研究所OA系統(tǒng)信息產(chǎn)業(yè)部電信研究院

申請免費(fèi)試用、咨詢電話：400-8352-114

　　軟硬兼施筑火墻
　　高達(dá)12層的電信研究院大樓是按照智能大廈的標(biāo)準(zhǔn)設(shè)計的。在建設(shè)中已經(jīng)基本完成了布線的工作。所以貴陽研究所OA軟件網(wǎng)絡(luò)建設(shè)的主要工作是選擇合適的硬件設(shè)備和開發(fā)相關(guān)的應(yīng)用系統(tǒng)。這是一個快速以太網(wǎng)結(jié)構(gòu)的網(wǎng)絡(luò)，速率為服務(wù)器端100M、客戶端10M。
　　安全性是電信研究院網(wǎng)絡(luò)建設(shè)首當(dāng)其沖的要求，也確實讓設(shè)計人員投入了很大的精力，進(jìn)行過數(shù)次方案論證。電信研究院的網(wǎng)絡(luò)設(shè)置比較特殊，筑起了兩道防火墻，最大限度地防止非法訪問的發(fā)生。在緊鄰Internet的路由器后是鋼筋鐵骨的硬件防火墻———Cisco Pix；在內(nèi)部網(wǎng)絡(luò)外還有一道以柔克剛的軟件防火墻———Gaunlet Firewall。
　　這兩垛“墻”將整個網(wǎng)絡(luò)結(jié)構(gòu)分為三段：外部的Internet、中間的FTP服務(wù)器、DNS服務(wù)器和WWW服務(wù)器以及內(nèi)部的網(wǎng)管、數(shù)據(jù)庫、VOD和其他應(yīng)用服務(wù)器。而在網(wǎng)絡(luò)設(shè)計的初期，兩層防火墻是放在一起的。網(wǎng)絡(luò)只分為內(nèi)外兩段，F(xiàn)TP、DNS和WWW服務(wù)器被置于保護(hù)之外，很容易受到攻擊。實際上，對防火墻設(shè)置的這項改動，也是電信研究院網(wǎng)絡(luò)從設(shè)計規(guī)劃到實際建設(shè)中最大的改進(jìn)。
　　第一層CiscoPix硬件防火墻主要是通過包過濾和地址轉(zhuǎn)換來保障網(wǎng)絡(luò)安全。其核心基于Adaptive Security Algorithm（ASA）算法，對所有通過防火墻的信息包進(jìn)行校驗。能有效地阻止不速之客對內(nèi)部網(wǎng)絡(luò)的訪問。同時Cisco Pix的NAT地址轉(zhuǎn)換功能使得內(nèi)部網(wǎng)絡(luò)互相通訊采用內(nèi)部IP地址，而對外連接時轉(zhuǎn)換為外部地址。這樣外部訪問者只能看到假的IP地址，無法對服務(wù)器進(jìn)行真正的攻擊，而且屏蔽了很多端口。Cisco Pix實際上保護(hù)了對外公開的FTP服務(wù)器、DNS服務(wù)器和WWW服務(wù)器。與此同時，它還可以通過地址轉(zhuǎn)換擴(kuò)大和重新設(shè)置IP地址，緩解IP地址不足的情況。而第二層防火墻又為這些服務(wù)器增添了對內(nèi)防護(hù)的功能，網(wǎng)絡(luò)內(nèi)部的人員對外訪問也需要通過Gaunlet防火墻，所以它們也不會受到來自內(nèi)部的攻擊。
　　話雖這樣說，內(nèi)部網(wǎng)絡(luò)自身的安全性也是不容忽視的。這個設(shè)計規(guī)模為600臺接入客戶的網(wǎng)絡(luò)現(xiàn)在共有300多臺計算機(jī)接入，其中絕大部分安裝了微軟的Win95或Win98操作系統(tǒng)。它們都采用廣播包來進(jìn)行通訊，如果不加抑制，任何一臺接入網(wǎng)絡(luò)的計算機(jī)都可以在“網(wǎng)上鄰居”中看到所有接入的計算機(jī)，成為安全的隱患。因此，電信研究院網(wǎng)絡(luò)中的每個單位都按照VLAN虛擬局域網(wǎng)設(shè)計，用戶只能在“網(wǎng)上鄰居”中看到自己科室的計算機(jī)，進(jìn)而防止廣播風(fēng)暴的產(chǎn)生，進(jìn)一步保證了網(wǎng)絡(luò)資源的安全。
　　由于電信研究院并沒有外地的分支機(jī)構(gòu)，因此這個網(wǎng)絡(luò)主要的覆蓋范圍，就是在新建的研究院大樓內(nèi)。不過，大樓之外的北京幾家下屬院所已經(jīng)建立了自己的網(wǎng)絡(luò)系統(tǒng)，如何與它們進(jìn)行信息交流又對整個網(wǎng)絡(luò)的安全提出了挑戰(zhàn)。通過Internet交換信息會使網(wǎng)絡(luò)的安全系數(shù)大打折扣；直接通過專線連接投資較大，仿佛又沒有必要。根據(jù)整個研究院都通過Lotus Notes應(yīng)用來共享網(wǎng)絡(luò)資源的特點(diǎn)，他們采用了兩個服務(wù)器直接撥號相連的方式，主要進(jìn)行內(nèi)部郵件的通訊。因為Lotus Notes在連接時要進(jìn)行非常嚴(yán)密的安全認(rèn)證，讓黑客毫無可乘之機(jī)。

