某某公共服务大厦项目设计方案

1 某某公共服务大厦 项目设计方案 1 概述 体目标 某某 公共服务大厦由两栋 21 层主楼和一座四层裙房组成，总建筑面积为 方米。是集办公、商务中心、会议、餐饮、展览及档案管理于一体的高科技现代化智能建筑。整个网络的建设将为大厦的数据、语音、视频的综合应用构建完善的基础传输平台。 大厦的计算机网络系统应建设成为一套现代化的计算机系统，使大楼内的每个办公人员能享有其应有的信息资源（包括数据、文本、语音、图像、视像等）。将 共设备管理、 网上视频数据的传输、软件硬件资源共享、办公楼物业管理系统的运行以及内外部网站的建设等功能。同时实现远程通讯和移动办公、 入，建立与外部信息资源的互通。真正为入住业主提供一个安全、方便、舒适、通讯快捷的智能化工作、居住环境。 计依据 相关专业的设计应符合国家现行设计规范，并参考地方相应规范包括： 2 中华人民共和国建设部智能建筑设计标准 中华人民共和国安全部计算机网络安全条例 无线电干扰极限 际电联联盟 电信标准委员会 1801 建筑及建筑群结构化综合布线系统国际标准 太网标准 68A、 569、 606、 607 及 570A 标准 计原则 先进性： 采用国际上先进而成熟的网络技术产品，服务器产品及其完善的应用软件系统，保证信息系统的通信速度，适应大量的数据和多媒体信息传输、处理、交换的需要，应有一定的扩充与发展空间，使整个网络系统具有较强的生命力。 保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为网络业务开展的瓶颈。 可靠性、稳定性： 计算机网络作为办公楼的基础设施，稳定性和可 靠性是网络建设的非常重要的指标。在设计方案中，在充分体现方案技术先进性的同时，并能保证技术的成熟性。在网络设备及结构等方面均应达到国际和国家相应的标准指标和要求，并满足需要。 实用性： 计算机网络建设强调网络系统与网络应用并重，先进实用，具有较强的可操作性；易于管理维护、便于扩充发展。 支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络 (如公共数据网、金融网络 )之间的平滑连接互通，以及将来网络的扩展。 可管理性： 博达国际公共服务大厦的计算机网络中信息点数达 4257 多个， 以后还将进一步扩充，网络中不仅包括很多网络设备，还要划分子网和虚拟子网，网络性能管理也会变得比较复杂。因此，在方案设计中，不仅要保证全部设备的可管理性，还要给出交换机 /网络性能管理软件，以满足统一、集中管理的需求，使得使用最少的人力就可以保证网络的日常维护。管理人员能够通过单一网管平台监测和控制所有的网络设备及端口。网络设备应尽量集中存放，以满足管理及外界条件的要求。 3 安全性： 所有设备的选型以及操作系统、应用软件系统的选择应该满足防止设备损坏、数据和其他资源的丢失和破坏，防止外部非法入侵以及对网络的非授权使 用。 可扩展性： 在网络设计中还应考虑网络今后的扩充能力，所采用的设备应全部为生产厂家的主流产品，使今后网络节点的增加、向 新技术的过渡能平滑进行，不会对现有网络结构作重大调整或是淘汰已有的设备，最大程度保证用户的投资回报率。 合理性： 网络建设必须考虑技术与经济上的合理性，应具有较高的性能价格比。必须考虑网络系统在全寿命期内的全部建设维持费用的合理及可承受性。 2 计算机网络系统 备选型考虑 网络系统硬件平台是整个工程的物理基础，设备选型是一个重要而关键的问题。 根据我们的工程经验和专家的意见，我 们根据以下标准选择厂商： 1) 设备性能价格比：设备的性能价格比是选型决策的重要考虑因素。 2) 售后服务包括如下内容：设备的保修期；是否在中国有备件库，这样一旦发生硬件故障时可以及时得到更换；是否提供 务，以便与原制造厂商及时取得联系，获得技术咨询和支持；故障报告的响应时间。 3) 公司的经济、技术实力和市场占有率，这一定程度上反映了该设备的信誉。 4) 设备的技术先进性，这是选型的首要考虑因素。 5) 设备对未来新技术的适应能力，反映设备的可扩展性，是保护用户投资的一种策略。 6) 设备的技 术性能指标。 