中國國家圖書館方案

1、目錄第一章 國圖千兆位以太網(wǎng)設(shè)計與實施2第1節(jié) 設(shè)計指導(dǎo)思想2第2節(jié) 設(shè)計方案3第3節(jié) 網(wǎng)絡(luò)配置5第一章 國圖千兆位以太網(wǎng)設(shè)計與實施隨著計算機技術(shù)、通信技術(shù)和網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，數(shù)字圖書館日益成為各國競相研究、開發(fā)的重要課題。作為集數(shù)字化處理技術(shù)、網(wǎng)絡(luò)信息管理技術(shù)和數(shù)字式信息資源建設(shè)于一體的數(shù)字圖書館，是21世紀(jì)信息產(chǎn)業(yè)的主要發(fā)展方向之一。國家計委于1997年批準(zhǔn)了以中國國家圖書館（原北京圖書館）為首、國內(nèi)多家著名圖書館參與的國家重點科研項目中國試驗性數(shù)字圖書館，這就對國家圖書館的網(wǎng)絡(luò)建設(shè)提出了很高的要求。第1節(jié) 設(shè)計指導(dǎo)思想由于對網(wǎng)絡(luò)工程要求很高，所以采用什么類型的網(wǎng)絡(luò)至關(guān)重要。經(jīng)過周密的考

2、慮，結(jié)合國家圖書館的特點，確定網(wǎng)絡(luò)必須采用先進(jìn)的技術(shù)和產(chǎn)品，并且能適應(yīng)未來需求的增長，易于平滑升級，保護(hù)現(xiàn)有的投資。通過對技術(shù)和市場的廣泛調(diào)研，最終決定骨干網(wǎng)采用千兆位以太網(wǎng)技術(shù)。千兆位以太網(wǎng)技術(shù)使主干網(wǎng)的速率得以大大提高，它是改善交換機與交換機之間和交換機與服務(wù)器之間連接的可靠、經(jīng)濟(jì)的途徑。網(wǎng)絡(luò)設(shè)計人員能夠利用它建立有效使用高速、任務(wù)關(guān)鍵的應(yīng)用程序和文件備份的高速基礎(chǔ)設(shè)施。網(wǎng)絡(luò)管理人員可以為用戶提供對服務(wù)器區(qū)、Intranet/Intranet與廣域網(wǎng)的更快速的訪問。千兆位以太網(wǎng)具有性能價格比好、易于升級和管理、保護(hù)投資等特點，這些正是國圖網(wǎng)絡(luò)所需要的。網(wǎng)絡(luò)系統(tǒng)選用了3Com公司的CoreB

3、uilder 9000做骨干交換機。CB 9000千兆以太網(wǎng)交換機遵從標(biāo)準(zhǔn)的網(wǎng)絡(luò)協(xié)議，為基于TCP/IP協(xié)議的應(yīng)用提供透明的網(wǎng)絡(luò)平臺，同時提供服務(wù)質(zhì)量（QoS）策略服務(wù)，不需要對應(yīng)用進(jìn)行特別的修改，在以太網(wǎng)上實現(xiàn)多媒體等實時應(yīng)用。另一方面，CB9000支持標(biāo)準(zhǔn)的局域網(wǎng)仿真協(xié)議，為基于以太網(wǎng)TCP/IP協(xié)議的應(yīng)用提供完全兼容的環(huán)境。同時基于ATM的多媒體應(yīng)用，可以在ATM環(huán)境下實現(xiàn)高品質(zhì)的服務(wù)質(zhì)量保證。第2節(jié) 設(shè)計方案國家圖書館的網(wǎng)絡(luò)建設(shè)包括圖書館本身的館域網(wǎng)以及實現(xiàn)與中國科技網(wǎng)、中國教育與科研網(wǎng)、Chinanet、廣電網(wǎng)、北京大學(xué)、清華大學(xué)等網(wǎng)絡(luò)的互聯(lián)。國家圖書館的館域網(wǎng)采用了千兆以太網(wǎng)為主干

