< 返回
齐鲁石化internet/intranet技术方案

系统需求

齐鲁石化公司下属十几个生产厂和多个专业化公司,每一个生产厂和专业公司都已经建立了自己的局域网,各局域网之间通过光纤互连形成了整个公司的企业网。

1为便于统一管理,齐鲁石化公司的internet对外出口设在信息中心,由信息中心统一控制和配置资源。

2对内通过划分虚网和ip子网来合理调配数据流量,并以各单位局域网(虚网)为最小管理单位实施对本单位具体用户的资源配置(如ip地址分配、本单位网络服务器上的权限分配等)。

3internet用户的开户管理、邮件管理等统一纳入信息中心的管理之下,由信息中心来控制具体实施。

4如有必要,各单位也可以根据信息中心统一划分的网段地址建立自己的动态地址分配服务器(dhcp)。

5允许合法用户通过拨号登录到公司企业网。

系统构成

系统方案从整体上来说,所采用的网络设备基于lucent的m1400交换机、cisco系列路由器,硬件平台基于alpha系列服务器,而软件则全部基于正版的microsoft系列软件。

该方案的主要特点是:

1易于实现,组织实施比较快。由于是在nt环境下,所以系统管理人员的经验积累比较有基础,便于整个系统的调试和实验。

2系统采用统一的比较成熟的商业软件,便于维护和管理,避免了多家软件造成的互操作性问题。

3由于我公司网络服务器已采用nt操作系统,用户管理也是基于nt,所以internet系统采用microsoft产品后,可以借助于同一套用户,使得用户管理变得非常简便、容易。

网络体系结构

整个系统的网络体系结构如图1所示。

具体设置说明如下:

1路由器是从公司内部网进入internet的惟一渠道。通过电信部门已申请获得的32个ip地址的子网(202.102.148.129~202.102.148.160)是internet上的标准地址,所有通过内部企业网向外部访问的数据包必须经过代理服务器和路由器进行路由。

2服务器位于整个系统的核心地位,各种应用服务软件均运行其上,关系到整个系统的可维护性、可靠性和运行效率。

3企业的外部web服务器、域名服务器、邮件服务器等均位于非军事区内(即路由器内置防火墙的里面,企业防火墙的外面),而企业内部的web服务器、mis服务器等均放置在企业防火墙以内。非军事区是内部网络与外部网络的缓冲区,可以有效增加内部网络系统的安全性。

具体实现技术

1系统的网络服务器

网络服务器是企业内部网络系统的核心服务器,肩负着企业上网用户的管理工作,主要用于企业内部的mis系统运作。该服务器的系统平台为ntserver4.0,并且安装了servicepack3与microsoftntoptionpack4。nt本身就是一个功能强大的软件包,内置了各种各样的服务软件,如动态地址分配dhcp、windows网络名称服务wins、iis、ftp等。由于代理服务器、邮件服务器及文件传输服务器的用户管理都采用与nt用户管理集成的方法,因此入网用户只需在nt的用户管理器中建立一次即可在其他应用系统中使用。这种用户集成的方式还可以扩展到mis应用,比如利用mssqlserver的用户与nt用户的一致性,同时方便了mis系统向web服务的移植。

如图2所示,客户端只需一次登录,便可以访问各种应用系统,他们的权限设置可以统一在一套客户管理机制下,极大地简便了用户管理。另外,nt所提供的系统分析和监控工具,包括服务器管理器、事件查看器、性能查看器、网络监视器、远程管理工具等都给系统管理人员的工作提供了极大的方便。

2域名服务器

域名服务器dnsserver用于对"域名"提供命名服务。域名是一个企业的资源,同时也是建立企业网站的必要条件。我公司已在中国互联网络信息中心注册了多个国内域名,需要建立起域名服务器以对这些域名提供命名服务。

我们通过ntdns服务器建立起我公司的主域名服务器,并规定ql.com.cn域名用于内部网络。也就是说,属于ql.com.cn域的计算机名将被解释为内部地址。

在dns的zonefile中,我们进行了相应设置,其中最重要的有如下两点:

