某钢铁集团有限公司信息化建设项目一期工程技术方案书.doc

- 1 - 某钢铁（集团）有限公司某钢铁（集团）有限公司 信息化建设项目一期工程信息化建设项目一期工程 技术方案书技术方案书 - 2 - 目目 录录 一、太钢公司网络信息系统一期规划实施方案主干网络系统建设8 （一）概述.8 1、网络设计原则8 2、网络建设目标和总体规划8 （二）主干网络建设.11 1、主干交换机11 1.1 cisco catalyst 6000 系列基本特性.11 1.2 cisco catalyst 6000 系列扩展特性.12 1.3 第三层交换14 1.4 本方案选型和主要配置15 1.5 子网划分15 2、二级节点主交换机16 2.1 cisco 3548 xl 交换机介绍.16 2.2 本方案二级节点主交换机选型和配置16 3、部门交换机17 4、网络连接冗余17 （三）访问服务中心.18 1、isp 访问服务器配置和选型.18 2、isp 计费系统软件.19 （四）internet 连接 .21 1、internet 连接概述 21 2、cisco 3640 路由器介绍21 3、本方案路由器选型和配置22 （五）服务器系统.23 1、e-mail 服务器23 1.1 e-mail 服务器选型原则23 1.2 sun e450 优点与特性 24 1.3 e450 cluster ha 双机热备25 - 3 - 1.4 本方案 e-mail 服务器主要配置26 2、数据库服务器27 2.1 数据库服务器选型原则.27 2.2 本方案数据库选型和配置27 3、web 应用服务器28 3.1 web 服务器的功能概述.28 3.1 本方案 web 服务器的选型和配置.29 3.2 sun e250 优点与特性详述 29 4、代理服务器31 5、计费和认证服务器31 6、dns（域名）服务器31 7、开发平台32 （六）系统软件的选择.33 1、操作系统的选择33 2、数据库的选择33 3、web 应用服务器软件的选择36 4、e-mail 软件系统的选择37 （七）主干网实施和综合布线子系统.40 1、设计原则40 2、总体设计思路40 3、布线系统详细设计41 3.1 设计依据.41 3.2 设计要素.42 3.3 布线系统设计.42 3.4 线路铺设.47 （八）数据备份.48 1、数据备份概述48 2、推荐采用的备份软件和存储设备49 2.1 备份软件.49 - 4 - 2.2 存储设备.49 2.3 备份方案结构图.50 3、备份方案选择50 （九）网络管理.51 1、太钢公司网络系统对网络管理需求51 2、太钢信息系统网络管理选型和配置52 3、solstice sunnet manager 2.3 介绍52 4、sun 网管系统的工作原理及特点.54 4.1 分布式管理.54 4.2 协同管理.55 4.3 snmp 的支持.56 4.4 安全性.56 4.5 用户工具.57 4.6 应用接口.58 5、ciscoworks for sun net manager 介绍 58 6、ciscoworks for sun net manager 功能描述 59 6.1 查错管理.59 6.2 运行管理.60 6.3 帐户管理.61 6.4 配置管理.61 6.5 安全管理.62 （十）ip 地址分配和域名管理 62 1、ip 地址管理概述 .62 2、内部网络 ip 地址分配 63 2、外部网络 ip 地址分配 64 3、isp 网络 ip 地址分配65 4、域名管理65 （十一）网络安全.66 1、安全技术介绍66 - 5 - 1.1 系统安全66 1.2 信息安全66 1.3 应用安全67 1.4 网络安全防火墙67 2、软件防火墙介绍68 3、cisco pix 防火墙介绍69 4、本方案网络安全配置概述69 5、内部的合法用户在外地从不同路径入网的安全性70 5、cisco secure pix 525 配置和实施 71 - 6 - 一、太钢公司网络信息系统一期规划实施方案一、太钢公司网络信息系统一期规划实施方案主干网络系统建设主干网络系统建设 （一）概述（一）概述 根据我们的组网经验，结合太钢公司企业网的建设必须要统筹规划，全面 安排，确保网络的合理性、先进性、经济性和安全性，并且要为网络未来的发 展留有足够的扩充余地。 1、网络设计原则、网络设计原则 坚持实用性并充分保护用户的投资 坚持开放性、兼容性和可互连性，向事实上的工业标准 tcp/ip 协议靠 拢，同时考虑支持 ipx/spx 坚持技术的先进性 坚持高可管理性 坚持高可靠性 提供冗余备份功能 能有效进行网络管理 利于网络扩展和技术升级 充分利用现有的网络设备 提供严格受控的拨号访问系统 提供完全的网络安全控制 2、网络建设目标和总体规划、网络建设目标和总体规划 太钢公司信息系统网络建设的目标，就是在总部和各分支机构局域网建设、及其广域 网联接的基础上，将互联网技术引入企业内部网，从而建立起统一、快捷、高效的 intranet 系统。整个系统在安全、可靠、稳定的前提下，符合经济的原则，即实现合理的投入，最 大的产出。