编码等。第八, 系统的建设要分阶段、一步一步地实现。要想确保该项目的成功，系统建设应突出重点，分清主次。第九，开放性。建立起来的平台能够互联不同厂商的设备，运行多种网络操作系统、网络协议，遵守国际标准的开放系统。第十，保证整个系统的安全性。防止非法用户盗用和破坏，采用多种安全防范措施，确保信息万无一失、系统运行万无一失。第三部分 系统设计方案第一章 系统总体设计经过深入细致的系统分析，同时参照了国内外计算机系统集成的先进经验，结合我国钢铁行业的发展趋势及大钢生产经营的实际状况，依照实用、先进、安全、可靠、效率高、投资低、节省能源、信息集成度高、满足大钢集团需求的总体设计思想，实现系统目标。1、系统设计目标：大钢集团企业信息网络的建成后，可将大钢集团生产经营过程中的人、技术和经营管理形成一个有机的整体，以投入产出信息为基础，把企业经营和生产过程中的各个环节，包括市场信息、产品设计、物质供应、仓储、生产、销售过程中的物流信息、财务资金运转中的资金流信息与管理控制信息等集成起来，以成本为中心对经营决策、经营活动、生产过程等进行全方位控制，提高产品产量、质量、增强企业的市场应变能力，提高整个企业的运行效率和效益。2、系统功能模型：网络系统以成本信息为集成手段，在对公司现行生产组织和经营管理模式进行优化的基础上，从全集团的角度出发，统一规划，综合协调建立本网络系统功能模型。根据大钢集团整体业务需求，整个网络系统可划分为综合信息管理、经营管理、辅助工艺设计、生产管理、自动化管理、质量控制和工程管理等分系统。(1)综合管理分系统该分系统主要任务是收集,统计,分析公司内,外各类信息,按公司各类领导的具体要求,提供查询,决策支持,并根据市场,成本,经营目标等信息,制定中,长期发展规划,综合经营计划,并做经济效益跟踪分析.该分析统包括三大部分:综合信息统计管理,辅助决策及领导查询、综合计划管理和办公自动化管理子系统、Internet信息服务子系统等。(2)经营管理分系统根据经营目标,收集、整理、处理企业在市场中的经营信息,实现以财务信息为主线的经营信息集成.该分系统包括四大部分:财务管理、采购管理、销售管理及劳动人事管理子系统。(3)辅助工艺设计分系统根据用户订单需求、现有系统最大生产能力、设计备运行状况等,选择工艺路线,制定特种产品的操作规程及工艺路线;以工艺文件为依据,预测工艺成本投入,从用户对产品规格、性能、价格的要求出发,制定出即能满足用户对产品的质量要求,又能方便组织生产的工艺方案,并尽可能地减少生产成本的投入,实现利润目标。系统分为工艺设计管理、科研专利管理、综合管理和文挡管理等四个部分。(4)生产管理分系统以生产过程中物流为对象,以成本控制为主线,按工艺岗位采集全流程信息,按专业组织、调度、管理生产全过程,实现优质、低耗、均衡组织生产。共包括：制造成本、仓储管理、能源管理、设备管理和生产管理五个子系统。(5)区域自动化分系统根据大钢生产工艺、设备的具体情况,应用电子自动化技术改造和装备主要生产工序,优先选择性能效益较好、费用较低的基础自动化系统先上,并在此条件下有选择地进一步建设和发展过程控制自动化,逐步实现主要生产过程的自动控制。区域分系统分为基础数据采集、过程自动化和区域管理三个部分。(6)质量控制分系统质量控制分系统是对生产全过程进行质量监控,将质量管理生活以科学的方式组织,并用计算机来实现。其活动主要包括:确定质量方针和目标,确定岗位职责和权限及建立质量体系并使之有效运行。质量控制分系统功能包括:质量计划管理、过程质量控制、质量综合信息管理、质量体系文件管理、质量成本管理。按照分期实现的目标，首期网络系统应实现财务子系统、Internet信息服务子系统、备份及安全认证子系统等功能模块，销售及物资供应等子系统逐步实现。第二章 大钢集团网络系统基本应用在企业网建成的同时，基于该网络的应用也应到位，其中包括：MIS和数据库应用，OA应用和Internet/Intranet应用。1、MIS和数据库应用大钢企业集团企业网建成后，集团的财务系统、销售系统、物资供应系统，包括以后的生产调度系统，固定资产管理系统等都可以在本网络系统上开发应用。这些应用系统可以是基于SQL Server数据库或Oracle数据库，支持各种前端开发工具如FoxPro，VB，VC，Access，PowerBuilder，DeIphi等。