国家教育网络建设方案建议书

国家教育网络建设方案建议书

二○○三年十一月十二日

目 录

第一章 系统分析及建设标准 .................................... 3

一、系统分析.................................................... 3 二、网络规划标准................................................ 3 第二章 整体系统规划 ......................................... 5

一、国家教育网整体拓扑结构图.................................... 5 二、网络整体结构分析............................................ 5 三、网络设计技术特点............................................ 6

1、广域网线路的冗余方式及其技术特点......................... 6 2、路由器的冗余............................................. 9 3、网络安全的设计.......................................... 10 4、数据库的建设............................................ 13 5、UPS电源 ................................................ 17 四、网络的可扩展性............................................. 18 第三章 国家教育部系统规划 ....................................19

一、国家教育部局域网拓扑结构图................................. 19 二、网络结构分析............................................... 19 三、网络设备特点............................................... 20

1、路由器.................................................. 20 2、防火墙.................................................. 22 3、交换机.................................................. 24 4、服务器.................................................. 26 5、磁盘阵列................................................ 33 6、UPS电源 ................................................ 36 四、工作电脑及周边办公设备..................................... 38

1、工作电脑................................................ 38 2、周边办公设备............................................ 38

第四章 州教育系统规划........................................39

一、州教育系统网络拓扑结构图................................... 39 二、网络结构分析............................................... 39 三、网络设备特点............................................... 39

1、路由器.................................................. 39 2、交换机.................................................. 41 3、服务器.................................................. 43 4、磁盘阵列................................................ 49 5、UPS电源 ................................................ 52 四、工作电脑及周边办公设备..................................... 53

1、工作电脑................................................ 53 2、周边办公设备............................................ 53

第五章 区教育系统规划........................................54

一、区教育系统网络拓扑结构图................................... 54 二、网络结构分析............................................... 54 三、网络设备特点............................................... 54

1

1、路由器.................................................. 54 2、交换机.................................................. 55 3、服务器.................................................. 56 4、UPS电源 ................................................ 57 四、工作电脑及周边办公设备..................................... 59

1、工作电脑................................................ 59 2、周边办公设备............................................ 59

第六章 学校系统规划 .........................................60

一、学校系统网络拓扑结构图..................................... 60 二、网络结构分析............................................... 60 三、工作电脑及周边办公设备..................................... 60

1、工作电脑................................................ 60 2、UPS电源 ................................................ 60 3、周边办公设备............................................ 60

第七章 售后服务 .............................................61

一、网络产品售后服务........................................... 61 二、服务器及工作PC售后服务.................................... 61

1、服务器售后服务.......................................... 61 2、工作PC售后服务......................................... 63 三、应用软件售后服务........................................... 63 四、UPS售后服务 ............................................... 64 五、其他周边办公设备售后服务................................... 64

2

第一章 系统分析及建设标准

一、系统分析

XXXXXX共和国有9692所中学，每年有9万名年龄约16岁的学生毕业，他们面临着继续接受教育还是走上社会工作的选择，为此国家教育部计划在远程网络技术的基础上，为建立覆盖全国的真正的学生和青年就业指导信息系统。本系统共分为四个层次，分别在国家、州、区和学校的范围内编制、加工并提供信息。系统中将建有教育电子信息库，包括就业指导和心理教育分析资料，这些资料在系统内的各点以及系统外都能查询到。

二、网络规划标准

该系统的规划遵循国际通行的网络通信标准。这些标准分别是： 1）可用性和实用性

网络能够为用户提供不间断的服务，对用户的请求能作出快速响应。同时网络的设计以注重实用和成效为原则，紧扣系统的实际需求。

2）先进性

采用先进的成熟技术和网络拓朴结构，选用先进的硬件设备和软件，使之在性能上能适应高速发展的网络应用，在较长时同内不落后。

3）开放性和标准化

网络系统的设计遵照国际通信标准和国际工业标准，选用网络产品同样遵照国际通信标准和国际工业标准。使得不同品牌的设备能够很好的相互兼容和协作使用。

4）可靠性和高安全性

选用可靠的能防止非法入侵和破坏的硬件和软件设备，充分考虑网络的冗余和容错能力，在出现局部故障时能尽可能不影响网络其它部份的正常运行。重视网络管理系统的设计和实施。

5）经济性和易维护性

选用有优良性价比的设备，尽可能少化钱多办事。整个网络要便于统一管理、监控和维护，能方便地诊断和排除故障。

3

6）可扩充性

选用符合标准的设备，使之有良好的开放性和升级扩展能力，随着需求和业务量的增长，能方便地改进网络性能，提高网络带宽和扩充网络规模。从而最大限度地保护用户的投资。

7）网络的可监控、可管理性

网络系统采用优良的系统和网络管理平台，能够对网络系统的设备、状况进行统一监控和管理，能很好地预测、排除网络故障，保证网络系统的安全运行，实现网络的透明管理，并且能够对网络性能进行优化。

4

第二章 整体系统规划

一、国家教育网整体拓扑结构图

路由器Server路由器Server路由器区教育系统路由器Server路由器区教育系统Server区教育系统Server区教育系统交换机区教育系统路由器路由器路由器交换机局域网Server州教育系统局域网区教育系统州教育系统路由器Server路由器交换机防火墙交换机区教育系统局域网路由器局域网州教育系统国家教育部Server路由器Server路由器路由器区教育系统区教育系统Server区教育系统

二、网络整体结构分析

上图为国家教育网整体结构图，包括国家教育部、州教育系统和各区教育系统。

在国家教育系统，我们采用高端路由器通过DDN专线或ISDN线路连接共14个州教育系统的路由器；构成一级广域网体系。其下，通过ISDN线路或拨号方式连接各区教育系统；而分布全国的9692所学校则全部通过拨号的方式连接各区教育系统。

通过这个完整的路由群建立一个覆盖全国每所学校的广域网系统。在这个系

5

统里，我们不但可以完成本次项目的目的——为本国学生和青年提供就业指导信息；同时，在不久的将来，我们依据这个网络体系建设一个覆盖全国的网络教育系统，不但在网络中为学生提供就业信息，同时为他们提供更多的学习机会。学生们可以在网络中报考自己向往的学府，选修自己喜欢的专业，选择更有经验的教授，并且，学生们不需要离开自己的家乡。他们可以在家里或在本地的学校里做到这一切。

而我们的各级教育部门则可以通过这个网络系统得到一个全新的工作方式，他们将拥有更快的办公速度、更高的办公效率和更有参照力的历史数据。他们将通过网络对各地学校进行具体的行政管理，各种国家的新的教育制度和文献将更快的得到上传下达。

三、网络设计技术特点

1、广域网线路的冗余方式及其技术特点

国家教育部网络系统是整个教育网络体系的中心，它通过DDN专线与各个州教育系统连接，完成日常的工作信息交换。在选择通讯线路的时候，我们不但要考虑日常使用的通讯方式是否能够为网络的数据传输提供可使用的带宽、稳定性和安全性以外，我们还要考虑通信的可靠性及效率。如果数据传输只有唯一的通信线路，那么，线路的效率势必成为通信的瓶颈。另外，不可靠的通信也可能造成数据丢失。因此，通信线路必须有备份线路，用以保护数据及重要业务，保证业务能连续、正常地运转。因此在使用DDN专线作为主要通讯线路的基础上，我们建议采用ISDN冗余拨号线路作为备份线路，在DDN线路拥塞或中断时启用，以保证日常工作数据的不间断传输。

DDN即数字数据网，是以传输数据信号为主的数字传输网络，DDN可以为用户提供点对点，点对多点的全数字、全透明、入网速率在2Mbit/s以内的高质量数字专用传输通道，以满足用户对多媒体通信和组建中高速计算机通信网的需要。分组交换是20世纪80年代后期蓬勃发展并在世界范围内被广泛应用的数据通信技术，他以CCITT X.25协议为基础，将数据信息按照一定的规则分割成定

6

长的数据分组，采用“存储转发”的方式在交换网上传输，到达目的地后，再组装还原成原先网站的数据信息传送给用户。分组交换可以实现不同类型、不同速率和不同规程计算机之间的联网通信，进行信息检索、资源共享。

DDN是为用户提供数据专线服务的网络，是一种基于TDM(时分复用)的传输技术，它可以为用户提供一条独享的端到端的透明传输信道，用户可在该通道上加载所需的各种高层业务，如语音、IP、ATM和帧中继等。由于DDN通道之间是完全隔离的，因此它具有很好的安全性。DDN设备结合用户终端设备可提供多种速率的用户专线通道业务，包括子速率1.2kbps、2.4kbps、4.8kbps、9.6kbps、??Nx64kbps及最高到2Mbps速率的DDN通道。DDN作为数据通信的支撑网络，其主要作用是为用户提供高速、优质的数据传输通道，为用户网络的互连提供桥梁。目前，DDN专线的电气接口主要采用V.35方式。V.35接口的机械特性，规定使用34芯的连接器（符合ISO 2593标准），电路插针分配及功能如表1。在实际使用中，有的只用其部分芯线插针，因而也有用芯少的连接器，接法则自己定义。对于同步接口，规程特性中最重要的是时钟线，时钟线指的是113、114和115电路。时钟线起很大的作用，DTE或DCE接口要不断用对端时钟线传来的时钟对自己的时钟进行校正（一般是利用锁相环电路进行时钟同步），以便正确提取数据。

