《网络中心深化设计方案2.doc》由会员分享,可在线阅读,更多相关《网络中心深化设计方案2.doc(28页珍藏版)》请在三一办公上搜索。
1、网络中心建设部分深化设计方案一.网络中心深化设计31.业务网的深化设计31.1应用需求分析31.2业务流量需求分析31.2.1外网流量需求分析31.2.2内网流量需求分析31.3各功能区块的配置与设备利旧51.4网络拓扑结构图91.5交换设备安装与调试101.6原有网络的割接111.7IP地址规划深化设计111.8交换设备以及计算机系统时间同步121.9时间同步方案示意图132.安全系统深化设计方案142.1安全系统需求分析142.2防火墙系统深化设计152.3网络入侵检测系统深化设计162.4网络漏洞扫描系统深化设计172.5网络防病毒系统深化设计172.6朝阳区教育信息网网络安全拓扑图18
2、3.服务器存储系统的深化设计193.1需求分析193.2服务器的安装与功能分配193.3服务器集群的配置213.4存储系统的深化设计223.5数据备份系统的安装与配置243.1服务器存储系统结构拓扑图25二.网络中心工程的组织与实施19一. 网络中心深化设计1. 业务网的深化设计1.1 应用需求分析业务网(IP网)是承载于传送网上的数据网络,根据朝阳区教育“校校通”工程建设的总体规划,在传送网的骨干层有五个核心节点,利用10G带宽的链路构建核心主干网络。而业务网的数据中心只有一个,位于教委的信息中心,因此教委的信息中心便要承担整个朝阳教育信息网的数据分析、业务处理和安全防护的重担。兼具传送网的
3、骨干层核心节点和业务网数据中心为一身的教委信息中心注定成为本次业务网建设中的重中之重。1.2 业务流量需求分析我们根据以往校园网建设经验,并结合本工程的具体需求首先对朝阳教育信息网业务网的流量需求作如下分析。朝阳教育信息网业务流量主要分为两个方面:一方面为网络内部的FTP服务、VOD视频点播、视频会议、资源库调用、远程教学、内部监控、内部公文传递等业务应用,这是相对主要的业务流量。另一方面,Internet互联网出口的浏览查询应用,与区信息平台的公文传递应用这是相对次要的业务流量。1.2.1 外网流量需求分析针对上述需求,我们首先分析处于次要地位的互联网浏览、上传下载数据以及电子邮件等业务的流
4、量。建设Internet出口目的是为网络用户提供必要的互联网浏览和查询功能,出现大容量的数据上传、下载的机会相对较少,因此根据以往的经验,通过100M带宽连接Internet就可以满足需要。朝阳教委与区政府的公共信息平台之间的流量主要是些日常的公文传递,不会占用大量的带宽,所以在区公共信息平台出口上的流量也不会太大。1.2.2 内网流量需求分析目前朝阳区教育信息网上的应用大致分为:网站发布、社会教育及学校及学生家长沟通、FTP服务、系统内部的电子邮件、教育管理信息库CMIS、IC卡应用系统、网络视频会议、网络视频教学系统、IP电话应用(VOIP)、视频点播、资源库调用等应用,我们对以上流量进行
5、分析,将这些流量按照学校局域网内部流量、通过教委数据中心的流量、校间流量来分类。其中学校局域网内部流量不影响整个数据平台的流量,不予以分析现有的应用中,以一个标准学校为例,将每个应用的流量分布情况分析如下:现有应用通过教委的流量校间流量网站发布/社会教育及学校及学生家长沟通有无教委FTP服务有无系统内部的电子邮件系统有无VOD视频点播有无教育管理信息库CMIS有无IC卡应用系统有无网络视频会议系统有有教委的视频点播系统有无IP电话系统有有教委的资源库应用系统有无从上表分析,我们可以看出在朝阳区教育信息网中,对于整个网络而言,绝大部分的数据流量都集中在学校与教委之间。因此这是一个典型的业务集中型
6、网络结构。根据上述的业务分析,我们提出将业务网(IP网)进行简化,由传统的三层网络结构简化为以教委信息中心核心网络为骨干层、其余接入单位统一划入接入层范畴的二层结构。之所以采取这样的网络拓扑结构主要基于如下考虑,现有的朝阳区教育系统的主要业务应用情况和接入平台(mstp接入)的实际情况很符合二层的网络拓扑结构,二、三层组网都是很典型的组网应用,而目前网络结构更有扁平化的趋势,因为二层网络具备易管理、易控制、性能高(因为少了一层设备)等优点。 在这样的网路结构中,骨干层设备负责完成网络各接入节点之间的互联,完成高效的数据传输、交换及路由分发。提供流量控制和用户管理等多项功能,提高整个网络的可靠性
