第7章企業網絡案例2021年8月6日1編輯ppt本章主要內容網絡建設目標與需求分析設計原那么局域網設計方案廣域網設計方案主機系統設計方案網絡平安系統信息監控系統2021年8月6日2編輯ppt磁帶機備份系統弱電防雷系統機柜及布線網絡方案特點2021年8月6日3編輯ppt7.1網絡建設目標與需求分析7.1.1企業根本情況與總體設計目標XX金融集團總部是XX金融集團投資銀行總部、資產管理總部、證券投資總部、研發中心等業務總部日常辦公所在地以及電腦中心。從業務部門的角度來看要滿足以下幾個系統的運行需要：〔1〕資產管理及證券投資業務系統〔包括行情系統、交易系統〕；〔2〕證券信息研發系統〔實驗機房等〕；2021年8月6日4編輯ppt〔3〕效勞器性能與系統監控；〔4〕弱電防雷建設；〔5〕與其他各營業部可靠聯接、備份。網絡建成后，將到達：〔1〕技術先進性，使用技術在今后的3至5年內不落后，符合信息技術的開展方向。〔2〕滿足中國證券業電子化、網絡化、智能化、集中式開展趨勢的要求。〔3〕重點建設好網絡通信根底設施平臺，為上層業務系統提供良好的底層支持。2021年8月6日5編輯ppt7.1.2應用系統的分析XX金融集團總部網絡系統已經建設好，這一次是搬家并改建，網絡系統需要平滑遷移，建議如下：〔1〕保持原總部系統運行的情況下，建設新總部，并將局部業務部門遷移到新總部。〔2〕新總部除電腦部外其他功能齊全，在系統穩定運行一段時間后，將電腦部的設備逐步遷移到新總部，直到所有設備都遷移到新總部，原有總部停止運行。2021年8月6日6編輯ppt〔3〕在系統并行運行時新總部和原有總部間建立寬帶連接或高速專線連接，保證所有的業務系統正常運行。〔4〕在廣域網接入設備遷移到新總部時可以預先將電信部門的光纖接好，最終遷移時只要將光纖分配器、路由器等設備遷移到新總部，實現對營業部透明遷移。〔5〕網上交易局部，逐步遷移到新總部。〔6〕其他效勞器一次性遷移到新總部機房。2021年8月6日7編輯ppt7.1.3需求分析1.網絡拓撲結構需求XX金融集團總部網絡系統應采用千兆網絡主干，百兆交換到桌面。由于總部存在多個應用,所以保證各應用系統穩定快速運行是完成網絡設計建設的重點。因此采用雙星拓撲結構。XX金融集團在全國十幾個省、自治區和直轄市分布有子公司，子公司所在城市分布比較分散，在局部城市有多個分支機構。整個網絡結構要滿足分散交易、網絡通信、網絡管理、系統冗余等要求。2021年8月6日8編輯ppt廣域網拓撲結構采用雙主干節點建設XX金融集團IP多業務網絡平臺系統廣域網拓撲結構。網絡系統鏈路冗余可以采用雙鏈路結構，所有子公司都用專線與集團總部連接，ISDN做為備份線路，另外用一條ISDN與備份中心連接。2021年8月6日9編輯ppt2.計算機系統平安需求由于總部存在多個業務子系統，有些業務是相對保密并極為重要的，不能因為辦公網的故障〔誤操作、病毒、非法入侵等〕而造成數據損失或篡改。因此，需要在兩個子系統之間進行有效的隔離，必須保證各子系統之間的通訊是靈活、高效而又受到控制的。2021年8月6日10編輯ppt3.網絡管理需求網絡管理系統應滿足以下要求：〔1〕網絡管理系統應具有同時支持網絡監視和控制兩方面的能力。〔2〕盡可能大的管理范圍。〔3〕盡可能小的系統開銷。〔4〕容納不同的網絡管理系統。2021年8月6日11編輯ppt7.2設計原那么〔1〕實用性。〔2〕先進性。〔3〕可靠性。〔4〕網絡平安性。〔5〕易于管理和維護。〔6〕支持多媒體。〔7〕符合國際標準。〔8〕可擴展性。〔9〕高性能。〔10〕可管理性。2021年8月6日12編輯ppt7.3局域網設計方案7.3.1局域網設計拓樸結構中心選用兩臺CiscoCatalyst6509交換機實現骨干千兆交換，同時提供二級交換機和效勞器以及其他關鍵設備的連接。二級交換機使用Catalyst2950系列交換機。