1、广西农村党员现代远程教育工程集成方案2008年1月29日目 录第一章工程概述1工程概述1工程实施范围1第二章平台结构2整体结构描述2区级平台结构3市级平台结构4县级平台结构4平台承载网5设备分布5第三章路由及策略规划6第四章IP地址规划及VLAN ID规划6IP地址与VLAN ID分配原那么7IP地址分配表7第五章设备命名规划7设备命名标准7设备标签标准9第六章网络平安9播送抑制9防攻击策略9平台系统平安要求10设备管理要求10第七章工程管理与工程实施13工程组结构及职责13工程组结构13工程组成员职责14工程进度方案15工程阶段划分15工程实施17第一章 工程概述1.1 工程概述开展农村党员2、干部现代远程教育，是以胡锦涛同志为总书记的党中央与时俱进、高瞻远瞩作出的一项重大决策，具有十分重大的意义。首先，这是推动农村党员干部教育培训从手段到内容全面表达时代性、把握规律性、富于创造性的一项战略举措。其次，这是 建立“让干部经常受教育、使农民长期得实惠机制得一个有效载体。第三，这是用信息化带动农业产业化和农村现代化的一条重要途径。总之，这对于农村兴起学 习贯彻“三个代表重要思想的新高潮，加强党的建设，提高农村党员干部素质、促进农民增收致富，加快农村信息化、现代化建设，解决由城乡信息不对称、教育时机不均衡等因素所导致的城乡居民收入严重失衡等问题，都具有长远的战略意义。广西农村党员干部现代远3、程教育根底设施建设以电信模式为主，卫星模式为辅，方案用3年时间全面完成全区16754个农村党员干部现代远程教育终端接收站点以及自治区、市、县三级播出平台的建设。本次工程的主要建设内容包括：1个自治区级播出平台、14个市级播出平台、111个县区播出平台、 14504个电信模式终端接收站点和2250个卫星模式终端接收站点，传输网络采用广西电信宽带网。1.2 工程实施范围根据要求本次工程负责自治区、市、县平台整个网络的规划、与平台承载网络提公司之间的协调和各级平台的集成实施工作，集成设备及软件包括：硬件局部软件局部HP效劳器卫星数据编码软件DELL磁盘阵列节目制作转换软件CISCO交换机节目检测软件4、曙光防火墙及IDS中心资源库管理软件dell计算机节目运营平台软件集中远程控制系统党员远程教育信息管理系统软件直播编码器图文信息效劳软件卫星接收系统图文信息采集软件高清非编系统网站信息发布与管理软件多媒体资源管理系统直播转发软件Windows 2003 Server中文企业版Windows XP 中文专业版 4套Redhat Linux Advanced ServerOracle 10g for linux第二章 平台结构2.1 整体结构描述该工程平台采用三级结构，区级平台+地市级平台+县级平台。自治区平台包括卫星接收系统、节目格式转换系统、节目检测系统、节目分发系统、图文电视网站、教学管理系5、统、多媒体资产管理系统、自治区级信息管理系统、平安保障系统、网络交换系统和集中远程控制管理系统和自治区级辅助教学网站；市级平台包括：节目格式转换系统、节目检测系统、节目分发系统、播出管理系统、平安保障系统、网络交换系统和集中远程控制管理系统和教学管理客户端；县级平台包括：节目点播系统、视频直播系统、网络交换系统和集中远程控制管理系统。自治区、市、县三级平台各系统均托管在电信IDC机房，整个平台架构如下：2.2 区级平台结构2.3 市级平台结构2.4 县级平台结构2.5 平台承载网用户与平台之间流量承载采用广西电信的ip城域网进行承载，平台之间跨越城域网的流量采用CN2网络，中国电信的CN2网络6、是一张高可靠性、高带宽网络，专门用户大客户用户流量的承载。各地市城域网经过每年的扩容改造，现在已经是一张高带宽、高可靠性的网络，能够为用户提供相应的QOS保障和平安，根据本次工程视频的需要，电信城域网的接入为用户提供2M的带宽保障。平台提供1GE以上的带宽保障。