网络中心深化设计方案220.docx
- 文档编号:6437304
- 上传时间:2023-01-06
- 格式:DOCX
- 页数:19
- 大小:308.61KB
网络中心深化设计方案220.docx
《网络中心深化设计方案220.docx》由会员分享,可在线阅读,更多相关《网络中心深化设计方案220.docx(19页珍藏版)》请在冰豆网上搜索。
网络中心深化设计方案220
网络中心建设部分
深化设计方案
一.网络中心深化设计3
1.业务网的深化设计3
1.1应用需求分析3
1.2业务流量需求分析3
1.2.1外网流量需求分析3
1.2.2内网流量需求分析3
1.3各功能区块的配置与设备利旧5
1.4网络拓扑结构图9
1.5交换设备安装与调试10
1.6原有网络的割接11
1.7IP地址规划深化设计11
1.8交换设备以及计算机系统时间同步12
1.9时间同步方案示意图13
2.安全系统深化设计方案14
2.1安全系统需求分析14
2.2防火墙系统深化设计15
2.3网络入侵检测系统深化设计16
2.4网络漏洞扫描系统深化设计17
2.5网络防病毒系统深化设计17
2.6朝阳区教育信息网网络安全拓扑图18
3.服务器存储系统的深化设计19
3.1需求分析19
3.2服务器的安装与功能分配19
3.3服务器集群的配置21
3.4存储系统的深化设计22
3.5数据备份系统的安装与配置24
3.1服务器存储系统结构拓扑图25
二.网络中心工程的组织与实施19
一.网络中心深化设计
1.业务网的深化设计
1.1应用需求分析
业务网(IP网)是承载于传送网上的数据网络,根据朝阳区教育“校校通”工程建设的总体规划,在传送网的骨干层有五个核心节点,利用10G带宽的链路构建核心主干网络。
而业务网的数据中心只有一个,位于教委的信息中心,因此教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。
兼具传送网的骨干层核心节点和业务网数据中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。
1.2业务流量需求分析
我们根据以往校园网建设经验,并结合本工程的具体需求首先对朝阳教育信息网业务网的流量需求作如下分析。
朝阳教育信息网业务流量主要分为两个方面:
一方面为网络内部的FTP服务、VOD视频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用,这是相对主要的业务流量。
另一方面,Internet互联网出口的浏览查询应用,与区信息平台的公文传递应用这是相对次要的业务流量。
1.2.1外网流量需求分析
针对上述需求,我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流量。
建设Internet出口目的是为网络用户提供必要的互联网浏览和查询功能,出现大容量的数据上传、下载的机会相对较少,因此根据以往的经验,通过100M带宽连接Internet就可以满足需要。
朝阳教委与区政府的公共信息平台之间的流量主要是些日常的公文传递,不会占用大量的带宽,所以在区公共信息平台出口上的流量也不会太大。
1.2.2内网流量需求分析
目前朝阳区教育信息网上的应用大致分为:
网站发布、社会教育及学校及学生家长沟通、FTP服务、系统内部的电子邮件、教育管理信息库CMIS、IC卡应用系统、网络视频会议、网络视频教学系统、IP电话应用(VOIP)、视频点播、资源库调用等应用,我们对以上流量进行分析,将这些流量按照学校局域网内部流量、通过教委数据中心的流量、校间流量来分类。
其中学校局域网内部流量不影响整个数据平台的流量,不予以分析
现有的应用中,以一个标准学校为例,将每个应用的流量分布情况分析如下:
现有应用
通过教委的流量
校间流量
网站发布/社会教育及学校及学生家长沟通
有
无
教委FTP服务
有
无
系统内部的电子邮件系统
有
无
VOD视频点播
有
