【正文】 接入因特網(wǎng)，瀏覽網(wǎng)上信息，利用FTP進行本單位信息的更新和補充。有條件的部門、單位可采用光纖、雙絞線等傳輸介質(zhì)，利用ATM、以太網(wǎng)、快速以太網(wǎng)等局域網(wǎng)技術(shù)就近接入省黨政信息網(wǎng)或具有Internet出口的市地級城域網(wǎng)，從而獲得較高的接入速度和性能。 其他方式：如“擴頻微波”、“電話專線”等方式方案我們采用了高端路由器CISCO 7206，該路由器提供優(yōu)異的性價比，可以提供很多網(wǎng)絡(luò)服務(wù)加速解決方案，如通過網(wǎng)關(guān)連接到WAN和Internet的地區(qū)和分支辦公室、企業(yè)和服務(wù)供應(yīng)商的遠地集中（多個分散地點通過一個中央地點實現(xiàn)互連）、要求能夠?qū)⒁陨纤泄δ芙Y(jié)合起來實現(xiàn)多服務(wù)語音、視頻和數(shù)據(jù)的多功能能力的地點。通過4和6插槽機箱，提供300Kpps速度的5個處理器，每秒可以交換30萬個信息包，帶有48個端口的廣泛的局域網(wǎng)和廣域網(wǎng)接口，以及單個或雙重電源，客戶可以獲得所需的性能和容量。配置遠程訪問模塊來提供遠程訪問服務(wù)，滿足用戶今后擴展的需求；同時CISCO 7206還能支持基于Extranet/VPN的遠程訪問服務(wù)，滿足用戶今后增值服務(wù)的需求。本方案中預(yù)配了1塊PAA3OC3MM，可以實現(xiàn)高達155Mbps的接入速率用以上連；1塊PA8T可以提供8個串行端口，以實現(xiàn)下級單位的接入服務(wù)。對于遠程用戶和LAN的通訊訪問，則根據(jù)各種不同連接方式配以相應(yīng)異步串行模塊來實現(xiàn)撥號用戶的訪問。本方案中選配了1臺CISCO的PIX525URBUN防火墻，PIX 525實現(xiàn)了在Internet或所有IP網(wǎng)絡(luò)上的安全保密通信。它本身自帶2個10/100M的RJ45標準接口方便用戶連接被保護的設(shè)備，并且支持DMZ功能。 外部網(wǎng)絡(luò) 骨干層配置在中心機房選用同樣選用1臺CiscoCat6509交換機作為中心交換設(shè)備，共有9個模塊擴展插槽。選配2個千兆模塊WSX6416GBIC，總共可以共提供34個GBIC接口，用以連接二級千兆交換機和獨立光纖點。（注：冗余設(shè)置亦可選用兩臺交換機考慮，設(shè)計中認為暫時可以只考慮電源的冗余）在各樓層配線間（共有26個樓層配線間）均選配Cisco Cat2950G48交換機作為二級交換機。千兆端口通過光纖與中心交換機相連，在管理數(shù)據(jù)點比較多的配線間，采用二級交換機堆疊卡WSX3500XL堆疊的方式互聯(lián)，以提供足夠多的10/100M端口。依據(jù)不同樓層數(shù)據(jù)點要求，分別選用124或48口交換機堆疊實現(xiàn)端口數(shù)量。如果使用專線接入，則通過CISCO 3620路由器連接基帶MODEM或光纖與廣域網(wǎng)線路相連Internet。CISCO 3620路由器是全模塊化設(shè)備，本身自帶2個10/100M的RJ45標準接口，2個WIC插槽用于廣域網(wǎng)的連接。如果使用寬帶IP接入，則應(yīng)該根據(jù)電信提供接入速率，選用不同模塊例如NM1AOC3MM等，則可以實現(xiàn)高達155Mbps的接入速率。多出來的4個端口允許更加健壯的傳輸配置，可以在其上托管一個受到保護的DMZ，從而運行一個網(wǎng)站或執(zhí)行URL過濾和病毒檢測。它本身自帶2個10/100M的RJ45標準接口方便用戶連接被保護的設(shè)備。 西樓網(wǎng)絡(luò)配置（朝林公司）位于博達國際公共服務(wù)大廈西樓的朝林公司局域網(wǎng)總共有1556個數(shù)據(jù)點，設(shè)計同樣采用二級星型拓撲結(jié)構(gòu)，以滿足主干帶寬千兆、桌面接入達到百兆的要求。