某公司信息系统网络硬件设计方案

某公司信息系统网络硬件设计方案

深圳易通系统

2004.10

目录

第1章系统概述 (1)

1.1.计算机网络概述 (1)

1.2.主机服务器概述 (1)

1.3.存储系统概述 (2)

第2章计算机网络设计 (3)

2.1.设计原则 (3)

2.2.计算机网络设计 (3)

2.2.1.计算机网络设计要求 (4)

2.2.2.网络拓扑结构设计 (4)

2.3.网络设备选型设计 (6)

2.3.1.路由器选型 (6)

2.3.2.核心交换机选型 (7)

2.3.3.防火墙选型 (11)

第3章主机服务器设计 (15)

3.1.设计原则 (15)

3.2.主机服务器设计 (15)

3.2.1.主机服务器设计要求 (15)

3.2.2.主机服务器体系设计 (16)

3.3.主机服务器设备选型 (16)

3.3.1.数据库服务器选型 (16)

3.3.2.应用服务器选型 (20)

3.3.3.其它服务器选型 (21)

第4章存储系统设计 (25)

4.1.存储系统设计原则 (25)

4.2.存储系统设计 (25)

4.2.1.存储系统设计要求 (25)

4.2.2.数据存储平台设计 (26)

4.2.3.数据备份恢复设计 (27)

4.3.存储系统选型 (27)

4.3.1.存储服务器选型 (27)

4.3.2.备份系统选型 (29)

第5章系统软件选型 (33)

5.1.操作系统平台选型 (33)

5.2.数据库平台选型 (40)

第1章　系统概述

本方案书涵盖了某公司信息化建设的关键环节：计算机网络、主机服务器、存储系统。

系统设计主要依据相关的规范要求，采用主流的技术和设备，符合当前技术的发展趋势。系统具有安全可靠、高效实用、方便扩展等特点，而且充分考虑了系统的性能价格比、技术先进性、系统的未来发展和长期的投资保护。1.1. 计算机网络概述

计算机网络的设计充分考虑到某公司一体化物流管理信息系统对基础平台所要求的性能、安全性、可靠性等方面的特征。

整个网络平台可划分为相对独立的两部分：企业内部网络与Internet安全接入。

本网络平台方案主要特点：

l高性能：带宽大，交换机处理能力强

l高可靠性：从网络的结构设计上保证当核心设备一旦发生故障不会导致整个系统的瘫痪，可以有备用方案保证可靠性

l可扩展性好：本方案从结构设计到网络技术应用和设备选择上均考虑到网络扩展的需要

l网络具备良好的安全性特征：网络支持VLAN(虚拟网)，Internet接入采用防火墙技术接入，移动用户接入公司采用VPN技术，敏感数据

传输采用SSL加密，内部与Internet配备网络扫描，即时发现网络威

胁

l可管理性：配合设备自身的管理功能和专用的网络管理软件可以对网络运行进行实时的监控与管理

1.2. 主机服务器概述

主机服务器的设计充分考虑到作为某公司关健应用系统所需的高性能、可靠性、安全性及良好性价比等方面的特征。

本主机服务器方案主要特点：

l高性能：关键业务应用系统选用高性能服务器，而且采用集群等服务器技术

l可靠性：选用的服务器平台均在业界流行和认可，关键应用系统采用双机热备份、数据存储采用采用双冗余的光纤通道系统、磁盘采用

RAID等可靠性技术

l安全性：关键业务系统通过双机热备保证应用的安全，并通过磁带库备份系统进行灾难防范

l性能价格比优越：关键应用采用高性能、高配置服务器，其它应用使用低配置服务器

l可扩展性：硬件平台有很好的扩展能力，方便随着业务的增加而扩展1.3. 存储系统概述

存储系统的设计充分考虑到作为某公司数据存储的高性能、高可靠性、高可扩展性、高安全性及兼容性等方面的特征。

本存储系统方案主要特点：

l高性能，能实现高速的数据存取，保证应用的高效平滑运行

l高可靠性，保证数据存取的稳定，满足应用长期高效运转的要求

l高扩展性，保证数据量可以随着系统应用规模的扩展而扩展

l高安全性，保证数据尽量少的损坏与丢失，即使出现意外，也有快速地恢复

l兼容性，保证数据能方便的迁移，能对不断增加的应用提供良好的支持

第2章　计算机网络设计

2.1. 设计原则

企业网络系统是一个企业的基础设施，建立企业的网络系统是一个企业的“百年大计”。这样的一个系统投资大，影响久，因此在设计时必须慎重，既要尽可能缩减投资额，又要获得最高的性能，还要保证系统的长期发展。这要求系统集成公司具备系统总体设计和工程实施的能力和经验。

