XXXX网络工程建设项目
投
标
书
312网络公司
2010年5月30日
目录
一、前言
二、校园网络系统设计
1.设计概述
1.1网络建设目标
1.2网络性能要求
2.网络总体设计
2.1总体描述
2.2骨干网(BackBone)
2.3网络结构
2.4地址分配
2.5交换设备选型
2.6服务器选型
2.7防火墙选型
三.结构化布线
1.结构化综合布线系统概述
2.系统设计
2.1设计要求
2.2工作区子系统
2.3水平子系统
2.4主干子系统
2.5管理子系统
2.6设备间子系统
2.7建筑群子系统
2.8布线测试
四.技术及服务
1.产品保修与服务条例
1.1产品保夏
1.2服务条例
1.3工程文件清单
1.4培训计划
五、网络设备材料清单及报价
一、前言
“功欲善其事,必先利其器”,312集团深刻认识到业务要发展、必须提高企业内部核心竞争力、而建立一个方便快捷安全的通信网络综合信息支撑系统,已迫在眉睫,312公司作为一个致力于企业信息化和系统集成的高科技公司非常荣幸参与312集团综合网络信息系统的建设,希望能尽自己的全力来施展我们的专长来实现312集团网络信息系统的建设。
二、校园网络系统设计
1.设计概述
312公司是一家从事各类机电产品销售的企业,主要代理国外几家著名厂家产品,长期限为国内各大国营企业提供安装、调试、维护和研发等服务,分别在全国7个大城市派驻有办事机构。
随着业务规模的发展,传统的办公模式存在办公效率低下,资源浪费,经费居高不下的问题。公司领导决定在企业内部推行网络自动化办公系统初期投资费用较高,包括网络系统建设,软件开发、维护和运行,但正常运行后,维护和升级费用可以控制在较低水平,保证20年内的投资效益稳步增长。
1.1网络建设目标
①某代理国外机电产品的公司有一幢四层办公楼,分别设立研发一部和研发二部,每部门30人左右,预计未来5年将增加到每部门60人,另外公司还设有人事部、营销部、企划部、财务部、秘书处和总经理办公室等,总体员工人数在300人左右。
②公司在其他大城市派驻有7个办事处,负责产品销售、技术支持和产品调研等,需要给公司获取和反馈最新信息。
③为了适应办公信息化的需要,节约办公经费,公司决定实施网络自动化办公,选择Internet平台,并在原有软硬件基础上开发网络自动化办公系统,实现自动化办公(Office Automation,OA),并在将来有选择EC(B2B)、CRM(客户关系管理)等。
④公司原有一套C/S的财务管理系统,并且在部分部门连接有简单的10Base-T对等网,为了保护已有的投资,公司希望能尽可能地保留可用的设备和软件。
1.2网络性能要求
①.先进性
系统的主机系统、网络平台、数据库系统、应用软件均应使用目前国际上较先进、较成熟的技术,符合国际标准和规范;
②.标准性
所采用技术的标准化,可以保证网络发展的一致性,增强网络的兼容性,以达到网络的互连与开放。为确保将来不同厂家设备、不同应用、不同协议连接,整个网络从设计、技术和设备的选择,必须支持国际标准的网络接口和协议,以提供高度的开放性。
全面支持IEEE工业标准:802.1d,802.1p,802.1q,802.1x,802.3,802.3u,802.3z;支持路由协议:IP 的RIP V1/2,OSPF,BGP-4;信令标准:H.323,RTP/CRTP.
支持:IPsec、L2TP、GRE、MPLS-VPN规范。
支持多址广播协议:IGMP,DVMRP,PIM-DM,PIM-SM;
网络管理协议:SNMP,RMON,RMON2;
③.兼容性
跟踪世界科技发展动态,网络规划与现有光纤传输网及将要改造的分配网有良好的兼容,在采用先进技术的前提下,最大可能地保护已有投资,并能在已有的网络上扩展多种业务。
④.安全性
网络的安全性对网络设计是非常重要的,合理的网络安全控制,可以使应用环境中的信息资源得到有效的保护可以有效的控制网络的访问,灵活的实施网络的安全控制策略。在企业园区网络中,关键应用服务器、核心网络设备,只有系统管理人员才有操作、控制的权力。应用客户端只有访问共享资源的权限,网络应该能够阻止任何的非法操作。在园区网络设备上应该可以进行基于协议、基于Mac地址、基于IP地址的包过滤控制功能。在大规模园区网络的设计上,划分虚拟子网,一方面可以有效的隔离子网内的大量广播,另一方面隔离网络子网间的通讯,控制了资源的访问权限,提高了网络的安全性。在设计园区网的原则上必须强调网络安全控制能力,使网络可以任意连接,又可以从第二层、第三层控制网络的访问。
⑤.可管理性
网络的可管理性要求:网络中的任何设备均可以通过网络管理平台进行控制,网络的设备状态,故障报警等都可以通过网管平台进行监控,通过网络管理平台简化管理工作,提高网络管理的效率。
在进行网络设计时,选择先进的网络管理软件是必不可少的。网络管理软件应用于网络的设备配置,网络拓扑结构表示,网络设备的状态显示,网络设备的故障事件报警,网络流量统计分析以及计费等。网管软件的应用可以提高网络管理的效率,减轻网络管理人员的负担。网络管理的目标是实现零管理,基于策略的管理方式,网络管理是通过制定统一的策略,由管理策略服务器进行全局控制的。基于Web的网管界面,是网管软件的发展趋势,灵活的操作方式简化了管理人员的工作。在设计园区网的设备选择上,要求网络设备支持标准的网络管理协议SNMP,同时支持RMON/RMONII协议,核心设备要求支持RAP (远程分析端口) 协议,实施充分的网络管理功能。在设计园区网的原则上应该要求设备的可管理性,同时先进的网管软件可以支持网络维护、监控、配置等功能。
⑥.可升级和可扩展性
随着技术不断发展,新的标准和功能不断增加,网络设备必须可以通过网络进行升级,以提供更先进、更多的功能。在网络建成后,随着应用和用户的增加,核心骨干网络设备的交换能力和容量必须能作出线性的增长。设备应能提供高端口密度、模块化的设计以及多种类接口、技术的选择,以方便未来更灵活的扩展。
