|
上海市社会主义学院
计算机网络系统设计方案
当今,随着internet和intranet技术的迅猛发展,网络互联技术正在经历一场深刻的变革,计算机通讯技术发展速度令人目不暇接。在广泛使用局域网、广域网和互联网技术,采用路由器、交换机、千兆主干网和远程接入访问设备的同时,新的技术和应用不断涌现,如外部网extranet,虚拟网vpn,推进技术push/pull,网络广播netcast等,将很快地在校园网络中得到应用。除了数据库技术、办公自动化技术、实时数据传递和浏览查询技术以外,还有图像处理、数据分析、桌面电视会议、多媒体技术等,使计算机网络系统的服务需求大大增长。另外,为了适应当今及未来计算机网络的发展,有关的网络环境还应适应多种通讯协议和计算平台的异机种(包括小型机、工作站、服务器、桌面微机),且能顺利实现平稳升级,并加以扩充,最终使之全部采用互联网络协议ip,将应用完全建立在ip统一协议和internet/wordwide web服务平台之上。
作为上海市社会主义学院信息化基础神经中枢的计算机网络系统,将在学院采用先进的楼宇综合布线系统基础上,通过光纤和超五类双绞线将分布在不同地方的网络设备与计算机系统连接起来,形成一个统一的有机的整体,以满足学院各个部门计算机应用的要求。网络互联技术是学院内部各处室和领导部门与外界通信的重要环节,籍此可以传递数字、文字、语音、图像等多媒体信息。由于计算机网络系统是面向二十一世纪的信息处理系统的基础,因而对该部分网络的建设应进行全面的规划,在保证可靠性的前提下能够适应新技术的发展潮流,以避免重复投资和建设。
上海市社会主义学院计算机网络应具备下述特点:
(1)先进性:为了适应当今世界计算机技术、通讯技术的飞速发展,在保证系统运行高效可靠并具有较长的生命周期的需求下,尽可能采用性能优异的网络通信设备和先进成熟的网络技术,以保证学院的计算机网络系统在若干年后不会因产品的更新换代而落伍淘汰。
(2)安全性:目前网络的安全问题已经成为国际网络界首要的问题,上海信息服务业的不断发展,安全性问题日益突出。上海市社会主义学院作为市级高等政治院校,其特殊性决定了该系统的安全性问题十分重要,因此,安全性考虑将在系统中显得十分突出。
(3)互连性:在计算机网络中,技术和设备的多样化一直是必须着重考虑的问题。现有的千兆网、高速以太网、fddi等各种网络技术,光纤、双绞线等各种通信介质都可能在网络中出现。另外还要考虑到与外界网络互连的要求,这就要求系统必须有极好的互连性,即目前国际上比较突出的“any-to-any”的要求。
(4)标准性:网络中选用的所有技术、标准、协议、接口都必须符合有关的国际标准,千兆网络、快速以太网,以太网应符合ieee802.3系列标准。
(5)可靠性:随着计算机网络上应用内容的不断增加,网络的可靠性就显得十分重要。整个计算机网络的电源须冗余连接,构成多通路的备份电源。
(6)灵活性:整个网络应该支持多种网络结构及其相应的技术和协议,例如主干交换机应该可以同时支持千兆网和快速以太网等高速通信模块,也可支持100m和10m的各种端口。
(7)可扩充性:计算机网络随着机关业务的发展其数量和性能扩充必然还会持续下去,因此系统的可扩充性就较重要,设备在今后的升级和扩容要十分的简便和安全,且不需要再重复投入大量的资金,这与系统标准性十分密切。
(8)易管理性:网络应该支持集中、统一的网络管理视图和图形化管理界面,网络管理软件可以在通用的网络管理平台上使用。网络管理系统能够实时监测所有网络设备的工作状况,分析和报告网络工作流量,动态平衡网络负载,在网络设备发生故障时能及时报警并提供相应的必要处理。
(9)易操作性:在网络的建设和安装,以及以后的运行管理中,系统的易操作性是必须重视的课题。网络设备的配置和管理应该有非常友好的界面,一些底层的操作应该由网络设备自动完成。网络设备应该自动刷新和保存数据,减轻在网络安装和管理中的管理人员工作负担,减少人为失误的发生,提高工作效率,缩短系统修正的响应时间。
