【摘 要】新北京电视中心信息系统是以北京电视台在节目制作、管理、运营过程中所产生的各种信息为基础,实现各业务、职能部门的高效协同的信息管理系统。它直接服务于北京电视中心的节目生产、管理、决策的各个层次,贯穿于各业务层次的整个过程之中,实现对过程的有效监控,目的是为降低成本、提高效益、增强综合竞争能力而服务。本文主要从网络功能结构、Internet接入网络结构、服务器负载均衡的实现、用户的远程维护、网络安全系统几个方面加以阐述。
【关键词】IDC网络结构、服务器负载均衡、网络安全
一.概述
新北京电视中心信息系统是以北京电视台在节目制作、管理、运营过程中所产生的各种信息为基础,实现各业务、职能部门的高效协同的信息管理系统。它直接服务于新北京电视中心的节目生产、管理、决策的各个层次,贯穿于各业务层次的整个过程之中,实现对过程的有效监控,降低成本、提高效益、提升综合竞争能力。
新北京电视中心信息系统以计算机和通信技术为主要手段,结合广播电视数字、网络等前沿技术,建设一个覆盖北京电视台各部门所有业务,满足采、编、播、存、节目管理、新增业务各个方面需求,具有良好的开放性、扩展性、安全性,性能完善的综合企业信息系统。另外新北京电视中心将建立高层决策系统信息系统,加强中层控制信息系统,完善基层管理信息系统,为我台各部门提供全面的节目生产和信息服务,构造我台的业务协同。另外通过业务、管理以及决策支持系统,对Internet技术和相关软件系统的应用,解决企业内部信息的共享、协同工作等问题,提高节目生产、办公和办事的效率,降低运营成本,提高信息服务体系和决策支持系统的现代化水平,为领导决策和机关办公提供良好的支持。该系统设计应能够满足如下要求:
●满足我台信息的基本要求,让各部门可以通过简单易用的操作界面(如浏览器等),查询台内信息,为信息管理人员提供通用、友好的管理界面。
●建立我台基础实用的信息平台,方便地采用信息门户发布信息和进行各种业务扩展。
●建立方便实用、安全可靠、分级权限管理的信息服务系统。
●以我台采、编、播、存技术系统为基础,在不影响安全的前提下,提供各部门用户桌面节目查询检索、文稿处理、移动办公、异地办公等工作方式。
●在我台综合信息系统的基础上,通过信息系统实现台级领导对北京电视台全面控制和督导。
●在我台业务平台的基础上,建立企业级应用,针对各管理层次的需要,完成相关信息的共享与传递(如数据查询统计分析等)。
●信息资源的深层次综合利用,为我台各级领导和决策者服务。通过决策支持系统的建设,解决信息协同、流程化管理问题;策略规划落实与企业资源和效益的挖掘;业务信息统计的周期分析和预测分析等问题。
新北京电视中心信息网络建设基础核心为IDC(Internet Data Center)—Internet数据中心。它是传统的数据中心与Internet的结合,除了具有传统的数据中心所具有的数据集中、主机运行可靠等特点外,还要适应访问方式的变化,要做到7×24小时服务、反应速度快。IDC是一个提供信息数据资源服务的基地,具有非常好的机房环境、安全保证、网络带宽、主机的数量和主机的性能、大的存储数据空间、优秀的性能。IDC的基础建设主要体现在IDC网络建设、IDC基础系统建设、IDC应用服务系统建设、IDC综合管理系统等几个方面。IDC在前期建设中,首要任务之一是建设其基础服务系统,本文主要从技术系统DNS系统、目录服务系统、数据备份系统、安全系统等几个方面加以阐述。本文主要从网络功能结构、Internet接入网络结构、服务器负载均衡的实现、用户的远程维护、网络安全系统几个方面加以阐述。
二.新中心信息网络技术系统IDC网络建设
新中心信息网络技术系统IDC主要是依靠其有一个高性能的网络为其客户提供服务,这个高性能的网络包括LAN、WAN和与Internet接入等几个方面。IDC的网络建设要求具体如下:
●IDC的LAN的建设:包括其LAN的基础结构,LAN的层次,LAN的性能。
●IDC的WAN的建设:即IDC的各分支机构之间相互连接的广域网的建设。
