1、 1 华康医药计算机网络改造项目设计方案2003 年 5 月目 录第一章 前 言 .4第二章 需求分析 .52.1 网络系统设计的原则 .52.2 系统需求归纳 .62.3 系统设计目标 .6第三章 总体方案设计 .73.1 核心技术介绍 .73.1.1 局域网技术选型 .73.1.2 虚拟网络的划分 .93.1.3 第三层交换与路由 .123.2 总体方案设计概述 .193.2.1 总体方案设计目标 .193.2.2 总体方案设计原则 .193.1.3 网络平台的设计 .203.1.4 主机选型概述 .203.1.5 网络设备选型概述 .21第四章 网络系统设计 .224.1 网络拓扑结构
2、.224.2 整体网络结构 .234.3 企业内部局域网 .244.4 INTERNET 接入 .244.5 VPN 组建 .244.6 方案特点 .28第五章 主机系统设计 .295.1 服务器发展趋势 .295.2 服务器选型和配置 .315.3 WIN2000 操作系统 .35第六章 网络安全设计 .376.1 系统安全策略设计原则 .376.2 系统安全模式设计 .376.3 STOPHACKER 守护神防火墙 .406.3.1 StopHacker 守护神 防火墙的优点 .406.3.2 StopHacker 守护神 防火墙功能 .416.3.3 StopHacker 守护神 防火墙
3、性能、参数 .44第七章 UPS 电源方案设计 .45第八章 产品介绍 .478.1 IBM X370 高性能服务器 .47第一章 前 言21 世纪世界竞争的焦点将是信息的竞争,社会和经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大,信息技术的发展对政治、经济、科技、教育、军事等诸多方面的发展产生了重大的影响,信息化是世界各国发展经济的共同选择,信息化程度已成为衡量一个国家,一个行业现代化的重要标志。我公司是从事计算机系统集成和软件开发的高科技信息产业公司。主营业务为计算机系统集成,包括信息管理系统及软件开发、网络与通讯、网络安全、安全监控、智能大楼综合布线工程等。公司在承接大中型工
4、程项目上有着坚实的技术基础和丰富的实践经验。工程涉及政府、企业、部队、公安、金融、税务、邮电、电力等各个行业,承接了几十项规模大、技术先进的重点工程。公司在计算机系列产品及网络系统产品上与国内外多家先进厂家进行了密切的合作,并建立了良好的销售及代理渠道,使公司能以最先进的技术、最快捷的服务为各类大、中型项目提供良好的支持。华康医药公司计算机网络系统集成项目作为 ERP 系统重要组成部分,在其设计和建设中应充分考虑当前和未来信息系统的发展需要,采用合理的技术,选用先进的设备和软件,以最大限度地满足当前应用系统的需要。其系统总体目标是根据华康医药公司的现状与需求,建立先进、实用、安全、可靠、开放的
5、计算机网络环境,利用先进的技术和手段实现网络互联,建成企业内部信息网络系统,以实现各个部门的连接及信息共享,最大限度提高企业内部信息系统的的效率。因此,根据华康医药公司网络的需求,并在充分理解华康医药公司 ERP 信息化系统实际需求的基础上,结合我公司技术人员多年的计算机系统集成经验和最新的计算机网络技术,本着“先进性、可靠性、安全性、实用性、开放性、可扩展性、易操作性、易管理维护性”的原则,给出我公司的设计方案。第二章 需求分析2.1 网络系统设计的原则“先进性”原则,计算机网络系统的基础结构要立足于目前相关领域国际先进的技术和标准,以 Intranet 为核心,选用具有代表性和先进性的技术
6、和设备,建成技术先进、性能优良、功能齐全、运行可靠的计算机网络系统。“可靠性”原则运行可靠是计算机网络系统建设的一个先决条件,各种服务器和计算机系统应具有长期的重负荷稳定运行和相对较强的抗干扰能力,必须采用多方面的措施,如尽量采用成熟而通用的技术和产品、在系统设计和软硬件选配中尽量简化及优化、对系统关键部分做适当的冗余考虑等,使系统具有良好的可靠性。“安全性”原则,计算机网络系统必须按照多重保护、多层次实现、多个安全单元以及动态发展等安全性策略,在服务器平台方案和部署设计上,应体现较为完善的网内安全隔离和网间互联安全保护等原则,在设备及软件的选型配置上,应对其所具备的安全技术和保护能力等加以充