上海市社会主义学院计算机网络系统从网络的安全性考虑,分为intranet网络(简称内网)和internet网络(简称外网)两套独立的计算机网络系统。从地理位置看学院共有4层、10层、11层、12层四个层面,二个网络同时分布于其中。在每个网的网络核心设有若干台网络服务器,并通过高速千兆主干链路与交换机相连。内网作为学院内部教学管理网络,由它来完成学院的日常教学办公、vod视频点播、多媒体网络教学和学院内部的数据资料共享等工作。外网作为学院访问互联网和学院网站建设(二期项目)的信息通道,由它来完成学院与外部信息交流的任务。由于内网和外网互相之间物理上独立且无任何介质相连,各自形成一个独立的网络系统,故整个计算机网络系统具有很高的安全性。
一、计算机内网网络系统
内网是上海市社会主义学院内部教学办公的计算机网络系统,该网络系统不仅有大量的应用系统,还有vod视频点播系统、多媒体培训教学系统在内网上传输通讯。基于学院的应用需求,并考虑到系统的先进性,本方案对内网网络系统作以下方面的设计。
1.千兆位主干网络
内网网络系统采用千兆位以太网主干结构,千兆位以太网是在100base-t的基础上发展起来的超高速网络技术,根据ieee公布的802.3z和802.3ab千兆以太网的标准,其标准定义了同一个mac层规范下可以支持的多个物理层规范。而协议体系结构表明,千兆以太网支持新的全双工操作模式及共享式连接采用了半双工操作模式,其中全双工模式在点对点交换链路中可以提供更宽的带宽。其传输介质主要为单模光纤、多模光纤及非屏蔽双绞线或同轴电缆。采用单模光纤其传输距离可达2公里,采用50微米多模光纤的传输距离为200米,而使用62.5微米多模光纤的距离为550米。目前,网络厂商还在对光纤技术作进一步的研究,以使其可支持更长的传输距离。
千兆以太网标准采用新的全双工传输模式,在一对线上可以同时用于发送和接收信息,各工作站传输的数据在不同的线对进行,传输之前不需再等待,因而没有了冲突的发生。
当网络中传输的信息类型和流量不断增长,现有的信息高速公路严重阻塞时,千兆以太网和atm采用两种不同的思路来解决这个问题。千兆以太网是大幅度拓宽带宽,从根本上解决带宽不足的问题,管理上无需作大改动,也就是说进行“硬件扩建”,“软件”基本不动,而atm是在现有带宽基本不变的前提下,利用qos机制,加强管理,也就是说在“硬件”基本不变的情况下,进行“软件管理”。从这两种思路不难看出,千兆以太网比atm来得更革命、更彻底,而且由于千兆以太网“硬件扩建”的费用比atm“软件管理”的费用更低,花更少的投资得到更多的带宽。所以,千兆以太网无疑是以太网的进步,快速、廉价的第三层交换功能大大方便了用户。
2.CISCO catalyst 4006主干交换机
CISCO catalyst 4006主干交换机为计算机网络系统提供高性能、中等密度的、10/100/1000m的以太网模块化交换平台,最适用于需要36g以太网端口的网络系统。它利用多千兆比特结构,为10/100/1000m以太网交换提供智能第三层业务。CISCO catalyst 4006交换机能达到惊人的每秒1千8百万数据包(pps)吞吐量,并带有24g的带宽结构。使用灵活的可热插拔gbic(千兆比特接口转换器)模块,可提供1000base-sx(多模)或1000base-lx/lh(单模或多模)模块。此外,该交换机提供的带宽和可扩展性可不断发展,以满足要求更高的客户机和服务器主机系统的吞吐量和网络响应时间的需要。模块化机柜形式使它具有灵活的模块化配置,可为10/100m速度的业务提供广泛的端口密度。
catalyst 4006机柜可提供:
l
六个插槽的模块化机柜,其中一个插槽预留给交换引擎,其余五个留给交换模块;
l
两个电源架,可支持冗余(可选),负载分担、容错的ac电源;
l
一个可插拔的风扇托架;
l
单个ip地址管理程序;
l
端口、电源和链路冗余度。
