引言： 某地十年前建成了覆盖该地所有镇和二百多个村居的在线学习网络，该网络是包含有上千台终端计算机通过光纤线路组成的在线学习城域网。近几年，各级教学平台推出了越来越多的新业务，管理部门决定，在充分利用现有基础设施资源的情况下，将网络升级，形成横向连接相关学习系统，纵向连接村居、镇（街道、乡）的统一学习平台。

目前现状

该地在线学习网络的组网结构比较简单，各个上网节点的终端计算机分别通过2M光纤线路接入对应乡镇的二层交换机，二层交换机通过100M光纤接入到上级部门的汇聚层交换机上，最后租用本地ISP的100M带宽与Internet网络保持连接。每个镇的上网接入点只负责数据转发任务，不进行其他任何操作，该地的在线学习网络机房使用的核心路由交换机是Quidway S8500系列产品，整个在线学习网在硬件防火墙的保护下，连接到因特网上，本地在线学习平台位于DMZ区域，而且这个区域中还包含教学资源库、在线图书馆服务器、视频点播服务器等。

近几年，在线学习各级教学平台推出了越来越多的新业务系统，但与之相配套的硬件设备却没有得到及时升级，这就给在线学习网络的正常运行带来了一些明显问题，这些问题主要表现在两个方面，一是终端用户上网时传输性能无法满足新业务系统的正常工作；网络传输速度相当不稳定，快时能正常访问各种业务系统，慢时一个网页都无法打开。每个上网节点所属的局域网网络频繁发生各类网络攻击，严重影响在线学习操作的正常进行。二是本地在线学习平台的上网出口只有一条光纤线路，在各个终端用户同时集中收看视频会议时，线路不断出现掉线现象，即使勉强不掉线，由于带宽资源十分有限，视频播放画面相当不流畅，直接影响了会议收看效果。

升级目标

按照上级部门的统一规划和标准规范，在充分利用现有基础设施资源的情况下，将网络升级、改造成技术先进、边界清晰、安全可靠、结构合理的本地在线学习网络，形成横向连接相关学习系统和部门单位，纵向连接村居、镇（街道、乡）的统一学习平台。该平台不但可以允许各上网节点所在局域网的授权接入，而且能提供统一的上网出口和安全防护保护，还要能够与上级在线学习网络平台形成对接。此外，还需要注重网络管理、改善网络结构，有效提升在线学习业务系统承载能力，为各个系统应用提供支撑。升级、改造后的本地在线学习网络，将是一个可靠、安全、稳定、易管理、可扩展的先进网络，既可以满足目前各单位、各部门的高速接入、VPN专网等多种业务的发展需要，又可以满足全网用户视频、语音等新的业务的需要。

升级原则

依照网络技术发展的趋势，以及上级在线学习网络平台的建设需求，我们采取下面的原则来升级、改造现有网络。

1.稳定原则

合理设计网络架构，选用稳定性高的设备产品，制定可靠网络备份策略，保证网络具有很高的容错能力，能最大限度地抵御外界环境的影响和人为操作失误的能力，确保整个在线学习网络的单一节点故障，不会对整体造成任何影响。骨干网络具有较高的网络传输带宽，同时在高负荷状态下，仍然能够达到较高的网络吞吐能力和传输效率，网络传输延迟低，确保各种数据信息的高质量传输。

2.安全原则

支持系统安全防护能力，避免在线学习网络中的各个业务系统被人为攻击或破坏。特别要具有路由验证、地址转换、虚拟连接、密码加密、访问策略控制、AAA认证、日志等安全功能，确保系统安全运行。

3.扩展原则

在线学习网络平台的体系结构坚持开放型、标准性原则。软硬件平台选取符合国际标准协议，有利于以后增加新设备和新用户，易于和其他类型网络连接，随着在线学习业务系统的逐步成熟不断扩充和延伸，充分保护现有设施。

