范銘

摘要：寧波市教育城域網(wǎng)是指通過(guò)寬帶骨干網(wǎng)連接教到各縣市區(qū)教育局教育網(wǎng)及市直屬學(xué)校單位網(wǎng)絡(luò)的傳輸網(wǎng)絡(luò)，以各種信息基礎(chǔ)設(shè)施為支撐，以教育資源和軟件為基礎(chǔ)，以網(wǎng)絡(luò)技術(shù)為依托，以實(shí)現(xiàn)教育資源共享和管理為目的，為全市教育提供全方位應(yīng)用服務(wù)的信息化環(huán)境。寧波市教育城域網(wǎng)是在網(wǎng)絡(luò)技術(shù)快速發(fā)展這種大環(huán)境下產(chǎn)生的全新設(shè)計(jì)。目前國(guó)內(nèi)許多城市都在規(guī)劃建設(shè)教育城域網(wǎng)，教育城域網(wǎng)建設(shè)方法各種各樣層出不窮。本次設(shè)計(jì)以寧波市教育城域網(wǎng)為實(shí)際背景，對(duì)其結(jié)構(gòu)、技術(shù)和網(wǎng)絡(luò)設(shè)備進(jìn)行全面、系統(tǒng)的分析和設(shè)計(jì)，最終得出符合寧波市教育城域網(wǎng)需求的解決方案。

關(guān)鍵詞：教育城域網(wǎng)；系統(tǒng)集成；教科網(wǎng)

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）14-0042-02

為了深化教育體制改革，實(shí)現(xiàn)教育的飛躍式發(fā)展，我國(guó)政府也加強(qiáng)了教育信息化工作，推出了一系列重要的舉措。2000年教育部主持召開(kāi)了“全國(guó)中小學(xué)信息技術(shù)教育工作會(huì)議”，并做出決定：全國(guó)中小學(xué)要基本普及信息技術(shù)教育，全面實(shí)施“校校通”工程，以信息化帶動(dòng)現(xiàn)代教育，實(shí)現(xiàn)信息化教育，實(shí)現(xiàn)教育資源共享。

1教育城域網(wǎng)現(xiàn)狀

目前的許多教育城域網(wǎng)都是急于業(yè)績(jī)倉(cāng)促建設(shè)而成，而且基本又系統(tǒng)集成商規(guī)劃設(shè)計(jì)而成，教育部門(mén)沒(méi)有專(zhuān)業(yè)的城域網(wǎng)規(guī)劃設(shè)計(jì)人員，這樣一來(lái)就不能更深刻的理解用戶(hù)實(shí)際情況和用戶(hù)需求。而教育城域網(wǎng)的建設(shè)應(yīng)該是先要有一個(gè)系統(tǒng)的長(zhǎng)期的科學(xué)的規(guī)劃，然后根據(jù)自身實(shí)力以及自身人才儲(chǔ)備的具體情況循序漸進(jìn)建設(shè)的。

2未來(lái)發(fā)展趨勢(shì)

未來(lái)大數(shù)據(jù)發(fā)展使得教育城域網(wǎng)核心網(wǎng)絡(luò)出現(xiàn)更大容量、更高帶寬的需求，目前萬(wàn)兆技術(shù)已經(jīng)成為了各大運(yùn)營(yíng)商發(fā)展業(yè)務(wù)的一項(xiàng)關(guān)鍵技術(shù)，并且在教育城域網(wǎng)建設(shè)規(guī)劃中得到廣泛的應(yīng)用，這種結(jié)構(gòu)運(yùn)營(yíng)商們能夠通過(guò)配置成網(wǎng)格型來(lái)進(jìn)一步得到相應(yīng)的支持。

3總體設(shè)計(jì)

3.1整體設(shè)計(jì)原則

寧波市教育城域網(wǎng)的設(shè)計(jì)，主要目的是為了使市教育局、市直屬學(xué)校單位、各縣市區(qū)教科網(wǎng)互聯(lián)起來(lái)，為了保證教育網(wǎng)絡(luò)的高質(zhì)高效連接，在設(shè)計(jì)中要遵循以下一些原則：

1）高安全、高性能、高可靠性

高質(zhì)量高效率的網(wǎng)絡(luò)性能是整個(gè)城域網(wǎng)平穩(wěn)運(yùn)行的基礎(chǔ)，所以，在整體架構(gòu)中網(wǎng)絡(luò)和設(shè)別要具備高吞吐能力，并且要保障它的安全性。首先在設(shè)備選型上要選用高可靠性能設(shè)備，要有冗余、備份等功能，在網(wǎng)絡(luò)結(jié)構(gòu)規(guī)劃上要遵循可靠、合理原則，保證網(wǎng)絡(luò)具有發(fā)生故障時(shí)能自我恢復(fù)的能力。

