《广西农村党员现代远程教育项目集成方案.docx》由会员分享,可在线阅读,更多相关《广西农村党员现代远程教育项目集成方案.docx(20页珍藏版)》请在三一办公上搜索。
1、广西农村党员现代远程教育项目集成方案2008年1月29日目 录第一章项目概述11.1项目概述11.2项目实施范围1第二章平台结构22.1整体结构描述22.2区级平台结构32.3市级平台结构42.4县级平台结构42.5平台承载网52.6设备分布5第三章路由及策略规划6第四章IP地址规划及VLAN ID规划64.1IP地址与VLAN ID分配原则74.2IP地址分配表7第五章设备命名规划75.1设备命名规范75.2设备标签规范9第六章网络安全96.1广播抑制96.2防攻击策略96.3平台系统安全要求106.4设备管理要求10第七章项目管理与工程实施137.1项目组结构及职责137.1.1项目组结构
2、137.1.2项目组成员职责147.2工程进度计划157.3工程阶段划分157.4工程实施172广西农村党员现代远程教育项目集成方案第一章 项目概述1.1 项目概述开展农村党员干部现代远程教育,是以胡锦涛同志为总书记的党中央与时俱进、高瞻远瞩作出的一项重大决策,具有十分重大的意义。首先,这是推动农村党员干部教育培训从手段到内容全面体现时代性、把握规律性、富于创造性的一项战略举措。其次,这是 建立“让干部经常受教育、使农民长期得实惠”机制得一个有效载体。第三,这是用信息化带动农业产业化和农村现代化的一条重要途径。总之,这对于农村兴起学 习贯彻“三个代表”重要思想的新高潮,加强党的建设,提高农村党
3、员干部素质、促进农民增收致富,加快农村信息化、现代化建设,解决由城乡信息不对称、教育机会不均衡等因素所导致的城乡居民收入严重失衡等问题,都具有长远的战略意义。广西农村党员干部现代远程教育基础设施建设以电信模式为主,卫星模式为辅,计划用3年时间全面完成全区16754个农村党员干部现代远程教育终端接收站点以及自治区、市、县三级播出平台的建设。本次项目的主要建设内容包括:1个自治区级播出平台、14个市级播出平台、111个县(区)播出平台、 14504个电信模式终端接收站点和2250个卫星模式终端接收站点,传输网络采用广西电信宽带网。1.2 项目实施范围根据要求本次项目负责自治区、市、县平台整个网络的
4、规划、与平台承载网络提公司之间的协调和各级平台的集成实施工作,集成设备及软件包括:硬件部分软件部分HP服务器卫星数据编码软件DELL磁盘阵列节目制作转换软件CISCO交换机节目检测软件曙光防火墙及IDS中心资源库管理软件dell计算机节目运营平台软件集中远程控制系统党员远程教育信息管理系统软件直播编码器图文信息服务软件卫星接收系统图文信息采集软件高清非编系统网站信息发布与管理软件多媒体资源管理系统直播转发软件Windows 2003 Server中文企业版Windows XP 中文专业版 4套Redhat Linux Advanced ServerOracle 10g for linux第二章
5、 平台结构2.1 整体结构描述该项目平台采用三级结构,区级平台+地市级平台+县级平台。自治区平台包括卫星接收系统、节目格式转换系统、节目检测系统、节目分发系统、图文电视网站、教学管理系统、多媒体资产管理系统、自治区级信息管理系统、安全保障系统、网络交换系统和集中远程控制管理系统和自治区级辅助教学网站;市级平台包括:节目格式转换系统、节目检测系统、节目分发系统、播出管理系统、安全保障系统、网络交换系统和集中远程控制管理系统和教学管理客户端;县级平台包括:节目点播系统、视频直播系统、网络交换系统和集中远程控制管理系统。自治区、市、县三级平台各系统均托管在电信IDC机房,整个平台架构如下:2.2 区
