网络中心深化设计方案3.24.doc

1、朝阳区教育“校校通”工程深化设计方案（网络中心）项目名称：朝阳区教育“校校通”工程子项目名称：网络中心 CY-WLZX-SS-3 朝阳区教育“校校通”工程深化设计方案（网络中心）V3.0目 录一.网络中心深化设计21.业务网应用需求分析21.1业务流量需求分析31.1.1外网流量需求分析31.1.2内网流量需求分析32.业务网的深化设计42.1网络设计方案概述42.2网络中心设计方案62.2.1出口网络设计72.2.2核心网络设计82.2.3网络拓扑结构图92.3原有设备的利旧102.4原有网络的割接122.5IP地址规划深化设计132.5.1IP深化设计132.5.2路由规划142.6时间同

2、步设备的实施142.6.1交换设备以及计算机系统时间同步142.6.2时间同步方案示意图153.安全系统深化设计方案153.1安全系统需求分析153.2防火墙系统深化设计173.3网络入侵检测系统深化设计183.4网络漏洞扫描系统深化设计183.5网络防病毒系统深化设计193.6朝阳区教育信息网网络安全拓扑图19一. 网络中心深化设计1. 业务网应用需求分析根据朝阳区教育“校校通”工程建设的总体规划，建成后的朝阳区教育信息网是一个覆盖全区所有教育单位的，能够实现全区资源共享、互连互通的网络，该网络的基础是一个利用光纤搭建的基于SDH技术的多业务传送平台（MSTP），我们将其称之为底层传送网或者

3、简称为传送网。而业务网是承载于传送网基础之上的数据网络，因此业务网的建设与传送网的业务走向和网络结构有密切的关系。在传送网的建设规划中，以教委信息中心为全部网络的业务发起和终结主节点，传送网的骨干层有五个核心节点，利用10G带宽的链路构建核心主干网络，全部的业务在教委信息中心落地。所以在业务网的建设中网络中心就设置在教委的信息中心，这样教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的骨干层核心节点和业务网网络中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。1.1 业务流量需求分析我们根据以往校园网建设经验，并结合本工程的具体需求首先对朝阳教

4、育信息网业务网的流量需求作如下分析。朝阳教育信息网业务流量主要分为两个方面：一方面为网络内部的FTP服务、VOD视频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用，这是相对主要的业务流量。另一方面，Internet互联网出口的浏览查询应用，与市教育信息网内网和区信息平台的公文传递、资源调用等应用，这是相对次要的业务流量。1.1.1 外网流量需求分析针对上述需求，我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流量。建设Internet出口目的是为网络用户提供必要的互联网浏览和查询功能，出现大容量的数据上传、下载的机会相对较少，因此根据以往的经验，通

5、过200M带宽的链路连接Internet就可以满足需要。朝阳教委与区政府的公共信息平台之间的流量主要是些日常的公文传递，不会占用大量的带宽，所以在区公共信息平台出口上的流量也不会太大，而与市教育信息网内网的数据流量主要是些资源的调用，这部分流量的带宽由市教育信息网统一安排。1.1.2 内网流量需求分析目前朝阳区教育信息网上的应用大致分为：网站发布、社会教育、学校及学生家长沟通、FTP服务、系统内部的电子邮件、教育管理信息库CMIS、网络视频会议、网络视频教学系统、IP电话应用（VOIP）、视频点播、资源库调用等，我们对以上流量进行分析，将这些流量按照学校通过教委网络中心的流量、学校之间直接流量

6、来分类。现有的应用中，以一个标准学校为例，将每个应用的流量走向情况分析如下：现有应用通过教委的流量学校之间流量网站发布/社会教育流量大流量较小教委FTP服务流量大无系统内部的电子邮件流量大流量较小学校的FTP服务无流量大教育管理信息库CMIS流量大流量较小网络视频会议系统流量大流量大分校与主校之间交流无流量较大视频点播系统流量大流量较小IP电话系统流量大流量大学校的资源库应用系统无流量大教委的资源库应用系统流量大无从上表分析，我们可以看出在朝阳区教育信息网中，对于目前网络而言，大部分的数据流量都是由学校到教委之间的流量，学校与学校之间的流量相对较少，然而随着网络规模的扩大，各种应用的深入。学校

7、与学校之间的业务流量将近一步增大，所以在业务网络的设计中在考虑网络中心设备的硬件性能和可靠性的同时必须兼顾今后网络的可扩展性需求。2. 业务网的深化设计2.1 网络设计方案概述根据以上对业务需求的分析，我们提出将业务网（IP网）的结构进行简化，即以教委信息中心作为业务网的核心网络、其余接入单位统一划入接入网络的网络结构。采取这样的网络拓扑结构主要基于如下考虑，现有的朝阳区教育系统的主要业务流向和应用情况；传送平台（mstp）将所有的业务全在教委信息中心落地这一实际情况。这样一来所有接入学校通过底层传送网把数据汇聚到教委信息中心的核心交换机上，减少了各学校数据的传输环节，提高了传输效率和交换时间

8、。教委信息中心核心网络根据功能不同分为两个部分，一部分设备用来汇聚所有接入学校的数据，负责完成各学校之间的互联，以及对网络中心的访问。实现高效的数据交换及路由分发，提供流量控制和用户管理等多项功能，同时有效的隔离了学校内部的网络风暴。建议采用两台华为S8512高性能路由交换机，充分利用其高性能的二层和三层转发能力，来满足全网对高可靠性和高性能的要求。另一部分设备负责信息中心各功能区块的相互连通，提供各接入学校到数据中心的访问，以及与外网之间的接口。建议采用利旧的两台Cisco 6506交换机，并对其进行必要的升级。两部分核心设备之间采用双千兆链路交叉相连，以充足的带宽实现核心交换设备之间的数据

