【正文】 及整個后臺應(yīng)用程序的運(yùn)行任務(wù) 根據(jù)客戶的要求， 從業(yè)務(wù)上 我們把應(yīng)用分 為 數(shù)據(jù)庫服務(wù)、 INTERNET 應(yīng)用 服務(wù)、辦公管理服務(wù)、 大流量數(shù)據(jù) 服務(wù) ，計(jì)費(fèi)管理服務(wù)和網(wǎng)管服務(wù) 等。為了安全和 管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到Symantec 全球網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它 100 多個服務(wù)器端和 30 個客戶端，并自動對 Symantec AntiVirus Corporate Edition 殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。 3）安裝完 Symantec AntiVirus Corporate Edition 網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對本機(jī)的查殺毒。 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì) 1）在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上安裝 Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心，負(fù)責(zé) 管理網(wǎng)絡(luò)中心不少于 100 臺的服務(wù)器和 30 臺 PC機(jī)。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì) 在內(nèi)網(wǎng)中采用一套先進(jìn)的《 網(wǎng)絡(luò)安全性分析系統(tǒng) ISExplorer》 漏洞掃描系統(tǒng)。 朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 18 北控電信通BETITNISD_1000E 的配置分布如下： 1. 出口網(wǎng)絡(luò)與核心網(wǎng)之間部署一臺 NISD_1000E 2個 GE探頭分別配置在出口網(wǎng)絡(luò)中的 Cisco4003與兩臺核心交換機(jī) S8512相連的兩條千兆鏈路上。 防火墻系統(tǒng)連接見朝陽教育信息網(wǎng)網(wǎng)絡(luò)安全連接圖。 5）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。 3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的 IP 地址和 MAC 地址的對應(yīng)表，防止 IP地址被盜用?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則和“ 由內(nèi)向外的連接基本允許，但由外向內(nèi)的訪問和連接一定要經(jīng)過審核”的策略。 5．?dāng)?shù)據(jù)中心的關(guān)鍵應(yīng)用服務(wù)器區(qū)到核心交網(wǎng)的接口處設(shè)置兩臺 SecPath 1000F：每臺 SecPath 1000F 的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺 Quidway S8512 連接，每臺SecPath 1000F 的一塊千兆內(nèi)網(wǎng)卡連接關(guān)鍵應(yīng)用服務(wù)器區(qū)的 Cisco6509，兩臺 SecPath 1000F 之間通過 1GE 端口相連，兩臺 SecPath 1000F 做負(fù)載分擔(dān) /冗余備份，對關(guān)鍵應(yīng)用服務(wù)器區(qū)進(jìn)行保護(hù)。內(nèi)網(wǎng)卡接 Cisco4003，外網(wǎng)卡接NAT 設(shè)備（ MA5200）；專用 NAT 設(shè)備（ MA5200）的一個千兆口接 NETEYE，另一個千兆端口與傳輸設(shè)備 OpCity8930 相連。 3．在出口網(wǎng)絡(luò)中的 Cisco4003 到朝陽區(qū)政府公用信息平臺的鏈路上設(shè)置一臺NETEYE 和一臺專用 NAT 設(shè)備。 2． 在 出口網(wǎng)絡(luò)中的 Cisco4003 到 Inter 的千兆鏈路上 部署一臺 SecPath 1000F千兆防火墻，對朝陽教育信息網(wǎng)內(nèi)網(wǎng)進(jìn)行保護(hù) 。具體分布連接如下： 1． 在 出口網(wǎng)絡(luò)中的 Cisco4003 到北京市教育信息網(wǎng)（內(nèi)網(wǎng)）的千兆鏈路上 部署一臺 SecPath 1000F 千兆防火墻。 防火墻系統(tǒng)深化設(shè)計(jì) ? 防火墻分布位置 方案采用六臺華為 Quidway174。 4) 入侵檢測系統(tǒng) 專門對服務(wù)器集群進(jìn)行探測來防范并記錄非法和危險(xiǎn)的網(wǎng)絡(luò)操作。 2) 防拒絕服務(wù)攻擊 使用防火墻來防范拒絕服務(wù)型攻擊。 ? 核心網(wǎng)絡(luò) 核心網(wǎng)絡(luò)包括：核心交換網(wǎng)、網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)中心（ IDC）。 ? 