东风汽车公司综合信息网与企业网两网合一技术方案书.docx

《东风汽车公司综合信息网与企业网两网合一技术方案书.docx》由会员分享，可在线阅读，更多相关《东风汽车公司综合信息网与企业网两网合一技术方案书.docx（97页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、东风汽车公司综合信息网与企业网两网合一技术方案书武 汉 和 中 信 息 科 技 有 限 责 任 公 司Wuhan Orizone Information Technology Co., Ltd二二二年九月十九日目 录1.前言52.系统总体设计72.1.系统设计原则72.2.系统建设目标82.3.系统总体方案概述93.网络系统设计113.1.网络拓扑结构设计113.2.网络IP地址编址方案133.3.网络域名服务方案143.4.网络路由设计153.5.企业内部网络升级改造设计163.6.企业内部网Internet出口管理与控制173.7.Internet网络加速系统设计183.8.网络设备选型2

2、03.8.1.企业内部网交换机203.8.2.防火墙233.8.3.Internet网络加速器233.8.4.四层交换机284.服务器系统设计384.1.服务器系统设计原则和选型384.2.域名服务器系统394.3.邮件服务器系统394.4.WWW服务器系统404.5.PC服务器系统415.管理和信息服务应用系统425.1.Rockmail电子邮件系统425.1.1.Rockmail电子邮件系统结构445.1.2.Rockmail电子邮件系统主要技术特点465.1.3.Rockmail电子邮件系统功能495.1.4.Rockmail电子邮件系统实施方式525.1.5.Rockmail电子邮件系

3、统性能指标555.1.6.Rockmail电子邮件系统安全特性565.1.7.Rockmail电子邮件系统需求和配置575.2.Orizone虚拟主机系统585.2.1.对Web服务的管理585.2.2.对FTP服务的管理595.2.3.对数据库服务的管理595.2.4.对文件系统的管理595.2.5.虚拟主机的磁盘空间管理605.2.6.虚拟主机系统数据备份恢复服务615.3.企业内部网络管理系统616.网络管理系统636.1.网管系统解决方案的特点646.2.网络管理功能实现656.3.网络配置管理666.4.网络统计分析687.网络安全设计757.1.现实网络在安全方面存在的漏洞757.

4、1.1.网络系统的安全漏洞757.1.2.操作系统的安全漏洞767.1.3.用户系统的安全漏洞777.1.4.应用系统的安全漏洞777.1.5.数据系统的安全漏洞787.2.网络安全设计目标787.3.网络安全解决方案807.3.1.网络系统的安全保障807.3.2.应用系统的安全保障857.3.3.客户系统的安全保障867.3.4.数据系统的安全保障867.4.网络安全小结868.工程实施方案888.1.项目管理888.2.工程施工安装要求及建议898.3.工程实施计划908.4.系统测试初步方案908.4.1.硬件测试908.4.2.网络测试938.4.3.软件测试958.4.4.整体测试

5、979.售后服务和培训989.1.售后服务的承诺989.2.培训计划9910.系统报价1011. 前言随着二十一世纪钟声的敲响，人类跨入了崭新的知识经济时代。回首上个世纪末，一股以Internet为代表的信息发展狂潮席卷了整个世界，而这一切仅仅只是个开始。人们预测，二十一世纪是信息的世纪，以Internet为代表的信息技术以摧枯拉朽之式改变着整个传统工业世界的各个方面，使许多行业面临着生存压力，承受着巨大变革的要求。而此同时，以资本经济为基础，以知识创新为动力，以Internet为舞台的新型产业模式正在迅猛的发展。十年之前很多叱咤风云的IT公司不是被兼并就是走向没落，而以Yahoo、AOL、A

6、mazon等为代表的新型公司正带领着整个IT界的潮流，迅速改变着传统媒体、电信、电视和商务领域，创造着人类崭新的社会商业模式。东风汽车公司高瞻远瞩，紧跟国际潮流，早在1998年就完成了东风公司综合信息网（东风热线、东风信息港、193网）的建设，并开始向面向社会和家庭提供Internet接入和相关信息服务，经过两年的建设和发展，东风公司综合信息网已有用户四千余户，并提供各种信息服务如：虚拟网络出租、网上教育、网上证券等。东风汽车公司企业网构建的互联覆盖全公司大部分专业厂、子公司和职能部处二级局域网的大型企业网络基础设施，并以此为基础，构建公司企业内部网，提供方便、快捷、灵活的基本系统服务。东风汽

