網(wǎng)絡(luò)中心深化設(shè)計(jì)方案2

1、網(wǎng)絡(luò)中心建設(shè)部分深化設(shè)計(jì)方案一.網(wǎng)絡(luò)中心深化設(shè)計(jì)31.業(yè)務(wù)網(wǎng)的深化設(shè)計(jì)31.1應(yīng)用需求分析31.2業(yè)務(wù)流量需求分析31.2.1外網(wǎng)流量需求分析31.2.2內(nèi)網(wǎng)流量需求分析31.3各功能區(qū)塊的配置與設(shè)備利舊51.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖91.5交換設(shè)備安裝與調(diào)試101.6原有網(wǎng)絡(luò)的割接111.7ip地址規(guī)劃深化設(shè)計(jì)111.8交換設(shè)備以及計(jì)算機(jī)系統(tǒng)時(shí)間同步121.9時(shí)間同步方案示意圖132.安全系統(tǒng)深化設(shè)計(jì)方案142.1安全系統(tǒng)需求分析142.2防火墻系統(tǒng)深化設(shè)計(jì)152.3網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)深化設(shè)計(jì)162.4網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì)172.5網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì)172.6朝陽(yáng)區(qū)教育信息網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D18

2、3.服務(wù)器存儲(chǔ)系統(tǒng)的深化設(shè)計(jì)193.1需求分析193.2服務(wù)器的安裝與功能分配193.3服務(wù)器集群的配置213.4存儲(chǔ)系統(tǒng)的深化設(shè)計(jì)223.5數(shù)據(jù)備份系統(tǒng)的安裝與配置243.1服務(wù)器存儲(chǔ)系統(tǒng)結(jié)構(gòu)拓?fù)鋱D25二.網(wǎng)絡(luò)中心工程的組織與實(shí)施19一. 網(wǎng)絡(luò)中心深化設(shè)計(jì)1. 業(yè)務(wù)網(wǎng)的深化設(shè)計(jì)1.1 應(yīng)用需求分析業(yè)務(wù)網(wǎng)（ip網(wǎng)）是承載于傳送網(wǎng)上的數(shù)據(jù)網(wǎng)絡(luò)，根據(jù)朝陽(yáng)區(qū)教育“校校通”工程建設(shè)的總體規(guī)劃，在傳送網(wǎng)的骨干層有五個(gè)核心節(jié)點(diǎn)，利用10g帶寬的鏈路構(gòu)建核心主干網(wǎng)絡(luò)。而業(yè)務(wù)網(wǎng)的數(shù)據(jù)中心只有一個(gè)，位于教委的信息中心，因此教委的信息中心便要承擔(dān)整個(gè)朝陽(yáng)教育信息網(wǎng)的數(shù)據(jù)分析、業(yè)務(wù)處理和安全防護(hù)的重?fù)?dān)。兼具傳送網(wǎng)的

3、骨干層核心節(jié)點(diǎn)和業(yè)務(wù)網(wǎng)數(shù)據(jù)中心為一身的教委信息中心注定成為本次業(yè)務(wù)網(wǎng)建設(shè)中的重中之重。1.2 業(yè)務(wù)流量需求分析我們根據(jù)以往校園網(wǎng)建設(shè)經(jīng)驗(yàn)，并結(jié)合本工程的具體需求首先對(duì)朝陽(yáng)教育信息網(wǎng)業(yè)務(wù)網(wǎng)的流量需求作如下分析。朝陽(yáng)教育信息網(wǎng)業(yè)務(wù)流量主要分為兩個(gè)方面：一方面為網(wǎng)絡(luò)內(nèi)部的ftp服務(wù)、vod視頻點(diǎn)播、視頻會(huì)議、資源庫(kù)調(diào)用、遠(yuǎn)程教學(xué)、內(nèi)部監(jiān)控、內(nèi)部公文傳遞等業(yè)務(wù)應(yīng)用，這是相對(duì)主要的業(yè)務(wù)流量。另一方面，internet互聯(lián)網(wǎng)出口的瀏覽查詢應(yīng)用，與區(qū)信息平臺(tái)的公文傳遞應(yīng)用這是相對(duì)次要的業(yè)務(wù)流量。1.2.1 外網(wǎng)流量需求分析針對(duì)上述需求，我們首先分析處于次要地位的互聯(lián)網(wǎng)瀏覽、上傳下載數(shù)據(jù)以及電子郵件等業(yè)務(wù)的流

4、量。建設(shè)internet出口目的是為網(wǎng)絡(luò)用戶提供必要的互聯(lián)網(wǎng)瀏覽和查詢功能，出現(xiàn)大容量的數(shù)據(jù)上傳、下載的機(jī)會(huì)相對(duì)較少，因此根據(jù)以往的經(jīng)驗(yàn)，通過100m帶寬連接internet就可以滿足需要。朝陽(yáng)教委與區(qū)政府的公共信息平臺(tái)之間的流量主要是些日常的公文傳遞，不會(huì)占用大量的帶寬，所以在區(qū)公共信息平臺(tái)出口上的流量也不會(huì)太大。1.2.2 內(nèi)網(wǎng)流量需求分析目前朝陽(yáng)區(qū)教育信息網(wǎng)上的應(yīng)用大致分為：網(wǎng)站發(fā)布、社會(huì)教育及學(xué)校及學(xué)生家長(zhǎng)溝通、ftp服務(wù)、系統(tǒng)內(nèi)部的電子郵件、教育管理信息庫(kù)cmis、ic卡應(yīng)用系統(tǒng)、網(wǎng)絡(luò)視頻會(huì)議、網(wǎng)絡(luò)視頻教學(xué)系統(tǒng)、ip電話應(yīng)用（voip）、視頻點(diǎn)播、資源庫(kù)調(diào)用等應(yīng)用，我們對(duì)以上流量進(jìn)行

5、分析，將這些流量按照學(xué)校局域網(wǎng)內(nèi)部流量、通過教委數(shù)據(jù)中心的流量、校間流量來(lái)分類。其中學(xué)校局域網(wǎng)內(nèi)部流量不影響整個(gè)數(shù)據(jù)平臺(tái)的流量，不予以分析現(xiàn)有的應(yīng)用中，以一個(gè)標(biāo)準(zhǔn)學(xué)校為例，將每個(gè)應(yīng)用的流量分布情況分析如下：現(xiàn)有應(yīng)用通過教委的流量校間流量網(wǎng)站發(fā)布/社會(huì)教育及學(xué)校及學(xué)生家長(zhǎng)溝通有無(wú)教委ftp服務(wù)有無(wú)系統(tǒng)內(nèi)部的電子郵件系統(tǒng)有無(wú)vod視頻點(diǎn)播有無(wú)教育管理信息庫(kù)cmis有無(wú)ic卡應(yīng)用系統(tǒng)有無(wú)網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)有有教委的視頻點(diǎn)播系統(tǒng)有無(wú)ip電話系統(tǒng)有有教委的資源庫(kù)應(yīng)用系統(tǒng)有無(wú)從上表分析，我們可以看出在朝陽(yáng)區(qū)教育信息網(wǎng)中，對(duì)于整個(gè)網(wǎng)絡(luò)而言，絕大部分的數(shù)據(jù)流量都集中在學(xué)校與教委之間。因此這是一個(gè)典型的業(yè)務(wù)集中型