具体规划如下： 以电讯公司为中心，与公司机关大楼、厂区内生产处、各二级厂等单位通过光纤相连， 构成一大型分级局域网。 以千兆以太作为主干网，利用第三层交换技术实现大型局域网的 vlan 划分。一期规 划中十个二级节点采用千兆，与中心主交换机（主节点）构成千兆网络主干，各二级 单位（三级节点）采用 100m 光纤收发器通过二级节点接入主干网。 考虑到网络环路连接可达到冗余效果，增加系统的可靠性，因此，二级节点之间尽可 能互联，形成环路。 网络中心建设拨号访问服务中心，接受远程拨号访问，并由认证和计费系统进行权限 认证和计费。 网络通过申请专线或虚拟光纤接入 internet/chinanet，在公网上建立虚拟专用网(vpn)； - 7 - 通过采用 web 技术和 internet-vpn 技术以及信息加密技术实现电子商务。这样，可以 提供远程拨号访问和通过 internet 访问两种方式，来实现全国各分支机构、相关部门 以及公众对太钢信息的限制性访问。 网络的安全机制： （1）通过对网络设备的配置，控制访问列表等方式来加强网络的安全性 措施； （2）更重要的是，在内部网与公众网的结合处，采用先进的防火墙技术、代理服务器 技术、以及 web 服务器的口令验证、数据加密等技术实现网络的安全性。 网络中心设立 web 应用服务器、代理服务器、e-mail 服务器、dns 服务器、计费 认证服务器和数据库服务器，实现 web 访问、internet 接入、e-mail 系统、域名解 析、计费认证和应用系统等各种功能。下图是主干网络总体逻辑示意图：下图是主干网络总体逻辑示意图： - 8 - cisco catalyst 6509中心交换机 sun e450服务器sun e450服务器 sun e250服务器 cisco catalyst 2950交换机 cisco catalyst 3548交换机 web服务器 e-mail服务器数据库服务器 dns服务器 代理服务器 计费认证服务器 cisco as5300访问服务 器 电讯公司电话网 拨号访问pc机 sun e250服务器 磁盘阵列 光纤连接 网管工作站 cisco catalyst 2950交换机 cisco catalyst 2950交换机 二级企业 千兆接入 二级企业 千兆接入 信息点pc cisco 3640路由器 internet/ chinanet internet用户internet用户拨号访问pc机 cisco pix防火墙 cisco catalyst 2950交换机 cisco catalyst 2950交换机 双机热备 太太原原钢钢铁铁集集团团信信息息系系统统一一期期规规划划网网络络逻逻辑辑示示意意图图 信息点pc 信息点pc 信息点pc 信息点pc 信息点pc 信息点pc信息点pc信息点pc 工作组交换机 光纤 连接 光纤 连接 三三级级子子网网 二二级级子子网网 电电讯讯公公司司网网络络中中心心 i is sp p服服务务 i in nt te er rn ne et t接接入入 cisco catalyst 3548交换机 千千兆兆主主 干干网网 二二级级子子网网 三级企业 百兆接入 备备份份 连连接接 - 9 - （二）主干网络建设（二）主干网络建设 1、主干交换机、主干交换机 中心交换机选用 cisco catalyst 6000 系列中的 6509 交换机，提供最高的性能价格比。 6509 拥用 9 个插槽，支持最多 384 个用户连接。 6509 与两个二级企业千兆交换机 cisco catalyst 3548 之间构成环形冗余线路，并构 成主干网络核心。 1.1 cisco catalyst 6000系列基本特性系列基本特性 和服务供应商网络提供高性能多层交换解决方案。catalyst 6000 家族旨在满 足主干网/分布式和服务器集合环境中对千兆位可伸缩性、高可用性及多层交换 的增加需求，提供卓越的可伸缩性和性价比，支持广泛的接口密度、性能和高 可用性选项。 通过结合卓越的控制平面和数据包转发可伸缩性以及一系列丰富的智能服 务，catalyst 6000 系列为新纪元企业和服务供应商解决方案(例如集成化语音/视 频/数据和电子商务服务)提供了基础。 catalyst 6000 系列目前能使服务供应商和企业环境在可伸缩的网络体系结构 方面迈出下一步。通过集合可伸缩的性能、可伸缩的控制平面及广泛的智能网 络服务的优点，catalyst 6000 系列将为下一代网络外附提供框架。 catalyst 6500 系列交换机的交换光纤模块为当今最先进的网络提供最佳的带 宽性能，将交换容量扩展到 256 gb/s。 supervisor engine 2 与 msfc2 一起能够启动一个基于 cef 的体系结构， 并将总体系统性能提高到 100+ mpps。 isupervisor 2 和 gigabit ethernet 模块上业界领先的 cisco express forwarding (cef)：扩展控制平面数据包转发性能以及安全、高可用性和 qos 方面的智能服务，为动态的服务供应商和企业网络提供下一代解决方案。 