ISDN是以综合数字电话网为基础发展起来的通信网络，提供端到端的数字化连接。ISDN能够通过公共电话网的一对用户线为客户提供多种综合业务，使信息的传递速度高、准确性强，能节省时间及线路开销，带来很多方便。具体地说，它建立在现有公共交换电话网（PSTN）基础之上，网络改造费用低；大大提高了现有电话线路的通信带宽,通信建立时间短，可靠性高；基本速率（2B+D 144Kbps）和基群速率(30B+D 2Mbps)提供的带宽可用于主干网传输，并可实现按需分配带宽，有效利用资源，降低通信费用。

ISDN 目前主要提供两种类型服务：一种是 BRI（Basic Rate Interface：基本速率接口）服务，再一种是 PRI（Primary Rate Interface：一次群速率接

7

口）服务。前者适用于个人用户和小型企业；后者适用于大型企业和集团用户。ISDN 作为专用的全数字化网，它能以迅速、准确、高效的方式提供各种通信网络中现有的服务，不论信息是语音、文字，还是图形、图像都可以转换成数字信息进行传输。即使是如今时髦的多媒体会议电视，ISDN同样可以最大限度给以满足。由此可见，ISDN 的优点在于它可直接进行数字信号的交换和传输，具有完整的数字传输标准，并能根据需要分配其带宽。同时将通信技术和数据处理技术有机结合后，还可以延伸很多以前未曾涉及的新业务领域。专业人士都知道，利用传统的 PSTN（Public Switched Telephone Network：公共交换电话网）进行数据传输，虽然网络内部也实现了数字化，但由于电话局到用户这段线路之间采用的仍是模拟传输方式，因而这就不可避免的会出现噪声积累而引起失真。而采用 ISDN 方式，由于用户线路实现了数字化，因而传输质量自然得到很大提高。

目前常用的 ISDN 线路（BRI）工作方式是 2B＋D 模式（它已成为 CCITT 标准），即：两个 B 信道（Channel，它是基本数字信道）和一个 D 信道（控制数字信道）组成，每个 B 信道可以提供 64Kbps 的语音或数据传输，D 信道可提供 16Kbps（个别的也有 64Kbps 的）的信令控制作用，因此 BRI 总的频宽为 144Kbps。B 信道就是承载信道，其速率是根据数字化声音的一项被称为 PCM（Pulse Code Modulation：脉冲编码调制）技术标准得到的。D 信道是信令控制信道，用户通过它发出请求建立或终止联系的信息。在 2B＋D 模式中，用户可以在一条电话线上（一个用户号码）实现两路不同方式的同时传输。用户只要拥有一条 ISDN 线路，就可以提供上网、电话、传真、可视图文等多种业务，也可以享受一边上网冲浪，一边电话聊天的乐趣；当然也可以两个人同时电话聊天。也正因为有此独到之处，ISDN 在如今的高智能化小区很受宠爱。

ISDN 的传输速度快是ISDN的突出特点。它的一条B信道速率就可达到 64Kbps，其接入速率至少是普通 PSTN＋45Kbps 速率（必须是 56K Modem开足马力）所能达到的 1.4 倍。而如果将两条B信道合起来使用，这样就可以轻而易举的达到 128Kbps 的传输速率。128Kbps 至少是 45Kbps 速率（56K Modem 方式）的 2.8 倍，让你尽情享受高速冲浪带来的快感。而由此节省下来的时间和

8

通讯费更是难以用金钱来衡量。从测试来看，正常情况下使用一个B信道Data Download（数据下载）速率为6K/s左右，如果两个信道合并使用可以达到 12K-14K，这还只是平均下载速度。而一般 56K Modem 最高不会超过 5K/s，如果遇到堵塞的话速度就很难保证了，有时甚至只有1K/s。不仅如此，ISDN还可以在64K速度上网的同时，在另一个通道上电话聊天，这正是 ISDN 享有“一线通”赞誉的主要原因。

基于上述理由，一旦系统网络在工作时，主用线路出现故障或者过载拥堵，主用线路可立即切换到ISDN网的备份线路，保证线路的畅通无阻和高速连接。由于使用ISDN网作为DDN的备份线路，在原有网络的基础上，最大限度地利用了用户原有的资源，节省了投入资金，同时缓解了主用线路的压力。

2、路由器的冗余

在国家教育部的网络中心，我们将采用路由冗余结构，即使用两台硬件配置相同的路由器作为网络中心的接入设备，其中一台是日常使用的主路由，负责日常的接入工作。另一台备份路由则在日常使用的主路由发生宕机的情况下及时替换主路由成为网络的主要接入设备，以保证我们在对主路由进行检修时不会影响整个网络的数据交换。如果主路由发生了数据拥塞，备份路由也可接替主路由的位置，为主路由分担通信流量。

目前，进行热备冗余设计和调试是使用HSRP热备路由协议。HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置得比所有其他路由器的优先级高，则该路由器成为主动路由器。路由器的缺省优先级是100，所以如果只设置一个路由器的优先级高于100，则该路由器将成为主动路由器。 通过在设置了HSRP协议的路由器之间广播HSRP优先级，HSRP协议选出当前的主动路由器。当在预先设定的一段（Hold Time 缺省为10秒）时间内主动路由器不能发送hello消息，或者说HSRP检测不到主动路由器的hello消息时，将认为主动路由器有故障，这时HSRP会选择优先级最高的备用路由器变为主动路由器，同时将按HSRP优先级在配置了

9

HSRP的路由器中再选择一台路由器作为新的备用路由器。

所有参与HSRP的路由器共享一个虚的IP地址，网络中的工作站将缺省网关指向该虚地址，被选出的主动路由器负责转发由工作站发到虚地址的数据包。Hello消息是基于UDP的信息包，配置了HSRP的路由器将会周期性的广播Hello消息包，并利用Hello消息包来选择主动路由器和备用路由器及判断路由器是否失效。

配置了HSRP协议的路由器交换以下三种多点广播消息： 1、

Hello──hello消息通知其他路由器，发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息；

2、

Coup──当一个备用路由器变为一个主动路由器时发送一个coup消息；

3、

Resign──当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。

4、 5、

在任一时刻，配置了HSRP协议的路由器处于由以下六种状态： Initial ——表示路由器的HSRP还未运行，一般在配置第一台HSRP路由器时会显示此状态；

6、

Learn——表示配置HSRP的路由器还未知道虚地址，并一直监听来自主动路由器的消息包；

7、

Listening──表示配置HSRP的路由器还已知道虚地址，路由器还在监听hello消息；

8、 9、

Speaking and listening──路由器正在发送和监听hello消息； Standby──处于被用状态，当主动路由器失效时路由器可被选为主动路由器，接管包转发功能；

10、

3、网络安全的设计

一个网络的正常使用，是建立在安全的基础上的。如果没有相应的网络安全措施，那么，我们的数据将会被截流，流量将会被监听，系统将会被破坏，一些正常的网络应用将不能进行。因此，在进行网络规划时，我们需要全盘考虑网络

10

Active──路由器执行包转发功能。

安全的问题，同时依据这个网络的特点进行相关的网络安全设计。

这次国家教育网络的建设主体是一个完整的广域网系统，同时，在每一个广域网的节点上又有一个局域网存在，因此，我们不但要考虑局域网的内部安全，同时要考虑广域网的外部安全。一般来说，整体网络安全会考虑以下几个部分：

（1）身份验证、授权和统计

身份验证——提供了识别用户的方法，包括登录和口令对话框、询问和应答、支持消息收发以及根据所选的安全协议进行加密。身份验证是允许用户访问网络和网络服务之前对其进行识别的方法。

授权——提供了进行远程访问控制的方法，包括一次性身份验证或针对每种服务的身份验证；用户帐户列表和配置文件；用户组支持；对IP 、IPX、ARA和Telnet的支持。

统计——提供了收集和发送安全服务器信息的方法，这些信息包括用户身份、开始和结束时间、已执行的命令、分组数目以及字节数等，可以用来计费、审计以及制作报表等。通过统计，可以跟踪用户正在访问的服务，以及他们占用的网络资源。

（2）安全服务协议

RADIUS——一种分布式客户机/服务器系统，通过AAA来实现，可以防止网络遭受未经授权的访问，并向中央RADIUS服务器发送身份认证请求。

TACACS+——一种安全应用程序，通过AAA来实现，对用户试图访问路由器或网络访问服务器的举动进行集中验证。TACACS+服务保存在TACACS+ daemon上的一个数据库中，而TACACS+ daemon通常运行在UNIX或Windows NT工作站上。TACACS+提供了单独的、模块化的身份认证、授权和统计功能。

TACACS和扩展TACACS——TACACS是一种较老的访问协议，与较新的TACACS+协议不兼容。出于安全和统计的用途，TACACS对用户行为进行口令检查、身份认证和通知。扩展TACACS是较老的TACACS协议的扩展，提供了一些附加的功能。

