网络安全项目网络建设方案64500.docx

《网络安全项目网络建设方案64500.docx》由会员分享，可在线阅读，更多相关《网络安全项目网络建设方案64500.docx（89页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 广发证券网络安全项目网络部分建设方案书广发证券网网络安全全项目网络部分建建设方案案书20025目 录录1简介32网络安安全项目目网络部部分技术术要求及及说明33设计总总体考虑虑34网络设设计原则则45解决方方案65.1网网络解决决方案描描述65.2广广东数据据中心的的设计75.3分分公司（区区域中心心）网络络系统85.4OOA总部部设计95.5独独立营业业部设计计105.6广广域网络络的备份份105.7IIP 语语音115.7.11IP语音音工作原原理115.7.22语音接接点的布布设及PPBX的的选择115.7.33带宽要要求115.7.44对PBXX的要求求115.8系系统管理理125.

2、8.11CISSCO 网络设设备的管管理125.8.22策略的的管理125.8.33IP VOIICE管管理125.8.44CA网管管平台136性能分分析186.1先先进性186.2安安全性206.3保保证服务务质量206.4可可扩展性性236.5便便于向新新的技术术发展236.6采采用工业业标准化化技术，具具有好的的互联特特性237实施方方案247.1技技术细节节247.1.11IP 地址规规划247.1.22路由协协议的选选择267.1.33IP语音音技术细细节317.1.44信息流流策略-实现现QoSS368产品简简介448.1CCiscco 775000系列路路由器448.2CCisc

3、co 336000 路由由器508.4NSSM 高高级网络络模块介介绍53广发证券网网络安全全项目网网络部分分建设方案书书1 简介本方案书是是按照广广发证券券网络安安全项目目招标文文件网络络部分简简要技术术说明、广广发证券券的现状状和实际际需求而而设计的的解决方方案。2 网络安全项项目网络络部分技技术要求求及说明明网络安全项项目网络络部分综综合业务务信息平平台的建建设以广广东计算算中心和和全国112家分分公司，887个营营业部的的广域网网连接为为主，其其中广州州、上海海等122家分公公司作为为区域中中心供本本地营业业部的接接入，同同时考虑虑建立IIP语音音的测试试平台，为为将来在在企业范范围内

4、的的IP语语音和视视频应用用的推广广打好基基础。需求：广域网网络结构构整体性性规划和和设计，包包括整体体网络拓拓扑结构构的建议议，路由由算法的的选择和和优化等等工作。网络性性能分析析和改进进建议，包包括对广广域网和和局域网网的流量量分析和和统计，对对网络传传输性能能的优化化改进建建议。网络管管理方案案设计和和实施，包包括对局局域网和和广域网网的网络络管理和和监控方方案的设设计和实实施。网络重重大故障障的技术术支持策策略。3 设计总体考考虑当今网络的的发展正正远远超超出了单单纯追求求基本连连通的历历史阶段段。我们们在网络络连通基基础上需需要更高高要求的的网络服服务内容容，包括括QoSS网络服服务

5、质量量，Seecurrityy安全性性服务，Reliability高可靠性，Scalability可扩展性等增值服务。如图所示CCiscco所建建议的网网络方案案总体结结构基于于三层模模型：即即网络硬硬件的互互连环境境层，网网络软件件的增值值服务层层及多层层次网络络管理层层。其中中网络硬硬件互连连环境主主要指传传统意义义上的网网络互连连设备，包包括交换换机，路路由器，拨拨号访问问服务器器等设备备环境。Ciscoo公司建建议采用用端到端端的网络络方案，即即采用主主要有一一家公司司的包括括交换机机，路由由器，拨拨号访问问服务器器软硬件件产品。因因为只有有这样才才能真正正实现端端到端的的网络性性能，

6、端端到端的的网络安安全性，端端到端的的服务质质量以及及端到端端的网络络管理，从从而在节节省开销销的同时时，大大大提高网网络的经经济效益益。广发证券在在综合业业务信息息平台的的总体设设计思想想和第一一期建设设正是体体现了上上述思想想。4 网络设计原原则先进性作为广发证证券的新新一代信信息系统统的承载载网络，网网络系统统处理的的信息量量是十分分庞大的的，要求求计算机机网络有有很高的的工作效效率。而而且随着着业务的的快速发发展，系系统面临临的任务务也愈来来愈艰巨巨，所以以，我们们设计的的网络在在技术上上必须体体现高度度的先进进性。技技术上的的先进性性将保证证处理数数据的高高效率，技技术上的的先进性性

