《供电局网络系统项目建议书.doc》由会员分享,可在线阅读,更多相关《供电局网络系统项目建议书.doc(41页珍藏版)》请在三一办公上搜索。
1、前 言市供电局网络系统项目建议书(以下简称建议书)是广州南天电脑系统有限公司根据市供电局电脑网络系统规划拟订的工程方案。市供电局是广州地区具有很大影响力的企业,我们认为寻求与市供电局的长期良好的合作对南天具有十分重要的意义。承蒙贵局给予南天公司参与网络系统设计的机会,本公司甚感荣幸并深表谢意。南天公司将本着诚挚、谨慎的态度和长期合作的立场,以多年系统集成的经验服务于市供电局网络系统建设。本建议书涉及市供电局电脑网络系统从技术方案到合作的各个重要方面,首先介绍了南天公司的大概情况,随后从网络设计原理、网络系统架构、系统安全几方面对方案进行了描述,然后根据需求和实际工作量对工程实施的时间进行估算,
2、并对人力及设备进行安排,最后是相关产品的选型及投资估算。贵局正式提出网络系统需求说明后,广州南天成立了广州市供电局网络工程方案设计组,以严肃认真的态度,根据需求进行精心设计、论证,提出本项目建议书。我们诚恳地等待接受局领导和专家的检查和评价。第一章 南天集团公司介绍第一节 南天电子信息产业集团公司南天集团是由南天电子信息产业集团公司及其全资或控股的多个子公司组成的高技术企业集团,1996年集团经营规模逾14亿圆人民币。南天电子信息产业集团公司为国有大型电子企业及国务院任命的“国家一级企业”,是南天集团的投资、融资和管理中心。南天集团以研究、生产、经营计算机、信息服务为主要业务,现于中国及海外拥
3、有28家子公司。南天集团作为国家信息产业电子化装备的主要供应厂商及系统集成商,长期从事信息产业重大工程项目的开发,拥有实力雄厚的产品开发制造及系统集成与技术服务体系。设在中国北京的南天集团经营总部拥有职能完善的系统集成、产品及市场管理、客户服务管理及财务管理的直属部门,并通过管理设在北京、广州、上海、昆明、西安、武汉的六个实体型子公司,组成南天集团的系统集成、销售与技术服务体系。南天集团是HP公司、IBM公司、CISCO公司、SGI公司的中国区总代理,是HP、SGI中国最大代理,是IBM、CISCO最重要的系统集成商之一。第二节、 南天系统集成、销售及技术服务体系南天集团经营总部各职能部门及下
4、属六个区域性子公司,组成了一个具有统一意志、管理严密、高效率的系统集成、销售与技术服务体系,它拥有400余名软件开发、网络集成、技术服务、市场销售及管理人才队伍,与中国信息产业保有长期、密切和广泛的合作与业务往来。南天集团经营总部拥有实力雄厚的OPEN系统支持中心、网络支持中心、南天客户服务技术中心、客户培训中心及财务控制、物资计划、市场管理等直属部门。在经营总部管理和支持下,下属六个实体型子公司分区域对用户开展应用系统集成、市场销售及优质技术服务。q 开放式系统(OPEN)支持中心 拥有40余名技术专家的开放式系统(OPEN)支持中心,致力于开放系统服务器产品的对外合作、产品管理及以服务器为
5、基础的重大工程开发与市场组织。该中心与中国电力局、建设电力局、国家外汇管理局合作研制的多项大型业务处理系统已在上述金融系统大规模推广应用。q 网络技术支持中心拥有20余名网络技术专家及管理人员,负责重大网络工程的开发组织和方案设计及技术支持。在南天已完成大量的系统集成项目中,网络集成占有重要地位。南天拥有一批具有丰富实践经验的网络工程技术人员,具有建设大规模,多协议综合业务网络的经验。第三节 广州南天简介广州南天电脑系统有限公司是南天电子信息产业集团公司与香港串润有限公司合资注册于广州天河高新技术产业开发区 的中外合资企业。是由南天集团控股的中外合资高科技民营企业,作为集团的重要成员,是华南地
6、区最大的计算机网络系统集成商,拥有可观的经营规模、强大的开发、技术支持力量。公司96年经营规模逾2.4亿元。公司现有员工70人余,技术人员全为大学本科以上学历。公司强调将应用集成与网络集成相结合,为用户提供总体的解决方案。在长期工作实践中,公司在系统集成方面结下累累硕果。连续三年被广州天河区人民政府评为先进企业,连续三年被广州天河区税务局评为纳税先进单位。 与庞大的市场规模相适应,广州南天公司有一支过硬的售后服务队伍,他们及时的响应速度、 高超的排除故障能力和维修技巧,精益求精的服务态度,解除了用户的后顾之忧。 广州南天以技术实力为后盾,务求以最优的服务使客户满意。第四节 南天网络工程简介一、
