【正文】 個網(wǎng)絡(luò)中心都具有最強(qiáng)的防病毒能力；另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有及時升級為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。2）在網(wǎng)絡(luò)中心的主機(jī)上安裝Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版的服務(wù)器端和客戶端。2. 關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)之間部署一臺NISD_1000E2個GE探頭分別配置在關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)絡(luò)之間的兩臺防火墻后面。通過對以上5個地點(diǎn)配置防火墻，并在網(wǎng)管網(wǎng)絡(luò)中安裝一臺防火墻集中管理服務(wù)器，對處于不同子網(wǎng)中的多個防火墻進(jìn)行集中管理和配置，就組成了朝陽教育信息網(wǎng)的防火墻系統(tǒng)，構(gòu)成了整個朝陽教育信息網(wǎng)安全防護(hù)的第一道屏障。2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。4．網(wǎng)管網(wǎng)絡(luò)到核心網(wǎng)的接口處設(shè)置兩臺SecPath 1000F：每臺SecPath 1000F的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺Quidway S8512相連，每臺SecPath 1000F的千兆內(nèi)網(wǎng)卡連接到網(wǎng)管網(wǎng)絡(luò)的Cisco4003，兩臺SecPath 1000F之間通過1GE端口相連，兩臺SecPath 1000F做負(fù)載分擔(dān)/冗余備份，對網(wǎng)管網(wǎng)絡(luò)進(jìn)行保護(hù)。同時Internet服務(wù)器區(qū)的WWW、MAIL、FTP、DNS等對外服務(wù)器連接在該防火墻的DMZ區(qū)。 SecPath 1000F 防火墻和一臺利舊的NETEYE千兆防火墻，配置在朝陽教育信息網(wǎng)網(wǎng)絡(luò)中心的5個邏輯地點(diǎn)，構(gòu)成整個業(yè)務(wù)網(wǎng)絡(luò)的防火墻系統(tǒng)。3) 漏洞掃描系統(tǒng)時刻監(jiān)控網(wǎng)絡(luò)以及服務(wù)器的安全漏洞。對于接入網(wǎng)絡(luò)其安全防護(hù)由朝陽教育信息網(wǎng)的中心機(jī)房統(tǒng)一部署管理，每一個學(xué)?；蛴脩舴峙洳煌W(wǎng)段的IP地址，在核心節(jié)點(diǎn)處的多層交換機(jī)上利用VLAN技術(shù)和ACL 對這些不同子網(wǎng)進(jìn)行策略路由，以達(dá)到最理想的網(wǎng)絡(luò)安全。根據(jù)用戶需求，朝陽教育信息網(wǎng)基本防護(hù)策略為：由內(nèi)向外的連接基本允許，但由外向內(nèi)的訪問和連接一定要經(jīng)過審核。出口網(wǎng)絡(luò)是朝陽教育信息網(wǎng)同外部網(wǎng)絡(luò)的唯一接口，與北京市教育信息網(wǎng)是雙千兆鏈路連接，一路接北京市教育信息網(wǎng)（內(nèi)網(wǎng)），一路通過北京教育信息網(wǎng)上連到國際互聯(lián)網(wǎng)（Internet）。2. 安全系統(tǒng)深化設(shè)計(jì)方案 安全系統(tǒng)需求分析朝陽區(qū)教育信息網(wǎng)按功能和防護(hù)區(qū)域可劃分為：外網(wǎng)和內(nèi)網(wǎng)。網(wǎng)絡(luò)中心三個出口的路由可采用缺省靜態(tài)路由指向，或根據(jù)對端接入要求采用動態(tài)路由協(xié)議。朝陽區(qū)教育信息網(wǎng)到市教育信息網(wǎng)絡(luò)（內(nèi)網(wǎng)，Internet）的出口不需要進(jìn)行NAT，但到朝陽區(qū)政府公用信息平臺（朝陽區(qū)信息辦）需要NAT轉(zhuǎn)換。以上的IP地址分配方式大致只用了1個完整的B類地址，還有半個B類地址可用，可以根據(jù)實(shí)際情況再進(jìn)行分配。學(xué)校的發(fā)布地址由中心統(tǒng)一管理，學(xué)校在需要的時候上報信息中心開通。包括朝陽教育信息中心，朝陽教委新辦公網(wǎng)及所有接入學(xué)校，每臺上網(wǎng)的設(shè)備均使用真實(shí)IP，使得所有的連網(wǎng)設(shè)備都具有可溯性。這樣即保證原有的網(wǎng)絡(luò)不會中斷，又最大限度的保護(hù)了前期投資節(jié)約了成本。