【正文】 些流量按照學(xué)校通過教委網(wǎng)絡(luò)中心的流量、學(xué)校之間直接流量來分類。學(xué)校與學(xué)校之間的業(yè)務(wù)流量將近一步增大，所以在業(yè)務(wù)網(wǎng)絡(luò)的設(shè)計(jì)中在考慮網(wǎng)絡(luò)中心設(shè)備的高硬件性能、高可靠性的同時(shí)必須兼顧今后網(wǎng)絡(luò)的可擴(kuò)展性需求。我們將朝陽區(qū)的業(yè)務(wù)網(wǎng)設(shè)計(jì)為典型的三層網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，既將業(yè)務(wù)網(wǎng)分為核心層、匯聚層、和接入層。匯聚層的主要任務(wù)是提供對核心層設(shè)備的訪問，匯總接入層的數(shù)據(jù)，并負(fù)責(zé)選擇到不同目的地的最佳路徑，利用匯聚層設(shè)備的路由功能可以將那些學(xué)校之間的數(shù)據(jù)流量直接轉(zhuǎn)發(fā)，不必再經(jīng)由核心層設(shè)備處理從而大大減輕了核心層設(shè)備的壓力。由于本次工程中所有數(shù)據(jù)業(yè)務(wù)都要經(jīng)由教委信息中心落地，所以我們將把匯聚層設(shè)備和核心層設(shè)備都部署在教委的信息中心，信息中心就成為業(yè)務(wù)網(wǎng)的網(wǎng)絡(luò)中心。業(yè)務(wù)網(wǎng)的建設(shè)，分為出口網(wǎng)絡(luò)、核心網(wǎng)絡(luò)、匯聚網(wǎng)絡(luò)、接入網(wǎng)絡(luò)。 出口網(wǎng)絡(luò)設(shè)計(jì)根據(jù)用戶需求，朝陽區(qū)教育信息網(wǎng)的出口設(shè)計(jì)為兩部分，一部分指的是上連到北京市教育信息網(wǎng)（內(nèi)網(wǎng)）和通過北京教育信息網(wǎng)上連到國際互聯(lián)網(wǎng)（Internet），另一部分是指連接到朝陽區(qū)政府公用信息平臺。三個(gè)出口均連接到出口網(wǎng)絡(luò)中的利舊設(shè)備Cisco4003交換機(jī)上（網(wǎng)絡(luò)割接之前可用性能相近交換機(jī)替代）。朝陽上連的設(shè)備為Cisco7609 Sup720，具體端口1000BaseSX和1000BaseT都可以，有2個(gè)。這樣一來對于朝陽教育信息網(wǎng)來說可以很好的區(qū)分到北京市教育信息網(wǎng)內(nèi)網(wǎng)的流量和Internet（其他外網(wǎng)）的流量，從而更加便于對業(yè)務(wù)流量的分類和監(jiān)管。但為保證朝陽教育信息網(wǎng)內(nèi)部安全，建議在到北京市教育信息網(wǎng)（內(nèi)網(wǎng)，Internet）的兩條千兆出口鏈路上分別放置兩臺Quidway Secpath1000F千兆防火墻，對朝陽教育信息網(wǎng)內(nèi)網(wǎng)進(jìn)行保護(hù)。 核心網(wǎng)絡(luò)設(shè)計(jì)主核心交換區(qū)塊：由兩臺核心交換機(jī)S8512組成，兩臺核心路由交換機(jī)之間通過linkaggregation（端口聚合）技術(shù)綁定兩條10G鏈路，從而構(gòu)建了雙萬兆帶寬網(wǎng)絡(luò)核心交換平臺。兩臺主核心交換機(jī)負(fù)責(zé)整個(gè)業(yè)務(wù)網(wǎng)的數(shù)據(jù)交換工作，為了保障網(wǎng)絡(luò)中心核心設(shè)備的正常運(yùn)行，我們將通過主核心設(shè)備雙機(jī)冗余，主要路由交換板卡、電源均采用冗余備份的方式配置，以提高設(shè)備的可靠性。VRRP協(xié)議是一種熱備份路由協(xié)議，應(yīng)用于雙機(jī)熱備，其工作原理為：VRRP協(xié)議將系統(tǒng)中兩臺路由交換機(jī)組成VRRP組，該組擁有一個(gè)虛擬缺省網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)內(nèi)的終端配置的是VRRP虛擬網(wǎng)關(guān)地址，因此在它們看來，虛擬路由交換機(jī)沒有改變。提高了核心交換區(qū)塊的可靠性。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊通過本區(qū)塊的主交換機(jī)利用兩條千兆鏈路上連主核心交換區(qū)塊，以起到鏈路冗余備份和負(fù)載分擔(dān)的功能，提高網(wǎng)絡(luò)的可靠性。