7、分考虑,形成安全系统机制,并提供有效的备份应急措施,为进行严格的信息安全管理提供技术基础和手段。 “实用性”原则,在网络系统的设计和建设过程中,要尽量采取成熟的、有成功先例的技术,合理选用系统设备和系统软件,优化系统性能价格比,精心设计、科学施工,避免采用过高和华而不实的技术、设备和软件,避免失误,避免重复劳动,求的资金投入的最大效益。“开放性”原则,网络系统设计过程中,要坚持标准化和开放的原则,采用广为流行的国家标准和国际标准,使不同生产厂商的硬件、软件产品能融为一体,为信息系统开发提供良好的开发平台。“扩展性”原则,随着企业信息化的不断发展,企业计算机局域网信息系统及应用的规模和水平将会不
8、断发展变化,这就要求计算机网络系统能够适应这些发展变化。另一方面,计算机网络和通信技术发展迅速,新的技术不断涌现,新的需求不断增加。因此,建成的计算机网络系统应具备良好的可升级性、可扩展性,以适应不断发展的应用需要、跟上不断进步的技术水平。“可管理性”原则,系统应支持先进有效的管理策略,提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况,并在安全和系统故障方面进行预警,提交日志和分析报告,及时发现故障点,为平衡负载、优化服务、排除故障提供手段和依据。2.2 系统需求归纳华康医药公司各业务部门信息点主要分布在旧办公大楼,未来新大楼建成使用之后,中心机房将搬迁到新大楼。需求归纳如下:1.
9、 局域网主干采用千兆以太网技术,100M 交换到桌面,采用InternetIntranet应用模式;2. 网络必须采用 VLAN 和第三层交换技术,控制和管理;3. 广域网采用多种技术,实现各个信息点通信的要求(包括 IP 电话);4. 操作系统采用 Windows2000AdvancedServer;5. 采用防火墙技术和可靠的防火墙产品,保证整个网络的安全;6. 主机系统采用 IBM 服务器和磁盘阵列组成,要具有高可靠性,数据库系统建议采用大型数据库系统(Oracle)。2.3 系统设计目标1. 实现华康医药公司各科室及科室内部以及各连锁药房的信息交换和资源共享,满足每个桌面的计算机均能入
10、网的要求;2. 建立远程传输系统,实现在外人员与各部门及时有效的信息交换和移动办公;3. 以网络硬件和各服务器平台为基础,形成 IntranetIntemet 技术为核心的企业级网络环境,建立 ERP 系统;4. 未来实现和社保等单位的网络互连第三章 总体方案设计3.1 核心技术介绍3.1.1 局域网技术选型随着信息产业的发展,台式机系统的能力火箭般上升,各种新的图形应用和多媒体应用在网上运行,联网用户急剧增加,网络规模和复杂性不断增长。另外,IntranetInternet 应用模式的采用,使得网络流量更加难以预测。这一切都对网络通信性能提出了更高的要求。采用高速网络技术势在必行。目前可供选
11、择的有 100Base-T、ATM 和千兆位以太网技术,各种技术又可用集线器、交换机、第三层交换机和路由器进行多样组合。对此,我们必须进行探讨,慎重选择。ATM 技术可说是网络上的一大变革,它所有的观念炯异于以前的网络概念,它是一种面向连接的网络技术。所谓面向连接是指传送一方在送资料时需和接收一方建立连线,就如同我们打电话一般。另外 ATM 的报文大小为固定长度(53 字节)的信元,如此可保证传输过程的低延迟能力。最特别的是,在 ATM 的通讯架构中,早已建置了服务质量(QOS)的功能。由于以上的特征,ATM 将是一种很有发展前途的技术,也是人们所期待的集成语音、影像及数据等多媒体信息的技术。
