网络安全项目网络建设方案31268.docx

《网络安全项目网络建设方案31268.docx》由会员分享，可在线阅读，更多相关《网络安全项目网络建设方案31268.docx（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 广发证券网络安全项目网络部分建设方案书广发证券网网络安全项项目网络部分建建设方案书书20025目 录录1简介32网络安安全项目网网络部分技技术要求及及说明33设计总总体考虑34网络设设计原则45解决方方案65.1网网络解决方方案描述65.2广广东数据中中心的设计计75.3分分公司（区区域中心）网网络系统85.4OOA总部设设计95.5独独立营业部部设计105.6广广域网络的的备份105.7IIP 语音音115.7.11IP语音工工作原理115.7.22语音接点点的布设及及PBX的选选择115.7.33带宽要求求115.7.44对PBX的要要求115.8系系统管理125.8.11CISCCO

2、网络络设备的管管理125.8.22策略的管管理125.8.33IP VVOICEE管理125.8.44CA网管平平台136性能分分析186.1先先进性186.2安安全性206.3保保证服务质质量206.4可可扩展性236.5便便于向新的的技术发展展236.6采采用工业标标准化技术术，具有好好的互联特特性237实施方方案247.1技技术细节247.1.11IP 地址址规划247.1.22路由协议议的选择267.1.33IP语音技技术细节317.1.44信息流策策略-实现QoSS368产品简简介448.1CCiscoo 75000系列路路由器448.2CCiscoo 36000 路由由器508.4

3、NSSM 高级级网络模块块介绍53广发证券网网络安全项项目网络部部分建设方案书书1 简介本方案书是是按照广发发证券网络络安全项目目招标文件件网络部分分简要技术术说明、广广发证券的的现状和实实际需求而而设计的解解决方案。2 网络安全项项目网络部部分技术要要求及说明明网络安全项项目网络部部分综合业业务信息平平台的建设设以广东计计算中心和和全国122家分公司司，87个个营业部的的广域网连连接为主，其其中广州、上上海等122家分公司司作为区域域中心供本本地营业部部的接入，同同时考虑建建立IP语语音的测试试平台，为为将来在企企业范围内内的IP语语音和视频频应用的推推广打好基基础。需求：广域网网络结构整整

4、体性规划划和设计，包包括整体网网络拓扑结结构的建议议，路由算算法的选择择和优化等等工作。网络性性能分析和和改进建议议，包括对对广域网和和局域网的的流量分析析和统计，对对网络传输输性能的优优化改进建建议。网络管管理方案设设计和实施施，包括对对局域网和和广域网的的网络管理理和监控方方案的设计计和实施。网络重重大故障的的技术支持持策略。3 设计总体考考虑当今网络的的发展正远远远超出了了单纯追求求基本连通通的历史阶阶段。我们们在网络连连通基础上上需要更高高要求的网网络服务内内容，包括括QoS网络络服务质量量，Seccuritty安全性性服务，RReliaabiliity高可可靠性，SScalaabil

5、iity可扩扩展性等增增值服务。如图所示CCiscoo所建议的的网络方案案总体结构构基于三层层模型：即即网络硬件件的互连环环境层，网网络软件的的增值服务务层及多层层次网络管管理层。其其中网络硬硬件互连环环境主要指指传统意义义上的网络络互连设备备，包括交交换机，路路由器，拨拨号访问服服务器等设设备环境。Ciscoo公司建议议采用端到到端的网络络方案，即即采用主要要有一家公公司的包括括交换机，路路由器，拨拨号访问服服务器软硬硬件产品。因因为只有这这样才能真真正实现端端到端的网网络性能，端端到端的网网络安全性性，端到端端的服务质质量以及端端到端的网网络管理，从从而在节省省开销的同同时，大大大提高网络

6、络的经济效效益。广发证券在在综合业务务信息平台台的总体设设计思想和和第一期建建设正是体体现了上述述思想。4 网络设计原原则先进性作为广发证证券的新一一代信息系系统的承载载网络，网网络系统处处理的信息息量是十分分庞大的，要要求计算机机网络有很很高的工作作效率。而而且随着业业务的快速速发展，系系统面临的的任务也愈愈来愈艰巨巨，所以，我我们设计的的网络在技技术上必须须体现高度度的先进性性。技术上上的先进性性将保证处处理数据的的高效率，技技术上的先先进性将保保证系统工工作的灵活活性，技术术上的先进进性将保证证网络的可可靠性，技技术上的先先进性也使使系统的扩扩充和维护护变得十分分简单。我我们将在网网络构

