实战&必看 | 广州市白云机场网络规划方案书
第一章 系统设计原则和需求分析
1.1 系统设计原则
采用先进成熟的技术和设计思想,运用先进的集成技术路线,以先进、实用、开放、安全、使用方便和易于操作为原则,突出系统功能的实用性,尽快投入使用,发挥较好的效能。
本系统在软件配置和硬件设备,整个系统设计上依照以下原则确定。
u 先进性
世界上计算机技术的发展十分迅速,更新换代周期越来越短。所以,选购设备要充分注意先进性,选择硬件要预测到未来发展方向,选择软件要考虑开放性,工具性和软件集成优势。网络设计要考虑通信发展要求,因此,主要、关键设备以进口为主,但国内能满足要求的,尽量采用国产设备。
u 实用性
系统的设计既要在相当长的时间内保证其先进性,还应本着实用的原则,在实用的基础上追求先进性,使系统便于联网,实现信息资源共享。易于维护管理,具有广泛兼容性,同时为适应我国实际情况,设备应具有使用灵活、操作方便的汉字、图形处理功能。
u 安全性
目前,计算机网络都与外部网络互连互通日益增加,都直接或间接与国际互连网连接。因此,在系统方案设计需考虑到系统的可靠性、信息安全性和保密性的要求。
u 可扩充性
系统规模及档次要易于扩展,可以方便地进行设备扩充和适应工程的变化,以及灵活地进行软件版本的更新和升级,保护用户的投资。
目前,网络向多平台、多协议、异种机、异构型网络共存方向发展,其目标是将不同机器、不同操作系统、不同的网络类型连成一个可协同工作的一个整体。所以所选网络的通迅协议要符合国际标准,为将来系统的升级、扩展打下良好的基础。
u 灵活性
采用结构化、模块化的设计形式,满足系统及用户各种不同的应用要求,适应业务调整变化。
u 规范性
采用的技术标准按照国际标准和国家标准与规范,保证系统的延续性和可靠性。
u 系统性
项目开发必须按照系统工程的管理方法,有计划做实施。
u 综合性
满足系统目标与功能目标,总体方案设计合理,满足用户的应用要求,便于系统维护,以及系统二次开发与移植。
1.2 系统需求分析
计算机网络的迅速发展和普及,改变了整个信息管理的面貌,使信息管理从以单个计算机为中心发展到以网络为中心,并为计算机技术在工业、商业、教学、科研、管理等领域中的应用提供了一个全新的网络通信环境,也从根本上加强并促进了群体工作成员之间的信息交流、资源共享、科学计算、技术合作及有效管理等,进而推动了生产、管理、科研及教学事业的发展。企业的生产、经营环境的改善,必须以现代化的集成生产管理系统和高度自动化的信息技术为依托,将企业的各个生产部门构成一个有机的整体,而不是自动化程度很高的“孤岛”的简单叠加。
目前,信息化程度已成为衡量一个国家、一个地区、一个单位综合实力的重要标志。党中央和国务院对我国信息化工作非常重视,信息化建设已作为一项重要工作领导小组,并指出了“统筹规划、联合建设、统一标准、专项结合”的十六字指导方针。随着信息化建设的不断深入发展,原有人工管理方式已不能适应现代管理需要。
在以往的工作模式下,信息主要有业务员来传递,这种手工劳动不仅延缓了信息传递时间;而且,由于工作习惯的不同,文件具有不同的格式,经过多次周转,往往会造成信息失真,大大地影响了工作质量。随着企业规模的不断发展和业务量的不断增加,原有的工作方式已不能满足现代办公系统的需要。特别是对突发事件的处理能力。
根据白云机场的实际情况,我公司将结合在网络系统方面丰富的集成经验,采用先进的计算机及网络设备,为白云机场建立起一套快速稳定、技术成熟的网络信息系统。
从目前来讲,主要需求分为如下几个方面:
1、网络系统中心在白云机场计算机信息管理中心。
2、整个网络采用先进的网络结构,以满足传输、存储和处理数据、等信息的需要。
3、各应用单位通过广州市白云机场计算机信息中心和INTERNET接通。
4、满足网上的集成办公系统和电子商务业务系统的需求。
5、完整统一的系统管理平台。
本系统的需求特点
根据用户的需求及应用的特点,我们认为本网络系统具有如下特点:
★ 网络规模较大
本地网络上的用户多个,将来会进一步发展。因此,网络的设计要留下充分的发展余地。比如,服务器及工作站的网络传输速度要能够适应业务不断增长的需要,网络能够支持将来电视会议及多媒体等新业务以适应新应用的需求。
★ 先进性
广州市白云机场网络系统利用当今计算机与通讯科学技术的先进成果,在一个高起点基础上发展,保障系统具有较长的生命周期,使广州市白云机场网络系统不会落后于技术的发展,同时也不会造成资源浪费。不然,会极大地影响系统的进一步开拓。
★ 性能要求较高
为了满足各种工作站的应用的要求,服务器的网络接口应该有比较高的吞吐能力。服务器的网络传输速率要在100Mbps以上;工作站的网络传输速率也应该满足一定的要求。而且,随着业务的开展,对网络传输速率的要求会不断提高。因此,要求网络设备应具有比较高的容量,满足系统发展的需要。而且,采用的网络技术应该提供多种速率的连接接口,满足系统对服务器带宽的要求。
★ 高可靠性
网络的可靠性要求高,采用容错技术或设备级的备份保证网络系统的正常工作。
★ 扩展性
未来网络上许多用户对网络带宽有更高的要求,如网络上的电子商务系统的应用,都使这些用户对网络的带宽有特殊的要,所以网络要求提供这方面的扩展功能。