2.6 设备分布在本次工程中大局部设备是托管在电信各级IDC机房，少局部设备在各级组织部机房。具体设备分部情况如下表：设备安装表平台级别设备安装地点设备类型设备型号设备用途设备高度设备数量备注区级平台区IDC机房交换机设备会聚防火墙内外网平安隔离效劳器IDS数据行为分析存储数据存储KVM设备效劳器管理区组织部机房交换机设备会聚防火墙内外7、网平安隔离效劳器PC机市级平台市IDC机房交换机设备会聚防火墙内外网平安隔离效劳器IDS数据行为分析存储数据存储KVM设备效劳器管理市组织部机房交换机设备会聚效劳器PC机县级平台县IDC机房交换机设备会聚效劳器KVM设备效劳器管理市组织部机房交换机设备会聚效劳器PC机第三章 路由及策略规划广西电信的城域网及CN2提供ip层的路由传递，该工程各级平台的视频采用单播方式进行传送，考虑到用户在近段时期有上互联网的需求以及用户量大的情况，整个传送网络不采用VPN方式，广西电信的城域网以及CN2骨干网只提供IP路由可达，视频需求相应丢包、时延和抖动的QOS保障，在平台接入端提供GE带宽的保障，在用户接入8、端提供2M的接入带宽保障。第四章 IP地址规划及VLAN ID规划4.1 IP地址与VLAN ID分配原那么IP地址分配既要考虑到扩充，又要能做到连续；尽量给每个部门或业务分配连续的IP地址空间，并为将来的网络扩展预留一定的地址空间，以此减少网络的IP路由表的路由数目，减少网络路由的收敛时间，提高网络性能，增加网络的可靠性。IP地址的分配建议采用VLSM技术，保证IP地址的利用率；采用CIDR技术，可减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中播送的路由信息的大小。针对于该工程，为了提高网络的平安性，防止互联网对效劳器进行攻击，建议区、市级平台网络采用私有地址，对于需要外9、部访问的效劳器，采用NAT技术来实现外部对效劳器的访问，县级平台直接采用公网地址访问。为了实现对业务的细分，以及提高网络的性能，需要采用不同VLAN ID 的来进行部门或业务区分，便于业务的开展和管理，因此有必要对VLAN ID 进行统一规划和使用。序号VLAN范围VLAN用途110-99设备互联使用2100-200业务使用4.2 IP地址及VLAN分配表第五章 设备命名规划5.1 设备命名标准本次工程中涉及到的设备有效劳器、交换机、防火墙、IDS以及相关的控制设备等。为了以后管理的方便，设备命名需有一定的标准性。采用设备命名由设备简称、型号、配线间编号等局部组成。GX 平台编码 - 设备简称10、 - 设备型号 设备相对编号解释如下：GX代表“广西广西农村党员远程教育系统平台网络；平台编码根据各级平台信息进行编号，参见平台编号表；设备简称RT：路由器，SW：交换机等，见设备简称对应表；设备型号为IBMX3850、HP380、S5626C等；设备相对编号为该种设备唯一性标识，从01开始编号。平台编号表序号平台平台编号备注1自治区平台ZZQPT2南宁市平台NNSPT3柳州市平台LZSPT15河池市平台HCSPT16武鸣县平台WMXPT17隆安县平台LAXPT126东兰县平台DLX平台设备简称对应表序号设备设备简称对应备注1效劳器SRV2防火墙FW3交换机SW4入侵监测IDS5远程管理系统K11、VM6存储系统STG7编码器BM5.2 设备标签标准本次工程设计设备的标签标准建议如下：设备名称防火墙用户单位广西农村党员干部现代远程教育工程集 成 商中国电信集团系统集成有限责任公司安装日期2008-03-15系统设备标识GXNNSPT-FW-NFGW400001管理IP地址售后效劳0771-2176882 800-879-1688第六章 网络平安6.1 播送抑制播送报文会发送给特定网段内的所有主机，每台主机都会对收到的报文进行处理，做出回应或丢弃的决定，其结果是既消耗网络带宽又影响主机性能。