對于總部網絡系統的管理一般涉及到網絡設備管理和網絡用戶、資源管理。網絡管理建議使用CiscoWorks2000。2021年8月6日13編輯ppt2021年8月6日14編輯ppt7.3.2網絡設備選型1.中心交換機產器選型主干交換機選用Catalyst6509交換機2.二級交換機選型二級交換機建議使用Catalyst2950-48G/2948G交換機。3.實驗室交換機選型建議使用Catalyst4006SupervisorIII交換機。2021年8月6日15編輯ppt7.3.3所使用的技術與作用對于整個網絡來說，潛在的故障點有以下幾個方面：〔1〕交換機引擎。〔2〕交換機電源。〔3〕子網間的路由。〔4〕交換機之間的鏈路。〔5〕交換機的端口。〔6〕效勞器的網絡連接。2021年8月6日16編輯ppt本方案中，針對以上潛在的故障點作了以下幾方面設計。〔1〕選擇中心交換機相互冗余。〔2〕在網絡中心配置兩臺中心交換機，一旦主交換機故障，備份交換機可以立即接管所有工作，有效的防止了單點故障點的出現。〔3〕主干交換機雙電源保護。

〔4〕HSRP〔熱備份路由冗余協議〕保證了VLAN間路由的不間斷。2021年8月6日17編輯ppt〔5〕二級交換機通過兩條鏈路分別連接到兩臺中心交換機，利用SPT〔SPANTREE〕技術實現鏈路及端口的冗余，同時UPLINKFAST技術實現了快速切換。〔6〕關鍵業務效勞器的網絡連接使用AFT〔AdapterFaultTolerance，網卡出錯冗余〕技術實現冗余保護。2021年8月6日18編輯ppt7.3.4網絡平安設計說明在本方案中采用以下手段，以確保關鍵業務部門的平安。〔1〕通過虛擬局域網的劃分加強網絡平安。〔2〕通過交換機設置限制站點對網絡系統的訪問。〔3〕通過網絡操作系統的平安管理加強網絡平安。2021年8月6日19編輯ppt7.3.5局域網設計特點〔1〕使用雙主干網絡設計，保證主干交換機網絡容錯。一臺主干交換機故障不會導致交易網絡不能工作，也不用手工切換進行維護，保證網絡可靠性。〔2〕使用千兆網絡保證網絡交易速度與實時性。〔3〕使用stp、portfast、uplinkfast實現網絡故障時快速切換，保證可靠運行。〔4〕使用FEC/GEC技術實現網絡帶寬擴展，適應證券網絡不斷擴展要求。2021年8月6日20編輯ppt7.4廣域網設計方案7.4.1廣域網網絡拓撲結構該網絡的拓撲結構分為三層結構，如圖7-2所示。〔1〕以XX市為中心，也是XX金融集成的總部所在地。〔2〕使用7507路由器作為主路由器，對于重要的子公司管理總部可通過2MDDN線路聯接至7507路由器。2021年8月6日21編輯ppt〔3〕新增一臺7206路由器作為備份，對于一般的子公司或因路由器模塊本身限制速度不能到達2M的鏈路可聯接至7206路由器。〔4〕原Cisco3600路由器保存，作為ISDN/PSTN撥號線路的接入，用于DDN線路故障的備份。當7507/7200路由器故障或7500/7200至各子公司相應的通信線路故障的備份。2021年8月6日22編輯ppt2021年8月6日23編輯ppt7.4.2設備選型1〕在保存原中心的主干路由器7507根底上，新增一臺7206路由器。2〕根據子公司對高帶寬的DDN線路要求的多少，Cisco7507配置相應數量的VIP4-80卡及相應的PA-MC-8E1/120卡。3〕PA-MC-8E1/120為8portmultichannelE1portadapterwithG.703120Ohm。4〕原Cisco7507的PA-8T的卡可移入7206路由器，用于聯接FR或低帶寬的DDN線路。2021年8月6日24編輯ppt7.4.3中心節點設計本網絡系統的中心節點為XX市數據中心，建立網絡系統的骨干，分別與二級分支節點相連，兩個中心之間使用高速廣域網鏈路連接，比方寬帶、SDH、1000M光纖等，能夠滿足系統的冗余與負載平衡。