校校通工程深化设计方案(编辑修改稿)

校校通工程深化设计方案(编辑修改稿)内容摘要：

30 余所学校的 Inter 接入工作，在本次工程的施工过程中要求这 30 余所学校的网络 不得中断，因此负责该 30 余所学校网络连通的设备如CISCO6509 等交换机不能另做他用，只有当工程竣工以后，网络试运行正常时，才能将原有的网络割接到现有网络中。 在这个过程中只有通过借用或者租用其他同档次的交换机替代的方式来解决问题。 在本次工程中这些学校都是区域网络中的一个节点，所以在施工过程中对这些学校按原计划铺设光纤配置传输设备，不会影响到学校网络的正常连通。 待割接完毕后将空闲下来的交换设备按设计方案应用到业务网络中去。 这样即保证原有的网络不会中断，又最大限度的保护了前期投资节约了成本。 关于朝阳教委新址的 网络接入问题，为了保证在施工过程中朝阳教委所带的网络不致中断，待朝阳教委移至新址后，优先铺设一条光纤连接到教委信息中心的核心交换机上，当工程完工后朝阳教委所带的 10 于所学校通过传送网的透传直接连到信息中心，而朝阳教委到信息中心的光纤则予以保留。 IP 地址路由规划深化设计 IP 深化设计 朝阳教育信息网所使用的 IP 地址由北京市教育信息网统一进行分配，根据目前确定的分配给朝阳教育信息网的 IP 地址，我们在深化设计中给出如下设计： 北京市教育信息网分配给朝阳教育信息网的 IP 地址全部为合法 IP，共 1 个半的 B 类地址。 在 此种情况下，朝阳教育信息网内的所有单位均使用真实 IP。 包括朝阳教育信息中心，朝阳教委新办公网及所有接入学校，每台上网的设备均使用真实 IP，使得所有的连网设备都具有可溯性。 在此种情况，我们设计 IP 地址的使用情况大致如下： 接入学校约为 240 所，每个学校根据信息点数和电脑数量的不同分别可分配13 个 C 类的地址。 点数少的学校可把一个 C 类地址分成多个子网给多个学校，点数及上网电脑多的学校可分配多个 C 类地址，这样平均下来，我们预计绝大多数学朝阳区教育“校校通”工程深化设计方案（网络中心） 北京北控电信通信息技术有限公司 13 北控电信通BETIT校使用一个 C 类地址（ 254 个可用地址）即够用。 根据用户需求，建议分配 给每个学校的地址段中拿出 25 个地址作为学校可对外发布的地址（大校前 5 个可用 IP 地址，普通学校前 2 个可用 IP 地址）。 学校的发布地址由中心统一管理，学校在需要的时候上报信息中心开通。 学校的其他 IP 地址由中心作策略一律不允许对外发布。 信息中心预留 10 个 C 类地址（包括办公及各类服务器，所有的服务器均使用真实 IP，无须再做 NAT）。 朝阳教委预留 4 个 C 类地址（局机关办公网络）。 以上的 IP 地址分配方式大致只用了 1 个完整的 B 类地址，还有半个 B 类地址可用，可以根据实际情况再进行分配。 有关 “ 合法 IP 地址的问题 ” 市教委信息中心会召开会议或者通知方式进行说明。 现在可以确定的是，经过合理的 IP 地址规划，即保证每台接入网络的计算机都有合法 IP 地址 ，又保证 IP 地址的使用有效性，不闲置不浪费。 朝阳 区教育信息网到市教育信息网络（内网， Inter）的 出口不需要进行 NAT，但到朝阳区政府公用信息平台（朝阳区信息办）需要 NAT 转换。 路由规划 建成后的朝阳教育信息网的业务流量包括学校间的流量和从学校到信息中心的流量，业务流量将在信息中心落地和进行路由交换。 鉴于这一典型的业务集中式网络，每个接入单位（学校）都有三层交换设 备，因此可以将广播域控制在接入单位内部，为每个接入单位分配连续的地址网段，以静态路由的方式指向网络中心的汇聚层设备。 信息中心的汇聚层设备和核心交换设备之间启用 OSPF 动态路由协议，构成骨干区域 area 0，负责所有的路由转发工作，这样既可保证学校 IP 地址的相对固定和信息中心 IP 地址使用的灵活性又可实现路由的快速收敛。 网络中心三个出口的路由可采用缺省静态路由指向，或根据对端接入要求采用动态路由协议。 交换 设备以及计算机系统 时间 同步 华为的 SYNLOCK V3 BITS 设备提供时间输出接口，该接口为标准的以 太网接口，因此我们将其作为此次时间同步方案的一级时间服务器。 