第二章 系统总体设计
2.1 网络设计
2.1.1 设计原则
计算机网络平台是计算机应用的基础。建立一套安全可靠、先进稳定的网络系统,可以保证各种应用系统的正常进行以及白云机场内部各种大型设计的运作。而且,通过Internet的连接功能,用户可以访问其它白云机场以及Internet等,或者在外地通过电话线进行远程办公,提供了全新的办公模式。通过信息交换和新闻浏览等加强各办公处室之间的联系和协作,提高办公效率。可以在网上快速查寻到白云机场和社会发展的各种信息资料以及全国各地的各类信息。
我们在设计白云机场网络信息系统时,应着重考虑以下原则:
2.1.1.1 可靠性与稳定性
广州市白云机场网络信息系统对于保证设计院内部的管理工作以及为各部门开展业务工作、进行高效、准确的办公决策提供信息服务具有重大的意义。从而,精确、不间断的数据传输与存储变得十分重要,既追求极高的可靠性又不能投入过大的资金,系统应具有一定的容错能力,主要表现在以下几个方面:
* 局域网主干网络设备(如:交换机及系统主服务器)应配置不间断电源(UPS),如资金允许的情况下可作主干设备的备份,即将所有计算机节点分别连接在不同的局域网主干设备上,主干设备之间采用高速连接,这样即可以提高网络的处理能力又可起到备份作用。
通过以上分析,在广州白云机场网络信息系统的网络设计中,如果充分考虑了所选用服务器及网络设备产品的性能、稳定性、服务器及数据的备份、局域网主干设备及连接线路的备份等几个方面的因素,则可以将广州白云机场网络信息系统的网络建成一个极为稳定可靠的系统,保证应用系统良好、稳定的运行状态。
2.1.1.2可管理性
广州白云机场信息系统的网络具有面积大,网点多等特点,因此需要对网络活动进行控制和管理。网络管理员能够在不改变系统运行的情况下对网络进行调整,不管网络设备的物理位置在何处,网络都应该是可以控制的。
计算机网络系统的管理功能一般包括五部分内容:
² 失效管理
计算机网络系统的失效管理是最基本的网络管理功能,它负责检测网络中的各种故障,主要包括网络结点和通信线路两种故障。在大型计算机系统中,发现失效故障时,往往不能具体确定故障所在的具体位置。有时候,所发现的故障是随机性的,需要经过很长时间的跟踪和分析,才能找到其产生的原因。这就需要有一个故障管理系统科学地管理网络所发现的所有故障,具体记录每一个故障的产生,跟踪分析,以至最后确定并改正故障的全过程。因此,失效管理包括以下内容:
A 发现问题
B 隔离问题
C 解决问题
使用失效管理技术可以更快、更容易地发现并解决网络故障。根据广州白云机场网络信息系统的网络分布特点,应用失效性管理对于及时准确的发现故障所在是非常必要的。
² 配置管理
一个计算机网络系统是由多种多样的设备连接而成,这些设备组成网络的各种物理结构和逻辑结构,这些结构中的设备有许多参数、状态和名字等至关重要的信息。另外,上述网络设备及其互连和互操作的信息可能是经常变化的,这就需要有一个全网的设备配置管理系统,统一科学地管理上述信息,以便利用这些信息使网络更有效地工作。
² 性能管理
一个计算机系统运行的性能如何,对于系统设计者来说是首先要考虑的问题。但是,由于网络规模的庞大和影响网络性能的不定因素太多。一般很难一下子设计出运行性能很好的大型网络。提高网络性能的一般方法是,先初步地设计并建设网络,在网络的运行过程中,对网络性能进行静态和动态统计分析,根据分析结果,对网络配置和参数进行调查,逐步达到最佳。如果需要要做出调整较大时,就考虑扩充或重建网络。
性能管理在于对网络硬件、软件及介质的性能测量。主要指标包括整体的吞吐量、使用率、误码率和响应时间等。利用这些性能数据,管理人员就可分析网络瓶颈,调整网络带宽。
² 记帐管理
记帐管理记录每个用户及每群用户对网络资源的使用情况,使管理人员能及时调整资源分配,保证每个用户的服务质量;同时也禁止或许可某些用户对特定资源的访问。
² 安全管理
安全管理是对网络信息访问权限的控制过程,由于网络上存在着敏感数据,为禁止非授权用户对它的访问,就要对网络上的用户进行一些访问权限的设置,同时也要尽可能发现某些“黑客”,阻止对网络资源的非法访问及尝试。广州市政设计院网络信息系统在建成以后,将通过Internet与国内外同行进行交流等,因此,保证内部保密信息的安全是网络管理的重要部分。
安全管理的功能涉及一个计算机系统的安全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。
2.1.1.3 超前性
超前性和先进性是每一个计算机网络系统建设期望达到的目标,但是随着计算机及网络技术的发展,先进的、新的网络技术面临着技术和产品上不十分成熟的问题,而原有的成熟的网络技术和产品又势必被新的技术所取代,是采用原有的成熟的网络技术而承担投资保护的风险,还是直接采用最新的技术而冒着产品不成熟、标准不统一的风险是网络设计人员一直所争论的焦点;所谓网络设计的超前性则是将网络系统看成一个系统工程,不但要设计到它的产生还要设计它的发展和未来,将着眼点放在目前的应用系统及现有的技术并考虑以最小的代价来适应网络技术的不断的发展,使现有系统能够与业务需求同步增长,在系统规模在急骤扩张中亦不需要重新进行系统规划与设计。