研究所OA系統(tǒng)信息產(chǎn)業(yè)部電信研究院Intranet結(jié)構(gòu)圖

　　著眼未來選硬件
　　談到硬件設(shè)備的選型，電信研究院網(wǎng)絡(luò)中心的龐中堅工程師表示：“我們選型的時候不僅考慮到設(shè)備自身的性能指標(biāo)等幾個因素，而且也非常重視設(shè)備日后的可擴(kuò)展能力，力爭讓網(wǎng)絡(luò)系統(tǒng)在一段時間內(nèi)能夠通過擴(kuò)展來適應(yīng)信息技術(shù)驚人的發(fā)展速度，最大限度地保護(hù)投資。”
　　正是基于這種考慮，電信研究院選擇了3臺SGI Origin系列服務(wù)器，其中包括一臺作為內(nèi)部WWW服務(wù)器的Origin2000，兩臺作外部WWW服務(wù)器和內(nèi)部Proxy服務(wù)器、DNS服務(wù)器和VOD服務(wù)器的Origin200。SGI的Origin系列服務(wù)器出色的運(yùn)算性能、強(qiáng)大的I／O能力自然不必多說，它在視頻數(shù)據(jù)流處理方面的特殊優(yōu)勢加上WebFORCE MediaBase軟件系統(tǒng)使它成為VOD系統(tǒng)的必然選擇。而電信研究院在選型時更看重的是Origin系列服務(wù)器良好的可擴(kuò)展性。O2000和O200都采用了SGI獨(dú)特的CC－NUMA（Cache Coherent－Non Uniform Memory Access，高速緩存一致性的非均勻內(nèi)存訪問）結(jié)構(gòu)，能夠讓用戶通過增加CPU的數(shù)目來輕松地擴(kuò)展系統(tǒng)，同時也能對投資加以保護(hù)。
　　目前電信研究院的O2000服務(wù)器有4個CPU，而SGI公司1998年已經(jīng)可以實現(xiàn)256個CPU的擴(kuò)展系統(tǒng)，這些CPU通過特有的Craylink光纖高速互連的系統(tǒng)，最高可以達(dá)到在1024個CPU，以內(nèi)保證性能與節(jié)點(diǎn)數(shù)目的線性增長關(guān)系。O200服務(wù)器也可以由單機(jī)擴(kuò)展到雙塔、“大立柜”甚至“大立柜組”，成倍地提高處理能力，讓用戶在日后升級時也可以發(fā)揮目前的設(shè)備的作用。而且這些擁有多個節(jié)點(diǎn)的高速服務(wù)器并不需要用戶在編程處理上作特殊處理，用戶依然可以像面對單個的系統(tǒng)一樣運(yùn)行各種通用的應(yīng)用程序、進(jìn)行系統(tǒng)開發(fā)。
　　在網(wǎng)絡(luò)交換機(jī)的選擇上，電信研究院采用了Cabletron模塊化的5000系列交換機(jī)，它們支持媒體流的高帶寬，可以滿足VOD應(yīng)用的大吞吐量要求，而且這些交換機(jī)模塊可以通過簡單的疊加來擴(kuò)充處理能力。為了提高網(wǎng)絡(luò)的可靠性，這個網(wǎng)絡(luò)中使用了兩臺主交換機(jī)，如果其中一臺發(fā)生故障，可以迅速地把一些重要客戶轉(zhuǎn)移到另一臺正常運(yùn)行的交換機(jī)上。在網(wǎng)管平臺方面SUN具有公認(rèn)的優(yōu)勢，電信研究院網(wǎng)絡(luò)中的網(wǎng)管、VLAN虛擬網(wǎng)絡(luò)管理服務(wù)器也采用了SUN Ultra系列服務(wù)器。
　　量身定做巧應(yīng)用

