《Cisco技术网》-优秀行业解决方案展示

优秀行业解决方案展示

ezIBS智能建筑信息管理平台
用户需求
位于北京市海淀区中心地带的清华同方科技广场是一座标准的信息化办公写字楼。在这样的写字楼里办公，业主需要一个安全、舒适、快捷的工作环境；而物业管理人员则需要面对辖区内所有设备，确保大厦处于高效、节能、最佳运行状态。通过对同方科技广场大楼的设计分析和对科技广场的实际实用需求调查，清华同方采用了自主研发的ezIBS智能建筑信息集成系统，对楼宇自控、消防、安防、门禁等系统进行集成。

同方科技广场内包括楼宇自控、消防、安防、门禁等十几个子系统， ezIBS通过规范与分控制系统的连接方式、规范数据库存储格式、规范门禁系统通信标准、以及对图形监控方式统一采用SVG图方式等技术手段，对这些系统进行统一的规范管理。

方案简介
清华同方ezIBS智能建筑信息管理平台基于清华同方ezONE业务基础平台，将智能建筑应用模块套件通过有效整合而成的智能建筑行业平台软件。利用ezIBS平台，可以开发出智能建筑信息集成系统，对辖区内所有建筑设备进行全面有效的监控和管理，确保大厦内所有设备处于高效、节能、最佳运行状态，为用户提供一个安全、舒适、快捷、一体化管理的工作环境。

作为一款真正适合我国国情的智能建筑信息集成系统平台，ezIBS平台可以使各子系统的信息存储、显示、管理和集成到统一平台上，并提供各子系统综合运行（维修等）报告，从而让客户可以通过网络对各子系统进行集中监视和管理；同时，系统还能够提供报警，突发事件处理，设备节能控制，节假日设定等功能。

基于ezIBS智能建筑信息管理平台的同方科技大楼，在功能上，几乎可以满足用户和物业管理者的全部应用需求，实现系统集成及网络共享、个性化定制、可配置的通用查询、基于规则引擎的报警和联动、视频监控系统的集成、门禁系统的集成等各种功能。

同方科技广场所采用的弱电集成系统——ezIBS是清华同方的新一代智能建筑信息集成平台（以往系统基于Windows/.NET技术）；采用“浏览器+服务器+网络”的系统结构，并且采用基于J2EE的三层架构，即用户界面层（Presentation Layer）、业务和数据处理层(Business Layer)、数据管理层（Persistence Layer）。

系统可跨平台运行，其集成接口遵循了开放、通用的国际标准，可方便地与第三方开发系统或自主开发系统进行连接。支持PKI认证和单点登陆（SSO），提供一整套安全保障体系，使用起来安全可靠。

华为3Com融合媒体解决方案
用户需求
目前，行业及企业市场需要融合的媒体解决方案，在满足视讯及语音会议需求的同时，可以根据企业特点提供多种特色业务，充分满足企业用户一网多用的需求，整合内部视频、语音、数据资源，实现视讯会议、电话会议、可视电话等多媒体业务，实现业务自动化、管理统一化、使用简单化，使企业资源得到充分利用，效率得以迅速提高。

方案简介
华为3Com公司针对用户需求，特意推出了VV-SYS融合媒体解决方案。该解决方案由用户接入层、媒体交换层、网络控制层及业务支撑层四个层次构成。

用户接入层完成所有参会者的接入，主要由终端系统及外围设备构成，主要包括音频/视讯终端以及摄像机、麦克风、电视机等外围设备。

终端的作用是将某一会议点的实时图像信号、语音信号及相关的数据信号进行采集、压缩编码、多路复用后经传输线路送到媒体交换设备，如MCU（Multiprotocol Control Unit，多点控制单元）；同时将从传输线路上接收到的媒体信号进行分别解码处理，还原成会场的图像、语音及数据信号；终端还要将本端的会议控制信号（如申请发言、申请主席等）传送到MCU；同时还需执行MCU对本端的控制指令等。

