企业网络规划与设计方案大集合广州白云机场

1、博客地址广州市白云机场网络方案北大明天目录第一章 系统设计原则和需求分析41.1 系统设计原则41.2 系统需求分析5第二章 系统总体设计82.1 网络设计82.1.1 设计原则 可靠性和稳定性可管理性8超前性9网络的拓展性 网络的开放性 网络的灵活性 遵从 INTERNET 的技术要求122.1.2 网络的体系结构122.1.3 设备选型142.3网络管理14第三章 服务器及操作系统平台163.1 服务器选型原则163.2 应用分析173.2.1 数据库服务器173.2.2 WW

2、W 服务器173.2.3 PROXY 服务器173.3 服务器平台183.3.1 服务器平台比较183.3.2 HP LX 性能分析183.3.3 配置描述193.4 操作系统平台19第四章 安全技术4.4系统安全21.22.23如何实现.24第 2 页邮件订阅博客地址广州市白云机场网络方案北大明天第五章 系统实施265.1服务器系统的规划2内部网和直属的连接26提供INTERNET 用户.26IP 的27第六章技术培训与服务276.1 培训计划296.1.1概述296.1.2 技术说明296.1.3 工作内容296.1.4 工作过程：296.2 维护

3、计划306.2.1概述306.2.2 技术说明：306.2.3 工作内容306.2.4 工作过程30附录：公司简介31第 3 页邮件订阅博客地址广州市白云机场网络方案北大明天第一章系统设计原则和需求分析1.1系统设计原则采用先进成技术和设计思想，运用先进的集成技术路线，以先进、实用、开放、安全、使用方便和易于操作为原则，突出系统功能的实用性，尽快投入使用，发挥较好的效能。本系统在软件配置和硬件设备，整个系统设计上依照以下原则确定。u 先进性世界上计算机技术的发展十分迅速，更新换代周期越来越短。所以，选购设备要充分注意先进性，选择硬件要到未来发展方向，选择软件要考虑开放性，工具性和软件集成优势。

4、网络设计要考虑通信发展要求，因此，主要、关键设备以进口为主，但国内能满足要求的，尽量采用国产设备。u 实用性系统的设计既要在相当长的时间内保证其先进性，还应本着实用的原则，在实用的基础上追求先进性，使系统便于联网，实现信息共享。易于维护管理，具有广泛兼容性，同时为适应我国实际情况，设备应具有使用灵活、操作方便的汉字、图形处理功能。u 安全性目前，计算机网络都与外部网络互连互通日益增加，都直接或间接与国际互连网连接。因此，在系统方案设计需考虑到系统的可靠性、要求。性和性的u 可扩充性第 4 页邮件订阅博客地址广州市白云机场网络方案北大明天系统规模及档次要易于扩展，可以方便地进行设备扩充和适应工程

5、的变化，以及灵活地进行软件版本的更新和升级，保护用户的投资。目前，网络向多平台、多协议、异种机、异构型网络共存方向发展，其目标是将不同、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准，为将来系统的升级、扩展打下良好的基础。u 灵活性采用结构化、模块化的设计形式，满足系统及用户各种不同的应用要求，适应业务调整变化。u 规范性采用的技术标准按照国际标准和性。标准与规范，保证系统的延续性和可靠u 系统性项目开发必须按照系统工程的管理方法，有计划做实施。u 综合性满足系统目标与功能目标，总体方案设计合理，满足用户的应用要求，便于系统维护，以及系统二次开发

6、与移植。1.2系统需求分析计算机网络的迅速发展和普及，改变了整个信息管理的面貌，使信息管理从以单个计算机为中心发展到以网络为中心，并为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境，也从根本上加强并促进了群体工作成员之间的信息交流、共享、科学计算、技术合作及有效管理等，进而推动了生产、管理、科研及教学事业的发展。企业的生产、经营环境的，必须以现代化的集成生产管理系统和高度自动化的为依托，将企业的各个生产部门简单叠加。一个有机的整体，而不是自动化程度很高的“孤岛”的目前，信息化程度已成为衡量一个、一个地区、一个综合实力的重要标志。要工作和对我国信息化工作非常重

7、视，信息化建设已作为一项重小组，并指出了“统筹、建设、统一标准、专项结合”的十第 5 页邮件订阅博客地址广州市白云机场网络方案北大明天六字指导方针。随着信息化建设的不断深入发展，原有人工管理方式已不能适应现代管理需要。在以往的工作模式下，信息主要有业务员来传递，这种手工劳动不仅延缓了信息传递时间；而且，由于工作习惯的不同，文件具有不同的格式，经过多次周转，往往会造成信息失真，大大地影响了工作质量。随着企业规模的不断发展和业务量的不断增加，原有的工作方式已不能满足现突发的处理能力。公系统的需要。特别是对根据白云机场的实际情况，我公司将结合在网络系统方面丰富的集成经验，采用先进的计算机及网络设备，

