德隆大厦网络系统设计方案(riverstone)

发布于:2021-11-27 13:50:03

北京瑞斯瑞斯康达科技发展有限公司

网吧
计算机网络设计方案

北京瑞斯瑞斯康达科技发展有限公司

德隆大厦计算机网络系统

页1

北京瑞斯瑞斯康达科技发展有限公司

网吧计算机系统设计方案
提要:本方案包括网吧计算机网络系统的详细设计以及设备选型的考虑。

1 需求分析
网吧的计算机网络系统接入点数一期为 400 点左右,应用将会有 INTERNET 访问、电子邮
件(EMAIL) 、视频、音频等。所以网吧的计算机网络系统必需支持高带宽,可靠性,必须灵

活多样的网络升级方式。

基于以上的需求,瑞斯康达公司为网吧设计了以千兆以太网为主干的计算机网络系统, 主要是考虑了千兆以太网技术带宽高,标准统一,安装维护容易,另外也是 RiverStone 的千 兆以太网产品具备 3 层交换、软件防火墙等功能,能全面满足网吧计算机网络系统的需求。 凭借瑞斯康达公司多年对大型项目系统集成的成功经验,对计算机网络系统建设的深刻 理解,以及对网吧应用需求的认真分析,我们对网络系统的设计主要包括以下几个内容。

---- 网吧此次计算机网络的建设主要为大楼内部局域网建设; ---- 网吧网络建设要考虑将来与分部广域网互联的需求; ---- 网吧网络系统建设的目的是实现信息共享和软硬件资源共享,为网吧内各部门的相关业 务开展和管理提供一个高速优质的通信*台; ---- 应充分考虑容错性、防止系统的故障发生,保证系统的安全可靠,建立以高效性、灵活 性为主,以便于运行应用软件和办公软件应用的全集中方式; ---- 必须保证网络系统的安全; ----为适应未来信息技术的高速发展,系统应具有较好的可扩展性,具有向电视会议、数据 语音集成的应用发展的能力。 ---- 要求网络系统具有易维护性和可管理性。 随着计算机信息化的建设和普及,大量的数据和应用对计算机网络、主机硬件*台提出了

德隆大厦计算机网络系统

页2

北京瑞斯瑞斯康达科技发展有限公司
更高的要求,如大量的多媒体数据、各方面的管理信息系统数据等。因此我们对此次网吧的 计算机网络系统建设按照目前流行数据中心高要求的模式建设。

2 网络系统设计原则
瑞斯康达公司在技术设计上遵循以下原则: ---- 高带宽、高性能、高可靠性 在面向未来和社会的计算机网络中,为了支持大量数据、话音、视频多媒体的传输,应 选用易于扩展的高带宽、高性能的先进技术,如千兆位路由交换技术,从而既满足目前的需 求,又充分考虑未来的发展。这一网络系统还应具有高可靠性,除了采用高可靠性的网络设 备以外还应考虑物理层、数据链路层和网络层的冗余备份。 ---- 可扩展性和可升级性 网络系统要有可扩展性和可升级性,随着业务的增长和应用水*的提高,网络中的数据 和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。 ---- 易管理、易维护 根据网吧应用的需求,需要网络系统具有良好的可管理性,网管系统具有监测、故障诊 断、故障隔离、过滤设置等功能,以便于系统的管理和维护。 ---- 安全性 网络系统应具有良好的安全性。由于德隆部分部门的数据为保密数据,而且需要方便快 捷地访问 INTERNET,要求能进行灵活有效的安全控制,同时还应支持虚拟网络,以提供多层 次的安全选择。 ---- IP Multicast 由于网络中多媒体的应用,往往会占用大量的带宽资源。所以网络系统应能支持 IP Multicast,以节省主干的带宽。对于骨干网络而言,需要对大量的多点广播组进行*思扑 和路由计算,支持各种多点广播协议特别是多点广播路由协议以及高性能的路由能力非常必 要的。 ---符合国际标准 选用符合国际标准的系统和产品,可以保证系统具有较长的生命力和扩展能力,满足将 来系统升级的要求。 ---- 选择正确合作伙伴
德隆大厦计算机网络系统 页3

北京瑞斯瑞斯康达科技发展有限公司
计算机网络的建设必须具备前瞻性和持续发展性,在技术上对一般的社会网络具有指导 意义。同时网络建成之后,还要进行运行维护,升级换代,部署新的技术和应用,以适应发 展的需要。因此,选择正确的合作伙伴非常重要。这个合作伙伴应该是一个业务迅速稳定增 长、不断投资研究开发新技术和新产品的公司,必须是能为客户提供长期优质服务的公司。 其技术和产品应该代表未来技术的发展方向,这样计算机网络系统的长期发展才能得到可靠 的保证。 从设计的角度考虑,我们建议不应采用多家网络产品,虽然各家产品均有其特色,但相 互兼容的部分往往只是一般共通的标准,无法发挥其卓越品质。根据规模及应用需求我们在 本系统中基本选用了美国 Cisco 公司的网络产品作为完成整个网络系统连接的主要通信设备。 Cisco 公司作为最大的路由器、交换机生产厂商,可以为网吧的计算机系统提供先进的网络产 品。

3 网络系统的设计思想
网吧教育网络遵循前述的技术要求和设计原则,采用以下的先进设计思想: 3.1 层次化设计 层次化设计方法可为网络带来以下优点: ---- 可扩展性:因为网络可模块化增长而不会遇到问题; ---- 简单性:通过将网络分成许多小单元,降低了网络的整体复杂性,使故障排除更容易; ---- 设计的灵活性:使网络容易升级到最新的技术,升级任意层次的网络不会对其他层次造 成影响,无需改变整个环境; ---- 可管理性:层次结构使单个网络设备的配置的复杂性大大降低,更易管理。 ---- 要建设大型的、性能优良的、具有很强扩展能力和升级能力的综合网络,在设计中就必 须采用层次化的网络设计原则。 具体而言,核心主干层的主要作用是提供高速传输和路由最优化通信,汇接网络层主要 完成网络流量的控制机制以使接入网络和核心层环境隔离开来,还应能对由用户接入层所区 分开的不同优先级的应用加以区别对待,从而支持端到端的服务。我们在网吧的网络系统设 计充分考虑了层次化结构设计,具体请参见的网络系统设计部分。

德隆大厦计算机网络系统

页4

北京瑞斯瑞斯康达科技发展有限公司
3.2 端到端的网络服务保障 网吧计算机网络根本的目标是服务的所有的员工,这就不仅仅需要在提供便宜的带宽方 面下足功夫,而且更重要的是必须在更高层次上保证"网络运行品质"的四个方面: ---- 端到端的网络实际运行性能 ---- 端到端的网络安全性可靠性 ---- 端到端的服务质量(QOS)保证 ---- 端到端的业务易实施性

4 园区网的相关技术
4.1 快速以太网 由于 100Base-T 的良好继承性, LAN 在 10Base-T 和 100Base-T 站点之间作数据通讯时, 使 不需要协议转换,使快速以太网可以*稳地集成于 10Base-T 网络中,在需要时 10Base-T 就可 以升级到 100Mbps,获得高带宽的性能;其产品的开发人员也能保证在两种技术之间优质兼 容,这样就给用户提供了一个低成本的网络升级方案,因此 100Base-T 应用更为普遍。 网络需求的增长,需要相应带宽的支持,因此如何找出一种具有良好性能价格比的增加 带宽方案,日益成为业界的焦点,其中心议题是:在建设先进的高性能的下一代网络的前提 下,找到一个能充分发挥当前已有投资的作用,保持系统兼容性与提供满足需求带宽的*衡 点,快速以太网以其独有的特性,占据了这个有利地形。 快速以太网联盟认为:100Base-T 是 10Base-T 的真正继承者。100Base-T 保留了大多数 10Base-T 的布线规则和 CSMA/CD 媒质访问方式,具有以下特色: 从 10Base-T 以太网升级较容易,投资少,与现有 10Base-T 以太网的集成也很简单。 工业支持较强,竞争激烈,使产品价格相对较低。 安装和配置简单,现有的管理工具依然可用。 支持交换方式,有全双工 200Mbps 方式通讯的产品。 第三层交换技术在快速以太网设备上的实现,使其具有更大的灵活性。 不足在于: 基于碰撞检测原理的总线竞争方式使 100Mbps 的带宽在通讯量增大时损失很快。
德隆大厦计算机网络系统 页5

北京瑞斯瑞斯康达科技发展有限公司
通过 UTP 连接的 100Base-T 网段的最大跨距经过中继器连接不能超过 210 米,通过光纤 连接不能超过 420 米。 因此,100Base-T 比较适合于在一个特定范围的地域内,在通讯量无尖峰的情况下使用, 通常适合于连接至各部门网。100Base-T 较好地消除了网络瓶颈,有效地提高了带宽,降低了 冲突发生率,与固有的网络完全兼容,且性能价格比较优,是一种比较先进实用的网络技术。 4.2 千兆以太网 下一代超高速千兆以太网(1Gbps)技术应用于主干网 ,可以建立从桌面计算机的 10Mbps 到主干网 1Gbps 的良好连接,从而形成从 10Mbps 普通以太网到 1Gbps 超高速以太网的系列, 网络的升级不必安装昂贵而且影响网络性能的帧格式转换设备,这也正是千兆位超高速以太 网相对于 ATM 和 FDDI 等高速网络的优势。1Gbps 以太网产品的出现,给现在快速以太网的 用户和尚未决定是否升级为快速以太网的用户下了一颗定心丸,这对于 100Mbps 快速以太网 的发展是一个巨大的推动力。 在目前绝大多数的应用环境下,千兆以太网主要用于中心交换机之间或中心交换机与中 心主机的连接,之下仍然使用快速以太网。由于千兆位以太网对快速以太网和以太网技术的 推动与继承,使之在网络系统的升级和扩展方面具有更大的优势,并有在大型局域网络系统 中逐渐取代 100Base-T,而作为中心交换机与服务器之间的网络主干。

4.3 光纤分布式数据接口(FDDI) 光纤分布式数据接口( ) FDDI 在 100Mbps 传输技术上最成熟,因适应于做骨干网而在计算机网络系统中普遍采 用。它的优点在于: 令牌传递模式和一些带宽分配的优先机制使它可以适应一部分多媒体通讯的需求。 有众多的产品供应商和互联产品,与传统网络的集成很容易。 双环及双连接等优秀的容错技术。 网络可延伸达 20 公里,支持 500 个工作站。 但 FDDI 有许多弱点: 居高不下的价格限制了它走向桌面的应用,无论安装和管理都不简单。
德隆大厦计算机网络系统 页6