7、和扩展性。接入层设备提供各种标准接口将数据通过MSTP传输网络上传到骨干层设备中,完成基本的业务系统之间的隔离和安全性控制、认证管理等功作。这样的结构主要便于集中管理和维护,所有学校的网上行为都将在教委信息中心有效的管理之下,同时将故障点集中在教委信息中心,当出现单点故障时可以就近解决问题。当然扁平的二层结构对核心交换机的性能要求很高,因此必须保证核心交换机安全可靠的运行。作为朝阳区教委的核心设备85是一款高端的交换设备,交换容量720G(S8512),支持vlan4K个,acl条目数4k条,在性能上完全可以满足实际需求。综上所述扁平的二层网络最突出的优点是简化网络结构,方便管理和维护,以及节
8、约宝贵的项目资金。核心层设备根据需求应满足万兆级速率的连接,同时应该具备大容量的包吞吐率,支持大密度大容量接口,为了实现最高的可靠性,应提供两台核心路由交换机互为冗余备份,对于关键的板卡比如核心引擎以及供电电源也采用双板卡冗余。而接入层设备可根据校园网建设的实际情况分为三层交换机和二层交换机,对于有三层交换机的学校可以启动三层路由功能,将网络风暴控制在学校内部,而通过静态路由访问骨干层,对于拥有二层交换机的学校,据我们调研学校并不多,可考虑更换三层设备,或者将这些学校单独划分为不同的VLAN以实现隔绝网络风暴的功能。1.3 各功能区块的配置与设备利旧网络中心按照功能划分为若干区块,即出口网络区
9、块、主核心交换区块、关键应用服务器区块、大流量数据应用服务器区块、网管网络区块、接口网络区块等。出口网络区块:朝阳区教育信息网的出口有两个:即北京市教育信息网和朝阳区政府公用信息平台。主要出口为北京市教育信息网,辅助和备份出口为朝阳区政府公用信息平台出口(即连接到朝阳区信息办的链路)。两个出口均连接到出口网络中的利旧设备Cisco6506交换机上(网络割接之前可用性能相近交换机替代)。具体出口连接说明如下:一、 北京市教育信息网出口1、朝阳区教育信息网到北京市教育信息网总共一条物理链路,市教委会放置两台设备在朝阳中心,Cisco 7609Sup720Cisco Catalyst 4506 Su
10、p V ,朝阳上联的设备为Cisco7609 Sup720,具体端口1000Base-SX和1000Base-T都可以,但只有一个接口,不分内网和Internet端口。2、内网流量和Internet出口流量通过上述的统一线路和端口进行传递,Internet流量的质量由市教委统一的带宽管理设备进行管理,从而保证朝阳区的Internet带宽需求。3、朝阳出口设备不需要进行NAT。为保证朝阳内部网络和大网应用的兼容性,建议不采用防火墙放置在总出口上。二、 朝阳区政府公用信息平台由朝阳区政府下来的链路机为了安全保证,在接入Cisco6506之前放置专用NAT(MA5200)设备及千兆防火墙,以起到安全
11、防护和地址转换的功能。主核心交换区块拓扑:由两台核心交换机S8512组成,两台核心路由交换机之间建立两条10G链路,通过link-aggregation将两个端口聚合为一个逻辑端口。聚合端口通过流量配置算法支持端口流量自动均衡保护,使所属物理通道流量基本均衡。主核心交换区块负责整个业务网的数据交换、路由转发工作,因此在信息中心配置两台核心骨干交换机作为网络中心数据的骨干交换设备,我们可以将其比喻为业务网网络中心的心脏,为了保障网络中心核心设备的正常运行,将通过采取主设备双机冗余,增加防火墙等措施来提高它的高可靠性和高安全性。教育信息网传送网的核心层的其余节点不再安排核心交换设备,这相当于在业务
12、网(IP网)的核心层只建设(保留)一个核心节点即教委信息中心。这样一来,接入层及汇聚层节点通过MSTP传送网把各个学校的IP数据直接透传到核心层的核心交换机,减少了各学校数据在核心层的传送环节,提高了传输速度和交换时间,同时也可以在教委核心的交换机上统一做内部路由和出口。关键应用服务器区块:主要由SAN网络存储系统备份系统和服务器集群系统组成,在原投标方案中我们建议利用教委已有的CISCO6509充当该区块的主交换机,由于该CISCO6509现正在负责连接30多所学校的上网业务,所以在工程实施过程中可以租用或借用其他同级别的交换机代替。关键应用服务器区块通过本区块的主交换机利用两条千兆链路上连
