升級(jí)在線學(xué)習(xí)網(wǎng)絡(luò)

引言： 某地十年前建成了覆蓋該地所有鎮(zhèn)和二百多個(gè)村居的在線學(xué)習(xí)網(wǎng)絡(luò)，該網(wǎng)絡(luò)是包含有上千臺(tái)終端計(jì)算機(jī)通過(guò)光纖線路組成的在線學(xué)習(xí)城域網(wǎng)。近幾年，各級(jí)教學(xué)平臺(tái)推出了越來(lái)越多的新業(yè)務(wù)，管理部門決定，在充分利用現(xiàn)有基礎(chǔ)設(shè)施資源的情況下，將網(wǎng)絡(luò)升級(jí)，形成橫向連接相關(guān)學(xué)習(xí)系統(tǒng)，縱向連接村居、鎮(zhèn)（街道、鄉(xiāng)）的統(tǒng)一學(xué)習(xí)平臺(tái)。

目前現(xiàn)狀

該地在線學(xué)習(xí)網(wǎng)絡(luò)的組網(wǎng)結(jié)構(gòu)比較簡(jiǎn)單，各個(gè)上網(wǎng)節(jié)點(diǎn)的終端計(jì)算機(jī)分別通過(guò)2M光纖線路接入對(duì)應(yīng)鄉(xiāng)鎮(zhèn)的二層交換機(jī)，二層交換機(jī)通過(guò)100M光纖接入到上級(jí)部門的匯聚層交換機(jī)上，最后租用本地ISP的100M帶寬與Internet網(wǎng)絡(luò)保持連接。每個(gè)鎮(zhèn)的上網(wǎng)接入點(diǎn)只負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)，不進(jìn)行其他任何操作，該地的在線學(xué)習(xí)網(wǎng)絡(luò)機(jī)房使用的核心路由交換機(jī)是Quidway S8500系列產(chǎn)品，整個(gè)在線學(xué)習(xí)網(wǎng)在硬件防火墻的保護(hù)下，連接到因特網(wǎng)上，本地在線學(xué)習(xí)平臺(tái)位于DMZ區(qū)域，而且這個(gè)區(qū)域中還包含教學(xué)資源庫(kù)、在線圖書館服務(wù)器、視頻點(diǎn)播服務(wù)器等。

近幾年，在線學(xué)習(xí)各級(jí)教學(xué)平臺(tái)推出了越來(lái)越多的新業(yè)務(wù)系統(tǒng)，但與之相配套的硬件設(shè)備卻沒(méi)有得到及時(shí)升級(jí)，這就給在線學(xué)習(xí)網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了一些明顯問(wèn)題，這些問(wèn)題主要表現(xiàn)在兩個(gè)方面，一是終端用戶上網(wǎng)時(shí)傳輸性能無(wú)法滿足新業(yè)務(wù)系統(tǒng)的正常工作；網(wǎng)絡(luò)傳輸速度相當(dāng)不穩(wěn)定，快時(shí)能正常訪問(wèn)各種業(yè)務(wù)系統(tǒng)，慢時(shí)一個(gè)網(wǎng)頁(yè)都無(wú)法打開。每個(gè)上網(wǎng)節(jié)點(diǎn)所屬的局域網(wǎng)網(wǎng)絡(luò)頻繁發(fā)生各類網(wǎng)絡(luò)攻擊，嚴(yán)重影響在線學(xué)習(xí)操作的正常進(jìn)行。二是本地在線學(xué)習(xí)平臺(tái)的上網(wǎng)出口只有一條光纖線路，在各個(gè)終端用戶同時(shí)集中收看視頻會(huì)議時(shí)，線路不斷出現(xiàn)掉線現(xiàn)象，即使勉強(qiáng)不掉線，由于帶寬資源十分有限，視頻播放畫面相當(dāng)不流暢，直接影響了會(huì)議收看效果。

升級(jí)目標(biāo)