12、然而就是因为 ATM 集合了这么多的优点,造成规格及标准的制定困难,进度缓慢,同时也因为以前的应用程序均是以 NDIS 及 ODI 作为应用编程接口(APl),若要使用 ATM 的优点,则必须通过 LAN Emulation 或 MPOA 之转换,但经由此等转换后,ATM 的优异性将荡然无存。而在 ATM 到桌面的环境中,由于缺乏能有效利用 ATM 特性的 APl 标准,导致目前在 ATM 上的多媒体应用多为厂商专属的解决方案,存在致命的兼容性问题,不利于发挥 ATM 的优势,加上管理界面的不同,限制了用户的接受度。为了能与 ATM 分庭抗礼,以太网络的忠实拥护者于数年前推出了 100Mbps
13、 快速以太网络。与此同时,业界还问世了另一标准100VG-AnyLAN,这两者同样是 100Mbps的传输速度。100VG-AnyLAN 支持优先级调度,平心而论,它确实是很好的通讯协议,但在业界及使用者的选择下,100VG-AnyLAN 被淘汰出局,成为叫好不叫座的明星。究其原因,在于快速以太网采用和以以太网相同的技术,传承自以太网的规范,原来的应用可继承。由于在网络市场中,以太网的用户数比例高达 80以上,如此雄厚的用户基础,加上快速以太网良好的性能价格比,使其迅速成为市场主流。快速以太网与交换技术的结合,使其具备如下优点* 简单,低成本,可实现原有以太网无缝升级:* 众多处于业界依靠的网
14、络厂商、主机厂商、半导体厂商甚至传统通信业厂商的支持。而在快速以太网规范完成的同时,千兆以太网(Gigabit Ethernet)的规范即已着手制定,希望能将以太网络的频宽从 10Mbps、100Mbps 提升到 1000Mbps。干兆以太网仍属于 IEEE 8023 类,仍采用 CSMACD 协议,有着相同的报文格式及长度,同样的管理界面,同样的全双工及半双工操作模式。1EEE8023z 规范于近期完成,市面上已在产品问世。目前在布线上已明确规范上分为 1000Base-SX 和 1000Base-LX。1000Base-SX 支持多模光纤(850nm 短波长),传输距离 500m:1000
15、BaseLX(1300波长),支持多模光纤或单模光纤,多模方式,传输距离不低于 550m,单模方式,传输距离最远可达 70km。千兆以太网的出现,为以太网、快速以太网提供了一个新的升级途径。面对 IEEE 8023 类以太网络在频宽管理能力方面的缺乏,IEEE 在其规范中不断采取它种技术以修正,如在服务质量方面(QOS),积极制定 IEEE8021p 优先权级别,同时利用 RSVP,使用频宽保留的技术提供服务类(Class of Service),供语音及影像等多媒体信息应用。综上所述,就目前来看,ATM 和 IEEE8023 类的以太网(包括 10Mbps、100Mbps和 1000Mbps
16、)这两种技术是比较有前途的,其中后者适用于以数据为主的应用环境中,搭配一些频宽管理的特性,也可使用多媒体。适用环境如:ISP、数据交换中心及企业Intranet 之主干技术。而 ATM 则适用需同时提供语音、视频、数据服务之环境。根据上述当前的技术发展趋势,针对华康医药公司网络的需求,我们建议采用交换技术构筑局域网,为了保护以前的投资,网络主干采用快速以太网,同时具备向千兆以太网升级的能力,而客户机以 100M 以太网接入网。从近年来计算机应用的发展来看,越来越强调各个部门之间的协调、协作与沟通,诸如 Intranet 和分布式协同计算模式的应用已日趋广泛,这使得任何用户在任何时间都有可能访问
17、任何服务器的资源。下一个瓶颈将在哪里出现是很难预料的。因此,有必要在网络设计时,考虑配置高速交换机,在主干中建立过量的带宽,以确保每一个应用都可以在它需要的时间内得到它需要的资源。而另一方面,随着网络规模的扩大,如果采用全交换方式,而不具备路由能力时,那么整个局域网将不得不作为一个单一的庞大的广播域来运作,这样会造成任何一个与网络连接的端点发出一个广播报文时,它将穿透所有的交换器而影响整个网络效率,进而引起广播拥塞,导致网络响应时间缓慢到不能接受的地步。网络规模越大,产生这种广播风暴的机会会越高。这就需要采用路由技术将一个大的广播域分割成互连的几个小的广播域。但传统的路由器吞吐量低、延迟大,且