华为3Com提供各种规格的视讯终端，包括Quidway MT9660系列群组型视讯终端、Quidway MT9320宽带可视电话、Quidway? EaseLook PC型视讯终端。

媒体交换层一般来说，点对点的语音/视频通信不需要媒体交换设备的参与，当有三个或以上的通信参与方时，就必须有媒体交换设备的参与。华为3Com提供多种规格、系列化的MCU设备，包括Quidway ME6000 系列IP媒体交换机和Quidway ME6200/6800混合接入媒体交换机。

网络控制层完成包括视频及音频在内的所有媒体通信的呼叫控制管理服务，最核心的功能是地址翻译，如将呼叫号码翻译为IP地址等，除此之外，网络控制层还完成带宽管理、路由管理、呼叫控制等多种功能。

华为3Com提供Quidway XE6100 GateKeeper和Quidway XE6100 GK Manager。

实际上，通过视讯终端、媒体交换机及网守的简单组合已经可以实现一个视讯会议系统的基本功能了。但是这样的系统只能说是一个可用的系统，无法实现简单管理，方便使用，需要业务支撑层的协助。

VV-SYS的业务支撑层大大增强了视讯系统的交互性和智能性，业务支撑层包括Quidway XE6000 MeetingScheduler会议调度系统、XE6300 DataSwitchServer数据会议系统、QuidView网络管理系统和CAMS综合访问管理系统。

华为3Com的VV-SYS融合媒体解决方案具备以下的特点： 1、一网多业务，深度融合。VV-SYS是一个深度融合的立体通信网，为语音和视频提供相同的业务支撑层面、相同的网络控制层、相同的媒体交换平台和可以互通的语音、视频终端，数据、语音、视频融合于同一网络之中，电话用户也能加入视频会议中，数据信息与音频视频信息同步传输，满足多媒体应用需求，提供更多的交流方式。

2、支持主叫呼集，操作简便。VV-SYS支持主叫呼集业务，用户使用电话本，不需要预定会议和IT维护人员的干预，就可以直接从终端上召开多点视频会议，大大方便业务使用，使随时召集会议成为可能。对于其他厂家的H.323终端，可以通过和eMe软件的配合来完成智能的会议控制。

3、视音处理功能强大。4、高度智能化。VV-SYS具备强大的业务支撑层，可提供多种智能业务，如统一资源调度、主叫呼集、自动级联管理、特服号业务等。

富士施乐Phaser7700应用秦山核电UNIX系统仿真控制输出
用户需求
安全性是核电站运行最重要的因素，俄罗斯切尔诺贝利核电站的核泄漏事件至今仍然是拥有核电站国家的警世教训。而保证核电站安全运行，一个重要的方式就是建立一个强大而完善的仿真控制系统，以对核电站的运行状态进行实时、场景真实还原的监控。所谓“仿真控制”是一个由计算机对真实核电控制的完全模拟环境，供操作人员熟悉，掌握操作技能。它包括了余热排除、给水排水、电厂状态、运行监控等各种信息图表。由此，我们可以知道仿真控制系统对于核电站安全运行的重要意义，因此，在仿真控制系统的输出终端，必须具备高速、实时、高质量的色彩/环境/场景还原的打印输出功能，作为操作人员调试解决故障、监控核电站安全运行的有力依据，以便提前发现存在问题，寻找最佳运行方式，使整个"流程"安全顺畅。

基于秦山核电站仿真控制系统的这种特殊要求，以及目前秦山核电站运行的UNIX系统等诸多特点，秦山核电站的技术工作人员认为，能够成功担当仿真控制系统输出终端的打印机，必须能够完善的解决若干仿真控制系统终端的重点问题。“我们对于打印机的要求很简单，第一必须是高质量的彩色打印机，第二必须支持我们的UNIX环境，第三要速度快。”秦山核电三期仿真控制室的谢主任介绍说。