北京瑞斯瑞斯康达科技发展有限公司
基于带宽共享的传输技术从本质上限制了大量多媒体通讯同时进行的可能性。 交换式产品虽然可以实现,但成本无法接受。 4.4 异步传输模式(ATM) 异步传输模式( ) ATM(Asynchronous Transfer Mode)技术的出现是全球网络及通讯领域中革命性的突破, 也是当代及下一代的网络技术。ATM 由于采用高速定长度的信元交换技术(53byte Cell Switching) ,特别适于未来信息社会中人们对于得到诸如声音、数据、图像等信息的要求。由 于 ATM 既可用作 LAN 骨干网,又可用作广域网(WAN) ,其中包括分组交换网(数据通讯) 、 线路交换网(电话通讯网络)以及综合业务数字网(ISDN) ,在广域网中可以允许不同载体共 存。 ATM 相对于其它技术有许多优势: 最高达 2Gbps 的线路速率将适应任何带宽要求,彻底消除通讯瓶颈。 基于信元异步传输模式和虚电路结构,根本上解决了多媒体传输的实时性和带宽问题。 从局域网到广域网通过 ATM *滑连接, 不再需要网桥、 路由器等影响效率的协议转换设 备。 交换结构保证了系统灵活的扩充能力和充分的容错性。 但 ATM 技术也存在许多不足之处: 价格昂贵限制了 ATM 技术的使用和推广,使用 ATM 技术的市场价位大约相当于 100Base-T 的 2 至 3 倍。 兼容性差,不同厂商提供的 ATM 产品不易互连,限制了网络的发展。 ATM 是一种新兴的技术,ATM 技术与现有网络协议(如 SNA 协议)的兼容性还有待于 进一步论证。 故针对网吧的计算机网络系统的实际情况,我们建议网络主干采用 1000M,10/100M 到 桌面用户的解决方案。

德隆大厦计算机网络系统

页7

北京瑞斯瑞斯康达科技发展有限公司

5 网络系统总体设计
5.1 网络方案的说明 我们对整个网络系统规划以高起点、高要求设计,整个计算机网络系统网络分为核心交换 机和分布交换机两层,组成高性能、高可靠性的解决方案。根据网吧的实际情况,以及此次 项目建设的投资金额,根据网吧计算机网络系统数据点的数量配置交换机端口数,并考虑预 留将来的发展,提供扩展的思路和空间。

网络方案示意图如下: 网络方案示意图如下:

核心交换机:由 2 台 RS8000 多层交换机构成,单引擎,双电源容错工作,2 台核心交换机之
间由 2 条千兆以太链路组成的 GigaChannel 连接,保证数据的高速、无阻塞的交换。

楼层交换机:由多台 ES500 交换机构成,实现 10/100M 的桌面连接,楼层可根据端口数要求
德隆大厦计算机网络系统 页8

北京瑞斯瑞斯康达科技发展有限公司
进行级连连接,每个交换机(或单个)用 2 个千兆端口分别连接 2 台核心交换机实现线路冗 余,并且使用 Spanning Tree 协议防止转发循环。

INTERNET 接入部分:申请电信 ADSL 接入,由 RS8000 端口完成,此外 RS8000 提供多样化的接
入手段,可以根据网吧的需求灵活的实现用帧中继、DDN、ADSL、ISDN 等方式接入 INTERNET。

企业网内联部分:由 Cisco 3640 完成,提供 2 个 10/100M 以太网接口,4 个模块化插槽,可
以通过 DDN、ATM、E1 等,实现与其他分部的高速连接,还可以支持 T1、E1、FXS、FXO、E&M 等语音借口,可作为 H.323 Gateway、GateKeeper(关守)使用,可为将来向视频、语音网的 扩展提供良好的投资保护,通过配置 Cisco 具有 IPSEC 功能的 IOS,可以在将来不增加投资 的情况下实现公司 VPN 连接。

网管部分:基于一台 Windows 的 PC,使用 RapidOS 提供直观的网络管理。 网络安全部分:在局域网内部安全,我们建议通过在核心交换机 6506 划分 VLAN、设置 ACL 来
加强安全,由于考虑到德隆业务系统对安全性有更高的要求,在局域网内部采用 CA 公司 EID 入侵检测软件来实现内部网安全管理,操作*台基于 WINDOWS 2000;广域网部分采用瑞斯瑞 斯康达公司的 BAMS 方案,为网络提供从代理共享上网,用户 AAA 认证,到防火墙的一揽子解 决方案。 在防病毒方面采用欧洲熊猫公司的企业网络版防病毒套件, HTTP、 对 FTP、 POP3、 SMTP 等 TCP/IP 协议进行有效的防范。 5.1.1 核心交换机 网吧的网络核心交换部分由 RiverStone 高性能、高可靠性的 RS8000 路由交换机完成。 RS8600/8000 交换式路由器家族

RS8000 和 8600 交换式路由器支持线速的多层交换和路由,并集成全面的 LAN/WAN 连接能力,提供对带宽和应用数据流的精确控制,以及为支持高性能转发提供超大路由表容 量。RS8000 和 8600 在启动全部服务、控制功能的情况下仍能保持线速的第 2、3、4 层交换和
德隆大厦计算机网络系统 页9

北京瑞斯瑞斯康达科技发展有限公司
路由性能。通过跨越整个网络实施优先级队列、过滤以及 QOS 等策略,能够向最终的用户或 特定的应用分配相应的网络资源。 RS8000 和 8600 能够实施比特级的带宽控制并通过优化措施 建立和实施服务级别认同策略。 关键特点 基于端口或协议的 VLAN IP 路由,单播和组播 安全性(ACL、L2 过滤器) 第 4 层应用流交换与 QoS 网络地址翻译(NAT) 服务器负*胶猓↙SNAT) 基于硬件的 WAN 压缩和加密 基于硬件的速率限制 支持巨型帧 技术指标

接口类型
10/100 Base-TX 100 Base-FX 1000 Base-SX 1000 Base-LX Serial T1/E1, T3/E3 ATM DS 3, E3, OC-3c POS OC-3 to OC-12c

性能

16Gbps for RS8000, 32Gbps for RS8600 无阻塞交换矩阵 15 Mpps for RS8000, 30 Mpps for RS8600 路由吞吐量

德隆大厦计算机网络系统

页10

北京瑞斯瑞斯康达科技发展有限公司
MTBF (预测) > 200,000 hours
容量

支持 4,096 VLANs 支持 250,000 个 3 层路由 支持 20,000 安全/访问控制过滤器 RS8000 支持 2,000,000 个 Layer-4 应用流,RS8600 支持 4,000,000 个 Layer-4 应用流
RS8000 支持 400,000 个 Layer-2 MAC addresses,RS8600 支持 800,000 个 Layer-2 MAC addresses 每 Gigabit 端口有 3 MB input/output 缓冲区 每 10/100 端口有 1 MB input/output 缓冲区 在一个 WAN 模块上的 WAN 端口共享 20 MB input/output 缓冲区

在每个 Packet Over SONET/SDH OC-3c 端口有 32 MB input/output 缓冲区 在每个 Packet Over SONET/SDH OC-12c 端口有 64 MB input/output 缓冲区

可靠性保证
交换矩阵(仅对 RS8600) 、控制模块、电源均为冗余配置 线卡、控制模块、交换矩阵(仅对 RS8600) 、电源可热切换 基于标准的 VRRP
管理方式

每端口支持 RMONv1/RMONv2 SNMP 可管理 命令行(CLI)管理
支持的标准与协议

IP 路由: RIP v1/v2, OSPF, BGP 2, 3, 4, IS-IS IPX:RIP, SAP 组播:IGMP, DVMRP, GARP/GVRP 桥和 VLAN:802.1d Spanning Tree,802.1Q (VLAN trunking),Rapid Spanning Tree Protocol (RSTP),Per-VLAN Spanning Tree (PVST) QoS:业务控制排队、加权早期随机检测、加权公*排队、严格优先级排队、 重写 ToS 八 位位组、MPLS 和为流量工程创建 LSPs 媒体接口协议:802.3 (10Base-T),802.3u (100Base-TX, 100Base-FX),802.3x (1000Base-SX, 1000Base-LX),802.3z (1000Base-SX, 1000Base-LX),DS-3/E-3 (ATM 多速率 和通道化),OC-3c (ATM 多速率和 POS),OC-12c (POS),T1/E1 (WAN 多速
德隆大厦计算机网络系统 页11

北京瑞斯瑞斯康达科技发展有限公司
率), T3 (通道化), CMTS (DOCSIS 1.0, EuroDOCSIS 1.0)
电源要求

AC 电源 100-125 VAC, 最大 5A (RS8000) ,最大 10A(RS8600) 200-240 VAC, 最大 3A(RS8000) ,最大 6A(RS8600) 输出功率: 300W(RS8000) ,600W(RS8600) DC 电源 输入电压: 36-72V 输入电流: 14 A (RS8000) ,27A(RS8600) 输出功率: 300W(RS8000) ,600W(RS8600)
遵守的 NEBS

符合 NEBS 3 级规程
电磁兼容性

FCC Part 15, CSA C108.8, EN55022, VCCI, EN50082-1 and 89/336/EEC
安全性

UL1950, CSA C22.2 No. 950, EN60950, IEC950 and 72/73/EEC
环境要求

运行温度: 5℃到 40℃ 运行湿度:15 到 90%(非冷凝) 存放温度:-30℃到+73℃ 存放湿度:5 到 95%(非冷凝) 海拔高度:最高 10,000ft 撞击与震动:GR63
物理指标

尺寸:RS8000:H:8.27 in;W:17.25 in;D:12.25 in RS8600:H:19.25 in;W:17.25 in;D:12.25 in 重量:RS8000:10.8kg RS8600:21.2 kg 设备基本组成
德隆大厦计算机网络系统 页12

北京瑞斯瑞斯康达科技发展有限公司
RS8000:8 槽的机柜,背板,交换矩阵,和风扇(还需要 G8M-CM 控制模块,SYS-OS 操作 系统,G80-PAC 交流电源或 G80-PDC 直流电源) RS8600:16 槽的机柜,背板,交换矩阵,和风扇(还需要 G8M-CM 控制模块,SYS-OS 操作 系统,G86-PAC 交流电源或 G86-PDC 直流电源) 100~240VAC 电源或 48VDC 电源 控制模块(128MB 或 256MB) 备件风扇盘 系统软件:SYS-OS(RS 路由器操作系统软件(PC-卡形式) ) 8 口 10/100Base-TX 线卡 16 口 10/100Base-TX 线卡 8 口 4 MB 多模 100Base-FX 线卡 2 口多模 1000Base-SX 以太网线卡 2 口同时支持各种距离的单模/双模 1000Base-LX 线卡 2 口支持 70 公里的单模 1000Base-LLX 线卡 2 口 1000Base-T 线卡(RJ-45) 提供 2 个插槽的多速率 ATM 线卡,每个插槽可插入以下端口类型:DS-3/T-3 (BNC Coax)、 E-3 (BNC)、OC-3c 多模 (SC-style)、OC-3c SMF-IR (SC-style) ATM OC-12c 多模线卡提供 2 个物理端口互为主备用 ATM OC-12c 单模线卡提供 2 个物理端口互为主备用 4 个 OC-3c 口的 Packet-over-SONET 多模线卡 4 个 OC-3c 口的 Packet-over-SONET 单模线卡 2 个 OC-12c 口的 Packet-over-SONET 多模线卡 2 个 OC-12c 口的 Packet-over-SONET 单模线卡 Quad 系列 C 线卡,提供 2 个双串行 WAN 口(双串行指的是 2 个串口位于一个高密度连 接器中)和压缩 Quad 系列 CE 线卡,提供 2 个双串行 WAN 口和压缩、加密 提供 2 个 50 针高速串行接口(HSSI)的 Dual HSSI 线卡 CMTS 4x1 线卡,支持 1 个下行流和 4 个 上行流,提供线速 Cable Modem 终结服务集成 包含有 2 个 WAN 接口卡(WIC)的多速率 WAN 线卡,每个 WIC 有 2 个 T1 WAN 口
德隆大厦计算机网络系统 页13

