广西农村党员现代远程教育项目集成方案模板.doc

1、 广西农村党员现代远程教育项目集成方案 25 资料内容仅供参考，如有不当或者侵权，请联系本人改正或者删除。 广西农村党员现代远程教育项目集成方案 1月29日 目 录 第一章 项目概述 1 1.1 项目概述 1 1.2 项目实施范围 1 第二章 平台结构 2 2.1 整体结构描述 2 2.2 区级平台结构 3 2.3 市级平台结构 4 2.4 县级平台结构 4 2.5 平台承载网 5 2.6 设备分布 5 第三章 路由及策略规划 6 第四章 IP地址规划及

2、VLAN ID规划 6 4.1 IP地址与VLAN ID分配原则 7 4.2 IP地址分配表 7 第五章 设备命名规划 7 5.1 设备命名规范 7 5.2 设备标签规范 9 第六章 网络安全 9 6.1 广播抑制 9 6.2 防攻击策略 9 6.3 平台系统安全要求 10 6.4 设备管理要求 10 第七章 项目管理与工程实施 13 7.1 项目组结构及职责 13 7.1.1 项目组结构 13 7.1.2 项目组成员职责 14 7.2 工程进度计划 15 7.3 工程阶段划分 15 7.4 工程实施 17 第一章 项目概述

3、1.1 项目概述 开展农村党员干部现代远程教育, 是以胡锦涛同志为总书记的党中央与时俱进、 高瞻远瞩作出的一项重大决策, 具有十分重大的意义。首先, 这是推动农村党员干部教育培训从手段到内容全面体现时代性、 把握规律性、 富于创造性的一项战略举措。其次, 这是 建立”让干部经常受教育、 使农民长期得实惠”机制得一个有效载体。第三, 这是用信息化带动农业产业化和农村现代化的一条重要途径。总之, 这对于农村兴起学 习贯彻”三个代表”重要思想的新高潮, 加强党的建设, 提高农村党员干部素质、 促进农民增收致富, 加快农村信息化、 现代化建设, 解决由城乡信息不对称、 教育机会不均衡等因素所导致的城

4、乡居民收入严重失衡等问题, 都具有长远的战略意义。 广西农村党员干部现代远程教育基础设施建设以电信模式为主, 卫星模式为辅, 计划用3年时间全面完成全区16754个农村党员干部现代远程教育终端接收站点以及自治区、 市、 县三级播出平台的建设。 本次项目的主要建设内容包括: 1个自治区级播出平台、 14个市级播出平台、 111个县( 区) 播出平台、 14504个电信模式终端接收站点和2250个卫星模式终端接收站点, 传输网络采用广西电信宽带网。 1.2 项目实施范围 根据要求本次项目负责自治区、 市、 县平台整个网络的规划、 与平台承载网络提公司之间的协调和各级平台的集成实施工作,

5、集成设备及软件包括: 硬件部分 软件部分 HP服务器 卫星数据编码软件 DELL磁盘阵列 节目制作转换软件 CISCO交换机 节目检测软件 曙光防火墙及IDS 中心资源库管理软件 dell计算机 节目运营平台软件 集中远程控制系统 党员远程教育信息管理系统软件 直播编码器 图文信息服务软件 卫星接收系统 图文信息采集软件 高清非编系统 网站信息发布与管理软件 多媒体资源管理系统 直播转发软件 　 Windows Server中文企业版 　 Windows XP 中文专业版 4套 　 Redhat Linux Advanced Ser

6、ver 　 Oracle 10g for linux 第二章 平台结构 2.1 整体结构描述 该项目平台采用三级结构, 区级平台+地市级平台+县级平台。自治区平台包括卫星接收系统、 节目格式转换系统、 节目检测系统、 节目分发系统、 图文电视网站、 教学管理系统、 多媒体资产管理系统、 自治区级信息管理系统、 安全保障系统、 网络交换系统和集中远程控制管理系统和自治区级辅助教学网站; 市级平台包括: 节目格式转换系统、 节目检测系统、 节目分发系统、 播出管理系统、 安全保障系统、 网络交换系统和集中远程控制管理系统和教学管理客户端; 县级平台包括: 节目点播系统、 视频直播

