弱电系统计算机网络子系统

文/陈言虎

1 客户情况简介
        北京市少年宫于1956年1月1日成立，是一家综合性的校外教育机构，隶属于北京市教育委员会。原址位于景山公园北面。目前，少年宫有学生课外活动小组50余个项目，400个兴趣小组，9000余名学员，已经成为北京市教育工作的重要服务支撑部门。
        为了贯彻落实胡锦涛总书记和市委书记刘淇同志关于加快北京市新少年宫建设的指示精神，满足首都广大青少年学生日益增长的课外活动需求和腾退古建的需要，根据市长专题会的决定，建设北京市少年宫新馆。
        少年宫新馆建设地点位于崇文区龙潭湖百果园3号，北京教学植物园院内。建设用地面积1.1公顷，总建筑面积39842平方米。包括艺术类活动区、体育类活动区、绿色科技中心、学生活动中心、排演厅（剧场）、展览中心、地下车库以及职工食堂等附属配套设施等。本次新建包括少年宫的信息化基础平台，网络安全体系以及系统综合运维管理平台。

2 客户问题与需求

2.1 业务需求
        基于少年宫的功能定位，需要充分的利用计算机网络技术和多媒体教学技术。根据少年宫的业务管理需求，要建设大型活动管理系统、教科研管理系统、教务管理系统、人事管理系统、行政办公系统等业务系统，从而提高少年宫自身的管理水平，改进服务，提高效率，更好的为少年儿童服务。
        在少年儿童教育方面充分发挥计算机网络的作用，需要建设多媒体教学系统、课件制作与管理系统、远程视频教育系统、数字化图书馆、VOD视频点播等应用系统。充分利用北京市教育信息网中各区县教委、各重点中小学的多媒体课件资源，实现多媒体课件的资源共享。充分利用北京市重点中小学的优质教育资源，实现远程课堂同步直播。充分发挥互联网的作用，少年儿童和家长在家中即可访问少年宫内的共享资源。

2.2 功能性需求

技术先进的网络系统：北京市少年宫网络基础平台需要承载少年宫内的多媒体教学系统、远程视频教育系统、VOD视频点播系统、数字化图书馆、影视音乐制作、多媒体制作、电脑美术等大量的多媒体业务，这些新兴的多媒体应用对网络的带宽和实时性都提出了很高的要求。
这就要求本次建设的网络基础平台应该是一个安全可靠、技术先进、运行稳定、性能优良的计算机系统，除能满足现在各项业务系统的功能需求外，还应该能够满足未来至少5年内因业务增长而带来的性能需求。

多链路的对外互联系统：北京市少年宫能够充分利用北京市教育信息网中各区县教委、各重点中小学的多媒体课件资源，实现多媒体课件的资源共享，这就要求建设一个高性能、高可靠、高安全的对外互联结构。网络基础平台设计采用千兆带宽连接到北京市教育信息网，实现与各区县教委、各重点中小学的教育资源的共享。拟采用百兆带宽（支持未来升级到千兆带宽）连接到互联网，一方面满足少年儿童和家长在家中就可以访问少年宫内的优质资源，另一方面为便于利用互联网上的丰富资源。

多重的安全防护体系：北京市少年宫网络系统需要连接到互联网，向互联网用户提供服务，将面临蠕虫、端口扫描、带宽滥用、拒绝服务攻击和分布式拒绝服务攻击、零时差攻击、间谍软件等方面的安全威胁。因此需要从网络边界安全、远程接入、终端安全及安全管理体系等多个方面进行全方位的安全防护。

界面友好的综合运维管理平台：综合运维管理平台需要具备对少年宫网络设备、服务器、业务应用系统的集中智能管理，可以让有限的IT运维人员把精力和IT预算投入到最关键的资源的维护和保障中，降低复杂IT环境的管理难度，轻松把握支撑关键业务的网络和系统的运行状态，提升业务系统的运行质量，提升各部门用户的满意度。

2.3 非功能性需求

高可靠、高稳定：信息化基础平台应该具备7×24小时的高可靠高稳定的特性，以保证其承载的所有业务的稳定运行。硬件平台的可靠性需要从硬件平台结构设计和硬件设备选型两个方面入手，采用设备冗余和链路冗余等技术，保证系统整体可用性达到99.9%以上。