总结我们在系统建设中的经验，结合实际系统的需求，我们建议某公司计算机网络系统设计遵循以下原则：

1、高可用性

必须考虑某公司的实际需求情况，作出有针对性的设计，以满足网络应用的实际需要。

2、高安全性

系统数据及其他资源需要进行严格保密，防止非法侵入。

3、遵循“Right Size”原则

进行产品选型时，在保证系统性能和可靠性的基础上，尽量选择适合的产品型号，而不是一定要选择最高档的产品，从而节约成本。

4、符合技术发展趋势，保护投资

系统必须符合技术发展方向和最新的技术标准，使系统具有较长的技术寿命，在一段时间内不致落后，从而有效地保护用户的前期投资。

5、易于扩展，具有良好的伸缩性

随着业务的发展，新业务将不断增加，系统的容量也将随之扩展，因此方案应具有良好的伸缩性适应系统不断增长的需求。

6、易于管理

2.2. 计算机网络设计

某公司计算机网络的设计以高可靠性、高安全性、高性能、良好的可扩展性和可管理性为原则，以及考虑到技术的成熟性、先进性，采用层次化、结构化的设计方法。

2.2.1. 计算机网络设计要求

计算机网络设计主要是对接入的路由器、局域网交换机设备进行选型设计，并对网络管理进行有效地设计，具体来说，其要求如下：

1. 路由器设备：要求路由器能支持10Base-T、100Base-T和1000兆以太网接口；支持专线、DDN、ISDN、ATM等多种带宽速率的广域网接口。

2. 局域网交换机：本工程局域网交换机包括中心交换机和分支交换机，应充分考虑冗余备份，并且局域网交换机应具备10Base-T、100Base-T和1000兆以太网接口。

3. 网络安全，要求支持Internet流量过滤限制、VPN连接，局域网VLAN 支持。

2.2.2. 网络拓扑结构设计

本拓扑结构在充分考虑某公司的应用基础上进行设计，具体的建议拓扑如下图所示：

整个网络由两部分组成，一部分是Internet，一部分是局域网，两者通过

防火墙隔离。在局域网内部由核心交换、二层交换组成。核心应用与核心交换直接相连并通过冗余光纤通道接到存储局域网。

下面对网络拓扑结构设计说明如下：

l与Internet连接

根据Internet线路的类型，在模块化的路由器上选用合适的模块进行Internet接入。

局域网与Internet之间通过防火墙进行隔离，可以很好的对两个不同区域的访问进行控制，这样可以大大提高系统的安全性。

而移动用户要访问局域网则通过VPN技术进行接入，这样可以保证数据在Internet上传输的安全，又满足了部分员式移动办公的需求。

l核心交换

局域网络由两台三层千兆交换机承担，两台交换机之间用GEC技术组成多条千兆聚合链路，这样既可以保证两核心交换机之间的高带宽，也可以防止单条链路失败而引起的中断。

双核心交换机都有线性三层交换能力，这样可以针对不同的应用划分不同的VLAN，在降低单个VLAN规模的同时，既可以保证不同VLAN的安全，也可以提高各个VLAN的性能。而不同VLAN之间的互通任务则通过核心交换机的三层交换功能实现线速的交换。

l接入交换

所有非关键应用以及客户机的接入都通过普通的有双千兆口的交换机来实现，这样通过双千兆的线路接入，既保证了接入的高带宽，又提供了冗余安全。其余的100M口用于客户端的接入，既保证了桌面的快速接入，又降低了整个网络的总体成本。

l服务器接入

所有服务器都通过双千兆线路接入核心交换机，这样可以保证服务器有良好的带宽响应大量的客户请求，同时又可以用双机等技术保证接入的不中断。

对外的公众WEB服务器放置于DMZ区之中，这样可以提供独立的Internet用户访问，同时也保证了当WEB服务器出问题时对局域网的威胁。

l存储局域网(SAN)

服务器、存储服务器均通过双光纤通道与光纤交换机进行连接，从而组成

高速、安全的存储局域网，从而提供高性能、高可靠的数据存储网络。

2.3. 网络设备选型设计

2.3.1. 路由器选型

路由器是局域网与Internet之间连接的第一通路，其稳定性与可靠性直接关系统信息化应用的成败。因此我们建议选用业界最优秀的路由器厂商Cisco 公司的3725模块化路由器作为某公司与外界沟通的路由平台。

