《东风汽车公司两网合一技术方案书.docx》由会员分享,可在线阅读,更多相关《东风汽车公司两网合一技术方案书.docx(100页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、东风汽车车公司综综合信息息网与企企业网两网合一一技术方方案书武 汉 和 中中 信 息 科科 技 有 限限 责 任 公公 司Wuhaan OOrizzonee Innforrmattionn Teechnnoloogy Co., LLtd目 录1.前言言52.系统统总体设设计72.1.系统设设计原则则72.2.系统建建设目标标82.3.系统总总体方案案概述993.网络络系统设设计1113.1.网络拓拓扑结构构设计1113.2.网络IPP地址编编址方案案133.3.网络域域名服务务方案1143.4.网络路路由设计计153.5.企业内内部网络络升级改改造设计计163.6.企业内内部网IInteern
2、eet出口口管理与与控制1173.7.Intternnet网网络加速速系统设设计1883.8.网络设设备选型型203.8.1.企企业内部部网交换换机2003.8.2.防防火墙2233.8.3.IInteerneet网络络加速器器233.8.4.四四层交换换机2884.服务务器系统统设计3384.1.服务器器系统设设计原则则和选型型384.2.域名服服务器系系统3994.3.邮件服服务器系系统3994.4.WWWW服务器器系统4404.5.PC服务务器系统统415.管理理和信息息服务应应用系统统425.1.Rocckmaail电电子邮件件系统4425.1.1.RRockkmaiil电子子邮件系系
3、统结构构445.1.2.RRockkmaiil电子子邮件系系统主要要技术特特点4665.1.3.RRockkmaiil电子子邮件系系统功能能495.1.4.RRockkmaiil电子子邮件系系统实施施方式5525.1.5.RRockkmaiil电子子邮件系系统性能能指标5555.1.6.Roockmmaill电子邮邮件系统统安全特特性5665.1.7.RRockkmaiil电子子邮件系系统需求求和配置置575.2.Oriizonne虚拟拟主机系系统5885.2.1.对对Webb服务的的管理5585.2.2.对对FTPP服务的的管理5595.2.3.对对数据库库服务的的管理5595.2.4.对对
4、文件系系统的管管理5995.2.5.虚虚拟主机机的磁盘盘空间管管理6005.2.6.虚虚拟主机机系统数数据备份份恢复复服务6615.3.企业内内部网络络管理系系统6116.网络络管理系系统6336.1.网管系系统解决决方案的的特点6646.2.网络管管理功能能实现6656.3.网络配配置管理理666.4.网络统统计分析析687.网络络安全设设计7557.1.现实网网络在安安全方面面存在的的漏洞7757.1.1.网网络系统统的安全全漏洞7757.1.2.操操作系统统的安全全漏洞7767.1.3.用用户系统统的安全全漏洞7777.1.4.应应用系统统的安全全漏洞7777.1.5.数数据系统统的安全
5、全漏洞7787.2.网络安安全设计计目标7787.3.网络安安全解决决方案8807.3.1.网网络系统统的安全全保障8807.3.2.应应用系统统的安全全保障8857.3.3.客客户系统统的安全全保障8867.3.4.数数据系统统的安全全保障8867.4.网络安安全小结结868.工程程实施方方案8888.1.项目管管理8888.2.工程施施工安装装要求及及建议8898.3.工程实实施计划划908.4.系统测测试初步步方案9908.4.1.硬硬件测试试908.4.2.网网络测试试938.4.3.软软件测试试958.4.4.整整体测试试979.售后后服务和和培训9989.1.售后服服务的承承诺98
6、89.2.培训计计划99910.系系统报价价10111. 前言随着二十十一世纪纪钟声的的敲响,人类跨跨入了崭崭新的知知识经济济时代。回首上上个世纪纪末,一一股以IInteerneet为代代表的信信息发展展狂潮席席卷了整整个世界界,而这这一切仅仅仅只是是个开始始。人们们预测,二十一一世纪是是信息的的世纪,以Innterrnett为代表表的信息息技术以以摧枯拉拉朽之式式改变着着整个传传统工业业世界的的各个方方面,使使许多行行业面临临着生存存压力,承受着着巨大变变革的要要求。而而此同时时,以资资本经济济为基础础,以知知识创新新为动力力,以IInteerneet为舞舞台的新新型产业业模式正正在迅猛猛的