方案简介
在国内科学计算、仿真控制、地质油田数据解释、空间探索、天气预报等领域，富士施乐的彩色数码打印机已经获得了广泛的应用，除了产品本身的优异的性价比之外，对于这些领域广泛采用的UNIX系统的打印功能有着深入的了解和完善的支持策略。

秦山核电应用的是sgi公司的IRIX 6.5，很多打印机在PC机上没问题，但不能很好的支持秦山的系统。Phaser7700附带了几乎所有UNIX工作站的驱动程序，只要经过一些必要的配置和软件修改，就可以方便的输出了，而且效果出色。”

富士施乐对此认为，能够成为秦山核电站的唯一中标者，是因为Phaser7700出色的的驱动程序，外加周到的售后服务，以及Phaser7700所具有的其它综合优势，如PostScipt语言解释器、A3幅面、网络支持性能以及富士施乐所具有的彩色激光技术和准确的色彩控制技术成为了秦山核电站选择富士施乐的最终原因。

趋势助“电老大”打造安全可靠平台
用户需求
目前，我国电力系统信息化建设硬件环境已经基本构建完成，电力系统网络中，采用了TCP/IP技术，具有开放和互联等特点，但也易受到各种信息安全事件的干扰。仅使用防火墙或者入侵检测设备不能实现全面防护，病毒防范工作是实现网络安全的重中之重。

由于电力系统网络环境复杂程度加大，特别是混合型攻击的增加，网络环境危机四伏，只有加强安全领域相互之间的合作，才能发挥各自的优势，合作是网络安全领域的方向。

方案简介
对于拥有庞大网络的电力企业来讲，要维持每一台用户端上的防毒软件都能正确的配置和实时更新，以有效的防堵病毒疫情的爆发，对网管人员工作负担中且困难重重。

为此，趋势科技开发了中央控管系统，该系统是一种基于网络的工具，管理员可以通过此工具从单一地点对整个企业网络进行配置，监视和维护趋势科技的防病毒软件。它不但满足了企业网管人员简化防毒系统管理流程的需求，同时也为网络防毒树立了新的管理模式和标准。其最大特点是可对所有的防病毒软件的管理、监控和部署，从而使企业能够更有效地管理整个企业的防毒策略，在快速部署、积极防治的同时，主动遏止新病毒，这对于减少大量邮件病毒的危害以及降低技术支持成本均有帮助。

趋势科技的防毒中央控制系统易于管理、易于扩充、易于集中控管、与现有环境兼容，这些突出的特点解决了以前网关员们最为关心的问题，而它最明显的效益就是使网管人员花在管理防毒软件的时间少多了，因为很多事情都可以在同一个浏览器的画面中完成。对企业而言，既省下更多的管理成本，同时也降低网管员对网络及防毒平台的维护复杂度。

趋势科技为全球用户提供7×24小时不间断的专业防毒服务，更保证了电力系统的网络安全稳定运行。

电力系统中信息安全按其业务性质一般可分为四种：电网运行实时控制系统；电力营销、计费、负荷管理系统；支持企业经营、管理、运营的管理信息系统；不直接参与电力企业过程控制、生产管理的各类经营、开发、采购、销售等多种经营公司。趋势科技推出了电力网络系统安全防护系列组件，通过在网络不同层面的产品部署，实现对企业网络内部资源的全面安全保护。同时，经过对病毒爆发过程周期的分析，趋势科技也为用户提供了专业的技术服务，通过技术与服务二者的有效结合，真正实现防病毒体系的建立。

由于趋势科技具有丰富网络安全系列产品，可根据用户的实际应用环境需求，定制相应的解决方案。在提供丰富产品线的同时，趋势科技提供“专人服务，团队支持”的专属咨询服务。同时，趋势科技提出的服务等级协议——SLA（Service Level Agreement），承诺如果没有在规定时间内解决客户的问题将接受罚款。

