华康医药计算机网络改造项目设计方案.docx

华康医药计算机网络改造项目 设 计 方 案 2003年5月 目 录 第一章 前 言 4 第二章 需求分析 5 2.1网络系统设计的原则 5 2.2系统需求归纳 6 2.3系统设计目标 6 第三章 总体方案设计 7 3.1核心技术介绍 7 3.1.1局域网技术选型 7 3.1.2虚拟网络的划分 9 3.1.3第三层交换与路由 12 3.2 总体方案设计概述 19 3.2.1 总体方案设计目标 19 3.2.2 总体方案设计原则 19 3.1.3 网络平台的设计 20 3.1.4 主机选型概述 20 3.1.5 网络设备选型概述 21 第四章 网络系统设计 22 4.1网络拓扑结构 22 4.2整体网络结构 23 4.3企业内部局域网 24 4.4 Internet接入 24 4.5 VPN组建 24 4.6方案特点 28 第五章 主机系统设计 29 5.1服务器发展趋势 29 5.2服务器选型和配置 31 5.3 WIN2000操作系统 35 第六章 网络安全设计 37 6.1 系统安全策略设计原则 37 6.2 系统安全模式设计 37 6.3 StopHacker守护神防火墙 40 6.3.1 StopHacker守护神®防火墙的优点 40 6.3.2 StopHacker守护神®防火墙功能 41 6.3.3 StopHacker守护神®防火墙性能、参数 44 第七章 UPS电源方案设计 45 第八章 产品介绍 47 8.1 IBM X370高性能服务器 47 第一章 前 言 21世纪世界竞争的焦点将是信息的竞争，社会和经济的发展对信息资源、信息技术和信息产业的依赖程度越来越大，信息技术的发展对政治、经济、科技、教育、军事等诸多方面的发展产生了重大的影响，信息化是世界各国发展经济的共同选择，信息化程度已成为衡量一个国家，一个行业现代化的重要标志。 我公司是从事计算机系统集成和软件开发的高科技信息产业公司。主营业务为计算机系统集成，包括信息管理系统及软件开发、网络与通讯、网络安全、安全监控、智能大楼综合布线工程等。公司在承接大中型工程项目上有着坚实的技术基础和丰富的实践经验。工程涉及政府、企业、部队、公安、金融、税务、邮电、电力等各个行业，承接了几十项规模大、技术先进的重点工程。 公司在计算机系列产品及网络系统产品上与国内外多家先进厂家进行了密切的合作，并建立了良好的销售及代理渠道，使公司能以最先进的技术、最快捷的服务为各类大、中型项目提供良好的支持。 华康医药公司计算机网络系统集成项目作为ERP系统重要组成部分，在其设计和建设中应充分考虑当前和未来信息系统的发展需要，采用合理的技术，选用先进的设备和软件，以最大限度地满足当前应用系统的需要。其系统总体目标是根据华康医药公司的现状与需求，建立先进、实用、安全、可靠、开放的计算机网络环境，利用先进的技术和手段实现网络互联，建成企业内部信息网络系统，以实现各个部门的连接及信息共享，最大限度提高企业内部信息系统的的效率。因此，根据华康医药公司网络的需求，并在充分理解华康医药公司ERP信息化系统实际需求的基础上，结合我公司技术人员多年的计算机系统集成经验和最新的计算机网络技术，本着“先进性、可靠性、安全性、实用性、开放性、可扩展性、易操作性、易管理维护性”的原则，给出我公司的设计方案。 第二章 需求分析 2.1网络系统设计的原则 “先进性”原则，计算机网络系统的基础结构要立足于目前相关领域国际先进的技术和标准，以Intranet为核心，选用具有代表性和先进性的技术和设备，建成技术先进、性能优良、功能齐全、运行可靠的计算机网络系统。 “可靠性”原则运行可靠是计算机网络系统建设的一个先决条件，各种服务器和计算机系统应具有长期的重负荷稳定运行和相对较强的抗干扰能力，必须采用多方面的措施，如尽量采用成熟而通用的技术和产品、在系统设计和软硬件选配中尽量简化及优化、对系统关键部分做适当的冗余考虑等，使系统具有良好的可靠性。 “安全性”原则，计算机网络系统必须按照多重保护、多层次实现、多个安全单元以及动态发展等安全性策略，在服务器平台方案和部署设计上，应体现较为完善的网内安全隔离和网间互联安全保护等原则，在设备及软件的选型配置上，应对其所具备的安全技术和保护能力等加以充分考虑，形成安全系统机制，并提供有效的备份应急措施，为进行严格的信息安全管理提供技术基础和手段。 “实用性”原则，在网络系统的设计和建设过程中，要尽量采取成熟的、有成功先例的技术，合理选用系统设备和系统软件，优化系统性能价格比，精心设计、科学施工，避免采用过高和华而不实的技术、设备和软件，避免失误，避免重复劳动，求的资金投入的最大效益。 “开放性”原则，网络系统设计过程中，要坚持标准化和开放的原则，采用广为流行的国家标准和国际标准，使不同生产厂商的硬件、软件产品能融为一体，为信息系统开发提供良好的开发平台。 “扩展性”原则，随着企业信息化的不断发展，企业计算机局域网信息系统及应用的规模和水平将会不断发展变化，这就要求计算机网络系统能够适应这些发展变化。另一方面，计算机网络和通信技术发展迅速，新的技术不断涌现，新的需求不断增加。因此，建成的计算机网络系统应具备良好的可升级性、可扩展性，以适应不断发展的应用需要、跟上不断进步的技术水平。 “可管理性”原则，系统应支持先进有效的管理策略，提供良好的管理工具或手段能够实时监视服务器各种设备的工作情况，并在安全和系统故障方面进行预警，提交日志和分析报告，及时发现故障点，为平衡负载、优化服务、排除故障提供手段和依据。 2.2系统需求归纳 华康医药公司各业务部门信息点主要分布在旧办公大楼，未来新大楼建成使用之后,中心机房将搬迁到新大楼。需求归纳如下： 1. 局域网主干采用千兆以太网技术，100M交换到桌面，采用Internet／Intranet 应用模式； 2. 网络必须采用VLAN和第三层交换技术，控制和管理； 3. 广域网采用多种技术，实现各个信息点通信的要求(包括IP电话)； 4. 操作系统采用Windows~2000AdvancedServer； 5. 采用防火墙技术和可靠的防火墙产品，保证整个网络的安全； 6. 主机系统采用IBM服务器和磁盘阵列组成，要具有高可靠性，数据库系统 建议采用大型数据库系统(Oracle)。 2.3系统设计目标 1. 实现华康医药公司各科室及科室内部以及各连锁药房的信息交换和资源共享，满足每个桌面的计算机均能入网的要求； 2. 建立远程传输系统，实现在外人员与各部门及时有效的信息交换和移动办公； 3. 以网络硬件和各服务器平台为基础，形成Intranet／Intemet技术为核心的企业级网络环境，建立ERP系统； 4. 未来实现和社保等单位的网络互连 第三章 总体方案设计 3.1核心技术介绍 3.1.1局域网技术选型 随着信息产业的发展，台式机系统的能力火箭般上升，各种新的图形应用和多媒体应用在网上运行，联网用户急剧增加，网络规模和复杂性不断增长。另外，Intranet／Internet应用模式的采用，使得网络流量更加难以预测。这一切都对网络通信性能提出了更高的要求。采用高速网络技术势在必行。 目前可供选择的有100Base-T、ATM和千兆位以太网技术，各种技术又可用集线器、交换机、第三层交换机和路由器进行多样组合。对此，我们必须进行探讨，慎重选择。 ATM技术可说是网络上的一大变革，它所有的观念炯异于以前的网络概念，它是一种面向连接的网络技术。所谓面向连接是指传送一方在送资料时需和接收一方建立连线，就如同我们打电话一般。另外ATM的报文大小为固定长度(53字节)的信元，如此可保证传输过程的低延迟能力。最特别的是，在ATM的通讯架构中，早已建置了服务质量(QOS)的功能。由于以上的特征，ATM将是一种很有发展前途的技术，也是人们所期待的集成语音、影像及数据等多媒体信息的技术。然而就是因为ATM集合了这么多的优点，造成规格及标准的制定困难，进度缓慢，同时也因为以前的应用程序均是以NDIS及ODI作为应用编程接口(APl)，若要使用ATM的优点，则必须通过LAN Emulation或MPOA之转换，但经由此等转换后，ATM的优异性将荡然无存。 而在ATM到桌面的环境中，由于缺乏能有效利用ATM特性的APl标准，导致目前在ATM上的多媒体应用多为厂商专属的解决方案，存在致命的兼容性问题，不利于发挥ATM的优势，加上管理界面的不同，限制了用户的接受度。 