并且可将Web技术与数据库技术相结合，开发动态的Web数据库应用。这样可形成全集团范围内的一个动态的、交互式信息服务系统。2、OA应用Lotus Domino 是世界一流的工作流、消息处理、群件以 及 Web 软件。办公自动化系统可在基于AS/400的Domino/Notes平台上开发，办公自动化系统建立在Notes应用平台上，利用了其强大而灵活的复合文档数据库，丰富的应用开发环境和完备的电子邮件系统。它着眼于群体成员间的相互协作，具有网络环境通信交流与信息共享的优势，实现了省时、省力的办公方式，具有极好的扩展功能，可透明地跨越多种系统平台运行，代表了一种全新的管理思想和体系。系统以Lotus Notes先进平台软件为系统的主要外部支持环境，采用现有办公业务工作流的模式，功能强大，集公文档案系统、日常办公系统、会务管理系统、信息服务系统、决策支持系统、Internet扩展系统等于一体，拥有符合办公人员习惯的操作界面。3、Intranet应用大钢企业集团可建立集团内部信息网站，为公司内部所有网上用户提供生产调度、产品营销、物资供应、商情信息、安全生产、科技动态、生产技术、环境保护等信息服务。集团内部各部门可通过内部网站实现企业内部信息交流，主动地获取信息和提供信息。4、Internet应用Internet作为信息交流的基础设施，对信息技术的发展，信息市场的开拓，以及信息社会的形成都起着十分重要的作用。大钢集团所构造的网络正是通过Internet将企业内部与外界连接起来。这样大钢集团可为广大客户提供他们所关心的有关信息；在网络上提供WWW，E-mail等服务。该网站可以包括：综合信息、科技信息、企业动态、市场信息等栏目，内容可涉及大钢集团生产经营、科研生产、产品价格和市场营销等方面。并为电子商务打下基础。第三章 网络布线系统设计大钢厂区布线系统要求以信息中心办公楼（股份）为中心节点，网络主干由信息中心至集团办公楼、物资供应部、销售总公司为千兆主干，由信息中心至成品库及101、102、103库、一工段、二工段、调度等一期工程采用拨号方式联网，二期再作布线。考虑到系统稳定性、可靠性和安全性，网络主干均采用室外6芯光纤敷设，室内铜缆敷设采用超五类线达到100M到桌面的要求。大钢厂区网络布线工程规划依据（1）甲方提供厂区分布平面图（2）甲方对网络主干建设要求（3）结构化综合布线标准（4）建筑与建筑群综合布线系通工程设计规范大钢厂区网络布线工程规划说明（1）厂区网络以计算中心办公楼为中心节点，呈星形拓扑结构辐射其它节点。（2）由计算中心（股份）至集团办公楼采用6芯多模光纤，至物资办公楼和销售总公司办公楼网络主干采用6芯单模光纤，以满足长距离千兆链路的协议要求。（3）中心机房配置2m标准机柜1个，内置19 12口光纤配线盘2个。（4）集团、物资供应和销售公司机房分别配置2m标准机柜1个，内置19 12口光纤配线盘各1个。（5）建筑内铜缆布线采用美国著名厂商朗讯超五类布线产品。（6）考虑到楼内信息点较少且距离较近，在股份、集团、物资、销售等办公楼内布线只采用水平子系统布线方式。水平线缆采用超五类双绞线。（7）每个办公楼设置一个管理区，铜缆管理系统采用24口快接式配线架，光纤管理采用12口光纤配线架。大钢厂区网络布线工程施工说明（1）光纤均采用铠装的室外光缆。（2）根据现场情况光缆可采用架空或管道敷设。（3）光纤连接均采用自动熔接方式，熔接点损耗不得大于0.2dB。（4）为保证工程安装质量，光缆敷设均采用标准辅件、标准规程安装。（5）为保证工程安装进程，工程配高空作业车施工。（6）光纤连接及设备连接采用尾纤及光纤跳线方式。（7）铜缆敷设采用明装方式，配以白色PVC线槽安装。（8）光缆安装完毕后，进行连通、衰减及设备、光纤环路测试并作记录。铜缆安装完毕后，进行链路及信道测试并作记录。第四章 局域网主要技术分析 千兆以太网技术 Gigabit Ethernet（千兆以太网）构筑于以太网协议之上，但是其速度比快速以太网增加10倍，达到1000Mbps或1Gbps。该协议在1998年6月实现标准化，有可能成为高速局域网主干和服务器连接领域的一种主要协议。由于千兆以太网明显借助于以太网，因此客户能够利用他们现有的知识基础来管理和维护千兆位网络。为了将速度从快速以太网的100Mbps增加到1Gbps，需要对实际接口进行几个改变。