7、架，硬硬件设备，传传输速率，协协议选择，安安全控制和和虚拟网划划分等各个个方面充分分体现广发发证券的宽宽带广域网网网络系统统的先进性性。可靠性 在广发证证券的宽带带广域网网网络设计中中，很重要要的一点就就是网络的的可靠性，即即坚固性。在在外界环境境或内部条条件发生突突变时，怎怎样使系统统保持正常常工作，或或者在尽量量短的时间间内恢复正正常工作，在在设计时对对可靠性的的考虑，可可以充分减减少或消除除因意外或或事故造成成的损失。安全性随着计算机机技术的发发展，尤其其是网络和和网络间互互联的规模模的扩大，信信息和网络络的安全性性日益受到到重视。面面临十分严严肃的安全全性挑战。我我们在网络络设计时，将

8、将通过访问问控制列表表、防火墙墙、IP隧隧道等技术术来保证广广发证券的的宽带广域域网网络系系统的安全全。标准化从发展的眼眼光看，计计算机信息息系统就是是要实现信信息的共享享，完成不不同制造厂厂商的设备备和计算机机软、硬件件资源的数数据交换。为为此必须建建立一个由由开放式、标标准化的网网络结构体体系，满足足当前可实实现的技术术，又能适适应今后新新技术的引引进、开发发和推广。我们建议采采用的Ciisco 系列产品品是目前业业界支持协协议最多、接接口介质最最广泛的网网络产品。可管理性和和可维护性性网络设计中中，对网络络主干的有有效管理也也是必须考考虑的主要要因素。一一个有效的的网络管理理方案不仅仅要

9、包括建建立各级网网管中心的的设备及软软件，而且且要包括配配置各种设设备的必要要顾问服务务。尤为重重要的是，要要能帮助用用户制定网网管策略和和网管中心心运作机制制。在网络络投入运行行初期，提提供现场顾顾问服务也也是必须的的。在满足上述述多项原则则的基础上上，尽可能能降低工程程造价，追追求最优的的性能/价格比。当当然，高性性能与高可可靠性是以以高投入为为代价的。最最终的方案案一定是性性能与价格格折中的产产物。可扩展性随着广发证证券的各项项业务的快快速发展，网网络系统面面临的任务务将愈来愈愈艰巨，愈愈来愈复杂杂。为了适适应这个变变化和日新新月异的计计算机技术术的发展，我我们设计的的网络十分分注重扩充

10、充性。无论论是网络硬硬件还是系系统软件，都都可以方便便的扩充和和升级，关关键设备的的扩充和升升级时，系系统将无需需中断正常常的工作。上述系统设设计的原则则将自始自自终贯穿整整个系统的的设计和实实现。5 解决方案5.1 网络解决方方案描述根据以上网网络设计原原则，我们们对广发证证券的宽带带广域网部部分作如下下设计：由上图可见见，广发证证券的宽带带广域网中中心位于计计算中心，与与总部OAA中心、IInterrnet等等外联系统统连接；同同时提供区区域中心、广广东地区营营业部等接接入。上海、北京京等12家家分公司作作为区域中中心供本地地营业部的的接入；同同时，上海海、北京等等12家区区域中心以以及广

11、东地地区除分中中心管理外外的其他营营业部(直直接连接到到信息中心心)接入。整个系统构构成了广发发证券的综综合信息平平台，目前前主要为广广发证券提提供交易、办办公提供数数据应用的的支持，同同时提供IIP语音平平台，为将将来在企业业范围内的的IP语音音和视频应应用的推广广打好基础础。系统中的所所有区域中中心及营业业部，主链链路均采用用中国电信信的DDNN,按照上上述描述连连接；首选选的备份链链路均采用用ISDNN/PSTT；第二份份备份链路路采用现有有的卫星系系统保持不不变。安全问题详详见安全解解决方案。5.2 广东数据中中心的设计计信息中心是是广发证券券宽带广域域网的数据据中心和通通讯中心，采采