13、主核心交换区块,以起到链路冗余备份的功能,提高网络的可靠性。该区块的功能和配置将在服务器存储设备的实施章节有详细描述。网管网络区块:主要负责整个网络的管理和监护,它采用带外管理与带内管理混合的模式,通常带内管理组网比较简单、灵活,但却要占用承载业务流量的带宽。带外管理不占用承载业务的带宽,网管网络和其他网络设备之间独立成网,该区块的主交换机由教委现有的CISCO6506担当,(因为同样的原因该交换机正在使用中,所以也必须考虑替代问题。)而主要网管软件采用华为3COM的iManager Quidview网管系统进行网络管理,对于网络中心的其他网管子系统如:传输设备管理、网络设备管理、数字同步网管
14、理、入侵检测子系统、网络防病毒子系统、漏洞扫描子系统、时间同步子系统等,分别采用其各自的管理软件进行全网相应的管理。非华为公司的设备如CISCO6509等设备可由CISCO自带的Works2000网管软件管理,对于整个业务网的状态监控、流量分析可采用一些不区分设备类型的基础网管软件,如Sniffer等来监控。网管系统中的网络设备管理子系统将实时监控整个网络中心的设备以及网络状况,可在第一时间检测到故障。并发出报警讯息,便于网管人员快速准确的排除故障。接口网络区块负责网络中心的核心数据交换设备与传送网的MSTP设备相连,担负着传送网上的数据业务落地的重任。该区块主要设备为传送网的MSTP设备OP
15、CITY 8930,它通过20条千兆光纤链路分别与两台核心交换机相连。根据交流,甲方提出要在学校上连教委信息中心的网络带宽中预留2M的安全监控端口,和10M的考试监控端口以及相应的视频带宽,这些需要在传送网技术方面做相应的时隙划分、和端口预留等工作我们将在传送网深化设计方案中给予具体描述。大流量应用服务器负责提供应用教学资源,该区块由若干服务器集群组成,这些服务器集群分别通过两条千兆光纤或者电口链路直接与核心交换机相连。以起到链路冗余备份的功能提高网络的可靠性。1.4 网络拓扑结构图(注:本网络拓扑图仅为结构示意图,具体设备和连接方式以实际情况为准。)1.5 交换设备安装与调试n 核心路由交换
16、机1、 网络中心采用了两台S8512作为核心路由交换机,同时通过在两台核心路由交换机上运行VRRP协议来为服务器区、网络核心各个子网提供一个唯一的默认网关。当任何一台核心路由交换机发生故障时,通过VRRP协议,另一台核心路由交换机立即接管所有的工作。VRRP协议是一个热备份路由协议,应用于双机热备,其工作原理为:VRRP协议将系统中两台路由交换机组成VRRP组,该组拥有一个虚拟缺省网关地址。在任何时刻,一个组内只有控制虚拟网关地址的路由交换机是活动的(master),并由它来转发数据包,如果活动路由交换机发生了故障,将选择另一个优先权较低的冗余备份路由交换机(backup)来替代活动路由交换机
17、。由于网络内的终端配置的是VRRP虚拟网关地址,因此在它们看来,虚拟路由交换机没有改变。所以主机仍然保持连接,没有受到网络中单点故障的影响,这样就较好地解决了路由交换机切换的问题。2、 利用MSTP生成树技术,不但可以避免网络中的环路产生,还可以在网络中实现流量的负载均衡,首先根据流量应用、业务主次、部门功能划分不同的VLAN,然后根据流量将不同的VLAN指定不同的转发主网桥和备份链路从网桥,从而实现将数据流量平均负担在两台核心骨干交换机上。3、 在对主机进行热备的同时,还对S85主要的路由处理板卡进行冗余备份。即在每一台S85上安装两块路由处理板卡,一块处于运行状态,一块处于伺服状态,一旦主
18、板卡出现故障,伺服板卡可以无缝的接管数据处理任务,电源配备上也按照高可靠性要求在每台S85上安装两块电源。4、 每台S85配置了两块24口千兆电口板卡,和一块24口千兆光口板卡,以保证网络中心高密度的连接,并提供数据高速的传播和交换能力。5、 每台S85通过10个GE光纤多模接口和传送网的MSTP设备的10个GE多模端口相连。6、 核心网络设备的其余千兆电口和千兆多模光口用于连接其余功能区块的主交换机和服务器或者防火墙等设备。n 各功能区块交换机这部分交换机主要是三台千兆的多层交换机CISCO6500系列或者是与其同档次(也可低一档次)的其他型号的三层千兆交换机。这些交换机主要是提供高密度的千