●IDC的用户接入系统建设:即如何保证IDC的用户以安全、可靠的方式把数据传到IDC的数据中心,或对存放在IDC的用户自己的设备进行维护,这需要IDC为用户提供相应的接入方式。
●IDC与Internet互联的建设:IDC的网络管理建设,由于IDC的网络结构相当庞大而且复杂,要保证其网络不间断对外服务,而且高性能,必须有一高性能的网络管理系统。新中心信息网络技术系统IDC的服务器建设可分为多个方面,总体上分为基础服务系统服务器和应用服务系统服务器,详细区分如下:
●基础系统服务器:这类服务器是保障IDC为用户提供各种服务的前提,这类服务器有DNS服务器、目录服务器、网络管理服务器、防火墙服务器、各类安全服务器、IDC系统性能监控服务器等。
●数据库服务器:它是保证IDC可以为用户提供各种应用服务的基础,IDC的数据库服务器必须能支持大容量访问、多种数据库。
●数据备份服务器:它是IDC为用户提供安全服务的内容之一,保证用户的数据安全可靠。由于IDC的服务器种类繁多、有多种数据库,所以数据备份要支持多机型、多种数据格式等,而且容量要大。
●应用服务器:是IDC为电视中心各部门用户提供相关部门级应用服务的服务器。由于IDC的业务扩展的需要,应用服务器应具有很好的扩展性,支持各类应用软件的数量要多。
●服务器的负载均衡:这是IDC提供高性能、高可靠性服务的重要方法之一,服务器的负载均衡可由硬件设备(如网络交换设备)或软件的方法实现。
新中心信息网络技术存储系统是新中心IDC的重点建设内容之一,作为一个IDC,其存储系统是相当庞大的,特别是根据新电视中心信息化、网络化的需要,数据的容量已由GB级增长到TB级,如此大的数据需要有一个更加安全、可靠的存储系统,由于访问的数量也是相当庞大的,所以对存储系统的效率也有很高的要求;另外存储系统应具有很好的扩展性,以满足IDC的发展的需求。
三.新中心信息网络技术系统Internet接入网络结构
新中心信息网络技术系统的核心交换使用两台Catalyst 6509构成,形成全冗余的高速网络核心。分布层交换机Catalyst 4006使用两条千兆线路分别与两台6509相连,形成冗余的千兆主干。楼层交换机使用Catalyst 2924XL交换机。Cat6509上的千兆端口还用来连接其他的节点,与其他节点的LAN一起构成一个分布式的城域范围的数据中心的结构。图1给出了新中心信息网络技术系统IDC网络结构。各部分具体功能如下:●核心交换层:由两台CISCO6509多层交换机构成,实现双机容错工作,保证数据的高速、无阻塞的交换。
●策略分布层:可以由一组CSS11000系列内容交换机组成,负责完成服务器负载均衡和策略分布任务。
●服务器访问层:由一组Cat3524交换机组成,完成托管服务器的高速接入工作。
●后端网络:由两台CISCO[FS:Page]6509构成,实现双机容错工作,实现IDC管理中心,数据库、邮件、应用等服务器和存储系统的连接,托管服务器通过第二块网卡和后端网络相连,保证独立和高速的数据访问。同时,后端网络通过防火墙和前端的核心网络连接,实现IDC管理中心对前端网络的管理,防火墙则为后端网络提供更严格的保护。
●用户访问层:由若干台Cat4000和一组Cat2924组成,提供用户接入,提供INTERNET上网,部门级托管用户还可以通过VLAN和自己的托管服务器连接实现日常的维护工作。
1. 用CACHE方式加速新中心信息网络技术系统对INTERNET的访问
由于新北京电视中心内部用户对INTERNET的访问具有很大的重复性,所以有效地部署CACHE,可以大大地降低INTERNET接入的带宽负荷,提高内容的相应速度。
新中心使用NetCache C1105来提供缓存服务,将其连接在INTERNET接入路由器上提供服务。表1给出了缓存服务设备的主要特点。
2. 新中心信息网络技术系统WEB服务器的连接特点