catalyst 4006系列产品支持以下交换模块:
l
48端口10/100m以太网模块,该模块可提供48个端口的专用10/100以太网交换功能,适用于以太网和高速以太网客户机和服务器交换;
l
32端口10/100m以太网加2端口千兆以太网路由模块,该模块可支持高性能的第三层交换,具有8gbps的路由带宽,6mbps的包转发速率,支持ip、ipx和ip multicast的路由,以及rip、rip ⅱ、ospf、igrp、eigrp、hsrp、cgmp、icmp、pim、dvmrp等路由协议,并带有服务质量控制(qos)及加权循环(wrr)。
l
6端口千兆以太网模块,该模块提供6端口的专用千兆端口。用于高速主干网交换机到接入层交换机应用和服务器群的应用。它使用了通用gbic技术,实现建筑物内多模连接可同远距离园区网单模连接混合。
l
18端口千兆以太网模块,该模块旨在实现经济高效的千兆以太网服务器群联接,而不是主干网交换机到接入层交换机应用。它提供两条专用千兆以太网上行链路,而且每个模块有16个端口,以实现高性能千兆以太网服务器连接。在业务突发时,可得到交换结构中8gbps的全双工宽带的处理能力。因所有端口均使用gbic,超预定数量可通过改变所用标准的ieee802.3x流量控制(pause帧)机制来控制千兆比特以太网主机业务量。
5.CISCO catalyst 3524xl接入层交换机
CISCO systems catalyst 3524xl交换机是一个可扩展、可堆叠的10/100m和千兆位以太网交换机。该系列低成本、高性能的交换解决方案通过一个独立的高速堆叠总线保留桌面端口,提供下一代可堆叠的交换。该交换机具有10gbps的交换主干,最高转发速率每秒钟740万个数据包,最大转发带宽达5gbps。内置的千兆位以太网端口适合插入各种gbic收发器,包括CISCO gigastack gbic、1000basesx和1000baselx/lh gbic。低成本的2端口CISCO gigastack gbic通过在菊花链连接中提供1gbps的连接,或者在专用的交换机到交换机连接中提供2gbps的连接,并提供广泛的可配置的堆叠和性能选项。此外,CISCO交换机集群技术允许用户使用基于标准的以太网、快速以太网和千兆位以太网介质组建一个由16个catalyst 3500xl、2900xl和1900交换机组成的单一ip地址管理网络,而不受它们的地理位置的限制。
综上所述,我们给出了上海市社会主义学院内网网络系统图(见附图)。该内网网络系统采用1000m以太网主干结构,10/100m交换带宽到每个工作站,主交换机采用一台CISCO 4006主干交换机,在主交换机上配置一个6口1000m模块,提供主交换机与楼层交换机和服务器的1000m连接,提供上海市社会主义学院10楼至12楼的各工作站与内网网络的10/100m的自适应交换带宽连接,共96个端口。在4楼采用一台CISCO 3524作为接入层交换机,通过千兆模块与主交换机连接,提供4楼工作站24个10/100m自适应端口。值得说明的是如采用CISCO 3512交换机同样能满足目前上海市社会主义学院的需求,但基于将来的扩展需求和端口性价比这两点考虑,在本方案中采用CISCO 3524交换机作为楼层交换机。
4.服务器子系统
上海市社会主义学院内网网络系统中的服务器采用一套双机服务器组,使用两台hp lh6000网络服务器,通过legato octopus ha 3.1双机双工系统,将两台服务器组成一个双机系统,在日常状态下,主服务器正常工作,提供网络服务,副服务器实时检测主服务器的工作状态,一旦主服务器出现故障停止工作,副服务器立刻接管主服务器的工作状态(如ip地址、服务器名等)继续提供网络服务。