我们认为，从数据链路层向上，千兆位以太网看起将与以太网完全相同。加速到1Gbps中所遇到的挑拨已经通过合并IEEE 802.3 Ethernet 和ANSIX3T11 FiberChannel 这两种技术等到了解决。合并这1、2两种技术意味着标准不仅可以利用现有的FiberChannel 高速实际接口技术，同时可以保持IEEE 802.3以太网帧格式，安装介质的向后兼容性以及全双工或半双工载波侦听多址访问检测（CSMA/CD）的使用。这种方案有助于最大限度地降低技术复杂性，从而带来一种能够迅速开发的稳定技术。快速以太网技术交换式以太网（交换网）是人们在为通信瓶颈问题为难时诞生的，1990年产品就已面市，是一种成熟的网络技术。交换式网络是一种融合技术，而不是类似于FDDI专用网络技术。它提供对现有网络技术的更充分的支持，是一种“继承已有”的技术。交换网络技术是目前解决网络通信瓶颈问题的切实可行的最佳方案之一，它避免了ETHERNET、FDDI的通信竞争问题。交换网络具有倍增网络带宽、灵活地划分网段，实现虚拟LAN的特点。使用此种技术构造网络，网络性能将主要集中在服务器一方，在以后的网络升级中，增加服务器处理能力即可。交换网络可以平滑地过渡到千兆网络，且有强有力的工业支持，作为信息办公网是一种合适的选择。为了保证系统的先进性和可扩展性，从保护用户投资的角度考虑，我们建议大钢企业网络系统应1000M(Gigabit)为骨干，100M交换到桌面，一次到位，避免重复投资，高性能的网络将为企业的生产控制自动化、无纸办公、会议电视、IP电话等多媒体应用提供带宽保证。VLAN技术虚拟局域网（VLAN）。虚拟局域网是用基于分包交换机的网络替代基于路由器的一种新的网络基本结构。其容许以太网、令牌环网和FDDI网段享有与ATM环境中同样的交换性能。交换机基本上说是一些具有更多功能的多口的高速桥接器，所以交换技术就是将网络扩展开来。在进行信息交换时，虚拟局域网的功能是“重复生成”的路由。VLAN的一个明显的优点是具有从VLANs到在ATM中的仿真LANs（ELAN）的转换功能，这样VLAN容易实现向ATM转移，而不需要进行人工处理配置LAN仿真配置服务器。LAN交换机提供建立VLAN网所需的硬件和软件，使在网上具有传送包的能力。这种结构的优点是容易改变网络，用户不需改动电缆线便可以逻辑地在工作组之间移动。也就是用户可以物理地在网上移动到任何地方但仍保留与网络的连接，只要有访问所有权。由于VLAN基于快速交换技术，因此不论从性能上还是资源的有效利用上都有提高。VLAN可以逻辑地定义工作组，满足在动态工作组内增加带宽的同时，创建动态工作组以满足开发的需求。第三层交换技术第三层交换的实质是路由，类似于IP子网间的数据交换机制。当网络内数据流量的分布偏离80/20规则，而且流量必须大量跨越子网边界时，传统的路由器就成了交通中的瓶颈，第三层交换技术的提出就是试图消除这个瓶颈。第三层交换技术的实现可以分成两类：一类可以归结为“路由一次，交换多次”，这类技术的实现占大多数；另一类是基于高性能硬件的线速路由器。路由器包含两个基本功能模块，即路由计算和包转发。“路由一次，交换多次”技术的目标是使子网间数据通信的路由次数降至最低，以增强路由器的转发效率。它的基本作法是这样的：路由算法根据（与一个数据流关联的）第一个数据包的地址信息寻径一次，即“路由一次”，然后将与此数据流关联的其它数据包交换至同一路径，即“交换多次”。线速路由器利用专用的集成电路替代传统的软件计算，消除了基于软件路由器的性能瓶颈。传统的基于软件路由器的转发率是每秒数十万数据包，而线速路由器的转发率是每秒数百万数据包，即线速路由器的性能比传统的路由器提高了一个数量级。第三层交换设备可以保证在不改变IP编址方式和网络连接方式的前提下消除网络中的路由瓶径，并且实现第二层交换无法提供的第三层包转发和过滤能力。本次方案中选择的Cisco Catalyst6509、Catalyst3524/48交换机均支持VLAN技术，而且Catalyst6509具有多层（三层以上）网络交换能力，可以提供Layer3(网络层)的线速路由（三层交换），使系统性能与安全性获得最佳平衡。