8、为白云机场建立起一套快速稳定、技术成络信息系统。网从目前来讲，主要需求分为如下几个方面： 1、网络系统中心在白云机场计算机信息管理中心。2、整个网络采用先进的网络结构， 以满足传输、等信息的需要。和处理数据、3、各应用通。通过广州市白云机场计算机信息中心和 INTERNET 接4、满足网上的集成办公系统和电子商务业务系统的需求。5、完整统一的系统管理平台。本系统的需求特点根据用户的需求及应用的特点，我们认点： 网络系统具有如下特 网络规模较大本地网络上的用户多个, 将来会进一步发展。因此，网络的设计要留下充分的发展余地。比如，服务器及工作站的网络传输速度要能够 适应业务不断增长的需要，网络能够

9、支持将来电视会议及多 业务以适应新应用的需求。等新 先进性广州市白云机场网络系统利用 计算机与通讯科学技术的先进 成果，在一个高起点基础上发展，保障系统具有较长的生命周期，使 第 6 页邮件订阅博客地址广州市白云机场网络方案北大明天广州市白云机场网络系统落后于技术的发展， 同时也造成浪费。不然，会极大地影响系统的进一步开拓。 性能要求较高为了满足各种工作站的应用的要求，服务器的网络接口应该有比较高的吞吐能力。服务器的网络传输速率要在 100 Mbps 以上；工作站的网络传输速率也应该满足一定的要求。 而且，随着业务的开展，对网络传输速率的要求会不断提高。因此， 要求网络设备应具有比较高的容量，

10、满足系统发展的需要。而且，采用的网络技术应该提供多种速率的连接接口，满足系统对服务器带宽的要求。 高可靠性网络的可靠性要求高，采用容错技术或设备级的备份保证网络系统的正常工作。 扩展性未来网络上许多用户对网络带宽有更高的要求，如网络上的电子商务系统的应用，都使这些用户对网络的带宽有特殊的要，所以网络要求提供这方面的扩展功能。第 7 页邮件订阅博客地址广州市白云机场网络方案北大明天第二章系统总体设计2.1网络设计2.1.1设计原则计算机网络平台是计算机应用的基础。建立一套安全可靠、先进稳定的网络系统，可以保证各种应用系统的正常进行以及白云机场内部各种大型设计的。而且，通过 Internet 的连

11、接功能，用户可以其它白云机场以及 Internet 等，或者在外地通过线进行办公，提供了全新的办公模式。通过信息交换和浏览等加强各办公处室之间的和协作，提高办公效率。可以在网上快速查寻到白云机场和发展的各种信息资料以及各地的各类信息。我们在设计白云机场网络信息系统时，应着重考虑以下原则：可靠性与稳定性广州市白云机场网络信息系统对于保证设计院内部的管理工作以及为开展业务工作、进行高效、准确的办公决策提供信息服务具有的意义。从而，精确、不间断的数据传输与变得十分重要，既追求极高的可靠性又不能投入过大的资金，系统应具有一定的容错要表现在以下几个方面：* 局域网主干网络设备（如：交换机及

12、系统主服务器）应配置不间断电源（UPS），如资金的情况下可作主干设备的备份，即将所有计算机节点分别连接在不同的局域网主干设备上，主干设备之间采用高速连接，这样即可以提高网络的处理能力又可起到备份作用。通过以上分析，在广州白云机场网络信息系统的网络设计中，如果充分考虑了所选用服务器及网络设备的性能、稳定性、服务器及数据的备份、局域网主干设备及连接线路的备份等几个方面的因素，则可以将广州白云机场网络信息系统的网络建成一个极为稳定可靠的系统，保证应用系统良好、稳定的运行状态。第 8 页邮件订阅博客地址广州市白云机场网络方案北大明天 可管理性广州白云机场信息系统的网络具有面积大，网点多等

13、特点，因此需要对网络活动进行和管理。网络管理员能够在不改变系统运行的情况下对网络进行调整，不络设备的物理位置在何处，网络都应该是可以的。计算机网络系统的管理功能一般包括五部分内容：² 失效管理计算机网络系统的失效管理是最基本的网络管理功能，它负责检测网络中的各种故障，主要包括网络结点和通信线路两种故障。在大型计算机系统中，发现失效故障时，往往不能具体确定故障所在的具置。有时候，所发现的故障是随机性的，需要经过很长时间的跟踪和分析，才能找到其产生的一个故障管理系统科学地管理网络所发现的所有故障，具体。这就需要有每一个故障的产生，跟踪分析，以至最后确定并改正故障的全过程。因此，失效管理包