接入網(wǎng)絡(luò) 由朝陽教育信息網(wǎng)所轄的所有學(xué)校、教育機(jī)關(guān)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)內(nèi)部用戶組成。 ? 內(nèi)網(wǎng) 所謂內(nèi)網(wǎng)，我們認(rèn)為可以分為接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)兩部分。 同時(shí)在出口網(wǎng)絡(luò)與核心網(wǎng)絡(luò)的雙千兆鏈路上配備入侵檢測設(shè)備對所有進(jìn)出朝陽教育信息網(wǎng)的數(shù)據(jù)信息進(jìn)行甄別，以提防外部人員的惡意入侵和破壞，以及對不良網(wǎng)站、非法信息進(jìn)行阻隔。 為保證朝陽內(nèi)部網(wǎng)絡(luò)的 安全 ，建議 在這兩條 千兆鏈路上分別 采用 兩臺千兆 防火墻 ，作為朝陽教育信息網(wǎng)的對外安全防護(hù)。出口均設(shè)在朝陽教育信息網(wǎng)的出口網(wǎng)絡(luò)中的 Cisco4003 上。我們按照 不同區(qū)域的安全等級，以及安全特性來規(guī)劃不同的安全防范措施。 網(wǎng)絡(luò)中心 內(nèi)所有的工作站、服務(wù)器 等計(jì)算機(jī)系 統(tǒng)可以大致按操作系統(tǒng)分為UNIX、 LINUX 操作系統(tǒng) ， WINDOWS 操作系統(tǒng)，對于 UNIX 和 LINUX 操作系統(tǒng)本身支持 NTP 協(xié)議，可以直接通過 IP 地址訪問時(shí)間服務(wù)器獲得時(shí)間同步，而對于WINDOWS 系統(tǒng)尤其是 WINDOWS 2020 和 WINDOWS XP 操作系統(tǒng)不提供 NTP服務(wù)，因此必須配備相應(yīng)的 NTP 客戶端軟件來同時(shí)間服務(wù)器進(jìn)行時(shí)間同步。 交換 設(shè)備以及計(jì)算機(jī)系統(tǒng) 時(shí)間 同步 華為的 SYNLOCK V3 BITS 設(shè)備提供時(shí)間輸出接口，該接口為標(biāo)準(zhǔn)的以 太網(wǎng)接口，因此我們將其作為此次時(shí)間同步方案的一級時(shí)間服務(wù)器。 信息中心的匯聚層設(shè)備和核心交換設(shè)備之間啟用 OSPF 動態(tài)路由協(xié)議，構(gòu)成骨干區(qū)域 area 0，負(fù)責(zé)所有的路由轉(zhuǎn)發(fā)工作，這樣既可保證學(xué)校 IP 地址的相對固定和信息中心 IP 地址使用的靈活性又可實(shí)現(xiàn)路由的快速收斂。 路由規(guī)劃 建成后的朝陽教育信息網(wǎng)的業(yè)務(wù)流量包括學(xué)校間的流量和從學(xué)校到信息中心的流量，業(yè)務(wù)流量將在信息中心落地和進(jìn)行路由交換?，F(xiàn)在可以確定的是，經(jīng)過合理的 IP 地址規(guī)劃，即保證每臺接入網(wǎng)絡(luò)的計(jì)算機(jī)都有合法 IP 地址 ，又保證 IP 地址的使用有效性，不閑置不浪費(fèi)。 以上的 IP 地址分配方式大致只用了 1 個完整的 B 類地址，還有半個 B 類地址可用，可以根據(jù)實(shí)際情況再進(jìn)行分配。 信息中心預(yù)留 10 個 C 類地址（包括辦公及各類服務(wù)器，所有的服務(wù)器均使用真實(shí) IP，無須再做 NAT）。學(xué)校的發(fā)布地址由中心統(tǒng)一管理，學(xué)校在需要的時(shí)候上報(bào)信息中心開通。點(diǎn)數(shù)少的學(xué)?？砂岩粋€ C 類地址分成多個子網(wǎng)給多個學(xué)校，點(diǎn)數(shù)及上網(wǎng)電腦多的學(xué)?？煞峙涠鄠€ C 類地址，這樣平均下來，我們預(yù)計(jì)絕大多數(shù)學(xué)朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 13 北控電信通BETIT校使用一個 C 類地址（ 254 個可用地址）即夠用。包括朝陽教育信息中心，朝陽教委新辦公網(wǎng)及所有接入學(xué)校，每臺上網(wǎng)的設(shè)備均使用真實(shí) IP，使得所有的連網(wǎng)設(shè)備都具有可溯性。 IP 地址路由規(guī)劃深化設(shè)計(jì) IP 深化設(shè)計(jì) 朝陽教育信息網(wǎng)所使用的 IP 地址由北京市教育信息網(wǎng)統(tǒng)一進(jìn)行分配，根據(jù)目前確定的分配給朝陽教育信息網(wǎng)的 IP 地址，我們在深化設(shè)計(jì)中給出如下設(shè)計(jì)： 北京市教育信息網(wǎng)分配給朝陽教育信息網(wǎng)的 IP 地址全部為合法 IP，共 1 個半的 B 類地址。這樣即保證原有的網(wǎng)絡(luò)不會中斷，又最大限度的保護(hù)了前期投資節(jié)約了成本。在本次工程中這些學(xué)校都是區(qū)域網(wǎng)絡(luò)中的一個節(jié)點(diǎn)，所以在施工過程中對這些學(xué)校按原計(jì)劃鋪設(shè)光纖配置傳輸設(shè)備，不會影響到學(xué)校網(wǎng)絡(luò)的正常連通。