网络中心深化项目设计方案

1 网络中心深化项目设计方案 网络中心深化设计 1. 业务网的深化设计 用需求分析 业务网（ ）是承载于传送网上的数据网络，根据朝阳区教育“校校通”工程建设的总体规划，在传送网的骨干层有五个核心节点，利用 10G 带宽的链路构建核心主干网络。而业务网的数据中心只有一个，位于教委的信息中心，因此教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的骨干层核心节点和业务网数据中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。 务流量需求分析 我们根据以往校园网建设经验，并 结合本工程的具体需求首先对朝阳教育信息网业务网的流量需求作如下分析。 朝阳教育信息网业务流量主要分为两个方面：一方面为网络内部的 务、 频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用，这是相对主要的业务流量。另一方面， 联网出口的浏览查询应用，与区信息平台的公文传递应用这是相对次要的业务流量。 网流量需求分析 针对上述需求，我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流量。建设 口目的是为网络用户提供必要的互联 网浏览和查询功能，出现大容量的数据上传、下载的机会相对较少，因此根据以往的经验，通过 100M 带宽连接 可以满足需要。朝阳教委与区政府的公共信息平台之间的流量主要是些日常的公文传递，不会占用大量的带宽，所以在区公共信息平台出口上的流量也不会太大。 网流量需求分析 目前朝阳区教育信息网上的应用大致分为：网站发布、社会教育及学校及学生家长沟通、 务、系统内部的电子邮件、教育管理信息库 卡应用系统、网络视频会议、网络视频教学系统、 话应用（ 视频点播、资源库调用等应 用，我们对以上流量进行分析，将这些流量按照学校局域网内部流量、通过教委数据中心的流量、校间流量来分类。其中学校局域网内部流量不影响整个数据平台的流量，不予以分析 现有的应用中，以一个标准学校为例，将每个应用的流量分布情况分析如下： 从上表分析，我们可以看出在朝阳区教育信息网中，对于整个网络而言，绝大部分的数据流量都集中在学校与教委之间。因此这是一个典型的业务集中型网络结构。 根据上述的业务分析，我们提出将业务网（ ）进行简化，由传统的三层网络结构简化为以教委信息中心核心网络为骨干层、其余接入单位统一划入接入层范畴的二层结构。 现有应用 通过教委的流量 校间流量 网站发布 /社会教育及学校及学生家长沟通 有 无 教委 务 有 无 系统内部的电子邮件系统 有 无 频点播 有 无 教育管理信息库 无 应用系统 有 无 网络视频会议系统 有 有 教委的视频点播系统 有 无 话系统 有 有 教委的资源库应用系统 有 无 3 之所以采取这样的网络拓扑结构主要基于如下考虑， 现有的 朝阳区教育系统的主要 业务 应用 情况和接入平台（ 入）的实际情况 很符合二层的网络拓扑结构， 二、三层组网都是很典型的组网应用，而目前网络结构更有扁平化的趋势，因为二层网络 具备 易管理、易控制、性能高（因为少了一层设备）等优点 。 在这样的网路结构中，骨干层设备负责完成网络各接入节点之间的互联，完成高效的数据传输、交换及路由分发。提供流量控制和用户管理等多项功能，提高整个网络的可靠性和扩展性。接入层设备提供各种标准接口将数据通过输网络上传到骨干层设备中，完成基本的业务系统之间的隔离和安全性控制、认证管理等功作。这样的结构主要便于集中管理和维护 ，所有学校的网上行为都将在教委信息中心有效的管理之下，同时将故障点集中在教委信息中心，当出现单点故障时可以就近解决问题。当然扁平的二层结构对核心交换机的性能要求很高，因此必须保证核心交换机安全可靠的运行。 作为朝阳区教委的核心设备 85 是一款高端的交换设备，交换容量 720G（ 支持 目数 4k 条，在性能上完全可以满足实际需求。 综上所述扁平的二层网络最突出的优点是简化网络结构，方便管理和维护，以及节约宝贵的项目资金。