xx市财政局网络系统方案建议书

《xx市财政局网络系统方案建议书》由会员分享，可在线阅读，更多相关《xx市财政局网络系统方案建议书（43页珍藏版）》请在装配图网上搜索。

1、 - 1 -目目 录录1 1 、前、前 言言.6 62 2 、系统概述与需求、系统概述与需求.7 72.1 系统建设的必要性 .72.2 系统建设概况 .72.3 总体需求 .72.4 建网目的 .83 3 、局域网技术现状分析与技术概述、局域网技术现状分析与技术概述.9 93.1 网络技术选择.103.2 网络设备的系统结构.103.3 虚拟专用网络(VPN).113.4 路由功能.113.5 容错功能.113.6 网络管理.114 4 、网络方案概述、网络方案概述.12124.1 网络设计思想 .124.2 网络逻辑结构 .145 5 、网络实现、网络实现.15155.1 系统需求 .15

2、5.2 网络实现技术 .155.2.1 主干网 .155.2.2 各子网设计 .165.2.3 远程服务 .165.2.4 与外部网络的连接 .165.2.5 网络物理拓扑结构 .175.3 外连方式 .175.3.1 PSTN(电话拨号) .185.3.2 ISDN(综合业务数据网) .185.3.3 DDN(数字数据网) .205.3.4 X.25(公共分组数据交换网) .215.3.5 帧中继 .22 - 2 -5.4 网络设备选择 .235.4.1 交换机 .235.4.2 路由器 .245.4.3 远程访问服务器 .245.4.4 服务器 .265.5 系统平台 .266 6 、技术

3、重点与难点、技术重点与难点.27276.1 子网划分与地址规划 .276.2 虚拟局域网的划分 .276.3 增强 IP 组播(IP MULTICAST)能力 .287 7 、安全性、安全性.28287.1 网络设计.287.2 应用软件.297.2.1 用户口令加密存储和传输： .297.2.2 分设操作员 .297.2.3 日志记录和分析 .307.3 网络配置.307.3.1 路由 .307.3.2 防火墙 .307.4 系统配置.317.4.1 网络服务程序 .317.4.2 数据库安全配置 .317.5 通信软件.328 8 、维护、维护.33338.1 系统维护 .338.2 支持

4、与服务 .348.2.1 支持和服务范围 .348.2.2 支持和服务内容 .349 9 、人员培训、人员培训.38381010 . .系统报价系统报价.39391111 附录：怡海实业发展有限公司介绍附录：怡海实业发展有限公司介绍.4040 - 3 -11.111.111.1 怡海公司简介怡海公司简介怡海公司简介 .4011.211.211.2 公司业务机构公司业务机构公司业务机构 .4111.311.311.3 公司技术人力资源及培训计划公司技术人力资源及培训计划公司技术人力资源及培训计划 .4211.411.411.4 售后服务支持售后服务支持售后服务支持 .4311.511.511.5

5、 公司部分典型计算机软件及网络工程清单公司部分典型计算机软件及网络工程清单公司部分典型计算机软件及网络工程清单 .43 - 4 -1 1 、前、前 言言 信息化正对人类社会发展产生越来越巨大而深远的影响,网络正逐步深入到社会生活的各个方面。政府部门承担着社会经济管理职能,政府部门信息化是社会信息化的重要基础。实施政府上网工程旨在推动各级政府部门为社会服务的公众信息资源汇集和应用上网,实现信息资源共享,这对于全面推进国民经济信息化具有重要意义。 目前,随着我国金桥信息网业务的顺利开展,国家经贸委、广电部、水利部、交通部、林业部等政府部门都已上网,同时省级政府部门也将先后在网上建立自己的网站提供信

6、息。随着电子商务的发展,更加需要电子政府的出现,实现网上交互式信息交流和电子命令的传递。在政府机构办公及管理信息化进程中，政府机构如何发挥自身作用，怎样利用Internet/Intranet 技术带来的机遇和挑战，来提高工作效率和管理科学水平，是亟待解决的问题。 这两年来，桂林市财政局的科室微机大部分职能还是报表处理、单机作业为主。市财政局与区财政厅、市财政局与下属机构的通信也是简单地文件传送，甚至还停留在手工报表，人工递送阶段，显然越来越不能满足现代化管理的需要。 - 5 -2 、系统概述与需求、系统概述与需求2.1 系统建设的必要性系统建设的必要性建设财政局综合信息网络目的：一是进一步加快

7、全局各机构办公自动化的进程，实现政府职能的网络化，提高各级领导的决策水平；二是推动工作体制和工作方式的改革，打破部门之间各自为政的局面，通过信息畅通，保证政令统一，提高办事效率；三是通过网络加强财政局与广大市民的联系，听取群众的意见和心声；四是通过财政局上网，挖掘市财政局拥有的丰富的信息资源，为全市企、事业单位服务，促进信息资源的应用，促进我市经济发展和社会进步；五是通过政府工作网络化，树立财政局局现代化形象，推动全局信息化工作的开展和信息产业的发展。2.2 系统建设概况系统建设概况建成市财政局办公自动化骨干网。建成财政局网站接入国际互连网2.3 总体需求总体需求建立一个全局的信息管理和应用的

8、网络系统，建立医院内部的 Intranet，并提供相应的各种服务。能够有序地共享网络上的各种软、硬件资源，各种信息能够在网络上快速、稳定地传输，并提供有效的网络信息管理手段。整个系统采用开放式、标准化的结构，以利于功能扩充和技术升级。能够与外界进行广域网的连接，提供、享用各种信息服务。 - 6 -具有完善的网络安全机制。能够与原有的计算机和应用系统平滑地连接，调用原有各种计算机系统的信息。2.4 建网目的建网目的政府上网的另一个作用就是在网上实现办公。以往人们到政府部门办事,往往要跑到该地区的各管辖部门的所在地区,如果涉及到各个不同部门,要盖不同的章,更是费时费力。除了有一些手续必须有实物证明