6、網(wǎng)絡(luò)結(jié)構(gòu)。根據(jù)上述的業(yè)務(wù)分析，我們提出將業(yè)務(wù)網(wǎng)（ip網(wǎng)）進(jìn)行簡(jiǎn)化，由傳統(tǒng)的三層網(wǎng)絡(luò)結(jié)構(gòu)簡(jiǎn)化為以教委信息中心核心網(wǎng)絡(luò)為骨干層、其余接入單位統(tǒng)一劃入接入層范疇的二層結(jié)構(gòu)。之所以采取這樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要基于如下考慮，現(xiàn)有的朝陽(yáng)區(qū)教育系統(tǒng)的主要業(yè)務(wù)應(yīng)用情況和接入平臺(tái)（mstp接入）的實(shí)際情況很符合二層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，二、三層組網(wǎng)都是很典型的組網(wǎng)應(yīng)用，而目前網(wǎng)絡(luò)結(jié)構(gòu)更有扁平化的趨勢(shì)，因?yàn)槎泳W(wǎng)絡(luò)具備易管理、易控制、性能高（因?yàn)樯倭艘粚釉O(shè)備）等優(yōu)點(diǎn)。 在這樣的網(wǎng)路結(jié)構(gòu)中，骨干層設(shè)備負(fù)責(zé)完成網(wǎng)絡(luò)各接入節(jié)點(diǎn)之間的互聯(lián)，完成高效的數(shù)據(jù)傳輸、交換及路由分發(fā)。提供流量控制和用戶管理等多項(xiàng)功能，提高整個(gè)網(wǎng)絡(luò)的可靠性

7、和擴(kuò)展性。接入層設(shè)備提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)通過mstp傳輸網(wǎng)絡(luò)上傳到骨干層設(shè)備中，完成基本的業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功作。這樣的結(jié)構(gòu)主要便于集中管理和維護(hù)，所有學(xué)校的網(wǎng)上行為都將在教委信息中心有效的管理之下，同時(shí)將故障點(diǎn)集中在教委信息中心，當(dāng)出現(xiàn)單點(diǎn)故障時(shí)可以就近解決問題。當(dāng)然扁平的二層結(jié)構(gòu)對(duì)核心交換機(jī)的性能要求很高，因此必須保證核心交換機(jī)安全可靠的運(yùn)行。作為朝陽(yáng)區(qū)教委的核心設(shè)備85是一款高端的交換設(shè)備，交換容量720g（s8512），支持vlan4k個(gè)，acl條目數(shù)4k條，在性能上完全可以滿足實(shí)際需求。綜上所述扁平的二層網(wǎng)絡(luò)最突出的優(yōu)點(diǎn)是簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，方便管理和維護(hù)，以及節(jié)

8、約寶貴的項(xiàng)目資金。核心層設(shè)備根據(jù)需求應(yīng)滿足萬(wàn)兆級(jí)速率的連接，同時(shí)應(yīng)該具備大容量的包吞吐率，支持大密度大容量接口，為了實(shí)現(xiàn)最高的可靠性，應(yīng)提供兩臺(tái)核心路由交換機(jī)互為冗余備份，對(duì)于關(guān)鍵的板卡比如核心引擎以及供電電源也采用雙板卡冗余。而接入層設(shè)備可根據(jù)校園網(wǎng)建設(shè)的實(shí)際情況分為三層交換機(jī)和二層交換機(jī)，對(duì)于有三層交換機(jī)的學(xué)校可以啟動(dòng)三層路由功能，將網(wǎng)絡(luò)風(fēng)暴控制在學(xué)校內(nèi)部，而通過靜態(tài)路由訪問骨干層，對(duì)于擁有二層交換機(jī)的學(xué)校，據(jù)我們調(diào)研學(xué)校并不多，可考慮更換三層設(shè)備，或者將這些學(xué)校單獨(dú)劃分為不同的vlan以實(shí)現(xiàn)隔絕網(wǎng)絡(luò)風(fēng)暴的功能。1.3 各功能區(qū)塊的配置與設(shè)備利舊網(wǎng)絡(luò)中心按照功能劃分為若干區(qū)塊，即出口網(wǎng)絡(luò)區(qū)

9、塊、主核心交換區(qū)塊、關(guān)鍵應(yīng)用服務(wù)器區(qū)塊、大流量數(shù)據(jù)應(yīng)用服務(wù)器區(qū)塊、網(wǎng)管網(wǎng)絡(luò)區(qū)塊、接口網(wǎng)絡(luò)區(qū)塊等。出口網(wǎng)絡(luò)區(qū)塊：朝陽(yáng)區(qū)教育信息網(wǎng)的出口有兩個(gè)：即北京市教育信息網(wǎng)和朝陽(yáng)區(qū)政府公用信息平臺(tái)。主要出口為北京市教育信息網(wǎng)，輔助和備份出口為朝陽(yáng)區(qū)政府公用信息平臺(tái)出口（即連接到朝陽(yáng)區(qū)信息辦的鏈路）。兩個(gè)出口均連接到出口網(wǎng)絡(luò)中的利舊設(shè)備cisco6506交換機(jī)上（網(wǎng)絡(luò)割接之前可用性能相近交換機(jī)替代）。具體出口連接說(shuō)明如下：一、 北京市教育信息網(wǎng)出口1、朝陽(yáng)區(qū)教育信息網(wǎng)到北京市教育信息網(wǎng)總共一條物理鏈路，市教委會(huì)放置兩臺(tái)設(shè)備在朝陽(yáng)中心，cisco 7609sup720cisco catalyst 4506 su

10、p v ，朝陽(yáng)上聯(lián)的設(shè)備為cisco7609 sup720，具體端口1000base-sx和1000base-t都可以，但只有一個(gè)接口，不分內(nèi)網(wǎng)和internet端口。2、內(nèi)網(wǎng)流量和internet出口流量通過上述的統(tǒng)一線路和端口進(jìn)行傳遞，internet流量的質(zhì)量由市教委統(tǒng)一的帶寬管理設(shè)備進(jìn)行管理，從而保證朝陽(yáng)區(qū)的internet帶寬需求。3、朝陽(yáng)出口設(shè)備不需要進(jìn)行nat。為保證朝陽(yáng)內(nèi)部網(wǎng)絡(luò)和大網(wǎng)應(yīng)用的兼容性，建議不采用防火墻放置在總出口上。二、 朝陽(yáng)區(qū)政府公用信息平臺(tái)由朝陽(yáng)區(qū)政府下來(lái)的鏈路機(jī)為了安全保證，在接入cisco6506之前放置專用nat（ma5200）設(shè)備及千兆防火墻，以起到安全

11、防護(hù)和地址轉(zhuǎn)換的功能。主核心交換區(qū)塊拓?fù)洌河蓛膳_(tái)核心交換機(jī)s8512組成，兩臺(tái)核心路由交換機(jī)之間建立兩條10g鏈路，通過link-aggregation將兩個(gè)端口聚合為一個(gè)邏輯端口。聚合端口通過流量配置算法支持端口流量自動(dòng)均衡保護(hù)，使所屬物理通道流量基本均衡。主核心交換區(qū)塊負(fù)責(zé)整個(gè)業(yè)務(wù)網(wǎng)的數(shù)據(jù)交換、路由轉(zhuǎn)發(fā)工作，因此在信息中心配置兩臺(tái)核心骨干交換機(jī)作為網(wǎng)絡(luò)中心數(shù)據(jù)的骨干交換設(shè)備，我們可以將其比喻為業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)中心的心臟，為了保障網(wǎng)絡(luò)中心核心設(shè)備的正常運(yùn)行，將通過采取主設(shè)備雙機(jī)冗余，增加防火墻等措施來(lái)提高它的高可靠性和高安全性。教育信息網(wǎng)傳送網(wǎng)的核心層的其余節(jié)點(diǎn)不再安排核心交換設(shè)備，這相當(dāng)于在業(yè)務(wù)

12、網(wǎng)（ip網(wǎng)）的核心層只建設(shè)（保留）一個(gè)核心節(jié)點(diǎn)即教委信息中心。這樣一來(lái)，接入層及匯聚層節(jié)點(diǎn)通過mstp傳送網(wǎng)把各個(gè)學(xué)校的ip數(shù)據(jù)直接透?jìng)鞯胶诵膶拥暮诵慕粨Q機(jī)，減少了各學(xué)校數(shù)據(jù)在核心層的傳送環(huán)節(jié)，提高了傳輸速度和交換時(shí)間，同時(shí)也可以在教委核心的交換機(jī)上統(tǒng)一做內(nèi)部路由和出口。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊：主要由san網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)備份系統(tǒng)和服務(wù)器集群系統(tǒng)組成，在原投標(biāo)方案中我們建議利用教委已有的cisco6509充當(dāng)該區(qū)塊的主交換機(jī)，由于該cisco6509現(xiàn)正在負(fù)責(zé)連接30多所學(xué)校的上網(wǎng)業(yè)務(wù)，所以在工程實(shí)施過程中可以租用或借用其他同級(jí)別的交換機(jī)代替。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊通過本區(qū)塊的主交換機(jī)利用兩條千兆鏈路上連