7、车公司综合信息网和企业网两网合一工程主要是包括原有综合信息网的扩容和公司企业网的升级改造；两网互连；国际互联网出口的统一以及出口带宽的扩充等。两网互联后，不仅能充分利用国际互联网的出口，而且能做到统一管理、统一分配带宽、综合利用信息服务等等，并为将来进一步实现东风汽车公司各基地的互连、开展IP电话、视频服务的新的应用打下坚实的基础。武汉和中信息科技有限公司非常荣幸有机会参与东风汽车公司综合信息网和企业网两网合一工程建设，以及在此平台上进行网络及多媒体等一系列网络应用系统的建设的技术交流与方案讨论。武汉和中信息科技有限公司十分重视和珍惜这个机会。我公司认真研究了东风汽车公司网络建设现状和需求，根

8、据我们对此项工程所要实现的目标、技术要求的理解，并结合我们在以往建设众多大型Internet信息网工程中的实践经验，和中公司提出了包括软硬件在内的一整套解决方案。根据和中公司提出的解决方案，将能实现东风汽车公司提出的建设目标。我们希望在东风汽车公司综合信息网和企业网两网合一工程中进行技术合作的过程中以及项目结束后，能为东风汽车公司建立一个成熟完善的网络应用环境，建立并维护网络商业环境，建立并运行复杂的信息及网点管理机制。尽管我们力求设计全面、细致，但由于时间极其仓促，设计方案难免存在一些缺陷，望批评、指正，使之更加完善、切实可行。对东风汽车公司的协助和支持，和中公司深表感谢！2. 系统总体设计

9、2.1. 系统设计原则东风汽车公司综合信息网和公司企业网两网合一工程是一个关系到东风汽车公司发展的关键工程，系统建设的成败，直接影响193网今后业务的发展和公司企业内部网的使用效率。基于以上的认识，我们在设计时将主要考虑以下设计原则：1) 实用性：一个系统的建设是一项工程的实施，它的最基本的目标是建立一个适用实际环境的，能满足用户功能需求的实用系统。2) 先进性：实现东风汽车公司综合信息网和公司企业网两网合一工程的方案和产品很多，我们在坚持实用性的前提下，充分采用先进的网络技术、方案、产品。3) 开放性：在方案设计选型中，充分考虑目前或将来的网络发展和需求，采用标准的开放协议来构架整个系统。4

10、) 安全性：和中公司在设计方案中十分重视网络安全性。整个网络设计方案有序有层次，在硬、软件上均有相应的管理和保护措施。5) 可扩展性（灵活性）：所选择的网络产品和方案能适应东风汽车公司网络信息系统的不断扩大的要求，能升级、过渡、保护用户投资。适应新技术不断发展的要求，使现实方案能不断引入新技术，能方便地向新产品过渡，使系统具有很强的生命力，能不断地平滑升级，不被淘汰。6) 兼容性（与现有网络共享）：在本设计中充分考虑保护原已建立的其他网络系统与本系统的技术和产品兼容性，同时也充分考虑与其它计算机产品，网络产品和兼容性。7) 价格/性能比高：在本网络设计的产品选型、规模考虑方面，充分考虑企业3-

11、5年运行总成本，与东风汽车公司共同进行研讨，以价格/性能比为论证核心之一，以满足东风汽车公司网络性能、质量、服务需求为原则，比较多种网络、服务器品牌品种，选择性价比具备较强竞争力的CISCO、SUN、IBM等为核心设备。8) 可维护性：系统的可维护性对系统的生命力及实用性能是至观重要的，系统应提供友好的应用维护界面、模块化设计、采用标准的高级语言编程、齐全的技术文档以及灵活的功能模块重组等，使系统具有良好的可维护性。9) 易管理性：在本设计网络中所采用的产品具有很强的可管理功能。网管软件遵循SNMP协议，管理方便；配置灵活；结构开放、安全。在网络服务管理中，以目录服务LDAP为核心，构造统一的