Kerberos——一种通过AAA实现的密钥网络身份认证协议，使用数据加密标

11

准（DES）加密算法进行加密和身份认证。Kerberos用来对网络资源进行身份认证。Kerberos基于这样一种概念，即由可信的第三方对用户和服务实施安全验证。Kerberos的主要用途是验证用户及其使用的网络服务是否名副其实。为此，由可信的Kerberos服务器对用户发放证书。这些证书有一定的期限，存储在用户的凭证cache中，可以用来代替标准的用户名—口令身份认证机制。

（3）数据流过滤

我们通过访问控制列表来实现数据流过滤。访问列表可以对针对所有网络协议进行数据流过滤。通过对访问列表的配置，可以控制对网络的访问，访问列表能够禁止特定的数据流进入或离开网络。

访问列表通过控制在路由器的接口上转发还是阻断被路由的分组来过滤网络数据流。路由器检查每一个分组，并根据访问列表指定的准则来确定转发还是丢弃该分组。访问列表指责可以针对数据流的源地址、目标地址、上层协议或其他信息。由于高级用户无须进行身份验证，所以他们有时可以绕过或欺骗基本访问列表。

应该使用访问列表为网络访问提供基本的安全性，如果没有在网络的路由器上配置访问列表，则所有通过路由器的分组将可以进入网络的任何部分。应该在防火墙和路由器上使用访问列表，防火墙通常位于内部网与外部网之间，也可以在网络两部分之间的路由器上使用访问列表，以便控制进入或流出内部网络特定部分的数据流。而对于路由器，应该在路由接口上为每种网络协议配置访问列表。以便在一个接口上过滤进站数据流、出站数据流或同时过滤他们。

必须针对每一种协议定义访问列表，换而言之，如果想要控制接口上可用协议的数据流，则应该为接口上启用的每种协议定义访问列表。

（4）网络数据加密

在不可靠的网络上传输的数据无法防范任何攻击。数据经过路由器时，任何能够访问该路由器的人都能够读取、改写或伪造它。对通过不可靠的网络从一台路由器传输到另一台路由器的网络数据，加密为他们提供了保护。传输机密和关键数据时，加密显得尤为重要。

12

建立加密会话期间，参与会话的两个对等路由器都将试图验证对方的身份。任何一方没有通过身份验证，都将无法建立加密会话，因此不能传输加密信息。对等身份验证确保只有已知的、可信的对等路由器才会交换加密信息，防止路由器被欺骗，而向非法或欺骗目标路由器发送敏感的加密信息。

通常情况下，对等路由器被置于不可靠网络的边缘，以便在两个物理上独立的安全网络间提供安全通信。从安全网络端进入对等路由器的明文信息被加密，并通过不可靠的网络进行转发。当加密信息到达远程对等路由器时，路由器将对信息进行解密，然后将解密后的信息转发到远程的安全网络中。分组在对等路由器的出站接口上被加密，然后在另一台对等路由器的入站接口上被解密。

目前国际通行的加密方式为：数字签名标准（DSS）、Diffle-Hellmen（DH）公用密钥算法和数据加密标准（DES）。DSS用于对等路由器身份验证。DH算法和DES标准用于在对等路由器之间发起和执行加密通信会话。

（5）其他安全措施

除了上述的安全措施，在对终端的安全考虑也是一个很重要的组成部分。我们使用口令和指定权限级别是在网络中提供终端访问控制的一种简单有效的方法。其中主要包括保护对特权EXEC命令的访问；加密口令；配置多重权限级别；恢复丢失的有效口令；恢复丢失的线路口令；配置标识支持。

4、数据库的建设

在网络系统建成之后，我们需要在这个系统上实现各种各样的应用，而这些应用的基础就是数据库。

目前，国际通用的数据库大部分来自Informix；Oracle和Sybase这三大数据库生产商。这些数据库都拥有相对完善的基础开发平台和各种功能插件，能够支持在目前流行的如UNIX、Solaris、AIX、Windows 2000 Server和Windows NT Server等操作系统上运行。能够支持在目前大多数硬件产品上使用，对于通用的硬件如网卡、光纤通道卡、SCSI卡和RAID卡之类也都有内置的品牌库可供识别。能够支持大多数语言的二次开发，如C、C++、VB、VC、JAVA、JAVA Script等。因此，这三种数据库不但能在绝大多数硬件匹配和操作系统环境中使用，同

13

时还为各种小型的专业功能数据库的开发提供了良好的底层基础。

现在，这些数据库都先后推出了各自的网络版本，比之以前只支持单机开发功能更全面、更强大，网络版本能支持多用户的协同开发。一般来说，标准网络版本可支持25用户同时使用，如果需要支持更多用户使用，只需在原有标准版本的基础上购买增加用户的Licence即可。可见，这些成熟的数据库系统都能够提供一种平滑的用户升级方式，可以依据用户使用的需要、发展的需要提供增长性的功能，使用户合理的安排自己的投资，只在需要的时候进行购买，而不必担心产品是否会随用户的需求增长而被淘汰的问题。

随着技术的发展，这三种数据库相互之间的数据共享、结构匹配、功能融合也越来越全面、越来越完善，界面越来越人性化，用户可以同时使用这三种数据库而不会觉得其中的一种数据不能被其他两种识别。这些功能使用户获得了更广泛和更有深度的使用范围。

下面简单介绍一下三种数据库各自的功能特点：

（1）Informix数据库

informix关系数据库系统是美国informix Software Inc.的优秀软件产品，具有很好的兼容性和可移植性，可联接性好，功能强大，便于维护，安全性好等特点，经过几十年的发展，已成为功能最齐全、最受欢迎的关系数据库管理系统之一。据IDG1992年度的统计结果显示，informix在全世界范围内拥有在unix、xenix上最多的用户，其所占份额达37％，该产品在开放系统上向不同层次的用户及不同领域的应用提供了全面的信息管理解决方案。全世界已有越来越多的用户正在使用或准备使用informix软件来开发数据库管理系统。

Intormix数据库的主要特点：

可提供原有文本文件与informix数据库表的双向转换技术 可充分调用特种类型的函数

可利用各种文本编辑软件提高开发效率 可提供次序调试过程中的出错检验功能 可利用动态语句实现程序通用设计

INFORMIX主要产品分为三大部分： 数据库服务器(数据库核心)；应用开发

14

工具；网络数据库互联产品。

数据库服务器有两种，作用都是提供数据操作和管理：

SE：完全基于UNIX操作系统，主要针对非多媒体的较少用户数的应用 ONLINE：针对大量用户的联机事务处理和多媒体应用环境

应用开发工具是用以开发应用程序必要的环境和工具，主要也有两个系列：

4GL：INFORMIX传统的基于字符界面的开发工具，该系列的主要产品有五个，他们是I-SQL、4GL RDS、4GL C COMPILER、4GL ID和ESQL/C。 NewEra：INFORMIX最新提供的具有事件驱动能力、面向对象的基于各种图形界面的开发工具。

其中，Informix Online是一个多线程数据库，能够使用数据库进程的动态池和多并发线程来并行相应客户请求。这种体系结构具有高度的可扩展性。每个虚拟处理器，属于专门处理某一任务的虚拟处理器组。数据库调度线程，并决定其优先级。Informix Online通过其并行数据查询选项，实现了并行机制。该数据库的内存配置是动态的。允许对内存、CPU和磁盘进行配置，可以指定缺省的共享内存大小，及需要时必须增加的大小；也可以在运行时分配或收回共享内存。可以指定启动时，虚拟处理器的数目，这个数目在系统运行时可以被改动。另外可以指定处理器间的亲密关系，该参数可将虚拟处理器绑到指定的处理器上。该数据库能有机的分配现有的硬件资源，总是将他们使用到当前最需要的应用上。

（2）Oracle数据库

ORACLE 是以高级结构化查询语言(SQL)为基础的大型关系数据库，通俗地讲它是用方便逻辑管理的语言操纵大量有规律数据的集合。是目前最流行的客户/服务器(CLIENT/SERVER)体系结构的数据库之一。

物理结构——ORACLE数据库在物理上是存储于硬盘的各种文件。它是活动的，可扩充的，随着数据的添加和应用程序的增大而变化。

分布式数据库管理——物理上存放于网络的多个ORACLE数据库，逻辑上可以看成一个单个的大数据库。用户可以通过网络对异地数据库中的数据同时进行存取，而服务器之间的协同处理对于工作站用户及应用程序而言是完全透明的：开发人员无需关心网络的连接细节、无需关心数据在网络接点中的具体分布情

15

况、也无需关心服务器之间的协调工作过程。由网络相连的两个ORACLE数据库之间通过数据库链接(DB-LINKS)建立访问机制，相当于一方以另一方的某用户远程登录所做的操作。但ORACLE采用的一些高级管理方法，如同义词(SYNONME)等使我们觉察不到这个过程，似乎远端的数据就在本地。数据库复制技术包括：实时复制、定时复制、储存转发复制。对复制的力度而言，有整个数据库表的复制，表中部分行的复制。在复制的过程中，有自动冲突检测和解决的手段。

逻辑结构——ORACLE数据库在逻辑上是由许多表空间构成。主要分为系统表空间和非系统表空间。非系统表空间内存储着各项应用的数据、索引、程序等相关信息。我们准备上马一个较大的ORACLE应用系统时，应该创建它所独占的表空间，同时定义物理文件的存放路径和所占硬盘的大小。