7、将保证证系统工工作的灵灵活性，技技术上的的先进性性将保证证网络的的可靠性性，技术术上的先先进性也也使系统统的扩充充和维护护变得十十分简单单。我们们将在网网络构架架，硬件件设备，传传输速率率，协议议选择，安安全控制制和虚拟拟网划分分等各个个方面充充分体现现广发证证券的宽宽带广域域网网络络系统的的先进性性。可靠性 在广发证证券的宽宽带广域域网网络络设计中中，很重重要的一一点就是是网络的的可靠性性，即坚坚固性。在在外界环环境或内内部条件件发生突突变时，怎怎样使系系统保持持正常工工作，或或者在尽尽量短的的时间内内恢复正正常工作作，在设设计时对对可靠性性的考虑虑，可以以充分减减少或消消除因意意外或事事故

8、造成成的损失失。安全性随着计算机机技术的的发展，尤尤其是网网络和网网络间互互联的规规模的扩扩大，信信息和网网络的安安全性日日益受到到重视。面面临十分分严肃的的安全性性挑战。我我们在网网络设计计时，将将通过访访问控制制列表、防防火墙、IIP隧道道等技术术来保证证广发证证券的宽宽带广域域网网络络系统的的安全。标准化从发展的眼眼光看，计计算机信信息系统统就是要要实现信信息的共共享，完完成不同同制造厂厂商的设设备和计计算机软软、硬件件资源的的数据交交换。为为此必须须建立一一个由开开放式、标标准化的的网络结结构体系系，满足足当前可可实现的的技术，又又能适应应今后新新技术的的引进、开开发和推推广。我们建议

9、采采用的CCiscco 系系列产品品是目前前业界支支持协议议最多、接接口介质质最广泛泛的网络络产品。可管理性和和可维护护性网络设计中中，对网网络主干干的有效效管理也也是必须须考虑的的主要因因素。一一个有效效的网络络管理方方案不仅仅要包括括建立各各级网管管中心的的设备及及软件，而而且要包包括配置置各种设设备的必必要顾问问服务。尤尤为重要要的是，要要能帮助助用户制制定网管管策略和和网管中中心运作作机制。在在网络投投入运行行初期，提提供现场场顾问服服务也是是必须的的。在满足上述述多项原原则的基基础上，尽尽可能降降低工程程造价，追追求最优优的性能能/价格比比。当然然，高性性能与高高可靠性性是以高高投入

10、为为代价的的。最终终的方案案一定是是性能与与价格折折中的产产物。可扩展性随着广发证证券的各各项业务务的快速速发展，网网络系统统面临的的任务将将愈来愈愈艰巨，愈愈来愈复复杂。为为了适应应这个变变化和日日新月异异的计算算机技术术的发展展，我们们设计的的网络十十分注重重扩充性性。无论论是网络络硬件还还是系统统软件，都都可以方方便的扩扩充和升升级，关关键设备备的扩充充和升级级时，系系统将无无需中断断正常的的工作。上述系统设设计的原原则将自自始自终终贯穿整整个系统统的设计计和实现现。5 解决方案5.1 网络解决方方案描述述根据以上网网络设计计原则，我我们对广广发证券券的宽带带广域网网部分作作如下设设计：

11、由上图可见见，广发发证券的的宽带广广域网中中心位于于计算中中心，与与总部OOA中心心、Innterrnett等外联联系统连连接；同同时提供供区域中中心、广广东地区区营业部部等接入入。上海、北京京等122家分公公司作为为区域中中心供本本地营业业部的接接入；同同时，上上海、北北京等112家区区域中心心以及广广东地区区除分中中心管理理外的其其他营业业部(直直接连接接到信息息中心)接入。整个系统构构成了广广发证券券的综合合信息平平台，目目前主要要为广发发证券提提供交易易、办公公提供数数据应用用的支持持，同时时提供IIP语音音平台，为为将来在在企业范范围内的的IP语语音和视视频应用用的推广广打好基基础。

