【正文】 個網(wǎng)絡中心都具有最強的防病毒能力；另一方面，由于整個網(wǎng)絡的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。2）在網(wǎng)絡中心的主機上安裝Symantec AntiVirus Corporate Edition網(wǎng)絡版的服務器端和客戶端。2. 關(guān)鍵應用服務器區(qū)與核心網(wǎng)之間部署一臺NISD_1000E2個GE探頭分別配置在關(guān)鍵應用服務器區(qū)與核心網(wǎng)絡之間的兩臺防火墻后面。通過對以上5個地點配置防火墻，并在網(wǎng)管網(wǎng)絡中安裝一臺防火墻集中管理服務器，對處于不同子網(wǎng)中的多個防火墻進行集中管理和配置，就組成了朝陽教育信息網(wǎng)的防火墻系統(tǒng)，構(gòu)成了整個朝陽教育信息網(wǎng)安全防護的第一道屏障。2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡地址進入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡的IP包，防止內(nèi)部網(wǎng)絡發(fā)起的對外攻擊。4．網(wǎng)管網(wǎng)絡到核心網(wǎng)的接口處設置兩臺SecPath 1000F：每臺SecPath 1000F的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺Quidway S8512相連，每臺SecPath 1000F的千兆內(nèi)網(wǎng)卡連接到網(wǎng)管網(wǎng)絡的Cisco4003，兩臺SecPath 1000F之間通過1GE端口相連，兩臺SecPath 1000F做負載分擔/冗余備份，對網(wǎng)管網(wǎng)絡進行保護。同時Internet服務器區(qū)的WWW、MAIL、FTP、DNS等對外服務器連接在該防火墻的DMZ區(qū)。 SecPath 1000F 防火墻和一臺利舊的NETEYE千兆防火墻，配置在朝陽教育信息網(wǎng)網(wǎng)絡中心的5個邏輯地點，構(gòu)成整個業(yè)務網(wǎng)絡的防火墻系統(tǒng)。3) 漏洞掃描系統(tǒng)時刻監(jiān)控網(wǎng)絡以及服務器的安全漏洞。對于接入網(wǎng)絡其安全防護由朝陽教育信息網(wǎng)的中心機房統(tǒng)一部署管理，每一個學?；蛴脩舴峙洳煌W(wǎng)段的IP地址，在核心節(jié)點處的多層交換機上利用VLAN技術(shù)和ACL 對這些不同子網(wǎng)進行策略路由，以達到最理想的網(wǎng)絡安全。根據(jù)用戶需求，朝陽教育信息網(wǎng)基本防護策略為：由內(nèi)向外的連接基本允許，但由外向內(nèi)的訪問和連接一定要經(jīng)過審核。出口網(wǎng)絡是朝陽教育信息網(wǎng)同外部網(wǎng)絡的唯一接口，與北京市教育信息網(wǎng)是雙千兆鏈路連接，一路接北京市教育信息網(wǎng)（內(nèi)網(wǎng)），一路通過北京教育信息網(wǎng)上連到國際互聯(lián)網(wǎng)（Internet）。2. 安全系統(tǒng)深化設計方案 安全系統(tǒng)需求分析朝陽區(qū)教育信息網(wǎng)按功能和防護區(qū)域可劃分為：外網(wǎng)和內(nèi)網(wǎng)。網(wǎng)絡中心三個出口的路由可采用缺省靜態(tài)路由指向，或根據(jù)對端接入要求采用動態(tài)路由協(xié)議。朝陽區(qū)教育信息網(wǎng)到市教育信息網(wǎng)絡（內(nèi)網(wǎng)，Internet）的出口不需要進行NAT，但到朝陽區(qū)政府公用信息平臺（朝陽區(qū)信息辦）需要NAT轉(zhuǎn)換。以上的IP地址分配方式大致只用了1個完整的B類地址，還有半個B類地址可用，可以根據(jù)實際情況再進行分配。學校的發(fā)布地址由中心統(tǒng)一管理，學校在需要的時候上報信息中心開通。