馮海慶

山西陽(yáng)泉教育城域網(wǎng)是由陽(yáng)泉教育信息網(wǎng)絡(luò)中心與各區(qū)縣學(xué)校局域網(wǎng)共同組建的、以覆蓋整個(gè)陽(yáng)泉市為目標(biāo)的大型集中式計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。該城域網(wǎng)實(shí)現(xiàn)千兆到縣區(qū)，百兆到學(xué)校，綁定兩個(gè)千兆線(xiàn)路到教育信息網(wǎng)絡(luò)中心的網(wǎng)絡(luò)結(jié)構(gòu)。第一期工程將150所學(xué)校分批建成高標(biāo)準(zhǔn)校園網(wǎng)，以光纖方式接入教育城域網(wǎng)，逐步實(shí)現(xiàn)“校校通”、“班班（室室）通”、“（教工宿舍）戶(hù)戶(hù)通”的建設(shè)目標(biāo)。

一、建設(shè)功能分析

陽(yáng)泉教育城域網(wǎng)集全市教育系統(tǒng)內(nèi)的行政管理、信息發(fā)布、資源共享、在線(xiàn)備課、在線(xiàn)教學(xué)、在線(xiàn)考試、遠(yuǎn)程教育、電子圖書(shū)館以及課堂直播互動(dòng)學(xué)習(xí)、視頻會(huì)議、視頻廣播教學(xué)、視頻點(diǎn)播等功能于一體。其中視頻功能占很大比重，這是與其他網(wǎng)絡(luò)的重要區(qū)別之一。

二、城域網(wǎng)解決方案

陽(yáng)泉市教育信息網(wǎng)絡(luò)中心根據(jù)城域網(wǎng)整體布局要求，選用銳捷網(wǎng)絡(luò)產(chǎn)品。

1．網(wǎng)絡(luò)結(jié)構(gòu)

從陽(yáng)泉教育城域網(wǎng)網(wǎng)絡(luò)拓?fù)鋱D（圖1）可以看出，其網(wǎng)絡(luò)結(jié)構(gòu)可分為骨干層、匯聚層和接入層。

（1）骨干層

這是教育城域網(wǎng)的運(yùn)行中樞，為整個(gè)城域網(wǎng)提供快速交換和網(wǎng)絡(luò)管理支持，是各類(lèi)數(shù)據(jù)、媒體流匯聚的地方。骨干層以IDC形式為城域網(wǎng)提供服務(wù)和出口管理。核心路由交換機(jī)具備高可靠性、高性能、高端口密度、高安全性、可管理性等要求，并具有網(wǎng)絡(luò)可擴(kuò)容升級(jí)能力和多種業(yè)務(wù)支持能力。在完成高速交換的基礎(chǔ)上，骨干層能夠提供穩(wěn)定可靠的網(wǎng)絡(luò)基礎(chǔ)服務(wù)功能并能夠支持其他層的基礎(chǔ)功能、分布服務(wù)以及QOS保證。

（2）匯聚層

這是保證與骨干層和接入層有效連接、提供分布服務(wù)、設(shè)置網(wǎng)絡(luò)路由的重要層次。根據(jù)實(shí)際情況，陽(yáng)泉市教育城域網(wǎng)將各縣區(qū)教育局網(wǎng)絡(luò)中心和各學(xué)校校園網(wǎng)網(wǎng)絡(luò)中心作為匯聚層。為了不影響市教育信息網(wǎng)絡(luò)中心核心交換機(jī)的性能，所有接入城域網(wǎng)的學(xué)校網(wǎng)絡(luò)中心采用智能三層交換機(jī)控制學(xué)校內(nèi)行政、辦公、教學(xué)、學(xué)生上網(wǎng)、后勤等多個(gè)子網(wǎng)和VLAN之間的路由轉(zhuǎn)發(fā)和訪(fǎng)問(wèn)控制。各縣區(qū)教育局網(wǎng)絡(luò)中心采用高性能三層交換機(jī)，通過(guò)路由設(shè)置，承擔(dān)本縣區(qū)各學(xué)校之間的路由轉(zhuǎn)發(fā)和訪(fǎng)問(wèn)控制。這些匯接點(diǎn)路由根據(jù)市網(wǎng)絡(luò)中心全網(wǎng)要求統(tǒng)一設(shè)置。

（3）接入層

該層集合了教育城域網(wǎng)匯聚層的所有教育教學(xué)最終用戶(hù)。師生通過(guò)接入層進(jìn)入教育網(wǎng)絡(luò)，利用網(wǎng)絡(luò)學(xué)習(xí)、工作。本方案采用可網(wǎng)管百兆以太網(wǎng)交換機(jī)或可堆疊百兆以太網(wǎng)交換機(jī)作為網(wǎng)絡(luò)的接入層交換機(jī)。

