1、朝阳区教育“校校通”工程深化设计方案(网络中心)v3.10(三层)北京北控电信通信息技术有限公司2006 年 2 月朝阳区教育“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 2北 控 电 信 通BETI目 录一 . 网络中心深化设计 .31. 业务网深化设计方案 .31.1 业务网应用需求分析 .31.2 业务流量需求分析 .31.3 分层的网络设计方案 .51.4 网络拓扑结构图 .91.5 原有设备的利旧 .101.6 原有网络的割接 .121.7 IP 地址路由规划深化设计 .121.8 交换设备以及计算机系统时间同步 .142. 安全系统深化设计方案 .152.1
2、 安全系统需求分析 .152.2 防火墙系统深化设计 .162.3 网络入侵检测系统深化设计 .172.4 网络漏洞扫描系统深化设计 .182.5 网络防病毒系统深化设计 .182.6 朝阳区教育信息网网络安全拓扑图 .193. 服务器存储系统的深化设计 .203.1 需求分析 .203.2 服务器的安装与功能分配 .213.3 服务器集群的配置 .253.4 存储系统的深化设计 .523.5 数据备份系统的安装与配置 .543.6 服务器存储系统结构拓扑图 .55朝阳区教育“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 3北 控 电 信 通BETI一. 网络中心深化设计
3、1. 业务网深化设计方案1.1 业务网应用需求分析根据朝阳区教育“校校通”工程建设的总体规划,建成后的朝阳区教育信息网是一个覆盖全区所有教育单位的,能够实现全区资源共享、互连互通的网络,该网络的基础是一个利用光纤搭建的基于 SDH 技术的多业务传送平台(MSTP) ,我们将其称之为底层传送网或者简称为传送网。而业务网(IP 网)是承载于传送网基础之上的数据网络,因此业务网的建设与传送网的业务走向和网络结构有密切的关系。在传送网的建设规划中,以教委信息中心为全部网络的业务发起和终结主节点,传送网的骨干层有五个核心节点,利用 10G 带宽的链路构建核心主干网络,全部的业务在教委信息中心落地。所以在
4、业务网的建设中网络中心就设置在教委的信息中心,这样教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的骨干层核心节点和业务网网络中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。1.2 业务流量需求分析我们根据以往校园网建设经验,并结合本工程的具体需求首先对朝阳教育信息网业务网的流量需求作如下分析。朝阳教育信息网业务流量主要分为两个方面:一方面为网络内部的 FTP 服务、VOD 视频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用,这是相对主要的业务流量。另一方面,Internet 互联网出口的浏览查询应用,与市教育信息网内
5、网和区信息平台的公文传递、资源调用等应用,这是相对次要的业务流量。1.2.1 外网流量需求分析针对上述需求,我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流量。建设 Internet 出口目的是为网络用户提供必要的互联网浏览和查询功能,出现大容量的数据上传、下载的机会相对较少,因此根据以往的经验,通过 200M 带宽的链路连接 Internet 就可以满足需要。朝阳教委与区政府的公朝阳区教育“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 4北 控 电 信 通BETI共信息平台之间的流量主要是些日常的公文传递,不会占用大量的带宽,所以在区公共信息平台
6、出口上的流量也不会太大,而与市教育信息网内网的数据流量主要是些资源的调用,这部分流量的带宽由市教育信息网统一安排。1.2.2 内网流量需求分析目前朝阳区教育信息网上的应用大致分为:网站发布、社会教育、学校及学生家长沟通、FTP 服务、系统内部的电子邮件、教育管理信息库 CMIS、网络视频会议、网络视频教学系统、IP 电话应用(VOIP) 、视频点播、资源库调用等,我们对以上流量进行分析,将这些流量按照学校通过教委网络中心的流量、学校之间直接流量来分类。现有的应用中,以一个标准学校为例,将每个应用的流量走向情况分析如下:从 上表分析,我们可以看出在朝阳区教育信息网中,对于目前网络而言,大部分的数
