網(wǎng)絡(luò)中心深化設(shè)計方案2

1、網(wǎng)絡(luò)中心建設(shè)部分深化設(shè)計方案一.網(wǎng)絡(luò)中心深化設(shè)計31.業(yè)務(wù)網(wǎng)的深化設(shè)計31.1應(yīng)用需求分析31.2業(yè)務(wù)流量需求分析31.2.1外網(wǎng)流量需求分析31.2.2內(nèi)網(wǎng)流量需求分析31.3各功能區(qū)塊的配置與設(shè)備利舊51.4網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖91.5交換設(shè)備安裝與調(diào)試101.6原有網(wǎng)絡(luò)的割接111.7ip地址規(guī)劃深化設(shè)計111.8交換設(shè)備以及計算機系統(tǒng)時間同步121.9時間同步方案示意圖132.安全系統(tǒng)深化設(shè)計方案142.1安全系統(tǒng)需求分析142.2防火墻系統(tǒng)深化設(shè)計152.3網(wǎng)絡(luò)入侵檢測系統(tǒng)深化設(shè)計162.4網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計172.5網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計172.6朝陽區(qū)教育信息網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D18

2、3.服務(wù)器存儲系統(tǒng)的深化設(shè)計193.1需求分析193.2服務(wù)器的安裝與功能分配193.3服務(wù)器集群的配置213.4存儲系統(tǒng)的深化設(shè)計223.5數(shù)據(jù)備份系統(tǒng)的安裝與配置243.1服務(wù)器存儲系統(tǒng)結(jié)構(gòu)拓?fù)鋱D25二.網(wǎng)絡(luò)中心工程的組織與實施19一. 網(wǎng)絡(luò)中心深化設(shè)計1. 業(yè)務(wù)網(wǎng)的深化設(shè)計1.1 應(yīng)用需求分析業(yè)務(wù)網(wǎng)（ip網(wǎng)）是承載于傳送網(wǎng)上的數(shù)據(jù)網(wǎng)絡(luò)，根據(jù)朝陽區(qū)教育“校校通”工程建設(shè)的總體規(guī)劃，在傳送網(wǎng)的骨干層有五個核心節(jié)點，利用10g帶寬的鏈路構(gòu)建核心主干網(wǎng)絡(luò)。而業(yè)務(wù)網(wǎng)的數(shù)據(jù)中心只有一個，位于教委的信息中心，因此教委的信息中心便要承擔(dān)整個朝陽教育信息網(wǎng)的數(shù)據(jù)分析、業(yè)務(wù)處理和安全防護(hù)的重?fù)?dān)。兼具傳送網(wǎng)的

3、骨干層核心節(jié)點和業(yè)務(wù)網(wǎng)數(shù)據(jù)中心為一身的教委信息中心注定成為本次業(yè)務(wù)網(wǎng)建設(shè)中的重中之重。1.2 業(yè)務(wù)流量需求分析我們根據(jù)以往校園網(wǎng)建設(shè)經(jīng)驗，并結(jié)合本工程的具體需求首先對朝陽教育信息網(wǎng)業(yè)務(wù)網(wǎng)的流量需求作如下分析。朝陽教育信息網(wǎng)業(yè)務(wù)流量主要分為兩個方面：一方面為網(wǎng)絡(luò)內(nèi)部的ftp服務(wù)、vod視頻點播、視頻會議、資源庫調(diào)用、遠(yuǎn)程教學(xué)、內(nèi)部監(jiān)控、內(nèi)部公文傳遞等業(yè)務(wù)應(yīng)用，這是相對主要的業(yè)務(wù)流量。另一方面，internet互聯(lián)網(wǎng)出口的瀏覽查詢應(yīng)用，與區(qū)信息平臺的公文傳遞應(yīng)用這是相對次要的業(yè)務(wù)流量。1.2.1 外網(wǎng)流量需求分析針對上述需求，我們首先分析處于次要地位的互聯(lián)網(wǎng)瀏覽、上傳下載數(shù)據(jù)以及電子郵件等業(yè)務(wù)的流

4、量。建設(shè)internet出口目的是為網(wǎng)絡(luò)用戶提供必要的互聯(lián)網(wǎng)瀏覽和查詢功能，出現(xiàn)大容量的數(shù)據(jù)上傳、下載的機會相對較少，因此根據(jù)以往的經(jīng)驗，通過100m帶寬連接internet就可以滿足需要。朝陽教委與區(qū)政府的公共信息平臺之間的流量主要是些日常的公文傳遞，不會占用大量的帶寬，所以在區(qū)公共信息平臺出口上的流量也不會太大。1.2.2 內(nèi)網(wǎng)流量需求分析目前朝陽區(qū)教育信息網(wǎng)上的應(yīng)用大致分為：網(wǎng)站發(fā)布、社會教育及學(xué)校及學(xué)生家長溝通、ftp服務(wù)、系統(tǒng)內(nèi)部的電子郵件、教育管理信息庫cmis、ic卡應(yīng)用系統(tǒng)、網(wǎng)絡(luò)視頻會議、網(wǎng)絡(luò)視頻教學(xué)系統(tǒng)、ip電話應(yīng)用（voip）、視頻點播、資源庫調(diào)用等應(yīng)用，我們對以上流量進(jìn)行

5、分析，將這些流量按照學(xué)校局域網(wǎng)內(nèi)部流量、通過教委數(shù)據(jù)中心的流量、校間流量來分類。其中學(xué)校局域網(wǎng)內(nèi)部流量不影響整個數(shù)據(jù)平臺的流量，不予以分析現(xiàn)有的應(yīng)用中，以一個標(biāo)準(zhǔn)學(xué)校為例，將每個應(yīng)用的流量分布情況分析如下：現(xiàn)有應(yīng)用通過教委的流量校間流量網(wǎng)站發(fā)布/社會教育及學(xué)校及學(xué)生家長溝通有無教委ftp服務(wù)有無系統(tǒng)內(nèi)部的電子郵件系統(tǒng)有無vod視頻點播有無教育管理信息庫cmis有無ic卡應(yīng)用系統(tǒng)有無網(wǎng)絡(luò)視頻會議系統(tǒng)有有教委的視頻點播系統(tǒng)有無ip電話系統(tǒng)有有教委的資源庫應(yīng)用系統(tǒng)有無從上表分析，我們可以看出在朝陽區(qū)教育信息網(wǎng)中，對于整個網(wǎng)絡(luò)而言，絕大部分的數(shù)據(jù)流量都集中在學(xué)校與教委之間。因此這是一個典型的業(yè)務(wù)集中型