朝阳区教育“校校通”工程深化设计方案（网络中心） 北京北控电信通信息技术有限公司 14 北控电信通BETIT在网管网络中设置一台服务器，作为网络中心的二级时间服务器，该服务器配置两块网卡，通过两条链路分别连接一级时间服务器 SYNLOCK V3 的时间输出接口，和网管网络交换机，为该二级时间服务器设定相应的 IP 地址，网络中心的核心骨干交换机 S8512 和其他利旧的思科交换机都支持时间同步协议 NTP，因此利用以太网络，只要可以访问二级时间服务器的 IP 地址，即可以得到时间同步信息，并将其传送到其他网络设备和计算机系统中。 网络中心 内所有的工作站、服务器 等计算机系 统可以大致按操作系统分为UNIX、 LINUX 操作系统 ， WINDOWS 操作系统，对于 UNIX 和 LINUX 操作系统本身支持 NTP 协议，可以直接通过 IP 地址访问时间服务器获得时间同步，而对于WINDOWS 系统尤其是 WINDOWS 2020 和 WINDOWS XP 操作系统不提供 NTP服务，因此必须配备相应的 NTP 客户端软件来同时间服务器进行时间同步。 NTPNTP NTP 时间 服务器服务器IP 网NTP业务子网 1业务子网 2NTP时间同步示意图 2. 安全系统深化设计方案 安全系统需求分析 朝阳区教育“校校通”工程深化设计方案（网络中心） 北京北控电信通信息技术有限公司 15 北控电信通BETIT朝阳区教育信息网按功能和防护区域可划分为：外网和内网。 我们按照 不同区域的安全等级，以及安全特性来规划不同的安全防范措施。  外网 所谓外网，我们将其分为两部分，一部分指的是上连到北京市教育信息网（内网）和通过北京教育信息网上连到国际互联网（ Inter），另一部分是指连接到朝阳区政府公用信息平台。 出口均设在朝阳教育信息网的出口网络中的 Cisco4003 上。 出口网络是朝阳教育信息网同外部网络的唯一接口，与北京市教育信息网是双千兆链路连接，一路接北京市教育信息网（内网），一路通过北京教育信息网上连到国际互联网（ Inter）。 为保证朝阳内部网络的 安全 ，建议 在这两条 千兆链路上分别 采用 两台千兆 防火墙 ，作为朝阳教育信息网的对外安全防护。 在到朝阳区政府公用信息平台的出口链路上部署专用 NAT 设备和千兆级防火墙来提供地址转换和安全机制。 同时在出口网络与核心网络的双千兆链路上配备入侵检测设备对所有进出朝阳教育信息网的数据信息进行甄别，以提防外部人员的恶意入侵和破坏，以及对不良网站、非法信息进行阻隔。 根据用户需求，朝阳教育信息网基本防护策略为：由内向外的连接基本允许，但由外向内的访问和连接一定要经过审核。  内网 所谓内网，我们认为可以分为接入网络和核心网络两部分。 建议在朝阳 教育信息网内网中的核心交换机和汇聚交换机上通过 ACL 屏蔽掉Ping， Tel， NetBIUE 等服务和协议（特定的用户可放开）。  接入网络 由朝阳教育信息网所辖的所有学校、教育机关网络和其他网络内部用户组成。 对于接入网络其安全防护由朝阳教育信息网的中心机房统一部署管理，每一个学校或用户分配不同网段的 IP 地址，在核心节点处的多层交换机上利用 VLAN 技术和ACL 对这些不同子网进行策略路由，以达到最理想的网络安全。  核心网络 核心网络包括：核心交换网、网管网络和数据中心（ IDC）。 核心网络是整个朝阳教育信息 网的数据中心、资源中心、和管理中心可谓是心朝阳区教育“校校通”工程深化设计方案（网络中心） 北京北控电信通信息技术有限公司 16 北控电信通BETIT脏部位，它的安全系统应从以下几方面着手设计： 1) 防火墙 防范来自外部和内部的网络攻击和破坏。 2) 防拒绝服务攻击 使用防火墙来防范拒绝服务型攻击。 3) 漏洞扫描系统 时刻监控网络以及服务器的安全漏洞。 4) 入侵检测系统 专门对服务器集群进行探测来防范并记录非法和危险的网络操作。 5) 网络防病毒系统 设置总的网络防病毒服务器负责整个控制中心和下属网络的防病毒工作。 防火墙系统深化设计  防火墙分布位置 方案采用六台华为 Quidway174。 