7、发展展。十年年之前很很多叱咤咤风云的的IT公公司不是是被兼并并就是走走向没落落,而以以Yahhoo、AOLL、Ammazoon等为为代表的的新型公公司正带带领着整整个ITT界的潮潮流,迅迅速改变变着传统统媒体、电信、电视和和商务领领域,创创造着人人类崭新新的社会会商业模模式。东风汽车车公司高高瞻远瞩瞩,紧跟跟国际潮潮流,早早在19998年年就完成成了东风风公司综综合信息息网(东东风热线线、东风风信息港港、1993网)的建设设,并开开始向面面向社会会和家庭庭提供IInteerneet接入入和相关关信息服服务,经经过两年年的建设设和发展展,东风风公司综综合信息息网已有有用户四四千余户户,并提提供各
8、种种信息服服务如:虚拟网网络出租租、网上上教育、网上证证券等。东风汽车车公司企企业网构构建的互互联覆盖盖全公司司大部分分专业厂厂、子公公司和职职能部处处二级局局域网的的大型企企业网络络基础设设施,并并以此为为基础,构建公公司企业业内部网网,提供供方便、快捷、灵活的的基本系系统服务务。东风汽车车公司综综合信息息网和企企业网两两网合一一工程主主要是包包括原有有综合信信息网的的扩容和和公司企企业网的的升级改改造;两两网互连连;国际际互联网网出口的的统一以以及出口口带宽的的扩充等等。两网网互联后后,不仅仅能充分分利用国国际互联联网的出出口,而而且能做做到统一一管理、统一分分配带宽宽、综合合利用信信息服
9、务务等等,并为将将来进一一步实现现东风汽汽车公司司各基地地的互连连、开展展IP电电话、视视频服务务的新的的应用打打下坚实实的基础础。武汉和中中信息科科技有限限公司非非常荣幸幸有机会会参与东东风汽车车公司综综合信息息网和企企业网两两网合一一工程建建设,以以及在此此平台上上进行网网络及多多媒体等等一系列列网络应应用系统统的建设设的技术术交流与与方案讨讨论。武武汉和中中信息科科技有限限公司十十分重视视和珍惜惜这个机机会。我我公司认认真研究究了东风风汽车公公司网络络建设现现状和需需求,根根据我们们对此项项工程所所要实现现的目标标、技术术要求的的理解,并结合合我们在在以往建建设众多多大型IInteern
10、eet信息息网工程程中的实实践经验验,和中中公司提提出了包包括软硬硬件在内内的一整整套解决决方案。根据和和中公司司提出的的解决方方案,将将能实现现东风汽汽车公司司提出的的建设目目标。我们希望望在东风风汽车公公司综合合信息网网和企业业网两网网合一工工程中进进行技术术合作的的过程中中以及项项目结束束后,能能为东风风汽车公公司建立立一个成成熟完善善的网络络应用环环境,建建立并维维护网络络商业环环境,建建立并运运行复杂杂的信息息及网点点管理机机制。尽管我们们力求设设计全面面、细致致,但由由于时间间极其仓仓促,设设计方案案难免存存在一些些缺陷,望批评评、指正正,使之之更加完完善、切切实可行行。对东风汽汽
11、车公司司的协助助和支持持,和中中公司深深表感谢谢!2. 系统总体体设计2.1. 系统设计计原则东风汽车车公司综合信息网和公公司企业网两网合一工程是一个个关系到到东风汽汽车公司司发展的的关键工工程,系系统建设设的成败败,直接接影响1193网网今后业业务的发发展和公公司企业业内部网网的使用效率。基于于以上的的认识,我们在在设计时时将主要要考虑以以下设计计原则:1) 实用性:一个系统统的建设设是一项项工程的的实施,它的最最基本的的目标是是建立一一个适用用实际环环境的,能满足足用户功功能需求求的实用用系统。2) 先进性:实现东风风汽车公公司综合合信息网网和公司司企业网网两网合合一工程程的方案案和产品品
12、很多,我们在在坚持实实用性的的前提下下,充分分采用先先进的网网络技术术、方案案、产品品。3) 开放性:在方案设设计选型型中,充充分考虑虑目前或或将来的的网络发发展和需需求,采采用标准准的开放放协议来来构架整整个系统统。4) 安全性:和中公司司在设计计方案中中十分重重视网络络安全性性。整个个网络设设计方案案有序有有层次,在硬、软件上上均有相相应的管管理和保保护措施施。5) 可扩展性性(灵活活性):所选择的的网络产产品和方方案能适适应东风风汽车公司网络信信息系统统的不断断扩大的的要求,能升级级、过渡渡、保护护用户投投资。适应新技技术不断断发展的的要求,使现实实方案能能不断引引入新技技术,能能方便地