7) 设备使用的方便程度，这体现设备的可维护性。 8) 设备在大型网络中的应用情况，它反映设备的适应性和可靠性。 9) 网络管理系统的集成性、开放性和功能，它反映网络管理系统是否能对网络作全面深入的管理，以及它对异构网络的适应能力。 10) 设备的标准化程度和可扩充性，反映对网络规模扩展的适应能力。 4 11) 是否对行业有长期稳定的优惠政策。 12) 交货期的时限和信用，这对工程能否如期完成有重大影响。 13) 系统软件的升级条件是否优惠。 14) 差错的检测与隔离能力，这是网络可靠性的重要保证 。 15) 手册与培训，反映用户能否较快地掌握设备的使用。 络产品选型 用 络设备产品 目前在世界上，提供网络设备的厂商有多家，在国际国内占市场最大份额的国外公司有四家，这也是我们进行选择的主要厂家： 司； 司； 3司； 其中 司的千兆网络产品功能非常全面，可以解决用户在网络方面需要的可靠性，线路冗余和平衡负载，故障迅速恢复连接，以及 址在交换机上的端口限制，解决网络接入的安全性问题。 术，实现核心网络连接的线路冗余和平衡负载；保证核心层的任一台交换机出现故障，不影响网络的运行，网络运行是连续的。 能是 准的加强，可实现冗余链路的迅速恢复，恢复过程只有 1 秒钟，达到只丢一个 的优异性能；在交换机上采用 址限制功能实现网络用户接入的安全保障，不良动机的用户不能连入网内。 经过谨慎的选择，对于博达国际公共服务大厦计算机网络，我们认为选择 司端到端的解决方案是目前最为成熟和可靠的选择。 用 务器产品 在服务器产品方面，我们选择惠普服务器产品。惠普已经用其 列证明了惠普在质量上的优秀品质，并且还将会持续提供有着牢靠的可靠性的方便的解决方案。惠普的服务工作配合所有的中小企业的需要，帮助每一个中小企业客户用最简单和最有效的方式来管理业务。 据 新报告，惠普 务器连续六年获得了国内市场占有率第一，从而树立了 5 在中国 务器市场上的领导地位。面对充满机遇和挑战的新世纪，惠普公司进一步加大了在中国的投资力度，除了新品迭出，更将服务器生产线陆续移至上海，同时积极开发增值代 理、关注重点行业、扶植中小企业，是本地化程度不断加深。 络技术选型 传统的网络技术通常采用共享访问链路的方式进行操作，即网络上所有站点共享一条公共的通信通道，存在着一定的局限性， 极大地限制了计算机处理能力的发挥。由此，产生了多种先进的网络技术，基本上是按两种方向发展，即以 “改良 ”方式出现的，以交换以太网、快速以太网、 千兆以太网方式为代表；或以 “改革 ”方式彻底改变网络方式，如 术。 千兆以太网是相当成功的 10太网和 100速以太网连接标准的扩展。千兆以太网和以太网及快速 以太网的节点完全匹配。最初的以太网规范由帧格式定义，且支持 D 协议、全双工、流控制和由 准定义的管理项目，千兆以太网将使用所有这些规范。由于视频、多媒体的广泛应用，人们对带宽要求的不断提高，作为主干网 100s 的 100 155s 的 不能满足用户对带宽的需求，因此，千兆以太网应运而生，目前千兆以太网主要应用有： （ 1）多媒体通讯，例如 媒体、会议电视、高清晰度、图形图象等； （ 2）视频应用，例如数字电视、视频点播（ 视频电 话等； （ 3）电子商务，例如虚拟现实、电子购物、电子商场等； （ 4）教育和科研应用，例如可视化计算、 媒体教学、远程教学、远程计算、数字图象处理等； （ 5）多媒体数据库应用等； 通过对博达国际公共服务大厦楼网络需求的分析，及我们对目前网络技术的认识和国际网络界最新发展动向，认为选择千兆以太网技术是该楼计算机网络建设的必然选择。 第一、千兆网络技术已趋成熟，千兆产品将成为市场的主流产品，因为千兆网络与百兆网络相比，不但使网络性能有根本性的飞跃，而且作为 骨干网络具有百兆 灵活性，完全突破了百兆局域网的距离限制，最远距离可达 100 公里，并且 6 已应用于千兆城域网的建设。另一方面，各大网络厂商都在努力丰富千兆的产品线，使得千兆产品价格不断下降，千兆网络已成为用户的首选。 第二，千兆网络可以轻松解决数据量大时，出现的网络“瓶颈”问题。某些较大规模的系统目前已发展到 500 个信息点以上，一些大型系统已建成 1000 信息点的网络，这时，旧时的百兆网络骨干已完全不堪重负。