TOC\o"1-4"\h\z一. 網(wǎng)絡(luò)中心深化設(shè)計(jì) 31. 業(yè)務(wù)網(wǎng)的深化設(shè)計(jì) 31.1 應(yīng)用需求分析 31.2 業(yè)務(wù)流量需求分析 3 外網(wǎng)流量需求分析 3 內(nèi)網(wǎng)流量需求分析 31.3 各功能區(qū)塊的配置與設(shè)備利舊 51.4 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 91.5 交換設(shè)備安裝與調(diào)試 101.6 原有網(wǎng)絡(luò)的割接 111.7 IP地址規(guī)劃深化設(shè)計(jì) 111.8 交換設(shè)備以及計(jì)算機(jī)系統(tǒng)時間同步 121.9 時間同步方案示意圖 132. 平安系統(tǒng)深化設(shè)計(jì)方案 142.1 平安系統(tǒng)需求分析 142.2 防火墻系統(tǒng)深化設(shè)計(jì) 152.3 網(wǎng)絡(luò)入侵檢測系統(tǒng)深化設(shè)計(jì) 162.4 網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì) 172.5 網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì) 172.6 朝陽區(qū)教化信息網(wǎng)網(wǎng)絡(luò)平安拓?fù)鋱D 183. 服務(wù)器存儲系統(tǒng)的深化設(shè)計(jì) 193.1 需求分析 193.2 服務(wù)器的安裝與功能安排 193.3 服務(wù)器集群的配置 213.4 存儲系統(tǒng)的深化設(shè)計(jì) 223.5 數(shù)據(jù)備份系統(tǒng)的安裝與配置 243.1 服務(wù)器存儲系統(tǒng)結(jié)構(gòu)拓?fù)鋱D 25二. 網(wǎng)絡(luò)中心工程的組織與實(shí)施 19網(wǎng)絡(luò)中心深化設(shè)計(jì)業(yè)務(wù)網(wǎng)的深化設(shè)計(jì)應(yīng)用需求分析業(yè)務(wù)網(wǎng)（IP網(wǎng)）是承載于傳送網(wǎng)上的數(shù)據(jù)網(wǎng)絡(luò)，依據(jù)朝陽區(qū)教化“校校通”工程建設(shè)的總體規(guī)劃，在傳送網(wǎng)的骨干層有五個核心節(jié)點(diǎn)，利用10G帶寬的鏈路構(gòu)建核心主干網(wǎng)絡(luò)。而業(yè)務(wù)網(wǎng)的數(shù)據(jù)中心只有一個，位于教委的信息中心，因此教委的信息中心便要擔(dān)當(dāng)整個朝陽教化信息網(wǎng)的數(shù)據(jù)分析、業(yè)務(wù)處理和平安防護(hù)的重?fù)?dān)。兼具傳送網(wǎng)的骨干層核心節(jié)點(diǎn)和業(yè)務(wù)網(wǎng)數(shù)據(jù)中心為一身的教委信息中心注定成為本次業(yè)務(wù)網(wǎng)建設(shè)中的重中之重。業(yè)務(wù)流量需求分析我們依據(jù)以往校內(nèi)網(wǎng)建設(shè)閱歷，并結(jié)合本工程的具體需求首先對朝陽教化信息網(wǎng)業(yè)務(wù)網(wǎng)的流量需求作如下分析。朝陽教化信息網(wǎng)業(yè)務(wù)流量主要分為兩個方面：一方面為網(wǎng)絡(luò)內(nèi)部的FTP服務(wù)、VOD視頻點(diǎn)播、視頻會議、資源庫調(diào)用、遠(yuǎn)程教學(xué)、內(nèi)部監(jiān)控、內(nèi)部公文傳遞等業(yè)務(wù)應(yīng)用，這是相對主要的業(yè)務(wù)流量。另一方面，Internet互聯(lián)網(wǎng)出口的閱讀查詢應(yīng)用，與區(qū)信息平臺的公文傳遞應(yīng)用這是相對次要的業(yè)務(wù)流量。外網(wǎng)流量需求分析針對上述需求，我們首先分析處于次要地位的互聯(lián)網(wǎng)閱讀、上傳下載數(shù)據(jù)以及電子郵件等業(yè)務(wù)的流量。建設(shè)Internet出口目的是為網(wǎng)絡(luò)用戶供應(yīng)必要的互聯(lián)網(wǎng)閱讀和查詢功能，出現(xiàn)大容量的數(shù)據(jù)上傳、下載的機(jī)會相對較少，因此依據(jù)以往的閱歷，通過100M帶寬連接Internet就可以滿意須要。朝陽教委與區(qū)政府的公共信息平臺之間的流量主要是些日常的公文傳遞，不會占用大量的帶寬，所以在區(qū)公共信息平臺出口上的流量也不會太大。內(nèi)網(wǎng)流量需求分析目前朝陽區(qū)教化信息網(wǎng)上的應(yīng)用大致分為：網(wǎng)站發(fā)布、社會教化及學(xué)校及學(xué)生家長溝通、FTP服務(wù)、系統(tǒng)內(nèi)部的電子郵件、教化管理信息庫CMIS、IC卡應(yīng)用系統(tǒng)、網(wǎng)絡(luò)視頻會議、網(wǎng)絡(luò)視頻教學(xué)系統(tǒng)、IP電話應(yīng)用（VOIP）、視頻點(diǎn)播、資源庫調(diào)用等應(yīng)用，我們對以上流量進(jìn)行分析，將這些流量依據(jù)學(xué)校局域網(wǎng)內(nèi)部流量、通過教委數(shù)據(jù)中心的流量、校間流量來分類。其中學(xué)校局域網(wǎng)內(nèi)部流量不影響整個數(shù)據(jù)平臺的流量，不予以分析現(xiàn)有的應(yīng)用中，以一個標(biāo)準(zhǔn)學(xué)校為例，將每個應(yīng)用的流量分布狀況分析如下：

現(xiàn)有應(yīng)用通過教委的流量校間流量網(wǎng)站發(fā)布/社會教化及學(xué)校及學(xué)生家長溝通有無教委FTP服務(wù)有無系統(tǒng)內(nèi)部的電子郵件系統(tǒng)有無VOD視頻點(diǎn)播有無教化管理信息庫CMIS有無IC卡應(yīng)用系統(tǒng)有無網(wǎng)絡(luò)視頻會議系統(tǒng)有有教委的視頻點(diǎn)播系統(tǒng)有無IP電話系統(tǒng)有有教委的資源庫應(yīng)用系統(tǒng)有無從上表分析，我們可以看出在朝陽區(qū)教化信息網(wǎng)中，對于整個網(wǎng)絡(luò)而言，絕大部分的數(shù)據(jù)流量都集中在學(xué)校與教委之間。因此這是一個典型的業(yè)務(wù)集中型網(wǎng)絡(luò)結(jié)構(gòu)。依據(jù)上述的業(yè)務(wù)分析，我們提出將業(yè)務(wù)網(wǎng)（IP網(wǎng)）進(jìn)行簡化，由傳統(tǒng)的三層網(wǎng)絡(luò)結(jié)構(gòu)簡化為以教委信息中心核心網(wǎng)絡(luò)為骨干層、其余接入單位統(tǒng)一劃入接入層范疇的二層結(jié)構(gòu)。之所以實(shí)行這樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)主要基于如下考慮，