13、主核心交換區(qū)塊，以起到鏈路冗余備份的功能，提高網(wǎng)絡(luò)的可靠性。該區(qū)塊的功能和配置將在服務(wù)器存儲(chǔ)設(shè)備的實(shí)施章節(jié)有詳細(xì)描述。網(wǎng)管網(wǎng)絡(luò)區(qū)塊：主要負(fù)責(zé)整個(gè)網(wǎng)絡(luò)的管理和監(jiān)護(hù)，它采用帶外管理與帶內(nèi)管理混合的模式，通常帶內(nèi)管理組網(wǎng)比較簡(jiǎn)單、靈活，但卻要占用承載業(yè)務(wù)流量的帶寬。帶外管理不占用承載業(yè)務(wù)的帶寬，網(wǎng)管網(wǎng)絡(luò)和其他網(wǎng)絡(luò)設(shè)備之間獨(dú)立成網(wǎng)，該區(qū)塊的主交換機(jī)由教委現(xiàn)有的cisco6506擔(dān)當(dāng)，（因?yàn)橥瑯拥脑蛟摻粨Q機(jī)正在使用中，所以也必須考慮替代問題。）而主要網(wǎng)管軟件采用華為3com的imanager quidview網(wǎng)管系統(tǒng)進(jìn)行網(wǎng)絡(luò)管理，對(duì)于網(wǎng)絡(luò)中心的其他網(wǎng)管子系統(tǒng)如：傳輸設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理、數(shù)字同步網(wǎng)管

14、理、入侵檢測(cè)子系統(tǒng)、網(wǎng)絡(luò)防病毒子系統(tǒng)、漏洞掃描子系統(tǒng)、時(shí)間同步子系統(tǒng)等，分別采用其各自的管理軟件進(jìn)行全網(wǎng)相應(yīng)的管理。非華為公司的設(shè)備如cisco6509等設(shè)備可由cisco自帶的works2000網(wǎng)管軟件管理，對(duì)于整個(gè)業(yè)務(wù)網(wǎng)的狀態(tài)監(jiān)控、流量分析可采用一些不區(qū)分設(shè)備類型的基礎(chǔ)網(wǎng)管軟件，如sniffer等來(lái)監(jiān)控。網(wǎng)管系統(tǒng)中的網(wǎng)絡(luò)設(shè)備管理子系統(tǒng)將實(shí)時(shí)監(jiān)控整個(gè)網(wǎng)絡(luò)中心的設(shè)備以及網(wǎng)絡(luò)狀況，可在第一時(shí)間檢測(cè)到故障。并發(fā)出報(bào)警訊息，便于網(wǎng)管人員快速準(zhǔn)確的排除故障。接口網(wǎng)絡(luò)區(qū)塊負(fù)責(zé)網(wǎng)絡(luò)中心的核心數(shù)據(jù)交換設(shè)備與傳送網(wǎng)的mstp設(shè)備相連，擔(dān)負(fù)著傳送網(wǎng)上的數(shù)據(jù)業(yè)務(wù)落地的重任。該區(qū)塊主要設(shè)備為傳送網(wǎng)的mstp設(shè)備op

15、city 8930，它通過20條千兆光纖鏈路分別與兩臺(tái)核心交換機(jī)相連。根據(jù)交流，甲方提出要在學(xué)校上連教委信息中心的網(wǎng)絡(luò)帶寬中預(yù)留2m的安全監(jiān)控端口，和10m的考試監(jiān)控端口以及相應(yīng)的視頻帶寬，這些需要在傳送網(wǎng)技術(shù)方面做相應(yīng)的時(shí)隙劃分、和端口預(yù)留等工作我們將在傳送網(wǎng)深化設(shè)計(jì)方案中給予具體描述。大流量應(yīng)用服務(wù)器負(fù)責(zé)提供應(yīng)用教學(xué)資源，該區(qū)塊由若干服務(wù)器集群組成，這些服務(wù)器集群分別通過兩條千兆光纖或者電口鏈路直接與核心交換機(jī)相連。以起到鏈路冗余備份的功能提高網(wǎng)絡(luò)的可靠性。1.4 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(注：本網(wǎng)絡(luò)拓?fù)鋱D僅為結(jié)構(gòu)示意圖，具體設(shè)備和連接方式以實(shí)際情況為準(zhǔn)。)1.5 交換設(shè)備安裝與調(diào)試n 核心路由交換

16、機(jī)1、 網(wǎng)絡(luò)中心采用了兩臺(tái)s8512作為核心路由交換機(jī)，同時(shí)通過在兩臺(tái)核心路由交換機(jī)上運(yùn)行vrrp協(xié)議來(lái)為服務(wù)器區(qū)、網(wǎng)絡(luò)核心各個(gè)子網(wǎng)提供一個(gè)唯一的默認(rèn)網(wǎng)關(guān)。當(dāng)任何一臺(tái)核心路由交換機(jī)發(fā)生故障時(shí)，通過vrrp協(xié)議，另一臺(tái)核心路由交換機(jī)立即接管所有的工作。vrrp協(xié)議是一個(gè)熱備份路由協(xié)議，應(yīng)用于雙機(jī)熱備，其工作原理為：vrrp協(xié)議將系統(tǒng)中兩臺(tái)路由交換機(jī)組成vrrp組，該組擁有一個(gè)虛擬缺省網(wǎng)關(guān)地址。在任何時(shí)刻，一個(gè)組內(nèi)只有控制虛擬網(wǎng)關(guān)地址的路由交換機(jī)是活動(dòng)的（master），并由它來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動(dòng)路由交換機(jī)發(fā)生了故障，將選擇另一個(gè)優(yōu)先權(quán)較低的冗余備份路由交換機(jī)（backup）來(lái)替代活動(dòng)路由交換機(jī)

17、。由于網(wǎng)絡(luò)內(nèi)的終端配置的是vrrp虛擬網(wǎng)關(guān)地址，因此在它們看來(lái)，虛擬路由交換機(jī)沒有改變。所以主機(jī)仍然保持連接，沒有受到網(wǎng)絡(luò)中單點(diǎn)故障的影響，這樣就較好地解決了路由交換機(jī)切換的問題。2、 利用mstp生成樹技術(shù)，不但可以避免網(wǎng)絡(luò)中的環(huán)路產(chǎn)生，還可以在網(wǎng)絡(luò)中實(shí)現(xiàn)流量的負(fù)載均衡，首先根據(jù)流量應(yīng)用、業(yè)務(wù)主次、部門功能劃分不同的vlan，然后根據(jù)流量將不同的vlan指定不同的轉(zhuǎn)發(fā)主網(wǎng)橋和備份鏈路從網(wǎng)橋，從而實(shí)現(xiàn)將數(shù)據(jù)流量平均負(fù)擔(dān)在兩臺(tái)核心骨干交換機(jī)上。3、 在對(duì)主機(jī)進(jìn)行熱備的同時(shí)，還對(duì)s85主要的路由處理板卡進(jìn)行冗余備份。即在每一臺(tái)s85上安裝兩塊路由處理板卡，一塊處于運(yùn)行狀態(tài)，一塊處于伺服狀態(tài)，一旦主