12、多服务网络管理平台。2.2. 系统建设目标东风汽车公司综合信息网与企业网两网合一工程包含两个部分，一是企业网的升级和改造，二是综合信息网和企业网的两网合一。工程结束后，将把东风汽车公司现有网络建设成一个统一管理、分层控制、高性能，易扩充，可靠安全、具备完备的用户服务系统的Internet服务平台和企业网服务平台。网络建成后，将达到：1、 两网之间互连互通，层次清晰，可以进行统一管理，统一控制。2、 建立强有力的企业内部网络管理平台3、 原有企业网改造成千兆网。4、 建立新的系统应用软硬件平台。东风汽车公司综合信息网与企业网两网合一工程的建设标志着东风汽车公司信息化进程的全面启动，整体步入新世纪

13、信息化浪潮。一方面对Internet接入网部分进行改造，可提高综合信息网的网络效率，提高193网客户的服务质量，吸引更多的客户；另一方面企业网与综合信息网的两网合一，将更进一步推动企业内部信息化的进程，有望全面提高企业生产管理效率，增强企业竞争力。随着企业网更快速的接入Internet，将进一步提高东风汽车公司员工的网络信息观念，并会培养一批网络设计、建设、维护、管理的人才，势必将在公司内逐步推行信息化工作的过程中起到重要作用。两网合一工程的建设成功，不论从网络基础设施、技术准备、信息管理经验，还是从人才储备上，都为下一步东风汽车公司信息网络的建设奠定了良好的基础。2.3. 系统总体方案概述作

14、为一个完整的信息网络系统，要提供各项服务功能，必须要有一个完整的网络结构和相应的软硬件基础。根据用户需求和我们长期的Internet集成和管理经验，考虑到两网合一后网络的安全性、完整性和易用性，我们的总体设计方案从三个方面提出建议：网络层解决方案完善可靠的网络底层构架是发展信息服务的坚实基础。为了适应众多的网络接入模式，满足日益增长的网络信息交流的发展，需要对系统的网络构架规划、网络设备选型以及今后的网络发展做出正确的选择，并准确的实施。和中公司在详细分析了东风汽车公司目前的网络状况和今后的网络发展需求后，提出了符合东风汽车公司需求和发展的网络解决方案。东风公司综合信息网与企业内部网两网合一后

15、，构成了东风公司计算机网络的核心，为企业内部和公众在一个相对统一的平台上提供各类丰富的网络服务。这两个网络针对不同的网络用户和应用，即相对独立又相互依存，构成一个有机的网络整体。东风公司综合信息网主要服务企业内拨号用户，提供各种丰富的Internet应用；企业内部网主要为公司内部生产、办公提供高速、可靠的Intranet网络服务。因此，我们在设计网络时采用层次化的网络结构，合并后的网络由三大主要部分组成：1、原有193综合信息网络；2、改造后的企业内部高速网络；3、统一对外的Internet出口。为提高网络的整体效率，我们在统一对外的Internet出口增加了Internet网络加速器、四层交

16、换机等设备，并通过路由策略的制定保证全网的相对独立和相互依存。信息服务系统解决方案作为一个完整的网络信息系统，不仅要提供强大的网络服务平台，还需要提供丰富的信息服务系统，为用户提供丰富的应用和系统服务。主要考虑最基本的Internet服务有：DNS（域名服务系统）、EMAIL（电子信箱）、FTP（文件传输）、WWW（万维网）等。此外还有多媒体视频/音频服务、新闻服务等多种类型。和中公司将为用户提供完整的信息服务解决方案，包括详细的域名服务设计、大容量的电子邮件系统、强大的WWW虚拟主机服务系统和企业综合管理平台等等。我们建议用户选用强大的UNIX系统作为信息服务的基础平台。UNIX系统是Int