12、系统中的所所有区域域中心及及营业部部，主链链路均采采用中国国电信的的DDNN,按照照上述描描述连接接；首选选的备份份链路均均采用IISDNN/PSST；第第二份备备份链路路采用现现有的卫卫星系统统保持不不变。安全问题详详见安全全解决方方案。5.2 广东数据中中心的设设计信息中心是是广发证证券宽带带广域网网的数据据中心和和通讯中中心，采采用一台台Cissco 75007高端端路由器器作为主主干广域域网路由由器，与与中国电电信的长长途干线线网连接接，在本本期工程程中，与与区域中中心合OOA总部部的连接接采用11Mbpps的DDDN链链路，与与营业部部的连接接采用2256KKbpss的DDDN链路路

13、（建议议）。另另采用一一台Ciiscoo 36662多多功能路路由器作作为PSSTN/ISDDN访问问服务器器，提供供备份接接入，它它可以自自动识别别模拟信信号和数数字信号号，调配配相应的的模拟mmodeem或数数字moodemm与之握握手；同同时Ciiscoo 36662路路由器还还起着VVoIPP语音网网关的作作用，通通过1个个E1模模块与上上海本地地的PBBX相连连接，提提供IPP电话业业务。在在广域网网路由器器与内部部局域网网之间采采用两台台防火墙墙，互为为热备份份，完成成安全防防卫任务务，同时时提供IIPSeec的VVPN隧隧道技术术的支持持。信息中心的的局域网网采用原原有Ciisc

14、oo Caatallystt 65509 Swiitchh不变，实实现与各各地网络络之间的的高速数数据交换换。对于于在数据据中心的的外联系系统包括括Intternnet和和银行等等均包含含在统一一的接入入中心交交换平台台上，使使用高端端防火墙墙作安全全隔离，接接入中心心交易平平台使用用三层交交换技术术和网络络地址翻翻译技术术来确保保连接各各个不同同的单位位。5.3 分公司（区区域中心心）网络络系统分公司是区区域数据据中心和和通讯中中心，采采用一台台Cissco 36662高端端路由器器作为主主干广域域网路由由器，与与数据中中心75506主主干路由由器经DDDN连连接，同同时提供供下属营营业部主

15、主链路接接入；另另采用一一台Ciiscoo 36662多多功能路路由器作作为PSSTN/ISDDN访问问服务器器，提供供与数据据中心备备份连接接，同同时提供供下属营营业部备备份链路路接入；同时Cissco 36662路由由器还起起着VooIP语语音网关关的作用用，通过过FXOO端口与与本地PPBX相相连接，提提供IPP电话业业务。在在广域网网路由器器与内部部局域网网之间采采用两台台防火墙墙，互为为热备份份，完成成安全防防卫任务务，同时时提供IIPSeec的VVPN隧隧道技术术的支持持。5.4 OA总部设设计OA总部是是OA等等业务系系统中心心，采用用一台CCiscco 336622高端路路由器

16、作作为主干干广域网网路由器器，与数数据中心心75006主干干路由器器经DDDN连接接；另采采用一台台Cissco 36662多功功能路由由器作为为PSTTN/IISDNN访问服服务器，提提供与数数据中心心备份连连接；同时Cissco 36662路由由器还起起着VooIP语语音网关关的作用用，通过过FXOO端口与与本地PPBX相相连接，提提供IPP电话业业务。在在广域网网路由器器与内部部局域网网之间采采用两台台防火墙墙，互为为热备份份，完成成安全防防卫任务务，同时时提供IIPSeec的VVPN隧隧道技术术的支持持。5.5 独立营业部部设计其他地区的的营业部部目前在在第一期期工程时时先采用用一台C

17、Ciscco 226511多功能能路由器器通过11条2556Kbbps的的DDNN长途链链路与信信息中心心或区域域中心主主路由器器相连接接，通过过ISDDN/PPSTNN进行主主链路的的备份。在在广域网网路由器器与内部部局域网网之间采采用一台台防火墙墙，在完完成安全全防卫任任务。目前这些营营业部包包括北京京、上海海、广东东地区等等，共887个。5.6 广域网络的的备份在数据中心心配置了了一台多多功能CCiscco 336600路由器器作为VVoIPP语音网网关和IISDNN/PSSTN备备份连接接网络接接入服务务器，可可同时容容纳300条普通通MODDEM或或数字MMODEEM进行行备份连连接