7、工程范例南天作为CISCO公司中国地区总代理及最重要的系统集成公司,在与美国CISCO公司建立了战略合作关系以来在国内承接并完成了大量的网络工程。南天承担建设并完成的主要网络项目有:山东省电力局Intranet网络系统中国工商电力局全国网络系统北京商品交易所网络工程中国外汇统一交易市场网络及应用工程中国建设电力局城市综合网络系统工程香港中银集团网络替代工程交通电力局全国网络系统重庆建设集团网络系统成都理工大学校园网第一军医大学校园网航天部长城机电大厦网络工程上海三菱公司网络系统广西区中行网络系统海南发展电力局全国网络系统广东省建行全省主机交换平台及应用系统东莞电信局无人值守远程图象监控系统桂林
8、市工行综合业务网络系统 . .广州南天电脑系统有限公司作为南天集团规模最大、实力最强的三个子公司之一,参与了上述工商电力局全国网、交通电力局全国网、第一军医大学校园网、航天部长城机电大厦网络工程等主要工程的规划和实施。广州南天规划和实施的网络项目较多,限于篇幅,这里主要选择一些有代表性的做简要介绍。广东省建行全省主机交换平台及应用系统深圳工行网管系统东莞市电信局无人值守远程图象监控系统东莞市电信局Intranet网络系统桂林市工行综合业务网络系统东莞市邮政储汇综合业务网络和应用系统广州市建行远程连机网络系统广西区中行网络系统南宁、柳州交行网络系统海南发展电力局全国网络系统第一军医大学校园网广西
9、区电信局Intranet网络系统第三章 网络系统设计原理第一节、 网络中心局域网设计网络中心是整个业务网络的汇聚点,在数据集中的Client/Server方式下,众多的Client端将频繁、并发地对中心主机进行访问,随着业务的发展,可能还有更多的业务和管理系统的主机会连入该局域网,因而网上数据流量很大。为避免出现网络中心数据访问的瓶颈,我们对当前主流快速局域网技术的特点作一分析:在当前快速局域网领域中,FDDI、ATM和快速以太网是三种最具有代表性的网络类型。FDDI是80年代就推出的一种很成熟的技术,由于采用光纤作为传输媒质,采用多模光纤时其最大传输距离可达2000米,如采用单模光纤可传输更
10、长的距离(典型的为10-12Km),特别适用于作为园区网的主干或用于距离跨度较远的局域网。由于光纤良好的抗干扰性,FDDI也特别适用于处于较大电磁干扰环境中的工厂和研究所等。FDDI基本上采用与令牌环相同的帧格式,即RFC1042 SNAP编码,在网络访问机制中不存在碰撞和冲突,与传统的使用CSMA/CD技术的共享式以太网相比具有较好的性能和传输效率。FDDI的缺点是造价高,而且不利于结构化布线,随着100M交换式以太网的出现,FDDI在一般的局域网设计和智能化大厦等的建设中已没有优势。ATM是近几年才发展起来的一种很热门的网络技术,是一种既适用于局域网又适用于广域网的技术。ATM目前提供25
11、Mbps、155Mbps和622Mbps三种速率,将来可达到更高。由于既跨越了整个速率范围,又跨越了局域和广域,因而ATM的统一信元格式和信令协议有利于紧密的网际互连和统一的服务应用。由于ATM交换跨越了园区网和企业网,因此便于作为园区网的骨干,为各分离的LAN交换机提供中心交换。ATM的优势除了具有较高的带宽外,其QoS保证及其基于信元的操作使得同一个多服务网络能够传输语音、视频和数据等所有流量类型,从而降低当今多负担网络的成本和复杂性。这些性能主要在企业网、公共网和广域网中尤为重要,ATM已被公认为是实现B-ISDN的理想方式。ATM的缺点是如果要充分利用ATM的独特性能,必须将ATM直接
12、扩展到工作站,则原有的应用程序和网络软件都需要进行修改,需要开发专门的应用软件。目前ATM在局域网上的应用主要是通过局域网仿真(LANE)技术连接多个LAN交换机,作为各交换机之间的交换主干,而这种连接是以牺牲ATM最为宝贵的特性(QoS)为代价的,而且LANE过程中数据要重新分组、打包,会增加额外的开销。ATM的另一缺点是造价高。快速以太网是基于传统的10M以太网技术,采用与10M以太网同样的访问方式和同样的帧结构。所以大量传统的基于以太网环境下开发的应用不需要修改就可运行。快速以太网可以通过全双工(Full Duplex)获得200Mbps的带宽,特别是随着交换机的出现,全交换连接的以太网