有些企业为了提高网络性能，将所有工作站都更换成 100M 网卡，但却不升级骨干的网络设备，认为这样能够提高上网速度，这就好比为 了缓解交通紧张，给北京的三环路开更多、更宽的进口，显然这样作只会造成三环主路的更严重的堵塞。利用 千兆交换机，我们可以提供高达 8G 的全双工无阻塞主干链路，完全发挥工作站 100M 网卡的优势，给用户的感觉就象奔驰在高速公路上一样。 第三，保护投资，为博达国际公共服务大厦的发展提供充分保障，以便将来有足够的带宽为用户在网上提供多种增值服务，如多媒体信息服务、即时视频新闻服务等。 在以下的网络方案中我们重点围绕着 4000 及 列产品来构架整个网络系统。 3 网 络方案设计 楼网络配置（开发区管委会） 按照国家有关政策的要求，政府上网必须实行网络的内外网划分，及实现内外网的物理隔离。这是解决政府信息化过程中机密信息安全问题的必要方法 。 位于博达国际公共服务大厦东楼的北京市经济技术开发区管委会要求实现外网和内网的正常运行和物理隔离，总共有 2701 个数据点，其中内部网点数为 948，外部网点数为1719 个，独立光纤点 34 个。因此针对不同网络进行独立布线，均采用二级星型拓扑结构，满足主干带宽千兆、桌面接入达到百兆的要求，这种拓扑结构的优点在于：网络结构更为简明可靠，将数据 所流经的网络环节降至最低，提高网络的访问速度和可靠性。这种拓扑结构的优点在于：网络结构更为简明可靠，将数据所流经的网络环节降至最低，提高网络的访问速度和可靠性。 网络具体配置如下： 7 部网络 干层配置 在中心机房选用 1 台 换机作为中心交换设备。 000 系列为 司重点推荐的多层交换产品 ,提供卓越的可扩展性和性能价格比，支持高接口密度、高性能、高可用性等特性。与应用智能、服务质量 (制以及安全性结合在一起，用户可以更高效地利用其网络，其 具有可扩展到 256交换带宽和可扩展到 150还有另一个优势可采用相同的策略机制来保证话音数据业务穿过网络，使网络管理者更高效的利用现有资源，同时通过简化网络结构，降低了运营费用。 换机全部为模块化设计，其主要模块均支持热插拔，支持冗余引擎和电源，可确保可靠、容错的网络运行。 509 具有极好的扩展性，带有 9 个模块扩展插槽。 本方案中为中心交换机配置了 2 个 擎，其中 1 个作为冗余备份留用。 此引 擎支持第三层交换，保证核心交换机的正常运行并且提供 2 个千兆模块插槽方便扩展，为博达国际公共服务大厦在进行网络规划时提供 间的路由； 1 个冗余电源模块 ；另外 选配 1 个三层交换百兆模块 0/100M，提供 48 个十兆百兆自适应以太网口用于连接路由器、防火墙、网管工作站及其他服务器、机房关键工作站等。选配 3 个千兆模块 提供 50 个 口，用以满足标书中初步涉及的光纤口要求），还剩 2 个扩展插槽使用户可以方便的进行网 络的扩展和升级。 （注：冗余设置亦可选用两台交换机考虑，本方案中暂以一台加选配相应冗余模块实现） 在各楼层配线间（共有 19 个楼层配线间）选配 换机作为二级交换机。 列交换机带有 2 个千兆光纤接口，和 12/24/48 个 10/100M 端口。千兆端口通过光纤与中心交换机相连，在管理数据点比较多的配线间，采用二级交换机堆叠卡 叠的方式互联，以提供足够多的 10/100M 端口。此款交换机具备高于 列的带宽性能而 拥有同样的价格，是理想的二级交换设备。依据不同楼层数据点要求，分别选用 12、 24 或 48 口交换机堆叠实现端口数量。 8 入政务专网与远程访问 局域网通过统一的出口接入政务专网。同时作为政务专网交互中心，还需要准备访问上级部门以及下级部门的接入服务。 根据各上网单位的自身条件和地理位置，主要 应有 接入方式： 1、电话拨号方式。上网单位通过电话线路和调制解调器（ 入因特网，浏览网上信息，经授权对本单位信息的发布和更新，以及不受所在地域位置（如外省市）的限制收发电子邮件。主要解决不具备专线安装条件的上 网单位及机关工作人员单机上网。 2、专线方式（如 ）。该方式是指利用数字数据网 (线或帧中继 (，将上网单位的局域网同广域网相联接。