2.1.1.4 网络的扩展性
随着Internet的不断发展及网上应用的不断扩展,系统应可以随时增加网络设备或模板来扩展整个网络,例如在局域网中增加交换机设备与原有设备形成容错连接扩展网络性能;另外由于所选所有网络产品应都能够支持从低到高多种通讯协议,用户可以不增加任何投资,通过选择通讯协议和通信速率来提高网络传输速度,降低系统运行费用。另外,在用户端应选用可堆叠或模块化产品具有很好的开放性,可以十分方便的扩充网络的容量。
2.1.1.5 网络的开放性
² 支持多种通讯协议
所选择的网络设备应支持多种网络协议,局域网应具备向未来网络技术顺利过渡连接的途径,在广域网上应具备不增加任何投资实现X.25、DDN、Frame Relay、ISDN、E1等通讯协议的转换和提升。
² 支持多种传输介质
广州白云机场网络信息系统是一个多协议、多介质的网络,一些部门原来已有自己的网络。本网络建成之后应能将旧网络接入,所以需支持如非屏蔽双绞线(UTP)、光纤等多种传输介质.
² 支持多种主机互连
由于系统互连全部采用国际标准的网络层通讯协议TCP/IP,所以具有很好的开放性,因为所有的主机系统生产厂商都努力使自己的产品遵循TCP/IP标准,所以可以很方便的实现多种主机的互连。
2.1.1.6 网络的灵活性
作为广州白云机场网络信息系统的应用环境,系统的灵活性主要表现在软件配置与负载平衡等方面,配合交换机产品与路由器产品支持的最先进的虚拟网络技术,整个网络系统可以通过软件快速简便地将用户或用户组从一个网络转移到另一个网络,可以跨越办公室、办公楼甚至城市,而无需任何硬件的改变,以适应机构的变化。同时也可以通过用户及用户组的改变来平衡网络的流量,以提高网络的性能。
广州白云机场本系统中选择的等交换机配合网络管理软件,系统管理员可以方便灵活地配置管理网络。
2.1.1.7 遵从Internet的技术要求
随着Internet应用的不断普及,越来越多的信息交流是在Internet上实现,广州市白云机场也将与国际Internet相连,实现同国内外同行的信息交流,并为用户提供远程服务,因此,在设计上除遵从前面的原则,还应考虑以下两个方面:开放性、标准化。
² 开放性
Internet的基本特点是其开放性,为此所选设备必须支持TCP/IP标准,与符合标准的设备之间具有良好的互操作性,并根据上级节点的统一规划形成一个遵循统一标准的完全开放系统。
² 标准化
在统一网络通信协议的前提下,应尽量选用Internet上最通用的设备,以便于开展网络软件应用,同时应选择常用设备型号,减少不必要的不同型号产品,以便于操作和维护。
2.2 网络的体系结构
基于以上的设计原则,我们提出网络的建设采用分布式的体系结构。网络的大体结构可分为以下二级网络结构形式,即:
中速网—快速交换Ethernet。通过一级交换机(CISCO CATALYST5000),可以使用100Base-FL或100Base-Tx,连接到各楼层的二级以太网交换机,到用户桌面端口的速率为10Mbps,足以满足业务应用的需求。
低速网—广域网(WAN)。在广州白云机场网络信息系统中,随时通过广域网直接与Internet等国内外信息高速公路接轨
u 快速以太网技术
传统10Mbps以太网的设计中数据传输速率受距离的制约,也就是给定的传输速率只能维持在一个给定的范围之内。发送的速率越大,数据传送的有效距离也就越短,相反发送的速率越低,数据传送的有效距离也就越大。因此有一种改进的方案就是可以把覆盖几公里的10Mbps的以太网的传输距离局限在几百米范围内,而传送速率提高到100Mbps,实现高速传输。这样就相应的出现了一种高速网络解决方案─快速以太网,目前快速以太网基本包括100Base-TX与100Base-FL两种技术形式,100Mbps快速以太网与10Mbps以太网的最初定义尽可能保持一致,并遵从传统CSMA/CD的访问控制协议,100Base-TX采用2对UTP—5双绞线,或4对UTP—3双绞线,而100Base-FL采用多模光纤作为传输介质,网络拓扑与10M以太网完全相同。目前,有许多种不同的100Base-X建议,其中有些建议借用了最初为FDDI开发的传输技术,以减少与这种技术相关的芯片开发。
快速以太网在介质访问方法的简化方面,和在建立服务器与联网交换设备(例如:路由器或专用以太网交换机)之间的点到点链路通讯方面较其他网络技术更具吸引力。
快速以太网开发的主要技术障碍是CSMA/CD协议冲突检测部分,而全双 工以太网则是在原有双绞线传输系统的基础上,在传输和接受方向上各自使用一对双绞线,给以太网站点提供了各自独立的传输和接受通道,这样可以极大避免网络冲突的产生提高网络带宽的利用率,也给快速以太网的发展扫清了障碍。
采用快速以太网的优势是:
*技术已经十分成熟
*目前现有网络拓扑无需改变
*目前网络协议不需更改
*价格较低
*提供多媒体服务,容易向ATM、千兆以太网升级
这也是目前应用最广泛的、产品最成熟的高速网络技术,造价较低。因此,我们采用以太网技术作为广州白云机场网络信息系统的主干网络建设,利用其技术成熟,易扩展、维护的特点,同时也满足了系统应用的要求。