18、板卡出現(xiàn)故障，伺服板卡可以無(wú)縫的接管數(shù)據(jù)處理任務(wù)，電源配備上也按照高可靠性要求在每臺(tái)s85上安裝兩塊電源。4、 每臺(tái)s85配置了兩塊24口千兆電口板卡，和一塊24口千兆光口板卡，以保證網(wǎng)絡(luò)中心高密度的連接，并提供數(shù)據(jù)高速的傳播和交換能力。5、 每臺(tái)s85通過10個(gè)ge光纖多模接口和傳送網(wǎng)的mstp設(shè)備的10個(gè)ge多模端口相連。6、 核心網(wǎng)絡(luò)設(shè)備的其余千兆電口和千兆多模光口用于連接其余功能區(qū)塊的主交換機(jī)和服務(wù)器或者防火墻等設(shè)備。n 各功能區(qū)塊交換機(jī)這部分交換機(jī)主要是三臺(tái)千兆的多層交換機(jī)cisco6500系列或者是與其同檔次（也可低一檔次）的其他型號(hào)的三層千兆交換機(jī)。這些交換機(jī)主要是提供高密度的千

19、兆端口和起到網(wǎng)絡(luò)的物理隔離功能。因此需要在這些交換機(jī)上根據(jù)實(shí)際情況增加相應(yīng)的千兆板卡和模塊，同時(shí)劃分相應(yīng)的vlan。每一個(gè)功能區(qū)塊交換機(jī)都要通過兩條千兆光纖鏈路上連主核心交換機(jī)，所以要在這些交換機(jī)上啟用生成樹stp等功能以避免網(wǎng)絡(luò)環(huán)路的產(chǎn)生。n 接入層交換機(jī) 接入層交換機(jī)主要是啟動(dòng)設(shè)備的三層路由功能，定義默認(rèn)網(wǎng)關(guān)指向骨干層核心設(shè)備。1.6 原有網(wǎng)絡(luò)的割接教委信息中心正在負(fù)責(zé)30余所學(xué)校的internet接入工作，在本次工程的施工過程中要求這30余所學(xué)校的網(wǎng)絡(luò)不得中斷，因此負(fù)責(zé)該30余所學(xué)校網(wǎng)絡(luò)連通的設(shè)備如cisco6509等交換機(jī)不能另做他用，我們前文已經(jīng)提到可以借用或者租用其他同檔次的交換機(jī)

20、替代。因在本次工程中這30余所學(xué)校都是區(qū)域網(wǎng)絡(luò)中的一個(gè)節(jié)點(diǎn)，所以在施工過程中對(duì)這些學(xué)校按原計(jì)劃進(jìn)行，當(dāng)工程完工后再將這30余所學(xué)校的鏈路割接到朝陽(yáng)區(qū)教育信息網(wǎng)中，其交換設(shè)備同樣按原計(jì)劃應(yīng)用到上節(jié)提到的各功能區(qū)塊中去。這樣即保證原有的網(wǎng)絡(luò)不會(huì)中斷，又最大限度的保護(hù)了前期投資節(jié)約了成本。1.7 ip地址規(guī)劃深化設(shè)計(jì)鑒于建成后的朝陽(yáng)教育信息網(wǎng)的業(yè)務(wù)流量是從學(xué)校到網(wǎng)絡(luò)中心的這一典型的業(yè)務(wù)集中式網(wǎng)絡(luò)，每個(gè)接入單位都有三層交換設(shè)備，因此可以將廣播域控制在接入單位內(nèi)部，為每個(gè)接入單位分配連續(xù)的地址網(wǎng)段，以靜態(tài)路由的方式指向網(wǎng)絡(luò)中心。朝陽(yáng)教育信息網(wǎng)所使用的ip地址由北京市教育信息網(wǎng)統(tǒng)一進(jìn)行分配，由于尚未最終確

21、定分配給朝陽(yáng)教育信息網(wǎng)的ip地址，我們?cè)谏罨O(shè)計(jì)中給出兩種預(yù)留設(shè)計(jì)：一、 北京市教育信息網(wǎng)分配給朝陽(yáng)教育信息網(wǎng)的ip地址全部為真實(shí)ip。在此種情況下，朝陽(yáng)教育信息網(wǎng)內(nèi)的所有單位均使用真實(shí)ip。包括朝陽(yáng)教育信息中心，朝陽(yáng)教委及所有接入學(xué)校，每臺(tái)上網(wǎng)的設(shè)備均使用真實(shí)ip，使得所有的連網(wǎng)設(shè)備都具有可溯性。在此種情況，我們預(yù)計(jì)北京市教育信息網(wǎng)應(yīng)至少分配給朝陽(yáng)教育信息網(wǎng)1個(gè)完整的b類地址，使用情況大致可預(yù)計(jì)如下：1、接入學(xué)校約為240所，每個(gè)學(xué)校根據(jù)信息點(diǎn)數(shù)和電腦數(shù)量的不同分別可分配1-3個(gè)c類的地址。點(diǎn)數(shù)少的學(xué)校可把一個(gè)c類地址分成多個(gè)子網(wǎng)給多個(gè)學(xué)校，點(diǎn)數(shù)及上網(wǎng)電腦多的學(xué)校可分配多個(gè)c類地址，這樣平均

22、下來(lái)，我們預(yù)計(jì)絕大多數(shù)學(xué)校使用一個(gè)c類地址（254個(gè)可用地址）即夠用。2、信息中心預(yù)留10個(gè)c類地址（包括辦公及各類服務(wù)器，所有的服務(wù)器均使用真實(shí)ip，無(wú)須再做nat）3、朝陽(yáng)教委預(yù)留4個(gè)c類地址（局機(jī)關(guān)辦公網(wǎng)絡(luò)）二、 北京市教育信息網(wǎng)分配給朝陽(yáng)教育信息網(wǎng)的ip地址部分為真實(shí)ip，而區(qū)公共信息平臺(tái)分配與朝陽(yáng)教育信息網(wǎng)的地址是私有地址。在此種情況下，可以通過區(qū)公共信息平臺(tái)鏈路上的nat地址轉(zhuǎn)換設(shè)備將需要與區(qū)公共信息平臺(tái)傳送數(shù)據(jù)的用戶的真實(shí)ip轉(zhuǎn)換為區(qū)公共信息平臺(tái)分配的私有地址。1.8 交換設(shè)備以及計(jì)算機(jī)系統(tǒng)時(shí)間同步1、 華為的synlock v3 bits設(shè)備提供時(shí)間輸出接口，該接口為標(biāo)準(zhǔn)的以太

23、網(wǎng)接口，因此我們將其作為此次時(shí)間同步方案的一級(jí)時(shí)間服務(wù)器。2、 在網(wǎng)管網(wǎng)絡(luò)中設(shè)置一臺(tái)服務(wù)器，作為網(wǎng)絡(luò)中心的二級(jí)時(shí)間服務(wù)器，該服務(wù)器配置兩塊網(wǎng)卡，通過兩條鏈路分別連接一級(jí)時(shí)間服務(wù)器synlock v3的時(shí)間輸出接口，和網(wǎng)管網(wǎng)絡(luò)交換機(jī)cisco6506，為該二級(jí)時(shí)間服務(wù)器設(shè)定相應(yīng)的ip地址，網(wǎng)絡(luò)中心的核心骨干交換機(jī)s8512和其他利舊的思科交換機(jī)都支持時(shí)間同步協(xié)議ntp，因此利用以太網(wǎng)絡(luò)，只要可以訪問二級(jí)時(shí)間服務(wù)器的ip地址，即可以得到時(shí)間同步信息，并將其傳送到其他網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)系統(tǒng)中。3、 網(wǎng)絡(luò)中心內(nèi)所有的工作站、服務(wù)器等計(jì)算機(jī)系統(tǒng)可以大致按操作系統(tǒng)分為unix、linux操作系統(tǒng)，windo

24、ws操作系統(tǒng)，對(duì)于unix和linux操作系統(tǒng)本身支持ntp協(xié)議，可以直接通過ip地址訪問時(shí)間服務(wù)器獲得時(shí)間同步，而對(duì)于windows系統(tǒng)尤其是windows 2000 和windows xp操作系統(tǒng)不提供ntp服務(wù)，因此必須配備相應(yīng)的ntp客戶端軟件來(lái)同時(shí)間服務(wù)器進(jìn)行時(shí)間同步。1.9 時(shí)間同步方案示意圖2. 安全系統(tǒng)深化設(shè)計(jì)方案2.1 安全系統(tǒng)需求分析朝陽(yáng)區(qū)教育信息網(wǎng)按功能和防護(hù)區(qū)域可劃分為：外網(wǎng)和內(nèi)網(wǎng)。我們按照不同區(qū)域的安全等級(jí)，以及安全特性來(lái)規(guī)劃不同的安全防范措施。n 外網(wǎng)所謂外網(wǎng)，我們將其分為兩部分，一部分指的是上聯(lián)到北京教育信息網(wǎng)（內(nèi)網(wǎng)）和通過北京教育信息網(wǎng)上連到國(guó)際互聯(lián)網(wǎng)（inte