網(wǎng)管網(wǎng)絡(luò)區(qū)塊：主要負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的管理和監(jiān)護(hù)，它采用帶外管理與帶內(nèi)管理混合的模式，通常帶內(nèi)管理組網(wǎng)比較簡單、靈活，但卻要占用承載業(yè)務(wù)流量的帶寬。）而主要網(wǎng)管軟件采用華為3COM的iManager Quidview網(wǎng)管系統(tǒng)進(jìn)行網(wǎng)絡(luò)管理，對于網(wǎng)絡(luò)中心的其他網(wǎng)管子系統(tǒng)如：傳輸設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理、數(shù)字同步網(wǎng)管理、入侵檢測子系統(tǒng)、網(wǎng)絡(luò)防病毒子系統(tǒng)、漏洞掃描子系統(tǒng)、時(shí)間同步子系統(tǒng)等，分別采用其各自的管理軟件進(jìn)行全網(wǎng)相應(yīng)的管理。網(wǎng)管系統(tǒng)中的網(wǎng)絡(luò)設(shè)備管理子系統(tǒng)將實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)中心的設(shè)備以及網(wǎng)絡(luò)狀況，可在第一時(shí)間檢測到故障。大流量應(yīng)用服務(wù)器負(fù)責(zé)提供應(yīng)用教學(xué)資源，該區(qū)塊由若干服務(wù)器集群組成，這些服務(wù)器集群分別通過兩條千兆光纖或者電口鏈路直接與核心交換機(jī)相連。 匯聚網(wǎng)絡(luò)設(shè)計(jì)將兩臺利舊的CISCO6506交換機(jī)配置在網(wǎng)絡(luò)中心的核心層與接入層之間充當(dāng)匯聚層設(shè)備，利用其高密度的千兆光纖接口連接由底層傳送設(shè)備下來的20個(gè)GE端口，兩臺Cisco6506之間采用雙千兆鏈路綁定的方式配置成帶寬達(dá)到2G的鏈路，每臺cisco6506通過兩條雙千兆綁定鏈路分別以UPLINK方式上連兩臺核心交換機(jī)8512，這樣在核心層與匯聚層之間形成總帶寬達(dá)到8G的交換鏈路，以進(jìn)一步提高網(wǎng)絡(luò)的性能和增加網(wǎng)絡(luò)的可靠性，同時(shí)滿足由接入層訪問數(shù)據(jù)中心的總帶寬不得小于6Gbps的招標(biāo)要求。因此它不但要提供高密度高帶寬的接口，還要具備高性能的多層交換能力，能夠?qū)⒁恍┎恍枰L問核心層的數(shù)據(jù)流量通過匯聚層設(shè)備轉(zhuǎn)發(fā)，這樣既提高了網(wǎng)絡(luò)的效能，又減輕了對核心層網(wǎng)絡(luò)設(shè)備的壓力。 匯聚層交換設(shè)備與傳送網(wǎng)的MSTP設(shè)備相連，擔(dān)負(fù)著傳送網(wǎng)上的數(shù)據(jù)業(yè)務(wù)落地的重任。根據(jù)交流，甲方提出要在學(xué)校上連教委信息中心的網(wǎng)絡(luò)帶寬中預(yù)留2M的安全監(jiān)控端口，和10M的考試監(jiān)控端口以及相應(yīng)的視頻帶寬，這些需要在傳送網(wǎng)技術(shù)方面做相應(yīng)的時(shí)隙劃分、和端口預(yù)留等工作我們將在傳送網(wǎng)深化設(shè)計(jì)方案中給予具體描述。 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(注：本網(wǎng)絡(luò)拓?fù)鋱D僅為結(jié)構(gòu)示意圖，具體設(shè)備和連接方式以實(shí)際情況為準(zhǔn)。朝陽區(qū)現(xiàn)有可利舊的設(shè)備包括一臺思科6509，兩臺思科6506和一些思科4000系列的三層交換機(jī)。兩臺6506用作匯聚層交換機(jī)，分別連接由骨干傳輸設(shè)備下來的20個(gè)GE端口，同時(shí)分別利用兩條雙千兆鏈路上連核心交換機(jī)。另外一個(gè)需要注意的問題是三臺思科設(shè)備的引擎都是低速的引擎，而作為匯聚層設(shè)備高速的交換能力是主要的選型指標(biāo)之一，因此建議將兩臺6506的交換引擎升級增加交換矩陣模塊，該交換矩陣模塊將使6506的交換能力達(dá)到256G，可以滿足高速數(shù)據(jù)交換的要求。在這個(gè)過程中只有通過借用或者租用其他同檔次的交換機(jī)替代的方式來解決問題。待割接完畢后將空閑下來的交換設(shè)備按設(shè)計(jì)方案應(yīng)用到業(yè)務(wù)網(wǎng)絡(luò)中去。