网络系统平台及应用系统设计方案

网络系统平台及应用系统设计方案1.1概述目前，全球已掀起一股信息高速公路规划和建设的高潮，作为其雏形，国际互联网（Internet）上相连的计算机已近达数千万台，全球有数亿人在Internet上进行信息交换和各种业务处理。Internet上积累了大量信息资源，这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息,，成为信息时代全球可共享的最大信息基地。当前由于网络、数据库及与之相关的应用技术不断发展，尤其国际互联网（Internet）和内部网（Intranet）技术的广泛应用，世界正在迈入网络中心计算（NetworkCentricComputing）时代。人们传统的交互和工作模式正在改变。处在不同地理位置的人们可以共享数据，使用群件技术（GroupWare）进而能够协同工作；多媒体数据的存储、传输、应用技术的不断成熟；以上这些计算机技术的发展对民航传统的计算机业务系统产生影响，使用户能更方便。更直观的使用系统，也使系统的性能更完善、功能更强大。民航云南监管办综合业务楼网络系统平台分为内网、外网及财务专网。内网是“内部局域网”的简称，指民航监管办及其直属单位用于内部业务管理以及内部信息服务等的局域网。内网必须与国际互联网实行物理隔离。外网是“外部局域网”的简称，指民航监管办或其直属单位访问国际互联网、提供民航监管对外信息服务等的局域网。内网与外网的隔离可采用两种方式，一种为逻辑隔离，即使用同一套物理设备，但利用软件的方法实现互相隔离。一般持有特别的权限就可实现不同系统之间的信息交换。最典型的逻辑隔离技术有防火墙、虚拟子网。另外一种为物理隔离，是指两个系统之间没有任何的直接物理连接通路。在网络中指从光缆、设备、计算机都自成一套独立的系统。它们之间的信息交换完全依赖人工用盘或手工输入来实现，必须指出在网络之间用网闸进行隔离也是一种物理隔离，用网闸隔离可实现信息的可信自动交换。对于建设民航云南监管办综合业务楼网络这样一个大的系统工程来说，网络平台是所有系统的基础、关键。综合用户需求，网络技术和设计原则，在对网络方案的设计中，我们重点考虑了下列问题。1.应用的变化传统的应用结构，正在被CLIENT/SERVER的体系结构所取代，越来越多的客户通过网络与中心服务器发生联系，Internet/Intranet结构的兴起，使得传统80/20的原则翻转，大量的流量涌向网络的主干，对主干的要求进一步提高。2.多媒体的需求随着新技术的出现以及硬件成本的较低，在网络上传送视频、音频等多媒体信息越来越成为用户的需求，在网络系统里，从远程视频角度出发，这一需求显得更加重要。这要求我们在网络设计中充分考虑图像及音频信息传输的要求。3.可靠性和安全性网络是各种应用的统一通信平台，平均无故障时间以及故障恢复时间，要保持在一个可容忍的许可范围之内。在这种前提下，主干设备应有一定的冗余度，这种冗余度不单单只是设备级的，也应该考虑物理线路，数据链路层、网络层以及应用层的容错能力。对于网络系统，安全性问题不仅来自外部网络，更主要的威胁还是来自内部网络，如何有效的设计安全方案是一个很重要的问题。4.虚拟网络技术的应用出于各部门分工设置、建筑物的集中布线方式以及一些应用和安全的考虑，虚拟网的划分是必须的，此外，用户需要的不仅仅是简单的划分，更多的是如何有效的，简便的、动态修改和配置他们。1.网络管理网络系统将会分布在业务楼每个楼层的各个角落，日常的的网络维护和操作的工作量大大增加，网络系统需要一个可靠，便捷、功能强大的网络管理系统来充分有效的管理和利用网络资源。以上提出了一些在网络设计中应考虑的因素，它与我们的设计原则是相符合的。在网络系统方案的设计中，我们必须坚持从民航云南监管办综合业务楼实际需求出发，利用先进的网络技术，为用户构建真正适合自身的网络系统。1.2系统需求分析1)现监管办综合业务楼共计八层，八楼上还有楼顶平台。根据监管办日常工作，应能满足目前应用。大楼各层之间通过主干光缆相连，主干网光纤带宽1000Mbps。采用星型拓扑结构建设局域网。局域网采用6类双绞线，带宽为交换1000Mbps，工作站为100Mbps或1000Mbps。监管办网布线规模200多个点左右，接入工作站估计100台左右。网络主服务器采用高档配置。主干及接入网络应为千兆接入基于Web/Browser的网管（暂定）。网管中心设在业务楼4楼。在八楼多媒体会议室、五楼和一楼视频会议室以及大楼楼顶等部署802.11n无线网络系统，方便各级人员使用网络资源，形成无网络盲点的办公网络系统。2）具有完善的网络安全机制网络安全是办公局域网应用成败的重要因素。目前各种恶意病毒，木马病毒，黑客工具日益威胁着网络应用，不断挑战网络可靠性及健壮性，一个不安全事件可以导致网络崩溃；各种P2P下载工具也会导致网络资源耗尽，致使正常的办公活动无法通过网络进行；在浏览网页的过程中，也会自觉或不自觉的浏览不良信息，如反动，色情网站。因此建立一个良好的网络安全机制也是网络建设的重点之一。通过配置高安全性，高强度的防火墙设备与INTERNET相连，通过制定访问策略，包过滤，QOS策略，流量控制，入侵检测，网关防毒策略等进行网络全方位安全保护。通过配置网络防病毒软件系统进行服务器及工作站保护。通过划分VLAN方式合理规划局域网，定义VLAN之间的访问规测，使建立起来的网络能够安全，可靠运行。通过建立802.1X，redius等用户户口令认证系统，使合法用户能够安全有效地进行数据共享，业务应用。3）方便维护和使用的网络管理系统本方案全线采用增强网管型交换机，可以通过多种网络管理方式，方便的、有效的管理到最终的每一个端口。通过网管软件的使用，方便进行设备维护及故障查找。检测网络设备性能，把不稳定因素消除掉。4)其它中心服务器采用IBMServer，操作系统为Windows2000Server,数据库为SQLServer其余根据具体情况而定，整体方案设计应该以先进、成熟、经济、实用、扩展性强为特色。