北京瑞斯瑞斯康达科技发展有限公司
1) 提供 2 个通道化 T3 口(BNC)的 Channelized T3 线卡 方案中 RS8000 各自配置如下: 1.基本管理及电源模块的配置; 2.6 个千兆以太网模块及 12 个千兆以太网接口卡 3.操作系统软件 5.1.2 楼层交换机 二级分布层主要指 10 个分线架,共 5 层,每层两个、计 10 个,每个分线架到主线架均为 3 对光纤铺设, 主干交换要求是具有 4G 的总吞吐率, 而且提供带宽大于 10/100M 的桌面接入, 对于上述要求我们楼层交换机采用 ES500 交换机。 关键应用 ? 紧凑的,提供丰富业务的客户基础设备,适合高密度商业环境 ?可升级以太网环境中,基于硬件流限制的按需带宽管理 ? 支持VLAN,路由和第二层过滤,提供安全的VPN及局域网互连 规格 Platform Features Highly Fault Tolerant ? Redundant power supplies Extensive Management ? SSH v2.0 ? RADIUS client ? TACACS+ client ? BOOTP client ? TFTP client ? RS-232 (out-of-band management) ? Syslog ? Command Line Interface (CLI) ? RMON I/II (4 groups) ? SNMP v 1, v2c, v3 (coming soon) Interfaces 10/100 Base-TX 1000 Base-SX 1000 Base-LX 1000 Base-LH Specifications Capacity Up to 256 VLANs Up to 1,024 Routes Up to 256 security/access control filters
德隆大厦计算机网络系统 页14

北京瑞斯瑞斯康达科技发展有限公司
Up to 8,000 Layer 2 MAC addresses Performance Up to 8.8 Gbps Up to 6.6 Mpps routing throughput MTBF > 200,000 hours Physical Dimensions: 1.75" H x 17.3" W x 11" D (4.4 cm x 44 cm x 28.5 cm) Weight: 11.52 lbs (5.63 kg) Environmental Operating Temp: +0? to +40?C (32? to 104?F) Non-operating Temp: -40? to +70?C (-40? to 158?F) Operating Relative 10% to 90% (non-condensing) Humidity: Non-operating 5% to 95% maximum Relative Humidity: (non-condensing) Altitude, Operating 10,000 ft (3,000 m) maximum and Non-operating: Shock and Vibration: IEC 68-2-29 , IEC 68-2-36, IEC 68-2-6 Power Requirements Nominal input 110-230 VAC voltages: Input frequency: 50 to 60 Hz Maximum input current: 1.2A @ 115V 0.6A @ 230V Power Dissipation: 70W maximum Agency Standards and Specifications Safety: Certified UL1950, CSA C22.2 No. 950, EN60950, IEC950, and 72/73/EEC Electromagnetic Compliant with the requirements of compatibility: FCC Part 15, CSA C108.8, EN55022, VCCI, EN50082-1, and 89/336/EEC Ordering Information Part No. Product Description E50-B ES 500 base unit with two AC power supplies, 24 10/100 Ethernet and two Gigabit Ethernet uplink modules E50-B-FE ES 500 base unit with two AC power supplies, 24 10/100 Ethernet E50-GBC-01 ES 500 Gigabit Ethernet uplink module for spares or replacement
德隆大厦计算机网络系统 页15

北京瑞斯瑞斯康达科技发展有限公司
GIC-11 1-port 1000 Base-SX GBIC module, SC connectors GIC-19 1-port 1000 Base-LX Intermediate Reach (IR) GBIC module, SC connectors GIC-18 1-port 1000 Base-LX Long Reach (LR) GBIC module, SC connectors For complete ordering information, including specific modules, contact your Riverstone representative at (408) 878-6500. You may also visit our Website at www.riverstonenet.com. Standards Supported IETF Standards Support RFC No. Title RFC 768 UDP RFC 783 TFTP RFC 791 IP RFC 792 ICMP RFC 793 TCP RFC 826 ARP RFC 854 Telnet RFC 1058 RIP v1 RFC 1075 DVMRP RFC 1112 IGMP RFC 1157 SNMPv1 RFC 1256 ICMP Router Discover Message RFC 1293 Inverse ARP RFC 1349 Type of Service in the Internet Protocol Suite RFC 1519 CIDR RFC 1542 BootP RFC 1583 OSPF v2 RFC 1723 RIP v2 RFC 1812 Router Requirements RFC 2131 DHCP RFC 2138 RADIUS RFC 2178 OSPF RFC 2236 IGMP-2 RFC 2338 VRRP Enterprise MIBS RSTONE-PRODUCTS-MIB RSTONE-SMI-MIB RSTONE-STP-MIB RSTONE-TRAP-MIB RSTONE-RL-MIB SSR-CONFIG-MIB
德隆大厦计算机网络系统 页16

北京瑞斯瑞斯康达科技发展有限公司
SSR-CAPACITY-MIB RSTONE-IMAGE-MIB IETF Standards MIB Support RFC No. Title RFC 1493 BRIDGE-MIB RFC 1724 RIPv2 RFC 1757 RMON-MIB (4 Groups) RFC 1850 OSPF MIB1 RFC 1907 SNMPv2 RFC 2011 IP-MIB RFC 2012 UDP-MIB RFC 2013 TCP-MIB RFC 2096 IP-FORWARD-MIB RFC 2233 IF-MIB RFC 2571 SNMP-FRAMEWORK-MIB RFC 2572 SNMP-MPD-MIB RFC 2573 SNMP-TARGET-MIBSNMP-NOTIFICATION-MIB RFC 2574 SNMP-USER-BASED-SM-MIB RFC 2575 SNMP-VIEW-BASED-ACM-MIB RFC 2576 SNMP-COMMUNITY-MIB RFC 2665 ETHERLIKE-MIB RFC 2668 MAU-MIB RFC 2674 p/Q BRIDGE-MIB RFC 2737 ENTITY-MIB Standards and Protocols IP routing: RIP I/II, OSPF v2 Multicast IGMP v2, IGMP snooping, PIM-DM support: QoS: Ingress rate limiting IEEE 802.1D IEEE 802.1p IEEE 802.1Q PVST 802.1s (2 minimum) Rapid Spanning Tree 802.1w

5.1.3 主干网络连接方式 5.1.3.1 单个楼层交换机连接方式

当楼层交换机没有叠加时,通过 2 个千兆以太网口两对光纤分别连接 2 台 RS8000,利用 Spanning Tree,通过 802、1Q TRUNK 协议实现不同交换机之间相同 VLAN 的通信。
德隆大厦计算机网络系统 页17

北京瑞斯瑞斯康达科技发展有限公司
5.1.3.2 多交换机级联连接方式

当用户增多,需要扩展端口容量时,可直接购置相应型号的 ES500,跟原来交换机通过千 兆以太网口级联到一起。 级联占用了一个千兆以太网口,剩下的 1 个千兆口分别接到 2 台核心交换机上,利用 Spanning Tree 技术,实现负载均衡和冗余备份 。 5.2 逻辑网络设计 为了便于管理,并提高网络的效率和安全性,除了上述网络的物理设计外,还需要对网络 进行逻辑设计,即划分虚拟网。虚拟网技术是将网络的物理基础设施与网络的逻辑基础设施 相分离,使得网管人员能方便而动态地建立和重构虚拟网络,以适应今天部门机构的协作与 变动,方便网络管理,降低网络管理的成本。 总结起来,有下列因素促使我们采用虚拟网技术: 提高带宽的利用效率; 提高网络的安全性; 方便网络的管理。 另外,从安全性的角度考虑,也有必要划分虚拟网络,保证内部重要资源的安全性。虚 拟网络划分,可以根据实际情况通过使用专门的管理设置软件,对交换机所连接的网络进行 虚拟分组,使几个不同端口所连接的网络成为一组。虚拟网的划分可以跨多个交换机,也可 一个交换机内划分出多个虚拟网。 5.2.1 虚拟网的实现 目前 VLAN 实现的技术主要有: IEEE 802.10 和 802.1q; Inter-Switch Link(ISL); LAN Emulation。 在这个系统中,主要采用 802.1q 技术相结合来实现 VLAN。 5.2.2 虚拟网的划分 由于受到网络协议和网络管理因素影响,网络规模有一定的限制,这些限制也同样也适用 于需拟网络。依据经验值,对于只使用 TCP/IP 协议的网络,单个网段可以支持 1000 个节点,
德隆大厦计算机网络系统 页18

北京瑞斯瑞斯康达科技发展有限公司
IPX 协议的网络为 500 个节点,使用 NETBEUI 协议的网络则规模为 300 个节点。当单网段节 点规模大于这个数目时,网络被节点广播包所淹没,网络性能一般不能为用户所接受。 由于计算机网络同时有 Windows 95 客户机、Windows NT 服务器、NetWare 服务器甚至 UNIX 服务器。尤其是 Windows 操作系统,其在作 NetBIOS 解析及浏览服务时会产生大量的 广播包,Netware 服务器也会定时广播网络服务。也就是说,同时有 IP,IPX,NETBEUI 等协 议运行于网络上,单网段网络的规模即一个虚拟网的节点数最好应限制在 200 个以内。为获 得比较好的性能,一个 VLAN 中的用户数为 100 左右。 虚拟网的划分要依据一定的原则,这些原则是对于那些相互之间联系频繁的节点,尽量划 分在一个网段,比如说可以按照部门来划分虚拟网,对于较大的部门,可以进一步细化。对 于公共的服务器,尽量设置在对其访问数据流量最大的 VLAN 中,对于公司级的服务器,或 者为多个 VLAN 用户所经常访问的服务器,可以使用虚拟多宿主服务器技术,该技术使得一 台服务器同时存在于多个 VLAN 中。 5.2.3 虚拟网之间的路由 不同的 VLAN(虚拟网)好比是相互隔离的物理网段,VLAN 内部的各个用户间可以直接相 互通信,不同 VLAN 用户间的通信一般由路由器来实现。 本方案 VLAN 之间通信通过 RS8000 实现。 VLAN 间通信的可靠性保证 由于不同 VLAN 间的路由必须经过路由器实现,路由器成为整个网络中的关键设备。 VLAN 间用户的通信是这样的,假设 VLAN1 中的主机 A 要与 VLAN2 中的主机 B 通信,则, 主机 A 先判断其所要发出数据包的目的地址是否与 A 的地址在同一个网段,如果不是,则主 机 A 一般将这个数据包送往默认网关,由网关间数据包转发给主机 B。这里的网关即为路由 器,网关地址即为路由器连接该网段接口的地址。一般主机的设置是设定一个默认网关地址, 那么一但这个默认网关地址对应的路由器失败,则该网段上的所有主机不能够和其它网段上 的主机进行通信。假设连接 VLAN1 的路由器失败,则所有 VLAN1 内部的主机将不能和其它 VLAN 主机通信,因为这种情况下 VLAN1 内部主机无法解析其默认网关地址。 5.3 Internet 接入 Internet 接入部分是内部网对外发布信息和对内接入 Internet 的联系纽带,我们建议使用 运营商提供的宽带服务。利用 RS8000 支持的丰富网络协议,及线速处理速度,为企业提供高

