東風(fēng)汽車公司綜合信息網(wǎng)與企業(yè)網(wǎng)兩網(wǎng)合一技術(shù)方案書武漢和中信息科技有限責(zé)任公司W(wǎng)uhanOrizoneInformationTechnologyCo.,LtdTIME\@"EEEE年O月A日"二〇一〇年四月二日目錄TOC\o"1-3"\h\z1. 前言 52. 系統(tǒng)總體設(shè)計 7. 系統(tǒng)設(shè)計原則 7. 系統(tǒng)建設(shè)目標(biāo) 8. 系統(tǒng)總體方案概述 93. 網(wǎng)絡(luò)系統(tǒng)設(shè)計 11. 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計 11. 網(wǎng)絡(luò)IP地址編址方案 13. 網(wǎng)絡(luò)域名服務(wù)方案 14. 網(wǎng)絡(luò)路由設(shè)計 15. 企業(yè)內(nèi)部網(wǎng)絡(luò)升級改造設(shè)計 16. 企業(yè)內(nèi)部網(wǎng)Internet出口管理與控制 17. Internet網(wǎng)絡(luò)加速系統(tǒng)設(shè)計 18. 網(wǎng)絡(luò)設(shè)備選型 20 企業(yè)內(nèi)部網(wǎng)交換機 20 防火墻 23 Internet網(wǎng)絡(luò)加速器 23 四層交換機 284. 服務(wù)器系統(tǒng)設(shè)計 38. 服務(wù)器系統(tǒng)設(shè)計原則和選型 38. 域名服務(wù)器系統(tǒng) 39. 郵件服務(wù)器系統(tǒng) 39. WWW服務(wù)器系統(tǒng) 40. PC服務(wù)器系統(tǒng) 415. 管理和信息服務(wù)應(yīng)用系統(tǒng) 42. Rockmail電子郵件系統(tǒng) 42 Rockmail電子郵件系統(tǒng)結(jié)構(gòu) 44 Rockmail電子郵件系統(tǒng)主要技術(shù)特點 46 Rockmail電子郵件系統(tǒng)功能 49 Rockmail電子郵件系統(tǒng)實施方式 52 Rockmail電子郵件系統(tǒng)性能指標(biāo) 55 Rockmail電子郵件系統(tǒng)安全特性 56 Rockmail電子郵件系統(tǒng)需求和配置 57. Orizone虛擬主機系統(tǒng) 58 對Web服務(wù)的管理 58 對FTP服務(wù)的管理 59 對數(shù)據(jù)庫服務(wù)的管理 59 對文件系統(tǒng)的管理 59 虛擬主機的磁盤空間管理 60 虛擬主機系統(tǒng)數(shù)據(jù)備份／恢復(fù)服務(wù) 61. 企業(yè)內(nèi)部網(wǎng)絡(luò)管理系統(tǒng) 616. 網(wǎng)絡(luò)管理系統(tǒng) 63. 網(wǎng)管系統(tǒng)解決方案的特點 64. 網(wǎng)絡(luò)管理功能實現(xiàn) 65. 網(wǎng)絡(luò)配置管理 66. 網(wǎng)絡(luò)統(tǒng)計分析 687. 網(wǎng)絡(luò)安全設(shè)計 75. 現(xiàn)實網(wǎng)絡(luò)在安全方面存在的漏洞 75 網(wǎng)絡(luò)系統(tǒng)的安全漏洞 75 操作系統(tǒng)的安全漏洞 76 用戶系統(tǒng)的安全漏洞 77 應(yīng)用系統(tǒng)的安全漏洞 77 數(shù)據(jù)系統(tǒng)的安全漏洞 78. 網(wǎng)絡(luò)安全設(shè)計目標(biāo) 78. 網(wǎng)絡(luò)安全解決方案 80 網(wǎng)絡(luò)系統(tǒng)的安全保障 80 應(yīng)用系統(tǒng)的安全保障 85 客戶系統(tǒng)的安全保障 86 數(shù)據(jù)系統(tǒng)的安全保障 86. 網(wǎng)絡(luò)安全小結(jié) 868. 工程實施方案 88. 項目管理 88. 工程施工安裝要求及建議 89. 工程實施計劃 90. 系統(tǒng)測試初步方案 90 硬件測試 90 網(wǎng)絡(luò)測試 93 軟件測試 95 整體測試 979. 售后服務(wù)和培訓(xùn) 98. 售后服務(wù)的承諾 98. 培訓(xùn)計劃 9910. 系統(tǒng)報價 101

前言隨著二十一世紀(jì)鐘聲的敲響，人類跨入了嶄新的知識經(jīng)濟(jì)時代?；厥咨蟼€世紀(jì)末，一股以Internet為代表的信息發(fā)展狂潮席卷了整個世界，而這一切僅僅只是個開始。人們預(yù)測，二十一世紀(jì)是信息的世紀(jì)，以Internet為代表的信息技術(shù)以摧枯拉朽之式改變著整個傳統(tǒng)工業(yè)世界的各個方面，使許多行業(yè)面臨著生存壓力，承受著巨大變革的要求。而此同時，以資本經(jīng)濟(jì)為基礎(chǔ)，以知識創(chuàng)新為動力，以Internet為舞臺的新型產(chǎn)業(yè)模式正在迅猛的發(fā)展。十年之前很多叱咤風(fēng)云的IT公司不是被兼并就是走向沒落，而以Yahoo、AOL、Amazon等為代表的新型公司正帶領(lǐng)著整個IT界的潮流，迅速改變著傳統(tǒng)媒體、電信、電視和商務(wù)領(lǐng)域，創(chuàng)造著人類嶄新的社會商業(yè)模式。東風(fēng)汽車公司高瞻遠(yuǎn)矚，緊跟國際潮流，早在1998年就完成了東風(fēng)公司綜合信息網(wǎng)（東風(fēng)熱線、東風(fēng)信息港、193網(wǎng)）的建設(shè)，并開始向面向社會和家庭提供Internet接入和相關(guān)信息服務(wù)，經(jīng)過兩年的建設(shè)和發(fā)展，東風(fēng)公司綜合信息網(wǎng)已有用戶四千余戶，并提供各種信息服務(wù)如：虛擬網(wǎng)絡(luò)出租、網(wǎng)上教育、網(wǎng)上證券等。東風(fēng)汽車公司企業(yè)網(wǎng)構(gòu)建的互聯(lián)覆蓋全公司大部分專業(yè)廠、子公司和職能部處二級局域網(wǎng)的大型企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，并以此為基礎(chǔ)，構(gòu)建公司企業(yè)內(nèi)部網(wǎng)，提供方便、快捷、靈活的基本系統(tǒng)服務(wù)。東風(fēng)汽車公司綜合信息網(wǎng)和企業(yè)網(wǎng)兩網(wǎng)合一工程主要是包括原有綜合信息網(wǎng)的擴(kuò)容和公司企業(yè)網(wǎng)的升級改造；兩網(wǎng)互連；國際互聯(lián)網(wǎng)出口的統(tǒng)一以及出口帶寬的擴(kuò)充等。兩網(wǎng)互聯(lián)后，不僅能充分利用國際互聯(lián)網(wǎng)的出口，而且能做到統(tǒng)一管理、統(tǒng)一分配帶寬、綜合利用信息服務(wù)等等，并為將來進(jìn)一步實現(xiàn)東風(fēng)汽車公司各基地的互連、開展IP電話、視頻服務(wù)的新的應(yīng)用打下堅實的基礎(chǔ)。武漢和中信息科技有限公司非常榮幸有機會參與東風(fēng)汽車公司綜合信息網(wǎng)和企業(yè)網(wǎng)兩網(wǎng)合一工程建設(shè)，以及在此平臺上進(jìn)行網(wǎng)絡(luò)及多媒體等一系列網(wǎng)絡(luò)應(yīng)用系統(tǒng)的建設(shè)的技術(shù)交流與方案討論。武漢和中信息科技有限公司十分重視和珍惜這個機會。我公司認(rèn)真研究了東風(fēng)汽車公司網(wǎng)絡(luò)建設(shè)現(xiàn)狀和需求，根據(jù)我們對此項工程所要實現(xiàn)的目標(biāo)、技術(shù)要求的理解，并結(jié)合我們在以往建設(shè)眾多大型Internet信息網(wǎng)工程中的實踐經(jīng)驗，和中公司提出了包括軟硬件在內(nèi)的一整套解決方案。根據(jù)和中公司提出的解決方案，將能實現(xiàn)東風(fēng)汽車公司提出的建設(shè)目標(biāo)。我們希望在東風(fēng)汽車公司綜合信息網(wǎng)和企業(yè)網(wǎng)兩網(wǎng)合一工程中進(jìn)行技術(shù)合作的過程中以及項目結(jié)束后，能為東風(fēng)汽車公司建立一個成熟完善的網(wǎng)絡(luò)應(yīng)用環(huán)境，建立并維護(hù)網(wǎng)絡(luò)商業(yè)環(huán)境，建立并運行復(fù)雜的信息及網(wǎng)點管理機制。盡管我們力求設(shè)計全面、細(xì)致，但由于時間極其倉促，設(shè)計方案難免存在一些缺陷，望批評、指正，使之更加完善、切實可行。對東風(fēng)汽車公司的協(xié)助和支持，和中公司深表感謝！

系統(tǒng)總體設(shè)計系統(tǒng)設(shè)計原則東風(fēng)汽車公司綜合信息網(wǎng)和公司企業(yè)網(wǎng)兩網(wǎng)合一工程是一個關(guān)系到東風(fēng)汽車公司發(fā)展的關(guān)鍵工程，系統(tǒng)建設(shè)的成敗，直接影響193網(wǎng)今后業(yè)務(wù)的發(fā)展和公司企業(yè)內(nèi)部網(wǎng)的使用效率。基于以上的認(rèn)識，我們在設(shè)計時將主要考慮以下設(shè)計原則：實用性：一個系統(tǒng)的建設(shè)是一項工程的實施，它的最基本的目標(biāo)是建立一個適用實際環(huán)境的，能滿足用戶功能需求的實用系統(tǒng)。先進(jìn)性：實現(xiàn)東風(fēng)汽車公司綜合信息網(wǎng)和公司企業(yè)網(wǎng)兩網(wǎng)合一工程的方案和產(chǎn)品很多，我們在堅持實用性的前提下，充分采用先進(jìn)的網(wǎng)絡(luò)技術(shù)、方案、產(chǎn)品。開放性：在方案設(shè)計選型中，充分考慮目前或?qū)淼木W(wǎng)絡(luò)發(fā)展和需求，采用標(biāo)準(zhǔn)的開放協(xié)議來構(gòu)架整個系統(tǒng)。安全性：和中公司在設(shè)計方案中十分重視網(wǎng)絡(luò)安全性。整個網(wǎng)絡(luò)設(shè)計方案有序有層次，在硬、軟件上均有相應(yīng)的管理和保護(hù)措施?？蓴U(kuò)展性（靈活性）：所選擇的網(wǎng)絡(luò)產(chǎn)品和方案能適應(yīng)東風(fēng)汽車公司網(wǎng)絡(luò)信息系統(tǒng)的不斷擴(kuò)大的要求，能升級、過渡、保護(hù)用戶投資。適應(yīng)新技術(shù)不斷發(fā)展的要求，使現(xiàn)實方案能不斷引入新技術(shù)，能方便地向新產(chǎn)品過渡，使系統(tǒng)具有很強的生命力，能不斷地平滑升級，不被淘汰。兼容性（與現(xiàn)有網(wǎng)絡(luò)共享）：在本設(shè)計中充分考慮保護(hù)原已建立的其他網(wǎng)絡(luò)系統(tǒng)與本系統(tǒng)的技術(shù)和產(chǎn)品兼容性，同時也充分考慮與其它計算機產(chǎn)品，網(wǎng)絡(luò)產(chǎn)品和兼容性。價格/性能比高：在本網(wǎng)絡(luò)設(shè)計的產(chǎn)品選型、規(guī)?？