1.3内网设计原则为实现办公网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性--网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力和备份，同时合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。主干网络设备的主要部件必须支持带电热插拔，在万一出现局部故障时应不影响网络其他部分的运行，并且故障便于诊断和排除。充分体现计算机网络的高可靠性。技术先进性和实用性--保证满足办公业务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能--骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性--支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于以保证与其它网络之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性--根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可管理性--对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性--制订统一的网络安全策略，整体考虑网络平台的安全性。兼容性和经济性――兼容性，能够最大限度地保证民航监管办现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段，保证各种在用计算机系统，包括工作站、服务器和微机等设备的互连入网，充分利用现有计算机资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资。有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级。为切实达到以上的网络设计原则，使网络系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则。统一标准、统一平台网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。网络分层的原则为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为核心层、接入层等二个层次。核心层负责完成网络各汇聚节点之间的互联及完成高效的数据传输、交换、转发及路由分发。接入层设备提供各种标准接口将数据接入到网络中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功能。1.4方案设计1.4.1技术选择交换以太网技术交换以太网是近年来发展起来的先进网络技术。在保证与以太网协议兼容的前提下，提高网络利用率，减少网络资源争夺造成的冲突，使网络性能大幅度提高，以满足各类数据信息传输的要求。交换以太网从产生发展到今天在技术上分为两种：静态交换和动态交换。静态交换：将网络划分为多个阶段，网络管理员可以通过网管平台分配到各个网段的负载，即网络管理员可以只利用鼠标就可将工作站从资源争夺紧张的网段移到其他冲突较少的网段上。动态交换：动态交换是在高速总线上支持多对传输的同时进行，它不需人工干预实时地将独占带宽分配给一对节点；而其它节点间也可同时进行数据传输以独占的100M进行，就好像在两个有数据优先级的支持等。快速以太网技术快速以太网技术实际上是100M版本，所以它的运行速度要比10M以太网快十倍。在用户已经很熟悉传统以太网的情况下，快速以太网相对其他高速网络技术更容易被掌握和应用在交换环境下，提供高带宽的共享式网络或主干连接，同时也可以应用在交换式环境下，提供优异的服务质量（QOS）。快速以太网与传统的以太网技术相似，此外它还具备以下优点：快速以太网和普通以太网同样遵循CSMA/CD协议，现有的10BaseT网络设备可以相当简便地升级到快速以太网，保护用户原有的投资，与其他新型网络技术相比，更方便地使现有的10MLAN无缝连接到期100MLAN上。100BaseT集线器和网络接口卡，只需要比10BaseT同样的设备多花少量费用就可使提供比普通以太网高10倍的性能。因此，100BaseT具备较高的性能价格比。快速以太网（100BaseT）已得到IEEE任命标准为802.3U，并得到了所有主流网络厂商的支持。1000M千兆以太网1998年6月29日，千兆以太网联盟于加利福尼亚PALOALTO正式宣布了千兆以太网标准IEEE802.3Z。这是千兆以太网发展的里程碑。人们对千兆以太网技术给予了充分的重视和信心。简单地说，这是因为“千兆以太网仍然是以太网，只不过速度更快而已”。这一点是问题的关键。由于“千兆以太网仍然是以太网”，因此千兆以太网继承了10M、100M以太网的特征。由此得出了千兆以太网的以下优点：与现有大多数网络设施的兼容性权威统计表明大多数网络都是以太网，因此千兆以太网与现有网络具有天然的兼容性。千兆以太网在与10M、100M以太网通信时不存在需要损失性能的转换操作。简便的网络升级操作千兆以太网由于完全与以前的10M、100M以太网兼容。因此，自然简便的网络升级使得千兆以太网可以“无缝”融入现存的以太网环境中，解决了网络管理员所面临的如何升级现有网络，但不至于造成网络瘫痪的问题。用户总是倾向简单实用，厌恶烦琐复杂的工作。因为升级的挑战过程和额外的知识学习并不是用户建网的目的。技术的成熟性和稳定性以太网技术是十分成熟的技术，它所组成系统的可靠性已经接近一般的电话通讯系统（我们可以体会到，电话是不大出错的）。