核心层设备根据需求应满足万兆级速率的连接，同时应该具备大容量的包 吞吐率，支持大密度大容量接口，为了实现最高的可靠性，应提供两台核心路由交换机互为冗余备份，对于关键的板卡比如核心引擎以及供电电源也采用双板卡冗余。而接入层设备可根据校园网建设的实际情况分为三层交换机和二层交换机，对于有三层交换机的学校可以启动三层路由功能，将网络风暴控制在学校内部，而通过静态路由访问骨干层，对于拥有二层交换机的学校，据我们调研学校并不多，可考虑更换三层设备，或者将这些学校单独划分为不同的 实现隔绝网络风暴的功能。 各功能区块的配置与设备利旧 网络中心按照功能划分为若干区块，即 出口网络区块、主核心交换区块、关键应用服务器区块、大流量数据应用服务器区块、网管网络区块、接口网络区块等。 出口网络区块：朝阳区教育信息网的出口有两个：即北京市教育信息网和 4 朝阳区政府公用信息平台。 主要出口为北京市教育信息网，辅助和备份出口为朝阳区政府公用信息平台出口（即连接到朝阳区信息办的链路）。 两个出口均连接到出口网络中的利旧设备 换机上（网络割接之前可用性能相近交换机替代）。 具体出口连接说明如下： 一、 北京市教育信息网出口 1、朝阳区教育信息网到北京市教育信息网 总共一条物理链路，市教 委会放置两台设备在朝阳中心， 609506 ，朝阳上联的设备为 体端口 1000 1000可以，但只有一个接口，不分内网 和 口。 2、 内网流量和 口流量通过上述的统一线路和端口进行传递，量的质量由市教委统一的带宽管理设备进行管理，从而保证朝阳区的宽需求。 3、 朝阳出口设备不需要进行 保证朝阳内部网络和大网 应用的兼容性，建议不采用防火墙放置在总出口上。 二、 朝阳区政府公用信息平台 由朝阳区政府下来的链路机为了安全保证，在接入 前放置专用 备及千兆防火墙，以起到安全防护和地址转换的功能。 主核心交换区块拓扑：由两台核心交换机 成，两台核心路由交换机之间建立两条 10G 链路，通过 两个端口聚合为一个逻辑端口。聚合端口通过流量配置算法支持端口流量自动均衡保护，使所属物理通道流量基本均衡。主核心交换区块负责整个业务网的数据交换、路由转发工作，因此在信息中心配置两台核心骨干交换机作为网络中心数据的骨干交换设备，我们可以将其比喻为业务网网络中心的心脏，为了保障网络中心核心设备的正常运行，将通过采取主设备双机冗余，增加防火墙等措施来提高它的高可靠性和高安全性。 教育信息网传送网的核心层的其余节点不再安排核心交换设备，这相当于在业务网（ ）的核心层只建设（保留）一个核心节点即教委信息中心。这 5 样一来，接入层及汇聚层节点通过 送网把各个学校的 据直接透传到核心层的核心交换机，减少了各学校数据在核心层的传送环节，提高了传输速度和交换时间，同时 也可以在教委核心的交换机上统一做内部路由和出口。 关键应用服务器区块：主要由 络存储系统备份系统和服务器集群系统组成，在原投标方案中我们建议利用教委已有的 当该区块的主交换机，由于该 正在负责连接 30 多所学校的上网业务，所以在工程实施过程中可以租用或借用其他同级别的交换机代替。关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连主核心交换区块，以起到链路冗余备份的功能，提高网络的可靠性。该区块的功能和配置将在服务器存储设备的实施章节有详细描述。 网管网络区块： 主要负责整个网络的管理和监护，它采用带外管理与带内管理混合的模式， 通常带内管理组网比较简单、灵活，但却要占用承载业务流量的带宽。带外管理不占用承载业务的带宽，网管网络和其他网络设备之间独立成网， 该区块的主交换机由教委现有的 当，（因为同样的原因该交换机正在使用中，所以也必须考虑替代问题。）而主要网管软件采用华为 3管系统进行网络管理，对于网络中心的其他网管子系统如：传输设备管理、网络设备管理、数字同步网管理、入侵检测子系统、网络防病毒子系统、漏洞扫 描子系统、时间同步子系统等，分别采用其各自的管理软件进行全网相应的管理。非华为公司的设备如 设备可由 带的管软件管理，对于整个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件，如 来监控。