【正文】 業(yè)務(wù)網(wǎng)的流量需求作如下分析。另一方面， Inter 互聯(lián)網(wǎng)出口的瀏覽查詢應(yīng)用，與市教育信息網(wǎng)內(nèi)網(wǎng)和區(qū)信息平臺(tái)的公文傳遞、資源調(diào)用等應(yīng)用，這是相對(duì)次要的業(yè)務(wù)流量。建設(shè) Inter 出口目的是為網(wǎng)絡(luò)用戶提供必要的互聯(lián)網(wǎng)瀏覽和查詢功能，出現(xiàn)大容量的數(shù)據(jù)上傳、下載的機(jī)會(huì)相對(duì)較少，因此根據(jù)以往的經(jīng)驗(yàn)，通過(guò) 200M 帶寬的鏈路連接 Inter 就可以滿足需要。 內(nèi)網(wǎng)流量需求分析 目前朝陽(yáng)區(qū)教育信息網(wǎng)上的應(yīng)用大致分為：網(wǎng)站發(fā)布、社會(huì)教育、學(xué)校及學(xué)生家長(zhǎng)溝通、 FTP 服務(wù)、系統(tǒng)內(nèi)部的電子郵件、教育管理信息庫(kù) CMIS、網(wǎng)絡(luò)視頻會(huì)議、網(wǎng)絡(luò)視頻教學(xué)系統(tǒng)、 IP 電話應(yīng)用（ VOIP）、視頻點(diǎn)播、資源庫(kù)調(diào)用等，我們 對(duì)以上流量進(jìn)行分析，將這些流量按照學(xué)校通過(guò)教委網(wǎng)絡(luò)中心的流量、學(xué)校之間直接流量來(lái)分類(lèi)。學(xué)校與學(xué)校之間的業(yè)務(wù)流量將近一步增大，所以在業(yè)務(wù)網(wǎng)絡(luò)的設(shè)計(jì)中在考慮網(wǎng)絡(luò)中心設(shè)備的高硬件性能、高可靠性的同時(shí)現(xiàn)有應(yīng)用 通過(guò)教委的流量 學(xué)校之間流量 網(wǎng)站發(fā)布 /社會(huì)教育及學(xué)校及學(xué)生家長(zhǎng)溝通 流量大 流量較小 教委 FTP 服務(wù) 流量大 無(wú) 系統(tǒng)內(nèi)部的電子郵件 流量大 流量較小 學(xué)校的 FTP 服務(wù) 無(wú) 流量大 教育管理信息庫(kù) CMIS 流量大 流量較小 網(wǎng)絡(luò)視頻會(huì)議系統(tǒng) 流量大 流量大 分校與主校之間交流 無(wú) 流量較大 視頻點(diǎn)播系統(tǒng) 流量大 流量較小 IP 電話系統(tǒng) 流量大 流量大 學(xué)校的資源庫(kù)應(yīng)用系統(tǒng) 無(wú) 流量大 教委的資源庫(kù)應(yīng)用系統(tǒng) 流量大 無(wú) 朝陽(yáng)區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 5 北控電信通BETIT必須兼顧今后網(wǎng)絡(luò)的可擴(kuò)展性需求。我們將朝陽(yáng)區(qū)的業(yè)務(wù)網(wǎng)設(shè)計(jì)為典型的三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，既將業(yè)務(wù)網(wǎng)分為核心層、匯聚層、和接入層。匯聚層的主要任務(wù)是提供對(duì)核心層設(shè)備的訪問(wèn)，匯總接入層的數(shù)據(jù)，并負(fù)責(zé)選擇到不同目的地的最佳路徑，利用匯聚層設(shè)備的路由功能可以將那些學(xué)校之間的數(shù)據(jù)流量直接轉(zhuǎn)發(fā)，不必再經(jīng)由核心層設(shè)備處理從而大大減輕了核心層設(shè)備的壓力。由于本次工程中所有數(shù)據(jù)業(yè)務(wù)都要經(jīng)由教委信息中心落地，所以我們將把匯聚層設(shè)備和核心層設(shè)備都部署在教委的信息中心，信息中心就成為業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)中心。 業(yè)務(wù)網(wǎng)的建設(shè)，分為出口網(wǎng)絡(luò)、核心網(wǎng)絡(luò)、匯聚網(wǎng)絡(luò) 、接入網(wǎng)絡(luò) 。 