为了能与ATM分庭抗礼，以太网络的忠实拥护者于数年前推出了100Mbps快速以太网络。与此同时，业界还问世了另一标准—100VG-AnyLAN，这两者同样是100Mbps的传输速度。100VG-AnyLAN支持优先级调度，平心而论，它确实是很好的通讯协议，但在业界及使用者的选择下，100VG-AnyLAN被淘汰出局，成为叫好不叫座的明星。究其原因，在于快速以太网采用和以以太网相同的技术，传承自以太网的规范，原来的应用可继承。由于在网络市场中，以太网的用户数比例高达80％以上，如此雄厚的用户基础，加上快速以太网良好的性能价格比，使其迅速成为市场主流。 快速以太网与交换技术的结合，使其具备如下优点 * 简单，低成本，可实现原有以太网无缝升级： * 众多处于业界依靠的网络厂商、主机厂商、半导体厂商甚至传统通信业厂商的支持。 而在快速以太网规范完成的同时，千兆以太网(Gigabit Ethernet)的规范即已着手制定，希望能将以太网络的频宽从10Mbps、100Mbps提升到1000Mbps。干兆以太网仍属于IEEE 802．3类，仍采用CSMA／CD协议，有着相同的报文格式及长度，同样的管理界面，同样的全双工及半双工操作模式。1EEE802．3z规范于近期完成，市面上已在产品问世。目前在布线上已明确规范上分为1000Base-SX和1000Base-LX。1000Base-SX支持多模光纤(850nm短波长)，传输距离500m：1000Base—LX(1300波长)，支持多模光纤或单模光纤，多模方式，传输距离不低于550m，单模方式，传输距离最远可达70km。 千兆以太网的出现，为以太网、快速以太网提供了一个新的升级途径。 面对IEEE 802．3类以太网络在频宽管理能力方面的缺乏，IEEE在其规范中不断采取它种技术以修正，如在服务质量方面(QOS)，积极制定IEEE802．1p优先权级别，同时利用RSVP，使用频宽保留的技术提供服务类(Class of Service)，供语音及影像等多媒体信息应用。 综上所述，就目前来看，ATM和IEEE802．3类的以太网(包括10Mbps、100Mbps和1000Mbps)这两种技术是比较有前途的，其中后者适用于以数据为主的应用环境中，搭配一些频宽管理的特性，也可使用多媒体。适用环境如：ISP、数据交换中心及企业Intranet之主干技术。而ATM则适用需同时提供语音、视频、数据服务之环境。 根据上述当前的技术发展趋势，针对华康医药公司网络的需求，我们建议采用交换技术构筑局域网，为了保护以前的投资，网络主干采用快速以太网，同时具备向千兆以太网升级的能力，而客户机以100M以太网接入网。从近年来计算机应用的发展来看，越来越强调各个部门之间的协调、协作与沟通，诸如Intranet和分布式协同计算模式的应用已日趋广泛，这使得任何用户在任何时间都有可能访问任何服务器的资源。下一个瓶颈将在哪里出现是很难预料的。因此，有必要在网络设计时，考虑配置高速交换机，在主干中建立过量的带宽，以确保每一个应用都可以在它需要的时间内得到它需要的资源。而另一方面，随着网络规模的扩大，如果采用全交换方式，而不具备路由能力时，那么整个局域网将不得不作为一个单一的庞大的广播域来运作，这样会造成任何一个与网络连接的端点发出一个广播报文时，它将穿透所有的交换器而影响整个网络效率，进而引起广播拥塞，导致网络响应时间缓慢到不能接受的地步。网络规模越大，产生这种广播风暴的机会会越高。这就需要采用路由技术将一个大的广播域分割成互连的几个小的广播域。但传统的路由器吞吐量低、延迟大，且价格昂贵，不适应于应用模式的需要。第三层交换机则应运而生，结合了第二层交换的高吞吐量、低延迟的特性，和路由器的安全控制和管理能力。我们建议在华康医药公司网络工程系统中引入第三层交换技术。 根据当前的技术发展趋势，针对华康医药公司域网的应用需求，我们建议采用交换技术构筑内部局域网，网络主干采用千兆以太网，而客户机以100M以太网接入网。 3.1.2虚拟网络的划分 在华康医药公司域网中，可以采用虚拟网技术，对华康医药公司不同的部门划分虚拟网。