通化制药厂信息网项目建议书(50页)

通化制药厂企业信息网项目建议书2本文是XX电子信息产业股份公司系统集成事业部（以下简称XX）针对吉林省通化制药厂（以下简称通化药厂）的企业信息网系统建设设计的技术和工程实施方案。本方案由XX企业信息系统工程小组根据吉林省通化制药厂计算机广域网络系统招标说明，以及通化药厂对广域网、局域网模式、INTERNET接入和邮件系统、移动办公等有关企业信息网系统的需求，经过多次讨论，并结合XX在计算机网络系统集成的工程经验编写而成。十分感谢通化药厂给予XX提供企业信息网络系统建设方案的机会。本着长期合作、互惠互利的原则，XX将一如既往以高水平的技术方案及高质量的技术服务，积极参与通化药厂计算机网络及其它工程项目。本方案为XX内部资料，仅供通化药厂领导及有关专家技作为方案设计及工程实施的参考资料。敬请惠予视同机密文件处理。第3页共83页目录1序言62通化制药厂企业内部网的意义821传统信息技术的局限性822INTRANET的技术优点1023建设通化制药厂企业内部网的必要性1224建设企业内部网的意义133企业内部网的需求1531需求分析1532系统设计原则164企业信息网系统总体结构设计1841概述1842网络平台18421硬件平台18422软件平台1943网络服务2044应用服务215广域网系统2351网络平台系统设计2352网络的总体结构24521中心机房网络设计25522分公司网络设计25523分厂局域网系统设计2653路由策略与IP地址规划27531路由协议介绍27532路由协议的选择3054IP地址规划31541规划IP地址的意义31542IP地址分类32543IP地址具体规划3255网管的功能33551网管设计346电子邮件系统3861设计目标与功能需求3862概念设计3863方案设计39631需求分析39632系统结构设计4064产品介绍EXCHANGE2000SERVER447WEB信息发布系统46471WEB信息发布软件简介4672WEB信息发布的实现478代理INTERNET浏览系统4981防火墙配置4982PROXY服务器4983软件配置50831访问控制50832缓存的使用509网络防病毒系统5291通化药厂网络系统对防病毒的要求5292产品选择5293方案规划5210移动办公系统54101拨号接入541011拨号接入的实现541012拨号接入的安全控制5511网络安全设计57111路由器级的安全防护57112防火墙网络安全保护6112项目实施计划66121项目组织结构661211项目协调领导小组661212XX公司项目经理661213行政业务组671214网络系统工程组671215通药公司项目协调小组67122实施进度安排691221实施阶段计划691222项目实施时间表731223网络工程组项目实施计划细节7413服务承诺76131XX支持服务体系76132支持服务流程77133服务内容77134服务方式7914企业网设备、软件配置及报价83141硬件产品83142软件产品83附XX公司简介84第5页共83页61序言随着经济的不断发展，企业运营电子化程度不断提高，越来越需要高性能的计算机系统、先进的计算机网络系统以及功能完善的计算机应用系统，来提高产品推广能力和业务管理能力，进而增强企业的竞争力。另一方面，先进的企业管理体系也需要先进办公系统及管理系统，用以提高管理水平和办公效率，适应现代化企业的发展需要。另外，随着改革开放的不断深入，在国内，国有制药企业与合资制药企业的竞争更加激烈。怎样建设、发展和完善计算机业务系统、电子化办公、会议、管理系统，已处于非常重要的地位。谁能更快、更好地完成企业信息化的建设，谁就掌握了下一世纪的竞争优先权，就能更好运用信息，提高工作效率，优化工作模式，提高服务质量，提高企业形象，从而进一步增强企业活力和竞争力。吉林通化制药是国内规模庞大，实力雄厚的制药企业，在在国内制药行业取得了突出成绩。但竞争和发展仍是企业问题。要保持优势除了建立更先进管理制度，增添新产品，还需积极吸收现代信息技术，提高管理效率，进一步推动电子商务的发展。本次企业内部网项目的建设旨在建立起完善的网络应用环境，为应用系统提供统一的开发平台、统一的通信平台和统一的开发模式；为企业各部门提供信息服务、信息发布的工具和手段。并逐步完成内部企业信息的集成，有计划地实现管理信息系统，并进一步有计划地实现诸如网上交易系统。同时，通过本次项目可进一步提高企业管理效率，增强技术服务水平，提高企业形象。由于此次通化药厂企业内部网系统建设项目具有时间紧、工程大、起点高、影响广的特点，因而必须寻找一个既有长期网络建设经验，同时又具有很强的系统集成能力及售后技术支持能力的合作伙伴，帮助建设此工程。现本公司（XX电子信息产业集团公司）联合美国HP公司和MICROSOFT公司就建设企业内部网建设项目提出本方案。以MICROSOFT公司先进的技术以及XX公司在互连网领域多年的系统集成经验及在网络界丰富的大型项目设计、运行、维护经验，规划提出具体架构及实施方案。XX公司具有多个大型项目的建第7页共83页设经验及大量的专家级工程技术人员及雄厚经验实力。因而必能协助胜利完成此次企业内部网建设项目，为通化制药厂的电子商务建设贡献一份力量。