18、，满满足广发发证券总总的备份份 能力力的需求求。同时还可兼兼作移动动用户的的接入访访问控制制服务器器。另外，我们们建议采采用原有有的卫星星线路作作为第二二条备份份链路。5.7 IP 语音音5.7.1 IP语音工工作原理理5.7.2 语音接点的的布设及及PBXX的选择择针对IP语语音的建建立，在在上海数数据中心心的36662路路由器上上增加一一个E11端口的的语音模模块，用用于连接接PBXX；信息息中心的的PBXX推荐采采用数字字交换系系统，采采用该交交换机还还可为将将来的IIP CCalll Ceenteer打下下基础。在区域中心心和OAA总部的的36662则使使用8线线FXOO的两个个语音模

19、模块连接接本地的的PBXX；可建建立VooIP的的平台，作作广发证证券全面面实施IIP 语语音准备备。5.7.3 带宽要求 一路语音在在传统的的TDMM电讯系系统中传传输需占占用644K带宽宽，而利利用新的的IP技技术可将将其压缩缩至100122K。当广域网线线路的利利用率超超过700%的时时候，网网络性能能将会呈呈线性下下降。所所以，为为保障网网络的质质量，88路并发发语音所所需要带带宽为：|8KK*100/700%|=1144K。5.7.4 对PBX的的要求 采采用本方方案需要要总部的的PBXX 支持持E1接接入。若若不支持持则根据据具体情情况需要要更改为为路由器器的语音音接口为为E&MM

20、或FXX0接口口。5.8 系统管理页：17加入策略管理、IP VOICE 管理5.8.1 CISCOO 网络络设备的的管理在广发证券券的语音音网络中中我们配配置了CCisccoWoorkss20000 LANN Maanaggemeent和和CisscoWWorkks20000 Rouutedd WAAN MManaagemmentt，为广发证证券提供供配置、管管理、监监控和故故障诊断断工具。其具有基于 Web 的解决方案带有管理交换和路由环境的应用。5.8.2 策略的管理理在广发证券券的语音音网络中中我们配配置了CCisccoWoorkss20000 CCiscco SSecuure Pol

21、licyy Maanagger，是一个个用于 Cissco 防火墙墙和虚拟拟专网(VPNN)网关关的可伸伸缩、强强大的安安全政策策管理系系统。通通过 CCiscco SSecuure Pollicyy Maanagger，CCiscco 客客户可以以集中定定义、分分发、执执行和审审计网络络范围的的安全政政策。该该产品使使管理复复杂网络络安全部部件的任任务流程程化，例例如周边边访问控控制、网网络地址址转换(NATT)和基基于 IIPSeec 的的 VPPN。通过 Ciiscoo Seecurre PPoliicy Mannageer的图图形用户户界面，管管理员可可以直观观地为多多个 CCiscc

22、o 防防火墙和和 VPPN 网网关定义义高级安安全政策策。在创创建时，这这些政策策可以集集中分发发，从而而消除了了逐设备备实施安安全命令令的代价价高昂、耗耗费时间间的实践践。此外外，该产产品还提提供系统统审计功功能，包包括事件件通知和和一个基基于 WWeb 的报告告系统。作作为 CCiscco 端端到端安安全产品品线的管管理基础础，Ciiscoo Seecurre PPoliicy Mannageer 在在 Ciiscoo 网络络内简化化了安全全产品和和服务的的部署。同时系统还还配置了了Cissco QoSS Pooliccy MManaagerr ，它是一一个全特特性的政政策系统统，它简简化

23、了为为企业网网络配置置和部署署 QooS 政政策的复复杂性。5.8.3 IP VOOICEE管理在广发证券券的语音音网络中中我们配配置了CCisccoWoorkss20000 VVoicce MManaagerr 2.0 (CVMM)， CVMM提供了了基于WWeb的的语音管管理和报报告的解解决方案案。它具具备了配配置语音音端口以以及建立立/更改改Voiice Oveer IIP网络络中的拨拨号计划划的能力力。它能能自动检检测网络络状况，包包含有检检测网络络故障的的工具以以及通话话的详细细资料，如如通话质质量、历历史数据据等。Ciscoo Vooicee Maanagger是是通过TTCP/I