4、，獨享10M到桌面的星形結(jié)構(gòu)。從數(shù)字圖書館的實際出發(fā)，館域網(wǎng)不僅要傳送文本，還要支持大量的多媒體服務(wù)，因此對網(wǎng)絡(luò)的帶寬要求很高。國家圖書館從實際出發(fā)，要求在館域網(wǎng)中建立3個邏輯子網(wǎng)；一個是讀者服務(wù)網(wǎng)，分在大樓的各個地方；一個是業(yè)務(wù)工作網(wǎng)，分布在大樓和行政樓、分館的各個地方；第三個是數(shù)字圖書館試驗環(huán)境，分布在國家圖書館東側(cè)1、4等層。合理地處理3個邏輯網(wǎng)的連接、劃分、安全性設(shè)計是保障它們可靠工作的關(guān)健。國家圖書館鋪設(shè)主干光纖，從主交換機到主交換機采用單模光纖，從主交換機到分支交換機采用多模光纖，傳輸1000M以太網(wǎng)信息。這些光纖將保證國家圖書館內(nèi)部網(wǎng)絡(luò)在810年內(nèi)使用，所以，對于光纖網(wǎng)絡(luò)的要求非

5、常嚴(yán)格。從分支交換機到終端和分支交換機到分散的服務(wù)器采用五類或超五類線，保證10M獨享和100M獨享。國家圖書館館域網(wǎng)將與外部使用光纜相連，考慮到將來的拓展和保證現(xiàn)有投入的連續(xù)有效，在目前的產(chǎn)品中要求考慮1020個100M以太網(wǎng)端的連接，所以對產(chǎn)品的延續(xù)性提出嚴(yán)格要求?？梢栽黾有碌脑O(shè)備，但是必須保證現(xiàn)有的設(shè)備可以與新的設(shè)備相連，新的設(shè)備在連接到終端時不要新的線路和更多的冗余，只考慮如何與老設(shè)備溝通和增加高速接口用于信息服務(wù)器和數(shù)據(jù)倉庫等。國家圖書館共有互聯(lián)網(wǎng)IP地址128個，除了在國家圖書館互聯(lián)網(wǎng)服務(wù)器需要若干IP用于WWW服務(wù)器、E-mail服務(wù)器、FTP服務(wù)器等以外，其他地址用于國家圖書館

6、內(nèi)部訪問互聯(lián)網(wǎng)時使用(約為1200個內(nèi)部節(jié)點)。這些互聯(lián)網(wǎng)服務(wù)器設(shè)在國家圖書館廣域網(wǎng)接入防火墻之外，內(nèi)部網(wǎng)在防火墻之內(nèi)。整個網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，采用兩級網(wǎng)絡(luò)結(jié)構(gòu)，網(wǎng)絡(luò)主干層采用兩臺CB 9000，通過雙千兆以太鏈路互聯(lián)，實現(xiàn)負(fù)載平衡和冗余備份；用戶接入層采用3Com公司的邊界交換機SuperStack 1100組，每4臺堆疊成一組，通過一個千兆以太模塊上連至主干，下連客戶工作站。網(wǎng)管工作站、防火墻主機和路由器通過100M快速以太網(wǎng)端口直接與主干交換機相連。圖1網(wǎng)絡(luò)結(jié)構(gòu)第3節(jié) 網(wǎng)絡(luò)配置主干交換機主干層的2臺千兆以太網(wǎng)交換機CB 9000，分別置于兩個房間。主干交換機各配置一塊24Gbps千兆以太

7、網(wǎng)交換引擎，一塊20端口10M/100M自適應(yīng)以太交換模塊，一塊12端口10M/100M自適應(yīng)第三層交換模塊，8塊2端口1000BaseSX輸入輸出模塊和1塊2端口1000BaseLX輸出模塊。接入交換機接入層交換機根據(jù)用戶的實際情況采用SuperStack以太網(wǎng)工作組交換機Switch1100，每4臺堆疊成一組，共12組，每組配置如下：SuperStackSwitch1100帶24個10Base-T和2個10/100Base-T自適應(yīng)端口SuperStack 堆疊模塊SuperStack 堆疊電纜SuperStack 千兆上聯(lián)模塊路由器配置在主干網(wǎng)上配置一臺3Com公司中心路由器NetBui