播送风暴抑制可以限制播送流量的大小，对超过设定值的播送流量进行丢弃处理。建议在交换机设备启用播送风暴12、抑制功能，当播送流量超过用户设置的值后，系统将对播送流量作丢弃处理，使播送所占的流量比例降低到合理的范围，从而有效地抑制播送风暴，防止网络拥塞，保证网络业务的正常运行，提高了网络的可靠性。建议播送抑制比设置为3550。6.2 防攻击策略本次工程的防火墙设备提供非常丰富的防攻击特性： Smurf攻击防范功能 ICMP重定向报文攻击防范功能 ICMP不可达报文攻击防范功能 地址扫描攻击防范功能 端口扫描攻击防范功能 带路由记录选项IP报文攻击防范功能 Tracert报文攻击防范功能 Ping of Death攻击防范功能 IP分片报文攻击防范功能 超大ICMP报文攻击防范功能 通过配置ACL策略来13、过滤病毒和非法接入功能来保护内网免受恶意攻击，保证内部网络及系统的正常运行。6.3 平台系统平安要求整个平台系统要求开放对外开放：1、在图文浏览方面要求开放HTTP、HTTPS协议。2、在视频点播方面要求开放RTSP、RTCP、RTP协议。3、在视频直播方面，由于采用单播方式，因此与视频点播要求一样，开放RTSP、RTCP、RTP协议。4、在平台管理方面，要求开放SNMP，KVM系统需要的端口。6.4 设备管理要求设备管理的平安是一个重要的环节，应对设备本身基于以下的平安基线来保证网络平安： 鉴别和认证 访问控制 审计和跟踪 内容平安 冗余和恢复具体地讲，本工程涉及到的防火墙、ISD、交换机设14、备应在以下各方面保证网络平安： 对于远程登陆，必须设置相应的ACL，限定可远程登陆的主机IP地址范围，建议采用支持加密的登陆方式SSH，确保所有登陆效劳的位置都有口令保护，确保AUX和Console口都有EXEC口令，口令使用MD5加密 。对于必要的协议提供命令行方式的VTY连接，VTY只接受来自可信任的IP地址的连接，需要设置VTY连接超时。开启日志功能，关闭不需要的效劳。 对SNMP协议，确保使用SNMP版本2或以上，允许对MIB库进行读写操作的主机也要通过ACL设置限定在指定网段范围内，同时MIB库进行读写密码必须设定为非缺省值。各种密码必须为健壮口令，并定期进行更换。确保受权使用SNM15、P进行管理的主机限定在指定网段范围内。 对用户操作进行审计，用户分级分权设置帐号来对设备进行平安管理：将帐号分成两级，第一级只具备登陆进行查看配置功能；第二级属于管理员级别，能对设备进行配置操作。本工程涉及到的效劳器应在以下各方面保证网络平安：由于本次绝大局部的效劳器操作系统平台为RedHat linux，针对主机系统的平安建议如下：1、Accounts检查# less /etc/passwd grep :0: /etc/passwd注意新的用户，和UID,GID是0的用户2、Log检查注意“entered promiscuous mode注意错误信息3、Processes检查# ps -au16、x注意UID是的# lsof -p 可疑的进程号观察该进程所翻开端口和文件4、Files检查# find / -uid 0 perm -4000 print# find / -size +10000k print# find / -name “.“ print# find / -name “. “ print# find / -name “. “ print# find / -name “ “ print注意SUID文件，可疑大于，和空格文件5、Rpm检查# rpm Va输出格式：S File size differsM Mode differs (permissions)5 MD5 sum 17、differsD Device number mismatchL readLink path mismatchU user ownership differsG group ownership differsT modification time differs注意和这些相关的 /sbin, /bin, /usr/sbin, and /usr/bin平时养成安装第三方文件时checkMD5的习惯，运行的时候会出很多或者missing的提示，如果不是上面几个目录的，不用太注意。