CISCO 3725路由器有2个固定的10/100M快速以太网接口，两个网络模块化插槽和三个WIC插槽。我们可以增加一块WIC-2T广域接入模块，提供两条DDN线路连接。此外，还剩下2个网络模块化插槽和2个WIC插槽可用于扩展。

Cisco 3700 系列应用服务路由器 (Application Service Router) 是一系列全新的模块化路由器，可实现新的电子商务应用在集成化分支机构访问平台中的灵活、可扩展的部署。对于那些计划从传统基础设施对服务进行升级并将新的应用从核心网络分布到企业边缘的客户而言，Cisco 3700 系列为远程交换局访问提供了一套新的功能强大的解决方案。Cisco 3700 系列的部署可帮助客户更快地降低电子商务应用的成本并从中受益，降低客户基础设施的总拥有成本，并可改进网络利用率和增强网络的竞争能力。Cisco 3700 系列支持Cisco AVVID (语音、视频和集成数据体系结构)，而 Cisco AVVID 则是一种覆盖整个企业的、基于各种标准的网络体系结构，它可为将各种商业和技术战略组合成一个聚合模型奠定基础。

Cisco 3700 系列的主要特点和优点

特点优点

投资保护

可共享 Cisco 1700、2600、3600接口的模块化平台？网络接口可在现场升级，可适应未来的新技术

？您可采用"一边扩容一边集成"的策略，并可据此添加其他服务

？可充分利用目前市场上现有的各种WIC、VIC、NM和AIM，进而降低备件、培训、配置、安装和维护成本

机箱内集成了LAN/WAN 连接？机箱内配备了更多的 NM 和 HDSM 插槽，可用于在将来添加更多服务？可将 AIM 和 WIC 与 NM/HDSM 结合起来，可在需求发生变化时提供创建新的配置的更大灵活性

灵活的语音网关和IP电话配置？可实现传统基础设施向IP电话技术的逐步升级

？提供了与全世界90%以上传统模拟和数字 TDM PBX 之间的兼容性？可为更高密度混合式模拟和数字语音网关配置提供灵活扩展

Cisco IOS 软件？可支持 Cisco 2600 和 3600 路由器中所配备的 Cisco IOS 功能集

？ Cisco IOS 的新版本添加了对新的服务和应用的支持

？可提供端到端解决方案，进而全面支持基于 Cisco IOS 的 QoS、带宽

管理和安全机制

可扩展性

更高的 AIM 和 WIC 密度？系统无需占用 NM 插槽即可支持各项服务以及 WAN 连接和备份？对于语音、交换和 WAN 连接而言，可提高每个 RU 上的密度

配备 32MB Flash和

128MB DRAM，默认内存

更大

？无需购买/安装额外内存即可升级新的 Cisco IOS 版本

新的高密度服务模块

(HDSM)

？可实现更高的端口密度并提供新的高性能服务

可用性

可支持可选备用电源？可适应可选 RPS (Cisco 3725 中内置1，Cisco 3745 中内置)，可最大

限度缩短网络宕机时间

SRST支持？分支机构可充分利用集中呼叫控制，并可以很好的成本效益为IP电话提

供本地分支机构备份冗余功能

热插拔功能(仅限 3745) ？可在最大限度降低对网络可用性影响的前提下更换和维修网络模块

？可实现 RPS 的联机更换和维修

？可对风扇托架进行联机更换

可在现场更换的母板、I/O 板、电源和风扇托架(仅限 3745) ？可维护性更高的结构设计？更高的运行和维护灵活性

2.3.2. 核心交换机选型

核心交换机是整个数据流动的核心，因此我们建议选用两台Cisco 4500系列中的4506作为核心交换平台，在此六槽的交换机中，我们配置一个Supervisor Engine IV交换引擎，用于实现无阻塞的2/3/4层交换，同时配置一块WS-X4424-GB-RJ45卡，提供24个千兆以太网接口用于服务器接入和接入交换机接入，并可以组成千兆以太通道（GEC），在实现高性能的同时实现多链路备份，除了这两个模块外，4506交换机还有4个插槽可用于随着网络规模的扩大而扩展。