現(xiàn)有的朝陽區(qū)教化系統(tǒng)的主要業(yè)務(wù)應(yīng)用狀況和接入平臺（mstp接入）的實(shí)際狀況很符合二層的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，二、三層組網(wǎng)都是很典型的組網(wǎng)應(yīng)用，而目前網(wǎng)絡(luò)結(jié)構(gòu)更有扁平化的趨勢，因?yàn)槎泳W(wǎng)絡(luò)具備易管理、易限制、性能高（因?yàn)樯倭艘粚釉O(shè)備）等優(yōu)點(diǎn)。

在這樣的網(wǎng)路結(jié)構(gòu)中，骨干層設(shè)備負(fù)責(zé)完成網(wǎng)絡(luò)各接入節(jié)點(diǎn)之間的互聯(lián)，完成高效的數(shù)據(jù)傳輸、交換及路由分發(fā)。供應(yīng)流量限制和用戶管理等多項(xiàng)功能，提高整個網(wǎng)絡(luò)的牢靠性和擴(kuò)展性。接入層設(shè)備供應(yīng)各種標(biāo)準(zhǔn)接口將數(shù)據(jù)通過MSTP傳輸網(wǎng)絡(luò)上傳到骨干層設(shè)備中，完成基本的業(yè)務(wù)系統(tǒng)之間的隔離和平安性限制、認(rèn)證管理等功作。這樣的結(jié)構(gòu)主要便于集中管理和維護(hù)，全部學(xué)校的網(wǎng)上行為都將在教委信息中心有效的管理之下，同時將故障點(diǎn)集中在教委信息中心，當(dāng)出現(xiàn)單點(diǎn)故障時可以就近解決問題。當(dāng)然扁平的二層結(jié)構(gòu)對核心交換機(jī)的性能要求很高，因此必需保證核心交換機(jī)平安牢靠的運(yùn)行。作為朝陽區(qū)教委的核心設(shè)備85是一款高端的交換設(shè)備，交換容量720G（S8512），支持vlan4K個，acl條目數(shù)4k條，在性能上完全可以滿意實(shí)際需求。綜上所述扁平的二層網(wǎng)絡(luò)最突出的優(yōu)點(diǎn)是簡化網(wǎng)絡(luò)結(jié)構(gòu)，便利管理和維護(hù)，以及節(jié)約珍貴的項(xiàng)目資金。核心層設(shè)備依據(jù)需求應(yīng)滿意萬兆級速率的連接，同時應(yīng)當(dāng)具備大容量的包吞吐率，支持大密度大容量接口，為了實(shí)現(xiàn)最高的牢靠性，應(yīng)供應(yīng)兩臺核心路由交換機(jī)互為冗余備份，對于關(guān)鍵的板卡比如核心引擎以及供電電源也采納雙板卡冗余。而接入層設(shè)備可依據(jù)校內(nèi)網(wǎng)建設(shè)的實(shí)際狀況分為三層交換機(jī)和二層交換機(jī)，對于有三層交換機(jī)的學(xué)?？梢詥尤龑勇酚晒δ?，將網(wǎng)絡(luò)風(fēng)暴限制在學(xué)校內(nèi)部，而通過靜態(tài)路由訪問骨干層，對于擁有二層交換機(jī)的學(xué)校，據(jù)我們調(diào)研學(xué)校并不多，可考慮更換三層設(shè)備，或者將這些學(xué)校單獨(dú)劃分為不同的VLAN以實(shí)現(xiàn)隔絕網(wǎng)絡(luò)風(fēng)暴的功能。各功能區(qū)塊的配置與設(shè)備利舊網(wǎng)絡(luò)中心依據(jù)功能劃分為若干區(qū)塊，即出口網(wǎng)絡(luò)區(qū)塊、主核心交換區(qū)塊、關(guān)鍵應(yīng)用服務(wù)器區(qū)塊、大流量數(shù)據(jù)應(yīng)用服務(wù)器區(qū)塊、網(wǎng)管網(wǎng)絡(luò)區(qū)塊、接口網(wǎng)絡(luò)區(qū)塊等。出口網(wǎng)絡(luò)區(qū)塊：朝陽區(qū)教化信息網(wǎng)的出口有兩個：即北京市教化信息網(wǎng)和朝陽區(qū)政府公用信息平臺。主要出口為北京市教化信息網(wǎng)，協(xié)助和備份出口為朝陽區(qū)政府公用信息平臺出口（即連接到朝陽區(qū)信息辦的鏈路）。兩個出口均連接到出口網(wǎng)絡(luò)中的利舊設(shè)備Cisco6506交換機(jī)上（網(wǎng)絡(luò)割接之前可用性能相近交換機(jī)替代）。具體出口連接說明如下：北京市教化信息網(wǎng)出口1、朝陽區(qū)教化信息網(wǎng)到北京市教化信息網(wǎng)總共一條物理鏈路，市教委會放置兩臺設(shè)備在朝陽中心，Cisco7609Sup720＋CiscoCatalyst4506SupV，朝陽上聯(lián)的設(shè)備為Cisco7609Sup720，具體端口1000Base-SX和1000Base-T都可以，但只有一個接口，不分內(nèi)網(wǎng)和Internet端口。2、內(nèi)網(wǎng)流量和Internet出口流量通過上述的統(tǒng)一線路和端口進(jìn)行傳遞，Internet流量的質(zhì)量由市教委統(tǒng)一的帶寬管理設(shè)備進(jìn)行管理，從而保證朝陽區(qū)的Internet帶寬需求。3、朝陽出口設(shè)備不須要進(jìn)行NAT。為保證朝陽內(nèi)部網(wǎng)絡(luò)和大網(wǎng)應(yīng)用的兼容性，建議不采納防火墻放置在總出口上。朝陽區(qū)政府公用信息平臺由朝陽區(qū)政府下來的鏈路機(jī)為了平安保證，在接入Cisco6506之前放置專用NAT（MA5200）設(shè)備及千兆防火墻，以起到平安防護(hù)和地址轉(zhuǎn)換的功能。主核心交換區(qū)塊拓?fù)洌河蓛膳_核心交換機(jī)S8512組成，兩臺核心路由交換機(jī)之間建立兩條10G鏈路，通過link-aggregation將兩個端口聚合為一個邏輯端口。聚合端口通過流量配置算法支持端口流量自動均衡愛護(hù)，使所屬物理通道流量基本均衡。主核心交換區(qū)塊負(fù)責(zé)整個業(yè)務(wù)網(wǎng)的數(shù)據(jù)交換、路由轉(zhuǎn)發(fā)工作，因此在信息中心配置兩臺核心骨干交換機(jī)作為網(wǎng)絡(luò)中心數(shù)據(jù)的骨干交換設(shè)備，我們可以將其比方為業(yè)務(wù)網(wǎng)網(wǎng)絡(luò)中心的心臟，為了保障網(wǎng)絡(luò)中心核心設(shè)備的正常運(yùn)行，將通過實(shí)行主設(shè)備雙機(jī)冗余，增加防火墻等措施來提高它的高牢靠性和高平安性。