12、用一台CCiscoo 75007高端路路由器作为为主干广域域网路由器器，与中国国电信的长长途干线网网连接，在在本期工程程中，与区区域中心合合OA总部部的连接采采用1Mbbps的DDDN链路路，与营业业部的连接接采用2556Kbpps的DDDN链路（建建议）。另另采用一台台Ciscco 36662多功功能路由器器作为PSSTN/IISDN访访问服务器器，提供备备份接入，它它可以自动动识别模拟拟信号和数数字信号，调调配相应的的模拟moodem或或数字moodem与与之握手；同时Ciisco 36622路由器还还起着VooIP语音音网关的作作用，通过过1个E11模块与上上海本地的的PBX相相连接，提

13、提供IP电电话业务。在在广域网路路由器与内内部局域网网之间采用用两台防火火墙，互为为热备份，完完成安全防防卫任务，同同时提供IIPSecc的VPNN隧道技术术的支持。信息中心的的局域网采采用原有CCiscoo Cattalysst 65509 SSwitcch不变，实实现与各地地网络之间间的高速数数据交换。对对于在数据据中心的外外联系统包包括Intterneet和银行行等均包含含在统一的的接入中心心交换平台台上，使用用高端防火火墙作安全全隔离，接接入中心交交易平台使使用三层交交换技术和和网络地址址翻译技术术来确保连连接各个不不同的单位位。5.3 分公司（区区域中心）网网络系统分公司是区区域数据

14、中中心和通讯讯中心，采采用一台CCiscoo 36662高端路路由器作为为主干广域域网路由器器，与数据据中心75506主干干路由器经经DDN连连接，同时时提供下属属营业部主主链路接入入；另采用用一台Ciisco 36622多功能路路由器作为为PSTNN/ISDDN访问服服务器，提提供与数据据中心备份份连接，同同时提供下下属营业部部备份链路路接入；同时Cissco 33662路路由器还起起着VoIIP语音网网关的作用用，通过FFXO端口口与本地PPBX相连连接，提供供IP电话话业务。在在广域网路路由器与内内部局域网网之间采用用两台防火火墙，互为为热备份，完完成安全防防卫任务，同同时提供IIPSe

15、cc的VPNN隧道技术术的支持。5.4 OA总部设设计OA总部是是OA等业业务系统中中心，采用用一台Ciisco 36622高端路由由器作为主主干广域网网路由器，与与数据中心心75066主干路由由器经DDDN连接；另采用一一台Cissco 33662多多功能路由由器作为PPSTN/ISDNN访问服务务器，提供供与数据中中心备份连连接；同时Cissco 33662路路由器还起起着VoIIP语音网网关的作用用，通过FFXO端口口与本地PPBX相连连接，提供供IP电话话业务。在在广域网路路由器与内内部局域网网之间采用用两台防火火墙，互为为热备份，完完成安全防防卫任务，同同时提供IIPSecc的VPN

16、N隧道技术术的支持。5.5 独立营业部部设计其他地区的的营业部目目前在第一一期工程时时先采用一一台Cissco 22651多多功能路由由器通过11条2566Kbpss的DDNN长途链路路与信息中中心或区域域中心主路路由器相连连接，通过过ISDNN/PSTTN进行主主链路的备备份。在广广域网路由由器与内部部局域网之之间采用一一台防火墙墙，在完成成安全防卫卫任务。目前这些营营业部包括括北京、上上海、广东东地区等，共共87个。5.6 广域网络的的备份在数据中心心配置了一一台多功能能Ciscco 36660路由由器作为VVoIP语语音网关和和ISDNN/PSTTN备份连连接网络接接入服务器器，可同时时

17、容纳300条普通MMODEMM或数字MMODEMM进行备份份连接，满满足广发证证券总的备备份 能力力的需求。同时还可兼兼作移动用用户的接入入访问控制制服务器。另外，我们们建议采用用原有的卫卫星线路作作为第二条条备份链路路。5.7 IP 语音音5.7.1 IP语音工工作原理5.7.2 语音接点的的布设及PPBX的选选择针对IP语语音的建立立，在上海海数据中心心的36662路由器器上增加一一个E1端端口的语音音模块，用用于连接PPBX；信信息中心的的PBX推推荐采用数数字交换系系统，采用用该交换机机还可为将将来的IPP Calll Ceenterr打下基础础。在区域中心心和OA总总部的36662则