包括朝陽教育信息中心，朝陽教委新辦公網(wǎng)及所有接入學校，每臺上網(wǎng)的設備均使用真實IP，使得所有的連網(wǎng)設備都具有可溯性。這樣即保證原有的網(wǎng)絡不會中斷，又最大限度的保護了前期投資節(jié)約了成本。下面是需要升級和增加的模塊一覽表：需升級和增加的模塊清單型號描述數(shù)量信息中心核心節(jié)點交換機　　WSX6500SFM2Catalyst 6500 Switch Fabric Module 21WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)1WSG5484=1000BASESX 12朝陽教委核心節(jié)點交換機　　WSX6500SFM2Catalyst 6500 Switch Fabric Module 21MEMMSFC2128MBCatalyst 6000 MSFC2 Mem, 128MB DRAM Option1WSC3512XLENCatalyst 3512 XL Enterprise Edition1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)1WSG5484=1000BASESX 16廣播局核心節(jié)點交換機　　WSX6500SFM2Catalyst 6500 Switch Fabric Module 21WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)2WSG5484=1000BASESX 16 原有網(wǎng)絡的割接教委信息中心正在負責30余所學校的Internet接入工作，在本次工程的施工過程中要求這30余所學校的網(wǎng)絡不得中斷，因此負責該30余所學校網(wǎng)絡連通的設備如CISCO6509等交換機不能另做他用，只有當工程竣工以后，網(wǎng)絡試運行正常時，才能將原有的網(wǎng)絡割接到現(xiàn)有網(wǎng)絡中。下表是主要可利舊設備的清單目前主要可利舊設備清單型號描述數(shù)量信息中心核心節(jié)點交換機　　WSC65091300AC=Catalyst 6509 Chassis w/ 1300W AC Power Supply1WSX6KS2Catalyst 6500 Supervisor Engine2, 2GE1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)2WSG54861000BASELX/LH long haul GBIC (singlemode or multimode)6WSG5484=1000BASESX 6朝陽教委核心節(jié)點交換機　　WSC65061000AC=Catalyst 6506 Chassis w/ 1000W AC Power Supply1WSX6KS2Catalyst 6500 Supervisor Engine2, 2GE1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)2WSG54871000BaseZX extended reach GBIC(singlemode)1WSG54861000BASELX/LH long haul GBIC (singlemode or multimode)7WSG5484=1000BASESX 1廣播局核心節(jié)點交換機　　WSC65061000AC=Catalyst 6506 Chassis w/ 1000W AC Power Supply1WSX6KS2Catalyst 6500 Supervisor Engine2, 2GE1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)1WSG54871000BaseZX extended reach GBIC(singlemode)2WSG54861000BASELX/LH long haul GBIC (singlemode or multimode)6WSG5484=1000BASESX 0在深化設計方案中思科6509用來連接關(guān)鍵服務器區(qū)的20臺應用服務器，所以至少需要20個GE端口，而目前6509只有16個GE端口，所以需要增加一塊8個GE端口的板卡。 