计算机硬件及网络大学校园规划

《计算机硬件及网络大学校园规划》由会员分享，可在线阅读，更多相关《计算机硬件及网络大学校园规划（55页珍藏版）》请在装配图网上搜索。

1、大型园区网络设计 第四组2012年5月10日目录一、用户需求分析：4用户背景信息：4用户需求：5校园网建设的具体需求：7二、网络拓扑设计及原则8（一）拓扑设计：8（二）设计原则91.实用性和经济性92.先进性和成熟性93.可靠性和稳定性104.安全性和保密性105.可扩展性和可管理性10三、网络方案设计11（一）网络结构分析111骨干层112接入层133出口13（二）网络架构设计14（三）扩展的考虑15（五）网络QoS设计15（六）网络安全设计161.接入安全162.访问安全17（七）服务器19（八） 网络相关技术：191）vlan及IP规划192）OA办公：213)NAT技术37四、设备选型

2、41二层交换机41三层交换机44路由器51五、信息点计算54六、主要设备报价表54七、拓扑图55一、用户需求分析：用户背景信息：目前，全球已掀起一股信息高速公路规划和建设的高潮。教育网的建设是推进素质教育、迎接知识经济时代的需要。在二十一世纪教育改革中，世界各国都在加快教育现代化的步伐，其信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。在跨世纪教育改革中，世界各国都在加快教育现代化的步伐，信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志。要想提高我国的教育信息化建设速度，就要将学校教育同家庭教育、社会教育，尤其是大众传播媒介的隐性教育融为一体，实现教育中人力、物力资源

3、的多层次开发和合理配置。而运用现代教育技术建设教育网，营造清新的校园网络文化氛围就是从根本上落实教育的战略地位，解放教师的生产力和师生的创造力，为现代教育增添创新优势。建设一个高质量、高带宽、多服务、范围广的整体教育综合信息网络势在必行。XX大学作为西部地区首屈一指的重点院校，经过多年的建设已经发展成为一所以工科为主，工、理、管、经、文、法等多学科协调发展的全国重点大学。学校拥有完整的学士-硕士-博士培养体系，有72个重点本科专业，134个硕士点，8个一级、56个二级学科博士点，8个博士后流动站；设有23个院系，以及2个一级、10个二级国家重点学科、24个省部级重点学科。目前，XX大学正面临跨

4、越式发展的良机，学校在XX市XX区建设的新校区业已完工即将投入使用。为了满足全校师生教学生活需求，新区校园网建设提到了重要的议事日程上来；建成后的校园网将拥有高性能、高带宽、稳定可靠的网络传输环境。为大容量的教学资源库、课件资源库、WEB、E-MAIL、FTP、BBS、视频服务器、数据库服务器、各种流媒体和各种应用平台提供有力的支持，实现办公自动化及办公收发文系统，为教育教学提供信息服务，同时可开通远程教育服务等。此次建成的新校区可容纳师生共20000人，园区内共有30幢建筑，信息点约10000个，设置Cernet（1G），电信ChinaNet（200M）两个出口；就此次建设学校预计投入100

5、0万RMB用于网络硬件设备购买。用户需求：1、由于该网络为承载新区校园数字化运行的基础骨干，核心、骨干设备一旦出现问题会影响到全网，使的网络效率下降，甚至造成全网的宕机。因此，在网络设计时要求采用先进、可靠、成熟、高性能、可扩展的网络架构及技术，从硬件设备、软件策略控制两个方面来保证核心、骨干网络的高可靠及高性能。2、面对日益突出的信息安全问题，要求网络系统集成的相应的安全特性。在网络的不同层次进行安全规则设置，对关键业务进行保障，避免网络攻击影响到网络正常业务，因此新建的网络平台必须对DoS攻击、ARP欺骗/攻击、广播风暴等网络攻击行为有较强的防范能力。（注：在方案设计中可以涉及专门的防火墙

6、、VPN或IDS产品，但在实验配置时安全特性是指所提供实验的交换机、路由器中的集成安全，不涉及其它产品）3、在校园网络中，需要充分考虑到校园网的特殊性，以及不同业务、不同部门之间的数据安全，综合考虑网络设计的逻辑结构以及区域划分；4、由于校园网中设备数量较大，且容易私接HUB或者非网管交换机，因此设计必须考虑到环路的避免；5、由于校园网内用户众多，其中存在着P2P、迅雷等应用的恶意下载，同时目前QQ、MSN等及时聊天工具的视频、在线传输数据等对校园网出口造成较大的压力，要求实现对接入用户的带宽限制，避免不必要的带宽占用；6、由于接入的电信提供的互联网出口提供16个公网IP，要求解决校内用户对外

7、部网络的访问需求，且要实现在电信提供的互联网出口发布对外的WEB等服务；7、支持10GE或将来平滑过渡到10GE；集团内部各个建筑物都有1对8芯的单模光纤连接到主建筑物（即网络中心所在地），所有建筑物到主建筑物之间的距离在600M10000M之间；每个建筑物内部都有适当的内部布线（垂直多模光纤连接，水平铜缆连接），以实现所需连接校园网建设的具体需求：（1）、学院采用1000M做骨干，100M到桌面。（2）、校园网内具有WWW服务器、FTP服务器、DNS服务器、VOD点播服务器、办公OA服务器、设有基于SAN架构的磁盘阵列用于数据存储、用于提供一些培训中常用的资料下载，网络管理等。（3）、学校采