　　通過上面的描述，讀者對電信研究院OA軟件的網(wǎng)絡(luò)建設(shè)可能已經(jīng)有了一些了解，這是一個安全、高速、可靠、有著出色擴(kuò)展能力的網(wǎng)絡(luò)，那么在這個完善的硬件平臺上，又開發(fā)了哪些應(yīng)用系統(tǒng)呢？
　　電信研究院網(wǎng)絡(luò)的應(yīng)用主要在兩個方面———基于Lotus Notes的和基于Web方式的應(yīng)用，利用Notes的內(nèi)部郵件系統(tǒng)，大家可以很方便地協(xié)同工作，而網(wǎng)上交流都采用Web界面，研究院內(nèi)部發(fā)布通知、進(jìn)行討論都變成了數(shù)碼方式。
　　由于Lotus Notes系統(tǒng)在群件、協(xié)同工作、內(nèi)部郵件方面功能非常強(qiáng)大，而且具有與系統(tǒng)平臺無關(guān)性，龐中堅工程師說他們幾乎是毫不猶豫地選擇了Notes作為應(yīng)用平臺，并在其上自主開發(fā)了科研項目管理系統(tǒng)，讓繁瑣的科研項目申報審批工作通過“純數(shù)字”的方式變得高效便捷。科研人員再也不用為了簽字和公章耗費(fèi)大量時間了，這個科研項目管理系統(tǒng)完全接管了項目進(jìn)行的全過程。按照項目管理的規(guī)范，立項過程中申請人把項目報到所科技處，所科技處再轉(zhuǎn)到院科技處，其管理員把項目分配給具體的相關(guān)人員審閱并呈報給分管的院長，審批完畢后返回給立項人，項目就開始具體實施了；在科研項目的進(jìn)行過程中，各種報告、調(diào)研資料不斷寫入網(wǎng)絡(luò)上的數(shù)據(jù)庫，管理系統(tǒng)會保持對項目進(jìn)行跟蹤；結(jié)題與立項過程類似，經(jīng)過報批后項目完結(jié)；到年底時，管理系統(tǒng)還會整理科研項目進(jìn)行報獎?，F(xiàn)在電信研究院中，這套基于Lotus Notes群件的科研管理系統(tǒng)已經(jīng)完成連接、開始運(yùn)行，而下一步工作就是要連到信息產(chǎn)業(yè)部，讓科研項目的全過程在網(wǎng)上暢通無阻地進(jìn)行。