Cisco Catalyst 4500系列交换机将无阻塞第二到四层交换与最优控制相集成，有助于为部署关键业务应用的大型企业、中小型企业（SMB）和城域以太网客户提供业务永续性。Cisco Catalyst 4500系列凭借众多智能服务将控制扩展到网络边缘，其中包括先进的服务质量 (QoS)、可预测性能、高级安全性和全面的管理。它提供带集成永续性的出色控制，将永续性集成到硬件和软件中，缩短了网络停运时间，有助于确保员工的效率、公司利润和客户成功。

Cisco Catalyst 4500系列的模块化架构、介质灵活性和可扩展性减少了重复运营开支，提高了投资回报（ROI），从而在延长部署寿命的同时降低了拥

有成本。Cisco Catalyst 4500系列为企业LAN接入、小型骨干网、第三层分布点和集成化SMB及分支机构部署提供了先进的高性能解决方案。

其优势包括：

l性能

Cisco Catalyst 4500系列提供了带宽可随端口的添加而扩展的高级交换解决方案，采用了领先的特定应用集成电路(ASIC) 技术，提供线速第二到三层10/100或千兆位交换。第二层交换以全面的线卡兼容性提供了模块化交换管理引擎灵活性，可扩展到136 Gbps、 102 mpps。第三到四层交换基于思科快速转发，也可扩展到136 Gbps、 102 mpps。

l端口密度

Cisco Catalyst 4500系列可达到一个机箱中384个铜或光纤以太网端口的网络组件连接要求。Catalyst 4500系列支持业界最高密度的10/100/1000自动检测，自动协商从网络边缘直接到桌面计算机的千兆位以太网连接。可选万兆位以太网上行链路端口有助于实施高密度千兆位以太网到桌面部署和交换机间应用。

l交换管理引擎冗余性

Cisco Catalyst 4507R和Catalyst 4510R交换机支持1+1交换管理引擎冗余，实现集成永续性。冗余交换管理引擎可缩短网络停运时间，实现业务连续性和提高员工效率。在状态化切换（SSO）的支持下，第二个交换管理引擎作为备用，可在主交换管理引擎发生故障时，在不到一秒的时间内接管一切。此外，也支持Cisco IOS 软件中的不间断转发（NSF）感知特性，可与支持NSF的设备互操作，在因交换管理引擎切换而更新路由信息时，可继续转发分组。

l以太网电源 (PoE)

Cisco Catalyst 4500系列支持802.3af标准和思科预标准电源，以便在10/100或10/100/1000端口上提供PoE，使客户可支持电话、无线基站、摄像机和其他设备。此外， PoE允许企业在单一电源系统上隔离关键设备—所以整个系统可由备用的不间断电源（UPS）支持。所有新Cisco Catalyst PoE线卡可同时在每个端口上支持15.4 W。这些卡与所有Cisco Catalyst 4500系列机箱和交换管理引擎兼容。

l高级安全特性

Cisco Catalyst 4500系列上支持802.1x、访问控制列表(ACL)、Secure Shell(SSH)协议、动态ARP检测(DAI)、源IP防护和专用虚拟LAN(PVLAN)等安全特性，可增强网络中的控制能力和灵活性。通过有选择地或全部实施上述特性，网络管理员可防止对于服务器或应用的未授权访问，允许不同的人能以不同的许可权来使用同一PC。

l Cisco IOS软件网络服务

Cisco Catalyst 4500系列交换机提供能增强公司网络的成熟的第二到三层特性。这些特性可满足大中型企业的先进的联网要求，因为它们已根据多年来客户的反馈意见进行了改进。

l投资保护

Cisco Catalyst 4500系列灵活的模块化架构为LAN接入层或分支机构网络提供了经济有效的接口升级。已部署了采用较早交换管理引擎版本的Cisco Catalyst 4503和Catalyst 4506交换机、现在需要更高性能和增强特性的客户，可方便地升级到Cisco Catalyst 4500系列Supervisor Engine II-Plus、Catalyst 4500系列Supervisor Engine V-10GE、Catalyst 4500 Supervisor Engine IV或Catalyst 4500 Supervisor Engine V。Catalyst 4500系列各成员间的备件可兼容，Catalyst 4003和Catalyst 4006机箱提供了电源和交换线卡通用性，降低了整体部署、移植和支持成本。

l功能透明的线卡

Cisco Catalyst 4500系列系统只需添加一个新的交换管理引擎，如Cisco Catalyst 4500系列 supervisor engines II-Plus、IV、V或V-10GE，即可轻松地将所有系统端口升级到更高层的交换功能。无需更换现有线卡和布线，就可以实现更高层的功能增强。

l到桌面的千兆位连接

Cisco Catalyst 4500系列已提供众多的1000-Mbps桌面和服务器交换解决方案。其千兆位解决方案的范围可通过用于Catalyst 4500系列的48和24端口三速自动检测和自动协商10/100/1000BASE-T线卡，方便地扩展到桌面。采用自动检测技术的三速48和24端口模块，无需更换线卡