13、地向新产产品过渡渡,使系系统具有有很强的的生命力力,能不不断地平平滑升级级,不被被淘汰。6) 兼容性(与现有有网络共共享):在本设计计中充分分考虑保保护原已已建立的的其他网网络系统统与本系系统的技技术和产产品兼容容性,同同时也充充分考虑虑与其它它计算机机产品,网络产产品和兼兼容性。7) 价格/性性能比高高:在本网络络设计的的产品选选型、规规模考虑虑方面,充分考考虑企业业3-55年运行行总成本本,与东东风汽车车公司共共同进行行研讨,以价格格/性能能比为论论证核心心之一,以满足足东风汽车公司网络性能、质量、服务需需求为原原则,比比较多种种网络、服务器器品牌品品种,选选择性价价比具备备较强竞竞争力的
14、的CISSCO、SUNN、IBBM等为为核心设设备。8) 可维护性性:系统的可可维护性性对系统统的生命命力及实实用性能能是至观观重要的的,系统统应提供供友好的的应用维维护界面面、模块块化设计计、采用用标准的的高级语语言编程程、齐全全的技术术文档以以及灵活活的功能能模块重重组等,使系统统具有良良好的可可维护性性。9) 易管理性性:在本设计计网络中中所采用用的产品品具有很很强的可可管理功功能。网网管软件件遵循SSNMPP协议,管理方方便;配配置灵活活;结构构开放、安全。在网络络服务管管理中,以目录录服务LLDAPP为核心心,构造造统一的的多服务务网络管管理平台台。2.2. 系统建设设目标东风汽车车
15、公司综综合信息息网与企企业网两两网合一一工程包包含两个个部分,一是企企业网的的升级和和改造,二是综综合信息息网和企企业网的的两网合合一。工工程结束束后,将将把东风风汽车公公司现有有网络建建设成一一个统一一管理、分层控控制、高高性能,易扩充充,可靠靠安全、具备完完备的用用户服务务系统的的Intternnet服服务平台台和企业业网服务务平台。网络建成成后,将将达到:1、 两网之间间互连互互通,层层次清晰晰,可以以进行统统一管理理,统一一控制。2、 建立强有有力的企企业内部部网络管管理平台台3、 原有企业业网改造造成千兆兆网。4、 建立新的的系统应应用软硬硬件平台台。东风汽车车公司综综合信息息网与企
16、企业网两两网合一一工程的的建设标标志着东东风汽车车公司信信息化进进程的全全面启动动,整体体步入新新世纪信信息化浪浪潮。一一方面对对Intternnet接接入网部部分进行行改造,可提高高综合信信息网的的网络效效率,提提高1993网客客户的服服务质量量,吸引引更多的的客户;另一方方面企业业网与综综合信息息网的两两网合一一,将更更进一步步推动企企业内部部信息化化的进程程,有望望全面提提高企业业生产管管理效率率,增强强企业竞竞争力。随着企业业网更快快速的接接入Innterrnett,将进进一步提提高东风风汽车公公司员工工的网络络信息观观念,并并会培养养一批网网络设计计、建设设、维护护、管理理的人才才,
17、势必必将在公公司内逐逐步推行行信息化化工作的的过程中中起到重重要作用用。两网合一一工程的的建设成成功,不不论从网网络基础础设施、技术准准备、信信息管理理经验,还是从从人才储储备上,都为下下一步东东风汽车车公司信信息网络络的建设设奠定了了良好的的基础。2.3. 系统总体体方案概概述作为一个个完整的的信息网网络系统统,要提提供各项项服务功功能,必必须要有有一个完完整的网网络结构构和相应应的软硬硬件基础础。根据据用户需需求和我我们长期期的Innterrnett集成和和管理经经验,考考虑到两两网合一一后网络络的安全全性、完完整性和和易用性性,我们们的总体体设计方方案从三三个方面面提出建建议:网络层解解
18、决方案案完善可靠靠的网络络底层构构架是发发展信息息服务的的坚实基基础。为为了适应应众多的的网络接接入模式式,满足足日益增增长的网网络信息息交流的的发展,需要对对系统的的网络构构架规划划、网络络设备选选型以及及今后的的网络发发展做出出正确的的选择,并准确确的实施施。和中公司司在详细细分析了了东风汽汽车公司司目前的的网络状状况和今今后的网网络发展展需求后后,提出出了符合合东风汽汽车公司司需求和和发展的的网络解解决方案案。东风公司司综合信信息网与与企业内内部网两两网合一一后,构构成了东东风公司司计算机机网络的的核心,为企业业内部和和公众在在一个相相对统一一的平台台上提供供各类丰丰富的网网络服务务。这