按照上級(jí)部門的統(tǒng)一規(guī)劃和標(biāo)準(zhǔn)規(guī)范，在充分利用現(xiàn)有基礎(chǔ)設(shè)施資源的情況下，將網(wǎng)絡(luò)升級(jí)、改造成技術(shù)先進(jìn)、邊界清晰、安全可靠、結(jié)構(gòu)合理的本地在線學(xué)習(xí)網(wǎng)絡(luò)，形成橫向連接相關(guān)學(xué)習(xí)系統(tǒng)和部門單位，縱向連接村居、鎮(zhèn)（街道、鄉(xiāng)）的統(tǒng)一學(xué)習(xí)平臺(tái)。該平臺(tái)不但可以允許各上網(wǎng)節(jié)點(diǎn)所在局域網(wǎng)的授權(quán)接入，而且能提供統(tǒng)一的上網(wǎng)出口和安全防護(hù)保護(hù)，還要能夠與上級(jí)在線學(xué)習(xí)網(wǎng)絡(luò)平臺(tái)形成對(duì)接。此外，還需要注重網(wǎng)絡(luò)管理、改善網(wǎng)絡(luò)結(jié)構(gòu)，有效提升在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)承載能力，為各個(gè)系統(tǒng)應(yīng)用提供支撐。升級(jí)、改造后的本地在線學(xué)習(xí)網(wǎng)絡(luò)，將是一個(gè)可靠、安全、穩(wěn)定、易管理、可擴(kuò)展的先進(jìn)網(wǎng)絡(luò)，既可以滿足目前各單位、各部門的高速接入、VPN專網(wǎng)等多種業(yè)務(wù)的發(fā)展需要，又可以滿足全網(wǎng)用戶視頻、語(yǔ)音等新的業(yè)務(wù)的需要。

升級(jí)原則

依照網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)，以及上級(jí)在線學(xué)習(xí)網(wǎng)絡(luò)平臺(tái)的建設(shè)需求，我們采取下面的原則來(lái)升級(jí)、改造現(xiàn)有網(wǎng)絡(luò)。

1.穩(wěn)定原則

合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，選用穩(wěn)定性高的設(shè)備產(chǎn)品，制定可靠網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有很高的容錯(cuò)能力，能最大限度地抵御外界環(huán)境的影響和人為操作失誤的能力，確保整個(gè)在線學(xué)習(xí)網(wǎng)絡(luò)的單一節(jié)點(diǎn)故障，不會(huì)對(duì)整體造成任何影響。骨干網(wǎng)絡(luò)具有較高的網(wǎng)絡(luò)傳輸帶寬，同時(shí)在高負(fù)荷狀態(tài)下，仍然能夠達(dá)到較高的網(wǎng)絡(luò)吞吐能力和傳輸效率，網(wǎng)絡(luò)傳輸延遲低，確保各種數(shù)據(jù)信息的高質(zhì)量傳輸。

2.安全原則

支持系統(tǒng)安全防護(hù)能力，避免在線學(xué)習(xí)網(wǎng)絡(luò)中的各個(gè)業(yè)務(wù)系統(tǒng)被人為攻擊或破壞。特別要具有路由驗(yàn)證、地址轉(zhuǎn)換、虛擬連接、密碼加密、訪問(wèn)策略控制、AAA認(rèn)證、日志等安全功能，確保系統(tǒng)安全運(yùn)行。

3.擴(kuò)展原則

在線學(xué)習(xí)網(wǎng)絡(luò)平臺(tái)的體系結(jié)構(gòu)堅(jiān)持開放型、標(biāo)準(zhǔn)性原則。軟硬件平臺(tái)選取符合國(guó)際標(biāo)準(zhǔn)協(xié)議，有利于以后增加新設(shè)備和新用戶，易于和其他類型網(wǎng)絡(luò)連接，隨著在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的逐步成熟不斷擴(kuò)充和延伸，充分保護(hù)現(xiàn)有設(shè)施。

4.管理原則

對(duì)整個(gè)在線學(xué)習(xí)網(wǎng)絡(luò)應(yīng)能夠進(jìn)行統(tǒng)一的管理和監(jiān)控。對(duì)網(wǎng)絡(luò)的管理可以采用分權(quán)的策略，由各單位、各部門管理各自的局域網(wǎng)網(wǎng)絡(luò)，由本地在線學(xué)習(xí)管理中心統(tǒng)一管理跨部門的網(wǎng)絡(luò)，分配網(wǎng)絡(luò)帶寬、IP地址等網(wǎng)絡(luò)資源。支持QoS功能，能依照在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的要求，提供不同等級(jí)的服務(wù)并確保網(wǎng)絡(luò)服務(wù)質(zhì)量，提供數(shù)據(jù)報(bào)文分類和數(shù)據(jù)擁塞控制以及數(shù)據(jù)流量整形等。

5.先進(jìn)原則

充分考慮到網(wǎng)絡(luò)管理技術(shù)的發(fā)展方向，把目前的成熟技術(shù)和先進(jìn)的網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)結(jié)合起來(lái)，兼顧在線學(xué)習(xí)網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展的趨勢(shì)。