17、ernet的首先服务平台，Internet的发展也与UNIX结下了不解之缘。许多目前的网络系统服务都是在UNIX平台上发展出来的，如DNS服务系统Bind、WWW服务器Apache、FTP服务器Wu-ftpd等。系统管理与安全解决方案随着ISP用户的快速增加，网络建设的不断发展，网络的拓扑不断变化，系统所涉及的硬件设备和应用也不断增多，这对我们信息网络系统的运行提出了更高的要求。因此需要对网络系统和应用系统进行实时的监控和管理，并能根据统计信息及早发现网络故障和瓶颈，增强系统的可靠性和实用性，为用户提供更好的网络服务。我们建议采用标准的SNMP网络管理协议对全网设备进行统一的管理。我们推荐使用

18、CISCO公司最新的CiscoWorks 2000网络管理系统，实现对全网网络和服务器设备的基本管理，建议使用基于UNIX的大型网络管理平台HP Openview等。针对网络安全管理，我们认为要从网络层、操作系统层、应用系统层等多方位全面考虑，采用合理的管理机制和技术手段相结合来保证。和中公司在网络管理和安全上有非常丰富的实践和理论经验，能为用户提供完整的安全服务和咨询，为用户构件一个完善的网络环境。3. 网络系统设计Internet/Intranet网络系统是基于标准的TCP/IP协议发展出来的通用网络，具有良好的开放性和极好的伸缩性。在设计一个Internet/Intranet网络系统时，

19、要遵循以下原则：l 一个基于开放系统结构的标准l 应用与网络结构无关l 适应未来发展趋势l 性能价格比高l 增长的灵活性l 可靠与安全的网络l 易于安装、维护、管理和运营支持基于以上原则，我们在设计东风公司两网合一方案时，考虑到网络的应用和发展，从网络拓扑结构、网络地址编址方案、网络域名服务方案、网络路由设计、企业内部网升级改造、企业内部网Internet出口管理与控制、 Internet网络加速系统设计、企业网网络设备选型等各个方面进行详细的设计和选型，为用户提供最优的网络设计方案。3.1. 网络拓扑结构设计东风公司综合信息网与企业内部网两网合一后，构成了东风公司计算机网络的核心，为企业内部

20、和公众在一个相对统一的平台上提供各类丰富的网络服务。这两个网络针对不同的网络用户和应用，即相对独立又相互依存，构成一个有机的网络整体。东风公司综合信息网主要服务企业内拨号用户，提供各种丰富的Internet应用；企业内部网主要为公司内部生产、办公提供高速、可靠的Intranet网络服务。在设计东风公司两网合一方案时，我们针对现有网络现状以及发展需求，在充分考虑到网络互连、网络安全、网络控制和管理以及网络效率等综合因素后，提出我公司的详细网络拓扑结构设计方案。详细的网络拓扑设计如下：根据以上两网合一网络拓扑结构图所示，合并后的网络由三大主要部分组成：1、原有193综合信息网络；2、改造后的企业内

21、部高速网络；3、统一对外的Internet出口。l 原有193综合信息网络合并后的193综合信息网与原有单独的193信息网络相比，变化不大，基本上保留在防火墙之后的网络配置格局，193内部网基本上以Bay Accelar 1250交换机为核心，分为用户接入子网、计费和管理子网、信息服务子网三个主要核心网络部分，网络和主机设备配置基本不变。l 改造后的企业高速内部网公司内部原有企业网络是以FDDI为核心的环网结构，配置相应的拨号端口提供拨号接入工作模式。系统改造后，整个企业内部网以全光纤互连为基础，以千兆、百兆网为骨干，以千兆三层交换机为核心，通过强大的支持VLAN功能和三层交换构造整个企业内部

22、网络。企业网通过防火墙与现有193综合信息网和Internet出口互联，并针对企业网特点控制网络的安全性。l 统一Internet出口两网统一后，整个网络共用一个高速的Internet出口，用于与Internet互联互通。为了确保与Internet网络互联效率，提高网络安全性，我们提供了最新的四层交换机+Internet高速缓存系统（Transparent Cache Server）技术，提供最好的网络利用效率和网络安全性保证。此外，根据两网不同的特点，合理分配网络带宽和资源。3.2. 网络IP地址编址方案东风公司现有两个网络系统分别使用各自ISP所分配的外部合法IP地址，内部使用Intern