7、系统、 网络交换系统和集中远程控制管理系统。自治区、 市、 县三级平台各系统均托管在电信IDC机房, 整个平台架构如下: 2.2 区级平台结构 2.3 市级平台结构 2.4 县级平台结构 2.5 平台承载网 用户与平台之间流量承载采用广西电信的ip城域网进行承载, 平台之间跨越城域网的流量采用CN2网络, 中国电信的CN2网络是一张高可靠性、 高带宽网络, 专门用户大客户用户流量的承载。 各地市城域网经过每年的扩容改造, 现在已经是一张高带宽、 高可靠性的网络, 能够为用户提供相应的QOS保障和安全, 根据本次项目视频的需要, 电信城域网的接入为用户提供2M的带宽

8、保障。平台提供1GE以上的带宽保障。 2.6 设备分布 在本次项目中大部分设备是托管在电信各级IDC机房, 少部分设备在各级组织部机房。具体设备分部情况如下表: 设备安装表 平台级别 设备安装地点 设备类型 设备型号 设备用途 设备高度 设备数量 备注 区级平台 区IDC机房 交换机 　 设备汇聚 　 　 　 防火墙 　 内外网安全隔离 　 　 　 服务器 　 　 　 　 　 IDS 　 数据行为分析 　 　 　 存储 　 数据存储 　 　 　 KVM设备 　 服务器管理 　 　 　 区组

9、织部机房 交换机 　 　设备汇聚 　 　 　 防火墙 　 内外网安全隔离 服务器 　 　 　 　 　 PC机 　 　 　 　 　 市级平台 市IDC机房 交换机 　 设备汇聚 　 　 　 防火墙 　 内外网安全隔离 　 　 　 服务器 　 　 　 　 　 IDS 　 数据行为分析 　 　 　 存储 　 数据存储 　 　 　 KVM设备 　 服务器管理 　 　 　 市组织部机房 交换机 　 设备汇聚 　 　 　 服务器 　 　 　 　 　

10、PC机 　 　 　 　 　 县级平台 县IDC机房 交换机 　 设备汇聚 　 　 　 服务器 　 　 　 　 　 KVM设备 　 服务器管理 　 　 　 市组织部机房 交换机 　 设备汇聚 　 　 　 服务器 　 　 　 　 　 PC机 　 　 　 　 　 第三章 路由及策略规划 广西电信的城域网及CN2提供ip层的路由传递, 该项目各级平台的视频采用单播方式进行传送, 考虑到用户在近段时期有上互联网的需求以及用户量大的情况, 整个传送网络不采用VPN方式, 广西电信的城域网以及CN2骨干网只提供I

11、P路由可达, 视频需求相应丢包、 时延和抖动的QOS保障, 在平台接入端提供GE带宽的保障, 在用户接入端提供2M的接入带宽保障。 第四章 IP地址规划及VLAN ID规划 4.1 IP地址与VLAN ID分配原则 IP地址分配既要考虑到扩充, 又要能做到连续; 尽量给每个部门或业务分配连续的IP地址空间, 并为将来的网络扩展预留一定的地址空间, 以此减少网络的IP路由表的路由数目, 减少网络路由的收敛时间, 提高网络性能, 增加网络的可靠性。 IP地址的分配建议采用VLSM技术, 保证IP地址的利用率; 采用CIDR技术, 可减小路由器路由表的大小, 加快路由器路由的收敛速度,