⑦.可靠性
本系统是7x24小时连续运行系统,从硬件和软件两方面来保证系统的高可靠性。系统的主要部件采用冗余结构,如:传输方式的备份,提供备份组网结构;主要的计算机设备(如数据库服务器),采用CLUSTER技术,支持双机或多机高可用结构;配备不间断电源等。
软件可靠性,充分考虑异常情况的处理,具有强的容错能力、错误恢复能力、错误记录及预警能力并给用户以提示;并具有进程监控管理功能,保证各进程的可靠运行数据库系统应。网络结构稳定性。当增加/扩充应用子系统时,不影响网络的整体结构以及整体性能,对关键的网络连接采用主备方式,已保证数据的传输的可靠性。本系统应具有较强的容灾容错能力,具有完善的系统恢复和安全机制。
2.网络总体设计
2.1总体描述
根据招用户要求,我们主干网络可选用千兆以太网技术。千兆位以太网技术以自然的方法来升级现有的以太网络、工作站、管理工具和管理人员的技能。千兆以太网在局域网领域中支持高带宽、多传输介质、多种服务、保证QoS等功能。
312集团的局域网进行VLAN划分,可以减少网络内的广播数据包,提高网络运行效率;可以区分不同的应用和用户,方便集团的管理与维护。建议每个部门划分到一个VLAN,共9个VLAN。
因特网接入和园区网分离;统一标准,统一网络;以太网交换机支持STP/RSTP/MSTP生成树协议来消除环路避免广播风暴;同时以太网交换机也提供了RPS电源备份接口来对电源的备份和保护;此外二层的端口链路聚合功能可以做冗余备份和负载分担而提高网络的可靠性。
VPN的设计,VPN(虚拟专网)是利用公共网络资源为客户组建专用网的一种技术,它通过对网络数据进行封包和加密传输,在公网上传输私有数据,达到私有网络的安全级别。
2.2骨干网(BackBone)
核心层包含一条或多条连接到企业边缘设备的链路,以接入Internet、虚拟专网(VPN)、外联网和WAN。核心层使得能够在网络的不同部分之间高效、快速地传输数据。融路由选择和交换功能于一身的路由器或多层交换机提供冗余(HSRP提供了一个较好的解决方案,它能够确保用户通信迅速并透明地恢复,以此为IP网络提供冗余性、容错和增强的路由选择功能)和负载均衡及高速和聚合链路;扩展性良好且会聚速度快的路由选择协议,核心层采用全互联或部分互联拓扑;通过在核心层部署冗余链路,可确保发生故障时网络设备能找到替代路径来发送数据。
2.3网络结构
汇聚层:
汇聚层为接入层提供基于策略的连接,如地址合并、协议过滤、路由服务,认证管理等。通过网段划分(如VLAN)与网络隔离可以防止某些网段的问题蔓延和影响到核心层.。汇聚层同时也可以提供接入层虚拟网之间的互连,控制和限制接入层对核心层的访问,保证核心层的安全和稳定.。汇聚层设备之间以及汇聚层设备与核心层设备之间多采用光纤互联,以提高系统的传输性能和吞吐量。
接入层:
接入层是最终用户与网络的接口,它应该提供即插即用的特性,同时应该非常易于使用和维护。当然我们也应该考虑端口密度的问题。接入层由无线网卡、AP和L2 Switch组成,按照宽带网络的定义,接入层的主要功能是完成用户流量的接入和隔离。对于无线局域网WLAN用户,用户终端通过无线网卡和无线接入点AP完成用户接入。
网络拓扑图
2.4地址分配
{根据拓扑结构划分VLAN,分配IP地址}
表 1 VLAN与IP地址分配表
表2 VLAN划分用途表
2.5交换设备选型
{根据不同层选择相关网络设备,可以到企业网站查找相关资料,所选设备应完全覆盖各层技术选型,尽量选择大公司大品牌同一产品线,保证互操作性,性能}
①.核心层设备
由于312集团企业网络发展规模较大,未来需提供多媒体办公、办公自动化、图书资料检索、远程互联、视频会议等复杂的网络应用,为便于管理,我们建议选用的交换机作为网络组建交换设备。选用1台Cisco6509交换机作为主干交换机实现1000M做主干100M到桌面的需求。(具体产品介绍见附录)
Cisco6509系列交换机支持堆叠技术,将来扩充端口极为灵活方便,不必改变原有网络的任何配置。通过增加堆叠交换机数量或做Port Trunking(端口干路)两种办法均可扩充网络规模;并且实现了本地化交换,改善了整个网络,使整个网络的性能发生了质的变化。选用千兆光纤模块,与主干上联,实现主干的千兆传输。Cisco6509系列交换机支持网管和堆叠,可以很容易地根据需要,通过堆叠扩充端口数量。另外,Cisco6509系列交换机建立在一个功能强大且绝对无阻塞的32G交换背板上,可以保证堆叠中的所有端口间实现无阻塞的线速交换。
此外,Cisco6509交换机,在安装千兆光纤模块的同时,还可以安装百兆光纤模块,完全可以适应现在或将来的楼内光纤布线,灵活性很强。
②.汇聚层设备
考虑到企业要求每个子公司的网络自成体系,单个子公司的局域网广播数据流不能扩展到全网,单个子公司的网络故障不应该扩展到全网,汇聚层交换机也应该采用具有路由功能的多层交换机,以达到网络隔离和分段的目的。子公司的主交换机负责子公司内部的网络数据交换和312集团企业网的其他路由。
汇聚层设备选择CISCO公司的Catalyst3550系列的交换机,每个子公司的主交换机选择WS-C3550-48-EMI交换机。Catalyst3550交换机智能以太网交换机是一个新型的可堆叠的,多层次级交换机系列,可以提高水平的可用性,可扩展性,服务质量(QoS),安全性和可改进网络运营的管理能力,从而提高网络的运行效率。