结构化、模块化：计算机硬件平台要求采用结构化、模块化、标准化的建设理念，做到界面清晰、接口标准，有效集成。

良好的扩展性：计算机硬件平台要求具有良好的可扩展性，满足未来不断变化的业务支撑。

3解决方案

3.1 基础网络设计
        在本次网络建设中，考虑实际应用和技术的先进性，以保证网络的高速、稳定性、可靠性、高安全、可扩展性为前提，采用区块化、层次化的设计理念，分为核心区、接入区、出口区、安全体系区、网络管理区和IT运维管理区。根据不同区域的角色和服务特征提供相应的服务，部署相应的安全策略；网络的架构采用扁平化架构分为核心层、接入层来达到简化网络、提升网络整体性能的目的。网络拓扑如下图所示：

3.1.1 核心区设计
       根据网络可靠性、稳定性、扩展性、性能上的分析，网络核心选用2台锐捷高性能、高密度、多业务核心路由交换机RG-S12010 数据中心交换机，2台核心设备之间通过4口万兆的线卡，采用双链路万兆连接，提供高速通道。该设备是锐捷网络在业内率先推出的支持下一代数据中心和云计算网络特性的交换机，满足未来各种应用需求，10横插槽设计满足未来3～5年左右少年宫信息化发展的要求，提供15T背板交换带宽，7.68T的交换容量，5700Mpps的二/三层包转发速率，为少年宫业务应用提供高速无阻塞数据交换通道, 是核心交换机的理想选择。
        RG-S12000数据中心交换机在业内率先支持40G和100G标准模块；同时支持业内先进的单板48口万兆模块，能够实现数据中心的无阻塞交换。面对下一代数据中心突发流量，这对每个端口均有256M大缓存配置，可以实现数据200ms缓存，满足数据中心、高性能计算等网络突发流量的要求，同时更加适合云计算网络的Map-Reduced算法。
围绕数据中心网络虚拟化的趋势，采用创新的VSU虚拟化技术将多台高端设备虚拟化为一台逻辑设备，有效实现虚拟机迁移过程中网络不中断，支持802.1Qbg特性保证数据中心虚拟机高性能解决了传统虚拟机交互性能低下的问题，支持VRF虚拟化实现数据中心网络一变多，多业务安全隔离。
        全面支持TRILL协议透明交换技术，可有效简化网络设计，提高网络可扩展性和弹性，并为构建一个大型的虚拟化数据中心网络奠定基础。
       同时，伴随着数据中心融合网络的趋势，RG-S12000系列可为服务器提供FCoE（Fibre Channel over Ethernet）接入和以太网接入服务，从而帮助用户轻松整合异构的LAN和SAN两张网络，减少数据中心建设成本和复杂性。

3.1.2 接入区设计
        考虑到接入信息点集中，同时少年宫的应用多元化，系统大流量高性能的需求，接入层交换机在此次网络建设中具有很重要的作用，接入层交换机全部通过双万兆光纤链路上连至核心交换机，通过冗余链路，保障网络的高可用性。

        接入交换机配置42台48口千兆交换机RG-S5750P-48GT/4SFP，通过万兆多模光纤冗余上联至核心，搭建“万兆骨干，千兆桌面”的网络。还提供POE功能，后续可以灵活扩展无线网络。
        RG-S5700系列交换机是锐捷网络推出的全千兆安全智能三层交换机。通过支持万兆扩展和万兆冗余堆叠，满足了网络流量成倍提高和多媒体业务的迅速增长的需要，特别适合需要高带宽的网络环境中使用。
       在提供高性能、高带宽的同时，S5700交换机提供智能的流分类、完善的服务质量（QoS）和组播应用管理特性，并可以根据网络的实际使用环境，实施灵活多样的安全控制策略，有效防止和控制病毒传播和网络攻击，控制非法用户接入和使用网络，保证合法的用户合理化地使用网络资源，充分保障了网络高效安全、网络合理化使用和运营。
        通过多种内在的安全机制可有效防止和控制病毒传播和网络流量攻击，控制非法用户使用网络，保证合法用户合理化使用网络，如端口静态和动态的安全绑定、端口隔离、多种类型的硬件ACL控制、基于数据流的带宽限速、用户接入控制的多元素绑定等，满足少年宫网络加强对访问者进行控制、限制非授权用户通信的需求。
        通过锐捷安全认证管理平台ESS1000，不仅可实现用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定，有效确认用户身份的合法性和唯一性，更能通过交换机特色硬件动态绑定，保障用户身份始终一致性，避免了用户恶意篡改身份信息进行非法攻击等行为。