网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况，可在第一时间检测到故障。并发出报警讯息，便于网管人员快速准确的排除故障。 接口网络区块负责网络中心的核心数据交换设备与传送网的 备相连，担负着传送网上的数据业务落地的 重任。该区块主要设备为传送网的 930，它通过 20 条千兆光纤链路分别与两台核心交换机相连。根据交流，甲方提出要在学校上连教委信息中心的网络带宽中预留 2M 的安全监控端口，和 10M 的考试监控端口以及相应的视频带宽，这些需要在传送网技术方面做相应的时隙划分、和端口预留等工作我们将在传送网深化设计方案中给予具 6 体描述。 大流量应用服务器负责提供应用教学资源，该区块由若干服务器集群组成，这些服务器集群分别通过两条千兆光纤或者电口链路直接与核心交换机相连。以起到链路冗余备份的功能提高网络的可靠性 。 7 网络拓扑结构图 (注：本网络拓扑图仅为结构示意图，具体设备和连接方式以实际情况为准。 ) 8 换设备安装与调试 核心路由交换机 1、 网络中心采用了两台 为核心路由交换机，同时通过在两台核心路由交换机上运行 议来为服务器区、网络核心各个子网提供一个唯一的默认网关。当任何一台核心路由交换机发生故障时，通过 议，另一台核心路由交换机立即接管所有的工作。 议 是 一个 热备份路由协议，应用于双机热备 ，其工作原理为： 议将系统中 两 台路由 交换机 组成 ，该组拥有一个虚拟缺省网关地址。在任何时刻，一个组内只有控制虚拟网关地址的路由 交换机 是活动的（ 并由它来转发数据包，如果活动路由 交换机 发生了故障，将选择 另 一个优先权 较低 的冗余备份 路由交换机 （ 替代活动路由 交换机 。由于网络内的终端配置的是 拟网关地址，因此在它们看来，虚拟路由 交换机 没有改变。所以主机仍然保持连接，没有受到网络中单点故障的影响，这样就较好地解决了 路由交换机 切换的问题。 2、 利用 成树技术，不但可以避免网络中的环路产生，还可以在网络中实现流量的负载均衡，首先根据流量应用、业务主次、部门功能划分不同的 后根据流量将不同的 定不同的转发主网桥和备份链路从网桥，从而实现将数据流量平均负担在两台核心骨干交换机上。 3、 在对主机进行热备的同时，还对 要的路由处理板卡进行冗余备份。即在每一台 安装两块路由处理板卡，一块处于运行状态，一块处于伺服状态，一旦主板卡出现故障，伺服板卡可以无缝的接管数据处理任务，电源配备上也按照高可靠性要求在每台安装两块电源。 4、 每台 置了两块 24 口千兆电口板卡，和一块 24 口千兆光口板卡，以保证网络中心高密度的连接，并提供数据高速的传播和交换能力。 5、 每台 过 10 个 纤多模接口和传送网的 备的 10 9 个 模端口相连。 6、 核心网络设备的其余千兆电口和千兆多模光口用于连接其余功能区块的主交换机和服务器或者防火墙等设备。 各功能区块交换机 这部分交换机主要是三台千兆的多层交换机 列或者是与其同档次（也可低一档次）的其他型号的三层千兆交换机。这些交换机主要是提供高密度的千兆端口和起到 网络的物理隔离功能。因此需要在这些交换机上根据实际情况增加相应的千兆板卡和模块，同时划分相应的一个功能区块交换机都要通过两条千兆光纤链路上连主核心交换机，所以要在这些交换机上启用生成树 功能以避免网络环路的产生。 接入层交换机 接入层交换机主要是启动设备的三层路由功能，定义默认网关指向骨干层核心设备。 有网络的割接 教委信息中心正在负责 30 余所学校的 入工作，在本次工程的施工过程中要求这 30 余所学校的网络不得中断，因此负责该 30 余所学校网络连通的设备如 交换机不能另做他用，我们前文已经提到可以借用或者租用其他同档次的交换机替代。因在本次工程中这 30 余所学校都是区域网络中的一个节点，所以在施工过程中对这些学校按原计划进行，当工程完工后再将这30 余所学校的链路割接到朝阳区教育信息网中，其交换设备同样按原计划应用到上节提到的各功能区块中去。这样即保证原有的网络不会中断，又最大限度的保护了前期投资节约了成本。 P 地址规划深化设计 鉴于建成后的朝阳教育信息网的业务流量是从学校到网络中心的这一典型的业务集中式网络，每个接入单位都有三层交换设备，因此可 以将广播域控制在接入单位内部，为每个接入单位分配连续的地址网段，以静态路由的方式指向网络中心。 