无
教育管理信息库CMIS
有
无
IC卡应用系统
有
无
网络视频会议系统
有
有
教委的视频点播系统
有
无
IP电话系统
有
有
教委的资源库应用系统
有
无
从上表分析,我们可以看出在朝阳区教育信息网中,对于整个网络而言,绝大部分的数据流量都集中在学校与教委之间。
因此这是一个典型的业务集中型网络结构。
根据上述的业务分析,我们提出将业务网(IP网)进行简化,由传统的三层网络结构简化为以教委信息中心核心网络为骨干层、其余接入单位统一划入接入层范畴的二层结构。
之所以采取这样的网络拓扑结构主要基于如下考虑, 现有的朝阳区教育系统的主要业务应用情况和接入平台(mstp接入)的实际情况很符合二层的网络拓扑结构,二、三层组网都是很典型的组网应用,而目前网络结构更有扁平化的趋势,因为二层网络具备易管理、易控制、性能高(因为少了一层设备)等优点。
在这样的网路结构中,骨干层设备负责完成网络各接入节点之间的互联,完成高效的数据传输、交换及路由分发。
提供流量控制和用户管理等多项功能,提高整个网络的可靠性和扩展性。
接入层设备提供各种标准接口将数据通过MSTP传输网络上传到骨干层设备中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功作。
这样的结构主要便于集中管理和维护,所有学校的网上行为都将在教委信息中心有效的管理之下,同时将故障点集中在教委信息中心,当出现单点故障时可以就近解决问题。
当然扁平的二层结构对核心交换机的性能要求很高,因此必须保证核心交换机安全可靠的运行。
作为朝阳区教委的核心设备85是一款高端的交换设备,交换容量720G(S8512),支持vlan4K个,acl条目数4k条,在性能上完全可以满足实际需求。
综上所述扁平的二层网络最突出的优点是简化网络结构,方便管理和维护,以及节约宝贵的项目资金。
核心层设备根据需求应满足万兆级速率的连接,同时应该具备大容量的包吞吐率,支持大密度大容量接口,为了实现最高的可靠性,应提供两台核心路由交换机互为冗余备份,对于关键的板卡比如核心引擎以及供电电源也采用双板卡冗余。
而接入层设备可根据校园网建设的实际情况分为三层交换机和二层交换机,对于有三层交换机的学校可以启动三层路由功能,将网络风暴控制在学校内部,而通过静态路由访问骨干层,对于拥有二层交换机的学校,据我们调研学校并不多,可考虑更换三层设备,或者将这些学校单独划分为不同的VLAN以实现隔绝网络风暴的功能。
1.3各功能区块的配置与设备利旧
网络中心按照功能划分为若干区块,即出口网络区块、主核心交换区块、关键应用服务器区块、大流量数据应用服务器区块、网管网络区块、接口网络区块等。
出口网络区块:
朝阳区教育信息网的出口有两个:
即北京市教育信息网和朝阳区政府公用信息平台。
主要出口为北京市教育信息网,辅助和备份出口为朝阳区政府公用信息平台出口(即连接到朝阳区信息办的链路)。
两个出口均连接到出口网络中的利旧设备Cisco6506交换机上(网络割接之前可用性能相近交换机替代)。
具体出口连接说明如下:
一、北京市教育信息网出口
1、朝阳区教育信息网到北京市教育信息网总共一条物理链路,市教委会放置两台设备在朝阳中心,Cisco7609Sup720+CiscoCatalyst4506SupV,朝阳上联的设备为Cisco7609Sup720,具体端口1000Base-SX和1000Base-T都可以,但只有一个接口,不分内网和Internet端口。
2、内网流量和Internet出口流量通过上述的统一线路和端口进行传递,Internet流量的质量由市教委统一的带宽管理设备进行管理,从而保证朝阳区的Internet带宽需求。
3、朝阳出口设备不需要进行NAT。
为保证朝阳内部网络和大网应用的兼容性,建议不采用防火墙放置在总出口上。
二、朝阳区政府公用信息平台
由朝阳区政府下来的链路机为了安全保证,在接入Cisco6506之前放置专用NAT(MA5200)设备及千兆防火墙,以起到安全防护和地址转换的功能。