18、使使用8线FFXO的两两个语音模模块连接本本地的PBBX；可建建立VoIIP的平台台，作广发发证券全面面实施IPP 语音准准备。5.7.3 带宽要求 一路语音在在传统的TTDM电讯讯系统中传传输需占用用64K带带宽，而利利用新的IIP技术可可将其压缩缩至1012K。当广域网线线路的利用用率超过770%的时时候，网络络性能将会会呈线性下下降。所以以，为保障障网络的质质量，8路路并发语音音所需要带带宽为：|8K*110/700%|=1114K。5.7.4 对PBX的的要求 采采用本方案案需要总部部的PBXX 支持EE1接入。若若不支持则则根据具体体情况需要要更改为路路由器的语语音接口为为E&M或或

19、FX0接接口。5.8 系统管理页：14加入策略管理、IP VOICE 管理5.8.1 CISCOO 网络设设备的管理理在广发证券券的语音网网络中我们们配置了CCiscooWorkks20000 LAN Manaagemeent和CisccoWorrks20000 RRouteed WAAN Maanageementt，为广发证券券提供配置置、管理、监监控和故障障诊断工具具。其具有有基于 WWeb 的的解决方案案带有管理理交换和路路由环境的的应用。5.8.2 策略的管理理在广发证券券的语音网网络中我们们配置了CCiscooWorkks20000 Ciisco Secuure PPoliccy M

20、aanageer，是一个用用于 Ciisco 防火墙和和虚拟专网网(VPNN)网关的的可伸缩、强强大的安全全政策管理理系统。通通过 Ciisco Secuure PPoliccy Maanageer，Ciisco 客户可以以集中定义义、分发、执执行和审计计网络范围围的安全政政策。该产产品使管理理复杂网络络安全部件件的任务流流程化，例例如周边访访问控制、网网络地址转转换(NAAT)和基基于 IPPSec 的 VPPN。通过 Ciisco Secuure PPoliccy Maanageer的图形形用户界面面，管理员员可以直观观地为多个个 Cissco 防防火墙和 VPN 网关定义义高级安全全政策

21、。在在创建时，这这些政策可可以集中分分发，从而而消除了逐逐设备实施施安全命令令的代价高高昂、耗费费时间的实实践。此外外，该产品品还提供系系统审计功功能，包括括事件通知知和一个基基于 Weeb 的报报告系统。作作为 Ciisco 端到端安安全产品线线的管理基基础，Ciisco Secuure PPoliccy Maanageer 在 Ciscco 网络络内简化了了安全产品品和服务的的部署。同时系统还还配置了CCiscoo QoSS Pollicy Manaager ，它是一个个全特性的的政策系统统，它简化化了为企业业网络配置置和部署 QoS 政策的复复杂性。5.8.3 IP VOOICE管管理在

22、广发证券券的语音网网络中我们们配置了CCiscooWorkks20000 Vooice Manaager 2.0 (CVMM)， CCVM提供供了基于WWeb的语语音管理和和报告的解解决方案。它它具备了配配置语音端端口以及建建立/更改改Voicce Ovver IIP网络中中的拨号计计划的能力力。它能自自动检测网网络状况，包包含有检测测网络故障障的工具以以及通话的的详细资料料，如通话话质量、历历史数据等等。Ciscoo Voiice MManagger是通通过TCPP/IP网网络与VooIP的设设备建立联联系。即用用户使用通通常的weeb浏览器器（Nettscappe、IEE）通过标标准的超文

23、文本协议（HHTTP）与与Ciscco Vooice Manaager Servver进行行通讯。同同时，Ciisco Voicce Maanageer Seerverr则通过简简单网络管管理协议（SSNMP）与与支持语音音的设备进进行通讯。因因此也就实实现了用户户通过WEEB浏览器器来管理VVoIP网网的功能。5.8.4 CA网管平平台5.8.4.1 系统运行状状况和可用用性管理概念和范围围系统运行状状况和可用用性监控是是确保整个个IT系统统顺利、高高效运作的的最基本的的功能，他他通过监控控网络线路路、设备、服服务器、数数据库和应应用系统的的可用性和和运行状况况，为其他他各种ESSM管理功功