6、網(wǎng)絡(luò)結(jié)構(gòu)。根據(jù)上述的業(yè)務(wù)分析，我們提出將業(yè)務(wù)網(wǎng)（ip網(wǎng)）進(jìn)行簡化，由傳統(tǒng)的三層網(wǎng)絡(luò)結(jié)構(gòu)簡化為以教委信息中心核心網(wǎng)絡(luò)為骨干層、其余接入單位統(tǒng)一劃入接入層范疇的二層結(jié)構(gòu)。之所以采取這樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要基于如下考慮，現(xiàn)有的朝陽區(qū)教育系統(tǒng)的主要業(yè)務(wù)應(yīng)用情況和接入平臺（mstp接入）的實際情況很符合二層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，二、三層組網(wǎng)都是很典型的組網(wǎng)應(yīng)用，而目前網(wǎng)絡(luò)結(jié)構(gòu)更有扁平化的趨勢，因為二層網(wǎng)絡(luò)具備易管理、易控制、性能高（因為少了一層設(shè)備）等優(yōu)點。 在這樣的網(wǎng)路結(jié)構(gòu)中，骨干層設(shè)備負(fù)責(zé)完成網(wǎng)絡(luò)各接入節(jié)點之間的互聯(lián)，完成高效的數(shù)據(jù)傳輸、交換及路由分發(fā)。提供流量控制和用戶管理等多項功能，提高整個網(wǎng)絡(luò)的可靠性

7、和擴展性。接入層設(shè)備提供各種標(biāo)準(zhǔn)接口將數(shù)據(jù)通過mstp傳輸網(wǎng)絡(luò)上傳到骨干層設(shè)備中，完成基本的業(yè)務(wù)系統(tǒng)之間的隔離和安全性控制、認(rèn)證管理等功作。這樣的結(jié)構(gòu)主要便于集中管理和維護(hù)，所有學(xué)校的網(wǎng)上行為都將在教委信息中心有效的管理之下，同時將故障點集中在教委信息中心，當(dāng)出現(xiàn)單點故障時可以就近解決問題。當(dāng)然扁平的二層結(jié)構(gòu)對核心交換機的性能要求很高，因此必須保證核心交換機安全可靠的運行。作為朝陽區(qū)教委的核心設(shè)備85是一款高端的交換設(shè)備，交換容量720g（s8512），支持vlan4k個，acl條目數(shù)4k條，在性能上完全可以滿足實際需求。綜上所述扁平的二層網(wǎng)絡(luò)最突出的優(yōu)點是簡化網(wǎng)絡(luò)結(jié)構(gòu)，方便管理和維護(hù)，以及節(jié)

8、約寶貴的項目資金。核心層設(shè)備根據(jù)需求應(yīng)滿足萬兆級速率的連接，同時應(yīng)該具備大容量的包吞吐率，支持大密度大容量接口，為了實現(xiàn)最高的可靠性，應(yīng)提供兩臺核心路由交換機互為冗余備份，對于關(guān)鍵的板卡比如核心引擎以及供電電源也采用雙板卡冗余。而接入層設(shè)備可根據(jù)校園網(wǎng)建設(shè)的實際情況分為三層交換機和二層交換機，對于有三層交換機的學(xué)?？梢詥尤龑勇酚晒δ?，將網(wǎng)絡(luò)風(fēng)暴控制在學(xué)校內(nèi)部，而通過靜態(tài)路由訪問骨干層，對于擁有二層交換機的學(xué)校，據(jù)我們調(diào)研學(xué)校并不多，可考慮更換三層設(shè)備，或者將這些學(xué)校單獨劃分為不同的vlan以實現(xiàn)隔絕網(wǎng)絡(luò)風(fēng)暴的功能。1.3 各功能區(qū)塊的配置與設(shè)備利舊網(wǎng)絡(luò)中心按照功能劃分為若干區(qū)塊，即出口網(wǎng)絡(luò)區(qū)

9、塊、主核心交換區(qū)塊、關(guān)鍵應(yīng)用服務(wù)器區(qū)塊、大流量數(shù)據(jù)應(yīng)用服務(wù)器區(qū)塊、網(wǎng)管網(wǎng)絡(luò)區(qū)塊、接口網(wǎng)絡(luò)區(qū)塊等。出口網(wǎng)絡(luò)區(qū)塊：朝陽區(qū)教育信息網(wǎng)的出口有兩個：即北京市教育信息網(wǎng)和朝陽區(qū)政府公用信息平臺。主要出口為北京市教育信息網(wǎng)，輔助和備份出口為朝陽區(qū)政府公用信息平臺出口（即連接到朝陽區(qū)信息辦的鏈路）。兩個出口均連接到出口網(wǎng)絡(luò)中的利舊設(shè)備cisco6506交換機上（網(wǎng)絡(luò)割接之前可用性能相近交換機替代）。具體出口連接說明如下：一、 北京市教育信息網(wǎng)出口1、朝陽區(qū)教育信息網(wǎng)到北京市教育信息網(wǎng)總共一條物理鏈路，市教委會放置兩臺設(shè)備在朝陽中心，cisco 7609sup720cisco catalyst 4506 su

10、p v ，朝陽上聯(lián)的設(shè)備為cisco7609 sup720，具體端口1000base-sx和1000base-t都可以，但只有一個接口，不分內(nèi)網(wǎng)和internet端口。2、內(nèi)網(wǎng)流量和internet出口流量通過上述的統(tǒng)一線路和端口進(jìn)行傳遞，internet流量的質(zhì)量由市教委統(tǒng)一的帶寬管理設(shè)備進(jìn)行管理，從而保證朝陽區(qū)的internet帶寬需求。3、朝陽出口設(shè)備不需要進(jìn)行nat。為保證朝陽內(nèi)部網(wǎng)絡(luò)和大網(wǎng)應(yīng)用的兼容性，建議不采用防火墻放置在總出口上。二、 朝陽區(qū)政府公用信息平臺由朝陽區(qū)政府下來的鏈路機為了安全保證，在接入cisco6506之前放置專用nat（ma5200）設(shè)備及千兆防火墻，以起到安全

11、防護(hù)和地址轉(zhuǎn)換的功能。主核心交換區(qū)塊拓?fù)洌河蓛膳_核心交換機s8512組成，兩臺核心路由交換機之間建立兩條10g鏈路，通過link-aggregation將兩個端口聚合為一個邏輯端口。聚合端口通過流量配置算法支持端口流量自動均衡保護(hù)，使所屬物理通道流量基本均衡。主核心交換區(qū)塊負(fù)責(zé)整個業(yè)務(wù)網(wǎng)的數(shù)據(jù)交換、路由轉(zhuǎn)發(fā)工作，因此在信息中心配置兩臺核心骨干交換機作為網(wǎng)絡(luò)中心數(shù)據(jù)的骨干交換設(shè)備，我們可以將其比喻為業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)中心的心臟，為了保障網(wǎng)絡(luò)中心核心設(shè)備的正常運行，將通過采取主設(shè)備雙機冗余，增加防火墻等措施來提高它的高可靠性和高安全性。教育信息網(wǎng)傳送網(wǎng)的核心層的其余節(jié)點不再安排核心交換設(shè)備，這相當(dāng)于在業(yè)務(wù)

