常德卷烟厂技术中心网络工程

常德卷烟厂技术中心网络工程

项目建议书

目录

第一章网络系统总体设计 (3)

1.1网络系统建设的背景 (3)

1.2网络系统设计原则 (3)

1.3网络系统总体设计说明 (4)

1.4网络系统方案特点 (5)

第二章主机系统 (8)

2.1主机系统选型原则 (8)

2.2主机系统选型及依据 (8)

2.3主机方案特点 (10)

第三章网络管理与网络安全 (11)

3.1网络管理 (11)

3.2网络安全 (13)

3.2.1网络安全的威胁 (13)

3.2.2网络安全元素 (14)

3.2.3网络安全的实现 (15)

附件 (21)

附件一：局域网络技术 (21)

附件二：网络设备 (32)

附件三：IBM RS/6000系列小型机服务器介绍 (40)

附件四：设备清单 (52)

第一章网络系统总体设计

1.1 网络系统建设的背景

随着信息化的发展，Internet的迅速膨胀，烟草行业竞争由为激烈，加上常德卷烟厂技术中心业务量的飞速增长，对内对外信息交流越来越频繁，同时为响应全国烟草行业网的建设要求，所以常德卷烟厂技术中心建设高性能的局域网是非常必要的。

1.2 网络系统设计原则

本系统本着如下原则来设计：实用、先进、稳定、开放、扩展、安全和经济。

实用性：

本系统的建设将始终遵循“面向应用，注重实效”的指导思想。紧密结合经济运行，为信息服务提供现代化的手段。

先进性：

系统硬件设备和软件平台应最先进，既要反映当今技术的先进水平，又应具有很强的扩展能力。同时还应注意所选用的技术、设备和开发工具是最普及通用和成熟的，能与最新技术接轨，对市场的任何变化具有极强的适应性。

开放性：

考虑到系统中所选用的技术和设备的协同运行能力，保护现有的资源和系统投资的长期效应以及系统功能不断扩展的需要，所采用的软硬件平台必须具有开放性，所采用的规范应与生产厂商无关。

扩展性：

由于网络信息技术的飞速发展，变化日新月异，所以在本方案设计中，所选用的技术和产品具有很强的可增长性和扩展性。

可靠性：

在社会向信息化发展的同时，也存在一种危机，即对信息技术的依赖程度越高，系统失效所造成的影响也越大。因此，本系统的设计必须在投资可接受的条件下，从系统结构、技术措施、设备选型以及厂商的技术服务和维修响应能力等方面综合考虑，确保系统运行的可靠性。

安全性：

在网络信息时代，大流量的数据传输和管理在整个网络系统中占很重要的位置，同时有些数据文件是高度秘密，防止外来黑客的侵入，所以在本系统的设计中有较好的稳定性和安全性。

经济性：

本系统充分考虑性能价格比，“按需集成”的原则，在一定的资金规模下以达到最好的、先进的性能。

1.3 网络系统总体设计说明

常德卷烟厂技术中心整个网络结构采用技术先进、成熟可靠的交换式千兆以太网，两层结构，星型连接。在网络核心层，确保连接可靠性，建议采用两台业界杰出的Cisco 6509模块化千兆以太网交换机互为备份，作为系统主干交换机。Cisco 6509主干交换机留有千

兆端口将来和计算机中心及联合工房连接，双网百兆端口连接内部IBM RS/6000核心服务器。在网络分配层，选择带有千兆端口的Cisco Catalyst 3548交换机。为确保网络分配层至网络核心层连接可靠性，Cisco 3548交换机两个千兆端口分别连接至两台互为备份的主干交换机Cisco 6509，假如一条链路断了，另一条链路仍可继续工作，网络繁忙时，两条链路可自动达到负载均衡，更平稳的传输数据，以免网络拥塞。Cisco 3548交换机百兆下连至各楼层或各部门桌面计算机。详见下图：