“千兆以太网仍然是以太网”意味着千兆以太网是可以信赖的技术。总体开销较低总体性的开销是评价网络技术重要的因素。总体开销不仅包括购买设备的开销，还应包括培训、维护和纠错的开销。而千兆以太网产品能提供较好的性能价格比。从台式机联网的网卡、集线器、交换机、路由器和其它各种设备，千兆以太网和其它类似速率的通信技术比较价格总是低廉的。并且，由于用户早已熟悉了以太网技术，以太网的维护和纠错手段，因此以太网维护的开销也较少。从技术本身的特征分析，千兆以太网的技术复杂度也较低。网络管理人员不需要记忆很多术语，不需要经过复杂的额外培训。灵活的网络互联和网络设计千兆以太网可以支持多种交换、路由和共享式方式。所有当今的网络互联技术，包括第三、四层交换技术和千兆以太网都是兼容的。千兆以太网性能很高千兆以太网能以千兆线速运行。由于多数千兆以太网使用无冲突的交换式、全双工的结构，应当认为此时的吞吐率将可以接近全双工的理论上的2Gb/s的最大吞吐量。提供更高等级的服务质量千兆以太网提供高速连接能力，但本身不提供完整的服务功能如服务质量（QoS），自动冗余容错，或是高层路由功能。这些功能在其它开放标准中定义。如同所有的以太网描述，千兆以太网定义OSI协议模型的数据链路层（第二层），TCP和IP分别在传送层（第四层）和网络层（第三层）部分中定义，允许在应用之间的可靠通信服务。QoS等问题在最初的千兆以太网描述中未曾涉及，但是必须由此类标准的几种中加以定义。在90年代后期出现的应用要求稳定的网络带宽、延迟和敏感性。此类的网络应用包括语音和影像在局域网和广域网上传送，组播软件分发。相关的标准化组织针对此类需求已经作出了新的开放标准定义如RSVP，IEEE802.1p和IEEE802.1Q标准化小组也正在进行各自的工作。作为推荐性的标准，响应连接质量要求、提供网络连接质量的RSVP已经获得了业界的认可。为了使RSVP能发挥作用，为网络应用提供所要求的持续质量，在客户和服务器之间的任何一个网络部件都必须支持RSVP和正常的通信能力。由于在真正获得服务质量的显著效果之前需要如此多的网络部件支持RSVP，有些厂商开发了一些在某种程度上支持QoS的厂家专有方案。尽管它们可以为用户提供QoS的效益，但要求网络的某些部分是这些厂家所独有的。802.1p和802.1Q靠提供一种所谓的“打标记”的方式实现以太网上的服务质量功能。打标签就是在数据包上做标记，注明该数据包所期望的服务类型或是优先级别。这种标记使得应用能够与网络互联设备按不同的优先级通信。RSVP可以由将RSVP映射到802.1p服务级别的方式实现。不同的千兆以太网设备一般只有上述部分标准，这样可以使以太网连接更有效率，功能较强。但千兆以太网的成功不依赖于标准中的任何一个。模块化标准的优点是标准的任何部分都可以在市场和和产品质量有需求时进行更新。请注意所有这些标准都和快速以太网和10M以太网相匹配，各个层次的以太网运行性能和质量都可以从标准化的工作中获益。千兆以太网的距离千兆以太网标准定义了传输距离的三个特定目标：最大距离为550米的多模光纤，最大距离为3千米的单模光纤，最大距离不小于25米、理想为100米的铜线。实际上CISCO公司已经突破了这些距离定义的限制，CISCO公司的千兆以太网传输距离已经达到城域网的长度，并且已经利用长距离的千兆以太网的传输手段建设出了长达近百千米的成功城域网范例。这种长距离的千兆位高速传输的解决方案引起了人们的极大兴趣和关注。1.4.2主干网络的选择办公网络以星形拓扑结构为基础，采用核心到接入二层网络结构。其主干采用千兆以太交换技术，各桌面系统采用快速以太网技术。千兆以太网的技术掌握和操作相对简单,ATM需要掌握大量的相关知识，而具备高水平网络人才的中国企业目前还不多，10G网络目前很少商用。千兆以太网因此而独具优势。实际上对于企业网络管理人员来说，他们最关心的是稳定可靠的网络运行。简单实用，避免复杂的培训和网络管理工作，应当是网管人员的目标。以太网从很简单的概念中得到效益：网络越简单就越有用。千兆以太网具有价格优势千兆以太网继承了传统以太网的主要技术特征，以太网长期研发和生产线经验使得千兆以太网的产品具有成熟性和大规模生产的价格优势。从构造层次和技术复杂性来说，千兆以太网也应在价格上优于其它主干方式。考虑到倍比于设备开销的维护管理开销，千兆以太网似乎更应胜出一筹。网络维护和管理以太网在管理QoS和VLAN等功能时会变得复杂。但这也是循序渐进得学习过程。技术的稳定性“稳定性”指技术的成熟标准和众多厂家对该项技术所达成的认识一致性。“千兆以太网还是以太网”意味着它基本上是使用多年的成熟技术，具有很多成熟标准，拥有很多不同厂家的系列兼容产品支持，它们之间的互操作性早已得到证实。可靠性和弹性可靠性和弹性反映了网络的容错能力和对变化流量支持能力。性能一些三层交换协议和基于硬件的线速路由器使得千兆以太网似乎更具优越性。目前的千兆位路由交换机的包处理速度已经超过三千五百万PPS，而转发不必考虑网络边缘和核心位置。千兆以太网也不是完全没有QoS能力。虽然简单一些，但是以太网也能提供优先级的控制能力。在办公网络建设中，除非有条件，有特殊需求和环境限制，一般在考虑要求较高的主干协议时恐怕千兆以太网应当首先考虑。故在网络方案中，选用千兆以太网更为实际,也更好一些。基于上述技术选择考虑，民航云南监管办综合业务楼的网络建设满足如下要求：网络中心设置于业务楼4楼，是监管办的数据交换中心，数据存储中心，其中配置千兆以太网交换机，满足网络高速交换和路由需求。高性能服务器可以通过千兆网卡接入核心交换机，提高对应用系统得高速访问。在办公楼各楼层交换机采用具有千兆光纤接口的部门级接入交换机，一方面可以通过交换机千兆光接口连接到网络中心核心交换机，满足网络带宽需求，连接方式建议采用冗余链路，保证链路的可靠性；另一方面通过100M电接口与桌面应用系统连接，保证数据高速有效的访问。采用802.1X认证手段，提高网络安全性。