網(wǎng)絡(luò)系統(tǒng)平臺(tái)及應(yīng)用系統(tǒng)設(shè)計(jì)方案

網(wǎng)絡(luò)系統(tǒng)平臺(tái)及應(yīng)用系統(tǒng)設(shè)計(jì)方案1.1概述目前，全球已掀起一股信息高速公路規(guī)劃和建設(shè)的高潮，作為其雛形，國(guó)際互聯(lián)網(wǎng)（Internet）上相連的計(jì)算機(jī)已近達(dá)數(shù)千萬(wàn)臺(tái)，全球有數(shù)億人在Internet上進(jìn)行信息交換和各種業(yè)務(wù)處理。Internet上積累了大量信息資源，這些資源涉及人類面對(duì)和從事的各個(gè)領(lǐng)域、行業(yè)及社會(huì)公用服務(wù)信息,，成為信息時(shí)代全球可共享的最大信息基地。當(dāng)前由于網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)及與之相關(guān)的應(yīng)用技術(shù)不斷發(fā)展，尤其國(guó)際互聯(lián)網(wǎng)（Internet）和內(nèi)部網(wǎng)（Intranet）技術(shù)的廣泛應(yīng)用，世界正在邁入網(wǎng)絡(luò)中心計(jì)算（NetworkCentricComputing）時(shí)代。人們傳統(tǒng)的交互和工作模式正在改變。處在不同地理位置的人們可以共享數(shù)據(jù)，使用群件技術(shù)（GroupWare）進(jìn)而能夠協(xié)同工作；多媒體數(shù)據(jù)的存儲(chǔ)、傳輸、應(yīng)用技術(shù)的不斷成熟；以上這些計(jì)算機(jī)技術(shù)的發(fā)展對(duì)民航傳統(tǒng)的計(jì)算機(jī)業(yè)務(wù)系統(tǒng)產(chǎn)生影響，使用戶能更方便。更直觀的使用系統(tǒng)，也使系統(tǒng)的性能更完善、功能更強(qiáng)大。民航云南監(jiān)管辦綜合業(yè)務(wù)樓網(wǎng)絡(luò)系統(tǒng)平臺(tái)分為內(nèi)網(wǎng)、外網(wǎng)及財(cái)務(wù)專網(wǎng)。內(nèi)網(wǎng)是“內(nèi)部局域網(wǎng)”的簡(jiǎn)稱，指民航監(jiān)管辦及其直屬單位用于內(nèi)部業(yè)務(wù)管理以及內(nèi)部信息服務(wù)等的局域網(wǎng)。內(nèi)網(wǎng)必須與國(guó)際互聯(lián)網(wǎng)實(shí)行物理隔離。外網(wǎng)是“外部局域網(wǎng)”的簡(jiǎn)稱，指民航監(jiān)管辦或其直屬單位訪問(wèn)國(guó)際互聯(lián)網(wǎng)、提供民航監(jiān)管對(duì)外信息服務(wù)等的局域網(wǎng)。內(nèi)網(wǎng)與外網(wǎng)的隔離可采用兩種方式，一種為邏輯隔離，即使用同一套物理設(shè)備，但利用軟件的方法實(shí)現(xiàn)互相隔離。一般持有特別的權(quán)限就可實(shí)現(xiàn)不同系統(tǒng)之間的信息交換。最典型的邏輯隔離技術(shù)有防火墻、虛擬子網(wǎng)。另外一種為物理隔離，是指兩個(gè)系統(tǒng)之間沒(méi)有任何的直接物理連接通路。在網(wǎng)絡(luò)中指從光纜、設(shè)備、計(jì)算機(jī)都自成一套獨(dú)立的系統(tǒng)。它們之間的信息交換完全依賴人工用盤(pán)或手工輸入來(lái)實(shí)現(xiàn)，必須指出在網(wǎng)絡(luò)之間用網(wǎng)閘進(jìn)行隔離也是一種物理隔離，用網(wǎng)閘隔離可實(shí)現(xiàn)信息的可信自動(dòng)交換。對(duì)于建設(shè)民航云南監(jiān)管辦綜合業(yè)務(wù)樓網(wǎng)絡(luò)這樣一個(gè)大的系統(tǒng)工程來(lái)說(shuō)，網(wǎng)絡(luò)平臺(tái)是所有系統(tǒng)的基礎(chǔ)、關(guān)鍵。綜合用戶需求，網(wǎng)絡(luò)技術(shù)和設(shè)計(jì)原則，在對(duì)網(wǎng)絡(luò)方案的設(shè)計(jì)中，我們重點(diǎn)考慮了下列問(wèn)題。1.應(yīng)用的變化傳統(tǒng)的應(yīng)用結(jié)構(gòu)，正在被CLIENT/SERVER的體系結(jié)構(gòu)所取代，越來(lái)越多的客戶通過(guò)網(wǎng)絡(luò)與中心服務(wù)器發(fā)生聯(lián)系，Internet/Intranet結(jié)構(gòu)的興起，使得傳統(tǒng)80/20的原則翻轉(zhuǎn)，大量的流量涌向網(wǎng)絡(luò)的主干，對(duì)主干的要求進(jìn)一步提高。2.多媒體的需求隨著新技術(shù)的出現(xiàn)以及硬件成本的較低，在網(wǎng)絡(luò)上傳送視頻、音頻等多媒體信息越來(lái)越成為用戶的需求，在網(wǎng)絡(luò)系統(tǒng)里，從遠(yuǎn)程視頻角度出發(fā)，這一需求顯得更加重要。這要求我們?cè)诰W(wǎng)絡(luò)設(shè)計(jì)中充分考慮圖像及音頻信息傳輸?shù)囊蟆?.可靠性和安全性網(wǎng)絡(luò)是各種應(yīng)用的統(tǒng)一通信平臺(tái)，平均無(wú)故障時(shí)間以及故障恢復(fù)時(shí)間，要保持在一個(gè)可容忍的許可范圍之內(nèi)。在這種前提下，主干設(shè)備應(yīng)有一定的冗余度，這種冗余度不單單只是設(shè)備級(jí)的，也應(yīng)該考慮物理線路，數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層以及應(yīng)用層的容錯(cuò)能力。對(duì)于網(wǎng)絡(luò)系統(tǒng)，安全性問(wèn)題不僅來(lái)自外部網(wǎng)絡(luò)，更主要的威脅還是來(lái)自內(nèi)部網(wǎng)絡(luò)，如何有效的設(shè)計(jì)安全方案是一個(gè)很重要的問(wèn)題。4.虛擬網(wǎng)絡(luò)技術(shù)的應(yīng)用出于各部門(mén)分工設(shè)置、建筑物的集中布線方式以及一些應(yīng)用和安全的考慮，虛擬網(wǎng)的劃分是必須的，此外，用戶需要的不僅僅是簡(jiǎn)單的劃分，更多的是如何有效的，簡(jiǎn)便的、動(dòng)態(tài)修改和配置他們。1.網(wǎng)絡(luò)管理網(wǎng)絡(luò)系統(tǒng)將會(huì)分布在業(yè)務(wù)樓每個(gè)樓層的各個(gè)角落，日常的的網(wǎng)絡(luò)維護(hù)和操作的工作量大大增加，網(wǎng)絡(luò)系統(tǒng)需要一個(gè)可靠，便捷、功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)來(lái)充分有效的管理和利用網(wǎng)絡(luò)資源。以上提出了一些在網(wǎng)絡(luò)設(shè)計(jì)中應(yīng)考慮的因素，它與我們的設(shè)計(jì)原則是相符合的。在網(wǎng)絡(luò)系統(tǒng)方案的設(shè)計(jì)中，我們必須堅(jiān)持從民航云南監(jiān)管辦綜合業(yè)務(wù)樓實(shí)際需求出發(fā)，利用先進(jìn)的網(wǎng)絡(luò)技術(shù)，為用戶構(gòu)建真正適合自身的網(wǎng)絡(luò)系統(tǒng)。1.2系統(tǒng)需求分析1)現(xiàn)監(jiān)管辦綜合業(yè)務(wù)樓共計(jì)八層，八樓上還有樓頂平臺(tái)。根據(jù)監(jiān)管辦日常工作，應(yīng)能滿足目前應(yīng)用。大樓各層之間通過(guò)主干光纜相連，主干網(wǎng)光纖帶寬1000Mbps。采用星型拓?fù)浣Y(jié)構(gòu)建設(shè)局域網(wǎng)。局域網(wǎng)采用6類雙絞線，帶寬為交換1000Mbps，工作站為100Mbps或1000Mbps。監(jiān)管辦網(wǎng)布線規(guī)模200多個(gè)點(diǎn)左右，接入工作站估計(jì)100臺(tái)左右。網(wǎng)絡(luò)主服務(wù)器采用高檔配置。主干及接入網(wǎng)絡(luò)應(yīng)為千兆接入基于Web/Browser的網(wǎng)管（暫定）。網(wǎng)管中心設(shè)在業(yè)務(wù)樓4樓。在八樓多媒體會(huì)議室、五樓和一樓視頻會(huì)議室以及大樓樓頂?shù)炔渴?02.11n無(wú)線網(wǎng)絡(luò)系統(tǒng)，方便各級(jí)人員使用網(wǎng)絡(luò)資源，形成無(wú)網(wǎng)絡(luò)盲點(diǎn)的辦公網(wǎng)絡(luò)系統(tǒng)。2）具有完善的網(wǎng)絡(luò)安全機(jī)制網(wǎng)絡(luò)安全是辦公局域網(wǎng)應(yīng)用成敗的重要因素。目前各種惡意病毒，木馬病毒，黑客工具日益威脅著網(wǎng)絡(luò)應(yīng)用，不斷挑戰(zhàn)網(wǎng)絡(luò)可靠性及健壯性，一個(gè)不安全事件可以導(dǎo)致網(wǎng)絡(luò)崩潰；各種P2P下載工具也會(huì)導(dǎo)致網(wǎng)絡(luò)資源耗盡，致使正常的辦公活動(dòng)無(wú)法通過(guò)網(wǎng)絡(luò)進(jìn)行；在瀏覽網(wǎng)頁(yè)的過(guò)程中，也會(huì)自覺(jué)或不自覺(jué)的瀏覽不良信息，如反動(dòng)，色情網(wǎng)站。因此建立一個(gè)良好的網(wǎng)絡(luò)安全機(jī)制也是網(wǎng)絡(luò)建設(shè)的重點(diǎn)之一。通過(guò)配置高安全性，高強(qiáng)度的防火墻設(shè)備與INTERNET相連，通過(guò)制定訪問(wèn)策略，包過(guò)濾，QOS策略，流量控制，入侵檢測(cè)，網(wǎng)關(guān)防毒策略等進(jìn)行網(wǎng)絡(luò)全方位安全保護(hù)。通過(guò)配置網(wǎng)絡(luò)防病毒軟件系統(tǒng)進(jìn)行服務(wù)器及工作站保護(hù)。通過(guò)劃分VLAN方式合理規(guī)劃局域網(wǎng)，定義VLAN之間的訪問(wèn)規(guī)測(cè)，使建立起來(lái)的網(wǎng)絡(luò)能夠安全，可靠運(yùn)行。通過(guò)建立802.1X，redius等用戶戶口令認(rèn)證系統(tǒng)，使合法用戶能夠安全有效地進(jìn)行數(shù)據(jù)共享，業(yè)務(wù)應(yīng)用。