2）可運(yùn)營(yíng)、可管理、可擴(kuò)展性

對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)，不同管理身份擁有不同的管理權(quán)限，合理分配帶寬資源。城域網(wǎng)設(shè)計(jì)中要建設(shè)良好的網(wǎng)絡(luò)管理平臺(tái)和配備管理軟件。要具有良好的業(yè)務(wù)管理能力，實(shí)現(xiàn)教育城域網(wǎng)實(shí)名認(rèn)證，身份驗(yàn)證，確保網(wǎng)絡(luò)的可管理特性。要充分考慮未來(lái)城域網(wǎng)的發(fā)展，這就需要城域網(wǎng)具備良好的可擴(kuò)展能力，使城域網(wǎng)可持續(xù)發(fā)展。

3.2拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)

該設(shè)計(jì)方案中，核心部分使用兩臺(tái)高性能路由器做雙核心虛擬化。

骨干網(wǎng)絡(luò)萬(wàn)兆互聯(lián)，與各縣市區(qū)教育網(wǎng)萬(wàn)兆互聯(lián)，與市直屬單位學(xué)校實(shí)現(xiàn)萬(wàn)兆互聯(lián)帶寬。

4通信平臺(tái)的設(shè)計(jì)

4.1連接方式

當(dāng)前教育城域網(wǎng)連接主要通過(guò)租用通信運(yùn)行商裸光纖，建設(shè)工期快，帶寬可以用戶(hù)需求改變、鏈路的安全性也可以保證。

4.2 IPV4地址規(guī)劃

根據(jù)寧波市教育網(wǎng)規(guī)劃，寧波市城域網(wǎng)分配地址段共100個(gè)B類(lèi)地址段，市級(jí)使用8個(gè)B類(lèi)地址段，較大縣市區(qū)教育局使用8個(gè)B類(lèi)地址段，較小規(guī)模的區(qū)教育局使用4個(gè)B類(lèi)地址段。

5教育城域網(wǎng)網(wǎng)絡(luò)設(shè)備選型

5.1網(wǎng)絡(luò)設(shè)備選型原則

1）核心路由器

高性能核心路由交換機(jī)市場(chǎng)上比比皆是，在此次城域網(wǎng)設(shè)計(jì)中本著從實(shí)際出發(fā)需求決定一切，穩(wěn)定壓倒一切的原則進(jìn)行選購(gòu)高性?xún)r(jià)比的路由器進(jìn)行配置。

核心路由器參數(shù)主要有一下幾點(diǎn)：

轉(zhuǎn)發(fā)速率

數(shù)據(jù)處理是要耗費(fèi)資源的。轉(zhuǎn)發(fā)速率是指在不丟包的情況下，單位時(shí)間內(nèi)通過(guò)的數(shù)據(jù)包數(shù)量。

2）背板帶寬

路由器的背板帶寬，是路由器接口處理器或接口卡和數(shù)握總線(xiàn)間所能吞吐的最大數(shù)據(jù)量。

3）模塊冗余

冗余功能是必不可少的，是消除單點(diǎn)故障、保證網(wǎng)絡(luò)安全運(yùn)行的保證。在故障發(fā)生時(shí)能否快速切換設(shè)備取決于設(shè)備的冗余功能，而對(duì)于最重要的核心路由器而言，交換機(jī)的重要部分都應(yīng)該具備冗余功能，比如管理模塊，電源等。

4）路由性能

核心路由器除了路由功能完整外，路由轉(zhuǎn)發(fā)能力性能要高，在城域網(wǎng)設(shè)計(jì)架構(gòu)位置中可以判斷路由性能如何，除此之外端口的類(lèi)型及端口密度也能判斷。

5.2下一代防火墻

在保證整體網(wǎng)絡(luò)安全領(lǐng)域中，防火墻扮演者重要的角色，它通常被部署在內(nèi)部與外部互聯(lián)交界處，來(lái)保護(hù)網(wǎng)絡(luò)中的計(jì)算機(jī)、應(yīng)用程序和各種資源。

涉及防火墻選型的關(guān)鍵因素非常多，一般來(lái)說(shuō)越貴的防火墻性能越卓越，但要結(jié)合實(shí)際情況選擇合適的防火墻設(shè)備，綜上，我們采購(gòu)防火墻應(yīng)從以下一些關(guān)鍵因素來(lái)考慮：

1）支持的會(huì)話(huà)數(shù)與每秒連接數(shù)