在接入层交换机采用具有广播报文抑制、端口反查等安全手段的二层交换机。采用网管平台和可网管交换机，满足网络设备管理需求。网络结构采用IP优化的星形光纤网络结构。骨干层链路应具备电信级运营网络所具有的自愈保护功能，具有提供多层次（物理层、数据链路层、网络层）恢复机制的能力；带宽管理支持公平算法、自动拥塞避免技术、负载均衡技术。物理网络本身支持组播功能。1.4.3网络实现主干网主干网由核心交换机和接入交换机组成，考虑到在目前通信条件的成熟和对性能要求的提高，采用千兆以太网技术和快速以太网技术相结合，网络的主干建议采用高性能、高可靠性核心交换机与分布于各楼层的接入交换机相连，交换机之间采用1000M光纤连接。提供多种模块接口，实现千兆光纤或千兆以太网电口接入。接入交换机则选用高性能，通过一块千兆光纤模块实现网络上联，通过24/48口快速以太网接口连接工作站，实现到桌面的百兆连接。考虑网络可靠性要求，我们在核心交换机上配置有双主控引擎，双电源，保证一旦主控引擎失效或设备升级，系统快速切换到备用引擎上，实现业务不间断运行网络中心机房配置一台千兆接入交换机，用于数据库服务器、Internet服务器等服务器连接，可以通过千兆光接口卡接入核心交换机的千兆光接口模块上，这样可以提供足够的带宽，减少由于用户对服务的集中要求所产生的瓶颈。接入网接入网由接入交换机和面向终端用户的工作站组成，即将建成的民航云南监管办综合楼的用户终端通过100MUTP与接入交换机相连形成接入网络，各接入网络可采用千兆以太网技术，通过光纤布线接入位于业务楼4楼的网络中心核心交换机上，从而实现数据快速交换及数据共享。本设计方案具有如下特点：实用性接入交换机的端口配置根据本期工程的工作站接入数量确定，将来随着管理和业务系统的应用模块的增加和PC工作站数量的增加，再增加接入交换机的数量，避免了按信息点数量配置交换机端口造成的设备闲置和浪费。而且网络产品的价格一直呈下降趋势，逐步增加交换机的数量可以节省投资。高速交换局域网主干整个网络主干采用千兆以太网交换技术，保证了主干的高带宽，避免了传统共享网络的碰撞问题，提高了整个网络系统的性能。可管理性整个网络系统均选用可网管的交换机，采用统一的网管软件进行统一管理。网管应用软件可运行在当今所有流行的网管平台上，支持全部相关的SNMP标准，可使用方便直观的图形界面进行本地和远程的网络管理和监控，故障诊断及排除，网络的配置及调整，VLAN的划分和管理等，为整个网络系统提供一个功能强大但又简单易用的管理手段。高灵活性和高安全性由于使用了VLAN的划分技术，使得网络系统的划分不再受物理连接的限制。并且，在需要变动节点连接时，不必改变物理线路，而只要通过在网管软件上的鼠标拖动即可完成。同时，任意两个VLAN之间是完全隔离的，如果需要互连则必须通过三层交换机进行，可以控制对某些重要资源的访问，大大提高了网络系统的内部安全性。对虚拟网（VLAN）标准的支持所有交换机均能提供虚拟网（VLAN）功能，可以跨越主干网建立虚拟网，支持IEEE802.10虚拟网标准和交换机间连接协议（InterSwitchLink-ISL）。虚拟网通过路由交换模块连接，实现第三层交换功能。同时支持动态VLAN和静态VLAN。多协议支持全面支持TCP/IP、IPX等不同网络协议。安全性支持802.1x认证机制，是接入交换机端口的用户安全有效地使用网络资源。可以通过对数据包源地址和目的地址、TCP端口号等因素进行判断，决定是否转发，这使得用户可以通过配置，屏蔽某些不合法的访问，保证网络资源的安全性。可扩展性充分考虑到未来的应用发展需求，能够满足监管办Internet接入、办公自动化系统应用要求。可靠性考虑网络可靠性要求，我们在核心交换机上配置有双主控引擎，双电源，保证一旦主控引擎失效或设备升级，系统快速切换到备用引擎上，实现业务不间断运行1.4.4网络VLAN的划分随着网络系统建设起来后，为了优化网络信息流量的需要，保证网络可靠稳定运行，有必要在局域网范围内划分多个网上工作组，及虚拟局域网（VLAN）。在我们的网络设计中，所有的主干网络设备和工作组交换机均支持VLAN的划分，因此可以实现上述要求。网络VLAN的划分在实际中一般有基于IP或端口、MAC的划分等多种。实际VLAN如何划分在具体实施时我们将同用户共同分析设计。基于MAC地址的VLAN划分的好处是MAC地址是固化在计算机中的，因此基于MAC划分好VLAN以后，这个工作组的成员就固定在对应的计算机上，可以随便移动位置而不能由使用人员或非法人员随意更改或冒充。这种方式安全性好，但由于其配置、实施不灵活而很少在大型网络中应用。基于端口的VLAN划分可以划分到每一个交换机端口。所有连接到同一端口的计算机（如同一部门人员）都被划分到该端口所在的VLAN中，这样，VLAN的成员不容易控制，安全性较差一些。另外，由于同一端口只能划分到一个VLAN中，因此在复杂的网络中灵活性较差，我们建议在本方案中根据实际需要适当采用。基于IP的VLAN划分是很灵活和常用的方式。它将网络中不同IP地址划分到同一VLAN中，同一子网的计算机在同一VLAN中直接交换（不同子网IP的交换通过3层交换机），VLAN间的交换通过3层交换机来实现。由于计算机IP可以更改，就可能有冒充组员的情况发生。这种情况可通过用户的认证和授权等手段来保证安全性。另外，计算机IP的可移动性和同一IP可以被划分到多个VLAN的特点为基于IP的VLAN划分带来了极大的灵活性。这种VLAN的划分在不同的网络中被广泛使用。VLAN的划分可以在网管平台上实现。考虑办公网络规模，应用需求等因素，建议采用IP子网与端口混合方式划分VLAN，各IP子网可以通过核心交换机三层交换引擎进行路由通信，保证数据共享及传输。1.4.5远程连入办公网设计（VPN接入）根据民航云南监管办的实际情况，为了实现与下级监管部门的信息共享和业务沟通，建议采用性价比较优的VPN连接方式，实现这异地之间的互联。