4.管理原则

对整个在线学习网络应能够进行统一的管理和监控。对网络的管理可以采用分权的策略，由各单位、各部门管理各自的局域网网络，由本地在线学习管理中心统一管理跨部门的网络，分配网络带宽、IP地址等网络资源。支持QoS功能，能依照在线学习业务系统的要求，提供不同等级的服务并确保网络服务质量，提供数据报文分类和数据拥塞控制以及数据流量整形等。

5.先进原则

充分考虑到网络管理技术的发展方向，把目前的成熟技术和先进的网络技术标准结合起来，兼顾在线学习网络业务应用的现状和未来发展的趋势。

组网结构

针对当前的网络现状和劣势，新的组网架构采用网络设计中广泛采用的三层体系结构来设计，分为核心层、汇聚层和接入层。核心层主要进行在线学习教学数据的快速转发，其网络结构重点要考虑可靠性和扩展性。汇聚层主要负责汇集各接入层设备，扩大核心层设备的端口密度和种类，同时进行三层路由选择、虚网划分等。接入层负责提供各种类型用户的接入，将不同位置分布的用户接入到县级在线学习网络中。在线学习网络系统从规模上来说是一个大型的城域网络。网络应用主要以基于IP的应用为主。在线学习网络采用星型结构，网络的核心层位于本地在线学习中心机房，由核心路由器组成。汇聚层由通信运营商（ISP）的在线学习城域网络及中心机房网络两部分构成，各级单位的节点构成了网络的接入层，如图1所示。中心机房所在大楼内的各单位、各部门，通过大楼内网的汇聚层交换机接入到在线学习网的核心层节点，各个镇（街道、乡）通过位于通信运营商机房内的汇聚层交换机连接到在线学习网的核心层节点。

网络改造

为了确保整个在线学习网运行的高速、可靠，网络的核心层路由器采用双核心的方式，汇聚层的交换机分别通过两路光纤连接到核心层的两台核心路由器上。考虑在线学习网用户数量及数据流量将会非常大，及将来与上级在线学习网相连后的网络流量的增加，在线学习网两台核心层路由设备采用具有较强路由能力及可扩展性的路由器产品，此产品属于高端路由器，采用冗余配置。该路由器主控和交换分离，单主控故障时不影响业务转发，需具备独立的交换网板插槽；支持L2/L3 MPLS VPN业务，支持高性能P/PE应用，支持三种跨域MPLS VPN方式；支持IPv4、IPv6路由协议；支持静态路由、RIPv1/v2、OSPFv2、BGP、IS-IS、路由策略、等价多路径、非平衡链路负载均衡，PIM-DM、PIM-SM、MBGP等路由协议。在该路由器上配置多口的千兆光纤模块，用于连接通信运营商的汇聚交换机、中心机房的汇聚交换机。

图1 网络结构

本地核心路由器使用运营商MSTP专线连接各个部门和镇（街道、乡）的汇聚交换机，分别使用500M（主线路）、100M(备线路)2条通信链路（来自不同运营商），这两条线路在工作状态正常的时候，可以分担在线学习业务系统的流量，一旦发生某个设备瘫痪或某条线路掉线现象时，在线学习业务系统的流量可以自动切换到状态正常的通信链路上。核心层节点与汇聚层节点之间采用星形连接，在光纤资源能够得到充分保证的情况下，每个核心层和汇聚层节点有两个节点相连，保证网络连接的可靠性。汇聚层设备与核心层设备都采用千兆连接，并且支持万兆连接的扩充能力；汇聚层设备采用三层交换机或中高档路由器，支持MPLS VPN技术，同时能够作为MPLS VPN中的PE节点，以方便进行虚拟专网的管理。本地核心设备主要在在线学习网的核心位置，核心层主要提供流量的高性能、大容量转发，提供多业务的安全可靠传送。在核心层全网启用三层路由化建设，整网采用IP/MPLS技术，确保相同的物理平面通过MPLS VPN技术，达到多个逻辑业务承载平面。为了确保整个网络的运行稳定，在核心层设备上采取大量可靠性技术，包括网络高稳定、设备高稳定、跨域高稳定等。在满足这些基本要求的情况下，还能提供高密度、大容量端口，满足在线学习网络的各项功能要求。