10 朝阳教育信息网所使用的 址由北京市教育信息网统一进行分配，由于尚未最终确定分配给朝阳教育信息网的 址，我们在深化设计中给出两种预留设计： 一、 北京市教育信息网分配给朝阳教育信息网的 址全部为真实 在此种情况下，朝阳教育信息网内的所有单位均使用真实 括朝阳教育信息中心，朝阳教委及所有接入学校，每台上网的设备均使用真实 得所有的连网设备都具有可溯性。在此种情况，我们预计北京市教育信息网应至少 分配给朝阳教育信息网 1 个完整的 B 类地址，使用情况大致可预计如下： 1、接入学校约为 240 所，每个学校根据信息点数和电脑数量的不同分别可分配 1 C 类的地址。点数少的学校可把一个 C 类地址分成多个子网给多个学校，点数及上网电脑多的学校可分配多个 C 类地址，这样平均下来，我们预计绝大多数学校使用一个 C 类地址（ 254 个可用地址）即够用。 2、信息中心预留 10 个 C 类地址（包括办公及各类服务器，所有的服务器均使用真实 须再做 3、朝阳教委预留 4 个 C 类地址（局机关办公网络） 二、 北京市教育信息网分配给朝阳教育信 息网的 址部分为真实 区公共信息平台分配与朝阳教育信息网的地址是私有地址。 在此种情况下，可以 通过区公共信息平台链路上的 址转换设备将需要与区公共信息平台传送数据的用户的真实 换为区公共信息平台分配的私有地址。 换 设备以及计算机系统 时间 同步 1、 华为的 3 备提供时间输出接口，该接口为标准的以太网接口，因此我们将其作为此次时间同步方案的一级时间服务器。 2、 在网管网络中设置一台服务器，作为网络中心的二级时间服务器，该服务器配置两块网卡，通过两条链路分别连接一级时间服务 器3 的时间输出接口，和网管网络交换机 该二级时间服务器设定相应的 址，网络中心的核心骨干交换机 其他利旧的思科交换机都支持时间同步协议 11 因此利用以太网络，只要可以访问二级时间服务器的 址，即可以得到时间同步信息，并将其传送到其他网络设备和计算机系统中。 3、 网络中心 内所有的工作站、服务器 等计算机系统可以大致按操作系统分为 作系统 ， 作系统，对于 作系统本身支持 议，可以直接通过 址访问时 间服务器获得时间同步，而对于 统尤其是000 和 P 操作系统不提供 务，因此必须配备相应的 户端软件来同时间服务器进行时间同步。 间同步方案示意图 间 服务器 服务器I P 网业务子网 22 2. 安全系统深化设计方案 全系统需求分析 朝阳区教育信息网按功能和防护区域可划分为：外网和内网。我们按照不同区域的安全等级，以及安全特性来规划不同的安全防范措施。 外网 所谓外网，我们将其分为两部分，一部分指的是上联到北京教育信息网（内网 ）和通过北京教育信息网上连到国际互联网（ 另一部分是指连接到朝阳区政府公用信息平台。出口均设在朝阳教育信息网的出口网络中的。 出口网络是朝阳教育信息网同外部网络的唯一接口，与核心网络是双千兆链路连接。由于业务的隶属关系，及 为保证朝阳内部网络 与 大网应用的兼容性，建议 在与北京市教育信息网连接的链路上 不采用防火墙 ，但在其它出口（朝阳区政府公用信息平台）和 务器区部署千兆级防火墙来提供安全机制。同时在出口网络与核心网络的双千兆链路上配备入侵检测设备对进出的数据信息进行甄别，以提防外部人员的恶意入侵和破坏，以及对不良网站、非法信息进行阻隔。 内网 所谓内网，我们认为可以分为接入网络和核心网络两部分。 接入网络 由朝阳教育信息网所辖的所有学校、教育机关网络和其他网络内部用户组成。对于接入网络其安全防护由朝阳教育信息网的中心机房统一部署管理，每一个学校或用户分配不同网段的 址，在核心节点处的多层交换机上利用术和 这些不同子网进行策略路由，以达到最理想的网络安全。 核心网络 核心网络包括：核心交换网、网管网络和数据中心（ 核心网络是整个朝阳 教育信息网的数据中心、资源中心、和管理中心可谓是心脏部位，它的安全系统应从以下几方面着手设计： 1) 防火墙 防范来自外部和内部的网络攻击和破坏。 13 2) 防拒绝服务攻击 使用防火墙来防范拒绝服务型攻击。 3) 漏洞扫描系统 时刻监控网络以及服务器的安全漏洞。 