主核心交换区块拓扑:
由两台核心交换机S8512组成,两台核心路由交换机之间建立两条10G链路,通过link-aggregation将两个端口聚合为一个逻辑端口。
聚合端口通过流量配置算法支持端口流量自动均衡保护,使所属物理通道流量基本均衡。
主核心交换区块负责整个业务网的数据交换、路由转发工作,因此在信息中心配置两台核心骨干交换机作为网络中心数据的骨干交换设备,我们可以将其比喻为业务网网络中心的心脏,为了保障网络中心核心设备的正常运行,将通过采取主设备双机冗余,增加防火墙等措施来提高它的高可靠性和高安全性。
教育信息网传送网的核心层的其余节点不再安排核心交换设备,这相当于在业务网(IP网)的核心层只建设(保留)一个核心节点即教委信息中心。
这样一来,接入层及汇聚层节点通过MSTP传送网把各个学校的IP数据直接透传到核心层的核心交换机,减少了各学校数据在核心层的传送环节,提高了传输速度和交换时间,同时也可以在教委核心的交换机上统一做内部路由和出口。
关键应用服务器区块:
主要由SAN网络存储系统备份系统和服务器集群系统组成,在原投标方案中我们建议利用教委已有的CISCO6509充当该区块的主交换机,由于该CISCO6509现正在负责连接30多所学校的上网业务,所以在工程实施过程中可以租用或借用其他同级别的交换机代替。
关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连主核心交换区块,以起到链路冗余备份的功能,提高网络的可靠性。
该区块的功能和配置将在服务器存储设备的实施章节有详细描述。
网管网络区块:
主要负责整个网络的管理和监护,它采用带外管理与带内管理混合的模式,通常带内管理组网比较简单、灵活,但却要占用承载业务流量的带宽。
带外管理不占用承载业务的带宽,网管网络和其他网络设备之间独立成网,该区块的主交换机由教委现有的CISCO6506担当,(因为同样的原因该交换机正在使用中,所以也必须考虑替代问题。
)而主要网管软件采用华为3COM的iManagerQuidview网管系统进行网络管理,对于网络中心的其他网管子系统如:
传输设备管理、网络设备管理、数字同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫描子系统、时间同步子系统等,分别采用其各自的管理软件进行全网相应的管理。
非华为公司的设备如CISCO6509等设备可由CISCO自带的Works2000网管软件管理,对于整个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件,如Sniffer等来监控。
网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况,可在第一时间检测到故障。
并发出报警讯息,便于网管人员快速准确的排除故障。
接口网络区块负责网络中心的核心数据交换设备与传送网的MSTP设备相连,担负着传送网上的数据业务落地的重任。
该区块主要设备为传送网的MSTP设备OPCITY8930,它通过20条千兆光纤链路分别与两台核心交换机相连。
根据交流,甲方提出要在学校上连教委信息中心的网络带宽中预留2M的安全监控端口,和10M的考试监控端口以及相应的视频带宽,这些需要在传送网技术方面做相应的时隙划分、和端口预留等工作我们将在传送网深化设计方案中给予具体描述。
大流量应用服务器负责提供应用教学资源,该区块由若干服务器集群组成,这些服务器集群分别通过两条千兆光纤或者电口链路直接与核心交换机相连。
以起到链路冗余备份的功能提高网络的可靠性。
1.4网络拓扑结构图
(注:
本网络拓扑图仅为结构示意图,具体设备和连接方式以实际情况为准。
)
1.5交换设备安装与调试
⏹核心路由交换机
1、网络中心采用了两台S8512作为核心路由交换机,同时通过在两台核心路由交换机上运行VRRP协议来为服务器区、网络核心各个子网提供一个唯一的默认网关。