系统划分VLAN一方面隔离了广播，从而有效利用系统带宽，另一方面也提高了系统的安全性，但划分了VLAN之后各个子网之间需要路由，用传统的路由器可以解决这一问题，但即使性能再高的路由器也会成为系统性能的瓶颈，而只有三层交换才能最好的解决这一问题，它以二层交换的性能实现三层交换的功能，Cisco6000系列的高端交换机可以最佳的完成这一功能。第五章 网络系统设计描述一、网络拓扑（见下页）二、网络设计方案具体描述网络的主要结构是以一台Catalyst6509的高端交换机为中心，安放在股份办公楼的计算中心，为了保证系统的高可靠性，我们采用主交换机机箱冗余电源，避免了电源单点故障造成的系统瘫痪，因为电源模块故障是设备故障发生率最高的部分。6509具有9个模块插槽，其中1个槽用来插千兆引擎模块（WS-X6K-SUP1A-MSFC），用来管理整个交换机，并作数据包的路由和转发，该模块可以实现冗余热备份（支持HSRP），实现系统更高的可靠性。1个槽用来插8口千兆光纤模块(WS-X6408-GBIC)，用于连接各个部门交换机，短距离多模光纤模块（WS-G5484）最大传速距离275米，可用于连接到集团和服务器千兆网卡；中等距离单模光纤模块（WS-G5486）最大传速距离10公里，对于厂区间距离比较远的部门（销售、物资）必须采用中等距离的光纤模块才能保证数据的正确传输。WS-X6248-RJ-45模块为信息中心机房提供48个10/100自适应端口，用于连接网管工作站，认证服务器、防火墙、路由器、拨号访问服务器以及Internet服务器，同时为了保护投资，股份办公楼内的所有工作站一期都可以接到6509上，并在6509上划分若干个VLAN，如计算中心机房、WEB站点、股份财务、所有服务器等各划分一个VLAN。6509机箱上的其余5个插槽用于将来网络扩展。Catalyst6509交换机具有背板带宽高（32G，6500系列可扩至256G）、高速三层交换（15M，6500系列可扩至150M）、端口密度大(130个千兆端口)、扩展能力强等优势。在其他各个联网部门，我们采用Cisco Catalyst3524或3548千兆网交换机作为交换平台，它有24或48个10/100M自适应端口，两个千兆模块插槽，具有10GB备板交换能力，是典型的高性能桌面交换解决方案。一期工程集团办公楼30个点采用3548，物资供应部23个点采用3524，销售总公司45个点采用3548。二期、三期网络扩建时，各部门内部根据信息点数的要求，利用WS-X3500-XL堆叠模块及电缆，采用菊花链式的方法可以将3524/48交换机堆叠（最多支持9个），可以提供更多的端口连接而不需改变网络拓扑结构，达到网络规模扩展的目的。为了制止网络中的大量广播信息包产生广播风暴，同时也为了系统管理的需求，我们根据需要对核心交换机划分若干VLAN ，制定交换机的各个端口属于那些VLAN ，然后根据需要制定相应的VLAN之间的路由策略，在Catalyst 6509 的MSM上配置路由，既要满足性能的要求，又要满足安全性的要求。网络的对外出口（Internet）接入设备采用Cisco2610路由器， 1个以太端口用来连接6509外网段（Internet网段），1个WAN接口利用专线连接ISP接入Internet。对于101、102库等部门，采用2610拨号服务器提供电话拨号服务，在2610上插1个16口Modem模块，该模块已经集成了16个Modem，不需再增加外接Modem，即目前无法联网的用户和移动用户可以通过公用电话网拨号到计算中心,经过身份认证服务器的合法验证之后，可以和本地用户一样访问相关系统资源。第六章 服务器选型方案一、应用系统服务器-IBM NetFinity 5500 M20财务、销售及物资供应子系统服务器选用IBM Netfinity 5500 M20高端服务器，每台配置1个PIII Xeon 550 CPU，内存为256M，3块9.1G硬盘，1块Intel千兆网卡。IBM Netfinity 5500 M20正是针对您的极端要求而设计，它采用IBM系统体系结构，该服务器具有更强性能的集成的双通道SCSI提升了I/O性能，使可用的PCI插槽更多，使系统更具灵活性。Netfinity 5500 M20 拥有更大的内存和数据存储功能。对于需求高I/O性能的客户来说，Netfinity 5500 M20可支持10,000rpm硬盘驱动器，加速了数据的存取和传输。