在线学习城域网设置接入区，采用三层汇聚交换机用于汇聚约为120个中心机房所在大楼内、外接入单位，连接一些有在线学习需求的单位和部门，其中30家重点单位采用300M带宽接入本次在线学习网，且使用来自不同运营商的另外一条100M通信链路作为备用线路，这几十家单位各安装一台接入路由器，实现单位与在线学习网络的连接。其他一般单位也采用接入路由器接入，使用50M线路与在线学习网络对接，且不使用备用线路。

安全改造

在在线学习网络出口处，除了进行NAT转换功能外，还采取其他一些安全措施，来保护整个网络的安全运行。在线学习系统的安全性取决于能否正确验证用户或终端的个人身份，本地在线学习教学业务系统将统一使用上级在线学习CA认证系统。部署上网行为审计设备，实现对在线学习网络访问行为进行严格管理，达到网络访问行为记录和数据流量管理功能。本地在线学习中心服务器群与在线学习网汇聚设备之间安装部署硬件防火墙，巧妙通过防火墙的安全机制，来有效避免非法攻击，保证对在线学习网络运行正常。各部门、各单位局域网接入本地在线学习网时，也通过定义防火墙安全规则，加强对局域网和在线学习网的安全保护。将VPN设备的在线学习内外网IP地址映射，在因特网接入防火墙上，映射为合适的公网地址和网络端口。在对应防火墙设备上，启用SSL加密流量安全测试功能，对进出在线学习网络的SSL VPN加密访问流量进行更进一步的追踪和监控。部署入侵检测系统（IDS），实现对在线学习网络或相关业务系统中活动状态的监控和检测，要是探测到在线学习网络中的可疑行为或恶意攻击，IDS便可做出及时的报警和响应，甚至可以调整防火墙的配置策略，与其进行联动，阻断恶意的入侵。

安装部署抗DDoS设备，实现对在线学习网络攻击精确实时的识别、阻断和限制，安装部署IPS设备，实现对网络应用层的攻击和防护。部署漏洞扫描系统，对在线学习网络进行全面扫描、检查，查找其中是否有可被黑客利用的漏洞，对在线学习教学系统安全状况进行评估、分析，同时对扫描发现到的问题提出解决修补建议，从而提高在线学习系统安全性能的过程。为了方便工作人员的管理，在本地在线学习中心机房安装部署一套漏洞扫描系统，对整个远程网络进行定期或不定期的安全扫描。

在线学习网络建立授权管理系统，负责登记、增加、删除、修改、审核、维护各上网用户的属性，建立属性库，用LDAP来管理所有上网用户的属性。上网人员通过严格的身份认证登录核心网后，从属性库中提取属性证书，根据属性证书访问数据资源，用户不需要再次进行身份认证。用户按部门、职位、工作等分权限访问。在在线学习网络安装部署安全审计系统，收集网络设备、安全设备、业务系统内部所产生的审计数据；记录所有用户对重要设备、数据库的操作行为；采用数据挖掘技术对收集到的数据进行智能分析，对安全隐患做出预测，并能采取相应的防范措施。审计跟踪也是在线学习网络和业务系统安全解决方案中重要的组成部分。审计是记录用户使用在线学习网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了在线学习业务系统，还能指出该系统被怎样地使用。对于确定是否有在线学习网络攻击的情况，审计信息对于确定问题和攻击源很重要，并且它是后面阶段事故处理的重要依据，为网络犯罪行为及泄密行为提供取证基础。另外，通过对安全事件的不断收集与积累并加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便为发现可能产生的破坏性行为提供有力的依据。