网络中心深化设计方案228二层.docx
- 文档编号:5975901
- 上传时间:2023-01-02
- 格式:DOCX
- 页数:44
- 大小:456.56KB
网络中心深化设计方案228二层.docx
《网络中心深化设计方案228二层.docx》由会员分享,可在线阅读,更多相关《网络中心深化设计方案228二层.docx(44页珍藏版)》请在冰豆网上搜索。
网络中心深化设计方案228二层
朝阳区教育“校校通”工程
深化设计方案
(网络中心)
v2.28(二层)
一.网络中心深化设计
1.业务网应用需求分析
根据朝阳区教育“校校通”工程建设的总体规划,建成后的朝阳区教育信息网是一个覆盖全区所有教育单位的,能够实现全区资源共享、互连互通的网络,该网络的基础是一个利用光纤搭建的基于SDH技术的多业务传送平台(MSTP),我们将其称之为底层传送网或者简称为传送网。
而业务网(IP网)是承载于传送网基础之上的数据网络,因此业务网的建设与传送网的业务走向和网络结构有密切的关系。
在传送网的建设规划中,以教委信息中心为全部网络的业务发起和终结主节点,传送网的骨干层有五个核心节点,利用10G带宽的链路构建核心主干网络,全部的业务在教委信息中心落地。
所以在业务网的建设中网络中心就设置在教委的信息中心,这样教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。
兼具传送网的骨干层核心节点和业务网网络中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。
1.1业务流量需求分析
我们根据以往校园网建设经验,并结合本工程的具体需求首先对朝阳教育信息网业务网的流量需求作如下分析。
朝阳教育信息网业务流量主要分为两个方面:
一方面为网络内部的FTP服务、VOD视频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用,这是相对主要的业务流量。
另一方面,Internet互联网出口的浏览查询应用,与市教育信息网内网和区信息平台的公文传递、资源调用等应用,这是相对次要的业务流量。
1.1.1外网流量需求分析
针对上述需求,我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流量。
建设Internet出口目的是为网络用户提供必要的互联网浏览和查询功能,出现大容量的数据上传、下载的机会相对较少,因此根据以往的经验,通过200M带宽的链路连接Internet就可以满足需要。
朝阳教委与区政府的公共信息平台之间的流量主要是些日常的公文传递,不会占用大量的带宽,所以在区公共信息平台出口上的流量也不会太大,而与市教育信息网内网的数据流量主要是些资源的调用,这部分流量的带宽由市教育信息网统一安排。
1.1.2内网流量需求分析
目前朝阳区教育信息网上的应用大致分为:
网站发布、社会教育、学校及学生家长沟通、FTP服务、系统内部的电子邮件、教育管理信息库CMIS、网络视频会议、网络视频教学系统、IP电话应用(VOIP)、视频点播、资源库调用等,我们对以上流量进行分析,将这些流量按照学校通过教委网络中心的流量、学校之间直接流量来分类。
现有的应用中,以一个标准学校为例,将每个应用的流量走向情况分析如下:
现有应用
通过教委的流量
学校之间流量
网站发布/社会教育及学校及学生家长沟通
流量大
流量较小
教委FTP服务
流量大
无
系统内部的电子邮件
流量大
流量较小
学校的FTP服务
无
流量大
教育管理信息库CMIS
流量大
流量较小
网络视频会议系统
流量大
流量大
分校与主校之间交流
无
流量较大
视频点播系统
流量大
流量较小
IP电话系统
流量大
流量大
学校的资源库应用系统
无
流量大
教委的资源库应用系统
流量大
无
从上表分析,我们可以看出在朝阳区教育信息网中,对于目前网络而言,大部分的数据流量都是由学校到教委之间的流量,学校与学校之间的流量相对较少,然而随着网络规模的扩大,各种应用的深入。