2．教育信息網(wǎng)絡(luò)中心

陽(yáng)泉教育信息網(wǎng)絡(luò)中心按照功能劃分為兩個(gè)虛擬網(wǎng)：Server VLAN和Client VLAN。各種內(nèi)網(wǎng)應(yīng)用服務(wù)器及數(shù)據(jù)庫(kù)服務(wù)器統(tǒng)一組成Server VLAN。計(jì)費(fèi)網(wǎng)關(guān)接在防火墻的內(nèi)網(wǎng)端口上。面向外網(wǎng)的服務(wù)器（Web、Mail、FTP服務(wù)器等）放置在防火墻的DMZ區(qū)內(nèi)。網(wǎng)絡(luò)中心其他客戶(hù)機(jī)單獨(dú)設(shè)置成Client VLAN。

教育信息網(wǎng)絡(luò)中心需要同時(shí)承載全市百余所學(xué)校幾千名師生的瀏覽、查詢(xún)、調(diào)用和下載等訪(fǎng)問(wèn)請(qǐng)求。因此，內(nèi)網(wǎng)服務(wù)器群采用的是與核心路由交換機(jī)千兆光纖相連接的拓?fù)浣Y(jié)構(gòu)（圖2）。

核心交換機(jī)采用銳捷網(wǎng)STAR-S6808全模塊化骨干路由交換機(jī)。各端口都能夠全線(xiàn)速地轉(zhuǎn)發(fā)路由和交換數(shù)據(jù)包，能夠在主用管理模塊失效時(shí)保持已建立的信息流，并可在幾秒鐘內(nèi)建立新的信息流，無(wú)中斷保護(hù)ICS，提供數(shù)據(jù)傳送的高可靠性。同時(shí)還提供數(shù)據(jù)并行處理和業(yè)務(wù)流無(wú)縫切換的功能。

STAR-S6808基于第四層的負(fù)載均衡功能為數(shù)據(jù)中心提供了強(qiáng)大的流量管理工具。該功能可以將服務(wù)器群劃分成虛擬的服務(wù)組，然后將收到的服務(wù)請(qǐng)求分配給這些服務(wù)組。STAR-S6808通過(guò)PING監(jiān)測(cè)服務(wù)器組內(nèi)各臺(tái)機(jī)器的運(yùn)行狀態(tài)。STAR-S6808會(huì)話(huà)保持功能允許管理員控制負(fù)載均衡機(jī)制，使同一會(huì)話(huà)的服務(wù)請(qǐng)求保持在同一服務(wù)器上而不再是多臺(tái)服務(wù)器上作負(fù)載均衡。數(shù)據(jù)中心的數(shù)據(jù)存貯業(yè)務(wù)可以通過(guò)SLA保證數(shù)據(jù)從用戶(hù)場(chǎng)地到存貯服務(wù)器的傳輸?shù)靡约訌?qiáng)。

WLM Firewall 2.0 B型防火墻不但從根本上提高了網(wǎng)絡(luò)的安全性，而且提供有兩個(gè)100兆和1000兆端口，從而使本方案中DMZ區(qū)域核心交換機(jī)實(shí)現(xiàn)了1000兆連接，外網(wǎng)訪(fǎng)問(wèn)Web、Mail、遠(yuǎn)程教育平臺(tái)的速度大大提高。

StarView網(wǎng)絡(luò)管理系統(tǒng)、S-Radius寬帶認(rèn)證計(jì)費(fèi)管理系統(tǒng)和STAR-LS日志服務(wù)器，使設(shè)備管理、用戶(hù)管理、計(jì)費(fèi)管理以及日志記錄分析集中在同一個(gè)平臺(tái)，組成功能強(qiáng)大、實(shí)用性強(qiáng)、方便易用的“SAM系統(tǒng)”，輕松實(shí)現(xiàn)可運(yùn)營(yíng)管理和維護(hù)。

三、設(shè)計(jì)特點(diǎn)

1．穩(wěn)定性、可靠性設(shè)計(jì)

（1）設(shè)備可靠

銳捷S6800核心交換機(jī)提供管理引擎冗余和電源模塊冗余功能，4909匯聚層交換機(jī)提供電源冗余功能。通過(guò)自動(dòng)保護(hù)系統(tǒng)RAPS、虛擬路由器冗余協(xié)議VRRP、虛擬狀態(tài)冗余協(xié)議VSRP、冗余模塊等，實(shí)現(xiàn)全冗余、失效切換，有效保障網(wǎng)絡(luò)核心不間斷工作。

（2）網(wǎng)絡(luò)可靠

所有端口都支持802.1Q的VLAN、 MAC地址，并生成樹(shù)協(xié)議802.1D、802.1w、RRSTP、PVST、MVST。802.1W（快速生成樹(shù)協(xié)議）可以提供高速的鏈路冗余備份功能，保證快速收斂，提高容錯(cuò)能力，保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。