82通化制药厂企业内部网的意义在当今信息社会日益激烈的商品竞争中，信息的占有率和信息应用的效率已成为衡量一个企业的综合实力的重要标志之一。谁最先掌握了信息并充分的应用了信息谁就能获得市场。否则就会面临在这场竞争中淘汰出局的危险。随着国民经济的飞速发展和市场竞争的加剧，现代社会中的企业如何进一步提高行政办公效率，健全管理指挥系统，实现经营管理现代化，进一步提高决策的科学性，是一项亟待解决的问题。而新兴的信息技术为企业的管理提供了一个崭新的手段和机会，对于那些规模迅速增长的大型企业来说更是如此。但是由于技术的不成熟性，过去许多企业建设的信息系统，往往事倍功半，无法达到提高办公效率和管理水平的预期目的，经过多年的实践以及信息技术特别是数据库技术和网络技术的不断发展，企业利用先进技术进行信息再造工程、建设新一代管理信息系统的成功案例越来越多，以致于大家形成这样的共识现代企业的动力在于信息技术的应用。21传统信息技术的局限性纵观从计算机问世半个多世纪以来的信息技术，其发展重要经历了以下三个阶段以大型机为中心的计算；以微机、小型机为中心的计算；以网络为中心的计算。所谓的传统信息技术主要是指以大型机或小型机、微机为中心的计算模式，具有以下特点据具有严格的结构，主要存储在关系型数据库中；应用系统建立在某种规范的计算机模型之上；“信息处理”实质上是以数据为中心的计算；“信息系统”的适用范围局限在部门内部，甚至局限于个人。第9页共83页这种信息技术虽然提高了许多事务处理工作的生成效率，但由于技术本身的局限性，因此也制约了信息技术应用的广度和深度。其主要问题体现为信息共享由于在传统的信息技术中系统都是按单项业务系统开发的，并且不同系统的数据结构，开发方式以及对于开发规范的遵从程度都有所不同，使得系统间存在很强的封闭性，很难实现不同系统之间信息资源的共享而影响到商务的发展和市场。信息衰减由于大量数据均有严格的数据结构并依赖背后的模型，因此，一但脱离这样的环境，就难以解释其意。例如，某一部门的数据就很难被其它部门理解。这样，信息的应用价值就会大大打折了。信息表达现时世界中许多信息并不具备有结构化的特点，有效地管理和利用这类信息，是企业信息技术应用向深层次发展的瓶颈问题。因此数据仓库（DATAWAREHOUSE）与有效的数据采集（DATAMINING）已成为当今大型企业的信息管理系统的一个主要项目。协调问题市场经济的发展要求企业打破部门间的限制，更多地进行协作和协调性工作。当由于不同业务部门的工作习惯和工作流程不尽相同，因而迫切需要在企业级进行信息整合，并以此为基础调整和协调企业行为。从无数痛苦经历的总结中，人们发现要解决这些问题，新式的信息技术必须构建于一个统一的平台之上，遵循通用标准，才能够不断适应技术发展，并向前兼容已有系统。1022INTRANET的技术优点近几年来，INTERNET迅速深入社会，基于标准的INTRANET技术和BROWSER/SERVER结构具有许多极为适合企业信息网和应用系统建设的特点，如对信息处理和交换方式上的灵活性，格式上图文声像并茂，内容上具体、丰富、完整，内外部以及不同业务系统之间的信息集成容易，操作界面上方便一致、且不随业务系统的不同而变化，使信息交流摆脱了业务和部门的限制，极大地扩展了信息资源开发、利用的深度与广度，因而它很快被用于企业内部网的建设中（称之为INTRANET），并深受欢迎。INTRANET带来的不仅是具体技术的改变，而且是对信息技术的思路、方法和规范的改变，因而说是一场信息技术的变革。INTRANET革命性地解决了传统信息技术中所不可避免地缺陷，打破了信息共享的障碍，实现了大范围的信息交流与协作。所谓INTRANET就是一种企业内部的信息管理和交换的基础设施，它基于INTERNET的通信标准和WWW内容的标准（WEB技术，浏览器，页面，检索工具和超文本连接。INTRANET的廉价、高效和方便性使得用户仅仅借助一个简单的浏览器，就能访问到自己想要的内部和外部信息资源。另外，通过现有的群件技术可以很方便地实现一些办公和管理所需要的应用工具，如电子邮件，电子新闻，文件传输，电子公告栏，查询检索，电子表格，计划日程安排，可视会议，多媒体教学与培训，办公自动化系统，MIS系统以及一些传统的数据库应用。通过WEB技术和群件技术可以很方便地为企业提供一个灵活多用、高效、安全的信息共享平台。同时，INTRANET的WEB技术和群件技术作为内部信息的发布还可以解决多种平台、多种环境的互连和兼容性问题。因此，WEB和群件技术被广泛应用于INTRANET的建设之中。INTRANET的迅速崛起主要是由于INTERNET的普及。它将INTERNET的技术用在构建企业内部信息网和应用系统当中，相比较而言，INTRANET除了具有更好的安全性、可靠性以外，INTRANET还可以使企业有效地利用带宽、减少投资、降低成本、提高效率，使企业的信息优势尽快转化为竞争优势。INTRANET可以利用虚拟网形式迅速地建立起来，并具有可伸缩性，可以随着企业经营规模的扩大及时建立，业务功能的扩充也十分方便；同时，它容易导航，为不同的计算机提高非常有效的通信平台，使查询各类信息更加方便有效，还可以实现分第11页共83页布式计算和集成，可以满足各种声频，视频和交互式等应用的需要，利用INTRANET，企业内部的员工可以有效的联机工作，共享数据和信息，相互协作，讨论，共同完成某些特定的任务。