1、華康醫藥計算機網絡改造項目設計方案 目 錄第一章 前 言4第二章 需求分析52.1網絡系統設計的原則52.2系統需求歸納62.3系統設計目標6第三章 總體方案設計73.1核心技術介紹7局域網技術選型7虛擬網絡的劃分9第三層交換與路由123.2 總體方案設計概述193.2.1 總體方案設計目標193.2.2 總體方案設計原則193.1.3 網絡平臺的設計203.1.4 主機選型概述203.1.5 網絡設備選型概述21第四章 網絡系統設計224.1網絡拓撲結構224.2整體網絡結構234.3企業內部局域網244.4 Internet接入244.5 VPN組建244.6方案特點28第五章 主機系統設
2、計295.1服務器發展趨勢295.2服務器選型和配置315.3 WIN2000操作系統35第六章 網絡安全設計376.1 系統安全策略設計原則376.2 系統安全模式設計376.3 StopHacker守護神防火墻406.3.1 StopHacker守護神防火墻的優點406.3.2 StopHacker守護神防火墻功能416.3.3 StopHacker守護神防火墻性能、參數44第七章 UPS電源方案設計45第八章 產品介紹478.1 IBM X370高性能服務器47第一章 前 言21世紀世界競爭的焦點將是信息的競爭,社會和經濟的發展對信息資源、信息技術和信息產業的依賴程度越來越大,信息技術的
3、發展對政治、經濟、科技、教育、軍事等諸多方面的發展產生了重大的影響,信息化是世界各國發展經濟的共同選擇,信息化程度已成為衡量一個國家,一個行業現代化的重要標志。我公司是從事計算機系統集成和軟件開發的高科技信息產業公司。主營業務為計算機系統集成,包括信息管理系統及軟件開發、網絡與通訊、網絡安全、安全監控、智能大樓綜合布線工程等。公司在承接大中型工程項目上有著堅實的技術基礎和豐富的實踐經驗。工程涉及政府、企業、部隊、公安、金融、稅務、郵電、電力等各個行業,承接了幾十項規模大、技術先進的重點工程。公司在計算機系列產品及網絡系統產品上與國內外多家先進廠家進行了密切的合作,并建立了良好的銷售及代理渠道,
4、使公司能以最先進的技術、最快捷的服務為各類大、中型項目提供良好的支持。華康醫藥公司計算機網絡系統集成項目作為ERP系統重要組成部分,在其設計和建設中應充分考慮當前和未來信息系統的發展需要,采用合理的技術,選用先進的設備和軟件,以最大限度地滿足當前應用系統的需要。其系統總體目標是根據華康醫藥公司的現狀與需求,建立先進、實用、安全、可靠、開放的計算機網絡環境,利用先進的技術和手段實現網絡互聯,建成企業內部信息網絡系統,以實現各個部門的連接及信息共享,最大限度提高企業內部信息系統的的效率。因此,根據華康醫藥公司網絡的需求,并在充分理解華康醫藥公司ERP信息化系統實際需求的基礎上,結合我公司技術人員多
5、年的計算機系統集成經驗和最新的計算機網絡技術,本著“先進性、可靠性、安全性、實用性、開放性、可擴展性、易操作性、易管理維護性”的原則,給出我公司的設計方案。第二章 需求分析2.1網絡系統設計的原則“先進性”原則,計算機網絡系統的基礎結構要立足于目前相關領域國際先進的技術和標準,以Intranet為核心,選用具有代表性和先進性的技術和設備,建成技術先進、性能優良、功能齊全、運行可靠的計算機網絡系統。“可靠性”原則運行可靠是計算機網絡系統建設的一個先決條件,各種服務器和計算機系統應具有長期的重負荷穩定運行和相對較強的抗干擾能力,必須采用多方面的措施,如盡量采用成熟而通用的技術和產品、在系統設計和軟
6、硬件選配中盡量簡化及優化、對系統關鍵部分做適當的冗余考慮等,使系統具有良好的可靠性。“安全性”原則,計算機網絡系統必須按照多重保護、多層次實現、多個安全單元以及動態發展等安全性策略,在服務器平臺方案和部署設計上,應體現較為完善的網內安全隔離和網間互聯安全保護等原則,在設備及軟件的選型配置上,應對其所具備的安全技術和保護能力等加以充分考慮,形成安全系統機制,并提供有效的備份應急措施,為進行嚴格的信息安全管理提供技術基礎和手段。 “實用性”原則,在網絡系統的設計和建設過程中,要盡量采取成熟的、有成功先例的技術,合理選用系統設備和系統軟件,優化系統性能價格比,精心設計、科學施工,避免采用過高和華而不
7、實的技術、設備和軟件,避免失誤,避免重復勞動,求的資金投入的最大效益。“開放性”原則,網絡系統設計過程中,要堅持標準化和開放的原則,采用廣為流行的國家標準和國際標準,使不同生產廠商的硬件、軟件產品能融為一體,為信息系統開發提供良好的開發平臺。“擴展性”原則,隨著企業信息化的不斷發展,企業計算機局域網信息系統及應用的規模和水平將會不斷發展變化,這就要求計算機網絡系統能夠適應這些發展變化。另一方面,計算機網絡和通信技術發展迅速,新的技術不斷涌現,新的需求不斷增加。因此,建成的計算機網絡系統應具備良好的可升級性、可擴展性,以適應不斷發展的應用需要、跟上不斷進步的技術水平。“可管理性”原則,系統應支持
8、先進有效的管理策略,提供良好的管理工具或手段能夠實時監視服務器各種設備的工作情況,并在安全和系統故障方面進行預警,提交日志和分析報告,及時發現故障點,為平衡負載、優化服務、排除故障提供手段和依據。2.2系統需求歸納華康醫藥公司各業務部門信息點主要分布在舊辦公大樓,未來新大樓建成使用之后,中心機房將搬遷到新大樓。需求歸納如下:1. 局域網主干采用千兆以太網技術,100M交換到桌面,采用InternetIntranet 應用模式; 2. 網絡必須采用VLAN和第三層交換技術,控制和管理; 3. 廣域網采用多種技術,實現各個信息點通信的要求(包括IP電話); 4. 操作系統采用Windows2000
9、AdvancedServer; 5. 采用防火墻技術和可靠的防火墻產品,保證整個網絡的安全;6. 主機系統采用IBM服務器和磁盤陣列組成,要具有高可靠性,數據庫系統 建議采用大型數據庫系統(Oracle)。2.3系統設計目標1. 實現華康醫藥公司各科室及科室內部以及各連鎖藥房的信息交換和資源共享,滿足每個桌面的計算機均能入網的要求;2. 建立遠程傳輸系統,實現在外人員與各部門及時有效的信息交換和移動辦公;3. 以網絡硬件和各服務器平臺為基礎,形成IntranetIntemet技術為核心的企業級網絡環境,建立ERP系統; 4. 未來實現和社保等單位的網絡互連第三章 總體方案設計3.1核心技術介紹
10、3.1.1局域網技術選型 隨著信息產業的發展,臺式機系統的能力火箭般上升,各種新的圖形應用和多媒體應用在網上運行,聯網用戶急劇增加,網絡規模和復雜性不斷增長。另外,IntranetInternet應用模式的采用,使得網絡流量更加難以預測。這一切都對網絡通信性能提出了更高的要求。采用高速網絡技術勢在必行。 目前可供選擇的有100Base-T、ATM和千兆位以太網技術,各種技術又可用集線器、交換機、第三層交換機和路由器進行多樣組合。對此,我們必須進行探討,慎重選擇。 ATM技術可說是網絡上的一大變革,它所有的觀念炯異于以前的網絡概念,它是一種面向連接的網絡技術。所謂面向連接是指傳送一方在送資料時需
11、和接收一方建立連線,就如同我們打電話一般。另外ATM的報文大小為固定長度(53字節)的信元,如此可保證傳輸過程的低延遲能力。最特別的是,在ATM的通訊架構中,早已建置了服務質量(QOS)的功能。由于以上的特征,ATM將是一種很有發展前途的技術,也是人們所期待的集成語音、影像及數據等多媒體信息的技術。然而就是因為ATM集合了這么多的優點,造成規格及標準的制定困難,進度緩慢,同時也因為以前的應用程序均是以NDIS及ODI作為應用編程接口(APl),若要使用ATM的優點,則必須通過LAN Emulation或MPOA之轉換,但經由此等轉換后,ATM的優異性將蕩然無存。 而在ATM到桌面的環境中,由于
12、缺乏能有效利用ATM特性的APl標準,導致目前在ATM上的多媒體應用多為廠商專屬的解決方案,存在致命的兼容性問題,不利于發揮ATM的優勢,加上管理界面的不同,限制了用戶的接受度。 為了能與ATM分庭抗禮,以太網絡的忠實擁護者于數年前推出了100Mbps快速以太網絡。與此同時,業界還問世了另一標準100VG-AnyLAN,這兩者同樣是100Mbps的傳輸速度。100VG-AnyLAN支持優先級調度,平心而論,它確實是很好的通訊協議,但在業界及使用者的選擇下,100VG-AnyLAN被淘汰出局,成為叫好不叫座的明星。究其原因,在于快速以太網采用和以以太網相同的技術,傳承自以太網的規范,原來的應用可
13、繼承。由于在網絡市場中,以太網的用戶數比例高達80以上,如此雄厚的用戶基礎,加上快速以太網良好的性能價格比,使其迅速成為市場主流。 快速以太網與交換技術的結合,使其具備如下優點 * 簡單,低成本,可實現原有以太網無縫升級: * 眾多處于業界依靠的網絡廠商、主機廠商、半導體廠商甚至傳統通信業廠商的支持。 而在快速以太網規范完成的同時,千兆以太網(Gigabit Ethernet)的規范即已著手制定,希望能將以太網絡的頻寬從10Mbps、100Mbps提升到1000Mbps。干兆以太網仍屬于IEEE 8023類,仍采用CSMACD協議,有著相同的報文格式及長度,同樣的管理界面,同樣的全雙工及半雙工