上网单位通过网络方式提供上网信息和浏览信息。适用于办公单位集中、内部网络建设比较好的单位。 3、综合业务数据网 (式。该方式类似于电话拨号方式。但速率高 达（ 64上网单位通过 入因特网，浏览网上信息，利用 行本单位信息的更新和补充。适用于目前已经开通 务的地区。 4、局域 网接入方式。有条件的部门、单位可采用光纤、双绞线等传输介质，利用太网、快速以太网等局域网技术就近接入省党政信息网或具有 口的市地级城域网，从而获得较高的接入速度和性能。 5、其他方式：如 “ 扩频微波 ” 、 “ 电话专线 ” 等方式 方案我们采用了高端路由器 206，该路由器提供优异的性价比，可以提供很多网络服务加速解决方案，如通过网关连接到 地区和分支办公室、企业和服务供应商的远地集中（多个分散地点通过一个中央地点实现互连）、要求能够将以上所有功能结 合起来实现多服务语音、视频和数据的多功能能力的地点。其一个关键优点是其模块性。通过 4 和 6 插槽机箱，提供 300度的 5 个处理器，每秒可以交换 30 万个信息包，带有 48 个端口的广泛的局域网和广域网接口，以及单个或双重电源，客户可以获得所需的性能和容量。这种模块性还提供投资保护和可靠的扩展路径。配置远程访问模块来提供远程访问服务，满足用户今后扩展的需求；同时 206 还能支持基于远程访问服务，满足用户今后增值服务的需求。 9 在本方案中配置了 00/2F，根 据与上级部门或政务专网的接入方式不同选配不同模块。本方案中预配了 1 块 以实现高达 155接入速率用以上连； 1 块 以提供 8 个串行端口，以实现下级单位的接入服务。 同时 206 还能支持基于 远程访问服务，满足用户今后增值服务的需求。对于远程用户和 通讯访问，则根据各种不同连接方式配以相应异步串行模块来实现拨号用户的访问。 络拓扑结构 络安全与管理 防火墙是在两个网络通讯时执行的一种访问控制尺 度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑509 206 网管工作站 应用数据库 / 务器 政务专网 E 9504/48 9508 9502 代理 /备份服务器等 下级单位访问 10 客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。 本方案中选配了 1 台 火墙， 25 实现了在 P 网络上的安全保密通信。它集成了 主要功能 - 隧道、数据加密、安全性和防火墙，能够提供一种安全、可扩展的平台来更好、更经济高效地使用公共数据服务来实现远程访问、远程办公和外部网连接。它本身自带 2 个 10/100M 的 准接 口方便用户连接被保护的设备，并且支持 能。 在中心机房配置一台网管系统，使用 管软件（ 详见后面介绍 ）。 部网络 干层配置 在中心机房选用同样选用 1 台 换机作为中心交换设备， 共有 9 个模块扩展插槽。本方案中为中心交换机配置了 1 个 擎， 此引擎支持第三层交换，保证核心交换机的正常运行并且提供 2 个千兆模块插槽方便扩展，为博达国际公共服务大厦在进行网络规划时提供 间的路由； 1 个 冗余电源模块；另外 选配 1 个三层交换百兆模块 0/100M，提供 48 个十兆百兆自适应以太网口用于连接路由器、防火墙、网管工作站及其他服务器、机房关键工作站等。选配 2 个千兆模块 共可以共提供 34 个 口，用以连接二级千兆交换机和独立光纤点。还剩 4 个扩展插槽使用户可以方便的进行网络的扩展和升级。 （注：冗余设置亦可选用两台交换机考虑，设计中认为暂时可以只考虑电源的冗余） 在各楼层配线间（共有 26 个楼层配线间）均选配 换机作为二级交换机。 列交换机带有 2 个千兆光纤接口，和 12/24/48 个 10/100M 端口。千兆端口通过光纤与中心交换机相连，在管理数据点比较多的配线间，采用二级交换机堆叠卡 叠的方式互联，以提供足够多的 10/100M 端口。此款交换机具备高于 列的带宽性能而拥有同样的价格，是理想的二级交换设备。依据不同楼层数据点要求，分别选用 12、 24 或 48 口交换机堆叠实现端口数量。 