紤]方面，充分考慮企業(yè)3-5年運行總成本，與東風(fēng)汽車公司共同進(jìn)行研討，以價格/性能比為論證核心之一，以滿足東風(fēng)汽車公司網(wǎng)絡(luò)性能、質(zhì)量、服務(wù)需求為原則，比較多種網(wǎng)絡(luò)、服務(wù)器品牌品種，選擇性價比具備較強競爭力的CISCO、SUN、IBM等為核心設(shè)備。可維護(hù)性：系統(tǒng)的可維護(hù)性對系統(tǒng)的生命力及實用性能是至觀重要的，系統(tǒng)應(yīng)提供友好的應(yīng)用維護(hù)界面、模塊化設(shè)計、采用標(biāo)準(zhǔn)的高級語言編程、齊全的技術(shù)文檔以及靈活的功能模塊重組等，使系統(tǒng)具有良好的可維護(hù)性。易管理性：在本設(shè)計網(wǎng)絡(luò)中所采用的產(chǎn)品具有很強的可管理功能。網(wǎng)管軟件遵循SNMP協(xié)議，管理方便；配置靈活；結(jié)構(gòu)開放、安全。在網(wǎng)絡(luò)服務(wù)管理中，以目錄服務(wù)LDAP為核心，構(gòu)造統(tǒng)一的多服務(wù)網(wǎng)絡(luò)管理平臺。系統(tǒng)建設(shè)目標(biāo)東風(fēng)汽車公司綜合信息網(wǎng)與企業(yè)網(wǎng)兩網(wǎng)合一工程包含兩個部分，一是企業(yè)網(wǎng)的升級和改造，二是綜合信息網(wǎng)和企業(yè)網(wǎng)的兩網(wǎng)合一。工程結(jié)束后，將把東風(fēng)汽車公司現(xiàn)有網(wǎng)絡(luò)建設(shè)成一個統(tǒng)一管理、分層控制、高性能，易擴(kuò)充，可靠安全、具備完備的用戶服務(wù)系統(tǒng)的Internet服務(wù)平臺和企業(yè)網(wǎng)服務(wù)平臺。網(wǎng)絡(luò)建成后，將達(dá)到：兩網(wǎng)之間互連互通，層次清晰，可以進(jìn)行統(tǒng)一管理，統(tǒng)一控制。建立強有力的企業(yè)內(nèi)部網(wǎng)絡(luò)管理平臺原有企業(yè)網(wǎng)改造成千兆網(wǎng)。建立新的系統(tǒng)應(yīng)用軟硬件平臺。東風(fēng)汽車公司綜合信息網(wǎng)與企業(yè)網(wǎng)兩網(wǎng)合一工程的建設(shè)標(biāo)志著東風(fēng)汽車公司信息化進(jìn)程的全面啟動，整體步入新世紀(jì)信息化浪潮。一方面對Internet接入網(wǎng)部分進(jìn)行改造，可提高綜合信息網(wǎng)的網(wǎng)絡(luò)效率，提高193網(wǎng)客戶的服務(wù)質(zhì)量，吸引更多的客戶；另一方面企業(yè)網(wǎng)與綜合信息網(wǎng)的兩網(wǎng)合一，將更進(jìn)一步推動企業(yè)內(nèi)部信息化的進(jìn)程，有望全面提高企業(yè)生產(chǎn)管理效率，增強企業(yè)競爭力。隨著企業(yè)網(wǎng)更快速的接入Internet，將進(jìn)一步提高東風(fēng)汽車公司員工的網(wǎng)絡(luò)信息觀念，并會培養(yǎng)一批網(wǎng)絡(luò)設(shè)計、建設(shè)、維護(hù)、管理的人才，勢必將在公司內(nèi)逐步推行信息化工作的過程中起到重要作用。兩網(wǎng)合一工程的建設(shè)成功，不論從網(wǎng)絡(luò)基礎(chǔ)設(shè)施、技術(shù)準(zhǔn)備、信息管理經(jīng)驗，還是從人才儲備上，都為下一步東風(fēng)汽車公司信息網(wǎng)絡(luò)的建設(shè)奠定了良好的基礎(chǔ)。系統(tǒng)總體方案概述作為一個完整的信息網(wǎng)絡(luò)系統(tǒng)，要提供各項服務(wù)功能，必須要有一個完整的網(wǎng)絡(luò)結(jié)構(gòu)和相應(yīng)的軟硬件基礎(chǔ)。根據(jù)用戶需求和我們長期的Internet集成和管理經(jīng)驗，考慮到兩網(wǎng)合一后網(wǎng)絡(luò)的安全性、完整性和易用性，我們的總體設(shè)計方案從三個方面提出建議：網(wǎng)絡(luò)層解決方案完善可靠的網(wǎng)絡(luò)底層構(gòu)架是發(fā)展信息服務(wù)的堅實基礎(chǔ)。為了適應(yīng)眾多的網(wǎng)絡(luò)接入模式，滿足日益增長的網(wǎng)絡(luò)信息交流的發(fā)展，需要對系統(tǒng)的網(wǎng)絡(luò)構(gòu)架規(guī)劃、網(wǎng)絡(luò)設(shè)備選型以及今后的網(wǎng)絡(luò)發(fā)展做出正確的選擇，并準(zhǔn)確的實施。和中公司在詳細(xì)分析了東風(fēng)汽車公司目前的網(wǎng)絡(luò)狀況和今后的網(wǎng)絡(luò)發(fā)展需求后，提出了符合東風(fēng)汽車公司需求和發(fā)展的網(wǎng)絡(luò)解決方案。東風(fēng)公司綜合信息網(wǎng)與企業(yè)內(nèi)部網(wǎng)兩網(wǎng)合一后，構(gòu)成了東風(fēng)公司計算機網(wǎng)絡(luò)的核心，為企業(yè)內(nèi)部和公眾在一個相對統(tǒng)一的平臺上提供各類豐富的網(wǎng)絡(luò)服務(wù)。這兩個網(wǎng)絡(luò)針對不同的網(wǎng)絡(luò)用戶和應(yīng)用，即相對獨立又相互依存，構(gòu)成一個有機的網(wǎng)絡(luò)整體。東風(fēng)公司綜合信息網(wǎng)主要服務(wù)企業(yè)內(nèi)撥號用戶，提供各種豐富的Internet應(yīng)用；企業(yè)內(nèi)部網(wǎng)主要為公司內(nèi)部生產(chǎn)、辦公提供高速、可靠的Intranet網(wǎng)絡(luò)服務(wù)。因此，我們在設(shè)計網(wǎng)絡(luò)時采用層次化的網(wǎng)絡(luò)結(jié)構(gòu)，合并后的網(wǎng)絡(luò)由三大主要部分組成：1、原有193綜合信息網(wǎng)絡(luò)；2、改造后的企業(yè)內(nèi)部高速網(wǎng)絡(luò)；3、統(tǒng)一對外的Internet出口。為提高網(wǎng)絡(luò)的整體效率，我們在統(tǒng)一對外的Internet出口增加了Internet網(wǎng)絡(luò)加速器、四層交換機等設(shè)備，并通過路由策略的制定保證全網(wǎng)的相對獨立和相互依存。信息服務(wù)系統(tǒng)解決方案作為一個完整的網(wǎng)絡(luò)信息系統(tǒng)，不僅要提供強大的網(wǎng)絡(luò)服務(wù)平臺，還需要提供豐富的信息服務(wù)系統(tǒng)，為用戶提供豐富的應(yīng)用和系統(tǒng)服務(wù)。主要考慮最基本的Internet服務(wù)有：DNS（域名服務(wù)系統(tǒng)）、EMAIL（電子信箱）、FTP（文件傳輸）、WWW（萬維網(wǎng)）等。此外還有多媒體視頻/音頻服務(wù)、新聞服務(wù)等多種類型。和中公司將為用戶提供完整的信息服務(wù)解決方案，包括詳細(xì)的域名服務(wù)設(shè)計、大容量的電子郵件系統(tǒng)、強大的WWW虛擬主機服務(wù)系統(tǒng)和企業(yè)綜合管理平臺等等。我們建議用戶選用強大的UNIX系統(tǒng)作為信息服務(wù)的基礎(chǔ)平臺。UNIX系統(tǒng)是Internet的首先服務(wù)平臺，Internet的發(fā)展也與UNIX結(jié)下了不解之緣。許多目前的網(wǎng)絡(luò)系統(tǒng)服務(wù)都是在UNIX平臺上發(fā)展出來的，如DNS服務(wù)系統(tǒng)Bind、WWW服務(wù)器Apache、FTP服務(wù)器Wu-ftpd等。系統(tǒng)管理與安全解決方案隨著ISP用戶的快速增加，網(wǎng)絡(luò)建設(shè)的不斷發(fā)展，網(wǎng)絡(luò)的拓?fù)洳粩嘧兓?，系統(tǒng)所涉及的硬件設(shè)備和應(yīng)用也不斷增多，這對我們信息網(wǎng)絡(luò)系統(tǒng)的運行提出了更高的要求。因此需要對網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行實時的監(jiān)控和管理，并能根據(jù)統(tǒng)計信息及早發(fā)現(xiàn)網(wǎng)絡(luò)故障和瓶頸，增強系統(tǒng)的可靠性和實用性，為用戶提供更好的網(wǎng)絡(luò)服務(wù)。我們建議采用標(biāo)準(zhǔn)的SNMP網(wǎng)絡(luò)管理協(xié)議對全網(wǎng)設(shè)備進(jìn)行統(tǒng)一的管理。我們推薦使用CISCO公司最新的CiscoWorks2000網(wǎng)絡(luò)管理系統(tǒng)，實現(xiàn)對全網(wǎng)網(wǎng)絡(luò)和服務(wù)器設(shè)備的基本管理，建議使用基于UNIX的大型網(wǎng)絡(luò)管理平臺HPOpenview等。針對網(wǎng)絡(luò)安全管理，我們認(rèn)為要從網(wǎng)絡(luò)層、操作系統(tǒng)層、應(yīng)用系統(tǒng)層等多方位全面考慮，采用合理的管理機制和技術(shù)手段相結(jié)合來保證。和中公司在網(wǎng)絡(luò)管理和安全上有非常豐富的實踐和理論經(jīng)驗，能為用戶提供完整的安全服務(wù)和咨詢，為用戶構(gòu)件一個完善的網(wǎng)絡(luò)環(huán)境。

網(wǎng)絡(luò)系統(tǒng)設(shè)計Internet/Intranet網(wǎng)絡(luò)系統(tǒng)是基于標(biāo)準(zhǔn)的TCP/IP協(xié)議發(fā)展出來的通用網(wǎng)絡(luò)，具有良好的開放性和極好的伸縮性。在設(shè)計一個Internet/Intranet網(wǎng)絡(luò)系統(tǒng)時，要遵循以下原則：一個基于開放系統(tǒng)結(jié)構(gòu)的標(biāo)準(zhǔn)應(yīng)用與網(wǎng)絡(luò)結(jié)構(gòu)無關(guān)適應(yīng)未來發(fā)展趨勢性能價格比高增長的靈活性可靠與安全的網(wǎng)絡(luò)易于安裝、維護(hù)、管理和運營支持基于以上原則，我們在設(shè)計東風(fēng)公司兩網(wǎng)合一方案時，考慮到網(wǎng)絡(luò)的應(yīng)用和發(fā)展，從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)地址編址方案、網(wǎng)絡(luò)域名服務(wù)方案、網(wǎng)絡(luò)路由設(shè)計、企業(yè)內(nèi)部網(wǎng)升級改造、企業(yè)內(nèi)部網(wǎng)Internet出口管理與控制、Internet網(wǎng)絡(luò)加速系統(tǒng)設(shè)計、企業(yè)網(wǎng)網(wǎng)絡(luò)設(shè)備選型等各個方面進(jìn)行詳細(xì)的設(shè)計和選型，為用戶提供最優(yōu)的網(wǎng)絡(luò)設(shè)計方案。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計東風(fēng)公司綜合信息網(wǎng)與企業(yè)內(nèi)部網(wǎng)兩網(wǎng)合一后，構(gòu)成了東風(fēng)公司計算機網(wǎng)絡(luò)的核心，為企業(yè)內(nèi)部和公眾在一個相對統(tǒng)一的平臺上提供各類豐富的網(wǎng)絡(luò)服務(wù)。