为新中心IDC中的每台WEB服务器配置两组网卡:一组用于前端网络的连接,提供WEB访问;另一组用于后端网络的连接,提供对数据库、邮件等服务器以及存储系统的访问。通过使用不同的网络通道,对新中心数据库等后台进行访问,可以使服务器更充分的利用网络带宽来响应WEB请求;同时,后端网络与前端网络的分离,可以让高速、大容量的数据库访问、文件存取,享有更多的网络带宽。服务器通过一组接入交换机Cat3524连入主干交换网络。
3. 新中心信息网络技术系统后端网络的设计
由于新北京电视中心后端网络连接IDC管理中心、数据库、邮件等服务器和大容量存储系统,需要高速的交换系统,所以新中心使用两台Cat6509交换机作冗余的核心,连接一组Cat3524提供与WEB服务器的连接;对于数据库等服务器和存储系统,采用千兆宽带方式直接连接。
4. 新中心信息网络技术系统服务器负载均衡的实现
新中心信息网络技术系统采用多个服务器而不是一台大型服务器,可以提高服务器的响应性能,减少服务器的单点故障。但多台服务器的采用,必须考虑服务器的负载均衡问题。可以由CSS11000完成服务器的负载均衡。
通过ACA(Arrowpoint Content Assure protocol) 制定负荷参数,选择最小负荷的服务器提供用户所需的内容。
支持加权轮询(Weighted Round Robin),最小连接机制,最大连接数限制等多种算法实现负载均衡。
动态负载均衡。采用具有专利权的ACA算法,可以根据Cache服务器的命中率、流建立数和RTT(Round Trip Time),选择最合适的服务器应答用户的请求。表2给出了CSS支持负载均衡的八种方式。
考虑到新中心信息网络技术系统的建设初期,负载均衡交换机不是必须的设备,可以先不采用负载均衡设备,等到有需求的时候再增加。
四.新中心信息网络技术系统用户的远程维护及网络安全考虑
一般情况下,新中心信息网络技术系统IDC托管用户,会要求远程维护自己的托管服务器,由于用户只允许对自己托管的服务器进行访问,因此,必须采用如:VPN、VLAN等技术保证这一点。通过连接到后端网络的广域网路由器及提供用户通过专线、拨号、VPN等多种方式,实现远程维护。具体来讲:
●DDN专线:用户通过DDN专线连接到IDC中心,通过策略路由或VLAN被限制只能访问自己的服务器,进行维护。
●PSTN或ISDN拨号:用户通过拨号线路访问IDC中心,身份认证由AAA Server进行,并进行行为授权,保证用户只能访问到自己的服务器进行维护。
●VPN:用户可能距离IDC中心太远,从各方面不具备通过DDN或PSTN线路访问IDC中心的条件,这时可以通过INTERNET采用VPN的方式与IDC中心连接并维护服务器。这种情况下,由VPN Server或VPN 路由器保证连接的安全性和可靠性。VPN的实现,可以采用IPSec隧道和MPLS VPN技术,在保证信息正确可达的情况下,对用户信息进行高强度的加密,保证用户信息的不被窃取和完整性。
●VLAN:对于本地接入的电视中心各部门所托管的服务器,由于各部门信息网络和托管服务器处于一个LAN结构之内,所以,服务器运行维护可以通过定义VLAN进行。
五.新北京电视中心信息网络技术系统网络安全系统设计
新北京电视中心技术网络的安全主要通过防火墙和入侵检测系统来体现。通过部署防火墙系统,可以将网络划分成几个安全等级不同的部分,对于要求安全等级高的部分,还可以通过部署多级防火墙来提供安全保护。入侵检测系统则可以对恶意的入侵行为进行探测,进行记录。
1. 新北京电视中心信息网络技术系统防火墙设计策略
结合新北京电视中心信息网络技术系统的实际情况和需求,采用防火墙安放在新电视中心内部网络的出口处,用来隔离各网络与内部网络区域,构成第一道安全防护体系。
防火墙的作用是对广域网访问内部局域网、内部局域网访问广域网实施访问控制策略及包过滤等安全策略。由于新电视中心信息网络与公网宽带之间目前没有任何的防护措施,因此非常有必要通过防火墙进行隔离,实施访问控制等安全策略,来保证:
●在本部网络与广域网络彼此之间有合适、安全的界面;
●控制用户访问信息服务;
●监控非法入侵行为;
●防护来自广域网(外网)的非法入侵。