Catalyst 3550系列包括一系列快速以太网和千兆位以太网配置,可以用全套千兆位接口转换器(GBIC)设备提供强大的千兆位以太网连接;并将CISCO IOS软件中的一套第2-4层功能——IP路由、QoS、限速、访问控制列表(ACL)和多播服务扩展到边缘,堪称一款适用于企业和城域应用的强大选择。用户第一次可以在整个网络中部署智能化的服务,例如先进的服务质量、速度限制、CISCO安全访问控制列表、多播管理和高性能的IP路由,并与引同时保持了传统LAN交换的简便性。通过高性能的IP路由实现了网络的可扩展性,利用基于硬件的IP路由和增强型多层软件镜像,Catalyst 3550系列交换机可以在所有端口上提供高达17Mpps的线速路由;基于CISCO快速转发(CEF)的路由架构有助于提高可扩展性和性能,该体系结构扶持极高速的搜索功能,并可确保必要的稳定性和可扩展性,以满足未来的需求。凭借内置CISCO集群管理套件,Catalyst 3550 系列交换机可简化网络的部署。WS-C3550-48-EMI交换机,有48个10/100和2个基于GBIC的1000BaseX端口,通过使用多层软件镜像(EMI),可以提供路由和多层交换功能,满足三层交换需求。可以满足服务器群的高密度,高速率的接入需要,也可以满足因特网接入的需求。
③.接入层交换机
接入层交换机放置于楼层的设备间,用于终端用户的接入。应该能够提供高密度的接入,对环境的适应能力强,运行稳定。
楼层接入设备选择CISCO公司的WS-C2950-48-EI智能以太网交换机。
WS-C2950-48-EI交换机属于Catalyst2950系列智能交换机。Catalyst2950系列是固定的配置,可堆叠的独立设备系列,提供了线速快速以太网和千兆位以太网连接。Catalyst2950系列是有款最廉价的CISCO交换机产品系列,为中型网络和城域接入应用边缘提供了智能服务,可以为局域网提供极佳的性能和功能。这些独立的。10/100自适应交换机能够提供增强的服务质量(QoS)和组播管理特性,所有的这些都由易用,基于WEB的CISCO集群管理套件(CMS),和集成CISCOIOS软件来进行管理。带有100BASE上行链路的Catalyst2950交换机,可为中等规模的公司和企业分支机构办公室提供理想的解决方案,以使他们能够拥有更高性能的千兆以太网主干。
WS-C2950-48-E交换机,有48个10/100端口,2个基于千兆接口转换器(GBIC)的1000BaseX端口,能够为用户提供千兆的光纤骨干和高密度度的接入端口;具有高达13.6Gbps的背板带宽,能够提供10.1Mpps的转发速率;增强型的IOS,能够支持250个VLAN,提供安全,QoS,管理等各方面的智能交换服务。
2.6服务器选型
①.文件服务器:
一. 文件服务器是用来提供网络用户访问文件、目录的并发控制和安全保密措施的局域网服务器。通俗些来说,文件服务器就是用来管理共享文件的计算机。在企业中需要共享一些文件,如PPT、软件等,用户需要通过共享方式或FTP的方式进行文件的下载或者上传。文件服务器要承载大容量数据在服务器和用户磁盘之间的传输,所以首先来说,对于网速具有较高要求。由于文件服务器主要应用于局域网环境,目前服务器上一般都具有1个或者2
个千兆以太网接口,并且通过百兆交换机等设备连接客户端,所以在网速方面基本都可以满足大文件传输的要求。
其次是对磁盘的要求比较高,文件服务器要进行大量数据的存储和传输,所以对磁盘子系统的容量和速度都有一定的要求。选择高转速、高接口速度、大容量缓存的磁盘,并且组建磁盘阵列,如RAID 0、RAID 5,可以有效提升磁盘系统传输文件的速度。除此之外,大容量的内存可以减少读写硬盘的次数,为文件传输提供缓冲,提升数据传输速度。文件服务器对于CPU等其他部件的要求不是很高。
综上,文件服务器对于硬件需求的优先级为网络系统、磁盘系统和内存。
文件共享服务的软硬件需求:
二:软硬件需求:
1.硬件需求:企业级专用服务器一台,要求有很好的稳定性,需提供7*24不间断服务。2.软件需求:windows server 2003 一套。
三:配置规划:
1.硬件方面:
6颗146G硬盘做raid5,从硬件上保证系统的可靠性和稳定性,当其中一颗硬盘物理上出现故障,系统将不会受到影响,仍然可以正常提供服务。只需后续更换故障硬盘。
可用空间为730G。共分为C:D:E:F:四个逻辑分区。
C:区为系统区,用于安装服务器系统,空间为20G。
D:区为软件区存放系统所用软件,空间为20G。
E:区为数据区,存放公司内数据,空间为500G。
F:区为资料备份区,对服务器重要数据进行备份。空间大小为:190G。
2.系统方面:
按照部门划分子文件夹,每个部门分为两个文件夹,private 和public。Public文件夹用于存放本部门内供全公司人员访问查看的数据。Private文件夹用于存放仅供本部门内部人员访问使用数据。
四:数据备份
对存放到服务器上的重要数据的备份采用完全备份和差异备份相结合的方式。同时启用基于windows server 2003高级特性的卷影副本功能。实现对逻辑分区数据的备份和恢复
注解:
1raid5:RAID 5主要是通过XOR运算将数据奇偶校验信息分布到磁盘阵列中的每一个硬盘上,最简单的RAID 5由3块硬盘组成,当其中一个硬盘上的数据受到损坏时,可以根据其他2个硬盘上的数据来进行恢复,从而保障了数据的安全。不过需要注意的是如果其中某两块硬盘上的数据遭到破坏后,就不能将数据恢复了。
2完全备份:备份全部选中的文件夹,并不依赖文件的存档属性来确定备份那些文件。(在备份过程中,任何现有的标记都被清除,每个文件都被标记为已备份,换言之,清除存档属性)。
3差异备份:差异备份是针对完全备份:备份上一次的完全备份后发生变化的所有文件。(差异备份过程中,只备份有标记的那些选中的文件和文件夹。它不清除标记,既:备份后不标记为已备份文件,换言之,不清除存档属性)。
4卷影副本:Windows Server 2003网络操作系统,,它提供的卷影副本服务功能可以对共享文件夹定期备份,一旦文件遭受损坏,在客户端就能将共享文件恢复到原来的某一时刻状态。