VPN（虚拟专网）是指依靠电信Internet宽带网络建立本单位或SOHO远程接入的技术。VPN没有传统专用网络（如DDN和帧中继）的两个结点间的端到端物理链路，却能实现专用网络的功能。具有明显的优点：组网设备费用低。通过宽带上网、拨号上网、ISDN等接入Internet的各地局域网之间实现互联，不需要租用昂贵的专线，如DDN、帧中继。只需支付Internet上网费用，甚至可以共享现有的Internet上网资源。在相同的通讯带宽下，节省80%的通讯费。通过宽带上网连接的VPN，带宽能满足多数教师传输数据、声音、图像的要求。节省网络设备运行和维护费。连接快速、简便和简化WAN连接管理。连网方式安全可靠。1.4.6网络管理网络管理软件是针对数据通信设备如路由器、交换机、视讯等进行统一管理和维护的网管产品，位于网络解决方案的管理层次，能够实现网元管理和网络管理的功能。它与网络设备产品一起提供全网解决方案，对数据通信设备的维护和网络管理提供支持，并提供对设备性能进行适时量化监控。作为数据通信网管整体解决方案之一，网络管理软件为用户提供了灵活的组件化结构，包括网元管理平台、广域网管理系统、局域网管理系统、网络管理工具、多媒体管理系统等，用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件，真正实现“按需建构”。网络管理软件使用灵活的组件技术，支持多种操作平台，并能够与多种通用网管平台集成，实现从设备级到网络级全方位的网络管理，支持民航云南监管办网络拓扑和应用系统运行。网络集中监视网络管理软件提供统一拓扑发现功能，实现全网监控，可以实时监控所有设备的运行状况，并根据网络运行环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。全网设备的统一拓扑视图拓扑自动发现，拓扑结构动态刷新可视化操作方式：拓扑视图节点直接点击进入设备操作面板在网络、设备状态改变时，改变节点颜色，提示用户对网络设备进行定时（轮询间隔时间可配置）的轮循监视和状态刷新并表现在网络视图上支持拓扑过滤，让用户关注所关心的网络设备情况支持快速查找拓扑对象，并在导航树和拓扑视图中定位该拓扑对象故障管理故障管理主要功能是对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。告警实时监视，提供告警声光提示，支持外接告警箱支持告警转到Email、手机短信支持告警过滤，让用户关注重要的告警，查询结果可生成报表支持告警基级别重新定义，支持告警转存，保证系统的运行效率和稳定性支持告警拓扑定位，将显示的焦点定位到产生选定告警的拓扑对象支持告警相关性分析，包括屏蔽重复告警、屏蔽闪断告警、屏蔽root-cause告警等集群管理针对大量二层交换机等低端设备的应用环境，网络管理软件提供集群管理功能，通过一个指定公网IP的设备（称作命令交换机）对网络进行管理。实现对一组设备统一、集中、批量配置管理；实现设备的集中维护管理；网络拓扑信息自动收集、维护，动态更新；节省公网IP地址资源；实现方便的软件升级、配置数据备份、配置数据恢复；堆叠管理堆叠是由一组交换机组成的一个管理域，其中包括一个主交换机和若干个堆叠成员交换机（从交换机），利用一个公有IP地址可以实现堆叠内所有交换机的管理。网络管理软件通过堆叠管理，可以集中管理较大量的低端设备，并且为用户提供统一的网管界面，方便用户对大量设备的统一管理维护。其中，主交换机提供了对整个堆叠的管理接口：主交换机在从交换机加入堆叠时，自动给从交换机分配可用的IP地址，网管站通过此IP地址实现对从交换机的管理和维护。流量性能监控网络管理软件可以统计不同线路的利用情况，不同资源的利用情况，为优化或扩充网络提供依据。网络管理软件提出了层次化性能监控的概念，针对不同的侧重点，提供不同的性能监控工具。网络管理软件提供流量检测工具，能够检测网络设备端口流量变化，它使得网络管理者能够直观地观测设备流量的变化，从而对网络设备进行有效的管理。针对用户关注的业务性能，网络管理软件提供了基于报文流七元组信息的流量工具——NSC&NDA，它是网流的收集和分析工具。其中，网流收集器提供快速的网流设备数据收集工具，包含的功能：收集多个网流设备输出的网流统计数据；通过配置过滤器过滤掉不必要的数据；通过聚合减少统计数据的磁盘空间占用量；分层次存储数据（便于客户端应用程序获取数据）；网流数据分析器（NDA，NetStreamDataAnalyzer）可以分析由NSC生成的所有数据文件，对数据文件中的数据进行进一步的聚合、排序，并将分析的结果以各种图形方式（如柱状图、饼图和趋势图等）显示出来，提供如下功能：详细自治域矩阵数据查询功能网流分布的图形化分析详细自治域矩阵流量分析功能故障定位与地址反查针对最为常见的端口故障，网络管理软件提供了便捷的定位检测工具——路径跟踪和端口环回测试；当用户报告网络端口使用异常时，网络管理员可以通过网管对指定用户端口做环回测试，直接定位端口故障。为了网管工作自动化，网络设备内嵌智能Agent，对需要经过复杂计算的性能数据主动进行监视，在超出阈值时自动上报告警，并转发到Email、BP、手机短信及时通知网络管理员，让网络管理员随时随地监控网络运行状况。端口反查功能支持两种方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用时分别输入终端用户的MAC地址或IP地址，能够定位该终端用户连接的交换机及交换机的端口，帮助网络管理员及早定位非法报文接入网络的原始端口，及时关闭端口，防止一些违规用户进行非法操作比如滥发报文、访问非法站点等，危害网络安全。Web特性提供Web特性，具有完善的安全机制，用户可随时随地管理网络，降低管理网络的难度与强度，使网络运维过程流程化，能够灵活地组织设备集合，快捷地获得设备各类信息。提供设备日志分析工具，使用户及时了解网络中设备运行状况。