23、et标准的保留地址。两网合一后，外部网络地址共用ISP所分配的合法IP地址，内部网络建议使用同一套保留地址，便于两网互通互联。企业内部网络今后需要将各个专业单位互联，因此需要根据各个专业网络功能和规模的不同选择详细合理的地址分配方式。基本的地址分配原则如下：l 支持最新标准的TCP/IP协议结构，支持可变长子网掩码技术（VLSM）l 每个不同功能网段划分不同的IP地址段l 每段IP地址考虑到今后两年内的发展和变更，进行适当的地址预留l 根据拨号服务器端口数量分配合适的IP拨号地址池l 对于专线用户IP地址分配进行详细调查和分配，避免地址资源浪费此外，在申请接入Internet时，应尽可能根据需

24、要要求上级ISP多分配给合法的IP地址资源。详细的分配方案我们会在工程施工前根据用户获得的合法IP地址情况进行详细的设计。3.3. 网络域名服务方案域名管理系统(DNS)是一个分布式的系统，其管理控制也是分布式，各地名字服务器只负责管理本地区下属的各主机和子域，并由高一级的名字服务器监督管理。为保证域名系统正常和可靠运行，一般一个域中需设置两个以上的域名服务器，互为主备工作方式。用户可申请COM 、NET下的二级域名，也可申请COM.CN或NET.CN下的三级域名。申请域名时需要上报用户主备域名服务器的IP地址，因此需先得到合法的IP地址段再申请。在设计域名服务时，主要的设计方案如下：1) 各

25、相关服务器分配相应的约定域名，便于用户访问。如Web服务器分配域名，DNS服务器分配，FTP服务器分配，Email服务器分配等。2) 网络设备根据其不同的端口设计不同的域名，如第1台路由器的第2个串口可分配为：r1-。3) 配置DNS服务器禁止用ls等全域域名显示方式。4) 配置主备DNS服务器数据复制的验证功能，禁止未授权的服务器作为主域服务器的配份以获取相关信息。5) 配置全域的MX邮件交换记录指向邮件服务器，并适当配置好邮件服务器设置，使全域邮件具有username的通用邮件名。现在综合信息网和企业网都分别申请了各自的独立域名服务，并对外发布已久。两网合并后，建议还是采用两套域名服务模式

26、，为各自网络提供服务，或申请新的独立域名提供统一域名服务。建议两网的外部域名服务器共用同一的硬件平台，内部各自配置自己的独立域名服务器，并可设置为互为主备工作模式。3.4. 网络路由设计网络的路由设计是确保网络正常、完整运行的核心。一个良好设计的网络路由可以提高网络效率，增强网络的冗余度，而设计不善的网络路由往往会带来效率、备份、安全问题，以及使用的不正常。和中公司具有在大型Internet上实施和维护网络的经验，通晓RIP、RIP2、IGRP、EIGRP、OSPF、IS-IS以及BGP4等多种现代网络路由技术，能根据用户网络情况选择最优的网络路由算法和协议，提高用户网络安全性和使用效率。我们

27、建议在外部网段即与上级Internet互联网段采用静态网络路由，在企业内部网段由选择的使用OSPF动态路由协议。需要注意的是：在实施专线网络互连时，尽量不要使用复杂的动态路由协议而使用静态路由协议，以提高路由的安全性，同样规则也适用于拨号接入网段上。OSPF(Open Shortest Path First)全称为开放最短路径优选，建立在SPF算法基础上，是一种基于链路状态的路由选择协议，是目前最流行、最有效的路由协议。OSPF路由协议是一种典型的链路状态（Link-state）的路由协议，一般用于一个通过统一的路由政策或路由协议互相交换路由信息的网络内。所有的OSPF路由器都维护一个相同的描

28、述这个网络拓扑结构的数据库，该数据库中存放的是路由域中相应链路的状态信息，OSPF路由器正是通过这个数据库计算出其OSPF路由表的。和传统的距离向量路由选择协议相比，对于大型、复杂的网络，OSPF具有极大的优越性：1) OSPF不受跳数（hop）的的限制，比较应用于大型网络中。2) OSPF支持可变长子网掩码（VLSM），可以充分利用有限的IP地址资源。3) OSPF路由协议路由收敛速度比较快，当网络比较稳定时，网络中的路由更新信息是比较少的，并且其广播也不是周期性的，很快达到全网路由器OSPF链路数据库的一致性。4) 只有当路由连接产生变化时才传送路由更新信息，而不是定期广播整个路由表，从而