24、P网网络与VVoIPP的设备备建立联联系。即即用户使使用通常常的weeb浏览览器（NNetsscappe、IIE）通通过标准准的超文文本协议议（HTTTP）与与Cissco Voiice Mannageer SServver进进行通讯讯。同时时，Ciiscoo Vooicee Maanagger Serrverr则通过过简单网网络管理理协议（SSNMPP）与支支持语音音的设备备进行通通讯。因因此也就就实现了了用户通通过WEEB浏览览器来管管理VooIP网网的功能能。5.8.4 CA网管平平台5.8.4.1 系统运行状状况和可可用性管管理概念和范围围系统运行状状况和可可用性监监控是确确保整个个I

25、T系系统顺利利、高效效运作的的最基本本的功能能，他通通过监控控网络线线路、设设备、服服务器、数数据库和和应用系系统的可可用性和和运行状状况，为为其他各各种ESSM管理理功能提提供数据据来源。我们建议首首期广发发证券网网络系统统运行状状况和可可用性管管理的范范围是：广发证证券网络络系统数数据中心心局域网网络/设设备管理理广发证证券网络络系统广广域网线线路/设设备管理理广发证证券网络络系统中中心关键键服务器器操作系系统广发证证券网络络系统关关键数据据库系统统（如SSQL）对这些对象象进行性性能管理理的目标标是实时时监控其其关键参参数的运运行状态态和故障障情况，通通过直观观简洁的的图形用用户界面面集

26、中表表现出来来。发生生不同严严重程度度的警告告和故障障，以直直观的发发生呈现现给管理理员，以以便及时时处理。实现方案为了在上述述范围内内实现集集中的可可用性和和故障管管理，我我们建议议在网络络中心采采用一台台PC服服务器，通通过Unniceenteer的相相关管理理模块完完成可用用性和故故障管理理功能。另外，对操操作系统统、数据据库和应应用系统统的管理理需要这这些服务务器的参参与-在在这些计计算机上上部署CCA相关关管理软软件。我们建议的的广发证证券网络络系统运运行状况况、可用用性和故故障管理理由如下下不同部部分组成成：Uniicennterr NSSM，负负责收集集管理范范围内所所有的网网络

27、线路路、设备备、服务务器、数数据库系系统的运运行状况况、可用用性和故故障信息息，通过过直观用用户界面面实时展展示给客客户。广广发证券券网络系系统各个个被管理理服务器器上的NNSM模模块负责责监视本本机操作作系统，收收集可用用性和故故障数据据，通过过管理主主控台集集中反映映。监控控内容包包括网络络设备处处理器、缓缓冲区、端端口、线线路故障障和可用用性，操操作系统统CPUU、内存存、交换换区、文文件系统统、文件件、磁盘盘、进程程、日志志文件等等。Uniicennterr NSSM AAdvaanceed NNetwworkk Opperaatioons，该该模块安安装在管管理主控控台上，负负责对不

28、不同网络络设备、资资源的特特性进行行进一步步监控和和管理。如如监控、控控制局域域网VLLAN划划分、监监控网络络路径可可用性、基基于PVVC监控控帧中继继线路可可用性和和故障等等等本方案建议议的系统统管理功功能从各各种不同同的来源源采集数数据：广域网网络内的的各地分分公司安安装一套套Uniicennterr NSSM，负负责采集集本网络络内的有有关系统统信息，同同时受信信息中心心的Unniceenteer NNSM Connsolle统一一管理；网络线线路和设设备可用用性和故故障管理理通过SSNMPP协议，采采集网络络设备的的MIBB III以及设设备专用用的MIIB信息息库完成成；同时时通过

29、IICMPP协议定定期Piing各各个节点点，探测测设备可可用性；系统、数数据库和和应用系系统故障障和可用用性管理理由安装装在被管管机上的的模块监监视系统统，收集集数据。利利用Unniceenteer的AAgennt技术术透过SSNMPP向管理理主控台台传递数数据。5.8.4.2 性能管理和和容量规规划概念和范围围性能管理主主要是针针对ITT系统中中网络线线路和设设备、操操作系统统和数据据库系统统的性能能情况进进行监控控和分析析的。与与系统可可用性和和故障不不同，系系统性能能降低虽虽然不会会立刻导导致系统统瘫痪，但但延长了了业务的的响应时时间，浪浪费了系系统软件件的投资资和业务务人员的的时间，