特点：

ORACLE7.X以来引入了共享SQL和多线索服务器体系结构。这减少了ORACLE的资源占用，并增强了ORACLE的能力，使之在低档软硬件平台上用较少的资源就可以支持更多的用户，而在高档平台上可以支持成百上千个用户。

提供了基于角色(ROLE)分工的安全保密管理。在数据库管理功能、完整性检查、安全性、一致性方面都有良好的表现。

支持大量多媒体数据，如二进制图形、声音、动画以及多维数据结构等。 提供了与第三代高级语言的接口软件PRO*系列，能在C,C++等主语言中嵌入SQL语句及过程化(PL/SQL)语句，对数据库中的数据进行操纵。加上它有许多优秀的前台开发工具如 POWER BUILD、SQL*FORMS、VISIA BASIC 等，可以快速开发生成基于客户端PC 平台的应用程序，并具有良好的移植性。

提供了新的分布式数据库能力。可通过网络较方便地读写远端数据库里的数据，并有对称复制的技术。

（3）Sybase数据库

Sybase开放体系的企业基础架构软件问世已有十九年。Sybase的企业软件解决方案适用于所有的技术平台，极大地保证了产品的兼容性，真正实现了“Everything Works Better When Everything Works Together”。Sybase的产品系列囊括了数据库、开发工具、集成中间件、企业门户、以及移动无线服务

16

器等。

目前，Sybase针对政府部门的工作特点推出了完整的政府行业解决方案，其中包括为教育部门建立分布式数据库的解决方案。

使用Adaptive Server Anywhere为各级部门建设信息化系统——数据库是信息系统的核心。然而，政府行业对于数据库的需求不仅要求数据库能够提供强大的功能与性能，更重要的是对数据库的维护，要求越简单越好。同时要求该数据库能够支持多种平台，而且具有强大的可扩展性从而满足不断的数据增长需求。Adaptive Server Anywhere是一个强大的中型关系型数据库，具有无与伦的可靠性，提供了全面的企业级功能。

MobiLink——多平台同步：在远程设备和企业系统之间(包括Adaptive Server Anywhere、Sybase Adaptive Server Enterprise、Oracle、Microsoft SQL Server、IBM DB2)可靠的、双向的同步。支持多种同步和网络协议：包括TCP/IP、HTTP、Palm HotSync、HotSync Server和Microsoft ActiveSync以及各种无线协议。可选的、强大的、可同步通信的128位加密。高可伸缩性，可支持数千个远程数据库。支持水平和垂直的数据子集。高度灵活的用户身份验证逻辑。

异构数据库之间的数据交换平台——如果其他一些政府行业部门建设了信息系统，那么在政府部门之间进行信息交换将成为一个很重要的问题。基于ASA与Mobilink的数据交换平台为这种信息交换提供了崭新的思路与解决方案。 如果两个部门分别使用Sybase ASE、Oracle、DB2或SQL Server建立了自己的信息系统，而这两个系统之间需要进行数据交换。Mobilink对各种主流的后台数据库的支持使SQL Anywhere Studio成为可靠的易维护的性价比高的在两个异后构数据库系统之间进行数据交换的平台。

中心数据库Sybase IQ Multiplex——中心数据库位于国家教育部的信息中心，对于该中心数据库能够提供的功能是：大数据量，可能会超过几个TB；主要用于统计、查询、分析，所以需要快速的查询性能；可不断的进行扩展。

5、UPS电源

在整个网络系统建成并投入使用之前，我们还需要考虑电力支持的问题。对于本次国家教育系统网络建设，我们考虑在国家教育部的信息中心使用在线式电

17

力支持，这种方式能持续的为整个信息中心提供恒定电压和稳定电流，最大限度的保证了设备的使用寿命。在外部电力停止供电后，仍然能满足信息中心所有网络设备正常运行两个小时，以便我们有足够的时间完成手头的工作并将它们存储起来。

对于各州、区教育系统和学校的信息中心，我们考虑采用后备式电力支持，这种方式在日常电力供应中并不参与工作，只在外部电力停止供电后自动启动，为信息中心提供电力支持约一小时到30分钟不等。

四、网络的可扩展性

在规划国家教育网络时着重考虑了网络扩展性的问题。主要体现在硬件选型、通信线路、网络应用方面。

在硬件选型方面，我们选择的硬件设备，尤其是网络设备，基本都具有模块化的特点。这种模块化的特点带来的优点是显而易见的。我们需要实现什么样的功能，就选择什么样的模块，插在机箱中就能使用，如果暂时不需要，就不购买。随用随买，充分保护了我们的投资延续性和使用灵活性。

在通信线路方面，我们采用两种通信方式。一种是DDN专线，一种是ISDN线路，这两种线路可以同时使用，也可使用一种。或者，根据各地通信发展的特点，在DDN线路使用较多，价位较低的地区选择DDN专线；在ISDN线路使用较多，价位较低的地区选择ISDN线路。相应的，选择某种通信线路就在当地使用的路由器上选配某种模块即可。

在网络应用方面，尤其是在国家教育部信息中心的主要网络设备，我们采用了全冗余结构的设计思想，即在其中一台设备宕机的情况下，另一台设备能自动接替原有设备成为网络中的主干，从而自动接替原有设备的全部工作。确保24*7的无差错工作控制。这一点在第三章中详细描述。

其他方面，硬件设备的电池冗余，风扇冗余，网络存储的数据数据备份等都体现了良好的可扩展性。

充分考虑网络扩展性的设计思想能更有效的保障用户的投资，并使整体网络应用在很长一段时间里随用户需求的增长而同步增长。

18

第三章 国家教育部系统规划

一、国家教育部局域网拓扑结构图

WAN心跳路由器路由器心跳防火墙DMZDMZ防火墙ServerServerServerData交换机PrinterScanner

二、网络结构分析

从上图可以看出，网络的边缘路由设计采用了热备切换的方式。两台路由器分别通过DDN和ISDN线路连接到广域网，在两台路由之间使用一根心跳电缆作为Failover的依据。

在防火墙的设计方面，同样采用了Failover的技术，同时，将服务器群设置在防火墙的防火区，将服务器群和数据库作为一个单独的区域。这样设计的优点是能保护服务器群和数据库的完整性和安全性，便于对服务器群和数据库进行单独管理；同时无论内网或外网发生故障，不会影响另一方对服务器群和数据库的访问。而这样设计的缺点是任何一方，尤其是内网对服务器群和数据库进行访

19

问时，都需要经过防火墙的身份验证，因此增加了防火墙的负担。

信息中心的交换机是整个网络内部数据交换的主要设备。我们建议使用支持三层路由功能的交换机。这类交换机拥有相对较大的背板带宽，较高的交换性能和包转发率；能够支持所有IEEE定义的交换协议；能够支持一定程度的三层路由协议；能够根据需求定义每端口的状态，包括流量、速率、双工等参数；并且在支持四到七层的网络连接和网络应用方面也有一定的优化。

在与防火墙连接的DMZ区中，是整个国家教育网络系统的服务和数据中心。我们建议采用三台服务器和一个磁盘阵列，其中一台Mail服务器、一台网络防病毒服务器、一台数据库服务器。主要功能如下：

Mail服务器——完成国家教育部内网Email功能，为实现无纸化办公打下坚实的基础。

网络防病毒服务器——在国家教育部内网的每一台PC上安装该软件的客户端即可，能实现全网的防毒、杀毒功能，需要定期升级病毒库。

数据库服务器——作为各种应用程序的低层数据库系统。提供平滑升级的能力将在今后的很长一段时间里为全网的各种应用提供支持。

磁盘阵列——整个国家教育网络系统的数据存储设备，需要提供较大的存储容量，并能支持各种存储方式，数据写入磁盘的同时进行备份。以便进行数据灾难恢复。

在使用磁盘阵列的基础上，我们还建议使用磁带备份的方式，将每周或每月数据用磁带拷贝后单独保存。这样，我们可以确保在磁盘阵列的存储空间受限的情况下保留很长时间的历史数据，同时也保证了一旦裁判阵列出现毁灭性的硬件故障时，把我们的数据损失降到最低限度。

三、网络设备特点

1、路由器

教育部信息中心路由器需要连接14条DDN专线和14条ISDN线路，我们建议采用港湾NetHammer G708骨干路由器。NetHammer G708骨干路由器是港湾网

20

络为了满足新一代Internet网以及企业骨干网的需求变化而推出的，定位于大型企业广域网的核心、大型城域网的骨干汇聚。NetHammer G708骨干路由器改变以往路由器以协议处理为中心的架构，转变为以应用处理为中心平台架构，增强了产品的可靠性和多业务IP网络汇聚的功能，实现IP数据包的高速处理。在日益复杂的业务网络环境下能够保持处理性能不下降。NetHammer G708骨干路由器是新型NP结构的骨干路由器，在设计上作了多项优化以提高处理能力和对新业务的适应能力，具备业界卓越的处理性能和处理指数级增长的混合业务的高效能力。