13、完全消除了CSMA/CD技术在共享式以太网中存在的碰撞和冲突问题,网络传输效率大大提高,经IDC测试,在交换以太网环境下,快速以太网可利用99%的200Mbps带宽。Cisco的局域网交换机还具有虚拟连网支持功能,可以通过Cisco独有的ISL(Interswitch Link)技术通过快速以太网实现跨交换机的虚网连接。快速以太网的价格便宜、易于管理维护。通过对以上三种局域网技术的比较可见:ATM是整个网络技术的发展趋势,但目前缺乏丰富的网络应用,且ATM网络投资较为昂贵。100BaseT则完全兼容以前的10BaseT技术,拥有丰富的、成熟的应用支持,若采用100M交换以太网技术,也可获得很好
14、的性能。这两种技术都具有良好的扩充性和技术上的后向兼容性,能较好的保护用户的投资。FDDI的容错是一大特色,但技术方面已没有太大的发展余地,且投资较高。通过以上分析,结合市电力局实际,我们建议采用全交换的100BaseT、10 BaseT技术在市局、分局构建交换式网络平台l 交换式网络平台网络中心采用交换式以太网技术、虚网技术、虚网路由技术构建的交换式网络平台。中心机房局域网采用交换式以太网结构。传统的共享式以太网所有站点共享10M带宽,冲突和碰撞始终存在,一旦业务繁忙,网络利用率增大,网上大量的碰撞、等待和重发将造成传输的延迟和网络性能的急剧下降。据统计,当网络利用率为20%时,以太网性能已
15、严重下降;当网络利用率达40%50%时,网络实际带宽下降到只有2Mbps,这对于业务量日益增长的集中式应用来说是无法忍受的。 示意图如下:交换技术的使用将共享总线变为每对交换端口独占10M带宽,因而支持多个同时并发的会话,网络带宽得到极大扩展,完全消除了传统共享式以太网上的碰撞和冲突问题,在网络利用率为70%时,其交换速率仍稳定不变。因此,交换技术是取代易阻塞的传统共享式以太网的最佳选择。在局域网中选择CISCO交换机的另一大优势是具备VLAN(虚网)划分功能。虚网是将一个物理上连接的网络在逻辑上完全分开,这种隔离不仅是数据访问的隔离,也是广播域的隔离,就如同是物理上完全分离的网络一样,是一种
16、安全的防护。示意图如下:采用VLAN(虚网)技术及Cisco路由器的防火墙功能对整个网络进行管理和控制。通过VLAN划分,可根据需要在不同部门、不同的应用系统之间进行隔离,实现对跨系统、跨部门的访问控制,既保证了安全性,也提高了可管理性。不同的VLAN之间如需要互相通信,必须通过100M的快速以太网端口与路由器相连,由路由器提供虚网的路由。Cisco路由器运行的IOS软件,可以通过对数据包源点地址和目的地址、TCP端口号、包长等因素进行判断,决定是否转发,这就使得网络管理员可以通过配置,屏蔽某些不合法的访问,阻止了系统外部的非法入侵,在应用层一级进行了一定的限制。如:通过对应用进程TCP端口号
17、的限制可禁止某些工作站对主机进行Ftp或Telnet操作等,保障了网络的安全性。由于市供电局后期还要建设自己的OA/MIS系统以及其它的决策支持系统等,所以VLAN功能对于网络建设意义重大VLAN的划分及控制结构如下图:第二节、 广域网设计在广域网方面,目前的通信媒介有:FR、DDN、PSTN、X.25,在附录中我们对各种媒介的特性作了较为详尽的介绍。l 选型考虑在做网络规划和设计时除了要考虑迅速增长的计算机数量对网络的连接性要求之外,还需要考虑给通信网络提出的信息流量和性能方面的要求。Client/Server结构的应用系统要求网络通信具有高的传输速率,短的响应时间,能适应突发性通信的需求。
18、PSTN(公共电话网)是模拟电路交换网,通过调制设备可进行数据通信,PSTN提供专线与拨号线两种连接方式。由于是模拟电路,因而通信质量较差,速率也较低。电信局目前已不再提供PSTN专线。PSTN是最普及的通信媒介,Internet访问、广域网备份、DDR(按需拨号连接)等都大量使用PSTN拨号方式。在数据量不是很大,不需要永久连接时,PSTN拨号方式又是最灵活,最便宜的解决方案。X.25也是在模拟电路的基础上开发出来的,模拟线路的通信质量差,误码率高,因此,X.25网络的设计使用了OSI的下3层协议,网络从源点到终点的每一步都要进行大量的处理,在每一个节点都要对数据信息进行存储和处理,建立帧头