6、Network检查# ip link | grep PROMISC正常网卡不该在promisc模式，当然平安serv18、er除外，否那么可能是有人入侵在sniffer# lsof i# netstat nap观察不正常翻开的TCP/UDP端口，需要注意# arp a7、Schedule检查注意root和UID是的schedule# crontab u root l# cat /etc/crontab# ls /etc/cron.*8、不开没有的效劳进程和端口，登录采用SSHv2进行登录。9、注意采用Linux自身的防火墙软件IPTABLES来维护本机的平安，iptables的平安策略需要根据该效劳器的具体功能进行制定，我们将会同软件提供商一起，针对各台效劳器具体功能及提供的具体效劳情况进行平安策略的制定。10、19、启用SeLinux功能，提升linux自身的平安等级。11、及时根据RedHat厂家的平安更新通知，对系统打上平安补丁，防止发现的漏洞被其他人利用。12、linux的系统用户口令需要满足相关的标准要求，防止太短或太简单的口令被暴力破解，从而入侵效劳器。13、linux启动的Grub同样需要设定进入密码，防止无关人员进入机房重启linux效劳器，从Grub启动管理器进入系统的单用户模式，从而掌控该台效劳器。第七章 工程管理与工程实施7.1 工程组结构及职责7.1.1 工程组结构本工程由远程办相关领导组成工程领导组；工程管理组由监理公司、电信系统集成公司、威克姆公司组成，电信系统集成公司、威克姆公20、司分别指派一名具有良好技术背景、三年以上相关工程丰富工程实施经验的高级管理人员作为本工程的工程经理，负责工程的协调管理；电信系统集成公司、威克姆公司分别指派一名具有良好技术背景和丰富工程实施经验的管理人员，作为该工程的技术经理；电信指派四个工程管理丰富的人担任片区工程经理；各相关单位出相应人员组成实施小组。工程方案按照四个片区来进行实施，南宁片区包括：南宁、崇左、百色；柳州片区包括：柳州、来宾、河池；玉林片区包括：玉林、贵港、北海、钦州、防城；桂林片区包括：桂林、梧州、贺州。每个片区方案分两组同时进行实施。7.1.2 工程组成员职责1工程领导组 工程领导组由远程办相关人员组成，负责贯彻有关方针21、政策，负责工程的总体指挥、调度、沟通、综合及决策工程推动事宜。2工程组成员职责工程管理组由监理公司、电信系统集成公司、威克姆公司组成。负责该工程实施的具体组织和管理，制作详细的工程实施方案，并在实施过程中及时动态地调整工程整体方案，提高工作效率，保证实施进度；给各个现场实施小组分配任务，并以天为单位随时监控每个小组的实施情况，控制工程进度。接受监理投诉和协调用户需求的变化，及时反响制订应急方案，并报工程领导组和用户工程实施负责人。在小组中具体分工如下：监理公司负责整个工程实施的监督，及时反响向业主反响工程情况以及向工程组传达业主对工程的意见和建议，负责工程设备验货的组织，审核开工报告、施工组织22、设计、技术方案、进度方案和施工质量，负责工程验收的组织。电信系统集成分公司负责该工程实施的具体组织和管理，控制工程进度作为工程集成方，负责了解业务需求，在各设备提供商的配合下制作详细的工程集成、实施方案，制定工程实施进度方案，组织工程实施并监控工程的实施进度，并在实施过程中及时动态地调整工程整体方案，提高工作效率，保证实施进度，给各个现场实施小组分配任务，并以天为单位随时监控每个小组的实施情况，接受监理投诉和协调用户需求的变化，及时反响制订应急方案，并报工程监理和工程实施成员。