通过定期轮询机制，帮助用户及时了解网络关键设备的在线情况。提供批量配置功能，将用户从烦琐，重复的配置工作中解脱。提供设备配置文件管理功能，帮助用户建立配置文件版本管理机制，减少灾难情况下网络的恢复时间。具有完善的报表功能，让用户对网络运行情况一目了然。提供统一的任务机制，使用户对网络运维管理能够统一流程。1.4.7服务质量(QoS)的实施随着办公业务系统使用等各种在某段时间内持续高带宽低延时的应用的开展，网络流量的复杂化，IP交换技术的发展，二层、三层交换技术在保障网络应用的服务质量QoS，避免网络拥塞上可以起到不可缺少的作用。概括而言，QoS主要包括数据智能分类技术，拥塞控制技术两大方面，一般在网络中采用以下步骤实现服务质量：在接入层交换机中对进入网络的数据包进行网络的基本分类或根据交换机设定来进行重分类（Reclassify），同时对网络的流量采用监控(Policing)，避免由于客户设备故障或病毒产生的过度流量，然后根据监控决策结果来将这些流量放入相应的上联端口的队列，然后在此端口上采用加权算法来对该端口出去的流量进行拥塞控制(SchedulingCongestionControl)，确保在接入层上关键数据流量的服务质量，在这些数据的处理过程中，同时完成了第二层以太网帧中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值决定了IP报文的优先级别，而TOS或DSCP值在经过IP路由器默认情况下其值不会改变，从而能够提供跨全网的端到端的QoS。核心三层交换机在收到了从接入层交换机上传来的数据包，它开始正式对其第三层IP数据包进行分析，首先根据IP地址信息可以选择不同的转发链路，在选择了相应的链路后，这时候核心三层交换机在这些链路上对流量的拥塞不再是依据以太网帧中的CoS，而是依据在接入层交换中以及完成赋值的TOS或DSCP，分布层交换机可以根据这些值可以对网络中的流量进行更细致的划分，保证关键流量将根据其各自的优先权进入网络核心。从上述技术分析来看，实施时技术要求较高，要求在实施前对网络应用模式和具体需要进行详细分析，然后合理的规划采用连接协议及QoS控制方式，使网络在满足需求的前提下趋于最高性能和可靠性。具体实现的技术方案：在具有多媒体业务需求的接入层交换机上需要支持提供完善的LAN边缘QoS，即所有的交换机支持两种模式的重新分类方法。一种模式基于IEEE802.1p标准，遵从接入点的服务等级（CoS）值并把数据包分配到合适的队列中。第二种模式，数据包根据由网络管理员分配给接入端口的缺省CoS值来进行重新分类。如果到达的帧没有CoS值(如未做标记的帧)，接入交换机就根据网络管理员分配给每个端口的缺省CoS值来进行分类。一旦数据帧使用上面所说的两种模式分类或重新分类后，即被分配到最合适的输出队列中去。交换机支持四种输出队列，使网络管理员在为LAN流量的各种应用指定优先权时更加容易区分和有针对性。严格的优先权分配可以保证诸如语音等时间敏感的应用在通过交换结构时一直使用高速路径。另外，另一种重要的增强措施即加权循环（WRR）策略也能保证低优先级的负载在没有被网络管理员进行优先级配置的情况下，能够得到重视。这些特性使网络管理员可以把关键任务和时间敏感的流量，如视频（视频会议，视频监控等）、语音（IP电话流量）和CAD/CAM，优于低时间敏感的应用如FTP或e-mail（SMTP）等来设置更高级别的优先权。1.5网络防病毒系统1.1.1企业网络防病毒解决方案考虑的几个因素一个实用可行的企业级网络防病毒解决方案应该能够在整个网络中只要有可能感染和传播病毒的地方都应该有相应的解决方案，防止病毒的入侵和传播，确保网络的安全，因此，在选择企业级网络防病毒解决方案时主要应考虑以下几个问题:提供一个多层次、全方位的防病毒体系。而不仅仅是几套防病毒软件，同时具有跨平台的技术及强大功能，也就是说，在网络的每一个层次包括网关一级、群件服务器一级、服务器一级、客户端一级以及各种平台下都应有相应的解决方案。在这个防病毒体系中应该具有简易的、统一的、集中的、智能的和自动化的管理手段和管理工具。包括客户端自动化的安装、维护、配置、病毒定义码和扫描引擎的升级、定时调度、实时防护等。尽量使防病毒的管理简单易行。能够有效防范各种混合型的威胁。如类似“尼姆达”、“红色代码”、“求职信”、“Blaster”这种利用系统、应用或服务的漏洞进行传播、感染和攻击的病毒。提供有效直观的管理机制。如可以根据企业的网络分类或组织结构来划分防病毒组，方便管理。如可以针对管理员、市场部、工程部等不同的部门划分不同的管理组，针对这些组可以根据需要配置不同的防病毒策略。通过管理中心可以及时了解整个网络中客户端防病毒软件的安装使用情况。如客户端是否安装了防病毒软件、安装了什么防病毒软件，客户端是否更新了最新的病毒定义码和扫描引擎的情况。采用先进的防病毒技术。能够有效的查杀各种多态病毒和未知病毒集中和方便地进行病毒定义码和扫描引擎的更新。尤其是能否及时对扫描引擎更新尤为重要，由于在一个防病毒软件中，主要靠扫描引擎来清除病毒，因此能否方便、快捷地升级扫描引擎直接影响到防病毒体系的防毒能力。方便、全面、友好的病毒警报和报表系统管理机制。病毒防护自动化服务机制。防病毒管理策略的强制定义和执行。它可以确保客户端不会因为人为因素而造成防病毒策略的更改、破坏等。合理的预算规划和低廉的总拥有成本。良好的服务与强大支持。紧急处理能力和对新病毒具有最快的响应速度。由于病毒总是先出现，因此对于这些新出现的病毒，防病毒体系是否具有足够强的紧急处理能力和快速的响应速度，从而确保在新病毒出现时，系统不受其影响，或尽量少地受其影响。安装完防病毒软件后对现有系统和应用造成影响。1.1.2系统规划建议：统一管理、集中监控：主要指的是由信息中心进行集中监管，包括：由信息中心根据各部门的具体情况统一制定相应的防病毒策略和实施计划。