14、括以下内容：A发现问题B问题C解决问题使用失效管理技术可以更快、更容易地发现并解决网络故障。根据广州白云机场网络信息系统的网络分布特点，应用失效性管理对于及时准确的发现故障所在是非常必要的。²配置管理一个计算机网络系统是由多种多样的设备连接而成，这些设备组成网络的各种物理结构和逻辑结构，这些结构中的设备有许多参数、状态和名字等的信息。另外，上述网络设备及其互连和互操作的信息可能是经常变化的，这就需要有一个全网的设备配置管理系统，统一科学地管理上述信息，以便利用这些信息使网络更有效地工作。² 性能管理一个计算机系统运行的性能如何，对于系统设计者来说是首先要考虑的问题。但是，由

15、于网络规模的庞大和影响网络性能的不定因素太多。一般很难一下子设计出运行性能很好的大型网络。提高网络性能的一般方法是，先初步地设计并建设网络，在网络的运行过程中，对网络性能进行静态和动态统计分析，根据分析结果，对网络配置和参数就考虑扩充或重建网络。，逐步达到最佳。如果需要要做出调整较大时，性能管理在于对网络硬件、软件及介质的性能测量。主要指标包括整体的吞吐第 9 页邮件订阅博客地址广州市白云机场网络方案北大明天量、使用率、误码率和响应时间等。利用这些性能数据，管理瓶颈，调整网络带宽。就可分析网络² 记帐管理记帐管理每个用户及每群用户对网络的使用情况，使管理调整源的分配，保证每个用户的服

16、务质量；同时也。或某些用户对特定资²安全管理安全管理是对网络信息权限的过程，由于网络上存在着敏感数据，为非用户对它的，就要对网络上的用户进行一些权限的设置，同及尝试。广州市政设进行交流等，因此，时也要尽可能发现某些“”，对网络的计院网络信息系统在建成以后，将通过 Internet 与国内外保证内部信息的安全是网络管理的重要部分。安全管理的功能涉及一个计算机系统的安全管理政策，根据这一政策设计和实现的管理系统，可以管理网络结构的不同层次，从基本网络功能到网络应用系统功能。超前性超前性和先进性是每一个计算机网络系统建设期望达到的目标，但是随着计算机及网络技术的发展，先进的、

17、新的网络技术着技术和上不十分成熟的问题，而原有的成网络技术和又势必被新的技术所取代，是采用原有的成网络技术而承担投资保护的风险，还是直接采用最新的技术而冒着不成熟、标准不统一的风险是网络设计一直所争论的焦点；所谓网络设计的超前性则是将网络系统看成一个系统工程，不但要设计到它的产生还要设计它的发展和未来，将着眼点放在目前的应用系统及现有的技术并考虑以最小的代价来适应网络技术的不断的发展，使现有系统能够与业务需求同步增长，在系统规模在急骤扩张中亦不需要重新进行系统与设计。网络的扩展性随着 Internet 的不断发展及网上应用的不断扩展，系统应可以随时增加网络设备或模板来扩展整个网络

18、，例如在局域网中增加交换机设备与原有设备形成容错连接扩展网络性能；另外由于所选所有网络应都能够支持从低到高多种通讯协议，用户可以不增加任何投资，通过选择通讯协议和通信速率来提高网络传输速度，降低系统运行费用。另外，在用户端应选用可堆叠或模块化具有很第 10 页邮件订阅博客地址广州市白云机场网络方案北大明天好的开放性，可以十分方便的扩充网络的容量。 网络的开放性² 支持多种通讯协议所选择的网络设备应支持多种网络协议，局域网应具备向未来网络技术顺利过渡连接的途径，在广域网上应具备不增加任何投资实现 X.25、DDN、Frame Relay、ISDN、E1 等通讯协议的转换和

19、提升。² 支持多种传输介质广州白云机场网络信息系统是一个多协议、多介质的网络，一些部门原来已有的网络。本网络建成之后应能将旧网络接入，所以需支持如非(UTP)、光纤等多种传输介质.双绞线² 支持多种主机互连由于系统互连全部采用国际标准的网络层通讯协议 TCP/IP，所以具有很好的开放性，因为所有的主机系统生产厂商都努力使以可以很方便的实现多种主机的互连。的遵循 TCP/IP 标准，所网络的灵活性作为广州白云机场网络信息系统的应用环境，系统的灵活性主要表现在软件配置与负载平衡等方面，配合交换机与路由器支持的最先进的虚拟网络技术，整个网络系统可以通过软件快速简便地