不安全地连接到网络服务会影响整个机构的安全。所以,只能让用户直接访问已明确授权使用的服务和已明确授权使用的内容。这种安全控制对连接敏感或重要业务的网络,或连接到在高风险地方(例如不在新电视中心安全管理及控制范围的公用或外部地方)的用户尤其重要。
2. 新北京电视中心信息网络技术系统入侵检测设计方案
入侵检测系统分为两类:一类是基于网络的入侵检测系统,另一类是基于主机的入侵检测系统。他们分别在入侵检测中扮演角色不同,起的作用也不同。其中基于网络的入侵检测系统可以对流经的数据包进行数据分析,过滤掉含有攻击指令和操作的数据包,保护网络的安全。提供对内部攻击、外部攻击和误操作的实时保护。
入侵检测系统是对入侵行为的检测和控制,是实施网络安全监控与入侵检测策略的核心手段。入侵检测作为一种积极主动的安全防护技术,从网络安全立体纵深、多层次防御的角度出发,对防范网络恶意攻击及误操作提供了主动的实时保护,它可在网络系统受到危害之前拦截和响应入侵。根据新北京电视中心信息网络技术系统安全的需求,我们建议采用基于网络入侵检测,以便对网络资源进行全面的保护。对于有接入公网的区域,安放网络入侵检测,从而实现对来自公网的入侵的主动防护,对来自外部和内部的非法及异常情况进行监控,构筑网络安全监控与管理体系。通过基于网络入侵检测装置,监视公网和内部局域网之间、内部局域网主机之间的网络通信,从中发现网络中是否有违反安全策略(包括攻击、泄密、资源滥用等)的行为和被攻击的迹象,一旦发现攻击,能够发出报警并采取相应的措施,如阻断、跟[FS:Page]踪等。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。同时把这些信息集中报告给新北京电视中心信息网络技术系统管理控制中心。
3. 新北京电视中心信息网络技术系统漏洞扫描设计
采用网络隐患扫描系统。网络用户只要将扫描器接入网络并进行正常的配置(必须配置IP和网关地址)即可正常使用,其可扫描范围为授权IP地址范围。
4. 新北京电视中心信息网络技术系统主机访问控制系统设计
操作系统作为计算机系统的基础软件是用来管理计算机资源的,它直接利用计算机硬件并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件作为基础。
主机访问控制软件是在操作系统的安全功能之上提供了一个安全保护层。通过从核心层截取文件访问控制,以加强操作系统的安全性。它具有完整的用户认证,访问控制及审计的功能,采用集中式管理,克服了分布式系统在管理上的许多问题。使用主机访问控制软件服务器自动进行自我保护,避免了人工干预。
主机访问控制系统完成的主要任务是:登陆控制、口令控制、文件访问控制、把权限分解、程序控制、对被监控文件的控制、进程控制、网络控制、审计控制等等。
六. 新中心信息网络技术系统网络的扩展性
新中心信息网络技术系统网络良好的扩展性可以使新电视中心IDC在相当长一段时间内持续提供一致服务,而无需进行新的投资。
新中心信息网络技术系统网络主交换机Cat6509采用模块设计,最多可以支持到384个10/100个快速以太端口,或130个千兆以太端口。其交换带宽可以从32Gb/s(15Mp/s)扩展到256Gb/s(150Mp/s),新中心可以根据需要选配端口。
新中心信息网络技术系统网络分布主交换机Cat4006也采用模块设计,支持六个接口插槽,最多可以扩展到240个快速以太端口,72个千兆以太端口。
新中心信息网络技术系统楼层交换机Cat2924支持10/100自适应端口速率,而且Cat2924支持多交换机堆叠,在端口数不够时,可以简便地扩充端口而无需增加上层交换机的端口。Cat4006可以通过千兆以太通道技术来提升主干连接速率,Cat2924也同样支持快速以太通道和千兆的主干连接,可以在需要的时候平滑地从现在的10M/100M/1000M的交换结构升级到100M/1000M/N×1000M的交换结构,成十倍地提升网络速率。
以上是在设计新北京电视中心信息网络IDC技术系统时的几个方面的考虑,希望能对同行有参考作用。一个完整的数字电视中心还有许多方面有待于向大家逐一介绍。