這兩個網(wǎng)絡(luò)針對不同的網(wǎng)絡(luò)用戶和應(yīng)用，即相對獨立又相互依存，構(gòu)成一個有機的網(wǎng)絡(luò)整體。東風(fēng)公司綜合信息網(wǎng)主要服務(wù)企業(yè)內(nèi)撥號用戶，提供各種豐富的Internet應(yīng)用；企業(yè)內(nèi)部網(wǎng)主要為公司內(nèi)部生產(chǎn)、辦公提供高速、可靠的Intranet網(wǎng)絡(luò)服務(wù)。在設(shè)計東風(fēng)公司兩網(wǎng)合一方案時，我們針對現(xiàn)有網(wǎng)絡(luò)現(xiàn)狀以及發(fā)展需求，在充分考慮到網(wǎng)絡(luò)互連、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)控制和管理以及網(wǎng)絡(luò)效率等綜合因素后，提出我公司的詳細(xì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計方案。詳細(xì)的網(wǎng)絡(luò)拓?fù)湓O(shè)計如下：根據(jù)以上兩網(wǎng)合一網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖所示，合并后的網(wǎng)絡(luò)由三大主要部分組成：1、原有193綜合信息網(wǎng)絡(luò)；2、改造后的企業(yè)內(nèi)部高速網(wǎng)絡(luò)；3、統(tǒng)一對外的Internet出口。原有193綜合信息網(wǎng)絡(luò)合并后的193綜合信息網(wǎng)與原有單獨的193信息網(wǎng)絡(luò)相比，變化不大，基本上保留在防火墻之后的網(wǎng)絡(luò)配置格局，193內(nèi)部網(wǎng)基本上以BayAccelar1250交換機為核心，分為用戶接入子網(wǎng)、計費和管理子網(wǎng)、信息服務(wù)子網(wǎng)三個主要核心網(wǎng)絡(luò)部分，網(wǎng)絡(luò)和主機設(shè)備配置基本不變。改造后的企業(yè)高速內(nèi)部網(wǎng)公司內(nèi)部原有企業(yè)網(wǎng)絡(luò)是以FDDI為核心的環(huán)網(wǎng)結(jié)構(gòu)，配置相應(yīng)的撥號端口提供撥號接入工作模式。系統(tǒng)改造后，整個企業(yè)內(nèi)部網(wǎng)以全光纖互連為基礎(chǔ)，以千兆、百兆網(wǎng)為骨干，以千兆三層交換機為核心，通過強大的支持VLAN功能和三層交換構(gòu)造整個企業(yè)內(nèi)部網(wǎng)絡(luò)。企業(yè)網(wǎng)通過防火墻與現(xiàn)有193綜合信息網(wǎng)和Internet出口互聯(lián)，并針對企業(yè)網(wǎng)特點控制網(wǎng)絡(luò)的安全性。統(tǒng)一Internet出口兩網(wǎng)統(tǒng)一后，整個網(wǎng)絡(luò)共用一個高速的Internet出口，用于與Internet互聯(lián)互通。為了確保與Internet網(wǎng)絡(luò)互聯(lián)效率，提高網(wǎng)絡(luò)安全性，我們提供了最新的四層交換機+Internet高速緩存系統(tǒng)（TransparentCacheServer）技術(shù)，提供最好的網(wǎng)絡(luò)利用效率和網(wǎng)絡(luò)安全性保證。此外，根據(jù)兩網(wǎng)不同的特點，合理分配網(wǎng)絡(luò)帶寬和資源。網(wǎng)絡(luò)IP地址編址方案東風(fēng)公司現(xiàn)有兩個網(wǎng)絡(luò)系統(tǒng)分別使用各自ISP所分配的外部合法IP地址，內(nèi)部使用Internet標(biāo)準(zhǔn)的保留地址。兩網(wǎng)合一后，外部網(wǎng)絡(luò)地址共用ISP所分配的合法IP地址，內(nèi)部網(wǎng)絡(luò)建議使用同一套保留地址，便于兩網(wǎng)互通互聯(lián)。企業(yè)內(nèi)部網(wǎng)絡(luò)今后需要將各個專業(yè)單位互聯(lián)，因此需要根據(jù)各個專業(yè)網(wǎng)絡(luò)功能和規(guī)模的不同選擇詳細(xì)合理的地址分配方式。基本的地址分配原則如下：支持最新標(biāo)準(zhǔn)的TCP/IP協(xié)議結(jié)構(gòu)，支持可變長子網(wǎng)掩碼技術(shù)（VLSM）每個不同功能網(wǎng)段劃分不同的IP地址段每段IP地址考慮到今后兩年內(nèi)的發(fā)展和變更，進(jìn)行適當(dāng)?shù)牡刂奉A(yù)留根據(jù)撥號服務(wù)器端口數(shù)量分配合適的IP撥號地址池對于專線用戶IP地址分配進(jìn)行詳細(xì)調(diào)查和分配，避免地址資源浪費此外，在申請接入Internet時，應(yīng)盡可能根據(jù)需要要求上級ISP多分配給合法的IP地址資源。詳細(xì)的分配方案我們會在工程施工前根據(jù)用戶獲得的合法IP地址情況進(jìn)行詳細(xì)的設(shè)計。網(wǎng)絡(luò)域名服務(wù)方案域名管理系統(tǒng)(DNS)是一個分布式的系統(tǒng)，其管理控制也是分布式，各地名字服務(wù)器只負(fù)責(zé)管理本地區(qū)下屬的各主機和子域，并由高一級的名字服務(wù)器監(jiān)督管理。為保證域名系統(tǒng)正常和可靠運行，一般一個域中需設(shè)置兩個以上的域名服務(wù)器，互為主備工作方式。用戶可申請COM、NET下的二級域名，也可申請或下的三級域名。申請域名時需要上報用戶主備域名服務(wù)器的IP地址，因此需先得到合法的IP地址段再申請。在設(shè)計域名服務(wù)時，主要的設(shè)計方案如下：各相關(guān)服務(wù)器分配相應(yīng)的約定域名，便于用戶訪問。如Web服務(wù)器分配域名，DNS服務(wù)器分配，F(xiàn)TP服務(wù)器分配，Email服務(wù)器分配等。網(wǎng)絡(luò)設(shè)備根據(jù)其不同的端口設(shè)計不同的域名，如第1臺路由器的第2個串口可分配為：。配置DNS服務(wù)器禁止用ls等全域域名顯示方式。配置主備DNS服務(wù)器數(shù)據(jù)復(fù)制的驗證功能，禁止未授權(quán)的服務(wù)器作為主域服務(wù)器的配份以獲取相關(guān)信息。配置全域的MX郵件交換記錄指向郵件服務(wù)器，并適當(dāng)配置好郵件服務(wù)器設(shè)置，使全域郵件具有的通用郵件名。現(xiàn)在綜合信息網(wǎng)和企業(yè)網(wǎng)都分別申請了各自的獨立域名服務(wù)，并對外發(fā)布已久。兩網(wǎng)合并后，建議還是采用兩套域名服務(wù)模式，為各自網(wǎng)絡(luò)提供服務(wù)，或申請新的獨立域名提供統(tǒng)一域名服務(wù)。建議兩網(wǎng)的外部域名服務(wù)器共用同一的硬件平臺，內(nèi)部各自配置自己的獨立域名服務(wù)器，并可設(shè)置為互為主備工作模式。網(wǎng)絡(luò)路由設(shè)計網(wǎng)絡(luò)的路由設(shè)計是確保網(wǎng)絡(luò)正常、完整運行的核心。一個良好設(shè)計的網(wǎng)絡(luò)路由可以提高網(wǎng)絡(luò)效率，增強網(wǎng)絡(luò)的冗余度，而設(shè)計不善的網(wǎng)絡(luò)路由往往會帶來效率、備份、安全問題，以及使用的不正常。和中公司具有在大型Internet上實施和維護(hù)網(wǎng)絡(luò)的經(jīng)驗，通曉RIP、RIP2、IGRP、EIGRP、OSPF、IS-IS以及BGP4等多種現(xiàn)代網(wǎng)絡(luò)路由技術(shù)，能根據(jù)用戶網(wǎng)絡(luò)情況選擇最優(yōu)的網(wǎng)絡(luò)路由算法和協(xié)議，提高用戶網(wǎng)絡(luò)安全性和使用效率。我們建議在外部網(wǎng)段即與上級Internet互聯(lián)網(wǎng)段采用靜態(tài)網(wǎng)絡(luò)路由，在企業(yè)內(nèi)部網(wǎng)段由選擇的使用OSPF動態(tài)路由協(xié)議。需要注意的是：在實施專線網(wǎng)絡(luò)互連時，盡量不要使用復(fù)雜的動態(tài)路由協(xié)議而使用靜態(tài)路由協(xié)議，以提高路由的安全性，同樣規(guī)則也適用于撥號接入網(wǎng)段上。OSPF(OpenShortestPathFirst)全稱為開放最短路徑優(yōu)選，建立在SPF算法基礎(chǔ)上，是一種基于鏈路狀態(tài)的路由選擇協(xié)議，是目前最流行、最有效的路由協(xié)議。OSPF路由協(xié)議是一種典型的鏈路狀態(tài)（Link-state）的路由協(xié)議，一般用于一個通過統(tǒng)一的路由政策或路由協(xié)議互相交換路由信息的網(wǎng)絡(luò)內(nèi)。所有的OSPF路由器都維護(hù)一個相同的描述這個網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的數(shù)據(jù)庫，該數(shù)據(jù)庫中存放的是路由域中相應(yīng)鏈路的狀態(tài)信息，OSPF路由器正是通過這個數(shù)據(jù)庫計算出其OSPF路由表的。和傳統(tǒng)的距離向量路由選擇協(xié)議相比，對于大型、復(fù)雜的網(wǎng)絡(luò)，OSPF具有極大的優(yōu)越性：OSPF不受跳數(shù)（hop）的的限制，比較應(yīng)用于大型網(wǎng)絡(luò)中。OSPF支持可變長子網(wǎng)掩碼（VLSM），可以充分利用有限的IP地址資源。OSPF路由協(xié)議路由收斂速度比較快，當(dāng)網(wǎng)絡(luò)比較穩(wěn)定時，網(wǎng)絡(luò)中的路由更新信息是比較少的，并且其廣播也不是周期性的，很快達(dá)到全網(wǎng)路由器OSPF鏈路數(shù)據(jù)庫的一致性。只有當(dāng)路由連接產(chǎn)生變化時才傳送路由更新信息，而不是定期廣播整個路由表，從而減少了對帶寬的損耗。在距離向量路由選擇協(xié)議中，網(wǎng)絡(luò)是一個平面的概念，并無區(qū)域及邊界等的定義。而在OSPF路由協(xié)議中，一個網(wǎng)絡(luò)，或者說是一個路由域可以劃分為很多個區(qū)域（area），每一個區(qū)域通過OSPF邊界路由器相連，區(qū)域間可以通過路由總結(jié)（Summary）來減少路由信息，減小路由表，提高路由器的運算速度。OSPF路由協(xié)議支持路由驗證，只有互相通過路由驗證的路由器之間才能交換路由信息。并且OSPF可以對不同的區(qū)域定義不同的驗證方式，提高網(wǎng)絡(luò)的安全性。OSPF路由協(xié)議對負(fù)載分擔(dān)的支持性能較好。OSPF路由協(xié)議支持多條Cost相同的鏈路上的負(fù)載分擔(dān)。鑒于OSPF的這些特性，特別是對線路帶寬的占用以及對負(fù)載分擔(dān)具有很好的支持性能，都有助于實現(xiàn)整個網(wǎng)絡(luò)系統(tǒng)的正常通訊?