广州市白云机场网络配置拓扑图如下:
设备选型
2.2.1 路由器选型
网络线路采用DDN,满足了系统对实时性、多媒体服务的要求;每个接入端口采用以太网技术,充分利用了以太网技术灵活、快捷的特点,构建系统桌面平台。根据的路由器选型原则,我们决定选用以下网络设备。
我们选用了二台CISCO公司的ROUTER 2610作为系统的主路由器,连接到广州市白云机场小学和广州市白云机场机场中学。
2.2.2 其它网络产品选型
集线器(HUB):CATALYST2924
传输线:AT&T 5类UTP双绞线、垲装8芯多模光纤
2.3 网络管理
广州市白云机场网络信息系统是一个设计机构,为了优化网络传输,充分发挥网络设备性能,对系统进行统一管理,我们选用了CISCO公司的功能强大的网络管理软件CiscoWorks Windows5.0,它具有完善的SNMP管理能力。包括设置、性能和容错管理功能。Cisco 通过重点开发基于 Internet 的体系结构的优势,提供更大的可访问性以及简化网络管理工具、任务和进程,正在改变传统的网络管理。Cisco 的网络管理策略-Assured Network Services 引导着网络管理从传统应用程序转向具备下列特征的基于 Web 的模型:
基于标准
简化工具、任务和进程
与 NMS 平台和一般管理产品的 Web 级集成
能够为管理路由器、交换机和访问服务器提供端到端解决方案
通过将发现的设备知识与 CCO 和第三方应用知识集成,创建一个管理内部网
CiscoWorks Windows 是一个适合中小企业网络的全面网络管理解决方案。该经济有效而又易于学习的产品为管理基于 Cisco 的交换机、路由器、集线器和访问服务器网络提供一系列强大的监控和配置工具。通过使用 Ipswitch 的 WhatsUp Gold,您还可以监控打印机、工作站、服务器和重要的网络服务。
CiscoWorks Windows 5.0 含有下列组件:
CiscoView 5.0 版 - 提供 Cisco 设备的图形后视图和前视图;动态的色标图形显示简化了设备状态监控;特定设备的组件诊断、设备配置和应用发布。
Ipswitch公司的WhatsUp Gold 4.05 版 - 提供网络发现、映象、监控和报警跟踪。
阈值管理器-增强了在 Cisco RMON 启动的设备上设定阈值的能力,降低了管理开销,改进了故障诊断功能。
StackMaker - 允许用户将特定类型的多个 Cisco 设备结合在单个堆叠中,并在单个窗口中可视地管理它们。
显示命令- 显示详细的路由器系统和协议信息,而无需用户记住复杂的 Cisco IOS 命令行语言和语法。
第三章 服务器及操作系统平台
服务器作为各种应用的平台,它为用户提供了各种办公自动化以及Internet/ Intranet服务。而且,作为C/N结构的核心,它既是一个完备的数据中心,还是一个全面的管理中心。
为了提供给用户功能强大的Intranet服务,实现Internet和Intranet的互连,实现信息的高度共享和信息的不断更新。在广州市白云机场络信息系统的建设中除了数据库服务器之外,我们还配置了功能完备的WWW服务器。
如何选择最佳的服务器配置方案、最大程度地发挥服务器的性能特点是一个网络系统建设成败的关键。
3.1服务器选型原则
服务器的选型主要依据系统规模的大小,重点有以下几方面:
1)多台服务器并行处理,提高了系统的运行和响应速度;
2)所支持的网络工作站数量
3)所处理的数据总量
4)对网络及软件的要求
5)对速度的要求
6)系统管理的要求
7)应用支持的要求
8)扩展性要求
9)产品性能稳定,经过市场长期的考验
10)能支持多种通讯协议,具有异种机互连的能力
11)具有很高的安全性
12)具有众多软件系统开发商的支持
13)具有简单的升级方案
14)简易的管理及维护操作
15)系统的开放性
16)系统的性能/价格比
17)生产厂商的技术支持
3.2应用分析
3.2.1 数据库服务器
数据库服务器作为系统的最基本的数据之源,必须具有优秀的性能、高度的可靠性、良好的稳定性、海量的存储能力以及高度的容错性,要无条件地保证数据的完整性和系统的长期可靠地运行。
3.2.2 WWW服务器
WWW服务器是用来向外界用户提供信息资源的窗口,企业可以在这里发布新闻、介绍企业动态以及提供最新信息等,用户可以通过服务器提供的超文本信息来获取有用的资料;同时,通过Internet的互连作用,可以宣传企业形象,提供企业声誉和影响。作为企业对外的窗口,WWW服务器要求具有较强的适时性和稳定性。
3.2.3 PROXY 服务器
PROXY 服务器是用来作为用户访问INTERNET的出入口,可以通过PROXY 服务器的管理、控制用户对INTERNET的访问。
3.2.4 EXCHANG 服务器
EXCHANG 服务器用来做为公司内、外网络使用的邮件服务器。
3.2.5 托管服务器
托管服务器主要为今后的网站发展而建立
3.3服务器平台
3.3.1 服务器平台比较