德隆大厦计算机网络系统

页19

北京瑞斯瑞斯康达科技发展有限公司
速的网络通道。

7 网络安全
安全问题对于计算机网络系统来说是一个敏感和重要问题,在构筑网络*台时,特别是当 今网络技术非常复杂化的情况下,安全问题决不容忽视的。我们在网吧的计算机网络系统采 用划分 VLAN、访问控制列表、路由过滤、硬件防火墙。 7.1 安全设计原则 我们在系统安全设计时,是基于如下原则: 安全性第一原则----由于安全性和高效性是一对矛盾,两者不能兼得。 安全性第一原则 多重保护原则----任何安全保护措施都不是绝对的,但是建立一个多重保护系统,彼此相 多重保护原则 互补充,一旦一重保护被攻破时,其它重保护仍可保护系统和信息的安全。 多层次原则----如在链路层和网络层实施包过滤,在表示层实施加密传送,在应用层设置 多层次原则 专用程序代码等。 多个安全单元原则----把整个网络的安全赋予多个安全单元,如路由器、屏蔽子网、网关 多个安全单元原则 和防火墙等,形成多道安全防线。 网络分段原则----网络分段是整个网络保证安全的重要措施,可分为物理分段和逻辑分 网络分段原则 段。物理分段即从物理上分为若干段,通过交换机连接各段;逻辑分段即把网络分成若干个 IP 子网,通过路由器连接,并建立路由器上的访问表,来控制各子网间的访问。 最小授权原则----分散过大的集中权利,以降低灾难程度。 最小授权原则 综合性原则----计算机网络系统的安全应从物理上、技术上、管理制度上以及安全教育上 综合性原则 全面采取措施,相互弥补,尽可能地排除安全漏洞。 7.2 网络安全控制 网络安全主要实现在网络的 TCP/IP 及以上层次上, 控制只有获得授权的用户与系统中允 许他访问的网络节点,在指定的 TCP 或 UDP 端口上进行通信。网络安全包括网络设备安全、
德隆大厦计算机网络系统 页20

北京瑞斯瑞斯康达科技发展有限公司
网络数据流控制和通信线路安全。 要实现网络安全,首先要保证网络设备本身的安全性。在本系统中使用的网络设备包括 交换机、路由器、访问服务器和防火墙,自身的安全措施包括 console 端口和 Telnet 访问限制、 SNMP 访问与 CDP 设备发现限制、配置文件保护等。 网络数据流的控制,在保证网络设备的基础上,我们可以通过控制电话的主叫号码、数 据流的源和目的 IP 地址、数据流对应的 TCP 端口,实现网络数据流的控制。 线路传输的安全控制,在路由器和访问服务器的广域网端口上,设置数据压缩加密,加 强数据安全。在路由器和访问服务器上,配置标准的和扩展的安全选项(IP Security Option), 提高 IP 数据包的安全性;采用线路加密设备如 RACAL 校园的产品,对 DDN 线路加密;或通 过路由器上的 DES 加密功能,保证网络线路传输的安全性。 7.3 外部保护 网吧计算机网络需要与 Internet 互联实现 Internet 访问、WWW 服务,电子邮件等应用, 我们必须采取安全措施,屏蔽外来攻击,保护内部网络。 在内部网络和接入路由器之间,配置防火墙:初步可采用 1 台防火墙,以提高系统良好 的安全性。随着系统的扩大可采用 2 台能支持 FAIL-OVER 的防火墙加强系统的可靠性。

内部管理 7.4 内部管理 还有对于局域网的安全方面,还可以实现基于 MAC 地址的访问控制,对于一些现有的 电子欺骗等手段,可以通过在局域网交换机内部实现 MAC 地址的过滤来确保安全、可信的客 户访问网络主机。我们把关键业务部门的服务器(如财务部、投资部)划分在独立的 VLAN 里,形成一个保护区,与办公网严格隔离,使用与办公网不同的 IP 地址;办公网内主机访问 这些服务器,必须由第 3 层交换提供路由,然后通过 AAA 认证、授权、记帐,才能访问关键 业务服务器;此后,运行在核心交换机上的防火墙实时监测网络连接,及时抵御外来攻击, 确保关键部门、关键数据的安全。 7.4.1 用户身份的验证 局域网上网要解决的第一个问题是用户身份的认证。BAMS 采用 WEB+SSL+RADIUS 的方式, 地址分配采用 DHCP 或静态地址处理,结合 VLAN 实现安全的用户认证和用户的隔离及防止网
德隆大厦计算机网络系统 页21

北京瑞斯瑞斯康达科技发展有限公司
络风暴。认证示意图如下: 用户认证的流程如下: 1. 2. 3. 用户在上网前获得 IP 地址(通过 DHCP 或静态分配) 用户请求上网,BAMS 网关服务器根据用户请求,向用户推送认证界面(Portal) 用户把用户名及密码后通过 BAMS 网关服务器向 Radius Server 发送认证请求,同 时, BAMS 网关服务器把用户的其他信息 (MAC、 VLAN ID 等) 一起发送给 Radius Server。 4. 5. 6. 7. 8. Radius 服务器根据认证请求包内容,结合用户 Profile 信息判断用户的合法性 对合法用户,返回授权信息;对非法用户,返回拒绝信息 BAMS 网关服务器收到授权信息,并产生计费开始请求 Radius 服务器收到计费开始请求后将计费信息存储于临时文件 用户结束网络访问或 BAMS 网关服务器发现用户已下网,则向 Radius Server 发送 计费结束请求,同时返回用户使用网络信息 9. Radius 服务器收到计费结束请求后将计费信息存储于数据库中。

Internet

德隆大厦计算机网络系统

三层交换机 认证通过(ok)
WWW 服务器

页22

北京瑞斯瑞斯康达科技发展有限公司

7.4.2 用户上网控制 BAMS 能通过设定灵活的规则来限制局域网内主机和 Internet 之间的相互访问。这些规则 包括: 限制某些协议的使用 限制访问某些 IP 限制访问某些子网 限制访问某些端口 容许只访问某些网站 以上规则可以组合设置形成复合条件。 例如, 设定 A-D 共四类用户, 类用户只能访问 Email A 服务(TCP 25/110/143 端口);B 类用户增加了浏览国内站点的服务(国内 IP 的 TCP 80 端口); C 类用户可以浏览整个 Internet(只限端口不限 IP);D 类用户则开放面向 Internet 的所有服 务(开放 TCP/UDP/ICMP 及所有端口)。类似地,可以设定更多的服务模式以便提供不同的收费 策略。

德隆大厦计算机网络系统

页23

北京瑞斯瑞斯康达科技发展有限公司
的另一重要特征是它内置的流量控制功能。为了有效的控制用户行为,避免导致资 BAMS 的另一重要特征是它内置的流量控制功能 源的浪费和滥用,BAMS 内置了对用户流量的控制功能,这无论对于开发商还是其他用户均有 重要意义。例如:对用户 A 限制带宽为 64K,则用户最大访问速率或多个文件下载速率和不超 过 64Kbyte/s。 7.4.3 实时计费 BAMS 后台用户管理及计费/帐务系统不但能够提供服务供应商所需的服务/计费方案。 而且可以实现对用户的实时计费,在用户账面费用为零时,终止用户对互联网的访问。 用户可以自己查询其详细的上网费用记录、用户也可以根据自己的实际情况,选择使 用或取消使用服务商提供的某项服务。 7.4.4 结合 ICP 统一认证机制 为了更好的方便用户上网,需要解决用户上网实用增值服务时统一认证的问题。统一认证的 流程图如下:

1 游 2 戏 3 客 户 端 6 7

B A M S 网 关

4 5 Whois 8 服务器

游 戏 服 务 器

9

1) 2) 3) 4) 5)

6) 7) 8) 9)

用户注册上网 登录成功 用户打开客户端连接游戏服务器 网关将此连接发给游戏服务器 游戏服务器根据游戏服务器接到连接请求,根据该连接的源 IP 地址和 PORT,调 用反向查询 API,向 APP KEEPER(Whois)请求该连接的用户信息(用户名和其 他必要信息) APP KEEPER(Whois)向 BAMS 网关请求用户信息 BAMS 网关返给用户信息与 APP KEEPER(Whois) APP KEEPER(Whois)把整理後的信息通知游戏服务器 游戏服务器接受用户连接,进行正常处理。

统一认证逻辑框图如下:
德隆大厦计算机网络系统 页24

BAMS KEEPERs Intern

北京瑞斯瑞斯康达科技发展有限公司

7.5 入侵检测系统 通过配置一套冠群金辰 eTrust 入侵检测系统,实时检测公司内部主要业务主机和 OA 业 入侵检测系统, 务主机,及时发现并遏制恶意攻击。 。 入侵检测 (eTrust Intrusion Detection 简称eID) 提供了全面的网络保护功能,其内置 主动防御功能可以防止破坏的发生。这种高性能且使用方便的解决方案在单一软件包中提供 了最广泛的监视、入侵和攻击探测、非法 URL 探测和阻塞、警告、记录和实时响应。 网络已经处在当今组织的中心位置,它传输关键性通常是高敏感度的信息,同时将用户连 接到关键资源。但是,随着网络规模和复杂性的增加,防止它们受到威胁(例如低级协议攻 击和服务器及桌面入侵)变得越来越困难。遍布内部网络的病毒和恶意小程序(applet)也 会使网络处于危险境地。通常探测和阻塞针对的是内部服务和桌面以及外部 URL的非法网络 访问。 ☆ 冠群金辰 eID 入侵检测解决方案