3）方便維護(hù)和使用的網(wǎng)絡(luò)管理系統(tǒng)本方案全線采用增強(qiáng)網(wǎng)管型交換機(jī)，可以通過(guò)多種網(wǎng)絡(luò)管理方式，方便的、有效的管理到最終的每一個(gè)端口。通過(guò)網(wǎng)管軟件的使用，方便進(jìn)行設(shè)備維護(hù)及故障查找。檢測(cè)網(wǎng)絡(luò)設(shè)備性能，把不穩(wěn)定因素消除掉。4)其它中心服務(wù)器采用IBMServer，操作系統(tǒng)為Windows2000Server,數(shù)據(jù)庫(kù)為SQLServer其余根據(jù)具體情況而定，整體方案設(shè)計(jì)應(yīng)該以先進(jìn)、成熟、經(jīng)濟(jì)、實(shí)用、擴(kuò)展性強(qiáng)為特色。1.3內(nèi)網(wǎng)設(shè)計(jì)原則為實(shí)現(xiàn)辦公網(wǎng)絡(luò)高質(zhì)、高效互聯(lián)的目標(biāo)要求，在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下建網(wǎng)原則：高可靠性--網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力和備份，同時(shí)合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。主干網(wǎng)絡(luò)設(shè)備的主要部件必須支持帶電熱插拔，在萬(wàn)一出現(xiàn)局部故障時(shí)應(yīng)不影響網(wǎng)絡(luò)其他部分的運(yùn)行，并且故障便于診斷和排除。充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。技術(shù)先進(jìn)性和實(shí)用性--保證滿足辦公業(yè)務(wù)應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，又要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。高性能--骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、語(yǔ)音、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。標(biāo)準(zhǔn)開(kāi)放性--支持國(guó)際上通用標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議、國(guó)際標(biāo)準(zhǔn)的大型的動(dòng)態(tài)路由協(xié)議等開(kāi)放協(xié)議，有利于以保證與其它網(wǎng)絡(luò)之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性--根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，減少最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇?-對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。安全性--制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。兼容性和經(jīng)濟(jì)性――兼容性，能夠最大限度地保證民航監(jiān)管辦現(xiàn)有各種計(jì)算機(jī)軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級(jí)的手段，保證各種在用計(jì)算機(jī)系統(tǒng)，包括工作站、服務(wù)器和微機(jī)等設(shè)備的互連入網(wǎng)，充分利用現(xiàn)有計(jì)算機(jī)資源，發(fā)揮主干網(wǎng)的優(yōu)勢(shì)。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資。有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有的網(wǎng)絡(luò)設(shè)備或做必要的升級(jí)。為切實(shí)達(dá)到以上的網(wǎng)絡(luò)設(shè)計(jì)原則，使網(wǎng)絡(luò)系統(tǒng)具有良好的擴(kuò)展性和靈活的接入能力，并易于管理，易于維護(hù)，在網(wǎng)絡(luò)設(shè)計(jì)及構(gòu)建中始終應(yīng)遵循如下方面技術(shù)策略及原則。統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一平臺(tái)網(wǎng)絡(luò)的互聯(lián)及互通關(guān)鍵是對(duì)相同標(biāo)準(zhǔn)的遵循，要實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)能融合到一起，實(shí)現(xiàn)數(shù)據(jù)、語(yǔ)音、視頻業(yè)務(wù)的融合，就必須統(tǒng)一標(biāo)準(zhǔn)。從開(kāi)放性、發(fā)展性、成熟性等方面來(lái)看，只有IP技術(shù)才能成為統(tǒng)一平臺(tái)網(wǎng)絡(luò)構(gòu)建的標(biāo)準(zhǔn)。而在具體實(shí)施中，必須統(tǒng)一規(guī)劃IP地址及各種應(yīng)用，采用開(kāi)放的技術(shù)及國(guó)際標(biāo)準(zhǔn)，如路由協(xié)議、安全標(biāo)準(zhǔn)、接入標(biāo)準(zhǔn)和網(wǎng)絡(luò)管理平臺(tái)等，才能保證實(shí)現(xiàn)網(wǎng)絡(luò)的統(tǒng)一，并確保網(wǎng)絡(luò)的可擴(kuò)展性。網(wǎng)絡(luò)分層的原則為減少網(wǎng)絡(luò)中各部分的相關(guān)性，便于網(wǎng)絡(luò)的實(shí)施及管理，在網(wǎng)絡(luò)的構(gòu)建中，從整體上可以將網(wǎng)絡(luò)劃分為核心層、接入層等二個(gè)層次。核心層負(fù)責(zé)完成網(wǎng)絡(luò)各匯聚節(jié)點(diǎn)之間的互聯(lián)及完成高效的數(shù)據(jù)傳輸、交換、轉(zhuǎn)發(fā)及路由分發(fā)。接入層設(shè)備提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)接入到網(wǎng)絡(luò)中，完成基本的業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功能。1.4方案設(shè)計(jì)1.4.1技術(shù)選擇交換以太網(wǎng)技術(shù)交換以太網(wǎng)是近年來(lái)發(fā)展起來(lái)的先進(jìn)網(wǎng)絡(luò)技術(shù)。在保證與以太網(wǎng)協(xié)議兼容的前提下，提高網(wǎng)絡(luò)利用率，減少網(wǎng)絡(luò)資源爭(zhēng)奪造成的沖突，使網(wǎng)絡(luò)性能大幅度提高，以滿足各類數(shù)據(jù)信息傳輸?shù)囊?。交換以太網(wǎng)從產(chǎn)生發(fā)展到今天在技術(shù)上分為兩種：靜態(tài)交換和動(dòng)態(tài)交換。靜態(tài)交換：將網(wǎng)絡(luò)劃分為多個(gè)階段，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管平臺(tái)分配到各個(gè)網(wǎng)段的負(fù)載，即網(wǎng)絡(luò)管理員可以只利用鼠標(biāo)就可將工作站從資源爭(zhēng)奪緊張的網(wǎng)段移到其他沖突較少的網(wǎng)段上。動(dòng)態(tài)交換：動(dòng)態(tài)交換是在高速總線上支持多對(duì)傳輸?shù)耐瑫r(shí)進(jìn)行，它不需人工干預(yù)實(shí)時(shí)地將獨(dú)占帶寬分配給一對(duì)節(jié)點(diǎn)；而其它節(jié)點(diǎn)間也可同時(shí)進(jìn)行數(shù)據(jù)傳輸以獨(dú)占的100M進(jìn)行，就好像在兩個(gè)有數(shù)據(jù)優(yōu)先級(jí)的支持等。快速以太網(wǎng)技術(shù)快速以太網(wǎng)技術(shù)實(shí)際上是100M版本，所以它的運(yùn)行速度要比10M以太網(wǎng)快十倍。在用戶已經(jīng)很熟悉傳統(tǒng)以太網(wǎng)的情況下，快速以太網(wǎng)相對(duì)其他高速網(wǎng)絡(luò)技術(shù)更容易被掌握和應(yīng)用在交換環(huán)境下，提供高帶寬的共享式網(wǎng)絡(luò)或主干連接，同時(shí)也可以應(yīng)用在交換式環(huán)境下，提供優(yōu)異的服務(wù)質(zhì)量（QOS）?？焖僖蕴W(wǎng)與傳統(tǒng)的以太網(wǎng)技術(shù)相似，此外它還具備以下優(yōu)點(diǎn)：快速以太網(wǎng)和普通以太網(wǎng)同樣遵循CSMA/CD協(xié)議，現(xiàn)有的10BaseT網(wǎng)絡(luò)設(shè)備可以相當(dāng)簡(jiǎn)便地升級(jí)到快速以太網(wǎng)，保護(hù)用戶原有的投資，與其他新型網(wǎng)絡(luò)技術(shù)相比，更方便地使現(xiàn)有的10MLAN無(wú)縫連接到期100MLAN上。100BaseT集線器和網(wǎng)絡(luò)接口卡，只需要比10BaseT同樣的設(shè)備多花少量費(fèi)用就可使提供比普通以太網(wǎng)高10倍的性能。因此，100BaseT具備較高的性能價(jià)格比?？焖僖蕴W(wǎng)（100BaseT）已得到IEEE任命標(biāo)準(zhǔn)為802.3U，并得到了所有主流網(wǎng)絡(luò)廠商的支持。1000M千兆以太網(wǎng)1998年6月29日，千兆以太網(wǎng)聯(lián)盟于加利福尼亞PALOALTO正式宣布了千兆以太網(wǎng)標(biāo)準(zhǔn)IEEE802.3Z。這是千兆以太網(wǎng)發(fā)展的里程碑。人們對(duì)千兆以太網(wǎng)技術(shù)給予了充分的重視和信心。