育 星湘市教育 IP 城域网解决方案

  星教 技术有限公司

  目录 1.

 项目背景 …………………………………………………………………………………………………………………………… 1

 2.

 星湘市教育城域网规划 …………………………………………………………………………………………………… 2

 2.1

 建设目标 ………………………………………………………………………………………………………………… 2

 2.2

 建设内容 ………………………………………………………………………………………………………………… 2

 2.3

 本期工程网络设备技术要求 ………………………………………………………………………………… 3

 2.4

 本期工程的管理需求如下 ……………………………………………………………………………………. 4

 2.5

 网络规划与管理 ……………………………………………………………………………………………………. 7

 2.6

 星湘市教育城域网工程概述 ………………………………………………………………………………… 8

 2.7

 星湘市教育城域网建设方案 ………………………………………………………………………………… 8

 2.7.1

 组网方案描述 …………………………………………………………………………………………………. 8

 2.7.2

 组网方案 …………………………………………………………………………………………………………. 9

 2.7.3

 组网方案特点 ……………………………………………………………………………………………….. 10

 1. 项目背景 教育部部长助理、基础教育司司长李连宁指出:推进‚校校通‛工程,要采取多种形式,一是要积极建立以县域为主的中小学信息技术教育的城域网,为学校提供安全、健康、丰富的网络资源。我们要鼓励用网络中心的方式来建城域网,提高使用效率,大大降低成本。

 根据全国中小学信息教育工作会议精神,按照教育部《关于在中小学信息技术教育的通知》和《关于在中小学实施‚校校通‛工程的通知》的要求,结合实际,我县采用不同形式实施‚校校通‛工程,加快基础教育信息化建设步伐。教育城域网的建设将打破传统教育中面临的时间、地域限制,充分实现教育资源共享,为促进教育改革和发展、实现教育现代化提供有力的保障。

 某作为经济发达地县,教育要优先发展,要积极推进教育信息化发展,以信息化带动教育的现代化,实现基础教育的跨越式发展。

 由于单个的校园网、计算机网络室等就象一个个‚信息孤岛‛,很难发挥更大的作用,如果将一个个孤岛连接起来,形成城域范围内的网络,才能更好的发挥交流、共享的作用。为了充分利用我县中小学已经具备的‚校校通‛基础条件,搭建共享的网络教育公共服务平台,构建教育信息化公共服务体系,共享优质教育资源,促进城乡教育均衡化发展,教育局计划建设武胜县教育城域网。

 2. 星湘市教育 城域网规划 2.1 建设目标 初步建成覆盖教育局机关、县级教育事业单位、2000 余所中小学的较先进、实用的教育信息化基础平台,实现教育网络化管理,实现网络视频会议、远程教学、在线考试、资源共享等各种应用。使广大教育工作者能够初步掌握在信息化环境下教育教学方法和规律,较好地利用现代信息技术从事管理、教学和科学研究等工作。以信息化带动教育的现代化,全面提高教育教学水平。

 2.2 建设内容 教育资源中心(教育资源应用管理平台)

 作为整个教育城域网的资源库,包括多媒体素材库(电子图书馆)、电子教材库、题库、教案库、工具软件库、政策法规等几大类。它支持教学系统和网站,资源库包括独立的资源库管理系统,支持教师和学生通过浏览器或其它工具进行上载、浏览、检索、下载资源;主管部门组织各学校共同建设教育城域网学科群网上资源,达到真正意义上的资源共享。

 城域网管理平台(信息化管理平台)

 本系统主要对系统管理员、授权用户、普通用户、包括教育资源管理、网络管理、远程教学管理、应用服务管理等。

 教育门户网站(智能办公系统) 将国家、省和当地教育方针、政策和其它相关信息及时向教育系统进行发布。学校、教师、学生和家长可以通过浏览门户网站了解教育方面的各种信息。同时通过教学系统和资源系统将所有学校整合在一起,根据各自的优势按学科类别及学校类别建立统一的全方位的虚拟校园,从幼儿教育到成人教育,针对用户的各种需求,提供完整的教育解决方案。

 远程教学系统(远程教育平台)