19、兆端口和起到网络的物理隔离功能。因此需要在这些交换机上根据实际情况增加相应的千兆板卡和模块,同时划分相应的VLAN。每一个功能区块交换机都要通过两条千兆光纤链路上连主核心交换机,所以要在这些交换机上启用生成树STP等功能以避免网络环路的产生。n 接入层交换机 接入层交换机主要是启动设备的三层路由功能,定义默认网关指向骨干层核心设备。1.6 原有网络的割接教委信息中心正在负责30余所学校的Internet接入工作,在本次工程的施工过程中要求这30余所学校的网络不得中断,因此负责该30余所学校网络连通的设备如CISCO6509等交换机不能另做他用,我们前文已经提到可以借用或者租用其他同档次的交换机
20、替代。因在本次工程中这30余所学校都是区域网络中的一个节点,所以在施工过程中对这些学校按原计划进行,当工程完工后再将这30余所学校的链路割接到朝阳区教育信息网中,其交换设备同样按原计划应用到上节提到的各功能区块中去。这样即保证原有的网络不会中断,又最大限度的保护了前期投资节约了成本。1.7 IP地址规划深化设计鉴于建成后的朝阳教育信息网的业务流量是从学校到网络中心的这一典型的业务集中式网络,每个接入单位都有三层交换设备,因此可以将广播域控制在接入单位内部,为每个接入单位分配连续的地址网段,以静态路由的方式指向网络中心。朝阳教育信息网所使用的IP地址由北京市教育信息网统一进行分配,由于尚未最终确
21、定分配给朝阳教育信息网的IP地址,我们在深化设计中给出两种预留设计:一、 北京市教育信息网分配给朝阳教育信息网的IP地址全部为真实IP。在此种情况下,朝阳教育信息网内的所有单位均使用真实IP。包括朝阳教育信息中心,朝阳教委及所有接入学校,每台上网的设备均使用真实IP,使得所有的连网设备都具有可溯性。在此种情况,我们预计北京市教育信息网应至少分配给朝阳教育信息网1个完整的B类地址,使用情况大致可预计如下:1、接入学校约为240所,每个学校根据信息点数和电脑数量的不同分别可分配1-3个C类的地址。点数少的学校可把一个C类地址分成多个子网给多个学校,点数及上网电脑多的学校可分配多个C类地址,这样平均
22、下来,我们预计绝大多数学校使用一个C类地址(254个可用地址)即够用。2、信息中心预留10个C类地址(包括办公及各类服务器,所有的服务器均使用真实IP,无须再做NAT)3、朝阳教委预留4个C类地址(局机关办公网络)二、 北京市教育信息网分配给朝阳教育信息网的IP地址部分为真实IP,而区公共信息平台分配与朝阳教育信息网的地址是私有地址。在此种情况下,可以通过区公共信息平台链路上的NAT地址转换设备将需要与区公共信息平台传送数据的用户的真实IP转换为区公共信息平台分配的私有地址。1.8 交换设备以及计算机系统时间同步1、 华为的SYNLOCK V3 BITS设备提供时间输出接口,该接口为标准的以太
23、网接口,因此我们将其作为此次时间同步方案的一级时间服务器。2、 在网管网络中设置一台服务器,作为网络中心的二级时间服务器,该服务器配置两块网卡,通过两条链路分别连接一级时间服务器SYNLOCK V3的时间输出接口,和网管网络交换机CISCO6506,为该二级时间服务器设定相应的IP地址,网络中心的核心骨干交换机S8512和其他利旧的思科交换机都支持时间同步协议NTP,因此利用以太网络,只要可以访问二级时间服务器的IP地址,即可以得到时间同步信息,并将其传送到其他网络设备和计算机系统中。3、 网络中心内所有的工作站、服务器等计算机系统可以大致按操作系统分为UNIX、LINUX操作系统,WINDO
24、WS操作系统,对于UNIX和LINUX操作系统本身支持NTP协议,可以直接通过IP地址访问时间服务器获得时间同步,而对于WINDOWS系统尤其是WINDOWS 2000 和WINDOWS XP操作系统不提供NTP服务,因此必须配备相应的NTP客户端软件来同时间服务器进行时间同步。1.9 时间同步方案示意图2. 安全系统深化设计方案2.1 安全系统需求分析朝阳区教育信息网按功能和防护区域可划分为:外网和内网。我们按照不同区域的安全等级,以及安全特性来规划不同的安全防范措施。n 外网所谓外网,我们将其分为两部分,一部分指的是上联到北京教育信息网(内网)和通过北京教育信息网上连到国际互联网(Inte