14、操作模式。1EEE8023z規范于近期完成,市面上已在產品問世。目前在布線上已明確規范上分為1000Base-SX和1000Base-LX。1000Base-SX支持多模光纖(850nm短波長),傳輸距離500m:1000BaseLX(1300波長),支持多模光纖或單模光纖,多模方式,傳輸距離不低于550m,單模方式,傳輸距離最遠可達70km。千兆以太網的出現,為以太網、快速以太網提供了一個新的升級途徑。 面對IEEE 8023類以太網絡在頻寬管理能力方面的缺乏,IEEE在其規范中不斷采取它種技術以修正,如在服務質量方面(QOS),積極制定IEEE8021p優先權級別,同時利用RSVP,使用頻
15、寬保留的技術提供服務類(Class of Service),供語音及影像等多媒體信息應用。 綜上所述,就目前來看,ATM和IEEE8023類的以太網(包括10Mbps、100Mbps和1000Mbps)這兩種技術是比較有前途的,其中后者適用于以數據為主的應用環境中,搭配一些頻寬管理的特性,也可使用多媒體。適用環境如:ISP、數據交換中心及企業Intranet之主干技術。而ATM則適用需同時提供語音、視頻、數據服務之環境。 根據上述當前的技術發展趨勢,針對華康醫藥公司網絡的需求,我們建議采用交換技術構筑局域網,為了保護以前的投資,網絡主干采用快速以太網,同時具備向千兆以太網升級的能力,而客戶機以
16、100M以太網接入網。從近年來計算機應用的發展來看,越來越強調各個部門之間的協調、協作與溝通,諸如Intranet和分布式協同計算模式的應用已日趨廣泛,這使得任何用戶在任何時間都有可能訪問任何服務器的資源。下一個瓶頸將在哪里出現是很難預料的。因此,有必要在網絡設計時,考慮配置高速交換機,在主干中建立過量的帶寬,以確保每一個應用都可以在它需要的時間內得到它需要的資源。而另一方面,隨著網絡規模的擴大,如果采用全交換方式,而不具備路由能力時,那么整個局域網將不得不作為一個單一的龐大的廣播域來運作,這樣會造成任何一個與網絡連接的端點發出一個廣播報文時,它將穿透所有的交換器而影響整個網絡效率,進而引起廣
17、播擁塞,導致網絡響應時間緩慢到不能接受的地步。網絡規模越大,產生這種廣播風暴的機會會越高。這就需要采用路由技術將一個大的廣播域分割成互連的幾個小的廣播域。但傳統的路由器吞吐量低、延遲大,且價格昂貴,不適應于應用模式的需要。第三層交換機則應運而生,結合了第二層交換的高吞吐量、低延遲的特性,和路由器的安全控制和管理能力。我們建議在華康醫藥公司網絡工程系統中引入第三層交換技術。根據當前的技術發展趨勢,針對華康醫藥公司域網的應用需求,我們建議采用交換技術構筑內部局域網,網絡主干采用千兆以太網,而客戶機以100M以太網接入網。3.1.2虛擬網絡的劃分在華康醫藥公司域網中,可以采用虛擬網技術,對華康醫藥公
18、司不同的部門劃分虛擬網。虛擬網(VLAN)是將一組彼此相關的用戶和服務器邏輯地分成工作群組,這樣的邏輯劃分與物理位置無關,用戶、工作站或服務器能夠在網絡網部任意移動,而始終維持通訊上原有的邏輯關系不變。其實,使用VLAN技術就是把一組用戶分配在一個單一的廣播域(VLAN)中, 在該廣播域上的廣播流量只有其成員才能夠收到。實際上,VLAN成員的定義可以分為4種:1、根據端口劃分VLAN這種劃分VLAN的方法是根據以太網交換機的端口來劃分,比如CISCO3550的14端口為VLAN A,517為VLAN B,1824為VLAN C,當然,這些屬于同一VLAN的端口可以不連續,如何配置,由管理員決定
19、,如果有多個交換機的話,例如,可以指定交換機 1 的16端口和交換機 2 的14端口為同一VLAN,即同一VLAN可以跨越數個以太網交換機,根據端口劃分是目前定義VLAN的最常用的方法,IEEE 802.1Q協議規定的就是如何根據交換機的端口來劃分VLAN。這種劃分的方法的優點是定義VLAN成員時非常簡單,只要將所有的端口都指定義一下就可以了。它的缺點是如果VLAN A的用戶離開了原來的端口,到了一個新的交換機的某個端口,那么就必須重新定義。2、 根據MAC地址劃分VLAN這種劃分VLAN的方法是根據每個主機的MAC地址來劃分,即對每個MAC地址的主機都配置他屬于哪個組。這種劃分VLAN的方法
20、的最大優點就是當用戶物理位置移動時,即從一個交換機換到其他的交換機時,VLAN不用重新配置,所以,可以認為這種根據MAC地址的劃分方法是基于用戶的VLAN,這種方法的缺點是初始化時,所有的用戶都必須進行配置,如果有幾百個甚至上千個用戶的話,配置是非常累的。而且這種劃分的方法也導致了交換機執行效率的降低,因為在每一個交換機的端口都可能存在很多個VLAN組的成員,這樣就無法限制廣播包了。另外,對于使用筆記本電腦的用戶來說,他們的網卡可能經常更換,這樣,VLAN就必須不停的配置。3、 根據網絡層劃分VLAN這種劃分VLAN的方法是根據每個主機的網絡層地址或協議類型(如果支持多協議)劃分的,雖然這種劃
21、分方法可能是根據網絡地址,比如IP地址,但它不是路由,不要與網絡層的路由混淆。它雖然查看每個數據包的IP地址,但由于不是路由,所以,沒有RIP,OSPF等路由協議,而是根據生成樹算法進行橋交換。這種方法的優點是用戶的物理位置改變了,不需要重新配置他所屬的VLAN,而且可以根據協議類型來劃分VLAN,這對網絡管理者來說很重要,還有,這種方法不需要附加的楨標簽來識別VLAN,這樣可以減少網絡的通信量。這種方法的缺點是效率,因為檢查每一個數據包的網絡層地址是很費時的(相對于前面兩種方法),一般的交換機芯片都可以自動檢查網絡上數據包的以太網楨頭,但要讓芯片能檢查IP楨頭,需要更高的技術,同時也更費時。
22、當然,這也跟各個廠商的實現方法有關。4、IP組播作為VLANIP 組播實際上也是一種VLAN的定義,即認為一個組播組就是一個VLAN,這種劃分的方法將VLAN擴大到了廣域網,因此這種方法具有更大的靈活性,而且也很容易通過路由器進行擴展,當然這種方法不適合局域網,主要是效率不高,對于局域網的組播,有二層組播協議GMRP。通過上面可以看出,各種不同的VLAN定義方法有各自的優缺點,所以,很多廠商的交換機都實現了不只一種方法,這樣,網絡管理者可以根據自己的實際需要進行選擇,另外,許多廠商在實現VLAN的時候,考慮到VLAN配置的復雜性,還提供了一定程度的自動配置和方便的網絡管理工具。以前,各個廠商都
23、聲稱他們的交換機實現了VLAN,但各個廠商實現的方法都不相同,所以彼此是無法互連,這樣,用戶一旦買了某個廠商的交換機,就沒法買其他廠商的了。而現在,VLAN的標準是IEEE 提出的802.1Q協議,只有支持相同的開放標準才能保證網絡的互連互通,以及保護網絡設備投資。下面講述一下VLAN的優點:1、減少移動和改變的代價,即所說的動態管理網絡,也就是當一個用戶從一個位置移動到另一個位置是,他的網絡屬性不需要重新配置,而是動態的完成,這種動態管理網絡給網絡管理者和使用者都帶來了極大的好處,一個用戶,無論他到哪里,他都能不做任何修改地接入網絡,這種前景是非常美好的。 當然,并不是所有的VLAN定義方法
24、都能做到這一點。2、虛擬工作組,VLAN的最具雄心的目標就是建立虛擬工作組模型,例如,在校園網中,同一個系的就好象在同一個LAN上一樣,很容易的互相訪問,交流信息,同時,所有的廣播包也都限制在該虛擬LAN上,而不影響其他VLAN的人,一個人如果從一個辦公地點換到另外一個地點,而他仍然在該系,那么,他的配置無須改變,同時,如果一個人雖然辦公地點沒有變,但他換了一個系,那么,只需網絡管理者那配置一下就行了。這個功能的目標就是建立一個動態的組織環境,當然,這只是一個遠大的目標,要實現它,還需要一些其他包括管理等方面的支持。3、限制廣播包,按照802.1D透明網橋的算法,如果一個數據包找不到路由,那么
25、交換機就會將該數據包向所有的其他端口發送,這就是橋的廣播方式的轉發,這樣的結果,毫無疑問極大的浪費了帶寬,如果配置了VLAN,那么,當一個數據包沒有路由時,交換機只會將此數據包發送到所有屬于該VLAN的其他端口,而不是所有的交換機的端口,這樣,就將數據包限制到了一個VLAN內。在一定程度上可以節省帶寬。4、安全性,由于配置了VLAN后,一個VLAN的數據包不會發送到另一個VLAN,這樣,其他VLAN的用戶的網絡上是收不到任何該VLAN的數據包,從而就確保了該VLAN的信息不會被其他VLAN的人竊聽,從而實現了信息的保密。理論上,VLAN可以擴展到WAN上,但是,這是不明智的做法,因為VLAN允
26、許廣播包發送出去,而且它沒有很好的路由算法,經常是以廣播的形式轉發數據包,這樣,毫無疑問,極大地浪費了WAN的寶貴的帶寬,所以說,將基于端口的,MAC地址和網絡地址的VLAN擴展到WAN,是不合理的,而基于多播的VLAN概念則可以靈活有效的擴展到WAN。一般的以太網交換機實現的都是基于端口的VLAN,個別的會實現基于MAC地址和網絡層地址的VLAN,而路由器中可以通過IGMP多播協議實現所謂的組播形式的VLAN 。綜上所述,建議華康醫藥公司域網實行VLAN的劃分,各個二級節點和關鍵部門可以劃分不同的VLAN,以保證華康醫藥公司網絡的可靠性能。3.1.3第三層交換與路由一、交換技術的發展 - 計