SecPath 1000F 防火墙和一台利旧的 NETEYE 千兆防火墙，配置在朝阳教育信息网网络中心的 5 个逻辑地点，构成整个业务网络的防火墙系统。 具体分布连接如下： 1． 在 出口网络中的 Cisco4003 到北京市教育信息网（内网）的千兆链路上 部署一台 SecPath 1000F 千兆防火墙。 对朝阳教育信息网内网进行保护。 2． 在 出口网络中的 Cisco4003 到 Inter 的千兆链路上 部署一台 SecPath 1000F千兆防火墙，对朝阳教育信息网内网进行保护。 同时 Inter 服务器区的 WWW、 MAIL、FTP、 DNS 等对外服务器连接在该防火墙的 DMZ 区。 3．在出口网络中的 Cisco4003 到朝阳区政府公用信息平台的链路上设置一台NETEYE 和一台专用 NAT 设备。 具体连接： NETEYE 放置在出口网络的 Cisco4003到朝阳区政府公用信息平台的传输设备的链路上。 内网卡接 Cisco4003，外网卡接NAT 设备（ MA5200）；专用 NAT 设备（ MA5200）的一个千兆口接 NETEYE，另一个千兆端口与传输设备 OpCity8930 相连。 4．网管网络到核心网的接口处设置两台 SecPath 1000F：每台 SecPath 1000F 的朝阳区教育“校校通”工程深化设计方案（网络中心） 北京北控电信通信息技术有限公司 17 北控电信通BETIT千兆外网卡分别与核心网的两台 Quidway S8512 相连，每台 SecPath 1000F 的千兆内网卡连接到网管网络的 Cisco4003，两台 SecPath 1000F 之间通过 1GE 端口相连，两台 SecPath 1000F 做负载分担 /冗余备份，对网管网络进行保护。 5．数据中心的关键应用服务器区到核心交网的接口处设置两台 SecPath 1000F：每台 SecPath 1000F 的千兆外网卡分别与核心网的两台 Quidway S8512 连接，每台SecPath 1000F 的一块千兆内网卡连接关键应用服务器区的 Cisco6509，两台 SecPath 1000F 之间通过 1GE 端口相连，两台 SecPath 1000F 做负载分担 /冗余备份，对关键应用服务器区进行保护。  防火墙配置 在防火墙设置上我们按照以下原则配置来提高网络安全性： 1）根据总体安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP 数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对内网不必要的、非法的访问。 总体上遵从“不被允许的服务就是被禁止”的原则和“ 由内向外的连接基本允许，但由外向内的访问和连接一定要经过审核”的策略。 2）将防火墙配置成过滤掉以 内部网络地址进入路由器的 IP 包，这样可以防范源地址假冒和源路由类型的攻击；过滤掉以非法 IP地址离开内部网络的 IP包，防止内部网络发起的对外攻击。 3）在防火墙上建立内网计算机的 IP 地址和 MAC 地址的对应表，防止 IP地址被盗用。 4）在防火墙上进行防拒绝服务攻击（ DoS\DDoS）配置。 5）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。 通过对以上 5个地点配置防火墙，并在网管网络中安装一台 防火墙集中管理服务器，对处于不同子网中的多个防火墙进行集中管理和配置， 就组成了朝阳教育信息网的防火墙系统，构成 了整个朝阳教育信息网安全防护的第一道屏障。 防火墙系统连接见朝阳教育信息网网络安全连接图。 网络入侵检测系统深化设计 每台 NISD_1000E 配置 2个 1000BASET标准监控接口，控制中心设在网管网络中的一台服务器上。 朝阳区教育“校校通”工程深化设计方案（网络中心） 北京北控电信通信息技术有限公司 18 北控电信通BETITNISD_1000E 的配置分布如下： 1. 出口网络与核心网之间部署一台 NISD_1000E 2个 GE探头分别配置在出口网络中的 Cisco4003与两台核心交换机 S8512相连。