24、能提供数数据来源。我们建议首首期广发证证券网络系系统运行状状况和可用用性管理的的范围是：广发证证券网络系系统数据中中心局域网网络/设备备管理广发证证券网络系系统广域网网线路/设设备管理广发证证券网络系系统中心关关键服务器器操作系统统广发证证券网络系系统关键数数据库系统统（如SQQL）对这些对象象进行性能能管理的目目标是实时时监控其关关键参数的的运行状态态和故障情情况，通过过直观简洁洁的图形用用户界面集集中表现出出来。发生生不同严重重程度的警警告和故障障，以直观观的发生呈呈现给管理理员，以便便及时处理理。实现方案为了在上述述范围内实实现集中的的可用性和和故障管理理，我们建建议在网络络中心采用用一

25、台PCC服务器，通通过Uniicentter的相相关管理模模块完成可可用性和故故障管理功功能。另外，对操操作系统、数数据库和应应用系统的的管理需要要这些服务务器的参与与-在这些些计算机上上部署CAA相关管理理软件。我们建议的的广发证券券网络系统统运行状况况、可用性性和故障管管理由如下下不同部分分组成：Uniicentter NNSM，负负责收集管管理范围内内所有的网网络线路、设设备、服务务器、数据据库系统的的运行状况况、可用性性和故障信信息，通过过直观用户户界面实时时展示给客客户。广发发证券网络络系统各个个被管理服服务器上的的NSM模模块负责监监视本机操操作系统，收收集可用性性和故障数数据，通

26、过过管理主控控台集中反反映。监控控内容包括括网络设备备处理器、缓缓冲区、端端口、线路路故障和可可用性，操操作系统CCPU、内内存、交换换区、文件件系统、文文件、磁盘盘、进程、日日志文件等等。Uniicentter NNSM AAdvannced Netwwork Operratioons，该该模块安装装在管理主主控台上，负负责对不同同网络设备备、资源的的特性进行行进一步监监控和管理理。如监控控、控制局局域网VLLAN划分分、监控网网络路径可可用性、基基于PVCC监控帧中中继线路可可用性和故故障等等本方案建议议的系统管管理功能从从各种不同同的来源采采集数据：广域网网络内的各各地分公司司安装一套套

27、Uniccenteer NSSM，负责责采集本网网络内的有有关系统信信息，同时时受信息中中心的Unnicennter NSM Conssole统统一管理；网络线线路和设备备可用性和和故障管理理通过SNNMP协议议，采集网网络设备的的MIB II以及及设备专用用的MIBB信息库完完成；同时时通过ICCMP协议议定期Piing各个个节点，探探测设备可可用性；系统、数数据库和应应用系统故故障和可用用性管理由由安装在被被管机上的的模块监视视系统，收收集数据。利利用Uniicentter的AAgentt技术透过过SNMPP向管理主主控台传递递数据。5.8.4.2 性能管理和和容量规划划概念和范围围性能管

28、理主主要是针对对IT系统统中网络线线路和设备备、操作系系统和数据据库系统的的性能情况况进行监控控和分析的的。与系统统可用性和和故障不同同，系统性性能降低虽虽然不会立立刻导致系系统瘫痪，但但延长了业业务的响应应时间，浪浪费了系统统软件的投投资和业务务人员的时时间，降低低了工作效效率。如果果系统性能能问题长时时间得不到到解决，还还可能积累累起来，形形成严重的的故障。因因此，系统统性能管理理也是确保保整个ITT系统可靠靠、稳定、高高效运作的的关键，是是网络正常常运行的重重要的部分分之一。为了实现有有效的性能能管理策略略，广发证证券网络系系统的技术术支持人员员应该从两两个基本方方面进行工工作：日常系系