9、外,可以建立一个文件资料电子化中心,把各种证明和文件电子化。同时,项目审批等与政府有关的各项工作都可以在网上完成。而在财政局内部,各部门之间也可以通过Intranet 相互联系,各级领导也可以在网上对所管部门作出指示,指导各部门机构的工作,并能及时地进行意见反馈,节省了工作时间,提高了工作效率。与 INTERNET 相连后可实现电子政府的强大管理应用功能：2.4.1 监督电子化监督电子化 电子政府可以在网上公开政府部门的名称、职能、组织结构、办事章程、各项文件等,以便公众迅速了解政府机构的组成、职能和办事章程、各项政策法规,增加办事的透明度,同时设立友好的访问界面、丰富的站点,接受民众的意见,

10、自觉接受公众的监督。2.4.2 电子招标电子招标指通过 Internet 向全国各企业公开招标来购买商品的方式, 由政府在Internet 网上公开其所需购买产品的有关信息,欢迎各个企业前来投标。同时,可以对感兴趣的企业网站发出 E-mail,邀请其前来投标,并说明前来申请的截止时间。有 - 7 -意投标的企业需要取得影象、价格、规格等数据和产品性能、优势等文字说明,报送到政府招标的专门网页上。由政府有关人员对其招标项目进行审核,初步作出筛选。2.4.3 资料电子化资料电子化 网络的一大特点就是能开放、充分地提供各种信息,财政局对外部门的各种资料、档案、数据库的上网使财政局的服务更加完善,更好

11、地为社会服务。3 、局域网技术现状分析、局域网技术现状分析与技术概述与技术概述目前在局域网组网技术中比较成熟和应用较多的技术有以下几方面网络类型：Ethernet:10M、100M、千兆以太网，ATM:25M、155M、622M、2.4G，DDN:64K、128K、1M、2M，X.25:64KFDDI:100M 面临淘汰。在端口数据分配上也分为共享式和交换式，网间数据交换核心方面分为路由和三层交换两种技术。在以上几个方面中网络类型的选择是关键，目前的主要技术之争是发生在以太网和 ATM 之间的，这两种技术各有短长ATM 技术相对以太网来说是一种较为为新型的技术，它基于面向连接，提供 QOS保障

12、，在实时数据传送，预留带宽方面有不可比拟的优越性，特别适合实时多媒体的交互式通讯和一些突发性的数据传送要求，它针对不同的数据通讯类型会给予不同的质量保证，另外小信元有利于速率的不断提高，但由于其技术成熟度不够，和 - 8 -目前直接基于 ATM 的应用类型还比较少，它的优越性受到了限制，另外它的元件和设备价格昂贵是另一个不利与推广的弱点。以太网技术相对成熟，而且多数应用基于以太网开发，所以决定了目前它在网络中占主导地位，受多数用户的青睐。在此我们推荐使用千兆以太网技术，它在技术上由快速以太网衍生出来、性能价格比高，现在相关技术已经稳定，并且非常适合财政局使用。在此方案中我们选择千兆以太网与三层

13、交换作为技术定位的基本模式。3.13.1 网络技术选择网络技术选择根据应用实际需求，和网络功能、性能、安全性等多方面的分析，对网络技术做出如下选择：根据应用系统的需求和接入网络方式的特征，财政局网络采用 10M/100M 全交换结合的方式构建自己的网络通信平台，采用虚网划分技术，虚网间数据传输实现第三层交换，为桌面设备提供 10/100M 以太网接入，并同时具有技术领先性。主干为百兆快速以太网。服务器以 100base-T 接入。普通网络用户 PC 采用 10/100Base-T 方式接入。网络基本形式为交换式网络。3.23.2 网络设备的系统结构网络设备的系统结构 选择完全分布的系统结构（处

14、理能力分布和存储能力分布） 。 选择存储转发式交换技术（Store-forward）以支持低速网络接口和高速网络接口的交换及对错误帧的过滤。 - 9 - 选择统计时分复用（TMD）数据交换总线结构的交换设备减少系统延时。 选择支持多种网络接口的设备。3.33.3 虚拟虚拟专用专用网络网络(VPN)(VPN)灵活多样的虚网划分手段，基于端口，基于地址和给予应用虚网中的站点不应受接口类型的限制。支持网络站点的自由移动，虚网标志可被交换设备自动识别以保持原有虚网属性。虚网可延伸到整个信息中心网络，跨越各种交换设备。3.43.4 路由功能路由功能内部路由采用三层交换功能提高其路由识别和包转发能力内部的

15、三层交换虚拟路由功能与外部路由功能有互操作性3.53.5 容错功能容错功能提供交换机内部重要模块的全双工配置（管理模块）和冗余电源主要功能部件的热插拔功能支持网络链路的冗余连接3.63.6 网络管理网络管理支持广泛的网络管理平台（如 HP OpenView 、3Com Transcend 等）提供交换机配置、管理，虚网配置、管理和网络性能统计监控的 网管工具：基于 SNMP 网络管理协议，支持标准的 MIBs提供友好的用户图形界面 - 10 -4 、网络方案概述、网络方案概述4.1 网络设计思想网络设计思想针对以上情况，本方案的设计采用国际流行的分层设计：自顶向下进行结构化设计，自底向上实现各

16、种业务。根据我们以往的经验，桂林市财政局的计算机网络应具有如下特性：前瞻性：即所采用的技术应是国际通信界公认的主流技术，具有持续发展的潜力。兼容性：目前，国内各种网络的建设方兴未艾，保证网络良好的兼容性是业务扩展的重要前提之一。经济性：网络建设的最终目的，是要服务于社会和公众，并产生可观的经济效益，进而产生收益和投资之间的良性循环。演绎性：网络建设是一个可持续滚动发展的过程，只有不断地吸收营养、不断地发展壮大，才能产生更大的经济和社会效应。竞争性：只有这样的网络才能在市场竞争中当然会脱颖而出，独占鳌头。稳健性：因为网络系统在将来政府办公的地位非常重要，所以市财政局计算机网络对系统的稳健性将有较

17、高的要求。本方案正是结合实际需求对于系统的稳健性进行了深入的设计。为了实现上述特性，我们本着以下原则进行设计：充分依照国际上的规范、标准，借鉴国内外目前所流行的主流网络体系结构和网络运行系统，采用国际上成熟的模式，汲取国内外各种信息系统的建设经验，从网络信息化的实际要求出发进行设计。确保技术的先进性和实用性，使网络具有良好的可扩展性和灵活性，以适应网络的迅猛发展趋势，既满足当前需求，又照顾未来网络建设发展的需要。充分利用当地已有的各种网络资源，确保网络内部的互联互通。由于此网络是一个实用的服务运行系统，在总体设计时充分考虑工程的可靠性、可 - 11 -用性、可维护性以及网络的安全性，建立完善的