8、用基于SQL server2000 数据库做开发平台。（4）、校园网采用路由器+防火墙结构进行接入，网络互联设备(交换机、路由器、线缆、及其他设置)。（5）、所有实验室各自划分VLAN，各系办公室各自划分VLAN，行政办公室为一个VLAN，教室为一个VLAN，服务器组为一个VLAN。（6）、做好路由器与防火墙之间的安全通信工作，防止搭线窃听，IP盗用。（7）、交换机的要求：所有的交换机均屏蔽echo协议，屏蔽135、136、137、138、139、389、445、4444常用端口，屏蔽TFTP协议。（8）、所有实验室各自划分VLAN之间不能互访，不能访问其他区域，只能上网。（9）、各系办公室自

9、划分VLAN之间不能互访，不能访问行政办公VLAN，能上网，可以访问教室的VLAN。（10）、网络中心设在实训楼的321和教学楼的321, 实训楼与教学楼相距100米，两楼用光纤连接。（11）选择客户机配置的最佳方案，以最大限度的减少地址的冲突和管理员的工作量，采用的内部IP地址分配。二、网络拓扑设计及原则（一）拓扑设计：局域网采用星型网络拓朴结构，星型拓朴结构为现在较为流行的一种网络结构，它是以一台中心处理机（通信设备）为主而构成的网络，其它入网机器仅与该中心处理机之间有直接的物理链路，中心处理机采用分时或轮询的方法为入网机器服务，所有的数据必须经过中心处理机。由于所有节点的往外传输都必须经

10、过中央节点来处理，因此，对中央节点的要求比较高。 优点是网络结构简单，易于维护，便于管理（集中式）；每台入网机均需物理线路与处理机互连，线路利用率低；处理机负载重（需处理所有的服务），因为任何两台入网机之间交换信息，都必须通过中心处理机；入网主机故障不影响整个网络的正常工作。对该网络支持的设备生产厂商有较好的技术支持。局域网内的所有工作节点通过双绞线与交换机相连形成一个星型网络。办公电脑建议采用品牌的商用机，商用机运行比较稳定，而且比较耐用，运算速度较快，较适于开发使用。（二）设计原则校园网络系统的建设在实用的前提下，应当在投资保护及长远性方面做适当考虑，在技术上、系统能力上要保持五年左右的先

11、进性。并且从学校的利益出发，从技术上讲应该采用标准、开放、可扩充的、能与其它厂商产品配套使用的设计。根据校园网的总体需求，结合对应用系统的考虑，本次网络建设的设计目标是：高性能、高可靠性、高稳定性、高安全性、易管理的万兆骨干网络平台。我们遵循以下的原则进行网络设计：1.实用性和经济性网络建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则，建设的万兆骨干网络平台，保护用户的投资。2.先进性和成熟性网络建设设计既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。不但能反映当今的先进水平，而且具有发展潜力，能保证在未来若干年内占主导地位，保证贵校网络建设的领先地位，采用万兆

12、以太网技术来构建网络主干线路。3.可靠性和稳定性在考虑技术先进性和开放性的同时，还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及保修能力等方面着手，确保系统运行的可靠性和稳定性，达到最大的平均无故障时间，锐捷网络做为国内知名品牌，网络领导厂商，其产品的可靠性和稳定性是一流的。为了保证骨干网络平台的健壮性和链路冗余性，建议网络实施时在学校启用千兆备份线路。在学校启用物理链路冗余机制，保证任何一条线路出现故障后骨干网络平台的可用性。4.安全性和保密性在网络设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括端

13、口隔离、路由过滤、防DDoS拒绝服务攻击、防IP扫描、系统安全机制、多种数据访问权限控制等，锐捷网络充分考虑安全性，针对的各种应用，有多种的保护机制，如划分VLAN、IP/MAC地址绑定（过滤）、ACL、路由过滤、防DDoS拒绝服务攻击、防IP扫描、802.1x认证机制、SSH加密连接等具体技术提升整个网络的安全性。5.可扩展性和可管理性由于信息技术和人们对于新技术的需求发展都非常迅速，为了避免不必要的重复投资，我们必须选择具有一定扩展能力的设备，能够保证在网络规模逐渐扩大的时候，不需要增加新的设备，而只需要增加一定数量的模块就行。最好能够做到在网络技术进一步发展，现有模块不支持新技术的情况下

14、，只需要更换相应模块，而不需要更换整个设备。为了适应网络结构变化的要求，必须充分考虑以最简便的方法、最低的投资，实现系统的扩展和维护。为了便于扩展，对于核心设备必须采用模块化高密度端口的设备，便于将来升级和扩展。先进的设备必须配合先进的管理和维护方法，才能够发挥最大的作用。全线采用基于SNMP标准的可网管产品，达到全程网管，降低了人力资源的费用，提高网络的易用性、可管理性，同时又具有很好的可扩充性。三、网络方案设计（一）网络结构分析1骨干层网络中心节点及其它核心节点作为校园网络系统的心脏，必须提供全线速的数据交换，当网络流量较大时，对关键业务的服务质量提供保障。另外作为整个网络的交换中心，在保

15、证高性能、无阻塞交换的同时，还必须保证稳定可靠的运行。因此在网络中心的设备选型和结构设计上必须考虑整体网络的高性能和高可靠性。具体来说核心节点的交换机有两个基本要求：1）高密度端口情况下，还能保持各端口的线速转发；2）关键模块必须冗余，如管理引擎、电源、风扇。由于校园网建设最终必将采用万兆技术，因此需要考虑到核心设备对万兆的支持能力。综上所述，主干核心交换机属于高端系列的产品，所以在本方案中，核心交换机建议采用多业务万兆核心路由交换机。可以根据用户的需求灵活配置，灵活构建弹性可扩展的网络。多业务万兆核心路由交换机高背板带宽和二/三层包转发速率可为用户提供高速无阻塞的交换，强大的交换路由功能、安