20、将用户或用户组从一个网络转移到另一个网络，可以办公室、办公楼甚至城市，而无需任何硬件的改变，以适应机构的变化。同时也可以通过用户及用户组的改变来平衡网络的流量，以提高网络的性能。广州白云机场本系统中选择的等交换机配合网络管理软件，系统管理员可以方便灵活地配置管理网络。遵从 Internet 的技术要求随着 Internet 应用的不断普及，越来越多的信息交流是在 Internet 上实现，广州市白云机场也将与国际 Internet 相连，实现同国内外的信息交流，并为用户提供服务，因此，在设计上除遵从前面的原则，还应考虑以下两个方面：第 11 页邮件订阅博客地址广州市白云机场网络方

21、案北大明天开放性、标准化。² 开放性Internet 的基本特点是其开放性，为此所选设备必须支持 TCP/IP 标准，与符合标准的设备之间具有良好的互操作性，并根据遵循统一标准的完全开放系统。² 标准化节点的统一形成一个在统一网络通信协议的前提下，应尽量选用 Internet 上最通用的设备，以便于开展网络软件应用，同时应选择常用设备型号，减少不必要的不同型号以便于操作和维护。，2.2 网络的体系结构基于以上的设计原则，我们提出网络的建设采用分布式的体系结构。网络的大体结构可分为以下网络结构形式，即：中速网快速交换 Ethernet。通过一级交换机（CISCO CATALY

22、ST5000），可以使用 100Base-FL 或 100Base-Tx，连接到各楼层的 以太网交换机，到用户桌面端口的速率为 10Mbps，足以满足业务应用的需求。低速网广域网（WAN）。在广州白云机场网络信息系统中，随时通过广域网直接与 Internet 等国内外信息高速公路接轨u 快速以太网技术传统 10Mbps 以太网的设计中数据传输速率受距离的制约，也就是给定的传输速率只能维持在一个给定的范围之内。的速率越大，数据传送的有效距离也就越短，相反的速率越低，数据传送的有效距离也就越大。因此有一种改进的方案就是可以把覆盖几公里的 10Mbps 的以太网的传输距离局限在几百米范围内，而传送速

23、率提高到 100Mbps，实现高速传输。这样就相应的出现了一种高速网络解决方案快速以太网，目前快速以太网基本包括 100Base-TX 与 100Base-FL两种技术形式，100Mbps 快速以太网与 10Mbps 以太网的最初定义尽可能保持一致，并遵从传统 CSMA/CD 的协议，100Base-TX 采用2对 UTP5 双绞线，或 4对 UTP3 双绞线，而 100Base-FL 采用多模光纤作为传输介质，网络拓扑与 10M以太网完全相同。目前，有许多种不同的 100Base-X 建议，其中有些建议借用了最初为 FDDI 开发的传输技术，以减少与这种技术相关的开发。快速以太网在介质方法的

24、简化方面，和在建立服务器与联网交换设备（例如：路由器或具吸引力。以太网交换机）之间的点到点链路通讯方面较其他网络技术更快速以太网开发的主要技术是 CSMA/CD 协议检测部分， 而全双工以太网则是在原有双绞线传输系统的基础上，在传输和接受方向上各自使用一第 12 页邮件订阅博客地址广州市白云机场网络方案北大明天对双绞线，给以太点提供了各自的传输和接受通道，这样可以极大避免网络的产生提高网络带宽的利用率，也给快速以太网的发展扫清了。采用快速以太网的优势是：*技术已经十分成熟*目前现有网络拓扑无需改变*目前网络协议不需更改*价格较低*提供多服务，容易向 ATM、千兆以太网升级这也是目前应用最广泛的

25、、最成高速网络技术，造价较低。因此，我们采用以太网技术作为广州白云机场网络信息系统的主干网络建设，利用其技术成熟，易扩展、维护的特点，同时也满足了系统应用的要求。广州市白云机场网络配置拓扑图如下:内部网工作站工作站Internet机场小学WWW服务器Database工作站工作站计算机信息中心手提电脑Proxy托管Exchange工作站工作站机场中学手提电脑服务器第13 页邮件订阅DTU博客地址广州市白云机场网络方案北大明天设备选型2.2.1路由器选型网络线路采用 DDN，满足了系统对实时性、多服务的要求；每个接入端口采用以太网技术，充分利用了以太网技术灵活、快捷的特点，构建系统桌面平台。根据的