SafeNet iGate安全访问解决方案
用户需求
XX国际货运有限公司CRM项目和人力资源项目完全是集中式系统，所有用户数据都要集中到总部，因而对总部的网络资源状况提出了较高的要求。从这两个项目及可持续发展的角度出发，XX对网络环境提出的具体要求总结如下：安全性，因为CRM和HR系统数据属于核心机密，对安全性提出很高要求。为保证安全性，要求VPN设备身份认证功能、数据传输加密、和日常安全管理；易操作/维护性，VPN客户端不需要安装任何软件，只是在总部服务器进行简单设置即可，实现客户端零管理。

方案简介
SafeNet公司结合客户的实际要求，因为有1500个用户要访问公司的核心应用系统，而且要尽可能的减少客户端的维护量，同时结合双因素的客户端认证方式。向客户推荐使用SafeEnterprise SSL iGate。同时，考虑到客户要求后台的CRM服务器要求实现流量的负载均衡。SafeNet公司建议客户购买具有负载均衡功能的防火墙或交换机来结合iGate实施。

SafeEnterprise SSL iGate为标准1U（或2U）设备，内置10/100/1000M自适应网卡，使用SafeNet特有的CryptoSwift SSL加速卡（最多支持3000个并发交易）完成SSL加解密工作（iGate Team不支持此功能）。客户端使用iKey+PIN码的双因素认证方式。

Igate软件部分具备如下特点： 1． iGate内置的操作系统和管理软件；

2． ACM访问控制管理工具，用来进行用户管理，访问权限设置和分配iKey；

3．客户端软件，包括iKey驱动和浏览器插件，可以自动下载，无需任何设置。

再来看iGate的工作原理。iGate的工作位置在防火墙和后端服务器之间，从客户端到SafeEnterprise SSL iGate之间的通讯都采用SSL协议加密，而iGate与服务器之间的通讯则使用标准的http协议，不会因为SSL加解密工作给服务器带来任何负担。

客户登录时使用iKey+PIN码的双因素认证方式，对服务器端使用标准SSL验证，对客户端使用MD5哈希算法的挑战-响应进行验证。双方验证结束后，所有通讯均使用HTTPS协议，保证了从客户端到iGate之间的通讯安全。信息传递到iGate，由iGate将其解密后以标准HTTP协议传递到后端的服务器，从服务器返回的信息，再由iGate加密后传递到客户端。

iGate接入接入网络有以下两种方式： 1． One Arm Mode －无需改变任何网络设置，只需用一根网线将iGate与内部网络中的交换机相连，并进行简单的设置，就可以完成对后端服务器的完全保护以及用户的验证工作。

2． IP Mode －将iGate的WAN口、LAN口分别与外部和内部网络连接，可以保证所有对后端服务器的访问都必须通过iGate的验证，即所有对内部网络的访问都必须使用HTTPS协议，并且经过iGate的用户验证机制。对于没有使用防火墙的局域网，建议使用IP Mode方式（iGate Team不支持此模式）。

通过iGate方案的实施，客户可以保护网站资源，甚至可以细化到每个文件；同时，更能针对基于Browser/Server结构的应用程序、Client/Server结构的软件进行保护。最大限度地让用户原有的程序不用修改。

此方案优点很多，最值得推荐的是操作费用的降低。原因是浏览器不需要在每次改版时进行升级，而且浏览器对其它应用程序的影响不大，SSL是内嵌在每一个浏览器中的。使用SSL VPN, 只要网络是连通的就足够了。IPSec和其它一些 VPN需要使用一些设置技巧，这样会增加培训费用，而SSL VPN不需要进行这样的特殊培训。