目前,在应用业务方面存在着两种典型的服务器配置平台:微机服务器(采用NT操作系统)和小型机(采用Unix操作系统)。它们在性能、价格方面分别具有自己的优势和特点。
首先,在硬件方面,高档微机服务器一般都采用Intel公司的奔腾系列处理器,产品更新速度较快,内部结构简单,易于维护管理。Unix小型机采用精减指令集计算(RISC)处理器,浮点运算能力较强,扩展性好,能支持较多的外部设备,适合于大型的企业级应用。但近年来随着计算机技术的迅速发展,微机服务器在性能和处理能力方面越来越先进,在许多应用方面可以完全取代小型机。
在操作系统方面,小型机都采用Unix操作系统,并行处理能力强,具有开放性特点。而微机服务器则采用Microsoft公司的Windows NT作为操作系统,与Windows 98具有相似的界面,操作直观、简单,适合用户使用,管理、维护也比较方便。
小型机在价格方面一般都比同档次的微机服务器要高。
根据目前服务器市场的厂商技术分析和广州市白云机场的实际需求,建议选用HP NETSERVER LH6000实现WWW服务器.
3.3.2 HP LH6000性能分析
HP LH 6000是惠普公司推出的功能强大、可用性高的企业级服务器,具有六向对称多处理(SMP)功能的Pentium III处理器,能为繁忙的企业网络提供无与伦比的性能,使用双PCI成对总线,双Ultra SCSI控制器以及多达216GB的存储量.它还具备RAID双路与故障恢复启动功能,使网络保持运行状态。它具有内置扩充性,使广州市白云机场信息网能根据需要优化系统,并在以后逐渐扩充。
1、可扩充的超级服务器性能:保证了广州市白云机场未来的发展需求
6路Pentium III对称多处理器(SMP),能支持高达4GB的差错校验(ECC)存储器;
专用高速缓冲存储器----每个处理器512K/1GB;
共有12个I/O插槽----没有一个是共享的;
双PCI对等总线实现全面最高值的I/O;
12个热交换拖架,能支持多达216GB的内部存储功能。
2、最佳的系统开机时间和数据保护功能:保证了广州市白云机场网络系统的稳定性和安全性
具有能报告错误的ECC存储器;
容余风扇以减低因风扇故障而引起的故障时间;
存储洗涤以减低会造成系统发生故障的软错误
内置自动服务器重新启动(ASR)、温度和电压监控
附有SCSI底板的热交换存储子系统以实现内部磁盘的双工
模块化热交换冗余供电减低由于供电故障所造成的系统故障时间
3、系统管理工具:简化了系统管理人员的服务器管理和维护工作
HP NetServer导航器可引导CD-ROM光盘备有易于使用的工具以配置、安装和管理HP NetServer LH6000。
HP NetServer辅助服务器管理软件可实现主动的警告提示及解决问题
用于Windows网络管理软件的HP OpenView可实现网络映像、报警管理和安全保护功能
供选择的HP远程辅助卡可让您从远程进行系统诊断和环境监控
3.3.3 配置描述
根据目前服务器市场的厂商技术分析和广州市白云机场的实际需求,我们在这次规划中选用了一台HP NETSEVER LH6000作为WWW服务器。
我们为HP NETSEVER LH6000服务器配置了三块18GB的热插拔SCSI硬盘,增加了265M的内存,它们采用RAID冗余结构,保护了数据的安全性。将来数据量增加时,HP NETSEVER LH 6000服务器还可以再配置块内置硬盘,完全满足了系统今后的存储要求。
为了保证服务器数据的安全性,防止系统遭受意外打击所造成的毁灭性破坏,我们为服务器配置了一块磁盘阵列卡。这样,我们可以建立不同等级的RAID冗余方式,当服务器中任何一块磁盘发生物理故障或其中任何一块数据被毁坏时,都可以通过RAID方式提供的校验位和冗余信息对被毁坏的数据进行恢复。
3.4 操作系统平台
操作系统选用Windows NT4.0中文版,它操作与管理都非常简便,支持范围广泛的重要商务应用程序和一系列丰富的开发工具。是一个真正的32位的操作系统,是PC服务器操作系统平台的最佳选型,它具有如下优点:
l 高性能的客户服务器应用平台
l 网络平台
l 管理工具
l TCP/IP服务
l 主机连接
l 远程访问服务
l 快速、简易安装与配置
l 高的安全性
l 高容错性
l 多种备份
l 目录服务
l 支持多种文件系统
第四章 安全技术
由于广州白云机场连入Internet,为用户提供各种信息服务。资源共享和开放是Internet特点,所以Internet的安全机制很松散;而广州白云机场网络信息系统要求有较高的安全性,其内部的许多数据和文件严禁未经授权的访问。因此,设计与开发保证内部各种信息的安全机制是实现该网络顺利运行的关键。Internet上的安全技术可分为三部分:系统安全、信息安全和网络安全。
4.1 系统安全
系统安全保证一个主机系统的安全,主要包括主机系统的密码安全、重要服务器如SendMail、FTP和数据库等大型应用系统的安全。本建议在主机系统和数据库系统的选型上,已经充分考虑了系统的安全性。另外,Internet上提供了很多实用的工具来加强系统的安全,比如Crack程序,它本是一个系统密码的破译工具,但可利用它来寻找系统上较脆弱的密码;npasswd是一个经过完善的系统工具,使用它可增加用户密码破译的难度。系统越复杂,其缺点和漏洞就会越多,比如著名的蠕虫病毒就利用了系统Sendmail程序的漏洞,为了加固大型应用系统的安全,Internet上有很多专用的站点来发布这些系统的安全漏洞及bug,从而改进安全措施。