每秒生成會(huì)話(huà)的能力，即會(huì)話(huà)能力，這是個(gè)重要的性能指標(biāo)。下一代防火墻因?yàn)闃?gòu)筑在新一代64位多核并發(fā)的高速硬件平臺(tái)之上，擁有業(yè)界獨(dú)有的數(shù)通、安全雙引擎設(shè)計(jì)模式。

2）智能化識(shí)別

通過(guò)智能化應(yīng)用、用戶(hù)身份識(shí)別技術(shù)，下一代防火墻可以將網(wǎng)絡(luò)中單純的IP/端口號(hào)（IP/Ports），以及流量信息，轉(zhuǎn)換為更容易理解、更加智能化的應(yīng)用程序信息和用戶(hù)身份信息，為后續(xù)的基于應(yīng)用程序的策略控制和安全掃描，提供了識(shí)別基礎(chǔ)。

3）精細(xì)化控制

下一代防火墻可以根據(jù)風(fēng)險(xiǎn)級(jí)別、應(yīng)用類(lèi)型、是否消耗帶寬等多種方式對(duì)應(yīng)用及應(yīng)用動(dòng)作進(jìn)行細(xì)致分類(lèi)，并且通過(guò)應(yīng)用級(jí)訪(fǎng)問(wèn)控制，應(yīng)用流量管理以及應(yīng)用安全掃描等不同的策略對(duì)應(yīng)用分別進(jìn)行細(xì)粒度的控制和過(guò)濾。

5.3多鏈路出口負(fù)載均衡設(shè)備

在保證整體網(wǎng)絡(luò)安全領(lǐng)域中，多鏈路出口負(fù)載均衡設(shè)備扮演者重要的角色，它通常被部署在內(nèi)部與外部互聯(lián)交界處。采購(gòu)多鏈路出口負(fù)載均衡設(shè)備應(yīng)從以下一些關(guān)鍵因素來(lái)考慮：

1）設(shè)備的處理能力，高效的處理能力盡可能減少會(huì)話(huà)延時(shí)。

2）設(shè)備的擴(kuò)展能力，模塊化設(shè)計(jì)，可以根據(jù)需要增加擴(kuò)展模塊，以適應(yīng)未來(lái)發(fā)展需求。擴(kuò)展能力分為軟件模塊及硬件模塊。

3）設(shè)備集合出入站智能DNS解析、輪詢(xún)、加權(quán)輪詢(xún)、靜態(tài)就近性、動(dòng)態(tài)就近性等算法，解決多鏈路網(wǎng)絡(luò)環(huán)境中流量分擔(dān)的問(wèn)題，充分提高多鏈路的帶寬利用率。并且通過(guò)為用戶(hù)分配最佳的通信線(xiàn)路，使用戶(hù)獲得絕佳的訪(fǎng)問(wèn)體驗(yàn)。

4）設(shè)備還利用鏈路健康檢查及會(huì)話(huà)保持技術(shù)，實(shí)現(xiàn)了在某條鏈路中斷的情況下仍然可以提供訪(fǎng)問(wèn)鏈接能力，充分利用了多條鏈路帶來(lái)的可靠性保障，使對(duì)于用戶(hù)的訪(fǎng)問(wèn)達(dá)到了最全面的支持。

5.4上網(wǎng)行為管理設(shè)備

根據(jù)公安部82號(hào)令的要求，所有用戶(hù)上網(wǎng)記錄要保存90天備查。上網(wǎng)行為管理設(shè)備通常被部署在內(nèi)部與外部互聯(lián)交界處。采購(gòu)上網(wǎng)行為管理設(shè)備應(yīng)從以下一些關(guān)鍵因素來(lái)考慮：

1）設(shè)備的處理能力，高效的處理能力盡可能減少會(huì)話(huà)延時(shí)。

2）部署模式：網(wǎng)關(guān)模式，網(wǎng)橋模式，旁路模式，多機(jī)模式，雙機(jī)模式。

3）支持豐富的身份認(rèn)證方式：本地認(rèn)證，第三方認(rèn)證，短信認(rèn)證，單點(diǎn)登錄等。

4）針對(duì)不同用戶(hù)（組）進(jìn)行差異化的行為記錄和審計(jì)，包括網(wǎng)頁(yè)訪(fǎng)問(wèn)行為、網(wǎng)絡(luò)發(fā)帖、郵件Email、IM聊天內(nèi)容、文件傳輸、游戲行為、炒股行為、在線(xiàn)影音、P2P下載等行為，并且包含該行為的詳細(xì)信息等。

5）應(yīng)用識(shí)別是管理的基礎(chǔ)，全面的應(yīng)用識(shí)別幫助管理員透徹了解網(wǎng)絡(luò)應(yīng)用現(xiàn)狀和用戶(hù)行為，能夠全面識(shí)別P2P行為，保障管理效果。