19、两两个网络络针对不不同的网网络用户户和应用用,即相相对独立立又相互互依存,构成一一个有机机的网络络整体。东风公公司综合合信息网网主要服服务企业业内拨号号用户,提供各各种丰富富的Innterrnett应用;企业内内部网主主要为公公司内部部生产、办公提提供高速速、可靠靠的Inntraanett网络服服务。因此,我我们在设设计网络络时采用用层次化化的网络络结构,合并后后的网络络由三大大主要部部分组成成:1、原有1193综综合信息息网络;2、改改造后的的企业内内部高速速网络;3、统统一对外外的Innterrnett出口。为提高高网络的的整体效效率,我我们在统统一对外外的Innterrnett出口增增加
20、了IInteerneet网络络加速器器、四层层交换机机等设备备,并通通过路由由策略的的制定保保证全网网的相对对独立和和相互依依存。信息服务务系统解解决方案案作为一个个完整的的网络信信息系统统,不仅仅要提供供强大的的网络服服务平台台,还需需要提供供丰富的的信息服服务系统统,为用用户提供供丰富的的应用和和系统服服务。主主要考虑虑最基本本的Innterrnett服务有有:DNNS(域域名服务务系统)、EMMAILL(电子子信箱)、FTTP(文文件传输输)、WWWW(万维网网)等。此外还还有多媒媒体视频频/音频频服务、新闻服服务等多多种类型型。和中公司司将为用用户提供供完整的的信息服服务解决决方案,包
21、括详详细的域域名服务务设计、大容量量的电子子邮件系系统、强强大的WWWW虚虚拟主机机服务系系统和企企业综合合管理平平台等等等。我们建议议用户选选用强大大的UNNIX系系统作为为信息服服务的基基础平台台。UNNIX系系统是IInteerneet的首首先服务务平台,Intternnet的的发展也也与UNNIX结结下了不不解之缘缘。许多多目前的的网络系系统服务务都是在在UNIIX平台台上发展展出来的的,如DDNS服服务系统统Binnd、WWWW服务器器Apaachee、FTPP服务器器Wu-ftppd等。系统管理理与安全全解决方方案随着ISSP用户户的快速速增加,网络建建设的不不断发展展,网络络的拓
22、扑扑不断变变化,系系统所涉涉及的硬硬件设备备和应用用也不断断增多,这对我我们信息息网络系系统的运运行提出出了更高高的要求求。因此此需要对对网络系系统和应应用系统统进行实实时的监监控和管管理,并并能根据据统计信信息及早早发现网网络故障障和瓶颈颈,增强强系统的的可靠性性和实用用性,为为用户提提供更好好的网络络服务。我们建建议采用用标准的的SNMMP网络络管理协协议对全全网设备备进行统统一的管管理。我们推荐荐使用CCISCCO公司司最新的的CisscoWWorkks 220000网络管管理系统统,实现现对全网网网络和和服务器器设备的的基本管管理,建建议使用用基于UUNIXX的大型型网络管管理平台台H
23、P Opeenviiew等等。针对网络络安全管管理,我我们认为为要从网网络层、操作系系统层、应用系系统层等等多方位位全面考考虑,采采用合理理的管理理机制和和技术手手段相结结合来保保证。和和中公司司在网络络管理和和安全上上有非常常丰富的的实践和和理论经经验,能能为用户户提供完完整的安安全服务务和咨询询,为用用户构件件一个完完善的网网络环境境。3. 网络系统统设计Inteerneet/IIntrraneet网络络系统是是基于标标准的TTCP/IP协协议发展展出来的的通用网网络,具具有良好好的开放放性和极极好的伸伸缩性。在设计计一个IInteerneet/IIntrraneet网络络系统时时,要遵遵