具体来说，INTRANET有以下技术优点资料格式统一且多媒体化企业内的文件、资料都能以HTML格式展现，资料格式统一，而且包含文字、图形等，多媒体的人机界面宜于使用；文件共享，信息提供及更新快速由于HTML简单且容易使用，故企业内各单位通过浏览器BROWSER存取，信息容易共享，且信息的提供及更新速度可加快；简单易用，教育训练负担轻由于浏览器容易使用，所以信息部门对于系统建置后所负担的教育训练等责任减轻许多；系统建立容易WEBSERVER建立容易，规模小的系统甚至数小时或数天即可完成，系统建立成本低，企业容易就某些功能先试行；具有跨平台特性，容易整合使用INTERNET相关技术，其优势是标准化，容易集成各信息系统，对于LAN/WAN的结合障碍较低；降低成本包括信息系统的建立、维护、教育训练等成本低廉；提供了“协作性“COLLABORATION企业内外实现了无缝连接，不仅实现以WEB为中心的信息共享、信息收集，联机消息发布等企业内的“协作“，而且由于WEB服务器与数据库的成功连接，经过适当的安全管理，使得从企业外部也可以访问企业的主干数据库。加速了企业的营销活动用INTRANET很容易构筑快速响应的营销系统，及时了解客户需求、营销状况以及市场信息，以利于制定产品开发、市场开拓战略。INTRANET之所以为开发集成商和用户一致推崇，除了技术成熟、简单易用等优点外，最重要的一点是浏览器已成为UNIVERSALCLIENT的事实，以往的信息系统，不论是中大型专属系统，或是个人电脑局域网络、工作站等，不同的硬件及不同的软件系统，互通需要采取复杂的技术手段，实现困难，现在由于WWW的盛行，浏览器已成为跨平台沟通的基础，是企业对内、对外信息存取的必须工具，对于企业组织内部集成、与上下游合作伙伴合作、进而加强客户联12络服务有很大的帮助。另一方面来说，INTRANET作为企业内部营运作业的信息系统，其牵涉对象为企业内部员工及上下游厂商所形成的一特定族群，远较INTERNET电子商务对象为非特定大众集中，故INTRANET市场界限明显，建置迅速。由于电子商务牵涉的幅员广泛，不容易聚焦，线上交易又因为交易认证等问题面临的挑战较大；反观INTRANET使用者定位清楚，需求明确，使用行为容易规范，使用效益可很快实现。23建设通化制药厂企业内部网的必要性由于用户深切体会到INTRANET带来的机会和效益，国内外众多厂商积极投入有关产品的研究开发，各个领域的大中型企业也纷纷着手进行INTRANET建设。从而揭开了一次推动企业管理信息系统革命的序幕。据著名的FORESTERRESEARCH调查表明，FORTUNE500企业有三分之二已经建立INTRANET及其应用系统。美国有关的计算机杂志曾报道，INTRANET上有四分之三的WEB服务器同时用做内部INTERNETWEB服务器。由此不难看出为什么美国时代杂志和新闻周刊把1995年称为INTERNET年，1996则为INTRANET年。国外利用INTRANET技术取得商业成功的案例举不胜数通用电器公司GENERALELECTRIC在利用INTRANET进行企业内部信息交流的同时，也将之部分地向用户开放，使用户有机会了解自己需要的产品的性能、价格和已经订购的产品的生产情况。微软公司的企业网是维系整个软件巨人的生命线，每个产品的开发和检测，每个软件版本的更新和换代，无不需要大量的网内信息交流，而且微软在电子化的软件发布方面也开辟了先河。运通公司AMERICANEXPRESS利用INTRANET使它的用户可以随时跟踪自己托运的货物的现在位置及到达目的地的时间，从而更好地为用户服务，使用户放心。维萨VISA公司将其几千家会员银行的联系人目录放到了自己的内部网络上，大大地节省了检索时间，提高了信息更新速度。第13页共83页IBM也利用INTRANET使它在全世界各地的实验室与合作伙伴能进行全天候24小时的开发及测试。在国内，各大部委和各大企业也都意识到企业信息化对于企业自身是获取下一世纪生存和发展空间的必要条件。近两年的电子化工作中都围绕INTRANET建设展开，在网络平台方面采用开放式技术，并与INTERNET接轨；在应用平台方面积极推进基于BROWSER/SERVER的信息发布和计算资源共享，进一步形成整体统一、层次分明、灵活高效的应用系统，特别是在企业的管理决策和办公自动化方面。结合了INTERNET技术和NT技术的菁华，来建设新一代企业信息系统。在这种情况下，如果不及时对企业信息系统建设工作的思路、策略和方法进行适当调整，将会造成信息应用的落后局面，在激烈的企业竞争中失去先手，使企业的经营蒙受损失，最终延误企业的发展。因此，吉林制药厂企业内部网的建设是企业迅速、健康向前发展的必要条件，已经刻不容缓。24建设企业内部网的意义规划好、建设好通药企业内部网将具有以下重大意义提供统一的新一代信息资源管理平台信息资源管理平台不仅能够提供信息查询访问的手段，更重要的是能进行信息的组织、共享、发布和分析。信息资源管理平台的主要任务就是将来自内部的业务信息、办公信息和档案信息以及外部信息等“部件“，分门别类按不同主题装配成“信息产品“，供企业内部各级人员使用，也通过防火墙将可以公开的信息对外部WAN的用户发布，在全球范围内进行自我宣传。这一平台所涉及的技术除了传统数据库技术外，还包括WWW、HTML超文本链接、多媒体文档制作和全文检索等INTERNET技术。