25、rnet),另一部分是指连接到朝阳区政府公用信息平台。出口均设在朝阳教育信息网的出口网络中的Cisco6506上。出口网络是朝阳教育信息网同外部网络的唯一接口,与核心网络是双千兆链路连接。由于业务的隶属关系,及为保证朝阳内部网络与大网应用的兼容性,建议在与北京市教育信息网连接的链路上不采用防火墙,但在其它出口(朝阳区政府公用信息平台)和Internet服务器区部署千兆级防火墙来提供安全机制。同时在出口网络与核心网络的双千兆链路上配备入侵检测设备对进出的数据信息进行甄别,以提防外部人员的恶意入侵和破坏,以及对不良网站、非法信息进行阻隔。n 内网所谓内网,我们认为可以分为接入网络和核心网络两部分。
26、l 接入网络由朝阳教育信息网所辖的所有学校、教育机关网络和其他网络内部用户组成。对于接入网络其安全防护由朝阳教育信息网的中心机房统一部署管理,每一个学校或用户分配不同网段的IP地址,在核心节点处的多层交换机上利用VLAN技术和ACL 对这些不同子网进行策略路由,以达到最理想的网络安全。l 核心网络核心网络包括:核心交换网、网管网络和数据中心(IDC)。核心网络是整个朝阳教育信息网的数据中心、资源中心、和管理中心可谓是心脏部位,它的安全系统应从以下几方面着手设计:1) 防火墙防范来自外部和内部的网络攻击和破坏。2) 防拒绝服务攻击使用防火墙来防范拒绝服务型攻击。3) 漏洞扫描系统时刻监控网络以及
27、服务器的安全漏洞。4) 入侵检测系统专门对服务器集群进行探测来防范并记录非法和危险的网络操作。5) 网络防病毒系统设置总的网络防病毒服务器负责整个控制中心和下属网络的防病毒工作。2.2 防火墙系统深化设计u 防火墙分布位置方案采用六台华为Quidway SecPath 1000F 防火墙,配置在朝阳教育信息网网络中心的四个逻辑地点,构成整个业务网络的防火墙系统。具体分布连接如下:1我们在Internet服务器区与外网之间部署一台SecPath 1000F千兆防火墙,其中WWW、MAIL、FTP、DNS等对外服务器连接在防火墙的DMZ区;外网卡连接出口网络中的Cisco6506,与Interne
28、t连接。2在出口网络中的Cisco6506到朝阳区政府公用信息平台的链路上设置一台SecPath 1000F和一台专用NAT设备。具体连接: SecPath 1000F放置在出口网络的Cisco6506到朝阳区政府公用信息平台的传输设备的链路上。内网卡接Cisco6506,外网卡接NAT设备(MA5200);专用NAT设备(MA5200)的一个千兆口接SecPath 1000F,另一端与传输设备相连。3网管网络到核心网的接口处设置两台SecPath 1000F:每台SecPath 1000F的千兆外网卡分别与核心网的两台Quidway S8512相连,每台SecPath 1000F的千兆内网卡
29、连接到网管网络的Cisco6506,两台SecPath 1000F之间通过1GE端口相连,两台SecPath 1000F做负载分担/冗余备份,对网管网络进行保护。4数据中心的关键应用服务器区到核心交网的接口处设置两台SecPath 1000F:每台SecPath 1000F的千兆外网卡分别与核心网的两台Quidway S8512连接,每台SecPath 1000F的一块千兆内网卡连接关键应用服务器区的Cisco6509,两台SecPath 1000F之间通过1GE端口相连,两台SecPath 1000F做负载分担/冗余备份,对关键应用服务器区进行保护。u 防火墙配置在防火墙设置上我们按照以下原
30、则配置来提高网络安全性:1)根据总体安全策略和安全目标,规划设置正确的安全过滤规则,规则审核IP数据包的内容包括:协议、端口、源地址、目的地址、流向等项目,严格禁止来自公网对内网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。2)将防火墙配置成过滤掉以内部网络地址进入路由器的IP包,这样可以防范源地址假冒和源路由类型的攻击;过滤掉以非法IP地址离开内部网络的IP包,防止内部网络发起的对外攻击。3)在防火墙上建立内网计算机的IP地址和MAC地址的对应表,防止IP地址被盗用。4)在防火墙上进行防拒绝服务攻击(DoSDDoS)配置。5)定期查看防火墙访问日志,及时发现攻击行为和不
