机械公司信息化建设方案措施分析

巢湖新元机械集团公司方案

用户需求及方案设计

1.1 项目概况

巢湖新元机械集团公司信息管理系统网络旨在全集团7 个分厂与集团所在地，利用光纤通道、电信ISDN、DDN线路、INTERNET宽带网建立起信息管理系统的企业网络。在设备选型时，要具有一定的先进性和可扩展性，以使得以后条件成熟时，平稳过渡到管理系统的更先进网络。

1.2系统设计特点

先进性：从系统平台的构成到资源的利用，均要在同等系统中若干年后不落后。

技术成熟性：系统采用成熟的技术,提高系统的建设成功率.本方案中涉及系列路由器已在全国范围内大量应用，并且用户反映良好。

投资的有效性：随着信息的共享、网络规模的不断扩大，原有投资可得到保护，系统能平滑的过渡到新系统。QUIDWAY路由器2600系列与3600系列的模块可以互换。中心的3600路由器则可以选用高密度、高性能的新模块，以担当新的更重要的角色。

可靠性：系统平台的构筑具有高的可靠性,即使万一出现故障,也具有可靠的备份手段,系统具有一定的容错能力。其中，华为独有的备份中心功能，可以全面备份所有线路，让系统拥有非常高的可靠性。

可扩展性：系统的总体结构扩展灵活，系统资源配置可灵活增加，系统规模可便于扩大，将来易与其他有关计算机相连。中心3600路由器、分厂2600路由器都分别预留空的插槽，以便今后扩展。

经济性：系统平台配置合理、精心安排，在满足功能要求的前提下，留出适当的冗余。华为公司适应中国国情，自主开发的QUIDWAY系列产品，不仅性能上可以与同档次的其他产品相媲美，在价格上更能达到最佳的性能价格比。

1.3方案陈述

集团公司信息管理系统企业网

巢湖新元机械集团公司网络系统选用全系列的华为路由器，组建VPN网。并且华为路由器具有防火墙以及独有的备份中心功能，为巢湖新元机械集团公司系统网络提供了一个实用、可靠、技术先进、高安全、可扩展的企业网。

网络拓扑图

集团中心

本方案集团中心作为整个网络的核心，须连接基于TCP/IP的公网接口、电信网的ISDN、DDN、PSTN，在满足以上介质连接的基础上，针对公网提供的企业虚拟网解决方案，提供高质量、高安全性以及高性能价格比的组网设备。我们采用Quidway 3680路由器，选用1 个双以太网口模块（2FE），2个4口ISDN BRI模块（4BS），剩余5个插槽作为扩展。

其中，双口以太网模块一个电口接公共光纤网，另一电口连接中心局域网的华为QuidwayS6505以太网中心交换机。2个4口ISDN BRI模块计8个ISDN接口，通过ISDN专线与分厂连接，作为备份线路。

QUIDWAY设备模块配置表

集团中心网络选用一台QuidwayS6506以太网中心交换机作主交换，四台QuidwayS3026以太网交换机10/100M到桌面，满足80-100个信息点的10/100M的连接。S6506交换机是面向大中型园区网的三层交换机。有丰富功能的可选模块，包括百兆电口、百兆光口、千兆光口、ATM、堆叠口等，支持VLAN、SNMP网管，并且可选冗余备份电源。满足集团中心网络的高性能、高安全性且可扩展的需求。S3026交换机是一台从桌面到工作组的可升级交换机。将独享100Mbps 快速以太网延伸到桌面。提供24个10/100BASE-TX网口，并可堆叠至4层总端口数可达96。可堆叠技术使每台交换机通过堆叠技术可使背板带宽增加2.1Gbps。端口汇聚将多个端口汇聚在一起与其他交换机或服务器相连，提高了连接带宽，并增加了网络的可靠性。支持802.3x流控减少拥塞并防止丢包。IP多播Pruning 可以向多个桌面系统广播时减少拥塞。

集团园区各车间与量具分厂的信息点，通过多模光缆与中心交换机连接。车间交换机选用S3026，24口10/100M交换机。

中心网交换机配置表

分厂及分厂局域网

7个分厂通过基于TCP/IP广电网与集团连接。同样要求高的安全性，我们选用QuidwayR2631路由器，R2631路由器本身带有两个快速以太网电口，用以连接广电光纤与分局以太网。另选用1个双同异步广域网口+单ISDN口（2S1B）模块，作为同市局的备份线路连接用，剩余两个插槽作为扩展。各个分厂同样采用QuidwayS3026以太网交换机。

分厂QUIDWAY设备模块配置表

二、设备技术指标

2.1 Quidway R3600系列路由器

2.2 Quidway 2630系列路由器

2.3 Quidway S6506 企业核心路由交换机

Quidway S6506 以太网交换机是华为公司自主开发的一款大容量高密度基于分布式处理采用模块化设计的二/三层线速以太网交换产品,主要面向大型企业网.QuidwayS6506 以太网交换机依托于华为公司拥有自主知识产权的VRP 网络操作系统,提供完备的动态路由协议、VLAN 控制流量交换QoS 保证网络管理等机制，拥有强大的业务控制和用户管理能力,可为企业网用户提供完备的组网方案。

三、网络安全措施

3.1 概述

网络为人们提供了极大的便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。网络上存在着各种类型的攻击方式，包括：

窃听报文- 攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据不受窃听，基本是不可能的。

IP地址欺骗- 攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。

源路由攻击- 报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。

端口扫描- 通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击，使得路由器整个DOWN掉或无法正常运行。

拒绝服务攻击- 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。

应用层攻击- 有多种形式，包括探测应用软件的漏洞、"特洛依木马"等。另外，网络本身的可靠性与线路安全也是值得关注的问题。

随着网络应用的日益普及，尤其是在一些敏感场合（如电子商务）的应用，网络安全成为日益迫切的需求。网络安全包括两层含义：其一是内部局域网的安全，其二是外部数据交换的安全。路由器作为内部网络与外部网络之间通讯的关键设备，有必要提供充分的安全保护功能。Quidway系列路由器提供了多种网络安全机制，为内部网络及外部数据提供了有力的安全保护。

3.2 VPN技术

企业开设VPN服务所需的设备很少，只需在资源共享处放置一台支持VPN的服务器（如支持VPN的路由器）就可以了。资源享用者通过PSTN连入本地POP服务器后，直接呼叫企业的远程VPN服务器。呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的，剩下的工作就完全由ISP的网络接入服务器（NAS，Network Access Server）来完成。