16、全智能技术可为用户提供完整的端到端解决方案，是大型网络核心骨干交换机的理想选择。RG-S68100E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机，RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力，并且拥有业务按需叠加扩展能力，达到业务和性能并重的设计需求。目前提供10竖插槽设计和6横插槽设计两种主机：RG-S6810E和RG-S6806E。 RG-S6800E系列多业务万兆核心路由交换机提供2.4T/1.2T背板带宽，并支持将来扩展到4.8T/2.4T的能力，高达857Mpps/428Mpps的二/三层包转发速率可为用户提供高速无阻塞的数据交换，强大

17、的交换路由功能、安全智能技术可同锐捷各系列交换机配合，为用户提供完整的端到端解决方案，是大型网络核心骨干和大流量节点交换机的理想选择。 RG-S6800E交换机通过先进的第三代高性能引擎可硬件支持策略路由、IPV6等协议，并可扩展支持MPLS、load balancing、NAT、VPN、Firewall、IDS、web cache redirect等丰富的业务功能，满足客户环境灵活而复杂的不同应用需求。在此方案中，校区网络中心采用RG-S6810E多业务万兆核心路由交换机作为核心交换机。核心层交换机跟汇聚接入层交换机之间的千兆链路可以捆绑，从而实现带宽的灵活扩展。2接入层 接入层网络由楼栋交

18、换节点和楼层交换节点组成，接入层网络应该可以满足各种客户的接入需要，而且能够实现客户化的接入策略，业务QOS保证，用户接入访问控制等等。楼层交换节点采用千兆智能堆叠交换机，提供智能的流分类和完善的QoS特征。为各类型网络提供完善的端到端的服务质量、丰富的安全设置和基于策略的网管，最大化满足高速、融合、安全的园区网新需求；本方案中各接入层交换机通过千兆链路上联到各汇聚层设备，对下联的桌面设备提供全双工的百兆连接，为各类用户提供无阻塞的交换性能。3出口因为校园网出口采用以太网，所以采用路由器 + 防火墙的方式，起到如下作用：防火墙提供强有力的服务器、内网安全保护、提供IDS等安全特性；路由器提供出

19、口路由功能，数据处理能力强，具有强大的NAT功能。（二）网络架构设计基于目前学校规模及发展的角度考虑，骨干网络采用单核心双引擎或双核心单引擎的拓扑结构，保证核心的稳定；在两栋实训楼采用万兆的三层汇聚设备，实训楼6506千兆连接接入交换机；服务器千兆接入到核心交换机上；百兆到桌面；为了以后扩展的需要，所以采用RG-WALL 1000防火墙，并将校内的对外服务器与防火墙的DMZ区相连，保证良好的安全性；同时双核心时做VRRP，防火墙双百兆连接核心，单百兆连接Internet；出于管理和安全方面角度考虑，在全网可采用IP+MAC绑定方式，全网分布式采用ACL，并按照部门划分VLAN，划分相应的权限，

20、保证学生机房用机对教学办公网没有访问权限，只能访问校内服务器及外网；IP分配：在办公区采用静态IP划分，在学生区及移动性较大的办公区可补充性采用DHCP动态获得IP地址。按照核心的架构，才用单引擎单核心，采用单核心单引擎，核心和引擎之间做冗余备份。实训楼的汇聚设备可采用双链路连接核心设备，作链路的冗余备份，如果其中任何一条链路出现故障，所有数据会切换到另外的链路上，保证校园网的畅通。（三）扩展的考虑备份线路带宽扩展：在未来升级考虑中，可将核心与汇聚间千兆备份线路带宽升级至10G带宽，以提高备份线路的连接带宽。实训楼交换机可扩充为96个千兆口，拥有很强的接入扩展功能。（五）网络QoS设计为确保用

21、户各种关键业务的正常开展，必须采取全面而系统的QoS设计(提供端到端QoS服务)，以保证重要的数据流在网络发生拥塞时获得有保证的吞吐量和最低的延时；为了保证端到端用户的服务质量，因此要求端到端数据流经的所有网络设备都支持实施的QoS策略，核心设备是多个服务器接入的设备，并且担负着全网数据的交换，QoS的能力影响着全网的服务质量保障能力。 在骨干网络网络中，由于信息资源集中于骨干网络网络中心，为保证全网的QoS，要求资源中心核心交换机、分中心交换机和接入交换机均支持第三层的QoS标注方案，而二层的802.1P标记对于骨干网络这样的网络并没有实际意义，因为802.1P的标记不能在交换机之间传递，只

22、能在本机上有用。通过从核心到接入设备全程对QoS的良好支持，全部硬件提供二到四层数据流交换，实现应用感知的功能，给予多媒体办公应用提供透明的QoS保障，确保真正的端到端的QoS的实现。QOS工作原理:（六）网络安全设计构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。1.接入安全H3C S1526是华为推出的全千兆安全智能接入交换机，在提供高性能、高带宽的同时，提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和

23、网络攻击，控制非法用户接入和使用网络，保证合法用户合理化使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。2.访问安全H3C SR6608(AC)，多业务万兆核心路由交换机支持802.1Q VLAN，可使用VLAN划分隔离用户访问。同时还支持VLAN 隧道技术，可实现跨校区的VLAN功能。并且路由交换机支持完善的ACL，可以基于MAC、IP、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。ACLS的全称为接入控制列表(Access Control Lists)，可以对数据流进行过滤可以限制网络中的通讯数据类型及限制网络的使用者或使用设备。在数