教化信息網(wǎng)傳送網(wǎng)的核心層的其余節(jié)點(diǎn)不再支配核心交換設(shè)備，這相當(dāng)于在業(yè)務(wù)網(wǎng)（IP網(wǎng)）的核心層只建設(shè)（保留）一個核心節(jié)點(diǎn)即教委信息中心。這樣一來，接入層及匯聚層節(jié)點(diǎn)通過MSTP傳送網(wǎng)把各個學(xué)校的IP數(shù)據(jù)干脆透傳到核心層的核心交換機(jī)，削減了各學(xué)校數(shù)據(jù)在核心層的傳送環(huán)節(jié)，提高了傳輸速度和交換時間，同時也可以在教委核心的交換機(jī)上統(tǒng)一做內(nèi)部路由和出口。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊：主要由SAN網(wǎng)絡(luò)存儲系統(tǒng)備份系統(tǒng)和服務(wù)器集群系統(tǒng)組成，在原投標(biāo)方案中我們建議利用教委已有的CISCO6509充當(dāng)該區(qū)塊的主交換機(jī)，由于該CISCO6509現(xiàn)正在負(fù)責(zé)連接30多所學(xué)校的上網(wǎng)業(yè)務(wù)，所以在工程實(shí)施過程中可以租用或借用其他同級別的交換機(jī)代替。關(guān)鍵應(yīng)用服務(wù)器區(qū)塊通過本區(qū)塊的主交換機(jī)利用兩條千兆鏈路上連主核心交換區(qū)塊，以起到鏈路冗余備份的功能，提高網(wǎng)絡(luò)的牢靠性。該區(qū)塊的功能和配置將在服務(wù)器存儲設(shè)備的實(shí)施章節(jié)有具體描述。網(wǎng)管網(wǎng)絡(luò)區(qū)塊：主要負(fù)責(zé)整個網(wǎng)絡(luò)的管理和監(jiān)護(hù)，它采納帶外管理與帶內(nèi)管理混合的模式，通常帶內(nèi)管理組網(wǎng)比較簡潔、敏捷，但卻要占用承載業(yè)務(wù)流量的帶寬。帶外管理不占用承載業(yè)務(wù)的帶寬，網(wǎng)管網(wǎng)絡(luò)和其他網(wǎng)絡(luò)設(shè)備之間獨(dú)立成網(wǎng)，該區(qū)塊的主交換機(jī)由教委現(xiàn)有的CISCO6506擔(dān)當(dāng)，（因?yàn)橥瑯拥木売稍摻粨Q機(jī)正在運(yùn)用中，所以也必需考慮替代問題。）而主要網(wǎng)管軟件采納華為3COM的iManagerQuidview網(wǎng)管系統(tǒng)進(jìn)行網(wǎng)絡(luò)管理，對于網(wǎng)絡(luò)中心的其他網(wǎng)管子系統(tǒng)如：傳輸設(shè)備管理、網(wǎng)絡(luò)設(shè)備管理、數(shù)字同步網(wǎng)管理、入侵檢測子系統(tǒng)、網(wǎng)絡(luò)防病毒子系統(tǒng)、漏洞掃描子系統(tǒng)、時間同步伐系統(tǒng)等，分別采納其各自的管理軟件進(jìn)行全網(wǎng)相應(yīng)的管理。非華為公司的設(shè)備如CISCO6509等設(shè)備可由CISCO自帶的Works2000網(wǎng)管軟件管理，對于整個業(yè)務(wù)網(wǎng)的狀態(tài)監(jiān)控、流量分析可采納一些不區(qū)分設(shè)備類型的基礎(chǔ)網(wǎng)管軟件，如Sniffer等來監(jiān)控。網(wǎng)管系統(tǒng)中的網(wǎng)絡(luò)設(shè)備管理子系統(tǒng)將實(shí)時監(jiān)控整個網(wǎng)絡(luò)中心的設(shè)備以及網(wǎng)絡(luò)狀況，可在第一時間檢測到故障。并發(fā)出報(bào)警訊息，便于網(wǎng)管人員快速精確的解除故障。接口網(wǎng)絡(luò)區(qū)塊負(fù)責(zé)網(wǎng)絡(luò)中心的核心數(shù)據(jù)交換設(shè)備與傳送網(wǎng)的MSTP設(shè)備相連，擔(dān)負(fù)著傳送網(wǎng)上的數(shù)據(jù)業(yè)務(wù)落地的重任。該區(qū)塊主要設(shè)備為傳送網(wǎng)的MSTP設(shè)備OPCITY8930，它通過20條千兆光纖鏈路分別與兩臺核心交換機(jī)相連。依據(jù)溝通，甲方提出要在學(xué)校上連教委信息中心的網(wǎng)絡(luò)帶寬中預(yù)留2M的平安監(jiān)控端口，和10M的考試監(jiān)控端口以及相應(yīng)的視頻帶寬，這些須要在傳送網(wǎng)技術(shù)方面做相應(yīng)的時隙劃分、和端口預(yù)留等工作我們將在傳送網(wǎng)深化設(shè)計(jì)方案中賜予具體描述。大流量應(yīng)用服務(wù)器負(fù)責(zé)供應(yīng)應(yīng)用教學(xué)資源，該區(qū)塊由若干服務(wù)器集群組成，這些服務(wù)器集群分別通過兩條千兆光纖或者電口鏈路干脆與核心交換機(jī)相連。以起到鏈路冗余備份的功能提高網(wǎng)絡(luò)的牢靠性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖(注：本網(wǎng)絡(luò)拓?fù)鋱D僅為結(jié)構(gòu)示意圖，具體設(shè)備和連接方式以實(shí)際狀況為準(zhǔn)。)交換設(shè)備安裝與調(diào)試核心路由交換機(jī)網(wǎng)絡(luò)中心采納了兩臺S8512作為核心路由交換機(jī)，同時通過在兩臺核心路由交換機(jī)上運(yùn)行VRRP協(xié)議來為服務(wù)器區(qū)、網(wǎng)絡(luò)核心各個子網(wǎng)供應(yīng)一個唯一的默認(rèn)網(wǎng)關(guān)。當(dāng)任何一臺核心路由交換機(jī)發(fā)生故障時，通過VRRP協(xié)議，另一臺核心路由交換機(jī)馬上接管全部的工作。VRRP協(xié)議是一個熱備份路由協(xié)議，應(yīng)用于雙機(jī)熱備，其工作原理為：VRRP協(xié)議將系統(tǒng)中兩臺路由交換機(jī)組成VRRP組，該組擁有一個虛擬缺省網(wǎng)關(guān)地址。在任何時刻，一個組內(nèi)只有限制虛擬網(wǎng)關(guān)地址的路由交換機(jī)是活動的（master），并由它來轉(zhuǎn)發(fā)數(shù)據(jù)包，假如活動路由交換機(jī)發(fā)生了故障，將選擇另一個優(yōu)先權(quán)較低的冗余備份路由交換機(jī)（backup）來替代活動路由交換機(jī)。由于網(wǎng)絡(luò)內(nèi)的終端配置的是VRRP虛擬網(wǎng)關(guān)地址，因此在它們看來，虛擬路由交換機(jī)沒有變更。所以主機(jī)仍舊保持連接，沒有受到網(wǎng)絡(luò)中單點(diǎn)故障的影響，這樣就較好地解決了路由交換機(jī)切換的問題。