系统安全性包括两方面的内容:系统运行安全性和数据信息安全性。其中,系统运行安全性主要指计算机、网络设备的可靠性与稳定性。
设备可靠性
在广州市白云机场网络信息系统的建设中,我们分别采用了CISCO和HP公司的产品作为系统的网络设备和应用服务器。所选用的设备都是两家公司的高可靠性产品之一,所有部件支持热插拔功能,可以通过在线维修和硬软件现场升级而不影响系统的正常运行。
为了发挥网络设备的最大性能,对整个系统进行有效的监控和管理,我们选用了CISCO公司强大的网络管理软件CISCOWORKS WINDOWS,它具有发现并排除故障的功能,这也保证了系统的正常运行。
数据信息安全性主要涉及一个计算机系统的安全管理政策,根据这一政策设计和实现的网络安全管理系统,可以管理网络结构的不同层次,从基本网络访问功能到网络应用系统功能。
在广州市白云机场网络信息系统中,我们采用了六级安全机制:路由器级(包过滤)、硬件防火墙级、网管级、操作系统级、数据库级、应用级,涵盖了从物理层到应用层的所有范围。
路由器级 第一道防火墙采用Cisco2610路由器实现包过滤,完成系统的访问控制功能,屏蔽掉关键服务器的MAC地址,禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。
防火墙级 系统采用Cisco公司的最新的防火墙产品PIX520,它是一种硬件解决方案。主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个);可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内部对外的访问。
网管级 利用CISCO公司CISCOWORKS WINDOWS 的网管功能,划分VLAN。可以将不同处室的终端分配到不同的网段上,在优化网络流量的同时,也限制了用户对其它网段的访问。
操作系统级 我们选用Windows NT作为服务器操作系统,它采用了增强的安全措施,通过登陆认证、用户授权、信息加密等安全机制限制了用户对关键数据的非法操作。
数据库级(ORACLE) ORACLE支持维护管理数据库服务器、各种数据库设备,对象( 包括表 ),用户及拥有的权限等,建立具有不同访问权限的多种类型的用户组,并能对用户进行分组授权。
ORACLE完全满足NCSC的C2级安全标准,并早已通过相应的标准测试,在B1级的操作系统上,ORACLE早已提供满足NCSC的B1级或ITSEC的ITSE。
4.2 网络安全
网络安全的主要技术是防火墙技术(Firewall),防火墙技术的核心思想是在不安全的网间网环境中构造一个相对安全的子网环境。目前其实现方式有两种,即基于包过滤(Packet Filter)的防火墙和基于代理(Proxy)的防火墙。包过滤型防火墙处在网络层,根据IP包的包头信息来对信息的访问进行控制,而IP包的包头主要包括以下信息:IP包的源地址、目的地址、包类型、端口号,因此包过滤型防火墙主要完成基于地址和端口的过滤功能。基于代理的防火墙,也叫应用层防火墙,处于应用层,可对IP地址和发生在该IP地址上的具体应用进行控制,由于它能识别应用协议,因此可对应用的整个过程进行控制,比如在应用建立时的密码验证、在FIP应用中允许某站点get而不允许put等等。这两种防火墙各有优缺点,包过滤型防火墙由于基于网络层,因此对用户来说比较透明,但它一般采用“没被禁止的就是允许的”这一策略,在它失效时,网络是畅通的,这时内部网络将失去安全的屏障,而应用层防火墙采用“没被允许的就是禁止的”这一策略,在它失效时,内部网络与外部网络是隔离的,因此应用层防火墙要比包过滤型防火墙安全。
大多数路由器均支持包过滤功能,比如在Cisco路由器上可以通过设置称为access-list的过滤规则来实现包过滤功能:禁止外部网络对内部网络的某些重要机器的访问,禁止内部网络主机对Internet上部分站点的访问;并可利用端口号来选择控制的应用协议,比如TELNET的端口号为23、FTP的端口号为21、WWW的端口号为80等,这样就可以设置一些较复杂的规则,比如可以允许某台机器对Internet具有Email访问功能,却不能利用WWW和FIP等。
基于包过滤防火墙的商业产品主要有Sun公司的SunScreen和Check Point公司的Firewall-1,SunScreen在硬件上采用一个不带显示器的Sparc2工作站,并在其上插了四块以太网卡,在软件上利用改造过的、更安全的专用于防火墙的操作系统,SunScreen的四块网卡均无IP地址,可实现两路透明的桥接过滤功能,因此它相当于一个黑盒子,用户无法检测到它的存在,同时SunScreen又是一个具有硬件加密功能的设备,可实现安全的私有网络SV**;Firewall-1也是基于包过滤的防火墙的产品,除了完成包过滤功能外,还具有对部分应用协议的识别功能,比纯包过滤产品更安全。此外,Internet上也有很多免费的包过滤软件,比如基于PC DOS环境的Kbridge和Drawbridge等。