組網(wǎng)結(jié)構(gòu)

針對(duì)當(dāng)前的網(wǎng)絡(luò)現(xiàn)狀和劣勢(shì)，新的組網(wǎng)架構(gòu)采用網(wǎng)絡(luò)設(shè)計(jì)中廣泛采用的三層體系結(jié)構(gòu)來(lái)設(shè)計(jì)，分為核心層、匯聚層和接入層。核心層主要進(jìn)行在線學(xué)習(xí)教學(xué)數(shù)據(jù)的快速轉(zhuǎn)發(fā)，其網(wǎng)絡(luò)結(jié)構(gòu)重點(diǎn)要考慮可靠性和擴(kuò)展性。匯聚層主要負(fù)責(zé)匯集各接入層設(shè)備，擴(kuò)大核心層設(shè)備的端口密度和種類，同時(shí)進(jìn)行三層路由選擇、虛網(wǎng)劃分等。接入層負(fù)責(zé)提供各種類型用戶的接入，將不同位置分布的用戶接入到縣級(jí)在線學(xué)習(xí)網(wǎng)絡(luò)中。在線學(xué)習(xí)網(wǎng)絡(luò)系統(tǒng)從規(guī)模上來(lái)說(shuō)是一個(gè)大型的城域網(wǎng)絡(luò)。網(wǎng)絡(luò)應(yīng)用主要以基于IP的應(yīng)用為主。在線學(xué)習(xí)網(wǎng)絡(luò)采用星型結(jié)構(gòu)，網(wǎng)絡(luò)的核心層位于本地在線學(xué)習(xí)中心機(jī)房，由核心路由器組成。匯聚層由通信運(yùn)營(yíng)商（ISP）的在線學(xué)習(xí)城域網(wǎng)絡(luò)及中心機(jī)房網(wǎng)絡(luò)兩部分構(gòu)成，各級(jí)單位的節(jié)點(diǎn)構(gòu)成了網(wǎng)絡(luò)的接入層，如圖1所示。中心機(jī)房所在大樓內(nèi)的各單位、各部門，通過(guò)大樓內(nèi)網(wǎng)的匯聚層交換機(jī)接入到在線學(xué)習(xí)網(wǎng)的核心層節(jié)點(diǎn)，各個(gè)鎮(zhèn)（街道、鄉(xiāng)）通過(guò)位于通信運(yùn)營(yíng)商機(jī)房?jī)?nèi)的匯聚層交換機(jī)連接到在線學(xué)習(xí)網(wǎng)的核心層節(jié)點(diǎn)。

網(wǎng)絡(luò)改造

為了確保整個(gè)在線學(xué)習(xí)網(wǎng)運(yùn)行的高速、可靠，網(wǎng)絡(luò)的核心層路由器采用雙核心的方式，匯聚層的交換機(jī)分別通過(guò)兩路光纖連接到核心層的兩臺(tái)核心路由器上?？紤]在線學(xué)習(xí)網(wǎng)用戶數(shù)量及數(shù)據(jù)流量將會(huì)非常大，及將來(lái)與上級(jí)在線學(xué)習(xí)網(wǎng)相連后的網(wǎng)絡(luò)流量的增加，在線學(xué)習(xí)網(wǎng)兩臺(tái)核心層路由設(shè)備采用具有較強(qiáng)路由能力及可擴(kuò)展性的路由器產(chǎn)品，此產(chǎn)品屬于高端路由器，采用冗余配置。該路由器主控和交換分離，單主控故障時(shí)不影響業(yè)務(wù)轉(zhuǎn)發(fā)，需具備獨(dú)立的交換網(wǎng)板插槽；支持L2/L3 MPLS VPN業(yè)務(wù)，支持高性能P/PE應(yīng)用，支持三種跨域MPLS VPN方式；支持IPv4、IPv6路由協(xié)議；支持靜態(tài)路由、RIPv1/v2、OSPFv2、BGP、IS-IS、路由策略、等價(jià)多路徑、非平衡鏈路負(fù)載均衡，PIM-DM、PIM-SM、MBGP等路由協(xié)議。在該路由器上配置多口的千兆光纖模塊，用于連接通信運(yùn)營(yíng)商的匯聚交換機(jī)、中心機(jī)房的匯聚交換機(jī)。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