hp netserver lh 6000/6000r具有出众的性能和可伸缩性,可满足不断增长的企业应用需要。hp netserver lh 6000是hp netserver lh 4的换代产品,它以上一代产品所具有的业界领先的特性为基础,i/o系统性能更卓越,高可用性及高可伸缩性更得到了空前的提高。hp netserver lh 6000最多可配置6个intel pentium iii xeon处理器,8gb pc-133 ecc sdram内存,12个ultra2或ultra3 scsi热插拔驱动器,内部热插拔硬盘存储容量可达216gb。该机提供8个64位pci插槽(包括2个66mhz插槽),三对等pci总线。该机还提供包括集成高性能的基于硬件的hp netraid磁盘阵列控制器,最大128mb高速缓存,时钟频率100mhz,长达72小时的可选电池备份,4个热插拔pci插槽,热插拔磁盘驱动器、电源和风扇。
hp netserver lh 6000前端总线频率为100mhz,最多支持6个intel pentium iii xeon 700mhz处理器。intel pentium iii xeon 700mhz处理器,每个处理器带1mb或2mb二级高速缓存。标配256mb pc133 ecc sdram内存,最大内存容量为8gb(最大可用内存为7.3gb)。集成双通道ultra2 scsi hp netraid磁盘阵列控制器,带32mb高速缓存(可扩充至128mb),可选电池备份,附加单通道ultra wide scsi控制器。4个可正面拆装的(半高)托架,12个可正面拆装的热插拔托架,支持ultra3 scsi的热插拔驱动器背板,最大内部存储容量可高达436.8gb(12×36.4gb薄型硬盘),外加2块36.4gb公用托盘非热插拔硬盘可使最大内部存储容量达到509.6gb。集成视频子系统,支持1024×768、256色分辩率,刷新率为60-75hz,标配2mb显存,操作系统提供super vga驱动程序。
综上所述,内网服务器使用MicroSoft windows nt网络操作系统,安装MicroSoft sqlserver数据库管理系统、lotus domiuo notes r5管理系统。学院内网lh netserver 6000服务器主要配置如下:
l
CPU:PIII Xeon 700 (1M Cache)×2
l
内存:1024M pc133 ECC sdram
l
硬盘:hp 18.2g scsi hot swap (10000rpm) ×4
l
阵列卡:netraid (level 5) 集成
l
网卡:10/100M 集成(主、副服务器互连用)
3com 1000m网卡(连主交换机)
内网主、副服务器各使用4个scsi硬盘,利用hp服务器上的磁盘阵列卡将这些硬盘组成一个磁盘阵列,可以保护硬盘中的信息不因个别硬盘的损坏而受到破坏。
内网服务器上的信息数据通过hp surestore dat 40×6磁带机及ca arc备份系统进行数据备份,以防系统出现致命故障时的信息丢失。
hp surestore dat 40×6磁带机可满足数据备份的最严格要求,该机每条备份磁带容量达40gb,持续传输率达每小时21.65gb,读写兼容dds-4、dds-3和dds-2介质,读兼容dds-1(90米)。hp tape tools使自诊断和故障排除比以往更方便,tapealert对备份状态实施连续监测。包含多语言lcd前面板显示器、指导手册及备份软件,兼容主流服务器、操作系统及备软件。hp dds-4介质通过极端条件下的测试,具有最高的质量和可靠性。
hp surestore dat 40×6磁带机主要技术规格如下:
l
容量:自选加载磁带机包含一个可移动的6槽机匣。建议配置5盘dds-4数据磁带,外加盘清洗带。每盘dds-4磁带的容量为40gb。
l
记录格式:ansi/iso/ecma dds-2,dds-3,及dds-4。
l
介质:dds-4(40 gb),dds-3(24 gb)及dds-2(8 gb)。
l