出口網(wǎng)絡(luò)設(shè)計(jì) 根據(jù)用戶需求，朝陽(yáng)區(qū)教育信息網(wǎng)的出口設(shè)計(jì)為兩部分，一部分指的是 上連到北京市教育信息網(wǎng)（內(nèi)網(wǎng)）和通過(guò)北京教育信息網(wǎng)上連到國(guó)際互聯(lián)網(wǎng)（ Inter），另一部分是指連接到朝陽(yáng)區(qū)政府公用信息平臺(tái)。 朝陽(yáng)區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 6 北控電信通BETIT三個(gè)出口均連接到出口網(wǎng)絡(luò)中的利舊設(shè)備 Cisco4003 交換機(jī)上（網(wǎng)絡(luò)割接之前可用性能相近交換機(jī)替代）。朝陽(yáng)上 連 的設(shè)備為 Cisco7609 Sup720，具體端口 1000BaseSX和 1000BaseT 都可以，有 2 個(gè) 。 這樣一來(lái)對(duì)于朝陽(yáng)教育信息網(wǎng)來(lái)說(shuō)可以很好的區(qū)分到北京市教育信息網(wǎng) 內(nèi)網(wǎng) 的流量和 Inter（其他外網(wǎng)）的流量，從而更加便于對(duì)業(yè)務(wù)流量的分類(lèi)和監(jiān)管。 但 為保證朝陽(yáng) 教育信息網(wǎng) 內(nèi)部 安全，建議在到 北京市教育信息網(wǎng)（內(nèi)網(wǎng)，Inter）的兩條千兆出口 鏈路 上分別 放置 兩臺(tái) Quidway Secpath1000F 千兆防火墻，對(duì) 朝陽(yáng) 教育信息網(wǎng) 內(nèi) 網(wǎng)進(jìn)行保護(hù) 。 核心網(wǎng)絡(luò)設(shè)計(jì) 主核心交換區(qū)塊：由兩臺(tái)核心交換機(jī) S8512 組成，兩臺(tái)核心路由交換機(jī)之間通過(guò) linkaggregation（ 端口聚合）技術(shù)綁定兩條 10G 鏈路，從而 構(gòu)建了 雙 萬(wàn)兆帶寬網(wǎng)朝陽(yáng)區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 7 北控電信通BETIT絡(luò)核心 交換平臺(tái)。 兩臺(tái) 主核心交換機(jī) 負(fù)責(zé)整個(gè)業(yè)務(wù)網(wǎng)的數(shù)據(jù)交換工作，為了保障網(wǎng)絡(luò)中心核心設(shè)備的正常運(yùn)行，我們將通過(guò)主核心設(shè)備雙機(jī)冗余，主要路由交換板卡、電源均采用冗余備份的方式配置，以提高設(shè)備的可靠性。 VRRP 協(xié)議 是 一種 熱備份路由協(xié)議，應(yīng)用于雙機(jī)熱備 ，其工作原理為 ： VRRP 協(xié)議將系統(tǒng)中 兩 臺(tái)路由 交換機(jī) 組成 VRRP 組，該組擁有一個(gè)虛擬缺省網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)內(nèi)的終端配置的是 VRRP 虛擬網(wǎng)關(guān)地址，因此在它們看來(lái)，虛擬路由 交換機(jī) 沒(méi)有改變。 提高了核心交換區(qū)塊的可靠性。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊通過(guò)本區(qū)塊的主交換機(jī)利用兩條千兆鏈路上連主核心交換區(qū)塊，以起到鏈路冗余備份和負(fù)載分擔(dān)的功能，提高網(wǎng)絡(luò)的可靠性。 網(wǎng)管網(wǎng)絡(luò)區(qū)塊：主要負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的管理和監(jiān)護(hù)，它采用帶外管理與帶內(nèi)管理混合的模 式， 通常帶內(nèi)管理組網(wǎng)比較簡(jiǎn)單、靈活，但卻要占用承載業(yè)務(wù)流量的帶寬。）