本地核心路由器使用運(yùn)營(yíng)商MSTP專線連接各個(gè)部門和鎮(zhèn)（街道、鄉(xiāng)）的匯聚交換機(jī)，分別使用500M（主線路）、100M(備線路)2條通信鏈路（來(lái)自不同運(yùn)營(yíng)商），這兩條線路在工作狀態(tài)正常的時(shí)候，可以分擔(dān)在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的流量，一旦發(fā)生某個(gè)設(shè)備癱瘓或某條線路掉線現(xiàn)象時(shí)，在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的流量可以自動(dòng)切換到狀態(tài)正常的通信鏈路上。核心層節(jié)點(diǎn)與匯聚層節(jié)點(diǎn)之間采用星形連接，在光纖資源能夠得到充分保證的情況下，每個(gè)核心層和匯聚層節(jié)點(diǎn)有兩個(gè)節(jié)點(diǎn)相連，保證網(wǎng)絡(luò)連接的可靠性。匯聚層設(shè)備與核心層設(shè)備都采用千兆連接，并且支持萬(wàn)兆連接的擴(kuò)充能力；匯聚層設(shè)備采用三層交換機(jī)或中高檔路由器，支持MPLS VPN技術(shù)，同時(shí)能夠作為MPLS VPN中的PE節(jié)點(diǎn)，以方便進(jìn)行虛擬專網(wǎng)的管理。本地核心設(shè)備主要在在線學(xué)習(xí)網(wǎng)的核心位置，核心層主要提供流量的高性能、大容量轉(zhuǎn)發(fā)，提供多業(yè)務(wù)的安全可靠傳送。在核心層全網(wǎng)啟用三層路由化建設(shè)，整網(wǎng)采用IP/MPLS技術(shù)，確保相同的物理平面通過(guò)MPLS VPN技術(shù)，達(dá)到多個(gè)邏輯業(yè)務(wù)承載平面。為了確保整個(gè)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定，在核心層設(shè)備上采取大量可靠性技術(shù)，包括網(wǎng)絡(luò)高穩(wěn)定、設(shè)備高穩(wěn)定、跨域高穩(wěn)定等。在滿足這些基本要求的情況下，還能提供高密度、大容量端口，滿足在線學(xué)習(xí)網(wǎng)絡(luò)的各項(xiàng)功能要求。

在線學(xué)習(xí)城域網(wǎng)設(shè)置接入?yún)^(qū)，采用三層匯聚交換機(jī)用于匯聚約為120個(gè)中心機(jī)房所在大樓內(nèi)、外接入單位，連接一些有在線學(xué)習(xí)需求的單位和部門，其中30家重點(diǎn)單位采用300M帶寬接入本次在線學(xué)習(xí)網(wǎng)，且使用來(lái)自不同運(yùn)營(yíng)商的另外一條100M通信鏈路作為備用線路，這幾十家單位各安裝一臺(tái)接入路由器，實(shí)現(xiàn)單位與在線學(xué)習(xí)網(wǎng)絡(luò)的連接。其他一般單位也采用接入路由器接入，使用50M線路與在線學(xué)習(xí)網(wǎng)絡(luò)對(duì)接，且不使用備用線路。

安全改造

在在線學(xué)習(xí)網(wǎng)絡(luò)出口處，除了進(jìn)行NAT轉(zhuǎn)換功能外，還采取其他一些安全措施，來(lái)保護(hù)整個(gè)網(wǎng)絡(luò)的安全運(yùn)行。在線學(xué)習(xí)系統(tǒng)的安全性取決于能否正確驗(yàn)證用戶或終端的個(gè)人身份，本地在線學(xué)習(xí)教學(xué)業(yè)務(wù)系統(tǒng)將統(tǒng)一使用上級(jí)在線學(xué)習(xí)CA認(rèn)證系統(tǒng)。部署上網(wǎng)行為審計(jì)設(shè)備，實(shí)現(xiàn)對(duì)在線學(xué)習(xí)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行嚴(yán)格管理，達(dá)到網(wǎng)絡(luò)訪問(wèn)行為記錄和數(shù)據(jù)流量管理功能。本地在線學(xué)習(xí)中心服務(wù)器群與在線學(xué)習(xí)網(wǎng)匯聚設(shè)備之間安裝部署硬件防火墻，巧妙通過(guò)防火墻的安全機(jī)制，來(lái)有效避免非法攻擊，保證對(duì)在線學(xué)習(xí)網(wǎng)絡(luò)運(yùn)行正常。各部門、各單位局域網(wǎng)接入本地在線學(xué)習(xí)網(wǎng)時(shí)，也通過(guò)定義防火墻安全規(guī)則，加強(qiáng)對(duì)局域網(wǎng)和在線學(xué)習(xí)網(wǎng)的安全保護(hù)。將VPN設(shè)備的在線學(xué)習(xí)內(nèi)外網(wǎng)IP地址映射，在因特網(wǎng)接入防火墻上，映射為合適的公網(wǎng)地址和網(wǎng)絡(luò)端口。在對(duì)應(yīng)防火墻設(shè)備上，啟用SSL加密流量安全測(cè)試功能，對(duì)進(jìn)出在線學(xué)習(xí)網(wǎng)絡(luò)的SSL VPN加密訪問(wèn)流量進(jìn)行更進(jìn)一步的追蹤和監(jiān)控。部署入侵檢測(cè)系統(tǒng)（IDS），實(shí)現(xiàn)對(duì)在線學(xué)習(xí)網(wǎng)絡(luò)或相關(guān)業(yè)務(wù)系統(tǒng)中活動(dòng)狀態(tài)的監(jiān)控和檢測(cè)，要是探測(cè)到在線學(xué)習(xí)網(wǎng)絡(luò)中的可疑行為或惡意攻擊，IDS便可做出及時(shí)的報(bào)警和響應(yīng)，甚至可以調(diào)整防火墻的配置策略，與其進(jìn)行聯(lián)動(dòng)，阻斷惡意的入侵。