即可将快速以太网桌面在将来移植到千兆位以太网，提供了LAN投资保护。Catalyst 4500系列Supervisor Engine V-10GE提供了两条为10/100/1000BASE-T到桌面汇聚而优化的线速万兆位以太网上行链路。

l基于硬件的组播

协议独立型组播(PIM)、密集和疏松模式、互联网小组管理协议(IGMP)和思科群组管理协议支持基于标准和经思科技术增强的高效多媒体联网，且对性能无影响。

l Cisco NetFlow服务

用于Supervisor Engine IV和V的Cisco NetFlow服务卡支持硬件中的统计数据获取，用于基于流量和基于VLAN的统计监控。

l针对关键任务应用的带宽保护

当部署Cisco Catalyst 4500系列Supervisor Engines II-Plus、IV、V或V-10GE时，在实施QoS或安全特性时不会降低转发性能；Catalyst 4500系列平台继续以全线速转发分组。

l到桌面的光纤连接

Cisco Catalyst 4500系列24和48端口100BASE-FX线卡提供了光纤电缆设施的安全性和永续性，使之极适于有距离限制、入侵漏洞或RF干扰的网络。处理保密信息或提供电子商务的企业客户或政府机构将受益于这些线卡的安全优势。

Cisco Catalyst 4500系列的主要特性和优势

特性功能和说明优势

机箱

模块化3、6、7和10插槽Cisco Catalyst 4500系列机箱支持交换管理引擎(Cisco

Catalyst 4507R和Catalyst

4510R上可支持2个)，带集

成PoE的电源。

提供了具备高级集成永续

性的通用架构，可以根据

园区内联网的要求标准

化。

状态化切换(SSO)和不间断转发(NSF)感知提供双交换管理引擎，故障转

换可在不到一秒内完成。保持

第二层会话。路由事件期间，

继续第三层转发。

大幅度缩短了网络停机时

间，有助于确保业务的持

续性和提高生产效率。

灵活的交换模块—基于标准、自动检测和自动协商提供众多接口选择：

10/100Mbps 以太网和

10/100/1000、1000Mbps千

兆位以太网或10000Mbps

万兆位以太网。

支持IP园区的LAN带宽

扩展，可在扩展网络时提

供方便的移植。

64Gbps容量背板 (Cisco 每秒转发超过4800万64字可以满足一个系统所有接

Catalyst 4503) 节以太网分组。口以线速全面运行的吞吐

量要求。

100Gbps容量背板 (Cisco Catalyst 4506和Catalyst 4507R) 为线速、无阻塞 75 mpps转

发提供了充足的容量。

可以满足一个系统所有接

口以线速全面运行的最糟

糕情况下的吞吐量要求

（无阻塞矩阵要求配备

Supervisor Engine

II-Plus、IV或V或

V-10GE)。

136Gbps容量背板 (Cisco Catalyst 4510R) 为线速、无阻塞102 mpps

转发提供了充足的容量，支持

多达8个接口模块。

无阻塞、高密度应用。

集成Cisco IOS软件增强了第三层交换(Cisco Catalyst 4000/4500 supervisor engines IV和V) 以千兆位速度提供基于ASIC

的IP路由。

提供了网络流量的第三层

子网控制功能；成熟的路

由协议。

多层QoS 为第二层CoS和第三层

ToS、流量整形、共享、监督

和带动态缓冲限制（DBL）的

拥塞避免机制，提供了QoS

功能。在每个端口上提供了多

个队列。为网络流量优先排序提供了集中控制功能；可方便地创建和管理策略，以保护关键任务应用。

入口和出口监督(Cisco Catalyst supervisor engines II-Plus、IIPlus-TS、IV、V和V-10GE) 在每个端口基础上，在入口识