学校与学校之间的业务流量将近一步增大,所以在业务网络的设计中在考虑网络中心设备的高硬件性能、高可靠性的同时必须兼顾今后网络的可扩展性需求。
2.业务网的深化设计
2.1网络分层设计方案
根据以上对业务需求的分析,我们提出将业务网(IP网)进行简化,由传统的三层网络结构简化为以教委信息中心核心网络为核心层、其余接入单位统一划入接入层范畴的二层结构。
我们采取这样的网络拓扑结构主要基于如下考虑, 现有的朝阳区教育系统的主要业务流向和应用情况;传输平台(mstp)将所有的业务全在核心节点落地这一实际情况。
根据客户需求在业务网的建设规划中只保留一个核心节点即教委信息中心。
这样一来所有接入单位通过MSTP传输网把IP数据直接透传到核心层的核心交换机上,减少了各学校数据的传输环节,提高了传输速度和交换时间,同时也可以在教委核心的交换机上统一做内部路由和出口策略。
二、三层组网都是很典型的组网应用,而目前网络结构更有扁平化的趋势,因为二层网络具备易管理、易控制、性能高(因为少了一层设备)等优点。
在这样的网路结构中,骨干层设备负责完成网络各接入节点之间的互联,完成高效的数据传输、交换及路由分发。
提供流量控制和用户管理等多项功能,提高整个网络的可靠性和扩展性。
接入层设备提供各种标准接口将数据通过MSTP传输网络上传到骨干层设备中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功作。
这样的结构主要便于集中管理和维护,所有学校的网上行为都将在教委信息中心有效的管理之下,同时减少了故障点,只要保证核心交换设备的可靠运转就可以实现全网的正常连通。
当然扁平的二层结构对核心交换机的性能要求很高,因此必须保证核心交换机有高性能的交换和路由能力。
作为朝阳区教委的核心设备华为的8512是一款高端的交换设备,交换容量720G(S8512),三层路由转发能力为428Mpps,支持vlan4K个,acl条目数4k条,在性能上可以满足实际需求。
同时作为核心设备其可靠性必须要有保障,为了给核心设备提供最高的可靠性,我们采用两台核心路由交换机S8512互为冗余备份,对于关键的板卡比如核心引擎以及供电电源也采用双板卡、双电源的方式进行冗余配置。
接入层就是指具体的接入学校,设备的选择主要考虑交换机支持的802.1QVLAN数量,以及端口的转发能力。
这部分交换机可根据校园网建设的实际情况分为三层交换机和二层交换机,对于有三层交换机的学校可以根据学校的应用情况启动三层路由功能,将网络风暴控制在学校内部,而通过默认网关的方式访问核心层,对于拥有二层交换机的学校,据我们调研学校并不多,可考虑更换三层设备作为接入交换机,或者每个学校作为一个VLAN通过默认网关访问核心层。
综上所述扁平的二层网络最突出的优点是简化网络结构,提高了性能,方便管理和维护,以及节约宝贵的项目资金。
但也存在着对核心设备的压力过大(尤其是当今后网络规模扩大后)和一定得管理风险。
业务网的建设,分为出口网络、核心网络。
其中核心网络又包括主核心交换区块、关键应用服务器网络区块、大流量数据应用服务器区块、网管网络区块、接口网络区块等。
2.1.1出口网络设计
出口网络:
根据用户需求,朝阳区教育信息网的出口设计为两部分,一部分指的是上连到北京市教育信息网(内网)和通过北京教育信息网上连到国际互联网(Internet),另一部分是指连接到朝阳区政府公用信息平台。
即朝阳区教育信息网有三个出口,分别为:
1、北京市教育信息网(内网)
2、通过北京教育信息网上连到国际互联网(Internet)
3、朝阳区政府公用信息平台
主要出口为北京市教育信息网(内网)和Internet,辅助和备份出口为朝阳区政府公用信息平台出口(即连接到朝阳区信息办的链路)。
三个出口均连接到出口网络中的利旧设备Cisco6506交换机上(网络割接之前可用性能相近交换机替代)。