入侵检测提供了主动的网络保护,它能够自动探测网络流量中可能涉及潜在入侵、攻击 和滥用的模式。例如,入侵检测 (eTrust Intrusion Detection) 可以探测拒绝服务攻击, 并且在服务器和服务受到影响之前根据预定义策略采用适当的行为。入侵检测 (eTrust Intrusion Detection) 同时在很大程度上降低了管理和确保网络安全所需的培训级别和时
德隆大厦计算机网络系统 页25

北京瑞斯瑞斯康达科技发展有限公司
间。通过这些功能,入侵检测 (eTrust Intrusion Detection) 解决了网络总体安全性与策 略兼容的大部分难题(例如,它提供有关策略冲突及其出处的详细统计报告)。

独特的功能

网络访问控制。 入侵检测 (eTrust Intrusion Detection) 使用基本规则定义可以访问特定网络资源的用户, 从而确保只对网络资源进行授权访问。

高级反病毒引擎。 能够探测包含计算机病毒的网络流量的病毒扫描引擎。它可以防止用户在不知情的情况下下 载受病毒感染的文件。从 CA web 站点可以得到最新和更新后的病毒特征码。 全面的攻击模式库。 入侵检测 eID 可以自动探测来自网络流量的攻击模式(即使是正在进行中的攻击)。定期更 新的攻击模式库 - 可以从 CA web 站点获得 - 能够确保入侵检测保持最新。 包检测技术。 入侵检测 eID 在隐蔽模式下工作,攻击者是察觉不到的。因为黑客不知道他们正在被监视, 因此通常在未察觉的情况下被捕获。 URL 阻塞。 管理员可以指定不允许用户访问的 URL,从而防止了非工作性 Web 冲浪。

内容扫描。 管理员通过入侵检测 eID 可以定义策略对内容进行检查。这可以防止在没有授权的情况下通 过电子邮件或 Web 发送敏感数据。

网络使用情况记录。 入侵检测 eID 允许网络管理员跟踪最终用户、应用程序等的网络使用情况。它有助于改进网 络策略规划和提供精确的网络收费。 ☆ 保护企业网络
德隆大厦计算机网络系统 页26

北京瑞斯瑞斯康达科技发展有限公司
在将入侵检测 eID 部署到企业中的多个地点后,它的强大功能可以保护整个网络, 包括 对远程或中央控制台的企业级事件进行监控和响应。入侵检测 eID 同时包括一个中央事件数 据库存储区、补充报告和可分布的"全貌"内容查看器。

入侵检测 eID 提供网络级可靠的分布式实时网络保护。它实现该功能的基础是允许每个 分布式入侵检测 eID 完全自主运作,从而避免了对网络可用性或者响应时间的依赖。

企业级功能

集中化监控。 网络管理员可以从本地或远程监控运行入侵检测 (eTrust Intrusion Detection) 的一个或 多个站,在不同网络段(本地或远程)*沧傲耸苤醒胝究刂频娜肭旨觳 (eTrust Intrusion Detection) 代理后,管理员可以根据收集到的合并信息查看报警和生成报告。 远程管理。 远程用户可以使用 TCP/IP 或者调*獾髌髁臃梦试诵腥肭旨觳 (eTrust Intrusion Detection) 的站。在连接后,根据入侵检测 (eTrust Intrusion Detection) 管理员定义的 权限, 用户可以查看和监控入侵检测 (eTrust Intrusion Detection)数据、更改规则以及创 建报告。 入侵记录和分析。 入侵检测 (eTrust Intrusion Detection) 为捕获信息和进行分析提供了全面的系统功能。 在安装软件并指定归档地点后,用户可以定义在档案中记录会话的规则。然后用户可以通过 浏览器过滤、排序和查看归档信息,并创建详细的报告。 入侵检测 eID 代表了最新一代企业网络保护技术,具有前所未有的访问控制、用户透明 性、高性能、灵活性、适应性及易用性等。它提供给企业一个易于部署的网络保护方案。 7.6 网络防病毒系统 采用 CA 公司 KILL 系列网络防毒的方案。 KILL 是北京冠群金辰软件有限公司开发研制的全中文网络防病毒产品。KILL 是真正满足 国内用户需求的、具有 CA 世界领先技术的网络防病毒产品,它具有世界领先的反病毒技术:
德隆大厦计算机网络系统 页27

北京瑞斯瑞斯康达科技发展有限公司
主动内核技术(ActiveK)。KILL 通过全方位的网络管理、多种报警机制、完整的病毒报告、 支持远程服务器、软件自动分发,帮助管理员更好的实施网络防病毒工作。同时,北京冠群 金辰软件有限公司在北京、上海和广州的技术研发支持中心,可以独立针对中国流行的病毒 进行及时的更新与服务。 KILL 是适用于企业级用户,功能强大的新一代网络防病毒产品。KILL 系列产品采用的是服务 器/客户端构架,能够实时保护您的 Windows NT/Windows 2000、Unix、Linux、NetWare、 Windows95/98、Windows3.X、DOS 工作站、Lotus Notes 和 Microsoft Exchange 群件系统的 服务器及 Internet 网关服务器,防止各种引导型病毒、文件型病毒、宏病毒、传播速度快且 破坏性很大的蠕虫病毒等进入企业内部网,阻止不怀好意的 Java、ActiveX 小程序等攻击企 业内部网络系统。KILL 以一系列无与伦比的功能为您的企业网络提供强大的保护。 KILL 系列软件获得世界上多家权威计算机安全机构的认证与推荐,其中包括中国公安部 检验中心的认证及销售许可,微软公司、Novell 公司、Compaq 公司等软件、硬件兼容性认证 以及国际计算机安全协会(ICSA)、美国西海岸病毒实验室和美国病毒公告牌的病毒检测能 力认证,证明 KILL 系列产品具有良好的资质和信誉。KILL 连续三个测试月获得《病毒公告》 (The Virus Bulletin)杂志最高荣誉:100%反病毒能力证明奖,是唯一取得三连冠的反病 毒产品。KILL 还荣获《计算机世界》报推荐的 1999 年度“计算机世界年度产品奖”殊荣。

7.6.1 KILL 的技术优势
7.6.1.1 全球领先的反病毒技术 KILL 的主动内核技术(ActiveK)是将已经开发的各种防病毒技术从源程序级嵌入操作 系统和网络系统内核,实现无缝连接。如将实时防毒墙、文件动态解压缩、病毒陷阱、宏病 毒分析器等功能,组合起来嵌入操作系统和网络系统,作为操作系统本身的一个“补丁”, 与其浑然一体。这种技术可以保证防病毒模块从底层内核与各种操作系统、网络、硬件、应 用环境密切协调,确保了在发生病毒入侵反应时,防毒操作不会伤及到操作系统内核,同时 确保杀灭来犯的病毒。即使用户是一个全球性的大型异构网络,KILL 也能自动探测到网络中 的每一台计算机是否都安装了主动内核,是否都已升级到了最新版本,如果有一台计算机没 有做到,KILL 就能补上这个漏洞。 用户所使用的计算机系统处于主动内核保护之下,任何已知病毒的入侵都会被 KILL 拒之 门外,防患于未然。KILL 系列产品都采用了主动内核技术,而用户*时使用的计算机是感觉
德隆大厦计算机网络系统 页28

北京瑞斯瑞斯康达科技发展有限公司
不到防病毒主动内核的存在,对用户完全透明。 7.6.1.2VXD 机制 VXD(虚拟设备驱动),是微软专门为 Windows 制定的设备驱动程序接口规范。通俗的说, VXD 程序有点类似于 DOS 的设备驱动程序,专门用于管理系统所加载的各种设备。VXD 不仅适 用于硬件设备,Windows 反病毒技术也需要利用 VXD 机制,这是因为 VXD 程序具有比其它类型 应用程序更高的优先级,而且更靠*系统底层资源。只有这样,防病毒软件才有可能全面、 彻底的控制系统资源,并在病毒入侵时及时报警。 KILL 的实时监测器就采用了 VXD 技术。它在系统启动时被自动加载,并对系统所用 资源进行实时监控。每当进行读写操作,它就会对相关文件进行扫描,检查是否存在病毒或 是否有类似病毒的行为。 VXD 技术与 TSR 技术有很大的不同,占用极少的内存,对系统影响极小。 7.6.1.3 实时防治病毒 KILL 实时防病毒技术能够作用于计算机系统整个工作过程中,随时防止病毒从外界侵入 您的系统,全面提高了计算机系统整体的防护水*。KILL 实时防病毒技术不但可以时刻检测 和清除各种引导型和文件型病毒,还可以自动对压缩文件的内部进行查毒和杀毒。 目前,大多数光盘上存放的文件和网络上传输的文件都是以压缩文件存放的,冠群金辰 公司在全面掌握各种现行通用压缩格式和各主流软件生产商自定义的压缩算法的基础上,编 制出全面解决各种压缩文件病毒的 KILL 防病毒软件。 KILL 还支持用户自定义的压缩格式。通过用户添加的压缩文件扩展名,KILL 可以自动解 压这些压缩文件,同时进行病毒检测,避免留下防病毒的“死角”。KILL 能够支持压缩工具 的自解压功能,可以自动检测出可执行“自解压”文件内隐藏的病毒。 7.6.1.4 病毒检测技术 KILL 的特征代码检查方式应用病毒留在受感染文件中的病毒特征值(即每种病毒所独有的十 六位代码集)进行检测。通过搜索带有这些代码的程序文件,特征代码扫描程序可以检测到 已知的病毒。 对于未知病毒和类似病毒的行为,KILL 的探视扫描引擎采用启发式技术,可以检测出未知的 计算机病毒。 探视扫描引擎包含以下四种检测及分析手段: 完整性检查 (Integrity Checking) ——确定程序的内容是否因感染病毒而发生了改变;基于规则的动态分析器检测——观察程 序的运行方式,以检测可疑的程序行为;中断监视——观察所有试图进行的程序系统调用,

