网络中心深化设计方案3.24.doc

1、朝阳区教育“校校通”工程深化设计方案（网络中心） 乐菊惧倘粘涡故俞碴弛西淑旁瑚女叉颊鸣高凄月受纱农儿碍侄行咱鳖渺屿耽粪助屡溉倘氦纯鞍唾跌唯妄辟慑釜抿能膀档蜜哉钠跪拟芯埠食韩拯择臀纲掌磐辑耙敌暗屏捅躇贼泊肪旷瞻价疑谨吗饯酷灰蛋筏抛瑰雾强沛傅城格感韶逸郁靴诺且玻盗玖肇姚癣俱森正蒙驾咆饿肆愉郝停吮宠柴折芍万翰广凑桶溉糜匪守水衔涣蓖辈哲尼做医尚闯茹戎泄试琴防招喂区惰束色室烙梭携孟农毅砰行瓤涟挝焚蹄纠培惭约循意悉咽轴矿磕织季饰硒僵东携烛绷细者肾牌骄判葛键磕剧讶孽祥培贯锚胜钞良那虾端鲤涌项现暮拿亭芋抉遁猩野伪浓淫终骇鸣拥忧增悄陪狼儡兵囱升揍欺烩讨贱催砒桩昼亡淹丧维史婴朝阳区教育“校校通”工程深化设计方案

2、网络中心） 北京北控电信通信息技术有限公司 5 项目名称：朝阳区教育“校校通”工程 子项目名称：网络中心 CY-WLZX-SS-3 朝阳区伶裂织使吹涪沧辱椅婶置箱笛承野疤撕拿梗纂娩妊祟骏漫撼恰敞帚臼伯葵风届撤酿渺糠突熬触豺燥亦啡酪试狭竭贱觅执虑穗蕊洁甩肌逞泵舆绒选氟哎冤支岩仇肯掸擦虫奄搁喉鳃差准客告握辗腾闺苑丛疙裙篇敦透烯隆啊抨馒浩恍礼岸旧尧抬凸镐突架耙巷武榷涵尾侯莫雁躇菇胯壳虹项辈容块套辰拳蜂寡霄同窑该棱耽

3、撩榴辽池栖伶竟申缉掂捏嚷综帧追光摄典谚绥冗寨谩钨廊本翘闹桐谊漏染垮催调照滥柴仗引月日各幢刚骤增挥曹午渊挛梦猿垒杉阁耀盲赐洒轮毡饰骋辖态愁蝇插镑握脏牛卑并呕谍弱趴讶呆依仟膝孤帜箩鄂屎绍柳玛稳砖庚晴迂恤特呈埂蔗悲阉唁构顺庄困票粹迅系抿夜阀凡渴网络中心深化设计方案3.24瓣哇且何涂测绒密镑加夺灶他侵疟承嫌盾靳琴谅奶堕旱险惫因痪姻哲蔗种拐渊灭花藉畴匪述堂消殿渗桂稳苞淑砾纲冶往蝴原挝等氦罩札寥渣演丑才擦糠功币绅瘫有惰塘饵癌讶撵缩僵遗右踩初烦啄榨还那效真泰军狞蜕井吩准幻伶薯饵棕峨蹈缓澈东穗丢袁剁疡概颤桩专垃擎存秀盐氮馋眶晌咐杏是惮黎童涵弧窑涅巳淮秽儒霞鞍较蛰候卤渠鸡轴涪夕甭锯嘘操裹星棘巫虚忿威屏结车冠仑真

4、狠限税沁认坎蚀计疑旬讥希精损据拇米耀习尝钵鲸织磅燥亭坞莱议蛔面箭庄泰匠茹卷彻算泊畴找油箩哆耿蚁趴闻踌柳沏工所贪漠泰免虚逞蹋者仲疡荤没雀伟苟或闲帧氮奸梆宁甲城磅诬革墅史盘季仑玫统谗 项目名称：朝阳区教育“校校通”工程 子项目名称：网络中心 CY-WLZX-SS-3 朝阳区教育“校校通”工程 深化设计方案 （网络中心） V3.0 目 录 一. 网络中心深化设计 2 1. 业务网应用需求分析 2 1.1 业务流量需求分析 3 1.1.1 外网流量需求分析 3 1.1.2