6、级平台结构2.3 市级平台结构2.4 县级平台结构2.5 平台承载网用户与平台之间流量承载采用广西电信的ip城域网进行承载,平台之间跨越城域网的流量采用CN2网络,中国电信的CN2网络是一张高可靠性、高带宽网络,专门用户大客户用户流量的承载。各地市城域网经过每年的扩容改造,现在已经是一张高带宽、高可靠性的网络,能够为用户提供相应的QOS保障和安全,根据本次项目视频的需要,电信城域网的接入为用户提供2M的带宽保障。平台提供1GE以上的带宽保障。2.6 设备分布在本次项目中大部分设备是托管在电信各级IDC机房,少部分设备在各级组织部机房。具体设备分部情况如下表:设备安装表平台级别设备安装地点设备类
7、型设备型号设备用途设备高度设备数量备注区级平台区IDC机房交换机设备汇聚防火墙内外网安全隔离服务器IDS数据行为分析存储数据存储KVM设备服务器管理区组织部机房交换机设备汇聚防火墙内外网安全隔离服务器PC机市级平台市IDC机房交换机设备汇聚防火墙内外网安全隔离服务器IDS数据行为分析存储数据存储KVM设备服务器管理市组织部机房交换机设备汇聚服务器PC机县级平台县IDC机房交换机设备汇聚服务器KVM设备服务器管理市组织部机房交换机设备汇聚服务器PC机第三章 路由及策略规划广西电信的城域网及CN2提供ip层的路由传递,该项目各级平台的视频采用单播方式进行传送,考虑到用户在近段时期有上互联网的需求以
8、及用户量大的情况,整个传送网络不采用VPN方式,广西电信的城域网以及CN2骨干网只提供IP路由可达,视频需求相应丢包、时延和抖动的QOS保障,在平台接入端提供GE带宽的保障,在用户接入端提供2M的接入带宽保障。第四章 IP地址规划及VLAN ID规划4.1 IP地址与VLAN ID分配原则IP地址分配既要考虑到扩充,又要能做到连续;尽量给每个部门或业务分配连续的IP地址空间,并为将来的网络扩展预留一定的地址空间,以此减少网络的IP路由表的路由数目,减少网络路由的收敛时间,提高网络性能,增加网络的可靠性。IP地址的分配建议采用VLSM技术,保证IP地址的利用率;采用CIDR技术,可减小路由器路由
9、表的大小,加快路由器路由的收敛速度,也可以减小网络中广播的路由信息的大小。针对于该项目,为了提高网络的安全性,避免互联网对服务器进行攻击,建议区、市级平台网络采用私有地址,对于需要外部访问的服务器,采用NAT技术来实现外部对服务器的访问,县级平台直接采用公网地址访问。为了实现对业务的细分,以及提高网络的性能,需要采用不同VLAN ID 的来进行部门或业务区分,便于业务的开展和管理,因此有必要对VLAN ID 进行统一规划和使用。序号VLAN范围VLAN用途110-99设备互联使用2100-200业务使用4.2 IP地址及VLAN分配表第五章 设备命名规划5.1 设备命名规范本次项目中涉及到的设
10、备有服务器、交换机、防火墙、IDS以及相关的控制设备等。为了以后管理的方便,设备命名需有一定的规范性。采用设备命名由设备简称、型号、配线间编号等部分组成。GX 平台编码 - 设备简称 - 设备型号 设备相对编号解释如下:GX代表“广西”广西农村党员远程教育系统平台网络;平台编码根据各级平台信息进行编号,参见平台编号表;设备简称RT:路由器,SW:交换机等,见设备简称对应表;设备型号为IBMX3850、HP380、S5626C等;设备相对编号为该种设备唯一性标识,从01开始编号。平台编号表序号平台平台编号备注1自治区平台ZZQPT2南宁市平台NNSPT3柳州市平台LZSPT15河池市平台HCSP
11、T16武鸣县平台WMXPT17隆安县平台LAXPT126东兰县平台DLX平台设备简称对应表序号设备设备简称对应备注1服务器SRV2防火墙FW3交换机SW4入侵监测IDS5远程管理系统KVM6存储系统STG7编码器BM5.2 设备标签规范本次项目设计设备的标签规范建议如下:设备名称防火墙用户单位广西农村党员干部现代远程教育项目集 成 商中国电信集团系统集成有限责任公司安装日期2008-03-15系统设备标识GXNNSPT-FW-NFGW400001管理IP地址202.112.220.5/27售后服务0771-2176882 800-879-1688第六章 网络安全6.1 广播抑制广播报文会发送给
