企业局域网的规划与设计
作者:
来源:《中国住宅设施》2015年第01期
谢道祥 杨晓帆/中广电广播电影电视设计研究院
摘要:对于民族语言网站集成就是一个将不同的计算机系统、网络系统、安全系统、多媒体系统、应用系统在物理上与功能上连接在一起,满足用户整体需求的过程。本文主要从以下五个方面,包括企业项目背景、需求分析、网络总体设计方案、网络安全和软件平台设计,对电台企业内部网络构建的内容进行了详细的讨论。 关键词:民族网,网络结构,网络安全 1 引言 1.1 项目背景
近年来,以美国为首的西方反华势力不断加大针对新疆、西藏的少数民族语言广播覆盖,对新疆、西藏地区进行宣传渗透,对不明真相的当地藏族民众进行煽动、蛊惑,企图达到分裂祖国的意图,代表国家声音的少数民族语言广播和网络宣传却没有大的发展。
鉴于上述情况,民族网作为国家少数民族语言网站,应当担负起维护祖国统一、反对民族分裂的历史责任。加强民族网站建设,加强少数民族语言宣传和覆盖,可以说是贯彻中央领导讲话精神、进一步落实“西新工程”、“走出去工程”要求的具体体现,是适应新时期少数民族语言广播对内、对外宣传需要的重要举措。 1.2 研究内容及意义
项目内容主要包括:业务信息系统、主干网络、存储与备份、安全系统等。
民族语言网站的建设是为了加强党对民族地区的宣传力度,将党的声音通过网络渠道传达到民族地区;是架设在党和人民群众之间的桥梁,传递着党和政府的各项方针政策,在社会经济、政治和文化等方面发挥着主要的舆论宣传作用。 2 系统设计原则和设计目标 2 .1设计原则 先进性
龙源期刊网 http://www.qikan.com.cn
本次建设应采用当前成熟且较先进的技术,保持系统硬件、软件、技术方法和数据管理的先进性,从而保证高效率、高质量的应用。同时具有较强的可移植性、可重用性,在将来能迅速采用最新技术长期保持系统的先进性。 可靠性
系统能够支持民族语言网站中较大并发用户同时进行浏览、交互、检索文档等与数据库的交互式的操作,并且相对占用较少的硬件资源。当意外事件发生时,能通过快速的应急处理,实现故障修复,保证数据的完整性,避免丢失重要数据。 安全性
系统安全、稳定、可靠的运行,首先取决于系统的整体设计、平台的选择以及应用程序的质量;其次,必须考虑到各种特殊情况下的恢复机制和备份机制,以保证数据的一致性、完整性以及灾难恢复;严格的管理制度也是系统安全性的重要保证。 开放性、扩展性
一个良好的系统体系结构,应该具有处理未来变化和发展所需要的可扩展性。这不仅基于本项目当前的需求,真正符合多层浏览器/服务器体系结构,而系统的体系结构应不需要做较大的改变,并能保证系统今后的平滑升级。 标准化、结构化
本系统应采用开放标准,选用的技术、产品符合开放标准。项目提供的所有技术均要求符合相应的国际先进标准、中国国家标准、各行业的相应标准、国际标准化组织标准。 成熟性、实用性
在项目设计过程中,要求采用被实践证明为成熟和实用的技术、产品进行系统建设。这样,能够在最大限度上保证核心系统的成熟度;一些个性化的应用也应采用成熟的技术进行开发和功能扩展,最大限度地满足民族语言网站现在和未来发展的需要,确保稳定性。 可维护性、可管理性
由于民族语言网站的使用面广,系统稳定性、可用性要求高,因此系统平台还必须要求具有良好的可管理和易于维护的特点。 适应性
龙源期刊网 http://www.qikan.com.cn
网站采用通用技术实现,网站支持目前流行的多种浏览器,支持网络上主流的音视频技术,按用户要求支持多种图片和音视频格式。 2.2 项目建设目标
民族语言网站项目的建设目标是:立足当前,放眼未来,构建民族语言网站硬件环境,在此基础上开发部署民族语言网站软件平台,实现民族语言网站业务数据的搜集、整理以及展现一体化。
建设成国内最具权威性、最具影响力的少数民族语言文字的综合多媒体网站。 3 需求分析 3.1 用户业务需求
主要实现稿件的发布、多种业务信息的采集、音视频的直播及点播、信息搜索及各种互动业务功能。
采集渠道要求利用两台高性能交换机作为台内建设部分的核心交换,连接所有音频采集服务器、部分视频采集服务器、后台管理服务器以及数据库服务器。
网站分为汉语、蒙古语、藏语、维吾尔语、哈萨克语和朝鲜语等共多种语言的各自独立的网站,并能够独立运行集中管理。 3.2 网络功能需求
台内主要为民族语言网站的制作区和管理区;总部基地为辅助编辑区,可完成网站的部分编辑工作。编辑通过光纤连接成的网络完成和台内编辑一样的工作。同时作为异地的备份区域,对台内数据做容灾备份。
网站发布区主要负责网站的对外发布。对外服务网络带宽设计为400M。台内制作好的网页、音视频等多媒体内容通过专线传送至此区域的对外发布服务器组,供互联网用户访问。 远程编辑区域和分网站通过因特网与台内连接,采用VPN技术实现安全数据传输。 4 网络总体方案设计 4.1 网络拓扑结构设计 4.1.1总体系统组成