带有本地或分布式转发的 catalyst 6500 系列高性能 gigabit ethernet 交换 模块非常适合千兆位主干网和服务器间配置中的部署或高密度 10/100-mbps 配 线间的集合。 catalyst 6000 系列入侵检测系统模块在同一机箱中集成了交换和安全功能性， 提供针对未经授权和恶意活动的全面攻击保护。 qos、高可用性和安全领域业界领先的新智能服务能够跨服务供应商和企业 - 10 - 网络启动多个部署选项。 。 。由于 1000base-t 模块的推出，cisco system 能够通过 category 5 电 缆在长达 100 米的距离启动千兆位速度传输。16 端口 gigabit ethernet 模块为 高速服务器连接提供一个高度可靠和经济有效的解决方案。 flexwan 模块模块 。 。catalyst 6000 系列提供一个智能交换体系结构，在整个企业和服务供应商网 络扩展了带宽和智能服务，提供智能配线间、主干、服务器间及集成化语音/视 频/数据解决方案。 6509 交换机具备强大的划分 vlan 能力和高速第三层交换能力。利用多端口千兆模 块实现与其他分支机构主交换机（选用 catalyst 3548 交换机）的主干连接。主干交换机均 支持 fec 技术（快速以太网的多链路捆绑） 、isl 技术（支持跨设备的 vlan 划分） 。部门 交换机和工作组交换机选用 catalyst 2950 交换机实现快速以太网分支，全面支持 snmp 协 议。 1.2 cisco catalyst 6000系列扩展特性系列扩展特性 catalyst6000 家族由 catalyst6000 系列、catalyst6500 系列组成。这两个系列均支持 6 和 9 个插槽的版本，提供广泛的配置和价格/性能比选择。catalyst6000 和 catalyst6500 系列 交换机还支持广泛的接口类型和密度，包括支持高达 384 个 10/100 以太网、192 个 100fx 快速以太网端口和 130 个千兆比特以太网端口业界最高的端口数量。客户还可使用 fastetherchannel 或 gigabitetherchannel，集合八个物理快速以太网或千兆以太网链路，实 现高达 16gbps 的逻辑连接。catalyst6000 系列提供业界领先的千兆以太网骨干网解决方案， 以满足当今要求最高的、快速增长的企业 intranet 的需求。 表 1catalyst6000 家族的密度和容量 结构catalyst6000 系列catalyst6500 系列 底板带宽32gbps32 至 256gbps 千兆比特以太网端口数量130130 100fx 以太网端口数量132132 10/100 以太网端口数量384384 多层交换能力可扩展至 15mpps可扩展至 150mpps catalyst6500 系列结构支持可扩展到 256gbps 的交换带宽和可扩展到 150mpps 的多层 交换能力，可以支持最苛刻的网络流量需求。 catalyst6000 家族支持与 catalyst5000 家族相同的软件结构，提供业界领先的基于 ciscoios的服务。ciscoios 提供整套软件业务，负责管理网络安全性，分配并实施 - 11 - qos，提供增值的、实现高网络弹性的业务。ciscoios 还为 ciscoworks2000 与 cisco 资源 管理器两者的集成、整个 catalyst 产品系列均支持的基于 web 的管理工具提供管理架构。 pim、internet 组管理协议(igmp)、cisco 组管理协议(cgmp)、garp 多点发送注册 协议实现的高效的 intranet 多媒体和多点广播支持为多媒体和多点广播应用提供端到端的 可扩展带宽。这些服务将数据只传送给加入多点广播组的用户，而不会影响其他用户。 qos 策略利用 2、3、4 层信息(如 ip、ciscoisl、802.1p 帧的优先比特位或 4 层端口 号)来执行。在 catalyst6000 系列交换机内，可配置门限的多种队列采用 wred、wrr、业 务类型/业务级别(tos/cos)映射机制，以确保数据包在第 2 层和 3 层边界传输时，qos 得 到维护。资源预留协议(rsvp)优先映射亦可使用，以确保及时提供时间敏感的 intranet 应 用。 intranet 的安全性通过安全端口过滤功能受到支持，使个别的端口仅允许某些指定工 作站的接入。tacacs和 ip 允许清单防止对安全管理环境中的交换机进行非法访问。访 问控制表(acl)防止非法用户闯入网络。md5 路由鉴别还用于防止欺诈路由选择更新。 移动性转移、增加、更换使用动态主机配置协议(dhcp)和域名系统(dns)受 到支持，并与动态 vlan 功能一起实现最佳的、可扩展性能，而无需考虑地点。 话音还可在传统数据端口，即以太网上受到支持。如同“双-网络”的设计原理 一个用于数据，另一个用于话音如今开辟了一种将话音和数据合并到一个网络中的方 法。catalyst6000 系列可采用相同的策略机制来保证话音数据业务穿过网络。它还有另一 个优势网络管理者可更高效的利用现有资源，同时通过简化网络结构，降低了运营费 用。 catalyst6000 家族支持多级别网络弹性和可服务性，旨在处理关键任务应用。