關(guān)于朝陽教委新址的網(wǎng)絡(luò)接入問題，為了保證在施工過程中朝陽教委所帶的網(wǎng)絡(luò)不致中斷，待朝陽教委移至新址后，優(yōu)先鋪設(shè)一條光纖連接到教委信息中心的核心交換機(jī)上，當(dāng)工程完工后朝陽教委所帶的10于所學(xué)校通過傳送網(wǎng)的透傳直接連到信息中心，而朝陽教委到信息中心的光纖則予以保留。在此種情況下，朝陽教育信息網(wǎng)內(nèi)的所有單位均使用真實(shí)IP。在此種情況，我們設(shè)計(jì)IP地址的使用情況大致如下：接入學(xué)校約為240所，每個(gè)學(xué)校根據(jù)信息點(diǎn)數(shù)和電腦數(shù)量的不同分別可分配13個(gè)C類的地址。根據(jù)用戶需求，建議分配給每個(gè)學(xué)校的地址段中拿出25個(gè)地址作為學(xué)?？蓪ν獍l(fā)布的地址（大校前5個(gè)可用IP地址，普通學(xué)校前2個(gè)可用IP地址）。學(xué)校的其他IP地址由中心作策略一律不允許對外發(fā)布。朝陽教委預(yù)留4個(gè)C類地址（局機(jī)關(guān)辦公網(wǎng)絡(luò)）。有關(guān)“合法IP地址的問題”市教委信息中心會召開會議或者通知方式進(jìn)行說明。 路由規(guī)劃建成后的朝陽教育信息網(wǎng)的業(yè)務(wù)流量包括學(xué)校間的流量和從學(xué)校到信息中心的流量，業(yè)務(wù)流量將在信息中心落地和進(jìn)行路由交換。信息中心的匯聚層設(shè)備和核心交換設(shè)備之間啟用OSPF動(dòng)態(tài)路由協(xié)議，構(gòu)成骨干區(qū)域area 0，負(fù)責(zé)所有的路由轉(zhuǎn)發(fā)工作，這樣既可保證學(xué)校IP地址的相對固定和信息中心IP地址使用的靈活性又可實(shí)現(xiàn)路由的快速收斂。 交換設(shè)備以及計(jì)算機(jī)系統(tǒng)時(shí)間同步華為的SYNLOCK V3 BITS設(shè)備提供時(shí)間輸出接口，該接口為標(biāo)準(zhǔn)的以太網(wǎng)接口，因此我們將其作為此次時(shí)間同步方案的一級時(shí)間服務(wù)器。網(wǎng)絡(luò)中心內(nèi)所有的工作站、服務(wù)器等計(jì)算機(jī)系統(tǒng)可以大致按操作系統(tǒng)分為UNIX、LINUX操作系統(tǒng)，WINDOWS操作系統(tǒng)，對于UNIX和LINUX操作系統(tǒng)本身支持NTP協(xié)議，可以直接通過IP地址訪問時(shí)間服務(wù)器獲得時(shí)間同步，而對于WINDOWS系統(tǒng)尤其是WINDOWS 2000 和WINDOWS XP操作系統(tǒng)不提供NTP服務(wù)，因此必須配備相應(yīng)的NTP客戶端軟件來同時(shí)間服務(wù)器進(jìn)行時(shí)間同步。我們按照不同區(qū)域的安全等級，以及安全特性來規(guī)劃不同的安全防范措施。出口均設(shè)在朝陽教育信息網(wǎng)的出口網(wǎng)絡(luò)中的Cisco4003上。為保證朝陽內(nèi)部網(wǎng)絡(luò)的安全，建議在這兩條千兆鏈路上分別采用兩臺千兆防火墻，作為朝陽教育信息網(wǎng)的對外安全防護(hù)。同時(shí)在出口網(wǎng)絡(luò)與核心網(wǎng)絡(luò)的雙千兆鏈路上配備入侵檢測設(shè)備對所有進(jìn)出朝陽教育信息網(wǎng)的數(shù)據(jù)信息進(jìn)行甄別，以提防外部人員的惡意入侵和破壞，以及對不良網(wǎng)站、非法信息進(jìn)行阻隔。n 內(nèi)網(wǎng)所謂內(nèi)網(wǎng)，我們認(rèn)為可以分為接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)兩部分。l 接入網(wǎng)絡(luò)由朝陽教育信息網(wǎng)所轄的所有學(xué)校、教育機(jī)關(guān)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)內(nèi)部用戶組成。l 核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)包括：核心交換網(wǎng)、網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)中心（IDC）。2) 防拒絕服務(wù)攻擊使用防火墻來防范拒絕服務(wù)型攻擊。