这一平台既是信息产品的“组装厂“，又是信息产品的存储“仓库“。企业信息工作者的任务，不再以开发、维护应用软件为主，而是以收集“信息部件“和“装配14“信息产品“为主，即由提供信息技术服务为主，转向提供信息服务为主。信息资源管理平台不仅能够提供信息查询访问的手段，更重要的是能进行信息的组织、发布和分析。提供统一的办公应用平台办公应用平台主要是消息办公信息、文件以及资料等发布和工作流日常办公活动和工作计划等活动管理，它也承担向信息资源管理平台输送办公文字信息、档案信息以及接受处理外部信息的任务，是直接与使用者联系的界面。它所涉及的技术包括消息传递、分布目标管理、工作流程追踪管理、桌面电视会议以及安全控制等。在这一平台上，用户既可以获取信息，也可以发布信息，信息流是全双向并且是多媒体形式的，完全支持企业管理层和领导层的办公与指挥活动。由于与WAN互联，因而办公活动不受空间和时间的限制；由于信息应用的灵活性和共享性的提高，管理者之间可以在这一平台上协同工作。毫无疑问，这一应用平台会极大地提高企业运行效率和质量。提供新一代事务处理平台、为新一代MIS应用奠定基础由于引入了BROWSER，使得BROWSER和WEBSERVER及后台的数据库联系起来，从而使事务处理程序方便快捷。在事务处理平台上，传统MIS的基层功能仍然需要保留，主要是内部业务数据的采集、处理、存储和事务处理包括DSS系统和各种统计分析功能，这些功能在传统MIS中是非常欠缺的，除了基本数据项和表示状态的信息之外，还要将数据加工成为各项经济技术指标信息。但事务处理平台不再需要表示信息的上层结构，而是将这些信息作为部件提供给信息资源管理平台，由这一平台按不同的主题进行“装配“。第15页共83页3企业内部网的需求31需求分析随着经济的不断发展，企业运营电子化程度不断提高，越来越需要高性能的计算机系统、先进的计算机网络系统以及功能完善的计算机应用系统，来提高产品推广能力和业务管理能力，进而增强企业的竞争力。通化制药将在通化市20个制药厂建立企业网系统,并将集中发布WEB信息。对企业信息网系统需求包括以下几个方面1广域网系统要求通过适当的通讯方式，采用经济实用并且先进的网络通信技术，将厂家与厂家连接起来，构成一个覆盖全部机构的企业广域网，并予留出与新设立机构继续连接的扩展能力。同时，在广域网系统中要预留语音的功能，能够支持IP语音电话。2各分公司局域网系统在各厂建设本地的局域网系统，支持本地的登录服务器和PC机的连接，实现各厂的电子邮件、办公自动化以及业务等应用。3INTERNET接入系统各厂可通过通化中心机房接入INTERNET，并保证接入INTERNET的安全，对进、出的用户进行有效的验证和限制。4移动办公系统用户需要通过拨号访问或INTERNET来支持移动办公系统，即移动用户可通过拨号到中心机房或通过本地的ISP提供的INTERNET服务访问企业信息网的资源。165邮件服务及相应的网络应用系统为所有通化药厂提供统一管理的电子邮件服务、域名服务、WWW服务及相关的网络应用系统。6应用系统备份提供应用系统的备份方案和设备。32系统设计原则根据通化药厂对企业信息网系统的需求，以及XX多年的网络设计和实施经验，我们在进行企业信息网系统的设计时，遵循如下的设计原则实用性和经济性在系统组网设计和建设中，要充分考虑到现有资源的延续性及投资保护，从实用性、经济性出发，着眼于近期目标和长远的发展，选用先进设备，进行最佳性能组合，在有限的投资中构造一个性能最佳的实用性系统。先进性以当今世界先进的、并且成熟的网络通信技术为手段进行组网，能够支持数据、语音和视像等多媒体应用。可靠性和可用性选用高可靠的产品与技术，充分考虑在网络系统出现异常时的应变能力和容错能力，确保整个系统的安全与可靠，能24小时不间断正常工作。安全性和保密性网络的安全性和保密性可以从以下方面加以保证用户权限的口令鉴别采用防火墙技术进行访问控制文件存取权限的控制尽可能选用具有一定加密功能的网络设备，以对数据进行加密智能的网络设备和网管软件可对某个网络设备、某些线路、某个通信端口入网权进行管理。可扩展性网络设计应具有良好的扩展性和升级能力，选用具有良好升级能力和扩展性的设备。支持多种协议及接口标准，可适合于多种媒体技术和多第17页共83页种高层协议的系统。标准化和开放性网络协议采用符合ISO及其它标准，如IEEE、ITUT、ANSI等制定的协议。采用遵从国际和国家标准的网络设计，充分考虑与软硬件设备兼容。灵活性和兼容性选用符合国际发展潮流的国际标准的软件技术，以便系统有移植性强、可靠性强，可扩展性等优点，保证在将来发展中迅速适应符合发展潮流的新技术，同时为不同的现存网络及设备提供互联和手段，保证各种现有计算机系统，包括小型机、工作站、服务器和微机等设备的互联入网。强大的网络管理系统提供基于图形界面的网络管理系统，方便网络管理员在中心集中监测、管理、配置整个网络。INTERNET接入功能具有国际互连网络的接入功能，提供对外的信息发布以及EMAIL功能。方便移动用户的访问为在外办公的移动用户提供接入服务，以方便企业员工出差办公。提供语音扩展与接入选用支持多服务的先进网络设备，为今后语音功能的接入预留接口。