網(wǎng)絡(luò)具體配置如下： 骨干層配置在中心機房選用1臺CiscoCat4006S3交換機作為中心交換設(shè)備。Cisco Cat4006交換機的高性能表現(xiàn)在最高可達60G的背板帶寬和18Mpps的三層交換性能，在端口性能/價格比上具有其他廠商無法比擬的優(yōu)勢其具有極好的擴展性，帶有6個模塊擴展插槽。（注：如果考慮冗余設(shè)置則應(yīng)選用兩臺中心交換機，本方案中暫時沒有考慮實現(xiàn)冗余的配置）在各樓層配線間（共有16個樓層配線間）同樣選配Cisco Cat2950G48/24/12交換機作為二級交換機。 接入INTERNET與遠程訪問大廈網(wǎng)絡(luò)通過統(tǒng)一的出口接入Internet。利用Cisco路由器的訪問列表（Access List）控制合法用戶對Internet的訪問。在本方案中配置了1塊WIC2T廣域網(wǎng)模塊，它提供了2個2M的串行口，方便用戶與Internet服務(wù)商（ISP）互聯(lián)。同時CISCO 2621還能支持基于Extranet/VPN的遠程訪問服務(wù)，滿足用戶今后增值服務(wù)的需求。 網(wǎng)絡(luò)安全與管理防火墻同樣是必備的安全設(shè)備。本方案中為朝林公司選配1臺CISCO的PIX515URBUN防火墻，它所提供的能力可以處理10萬余個同時連接，吞吐量高達170Mbps。在中心機房配置一臺網(wǎng)管系統(tǒng)，使用CiscoWorks2000LMS網(wǎng)管軟件（詳見后面詳細介紹）；一臺網(wǎng)絡(luò)計費系統(tǒng)，使用清華同方網(wǎng)絡(luò)監(jiān)控與計費系統(tǒng)軟件（詳見后面介紹）。因此具體設(shè)備清單僅供招標方參考，本次除東樓內(nèi)網(wǎng)外，其他設(shè)備不計入總價。網(wǎng)絡(luò)中心子網(wǎng)的示意圖如下：網(wǎng)絡(luò)中心的網(wǎng)絡(luò)設(shè)計包括NOC網(wǎng)段、NIC網(wǎng)段和開發(fā)網(wǎng)段，說明如下： NOC網(wǎng)段NOC網(wǎng)段的示意圖參見下圖：NOC網(wǎng)段完成主干網(wǎng)的系統(tǒng)管理、配置管理、安全控制、計費管理等網(wǎng)絡(luò)管理、運行等功能。NOC的各工作站連接在交換機上，NOC交換機連接到網(wǎng)絡(luò)中心子網(wǎng)交換模塊上。NOC網(wǎng)段與NIC網(wǎng)段、開發(fā)網(wǎng)段、撥號網(wǎng)段分離，這樣安全性較好。如：采用防火墻軟件；在口令管理方面，增加一次性口令（S/KEY技術(shù)）的安全管理技術(shù)，口令不在網(wǎng)上傳輸。 NIC網(wǎng)段NIC網(wǎng)段基本配置為1臺局域網(wǎng)服務(wù)器、1臺網(wǎng)管工作站、1臺計費服務(wù)器、1臺WEB服務(wù)器、1臺郵件服務(wù)器以及數(shù)據(jù)庫服務(wù)器，實現(xiàn)廣域網(wǎng)服務(wù)、網(wǎng)絡(luò)代理、郵件處理等功能。 域名服務(wù)器DNS Server是通信的關(guān)鍵環(huán)節(jié)，不但域名解析速度要快，而且必須支持域名解析的備份。DNS負責(zé)本域內(nèi)部的域名解析?？赏ㄟ^安裝微軟EXCHANGE軟件實現(xiàn)。Web服務(wù)器不但速度要快，I/O能力也必須很強。PROXY通過CACHE技術(shù)，也降低了出口流量，提高了用戶訪問速度。為Proxy服務(wù)器配置內(nèi)部和外部IP地址，一個IP地址實現(xiàn)與Internet的連接；另一個IP地址用于內(nèi)部訪問。