4) 入侵检测系统 专门对服务器集群进行探测来防范并记录非法和危险的网络操作。 5) 网络防病毒系统 设置总的网络防病毒服务器负责整个控制中心和下属网络的防病毒工作。 火墙系统深化设计 防火墙分布位置 方案采用六台华为 000F 防火墙，配置在 朝阳教育信息网网络中心的四个逻辑地点，构成整个业务网络的防火墙系统。具体分布连接如下： 1 我们在 务器区与外网之间部署一台 000F 千兆防火墙 ，其中 对外服务器连接在防火墙的 ；外网卡连接出口网络中的 接。 2在出口网络中的 朝阳区政府公用信息平台的链路上设置一台 000F 和一台专用 备。具体连接： 000F 放置在出口网络的 朝阳区政府公用信息平台的传输设备的链路上。内网卡接 网卡接 备（ 专用 备（ 一个千兆口接 000F，另一端与传输设备相连。 3网管网络到核心网的接口处设置两台 000F：每台 0008512 相连，每台 000台 000F 之间通过 1台 000F 做负载分担 /冗余备份，对网管网络进行保护。 4数据中心的关键应用服务器区到核心交网的接口处设置两台 000F：每台 000F 的千兆外网卡分别与核心网的两台 8512连接，每台 000F 的一块千兆内网卡连接关键应用服务器区的 14 台 000F 之间通过 1口相连，两台 000冗余备份，对关键应用服务器区进行保护。 防火墙配置 在防火墙设置上我们按照以下原则配置来提高网络 安全性： 1）根据总体安全策略和安全目标，规划设置正确的安全过滤规则，规则审核 据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对内网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。 2）将防火墙配置成过滤掉以内部网络地址进入路由器的 ，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 址离开内部网络的，防止内部网络发起的对外攻击。 3）在防火墙上建立内网计算机的 址和 址的对应表，防止 4）在防火墙上进行防拒绝 服务攻击（ 置。 5）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 通过对以上四个地点配置防火墙，并在网管网络中安装一台 防火墙集中管理服务器，对处于不同子网中的多个防火墙进行集中管理和配置， 就组成了朝阳教育信息网的防火墙系统，构成了整个朝阳教育信息网安全防护的第一道屏障。 防火墙系统连接见朝阳教育信息网网络安全连接图。 络入侵检测系统深化设计 每台 置 2 个 1000准监控接口，控制中心设在网管网络中的一台服务器上。 配置分 布如下： 1. 出口网络与核心网之间部署一台 个 头分别配置在出口网络中的 两台核心交换机 2. 关键应用服务器区与核心网之间部署一台 个 键应用服务器区 与核心网络之间的两台防火墙后 15 面。 络漏洞扫描系统深化设计 在内网中采用一套先进的 网络安全性分析系统 漏洞扫描系统。 网络安全性分析系统 可安装在一台笔记本电脑上，定期对不同网段的工作站、服务器、交换机等进行安全 检查，并根据检查结果向系统管理员提供详细可靠的安全性分析报告，为提高网络安全整体水平产生重要依据。 络防病毒系统深化设计 1）在网管网络中的一台服务器上安装 络版杀毒软件的系统中心，负责管理网络中心不少于 100 台的服务器和 30 台 。 2）在网络中心的主机上安装 络版的服务器端和客户端。 3）安装完 络版后，在管理员控制台对网络中所有客户端进行定时查杀毒的设置，保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。 4） 统中心负责整个网络中心的升级工作。为了安全和管理的方便起见，由网络中心的系统中心定期地、自动地到 球网站上获取最新的升级文件（包括病毒定义码、扫描引擎、程序文件等），然后自动将最新的升级文件分发到其它 100 多个服务器端和 30个客户端，并自动对 毒软件网络版进行更新。