31、良上网记录。通过对以上四个地点配置防火墙,并在网管网络中安装一台防火墙集中管理服务器,对处于不同子网中的多个防火墙进行集中管理和配置,就组成了朝阳教育信息网的防火墙系统,构成了整个朝阳教育信息网安全防护的第一道屏障。防火墙系统连接见朝阳教育信息网网络安全连接图。2.3 网络入侵检测系统深化设计每台NISD_1000E配置2个1000BASE-T标准监控接口,控制中心设在网管网络中的一台服务器上。NISD_1000E的配置分布如下:1. 出口网络与核心网之间部署一台NISD_1000E2个GE探头分别配置在出口网络中的Cisco6506与两台核心交换机S8512相连的两条千兆链路上。2. 关键应
32、用服务器区与核心网之间部署一台NISD_1000E2个GE探头分别配置在关键应用服务器区与核心网络之间的两台防火墙后面。2.4 网络漏洞扫描系统深化设计在内网中采用一套先进的网络安全性分析系统ISExplorer漏洞扫描系统。网络安全性分析系统ISExplorer可安装在一台笔记本电脑上,定期对不同网段的工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。2.5 网络防病毒系统深化设计1)在网管网络中的一台服务器上安装Symantec AntiVirus Corporate Edition网络版杀毒软件的系统中心,负
33、责管理网络中心不少于100台的服务器和30台PC机。2)在网络中心的主机上安装Symantec AntiVirus Corporate Edition网络版的服务器端和客户端。3)安装完Symantec AntiVirus Corporate Edition网络版后,在管理员控制台对网络中所有客户端进行定时查杀毒的设置,保证所有客户端即使在没有联网的时候也能够定时进行对本机的查杀毒。4)Symantec AntiVirus Corporate Edition系统中心负责整个网络中心的升级工作。为了安全和管理的方便起见,由网络中心的系统中心定期地、自动地到Symantec全球网站上获取最新的升级
34、文件(包括病毒定义码、扫描引擎、程序文件等),然后自动将最新的升级文件分发到其它100多个服务器端和30个客户端,并自动对Symantec AntiVirus Corporate Edition杀毒软件网络版进行更新。采取这种升级方式,一方面确保网络中心内的Symantec AntiVirus Corporate Edition杀毒软件的更新保持同步,使整个网络中心都具有最强的防病毒能力;另一方面,由于整个网络的升级、更新都是有程序来自动、智能完成,就可以避免由于人为因素造成网络中因为没有及时升级为最新的病毒定义码和扫描引擎而失去最强的防病毒能力。2.6 朝阳区教育信息网网络安全拓扑图3. 服
35、务器存储系统的深化设计3.1 需求分析服务器作为整个系统硬件的核心,承担了整个系统运行数据的建立、存储、查询、操作、备份以及整个后台应用程序的运行任务根据客户的要求,我们把应用分成WEB服务、Email服务、数据库服务、INTERNET应用服务、办公管理服务、流媒体点播服务等。WEB服务是以服务器建立起供广大教师和学生登陆及浏览的WEB页面,提供各种教育信息、新闻、实事动态、多媒体教学资源库、课件制作等等,随着信息和资源的积累,WEB服务器会需要比较大的空间来存放这些数据。而这些数据的特点是文件比较小,但是同时并发的数量众多,这就要求服务器和存储设备都具有高速、稳定、高数据吞吐量的性能。对于存
36、储设备来说,基于全光纤结构的SAN架构可以满足这种需求。教育中心的Email服务。由于学生数量众多,加上也要为每一位教师提供Email信箱,所以Email服务器的数据存储需求也十分的庞大,特点也是文件数量多,服务器对数据检索,并读到数据速度要快,同时并发数据流多。因此也建议采用SAN架构。采用负载均衡轮询的方式。数据库服务器将运行SQL SERVER和ORACLE,由于该数据库的特性,加上数据库对数据读写十分频繁,以及参考许多数据库存储的成功案例,SAN架构以其成熟的技术,优异的性能,良好的扩展性成为了首选。OA办公管理服务是将许多日常的书面办公工作实现电子化,放到网络上进行,简化了办公流程,