24、据流通过交换机时对其进行分类过滤，并对从指定接口输入的数据流进行检查，根据匹配条件(conditions)决定是允许其通过(permit)还是丢弃(deny)。锐捷RG-S6800E多业务万兆核心路由交换机支持以下几种类型的ACLs：l IP ACLs用于过滤IP报文，包括TCP和UDP。1. Standard IP access lists (标准IP接入控制列表)使用源IP地址作为匹配的条件2. Extended IP access lists(扩展IP接入控制列表)使用源IP地址、目的IP地址及可选的协议类型信息作为匹配的条件l Ethernet ACLs用于过滤二层数据流：1. MAC

25、 Extended access lists(MAC扩展控制列表)使用源MAC地址、目的MAC地址及可选的以太网类型作为匹配的条件l Expert ACLS用于过滤二层和三层、二层和四层、二层和三层、四层数据流：Expert Extended access lists(专家扩展控制列表)使用源MAC地址、目的MAC地址、以太网类型、源IP、目的IP、及可选的协议类型信息作为匹配的条件。对于不同访问权限的区域采用ACL访问控制来对不同访问资源进行权限控制。应用ACL可以有效的防范“冲击波”等蠕虫病毒；支持802.1X技术，满足6元素绑定接入限制；支持IGMP源端口检查及源IP检查，可有效控制非法

26、组播源，提高网络安全；IGMP V3支持通告主机希望接收的多播源的地址，避免非法的组播数据流占用网络带宽； 通过PVLAN（保护端口）隔离用户之间信息互通，不必占用VLAN资源；提供SSH的加密登陆和管理功能，避免管理信息明文传输引发的潜在威胁； Telnet/Web登录的源IP限制功能，避免非法人员对网络设备的管理； SNMPV3提供加密和鉴别功能：确保数据从合法的数据源发出（引擎ID）；确保数据在传输过程中不被篡改（采用MD5和SHA认证协议）；加密报文，确保数据的机密性（采用DES56加密协议）。（七）服务器根据校园网的实际需求：数据计算量大；实现多种服务如：WEB服务，OA应用平台，F

27、TP服务，防病毒等等。应用服务器和数据库分离，防止应用服务器被攻击后，影响数据库安全。服务器主要用于帮助学校对校务、学籍、人事、政教等方面进行管理，实现学校的办公自动化，各系统之间实现充分的资源共享，提高办公及管理效率。还可以提供资料库管理，所有相关资料都可通过网络系统被检索和使用。通过Internet/LAN向教师及学生、学生家长提供尽可能多的信息。信息服务不仅是提供Email、FTP、Telnet、WWW等简单服务，还应包括如教学资料、教学课件、图书馆图书资料的远程查询，远程视频点播、远程电子阅览室、教育论坛、网上教学以及学生的网上交流、网上聊天等。对于这些网络服务，可以根据各部门需求，选

28、择或组织编写一些应用系统软件。（八） 网络相关技术：1）vlan及IP规划在校园网络的整个网络规划当中，VLAN 的划分是非常重要的部分，很好的利用VLAN技术的功能，能起到事半功倍的效果，对整个网络的性能也是事关重要的。主要突出为以下几点：l VLAN 划分，可以避免广播风暴，在骨干网络中尤为突出，在多媒体、视频点播等很容易引起广播信息；划分之后，VLAN 是广播只在子网中进行，不会做无意义的广播，消除了广播风暴产生的条件。l VLAN 划分，可以增加网络的安全性，在不同的VLAN之间不能随意通讯，只限与本子网间通讯，不会对其他的子网产生干扰。要进行访问，需要通过三层交换，这样信息流就得到相

29、当好的控制。l 网络管理系统采用完全独立的IP子网和VLAN，实现更加安全的对所有网络设备进行管理。建立VLAN 和IP 子网的对应关系。l 提高管理效率，实现虚拟的工作组，减少站点的移动和改变的开销。l VLAN 间的子网访问，可以在三层交换机上实现，子网间的通讯也可以在汇聚设备上实行，分流核心交换机的三层交换，优化了组网。 根据以往网络管理经验和骨干网络网络建设的实际情况，方案建议在骨干网络VLAN划分规划以“灵活划分、方便管理”为基本原则，以不同的使用群体为VLAN范围划分。这样划分VLAN的好处有：1、方便管理。为了更好的进行VLAN规划的实施，因此在网络实施前期，要对网络中不同区域的

30、VLAN设置进行详细的规划，细化到接入层网络，这样在骨干网络这样大型的校园网络中如果以用户群体来划分VLAN的话，避免由于前期配置设备时复杂烦琐，而且由于相同的用户群体可能在不同的物理位置，导致造成整个校园网络中VLAN划分复杂，减轻管理和后期维护。所以方案建议骨干网络划分VLAN方式前进行详尽规划，这样既可以减少广播域，又达到划分VLAN，方便管理的效果，对于后期网络维护和升级具有十分现实的意义。2、易于实施。按群体划分VLAN在工程实施中就十分的方便，不会造成VLAN划分复杂失误而使得网络出现不通的现象，便于工程快速实施和网络中心整体规划。3、VLAN间路由采用三层交换设备进行VLAN路由

31、。以便不同VLAN间进行访问，对于学校重要网络资源，需要进行权限访问的时候，建议采用专家级ACL（可同时基于VLAN号、以太网类型、MAC地址、IP地址、TCP/UDP端口号、时间灵活组合限定的硬件ACL）来进行访问权限设定，保障重要资料不被非法访问。地点ipvlan学生宿舍楼群一10学生宿舍楼群二20图书馆30其他区域40办公区域50教学区域60服务器群702）OA办公：随着整个社会信息化建设的兴起，信息技术、信息产品广泛的渗透到经济,科技和社会各领域，在转变经济增长方式，增强技术创新能力，提高传统产业水平，优化产业结构，推动社会进步，提高人民生活水平等方面的作用越来越大。在Internet