为确保 系统高可靠性，catalyst6000 家族支持设备级容错，包括以下选项： 冗余 supervisor 冗余、负载分担电源（ac 和 dc） 冗余共享风扇 冗余系统时钟 冗余上行链路 冗余交换光纤(仅用于 catalyst6500 系列) 包括电源、风扇、superviros、线路板模块在内的所有系统单元都可热插拔，如元件 可增加、转移或替换，而不会导致无关数据流的业务中断。在双重 supervisor 配置中， ciscofastswitchover 为了保护关键应用，可在几秒钟内将交换机控制转换到冗余 supervisor 上。所有系统单元都可现场替换，从而实现了最大服务性和最少的网络停机时间。 6509 交换机具备强大的划分 vlan 能力和高速第三层交换能力。利用多端口千兆模 块实现与其他分支机构主交换机（选用 catalyst 3548 交换机）的主干连接。主干交换机均 支持 fec 技术（快速以太网的多链路捆绑） 、isl 技术（支持跨设备的 vlan 划分） 。部门 交换机和工作组交换机选用 catalyst 2950 交换机实现快速以太网分支，全面支持 snmp 协 议。 1.3 第三层交换第三层交换 借助 catalyst 6000 的第三层交换的功能，给局域网划分了若干个虚网（vlan） ，保 证局域网内的各业务主机群、工作站机群、路由器机群等各种设备进行有序的连接，只有 本 vlan 内部的站点能够接收到此 vlan 中其它站点所发送的点到点消息、广播消息或组 播消息。通过对交换机中的数据流进行这样的限制，提高了 vlan 内部用户通信的效率， - 12 - 同时在不同 vlan 的用户之间提供了安全保护。既提高了局域网访问速度，又增加了业务 系统的安全性。 对企业来说，网络安全总是越高越好，简单地在网络上放几个防火墙，肯定解决不了 问题。因此，将网络接入路由控制、服务器接入路由控制和关键应用的加密等措施结合起 来，才能大大提高网络的安全性能。在防火墙系统的 dmz 区单独使用一台交换机，供所 有 web 主机独立构成一个子网，通过防火墙与内部网络实现隔离。 1.4 本方案选型和主要配置本方案选型和主要配置 本方案选择 cisco 6500 系列中的 6509 作为网络主交换机。主要配置如下： catalyst 6509 9 插槽交换机机箱 catalyst 6000 1300w 交流电源及冗余电源 带 2 个 1000m gbic 上联接口，增强 qos 及 pfc 卡和 msfc 卡 1 块 ws-x6408-gbic8 口千兆以太网卡+10 个 ws-g5486 千兆模块 catalyst 6000 48 口 10/100 模块（rj-45） 以上配置提供了电源的冗余，充分保证中心交换机的高可用性。 由前述特性可以看出，由前述特性可以看出，catalyst 6000 系列是业内优秀的千兆级的局域网交系列是业内优秀的千兆级的局域网交 换机可提供很强的交换功能，保证了太钢交换式局域网主干的高速、稳定。本换机可提供很强的交换功能，保证了太钢交换式局域网主干的高速、稳定。本 方案配置的方案配置的 cisco catalyst 6509 交换机完全可以满足太钢公司现在和未来交换机完全可以满足太钢公司现在和未来 （包括视频）应用的需要。（包括视频）应用的需要。 1.5 子网划分子网划分 利用 catalyst 6509 强大的 vlan 划分功能，建议采用如下方式划分子网： 子网一：网络中心，包括数据库服务器， e-mail 服务器， www 服 务器和 dns 服务器，网管工作站，代理服务器，计费服务器和访问 服务器等。 子网二：机关大楼，包括公司领导和机关各处室 子网三：电讯公司 其它每个联网二级单位均分配一个子网，每一个二级单位属于一个 vlan，以此提高整个网络的可靠性和可用性。由于catalyst6509 最高可以提供 150m 的第三层转发，因此这种子网划分方式不但可 - 13 - 以提供高可用性，同时还降低网络风暴的可能性，更好地满足了业 务的需要。 2、二级节点主交换机、二级节点主交换机 2.1 cisco 3548 xl交换机介绍交换机介绍 二级节点主交换机选用 cisco 3548 xl 交换机，与中心交换机采用单模千 兆连接。 cisco systems catalyst 3500 xl 系列是一系列可伸缩的堆叠 10/100 和 gigabit ethernet 交换机，提供优异的性能、可管理性和灵活性以及无与伦比的 投资保护。 cisco 的突破性交换机集群技术将堆叠域扩展到单个配线间之外，能使用户 最多互连 16 个 catalyst 3500 xl、2900 xl 和 catalyst 1900 交换机，组建一个 灵活的单一 ip 地址管理网络，而不受它们的地理位置限制。 该系列低成本高性能交换解决方案非常适合作为大型企业内部网络的分支 机构主交换机。 catalyst 3548xl 的背板交换能力为 10g，最高转发速率每秒钟 740 万 个数据包，最大转发带宽 5 gbps，提供了 2 端口的千兆以太网以及 48 端口快速 以太网，保证了强大的端口数量、以及向千兆网络的延伸能力。 