7、据流量都是由学校到教委之间的流量,学校与学校之间的流量相对较少,然而随着网络规模的扩大,各种应用的深入。学校与学校之间的业务流量将近一步增大,所以在业务网络的设计中在考虑网络中心设备的高硬件性能、高可靠性的同时必须兼顾今后现有应用 通过教委的流量 学校之间流量网站发布/社会教育及学校及学生家长沟通流量大 流量较小教委 FTP 服务 流量大 无系统内部的电子邮件 流量大 流量较小学校的 FTP 服务 无 流量大教育管理信息库 CMIS 流量大 流量较小网络视频会议系统 流量大 流量大分校与主校之间交流 无 流量较大视频点播系统 流量大 流量较小IP 电话系统 流量大 流量大学校的资源库应用系统
8、无 流量大教委的资源库应用系统 流量大 无朝阳区教育“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 5北 控 电 信 通BETI网络的可扩展性需求。1.3 分层的网络设计方案根据以上对业务网的需求的分析,并依据高可靠性、高实用性、高可扩展性、高安全性等网络设计原则。我们将朝阳区的业务网设计为典型的三层网络拓扑结构,既将业务网分为核心层、汇聚层、和接入层。其中核心层的主要功能是实现数据的高速交换和转发,其选型和设计任务的重点是设备的冗余能力、链路可靠性和高速的交换能力。汇聚层的主要任务是提供对核心层设备的访问,汇总接入层的数据,并负责选择到不同目的地的最佳路径,利用汇聚层设
9、备的路由功能可以将那些学校之间的数据流量直接转发,不必再经由核心层设备处理从而大大减轻了核心层设备的压力。其设计的重点是设备的高密度接入能力和强大的二、三层交换、路由处理能力。由于本次工程中所有数据业务都要经由教委信息中心落地,所以我们将把汇聚层设备和核心层设备都部署在教委的信息中心,信息中心就成为业务网的网络中心。接入层就是具体接入学校,设备的选择主要考虑交换机支持的 802.1Q VLAN 数量,以及端口的转发能力。业务网的建设,分为出口网络、核心网络、汇聚网络、接入网络。其中核心网络又包括主核心交换区块、关键应用服务器网络区块、大流量数据应用服务器区块、网管网络区块等。1.3.1 出口网
10、络设计根据用户需求,朝阳区教育信息网的出口设计为两部分,一部分指的是上连到北京市教育信息网(内网)和通过北京教育信息网上连到国际互联网(Internet) ,另一部分是指连接到朝阳区政府公用信息平台。即朝阳区教育信息网有三个出口,分别为:1、北京市教育信息网(内网)2、通过北京教育信息网上连到国际互联网(Internet)3、朝阳区政府公用信息平台主要出口为北京市教育信息网(内网)和 Internet,辅助和备份出口为朝阳区政府公用信息平台出口(即连接到朝阳区信息办的链路) 。朝阳区教育“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 6北 控 电 信 通BETI三个出口均
11、连接到出口网络中的利旧设备 Cisco4003 交换机上(网络割接之前可用性能相近交换机替代) 。具体出口连接建议说明如下:一、北京市教育信息网出口(内网,Internet)1、朝阳区教育信息网到北京市教育信息网的出口为两条千兆物理链路,市教委会放置两台设备在朝阳信息中心:Cisco 7609Sup720Cisco Catalyst 4506 Sup V 。朝阳上连的设备为 Cisco7609 Sup720,具体端口 1000Base-SX 和 1000Base-T 都可以,有 2 个。2、建议到北京市教育信息网内网的流量和 Internet 出口流量的线路分开连接,即:一个端口为北京市教育信
12、息网(内网)端口,另一个端口为 Internet 出口端口,Internet 流量的质量根据朝阳教育信息网的需求,由市教委统一的带宽管理设备进行管理,从而保证朝阳区的 Internet 带宽需求。这样一来对于朝阳教育信息网来说可以很好的区分到北京市教育信息网内网的流量和 Internet(其他外网)的流量,从而更加便于对业务流量的分类和监管。3、由于朝阳教育信息网所用的 IP 地址为市教育信息网分配的合法 IP,所以朝阳教育信息网到北京市教育信息网(内网,Internet )的两条千兆链路不需要进行NAT。但为保证朝阳教育信息网内部安全,建议在到北京市教育信息网(内网,Internet)的两条