接入網(wǎng)絡設計接入層交換機可根據(jù)校園網(wǎng)建設的實際情況分為三層交換機和二層交換機，對于有三層交換機的學?？梢愿鶕?jù)學校的應用情況啟動三層路由功能，將網(wǎng)絡風暴控制在學校內(nèi)部，而通過靜態(tài)路由的方式訪問核心層，對于擁有二層交換機的學校，據(jù)我們調(diào)研學校并不多，可考慮更換三層設備作為接入交換機，或者每個學校作為一個VLAN通過默認網(wǎng)關(guān)訪問核心層。但由此對Cisco 6506交換機的要求將大幅提升，原有的低速引擎已經(jīng)不能滿足新的性能需求，必須對其進行升級改造。以起到鏈路冗余備份的功能提高網(wǎng)絡的可靠性。非華為公司的設備如CISCO6509等設備可由CISCO自帶的Works2000網(wǎng)管軟件管理，對于整個業(yè)務網(wǎng)的狀態(tài)監(jiān)控、流量分析可采用一些不區(qū)分設備類型的基礎(chǔ)網(wǎng)管軟件，如Sniffer等來監(jiān)控。該區(qū)塊的功能和配置將在服務器存儲設備的實施章節(jié)有詳細描述。所以主機仍然保持連接，沒有受到網(wǎng)絡中單點故障的影響，這樣就較好地解決了路由交換機切換的問題。在兩臺核心路由交換機上運行VRRP虛擬路由協(xié)議，當任何一臺核心路由交換機發(fā)生故障時，另一臺核心路由交換機立即接管所有的工作。二、 朝陽區(qū)政府公用信息平臺從朝陽信息中心的傳輸網(wǎng)設備OpCity8930上下業(yè)務，即傳輸網(wǎng)設備與出口交換機Cisco4003相連，為了安全保證，在傳輸設備與Cisco4003之間放置專用NAT（MA5200）設備及千兆防火墻。建議到北京市教育信息網(wǎng)內(nèi)網(wǎng)的流量和Internet出口流量的線路分開連接，即：一個端口為北京市教育信息網(wǎng)（內(nèi)網(wǎng)）端口，另一個端口為Internet出口端口，Internet流量的質(zhì)量根據(jù)朝陽教育信息網(wǎng)的需求，由市教委統(tǒng)一的帶寬管理設備進行管理，從而保證朝陽區(qū)的Internet帶寬需求。即朝陽區(qū)教育信息網(wǎng)有三個出口，分別為： 北京市教育信息網(wǎng)（內(nèi)網(wǎng)） 通過北京教育信息網(wǎng)上連到國際互聯(lián)網(wǎng)（Internet） 朝陽區(qū)政府公用信息平臺主要出口為北京市教育信息網(wǎng)（內(nèi)網(wǎng)）和Internet，輔助和備份出口為朝陽區(qū)政府公用信息平臺出口（即連接到朝陽區(qū)信息辦的鏈路）。接入層就是具體接入學校，設備的選擇主要考慮交換機支持的 VLAN數(shù)量，以及端口的轉(zhuǎn)發(fā)能力。其中核心層的主要功能是實現(xiàn)數(shù)據(jù)的高速交換和轉(zhuǎn)發(fā),其選型和設計任務的重點是設備的冗余能力、鏈路可靠性和高速的交換能力。現(xiàn)有的應用中，以一個標準學校為例，將每個應用的流量走向情況分析如下：現(xiàn)有應用通過教委的流量學校之間流量網(wǎng)站發(fā)布/社會教育及學校及學生家長溝通流量大流量較小教委FTP服務流量大無系統(tǒng)內(nèi)部的電子郵件流量大流量較小學校的FTP服務無流量大教育管理信息庫CMIS流量大流量較小網(wǎng)絡視頻會議系統(tǒng)流量大流量大分校與主校之間交流無流量較大視頻點播系統(tǒng)流量大流量較小IP電話系統(tǒng)流量大流量大學校的資源庫應用系統(tǒng)無流量大教委的資源庫應用系統(tǒng)流量大無從上表分析，我們可以看出在朝陽區(qū)教育信息網(wǎng)中，對于目前網(wǎng)絡而言，大部分的數(shù)據(jù)流量都是由學校到教委之間的流量，學校與學校之間的流量相對較少，然而隨著網(wǎng)絡規(guī)模的擴大，各種應用的深入。 