别分组，在出口重新分类和重

新标记分组。

根据用户定义的流量分类

方法，提供了精确的流量

控制功能，确保了QoS策

略的实施。

集成 PoE 为连接到支持PoE的Cisco

Catalyst 4500系列交换机端

口的设备提供电源。设备包括

IP电话、接入点、摄像机和

其他符合思科或IEEE

802.3af标准的设施。为桌面提供了单一线路；无需办公间不间断电源（UPS）。

全面的安全性

802.1x，用于基于身份的网络服务使用经过思科增强的802.1x

协议，无论用户位于何处或使

用什么设备，网络都可根据用

户登陆信息来授予许可权。

允许不同的人员使用相同

PC，但拥有不同功能，以

便用户无论采用何种方式

登陆网络，都只能获得他

们指定的权利—防止了未

授权访问。

ACL 仅限用户访问网络的指定区

域，防止对于所有其他应用和

信息的未授权访问。防止针对服务器和应用的未授权访问；只允许指定用户访问特定服务器。

专用VLAN 防止用户看到其他人在同一

交换机上生成的流量。有助于确保同一交换机上用户的保密性。

受密码保护的管理界面需密码来通过Telnet或SSH

进行本地或远程访问。提供针对未授权配置修改的保护。

2.3.3. 防火墙选型

防火墙是整个网络安全最重要的设备，它的稳定可靠将直接影响着基于

Internet应用网络的安全与可靠。由于其是Internet与局域网之间的唯一访问通道，其性能的好坏也将直接影响到Internet应用的性能，因此我们建议选用拥有优异性能与可管理性的NetScreen-500来实现高效的安全控制。

NetScreen - 500 是一个定制化、高性能的安全系统，针对中型和大型企业的总部服务供应商而提供灵活、高性能的解决方案。NetScreen - 500 安全系统把防火墙、DoS、VPN 和流量管理等功能集成在扁薄型的标准机壳中。

它可以为防火墙和VPN 提供很高水平的总体吞吐量，并能够支持虚拟系统和安全区划分。灵活而富弹性的硬件结构同模块化物理接口、冗余电源、风扇和高可用性接口相结合，NetScreen - 500 可以轻松支持大多数企业典型的流量条件。它特别适合于满足最苛刻环境下的峰值负载和很高的防御需求。

l NetScreen – 500 主要产品特点：

ü700Mbps防火墙和NAT传输速率

ü250Mbps 3DES VPN传输速率

ü能处理250,000个并发会话

ü每秒处理22,000个新会话

ü10,000个VPN通道

ü25个虚拟系统，100个VLAN

üNAT，路由及透明模式运作

ü基于策略的NAT

ü支援中转站VPN

ü与Websense内容过滤方案兼容

ü10/100双交换端口或GBIC(SX或LX接受器)模块卡

ü背援高可用性介面

ü10/100传输带宽以外的监管能力

ü可制定式LCD

l NetScreen – 500 技术参数：

性能并发会话：250,000(1)

每秒的新会话数：22,000

防火墙性能：700Mbps

三倍DES(128位)：250Mbps 策略：20,000(1)

时间表：256(1)

虚拟系统虚拟系统最大数量：25 支持的VLAN数量：100

工作模式透明模式（所有端口）：是(2)；路由模式：是；

NAT(网络地址转换)：是；

PAT(端口地址转换）：是；

虚拟IP(VIP):4(2)；

映射IP(MIP)：256(1)；

IP路由--静态路由：256(1)；

基于策略的NAT：是；

每个端口的用户数：没有限制

防火墙攻击检测同步攻击：是(3)

ICMP flood检测:是(3)

UDP flood泛滥检测:是(3)

检测死ping(Ping of death):是(3)

检测IP欺骗(IP spoofing):是(3)

检测端口扫描(Port scan):是(3)

检测陆地攻击(Land attack):是(3)

检测撕毁攻击(Tear drop attack):是(3)

过滤IP源路由选项(Filter IP source route option):是(3) 检测IP地址扫描攻击(IP address sweep attack):是(3) 检测WinNuke attack攻击:是(3)

Java/ActiveX/Zip/EXE:是(3)

默认分组拒绝(Default packet deny):是(3)

Dos & DDoS保护:是(3)

VPN 专用隧道：(10,000)(1)

手动密匙、IKE、PKI(X。509) ：是；

DES(56-bit)&三倍DES(168bit)加密encryption；

完全正向保密(DH群组)Perfect forward secrecy(DH Groups)：1,2,5；防止回复攻击(Prevent replay attack)：是；