12、也能够减小网络中广播的路由信息的大小。 针对于该项目, 为了提高网络的安全性, 避免互联网对服务器进行攻击, 建议区、 市级平台网络采用私有地址, 对于需要外部访问的服务器, 采用NAT技术来实现外部对服务器的访问, 县级平台直接采用公网地址访问。 为了实现对业务的细分, 以及提高网络的性能, 需要采用不同VLAN ID 的来进行部门或业务区分, 便于业务的开展和管理, 因此有必要对VLAN ID 进行统一规划和使用。 序号 VLAN范围 VLAN用途 1 10-99 设备互联使用 2 100-200 业务使用 4.2 IP地址及VLAN分配表 第五章 设备命

13、名规划 5.1 设备命名规范 本次项目中涉及到的设备有服务器、 交换机、 防火墙、 IDS以及相关的控制设备等。 为了以后管理的方便, 设备命名需有一定的规范性。采用设备命名由设备简称、 型号、 配线间编号等部分组成。 GX – 平台编码 - 设备简称 - 设备型号 – 设备相对编号 解释如下: GX代表”广西”——广西农村党员远程教育系统平台网络; 平台编码－根据各级平台信息进行编号, 参见平台编号表; 设备简称——RT: 路由器, SW: 交换机等, 见设备简称对应表; 设备型号为IBMX3850、 HP380、 S5626C等; 设备相对编号为该种设备唯一性

14、标识, 从01开始编号。 平台编号表 序号 平台 平台编号 备注 1 自治区平台 ZZQPT 2 南宁市平台 NNSPT 3 柳州市平台 LZSPT …… …… …… 15 河池市平台 HCSPT 16 武鸣县平台 WMXPT 17 隆安县平台 LAXPT …… …… …… 126 东兰县平台 DLX平台 设备简称对应表 序号 设备 设备简称对应 备注 1 服务器 SRV 2 防火墙 FW 3 交换机 SW 4 入侵监测 IDS 5 远程

15、管理系统 KVM 6 存储系统 STG 7 编码器 BM 5.2 设备标签规范 本次项目设计设备的标签规范建议如下: 设备名称 防火墙 用户单位 广西农村党员干部现代远程教育项目 集 成 商 中国电信集团系统集成有限责任公司 安装日期 -03-15 系统设备标识 GX–NNSPT-FW-NFGW4000–01 管理IP地址 202.112.220.5/27 售后服务 800-879-1688 第六章 网络安全 6.1 广播抑制 广播报文会发送给特定网段内的所有主机, 每台主机都会对收到的报文进行处理, 做出回应

16、或丢弃的决定, 其结果是既消耗网络带宽又影响主机性能。广播风暴抑制能够限制广播流量的大小, 对超过设定值的广播流量进行丢弃处理。 建议在交换机设备启用广播风暴抑制功能, 当广播流量超过用户设置的值后, 系统将对广播流量作丢弃处理, 使广播所占的流量比例降低到合理的范围, 从而有效地抑制广播风暴, 避免网络拥塞, 保证网络业务的正常运行, 提高了网络的可靠性。建议广播抑制比设置为35％～50％。 6.2 防攻击策略 本次项目的防火墙设备提供非常丰富的防攻击特性: Ø Smurf攻击防范功能 Ø ICMP重定向报文攻击防范功能 Ø ICMP不可达报文攻击防范功能 Ø 地址扫描攻击防

17、范功能 Ø 端口扫描攻击防范功能 Ø 带路由记录选项IP报文攻击防范功能 Ø Tracert报文攻击防范功能 Ø Ping of Death攻击防范功能 Ø IP分片报文攻击防范功能 Ø 超大ICMP报文攻击防范功能 Ø 经过配置ACL策略来过滤病毒和非法接入功能 来保护内网免受恶意攻击, 保证内部网络及系统的正常运行。 6.3 平台系统安全要求 整个平台系统要求开放对外开放: 1、 在图文浏览方面要求开放HTTP、 HTTPS协议。 2、 在视频点播方面要求开放RTSP、 RTCP、 RTP协议。 3、 在视频直播方面, 由于采用单播方式, 因此与视频点播要求一样