当任何一台核心路由交换机发生故障时,通过VRRP协议,另一台核心路由交换机立即接管所有的工作。
VRRP协议是一个热备份路由协议,应用于双机热备,其工作原理为:
VRRP协议将系统中两台路由交换机组成VRRP组,该组拥有一个虚拟缺省网关地址。
在任何时刻,一个组内只有控制虚拟网关地址的路由交换机是活动的(master),并由它来转发数据包,如果活动路由交换机发生了故障,将选择另一个优先权较低的冗余备份路由交换机(backup)来替代活动路由交换机。
由于网络内的终端配置的是VRRP虚拟网关地址,因此在它们看来,虚拟路由交换机没有改变。
所以主机仍然保持连接,没有受到网络中单点故障的影响,这样就较好地解决了路由交换机切换的问题。
2、利用MSTP生成树技术,不但可以避免网络中的环路产生,还可以在网络中实现流量的负载均衡,首先根据流量应用、业务主次、部门功能划分不同的VLAN,然后根据流量将不同的VLAN指定不同的转发主网桥和备份链路从网桥,从而实现将数据流量平均负担在两台核心骨干交换机上。
3、在对主机进行热备的同时,还对S85主要的路由处理板卡进行冗余备份。
即在每一台S85上安装两块路由处理板卡,一块处于运行状态,一块处于伺服状态,一旦主板卡出现故障,伺服板卡可以无缝的接管数据处理任务,电源配备上也按照高可靠性要求在每台S85上安装两块电源。
4、每台S85配置了两块24口千兆电口板卡,和一块24口千兆光口板卡,以保证网络中心高密度的连接,并提供数据高速的传播和交换能力。
5、每台S85通过10个GE光纤多模接口和传送网的MSTP设备的10个GE多模端口相连。
6、核心网络设备的其余千兆电口和千兆多模光口用于连接其余功能区块的主交换机和服务器或者防火墙等设备。
⏹各功能区块交换机
这部分交换机主要是三台千兆的多层交换机CISCO6500系列或者是与其同档次(也可低一档次)的其他型号的三层千兆交换机。
这些交换机主要是提供高密度的千兆端口和起到网络的物理隔离功能。
因此需要在这些交换机上根据实际情况增加相应的千兆板卡和模块,同时划分相应的VLAN。
每一个功能区块交换机都要通过两条千兆光纤链路上连主核心交换机,所以要在这些交换机上启用生成树STP等功能以避免网络环路的产生。
⏹接入层交换机
接入层交换机主要是启动设备的三层路由功能,定义默认网关指向骨干层核心设备。
1.6原有网络的割接
教委信息中心正在负责30余所学校的Internet接入工作,在本次工程的施工过程中要求这30余所学校的网络不得中断,因此负责该30余所学校网络连通的设备如CISCO6509等交换机不能另做他用,我们前文已经提到可以借用或者租用其他同档次的交换机替代。
因在本次工程中这30余所学校都是区域网络中的一个节点,所以在施工过程中对这些学校按原计划进行,当工程完工后再将这30余所学校的链路割接到朝阳区教育信息网中,其交换设备同样按原计划应用到上节提到的各功能区块中去。
这样即保证原有的网络不会中断,又最大限度的保护了前期投资节约了成本。
1.7IP地址规划深化设计
鉴于建成后的朝阳教育信息网的业务流量是从学校到网络中心的这一典型的业务集中式网络,每个接入单位都有三层交换设备,因此可以将广播域控制在接入单位内部,为每个接入单位分配连续的地址网段,以静态路由的方式指向网络中心。
朝阳教育信息网所使用的IP地址由北京市教育信息网统一进行分配,由于尚未最终确定分配给朝阳教育信息网的IP地址,我们在深化设计中给出两种预留设计:
一、北京市教育信息网分配给朝阳教育信息网的IP地址全部为真实IP。
在此种情况下,朝阳教育信息网内的所有单位均使用真实IP。
包括朝阳教育信息中心,朝阳教委及所有接入学校,每台上网的设备均使用真实IP,使得所有的连网设备都具有可溯性。
在此种情况,我们预计北京市教育信息网应至少分配给朝阳教育信息网1个完整的B类地址,使用情况大致可预计如下:
1、接入学校约为240所,每个学校根据信息点数和电脑数量的不同分别可分配1-3个C类的地址。