18、安全管理体系。另外，本计算机信息系统的建设是一项庞大而繁杂的工程，它需要领导的支持、大笔资金的及时到位、计算机专业人员具有良好素质和较高技术水平，以及应用科室的配合和多部门的密切协作。所以我们对于系统的建设提出“总体规划、分布实施”的建议。在制定总体规划时，我们遵循“切合实际、分阶段实施、循序渐进、安全有效”的基本原则。网络结构的选择具有先进性和安全性，扩充升级方便，可保护前期投资。基于上述因素考虑，桂林市财政局计算机网络建设思想如下：基本构架采用国基本构架采用国际际上目前流行的上目前流行的 INTRANET 网网络络技技术术，以，以TCP/IP 为为基本基本传输协议传输协议； ；主干网采用百

19、兆快速以太网技主干网采用百兆快速以太网技术术， ，以便以便满满足市委市府系足市委市府系统统中大量中大量数据数据传输传输的要求；的要求；分支网分支网络络采用快速以太网采用快速以太网(Fast Ethernet)技技术术以以满满足普通足普通应应用需用需求；求；采用先采用先进进的虚的虚拟拟网网络络技技术术，将网，将网络络按功能模按功能模块块划分成不同子网，划分成不同子网，增增强强网网络络的安全性；的安全性；融合融合 WEB 技技术术， ，PROXY 技技术术等等 INTERNET 综综合合应应用；用；采用采用 FIREWALL 防火防火墙墙技技术术提高网提高网络络安全性，可靠性；安全性，可靠性； -

20、 12 -4.2 网络逻辑结构网络逻辑结构桂林市财政局计算机网络的逻辑拓扑结构如下： 网络系统逻辑拓扑图 在逻辑拓扑中网络可划分为若干虚拟局域网，虚拟局域网不受设备物理位置的限制，灵活性较大。按各部分功能划分：SERVER VLAN 为服务器群虚网，将各种主要服务器（WEB 服务器、管理数据服务器、邮件服务器、FTP 服务器等）放在一个虚网内便于管理、维护，同时也可以尽可能减少外部入侵及破坏系统的可能性;VLAN1、VLAN2根据不同的职能部门划分，如：党委办、组织部、人事部SwitchRouteDatabaseServerDatabaseServerWWW ServerNetwork Man

21、agementWork StationPCPCPCRoute Switch构构构构构构LANPCPCPCWAN - 13 -5 、网络实现、网络实现5.1 系统需求系统需求 首先对整个财政局办公大楼需进行综合布线以及机房标准装修工程。财政局办公大楼是两个 6 层高的子楼以 L 型连接而成，相互之间要通过网络共享一部分数据，中心机房位于 6 楼。下面列出财政局各楼层对网络的需求。序号楼 层信息点数1一层62二层123三层154四层165五层166六层37总计68 具体的大楼综合布线以及机房装修详见附件：综合布线实施方案5.2 网络实现技术网络实现技术5.2.1 主干网 网络的主干建议采用四台自适

22、应百兆以太网交换机作为中心交换机。四台核心交换之间采用高速矩阵模块千兆光纤相连，以保证主干网信息的畅通。服务器均以100BASE 端口和交换机相连，这样可以提供足够的带宽，减少由于用户对服务的集中请求所产生的网络瓶颈。 建议使用先进的路由交换机产品。路由交换机可将 IP 路由功能集成在硬件中，以较低的代价就可获得比传统路由器高得多的路由性能。 - 14 -5.2.2 各子网设计市财政局的各部门所形成的子网均以 100M 的上连带宽分别和中心交换机相连，到桌面采用 10/100M。各分支网采用交换式快速以太网技术。5.2.3 远程服务 为了满足其他单位拨号访问进行办公的需要，采用远程拨号把其他单

23、位的计算机和财政局计算机网络通过公共电话网连起来，充分利用现代通信手段和网络资源。群众也可以通过电话拨号访问政府网站上公开的信息资源。5.2.4 与外部网与外部网络络的的连连接接 与国际互联网的连接可以获得大量的信息资源，同时能将桂林市财政局介绍给世界。通过电信局提供的 64K/128K 数据专线上连到163，169 网。 - 15 -5.2.5 网网络络物理拓扑物理拓扑结结构构根据以上分析，桂林市财政局计算机网络物理拓扑图可以是：5.3 外连方式外连方式 桂林市财政局网络中心首先是桂林市财政办公网的大脑与心脏，承担了桂林市财政办公网的运行、维护的重要责任，是一个较为集中的数据中心，和多种应用

24、的中央控制的监测机构，所以桂林市财政局网络中心的建设是整个网络建设的关键。 网络中心的地位和功能：管理中心控制中心数据集中及备份中心防火墙交换机数据库服务器工作站工作站工作站路由器RAS访问服务器DDNInternetPSTNWEB服务器路由器路由器交换机堆叠交换机工作站工作站工作站备份服务器工作站工作站工作站工作站工作站服务器防火墙防火墙工作站工作站 - 16 -检查及检测中心对外信息发布中心 为了更好地、更经济地利用桂林市财政局网络的资源，满足各种类型节点的具体需求，我们初步比较以下几种节点接入方式：电话拨号、ISDN、DDN、X.25、帧中继。5.3.15.3.1 PSTN(PSTN(电

25、话拨号电话拨号) ) 电话拨号接入是利用现有的电话线资源，通过公用电话网 实现网络节点的接入。公用电话网在国内覆盖范围最广，应用灵活，方便。公众通信网主要用于话音的交换传输，通常电话线路最高速率只有9600bps，但如果采用具有4 倍压缩率功能的Modem，可达56Kbps。 和其它的接入方式相比，电话拨号虽然费用最低，但受到电话模拟线路本身技术的限制，其可提供的连接速率较低，且通信质量容易受到影响，不能提供高品质的连接信道。5.3.25.3.2 ISDN(ISDN(综合业务数据网综合业务数据网) )采用 ISDN 的优势可归纳为以下几点： 1) 技术成熟 ISDN 的技术在 80 年代就开始