Internet的安全代理服务器软件主要分为两种:一种直接利用原有TCP/IP应用的客户,比如Unix系统的telnet、ftp应用等,在这种方式下,用户想访问Internet时,比须先登录到代理所在的工作站上,然后才能访问;另一种方式是利用与代理服务器配套的客户软件,这种方式在访问Internet时不需先登录到代理服务器软件的典型代表分别是:TIS公司的FWTK(FireWall ToolKit)和SOCKS。FWTK服务器由一组代理服务组成,包括FTP代理、TELNET代理、HTTP代理、Gopher代理、SMTP代理等,由于FWTK软件是一种应用层的代理软件,因此,对应于每一个应用都需要一个代理。FWTK软件具有灵活的控制手段和详细的记录功能,它的源码可在Internet上免费获得。
4.3 信息安全
信息安全是一项十分敏感的问题。由于Internet上有许多可用来做窃听的工具,比如snuffer等,因此明文信息在Internet网上传输是不安全的。TCP/IP协议本身不提供任何信息安全方面措施,因此必须另外开发。目前,Internet上的信息加密有两种途径:基于IP层的信息加密和基于应用层的信息加密,基于应用层的信息加密是传统的方法,用户在发送信息前,利用加密工具先将信息加密,然后才发送出去,接收方可利用相应的解密工具还原信息;基于IP的信息加密是Internet上的一种新技术,它对IP包进行加密,对于应用层的用户来说是透明的,用户无需在传送数据前进行加密,数据的安全是通过IP层自动实现的,但是这种应用要求发送方和接收方采用同样的技术、同样的产品,目前已有采用这种技术的产品出现,比如Sun公司的防火墙SunScreen就具有此功能。利用基于IP包的信息加密技术可在Internet上实现安全的私有网络SV**(Secure Virtual Private Network)。
信息加/解密技术可分为两种体系,即单密钥的加密体系和双密钥的加密体系,单密钥的加密体系在加密和解密时采用相同的密钥,如著名的加密算法DES;双密钥的加密方法又叫公开密钥的加密方法,加密和解密时采用不同的密钥,即公开密钥和私人密钥,如著名的RSA算法。这两种加密体系在Internet都得到了不同的应用。比如Unix系统的用户密码password就采用DES算法;而信息加解密工具PGP(Pretty Good Privacy)采用了公开密钥的加密方法。
PGP是1991年由美国学者菲利普·齐默尔曼率先提出的信息加密方案,广泛应用在电子邮件中。他把公开密钥和分组密码组织在一个系统之中,公开密钥选用了RSA算法,分组密码选用了IDEA算法。前者用于密钥管理,后者用于信息加密。PGP的密码长度可达512、1024或2048位。它除了可完成信息加密之外,还具有安全的数字签名和身份验证功能。
4.4 如何实现防火墙
每一种不彻底公开的内部网络与Internet最大的区别是安全性,网络建成后,内部网与公共网之间将实现单向访问控制,通过防火墙进行隔离。防火墙技术是实现网络安全的重要保证。它可分为两种,即基于包过滤(PACKET FILTER)的网络级防火墙和基于代理(PROXY)的应用级防火墙。这两种防火墙各有优缺点,在一般的内部网防火墙构架中,综合利用了这两种技术,下面是整个防火墙系统的介绍:
第一道防火墙采用CISCO路由器实现包过滤,完成访问控制功能:禁止外部对内部某些重要主机的访问,同时禁止内部对外部某些站点或网络的访问。第二道防火墙采用一台工作站来充当代理服务器,实现内部网对INTERNET的访问,同时实现隔离功能,禁止外部网络对内部网络的访问。在外部网与内部网之间为中间非军事区(DMZ),在这个区域里的主机与Internet直接相通,因此不用来存贮较敏感的数据,是一个过渡区域,由于代理服务器要求直接访问INTERNET,因此代理服务器也放在这一区域。
本公司防火墙方案是采用CISCO公司的最新的防火墙产品PIX520,它是一种硬件解决方案,主要优点在于,比其它防火墙方式更安全有效,而且,更好的支持多媒体信息的传输,使用与管理更方便。PIX具有双以太网口(内部网与DMZ各一个);可组成虚拟专用网并加密;在防止非法侵入的同时还可有效的限制内外问。
第五章 系统实施
5.1 服务器系统的规划
广州白云机场原先WWW服务器和PROXY服务器是在同一台物理服务器上,现将WWW服务器和PROXY服务器分开,用HP NETSERVER LH6000做WWW服务器,原PROXY 服务器保持不变。规划后有WWW服务器、PROXY服务器、EMAIL服务器、数据库服务器、托管服务器五台独立的服务器,分别连接到广州白云机场计算机信息中心的中心交换机上。
5.2内部网和直属单位的连接
通过CISCO路由器与直属单位进行信息交流,把内部网与直属单位的内部网络(LAN)连接起来。分别通过一台CISCO路由器2610走 DDN把广州市白云机场中学、广州市白云机场小学连接到广州市白云机场计算机信息中心