32、时代，随着市场竞争的全球化，集团企业由于跨地域、跨行业、经营多元化的特点，使其具有普通单一企业所无法获得的资金、技术、市场优势。集团采购、销售、协作的地域范围不断扩大，在全球各洲各大区都有分支机构，合作伙伴遍及世界各地。但同时集团企业也由于分散化的管理引发许多问题，不能实现其规模优势。集团超大规模的客观实际要求管理分工化和内部资源优化整合得到有机的统一。如何解决集团企业所面临的问题？只有采用集中化管理思想，在战略上实行集中监控，整合所有资源；在战术上实行分布式经营，做到既减低经营风险，又实现规模经济优势，才能实现集团战略目标。集中式管理是Internet时代集团企业的必然选择。而集中式管理的重

33、要技术手段，就是通过统一的集团综合管理门户，将集团内部的业务应用进行整合与关联，实现真正的多组织、多业务、跨地域的面向未来的信息化应用模式。为实现这一目标，众多软件厂商通过ERP、CRM、OA软件的开发与实施，向集团应用领域渗透。但目前集团应用系统的开发与实施普遍存在以下困难：1、 众多业务应用系统无法达到整合与统一部署2、 定制开发的业务系统，其开发费用高昂、开发周期漫长3、 数据缺乏统一管理与规范4、 系统可扩展性、灵活性较差，很难由企业在没有原始开发商的协助下完善、扩充系统功能企业管理信息化已经经历了很长的一段时期，为了提高企业管理的效率，许多企业对管理软件的投入了巨资，并取得了一定的效

34、益，但是，对于绝大多数企业来说，对管理软件的投入并没有产生与之相匹配的产出和效益。在企业实施管理计算机化的过程中，一个普遍的状况是：在一个美好前景的吸引下，企业对管理软件进行巨额投资，经过一系列极其复杂的过程，一段漫长的开发周期后，企业和软件公司发现企业的需求已经发生巨大的变化，于是，在真正的版本发布以前，管理软件的项目质量已经失控并且陷于维护的泥潭，并最终导致项目的彻底失败。双输的结局艰苦的努力高额的投资复杂的过程漫长的周期失控的质量无尽的维护美好的计划虽然对管理软件的实施成功率缺乏真正精确的统计数据，但根据最保守的估计，在全球范围内，企业投资和实施管理软件的成功率不超过20。而且，在宣称管

35、理信息化已经成功的企业中，企业完成了软件合理投资所需的80的资金，但得到的回报不到20。根据我国有关方面调查，我国企业在应用MRP II系统方面已投资过100亿元人民币，但是应用成功率不到10%，达到预期目标的更是寥寥无几。此外，还有一大批企业组织开发适用于自己的管理信息系统（MIS），其成功率同样很低。针对这些困难，我们经过3年多的集团项目建设及应用软件产品开发，给出了有针对性的解决方案，提出了可行的基于互联网技术的多层架构的“Office Anywhere集团综合管理门户开发平台” （简称MYOA平台）的设计构想，并在中国兵器工业集团等大型企业的应用中，取得了良好的效益和应用效果。下面从平

36、台简介及设计思想、技术架构、应用案例等几个方面详细介绍该平台的设计与构想。一、 平台简介及设计思想1、MYOA平台具有以下特点：1、领先的B/S(浏览器/服务器)操作方式，使得集团应用不受地域限制。2、在安装维护上提供了采用独有技术开发的傻瓜型安装工具、配置工具和数据库管理工具，用户可自行安装完毕，无需专业人员即可自行维护。3、采用基于WEB的企业计算，主HTTP服务器采用了世界上领先的Apache服务器，性能稳定可靠。4、同时支持Oracle、DB2、SQL Server、Mysql等数据库平台，支持数据的集中式和分布式部署5、数据存取集中控制，避免了数据泄漏的可能。多级权限控制，完善的密码

37、验证与登录验证机制更加强了系统安全性。6、具有良好的可扩充性，可挂接多种语言开发的基于B/S或C/S的业务系统。7、跨平台支持，可顺畅运行于Unix、Linux、Windows等操作系统。作为一个集团应用的开发平台，平台本身所提供的固定功能涵盖了内部通信、信息发布、业务流程自动化、集中的文档管理、分布式办公等基本功能，构建了企业应用的基础，同时可根据用户需要选装如财务模块、物流模块、人力资源模块、CRM模块等企业业务管理模块。同时提供了有效的开发界面和工具，可实现企业自行开发扩展功能，以适应集团企业不断变化增长的信息化管理需求。2、使用MYOA平台开发业务系统的优势使用MYOA开发集团综合管理

38、平台开发模式可以从许多方面大幅度地提升现有软件开发的层次。使用MYOA的好处可以总结为如下几个方面： 质量：提供从设计、开发到维护的全面质量保证 成本：极大地降低项目总体成本 周期：极大地加快开发进度 管理：简化软件工程，降低管理的复杂度 风险：支持快速应用，大大降低开发风险 人员：对人员要求大大降低 投资保护：使持续完善成为可能，大大延长项目和产品的使用寿命 效益：对企业业务的运行、规范和重组提供强大的支持MYOA采用模型自动执行作为软件的主要实现方式，应用软件中非常困难的实现部分和大量重复的业务逻辑已经无需编程（通用逻辑中的70-95）。开发人员只需要聚焦于客户的业务逻辑，并可以使用多种程