外網(wǎng)流量需求分析針對上述需求，我們首先分析處于次要地位的互聯(lián)網(wǎng)瀏覽、上傳下載數(shù)據(jù)以及電子郵件等業(yè)務的流量。兼具傳送網(wǎng)的骨干層核心節(jié)點和業(yè)務網(wǎng)網(wǎng)絡中心為一身的教委信息中心注定成為本次業(yè)務網(wǎng)建設中的重中之重。朝陽區(qū)教育“校校通”工程深化設計方案（網(wǎng)絡中心）朝陽區(qū)教育“校校通”工程深化設計方案（網(wǎng)絡中心）(三層)北京北控電信通信息技術(shù)有限公司2006年2月目 錄一. 網(wǎng)絡中心深化設計 31. 業(yè)務網(wǎng)深化設計方案 3 業(yè)務網(wǎng)應用需求分析 3 業(yè)務流量需求分析 3 分層的網(wǎng)絡設計方案 5 網(wǎng)絡拓撲結(jié)構(gòu)圖 9 原有設備的利舊 10 原有網(wǎng)絡的割接 12 IP地址路由規(guī)劃深化設計 12 交換設備以及計算機系統(tǒng)時間同步 142. 安全系統(tǒng)深化設計方案 15 安全系統(tǒng)需求分析 15 防火墻系統(tǒng)深化設計 16 網(wǎng)絡入侵檢測系統(tǒng)深化設計 17 網(wǎng)絡漏洞掃描系統(tǒng)深化設計 18 網(wǎng)絡防病毒系統(tǒng)深化設計 18 朝陽區(qū)教育信息網(wǎng)網(wǎng)絡安全拓撲圖 193. 服務器存儲系統(tǒng)的深化設計 20 需求分析 20 服務器的安裝與功能分配 21 服務器集群的配置 25 存儲系統(tǒng)的深化設計 52 數(shù)據(jù)備份系統(tǒng)的安裝與配置 54 服務器存儲系統(tǒng)結(jié)構(gòu)拓撲圖 55一. 網(wǎng)絡中心深化設計1. 業(yè)務網(wǎng)深化設計方案 業(yè)務網(wǎng)應用需求分析根據(jù)朝陽區(qū)教育“校校通”工程建設的總體規(guī)劃，建成后的朝陽區(qū)教育信息網(wǎng)是一個覆蓋全區(qū)所有教育單位的，能夠?qū)崿F(xiàn)全區(qū)資源共享、互連互通的網(wǎng)絡，該網(wǎng)絡的基礎(chǔ)是一個利用光纖搭建的基于SDH技術(shù)的多業(yè)務傳送平臺（MSTP），我們將其稱之為底層傳送網(wǎng)或者簡稱為傳送網(wǎng)。所以在業(yè)務網(wǎng)的建設中網(wǎng)絡中心就設置在教委的信息中心，這樣教委的信息中心便要承擔整個朝陽教育信息網(wǎng)的數(shù)據(jù)分析、業(yè)務處理和安全防護的重擔。另一方面，Internet互聯(lián)網(wǎng)出口的瀏覽查詢應用，與市教育信息網(wǎng)內(nèi)網(wǎng)和區(qū)信息平臺的公文傳遞、資源調(diào)用等應用，這是相對次要的業(yè)務流量。 內(nèi)網(wǎng)流量需求分析目前朝陽區(qū)教育信息網(wǎng)上的應用大致分為：網(wǎng)站發(fā)布、社會教育、學校及學生家長溝通、FTP服務、系統(tǒng)內(nèi)部的電子郵件、教育管理信息庫CMIS、網(wǎng)絡視頻會議、網(wǎng)絡視頻教學系統(tǒng)、IP電話應用（VOIP）、視頻點播、資源庫調(diào)用等，我們對以上流量進行分析，將這些流量按照學校通過教委網(wǎng)絡中心的流量、學校之間直接流量來分類。我們將朝陽區(qū)的業(yè)務網(wǎng)設計為典型的三層網(wǎng)絡拓撲結(jié)構(gòu)，既將業(yè)務網(wǎng)分為核心層、匯聚層、和接入層。由于本次工程中所有數(shù)據(jù)業(yè)務都要經(jīng)由教委信息中心落地，所以我們將把匯聚層設備和核心層設備都部署在教委的信息中心，信息中心就成為業(yè)務網(wǎng)的網(wǎng)絡中心。 出口網(wǎng)絡設計根據(jù)