26、试验和使用，ISDN 的标准则在 1984 形成，在1988 年趋于稳定。ISDN 的网络产品和终端产品已经在市场上被广泛地采用。终端产品价格逐年下降。网络运营者也积累了开放 ISDN 业务及应用的丰富经验。我国网上交换机设备经过 3 年的技术和测试工作，已基本具备了 ISDN 的能力。 - 17 -2) 安装简单 安装又可分为用户把自己的终端设备连接到 ISDN 线上和局方为用户安装 ISDN线两个方面。对于前者，ISDN 为用户很好地解决了连接问题，它提供标准的用户网络接口。这一特点是 ISDN 成功的关键所在。它以标准接口将各种类型的终端设备接入到 ISDN 网络中。只要用户使用一对用户

27、线、一个 ISDN 号码、一台有 ISDN 标准接口的终端适配器(ISDN TA)，将现有的设备(包括模拟设备如：普通电话机、传真机等) 连接到 ISDN TA 上。这样，用户就可以保留原有的模拟设备，节省投资。如果用户已有了第二条电话线专为电脑上网使用，也就是说终端设备只有电脑，那么就可以不必购买 ISDN 终端适配器(ISDN TA)了，只需插一块 ISDN PC 卡就可完成电脑与 ISDN 线的连接。3) 方便易用 ISDN 线路可以一线多号，一线多连，两个终端可以同时使用而互不干扰。比如：在一条 ISDN 电话线上可以用一个信道保持声音通话，用另一条信道上网。而且由于它属于普通电话网的

28、一部分，所以用户既可以与 ISDN 用户也可以与普通电话用户通信。当用户在一条 ISDN 线上与普通电话用户通信时仍按普通市话或长途标准收费。4) 多媒体通信 ISDN 为用户提供 64Kbit/s 的数字连接，使用户可以传递语音、数据和图像等多种媒体的信息，并使各种应用可以在这一平台上得以开发和使用。例如：会议电视一般需要三个 2B+D，即 384kbp/s 就能得到令人满意的会议电视效果。5) 经济实惠 这可以表现在以下几个方面：首先，它可以一线多用，做综合业务的处理，减少投资；其次，它可提高通信能力 35 倍，节省费用，提高效率；第三，它可即时连接使用数字数据线路，其费用远低于 DDN

29、专线。 另外，ISDN 是一种需求式服 - 18 -务，所以用户使用它与普通电话一样，只在需要时发起呼叫，支付相应使用时间的通话费，一旦连通，用户获得的就是高速数字通信。 6) 具有数字化优越性。 在传输速度方面，目前最快的模拟调制解调器也只不过是 56Kbps，而且这是一个理论值，实际使用时至多只能达到 52Kbps，它还依赖于电话线的质量。但在ISDN 中仅 2BD 就可达到 64Kbps，若传输一个 1MB 未压缩文件不到 1 分钟就可传输完毕，比前者要快很多，显然占有优势。在通话建立方面，模拟 Modem 要协商电话线支持的带宽(速率)需要 1030 秒或更长时间，而 ISDN 无那种

30、咕吱咕吱的杂音，几秒钟就连接好了。从传输质量上讲，ISDN 的数字传输比模拟传输更不会受到静电和噪音的影响，使数据通信中更少出现错误与重传现象。 5.3.3 DDN(DDN(数字数据网数字数据网) ) DDN 即数字数据网，它是利用光纤数字传输通道和数字交叉复用节点组成的数字数据传输网，可为用户提供各种高速率、高质量的数字专用电路，以满足用户组建中高速计算机通信网的需要。 DDN 业务区别于传统模拟电话专线的显著特点是数字电路，传输质量高、时延小，通信速率可根据需要选择。DDN 技术是利用数字信道提供永久或半永久电路,以传输数字信号为主的数字通信网络。其最具吸引力的优点是传输时延短,支持语音、

31、图像等多媒体业务,且已经在一些金融系统中得以广泛使用,是一种较为成熟的技术。出于对未来视频会议、办公自动化等多媒体宽带新业务的考虑,DDN 技术有着很强的生命力和发展前景。 传统的网络互连方式是通过租用点对点的 DDN 专线方式，一般速率为 - 19 -64Kbps/128Kbps。这就是所谓的 IP 的点对点互连。这种互连方式比较成熟，也是当今 IP 网络互连中广泛采用的方式。通过模拟专线(用户环路)和 Modem 入网，通信速率受用户入网距离的限制，最高可到 2.048Mbps，对光纤到户的用户，通信速率可灵活选择。 但是，这种互连方式使得路由器必须将 IP 数据包从一个 IP 网络向另外

32、一个 IP网络转发。这样就会带来一些问题：1) 对于组建大型的 IP 网络来说,由于租用这种点对点的线路,使网络方案设计变得非常复杂。为了将来网络的可扩展性,一般会考虑设计分层结构的网络体系(如网络分为骨干层及接入层等)。这样就会需要大量的路由器设备来完成这一工作。路由设备的增长,也不可避免地带来资金、IP 地址分配、全网路由政策等等一系列问题。 2) 这种点到点的线路互连,完全依靠路由设备来完成各个节点的 IP 数据交换、传递。从而目前基于 IP 层交换的路由设备的交换速率及吞吐率又成了全网信息流传递的瓶颈。5.3.4 X.25(公共分组数据交换网公共分组数据交换网) 公共分组数据交换网 X

33、.25 线路分组交换是为适应计算机通信而发展起来的一种先进通信手段，它以 CCITT X.25 建议为基础，可以满足不同速率，不同型号终端及计算机以及局域网间的通信，实现数据库资源共享。 分组交换网的突出优点是可以在一条电路上同时开发多条虚电路，为多个用户同时使用，网络具有动态路由功能和先进的误码纠错功能，网络性能最佳。 CHINAPAC 提供交换型虚电路(SVC)和永久型虚电路(PVC)。SVC 使用灵活，每次可与不同的用户建立通信电路，通信费用与通信量有关，而与距离无关。PVC 类似 - 20 -于固定专线，不需每次通信时临时建立和释放电路，适用于点对点固定连接的使用。此外，CHINAPA