27、算機技術與通信技術的結合促進了計算機局域網的飛速發展,從20世紀60年代末Aloha網的出現,到90年代后期千兆交換式以太網的登臺亮相,短短的30年間,經歷了從單工到雙工、從共享到交換、從低速到高速、從簡單到復雜、從昂貴到普及、從第二層交換到多層交換的飛躍。 - 1第二層交換 - 在剛開始組建局域網時,主要局限于主機連接、文件和打印共享,多個用戶共享10Mbps帶寬就能滿足這些需求。隨著網絡規模的日益擴大,先前的網絡系統已不能勝任,這是因為在局域網中,最早的網絡互聯設備是集線器,它是第一層(物理層)設備。由于在這種基于CSMA/CD物理層協議的網絡中,經常發生用戶數據的沖突,并由此導致重發數據
28、,使傳輸的效率大大降低。當時采用了第二層(數據鏈路層)設備網橋,它起到細化網段和減小沖突域的作用,從而優化了局域網的性能。但網橋是對高層(第三層以上)協議透明的設備,不能有效阻止廣播風暴,因此需要采用路由器。路由器在子網間互聯、安全控制和廣播風暴限制等方面起了關鍵的作用,但復雜的算法、較低的數據吞吐量使其成為網絡的瓶頸。為了解決以上問題,業界對網橋進行了改進,制造出局域網交換機,用它來替代集線器,以提高網絡的性能。 - 局域網交換機是一種第二層網絡設備,它在運行過程中不斷收集和建立自己的MAC地址表,并且定時刷新。它的引入使網絡各站點之間可獨享帶寬,消除了無謂的沖突檢測和出錯重發,提高了傳輸效
29、率,而且是點對點傳送用戶數據,其他節點是不可見的。但第二層交換也有其弱點,包括不能有效解決廣播風暴、異種網絡互聯和安全性控制等問題。因此,產生了交換機上的VLAN(虛擬局域網)技術。 - 2第三層交換 - 第二層交換機工作在OSI參考模型的第二層-數據鏈路層上,主要功能包括物理編址、網絡拓撲結構、錯誤校驗、幀序列以及流量控制等。為了改進交換機的性能,又推出了第三層交換機,它在保留第二層計算機所有功能的前提上,增加了許多新的功能,如對VLAN的支持、對鏈路匯聚的支持,甚至具有防火墻的功能等。簡單來說,所謂的第三層交換機就是在基于協議的VLAN劃分時,增加了路由功能。 - 第三層交換機是Intra
30、net應用的關鍵,它將第二層交換機和第三層路由器兩者的優勢有機而智能化地結合成一個靈活的解決方案,可在各個層次提供線速性能。這種集成化的結構還引進了策略管理屬性,不僅使第二層與第三層相互關聯起來,而且還提供流量優先化處理、安全訪問機制以及其他多種功能。 - 第三層交換機分為接口層、交換層和路由層等3個部分。接口層包含了所有重要的局域網接口,如10/100Mbps以太網、千兆以太網、FDDI和ATM等;交換層集成了多種局域網接口,并輔之以策略管理,同時還提供鏈路匯聚、VLAN和標記機制;路由層提供主要的局域網路由協議,包括IP、IPX和AppleTalk等,并通過策略管理,提供傳統路由或直通的第
31、三層轉發技術。策略管理和行政管理相結合,使得網絡管理員能夠根據企業的特定需求調整網絡。 - 一般來說,第三層交換產品都采用可編程可擴展的ASIC芯片技術,可以提供以下一些豐富的特性: - (1)在所有端口,針對所有網絡接口和協議的無阻塞線速交換和路由; - (2)具有極高的吞吐量,數據包的轉發速度(即轉發包每秒,pps)通常比中高端路由器還要快10100倍; - (3)多種協議的路由選擇,如IP(RIPv1/v2、OSPF)、IP Multicast(DVMRP、PIM)和IPX等; - (4)支持多種VLAN的劃分,能夠根據端口/MAC地址、協議、IP子網、IEEE 802.1Q或3COM
32、ISL等劃分; - (5)具有帶寬預留(RSVP)及具有服務類別(CoS)和服務質量(QoS)的業務量優先級處理,支持IEEE 802.1p和業務分類(DifferServ); - (6)可設定訪問列表控制(Access List Control)的過濾規則,或基于防火墻的安全策略; - (7)支持通過以太網的點到點協議(PPPoE),支持安全用戶認證,配合用戶計費,增強用戶管理特性; - (8)支持以太網帶寬單元遞增分配服務; - (9)ASIC的可編程性,支持諸如IPv6的技術和其他未來技術,保護用戶投資。 二、第三層交換與路由器的比較 - 在過去,網絡中的數據大都遵守80/20規則,即網
33、絡中只有大約20%的數據包是通過骨干路由器與中央服務器或企業網絡的其他部分進行通信,而80%的網絡流量主要仍集中在不同的部門子網內。而現在,情況卻發生了根本性的變化,以至形成了20/80規則。為了應付不斷增長的數據流量,共享介質型的網絡紛紛被交換型網絡所替代。這種變化對原來用于網絡分段的傳統路由器產生了直接的沖擊。鑒于大部分的數據流量都跨越 IP子網,路由器事實上已經成為了網絡傳輸的瓶頸。 - 傳統的路由器主要功能是實現路由選擇與網絡互聯,即通過一定途徑獲得子網的拓撲信息與各物理線路的網絡特性,并通過一定的路由算法獲得達到各子網的最佳路徑,建立相應路由表,從而將每個IP包跳到跳(hop to
34、hop)傳到目的地; 其次,它必須處理不同的鏈路協議。IP包途經每個路由器時,需經過排隊、協議處理和尋址選擇路由等軟件處理環節,造成延時加大。同時路由器采用共享總線方式,總的吞吐量受到限制,當用戶數量增加時,每個用戶的接入速率降低。路由器更注重對多種介質類型和多種傳輸速度的支持,而目前數據緩沖和轉換能力比線速吞吐能力和低時延更為重要。雖然路由器的性能最近也得到了一定的提高,大約達到1Mpps,但采用這種路由器的費用也高得驚人。 - 和路由技術相比,交換技術的好處就是速度快,當網絡規模很大時,高速、大容量路由器是十分必要的。另一方面,由于現代通信網絡大都采用光纖技術,所以現在數據網絡的主要瓶頸是
35、節點路由器。現在的第三層交換、路由交換或其他名詞都是這種思路的結果。雖然第三層交換最初是為局域網設計的,它采用目的IP地址進行交換,但是現在這種技術也已經開始在廣域網中使用。 - 第三層交換在現在的網絡建設中起著越來越重要的作用,它不需要將廣播封包擴散,而是直接利用動態建立的MAC地址來通信,如IP地址、ARP等,具有多路廣播和虛擬網間基于IP和IPX等協議的路由功能,這方面功能的順利實現,主要依靠專用集成電路(ASIC)。把傳統的路由軟件處理的指令改為ASIC芯片的嵌入式指令,從而加速了對包的轉發和過濾,使得高速下的線性路由和服務質量都有了可靠的保證。 三、第三層交換的應用 - 第三層交換機
36、的應用其實很簡單,主要用途是代替傳統路由器作為網絡的核心。因此,凡是沒有廣域網連接需求,同時又需要路由器的地方,都可以用第三層交換機來代替。 - 在企業網和校園網中,一般會將第三層交換機用在網絡的核心層,用第三層交換機上的千兆端口或百兆端口連接不同的子網或VLAN。這樣網絡結構相對簡單,節點數相對較少; 另外,其不需要較多的控制功能,并且成本較低。 - 在目前火爆的寬帶網絡建設中,第三層交換機一般被放置在小區的中心和多個小區的匯聚層,第三層交換機的出現動搖了企業路由器的地位。正如路由器統治廣域網一樣,第三層交換機將在今后主宰局域網已成為不爭的事實。 - 從當前國內的情況來看,第三層交換機發展勢
37、頭良好。可喜的是,許多國內廠商紛紛推出第三層以太網交換機,而且性能良好。第三層交換機在應用方面具有以下特點。 - 1擔當骨干交換機 - 第三層交換機一般用于網絡的骨干交換機和服務器群交換機,也可作為網絡節點交換機。在網絡中,同其他以太網交換機配合使用,網絡管理員能構造無縫的10/100/1000Mbps以太網交換系統,為整個信息系統提供統一的網絡服務。這樣的網絡系統結構簡單,同時還具有可伸縮性和基于策略的QoS服務等功能。第三層交換機為網絡提供QoS服務的內容包括優先級管理、帶寬管理、VLAN交換等。基于策略的QoS使得網絡管理員能為各種不同類型的網絡流量包括TCP/UDP會話按優先級分配帶寬
38、,而且沒有任何交換性能上的損失。 - 由于應用的需求,骨干交換機多為千兆交換機,所以目前第三層交換機也多為千兆交換機,可以提供10/100Mbps自適應端口和千兆端口,既可以連接銅線,也可以連接光纖,并提供高性能的背板通道。這類交換機有機柜式的,也有可堆疊的,可以根據不同的情況選用。 - 2支持Trunk協議 - 在應用中,經常有以太網交換機相互連接或以太網交換機與服務器互聯的情況,其中互聯用的單根連線往往會成為網絡的瓶頸。采用Trunk技術能將若干條相同的源交換機與目的交換機的以太網連接線從邏輯上看成一條連接線。這樣既保證局域網不會出現環路,同時也有效地加大了連接帶寬。性能良好的第三層交換機