19、帧尾,并检查数据信息是否有错。因此在传输中引入了较多的延迟,实时性差。而且目前国内X.25网络的主干带宽较窄,网络拥塞较为严重,一些地区已达满负荷,已无法申请到X.25端口。随着帧中继业务的发展,X.25技术已显得落后,电信部门对X.25的建设投资也将大大减少,对电力局业务这种实时性要求高,业务量大的应用不建议使用这种传输方式。同样作为一种分组交换网络,帧中继只是使用了物理层和链路层的一部分,执行它的交换功能。与X.25相比,帧中继在第2层(链路层)增加了路由的功能,但是它取消了其它功能。例如在帧中继节点中不进行差错纠正,因为帧中继技术建立在误码率很低的传输信道上,差错纠正的功能由端到端的计算
20、机完成。在帧中继网络中的节点将舍弃有错的帧,由终端的计算机负责差错的恢复。这就意味着,帧中继交换机不需要像X.25网络中的交换机那样,在接收到确认之前要保存数据。同X.25相比帧中继的许多优越性能是由于它不需要进行第三层的处理,它能在每个交换机中让帧直接通过,即在帧的尾部还未接收到之前,交换机就可以把帧的头部发送给下一个交换机。在处理方面的这些减少带来了明显的效果。首先帧中继有较高的吞吐量,初始阶段帧中继能够提供T1/E1速率和带宽,在几年之内它将提供T3/E3的连接能力;第二,在帧中继网络中的时延很小。在X.25网络中每个节点进行帧检验产生的时延为510ms,而帧中继节点小于2ms。因而,帧
21、中继特别适用于突发数据流量的计算机数据通信。DDN与以上X.25和帧中继交换方式不同。它所提供的是独占的数字透明信道,在该信道中用户可根据需要使用各种传输协议,是一种类似专线的连接,其传输时延最小,在网络的安全性、保密性等方面都有很高的保证。从费用方面考虑,帧中继和DDN专线均采用固定收取专线月租的形式每月固定收费。就广州市来说,市内的DDN线路租费较为便宜,9,600bps的月租为1,080元,64Kbps为1,260元,两者差价很小。因此在使用时建议租用64K线路,使网络传输延迟大大减少,提高网络整体性能。 由于帧中继信道是统计复用的PVC,其月租费应比同样速率的DDN专用信道便宜,但目前
22、国内的帧中继属起步阶段,收费较不规范,还没有遵循一个统一的标准。就电力局实际情况而言,建网初期,由于业务流量不是很大,应用也暂不要求建立永久连接,因而PSTN拨号是较好的选择。随业务、应用的发展再向DDN或FR迁移,为此要求网络设计既要能支持拨号连接方式,又能向将来的高带宽网络无缝升级。在广域网的设计中,我们描述三种连接方式:PSTN拨号方式、DDN专线方式、FR方式。l PSTN拨号方式:通过Dial-On-Demand(按需分配带宽),可实现在需要对中心节点进行访问时由路由器自动建立拨号连接,当一段时间无业务流量时,路由器会自动断开连接,使用方便且节省费用,中心网络分中心PSTN业务负载M
23、odemModem网络中心拨号示意图如下:l DDN专线方式: 在业务量扩大时,可考虑DDN专线方式,通过路由器的高速同步口经DDN信道直接与网络中心的核心路由器相连,并且由路由器提供的自动拨号备份功能实现对通信线路的备份,避免由于线路故障所造成的业务中断。网点的接入可采用分层树型结构。这种分层结构可大大减少对中心路由器的广域端口需求,减少投资。这种网络分层结构对C/S的应用完全透明。各分中心与网络中心之间通过拨号线路实现网络主干的负载分流和备份功能,保证各分中心与网络中心之间的可靠连接。连接方式如图: DDN专线方式 l FR方式: 如选用帧中继信道,由于帧中继采用的是一种统计复用技术,其虚
24、电路连接技术本身就支持一对多的拓扑结构,因此要实现多个网点的接入,只需在中心申请几个高速率的帧中继端口,在中心路由器的端口上分别对每个远程网点定义一个PVC连接;在各网点申请一条较低速率的帧中继端口,通过路由器与中心相连。网络拓扑结构如下:l 网络可靠性电力局业务网络必须考虑高可靠性与高可用性,任何由于设备故障或通信线路故障所造成的业务中断都将给电力局带来损失,因此必须充分保证网络运行的可靠性,在中心网络设备选型时,核心交换机、路由器必须具有冗余体系结构。将来业务量扩大后,采用DDN或FR作为通信主干,为保障广域网的可靠性与高可用性,需要对网络的通信线路进行备份。从使用方便和节省费用等方面考虑