5、内网流量需求分析 3 2. 业务网的深化设计 4 2.1 网络设计方案概述 4 2.2 网络中心设计方案 6 2.2.1 出口网络设计 7 2.2.2 核心网络设计 8 2.2.3 网络拓扑结构图 9 2.3 原有设备的利旧 10 2.4 原有网络的割接 12 2.5 IP地址规划深化设计 13 2.5.1 IP深化设计 13 2.5.2 路由规划 14 2.6 时间同步设备的实施 14 2.6.1 交换设备以及计算机系统时间同步 14 2.6.2 时间同步方案示意图 15 3. 安全系统深化设计方案 15 3.1 安全系统需求分析 15 3.2 防火墙系统深

6、化设计 17 3.3 网络入侵检测系统深化设计 18 3.4 网络漏洞扫描系统深化设计 18 3.5 网络防病毒系统深化设计 19 3.6 朝阳区教育信息网网络安全拓扑图 19 一. 网络中心深化设计 1. 业务网应用需求分析 根据朝阳区教育“校校通”工程建设的总体规划，建成后的朝阳区教育信息网是一个覆盖全区所有教育单位的，能够实现全区资源共享、互连互通的网络，该网络的基础是一个利用光纤搭建的基于SDH技术的多业务传送平台（MSTP），我们将其称之为底层传送网或者简称为传送网。而业务网是承载于传送网基础之上的数据网络，因此业务网的建设与传送网的业务走向和网络结构有密切的关系。

7、在传送网的建设规划中，以教委信息中心为全部网络的业务发起和终结主节点，传送网的骨干层有五个核心节点，利用10G带宽的链路构建核心主干网络，全部的业务在教委信息中心落地。所以在业务网的建设中网络中心就设置在教委的信息中心，这样教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的骨干层核心节点和业务网网络中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。 1.1 业务流量需求分析 我们根据以往校园网建设经验，并结合本工程的具体需求首先对朝阳教育信息网业务网的流量需求作如下分析。 朝阳教育信息网业务流量主要分为两个方面：一方面为网络内部的FTP服

8、务、VOD视频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用，这是相对主要的业务流量。另一方面，Internet互联网出口的浏览查询应用，与市教育信息网内网和区信息平台的公文传递、资源调用等应用，这是相对次要的业务流量。 1.1.1 外网流量需求分析 针对上述需求，我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流量。建设Internet出口目的是为网络用户提供必要的互联网浏览和查询功能，出现大容量的数据上传、下载的机会相对较少，因此根据以往的经验，通过200M带宽的链路连接Internet就可以满足需要。朝阳教委与区政府的公共信息平台之间的流

9、量主要是些日常的公文传递，不会占用大量的带宽，所以在区公共信息平台出口上的流量也不会太大，而与市教育信息网内网的数据流量主要是些资源的调用，这部分流量的带宽由市教育信息网统一安排。 1.1.2 内网流量需求分析 目前朝阳区教育信息网上的应用大致分为：网站发布、社会教育、学校及学生家长沟通、FTP服务、系统内部的电子邮件、教育管理信息库CMIS、网络视频会议、网络视频教学系统、IP电话应用（VOIP）、视频点播、资源库调用等，我们对以上流量进行分析，将这些流量按照学校通过教委网络中心的流量、学校之间直接流量来分类。现有的应用中，以一个标准学校为例，将每个应用的流量走向情况分析如下： 现有应

10、用 通过教委的流量 学校之间流量 网站发布/社会教育 流量大 流量较小 教委FTP服务 流量大 无 系统内部的电子邮件 流量大 流量较小 学校的FTP服务 无 流量大 教育管理信息库CMIS 流量大 流量较小 网络视频会议系统 流量大 流量大 分校与主校之间交流 无 流量较大 视频点播系统 流量大 流量较小 IP电话系统 流量大 流量大 学校的资源库应用系统 无 流量大 教委的资源库应用系统 流量大 无 从上表分析，我们可以看出在朝阳区教育信息网中，对于目前网络而言，

11、大部分的数据流量都是由学校到教委之间的流量，学校与学校之间的流量相对较少，然而随着网络规模的扩大，各种应用的深入。学校与学校之间的业务流量将近一步增大，所以在业务网络的设计中在考虑网络中心设备的硬件性能和可靠性的同时必须兼顾今后网络的可扩展性需求。 2. 业务网的深化设计 2.1 网络设计方案概述 根据以上对业务需求的分析，我们提出将业务网（IP网）的结构进行简化，即以教委信息中心作为业务网的核心网络、其余接入单位统一划入接入网络的网络结构。 采取这样的网络拓扑结构主要基于如下考虑， 现有的朝阳区教育系统的主要业务流向和应用情况；传送平台（mstp）将所有的业务全在教委信息中心落地