29、减少了对带宽的损耗。5) 在距离向量路由选择协议中，网络是一个平面的概念，并无区域及边界等的定义。而在OSPF路由协议中，一个网络，或者说是一个路由域可以划分为很多个区域（area），每一个区域通过OSPF边界路由器相连，区域间可以通过路由总结（Summary）来减少路由信息，减小路由表，提高路由器的运算速度。6) OSPF路由协议支持路由验证，只有互相通过路由验证的路由器之间才能交换路由信息。并且OSPF可以对不同的区域定义不同的验证方式，提高网络的安全性。7) OSPF路由协议对负载分担的支持性能较好。OSPF路由协议支持多条Cost相同的链路上的负载分担。鉴于OSPF的这些特性，特别是对

30、线路带宽的占用以及对负载分担具有很好的支持性能，都有助于实现整个网络系统的正常通讯。基于以上网络路由设计思路，我们在设计东风公司新的企业内部网时，采用电信级的设计标准，确保网络的可靠性、安全性，为东风公司企业内部网提供最优的网络解决方案。东风公司企业内部网络OSPF路由设计图根据上图所示，我公司建议在企业网内部构造层次化的网络路由逻辑结构，以OSPF路由协议设计为基础。其中以电信处、张湾、红卫、花果、茅箭构成OSPF域骨干网Areo 0，这五个点之间通过物理线路构成不完全网状网（Not FULL Mesh）；电信处、经理办公大楼、总厂办公大楼构成OSPF 的Areo 1，这三个点构成全连接结构

31、（FULL MESH）；张湾、红卫、花果、茅箭各自内部网络构成OSPF Areo 2、3、4、5；各专业厂、子公司就近互联到这五个核心的骨干点。3.5. 企业内部网络升级改造设计东风公司企业内部网主干是在1994年建成的FDDI主干网络，随着网络的逐渐发展和技术的更新，目前FDDI网络已经面临逐渐被淘汰的局面，取而代之的是以千兆网、ATM为基础，以三层交换为核心的高速新一代企业主干网络。在本次两网合一工程中，考虑到目前的网络需求和今后网络的发展，我们建议以千兆网为基础构建企业内部主干网络，采用最新的核心三层交换机、工作组三层交换机设备，以VLAN和OSPF路由技术为核心，构件新的企业内部主干网

32、络。在本次工程设计中，我们建议电信处核心交换机选用CISCO 公司最新的企业主干网络交换机Catalyst 6509，配置千兆板、三层路由交换板和10/100兆以太网板；在总厂办公大楼和经理办公大楼配置CISCO公司最新的工作组三层交换机Catalyst 2948G-L3，配置48口以太网口和2口千兆网口。这三个点之间采用单模光纤以千兆带宽互联。公司原有的FDDI骨干网保留，并各自与新的主干节点互联，作为核心网络的备份。通过在Catalyst 6509上增配相应的千兆、百兆网板，提供张湾、红卫、花果和茅箭等地的专业厂和子公司通过将要建成的光传输网络互联。3.6. 企业内部网Internet出口

33、管理与控制东风公司企业内部网目前通过一条128K的DDN专线连接到163上，内部用户通过软件代理服务器访问外部网络，这种工作模式比较适用于小型企业网络的Internet应用。针对东风公司这种大型企业网，必须采用防火墙、Internet高速缓存系统的配合来达到严格的安全控制和性能优化。我们推荐在企业网与Internet出口之间采用高性能的硬件防火墙产品，用于保护内部网络安全，并对内部网络用户进行管理和控制。防火墙产品建议采用CISCO公司的高性能硬件防火墙产品PIX Firewall 520，配置3块以太网卡，分别与企业内部网、Internet以及193网互联，相互设立严格的安全控制和管理策略。