 由于 INTERNET 具有影响方位广,能够方便快捷的传递信息,具有实时的交互性,本身又是一个巨大的信息库等特点。利用 INTERNET 作为远距离教育的新型手段,为我们解决传统远距离教育模式中存在的问题带来了解决途径。通过门户网站和资源库相结合,采取智能网上教学方式,实现虚拟校园。

 教育局域网 教育系统内部办公局域网的建设与改造。

 2.3 本期工程网络设备技术要求 星湘市教育城域网升级改造所选设备必须具有高度的安全性、可靠性,具备高度自愈的不间断系统运行能力,在线升级管理能力和抵御攻击能力。与此同时,为了星湘市教育城域网升级改造后提供良好的可靠性和投资保护,所选取设备必须是可以持续运营 10 年的电信级核心设备,同时设备的扩展空间要大,要能够满足今后可以预见的 10 至 15 年的业务发展需求。

 星湘市教育城域网升级改造所选用设备要支持先进的网络技术,升级改造建议方案所选取的技术必须是成熟的,可持续发展的。

 星湘市教育城域网升级改造所选用的设备要能够支撑星湘市教育城域网内的大流量应用,满足现有 40 多所市直属学校、主城区 100 多所学校、上千所中小学,18 个区县的教育管理机构以及几十家的市级教育直属单位的网络应用,设备要真正达到线速转发。随着星湘市教育系统的应用信息化发展,网内交互流量还要迅猛发展的趋势,所以,目前还要求汇聚到核心为 10G,核心层设备要 10G-40G,另外,大量应用的多媒体化也要求了高宽带。为了保证此期的建设能够支持今后 5 年内星湘市教育信息化的发展,要求网络设备的性能极高。

 随着星湘市教育信息化的不断深入,网上多种应用开展,星湘市教育城域网作为信息化建设的基础设施,升级改造后必须是一个公用多业务承载网,其不仅要支撑网内现有应用,还要兼容 IPV4/IPV6,具备 VoIP、IPTV 等多业务承载能力。因此,星湘市教育城域网升级

 改造所选设备还要支持具有同时硬件支持 IPV6 和 MPLS 的能力。

 现在学校用组播来播放电视节目的也较多,为了有效利用某的教育资源,比如知名教师、教授网上授课等应用将逐步在星湘市教育城域网上应用,因此,升改造的设备必须支持良好的组播功能。

 对物理的资源的要求是永远被业务推着跑的,包括带宽、网络设备、存储设备、计算资源等,虚拟化技术是更好的整合网络资源、有效的分配和利用网络资源的先进技术,现在许多大学开展的网格计算(或叫云计算、超级计算机)就利用了很多虚拟化技术,对虚拟化的支持能力和推动或引领能力也是考量的一个方面。

 2.4 本期工程的管理需求如下 星湘市教育城域网升级改造后,网络设备端口必须支持提取双向流量数据,网络设备要能够支持层次化 QOS,具备对用户业务的服务保障能力;支持硬件 ACL,满足诸如 CERNET 500 条以上免费国内列表的多接入端口的控制部署。

 星湘市教育城域网升级改造后必须具有一定的流量控制和管理能力,特别是通过控制网络中 P2P 等流量,减少核心网负担;通过控制非正常流量,避免对系统的恶意攻击。

 安全管理方面,加强网络设备自身的安全管理,部署分布式网络安全检测点,实时采集和存储网络流量数据,分析处理威胁主干网的安全问题,加强系统日志管理与网络资源访问控制管理,初步部署信息安全检测系统。

 星湘市教育城域网升级改造后的网络,还要建立良好的费用分担,建设完善的网络流量记录、统计、查询、计费系统,逐步实现网络运营级管理。

 为了提高星湘市教育城域网网络运行管理和服务的效率,降低运维成本,星湘市教育城域网升级改造建设中将及时建立一套与星湘市教育城域网网络管理制度、网络特点和网络服务要求相适应的网络综合管理系统,以实现对网络系统,应用系统,网络用户单位及网管工作流的全面管理。

 为实现网络高质、高效互联的目标要求,在网络设计构建中,应始终坚持以下建网原则: 高可靠性:网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除,充分体现计算机网络的高可靠性。