29、统性能监监控，发现现和处理各各种性能问问题；定期进进行长期的的性能趋势势分析和规规划。对这些对象象进行性能能管理的目目标是为每每一项性能能参数设置置门限值，产产生实时和和历史的性性能报表，性性能指标超超过门限值值时产生报报警并通知知事件管理理功能(实实现自动响响应动作和和通过帮助助台的人工工响应)。该该目标也包包括端到端端的响应时时间监控。对性能管理理的高级目目标是通过过性能管理理功能提供供的专家建建议和性能能优化工具具，帮助管管理员更快快、更正确确地进行性性能调整。实现方案为了在上述述范围内实实现集中的的性能管理理和容量规规划功能，我我们建议在在中心采用用两台PCC服务器，通通过Uniice

30、ntter的相相关性能管管理模块完完成性能管管理功能。使使用两台服服务器做事事件管理是是为了增加加冗余度，提提高系统可可用性和可可靠性。建建议该服务务器与系统统运行状况况和可用性性管理共享享硬件设备备。另外，对操操作系统、数数据库和应应用系统的的性能管理理需要这些些服务器的的参与-在在这些计算算机上部署署CA性能能管理软件件。我们建建议的广发发证券网络络系统性能能管理由以以下不同部部分组成：Uniicentter PPerfoormannce MManaggemennt，负责责收集管理理范围内所所有的网络络线路和设设备的性能能数据，集集中保存、汇汇总这些数数据，生成成实时和历历史性能报报告，检

31、测测和记录性性能问题，并并通过事件件管理功能能自动响应应，通过帮帮助台系统统人工响应应；本方案建议议的性能管管理功能从从各种不同同的来源采采集数据：网络线线路和设备备性能管理理通过SNNMP协议议，采集网网络设备的的MIB II、RRMON V1、RRMON V2以及及设备专用用的MIBB信息库完完成；系统和和数据库性性能管理由由安装在被被管机上的的模块收集集数据，进进行性能调调整。他们们之间通过过CA通用用服务CAAFT数据据传送机制制传输数据据，采集的的数据包括括CPU Utillizattion、DDisk Infoo、Fille Acccesss inffo、Buufferr Actt

32、ivitty、Syystemm Calll Sttatissticss、Memmory Freeeing Actiivityy、Messsagee & SSemapphoree Acttivitty、Paagingg Acttivitty、Quueue lenggth、MMemorry Ussage、SSwappping Actiivityy、Terrminaal Acctiviity、TTotall Loggged in UUserss、Fille sttore usagge、Prrocesss innformmatioon等等5.8.4.3 角色和责任任广发证券网网络系统EESM性能能管理

33、功能能主要有三三种业务人人员：技术术支持、日日常操作和和管理。技术支持人人员负责性性能管理策策略的制定定和实施过过程；日常常操作人员员通过性能能管理工具具进行日常常的性能监监控、和性性能问题处处理；管理理人员通过过性能分析析报表完成成性能趋势势分析和容容量规划。技术支持人人员定制性性能管理策策略并通过过性能管理理软件部署署这些策略略，操作人人员监视日日常性能状状况，出现现性能问题题后调用自自动处理过过程进行调调整，或者者通过事件件管理或帮帮助台系统统通知技术术支持人员员，技术支支持人员人人工优化解解决性能问问题。历史史性能报表表提交管理理人员，作作为趋势分分析和容量量规划的依依据。5.8.4.

34、4 业务流程性能问题处处理流程 该流程定义义日常工作作中性能参参数超过定定义的门限限值时采取取的步骤和和动作。性能管理软软件监测到到性能超过过定义门限限，把问题题自动报告告到事件管管理。事件件管理根据据问题性质质在三种处处理方式中中选择：执行预预定义的调调整和修复复动作通知技技术支持人人员手工处处理自动在在帮助台系系统生成问问题定义，由由帮助台系系统分派、跟跟踪问题的的处理。日常操作流流程 该流程定义义操作人员员日常对网网络、系统统和应用性性能管理的的监控和处处理过程。 性能报表处处理流程 该流程定义义历史性能能报表的产产生和处理理过程。对对网络、性性能和应用用的性能数数据采集器器定期把数数据