12、網(wǎng)（ip網(wǎng)）的核心層只建設(shè)（保留）一個核心節(jié)點即教委信息中心。這樣一來，接入層及匯聚層節(jié)點通過mstp傳送網(wǎng)把各個學(xué)校的ip數(shù)據(jù)直接透傳到核心層的核心交換機，減少了各學(xué)校數(shù)據(jù)在核心層的傳送環(huán)節(jié)，提高了傳輸速度和交換時間，同時也可以在教委核心的交換機上統(tǒng)一做內(nèi)部路由和出口。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊：主要由san網(wǎng)絡(luò)存儲系統(tǒng)備份系統(tǒng)和服務(wù)器集群系統(tǒng)組成，在原投標(biāo)方案中我們建議利用教委已有的cisco6509充當(dāng)該區(qū)塊的主交換機，由于該cisco6509現(xiàn)正在負(fù)責(zé)連接30多所學(xué)校的上網(wǎng)業(yè)務(wù)，所以在工程實施過程中可以租用或借用其他同級別的交換機代替。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊通過本區(qū)塊的主交換機利用兩條千兆鏈路上連

13、主核心交換區(qū)塊，以起到鏈路冗余備份的功能，提高網(wǎng)絡(luò)的可靠性。該區(qū)塊的功能和配置將在服務(wù)器存儲設(shè)備的實施章節(jié)有詳細(xì)描述。網(wǎng)管網(wǎng)絡(luò)區(qū)塊：主要負(fù)責(zé)整個網(wǎng)絡(luò)的管理和監(jiān)護(hù)，它采用帶外管理與帶內(nèi)管理混合的模式，通常帶內(nèi)管理組網(wǎng)比較簡單、靈活，但卻要占用承載業(yè)務(wù)流量的帶寬。帶外管理不占用承載業(yè)務(wù)的帶寬，網(wǎng)管網(wǎng)絡(luò)和其他網(wǎng)絡(luò)設(shè)備之間獨立成網(wǎng)，該區(qū)塊的主交換機由教委現(xiàn)有的cisco6506擔(dān)當(dāng)，（因為同樣的原因該交換機正在使用中，所以也必須考慮替代問題。）而主要網(wǎng)管軟件采用華為3com的imanager quidview網(wǎng)管系統(tǒng)進(jìn)行網(wǎng)絡(luò)管理，對于網(wǎng)絡(luò)中心的其他網(wǎng)管子系統(tǒng)如：傳輸設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理、數(shù)字同步網(wǎng)管

14、理、入侵檢測子系統(tǒng)、網(wǎng)絡(luò)防病毒子系統(tǒng)、漏洞掃描子系統(tǒng)、時間同步子系統(tǒng)等，分別采用其各自的管理軟件進(jìn)行全網(wǎng)相應(yīng)的管理。非華為公司的設(shè)備如cisco6509等設(shè)備可由cisco自帶的works2000網(wǎng)管軟件管理，對于整個業(yè)務(wù)網(wǎng)的狀態(tài)監(jiān)控、流量分析可采用一些不區(qū)分設(shè)備類型的基礎(chǔ)網(wǎng)管軟件，如sniffer等來監(jiān)控。網(wǎng)管系統(tǒng)中的網(wǎng)絡(luò)設(shè)備管理子系統(tǒng)將實時監(jiān)控整個網(wǎng)絡(luò)中心的設(shè)備以及網(wǎng)絡(luò)狀況，可在第一時間檢測到故障。并發(fā)出報警訊息，便于網(wǎng)管人員快速準(zhǔn)確的排除故障。接口網(wǎng)絡(luò)區(qū)塊負(fù)責(zé)網(wǎng)絡(luò)中心的核心數(shù)據(jù)交換設(shè)備與傳送網(wǎng)的mstp設(shè)備相連，擔(dān)負(fù)著傳送網(wǎng)上的數(shù)據(jù)業(yè)務(wù)落地的重任。該區(qū)塊主要設(shè)備為傳送網(wǎng)的mstp設(shè)備op

15、city 8930，它通過20條千兆光纖鏈路分別與兩臺核心交換機相連。根據(jù)交流，甲方提出要在學(xué)校上連教委信息中心的網(wǎng)絡(luò)帶寬中預(yù)留2m的安全監(jiān)控端口，和10m的考試監(jiān)控端口以及相應(yīng)的視頻帶寬，這些需要在傳送網(wǎng)技術(shù)方面做相應(yīng)的時隙劃分、和端口預(yù)留等工作我們將在傳送網(wǎng)深化設(shè)計方案中給予具體描述。大流量應(yīng)用服務(wù)器負(fù)責(zé)提供應(yīng)用教學(xué)資源，該區(qū)塊由若干服務(wù)器集群組成，這些服務(wù)器集群分別通過兩條千兆光纖或者電口鏈路直接與核心交換機相連。以起到鏈路冗余備份的功能提高網(wǎng)絡(luò)的可靠性。1.4 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(注：本網(wǎng)絡(luò)拓?fù)鋱D僅為結(jié)構(gòu)示意圖，具體設(shè)備和連接方式以實際情況為準(zhǔn)。)1.5 交換設(shè)備安裝與調(diào)試n 核心路由交換

16、機1、 網(wǎng)絡(luò)中心采用了兩臺s8512作為核心路由交換機，同時通過在兩臺核心路由交換機上運行vrrp協(xié)議來為服務(wù)器區(qū)、網(wǎng)絡(luò)核心各個子網(wǎng)提供一個唯一的默認(rèn)網(wǎng)關(guān)。當(dāng)任何一臺核心路由交換機發(fā)生故障時，通過vrrp協(xié)議，另一臺核心路由交換機立即接管所有的工作。vrrp協(xié)議是一個熱備份路由協(xié)議，應(yīng)用于雙機熱備，其工作原理為：vrrp協(xié)議將系統(tǒng)中兩臺路由交換機組成vrrp組，該組擁有一個虛擬缺省網(wǎng)關(guān)地址。在任何時刻，一個組內(nèi)只有控制虛擬網(wǎng)關(guān)地址的路由交換機是活動的（master），并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，如果活動路由交換機發(fā)生了故障，將選擇另一個優(yōu)先權(quán)較低的冗余備份路由交換機（backup）來替代活動路由交換機

17、。由于網(wǎng)絡(luò)內(nèi)的終端配置的是vrrp虛擬網(wǎng)關(guān)地址，因此在它們看來，虛擬路由交換機沒有改變。所以主機仍然保持連接，沒有受到網(wǎng)絡(luò)中單點故障的影響，這樣就較好地解決了路由交換機切換的問題。2、 利用mstp生成樹技術(shù)，不但可以避免網(wǎng)絡(luò)中的環(huán)路產(chǎn)生，還可以在網(wǎng)絡(luò)中實現(xiàn)流量的負(fù)載均衡，首先根據(jù)流量應(yīng)用、業(yè)務(wù)主次、部門功能劃分不同的vlan，然后根據(jù)流量將不同的vlan指定不同的轉(zhuǎn)發(fā)主網(wǎng)橋和備份鏈路從網(wǎng)橋，從而實現(xiàn)將數(shù)據(jù)流量平均負(fù)擔(dān)在兩臺核心骨干交換機上。3、 在對主機進(jìn)行熱備的同時，還對s85主要的路由處理板卡進(jìn)行冗余備份。即在每一臺s85上安裝兩塊路由處理板卡，一塊處于運行狀態(tài)，一塊處于伺服狀態(tài)，一旦主