1.4网络系统方案特点

1、局域网设计先进，实现分层不同容量交换

整个网络建设符合ISO/IEC11801标准和中国工程建设规范。技

术中心局域网核心层Catalyst6509千兆位以太网交换机支持通道流量（Fast EtherChannel），最大支持384个10/100Mbps端口或130个1000Mbps端口，高达256Gbps的背板带宽，6509交换机支持IP 路由，这样局域网中各桌面计算机划分虚网后，可以直接通过Catalyst 6509完成各虚网之间的通讯。Cisco 6509配置两个SuperVisor Engineer 网络模块引擎，互为备份，两个8个端口的千兆以太网模块，再配置一个48个10/100M自适应以太网端口模块，这样完全满足技术中心当前需要，又有富余。局域网分配层Cisco 3548快速以太网交换机，具有48个10/100Mbps端口，带2个模块插槽，支持千兆位端口，背板带宽高达10 Gbps。

2、全网安全可靠

网络的主干及服务器采用冗余结构，做到无单点故障对网络的影响。Cisco 6509千兆位以太网交换机设置冗余电源系统及双引擎，提高可靠性，机箱式设备支持模块热插拔。Cisco 6509支持包过滤级的访问控制，可以限制特定IP地址及应用通过。Cisco IOS软件可升级为Plus版本，支持56位DES数据加密传输，增强网络安全。采用先进的虚拟网VLAN技术，以减少各种业务、各种应用数据流之间的通信量，做到各种业务数据流量的隔离，进一步增强网络的安全性、可管理性和带宽有效利用，优化整个网络。整个网络和Internet 无实质性的物理连接，对于要上Internet的计算机暂时考虑按单机拨号上网的方式，上网前要和内部局域网断开，还有对于要上网的计算机由专人来管理，确保安全性。

3、网络管理一体化

整个网络系统在设计时均采用国际标准协议TCP/IP，所有网络设备的管理基于SNMP，支持RMON和RMON2，并由硬件实现，技术中心设立网络管理中心，运用CiscoWorks网管统一管理，达到全网监控、控制、统计、维护等功能。

4、网络扩展性强、保护投资

技术中心核心层网络设备为高性能模块化设计，Catalyst 6509千兆位以太网交换机的九个插槽仅用五个，网络结构采用层次化设计，高层网络设备在不能满足工作要求时，可降级使用。

第二章主机系统

2.1主机系统选型原则

●代表目前商业计算机系统的先进水平。

●具备较强的安全性。

●具备优良的RAS性能--可靠性、可用性、可维护性。

●具备优良的可扩充性和升级能力。

●具备优良的性能价格比。

2.2 主机系统选型及依据

1、主机系统选型及选择依据

(1) 机型及处理能力选择及依据

对主机而言，业务服务、数据库服务对应的性能指标为SPECWeb96和TPC-C。根据IBM公司的推荐，IBM RS6000在处理银行数据库业务时，TPC-C与业务数的关系为1：20，即TPC-C为1000的计算机每天可以处理20000笔银行业务。从业务处理的复杂程度来讲，烟草行业业务相对简单。因此，在我公司建议采用1：30的比例计算。以技术中心为例：假如每天处理40万次业务，因此需要TPC-C为13000-14000的计算机。考虑业务15%的年增长，因此我公司推荐如下计算机系统

主机系统采用两台IBM RS/6000 H70加IBM 7133 SSA磁盘阵列，采用RAID5技术，运行IBM HACMP双机热备软件。

(2) IBM RS/6000 H70 特点

H70是IBM新推出的高档64位SMP机型，支持1-4 CPU，用于企业级的关键业务。H70建立在IBM第二代RISC芯片的基础上，具有先进的SMP结构。IBM独特的Data Cross-Bar Switch技术，避免了传统SMP中内存总线竞争和数据一致性问题，提供I/O、Memory及CPU之间无阻塞的交换通道。

RS/6000的所有SMP系统上都标准配备有一个名为Service Guard的Service Processor，这个独立的 Processor可执行许多功能，增加系统的RAS性能。例如，它可以在系统未开机的情况下执行系统的检测动作，也可以在系统任何一个元件发生问题时自动将系统重新启动，并将有问题的元件隔离待修，不需人工的处理。