3.1.3 架构可靠性设计
        核心S12010采用VSU(交换虚拟单元)技术，并采用独立的线卡专门实现该功能（各司其职），实现两台核心虚拟为一台设备，实现链路切换、核心设备切换延时小于50ms，业务不中断（传统协议MSTP/OSPF会造成1分钟左右的断网，对业务的影响将可能达到十几分钟）。接入层也同样采用双链路上连到两台核心交换机，两条链路可以实现链路的自动切换备份。这样，保证了整个网络主干不存在单点故障。同时，在网络设计过程中都充分预留了备份端口和扩容端口，预防端口故障和为后期网络扩容考虑。

        锐捷VSU虚拟化具有的优势有：
       .简化管理。两台交换机组成VSU以后，管理员可以对两台交换机统一管理，而不需要连接到两台交换机分别进行配置和管理；
       .简化网络拓扑。VSU在网络中相当于一台交换机，通过聚合链路和外围设备连接，不存在二层环路，没必要配置MSTP协议，各种控制协议是作为一台交换机运行的，例如单播路由协议，VSU作为一台交换机，减少了设备间大量协议报文的交互，缩短了路由收敛时间；
       .故障恢复时间缩短到毫秒级。VSU和外围设备通过聚合链路连接，如果其中一条成员链路出现故障，切换到另一条成员链路的时间是50到200毫秒；
       .VSU和外围设备通过聚合链路连接，既提供了冗余链路，又可以实现负载均衡，充分利用所有带宽。

3.2 出口区域设计
       出口是整个网络的“咽喉”，根据少年宫的需求，结合锐捷多年的行业应用经验，此次出口区域从“疏堵控”三个方面进行设计。部署两台高性能的出口路由器RSR 7708，提供强大的路由功能的NAT功能，此为一“疏”；部署流量控制网关RG-ACE，提供深层次和灵活的带宽管理，保证核心关键业务的高效运行，此为一“堵”；部署万兆性能防火墙RG-FW1600-XI和行为审计RG-EG1000M，都为“控”。此外，部署一台网页内容加速RG-W5，提升在流量控制下的用户访问体验，又为一“疏”。通过“疏堵控”结合，建立一个高性能、高带宽保障，高安全防护和上佳用户体验的出口。

3.2.1 高性能路由与NAT
        部署两台高性能的出口路由器RSR 7708，提供强大的路由功能的NAT功能，此为一“疏”。且RG-RSR7708路由器支持内置分布式NAT、IPSec、GRE、L2TP等业务特性；支持流量管理、防攻击、状态防火墙、URL过滤等多种安全特性；提供国际标准的IPFIX报文统计功能，可实现对网络流量的7×24小时不监断的监控，及时发现异常的流量，把故障隐患消灭在萌芽状态，保证网络的健康可靠运行。
        RG-RSR7708万兆核心分布式路由器是锐捷网络公司自主研发，高端路由再创新，重点推出的新一代基于可扩展高性能40G平台的多核分布式高端路由器。定位于IP骨干网、IP城域网以及各种大型IP网络的核心和汇聚位置应用的可信多业务路由器。采用模块化结构设计，全面继承锐捷VCPU,REF,X-Flow技术，完备抗流量攻击能力，完善的QoS机制保障多业务部署；具有很强的可伸缩性、可配置性，支持多种接口，内置全业务特性，将IPv6、BGP、IPSec、MPLS VPN、QoS、组播等技术融合起来。以其高可用性、高性能、多业务、高安全、热拔插和热备份等优势，支撑企业业务运营和承载网络的建设，有效提高网络价值并节约网络建设成本。