24、循以下下原则:l 一个基于于开放系系统结构构的标准准l 应用与网网络结构构无关l 适应未来来发展趋趋势l 性能价格格比高l 增长的灵灵活性l 可靠与安安全的网网络l 易于安装装、维护护、管理理和运营营支持基于以上上原则,我们在在设计东东风公司司两网合合一方案案时,考考虑到网网络的应应用和发发展,从从网络拓拓扑结构构、网络络地址编编址方案案、网络络域名服服务方案案、网络络路由设设计、企企业内部部网升级级改造、企业内内部网IInteerneet出口口管理与与控制、 Innterrnett网络加加速系统统设计、企业网网网络设设备选型型等各个个方面进进行详细细的设计计和选型型,为用用户提供供最优的的网
25、络设设计方案案。3.1. 网络拓扑扑结构设设计东风公司司综合信信息网与与企业内内部网两两网合一一后,构构成了东东风公司司计算机机网络的的核心,为企业业内部和和公众在在一个相相对统一一的平台台上提供供各类丰丰富的网网络服务务。这两两个网络络针对不不同的网网络用户户和应用用,即相相对独立立又相互互依存,构成一一个有机机的网络络整体。东风公公司综合合信息网网主要服服务企业业内拨号号用户,提供各各种丰富富的Innterrnett应用;企业内内部网主主要为公公司内部部生产、办公提提供高速速、可靠靠的Inntraanett网络服服务。在设计东东风公司司两网合合一方案案时,我我们针对对现有网网络现状状以及发
26、发展需求求,在充充分考虑虑到网络络互连、网络安安全、网网络控制制和管理理以及网网络效率率等综合合因素后后,提出出我公司司的详细细网络拓拓扑结构构设计方方案。详详细的网网络拓扑扑设计如如下:根据以上上两网合合一网络络拓扑结结构图所所示,合合并后的的网络由由三大主主要部分分组成:1、原原有1993综合合信息网网络;22、改造造后的企企业内部部高速网网络;33、统一一对外的的Intternnet出出口。l 原有1993综合合信息网网络合并后的的1933综合信信息网与与原有单单独的1193信信息网络络相比,变化不不大,基基本上保保留在防防火墙之之后的网网络配置置格局,1933内部网网基本上上以Baay
27、 AAcceelarr 12250交交换机为为核心,分为用用户接入入子网、计费和和管理子子网、信信息服务务子网三三个主要要核心网网络部分分,网络络和主机机设备配配置基本本不变。l 改造后的的企业高高速内部部网公司内部部原有企企业网络络是以FFDDII为核心心的环网网结构,配置相相应的拨拨号端口口提供拨拨号接入入工作模模式。系系统改造造后,整整个企业业内部网网以全光光纤互连连为基础础,以千千兆、百百兆网为为骨干,以千兆兆三层交交换机为为核心,通过强强大的支支持VLLAN功功能和三三层交换换构造整整个企业业内部网网络。企企业网通通过防火火墙与现现有1993综合合信息网网和Innterrnett出口
28、互互联,并并针对企企业网特特点控制制网络的的安全性性。l 统一Innterrnett出口两网统一一后,整整个网络络共用一一个高速速的Innterrnett出口,用于与与Intternnet互互联互通通。为了了确保与与Intternnet网网络互联联效率,提高网网络安全全性,我我们提供供了最新新的四层层交换机机+Innterrnett高速缓缓存系统统(Trranssparrentt Caachee Seerveer)技技术,提提供最好好的网络络利用效效率和网网络安全全性保证证。此外外,根据据两网不不同的特特点,合合理分配配网络带带宽和资资源。3.2. 网络IPP地址编编址方案案东风公司司现有两两
29、个网络络系统分分别使用用各自IISP所所分配的的外部合合法IPP地址,内部使使用Innterrnett标准的的保留地地址。两两网合一一后,外外部网络络地址共共用ISSP所分分配的合合法IPP地址,内部网网络建议议使用同同一套保保留地址址,便于于两网互互通互联联。企业业内部网网络今后后需要将将各个专专业单位位互联,因此需需要根据据各个专专业网络络功能和和规模的的不同选选择详细细合理的的地址分分配方式式。基本本的地址址分配原原则如下下:l 支持最新新标准的的TCPP/IPP协议结结构,支支持可变变长子网网掩码技技术(VVLSMM)l 每个不同同功能网网段划分分不同的的IP地址址段l 每段IPP地址
