XX电力公司管理信息系统
7.2.2.2.1 网络厂商介绍
美国Cisco系统公司是世界上领先地位的网间网互联技术和产品(包括多协议路由器、ATM交换机、局域网交换机、访问服务器、网间网管理软件)的供应商。Cisco系统公司在向市场提供产品的近十个年头里,一直掌握网际互联系统全球市场的50%以上。迄今为止,Cisco系统公司已为世界上40个国家的25,000多个用户安装了超过300,000台网际网互联设备。上述众多用户构成了广泛的纵向市场范围,包括电信业、金融业、服务业、工业、零售业、政府部门及教育机构等市场部分。Cisco系统公司是S&P500家之一,亦是“幸福”500家之一。根据权威的市场研究公司Dataquest的最新调查结果,Cisco公司在97财年名列世界十大电信公司之一,成为全球最快的电信产品供应商,增长率为87%。
7.2.2.2.2 Catalyst 3500概述
Cisco Systems Catalyst 3500 XL系列是一系列可扩展、可堆叠的10/100和千兆位以太网交换机,提供最佳的性能、可管理性和灵活性以及无与伦比的投资保护。该系列低成本、高性能的交换解决方案通过一个独立的高速堆叠总线保留珍贵的桌面端口,提供下一代可堆叠的交换。Cisco的突破性交换机集群技术将堆叠域扩展到单个配线间之外,能使用户最多互连16个Catalyst 3500 XL、2900 XL和Catalyst 1900交换机,组建一个灵活的单一IP地址管理网络,而不受它们的地理位置限制。
Catalyst 3500 XL系列高性能交换机包括Cisco IOS(软件和Cisco Visual Switch Manager (CVSM)软件以及一个易于使用基于Web的管理界面。 所有 Catalyst 3500 XL系列交换机均包括标准版和企业版。企业版交换机提供先进的软件特性,包括全面的802.1Q和ISL VLAN支持、TACACS+安全和由Uplink Fast实现的容错特性。 7.2.2.2.2.1
?
关键特性
10 Gbps的交换主干,最高转发速率每秒钟740万个数据包,最大转发带宽5 Gbps,跨所有10/100端口提供线速性能。
? 内置的千兆位以太网端口适合插入各种GBIC收发器,包括Cisco GigaStack GBIC、1000BaseSX和1000BaseLX/LH GBIC。
? 低成本的2端口Cisco GigaStack GBIC通过在菊花链连接中提供1 Gbps的连接,或者在专用的交换机到交换机连接中提供2 Gbps的连接,提供广泛的高度可配置的堆叠和性能选项。
? Cisco交换机集群技术允许用户使用基于标准的以太网、快速以太网和千兆位以太网介质组建一个由16个Catalyst 3500 XL、2900 XL和1900交换机组成的单一IP地址管理网络,而不受它们的地理位置的限制。这一低成本、高性能的交换解决方案系列提供下一代可堆叠的交换。
第 21 页 共 43页
XX电力公司管理信息系统
它允许从一个IP地址管理所有Cisco交换端口,并提供互连的交换机和一个独立的保护珍贵的桌面端口的高速堆叠总线。 ?
通过推出Catalyst 3500 XL系列和Cisco交换集群技术,Cisco将堆叠提高到一个新的水平。 由于所有Catalyst 3500 XL、2900 XL和Catalyst 1900交换机上都支持交换机集群,因此用户可以从一个单一IP地址管理380多个端口,并能够通过广泛的以太网、快速以太网和Gigabit Ethernet介质连接所有交换机,而无论它们的物理位置在哪里。
7.2.2.2.2.2
?
卓越的性能
10 Gbps交换光纤和每秒750万个数据包的转发速率给每一个10BaseT/100BaseTX端口提供线速性能4MB共享内存体系结构。通过消除HOL阻塞确保最高可能的吞吐量;最大限度地减少包丢失,减少多路传输和广播流量拥塞机载8MB DRAM和4 MB闪存保证软件升级,最大限度地增加客户的投资回报。
? ?
交换型10/100端口上的全双工操作给终端站和服务器以及交换机之间提供200Mbps的带宽。 CGMP Fast Leave允许快速中止向希望停止一个数据流的终端站多路传输数据,减少了网络上的多余流量。
? ? ?
灵活和可扩展的交换机通过GigaStack GBIC提供的基于硬件的独立堆叠总线支持。 当菊花链连接多达9个Catalyst 3500 XL系列和Gigabit。
集群技术多个堆叠选项启动的Catalyst 2900 系列交换机时,提供1Gbps的转发速率,或者在一个点到点配置中提供2Gbps的转发速率.