接口:lvd/se wide ultra scsi-2。
l
持续传输率:使用dds-4数据磁带时,本机3mb/s(10.8gb/h),硬件数据压缩后典型值为6mb/s(21.6gb/h)。
l
磁带加载时间:典型值为4秒。
l
搜索速度:使用dds-4数据磁带时的平均文件访问时间为40秒。
可靠性:
l
mibf:占空度30%时为100,000小时
l
msbf:50,000次交换
ca arc备份管理软件为各种企业提供综合性存储管理标准。这一备份/恢复技术领域世界领先的产品提供轻松自如的管理、高性能和无与伦比的可靠性,保护最有价值的商业资产——数据。arcserve it向企业提供能满足日益增加的储存管理要求,包括全企业范围的集中式管理、综合性客户机/服务器支持、在线备份、支持光纤通道和共享设备的先进存储介质管理。
arc serve it企业版向windows nt和unix服务器平台提供高性能,自动化存储管理,并把保护扩大大到任何客户机,包括windows 3.x、95/98和nt、netware、macintosh、os/2和各种unix平台。
serve it企业版可从单个windows nt控制台集中地管理所有企业范围的存储活动,能帮助你养活管理时间和提高生产率。通过arc serve it管理程序的远程接入服务(ras),从远程位置可以很容易地访问所有管理功能。此外,利用基于java的管理控制台,管理员也可使用web浏览器从任何地方管理arc serve it unix服务器。
arcserve it企业版软件特点:
l
容易部署
安装 arc serve it很简单。为提高部署速度,arc serve it可以在整个企业内远程安装其选项和代理。
l
卓越的性能
arc serve it可同时备份、恢复或者向/从多个设备复制数据,使性能达到最大限度。为增强远程客户机数据的性能,arc serve it使用“推动式”客户代理技术,在客户机对数据预先封装,然后再传送给arc serve it,以便节省服务器cpu资源,使信息最增加到最大限度。
l
存储介质管理
arc serve it可提高管理人员的生产率和消除意外覆盖情况的产生,可使监控介质使用和再循环作业实现自动化,从而以使备份/恢复操作简单易行。
l
自动化灾难恢复
arc serve it的灾难恢复选项提供最快、最胡效的恢复故障服务器的方法。如果灾难发生,为迅速而有效地全面恢复系统,只需要恢复软盘、操作系统光盘和全备份磁带即可。
l
在线应用程序备份
arc serve it支持主流的应用程序、数据库和消息/群件系统的每周7天每天24小时的在线式备份和恢复。代理可用于MicroSoft sql服务器、oracle、informix、sap r/3、MicroSoft exchange和lotus notes。这些代理提供数据的完整性保障,并使用户在任何时候执行例行备份的同时可以继续正常工作。
l
“打开”文件备份
arc serve it的“打开”文件备份代理提供所有已打开的文件——甚至那些已被锁定文件的备份。这种已取得专利权的技术有助于确保任何处于找开状态的文件夹不会被一遗漏或被错误备份。该代理可确保在不中断在线操作的情况下完成所有备份工作。
l
企业存储库支持 arc serve it的企业存储库选项支持光纤通道,利用该选取项共享整个专用存储网络的存储设备,可使用户在这些设备方面的投资取得最大成效。
l
网络化存储库支持
arc serve it的网络化库选项可利用自动化盒式系统存储库软件来管理和共享大型磁带设备。
l
数据迁移
arc serve it的数据迁移选项可提供数据灵活的迁移和迁移解除(de-migration),从而能使你通过自动迁移网络上存储设备之间的数据,来管理在存储介质的容量。
l
智能报警