catalyst 3548xl 支持 fec（fast ethernet channel）技术、 isl（interswitch link）技术。通过 isl 可支持跨设备的 vlan 划分； fec 技术可支持在交换机、路由器和服务器之间捆绑 4 条链路共高达 800mbps 的带宽。 2.2 本方案本方案二级节点主交换机选型和配置二级节点主交换机选型和配置 本方案选择本方案选择 cisco catalyst 3548xl 作为主要作为主要二级节点二级节点的主交换机。的主交换机。 主要配置如下：主要配置如下： cisco3548 交换机，2 口千兆、48 口 10/100m 自适应，企业版 1000base-lx/lh gbic ws-5486(长波/长途，单模) （sc 接口） catalyst 3548xl 作为主要二级机构的主交换机完全可以满足高速连接作为主要二级机构的主交换机完全可以满足高速连接 - 14 - 公司内部网络和通过公司内部网络访问公司内部网络和通过公司内部网络访问 internet 的需要。的需要。 3、部门交换机、部门交换机 部门交换机选用 catalyst 2950 交换机（ws-c2950-24）实现快速以太网 分支。ws-c2950-24 具有 24 个 10/100mbps 自适应交换式端口。由于 catalyst 2950 具备 8.8gbps 的交换背板和最大 4.4 gbps 的数据吞吐率，所 以在它把终端工作站和用户连接到公司的 lan 上时可以在各个端口提供线速连 接性能。 catalyst 2950 交换机支持性能增强特性，如 fast etherchannel（快速以太通道）和 gigabitetherchannel（千兆位以 太通道）技术，可在 catalyst 2950 交换机、路由器和服务器之间提供最大 4 gbps 的高性能带宽。 在一期规划中，在一期规划中，catalyst 2950 交换机完全可以承担作为普通三级机构交换机完全可以承担作为普通三级机构 主交换机的责任。主交换机的责任。 4、网络连接冗余、网络连接冗余 考虑到主干网络的冗余，避免由于光纤中断而引起的单点失败，在二级节 点 3548 交换机之间冗余连接。当网络中心和一个 3548 交换机连接中断时，该 交换机所在的二级单位可以通过冗余链路连接到网络中心。采用这种方式只需 要增加一条光纤就可以低成本的实现网络连接冗余。 机关大楼到计控处实现采用千兆模块冗余连接，机关大楼到股份公司采用机关大楼到计控处实现采用千兆模块冗余连接，机关大楼到股份公司采用 百兆光纤收发器进行冗余连接。百兆光纤收发器进行冗余连接。 具体图示如下： sisi 网络中心 3548 交换机 3548 交换机 光纤 光纤 光纤 - 15 - （三）访问服务中心（三）访问服务中心 本系统通过 as5300 来实现拨号服务。as5300 通过提供在同一接口上终接 isdn、56k 模拟调制解调器的能力，提供了电信运营级的性能。单台 as5300 可以实现多达 240 路的接入服务。 1、isp 访问服务访问服务器配置和选型器配置和选型 本系统采用一台 as5300 作为访问服务器，主要配置如下： as5300 机箱 as5300 ios 软件 两个 120 端口 modem 卡 冗余电源 在上述配置下可以提供 240 个用户同时拨入，支持 4800（240*20，按较高 isp 接入质量计算）个用户的拨号访问，完全能够支持太钢目前的应用需要， 而且 as5300 可以方便地进行堆叠，从而进行系统扩容。 拨号访问连接示意图如下： 图 3.1 移动办公移动办公全国分支机构全国分支机构 internet/ chinanet 访问服务器访问服务器 pstn/isdn 访问用户访问用户 接入路由器接入路由器 . . . . . . - 16 - 2、isp 计费系统软件计费系统软件 计费系统硬件平台和代理服务器共用 sun e250 服务器，具体配置见“服务 器选型” 。 本方案建议采用 3abm 远程访问管理和计费软件系统。 3abm 是 authentication, authorization, accounting and billing manager 的缩 写, 即集用户身份验证、授权、计费和财务管理为一体的网络计费和管理软件， 是中网公司研制的网络管理和计费系统客户端软件。它采用开放式结构设计和 基于 web 的信息管理技术，支持 tacacs+和 radius 协议的认证机制。经 过实际应用，该软件系统运行稳定、计费准确、功能齐全、安全性能强、操作 简便，运行速度快。 主要特点：主要特点： 易于管理易于管理 3abm 采用基于 web 的信息管理方式，客户端只需在浏览器里点击鼠标或 填表式操作即可对拨号帐号进行管理。 功能齐全功能齐全 新增了管理操作员和操作审核的功能，支持用户自定义计费服务类型，支 持多段费率计费和优惠时间段费率自定义，可以满足各种复杂的计费类型定义 需求。 运行速度快运行速度快 采用了高性能的内置数据库，支持多种架构服务器。 支持多人、多地点同时使用支持多人、多地点同时使用 支持操作员通过浏览器界面进行远程管理，并支持多级别的操作员同时在 多个客户机上进行安全的并发操作。 