采取这种升级方式，一方面确保网络中心内的 毒软件的更新保持同步，使整个网络中心都具有最强的防病毒能力；另一方面，由于整个网络的升级、更新都是有程序来自动、智能完成，就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。 16 阳区教育信息网网络安全拓扑图 17 3. 服务器存储系统的 深化设计 求分析 服务器作为整个系统硬件的核心，承担了整个系统运行数据的建立、存储、查询、操作、备份以及整个后台应用程序的运行任务 根据客户的要求，我们把应用分成 务、 务、数据库服务、 用 服务、办公管理服务、流媒体点播服务等。 供各种教育信息、新闻、实事动态、多媒体教学资源库、课件制作等等，随着信息和资源的积累， 务器会需要比较大的空间来存放这些数据。而这些数据的特点是文件比较小，但是同时并发的数量 众多，这就要求服务器和存储设备都具有高速、稳定、高数据吞吐量的性能。对于存储设备来说，基于全光纤结构的 构可以满足这种需求。 教育中心 的 务。由于学生数量众多，加上也要为每一位教师提供 箱，所以 务器的数据存储需求也十分的庞大，特点也是文件数量多，服务器对数据检索，并读到数据速度要快，同时并发数据流多。因此也建议采用 构。 采用负载均衡轮询的方式。 数据库服务器将运行 于该数据库的特性，加上数据库对数据读写十分频繁，以及参考许多数据 库存储的成功案例， 构以其成熟的技术，优异的性能，良好的扩展性成为了首选。 公管理服务是将许多日常的书面办公工作实现电子化，放到网络上进行，简化了办公流程，提高效率，是现代 e 化的流行趋势。 流媒体点播服务是将许多多媒体的课件及教学资源放到网络上，广大师生可以直接到网络上自由点播，选择自已需要的素材，进行复习备课等，由于数据量和传输量大，对存储空间和服务器的 I/O 带宽都提出了很高的要求。 务器的安装与功能分配 数据库服务器 18 数据库服务器选用两台 66。 每 台 服务器 都配置 两 个光纤适配器（ ） ，每台服务器要用两条 1000M 光纤分别与两台光纤交换机点对点连接。 同时，每台服务器上将分别安装 管理软件，实现服务器和存储设备之间多通道存取。如果其中一条通道发生故障，自动将 I/O 负荷切换到幸存的通道，并在发生故障的通道得到修复后立即恢复其使用。如果在服务器访问磁盘阵列数据量比较大和频繁时， 增加全面 I/O 吞吐率，更快地完成更多的任务；也可以自动负载均衡算法智能地管理多条 I/O 通道的流量，极大 地提高了系统的效率和 I/O 的吞吐率，避免 I/O 的瓶颈。 据库和 据库匀放到 两台 能光纤磁盘阵列中 。 据库服务器： 在 络结构中， 据库是对用户数量最多、性能最为稳定的数据库。基于 据库的 方便生成适用不同业务的应用数据库系统。 选用两台66。一台装 作系统；一台装 作系统。 据库服务器：两台 据 库服务器 安装作 系统，将两台 据库服务器互为双机容错，保证运行系统的冗余、稳定。 用服务器 邮件服务器：对于朝阳教育信息中心对电子邮件系统大容量、高扩展性、分级管理的实际要求，我们选用五台 46 （招标文件中应用服务器 1 的规格） 做一负载均衡的轮询的集群方案，来满足教育办公网，每天所要面临着大量的有邮件往来。 邮件集群系统由二个 个 磁盘阵列组成，同时一台安装 作 系统，作为主 级流量管理器）；另有一台做后备 考虑到系统运行初期，用户数量并不多， 务的并发访 19 问量并不大， 务只设置一台服务器，同时也作 务。以后用户量增加时，可以再增加一台 现 务的负载均衡。 务器： 息发布需要大容量内存，能确保服务在大用户量并发时的系统稳定性和服务效率， 务器选用性能和功能指标较高的服务器，选用两台 46 （招标文件中应用服务器 2 的规格）。同时实现服务的负载均衡。 务器： 用软件和 息发布需要大容量内存，能确保服务在大用户量并发时的系统稳定性和服务效率，保证系统及日志的记录。建议采用应用服务器 2 的机型。 务器：选用两台 46 （招标文件中应用服务器 2 的规格）。做内网和外网的域名解析，同时实现服务的负载均衡。 务器：选用两台 46 （招标文件中应用服务器 2 的规格）。做内网和外网的域名解析，同时实现服务的负载均衡。 务器：选用一台 46 （招标文件中应用服务器 2 的规格）。 