39、序语言来支持复杂业务逻辑。3、MYOA平台全面和强大的业务和管理支持MYOA集成管理平台将群件、信息管理、工作流和和业务重组真正有效地集成起来，从而对企业的团队协作、业务支持、管理控制、决策分析、商务智能、商务加速提供全面的、整体的支持。功能描述特点团队协作：群件系统 信息与知识共享：信息发布、通知、广播、讨论、会议，局域和广域的邮件，知识库管理等等。 虚拟组织管理：组织结构的管理，业务分工，权限管理等等 团队协作支持：业务信息的自动传递，任务的自动通知、自动调度与其它群件系统相比，集成平台的群件系统具有强大的业务处理功能，集成平台是一个与业务紧密结合的群件和OA系统。业务支持：管理信息系统

40、集成平台可以实现强大的企业信息系统的所有功能，包括业务信息定义和组织，业务信息输入输出，基于协同工作模式下的业务信息传递和共享由于集成平台的业务管理是基于群件和工作流系统之上，与其它MIS系统所不同的是，集成平台是支持协同工作和流程控制的信息系统。管理控制：工作流管理系统 流程管理：业务流程定义，业务规则定义 过程管理：工作任务的自动调度和通知，业务信息在流程中自动传递和权限控制，业务过程记录和控制，规范企业的业务运作集成平台是达到生产级(Production)标准的工作流系统，与其它简单工作流系统所不同的是，集成平台是真正符合企业复杂业务与复杂流程的工作流体系。决策支持：决策分析系统 集成平

41、台可以实现强大的企业信息系统的所有功能，包括业务信息统计分析，业务过程统计分析，业务信息和过程的综合分析，支持业务工作的量化考核与其它业务分析系统所不同的是：集成平台的决策支持建立在企业流程自动化的基础之上，真正实现了业务内容信息和过程信息的综合分析。商务智能：企业智能系统和业务神经系统 依据企业运行的现实和合理的规则，进行快速、智能和自动的反应，以提高业务的质量和效率。集成平台的商务智能建立在完整的企业模型之上，能够对整个业务系统的快速、智能、自动协作提供全面支持商务加速：商务加速器 利用流程自动化和商务智能来加快业务的高速运行 利用建模自动化实现管理的快速调整 帮助企业在“速度竞争”中脱颖

42、而出由于集成平台实现了流程自动化和模型自动化，使管理软件真正成为“商务加速器”。持续完善：自我完善体系 根据企业运行的事实和结果分析，不断完善业务规则 支持业务的快速调整 支持业务流程重组 支持业务和管理的持续完善与其它软件定制工具所不同的是：集成平台是基于现代企业管理思想，构建在企业模型体系基础之上，实现了企业模型自动化的软件再造体系，能够真正满足企业管理持续完善的需要经济效益：高回报系统 从信息和业务系统获得前所未有的好处和回报 降低信息系统的整体成本 快速和低成本的应用、实施和维护，降低投资风险 技术和平台无关性，更长的产品使用寿命，保护投资传统的管理信息系统其实只是数据处理系统，而集成

43、平台则是真正意义上的管理和控制工具，并让企业从信息技术上获得前所未有的好处。二、平台技术架构1、网络应用模式全面基于互联网应用模式，实现跨地域的业务处理，良好的支持低带宽网络。2、软件架构层次表示层数据逻辑数据管理用户接口逻辑浏览器客户端运行表示层应用服务器运行用户接口逻辑数据库服务器优化性能, 工作流数据中心运作 - 降低成本软件更新 LAN WAN Dial-up软件架构上采用了主流的B/S和J2EE平台设计思想，具备技术先进性与稳定性，充分满足集团用户的大数据量、高可用性的要求。3、业务层次MYOA将企业业务划分为数据层、信息层、资源层、功能层、组织层、流程层等六个层次，对每一个层次进行

44、有效的流程时间控制、数据权限控制、行为权限控制、协作模式、流转条件、过程监控模式、信息表现方式、信息传递方式、信息合并方式、流程自动启动、流程合并模式、增值评估。MYOA的业务模型如下：4、应用程序设计MYOA平台主要的应用程序，基于PHP（PHP: Hypertext Preprocessor）和Java企业级计算平台J2EE（Java 2 Platform Enterprise Edition）混合开发，实质上是一个分布式的服务器应用程序设计环境，它提供了基于组件的，以服务器为中心的多层应用体系结构，为企业应用系统提供了一个具有高度的可移植性和兼容性、安全的平台。MYOA的多层体系结构的设

45、计特点极大的简化了开发、配置和维护企业应用的过程,它最大的优点就在于将企业的业务逻辑同系统服务和用户接口分开，放在它们之间的中间层。它提供了一系列的底层服务，如事务管理、缓冲池等，使得开发者能够将精力集中于企业的业务逻辑，而无需过多的关心与业务逻辑不太相干的系统环境等。由于采用多层结构，系统中同时会有多台服务器在工作，这样不仅能提高系统的整体运行效率，而且一旦某一台服务器出现故障，应用程序会自动转移到另一台服务器上接着运行，这就有效的保障了系统整体运行的可靠性。应用程序静态模型如图：ServletActionBeanActionBeanActionBeanBusnissBeanBusnissB

46、eanBusnissBeanBusnissBeanActionDataBeanDataBeanDataBeanDataBeanDataDBFormBeanViewServletServletServletPHPJSPHTMLLInterfacecommoncombeancombeancombeancombean具体分析如下： （1） 客户层是应用程序的显示部分，其主要功能是负责人机交互：显示美观友好的界面，处理用户输入，进行输入数据校验，请求服务器的服务，显示由服务器端返回的结果，即客户通过Web Brower 的调用PHP/Servlet/JSP 处理数据。 （2） WEB层由PHP、JSP