H70具有优良的扩展能力，支持4CPU、8GB内存，根据处理能力分析，单CPU时已经具备了处理烟草业务的能力，只须少加扩展，便可支持其他多种业务。

2、磁盘阵列——IBM 7133 SSA系统

7133 SSA磁盘阵列是IBM在存储产品领域中的领先产品，打破了SCSI传统的总线结构，独特的环行结构支持48个磁盘，80Mb/s 的传输速率。IBM SSA适配器支持2个环路，既支持160Mb/s的数据通讯速率。SSA的环路结构支持冗余功能，是SCSI结构所不具备的。当SSA的环路断开时，并不影响数据的读写，仅仅是速率变为40Mb/s，

而SCSI系统总线断开时，整个总线上的硬盘系统便会崩溃。

3、双机热备份软件——IBM HACMP

HACMP是IBM公司极负盛名的集群多处理软件，可以支持16个节点。不仅支持虚拟IP地址、虚拟主机名，可选支持并行数据库，而且支持MAC地址的切换。这意味着当主机发生意外时，备份机不仅接管主机的IP地址、主机名，而且接管主机网卡的MAC地址，从而真正作到无缝接管，即Client端不必重新启动计算机或刷新ARP表，便可直接与主机（实际为备份机）通讯。这才是真正意义上的热备份。

4、系统备份设计

配备IBM 3590磁带库，存储量为100GB/300GB（压缩）。带库提供9M/S（非压缩）的数据传输率，可对大量数据进行备份和数据恢复。尤其对于查询5年以前的历史数据，具有很高的优越性。

2.3主机方案特点

●技术中心系统采用HACMP双机热备份方式，可以提高系统可靠性。

●系统根据业务量需求，采用合适机型，充分考虑性能价格比。

●提供合理有效的备份方式，保障数据安全。

第三章网络管理与网络安全

3.1 网络管理

网络互联使得管理变得更加困难，同时也更加重要。对于烟草行业，整个网络系统的管理，形成集中与分散的网络管理结构体系是非常重要的。目前，网络管理大多基于SNMP（简单网管协议）。以下简单介绍SNMP管理的基础，

1 . ISO管理框架

国际标准化组织ISO把网络管理任务分成以下五个部分：

配置管理

大多数智能设备需要某种形式的配置信息，配置管理功能允许某种形式的的友好界面在NMS（网管工作站）中输入配置信息，并把这个信息传递到被管理的设备上。增强的功能还包括对大多数的远程设备的配置信息进行检查的能力。这保证了对软件版本的严格控制。性能管理

NMS是在网络上收集性能数据的好地方。在理论上，这个数据可以放在相同的模型软件包中，该软件包首先用于设计网络。这将允许为指定的系统改进和定制模型。

故障管理

这是网络管理最成功的一个方面，目标是在用户抱怨网络问题之前让网络管理员找出它们。

安全管理

当网间网的规模变得很大，并开始彼此互联时，安全就成了一个主要的问题。安全屏蔽和自陷（触发警报）可以配置在网络上。如果这些设备受到入侵，被管理的设备或NMS的安全管理功能负责触发警报。安全管理的一个更为广阔的形式是保证安全策略在整个网络上是一致的。实际上，如果我们把网间网看作一个扩展的计算机系统，安全系统就代替了操作系统的安全功能。

记帐管理

网间网耗费资金。它们存在的理由是它们可以使公司的效率更高。最终的费用决定于网间网服务的使用。对于TCP/IP管理，记帐管理是所有管理中功能最不完善的。

经过了几年的时间，这五个管理概念以不同程度作为管理系统的核心功能而相继被采用。在TCP/IP领域中，唯一具有商业重要性的管理结构是SNMP。

2 . 网络管理方案

本网络设置网络管理系统，实现对整个网络实现统一的管理。在中心机房的网络管理员可以通过远程登录和图形化界面的网络管理系统管理整个局域网，包括局域网的VLAN设置等。

本方案设计中，网管工作站采用一台HP工作站作为网络管理系统，网络管理软件采用CiscoWorks 2000。

本网络的安全需求要在常德卷烟厂信息系统安全的统一规划下来指定具体的规则来实施。

3.2网络安全

网络互联融入到社会的各个方面，网络的安全，包括网上信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业、个人的利益休戚相关的大事。