NetHammer G708骨干路由器支持主控、电源等关键部件的冗余备份，主控板、业务接口板、电源模块支持热插拔；NetHammer G708采用单主控，电源1+1冗余备份。对于大型企业/行业的广域互连网络，随着用户业务量的不断增长，需要大量采用高带宽的E1或E1捆绑来作为骨干链路，而且运营商E1链路租用费用的下降也促进用户大量采用E1作为广域链路。

基于高性能NP和硬件并行流处理技术，NetHammer G708骨干路由器具备极强的NAT性能，整机可以支持一百万个并行NAT会话的能力，支持城域网边缘公网、私网地址的混合组网。NetHammerG708骨干路由器NAT功能提供应用层协议标识和处理，支持VoIP、Netmeeting等业务的透传。

NetHammer支持基于DiffServ模型的IP/MPLS QoS策略，为网络业务流量提供了精确的流分类粒度，支持CAR/GTS、RED/WRED/SARED、PQ/CQ/WFQ/CBWFQ，精确保证不同业务的带宽和时延，极大增强了对网络流量拥塞的有效控制。NetHammer G708的QoS业务特性有助于提升IP网络的品质，满足用户对高质量业务的需求，实现数据、语音、视频等业务在IP网络上的融合与统一。

港湾公司HammerView智能网管系统是一种增强型网元级网管系统，可对港湾全网设备进行智能化的管理。全网QoS策略智能配置； Email、手机短信等多种告警方式；分级分权管理。开放式统一网管平台EasyTouch是面向国内用户提供的中英文界面的开放式综合网管平台，提供开放式接口，可集成第三方的网元级网管系统，识别以及管理其他厂商的设备，真正实现全网的集中有效管理，EasyTouch基于JAVA技术，无需任何修改即可运行在Microsoft Windows2000/XP、HP-UX/Solaris等多种操作系统中。

21

NetHammer G708骨干路由器主要技术参数：

产品名称 总槽位数 业务板槽位数 主控 交换容量（全双工） 转发能力 电源 满配功耗 机箱高度 工作温度 环境湿度

2、防火墙

神州数码DCFW-1800防火墙是一款功能强大、性能卓越的的网络安全设备。DCFW-1800基于高速稳定的硬件平台，并采用经过安全加固的专用操作系统，因此具备极高的安全性和可靠性。除了提供强大的多级过滤功能外，DCFW-1800还具备时间段控制访问、应用代理、地址转换、地址映射、MAC地址绑定、入侵检测、完整的日志审计、双机热备份、流量控制、带宽管理等完备的功能，真正的透明接入方式可以在不更改现有网络配置的情况下安装或卸载防火墙，并可使防火墙免遭黑客攻击；支持与第三方IDS产品互动，可以有效防止各种网络攻击行为。DCFW-1800支持VPN加密，使得用户可以利用Internet建立安全加密通道，在享有灵活性、安全性的同时节省昂贵的专线费用。

DCFW-1800防火墙性价比极高，将高速的数据处理能力、高度的安全性及简单易用等特性有机地结合在一起，为政府、军队、企业和教育等各行各业的网络提供坚实可靠的保护。

DCFW-1800防火墙的性能特点：

多级过滤机制——DCFW-1800 防火墙采用多级过滤机制，提供从第二层到第七层的多级过滤。其中工作在第二、三层之间的动态包过滤对于应用程序是完全透明的，能够使防火墙高效率地工作；应用程序内容过滤则可对

22

NetHammer G708 10 8 双主控 4G >=1.5MPPS 2+1备份 500W 6 0~40 摄氏度 10~90% 不结露 HTTP、SMTP、FTP等应用进行细致地限制，使防火墙具备更高的安全性。多级过滤机制能够灵活提供基于地址、协议、端口、时间和用户保留地址（非法地址）等信息的包过滤和互联接入，从而最大限度确保防火墙系统自身的安全性，提高对网络的保护能力并增强控制的灵活性。

真正的透明接入方式——DCFW-1800防火墙支持真正的透明接入方式。透明接入是防火墙常用的一种工作方式，在网桥模式下，采用透明接入对于正常使用网络的合法用户来说，任何防火墙的功能都是不可感知的。透明接入使得网管人员可以在不更改现有网络配置的情况下安装或卸载防火墙，而且客户端也不需要做任何额外设置，即可直接使用代理服务，从而给网络的使用和维护带来极大的方便。若在路由模式下，则可通过ARP-Proxy地址解析代理功能实现透明接入。

网络地址转换和映射——DCFW-1800防火墙支持网络地址转换（NAT）和地址映射功能。利用NAT技术可以实现内部网虚拟IP地址（非法地址）与对外真正IP地址（合法地址）之间的转换，从而隐藏内部网地址，提高网络安全性。另外，合法IP地址非常紧张，任何企业网都不可能为每位用户提供单独的合法IP地址，NAT使得内部网用户可以共享一个合法IP地址接入互联网，达到节省IP地址的目的。DCFW-1800可支持多对一、一对多等动态NAT以及一对一地址映射等地址转换功能。

MAC地址绑定——DCFW-1800防火墙支持MAC地址绑定功能，可以将用户主机的IP地址与网卡的MAC地址一一对应起来实现用户鉴别，防止内部用户之间的地址欺骗。

入侵检测——DCFW-1800防火墙集成了入侵检测技术，可以通过实时截获网络数据流，发现违规模式和未授权的网络访问尝试，并根据系统安全设置作出实时报警、时间日志等反应，有效防止黑客入侵。DCFW-1800可以防止Ping-of-Death、Win nuke、Tear drop 、Syn flooding等多种常见的DOS（Denial of Service）攻击。

流量控制——DCFW-1800防火墙可以实时检测内部用户的流量，对不同用户每天分配固定的流量限额，当其通过防火墙对外通信的交互流量累计到该限额时，防火墙即切断该用户的对外访问。流量控制可以提高带宽利用率，

23

确保关键应用的带宽；对于按流量计费的专线用户，还可以有效控制线路费用。

多层次分布式带宽管理——DCFW-1800防火墙的带宽管理完全虚拟了网络带宽应用的实际环境，并实现多层次的分布式管理模式，避免了单层集中管理的缺点；而且，可以实现带宽分层、带宽分配、带宽优化等管理，优化网络资源的应用，提高网络资源应用效率。

双机热备——DCFW-1800防火墙支持双机热备功能，即在网络中部署两台防火墙，当其中一台不能正常工作时，另一台防火墙可以检测到，并立即接替原防火墙的工作，确保对网络实施不间断的保护。这种功能对于金融、电信、军队等可靠性要求极高的行业非常重要。

3、交换机

FlexHammer24是港湾网络有限公司基于成熟的以太网ASIC技术和自主研发的HammerOS操作系统，在充分吸取业界三层交换技术成果的基础上开发的智能多层交换机。在具备传统三层交换机容量大、高速转发性能优点的同时，FlexHammer24增加了完善的运营、管理等电信级特性，能提供802.1x认证手段和计费、带宽控制、地址防假冒和SuperVlan等功能，支持PPPOE、Web认证，从而满足电信级以太网接入的要求。

Hammer系列产品均采用港湾网络的HammerOS网络操作系。HammerOS网络操作系统专门针对三层交换机而设计，将控制和数据功能分离，采用模块化层次结构，将软件的灵活性和硬件处理的高速度有机结合，保证了系统的高性能和稳定性。自主设计的HammerOS为您的系统提供了安全保障。

关键特性和优势

大容量，全线速交换——15Gbps Crossbar无阻塞交换结构，所有端口可工作在全双工线速状态。

智能多层交换——基于硬件ASIC的三层交换技术大大提升了网络路由数据包的转发能力，保证应用层服务质量；支持第四层交换功能，可对应用流进行区分、检测、管理和控制。

24

先进的集群管理方式——通过一台命令交换机管理多达36台Hammer交换机集群，降低网管管理成本，简化管理操作，并可大大节省网管IP地址的占用；可管理的集群交换机间可通过以太网、快速以太网连接，而不必受专用堆叠模块和可堆叠电缆的限制。

方便的维护管理功能——支持WEB网管，可通过通用WEB浏览器的图形化界面来管理设备，无须专业知识可快速配置复杂网络；支持SNMP、CLI、RMON、TELNET网络管理方式；支持BOOTP、FTP，提供了完备、快捷的软件升级功能；支持端口镜像，可将指定端口或VLAN的所有数据报文重定向到镜像端口，以方便错误诊断；支持对不同流量类型进行不同的速率限制。

完备的用户管理安全认证策略——支持业界最新的用户接入控制协议802.1x，提供比传统接入控制方式更为有效的用户端口控制能力；配合支持Web认证方式。并可透传PPPoE信息，保证原有认证方式业务的开展；支持基于端口、MAC地址的IEEE802.1Q VLAN划分；可通过VLAN-IP-MAC的捆绑精确识别合法业务终端；支持服务等级/服务质量/多层业务流分类；提供2/3/4层的访问列表控制策略，达到用户业务的隔离；支持SuperVLAN，提高合法IP地址和VLAN ID利用率。

完善的QoS保障——12M共享包缓存区；基于IEEE802.1P标记信息和五元组流分类服务的优先级；支持基于流的多层CoS、ToS，满足实时多媒体业务如会议电视、IPP等应用的需求；自定义的多层流分类规则，整机最多支持128K流分类；HOL包头防阻塞。