26、路由器选型原则，我们决定选用以下网络设备。我们选用了二台 CISCO 公司的 ROUTER 2610 作为系统的主路由器，连接到广州市白云机场小学和广州市白云机场机场中学。2.2.2其它网络选型集线器（HUB）： CATALYST2924传输线：AT&T 5 类 UTP 双绞线、垲装 8 芯多模光纤2.3网络管理广州市白云机场网络信息系统是一个设计机构，为了优化网络传输，充分发挥网络设备性能，对系统进行统一管理，我们选用了 CISCO 公司的功能强大的网络管理软件 CiscoWorks Windows5.0，它具有完善的 SNMP 管理能力。包括设置、性能和容错管理功能。Cisco 通

27、过重点开发基于 Internet 的体系结构的优势，提供更大的可性以及简化网络管理工具、任务和进程，正在改变传统的网络管理。Cisco 的网络管理策略-Assured Network Services 引导着网络管理从传统应用程序转向具备下列特征的基于 Web 的模型：基于标准简化工具、任务和进程与 NMS 平台和一般管理的 Web 级集成能够为管理路由器、交换机和服务器提供端到端解决方案通过将发现的设备知识与 CCO 和第应用知识集成，创建一个管理内部网第 14 页邮件订阅博客地址广州市白云机场网络方案北大明天CiscoWorks Windows该有效而又易于学习的是一个适合中小企业网络的全

28、面网络管理解决方案。为管理基于 Cisco 的交换机、路由器、集线器和服务器网络提供一系列强大的和配置工具。通过使用 Ipswitch 的WhatsUp Gold，您还可以打印机、工作站、服务器和重要的网络服务。CiscoWorks Windows5.0 含有下列组件：CiscoView 5.0 版 -显示简化了设备状态提供 Cisco 设备的图形后视图和前视图；动态的色标图形；特定设备的组件诊断、设备配置和应用发布。Ipswitch 公司的 WhatsUp Gold 4.05 版 - 提供网络发现、映象、踪。和跟阈值管理器-增强了在 Cisco RMON 启动的设备上设定阈值的能力，降低了管

29、理开销，改进了故障诊断功能。StackMaker -用户将特定类型的多个 Cisco 设备结合在单个堆叠中，并在单个窗口中可视地管理它们。显示命令- 显示详细的路由器系统和协议信息，而无需用户记住复杂的命令行语言和语法。Cisco IOS第 15 页邮件订阅博客地址广州市白云机场网络方案北大明天第三章服务器及操作系统平台服务器作为各种应用的平台，它为用户提供了各种办公自动化以及 Internet/Intranet 服务。而且，作为 C/N 结构的一个全面的管理中心。，它既是一个完备的数据中心，还是为了提供给用户功能强大的 Intranet 服务，实现 Internet 和 Intranet 的

30、互连，实现信息的高度共享和信息的不断更新。在广州市白云机场络信息系统的建设中除了数据库服务器之外，我们还配置了功能完备的 WWW 服务器。如何选择最佳的服务器配置方案、最大程度地发挥服务器的性能特点是一个网络系统建设成败的关键。3.1 服务器选型原则服务器的选型主要依据系统规模的大小，重点有以下几方面： 1)多台服务器并行处理，提高了系统的运行和响应速度；2)所支持的网络工作站数量3)所处理的数据总量4)对网络及软件的要求5)对速度的要求6)系统管理的要求7)应用支持的要求8)扩展性要求9)性能稳定，经过市场长期的考验10)能支持多种通讯协议，具有异种机互连的能力11)具有很高的安全性12)具

31、有众多软件系统开发商的支持13)具有简单的升级方案14)简易的管理及维护操作15)系统的开放性16)系统的性能/价格比17)生产厂商的技术支持第 16 页邮件订阅博客地址广州市白云机场网络方案北大明天3.2 应用分析3.2.1数据库服务器数据库服务器作为系统的最基本的数据之源，必须具有优秀的性能、高度的可靠性、良好的稳定性、海量的能力以及高度的容错性，要无条件地保证数据的完整性和系统的长期可靠地运行。3.2.2WWW 服务器WWW 服务器是用来向外界用户提供信息的窗口，企业可以在这里发布新闻、介绍企业动态以及提供最新信息等，用户可以通过服务器提供的超文本信息来获取有用的资料；同时，通过 Int