可支持几万人以上的拨号帐号,支持 tacacs 和 radius 协议，使产品能 覆盖 90%以上的接入服务器。 实时性强实时性强 3abm 实现了实时的网管功能，开户系统属于即开即用式，一旦用户在浏 览器里填写表格并提交完成，系统给出注册成功的提示，此帐户即可正常使用。 - 17 - 用户还可实时在网上查看在线状态，用户历史记录、到期时间，服务器运行状 态等。 安全性能强安全性能强 3abm 通过多级别的安全访问控制保证了操作的安全性，并提供系统日志 以检验操作的正确性和历史记录。 支持用户的分组管理。 鉴别和认证机制鉴别和认证机制 支持 tacacs+和 radius 协议的认证机制。 操作员的管理功能操作员的管理功能 通过对操作员权限的定义实现对操作员的管理。 用户授权用户授权 实现了对用户访问 internet 功能的授权控制，可对用户的访问范围、每次使 用时间、分配地址等进行限制。 费率计费功能费率计费功能 可以在拨号用户和局域网用户访问 internet 或 intranet 的网络资源时，对通 信流量和时间进行费率计费。 支持用户自定义支持用户自定义 支持用户根据自身需求自定义计费服务类型，支持多段费率计费和优惠时 间段费率自定义，可以满足各种复杂的计费类型定义需求。比如：按小时收费、 包月制收费、半价时段、节假日半价、允许同时登录人数等。 财务管理功能财务管理功能 为了确保操作的安全性特设置了财务管理功能。 操作审核功能操作审核功能 3abm 提供详尽日志功能，便于管理员进行操作和数据审查。 e-mail 告警通知告警通知 当用户即将到期或超过限定使用时间时，系统会向用户发出告警 e-mail。 提供客户服务功能提供客户服务功能 3abm 提供基于 web 的用户查询和服务子系统。 - 18 - （四）（四）internet 连接连接 1、internet 连接连接概述概述 在网络中心，租用专线（太钢计划采用虚拟光纤接入方式）接入到 internet/chinanet 中，利用 internet/ chinanet 的物理线路资源来实现广域网络 连接。向全球范围实现信息发布，展示企业形象；并通过对访问用户的权限管 理、口令验证、数字加密等技术进行不同访问级别的管理，从而实现对企业集 团内部访问、合作伙伴访问、及普通浏览访问等不同类型访问者的控制，保证 实用性和安全性。 网络连接示意参见 3.1 图。 当采用 internet 上的 web 访问方式时，公司在 internet 上建立自己的 web 网站，将要发布的信息放在 web 上供用户查询、下载，web 服务器通过防火墙 与公司的 intranet 相连。在 web 服务器上开辟一定的区域通过不同等级的授权 供各分支机构、出差人员等与总部中心进行通信。也为电子商务打下基础。 2、cisco 3640 路由器介绍路由器介绍 为保证 internet 连接的可靠性和将来的流量扩展，选用高性能的 cisco3640 路由器做为 internet 接入服务平台。cisco 3600 系列是适合大中型企业较小型 internet 服务供应商的一系列模块化多服务访问平台。cisco 3600 系列拥有 70 多个模块化接口选项，为数据、语音、视频、混合拨号访问、虚拟专网(vpn) 和多协议数据路由提供解决方案。高性能模块化体系结构可以保护客户的网络 拓扑投资，并将多个设备的功能集成到一个可管理的解决方案中。 cisco 3640 提供更高的密度、更大的性能和更多扩展功能。cisco 3640 平 台的新增功能和性能可以启动新的应用，例如分组语音集合及 t1/e1 ima 到 oc-3 范围的分支机构 atm 访问。 cisco 3600 系列多服务平台通过以下许多语音功能大大增强：数字语音接 口(t1 和 e1)上增加的帧中继语音(vofr)和 atm 语音(voatm-aals)支持。 目前所有数字接口还支持 qsig，包括 t1/e1 和 bri。其他增强包括 opx、 帧中继 voip 及增强的排队功能性。此外，与 call manager 软件版本协作的一 个特性使这些产品成为 pbx 和 pstn ip 电话的完美网关，从而启动了呼叫转 - 19 - 移、保持和会议等应用。 3、本方案路由器选型和配置、本方案路由器选型和配置 考虑到一期规划中的实际应用需要，本方案选择 cisco 3640 路由器，除了 提供 internet 接入外，也提供与远程分支的连接。主要配置如下： 四插槽 3640 路由器，带 ac 电源， (产品定价中包括 ip 软件)； 3640 ios 软件 2 口快速以太网 2 个广域网卡插槽 1 口广域网高速串口卡 以上配置完全可以满足一期规划中以上配置完全可以满足一期规划中 internet 高速连接的需要。高速连接的需要。 - 20 - （五）服务器系统（五）服务器系统 1、e-mail 服务器服务器 1.1 e-mail服务器选型原则服务器选型原则 e-mail 服务器主要是用来实现文件流转、数据传递，以及 internet 邮件（email）往来 等的服务。