18、 开放RTSP、 RTCP、 RTP协议。 4、 在平台管理方面, 要求开放SNMP, KVM系统需要的端口。 6.4 设备管理要求 设备管理的安全是一个重要的环节, 应对设备本身基于以下的安全基线来保证网络安全: Ø 鉴别和认证 Ø 访问控制 Ø 审计和跟踪 Ø 内容安全 Ø 冗余和恢复 具体地讲, 本项目涉及到的防火墙、 ISD、 交换机设备应在以下各方面保证网络安全: Ø 对于远程登陆, 必须设置相应的ACL, 限定可远程登陆的主机IP地址范围, 建议采用支持加密的登陆方式SSH, 确保所有登陆服务的位置都有口令保护, 确保AUX和Console口都有

19、EXEC口令, 口令使用MD5加密 。对于必要的协议提供命令行方式的VTY连接, VTY只接受来自可信任的IP地址的连接, 需要设置VTY连接超时。开启日志功能, 关闭不需要的服务。 Ø 对SNMP协议, 确保使用SNMP版本2或以上, 允许对MIB库进行读／写操作的主机也要经过ACL设置限定在指定网段范围内, 同时MIB库进行读／写密码必须设定为非缺省值。各种密码必须为健壮口令, 并定期进行更换。确保受权使用SNMP进行管理的主机限定在指定网段范围内。 Ø 对用户操作进行审计, 用户分级分权设置帐号来对设备进行安全管理: 将帐号分成两级, 第一级只具备登陆进行查看配置功能; 第二级属于管

20、理员级别, 能对设备进行配置操作。 本项目涉及到的服务器应在以下各方面保证网络安全: 由于本次绝大部分的服务器操作系统平台为RedHat linux, 针对主机系统的安全建议如下: 1、 Accounts检查 # less /etc/passwd ＃ grep :0: /etc/passwd 注意新的用户, 和UID,GID是0的用户． 2、 Log检查 注意”entered promiscuous mode” 注意错误信息 3、 Processes检查 # ps -aux 注意UID是０的 # lsof -p 可疑的进程号 察看该进程所打开端口和文件 4、

21、Files检查 # find / -uid 0 –perm -4000 –print # find / -size +10000k –print # find / -name ”...” –print # find / -name ”.. ” –print # find / -name ”. ” –print # find / -name ” ” –print 注意SUID文件, 可疑大于１０Ｍ, ．．．, ．．, ．和空格文件 5、 Rpm检查 # rpm –Va 输出格式: S – File size differs M – Mode differs (permi

22、ssions) 5 – MD5 sum differs D – Device number mismatch L – readLink path mismatch U – user ownership differs G – group ownership differs T – modification time differs 注意和这些相关的 /sbin, /bin, /usr/sbin, and /usr/bin 平时养成安装第三方文件时check　MD5的习惯, 运行的时候会出很多５或者missing的提示, 如果不是上面几个目录的, 不用太注意。 6、 Netwo

23、rk检查 # ip link | grep PROMISC 正常网卡不该在promisc模式, 当然安全server除外, 否则可能是有人入侵在sniffer # lsof –i # netstat –nap 察看不正常打开的TCP/UDP端口, 需要注意 # arp –a 7、 Schedule检查 注意root和UID是０的schedule # crontab –u root –l # cat /etc/crontab # ls /etc/cron.* 8、 不开没有的服务进程和端口, 登录采用SSHv2进行登录。 9、 注意采用Linux自身的防火墙软件IPTA