3.2.2 灵活的流量控制
        部署流量控制网关RG-ACE，提供深层次和灵活的带宽管理，保证核心关键业务的高效运行，此为一“堵”。
        RG-ACE（Application Control Engine）应用控制引擎是锐捷网络专门为局域网/园区网出口部署设计的网络设备，它不但具有丰富的协议识别能力，还能对每个用户的应用级IP数据流实施分类和控制。RG-ACE以DPI（Deep Packet Inspect，深度包检测）和DFI（Deep Flow Inspect，深度流检测）技术为核心，能够全面识别和控制包括P2P、VoIP、炒股软件、视频/流媒体、HTTP、网络游戏、数据库及中间件等在内的各种应用，从而有效的检测和防止某些应用对带宽资源的非正常消耗，保证关键应用带宽。RG-ACE可以对网络流量、用户上网行为进行深入分析，为用户提供主动、智能、可视的网络应用和流量趋势报表，达到可视、可测、可控、可优化的管理目标。RG-ACE实现流控与认证的融合，可以作为准出网关，实现Web Portal认证，并实现基于身份的实名流控和实名日志。

3.2.3 防火墙安全防护
        部署万兆性能下一代防火墙RG-WALL1600-XI，实现基于用户、资源、应用的访问控制，此为一“控”。
        RG-WALL下一代防火墙采用锐捷网络自主开发的RGOS和先进的HiSpeed算法使得它的高速性能不受策略数和会话数多少的影响；同时，在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。
        RG-WALL下一代防火墙面向法规和人本；基于“人本网络”，实现“智能感知”。能实现基于用户、资源、应用的访问控制。RG-WALL下一代防火墙采用RG-Slab锐捷网络安全研究组新发表的HiSpeed安全处理算法，突破硬件处理器对应用层安全检测的性能瓶颈，能以高性能提供防病毒、IPS、行为监管、反垃圾邮件模块。支持深度状态检测、外部攻击防范、内网安全、流量监控、邮件过滤、网页过滤、应用层过滤等功能，能够有效的保证网络的安全；提供多种智能分析和管理手段，支持邮件告警，支持多种日志，提供网络管理监控，协助网络管理员完成网络的安全管理；支持GRE、L2TP、IPSec和SSL等多种全面的VPN业务，可以构建多种形式的VPN；提供强大的路由能力，支持NAT、静态/RIP/OSPF/路由策略及策略路由；支持双机状态热备，支持Active/Active和Active/Standby两种工作模式以及丰富的QoS特性，充分满足客户对网络高可靠性的要求。

3.2.4 实名制上网行为审计
        部署一台行为审计设备RG-EG1000M，提供完善的管控能力，此为另一“控”。
        EG针对经过出口的数据流、设备和网络攻击进行相关日志信息的记录，并配合WEB实名身份认证，轻松的实现实名日志记录和审计，并且支持远程web查看和检索，为用户事后分析、故障问题追溯、责任到人、审计提供重要实名信息，EG内置企业级SATA硬盘，实现日志本地化存储。

3.2.5 网页内容加速
        部署一台网页内容加速RG-W5，提升在流量控制下的用户访问体验，此为另一“疏”。
        为了提高最终用户的体验，锐捷网络基于“疏堵结合”的理念，推出了RG-PowerCache内容加速系统。PowerCache可以分析用户访问资源的热度，将热点资源缓存在本地。后续用户访问该资源时，直接从本地读取即可，既提高了用户的访问速度，又节省了宝贵的出口带宽。
        RG-PowerCacheW5可以针对WEB网页进行加速,加速用户访问速度数十倍，并且能够节省出口带宽20%-30%。此外，PowerCache还内置了杀毒引擎，支持IPv6，支持万兆扩展，支持云模式等。
        在部署方面，RG-PowerCache能够为您带来三处利益：a）旁路部署，对网络无影响；b）一台硬件设备集成了监控服务器、调度服务器、缓存服务器、管理服务器等多台设备；c）对于最终用户来讲，设备是透明的，除速度飞快之外，没有任何感觉。