第 22 页 共 43页
XX电力公司管理信息系统
7.2.2.2.2.3 Catalyst 3524产品参数详细信息(扩展方案) 基本特征 描述 802.3u, 802.3z 是 以太网,快速以太网,Gigabit以太网 24端口10/100自适应;2端口1000BaseX (GBIC) 是 8MB 2 24 1.75x17.5x11.8 in SNMP, Telnet, RMON, CWSI, 基于(CLI)的带外,嵌入式Cisco Visual Switch Manager,基于Web的界面 10 支持网络协议 是否支持QoS/CoS 适用网络类型 各速率/类型端口数 是否支持VLAN DRAM(MB) 交换级数 端口总数 尺寸(cm) 网管功能 背板带宽(Gbps) 7.2.2.2.2.4
Catalyst 3548产品参数详细信息(扩展方案)
描述 基本特征 重量(Kg) 支持网络协议 4.7kg IEEE 802.3x full duplex ;IEEE 802.1D Spanning-Tree Protocol;IEEE 802.1Q VLAN;IEEE 802.3z 1000BaseX;Cisco Group Management Protocol (CGMP); 是否支持QoS/CoS 是 适用网络类型 以太网,快速以太网,Gigabit以太网 各速率/类型端口48端口10/100(自适应) 数 最大地址数 8k 是否支持VLAN 是 DRAM(MB) 8MB 交换级数 2 尺寸(cm) 44.5x39x4.4 7.3
Internet防火墙和系统安全设计
如果仅作为一个企业的内联网,并不存在这个问题,但要访问因特网资源或被外界用户访问时,内部数据和网络设施就会暴露在Internet上,那么就必须考虑如何提供所需级别的保护,制定相应的安全策略来防止非法用户访问内部网络上的资源和非法向外传递内部消息。
系统的安全体系由防火墙系统、WEB服务器页面监控及报警系统、病毒防护系统等几部分组成。 Internet防火墙系统是这样的系统(或一组系统),它能增强系统内部网络的防火墙,决定了哪些内部服务可以被外界访问;外界的哪些人可以访问内部的哪些可以访问的服务,以及哪些外部服务可以被内部人员访问。要使一个防火墙有效,所有来自和去往Internet的信息都必须经过防火墙,接受防
第 23 页 共 43页
XX电力公司管理信息系统
火墙的检查。
应给予特别注意的是:网络安全不仅仅是路由器、堡垒主机、或任何提供网络安全的设备的组合,它决定于系统整体的安全策略。安全策略建立了全方位的防御体系来保护系统的信息资源。这种安全策略应包括在安全指南中,告诉用户他们应有的责任:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施以及培训等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。
7.3.1 防火墙
为保证网络不受外界的干扰和破坏,必须设立防火墙。我们选择天融信的Topsec NGFW4000-S-VPN
(防火墙)产品。Topsec NGFW4000防火墙是天融信防火墙系列中性能较高的企业级防火墙产品。集成的硬件、软件系列提供很高的安全性能且不影响网络性能。通过Topsec NGFW4000防火墙可以建立使用IPSec标准的虚拟专网(VPN)连接。使用Topsec NGFW4000防火墙加强了内部网、外部网链路和Internet之间的安全访问。
Topsec NGFW4000防火墙产品向企业网络提供简易管理特性和高质量的安全性。一般在5分钟内配置完毕的Topsec防火墙,其可以对外部世界提供的安全防护装置能够彻底隐藏起您的内部网络。与典型的CPU集中式的代理服务器不同,前者对每个数据包都进行大量处理,而Topsec NGFW4000防火墙采用一个非UNIX的、安全实时的嵌入式系统。这种设置令Topsec NGFW4000防火墙具有能够同时连接4000条线路的卓越性能,明显高于基于UNIX的防火墙。 Topsec NGFW4000防火墙主要特性: ?
执行速度快:同时支持4000多条TCP对话,在不影响最终用户性能的情况下支持无数用户。满负荷时,防火墙的运行速率超过45Mbps,支持T3速度。这些速度是基于UNIX的防火墙的几位。 ?
Topsec NGFW4000防火墙改善地址不足的问题:提供一个扩充和重新配置IP网络的特性,从而不必担心缺乏IP地址。网络地址转换(NAT)使之可以利用现有IP地址或存储在Internet分配号码机构(IANA)储备库(RFC1918)中的地址。Topsec NGFW4000防火墙还可以根据需要有选择地转换或不转换一组地址。面向固定连接线路的安全性防护装置限制未经授权的用户访问内部网络资源。基于TACACS+和RADIUS等工业标准的鉴别协议允许从外部网络进行内部网络,同时隐藏起内部网络的体系结构。
第 24 页 共 43页
XX电力公司管理信息系统
7.3.2 WEB服务器页面监控及报警系统
WEB服务器页面监控及报警系统主要防止非法对静态页面文件、CGI脚本文件以及重要的配置文拥
有写权限。目前通用的方法是:对页面文件监控,发现被改动后立即报警、恢复。在实际应用中,选用何种软件主要看报警和恢复的速度、准确性,用户使用的方便程度,软件占用系统资源的多少等。
7.3.3 病毒防护系统
计算机病毒的防护在系统安全中也是很重要的一方面。我们推荐选用赛门铁克公司(Symantec)
的病毒防护系统Symantec Antivirus,它可以在网络服务器中设防,更可以在复杂结构网络环境中对计算机病毒层层设防、围追、堵截,并可远程实时报警。它与其他同类厂商产品与解决方案相比,突出时效性、超前防范,并使用户增加安全感。
7.4 服务器系统设计说明
7.4.1 服务器系统概述
服务器系统是局域网络的中心环节。随着计算机硬件技术的发展,服务器硬件本身的容错能力和
可靠性不断增加,而从应用角度上来讲,各种容错手段也越来越丰富。
7.4.2 服务器选型说明
随着快速以太网技术、交换式以太网技术的广泛采用,制约系统性能的网络带宽瓶颈已不复存在,而且高速的网络通道允许所有的请求操作能同时到达服务器网卡,因此真正的网络瓶颈集中在网络服务器的网卡接口上,这样也造成了服务器的I/O通道面临着更大的压力。因此企业网络中,服务器的通道处理性能是决定整个系统性能的关键。
本系统建设的主要目标是如何选择可靠、高性能的服务器来承担如此关键与重负荷的任务。对选择企业网络中的服务器应基于以下几个方面考虑:
?
可靠性:衡量服务器的可靠性主要依据服务器所采用的技术,并且最关键的要素是此服务器是否在实际网络环境中得到过考验。 ?
冗余技术:对服务器作冗余是消除服务器系统单故障点的重要手段,PC服务器的冗余主要包括以下的部件:
第 25 页 共 43页