德隆大厦计算机网络系统

页29

北京瑞斯瑞斯康达科技发展有限公司
停止可能存在病毒的调用序列;宏病毒分析——能够充分阻止未知病毒特别是宏病毒对系统 造成的威胁。

7.6.2 KILL 的性能特点
7.6.2.1 全方位病毒防护 KILL 实时防毒墙可以时刻监视系统当中的病毒活动,时刻监视系统状况,时刻监视网络、 软盘、光盘、因特网、网络驱动器、电子邮件上的病毒传染,在对染毒文件进行复制、移动、 打开、运行、下载等操作前作出报警提示,用户通过选择处理方案,可以将病毒彻底阻止在 操作系统外部。鉴于 KILL 反毒技术真正世界领先,因此,微软公司全球采用。 7.6.2.2 压缩文件的病毒查杀 KILL 不但具有优秀的病毒检测和清除能力,还能够查杀多种压缩格式文件内部的病毒, KILL 适用于各种现行通用压缩格式和各主流软件生产商自定义的压缩算法如 ZIP、ARJ、UUE、 MIME、LHA、LZH 等。并且能够支持某些用户自定义的扩展名和压缩工具产生的自解压文件格 式。KILL 在查毒过程中无需解压,在用户正常工作的同时即自动查杀、省时省力。尤其值得 一提的是,KILL 能够对微软专用的 CAB 格式中传染的病毒进行完全查杀。并且能够对经过多 重压缩的压缩文件进行病毒检测。 7.6.2.3 定时扫描系统 KILL 允许用户预定扫描作业,到达预定时间 KILL 会自动启动,扫描您所指定的服务器或 工作站。此功能可进一步填补因人为地关闭实时监控等原因带来的病毒防护漏洞。用户可以 选择非工作时间设定预扫描作业,减轻系统工作压力。 4.1.2.4 病毒源跟踪与隔离 KILL 实时监视器的高级保护模式,可以帮助网络管理员快速定位病毒源,并在启动“隔 离”功能的情况下将企图进行病毒传播的工作站从网络上断开,防止病毒在网络中传播,保 护企业网络的安全。 7.6.2.5 远程自动安装 KILL 支持广域网/局域网反病毒系统的远程安装功能, 包括远程安装所有的服务器和客户 端。管理员在网络中任一台 NT 服务器或工作站即可将 KILL 安装到其它的服务器或工作站上 (远程)。对于 Windows 95/98 客户端,在 NT 服务器上放置安装文件和设置用户登录脚本后, 在用户登录服务器时,可以实现自动的远程安装。
德隆大厦计算机网络系统 页30

北京瑞斯瑞斯康达科技发展有限公司
7.6.2.6 集中的网络管理系统 KILL 能够支持远程服务器管理,实现统一配置、集中式日志管理等。通过 KILL 域管理功 能可以实现对系统中的工作站和服务器进行集中统一管理,同时还可以远程设置扫描作业和 扫描选项。通过 KILL 管理域,可以对网络中的所有 NT/Windows2000 服务器和工作站进行任务 分配、自动下载和分发、扫描设置等日常的安全维护工作。管理员也可以根据网络防病毒的 需求,在网络中设置多个 KILL 防病毒域,为每个域设置不同级别的病毒防护方案,以优化网 络资源及管理。 对于重要服务器或工作站的病毒扫描工作,KILL 的点对点管理提供了对于这些服务器或 工作站的重点保护,使用户可以跨网段来直接管理其它网段的 NT 服务器或工作站,同时可以 远程设置扫描作业和扫描选项。 7.6.2.7 灵活而强大的网络报警系统 KILL 拥有网络报警系统,可以多种方式向网络管理员和用户进行病毒报警,KILL 提供网 络广播、故障打印、MS Mail、Lotus Notes 邮件、寻呼机报警等多种报警方式,用户无论身 在何处,均可以及时获得报警信息,及时进行处理。 7.6.2.8 网络自动更新、软件分发 网络自动更新、 KILL 网络产品拥有病毒升级文件的自动下载、更新和分发系统。通过管理员简单的配置, 无需人工干预,KILL 在一台服务器上下载升级文件就可自动完成全域内所有计算机的升级工 作。所有的下载、更新和分发工作全部由 KILL 自动启动、控制,自动完成。此外,用户可以 通过配置相应的服务选定最合适的时间进行上述升级工作。 7.6.2.9 实时防护邮件系统 KILL for Notes/Exchange 作为 KILL for Windows NT 的两个可选插件,可以对邮件服务 器中的邮件及其附件提供实时的病毒防护。 KILL for Notes/Exchange 防病毒选件与 KILL for Windows NT 无缝集成在一起,完全融 合了 KILL for Windows NT 的各种优异性能,如先进的病毒检测技术、定向、增量、即时、 预定扫描等选项,方便的企业管理功能、强大的报警功能,自动化的整体升级,使 KILL 能够 真正做到一次安装,无需值守,无需手工操作,自动发现,自动报警,自动清除病毒,时时 刻刻保护您的邮件系统。 7.6.2.10 对 Internet 网关的防护 KILL Internet Protector 用于网关一级的网络防护,它赋予网络管理员控制企业内部的 局域网和广域网访问的能力。KILL Internet Protector 可以在网关机器上扫描进、出 Web 服
德隆大厦计算机网络系统 页31

北京瑞斯瑞斯康达科技发展有限公司
务器及内部 WWW 的内容,对这些文件进行阻止。通过检查 URL(资源定位符标准)指定的关键 字,阻断那些您认为不合适的 HTTP 和 FTP 的 URL,经 SMTP 发送的 e-mail 及其附件也能使用 关键字来检查。KILL Internet Protector 可以抵御各种病毒、Java、Active X、未标记的 Web 对象及所有不符合组织安全策略的 Web 对象对整个企业内部的攻击。

7.6.3 KILL 与其它同类产品比较的相对优势
7.6.3.1 卓越的病毒防治技术 KILL 所采用的主动内核技术(ActiveK),与其它的防病毒软件不同的是,它突破了传统 反病毒的被动杀毒的模式,而是基于操作系统一层,“主动”从操作系统的内核与操作系统、 网络应用环境无缝连接,确保用户的网络系统处于主动内核保护之下,防御任何病毒的入侵。 KILL 采用多种扫描方式和启发式技术,可以准确检测、定位和清除各类病毒,包括越来 越盛行的、破坏力越来越大的蠕虫病毒和有害的 Java、ActiveX 小程序,特别是在 Microsoft Word 和 Excel 文件中的宏病毒,KILL 的专有技术可以检测和修复各类宏病毒。先进的病毒扫 描机制杜绝了误报、误杀和对文件的破坏。 7.6.3.2 研发本地化,程序内核安全可靠 研发本地化, KILL 是北京冠群金辰公司的新一代网络反病毒产品,北京冠群金辰公司在国内有强大的 研发队伍和病毒监测网络,在北京、上海、广州都有分支机构。中外双方共同编写源程序, 可保证程序内核安全可靠,不存在影响重要用户敏感信息安全的不确定因素。 7.6.3.3 中外强强结合,对付国产和国外病毒能力超群 中外强强结合, CA 公司花费巨资在世界 40 多个国家建立的全球病毒监测网和中国金辰公司十几年来在国 内建立的独一无二的国内病毒监测网,及时收集国内和国际上出现的最新病毒,使 KILL 能全 面查杀国产病毒*千种和国外病毒、蠕虫及黑客程序* 2 万种。KILL 能够处理 Java、Active X、HTML、VB script 等最新病毒类型及其最新变种,对于特洛伊木马类型的黑客程序,能够 进行有效地预防和清除。经国际计算机安全协会 ICSA 和其它权威机构认证:KILL 可以查杀世 界上 100%的流行病毒(国际上至今没有一个统一的病毒种类的划分标准,一些厂家由于将一 些病毒的每个变种都单独统计,一个病毒常有几十个变种,所以在查杀数量上就会出现四万 种、五万种等提法,但基本上都是指国际计算机安全协会病毒库中的不到两万种病毒)。KILL 已通过国家公安部检测中心的认证, 并获得销售许可。 月初, 5 “爱虫” 蠕虫病毒在全球泛滥, KILL 利用全球独一无二的病毒监测网随时捕捉“爱虫”病毒,及时为国内用户提供了最新的 解决方案,防止“爱虫”在其企业网络中传播。
德隆大厦计算机网络系统 页32

北京瑞斯瑞斯康达科技发展有限公司
7.6.3.4 全中文产品,系统资源占用低,性能优越 全中文产品,系统资源占用低, KILL 是全中文软件产品,提供与 Windows“资源管理器”类似的新型浏览器,非常适合 Windows 用户使用。 虽然 KILL 是中文*台软件, 但对系统资源占用率极低。 《PC COMPUTING》 在 杂志反病毒测试中,开启 KILL 实时监视器,系统资源占用率只增加了 1.8%,是参加测试的所 有中文*台反病毒软件中对系统资源影响最小的产品。 7.6.3.5 可管理性高,易于使用 可管理性高, KILL 支持网络集中管理,系统管理员使用 KILL 提供的强大网络管理功能,实现全网络的 防病毒管理工作是非常容易的。在域中的一台机器上就可以来管理整个防病毒域,可以进行 监控、查毒、防毒、杀毒等各种工作,统一设置域中计算机的防病毒策略。另外,还可以通 过点到点的方法来管理远程的不同网段上的计算机,这大大的减少管理员的工作量,方便了 管理。 KILL 通过集中的全方位管理,极大地简化网络管理,使网络管理员在网络内部任意一台 计算机上就可以对整个企业内部所有服务器(包括那些极易感染病毒的电子邮件服务器)和 联网客户机进行实时病毒防护与管理,在系统扩充时可以轻而易举地管理新加入的计算机。 多种报警方式、远程服务器支持、自动下载和分发系统、完整的病毒日志报告,病毒源跟踪 和隔离等功能帮助系统管理员更好地管好网络,为 Windows NT 网络用户提供无可匹敌的企业 管理和防病毒解决方案。 7.6.3.6 产品集成度高 KILL 网络管理控制系统已经全部集成在 KILL for NT Server 中,用户只要安装 KILL for NT Server,不需要再购买任何额外的选件,就拥有了远程服务器管理、报警管理器、自动下 载分发等强大的网络管理控制系统。这对用户来讲是即实用又实惠的。 KILL 群件系统防病毒产品是 KILL for NT Server 的选件产品,群件系统的防病毒功能与 KILL for NT Server 完全集成在一起。安装 KILL 群件系统选件后,在 KILL for NT Server 控*缑嬷芯涂梢灾苯庸芾砣杭低车姆啦《静僮鳎虻シ奖悖换岣没г黾尤魏涡碌墓 理与操作。 7.6.3.7 高可靠性 KILL 在启动时首先通过一定的方式进行自我校验,从而避免了自身染毒。 作为计算机安全 应用软件,KILL 提供了对网上更新与分发过程中存在的潜在安全隐患的解决方案:在自动升 级和分发的过程中,KILL 在升级文件下载完毕后将进行模拟试验,如果通过 Internet 下载的 升级文件不完整或升级文件工作出现异常,KILL 会自动停止下一步分发工作,KILL 会重新进
德隆大厦计算机网络系统 页33