利用MSTP生成樹技術(shù)，不但可以避開網(wǎng)絡(luò)中的環(huán)路產(chǎn)生，還可以在網(wǎng)絡(luò)中實(shí)現(xiàn)流量的負(fù)載均衡，首先依據(jù)流量應(yīng)用、業(yè)務(wù)主次、部門功能劃分不同的VLAN，然后依據(jù)流量將不同的VLAN指定不同的轉(zhuǎn)發(fā)主網(wǎng)橋和備份鏈路從網(wǎng)橋，從而實(shí)現(xiàn)將數(shù)據(jù)流量平均負(fù)擔(dān)在兩臺核心骨干交換機(jī)上。在對主機(jī)進(jìn)行熱備的同時，還對S85主要的路由處理板卡進(jìn)行冗余備份。即在每一臺S85上安裝兩塊路由處理板卡，一塊處于運(yùn)行狀態(tài)，一塊處于伺服狀態(tài)，一旦主板卡出現(xiàn)故障，伺服板卡可以無縫的接管數(shù)據(jù)處理任務(wù)，電源配備上也依據(jù)高牢靠性要求在每臺S85上安裝兩塊電源。每臺S85配置了兩塊24口千兆電口板卡，和一塊24口千兆光口板卡，以保證網(wǎng)絡(luò)中心高密度的連接，并供應(yīng)數(shù)據(jù)高速的傳播和交換實(shí)力。每臺S85通過10個GE光纖多模接口和傳送網(wǎng)的MSTP設(shè)備的10個GE多模端口相連。核心網(wǎng)絡(luò)設(shè)備的其余千兆電口和千兆多模光口用于連接其余功能區(qū)塊的主交換機(jī)和服務(wù)器或者防火墻等設(shè)備。各功能區(qū)塊交換機(jī)這部分交換機(jī)主要是三臺千兆的多層交換機(jī)CISCO6500系列或者是與其同檔次（也可低一檔次）的其他型號的三層千兆交換機(jī)。這些交換機(jī)主要是供應(yīng)高密度的千兆端口和起到網(wǎng)絡(luò)的物理隔離功能。因此須要在這些交換機(jī)上依據(jù)實(shí)際狀況增加相應(yīng)的千兆板卡和模塊，同時劃分相應(yīng)的VLAN。每一個功能區(qū)塊交換機(jī)都要通過兩條千兆光纖鏈路上連主核心交換機(jī)，所以要在這些交換機(jī)上啟用生成樹STP等功能以避開網(wǎng)絡(luò)環(huán)路的產(chǎn)生。接入層交換機(jī)接入層交換機(jī)主要是啟動設(shè)備的三層路由功能，定義默認(rèn)網(wǎng)關(guān)指向骨干層核心設(shè)備。原有網(wǎng)絡(luò)的割接教委信息中心正在負(fù)責(zé)30余所學(xué)校的Internet接入工作，在本次工程的施工過程中要求這30余所學(xué)校的網(wǎng)絡(luò)不得中斷，因此負(fù)責(zé)該30余所學(xué)校網(wǎng)絡(luò)連通的設(shè)備如CISCO6509等交換機(jī)不能另做他用，我們前文已經(jīng)提到可以借用或者租用其他同檔次的交換機(jī)替代。因在本次工程中這30余所學(xué)校都是區(qū)域網(wǎng)絡(luò)中的一個節(jié)點(diǎn)，所以在施工過程中對這些學(xué)校按原支配進(jìn)行，當(dāng)工程完工后再將這30余所學(xué)校的鏈路割接到朝陽區(qū)教化信息網(wǎng)中，其交換設(shè)備同樣按原支配應(yīng)用到上節(jié)提到的各功能區(qū)塊中去。這樣即保證原有的網(wǎng)絡(luò)不會中斷，又最大限度的愛護(hù)了前期投資節(jié)約了成本。IP地址規(guī)劃深化設(shè)計(jì)鑒于建成后的朝陽教化信息網(wǎng)的業(yè)務(wù)流量是從學(xué)校到網(wǎng)絡(luò)中心的這一典型的業(yè)務(wù)集中式網(wǎng)絡(luò)，每個接入單位都有三層交換設(shè)備，因此可以將廣播域限制在接入單位內(nèi)部，為每個接入單位安排連續(xù)的地址網(wǎng)段，以靜態(tài)路由的方式指向網(wǎng)絡(luò)中心。朝陽教化信息網(wǎng)所運(yùn)用的IP地址由北京市教化信息網(wǎng)統(tǒng)一進(jìn)行安排，由于尚未最終確定安排給朝陽教化信息網(wǎng)的IP地址，我們在深化設(shè)計(jì)中給出兩種預(yù)留設(shè)計(jì)：北京市教化信息網(wǎng)安排給朝陽教化信息網(wǎng)的IP地址全部為真實(shí)IP。在此種狀況下，朝陽教化信息網(wǎng)內(nèi)的全部單位均運(yùn)用真實(shí)IP。包括朝陽教化信息中心，朝陽教委及全部接入學(xué)校，每臺上網(wǎng)的設(shè)備均運(yùn)用真實(shí)IP，使得全部的連網(wǎng)設(shè)備都具有可溯性。在此種狀況，我們預(yù)料北京市教化信息網(wǎng)應(yīng)至少安排給朝陽教化信息網(wǎng)1個完整的B類地址，運(yùn)用狀況大致可預(yù)料如下：1、接入學(xué)校約為240所，每個學(xué)校依據(jù)信息點(diǎn)數(shù)和電腦數(shù)量的不同分別可安排1-3個C類的地址。點(diǎn)數(shù)少的學(xué)?？砂岩粋€C類地址分成多個子網(wǎng)給多個學(xué)校，點(diǎn)數(shù)及上網(wǎng)電腦多的學(xué)?？砂才哦鄠€C類地址，這樣平均下來，我們預(yù)料絕大多數(shù)學(xué)校運(yùn)用一個C類地址（254個可用地址）即夠用。2、信息中心預(yù)留10個C類地址（包括辦公及各類服務(wù)器，全部的服務(wù)器均運(yùn)用真實(shí)IP，無須再做NAT）3、朝陽教委預(yù)留4個C類地址（局機(jī)關(guān)辦公網(wǎng)絡(luò)）北京市教化信息網(wǎng)安排給朝陽教化信息網(wǎng)的IP地址部分為真實(shí)IP，而區(qū)公共信息平臺安排與朝陽教化信息網(wǎng)的地址是私有地址。在此種狀況下，可以通過區(qū)公共信息平臺鏈路上的NAT地址轉(zhuǎn)換設(shè)備將須要與區(qū)公共信息平臺傳送數(shù)據(jù)的用戶的真實(shí)IP轉(zhuǎn)換為區(qū)公共信息平臺安排的私有地址。交換設(shè)備以及計(jì)算機(jī)系統(tǒng)時間同步華為的SYNLOCKV3BITS設(shè)備供應(yīng)時間輸出接口，該接口為標(biāo)準(zhǔn)的以太網(wǎng)接口，因此我們將其作為此次時間同步方案的一級時間服務(wù)器。在網(wǎng)管網(wǎng)絡(luò)中設(shè)置一臺服務(wù)器，作為網(wǎng)絡(luò)中心的二級時間服務(wù)器，該服務(wù)器配置兩塊網(wǎng)卡，通過兩條鏈路分別連接一級時間服務(wù)器SYNLOCKV3的時間輸出接口，和網(wǎng)管網(wǎng)絡(luò)交換機(jī)CISCO6506，為該二級時間服務(wù)器設(shè)定相應(yīng)的IP地址，網(wǎng)絡(luò)中心的核心骨干交換機(jī)S8512和其他利舊的思科交換機(jī)都支持時間同步協(xié)議NTP，因此利用以太網(wǎng)絡(luò)，只要可以訪問二級時間服務(wù)器的IP地址，即可以得到時間同步信息，并將其傳送到其他網(wǎng)絡(luò)設(shè)備和計(jì)算機(jī)系統(tǒng)中。