34、C 还提供许多可选业务，如闭合用户群、反向计费等。5.3.55.3.5 帧中继帧中继 帧中继是一种高性能的 WAN 协议，最初是作为综合业务数据网（ISDN）接口设计的，现在它已被广泛地用于多种网络接口。帧中继是 X.25 地简化版本，它省略了 X.25 的一些强健功能，如提供窗口化技术和数据重发功能，这是因为帧中继工作在性能更好的 WAN 设备上。它即具有分组交换网的突出优点：在一条物理电路上同时开发多条虚电路，为各个用户同时使用，又能提供较高的网络带宽，（56K2M） ，支持 LAN 网之间使用的多种协议。 这种互连方式的优势在于: 1) 在网络互联中,路由器的数目大大减少。对网络组网的设

35、计要求也大大简化。 2) 以帧中继交换机代替路由器的交换功能,使网络信息处理传输速率非常快,适应于当前局域网高速互连的需求。 3) 由于帧中继网络中大都采用光纤作为传输媒体,传输误码率非常低,一般为10-8。帧中继的无差错控制机制完全可以提供可靠的端到端的传输。 如今，世界上 50以上的帧中继业务是在信元中继ATM 网络上传输的，这主要是由于信元交换设备具有良好的协调性和高效性。尽管除了传输其它类型的通信如话音和视频外再也没有其它的优点，作为一种接口，帧中继还是最适合于数据协议的传输。而且帧中继结构非常简单，这使得它很有吸引力。帧中继很适宜于数据通信，因为同时分多路和租用线路传输相比，帧中继更

36、有效地利用了带宽。帧中继能通过单一物理信道维持多个虚拟网络，从而使各种同等重要的通信独立通过互 - 21 -联网络。这种平行信息流的结构与 ATM 虚拟网络的结构非常一致，而且容易连接。因此，帧中继既能满足当前的连接要求，又可成为向未来高速网络过渡的桥梁。5.4 网络设备选择网络设备选择5.4.15.4.1 交换机交换机目前生产交换机的厂商比较多，著名的有 Intel、3COM、Cisco、Bay 等。而3COM 又是交换机市场的领袖。经过分析比较，我们选择 3COM 公司的 SuperStack II 3300 交换机。采用四台 3300 交换机通过高速矩阵模块堆叠起来。 SuperStac

37、kII 3300 的主要优点基于 Web 的管理 - 利用网络上任何节点的任何 Web 浏览器来进行简单的设备管理，但仍然保有全部的安全性。 支持 RMON（远程监控） - RMON 可对所有的交换机端口提前进行用户友好型的管理。集成的 RMON 能力支持所有 9 类 RMON 能力。 漫游分析端口（RAP） - 可以把叠堆中任一端口的信息流映射到其它的任一端口，进而直接连至网络分析器。 支持 802.1p - 这是针对多媒体应用而新制定的信息流等级制传输标准。 拥堵控制：IFM（智能流控制）和 802.3x - 22 - 丢失数据包是 LAN 降低速度的最重要起因，基于流控制的 IFM 和

38、802.3x 标准可确保任何数据包都不会丢失。 支持 802.1Q - 这是为了形成 VLAN 而制定的新标准。 IGMP 探测 - 交换机对多址联播信息流进行监视，并自动调整交换机的配置，以减轻网络上的多址联播信息流负担，从而加大网络的总流量。 支持 Fast IP - 兼有路由控制和线速交换性能的双重优点。 5.4.25.4.2 路由器路由器Cisco 公司的路由器已经相当于业界默认的标准，并且 Cisco 路由器的高性能在业界中也是首屈一指的。我们选择 Cisco 公司的 2621 路由器和 2610 路由器，并且给其配备了 IOS 防火墙。Cisco 2600 模块化多服务路由器为分支

39、机构提供通用性、集成和功能。通过50 多个网络模块和接口，Cisco 2600 系列的模块化体系结构允许轻易地升级接口来适应网络扩展。Cisco 2600 系列是 Cisco 数据/语音/视频集成方案的一个关键成员，提供业界最广泛的基于 IP 和帧中继的端到端分组电话解决方案。Cisco 2600 系列为网络管理员和服务供应商提供一个经济有效的解决方案来满足目前的分支机构需求，例如： 带有防火墙安全的 Internet/Intranet 访问 多服务语音/数据集成 模拟和数字拨号访问服务 虚拟专网(VPN)访问 VLAN 间路由 带有带宽管理的路由 - 23 -5.4.35.4.3 远程访问服

40、务器远程访问服务器 在传统的做法中，实现远程访问的方法都是以路由器加载远程访问模块来实现的。这种方式在安装、调试以及维护上都是很复杂的，并且由于采用了路由器，投资成本比较高。在本系统中，我们采用专用的远程访问服务器 3COM RAS1500。专用远程访问服务器提供的专业的远程访问服务，具有很高的性价比。SuperStack II Remote Access System 1500 为中小型企业和 Internet 服务提供商提供全面的远程访问服务。 主要优势：- 在一个平台中集成了非常广泛的功能。以较低的设备开支，提供了拨入/拨出访问、采用拨号或帧中继和专线 PPP 连接的局域网间路由选择功能

41、，在Transcend Network Supervisor (TNS)的支持下，将 RAS 1500 集成到 3Com 的所有网络管理应用程序中，而您的远程访问设备则像您的 LAN 设备一样由同样的应用程序进行管理。 - 易于安装。基于 HTML 浏览器的安装向导、图形用户界面(GUI)和文档浏览。 - 先进、易于操作。NAT/PAT 地址转换功能提供低成本高效率的共享 ISP 访问。DHCP 服务器、中继和代理功能为本地和远程用户提供了简捷的 LAN 访问方式。 - 访问方式安全。包括本地验证，并可与 RADIUS、 Windows NT 或 NetWare NOS 服务器配合实现远程验证

42、功能。 - I/O 单元模块化。模块化单元，便于 I/O 卡的添加和扩展以及 PRI 访问单元的热插拔。 - Univerrsal ConnectTM 技术。通过同一基本速率的 ISDN 连接，提供了业界领先的模拟连接方式(速率可高达 V.90)和 ISDN 拨入访问方式。 - 可伸缩性。将 ISDN 和模拟连接方式集于一身，端口范围为至 24 端口，可以随着您的需要进行扩展。 -采用 NAT/PAT，多个基于 LAN 而有各自的 IP 地址的用户可以通过单独的公用地址(PAT)访问 Internet 或公用 LAN，或者，众多用户可以共用一个小型共用子网(NAT)。NAT/PAT 将这些专用