提供完善的网络应用服务系统以性能良好的网络平台为基础，为通化药厂公司提供完善的网络服务应用系统，包括全公司范围的EMAIL系统，办公自动化系统，对外发布系统等等。184企业信息网系统总体结构设计41概述本章描述通化制药厂企业信息网的总体结构，并对主机设备选型作简要说明。本方案将通化制药厂企业信息网分为网络平台、网络服务、应用服务3层体系结构。1网络平台，指企业信息网的网络基础结构，包括硬件平台和软件平台A硬件平台有企业级的WAN连接、各分公司的LAN连接、拨号接入设备、INTERNET连接、EXTRANET连接。B软件平台包括网络操作系统。C由于整个企业信息网主要为IP网，所以将企业信息网的IP体系也列为网络平台。2网络服务指建立在网络平台上的为应用服务提供的网络服务，以保证网络系统安全、高效、正确运行。主要的网络服务集中在INTERNET/INTRANET域名服务、目录服务、网络安全以及管理服务。3应用服务指为最终用户提供资源和应用的服务。本方案中主要包括以下应用服务电子邮件应用、WEB信息发布、INTERNET访问等。42网络平台421硬件平台通化制药厂企业信息网（IP网）是一个大型INTRANET网络，企业信息网分布在吉林省通化市中国电信DDN线路连接起来，构成专用企业信息网。整个企业信息网使用CISCO公司的路由器互联为IP网，网络拓扑结构采用辐射型连接第19页共83页方式，以中心机房为中心分别连接各厂。企业信息网通过中心机房提供的INTERNET出口与INTERNET互联。内部网通过FIREWALL与INTERNET隔离，FIREWALL选用CISCO公司的硬件防火墙产品PIX。总公司LAN为INTERNET访问提供一个DMZ区，该DMZ区为INTERNET客户提供了统公司企业信息网公共服务的访问途径，并保持内部网与INTERNET隔离。实际上DMZ上分布了通化药厂公司企业信息网的INTERNET部分及EXTRANET部分。企业信息网内部不同的节点及中心机房INTRANET之间的通讯可灵活配置，以支持加密和不加密传输。422软件平台通化药厂企业信息网网络操作系统选用MICROSOFTWINDOW2000SERVER,采用单域模型，域名为_。有关WINDOW2000网络的详细规划可以参见“WINDOWS2000网络平台设计”。下页图表示网络平台的拓扑结构。外部DNS和WEB服务器INTERTMAILSRVPROXYSRVCISCOWRKSCATLYST290广域网CISCO2501512KBPSDN通化药厂企业网网络拓扑移动办公制药厂中心机房CISO3640CISCO2610CISCO2610CISCO2610OUTSIDEDMZ防火墙服务器PC网打PC网打PC网打PSTNDNINSIDEANTIVIRUS帧中继北京分支机构外部和服务器广域网通化药厂企业网网络拓扑移动办公制药厂中心机房防火墙服务器网打网打网打网打网打网打帧中继北京分支机构20网络平台拓扑结构43网络服务通化药厂企业信息网的网络服务涉及到INTERNET/INTRANET域名服务、目录服务、网络管理服务。通化药厂INTERNET/INTRANET域名服务（DNS）主要解决企业信息网内部域名解析，企业信息网内对INTERNET的域名解析，企业信息网到合作伙伴的信息网的域名解析，INTERNET用户访问通化药厂企业信息网公共服务的域名解析及合作伙伴到企业信息网内部的域名解析。在“域名系统”一节将详细阐述实现特征及方法。网络管理服务提供整个WAN和LAN的网络管理能力，如状态监视、网络配置管理、网络性能管理等。网络管理软件选用CISCO公司基于WINDOWS2000的CISCOWORKS2000软件产品。“网络管理”一节详细阐述网络管理的解决方案。下图表示网络服务的拓扑结构。外部DNS和WEB服务器INTERTMAILSRVPROXYSRVCISCOWRKSCATLYST290广域网CISCO2501512KBPSDN通化药厂企业网网络拓扑移动办公制药厂中心机房CISO3640CISCO2610CISCO2610CISCO2610OUTSIDEDMZ防火墙服务器PC网打PC网打PC网打PSTNDNINSIDEANTIVIRUS帧中继北京分支机构外部和服务器广域网通化药厂企业网网络拓扑移动办公制药厂中心机房防火墙服务器网打网打网打网打网打网打帧中继北京分支机构第21页共83页44应用服务应用服务包含电子邮件、WEB信息发布、INTERNET访问等服务。电子邮件系统基于INTERNET开放标准，采用MICROSOFT公司产品EXCHANGE2000SERVER实现。在总公司设立统一的内部邮件服务器及INTERNET邮件传输代理，为总公司及各分公司员工提供内外部电子邮件通信服务，服务器选用HPPC服务器产品，详情请见“电子邮件系统”一节。WEB信息发布系统采用MICROSOFT的INTERNETINFORMATIONSERVER为平台来实现，分别设置内部和外部WWW服务器。内部WWW服务器提供企业内部的信息共享和交流服务；外部WWW服务器为公司对外发布信息提供平台。在“WEB信息系统”一节详细阐述实现特征及方法。INTERNET访问服务是基于企业信息网与INTERNET的安全连接，提供公司员工上网进行WWW浏览，文件传输等服务，设置PROXY（代理服务器）对上网用户进行控制和管理。