下面是需要升級和增加的模塊一覽表 ： 需升級和增加的模塊清單 型號 描述 數(shù)量 信息中心核心節(jié)點(diǎn)交換機(jī) WSX6500SFM2 Catalyst 6500 Switch Fabric Module 2 1 WSX6408AGBIC Catalyst 6000 8port GE, Enhanced QoS (Req. GBICs) 1 WSG5484= 1000BASESX 12 朝陽教委核心節(jié)點(diǎn)交換機(jī) WSX6500SFM2 Catalyst 6500 Switch Fabric Module 2 1 WSX6408AGBIC Catalyst 6000 8port GE, Enhanced QoS (Req. GBICs) 1 WSG5484= 1000BASESX 16 廣播局核心節(jié)點(diǎn)交換機(jī) WSX6500SFM2 Catalyst 6500 Switch Fabric Module 2 1 朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 12 北控電信通BETITWSX6408AGBIC Catalyst 6000 8port GE, Enhanced QoS (Req. GBICs) 2 WSG5484= 1000BASESX 16 原有網(wǎng)絡(luò)的割接 教委信息中心正在負(fù)責(zé) 30 余所學(xué)校的 Inter 接入工作，在本次工程的施工過程中要求這 30 余所學(xué)校的網(wǎng)絡(luò) 不得中斷，因此負(fù)責(zé)該 30 余所學(xué)校網(wǎng)絡(luò)連通的設(shè)備如CISCO6509 等交換機(jī)不能另做他用，只有當(dāng)工程竣工以后，網(wǎng)絡(luò)試運(yùn)行正常時(shí)，才能將原有的網(wǎng)絡(luò)割接到現(xiàn)有網(wǎng)絡(luò)中。而現(xiàn)在兩臺 6506 上只有24 個 GE 端口，因此也需要增加三 塊 8GE 端口的板卡 。下表是主要可利舊設(shè)備的清單 目前主要可利舊設(shè)備清單 型號 描述 數(shù)量 信息中心核心節(jié)點(diǎn)交換機(jī) WSC65091300AC= Catalyst 6509 Chassis w/ 1300W AC Power Supply 1 WSX6KS2 Catalyst 6500 Supervisor Engine2, 2GE 1 WSX6408AGBIC Catalyst 6000 8port GE, Enhanced QoS (Req. GBICs) 2 WSG5486 1000BASELX/LH long haul GBIC (singlemode or multimode) 6 WSG5484= 1000BASESX 6 朝陽教委核心節(jié)點(diǎn)交換機(jī) WSC65061000AC= Catalyst 6506 Chassis w/ 1000W AC Power Supply 1 WSX6KS2 Catalyst 6500 Supervisor Engine2, 2GE 1 WSX6408AGBIC Catalyst 6000 8port GE, Enhanced QoS (Req. GBICs) 2 WSG5487 1000BaseZX extended reach GBIC(singlemode) 1 WSG5486 1000BASELX/LH long haul GBIC (singlemode or multimode) 7 WSG5484= 1000BASESX 1 廣播局核心節(jié)點(diǎn)交換機(jī) WSC65061000AC= Catalyst 6506 Chassis w/ 1000W AC Power Supply 1 WSX6KS2 Catalyst 6500 Supervisor Engine2, 2GE 1 朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 11 北控電信通BETITWSX6408AGBIC Catalyst 6000 8port GE, Enhanced QoS (Req. GBICs) 1 WSG5487 1000BaseZX extended reach GBIC(singlemode) 2 WSG5486 1000BASELX/LH long haul GBIC (singlemode or multimode) 6 WSG5484= 1000BASESX 0 在深化設(shè)計(jì)方案中思科 6509 用來連接關(guān)鍵服務(wù)器區(qū)的 20 臺應(yīng)用服務(wù)器，所以至少需要 20 個 GE 端口，而目前 6509 只有 16 個 GE 端口，所以需要增加一塊 8 個 GE端口的板卡。 ) 朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 10 北控電信通BETIT 原有設(shè)備的利舊 根據(jù)客戶要求對原有設(shè)備進(jìn)行利舊，我們在網(wǎng)絡(luò)中心業(yè)務(wù)網(wǎng)的深化設(shè)計(jì)方案中已經(jīng)對利舊設(shè)備的用途做了詳細(xì)描述，現(xiàn)就這些設(shè)備的現(xiàn)狀和需要升級或者添加的功能模塊做一下說明。 接入網(wǎng)絡(luò)設(shè)計(jì) 接入層交換機(jī)可根據(jù)校園網(wǎng)建設(shè)的實(shí)際情況分為三層交換機(jī)和二層交換機(jī)，對于有三層交換機(jī)的學(xué)校可以根據(jù)學(xué)校的應(yīng)用情況啟動三層路由功能，將網(wǎng)絡(luò)風(fēng)朝陽區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 9 北控電信通BETIT暴控制在學(xué)校內(nèi) 部，而通過靜態(tài)路由 的方式訪問核心層，對