②.数据库服务器:
在企业的信息化建设中,数据库是最为广泛的一种应用。构建数据库服务器可以将企业内部
数据合理进行存储和组织,使企业信息的检索和查询执行更为高效。目前主流应用的数据库产品有Oracle、IBM DB2、微软SQL Server、MySQL和Sybase等。
数据库服务器对系统各个方面要求都很高,要处理大量的随机I/O请求和数据传送,对内存、磁盘以及CPU的运算能力均有一定的要求。内存方面,数据库服务器需要高容高速的内存来节省处理器访问硬盘的时间,提高服务器的响应速度。同时,一些数据库产品如Oracle 对于硬件的要求比较高,比如安装Windows版本的Oracle 10G要求至少需要1GB物理内存。
在磁盘方面,高速的磁盘子系统也可以提高数据库服务器查询应答的速度,这就要求磁盘具有高速的接口和转速,目前主流应用的存储介质有万转或者15000转的SAS硬盘或SCSI 硬盘等。
数据库服务器对于处理器性能要求也很高。数据库服务器需要根据需求进行查询,然后将结果反馈给用户。如果查询请求非常多,比如大量用户同时查询的时候,如果服务器的处理能力不够强,无法处理大量的查询请求并作出应答,那么服务器可能会出现应答缓慢甚至死机的情况。
综上,数据库服务器对于硬件需求的优先级为内存、磁盘、处理器。
邮件服务器:
邮件服务器是对实时性要求不高的一个系统,对于处理器性能要求不是很高,但是由于要支持一定数量的并发连接,对于网络子系统和内存有一定的要求。邮件服务器软件对于内存需求也较高,如Exchange 2007运行时需要占用2GB左右的内存。同时,邮件服务器需要较大的存储空间用来存储邮件及一些文件,但是对中小企业来说,企业邮箱的数量一般只在几百个以下,所以对于服务器的配置要求并不高,一台入门级的服务器完全可以承载几百个邮件客户端的需求。
邮件服务器对于硬件要求程度依次为内存、磁盘、网络系统、处理器。
③.Web服务器
Web服务器可以说是我们最常见的服务器种类之一了,因为不管企业规模多大,都会建立自己的内部网络,在在企业运营过程中如何利用网络来宣传自己甚至是接受一些合同订单呢?这就需要单位拥有WEB服务器了。有的企业是通过租用虚拟主机的方法来实现WEB 服务的,而大多数公司则自己购买WEB服务器。WEB服务器价格不匪,所以说任何企业都不会随便购买的。因此我们在购买WEB服务器之前需要好好的做好调查,看看自己的企业到底需要什么配置什么级别的WEB服务器。一般来说决定WEB服务器具体配置因素有很多,但是其中之二起到决定因素。
(1)WEB服务器的负载:
采用P4处理器的服务器大概也就同时支持200到300人在线,如果是Web系统效率较高,脚本优化得好,还可以再多100到200人,如果是WEB服务器CPU是双路Xeon,那么千人在线也差不多是极限了。当然如果选择目前流行的双核服务器,支持同时在线人数会更高,下表中列出了不同应用对于服务器关键部件的需求情况:
文件共享服务的硬件需求:
(2)WEB服务器的环境:
所谓WEB服务器的环境就是指他所在的系统和软件环境,众所周知服务器操作系统有windows和linux之分,而页面发布工具也是apache,IIS,TOMCA T群雄逐鹿。不同的环境搭配使用起来的效果是不一样的,WEB服务器的性能也存在着很大的差异。另外WEB网站页面构成语言不同也决定了WEB服务器的应用环境,如果我们使用的是ASP语言,那么最好的办法是结合IIS进行发布;如果我们使用的是PHP语言,那么结合APACHE将能实现最佳效果。不过根据笔者经验在脚本的执行效率上两种搭配存在着很大的差异,相比之下Apache+PHP这种搭配执行效率最高,往往可以让同等配置的WEB服务器支持的在线人数更多,不过Apache+PHP环境配置起来相对麻烦,不适合于中小企业。
另外网页系统编写的复杂程度和优化程度也极大的影响着服务器能够承载的访问人数,大部分的新闻资讯、下载类网站都已经使用了静态页面来减少Web系统对服务器处理能力的依赖,但是仍然有不少例如论坛、商城一类的系统需要大量动态代码的支持,服务器消耗在计算动态代码上的资源要明显高于处理静态页面。这也是为什么很多论坛都提供了动态页面静态化的功能,通过此功能可以提高WEB服务器的运行效率,减少不必要资源的浪费。
总的来说对于中小企业来说我们应该选择windows操作系统用于WEB发布,选择apache+php还是IIS+asp,这就要看我们的网站页面编写语言了。
WEB服务器是企业中最常见到的服务器,而且一般中小企业同时在线人数也不会太多,所以他在众多应用服务器中是对硬件要求比较低的。CPU数量保证在一到两个即可,主频也选择主流频率,内存为1G到2G就可以满足需求,硬盘容量随着网站大小而变化,一般几十G足够了,硬盘性能尽量采用服务器硬盘,例如SCSI或SATA接口的,这样可以提高数据的访问速度,网络带宽最好是千兆网卡,必要时可以配备两块。
选择WEB服务器配件的依据:
通过上面的内容我们已经知道WEB服务器的选择不是一成不变的,他是由企业的实际情况所决定的。一般来说我们应该在选购WEB服务器前对今后会达到的在线人数以及使用的发布工具等软件信息做一个评估,然后在这个评估的基础上在配置性能上留一定的余地为以后升级做准备。
(1)CPU性能:
CPU是决定WEB服务器性能好坏的关键部件,现在双核CPU价格如此便宜,我们可以购买一块或者两块来担当此重任即可。选择Intel还是AMD就要看自己的喜好了,当然CPU 决定主板芯片,所以在选择时一定要结合主板型号和功能去选择CPU。
(2)内存性能:
内存也是衡量服务器性能好坏的主要标准,大容量内存可以保证服务器经受更多同时会话。不管是静态页面的网址还是动态页面的网站,最好都尽量使用大容量内存,一般WEB服务器至少应该选择1G容量的内存,如果条件容许尽量采用高达2G的内存。另外在选择内存时移动要购买那些具有纠错技术(如ECC校验)的产品。因为服务器要稳定的运行,要保证计算过程中尽量少出错,所以购买内存时要特别关注是否具有内存纠错技术。
(3)硬盘性能:
服务器硬盘方面容量已经不是衡量其性能的主要参数,我们关注的是接口和缓存,现在大部
分的入门级机型都使用性能出色价格低廉的SATA硬盘,其实这也无可厚非,只不过如果严格比较SATA跟SCSI的区别,在稳定性方面和使用寿命方面SCSI还是有较大优势。另外如果你要保证WEB服务器上资料的安全,还需要将硬盘配置为RAID来保证数据完好无损,这时RAID卡也是不可缺少需要额外购买的。当然如果你是第一次采购单位WEB服务器的话,在硬盘上最好先采用两块硬盘做RAID1的方式来做数据保护,等以后硬盘数量和性能提高后再使用RAID5来对数据进行冗余保护。
(4)主板性能:
主板是服务器的关键,对于WEB服务器来说主板一定要使用专业的服务器主板。专业服务器主板的用料是非常严格的,电容、电阻偷工减料的行为在服务器主板上是不能出现的,所以选择产品也要找大品牌,多花点钱得到的效果却是巨大的。另外主板芯片组是由CPU型号和品牌所决定的,两者一定要搭配好,否则会白白花费高额经费。
(5)网卡性能:
WEB服务器肯定都是要接入网络来工作,而WEB服务器访问量一般都很大,这时候专业网卡跟普通网卡的区别就非常明显,在选择WEB服务器的网卡时我们要使用千兆网卡而不是普通的百兆网卡,用了这样的网卡服务器才能从根本上顶住几百个人甚至是几千个人同时在线的重担。当然一方面需要网卡是千兆,另一方面也要保证与网卡连接的交换机端口也支持千兆,否则千兆网卡将降低到百兆速度进行工作。
(6)显卡性能:
WEB服务器注重的是性能和并发处理能力,所以显卡性能就显得没那么重要了,第一我们不拿服务器玩游戏,第二我们不拿服务器看大片,因此显卡有即可,不需要有多高档,大多数WEB服务器都是选择主板上集成显卡的方式提供显示功能,这里需要注意一点的就是主板上集成的显卡不能太高档,性能不用太好,因为性能好的显卡会发热、耗电,需要与CPU 建立联系处理数据从而占用了部分宝贵资源,成为服务器的一个负担,所以专业的服务器主板都是内建一张A TI入门级显卡。
(7)声卡性能:
服务器有没有声都无所谓,不过既然是WEB服务器,经常要调试网站,网站页面上难免有视频和音频资源,因此选择一个再普通不过的声卡仅仅满足服务器能够“出声”即可,高性能的声卡也会和显卡一样占用部分宝贵资源。
按服务器的机箱结构来划分,可以把服务器划分为“台式服务器”、“机架式服务器”和“刀片式服务器”三类。
(1)台式服务器
台式服务器也称为“塔式服务器”。有的台式服务器采用大小与普通立式计算机大致相当的机箱,有的采用大容量的机箱,像个硕大的柜子。低档服务器由于功能较弱,整个服务器的内部结构比较简单,所以机箱不大,都采用台式机箱结构。这里所介绍的台式不是平时普通计算机中的台式,立式机箱也属于台式机范围,目前这类服务器在整个服务器市场中占有相当大的份额。
(2)机架式服务器
机架式服务器的外形看来不像计算机,而像交换机,有1U(1U=1.75英寸)、2U、4U等规格。机架式服务器安装在标准的19英寸机柜里面。这种结构的多为功能型服务器。
对于信息服务企业(如ISP/ICP/ISV/IDC)而言,选择服务器时首先要考虑服务器的体积、功耗、发热量等物理参数,因为信息服务企业通常使用大型专用机房统一部署和管理大量的服务器资源,机房通常设有严密的保安措施、良好的冷却系统、多重备份的供电系统,其机房的造价相当昂贵。如何在有限的空间内部署更多的服务器直接关系到企业的服务成本,通
常选用机械尺寸符合19英寸工业标准的机架式服务器。机架式服务器也有多种规格,例如1U(4.45cm高)、2U、4U、6U、8U等。通常1U的机架式服务器最节省空间,但性能和可扩展性较差,适合一些业务相对固定的使用领域。4U以上的产品性能较高,可扩展性好,一般支持4个以上的高性能处理器和大量的标准热插拔部件。管理也十分方便,厂商通常提供人相应的管理和监控工具,适合大访问量的关键应用,但体积较大,空间利用率不高。
(3)刀片式服务器
刀片式服务器是一种HAHD(High Availability High Density,高可用高密度)的低成本服务器平台,是专门为特殊应用行业和高密度计算机环境设计的,其中每一块“刀片”实际上就是一块系统母板,类似于一个个独立的服务器。在这种模式下,每一个母板运行自己的系统,服务于指定的不同用户群,相互之间没有关联。不过可以使用系统软件将这些母板集合成一个服务器集群。在集群模式下,所有的母板可以连接起来提供高速的网络环境,可以共享资源,为相同的用户群服务。当前市场上的刀片式服务器有两大类:一类主要为电信行业设计,接口标准和尺寸规格符合PICMG(PCI Industrial Computer Manufacturer's Group)1.x或2.x,未来还将推出符合PICMG 3.x 的产品,采用相同标准的不同厂商的刀片和机柜在理论上可以互相兼容;另一类为通用计算设计,接口上可能采用了上述标准或厂商标准,但尺寸规格是厂商自定,注重性能价格比,目前属于这一类的产品居多。刀片式服务器目前最适合群集计算和IxP提供互联网服务。
④.E-mail服务器
E-mail服务器是个实时性需要不高的系统,主要是对硬盘空间的需要,同时,要考虑E-mail服务器软件对用户数的支持,按照现在的需求,普普通通的一台入门级服务器的性能在使用Linux平台的Postfix邮件系统时,可支持上百万级用户正常收发邮件。当然,E-mail 服务器配置的硬盘容量要足够大,建议采用主流的大容量的硬盘,如300GB SATA硬盘或146GB SCSI硬盘,同时服务器要预留硬件架位,以满足将来应用。建议使用塔式服务器或可安装8个/6个硬盘的2U机架式服务器。