增强的容错能力和快速恢复特性更可提供最长的系统运行时间和可靠的服务器运行，同时降低总体拥有成本。IBM Netfinity 5500 M20为实现最佳性能采用了最新Intel处理器、100MHz快速前端总线和合适的内存容量，Netfinity 5500 M20拥有各种高可用性功能支持，如热插拔和冗余组件、预测故障分析和光路诊断。可随您的业务增多而扩大。Netfinity 5500 M20在设计上采用了检错和纠错（ECC）内存和集成RAID，保护了您的关键商务数据，消除了您的后顾之忧。二、Internet网站系统服务器-IBM NetFinity 5600Internet服务子系统的WWW/DNS/Mail服务器选用Netfinity 5600 ，配置为1个PIII 600 CPU，内存为128M，配置3个9.1G硬盘，该3块硬盘设置成RAID5。WWW服务器可随应用的增加而扩展。Internet服务器使用MS Backoffice 4.5中的IIS 和MS Exchange提供WWW、E-mail服务和域名解析服务（DNS）。选择Microsoft Windows NT Server 4.0作为WEB Server的操作系统，主要原因是应用广泛、通用性强、易于建设易于维护，政府上网推荐产品。另外系统本身还集成了IIS等Internet套件，勿需单独购买就可实现WWW/E-mail等服务。为了进一步降低成本，我们将DNS 服务器、WEB 服务器和Mail服务器集成在一个硬件平台上，将一台服务器的效率发挥到最大，Mail服务器为企业内部员工提供E-mail服务，DNS服务器提供域名到IP地址的解析。并且随着大钢集团业务的发展可随时对WWW或Mail服务器进行扩容。第七章 网络管理方案网络管理是网络建设中不可忽视的问题，功能强大的网络管理是保障网络正常、稳定、可靠运行的重要条件。利用网管软件可以方便对网络实现动态和实时管理。在本方案中，我们选择了Cisco公司的CiscoWorks Windows5.0来管理大钢集团整个网络。CiscoWorks Windows5.0功能介绍CiscoWorksWindows是为小型到中型网络或远程工作组开发的一套基于PC的集成式网络配置和诊断工具。CiscoWorksWindows包括ConfigurationBuilder、ShowCommands、HealthMonitor和CiscoView应用程序。CiscoWorksWindows可以和某个全面的NMS平台捆绑在一起为设备统计数据绘制图形并处理客户网络中的警报和问题。作为一种选择，您可以将CiscoWorksWindows与HPOpenViewforWindows集成在一起以便充分利用与其它HPOpenView第三方应用程序集成所带来的好处。ConfigurationBuilder和CiscoView可在没有管理平台的情况下以独立应用程序的形式运行。CiscoWorksWindows包括以下功能：ConfigurationBuilder您无需牢记复杂的命令行语言或设备的语法就能为多种Cisco路由器、访问服务器和集线器生成配置文件。借助ConfigurationBuilder,您可以使用CiscoIOS版本10.0到11.0(3)中最常用的CiscoIOS功能配置Cisco路由器，包括AccessPro、IGS、CGS、MGS、AGS、Cisco1700、Cisco2500、Cisco2600、Cisco3000、Cisco4000、Cisco4500、Cisco7000和Cisco7500,您还可以使用CiscoIOS版本11.2或更高版本配置Cisco访问服务器。先进的功能可通过在Addcommands窗口中输入命令来进行配置。ConfigurationBuilder可提供以下功能：- 多个设备配置窗口 可为远程源路由桥接和同步数据链路控制(SDLC)传输同时配置多台设备。- 配置快餐 可快速输入定义的优先级排序表、IP或IPX访问序列表、IPX服务广告协议(SAP)过滤器和AppleTalk过滤器以便形成多个配置文件。- 重复的地址和配置检测 重复的IP、IPX、AppleTalk和DECnet地址可在所有打开的配置文件中进行检测。- 指导性配置 借助指导性配置选项，用户可在相关的对话框序列中自动移动以便在访问服务器或集线器中为路由器与路由器相关的性能生成配置文件。