35、上送到到管理主控控台，管理理主控台自自动存储汇汇总这些数数据。技术术支持人员员定期生成成性能月报报，并提交交给规划管管理人员，管管理人员审审查性能报报报告，进进行容量规规划。5.8.4.5 管理方案前一章按照照不同的管管理功能和和流程描述述理CA推推荐广发证证券网络系系统应该部部署的功能能、范围以以及实现方方案。本章章从软硬件件方案的角角度描述CCA实现这这些功能所所采取的方方案。硬件要求在我们的管管理方案中中，ESMM的管理利利用广发证证券网络系系统现有的的网络设施施实现ESSM相关功功能，同时时需要增加加下列服务务器资源：(1)网网络系统主主控台一台台（位于广广域网中心心）建议采用高高档P

36、C服服务器作为为系统管理理机，分别别担任不同同管理功能能的服务器器和主控台台。oInttel PPentiium IIII 6666 MMHz oor hiigherro10224 MBB RAMMoEthherneet NIICoCollor 11024xx768 SVGAAoCD-ROM drivveoMinnimumm 40GGB SCCSI hhard diskkoWinndowss NT Servver 44.0 wwith Servvice Packk 4 oor wiindowws20000 seerverroMS-SQL Servver vv6.5 or hhigheeroMi

37、ccrosooft EExcelloMiccrosooft IInterrnet Infoormattion Servver 44.0oTCPP/IP connnectiivityyoSNMMP seervicce ennableed（2）各地地分公司建建议采用高高档的PCC机做本地地管理中心心oInttel PPentiium III 2666MHzz MMXX minnimumm or highhero2566 MB RAMoEthherneet NIICoCollor 11024xx768 SVGAAoCD-ROM drivveoMinnimumm 20GGB haard ddiskoW

38、inndowss NT Servver 44.0 wwith Servvice Packk 4 oor wiindowws20000 seerverroMS-SQL Servver vv6.5 or hhigheeroMiccrosooft EExcelloMiccrosooft IInterrnet Infoormattion Servver 44.0oTCPP/IP connnectiivityyoSNMMP seervicce ennableed（2）各营营业部建议议采用废弃弃的PC机机做本地信信息收集机机软件配置1）主控控台上部署署如下产品品，完成系系统运行状状况和可用用性管理、性性能

39、管理和和容量规划划、事件管管理功能。Uniicentter NNSM，网网络、服务务器、数据据库的运行行状况、可可用性和故故障管理模模块；并结结合安装在在各分公司司的子模块块和客户端端上的Aggent统统一进行日日志管理和和事件管理理。Uniicentter AAdvannced Netwwork Operratioons，该该模块安装装在管理主主控台上，负负责对不同同网络设备备、资源的的特性进行行进一步监监控和管理理。如监控控、控制局局域网VLLAN划分分、监控网网络路径可可用性、基基于PVCC监控帧中中继线路可可用性和故故障等等Uniicentter PPeroffrmannce MMan

40、aggemennt，对网网络、服务务器性能进进行管理的的模块。2）在各地地分公司的的本地管理理中心上：Uniicentter NNSM，作作为广域网网中心的子子模块，负负责本地分分公司和营营业部的网网络、服务务器、数据据库的运行行状况、可可用性和故故障管理模模块；并结结合安装在在各客户端端上的Aggent统统一进行日日志管理和和事件管理理。6 性能分析6.1 先进性我们在广发发证券宽带带广域网系系统中所采采用的Ciscoo 7500系列，CCiscoo 36662系列等等都是Ciisco公公司的高档档高性能产产品。它们们功能强大大，性能卓卓越，提供供了高性能能，高可靠靠性，高扩扩充性和灵灵活简

41、易的的管理功能能。传统的网络络层交换中中，每个数数据包要顺顺序经过多多次任务处处理，因而而会影响网网络性能，并并且不保留留网络的连连接状态，如如下图所示示：NetFllow SSwitcchingg 旨在优优化Ciscoo IOSS网络层的的交换性能能，NettFloww Swiitchiing可以以确定互联联网中端到到端的数据据流，仅仅仅对于数据据流中的第第一个数据据包进行处处理，然后后基于端到到端的连接接进行数据据包的交换换，如下图图所示。利用Cissco在其其整个产品品系列中实实现的NeetFloow功能，当当网络节点点大量增加加时，我们们仍然可以以得到高的的包吞吐量量。NettFlow