網(wǎng)絡(luò)中心內(nèi)全部的工作站、服務(wù)器等計(jì)算機(jī)系統(tǒng)可以大致按操作系統(tǒng)分為UNIX、LINUX操作系統(tǒng)，WINDOWS操作系統(tǒng)，對于UNIX和LINUX操作系統(tǒng)本身支持NTP協(xié)議，可以干脆通過IP地址訪問時間服務(wù)器獲得時間同步，而對于WINDOWS系統(tǒng)尤其是WINDOWS2000和WINDOWSXP操作系統(tǒng)不供應(yīng)NTP服務(wù)，因此必需配備相應(yīng)的NTP客戶端軟件來同時間服務(wù)器進(jìn)行時間同步。時間同步方案示意圖平安系統(tǒng)深化設(shè)計(jì)方案平安系統(tǒng)需求分析朝陽區(qū)教化信息網(wǎng)按功能和防護(hù)區(qū)域可劃分為：外網(wǎng)和內(nèi)網(wǎng)。我們依據(jù)不同區(qū)域的平安等級，以及平安特性來規(guī)劃不同的平安防范措施。外網(wǎng)所謂外網(wǎng)，我們將其分為兩部分，一部分指的是上聯(lián)到北京教化信息網(wǎng)（內(nèi)網(wǎng)）和通過北京教化信息網(wǎng)上連到國際互聯(lián)網(wǎng)（Internet），另一部分是指連接到朝陽區(qū)政府公用信息平臺。出口均設(shè)在朝陽教化信息網(wǎng)的出口網(wǎng)絡(luò)中的Cisco6506上。出口網(wǎng)絡(luò)是朝陽教化信息網(wǎng)同外部網(wǎng)絡(luò)的唯一接口，與核心網(wǎng)絡(luò)是雙千兆鏈路連接。由于業(yè)務(wù)的隸屬關(guān)系，及為保證朝陽內(nèi)部網(wǎng)絡(luò)與大網(wǎng)應(yīng)用的兼容性，建議在與北京市教化信息網(wǎng)連接的鏈路上不采納防火墻，但在其它出口（朝陽區(qū)政府公用信息平臺）和Internet服務(wù)器區(qū)部署千兆級防火墻來供應(yīng)平安機(jī)制。同時在出口網(wǎng)絡(luò)與核心網(wǎng)絡(luò)的雙千兆鏈路上配備入侵檢測設(shè)備對進(jìn)出的數(shù)據(jù)信息進(jìn)行甄別，以提防外部人員的惡意入侵和破壞，以及對不良網(wǎng)站、非法信息進(jìn)行阻隔。內(nèi)網(wǎng)所謂內(nèi)網(wǎng)，我們認(rèn)為可以分為接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)兩部分。接入網(wǎng)絡(luò)由朝陽教化信息網(wǎng)所轄的全部學(xué)校、教化機(jī)關(guān)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)內(nèi)部用戶組成。對于接入網(wǎng)絡(luò)其平安防護(hù)由朝陽教化信息網(wǎng)的中心機(jī)房統(tǒng)一部署管理，每一個學(xué)?；蛴脩舭才挪煌W(wǎng)段的IP地址，在核心節(jié)點(diǎn)處的多層交換機(jī)上利用VLAN技術(shù)和ACL對這些不同子網(wǎng)進(jìn)行策略路由，以達(dá)到最志向的網(wǎng)絡(luò)平安。核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)包括：核心交換網(wǎng)、網(wǎng)管網(wǎng)絡(luò)和數(shù)據(jù)中心（IDC）。核心網(wǎng)絡(luò)是整個朝陽教化信息網(wǎng)的數(shù)據(jù)中心、資源中心、和管理中心可謂是心臟部位，它的平安系統(tǒng)應(yīng)從以下幾方面著手設(shè)計(jì)：防火墻防范來自外部和內(nèi)部的網(wǎng)絡(luò)攻擊和破壞。防拒絕服務(wù)攻擊運(yùn)用防火墻來防范拒絕服務(wù)型攻擊。漏洞掃描系統(tǒng)時刻監(jiān)控網(wǎng)絡(luò)以及服務(wù)器的平安漏洞。入侵檢測系統(tǒng)特地對服務(wù)器集群進(jìn)行探測來防范并記錄非法和危急的網(wǎng)絡(luò)操作。網(wǎng)絡(luò)防病毒系統(tǒng)設(shè)置總的網(wǎng)絡(luò)防病毒服務(wù)器負(fù)責(zé)整個限制中心和下屬網(wǎng)絡(luò)的防病毒工作。防火墻系統(tǒng)深化設(shè)計(jì)防火墻分布位置方案采納六臺華為Quidway?SecPath1000F防火墻，配置在朝陽教化信息網(wǎng)網(wǎng)絡(luò)中心的四個邏輯地點(diǎn)，構(gòu)成整個業(yè)務(wù)網(wǎng)絡(luò)的防火墻系統(tǒng)。具體分布連接如下：1．我們在Internet服務(wù)器區(qū)與外網(wǎng)之間部署一臺SecPath1000F千兆防火墻，其中WWW、MAIL、FTP、DNS等對外服務(wù)器連接在防火墻的DMZ區(qū)；外網(wǎng)卡連接出口網(wǎng)絡(luò)中的Cisco6506，與Internet連接。2．在出口網(wǎng)絡(luò)中的Cisco6506到朝陽區(qū)政府公用信息平臺的鏈路上設(shè)置一臺SecPath1000F和一臺專用NAT設(shè)備。具體連接：SecPath1000F放置在出口網(wǎng)絡(luò)的Cisco6506到朝陽區(qū)政府公用信息平臺的傳輸設(shè)備的鏈路上。內(nèi)網(wǎng)卡接Cisco6506，外網(wǎng)卡接NAT設(shè)備（MA5200）；專用NAT設(shè)備（MA5200）的一個千兆口接SecPath1000F，另一端與傳輸設(shè)備相連。3．網(wǎng)管網(wǎng)絡(luò)到核心網(wǎng)的接口處設(shè)置兩臺SecPath1000F：每臺SecPath1000F的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺QuidwayS8512相連，每臺SecPath1000F的千兆內(nèi)網(wǎng)卡連接到網(wǎng)管網(wǎng)絡(luò)的Cisco6506，兩臺SecPath1000F之間通過1GE端口相連，兩臺SecPath1000F做負(fù)載分擔(dān)/冗余備份，對網(wǎng)管網(wǎng)絡(luò)進(jìn)行愛護(hù)。