39、全面支持Trunk協議,一些可支持8組Trunk,從而能夠有效解決了企業局域網中的連接帶寬問題。 - 3實現組播和自學 - 一些第三層除了支持動態路由協議RIP和OSPF外,針對日漸流行的支持多點組播的需求,還能夠實施基于標準的多點組播協議,如距離矢量多點組播路由協議(DVMRP)。 - 第三層交換機還可以支持自學習功能,它能自動發現主機的IP地址與連接端口的對應關系,而不使用任何路由協議。一旦把交換機接入網絡,它就通過不斷地偵聽ARP、RIP和ICMP數據包來學習所有連接的主機的IP地址和子網掩碼信息。根據學習到的信息,交換機將建立和維護路由表中的路由信息,并且自動地為所有IP數據包提供路由
40、服務。 - 4提高安全性 - 在網絡中,對于所傳輸數據包,出于安全考慮,需要根據很多規則對數據進行過濾,確保只有符合規定的數據包才能通過第三層交換機。第三層交換機支持內部具有硬件的過濾器,能在不降低系統性能的情況下對所有數據包進行過濾,而且能根據從第二層到第七層的任意內容對數據包進行過濾。 - 第三層交換機的典型應用如圖所示。 - 在上圖中,是一個三級交換結構的局域網,其中骨干交換機是一臺第三層交換機,通過它來劃分不同功能的邏輯子網(圖中有4個),并通過網絡管理系統對整個網絡進行集中式控制和管理,包括監控、調整網絡的運行狀態、自動分配用戶的IP地址、統計網上信息流量及用戶的使用情況等內容。可直
41、接連到骨干交換機的設備有路由器、各種服務器、中心工作站和二級交換機。二級交換機可選用普通的第二層交換機。第三級交換機可以選用第二層交換機或集線器。 綜上所述,第三層交換技術是現在解決虛擬網通訊的最成熟的技術,它在路由交換機中運行RIP、OSPF或PIM等路由協議,獲得網絡拓撲信息,通過監聽IP信息流,迅速了解與之相連的網絡設備端口,直接把第三層信息包(VLAN之間的信息流)發送到其目的端口,而不必將信息包發送給路由器,從而縮短了等待時間,提高了網絡速度,降低了設備成本。所以我們建議華康醫藥公司網絡采用第三層交換機,各VLAN之間通過第三層交換進行通訊。3.2 總體方案設計概述3.2.1 總體方
42、案設計目標設計的依據:l 華康醫藥公司對局域網的技術要求相關規章l 國家保密局關于計算機信息系統保密管理暫行規定l 國家保密局關于計算機信息系統國際聯網保密管理規定針對用戶的需求和我公司的分析,我公司建議的方案將達到如下的設計目標:l 應用系統可擴展性強,可根據用戶的需求調整。l 主機系統的處理能力強,可滿足用戶三年內業務量的增長。l 系統可用性強,能24小時連續工作。l 網絡速度快,在局域網和廣域網上都沒有瓶頸。l 網管系統可管理網絡設備、監測網絡性能、可實現端對端管理。l 全網安全級高,可防止外部侵擾,網絡內部也設有多種訪問權限,做到存儲文件的保密性。 3.2.2 總體方案設計原則我公司在
43、設計該系統時遵循了如下原則:l 應用系統建設采用Internet/Intranet技術,本著實用的原則,使用成熟先進的應用軟件平臺l 應用系統采用分布式的結構,統一采用Windows2000 Sever操作系統,便于開發和維護。l 主機系統采用先進的、高性能的解決方案,保證24小時連續工作以上原則決定了網絡系統和應用系統的設計和開發的規范和目標。因此,要以系統集成的思想來進行系統設計,再考慮建設合適的硬件和網絡平臺來支撐應用軟件,使網絡硬件環境和應用系統的軟件環境達到有機的結合,并保證系統具有一定的冗余,以最大限度地提高效率。根據用戶需求的技術方案內容,本工程的設計方案應包含以下內容: 網絡系
44、統方案設計 主機系統方案設計 網絡操作系統設計 系統安全系統設計 UPS電源方案設計3.1.3 網絡平臺的設計網絡平臺是本項目的核心,是決定未來若干年華康醫藥公司局域網建設的基礎。在吉比特以太網、FDDI主干網和ATM主干網三種和選擇中,我公司建議華康醫藥公司采用千兆以太網網絡技術作為全網的主干,以百兆到桌面。在產品選型上,我公司根據用戶需求和實際的需求采用了華為公司的網絡產品。內部網中各部門所屬虛擬網的互聯主要通過二層交換機實現。同時交換機還可以對各個部門分別實現訪問控制,實現各個部門、各個終端之間的安全性。通過防火墻和路由器實現到廣域網的連接以及對內部網的安全保護。3.1.4 主機選型概述
45、我們在眾多的主機中,選擇IBM公司的系列服務器作為華康醫藥公司的主機系統。之所以選擇IBM服務器,是因為他是全球著名的服務器生產、制造商,其產品種類全、質量可靠是其一貫的特點,遍布全球的營消體系、服務體系隨時給用戶提供最優的服務質量。我們在分析了華康醫藥公司實際情況和需求后,結合性能、費用、價格等各方面的因素,決定在華康醫藥公司網絡系統的采用IBM公司最新產品高性能的X370作為整個華康醫藥公司中心數據庫服務器,他完全可以保證整個網絡的信息發布,電子郵件系統和辦公自動化等業務的穩定、可靠運行。根據各個部門的情況和要求,我們根據各個部門的應用情況,設計采用部門級的服務器采用X370。他能很好的滿
46、足各個部門的信息發布、文件、打印及辦公自動化系統等業務。IBM公司的服務器產品可以完全滿足華康醫藥公司局域網的所有業務需求。采用高檔服務器可以大幅度的提高整個網絡系統的性能,加上安全可靠的Windows 2000 Server,保證了所有大容量數據的存儲和高速傳送以及安全的維護3.1.5 網絡設備選型概述由于采取了開放式的系統體系結構,使得我們擁有更多的選擇自由,能夠降低成本,但眾多可供選擇的產品也給我們帶來選擇的困難。在選擇網絡產品的性能價格比、功能、特性外,還應考慮到生產廠商的市場地位、技術后續開發能力、售后服務能力等各方面因素。現在的大型網絡設備廠家,主要有CISCO、3Com、Bay
47、Networks、IBM、Intel、華為、中興等,其中,IBM和Intel分別是計算機和芯片的最大公司,其專長不在網絡設備上,而Bay被北方電訊收購后,其主要的市場已轉向電訊。因此,我們重點分析了CISCO、3Com和華為的網絡設備。 CISCO和3Com作為全球最大的網絡設備公司之一,其產品均非常的全面,但它們又有著不同的側重點。我們可以選擇CISCO的三層交換機WS-C3550-48。第四章 網絡系統設計4.1網絡拓撲結構根據以上原則,我們為華康醫藥公司設計以下網絡結構。當今企業網絡性能的好壞,已經成為一個企業信息發展的關鍵,越來越多的Internet、Intranet應用以及運行于In
48、ternet/Intranet上的電子商務,多媒體應用(視頻點播VOD、可視會議、語音傳輸),OA系統都對網絡主干高帶寬、高性能、高服務質量(QOS Quality Of Service)提出了嚴格要求,這就需要一個具有智能性的企業網絡作為基礎,同時作為企業網絡的規劃者管理者需要能夠全面控制網絡資源的使用,能夠方便合理分配網絡的帶寬、服務質量、網絡安全以適應爆炸式的網絡應用的增長,因此我們提出了基于CISCO產品的網絡解決方案我們在中心機房放置1臺高性能的交換機,作為整個網絡系統的核心交換機,使其支持更多的QOS服務和路由協議,使各個部門工作站直接接入中心交換機。每個部門可以根據具體的要求劃分
49、,可以根據具體的要求來限制部門間的相互通信。我們產品的劃分十分的靈活,并支持,這樣在之間通過劃分可以充分的利用地址空間。 拓撲圖如下:4.2整體網絡結構建成后的華康醫藥公司的網絡,是一個以華為網絡設備組成的千兆以太網方案,我們根據原有的網絡情況,考慮到計算機的訪問流量,建議在信息中心放置企業數據庫服務器、WEB服務器等應用服務器和與Internet 相連的路由器。建成后,整個網絡形成了一個以網絡設備和服務器平臺為基礎的,以Intranet/Internet技術為核心的企業級千兆網絡應用環境。網絡系統主要有三個部分:企業內部局域網:企業與外部(Internet)相連的廣域網4.3企業內部局域網在
50、本方案中,信息中心局域網配置一臺高性能、模塊化Layer3(第三層)網絡交換機CISCO3550系列智能多層交換機作為中心交換機,所有計算機節點直接接入中心交換機。未來我們可以配置千兆電接口供網絡中心服務器、網管工作站、防火墻、訪問服務器等接入網內;或者配置千兆光接口使用千兆光纖把其他分部連入網內。4.4 Internet接入華康醫藥公司和Internet之間的連接是通過10M光纖接入,使用華為2621路由器。接入到Internet,首先需要考慮的是網絡的安全性,在Internet接入和外部局域網之間,增加一臺金稅硬件網絡防火墻,以達到國家安全部門的要求。4.5 VPN組建 虛擬專用網絡可以實
51、現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道,并提供與專用網絡一樣的安全和功能保障。 (圖1) 虛擬專用網絡允許遠程通訊方,銷售人員或企業分支機構使用Internet等公共互聯網絡的路由基礎設施以安全的方式與位于企業局域網端的企業服務器建立連接。虛擬專用網絡對用戶端透明,用戶好象使用一條專用線路在客戶計算機和企業服務器之間建立點對點連接,進行數據的傳輸。虛擬專用網絡技術同樣支持企業通過Internet等公共互聯網絡與分支機構或其它公司建立連接,進行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用