25、rnet），另一部分是指連接到朝陽(yáng)區(qū)政府公用信息平臺(tái)。出口均設(shè)在朝陽(yáng)教育信息網(wǎng)的出口網(wǎng)絡(luò)中的cisco6506上。出口網(wǎng)絡(luò)是朝陽(yáng)教育信息網(wǎng)同外部網(wǎng)絡(luò)的唯一接口，與核心網(wǎng)絡(luò)是雙千兆鏈路連接。由于業(yè)務(wù)的隸屬關(guān)系，及為保證朝陽(yáng)內(nèi)部網(wǎng)絡(luò)與大網(wǎng)應(yīng)用的兼容性，建議在與北京市教育信息網(wǎng)連接的鏈路上不采用防火墻，但在其它出口（朝陽(yáng)區(qū)政府公用信息平臺(tái)）和internet服務(wù)器區(qū)部署千兆級(jí)防火墻來(lái)提供安全機(jī)制。同時(shí)在出口網(wǎng)絡(luò)與核心網(wǎng)絡(luò)的雙千兆鏈路上配備入侵檢測(cè)設(shè)備對(duì)進(jìn)出的數(shù)據(jù)信息進(jìn)行甄別，以提防外部人員的惡意入侵和破壞，以及對(duì)不良網(wǎng)站、非法信息進(jìn)行阻隔。n 內(nèi)網(wǎng)所謂內(nèi)網(wǎng)，我們認(rèn)為可以分為接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)兩部分。

26、l 接入網(wǎng)絡(luò)由朝陽(yáng)教育信息網(wǎng)所轄的所有學(xué)校、教育機(jī)關(guān)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)內(nèi)部用戶組成。對(duì)于接入網(wǎng)絡(luò)其安全防護(hù)由朝陽(yáng)教育信息網(wǎng)的中心機(jī)房統(tǒng)一部署管理，每一個(gè)學(xué)?；蛴脩舴峙洳煌W(wǎng)段的ip地址，在核心節(jié)點(diǎn)處的多層交換機(jī)上利用vlan技術(shù)和acl 對(duì)這些不同子網(wǎng)進(jìn)行策略路由，以達(dá)到最理想的網(wǎng)絡(luò)安全。l 核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)包括：核心交換網(wǎng)、網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)中心（idc）。核心網(wǎng)絡(luò)是整個(gè)朝陽(yáng)教育信息網(wǎng)的數(shù)據(jù)中心、資源中心、和管理中心可謂是心臟部位，它的安全系統(tǒng)應(yīng)從以下幾方面著手設(shè)計(jì)：1) 防火墻防范來(lái)自外部和內(nèi)部的網(wǎng)絡(luò)攻擊和破壞。2) 防拒絕服務(wù)攻擊使用防火墻來(lái)防范拒絕服務(wù)型攻擊。3) 漏洞掃描系統(tǒng)時(shí)刻監(jiān)控網(wǎng)絡(luò)以及

27、服務(wù)器的安全漏洞。4) 入侵檢測(cè)系統(tǒng)專門對(duì)服務(wù)器集群進(jìn)行探測(cè)來(lái)防范并記錄非法和危險(xiǎn)的網(wǎng)絡(luò)操作。5) 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)置總的網(wǎng)絡(luò)防病毒服務(wù)器負(fù)責(zé)整個(gè)控制中心和下屬網(wǎng)絡(luò)的防病毒工作。2.2 防火墻系統(tǒng)深化設(shè)計(jì)u 防火墻分布位置方案采用六臺(tái)華為quidway secpath 1000f 防火墻，配置在朝陽(yáng)教育信息網(wǎng)網(wǎng)絡(luò)中心的四個(gè)邏輯地點(diǎn)，構(gòu)成整個(gè)業(yè)務(wù)網(wǎng)絡(luò)的防火墻系統(tǒng)。具體分布連接如下：1我們?cè)趇nternet服務(wù)器區(qū)與外網(wǎng)之間部署一臺(tái)secpath 1000f千兆防火墻，其中www、mail、ftp、dns等對(duì)外服務(wù)器連接在防火墻的dmz區(qū)；外網(wǎng)卡連接出口網(wǎng)絡(luò)中的cisco6506，與interne

28、t連接。2在出口網(wǎng)絡(luò)中的cisco6506到朝陽(yáng)區(qū)政府公用信息平臺(tái)的鏈路上設(shè)置一臺(tái)secpath 1000f和一臺(tái)專用nat設(shè)備。具體連接： secpath 1000f放置在出口網(wǎng)絡(luò)的cisco6506到朝陽(yáng)區(qū)政府公用信息平臺(tái)的傳輸設(shè)備的鏈路上。內(nèi)網(wǎng)卡接cisco6506，外網(wǎng)卡接nat設(shè)備（ma5200）；專用nat設(shè)備（ma5200）的一個(gè)千兆口接secpath 1000f，另一端與傳輸設(shè)備相連。3網(wǎng)管網(wǎng)絡(luò)到核心網(wǎng)的接口處設(shè)置兩臺(tái)secpath 1000f：每臺(tái)secpath 1000f的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺(tái)quidway s8512相連，每臺(tái)secpath 1000f的千兆內(nèi)網(wǎng)卡

29、連接到網(wǎng)管網(wǎng)絡(luò)的cisco6506，兩臺(tái)secpath 1000f之間通過1ge端口相連，兩臺(tái)secpath 1000f做負(fù)載分擔(dān)/冗余備份，對(duì)網(wǎng)管網(wǎng)絡(luò)進(jìn)行保護(hù)。4數(shù)據(jù)中心的關(guān)鍵應(yīng)用服務(wù)器區(qū)到核心交網(wǎng)的接口處設(shè)置兩臺(tái)secpath 1000f：每臺(tái)secpath 1000f的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺(tái)quidway s8512連接，每臺(tái)secpath 1000f的一塊千兆內(nèi)網(wǎng)卡連接關(guān)鍵應(yīng)用服務(wù)器區(qū)的cisco6509，兩臺(tái)secpath 1000f之間通過1ge端口相連，兩臺(tái)secpath 1000f做負(fù)載分擔(dān)/冗余備份，對(duì)關(guān)鍵應(yīng)用服務(wù)器區(qū)進(jìn)行保護(hù)。u 防火墻配置在防火墻設(shè)置上我們按照以下原

30、則配置來(lái)提高網(wǎng)絡(luò)安全性：1）根據(jù)總體安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核ip數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來(lái)自公網(wǎng)對(duì)內(nèi)網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的ip包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法ip地址離開內(nèi)部網(wǎng)絡(luò)的ip包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對(duì)外攻擊。3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的ip地址和mac地址的對(duì)應(yīng)表，防止ip地址被盜用。4）在防火墻上進(jìn)行防拒絕服務(wù)攻擊（dosddos）配置。5）定期查看防火墻訪問日志，及時(shí)發(fā)現(xiàn)攻擊行為和不