總部的關鍵部門通過VPN與子公司連接，同時在關鍵部門使用防火墻保護，如Cisco的PIX系列或相應國產的防火墻。2021年8月6日25編輯ppt數據中心使用Cisco7507/7206為核心路由器，同時使用3640為ISDN撥號備份路由器。在主鏈路或7206設備正常時分支節點使用DDN，總部到電信使用多路復用技術，當主鏈路出現故障時使用ISDN撥號連接中心。2021年8月6日26編輯ppt7.4.4廣域網設計主要特點〔1〕使用多主干路由器設計，保證網絡主干路由容錯。一臺故障不會導致與總部網絡不能通信，也不用手工切換進行維護，保證網絡可靠性。〔2〕使用Cisco高性能路由器保證廣域網網絡轉發速度與性能，保證總部與子公司之間數據通信速度。〔3〕實現網絡故障時快速切換，保證網絡可靠運行。2021年8月6日27編輯ppt〔4〕充分使用原網絡主干路由器，保護原用戶的投入。〔5〕高性能主干路由器保證網絡系統路由數據速度。〔6〕三條鏈路容錯保證網絡系統主干可靠。〔7〕既保證主干網絡系統可靠性，可擴展性好，又可適應將來開展。〔8〕使用CiscoWorks2000對網絡系統進行管理。2021年8月6日28編輯ppt7.4.5所用技術與應用〔1〕IP通信技術是廣域網上使用最廣泛的第三層通信協議，帶寬與開銷小。2〕使用適應性好的路由協議如OSPF、EIGRP等鏈路狀態路由協議，對網絡鏈路故障進行快速定位。〔3〕使用EIGRP可以實現不同鏈路之間的負載均衡，使用OSPF可實現網絡層次管理及負載均衡。2021年8月6日29編輯ppt〔4〕在QoS方面，可以使用排隊技術、帶寬預留技術、隊列整形、優先級技術對不同類應用給予不同級別與帶寬，實現總部與子公司之間數據傳送的優先級。〔5〕線路備份方面主要有DDR、HSRP、路由協議內置特性實現。2021年8月6日30編輯ppt7.5主機系統設計方案7.5.1設計目標保證信息、資金效勞器工作站的可靠運行。7.5.2設備選型1．行情效勞器選型使用雙機單柜實現行情效勞器容錯。效勞器選用CompaqProliantDL760。2.資金效勞器選型資金效勞器選用二臺CompaqProliantDL580機柜式效勞器。二臺效勞器之間數據同步備份通2021年8月6日31編輯ppt過OCTOPUS軟件實現，當一臺效勞器故障時可自動或手工切換至另一臺效勞器。3.陣列柜選型陣列柜使用康柏StorageWorksRAIDArray4100。4.機房處理機選型〔一〕機房處理機推薦選用CompaqDL320。5.機房處理機選型(二)機房處理機也可選用圓明1010r效勞器。2021年8月6日32編輯ppt6.軟件產品選型〔1〕信息效勞器容錯軟件信息效勞器容錯軟件選用OEMLegato公司的NHAS軟件。〔2〕資金效勞器容錯軟件目前比較多的軟件備份主要有Lifekeep、Costandby、Octopus。建議使用Octopus軟件。2021年8月6日33編輯ppt7．6網絡平安系統7.6.1廣域網平安分析1.網絡系統的平安問題網絡效勞提供系統可能存在的平安威脅來自以下方面：〔1〕操作系統的平安性。〔2〕來自外部非法用戶或者黑客的攻擊。〔3〕來自內部網用戶的平安威脅。〔4〕缺少有效的保護措施。2021年8月6日34編輯ppt〔5〕缺乏有效的手段監視、評估網絡系統的平安性。〔6〕采用的TCP/IP協議族軟件，本身缺乏平安性。〔7〕未能對來自Internet的電子郵件挾帶的病毒及Web瀏覽可能存在的惡意Java/ActiveX控件進行有效控制。〔8〕應用效勞系統在訪問控制及平安通訊方面考慮較少，容易造成損失。2021年8月6日35編輯ppt2.系統平安結構針對網絡系統實際運行的TCP/IP協議，網絡平安貫穿于信息系統的４個層次。〔1〕物理層。〔2〕鏈路層。〔3〕網絡層。〔4〕操作系統。〔5〕應用平臺。〔6〕應用系統。2021年8月6日36編輯ppt3．