安裝部署抗DDoS設(shè)備，實(shí)現(xiàn)對(duì)在線學(xué)習(xí)網(wǎng)絡(luò)攻擊精確實(shí)時(shí)的識(shí)別、阻斷和限制，安裝部署IPS設(shè)備，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用層的攻擊和防護(hù)。部署漏洞掃描系統(tǒng)，對(duì)在線學(xué)習(xí)網(wǎng)絡(luò)進(jìn)行全面掃描、檢查，查找其中是否有可被黑客利用的漏洞，對(duì)在線學(xué)習(xí)教學(xué)系統(tǒng)安全狀況進(jìn)行評(píng)估、分析，同時(shí)對(duì)掃描發(fā)現(xiàn)到的問(wèn)題提出解決修補(bǔ)建議，從而提高在線學(xué)習(xí)系統(tǒng)安全性能的過(guò)程。為了方便工作人員的管理，在本地在線學(xué)習(xí)中心機(jī)房安裝部署一套漏洞掃描系統(tǒng)，對(duì)整個(gè)遠(yuǎn)程網(wǎng)絡(luò)進(jìn)行定期或不定期的安全掃描。

在線學(xué)習(xí)網(wǎng)絡(luò)建立授權(quán)管理系統(tǒng)，負(fù)責(zé)登記、增加、刪除、修改、審核、維護(hù)各上網(wǎng)用戶的屬性，建立屬性庫(kù)，用LDAP來(lái)管理所有上網(wǎng)用戶的屬性。上網(wǎng)人員通過(guò)嚴(yán)格的身份認(rèn)證登錄核心網(wǎng)后，從屬性庫(kù)中提取屬性證書，根據(jù)屬性證書訪問(wèn)數(shù)據(jù)資源，用戶不需要再次進(jìn)行身份認(rèn)證。用戶按部門、職位、工作等分權(quán)限訪問(wèn)。在在線學(xué)習(xí)網(wǎng)絡(luò)安裝部署安全審計(jì)系統(tǒng)，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)內(nèi)部所產(chǎn)生的審計(jì)數(shù)據(jù)；記錄所有用戶對(duì)重要設(shè)備、數(shù)據(jù)庫(kù)的操作行為；采用數(shù)據(jù)挖掘技術(shù)對(duì)收集到的數(shù)據(jù)進(jìn)行智能分析，對(duì)安全隱患做出預(yù)測(cè)，并能采取相應(yīng)的防范措施。審計(jì)跟蹤也是在線學(xué)習(xí)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)安全解決方案中重要的組成部分。審計(jì)是記錄用戶使用在線學(xué)習(xí)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)的過(guò)程，它是提高安全性的重要工具。它不僅能夠識(shí)別誰(shuí)訪問(wèn)了在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)，還能指出該系統(tǒng)被怎樣地使用。對(duì)于確定是否有在線學(xué)習(xí)網(wǎng)絡(luò)攻擊的情況，審計(jì)信息對(duì)于確定問(wèn)題和攻擊源很重要，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。另外，通過(guò)對(duì)安全事件的不斷收集與積累并加以分析，有選擇性地對(duì)其中的某些站點(diǎn)或用戶進(jìn)行審計(jì)跟蹤，以便為發(fā)現(xiàn)可能產(chǎn)生的破壞性行為提供有力的依據(jù)。