4) 入侵檢測系統(tǒng)專門對服務(wù)器集群進(jìn)行探測來防范并記錄非法和危險(xiǎn)的網(wǎng)絡(luò)操作。 防火墻系統(tǒng)深化設(shè)計(jì)u 防火墻分布位置方案采用六臺華為Quidway174。具體分布連接如下：1．在出口網(wǎng)絡(luò)中的Cisco4003到北京市教育信息網(wǎng)（內(nèi)網(wǎng)）的千兆鏈路上部署一臺SecPath 1000F千兆防火墻。2．在出口網(wǎng)絡(luò)中的Cisco4003到Internet的千兆鏈路上部署一臺SecPath 1000F千兆防火墻，對朝陽教育信息網(wǎng)內(nèi)網(wǎng)進(jìn)行保護(hù)。3．在出口網(wǎng)絡(luò)中的Cisco4003到朝陽區(qū)政府公用信息平臺的鏈路上設(shè)置一臺NETEYE和一臺專用NAT設(shè)備。內(nèi)網(wǎng)卡接Cisco4003，外網(wǎng)卡接NAT設(shè)備（MA5200）；專用NAT設(shè)備（MA5200）的一個(gè)千兆口接NETEYE，另一個(gè)千兆端口與傳輸設(shè)備OpCity8930相連。5．?dāng)?shù)據(jù)中心的關(guān)鍵應(yīng)用服務(wù)器區(qū)到核心交網(wǎng)的接口處設(shè)置兩臺SecPath 1000F：每臺SecPath 1000F的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺Quidway S8512連接，每臺SecPath 1000F的一塊千兆內(nèi)網(wǎng)卡連接關(guān)鍵應(yīng)用服務(wù)器區(qū)的Cisco6509，兩臺SecPath 1000F之間通過1GE端口相連，兩臺SecPath 1000F做負(fù)載分擔(dān)/冗余備份，對關(guān)鍵應(yīng)用服務(wù)器區(qū)進(jìn)行保護(hù)?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則和“由內(nèi)向外的連接基本允許，但由外向內(nèi)的訪問和連接一定要經(jīng)過審核”的策略。3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。5）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不良上網(wǎng)記錄。防火墻系統(tǒng)連接見朝陽教育信息網(wǎng)網(wǎng)絡(luò)安全連接圖。NISD_1000E的配置分布如下：1. 出口網(wǎng)絡(luò)與核心網(wǎng)之間部署一臺NISD_1000E2個(gè)GE探頭分別配置在出口網(wǎng)絡(luò)中的Cisco4003與兩臺核心交換機(jī)S8512相連的兩條千兆鏈路上。 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì)在內(nèi)網(wǎng)中采用一套先進(jìn)的《網(wǎng)絡(luò)安全性分析系統(tǒng)ISExplorer》漏洞掃描系統(tǒng)。 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì)1）在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上安裝Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理網(wǎng)絡(luò)中心不少于100臺的服務(wù)器和30臺PC機(jī)。3）安裝完Symantec AntiVirus Corporate Edition網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對本機(jī)的查殺毒。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到Symantec全球網(wǎng)站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動(dòng)將最新的升級文件分發(fā)到其它100多個(gè)服務(wù)器端和30個(gè)客戶端，并自動(dòng)對Symantec AntiVirus Corporate Edition殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。 