虚拟网(VLAN)是将一组彼此相关的用户和服务器逻辑地分成工作群组，这样的逻辑划分与物理位置无关，用户、工作站或服务器能够在网络网部任意移动，而始终维持通讯上原有的逻辑关系不变。其实，使用VLAN技术就是把一组用户分配在一个单一的广播域(VLAN)中， 在该广播域上的广播流量只有其成员才能够收到。 实际上，VLAN成员的定义可以分为4种: 1、根据端口划分VLAN 这种划分VLAN的方法是根据以太网交换机的端口来划分，比如CISCO3550的1~4端口为VLAN A，5~17为VLAN B，18~24为VLAN C，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机的话，例如，可以指定交换机 1 的1~6端口和交换机 2 的1~4端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。 2、 根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。 3、 根据网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层地址或协议类型(如果支持多协议)划分的，虽然这种划分方法可能是根据网络地址，比如IP地址，但它不是路由，不要与网络层的路由混淆。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换。 这种方法的优点是用户的物理位置改变了，不需要重新配置他所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的桢标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率，因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网桢头，但要让芯片能检查IP桢头，需要更高的技术，同时也更费时。当然，这也跟各个厂商的实现方法有关。 4、IP组播作为VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高，对于局域网的组播，有二层组播协议GMRP。 通过上面可以看出，各种不同的VLAN定义方法有各自的优缺点，所以，很多厂商的交换机都实现了不只一种方法，这样，网络管理者可以根据自己的实际需要进行选择，另外，许多厂商在实现VLAN的时候，考虑到VLAN配置的复杂性，还提供了一定程度的自动配置和方便的网络管理工具。 以前，各个厂商都声称他们的交换机实现了VLAN，但各个厂商实现的方法都不相同，所以彼此是无法互连，这样，用户一旦买了某个厂商的交换机，就没法买其他厂商的了。而现在，VLAN的标准是IEEE 提出的802.1Q协议，只有支持相同的开放标准才能保证网络的互连互通，以及保护网络设备投资。 下面讲述一下VLAN的优点: 1、减少移动和改变的代价，即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点。 2、虚拟工作组，VLAN的最具雄心的目标就是建立虚拟工作组模型，例如，在校园网中，同一个系的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人，一个人如果从一个办公地点换到另外一个地点，而他仍然在该系，那么，他的配置无须改变，同时，如果一个人虽然办公地点没有变，但他换了一个系，那么，只需网络管理者那配置一下就行了。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个远大的目标，要实现它，还需要一些其他包括管理等方面的支持。 3、限制广播包，按照802.1D透明网桥的算法，如果一个数据包找不到路由，那么交换机就会将该数据包向所有的其他端口发送，这就是桥的广播方式的转发，这样的结果，毫无疑问极大的浪费了带宽，如果配置了VLAN，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。 