3.3 身份准入安全设计
        锐捷网络希望能够从网络接入者的身份、接入主机的健康性以及网络通信的安全性等多方面为用户构建一个全局安全网络。通过部署ESS1000安全防护系统，整体提升了少年宫的安全防范能力，全方位的解决了安全的问题，并且又简化了用户的管理难度。通过ESS1000可以实现以下的功能：
1、身份认证功能
   .基于802.1X协议的身份认证体系；
   .基于用户身份的网络访问权限控制体系；
   .基于包括用户名、密码、IP地址、MAC地址、认证交换机IP、认证交换机物理端口号、主机硬盘序列号等在内的7元素灵活绑定，保障用户身份正确性；
   .用户短消息、修复程序自动下发功能；
   .用户上下线日志功能；
   .用户黑名单功能；
   .基于Web的认证功能（内置ePortal功能，无需配合RG-ePortal产品）；
   .基于无线的身份认证功能；
   .第三方厂商交换机联动功能；
   .定期销户功能。
2、主机端点防护功能
   .Windows补丁强制更新功能（需配合微软WSUS服务器）；
   .杀毒软件联动功能（需配合对应的杀毒软件）；
   .用户端软件安装黑白名单功能；
   .用户端注册表关键键值检测及修复功能；
   .用户端后台服务检测及修复功能；
   .用户端进程检测及强制开启/关闭功能；
   .违规用户自动隔离功能；
   .MAC地址防篡改功能。
3、计算机管理辅助功能
   .客户机进程列表获取功能；
   .主机硬件变动日志功能；
   .用户端软硬件信息学习、统计功能；
   .支持RG-SSO单点登录组件联动功能。
4、网络通信保护功能
   .支持与业界主流IDS产品联动功能；
   .ARP攻击三重立体防御功能；
   .基于网络攻击的自动隔离、阻断功能；
   .攻击日志、报表管理功能。

3.4 综合运维管理设计

3.4.1 综合运维管理设计思想
1、可视化能力
        建设IT运行监控中心的一个关键用途是与大屏幕监控中心配套，实现最佳的展示效果，体现信息化的建设水平和理念高度。因此可视化的效果如何，动态呈现的能力如何，就成为系统和方案选型中的一个核心考虑要素。
2、业务建模能力
        作为每个组织的IT维护工作，都有自己的核心业务，这些核心业务具有不同的重要性，组成结构，服务于特定的部门和用户，我们关注其不同的运行指标，这些个性化的管理需求，能否快速的，通过图形化的建模方式加以实施，并迅速在管理视图上得到反应，是非常重要的一个维度。
        尤其需要避免的，是为了跟随组织的业务变化和IT系统演进，而大量的定制和重复开发，往往带来难以接受的实施周期和后续成本。
        因此，系统可配置性如何，图形化的业务系统架构和监测体系建模功能如何，需要着重考虑。
3、实施周期
        目前有大量的号称基于ITIL的完整的IT运维流程管理产品，囊括了从综合监测到ITIL流程管理的所有方面，这些产品都集成了许多流程组件，工作台组件，知识库组件等，但是我们知道，流程是一个个性化非常强的东西，每个组织都有自己独特的IT管理体系和业务流程，简单的一次性照搬产品化流程系统，容易给我们带来削足适履的麻烦，长期而言可能带来很长的学习曲线和调整，并导致实施和维护成本的上升。
        而我们实施管理平台的目的，无非是为了更好的提升核心业务的维护质量，围绕这个目标，能否有一个有效，清晰，简洁的管理机制，并可以与逐步建设的工作流程通过SOA架构方便的集成，是从实际部署来看，成功率更高，更容易产生效果的建设思路。
4、设备兼容性
        要简化管理，首先要能够全面的管理各种基于IP的IT基础设施，这是一个基础，因此，系统要能够兼容国内各种主流的软硬件产品，包括网络设备，服务器，应用，中间件和环境等，要具有比较良好的网络层和链路层自动发现能力，具有自动发现主流应用和中间件的能力。从而最大化的降低管理人员对管理信息的维护工作量。
5、体系结构的开放性
        当前IT管理环境中，SSO单点登录和与流程管理工作系统，门户等应用的集成，成为常见的需求，而当前良好的集成方式，就是基于SOAP协议的Web Service接口，通过规范标准的接口定义，就可以实现与其他主流门户和流程系统的集成。在集成能力上，因此也是关注的一个重点。