37、提高效率,是现代e化的流行趋势。流媒体点播服务是将许多多媒体的课件及教学资源放到网络上,广大师生可以直接到网络上自由点播,选择自已需要的素材,进行复习备课等,由于数据量和传输量大,对存储空间和服务器的I/O带宽都提出了很高的要求。3.2 服务器的安装与功能分配l 数据库服务器数据库服务器选用两台IBM eServer xSeries 366。每台服务器都配置两个光纤适配器(HBA卡),每台服务器要用两条1000M光纤分别与两台光纤交换机点对点连接。 同时,每台服务器上将分别安装EMC PowerPath 管理软件,实现服务器和存储设备之间多通道存取。如果其中一条通道发生故障,PowerPath
38、会自动将I/O 负荷切换到幸存的通道,并在发生故障的通道得到修复后立即恢复其使用。如果在服务器访问磁盘阵列数据量比较大和频繁时, PowerPath可增加全面I/O吞吐率,更快地完成更多的任务;也可以自动负载均衡算法智能地管理多条I/O通道的流量,极大地提高了系统的效率和I/O的吞吐率,避免I/O的瓶颈。 SQL数据库和Oracle数据库匀放到两台EMC CX500智能光纤磁盘阵列中。n ORACLE数据库服务器:在INTRENET网络结构中,Oracle数据库是对用户数量最多、性能最为稳定的数据库。基于Oracle数据库的DBMS能方便生成适用不同业务的应用数据库系统。选用两台IBM eSe
39、rver xSeries 366。一台装WINDOWS2000操作系统;一台装LINUX操作系统。n SQL server数据库服务器:两台SQL server数据库服务器安装Win2000操作系统,将两台SQL数据库服务器互为双机容错,保证运行系统的冗余、稳定。l INTERNET应用服务器 邮件服务器:对于朝阳教育信息中心对电子邮件系统大容量、高扩展性、分级管理的实际要求,我们选用五台IBM eServer xSeries 346 (招标文件中应用服务器1的规格) 做一负载均衡的轮询的集群方案,来满足教育办公网,每天所要面临着大量的有邮件往来。邮件集群系统由二个Smtp server、一个
40、pop3/imap server,和磁盘阵列组成,同时一台安装Linux操作系统,作为主ATM(高级流量管理器);另有一台做后备ATM。考虑到系统运行初期,用户数量并不多,pop3服务的并发访问量并不大,pop 服务只设置一台服务器,同时也作imap 服务。以后用户量增加时,可以再增加一台pop3,实现pop服务的负载均衡。 Web服务器: Web信息发布需要大容量内存,能确保服务在大用户量并发时的系统稳定性和服务效率,Web服务器选用性能和功能指标较高的服务器,选用两台IBM eServer xSeries 346 (招标文件中应用服务器2的规格)。同时实现服务的负载均衡。 OA服务器: O
41、A应用软件和Web信息发布需要大容量内存,能确保服务在大用户量并发时的系统稳定性和服务效率,保证系统及日志的记录。建议采用应用服务器2的机型。 DNS服务器:选用两台IBM eServer xSeries 346 (招标文件中应用服务器2的规格)。做内网和外网的域名解析,同时实现服务的负载均衡。 DHCP服务器:选用两台IBM eServer xSeries 346 (招标文件中应用服务器2的规格)。做内网和外网的域名解析,同时实现服务的负载均衡。 FTP服务器:选用一台IBM eServer xSeries 346 (招标文件中应用服务器2的规格)。 TELNET服务器:选用一台IBM eS
42、erver xSeries 346 (招标文件中应用服务器2的规格)。 管理服务器:传输网络中的时钟管理、IP网中的网络监控管理及网管服务器分别选用IBM eServer xSeries 346 (招标文件中管理服务器的规格)。 数据备份服务器:负责整个网络中各服务器上的数据备份。选用IBM eServer xSeries 346 (招标文件中应用服务器1的规格)。3.3 服务器集群的配置n 高可用性数据库服务器集群:SQL Server 数据库服务器: 采用Microsoft Windows2003 Advance Server操作系统,两台机器之间用串口线连接,数据库要在两个机器上都要安装