簡(jiǎn)單地說(shuō)，這是因?yàn)椤扒д滓蕴W(wǎng)仍然是以太網(wǎng)，只不過(guò)速度更快而已”。這一點(diǎn)是問(wèn)題的關(guān)鍵。由于“千兆以太網(wǎng)仍然是以太網(wǎng)”，因此千兆以太網(wǎng)繼承了10M、100M以太網(wǎng)的特征。由此得出了千兆以太網(wǎng)的以下優(yōu)點(diǎn)：與現(xiàn)有大多數(shù)網(wǎng)絡(luò)設(shè)施的兼容性權(quán)威統(tǒng)計(jì)表明大多數(shù)網(wǎng)絡(luò)都是以太網(wǎng)，因此千兆以太網(wǎng)與現(xiàn)有網(wǎng)絡(luò)具有天然的兼容性。千兆以太網(wǎng)在與10M、100M以太網(wǎng)通信時(shí)不存在需要損失性能的轉(zhuǎn)換操作。簡(jiǎn)便的網(wǎng)絡(luò)升級(jí)操作千兆以太網(wǎng)由于完全與以前的10M、100M以太網(wǎng)兼容。因此，自然簡(jiǎn)便的網(wǎng)絡(luò)升級(jí)使得千兆以太網(wǎng)可以“無(wú)縫”融入現(xiàn)存的以太網(wǎng)環(huán)境中，解決了網(wǎng)絡(luò)管理員所面臨的如何升級(jí)現(xiàn)有網(wǎng)絡(luò)，但不至于造成網(wǎng)絡(luò)癱瘓的問(wèn)題。用戶總是傾向簡(jiǎn)單實(shí)用，厭惡煩瑣復(fù)雜的工作。因?yàn)樯?jí)的挑戰(zhàn)過(guò)程和額外的知識(shí)學(xué)習(xí)并不是用戶建網(wǎng)的目的。技術(shù)的成熟性和穩(wěn)定性以太網(wǎng)技術(shù)是十分成熟的技術(shù)，它所組成系統(tǒng)的可靠性已經(jīng)接近一般的電話通訊系統(tǒng)（我們可以體會(huì)到，電話是不大出錯(cuò)的）?！扒д滓蕴W(wǎng)仍然是以太網(wǎng)”意味著千兆以太網(wǎng)是可以信賴的技術(shù)。總體開(kāi)銷較低總體性的開(kāi)銷是評(píng)價(jià)網(wǎng)絡(luò)技術(shù)重要的因素?？傮w開(kāi)銷不僅包括購(gòu)買(mǎi)設(shè)備的開(kāi)銷，還應(yīng)包括培訓(xùn)、維護(hù)和糾錯(cuò)的開(kāi)銷。而千兆以太網(wǎng)產(chǎn)品能提供較好的性能價(jià)格比。從臺(tái)式機(jī)聯(lián)網(wǎng)的網(wǎng)卡、集線器、交換機(jī)、路由器和其它各種設(shè)備，千兆以太網(wǎng)和其它類似速率的通信技術(shù)比較價(jià)格總是低廉的。并且，由于用戶早已熟悉了以太網(wǎng)技術(shù)，以太網(wǎng)的維護(hù)和糾錯(cuò)手段，因此以太網(wǎng)維護(hù)的開(kāi)銷也較少。從技術(shù)本身的特征分析，千兆以太網(wǎng)的技術(shù)復(fù)雜度也較低。網(wǎng)絡(luò)管理人員不需要記憶很多術(shù)語(yǔ)，不需要經(jīng)過(guò)復(fù)雜的額外培訓(xùn)。靈活的網(wǎng)絡(luò)互聯(lián)和網(wǎng)絡(luò)設(shè)計(jì)千兆以太網(wǎng)可以支持多種交換、路由和共享式方式。所有當(dāng)今的網(wǎng)絡(luò)互聯(lián)技術(shù)，包括第三、四層交換技術(shù)和千兆以太網(wǎng)都是兼容的。千兆以太網(wǎng)性能很高千兆以太網(wǎng)能以千兆線速運(yùn)行。由于多數(shù)千兆以太網(wǎng)使用無(wú)沖突的交換式、全雙工的結(jié)構(gòu)，應(yīng)當(dāng)認(rèn)為此時(shí)的吞吐率將可以接近全雙工的理論上的2Gb/s的最大吞吐量。提供更高等級(jí)的服務(wù)質(zhì)量千兆以太網(wǎng)提供高速連接能力，但本身不提供完整的服務(wù)功能如服務(wù)質(zhì)量（QoS），自動(dòng)冗余容錯(cuò)，或是高層路由功能。這些功能在其它開(kāi)放標(biāo)準(zhǔn)中定義。如同所有的以太網(wǎng)描述，千兆以太網(wǎng)定義OSI協(xié)議模型的數(shù)據(jù)鏈路層（第二層），TCP和IP分別在傳送層（第四層）和網(wǎng)絡(luò)層（第三層）部分中定義，允許在應(yīng)用之間的可靠通信服務(wù)。QoS等問(wèn)題在最初的千兆以太網(wǎng)描述中未曾涉及，但是必須由此類標(biāo)準(zhǔn)的幾種中加以定義。在90年代后期出現(xiàn)的應(yīng)用要求穩(wěn)定的網(wǎng)絡(luò)帶寬、延遲和敏感性。此類的網(wǎng)絡(luò)應(yīng)用包括語(yǔ)音和影像在局域網(wǎng)和廣域網(wǎng)上傳送，組播軟件分發(fā)。相關(guān)的標(biāo)準(zhǔn)化組織針對(duì)此類需求已經(jīng)作出了新的開(kāi)放標(biāo)準(zhǔn)定義如RSVP，IEEE802.1p和IEEE802.1Q標(biāo)準(zhǔn)化小組也正在進(jìn)行各自的工作。作為推薦性的標(biāo)準(zhǔn)，響應(yīng)連接質(zhì)量要求、提供網(wǎng)絡(luò)連接質(zhì)量的RSVP已經(jīng)獲得了業(yè)界的認(rèn)可。為了使RSVP能發(fā)揮作用，為網(wǎng)絡(luò)應(yīng)用提供所要求的持續(xù)質(zhì)量，在客戶和服務(wù)器之間的任何一個(gè)網(wǎng)絡(luò)部件都必須支持RSVP和正常的通信能力。由于在真正獲得服務(wù)質(zhì)量的顯著效果之前需要如此多的網(wǎng)絡(luò)部件支持RSVP，有些廠商開(kāi)發(fā)了一些在某種程度上支持QoS的廠家專有方案。盡管它們可以為用戶提供QoS的效益，但要求網(wǎng)絡(luò)的某些部分是這些廠家所獨(dú)有的。802.1p和802.1Q靠提供一種所謂的“打標(biāo)記”的方式實(shí)現(xiàn)以太網(wǎng)上的服務(wù)質(zhì)量功能。打標(biāo)簽就是在數(shù)據(jù)包上做標(biāo)記，注明該數(shù)據(jù)包所期望的服務(wù)類型或是優(yōu)先級(jí)別。這種標(biāo)記使得應(yīng)用能夠與網(wǎng)絡(luò)互聯(lián)設(shè)備按不同的優(yōu)先級(jí)通信。RSVP可以由將RSVP映射到802.1p服務(wù)級(jí)別的方式實(shí)現(xiàn)。不同的千兆以太網(wǎng)設(shè)備一般只有上述部分標(biāo)準(zhǔn)，這樣可以使以太網(wǎng)連接更有效率，功能較強(qiáng)。但千兆以太網(wǎng)的成功不依賴于標(biāo)準(zhǔn)中的任何一個(gè)。模塊化標(biāo)準(zhǔn)的優(yōu)點(diǎn)是標(biāo)準(zhǔn)的任何部分都可以在市場(chǎng)和和產(chǎn)品質(zhì)量有需求時(shí)進(jìn)行更新。請(qǐng)注意所有這些標(biāo)準(zhǔn)都和快速以太網(wǎng)和10M以太網(wǎng)相匹配，各個(gè)層次的以太網(wǎng)運(yùn)行性能和質(zhì)量都可以從標(biāo)準(zhǔn)化的工作中獲益。千兆以太網(wǎng)的距離千兆以太網(wǎng)標(biāo)準(zhǔn)定義了傳輸距離的三個(gè)特定目標(biāo)：最大距離為550米的多模光纖，最大距離為3千米的單模光纖，最大距離不小于25米、理想為100米的銅線。實(shí)際上CISCO公司已經(jīng)突破了這些距離定義的限制，CISCO公司的千兆以太網(wǎng)傳輸距離已經(jīng)達(dá)到城域網(wǎng)的長(zhǎng)度，并且已經(jīng)利用長(zhǎng)距離的千兆以太網(wǎng)的傳輸手段建設(shè)出了長(zhǎng)達(dá)近百千米的成功城域網(wǎng)范例。這種長(zhǎng)距離的千兆位高速傳輸?shù)慕鉀Q方案引起了人們的極大興趣和關(guān)注。1.4.2主干網(wǎng)絡(luò)的選擇辦公網(wǎng)絡(luò)以星形拓?fù)浣Y(jié)構(gòu)為基礎(chǔ)，采用核心到接入二層網(wǎng)絡(luò)結(jié)構(gòu)。其主干采用千兆以太交換技術(shù)，各桌面系統(tǒng)采用快速以太網(wǎng)技術(shù)。千兆以太網(wǎng)的技術(shù)掌握和操作相對(duì)簡(jiǎn)單,ATM需要掌握大量的相關(guān)知識(shí)，而具備高水平網(wǎng)絡(luò)人才的中國(guó)企業(yè)目前還不多，10G網(wǎng)絡(luò)目前很少商用。千兆以太網(wǎng)因此而獨(dú)具優(yōu)勢(shì)。實(shí)際上對(duì)于企業(yè)網(wǎng)絡(luò)管理人員來(lái)說(shuō)，他們最關(guān)心的是穩(wěn)定可靠的網(wǎng)絡(luò)運(yùn)行。簡(jiǎn)單實(shí)用，避免復(fù)雜的培訓(xùn)和網(wǎng)絡(luò)管理工作，應(yīng)當(dāng)是網(wǎng)管人員的目標(biāo)。以太網(wǎng)從很簡(jiǎn)單的概念中得到效益：網(wǎng)絡(luò)越簡(jiǎn)單就越有用。千兆以太網(wǎng)具有價(jià)格優(yōu)勢(shì)千兆以太網(wǎng)繼承了傳統(tǒng)以太網(wǎng)的主要技術(shù)特征，以太網(wǎng)長(zhǎng)期研發(fā)和生產(chǎn)線經(jīng)驗(yàn)使得千兆以太網(wǎng)的產(chǎn)品具有成熟性和大規(guī)模生產(chǎn)的價(jià)格優(yōu)勢(shì)。從構(gòu)造層次和技術(shù)復(fù)雜性來(lái)說(shuō)，千兆以太網(wǎng)也應(yīng)在價(jià)格上優(yōu)于其它主干方式?？紤]到倍比于設(shè)備開(kāi)銷的維護(hù)管理開(kāi)銷，千兆以太網(wǎng)似乎更應(yīng)勝出一籌。網(wǎng)絡(luò)維護(hù)和管理以太網(wǎng)在管理QoS和VLAN等功能時(shí)會(huì)變得復(fù)雜。但這也是循序漸進(jìn)得學(xué)習(xí)過(guò)程。技術(shù)的穩(wěn)定性“穩(wěn)定性”指技術(shù)的成熟標(biāo)準(zhǔn)和眾多廠家對(duì)該項(xiàng)技術(shù)所達(dá)成的認(rèn)識(shí)一致性?！扒д滓蕴W(wǎng)還是以太網(wǎng)”意味著它基本上是使用多年的成熟技術(shù)，具有很多成熟標(biāo)準(zhǔn)，擁有很多不同廠家的系列兼容產(chǎn)品支持，它們之間的互操作性早已得到證實(shí)?？