网域万通Juniper Networks NetScreen VPN解决方案
用户需求
为了提高自身的竞争力、服务水平和竞争范围，企业需要将业务发展和扩大，所以企业都将逐渐开设分支机构，需要建立远程移动、分支机构和公司总部的互联办公。开设分支结构的企业一般具有分支机构分散、移动用户增多、担忧传输安全、关心数据保密、节省投资等特点。

降低IT投资还需确保数据传输的安全性的“鱼肉兼得”问题一直困扰众多中小型企业。业务管理和协同办公也将加剧企业网络管理问题。

方案简介
由于VPN技术的成熟，再结合如今的宽带技术，网域科技将为企业带来一个高性价比的宽带技术加VPN设备安全解决方案，方案中采用了Juniper公司的 NetScreen-5GT、NetScreen-25、NetScreen-204/208和NetScreen VPN客户端软件产品。

作为企业的中心，需要为其分支公司、合作伙伴、移动用户连提供远程VPN接入，同时需要为所有的传输过程和数据交换提供严格的安全保护。

根据这种实际的情况，建议在中心部署一台Juniper Networks NetScreen-204/208作为接入整个集团的VPN网关，为分公司、连锁店、移动用户提供VPN接入，并且同时提供高级别的安全保护。

Juniper Networks NetScreen-204/208具有400Mbps（NetScreen-208为550Mbps）高效防火墙处理性能；200Mbps高速VPN处理能力，可满足公司现在和将来的需求，保护企业的投资。

网域科技针对企业规模不同推出差异性解决方案：中等规模的分公司/分支机构，需要传输的数据量会比较大，需部署一台Juniper Networks NetScreen-25作为和企业中心互联的VPN网关以取保数据传输过程和交换的安全。NetScreen-25具有100Mbps防火墙处理性能，20Mbps VPN处理能力，能够满足和企业中心以及互联网应用的业务数据交换要求。

小型规模的分公司/分支机构在安全性上和中型企业要求相近，可以部署一台Juniper Networks作为和企业中心互联的VPN网关，该产品具有75Mbps防火墙处理性能，20Mbps VPN处理能力。NetScreen-5G完全可以满足企业中心以及互联网应用的业务数据交换要求。

对于移动用户来说，需要解决其安全、方便的接入个人终端可安装Juniper Networks NetScreen的VPN客户端软件，通过配置、授权，能够远程接入中心，或某一连锁店，可为移动用户提供远程的VPN隧道和数据交换保护。

提供VPN功能的同时，Juniper Networks NetScreen防火墙解决方案同时能够额外提供先进的防火墙、防D.DOS的保护功能，保护中心企业的网络用户，免受安全的风险和威胁。

宽带技术加VPN方案由于采用成熟、低价的宽带技术，为用户提供一个廉价的线路接入；VPN技术能够提供严格的加密与认证服务，确保传输过程的安全，保证数据的完整性、真实性和不可更改性。方案中所有部署的VPN设备，都是基于图形界面配置和维护，实现了复杂技术的简单化，降低了用户日常维护工作。

对于各分支机构和企业总部，仅需申请当地的宽带接入，不再是昂贵的点对点专线接入；而对于移动用户，仅需进入到当地的互联网，即可实现远程VPN的互联。这样即节省了昂贵的线路费用，也摆脱了以往RAS的传统方式。

肯德基( KFC)中国连锁经营店防火墙应用案例
应用需求分析
目前，肯德基连锁经营店随着大量的业务及内部的供应链优化和外部的市场竞争要求，需要企业对市场的供应价格及销售的分析能有快速的反应,，结合企业业务系统和电子商务系统来加强内部信息的沟通，以实现经营管理共享性和时效性, 发掘管理效率. 实现管理、经营、决策的统一性，沟通畅通和协调管理。从而最大可能地达到内部和外部资源的最优利用。