18、板卡出現(xiàn)故障，伺服板卡可以無縫的接管數(shù)據(jù)處理任務(wù)，電源配備上也按照高可靠性要求在每臺s85上安裝兩塊電源。4、 每臺s85配置了兩塊24口千兆電口板卡，和一塊24口千兆光口板卡，以保證網(wǎng)絡(luò)中心高密度的連接，并提供數(shù)據(jù)高速的傳播和交換能力。5、 每臺s85通過10個ge光纖多模接口和傳送網(wǎng)的mstp設(shè)備的10個ge多模端口相連。6、 核心網(wǎng)絡(luò)設(shè)備的其余千兆電口和千兆多模光口用于連接其余功能區(qū)塊的主交換機和服務(wù)器或者防火墻等設(shè)備。n 各功能區(qū)塊交換機這部分交換機主要是三臺千兆的多層交換機cisco6500系列或者是與其同檔次（也可低一檔次）的其他型號的三層千兆交換機。這些交換機主要是提供高密度的千

19、兆端口和起到網(wǎng)絡(luò)的物理隔離功能。因此需要在這些交換機上根據(jù)實際情況增加相應(yīng)的千兆板卡和模塊，同時劃分相應(yīng)的vlan。每一個功能區(qū)塊交換機都要通過兩條千兆光纖鏈路上連主核心交換機，所以要在這些交換機上啟用生成樹stp等功能以避免網(wǎng)絡(luò)環(huán)路的產(chǎn)生。n 接入層交換機 接入層交換機主要是啟動設(shè)備的三層路由功能，定義默認(rèn)網(wǎng)關(guān)指向骨干層核心設(shè)備。1.6 原有網(wǎng)絡(luò)的割接教委信息中心正在負(fù)責(zé)30余所學(xué)校的internet接入工作，在本次工程的施工過程中要求這30余所學(xué)校的網(wǎng)絡(luò)不得中斷，因此負(fù)責(zé)該30余所學(xué)校網(wǎng)絡(luò)連通的設(shè)備如cisco6509等交換機不能另做他用，我們前文已經(jīng)提到可以借用或者租用其他同檔次的交換機

20、替代。因在本次工程中這30余所學(xué)校都是區(qū)域網(wǎng)絡(luò)中的一個節(jié)點，所以在施工過程中對這些學(xué)校按原計劃進(jìn)行，當(dāng)工程完工后再將這30余所學(xué)校的鏈路割接到朝陽區(qū)教育信息網(wǎng)中，其交換設(shè)備同樣按原計劃應(yīng)用到上節(jié)提到的各功能區(qū)塊中去。這樣即保證原有的網(wǎng)絡(luò)不會中斷，又最大限度的保護(hù)了前期投資節(jié)約了成本。1.7 ip地址規(guī)劃深化設(shè)計鑒于建成后的朝陽教育信息網(wǎng)的業(yè)務(wù)流量是從學(xué)校到網(wǎng)絡(luò)中心的這一典型的業(yè)務(wù)集中式網(wǎng)絡(luò)，每個接入單位都有三層交換設(shè)備，因此可以將廣播域控制在接入單位內(nèi)部，為每個接入單位分配連續(xù)的地址網(wǎng)段，以靜態(tài)路由的方式指向網(wǎng)絡(luò)中心。朝陽教育信息網(wǎng)所使用的ip地址由北京市教育信息網(wǎng)統(tǒng)一進(jìn)行分配，由于尚未最終確

21、定分配給朝陽教育信息網(wǎng)的ip地址，我們在深化設(shè)計中給出兩種預(yù)留設(shè)計：一、 北京市教育信息網(wǎng)分配給朝陽教育信息網(wǎng)的ip地址全部為真實ip。在此種情況下，朝陽教育信息網(wǎng)內(nèi)的所有單位均使用真實ip。包括朝陽教育信息中心，朝陽教委及所有接入學(xué)校，每臺上網(wǎng)的設(shè)備均使用真實ip，使得所有的連網(wǎng)設(shè)備都具有可溯性。在此種情況，我們預(yù)計北京市教育信息網(wǎng)應(yīng)至少分配給朝陽教育信息網(wǎng)1個完整的b類地址，使用情況大致可預(yù)計如下：1、接入學(xué)校約為240所，每個學(xué)校根據(jù)信息點數(shù)和電腦數(shù)量的不同分別可分配1-3個c類的地址。點數(shù)少的學(xué)?？砂岩粋€c類地址分成多個子網(wǎng)給多個學(xué)校，點數(shù)及上網(wǎng)電腦多的學(xué)?？煞峙涠鄠€c類地址，這樣平均

22、下來，我們預(yù)計絕大多數(shù)學(xué)校使用一個c類地址（254個可用地址）即夠用。2、信息中心預(yù)留10個c類地址（包括辦公及各類服務(wù)器，所有的服務(wù)器均使用真實ip，無須再做nat）3、朝陽教委預(yù)留4個c類地址（局機關(guān)辦公網(wǎng)絡(luò)）二、 北京市教育信息網(wǎng)分配給朝陽教育信息網(wǎng)的ip地址部分為真實ip，而區(qū)公共信息平臺分配與朝陽教育信息網(wǎng)的地址是私有地址。在此種情況下，可以通過區(qū)公共信息平臺鏈路上的nat地址轉(zhuǎn)換設(shè)備將需要與區(qū)公共信息平臺傳送數(shù)據(jù)的用戶的真實ip轉(zhuǎn)換為區(qū)公共信息平臺分配的私有地址。1.8 交換設(shè)備以及計算機系統(tǒng)時間同步1、 華為的synlock v3 bits設(shè)備提供時間輸出接口，該接口為標(biāo)準(zhǔn)的以太

23、網(wǎng)接口，因此我們將其作為此次時間同步方案的一級時間服務(wù)器。2、 在網(wǎng)管網(wǎng)絡(luò)中設(shè)置一臺服務(wù)器，作為網(wǎng)絡(luò)中心的二級時間服務(wù)器，該服務(wù)器配置兩塊網(wǎng)卡，通過兩條鏈路分別連接一級時間服務(wù)器synlock v3的時間輸出接口，和網(wǎng)管網(wǎng)絡(luò)交換機cisco6506，為該二級時間服務(wù)器設(shè)定相應(yīng)的ip地址，網(wǎng)絡(luò)中心的核心骨干交換機s8512和其他利舊的思科交換機都支持時間同步協(xié)議ntp，因此利用以太網(wǎng)絡(luò)，只要可以訪問二級時間服務(wù)器的ip地址，即可以得到時間同步信息，并將其傳送到其他網(wǎng)絡(luò)設(shè)備和計算機系統(tǒng)中。3、 網(wǎng)絡(luò)中心內(nèi)所有的工作站、服務(wù)器等計算機系統(tǒng)可以大致按操作系統(tǒng)分為unix、linux操作系統(tǒng)，windo

