武汉生物研究所内网二次开发实践

作者：武汉生物制品研究所 袁涛

欢迎访问e展厅 展厅 5 网络/安全/存储产品展厅 无线上网卡, 光纤设备, 网络布线产品, 计算机干扰器, 网关, ... 旧系统改造过程中，兼顾继承已有成果和未来发展，有时是困难的。武汉生物制品研究所的LAN改造的方案较好地解决了这个问题。 一、网络现状 武汉生物制品研究所是一个在职职工一千多人的老国企，在市场经济的大潮中，不断受到冲击。为了适应市场变化，掌握经济信息大趋势，提高企业管理水平，于1996年投资建立企业内部网络，并于2002年对网络进行了改造。 建设内部网的主要目标：一是实现全所信息畅通，实现财务管理、人事管理、工程技术、生产管理、供应管理、销售管理、质量管理、科研管理、文档管理、合同管理、综合介绍和查询等信息共享。二是通过计算机管理信息系统的实施，规范化管理模式，提高管理水平。内部网工程于是命名为：武汉生物制品研究所网络管理信息系统(WIBPIMIS)项目。 上世纪九十年代，NOVELL网发展相对成熟。项目选择NOVELL NetWare 4.1为网络操作系统，10BASE-5(粗缆)、10BASE-2(细缆)、10BASE-T(双绞线)为介质，以总线+星型拓扑构成局域网。 网络的建成，实现了资源共享，方便了信息交换，提高了技术人员和管理人员的计算机水平，培养了一批网络应用和管理人才。通过十余年的使用，这套网络越来越显出力不从心，不能满足当今社会信息化发展的要求，改造成为必然的选择。 继承已有的信息应用成果，跟上时代发展的步伐，是这次改造升级的基本要求。投资总额要求限制在6万元以内。 二、需求分析及主要瓶劲 对原有网络运行规律的分析发现，每天上午9:00-11:00、下午14:30-15:30供应部和经营部库房管理工作量比较大，有大量数据处理，需要大量带宽；下午15:00~16:00财务部进行财务数据汇总、处理也需要大量带宽。如果接入宽带，WWW浏览将进一步增加带宽的需求。 财务部、研发部自有小网分别实现了SQL SERVER数据服务和共享宽带，但不能互连。营销中心内部小网自行铺设了双绞线，但未接任何系统。 100M带宽、接入INTERNET、保证内部信息绝对安全是这次工作的目标。新系统必需达到有效性和可靠性：在网络运行过程中，必需保证网络服务的连续性和健壮性，绝对不能因某一个非法应用而堵塞整个网络的运行；或某部分网络设备故障而使整个网络崩溃。新系统还要达到灵活性和可扩展性：用户对网络资源的需求随应用增加而不断发展，为满足需要，网络资源必需能方便地重现配置并灵活分配。还需能方便地扩展，增加用户，扩展网络覆盖范围，增加服务类型。为扩大网络使用的受惠面，特别是上INTERNET网WWW浏览，网络系统还应具有开放性，使用户能较为方便地接入共享宽带服务；安全性一定要同时保证，保证内部信息绝对安全。经过严格的调查和需求分析，要求如下： 1) 充分考虑武汉生物制品研究所办公网的情况，加强网络自身的应变能力和灵活性，要求某一子系统出现故障时不会影响其它系统的运行。 2) 建设武汉生物制品研究所办公网络内部安全性规划原则，在重要部门和保密部门与其它部门间建立安全隔离机制，保证网络高效完整应用。 3) 以特定办公区域接入宽带。(使用INTERNET上网的用户至少30个以上，潜在用户不定) 4) 在互联网上建立武汉所的网站。 5) 以最少的投资完成任务。 三、方案确定及设备选型 由于资金限制，我们必须从功能要求和成本两方面综合考虑，选取两方平衡的方案。首先是文件和数据服务器，原有服务器为奔腾PRO级，内存和主頻都不可能胜任新的任务，必需更换。为保证内部数据安全，使用VLAN技术，将全所规划为四个VLAN。但SWITCH交换机价格昂贵，预算不足，我们选用普通以太交还机。采取混合型管理模式，把分组内的管理工作交给各部门行政首长，中心只进行IP和用户管理。将用户分成内、外网用户，不设网关，省去隔离卡，同时严禁“一机上两网”。用户主要分散在四个大楼内，这四个大楼呈U形分布；内部信息共享用户26个，分布情况相同。 系统使用人员的培训，以工作范围为基础，按系统使用要求分别由本单位技术人员负责培训上岗。 软件部分首先须确定网络操作系统，Windows 2000 在中小型网络中占有很大比重。以Windows 2000 Server为平台，利用Windows 2000的IIS提供WWW、FTP、SMTP服务。内部服务器安装SQL服务器，以支持U8 ERP系统的数据库管理和查询。代理服务器安装Wingate代理上INTERNET网，以消除广播风暴。为体现网络新技术的进步，内部网启用网上会议和网上传真功能，它们分别以NetMeeting和FaxLauncher软件支持。 综合以上要求，我们确定方案如下： 1) 主干：通过4芯光纤连结各大楼，每2芯为一个分组，分别构建内、外网主干。 2) 将用户先行分级，安全级别要求较高，而且没必要上互联网的用户，组成内网，完全隔离于互联网。 3) 每大楼设100M交换机2台，分别汇聚内、外网用户。 4) 利用旧服务器作代理服务器，代理上INTERNET网，内网服务器设置SQL Server，运行用友U8 ERP系统。 5) 各大楼内部铺设100BASE-T(双绞线)连接用户。 6) 各部门分别建立用户组，并自己管理。同时，由网络中心进行内部IP发放和用户管理。 7) 在内网服务器上建立内部Web环境，和电子邮件系统，方便办公。 8) 建立资源共享和网络打印功能。 9) 每台计算机分别安装防病毒软件和单机防火墙。 10) 实现内部网网上会议和网上传真功能。 四、该方案的特点及资金使用 主干网通过1000Mbps光纤链路相连，100/1000Mbps自适应交换机汇聚，内外网相互物理隔离，同时又可作为必要时的备份，保证了内部数据安全和整个网络的运行速度。代理服务器设置防火墙，有效防止外部网络攻击。租用商业网站空间建立本所网站和邮件服务器，使内外网邮件分别处理，降低网络管理难度。VLAN技术降低了广播流量，进一步提高了网络安全性。预留了增加用户的空间，最大限度的保存了以前的投资成果。WWW浏览和管理流量分离，充分保证了内部核心工作的完成和安全。 五、运行情况 经过二年多运行，特别是上INTERNET网的用户增加到50多个，网络始终工作平稳。经测试，上互联网时的带宽基本上可以达到0.5M-1.2Mbps。内部网ERP运行稳定，财务系统实现了甩帐，供应、营销实现了实时查询和库房管理。可以说该方案达到了设计要求，保证了使用安全，为进一步提升信息化工作水平打下了良好基础。(end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (12/3/2004)