3.4.2 锐捷RIIL综合运维管理系统
        通过高交互、可视化的综合运维管理平台，实现了少年宫内网络设备、安全设备、无线设备、服务器、数据库、中间件等软硬件资源的集中管理。直观友好的图形显示功能、丰富的报表功能、详细的知识库指导功能，让少年宫的系统运维人员更加轻松自如的掌握和管理整个网络。

基于融合开放RIIL综合运维管理平台具有以下创新技术特点：
       1)专业设计的监控中心视图
       .集中监控视图：自有的将关键业务系统以卡片方式进行管理；
       .在同一视图上展现组织的各种关键业务系统运行实时状态；
       .将业务用户，业务系统资源和业务系统纳入统一视图展现；
       .直观体现资源和系统的关联关系，提供各种资源的分类Dashboard。
       .提供可灵活选择的集中监控模板，对关键资源的实时运行态势进行对比性监测；
       .可对不同关键程度的资源提供不同的监测实时性级别，灵活适应不同的管理需求；

       2)多厂商复杂IP网络、系统和应用组件自动发现能力
       .可自动发现和监控多厂商网络设备，服务器，存储，安全设备，UPS，计算机，中间件等IP基础设施，具备强大的多协议物理和逻辑拓扑发现和呈现能力；
       .基于三层路由协议的广域网发现和拓扑呈现能力；
       .基于数据库，Web Service接口的应用层中间件自动发现能力；
       .在自动发现算法上，作为网络基础设施专业厂商，我们对于网络设备的多样性的支持，对于多厂商的协议尤其是二层协议有更深入的理解和支持，除了LLDP外，还包括一些厂商的私有二层协议，比如CDP，HDP等；在信息处理上，我们能够基于标准的协议数据，进行网络链路的流量负载分析，能够根据负载情况进行染色，能帮助用户一目了然的看到异常流量的分布情况；
       .多线程并发发现机制，成倍优化传统拓扑发现效率，适合大型网络的拓扑发现；
       .支持机房的动力和环境的监控。

       3)能性能指标监测和趋势告警
       .可自动进行后台性能指标不间断监测，并根据性能模型实时提示性能变化趋势；
       .内置性能采集引擎，能够灵活的通过复杂公式定义采集指标；
       .可自动后台运行多个并发采集进程，并生成历史性能数据库；
       .可通过自适应算法自动计算业务系统性能基线；
       .可进行图形化的性能数据查询和趋势分析；
       .可根据自定义性能门限生成告警并通知相关管理人员。

       4)关键业务评估和管理体系
       .提供业内先进的面向业务系统的评价指标体系：业务安全等级（风险程度），业务健康度，业务繁忙度；
       .可以从评价指标直接下钻关联到具体的资源实时运行指标，或者对历史运行中的某个时刻进行指标下钻，并获取IT系统运行的某个时间点的快照数据；
       .能够提供图形化的建模工具，根据实际经验和环境，定义个性化的业务运行评估模型；
       .提供基于用户敏感度，业务敏感度和资源敏感度的IT问题-影响程度指标关联体系，帮助管理人员更好的对问题进行排序和优先处理，快速判断问题影响范围和严重程度；
       .提供多业务管理视图，适合在监控中心直观反映关键业务系统的运行态势。

4、使用效果
        此次北京市少年宫项目基于多媒体教学系统、远程视频教育系统、VOD视频点播系统、数字化图书馆等业务需求，采用双核心双链路、千兆到桌面、万兆骨干的组网模式，既满足了现在各项业务系统的功能需求，还可满足预计未来5年内因业务增长而带来的性能需求。
        结合业务的需要，采用千兆接入北京市教育信息网实现与各区县教委、各重点中小学的教育资源的共享，以及百兆带宽连接到互联网的多个对外互联出口。一方面提供了优质教学资源的服务，另一方面方便利用互联网上的丰富资源。
        同时从网络边界安全防护、远程接入、终端安全等多个方面安全措施，保障了整个网络系统和业务系统的安全可靠。
        通过高交互、可视化的综合运维管理平台，实现了少年宫内网络设备、安全设备、无线设备、服务器、数据库、中间件等软硬件资源的集中管理。直观友好的图形显示功能、丰富的报表功能、详细的知识库指导功能，让少年宫的系统运维人员更加轻松自如的掌握和管理整个网络。