务器：选用一台 46 （招标文件中应用服务器 2 的规格）。 管理服务器：传输网络中的时钟管理、 中的网络监控管理及网管服务器分别选用 46 （招标文件中管理服务器的规格）。 数据备份服务器：负责整个网络中各服务器上的数据备份。选用 46 （招标文件中应用服务器 1 的规格）。 务器集群的配置 高可用性数据库服务器集 群： 据库服务器 : 采用 作系统，两台机器之间用串口线连接，数据库要在两个机器上都要安 20 装，通过操作系统内置的 群应用软件组建两台 务器的务，两台机器访问同一个 址，做数据库漂移，保证一台坏掉，另一台仍然可以继续工作。以达到关键数据服务的不停机运作，保证数据不丢失；这样通过装在两个服务器中的双机热备份系统软件，使系统具有在线容错能力。 应用服务高可用性集群： 务 器： 务器采用双机系统，教委 公自动化系统是基于作系统，通过操作系统内置的 群管理双机。 务器：服务器分别选用两台应用服务器 2 的机型，安装相同的操作系统，作 式的 群方式。 务器：服务器分别选用两台应用服务器 2 的机型，安装相同的操作系统，作 式的 群方式。 负载均衡集群系统 负载均衡邮件服务器： 2 个 以构成负载均衡，同时 构成双机热备份，正常情况下， 量平均分配到两台 旦其中一台出现故障，另外一台将自动接管 务。数据存储分为用户数据和邮件数据存储两部分，邮件数据通过 一存储到磁盘阵列上。当邮件空间不够时，动态增加磁盘阵列空间即可。主 采用路由的方法进行访问流量地控制和分配，同时对其他三台服务器进行管理。由主 用轮询的方法来实现当访问流量大时对其它三台服务器的进行负载均衡。将其中一台安装 作系统，作为主 级流量管理器）。设置一个 址来代表整个集群系 统，将 群管理控制台）安装在主 。再选用一台做后备 现当主 现故障时，管理自动平滑到后备 。 储系统的深化设计 整个存储体系分为二个部分： 络交换机和磁盘阵列系统。我们在本方案中推荐使用了两台磁盘阵列 台配置了 14 块 1 46光纤硬盘，每台原始容量约为 台 两个存储处理器，每个存储处理器有两个 2 21 纤通道光学端口，实现从每个存储处理器到两个光纤通道环路的故障切换。同 时系统还配置了两台 纤通道交换机，构成存储核心结构。 实施步骤 纤通道交换机、高性能海量磁盘阵列、智能磁带库。 1、 统中，各服务器、磁带库、磁盘阵列通过两个光纤交换机连接成一个 结构。通过为每个服务器配置 两 个光纤主机适配器（ ），可以将应用服务器和备份服务器通过不同的光纤交换机连接到 境。关键的应用服务器需要考虑使用冗余通道，通道的冗余不仅提高了应用服务器访问存储设备的性能，同时也提高了对存储在 储设备上关键数据的可访问性。所有需 要实现冗余路径的应用服务器通过配置两个光纤主机适配器，分别连接到两个不同的交换机。新的服务器也可以采用同样的方式连接到 境。 2、 在 20 台服务器中，对关键数据量的应用部署在一 台 ，将非 关键数据 分布在负载不大的 ，以保证关键应用的服务质量。对存储应用数据的磁盘卷采用 的方式。 3、 前端的二十台主机中运行关键应用和数据库的服务器配置两块 ，并安装 关键应用和数据库服务器 主机的两个 两个控制器上 。 4、 交换机的配置以及核准主机上的代理安装 , 件的安装，并激活 UN 时 创建 组和存储组 。 5、 对于大流量服务器群：对于大流量服务器，对于访问频率可能很大，但对于数据的存储量未必很大（如 务器），这样我们不将这类服务器连在阵 列上。 对与很多大流量服务器（如流媒体服务器），不仅访问比较频繁，同时也有很多的数据需要存储在磁盘阵列上的。但为了避免访问瓶颈，我们并没有在大 流量服务区前加防火墙。对于此类数据的安全，我们会在网络层做 访问措施。同时根据磁盘阵列的原理，在磁盘阵列上的数据都是以存储卷的格式进行存储，不同的卷之间是相互独立的，服务器访问卷的权限是被指定的。这也加大了磁盘阵列上数据的安全。 22 据备份系统的安装与配置 对于朝阳区教育“校校通”工程的备份子系统，根据客户的实际情况和招标文件的具体要求我们推荐的是 司的 储备份管理软件和 司的 拟磁带库。 拟磁带库配置了四个虚拟磁带机，直接接入到一台光纤通道交换机上。 备份系统设计结构： 20 台与中央