25、,在本方案中对中心机房与网络分中心以及配备了路由器的网点之间的通信线路采用拨号方式进行备份,如果一个网点与主机通信的DDN线路出现故障,则该网点的路由器会监测到这一故障,并通过其备份端口自动拨号连接中心用于拨号备份的访问服务器,恢复正常通信,实现故障的自动恢复,保证了中心与网点的可靠连接。而且当DDN线路恢复正常之后,通信会自动切换回去,同时释放拨号线路。拨号备份示意图如下:其原理如下图所示:在业务繁忙时,拨号线路还可提供对主干信道的负载分流:当主干信道负载超过一指定门限值时,路由器将自动启动拨号功能,激活备份端口,建立网点与中心主机的第二条连接,进行负载分流;而当主干信道的负载恢复正常,低于
26、另一门限值时,备份线路又将自动释放,将连接中断。 原理如下图:这样,任一台路由器或任一条通信线路出现故障,具有冗余连接和备份功能的这部分网络均可通过路由协议的快速聚合在短时间内完成切换,保证网络中心与网点的可靠通信。l 2.6 网络管理 网管是成功网络重要的一环,一个真正好的网络系统应该具有很好的可管理性。必须具有一个功能强大、界面友好和易于操作的网管系统。 网管应在友好的图形化界面下,通过很简易的操作,对网络设备和资源进行全面的监控、配置、维护及故障诊断。应具有自动安装管理、配置文件管理、软件管理、安全管理、环境监测等功能,可提供关于网络互联产品的状态、数据和综合配置信息的动态报告,可图形化
27、显示物理设备的运行状态,并提供监测功能及基本故障诊断功能。第四章 、具体网络架构第一节 需求与目标电力局作为一家较大规模的企业,近年来业务不断拓展,迫切需要建设自己的计算机业务网络系统与之适应。作为整个系统的基础,网络建设至关重要。业务数据的安全是极其重要的。因而数据访问的安全控制需要慎重考虑。网络系统应具有较低的时延和高度的可靠性,应避免由于通信线路中断以及设备故障等原因而造成的业务系统瘫痪。本网络方案在满足现有网络需求的同时,考虑到当前网络技术的发展,以及今后几年的业务需求,能为以后业务的发展提供完备支持。既注重网络整体性能的提高,也强调投资保护。本章从电力局实际情况出发,充分考虑了安全性
28、、可靠性、可扩展性及可管理性,提出了总体的网络解决方案。方案描述分为网络中心设计、广域网设计、末端网点设计,随后对安全性、可管理性做了详尽的阐述。第二节 市局网络中心建设由于市局网络中心的局域网要支持150个站点,且是广域网流量的汇聚点,因而建议采用高性能的局域网交换机Catalyst5500构建网络中心交换式网络平台。提供与中心设备,如业务主机、OA/MIS服务器、路由器等的连接,同时也提供与OA/MIS等管理系统所使用的下一级交换平台的连接。由于Catalyst5500具有大量可配置的插槽、双电源冗余,支持10BaseT,100BaseTX,10BaseFL,100BaseFX,FDDI,
29、ATM等模块,交换背板具有50G bps 的带宽,在满配置的情况下,交换端口的性能可达1000 万pps,因而可充分解决中心局网拥挤的问题。而作为广域网和局域网互连的核心,中心路由器是网络通信的汇聚点和通信中枢,在网络中起着举足轻重的作用,因此,在本方案中选用业界高性能的Cisco7206路由器,可应用于交换虚网路由、网络多媒体应用、IBM网络和主机互连等。中心路由器通过100M以太网连接Catalyst 5500交换机,作为系统的核心路由平台,同时对中心局域网提供VLAN路由。Cisco7206路由器可以拨号方式连接分中心,也可以DDN专线方式连接分中心。网络中心的拨号备份由AS2511实现
30、,可提供16个异步拨号访问端口,具有很高的端口密度和性价比,在提供拨号备份的同时还可为部分远程网点提供PPP或SLIP的异步访问接入。第二节 分中心网点建设各个网络分中心在整个系统中的作用是一个网络汇聚点,将所辖各营业网点与中心的通信会集到一条主干信道,提供各营业网点与中心以及分局内各营业网点之间的通信服务,是网络中的主干结点。分中心的计算机站点约有100个,因而也适合交换平台的设计。建议采用Catalyst 3000交换机作为局网中心。Catalyst 3000是一个可堆迭的高性能局域网交换机,最多可由8个Catalyst 3000进行堆迭,统一由一个Matrix来管理,使其带宽达到4.8G