龙源期刊网 http://www.qikan.com.cn
民族网站硬件平台以及基础网络平台和核心,构建包含网络系统、服务器系统、存储系统、负载均衡、安全系统全面的高性能、可扩展的网站基础硬件平台,为网站的各种应用提供充分的性能、安全保障。 4.1.2网络结构
民族网网络系统分为网站发布区和网络维护管理区,民族网网络系统需要考虑各区域内部的网络结构以及各区域之间的网络互联。整体的网络拓扑结构如下图1所示。 (1)网站发布区
网站发布区主要由数据网络和存储网络组成。
其中数据网络划分为核心区和接入区,核心区是网站数据交换的核心设备,负责所有发布服务、论坛、博客、邮件、防病毒等服务器的连接,为外部用户访问网站内容提供高速互联。核心网络由两台高性能的三层千兆以太网交换机组成,提供1块6端口千兆位光纤接口模块,2块48端口的10/100/1000Mbps自适应以太网接口模块,为各种服务器提供双连接,充分保证服务器连接的可靠性和性能。
网站发布区的存储网络是通过独立IP网络形成WEB服务器群和流媒体服务器群共享网站发布区的NAS存储。存储网络由两台24口千兆以太网交换机构成,连接网站发布区的NAS存储以及WEB服务器群和流媒体服务器群服务器的独立网卡,形成完全独立的IP存储网络。既提高了网络存储的性能,同时也提高数据存储的安全性。 (2)网站维护管理区
网站维护管理区其网络构成主要有维护管理区核心交换网络、业务网以及与IP NAS存储相关网络构成。
网络管理区核心网络同样由两台高性能的三层千兆以太网交换机组成,提供1块6端口千兆位光纤接口模块,2块48端口的10/100/1000Mbps自适应以太网接口模块,为接入层交换机及各种服务器的提供双连接;提供网站采、编、发及内容管理服务器、网页防篡改服务器,音视频采集服务器的数据网络互联,所有服务器全部采用双网卡连接至两台核心交换机,提供性能和可靠性保障。
网站发布区与台内管理区、台内管理区与总部基地机房均采用两对单模千兆光纤,实现带宽为1000M的三区连接。 (3)总部基地
龙源期刊网 http://www.qikan.com.cn
用于辅助实现现有业务数据整合和部分音视频采集功能,主要是为了民族网站平台建设提供后勤及辅助设施。 4.2核心层设备配置说明
网络中心设在电台五层的计算机网络中心机房内。
网站发布区与管理区均采用两台Cisco Catalyst 4506(六个插槽)高性能第2/3/4层交换机作为核心层交换机来连接各类服务器及接入层交换机。
4506交换机为6槽机箱,配置双电源实现电源的负载均衡和备份;配置最新的第四代交换引擎,交换背板容量达到64G。提供线速的第二、三、四层的过滤功能,QoS功能。4506交换机具有64G的高速背板容量,支持高达48Mbps第三层转发能力。4506交换机具备很高的端口密度和可靠性,采用两台4506作为主干交换机即可完全满足要求。
每台4506交换机配置1块6端口千兆位光纤接口模块,用于连接网络管理区防火墙。 每台4506交换机配置2块48端口的10/100/1000Mbps自适应以太网接口模块,用于连接网络中心的防火墙、负载均衡、各类服务器和网管工作站。千兆位以太网接口上剩余的端口可以用于将来连接高速服务器和对网络进行扩展。
网络管理区接入层交换机与网络中心4506交换机之间的通路连接可采用两条千兆位以太网链路,利用Cisco的支持快速Spanning Tree协议的Uplinkfast技术,实现上联链路的备份和信息流量的快速收敛,并提供高达2Gbps的上连通道(全双工模式),完全避免单条链路或者网络中心单台4506发生故障的情况。 4.3 接入层交换设备配置说明
网站管理区接入层交换机的产品选用Cisco WS-C3560X-48P-S接入层交换机6台。 WS-C3560X-48P-S交换机配置2块1000Base SX GBIC千兆位以太网接口模块,用于连接核心的2台4506交换机,利用Cisco的Uplinkfast技术实现上联链路的冗余备份,对发生故障的链路流量快速收敛。 4.4 VLAN划分及子网配置
在交换式以太网出现后,同一个交换机不同端口处于不同的冲突域中.交换式以太网的效率大大增加,但是,在交换式以太网中,由于交换机所有端口都处于一个广播域内,导致一台计算机发出的广播帧,局域网中所有的计算机都能够接收到,使局域网中的有限网络资源被无用的广播信息所占用(图2)。
龙源期刊网 http://www.qikan.com.cn
4.5 IP地址分配
考虑民族网具体情况,IP地址的管理和分配采用静态分配的方式。服务器地址、设备管理地址、接口互联地址以及普通终端等采用固定IP地址(图3)。 4.6广域网接入设计