- 了解硬件功能 可探测某设备的型号、软件版本、图像类型以及所安装接口的数目和类型。这些信息将自动放置在配置文件中。- 远程配置功能 可通过TCP/IP网络将配置文件发送到远端运行WinSock兼容TCP/IP栈的设备。- 支持访问服务器和集线器 ConfigurationBuilder包括一个新功能，这个新功能允许配置图表程序、能够为访问服务器提供路由选择协议和终端服务。能够建立安全性并能够为IP和IPX及协议转换配置按需拨号路由选择。 ShowCommands.使您无需牢记复杂的命令行语言或语法就能够快速显示有关Cisco路由选择设备的系统和协议的详细信息。ShowCommands支持CiscoIOS版本10.0到版本12.0。 HealthMonitor.它是一个动态的错误和性能管理工具，可提供设备特性、接口状态、错误和协议使用率的实时统计数据。它还提供CPU和环境卡状态并通过颜色变化显示条件的改变。此应用程序使用SNMP监视和控制Cisco设备。HealthMonitor支持CiscoIOS版本10.0到12.0。 CiscoView用于提供设备前、后面板的物理视图并通过状态栏中的信息反馈和端口颜色的变化显示实时状态。CiscoView支持CiscoIOS版本10.0到版本12.0。第八章 系统安全策略一、网络安全计算机信息系统（包含操作系统、网络、数据库以及各种应用的综合系统）在给人们带来巨大效益的同时，由于其自身的脆弱性，也带来了许多的安全问题，如机密信息被泄露，文件被篡改，系统拒绝提供正常服务等等。对于贵单位这样的一个网络系统，如果没有行之有效的安全控制措施，后果是不堪设想的。如果没有安全措施，攻击者可以很容易地对该网施行各种破坏行为。确保网络的安全性，是发挥信息网巨大作用的根本保证。我们必须综合应用技术、行政管理、法律以及教育等多种措施和手段，切实保障网的安全可靠。对于大钢集团网络系统我们通过以下几种途径实现网络安全：划分多个VLAN在大钢企业集团网络系统中，为了保证整个网络系统的安全性，实现财务子系统、销售子系统、办公子系统以及Internet服务子系统的隔离，我们运用了VLAN技术。即在核心交换机上将属于以上几个子系统的计算机分别划分到不同的VLAN中去。这样各个子系统就形成了自己独自的广播域。交换机是通过VLAN标记来识别报文是属于哪一个VLAN的。在交换机内部，到达接口的所有报文都打上该接口的VLAN ID。在交换机内部，就用该VLAN ID解决报文与VLAN之间的有关问题。VLAN可将流量、局部冲突分成几段，以及控制广播的能力。划分VLAN后能提高网络的安全性，因为发送到网络上的报文对每个人都不可见。如果不同VLAN间需要交换数据时，可通过核心Catalyst6509的三层交换即可实现。访问控制访问控制是指根据用户自身的特征（如工作性质、职务、级别等）确定用户对各种资源的访问权限，控制用户对系统资源的访问，维护系统的机密性、完整性和可用性。访问控制分为两大类，自主访问控制和强制访问控制，前者基于授权，后者基于安全等级；在商业应用场合应用较多的是自主访问控制。基于授权的访问控制通常通过构造访问控制表（ACL）来实现，ACL定义了每一用户对所有系统资源的访问权限。访问权限规定了用户所能访问的资源，以及允许的访问方式，如对文件的访问方式包括读、读写、添加、执行等。访问权限的授予由系统管理员或资源的拥有者来完成，例如，文件的创建者可以决定哪些用户可以某种方式访问他的文件。访问控制是一种基本的安全措施，目前几乎所有的系统都提供有不同程度的访问控制机制，例如，UNIX系统对用户进行分组、对文件设置访问模式，不同类的用户具有不同的文件访问权限。例如，在Cisco网络设备（第3层交换机和路由器）中，就提供了丰富的访问控制机制。Cisco的ACL(访问控制表)安全规则可以根据许多因素制定。这些因素包括：第一，第3层(网络层)信息,包括网络源地址和目的地址；第二，第4层(传输层)信息，包括所用的传输层协议(TCP、UDP)、源端口号、目的端口号；第三，应用层协议信息，包括电子邮件Email、WWW访问、域名服务DNS、网络管理SNMP、远程登录Telnet 文件传送FTP；第四，用户自定义规则。