42、w Swiitchiing 旨旨在优化CCiscoo IOSS网络层的的交换性能能。IP Muulicaast支持持大量的多多媒体的应应用，是指指针对特定定的用户组组传输相同同的数据，例例如电视会会议和MPPEG-22标准的视视频传播。对对于此类多多媒体的应应用，有一一种刚刚起起步就已经经被广泛采采用的技术术：多路广广播（MuultiCCast）。和和一般的UUnicaast，Broaadcasst相比，MuultiCCast在在主干上只只传输一份份拷贝，大大大节省了了带宽。对对于MulltiCaast，较较成熟的协协议有IGGMP。但但是传统的的IGMPP只定义到到路由器的的端口，在在交换机

43、构构成的网络络中仍然以以广播方式式传输。CCiscoo在IGMMP基础上上设计了CCGMP，使使MulttiCasst在交换换机构成的的网络中仍仍然为MuultiCCast。对对于多媒体体应用，一一方面可以以利用IPP的RSVPP，千兆以以太网的QQoS来保保证多媒体体信息传输输的质量，另另一方面，可可以通过多多路广播来来减轻骨干干网数据的的流量。在在微软提出出Net Showw和Net Castt之后，将将来网络中中必将有大大量的多媒媒体应用，采采用一般的的网络技术术极易产生生网络流量量的瓶颈，网网络会不堪堪重负，MMultiiCastt的技术的的重要性将将日益突出出。在我们们建设的网网络中

44、，所所有的Ciisco的的网络设备备包括路由由器和交换换机均支持持IP MMultiicastt功能，为为视频点播播，远程教教学和视频频会议应用用系统的实实施铺平了了道路，更更加提高了了带宽的利利用率，这这一点Ciisco远远远走在业业界的前列列。对于不支持持多点广播播的应用，为为了提高质质量，可以以利用VLLAN技术术，把需要要联系的节节点定义成成一个虚拟拟网，在此此虚拟网内内的数据通通信不受外外部的影响响也不会影影响无关节节点。Ciisco的的设备支持持RSVPP标准，而而且可以通通过在路由由器或交换换机内设置置不同的优优先级队列列来满足实实时数据对对带宽的要要求。即使使应用是基基于UDP

45、P或TCP等协协议，Ciisco的的设备也可可以通过优优先级队列列来设置此此应用可以以得到的服服务质量。Ciscoo产品有比比较好的QQOS服务务质量的保保证:对应用数据据流设定队队列优先级级可以通过过IP PPreceedencce (IIP予留和和抢先技术术)支持每个流流量队列技技术perr-floow quueuinng (PPFQ)，来来保障对延延时敏感 的业务；可以针对对IP ssourcce(原地地址)/IIP deestinnatioon(目标标地址)-baseed fllows and TCP/UDP portt-(端口口号)baased flowws，设定定队列优先先级； 通

46、过对IPP Traafficc claassifficattion，sshapiing，保保障关键业业务的带宽宽； 通过将资源源保留协议议(RSVVP)映射射到Cattalysst 60000/44000/29000优先级序序列的方法法支持为每每台台式机机设定的服服务级别，以以保证及时时提供时间间敏感型内内部网应用用软件。6.2 安全性从管理和技技术角度，通通过制定不不同的安全全策略来实实施建设一一个性能优优越、安全全可靠、技技术先进、可可扩展性好好的综合业业务网络系系统。6.3 保证服务质质量服务质量（QQoS）介介绍企业互联网网络已经从从提供局域域网组之间间的简单连连接发展到到成为企业业数

47、据通信信基础机构构的一个有有机组成部部分。一般般来说，企企业的目标标是部署和和维护一个个单一的企企业网络，但但是他们希希望网络支支持不同的的应用程序序、组织、技技术和用户户期望。因因此，网络络管理人员员需要给所所有用户提提供一个适适当的水准准，并继续续支持关键键任务应用用程序，与与此同时还还得有能力力集成新技技术。或者，这种种挑战可以以被描述成成为企业网网络提供某某种级别的的集中控制制和网络决决定性，这这种级别更更加适应传传统的基于于主机的企企业网络的的要求，例例如IBMM的系统网网络体系结结构（SNNA）。此此外，运行行一个网络络的主要成成本在于广广域网线路路收费，因因此网络管管理人员必必须在带宽宽和广域网网线路的成成本以及提提供给用户户的服务级级别之