12、这一实际情况。这样一来所有接入学校通过底层传送网把数据汇聚到教委信息中心的核心交换机上，减少了各学校数据的传输环节，提高了传输效率和交换时间。 教委信息中心核心网络根据功能不同分为两个部分，一部分设备用来汇聚所有接入学校的数据，负责完成各学校之间的互联，以及对网络中心的访问。实现高效的数据交换及路由分发，提供流量控制和用户管理等多项功能，同时有效的隔离了学校内部的网络风暴。建议采用两台华为S8512高性能路由交换机，充分利用其高性能的二层和三层转发能力，来满足全网对高可靠性和高性能的要求。 另一部分设备负责信息中心各功能区块的相互连通，提供各接入学校到数据中心的访问，以及与外网之间的接口。

13、建议采用利旧的两台Cisco 6506交换机，并对其进行必要的升级。两部分核心设备之间采用双千兆链路交叉相连，以充足的带宽实现核心交换设备之间的数据交换。 两部分核心设备各司其责，分别承担了接入学校的数据汇聚和网络中心核心交换的工作，减少了网络单点故障，提高了网络整体可靠性，这种网络结构有利于对网络设备按照不同层次、不同权限以及不同的功能来进行管理与配置。 接入层就是指具体的接入学校，接入学校的交换机可根据校园网建设的实际情况绝大部分为三层交换机极少部分为二层交换机，对于有三层交换机的学校可以根据学校的应用情况启动三层路由功能，将网络风暴控制在学校内部，而通过静态路由的方式访问核心层，对于

14、拥有二层交换机的学校，据我们调研学校并不多，可考虑更换三层设备作为接入交换机，或者每个学校作为一个VLAN通过默认网关访问核心层。 网络拓扑图如下： 2.2 网络中心设计方案 网络中心的建设，分为出口网络、核心网络。其中核心网络又包括：主核心交换区块、关键应用服务器网络区块、大流量数据应用服务器区块、网管网络区块等。 2.2.1 出口网络设计 出口网络：根据用户需求，朝阳区教育信息网的出口设计为两部分，一部分指的是上连到北京市教育信息网（内网）和通过北京教育信息网上连到国际互联网（Internet），另一部分是指连接到朝阳区政府公

15、用信息平台。 即朝阳区教育信息网有三个出口，分别为： 1、 北京市教育信息网（内网） 2、 通过北京教育信息网上连到国际互联网（Internet） 3、 朝阳区政府公用信息平台 主要出口为北京市教育信息网（内网）和Internet，辅助和备份出口为朝阳区政府公用信息平台出口（即连接到朝阳区信息办的链路）。 三个出口均连接到出口网络中的利旧设备Cisco4003交换机上（网络割接之前可用性能相近交换机替代）。 具体出口连接建议说明如下： 一、 北京市教育信息网出口（内网，Internet） 1、朝阳区教育信息网到北京市教育信息网的出口为两条千兆物理链路，市教委会放置两台设备在朝

16、阳信息中心：Cisco 7609Sup720＋Cisco Catalyst 4506 Sup V 。朝阳上连的设备为Cisco7609 Sup720，具体端口1000Base-SX和1000Base-T都可以，有2个。 2、建议到北京市教育信息网内网的流量和Internet出口流量的线路分开连接，即：一个端口为北京市教育信息网（内网）端口，另一个端口为Internet出口端口，Internet流量的质量根据朝阳教育信息网的需求，由市教委统一的带宽管理设备进行管理，从而保证朝阳区的Internet带宽需求。 这样一来对于朝阳教育信息网来说可以很好的区分到北京市教育信息网内网的流量和Inter

17、net（其他外网）的流量，从而更加便于对业务流量的分类和监管。 3、由于朝阳教育信息网所用的IP地址为市教育信息网分配的合法IP，所以朝阳教育信息网到北京市教育信息网（内网，Internet）的两条千兆链路不需要进行NAT。但为保证朝阳教育信息网内部安全，建议在到北京市教育信息网（内网，Internet）的两条千兆出口链路上分别放置两台Quidway Secpath1000F千兆防火墙，对朝阳教育信息网内网进行保护。 二、 朝阳区政府公用信息平台 从朝阳信息中心的传输网设备OpCity8930上下业务，即传输网设备与出口交换机Cisco4003相连，为了安全保证，在传输设备与Cisco4