是将来智能化办公自动化系统应用的一部分。本方案选用 sun e450 服务器双 机热备以保证硬件上的可靠性。 无论系统是在运行一个为数千个客户服务的关键应用程序，还是同时运行多个面向分 公司或工作组的应用程序，sun enterprise 450 都为用户提供可信赖的性能、可靠性和伸缩 性。 enterprise 450 为几乎所有的密集型计算、数据和 i/o 应用组合提供卓越的性能：它能 够以突出的性能和高数据吞吐量来支持四个 250mhz/1mb、300mhz/2mb 或 400mhz/4mb 的 ultrasparc-iitm processors 处理器、一个 1.6gb/秒的 upa 互连和一个 1gb/秒 pci i/o 子系统。该服务器拥有 4gb 主存、364gb 快速热交换 ultrascsi 内部存储 器和超过 6tb 的存储容量。在时间和工作量改变的情况下，它无疑是用户可信赖的服务器。 而且 enterprise 450 能够与工作站、pc 机和 macintosh 系统很好地协作。在健壮的 solaristm 操作环境具有的易于使用的安装和网络软件的支持下，用户无疑能够从系统和管 理员那儿获得更高的生产率。enterprise 450 具有可靠的标准 ecc 数据通路、内存保护、自 动系统恢复、热交换电源供应和磁盘驱动器。这就是用户可信赖的投资保护。 sun enterprise 450 优点概述： 价格合理的企业类服务器 支持四个 ultrasparctm-ii 处理器：主频为 250mhz, 300mhz 或 400mhz 400mhz ultrasparctm-ii 拥有 4mb ecache 内存 超出 360gb 的内部存储容量 6 条独立的 i/o 吞吐量超过 1gb/秒的 pci 总线 32 倍速 scsi 光驱 两种热交换 560w 电源供应标准（三种可能性） 1.2 sun e450优点与特性优点与特性 特性优点 高达 4 个 400-mhz ultrasparc-ii 中央处理 器，每个带有 4-mb e-cache（带有 1mb e- cache 的 254mhz 中央处理器及带有 2mb e-cache 的 300mhz 中央处理器也能买到） ； 高达 4gb 的 2-路或 4-路隔行扫描 ecc 存 储器。 为类似数据库管理，决定支持或模拟这样计 算量密集、繁重的程序提供令人瞩目的计算 性能。 五段的 upa 纵横数据通路可在中央处理器、 存储器和 i/o 通道之间以每秒 1.6 gb 的速 度来传输数据 通过高速并行的数据流来保证最小的时间延 迟和最大的系统资源利用率，并以次在重负 荷下获得持续的高性能。 六条高性能的行业-标准的 pci i/o 总线支持 10 个 pci 插槽，再加上板上 ultrascsi 和 卓越的 i/o 性能使 sun 公司 450 服务器成 为一个出色的文件、网络或数据库服务器， - 21 - 10/100 以太网，串并行端口总共能提供高 达每秒 1gb 的 i/o 吞吐量。 这一点对于大型工作组来说更是如此。另外， 对于支持 java（注册商标）的“瘦客户“桌面 系统来说，它也是首选的导入服务器。 五个 40mb/秒的 ultrascsi 控制器可支持最 高达 20 个内部的 9.1gb 和 18.2- gb，10000 rpm 磁盘；高达 6 兆兆字节的 外存储器支持。 为文件、网络、数据库或数字的媒体服务器 应用提供了杰出的性能，磁盘的 i/o 性能达 到市场上同类价格系统速度的 3 倍。 纠错码（ecc）提供了对存储器和数据通路 的保护，自动系统恢复（asr） ，冗余热交 换供电，热交换磁盘驱动， raid,+和，测热和自动风扇控 制，过热保护，级诊断，还有高有效性的 元组构造选择。 sun 450 服务器的可靠性，高有效性和适用 性的特点使得用户在他们绝大部分重要的商 务环境中可以完全信赖这些系统。 sun enterprise 450 运行 sun 强大而又可靠 的 solaris 网络操作系统，并且百分之百二 进制兼容各种运行在 sun 的 ultra enterprise3000-10000 服务器系列以及 sun 的台式机中软件 给顾客以信心，让他们知道他们的应用软件 能够升级，同时，他们在网络技术、软件和 培训中的投资将被保护。 solaris web start 和 solstice 管理工具软件安装工具和管理工具易于使用。 详细资料请参考sun enterprise 450 specifications.htm和sun enterprise 450 performance brief 1.3 e450 cluster ha双机热备双机热备 考虑到系统的高可用性，e-mail 服务器和数据库服务器采用双机热备方式，保证极 高的可用性。 二台 sun e450 作为系统主服务器，把它们群集起来作为 ha ，此外配置 一台 sun a5200 磁盘阵列作为存储设备。采用双机集群技术，提供了用户投资 保护和更优化的系统能力。本方案提供的一个配置完善、功能强大的双机集群 系统。 每机配备双 cpu、2g 内存、2 个 36g 内置磁盘。