具体出口连接建议说明如下:
一、北京市教育信息网出口(内网,Internet)
1、朝阳区教育信息网到北京市教育信息网的出口为两条千兆物理链路,市教委会放置两台设备在朝阳信息中心:
Cisco7609Sup720+CiscoCatalyst4506SupV。
朝阳上连的设备为Cisco7609Sup720,具体端口1000Base-SX和1000Base-T都可以,有2个。
2、建议到北京市教育信息网内网的流量和Internet出口流量的线路分开连接,即:
一个端口为北京市教育信息网(内网)端口,另一个端口为Internet出口端口,Internet流量的质量根据朝阳教育信息网的需求,由市教委统一的带宽管理设备进行管理,从而保证朝阳区的Internet带宽需求。
这样一来对于朝阳教育信息网来说可以很好的区分到北京市教育信息网内网的流量和Internet(其他外网)的流量,从而更加便于对业务流量的分类和监管。
3、由于朝阳教育信息网所用的IP地址为市教育信息网分配的合法IP,所以朝阳教育信息网到北京市教育信息网(内网,Internet)的两条千兆链路不需要进行NAT。
但为保证朝阳教育信息网内部安全,建议在到北京市教育信息网(内网,Internet)的两条千兆出口链路上分别放置两台QuidwaySecpath1000F千兆防火墙,对朝阳教育信息网内网进行保护。
二、朝阳区政府公用信息平台
从朝阳信息中心的传输网设备OpCity8930上下业务,即传输网设备与出口交换机Cisco6506相连,为了安全保证,在传输设备与Cisco6506之间放置专用NAT(MA5200)设备及千兆防火墙。
2.1.2核心网络设计
主核心交换区块:
由两台核心交换机S8512组成,两台核心路由交换机之间通过link-aggregation(端口聚合)技术绑定两条10G链路,从而构建了万兆带宽网络核心交换平台。
两台核心交换机分别以10条千兆链路与传输网设备OPCITY8930的业务网千兆接口相连。
主核心交换负责整个业务网的数据交换工作,为了保障网络中心核心设备的正常运行,我们将通过主核心设备双机冗余,主要路由交换板卡、电源均采用冗余备份的方式配置,以提高设备的可靠性。
在两台核心路由交换机上运行VRRP协议,当任何一台核心路由交换机发生故障时,通过VRRP协议,另一台核心路由交换机立即接管所有的工作。
VRRP协议是一种热备份路由协议,应用于双机热备,其工作原理为:
VRRP协议将系统中两台路由交换机组成VRRP组,该组拥有一个虚拟缺省网关地址。
在任何时刻,一个组内只有控制虚拟网关地址的路由交换机是活动的(master),并由它来转发数据包,如果活动路由交换机发生了故障,将选择另一个优先权较低的冗余备份路由交换机(backup)来替代活动路由交换机。
由于网络内的终端配置的是VRRP虚拟网关地址,因此在它们看来,虚拟路由交换机没有改变。
所以主机仍然保持连接,没有受到网络中单点故障的影响,这样就较好地解决了路由交换机切换的问题。
提高了核心交换区块的可靠性。
关键应用服务器区块:
主要由SAN网络存储系统备份系统和服务器集群系统组成,在原投标方案中我们建议利用教委已有的CISCO6509充当该区块的主交换机,由于该CISCO6509现正在负责原有网络的连接任务,所以在工程实施过程中可以租用或借用其他同级别的交换机代替。
关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连主核心交换区块,以起到链路冗余备份和负载分担的功能,提高网络的可靠性。
该区块的功能和配置将在服务器存储设备的实施章节有详细描述。
网管网络区块主要负责整个网络的管理和监护,它采用带外管理与带内管理混合的模式,通常带内管理组网比较简单、灵活,但却要占用承载业务流量的带宽。
带外管理不占用承载业务的带宽,网管网络和其他网络设备之间独立成网,该区块的主交换机由教委现有的CISCO6506担当,(因为同样的原因该交换机正在使用中,所以也必须考虑替代问题。
