引言： 某地十年前建成了覆蓋該地所有鎮(zhèn)和二百多個村居的在線學(xué)習(xí)網(wǎng)絡(luò)，該網(wǎng)絡(luò)是包含有上千臺終端計算機通過光纖線路組成的在線學(xué)習(xí)城域網(wǎng)。近幾年，各級教學(xué)平臺推出了越來越多的新業(yè)務(wù)，管理部門決定，在充分利用現(xiàn)有基礎(chǔ)設(shè)施資源的情況下，將網(wǎng)絡(luò)升級，形成橫向連接相關(guān)學(xué)習(xí)系統(tǒng)，縱向連接村居、鎮(zhèn)（街道、鄉(xiāng)）的統(tǒng)一學(xué)習(xí)平臺。

目前現(xiàn)狀

該地在線學(xué)習(xí)網(wǎng)絡(luò)的組網(wǎng)結(jié)構(gòu)比較簡單，各個上網(wǎng)節(jié)點的終端計算機分別通過2M光纖線路接入對應(yīng)鄉(xiāng)鎮(zhèn)的二層交換機，二層交換機通過100M光纖接入到上級部門的匯聚層交換機上，最后租用本地ISP的100M帶寬與Internet網(wǎng)絡(luò)保持連接。每個鎮(zhèn)的上網(wǎng)接入點只負責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)任務(wù)，不進行其他任何操作，該地的在線學(xué)習(xí)網(wǎng)絡(luò)機房使用的核心路由交換機是Quidway S8500系列產(chǎn)品，整個在線學(xué)習(xí)網(wǎng)在硬件防火墻的保護下，連接到因特網(wǎng)上，本地在線學(xué)習(xí)平臺位于DMZ區(qū)域，而且這個區(qū)域中還包含教學(xué)資源庫、在線圖書館服務(wù)器、視頻點播服務(wù)器等。

近幾年，在線學(xué)習(xí)各級教學(xué)平臺推出了越來越多的新業(yè)務(wù)系統(tǒng)，但與之相配套的硬件設(shè)備卻沒有得到及時升級，這就給在線學(xué)習(xí)網(wǎng)絡(luò)的正常運行帶來了一些明顯問題，這些問題主要表現(xiàn)在兩個方面，一是終端用戶上網(wǎng)時傳輸性能無法滿足新業(yè)務(wù)系統(tǒng)的正常工作；網(wǎng)絡(luò)傳輸速度相當(dāng)不穩(wěn)定，快時能正常訪問各種業(yè)務(wù)系統(tǒng)，慢時一個網(wǎng)頁都無法打開。每個上網(wǎng)節(jié)點所屬的局域網(wǎng)網(wǎng)絡(luò)頻繁發(fā)生各類網(wǎng)絡(luò)攻擊，嚴(yán)重影響在線學(xué)習(xí)操作的正常進行。二是本地在線學(xué)習(xí)平臺的上網(wǎng)出口只有一條光纖線路，在各個終端用戶同時集中收看視頻會議時，線路不斷出現(xiàn)掉線現(xiàn)象，即使勉強不掉線，由于帶寬資源十分有限，視頻播放畫面相當(dāng)不流暢，直接影響了會議收看效果。

升級目標(biāo)

