软硬兼施筑火墙 　　高达12层的电信研究院大楼是按照智能大厦的标准设计的。在建设中已经基本完成了布线的工作。所以贵阳研究所OA软件网络建设的主要工作是选择合适的硬件设备和开发相关的应用系统。这是一个快速以太网结构的网络，速率为服务器端100M、客户端10M。 　　安全性是电信研究院网络建设首当其冲的要求，也确实让设计人员投入了很大的精力，进行过数次方案论证。电信研究院的网络设置比较特殊，筑起了两道防火墙，最大限度地防止非法访问的发生。在紧邻Internet的路由器后是钢筋铁骨的硬件防火墙CiscoPix；在内部网络外还有一道以柔克刚的软件防火墙GaunletFirewall。 　　这两垛墙将整个网络结构分为三段：外部的Internet、中间的FTP服务器、DNS服务器和WWW服务器以及内部的网管、数据库、VOD和其他应用服务器。而在网络设计的初期，两层防火墙是放在一起的。网络只分为内外两段，FTP、DNS和WWW服务器被置于保护之外，很容易受到攻击。实际上，对防火墙设置的这项改动，也是电信研究院网络从设计规划到实际建设中最大的改进。 　　第一层CiscoPix硬件防火墙主要是通过包过滤和地址转换来保障网络安全。其核心基于AdaptiveSecurityAlgorithm（ASA）算法，对所有通过防火墙的信息包进行校验。能有效地阻止不速之客对内部网络的访问。同时CiscoPix的NAT地址转换功能使得内部网络互相通讯采用内部IP地址，而对外连接时转换为外部地址。这样外部访问者只能看到假的IP地址，无法对服务器进行真正的攻击，而且屏蔽了很多端口。CiscoPix实际上保护了对外公开的FTP服务器、DNS服务器和WWW服务器。与此同时，它还可以通过地址转换扩大和重新设置IP地址，缓解IP地址不足的情况。而第二层防火墙又为这些服务器增添了对内防护的功能，网络内部的人员对外访问也需要通过Gaunlet防火墙，所以它们也不会受到来自内部的攻击。 　　话虽这样说，内部网络自身的安全性也是不容忽视的。这个设计规模为600台接入客户的网络现在共有300多台计算机接入，其中绝大部分安装了微软的Win95或Win98操作系统。它们都采用广播包来进行通讯，如果不加抑制，任何一台接入网络的计算机都可以在网上邻居中看到所有接入的计算机，成为安全的隐患。因此，电信研究院网络中的每个单位都按照VLAN虚拟局域网设计，用户只能在网上邻居中看到自己科室的计算机，进而防止广播风暴的产生，进一步保证了网络资源的安全。 　　由于电信研究院并没有外地的分支机构，因此这个网络主要的覆盖范围，就是在新建的研究院大楼内。不过，大楼之外的北京几家下属院所已经建立了自己的网络系统，如何与它们进行信息交流又对整个网络的安全提出了挑战。通过Internet交换信息会使网络的安全系数大打折扣；直接通过专线连接投资较大，仿佛又没有必要。根据整个研究院都通过LotusNotes应用来共享网络资源的特点，他们采用了两个服务器直接拨号相连的方式，主要进行内部邮件的通讯。因为LotusNotes在连接时要进行非常严密的安全认证，让黑客毫无可乘之机。

研究所信息产业部电信研究院Intranet结构图

　　着眼未来选硬件 　　谈到硬件设备的选型，电信研究院网络中心的庞中坚工程师表示：我们选型的时候不仅考虑到设备自身的性能指标等几个因素，而且也非常重视设备日后的可扩展能力，力争让网络系统在一段时间内能够通过扩展来适应信息技术惊人的发展速度，最大限度地保护投资。 　　正是基于这种考虑，电信研究院选择了3台SGIOrigin系列服务器，其中包括一台作为内部WWW服务器的Origin2000，两台作外部WWW服务器和内部Proxy服务器、DNS服务器和VOD服务器的Origin200。SGI的Origin系列服务器出色的运算性能、强大的I／O能力自然不必多说，它在视频数据流处理方面的特殊优势加上WebFORCEMediaBase软件系统使它成为VOD系统的必然选择。而电信研究院在选型时更看重的是Origin系列服务器良好的可扩展性。O2000和O200都采用了SGI独特的CC－NUMA（CacheCoherent－NonUniformMemoryAccess，高速缓存一致性的非均匀内存访问）结构，能够让用户通过增加CPU的数目来轻松地扩展系统，同时也能对投资加以保护。 　　目前电信研究院的O2000服务器有4个CPU，而SGI公司1998年已经可以实现256个CPU的扩展系统，这些CPU通过特有的Craylink光纤高速互连的系统，最高可以达到在1024个CPU，以内保证性能与节点数目的线性增长关系。O200服务器也可以由单机扩展到双塔、大立柜甚至大立柜组，成倍地提高处理能力，让用户在日后升级时也可以发挥目前的设备的作用。而且这些拥有多个节点的高速服务器并不需要用户在编程处理上作特殊处理，用户依然可以像面对单个的系统一样运行各种通用的应用程序、进行系统开发。 　　在网络交换机的选择上，电信研究院采用了Cabletron模块化的5000系列交换机，它们支持媒体流的高带宽，可以满足VOD应用的大吞吐量要求，而且这些交换机模块可以通过简单的叠加来扩充处理能力。为了提高网络的可靠性，这个网络中使用了两台主交换机，如果其中一台发生故障，可以迅速地把一些重要客户转移到另一台正常运行的交换机上。在网管平台方面SUN具有公认的优势，电信研究院网络中的网管、VLAN虚拟网络管理服务器也采用了SUNUltra系列服务器。 　　量身定做巧应用

　　通过上面的描述，读者对电信研究院的网络建设可能已经有了一些了解，这是一个安全、高速、可靠、有着出色扩展能力的网络，那么在这个完善的硬件平台上，又开发了哪些应用系统呢？ 　　电信研究院网络的应用主要在两个方面基于LotusNotes的和基于Web方式的应用，利用Notes的内部邮件系统，大家可以很方便地协同工作，而网上交流都采用Web界面，研究院内部发布通知、进行讨论都变成了数码方式。 　　由于LotusNotes系统在群件、协同工作、内部邮件方面功能非常强大，而且具有与系统平台无关性，庞中坚工程师说他们几乎是毫不犹豫地选择了Notes作为应用平台，并在其上自主开发了科研，让繁琐的科研项目申报审批工作通过纯数字的方式变得高效便捷。科研人员再也不用为了签字和公章耗费大量时间了，这个科研项目管理系统完全接管了项目进行的全过程。按照项目管理的规范，立项过程中申请人把项目报到所科技处，所科技处再转到院科技处，其管理员把项目分配给具体的相关人员审阅并呈报给分管的院长，审批完毕后返回给立项人，项目就开始具体实施了；在科研项目的进行过程中，各种报告、调研资料不断写入网络上的数据库，管理系统会保持对项目进行跟踪；结题与立项过程类似，经过报批后项目完结；到年底时，管理系统还会整理科研项目进行报奖。现在电信研究院中，这套基于LotusNotes群件的科研管理系统已经完成连接、开始运行，而下一步工作就是要连到信息产业部，让科研项目的全过程在网上畅通无阻地进行。