18、价格昂贵,不适应于应用模式的需要。第三层交换机则应运而生,结合了第二层交换的高吞吐量、低延迟的特性,和路由器的安全控制和管理能力。我们建议在华康医药公司网络工程系统中引入第三层交换技术。根据当前的技术发展趋势,针对华康医药公司域网的应用需求,我们建议采用交换技术构筑内部局域网,网络主干采用千兆以太网,而客户机以 100M 以太网接入网。3.1.2 虚拟网络的划分在华康医药公司域网中,可以采用虚拟网技术,对华康医药公司不同的部门划分虚拟网。虚拟网(VLAN)是将一组彼此相关的用户和服务器逻辑地分成工作群组,这样的逻辑划分与物理位置无关,用户、工作站或服务器能够在网络网部任意移动,而始终维持通讯上
19、原有的逻辑关系不变。其实,使用 VLAN 技术就是把一组用户分配在一个单一的广播域(VLAN)中, 在该广播域上的广播流量只有其成员才能够收到。实际上,VLAN 成员的定义可以分为 4 种:1、根据端口划分 VLAN这种划分 VLAN 的方法是根据以太网交换机的端口来划分,比如 CISCO3550 的 14端口为 VLAN A,517 为 VLAN B,1824 为 VLAN C,当然,这些属于同一 VLAN 的端口可以不连续,如何配置,由管理员决定,如果有多个交换机的话,例如,可以指定交换机 1 的 16 端口和交换机 2 的 14 端口为同一 VLAN,即同一 VLAN 可以跨越数个以太网
20、交换机,根据端口划分是目前定义 VLAN 的最常用的方法,IEEE 802.1Q 协议规定的就是如何根据交换机的端口来划分 VLAN。这种划分的方法的优点是定义 VLAN 成员时非常简单,只要将所有的端口都指定义一下就可以了。它的缺点是如果 VLAN A 的用户离开了原来的端口,到了一个新的交换机的某个端口,那么就必须重新定义。2、 根据 MAC 地址划分 VLAN这种划分 VLAN 的方法是根据每个主机的 MAC 地址来划分,即对每个 MAC 地址的主机都配置他属于哪个组。这种划分 VLAN 的方法的最大优点就是当用户物理位置移动时,即从一个交换机换到其他的交换机时,VLAN 不用重新配置,
21、所以,可以认为这种根据MAC 地址的划分方法是基于用户的 VLAN,这种方法的缺点是初始化时,所有的用户都必须进行配置,如果有几百个甚至上千个用户的话,配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低,因为在每一个交换机的端口都可能存在很多个 VLAN 组的成员,这样就无法限制广播包了。另外,对于使用笔记本电脑的用户来说,他们的网卡可能经常更换,这样,VLAN 就必须不停的配置。3、 根据网络层划分 VLAN这种划分 VLAN 的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的,虽然这种划分方法可能是根据网络地址,比如 IP 地址,但它不是路由,不要与网络层的路由混淆。它虽然查看每个数据包的 IP 地址,但由于不是路由,所以,没有 RIP,OSPF 等路由协议,而是根据生成树算法进行桥交换。这种方法的优点是用户的物理位置改变了,不需要重新配置他所属的 VLAN,而且可以根据协议类型来划分 VLAN,这对网络管理者来说很重要,还有,这种方法不需要附加的桢标签来识别 VLAN,这样可以减少网络的通信量。
Copyright © 2018-2021 Wenke99.com All rights reserved
工信部备案号:浙ICP备20026746号-2
公安局备案号:浙公网安备33038302330469号
本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。