廣域網的平安的必要性由于廣域網采用公網傳輸數據，因而在廣域網上進行傳輸時信息也可能會被不法分子截取。如子公司從異地上發一個信息到總部時，這個信息包就有可能被人截取和利用。因。此在廣域網一定要設計平安系統2021年8月6日37編輯ppt7.6.2網絡平安建議通過實行以下幾項技術的運用，XX金融集團的計算機網絡的平安將得到充分的保證〔1〕防火墻技術。〔2〕入侵檢測技術。〔3〕漏洞掃描平安評估技術。〔4〕防病毒技術。2021年8月6日38編輯ppt7.6.3路由器級平安控制1.訪問控制列表〔AccessControlList，ACL〕Cisco路由器操作系統IOS通過訪問控制列表〔ACL〕技術支持包過濾防火墻技術，根據事先確定的平安策略建立相應的訪問列表，可以對數據包、路由信息包進行攔截與控制，可以根據源/目的地址、協議類型、TCP端口號進行控制。2.地址轉換〔NetworkAddressTranslation，NAT〕Cisco路由器操作系統IOS的防火墻功能還包括IP地址轉換的功能。2021年8月6日39編輯ppt3.路由認證技術為了保證發出和進入的路由更新不被竊取和攻擊，Cisco路由器操作系統IOS提供對動態路由協議進行加密和認證的技術，只有在經過認證的路由器才能互相學習路由信息，同時路由信息的傳輸完全是以加密的形勢進行的。4.路由器自身的平安防護首先，進行口令保。其次，利用口令授權2021年8月6日40編輯ppt第三，對口令進行加密。第四，對無人值守的控制臺和端口進行超時限制，以提高設備的平安性。5.內部網絡端口的平安性在其內部網段---以太網上通過ARP控制進行IP地址與MAC地址的綁定，結合ACL對登錄到路由器的主機與用戶進行限制，可以更好的保證路由器的平安，防止非法用戶盜用地址對路由器進行攻擊。2021年8月6日41編輯ppt7．7信息監控系統7.7.1系統需求分析與設計目標1.系統需求分析為了有效地對信息中心的網絡系統進行監管，需要建立一個網絡監控和管理系統。監控中心網絡狀況，對效勞器(Unix、Novell、NT)、數據庫(SQLServer、Oracle)的狀態性能進行監控，對轉換機、處理機、路由器、交換機等進行監控。2021年8月6日42編輯ppt系統其它功能在系統成熟后再擴充,包括:〔1〕能方便地了解網絡系統的配置情況，具有資產管理功能并生成報表。〔2〕能有效地提供資源利用情況和性能趨勢，為系統的升級提供依據。〔3〕具有完善和方便的二次開發功能。2021年8月6日43編輯ppt2.系統的目標〔1〕高效性：采用統一、全面、集成的管理工具，管理復雜的IT環境。〔2〕實用性：主動預警報告、靈活策略制定、防患于未然。〔3〕平安可靠性：一個平安、可靠的管理平臺是“有效管理〞的充分保證。〔4〕可擴展性：配置靈活、適應未來開展，保護以往投資。〔5〕可靠的技術支持與效勞：2021年8月6日44編輯ppt7.7.2具體技術要求1.系統性能管理

(1)支持多平臺，保持系統的可擴展性，如SCO、NT、SUN、NetWare等。(2)對文件系統進行監控，并能定義預警和嚴重性的門限。(3)對操作系統的關鍵進程監控，進行報警，發生故障時能自動處理。(4)對系統的內存進行監控，并能預警CPU和交換區。

2021年8月6日45編輯ppt(5)對操作系統的各種日志文件進行收集和監控，從而發現錯誤并進行預警。(6)對操作系統的各種資源，有實時、動態的圖形界面顯示。2.網絡管理(1)能自動地發現并識別分布式網絡環境中的所有資源。(2)自動地收集網絡性能信息，并可以根據預先設定的網絡參數目標，來監控客戶/效勞器，網絡硬件及軟件等，產生相應報警信息。2021年8月6日46編輯ppt(3)具體分析最終用戶的響應時間，LAN的容量利用及出錯統計等等，應具有報表機制，提供圖形化或表格方式的數據表達，提供詳細的有關效勞器、LAN負載的歷史報表，提供網絡資源性能的實時報表。