11 入 远程访问 大厦网络通过统一的 出口接入 如果使用专线接入，则通过 620 路由器连接基带 光纤与广域网线路相连 用 由器的访问列表（ 制合法用户对 访问。 620 路由器是全模块化设备，本身自带 2 个 10/100M 的 准接口， 2 个槽用于广域网的连接。 在本方案中配置了 1 块 太网卡模块和 1 块 域网模块，它提供了 2 个 2M 的串行口，方便用户与 务商（ 联。如果使用 宽带 入，则应该根据电信提供接入速率，选用不同模块例如 ，则可以实现高达155接入速率。 部网络拓扑结构 509 620 网管工作站 数据库 / 务器 E 9504/48 9508 9502 代理 /备份服务器等 计费工作站 12 络安全与管理 本方案中选配了 1 台 火墙， 15限制）除了提供 15有的功能以外，还提供故障切换功能和多达 6 个 10/100 以太网端口。多出来的 4 个端口允许更加健壮的传输配置，可以在其上托管一个受到保护的 而运行一个网站或执行 滤和病毒检测。 15专为中型企业而设计，能够提供接近 170吞吐量和 10 万个同时连接，并实现快速、可靠和价格合理的安全性保护。它本身自带 2 个 10/100M 的 准接口方便用户连接被保护的设备。 在中心机房配置一台网管系统，使用 管软件（ 详见后面介绍 ）；可根据具体情况选用一台网络计费系统，推荐使用清华同方网络监控与计费系统软件。 楼网络配置（朝林公司） 位于博达国际公共服务大厦西楼的朝林公司局域网总共有 1556 个数据点，设计同样采用二级星型拓扑结构，以满足主 干带宽千兆、桌面接入达到百兆的要求。充分体现出网络结构简明可靠、可将数据所流经的网络环节降至最低以及高速网络访问和可靠性的优点。 网络具体配置如下： 干层配置 在中心机房选用 1 台 换机作为中心交换设备。 换机全部为模块化设计，其主要模块均支持热插拔，支持冗余电源。 换机的高性能表现在最高可达 60G 的背板带宽和 18三层交换性能，在端口性能 /价格比上具有其他厂商无法比拟的优势其具有极好的扩展性，带有 6 个模块扩展插槽。 本方案中中心交换机配置了 1 个 支持 3 层交换的第三代管理模块 引擎， 保证核心交换机的正常运行并且提供 2 个千兆模块插槽方便扩展，为博达国际公共服务大厦在进行网络规划时提供 间的路由； 1 个 层交换百兆模块 ，提供 32 个10/100M 接口， 10/100M 接口用于连接路由器、防火墙、网管工作站和其他机房关键工作站等； 3 个 和 1 个 千兆光纤模块，总共可以提供 40个 1000M 光纤接口，可用于连接二级交换机 千兆模块和独立光纤点。 （注：如果考虑 冗余 13 设置则应选用两台中心交换机，本方案中暂时没有考虑实现冗余的配置） 在各楼层配线间（共有 16 个楼层配线间）同样选配 4/12 交换机作为二级交换机。通过采用二级交换机堆叠卡 叠的方式互联，以提供足够多的 10/100M 端口。 入 远程访问 大厦网络通过统一的出口接入 如果使用专线接入，则通过 621 路由器连接基带 光纤与广域网线路相连 用 由器的访问列表（ 制合法用户对 访问。 621 路由器是全模块化设备，本身自带 2 个 10/100M 的 准接口， 2 个槽用于广域网的连接。 在本方案中配置了 1 块 域网模块，它提供了 2 个 2M 的串行口，方便用户与 务商（ 联。如果使用宽带 入，则应该根据电信提供接入速率，选用不同模块或换用 可以实现高达 155接入速率。 同时 621 还能支持基于 远程访问服务，满足用户今后增值 服务的需求。对于远程用户和 通讯访问，则可选用相应数量端口异步串行模块以满足拨号用户的连接。 络安全与管理 防火墙同样是必备的安全设备。它在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。 本方案中为朝林公司选配 1 台 火墙，它所提供的能力可以处理 10 万余个同时连接，吞吐量高达 170本身自带 2 个 10/100M 的 准接口方便用户连接被保护的设备，并且支持 能。 在中心机房配置一台网管系统，使用 管软件（ 详见后面详细介绍 ）；一台网络计费系统，使用清华同方网络监控与计费系统软件（ 详见后面介绍 ）。 