52、廣域網建立的連接。雖然VPN通訊建立在公共互聯網絡的基礎上,但是用戶在使用VPN時感覺如同在使用專用網絡進行通訊,所以得名虛擬專用網絡。使用VPN技術可以解決在當今遠程通訊量日益增大,企業全球運作廣泛分布的情況下,員工需要訪問中央資源,企業相互之間必須進行及時和有效的通訊的問題。如果希望企業員工無論身處何地都能夠與企業計算資源建立連接,企業必須采用一個可靠性高、擴展性強的遠程訪問解決方案。一般的,企業有如下選擇:1.管理信息系統(MIS)部門驅動方案。建立一個內部的MIS部門專門負責購買,安裝和維護企業modem池和專用網絡基礎設施。2.增值網絡(VAN)方案。企業雇傭一個外部公司負責購買,安
53、裝和維護modem池和遠程通訊網絡基礎設施。從費用,可靠性,管理和便于連接等幾方面來看,這兩種方案都不能最大程度的滿足企業對網絡安全性或擴展性的要求。因此,選擇一種基于Internet技術的廉價方案取代企業花費在modem池和專用網絡基礎設施上的投資就顯得極為重要。虛擬專用網絡的基本用途通過Internet實現遠程用戶訪問虛擬專用網絡支持以安全的方式通過公共互聯網絡遠程訪問企業資源。 與使用專線撥打長途或(1-800)電話連接企業的網絡接入服務器(NAS)不同,虛擬專用網絡用戶首先撥通本地ISP的NAS,然后VPN軟件利用與本地ISP建立的連接在撥號用戶和企業VPN服務器之間創建一個跨越Int
54、ernet或其它公共互聯網絡的虛擬專用網絡。通過Internet實現網絡互連可以采用以下兩種方式使用VPN連接遠程局域網絡。1.使用專線連接分支機構和企業局域網。不需要使用價格昂貴的長距離專用電路,分支機構和企業端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。VPN軟件使用與當本地ISP建立的連接和Internet網絡在分支機構和企業端路由器之間創建一個虛擬專用網絡。2.使用撥號線路連接分支機構和企業局域網。不同于傳統的使用連接分支機構路由器的專線撥打長途或(1-800)電話連接企業NAS的方式,分支機構端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地IS
55、P建立起的連接在分支機構和企業端路由器之間創建一個跨越Internet的虛擬專用網絡。應當注意在以上兩種方式中,是通過使用本地設備在分支機構和企業部門與Internet之間建立連接。無論是在客戶端還是服務器端都是通過撥打本地接入電話建立連接,因此VPN可以大大節省連接的費用。建議作為VPN服務器的企業端路由器使用專線連接本地ISP。VPN服務器必須一天24小時對VPN數據流進行監聽。連接企業內部網絡計算機在企業的內部網絡中,考慮到一些部門可能存儲有重要數據,為確保數據的安全性,傳統的方式只能是把這些部門同整個企業網絡斷開形成孤立的小網絡。這樣做雖然保護了部門的重要信息,但是由于物理上的中斷,使
56、其他部門的用戶無法,造成通訊上的困難。采用VPN方案,通過使用一臺VPN服務器既能夠實現與整個企業網絡的連接,又可以保證保密數據的安全性。路由器雖然也能夠實現網絡之間的互聯,但是并不能對流向敏感網絡的數據進行限制。使用VPN服務器,但是企業網絡管理人員通過使用VPN服務器,指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問敏感信息的權利。此外,可以對所有VPN數據進行加密,從而確保數據的安全性。沒有訪問權利的用戶無法看到部門的局域網絡。4.6方案特點 支持主干為千兆以太網(未來擴展); 交換機所有端口的2/3層交換能力; 支持多種CoS/QoS功能; 劃分VLAN提供網絡的安全可靠性;
57、 支持分支機構與總部VPN架構。第五章 主機系統設計5.1服務器發展趨勢把對服務器供應商的考察放在技術因素前面,是基于對我們的客戶充分負責的考慮。因為服務器供應商的技術領先程度、經濟實力、發展思路等直接關系到我們的客戶的系統的系統可用性、兼容性、擴展升級能力、售后服務等。如所選廠商不在業界處于領導地位,盡管有時所選產品在技術上有暫時的領先性,但很容易被激烈的市場競爭所淘汰,用戶的投資將得不到保護。所以我們認為首先應對服務器供應商的歷史背景、財務狀況、發展趨勢、技術領先程度有一個全面了解,這對業務量增長迅速的客戶尤為重要。目前來講,選擇 IBM 的服務器,可以在系統綜合性能、可用性、兼容性、擴展
58、升級能力、售后服務等方面都能夠得到保證。在數據庫服務器的選型上,數據庫服務器要有強大的CPU和I/O處理能力、足夠的內外存儲容量和高可靠性能;數據庫服務器系統應代表當代計算機技術的最高水平,并具有長遠的生命周期和易擴充性,能適應用現在及未來的需要,并具有最佳的性能比。數據庫服務器系統應遵循開放系統標準,具有良好的用戶界面,擁有豐富的應用集成工具和漢化版本,具有分布處理能力和應用程序的可移植性和互操作性。還應能支持多種先進的數據庫管理系統。總體來說,數據庫服務器系統的選擇需充分考慮:高性能:所采用的數據庫服務器必須是吞吐量大,響應時間快。具體表現在具有很高的實時聯機事務處理能力及快速的I/O通道
59、。應具有較高的事務處理能力(tpmC),I/O通道和系統總線開放性:不論硬件、軟件都應滿足開放系統標準。開放系統以實際的和發展中的工業標準為基礎。這些標準不僅保護了您在軟件、硬件和培訓上的投資,而且能持續降低計算成本。開放系統之所以如此流行,關鍵是對用戶投資的保護。用戶不再局限于某個廠商,可把市場上最好的各類產品組合起來,構成用戶的系統框架。產品的生產量達到一定的規模后,其價格才會相應降低,各專業廠商從事于特定領域,不但技術不斷更新,而且產品單價隨產量的增加而降低,最終受惠的還是用戶。開放系統可在多機平臺之間進行無障礙通信,通過更大范圍地存取商業信息,提高您公司的靈活性。您可以把現有系統與新系
60、統集成起來,并自信您今天的選擇能靈活地適應未來需要。隨著開放系統的激增,您將能夠在不同的廠商豐富的創新產品中進行選擇。這些開放、靈活的信息系統的出現使人們能夠更迅速、更有效地進行決策。選擇開放性好的硬件、軟件和網絡系統,保證系統之間的可連續性、相互可操作性、應用可移植性及其將來的擴充。可支持各種標準的外部設備。可用性(Availability):服務器系統的可用性包括容錯能力、安全性和聯網能力、業務開發能力、系統的整體性能、漢字處理能力、故障隔離能力等。其中系統的整體性能主要指系統要有足夠的處理速度、快捷的I/O速度和充分的內存及外存。在對服務器系統設計時,服務器處理能力的選擇以及服務器配置的
61、確定,主要依據應用系統的需求,同時,還要考慮到業務的增長對服務器擴展能力和系統升級能力的要求。作為Client/Server和Intranet結構中的服務器,要求有較高的響應速度,這不僅要求服務器的CPU有較高的處理能力,同時要求系統總線、I/O、內存、硬盤、網絡以及數據庫查詢、數據處理有較高的能力。OLTP的性能基本上反映出這些能力。服務器的OLTP能力可以用TPC-C值來衡量,TPC-C值涉及到服務器的CPU處理速度、數據庫查詢速度、OS調度能力、內存訪問速度以及Disk I/O能力。可靠性(Reliability):服務器系統的可靠性在硬件上體現在CPU、內存、硬盤、I/O和系統結構上。
62、選擇高可靠性硬件、軟件和網絡設備,具有高可靠性的保證措施,具有錯誤的自動識別、自動糾錯和RAID支持及雙機互備份等,保證系統不停機。安全性:系統必須具有較高的安全級別,對CRSP-MIS信息系統而言,它所涉及的數據來自各個部門,包括技術數據、商業信息,涉及到企業利益和國家利益。所以保證數據的安全性和一致性是十分重要的。可擴展性(Scalability):服務器的可擴展性體現在隨著用戶業務的增長,在已有系統上擴充CPU、內存、硬盤、外設的能力。易維護性:服務器最終的使用和維護是由客戶直接操作的。好的服務器應該是硬件配置簡單、軟件安裝升級方便、系統管理輕松的系統。其他:應具有全漢化的軟硬件環境確保
63、使用方便、好的性能價格比、好的售后服務,包括安裝、調試、培訓以及軟硬件的維修、升級服務、適用于用戶具體需求5.2服務器選型和配置數據庫服務器選擇數據庫服務器是各服務器中的核心,它運行企業最為關鍵的運用,存儲企業經營管理最為重要的數據,并為公司領導及決策部門提供綜合信息查詢的服務和數據服務。在華康醫藥公司局的網絡系統中,網絡服務器是系統中的關鍵。我們建議選用速度快、穩定性好、可擴展性強的IBM X370做為數據庫服務器,因為任何一家公司,尤其是華康醫藥公司的信息系統,數據庫服務器可以說是其心臟,而且為了系統的安全可靠,最好采用兩臺IBM X370熱備,從而對華康醫藥公司局的實際運用能夠達到高質量
64、、高速度、高可靠的應用要求(本期暫不實施)。此外,我們選擇一臺IBM X2350做為財務部服務器,用于財務數據和文檔存儲。服務器檔次的定位如何定位數據庫服務器的檔次目前業界還沒有一種參照的方法,因為應用千差萬別。雖然對一特定應用可以根據其數據量來確定服務器的檔次,但也只能是一個大概的定位,因為二者之間沒有直接的對應關系。下面從兩個方面對數據庫服務器作一個粗略的定位。根據支持的用戶數任何一種機型對支持的用戶數是不是無限的,即在一定的性能(響應時間)要求下,系統所支持的用戶數是有限的,性能要求越高,支持的用戶越少,反之亦然。大部分的主機生產產家針對一些著名的應用會公布一些測試結果,但不同的應用如S