30、降降低了工工作效率率。如果果系统性性能问题题长时间间得不到到解决，还还可能积积累起来来，形成成严重的的故障。因因此，系系统性能能管理也也是确保保整个IIT系统统可靠、稳稳定、高高效运作作的关键键，是网网络正常常运行的的重要的的部分之之一。为了实现有有效的性性能管理理策略，广广发证券券网络系系统的技技术支持持人员应应该从两两个基本本方面进进行工作作：日常系系统性能能监控，发发现和处处理各种种性能问问题；定期进进行长期期的性能能趋势分分析和规规划。对这些对象象进行性性能管理理的目标标是为每每一项性性能参数数设置门门限值，产产生实时时和历史史的性能能报表，性性能指标标超过门门限值时时产生报报警并通通

31、知事件件管理功功能(实实现自动动响应动动作和通通过帮助助台的人人工响应应)。该该目标也也包括端端到端的的响应时时间监控控。对性能管理理的高级级目标是是通过性性能管理理功能提提供的专专家建议议和性能能优化工工具，帮帮助管理理员更快快、更正正确地进进行性能能调整。实现方案为了在上述述范围内内实现集集中的性性能管理理和容量量规划功功能，我我们建议议在中心心采用两两台PCC服务器器，通过过Uniicennterr的相关关性能管管理模块块完成性性能管理理功能。使使用两台台服务器器做事件件管理是是为了增增加冗余余度，提提高系统统可用性性和可靠靠性。建建议该服服务器与与系统运运行状况况和可用用性管理理共享硬

32、硬件设备备。另外，对操操作系统统、数据据库和应应用系统统的性能能管理需需要这些些服务器器的参与与-在这这些计算算机上部部署CAA性能管管理软件件。我们们建议的的广发证证券网络络系统性性能管理理由以下下不同部部分组成成：Uniicennterr Peerfoormaancee Maanaggemeent，负负责收集集管理范范围内所所有的网网络线路路和设备备的性能能数据，集集中保存存、汇总总这些数数据，生生成实时时和历史史性能报报告，检检测和记记录性能能问题，并并通过事事件管理理功能自自动响应应，通过过帮助台台系统人人工响应应；本方案建议议的性能能管理功功能从各各种不同同的来源源采集数数据：网络线

33、线路和设设备性能能管理通通过SNNMP协协议，采采集网络络设备的的MIBB III、RMMON V1、RRMONN V22以及设设备专用用的MIIB信息息库完成成；系统和和数据库库性能管管理由安安装在被被管机上上的模块块收集数数据，进进行性能能调整。他他们之间间通过CCA通用用服务CCAFTT数据传传送机制制传输数数据，采采集的数数据包括括CPUU Uttiliizattionn、Diisk Inffo、FFilee Acccesss iinfoo、Buuffeer AActiivitty、SSysttem Calll SStattistticss、Meemorry FFreeeingg Ac

34、ctivvityy、Meessaage & SSemaaphoore Acttiviity、PPagiing Acttiviity、QQueuue llenggth、MMemoory Usaage、SSwapppinng AActiivitty、TTermminaal AActiivitty、TTotaal LLoggged in Useers、FFilee sttoree ussagee、Prroceess infformmatiion等等等5.8.4.3 角色和责任任广发证券网网络系统统ESMM性能管管理功能能主要有有三种业业务人员员：技术术支持、日日常操作作和管理理。技术支持人人员负责责

35、性能管管理策略略的制定定和实施施过程；日常操操作人员员通过性性能管理理工具进进行日常常的性能能监控、和和性能问问题处理理；管理理人员通通过性能能分析报报表完成成性能趋趋势分析析和容量量规划。技术支持人人员定制制性能管管理策略略并通过过性能管管理软件件部署这这些策略略，操作作人员监监视日常常性能状状况，出出现性能能问题后后调用自自动处理理过程进进行调整整，或者者通过事事件管理理或帮助助台系统统通知技技术支持持人员，技技术支持持人员人人工优化化解决性性能问题题。历史史性能报报表提交交管理人人员，作作为趋势势分析和和容量规规划的依依据。5.8.4.4 业务流程性能问题处处理流程程 该流程定义义日常工