本地和远程管理由于arc serve it的智能报警系统而得到增强。可根据你的策略利用arc serve it来发送基于每事件和每作业的消息。报警方式包括寻呼机、电子邮件、简单网络管理协议陷井(SNMP trap)、故障登记表、事件记录、网络广播或unicenter tng frameworktm。
l
磁带和光学存储库支持
arc serve it通过优化磁带和光学存储库的能力,可提供灵活的、无人值班的操作。arc serve it支持各种单或多驱动光学存储库,包括4毫米(dat)、8毫米、dlt、ait、travan、oic、光盘驱动器、磁带库和光学库(包括5.2gb磁光媒介)。
l
raid支持
arc serve it使用软件raid技术提供业界最高性能和最安全的备份和恢复。数据和校验信息可以分布在多个磁带库或单个磁带驱动器中,当其中一盘磁带失效或丢失时,可以使用蓁磁带恢复“丢失”的数据。
l
企业管理体系结构
arc serve it建立在今天最受欢迎的企业管理体系结构——ca公司的unicenter tng框架上。arc servet利用该框架的enterprisediscovery、business porcess view(商业进程视图)和real world interface(真实世界界面)提供独一无二的数据保护。
二、计算机外网网络系统
外网网络系统是上海市社会主义学院与互联网连接的一个渠道,通过外网网络系统,学院可以访问互联网、收发信息,以及通过将来建设的网站,建立学院形象、发布公开信息。以下通过几方面的介绍组成对外网网络系统的整个设计方案。
1.网络设备配置
外网网络系统采用千兆位以太网主干结构,10/100m交换带宽到每个工作站,主交换机采用一台CISCO 3548 xl交换机(性能介绍参见CISCO 3524),楼层交换机采用两台CISCO 3524交换机,其中一台与主交换机堆叠连接,提供72口 10/100m端口供上海市社会主义学院10楼-12楼的工作站连接使用。接入层交换机CISCO 3524与主交换机通过1000m光纤端口连接,提供学院4楼各工作站的10/100交换带宽端口。整个外网计算机网络系统图见附图。
2.互联网出口及安全策略
上海市社会主义学院外网网络系统将通过邮电专线与互联网联接,拟申请一根512k的ddn专线连接到上海热线,采用一台CISCO 2610作为专线路由器。CISCO 2610 模块化多服务路由器为分支机构提供通用性、集成的功能。通过50多个网络模块和接口,CISCO 2600 系列的模块化体系结构允许轻易地升级接口来适应网络扩展。CISCO 2600 系列拥有3种性能级别和6个基本配置:CISCO 2650和2651、CISCO 2620和2621以及 CISCO 2610到2613。
CISCO 2610路由器可以现场更新模块化接口,能够启动数以千计的定制化解决方案,并能够轻松地适应未来网络发展的需求过渡。该机可提供结合csu/dsu、复用器、调制解调器、语音/数据网关/isdn nt1、防火墙、vpn、加密和压缩设备的集成化网络。多业务语音/数据网络功能,降低了网络管理费用,通过利用CISCO ios 服务质量(qos)特性(例如 rsvp、wfq、承诺接入速率 [car] 和随机早期检测 [red]),语音流量可以实现数字化并封装在ip数据包中,而且能够与数据流量相结合。
此外,多业务集成 CISCO 2600 系列将 CISCO 3600 系列的通用性、集成性和强大功能进一步扩展到较小的远程分支机构。CISCO 2600 系列实现了CISCO 公司在产品系列中增加多业务话音/数据集成功能的承诺,使客户能控制成本,为服务供应商提供更广泛的可管理服务选项。CISCO 2600 系列支持对模块组件进行现场投资升级,所以客户能轻而易举地更新他们的网络接口,而无需对整个远程分支机构进行全面升级。CISCO 2600 平台的新型aim插槽具有良好的可扩充能力,可支持高级业务,如硬件辅助数据压缩和数据加密,从而更好地保护了投资。尤其是CISCO 2600 系列将 csu/dsu,isdn 网络终端 (nt1) 设备以及远程分支机构布线室中的其它设备集成到一台很小的设备中,提供一种节省空间的解决方案,使用网络管理软件(比如 CISCO works 和 CISCO view) 可对此系统进行远程管理。