烟草行业网要防止因信息泄密、数据丢失等，给国家和行业造成无法估量的损失。

在行业网安全和信息保密管理上必须做到：

（1）严格遵照执行国家有关部委的要求和规定，各级信息中心或计算机主管部门要协助同级保密委（办）的工作，设专人负责

网络安全和信息保密工作。

（2）严格执行国家局有关部门下发的《烟草行业计算机通信信息网络安全保护规定》（国烟办[1998]305号文）和《烟草行业

计算机信息系统保密管理暂行规定》（国烟保[1999]373号

文）。

（3）上网信息要建立逐级审核机制，建立保密安全责任制。

3.2.1 网络安全的威胁

网络面临的安全威胁大体可分为两种：一是对网络数据的威胁；二是对网络设备的威胁。总结起来，大致有下面几种主要威胁：

●非人为、自然力造成的数据丢失、设备失效、线路阻断

●人为但属于操作人员无意的失误造成的数据丢失

●来自外部和内部人员的恶意攻击和入侵

前面两种的预防与传统电信网络基本相同。最后一种是当前互联网络所面临的最大威胁，是电子商务、政府上网工程等顺利发展的最大障碍，也是企业网络安全策略最需要解决的问题。

3.2.2网络安全元素

物理安全的目的是保护路由器、交换机、工作站、各种网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；验证用户的身份和使用权限，防止用户越权操作；确保网络设备有一个良好的电磁兼容工作环境；建立完备的机房安全管理制度；妥善保管备份磁带和文档资料；防止非法人员进入机房进行偷窃和破坏活动。

抑制和防止电磁泄漏是物理安全的一个主要问题。目前主要防护措施有两类：一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护，这类防护措施又可分为以下两种：一是采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；二是干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

3.2.3网络安全的实现

1 .网络隔离

根据功能、保密水平、安全水平等要求的差异将网络进行分段隔离，对整个网络的安全性有很多好处。可以实现更为细化的安全控制体系，将攻击和入侵造成的威胁分别限制在较小的子网内，提高网络整体的安全水平。路由器、虚拟网（VLAN）、防火墙是当前主要的网络分段手段。前面两种的配置较为直观，下面主要分析防火墙技术。虚拟网络(VLAN)技术

VLAN是建立在各种交换技术基础之上的。所谓交换实质上只是物理网络上的一个控制点，它由软件进行管理，所以允许用户利用软件功能灵活地配置资源，管理网络。利用交换设备中的虚网功能，不必改变网络的物理基础，即可重新配置网络。采用虚网功能，网络性能可以获得较大的改善：

1.虚网技术能对工作组业务进行过滤，有效地分割通信量，因而能更好地利用带宽，提高网络总的吞吐量。

2.采用虚网技术可以将不同楼层或不同房间的设备组成一个网段而不用更改布线，因为虚网技术是从逻辑角度而非物理角度来划分子网的，所以采用虚网技术能减轻系统的扩容压力，将迁移费用降至至最小。

3.采用虚网技术能有效隔离网络设备，增加网络的安全性和保密性。虚拟网络的安全策略采用的主要主要协议为I议为IEEE802.10，此协议结合有鉴别和加密技术以确保整个网络内部数据据的保密性

和完整性。

4.虚网技术能对属于同一工作组的用户提供广播服务，但与传统的局域网协议所不同的是，虚拟局域网能限制广播的区域域，从而节省网络带宽。

5.虚拟局域网可以建立在不同的物理网络上，用封装的办法支法支持不不同的网络协议络协议，如SNMP、NMP、IPX、TCP//IP、IEEE802.33等，兼容性非常好性非常好。

6.虚拟网络中的主要应用技用技术为“虚网中继”，VLAN Trunking 特有技术特有技术的采用也成成为了必然。必然。简而言之，VLAN Trunking主主要是通过一条高速全双工通道(200Mbps)来)来实现将将一个LAN Switch端口所划分的不同VLAN与其它LAN Switch中各自相应的VLAN成员进行线路复用连接的技术。VLAN Trunking技术的采用，既节省了信道数据量，又提高了可靠性，并便于管理及方便连接，提高了整个网络吞吐量和性能指标。