31、良上網(wǎng)記錄。通過對(duì)以上四個(gè)地點(diǎn)配置防火墻，并在網(wǎng)管網(wǎng)絡(luò)中安裝一臺(tái)防火墻集中管理服務(wù)器，對(duì)處于不同子網(wǎng)中的多個(gè)防火墻進(jìn)行集中管理和配置，就組成了朝陽(yáng)教育信息網(wǎng)的防火墻系統(tǒng)，構(gòu)成了整個(gè)朝陽(yáng)教育信息網(wǎng)安全防護(hù)的第一道屏障。防火墻系統(tǒng)連接見朝陽(yáng)教育信息網(wǎng)網(wǎng)絡(luò)安全連接圖。2.3 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)深化設(shè)計(jì)每臺(tái)nisd_1000e配置2個(gè)1000base-t標(biāo)準(zhǔn)監(jiān)控接口，控制中心設(shè)在網(wǎng)管網(wǎng)絡(luò)中的一臺(tái)服務(wù)器上。nisd_1000e的配置分布如下：1. 出口網(wǎng)絡(luò)與核心網(wǎng)之間部署一臺(tái)nisd_1000e2個(gè)ge探頭分別配置在出口網(wǎng)絡(luò)中的cisco6506與兩臺(tái)核心交換機(jī)s8512相連的兩條千兆鏈路上。2. 關(guān)鍵應(yīng)

32、用服務(wù)器區(qū)與核心網(wǎng)之間部署一臺(tái)nisd_1000e2個(gè)ge探頭分別配置在關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)絡(luò)之間的兩臺(tái)防火墻后面。2.4 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì)在內(nèi)網(wǎng)中采用一套先進(jìn)的網(wǎng)絡(luò)安全性分析系統(tǒng)isexplorer漏洞掃描系統(tǒng)。網(wǎng)絡(luò)安全性分析系統(tǒng)isexplorer可安裝在一臺(tái)筆記本電腦上，定期對(duì)不同網(wǎng)段的工作站、服務(wù)器、交換機(jī)等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。2.5 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì)1）在網(wǎng)管網(wǎng)絡(luò)中的一臺(tái)服務(wù)器上安裝symantec antivirus corporate edition網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心，負(fù)

33、責(zé)管理網(wǎng)絡(luò)中心不少于100臺(tái)的服務(wù)器和30臺(tái)pc機(jī)。2）在網(wǎng)絡(luò)中心的主機(jī)上安裝symantec antivirus corporate edition網(wǎng)絡(luò)版的服務(wù)器端和客戶端。3）安裝完symantec antivirus corporate edition網(wǎng)絡(luò)版后，在管理員控制臺(tái)對(duì)網(wǎng)絡(luò)中所有客戶端進(jìn)行定時(shí)查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時(shí)候也能夠定時(shí)進(jìn)行對(duì)本機(jī)的查殺毒。4）symantec antivirus corporate edition系統(tǒng)中心負(fù)責(zé)整個(gè)網(wǎng)絡(luò)中心的升級(jí)工作。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動(dòng)地到symantec全球網(wǎng)站上獲取最新的升級(jí)

34、文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動(dòng)將最新的升級(jí)文件分發(fā)到其它100多個(gè)服務(wù)器端和30個(gè)客戶端，并自動(dòng)對(duì)symantec antivirus corporate edition殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。采取這種升級(jí)方式，一方面確保網(wǎng)絡(luò)中心內(nèi)的symantec antivirus corporate edition殺毒軟件的更新保持同步，使整個(gè)網(wǎng)絡(luò)中心都具有最強(qiáng)的防病毒能力；另一方面，由于整個(gè)網(wǎng)絡(luò)的升級(jí)、更新都是有程序來(lái)自動(dòng)、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有及時(shí)升級(jí)為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒能力。2.6 朝陽(yáng)區(qū)教育信息網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D3. 服

35、務(wù)器存儲(chǔ)系統(tǒng)的深化設(shè)計(jì)3.1 需求分析服務(wù)器作為整個(gè)系統(tǒng)硬件的核心，承擔(dān)了整個(gè)系統(tǒng)運(yùn)行數(shù)據(jù)的建立、存儲(chǔ)、查詢、操作、備份以及整個(gè)后臺(tái)應(yīng)用程序的運(yùn)行任務(wù)根據(jù)客戶的要求，我們把應(yīng)用分成web服務(wù)、email服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、internet應(yīng)用服務(wù)、辦公管理服務(wù)、流媒體點(diǎn)播服務(wù)等。web服務(wù)是以服務(wù)器建立起供廣大教師和學(xué)生登陸及瀏覽的web頁(yè)面，提供各種教育信息、新聞、實(shí)事動(dòng)態(tài)、多媒體教學(xué)資源庫(kù)、課件制作等等，隨著信息和資源的積累，web服務(wù)器會(huì)需要比較大的空間來(lái)存放這些數(shù)據(jù)。而這些數(shù)據(jù)的特點(diǎn)是文件比較小，但是同時(shí)并發(fā)的數(shù)量眾多，這就要求服務(wù)器和存儲(chǔ)設(shè)備都具有高速、穩(wěn)定、高數(shù)據(jù)吞吐量的性能。對(duì)于存

36、儲(chǔ)設(shè)備來(lái)說(shuō)，基于全光纖結(jié)構(gòu)的san架構(gòu)可以滿足這種需求。教育中心的email服務(wù)。由于學(xué)生數(shù)量眾多，加上也要為每一位教師提供email信箱，所以email服務(wù)器的數(shù)據(jù)存儲(chǔ)需求也十分的龐大，特點(diǎn)也是文件數(shù)量多，服務(wù)器對(duì)數(shù)據(jù)檢索，并讀到數(shù)據(jù)速度要快，同時(shí)并發(fā)數(shù)據(jù)流多。因此也建議采用san架構(gòu)。采用負(fù)載均衡輪詢的方式。數(shù)據(jù)庫(kù)服務(wù)器將運(yùn)行sql server和oracle，由于該數(shù)據(jù)庫(kù)的特性，加上數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)讀寫十分頻繁，以及參考許多數(shù)據(jù)庫(kù)存儲(chǔ)的成功案例，san架構(gòu)以其成熟的技術(shù)，優(yōu)異的性能，良好的擴(kuò)展性成為了首選。oa辦公管理服務(wù)是將許多日常的書面辦公工作實(shí)現(xiàn)電子化，放到網(wǎng)絡(luò)上進(jìn)行，簡(jiǎn)化了辦公流程，

37、提高效率，是現(xiàn)代e化的流行趨勢(shì)。流媒體點(diǎn)播服務(wù)是將許多多媒體的課件及教學(xué)資源放到網(wǎng)絡(luò)上，廣大師生可以直接到網(wǎng)絡(luò)上自由點(diǎn)播，選擇自已需要的素材，進(jìn)行復(fù)習(xí)備課等，由于數(shù)據(jù)量和傳輸量大，對(duì)存儲(chǔ)空間和服務(wù)器的i/o帶寬都提出了很高的要求。3.2 服務(wù)器的安裝與功能分配l 數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)服務(wù)器選用兩臺(tái)ibm eserver xseries 366。每臺(tái)服務(wù)器都配置兩個(gè)光纖適配器（hba卡），每臺(tái)服務(wù)器要用兩條1000m光纖分別與兩臺(tái)光纖交換機(jī)點(diǎn)對(duì)點(diǎn)連接。 同時(shí)，每臺(tái)服務(wù)器上將分別安裝emc powerpath 管理軟件，實(shí)現(xiàn)服務(wù)器和存儲(chǔ)設(shè)備之間多通道存取。如果其中一條通道發(fā)生故障，powerpath

38、會(huì)自動(dòng)將i/o 負(fù)荷切換到幸存的通道，并在發(fā)生故障的通道得到修復(fù)后立即恢復(fù)其使用。如果在服務(wù)器訪問磁盤陣列數(shù)據(jù)量比較大和頻繁時(shí)， powerpath可增加全面i/o吞吐率，更快地完成更多的任務(wù)；也可以自動(dòng)負(fù)載均衡算法智能地管理多條i/o通道的流量，極大地提高了系統(tǒng)的效率和i/o的吞吐率，避免i/o的瓶頸。 sql數(shù)據(jù)庫(kù)和oracle數(shù)據(jù)庫(kù)勻放到兩臺(tái)emc cx500智能光纖磁盤陣列中。n oracle數(shù)據(jù)庫(kù)服務(wù)器：在intrenet網(wǎng)絡(luò)結(jié)構(gòu)中，oracle數(shù)據(jù)庫(kù)是對(duì)用戶數(shù)量最多、性能最為穩(wěn)定的數(shù)據(jù)庫(kù)。基于oracle數(shù)據(jù)庫(kù)的dbms能方便生成適用不同業(yè)務(wù)的應(yīng)用數(shù)據(jù)庫(kù)系統(tǒng)。選用兩臺(tái)ibm ese