36、工作中性性能参数数超过定定义的门门限值时时采取的的步骤和和动作。性能管理软软件监测测到性能能超过定定义门限限，把问问题自动动报告到到事件管管理。事事件管理理根据问问题性质质在三种种处理方方式中选选择：执行预预定义的的调整和和修复动动作通知技技术支持持人员手手工处理理自动在在帮助台台系统生生成问题题定义，由由帮助台台系统分分派、跟跟踪问题题的处理理。日常操作流流程 该流程定义义操作人人员日常常对网络络、系统统和应用用性能管管理的监监控和处处理过程程。 性能报表处处理流程程 该流程定义义历史性性能报表表的产生生和处理理过程。对对网络、性性能和应应用的性性能数据据采集器器定期把把数据上上送到管管理主

37、控控台，管管理主控控台自动动存储汇汇总这些些数据。技技术支持持人员定定期生成成性能月月报，并并提交给给规划管管理人员员，管理理人员审审查性能能报报告告，进行行容量规规划。5.8.4.5 管理方案前一章按照照不同的的管理功功能和流流程描述述理CAA推荐广广发证券券网络系系统应该该部署的的功能、范范围以及及实现方方案。本本章从软软硬件方方案的角角度描述述CA实实现这些些功能所所采取的的方案。硬件要求在我们的管管理方案案中，EESM的的管理利利用广发发证券网网络系统统现有的的网络设设施实现现ESMM相关功功能，同同时需要要增加下下列服务务器资源源：(1)网网络系统统主控台台一台（位位于广域域网中心心

38、）建议采用高高档PCC服务器器作为系系统管理理机，分分别担任任不同管管理功能能的服务务器和主主控台。oInttel Penntiuum IIII 6666 MHHz oor hhighhero10224 MMB RRAMoEthhernnet NICCoCollor 10224x7768 SVGGAoCD-ROMM drriveeoMinnimuum 440GBB SCCSI harrd ddiskkoWinndowws NNT SServver 4.00 wiith Serrvicce PPackk 4 or winndowws20000 serrverroMS-SQLL Seerveer

39、vv6.55 orr hiigheeroMiccrossoftt ExxcelloMiccrossoftt Innterrnett Innforrmattionn Seerveer 44.0oTCPP/IPP coonneectiivittyoSNMMP sservvicee ennablled（2）各地地分公司司建议采采用高档档的PCC机做本本地管理理中心oInttel Penntiuum III 2266MMHz MMXX miinimmum or higgherro2566 MBB RAAMoEthhernnet NICCoCollor 10224x7768 SVGGAoCD-ROMM

40、drriveeoMinnimuum 220GBB haard disskoWinndowws NNT SServver 4.00 wiith Serrvicce PPackk 4 or winndowws20000 serrverroMS-SQLL Seerveer vv6.55 orr hiigheeroMiccrossoftt ExxcelloMiccrossoftt Innterrnett Innforrmattionn Seerveer 44.0oTCPP/IPP coonneectiivittyoSNMMP sservvicee ennablled（2）各营营业部建建议采用用废弃的的

41、PC机机做本地地信息收收集机软件配置1）主控控台上部部署如下下产品，完完成系统统运行状状况和可可用性管管理、性性能管理理和容量量规划、事事件管理理功能。Uniicennterr NSSM，网网络、服服务器、数数据库的的运行状状况、可可用性和和故障管管理模块块；并结结合安装装在各分分公司的的子模块块和客户户端上的的Ageent统统一进行行日志管管理和事事件管理理。Uniicennterr Addvanncedd Neetwoork Opeerattionns，该该模块安安装在管管理主控控台上，负负责对不不同网络络设备、资资源的特特性进行行进一步步监控和和管理。如如监控、控控制局域域网VLLAN划