5.3提供Internet用户访问
使用DDN专线把广州市白云机场小学、广州市白云机场中学连接到广州市白云机场计算机信息中心,广州市白云机场小学、广州市白云机场中学通过广州市白云机场计算机信息中心的PROXY服务器接入Internet,广州市白云机场小学、广州市白云机场中学主要用户还可以查询市白云机场计算机信息中心主页信息及电子商务等在内的主页内容。
5.4 IP的规划
1.使用一个内部的A类地址:10.0.0.0;使用相同的自然掩码255.0.0.0内部用户用DHCP进行IP分配。DHCP:10.1.1.20—10.1.1.254
2.机场小学的IP分配:10.1.2.0---10.1.2.255 使用相同的自然掩码255.0.0.0
3.机场中学的IP分配:10.1.3.0---10.1.3.255 使用相同的自然掩码255.0.0.0
4.通过PIX将映射内部邮件服务器、WEB服务器成Internet地址;
主机名 | IP 地址 | 子网掩码 | 备注 |
|---|---|---|---|
DHCP服务器 | |||
数据库服务器 | |||
信息中心ROUTER | 202.103.130.64 | 255.255.255.0 | |
WWW服务器 | 202.103.130.66 | 255.255.255.0 | |
托管服务器 | 202.103.130.67/68 | 255.255.255.0 | |
MAIL服务器 | 202.103.130.70 | 255.255.255.0 | |
机场小学ROUTER | 10.1.2.1 | 255.0.0.0 | |
机场小学终端 | 10.1.2.2/255 | 255.0.0.0 | |
机场中学ROUTER | 10.1.3.1 | 255.0.0.0 | |
机场中学终端 | 10.1.3.2/255 | 255.0.0.0 |
5.5 网络安全的实现
连接Internet采用PIX作为防火墙,通过PIX的安全设置可使 黑客无所作为,以保证内部网络不受Internet用户的攻击;
内部网络之间的安全性,机场与各直属单位之间通过路由器连 接,限制一些应用端口,过滤一些来自直属单位的广播包及IP包,保证机场网络不受直属单位网络的影响;
内部用户通过Proxy代理访问Internet,可对IP用户使用管理,时间进行控制,以达到Internet 访问的整体控制效果。
第六章 技术培训与服务
6.1 培训计划
6.1.1 概述
北大明天资源科技公司对广州白云机场的计算机操作人员进行技术培训,包括:网络管理员,微机操作人员等,以保证网络系统建成后,系统的正常运行、技术支持和维护的需要。
6.1.2 技术说明
根据网络系统建设的实际需要,广州市白云机场接受培训的人员在北大明天资源科技公司技术人员的指导下,参加系统培训。
培训内容主要在服务器系统、计算机网络系统与网络管理等。
受培训的人员在培训后应能独立完成相应的技术工作,并能达到回本单位后继续作培训的能力。
6.1.3 工作内容
制定技术培训计划。
安排和协调各种技术培训。
6.1.4 工作过程:
培训地点:北大明天资源科技公司、广州白云机场
参加人员:网络系统管理员与微机操作人员。
工作方式:现场培训
6.2 维护计划
6.2.1 概述
北大明天资源科技公司对网络系统的设备及第三方软件实行一年的免费维护,并对所有本系统涉及到的软、硬件及计算机网络提供技术维护与支持,以便及时排除系统可能发生的一切问题和故障。
6.2.2 技术说明:
对广州市白云机场网络信息系统的设备及第三方软件提供技术支持与维护。
6.2.3 工作内容
诊断故障并提交故障诊断报告。
制定系统维护和故障恢复的实施计划。
管理、监督维护计划的实施。
确认维护工作完成并提交维护报告。
6.2.4 工作过程
1、诊断故障并提交故障诊断报告
根据网络系统运行过程中出现的系统故障或其它异常情况,及时进行故障诊断,并提出故障诊断报告。故障诊断报告的主要内容包括:故障现场情况记录、故障的级别和紧急处理过程记录等。
2、制定系统维护和故障恢复的实施计划
根据提交的故障诊断报告,制定系统维护和故障恢复的实施计划。按照制定的计划实施系统维护工作。
3、管理、监督维护计划的实施
将处理系统维护工程管理和监督工作组,全面负责管理和监督系统维护工作实施过程,并根据系统维护实施的各个阶段提交维护工作报告。
4、确认维护工作完成并提交维护报告
在系统维护工作完成后,由系统维护人员提交系统维护工作报告,由广州白云机场计院的技术人员对系统维护情况进行测试并予以确认。
5、提交成果
每次系统维护工作完成后,都提交如下的报告、记录等文档等资料:
故障诊断报告
系统维护和故障恢复的实施计划
维护工作阶段报告
系统维护工作报告
6、验收
根据故障诊断报告、系统维护和故障恢复的实施计划、维护工作阶段报告和系统维护工作报告,和广州市白云机场的技术人员一起讨论确定系统维护验收测试计划。并依此对系统进行测试验收,并提交报告。
7、维护经费
计算机系统、网络设备及第三方软件实行一年的免费维护。
下载文档链接:https://www.lanzous.com/i4pbmre 密码:bb67