综合以上所述,服务器应采用:
2.7防火墙选型
{描述所选防火墙的安全特性}
防火墙的选购考虑
其实防火墙的选购与其他网络设备和选购差不多,主要是考虑到品牌和性能。品牌好说,有名的大家都或许早已知道一些,但是对于技术和性能,不同品牌、不同型号差别较大,是整个防火墙选购注意事项中的关键所在。下面所要介绍的选购注意事项主要是从防火墙技术和性能角度考虑的。
1.产品类型
防火墙的产品分类标准较多,本书主要介绍的是硬件防火墙,而且只考虑传统边界防火墙。在边界防火墙中,如果从硬件结构来看的话,基本上有两大类:.路由器集成式和硬件独立式防火墙。前者是在边界路由器基础上辅以软件,添加一些包过滤功能,通常称之为包过滤防火墙,如Cisco IOS防火墙等;而独立式硬件防火墙通常是基于应用级网关、自动代理等较先进过滤技术的,各种过滤技术有不同的优点和适用环境,要注意选择。
另外,防火墙所用的系统也非常关键,它关系到防火墙自身的安全性能。目前包过滤型的路由器防火墙是没有单独的操作系统的,而独立式的硬件防火墙有的采用操作系统,而有的则采用专门开发的嵌入式操作系统。相比之下,专门开发的操作系统比较安全,因为它所包括的服务比较小,安全漏洞比较少。
2.LAN端口类型和数量
防火墙的接口虽然没有路由器那么复杂,但也因具体的应用环境不同,所用的接口类型也不一样。主要表现在内部网络接口类型上,防火墙的LAN端口类型要符合应用环境的网络连接需求。主要的LAN端口类型有以太网、快速以太网、千兆位以太网、ATM等主流网络类型。在企业局域网中,通常只需要能支持以太网、快速以太网,浸透数新型的防火墙还支持千兆位以太网。注意支持接口类型越多,价格越高,因为在防火墙主板中的电路会越复杂。不要一味贪全,网络中当前及将来相当一段时间不可能需要连接的网络类型,则不要选择了。在防火墙LAN端口支持方面,还要考虑其最大的LAN端口数,如果企业只有一个网络需要保护,则可选择具有1个LAN端口的,而需组建多宿主机模式,则需要选择能提供多个LAN端口的防火墙(有的提供了高达4个或4个以上的LAN端口),以实现保护不同内网的目的。当然接口数越多,价格也越高。
3.协议支持
防火墙要对各种数据包进行过滤,就必须对相应数据包通信方式提供支持,除了广泛受支持的TCP/IP协议外,还有可能需要支持AppleTalk、DECnet、IPX及NETBEUI等协议,当然这要根据具体的应用环境而定,通常只需支持TCP/IP协议即可。如果防火墙要支持VPN 通信,则一定要选择支持VPN隧道协议(PPTP和L2TP),以及IPSec安全协议等。
4.访问控制配置
防火墙的访问规则是防火墙的一项重要而又基本的功能。在防火墙中的访问规则列表中,不同的防火墙有不同的配置方式,也就体现了不同防火墙系统的安全策略完善程度。好的防火墙过滤规则应涵盖所有出入防火墙的数据包的处理方法,对于没有明确定义的数据包,也应有一个默认处理方法。同时要求过滤规则应易于理解,易于编辑修改,并具备一致性检测机制,防止各条规则问相互冲突,而不起作用。
防火墙能否在应用层提供代理支持也是非常重要的,如HTTP、FTP、Telnet、SNMP代理等,在传输层是否可以提供代理支持,是否支持FTP文件类型过滤,允许FTP命令防止某些类型文件通过防火墙;在应用级代理方面,是否具有应用层高级代理功能,如HTTP、POP3。在安全策略上,防火墙应具有相当的灵活性。首先防火墙的过滤语言应该是灵活的,编程对用户是友好的,还应具备若干可能的过滤属性,如源和目的IP地址、协议类型、源和目的TCP/UDP端口及入出接口等。只有这样用户才能根据实际需求采取灵活的安全策略保护自己企业网络的安全。另外,防火墙除应包含先进的鉴别措施外,还应采用尽量多的先进技术,如包过滤技术、身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等技术等,这些都是防火墙安全系统所必须考虑的。
在身份认证支持方面,一般情况下防火墙应具有一个以上认证方案,如RADIUS、Kerberos、TACACS/TACACS+、口令方式、数字证书等。防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访问,防火墙管理员必须决定客户以何种方式通过认证。列出防火墙所能支持的认证标准和CA互操作性(厂商可以选择自己的认证方案,但应符合相应的国际标准),以及实现的认证协议是否与其他CA产品兼容互通。
5.自身的安全性
防火墙本身就是一个用于安全防护的设备,当然其自身的安全性也就显得更加重要了。防火墙的安全性能取决于防火墙是否采用了安全的操作系统和是否采用了专用的硬件平台。因为现在第二代防火墙产品通常不再依靠用户的操作系统,而是采用自己单独开发的操作系统。应用系统的安全性能是以防火墙自身操作系统的安全性能为基础的,同时,应用系统自身的安全实现也直接影响到整个系统的安全性。
在硬件配置方面,提高防火墙的可靠性通常是通过提高防火墙部件的强健性、增大设计阀值和增加冗余部件进行的。
6.防御功能。
在提供病毒扫描功能的防火墙中,要验证其扫描的文档类型,如是否会对电子邮件附件中的DOC和ZIP文件、FTP中的下载或上载文件内容进行扫描,以发现其中包含的危险信息。验证防火墙是否具有抵御DoS攻击的能力。在网络攻击中,拒绝服务攻击是使用频率最高的手段。拒绝服务攻击(DoS)就是攻击者过多地占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制,应可有效地防止或抵御黑客的DoS攻击。