因此必須建立完善的備份方案以保證數(shù)據(jù)的完整性和一致性。西樓朝林公司數(shù)據(jù)庫主要用于物業(yè)和辦公的管理，容量較小，因此可以用單機加備份硬盤的方案解決。磁盤陣列柜采用RAID5方式，也保證了如果陣列柜中1塊數(shù)據(jù)盤出現(xiàn)問題時，系統(tǒng)仍可以正常運行，在更換出錯硬盤時也不影響系統(tǒng)的運行。同時配備千兆網(wǎng)卡直接連接中心交換機以提高訪問速度。國內(nèi)對MO的應(yīng)用開始于近兩年，由于當(dāng)時備份的方式仍以文件拷貝為主，數(shù)據(jù)量小，MO就成為了多數(shù)部門的首選備份設(shè)備。在系統(tǒng)日益復(fù)雜，數(shù)據(jù)量日益增大的情況下，磁帶是最理想的備份介質(zhì)。歷史證明磁帶技術(shù)是相當(dāng)穩(wěn)定可靠的。一盒磁帶可存儲高達70GB的數(shù)據(jù)，而每GB的存儲成本在10元左右；磁帶的數(shù)據(jù)傳輸速率非常高，最低可達60MB/分，最高可以達到600 MB/分；可重復(fù)使用，易于攜帶和保管；允許無人操作的自動備份；考慮到系統(tǒng)備份要求保存相當(dāng)長時間的歷史數(shù)據(jù)，采用磁帶是必然的選擇。 備份軟件利用磁帶機進行數(shù)據(jù)備份是一種古老的備份措施，隨著信息產(chǎn)業(yè)技術(shù)的發(fā)展，磁帶機備份技術(shù)也在飛速發(fā)展，如磁帶機數(shù)據(jù)的提高，磁帶容量的增加等，磁帶機備份這種古老的備份手段一直是備份系統(tǒng)的首要選擇之一。但是，這些軟件往往只具備了基本的備份功能，就是將數(shù)據(jù)備份到磁帶中以及從磁帶上恢復(fù)數(shù)據(jù),因此，需要另外購買磁帶備份系統(tǒng)。如此既可以減輕系統(tǒng)管理者工作量也可以避免人工備份造成的差錯性；并行數(shù)據(jù)流：可以在多臺設(shè)備之間進行備份、復(fù)原或數(shù)據(jù)復(fù)制，從而提高系統(tǒng)的性能；本系統(tǒng)建議采用DataWare系統(tǒng)作為備份系統(tǒng)，利用自動備份、災(zāi)難恢復(fù)等功能保障中心數(shù)據(jù)庫的穩(wěn)定運行。 備份策略在數(shù)據(jù)備份系統(tǒng)的設(shè)計中，我們主要針對數(shù)據(jù)庫服務(wù)器進行數(shù)據(jù)和系統(tǒng)備份?？梢詫φ谑褂玫奈募M行備份操作，確保數(shù)據(jù)的完整性，作到與應(yīng)用程序無關(guān)的在線數(shù)據(jù)備份。（以O(shè)racle數(shù)據(jù)庫為例）對于災(zāi)難性事故的恢復(fù)系統(tǒng)，能借助備份系統(tǒng)的快速啟動過程由一個新的硬盤快速簡便的恢復(fù)整個系統(tǒng)。在備份策略上，可以根據(jù)政府辦公系統(tǒng)的特點，設(shè)置好備份策略。 虛擬子網(wǎng)的IP設(shè)置每一個虛網(wǎng)對應(yīng)一個IP子網(wǎng)，為每個虛網(wǎng)的節(jié)點配置上相應(yīng)的IP地址，如節(jié)點屬于多個虛網(wǎng)，則應(yīng)分配多個IP地址。因為IP地址空間的限制，IANA為私用網(wǎng)絡(luò)保留了以下三塊地址空間，這些地址永遠不會在Internet合法地址中出現(xiàn)，允許企業(yè)自由采用(參見下表)。 網(wǎng)絡(luò)管理 概述隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,，變化為以管理智能網(wǎng)絡(luò),管理關(guān)鍵業(yè)務(wù)流量為中心。