将www服务器地址设为服务器的对外地址,建立起公司主站点的域名解释。

通过mx.记录的设置,保证邮件系统的正常运行,及所有发向邮件服务器的邮件能被正确引接到邮件服务器中。

另外,还需对企业内部网络的域名和地址进行统一规划,以便建立企业内部网络的路由和命名系统。

3代理服务器与防火墙

由于企业申请到的internet正式地址空间有限,不可能满足企业内部的直接使用,因此,必须设立代理服务器,使企业内部的用户通过代理服务器访问internet。由于microsoftproxyserver能与ntdirectoryserver容易地集成,这就使网络用户仅通过一次网络登录就可以进入internet,不需要再为proxyserver重新创建用户帐号。

我们采用的服务软件为msproxyserver2.0。同时,系统还集成了防火墙功能,可以在ip的断口级设置防火墙策略。该服务器的webproxy部件支持工业标准cern-proxy协议。cern代理协议要求客户机程序要专门设置使用proxyserver以便能通过http协议的修改版本来访问internet。

4邮件服务器

邮件服务器用来实现企业内internet用户的邮件服务。microsoftexchangeserver能够管理上千个用户,并具有丰富的通信、协作、小组日程和其他商业应用程序。同时,它提供了多种协议支持,主要有:pop3、imap4、smtp、nntp、ldap、mapi、x.40等。作为一个通讯和合作平台,exchangeserver为各种类型的商务用户提供了高性能、高可用性和管理服务。

5iisweb服务器

iis4.0是集成在nt4中的web服务器,通过它提供的标准协议http1.1实现web功能,可以建立internet/intranet站点。

iis4是实现文档和信息共享的基础软件,它除支持html、asp、isap,sap,sap,sapsapi、cgi、activex组件等页面制作技术外,同时还支持frontpage主页制作软件,使得建立web应用服务和主页制作变得更加方便、可行。另外,iis4支持在同一个ip地址上建立多个web站点,并提供了丰富的站点管理工具(有基于windows的管理控制台、基于web的管理工具以及通过script编程来实现的自动化管理),极大地方便了用户对web站点的管理。

在optionpack4中带有一个主页分析软件siteserverexpress可以用来分析网络流量和监视网络连接。

iis4通过和nt的目录服务集成,可以使得iis4实现页面级的安全性。由于它支持http等安全通讯协议,为站点的安全性提供了较好的保障。

6拨号服务器

我们通过usr的modem池与cisco2500系列拨号路由器实现了从企业内部拨号上网的用户对企业内部网络的访问。该功能主要用于企业内部临时性的办公地点以及领导外出工作时的上网之用。

7其他服务器

充分利用microsoft提供的产品还可以构造一系列服务应用,主要有:

利用optionpack4中的ftp服务软件可以构造ftp服务器,进行网上软件的分发。

利用exchangeserver5或随optionpack的load服务器可以提供网上目录服务,配合netmeeting等软件,可以实现网络视频会议。

通过exchangeserver提供的nntp协议支持,可以进行网络新闻组服务。

利用exchangeserver提供的chatserver可以建立实时聊天室。

结束语

可以看到,microsoft的nt+optionpack+exchangeserver方案提供了广泛的基于标准internet协议的服务软件,可以用来组建一个功能较完备的服务站点。

通过近一年来的使用,完全基于microsoft的产品组成的intrenet解决方案基本上能够满足我们的需求,但勿庸置疑,还有许多不尽人意之处,主要有:

计帐管理

由于用户的通讯是通过代理服务器进行访问,因此,对于用户的流量统计主要通过代理日志来进行人工统计,不仅费时费力,而且规范性差。另外对用户的流量限制、禁止一个用户多人同时非法使用等等这些功能都应该纳入到代理服务器上来统一进行。

防火墙

微软产品虽然提供了一定的防火墙功能,但不能满足主要部门对安全性的要求,建议尽可能使用我国安全部门推荐的经过专门认可的专用防火墙(如网络卫士防火墙系统等)。

以上是笔者在建立企业intranet过程中的几点体会,仅供大家参考,错误之处请批评指正。