由于,外网连接于互联网上,其计算机网络的安全性问题就必须考虑。随着信息服务业的不断发展,网络安全性问题日益突出,上海市社会主义学院作为市级高等政治院校,其特殊性决定了该系统的安全性问题十分重要。因此,网络安全性考虑将在系统中显得十分突出。在本方案中采用华堂ht-3000硬件防火墙来解决外网网络安全性问题。
防火墙是对网络安全起到保护作用的一个产品,华堂ht-3000网络安全防御系统有别于一般意义上的防火墙产品,它在第三代防火墙技术基础上综合了数据包过滤、应用代理和地址转换等多种防御技术,其次它集成多种网络安全产品,如用户认证、加密、虚拟专用网、防病毒等,是符合我国目前的网络安全防范与防病毒相结合的趋势的。通俗地讲,华堂网络安全防御系统用于保护基于internet/intranet技术构建的内部网络的安全,它能“禁止不该进入的信息进入,防止不能出去的信息出去”,一旦侦查到入侵或泄密,采取相应措施,提供开放式接口,无缝连接其他网络安全系统。
该防火墙适用于对网络安全有要求的行业,如党政机关、银行系统、证券系统、海关、税务、学校等,用于增强其内部网络的抗攻击能力。
此外,本系统的使用不影响原有内部网络的系统功能,也不影响国际互联网的使用。
华堂网络安全防御系统具有一体化的硬件设计、ic卡自身安全管理和系统安全升级、双机热备份、高容错电源设计、自主知识产权的专用安全操作系统、畅通无阻的网络通道、美观易用的界面、完全中国化的设计。
华堂网络安全防御系统是一个开放的系统,能够无缝集成其他安全技术和安全产品,保证网络安全性能得到有效的扩充、升级和加强,使之与网络攻防技术同步发展。
华堂防火墙九大功能包括:
l
支持内部安全子网、共享安全子网、外部子网三个独立网段
l
支持大多数internet网络服务和协议,并率先支持目前流行的多媒体应用协议。
l
能抵御常见的针对tcp/ip的攻击。经国内权威检测机构测试和上网召集国外黑客攻击,未发现一个漏洞。
l
信息检测,保证网络浏览安全
l
提供负载平衡功能
l
支持网络数据缓存
l
提供用户认证、审计等接口,能够与其他安全技术集成进行联防。
l
图形化的使用界面
l
提供完善的系统运行日志,强化网络管理。
采用六大关键技术:
l
自己开发的、具有自主知识版权的专用安全操作系统
l
采用状态检测技术。综合了传统包过滤的高效性和应用代理的安全性,将二者的优点有机融合。
l
智能过滤技术。网络安全规则强制执行,无任何途径可绕过规则的检查。
l
国际先进、国内首创的透明代理技术
l
地址转换技术
l
系统集成技术
华堂ht-3000包含以下功能:
l
三个内部网段五个对外端口
l
专用安全操作系统
l
智能过滤
l
ip映射
l
网络地址转换(nat)
l
负载平衡
l
状态检测
l
图形化操作界面
l
ic卡自身安全管理
l
应用层代理
l
防止dos攻击
l
防止网络病毒攻击
l
支持基于时间段的ip访问控制
l
信息检查(url过滤)
l
网络数据缓存
3.服务器子系统
目前外网网络系统的服务器主要完成外网的出口代理服务,因此,服务器选用hp lh3000网络服务器,安装MicroSoft Windows NT网络操作系统,另外还配置MicroSoft proxy server和MicroSoft Exchange Server系统。
hp netserver lh3000服务器最多可支持2个Intel Pentium III 933MHZ或1GHZ处理器,前端总线均为133MHZ,