24、ws操作系統(tǒng)，對于unix和linux操作系統(tǒng)本身支持ntp協(xié)議，可以直接通過ip地址訪問時間服務(wù)器獲得時間同步，而對于windows系統(tǒng)尤其是windows 2000 和windows xp操作系統(tǒng)不提供ntp服務(wù)，因此必須配備相應(yīng)的ntp客戶端軟件來同時間服務(wù)器進(jìn)行時間同步。1.9 時間同步方案示意圖2. 安全系統(tǒng)深化設(shè)計方案2.1 安全系統(tǒng)需求分析朝陽區(qū)教育信息網(wǎng)按功能和防護(hù)區(qū)域可劃分為：外網(wǎng)和內(nèi)網(wǎng)。我們按照不同區(qū)域的安全等級，以及安全特性來規(guī)劃不同的安全防范措施。n 外網(wǎng)所謂外網(wǎng)，我們將其分為兩部分，一部分指的是上聯(lián)到北京教育信息網(wǎng)（內(nèi)網(wǎng)）和通過北京教育信息網(wǎng)上連到國際互聯(lián)網(wǎng)（inte

25、rnet），另一部分是指連接到朝陽區(qū)政府公用信息平臺。出口均設(shè)在朝陽教育信息網(wǎng)的出口網(wǎng)絡(luò)中的cisco6506上。出口網(wǎng)絡(luò)是朝陽教育信息網(wǎng)同外部網(wǎng)絡(luò)的唯一接口，與核心網(wǎng)絡(luò)是雙千兆鏈路連接。由于業(yè)務(wù)的隸屬關(guān)系，及為保證朝陽內(nèi)部網(wǎng)絡(luò)與大網(wǎng)應(yīng)用的兼容性，建議在與北京市教育信息網(wǎng)連接的鏈路上不采用防火墻，但在其它出口（朝陽區(qū)政府公用信息平臺）和internet服務(wù)器區(qū)部署千兆級防火墻來提供安全機制。同時在出口網(wǎng)絡(luò)與核心網(wǎng)絡(luò)的雙千兆鏈路上配備入侵檢測設(shè)備對進(jìn)出的數(shù)據(jù)信息進(jìn)行甄別，以提防外部人員的惡意入侵和破壞，以及對不良網(wǎng)站、非法信息進(jìn)行阻隔。n 內(nèi)網(wǎng)所謂內(nèi)網(wǎng)，我們認(rèn)為可以分為接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)兩部分。

26、l 接入網(wǎng)絡(luò)由朝陽教育信息網(wǎng)所轄的所有學(xué)校、教育機關(guān)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)內(nèi)部用戶組成。對于接入網(wǎng)絡(luò)其安全防護(hù)由朝陽教育信息網(wǎng)的中心機房統(tǒng)一部署管理，每一個學(xué)校或用戶分配不同網(wǎng)段的ip地址，在核心節(jié)點處的多層交換機上利用vlan技術(shù)和acl 對這些不同子網(wǎng)進(jìn)行策略路由，以達(dá)到最理想的網(wǎng)絡(luò)安全。l 核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)包括：核心交換網(wǎng)、網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)中心（idc）。核心網(wǎng)絡(luò)是整個朝陽教育信息網(wǎng)的數(shù)據(jù)中心、資源中心、和管理中心可謂是心臟部位，它的安全系統(tǒng)應(yīng)從以下幾方面著手設(shè)計：1) 防火墻防范來自外部和內(nèi)部的網(wǎng)絡(luò)攻擊和破壞。2) 防拒絕服務(wù)攻擊使用防火墻來防范拒絕服務(wù)型攻擊。3) 漏洞掃描系統(tǒng)時刻監(jiān)控網(wǎng)絡(luò)以及

27、服務(wù)器的安全漏洞。4) 入侵檢測系統(tǒng)專門對服務(wù)器集群進(jìn)行探測來防范并記錄非法和危險的網(wǎng)絡(luò)操作。5) 網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)置總的網(wǎng)絡(luò)防病毒服務(wù)器負(fù)責(zé)整個控制中心和下屬網(wǎng)絡(luò)的防病毒工作。2.2 防火墻系統(tǒng)深化設(shè)計u 防火墻分布位置方案采用六臺華為quidway secpath 1000f 防火墻，配置在朝陽教育信息網(wǎng)網(wǎng)絡(luò)中心的四個邏輯地點，構(gòu)成整個業(yè)務(wù)網(wǎng)絡(luò)的防火墻系統(tǒng)。具體分布連接如下：1我們在internet服務(wù)器區(qū)與外網(wǎng)之間部署一臺secpath 1000f千兆防火墻，其中www、mail、ftp、dns等對外服務(wù)器連接在防火墻的dmz區(qū)；外網(wǎng)卡連接出口網(wǎng)絡(luò)中的cisco6506，與interne

28、t連接。2在出口網(wǎng)絡(luò)中的cisco6506到朝陽區(qū)政府公用信息平臺的鏈路上設(shè)置一臺secpath 1000f和一臺專用nat設(shè)備。具體連接： secpath 1000f放置在出口網(wǎng)絡(luò)的cisco6506到朝陽區(qū)政府公用信息平臺的傳輸設(shè)備的鏈路上。內(nèi)網(wǎng)卡接cisco6506，外網(wǎng)卡接nat設(shè)備（ma5200）；專用nat設(shè)備（ma5200）的一個千兆口接secpath 1000f，另一端與傳輸設(shè)備相連。3網(wǎng)管網(wǎng)絡(luò)到核心網(wǎng)的接口處設(shè)置兩臺secpath 1000f：每臺secpath 1000f的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺quidway s8512相連，每臺secpath 1000f的千兆內(nèi)網(wǎng)卡

29、連接到網(wǎng)管網(wǎng)絡(luò)的cisco6506，兩臺secpath 1000f之間通過1ge端口相連，兩臺secpath 1000f做負(fù)載分擔(dān)/冗余備份，對網(wǎng)管網(wǎng)絡(luò)進(jìn)行保護(hù)。4數(shù)據(jù)中心的關(guān)鍵應(yīng)用服務(wù)器區(qū)到核心交網(wǎng)的接口處設(shè)置兩臺secpath 1000f：每臺secpath 1000f的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺quidway s8512連接，每臺secpath 1000f的一塊千兆內(nèi)網(wǎng)卡連接關(guān)鍵應(yīng)用服務(wù)器區(qū)的cisco6509，兩臺secpath 1000f之間通過1ge端口相連，兩臺secpath 1000f做負(fù)載分擔(dān)/冗余備份，對關(guān)鍵應(yīng)用服務(wù)器區(qū)進(jìn)行保護(hù)。u 防火墻配置在防火墻設(shè)置上我們按照以下原

30、則配置來提高網(wǎng)絡(luò)安全性：1）根據(jù)總體安全策略和安全目標(biāo)，規(guī)劃設(shè)置正確的安全過濾規(guī)則，規(guī)則審核ip數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項目，嚴(yán)格禁止來自公網(wǎng)對內(nèi)網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的ip包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法ip地址離開內(nèi)部網(wǎng)絡(luò)的ip包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。3）在防火墻上建立內(nèi)網(wǎng)計算機的ip地址和mac地址的對應(yīng)表，防止ip地址被盜用。4）在防火墻上進(jìn)行防拒絕服務(wù)攻擊（dosddos）配置。5）定期查看防火墻訪問日志，及時發(fā)現(xiàn)攻擊行為和不