8、lder，通過100M快速以太網(wǎng)模塊直接連到CB 9000交換機上，實現(xiàn)與遠(yuǎn)地的子網(wǎng)連接和Internet的連接。中心路由器具體配置如下：4槽機箱，通信引擎DPE模塊100Mbps快速以太模塊(用于與主干網(wǎng)互連)HSS4口V.35模塊(用于E1/T1的廣域連接)網(wǎng)絡(luò)管理系統(tǒng)網(wǎng)絡(luò)采用3Com公司的網(wǎng)管軟件Transcend Enterprise Manager for Unix來監(jiān)控管理網(wǎng)絡(luò)設(shè)備，網(wǎng)管硬件平臺為Sun公司的Ultrastation 2工作站，采用HP公司的OpenView作為網(wǎng)管的軟件平臺。防火墻設(shè)計方案國家圖書館網(wǎng)絡(luò)工程是內(nèi)部網(wǎng)，既要求與國際Internet互聯(lián)，又必須保證內(nèi)部

9、網(wǎng)不受外界的干擾和破壞，因此設(shè)立防火墻服務(wù)器很有必要。由于同時也用該服務(wù)器作NAT服務(wù)器，性能上要求很高，所以采用Sun公司的E3500服務(wù)器。配置4塊100M快速以太網(wǎng)卡，連入主干交換機。配置Firewall-I（250用戶）軟件作為防火墻軟件。虛網(wǎng)劃分根據(jù)國家圖書館對網(wǎng)絡(luò)系統(tǒng)的實際要求，在內(nèi)部應(yīng)設(shè)置3個虛網(wǎng)?？紤]到系統(tǒng)安全設(shè)計的需要，整個網(wǎng)絡(luò)在邏輯上設(shè)置成4個虛網(wǎng)，其中3個虛網(wǎng)分別對應(yīng)用戶的讀者服務(wù)網(wǎng)、業(yè)務(wù)工作網(wǎng)和數(shù)字圖書網(wǎng)，還有一個為隔離虛網(wǎng)。3個業(yè)務(wù)網(wǎng)通過在CB 9000主干交換機上設(shè)置第三層交換功能實現(xiàn)網(wǎng)間數(shù)據(jù)交換，隔離虛網(wǎng)則與3個業(yè)務(wù)網(wǎng)完全隔離。就是說4個虛擬邏輯子網(wǎng)物理上是相互獨

10、立的，在不同的子網(wǎng)內(nèi)資源訪問權(quán)限，可以根據(jù)用戶來進(jìn)行分配。3個業(yè)務(wù)子網(wǎng)需要跨子網(wǎng)訪問網(wǎng)絡(luò)資源，要經(jīng)過第三層交換機，它和路由器一樣可以進(jìn)行IP地址過濾，提高網(wǎng)絡(luò)的安全性。對于外部用戶，透過Internet，必須通過防火墻的身份檢查，然后進(jìn)行授權(quán)，才可以對資源進(jìn)行訪問。因此可以根據(jù)館內(nèi)資源的管理策略，通過防火墻進(jìn)行更加嚴(yán)格的網(wǎng)絡(luò)控制，實現(xiàn)網(wǎng)絡(luò)的安全策略管理。防火墻主機上配置4塊100M網(wǎng)卡，分別連入上述的4個虛網(wǎng)，通過該主機將3個業(yè)務(wù)虛網(wǎng)與隔離虛網(wǎng)連接起來，路由器在邏輯上劃入到隔離虛網(wǎng)中，用以與Internet連接，同時起第一級防火墻的作用(主要防網(wǎng)絡(luò)級的侵?jǐn)_)。這樣配置能夠保證內(nèi)部網(wǎng)具備兩級防衛(wèi)，安全級別高，可抵御網(wǎng)絡(luò)及應(yīng)用級的侵?jǐn)_。網(wǎng)絡(luò)互聯(lián)館內(nèi)網(wǎng)絡(luò)通過3Com NetBuilder(4槽)路由器配置的4個FlexWAN接口連接到DCE設(shè)備接口上，與郵電部門提供的E1/T1相連。另外NetBuilder路由器配置了一塊8口ISDNBRI接口模塊，用于與分館的廣域網(wǎng)連接。NetBuilder的軟件包中提供增強的防火墻功能，IP包過濾器以及NAT(地址變換)功能，在系統(tǒng)配置時，路由器全部端口均設(shè)置真IP地址，同時設(shè)備自身的防火墻和IP包過濾功能，地址翻譯功能不通過路由器實現(xiàn)。星欣設(shè)計圖庫資料專賣店擁有