内置256kb回写式高速缓存,标配128MB高性能PC133 ECC sdram内存,最大内存容量可达4GB(最大可用内存达3.3GB),8个全长PCI插槽(6个64位和2个32位插槽,其中4个为热插拔插槽)。集成双通道raid磁盘阵列控制器,带32MB高速缓存(可扩充至128MB)和可选电池备份,集成双通道Ultra2 scsi控制器,附加的单通道ultra/wide scsi控制器。4个正面(半高)托架,12个可正面拆装的热插拔驱动器托架,支持Ultra3 scsi的热插拔驱动器背板,最大内置存储容量可高达436.8GB(12×36.4GB薄型驱动器),外加2块36.4gb非热插拔硬盘可使最大内置存储容量达到509.6gb。此外,该机集成的ati rage iic 视频控制器,在1024×768、64k真彩分辨率下的刷新率为75hz,2mb sgram显存。
根据学院对外网的实际应用需求,学院的外网hp netserver lh3000网络服务器具体配置如下:
l
cpu:piii 933
l
内存:512m pc133 ecc sdram
l
硬盘:hp 18.2g scsi hot swap (10000rpm)×3
l
阵列卡:netraid (level 5) 集成
l
网卡:10/100m 集成
三、CISCO Works Windows网络管理系统
CISCO Works Windows 是一个全面的网络管理软件,它为简单地管理中小型企业网络或工作组提供功能强大的工具集。动态的状态、统计以及全面的配置信息等可用于 CISCO 路由器、交换机、集线器和访问服务器。 CISCO Works Windows 基于 SNMP 业界标准,利用业界领先的 CISCO ios 软件的强大嵌入式特性,在不同的异构型网络内提供全面的CISCO解决方案管理。该网络管理软件可利用色标的分层网络视图为 ip 和 ipx 网络创建一个网络拓扑图,并访问广泛的端口状态、带宽使用、流量统计、协议信息以及其他网络性能统计数据,且具有灵活的绘图功能,用于快速记录和分析能够输出到文件的历史数据。管理信息基础(mib)编译器和浏览器,用于管理第三方SNMP设备,并可简化CISCO路由器、交换机、集线器和访问服务器设备配置和管理的工具。特有的阈值管理特性,能够为许多性能变量进行设置,进而生成报警或事件通知,事件过滤器将事件浓缩成有用的故障诊断信息,并具有用于配置简单的虚拟局域网(vlan) 的设备配置特性。
CISCO Works Windows组件,castle rock SNMPc网络管理系统可为任何 SNMP、CISCO或第三方设备提供网络发现、映象、监控和报警跟踪。CISCOview提供前/后面板显示,动态的彩色图形显示简化了设备状态监控、设备专用的部件诊断和应用程序发布。阈值管理器增强在CISCO含rmon 功能的设备上设定阈值的能力,降低管理开销,改进故障诊断功能。stackview/stackmaker可简化 CISCO 扩展网络系统的设备配置、监控和管理功能。快闪文件系统简化了 CISCO 7000、7010、7024、7406、7505、7507 和 7513 路由器的配置。health monitor可提供设备统计的实时故障和性能监控,包括设备特征、cpu使用率、接口活动、错误和协议信息。configuration builder允许用户通过一个图形用户界面为多个 CISCO 设备创建和分布配置文件。show commands显示详细的路由器系统和协议信息,无需用户记住复杂的命令行语言或语法。
四、网络系统ups电源及网络工作站及外设
为保证计算机网络系统的电源供应,本方案在系统中还配置了一台apc 5kva延时2小时的ups和一台apc 1kva的ups,保护网络设备,服务器等一些主要设备不受电源故障影响。
另外,根据上海市社会主义学院对信息系统实际使用的需求,本方案中还配置了hp piii933/128m/20g/cds/lan工作站22套,canon bj 1000sp喷墨打印机10台,epson photo 720喷墨打印机2台,供院方使用。
|