31、良上網(wǎng)記錄。通過對以上四個地點配置防火墻，并在網(wǎng)管網(wǎng)絡(luò)中安裝一臺防火墻集中管理服務(wù)器，對處于不同子網(wǎng)中的多個防火墻進(jìn)行集中管理和配置，就組成了朝陽教育信息網(wǎng)的防火墻系統(tǒng)，構(gòu)成了整個朝陽教育信息網(wǎng)安全防護(hù)的第一道屏障。防火墻系統(tǒng)連接見朝陽教育信息網(wǎng)網(wǎng)絡(luò)安全連接圖。2.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)深化設(shè)計每臺nisd_1000e配置2個1000base-t標(biāo)準(zhǔn)監(jiān)控接口，控制中心設(shè)在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上。nisd_1000e的配置分布如下：1. 出口網(wǎng)絡(luò)與核心網(wǎng)之間部署一臺nisd_1000e2個ge探頭分別配置在出口網(wǎng)絡(luò)中的cisco6506與兩臺核心交換機s8512相連的兩條千兆鏈路上。2. 關(guān)鍵應(yīng)

32、用服務(wù)器區(qū)與核心網(wǎng)之間部署一臺nisd_1000e2個ge探頭分別配置在關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)絡(luò)之間的兩臺防火墻后面。2.4 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計在內(nèi)網(wǎng)中采用一套先進(jìn)的網(wǎng)絡(luò)安全性分析系統(tǒng)isexplorer漏洞掃描系統(tǒng)。網(wǎng)絡(luò)安全性分析系統(tǒng)isexplorer可安裝在一臺筆記本電腦上，定期對不同網(wǎng)段的工作站、服務(wù)器、交換機等進(jìn)行安全檢查，并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。2.5 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計1）在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上安裝symantec antivirus corporate edition網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心，負(fù)

33、責(zé)管理網(wǎng)絡(luò)中心不少于100臺的服務(wù)器和30臺pc機。2）在網(wǎng)絡(luò)中心的主機上安裝symantec antivirus corporate edition網(wǎng)絡(luò)版的服務(wù)器端和客戶端。3）安裝完symantec antivirus corporate edition網(wǎng)絡(luò)版后，在管理員控制臺對網(wǎng)絡(luò)中所有客戶端進(jìn)行定時查殺毒的設(shè)置，保證所有客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機的查殺毒。4）symantec antivirus corporate edition系統(tǒng)中心負(fù)責(zé)整個網(wǎng)絡(luò)中心的升級工作。為了安全和管理的方便起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到symantec全球網(wǎng)站上獲取最新的升級

34、文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它100多個服務(wù)器端和30個客戶端，并自動對symantec antivirus corporate edition殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。采取這種升級方式，一方面確保網(wǎng)絡(luò)中心內(nèi)的symantec antivirus corporate edition殺毒軟件的更新保持同步，使整個網(wǎng)絡(luò)中心都具有最強的防病毒能力；另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避免由于人為因素造成網(wǎng)絡(luò)中因為沒有及時升級為最新的病毒定義碼和掃描引擎而失去最強的防病毒能力。2.6 朝陽區(qū)教育信息網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D3. 服

35、務(wù)器存儲系統(tǒng)的深化設(shè)計3.1 需求分析服務(wù)器作為整個系統(tǒng)硬件的核心，承擔(dān)了整個系統(tǒng)運行數(shù)據(jù)的建立、存儲、查詢、操作、備份以及整個后臺應(yīng)用程序的運行任務(wù)根據(jù)客戶的要求，我們把應(yīng)用分成web服務(wù)、email服務(wù)、數(shù)據(jù)庫服務(wù)、internet應(yīng)用服務(wù)、辦公管理服務(wù)、流媒體點播服務(wù)等。web服務(wù)是以服務(wù)器建立起供廣大教師和學(xué)生登陸及瀏覽的web頁面，提供各種教育信息、新聞、實事動態(tài)、多媒體教學(xué)資源庫、課件制作等等，隨著信息和資源的積累，web服務(wù)器會需要比較大的空間來存放這些數(shù)據(jù)。而這些數(shù)據(jù)的特點是文件比較小，但是同時并發(fā)的數(shù)量眾多，這就要求服務(wù)器和存儲設(shè)備都具有高速、穩(wěn)定、高數(shù)據(jù)吞吐量的性能。對于存

36、儲設(shè)備來說，基于全光纖結(jié)構(gòu)的san架構(gòu)可以滿足這種需求。教育中心的email服務(wù)。由于學(xué)生數(shù)量眾多，加上也要為每一位教師提供email信箱，所以email服務(wù)器的數(shù)據(jù)存儲需求也十分的龐大，特點也是文件數(shù)量多，服務(wù)器對數(shù)據(jù)檢索，并讀到數(shù)據(jù)速度要快，同時并發(fā)數(shù)據(jù)流多。因此也建議采用san架構(gòu)。采用負(fù)載均衡輪詢的方式。數(shù)據(jù)庫服務(wù)器將運行sql server和oracle，由于該數(shù)據(jù)庫的特性，加上數(shù)據(jù)庫對數(shù)據(jù)讀寫十分頻繁，以及參考許多數(shù)據(jù)庫存儲的成功案例，san架構(gòu)以其成熟的技術(shù)，優(yōu)異的性能，良好的擴展性成為了首選。oa辦公管理服務(wù)是將許多日常的書面辦公工作實現(xiàn)電子化，放到網(wǎng)絡(luò)上進(jìn)行，簡化了辦公流程，

37、提高效率，是現(xiàn)代e化的流行趨勢。流媒體點播服務(wù)是將許多多媒體的課件及教學(xué)資源放到網(wǎng)絡(luò)上，廣大師生可以直接到網(wǎng)絡(luò)上自由點播，選擇自已需要的素材，進(jìn)行復(fù)習(xí)備課等，由于數(shù)據(jù)量和傳輸量大，對存儲空間和服務(wù)器的i/o帶寬都提出了很高的要求。3.2 服務(wù)器的安裝與功能分配l 數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器選用兩臺ibm eserver xseries 366。每臺服務(wù)器都配置兩個光纖適配器（hba卡），每臺服務(wù)器要用兩條1000m光纖分別與兩臺光纖交換機點對點連接。 同時，每臺服務(wù)器上將分別安裝emc powerpath 管理軟件，實現(xiàn)服務(wù)器和存儲設(shè)備之間多通道存取。如果其中一條通道發(fā)生故障，powerpath