39、rver xseries 366。一臺(tái)裝windows2000操作系統(tǒng)；一臺(tái)裝linux操作系統(tǒng)。n sql server數(shù)據(jù)庫(kù)服務(wù)器：兩臺(tái)sql server數(shù)據(jù)庫(kù)服務(wù)器安裝win2000操作系統(tǒng)，將兩臺(tái)sql數(shù)據(jù)庫(kù)服務(wù)器互為雙機(jī)容錯(cuò)，保證運(yùn)行系統(tǒng)的冗余、穩(wěn)定。l internet應(yīng)用服務(wù)器 郵件服務(wù)器：對(duì)于朝陽(yáng)教育信息中心對(duì)電子郵件系統(tǒng)大容量、高擴(kuò)展性、分級(jí)管理的實(shí)際要求，我們選用五臺(tái)ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格） 做一負(fù)載均衡的輪詢的集群方案，來(lái)滿足教育辦公網(wǎng)，每天所要面臨著大量的有郵件往來(lái)。郵件集群系統(tǒng)由二個(gè)smtp server、一個(gè)

40、pop3/imap server，和磁盤陣列組成，同時(shí)一臺(tái)安裝linux操作系統(tǒng)，作為主atm（高級(jí)流量管理器）；另有一臺(tái)做后備atm?？紤]到系統(tǒng)運(yùn)行初期，用戶數(shù)量并不多，pop3服務(wù)的并發(fā)訪問量并不大，pop 服務(wù)只設(shè)置一臺(tái)服務(wù)器，同時(shí)也作imap 服務(wù)。以后用戶量增加時(shí)，可以再增加一臺(tái)pop3,實(shí)現(xiàn)pop服務(wù)的負(fù)載均衡。 web服務(wù)器： web信息發(fā)布需要大容量?jī)?nèi)存，能確保服務(wù)在大用戶量并發(fā)時(shí)的系統(tǒng)穩(wěn)定性和服務(wù)效率，web服務(wù)器選用性能和功能指標(biāo)較高的服務(wù)器，選用兩臺(tái)ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。同時(shí)實(shí)現(xiàn)服務(wù)的負(fù)載均衡。 oa服務(wù)器： o

41、a應(yīng)用軟件和web信息發(fā)布需要大容量?jī)?nèi)存，能確保服務(wù)在大用戶量并發(fā)時(shí)的系統(tǒng)穩(wěn)定性和服務(wù)效率，保證系統(tǒng)及日志的記錄。建議采用應(yīng)用服務(wù)器2的機(jī)型。 dns服務(wù)器：選用兩臺(tái)ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。做內(nèi)網(wǎng)和外網(wǎng)的域名解析，同時(shí)實(shí)現(xiàn)服務(wù)的負(fù)載均衡。 dhcp服務(wù)器：選用兩臺(tái)ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。做內(nèi)網(wǎng)和外網(wǎng)的域名解析，同時(shí)實(shí)現(xiàn)服務(wù)的負(fù)載均衡。 ftp服務(wù)器：選用一臺(tái)ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。 telnet服務(wù)器：選用一臺(tái)ibm es

42、erver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。 管理服務(wù)器：傳輸網(wǎng)絡(luò)中的時(shí)鐘管理、ip網(wǎng)中的網(wǎng)絡(luò)監(jiān)控管理及網(wǎng)管服務(wù)器分別選用ibm eserver xseries 346 （招標(biāo)文件中管理服務(wù)器的規(guī)格）。 數(shù)據(jù)備份服務(wù)器：負(fù)責(zé)整個(gè)網(wǎng)絡(luò)中各服務(wù)器上的數(shù)據(jù)備份。選用ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格）。3.3 服務(wù)器集群的配置n 高可用性數(shù)據(jù)庫(kù)服務(wù)器集群：sql server 數(shù)據(jù)庫(kù)服務(wù)器: 采用microsoft windows2003 advance server操作系統(tǒng)，兩臺(tái)機(jī)器之間用串口線連接，數(shù)據(jù)庫(kù)要在兩個(gè)機(jī)器上都要安裝

43、，通過操作系統(tǒng)內(nèi)置的mscs集群應(yīng)用軟件組建兩臺(tái)sql server服務(wù)器的cluster服務(wù)，兩臺(tái)機(jī)器訪問同一個(gè)ip地址，做數(shù)據(jù)庫(kù)漂移，保證一臺(tái)壞掉，另一臺(tái)仍然可以繼續(xù)工作。以達(dá)到關(guān)鍵數(shù)據(jù)服務(wù)的不停機(jī)運(yùn)作，保證數(shù)據(jù)不丟失；這樣通過裝在兩個(gè)服務(wù)器中的雙機(jī)熱備份系統(tǒng)軟件，使系統(tǒng)具有在線容錯(cuò)能力。n 應(yīng)用服務(wù)高可用性集群： oa服務(wù)器：oa服務(wù)器采用雙機(jī)系統(tǒng)，教委oa辦公自動(dòng)化系統(tǒng)是基于microsoft windows2000 advance server操作系統(tǒng)，通過操作系統(tǒng)內(nèi)置的mscs集群管理雙機(jī)。 dns服務(wù)器：服務(wù)器分別選用兩臺(tái)應(yīng)用服務(wù)器2的機(jī)型，安裝相同的操作系統(tǒng)，作active_a

44、ctive方式的ha集群方式。 dhcp服務(wù)器：服務(wù)器分別選用兩臺(tái)應(yīng)用服務(wù)器2的機(jī)型，安裝相同的操作系統(tǒng)，作active_active方式的ha集群方式。n 負(fù)載均衡集群系統(tǒng)負(fù)載均衡郵件服務(wù)器：2個(gè)smtp server可以構(gòu)成負(fù)載均衡，同時(shí)構(gòu)成雙機(jī)熱備份，正常情況下，smtp流量平均分配到兩臺(tái)smtp server；一旦其中一臺(tái)出現(xiàn)故障，另外一臺(tái)將自動(dòng)接管smtp服務(wù)。數(shù)據(jù)存儲(chǔ)分為用戶數(shù)據(jù)和郵件數(shù)據(jù)存儲(chǔ)兩部分，郵件數(shù)據(jù)通過nfs統(tǒng)一存儲(chǔ)到磁盤陣列上。當(dāng)郵件空間不夠時(shí)，動(dòng)態(tài)增加磁盤陣列空間即可。主atm將采用路由的方法進(jìn)行訪問流量地控制和分配，同時(shí)對(duì)其他三臺(tái)服務(wù)器進(jìn)行管理。由主atm采用輪詢的

45、方法來(lái)實(shí)現(xiàn)當(dāng)訪問流量大時(shí)對(duì)其它三臺(tái)服務(wù)器的進(jìn)行負(fù)載均衡。將其中一臺(tái)安裝linux操作系統(tǒng)，作為主atm（高級(jí)流量管理器）。設(shè)置一個(gè)ip地址來(lái)代表整個(gè)集群系統(tǒng)，將cmc（集群管理控制臺(tái)）安裝在主atm上。再選用一臺(tái)做后備atm，實(shí)現(xiàn)當(dāng)主atm出現(xiàn)故障時(shí)，管理自動(dòng)平滑到后備atm上。3.4 存儲(chǔ)系統(tǒng)的深化設(shè)計(jì)整個(gè)存儲(chǔ)體系分為二個(gè)部分：san網(wǎng)絡(luò)交換機(jī)和磁盤陣列系統(tǒng)。我們?cè)诒痉桨钢型扑]使用了兩臺(tái)磁盤陣列clariion cx500作為后臺(tái)存儲(chǔ)的核心設(shè)備，每臺(tái)配置了14塊1 46gb的光纖硬盤，每臺(tái)原始容量約為2.0tb。每臺(tái)clariion cx500有兩個(gè)存儲(chǔ)處理器，每個(gè)存儲(chǔ)處理器有兩個(gè)2 gb