在Cisco IOSTR中，访问控制表还可以进一步提供更详细的安全策略控制。比如：基于物理端口、MAC地址、特定应用和数据类型的过滤控制。防火墙技术防火墙是一种网络级的访问控制技术，它通过在内部网与外部网（公共网）之间设立一道屏障，控制进出的交通，达到保护内部网络资源的目的。基本的防火墙技术包括包过滤(packet filtering)和应用代理(proxy)。包过滤是一种基于地址信息的技术，它通过检查进出数据包的源IP地址、目的IP地址、源TCP/UDP口地址及目的TCP/UDP口地址来过滤数据包，控制进出的资源访问。某些高性能的路由器可以配置为包过滤防火墙。由于地址易于伪造，包过滤的安全度很有限。应用代理类似于应用网关，是客户与服务器之间的中间人，客户与服务器只能通过它交换信息，从而实现了对进出资源访问的控制。包过滤与应用代理一般配合使用，以保证较高的安全性。状态检测是一种新的防火墙技术，它结合了包过滤和应用代理技术，对IP层之上各层的数据信息均作检查，具有更高的安全性，而且它适用于所有协议，易于配置和管理，是一种非常有前途的防火墙技术。 有的防火墙同时还提供数据加密功能。二、服务器系统安全服务器是网络系统核心，服务器故障意味着整个网络的瘫痪，对于实时性要求很强的网络而言，这种事故造成的损失将是不可估量的，因此要求服务器有以下功能：（1）完善的容错能力：在电源、硬盘、阵列卡、内存保护、CPU电源模块、PCI总线上实现在线冗余。（2）带电热插拔技术：保证易损部件的更换与维护不影响系统的运行。（3）智能IO技术：对重负荷的IO卡，如100M网卡、高速硬盘卡，采用按最新I20规范设计的智能通道卡，减轻主CPU的压力，优化总线传输，增加IO吞吐能力。（4）良好的扩充性：保证在应用增加时只需扩充服务器计算能力与存储能力便可保证应用的升级，而勿需再增加服务器。硬件容错技术所谓硬件容错，是指将服务器上所使用的所有硬件设备均采用相应的容错技术，以保证服务器的某一器件发生故障时，其正在进行处理的任务马上被其他器件接管，使得服务器可以正常工作。硬件容错技术主要包括以下一些内容：对称性多处理器（SMP）技术采用了此种技术的服务器允许有两个以上的处理器（CPU）。在所有处理器均处于正常工作状态时，每个处理器均处理不同的任务，如果某一个处理器发生故障，那麽其他的处理器将自动接管故障处理器正在处理的任务，这一过程对于网络的用户来说是完全透明的，对他们而言所有的应用均正常进行，不会有任何故障产生。另外，在无故障发生的情况下，SMP技术还可以提高处理器的利用率。硬件冗余技术硬件冗余包括电源冗余、网卡冗余、系统风扇冗余等等。它主要是指在服务器中设置两套功能相同的器件，在两套器件均处于正常工作状态时，两套设备同时工作以提高整个系统的效率。当某一套设备故障时，另一套设备将立即接管故障设备正在处理的任务以保证系统的正常运行。热插拔技术所谓热插拔技术是指在服务器正常工作的情况下，将故障的部件拔下并更换上好的部件并不损害服务器和影响其工作的技术。有了热插拔技术使得在不影响正常工作的前提下迅速地排除故障成为可能。磁盘容错技术磁盘容错对于整个计算机网络的安全性而言也是一个极为重要的环节。因为，服务器的磁盘系统存放着整个网络的数据，磁盘容错是必须采用的。 目前，较为成熟并广泛得到使用的磁盘容错技术是廉价磁盘冗余阵列（RAID）技术。这种技术不仅提供了磁盘容错技术，同时还可以提高磁盘I/O的速度。 常用的RAID技术分为RAID 0、1、2、3、4、5几个级别，其中：RAID 0 是指磁盘分段（Disk Striping）技术其实现方法为将数据分段，同时写到多个磁盘上。其优点是磁盘可以实现并行的输入和输出，提高磁盘读写速度，但是这种技术无容错性能；RAID 1是指磁盘镜像（Disk Mirroring）技术其实现方法是简单地将一个磁盘上的数据简单地拷贝到第二个磁盘上或等价的存储设备上来实现数据的冗余，其优点为实现了数据的完全冗余，容错性能极好，但是这种技术未提高磁盘读写速度同时成本较高；RAID 2-5是指将磁盘分段与磁盘冗余结合起来的技术其中RAID 2指磁盘分段结合Hamm Code 纠错技术，RAID 3指磁盘分段加专用奇偶校验盘，RAID 4指磁盘分段加专用异步奇偶校验磁盘，RAID 5是指磁盘分段加分布在各磁盘的偶校验。