12、特定网段内的所有主机,每台主机都会对收到的报文进行处理,做出回应或丢弃的决定,其结果是既消耗网络带宽又影响主机性能。广播风暴抑制可以限制广播流量的大小,对超过设定值的广播流量进行丢弃处理。建议在交换机设备启用广播风暴抑制功能,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,从而有效地抑制广播风暴,避免网络拥塞,保证网络业务的正常运行,提高了网络的可靠性。建议广播抑制比设置为3550。6.2 防攻击策略本次项目的防火墙设备提供非常丰富的防攻击特性: Smurf攻击防范功能 ICMP重定向报文攻击防范功能 ICMP不可达报文攻击防范功能 地址扫描攻击
13、防范功能 端口扫描攻击防范功能 带路由记录选项IP报文攻击防范功能 Tracert报文攻击防范功能 Ping of Death攻击防范功能 IP分片报文攻击防范功能 超大ICMP报文攻击防范功能 通过配置ACL策略来过滤病毒和非法接入功能来保护内网免受恶意攻击,保证内部网络及系统的正常运行。6.3 平台系统安全要求整个平台系统要求开放对外开放:1、在图文浏览方面要求开放HTTP、HTTPS协议。2、在视频点播方面要求开放RTSP、RTCP、RTP协议。3、在视频直播方面,由于采用单播方式,因此与视频点播要求一样,开放RTSP、RTCP、RTP协议。4、在平台管理方面,要求开放SNMP,KVM系
14、统需要的端口。6.4 设备管理要求设备管理的安全是一个重要的环节,应对设备本身基于以下的安全基线来保证网络安全: 鉴别和认证 访问控制 审计和跟踪 内容安全 冗余和恢复具体地讲,本项目涉及到的防火墙、ISD、交换机设备应在以下各方面保证网络安全: 对于远程登陆,必须设置相应的ACL,限定可远程登陆的主机IP地址范围,建议采用支持加密的登陆方式SSH,确保所有登陆服务的位置都有口令保护,确保AUX和Console口都有EXEC口令,口令使用MD5加密 。对于必要的协议提供命令行方式的VTY连接,VTY只接受来自可信任的IP地址的连接,需要设置VTY连接超时。开启日志功能,关闭不需要的服务。 对S
15、NMP协议,确保使用SNMP版本2或以上,允许对MIB库进行读写操作的主机也要通过ACL设置限定在指定网段范围内,同时MIB库进行读写密码必须设定为非缺省值。各种密码必须为健壮口令,并定期进行更换。确保受权使用SNMP进行管理的主机限定在指定网段范围内。 对用户操作进行审计,用户分级分权设置帐号来对设备进行安全管理:将帐号分成两级,第一级只具备登陆进行查看配置功能;第二级属于管理员级别,能对设备进行配置操作。本项目涉及到的服务器应在以下各方面保证网络安全:由于本次绝大部分的服务器操作系统平台为RedHat linux,针对主机系统的安全建议如下:1、Accounts检查# less /etc/
16、passwd grep :0: /etc/passwd注意新的用户,和UID,GID是0的用户2、Log检查注意“entered promiscuous mode”注意错误信息3、Processes检查# ps -aux注意UID是的# lsof -p 可疑的进程号察看该进程所打开端口和文件4、Files检查# find / -uid 0 perm -4000 print# find / -size +10000k print# find / -name “.“ print# find / -name “. “ print# find / -name “. “ print# find / -n
17、ame “ “ print注意SUID文件,可疑大于,和空格文件5、Rpm检查# rpm Va输出格式:S File size differsM Mode differs (permissions)5 MD5 sum differsD Device number mismatchL readLink path mismatchU user ownership differsG group ownership differsT modification time differs注意和这些相关的 /sbin, /bin, /usr/sbin, and /usr/bin平时养成安装第三方文件时che