)而主要网管软件采用华为3COM的iManagerQuidview网管系统进行网络管理,对于网络中心的其他网管子系统如:
传输设备管理、网络设备管理、数字同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫描子系统、时间同步子系统等,分别采用其各自的管理软件进行全网相应的管理。
非华为公司的设备如CISCO6509等设备可由CISCO自带的NETWORKS网管软件管理,对于整个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件,如Sniffer等来监控。
网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况,可在第一时间检测到故障。
并发出报警讯息,便于网管人员快速准确的排除故障。
接口网络区块负责网络中心的核心数据交换设备与传输网的MSTP设备相连,担负着传输网上的数据业务落地的重任。
该区块主要设备为传输网的MSTP设备OPCITY8930,它通过20条千兆光纤链路分别与两台核心交换机相连。
根据交流,甲方提出要在学校上连教委信息中心的网络带宽中预留2M的安全监控端口,和10M的考试监控端口以及相应的视频带宽,这些需要在传输网技术方面做相应的时隙划分、和端口预留等工作我们将在传输网深化设计方案中给予具体描述。
大流量应用服务器负责提供应用教学资源,该区块由若干服务器集群组成,这些服务器集群分别通过两条千兆光纤或者电口链路直接与核心交换机相连。
以起到链路冗余备份的功能提高网络的可靠性。
2.2网络拓扑结构图
(注:
本网络拓扑图仅为网络结构示意图,具体设备和连接方式以实场际情况为准。
)
2.3原有设备的利旧
根据客户要求对原有设备进行利旧,我们在网络中心业务网的深化设计方案中已经对利旧设备的用途做了详细描述,现就这些设备的现状和需要升级或者添加的功能模块做一下说明。
朝阳区现有可利旧的设备包括一台思科6509,两台思科6506和一些思科4000系列的三层交换机。
下表是主要可利旧设备的清单
目前主要可利旧设备清单
型号
描述
数量
信息中心核心节点交换机
WS-C6509-1300AC=
Catalyst6509Chassisw/1300WACPowerSupply
1
WS-X6K-S2
Catalyst6500SupervisorEngine-2,2GE
1
WS-X6408A-GBIC
Catalyst60008-portGE,EnhancedQoS(Req.GBICs)
2
WS-G5486
1000BASE-LX/LH"longhaul"GBIC(singlemodeormultimode)
6
WS-G5484=
1000BASE-SX
6
朝阳教委核心节点交换机
WS-C6506-1000AC=
Catalyst6506Chassisw/1000WACPowerSupply
1
WS-X6K-S2
Catalyst6500SupervisorEngine-2,2GE
1
WS-X6408A-GBIC
Catalyst60008-portGE,EnhancedQoS(Req.GBICs)
2
WS-G5487
1000Base-ZXextendedreachGBIC(singlemode)
1
WS-G5486
1000BASE-LX/LH"longhaul"GBIC(singlemodeormultimode)
7
WS-G5484=
1000BASE-SX
1
广播局核心节点交换机
WS-C6506-1000AC=
Catalyst6506Chassisw/1000WACPowerSupply
1
WS-X6K-S2
Catalyst6500SupervisorEngine-2,2GE
1
WS-X6408A-GBIC
Catalyst60008-portGE,EnhancedQoS(Req.GBICs)