65、AP、QAD或者基于數據庫的財務系統在同樣的性能要求下所支持的最大用戶數是不一樣的。或者說在同樣的用戶數條件下,其性能是不一樣的。而且在系統和應用與所支持的用戶數的因果關系是反的,也就是說,在一個硬件平臺下,針對某個應用所能支持的用戶數是測試出來,難于從用戶要求反推出某一應用所需的服務器平臺。但可以從相應的測試結果大致地確定服務器的檔次。根據信息處理量華康醫藥公司局網絡這種規模的數據處理要求一個企業級的服務器,并且在I/O等方面要保留較好的擴展性。所以數據庫服務器定位在IBM企業級服務器IBM X370上。系統可靠性設計可靠性設計的目標可靠性設計的目的是為減少系統因故障而產生的系統停止,數據丟
66、失。應達到下列要求:保證對用戶的服務連續性;保證用戶不受非正當侵害;控制故障中斷時間;保證系統一定的運行計劃和方法;及時準確的處置故障,避免社會風險。 可靠性設計的內容硬件備份方式;軟件備份方式;事故策略 系統的硬件可靠性設計提高硬件可靠性要著眼于采用高可靠性零部件。故障檢測技術、設備冗余等技術來延長平均故障修復時間。硬盤系統中的核心系統,解決硬盤系統的可靠性問題,應使用磁盤冗余陣列技術。提高網絡可靠性應采用故障屏障和網絡冗余等技術。應劃分不同網絡功能區域,限制故障影響范圍,網絡線路冗余,多類線路備份。線路多路由化根本路徑,提高程序設計與開發可靠性設計的關鍵。系統的高可靠性設計:數據庫服務器系
67、統的可靠性設計華康醫藥公司系統業務依賴于一些關鍵性的重要應用(如聯機事務處理,客戶機NFS網絡文件服務,電子郵件服務,電子郵件服務,數據庫查詢系統等),則系統不能容忍因任何故障或其他原因造成的服務中斷。對每個服務器可以使用采用雙電源,可以避免因電源故障或意外停斷電引起停機。其次采取雙CPU技術確保在一個CPU發生故障時實現故障渡越,保證系統的持續運行。在磁盤數據的備份上使用RAID技術,磁盤陣列(Disk Array)是由一個硬盤控制器來控制多個硬盤的相互連接,使多個硬盤的讀寫同步,減少錯誤,增加效率和可靠度的技術;RAID Level 3采用Byteinterleaving(數據交錯存儲)技
68、術,硬盤在SCSI控制卡下同時動作,并將用于奇偶校驗的數據儲存到特定硬盤機中,它具備了容錯能力,硬盤的使用效率是安裝幾個就減掉一個,它的可靠度較佳,RAID Level 5使用的是Disk Striping(硬盤分割)技術,與Level 3的不同之處在于它把奇偶校驗數據存放到各個硬盤里,各個硬盤在SCSI控制卡的控制下平行動作,有容錯能力,跟Level 3一樣,它的使用效率也是安裝幾個再減掉一個使用Raid技術后,服務器的數據在各個硬盤上,即使其中一個硬盤由于某種特殊原因損壞,也可以在其他的幾個硬盤上獲得丟失的數據,能夠使磁盤陣列的服務器的數據有一個高的可靠性 應用軟件可靠性軟件可靠性設計是為
69、了通過各種軟件技術延長平均故障進間和縮短平均故障修復時間。提高程序設計與開發與可靠性是軟件系統可靠性的根本途徑。提高程序設計與開發可靠性的要點是:編制程序設計文檔;模塊化設計方法;程序復用;標準化編程;結構化程序設計;采用的設計工具;軟件測試; 故障恢復策略故障恢復是提高系統可靠性的重要內容,就制定完善的事故策略,故障恢復的基本功能與方式有:基本恢復目標;故障前處理;故障后處理;故障恢復處理;恢復后處理。因此我們推薦選擇IBM X370服務器,在服務器上配置3個硬盤,使用RAID5技術,使得服務器有一個高的可靠性; IBM X370 服務器家族結合了INTEL XEON的強大計算能力和領先技術
70、。它擁有強大的性能、極高的可靠性、可用性和耐用性,完全滿足當今網絡應用的各種需求。推薦選擇IBM X235服務器,在服務器上配置1個硬盤,擴充1G內存,作為財務部部門服務器。5.3 WIN2000操作系統操作系統是計算機硬件和網絡的核心,選擇一個好的、適用的操作系統對于一個企業的計算機網絡來說至關重要。在目前可用的所有服務器操作系統中,Microsoft Windows 2000 Advance Server操作系統提供最佳的性價比。Microsoft Windows 2000 Advance Server中的處理器不相關性和對稱多處理(SMP)的低層支持是過去幾年其擴展性迅速提高的關鍵。現行
71、的業界標準的數據庫性能度量是事務處理委員會的TPC-C基準測試。在從1995年10月到1997年4月的大約18個月時間里,其所公布的Microsoft Windows 2000 Advance Server的TPC-C事務處理速率提高了三倍之多,與此同時,這些系統上的每事務處理成本下降了75%以上。Microsoft Windows 2000 Advance Server支持著許多大規模關鍵任務應用程序,4GB的RAM Tuning(4GT)能夠在Microsoft Windows 2000 Advance Server的4GB地址空間內,從操作系統到內存強化的應用程序重新分配RAM。通過使用
72、4GT,一個內存強化的應用程序可以利用多達3GB的RAM,這比基本Microsoft Windows 2000 Advance Server產品增加了50%,因此能夠高速緩存更多的數據,而且性能也得到了提高。在特大規模系統上運行的Microsoft Windows 2000 Advance Server和Microsoft Back Office的技術演示使“可擴展性”格外引人注目,這些演示包括:每天10億次事務Microsoft Windows 2000 Advance Server通過利用一個多節點配置的Compaq硬件(配置了Intel Pentium Pro處理器),在24小時的時間里
73、能夠處理相當于18億次自動柜員機事務。這超過了美國5家最大銀行處理的事務量總和。64位支持,Microsoft Windows 2000 Advance Server和Sphinx中的64位內存支持提供巨大的性能改進(高達1,700%)。對于數據倉庫客戶來說,應答時間的改善意味著更快的決策。Microsoft Windows 2000 Advance Server利用下列工具而使之成為最易于安裝、部署和管理的服務器操作系統。管理向導 易于訪問的工具,指導你完成最常見的服務器安裝和管理任務。網絡監視器 一種強大的診斷工具,它使你能夠很簡單地分析網絡流量和排除故障。系統政策編輯器和用戶輪廓 用于幫
74、助系統管理員有效、一致地管理和維護用戶的桌面。任務管理器 允許你通過監控應用程序、任務和關鍵的性能度量,最大限度地提高系統可靠性。打印增強 最大限度地減少用戶在啟動一項打印作業之后返回應用程序時所必須等待的時間。改進的Microsoft Windows 2000 Advance Server診斷工具 提供簡單的圖形系統檢查。Web管理 能使你利用現有的運行于Microsoft Windows、Macintosh和UNIX平臺的HTML瀏覽器,遠程管理Microsoft Windows 2000 Advance Server。分布式文件系統(Dfs) 它允許管理員建立跨多部文件服務器和文件共享的
75、分級目錄。Dfs包括一個易于使用的管理工具,它使網絡管理員能夠簡單地建立和維護Dfs目錄。由于大多數管理任務不需要新工具,因此Dfs易于管理。第六章 網絡安全設計華康醫藥公司客觀上要求該網絡具有很強的安全監控能力,既能抵御外部的侵擾,又能根據信息的保密程度,對內部用戶進行權限控制。因此我公司建議在網絡設計時,應全面考慮系統的安全策略。系統整體安全策略,是由系統內各個組成部分的安全策略相結合構成的。安全策略建立了全方位的防御體系來保護機構的信息資源。這種安全策略體系應當出版安全指南加以說明,告訴用戶他們應有的責任,系統規定的網絡訪問,服務訪問,本地與遠程的用戶認證,撥入撥出控制,磁盤和數據加密,
76、病毒防護措施,以及雇員培訓等。所有可能受到攻擊的地方都必須以同樣的安全級別加以保護。6.1 系統安全策略設計原則網絡系統安全策略實際上是一個系統工程,單靠系統設計并不能完全解決問題,它需要網絡系統的管理人員以及用戶的密切配合。所以在網絡系統的安全策略時,我公司將遵循如下原則: 增強各級領導、系統的管理人員和所有用戶提高安全意識,制定系統安全管理規范,并監督執行,定期檢查。 在網絡系統設計時,就建立系統防護型安全模式,措施如下:提供網絡安全保護的措施提供應用系統安全保護措施下面的部分將依據上面的原則,詳細描述我公司建議的安全模式,該安全模式可使用戶的網絡確保安全可靠。6.2 系統安全模式設計我公
77、司建議華康醫藥公司網絡系統采用如下安全模型,其實現方法如下:交換機控制根據華康醫藥公司的用戶需求要求,各部門之間相互獨立成系統,可以通過對交換機的VLAN的劃分實現各個部門的獨立,同時可通過對各個VLAN、IP地址、端口設定相應的訪問權限對各種訪問進行控制,保證部門內數據安全。服務器端安全控制在華康醫藥公司的網絡中,中心服務器、各個部門服務器中的操作系統等軟件都可以對用戶帳號進行管理,在服務器端可以設定多種安全策略對用戶的權限進行管理,如對在中心服務器內的某個重要的敏感文件,可以設定對局領導有權閱讀而其他部門如電臺等、其他人員則沒有閱讀的權限。同樣各個部門內的文件可以設定對本部門的人員開放,而