18、ckMD5的习惯,运行的时候会出很多或者missing的提示,如果不是上面几个目录的,不用太注意。6、Network检查# ip link | grep PROMISC正常网卡不该在promisc模式,当然安全server除外,否则可能是有人入侵在sniffer# lsof i# netstat nap察看不正常打开的TCP/UDP端口,需要注意# arp a7、Schedule检查注意root和UID是的schedule# crontab u root l# cat /etc/crontab# ls /etc/cron.*8、不开没有的服务进程和端口,登录采用SSHv2进行登录。9、注意采用
19、Linux自身的防火墙软件IPTABLES来维护本机的安全,iptables的安全策略需要根据该服务器的具体功能进行制定,我们将会同软件提供商一起,针对各台服务器具体功能及提供的具体服务情况进行安全策略的制定。10、启用SeLinux功能,提升linux自身的安全等级。11、及时根据RedHat厂家的安全更新通知,对系统打上安全补丁,避免发现的漏洞被其他人利用。12、linux的系统用户口令需要满足相关的规范要求,避免太短或太简单的口令被暴力破解,从而入侵服务器。13、linux启动的Grub同样需要设定进入密码,避免无关人员进入机房重启linux服务器,从Grub启动管理器进入系统的单用户模
20、式,从而掌控该台服务器。第七章 项目管理与工程实施7.1 项目组结构及职责7.1.1 项目组结构本项目由远程办相关领导组成项目领导组;项目管理组由监理公司、电信系统集成公司、威克姆公司组成,电信系统集成公司、威克姆公司分别指派一名具有良好技术背景、三年以上相关项目丰富项目实施经验的高级管理人员作为本项目的项目经理,负责项目的协调管理;电信系统集成公司、威克姆公司分别指派一名具有良好技术背景和丰富项目实施经验的管理人员,作为该项目的技术经理;电信指派四个项目管理丰富的人担任片区项目经理;各相关单位出相应人员组成实施小组。项目计划按照四个片区来进行实施,南宁片区包括:南宁、崇左、百色;柳州片区包括
21、:柳州、来宾、河池;玉林片区包括:玉林、贵港、北海、钦州、防城;桂林片区包括:桂林、梧州、贺州。每个片区计划分两组同时进行实施。7.1.2 项目组成员职责(1)项目领导组 项目领导组由远程办相关人员组成,负责贯彻有关方针政策,负责项目的总体指挥、调度、沟通、综合及决策项目推动事宜。(2)项目组成员职责项目管理组由监理公司、电信系统集成公司、威克姆公司组成。负责该项目实施的具体组织和管理,制作详细的项目实施方案,并在实施过程中及时动态地调整项目整体计划,提高工作效率,保证实施进度;给各个现场实施小组分配任务,并以天为单位随时监控每个小组的实施情况,控制项目进度。接受监理投诉和协调用户需求的变化,
22、及时反馈制订应急计划,并报项目领导组和用户项目实施负责人。在小组中具体分工如下:监理公司负责整个项目实施的监督,及时反馈向业主反馈项目情况以及向项目组传达业主对项目的意见和建议,负责项目设备验货的组织,审核开工报告、施工组织设计、技术方案、进度计划和施工质量,负责项目验收的组织。电信系统集成分公司负责该项目实施的具体组织和管理,控制项目进度作为项目集成方,负责了解业务需求,在各设备提供商的配合下制作详细的项目集成、实施方案,制定项目实施进度计划,组织项目实施并监控项目的实施进度,并在实施过程中及时动态地调整项目整体计划,提高工作效率,保证实施进度,给各个现场实施小组分配任务,并以天为单位随时监