这几种技术均综合了磁盘分段和磁盘镜像这两种技术的优点，这些技术要求磁盘阵列至少有三个磁盘，由于采用了校验码技术进行了数据冗余，故允许一个磁盘故障，同时由于采用了磁盘分段技术亦提高了磁盘读写能力。目前最被广为采用的是RAID 5技术。为了保证数据的安全性和可靠性，需要对服务器的磁盘阵列采用RAID 5的磁盘控制技术。三、防病毒技术1. 对企业网络中所有工作站的病毒防护 网络工作站的防护位于企业防毒体系中的最底层，对企业计算机用户而言，也是最后一道防、杀病毒的要塞。考虑到网络中的工作站数量少则几十台，多则数百上千台甚至更多。如果需要靠网管人员逐一到每台计算机上安装单机防病毒软件，费时费力，同时难以实施统一的防病毒策略，日后的维护和更新工作也十分繁琐。由此，乐亿阳趋势推出了Office Scan企业授权版，它们具有如下特点： (1) 通过服务器自动分发客户端工作站防毒软件，大大简化了安装过程。 (2) 自动识别客户机操作系统并下载和安装相应的防毒程序,支持包括NT 工作站、WIN95/WIN98、WIN3.x、DOS、OS2等多种作业平台的工作站。 (3) 通过服务器设置统一的防毒策略，获取完整的病毒活动报表，实施集中的病毒码和程序更新。 (4) 设有密码保护功能, 防止企业内用户随意卸载病毒监控程序，从而形成企业网络的病毒“后门”。 (5) 储存所有工作站硬盘引导区记录，以备工作站引导区遭受病毒破坏后的紧急救援。 对企业网络中的所有文件服务器的病毒防护 文件服务器是企业网络中最常见的服务器。以NT服务器为例，它会遭受大量引导型病毒、DOS病毒、位Windows病毒以及宏病毒等的攻击，更为常见的是，由于文件服务器为网络中所有工作站提供文件资源共享，因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站上。为此，趋势科技早在1991年就利用其服务器防毒的核心技术和美国英特尔（Intel）公司合作，共同推出运行在Netware服务器上的LDVP（LANDesk Virus Protect）。目前，趋势科技的ServerProtect能够支持包括Netware 、NT及Alpha NT为平台的多种文件服务器的病毒防护。 作为防毒体系结构中的服务器端产品，ServerProtect的实时病毒监控功能，远程安装、远程调用功能，病毒码自动更新功能以及病毒活动日志、多种报警通知方式等，为企业内文件服务器的病毒防护提供了最大便利和效能。 对于较小规模的企业局域网，选择ServerProtect和PC-cillin 企业授权版的组合，分别保护局域网中的服务器和工作站，是一种常见和有效的防病毒方案。 邮件服务器的病毒防护 随着企业内部电子邮件应用日益普及，病毒入侵的管道又增加了一个。根据世界计算机安全协会（ICSA）1997年的报告，因使用电子邮件而中毒的事件已占所有中毒事件的，且其比率正在持续升高之中。不久前，发生在美国的包括微软在内的几家全球著名企业，遭受到来自电子邮件的美丽杀病毒(Melissa)的攻击，致使企业邮件服务器关闭。我们不难得出保护邮件服务器免受病毒攻击的重要性。 趋势科技针对不同群组软件和邮件服务器产品开发了ScanMail系列防病毒产品，使网络防毒体系结构中又增加了一层关卡，确保经由企业邮件服务器的邮件附件随时处于病毒免疫状态。 企业Internet 联接的病毒防护 趋势科技推出的全球首创防毒软件InterScan VirusWall国际互联网病毒防火墙，是企业网络防病毒体系结构中的最上层，安装在Internet服务器或网关上。其基本设计理念是在电脑病毒通过Internet入侵企业内部网络的第一点处设置一道防毒屏障，使得电脑病毒在进入企业网络之前即被阻截，这就是趋势科技的“空中抓毒”专利技术。互联网络病毒防火墙分别对HTTP、FTP、SMTP的网络通讯进行病毒侦测，保证企业用户在使用浏览器、FTP下载或Internet邮件时免遭各种传统病毒和新一代病毒的侵害。 四、数据备份与灾难恢复- CA ARCserveIT高级版ARCserveIT使各种传统的存储管理操作自动化，降低运行费用，减少差错，使管理员能更方便地进行基础数据保护。管理员能在网上任意一集总的站点进行快速、有效地备份恢复操作。不论环境如何，ARCserveIT总有恰当版本适合用户需求。其高级特性包括支持磁带和光盘库、磁带RA