朝陽區(qū)教育信息網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D3. 應(yīng)用服務(wù)系統(tǒng)深化設(shè)計(jì) 需求分析服務(wù)器作為整個(gè)系統(tǒng)硬件的核心，承擔(dān)了整個(gè)系統(tǒng)運(yùn)行數(shù)據(jù)的建立、存儲、查詢、操作、備份以及整個(gè)后臺應(yīng)用程序的運(yùn)行任務(wù)根據(jù)客戶的要求，從業(yè)務(wù)上我們把應(yīng)用分為數(shù)據(jù)庫服務(wù)、INTERNET應(yīng)用服務(wù)、辦公管理服務(wù)、大流量數(shù)據(jù)服務(wù)，計(jì)費(fèi)管理服務(wù)和網(wǎng)管服務(wù)等。而這些數(shù)據(jù)的特點(diǎn)是文件比較小，但是同時(shí)并發(fā)的數(shù)量眾多，這就要求服務(wù)器和存儲設(shè)備都具有高速、穩(wěn)定、高數(shù)據(jù)吞吐量的性能。Internet的快速增長使多媒體網(wǎng)絡(luò)服務(wù)器，特別是Web服務(wù)器，面對的訪問者數(shù)量快速增加，網(wǎng)絡(luò)服務(wù)器需要具備提供大量并發(fā)訪問服務(wù)的能力。 必須采用多臺服務(wù)器提供網(wǎng)絡(luò)服務(wù)，并將網(wǎng)絡(luò)請求分配給這些服務(wù)器分擔(dān)，才能提供處理大量并發(fā)服務(wù)的能力。當(dāng)使用多臺服務(wù)器來分擔(dān)負(fù)載的時(shí)候，可以按服務(wù)器的功能進(jìn)行分割，將一臺服務(wù)器用于提供靜態(tài)頁面訪問，而另一些用于提供CGI等需要大量消耗資源的動(dòng)態(tài)頁面訪問。事實(shí)上造成負(fù)載過大的頁面常常是在變化中的，如果要經(jīng)常按照負(fù)載變化來調(diào)整頁面所在的服務(wù)器，那么勢必對管理和維護(hù)造成極大的問題。 隨著業(yè)務(wù)的不斷擴(kuò)展和系統(tǒng)穩(wěn)定性要求的不斷提高，需要對現(xiàn)有的服務(wù)器進(jìn)行負(fù)載均衡。教育中心的Email服務(wù)。因此也建議采用SAN架構(gòu)。數(shù)據(jù)庫服務(wù)器將運(yùn)行SQL SERVER和ORACLE，由于該數(shù)據(jù)庫的特性，加上數(shù)據(jù)庫對數(shù)據(jù)讀寫十分頻繁，以及參考許多數(shù)據(jù)庫存儲的成功案例，SAN架構(gòu)以其成熟的技術(shù)，優(yōu)異的性能，良好的擴(kuò)展性成為了首選。大流量數(shù)據(jù)服務(wù)主要是流媒體點(diǎn)播服務(wù)。對于計(jì)費(fèi)管理服務(wù)，朝陽區(qū)教育信息中心目前采用的是兩臺SUN E250小型機(jī)。 服務(wù)器的安裝與功能分配l 數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器選用四臺IBM eServer xSeries 366。 同時(shí)，每臺服務(wù)器上將分別安裝EMC PowerPath174。如果其中一條通道發(fā)生故障，PowerPath會自動(dòng)將I/O 負(fù)荷切換到幸存的通道，并在發(fā)生故障的通道得到修復(fù)后立即恢復(fù)其使用。 SQL數(shù)據(jù)庫和Oracle數(shù)據(jù)庫勻放到兩臺EMC CX500智能光纖磁盤陣列中。基于Oracle數(shù)據(jù)庫的DBMS能方便生成適用不同業(yè)務(wù)的應(yīng)用數(shù)據(jù)庫系統(tǒng)。一臺裝WINDOWS2000操作系統(tǒng)；一臺裝LINUX操作系統(tǒng)。l INTERNET應(yīng)用服務(wù)器216。我們選用四臺IBM eServer xSeries 346 （招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格） 做一負(fù)載均衡的輪詢的集群方案，來滿足教育辦公網(wǎng)，每天所要面臨著大量的有郵件往來。但在后來系統(tǒng)的不斷升級，目前及未來所采用的都是Linux系統(tǒng)平臺。216。 在同一臺硬件、同一個(gè)操作系統(tǒng)上，運(yùn)行著為多個(gè)用戶打開的不同的服務(wù)器程序，互不干擾；而各個(gè)用戶擁有自己的一部分系統(tǒng)資源（IP地址、文件存儲空間、內(nèi)存、CPU時(shí)間等）。216。同時(shí)實(shí)