13、千兆出口链路上分别放置两台 Quidway Secpath1000F 千兆防火墙,对朝阳教育信息网内网进行保护。二、朝阳区政府公用信息平台从朝阳信息中心的传输网设备 OpCity8930 上下业务,即传输网设备与出口交换机 Cisco4003 相连,为了安全保证,在传输设备与 Cisco4003 之间放置专用NAT( MA5200)设备及千兆防火墙。1.3.2 核心网络设计主核心交换区块:由两台核心交换机 S8512 组成,两台核心路由交换机之间通过 link-aggregation(端口聚合)技术绑定两条 10G 链路,从而构建了双万兆带宽网朝阳区教育“校校通”工程深化设计方案(网络中心)北
14、京北控电信通信息技术有限公司 7北 控 电 信 通BETI络核心交换平台。两台核心交换机分别以两条双千兆绑定链路与汇聚层设备Cisco6506 相连。两台主核心交换机负责整个业务网的数据交换工作,为了保障网络中心核心设备的正常运行,我们将通过主核心设备双机冗余,主要路由交换板卡、电源均采用冗余备份的方式配置,以提高设备的可靠性。在两台核心路由交换机上运行 VRRP 虚拟路由协议,当任何一台核心路由交换机发生故障时,另一台核心路由交换机立即接管所有的工作。VRRP 协议是一种热备份路由协议,应用于双机热备,其工作原理为:VRRP 协议将系统中两台路由交换机组成 VRRP 组,该组拥有一个虚拟缺省
15、网关地址。在任何时刻,一个组内只有控制虚拟网关地址的路由交换机是活动的(master) ,并由它来转发数据包,如果活动路由交换机发生了故障,将选择另一个优先权较低的冗余备份路由交换机(backup)来替代活动路由交换机。由于网络内的终端配置的是 VRRP 虚拟网关地址,因此在它们看来,虚拟路由交换机没有改变。所以主机仍然保持连接,没有受到网络中单点故障的影响,这样就较好地解决了路由交换机切换的问题。提高了核心交换区块的可靠性。关键应用服务器区块:主要由 SAN 网络存储系统备份系统和服务器集群系统组成,在原投标方案中我们建议利用教委已有的 CISCO6509 充当该区块的主交换机,由于该 CI
16、SCO6509 现正在负责原有网络的连接任务,所以在工程实施过程中可以租用或借用其他同级别的交换机代替。关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连主核心交换区块,以起到链路冗余备份和负载分担的功能,提高网络的可靠性。该区块的功能和配置将在服务器存储设备的实施章节有详细描述。网管网络区块:主要负责整个网络的管理和监护,它采用带外管理与带内管理混合的模式,通常带内管理组网比较简单、灵活,但却要占用承载业务流量的带宽。带外管理不占用承载业务的带宽,网管网络和其他网络设备之间独立成网,该区块的主交换机由利旧的 CISCO4006 担当, (因为同样的原因该交换机正在使用中,所以也必须考
17、虑替代问题。 )而主要网管软件采用华为 3COM 的 iManager Quidview 网管系统进行网络管理,对于网络中心的其他网管子系统如:传输设备管理、网络设备管理、数字同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫描子系统、时间同步子系统等,分别采用其各自的管理软件进行全网相应的管理。非华为公司的设备如 CISCO6509 等设备可由 CISCO 自带的 Works2000 网管软件管理,对于整朝阳区教育“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 8北 控 电 信 通BETI个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件,如Sniff
18、er 等来监控。网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况,可在第一时间检测到故障。并发出报警讯息,便于网管人员快速准确的排除故障。大流量应用服务器负责提供应用教学资源,该区块由若干服务器集群组成,这些服务器集群分别通过两条千兆光纤或者电口链路直接与核心交换机相连。以起到链路冗余备份的功能提高网络的可靠性。1.3.3 汇聚网络设计将两台利旧的 CISCO6506 交换机配置在网络中心的核心层与接入层之间充当汇聚层设备,利用其高密度的千兆光纤接口连接由底层传送设备下来的 20 个 GE 端口,两台 Cisco6506 之间采用双千兆链路绑定的方式配置成带宽达到 2G