下面是需要升級和增加的模塊一覽表：需升級和增加的模塊清單型號描述數(shù)量信息中心核心節(jié)點(diǎn)交換機(jī)　　WSX6500SFM2Catalyst 6500 Switch Fabric Module 21WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)1WSG5484=1000BASESX 12朝陽教委核心節(jié)點(diǎn)交換機(jī)　　WSX6500SFM2Catalyst 6500 Switch Fabric Module 21MEMMSFC2128MBCatalyst 6000 MSFC2 Mem, 128MB DRAM Option1WSC3512XLENCatalyst 3512 XL Enterprise Edition1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)1WSG5484=1000BASESX 16廣播局核心節(jié)點(diǎn)交換機(jī)　　WSX6500SFM2Catalyst 6500 Switch Fabric Module 21WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)2WSG5484=1000BASESX 16 原有網(wǎng)絡(luò)的割接教委信息中心正在負(fù)責(zé)30余所學(xué)校的Internet接入工作，在本次工程的施工過程中要求這30余所學(xué)校的網(wǎng)絡(luò)不得中斷，因此負(fù)責(zé)該30余所學(xué)校網(wǎng)絡(luò)連通的設(shè)備如CISCO6509等交換機(jī)不能另做他用，只有當(dāng)工程竣工以后，網(wǎng)絡(luò)試運(yùn)行正常時，才能將原有的網(wǎng)絡(luò)割接到現(xiàn)有網(wǎng)絡(luò)中。下表是主要可利舊設(shè)備的清單目前主要可利舊設(shè)備清單型號描述數(shù)量信息中心核心節(jié)點(diǎn)交換機(jī)　　WSC65091300AC=Catalyst 6509 Chassis w/ 1300W AC Power Supply1WSX6KS2Catalyst 6500 Supervisor Engine2, 2GE1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)2WSG54861000BASELX/LH long haul GBIC (singlemode or multimode)6WSG5484=1000BASESX 6朝陽教委核心節(jié)點(diǎn)交換機(jī)　　WSC65061000AC=Catalyst 6506 Chassis w/ 1000W AC Power Supply1WSX6KS2Catalyst 6500 Supervisor Engine2, 2GE1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)2WSG54871000BaseZX extended reach GBIC(singlemode)1WSG54861000BASELX/LH long haul GBIC (singlemode or multimode)7WSG5484=1000BASESX 1廣播局核心節(jié)點(diǎn)交換機(jī)　　WSC65061000AC=Catalyst 6506 Chassis w/ 1000W AC Power Supply1WSX6KS2Catalyst 6500 Supervisor Engine2, 2GE1WSX6408AGBICCatalyst 6000 8port GE, Enhanced QoS (Req. GBICs)1WSG54871000BaseZX extended reach GBIC(singlemode)2WSG54861000BASELX/LH long haul GBIC (singlemode or multimode)6WSG5484=1000BASESX 0在深化設(shè)計(jì)方案中思科6509用來連接關(guān)鍵服務(wù)器區(qū)的20臺應(yīng)用服務(wù)器，所以至少需要20個GE端口，而目前6509只有16個GE端口，所以需要增加一塊8個GE端口的板卡。 接入網(wǎng)絡(luò)設(shè)計(jì)接入層交換機(jī)可根據(jù)校園網(wǎng)建設(shè)的實(shí)際情況分為三層交換機(jī)和二層交換機(jī)，對于有三層交換機(jī)的學(xué)校可以根據(jù)學(xué)校的應(yīng)用情況啟動三層路由功能，將網(wǎng)絡(luò)風(fēng)暴控制在學(xué)校內(nèi)部，而通過靜態(tài)路由的方式訪問核心層，對于擁有二層交換機(jī)的學(xué)校，據(jù)我們調(diào)研學(xué)校并不多，可考慮更換三層設(shè)備作為接入交換機(jī)，或者每個學(xué)校作為一個VLAN通過默認(rèn)網(wǎng)關(guān)訪問核心層。