4、安全性，由于配置了VLAN后，一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，从而就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。 理论上，VLAN可以扩展到WAN上，但是，这是不明智的做法，因为VLAN允许广播包发送出去，而且它没有很好的路由算法，经常是以广播的形式转发数据包，这样，毫无疑问，极大地浪费了WAN的宝贵的带宽，所以说，将基于端口的，MAC地址和网络地址的VLAN扩展到WAN，是不合理的，而基于多播的VLAN概念则可以灵活有效的扩展到WAN。一般的以太网交换机实现的都是基于端口的VLAN，个别的会实现基于MAC地址和网络层地址的VLAN，而路由器中可以通过IGMP多播协议实现所谓的组播形式的VLAN 。 综上所述，建议华康医药公司域网实行VLAN的划分，各个二级节点和关键部门可以划分不同的VLAN，以保证华康医药公司网络的可靠性能。 3.1.3第三层交换与路由 一、交换技术的发展 ---- 计算机技术与通信技术的结合促进了计算机局域网的飞速发展，从20世纪60年代末Aloha网的出现，到90年代后期千兆交换式以太网的登台亮相，短短的30年间，经历了从单工到双工、从共享到交换、从低速到高速、从简单到复杂、从昂贵到普及、从第二层交换到多层交换的飞跃。 ---- 1．第二层交换 ---- 在刚开始组建局域网时，主要局限于主机连接、文件和打印共享，多个用户共享10Mbps带宽就能满足这些需求。随着网络规模的日益扩大，先前的网络系统已不能胜任，这是因为在局域网中，最早的网络互联设备是集线器，它是第一层（物理层）设备。由于在这种基于CSMA/CD物理层协议的网络中，经常发生用户数据的冲突，并由此导致重发数据，使传输的效率大大降低。当时采用了第二层（数据链路层）设备网桥，它起到细化网段和减小冲突域的作用，从而优化了局域网的性能。但网桥是对高层(第三层以上)协议透明的设备，不能有效阻止广播风暴，因此需要采用路由器。路由器在子网间互联、安全控制和广播风暴限制等方面起了关键的作用，但复杂的算法、较低的数据吞吐量使其成为网络的瓶颈。为了解决以上问题，业界对网桥进行了改进，制造出局域网交换机，用它来替代集线器，以提高网络的性能。 ---- 局域网交换机是一种第二层网络设备，它在运行过程中不断收集和建立自己的MAC地址表，并且定时刷新。它的引入使网络各站点之间可独享带宽，消除了无谓的冲突检测和出错重发，提高了传输效率，而且是点对点传送用户数据，其他节点是不可见的。但第二层交换也有其弱点，包括不能有效解决广播风暴、异种网络互联和安全性控制等问题。因此，产生了交换机上的VLAN（虚拟局域网）技术。 ---- 2．第三层交换 ---- 第二层交换机工作在OSI参考模型的第二层--数据链路层上，主要功能包括物理编址、网络拓扑结构、错误校验、帧序列以及流量控制等。为了改进交换机的性能，又推出了第三层交换机，它在保留第二层计算机所有功能的前提上，增加了许多新的功能，如对VLAN的支持、对链路汇聚的支持，甚至具有防火墙的功能等。简单来说，所谓的第三层交换机就是在基于协议的VLAN划分时，增加了路由功能。 ---- 第三层交换机是Intranet应用的关键，它将第二层交换机和第三层路由器两者的优势有机而智能化地结合成一个灵活的解决方案，可在各个层次提供线速性能。这种集成化的结构还引进了策略管理属性，不仅使第二层与第三层相互关联起来，而且还提供流量优先化处理、安全访问机制以及其他多种功能。 ---- 第三层交换机分为接口层、交换层和路由层等3个部分。接口层包含了所有重要的局域网接口，如10/100Mbps以太网、千兆以太网、FDDI和ATM等；交换层集成了多种局域网接口，并辅之以策略管理，同时还提供链路汇聚、VLAN和标记机制；路由层提供主要的局域网路由协议，包括IP、IPX和AppleTalk等，并通过策略管理，提供传统路由或直通的第三层转发技术。策略管理和行政管理相结合，使得网络管理员能够根据企业的特定需求调整网络。 ---- 一般来说，第三层交换产品都采用可编程可扩展的ASIC芯片技术，可以提供以下一些丰富的特性： ---- (1)在所有端口，针对所有网络接口和协议的无阻塞线速交换和路由； ---- (2)具有极高的吞吐量，数据包的转发速度（即转发包／每秒，pps）通常比中高端路由器还要快10～100倍； ---- (3)多种协议的路由选择，如IP（RIPv1/v2、OSPF）、IP Multicast（DVMRP、PIM）和IPX等； ---- (4)支持多种VLAN的划分，能够根据端口/MAC地址、协议、IP子网、IEEE 802.1Q或3COM ISL等划分； ---- (5)具有带宽预留（RSVP）及具有服务类别（CoS）和服务质量（QoS）的业务量优先级处理，支持IEEE 802.1p和业务分类（DifferServ）； ---- （6)可设定访问列表控制(Access List Control)的过滤规则，或基于防火墙的安全策略； ---- (7)支持通过以太网的点到点协议（PPPoE），支持安全用户认证，配合用户计费，增强用户管理特性； ---- (8)支持以太网带宽单元递增分配服务； ---- (9)ASIC的可编程性，支持诸如IPv6的技术和其他未来技术，保护用户投资。 二、第三层交换与路由器的比较 ---- 在过去，网络中的数据大都遵守"80/20"规则，即网络中只有大约20%的数据包是通过骨干路由器与中央服务器或企业网络的其他部分进行通信，而80%的网络流量主要仍集中在不同的部门子网内。而现在，情况却发生了根本性的变化，以至形成了"20/80"规则。为了应付不断增长的数据流量，共享介质型的网络纷纷被交换型网络所替代。这种变化对原来用于网络分段的传统路由器产生了直接的冲击。鉴于大部分的数据流量都跨越 IP子网，路由器事实上已经成为了网络传输的瓶颈。 ---- 传统的路由器主要功能是实现路由选择与网络互联，即通过一定途径获得子网的拓扑信息与各物理线路的网络特性，并通过一定的路由算法获得达到各子网的最佳路径，建立相应路由表，从而将每个IP包跳到跳（hop to hop）传到目的地; 其次，它必须处理不同的链路协议。IP包途经每个路由器时，需经过排队、协议处理和寻址选择路由等软件处理环节，造成延时加大。同时路由器采用共享总线方式，总的吞吐量受到限制，当用户数量增加时，每个用户的接入速率降低。路由器更注重对多种介质类型和多种传输速度的支持，而目前数据缓冲和转换能力比线速吞吐能力和低时延更为重要。虽然路由器的性能最近也得到了一定的提高，大约达到1Mpps，但采用这种路由器的费用也高得惊人。 ---- 和路由技术相比，交换技术的好处就是速度快，当网络规模很大时，高速、大容量路由器是十分必要的。另一方面，由于现代通信网络大都采用光纤技术，所以现在数据网络的主要瓶颈是节点路由器。现在的第三层交换、路由交换或其他名词都是这种思路的结果。虽然第三层交换最初是为局域网设计的，它采用目的IP地址进行交换，但是现在这种技术也已经开始在广域网中使用。 ---- 第三层交换在现在的网络建设中起着越来越重要的作用，它不需要将广播封包扩散，而是直接利用动态建立的MAC地址来通信，如IP地址、ARP等，具有多路广播和虚拟网间基于IP和IPX等协议的路由功能，这方面功能的顺利实现，主要依靠专用集成电路（ASIC）。把传统的路由软件处理的指令改为ASIC芯片的嵌入式指令，从而加速了对包的转发和过滤，使得高速下的线性路由和服务质量都有了可靠的保证。 三、第三层交换的应用 ---- 第三层交换机的应用其实很简单，主要用途是代替传统路由器作为网络的核心。因此，凡是没有广域网连接需求，同时又需要路由器的地方，都可以用第三层交换机来代替。 ---- 在企业网和校园网中，一般会将第三层交换机用在网络的核心层，用第三层交换机上的千兆端口或百兆端口连接不同的子网或VLAN。这样网络结构相对简单，节点数相对较少; 另外，其不需要较多的控制功能，并且成本较低。 ---- 在目前火爆的宽带网络建设中，第三层交换机一般被放置在小区的中心和多个小区的汇聚层，第三层交换机的出现动摇了企业路由器的地位。正如路由器统治广域网一样，第三层交换机将在今后主宰局域网已成为不争的事实。 ---- 从当前国内的情况来看，第三层交换机发展势头良好。