31、bps,堆迭支持冗余Matrix连接,因而具有很高的可靠性,其高速端口能支持快速以太网和ATM模块,能直接和ATM/100BASET 交换机互连并能满足将来升级的需要。各网络分中心配置一台AS2522访问服务器,向上通过一个高速同步口经PSNT/DDN信道与中心的核心路由器Cisco7206连接,同时通过异步口实现与中心AS2511的拨号备份连接,保障与中心的可靠通信。每台AS2522有8个同异步口,经DDN或电话线提供对所辖各营业网点的通信连接。第三节 末端网点建设末端网点通过CISCO 2507路由器经PSNT/DDN信道以较高速率与分中心CISCO 2522路由器相连,并通过拨号备份功能
32、实现与中心AS2511的拨号连接,保证可靠通信。Cisco2507具有很高的性能价格比。是Hub + Router 的集成产品,具有16端口的Hub,可以很方便地组建一个局域网,减少了组网时对HUB的需求,既简化了网络连接,又减少了故障点;而且其集成的Hub具有SNMP 功能,通过CiscoWorks 网管平台,中心网络管理员除可对路由器进行远程监控配置外,更可管理到所集成Hub的各个端口,获得网点局域网的实际操作情况和统计数据。以上是针对市供电局业务网络系统所提出的一个具体网络架构,该架构基于市供电局的需求,同时考虑了今后的业务发展,以及国内电信发展状况,并结合当前网络的最新技术,所以整个网
33、络系统具有很好的性能、可扩展性和灵活性,可完全满足今后较长一段时期内业务发展的需要,除了可对业务系统作出完好支持之外,还可对今后OA、MIS系统的建设,Internet接入,以及客户自助服务、移动办公等提供很好的支持。网络总体方案图见下页。第四节、网络安全性对供电系统来说,安全性的保证是重要问题。网络系统作为整个业务系统对外的第一道安全屏障,如何有效地防止外来的非法入侵,保障系统安全,具有重大意义。具体实现如下:一、局域网安全性网络中心采用了虚网技术。虚网技术如前所述,是一种安全的防护。由于供电局后期还要建设自己的OA/MIS系统以及其它的信息系统等,所以VLAN功能对于网络建设意义重大。在业
34、务、OA、MIS以及Intranet等系统都连到中心局域网后,可通过把不同的系统划分在不同VLAN的方式,将各系统完全隔离,实现对跨部门访问的控制,既保证了安全性,也提高了可管理性。不同的VLAN之间如需要互相通信,必须通过100M的快速以太网端口与路由器相连,由路由器提供虚网的路由和访问控制。VLAN的划分及控制结构如下图:业务主机VLAN1网管平台100MVLAN2VLAN路由二、广域网安全性系统支持不同的应用和多种协议共用同一通信信道和网络设备,数据在网络上的流入和流出均由路由器进行控制,不同应用的数据定向到不同的设备,不会造成任何冲突,实现了在一个物理网络上运行多个逻辑网络。对放到各网
35、点的远程路由器可由中心的系统管理员进行远程管理,实现集中控制,保证安全性。对于本系统来说,广域网的通信信道既有租用的DDN专线,在拨号备份以及远程拨号访问中又使用了公用交换电话网(PSTN)。由于目前DDN各网络端口之间有固定的连接定义,用它构造的用户网络具有一定的封闭性,而PSTN则完全是一个大家都可以使用的公共网,所以在广域网的安全控制方面,对远程拨号访问的安全控制显得更为重要。要保证网络访问的安全,对所有远程连接都应设置AAA(Authentication Authorization Account,即认证、授权、记帐)级安全控制,防止非法用户的访问。具体的实现细节如下:在中心局域网配置
36、一台安装CiscoSecure软件的服务器,CiscoSecure软件使用TACACS+(Enhanced Terminal Access Controller Access Control System)协议提供对网络的安全控制,并对连接到网络的用户的操作进行记录。对于远程拨号访问,还应配置PPP协议提供的CHAP(Challenge Handshake Authorization Protocol)认证协议,该协议是一个基于标准的认证服务,而且在传输过程中使用加密保护,与在传输用户ID和口令时不使用加密的PAP协议相比,具有更大的安全性,可提供用户ID和口令在传输线上的安全保护。TACAC
