2008年01月07日

作为国内实力最强的媒体集团之一，新华通讯社（以下简称新华社）涉及多种传媒业务。在业务中产生的庞大的数据内容和信息量，对于媒体有着至关重要的价值，这使得新华社迫切需要在新建办公大楼部署强大可靠的网络系统。另一方面，面对迅速发展的新媒体业务，新的网络系统还必须有足够的带宽以及扩展性承载今后更高负荷数据流带来的压力。

独具特色的双网络结构

根据业务需求，网络建设分为两个独立的系统：内部局域网主要用于新闻内容的生产发布，要求网络负荷可以应对集中时段中的超高量数据传输；外部局域网则主要承担日常办公、资料查询以及外部沟通，要求网络的高可靠性特别是抵御外来病毒的侵扰。

双核心网络通过在内、外部局域网分别配制的高端交换机，在两条上联线路实现的链路备份和负载分担，避免了单点故障对整网的影响。在速度方面，高性能双路由交换引擎，完全满足新华社的网络数据传输需要，同时其核心设备所提供的最大近百个万兆接口，满足其将来的扩展需求，做到保护成本和节约投资。

基于信息点多、网络带宽需求大，同时信息点地址又具有位置集中的特点，因此网络系统采用两层扁平化网络体系结构进行网络规划建设。扁平化体系结构可以接入多用户、提供多种业务；网络建设与业务部署更快速；网络层次简单明了，便于管理和维护，并且网络稳定性增强，单点故障率低；同时能够明显减少网络投资。

无线网络部署

为满足业务需求，新办公大楼的会议室布置了接入外部局域网的无线网络信号覆盖，以实现数据业务和语音业务的无线传输，并且可实现三层漫游，使无线局域网和有线网成为一个整体，提供安全的无线接入。通过完善的管理系统，以实现外部局域网的无线网络用户的访问控制、AP入侵检测与隔离，并可通过将用户名和MAC地址进行绑定，防止外来非法人员通过无线网络的访问，以保证网络系统的安全性。

端点准入防御与流量分析

防止内容泄密以及黑客攻击对于媒体来说意义重大。网络系统采用EAD端点准入防御（EAD，Endpoint Admission Defense）解决方案，将接入层设备作为安全准入控制点，对试图接入网络的用户终端进行安全检查，强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查，防止非法用户和不符合企业安全策略的终端接入网络，降低病毒、蠕虫等安全威胁在企业扩散的风险。

同时，为保证网络系统的安全运行，系统在内、外部局域网之间建立安全控制机制，以提供各种日志功能、流量统计与分析、事件监控与统计、邮件告警等功能。系统采用的网络流量分析（Network Traffic Analysis）解决方案，对局域网中的应用进行流量监控，了解各种应用在网络流量中的带宽占用情况，并且监控应用是否正常运行。

VLAN设计与IP地址规划

在新华社内、外网中存在不同的业务，包括OA、语音视频编辑系统和采编系统等，在设计网络时为保证这些业务的安全和独立，在内、外网划分VLAN以实现这些业务的相互隔离。首先，通过端口的分隔使同一个交换机上、处于不同VLAN的端口不能通信，将一个物理的交换机当作多个逻辑的交换机使用；其次，限定不同VLAN不能直接通信，杜绝了广播信息的不安全性。另外，VLAN方式在更改用户所属的网络不必换端口和联线，只更改软件配置，管理更加灵活。

新华社新办公大楼的网络系统项目是一个网络扩充项目，考虑新华社网络的实际情况，对原先的IP地址不做变动，从而减少系统升级带来的影响。H3C采用了静态分配和动态分配相结合的方式分配IP地址：普通用户的IP地址、无线用户的IP地址由DHCP服务器动态分配，服务器地址、领导主机地址、设备管理地址、接口互联地址等采用固定IP地址。

网络设备管理系统

为了对局域网设备进行良好的维护管理，系统在内、外部局域网分别配置了一套网络管理软件。这套系统具有强大的配置管理功能，可以实现用户管理、告警管理以及性能管理等通用网络管理功能，还可以为用户实现设备软件备份与升级、接入设备远程批量配置、VPN性能监视与部署、支持设备告警分析、用户自定义拓扑以及防火墙日志分析等功能。

结束语

通过模块化的设计和先进的安全监测系统，整个系统不但充分利用了新华社原有的设备，还可以在今后需求增长时进行平滑升级，为新华社拓展新媒体业务提供支撑