24、BLES来维护本机的安全, iptables的安全策略需要根据该服务器的具体功能进行制定, 我们将会同软件提供商一起, 针对各台服务器具体功能及提供的具体服务情况进行安全策略的制定。 10、 启用SeLinux功能, 提升linux自身的安全等级。 11、 及时根据RedHat厂家的安全更新通知, 对系统打上安全补丁, 避免发现的漏洞被其它人利用。 12、 linux的系统用户口令需要满足相关的规范要求, 避免太短或太简单的口令被暴力破解, 从而入侵服务器。 13、 linux启动的Grub同样需要设定进入密码, 避免无关人员进入机房重启linux服务器, 从Grub启动管理器进入系统

25、的单用户模式, 从而掌控该台服务器。 第七章 项目管理与工程实施 7.1 项目组结构及职责 7.1.1 项目组结构 本项目由远程办相关领导组成项目领导组; 项目管理组由监理公司、 电信系统集成公司、 威克姆公司组成, 电信系统集成公司、 威克姆公司分别指派一名具有良好技术背景、 三年以上相关项目丰富项目实施经验的高级管理人员作为本项目的项目经理, 负责项目的协调管理; 电信系统集成公司、 威克姆公司分别指派一名具有良好技术背景和丰富项目实施经验的管理人员, 作为该项目的技术经理; 电信指派四个项目管理丰富的人担任片区项目经理; 各相关单位出相应人员组成实施小组。 项目计划按

26、照四个片区来进行实施, 南宁片区包括: 南宁、 崇左、 百色; 柳州片区包括: 柳州、 来宾、 河池; 玉林片区包括: 玉林、 贵港、 北海、 钦州、 防城; 桂林片区包括: 桂林、 梧州、 贺州。每个片区计划分两组同时进行实施。 7.1.2 项目组成员职责 ( 1) 项目领导组 项目领导组由远程办相关人员组成, 负责贯彻有关方针政策, 负责项目的总体指挥、 调度、 沟通、 综合及决策项目推动事宜。 ( 2) 项目组成员职责 项目管理组由监理公司、 电信系统集成公司、 威克姆公司组成。负责该项目实施的具体组织和管理, 制作详细的项目实施方案, 并在实施过程中及时动态地调整项目整体

27、计划, 提高工作效率, 保证实施进度; 给各个现场实施小组分配任务, 并以天为单位随时监控每个小组的实施情况, 控制项目进度。接受监理投诉和协调用户需求的变化, 及时反馈制订应急计划, 并报项目领导组和用户项目实施负责人。在小组中具体分工如下: 监理公司 负责整个项目实施的监督, 及时反馈向业主反馈项目情况以及向项目组传达业主对项目的意见和建议, 负责项目设备验货的组织, 审核开工报告、 施工组织设计、 技术方案、 进度计划和施工质量, 负责项目验收的组织。 电信系统集成分公司 负责该项目实施的具体组织和管理, , 控制项目进度作为项目集成方, 负责了解业务需求, 在各设备提供商的配

28、合下制作详细的项目集成、 实施方案, 制定项目实施进度计划, 组织项目实施并监控项目的实施进度, 并在实施过程中及时动态地调整项目整体计划, 提高工作效率, 保证实施进度, 给各个现场实施小组分配任务, 并以天为单位随时监控每个小组的实施情况, 接受监理投诉和协调用户需求的变化, 及时反馈制订应急计划, 并报项目监理和项目实施成员。配合监理完成项目的验收工作。 负责项目中硬件设备的安装, 网络的连接以及相关网络设备的配置。 威科姆公司 威科姆公司负责配合电信系统集成制定平台有关的技术方案, 负责所提供设备运送到业主制定地点和验货, 负责所提供设备系统软件、 应用软件的安装和联调测试工作,

29、 以及作为设备供应商在工程界面中应尽的职责与义务。 曙光公司 曙光公司公司负责配合电信系统集成制定所提供安全设备有关的技术方案, 负责所提供设备运送到业主制定地点和验货, 以及提供和解决在实施中设备遇到的技术问题和故障。 CISCO公司 公司负责配合电信系统集成制定所提供设备有关的技术方案, 负责所提供设备运送到业主制定地点和验货, 以及提供和解决在实施中设备遇到的技术问题和故障。 KVM公司 公司负责配合电信系统集成制定所提供设备有关的技术方案, 负责所提供设备运送到业主制定地点和验货, 以及提供和解决在实施中设备遇到的技术问题和故障。 电信运营商 负责提前准备好托管在电信机