30、考考虑到今今后两年年内的发发展和变变更,进进行适当当的地址址预留l 根据拨号号服务器器端口数数量分配配合适的的IP拨拨号地址址池l 对于专线线用户IIP地址址分配进进行详细细调查和和分配,避免地地址资源源浪费此外,在在申请接接入Innterrnett时,应应尽可能能根据需需要要求求上级IISP多多分配给给合法的的IP地址址资源。详细的分分配方案案我们会会在工程程施工前前根据用用户获得得的合法法IP地址址情况进进行详细细的设计计。3.3. 网络域名名服务方方案域名管理理系统(DNSS)是一一个分布布式的系系统,其其管理控控制也是是分布式式,各地地名字服服务器只只负责管管理本地地区下属属的各主主机
31、和子子域,并并由高一一级的名名字服务务器监督督管理。为保证证域名系系统正常常和可靠靠运行,一般一一个域中中需设置置两个以以上的域域名服务务器,互互为主备备工作方方式。用户可申申请COOM 、NETT下的二二级域名名,也可可申请CCOM.CN或或NETT.CNN下的三三级域名名。申请请域名时时需要上上报用户户主备域域名服务务器的IIP地址址,因此此需先得得到合法法的IPP地址段段再申请请。在设计域域名服务务时,主主要的设设计方案案如下:1) 各相关服服务器分分配相应应的约定定域名,便于用用户访问问。如WWeb服服务器分分配m域名,DNSS服务器器分配m,FTPP服务器器分配fftp.xxxx.c
32、oom,Emaail服服务器分分配maail.xxxx.coom等。2) 网络设备备根据其其不同的的端口设设计不同同的域名名,如第第1台路路由器的的第2个个串口可可分配为为:r11-s22.xxxx.ccom。3) 配置DNNS服务务器禁止止用lss等全域域域名显显示方式式。4) 配置主备备DNSS服务器器数据复复制的验验证功能能,禁止止未授权权的服务务器作为为主域服服务器的的配份以以获取相相关信息息。5) 配置全域域的MXX邮件交交换记录录指向邮邮件服务务器,并并适当配配置好邮邮件服务务器设置置,使全全域邮件件具有uuserrnammem的通用用邮件名名。现在综合合信息网网和企业业网都分分别
33、申请请了各自自的独立立域名服服务,并并对外发发布已久久。两网网合并后后,建议议还是采采用两套套域名服服务模式式,为各各自网络络提供服服务,或或申请新新的独立立域名提提供统一一域名服服务。建建议两网网的外部部域名服服务器共共用同一一的硬件件平台,内部各各自配置置自己的的独立域域名服务务器,并并可设置置为互为为主备工工作模式式。3.4. 网络路由由设计网络的路路由设计计是确保保网络正正常、完完整运行行的核心心。一个个良好设设计的网网络路由由可以提提高网络络效率,增强网网络的冗冗余度,而设计计不善的的网络路路由往往往会带来来效率、备份、安全问问题,以以及使用用的不正正常。和中公司司具有在在大型IIn
34、teerneet上实实施和维维护网络络的经验验,通晓晓RIPP、RIPP2、IGRRP、EIGGRP、OSPPF、IS-IS以以及BGGP4等等多种现现代网络络路由技技术,能能根据用用户网络络情况选选择最优优的网络络路由算算法和协协议,提提高用户户网络安安全性和和使用效效率。我们建议议在外部部网段即即与上级级Intternnet互互联网段段采用静静态网络络路由,在企业业内部网网段由选选择的使使用OSSPF动动态路由由协议。需要注注意的是是:在实实施专线线网络互互连时,尽量不不要使用用复杂的的动态路路由协议议而使用用静态路路由协议议,以提提高路由由的安全全性,同同样规则则也适用用于拨号号接入网网
35、段上。OSPFF(Oppen Shoorteest Patth FFirsst)全全称为开开放最短短路径优优选,建建立在SSPF算算法基础础上,是是一种基基于链路路状态的的路由选选择协议议,是目目前最流流行、最最有效的的路由协协议。OOSPFF路由协协议是一一种典型型的链路路状态(Linnk-sstatte)的的路由协协议,一一般用于于一个通通过统一一的路由由政策或或路由协协议互相相交换路路由信息息的网络络内。所所有的OOSPFF路由器器都维护护一个相相同的描描述这个个网络拓拓扑结构构的数据据库,该该数据库库中存放放的是路路由域中中相应链链路的状状态信息息,OSSPF路路由器正正是通过过这个数