按照上級部門的統(tǒng)一規(guī)劃和標(biāo)準(zhǔn)規(guī)范，在充分利用現(xiàn)有基礎(chǔ)設(shè)施資源的情況下，將網(wǎng)絡(luò)升級、改造成技術(shù)先進、邊界清晰、安全可靠、結(jié)構(gòu)合理的本地在線學(xué)習(xí)網(wǎng)絡(luò)，形成橫向連接相關(guān)學(xué)習(xí)系統(tǒng)和部門單位，縱向連接村居、鎮(zhèn)（街道、鄉(xiāng)）的統(tǒng)一學(xué)習(xí)平臺。該平臺不但可以允許各上網(wǎng)節(jié)點所在局域網(wǎng)的授權(quán)接入，而且能提供統(tǒng)一的上網(wǎng)出口和安全防護保護，還要能夠與上級在線學(xué)習(xí)網(wǎng)絡(luò)平臺形成對接。此外，還需要注重網(wǎng)絡(luò)管理、改善網(wǎng)絡(luò)結(jié)構(gòu)，有效提升在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)承載能力，為各個系統(tǒng)應(yīng)用提供支撐。升級、改造后的本地在線學(xué)習(xí)網(wǎng)絡(luò)，將是一個可靠、安全、穩(wěn)定、易管理、可擴展的先進網(wǎng)絡(luò)，既可以滿足目前各單位、各部門的高速接入、VPN專網(wǎng)等多種業(yè)務(wù)的發(fā)展需要，又可以滿足全網(wǎng)用戶視頻、語音等新的業(yè)務(wù)的需要。

升級原則

依照網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢，以及上級在線學(xué)習(xí)網(wǎng)絡(luò)平臺的建設(shè)需求，我們采取下面的原則來升級、改造現(xiàn)有網(wǎng)絡(luò)。

1.穩(wěn)定原則

合理設(shè)計網(wǎng)絡(luò)架構(gòu)，選用穩(wěn)定性高的設(shè)備產(chǎn)品，制定可靠網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有很高的容錯能力，能最大限度地抵御外界環(huán)境的影響和人為操作失誤的能力，確保整個在線學(xué)習(xí)網(wǎng)絡(luò)的單一節(jié)點故障，不會對整體造成任何影響。骨干網(wǎng)絡(luò)具有較高的網(wǎng)絡(luò)傳輸帶寬，同時在高負荷狀態(tài)下，仍然能夠達到較高的網(wǎng)絡(luò)吞吐能力和傳輸效率，網(wǎng)絡(luò)傳輸延遲低，確保各種數(shù)據(jù)信息的高質(zhì)量傳輸。

2.安全原則

支持系統(tǒng)安全防護能力，避免在線學(xué)習(xí)網(wǎng)絡(luò)中的各個業(yè)務(wù)系統(tǒng)被人為攻擊或破壞。特別要具有路由驗證、地址轉(zhuǎn)換、虛擬連接、密碼加密、訪問策略控制、AAA認證、日志等安全功能，確保系統(tǒng)安全運行。

3.擴展原則

在線學(xué)習(xí)網(wǎng)絡(luò)平臺的體系結(jié)構(gòu)堅持開放型、標(biāo)準(zhǔn)性原則。軟硬件平臺選取符合國際標(biāo)準(zhǔn)協(xié)議，有利于以后增加新設(shè)備和新用戶，易于和其他類型網(wǎng)絡(luò)連接，隨著在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的逐步成熟不斷擴充和延伸，充分保護現(xiàn)有設(shè)施。

4.管理原則

對整個在線學(xué)習(xí)網(wǎng)絡(luò)應(yīng)能夠進行統(tǒng)一的管理和監(jiān)控。對網(wǎng)絡(luò)的管理可以采用分權(quán)的策略，由各單位、各部門管理各自的局域網(wǎng)網(wǎng)絡(luò)，由本地在線學(xué)習(xí)管理中心統(tǒng)一管理跨部門的網(wǎng)絡(luò)，分配網(wǎng)絡(luò)帶寬、IP地址等網(wǎng)絡(luò)資源。支持QoS功能，能依照在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的要求，提供不同等級的服務(wù)并確保網(wǎng)絡(luò)服務(wù)質(zhì)量，提供數(shù)據(jù)報文分類和數(shù)據(jù)擁塞控制以及數(shù)據(jù)流量整形等。

5.先進原則

充分考慮到網(wǎng)絡(luò)管理技術(shù)的發(fā)展方向，把目前的成熟技術(shù)和先進的網(wǎng)絡(luò)技術(shù)標(biāo)準(zhǔn)結(jié)合起來，兼顧在線學(xué)習(xí)網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用的現(xiàn)狀和未來發(fā)展的趨勢。