点数少的学校可把一个C类地址分成多个子网给多个学校,点数及上网电脑多的学校可分配多个C类地址,这样平均下来,我们预计绝大多数学校使用一个C类地址(254个可用地址)即够用。
2、信息中心预留10个C类地址(包括办公及各类服务器,所有的服务器均使用真实IP,无须再做NAT)
3、朝阳教委预留4个C类地址(局机关办公网络)
二、北京市教育信息网分配给朝阳教育信息网的IP地址部分为真实IP,而区公共信息平台分配与朝阳教育信息网的地址是私有地址。
在此种情况下,可以通过区公共信息平台链路上的NAT地址转换设备将需要与区公共信息平台传送数据的用户的真实IP转换为区公共信息平台分配的私有地址。
1.8交换设备以及计算机系统时间同步
1、华为的SYNLOCKV3BITS设备提供时间输出接口,该接口为标准的以太网接口,因此我们将其作为此次时间同步方案的一级时间服务器。
2、在网管网络中设置一台服务器,作为网络中心的二级时间服务器,该服务器配置两块网卡,通过两条链路分别连接一级时间服务器SYNLOCKV3的时间输出接口,和网管网络交换机CISCO6506,为该二级时间服务器设定相应的IP地址,网络中心的核心骨干交换机S8512和其他利旧的思科交换机都支持时间同步协议NTP,因此利用以太网络,只要可以访问二级时间服务器的IP地址,即可以得到时间同步信息,并将其传送到其他网络设备和计算机系统中。
3、网络中心内所有的工作站、服务器等计算机系统可以大致按操作系统分为UNIX、LINUX操作系统,WINDOWS操作系统,对于UNIX和LINUX操作系统本身支持NTP协议,可以直接通过IP地址访问时间服务器获得时间同步,而对于WINDOWS系统尤其是WINDOWS2000和WINDOWSXP操作系统不提供NTP服务,因此必须配备相应的NTP客户端软件来同时间服务器进行时间同步。
1.9时间同步方案示意图
2.安全系统深化设计方案
2.1安全系统需求分析
朝阳区教育信息网按功能和防护区域可划分为:
外网和内网。
我们按照不同区域的安全等级,以及安全特性来规划不同的安全防范措施。
⏹外网
所谓外网,我们将其分为两部分,一部分指的是上联到北京教育信息网(内网)和通过北京教育信息网上连到国际互联网(Internet),另一部分是指连接到朝阳区政府公用信息平台。
出口均设在朝阳教育信息网的出口网络中的Cisco6506上。
出口网络是朝阳教育信息网同外部网络的唯一接口,与核心网络是双千兆链路连接。
由于业务的隶属关系,及为保证朝阳内部网络与大网应用的兼容性,建议在与北京市教育信息网连接的链路上不采用防火墙,但在其它出口(朝阳区政府公用信息平台)和Internet服务器区部署千兆级防火墙来提供安全机制。
同时在出口网络与核心网络的双千兆链路上配备入侵检测设备对进出的数据信息进行甄别,以提防外部人员的恶意入侵和破坏,以及对不良网站、非法信息进行阻隔。
⏹内网
所谓内网,我们认为可以分为接入网络和核心网络两部分。
●接入网络
由朝阳教育信息网所辖的所有学校、教育机关网络和其他网络内部用户组成。
对于接入网络其安全防护由朝阳教育信息网的中心机房统一部署管理,每一个学校或用户分配不同网段的IP地址,在核心节点处的多层交换机上利用VLAN技术和ACL对这些不同子网进行策略路由,以达到最理想的网络安全。
●核心网络
核心网络包括:
核心交换网、网管网络和数据中心(IDC)。
核心网络是整个朝阳教育信息网的数据中心、资源中心、和管理中心可谓是心脏部位,它的安全系统应从以下几方面着手设计:
1)防火墙
防范来自外部和内部的网络攻击和破坏。
2)防拒绝服务攻击
使用防火墙来防范拒绝服务型攻击。
3)漏洞扫描系统
时刻监控网络以及服务器的安全漏洞。
4)入侵检测系统
专门对服务器集群进行探测来防范并记录非法和危险的网络操作。
5)网络防病毒系统
设置总的网络防病毒服务器负责整个控制中心和下属网络的防病毒工作。
2.2防火墙系统深化设计
◆防火墙分布位置