煽啃院蛷椥钥煽啃院蛷椥苑从沉司W(wǎng)絡(luò)的容錯(cuò)能力和對(duì)變化流量支持能力。性能一些三層交換協(xié)議和基于硬件的線速路由器使得千兆以太網(wǎng)似乎更具優(yōu)越性。目前的千兆位路由交換機(jī)的包處理速度已經(jīng)超過(guò)三千五百萬(wàn)PPS，而轉(zhuǎn)發(fā)不必考慮網(wǎng)絡(luò)邊緣和核心位置。千兆以太網(wǎng)也不是完全沒(méi)有QoS能力。雖然簡(jiǎn)單一些，但是以太網(wǎng)也能提供優(yōu)先級(jí)的控制能力。在辦公網(wǎng)絡(luò)建設(shè)中，除非有條件，有特殊需求和環(huán)境限制，一般在考慮要求較高的主干協(xié)議時(shí)恐怕千兆以太網(wǎng)應(yīng)當(dāng)首先考慮。故在網(wǎng)絡(luò)方案中，選用千兆以太網(wǎng)更為實(shí)際,也更好一些?；谏鲜黾夹g(shù)選擇考慮，民航云南監(jiān)管辦綜合業(yè)務(wù)樓的網(wǎng)絡(luò)建設(shè)滿足如下要求：網(wǎng)絡(luò)中心設(shè)置于業(yè)務(wù)樓4樓，是監(jiān)管辦的數(shù)據(jù)交換中心，數(shù)據(jù)存儲(chǔ)中心，其中配置千兆以太網(wǎng)交換機(jī)，滿足網(wǎng)絡(luò)高速交換和路由需求。高性能服務(wù)器可以通過(guò)千兆網(wǎng)卡接入核心交換機(jī)，提高對(duì)應(yīng)用系統(tǒng)得高速訪問(wèn)。在辦公樓各樓層交換機(jī)采用具有千兆光纖接口的部門(mén)級(jí)接入交換機(jī)，一方面可以通過(guò)交換機(jī)千兆光接口連接到網(wǎng)絡(luò)中心核心交換機(jī)，滿足網(wǎng)絡(luò)帶寬需求，連接方式建議采用冗余鏈路，保證鏈路的可靠性；另一方面通過(guò)100M電接口與桌面應(yīng)用系統(tǒng)連接，保證數(shù)據(jù)高速有效的訪問(wèn)。采用802.1X認(rèn)證手段，提高網(wǎng)絡(luò)安全性。在接入層交換機(jī)采用具有廣播報(bào)文抑制、端口反查等安全手段的二層交換機(jī)。采用網(wǎng)管平臺(tái)和可網(wǎng)管交換機(jī)，滿足網(wǎng)絡(luò)設(shè)備管理需求。網(wǎng)絡(luò)結(jié)構(gòu)采用IP優(yōu)化的星形光纖網(wǎng)絡(luò)結(jié)構(gòu)。骨干層鏈路應(yīng)具備電信級(jí)運(yùn)營(yíng)網(wǎng)絡(luò)所具有的自愈保護(hù)功能，具有提供多層次（物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層）恢復(fù)機(jī)制的能力；帶寬管理支持公平算法、自動(dòng)擁塞避免技術(shù)、負(fù)載均衡技術(shù)。物理網(wǎng)絡(luò)本身支持組播功能。1.4.3網(wǎng)絡(luò)實(shí)現(xiàn)主干網(wǎng)主干網(wǎng)由核心交換機(jī)和接入交換機(jī)組成，考慮到在目前通信條件的成熟和對(duì)性能要求的提高，采用千兆以太網(wǎng)技術(shù)和快速以太網(wǎng)技術(shù)相結(jié)合，網(wǎng)絡(luò)的主干建議采用高性能、高可靠性核心交換機(jī)與分布于各樓層的接入交換機(jī)相連，交換機(jī)之間采用1000M光纖連接。提供多種模塊接口，實(shí)現(xiàn)千兆光纖或千兆以太網(wǎng)電口接入。接入交換機(jī)則選用高性能，通過(guò)一塊千兆光纖模塊實(shí)現(xiàn)網(wǎng)絡(luò)上聯(lián)，通過(guò)24/48口快速以太網(wǎng)接口連接工作站，實(shí)現(xiàn)到桌面的百兆連接。考慮網(wǎng)絡(luò)可靠性要求，我們?cè)诤诵慕粨Q機(jī)上配置有雙主控引擎，雙電源，保證一旦主控引擎失效或設(shè)備升級(jí)，系統(tǒng)快速切換到備用引擎上，實(shí)現(xiàn)業(yè)務(wù)不間斷運(yùn)行網(wǎng)絡(luò)中心機(jī)房配置一臺(tái)千兆接入交換機(jī)，用于數(shù)據(jù)庫(kù)服務(wù)器、Internet服務(wù)器等服務(wù)器連接，可以通過(guò)千兆光接口卡接入核心交換機(jī)的千兆光接口模塊上，這樣可以提供足夠的帶寬，減少由于用戶對(duì)服務(wù)的集中要求所產(chǎn)生的瓶頸。接入網(wǎng)接入網(wǎng)由接入交換機(jī)和面向終端用戶的工作站組成，即將建成的民航云南監(jiān)管辦綜合樓的用戶終端通過(guò)100MUTP與接入交換機(jī)相連形成接入網(wǎng)絡(luò)，各接入網(wǎng)絡(luò)可采用千兆以太網(wǎng)技術(shù)，通過(guò)光纖布線接入位于業(yè)務(wù)樓4樓的網(wǎng)絡(luò)中心核心交換機(jī)上，從而實(shí)現(xiàn)數(shù)據(jù)快速交換及數(shù)據(jù)共享。本設(shè)計(jì)方案具有如下特點(diǎn)：實(shí)用性接入交換機(jī)的端口配置根據(jù)本期工程的工作站接入數(shù)量確定，將來(lái)隨著管理和業(yè)務(wù)系統(tǒng)的應(yīng)用模塊的增加和PC工作站數(shù)量的增加，再增加接入交換機(jī)的數(shù)量，避免了按信息點(diǎn)數(shù)量配置交換機(jī)端口造成的設(shè)備閑置和浪費(fèi)。而且網(wǎng)絡(luò)產(chǎn)品的價(jià)格一直呈下降趨勢(shì)，逐步增加交換機(jī)的數(shù)量可以節(jié)省投資。高速交換局域網(wǎng)主干整個(gè)網(wǎng)絡(luò)主干采用千兆以太網(wǎng)交換技術(shù)，保證了主干的高帶寬，避免了傳統(tǒng)共享網(wǎng)絡(luò)的碰撞問(wèn)題，提高了整個(gè)網(wǎng)絡(luò)系統(tǒng)的性能?？晒芾硇哉麄€(gè)網(wǎng)絡(luò)系統(tǒng)均選用可網(wǎng)管的交換機(jī)，采用統(tǒng)一的網(wǎng)管軟件進(jìn)行統(tǒng)一管理。網(wǎng)管應(yīng)用軟件可運(yùn)行在當(dāng)今所有流行的網(wǎng)管平臺(tái)上，支持全部相關(guān)的SNMP標(biāo)準(zhǔn)，可使用方便直觀的圖形界面進(jìn)行本地和遠(yuǎn)程的網(wǎng)絡(luò)管理和監(jiān)控，故障診斷及排除，網(wǎng)絡(luò)的配置及調(diào)整，VLAN的劃分和管理等，為整個(gè)網(wǎng)絡(luò)系統(tǒng)提供一個(gè)功能強(qiáng)大但又簡(jiǎn)單易用的管理手段。高靈活性和高安全性由于使用了VLAN的劃分技術(shù)，使得網(wǎng)絡(luò)系統(tǒng)的劃分不再受物理連接的限制。并且，在需要變動(dòng)節(jié)點(diǎn)連接時(shí)，不必改變物理線路，而只要通過(guò)在網(wǎng)管軟件上的鼠標(biāo)拖動(dòng)即可完成。同時(shí)，任意兩個(gè)VLAN之間是完全隔離的，如果需要互連則必須通過(guò)三層交換機(jī)進(jìn)行，可以控制對(duì)某些重要資源的訪問(wèn)，大大提高了網(wǎng)絡(luò)系統(tǒng)的內(nèi)部安全性。對(duì)虛擬網(wǎng)（VLAN）標(biāo)準(zhǔn)的支持所有交換機(jī)均能提供虛擬網(wǎng)（VLAN）功能，可以跨越主干網(wǎng)建立虛擬網(wǎng)，支持IEEE802.10虛擬網(wǎng)標(biāo)準(zhǔn)和交換機(jī)間連接協(xié)議（InterSwitchLink-ISL）。虛擬網(wǎng)通過(guò)路由交換模塊連接，實(shí)現(xiàn)第三層交換功能。同時(shí)支持動(dòng)態(tài)VLAN和靜態(tài)VLAN。多協(xié)議支持全面支持TCP/IP、IPX等不同網(wǎng)絡(luò)協(xié)議。安全性支持802.1x認(rèn)證機(jī)制，是接入交換機(jī)端口的用戶安全有效地使用網(wǎng)絡(luò)資源。可以通過(guò)對(duì)數(shù)據(jù)包源地址和目的地址、TCP端口號(hào)等因素進(jìn)行判斷，決定是否轉(zhuǎn)發(fā)，這使得用戶可以通過(guò)配置，屏蔽某些不合法的訪問(wèn)，保證網(wǎng)絡(luò)資源的安全性?？蓴U(kuò)展性充分考慮到未來(lái)的應(yīng)用發(fā)展需求，能夠滿足監(jiān)管辦Internet接入、辦公自動(dòng)化系統(tǒng)應(yīng)用要求?？煽啃钥紤]網(wǎng)絡(luò)可靠性要求，我們?cè)诤诵慕粨Q機(jī)上配置有雙主控引擎，雙電源，保證一旦主控引擎失效或設(shè)備升級(jí)，系統(tǒng)快速切換到備用引擎上，實(shí)現(xiàn)業(yè)務(wù)不間斷運(yùn)行1.4.4網(wǎng)絡(luò)VLAN的劃分隨著網(wǎng)絡(luò)系統(tǒng)建設(shè)起來(lái)后，為了優(yōu)化網(wǎng)絡(luò)信息流量的需要，保證網(wǎng)絡(luò)可靠穩(wěn)定運(yùn)行，有必要在局域網(wǎng)范圍內(nèi)劃分多個(gè)網(wǎng)上工作組，及虛擬局域網(wǎng)（VLAN）。在我們的網(wǎng)絡(luò)設(shè)計(jì)中，所有的主干網(wǎng)絡(luò)設(shè)備和工作組交換機(jī)均支持VLAN的劃分，因此可以實(shí)現(xiàn)上述要求。網(wǎng)絡(luò)VLAN的劃分在實(shí)際中一般有基于IP或端口、MAC的劃分等多種。實(shí)際VLAN如何劃分在具體實(shí)施時(shí)我們將同用戶共同分析設(shè)計(jì)。基于MAC地址的VLAN劃分的好處是MAC地址是固化在計(jì)算機(jī)中的，因此基于MAC劃分好VLAN以后，這個(gè)工作組的成員就固定在對(duì)應(yīng)的計(jì)算機(jī)上，可以隨便移動(dòng)位置而不能由使用人員或非法人員隨意更改或冒充。這種方式安全性好，但由于其配置、實(shí)施不靈活而很少在大型網(wǎng)絡(luò)中應(yīng)用?；诙丝诘腣LAN劃分可以劃分到每一個(gè)交換機(jī)端口。所有連接到同一端口的計(jì)算機(jī)（如同一部門(mén)人員）都被劃分到該端口所在的VLAN中，這樣，VLAN的成員不容易控制，安全性較差一些。