现实情况是，肯德基(KFC)在中国的销售规模的不断扩大，各省市、地区分公司、连锁店纷纷开张，每个连锁经营店都以拨号线路的方式通过互联网与各自省、市公司进行业务信息的传输、查询。由于各店的业务人员对计算机的知识和维护技术能力有限，再加上业务主机通过拨号连接互联网后，将直接面临来自互联网的病毒和黑客的攻击。曾经发生过某几个连锁店的主机受蠕虫病毒和黑客的攻击，主机系统崩溃，导致当天无法进行营业的严重后果。

技术方案
针对肯德基（KFC）连锁经营店目前的现状和所面临的问题。NETGEAR公司做了认真的调查，并率先和肯德基（KFC）浙江公司的技术人员一起仔细研究了可实现的各项解决方案的可能性、可行性和真实环境的测试。最终选择了NETGEAR公司的ProSafe FR114P防火墙的设计方案。

整个项目设计要求最大可能地保证其所有的网络设备和系统的正常运行，并且可以获得良好的管理，能够完全控制与IT基础结构相联系的安全风险。实现的总体目标是在不影响集团公司网络系统当前业务的前提下，实现对KFC各公司和经营店的网络的安全、高速、稳定的实时连接。

NETGEAR公司ProSafe FR114P方案能确保实现以下功能：
支持各种宽带类型线路（ADSL、Cable Modem和以太网接入）；为各连锁店提供了方便、灵活、经济的通讯方式的选择。

内置4个10/100 Mbps局域网端口，可直接连接计算机或连接原有局域网的交换机。并且每个端口都自识别正反线的连接。

内置先进的SPI防火墙+NAT机制, 具有DoS保护(拒绝服务攻击保护)、入侵检测等安全特性，能安全的抵御来自于互联网的侵害；

能够根据IP地址、协议端口、服务、关键字以及时间段提供内外双向的安全控制机制. 特别是象对互联网上蔓延的“蠕虫”的防护。

具有支持动态IP域名（DDNS）的功能；便于统一远程维护和管理。

广域网IP更改通告，当各连锁店的FR114P重新获得动态IP时，能及时将更改的信息通过E-MAIL的形式告知公司网管。

设备安装设置简单方便。内置智能安装向导，能全过程辅助连接设置，并且能自动识别各种广域网线路类型。

APC NetworkAIR 精密制冷解决方案简介
用户需求
随着网络规模的不断扩大，信息系统的不断升级，客户在支持信息系统高可用性的关键物理基础设施（NCPI，Network Critical Physical Infrastructure）方面也面临着严峻的挑战。多项调查表明，因电力问题发生过宕机现象的有22%，而因过热问题发生过宕机现象的达到了32%，如何解决机房的制冷问题越来越受到用户的广泛重视。

传统的制冷系统是基于二、三十年来陈旧的制冷科技而设计的。此种解决方案仅考虑到空调主机本身的制冷能力，而不考虑机柜内部以及整个电源系统的制冷需求，使得制冷的可靠性大幅度降低，同时，也带来维修困难、维护成本高、操作人员不易管理等问题。遵循“机柜就是数据中心”以及“边成长、边投资”的设计理念，APC在国内推出NetworkAIR精密制冷解决方案。

方案简介
NetworkAIR精密制冷解决方案包含了三个组成部分：气流产生、气流配送和气流移动/返回。系统由独立的制冷系统提供冷空气，还具备以下主要特点：标准的高阶管理平台既可升级，又能实现低成本运行。而在气流的配送上，NetworkAIR ADU（气流分配单元）和ARU（排风单元）突破了传统的制冷系统单机柜2KW以内的热负荷输出限度。在有效地将进出机柜的风温差控制在11oC以内的条件下，ADU 860m?/h的风量，使机柜内的热负荷在2KW到4KW范围内都不会产生热点；而ARU 2030m?/h的风量，更可有效地带走单机柜中8KW的热负荷，从而达到很好的制冷效果。