远程接入VPN(Remote access VPN)：是；

站点间VPN(Site-to-site VPN)：是；

集中星型VPN网络拓扑：是；

L2TP ：是；

IPSec 认证：

SHA-1:是

MD5:是

认证请求（PKCS 7& PKCS 10）：是支持的证书服务器：

Versign认证中心:是

Entrust认证中心:是

Microsoft认证中心:是

RSA Keon认证中心:是

IPlanet(Netscape)认证中心:是Baltimore认证中心:是

高可用性(HA)高可用性(HA)：是；

防火墙和VPN会话保护：是；设备故障检测：是；

链路故障检测：是；

故障切换网络通知：是

系统特性

防火墙和VPN用户

认证内置（内部）数据库用户限额：15，000；RADIUS（外部）数据库：是；

SA SecureID(外部）数据库：是；

LDAP（外部）数据库：是；

流量管理有保障的带宽：是(2) 最大带宽：是(2)

优先使用带宽：是(2) DiffServ标记：是(2)

系统管理网址浏览器配置管理（WebUI:HTTP and HTTPS）；

命令行界面（Command line interface:console，telnet）；

安全命令外壳（兼容ssh v1)Secure Command Shell(ssh v1 compatible)；NetScreen Global Manager：不适用；

NetScreen Global Pro：很快提供；

所有管理均经过任何接口上的VPN隧道：是

管理多个管理员：20(2)；

远程数据库管理： RADIUS；

网络管理：6；

根管理、管理和只读三种用户权限(Root Admin,Admin,&Read Only user levels)：是；

软件升级和配置变动：TFTP/WebUI

日志/监控系统日志(Syslog):外部；

电子邮件(两个地址)E-mail(2 addresses):是；Web Trends:外部；

SNMP:是；

Traceroute:是；

VPN隧道监视程序(VPN tunnel monitor)：是；Websense URL过滤:外部(3)

PCMCIA PCMCIA卡:440MB，Type2和3

事件日志和告警(Event logs & alarms):是；系统配置脚本(System config script):是；ScreenOS软件(ScreenOS software):是

电源AC(交流）电源: 95-240可变(47到63Hz)；功率消耗：100瓦；DC(直流）电源：选件，-48 VDC；

外型尺寸17英寸(长) x 17.5英寸(宽) x 3.5英寸(高)，重量27磅可以机架安装

工作环境温

度

0-50o C(32到122F) 湿度10% - 90%，无冷凝

支持的标准ARP,TCP/IP,UDP,ICMP,HTTP,RADIUS,IPSeC(IPESP,IPAH),MD5,SHA1, DES,3DES,IKE,TFTP(client),

SNMP,X。509v3,VLAN 802.1q

安全标准认

证安全认证：CSA

EMI：FCC Part 15 class A,CE,VCCI,C-Tick,BSMI

第3章　主机服务器设计

3.1. 设计原则

主机服务器是所有应用系统的运行基础。一个好的信息化，必定要求有良好的应用功能与有效的应用效果，而这些应用都离不开一个优秀的硬件平台的支撑。为了保证应用的高效高质运行，主机服务器设计应符合下述原则：ü高可靠性，保证应用的平稳不间断运行，从而实现业务的高效安全处理

ü高扩展性，保证系统可以随着应用规模的发展而扩充，与公司一起成长

ü配置适度，在保证有一定业务余量的情况下，较好的节省投资

ü开放性，保证对应用的良好支持，方便系统的扩展、运行与维护

3.2. 主机服务器设计

3.2.1. 主机服务器设计要求

主机服务器是所有应用运行的直接基础，它的性能、稳定性、扩展性将直接影响着应用的高效、可靠与扩展。某公司对主机服务器的要求如下：

1. 必须根据高可靠性、高扩展性、开放性的系统组织原则进行主机选型。其中，应用服务器、数据库服务器采用主流机型，并通过配套的软件组成双机互为备份。

2. 系统应具有高扩展性，当业务量增加或增加新业务时，主机能以增加节点、处理器、内存等方式提供更高的性能来满足新的要求，并应能支持CPU 的板级升级和节点的平滑扩充；

3. 考虑关键应用单点故障问题，当故障出现时，其它节点能够自动接管该节点的应用，且整个系统能够实现负载自动均衡，故障排除后，该节点能够自动恢复应用；

4. 主机的设计处理能力要求满足所有相关应用和一定用户规模的需求，并要求考虑全部系统的开销及应用切换时性能余量（双机时可考虑），还需考虑总共约30%的性能冗余；

3.2.2. 主机服务器体系设计

在现在，服务器平台如按最基本的CPU来划分，主要有三大体系，一种是基于RISC技术的小型机系统、一种是基于CISC的PC服务器系统和最新的EPIC安腾64位系统。EPIC安腾64位系统由于出现时间太短，基于其上的应用稳定性和成熟性尚待验证，作为一个大型的不断扩展的系统，是不应该冒这种风险的。