47、 、Servlet组件构成，存在于WEB服务器中，代表服务器端处理的显示逻辑。WEB层的功能是当用户浏览器从WEB 服务器上请求JSP文件时，WEB 服务器响应该HTTP请求进行简单处理，再调用EJB进行商业逻辑处理，将结果组织成HTML形式发送回浏览器，还可以通过JDBC(Java Database Connectivity)直接访问后台数据库系统。(JSP技术是J2EE标准中一项重要的技术，它将JAVA和HTML语言结合起来为客户提供一个可支持跨平台及跨WEB服务器的动态网页页面，JSP可以调用EJB从而访问数据库。JSP最大的优点就在于它将网页页面的动态内容同它的表示层分开，也就是说，开

48、发者在修改网页内容时，丝毫不会对浏览器端产生影响) （3） 应用层用EJB封装应用领域的业务逻辑。EJB Container存在于应用程序服务器上，为应用层。J2EE使用EJB Container 作为EJB组件的部署环境，在EJB Container中提供了分布式计算中组件需要的所有服务，例如组件生命周期的管理、数据库连接的管理、分布式事务管理、组件的命名服务、自动容错以及负载的自动均衡能力等。实现事务逻辑的EJB组件可以更加高效的运行在应用程序服务器中，支持多客户端的访问，HTTP 的客户端可先向运行在Web Container 上的Java Servlet 或JSP 发出请求, 在JSP

49、 中嵌入的Java代码调用运行在EJB Container中的EJB组件, 以实现复杂的事务逻辑,而其他的客户端可通过RMI-IIOP(Remote Method Invocation-Internet Inter OPB Protocol) 直接访问运行在EJB Container中的EJB组件。（4） 数据层则是传统的大型数据库服务器。包括数据库系统、事务处理和其他遗留信息系统。最终，客户在客户端通过WEB浏览器等方式访问位于中间层的WEB服务器，WEB服务器响应该请求，进行简单处理，再调用位于应用程序服务器中的EJB去访问和操纵后台的数据库服务器，用以完成复杂的商业逻辑。5、MYOA平台

50、体系结构的优点（1） 可移植性强。 MYOA计算平台支持PHP/Java语言，使得基于MYOA标准开发的应用具有PHP/Java语言所特有的与平台无关性，一套程序可以适用于多种平台，保证了系统可以跨平台的移植。（2） 可维护性强。 在MYOA的这种体系结构下， 事务处理逻辑组件集中放置在应用功能服务器上，这将使系统维护变得简单、容易。当系统的事务处理逻辑发生变化时，只需更新应用功能服务器上的事务处理逻辑组件即可，而与客户机端无关，避免了客户端应用程序的版本控制和更新的困难。（3） 安全性强。 由于在客户机和数据库服务器之间插入了应用功能服务器，使两者不直接相联系，并且系统的事务处理逻辑组件在应

51、用功能服务器上，便于集中控制，这样既防止了非法侵入数据库，同时又防止了用户对系统的破坏。（4） 灵活性强。MYOA体系结构各层次之间保持相对独立，当其中某一层因需要作出修改时，其他各层不受影响，这种软件独立性使得系统的改进、升级变得极为灵活。（5） 简化开发。MYOA体系结构各层次之间在逻辑上保持相对独立，在系统开发期间，各层的开发可以并行进行，又由于MYOA采用了组件技术，许多模块可以被重用 ，这样大大节约了开发时间，缩短了系统的开发周期，提高了效率3)NAT技术公网/内网IP分配及NAT地址转换协议分类： linux系统 2011-12-02 17:5535人阅读评论(0)收藏举报公网IP

52、/内网IP： 在TCP/IP协议中，专门保留了三个IP地址区域作为私有地址，其地址范围如下： 使用保留地址的网络只能在内部进行通信，而不能与其它网络互连。因为本网络中的地址同样也可能被其它网络使用，如果进行网络互连，那么寻找路由时就会因为 地址的不唯一而出现问题。但是这些使用保留地址的网络可以通过将本网络内的保留地址翻译转换成公共地址的方式实现与外部网络的互连。这也是保证网络安全的 重要方法之一。 但是有一些宽带运营商尽管也使用了非私有地址分配给用户使用，但是由于路由设置的原因，Internet上的其它用户并不能访问到这些IP。 我们将这两种情况下应用的IP称为内网IP。 如果自己机器上网络接

53、口的IP地址落在上述保留地址范围内，则可以肯定自己处于内网模式下。 内网IP对Internet的访问必须通过代理的方式，NAT(Network Address Translation)技术是 基于TCP层面的代理，能够相当好地使用于各种IP服务应用，因此被广泛应用。之所以说是相当好，是因为NAT要求整个服务的连接是从内网向外网主动发起 的，而外网用户则无法直接(主动)向内网内网的服务发起连接请求，除非在NAT的(所有)网关上针对服务的端口作了端口映射。NAT转换的类型： 有四种NAT转换模型可以涵盖当前NAT的基本应用。1、静态转换(Static NAT) 在路由器上手工配置私有IP地址和公网

54、IP地址的对应关系，一经配置，转换表永久存在。明显的例子是NAT路由器上配置外网用户访问内网的服务器：内网服 务器依然使用私网地址，在NAT路由器上，分配一个公网地址并配置私网地址/公网地址的转换表，对外提供公网IP地址给外部网络用户访问。NAT转换表：202.110.10.10 8080 - 10.110.10.10 80 (www)2、动态转换（Dynamic NAT） 路由器上保留一个合法地址列表，每当有转换需求的时候，从列表中选择一个进行转换。注意：动态转换依然是一对一的。1）由于从列表中选择，每次转换采用的IP地址并不一定是同一个；2）合法地址被采用后，其他的转换需求不能再使用这个合