在气流移动/返回的设计上，APC提出了独到的“热通道”（Hot Aisle）和“冷通道"（Cold Aisle）的概念。APC改变了以往数据中心机柜面朝同一方向摆放的做法，而采用了“面对面、背靠背”的机柜摆放方式。这样就符合了服务器等IT设备从正面进风、从后面排风的设计，从而有效地将冷、热空气分区，避免前排机柜排出的温/热空气与冷空气混合进入后排机柜导致制冷效果降低的问题，大大地提高了制冷效率。

NetworkAIR系列采用模块化设计，平均值控制，可大大提高控制的精密性，防相抵触操作，可避免由于系统内耗而造成的能源浪费。同时，系统摈弃了不可靠的皮带、皮带轮设计，而采用变频驱动一体化直联风机，具有最少50万小时运行寿命的风机轴承，确保机组全年连续不断运转，标准机外余压>125Pa，并可在现场轻松调整，最高可达250Pa，达到均匀全方位送风效果。同时配备减震基座，使风机在运行时震动减小，噪音降低，使用起来也安全可靠。

在上述所有基本的运行模式下（制冷，加热，加湿及除湿等），APC NetworkAIR 精密制冷解决方案有效地保持了机柜内恒定的气流，同时把温度变化率保持在每10分钟1.0oC之内,防止"热冲击"的发生。这些严格的要求得到了保证，就可为单个机柜提供最优的工作环境，也就为整个数据中心提供了最长的无故障运行时间。作为NCPI的重要组成部分，制冷系统达到了高效率、高可靠性的工作状态，那么整个网络的关键物理基础设施的运行也必将更加稳定，可用性更高。

公安二代证数据库系统解决方案
用户需求
公安二代证系统是一个较为复杂的应用。从应用模块上来划分，整个数据库系统可分为5个数据库子系统，包括：受理层数据库，用以存放制证请求信息；制证层数据库，用以存放用户信息、相关审核信息以及制证信息等，此子数据库中的信息，定期批量写入到历史库中；历史层数据库，用以从制证层数据库中接受相关制证信息，并在后期逐步提供查询以及制证信息回迁等功能，此数据库为核心数据库；安全管理数据库和物流管理数据库，主要用来完成身份认证审查和物料管理统计等辅助功能。

方案简介
下面主要讨论数据集中在地市的模式下，数据集中、集中加分布两种模式的建设方法。

1、大集中模式在大集中的模式下，系统的拓扑如下：

总体可以分为三个部分：

1、核心数据库集群，采用四个节点的浪潮天梭TS20000高性能数据库集群服务器，主要负责存储、管理所有的业务数据，并根据软件的应用架构，将五个逻辑的子数据库在物理上合而为一。

2、备份子系统部分将负责对核心数据库集群的用户数据，甚至系统数据进行备份保护。

3、内部客户端安装相关应用软件，负责数据的生成和记录。

这样将五个逻辑的子数据库系统：受理层数据库、制证层数据库、历史层数据库、安全管理数据库以及物料管理数据库，在物理上分布在一个数据库中。考虑软件成本，数据库软件仅需要一套Oracle9i（with RAC option）。

方案优势：性价比最高，易管理维护。

2、集中加分布模式在集中加分布的模式下，系统的拓扑如图2，系统分为5个部分。

1、核心历史层数据库集群，采用两个节点的浪潮天梭TS20000高性能数据库集群服务器，主要负责历史层数据的存储、管理。

2、受理层＋制证层数据库集群，采用两个节点的浪潮天梭TS20000高性能数据库集群服务器，主要负责相关制证信息的收集、排队以及调度等任务，同时，记录制证等信息记录。

3、管理数据库服务器负责相关身份认证和物料管理工作。

4、备份子系统部分将负责对核心数据库集群的用户数据，甚至系统数据进行备份保护。

5、内部客户端安装相关应用软件，负责数据的生成和记录。

和“大集中”类型的方案相比，由于数据库物理设计的分离，可以保证任何一个数据库集群的逻辑损坏（软件应用或用户级损坏）不会影响到另外一个数据库集群。而且，根据应用特点，比如生产和查询，来配置数据库的参数，可以最大限度的发挥硬件系统的性能，从而提高整体应用系统的性能表现。