14 络拓扑结构 综上所述，我们的建议方案尽量体现完备实用和易扩展性，但在大厦网络建设过程中，考虑东楼经济技术开发区管委会已有设备的再利用和西楼朝林公司具体租售状况同样十分重要。因此具体设备清单仅供招标方参考，本次除东楼内网外，其他设备不计 入总价。 络中心建设 计算机系统网络中心分成 个部分。 网络中心子网的示意图如下： 621 网管工作站 应用数据库 / 务器 E 9504/48 9508 9502 代理 /备份服务器等 计费工作站 15 S w i t c h C e r t e r N O C N I C S u b n e t 网络中心的网络设计包括 段、 段和开发网段，说明如下： 段 段的示意图参见下图： 段完成主干网的系统管理、配置管理、安全控制、计费管理等网络管理、运行等功能。 段配置了网管工作站，用于网络管理和流量统计；配置了安全控制工作站，用于安全控制和访问记录。 各工作站连接在交换机上， 换机连接 到网络中心子网交换模块上。 由于 段是整个网络系统的控制中枢，因而必须采用严密的安全控制措施。 段、开发网段、拨号网段分离，这样安全性较好。 作为全网的控制中枢， 段采用尽可能的安全控制措施，以防不测。如：采用防火墙软件；在口令管理方面，增加一次性口令（ S/术）的安全管理技术，口令不在网上传输。由于交换机支持虚拟网（ 段内部通过 够实现进一步的隔离。 N O CN e t w o r kM a n a g e m e n tS e c u r i t yC o n t r o l 16 段 段基本配置为 1 台局域网服务器、 1 台网管工作站、 1 台计费服务器、 1 台 器、 1 台邮件服务器以及数据库服务器，实现广域网服务、网络代理、邮件处理等功能。 段是网络中心路由器的一个独立接入网段，各服务器直接连接交换中心或先连到 1 台交换机上，该交换机通过接入网络中心子网交换模块，通过该交换模块再连接到交换中心。 名服务器 通信的关键环节，不但域名解析速度要快，而且必须支持域名解析的备份。博达国际公共服务大厦计算机网络系统应设有 1 套 与相应数据库服务器和务器复用。 责本域内部的域名解析。 件服务器 使用内部邮件服务器，向办公楼内部 人员提供邮件服务。可通过安装微软 务器 超文本信息查询和 式的应用服务，是博达国际公共服务大厦 计算机 网络系统提供的主要信息服务方式。 务器不但速度要快， I/O 能力也必须很强。 理服务器 针对外接 内部用户提供代理服务，有效的隔离局域和广域网络，可以减少 址的使用，限制了内外部网络的互访。 过 术，也降低了出口流量，提高了用户访问速度。通过有选择的复制、备份和镜像常用的的站点，还能 够减少访问频次。为 务器配置内部和外部 址，一个 址实现与 连接；另一个 址用于内部访问。 据库服务器系统 作为信息资源中心以及办公自动化的控制中心，最为重要的部分是数据库服务器里面 17 的信息数据，数据同其他有形设备一样，是政府、公司、企业的重要资产。因此必须建立完善的备份方案以保证数据的完整性和一致性。 考虑到北京经济技术开发区管委会需要保存和应用的数据相对重要，切实需要完善的数据库备份系统，因此以下 备份方案主要适用于东楼网络。 西楼朝林公司数据库主要用于物业和办公的管 理，容量较小，因此可以用单机加备份硬盘的方案解决。 份方案 中心数据库服务器采用 2 台服务器通过磁盘阵列柜进行热备份 ，保证当其中 1 台服务器出现问题时系统仍可以正常运行。磁盘阵列柜采用 式，也保证了如果阵列柜中1 块数据盘出现问题时，系统仍可以正常运行，在更换出错硬盘时也不影响系统的运行。数据库服务器内置硬盘采用 2 块硬盘进行镜像的方式，保证了当其中 1 块系统磁盘出现问题时操作系统也正常稳定运行。同时配备千兆网卡直接连接中心交换机以提高访问速度。 在选择备份硬件时，应考虑以下几点： 备份速度；备份介质费用 ；备份数据的易保管性；备份硬件的可维护性。 国内对 应用开始于近两年，由于当时备份的方式仍以文件拷贝为主，数据量小，成为了多数部门的首选备份设备。但可以看到，原来那种简单的备份方式已经不适应于网络技术的发展，新的技术要求有新的备份设备。