2．高性能設(shè)計(jì)

（1）真正端到端的QOS功能

銳捷交換機(jī)能夠支持豐富的QOS功能，確保重要業(yè)務(wù)訪(fǎng)問(wèn)不受延遲或丟棄，同時(shí)還能充分利用現(xiàn)有的帶寬保證網(wǎng)絡(luò)的高效運(yùn)行。

（2）先進(jìn)的CrossBar交換架構(gòu)

銳捷6800、4909、2800系列交換機(jī)均采用先進(jìn)的Crossbar硬件架構(gòu)，提供真正的無(wú)阻塞交換背板。

（3）超背板帶寬和高速路由轉(zhuǎn)發(fā)功能

銳捷S6800、4909、2800系列模塊化中心交換機(jī)均采用超大背板設(shè)計(jì)，滿(mǎn)足在所有插槽滿(mǎn)配置的情況下，所有線(xiàn)卡仍能保持線(xiàn)速傳輸和高速無(wú)阻塞的二/三層包轉(zhuǎn)發(fā)速率。

3．系統(tǒng)可擴(kuò)展性設(shè)計(jì)

為有效保障未來(lái)擴(kuò)展能力，本方案實(shí)現(xiàn)設(shè)備交換容量的擴(kuò)展能力、端口密度的擴(kuò)展能力、主干帶寬擴(kuò)展能力以及網(wǎng)絡(luò)規(guī)模的擴(kuò)展能力。此外，網(wǎng)絡(luò)體系、路由協(xié)議的規(guī)劃和設(shè)備的CPU路由處理能力能夠滿(mǎn)足網(wǎng)絡(luò)超過(guò)1萬(wàn)個(gè)節(jié)點(diǎn)規(guī)模的要求。

4．網(wǎng)絡(luò)管理設(shè)計(jì)

各節(jié)點(diǎn)統(tǒng)一采用SNMP網(wǎng)絡(luò)管理協(xié)議和StarView網(wǎng)絡(luò)管理軟件對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控管理，能夠?qū)崿F(xiàn)網(wǎng)絡(luò)拓?fù)洳榭?、網(wǎng)絡(luò)設(shè)備管理、網(wǎng)絡(luò)性能監(jiān)控、網(wǎng)絡(luò)故障預(yù)警等功能。網(wǎng)絡(luò)管理員可以重構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)，使網(wǎng)絡(luò)管理達(dá)到最佳效果。

5．QOS設(shè)計(jì)

由于信息資源集中于市教育信息網(wǎng)絡(luò)中心，因此為保證全網(wǎng)的QOS，核心交換設(shè)備、骨干交換設(shè)備和邊緣交換設(shè)備均要求支持第三層的QOS標(biāo)注方案。

銳捷網(wǎng)絡(luò)的全線(xiàn)設(shè)備均支持基于第三層的QOS標(biāo)注DSCP（區(qū)域服務(wù)編碼點(diǎn)），支持IP TOS、SP、WRR等完整的QOS策略和基于數(shù)據(jù)流和面向應(yīng)用的QOS功能。

先進(jìn)的RSVP（資源預(yù)留協(xié)議）允許通信雙方在建立傳輸信息之前可按不同的應(yīng)用預(yù)留出足夠的帶寬，從而有效地減少傳輸遲滯和延時(shí)抖動(dòng)，這對(duì)于用有限的帶寬傳送視頻和音頻等實(shí)時(shí)多媒體信息有著重要意義。

6．網(wǎng)絡(luò)安全設(shè)計(jì)

構(gòu)建全程、全網(wǎng)的訪(fǎng)問(wèn)控制體系是網(wǎng)絡(luò)安全防范和保護(hù)的主要手段，也是保證網(wǎng)絡(luò)資源不被非法使用和訪(fǎng)問(wèn)的最重要的核心策略之一。

(1)接入安全

銳捷S1926、2024、2100系列接入交換機(jī)均支持802.1X用戶(hù)入網(wǎng)認(rèn)證，滿(mǎn)足用戶(hù)名、IP、MAC、VLAN ID、交換機(jī)IP、交換機(jī)端口的綁定技術(shù)，實(shí)現(xiàn)非法站點(diǎn)訪(fǎng)問(wèn)過(guò)濾、非法言論的準(zhǔn)確追蹤、惡意攻擊的實(shí)時(shí)處理、記錄訪(fǎng)問(wèn)日志以提供完整審計(jì)等安全功能。