在“INTERNET访问服务”一节详细阐述实现特征及方法。备份系统采用VERITAS公司BACKUPEXEC85，可以实现网络集中备份，特别适用于NT和WIN2000产品，同时支持EXCHANGE、SQLSERVER的在线备份。下图表示应用服务的拓扑结构。外部DNS和WEB服务器INTERTMAILSRVPROXYSRVCISCOWRKSCATLYST290广域网CISCO2501512KBPSDN通化药厂企业网网络拓扑移动办公制药厂中心机房CISO3640CISCO2610CISCO2610CISCO2610OUTSIDEDMZ防火墙服务器PC网打PC网打PC网打PSTNDNINSIDEANTIVIRUS帧中继北京分支机构外部和服务器广域网通化药厂企业网网络拓扑移动办公制药厂中心机房防火墙服务器网打网打网打网打网打网打帧中继北京分支机构22此外，作为一个完整的企业信息网，其上还可以建立更高层的应用系统，例如办公自动化系统，管理信息系统等等，这些内容不在本方案讨论范围之内。第23页共83页5广域网系统51网络平台系统设计通化药厂生产基地集中在通化，因此对广域网通信信道要求较高，目前被广泛采用的通信服务有公用分组交换网（X25）、公用数字数据网（DDN）、卫星通信以及国家金融数据网（CNFN）等；另外，还有综合业务数字网（ISDN）、广电电缆系统等通信方式。通信方式及服务的选择对通化药厂广域网络系统未来的性能起着至关重要的作用。通化药厂业务特点不是以实时交易型业务为主；其计算机广域网系统所传输的主要数据将是公司的管理信息、内部人力资源信息、办公自动化及电子邮件信息等，将来还会有话音、图像等多媒体传送需求。因此，平时的数据传输不会对带宽产生太大压力，但仍需考虑突发的数据传输要求。另外，由于通化药厂对服务的要求较高，选择通信服务提供商时，应着重考虑提供服务的方便、快捷等因素。由于通化药厂各分厂大都集中在通化市内，以及我们对现有的各种通信方式的速度、效率及运行费用的分析比较和对各大通信服务提供商所提供的服务质量、安装成本及租用费用的调查和分析，我们建议通化药厂广域网系统通化各药厂与通化中心机房采用DDN专线相连。各分厂DDN专线的由本地的电信局提供。广域网系统备份信道可利用普通电话网进行拨号备份。这种方式实施简单，基本不需另外投资，缺点是带宽较低（336KBPS）,信道质量较差，容易掉线；这样，即使在主干线路故障时，仍能保证备份线路具有足够的带宽和良好的通信质量。CNFN目前提供的接入方式有通过电信普通市内专线接入CNFN；通过公用本地DDN或帧中继接入CNFN；24通过无线扩频接入或备份；通过公用ISDN网接入CNFN。所提供的接入速率（AR）可从64K到2M（必须为64的整数倍），用户可选用的约定速率值（CIR）为8K以上的任何速率。对于通化药厂总部，接入速率应选择64K，保证总部有足够带宽。由于接入速率接口类型也采用V35标准。XX具有多年大型网络项目实施经验，可以全力帮助通化药厂进行通信服务的报装和实施，并完成与中元公司的各种交涉，保证通信线路的顺利报装和实施。广域网系统设计根据对通化药厂对广域网系统的具体需求，以及设计原则，XX提出了以下的广域网系统设计方案。52网络的总体结构整个网络系统由通化中心机房和各分厂网络组成，网络拓扑结构采用辐射型连接方式，以通化中心机房为中心分别连接各地的分厂。下面我们分别对中心机房以及各分厂的网络设计方案进行描述521中心机房网络设计通化中心机房负责与各分厂、北京总部的连接，因此，中心机房网络的性能、支持的接口数、可靠性等都是非常重要的。中心路由器我们建议采用CISCO3640，CISCO3640是CISCO3600服务集成路由器序列中的一个产品，可支持路由、广域网连接、语音、拨号访问、LANTOLAN连接等多种服务，是世界上第一个真正的多功能应用支持平台，在单独一个路由器上广泛支持分支机构/企业拨号访问应用，提供模块化选项，可使用多种不同的网络模块，因此具有强大的灵活性，可为不同的应用环境提供各种不同的配置，并且具有支持所有这些应用的优质功能。CISCO3640采用第25页共83页100MHZIDTR4700RISC处理器作为CPU，提供每秒5到7万个信息包的吞吐量。CISCO3640有4个网络模块插槽，每个网络模块插槽可以根据用户的需求插入不同的网络模块。作为公司本部的中心路由器，我们在CISCO3640上配置如下模块一块快速以太网接口模块NM1FETX，提供100BASET的RJ45以太网接口，用于连接本地局域网系统；三块同异步接口模块NM8A/S,可以提供24个同异步接口，可用于各分厂DDN专线的接入配置CISCO3640冗余双电源系统，保证备份设备的可靠性在CISCO3640上还支持ISDN接口模块以及串行广域网接口模块，因此将来也可以采用ISDN或卫星的方式进行备份，到时只需在CISCO3640上增加相应的接口模块即可，不需再增加任何新的设备，保护的原来的投资。同时，在CISCO3640上还支持语音模块，可以将语音服务集成到这个广域网系统上，增加了网络的使用效率，同时也可节省长途电话的费用，降低了公司的运营成本。522分公司网络设计通化药厂一共有20个分厂，分布在通化市。各分厂都通过电信局提供的64KDDN专线连接到通化中心机房。对于通化药厂各分厂，我们采用一台CISCO2610路由器作为分支路由器，与通化中心机房相连。