4．?dāng)?shù)據(jù)中心的關(guān)鍵應(yīng)用服務(wù)器區(qū)到核心交網(wǎng)的接口處設(shè)置兩臺SecPath1000F：每臺SecPath1000F的千兆外網(wǎng)卡分別與核心網(wǎng)的兩臺QuidwayS8512連接，每臺SecPath1000F的一塊千兆內(nèi)網(wǎng)卡連接關(guān)鍵應(yīng)用服務(wù)器區(qū)的Cisco6509，兩臺SecPath1000F之間通過1GE端口相連，兩臺SecPath1000F做負(fù)載分擔(dān)/冗余備份，對關(guān)鍵應(yīng)用服務(wù)器區(qū)進(jìn)行愛護(hù)。防火墻配置在防火墻設(shè)置上我們依據(jù)以下原則配置來提高網(wǎng)絡(luò)平安性：1）依據(jù)總體平安策略和平安目標(biāo)，規(guī)劃設(shè)置正確的平安過濾規(guī)則，規(guī)則審核IP數(shù)據(jù)包的內(nèi)容包括：協(xié)議、端口、源地址、目的地址、流向等項(xiàng)目，嚴(yán)格禁止來自公網(wǎng)對內(nèi)網(wǎng)不必要的、非法的訪問?？傮w上遵從“不被允許的服務(wù)就是被禁止”的原則。2）將防火墻配置成過濾掉以內(nèi)部網(wǎng)絡(luò)地址進(jìn)入路由器的IP包，這樣可以防范源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內(nèi)部網(wǎng)絡(luò)的IP包，防止內(nèi)部網(wǎng)絡(luò)發(fā)起的對外攻擊。3）在防火墻上建立內(nèi)網(wǎng)計(jì)算機(jī)的IP地址和MAC地址的對應(yīng)表，防止IP地址被盜用。4）在防火墻上進(jìn)行防拒絕服務(wù)攻擊（DoS\DDoS）配置。5）定期查看防火墻訪問日志，剛好發(fā)覺攻擊行為和不良上網(wǎng)記錄。通過對以上四個地點(diǎn)配置防火墻，并在網(wǎng)管網(wǎng)絡(luò)中安裝一臺防火墻集中管理服務(wù)器，對處于不同子網(wǎng)中的多個防火墻進(jìn)行集中管理和配置，就組成了朝陽教化信息網(wǎng)的防火墻系統(tǒng)，構(gòu)成了整個朝陽教化信息網(wǎng)平安防護(hù)的第一道屏障。防火墻系統(tǒng)連接見朝陽教化信息網(wǎng)網(wǎng)絡(luò)平安連接圖。網(wǎng)絡(luò)入侵檢測系統(tǒng)深化設(shè)計(jì)每臺NISD_1000E配置2個1000BASE-T標(biāo)準(zhǔn)監(jiān)控接口，限制中心設(shè)在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上。NISD_1000E的配置分布如下：出口網(wǎng)絡(luò)與核心網(wǎng)之間部署一臺NISD_1000E2個GE探頭分別配置在出口網(wǎng)絡(luò)中的Cisco6506與兩臺核心交換機(jī)S8512相連的兩條千兆鏈路上。關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)之間部署一臺NISD_1000E2個GE探頭分別配置在關(guān)鍵應(yīng)用服務(wù)器區(qū)與核心網(wǎng)絡(luò)之間的兩臺防火墻后面。網(wǎng)絡(luò)漏洞掃描系統(tǒng)深化設(shè)計(jì)在內(nèi)網(wǎng)中采納一套先進(jìn)的《網(wǎng)絡(luò)平安性分析系統(tǒng)ISExplorer》漏洞掃描系統(tǒng)?！毒W(wǎng)絡(luò)平安性分析系統(tǒng)ISExplorer》可安裝在一臺筆記本電腦上，定期對不同網(wǎng)段的工作站、服務(wù)器、交換機(jī)等進(jìn)行平安檢查，并依據(jù)檢查結(jié)果向系統(tǒng)管理員供應(yīng)具體牢靠的平安性分析報(bào)告，為提高網(wǎng)絡(luò)平安整體水平產(chǎn)生重要依據(jù)。網(wǎng)絡(luò)防病毒系統(tǒng)深化設(shè)計(jì)1）在網(wǎng)管網(wǎng)絡(luò)中的一臺服務(wù)器上安裝SymantecAntiVirusCorporateEdition網(wǎng)絡(luò)版殺毒軟件的系統(tǒng)中心，負(fù)責(zé)管理網(wǎng)絡(luò)中心不少于100臺的服務(wù)器和30臺PC機(jī)。2）在網(wǎng)絡(luò)中心的主機(jī)上安裝SymantecAntiVirusCorporateEdition網(wǎng)絡(luò)版的服務(wù)器端和客戶端。3）安裝完SymantecAntiVirusCorporateEdition網(wǎng)絡(luò)版后，在管理員限制臺對網(wǎng)絡(luò)中全部客戶端進(jìn)行定時查殺毒的設(shè)置，保證全部客戶端即使在沒有聯(lián)網(wǎng)的時候也能夠定時進(jìn)行對本機(jī)的查殺毒。4）SymantecAntiVirusCorporateEdition系統(tǒng)中心負(fù)責(zé)整個網(wǎng)絡(luò)中心的升級工作。為了平安和管理的便利起見，由網(wǎng)絡(luò)中心的系統(tǒng)中心定期地、自動地到Symantec全球網(wǎng)站上獲得最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然后自動將最新的升級文件分發(fā)到其它100多個服務(wù)器端和30個客戶端，并自動對SymantecAntiVirusCorporateEdition殺毒軟件網(wǎng)絡(luò)版進(jìn)行更新。實(shí)行這種升級方式，一方面確保網(wǎng)絡(luò)中心內(nèi)的SymantecAntiVirusCorporateEdition殺毒軟件的更新保持同步，使整個網(wǎng)絡(luò)中心都具有最強(qiáng)的防病毒實(shí)力；另一方面，由于整個網(wǎng)絡(luò)的升級、更新都是有程序來自動、智能完成，就可以避開由于人為因素造成網(wǎng)絡(luò)中因?yàn)闆]有剛好升級為最新的病毒定義碼和掃描引擎而失去最強(qiáng)的防病毒實(shí)力。朝陽區(qū)教化信息網(wǎng)網(wǎng)絡(luò)平安拓?fù)鋱D