当然除了防火墙要具备这种能力外,我们还可对网络系统进行完善,增强网络自身的DoS 攻击防御能力。拒绝服务攻击可以分为两类:一类是由于操作系统或应用软件在设计或编程上存在缺陷而造成的,这种类型只能通过打补丁的办法来解决,如我们常见的各种Windows 系统安全补丁;另一类是由于协议本身存在缺陷而造成的,这种类型的攻击虽然较少,但是造成的危害却非常大。对于第一类问题,防火墙显得有些力不从心,因为系统缺陷与病毒感染不同,没有病毒码作为依据,防火墙常常会作出错误的判断。但防火墙有能力对付第二类
攻击。
随着黑客攻击手段的提高,新的入侵手段也已开始普遍,如基于ActiveX、Java、Cookies、Javascript程序的入侵。防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒,并向浏览器用户报警。同时,能够过滤用户上载的CGI、ASP等程序,当发现危险代码时,向服务器报警。
7.连接性能
因为防火墙位于网络边界,需对进入网络的所有数据包进行过滤,这就要求防火墙能以最快的速度及时对所有数据包进行检测,否则就可能造成比较的延时,甚至死机。这个指标非常重要,体现了防火墙的可用性。如果防火墙对网络造成较大的延时,就是以牺牲性能为代价来换取网络安全,显然这不是当前用户之所想,会给用户造成较大的损失。这一点我们在使用个人防火墙时可能深有感触,有时我们在打开防火墙时上网速度非常慢,而一旦去掉防火墙速度就上来了,原因就是因为防火墙在过滤数据包时效率不高。
就防火墙类型来说,包过滤型速度最快,对原有网络性能影响最小。在防火墙端口带宽足够宽(如现在的千兆位防火墙)的情况下,其影响还不足以让人感觉。而先进的状态包过滤、应用级网关、自适应代理防火墙,虽然其包检测机制比包过滤先进,但所需时间要比包过滤多,因而在效率方面就不如包过滤型。但同时我们又应看到,包过滤防火墙本身就存在许多不足,所以尽管它的数据处理性能最佳,仍不宜在安全性要求较高的网络中采用。虽然采用新型过滤技术的防火墙在包处理性能上有所限制,但还是可以找到一个平衡点的,而且它们的安全性能是包过滤型所无法比拟的,所以我们还是建议尽可能采用支持新型过滤技术的防火墙。
8.管理功能
在管理方面,主要是出于网络管理员对防火墙的日常管理工作方便性角度考虑,防火墙要能为管理员提供足够的信息或操作便利。
通常网络管理员需对防火墙进行如下管理工作:通过防火墙的身份鉴别,编写防火墙的安全规则;配置防火墙的安全参数;查看防火墙的日志,通过日志记录信息修改安全规则、调整网络部署等。在这些日常管理工作中,有的要在本地执行,而有的允许通过远程管理方式进行远程管理。这就要求防火墙支持相应的远程管理方式。在防火墙配置方面它也有几种万式,如本地控制端口Console配置方式、远程Telnet、FTP,甚至HTTP方式,查看所选防火墙所支持的配置方式是否满足你公司的实际需求。
对于大型网络,如果存在多个防火墙,我们还要考虑防火墙是否支持集中管理,通过集成策略集中管理多个防火墙可以大大减轻网络管理负担。另一方面,还要考虑防火墙是否提供基于时间的访问控制;是否支持SNMP监视和配置。
在大中型企业防火墙管理方面,还需考虑以下几方面的性能:是否支持带宽管理;是否支持负载均衡特性;是否支持失效恢复特性(failover)。支持带宽管理的防火墙能够根据当前的流量动态调整某些客户端占用的带宽;负载均衡特性可以看成动态的端口映射,将一个外部地址的某一TCP或UDP端口映射到一组内部地址的某一端口;而失效恢复特性是一种容错技术,如双机热备份、故障恢复、双电源备份等。
9.记录和报表功能
这项功能是对采用应用级网关、自适应代理服务器等新技术的防火墙而言的,对于包过滤路由器防火墙是不具备此功能的。在防火墙的日志记录和报表功能上,主要考虑以下几个方面。
防火墙处理完整日志的方法:防火墙应该规定对于符合条件的报文进行日志记录,同时还需提供日志信息管理和存储方法。
是否提供自动日志扫描:指防火墙是否具有日志的自动分析和扫描功能,对于帮助管理员进行有效的管理非常重要,通过防火墙的自动分析和扫描功能,管理员可以获得更详细的统计结果,以便管理员有针对性地进行相应方面的完善。
是否具有警告通知机制:防火墙应提供警告机制,在检测到网络入侵及设备运转异常情况时,通过警告信息来通知管理员采取必要的措施,警告方式包括E-mail、状态显示、声音报警、呼叫报警等。
是否提供简要报表(按照用户ID或IP地址):这是防火墙日志记录的一种输出方式,具有这种功能的防火墙可按管理员要求提供相应的报表,分类打印。这样可灵活满足各种管理需求。
是否提供实时统计:这也是防火墙日志记录的一种输出方式,通过实时统计状态显不,管理员可及时地分析当前网络安全状态,及时地发现和解决安全隐患,一般是以图表方式显示的。
1O.灵活的可扩展和可升级性
用户的网络不可能永远一成不变,随着业务的发展,公司内部可能组建不同安全级别的子J网。这样防火墙不仅要在公司内部网和外部网之间进行过滤,还要在公司内部子网之间进行过滤(现在的分布式防火墙不仅可以做到这一点,而且还可在内部网各用户之间过滤)。目前的防火墙一般标配3个网络接口,分别连接外部网、内部网和公共网络(如为公共用户提供的各种服务器)。用户在购买防火墙时必须弄清楚是否可以增加网络接口,因为有些防火墙无法扩展。
通常小型企业接入因特网的目的一般是为了方便内部用户浏览Web、收发E-mail以及发布主页。这类用户在选购防火墙时,主要要注意考虑保护内部(敏感)数据的安全,特别要注重安全性,对服务协议的多样性以及速度等可以不作特殊要求。建议这类用户选用一般的代理型防火墙,具有HTTP和邮件等代理功台邑即可。
而对于有电子商务应用的企业和网站等用户来说,这些企业每天都会有大量的商务信息通过防火墙。如果这些用户需要在外部网络发布Web(将Web服务器置于外部的情况),同时需要保护数据库或应用服务器(置于防火墙内),这就要求所采用的防火墙具有传送SQL 数据的功能,而且必须具有较快的传送速率。建议这些用户采用高效的包过滤型防火墙,并将其配置为只允许外部Web服务器和内部传送SQL数据使用。