36、数据库计计算出其其OSPPF路由由表的。和传统统的距离离向量路路由选择择协议相相比,对对于大型型、复杂杂的网络络,OSSPF具具有极大大的优越越性:1) OSPFF不受跳跳数(hopp)的的的限制,比较应应用于大大型网络络中。2) OSPFF支持可可变长子子网掩码码(VLSSM),可以充充分利用用有限的的IP地址址资源。3) OSPFF路由协协议路由由收敛速速度比较较快,当当网络比比较稳定定时,网网络中的的路由更更新信息息是比较较少的,并且其其广播也也不是周周期性的的,很快快达到全全网路由由器OSSPF链链路数据据库的一一致性。4) 只有当路路由连接接产生变变化时才才传送路路由更新新信息,而不
37、是是定期广广播整个个路由表表,从而而减少了了对带宽宽的损耗耗。5) 在距离向向量路由由选择协协议中,网络是是一个平平面的概概念,并并无区域域及边界界等的定定义。而而在OSSPF路路由协议议中,一一个网络络,或者者说是一一个路由由域可以以划分为为很多个个区域(areea),每一个个区域通通过OSSPF边边界路由由器相连连,区域域间可以以通过路路由总结结(Suummaary)来减少少路由信信息,减减小路由由表,提提高路由由器的运运算速度度。6) OSPFF路由协协议支持持路由验验证,只只有互相相通过路路由验证证的路由由器之间间才能交交换路由由信息。并且OOSPFF可以对对不同的的区域定定义不同同的
38、验证证方式,提高网网络的安安全性。7) OSPFF路由协协议对负负载分担担的支持持性能较较好。OOSPFF路由协协议支持持多条CCostt相同的的链路上上的负载载分担。鉴于OSSPF的的这些特特性,特特别是对对线路带带宽的占占用以及及对负载载分担具具有很好好的支持持性能,都有助助于实现现整个网网络系统统的正常常通讯。基于以上上网络路路由设计计思路,我们在在设计东东风公司司新的企企业内部部网时,采用电电信级的的设计标标准,确确保网络络的可靠靠性、安安全性,为东风风公司企企业内部部网提供供最优的的网络解解决方案案。东风公司司企业内内部网络络OSPPF路由由设计图图根据上图图所示,我公司司建议在在企
39、业网网内部构构造层次次化的网网络路由由逻辑结结构,以以OSPPF路由由协议设设计为基基础。其其中以电电信处、张湾、红卫、花果、茅箭构构成OSSPF域域骨干网网Areeo 00,这五五个点之之间通过过物理线线路构成成不完全全网状网网(Noot FFULLL Meesh);电信信处、经经理办公公大楼、总厂办办公大楼楼构成OOSPFF 的AAreoo 1,这三个个点构成成全连接接结构(FULLL MMESHH);张张湾、红红卫、花花果、茅茅箭各自自内部网网络构成成OSPPF AAreoo 2、3、44、5;各专业业厂、子子公司就就近互联联到这五五个核心心的骨干干点。3.5. 企业内部部网络升升级改造
40、造设计东风公司司企业内内部网主主干是在在19994年建建成的FFDDII主干网网络,随随着网络络的逐渐渐发展和和技术的的更新,目前FFDDII网络已已经面临临逐渐被被淘汰的的局面,取而代代之的是是以千兆兆网、AATM为为基础,以三层层交换为为核心的的高速新新一代企企业主干干网络。在本次次两网合合一工程程中,考考虑到目目前的网网络需求求和今后后网络的的发展,我们建建议以千千兆网为为基础构构建企业业内部主主干网络络,采用用最新的的核心三三层交换换机、工工作组三三层交换换机设备备,以VVLANN和OSSPF路路由技术术为核心心,构件件新的企企业内部部主干网网络。在本次工工程设计计中,我我们建议议电信
41、处处核心交交换机选选用CIISCOO 公司司最新的的企业主主干网络络交换机机Cattalyyst 65009,配配置千兆兆板、三三层路由由交换板板和100/1000兆以以太网板板;在总总厂办公公大楼和和经理办办公大楼楼配置CCISCCO公司司最新的的工作组组三层交交换机CCataalysst 229488G-LL3,配配置488口以太太网口和和2口千千兆网口口。这三三个点之之间采用用单模光光纤以千千兆带宽宽互联。公司原原有的FFDDII骨干网网保留,并各自自与新的的主干节节点互联联,作为为核心网网络的备备份。通过在CCataalysst 665099上增配配相应的的千兆、百兆网网板,提提供张湾