37、S+提供的AAA级安全控制首先根据用户名和口令识别本网络是否允许该用户访问,从而决定是否建立连接;其次对经过认证连接到网络的用户授予相应的服务级别,提供访问的限制;最后保留用户在本网络中的所有操作记录(日志)。这些记录的内容包括用户网络地址、用户名、所使用的服务、日期和时间以及用于计帐的连接时间、连接位置、数据传输量、开始时间和停止时间等。AAA在Client/Server体系中允许在一个中心数据库中存储所有的安全信息,在一台装有CiscoSecure软件的安全服务器上通过对数据库的修改和维护就可方便地对整个系统进行很好的安全控制。CiscoSecure软件由一个Daemon和一个GUI两部分
38、组成。Daemon的操作依赖于两个文件,一个用于定义所有系统参数的控制文件和一个包含了网络用户所有认证和授权信息的数据库文件。GUI提供给系统管理员用于维护认证和授权信息等,网络用户可被分配到具有一系列相同参数的组,GUI使系统管理员能够修改网络中任一组和任一用户的认证和授权参数。网络访问的安全控制过程如下:TACACS+ProtocolDBs AccountingAuthorization ResponseAuthorization RequestUser AuthenticatedUser ID and PasswordCiscoSecure ServerTACACS+Protocol移动
39、办公拨号访问AccessServerAuthenticationAuthorizationAccounting首先,当用户使用PPP协议对网络进行拨号访问时,访问服务器将通过CHAP协议输入的用户名和口令送到CiscoSecure服务器,由TACACS+协议根据数据库的信息进行认证,并把认证结果传回访问服务器,如认证成功,访问服务器将与远端建立连接,否则中断连接。建立连接后访问服务器向CiscoSecure服务器送出授权请求,服务器根据数据库信息将该用户所具有的访问权限的描述传回访问服务器,提供更多的安全控制。这些访问控制信息包括该用户的访问控制列表,指定该用户可使用的服务以及该用户会话可延续
40、的时间等。最后访问服务器会将用户在网络中的每一个操作记录到CiscoSecure服务器中。由于Cisco路由器运行的IOS软件,可以通过对数据包源点地址和目的地址、TCP端口号、包长等因素进行判断,决定是否转发,因此上述由CiscoSecure服务器传给访问服务器的访问授权信息(如访问控制列表、访问服务控制等)将由该访问服务器实施,屏蔽未对用户授权的访问,防止用户对局域网中其它主机进行非法访问等。通过对应用进程TCP端口号的识别,控制用户对主机可进行哪些访问服务(如通过对TCP端口号的限制,可限定某用户在本网络中只能运行某一指定的应用服务),从而在应用层一级进行了安全控制,保障了网络的安全性。
41、第五节 网络系统的可视化管理 网管是成功网络重要的一环,一个真正好的网络系统应该具有很好的可管理性。Cisco公司提供的可视化管理平台CiscoWorks是一系列的基于SNMP的网络管理应用软件,支持当今流行的HP OpenView、Sun NetManager、IBM NetView、Windows等图形化网管平台,它使用户能在一个集中的平台上,在友好的图形化界面下,通过很简易的操作,对Cisco网络设备和资源进行全面的监控、配置、维护及故障诊断。CiscoWorks具有自动安装管理、配置文件管理、软件管理、安全管理、Cisco互连、环境监测等功能,它提供了针对Cisco网络产品进行管理的一
42、些特有的功能。CiscoWorks所包含的CiscoView产品可识别网络中每个Cisco互联设备的型号,显示该设备的面板图象,用不同的颜色标记该Cisco设备每个端口的状态,提供该设备的数据和综合配置信息的动态报告,并提供监测功能及基本故障诊断功能。第六章 工程实施l 为保证工程的顺利实施及工程质量,必须通过市供电局、南天及各产品供应商的通力合作,加强项目实施管理。第一节 工程计划工程从市供电局与南天合作协议签署之日正式起动。各方人员应做好充分准备,确保工程所需资金、人员及其他必要条件及时就绪。南天十分重视这次与市供电局的合作,将派出强大的技术人员队伍参与系统工程的设计和开发。市供电局与南天