(2)訪(fǎng)問(wèn)安全

銳捷全線(xiàn)交換機(jī)均支持802.1Q VLAN，可使用VLAN劃分隔離用戶(hù)訪(fǎng)問(wèn)。銳捷三層交換機(jī)和2100系列二層智能型交換機(jī)均支持完整的ACL，可以基于MAC、IP、TCP/UDP端口號(hào)進(jìn)行流量控制，以有效防范、控制網(wǎng)絡(luò)蠕蟲(chóng)病毒（如沖擊波）的傳播和危害。

(3)路由訪(fǎng)問(wèn)策略控制

使用VLAN和第三層交換技術(shù)使網(wǎng)絡(luò)管理人員在同一個(gè)基礎(chǔ)物理網(wǎng)絡(luò)上實(shí)現(xiàn)學(xué)生網(wǎng)絡(luò)和教工網(wǎng)絡(luò)的邏輯分隔。

(4)防火墻

銳捷龍馬衛(wèi)士防火墻提供強(qiáng)大的信息分析功能、高效包過(guò)濾功能、反電子欺騙手段、安全措施綜合運(yùn)用等功能，同時(shí)提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、透明的代理服務(wù)（Transparent Proxy）、信息過(guò)濾（Filter）、雙機(jī)熱備份、流量控制和分析、用戶(hù)身份認(rèn)證等功能，并可自行構(gòu)造屏蔽子網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)分隔，將網(wǎng)絡(luò)劃分為外部網(wǎng)絡(luò)、內(nèi)部網(wǎng)絡(luò)、開(kāi)放區(qū)（DMZ）以及控制區(qū)四個(gè)部分，有效地進(jìn)行訪(fǎng)問(wèn)控制。

(5)使用RADIUS建立認(rèn)證計(jì)費(fèi)系統(tǒng)

通過(guò)銳捷網(wǎng)絡(luò)寬帶認(rèn)證計(jì)費(fèi)系統(tǒng)可以實(shí)現(xiàn)多種計(jì)費(fèi)策略。銳捷S-Radius寬帶認(rèn)證計(jì)費(fèi)管理系統(tǒng)包括以下主要組成部分。

Radius Server：完成用戶(hù)認(rèn)證、授權(quán)和計(jì)費(fèi)信息采集功能。

Radius管理系統(tǒng)：對(duì)Radius Server進(jìn)行配置，管理NAS和在線(xiàn)用戶(hù)。

用戶(hù)管理系統(tǒng)：提供用戶(hù)管理、繳費(fèi)、計(jì)費(fèi)策略定制、統(tǒng)計(jì)、審計(jì)等功能。

賬單系統(tǒng)：可按時(shí)批量出賬單。

用戶(hù)服務(wù)系統(tǒng)：提供用戶(hù)修改密碼，查詢(xún)上網(wǎng)記錄和賬單的服務(wù)。

（6）日志服務(wù)器

STAR-LSⅠ型日志服務(wù)器能對(duì)網(wǎng)絡(luò)用戶(hù)上網(wǎng)行為進(jìn)行記錄與分析、對(duì)核心關(guān)鍵信息的訪(fǎng)問(wèn)進(jìn)行審計(jì)等，從而實(shí)現(xiàn)數(shù)據(jù)的采集、分流，并把記錄的數(shù)據(jù)暫時(shí)保存在系統(tǒng)中。通過(guò)對(duì)進(jìn)出網(wǎng)絡(luò)的通信數(shù)據(jù)加以分析，實(shí)現(xiàn)對(duì)訪(fǎng)問(wèn)網(wǎng)絡(luò)資源行為的記錄和分析，保障網(wǎng)絡(luò)和關(guān)鍵機(jī)密信息的安全。

7．音視頻支持

（1）支持多層視頻組播

傳遞語(yǔ)音、視頻等多媒體信號(hào)將是教育城域網(wǎng)應(yīng)用主要功能之一。本方案中核心設(shè)備支持DVRMP、PIM、IGMP組播協(xié)議，匯聚層設(shè)備所支持的是IGMP Snooping，計(jì)算機(jī)機(jī)房交換機(jī)支持在組播環(huán)境中使用和流量控制、過(guò)濾廣播風(fēng)暴功能，因此能很好地節(jié)省網(wǎng)絡(luò)帶寬，并支持VOD等業(yè)務(wù)，保證語(yǔ)音、視頻等多媒體教學(xué)的應(yīng)用。

（2）使用語(yǔ)音網(wǎng)關(guān)提供內(nèi)部VOIP功能

銳捷語(yǔ)音網(wǎng)關(guān)基于成熟的H.323信令技術(shù)開(kāi)發(fā)，可以實(shí)現(xiàn)通過(guò)教育城域網(wǎng)傳輸語(yǔ)音，在全市的中小學(xué)和教育機(jī)構(gòu)內(nèi)實(shí)現(xiàn)教育系統(tǒng)內(nèi)部IP電話(huà)，從而充分提高線(xiàn)路的利用率。