組網(wǎng)結(jié)構(gòu)

針對當(dāng)前的網(wǎng)絡(luò)現(xiàn)狀和劣勢，新的組網(wǎng)架構(gòu)采用網(wǎng)絡(luò)設(shè)計中廣泛采用的三層體系結(jié)構(gòu)來設(shè)計，分為核心層、匯聚層和接入層。核心層主要進行在線學(xué)習(xí)教學(xué)數(shù)據(jù)的快速轉(zhuǎn)發(fā)，其網(wǎng)絡(luò)結(jié)構(gòu)重點要考慮可靠性和擴展性。匯聚層主要負責(zé)匯集各接入層設(shè)備，擴大核心層設(shè)備的端口密度和種類，同時進行三層路由選擇、虛網(wǎng)劃分等。接入層負責(zé)提供各種類型用戶的接入，將不同位置分布的用戶接入到縣級在線學(xué)習(xí)網(wǎng)絡(luò)中。在線學(xué)習(xí)網(wǎng)絡(luò)系統(tǒng)從規(guī)模上來說是一個大型的城域網(wǎng)絡(luò)。網(wǎng)絡(luò)應(yīng)用主要以基于IP的應(yīng)用為主。在線學(xué)習(xí)網(wǎng)絡(luò)采用星型結(jié)構(gòu)，網(wǎng)絡(luò)的核心層位于本地在線學(xué)習(xí)中心機房，由核心路由器組成。匯聚層由通信運營商（ISP）的在線學(xué)習(xí)城域網(wǎng)絡(luò)及中心機房網(wǎng)絡(luò)兩部分構(gòu)成，各級單位的節(jié)點構(gòu)成了網(wǎng)絡(luò)的接入層，如圖1所示。中心機房所在大樓內(nèi)的各單位、各部門，通過大樓內(nèi)網(wǎng)的匯聚層交換機接入到在線學(xué)習(xí)網(wǎng)的核心層節(jié)點，各個鎮(zhèn)（街道、鄉(xiāng)）通過位于通信運營商機房內(nèi)的匯聚層交換機連接到在線學(xué)習(xí)網(wǎng)的核心層節(jié)點。

網(wǎng)絡(luò)改造

為了確保整個在線學(xué)習(xí)網(wǎng)運行的高速、可靠，網(wǎng)絡(luò)的核心層路由器采用雙核心的方式，匯聚層的交換機分別通過兩路光纖連接到核心層的兩臺核心路由器上。考慮在線學(xué)習(xí)網(wǎng)用戶數(shù)量及數(shù)據(jù)流量將會非常大，及將來與上級在線學(xué)習(xí)網(wǎng)相連后的網(wǎng)絡(luò)流量的增加，在線學(xué)習(xí)網(wǎng)兩臺核心層路由設(shè)備采用具有較強路由能力及可擴展性的路由器產(chǎn)品，此產(chǎn)品屬于高端路由器，采用冗余配置。該路由器主控和交換分離，單主控故障時不影響業(yè)務(wù)轉(zhuǎn)發(fā)，需具備獨立的交換網(wǎng)板插槽；支持L2/L3 MPLS VPN業(yè)務(wù)，支持高性能P/PE應(yīng)用，支持三種跨域MPLS VPN方式；支持IPv4、IPv6路由協(xié)議；支持靜態(tài)路由、RIPv1/v2、OSPFv2、BGP、IS-IS、路由策略、等價多路徑、非平衡鏈路負載均衡，PIM-DM、PIM-SM、MBGP等路由協(xié)議。在該路由器上配置多口的千兆光纖模塊，用于連接通信運營商的匯聚交換機、中心機房的匯聚交換機。

圖1 網(wǎng)絡(luò)結(jié)構(gòu)