(4)對網絡設備參數進行監視和調整，對網絡設備端口進行數據流量統計和分析，對網絡設備性能進行實時監視，對網絡設備操作狀態和端口操作進行實時監視，對網絡消息進行記錄、統計和操作報告，對網絡設備進行故障告警、問題定位和問題分析能力。(5)監視整個網絡拓撲結構，實時監視整個網絡流量，監視和管理網絡路由，捕獲、存儲和管理異常事件，獲得網絡運行報告。2021年8月6日47編輯ppt3.數據庫管理(1)對MSSQLServer、Oracle等數據庫自動管理。(2)監控數據庫的可用性，應能監控數據庫引擎的關鍵參數。(3)可定制閥值，自動監控數據庫資源的變化，并應能在到達限值時發生警告和錯誤信息，并應能觸發一定的動作，以便及時采取措施。2021年8月6日48編輯ppt(4)監控表空間的使用情況。(5)監控事件日志空間的使用情況，自動監控數據庫日志的變化，并且有智能預警的功能。(6)與數據庫本身的管理工具無縫地集成起來，使戶通過統一的界面就可對數據庫進行細致的管理。4.桌面系統的管理具有軟件Metering功能，定義對用戶的某一特定軟件進行監視，具有提醒管理員功能。2021年8月6日49編輯ppt7.7.4網絡管理方案1．網絡管理內容〔1〕配置管理〔2〕性能管理〔4〕計費管理功能〔5〕平安管理2．骨干網的管理網絡公司建議在總部網絡配置一臺網管工作站，運行CiscoWorks網管軟件，對網絡進行管理，此建議書中所配置的路由器及交換機產品，都具有管理功能，包括SNMP、RMON、NetflowStatistics(網絡流量統計)、HTTP、診斷／故障排除、Syslog、拓撲發現代理等等很多功能2021年8月6日50編輯ppt3．產品選型因所有網絡產品為Cisco公司的產品，主要有Catalyst4006、6509、2900系列交換機。廣域網所有產品使用Cisco路由器。建議使用CiscoWorksforWAN實現網絡管理。2021年8月6日51編輯ppt7．8磁帶機備份系統7.8.1概述金融系統的連續穩定運行及數據平安至關重要。一旦系統中斷運行，將給子公司的運行帶來極大的混亂；而數據一旦喪失，那么帶來的后果〔損失〕將是災難性的。因此，如何確保數據的平安，如何保證系統的連續穩定運行，就成為電腦主管和系統管理人員非常關切的問題。同時在災難情況下〔如病毒發作〕，如何快捷準確無誤地進行恢復，減少或防止災難發生時的損失，亦是電腦主管和系統維護人員關切的問題。2021年8月6日52編輯ppt7.8.2需求描述數據量及每日增量要求大致如下：財務系統，SQL7，2.5GB，增長量：50MB/天，要求每天作增量數據備份，周期約一周。業務通信系統，DBFFILE，80MB/天，每天備份的數據均不同。在線交易系統，ORACLE&SQL2000，500MB，增長量：較小，要求每天作全數據備份。2021年8月6日53編輯ppt在線交易系統，語音LOGFILE，100MB/天，每天備份的數據均不同。OA系統，LOTUS，10GB，增長量：20MB/天，要求每天作增量數據備份，周期約二周。還有其他不確定的數據：如效勞器操作系統、數據挖掘系統等數據不確定數據。7.8.3廠家選擇選擇Veritas磁帶備份軟件，使用HP4/40磁帶庫存作為備份設備。2021年8月6日54編輯ppt7.8.4技術選型1.磁帶庫技術選型備份設備那么選用HP公司的4/40Ultrium磁帶庫。2.備份軟件技術選型建議采用VeritasBackupExec。2021年8月6日55編輯ppt7.8.5特點本解決方案的實施經過該金融集團總部運營的檢驗，證明是非常成功的。1〕Ultrium4/40磁帶驅動器對金融交易過程中產生的業務數據做到了實時、正確、可靠的備份。2〕數據備份系統是成熟而穩定的。3〕備份系統改造正式實施大大提高了集團信息系統的平安性，其集