38、會自動將i/o 負(fù)荷切換到幸存的通道，并在發(fā)生故障的通道得到修復(fù)后立即恢復(fù)其使用。如果在服務(wù)器訪問磁盤陣列數(shù)據(jù)量比較大和頻繁時， powerpath可增加全面i/o吞吐率，更快地完成更多的任務(wù)；也可以自動負(fù)載均衡算法智能地管理多條i/o通道的流量，極大地提高了系統(tǒng)的效率和i/o的吞吐率，避免i/o的瓶頸。 sql數(shù)據(jù)庫和oracle數(shù)據(jù)庫勻放到兩臺emc cx500智能光纖磁盤陣列中。n oracle數(shù)據(jù)庫服務(wù)器：在intrenet網(wǎng)絡(luò)結(jié)構(gòu)中，oracle數(shù)據(jù)庫是對用戶數(shù)量最多、性能最為穩(wěn)定的數(shù)據(jù)庫。基于oracle數(shù)據(jù)庫的dbms能方便生成適用不同業(yè)務(wù)的應(yīng)用數(shù)據(jù)庫系統(tǒng)。選用兩臺ibm ese

39、rver xseries 366。一臺裝windows2000操作系統(tǒng)；一臺裝linux操作系統(tǒng)。n sql server數(shù)據(jù)庫服務(wù)器：兩臺sql server數(shù)據(jù)庫服務(wù)器安裝win2000操作系統(tǒng)，將兩臺sql數(shù)據(jù)庫服務(wù)器互為雙機容錯，保證運行系統(tǒng)的冗余、穩(wěn)定。l internet應(yīng)用服務(wù)器 郵件服務(wù)器：對于朝陽教育信息中心對電子郵件系統(tǒng)大容量、高擴展性、分級管理的實際要求，我們選用五臺ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格） 做一負(fù)載均衡的輪詢的集群方案，來滿足教育辦公網(wǎng)，每天所要面臨著大量的有郵件往來。郵件集群系統(tǒng)由二個smtp server、一個

40、pop3/imap server，和磁盤陣列組成，同時一臺安裝linux操作系統(tǒng)，作為主atm（高級流量管理器）；另有一臺做后備atm?？紤]到系統(tǒng)運行初期，用戶數(shù)量并不多，pop3服務(wù)的并發(fā)訪問量并不大，pop 服務(wù)只設(shè)置一臺服務(wù)器，同時也作imap 服務(wù)。以后用戶量增加時，可以再增加一臺pop3,實現(xiàn)pop服務(wù)的負(fù)載均衡。 web服務(wù)器： web信息發(fā)布需要大容量內(nèi)存，能確保服務(wù)在大用戶量并發(fā)時的系統(tǒng)穩(wěn)定性和服務(wù)效率，web服務(wù)器選用性能和功能指標(biāo)較高的服務(wù)器，選用兩臺ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。同時實現(xiàn)服務(wù)的負(fù)載均衡。 oa服務(wù)器： o

41、a應(yīng)用軟件和web信息發(fā)布需要大容量內(nèi)存，能確保服務(wù)在大用戶量并發(fā)時的系統(tǒng)穩(wěn)定性和服務(wù)效率，保證系統(tǒng)及日志的記錄。建議采用應(yīng)用服務(wù)器2的機型。 dns服務(wù)器：選用兩臺ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。做內(nèi)網(wǎng)和外網(wǎng)的域名解析，同時實現(xiàn)服務(wù)的負(fù)載均衡。 dhcp服務(wù)器：選用兩臺ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。做內(nèi)網(wǎng)和外網(wǎng)的域名解析，同時實現(xiàn)服務(wù)的負(fù)載均衡。 ftp服務(wù)器：選用一臺ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。 telnet服務(wù)器：選用一臺ibm es

42、erver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。 管理服務(wù)器：傳輸網(wǎng)絡(luò)中的時鐘管理、ip網(wǎng)中的網(wǎng)絡(luò)監(jiān)控管理及網(wǎng)管服務(wù)器分別選用ibm eserver xseries 346 （招標(biāo)文件中管理服務(wù)器的規(guī)格）。 數(shù)據(jù)備份服務(wù)器：負(fù)責(zé)整個網(wǎng)絡(luò)中各服務(wù)器上的數(shù)據(jù)備份。選用ibm eserver xseries 346 （招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格）。3.3 服務(wù)器集群的配置n 高可用性數(shù)據(jù)庫服務(wù)器集群：sql server 數(shù)據(jù)庫服務(wù)器: 采用microsoft windows2003 advance server操作系統(tǒng)，兩臺機器之間用串口線連接，數(shù)據(jù)庫要在兩個機器上都要安裝

43、，通過操作系統(tǒng)內(nèi)置的mscs集群應(yīng)用軟件組建兩臺sql server服務(wù)器的cluster服務(wù)，兩臺機器訪問同一個ip地址，做數(shù)據(jù)庫漂移，保證一臺壞掉，另一臺仍然可以繼續(xù)工作。以達(dá)到關(guān)鍵數(shù)據(jù)服務(wù)的不停機運作，保證數(shù)據(jù)不丟失；這樣通過裝在兩個服務(wù)器中的雙機熱備份系統(tǒng)軟件，使系統(tǒng)具有在線容錯能力。n 應(yīng)用服務(wù)高可用性集群： oa服務(wù)器：oa服務(wù)器采用雙機系統(tǒng)，教委oa辦公自動化系統(tǒng)是基于microsoft windows2000 advance server操作系統(tǒng)，通過操作系統(tǒng)內(nèi)置的mscs集群管理雙機。 dns服務(wù)器：服務(wù)器分別選用兩臺應(yīng)用服務(wù)器2的機型，安裝相同的操作系統(tǒng)，作active_a

44、ctive方式的ha集群方式。 dhcp服務(wù)器：服務(wù)器分別選用兩臺應(yīng)用服務(wù)器2的機型，安裝相同的操作系統(tǒng)，作active_active方式的ha集群方式。n 負(fù)載均衡集群系統(tǒng)負(fù)載均衡郵件服務(wù)器：2個smtp server可以構(gòu)成負(fù)載均衡，同時構(gòu)成雙機熱備份，正常情況下，smtp流量平均分配到兩臺smtp server；一旦其中一臺出現(xiàn)故障，另外一臺將自動接管smtp服務(wù)。數(shù)據(jù)存儲分為用戶數(shù)據(jù)和郵件數(shù)據(jù)存儲兩部分，郵件數(shù)據(jù)通過nfs統(tǒng)一存儲到磁盤陣列上。當(dāng)郵件空間不夠時，動態(tài)增加磁盤陣列空間即可。主atm將采用路由的方法進(jìn)行訪問流量地控制和分配，同時對其他三臺服務(wù)器進(jìn)行管理。由主atm采用輪詢的

45、方法來實現(xiàn)當(dāng)訪問流量大時對其它三臺服務(wù)器的進(jìn)行負(fù)載均衡。將其中一臺安裝linux操作系統(tǒng)，作為主atm（高級流量管理器）。設(shè)置一個ip地址來代表整個集群系統(tǒng)，將cmc（集群管理控制臺）安裝在主atm上。再選用一臺做后備atm，實現(xiàn)當(dāng)主atm出現(xiàn)故障時，管理自動平滑到后備atm上。3.4 存儲系統(tǒng)的深化設(shè)計整個存儲體系分為二個部分：san網(wǎng)絡(luò)交換機和磁盤陣列系統(tǒng)。我們在本方案中推薦使用了兩臺磁盤陣列clariion cx500作為后臺存儲的核心設(shè)備，每臺配置了14塊1 46gb的光纖硬盤，每臺原始容量約為2.0tb。每臺clariion cx500有兩個存儲處理器，每個存儲處理器有兩個2 gb