43、,通过操作系统内置的MSCS集群应用软件组建两台SQL SERVER服务器的Cluster服务,两台机器访问同一个IP地址,做数据库漂移,保证一台坏掉,另一台仍然可以继续工作。以达到关键数据服务的不停机运作,保证数据不丢失;这样通过装在两个服务器中的双机热备份系统软件,使系统具有在线容错能力。n 应用服务高可用性集群: OA服务器:OA服务器采用双机系统,教委OA办公自动化系统是基于Microsoft Windows2000 Advance Server操作系统,通过操作系统内置的MSCS集群管理双机。 DNS服务器:服务器分别选用两台应用服务器2的机型,安装相同的操作系统,作ACTIVE_A
44、CTIVE方式的HA集群方式。 DHCP服务器:服务器分别选用两台应用服务器2的机型,安装相同的操作系统,作ACTIVE_ACTIVE方式的HA集群方式。n 负载均衡集群系统负载均衡邮件服务器:2个smtp server可以构成负载均衡,同时构成双机热备份,正常情况下,smtp流量平均分配到两台smtp server;一旦其中一台出现故障,另外一台将自动接管smtp服务。数据存储分为用户数据和邮件数据存储两部分,邮件数据通过NFS统一存储到磁盘阵列上。当邮件空间不够时,动态增加磁盘阵列空间即可。主ATM将采用路由的方法进行访问流量地控制和分配,同时对其他三台服务器进行管理。由主ATM采用轮询的
45、方法来实现当访问流量大时对其它三台服务器的进行负载均衡。将其中一台安装Linux操作系统,作为主ATM(高级流量管理器)。设置一个IP地址来代表整个集群系统,将CMC(集群管理控制台)安装在主ATM上。再选用一台做后备ATM,实现当主ATM出现故障时,管理自动平滑到后备ATM上。3.4 存储系统的深化设计整个存储体系分为二个部分:SAN网络交换机和磁盘阵列系统。我们在本方案中推荐使用了两台磁盘阵列CLARiiON CX500作为后台存储的核心设备,每台配置了14块1 46GB的光纤硬盘,每台原始容量约为2.0TB。每台CLARiiON CX500有两个存储处理器,每个存储处理器有两个2 Gb
46、光纤通道光学端口,实现从每个存储处理器到两个光纤通道环路的故障切换。同时系统还配置了两台EMC DS-32M2-0D光纤通道交换机,构成存储核心结构。l 实施步骤SAN存储架构包括:光纤通道交换机、高性能海量磁盘阵列、智能磁带库。1、 SAN系统中,各服务器、磁带库、磁盘阵列通过两个光纤交换机连接成一个SAN的结构。通过为每个服务器配置两个光纤主机适配器(HBA卡),可以将应用服务器和备份服务器通过不同的光纤交换机连接到SAN环境。关键的应用服务器需要考虑使用冗余通道,通道的冗余不仅提高了应用服务器访问存储设备的性能,同时也提高了对存储在SAN存储设备上关键数据的可访问性。所有需要实现冗余路径
47、的应用服务器通过配置两个光纤主机适配器,分别连接到两个不同的交换机。新的服务器也可以采用同样的方式连接到SAN环境。2、 在20台服务器中,对关键数据量的应用部署在一 台CX500上,将非关键数据分布在负载不大的CX500中,以保证关键应用的服务质量。对存储应用数据的磁盘卷采用RAID 5的方式。3、 前端的二十台主机中运行关键应用和数据库的服务器配置两块HBA卡,并安装EMC公司多路径软件PowerPath,关键应用和数据库服务器主机的两个HBA卡分别通过不同的交换机接入到CX500的两个控制器上。4、 交换机的配置以及核准主机上的代理安装, Navisphere Agent、Navisphere Manager软件的安装,并激活Access Logix for LUN access,同时创建LUNS、RAID群组和存储组。 5、 对于大流量服务器群:对于大流量服务器,对于访问频率可能很大,但对于数据的存储量未必很大(如OA服务器),这样我们不将这类服务器连在阵列上。YZ 但对与很多大流量服务器(如流媒体服务器),不仅访问