78、其他部門人員則無法閱讀。客戶端安全控制計算中心制定系統安全使用規則,建章立制,并對所有用戶進行安全使用系統的教育,使每位用戶都了解安全操作的必要性,并自覺遵守。如定期更改個人密碼,長時間離開工作站自覺退出系統等等。在客戶端的文件,也可以通過對不同的文件針對不同的人員設定不同的權限實現客戶端的安全。防火墻控制今天的企、事業單位正竭力通過利用Internet來提高市場反應速度和企業辦事效率,以便更加具有競爭力。隨著越來越多的事務在辦公室之外進行,基于Internet的技術一方面具有良好的開放性,資源共享,協議通用,互聯方便,但同時又帶來了嚴重的安全性問題。不妨從三方面來考慮安全問題:系統的安全,信
79、息加密和網絡安全。系統的安全包括管理員帳戶,密碼,數據庫存取權限以及Mail等方面的問題。在主機的選型,操作系統和數據庫方面,我們已充分考慮了安全問題,各廠家,如ORACLE, DEC, Microsoft等均有相應的策略。關鍵問題是用戶如何加強管理,比如,重要場合的出入,系統管理員的素質,以及帳戶管理策略等(帳戶劃分,時效性等)。信息安全包括應用層和基于IP的加密信息加/解密技術可以分為兩種體系,即單密鑰的加密體系和雙密鑰的加密體系,單密鑰的加密體系在加密和解密是時采用相同的密匙,如著名的加密算法DES;雙密匙的加密方法又叫公開密匙的加密方法,加密和解密時采用不同的密鑰,即公開密鑰和私人密鑰
80、,如著名的RSA算法。這兩種加密體系在Internet都得到了不同的應用,如UNIX系統的用戶密碼password就采用了DES算法。網絡安全的主要技術是防火墻技術(Firewall), 防火墻技術的核心思想是在網間環境中構造一個相對安全的子網環境。有兩種實現方式, 即基于包過濾(Packet Filter)的防火墻和基于代理(Proxy)的防火墻。包過濾型防火墻處在網絡層, 根據IP包的包頭信息來對信息的訪問進行控制。基于代理的防火墻也叫應用層防火墻,處于應用層,可對IP地址和在該IP地址上具體應用進行控制,比如在應用建立時的密碼驗證, 在FTP應用中允許某站點GET而不許PUT等等。這兩種
81、防火墻各有優缺點,包過濾型防火墻由于基于網絡層,因此對用戶來說比較透明,但它一般采用“沒被禁止的就是允許的”這一策略,在它失敗時,網絡是暢通的。這時內部網絡將失去安全的屏障,而應用層防火墻采用“沒被允許就是禁止的”這一策略,在它失效時,內部網絡與外部網絡是隔離的,因次,應用層防火墻要比包過濾性防火墻安全。大多數路由器均支持過濾功能,比如在路由器上可以通過設置規則來實現包過濾功能,禁止外部網絡對內部網絡的某些重要機器的訪問,禁止內部網絡主機對Internet上部分站點的訪問,并利用端口號來選擇控制的應用協議,這樣就可以設置一些較復雜的規則,比如可以允許某臺機器對Internet具有E-mail訪
82、問功能,卻不能使用WWW和FTP等。因此它相當于一個黑盒子,用戶無法檢測到它的存在。安全代理服務器軟件主要分為兩種:一種直接利用原有的TCP/IP應用的客戶。在這種方式下,用戶想訪問Internet時,必須先登錄到代理所在的工作站上,然后才能訪問。另一種方式是利用與代理服務器配套的客戶軟件。這種方式在訪問Internet時不需先登錄到代理服務器,可實現對Internet的透明訪問,因此在使用時比較方便。本方案推薦通過金稅公司高性能的StopHacker守護神防火墻使華康醫藥公司的網絡系統可以訪問Internet,并保證起安全性。通過防火墻來劃分不同的區域,把華康醫藥公司的網絡系統放置在安全級別
83、最高的區域,而一些對外提供服務的服務器放在安全級別比較低的區域,通過對安全級別的劃分可以有效的保護需要保護的數據和用戶。6.3 StopHacker守護神防火墻6.3.1 StopHacker守護神防火墻的優點1、自主產權軟硬件一體化設計,采用專用安全操作系統,擁有軟件和硬件的全部自主產權。2、多工作模式StopHacker守護神防火墻的工作模式有三種:路由模式、透明網橋模式、混合模式。* 路由模式路由模式是防火墻的基本工作模式,該模式運行在網絡層。在路由模式下,一般要做NAT地址轉換,這時防火墻的各個端口IP地址都位于不同的網段。在路由模式支持NAT地址轉換和PAT端口轉換。* 透明網橋模式
84、透明網橋模式在數據鏈路層實現。防火墻在該模式下工作時,可以透明的接入到網絡的任何部位,無需改動用戶網絡結構和配置,即插即用,簡便高效,使用方便。* 混合模式在混合模式下,防火墻可以有部分端口在路由模式下工作,部分端口在透明模式下工作。 3、一次性口令用戶認證模塊一次性口令(OTP,One-Time Password)機制是一種高強度的認證,它無須在網上傳輸用戶的真實口令,并且由于具有一次性的特點,可以有效防止重放攻擊(Replay Attack)。在采用了一次性口令認證機制后,即使有竊聽者在網絡上截取網絡傳輸信息,由于該信息的有效期僅為一次,故也無法再利用這個信息進行認證鑒別。StopHack
85、er守護神一次性口令認證還可以結合智能IC卡、ikey等硬件進行輔助認證。 4、計費StopHacker守護神防火墻支持按用戶或者IP地址進行計費,可按時間或者流量設置計費規則,支持預交費管理,并可以結合一次性口令用戶認證實現使用智能IC卡等硬件計費管理。5、 用戶與MAC地址、IP地址的綁定在網絡管理中IP地址盜用現象經常發生,不僅對網絡的正常使用造成影響,同時由于被盜用的地址往往具有較高的權限,因此也會對用戶造成大量的經濟上的損失和潛在的安全隱患;守護神防火墻支持MAC地址和IP地址綁定。另外,通過使用一次性口令用戶認證,可以實現跨網段的用戶、MAC和IP地址的綁定。6、支持和StopHa
86、cker守護神系列安全產品聯動。6.3.2 StopHacker守護神防火墻功能1、基于IP地址、協議、端口、方向等的包過濾和訪問控制IP報文的報頭及所承載的上層協議(如TCP)報頭的每個字段包含了可以由防火墻進行處理的信息。包過濾通常用到的屬性有:* IP的源和目的地址;* 所使用的協議;* TCP/UDP的端口;* ICMP的類型;* TCP的標志位;* 表示請求連接的單獨的SYN;* 表示連接確認的SYN/ACK;* 表示正在使用的一個會話連接;* 表示連接終端的FIN;可以由這些屬性的各式各樣的組合形成不同規則。StopHacker守護神防火墻提供了基于接口的包過濾,即可以在一個接口的
87、進出兩個方向上對報文進行過濾。2、基于時間的訪問控制基于時間段的包過濾,可以規定過濾規則發生作用的時間范圍。3、IP地址轉換(NAT)功能StopHacker守護神防火墻擁有強大的地址轉換能力。 同時支持正向、反向地址轉換,能為用戶提供完整的地址轉換解決方案。正向地址轉換。用于使用保留IP 地址的內部網用戶通過防火墻訪問公眾網中的地址時對源地址進行轉換。對公眾網來說,訪問全部是來自于防火墻轉換后的地址,并不認為是來自內部網的某個地址,能夠有效的隱藏內部網絡的拓撲結構等信息。同時內部網用戶共享使用這些轉換地址,自身使用保留IP 地址就可以正常訪問公眾網,有效的解決了全局IP 地址不足的問題。反向
88、地址轉換。內部網用戶對公眾網提供訪問服務(如Web、FTP 服務等)的所在服務器如果是放置在局域網中,使用虛擬IP 地址,或者想隱藏服務器的真實IP 地址,都可以使用防火墻的反向地址轉換來對目的地址進行轉換。公眾網訪問防火墻的反向轉換地址,由內部網使用保留IP 地址的服務器提供服務,同樣既可以解決全局IP 地址不足的問題,又能有效的隱藏內部服務器信息,對服務器進行保護。防火墻能提供端口映射和IP 映射兩種反向地址轉換方式,端口映射安全性更高、更節省全局IP 地址,IP 映射則更為靈活方便。4、 全面支持TCP/IP協議;5、 透明代理:提供對常用的應用協議如HTTP、FTP等的透明代理服務;6
89、、 兩種對資源使用的用戶身份認證網絡為本地用戶、移動用戶和各種遠程用戶提供信息資源,所以為了保護網絡和信息安全,必須對訪問連接用戶采用有效的權限控制和身份識別,以確保系統安全。* 透明代理用戶認證針對HTTP和FTP協議的代理級的用戶認證。當用戶使用瀏覽器上網時,彈出用戶認證對話框,要求輸入用戶名稱和口令。* 一次性口令用戶認證(模塊)和協議無關的用戶認證機制,用戶口令不真正在網上傳輸,安全性高。由于采用一次性的口令認證機制,即使竊聽者在網絡上截取到口令,也無法再利用這個口令與內部網建立連接。,并支持使用IC卡、ikey等硬件方式輔助認證。7、 完善的計費功能支持按流量、用戶、IP地址或時間進