46、光纖通道光學(xué)端口，實現(xiàn)從每個存儲處理器到兩個光纖通道環(huán)路的故障切換。同時系統(tǒng)還配置了兩臺emc ds-32m2-0d光纖通道交換機，構(gòu)成存儲核心結(jié)構(gòu)。l 實施步驟san存儲架構(gòu)包括：光纖通道交換機、高性能海量磁盤陣列、智能磁帶庫。1、 san系統(tǒng)中，各服務(wù)器、磁帶庫、磁盤陣列通過兩個光纖交換機連接成一個san的結(jié)構(gòu)。通過為每個服務(wù)器配置兩個光纖主機適配器（hba卡），可以將應(yīng)用服務(wù)器和備份服務(wù)器通過不同的光纖交換機連接到san環(huán)境。關(guān)鍵的應(yīng)用服務(wù)器需要考慮使用冗余通道，通道的冗余不僅提高了應(yīng)用服務(wù)器訪問存儲設(shè)備的性能，同時也提高了對存儲在san存儲設(shè)備上關(guān)鍵數(shù)據(jù)的可訪問性。所有需要實現(xiàn)冗余路徑

47、的應(yīng)用服務(wù)器通過配置兩個光纖主機適配器，分別連接到兩個不同的交換機。新的服務(wù)器也可以采用同樣的方式連接到san環(huán)境。2、 在20臺服務(wù)器中，對關(guān)鍵數(shù)據(jù)量的應(yīng)用部署在一 臺cx500上，將非關(guān)鍵數(shù)據(jù)分布在負(fù)載不大的cx500中，以保證關(guān)鍵應(yīng)用的服務(wù)質(zhì)量。對存儲應(yīng)用數(shù)據(jù)的磁盤卷采用raid 5的方式。3、 前端的二十臺主機中運行關(guān)鍵應(yīng)用和數(shù)據(jù)庫的服務(wù)器配置兩塊hba卡，并安裝emc公司多路徑軟件powerpath，關(guān)鍵應(yīng)用和數(shù)據(jù)庫服務(wù)器主機的兩個hba卡分別通過不同的交換機接入到cx500的兩個控制器上。4、 交換機的配置以及核準(zhǔn)主機上的代理安裝, navisphere agent、navisph

48、ere manager軟件的安裝，并激活access logix for lun access,同時創(chuàng)建luns、raid群組和存儲組。 5、 對于大流量服務(wù)器群：對于大流量服務(wù)器，對于訪問頻率可能很大，但對于數(shù)據(jù)的存儲量未必很大（如oa服務(wù)器），這樣我們不將這類服務(wù)器連在陣列上。yz 但對與很多大流量服務(wù)器（如流媒體服務(wù)器），不僅訪問比較頻繁，同時也有很多的數(shù)據(jù)需要存儲在磁盤陣列上的。但為了避免訪問瓶頸，我們并沒有在大流量服務(wù)區(qū)前加防火墻。對于此類數(shù)據(jù)的安全，我們會在網(wǎng)絡(luò)層做vlan和acl的訪問措施。同時根據(jù)磁盤陣列的原理，在磁盤陣列上的數(shù)據(jù)都是以存儲卷的格式進(jìn)行存儲，不同的卷之間是相互獨

49、立的，服務(wù)器訪問卷的權(quán)限是被指定的。這也加大了磁盤陣列上數(shù)據(jù)的安全。 3.5 數(shù)據(jù)備份系統(tǒng)的安裝與配置 對于朝陽區(qū)教育“校校通”工程的備份子系統(tǒng)，根據(jù)客戶的實際情況和招標(biāo)文件的具體要求我們推薦的是veritas公司的netbackup存儲備份管理軟件和ultera systems公司的mirage虛擬磁帶庫。ultera systems公司的mirage虛擬磁帶庫配置了四個虛擬磁帶機，直接接入到一臺光纖通道交換機上。備份系統(tǒng)設(shè)計結(jié)構(gòu)：20臺與中央存儲系統(tǒng)直連的關(guān)鍵業(yè)務(wù)服務(wù)器需要實現(xiàn)lan-free備份，由于備份服務(wù)器占用系統(tǒng)資源非常小，一般不會對應(yīng)用產(chǎn)生明顯影響。在備份策略上采用全備份、增量備

50、份、差分備份三種方式靈活應(yīng)用。n 具體實施步驟1、 san網(wǎng)絡(luò)是選用兩臺emc ds-32m2-0d光纖通道交換機，接入前端應(yīng)用服務(wù)器和備份服務(wù)器通過光纖通道交換機與后端的光纖接口磁盤陣列構(gòu)建而成。2、 重要業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)等都通過光纖交換機集中存儲到emc cx500磁盤陣列上，然后通過lan free方式把數(shù)據(jù)備份到磁帶庫中。3、 使用一臺高性能的備份服務(wù)器在其上安裝veritas netbackup服務(wù)器主模塊來管理數(shù)據(jù)備份與恢復(fù)的工作、備份策略和介質(zhì)等的管理。4、 在相應(yīng)需要備份數(shù)據(jù)的服務(wù)器上安裝veritas netbackup for windows客戶端軟件和相應(yīng)數(shù)據(jù)庫代理軟件，

51、備份時數(shù)據(jù)先流經(jīng)現(xiàn)在的lan，到備份服務(wù)器，然后由服務(wù)器通過光纖通道交換機寫入到磁帶中。5、 實現(xiàn)lan-free備份，我們選用ultera systems公司的mirage虛擬磁帶庫，并配置四個光纖接口虛擬驅(qū)動器，使磁帶庫可以直接接入san。這樣，當(dāng)系統(tǒng)進(jìn)行數(shù)據(jù)備份時，備份服務(wù)器通過lan向備份客戶端傳輸控制信息，備份數(shù)據(jù)可以直接通過san從磁盤陣列備份到虛擬磁帶庫。6、 備份策略主要有以下三種：a完全備份b增量備份（數(shù)據(jù)量大時考慮）c差分備份7、 備份內(nèi)容：數(shù)據(jù)庫表空間備份，文件系統(tǒng)備份，程序備份，磁盤克隆8、 備份周期：每天一次數(shù)據(jù)備份，每月一次完整備份3.1 服務(wù)器存儲系統(tǒng)結(jié)構(gòu)拓?fù)鋱D二. 網(wǎng)絡(luò)中心工程的組織與實施根據(jù)已有的工程經(jīng)驗，我們將網(wǎng)絡(luò)中心工程劃分為三個時間段，具體組織與實施安排如下：l 設(shè)備訂貨和設(shè)備到位期，歷時28天，所有網(wǎng)絡(luò)中心所需設(shè)備進(jìn)場，該項任務(wù)主要由項目組的商務(wù)人員負(fù)責(zé)。l 設(shè)備安裝調(diào)試期,設(shè)