FlexHammer24性能指标

特性指标 端口数量 扩展插槽 端口汇聚 基本性能 MAC地址 转发模式 网络和流量控制

25

描述 24-10/100Mbps自适应 2 3组，每组可汇聚8个端口 8K store-and-forward/cut-through 3层交换 VLAN Spanning Tree Qos 路由协议 Unicast Multicast 管理特性 集群管理 SNMP RMON HTTP CLI 物理尺寸(长*宽*高) 工作环境 功耗

4、服务器

基于IP 802.1Q 4k 支持 IEEE 802.1p/Tos RIP V1/V2 、OSPF、BGP DVMRP、PIM 最多可支持36台 SNMP V1 /V2c 1、2、3、9 Y Y 440mm * 67mm * 360mm 0~40 oC 10～90％ <100W 国家教育部信息中心共有三台服务器和一个磁盘阵列，分别是：Mail服务器、防病毒服务器、数据库服务器和一个可插12个硬盘的磁盘阵列。

下面详细介绍各种服务器和磁盘阵列的不同应用和硬件配置： ? Mail服务器

E-mail技术提供了一种全新的交流方式。在工作中的协调和配合不再依靠单一的电话、文件和会议的方式，通过电子邮件，在世界的任何一个角落，只要你与Internet相连，你就可以和你的公司，你的同事取的沟通；你可以随时随地得到你想了解的数据、合同、业务进展和会谈结果；你可以通过Mail制定你的工作计划、商务行程、会议安排、批阅文件和下达指令。E-mail技术让我们真正的从办公室解放出来，我们可以在更广泛的时间和空间安排我们的工作，它省掉了大部分的输入和打印工序。它让我们在任何时间、任何地方及时的了解工作的进展并随时作出修订和改变。它是我们从原有的固化的办公室工作方式向灵活的自由的信息化无纸办公跨出的第一步。

26

在这次国家教育系统网络建设中，由于我们的服务器和工作站的操作系统大都采用微软公司的产品，因此我们建议使用微软公司的网络邮件系统Exchange 2000 Server系统。

Exchange 2000 Server系统为我们提供了一个完整的网络邮件解决方案。Exchange 2000 Server融入了大量最新的数字技术，这一综合性通讯平台将让企业中的所有员工通过各种设备保持联系。Exchange 2000 Server设计用于满足从小型机构到大型分布式企业的不同规模企业的通信和协作需求。Exchange 2000 Server能够与Microsoft Windows 2000操作系统无缝集成，并提供一个全面的文件处理方式。

Exchange 2000 Server的功能模块介绍：

Internet Information Services（IIS）集成——紧密的IIS集成意味着可通过浏览器实现对Exchange的高性能Internet邮件访问，同时也表示Exchange已成为一个完整的Web应用平台。

分布式服务——Exchange 2000可将其子系统存放在多台服务器上，因此可提供多达数千万用户的可伸缩性。

容错消息路由——增强的路由算法消除了服务器和网络连接出现故障时的消息回弹现象。

Windows 2000安全——与Windows 2000安全的集成意味着Windows 2000和Exchange 2000将共用同一安全模型。

Microsoft Web存储系统——现在只需一个数据库即可为所有消息、协作、文档和Web应用提供存储库。

与Office 2000的集成——紧密的集成使Exchange 2000成为存放Microsoft Office文档和所有相关信息的仓库。

文档属性——众多的属性选项意味着更为丰富的查看、索引和搜索功能。

Web应用的平台——Exchange 2000现在可容留网站和工作流应用，因而可提供更高性能的Web应用。

与Microsoft FrontPage 2000的集成——您可以利用FrontPage 2000管理和编辑自己的Web应用。

27

增强的Outlook Web Access——这一增强的Exchange Web客户端可提供对电子邮件、日程安排、联系人和协作信息的远程Web访问。

数据会议——通过动态的随播数据会议共享应用程序和文件、举行实时讨论及交换白板图表。

会议的多客户端支持——Exchange 2000支持Microsoft NetMeeting及各种平台上的T.120客户端，包括Unix和Macintosh平台。

会议管理——管理员可以利用会议管理服务跟踪事件并控制对会议的访问。

在服务器的硬件方面，我们建议采用浪潮英信NP350服务器。

浪潮英信NP350是部门级高性能服务器，引入功能极其强大的Intel Xeon 处理器，并支持双路交叉存取的DDR内存，带宽高达4.3GB/s，PCI-X总线提供高带宽的I/O通道，成功实现高端技术下移；同时双网络控制器更可实现负载均衡和网卡冗余，保证数据传输高速和稳定，整个系统具有极佳性能。

NP350适用于各行业的中等规模网络应用，可作为File/Print、Email、WEB、中小型数据库应用服务器等，是企业信息化建设、电子政务、教育信息化等方面应用的最佳选择。

主要技术参数 处理器 二级缓存 系统总线 内存 硬盘控制器 存储 I/O扩展槽 网络 显示 电源 光驱 软驱 键盘鼠标

支持双路Intel Xeon 1.8G以上处理器 512KB 533MHz 支持ECC DDR266 内存，最大可扩展到8GB 集成Ultra320 SCSI控制器和2个IDE通道 集成Ultra320 SCSI RAID0,1，并可选其它RAID级别 支持36GB/73GB/146GB SCSI硬盘；支持6块热插拔 SCSI硬盘或5块内置SCSI硬盘，2个5.25\扩展槽 2个64bit 100MHz PCI-X扩展槽；2个64bit 66MHz PCI扩展槽；2个32bit 33MHZ PCI扩展槽 集成1个Intel 10/100Mbps和1个Intel 10/100/1000Mbps自适应网络控制器，支持网卡冗余、负载均衡 集成8M显存 单电源 50X IDE光驱 1.44M 3.5”软驱 PS/2键盘和PS/2鼠标 28

1个串口，1个并口，1个PS/2鼠标接口，1个PS/2键盘接口，3个USB接口，2个RJ45接口 标准的服务器管理：支持CPU温度、系统电压、风扇转速等的监控管理特性 监控；支持WOL, AC掉电恢复 Windows NT4.0，Windows 2000 Server，Netware5.0/6.0，Red 操作系统 Hat Linux8.0,UnixWare7.11 工作环境温度 5℃~35℃ 电源电压 220V 50Hz 系统尺寸 高439mm，宽 220mm，深653mm I/O端口

? 防病毒服务器

网络日益普及的今天，各种各样的病毒也越发猖獗。我们希望尽量减少病毒的侵害、保持完整的数据结构、维护正常的工作体系。因此，在进行网络建设的时候，一定要考虑防毒和杀毒的问题。

目前国际上以有很多成熟的网络防病毒系统，如Mcafee、Symantec、CA等都是目前占据市场分额相对较大的产品，且都有成熟的英文版本。我们建议使用Symantec公司出品的Symantec AntiVirus Corporate Edition网络防病毒系统。

该系统为企业范围内的工作站和网络服务器提供可伸缩的跨平台病毒防护。它还为驻留在工作站和网络服务器层之外的存储环境提供额外的保护。Symantec防病毒技术可以用来检测并防护所有主要文件类型（包括移动代码和压缩文件格式）中的病毒、蠕虫和特洛伊木马。该解决方案在提供高级扫描和修复服务的同时，对现有网络基础结构的资源要求很低。病毒定义文件的减小和多线程服务器分装的实现加速了更新的发布，同时通信流量的不断增长使得在多台服务器之间实现自动负载均衡也很容易实现，从而确保了具有高度可伸缩性的病毒防护功能。

它的集中管理功能使得 IT 管理人员可以管理各人用户和按功能划分的用户组，还可以创建、部署和锁定策略和设置，从而使得系统在任何时候都能够保持最新的状态和正确的配置。所有工作站和网络服务器设置都可以锁定，使用户无法对其进行更改。另外，管理员也可以通过管理控制台来配置并监控工作站和网络服务器。如果检测到病毒，将自动启动修复功能，并通过赛门铁克系统中心控制台以广播的形式向 IT 管理人员发出警报。中心管理控制台能够管理数十万个节点。

29

通过赛门铁克系统中心（Symantec System Center）管理控制台，可以为多平台的工作站和网络服务器集中部署病毒定义和产品更新，从而降低了在企业内部署更新的成本。此外，Symantec Packager技术使得管理员可以通过创建部署包来指定在每个系统安装哪些组件。集中分发可以减少部署时遇到的麻烦，如“sneaker net”、作业失败以及安装错误等。它还简化了企业规划以及服务器层次结构和组的创建。安装过程能够智能地预测可能遇到的问题，从而极大地减少了安装失败的可能性及其可能导致的网络问题。

数字免疫系统可以自动提交潜在威胁，并自动将解决方案发送到出现问题的计算机或整个企业。通过与赛门铁克全面的后端架构（包括硬件资源、体系结构设计以及最新的扫描引擎和Web爬网程序）相结合，数字免疫系统能够确保最高级别的服务可用性。通过与赛门铁克安全响应中心这一全球最大的病毒防治研究和响应组织提供的全天候警戒服务相结合，Symantec Antivirus Corporate Edition 可以在出现新病毒后的第一时间得到相关的解决方案。