本地核心路由器使用運營商MSTP專線連接各個部門和鎮(zhèn)（街道、鄉(xiāng)）的匯聚交換機，分別使用500M（主線路）、100M(備線路)2條通信鏈路（來自不同運營商），這兩條線路在工作狀態(tài)正常的時候，可以分擔(dān)在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的流量，一旦發(fā)生某個設(shè)備癱瘓或某條線路掉線現(xiàn)象時，在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)的流量可以自動切換到狀態(tài)正常的通信鏈路上。核心層節(jié)點與匯聚層節(jié)點之間采用星形連接，在光纖資源能夠得到充分保證的情況下，每個核心層和匯聚層節(jié)點有兩個節(jié)點相連，保證網(wǎng)絡(luò)連接的可靠性。匯聚層設(shè)備與核心層設(shè)備都采用千兆連接，并且支持萬兆連接的擴充能力；匯聚層設(shè)備采用三層交換機或中高檔路由器，支持MPLS VPN技術(shù)，同時能夠作為MPLS VPN中的PE節(jié)點，以方便進行虛擬專網(wǎng)的管理。本地核心設(shè)備主要在在線學(xué)習(xí)網(wǎng)的核心位置，核心層主要提供流量的高性能、大容量轉(zhuǎn)發(fā)，提供多業(yè)務(wù)的安全可靠傳送。在核心層全網(wǎng)啟用三層路由化建設(shè)，整網(wǎng)采用IP/MPLS技術(shù)，確保相同的物理平面通過MPLS VPN技術(shù)，達到多個邏輯業(yè)務(wù)承載平面。為了確保整個網(wǎng)絡(luò)的運行穩(wěn)定，在核心層設(shè)備上采取大量可靠性技術(shù)，包括網(wǎng)絡(luò)高穩(wěn)定、設(shè)備高穩(wěn)定、跨域高穩(wěn)定等。在滿足這些基本要求的情況下，還能提供高密度、大容量端口，滿足在線學(xué)習(xí)網(wǎng)絡(luò)的各項功能要求。

在線學(xué)習(xí)城域網(wǎng)設(shè)置接入?yún)^(qū)，采用三層匯聚交換機用于匯聚約為120個中心機房所在大樓內(nèi)、外接入單位，連接一些有在線學(xué)習(xí)需求的單位和部門，其中30家重點單位采用300M帶寬接入本次在線學(xué)習(xí)網(wǎng)，且使用來自不同運營商的另外一條100M通信鏈路作為備用線路，這幾十家單位各安裝一臺接入路由器，實現(xiàn)單位與在線學(xué)習(xí)網(wǎng)絡(luò)的連接。其他一般單位也采用接入路由器接入，使用50M線路與在線學(xué)習(xí)網(wǎng)絡(luò)對接，且不使用備用線路。

安全改造

在在線學(xué)習(xí)網(wǎng)絡(luò)出口處，除了進行NAT轉(zhuǎn)換功能外，還采取其他一些安全措施，來保護整個網(wǎng)絡(luò)的安全運行。在線學(xué)習(xí)系統(tǒng)的安全性取決于能否正確驗證用戶或終端的個人身份，本地在線學(xué)習(xí)教學(xué)業(yè)務(wù)系統(tǒng)將統(tǒng)一使用上級在線學(xué)習(xí)CA認證系統(tǒng)。部署上網(wǎng)行為審計設(shè)備，實現(xiàn)對在線學(xué)習(xí)網(wǎng)絡(luò)訪問行為進行嚴(yán)格管理，達到網(wǎng)絡(luò)訪問行為記錄和數(shù)據(jù)流量管理功能。本地在線學(xué)習(xí)中心服務(wù)器群與在線學(xué)習(xí)網(wǎng)匯聚設(shè)備之間安裝部署硬件防火墻，巧妙通過防火墻的安全機制，來有效避免非法攻擊，保證對在線學(xué)習(xí)網(wǎng)絡(luò)運行正常。各部門、各單位局域網(wǎng)接入本地在線學(xué)習(xí)網(wǎng)時，也通過定義防火墻安全規(guī)則，加強對局域網(wǎng)和在線學(xué)習(xí)網(wǎng)的安全保護。將VPN設(shè)備的在線學(xué)習(xí)內(nèi)外網(wǎng)IP地址映射，在因特網(wǎng)接入防火墻上，映射為合適的公網(wǎng)地址和網(wǎng)絡(luò)端口。在對應(yīng)防火墻設(shè)備上，啟用SSL加密流量安全測試功能，對進出在線學(xué)習(xí)網(wǎng)絡(luò)的SSL VPN加密訪問流量進行更進一步的追蹤和監(jiān)控。部署入侵檢測系統(tǒng)（IDS），實現(xiàn)對在線學(xué)習(xí)網(wǎng)絡(luò)或相關(guān)業(yè)務(wù)系統(tǒng)中活動狀態(tài)的監(jiān)控和檢測，要是探測到在線學(xué)習(xí)網(wǎng)絡(luò)中的可疑行為或惡意攻擊，IDS便可做出及時的報警和響應(yīng)，甚至可以調(diào)整防火墻的配置策略，與其進行聯(lián)動，阻斷惡意的入侵。