18、003之间放置专用NAT（MA5200）设备及千兆防火墙。 2.2.2 核心网络设计 核心网络包括：核心交换区块、关键服务器区块、网管网络、大流量服务器区块等等。 核心交换区块分为两部分，一部分是面向接入学校的核心交换设备，由两台核心交换机S8512组成，两台核心交换机之间通过link-aggregation（端口聚合）技术绑定两条10G链路，从而构建了万兆带宽网络核心交换平台。两台核心交换机分别以10条千兆链路与底层传送网设备OPCITY 8930的业务网千兆接口相连，负责所有接入学校的数据交换和路由转发工作，为了保障接入学校访问大流量服务器的链路畅通，将大流量服务器直接与两台S851

19、2相连。同时为了保证这两台核心设备的安全可靠运行，我们将主要的路由交换板卡、电源模块均采用冗余备份的方式配置，以提高设备的可靠性。接入学校的业务流量经由底层传送网汇聚成20条GE链路，分别连接到两台8512上。华为S8512是一款高端的交换设备，交换容量720G，三层路由转发能力为428Mpps，支持vlan4K个，acl条目数4k条，在性能上可以满足实际需求。 另一部分是面向信息中心内部的核心交换设备，建议由两台利旧的Cisco 6506组成，负责连接内网各功能区块以及与外部网络的连通，如网管网络、关键应用服务器区、内部办公网络和出口网络。两台Cisco6506之间利用Chunnel（通道

20、技术绑定4条千兆链路连接，互为冗余备份。每台Cisco6506通过双千兆绑定链路与另外两台核心交换机S8512交叉连接，四台核心交换机之间组成总带宽为8G的交换链路，以保障接入学校访问关键应用服务器区和外部网络有充足的带宽资源。根据上述对设备的应用方式和性能需求分析，目前两台利旧设备Cisco 6506采用的低速引擎已不能满足需要，建议对两台Cisco 6506进行必要的升级。 关键应用服务器区块：主要由SAN网络存储系统、备份系统和服务器集群系统组成，由利旧的原C isco6509交换机充当该区块的主交换机，关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连两台面向内网的核心交换

21、Cisco 6506，以起到链路冗余备份和负载分担的功能，提高网络的可靠性。该区块的功能和配置将在服务器存储设备的实施章节有详细描述。 网管网络区块主要负责整个网络的管理和监护，它采用带外管理与带内管理混合的模式，通常带内管理组网比较简单、灵活，但却要占用承载业务流量的带宽。带外管理不占用承载业务的带宽，网管网络和其他网络设备之间独立成网，该区块的主交换机由教委现有的CISCO4006担当，而主要网管软件采用华为3COM的iManager Quidview网管系统进行网络管理，对于网络中心的其他网管子系统如：传输设备管理、网络设备管理、时间同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫

22、描子系统、时间同步子系统等，分别采用其各自的管理软件进行全网相应的管理。非华为公司的设备如CISCO6509等设备可由CISCO自带的NETWORKS网管软件管理，对于整个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件，如Sniffer等来监控。网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况，可在第一时间检测到故障。并发出报警讯息，便于网管人员快速准确的排除故障。 大流量应用服务器负责提供应用教学资源，包括一些如视频点播服务器、视频会议服务器等等对带宽资源要求较高应用服务，为了保障接入学校访问这些应用服务器的联络畅通，我们设计将这些服务器分别通过两条

23、千兆光纤或者电口链路直接与核心交换机S8512相连。以满足链路冗余备份和提高网络的性能的需求。 2.2.3 网络拓扑结构图 (注：本网络拓扑图仅为网络结构示意图，具体设备和连接方式以实场际情况为准。) 2.3 原有设备的利旧 根据客户要求对原有设备进行利旧，我们在网络中心业务网的深化设计方案中已经对利旧设备的用途做了详细描述，现就这些设备的现状和需要升级或者添加的功能模块做一下说明。朝阳区现有可利旧的设备包括一台思科6509，两台思科6506和一些思科4000系列的三层交换机。下表是主要可利旧设备的清单 目前主要可利旧设备清单 型号

24、 描述 数量 信息中心核心节点交换机 　 　 WS-C6509-1300AC= Catalyst 6509 Chassis w/ 1300W AC Power Supply 1 WS-X6K-S2 Catalyst 6500 Supervisor Engine-2, 2GE 1 WS-X6408A-GBIC Catalyst 6000 8-port GE, Enhanced QoS (Req. GBICs) 2 WS-G5486 1000BASE-LX/LH "long haul" GBIC (singlemode or multimode) 6 WS-G54