46、光纖通道光學(xué)端口，實(shí)現(xiàn)從每個(gè)存儲(chǔ)處理器到兩個(gè)光纖通道環(huán)路的故障切換。同時(shí)系統(tǒng)還配置了兩臺(tái)emc ds-32m2-0d光纖通道交換機(jī)，構(gòu)成存儲(chǔ)核心結(jié)構(gòu)。l 實(shí)施步驟san存儲(chǔ)架構(gòu)包括：光纖通道交換機(jī)、高性能海量磁盤陣列、智能磁帶庫(kù)。1、 san系統(tǒng)中，各服務(wù)器、磁帶庫(kù)、磁盤陣列通過兩個(gè)光纖交換機(jī)連接成一個(gè)san的結(jié)構(gòu)。通過為每個(gè)服務(wù)器配置兩個(gè)光纖主機(jī)適配器（hba卡），可以將應(yīng)用服務(wù)器和備份服務(wù)器通過不同的光纖交換機(jī)連接到san環(huán)境。關(guān)鍵的應(yīng)用服務(wù)器需要考慮使用冗余通道，通道的冗余不僅提高了應(yīng)用服務(wù)器訪問存儲(chǔ)設(shè)備的性能，同時(shí)也提高了對(duì)存儲(chǔ)在san存儲(chǔ)設(shè)備上關(guān)鍵數(shù)據(jù)的可訪問性。所有需要實(shí)現(xiàn)冗余路徑

47、的應(yīng)用服務(wù)器通過配置兩個(gè)光纖主機(jī)適配器，分別連接到兩個(gè)不同的交換機(jī)。新的服務(wù)器也可以采用同樣的方式連接到san環(huán)境。2、 在20臺(tái)服務(wù)器中，對(duì)關(guān)鍵數(shù)據(jù)量的應(yīng)用部署在一 臺(tái)cx500上，將非關(guān)鍵數(shù)據(jù)分布在負(fù)載不大的cx500中，以保證關(guān)鍵應(yīng)用的服務(wù)質(zhì)量。對(duì)存儲(chǔ)應(yīng)用數(shù)據(jù)的磁盤卷采用raid 5的方式。3、 前端的二十臺(tái)主機(jī)中運(yùn)行關(guān)鍵應(yīng)用和數(shù)據(jù)庫(kù)的服務(wù)器配置兩塊hba卡，并安裝emc公司多路徑軟件powerpath，關(guān)鍵應(yīng)用和數(shù)據(jù)庫(kù)服務(wù)器主機(jī)的兩個(gè)hba卡分別通過不同的交換機(jī)接入到cx500的兩個(gè)控制器上。4、 交換機(jī)的配置以及核準(zhǔn)主機(jī)上的代理安裝, navisphere agent、navisph

48、ere manager軟件的安裝，并激活access logix for lun access,同時(shí)創(chuàng)建luns、raid群組和存儲(chǔ)組。 5、 對(duì)于大流量服務(wù)器群：對(duì)于大流量服務(wù)器，對(duì)于訪問頻率可能很大，但對(duì)于數(shù)據(jù)的存儲(chǔ)量未必很大（如oa服務(wù)器），這樣我們不將這類服務(wù)器連在陣列上。yz 但對(duì)與很多大流量服務(wù)器（如流媒體服務(wù)器），不僅訪問比較頻繁，同時(shí)也有很多的數(shù)據(jù)需要存儲(chǔ)在磁盤陣列上的。但為了避免訪問瓶頸，我們并沒有在大流量服務(wù)區(qū)前加防火墻。對(duì)于此類數(shù)據(jù)的安全，我們會(huì)在網(wǎng)絡(luò)層做vlan和acl的訪問措施。同時(shí)根據(jù)磁盤陣列的原理，在磁盤陣列上的數(shù)據(jù)都是以存儲(chǔ)卷的格式進(jìn)行存儲(chǔ)，不同的卷之間是相互獨(dú)

49、立的，服務(wù)器訪問卷的權(quán)限是被指定的。這也加大了磁盤陣列上數(shù)據(jù)的安全。 3.5 數(shù)據(jù)備份系統(tǒng)的安裝與配置 對(duì)于朝陽(yáng)區(qū)教育“校校通”工程的備份子系統(tǒng)，根據(jù)客戶的實(shí)際情況和招標(biāo)文件的具體要求我們推薦的是veritas公司的netbackup存儲(chǔ)備份管理軟件和ultera systems公司的mirage虛擬磁帶庫(kù)。ultera systems公司的mirage虛擬磁帶庫(kù)配置了四個(gè)虛擬磁帶機(jī)，直接接入到一臺(tái)光纖通道交換機(jī)上。備份系統(tǒng)設(shè)計(jì)結(jié)構(gòu)：20臺(tái)與中央存儲(chǔ)系統(tǒng)直連的關(guān)鍵業(yè)務(wù)服務(wù)器需要實(shí)現(xiàn)lan-free備份，由于備份服務(wù)器占用系統(tǒng)資源非常小，一般不會(huì)對(duì)應(yīng)用產(chǎn)生明顯影響。在備份策略上采用全備份、增量備

50、份、差分備份三種方式靈活應(yīng)用。n 具體實(shí)施步驟1、 san網(wǎng)絡(luò)是選用兩臺(tái)emc ds-32m2-0d光纖通道交換機(jī)，接入前端應(yīng)用服務(wù)器和備份服務(wù)器通過光纖通道交換機(jī)與后端的光纖接口磁盤陣列構(gòu)建而成。2、 重要業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)等都通過光纖交換機(jī)集中存儲(chǔ)到emc cx500磁盤陣列上，然后通過lan free方式把數(shù)據(jù)備份到磁帶庫(kù)中。3、 使用一臺(tái)高性能的備份服務(wù)器在其上安裝veritas netbackup服務(wù)器主模塊來(lái)管理數(shù)據(jù)備份與恢復(fù)的工作、備份策略和介質(zhì)等的管理。4、 在相應(yīng)需要備份數(shù)據(jù)的服務(wù)器上安裝veritas netbackup for windows客戶端軟件和相應(yīng)數(shù)據(jù)庫(kù)代理軟件，

51、備份時(shí)數(shù)據(jù)先流經(jīng)現(xiàn)在的lan，到備份服務(wù)器，然后由服務(wù)器通過光纖通道交換機(jī)寫入到磁帶中。5、 實(shí)現(xiàn)lan-free備份，我們選用ultera systems公司的mirage虛擬磁帶庫(kù)，并配置四個(gè)光纖接口虛擬驅(qū)動(dòng)器，使磁帶庫(kù)可以直接接入san。這樣，當(dāng)系統(tǒng)進(jìn)行數(shù)據(jù)備份時(shí)，備份服務(wù)器通過lan向備份客戶端傳輸控制信息，備份數(shù)據(jù)可以直接通過san從磁盤陣列備份到虛擬磁帶庫(kù)。6、 備份策略主要有以下三種：a完全備份b增量備份（數(shù)據(jù)量大時(shí)考慮）c差分備份7、 備份內(nèi)容：數(shù)據(jù)庫(kù)表空間備份，文件系統(tǒng)備份，程序備份，磁盤克隆8、 備份周期：每天一次數(shù)據(jù)備份，每月一次完整備份3.1 服務(wù)器存儲(chǔ)系統(tǒng)結(jié)構(gòu)拓?fù)鋱D二. 網(wǎng)絡(luò)中心工程的組織與實(shí)施根據(jù)已有的工程經(jīng)驗(yàn)，我們將網(wǎng)絡(luò)中心工程劃分為三個(gè)時(shí)間段，具體組織與實(shí)施安排如下：l 設(shè)備訂貨和設(shè)備到位期，歷時(shí)28天，所有網(wǎng)絡(luò)中心所需設(shè)備進(jìn)場(chǎng)，該項(xiàng)任務(wù)主要由項(xiàng)目組的商務(wù)人員負(fù)責(zé)。l 設(shè)備安裝調(diào)試期,設(shè)