因此計算機網(wǎng)絡(luò)的網(wǎng)絡(luò)管理是網(wǎng)絡(luò)建設(shè)的重要內(nèi)容，是保證計算機網(wǎng)絡(luò)正常運行的前提。網(wǎng)絡(luò)管理是網(wǎng)絡(luò)可用性的關(guān)鍵組成。計算機網(wǎng)絡(luò)網(wǎng)絡(luò)管理系統(tǒng)的主要管理對象包括：核心層多層交換設(shè)備；分布層二級交換機設(shè)備；服務(wù)器系統(tǒng)；VLANs劃分與管理。配置管理：管理主要網(wǎng)絡(luò)設(shè)備和服務(wù)器及VLANs的配置信息、通信和網(wǎng)絡(luò)拓撲結(jié)構(gòu)、系統(tǒng)名稱、電子郵件地址、口令字等重要網(wǎng)管信息。失效管理配合網(wǎng)管軟件的失效管理功能，建立失效檔案管理，提供聯(lián)機工作手冊和規(guī)范的失效處理操作程序（包括書面報告、電話報告、Email報告、處理程序、處置意見等的要求）。性能管理：對接入網(wǎng)絡(luò)和IP地址的流量及流速進行定時采樣記錄。安全管理：是整個網(wǎng)絡(luò)管理的重要一環(huán)，通過防火墻、認證/授權(quán)、數(shù)字簽名、加密傳輸、存取控制、安裝安全分析工具等手段實現(xiàn)安全控制，監(jiān)視計算機網(wǎng)絡(luò)的訪問情況，實施訪問安全控制；通過設(shè)備冗余、容錯配置、數(shù)據(jù)備份等手段確保運行安全；通過值班制度、運行制度完善組織管理；通過事故保護系統(tǒng)，如防火系統(tǒng)、防盜系統(tǒng)、電源安全系統(tǒng)等措施防止非常事故的發(fā)生。 在本方案中，由于全部采用Cisco的網(wǎng)絡(luò)設(shè)備，因此我們建議采用Cisco公司的Cisco Works網(wǎng)絡(luò)管理軟件管理Cisco公司的網(wǎng)絡(luò)設(shè)備，它基于HP OpenView平臺，和NNM網(wǎng)絡(luò)管理軟件相結(jié)合，可以在網(wǎng)絡(luò)中心對所有的Cisco網(wǎng)絡(luò)設(shè)備進行集中網(wǎng)絡(luò)配置管理。CiscoWorks2000LMS包括入下功能模塊：RME(Resource Manager Essentials)－資源管理模塊；CM園區(qū)網(wǎng)管理模塊；CiscoView；網(wǎng)絡(luò)內(nèi)容流的管理；網(wǎng)絡(luò)流量管理；插入式模塊管理。它的瀏覽器接口可輕松接入到對網(wǎng)絡(luò)正常運轉(zhuǎn)時間至關(guān)重要的信息；而它的模塊通過處理耗時的管理工作簡化了網(wǎng)絡(luò)管理，使管理網(wǎng)絡(luò)庫存和設(shè)備變化、歸檔和查尋配置文件及迅速采用新的軟件版本的工作一體化,幫助排除關(guān)鍵網(wǎng)絡(luò)設(shè)備的基本連接狀態(tài)的故障，并提供硬件容量規(guī)劃所需的信息并有一條內(nèi)置鏈路與CCO鏈接，按照你的網(wǎng)絡(luò)庫存要求提供最新管理信息和Cisco知識。變化審查業(yè)務(wù)Change Audix Service 提供有關(guān)軟件、硬件及配置變化的綜合報告?？捎眯怨芾砥鰽vailability Manager監(jiān)控關(guān)鍵設(shè)備。軟件版本管理器Software Image Manager 簡化并加速軟件版本的規(guī)劃和采用。Cisco管理連接Cisco Management Connection提供一個工具包及后續(xù)程序，用基于Internet的標準和技術(shù)進行網(wǎng)絡(luò)管理應(yīng)用程序集成。CM園區(qū)網(wǎng)管理 CM承襲了Cisco Works for Switched Internetworks的功能。