另外，由于同一端口只能劃分到一個(gè)VLAN中，因此在復(fù)雜的網(wǎng)絡(luò)中靈活性較差，我們建議在本方案中根據(jù)實(shí)際需要適當(dāng)采用?；贗P的VLAN劃分是很靈活和常用的方式。它將網(wǎng)絡(luò)中不同IP地址劃分到同一VLAN中，同一子網(wǎng)的計(jì)算機(jī)在同一VLAN中直接交換（不同子網(wǎng)IP的交換通過(guò)3層交換機(jī)），VLAN間的交換通過(guò)3層交換機(jī)來(lái)實(shí)現(xiàn)。由于計(jì)算機(jī)IP可以更改，就可能有冒充組員的情況發(fā)生。這種情況可通過(guò)用戶的認(rèn)證和授權(quán)等手段來(lái)保證安全性。另外，計(jì)算機(jī)IP的可移動(dòng)性和同一IP可以被劃分到多個(gè)VLAN的特點(diǎn)為基于IP的VLAN劃分帶來(lái)了極大的靈活性。這種VLAN的劃分在不同的網(wǎng)絡(luò)中被廣泛使用。VLAN的劃分可以在網(wǎng)管平臺(tái)上實(shí)現(xiàn)?？紤]辦公網(wǎng)絡(luò)規(guī)模，應(yīng)用需求等因素，建議采用IP子網(wǎng)與端口混合方式劃分VLAN，各IP子網(wǎng)可以通過(guò)核心交換機(jī)三層交換引擎進(jìn)行路由通信，保證數(shù)據(jù)共享及傳輸。1.4.5遠(yuǎn)程連入辦公網(wǎng)設(shè)計(jì)（VPN接入）根據(jù)民航云南監(jiān)管辦的實(shí)際情況，為了實(shí)現(xiàn)與下級(jí)監(jiān)管部門(mén)的信息共享和業(yè)務(wù)溝通，建議采用性價(jià)比較優(yōu)的VPN連接方式，實(shí)現(xiàn)這異地之間的互聯(lián)。VPN（虛擬專網(wǎng)）是指依靠電信Internet寬帶網(wǎng)絡(luò)建立本單位或SOHO遠(yuǎn)程接入的技術(shù)。VPN沒(méi)有傳統(tǒng)專用網(wǎng)絡(luò)（如DDN和幀中繼）的兩個(gè)結(jié)點(diǎn)間的端到端物理鏈路，卻能實(shí)現(xiàn)專用網(wǎng)絡(luò)的功能。具有明顯的優(yōu)點(diǎn)：組網(wǎng)設(shè)備費(fèi)用低。通過(guò)寬帶上網(wǎng)、撥號(hào)上網(wǎng)、ISDN等接入Internet的各地局域網(wǎng)之間實(shí)現(xiàn)互聯(lián)，不需要租用昂貴的專線，如DDN、幀中繼。只需支付Internet上網(wǎng)費(fèi)用，甚至可以共享現(xiàn)有的Internet上網(wǎng)資源。在相同的通訊帶寬下，節(jié)省80%的通訊費(fèi)。通過(guò)寬帶上網(wǎng)連接的VPN，帶寬能滿足多數(shù)教師傳輸數(shù)據(jù)、聲音、圖像的要求。節(jié)省網(wǎng)絡(luò)設(shè)備運(yùn)行和維護(hù)費(fèi)。連接快速、簡(jiǎn)便和簡(jiǎn)化WAN連接管理。連網(wǎng)方式安全可靠。1.4.6網(wǎng)絡(luò)管理網(wǎng)絡(luò)管理軟件是針對(duì)數(shù)據(jù)通信設(shè)備如路由器、交換機(jī)、視訊等進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層次，能夠?qū)崿F(xiàn)網(wǎng)元管理和網(wǎng)絡(luò)管理的功能。它與網(wǎng)絡(luò)設(shè)備產(chǎn)品一起提供全網(wǎng)解決方案，對(duì)數(shù)據(jù)通信設(shè)備的維護(hù)和網(wǎng)絡(luò)管理提供支持，并提供對(duì)設(shè)備性能進(jìn)行適時(shí)量化監(jiān)控。作為數(shù)據(jù)通信網(wǎng)管整體解決方案之一，網(wǎng)絡(luò)管理軟件為用戶提供了靈活的組件化結(jié)構(gòu)，包括網(wǎng)元管理平臺(tái)、廣域網(wǎng)管理系統(tǒng)、局域網(wǎng)管理系統(tǒng)、網(wǎng)絡(luò)管理工具、多媒體管理系統(tǒng)等，用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)”。網(wǎng)絡(luò)管理軟件使用靈活的組件技術(shù)，支持多種操作平臺(tái)，并能夠與多種通用網(wǎng)管平臺(tái)集成，實(shí)現(xiàn)從設(shè)備級(jí)到網(wǎng)絡(luò)級(jí)全方位的網(wǎng)絡(luò)管理，支持民航云南監(jiān)管辦網(wǎng)絡(luò)拓?fù)浜蛻?yīng)用系統(tǒng)運(yùn)行。網(wǎng)絡(luò)集中監(jiān)視網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。全網(wǎng)設(shè)備的統(tǒng)一拓?fù)湟晥D拓?fù)渥詣?dòng)發(fā)現(xiàn)，拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)刷新可視化操作方式：拓?fù)湟晥D節(jié)點(diǎn)直接點(diǎn)擊進(jìn)入設(shè)備操作面板在網(wǎng)絡(luò)、設(shè)備狀態(tài)改變時(shí)，改變節(jié)點(diǎn)顏色，提示用戶對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行定時(shí)（輪詢間隔時(shí)間可配置）的輪循監(jiān)視和狀態(tài)刷新并表現(xiàn)在網(wǎng)絡(luò)視圖上支持拓?fù)溥^(guò)濾，讓用戶關(guān)注所關(guān)心的網(wǎng)絡(luò)設(shè)備情況支持快速查找拓?fù)鋵?duì)象，并在導(dǎo)航樹(shù)和拓?fù)湟晥D中定位該拓?fù)鋵?duì)象故障管理故障管理主要功能是對(duì)全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。告警實(shí)時(shí)監(jiān)視，提供告警聲光提示，支持外接告警箱支持告警轉(zhuǎn)到Email、手機(jī)短信支持告警過(guò)濾，讓用戶關(guān)注重要的告警，查詢結(jié)果可生成報(bào)表支持告警基級(jí)別重新定義，支持告警轉(zhuǎn)存，保證系統(tǒng)的運(yùn)行效率和穩(wěn)定性支持告警拓?fù)涠ㄎ?，將顯示的焦點(diǎn)定位到產(chǎn)生選定告警的拓?fù)鋵?duì)象支持告警相關(guān)性分析，包括屏蔽重復(fù)告警、屏蔽閃斷告警、屏蔽root-cause告警等集群管理針對(duì)大量二層交換機(jī)等低端設(shè)備的應(yīng)用環(huán)境，網(wǎng)絡(luò)管理軟件提供集群管理功能，通過(guò)一個(gè)指定公網(wǎng)IP的設(shè)備（稱作命令交換機(jī)）對(duì)網(wǎng)絡(luò)進(jìn)行管理。實(shí)現(xiàn)對(duì)一組設(shè)備統(tǒng)一、集中、批量配置管理；實(shí)現(xiàn)設(shè)備的集中維護(hù)管理；網(wǎng)絡(luò)拓?fù)湫畔⒆詣?dòng)收集、維護(hù)，動(dòng)態(tài)更新；節(jié)省公網(wǎng)IP地址資源；實(shí)現(xiàn)方便的軟件升級(jí)、配置數(shù)據(jù)備份、配置數(shù)據(jù)恢復(fù)；堆疊管理堆疊是由一組交換機(jī)組成的一個(gè)管理域，其中包括一個(gè)主交換機(jī)和若干個(gè)堆疊成員交換機(jī)（從交換機(jī)），利用一個(gè)公有IP地址可以實(shí)現(xiàn)堆疊內(nèi)所有交換機(jī)的管理。網(wǎng)絡(luò)管理軟件通過(guò)堆疊管理，可以集中管理較大量的低端設(shè)備，并且為用戶提供統(tǒng)一的網(wǎng)管界面，方便用戶對(duì)大量設(shè)備的統(tǒng)一管理維護(hù)。其中，主交換機(jī)提供了對(duì)整個(gè)堆疊的管理接口：主交換機(jī)在從交換機(jī)加入堆疊時(shí)，自動(dòng)給從交換機(jī)分配可用的IP地址，網(wǎng)管站通過(guò)此IP地址實(shí)現(xiàn)對(duì)從交換機(jī)的管理和維護(hù)。流量性能監(jiān)控網(wǎng)絡(luò)管理軟件可以統(tǒng)計(jì)不同線路的利用情況，不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。網(wǎng)絡(luò)管理軟件提出了層次化性能監(jiān)控的概念，針對(duì)不同的側(cè)重點(diǎn)，提供不同的性能監(jiān)控工具。網(wǎng)絡(luò)管理軟件提供流量檢測(cè)工具，能夠檢測(cè)網(wǎng)絡(luò)設(shè)備端口流量變化，它使得網(wǎng)絡(luò)管理者能夠直觀地觀測(cè)設(shè)備流量的變化，從而對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行有效的管理。針對(duì)用戶關(guān)注的業(yè)務(wù)性能，網(wǎng)絡(luò)管理軟件提供了基于報(bào)文流七元組信息的流量工具——NSC&NDA，它是網(wǎng)流的收集和分析工具。其中，網(wǎng)流收集器提供快速的網(wǎng)流設(shè)備數(shù)據(jù)收集工具，包含的功能：收集多個(gè)網(wǎng)流設(shè)備輸出的網(wǎng)流統(tǒng)計(jì)數(shù)據(jù)；通過(guò)配置過(guò)濾器過(guò)濾掉不必要的數(shù)據(jù)；通過(guò)聚合減少統(tǒng)計(jì)數(shù)據(jù)的磁盤(pán)空間占用量；分層次存儲(chǔ)數(shù)據(jù)（便于客戶端應(yīng)用程序獲取數(shù)據(jù)）；網(wǎng)流數(shù)據(jù)分析器（NDA，NetStreamDataAnalyzer）可以分析由NSC生成的所有數(shù)據(jù)文件，對(duì)數(shù)據(jù)文件中的數(shù)據(jù)進(jìn)行進(jìn)一步的聚合、排序，并將分析的結(jié)果以各種圖形方式（如柱狀圖、餅圖和趨勢(shì)圖等）顯示出來(lái)，提供如下功能：詳細(xì)自治域矩陣數(shù)據(jù)查詢功能網(wǎng)流分布的圖形化分析詳細(xì)自治域矩陣流量分析功能故障定位與地址反查針對(duì)最為常見(jiàn)的端口故障，網(wǎng)絡(luò)管理軟件提供了便捷的定位檢測(cè)工具——路徑跟蹤和端口環(huán)回測(cè)試；當(dāng)用戶報(bào)告網(wǎng)絡(luò)端口使用異常時(shí)，網(wǎng)絡(luò)管理員可以通過(guò)網(wǎng)管對(duì)指定用戶端口做環(huán)回測(cè)試，直接定位端口故障。