北京瑞斯瑞斯康达科技发展有限公司
行下载并试验,成功后才进行其它服务器和客户端的升级工作。这种模拟试验避免了因软件 升级给系统造成的安全隐患。这也是 KILL 产品所独有的、完全从用户的实际应用考虑而设计 的非常实用的功能。限于目前国内互联网的传输速度和质量较差,上述安全方案减轻了管理 员繁琐而重复的升级工作。 7.6.3.8 全面自动化 KILL 的自动安装、自动更新、自动软件分发、自动启动预定扫描作业等功能,使软件的 安装、管理和升级更加方便快捷,在企业内部统一处理,可以极大地减轻系统管理员的管理 负担。实时监视器和预定扫描可以自动进行病毒检测和清除。 7.6.3.9 可调配系统资源占用率 KILL 通过强大的网络管理功能, 不但使用户能够确定在不同的时间执行许多不同的任务, 而且可对多个服务器和*台的工作进行定时。这种集中管理可以把在一个大环境中的许多事 件大大简化。例如:如果用户的服务器由于登录人员过多,出现了性能下降的问题,管理人 员可以将 KILL 反病毒服务从“安全扫描”切换到“快速扫描”,或者将 KILL 的 CPU 占用率 调低一些来减轻服务器的负担,直到问题解决。 7.6.3.10 良好的售后服务 CA 与金辰联袂组成的庞大跨国技术团队、世界范围病毒监测网能带给用户长期和完善的 技术支持与服务。KILL 通过因特网、电子邮件、磁盘、媒体光盘提供多种升级方式,最快速 地为用户提供查杀病毒的有效方法。*均 15 天一次的病毒代码库及引擎更新,发现紧急事件 24 小时内的升级服务措施,赢得了广大用户的信赖。KILL 推出的“主动服务”,在每次病毒 库升级时,主动将升级文件发送到用户的电子邮箱中。在“爱虫”、“美丽杀手”等病毒爆 发期间,KILL 随时跟踪病毒的发展,升级 KILL 病毒扫描特征文件,使得 KILL 用户及时抵御 了病毒的侵害。

8 网络管理
8.1 引言 在复杂的网络环境中,网络内部可能采用多种厂家的服务器、工作站或多家厂家的网络 产品,同时网络中可能使用多种通讯协议和操作系统,因此网管系统作为整个网络的管理者, 对于维护整个网络的正常运转是非常重要的。我们在建立自己的网管系统时应具有以下功能:
德隆大厦计算机网络系统 页34

北京瑞斯瑞斯康达科技发展有限公司
网络监控 网络监控----为确保网络的正常运行,通过网络管理系统可以预测问题、发现问题和解决 问题。网管系统可以通过图形方式显示网络的*私峁梗宜型缃诘愕墓ぷ餍阅芸梢 对网络上的数据流量进行统计并以图形化的曲线或柱形图显示。这样,网络管理员可以通过 网管系统实时监控网络的运行情况。 故障报警和排除----网络管理系统在监控网络设备、主机的同时,可以设置相应的参数阀 故障报警和排除 值,一旦设备的性能参数超过阀值或发生故障时,立即向管理员报警,以便帮助网络管理员 及时有效地解决网络故障。 设备配置设定----网络管理系统作为整个网络的管理中心,可以通过局域网及广域网对网 设备配置设定 络上的设备进行在线修改配置,实现网络资源的动态分配,有利于网络系统的正常高效运行。 我们向网吧推荐在网络中心设置网管中心,负责对网络系统进行集中管理,是网吧网系 统正常运行的保障。网管中心通过加强基础网络和应用的管理,可实现全网的统一集中管理, 提高系统运行的可靠性、安全性和可管理性等。因此,网管中心的建设和完善是极其重要的。 8.2 RapidOS 所有的 RS 系列交换路由器设备从 RapidOS versions 3.1.0.0 到 8.0.0.0 都支持统一网管。分别提 供配置、网络监控、流量计费等软件。 Granite 软件工具提供了 L2 filter, L3 ACLs 和 VLANs 的 API/SDK。 Quartz 软件工具采用命令行方式提供通用网络操作。 Barite 软件工具采用 HP OpenView,自动发现 RS routers。 Topaz 软件工具基于 WEB 提供网络性能监视。 Slate 软件工具为 LFAP(Light-weight Flow Accounting Protocol)提供流量分析和数据收集服务 器。

9 服务器系统

德隆大厦计算机网络系统

页35

北京瑞斯瑞斯康达科技发展有限公司
根据网吧的需求,公司主业务系统和 OA 系统采用 IBM xSeries 232 服务器,配置为 2 个 PIII 1.26G CPU,内存为 512M,2 个 36.4G 热插拔 SCSI 硬盘,并配置 2 块 100M 分别连到主 交换机 C6506 上,操作系统为 Microsoft Windows 2000 Advance Server,用户 Licence 为 150 个;BAMS 系统的网关服务器采用 IBM xSeries 220 服务器,配置为 2 个 PIII 1.13G CPU,内 存为 512M, 个 18.2G SCSI 硬盘, 2 并配置 2 块 100M 分别连到内外网上, 操作系统为 Microsoft Windows 2000 Advance Server; 其它管理工作站采用 IBM 的 KVC 系统的 PC, CA EID、 如 NMS、 AAA 认证的硬件*台, 操作系统为 Microsoft Windows 2000 Server 或 Windows 2000 Profession 版。 9.1 IBM xSeries 232 通用设计集成高性能 IBM xSeries 232 服务器使您适应当今迅猛发展的市场环境需求, 保持快速的 IT 反应能力。 系统的通用性设计和高性能特性使您能够迅速满足对系统体系架构的需求:无论是在地区总 部又增加了 20 名新员工,还是迅速市场扩张的需要。xSeries 232 5U 服务器提供令人难以置信 的内部扩展能力以满足不断增加的工作负载。其创新性的设计特性还可以将塔型设置转换为 机柜配置,以应用于所需的紧凑计算环境。采用强大的新型 Intel?Pentium?III 处理器和大容 量内存(高达 4GB) ,xSeries 232 可以轻松扩展应用于各种环境,涵盖从文件-打印服务到更先 进的应用处理领域等各个方面: 例如电子邮件、 消息、 协作和 Internet 访问。总之, IBM eServer xSeries 232 服务器能够满足商业增长的需要。

顶级的内置系统扩展性

xSeries 232 具有强大的系统扩展能力和配置灵活性:您可以扩展 6 个热插拔驱动器托架为 9 个托架,获得总计 660.6GB 的数据存储容量;或添加全高度的 DLT 磁带驱动器用于关键数 据保护。 由于在主板上已经集成以太网和 SCSI 功能, 因此所有 5 个 I/O 插槽都可以安装 I/O 适 配卡,即可以获得更多的功能和工作负载能力。

最大化系统运行时间

智能化的管理工具,例如光通路 TM 诊断和 IBM DirectorTM 软件有助于发现系统问题、
德隆大厦计算机网络系统 页36

北京瑞斯瑞斯康达科技发展有限公司
维护服务器运行并在出现影响系统性能问题前进行修复。热插拔的硬盘驱动器和可选的冗余 热插拔电源使您无需中断系统运行即可轻松替换组件。

9.2 IBM xSeries 220 经济适用的系统功能

IBM xSeries 220 服务器集成强大的功能以支持文件和打印服务、工作组工作效率应用程 序和电子交易等。为了帮助您最大化现有与未来的投资,该服务器可以扩展到两个处理器、 高达 4GB 内存。 可靠的系统 xSeries 220 系统采用最新技术以保证建立商业运作并持续运行:

热插拔技术,无需关闭系统就可以替换硬盘驱动器。 (可选) ASR(自动*簦┦且恢钟布肴砑母春霞际酰梢允 xSeries 服务器在发生操作系统 崩溃或短时硬件故障情况下,自动重新启动。 诊断 LED 灯照亮出现故障的组件,有助于维护人员迅速故障定位。 可选的 IBM 远程管理员适配卡(Remote Supervisor Adapter)允许您远程管理系统。 易于使用

xSeries 220 服务器的标准配置是塔型设计,也具有机柜选件可以安装在任何环境中,轻松 进行系统配置。内部组件的免工具维护特性,例如处理器、硬盘驱动器和扩展卡,可以方便、 轻松的进行系统维护与升级。利用管理软件以方便的管理、配置系统,例如:

当在网络*沧岸喔鱿低呈保琇AN Client Control Manager(LCCM)有助于降低成本 ServerGuide 简化安装步骤 Netfinity Director 管理和控制服务器和 PC 资源 特性与优势 可以应用于各种外形设计的通用软件映象和系统主板提供改进的 IT 管理方式

德隆大厦计算机网络系统

页37

北京瑞斯瑞斯康达科技发展有限公司
采用 NetVista M 系列大规模应用型号进行稳定配置实施

采用 IBM 嵌入式安全子系统(某些型号)有助于实现安全性电子商务交易处理和通讯方 式

借助大量管理工具和集成 10/100 以太网功能方便的进行系统管理

完全可以信赖的、获奖的服务与技术支持

9.3 IBM Netvista KVC 系列 PC 处理器 处理器(CPU):Pentium 4 处理器内部时钟速度: 1.8GHz 前端总线:400MHz 一级内部 CPU 缓存: 32KB

内存 内存(RAM)标准/最大:128MB/1.5GB RAM 速度:133MHz RAM 插槽总数(可用):3 DIMM (2 DIMM)

硬盘 硬盘大小:40GB 硬盘类型:ATA-100 (Enhanced IDE)

显示: 屏幕最大分辨率:2048x1536 屏幕类型描述:-可视图形大小(对角线): -德隆大厦计算机网络系统 页38

北京瑞斯瑞斯康达科技发展有限公司
最大色彩或灰度阴影:16777216 colors

图形子系统 图形芯片:NVIDIA GeForce2 MX 显存 标准/最大: -- / 32MB 图形总线接口:AGP 4x

音频特性 音频芯片制造与模型:SoundMAX with SPX 音频数据宽度: --

通讯 传真/调*獾髌 特性: 即插即用 DMI v2.0 Compliant 网卡: Integrated Intel PRO/100 Ethernet 网速: 100Mbps, 10Mbps

软件 已测试操作系统:-提供的操作系统:Microsoft Windows 2000 Professional

标准特性 定位设备类型:Mouse (2 button) 标准软盘大小:3.5" 1.44MB 键盘类型标准:IBM Standard 106 key

多媒体特性 CD-ROM: 48Xmax-20Xmin

德隆大厦计算机网络系统

页39

北京瑞斯瑞斯康达科技发展有限公司

10 NAS 文件服务器备份存储
10.1 数据存储的重要性 在今天的分布式环境中,数据存储的高性能、可用性、安全性与跨*台的数据处理已越 来越成为企业信息系统所面临的重要问题。 在信息化社会的今天,数据的大量积累在企业战略决策中起到关键性的作用。对已有数据 进行集中存储、智能分析、并加以合理的管理与利用,有助于分析市场情况,了解竞争对手 的动态,帮助企业的领导层决定企业的发展方向,提高企业服务的满意度并使其占据更有利 的竞争位置。 10.2 IBM 在存储行业中的优势 今天,整个存储行业都在适用 IBM 发明的技术。IBM 在存储系统技术领域保持着稳固的 领导地位。 作为全球最大的存储设备供应商,IBM 是业界唯一拥有包括磁盘系统、磁带系统、光盘产 品及存储管理软件的全面存储解决 方案的供应商。从各大银行企业、政府机构、电信机构、 到中小企业,IBM 存储已深入到社会生活的方方面面,在社会信息化的进程中发挥着重要作 用。 IBM 自 95 年以来一直致力于 SAN,NAS 等存储技术的研发,投资 40 亿美金于存储的发 展,拥有* 60%的存储方面的专利。IBM 还不断开发以存储技术为中心的主机、存储、互连 产品、软件及服务的新产品,并有全面的、适应不同需求的解决方案提供给客户。 选择 IBM, 您可以从多个不同的硬件操作*台对存储器进行共享, 不必局限于任何特定的 生产商或应用系统。IBM 存储系统具有如下优点: 最大的实现投资保护。 实现全球数据访问,可对存储多个操作*台的关键数据进行轻松、快速和全天候访问。 数据完整性可靠保证。 最值得一提的是 IBM 存储产品是开放的、集成的和为不同环境而定制的,可以从多个不 同的硬件操作*台对存储器进行共享,与业界最流行的操作*台进行连接, 不必局限于任何 特定的生产商或应用系统。 10.3 德隆对存储产品的需求分析 德隆对 IT 技术的性能、可靠性、可用性和计算成本都有非常高的要求。
德隆大厦计算机网络系统 页40