在服务器的硬件方面，我们建议采用浪潮英信NP350服务器。

浪潮英信NP350是部门级高性能服务器，引入功能极其强大的Intel Xeon 处理器，并支持双路交叉存取的DDR内存，带宽高达4.3GB/s，PCI-X总线提供高带宽的I/O通道，成功实现高端技术下移；同时双网络控制器更可实现负载均衡和网卡冗余，保证数据传输高速和稳定，整个系统具有极佳性能。

NP350适用于各行业的中等规模网络应用，可作为File/Print、Email、WEB、中小型数据库应用服务器等，是企业信息化建设、电子政务、教育信息化等方面应用的最佳选择。

主要技术参数 处理器 二级缓存 系统总线 内存 硬盘控制器 存储 I/O扩展槽 网络

支持双路Intel Xeon 1.8G以上处理器 512KB 533MHz 支持ECC DDR266 内存，最大可扩展到8GB 集成Ultra320 SCSI控制器和2个IDE通道 集成Ultra320 SCSI RAID0,1，并可选其它RAID级别 支持36GB/73GB/146GB SCSI硬盘；支持6块热插拔 SCSI硬盘或5块内置SCSI硬盘，2个5.25\扩展槽 2个64bit 100MHz PCI-X扩展槽；2个64bit 66MHz PCI扩展槽；2个32bit 33MHZ PCI扩展槽 集成1个Intel 10/100Mbps和1个Intel 10/100/1000Mbps自30

适应网络控制器，支持网卡冗余、负载均衡 显示 集成8M显存 电源 单电源 光驱 50X IDE光驱 软驱 1.44M 3.5”软驱 键盘鼠标 PS/2键盘和PS/2鼠标 1个串口，1个并口，1个PS/2鼠标接口，1个PS/2键盘接口，I/O端口 3个USB接口，2个RJ45接口 标准的服务器管理：支持CPU温度、系统电压、风扇转速等的监控管理特性 监控；支持WOL, AC掉电恢复 Windows NT4.0，Windows 2000 Server，Netware5.0/6.0，Red 操作系统 Hat Linux8.0,UnixWare7.11 工作环境温度 5℃~35℃ 电源电压 220V 50Hz 系统尺寸 高439mm，宽 220mm，深653mm

? 数据库服务器

建议使用微软公司出品的Mircosoft SQL Server 2000数据库。

今天的工作环境要求不同类型的数据库解决方案。性能、可伸缩性及可靠性是基本要求。SQL Server 2000能够灵活性的进行数据管理与分析，允许单位在快速变化的环境中从容响应。从数据管理和分析角度看，将原始数据转化为智能和充分利用Web带来的机会非常重要。SQL Server 2000是一个具备完全Web支持的数据库产品，提供了对可扩展标记语言 (XML) 的核心支持以及在 Internet 上和防火墙外进行查询的能力。SQL Server 2000 提供了以Web标准为基础的扩展数据库编程功能。丰富的XML和Internet标准支持允许您使用内置的存储过程以XML格式轻松存储和检索数据。您还可以使用XML更新程序容易地插入、更新和删除数据。

Mircosoft SQL Server 2000数据库的功能特点

强大的Web功能——通过SQL Server 2000，您可以使用HTTP来向数据库发送查询、对数据库中存储的文档执行全文搜索、以及通过Web进行自然语言查询。 SQL Server 2000 分析服务功能被扩展到了Internet。您可以通过Web浏览器来访问和控制多维数据。

31

高度的可伸缩性和可靠性——使用 SQL Server 2000可以获得非凡的可伸缩性和可靠性。通过向上伸缩和向外扩展的能力，SQL Server满足了苛刻的电子商务和企业应用程序要求。

高度的可扩展性——SQL Server 2000利用了对称多处理器(SMP)系统。SQL Server Enterprise Edition最多可以使用32个处理器和64GB RAM。向外扩展可以将数据库和数据负载分配给多台服务器。通过增强的故障转移群集、日志传送和新增的备份策略，SQL Server 2000达到了最大的可用性。

集成和可扩展的分析服务——有了 SQL Server 2000，您可以建立带有集成工具的端到端分析解决方案，从数据创造价值。此外，还可以根据分析结果自动驱动商业过程以及从最复杂的计算灵活地检索自定义结果集。

快速开发、调试和数据转换——SQL Server 2000带有交互式调节和调试查询、从任何数据源快速移动和转化数据、以及按Transact-SQL方式定义和使用函数等功能。您可以从任意Visual Studio工具以可视化方式设计和编写数据库应用程序。

简化的管理和调节——使用SQL Server 2000，您可以很容易地在企业资源旁边集中管理数据库。可以在保持联机的同时轻松地在计算机间或实例间移动和复制数据库。

在服务器的硬件方面，我们建议采用浪潮英信NP350服务器。

浪潮英信NP350是部门级高性能服务器，引入功能极其强大的Intel Xeon 处理器，并支持双路交叉存取的DDR内存，带宽高达4.3GB/s，PCI-X总线提供高带宽的I/O通道，成功实现高端技术下移；同时双网络控制器更可实现负载均衡和网卡冗余，保证数据传输高速和稳定，整个系统具有极佳性能。

NP350适用于各行业的中等规模网络应用，可作为File/Print、Email、WEB、中小型数据库应用服务器等，是企业信息化建设、电子政务、教育信息化等方面应用的最佳选择。

主要技术参数 处理器 二级缓存 系统总线 内存

支持双路Intel Xeon 1.8G以上处理器 512KB 533MHz 支持ECC DDR266 内存，最大可扩展到8GB 32

集成Ultra320 SCSI控制器和2个IDE通道 集成Ultra320 SCSI RAID0,1，并可选其它RAID级别 支持36GB/73GB/146GB SCSI硬盘；支持6块热插拔 存储 SCSI硬盘或5块内置SCSI硬盘，2个5.25\扩展槽 2个64bit 100MHz PCI-X扩展槽；2个64bit 66MHz I/O扩展槽 PCI扩展槽；2个32bit 33MHZ PCI扩展槽 集成1个Intel 10/100Mbps和1个Intel 10/100/1000Mbps自网络 适应网络控制器，支持网卡冗余、负载均衡 显示 集成8M显存 电源 单电源 光驱 50X IDE光驱 软驱 1.44M 3.5”软驱 键盘鼠标 PS/2键盘和PS/2鼠标 1个串口，1个并口，1个PS/2鼠标接口，1个PS/2键盘接口，I/O端口 3个USB接口，2个RJ45接口 标准的服务器管理：支持CPU温度、系统电压、风扇转速等的监控管理特性 监控；支持WOL, AC掉电恢复 Windows NT4.0，Windows 2000 Server，Netware5.0/6.0，Red 操作系统 Hat Linux8.0,UnixWare7.11 工作环境温度 5℃~35℃ 电源电压 220V 50Hz 系统尺寸 高439mm，宽 220mm，深653mm 硬盘控制器

5、磁盘阵列

浪潮英信NetStorage存储系统定位于商业计算市场，注重于以数据为中心，面向企业计算应用，进行海量存储系统产品和解决方案的开发推广。具有高可靠、高性能、高扩展等优点，涵盖DAS、NAS、SAN三种存储应用。现在，该系列主要有NS3207/08、NS3212、NS3500、NS3510、NS8800六款磁盘阵列产品。本次国家教育系统网络建设将选用NS3500磁盘阵列。

浪潮Netstorage系列存储产品系统在线维护能力强，管理方便，产品内嵌管理配置系统，支持RS232管理端口，界面简单配置灵活，图形化管理软件方便配置和实时监测。该系列产品采用了RAID、全冗余热拔插、无电缆连接、模块化设计等先进技术，有效提高了设备和数据的可用性。该系列产品采用了当前最成熟的数据传输和存储技术，采用64位存储专用处理器，大大提高了系统的I/O能力。系统还可根据应用需求配置参数，实现连续性和随机性的性能优化。产品的多通道设计，保证该产品可方便灵活的与服务器系统无缝连接在一起，满足用

33

户DAS、SAN存储模式下的各种需求。

浪潮英信NS3500存储系统是一款单控制器、SCSI主机通道的磁盘阵列产品。该产品主机和磁盘通道均为高性能的Ultra160 SCSI，通道数量可灵活配置，3U空间内可容纳12块1英寸、转速最高1.5万转/秒的高性能SCSI热插拔硬盘。支持Windows NT/2000、多种Unix、Linux操作系统。系统支持SAF-TE管理，可监测硬盘、电源、风扇等任何部件出现的故障，并通过热插拔技术和冗余设计允许进行在线维护，在线维护能力强，有效减少了系统停机时间。该产品是独立于操作系统的标准存储设备，是一款DAS存储模式下的最佳存储平台。

浪潮英信NS3500存储系统定位于中端市场，可有效满足大容量存储、高可用双机、近线备份的需求，适用于各种环境下的关键应用。

主要特点及优点

大容量——单机可容纳12块硬盘，单盘容量支持18GB/36GB/73GB/146GB，单机最大容量1.7 5TB（146×12）；最大可扩展5台JBOD，最大管理72块硬盘，最大容量可达10.5TB。