CISCO2610是CISCO2600多功能访问路由器序列中的一个产品，主要用于分支机构或远程结点的接入，可支持路由、广域网连接、语音、拨号访问、LANTOLAN连接等多种服务。CISCO2610有1个10M的以太网接口，1个网络模块插槽，2个WAN接口卡（WIC）插槽，和1个高级综合模块（AIM）插槽。网络模块插槽与CISCO3600的完全兼容，可以根据用户的需求插入不同的网络模块，WIC插槽可以插入各种广域网接口卡，AIM插槽用于支持高级综合服务，如硬件辅助的数据压缩和加密等。26我们可利用CISCO2610本身所提供的10M/100M自适应的以太网接口连接本地局域网系统。在广域网接口WIC插槽中配置一块广域网接口模块WIC2T，提供2个可高达2M的广域网接口，用于连接通化中心机房，2M广域网接口可保证以后对通信线路提速的需求，以支持语音和视频会议等多媒体应用。在CISCO2610上也有一个辅助接口（AUX），可提供异步的广域网接口，最高速率为1152K，可提供分公司到公司总部的拨号备份的功能。目前CISCO2610上还空余一个广域网接口插槽和一个WIC插槽，因此也具有一定的扩展能力，可随分厂的业务扩展或应用的增多进行扩展，同时在网络模块插槽中也能插入语音处理模块，可为分厂提供语音的集成服务。523分厂局域网系统设计通化药厂已建立了广域网系统，仍需在各分厂建立各自的局域网，以支持各种应用，如企业信息网应用、电子邮件应用、办公自动化应用、业务应用等，并要求将来可支持语音、图象和视频等综合传输服务，具有较高性能和一定的扩展能力。连接要求为10/100BASETX自适应。根据通化药厂各分厂的规模，我们采用CISCO公司的CATALYST1924交换机构成各分厂的局域网系统，为各分厂本地设备提供到桌面的10/100MBPS自适应局域网交换端口。以下说明分公司的配置情况采用一台CATALYST1924局域网交换机，放到分厂的主配线间，布线呈星形分布至办公桌面，配置一块24口10/100M自适应的以太网接口模块，可为各分厂提供24个10M/100M自适应交换到桌面以太网接入。第27页共83页53路由策略与IP地址规划531路由协议介绍路由器协议是路由器或主机之间相互交换路由信息的一种协议，是实现自动路由的重要机制，现在业界流行的路由协议有以下几种一、RIPROUTEINFORMATIONPROTOCOL路由信息协议RIP路由协议与UNIX和TCP/IP紧紧地联系在一起的。在互连网中RIP是最常用的路由协议。作为广泛使用的一种距离矢量DISTANCEVECTOR路由协议，RIP路由协议有如下特点基于距离矢量路由协议路由器根据距离选择使用路由。当计算的那条路径为最短路径时，路由器确定这条路径为最佳路佳并维持这条最佳路径。当新的路由比原路由更佳时，由新路由将替代老的路由。具有学习功能路由器定时向每个邻近网络广播报文，通过路由器间相互学习，不断更新自己的路由。仅以跳数HOPCOUNT作为距离度量在路由器的路由决策中，要考虑的因素可以很多例如带宽、延迟、可靠性、路由等，如果参加决策的因素越多，路由策略的最佳路由更加趋于合理，对网络的描述更加精确。所以RIP路由协议仅将跳数作为距离度量有缺陷的。最大站点数为15RIP协议允许最大站点数的15，任何超过15个站点的目的地均认为不可达到的。RIP最大站数大大限制了大型网间网环境的应用。每30秒向相邻路由器广播一次路由信息RIP路由协议采用了不少计数器，路由更新计数器通常被设计为30秒。保证每个路由器在每30秒向其邻接路由器发送一次路由表。二、OSPF（OPENSHORTESTPATHFIRST）开放式最短路径优先协议2880年代中期，由于RIP路由协议越来越不适应大规模异构网络互连。OSPF作为IETF网间工程任务组织）为IP网络开发的一种IGP内部网关协议协议，克服了RIP路由协议的缺点。其采用SPFSHORTESTPATHFIRST算法，是基于链路状态（LINKSTATE）的路由协议。OSPF路由协议有如下特点需要每台路由器向同域AREA的所有其它路由器发送链路状态广播LSA信息。路由器收集有关的链路状态信息，并根据SPF的算法计算出到每个结点的最短路径。同域内的路由器共享相同的拓扑信息。路由选择的分级与RIP路由协议不同，OSPF可在一个域AREA内进行路由选择。域的最大集合是自治域AS。AS是共享同一路由选择策略的网络集合。一个自治域AS可分为多个域AREA，域是由相邻的网络和连接的主机组成，如图所示。BACKBONE100AREA2AREA3AREA4域边界路由器OSPF域说明根据源点和目的地是否在同一域肉，OSPF有两种类型的路由选择方式当源和目的在同一区域时，采用域内路由选择当源和目的不在同区域时，采用域间路由选择由于有域的概念，OSPF路由协议比那些不将AS分区的情况下所需传送的路由信息少得多。第29页共83页支持VLSMVAABLELENGTHSUBNETMASK可变长度子网掩码技术由于每个发布的目的地均包括IP子网的掩码，从而可利用子网掩码将IP网络分为不同大小的子网，这种方法可节省IP地址空间并给网络管理员管理带来灵活性。对带宽和CPU等资源消耗这个SPF算法占用了CPU的资源，一般来说与运算量与网内链路数目与路由器数目的乘积成正比。