23、控每个小组的实施情况,接受监理投诉和协调用户需求的变化,及时反馈制订应急计划,并报项目监理和项目实施成员。配合监理完成项目的验收工作。负责项目中硬件设备的安装,网络的连接以及相关网络设备的配置。威科姆公司威科姆公司负责配合电信系统集成制定平台有关的技术方案,负责所提供设备运送到业主制定地点和验货,负责所提供设备系统软件、应用软件的安装和联调测试工作,以及作为设备供应商在工程界面中应尽的职责与义务。曙光公司曙光公司公司负责配合电信系统集成制定所提供安全设备有关的技术方案,负责所提供设备运送到业主制定地点和验货,以及提供和解决在实施中设备遇到的技术问题和故障。CISCO公司公司负责配合电信系统集成
24、制定所提供设备有关的技术方案,负责所提供设备运送到业主制定地点和验货,以及提供和解决在实施中设备遇到的技术问题和故障。KVM公司公司负责配合电信系统集成制定所提供设备有关的技术方案,负责所提供设备运送到业主制定地点和验货,以及提供和解决在实施中设备遇到的技术问题和故障。电信运营商负责提前准备好托管在电信机房中设备的安装环境以及相应的传输链路,配合完成平台之间底层网络的调试工作。远程办及各地市组织部负责提前准备好设备的安装环境,配合实施组的实施工作,负责协调和解决工程中需要远程办及各地市组织部配合的所有事宜。7.2 工程进度计划工程进度计划详见附件:工程进度计划7.3 工程阶段划分从整体上将工程
25、实施分为六个阶段。下面我们逐个阐述,各个阶段的工作描述。一、工程前期准备阶段工程前期准备阶段主要包括三方面的工作:一、电信系统集成分公司对农党项目的业务结构、规模、设备厂家的功能特性,电信的承载网络进行深入了解,在设备厂商的配合下提出项目集成技术方案以及集成实施方案和设备配置模板;综合考虑各方面因素制定项目的工程进度计划,成立工程项目组,完善项目实施需要的各方联系通讯录。二、各设备厂家进行项目需要的设备准备,并按照项目进度计划发货到客户指定地点。三、电信运营商按照项目计划准备项目托管设备的机房环境和需要的传输链路;业主按照项目计划准备设备的机房环境。二、新设备安装、调测阶段该阶段的实施前提条件
26、:1、各节点采购设备都已运输到达现场;2、机房配套设备已经齐全、电源系统具备、所需传输链路已经调通,机房已经具备施工条件。主要根据工程进度计划完成项目新增设备的安装、调测工作,保证县平台能够与市平台之间通讯、市平台能够与区平台之间通讯,放在客户端的系统管理平台能够托管在电信机房的平台设备之间正常通讯,保证各级平台设备能够远端管理,按照各级测试规范测试通过。三、业务测试在完成全区的各级业务(区、市、县)平台安装后,在区中心平台对全区的各级平台进行检测,测试业务是否全部正常,平台管理是否正常。确保下一阶段业务的开展能够顺利进行。四、初验阶段在全区各级平台运行正常的情况,按照业主的要求进行项目的初验
27、。五、试运行阶段初验完成后,整个平台进行试运行,进行用户终端业务开展,测试平台的性能和功能稳定性。六、终验阶段经过一个月左右的试运行,用户平台能够正常运行,满足业务开展的需求。进行项目的最终验收。7.4 工程实施本次工程整体为新增设备的搭建工程,所有设备均为新增设备,在工程具体实施上将先完成工勘后,在当地机房条件合适的情况下开始工程施工,对于没有完成机房环境或不具备设备安装条件的节点。将暂缓施工,到所有环境要求满足后,再开始施工。具体各节点实施详见各节点实施方案。具体步骤如下:1、各设备提供商按照合同要求准备项目的设备,并按照项目要求运送到指定地点。2、机房(电信托管机房和业主机房)工勘,完成相应环境准备工作3、电信运营商根据项目需求准备相应的传输链路。4、针对工勘结果完善实施方案,完成最后工程施工准备工作5、按照施工进度计划进行设备开箱验货,清点设备件数6、按照施工进度,在机房机房环境和传输链路都具备条件的情况下,在预定时间内完成设备上架、加电、调测工作7、根据实施调测报告内容进行各项检测,并填写报告,由各方签字8、平台整体测试运行9、项目初验10、平台试运行。第18页中国电信集团系统集成有限责任公司广西分公司