34、通过采用CISCO PIX Firewall产品，可以严格的控制内外网络的安全策略，保护内部网络的安全使用。为了为网络管理提供更准确的网络管理手段，和中公司针对CISCO PIX等防火墙产品专门开发了一套完善的Intranet网络管理系统，通过配合使用这套软件，可以对企业内部网用户的上网进行严格的管理和控制。武汉和中公司针对Intranet网络管理需求，提出了一套完善的开放平台解决方案。Orizone Intranet Management Platform 以LDAP和数据库为核心，包含RADIUS、TACAS、SNMP各种通用网络验证、管理协议，统一支持对Firewall、Cache Se

35、rver、Proxy Server、WWW、Email、Billing等各种网络软硬件服务。通过使用Orizone Intranet Management Paltform，可以在同一管理平台下支持唯一用户的验证、授权和管理，可以方便的扩展对网内新增各种网络设备和网络应用的统一管理。3.7. Internet网络加速系统设计现有Internet网络发展神速，各种新的技术和产品层出不穷。为了解决早期单纯的网络Proxy系统的不足，现在市场上已经有了多种广泛使用的Cache 加速器。新的Cache加速器主要用于ISP骨干网和企业级的Internet出口上，可跟四层交换机或策略路由器一起配合使用，用

36、于透明方式的Cache服务，即用户访问WWW时并不需要任何客户端设置，但当用户上网访问时，由网络决定自动通过Cache服务器访问外部网络的内容，这种工作方式非常方便灵活，配置和管理也不影响现有网络的正常运行，现有的ISP都采用这种方便的工作模式；另外一种工作模式是取代现有的Proxy服务器，已经设置的用户参数不需要任何改动，并能有效的提供对多媒体内容的访问。采用Cache服务器与现有基于Proxy的代理服务器相比，有如下优点：1、 处理效率大大提高新型的Cache服务器一般都采用高速的硬件产品，利用硬件的处理能力来极大的提高网络处理效率，而普通的软件代理服务器必须大量的消耗操作系统、CPU、内

37、存的资源，并且要频繁读写硬盘上的信息，导致处理效率大大降低；2、 能同时服务的用户数大大增多根据权威评测结果表明，一般基于软件的代理服务器如果硬件配置较为高档，可以最多承受100-150个并发用户请求，而一般的硬件Cache服务器可以轻松的承受上千的并发用户请求，能够提供更好的用户服务3、 能提供更快的用户响应时间一般的proxy服务器采用被动的用户请求方式来更新缓存信息，这样反而增加了一个多余的中间环节，导致网络响应时间不佳；而专用的Cache服务器采用各种动态更新，并发下载的新技术保证了最短的网络响应时间，一般来说，可以提高5倍的网络响应时间；4、 能提供灵活的组网方式采用cache服务器

38、即可用于透明方式工作，也可用于常规的Proxy工作模式下；而传统的Proxy服务器只能应用于传统的proxy工作模式下；5、 能采用群集方式平滑升级采用Cache服务器来提供网络缓存服务时，当一台服务器的处理能力不能满足要求时，可以和四层交换机配合，采用多台cache服务器来并发处理网络请求，不会因为单台服务器的瓶颈导致网络效率降低，可使系统平滑升级；6、 能更好的提供众多的多媒体服务新型的Cache服务器提供了对Realplay、microsoft mediaplay、Quicktime等多种方式的加速应用，并提供了socket代理方式为IP Phone等服务提供了使用通道；7、 能提供完善

39、的用户管理和控制方式新型的Cache服务器能够提供非常全面的控制和管理功能，能有效的过滤网络地址，控制用户访问列表，并能与Radius和LDAP服务相结合，控制用户的使用；而普通的proxy 服务器不能提供以上全面的用户管理功能。本期工程实施方案简介：如3.1节网络拓扑结构图所示，Internet网络加速系统是由四层交换机和Internet高速缓存系统共同组成的。其中四层交换机选用的是2台Foundry公司的8端口ServerIron 8四层交换机，Internet高速缓存系统选用的是1台Cacheflow公司的525i。CacheFlow 525i Cache Server 配置有三个10/

40、100兆以太网口，分别与两台ServerIron 交换机互连，默认网关设置为外部网络的互连路由器。193综合信息网和企业内部网络的访问Internet信息流量通过防火墙后到达各自外部的Foundry ServerIron交换机上，ServerIron四层交换机快速分析网络信息流量，将HTTP服务请求信息转发到Cacheflow 525i上，通过Cacheflow 525i获取最新的WWW和多媒体流信息透明回传给用户。如果Cacheflow 服务器因意外服务终止，ServerIron能自动检查Cache Server 的健康状况，将信息请求直接发送到最终目的地址。为了更好的控制企业内部用户上网使