為了網(wǎng)管工作自動(dòng)化，網(wǎng)絡(luò)設(shè)備內(nèi)嵌智能Agent，對(duì)需要經(jīng)過(guò)復(fù)雜計(jì)算的性能數(shù)據(jù)主動(dòng)進(jìn)行監(jiān)視，在超出閾值時(shí)自動(dòng)上報(bào)告警，并轉(zhuǎn)發(fā)到Email、BP、手機(jī)短信及時(shí)通知網(wǎng)絡(luò)管理員，讓網(wǎng)絡(luò)管理員隨時(shí)隨地監(jiān)控網(wǎng)絡(luò)運(yùn)行狀況。端口反查功能支持兩種方式的查找定位功能：MAC地址端口反查和IP地址端口反查，使用時(shí)分別輸入終端用戶的MAC地址或IP地址，能夠定位該終端用戶連接的交換機(jī)及交換機(jī)的端口，幫助網(wǎng)絡(luò)管理員及早定位非法報(bào)文接入網(wǎng)絡(luò)的原始端口，及時(shí)關(guān)閉端口，防止一些違規(guī)用戶進(jìn)行非法操作比如濫發(fā)報(bào)文、訪問(wèn)非法站點(diǎn)等，危害網(wǎng)絡(luò)安全。Web特性提供Web特性，具有完善的安全機(jī)制，用戶可隨時(shí)隨地管理網(wǎng)絡(luò)，降低管理網(wǎng)絡(luò)的難度與強(qiáng)度，使網(wǎng)絡(luò)運(yùn)維過(guò)程流程化，能夠靈活地組織設(shè)備集合，快捷地獲得設(shè)備各類信息。提供設(shè)備日志分析工具，使用戶及時(shí)了解網(wǎng)絡(luò)中設(shè)備運(yùn)行狀況。通過(guò)定期輪詢機(jī)制，幫助用戶及時(shí)了解網(wǎng)絡(luò)關(guān)鍵設(shè)備的在線情況。提供批量配置功能，將用戶從煩瑣，重復(fù)的配置工作中解脫。提供設(shè)備配置文件管理功能，幫助用戶建立配置文件版本管理機(jī)制，減少災(zāi)難情況下網(wǎng)絡(luò)的恢復(fù)時(shí)間。具有完善的報(bào)表功能，讓用戶對(duì)網(wǎng)絡(luò)運(yùn)行情況一目了然。提供統(tǒng)一的任務(wù)機(jī)制，使用戶對(duì)網(wǎng)絡(luò)運(yùn)維管理能夠統(tǒng)一流程。1.4.7服務(wù)質(zhì)量(QoS)的實(shí)施隨著辦公業(yè)務(wù)系統(tǒng)使用等各種在某段時(shí)間內(nèi)持續(xù)高帶寬低延時(shí)的應(yīng)用的開(kāi)展，網(wǎng)絡(luò)流量的復(fù)雜化，IP交換技術(shù)的發(fā)展，二層、三層交換技術(shù)在保障網(wǎng)絡(luò)應(yīng)用的服務(wù)質(zhì)量QoS，避免網(wǎng)絡(luò)擁塞上可以起到不可缺少的作用。概括而言，QoS主要包括數(shù)據(jù)智能分類技術(shù)，擁塞控制技術(shù)兩大方面，一般在網(wǎng)絡(luò)中采用以下步驟實(shí)現(xiàn)服務(wù)質(zhì)量：在接入層交換機(jī)中對(duì)進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)的基本分類或根據(jù)交換機(jī)設(shè)定來(lái)進(jìn)行重分類（Reclassify），同時(shí)對(duì)網(wǎng)絡(luò)的流量采用監(jiān)控(Policing)，避免由于客戶設(shè)備故障或病毒產(chǎn)生的過(guò)度流量，然后根據(jù)監(jiān)控決策結(jié)果來(lái)將這些流量放入相應(yīng)的上聯(lián)端口的隊(duì)列，然后在此端口上采用加權(quán)算法來(lái)對(duì)該端口出去的流量進(jìn)行擁塞控制(SchedulingCongestionControl)，確保在接入層上關(guān)鍵數(shù)據(jù)流量的服務(wù)質(zhì)量，在這些數(shù)據(jù)的處理過(guò)程中，同時(shí)完成了第二層以太網(wǎng)幀中CoS值和IP包中的TOS值或DSCP值的映射，TOS或DSCP值決定了IP報(bào)文的優(yōu)先級(jí)別，而TOS或DSCP值在經(jīng)過(guò)IP路由器默認(rèn)情況下其值不會(huì)改變，從而能夠提供跨全網(wǎng)的端到端的QoS。核心三層交換機(jī)在收到了從接入層交換機(jī)上傳來(lái)的數(shù)據(jù)包，它開(kāi)始正式對(duì)其第三層IP數(shù)據(jù)包進(jìn)行分析，首先根據(jù)IP地址信息可以選擇不同的轉(zhuǎn)發(fā)鏈路，在選擇了相應(yīng)的鏈路后，這時(shí)候核心三層交換機(jī)在這些鏈路上對(duì)流量的擁塞不再是依據(jù)以太網(wǎng)幀中的CoS，而是依據(jù)在接入層交換中以及完成賦值的TOS或DSCP，分布層交換機(jī)可以根據(jù)這些值可以對(duì)網(wǎng)絡(luò)中的流量進(jìn)行更細(xì)致的劃分，保證關(guān)鍵流量將根據(jù)其各自的優(yōu)先權(quán)進(jìn)入網(wǎng)絡(luò)核心。從上述技術(shù)分析來(lái)看，實(shí)施時(shí)技術(shù)要求較高，要求在實(shí)施前對(duì)網(wǎng)絡(luò)應(yīng)用模式和具體需要進(jìn)行詳細(xì)分析，然后合理的規(guī)劃采用連接協(xié)議及QoS控制方式，使網(wǎng)絡(luò)在滿足需求的前提下趨于最高性能和可靠性。具體實(shí)現(xiàn)的技術(shù)方案：在具有多媒體業(yè)務(wù)需求的接入層交換機(jī)上需要支持提供完善的LAN邊緣QoS，即所有的交換機(jī)支持兩種模式的重新分類方法。一種模式基于IEEE802.1p標(biāo)準(zhǔn)，遵從接入點(diǎn)的服務(wù)等級(jí)（CoS）值并把數(shù)據(jù)包分配到合適的隊(duì)列中。第二種模式，數(shù)據(jù)包根據(jù)由網(wǎng)絡(luò)管理員分配給接入端口的缺省CoS值來(lái)進(jìn)行重新分類。如果到達(dá)的幀沒(méi)有CoS值(如未做標(biāo)記的幀)，接入交換機(jī)就根據(jù)網(wǎng)絡(luò)管理員分配給每個(gè)端口的缺省CoS值來(lái)進(jìn)行分類。一旦數(shù)據(jù)幀使用上面所說(shuō)的兩種模式分類或重新分類后，即被分配到最合適的輸出隊(duì)列中去。交換機(jī)支持四種輸出隊(duì)列，使網(wǎng)絡(luò)管理員在為L(zhǎng)AN流量的各種應(yīng)用指定優(yōu)先權(quán)時(shí)更加容易區(qū)分和有針對(duì)性。嚴(yán)格的優(yōu)先權(quán)分配可以保證諸如語(yǔ)音等時(shí)間敏感的應(yīng)用在通過(guò)交換結(jié)構(gòu)時(shí)一直使用高速路徑。另外，另一種重要的增強(qiáng)措施即加權(quán)循環(huán)（WRR）策略也能保證低優(yōu)先級(jí)的負(fù)載在沒(méi)有被網(wǎng)絡(luò)管理員進(jìn)行優(yōu)先級(jí)配置的情況下，能夠得到重視。這些特性使網(wǎng)絡(luò)管理員可以把關(guān)鍵任務(wù)和時(shí)間敏感的流量，如視頻（視頻會(huì)議，視頻監(jiān)控等）、語(yǔ)音（IP電話流量）和CAD/CAM，優(yōu)于低時(shí)間敏感的應(yīng)用如FTP或e-mail（SMTP）等來(lái)設(shè)置更高級(jí)別的優(yōu)先權(quán)。1.5網(wǎng)絡(luò)防病毒系統(tǒng)1.1.1企業(yè)網(wǎng)絡(luò)防病毒解決方案考慮的幾個(gè)因素一個(gè)實(shí)用可行的企業(yè)級(jí)網(wǎng)絡(luò)防病毒解決方案應(yīng)該能夠在整個(gè)網(wǎng)絡(luò)中只要有可能感染和傳播病毒的地方都應(yīng)該有相應(yīng)的解決方案，防止病毒的入侵和傳播，確保網(wǎng)絡(luò)的安全，因此，在選擇企業(yè)級(jí)網(wǎng)絡(luò)防病毒解決方案時(shí)主要應(yīng)考慮以下幾個(gè)問(wèn)題:提供一個(gè)多層次、全方位的防病毒體系。而不僅僅是幾套防病毒軟件，同時(shí)具有跨平臺(tái)的技術(shù)及強(qiáng)大功能，也就是說(shuō)，在網(wǎng)絡(luò)的每一個(gè)層次包括網(wǎng)關(guān)一級(jí)、群件服務(wù)器一級(jí)、服務(wù)器一級(jí)、客戶端一級(jí)以及各種平臺(tái)下都應(yīng)有相應(yīng)的解決方案。在這個(gè)防病毒體系中應(yīng)該具有簡(jiǎn)易的、統(tǒng)一的、集中的、智能的和自動(dòng)化的管理手段和管理工具。包括客戶端自動(dòng)化的安裝、維護(hù)、配置、病毒定義碼和掃描引擎的升級(jí)、定時(shí)調(diào)度、實(shí)時(shí)防護(hù)等。盡量使防病毒的管理簡(jiǎn)單易行。能夠有效防范各種混合型的威脅。如類似“尼姆達(dá)”、“紅色代碼”、“求職信”、“Blaster”這種利用系統(tǒng)、應(yīng)用或服務(wù)的漏洞進(jìn)行傳播、感染和攻擊的病毒。提供有效直觀的管理機(jī)制。如可以根據(jù)企業(yè)的網(wǎng)絡(luò)分類或組織結(jié)構(gòu)來(lái)劃分防病毒組，方便管理。如可以針對(duì)管理員、市場(chǎng)部、工程部等不同的部門(mén)劃分不同的管理組，針對(duì)這些組可以根據(jù)需要配置不同的防病毒策略。通過(guò)管理中心可以及時(shí)了解整個(gè)網(wǎng)絡(luò)中客戶端防病毒軟件的安裝使用情況。如客戶端是否安裝了防病毒軟件、安裝了什么防病毒軟件，客戶端是否更新了最新的病毒定義碼和掃描引擎的情況。采用先進(jìn)的防病毒技術(shù)。能夠有效的查殺各種多態(tài)病毒和未知病毒集中和方便地進(jìn)行病毒定義碼和掃描引擎的更新。