32、ernet 的互连作用，可以宣传企业形象，提供企业声誉和影响。作为企业对外的窗口，WWW 服务器要求具有较强的适时性和稳定性。3.2.3PROXY 服务器PROXY 服务器是用来作为用户INTERNET 的出。，可以通过 PROXY服务器的管理、用户对 INTERNET 的3.2.4EXCHANG 服务器EXCHANG 服务器用来做为公司内、络使用的邮件服务器。3.2.5托管服务器托管服务器主要为今后的发展而建立第 17 页邮件订阅博客地址广州市白云机场网络方案北大明天3.3 服务器平台3.3.1服务器平台比较目前，在应用业务方面存在着两种典型的服务器配置平台：微机服务器（采用NT 操作系统）

33、和小型机（采用 Unix 操作系统）。它们在性能、价格方面分别具有的优势和特点。首先，在硬件方面，高档微机服务器一般都采用 Intel 公司的奔腾系列处理器， 更新速度较快，内部结构简单，易于维护管理。Unix 小型机采用精减指令集计算（RISC）处理器，浮点运算能力较强，扩展性好，能支持较多的外部设备， 适合于大型的企业级应用。但近年来随着计算机技术的迅速发展，微机服务器在性能和处理能力方面越来越先进，在许多应用方面可以完全取代小型机。在操作系统方面，小型机都采用 Unix 操作系统，并行处理能力强，具有开放性特点。而微机服务器则采用 Microsoft 公司的 Windows NT 作为操

34、作系统，与Windows 98 具有相似的界面，操作直观、简单，适合用户使用，管理、维护也比较方便。小型机在价格方面一般都比同档次的微机服务器要高。根据目前服务器市场的厂商技术分析和广州市白云机场的实际需求，建议选用HP NETSERVER LH6000 实现 WWW 服务器.3.3.2HP LH6000 性能分析HP LH 6000 是惠普公司推出的功能强大、可用性高的企业级服务器，具有六向对称多处理（SMP）功能的 Pentium III 处理器,能为繁忙的企业网络提供无与伦比的性能,使PCI 成对总线,双Ultra SCSI器以及多达 216GB 的量.它还具备 RAID 双路与故障恢复

35、启动功能,使网络保持运行状态。它具有内置扩充性，使广州市白云机场信息网能根据需要优化系统，并在以后逐渐扩充。1、可扩充的超级服务器性能：保证了广州市白云机场未来的发展需求6 路 Pentium III 对称多处理器（SMP）,能支持高达 4GB 的差错校验（ECC）器；高速缓冲器每个处理器 512K/1GB；共有 12 个 I/O 插槽没有一个是共享的；双 PCI 对等总线实现全面最高值的 I/O；第 18 页邮件订阅博客地址广州市白云机场网络方案北大明天12 个热交换拖架，能支持多达 216GB 的内部功能。2、最佳的系统开机时间和数据保护功能：保证了广州市白云机场网络系统的稳定性和安全性具

36、有能报告错误的 ECC器；容余风扇以减低因风扇故障而引起的故障时间；洗涤以减低会造成系统发生故障的软错误内置自动服务器重新启动（ASR）、温度和电压附有 SCSI 底板的热交换子系统以实现内部磁盘的双工模块化热交换冗余供电减低由于供电故障所造成的系统故障时间3、系统管理工具：简化了系统管理的服务器管理和维护工作HP NetServer 导航器可引导 CD-ROM 光盘备有易于使用的工具以配置、安装和管理 HP NetServer LH6000。HP NetServer 辅助服务器管理软件可实现主动的警告提示及解决问题用于 Windows 网络管理软件的 HP OpenView 可实现网络映像、

37、保护功能管理和安全供选择的 HP辅助卡可从进行系统诊断和环境3.3.3配置描述根据目前服务器市场的厂商技术分析和广州市白云机场的实际需求，我们在这次中选用了一台 HP NETSEVER LH6000 作为 WWW 服务器。我们为 HP NETSEVER LH6000 服务器配置了三块 18GB 的热插拔 SCSI 硬盘，增加了 265M 的内存，它们采用 RAID 冗余结构，保护了数据的安全性。将来数据量增加时，HP NETSEVER LH 6000 服务器还可以再配置块内置硬盘，完全满足了系统今后的要求。为了保证服务器数据的安全性，防止系统意外打击所造成的性破坏，我们为服务器配置了一块磁盘阵

38、列卡。这样，我们可以建立不同等级的 RAID 冗余方式，当服务器中任何一块磁盘发生物理故障或其中任何一块数据被毁坏时，都可以通过 RAID 方式提供的校验位和冗余信息对被毁坏的数据进行恢复。3.4操作系统平台操作系统选用 Windows NT4.0 中文版，它操作与管理都非常简便，支持范围第 19 页邮件订阅博客地址广州市白云机场网络方案北大明天广泛的重要商务应用程序和一系列丰富的开发工具。是一个真正的 32 位的操作系统，是 PC 服务器操作系统平台的最佳选型，它具有如下优点：llllllllllll高性能的客户服务器应用平台网络平台管理工具TCP/IP 服务主机连接服务快速、简易安装与配置