43、的 IP 地址翻译到一个单独的公共地址或翻译到Internet 服务供应商认可的公共子网。这一功能特性可以降低公司的操作费用并简化其 Internet 访问。 - 对远程用户和基于 LAN 的用户来说，RAS 1500 都是作为中央 DHCP 服务器工作的。此外，它还能代理或转播对其他中央服务器的 IP 地址请求。这种特性简化了网络管理，并增强了远程用户和本地用户的移动性。 - 除了固定和漫游回叫之外，RAS 1500 还增加了更多的安全性和降低远 - 24 -程话费的选择功能。 来话 ISDN 呼叫(BRI 和 PRI)可通过 D 信道显现的主叫方 ID 信息予以屏蔽。 如果识别出主叫方，则

44、其呼叫就会下线并自动重新拨号，这样就可以确保适当的地址收到回叫，并确保电话公司不对来自远程地址的始发呼叫收取费用(此种特性在与 OfficeConnect ISDN LAN 调制解调器等产品的路由器到路由器连接方式中使用)。5.4.45.4.4 服务器服务器 在服务器方面我们选择了国际著名厂商 DELL 公司的系列服务器。主服务器选用DELL PowerEdge6400，备份服务器选用 DELL PowerEdge6400，WEB 服务器选用 DELL PowerEdge2400。PowerEdge6400 经过精心设计，提供了强劲的服务器可用性和操作性能，并且最大限度地减少了系统的停机时间。

45、与以前的戴尔四处理器平台相比，其操作性能更强大，可用性与可维修性也更高。PowerEdge 6400 支持多达四个最新的 英特尔 奔腾 III 至强处理器、8GB ECC SDRAM、66MHz PCI 插槽以及容量高达 252 GB 的硬盘驱动器。PowerEdge 4400 在高性能与企业级可用性方面特别突出，其设计有助于进一步提高部门的工作效率。通过支持两个 英特尔 奔腾 III Xeon处理器、133MHz 前侧总线、多达 4GB 的内存和嵌入式 NIC、双通道 Ultra3 (Ultra160) SCSI 控制器以及可选的 RAID 控制器，PowerEdge 4400 可以帮助您快

46、速有效地分发用户所需的重要数据。PowerEdge 2400 服务器使工作组级应用具有部门级计算能力。PowerEdge 2400 这种极具力量的系统可采用双处理器、133MHz 的前端数据总线、64 位 PCI 插槽以及 180G 可热插拔的硬盘存储容量。支持热插拔电源是这种重新定义工作组级应用范围的高性能系统一种额外的功能。5.5 系统平台系统平台当前主流的应用平台主要是 SUN（Solaris） ，PC（Windows）或 PC（Linux）的结构：SUN（Solaris）是一种比较安全和稳健的网络服务器结构，但价格较为昂贵， - 25 -对管理人员的技术要求比较高。PC（Windows

47、2000）：Windows2000 是 Microsoft 公司在 PC 上发展起来的 32 位操作系统。基于 Client/Server 体系结构的多线程的操作系统，支持虚拟内存。管理简单方便，价格适中，具有 C2 级安全性。系统开销合理，运行效率较高。PC（Linux）：价格最为便宜，但安全性没有经过认证，另外无生产厂家提供可靠的技术支持，出现问题时没有保障。 从近期的发展方向来看，Microsoft 公司正在提供源源不断的 2000 系列产品支持保证一个 Intranet 方案，如 Office2000、SQL Server2000、Exchange2000 等。在这个方案中，从操作系统

48、层次就具备支持 Internet/Intranet 的基本特性，以Microsoft 2000 系列产品族表现了极强的整合能力。Microsoft 的解决方案更具有灵活性、系列性和可持续性，各种组件之间的联系非常紧密，效率也自然提高。因此选择 Microsoft 的从操作系统开始的 Intranet 解决方案具备可比的优势。在桂林市财政局办公网的方案中，我们将主要采用 Microsoft 公司在PC（Windows2000）上的解决方案，在一些涉及应用安全性和伸缩性敏感的部件上，可以选择更有效的产品作为 Microsoft 产品的替代。6 、技术重点与难点、技术重点与难点6.1 子网划分与地址

49、规划子网划分与地址规划在一个平面网络中存在大量广播信息，将一个大的网络划分为小的子网，是为了缩小广播域，防止广播风暴，将广播信息限制在必须广播的范围内，而过滤掉不 - 26 -必要的广播信息。子网划分的工作一般由路由器来完成。子网之间的通信也需要路由寻址。6.2 虚拟局域网的划分虚拟局域网的划分局域网设备工作在 OSI 七层模型的第二层，传统的局域网设备连接的网络是单个广播域。局域网交换机虽然能根据 MAC 地址进行数据包的交换，但它会将任何广播信息广播到全部网络。新的局域网交换机可以将网络划分为多个广播域，即 VLAN。但它不能在两个VLAN 之间传送信息。VLAN 之间的通信仍然需要路由寻

50、址，也就是仍然需要路由器。有时也将路由寻址的功能做到交换机内，即所谓三层交换。6.3 增强增强 IP 组播组播(IP Multicast)能力能力组播也称多点播放，是一种有选择的将信息播送到需要它的其它节点的点对多点的通信方式。与另一种点到多点的广播方式相比，采用组播技术可以节约宝贵的网络资源，大大降低广播风暴。各级网络设备必须具备对 IP 组播的支持，我们为各级推荐的交换机设备均具备这一能力。7 、安全性、安全性安全是在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从 5 个方面来讨论保障网络安全的若干措施。 - 27 -7.1 网网络络设设计计在内部网络设计中主要考虑的是网络的可靠