配合监理完成工程的验收工作。负责工程中硬件设备的安装，网络的连接以及相关网络设备的配置。威科姆公司威科姆公司负责配合电23、信系统集成制定平台有关的技术方案，负责所提供设备运送到业主制定地点和验货，负责所提供设备系统软件、应用软件的安装和联调测试工作，以及作为设备供应商在工程界面中应尽的职责与义务。曙光公司曙光公司公司负责配合电信系统集成制定所提供平安设备有关的技术方案，负责所提供设备运送到业主制定地点和验货，以及提供和解决在实施中设备遇到的技术问题和故障。CISCO公司公司负责配合电信系统集成制定所提供设备有关的技术方案，负责所提供设备运送到业主制定地点和验货，以及提供和解决在实施中设备遇到的技术问题和故障。KVM公司公司负责配合电信系统集成制定所提供设备有关的技术方案，负责所提供设备运送到业主制定地点和验货，以24、及提供和解决在实施中设备遇到的技术问题和故障。电信运营商负责提前准备好托管在电信机房中设备的安装环境以及相应的传输链路，配合完成平台之间底层网络的调试工作。远程办及各地市组织部负责提前准备好设备的安装环境，配合实施组的实施工作，负责协调和解决工程中需要远程办及各地市组织部配合的所有事宜。7.2 工程进度方案工程进度方案详见附件：工程进度方案7.3 工程阶段划分从整体上将工程实施分为六个阶段。下面我们逐个阐述，各个阶段的工作描述。一、工程前期准备阶段工程前期准备阶段主要包括三方面的工作：一、电信系统集成分公司对农党工程的业务结构、规模、设备厂家的功能特性，电信的承载网络进行深入了解，在设备厂商的25、配合下提出工程集成技术方案以及集成实施方案和设备配置模板；综合考虑各方面因素制定工程的工程进度方案，成立工程工程组，完善工程实施需要的各方联系通讯录。二、各设备厂家进行工程需要的设备准备，并按照工程进度方案发货到客户指定地点。三、电信运营商按照工程方案准备工程托管设备的机房环境和需要的传输链路；业主按照工程方案准备设备的机房环境。二、新设备安装、调测阶段该阶段的实施前提条件：1、各节点采购设备都已运输到达现场；2、机房配套设备已经齐全、电源系统具备、所需传输链路已经调通，机房已经具备施工条件。主要根据工程进度方案完成工程新增设备的安装、调测工作，保证县平台能够与市平台之间通讯、市平台能够与区平26、台之间通讯，放在客户端的系统管理平台能够托管在电信机房的平台设备之间正常通讯，保证各级平台设备能够远端管理，按照各级测试标准测试通过。三、业务测试在完成全区的各级业务区、市、县平台安装后，在区中心平台对全区的各级平台进行检测，测试业务是否全部正常，平台管理是否正常。确保下一阶段业务的开展能够顺利进行。四、初验阶段在全区各级平台运行正常的情况，按照业主的要求进行工程的初验。五、试运行阶段初验完成后，整个平台进行试运行，进行用户终端业务开展，测试平台的性能和功能稳定性。六、终验阶段经过一个月左右的试运行，用户平台能够正常运行，满足业务开展的需求。进行工程的最终验收。7.4 工程实施本次工程整体为新27、增设备的搭建工程，所有设备均为新增设备，在工程具体实施上将先完成工勘后，在当地机房条件适宜的情况下开始工程施工，对于没有完成机房环境或不具备设备安装条件的节点。将暂缓施工，到所有环境要求满足后，再开始施工。具体各节点实施详见各节点实施方案。具体步骤如下：1、各设备提供商按照合同要求准备工程的设备，并按照工程要求运送到指定地点。2、机房电信托管机房和业主机房工勘，完成相应环境准备工作3、电信运营商根据工程需求准备相应的传输链路。4、针对工勘结果完善实施方案，完成最后工程施工准备工作5、按照施工进度方案进行设备开箱验货，清点设备件数6、按照施工进度，在机房机房环境和传输链路都具备条件的情况下，在预定时间内完成设备上架、加电、调测工作7、根据?实施调测报告?内容进行各项检测，并填写报告，由各方签字8、平台整体测试运行9、工程初验10、平台试运行。