研究所OA系統(tǒng)信息產(chǎn)業(yè)部電信研究院

申請免費試用、咨詢電話：400-8352-114

　　軟硬兼施筑火墻
　　高達12層的電信研究院大樓是按照智能大廈的標準設計的。在建設中已經(jīng)基本完成了布線的工作。所以貴陽研究所OA軟件網(wǎng)絡建設的主要工作是選擇合適的硬件設備和開發(fā)相關的應用系統(tǒng)。這是一個快速以太網(wǎng)結構的網(wǎng)絡，速率為服務器端100M、客戶端10M。
　　安全性是電信研究院網(wǎng)絡建設首當其沖的要求，也確實讓設計人員投入了很大的精力，進行過數(shù)次方案論證。電信研究院的網(wǎng)絡設置比較特殊，筑起了兩道防火墻，最大限度地防止非法訪問的發(fā)生。在緊鄰Internet的路由器后是鋼筋鐵骨的硬件防火墻———Cisco Pix；在內(nèi)部網(wǎng)絡外還有一道以柔克剛的軟件防火墻———Gaunlet Firewall。
　　這兩垛“墻”將整個網(wǎng)絡結構分為三段：外部的Internet、中間的FTP服務器、DNS服務器和WWW服務器以及內(nèi)部的網(wǎng)管、數(shù)據(jù)庫、VOD和其他應用服務器。而在網(wǎng)絡設計的初期，兩層防火墻是放在一起的。網(wǎng)絡只分為內(nèi)外兩段，F(xiàn)TP、DNS和WWW服務器被置于保護之外，很容易受到攻擊。實際上，對防火墻設置的這項改動，也是電信研究院網(wǎng)絡從設計規(guī)劃到實際建設中最大的改進。
　　第一層CiscoPix硬件防火墻主要是通過包過濾和地址轉換來保障網(wǎng)絡安全。其核心基于Adaptive Security Algorithm（ASA）算法，對所有通過防火墻的信息包進行校驗。能有效地阻止不速之客對內(nèi)部網(wǎng)絡的訪問。同時Cisco Pix的NAT地址轉換功能使得內(nèi)部網(wǎng)絡互相通訊采用內(nèi)部IP地址，而對外連接時轉換為外部地址。這樣外部訪問者只能看到假的IP地址，無法對服務器進行真正的攻擊，而且屏蔽了很多端口。Cisco Pix實際上保護了對外公開的FTP服務器、DNS服務器和WWW服務器。與此同時，它還可以通過地址轉換擴大和重新設置IP地址，緩解IP地址不足的情況。而第二層防火墻又為這些服務器增添了對內(nèi)防護的功能，網(wǎng)絡內(nèi)部的人員對外訪問也需要通過Gaunlet防火墻，所以它們也不會受到來自內(nèi)部的攻擊。
　　話雖這樣說，內(nèi)部網(wǎng)絡自身的安全性也是不容忽視的。這個設計規(guī)模為600臺接入客戶的網(wǎng)絡現(xiàn)在共有300多臺計算機接入，其中絕大部分安裝了微軟的Win95或Win98操作系統(tǒng)。它們都采用廣播包來進行通訊，如果不加抑制，任何一臺接入網(wǎng)絡的計算機都可以在“網(wǎng)上鄰居”中看到所有接入的計算機，成為安全的隱患。因此，電信研究院網(wǎng)絡中的每個單位都按照VLAN虛擬局域網(wǎng)設計，用戶只能在“網(wǎng)上鄰居”中看到自己科室的計算機，進而防止廣播風暴的產(chǎn)生，進一步保證了網(wǎng)絡資源的安全。
　　由于電信研究院并沒有外地的分支機構，因此這個網(wǎng)絡主要的覆蓋范圍，就是在新建的研究院大樓內(nèi)。不過，大樓之外的北京幾家下屬院所已經(jīng)建立了自己的網(wǎng)絡系統(tǒng)，如何與它們進行信息交流又對整個網(wǎng)絡的安全提出了挑戰(zhàn)。通過Internet交換信息會使網(wǎng)絡的安全系數(shù)大打折扣；直接通過專線連接投資較大，仿佛又沒有必要。根據(jù)整個研究院都通過Lotus Notes應用來共享網(wǎng)絡資源的特點，他們采用了兩個服務器直接撥號相連的方式，主要進行內(nèi)部郵件的通訊。因為Lotus Notes在連接時要進行非常嚴密的安全認證，讓黑客毫無可乘之機。