另外当SPF路由器通电，初始的链路状态包泛滥FLOODING占用网络带宽，这些情况都是在网络设计中要考虑的。三、EIGRP（ENHANCEDINTERIORGATEWAYROUTINGPROTOCOL增强内部网关路由协议EIGRP即为CISCO公司所提出的IGRP路由协议的增强版。它是一种混合型的路由选择协议，它结合了链路状态协议及距离矢量协议的优点，包括以下特点快速聚合增强IGRP使用扩散更新算法（DUALDIFFUSINGUPDATEALGORITHM）来快速达到聚合，运行EIGRP的路由器存储有相邻路由器的路由选择表，因此能快速地适应路由的变化，若不存在合适的路由，EIGRP查询其相邻的路由器，以发现一个不同的路由，这种查询传播一直持续到新的路由发现为止。变长子网掩码EIGRP包括全支持变长子网掩码，子网路由自动汇集到一个网络号边境上，除此之外，EIGRP能被配置集中在任意接口的任意位边界上。部分、界限修改EIGRP路由并不周期性地作修改，这是当某路由的计量发生变化时，才发送部分更新。自动更新的信息是自动定义其边界，所以只有那些需要这类信息的路由器才修改其路由表，因为EIGRP具有这俩种功能，因此它比IGRP、OSPF消耗的频宽更少。支持多种网络层EIGRP支持APPLETALK、IP以及NOVELL等多种协议。四、静态路由协议30以上我们介绍的均为动态路由协议，当然还有另外一种路由协议便是静态路由协议。静态路由协议是由网络系统管理员人工定制的，需定制出一切所需的路由。其优点为不会产生动态路由所特有的路由信息广播或路由信息更新或HELLO从而不会在系统资源内存、CPU、带宽等方面制成而外的开销。但其缺点为会给系统管理员的管理工作带来大量的工作，其次，由于路由是静态的因而不能适应网络的动态变化的需要而改变路由。532路由协议的选择在上面的介绍中我们可以看出，作为一个大型综合企业网的内部路由协议可供选择的实际上只有静态路由、IGRP、EIGRP和OSPF。而当我们进行一个大型网络IP协议的选取时，需考虑以下几方面的因素网络路由聚合时间网络路由环境的可维护性对网络地址规划的依从性（对VLSM的支持）由于EIGRP凝聚了距离矢量和链路状态两种算法的精华，避免了两种算法各自的缺点，因而可达到最快速度的聚合。由于其采用DUAL算法，而且只有网络拓扑变化影响到的路由器才参与路由的计算，仅只有拓扑变化影响到的路由才进行广播，因此EIGRP对CPU及网络带宽的消耗都将低于OSPF、IGRP、RIP等路由协议。EIGRP是CISCO公司专有的路由协议，其它网络厂商的路由器不一定都能支持，而OSPF协议是国际标准路由选择协议，各主要路由器厂商都支持。因此，如果网络系统中存在有多个厂商的路由器，而且网络规模较大，则一般采用OSPF协议。而如果网络规模很小时，也可采用RIP协议，因为很多的UNIX服务器都可支持RIP路由协议，这样服务器与路由器之间就可相互学习路由信息。通化药厂广域网络系统结构以中心机房工厂两级为主。因此，在采用DDN和帧中继作为网络骨干的一级网络我们建议使用EIGRP作为网络路由协议。而对于采用ISDN、卫星通信作为网络骨干备份的网段，由于考虑到动态路第31页共83页由协议一般需定时播发路由信息或提供播发HELLO包来确认网络邻居的存在，而ISDN、卫星通信不可能随时提供连接来支持。所以，建议采用静态路由协议，以减少通信费用的投资。54IP地址规划541规划IP地址的意义对基于TCP/IP的网络系统来说，IP地址的意义是非常重大的。首先它是网络结构体系的一部份，是网络在物理连接的基础上真正实现网络连接的基本因素；IP地址也是一种资源，一个规划不当的网络，在今后网络发展的过程中，会因IP地址不够用而造成网络无法继续发展；IP地址对于管理也具有重要意义，毫无规律的IP地址组合成的网络会给管理员造成混乱，带来管理上的困难；恶劣的情况下，杂乱的IP地址会使网络的拥塞雪上加霜，甚至使路由无法进行，导致网络瘫痪。因而，IP地址规划是我们网络整体规划中的一个重要方面。542IP地址分类在通化药厂企业网所有的网络系统中，IP地址可以分为两类不可控制的IP地址电信局分配的INTERNET合法IP地址；可以控制的IP地址主要是指企业自己内部子网的IP地址，包括各部门，各机构的子网分配，用于互连的网段分配。而大量的子网，是需要我们认真考虑进行规划的。543IP地址具体规划建议通化药厂内部网络IP地址规划按照以下规则进行根据国际惯例，采用A类网络10XXX作为企业内部网的地址；采用可变长子网掩码（VLSM）技术，选用支持VLSM的路由协议，保证IP地址体系具有很好的灵活性及可扩展性；32将内部网络IP地址分为两类机构部门局域网地址和广域网互连网段地址，进行统一规划；地址分配尽量连续，便于总结（SUMMARY）,以减小路由表大小，提高路由器的性能；制定IP主机（HOST）地址规则。如路由器使用10XX254，电子邮件服务器使用10XX1等等，便于管理。按照上述原则，我们根据企业网各机构规模，及将来可能的发展，制定了以下规划，敬请参考序号机构编制地址范围最大主机数路由器以太网口地址1中心机房制药厂1101111012542546451410112542制药厂2102111022542546451410212543制药厂3103