11.协同工作能力
因为防火墙只是一个基础的网络安全设备,它不代表网络安全防护体系的全部。通常它需要与防病毒系统和入侵检测系统等安全产品协同配合,才能从根本上保证整个系统的安全。所以在选购防火墙时就要考虑它是否能够与其他安全产品协同工作。如何检验它是否具有这个能力,通常是看它是否支持OPSEC(开放安全结构)标准,通过这个接口与入侵检测系统协同工作,通过CVP(内容引导协议)与防病毒系统协同工作。
12.品牌知名度
之所以把它放在最后介绍,那是因为它不能说是一项硬件选购指标,而只能说是一项通用参考指标。而且具有通用性,几乎所有商品选购都要考虑这一点。
防火墙产品属高科技产品,生产这样的设备不仅需要强大的资金作后盾,而且在技术实力上需要有强大的保障。选择了好的品牌在一定程度上也就选择了好的技术和服务,对将来的
使用更加有保障。所以在选购防火墙产品时千万别随便贪图一时便宜,选购一些杂牌产品。目前国外在防火墙产品的开发、生产中比较著名的品牌有:3 COM、Cisco、NetScreen、Check Point等,这些品牌技术实力比较强,而且都能提供高档产品,当然价格也相比下面要介绍的国产品牌高许多(通常在1 5万元以上)甚至高一倍以上。这些品牌对于大中型有资金实力的企业来说比较理想,因为购买了这类品牌产品,相对来说在技术方面更有保障,能满足公司各方面的特殊需求,而且可扩展性比较强,适宜公司的发展需要。
国内开发、生产防火墙的品牌主要有:联想、天网、实达、东软、天融信等。这些品牌相对国外著名品牌来说都处于中低档次。当然价格要便宜许多(通常在1 O万元以下),而且还能提供全中文的使用说明书,方便安装、调试和维护。对于中小型企业来说国产品牌是理想的选择。
以上介绍了在选购防火墙时所要注意的各个方面,事实上很难找到完全符合以上各项要求的防火墙产品,而且如何评估防火墙是一个十分复杂的问题。一般说来,防火墙的安全和性能(速度等)是最重要的指标,用户接口(管理和配置界面)和审计追踪次之,然后才是功能上的扩展性。用户时常会面对安全和性能之间的矛盾,代理型防火墙通常更具安全性,但是性能要差于包过滤型防火墙。
综合以上所述,防火墙应采用:
天融信TopFilter 7000(TF-7304-Virus)
硬件参数
机柜种类1U机架式
其他性能
网络接口4个10/100BASE-TX
并发连接数400000
SMTP性能支持
HTTP性能支持
POP3性能支持
电源100~240 V AC
主要功能网络卫士防病毒过滤网关以透明接入的方式安装在企业网络的入口处,对通过它的网络数据进行分析过滤,在企业局域网内防止各类病毒攻击、阻断蠕虫传播、查杀恶意木马、预防网络钓鱼和拦截垃圾邮件;产品本身还具有自动升级、报警、统计分析等功能,是一套完整的企业防病毒解决
三.结构化布线
1.结构化综合布线系统概述
企业局域网都应进行结构化布线,以此提高企业局域网的规范性和稳定性水平。网络环境指的就是企业局域网结构化布线系统的周边环境。
主要特点
a、综合性:能作为语音、数据、图像和控制信号等传输媒介。
b、模块化:采用独立子系统模块化设计,便于布线的扩充和重新配置。
c、灵活性:任意信息点均能连接不同类型的设备。
d、开放性:支持任意厂家的网络产品。
2.系统设计
2.1设计要求
①一楼和二楼汇聚层提供100Mbit/s带宽基本够用,但为了扩展性的需要,增加一条冗余
线路,使用Trunking技术,将带宽提高到200Mbit/s,同时保证了汇聚层链路的可用性。由于研发一部和研发二部未来节点数目将成倍增长,所以三楼和四楼汇聚层带宽按1Gbit/s 设计,同样使用Trunking技术,既提供了一定的冗余性,又将带宽提高了1倍,硬件开销比较划算。
②公司有4台内网服务器和一台网管荼中,访问Web服务器和财务数据库服务器是网络的
主要流量。网络流量符合80/20规律,绝大部分流量需要在核心层交换,因此将服务器直接接入核心交换机。
为了便于集中管理,管理工作站也放置在核心层,直接连入核心交换机的100Mbit/s端口。2.2工作区子系统
用户设备与信息插座之间的连接线缆及部件。
2.3水平子系统
2.4主干子系统
营销部,企划部位于1楼,用100M光缆与中心交换机连接。财务部,秘书处,总经理办公室位于2楼,用100M光缆与中心交换机连接。开发一部位于3楼,使用1G光缆接入中心交换机。开发二部位于4楼,使用1G光缆接入中心交换机。4台服务器均用1G光缆介于中心交换机。网管中心直接用100M光缆与中心交换机连接。
2.5管理子系统
配线架及其交叉连接(HC—水平交叉连接,IC—中间交叉连接、MC—主交叉连接)的端接硬件和色标规则,线路的交连(Cross-Connect)和直连(Interconnect)控制。
网络中心是局域网的核心,总配线架(MDF)、网络交换机、网络服务器、路由器、防火墙、网关、海量存储设备、网管设备等重要网络实体都放置在这里。网络中心的环境除应满足上述规定的一般要求外,在某些方面宜执行上述规定中的A级标准。具体描述如下:
(1) 安全要求
场地选择、防火、内部装修、供配电系统、空调系统、火灾报警及消防设施、防水、防静电、防雷击、防鼠害、电磁波防护11项,宜执行《计算站场地安全要求》(GB 9361-88)中的A级标准。
(2) 温度和湿度
夏季温度22±2℃,冬季温度20±2℃,相对湿度45%~65%,温度变化率小于5℃/h。(3) 尘埃限制
粒度≥0.5μm,个数≤10000粒/dm3
(4) 腐蚀性气体
二氧化硫(SO2)≤0.15,硫化氢(H2S)≤0.01。
(5) 网络电源
电压的变动范围为-5%~+5%,频率变化范围为-0.2Hz~+0.2Hz,波形失真率≤±5%;网络电