但是，和“大集中”的方案相比，其实施维护等成本无疑会提高一些，同时，由于是两套Oracle数据库系统，其软件采购成本也会有一定的上升。

方案优势：性能最优。

D-Link大型校园网方案
用户需求
大型校园网信息点数量一般在500个以上，覆盖范围内集中了多媒体网络教室、大型的图书馆楼、实验楼、教学楼和办公楼等种类齐全且为数众多的楼宇，同时，学生和教工宿舍也要实现网络覆盖。D-Link考察了大量学校的需求并结合自身产品特点为这些学校量身定做了多种解决方案套餐来满足不同规模、不同档次的需求。D-Link大型校园网方案就是特别根据大型规模的校园网络需求特点推出的运营型的解决方案。

方案简介
针对大型学校的网络规模和应用层次，D-Link解决方案的主干采用了千兆位三层交换技术，网络中心用核心路由交换机连接，向下实现千兆到桌面，向上则灵活接入城域网和Internet，建立了完整的分布式路由交换体系。

鉴于网络核心设备选用了D-Link DES-7600核心路由交换机。DES-7600是专为企业、社区网络核心和运营商数据中心设计的新一代核心路由交换机，可针对于大型学校可作为理想的网络骨干核心设备。DES-7600采用240 Gbps超大容量的交换背板来可以保证任何情况下每个千兆端口均可具备全线速多层交换能力，确保高负载下整个骨干网络实现全线速、低延迟的数据传递。

D-Link DES-7600提供了基于策略的IP过滤功能，网络管理员可以根据信息流的源IP地址和目的IP地址控制访问权限，并能够更精确地控制带宽，并确保IP网络免遭网络侵入。D-Link DES-7600支持NAT、 RADIUS、TACACS/TACACS+认证方式，可安全的节省有限的公网地址资源，并通过认证的方式可以很灵活地对用户使用网络资源进行控制和记录，防止非法使用网络资源，并可作为计费的依据。

DES-7600交换机提供448个快速以太网端口加4个千兆端口或者60个千兆端口，用以连接分中心。因此接入层交换机我们选用D-Link千兆三层交换机DGS-3324SRi。DGS-3324SRi可堆叠6台DGS-3324SR交换机，内置24个千兆铜缆端口，8个组合式（combo）SFP插槽，120Gbps堆叠带宽，支持冗余电源。

在接入交换机和分中心交换机连接问题上，采用了D-Link新近推出的一款可堆叠三层交换机DGS-3324SR，可实现大中型企业网络的三层千兆汇聚。

高效准确的管理将有助于校园网用户更好的发挥网络的作用。因此，本方案中特别在网管工作站安装了D-Vision网管系统，以便对所有网络设备进行监控和管理。

如果出于建立备份链路及提高Internet访问自主权的考虑，可以向当地电信运营商申请租用DDN专线，通过DI-2630实现专线接入。DI-2630具有1个10/100Base-TX以太网口，可以连接校园网骨干，4个广域网接口连接Internet。如有必要，还可安装1个ISDN模块，用于链路备份。

另外，为确保网络安全，防止外部入侵，并控制内部用户的访问行为，可以在路由器和校园网之间安装DFL-1000防火墙。该防火墙拥有的虚拟私有网（VPN）功能支持数据加密和认证，非常易于管理。DFL-1000还提供NAT功能，可以将私有网络的IP地址转换成公共网络的IP地址。DFL-1000具有出色的恶意代码过滤能力，使用专用ASIC来执行VPN的加密和解密，并通过基于硬件的加速来减轻CPU的负担。安装DFL-1000防火墙将为校园网提供有效的安全保障。