43、有关合作协议签署之日由市供电局与南天双方领导正式成立工程领导小组。工程领导小组在一周内指定项目经理,并协助其迅速组成其他各工程组,确定项目实施详细规划。 规划包括南天工程师与市供电局工程人员共同商讨具体系统参数、测试计划、测试验收标准、工程具体实施规划等等。其目的在于根据工程的决策、需求和对余下部分实施内容的定义,提供详细的工程计划。规划包括如下几项:l 确定此项目中双方的工程组织l 建立工程管理指导方案l 商讨并确定所有的测试计划及其期望结果l 准备所有系统配置信息l 准备最后详细的工程方案,包括实施中的具体操作l 确定所有设备及软件产品的清单l 建立质量保证方法及实现过程l 组建项目管理组
44、,成员包括双方员工l 建立验收步骤及计划2.2.1 场地准备在进行硬件安装之前,现场规划将至关重要。场地准备由市供电局负责,南天将协助堪查现场并提出建议来保证设备运行所需的最佳环境。合同签订后,南天的代表与市供电局以电话或会晤方式接触,以讨论场地准备的需求,包括技术上的场地考虑、准备及安装。2.2.2、安装此过程涉及软件、硬件实际安装及在其过程中进行的初级测试,包 括:l 硬件、软件安装、调试、验收在设备及软件已被供货及场地符合场地准备的要求的前提下,南天及相关供货商将依据双方同意的时间计划进行系统的安装。包括标准软件安装及网络软件中的系统和工具的安装,并运行可实现的确认测试。l 网络系统安装
45、/测试接收南天提供对市供电局系统整套的网络集成服务,以保证系统在网的连接及可互操作性,其包括: 连接所有服务固件及网络设备内客户/服务器网络系统驱动,并据网络信息准备中确定的参数进行配置。 以在网络互连信息准备中提供的参数,启动路由设备和网关系统的路由器件。 提供标准方法(ping,rlogin,ftp) 进行系统安装的连通性和传输性能测试。连通性测试要保证中心到所有网络节点以及网络节点到中心都可Ping通;传输性能测试要保证网络上的文件传输速度达到系统设计要求。第七章 技术支持及服务本章涉及的技术支持及服务指南天向用户提供的标准技术支持及服务及基于对市供电局项目的高度重视而提供的特别承诺,需
46、要说明的是技术支持及服务不可避免的涉及各方一定费用的支出,需要各方在商务过程中协商。第一节 服务内容1.1 场地规划服务为用户提供机房场地标准,根据场地标准对主机房各指标进行检测,提供主机房场地的系统布线建议。 1.2 通讯线路调测服务在当地电信部门的配合下,与市供电局有关人员一同调试各种通讯线路,测试通讯线路的稳定性,负责主机、网络设备与通讯线路的连接与调试。 1.3 开箱、验货;主机、网络系统安装和调试设备到货后,南天及其产品供应商将派出业务人员及工程师会同市供电局有关人员一同开箱、验货,并提交设备验货报告,经由双方有关负责人签字认可及有关条件具备后,由联合项目组南天技术人员负责,实施网络
47、系统安装及调试;并协助广州-市农村信用社技术人员进行应用测试,保证其投入正常运行,完成后提交有关报告。1.5 网络系统及设备维护为用户提高网络安装与启动服务、网络节点设备安装、相关节点设备的网络环境定义及参数配置、启动网络运行、实现网络各节点设备的物理联通及相互间的远程登录、完成网络间的文件传输、网管站点安装、网管软件配置、启动等工作。1.6 设备软/硬件升级用户提出设备软/硬件升级要求时,南天及其合作伙伴负责安排技术人员提供技术支持,用户须支付升级费用;升级完成后,提交详细系统升级报告备案。1.7 用户的技术培训服务对用户进行各种级别的技术培训,即操作人员、维护人员、管理人员及程序开发人员,并提供操作手册及有关技术资料。第二节 服务方式南天指定专门技术工程师负责人负责对市供电局计算机系统的服务与支持;联合项目组中南天成员具体实施用户现场售后服务;南天技术部人员有责任通过电话或其它方式解答用户问题,任何南天人员均有义务协助用户联系有关人员解决用户问题。2.1 响应时间对于用户提出的问题,在24小时内明确答复;电话不能解决的故障,有专门技术人员将及时到达用户现场,实地服务;指定的售后服务负责人应有2到3人。2.2 提供境内境