在系统日益复杂，数据量日益增大的情况下，磁带是最理想的备份介质。 用磁带备份，主要有以下几个优点：磁带的发展，已有 30 多年时间。历史证明磁带技术是相当稳定可靠的。磁带的容量高，成本低。一盒磁带可存储高达 70数据，而每 存储成本在 10 元左右；磁带的数据传输速 率非常高，最低可达 60，最高可以达到 600 ；可重复使用，易于携带和保管；允许无人操作的自动备份； 考虑到系统备份要求保存相当长时间的历史数据，采用磁带是必然的选择。 本系统采用 5677A 磁带库进行数据备份。 18 份软件 利用磁带机进行数据备份是一种古老的备份措施，随着信息产业技术的发展，磁带机备份技术也在飞速发展，如磁带机数据的提高，磁带容量的增加等，磁带机备份这种古老的备份手段一直是备份系统的首要选择之一。在购买了磁带机或安装操作系统时，一般都有对磁带机备份的软件支持。但是，这些软 件往往只具备了基本的备份功能，就是将数据备份到磁带中以及从磁带上恢复数据 ,因此，需要另外购买磁带备份系统。 备份软件系统应可以达到以下几个主要功能： 可以备份各种系统信息，如 T 的域用户和计算机用户， ；对打开文件的备份功能：支持对已打开文件的备份，可以备份诸如据库、打开的读写文件等等，如此即可保证数据备份的完整性和恢复的可靠性；灾难后服务器系统和数据的恢复功能：能够在短时间（少于 15 分钟）内对整个数据库服务器的操作系统和 数据进行自动恢复；可以把其他服务器 /工作站上的数据备份到远程，进行集中备份，就像在本机进行备份工作一样，同时可以支持多元环境（ T、 ）；后台定时自动备份功能：定制备份的方法可以实现自动化的 24 小时备份。如此既可以减轻系统管理者工作量也可以避免人工备份造成的差错性；并行数据流：可以在多台设备之间进行备份、复原或数据复制，从而提高系统的性能；本系统建议采用 统作为备份系统，利用自动备份、灾难恢复等功能保障中心数据 库的稳定运行。如果考虑节省投资亦可使用操作系统自带功能来实现备份冗余。 份策略 在数据备份系统的设计中，我们主要针对数据库服务器进行数据和系统备份。 进行数据备份，控制备份代理，调度备份进程，进行 24 小时的不中断在线数据备份，保护系统中的特定环境信息，同时，进行数据校验、与客户机进行并行数据处理。 可以对正在使用的文件进行备份操作，确保数据的完整性，作到与应用程序无关的在线数据备份。关系数据库的备份代理，通过 于那些联机数据库和信息系统提供了数据库表一级的追加式备份 。（以 据库为例）对于灾难性事故的恢复系统，能借助备份系统的快速启动过程由一个新的硬盘快速简便的恢复整个系统。包 19 括创建和格式化分区、恢复网络操作系统和所有关键性的配置。 在备份策略上，可以根据政府办公系统的特点，设置好备份策略。例如可以使系统在每周进行一次包括操作系统级的完全数据备份，每天进行一次数据库级的完全数据备份，若存在实时处理事物，则可以设定每隔 5 分钟进行一次数据库的增量备份。 拟子网的 置 每一个虚网对应一个 网，为每个虚网的节点配置上相应的 址，如节点属于多个虚网，则应 分配多个 址。 划分的示意图如下： 因为这个网络系统可能需采用地址翻译功能（ ,来弥补 址的不足，所以建议博达国际公共服务大厦网络系统采用 因为 址空间的限制， 私用网络保留了以下三块地址空间，这些地址永远不会在 法地址中出现，允许企业自由采用 (参见下表 )。 P P 三层交换部门 1外部接入网段N I C 网段N O C 网段部门 2部门 0 B 建设 应采用 私用网预留的 址空间，如果内部网络的非法 P 地址相同，则在这两台主机间就无法进行通讯，因为地址翻译是在网关的外部接口中进行的，故发送主机本身会直接把数据包返回给源主机，数据包根本到达不了防火墙网关。 络管理 述 随着网络技术的发展 ,网络的管理面临着愈来愈高的要求 化为以管理智能网络 ,管理关键业务流量为中心。因而网络网管理必须能够： 快速 ,简洁配置网 络设备；实时监视网络设备 ,网络连接和网络流量；监视并预测网络变化和网络错误；标识最终端口分配 ,验证逻辑连接；辅助诊断网络错误和失效。 因此 计算机网络 的网络管理是网络建设的重要内容，是保证 计算机网络 正常运行的前提。