服務(wù)器存儲系統(tǒng)的深化設(shè)計(jì)需求分析服務(wù)器作為整個系統(tǒng)硬件的核心，擔(dān)當(dāng)了整個系統(tǒng)運(yùn)行數(shù)據(jù)的建立、存儲、查詢、操作、備份以及整個后臺應(yīng)用程序的運(yùn)行任務(wù)依據(jù)客戶的要求，我們把應(yīng)用分成WEB服務(wù)、Email服務(wù)、數(shù)據(jù)庫服務(wù)、INTERNET應(yīng)用服務(wù)、辦公管理服務(wù)、流媒體點(diǎn)播服務(wù)等。WEB服務(wù)是以服務(wù)器建立起供廣闊老師和學(xué)生登陸及閱讀的WEB頁面，供應(yīng)各種教化信息、新聞、實(shí)事動態(tài)、多媒體教學(xué)資源庫、課件制作等等，隨著信息和資源的積累，WEB服務(wù)器會須要比較大的空間來存放這些數(shù)據(jù)。而這些數(shù)據(jù)的特點(diǎn)是文件比較小，但是同時并發(fā)的數(shù)量眾多，這就要求服務(wù)器和存儲設(shè)備都具有高速、穩(wěn)定、高數(shù)據(jù)吞吐量的性能。對于存儲設(shè)備來說，基于全光纖結(jié)構(gòu)的SAN架構(gòu)可以滿意這種需求。教化中心的Email服務(wù)。由于學(xué)生數(shù)量眾多，加上也要為每一位老師供應(yīng)Email信箱，所以Email服務(wù)器的數(shù)據(jù)存儲需求也特別的浩大，特點(diǎn)也是文件數(shù)量多，服務(wù)器對數(shù)據(jù)檢索，并讀到數(shù)據(jù)速度要快，同時并發(fā)數(shù)據(jù)流多。因此也建議采納SAN架構(gòu)。采納負(fù)載均衡輪詢的方式。數(shù)據(jù)庫服務(wù)器將運(yùn)行SQLSERVER和ORACLE，由于該數(shù)據(jù)庫的特性，加上數(shù)據(jù)庫對數(shù)據(jù)讀寫特別頻繁，以及參考很多數(shù)據(jù)庫存儲的勝利案例，SAN架構(gòu)以其成熟的技術(shù)，優(yōu)異的性能，良好的擴(kuò)展性成為了首選。OA辦公管理服務(wù)是將很多日常的書面辦公工作實(shí)現(xiàn)電子化，放到網(wǎng)絡(luò)上進(jìn)行，簡化了辦公流程，提高效率，是現(xiàn)代e化的流行趨勢。流媒體點(diǎn)播服務(wù)是將很多多媒體的課件及教學(xué)資源放到網(wǎng)絡(luò)上，廣闊師生可以干脆到網(wǎng)絡(luò)上自由點(diǎn)播，選擇自已須要的素材，進(jìn)行復(fù)習(xí)備課等，由于數(shù)據(jù)量和傳輸量大，對存儲空間和服務(wù)器的I/O帶寬都提出了很高的要求。服務(wù)器的安裝與功能安排數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫服務(wù)器選用兩臺IBMeServerxSeries366。每臺服務(wù)器都配置兩個光纖適配器（HBA卡），每臺服務(wù)器要用兩條1000M光纖分別與兩臺光纖交換機(jī)點(diǎn)對點(diǎn)連接。同時，每臺服務(wù)器上將分別安裝EMCPowerPath?管理軟件，實(shí)現(xiàn)服務(wù)器和存儲設(shè)備之間多通道存取。假如其中一條通道發(fā)生故障，PowerPath會自動將I/O負(fù)荷切換到幸存的通道，并在發(fā)生故障的通道得到修復(fù)后馬上復(fù)原其運(yùn)用。假如在服務(wù)器訪問磁盤陣列數(shù)據(jù)量比較大和頻繁時，PowerPath可增加全面I/O吞吐率，更快地完成更多的任務(wù)；也可以自動負(fù)載均衡算法智能地管理多條I/O通道的流量，極大地提高了系統(tǒng)的效率和I/O的吞吐率，避開I/O的瓶頸。SQL數(shù)據(jù)庫和Oracle數(shù)據(jù)庫勻放到兩臺EMCCX500智能光纖磁盤陣列中。ORACLE數(shù)據(jù)庫服務(wù)器：在INTRENET網(wǎng)絡(luò)結(jié)構(gòu)中，Oracle數(shù)據(jù)庫是對用戶數(shù)量最多、性能最為穩(wěn)定的數(shù)據(jù)庫?；贠racle數(shù)據(jù)庫的DBMS能便利生成適用不同業(yè)務(wù)的應(yīng)用數(shù)據(jù)庫系統(tǒng)。選用兩臺IBMeServerxSeries366。一臺裝WINDOWS2000操作系統(tǒng)；一臺裝LINUX操作系統(tǒng)。SQLserver數(shù)據(jù)庫服務(wù)器：兩臺SQLserver數(shù)據(jù)庫服務(wù)器安裝Win2000操作系統(tǒng)，將兩臺SQL數(shù)據(jù)庫服務(wù)器互為雙機(jī)容錯，保證運(yùn)行系統(tǒng)的冗余、穩(wěn)定。INTERNET應(yīng)用服務(wù)器郵件服務(wù)器：對于朝陽教化信息中心對電子郵件系統(tǒng)大容量、高擴(kuò)展性、分級管理的實(shí)際要求，我們選用五臺IBMeServerxSeries346（招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格）做一負(fù)載均衡的輪詢的集群方案，來滿意教化辦公網(wǎng)，每天所要面臨著大量的有郵件往來。郵件集群系統(tǒng)由二個Smtpserver、一個pop3/imapserver，和磁盤陣列組成，同時一臺安裝Linux操作系統(tǒng)，作為主ATM（高級流量管理器）；另有一臺做后備ATM。考慮到系統(tǒng)運(yùn)行初期，用戶數(shù)量并不多，pop3服務(wù)的并發(fā)訪問量并不大，pop服務(wù)只設(shè)置一臺服務(wù)器，同時也作imap服務(wù)。以后用戶量增加時，可以再增加一臺pop3,實(shí)現(xiàn)pop服務(wù)的負(fù)載均衡。Web服務(wù)器：Web信息發(fā)布須要大容量內(nèi)存，能確保服務(wù)在大用戶量并發(fā)時的系統(tǒng)穩(wěn)定性和服務(wù)效率，Web服務(wù)器選用性能和功能指標(biāo)較高的服務(wù)器，選用兩臺IBMeServerxSeries346（招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。同時實(shí)現(xiàn)服務(wù)的負(fù)載均衡。OA服務(wù)器：OA應(yīng)用軟件和Web信息發(fā)布須要大容量內(nèi)存，能確保服務(wù)在大用戶量并發(fā)時的系統(tǒng)穩(wěn)定性和服務(wù)效率，保證系統(tǒng)及日志的記錄。建議采納應(yīng)用服務(wù)器2的機(jī)型。DNS服務(wù)器：選用兩臺IBMeServerxSeries346（招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。做內(nèi)網(wǎng)和外網(wǎng)的域名解析，同時實(shí)現(xiàn)服務(wù)的負(fù)載均衡。DHCP服務(wù)器：選用兩臺IBMeServerxSeries346（招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。做內(nèi)網(wǎng)和外網(wǎng)的域名解析，同時實(shí)現(xiàn)服務(wù)的負(fù)載均衡。