30、房中设备的安装环境以及相应的传输链路, 配合完成平台之间底层网络的调试工作。 远程办及各地市组织部 负责提前准备好设备的安装环境, 配合实施组的实施工作, 负责协调和解决工程中需要远程办及各地市组织部配合的所有事宜。 7.2 工程进度计划 工程进度计划详见附件: 工程进度计划 7.3 工程阶段划分 从整体上将工程实施分为六个阶段。下面我们逐个阐述, 各个阶段的工作描述。 一、 工程前期准备阶段 工程前期准备阶段主要包括三方面的工作: 一、 电信系统集成分公司对农党项目的业务结构、 规模、 设备厂家的功能特性, 电信的承载网络进行深入了解, 在设备厂商的配合下提出项目集成

31、技术方案以及集成实施方案和设备配置模板; 综合考虑各方面因素制定项目的工程进度计划, 成立工程项目组, 完善项目实施需要的各方联系通讯录。 二、 各设备厂家进行项目需要的设备准备, 并按照项目进度计划发货到客户指定地点。 三、 电信运营商按照项目计划准备项目托管设备的机房环境和需要的传输链路; 业主按照项目计划准备设备的机房环境。 二、 新设备安装、 调测阶段 该阶段的实施前提条件: 1、 各节点采购设备都已运输到达现场; 2、 机房配套设备已经齐全、 电源系统具备、 所需传输链路已经调通, 机房已经具备施工条件。 主要根据工程进度计划完成项目新增设备的安装、 调测工作, 保

32、证县平台能够与市平台之间通讯、 市平台能够与区平台之间通讯, 放在客户端的系统管理平台能够托管在电信机房的平台设备之间正常通讯, 保证各级平台设备能够远端管理, 按照各级测试规范测试经过。 三、 业务测试 在完成全区的各级业务( 区、 市、 县) 平台安装后, 在区中心平台对全区的各级平台进行检测, 测试业务是否全部正常, 平台管理是否正常。确保下一阶段业务的开展能够顺利进行。 四、 初验阶段 在全区各级平台运行正常的情况, 按照业主的要求进行项目的初验。 五、 试运行阶段 初验完成后, 整个平台进行试运行, 进行用户终端业务开展, 测试平台的性能和功能稳定性。 六、 终验阶段

33、 经过一个月左右的试运行, 用户平台能够正常运行, 满足业务开展的需求。进行项目的最终验收。 7.4 工程实施 本次工程整体为新增设备的搭建工程, 所有设备均为新增设备, 在工程具体实施上将先完成工勘后, 在当地机房条件合适的情况下开始工程施工, 对于没有完成机房环境或不具备设备安装条件的节点。将暂缓施工, 到所有环境要求满足后, 再开始施工。具体各节点实施详见各节点实施方案。 具体步骤如下: 1、 各设备提供商按照合同要求准备项目的设备, 并按照项目要求运送到指定地点。 2、 机房( 电信托管机房和业主机房) 工勘, 完成相应环境准备工作 3、 电信运营商根据项目需求准备相应的传输链路。 4、 针对工勘结果完善实施方案, 完成最后工程施工准备工作 5、 按照施工进度计划进行设备开箱验货, 清点设备件数 6、 按照施工进度, 在机房机房环境和传输链路都具备条件的情况下, 在预定时间内完成设备上架、 加电、 调测工作 7、 根据《实施调测报告》内容进行各项检测, 并填写报告, 由各方签字 8、 平台整体测试运行 9、 项目初验 10、 平台试运行。