1
WS-G5487
1000Base-ZXextendedreachGBIC(singlemode)
2
WS-G5486
1000BASE-LX/LH"longhaul"GBIC(singlemodeormultimode)
6
WS-G5484=
1000BASE-SX
0
在实际的利旧过程中,会将这些设备所配备的板卡做重新分配,来满足需要,并能最大限度的保护前期投资。
2.4原有网络的割接
教委信息中心正在负责30余所学校的Internet接入工作,在本次工程的施工过程中要求这30余所学校的网络不得中断,因此负责该30余所学校网络连通的设备如CISCO6509等交换机不能另做他用,只有当工程竣工以后,网络试运行正常时,才能将原有的网络割接到现有网络中。
在这个过程中只有通过借用或者租用其他同档次的交换机替代的方式来解决问题。
在本次工程中这些学校都是区域网络中的一个节点,所以在施工过程中对这些学校按原计划铺设光纤配置传输设备,不会影响到学校网络的正常连通。
待割接完毕后将空闲下来的交换设备按设计方案应用到业务网络中去。
这样即保证原有的网络不会中断,又最大限度的保护了前期投资节约了成本。
关于朝阳教委新址的网络接入问题,为了保证在施工过程中朝阳教委所带的网络不致中断,待朝阳教委移至新址后,优先铺设一条光纤连接到教委信息中心的核心交换机上,当工程完工后朝阳教委所带的10于所学校通过传送网的透传直接连到信息中心,而朝阳教委到信息中心的光纤则予以保留。
2.5IP地址规划深化设计
2.5.1IP深化设计
朝阳教育信息网所使用的IP地址由北京市教育信息网统一进行分配,根据目前确定的分配给朝阳教育信息网的IP地址,我们在深化设计中给出如下设计:
北京市教育信息网分配给朝阳教育信息网的IP地址全部为合法IP,共1个半的B类地址。
在此种情况下,朝阳教育信息网内的所有单位均使用真实IP。
包括朝阳教育信息中心,朝阳教委新办公网及所有接入学校,每台上网的设备均使用真实IP,使得所有的连网设备都具有可溯性。
在此种情况,我们设计IP地址的使用情况大致如下:
1、接入学校约为240所,每个学校根据信息点数和电脑数量的不同分别可分配1-3个C类的地址。
点数少的学校可把一个C类地址分成多个子网给多个学校,点数及上网电脑多的学校可分配多个C类地址,这样平均下来,我们预计绝大多数学校使用一个C类地址(254个可用地址)即够用。
2、根据用户需求,建议分配给每个学校的地址段中拿出2-5个地址作为学校可对外发布的地址(大校前5个可用IP地址,普通学校前2个可用IP地址)。
学校的发布地址由中心统一管理,学校在需要的时候上报信息中心开通。
学校的其他IP地址由中心作策略一律不允许对外发布。
3、信息中心预留10个C类地址(包括办公及各类服务器,所有的服务器均使用真实IP,无须再做NAT)。
4、朝阳教委预留4个C类地址(局机关办公网络)。
以上的IP地址分配方式大致只用了1个完整的B类地址,还有半个B类地址可用,可以根据实际情况再进行分配。
有关“合法IP地址的问题”市教委信息中心会召开会议或者通知方式进行说明。
现在可以确定的是,经过合理的IP地址规划,即保证每台接入网络的计算机都有合法IP地址,又保证IP地址的使用有效性,不闲置不浪费。
朝阳区教育信息网到市教育信息网络(内网,Internet)的出口不需要进行NAT,但到朝阳区政府公用信息平台(朝阳区信息办)需要NAT转换。
2.5.2路由规划
建成后的朝阳教育信息网的业务流量包括学校间的流量和从学校到信息中心的流量,业务流量将在信息中心落地和进行路由交换。
鉴于这一典型的业务集中式网络,每个接入单位(学校)都有三层交换设备,因此可以将广播域控制在接入单位内部,为每个接入单位分配连续的地址网段,以静态路由的方式指向网络中心的汇聚层设备。
信息中心的核心交换设备之间启用OSPF动态路由协议,构成核心区域area0,负责所有的路由转发工作,这样既可保证学校IP地址的相对固定和信息中心IP地址使用的灵活性又可实现路由的快速收敛。