55、法IP。3、复用转换（Overloading NAT） 在动态转换中，每个合法的IP地址只能在转换表中使用一次，在内部网络主机访问外部需求增多的情况下，合法地址列表中的IP地址会很快不够用。这时，可以 利用上层协议标识，例如利用传输层TCP/UDP的端口号字段来协助建立NAT转换表项（ICMP报文的ICMP头中的Identifier字段也可以用 来实现与端口号类似的功能）。这样，多个私有地址可以通过一个合法地址进行转换，这种类型的NAT转换也可以称为PAT（端口地址转换）。 转换表项例子：.1 100 202.110.10.1 10010.10.1.1 101 202.110.10.1 101

56、10.10.1.2 102 202.110.10.1 102. 理论上，1个公网地址可以提供的转换表项为216=65535个（尚未扣除知名端口数量）。这是INTERNET上NAT的典型应用。通过复用转换，还可以实现服务器负载分担的功能。 产品类别：机架式 纠错处理器 CPU类型：Intel 至强5600 纠错 CPU型号：Xeon E5620 纠错 CPU频率：2.4GHz 纠错 智能加速主频：2.666GHz 纠错 标配CPU数量：1颗 纠错 最大CPU数量：2颗 纠错 制程工艺：32nm 纠错 三级缓存：12MB 纠错 总线规格：QPI 5.86GT/s 纠错 CPU核心：四核 纠错 CP

57、U线程数：八线程 纠错主板 扩展槽：最多6个 纠错内存 内存类型：DDR3 纠错 内存容量：2GB 纠错 内存插槽数量：18 纠错 最大内存容量：192GB 纠错存储 硬盘接口类型：SATA/SAS 纠错 标配硬盘容量：标配不提供 纠错 最大硬盘容量：8TB 纠错 热插拔盘位：支持热插拔 纠错 RAID模式：1个智能阵列 P410i/零缓存 纠错网络 网络控制器：2个NC382i双端口千兆网卡 纠错管理及其他 系统管理：iLO 3 纠错电源性能 电源类型：热插拔电源 纠错 电源数量：1个 纠错 电源功率：460W 纠错外观特征 产品尺寸：85.9660.7445.4mm 纠错 产品重量：最大2

58、7.2kg 纠错适用环境 工作温度：10-35 纠错 工作湿度：10%-90% 纠错 储存温度：-30-60 纠错 储存湿度：5%-95% 纠错四、设备选型二层交换机 H3C S1526主要参数 产品类型：千兆以太网交换机 适用范围：中小企业 应用层级：二层 交换容量（Gpbs）：8.8 网络标准：IEEE802.3x,IEEE 802.3、IEEE 802.3u、IEEE 802.3ab,IEEE 802.3z,ANSI/IEEE 802.3 NWay自动协商,IEEE802.3x 端口数：24 模块插槽数：2 支持全双工：是 基本参数 产品类型 千兆以太网交换机 适用范围 中小企业 传输速

59、率（Mbps） 10/100,10/100/1000 应用层级 二层 交换容量（Gpbs） 8.8 交换方式 存储转发 地址表大小 8k 网络标准 IEEE802.3x,IEEE 802.3、IEEE 802.3u、IEEE 802.3ab,IEEE 802.3z,ANSI/IEEE 802.3 NWay自动协商,IEEE802.3x 网管支持 基于Web的管理 端口参数 端口数 24 端口类型 10/100Base-TX,10/100/1000Base-TX 模块插槽数 2 其它参数 支持全双工 是 电气参数 电压(V) 100V240V 50/60Hz 外观参数 长度（mm） 140 宽度

60、（mm） 440 高度（mm） 44 环境参数 工作温度（） 0-40 工作湿度 10%85%, 非凝露 存储温度（） -10 - 70 存储湿度 10%90%, 非凝露三层交换机 H3C S5120-28P-SI详细参数 主要参数 产品类型 智能交换机 纠错 应用层级 三层 纠错 传输速率 1000Mbps 纠错 交换方式 存储-转发纠错 背板带宽 192Gbps纠错 包转发率 42Mpps纠错 端口参数 端口结构 非模块化 纠错 端口数量 28个纠错 端口描述 24个10/100/1000Base-T以太网端口，4个1000Base-X SFP千兆以太网端口纠错 控制端口 1个Consol

61、e口纠错 传输模式 支持全双工纠错 功能特性 VLAN 支持基于端口的VLAN（4K个）纠错 QOS 支持IEEE 802.1p/DSCP优先级支持优先级映射支持端口信任模式支持端口信任模式支持端口队列调度（SP/WRR/SP+WRR）纠错 组播管理 支持IGMP Snoopingv1/v2/v3MLD Snooping支持组播VLAN纠错 网络管理 支持XModem/FTP/TFTP加载升级支持命令行接口（CLI），Telnet，Console口进行配置支持SNMP，WEB网管支持RMON（Remote Monitoring）支持iMC智能管理中心支持系统日志，分级告警，调试信息输出支持HGMPv2支持Modem 远端拨号支持NTP支持Ping，Tracert支持Telnet远程维护支持VCT（Virtual Cable Test）电缆检测功能支持Loopback-detection端口环回检测纠错 安全管理 支持用户分级管理和口令保护支持Radius认证支持SSH 2.0支持802.1X，集中式MAC地址认证支持