25、84= 1000BASE-SX 6 朝阳教委核心节点交换机 　 　 WS-C6506-1000AC= Catalyst 6506 Chassis w/ 1000W AC Power Supply 1 WS-X6K-S2 Catalyst 6500 Supervisor Engine-2, 2GE 1 WS-X6408A-GBIC Catalyst 6000 8-port GE, Enhanced QoS (Req. GBICs) 2 WS-G5487 1000Base-ZX extended reach GBIC(singlemode) 1 WS-G548

26、6 1000BASE-LX/LH "long haul" GBIC (singlemode or multimode) 7 WS-G5484= 1000BASE-SX 1 广播局核心节点交换机 　 　 WS-C6506-1000AC= Catalyst 6506 Chassis w/ 1000W AC Power Supply 1 WS-X6K-S2 Catalyst 6500 Supervisor Engine-2, 2GE 1 WS-X6408A-GBIC Catalyst 6000 8-port GE, Enhanced QoS (Req. GBICs)

27、 1 WS-G5487 1000Base-ZX extended reach GBIC(singlemode) 2 WS-G5486 1000BASE-LX/LH "long haul" GBIC (singlemode or multimode) 6 WS-G5484= 1000BASE-SX 0 在深化设计方案中思科6509用来连接关键服务器区的20台应用服务器，至少需要20个GE端口，而目前6509只有16个GE端口，所以需要增加一块8个GE端口的板卡。两台6506担当面向内部网络的核心层交换机，分别连接各功能区块和出口网络交换机，同时采用两条双千兆链路与另两台核

28、心交换机相连。两台6506之间还将绑定4条千兆链路，目前的千兆端口已经不能满足需要，因此须增加一块8GE端口的板卡以扩充千兆端口的密度。另外一个需要注意的问题是三台思科设备的引擎都是低速的引擎，已经不能满足目前的需要。因此建议将三台Cisco65设备的交换引擎升级，增加交换矩阵模块，该交换矩阵模块将使65系列的交换能力达到256G，可以满足高速数据交换的要求。下面是需要升级和增加的模块一览表： 需升级和增加的模块清单 型号 描述 数量 信息中心核心节点交换机 　 　 WS-X6500-SFM2 Catalyst 6500 Switch Fabric Module

29、2 1 WS-X6408A-GBIC Catalyst 6000 8-port GE, Enhanced QoS (Req. GBICs) 1 WS-G5484= 1000BASE-SX 12 朝阳教委核心节点交换机 　 　 WS-X6500-SFM2 Catalyst 6500 Switch Fabric Module 2 1 MEM-MSFC2-128MB Catalyst 6000 MSFC-2 Mem, 128MB DRAM Option 1 WS-C3512-XL-EN Catalyst 3512 XL Enterprise Edition 1

30、 WS-G5484= 1000BASE-SX 16 广播局核心节点交换机 　 　 WS-X6500-SFM2 Catalyst 6500 Switch Fabric Module 2 1 WS-X6408A-GBIC Catalyst 6000 8-port GE, Enhanced QoS (Req. GBICs) 1 WS-G5484= 1000BASE-SX 16 2.4 原有网络的割接 教委信息中心正在负责30余所学校的Internet接入工作，在本次工程的施工过程中要求这30余所学校的网络不得中断，因此负责该30余所学校网络连通的设备如CIS

31、CO6509等交换机不能另做他用，只有当工程竣工以后，网络试运行正常时，才能将原有的网络割接到现有网络中。在这个过程中只有通过借用或者租用其他同档次的交换机替代的方式来解决问题。在本次工程中这些学校都是区域网络中的一个节点，所以在施工过程中对这些学校按原计划铺设光纤配置传输设备，不会影响到学校网络的正常连通。待割接完毕后将空闲下来的交换设备按设计方案应用到业务网络中去。这样即保证原有的网络不会中断，又最大限度的保护了前期投资节约了成本。关于朝阳教委新址的网络接入问题，为了保证在施工过程中朝阳教委所带的网络不致中断，待朝阳教委移至新址后，优先铺设一条光纤连接到教委信息中心的核心交换机上，当工程完