39、高的安全性高容错性多种备份目录服务支持多种文件系统第20 页邮件订阅博客地址广州市白云机场网络方案北大明天第四章安全技术由于广州白云机场连入 Internet，为用户提供各种信息服务。共享和开放是 Internet 特点，所以 Internet 的安全机制很松散；而广州白云机场网络信息系统要求有较高的安全性，其内部的许多数据和文件严禁的。因此，设计与开发保证内部各种信息的安全机制是实现该网络顺利运行的关键。Internet 上的安全技术可分为三部分：系统安全、和。4.1系统安全系统安全保证一个主机系统的安全，主要包括主机系统的安全、重要服务器如 SendMail、FTP 和数据库等大型应用系统

40、的安全。本建议在主机系统和数据库系统的选型上，已经充分考虑了系统的安全性。另外，Internet 上提供了很多实用的工具来加强系统的安全，比如 Crack 程序，它本是一个系统的破译工具，但可利用它来寻找系统上较脆弱的；npasswd 是一个经过完善的系统工具，使用它可增加用户破译的难度。系统越复杂，其缺点和漏洞就会越多，比如著名的蠕虫就利用了系统 Sendmail 程序的漏洞，为了加固大型应用系统的安全，Internet 上有很多安全措施。的站点来发布这些系统的安全漏洞及 bug，从而改进系统安全性包括两方面的内容：系统运行安全性和数据统运行安全性主要指计算机、网络设备的可靠性与稳定性。性。

41、其中，系设备可靠性在广州市白云机场网络信息系统的建设中，我们分别采用了 CISCO 和 HP 公司作为系统的网络设备和应用服务器。所选用的设备都是两家公司的高可靠的性之一，所有部件支持热插拔功能，可以通过维修和硬软件现场升级而不影响系统的正常运行。为了发挥网络设备的最大性能，对整个系统进行有效的和管理，我们选用了 CISCO 公司强大的网络管理软件 CISCOWORKS WINDOWS，它具有发现并排除故障的功能，这也保证了系统的正常运行。数据和实现的性主要涉及一个计算机系统的安全管理政策，根据这一政策设计管理系统，可以管理网络结构的不同层次，从基本网络功能到网络应用系统功能。在广州市白云机场

42、网络信息系统中，我们采用了六级安全机制：路由器级（包过滤）、硬件级、级、操作系统级、数据库级、应用级，涵盖了从物理第 21 页邮件订阅博客地址广州市白云机场网络方案北大明天层到应用层的所有范围。路由器级功能，第一道采用 Cisco2610 路由器实现滤，完成系统的掉关键服务器的 MAC 地址，外部对内部某些重要主机的，同时内部对外部某些站点或网络的。级系统采用 Cisco 公司的最新的PIX520，它是一种硬件解决方案。主要优点在于，比其它方式更安全有效，而且，更好的支持多信息的传输，使用与管理更方便。PIX 具有双以太网口（内部网与 DMZ 各一个）；可组成虚拟网并加密；在防止问。侵入的同时

43、还可有效的限制内部对外的访级利用 CISCO 公司 CISCOWORKSWINDOWS 的功能，划分 VLAN。可以将不同处室的终端分配到不同的网段上，在优化网络流量的同时，也限制了用户对其它网段的。操作系统级我们选用 Windows NT 作为服务器操作系统，它采用了增强的安全措施，通过登陆认证、用户的操作。、信息加密等安全机制限制了用户对关键数据数据库级（ORACLE） ORACLE 支持维护管理数据库服务器、各种数据库设备，对象( 包括表 )，用户及拥有的权限等，建立具有不同权限的多种类型的用户组，并能对用户进行分组。ORACLE 完全满足 NCSC 的 C2 级安全标准，并早已通过相应

44、的标准测试，在 B1级的操作系统上，ORACLE 早已提供满足 NCSC 的 B1 级或 ITSEC 的 ITSE。4.2的主要技术是技术（Firewall），技术的思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种，即基于滤型滤（Packet Filter）的和基于（Proxy）的。，而 IP，因此，也叫处在网络层，根据 IP 包的包头信息来对信息的进行包的包头主要包括以下信息：IP 包的源地址、目的地址、包类型、端滤型应用层主要完成基于地址和端口的过滤功能。基于的，处于应用层，可对 IP 地址和发生在该 IP 地址上的具体应用进行，由于它能识别应用协议，因此可对应