但由此對Cisco 6506交換機(jī)的要求將大幅提升，原有的低速引擎已經(jīng)不能滿足新的性能需求，必須對其進(jìn)行升級改造。以起到鏈路冗余備份的功能提高網(wǎng)絡(luò)的可靠性。非華為公司的設(shè)備如CISCO6509等設(shè)備可由CISCO自帶的Works2000網(wǎng)管軟件管理，對于整個業(yè)務(wù)網(wǎng)的狀態(tài)監(jiān)控、流量分析可采用一些不區(qū)分設(shè)備類型的基礎(chǔ)網(wǎng)管軟件，如Sniffer等來監(jiān)控。該區(qū)塊的功能和配置將在服務(wù)器存儲設(shè)備的實(shí)施章節(jié)有詳細(xì)描述。所以主機(jī)仍然保持連接，沒有受到網(wǎng)絡(luò)中單點(diǎn)故障的影響，這樣就較好地解決了路由交換機(jī)切換的問題。在兩臺核心路由交換機(jī)上運(yùn)行VRRP虛擬路由協(xié)議，當(dāng)任何一臺核心路由交換機(jī)發(fā)生故障時，另一臺核心路由交換機(jī)立即接管所有的工作。二、 朝陽區(qū)政府公用信息平臺從朝陽信息中心的傳輸網(wǎng)設(shè)備OpCity8930上下業(yè)務(wù)，即傳輸網(wǎng)設(shè)備與出口交換機(jī)Cisco4003相連，為了安全保證，在傳輸設(shè)備與Cisco4003之間放置專用NAT（MA5200）設(shè)備及千兆防火墻。建議到北京市教育信息網(wǎng)內(nèi)網(wǎng)的流量和Internet出口流量的線路分開連接，即：一個端口為北京市教育信息網(wǎng)（內(nèi)網(wǎng)）端口，另一個端口為Internet出口端口，Internet流量的質(zhì)量根據(jù)朝陽教育信息網(wǎng)的需求，由市教委統(tǒng)一的帶寬管理設(shè)備進(jìn)行管理，從而保證朝陽區(qū)的Internet帶寬需求。即朝陽區(qū)教育信息網(wǎng)有三個出口，分別為： 北京市教育信息網(wǎng)（內(nèi)網(wǎng)） 通過北京教育信息網(wǎng)上連到國際互聯(lián)網(wǎng)（Internet） 朝陽區(qū)政府公用信息平臺主要出口為北京市教育信息網(wǎng)（內(nèi)網(wǎng)）和Internet，輔助和備份出口為朝陽區(qū)政府公用信息平臺出口（即連接到朝陽區(qū)信息辦的鏈路）。接入層就是具體接入學(xué)校，設(shè)備的選擇主要考慮交換機(jī)支持的 VLAN數(shù)量，以及端口的轉(zhuǎn)發(fā)能力。其中核心層的主要功能是實(shí)現(xiàn)數(shù)據(jù)的高速交換和轉(zhuǎn)發(fā),其選型和設(shè)計(jì)任務(wù)的重點(diǎn)是設(shè)備的冗余能力、鏈路可靠性和高速的交換能力?，F(xiàn)有的應(yīng)用中，以一個標(biāo)準(zhǔn)學(xué)校為例，將每個應(yīng)用的流量走向情況分析如下：現(xiàn)有應(yīng)用通過教委的流量學(xué)校之間流量網(wǎng)站發(fā)布/社會教育及學(xué)校及學(xué)生家長溝通流量大流量較小教委FTP服務(wù)流量大無系統(tǒng)內(nèi)部的電子郵件流量大流量較小學(xué)校的FTP服務(wù)無流量大教育管理信息庫CMIS流量大流量較小網(wǎng)絡(luò)視頻會議系統(tǒng)流量大流量大分校與主校之間交流無流量較大視頻點(diǎn)播系統(tǒng)流量大流量較小IP電話系統(tǒng)流量大流量大學(xué)校的資源庫應(yīng)用系統(tǒng)無流量大教委的資源庫應(yīng)用系統(tǒng)流量大無從上表分析，我們可以看出在朝陽區(qū)教育信息網(wǎng)中，對于目前網(wǎng)絡(luò)而言，大部分的數(shù)據(jù)流量都是由學(xué)校到教委之間的流量，學(xué)校與學(xué)校之間的流量相對較少，然而隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，各種應(yīng)用的深入。 外網(wǎng)流量需求分析針對上述需求，我們首先分析處于次要地位的互聯(lián)網(wǎng)瀏覽、上傳下載數(shù)據(jù)以及電子郵件等業(yè)務(wù)的流量。兼具傳送網(wǎng)的骨干層核心節(jié)點(diǎn)和業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)中心為一身的教委信息中心注定成為本次業(yè)務(wù)網(wǎng)建設(shè)中的重中之重。朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心）朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心）(三層)北京北控電信通信息技術(shù)有限公司2006年2月目 錄一. 網(wǎng)絡(luò)中心深化設(shè)計(jì) 31. 業(yè)務(wù)網(wǎng)深化設(shè)計(jì)方案 3 業(yè)務(wù)網(wǎng)應(yīng)用需求分析 3 業(yè)務(wù)流量需求分析 3 分層的網(wǎng)絡(luò)設(shè)計(jì)方案 5 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 9 原有設(shè)備的利舊 10 原有網(wǎng)絡(luò)的割接 12 IP地址路由規(guī)劃深化設(shè)計(jì) 12 交換設(shè)備以及計(jì)算機(jī)系統(tǒng)時間同步 142. 安全系統(tǒng)深化設(shè)計(jì)方案 15 安全系統(tǒng)需求分析 15 防火墻系統(tǒng)深化設(shè)計(jì) 16 網(wǎng)絡(luò)入侵檢測系統(tǒng)深化設(shè)計(jì) 17 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì) 18 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì) 18 朝陽區(qū)教育信息網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D 193. 服務(wù)器存儲系統(tǒng)的深化設(shè)計(jì) 20 需求分析 20 服務(wù)器的安裝與功能分配 21 服務(wù)器集群的配置 25 存儲系統(tǒng)的深化設(shè)計(jì) 52 數(shù)據(jù)備份系統(tǒng)的安裝與配置 54 服務(wù)器存儲系統(tǒng)結(jié)構(gòu)拓?fù)鋱D 55一. 網(wǎng)絡(luò)中心深化設(shè)計(jì)1. 業(yè)務(wù)網(wǎng)深化設(shè)計(jì)方案 業(yè)務(wù)網(wǎng)應(yīng)用需求分析根據(jù)朝陽區(qū)教育“校校通”工程建設(shè)的總體規(guī)劃，建成后的朝陽區(qū)教育信息網(wǎng)是一個覆蓋全區(qū)所有教育單位的，能夠?qū)崿F(xiàn)全區(qū)資源共享、互連互通的網(wǎng)絡(luò)，該網(wǎng)絡(luò)的基礎(chǔ)是一個利用光纖搭建的基于SDH技術(shù)的多業(yè)務(wù)傳送平臺（MSTP），我們將其稱之為底層傳送網(wǎng)或者簡稱為傳送網(wǎng)。所以在業(yè)務(wù)網(wǎng)的建設(shè)中網(wǎng)絡(luò)中心就設(shè)置在教委的信息中心，這樣教委的信息中心便要承擔(dān)整個朝陽教育信息網(wǎng)的數(shù)據(jù)分析、業(yè)務(wù)處理和安全防護(hù)的重?fù)?dān)。另一方面，Internet互聯(lián)網(wǎng)出口的瀏覽查詢應(yīng)用，與市教育信息網(wǎng)內(nèi)網(wǎng)和區(qū)信息平臺的公文傳遞、資源調(diào)用等應(yīng)用，這是相對次要的業(yè)務(wù)流量。 內(nèi)網(wǎng)流量需求分析目前朝陽區(qū)教育信息網(wǎng)上的應(yīng)用大致分為：網(wǎng)站發(fā)布、社會教育、學(xué)校及學(xué)生家長溝通、FTP服務(wù)、系統(tǒng)內(nèi)部的電子郵件、教育管理信息庫CMIS、網(wǎng)絡(luò)視頻會議、網(wǎng)絡(luò)視頻教學(xué)系統(tǒng)、IP電話應(yīng)用（VOIP）、視頻點(diǎn)播、資源庫調(diào)用等，我們對以上流量進(jìn)行分析，將這些流量按照學(xué)校通過教委網(wǎng)絡(luò)中心的流量、學(xué)校之間直接流量來分類。我們將朝陽區(qū)的業(yè)務(wù)網(wǎng)設(shè)計(jì)為典型的三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，既將業(yè)務(wù)網(wǎng)分為核心層、匯聚層、和接入層。由于本次工程中所有數(shù)據(jù)業(yè)務(wù)都要經(jīng)由教委信息中心落地，所以我們將把匯聚層設(shè)備和核心層設(shè)備都部署在教委的信息中心，信息中心就成為業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)中心。 出口網(wǎng)絡(luò)設(shè)計(jì)根據(jù)