而主要網(wǎng)管軟件采用華為 3COM 的 iManager Quidview 網(wǎng)管系統(tǒng)進(jìn)行網(wǎng)絡(luò)管理，對(duì)于網(wǎng)絡(luò)中心的其他網(wǎng)管子系統(tǒng)如：傳輸設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理、數(shù)字同步網(wǎng)管理、入侵檢測(cè)子系統(tǒng)、網(wǎng)絡(luò)防病毒子系統(tǒng)、漏洞掃描子系統(tǒng)、時(shí)間同步子系統(tǒng)等，分別采用其各自的管理軟件進(jìn)行全網(wǎng)相應(yīng)的 管理。網(wǎng)管系統(tǒng)中的網(wǎng)絡(luò)設(shè)備管理子系統(tǒng)將實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)中心的設(shè)備以及網(wǎng)絡(luò)狀況，可在第一時(shí)間檢測(cè)到故障。 大流量應(yīng)用服務(wù)器負(fù)責(zé)提供應(yīng)用教學(xué)資源，該區(qū)塊由若干服務(wù)器集群組成，這些服務(wù)器集群分別通過(guò)兩條千兆光纖或者電口鏈路直接與核心交換機(jī)相連。 匯聚網(wǎng)絡(luò)設(shè)計(jì) 將兩臺(tái)利舊的 CISCO6506 交換機(jī)配置在網(wǎng)絡(luò)中心的核心層 與接入層之間充當(dāng)匯聚層設(shè)備，利用其高密度 的 千兆光纖 接口連接由底層傳送 設(shè)備 下來(lái)的 20 個(gè) GE 端口， 兩臺(tái) Cisco6506 之間采用雙千兆鏈路綁定的方式配置成帶寬達(dá)到 2G 的鏈路，每臺(tái) cisco6506 通過(guò)兩條雙千兆綁定鏈路分別以 UPLINK 方式上連兩臺(tái)核心交換機(jī)8512，這樣在核心層與匯聚層之間形成總帶寬達(dá)到 8G 的交換鏈路，以進(jìn)一步提高網(wǎng)絡(luò)的性能和增加網(wǎng)絡(luò)的可靠性，同時(shí)滿足由接入層訪問(wèn)數(shù)據(jù)中心的總帶寬不得小于 6Gbps 的招標(biāo)要求。因此它不但要提供高密度高帶寬的接口，還要具備高性能的多層交換能力，能夠?qū)⒁恍┎恍枰L問(wèn)核心層的數(shù)據(jù)流量通過(guò)匯聚層設(shè)備轉(zhuǎn)發(fā)，這樣既提高了網(wǎng)絡(luò)的效能，又減輕了對(duì)核心層網(wǎng)絡(luò)設(shè)備的壓力。 匯聚層交換設(shè)備與傳送網(wǎng)的 MSTP 設(shè)備相連，擔(dān)負(fù)著傳送網(wǎng)上的數(shù)據(jù) 業(yè)務(wù)落地的重任。根據(jù)交流，甲方提出要在學(xué)校上連教委信息中心的網(wǎng)絡(luò)帶寬中預(yù)留 2M 的安全監(jiān)控端口，和 10M 的考試監(jiān)控端口以及相應(yīng)的視頻帶寬，這些需要在傳送網(wǎng)技術(shù)方面做相應(yīng)的時(shí)隙劃分、和端口預(yù)留等工作我們將在傳送網(wǎng)深化設(shè)計(jì)方案中給予具體描述。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 (注：本網(wǎng)絡(luò)拓?fù)鋱D僅為結(jié)構(gòu)示意圖，具體設(shè)備和連接方式以實(shí)際情況為準(zhǔn)。朝陽(yáng)區(qū)現(xiàn)有可利舊的設(shè)備包括一臺(tái)思科 6509，兩臺(tái)思科 6506和一些思科 4000 系列的三層交換機(jī)。兩臺(tái) 6506 用作匯聚層交換機(jī)，分別連接由骨干傳輸設(shè)備下來(lái)的 20 個(gè)GE 端口，同時(shí)分別利用兩條雙千兆 鏈路上連核心交換機(jī)。另外一個(gè)需要注意的問(wèn)題是三臺(tái)思科設(shè)備的引擎都是低速的引擎，而作為匯聚層設(shè)備高速的交換能力是主要的選型指標(biāo)之一，因此建議將兩臺(tái) 6506 的交換引擎升級(jí)增加交換 矩陣模塊，該交換矩陣模塊將使 6506 的交換能力 達(dá)到 256G，可以 滿足高速數(shù)據(jù)交換的要求。在這個(gè)過(guò)程中只有通過(guò)借用或者租用其他同檔次的交換機(jī)替代的方式來(lái)解決問(wèn)題。待割接完畢后將空閑下來(lái)的交換設(shè)備按設(shè)計(jì)方案應(yīng)用到業(yè)務(wù)網(wǎng)絡(luò)中去。