sun a5200 磁盘阵列配 置 7 个 36.4gb 的 ultra scsi 磁盘，以存放重要数据，单独机柜，独立冗余 电源，可实现 raid 5，保证数据可靠性。系统在双机之间自动均衡负载、信息 监测，确保系统可用性和故障后及时恢复。 e450 e450 array fibre lan - 22 - 两台服务器分别运行数据库系统和 e-mail 系统并互为备份，以充分利用系统资源。 当其中一台出现问题时，另一台可以自动地迅速接管其工作，以保证高可用性。此外，我 们采用磁盘阵列的 raid 功能备份用户的数据库和应用，避免了在磁盘存储器方面的单点 失效，完全不影响用户业务的正常运行。在网络方面，服务器之间的用于传递工作情况信 息的内部网络联接和用于业务运作的公用网络连接都采用双联接方式，杜绝了因网络接口 故障而引起的系统瘫痪。 e450 cluster ha 服务器可提供自动故障检测和恢复，能在服务中断后几分钟内恢复数 据服务，旨在支持高可用性数据服务。它的冗余硬件和软件体系结构可自动修复没有单一 系统能够排除的故障。 借助 sun 的第三方软件 rose ha 集群软件，e450 cluster ha 系统可以自动检测、 查出和修复任何一个故障点(硬件或软件)。先进的故障管理程序可选择最快的修复选项来 使用户的服务软件重新联机运行。 e450 cluster ha 可以与主要的事务处理应用软件配用，以便为满足高档企业计算提供 最可靠的可管理解决方案。我们采用的 ha 方案免费提供了一个 oracle ha 模块以配合数 据库应用。 同时，这种 cluster 的配置，提供向更好的数据库性能和高可用性的解决方案，即 ultra enterprise cluster pdb(群集机并行数据库)升级的可能性。cluster pdb, 它能将一个数 据库服务程序分布在两台服务器上同时执行，从而大大提高性能。并且它能在其中一台服 务器发生故障时，自动将应用程序全部转移到另一台服务器上，以此来提供高可用性。如 果用户对业务系统的可用性有极高的要求，我们也可以为用户选择这一产品。 服务器的共享磁盘通过 scsi 电缆连接到主机，从而可提供可靠的主机-磁盘连接，并 能在不切断节点的情况下维护并修理磁盘。 1.4 本方案本方案e-mail服务器主要配置服务器主要配置 一台 sun e450 作为邮件主服务器，并和同样配置的数据库服务器做成 双机热备 每机配备双 cpu、2g 内存、2 个 36g 内置磁盘。 配置一台 sun a5200 磁盘阵列作为存储设备（7 个 36.4gb 的 ultra scsi 磁盘，riad 5） （和数据库服务器共享） 双机热备软件 rose high availability software for two e450 在上述配置下，配合在上述配置下，配合message e-mail 软件系统，完全可以作到支持软件系统，完全可以作到支持 10 万万 e-mail 用户，同时支持的并发访问数在用户，同时支持的并发访问数在 100 个用户以上，即个用户以上，即 100 个用户个用户 - 23 - 同时收发邮件而没有任何任何时间的延迟。一般而言，同时收发邮件而没有任何任何时间的延迟。一般而言，50 个用户同时并发已经个用户同时并发已经 是非常庞大的邮件系统中非常苛刻的情况，因此本方案的设计完全能满足系统是非常庞大的邮件系统中非常苛刻的情况，因此本方案的设计完全能满足系统 近期的使用要求，并且可以在将来通过扩展内存和近期的使用要求，并且可以在将来通过扩展内存和 cpu 实现更大容量的实现更大容量的 e- mail 系统。系统。 2、数据库服务器、数据库服务器 2.1数据库服务器选型原则数据库服务器选型原则 数据库服务器（系统主机）主要为用户提供数据存储、资源开发等数据库服务。它能 满足网络用户的查询、处理、存储等操作，维持整个系统的正常运行，是用来提供业务处 理、信息查询、领导决策等服务的系统关键设备。应具备很强的实时处理能力和海量级存 储能力。此外，它还应具有很强的稳定性、 “自动系统恢复”和容错能力。考虑到业务量的 扩展，服务器还具有很好的扩充能力，以满足系统未来的发展需求。因此，我们在具体选 择主机时，综合考虑了以下因素： 系统的开放性 系统的延续性 系统的可扩展性 系统的互连性能 应用软件的支持 系统的性能/价格比 生产厂商的技术支持 2.2 本方案数据库选型和配置本方案数据库选型和配置 目前，较为著名的专业服务器生产厂商有 sun，hp，ibm，compaq，nec 和联想 等，各个品牌的计算机系统均各有所长，可以分别满足用户的不同需要。严格遵循以上选 型原则，充分考虑性能与需求的和谐一致，以及系统未来的发展方向，建议采用的 sun e450 服务器作为数据库服务器。 sun enterprise 450 服务器是功能强大且可用性优异的中档系统，可提供与高档系统相 同的优异可用性和性能特点。服务器富有弹性的体系结构、先进的系统管理工具以及动态 再配置和备用通道等软件增强性能，可大大缩减停机时间。在所有 sun 服务器上运行的可 缩放 solaris 操作环境加上系统的模块化硬件部件，可提供无与伦比的投资保护，并且能方 便地扩展