CM園區(qū)網(wǎng)提供：物理層和邏輯層的綜合網(wǎng)絡(luò)搜索和拓撲結(jié)構(gòu)，智能性地顯示多達500個設(shè)備通過一個圖形接口的設(shè)備配置，易于進行設(shè)備管理使用RMON/RMON2收集的流量數(shù)據(jù)進行的性能監(jiān)控和分析優(yōu)化LAN和WAN性能的配置及分析工具VLAN配置功能可以邏輯方式將網(wǎng)絡(luò)分隔成定義好的廣播群ATM和LAN仿真(LANE)配置及診斷工具用于診斷連接故障的終端用戶站追蹤CWSI園區(qū)網(wǎng)建立在Resource Manager Essentialo基礎(chǔ)上，大大降低了交換的互聯(lián)網(wǎng)管理的復(fù)雜性，同時對于任何使用Cisco交換機的網(wǎng)絡(luò)來說，它也是一種有價值的解決方案。不管是獨立配置還是在園區(qū)網(wǎng)內(nèi)，CiscoView 均可用圖像顯示所選設(shè)備，包括已安裝的模塊、配置狀況，同時提供：設(shè)備及端口狀態(tài)的彩色編碼圖示；Cisco路由器、交換機及所配置模塊的圖像顯示；設(shè)備端口或接口狀態(tài)及RMON數(shù)據(jù)的實時狀態(tài)輪詢；實現(xiàn)簡易配置或狀態(tài)識別的可拆卸式配置菜單。 網(wǎng)絡(luò)流量管理網(wǎng)絡(luò)流量管理工具是綜合性的網(wǎng)絡(luò)流量監(jiān)視,網(wǎng)絡(luò)排錯工具。強制策略管理：通過為應(yīng)用或用戶制定帶寬分配保障關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)資源；通過實施基于應(yīng)用的處理,支持按帶寬應(yīng)用的計費；實時監(jiān)視用戶帶寬的占用。這些問題的解決除加強思想教育和組織管理外，最根本的辦法就是采取有利的措施加強網(wǎng)絡(luò)運行管理，采用各種保護措施維護網(wǎng)絡(luò)系統(tǒng)的安全。網(wǎng)絡(luò)系統(tǒng)的安全策略強調(diào)重點保護、規(guī)范管理和提高效率。嚴格劃分不同工作人員的權(quán)限。關(guān)鍵信息的傳輸采用端到端的專用加密工具。采用分布授權(quán)/集中控制的安全策略。加強對用戶從網(wǎng)上卸下的軟件進行病毒檢查；定時備份系統(tǒng)，防止系統(tǒng)崩潰。通過設(shè)置防火墻，防止對管理信息系統(tǒng)數(shù)據(jù)中心的非法入侵。對于整個大廈，我們主要采用防火墻加以隔離外部網(wǎng)絡(luò)，然而內(nèi)部局域網(wǎng)不同部門或用戶之間如果沒有采用相應(yīng)一些訪問控制，也可能造成信息泄漏或非法攻擊。因此內(nèi)部網(wǎng)的安全風(fēng)險更嚴重。因此制訂安全管理策略和措施，采用“遠程控制、集中管理”的方式對網(wǎng)絡(luò)中的安全設(shè)備和系統(tǒng)進行管理，以確保安全策略的一致性。網(wǎng)絡(luò)二層（數(shù)據(jù)鏈路層）的虛擬網(wǎng)VLAN技術(shù)網(wǎng)絡(luò)三層（網(wǎng)絡(luò)層）路由器上的訪問列表Access list技術(shù)來實現(xiàn)。問題是這樣，在絕大多數(shù)的用戶都是合法用戶。我們怎樣杜絕這類問題的發(fā)生？我們知道，計算機是通過網(wǎng)卡來訪問網(wǎng)絡(luò)，而每一塊網(wǎng)卡具有全球唯一的MAC地址，就象每個人具有唯一的身份證號碼一樣。交換機“端口MAC地址限制”是指在交換機上指定（可以是自動學(xué)習(xí)，也可以是手工指定）能訪問該端口的MAC地址，可以是一個或多個地址，而在指定的MAC地址范圍之