多通道——通道灵活配置，主机通道、磁盘通道任意转换；系统主机通道最大扩展到6个，满足多主机共享设备连接需求。

高可用——先进的RAID技术，支持RAID 0, 1, 3, 5, 10, 30, 50, JBOD保证数据安全；硬盘在线后备功能，在线替换故障硬盘，减少系统宕机时间；RAID在线扩容功能，可在不改变配置和数据的情况下增加硬盘数量或升级为大容量硬盘；硬盘故障自动检测和RAID自动重建功能，保护硬盘数据完整；系统电源、风扇等部件采用冗余热插拔技术，实现系统不间断运行和故障部件的在线替换； 专业设计的通风散热结构，通风顺畅，保证系统的高效散热，提高稳定性。

高性能——系统采用64位架构高性能I/O处理器，可迅速处理I/O请求； 内部集成双段64位66MHz PCI总线，提供更高的I/O数据传输带宽；硬件RAID功能提高数据读写的性能；可优化I/O操作的读写方式，提高事务处理、大数据量传输等不同应用下的性能；系统主机、磁盘接口均为Ultra160 LVD SCSI，带宽可达160MB/s，可实现最佳的端对端传输。

易用易管理——独立于操作系统，无需任何软件驱动，只需服务器内有可用

34

的Ultra 160 SCSI控制器，即可和服务器建立连接，提供服务器所需存储空间； 可通过LCD控制板手工配置和监视系统的参数设置；系统内嵌管理程序，可通过RS-232连接终端来管理整个系统。

RAIDWatch图形界面管理软件——SAF-TE在线自动侦测功能，能够在线侦测控制器、硬盘、SCSI总线的电信号，并能在故障出现时进行报警；系统可通过监控接口升级内嵌软件，以增加其新特性或提升其性能。 技术规格

型号 外形规格 3U机架式，或塔式 NS3500 支持的RAID级别 RAID 0, 1, 3, 5, 10, 30, 50, JBOD 系统高速缓存 主机通道 硬盘通道 支持的硬盘数量 单机最大容量 处理器 64MB~1GB，标配128MB 标配2个，Ultra160 LVD SCSI标准，HDCI接头最多可扩展到6个 标配2个，Ultra160 LVD SCSI标准最多可扩展到7个 12块 1.75TB（146GB×12） 64位RISC架构处理器 支持的RAID数量 最多支持8个 支持的LUN数量 扩展功能 硬盘规格 冗余热插拔电源 冷却风扇 系统监控 系统管理特性 系统安全 系统高可用 最多支持32个/ID 可选，最多额外扩展5台JBOD 1英寸，36/73/146GB10，000或15，000转/分钟 300W，2＋1，均衡负载 大功率涡轮风扇，冗余热插拔，4个 声音报警、故障指示 LCD；图形管理软件；超级终端；支持SAF-TE管理 密码保护；安全锁 RAID技术、冗余热拔插技术；RAID在线动态扩容；硬盘驱动器在线后备；故障硬盘驱动器隔离电路；数据在线完整性监测；数据自动重建；数据重建接续。 35

电池后备（BBU） 可选 MTBF（平均无故障50，000小时 时间） 供电要求 环境相对湿度 工作温度 存放温度 物理规格 重量 安全认证 6、UPS电源

APC Smart-UPS，提供网络级的高可靠电源，保护您的数据。Smart-UPS，在业界履获殊荣，并以其出色的网络管理能力被誉为“网络UPS”，因此特别适于保护您的网络设备，例如，对可用性要求极高的服务器（无论是Intel 架构还是UNIX架构）、网络交换机、集线器等。 Smart-UPS，不仅有传统的塔式机型，其机架式机型，也是业界推出最早、功率型号最全的。机架式的服务器、存储产品、网络设备等安装于机柜内的设备，机架式Smart-UPS是最佳配套电源。 Smart-UPS随机赠送PowerChute?电池管理软件，应用它，网络管理员能够远程或自动地安全关闭系统。UPS与网络设备的通讯，即可通过串口、也可通过UPS接口实现。 Smart-UPS同时提供SmartSlot智能附件卡插槽，用户可以根据需要自由扩充附件卡，实现管理功能的定制化。纯正弦波输出保证兼容所有负载，智能电池管理更确保了UPS的高可用性，先进的图形显示信息方便了系统管理员对UPS的管理??以上种种，都使Smart-UPS成为网络用户首选的UPS。

APC工厂出品的UPS电源能够为我们提供如下质量保证：

高可靠性——创新的在线互动式结构，专为计算机类负载所设计（服务器、路由器、集线器、交换机??）精简的结构，带来更高的可靠性高达98%的运行效率。

全面的管理方案——可提供基于各种通讯方式（串口、局域网、互联网、电

36

100~240伏，11A/5.5A，60/50赫兹 10%~95%@30℃ 5℃~35℃ -40℃~70℃ 426mm×132mm×566mm（宽×高× 深） 20~40Kg（视硬盘多少） FCC，UL，CE 话网连接）的电源管理方案管理方案可基于或内嵌至多种操作系统并经认证内置SmartSlot附件卡插槽，自如扩充管理功能。

优良的供电质量——自动升压（-SmartBoostTM）与自动降压（SmartTrimTM），确保电力输出在限定范围 高性能的浪涌抑制，可吸收峰值电压、线路噪音、以及会造成数据丢失或硬件损坏的静电纯正弦波输出，确保敏感负载的兼容性。

友好的人机界面——具有自诊断功能，更以LED指示灯与声讯警报器结合使用，轻松获取状态信息 智能化电池诊断与充放电管理，实时显示电池容量与后备时间，无需专业人员，用户可在线热更换电池，安全简单。

详细技术参数如下 输出电容量 输出电容量 输出电压 输出连接 波形类型 标称输入电压 输入频率 输入连接类型 输入电压范围 输入电压可调范围 半载时一般后备时间 电池类型 一般重新充电时间 替换电池盒 接口端口 包含的管理软件 可选择软件 2,200 VA 1,600 Watts 230 V (8)IEC 320 C13 (1)IEC 320 C19 正弦波 230 V 50/60 Hz +/- 3 Hz (auto sensing) IEC-320 C20 inlet 174 - 286 V 168 - 302 V 32.3 minutes 免修，悬浮电解溶液，铅酸密封电池：防漏 5 hour(s) (1) RBC11 DB-9 RS-232;Smart-Slot card PowerChute Smart-UPS Bundle 点此处可概览其它软件选择 LED状态显示负载和电池条纹图的在线：电池在使用：替控制板 换电池：越负荷显示 可闻警报 当电池报警：电池弱电警报延迟成形 紧急电源关闭（EPO） 可选 管理设备选件 点击此处概览管理方式 电涌能量率 320 全程多极噪声过滤：0.7% IEEE电涌通过：0箝制，响应过滤 时间：UL 1449 净重 112 lbs, 50.8 kg 载重 134 lbs, 60.8 kg 运行温度 0 - 40 °C

37

运行相对湿度 售后服务

0 - 95% 2年包修，包换, 上门服务，定制服务 四、工作电脑及周边办公设备

国家教育部共需工作电脑12台，其中光盘发行电脑2台；文印室一台；项目行政工作5台；专门创作组3台；视频投影1台。另外，还需各类周边办公设备若干，其中包括复印机1台；绘图仪1台；传真机1台；黑白打印机1台；彩色打印机1台；摄象机1台；数码相机1台；扫描仪1台；标绘仪1台；投影仪1台。下面详细列出设备型号及相关配置： 1、工作电脑

采用柏安电脑作为日常工作电脑。详细配置如下：

处理器：Intel Pentium 4 内存：256MB 硬盘：40GB 显示器：17寸

2、周边办公设备

复印机：夏普AR-1820数码复印机 传真机：松下KX-FT72CN热敏纸传真机

绘图仪：hp designjet 815mfp 惠普大幅面绘图仪 黑白打印机：hp LaserJet 1300 激光打印机 摄像机：索尼DCR-PC104E数码摄录放一体机 数码相机：奥林巴斯E-20P

扫描仪：hp scanjet 3670数字平板式扫描仪 标绘仪：hp designjet 500打印机（42英寸） 投影仪：hp digital projector vp6110 投影仪

38

第四章 州教育系统规划

一、州教育系统网络拓扑结构图

WAN路由器Data交换机ServerServerPinter

二、网络结构分析

从上图可以看出，州教育系统的内部网通过DDN专线或ISDN线路连接到国家教育广域网系统。局域网网内所有的网络设备，包括服务器、PC等都连接到交换机，并通过路由器与整个广域网取得联系。

在州教育系统，我们建议采用两台服务器和一个磁盘阵列组成服务体系。由于州教育系统的内部局域网工作站数量相对较少，建议由一台服务器实现Mail服务和防病毒服务功能。而州教育系统仍然负担着收集、整理当地有关就业指导和心理教育诊断的资料的任务，因此，数据库服务器仍需保留，并需要提供一定容量的存储空间。

三、网络设备特点

1、路由器

NetHammer M380是港湾网络面向大型分支机构的模块化多业务路由器，在紧凑的机身下具备更高的接口密度、更强的处理性能和更大的扩展能力以满足数据、话音、视频和混合拨号访问应用的需求。NetHammer M380的这些特性使它成为高效而经济的多业务应用平台。

39

本文来源：https://www.bwwdw.com/article/mix6.html