安裝部署抗DDoS設(shè)備，實現(xiàn)對在線學(xué)習(xí)網(wǎng)絡(luò)攻擊精確實時的識別、阻斷和限制，安裝部署IPS設(shè)備，實現(xiàn)對網(wǎng)絡(luò)應(yīng)用層的攻擊和防護。部署漏洞掃描系統(tǒng)，對在線學(xué)習(xí)網(wǎng)絡(luò)進行全面掃描、檢查，查找其中是否有可被黑客利用的漏洞，對在線學(xué)習(xí)教學(xué)系統(tǒng)安全狀況進行評估、分析，同時對掃描發(fā)現(xiàn)到的問題提出解決修補建議，從而提高在線學(xué)習(xí)系統(tǒng)安全性能的過程。為了方便工作人員的管理，在本地在線學(xué)習(xí)中心機房安裝部署一套漏洞掃描系統(tǒng)，對整個遠程網(wǎng)絡(luò)進行定期或不定期的安全掃描。

在線學(xué)習(xí)網(wǎng)絡(luò)建立授權(quán)管理系統(tǒng)，負責(zé)登記、增加、刪除、修改、審核、維護各上網(wǎng)用戶的屬性，建立屬性庫，用LDAP來管理所有上網(wǎng)用戶的屬性。上網(wǎng)人員通過嚴(yán)格的身份認證登錄核心網(wǎng)后，從屬性庫中提取屬性證書，根據(jù)屬性證書訪問數(shù)據(jù)資源，用戶不需要再次進行身份認證。用戶按部門、職位、工作等分權(quán)限訪問。在在線學(xué)習(xí)網(wǎng)絡(luò)安裝部署安全審計系統(tǒng)，收集網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)內(nèi)部所產(chǎn)生的審計數(shù)據(jù)；記錄所有用戶對重要設(shè)備、數(shù)據(jù)庫的操作行為；采用數(shù)據(jù)挖掘技術(shù)對收集到的數(shù)據(jù)進行智能分析，對安全隱患做出預(yù)測，并能采取相應(yīng)的防范措施。審計跟蹤也是在線學(xué)習(xí)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)安全解決方案中重要的組成部分。審計是記錄用戶使用在線學(xué)習(xí)網(wǎng)絡(luò)系統(tǒng)進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了在線學(xué)習(xí)業(yè)務(wù)系統(tǒng)，還能指出該系統(tǒng)被怎樣地使用。對于確定是否有在線學(xué)習(xí)網(wǎng)絡(luò)攻擊的情況，審計信息對于確定問題和攻擊源很重要，并且它是后面階段事故處理的重要依據(jù)，為網(wǎng)絡(luò)犯罪行為及泄密行為提供取證基礎(chǔ)。另外，通過對安全事件的不斷收集與積累并加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便為發(fā)現(xiàn)可能產(chǎn)生的破壞性行為提供有力的依據(jù)。