45、用的整个过程进行，比如在应用建立时的验证、在 FIP 应用中某站点 get 而不put 等等。这两种防火墙各有优缺点，但它一般采用“没被滤型的就是由于基于网络层，因此对用户来说比较透明，的”这一策略，在它失效时，网络是畅通的，这时内部网络将失去安全的屏障，而应用层这一策略，在它失效时，内部网络与外部网络是采用“没被的就是的”要比的，因此应用层第 22 页邮件订阅博客地址广州市白云机场网络方案北大明天滤型安全。大多数路由器均支持滤功能，比如在 Cisco 路由器上可以通过设置称为access-list 的过滤规则来实现滤功能外部网络对内部网络的某些重要的来选择端，内部网络主机对 Internet

46、 上部分站点的；并可利用端为 21、WWW 的的应用协议，比如 TELNET 的端为 23、FTP 的端为 80 等，这样就可以设置一些较复杂的规则，比如可以某台对Internet 具有功能，却不能利用 WWW 和 FIP 等。基于滤的商业主要有Sun 公司的SunScreen 和Check Point 公司的 Firewall-1，SunScreen 在硬件上采用一个不带显示器的 Sparc2 工作站，并在其上插了四块以太网卡，在软件上利用改造过的、更安全的于的操作系统，SunScreen 的四块网卡均无 IP 地址，可实现透明的桥接过滤功能，因此它相当于一个黑盒子，用户无法检测到它的存在，

47、同时 SunScreen 又是一个具有硬件加密功能的设备，可实现安全的私有网络 S；Firewall-1 也是基于包过滤的 能，比纯如基于 PC的滤，除了完成滤功能外，还具有对部分应用协议的识别功更安全。此外，Internet 上也有很多的滤软件，比DOS 环境的 Kbridge 和 Drawbridge 等。Internet 的安全服务器软件主要分为两种：一种直接利用原有 TCP/IP 应用的客户，比如 Unix 系统的 telnet、ftp 应用等，在这种方式下，用户想Internet式是利用与代时，比须先登录到所在的工作站上，然后才能；另理服务器配套的客户软件，这种方式在Internet

48、 时不需先登录到服务器软件的典型代表分别是：TIS 公司的 FWTK（FireWall ToolKit）和 SOCKS。FWTK服务器由一组理、SMTP服务组成，包括 FTP、TELNET、HTTP、Gopher 代等，由于 FWTK 软件是一种应用层的软件，因此，对应于每一个应用都需要一个。FWTK 软件具有灵活的和详细的功能，它的源码可在 Internet 上获得。4.3是一项十分敏感的问题。由于 Internet 上有许多可用来做的工具，比如 snuffer 等，因此明文信息在 Internet 网上传输是不安全的。TCP/IP 协议本身不提供任何方面措施，因此必须另外开发。目前，Int

49、ernet 上的信息加密有两种途径：基于 IP 层的信息加密和基于应用层的信息加密，基于应用层的信息加密是传统的方法，用户在信息前，利用加密工具先将信息加密，工具还原信息；基于 IP 的信息加密是然后才出去，接收方可利用相应的Internet 上的一种新技术，它对 IP 包进行加密，对于应用层的用户来说是透明的，用户无需在传送数据前进行加密，数据的安全是通过 IP 层自动实现的，但是这种应用要求方和接收方采用同样的技术、同样的，目前已有采用这种技术第 23 页邮件订阅博客地址广州市白云机场网络方案北大明天的出现，比如 Sun 公司的SunScreen 就具有此功能。利用基于 IP 包的信息加密

50、技术可在Internet 上实现安全的私有网络SNetwork）。（Secure Virtual Private信息加/技术可分为两种体系，即单密钥的加密体系和双密钥的加密体系，单密钥的加密体系在加密和时采用相同的密钥，如著名的加密算法 DES；双密钥的加密方法又叫公开密钥的加密方法，加密和时采用不同的密钥，即公开密钥和私人密钥，如著名的 RSA 算法。这两种加密体系在 Internet 都得到了不同的应用。比如 Unix 系统的用户password 就采用 DES 算法；而信息加工具 PGP（Pretty Good Privacy）采用了公开密钥的加密方法。PGP 是 1991 年由美国学者菲利普·齐默尔曼率先提出的信息加密方案，广泛应用在电子邮件中。他把公开密钥和分组组织在一个系统之中，公开密钥选用了 RSA 算法，分组选用了 IDEA 算法。前者用于密钥管理，后者用于信息加密。PGP 的长度可达 512、1024 或 2048 位。它除了可完成信息加密之外，还具有安全的数字