9、交换。两部分核心设备各司其责，分别承担了接入学校的数据汇聚和网络中心核心交换的工作，减少了网络单点故障，提高了网络整体可靠性，这种网络结构有利于对网络设备按照不同层次、不同权限以及不同的功能来进行管理与配置。接入层就是指具体的接入学校，接入学校的交换机可根据校园网建设的实际情况绝大部分为三层交换机极少部分为二层交换机，对于有三层交换机的学校可以根据学校的应用情况启动三层路由功能，将网络风暴控制在学校内部，而通过静态路由的方式访问核心层，对于拥有二层交换机的学校，据我们调研学校并不多，可考虑更换三层设备作为接入交换机，或者每个学校作为一个VLAN通过默认网关访问核心层。 网络拓扑图如下： 2.2

10、 网络中心设计方案网络中心的建设，分为出口网络、核心网络。其中核心网络又包括：主核心交换区块、关键应用服务器网络区块、大流量数据应用服务器区块、网管网络区块等。2.2.1 出口网络设计出口网络：根据用户需求，朝阳区教育信息网的出口设计为两部分，一部分指的是上连到北京市教育信息网（内网）和通过北京教育信息网上连到国际互联网（Internet），另一部分是指连接到朝阳区政府公用信息平台。即朝阳区教育信息网有三个出口，分别为：1、 北京市教育信息网（内网）2、 通过北京教育信息网上连到国际互联网（Internet）3、 朝阳区政府公用信息平台主要出口为北京市教育信息网（内网）和Internet，辅助

11、和备份出口为朝阳区政府公用信息平台出口（即连接到朝阳区信息办的链路）。三个出口均连接到出口网络中的利旧设备Cisco4003交换机上（网络割接之前可用性能相近交换机替代）。具体出口连接建议说明如下：一、 北京市教育信息网出口（内网，Internet）1、朝阳区教育信息网到北京市教育信息网的出口为两条千兆物理链路，市教委会放置两台设备在朝阳信息中心：Cisco 7609Sup720Cisco Catalyst 4506 Sup V 。朝阳上连的设备为Cisco7609 Sup720，具体端口1000Base-SX和1000Base-T都可以，有2个。2、建议到北京市教育信息网内网的流量和Inte

12、rnet出口流量的线路分开连接，即：一个端口为北京市教育信息网（内网）端口，另一个端口为Internet出口端口，Internet流量的质量根据朝阳教育信息网的需求，由市教委统一的带宽管理设备进行管理，从而保证朝阳区的Internet带宽需求。这样一来对于朝阳教育信息网来说可以很好的区分到北京市教育信息网内网的流量和Internet（其他外网）的流量，从而更加便于对业务流量的分类和监管。3、由于朝阳教育信息网所用的IP地址为市教育信息网分配的合法IP，所以朝阳教育信息网到北京市教育信息网（内网，Internet）的两条千兆链路不需要进行NAT。但为保证朝阳教育信息网内部安全，建议在到北京市教育

13、信息网（内网，Internet）的两条千兆出口链路上分别放置两台Quidway Secpath1000F千兆防火墙，对朝阳教育信息网内网进行保护。二、 朝阳区政府公用信息平台从朝阳信息中心的传输网设备OpCity8930上下业务，即传输网设备与出口交换机Cisco4003相连，为了安全保证，在传输设备与Cisco4003之间放置专用NAT（MA5200）设备及千兆防火墙。2.2.2 核心网络设计核心网络包括：核心交换区块、关键服务器区块、网管网络、大流量服务器区块等等。核心交换区块分为两部分，一部分是面向接入学校的核心交换设备，由两台核心交换机S8512组成，两台核心交换机之间通过link-a

14、ggregation（端口聚合）技术绑定两条10G链路，从而构建了万兆带宽网络核心交换平台。两台核心交换机分别以10条千兆链路与底层传送网设备OPCITY 8930的业务网千兆接口相连，负责所有接入学校的数据交换和路由转发工作，为了保障接入学校访问大流量服务器的链路畅通，将大流量服务器直接与两台S8512相连。同时为了保证这两台核心设备的安全可靠运行，我们将主要的路由交换板卡、电源模块均采用冗余备份的方式配置，以提高设备的可靠性。接入学校的业务流量经由底层传送网汇聚成20条GE链路，分别连接到两台8512上。华为S8512是一款高端的交换设备，交换容量720G，三层路由转发能力为428Mpps

15、，支持vlan4K个，acl条目数4k条，在性能上可以满足实际需求。另一部分是面向信息中心内部的核心交换设备，建议由两台利旧的Cisco 6506组成，负责连接内网各功能区块以及与外部网络的连通，如网管网络、关键应用服务器区、内部办公网络和出口网络。两台Cisco6506之间利用Chunnel（通道）技术绑定4条千兆链路连接，互为冗余备份。每台Cisco6506通过双千兆绑定链路与另外两台核心交换机S8512交叉连接，四台核心交换机之间组成总带宽为8G的交换链路，以保障接入学校访问关键应用服务器区和外部网络有充足的带宽资源。根据上述对设备的应用方式和性能需求分析，目前两台利旧设备Cisco 6506采用的低速引擎已不能满足需要，建议对两台Cisco 6506进行必要的升级。关键应用服务器区块：主要由SAN网络存储系统、备份系统和服务器集群系统组成，由利旧的原C isco6509交换机充当该区块的主交换机，关键应用服