尤其是能否及時(shí)對(duì)掃描引擎更新尤為重要，由于在一個(gè)防病毒軟件中，主要靠掃描引擎來(lái)清除病毒，因此能否方便、快捷地升級(jí)掃描引擎直接影響到防病毒體系的防毒能力。方便、全面、友好的病毒警報(bào)和報(bào)表系統(tǒng)管理機(jī)制。病毒防護(hù)自動(dòng)化服務(wù)機(jī)制。防病毒管理策略的強(qiáng)制定義和執(zhí)行。它可以確?？蛻舳瞬粫?huì)因?yàn)槿藶橐蛩囟斐煞啦《静呗缘母?、破壞等。合理的預(yù)算規(guī)劃和低廉的總擁有成本。良好的服務(wù)與強(qiáng)大支持。緊急處理能力和對(duì)新病毒具有最快的響應(yīng)速度。由于病毒總是先出現(xiàn)，因此對(duì)于這些新出現(xiàn)的病毒，防病毒體系是否具有足夠強(qiáng)的緊急處理能力和快速的響應(yīng)速度，從而確保在新病毒出現(xiàn)時(shí)，系統(tǒng)不受其影響，或盡量少地受其影響。安裝完防病毒軟件后對(duì)現(xiàn)有系統(tǒng)和應(yīng)用造成影響。1.1.2系統(tǒng)規(guī)劃建議：統(tǒng)一管理、集中監(jiān)控：主要指的是由信息中心進(jìn)行集中監(jiān)管，包括：由信息中心根據(jù)各部門(mén)的具體情況統(tǒng)一制定相應(yīng)的防病毒策略和實(shí)施計(jì)劃。信息中心負(fù)責(zé)全網(wǎng)的病毒定義碼、掃描引引擎和軟件修正的升級(jí)工作，并將升級(jí)文件自動(dòng)逐級(jí)分發(fā)至各部門(mén)的防病毒客戶端。信息中心負(fù)責(zé)各部門(mén)被隔離文件的提交和返回相應(yīng)的病毒定義碼和掃描引擎。建立統(tǒng)一的、分級(jí)管理的病毒管理報(bào)告體系：內(nèi)部建立統(tǒng)一的病毒事件管理和報(bào)告機(jī)制，用于統(tǒng)一存儲(chǔ)、統(tǒng)計(jì)報(bào)告在明信公證處網(wǎng)絡(luò)發(fā)生的病毒事件，以便及時(shí)了解全網(wǎng)的病毒事件、病毒的發(fā)作情況、病毒的類型情況、在什么地方、什么時(shí)候感染了什么病毒。同時(shí)該病毒事件管理中心可以根據(jù)以后的安全需求擴(kuò)展成為安全事件管理和響應(yīng)中心。如現(xiàn)在或以后公司可能需要部署其他的安全產(chǎn)品如防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)等，可以通過(guò)安全管理中心來(lái)集中收集、存儲(chǔ)、分類、關(guān)聯(lián)來(lái)自其他安全產(chǎn)品的安全事件，從而是安全管理員在一個(gè)地方就可以了解到全網(wǎng)發(fā)生的所有安全事件，并采取相應(yīng)的響應(yīng)措施，如圖所示安全事件集中管理和響應(yīng)中心下圖是一個(gè)病毒事件報(bào)警的實(shí)例，根據(jù)需要可以產(chǎn)生各種各樣的圖形化報(bào)告，或圖文混排的報(bào)表格式。病毒事件（安全事件）統(tǒng)計(jì)報(bào)告格式1.1.3部署全面的防病毒軟件建議采用“縱深”防御的措施，即考慮在整個(gè)網(wǎng)絡(luò)中只要有可能感染和傳播病毒的地方都應(yīng)該采取相應(yīng)的防病毒手段，安裝相應(yīng)的防病毒軟件。針對(duì)明信公證處的具體情況，主要考慮服務(wù)器的病毒防護(hù)以及客戶端病毒防護(hù)，其中在對(duì)服務(wù)器的病毒防護(hù)上，主要考慮針對(duì)明信公證處內(nèi)聯(lián)網(wǎng)內(nèi)部WindowsNT/2000服務(wù)器的病毒防護(hù)：部署服務(wù)器級(jí)防病毒在服務(wù)器系統(tǒng)的防病毒保護(hù)上，根據(jù)明信公證處網(wǎng)絡(luò)的具體情況，我們主要考慮針對(duì)WindowsNT/2000/2003服務(wù)器的防病毒保護(hù)。建議安裝卡巴斯基網(wǎng)絡(luò)版防病毒系統(tǒng)服務(wù)器端，保護(hù)系統(tǒng)、磁盤(pán)、可移動(dòng)磁盤(pán)、光盤(pán)以及調(diào)制解調(diào)器連接所收發(fā)的文件等免受病毒的感染，部署安裝4臺(tái)應(yīng)用服務(wù)器。部署客戶端級(jí)防病毒在客戶端一級(jí)，根據(jù)明信公證處司的具體情況和客戶端的操作系統(tǒng)類型，分別安裝卡巴斯基網(wǎng)絡(luò)版防病毒系統(tǒng)客戶端實(shí)現(xiàn)對(duì)Windows9X/NT/ME/2000/XP/VISITA等操作系統(tǒng)監(jiān)控，實(shí)現(xiàn)對(duì)系統(tǒng)、磁盤(pán)、可移動(dòng)磁盤(pán)、光盤(pán)以及調(diào)制解調(diào)器連接所收發(fā)文件的病毒防護(hù)。部署客戶端軟件151個(gè)用戶許可。1.1.4病毒定義碼、掃描引擎和軟件修正的升級(jí)方式根據(jù)明信公證處網(wǎng)絡(luò)的結(jié)構(gòu)，考慮到安全的需求，同時(shí)也是便于管理，我們建議在明信公證處網(wǎng)絡(luò)內(nèi)采用級(jí)服務(wù)器升級(jí)的結(jié)構(gòu)，即：配置一臺(tái)服務(wù)器作為網(wǎng)絡(luò)版防病毒服務(wù)器，安裝服務(wù)器端，通過(guò)服務(wù)器端定制升級(jí)策略和更新策略，首先升級(jí)網(wǎng)絡(luò)中心防病毒服務(wù)器的病毒定義碼、掃描引擎和軟件修正。根據(jù)實(shí)際情況可以配置網(wǎng)絡(luò)中心防病毒毒服務(wù)器自動(dòng)或手動(dòng)通過(guò)Internet到卡巴斯基網(wǎng)站升級(jí)最新的病毒定義碼和掃描引擎。打開(kāi)允許應(yīng)用服務(wù)器客戶端和PC客戶端自行升級(jí)功能允許客戶端自行升級(jí)，同時(shí)設(shè)置客戶端的自動(dòng)調(diào)度功能，以使客戶端在脫離服務(wù)器的情況下能自動(dòng)進(jìn)行升級(jí)。允許遠(yuǎn)程客戶端實(shí)現(xiàn)增量、間斷升級(jí)。卡巴斯基允許遠(yuǎn)程客戶端在連接的時(shí)候自動(dòng)檢測(cè)本機(jī)的病毒更新，并且實(shí)現(xiàn)病毒定義的自動(dòng)、增量的更新，同時(shí)支持?jǐn)帱c(diǎn)升級(jí)模式。采用這種升級(jí)方式，一方面可以確保明信公證處整個(gè)網(wǎng)絡(luò)內(nèi)的病毒定義碼和掃描引擎的更新基本保持同步。另一方面，由于整個(gè)網(wǎng)絡(luò)的病毒定義碼和掃描引擎的更新、升級(jí)自動(dòng)完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中某些機(jī)器或某個(gè)網(wǎng)絡(luò)因?yàn)闆](méi)有及時(shí)更新最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力，同時(shí)也避免了各機(jī)構(gòu)自行到Internet升級(jí)而帶來(lái)的不便和安全隱患。1.1.5緊急處理措施和對(duì)新病毒的響應(yīng)方式針對(duì)未知病毒的處理響應(yīng)措施，可以通過(guò)卡巴斯基的數(shù)字免疫系統(tǒng)來(lái)自動(dòng)、快速完成。當(dāng)各網(wǎng)絡(luò)中某個(gè)或某些客戶端發(fā)現(xiàn)有新病毒出現(xiàn)，而防病毒軟件無(wú)法清除時(shí)，客戶端會(huì)通過(guò)隔離技術(shù)首先在本地把被感染的文件隔離，首先保證病毒不會(huì)發(fā)作，同時(shí)在本地做備份（取決于管理員的設(shè)置），然后再做一份拷貝，自動(dòng)傳送到局域網(wǎng)內(nèi)的隔離區(qū)服務(wù)器，由隔離區(qū)服務(wù)器自動(dòng)傳至卡巴斯基的病毒相應(yīng)網(wǎng)關(guān)。網(wǎng)關(guān)會(huì)根據(jù)當(dāng)時(shí)的病毒定義碼情況在幾秒鐘、幾分鐘、幾十分鐘、幾小時(shí)或48小時(shí)內(nèi)返回針對(duì)該病毒的解決方案，當(dāng)返回相應(yīng)的病毒定義碼和掃描引擎后，可以通過(guò)預(yù)先的設(shè)置，把最新的病毒定義碼和掃描引擎自動(dòng)安裝到全行的所有防病毒服務(wù)器和發(fā)現(xiàn)病毒的那臺(tái)計(jì)算機(jī)上，同時(shí)也可以安裝到指定的幾臺(tái)或一臺(tái)防病毒服務(wù)器上。1.1.6病毒報(bào)警、綜合日志分析及報(bào)表功能當(dāng)網(wǎng)絡(luò)中檢測(cè)到病毒時(shí)，防病毒軟件除了會(huì)進(jìn)行相應(yīng)的處理外，還可以通過(guò)多種方式通知給管理員，通過(guò)卡巴斯基的報(bào)警管理系統(tǒng)（KAM），可以通過(guò)如電子郵件方式、傳送警報(bào)窗口、采用BP機(jī)方式、發(fā)送SNMP陷阱等方式把病毒發(fā)作和感染的情況通知管理員。病毒的信息可以記錄出現(xiàn)病毒的時(shí)間、計(jì)算機(jī)的名稱、IP地址、用戶名情況、感染情況、處理情況、感染病毒文件的名稱和位置等。管理員可以把傳上來(lái)得病毒信息按病毒名稱、日期、用戶名、計(jì)算機(jī)名、病毒類型、時(shí)間段等關(guān)鍵字形成報(bào)表，同時(shí)也可以通過(guò)卡巴斯基提供的統(tǒng)一安全管理平臺(tái)生成圖形化的報(bào)告。1.1.7安裝完防病毒軟件后對(duì)現(xiàn)有系統(tǒng)和應(yīng)用的影響卡巴斯基防病毒軟件對(duì)現(xiàn)有系統(tǒng)正常使用不會(huì)有任何影響。同時(shí)卡巴斯基防病毒軟件全部是簡(jiǎn)體中文版，便于管理員管理和客戶端使用。1.6防火墻安全設(shè)定服務(wù)應(yīng)用的限定通過(guò)設(shè)置與服務(wù)應(yīng)用相對(duì)應(yīng)的TCP、UDP端口號(hào)，并規(guī)定網(wǎng)絡(luò)訪問(wèn)規(guī)則，使正常的服務(wù)應(yīng)用（如HTTP80端口）得以進(jìn)行，而對(duì)于有害的或不安全的服務(wù)應(yīng)用（如137NETBIOS_NS，如果開(kāi)放，容易受到尼姆達(dá)等病毒入侵）得以屏蔽，減少服務(wù)器或工作站被侵害的危險(xiǎn)。