方案采用六台华为Quidway®SecPath1000F防火墙,配置在朝阳教育信息网网络中心的四个逻辑地点,构成整个业务网络的防火墙系统。
具体分布连接如下:
1.我们在Internet服务器区与外网之间部署一台SecPath1000F千兆防火墙,其中WWW、MAIL、FTP、DNS等对外服务器连接在防火墙的DMZ区;外网卡连接出口网络中的Cisco6506,与Internet连接。
2.在出口网络中的Cisco6506到朝阳区政府公用信息平台的链路上设置一台SecPath1000F和一台专用NAT设备。
具体连接:
SecPath1000F放置在出口网络的Cisco6506到朝阳区政府公用信息平台的传输设备的链路上。
内网卡接Cisco6506,外网卡接NAT设备(MA5200);专用NAT设备(MA5200)的一个千兆口接SecPath1000F,另一端与传输设备相连。
3.网管网络到核心网的接口处设置两台SecPath1000F:
每台SecPath1000F的千兆外网卡分别与核心网的两台QuidwayS8512相连,每台SecPath1000F的千兆内网卡连接到网管网络的Cisco6506,两台SecPath1000F之间通过1GE端口相连,两台SecPath1000F做负载分担/冗余备份,对网管网络进行保护。
4.数据中心的关键应用服务器区到核心交网的接口处设置两台SecPath1000F:
每台SecPath1000F的千兆外网卡分别与核心网的两台QuidwayS8512连接,每台SecPath1000F的一块千兆内网卡连接关键应用服务器区的Cisco6509,两台SecPath1000F之间通过1GE端口相连,两台SecPath1000F做负载分担/冗余备份,对关键应用服务器区进行保护。
◆防火墙配置
在防火墙设置上我们按照以下原则配置来提高网络安全性:
1)根据总体安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:
协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对内网不必要的、非法的访问。
总体上遵从“不被允许的服务就是被禁止”的原则。
2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。
3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。
4)在防火墙上进行防拒绝服务攻击(DoS\DDoS)配置。
5)定期查看防火墙访问日志,及时发现攻击行为和不良上网记录。
通过对以上四个地点配置防火墙,并在网管网络中安装一台防火墙集中管理服务器,对处于不同子网中的多个防火墙进行集中管理和配置,就组成了朝阳教育信息网的防火墙系统,构成了整个朝阳教育信息网安全防护的第一道屏障。
防火墙系统连接见朝阳教育信息网网络安全连接图。
2.3网络入侵检测系统深化设计
每台NISD_1000E配置2个1000BASE-T标准监控接口,控制中心设在网管网络中的一台服务器上。
NISD_1000E的配置分布如下:
1.出口网络与核心网之间部署一台NISD_1000E
2个GE探头分别配置在出口网络中的Cisco6506与两台核心交换机S8512相连的两条千兆链路上。
2.关键应用服务器区与核心网之间部署一台NISD_1000E
2个GE探头分别配置在关键应用服务器区与核心网络之间的两台防火墙后面。
2.4网络漏洞扫描系统深化设计
在内网中采用一套先进的《网络安全性分析系统ISExplorer》漏洞扫描系统。
《网络安全性分析系统ISExplorer》可安装在一台笔记本电脑上,定期对不同网段的工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
2.5网络防病毒系统深化设计
1)
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络中心 深化 设计方案 220