關(guān)于朝陽(yáng)教委新址的 網(wǎng)絡(luò)接入問(wèn)題，為了保證在施工過(guò)程中朝陽(yáng)教委所帶的網(wǎng)絡(luò)不致中斷，待朝陽(yáng)教委移至新址后，優(yōu)先鋪設(shè)一條光纖連接到教委信息中心的核心交換機(jī)上，當(dāng)工程完工后朝陽(yáng)教委所帶的 10 于所學(xué)校通過(guò)傳送網(wǎng)的透?jìng)髦苯舆B到信息中心，而朝陽(yáng)教委到信息中心的光纖則予以保留。 在 此種情況下，朝陽(yáng)教育信息網(wǎng)內(nèi)的所有單位均使用真實(shí) IP。在此種情況，我們?cè)O(shè)計(jì) IP 地址的使用情況大致如下： 接入學(xué)校約為 240 所，每個(gè)學(xué)校根據(jù)信息點(diǎn)數(shù)和電腦數(shù)量的不同分別可分配13 個(gè) C 類(lèi)的地址。 根據(jù)用戶需求，建議分配 給每個(gè)學(xué)校的地址段中拿出 25 個(gè)地址作為學(xué)?？蓪?duì)外發(fā)布的地址（大校前 5 個(gè)可用 IP 地址，普通學(xué)校前 2 個(gè)可用 IP 地址）。學(xué)校的其他 IP 地址由中心作策略一律不允許對(duì)外發(fā)布。 朝陽(yáng)教委預(yù)留 4 個(gè) C 類(lèi)地址（局機(jī)關(guān)辦公網(wǎng)絡(luò)）。 有關(guān) “ 合法 IP 地址的問(wèn)題 ” 市教委信息中心會(huì)召開(kāi)會(huì)議或者通知方式進(jìn)行說(shuō)明。 朝陽(yáng) 區(qū)教育信息網(wǎng)到市教育信息網(wǎng)絡(luò)（內(nèi)網(wǎng)， Inter）的 出口不需要進(jìn)行 NAT，但到朝陽(yáng)區(qū)政府公用信息平臺(tái)（朝陽(yáng)區(qū)信息辦）需要 NAT 轉(zhuǎn)換 。鑒于這一典型的業(yè)務(wù)集中式網(wǎng)絡(luò)，每個(gè)接入單位（學(xué)校）都有三層交換設(shè) 備，因此可以將廣播域控制在接入單位內(nèi)部，為每個(gè)接入單位分配連續(xù)的地址網(wǎng)段，以靜態(tài)路由的方式指向網(wǎng)絡(luò)中心的匯聚層設(shè)備。 網(wǎng)絡(luò)中心三個(gè)出口的路由可采用缺省靜態(tài)路由指向，或根據(jù)對(duì)端接入要求采用動(dòng)態(tài)路由協(xié)議。 朝陽(yáng)區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 14 北控電信通BETIT在網(wǎng)管網(wǎng)絡(luò)中設(shè)置一臺(tái)服務(wù)器，作為網(wǎng)絡(luò)中心的二級(jí)時(shí)間服務(wù)器，該服務(wù)器配置兩塊網(wǎng)卡，通過(guò)兩條鏈路分別連接一級(jí)時(shí)間服務(wù)器 SYNLOCK V3 的時(shí)間輸出接口，和網(wǎng)管網(wǎng)絡(luò)交換機(jī)，為該二級(jí)時(shí)間服務(wù)器設(shè)定相應(yīng)的 IP 地址，網(wǎng)絡(luò)中心的核心骨干交換機(jī) S8512 和其他利舊的思科交換機(jī)都支持時(shí)間同步協(xié)議 NTP，因此利用以太網(wǎng)絡(luò)，只要可以訪問(wèn)二級(jí)時(shí)間服務(wù)器的 IP 地址，即可以得到時(shí)間同步信息，并將其傳送到其他網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)系統(tǒng)中。 NTPNTP NTP 時(shí)間 服務(wù)器服務(wù)器IP 網(wǎng)NTP業(yè)務(wù)子網(wǎng) 1業(yè)務(wù)子網(wǎng) 2NTP時(shí)間同步示意圖 2. 安全系統(tǒng)深化設(shè)計(jì)方案 安全系統(tǒng)需求分析 朝陽(yáng)區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 15 北控電信通BETIT朝陽(yáng)區(qū)教育信息網(wǎng)按功能和防護(hù)區(qū)域可劃分為：外網(wǎng)和內(nèi)網(wǎng)。 ? 外網(wǎng) 所謂外網(wǎng)，我們將其分為兩部分，一部分指的是上連到北京市教育信息網(wǎng)（內(nèi)網(wǎng)）和通過(guò)北京教育信息網(wǎng)上連到國(guó)際互聯(lián)網(wǎng)（ Inter），另一部分是指連接到朝陽(yáng)區(qū)政府公用信息平臺(tái)。 出口網(wǎng)絡(luò)是朝陽(yáng)教育信息網(wǎng)同外部網(wǎng)絡(luò)的唯一接口，與北京市教育信息網(wǎng)是雙千兆鏈路連接，一路接北京市教育信息網(wǎng)（內(nèi)網(wǎng)），一路通過(guò)北京教育信息網(wǎng)上連到國(guó)際互聯(lián)網(wǎng)（ Inter）。 在到朝陽(yáng)區(qū)政府公用信息平臺(tái)的出口鏈路上部署專(zhuān)用 NAT 設(shè)備和千兆級(jí)防火墻來(lái)提供地址轉(zhuǎn)換和安全機(jī)制。 根據(jù)用戶需求，朝陽(yáng)教育信息網(wǎng)基本防護(hù)策略為：由內(nèi)向外的連接基本允許，但由外向內(nèi)的訪問(wèn)和連接一定要經(jīng)過(guò)審核。 建議在朝陽(yáng) 教育信息網(wǎng)內(nèi)網(wǎng)中的核心交換機(jī)和匯聚交換機(jī)上通過(guò) ACL 屏蔽掉Ping， Tel， NetBIUE 等服務(wù)和協(xié)議（特定的用戶可放開(kāi)）。對(duì)于接入網(wǎng)絡(luò)其安全防護(hù)由朝陽(yáng)教育信息網(wǎng)的中心機(jī)房統(tǒng)一部署管理，每一個(gè)學(xué)?；蛴脩舴峙洳煌W(wǎng)段的 IP 地址，在核心節(jié)點(diǎn)處的多層交換機(jī)上利用 VLAN 技術(shù)和ACL 對(duì)這些不同子網(wǎng)進(jìn)行策略路由，以達(dá)到最理想的網(wǎng)絡(luò)安全。 核心網(wǎng)絡(luò)是整個(gè)朝陽(yáng)教育信息 網(wǎng)的數(shù)據(jù)中心、資源中心、和管理中心可謂是心朝陽(yáng)區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 16 北控電信通BETIT臟部位，它的安全系統(tǒng)應(yīng)從以下幾方面著手設(shè)計(jì)： 1) 防火墻 防范來(lái)自外部和內(nèi)部的網(wǎng)絡(luò)攻擊和破壞。 3) 漏洞掃描系統(tǒng) 時(shí)刻監(jiān)控網(wǎng)絡(luò)以及服務(wù)器的安全漏洞。 5) 網(wǎng)絡(luò)防病毒系統(tǒng) 設(shè)置總的網(wǎng)絡(luò)防病毒服務(wù)器負(fù)責(zé)整個(gè)控制中心和下屬網(wǎng)絡(luò)的防病毒工作。 SecPath 1000F 防火墻和一臺(tái)利舊的 NETEYE 千兆防火墻，配置在朝陽(yáng)教育信息網(wǎng)網(wǎng)絡(luò)中心的 5 個(gè)邏輯地點(diǎn)，構(gòu)成整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的防火墻系統(tǒng)。對(duì)朝陽(yáng)教育信息網(wǎng)內(nèi)網(wǎng)進(jìn)行保護(hù) 。 同時(shí) Inter 服務(wù)器區(qū)的 WWW、 MAIL、FTP、 DNS 等對(duì)外服務(wù)器連接在該防火墻的 DMZ 區(qū)。具體連接： NETEYE 放置在出口網(wǎng)絡(luò)的 Cisco4003到朝陽(yáng)區(qū)政府公用信息平臺(tái)的傳輸設(shè)備的鏈路上。 4．網(wǎng)管網(wǎng)絡(luò)到核心網(wǎng)的接口處設(shè)置兩臺(tái) SecPath 1000F：每臺(tái) SecPath 1000F 的朝陽(yáng)區(qū)教育“校校通”工程深化設(shè)計(jì)方案（網(wǎng)絡(luò)中心） 北京北控電信通信息技術(shù)有限公司 17 北控電信通BETIT千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺(tái) Quidway S8512 相連，每臺(tái) Se