51、性和性能，而如何确保网络安全也是一个不容忽视的问题。采用网段分离技术，把网络上相互间没有直接关系的系统分布在不同的网段，由于各网段间不能直接互访，从而减少各系统被正面攻击的机会。以前，网段分离是物理概念，组网单位要为各网段单独购置集线器等网络设备。现在有了虚拟网技术，网段分离成为逻辑概念，网络管理员可以在网络控制台上对网段做任意划分。另外，在安全方面有一个最基本的原则：系统的安全性与它被暴露的程度成反比。因此，建议将对外信息发布的服务器与内部应用服务器隔离，由于将数据库和内部应用系统封闭在系统内部，增加了系统的安全性。7.2 应应用用软软件件在网上运行的网络软件需要通过网络收发数据，要确保安全

52、就必须采用一些安全保障方式。7.2.1 用户口令加密存储和传输：目前，绝大多数应用仍采用口令来确保安全，口令需要通过网络传输，并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输，一旦被读取或窃听，入侵者将能以合法的身份进行非法操作，绝大多数的安全防范措施将会失效。 - 28 -7.2.2 分设操作员分设操作员的方式在许多单机系统中早已使用。在网络系统中，应增加管理员、一般使用员等多种操作员类型，以便对用户的网络行为进行限制。7.2.3 日志记录和分析完整的日志不仅要包括用户的各项操作，而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果，为日后网络安全分析提供依据。对

53、日志的分析还可用于预防入侵，提高网络安全。例如，如果分析结果表明某用户某日失败注册次数高达 20 次，就可能是入侵者正在尝试该用户的口令。7.3 网网络络配配置置网段分离等安全措施要想起作用，还需要由网络配置来具体实施和保证，如用于实现网段分离的虚网配置。为进一步保证系统安全，还要在网络配置中对防火墙和路由等方面做特殊考虑。7.3.1 路由为了避免入侵者侵入内部资源，应仔细进行路由配置。路由技术虽然能阻止对内部网段的访问，但不能约束外界公开网段的访问。为了确保信息发布服务器的安全运转，避免让入侵者借助公开网段对内部网构成威胁，我们有必要使用防火墙技术对此进行限定。 - 29 -7.3.2 防火

54、墙CISCO 公司的路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常 IP 包，把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的 IP 地址和网络访问所使用的 TCP 或 UDP 端口号。几乎所有的应用都有其固定的 TCP 或 UDP 端口号，通过对端口号的限制，可以限定网络中运行的应用。同时我们通过增加路由器中地 IOS 扩展模块 Cisco IOS 防火墙，来加强安全防护能力。Cisco IOS 防火墙是可用于广泛 Cisco 路由器和交换机的 Cisco IOS 软件的一个扩展模块。它提供先进的防火墙功能以及入侵检测和认证等安全技术。它通过最新的安全特

55、性例如静态、基于应用的过滤(基于上下文的访问控制)，网络攻击防御，事先用户鉴别和授权，及实时报警增强了现有的 Cisco IOS 安全功能，例如鉴别、加密和故障恢复。7.4 系系统统配配置置这里的系统配置是主机的安全配置和数据库的安全配置。据调查表明，85的计算机犯罪是内部作案，因此这两方面的安全配置也相当重要。在主机的安全配置方面，应主要考虑普通用户的安全管理、系统管理员的安全管理及通信与网络的安全管理。7.4.1 网络服务程序任何非法的入侵最终都需要通过被入侵主机上的服务程序来实现，如果关闭被入侵主机上的这些程序，入侵必然无效。因此，这也是保证主机安全的一个相当彻 - 30 -底的措施。当

56、然，我们不能关闭所有的服务程序，可以只关闭其中没有必要运行的部分。7.4.2 数据库安全配置在数据库安全配置方面，应主要注意以下几点：选择口令加密传输的数据库。避免直接使用超级用户，超级用户的行为不受数据库管理系统的任何约束，一旦它的口令泄露，数据库就毫无安全可言。一般情况下，不要直接对外界暴露数据库，数据收发最好以存储过程的方式提供，并以最低的权限运行。7.5 通通信信软软件件应用程序要发送数据时，先发往本地通信服务器，再由它发往目的通信服务器，最后由目的应用主动向目的通信服务器查询、接收。通信服务器上的通信软件除了能在业务中不重、不错、不漏地转发业务数据外，还应在安全方面具有以下特点：在本

57、地应用与本地通信服务器间提供口令保护。应用向本地通信服务器发送数据或查询、接收数据时要提供口令，由通信服务器判别 IP 地址及其对应口令的有效性。在通信服务器之间传输密文时，可以采用 SSL 加密方式。如果在此基础上更再增加签名技术，则更能提高通信的安全性。在通信服务器之间也提供了口令保护。接收方在接收数据时，要验证发送方的 IP 地址和口令，当出现 IP 地址无效或口令错时，拒绝进行数据接收。 - 31 -提供完整的日志记录和分析。日志对通信服务器的所有行为进行记录，日志分析将对其中各种行为和错误的频度进行统计。综上所述，网络安全问题是一个系统性、综合性的问题。我们在进行网络建设时不能将它孤

58、立考虑，只有层层设防，这个问题才能得到有效的解决。我们还应看到，像其他技术一样，入侵者的手段也在不断提高。在安全防范方面没有一个一劳永逸的措施，只有通过不断地改进和完善安全手段，才能保证不出现漏洞，保证网络的正常运转。8 、维护、维护桂林市财政局计算机网络建设完成后，将交付桂林市财政局一份办公网络管理手册。根据要求可随时通过网络远程对办公网进行维护。项目完成后的一年内免费维护，并派专业人员定期进行系统维护和咨询。所有的软件硬件都将备有完整的使用手册。8.1 系系统维护统维护桂林市财政局应该具有一支自己的系统管理和维护队伍，在系统建设的初期，技术人员不足时，可以接受外部技术力量的协助进行系统维护

59、，同时在建设过程中培养出一批能够胜任工作的技术人员。系统维护的主要任务：日常事务的处理 - 32 -数据备份日志管理服务器优化和信息管理用户数据的维护应付突发性事件针对以上需求，我们的的售后服务将包括：8.2 支持与服支持与服务务8.2.1 支持和服务范围 怡海公司对桂林市财政局计算机网络系统集成工程提供支持和服务包括以下内容: (1)系统设备采购和到货 (2)设备安装、调测和开通 (3)系统验收(4)保修 (5)技术支持和服务 (6)培训 (7)工程进度安排(8)工程文档 - 33 -8.2.2 支持和服务内容8.2.2.1 怡海公司基于系统集成和服务的技术优势为桂林市财政局办公网的安怡海公