；谝陨暇W(wǎng)絡(luò)路由設(shè)計思路，我們在設(shè)計東風(fēng)公司新的企業(yè)內(nèi)部網(wǎng)時，采用電信級的設(shè)計標(biāo)準(zhǔn)，確保網(wǎng)絡(luò)的可靠性、安全性，為東風(fēng)公司企業(yè)內(nèi)部網(wǎng)提供最優(yōu)的網(wǎng)絡(luò)解決方案。東風(fēng)公司企業(yè)內(nèi)部網(wǎng)絡(luò)OSPF路由設(shè)計圖根據(jù)上圖所示，我公司建議在企業(yè)網(wǎng)內(nèi)部構(gòu)造層次化的網(wǎng)絡(luò)路由邏輯結(jié)構(gòu)，以O(shè)SPF路由協(xié)議設(shè)計為基礎(chǔ)。其中以電信處、張灣、紅衛(wèi)、花果、茅箭構(gòu)成OSPF域骨干網(wǎng)Areo0，這五個點之間通過物理線路構(gòu)成不完全網(wǎng)狀網(wǎng)（NotFULLMesh）；電信處、經(jīng)理辦公大樓、總廠辦公大樓構(gòu)成OSPF的Areo1，這三個點構(gòu)成全連接結(jié)構(gòu)（FULLMESH）；張灣、紅衛(wèi)、花果、茅箭各自內(nèi)部網(wǎng)絡(luò)構(gòu)成OSPFAreo2、3、4、5；各專業(yè)廠、子公司就近互聯(lián)到這五個核心的骨干點。企業(yè)內(nèi)部網(wǎng)絡(luò)升級改造設(shè)計東風(fēng)公司企業(yè)內(nèi)部網(wǎng)主干是在1994年建成的FDDI主干網(wǎng)絡(luò)，隨著網(wǎng)絡(luò)的逐漸發(fā)展和技術(shù)的更新，目前FDDI網(wǎng)絡(luò)已經(jīng)面臨逐漸被淘汰的局面，取而代之的是以千兆網(wǎng)、ATM為基礎(chǔ)，以三層交換為核心的高速新一代企業(yè)主干網(wǎng)絡(luò)。在本次兩網(wǎng)合一工程中，考慮到目前的網(wǎng)絡(luò)需求和今后網(wǎng)絡(luò)的發(fā)展，我們建議以千兆網(wǎng)為基礎(chǔ)構(gòu)建企業(yè)內(nèi)部主干網(wǎng)絡(luò)，采用最新的核心三層交換機、工作組三層交換機設(shè)備，以VLAN和OSPF路由技術(shù)為核心，構(gòu)件新的企業(yè)內(nèi)部主干網(wǎng)絡(luò)。在本次工程設(shè)計中，我們建議電信處核心交換機選用CISCO公司最新的企業(yè)主干網(wǎng)絡(luò)交換機Catalyst6509，配置千兆板、三層路由交換板和10/100兆以太網(wǎng)板；在總廠辦公大樓和經(jīng)理辦公大樓配置CISCO公司最新的工作組三層交換機Catalyst2948G-L3，配置48口以太網(wǎng)口和2口千兆網(wǎng)口。這三個點之間采用單模光纖以千兆帶寬互聯(lián)。公司原有的FDDI骨干網(wǎng)保留，并各自與新的主干節(jié)點互聯(lián)，作為核心網(wǎng)絡(luò)的備份。通過在Catalyst6509上增配相應(yīng)的千兆、百兆網(wǎng)板，提供張灣、紅衛(wèi)、花果和茅箭等地的專業(yè)廠和子公司通過將要建成的光傳輸網(wǎng)絡(luò)互聯(lián)。企業(yè)內(nèi)部網(wǎng)Internet出口管理與控制東風(fēng)公司企業(yè)內(nèi)部網(wǎng)目前通過一條128K的DDN專線連接到163上，內(nèi)部用戶通過軟件代理服務(wù)器訪問外部網(wǎng)絡(luò)，這種工作模式比較適用于小型企業(yè)網(wǎng)絡(luò)的Internet應(yīng)用。針對東風(fēng)公司這種大型企業(yè)網(wǎng)，必須采用防火墻、Internet高速緩存系統(tǒng)的配合來達(dá)到嚴(yán)格的安全控制和性能優(yōu)化。我們推薦在企業(yè)網(wǎng)與Internet出口之間采用高性能的硬件防火墻產(chǎn)品，用于保護(hù)內(nèi)部網(wǎng)絡(luò)安全，并對內(nèi)部網(wǎng)絡(luò)用戶進(jìn)行管理和控制。防火墻產(chǎn)品建議采用CISCO公司的高性能硬件防火墻產(chǎn)品PIXFirewall520，配置3塊以太網(wǎng)卡，分別與企業(yè)內(nèi)部網(wǎng)、Internet以及193網(wǎng)互聯(lián)，相互設(shè)立嚴(yán)格的安全控制和管理策略。通過采用CISCOPIXFirewall產(chǎn)品，可以嚴(yán)格的控制內(nèi)外網(wǎng)絡(luò)的安全策略，保護(hù)內(nèi)部網(wǎng)絡(luò)的安全使用。為了為網(wǎng)絡(luò)管理提供更準(zhǔn)確的網(wǎng)絡(luò)管理手段，和中公司針對CISCOPIX等防火墻產(chǎn)品專門開發(fā)了一套完善的Intranet網(wǎng)絡(luò)管理系統(tǒng)，通過配合使用這套軟件，可以對企業(yè)內(nèi)部網(wǎng)用戶的上網(wǎng)進(jìn)行嚴(yán)格的管理和控制。武漢和中公司針對Intranet網(wǎng)絡(luò)管理需求，提出了一套完善的開放平臺解決方案。OrizoneIntranetManagementPlatform以LDAP和數(shù)據(jù)庫為核心，包含RADIUS、TACAS、SNMP各種通用網(wǎng)絡(luò)驗證、管理協(xié)議，統(tǒng)一支持對Firewall、CacheServer、ProxyServer、WWW、Email、Billing等各種網(wǎng)絡(luò)軟硬件服務(wù)。通過使用OrizoneIntranetManagementPaltform，可以在同一管理平臺下支持唯一用戶的驗證、授權(quán)和管理，可以方便的擴(kuò)展對網(wǎng)內(nèi)新增各種網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用的統(tǒng)一管理。Internet網(wǎng)絡(luò)加速系統(tǒng)設(shè)計現(xiàn)有Internet網(wǎng)絡(luò)發(fā)展神速，各種新的技術(shù)和產(chǎn)品層出不窮。為了解決早期單純的網(wǎng)絡(luò)Proxy系統(tǒng)的不足，現(xiàn)在市場上已經(jīng)有了多種廣泛使用的Cache加速器。新的Cache加速器主要用于ISP骨干網(wǎng)和企業(yè)級的Internet出口上，可跟四層交換機或策略路由器一起配合使用，用于透明方式的Cache服務(wù)，即用戶訪問WWW時并不需要任何客戶端設(shè)置，但當(dāng)用戶上網(wǎng)訪問時，由網(wǎng)絡(luò)決定自動通過Cache服務(wù)器訪問外部網(wǎng)絡(luò)的內(nèi)容，這種工作方式非常方便靈活，配置和管理也不影響現(xiàn)有網(wǎng)絡(luò)的正常運行，現(xiàn)有的ISP都采用這種方便的工作模式；另外一種工作模式是取代現(xiàn)有的Proxy服務(wù)器，已經(jīng)設(shè)置的用戶參數(shù)不需要任何改動，并能有效的提供對多媒體內(nèi)容的訪問。采用Cache服務(wù)器與現(xiàn)有基于Proxy的代理服務(wù)器相比，有如下優(yōu)點：處理效率大大提高新型的Cache服務(wù)器一般都采用高速的硬件產(chǎn)品，利用硬件的處理能力來極大的提高網(wǎng)絡(luò)處理效率，而普通的軟件代理服務(wù)器必須大量的消耗操作系統(tǒng)、CPU、內(nèi)存的資源，并且要頻繁讀寫硬盤上的信息，導(dǎo)致處理效率大大降低；能同時服務(wù)的用戶數(shù)大大增多根據(jù)權(quán)威評測結(jié)果表明，一般基于軟件的代理服務(wù)器如果硬件配置較為高檔，可以最多承受100-150個并發(fā)用戶請求，而一般的硬件Cache服務(wù)器可以輕松的承受上千的并發(fā)用戶請求，能夠提供更好的用戶服務(wù)能提供更快的用戶響應(yīng)時間一般的proxy服務(wù)器采用被動的用戶請求方式來更新緩存信息，這樣反而增加了一個多余的中間環(huán)節(jié)，導(dǎo)致網(wǎng)絡(luò)響應(yīng)時間不佳；而專用的Cache服務(wù)器采用各種動態(tài)更新，并發(fā)下載的新技術(shù)保證了最短的網(wǎng)絡(luò)響應(yīng)時間，一般來說，可以提高5倍的網(wǎng)絡(luò)響應(yīng)時間；能提供靈活的組網(wǎng)方式采用cache服務(wù)器即可用于透明方式工作，也可用于常規(guī)的Proxy工作模式下；而傳統(tǒng)的Proxy服務(wù)器只能應(yīng)用于傳統(tǒng)的proxy工作模式下；能采用群集方式平滑升級采用Cache服務(wù)器來提供網(wǎng)絡(luò)緩存服務(wù)時，當(dāng)一臺服務(wù)器的處理能力不能滿足要求時，可以和四層交換機配合，采用多臺cache服務(wù)器來并發(fā)處理網(wǎng)絡(luò)請求，不會因為單臺服務(wù)器的瓶頸導(dǎo)致網(wǎng)絡(luò)效率降低，可使系統(tǒng)平滑升級；能更好的提供眾多的多媒體服務(wù)新型的Cache服務(wù)器提供了對Realplay、microsoftmediaplay、Quicktime等多種方式的加速應(yīng)用，并提供了socket代理方式為IPPhone等服務(wù)提供了使用通道；能提供完善的用戶管理和控制方式新型的Cache服務(wù)器能夠提供非常全面的控制和管理功能，能有效的過濾網(wǎng)絡(luò)地址，控制用戶訪問列表，并能與Radius和LDAP服務(wù)相結(jié)合，控制用戶的使用；而普通的proxy服務(wù)器不能提供以上全面的用戶管理功能。本期工程實施方案簡介：如節(jié)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖所示，Internet網(wǎng)絡(luò)加速系統(tǒng)是由四層交換機和Internet高速緩存系統(tǒng)共同組成的。其中四層交換機選用的是2臺Foundry公司的8端口ServerIron8四層交換機，Internet高速緩存系統(tǒng)選用的是1臺Cacheflow公司的525i。CacheFlow525iCacheServer配置有三個10/100兆以太網(wǎng)口，分別與兩臺ServerIron交換機互連，默認(rèn)網(wǎng)關(guān)設(shè)置為外部網(wǎng)絡(luò)的互連路由器。193綜合信息網(wǎng)和企業(yè)內(nèi)部網(wǎng)絡(luò)的訪問Internet信息流量通過防火墻后到達(dá)各自外部的FoundryServerIron交換機上，ServerIron四層交換機快速分析網(wǎng)絡(luò)信息流量，將HTTP服務(wù)請求信息轉(zhuǎn)發(fā)到Cacheflow525i上，通過Cacheflow525i獲取最新的WWW和多媒體流信息透明回傳給用戶。如果Cacheflow服務(wù)器因意外服務(wù)終止，ServerIron能自動檢查CacheServer的健康狀況，將信息請求直接發(fā)送到最終目的地址。為了更好的控制企業(yè)內(nèi)部用戶上網(wǎng)使用的總帶寬，本次工程中建議企業(yè)內(nèi)部網(wǎng)通過一臺路由器的串口反接到外部出口路由器，通過設(shè)置串口路由器速率來限制企業(yè)內(nèi)部網(wǎng)絡(luò)的上網(wǎng)使用帶寬。