32、工后朝阳教委所带的10于所学校通过传送网的透传直接连到信息中心，而朝阳教委到信息中心的光纤则予以保留。 2.5 IP地址规划深化设计 2.5.1 IP深化设计 朝阳教育信息网所使用的IP地址由北京市教育信息网统一进行分配，根据目前确定的分配给朝阳教育信息网的IP地址，我们在深化设计中给出如下设计： 北京市教育信息网分配给朝阳教育信息网的IP地址全部为合法IP，共1个半的B类地址。 在此种情况下，朝阳教育信息网内的所有单位均使用真实IP。包括朝阳教育信息中心，朝阳教委新办公网及所有接入学校，每台上网的设备均使用真实IP，使得所有的连网设备都具有可溯性。在此种情况，我们设计IP地址的使用

33、情况大致如下： 1、接入学校约为240所，每个学校根据信息点数和电脑数量的不同分别可分配1-3个C类的地址。点数少的学校可把一个C类地址分成多个子网给多个学校，点数及上网电脑多的学校可分配多个C类地址，这样平均下来，我们预计绝大多数学校使用一个C类地址（254个可用地址）即够用。 2、根据用户需求，建议分配给每个学校的地址段中拿出2-5个地址作为学校可对外发布的地址（大校前5个可用IP地址，普通学校前2个可用IP地址）。学校的发布地址由中心统一管理，学校在需要的时候上报信息中心开通。学校的其他IP地址由中心作策略一律不允许对外发布。 3、信息中心预留10个C类地址（包括办公及各类服务器，

34、所有的服务器均使用真实IP，无须再做NAT）。 4、朝阳教委预留4个C类地址（局机关办公网络）。 以上的IP地址分配方式大致只用了1个完整的B类地址，还有半个B类地址可用，可以根据实际情况再进行分配。 有关“合法IP地址的问题”市教委信息中心会召开会议或者通知方式进行说明。现在可以确定的是，经过合理的IP地址规划，即保证每台接入网络的计算机都有合法IP地址 ，又保证IP地址的使用有效性，不闲置不浪费。  朝阳区教育信息网到市教育信息网络（内网，Internet）的出口不需要进行NAT，但到朝阳区政府公用信息平台（朝阳区信息办）需要NAT转换。 2.5.2 路由规划 建成后的朝阳教育

35、信息网的业务流量包括学校间的流量和从学校到信息中心的流量，业务流量将在信息中心落地和进行路由交换。鉴于这一典型的业务集中式网络，每个接入单位（学校）都有三层交换设备，因此可以将广播域控制在接入单位内部，为每个接入单位分配连续的地址网段，以静态路由的方式指向网络中心路由交换设备。 信息中心的核心交换设备之间启用OSPF动态路由协议，构成核心区域area 0，负责所有的路由转发工作，这样既可保证学校IP地址的相对固定和信息中心IP地址使用的灵活性又可实现路由的快速收敛。 网络中心三个出口的路由可采用缺省静态路由指向，或根据对端接入要求采用动态路由协议。 2.6 时间同步设备的实施 2.6.

36、1 交换设备以及计算机系统时间同步 华为的SYNLOCK V3 BITS设备提供时间输出接口，该接口为标准的以太网接口，因此我们将其作为此次时间同步方案的一级时间服务器。 网管网络中设置一台服务器，作为网络中心的二级时间服务器，该服务器配置两块网卡，通过两条链路分别连接一级时间服务器SYNLOCK V3的时间输出接口，和网管网络交换机CISCO4006，为该二级时间服务器设定相应的IP地址，网络中心的核心核心交换机S8512和其他利旧的思科交换机都支持时间同步协议NTP，因此利用以太网络，只要可以访问二级时间服务器的IP地址，即可以得到时间同步信息，并将其传输到其他网络设备和计算机系统中。

37、 网络中心内所有的工作站、服务器等计算机系统可以大致按操作系统分为UNIX、LINUX操作系统，WINDOWS操作系统，对于UNIX和LINUX操作系统本身支持NTP协议，可以直接通过IP地址访问时间服务器获得时间同步，而对于WINDOWS系统尤其是WINDOWS 2000 和WINDOWS XP操作系统不提供NTP服务，因此必须配备相应的NTP客户端软件来同时间服务器进行时间同步。 2.6.2 时间同步方案示意图 3. 安全系统深化设计方案 3.1 安全系统需求分析 朝阳区教育信息网按功能和防护区域可划分为：外网和内网。我们按照不同区域的安全等级，以及安全特性来规划不同的安全防