42、湾、红卫卫、花果果和茅箭箭等地的的专业厂厂和子公公司通过过将要建建成的光光传输网网络互联联。3.6. 企业内部部网Innterrnett出口管管理与控控制东风公司司企业内内部网目目前通过过一条1128KK的DDDN专线线连接到到1633上,内内部用户户通过软软件代理理服务器器访问外外部网络络,这种种工作模模式比较较适用于于小型企企业网络络的Innterrnett应用。针对东东风公司司这种大大型企业业网,必必须采用用防火墙墙、Innterrnett高速缓缓存系统统的配合合来达到到严格的的安全控控制和性性能优化化。我们推荐荐在企业业网与IInteerneet出口口之间采采用高性性能的硬硬件防火火墙
43、产品品,用于于保护内内部网络络安全,并对内内部网络络用户进进行管理理和控制制。防火火墙产品品建议采采用CIISCOO公司的的高性能能硬件防防火墙产产品PIIX FFireewalll 5520,配置33块以太太网卡,分别与与企业内内部网、Intternnet以以及1993网互互联,相相互设立立严格的的安全控控制和管管理策略略。通过采用用CISSCO PIXX Fiirewwalll产品,可以严严格的控控制内外外网络的的安全策策略,保保护内部部网络的的安全使使用。为为了为网网络管理理提供更更准确的的网络管管理手段段,和中中公司针针对CIISCOO PIIX等防防火墙产产品专门门开发了了一套完完善
44、的IIntrraneet网络络管理系系统,通通过配合合使用这这套软件件,可以以对企业业内部网网用户的的上网进进行严格格的管理理和控制制。武汉和中中公司针针对Inntraanett网络管管理需求求,提出出了一套套完善的的开放平平台解决决方案。Oriizonne IIntrraneet MManaagemmentt Pllatfformm 以LLDAPP和数据据库为核核心,包包含RAADIUUS、TTACAAS、SSNMPP各种通通用网络络验证、管理协协议,统统一支持持对Fiirewwalll、Caachee Seerveer、PProxxy SServver、WWWW、Emmaill、Biill
45、iing等等各种网网络软硬硬件服务务。通过过使用OOrizzonee Inntraanett Maanaggemeent Palltfoorm,可以在在同一管管理平台台下支持持唯一用用户的验验证、授授权和管管理,可可以方便便的扩展展对网内内新增各各种网络络设备和和网络应应用的统统一管理理。3.7. Inteerneet网络络加速系系统设计计现有Innterrnett网络发发展神速速,各种种新的技技术和产产品层出出不穷。为了解解决早期期单纯的的网络PProxxy系统统的不足足,现在在市场上上已经有有了多种种广泛使使用的CCachhe 加加速器。新的CCachhe加速速器主要要用于IISP骨骨干网
46、和和企业级级的Innterrnett出口上上,可跟跟四层交交换机或或策略路路由器一一起配合合使用,用于透透明方式式的Caachee服务,即用户户访问WWWW时时并不需需要任何何客户端端设置,但当用用户上网网访问时时,由网网络决定定自动通通过Caachee服务器器访问外外部网络络的内容容,这种种工作方方式非常常方便灵灵活,配配置和管管理也不不影响现现有网络络的正常常运行,现有的的ISPP都采用用这种方方便的工工作模式式;另外外一种工工作模式式是取代代现有的的Prooxy服服务器,已经设设置的用用户参数数不需要要任何改改动,并并能有效效的提供供对多媒媒体内容容的访问问。采用Caachee服务器器与
47、现有有基于PProxxy的代代理服务务器相比比,有如如下优点点:1、 处理效率率大大提提高新型的CCachhe服务务器一般般都采用用高速的的硬件产产品,利利用硬件件的处理理能力来来极大的的提高网网络处理理效率,而普通通的软件件代理服服务器必必须大量量的消耗耗操作系系统、CCPU、内存的的资源,并且要要频繁读读写硬盘盘上的信信息,导导致处理理效率大大大降低低;2、 能同时服服务的用用户数大大大增多多根据权威威评测结结果表明明,一般般基于软软件的代代理服务务器如果果硬件配配置较为为高档,可以最最多承受受1000-1550个并并发用户户请求,而一般般的硬件件Cacche服服务器可可以轻松松的承受受上千的的并发用用户请求求,能够够提供更更好的用用户服务务3、 能提供更更快的用用户响应应时间一般的pproxxy服务务器采用用被动的的用户请请求方式式来更新新缓存信信息,这这样反而而增加了了一