在本设计方案中,广域网接入模块的功能是通过广域网接入路由器来完成的。采用的是Cisco的3845路由器接入Internet。它的作用主要是在Internet和民族网站内网间交换路由数据包。除了完成主要的路由任务外,还可以利用访问控制列表(Access Control List,ACL)来完成以自身为中心的流量控制和过滤功能并实现一定的安全功能。 5 网络安全设计 5.1 总体安全策略
为应对民族网网站系统面临的风险和威胁,满足民族网的安全保密需求,实现民族网整体安全保障体系的总体目标,整体安全保障体系的设计和建设应遵循以下总体安全策略:分域防护适度安全;业务连续保障;基础安全防御得当;技术管理并行。 5.2 安全域的划分
民族网网站系统是一个庞大、复杂的信息系统,单独对每项信息资产确定保护方法,是非常复杂的工作,也会由于疏忽或错误导致安全漏洞。但是将整个系统按照一个完全相同的要求来防护,又难免造成没有防范层次和防范重点,对风险尤其是内部风险的控制能力不足。较好的处理方式是进行安全域的划分,分析信息资产价值并将其归入不同安全域中,每个安全域内部都有着基本相同的安全特性,如安全威胁、安全脆弱性和风险等,并分属于不同的安全级别。
民族网安全域划分为对外接入域,网站发布域、网站维护域、和网站办公域、总部存储备份域,安全域划分的示意图如图4所示。 5.3 安全防护手段
民族网安全体系建设采取统一规划,分布实施的策略。本期主要在物理安全、网络安全和主机安全等方面采取必要的防护手段,对网站加以保护。 5.3.1物理安全
物理安全是整个网站系统安全的前提。物理安全是信息安全保障的基础。因此,民族网网站系统必须具备环境安全、设备安全、介质安全和机房安全等物理支撑环境,保护网络设备、
龙源期刊网 http://www.qikan.com.cn
设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误导致的破坏、丢失,防止各种以物理手段进行的违法犯罪行为。 5.3.2网络安全
根据信息系统安全等级保护要求,信息系统网络安全防护系统需要落实结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护等安全防护措施。在本期安全系统建设中,主要涉及结构安全、访问控制、入侵防范、网络设备防护等措施。 (1)网络结构安全
民族网网络结构中,全部采用冗余的拓扑结构,包括入侵检测、防火墙、核心网络交换机、负载均衡设备全部采用双设备结构,充分保障网络结构的可靠性。 (2)防火墙
防火墙是当前最主要的网络安全隔离设备,采用有效的防火墙系统,能够实现安全域的划分,实现安全域之间有效逻辑隔离,防止外部恶意用户民族网网站的攻击,防止内部用户从内部对服务器的攻击,有效地实现对受保护网段的安全控制。 (3)入侵检测
入侵检测技术是当今一种非常重要的动态安全技术,与传统的静态防火墙技术共同使用,将可以大大提高系统的安全防护水平。入侵检测系统通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从而检测网络系统中是否有违反安全策略的行为或者遭到袭击的迹象。入侵检测技术是动态安全技术的核心技术之一。
民族网网站入侵检测系统部署于网站互联网接入处,可实时检测和阻断各种网络攻击行为。
5.3.3主机安全
由于网络设备的全部配置可以通过设备的控制台端口进行修改,所以控制网络设备的物理安全非常重要。应注意如下事项:控制网络设备的物理访问;控制设备间、数据中心的人员访问;对不安全的设备放置地点应进行角色的区分;考虑电磁辐射环境。 6 软件平台设计
鉴于论文篇幅有限,本文仅对民族网基础软件平台进行描述,其它如:网页防篡改、桌面防护、网站流量分析、网站内容管理等不再一一描述。
龙源期刊网 http://www.qikan.com.cn
6.1 网络操作系统
根据民族语言网站各服务器用途,结合各系统所选用软件,民族网站要采用Linux和Windows操作系统。 6.2 数据库服务器系统
根据数据库软件特点,以及考虑到民族语言网站项目的实际数据处理需求情况,安全、效率、可靠的数据库系统作为数据处理基础,在民族语言网站建设中,选用Oracle作为系统主要数据库。
6.3 网络管理软件系统
网络管理软件系统的目的是对网络设备的状态和各种性能参数进行监视并记录,在出现问题时快速报告管理员,协助管理员快速的排除故障;同时,对网络运行的历史数据进行保存并供管理员随时查看,掌握网络的运行趋势。 7 结语
民族语言网站的建设是为了加强党对民族地区的宣传力度,将党的声音通过网络渠道传达到民族地区。网站将利用电台在民族广播的优势,有针对性地将各种新闻、专题等信息以及党和国家的有关政策分类分层次的展现给全国人民,增强人民对我国各个少数民族的相互了解,促进各民族的团结。
龙源期刊网 http://www.qikan.com.cn
龙源期刊网 http://www.qikan.com.cn
因篇幅问题不能全部显示,请点此查看更多更全内容