19、的链路,每台 cisco6506 通过两条双千兆绑定链路分别以 UPLINK 方式上连两台核心交换机8512,这样在核心层与汇聚层之间形成总带宽达到 8G 的交换链路,以进一步提高网络的性能和增加网络的可靠性,同时满足由接入层访问数据中心的总带宽不得小于 6Gbps 的招标要求。Cisco 6506 交换机主要用于将接入层的数据进行汇聚并负责分发,或是上传到核心层中或是转发到其他接入层站点,以起到承上启下的数据传输作用和路由分发功能。因此它不但要提供高密度高带宽的接口,还要具备高性能的多层交换能力,能够将一些不需要访问核心层的数据流量通过汇聚层设备转发,这样既提高了网络的效能,又减轻了对核心层
20、网络设备的压力。但由此对 Cisco 6506 交换机的要求将大幅提升,原有的低速引擎已经不能满足新的性能需求,必须对其进行升级改造。 汇聚层交换设备与传送网的 MSTP 设备相连,担负着传送网上的数据业务落地的重任。该区块主要设备为传送网的 MSTP 设备 OPCITY 8930,它通过 20 条千兆光纤链路分别与两台汇聚交换机相连。根据交流,甲方提出要在学校上连教委信息中心的网络带宽中预留 2M 的安全监控端口,和 10M 的考试监控端口以及相应的视频带宽,这些需要在传送网技术方面做相应的时隙划分、和端口预留等工作我们将在传送网深化设计方案中给予具体描述。1.3.4 接入网络设计朝阳区教育
21、“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 9北 控 电 信 通BETI接入层交换机可根据校园网建设的实际情况分为三层交换机和二层交换机,对于有三层交换机的学校可以根据学校的应用情况启动三层路由功能,将网络风暴控制在学校内部,而通过静态路由的方式访问核心层,对于拥有二层交换机的学校,据我们调研学校并不多,可考虑更换三层设备作为接入交换机,或者每个学校作为一个 VLAN 通过默认网关访问核心层。1.4 网络拓扑结构图(注:本网络拓扑图仅为结构示意图,具体设备和连接方式以实际情况为准。)朝阳区教育“校校通”工程深化设计方案(网络中心)北京北控电信通信息技术有限公司 10北
22、 控 电 信 通BETI1.5 原有设备的利旧根据客户要求对原有设备进行利旧,我们在网络中心业务网的深化设计方案中已经对利旧设备的用途做了详细描述,现就这些设备的现状和需要升级或者添加的功能模块做一下说明。朝阳区现有可利旧的设备包括一台思科 6509,两台思科6506 和一些思科 4000 系列的三层交换机。下表是主要可利旧设备的清单目前主要可利旧设备清单型号 描述 数量信息中心核心节点交换机 WS-C6509-1300AC= Catalyst 6509 Chassis w/ 1300W AC Power Supply 1WS-X6K-S2 Catalyst 6500 Supervisor E
23、ngine-2, 2GE 1WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs) 2WS-G54861000BASE-LX/LH “long haul“ GBIC (singlemode or multimode) 6WS-G5484= 1000BASE-SX 6朝阳教委核心节点交换机 WS-C6506-1000AC= Catalyst 6506 Chassis w/ 1000W AC Power Supply 1WS-X6K-S2 Catalyst 6500 Supervisor Engine-2, 2GE 1WS-X6408A-GBICCatalyst 6000 8-port GE, Enhanced QoS (Req. GBICs) 2WS-G5487 1000Base-ZX extended reach GBIC(singlemode) 1WS-G54861000BASE-LX/LH “long haul“ GBIC (singlemode or multimode) 7WS-G5484= 1000BASE-SX 1广播局核心节点交换机