信息中心负责全网的病毒定义码、扫描引引擎和软件修正的升级工作，并将升级文件自动逐级分发至各部门的防病毒客户端。信息中心负责各部门被隔离文件的提交和返回相应的病毒定义码和扫描引擎。建立统一的、分级管理的病毒管理报告体系：内部建立统一的病毒事件管理和报告机制，用于统一存储、统计报告在明信公证处网络发生的病毒事件，以便及时了解全网的病毒事件、病毒的发作情况、病毒的类型情况、在什么地方、什么时候感染了什么病毒。同时该病毒事件管理中心可以根据以后的安全需求扩展成为安全事件管理和响应中心。如现在或以后公司可能需要部署其他的安全产品如防火墙、入侵检测系统、漏洞扫描系统等，可以通过安全管理中心来集中收集、存储、分类、关联来自其他安全产品的安全事件，从而是安全管理员在一个地方就可以了解到全网发生的所有安全事件，并采取相应的响应措施，如图所示安全事件集中管理和响应中心下图是一个病毒事件报警的实例，根据需要可以产生各种各样的图形化报告，或图文混排的报表格式。病毒事件（安全事件）统计报告格式1.1.3部署全面的防病毒软件建议采用“纵深”防御的措施，即考虑在整个网络中只要有可能感染和传播病毒的地方都应该采取相应的防病毒手段，安装相应的防病毒软件。针对明信公证处的具体情况，主要考虑服务器的病毒防护以及客户端病毒防护，其中在对服务器的病毒防护上，主要考虑针对明信公证处内联网内部WindowsNT/2000服务器的病毒防护：部署服务器级防病毒在服务器系统的防病毒保护上，根据明信公证处网络的具体情况，我们主要考虑针对WindowsNT/2000/2003服务器的防病毒保护。建议安装卡巴斯基网络版防病毒系统服务器端，保护系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发的文件等免受病毒的感染，部署安装4台应用服务器。部署客户端级防病毒在客户端一级，根据明信公证处司的具体情况和客户端的操作系统类型，分别安装卡巴斯基网络版防病毒系统客户端实现对Windows9X/NT/ME/2000/XP/VISITA等操作系统监控，实现对系统、磁盘、可移动磁盘、光盘以及调制解调器连接所收发文件的病毒防护。部署客户端软件151个用户许可。1.1.4病毒定义码、扫描引擎和软件修正的升级方式根据明信公证处网络的结构，考虑到安全的需求，同时也是便于管理，我们建议在明信公证处网络内采用级服务器升级的结构，即：配置一台服务器作为网络版防病毒服务器，安装服务器端，通过服务器端定制升级策略和更新策略，首先升级网络中心防病毒服务器的病毒定义码、扫描引擎和软件修正。根据实际情况可以配置网络中心防病毒毒服务器自动或手动通过Internet到卡巴斯基网站升级最新的病毒定义码和扫描引擎。打开允许应用服务器客户端和PC客户端自行升级功能允许客户端自行升级，同时设置客户端的自动调度功能，以使客户端在脱离服务器的情况下能自动进行升级。允许远程客户端实现增量、间断升级。卡巴斯基允许远程客户端在连接的时候自动检测本机的病毒更新，并且实现病毒定义的自动、增量的更新，同时支持断点升级模式。采用这种升级方式，一方面可以确保明信公证处整个网络内的病毒定义码和扫描引擎的更新基本保持同步。另一方面，由于整个网络的病毒定义码和扫描引擎的更新、升级自动完成，就可以避免由于人为因素造成网络中某些机器或某个网络因为没有及时更新最新的病毒定义码和扫描引擎而失去最强的防病毒能力，同时也避免了各机构自行到Internet升级而带来的不便和安全隐患。1.1.5紧急处理措施和对新病毒的响应方式针对未知病毒的处理响应措施，可以通过卡巴斯基的数字免疫系统来自动、快速完成。当各网络中某个或某些客户端发现有新病毒出现，而防病毒软件无法清除时，客户端会通过隔离技术首先在本地把被感染的文件隔离，首先保证病毒不会发作，同时在本地做备份（取决于管理员的设置），然后再做一份拷贝，自动传送到局域网内的隔离区服务器，由隔离区服务器自动传至卡巴斯基的病毒相应网关。网关会根据当时的病毒定义码情况在几秒钟、几分钟、几十分钟、几小时或48小时内返回针对该病毒的解决方案，当返回相应的病毒定义码和扫描引擎后，可以通过预先的设置，把最新的病毒定义码和扫描引擎自动安装到全行的所有防病毒服务器和发现病毒的那台计算机上，同时也可以安装到指定的几台或一台防病毒服务器上。1.1.6病毒报警、综合日志分析及报表功能当网络中检测到病毒时，防病毒软件除了会进行相应的处理外，还可以通过多种方式通知给管理员，通过卡巴斯基的报警管理系统（KAM），可以通过如电子邮件方式、传送警报窗口、采用BP机方式、发送SNMP陷阱等方式把病毒发作和感染的情况通知管理员。病毒的信息可以记录出现病毒的时间、计算机的名称、IP地址、用户名情况、感染情况、处理情况、感染病毒文件的名称和位置等。管理员可以把传上来得病毒信息按病毒名称、日期、用户名、计算机名、病毒类型、时间段等关键字形成报表，同时也可以通过卡巴斯基提供的统一安全管理平台生成图形化的报告。1.1.7安装完防病毒软件后对现有系统和应用的影响卡巴斯基防病毒软件对现有系统正常使用不会有任何影响。同时卡巴斯基防病毒软件全部是简体中文版，便于管理员管理和客户端使用。1.6防火墙安全设定服务应用的限定通过设置与服务应用相对应的TCP、UDP端口号，并规定网络访问规则，使正常的服务应用（如HTTP80端口）得以进行，而对于有害的或不安全的服务应用（如137NETBIOS_NS，如果开放，容易受到尼姆达等病毒入侵）得以屏蔽，减少服务器或工作站被侵害的危险。网络访问规则的设定防火墙可以通过设置ACL（访问控制列表）来规定网络的流向，如内网设备可以访问外网，而外网设备不可以访问内网，或只能访问内网的某台或某几台设备，甚至可以详细定义到只能访问特定服务器的应用（如HTTP应用，而其他屏蔽）。这种访问的规则是单向的，因此可以更好地控制网络资源的访问，对网络资源和设备进行保护。