其原理如下图所示：

如果采用VLAN trunking 的技术，则V1、V2、V3均可通过一条全双工的100Mbps，即200Mbps的速率与上级LAN Switch进行互通并经过位于树根部的路由器进行路由与其它的VLAN进行通讯。VLAN trunking技术的优点在于采用一条高速通道连接，提高了通道的使用效率，如在，如在V2，V3无数据量的情况下，V1可以独占此100M 带宽；并且可以使得线路的连接变得简单，从而大大提高可靠性与易维护性。

2 .防火墙

防火墙在网络中的地位与它的名字非常相似，它根据网络安全水平和可信任关系将网络划分成一些相对独立的子网，两侧间的通信受到防火墙的检查控制。它可以根据既定的安全策略允许特定的用户和数据包穿过，同时将安全策略不允许的用户和数据包隔断，达到保护高安全等级的子网、阻止墙外黑客的攻击、限制入侵的蔓延等目的。

根据防火墙的位置，可以分为外部防火墙和内部防火墙。外部防火墙将企业网与外部网隔离开来，而内部防火墙的任务经常是在各个部门子网之间进行通信检查控制。网络安全体系不应该提供外部系统跨越安全系统直接到达受保护的内部网络系统的途径。安全体系在任何情况下都不应该被旁路。防火墙并不是万能的，它在很多方面存在弱点。它无法防止来自防火墙内侧的攻击。对各种已识别类型的攻击的防御有赖于正确的配置，对各种最新的攻击类型的防御取决于防火墙知识库更新的速度和相应的配置更新的速度。一般来说，防火墙擅长于保护设备服务，而不擅长保护数据。并且，防火墙可能会导致内部网络安全管理的松懈。

3 .防火墙的基本类型

实现防火墙的技术包括两大类型：包过滤（PF）、应用级防火墙。它们之间各有所长，具体使用哪一种或是否混合使用，要看具体需要。（1）. 包过滤型防火墙

检查的范围涉及网络层、传输层和会话层，过滤匹配的原则可以包括源地址、目的地址、传输协议、目的端口等。还可以根据TCP序列号、TCP连接的握手序列（如SYN、ACK）的逻辑分析等进行判断，较为有效地抵御类似IP Spoofing、Sync flooding等类型的攻击。路由器通过配置其中的访问控制列表（Access-list）可以作为包过滤防火墙使用，但是过多的控制列表会严重降低路由器的性能。所以在业务量较大的场合需要将路由和包过滤两种功能分开，也就是说有必要单独购买专门的防火墙。

访问控制表（ACL）定义了各种规则来表明是否同意或拒绝包的通过，包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果规则都不符合，则缺省操作为丢弃该包。包过滤型防火墙配置简洁、速度快、费用较低，并且对用户透明，但是对应用层的信息无法控制，对内网的保护有限。

Cisco公司的PIX就属于该类型的防火墙产品。另外，各种路由器和UNIX主机都可以经过配置作为简单的防火墙使用，来满足一般的需要。

（2）. 应用级防火墙

应用级防火墙能够检查进出的数据包，透视应用层协议，与既定的安全策略进行比较。该类型防火墙能够进行更加细化复杂的安全访问控制，并做精细的注册和稽核。根据是否允许两侧通信主机直接建立链路，又可以分为网关和代理两种。前者允许两侧建立直接连接，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包。而后者通过特定的代理程序在两侧主机间复制传递数据，不允许建立直接连接。每一种应用需要相应的代理软件，使用时防火墙负载较大，效率不如前者。目前在市场上流行的防火墙大多属于应用级防火墙。

4 .防火墙的安全功能

各种防火墙的安全性能不尽相同。一般来说，防火墙采取以下几种安全措施。

（1）内容检查

（2）用户认证

（3）负载分担

（4）网络地址翻译

（5）开放式结构设计

（6）图形化的实时监视

在本方案网络安全设计中，选择防火墙隔离内部局域网与外部网，采用国产的能士防火墙，具有防止黑客的侵入等等功能。通过防火墙来保护内部数据信息的安全。