網(wǎng)絡(luò)設(shè)備選型企業(yè)內(nèi)部網(wǎng)交換機核心交換機企業(yè)內(nèi)部網(wǎng)核心交換機選用CiscoCatalyst6509，是Catalyst6000系列產(chǎn)品之一。Catalyst6000系列為園區(qū)網(wǎng)絡(luò)提供一個高性能、多層交換解決方案。其設(shè)計宗旨是滿足集中式主干/分布式主干和服務(wù)器群應(yīng)用及對千兆位密度、數(shù)據(jù)和語音集成、可縮放性、高可用性和多層交換不斷增加的需求。如果與Cisco此同時IOS相結(jié)合，Catalyst6000系列可以提供支持高容量千兆位交換和多層智能所需的基礎(chǔ)結(jié)構(gòu)，進(jìn)而有效地管理網(wǎng)絡(luò)流量。Cisco6000系列關(guān)鍵特性可縮放的快速以太網(wǎng)和千兆位以太網(wǎng)主干密度、高性能多層交換及主干中的政策執(zhí)行最多支持384個10/100以太網(wǎng)、192個100FX快速以太網(wǎng)和130個千兆位以太網(wǎng)端口—業(yè)界最好水平多層交換，在Catalyst6000系列上可以擴(kuò)展到15Mpps，在Catalyst6500系列交換機上可以擴(kuò)展到150Mpps卓越的可縮放性和性價比通過協(xié)議不相關(guān)的多點傳送(PIM)、Internet群組管理協(xié)議(CGMP)和CGMP多點傳送注冊協(xié)議(GMRP)提供有效的內(nèi)部網(wǎng)多媒體和多點傳送支持支持關(guān)鍵任務(wù)應(yīng)用的廣泛質(zhì)量服務(wù)(QoS)特性技術(shù)要求特性Catalyst6006Catalyst6009Catalyst6506Catalyst6509模塊化插槽6969可用模塊8端口千兆位以太網(wǎng)24端口100FX以太網(wǎng)48端口10/100以太網(wǎng)（RJ-45）48端口10/100以太網(wǎng)（RJ—21或TELCO）多層交換機模塊與Catalyst6006相同與Catalyst6006相同與Catalyst6006相同底板3Gbps3Gbps可擴(kuò)充至256Gbps可擴(kuò)充至256Gbps可縮放否否否否多層次性能可擴(kuò)充至15Mpps可擴(kuò)充至15Mpps可擴(kuò)充至150Mpps可擴(kuò)充至150MppsVLAN最大數(shù)1000100010001000FEC/GEC最多8個不相連的端口；支持多模塊通道與Catalyst6006相同與Catalyst6006相同與Catalyst6006相同管理功能CiscoWorks2000,RMON、EnhancedSwitchedPortAnanlyzer(ESPAN)、SNMP、Telnet、BOOTP和(TFTP)與Catalyst6006相同與Catalyst6006相同與Catalyst6006相同規(guī)格（長×寬×高）××18.1××18.1××18.1××18.1服務(wù)類別16161616產(chǎn)品編號和定購信息Catalyst6000系列機箱WS—C6509—S1Catalyst6509機箱，交流電源+WS—X6K—SUP1—2GEWS—C6009—S1Catalyst6009機箱，交流電源+WS—X6K—SUP1—2GEWS—C6006—S1Catalyst6006機箱，WS—X6K—SUP1—2GE+交流電源WS—C6506—S1Catalyst6506機箱，WS—X6K—SUP1—2GE+交流電源Catalyst6000系列SupervisorEnginesWS—X6K—SUP1—2GE=Catalyst6000,SupEng1,2GE9（需要GBIC）Catalyst6000系列模塊WS—X6408—GBIC=Catalyst6000,8端口千兆位以太網(wǎng)模塊（需要GBIC）WS—X6302—MSM=Catalyst6000,多層交換機模塊WS—X6248—RJ-45=Catalyst6000,48端口10/100bTX（RJ—45）模塊WS—X6244—100FX—MT=Catalyst6000,24端口100bFX（多模式，MT—RJ）WS—X6248—TEL=Catalyst6000,48端口Telco模塊Catalyst6000系列附件WS—CDC—1300W=Catalyst6000,1300W直流電源WS—CAC—1300W=Catalyst6000,1300W交流電源WS—VAV—1000WCatalyst6000,1000W交流電源WS—CAC—1000W/2Catalyst6000,1000W輔助交流電源WS—C6X09—RACK=Catalyst6000機架安裝工具集和電纜組織器WS—C6K—6SLOT—FAN=Catalyst6000風(fēng)扇托盤，適合6插槽系統(tǒng)WS—C6X06—RACK=Catalyst6X06機架安裝工具集和電纜組織器WS—X6K—SLOT—CVR=Catalyst6000空線路卡插槽封蓋Catalyst6000系列軟件WS—C6X06—EMS—LIC=Catalyst6X09RMON代理許可WS—C6X06—EMS—LIC=Catalyst6X06RMON代理許可FRC—MSM—IPX=Catalyst6000IPX特性集許可Catalyst6000系列內(nèi)存選項MEM—C6X—FLC16M=Catalyst6000SupervisorPCMCIA16MB閃存卡MEM—C6K—FLC24M=Catalyst6000SupPCMCIA閃存卡，24MB備用Catalyst6000系列基本維護(hù)CON—SNT—PKG16Catalyst6000SMARTnet維護(hù)接入交換機接入交換機建議采用10/100/1000BaseT自適應(yīng)的高性能局域網(wǎng)交換機，可方便劃分VLAN，且考慮以后升級和擴(kuò)充的需要。本期工程建議配置CISCO最新出產(chǎn)的Catalyst2948G-L3三層交換機，是目前最新型的基于第三層交換的成熟產(chǎn)品，且器價格性能比目前最高。Catalyst2948G-L3三層交換機具有高達(dá)22G的交換吞吐量，第三層IP/IPX路由/交換轉(zhuǎn)發(fā)率為11,000,000PPS，時延低于10微秒。通過支持增強的CISCOIOSIP軟件選件，Catalyst2948G-L3支持RIP、RIP2、OSPF、IGMP、DVMRP等路由協(xié)議，可支持任意組合VLAN的劃分。Catalyst2948G-L3提供48口10/100M自適應(yīng)以太網(wǎng)口，支持（FEC、、ISL）等增強VLANTrunk協(xié)議，并由兩個千兆上聯(lián)端口。本次工程中總廠辦公大樓和經(jīng)理大樓都使用Catalyst2948G-L3交換機。本期工程中建議配置Catalyst2948G-L3，10/100BaseT端口總數(shù)達(dá)到48個。此外還配置增強的IP軟件支持OSPF等增強路由協(xié)議。防火墻防火墻選用CiscoPIXFirewall，詳細(xì)介紹見“第七章網(wǎng)絡(luò)安全設(shè)計”中“CiscoPIXFirewall產(chǎn)品介紹”。Internet網(wǎng)絡(luò)加速器Internet高速緩存系統(tǒng)選用CacheFlow525i。CacheFlow摘要在互聯(lián)網(wǎng)的飛速發(fā)展的今天，WorldWideWeb已成為網(wǎng)上生活的基本工具，越來越多的人開始使用它，不僅僅用于瀏覽網(wǎng)上的信息，還成為發(fā)布信息，商務(wù)活動的媒介，許多人開始稱之為第六媒體，更多的人意識到上網(wǎng)的重要性。而網(wǎng)上的商務(wù)活動的實現(xiàn)，更是依賴于網(wǎng)絡(luò)的獨特的優(yōu)越性，大量的重要的數(shù)據(jù)可在分秒內(nèi)送達(dá)，而不需要幾小時或是幾天的時間。不過頗具諷刺意味的恰恰是由于WWW的流行，現(xiàn)在的人們普遍的抱怨網(wǎng)絡(luò)瀏覽速度太慢。為了解決這個問題，人們采用了各種方法，像更快的處理速度，更寬的網(wǎng)絡(luò)帶寬，都不能收到更好的效果。因為，其根本原因就在于它是WorldWideWait.事實上，網(wǎng)絡(luò)瀏覽的延遲取決于許多因素。當(dāng)然，這許多問題最終都能得到解決。但是有一個決定因數(shù)——光速，是我們不可能改變的。當(dāng)我們訪問一個遠(yuǎn)端的WEB服務(wù)器時，我們的等待時間是由光再光纖中傳輸?shù)乃俣葲Q定的。另一個變通的方法就是將用戶要訪問的數(shù)據(jù)放在用戶盡可能近的服務(wù)器上。而實現(xiàn)這種方法的技術(shù)就是互聯(lián)網(wǎng)加速技術(shù)。早期緩沖技術(shù)的設(shè)計是用來節(jié)省網(wǎng)絡(luò)帶寬以減少網(wǎng)絡(luò)的擁塞，但它們是被動的，緩沖區(qū)不可能自動的跟蹤網(wǎng)頁的變化；另外一個是它們也可以提供最新的網(wǎng)頁，但這就要求用戶訪問時再去查詢真正的服務(wù)器上的內(nèi)容，這時，用戶非但享受不到互聯(lián)網(wǎng)加速技術(shù)帶來的速度上的提升，相反的因為訪問時多了一個步驟，還會導(dǎo)致訪問速度的減慢。鑒于以上的問題，CacheFlow公司開發(fā)了CacheOS操作系統(tǒng)，運行在CacheFlow系列產(chǎn)品上，采用了獨創(chuàng)的自適應(yīng)的互聯(lián)網(wǎng)加速技術(shù)，提供業(yè)界最領(lǐng)先，服務(wù)質(zhì)量最好的解決方案。CacheFlow技術(shù)簡介與其他的同類產(chǎn)品不同，CacheFlow的產(chǎn)品并非基于現(xiàn)有的互聯(lián)網(wǎng)加速技術(shù)代碼及現(xiàn)有的計算機系統(tǒng)，而是采用了獨特的基于網(wǎng)絡(luò)的硬件設(shè)計和為自適應(yīng)互聯(lián)網(wǎng)加速技術(shù)而獨創(chuàng)的軟件設(shè)計，提供了高穩(wěn)定性，高質(zhì)量的軟/硬件組合。CacheFlow的產(chǎn)品無論安裝在網(wǎng)絡(luò)的哪個部分，對于WWW 的應(yīng)用程序來說都是透明的。作為一個Proxy來用時，它又與允許使用者規(guī)定哪些內(nèi)容需要互加速哪些則不需要。它甚至還可以自動檢測到網(wǎng)頁上的廣告條的源服務(wù)器。1、CacheOS操作系統(tǒng)簡介CacheOS應(yīng)用于CacheFlow網(wǎng)絡(luò)加速系列產(chǎn)品中的獨創(chuàng)性操作系統(tǒng)，已經(jīng)被業(yè)界證明是唯一能夠提供給用戶高速和實時的解決方案。*高速：CacheFlow的產(chǎn)品被公認(rèn)其提供的Web訪問遠(yuǎn)遠(yuǎn)快于同類的競爭產(chǎn)品。*實時：CacheFlow可以在實現(xiàn)互聯(lián)網(wǎng)加速的同時保持網(wǎng)頁的不同對象的更新，從而保證用戶訪問的永遠(yuǎn)都是最新的內(nèi)容。為了實現(xiàn)高速和實時的訪問，CacheFlow在其CacheOS操作系統(tǒng)中融合了以下技術(shù)特色：2、并發(fā)的數(shù)據(jù)下載：第一時間快速地獲取內(nèi)容。