基于RISC技术的小型机系统配合UNIX操作系统，其一直以来就是为稳定的大型应用而设计的，因此关键的大量的数据库系统与核心应用系统最好选用此平台，以保证应用的稳定与不断扩展，但其价格昂贵。

基于CISC的PC服务器系统是一种在PC技术架构之上发展起来的服务器系统，它由于通用而实现了大规模生产，从而提供了一种很好的性价比，随着PC技术的发展，其稳定性也有了很大的提高。因此，其是注重性价比的最佳选择。

综上所述，我们建议某公司的服务器平台采用PC架构平台。

3.3. 主机服务器设备选型

3.3.1. 数据库服务器选型

数据是企业信息化的生命线，数据库服务器则负责着数据的接收、处理和存储等工作。所有的数据安全、可用以及高效查询都与数据库的稳定性、安全性和性能密切相关。随着企业的发展，数据量的增长，数据库服务器也必须要能同步的扩展，因此必须选用一性能好，稳定性好的服务器作为数据库服务器。

根据某公司的情况，我们建议选用I BM eServer系列家族中的xseries 365产品作为数据库服务器的运行平台，并在其上配置2路3.0Ghz Intel XEON MP CPU和4GB内存，并由两台组成RAC环境，从而实现高性能、高稳定、高安全和高可扩展的数据库服务器平台。

X365是一款高效空间设计的3U、4路机柜密集型服务器，它的主要特性如下：

ü高性能、低密度

IBM eServer? xSeries? 365 采用灵活的4路处理器，更高的机柜密度

和强大管理功能设计的机架优化服务器，提供领先的性能/价格比和投资保护特

性。第二代 IBM 企业级X-架构？（EXA）设计和运行速度高达 3.0GHz 的

Intel? Xeon？处理器 MP 提供强大的功能以运行关键任务应用，例如企业资

源规划（ERP）、数据库和协作型应用等。每套系统所提供的高达 32GB 内

存满足资源密集型应用程序的运行需要。

紧凑式的 3U 结构设计占用更小的数据中心空间，因此有助于降低成本。

x365 服务器专门设计提供高达 876GB 内置数据存储功能，有助于降低外置

数据存储的要求。

ü出色的可靠性

采用多种组件的冗余设计，x365 服务器有助于避免硬件失效错误并能够创建群集系统以防止出现灾难性结果。新的 N+N 电源提供冗余特性并简化机

柜环境安装。除了通用热插拔和冗余组件外，x365 服务器内存子系统还提供

第三级的冗余保护的镜像功能，以强化 Memory Protection 和第三代 Chipkill 技术。

ü可扩展，按照系统扩展付费

EXA 技术和可选的 IBM RXE-100 远程扩展柜选件支持低成本的 PCI 和 PCI-X 扩展功能以实现独特的按照系统扩展付费的 I/O 可扩展性。x365 服务器超乎寻常的 I/O 功能极具成本效益，能够替换过时的终端服务设备或

昂贵的路由器设备等。

ü完备的管理功能

系统集成远程管理适配器（RSA）II ，通过连续监控子系统提供真正的系统监控功能有助于保证服务器的可用性。此外，I BM Director 还便于降低培训

成本的同时提高工作效率。

此款服务器的详细技术参数如下：

一般信息

型号名称:　88626RX　

描述:　xSeries 365　

结构

定位允许:　水平　

插槽x托架总数(空闲):　6(5) x 8(6)　

外型参数　机柜　

Hot Swap Bays - Standard　6　

冷却系统 6 fans　

处理器

SMP processors std　2　

SMP processors max　4　

BIOS 类型:　IBM BIOS　

处理器(CPU):　Intel Xeon MP Processor　

处理器内部时钟速度　3GHz　

前端总线:　400MHz　

处理器厂商:　Intel　

二级缓存:　512KB　

内存

内存(RAM)标准/最大:　2GB / 32GB　

可选RAM配置:　512:1024:2048 DIMMs (must be installed in

pairs)　

RAM slots total　8 DIMM　

RAM slots available 4 DIMM　

RAM速度:　266MHz　

RAM类型:　PC2100 DDR SDRAM (Chipkill)　

硬盘

已安装硬盘编号:　6　

Hard disk size1:　0GB　

硬盘控制器:　Integrated Dual Channel Ultra320 SCSI　

硬盘类型:　Ultra320 SCSI　

Max hard disk capacity　878.4GB