90、行統計計費,并支持預繳費方式;8、 審計日志;提供日志下載、備份和報表式、統計圖式查詢功能:防火墻的日志管理方式包括日志下載、備份和日志查詢,這為用戶進行日志的審計和分析提供了方便。防火墻還提供日志導出工具,將各種日志信息導出到管理服務器,方便進一步處理。日志包括管理日志和運行日志。其中,運行日志又包括簡潔日志和祥細日志兩種; 9、 標準Windows配置界面圖形化的配置界面,對防火墻進行遠程控制,更方便于配置管理;10、 對防火墻訪問配置的用戶分級控制提供管理員、操作員和審記員的分權管理安全機制,且不同用戶級別,所能行使的權限不同;防火墻使用唯一鎖定技術對遠程控制軟件進行識別。11、 提供安
91、全策略檢測機制,對規則進行控制邏輯檢查,保證用戶配置規則 的正確性;12、 URL攔截與內容過濾13、 防御攻擊功能;* 防TCP、UDP等端口掃描;* 抗DOS/DDOS攻擊;* 可防御源路由攻擊、IP碎片包攻擊、DNS/RIP/ICMP攻擊、SYN等多種 攻擊;* 阻止ActiveX、Java、Javascript等侵入;14、 雙機熱備份;提供防火墻的雙機熱備份,提高系統可靠性和性能。熱備份通過多種方式觸發工作模式切換,模式切換時間短。15、 VPN模塊16、 防病毒網關6.3.3 StopHacker守護神防火墻性能、參數1、防火墻性能* MTBF(無故障運行): 30000小時* 設
92、計策略(規則)數量許可值:8000 條* 設計性能策略數量:512 條* 最大并發連接數:60000條* 設計性能:98 Mbps2、物理、電氣參數* 工業級的CPU主機板,高強度鋼殼結構* 支持電信標準電源: 220V 50/60Hz存儲溫度:0-70攝氏度運行溫度:10-40攝氏度存儲濕度:5-90 %運行濕度:10-80 %第七章 UPS電源方案設計在系統設計中,我們根據標書要求,在中心機房中設置一臺UPS。我們根據投標書要求,在眾多的UPS廠商中選用山特公司的UPS產品,山特公司的UPS一貫以性能出眾、運行穩定而著稱。本系統在主機房選用一臺山特 UPS-6KVA、8H的產品,該產品屬于
93、智能式在線UPS,可通過網管工作站的RS-232接口進行管理工作,實現兩臺UPS的最佳運行參數。UPS提供6KVA容量的不間斷電源組,足以滿足計算機網絡中心服務器、交換機對電源的特殊要求。一、 可靠性高:在線互動式設計,具有效率高、發熱小、噪音低、且故障率低于千分之一,具有極大的可靠性。主要有如下幾個方面:1、 低直流電壓(48V)電路設計:低直流電壓(48V)電路設計從根本上解決了傳統的UPS產品在潮濕、灰塵多的地區易發故障的問題。2、 在線互動式設計:UPS的逆變器在有市電時,處于輸出電壓調整狀態,同時給電池充電。UPS的逆變器不承擔全部負荷,具有效率高、發熱小,極大的降低了UPS的故障率
94、。3、 智能風扇設計:UPS散熱風扇受CPU控制,只在UPS處于電池供電狀態時和UPS內部溫過高時工作,大多數時間不運轉,有效的降低了UPS的工作噪聲,極大的延長了風扇的使用壽命,同時減少UPS內部的灰塵推積。4、 變壓器輸出方式:采用傳統的變壓器輸出方式,使UPS具有很強的輸出抗負載沖擊能力,極大的提高了UPS供電可靠性。二、 高度智能化:先進的微處理器控制的UPS,使得UPS具有高度的智能化,主要有如下幾個方面:1、 定期自檢和故障自我偵測。通過對UPS的系統設定,可令UPS進行定期的自檢,確保UPS處于最佳的運行狀態。當UPS出現異常時,可通過UPS內部的檢測,將故障的部位及時通知用戶。
95、2、 智能電池管理。UPS通過對安裝在電池模塊內的處理器的通信,可及時的偵測電池的容量、電壓 、溫度,可計算出電池的供電時間,判斷電池的性能,調節對電池的充電電壓、方式,從而達到延長電池壽命,并保證在電池出現故障時及時通知用戶進行更換。3、 具有強大的軟件通訊和監控功能。UPS與山特電源管理軟件的配合使用,可實現計算機系統的安全關機、定時開關機、定期的電池運行時間檢測、UPS自檢、以及UPS工作異常時的小區廣播或通過電話,尋呼等功能。同時,軟件有記錄的功能,可記錄UPS的運行日志、運行數據。通過軟件可對UPS的工作參數進行修改,包括UPS的輸入輸出電壓、電池運行時間、UPS的溫度保護、電池低電
96、壓保護值、關機時間、通訊參數、等等。UPS與山特的其它智能附件的配合使用,可實現更多的功能。如UPS與山特SNMP卡可實UPS的網絡管理功能,并可通過網絡同時控制多達50臺計算機的安全關閉。與CALL UPS可實現UPS的遠程管理和UPS的故障尋呼功能。與其它附件的配合使用還可實現如UPS的工作環境監控、并機冗余等。 第八章 產品介紹由于在整個網絡工程中,數據庫服務器尤為關鍵,因此我們重點介紹IBM服務器產品性能,并推薦了另一款SUN機器供用戶參考。8.1 IBM X370高性能服務器更多的處理器、更多的內存、更多I/O處理性能 IBM xSeries 370 是高性能的8路、基于Intel
97、處理器的企業級服務器,專門設計用于滿足極端需求的應用程序運行需要。xSeries 370 服務器運行極端需求的應用程序、高達12個 Active PCI插槽并支持高達32GB內存,輕松完成數據密集型的任務處理。最佳化SAN解決方案設計,支持SCSI和光纖通道解決方案。IBM xSeries 370服務器的上述技術特性使其成為面向關鍵商務應用,如SAP R/3, Siebel eBusiness 應用程序,Congnos 商業智能解決方案和更多應用的理想選擇。此外,xSeries 370 服務器還廣泛采用IBM X-架構TM技術,將大型機所應用的先進技術移植到Intel平臺中。主要技術特性 70
98、0MHz或900MHz Intel PentiumIII XeonTM處理器 512MB ECC SDRAM,可擴展至32G 高達12個ActiveTM PCI插槽以滿足系統擴展和可用性要求 系統連續運行的最大可用性 ActiveTM PCI 技術使xSeries 370 服務器系統連續運行;無需宕機停止商務應用程序,就可以在12個插槽中的任何一個擴展系統性能。甚至將多個xSeries 370 服務器組成群集系統,運行Microsoft Windows 2000 Datacenter Server 或 Windows 2000 Advanced Server,擴展系統可用性。系統還具有失效保護
99、特性:冗余的熱插拔電源和風扇、熱插拔磁盤和預測故障分析、內存、穩壓模塊、驅動器和處理器。簡單而直觀的管理 IBM Director軟件提供系統處理能力規劃和遠程管理。其光通路診斷面板能及時給出各子系統狀態的清晰圖像,并存貯系統監控期間臨界時段的數據。IBM x370 技術性能一覽表 型號8681-1RX8681-2RX8681-3RX外形/高度機柜(機柜塔型轉換選件)/ 8UIntel 處理器Pentium III Xeon 700MHz/100MHzPentium III Xeon 700MHz/100MHzPentium III Xeon 900MHz/100MHz處理器數量(標配/最大)
100、1/81/81/8二級高速緩存(每個處理器)1M2M2M內存(標配/最大)512MB/32GB ECC SDRAMI/O插槽12個64位Active PCI插槽,其中4個為66MHz, 8個為33MHzPCI磁盤控制器集成雙通道Ultra2 SCSI高級系統管理適配器高級系統管理PCI適配器托架4個開放托架(分別用于兩個熱插拔;40x-17x光驅;1.44M軟驅)內置熱插拔存儲器(標配/最大)0/146.8GSCSI RAID支持可選的ServeRAIDTM-4系列Ultra160,Active PCI SCSI RAID控制器外置SAN存儲器FAStT 200, FAStT 500, FAS
101、tT EXP500,及光纖通道硬盤驅動器網絡可選I/O端口2個串口,1個并口,2個USB接口,1個鼠標接口,1個鍵盤接口,1個視頻接口電源750瓦(220V);3個熱插拔及N+1個備用電源風扇6個熱插拔及冗余光通路診斷TM有預測故障分析硬盤驅動器,處理器,穩壓模塊,風扇,電源及內存支持操作系統Mircosoft Windows 2000 Datacenter Server,Mircosoft Windows 2000 Server/Advanced Server,Mircosoft Windows NT ,Novell NetWare,SCO UnixWare及Linux (包括Red Hat,SuSE,Caldera,TurboLinux)軟件IBM Director,IBM ServerGuideTM服務、技術支持3年有限現場保修IBM x370 透視圖 1處理器盒(三個熱插拔風扇已拆卸)2兩個HH/SH 熱插拔硬盤驅動器3操作控制面板440X CD-ROM (IDE)51.44 軟盤驅動器6光通路診斷顯示面板7安裝在內存(最大32MB 內存)前端的鐵架子 8傳統I/O 端口9鍵盤和鼠標端口10三個750W/220V 熱插拔電源(冗余)118U X 28 深的機柜優化、高度可維護的機械設計/PCI 插槽12系統管理、以太網、串口、RS485 端口
全部分類
標準檢索
招標公告
免費下載資料庫
10000份+資源包
千萬vip文檔暢享下載
下載文檔文件編輯即用
網站精選百萬好案
百萬工程地產工作者都在用
微信掃一掃登錄