基于WEB的訪問是通過 HTTP協(xié)議——一種交互式的TCP/IP協(xié)議來實現(xiàn)的，首先讓我們來看看它的交互過程。如圖，HTTP的請求發(fā)出之前，所要訪問的服務(wù)器的IP地址必須到域名服務(wù)器（DNS處作域名解析，然后才逐個發(fā)出請求下載組成主頁的各個對象。HTTP的遲滯反應(yīng)時間也正是這樣來定義的，既一個請求在應(yīng)答之前所經(jīng)歷的延時。每個HTTP請求都要創(chuàng)建一個新的TCP連接，產(chǎn)生一個來回的延遲，當(dāng)服務(wù)器收到并處理這個請求后，用戶將在經(jīng)歷第二個來回的延遲后收到所要的數(shù)據(jù)。如果這個數(shù)據(jù)又指明在WEB頁中包含另外的對象（如JPEG/GIF 圖象、JAVA小程序），客戶端的瀏覽器又會新建一個TCP連接，繼續(xù)請求這些包含在主頁中的對象。如果平均每個來回的延遲為RTD，每個主頁包含若干對象，請求每個對象所帶來的延遲是2*RTD,即一個RTD用來完成TCP對話，另一個RTD完成HTTP請求。因此，如果一個主頁中包含有N個對象的話，總的延遲將為2（N+1）*RTD。減少這種延遲的方法之一就是像瀏覽器軟件所作的同時開幾個TCP連接以減少重復(fù)的來回，但作在用戶端又會造成網(wǎng)絡(luò)的數(shù)據(jù)流量大量增加以及服務(wù)器的處理瓶頸。另外一個因素就是每個來回的延遲，影響它的幾個因素有：*服務(wù)器處理速度造成的延遲，這是絕對作用的因素，即使是一個負(fù)載很輕的服務(wù)器也可能因需要多次訪問存儲系統(tǒng)而造成延遲。*在訪問所經(jīng)過的路徑上，路由器，網(wǎng)關(guān)或防火墻等網(wǎng)絡(luò)設(shè)備造成的延遲。因為大多數(shù)網(wǎng)絡(luò)設(shè)備的工作原理是基于存儲轉(zhuǎn)發(fā)的，它們在給每一個數(shù)據(jù)包排隊時也會占用額外的處理時間。傳輸速度導(dǎo)致的延遲。實踐證明，即使在一條T3的臉路上，每個主頁的不同對象的傳輸速率都超不過64k，所以這部分的影響是極小的。那么，作為新一代的網(wǎng)絡(luò)加速系統(tǒng)，CacheFlow是怎樣減少網(wǎng)絡(luò)訪問中的延遲的呢如圖所示、在網(wǎng)絡(luò)中了CacheFlow后，用戶的請求由CacheFlow接管，由CacheFlow運用多種針對與減少網(wǎng)絡(luò)延遲的方法來增加用戶訪問的速度。這些技術(shù)之一就是并行下載，只要遠(yuǎn)端的服務(wù)器可以接受，這種獨創(chuàng)的技術(shù)可以并發(fā)的開啟多個TCP連接，并發(fā)的下在主頁中的對象。這些對象又可已經(jīng)盡快的下載到用戶的客戶端軟件上。運用這種方法，用戶初次訪問網(wǎng)頁時的速度也可以如圖達(dá)到原來的兩倍以上。CacheOS在提供自適應(yīng)更新的同時還提供了自動監(jiān)測和報告內(nèi)容更新的工具，如圖：通過世紀(jì)的系統(tǒng)運行狀況檢測，網(wǎng)絡(luò)管理員可以保證用戶得到的都是最新的主頁。3、域名解析的本地緩存：更快的響應(yīng)時間CacheOS象維護(hù)網(wǎng)頁內(nèi)容的更新一樣維護(hù)一個接西德緩沖區(qū)因為域名解析常常帶來數(shù)秒的延遲時間，維護(hù)一個本地的域名沖去可以大大提高網(wǎng)絡(luò)訪問的速度。4、優(yōu)化的存儲系統(tǒng)：縮短存取時間網(wǎng)頁數(shù)據(jù)在環(huán)從區(qū)內(nèi)的存儲方式也大大影響著緩沖的性能和可擴(kuò)展性。它將決定：當(dāng)用戶請求緩沖區(qū)的數(shù)據(jù)時所能得到的響應(yīng)時間新的數(shù)據(jù)由訪問到存儲在緩沖區(qū)內(nèi)所需的時間每塊存儲硬盤對用戶請求的響應(yīng)速度CacheOS系統(tǒng)的存儲系統(tǒng)不是我們所熟知的文件系統(tǒng)，它是基于對象來存儲的。對象的訪問時通過系統(tǒng)RAM中的專用表格來完成，它可以保證每個對象的訪問都可以在一次存取中完成。采用文件系統(tǒng)在滿載時會明顯的造成性能上的降低，而這樣的存儲方法卻能在滿載時發(fā)揮最大的效能。在CacheOS系統(tǒng)中，每塊硬盤分別保留一部分URL的內(nèi)容，對象的存取是自動在多個硬盤之間實現(xiàn)負(fù)載均衡。緩沖區(qū)通常都保持在滿載狀態(tài)，舊的，不常用的內(nèi)容不斷的被刪除以容納更新的內(nèi)容。雖然硬盤的損壞不是常見，但CacheOS系統(tǒng)還是提供了自動重分配的功能。當(dāng)一塊硬盤停止服務(wù)時，系統(tǒng)自動地將其上的內(nèi)容重定向到其他的硬盤上。顯然，在這里RAID并不會帶來性能上的提高，相反，它占用的資源本來是應(yīng)該用來提高用戶訪問的命中率的。為了提高互聯(lián)網(wǎng)加速的效能，CacheFlow公司開發(fā)了CacheOS操作系統(tǒng)，CacheOS使用戶的互聯(lián)網(wǎng)Qos得到了顯著的提高，成為ISP及企業(yè)的首選方案。5、自適應(yīng)的網(wǎng)頁內(nèi)容動態(tài)更新：高速、實時的內(nèi)容因為WEB服務(wù)器中的內(nèi)容會不時的更新，網(wǎng)頁加速器就必須將自己緩沖區(qū)中的數(shù)據(jù)保持跟源服務(wù)器內(nèi)容一致。為了實現(xiàn)這種更新，緩沖區(qū)就必須發(fā)送一個查詢信息至源服務(wù)器。而且，要提供更快速的服務(wù)，就不能等到用戶訪問時才更新。CacheOS解決這個問題的手段是采用一種叫自適應(yīng)更新的技術(shù)。這種技術(shù)就是根據(jù)網(wǎng)頁中的對象對于更新的不同需求有選擇地進(jìn)行更新，并保證使這種更新與用戶的訪問不再同時進(jìn)行。判斷什么時間更新哪些內(nèi)容要求這些對象的更新方式有一定的了解。網(wǎng)頁中對象是各自依不同速率更新的。圖中所顯示的數(shù)據(jù)是從世界上各個不同的CacheFlow產(chǎn)品中所采集到的。所謂自適應(yīng)更新，就是為每一個緩沖的網(wǎng)頁中的對象建立一個更新模型，同時根據(jù)對象被用戶訪問的歷史記錄建立一個應(yīng)用模型，然后根據(jù)這兩方面的信息決定對象更新的方式。（并隨時依據(jù)這兩方面信息的變化進(jìn)行調(diào)整）采用了這種技術(shù)的CacheFlow產(chǎn)品可以自動地進(jìn)行內(nèi)容的更新來保證用戶訪問時的新鮮度。例如，在某一新聞媒體的主頁中，只有應(yīng)該被更新的內(nèi)容（如主要新聞）才會被更新，而那些不怎么變化的內(nèi)容（如此媒體的標(biāo)志）則保留在緩沖區(qū)中。并行數(shù)據(jù)下載技術(shù)保證了用戶初次訪問網(wǎng)頁速度的提高的同時，自適應(yīng)更新技術(shù)保證了用戶后續(xù)訪問該站點時由緩沖所帶來的速度提高，同時也保證了用戶訪問的內(nèi)容的新鮮度。另外，這種自適應(yīng)地，有選擇地更新還帶來網(wǎng)絡(luò)帶寬的節(jié)省，因為它節(jié)省了不必要的重復(fù)訪問所占用的帶寬。一種計算緩沖技術(shù)對骨干上的帶寬影響的方法，是比較互聯(lián)網(wǎng)加速器的用戶訪問流量和它訪問網(wǎng)絡(luò)時所占的流量值，這個差值就是由互聯(lián)網(wǎng)所帶來的帶寬結(jié)余。帶寬之所以有結(jié)余，是因為互聯(lián)網(wǎng)加速器提供給用戶的流量比它在網(wǎng)絡(luò)上占用的流量更多。上圖介紹了產(chǎn)品所帶來的帶寬結(jié)余；現(xiàn)在只由3000Kb/s的帶寬與互聯(lián)網(wǎng)骨干相連，但可提供給用戶的帶寬達(dá)4000Kb/s,無形中增加了35%的骨干帶寬。CacheFlow500CacheFlow500是高性能的互聯(lián)網(wǎng)加速器。它可以支持1Mbps到15Mbps的互聯(lián)網(wǎng)訪問流量，對于ISP和企業(yè)用戶來說，CacheFlow3000是最佳的互聯(lián)網(wǎng)加速器解決方案，它可以幫助用戶：節(jié)省互聯(lián)網(wǎng)帶寬的使用，降低費用極大地提高互聯(lián)網(wǎng)和內(nèi)部網(wǎng)的訪問響應(yīng)時間在最小的設(shè)備投資情況下來擴(kuò)展網(wǎng)絡(luò)處理能力持續(xù)地保證高性能的互聯(lián)網(wǎng)服務(wù)質(zhì)量CacheFlow500是真正可靠的網(wǎng)絡(luò)設(shè)備。它配置簡單，只需幾分鐘即可。開始工作后，幾乎不需要做什么管理。CacheFlow500內(nèi)置有公司專為互聯(lián)網(wǎng)加速設(shè)計的操作系統(tǒng)CacheOS，可以保證用戶在現(xiàn)有網(wǎng)絡(luò)條件下以最快的速度獲取到最新，最實時的網(wǎng)上信息。CacheOSCacheOS是CacheFlow公司專利所有的專為互聯(lián)網(wǎng)加速設(shè)計的操作系統(tǒng)。所有的系列產(chǎn)品均內(nèi)置CacheOS。它使用了一系列啟發(fā)式方法和智能算法，既保證了傳送信息的準(zhǔn)確性和實時性，又最大程度的優(yōu)化了網(wǎng)絡(luò)響應(yīng)時間。CacheOS的特性包括：單一目標(biāo)的多進(jìn)程處理；可適應(yīng)性資料更新獨有的資料存儲方式（沒有文件系統(tǒng)各目錄結(jié)構(gòu)）；全冗余磁盤陣列；先進(jìn)的讀寫存儲子系統(tǒng)常用的系統(tǒng)配置型號互聯(lián)網(wǎng)流量存儲系統(tǒng)內(nèi)存網(wǎng)絡(luò)適配卡5151-2Mbps9GB268MB1個10/100Base-T5252-10Mbps18GB384MB1個10/100Base-T54510-15Mbps36GB768MB1個10/100Base-T525i2-10Mbps18GB384MB3個10/100Base-T545i10-15Mbps36GB768MB3個10/100Base-T四層交換機四層交換機選用FoundryNetworks的ServerIron交換機。FoundryNetworks的ServerIron交換機為互聯(lián)網(wǎng)服務(wù)供應(yīng)商（ISP）及企業(yè)機構(gòu)提供高性能的第4-7層應(yīng)用軟件型交換能力，以提高互聯(lián)網(wǎng)服務(wù)（例如網(wǎng)頁內(nèi)容刊登、網(wǎng)站寄存及電子商務(wù)）的可用性、性能及擴(kuò)展能力。 ServerIron包括FoundryNetworks的InternetIronWare功能組。IronWare是一整套可同時裝載的負(fù)載均衡及快取交換功能。利用這套功能，可獲得最大的靈活性及投資保護(hù)。 與其他基于服務(wù)器、依賴制造商和操作系統(tǒng)的軟件不同，ServerIron是基于交換機和協(xié)議的，因此可兼容所有主流服務(wù)器和操作系統(tǒng)，并且不需要任何服務(wù)器代理軟件。由于ServerIron是基于交換機的平臺，因此具有更高的性能、端口密度、擴(kuò)展能力以及多層冗余。 