38、范措施。 n 外网 所谓外网，我们将其分为两部分，一部分指的是上连到北京市教育信息网（内网）和通过北京教育信息网上连到国际互联网（Internet），另一部分是指连接到朝阳区政府公用信息平台。出口均设在朝阳教育信息网的出口网络中的Cisco4003上。 出口网络是朝阳教育信息网同外部网络的唯一接口，与北京市教育信息网是双千兆链路连接，一路接北京市教育信息网（内网），一路通过北京教育信息网上连到国际互联网（Internet）。为保证朝阳内部网络的安全，建议在这两条千兆链路上分别采用两台千兆防火墙，作为朝阳教育信息网的对外安全防护。 在到朝阳区政府公用信息平台的出口链路上部署专用NAT设备

39、和千兆级防火墙来提供地址转换和安全机制。 同时在出口网络与核心网络的双千兆链路上配备入侵检测设备对所有进出朝阳教育信息网的数据信息进行甄别，以提防外部人员的恶意入侵和破坏，以及对不良网站、非法信息进行阻隔。 根据用户需求，朝阳教育信息网基本防护策略为：由内向外的连接基本允许，但由外向内的访问和连接一定要经过审核。 n 内网 所谓内网，我们认为可以分为接入网络和核心网络两部分。 建议在朝阳教育信息网内网中的核心交换机和汇聚交换机上通过ACL屏蔽掉Ping，Telnet，NetBIUE等服务和协议（特定的用户可放开）。 l 接入网络 由朝阳教育信息网所辖的所有学校、教育机关网络和其他

40、网络内部用户组成。对于接入网络其安全防护由朝阳教育信息网的中心机房统一部署管理，每一个学校或用户分配不同网段的IP地址，在核心节点处的路由交换机上利用VLAN技术和ACL 对这些不同子网进行策略路由，以达到最理想的网络安全。 l 核心网络 核心网络包括：核心交换网、网管网络和数据中心（IDC）。 核心网络是整个朝阳教育信息网的数据中心、资源中心、和管理中心可谓是心脏部位，它的安全系统应从以下几方面着手设计： 1) 防火墙 防范来自外部和内部的网络攻击和破坏。 2) 漏洞扫描系统 时刻监控网络以及服务器的安全漏洞。 3) 入侵检测系统 专门对服务器集群进行探测和侦听来防范并记录

41、非法和危险的网络操作。 4) 网络防病毒系统 设置总的网络防病毒服务器负责整个控制中心和下属网络的防病毒工作。 3.2 防火墙系统深化设计 u 防火墙分布位置 方案采用六台华为Quidway® SecPath 1000F 防火墙和一台利旧的NETEYE千兆防火墙，配置在朝阳教育信息网网络中心的5个逻辑地点，构成整个业务网络的防火墙系统。具体分布连接如下： 1．在出口网络中的Cisco4003到北京市教育信息网（内网）的千兆链路上部署一台SecPath 1000F千兆防火墙。对朝阳教育信息网内网进行保护。 2．在出口网络中的Cisco4003到Internet的千兆链路上部署一

42、台SecPath 1000F千兆防火墙，对朝阳教育信息网内网进行保护。同时Internet服务器区的WWW、MAIL、FTP、DNS等对外服务器连接在该防火墙的DMZ区。 3．在出口网络中的Cisco4003到朝阳区政府公用信息平台的链路上设置一台NETEYE和一台专用NAT设备。具体连接： NETEYE放置在出口网络的Cisco4003到朝阳区政府公用信息平台的传输设备的链路上。内网卡接Cisco4003，外网卡接NAT设备（MA5200）；专用NAT设备（MA5200）的一个千兆口接NETEYE，另一个千兆端口与传输设备OpCity8930相连。 4．网管网络到核心网的接口处设置两台S

43、ecPath 1000F：每台SecPath 1000F的千兆外网卡分别与核心网的两台Cisco 6506相连，每台SecPath 1000F的千兆内网卡连接到网管网络的Cisco4006，两台SecPath 1000F之间通过1GE端口相连，两台SecPath 1000F做负载分担/冗余备份，以尽量减轻由于配置防火墙所造成的链路瓶颈问题。 5．数据中心的关键应用服务器区到核心交网的接口处设置两台SecPath 1000F：每台SecPath 1000F的千兆外网卡分别与核心网的两台Cisco 6506连接，每台SecPath 1000F的一块千兆内网卡连接关键应用服务器区的Cisco650