北京瑞斯瑞斯康达科技发展有限公司
目前,越来越多的企业决策者已达成共识:有效的数据存储和管理,信息的快速访问和 有效利用,二者的有力结合是商业持续发展的基本因素。许多成功的商业机构也已经认识到, 统一访问、共享和管理数据可以转化为一个有利的竞争优势,实现网络化客户支持可提高客 户满意度并降低成本。因此,在保护现有投资的情况下,如何建立具有高可靠性、高可用性、 高可扩展性等高性能的全面存储解决方案,已成为企业关注的焦点。同时,资产保护更具挑 战性,因为某些技术将会中途改变公司的发展方向。焦点已转移到集中数据存储(SAN)和存储 区域网络(NAS)上。存储体系结构将变得与网络体系结构同等重要。 根据客户的实际需求,我们建议采用存储区域网络(NAS)的解决方案。 10.3.1 什么是 NAS NAS – Network Attached Storage (NAS) 是一种任务优化的直连 IP 网络的存储设备,提供典 型的 CIFS (Windows) 及 NFS (UNIX) 文件服务。 NAS 是为网络终端客户及网络服务器提供数据共享服务而设计的。它不依赖于*台及 OS ,任何使用 NFS,CIFS,FTP,HTTP 或 NetWare 的终端均可接触并其享数据。 10.3.2 为什么使用 NAS 满足您系统应用带来的强劲数据增长存储需求 优化文件 I/O 弥补 IT 专家的短缺而带给您应用上的诸多不便 弥补项目的迫切性及经费不足给您的应用所造成的困扰,提供即时低开支的存储解决 方案 NAS 提供集成化和快速安装,实现任务优化设计以提供更高效的存储管理 10.3.3NAS 网络文件存储共享服务解决方案 数据都是以文件(file)或数据块(Block)的形式存在的。基于应用的不同需求,对数据的形 式也有不同的要求。IBM NAS 网络连接存储提供了从 GBs 到 TBs 的全面存储解决方案。 企业关键业务数据存储通常是在数据库的基础上进行存储与管理,其相应的数据存储形 式主要是数据块(Block)的形式,中小型数据库也可能采用文件形式(file)。而作为办公自动化, 企业内部网络存储*台,程序开发与测试,财务系统,工资系统等需要文件级(file)的集中存 储与共享时,则要求:

德隆大厦计算机网络系统

页41

北京瑞斯瑞斯康达科技发展有限公司
满足最终用户有大量文件级数据共享的需求 提供强劲的存储容量的扩展 充分利用现有网络资源 在最短时间内以较少的 IT 投入解决集中存储问题 对企业内部 IT 资源要求低,从而进一步降低整体拥有成本 而 NAS 这种网络附加存储设备则恰恰是解决上述需求的最佳方式。而且,企业中的数据 形势会是文件(file)与数据块(Block)两种形式并存的,NAS 在解决文件级(file)数据集中存储与 共享需求上是不可或缺的一部分。 10.3.4 适用范围 适用于局域网上的数据共享与集中的客户群体。 10.3.5 方案说明 本方案中,由性能卓越的 RPOCOM 系列硬盘架 00 承担数据的网络共享与存储服务器的职 能。 10.3.6 方案*送

LAN

Procom Netforce

IP 数 据 子 网 (100/1000M)

10.3.7 方案的优点 方便的数据集中存储与共享:实现多*台性(NT,UNIX…); 投资规模小:同 SAN(Storage Area Network)的解决方案相比,NAS 的投资规模要小很 多,在满足使用要求的情况下,基于投资节省的原则,建议采用 NAS 解 决方案; 扩展能力强:Procom 公司产品提供硬盘架,兼容其它厂商的盘片,能够满足现在和将来 的存储与备份需求; 安装调试简单,容易管理:NAS 方案是基于局域网连接的,安装非常容易,只要把存储 设备连接上局域网,就可以实现存储资源共享,设备安装可以在几分钟内完成。对管理人员
德隆大厦计算机网络系统 页42

北京瑞斯瑞斯康达科技发展有限公司
也没有特殊的要求,原来管理局域网的人员,就可以通过浏览器界面对磁盘空间进行分配, 进行管理; 开放的存储系统,支持多种文件系统:CIFS、 NFS、 FTP、 HTTP、 Netware 同时共享 一份数据; NAS 本身具有先进的 SNAPshot 系统快照与及时恢复功能。 通过在设定时点上以 SNAPshot 方式对文件指针的备份与恢复,完成系统的快照备份,从而达到保护数据安全的目的; 优异的性价比:实施与维护成本低普通文件服务器。 10.3.8 NAS 的技术特点

系统无关
支 持 CIFS, NFS, NetWare, FTP 和 HTTP 多 种 文 件 及 数 据 共 享 方 式 。 支 持 Windows NT,Windows2000,Linux,UNIX(all kind of UNIX including AIX),AS400,Novell 等操作系统。支 持不同系统间对同一份数据的共享。

简便的安装与管理
出场预装 OS 及相关软件,并进行软硬件预设置,使 NAS 存储设备在网络上的安装极为 简便,同时支持基于 Web 的 GUI 远程管理使系统管理得以在远端统一实现。

强大的系统备份与恢复功能
功能强大的 SnapShot 系统备份功能,对系统进行时点即时快照(最大支持 250 次快照 备份)并支持文件或系统的全面恢复,同时结合磁带备份设备对客户数据进行完整的 备份与保护。

优化的系统
特别为文件服务+ 备份 + 系统/备份/网络管理 + 安装/配置而优化,并提供不同*台间数据共享 功能,数据备份功能

方便的容量扩充
极为方便的存储容量再现扩充,仅需占用部分 IP 资源就可完成 TB 级的存储容量扩充,从而满足客 户的存储需求。

整体拥有成本 TCO 低
德隆大厦计算机网络系统 页43

北京瑞斯瑞斯康达科技发展有限公司
在 IT 投资预算紧缺的情况下满足客户的存储需求。同时,IBM NAS 系列存储产品提供的各种功能先 进的软件均免收附加费用。

11 工程验收规范和方案
11.1 基本事宜 为确保系统性能达到了用户在需求说明书中所列的要求,并且通过完善系统配置实现系 统设备能够支持的全部功能,我们在系统实施中,对系统进行多方面的测试,分别完成不同 的功能: ◎设备到货验收 在设备到货时,清点设备,保证原厂生产,有相应的文档资料。能通过上电自检,启动 运行。 ◎连通及通信切换功能验收 在各节点设备安装完成,网络连接成功后进行。主要检验各分支节点能实现需求书要求 的功能,包括网络连通性,生产中心和备份中心通信子系统的切换功能,网络管理功能,网 络安全控制设置。 ◎系统初验 在系统的施工完成时进行。主要依据《系统验收细则》 ,在各节点功能验收的基础上,检 查系统整体的功能和性能是否达到需求说明书的要求,检查系统在切换时间、带宽优化、流 量控制、安全控制、可靠性(故障恢复时间)等,检查网管和系统管理功能。初验成功后,系统 才转入试运行。 ◎系统最终验收 在系统试运行 1 个月后执行。分析检查在 1 个月的试运行中,系统是否出现了安全故障、 是否出现了设备故障,系统需新增的需求,检查供应商各个方面的售后支持水*和支持能力。 11.2 验收的主要依据 1、系统需求说明书及由此设计的《系统验收细则》 。 2.、系统产品生产厂商提供的产品规格及功能说明。 3.、网络通信业界通用的网络联通性测试方法。

德隆大厦计算机网络系统

页44

北京瑞斯瑞斯康达科技发展有限公司
11.3 验收的主要内容 1、网络基本连通性的检测 2、网络冗余性能的测试 3、通信系统切换测试 4、网络设备和配置的检验 5、网络管理性能测试 6、网络安全性控制 7、工程文档 11.4 工程实施人员组织 工程项目小组成员组织结构图见图 1-1

项 总 目 控

项 经 目 理

项 总 目 工

技 服 术 务

工 实 负 人 程 施 责

工 质 负 人 程 检 责

项 培 负 人 目 训 责

技 服 工 师 术 务 程

工 项 施 小 程 目 工 组 工 项 质 小 程 目 检 组
图 1-1 项目实施人员组织结构图 11.5 工程实施质量控制 本工程将依照瑞斯康达公司系统集成全过程 ISO 9001 的标准流程,制定工程实施计划、 设备检测计划、现场培训计划、系统测试计划等,由经验丰富的工程师带队,认真进行设备 检测、工程安装、培训、测试与检验,严格按照工程进度进行实施,保存详细的工程实施文 档。 图 1-2 是关于网络系统建设的质量控制流程。

德隆大厦计算机网络系统

页45

北京瑞斯瑞斯康达科技发展有限公司
实施计划和组织计划制定

上报客户项目组审查

不符合要求 审核结果 符合要求 设备进货 制定详细实施计划 2 更换处理 设备到货 上报客户项目组审核

设备检验及测试

审核结果 符合要求

不符合要求

不合格 检验结果 合格 单项设备安装、调试

设备安装环境准备

质检工程师检查

检查结果 合格 质检工程师验收确认/签字

不合格

1

德隆大厦计算机网络系统

页46

北京瑞斯瑞斯康达科技发展有限公司
1 2

整体系统调试/测试

制定培训计划

双方一起作整体测试验收

上报深交所审核

测试结果 符合要求 测试验收报告签字/盖章

不符合

更改/测试

审核结果

不符合要求

符合要求 开展培训

核定质量等级

培训效果 好

不好

客户项目组审核资料/文档

客户项目组验收确认/签字

投入试运行

系统终验 图 1-2 网络系统质量控制流程

德隆大厦计算机网络系统

页47


相关推荐

最新更新

猜你喜欢