网络管理不但需要先进、实用的技术支持手段，对大中型网络而言，更需要合理、有效的组织体系和规章制度。网络管理是网络可用性的关键组成。界定并实现网络管理是网管设计的主要内容。 计算机网络 网络管理系统的主要管理对象包括： 核心层多层交换设备；分布层二级交换机设备；服务器系统； 分与管理。 所有的 网络信息和管理数据，包括系统配置、失效记录、安全记录、性能记录，使用情况等都保存在数据库中，这些信息和数据可以方便地进行查询、统计、分析和形成报表。 配置管理：管理主要网络设备和服务器及 配置信息、通信和网络拓扑结构、系统 名称、电子邮件地址、口令字等重要网管信息。 失效管理：是保证网络正常运行至关重要的一个部分，目的是保证网络正常运行，尽量减少故障发生的频度、消除故障产生的隐患，并及时修复已出现的故障。失效管理配合网管软件的失效管理功能，建立失效档案管理，提供联机工作手册和规范的失效处理操作 21 程序（ 包括书面报告、电话报告、 告、处理程序、处置意见等的要求）。通过一定的故障定位手段和分析方法找出故障源，并立即对故障源进行隔离和修复。 性能管理：对接入网络和 址的流量及流速进行定时采样记录。能够指明网络流量的高峰和瓶颈所在，能够按业务、部门、时间统计，根据流量统计安排镜像操作的时间等。 安全管理：是整个网络管理的重要一环，通过防火墙、认证 /授权、数字签名、加密传输、存取控制、安装安全分析工具等手段实现安全控制，监视 计算机网络 的访问情况，实施访问安全控制；通过设备冗余、容错配置、数据备份等手 段确保运行安全；通过值班制度、运行制度完善组织管理；通过事故保护系统，如防火系统、防盗系统、电源安全系统等措施防止非常事故的发生。 计费管理：采用多种计费方式，包括基于流量、时间、应用等的计费机制，实现流量控制及运行费用管理。 在本方案中，由于全部采用 网络设备，因此我们建议采用 司的 络管理软件管理 司的网络设备，它基于 台，和 络管理软件相结合，可以在网络中心对所有的 络设备进行集中网络配置管理。 络管理系统提供先进的网络发现技术，端口分配工具，复杂的网络连接分析软件和配置管理工具，设备和网络诊断工具，以及 程网络流量监视，从而满足这些管理需求。 括入下功能模块： 资源管理模块； 区网管理模块； 络内容流的管理；网络流量管理；插入式模块管理。下面介绍每一个模块的功能： 一种适用于 由器、交换及接入服务器的功能强大、基于 网络管理解决方案。它的浏览器接口可轻松接入到对网络正常运转时间至关重要的信息；而它的模块通过处理耗时的管理工作简化了网络管理，使管理网络库存和设备变化、归档和查寻配置文件及迅速采用新的软件版本的工作一体化 ,帮助排除关键网络设备的基本连接状态的故障，并提供硬件容量规划所需的信息并有一条内置链路与 接，按照你的网 22 络库存要求提供最新管理信息和 识。 括下列关链模块和功能： 库存管理器 持一个最新的硬件和软件库存。 变化审查业务 供有关软件、硬件及配置变化的综合报告。 设备配置管理器 行路由器和交换机配置的及时归档。 可用性管理器 控关键设备。 析器查出网络故障情况，并给出故障原因及建议措施。 软件版本管理器 化并加速软件版本的规划和采用。 成配置归 档产生一个仅包含最近配置变化的“ 录，该目录可用于 品，进行模型建造、完整性检查并生成业务级别管理报告。 理连接 供一个工具包及后续程序，用基于标准和技术进行网络管理应用程序集成。 网络工具提供用于管理 同的合同连接、发出技术援助中心（ 请的案例管理器及确定有效协议的连接工具。 区网管理 换机的综合管理解决方案，它在单个设备和整个网络范围的基础上提供广泛的网络搜索和显示、配置、 务及性能管理功能。 区网提供： 物理层和逻辑层的综合网络搜索和拓扑结构，智能性地显示多达 500 个设备 通过一个图形接口的设备配置，易于进行设备管理 使用 集的流量数据进行的性能监控和分析 优化 能的配置及分析工具 置功能可以逻辑方式将网络分隔成定义好的广播群 真 (置及诊断工具 用于诊断连接故障的终端用户站追踪 区网建立在 础上，大大降低了交换的互联网管理的复杂性，同时对于任何使用 换机的网络来说，它也是一种有价值的解决方案。 理交