研究所OA系統(tǒng)信息產(chǎn)業(yè)部電信研究院Intranet結構圖

　　著眼未來選硬件
　　談到硬件設備的選型，電信研究院網(wǎng)絡中心的龐中堅工程師表示：“我們選型的時候不僅考慮到設備自身的性能指標等幾個因素，而且也非常重視設備日后的可擴展能力，力爭讓網(wǎng)絡系統(tǒng)在一段時間內(nèi)能夠通過擴展來適應信息技術驚人的發(fā)展速度，最大限度地保護投資。”
　　正是基于這種考慮，電信研究院選擇了3臺SGI Origin系列服務器，其中包括一臺作為內(nèi)部WWW服務器的Origin2000，兩臺作外部WWW服務器和內(nèi)部Proxy服務器、DNS服務器和VOD服務器的Origin200。SGI的Origin系列服務器出色的運算性能、強大的I／O能力自然不必多說，它在視頻數(shù)據(jù)流處理方面的特殊優(yōu)勢加上WebFORCE MediaBase軟件系統(tǒng)使它成為VOD系統(tǒng)的必然選擇。而電信研究院在選型時更看重的是Origin系列服務器良好的可擴展性。O2000和O200都采用了SGI獨特的CC－NUMA（Cache Coherent－Non Uniform Memory Access，高速緩存一致性的非均勻內(nèi)存訪問）結構，能夠讓用戶通過增加CPU的數(shù)目來輕松地擴展系統(tǒng)，同時也能對投資加以保護。
　　目前電信研究院的O2000服務器有4個CPU，而SGI公司1998年已經(jīng)可以實現(xiàn)256個CPU的擴展系統(tǒng)，這些CPU通過特有的Craylink光纖高速互連的系統(tǒng)，最高可以達到在1024個CPU，以內(nèi)保證性能與節(jié)點數(shù)目的線性增長關系。O200服務器也可以由單機擴展到雙塔、“大立柜”甚至“大立柜組”，成倍地提高處理能力，讓用戶在日后升級時也可以發(fā)揮目前的設備的作用。而且這些擁有多個節(jié)點的高速服務器并不需要用戶在編程處理上作特殊處理，用戶依然可以像面對單個的系統(tǒng)一樣運行各種通用的應用程序、進行系統(tǒng)開發(fā)。
　　在網(wǎng)絡交換機的選擇上，電信研究院采用了Cabletron模塊化的5000系列交換機，它們支持媒體流的高帶寬，可以滿足VOD應用的大吞吐量要求，而且這些交換機模塊可以通過簡單的疊加來擴充處理能力。為了提高網(wǎng)絡的可靠性，這個網(wǎng)絡中使用了兩臺主交換機，如果其中一臺發(fā)生故障，可以迅速地把一些重要客戶轉移到另一臺正常運行的交換機上。在網(wǎng)管平臺方面SUN具有公認的優(yōu)勢，電信研究院網(wǎng)絡中的網(wǎng)管、VLAN虛擬網(wǎng)絡管理服務器也采用了SUN Ultra系列服務器。
　　量身定做巧應用

　　通過上面的描述，讀者對電信研究院OA軟件的網(wǎng)絡建設可能已經(jīng)有了一些了解，這是一個安全、高速、可靠、有著出色擴展能力的網(wǎng)絡，那么在這個完善的硬件平臺上，又開發(fā)了哪些應用系統(tǒng)呢？
　　電信研究院網(wǎng)絡的應用主要在兩個方面———基于Lotus Notes的和基于Web方式的應用，利用Notes的內(nèi)部郵件系統(tǒng)，大家可以很方便地協(xié)同工作，而網(wǎng)上交流都采用Web界面，研究院內(nèi)部發(fā)布通知、進行討論都變成了數(shù)碼方式。
　　由于Lotus Notes系統(tǒng)在群件、協(xié)同工作、內(nèi)部郵件方面功能非常強大，而且具有與系統(tǒng)平臺無關性，龐中堅工程師說他們幾乎是毫不猶豫地選擇了Notes作為應用平臺，并在其上自主開發(fā)了科研項目管理系統(tǒng)，讓繁瑣的科研項目申報審批工作通過“純數(shù)字”的方式變得高效便捷。科研人員再也不用為了簽字和公章耗費大量時間了，這個科研項目管理系統(tǒng)完全接管了項目進行的全過程。按照項目管理的規(guī)范，立項過程中申請人把項目報到所科技處，所科技處再轉到院科技處，其管理員把項目分配給具體的相關人員審閱并呈報給分管的院長，審批完畢后返回給立項人，項目就開始具體實施了；在科研項目的進行過程中，各種報告、調(diào)研資料不斷寫入網(wǎng)絡上的數(shù)據(jù)庫，管理系統(tǒng)會保持對項目進行跟蹤；結題與立項過程類似，經(jīng)過報批后項目完結；到年底時，管理系統(tǒng)還會整理科研項目進行報獎?，F(xiàn)在電信研究院中，這套基于Lotus Notes群件的科研管理系統(tǒng)已經(jīng)完成連接、開始運行，而下一步工作就是要連到信息產(chǎn)業(yè)部，讓科研項目的全過程在網(wǎng)上暢通無阻地進行。