41、用的总带宽，本次工程中建议企业内部网通过一台路由器的串口反接到外部出口路由器，通过设置串口路由器速率来限制企业内部网络的上网使用带宽。3.8. 网络设备选型3.8.1. 企业内部网交换机3.8.1.1. 核心交换机企业内部网核心交换机选用Cisco Catalyst 6509，是Catalyst 6000系列产品之一。Catalyst 6000系列为园区网络提供一个高性能、多层交换解决方案。其设计宗旨是满足集中式主干/分布式主干和服务器群应用及对千兆位密度、数据和语音集成、可缩放性、高可用性和多层交换不断增加的需求。如果与Cisco此同时IOS相结合，Catalyst 6000系列可以提供支持

42、高容量千兆位交换和多层智能所需的基础结构，进而有效地管理网络流量。Cisco 6000系列关键特性l 可缩放的快速以太网和千兆位以太网主干密度、高性能多层交换及主干中的政策执行l 最多支持384个10/100以太网、192个100FX快速以太网和130个千兆位以太网l 端口业界最好水平l 多层交换，在Catalyst 6000系列上可以扩展到15Mpps，在Catalyst 6500系列交换机上可以扩展到150Mppsl 卓越的可缩放性和性价比l 通过协议不相关的多点传送(PIM)、Internet群组管理协议(CGMP)和CGMP多点传送注册协议(GMRP)提供有效的内部网多媒体和多点传送支

43、持l 支持关键任务应用的广泛质量服务(QoS)特性技术要求特性Catalyst 6006Catalyst 6009Catalyst 6506Catalyst 6509模块化插槽6969可用模块8端口千兆位以太网24端口100FX以太网48端口10/100以太网（RJ-45）48端口10/100以太网（RJ21或TELCO）多层交换机模块与Catalyst 6006相同与Catalyst 6006相同与Catalyst 6006相同底板3Gbps3Gbps可扩充至256Gbps可扩充至256Gbps可缩放否否否否多层次性能可扩充至15Mpps可扩充至15Mpps可扩充至150Mpps可扩充至15

44、0MppsVLAN最大数1000100010001000FEC/GEC最多8个不相连的端口；支持多模块通道与Catalyst 6006相同与Catalyst 6006相同与Catalyst 6006相同管理功能CiscoWorks 2000,RMON、Enhanced Switched PortAnanlyzer(ESPAN) 、SNMP、Telnet、BOOTP和(TFTP)与Catalyst 6006相同与Catalyst 6006相同与Catalyst 6006相同规格（长宽高）20.117.218.1in25.217.218.1in20.117.218.1in25.217.218.1i

45、n服务类别16161616产品编号和定购信息Catalyst 6000系列机箱WSC6509S1 Catalyst 6509机箱，交流电源+WSX6KSUP12GEWSC6009S1 Catalyst 6009机箱，交流电源+WSX6KSUP12GEWSC6006S1 Catalyst 6006机箱，WSX6KSUP12GE+交流电源WSC6506S1 Catalyst 6506机箱，WSX6KSUP12GE+交流电源Catalyst 6000系列Supervisor EnginesWSX6KSUP12GE= Catalyst 6000,Sup Eng1,2GE9（需要GBIC）Catalys

46、t 6000系列模块 WSX6408GBIC= Catalyst 6000,8端口千兆位以太网模块（需要GBIC）WSX6302MSM= Catalyst 6000,多层交换机模块WSX6248RJ-45= Catalyst 6000,48端口10/100bTX（RJ45）模块WSX6244100FXMT= Catalyst 6000,24端口100bFX（多模式，MTRJ）WSX6248TEL= Catalyst 6000,48端口Telco模块Catalyst 6000系列附件WSCDC1300W= Catalyst 6000,1300W直流电源WSCAC1300W= Catalyst 6000,1300W交流电源WSVAV1000W Catalyst 6000,1000W交流电源WSCAC1