可喜的是，许多国内厂商纷纷推出第三层以太网交换机，而且性能良好。第三层交换机在应用方面具有以下特点。 ---- 1．担当骨干交换机 ---- 第三层交换机一般用于网络的骨干交换机和服务器群交换机，也可作为网络节点交换机。在网络中，同其他以太网交换机配合使用，网络管理员能构造无缝的10/100/1000Mbps以太网交换系统，为整个信息系统提供统一的网络服务。这样的网络系统结构简单，同时还具有可伸缩性和基于策略的QoS服务等功能。第三层交换机为网络提供QoS服务的内容包括优先级管理、带宽管理、VLAN交换等。基于策略的QoS使得网络管理员能为各种不同类型的网络流量包括TCP/UDP会话按优先级分配带宽，而且没有任何交换性能上的损失。 ---- 由于应用的需求，骨干交换机多为千兆交换机，所以目前第三层交换机也多为千兆交换机，可以提供10/100Mbps自适应端口和千兆端口，既可以连接铜线，也可以连接光纤，并提供高性能的背板通道。这类交换机有机柜式的，也有可堆叠的，可以根据不同的情况选用。 ---- 2．支持Trunk协议 ---- 在应用中，经常有以太网交换机相互连接或以太网交换机与服务器互联的情况，其中互联用的单根连线往往会成为网络的瓶颈。采用Trunk技术能将若干条相同的源交换机与目的交换机的以太网连接线从逻辑上看成一条连接线。这样既保证局域网不会出现环路，同时也有效地加大了连接带宽。性能良好的第三层交换机全面支持Trunk协议，一些可支持8组Trunk，从而能够有效解决了企业局域网中的连接带宽问题。 ---- 3．实现组播和自学 ---- 一些第三层除了支持动态路由协议RIP和OSPF外，针对日渐流行的支持多点组播的需求，还能够实施基于标准的多点组播协议，如距离矢量多点组播路由协议（DVMRP）。 ---- 第三层交换机还可以支持自学习功能，它能自动发现主机的IP地址与连接端口的对应关系，而不使用任何路由协议。一旦把交换机接入网络，它就通过不断地侦听ARP、RIP和ICMP数据包来学习所有连接的主机的IP地址和子网掩码信息。根据学习到的信息，交换机将建立和维护路由表中的路由信息，并且自动地为所有IP数据包提供路由服务。 ---- 4．提高安全性 ---- 在网络中，对于所传输数据包，出于安全考虑，需要根据很多规则对数据进行过滤，确保只有符合规定的数据包才能通过第三层交换机。第三层交换机支持内部具有硬件的过滤器，能在不降低系统性能的情况下对所有数据包进行过滤，而且能根据从第二层到第七层的任意内容对数据包进行过滤。 ---- 第三层交换机的典型应用如图所示。 ---- 在上图中，是一个三级交换结构的局域网，其中骨干交换机是一台第三层交换机，通过它来划分不同功能的逻辑子网（图中有4个），并通过网络管理系统对整个网络进行集中式控制和管理，包括监控、调整网络的运行状态、自动分配用户的IP地址、统计网上信息流量及用户的使用情况等内容。可直接连到骨干交换机的设备有路由器、各种服务器、中心工作站和二级交换机。二级交换机可选用普通的第二层交换机。第三级交换机可以选用第二层交换机或集线器。 综上所述，第三层交换技术是现在解决虚拟网通讯的最成熟的技术，它在路由交换机中运行RIP、OSPF或PIM等路由协议，获得网络拓扑信息，通过监听IP信息流，迅速了解与之相连的网络设备端口，直接把第三层信息包(VLAN之间的信息流)发送到其目的端口，而不必将信息包发送给路由器，从而缩短了等待时间，提高了网络速度，降低了设备成本。所以我们建议华康医药公司网络采用第三层交换机，各VLAN之间通过第三层交换进行通讯。 3.2 总体方案设计概述 3.2.1 总体方案设计目标 设计的依据: l 华康医药公司对局域网的技术要求相关规章 l 国家保密局关于《计算机信息系统保密管理暂行规定》 l 国家保密局关于《计算机信息系统国际联网保密管理规定》 针对用户的需求和我公司的分析，我公司建议的方案将达到如下的设计目标： l 应用系统可扩展性强，可根据用户的需求调整。 l 主机系统的处理能力强，可满足用户三年内业务量的增长。 l 系统可用性强，能24小时连续工作。 l 网络速度快，在局域网和广域网上都没有瓶颈。 l 网管系统可管理网络设备、监测网络性能、可实现端对端管理。 