FTP服務(wù)器：選用一臺IBMeServerxSeries346（招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。TELNET服務(wù)器：選用一臺IBMeServerxSeries346（招標(biāo)文件中應(yīng)用服務(wù)器2的規(guī)格）。管理服務(wù)器：傳輸網(wǎng)絡(luò)中的時鐘管理、IP網(wǎng)中的網(wǎng)絡(luò)監(jiān)控管理及網(wǎng)管服務(wù)器分別選用IBMeServerxSeries346（招標(biāo)文件中管理服務(wù)器的規(guī)格）。數(shù)據(jù)備份服務(wù)器：負(fù)責(zé)整個網(wǎng)絡(luò)中各服務(wù)器上的數(shù)據(jù)備份。選用IBMeServerxSeries346（招標(biāo)文件中應(yīng)用服務(wù)器1的規(guī)格）。服務(wù)器集群的配置高可用性數(shù)據(jù)庫服務(wù)器集群：SQLServer數(shù)據(jù)庫服務(wù)器:采納MicrosoftWindows2003AdvanceServer操作系統(tǒng)，兩臺機(jī)器之間用串口線連接，數(shù)據(jù)庫要在兩個機(jī)器上都要安裝，通過操作系統(tǒng)內(nèi)置的MSCS集群應(yīng)用軟件組建兩臺SQLSERVER服務(wù)器的Cluster服務(wù)，兩臺機(jī)器訪問同一個IP地址，做數(shù)據(jù)庫漂移，保證一臺壞掉，另一臺仍舊可以接著工作。以達(dá)到關(guān)鍵數(shù)據(jù)服務(wù)的不停機(jī)運(yùn)作，保證數(shù)據(jù)不丟失；這樣通過裝在兩個服務(wù)器中的雙機(jī)熱備份系統(tǒng)軟件，使系統(tǒng)具有在線容錯實(shí)力。應(yīng)用服務(wù)高可用性集群：OA服務(wù)器：OA服務(wù)器采納雙機(jī)系統(tǒng)，教委OA辦公自動化系統(tǒng)是基于MicrosoftWindows2000AdvanceServer操作系統(tǒng)，通過操作系統(tǒng)內(nèi)置的MSCS集群管理雙機(jī)。DNS服務(wù)器：服務(wù)器分別選用兩臺應(yīng)用服務(wù)器2的機(jī)型，安裝相同的操作系統(tǒng)，作ACTIVE_ACTIVE方式的HA集群方式。DHCP服務(wù)器：服務(wù)器分別選用兩臺應(yīng)用服務(wù)器2的機(jī)型，安裝相同的操作系統(tǒng)，作ACTIVE_ACTIVE方式的HA集群方式。負(fù)載均衡集群系統(tǒng)負(fù)載均衡郵件服務(wù)器：2個smtpserver可以構(gòu)成負(fù)載均衡，同時構(gòu)成雙機(jī)熱備份，正常狀況下，smtp流量平均安排到兩臺smtpserver；一旦其中一臺出現(xiàn)故障，另外一臺將自動接管smtp服務(wù)。數(shù)據(jù)存儲分為用戶數(shù)據(jù)和郵件數(shù)據(jù)存儲兩部分，郵件數(shù)據(jù)通過NFS統(tǒng)一存儲到磁盤陣列上。當(dāng)郵件空間不夠時，動態(tài)增加磁盤陣列空間即可。主ATM將采納路由的方法進(jìn)行訪問流量地限制和安排，同時對其他三臺服務(wù)器進(jìn)行管理。由主ATM采納輪詢的方法來實(shí)現(xiàn)當(dāng)訪問流量大時對其它三臺服務(wù)器的進(jìn)行負(fù)載均衡。將其中一臺安裝Linux操作系統(tǒng)，作為主ATM（高級流量管理器）。設(shè)置一個IP地址來代表整個集群系統(tǒng)，將CMC（集群管理限制臺）安裝在主ATM上。再選用一臺做后備ATM，實(shí)現(xiàn)當(dāng)主ATM出現(xiàn)故障時，管理自動平滑到后備ATM上。存儲系統(tǒng)的深化設(shè)計(jì)整個存儲體系分為二個部分：SAN網(wǎng)絡(luò)交換機(jī)和磁盤陣列系統(tǒng)。我們在本方案中舉薦運(yùn)用了兩臺磁盤陣列CLARiiONCX500作為后臺存儲的核心設(shè)備，每臺配置了14塊146GB的光纖硬盤，每臺原始容量約為2.0TB。每臺CLARiiONCX500有兩個存儲處理器，每個存儲處理器有兩個2Gb光纖通道光學(xué)端口，實(shí)現(xiàn)從每個存儲處理器到兩個光纖通道環(huán)路的故障切換。同時系統(tǒng)還配置了兩臺EMCDS-32M2實(shí)施步驟SAN存儲架構(gòu)包括：光纖通道交換機(jī)、高性能海量磁盤陣列、智能磁帶庫。SAN系統(tǒng)中，各服務(wù)器、磁帶庫、磁盤陣列通過兩個光纖交換機(jī)連接成一個SAN的結(jié)構(gòu)。通過為每個服務(wù)器配置兩個光纖主機(jī)適配器（HBA卡），可以將應(yīng)用服務(wù)器和備份服務(wù)器通過不同的光纖交換機(jī)連接到SAN環(huán)境。關(guān)鍵的應(yīng)用服務(wù)器須要考慮運(yùn)用冗余通道，通道的冗余不僅提高了應(yīng)用服務(wù)器訪問存儲設(shè)備的性能，同時也提高了對存儲在SAN存儲設(shè)備上關(guān)鍵數(shù)據(jù)的可訪問性。全部須要實(shí)現(xiàn)冗余路徑的應(yīng)用服務(wù)器通過配置兩個光纖主機(jī)適配器，分別連接到兩個不同的交換機(jī)。新的服務(wù)器也可以采納同樣的方式連接到SAN環(huán)境。在20臺服務(wù)器中，對關(guān)鍵數(shù)據(jù)量的應(yīng)用部署在一臺CX500上，將非關(guān)鍵數(shù)據(jù)分布在負(fù)載不大的CX500中，以保證關(guān)鍵應(yīng)用的服務(wù)質(zhì)量。對存儲應(yīng)用數(shù)據(jù)的磁盤卷采納RAID5的方式。前端的二十臺主機(jī)中運(yùn)行關(guān)鍵應(yīng)用和數(shù)據(jù)庫的服務(wù)器配置兩塊HBA卡，并安裝EMC公司多路徑軟件PowerPath，關(guān)鍵應(yīng)用和數(shù)據(jù)庫服務(wù)器主機(jī)的兩個HBA卡分別通過不同的交換機(jī)接入到CX500的兩個限制器上。交換機(jī)的配置以及核準(zhǔn)主機(jī)上的代理安裝,NavisphereAgent、NavisphereManager軟件的安裝，并激活A(yù)ccessLogixforLUNaccess,同時創(chuàng)建LUNS、RAID群組和存儲組。對于大流量服務(wù)器群：對于大流量服務(wù)器，對于訪問頻率可能很大，但對于數(shù)據(jù)的存儲量未必很大（如OA服務(wù)器），這樣我們不將這類服務(wù)器連在陣列上。YZ但對與很多大流量服務(wù)器（如流媒體服務(wù)器），不僅訪問比較頻繁，同時也有很多的數(shù)據(jù)須要存儲在磁盤陣列上的。但為了避開訪