網(wǎng)絡(luò)訪問(wèn)規(guī)則的設(shè)定防火墻可以通過(guò)設(shè)置ACL（訪問(wèn)控制列表）來(lái)規(guī)定網(wǎng)絡(luò)的流向，如內(nèi)網(wǎng)設(shè)備可以訪問(wèn)外網(wǎng)，而外網(wǎng)設(shè)備不可以訪問(wèn)內(nèi)網(wǎng)，或只能訪問(wèn)內(nèi)網(wǎng)的某臺(tái)或某幾臺(tái)設(shè)備，甚至可以詳細(xì)定義到只能訪問(wèn)特定服務(wù)器的應(yīng)用（如HTTP應(yīng)用，而其他屏蔽）。這種訪問(wèn)的規(guī)則是單向的，因此可以更好地控制網(wǎng)絡(luò)資源的訪問(wèn)，對(duì)網(wǎng)絡(luò)資源和設(shè)備進(jìn)行保護(hù)。NAT的規(guī)則NAT是指網(wǎng)絡(luò)地址轉(zhuǎn)換，它的工作機(jī)制是基于保護(hù)內(nèi)網(wǎng)拓?fù)浣Y(jié)構(gòu)和資源設(shè)定的，因?yàn)榛ヂ?lián)網(wǎng)本身是基于TCP/IP的，要能訪問(wèn)互聯(lián)網(wǎng)必然需要一個(gè)互聯(lián)網(wǎng)IP地址，因此對(duì)于內(nèi)部用戶網(wǎng)絡(luò)來(lái)說(shuō)，既要訪問(wèn)互聯(lián)網(wǎng)，又要防止內(nèi)網(wǎng)暴露在互聯(lián)網(wǎng)面前。NAT正是基于這一點(diǎn)考慮的，內(nèi)網(wǎng)用戶訪問(wèn)外網(wǎng)時(shí)，當(dāng)數(shù)據(jù)經(jīng)過(guò)了防火墻后，通過(guò)防火墻的NAT，把內(nèi)網(wǎng)用戶IP地址（IANA定義的保留地址）轉(zhuǎn)換成了互聯(lián)網(wǎng)IP地址（公網(wǎng)地址），而對(duì)于互聯(lián)網(wǎng)用戶來(lái)說(shuō)，他看到的只是一個(gè)互聯(lián)網(wǎng)IP地址，而對(duì)于內(nèi)網(wǎng)IP地址，他是無(wú)法了解和看到的，這樣可以保護(hù)了內(nèi)網(wǎng)結(jié)構(gòu)。流量控制由于用戶的應(yīng)用除了正常的INTERNET訪問(wèn)和vpn接入外，更多的還是視頻聊天，F(xiàn)TP、P2P的下載（BIT）等不重要的網(wǎng)絡(luò)應(yīng)用，這些應(yīng)用相當(dāng)大地占用了網(wǎng)帶寬，不利于正常的數(shù)據(jù)傳輸，而且嚴(yán)重地會(huì)導(dǎo)致系統(tǒng)中病毒（比如有些P2P的網(wǎng)站），導(dǎo)致系統(tǒng)網(wǎng)絡(luò)風(fēng)暴。因此在考慮外網(wǎng)防火墻的設(shè)備選型上應(yīng)考慮進(jìn)行流量控制，限制網(wǎng)上視頻，P2P的應(yīng)用等。在流量控制的設(shè)置上，設(shè)計(jì)成根據(jù)訪問(wèn)策略和數(shù)據(jù)包進(jìn)出控制進(jìn)行流量設(shè)置，并且對(duì)業(yè)務(wù)（服務(wù)）進(jìn)行劃分，設(shè)置不同的優(yōu)先級(jí)，不同的優(yōu)先級(jí)配置不同的帶寬，這樣既方便進(jìn)行管理，又避免了不重要的大數(shù)據(jù)網(wǎng)絡(luò)應(yīng)用對(duì)帶寬造成影響。應(yīng)用資源的訪問(wèn)監(jiān)管辦可以建立自己的，面向internet用戶的web服務(wù)器，郵件服務(wù)器，ftp服務(wù)器等，充分利用互聯(lián)網(wǎng)的優(yōu)勢(shì)。為了使外網(wǎng)用戶能夠進(jìn)行正常的數(shù)據(jù)訪問(wèn)，可以把這些應(yīng)用放于防火墻的DMZ區(qū)，通過(guò)防火墻的包過(guò)濾規(guī)則設(shè)定，使外網(wǎng)用戶既方便又安全地訪問(wèn)防火墻DMZ區(qū)的各種應(yīng)用系統(tǒng)。1.7郵件系統(tǒng)WinmailServer是易用型全功能郵件服務(wù)器軟件，不僅支持SMTP/POP3/WebMail/多域/發(fā)信認(rèn)證/反垃圾郵件/郵件過(guò)濾/郵件組等標(biāo)準(zhǔn)郵件功能，還有提供郵件殺毒/郵件監(jiān)控/支持IIS和PWS/郵件備份/郵件網(wǎng)關(guān)/動(dòng)態(tài)域名支持/遠(yuǎn)程管理/獨(dú)立域管理員/在線注冊(cè)等特色功能。它既可以作為局域網(wǎng)郵件服務(wù)器、互聯(lián)網(wǎng)郵件服務(wù)器，也可以作為撥號(hào)ISDN、ADSL寬帶、FTTB、有線通(CableModem)等接入方式的郵件服務(wù)器和郵件網(wǎng)關(guān)。運(yùn)行環(huán)境服務(wù)器需求:中英文Windows95/97/98/ME/NT4.0/2000/XP/2003等Win32操作系統(tǒng)平臺(tái)。10G以上的硬盤(pán)空間:根據(jù)服務(wù)的用戶數(shù)和每用戶郵箱空間而定。512M以上的內(nèi)存客戶端需求:Browser,HTMLV3.2兼容的瀏覽器(IE4.X,NS4.X)OutlookExpress,NetscapeMail,Outlook97,FoxMail等任何標(biāo)準(zhǔn)的郵件軟件,用戶可以根據(jù)個(gè)人習(xí)慣選擇常用的客戶端軟件。安裝并正確配置的網(wǎng)卡，微軟的TCP/IP網(wǎng)絡(luò)或支持TCP/IP的撥號(hào)網(wǎng)絡(luò)連接。功能模塊·SMTP服務(wù)SMTP服務(wù)可以支持多個(gè)域名、域別名、ESMTP驗(yàn)證等功能。同時(shí)可以將外發(fā)郵件通過(guò)MX記錄直接遞送給目的域名，也可以將其遞送某臺(tái)外發(fā)郵件服務(wù)器（如：ISP的SMTP服務(wù)器）。并支持TLS/SSL加密通信?！OP3服務(wù)用戶可以通過(guò)通用郵件客戶端軟件OutlookExpress、Outlook、Foxmail等來(lái)收取服務(wù)器上的郵件。并支持TLS/SSL加密通信?！MAP服務(wù)用戶可以通過(guò)通用郵件客戶端軟件OutlookExpress、Outlook、NetscapeMessenger等來(lái)直接操作服務(wù)器上的郵件,支持中文郵件夾。并支持TLS/SSL加密通信。·Webmail服務(wù)提供多語(yǔ)言的全功能的Webmail,可以在網(wǎng)頁(yè)上在線注冊(cè)新郵箱,收發(fā)郵件,修改密碼,設(shè)置外部POP3郵箱、自動(dòng)轉(zhuǎn)發(fā)、自動(dòng)回復(fù)等操作。目前支持簡(jiǎn)體中文,繁體中文和英文?？梢詫ebMail設(shè)置為IIS,PWS的虛擬目錄或虛擬站點(diǎn)。·公用地址簿(LDAP服務(wù))用戶可以通過(guò)Webmail和通用OutlookExpress、Outlook的地址簿直接查找公共地址簿中的用戶信息。并支持TLS/SSL加密通信。·IMAP公共郵件夾支持IMAP公共郵件夾功能,可以設(shè)置讀寫(xiě)刪除權(quán)限,可以通過(guò)OutlookExpress、Outlook、Webmail等軟件查看公共信息?！ぞW(wǎng)絡(luò)磁盤(pán)提供網(wǎng)絡(luò)磁盤(pán)功能，并且可以設(shè)置共享?？梢酝ㄟ^(guò)Webmail或通用的FTP客戶端軟件來(lái)上傳與下載網(wǎng)絡(luò)磁盤(pán)中的文件?！ぞW(wǎng)絡(luò)行事歷與記事本提供網(wǎng)絡(luò)行事歷功能和記事本，用戶可以設(shè)置事件與任務(wù)來(lái)提醒完成某項(xiàng)任務(wù)?！む]件簽核管理員可以限制一些用戶發(fā)信是否要經(jīng)過(guò)指定管理員簽核。簽核管理員可以允許和拒絕需要簽核的用戶發(fā)送郵件?！む]件殺毒本系統(tǒng)能支持內(nèi)嵌API在內(nèi)三種模式，支持幾乎所有的殺毒引擎，掃描來(lái)往郵件，有效的隔離和清除帶毒郵件?！ざ绦盘嵝阎С侄绦盘嵝?，有新郵件到達(dá)時(shí)，可在手機(jī)上獲得通知。采用網(wǎng)絡(luò)短信通道方式,目前支持靈通網(wǎng)的短信的短信通道。·快速設(shè)置向?qū)П鞠到y(tǒng)的提供快速設(shè)置向?qū)Чぞ?只需輸入幾個(gè)簡(jiǎn)單參數(shù),讓您一分鐘內(nèi)設(shè)置好郵件系統(tǒng)。具體請(qǐng)見(jiàn)安裝與初始化設(shè)置·NT域認(rèn)證系統(tǒng)中的郵箱用戶可以與NT系統(tǒng)用戶進(jìn)行整合，收發(fā)的郵件的認(rèn)證采用NT域認(rèn)證制進(jìn)行認(rèn)證，提系統(tǒng)的安全性的，降低系統(tǒng)的維護(hù)的復(fù)雜性?！び脩艄芾砉芾韱T可以新建、刪除、禁用用戶郵箱和設(shè)置用戶郵箱大小、最多的郵件數(shù)、最大的允許發(fā)郵件字節(jié)數(shù)，以及用戶信息是否公開(kāi)等?？煽刂茊斡脩舭l(fā)外部郵件，收外部郵件，修改密碼等多項(xiàng)功能權(quán)限，可設(shè)置有效時(shí)間。用戶可以導(dǎo)入和導(dǎo)出。·郵件組管理員可以根據(jù)情況設(shè)置一些郵件組，系統(tǒng)會(huì)將發(fā)往郵件組的郵件自動(dòng)分發(fā)給每個(gè)組成員,支持Everyone組?！む]件網(wǎng)關(guān)本系統(tǒng)還可以作為局域網(wǎng)的郵件網(wǎng)關(guān)，自動(dòng)收取遠(yuǎn)程服務(wù)器上指定帳號(hào)的郵件，然后按照預(yù)設(shè)定的規(guī)則進(jìn)行郵件分發(fā)給本地用戶的功能。系統(tǒng)主要以兩種方式來(lái)收取遠(yuǎn)程郵件：POP3收取和ETRN下載。可以實(shí)現(xiàn)多人共享一個(gè)郵件帳號(hào)而互不干擾?！みh(yuǎn)程管理本系統(tǒng)的管理工具可以遠(yuǎn)程可以管理郵件服務(wù)器，讓管理員可以管理遠(yuǎn)在托管中心的郵件服務(wù)器，并支持同時(shí)管理多臺(tái)服務(wù)器，協(xié)議采用SSL加密。允許創(chuàng)建多個(gè)管理員,支持