ServerIron可為服務(wù)器提供10、100及1000Mbps連接。如將服務(wù)器連接配置成中繼線，以獲得更高的帶寬和冗余。ServerIron配備8、16或24個10/100Mbps端口，這些端口可自動檢測連接設(shè)備的速度，并自動調(diào)節(jié)至該速度。在1000BaseSX多模式及1000BaseLX單模式中，則可提供一個或兩個千兆位以太網(wǎng)端口。 如需要高密度千兆位以太網(wǎng)連接，則可以通過InternetIronWare，將Foundry屢獲殊榮的TurboIron/8交換機升級，以全面提供第4-7層功能。TurboIron/8總共可提供八個1000BaseSX及1000BaseLX端口組合。InternetIronWare局域及全球傳輸分布提升性能及彈性 通過InternetIronWare的局域負(fù)載均衡功能，HTTP、FTP、SSL及電子郵件等第4層傳輸可輕易、透明地分布到多個服務(wù)器。利用ServerIron，網(wǎng)絡(luò)管理員可建立一個邏輯服務(wù)器群體。ServerIron通過這個叫做VIP（VirtualIP，即虛擬IP）地址的功能，扮演帶有VIP地址的虛擬服務(wù)器的角色，對用戶請求進(jìn)行控制、監(jiān)視，以及將用戶請求切換到服務(wù)器群中最適合的服務(wù)器中。這種在用戶角度看來只有一臺服務(wù)器的方案有助于簡化管理及防止服務(wù)器受到非法入侵。 ServerIron設(shè)有三種負(fù)載均衡選擇，網(wǎng)絡(luò)管理員可選擇其中一種，以優(yōu)化應(yīng)用程序的傳輸，令服務(wù)器不至于超載：循環(huán)分配：在同一服務(wù)器群體中，依次序分配連接。循環(huán)分配同等看待所有服務(wù)器，但不會考慮其連接數(shù)目或回應(yīng)時間。最少連接：把連接分配給已打開的連接數(shù)目最少的服務(wù)器。對于擁有一組性能相近的服務(wù)器的網(wǎng)站，這是一個不錯的選擇。最少連接可確保當(dāng)一臺服務(wù)器即將過載時，其他連接將得到適當(dāng)?shù)姆峙?。加?quán)百分比：此項選擇可讓管理員將性能比重分配給每一臺服務(wù)器。加權(quán)百分比確保能較快處理連接的服務(wù)器可以獲得較多的連接。 InternetIronWare的全球服務(wù)器負(fù)載均衡可透明地將負(fù)載均衡功能擴(kuò)展到遍布全球的數(shù)據(jù)中心和服務(wù)器群，讓網(wǎng)絡(luò)管理員可在無需理會服務(wù)器實際位置的前提下，根據(jù)服務(wù)器的“健康”狀況、負(fù)載、是否鄰近或平均來回時延等標(biāo)準(zhǔn)，輕易地將傳輸引導(dǎo)至最適合的服務(wù)器或服務(wù)器群。由于網(wǎng)絡(luò)管理員可通過此一功能確定不同地方發(fā)生故障的服務(wù)器的位置，因此為服務(wù)器的災(zāi)難后復(fù)員工作提供了很大的彈性。 ISP及企業(yè)可利用全球服務(wù)器負(fù)載均衡，提供擴(kuò)展能力強、可容錯的全球服務(wù)及應(yīng)用。全球服務(wù)器負(fù)載均衡通過將用戶引導(dǎo)到最鄰近的數(shù)據(jù)中心，令用戶端的性能明顯提高，同時亦可減少帶寬浪費。增強服務(wù)冗余、可用性及性能 InternetIronWare及ServerIron平臺通過提供交換機、服務(wù)器、鏈路及對話層冗余，保證服務(wù)的可用性。 如果服務(wù)器或服務(wù)器應(yīng)用程序負(fù)載過重，ServerIron則可提供亞秒級（不超過一秒）檢測，并將過載的服務(wù)轉(zhuǎn)移到同一個邏輯群體中支持相同服務(wù)的下一臺服務(wù)器。這樣便可以保持傳輸?shù)某掷m(xù)性及應(yīng)用程序的可用性。 為確保重要的服務(wù)能100%運作正常，ServerIron設(shè)了一個熱待命冗余交換機功能，以防止對話丟失。通過該冗余功能，ServerIron令主、從交換機可支持完全相同的配置參數(shù)。從交換機會持續(xù)監(jiān)視主交換機上的傳輸狀況。萬一主交換機發(fā)生故障，副交換機將立即接手主交換機的工作，以確保不會丟失任何對話及連接。另外，ServerIron還提供鏈路層冗余，通過自動將故障鏈路的對話切換到冗余鏈路，確保服務(wù)器連接不受影響。 除了監(jiān)視服務(wù)器的連接外，InternetIronWare的服務(wù)健康檢查功能還通過檢測HTTP、DNS、Radius或SMTP服務(wù)是否發(fā)生故障，監(jiān)視服務(wù)器回應(yīng)用戶請求的能力，從而保證能快速檢測出服務(wù)故障，并避免出現(xiàn)服務(wù)過載的風(fēng)險。 對稱服務(wù)器負(fù)載均衡可為重要的服務(wù)提供最高2，000，000組連接及全面服務(wù)冗余。通過對稱負(fù)載均衡，多套并行的ServerIron共同分擔(dān)連接負(fù)載，并互相充當(dāng)后備角色，以在任何一個ServerIron發(fā)生故障時，接手其工作。 直接服務(wù)器返回最多可同時支援1，000，000組作用中的用戶連接，并令被請求內(nèi)容可通過最佳的返回路徑提供。這可顯著提高用戶的連接性能，并讓系統(tǒng)性能可根據(jù)不同應(yīng)用（例如網(wǎng)頁、圖形及順序流媒體）的需求進(jìn)行調(diào)節(jié)。高性能網(wǎng)頁刊登及網(wǎng)站寄存 InternetIronWare可支持無限個VIP地址。網(wǎng)絡(luò)管理員可利用此功能，以一組簡單的指令配置成千上萬個VIP地址。網(wǎng)站寄存公司亦可利用此功能支援?dāng)?shù)百個有各自不同網(wǎng)域名稱及IP地址的主頁，并將負(fù)載分?jǐn)偟蕉鄠€服務(wù)器中。 另外，網(wǎng)絡(luò)管理員還可通過ServerIron，利用URL交換減少內(nèi)容轉(zhuǎn)發(fā)成本及管理開支。ServerIron檢查每個客戶端的URL請求（如），然后將請求發(fā)送到所請求內(nèi)容的宿主服務(wù)器。ServerIron可支持?jǐn)?shù)千個URL，并且其內(nèi)容可分?jǐn)偟礁鱾€當(dāng)?shù)鼗蜻h(yuǎn)距服務(wù)器。 IRONWARE的“多對一”負(fù)載均衡功能可讓網(wǎng)絡(luò)管理員輕易地追蹤VIP的服務(wù)使用情況。通常，每個TCP/UDP端口只會有一個VIP至服務(wù)器的關(guān)聯(lián)。通過此功能，單個服務(wù)器極端口號碼可服務(wù)多個VIP，并可為每個VIP編譯各類型使用信息。對于ISP維持和發(fā)展互聯(lián)網(wǎng)網(wǎng)站來說，網(wǎng)站瀏覽、使用情況統(tǒng)計等信息以及其他與服務(wù)有關(guān)的數(shù)據(jù)有重要的參考價值。以透明快取交換技術(shù)縮短互聯(lián)網(wǎng)回應(yīng)時間及降低廣域網(wǎng)成本 ServerIron的透明快取交換功能通過將預(yù)定由遠(yuǎn)程互聯(lián)網(wǎng)主機提供的網(wǎng)上傳輸引導(dǎo)到一組當(dāng)?shù)乜烊》?wù)器，縮短互聯(lián)網(wǎng)的回應(yīng)時間，并可降低廣域網(wǎng)的運作成本。Foundry的透明快取交換技術(shù)可配合任意支持透明重新引導(dǎo)技術(shù)（包括CacheFlow、Cobalt、Inktomi、NetworkAppliance及Novell等著名商戶所提供的重引導(dǎo)技術(shù)）的快取服務(wù)器使用。 Foundry的透明快取交換技術(shù)為網(wǎng)絡(luò)管理員提供了一個富彈性的網(wǎng)站快取方案，令管理工作顯著簡化。與代理服務(wù)器方案不同的是，前者需要人工配置每個客戶端瀏覽器，而ServerIron則不必進(jìn)行任何客戶端瀏覽器配置，而會自動截取HTTP客戶端請求，并將其切換到可用的快取服務(wù)器。網(wǎng)絡(luò)管理員可根據(jù)源IP地址及目標(biāo)IP地址配置ServerIron至交換機的傳輸。 透明快取交換還為網(wǎng)絡(luò)管理員提供了一層冗余和代理服務(wù)器所沒有的彈性。通過ServerIron，管理員可安裝冗余網(wǎng)上快取服務(wù)器配置（我們稱它為網(wǎng)上快取服務(wù)器群），以在某臺網(wǎng)上快取服務(wù)器發(fā)生故障時，可自動復(fù)原。此一功能可確保在任何時候，重要的網(wǎng)站傳輸都能持續(xù)進(jìn)行。為增加彈性，可在網(wǎng)上快取服務(wù)器群中安裝冗余ServerIron交換機，以避免發(fā)生單點故障。 快取路由優(yōu)化（CRO）則通過將快取返回封包轉(zhuǎn)發(fā)到最適合的路由器，令傳輸更加智能化，并可進(jìn)一步縮短回應(yīng)時間。CRO會檢測路由效率低的封包（這些封包會引起互聯(lián)網(wǎng)路由器性能嚴(yán)重降低，令服務(wù)回應(yīng)時間明顯變慢）。CRO借助ServerIron的功能，進(jìn)行高速封包處理。通過檢驗各個封包的第3層和第4層包頭以及辨別其應(yīng)用，ServerIron可在無需缺省互聯(lián)網(wǎng)路由器協(xié)助的前提下，正確地將由快取服務(wù)器產(chǎn)生的封包切換到客戶端。ServerIron通過CRO減少了互聯(lián)網(wǎng)路由器的傳輸負(fù)載，同時亦顯著縮短了用戶回應(yīng)時間。 在某些網(wǎng)絡(luò)環(huán)境中，快取服務(wù)器從基于已配置政策的路由器接收傳輸；但是其路由器并不具備檢測故障快取服務(wù)器的技術(shù)。而通過InternetIronWare的快取故障轉(zhuǎn)移保護(hù)技術(shù)（CFO），ServerIron可在快取服務(wù)器發(fā)生故障時保證繼續(xù)提供服務(wù)?？烊〗】禉z查可檢測出服務(wù)故障，并在故障發(fā)生時，立即將客戶端傳輸重新引導(dǎo)至互聯(lián)網(wǎng)。 基于政策的快取交換可根據(jù)服務(wù)政策及目標(biāo)地址，將客戶端請求引導(dǎo)至適當(dāng)?shù)目烊》?wù)器，為用戶提供了很大的靈活性。通過此功能，請求特定網(wǎng)站的用戶被引導(dǎo)至包含預(yù)載內(nèi)容的特殊內(nèi)容快取存儲器。網(wǎng)站刊登者可利用基于政策的快取交換，根據(jù)由當(dāng)前數(shù)據(jù)驅(qū)動的高峰內(nèi)容請求分配內(nèi)容。 直接快取服務(wù)器返回通過擴(kuò)大快取返回帶寬提高整體的服務(wù)性能及客戶滿意程度。直接快取返回通過取得比原請求高的帶寬，令快取服務(wù)器能更有效地提供網(wǎng)站內(nèi)容?；ヂ?lián)網(wǎng)完整性的服務(wù)保安 為改善網(wǎng)絡(luò)保安，ServerIron可用以限制訪問指定地址或子網(wǎng)中的特定應(yīng)用程序。通過設(shè)定過濾器，可拒絕某些端口訪問服務(wù)器。例如，網(wǎng)絡(luò)管理員可拒絕指定地址的FTP傳輸。相反，亦可以把過濾器設(shè)定為可讓某個用戶子集或子網(wǎng)訪問。 ServerIron還可以讓網(wǎng)絡(luò)管理員為進(jìn)入TCP/SYN封包速度配置一個入口，以防止惡意的TCP/SYN攻擊。