42、划分、监监控网络络路径可可用性、基基于PVVC监控控帧中继继线路可可用性和和故障等等等Uniicennterr Peeroffrmaancee Maanaggemeent，对对网络、服服务器性性能进行行管理的的模块。2）在各地地分公司司的本地地管理中中心上：Uniicennterr NSSM，作作为广域域网中心心的子模模块，负负责本地地分公司司和营业业部的网网络、服服务器、数数据库的的运行状状况、可可用性和和故障管管理模块块；并结结合安装装在各客客户端上上的Aggentt统一进进行日志志管理和和事件管管理。6 性能分析6.1 先进性我们在广发发证券宽宽带广域域网系统统中所采采用的CCiscco

43、 75000系列，CCiscco 336622系列等等都是CCiscco公司司的高档档高性能能产品。它它们功能能强大，性性能卓越越，提供供了高性性能，高高可靠性性，高扩扩充性和和灵活简简易的管管理功能能。传统的网络络层交换换中，每每个数据据包要顺顺序经过过多次任任务处理理，因而而会影响响网络性性能，并并且不保保留网络络的连接接状态，如如下图所所示：NetFllow Swiitchhingg 旨在在优化CCiscco IIOS网网络层的的交换性性能，NNetFFloww Swwitcchinng可以以确定互互联网中中端到端端的数据据流，仅仅仅对于于数据流流中的第第一个数数据包进进行处理理，然后后

44、基于端端到端的的连接进进行数据据包的交交换，如如下图所所示。利用Cissco在在其整个个产品系系列中实实现的NNetFFloww功能，当当网络节节点大量量增加时时，我们们仍然可可以得到到高的包包吞吐量量。NeetFllow Swiitchhingg 旨在在优化CCiscco IIOS网网络层的的交换性性能。IP Muuliccastt支持大大量的多多媒体的的应用，是是指针对对特定的的用户组组传输相相同的数数据，例例如电视视会议和和MPEEG-22标准的的视频传传播。对对于此类类多媒体体的应用用，有一一种刚刚刚起步就就已经被被广泛采采用的技技术：多多路广播播（MuultiiCasst）。和和一般

45、的的Uniicasst，Brooadccastt相比，MMulttiCaast在在主干上上只传输输一份拷拷贝，大大大节省省了带宽宽。对于于MulltiCCastt，较成成熟的协协议有IIGMPP。但是是传统的的IGMMP只定定义到路路由器的的端口，在在交换机机构成的的网络中中仍然以以广播方方式传输输。Ciiscoo在IGGMP基基础上设设计了CCGMPP，使MuultiiCasst在交交换机构构成的网网络中仍仍然为MMulttiCaast。对对于多媒媒体应用用，一方方面可以以利用IIP的RSVVP，千千兆以太太网的QQoS来来保证多多媒体信信息传输输的质量量，另一一方面，可可以通过过多路广广播

46、来减减轻骨干干网数据据的流量量。在微微软提出出Nett Shhow和和Nett Caast之之后，将将来网络络中必将将有大量量的多媒媒体应用用，采用用一般的的网络技技术极易易产生网网络流量量的瓶颈颈，网络络会不堪堪重负，MultiCast的技术的重要性将日益突出。在我们建设的网络中，所有的Cisco的网络设备包括路由器和交换机均支持IP Multicast功能，为视频点播，远程教学和视频会议应用系统的实施铺平了道路，更加提高了带宽的利用率，这一点Cisco远远走在业界的前列。对于不支持持多点广广播的应应用，为为了提高高质量，可可以利用用VLAAN技术术，把需需要联系系的节点点定义成成一个虚虚拟

47、网，在在此虚拟拟网内的的数据通通信不受受外部的的影响也也不会影影响无关关节点。Cisco的设备支持RSVP标准，而且可以通过在路由器或交换机内设置不同的优先级队列来满足实时数据对带宽的要求。即使应用是基于UDP或TCP等协议，Cisco的设备也可以通过优先级队列来设置此应用可以得到的服务质量。Ciscoo产品有有比较好好的QOOS服务务质量的的保证:对应用数据据流设定定队列优优先级可可以通过过IP Preeceddencce (IP予予留和抢抢先技术术)支持每个流流量队列列技术pper-floow qqueuuingg (PPFQ)，来保保障对延延时敏感感 的业业务；可可以针对对IP souurcee(原地地址)/IP desstinnatiion(目标地地址)-bassed floows a