l 全网安全级高，可防止外部侵扰，网络内部也设有多种访问权限，做到存储文件的保密性。 3.2.2 总体方案设计原则 我公司在设计该系统时遵循了如下原则： l 应用系统建设采用Internet/Intranet技术，本着实用的原则，使用成熟先进的应用软件平台 l 应用系统采用分布式的结构，统一采用Windows2000 Sever操作系统，便于开发和维护。 l 主机系统采用先进的、高性能的解决方案，保证24小时连续工作 以上原则决定了网络系统和应用系统的设计和开发的规范和目标。 因此，要以系统集成的思想来进行系统设计，再考虑建设合适的硬件和网络平台来支撑应用软件，使网络硬件环境和应用系统的软件环境达到有机的结合，并保证系统具有一定的冗余，以最大限度地提高效率。 根据用户需求的技术方案内容，本工程的设计方案应包含以下内容： ² 网络系统方案设计 ² 主机系统方案设计 ² 网络操作系统设计 ² 系统安全系统设计 ² UPS电源方案设计 3.1.3 网络平台的设计 网络平台是本项目的核心，是决定未来若干年华康医药公司局域网建设的基础。在吉比特以太网、FDDI主干网和ATM主干网三种和选择中，我公司建议华康医药公司采用千兆以太网网络技术作为全网的主干，以百兆到桌面。在产品选型上，我公司根据用户需求和实际的需求采用了华为公司的网络产品。内部网中各部门所属虚拟网的互联主要通过二层交换机实现。同时交换机还可以对各个部门分别实现访问控制，实现各个部门、各个终端之间的安全性。通过防火墙和路由器实现到广域网的连接以及对内部网的安全保护。 3.1.4 主机选型概述 我们在众多的主机中，选择IBM公司的系列服务器作为华康医药公司的主机系统。之所以选择IBM服务器，是因为他是全球著名的服务器生产、制造商，其产品种类全、质量可靠是其一贯的特点，遍布全球的营消体系、服务体系随时给用户提供最优的服务质量。 我们在分析了华康医药公司实际情况和需求后，结合性能、费用、价格等各方面的因素，决定在华康医药公司网络系统的采用IBM公司最新产品—高性能的X370作为整个华康医药公司中心数据库服务器，他完全可以保证整个网络的信息发布，电子邮件系统和办公自动化等业务的稳定、可靠运行。 根据各个部门的情况和要求，我们根据各个部门的应用情况，设计采用部门级的服务器采用X370。他能很好的满足各个部门的信息发布、文件、打印及办公自动化系统等业务。 IBM公司的服务器产品可以完全满足华康医药公司局域网的所有业务需求。采用高档服务器可以大幅度的提高整个网络系统的性能，加上安全可靠的Windows 2000 Server，保证了所有大容量数据的存储和高速传送以及安全的维护 3.1.5 网络设备选型概述 由于采取了开放式的系统体系结构，使得我们拥有更多的选择自由，能够降低成本，但众多可供选择的产品也给我们带来选择的困难。在选择网络产品的性能价格比、功能、特性外，还应考虑到生产厂商的市场地位、技术后续开发能力、售后服务能力等各方面因素。 　　现在的大型网络设备厂家，主要有CISCO、3Com、Bay Networks、IBM、Intel、华为、中兴等，其中，IBM和Intel分别是计算机和芯片的最大公司，其专长不在网络设备上，而Bay被北方电讯收购后，其主要的市场已转向电讯。因此，我们重点分析了CISCO、3Com和华为的网络设备。 CISCO和3Com作为全球最大的网络设备公司之一，其产品均非常的全面，但它们又有着不同的侧重点。我们可以选择CISCO的三层交换机WS-C3550-48。 第四章 网络系统设计 4.1网络拓扑结构 根据以上原则，我们为华康医药公司设计以下网络结构。当今企业网络性能的好坏，已经成为一个企业信息发展的关键，越来越多的Internet、Intranet应用以及运行于Internet/Intranet上的电子商务，多媒体应用（视频点播VOD、可视会议、语音传输），OA系统都对网络主干高带宽、高性能、高服务质量（QOS Quality Of Service）提出了严格要求，这就需要一个具有智能性的企业网络作为基础，同时作为企业网络的规划者管理者需要能够全面控制网络资源的使用，能够方便合理分配网络的带