如果該入口超出負(fù)載，ServerIron將自動在一段時間內(nèi)，停止新的對話連接。第4層QoS/CoS為應(yīng)用程序傳輸分配優(yōu)先次序ServerIron可有效的分配TCP及UDP傳輸?shù)膬?yōu)先次序。此一功能可確保在支援多應(yīng)用程序的服務(wù)器中，重要的傳輸可獲得比其他傳輸較高的優(yōu)先級別。 通過ServerIron，封包可根據(jù)目標(biāo)地址及目標(biāo)端口數(shù)目，劃分優(yōu)先級別。利用此功能，可為重要的應(yīng)用程序提供優(yōu)先的服務(wù)。利用統(tǒng)計資料改善應(yīng)用傳輸?shù)墓芾?網(wǎng)絡(luò)管理員可利用ServerIron的統(tǒng)計功能，方便地收集和顯示服務(wù)器群中預(yù)定網(wǎng)絡(luò)傳輸?shù)脑敿?xì)資料。統(tǒng)計功能可追蹤服務(wù)器和客戶端之間的傳輸總量，以及哪些應(yīng)用程序主導(dǎo)網(wǎng)絡(luò)傳輸；或者監(jiān)視服務(wù)器的作用中對話的數(shù)量。這些統(tǒng)計資料可用于跟蹤支持多應(yīng)用程序的服務(wù)器的傳輸負(fù)載。配置及管理ServerIron ServerIron可通過Foundry的IronView網(wǎng)絡(luò)管理工具進(jìn)行配置和管理。SunSolaris的HPOpenView、WindowsNT以及獨立WindowsNT等主流平臺均提供SNMP（簡單網(wǎng)絡(luò)管理協(xié)議）設(shè)備管理及配置應(yīng)用程序。另外，ServerIron還提供應(yīng)用于局域及遙距管理和配置的指令行接口Web/HTTP。而遠(yuǎn)程監(jiān)控（RemoteMonitoring,RMON）及鏡像端口則提供網(wǎng)絡(luò)監(jiān)視及除錯功能。應(yīng)用方案ISP提供充分的冗余為客戶提供互聯(lián)網(wǎng)服務(wù)的機構(gòu)需要一個高度冗余并具備高性能、靈活的網(wǎng)絡(luò)。在這個應(yīng)用中，ISP安裝了具備第2、3及第4層冗余技術(shù)的網(wǎng)絡(luò)，為客戶提供可靠、統(tǒng)一的服務(wù)。主、從Serverlron交換機提供具有高度彈性的第4層服務(wù)，包括服務(wù)器群的負(fù)載均衡動技術(shù)。Serverlron交換機通過高速以太網(wǎng)中繼線組進(jìn)行連接，以增加冗余度。通過在TurboIron/8交換機間使用千兆位以太網(wǎng)中繼線組，冗余度進(jìn)一步增加。而在NI交換路由器由器之間采用Foundry的待命路由器協(xié)議，則為第3層提供了彈性。透明快取交換在這個應(yīng)用中，冗余Serverlron交換機被用以改善互聯(lián)網(wǎng)的回應(yīng)時間、降低廣域連接成本，以及增加彈性。當(dāng)Serverlron交換機設(shè)定透明快取交換功能啟動以后，所有來自用戶的網(wǎng)站隊列都被透明地直接轉(zhuǎn)發(fā)到可用的快取器進(jìn)行處理。快取服務(wù)器處理當(dāng)?shù)氐牟樵?，并通過Serverlron將更新的查詢轉(zhuǎn)發(fā)到遙距網(wǎng)站服務(wù)器。Serverlron則持續(xù)監(jiān)視快取服務(wù)器的運作是否正常。如果某一臺服務(wù)器發(fā)生故障，則Serverlron會自動將其后的請求引導(dǎo)到下一臺可用的快取服務(wù)器或廣域網(wǎng)鏈路。提高企業(yè)內(nèi)聯(lián)網(wǎng)的性能對于支持視頻、網(wǎng)站及新聞服務(wù)器的公司，Serverlron可顯著提高其服務(wù)器的性能，以及簡化網(wǎng)絡(luò)的管理。利用的Serverlron負(fù)載均衡功能，可建立服務(wù)器邏輯群體。單一IP地址可簡化管理，并可將服務(wù)按其類別引導(dǎo)至多載服務(wù)器群。網(wǎng)絡(luò)管理員可利用Serverlron的加權(quán)百分比功能項、確保較快的服務(wù)器能獲得較多的傳輸百分比。技術(shù)規(guī)格性能最高800Mbps傳輸速度交換能力負(fù)載均衡選擇循環(huán)分配加權(quán)百分比最少連接擴(kuò)展能力1,000,000組對話無限虛擬服務(wù)器地址1,024臺真實服務(wù)器服務(wù)健康檢查HTTPDNSRadiusSMTP第二層交換能力32,000個MAC地址生成樹協(xié)議基于政策的虛擬局域網(wǎng)（VLAN）：無VLAN基于端口的VLAN第3層協(xié)議VLAN第3層協(xié)議及子網(wǎng)VLAN標(biāo)記協(xié)議支持TCPUDPSSLFTPTelnetSMTPHTTPPOP2DNSBootPCTETPSNMP-TrapRIP或TCP/UDP端口相容標(biāo)準(zhǔn),10BaseT,10BaseTX,100BaseFX,1000BaseSX,1000BaseLX流程控制q,VLAN標(biāo)記橋接類以太網(wǎng)MIB中繼站MIB以太網(wǎng)接口MIBSNMPV1SNMPMIBⅡ網(wǎng)絡(luò)管理集成指令行接口TelnetSNMPRMONSunSolarisHPOpenView、indowsNT獨立WindowsNT互聯(lián)網(wǎng)ServerIron機身尺寸吋（高）×吋（寬）×吋（深）（66.7毫米×444.5毫米×18-22磅（8-10千克）電源供應(yīng)110伏/220伏自動感應(yīng)環(huán)境條件操作溫度：32-104°(0--40°相對濕度：5-90%，無凝結(jié)水滴安全代理認(rèn)可UL1950No950CISPRSafety,第9段TUVEN60950,EN60825-1,EN60825-2電磁輻射合格證EN55022ClassAFCCPart15ClassAVCCIClassAEN50082-1保養(yǎng)期一年硬件90天軟件安裝選擇19吋通用EIA（電信公司）機架桌面配置選擇ServerIron基座配置8×10BaseT/100BaseTX端口，配RJ-45連接16×BaseT/100BaseTX端口，配RJ-45連接24×10BaseT/100BaseTX端口，配RJ-45連接ServerIron擴(kuò)充模塊2×100BaseTX端口，配RJ-45連接2×100BaseFX多模式端口，配SC連接1×1000BaseSX多模式端口，配SC連接2×1000BaseSX多模式端口，配SC連接1×1000BaseLX單或多模式端口，配SC連接2×1000BaseLX單或多模式端口，配SC連接配備InternetIronWare的TurboIron/88×1000BaseSX多模式端口，配SC連接8×1000BaseLX單模式端口，配SC連接6×1000BaseSX多模式端口，2×1000BaseLX單模式端口，配SC連接4×1000BaseSX多模式端口,4×1000BaseLX單模式端口，配SC連接

服務(wù)器系統(tǒng)設(shè)計服務(wù)器系統(tǒng)設(shè)計原則和選型Internet的發(fā)展變化非常迅速，新的業(yè)務(wù)需求不斷涌現(xiàn)。對東風(fēng)汽車公司網(wǎng)絡(luò)信息平臺而言，服務(wù)器主要承擔(dān)了基本的信息服務(wù)功能，因此，對服務(wù)器性能要求比較高。對服務(wù)器系統(tǒng)設(shè)計，我們提出以下幾點原則：應(yīng)選用目前在國際上技術(shù)先進(jìn)，性能優(yōu)異的服務(wù)器，確保系統(tǒng)的先進(jìn)性和可靠性；操作系統(tǒng)要具有開放性，所選服務(wù)器應(yīng)遵循相關(guān)的ITU-T或ISO標(biāo)準(zhǔn)、協(xié)議，具有良好的開放性和擴(kuò)充改造能力，以便滿足將來隨時出現(xiàn)的新業(yè)務(wù)及新功能的要求；系統(tǒng)的硬件和軟件相互配合，提供完善的故障監(jiān)測能力和良好的故障恢復(fù)能力；機器的性能/價格比高；高可靠性及低維護(hù)費用；強大的技術(shù)及后援服務(wù)支持；依據(jù)上述原則，我們主要推薦和采用SUN公司E250系列服務(wù)器作為此次工程主服務(wù)器，選用IBMPC服務(wù)器作為工程的其他服務(wù)器選型。Enterprise系列服務(wù)器是SUN公司推出的64位可縮放高性能服務(wù)器。該系統(tǒng)以其性能強大、可靠性高、模塊化設(shè)計和擴(kuò)展性好而飲譽世界。它的部件設(shè)計和整體優(yōu)化均十分出色，尤其是SMP處理器結(jié)構(gòu)在多處理操作系統(tǒng)Solaris的調(diào)度下，性能得到了充分發(fā)揮。E250采用新一代UltraSPARC-II芯片，是業(yè)界能力很強的工作組服務(wù)器，可具有2個400MHz（還有250Mhz和300MHz兩種）的UltraSPARC-II64位處理器，和6個18G內(nèi)置硬盤。IBMNetfinity是基于Intel芯片的企業(yè)級服務(wù)器。它采用最新的群集技術(shù)，把可用性的標(biāo)準(zhǔn)提升到一個新高度?；贗BMNetfinity（5500M10,M20,7000M10）的群集技術(shù)，突破了微軟MSCS的2節(jié)點限制，使Netfinity能以奇數(shù)或偶數(shù)配置支持3到8個節(jié)點，并提供多對一的循環(huán)熱備解決方案，也就是說，現(xiàn)在您只需8臺Netfinity就可實現(xiàn)以往14臺服務(wù)器（7個服務(wù)器群集）的可用性，同時極大降低了投入成本，系統(tǒng)也變得更簡單，更易維護(hù)。IBMNetfinity還能對NT、NovellNetware、UNIX、Linux等多平臺提供支持，并具有極強的擴(kuò)展能力。附帶的NetfinityManager則讓您實現(xiàn)群集和群集資源的單點訪問，令您管理起來分外簡單。域名服務(wù)器系統(tǒng)Internet上的域名服務(wù)（DomainNameService，DNS）是一種分布式的體系，由分布在各地的DNS服務(wù)器為整個Internet提供本域內(nèi)計算機的域名解析服務(wù)，用于將主機域名映射為網(wǎng)絡(luò)IP地址。由于是分布式結(jié)構(gòu)，DNS具有的一個重要特點是，其地址信息是存在一個層次結(jié)構(gòu)的多個地方，而不是在一個中心站點，每個場所都有一個域名服務(wù)器系統(tǒng)，來維護(hù)本地節(jié)點的信息。東風(fēng)汽車公司網(wǎng)絡(luò)建成后將分為內(nèi)外網(wǎng)，內(nèi)外網(wǎng)將同時運行DNS服務(wù)，內(nèi)部DNS負(fù)責(zé)內(nèi)部網(wǎng)域名的解析，供內(nèi)部企業(yè)網(wǎng)使用；外部DNS負(fù)責(zé)對外服務(wù)的機器的域名解析及作為上網(wǎng)用戶的域名服務(wù)器。內(nèi)外域的域名解析服務(wù)分別采用一臺域名服務(wù)器完成。并同時采用WebServer做備份域名服務(wù)器，由于備份域名服務(wù)器在主服務(wù)器正常時并不承擔(dān)域名解析工作，因此不會影響WebServer的