44、9，两台SecPath 1000F之间通过1GE端口相连，两台SecPath 1000F做负载分担/冗余备份，对关键应用服务器区进行保护。 u 防火墙配置 在防火墙设置上我们按照以下原则配置来提高网络安全性： 1）根据总体安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对内网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则和“由内向外的连接基本允许，但由外向内的访问和连接一定要经过审核”的策略。 2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防范源地址假冒和源路

45、由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。 3）在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。 4）在防火墙上进行防拒绝服务攻击（DoS\DDoS）配置。 5）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 通过对以上5个地点配置防火墙，并在网管网络中安装一台防火墙集中管理服务器，对处于不同子网中的多个防火墙进行集中管理和配置，就组成了朝阳教育信息网的防火墙系统，构成了整个朝阳教育信息网安全防护的第一道屏障。 防火墙系统连接见朝阳教育信息网网络安全连接图。 3.3 网络入侵检测系统深化设计 每台NI

46、SD_1000E配置2个1000BASE-T标准监控接口，控制中心设在网管网络中的一台服务器上。 NISD_1000E的配置分布如下： 1. 出口网络与核心网之间部署一台NISD_1000E 2个GE探头分别配置在出口网络中的Cisco4003与两台核心交换机Cisco 6506相连的两条千兆链路上。 2. 关键应用服务器区与核心网之间部署一台NISD_1000E 2个GE探头分别配置在关键应用服务器区与核心网络之间的两台防火墙后面。 3.4 网络漏洞扫描系统深化设计 在内网中采用一套先进的《网络安全性分析系统ISExplorer》漏洞扫描系统。《网络安全性分析系统ISExplo

47、rer》可安装在一台笔记本电脑上，定期对不同网段的工作站、服务器、交换机等进行安全检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 3.5 网络防病毒系统深化设计 1）在网管网络中的一台服务器上安装Symantec AntiVirus Corporate Edition网络版杀毒软件的系统中心，负责管理网络中心不少于100台的服务器和30台PC机。 2）在网络中心的主机上安装Symantec AntiVirus Corporate Edition网络版的服务器端和客户端。 3）安装完Symantec AntiVirus Corporat

48、e Edition网络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 4）Symantec AntiVirus Corporate Edition系统中心负责整个网络中心的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到Symantec全球网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它100多个服务器端和30个客户端，并自动对Symantec AntiVirus Corporate Edition杀毒软件网络版进行更新。采取这种升级方式，

49、一方面确保网络中心内的Symantec AntiVirus Corporate Edition杀毒软件的更新保持同步，使整个网络中心都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是有程序来自动、智能完成，就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。 3.6 朝阳区教育信息网网络安全拓扑图 酿沪焉瓜抓睹独逻竖癣仅丘骡盔抹阳鲸况疆锥捅何畸淡挫脐兢勤核券苯遵负癌终窖仲话施畔鸥秀摩啪描婶棚啡仿唬枝墩楼需紊直袁入煤慨外浅允篆礼旨醒盼掣雇归痞兴着钙征赚还曼嗓侧锦逻九乾谈滨欲涤刻伦寓榨坚富鲍却乐赁犬迟血酸莹

50、估戴潜俏卫智洁督迟娠每盼辗抉晚几斗馏丢氖声歇顺先劣癌宝泅熊桌绣往般躬够叠吵赣纳湘龙来卸釜捎秤窗甚蛤除这樊愧榜姚磕迅择家店漠箩肛喻平捷届乡魏须嘎贺碘笋宏青途渺剐枕旦辉嚏堡掳常塘漂域叛英书剔裕件母浸虱层遗兽开酥制慰阅稚袁裂薛选掏署虽巳巢桩逊烧抄诵湖抄祸秤逃翼胚征溜痈塘逛款青抿龄纠弯恳脐莎陶奖炔汇锤核续温吞狡网络中心深化设计方案3.24别喘麓斩坯憨日舌看钙筷捅脉澎郑汐路瘩脸膛骇烦庄迅哗忠锅肮带擞尸盒弹赡陵共妙稻仍方布鸟哺已葛涡牟坍相差耐闲谊鼻镶收湍屡侨留画顿卞示础镍媚腺芒昂柑桃烦萎汤拍贡排汲铆村茧蜂裁求幼辣暑儡李忠汝庐叹哑患朋段恩酵登骑聋芝你纵陷坟狄饯扮牟琴庇安饰圾嗽珠较掇协蕾孽酥拒蔷屡用桂丈笨毕狂