60、司基于系统集成和服务的技术优势为桂林市财政局办公网的安全可靠运行做工作全可靠运行做工作,以下的内容在是基于怡海公司以系统集成商为背景叙述以下的内容在是基于怡海公司以系统集成商为背景叙述的的,具体操作可根据桂林市财政局的实际情况共同协商。具体操作可根据桂林市财政局的实际情况共同协商。 系系统设备统设备到到货货 (1)系统设备包括路由器、局域网交换设备、系统软件以及附件和相关配套设备。 （2)在设备运抵目的地之后由怡海公司和财政局的工程技术人员及相关负责人员共同组成的验收小组进行设备的开箱验收。验收的详细条款由双方共同商定。以保证所购设备为协议中的指定设备,并且在运输途中没有损坏。 （3）在交货时

61、, 怡海公司和财政局技术人员共同对设备作全面检验,测试和结果须予以说明并将其附在检验证明书上。 (4)怡海公司在合同签定后在合同书中规定的交货期限前将设备运抵桂林。 8.2.2.2 设备设备安装、安装、调测调测和开通和开通 (1)工程中的协调问题由怡海公司作为总协调人。 (2)设备的安装、调测开通和系统集成是怡海公司的责任, 怡海公司负责设备的安装、调测和开通工程,有权力和义务指导财政局的协助人员协助怡海公司的工程师进行安装。 (3) 怡海公司将提供设备安装、调测工程中所需的工具、仪表和材料。 (4)设备安装、调测开通、系统的集成和验收分为以下几部分: A、网络硬件设备及配套软件安装、测试 -

62、 34 -B、系统软件的安装、测试 C、网络系统的移交验收 (5)桂林市财政局须在设备安装前完成设备要求的安装地点、房屋、地线、电源、广域网通信线路申请开通等条件的建设。 (6)怡海公司负责设备的安装和开通,在整个安装和开通过程中,桂林市财政局协助怡海公司进行技术管理,技术指导及其它有关工作,但一切技术责任均由怡海公司承担。设备的安装和开通工作须按进度表进行。 (7)设备的安装和开通一结束, 怡海公司将用书面方式向桂林市财政局递交设备安装和调测结果的技术报告,并通知桂林市财政局,移交验收准备己就绪。在桂林市财政局收到报告后三天内,开始验收工作。 并填写桂林市政府采购中心要求的验收签证单 。(8

63、)移交验收的具体方式、内容、程序和要求、须在预定的移交验收开始前一周提交桂林市财政局。在征得桂林市财政局同意后进行,双方共同参加的移交验收测试即开始。移交验收测试周期超过按日历计算连续 5 天,若测试结果符合验收标准,则此验收被视为测试合格。由双方共同形成局面的测试报告:若测试结果不符合验收标准,则在第一次测试后的一周内进行进行第二次测试,直到设备达到所规定的工作性能指标为止。验收设备合格后, 怡海公司将设备交给桂林市财政局。 8.2.2.3 系系统验统验收收 （1)系统的移交验收结束后, 桂林市财政局在怡海公司的协助下进行系统的试运行,试运行为期一个月,在试运行期内发生问题,则试运行期顺延,

64、 验收测试的结果符合运行标准（由双方共同制定）所规定的性能指标, 则桂林市财政局应在收到怡海公司提供的书面测试报告三天内通知怡海公司验收结束日期,此 - 35 -文件以下简称验收证书。验收标准由甲乙双方共同商定。 (2)验收证书意指桂林市财政局己完成系统和所有设备的验收测试,证明设备质量合格,系统运行正常,并把结束验收测试的日期视为签署验收证书的日期。 （3）怡海公司提供工程实施过程中的相关文挡。 8.2.2.4 保修条款保修条款 （1）怡海公司将对所提供的设备进行免费保修和有偿维修两部分。 （2)有偿维修指免费保修期过后根据桂林市财政局的要求而制定的条款,以及因为误操作等非正常因素造成的设备

65、故障的维修。 (3)系统中的硬件产品按厂商规定质保。 (4)质保期从设备开箱验收合格后算起。 (5)对质保期后的设备的维修, 怡海公司将根据原厂商的有关条款,为桂林市财政局提供服务。 8.2.2.5 技技术术支持和服支持和服务务 (1) 怡海公司将提供整个系统生命周期的技术支持和服务。怡海公司将提供两种优质服务: 远程服务一一适用于非重大故障 A、工程热线电话,解答一般疑难问题: B、电子邮件方式。怡海公司技术人员均有邮件信箱和专用电脑,主要员工配有便携式电脑,同时也开设用户专用信箱,可以保证及时解答用户疑问,可 24 小时响应。 现场服务一一适用于重大故障 远程服务并不能解决所有的问题, 怡

66、海公司的工程师将以最快的时间,赶到现 - 36 -场进行服务,当遇到资源限制或特殊情况, 怡海公司将组织公司专家或原厂商及时处理。 (2)在系统的建设阶段将设有专人做现场支持。 (3)在系统的维护阶段,将提供 24 小时的服务。 (4) 怡海公司保证本系统的设备能完成桂林市财政局要求的功能,其技术性能达到规定的标准,且能与原有设备配合工作。 (5)保修期内所更换的有损零件须按要求退给怡海公司,费用由怡海公司承担。怡海公司的保证责任不包括由于桂林市财政局使用不当、不慎、事故、滥用造成的损坏。没有事先征得怡海公司同意,由桂林市财政局人员对设备进行的修改及由第三方设备的原因造成的怡海公司所提供设备的损坏,怡海公司将不承担责任。由此引起的硬件设备更换费用由桂林市财政局承担。 （6) 怡海公司对系统达到设计要求负有完全责任。 (7)在保修期外,桂林市财政局可以购买原产商的金牌服务或按次服务付费两种方式保修。 (8)在工程移交后,如果桂林市财政局购买备件,其价格水平将不高于本工程设备价格。 (9)双方应联合成立工程领导小组。在工程实施过程,定期地在桂林市财政局所在地召开双方参加的技术协调会,检查工