NAT的规则NAT是指网络地址转换，它的工作机制是基于保护内网拓扑结构和资源设定的，因为互联网本身是基于TCP/IP的，要能访问互联网必然需要一个互联网IP地址，因此对于内部用户网络来说，既要访问互联网，又要防止内网暴露在互联网面前。NAT正是基于这一点考虑的，内网用户访问外网时，当数据经过了防火墙后，通过防火墙的NAT，把内网用户IP地址（IANA定义的保留地址）转换成了互联网IP地址（公网地址），而对于互联网用户来说，他看到的只是一个互联网IP地址，而对于内网IP地址，他是无法了解和看到的，这样可以保护了内网结构。流量控制由于用户的应用除了正常的INTERNET访问和vpn接入外，更多的还是视频聊天，FTP、P2P的下载（BIT）等不重要的网络应用，这些应用相当大地占用了网带宽，不利于正常的数据传输，而且严重地会导致系统中病毒（比如有些P2P的网站），导致系统网络风暴。因此在考虑外网防火墙的设备选型上应考虑进行流量控制，限制网上视频，P2P的应用等。在流量控制的设置上，设计成根据访问策略和数据包进出控制进行流量设置，并且对业务（服务）进行划分，设置不同的优先级，不同的优先级配置不同的带宽，这样既方便进行管理，又避免了不重要的大数据网络应用对带宽造成影响。应用资源的访问监管办可以建立自己的，面向internet用户的web服务器，邮件服务器，ftp服务器等，充分利用互联网的优势。为了使外网用户能够进行正常的数据访问，可以把这些应用放于防火墙的DMZ区，通过防火墙的包过滤规则设定，使外网用户既方便又安全地访问防火墙DMZ区的各种应用系统。1.7邮件系统WinmailServer是易用型全功能邮件服务器软件，不仅支持SMTP/POP3/WebMail/多域/发信认证/反垃圾邮件/邮件过滤/邮件组等标准邮件功能，还有提供邮件杀毒/邮件监控/支持IIS和PWS/邮件备份/邮件网关/动态域名支持/远程管理/独立域管理员/在线注册等特色功能。它既可以作为局域网邮件服务器、互联网邮件服务器，也可以作为拨号ISDN、ADSL宽带、FTTB、有线通(CableModem)等接入方式的邮件服务器和邮件网关。运行环境服务器需求:中英文Windows95/97/98/ME/NT4.0/2000/XP/2003等Win32操作系统平台。10G以上的硬盘空间:根据服务的用户数和每用户邮箱空间而定。512M以上的内存客户端需求:Browser,HTMLV3.2兼容的浏览器(IE4.X,NS4.X)OutlookExpress,NetscapeMail,Outlook97,FoxMail等任何标准的邮件软件,用户可以根据个人习惯选择常用的客户端软件。安装并正确配置的网卡，微软的TCP/IP网络或支持TCP/IP的拨号网络连接。功能模块·SMTP服务SMTP服务可以支持多个域名、域别名、ESMTP验证等功能。同时可以将外发邮件通过MX记录直接递送给目的域名，也可以将其递送某台外发邮件服务器（如：ISP的SMTP服务器）。并支持TLS/SSL加密通信。·POP3服务用户可以通过通用邮件客户端软件OutlookExpress、Outlook、Foxmail等来收取服务器上的邮件。并支持TLS/SSL加密通信。·IMAP服务用户可以通过通用邮件客户端软件OutlookExpress、Outlook、NetscapeMessenger等来直接操作服务器上的邮件,支持中文邮件夹。并支持TLS/SSL加密通信。·Webmail服务提供多语言的全功能的Webmail,可以在网页上在线注册新邮箱,收发邮件,修改密码,设置外部POP3邮箱、自动转发、自动回复等操作。目前支持简体中文,繁体中文和英文。可以将WebMail设置为IIS,PWS的虚拟目录或虚拟站点。·公用地址簿(LDAP服务)用户可以通过Webmail和通用OutlookExpress、Outlook的地址簿直接查找公共地址簿中的用户信息。并支持TLS/SSL加密通信。·IMAP公共邮件夹支持IMAP公共邮件夹功能,可以设置读写删除权限,可以通过OutlookExpress、Outlook、Webmail等软件查看公共信息。·网络磁盘提供网络磁盘功能，并且可以设置共享。可以通过Webmail或通用的FTP客户端软件来上传与下载网络磁盘中的文件。·网络行事历与记事本提供网络行事历功能和记事本，用户可以设置事件与任务来提醒完成某项任务。·邮件签核管理员可以限制一些用户发信是否要经过指定管理员签核。签核管理员可以允许和拒绝需要签核的用户发送邮件。·邮件杀毒本系统能支持内嵌API在内三种模式，支持几乎所有的杀毒引擎，扫描来往邮件，有效的隔离和清除带毒邮件。·短信提醒支持短信提醒，有新邮件到达时，可在手机上获得通知。采用网络短信通道方式,目前支持灵通网的短信的短信通道。·快速设置向导本系统的提供快速设置向导工具,只需输入几个简单参数,让您一分钟内设置好邮件系统。具体请见安装与初始化设置·NT域认证系统中的邮箱用户可以与NT系统用户进行整合，收发的邮件的认证采用NT域认证制进行认证，提系统的安全性的，降低系统的维护的复杂性。·用户管理管理员可以新建、删除、禁用用户邮箱和设置用户邮箱大小、最多的邮件数、最大的允许发邮件字节数，以及用户信息是否公开等。可控制单用户发外部邮件，收外部邮件，修改密码等多项功能权限，可设置有效时间。用户可以导入和导出。·邮件组管理员可以根据情况设置一些邮件组，系统会将发往邮件组的邮件自动分发给每个组成员,支持Everyone组。·邮件网关本系统还可以作为局域网的邮件网关，自动收取远程服务器上指定帐号的邮件，然后按照预设定的规则进行邮件分发给本地用户的功能。系统主要以两种方式来收取远程邮件：POP3收取和ETRN下载。可以实现多人共享一个邮件帐号而互不干扰。·远程管理本系统的管理工具可以远程可以管理邮件服务器，让管理员可以管理远在托管中心的邮件服务器，并支持同时管理多台服务器，协议采用SSL加密。允许创建多个管理员,支持