网络中心三个出口的路由可采用缺省静态路由指向,或根据对端接入要求采用动态路由协议。
2.6时间同步设备的实施
2.6.1交换设备以及计算机系统时间同步
1、华为的SYNLOCKV3BITS设备提供时间输出接口,该接口为标准的以太网接口,因此我们将其作为此次时间同步方案的一级时间服务器。
2、在网管网络中设置一台服务器,作为网络中心的二级时间服务器,该服务器配置两块网卡,通过两条链路分别连接一级时间服务器SYNLOCKV3的时间输出接口,和网管网络交换机CISCO6506,为该二级时间服务器设定相应的IP地址,网络中心的核心核心交换机S8512和其他利旧的思科交换机都支持时间同步协议NTP,因此利用以太网络,只要可以访问二级时间服务器的IP地址,即可以得到时间同步信息,并将其传输到其他网络设备和计算机系统中。
3、网络中心内所有的工作站、服务器等计算机系统可以大致按操作系统分为UNIX、LINUX操作系统,WINDOWS操作系统,对于UNIX和LINUX操作系统本身支持NTP协议,可以直接通过IP地址访问时间服务器获得时间同步,而对于WINDOWS系统尤其是WINDOWS2000和WINDOWSXP操作系统不提供NTP服务,因此必须配备相应的NTP客户端软件来同时间服务器进行时间同步。
2.6.2时间同步方案示意图
3.安全系统深化设计方案
3.1安全系统需求分析
朝阳区教育信息网按功能和防护区域可划分为:
外网和内网。
我们按照不同区域的安全等级,以及安全特性来规划不同的安全防范措施。
⏹外网
所谓外网,我们将其分为两部分,一部分指的是上连到北京市教育信息网(内网)和通过北京教育信息网上连到国际互联网(Internet),另一部分是指连接到朝阳区政府公用信息平台。
出口均设在朝阳教育信息网的出口网络中的Cisco6506上。
出口网络是朝阳教育信息网同外部网络的唯一接口,与北京市教育信息网是双千兆链路连接,一路接北京市教育信息网(内网),一路通过北京教育信息网上连到国际互联网(Internet)。
为保证朝阳内部网络的安全,建议在这两条千兆链路上分别采用两台千兆防火墙,作为朝阳教育信息网的对外安全防护。
在到朝阳区政府公用信息平台的出口链路上部署专用NAT设备和千兆级防火墙来提供地址转换和安全机制。
同时在出口网络与核心网络的双千兆链路上配备入侵检测设备对所有进出朝阳教育信息网的数据信息进行甄别,以提防外部人员的恶意入侵和破坏,以及对不良网站、非法信息进行阻隔。
根据用户需求,朝阳教育信息网基本防护策略为:
由内向外的连接基本允许,但由外向内的访问和连接一定要经过审核。
⏹内网
所谓内网,我们认为可以分为接入网络和核心网络两部分。
建议在朝阳教育信息网内网中的核心交换机和汇聚交换机上通过ACL屏蔽掉Ping,Telnet,NetBIUE等服务和协议(特定的用户可放开)。
●接入网络
由朝阳教育信息网所辖的所有学校、教育机关网络和其他网络内部用户组成。
对于接入网络其安全防护由朝阳教育信息网的中心机房统一部署管理,每一个学校或用户分配不同网段的IP地址,在核心节点处的多层交换机上利用VLAN技术和ACL对这些不同子网进行策略路由,以达到最理想的网络安全。
●核心网络
核心网络包括:
核心交换网、网管网络和数据中心(IDC)。
核心网络是整个朝阳教育信息网的数据中心、资源中心、和管理中心可谓是心脏部位,它的安全系统应从以下几方面着手设计:
1)防火墙
防范来自外部和内部的网络攻击和破坏。
2)防拒绝服务攻击
使用防火墙来防范拒绝服务型攻击。
3)漏洞扫描系统
时刻监控网络以及服务器的安全漏洞。
4)入侵检测系统
专门对服务器集群进行探测来防范并记录非法和危险的网络操作。
5)网络防病毒系统
设置总的网
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络中心 深化 设计方案 228