 技术先进性:在保证满足校园业务和应用的同时,要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑网络应用的现状和未来发展趋势。

 高性能:骨干网络性能是整个网络良好运行的基础,要求网络设备具有高吞吐能力,保证各种信息(数据、图象)的高质量传输,才能使网络不成为业务开展的瓶颈。

 IPV6:教科网承担了某教委已经各高校的科研实验及应用项目,同时基于技术及网络演进的考虑,主干网各设备必须支持 IPV6。

 10G/40G 接口:目前教科网流量增加迅猛,本次工程要求核心设备之间的互联全部采用万兆 10G/40G 接口。

 MPLS VPN:本次工程要求所有设备支持各种 MPLS VPN,便于后续多业务承载互通、安全隔离的需求。

 标准开放性:支持国际上通用的网络协议、路由协议等开放的协议标准,有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通以及将来网络的扩展。

 灵活性及可扩展性:根据未来业务的增长和变化,网络可以平滑地扩充和升级,最大程度的减少对网络架构和现有设备的调整。

 可运营/可管理性:网络流量可以对每个学校进行流量的识别、统计分析,在骨干网出口链路实现 P2P 流量控制,减少过多 P2P 流量带来的网间结算费用;对网络实行集中监测、分

 权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,可提供故障自动报警。

 强 QoS、强组播特性:教育网因为对视频、音频等多媒体业务的需求较大,所以整个网络具有较完善的 QoS 特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证,尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点,为实现区别服务,整网端到端的 QoS 特性机制是优质网络业务的保证。另外组播特性对于有效地保证多媒体流的传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。

 安全性:制订统一的网络安全策略,整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏,使数据具有极高的可信性。

 兼容性和经济性:能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。

 综合以上的建网原则,根据业务驱动教育城域网平台应具备更高的技术标准如下:

 更高带宽 骨干带宽:10G~100G 接入带宽:10M~10G 更高品质 通过 VLAN 和 DPI 识别业务,实施差异化服务 部署 IP/MPLS DiffServ 和 HQOS 层次化队列调度; 提供高性能组播复制;

 更高可靠 部署 IP/MPLS/VPN FRR,实现核心骨干的保护; 部署 VRRP+,实现对接入业务的保护; 更高扩展 设计合理的网络结构,实现弹性组网; 核心层部署集群路由器,充分适应未来带宽和端口扩展需求; 接入层部署 Q-in-Q,规避 VLAN 数量限制; 更高安全 对用户上网进行认证 防 ARP 攻击;防地址盗用(DHCP Snooping); 结合本次星湘市教育城域网的总体建网目标:建设一个 完整统一、技术先进、高效稳定、安全可靠的基于 Internet/Intranet 的 多业务承载的信息化教育网络系统, 本期工程改造的具体目标如下:

 网络结构合理化:满足‚四核心、七汇聚、定边界‛建设需要; 大容量:核心 10G-40G 接口需求; 高扩展性:满足未来 10-15 年的业务的发展需求; 高可靠性:设备以及网络具有冗余能力以及 ms 级别切换的高可靠性; 高安全性:用户和网络的安全监控与控制; 可运营/可管理:设备以及网络具备丰富的用户流量管理和控制、分析能力。

 2.5 网络规划与管理 网络管理维护是网络建设中非常重要的环节,甚至是最重要的环节。建设网络的最终目的是为了使用,而网络管理无疑是保障我们高效、可靠使用网络的必要手段。随着技术的进步,网络管理内容和方式已在发生着变化,除了生成拓扑图、配臵网络设备、监控网络流量、实时

 统计和事件报警等基本功能之外,增加了很多新的功能,比如 VPN 实施、安全认证、安全策略下发、用户跟踪、流量分析等等。同时,如何灵活、安全地管理网络,也是网络管理发展的重要方向,这一变化使得网络管理地位更加重要。

 同时,教育城域网所连接的多个教育机构的工作重心是教育,网络管理者身兼多种工作角色,良好的规划、管理可以将隐患消除于未然,减轻老师的负担。

 综上所述,教育城域网建设不再是简单的设备采购,而将涉及到从规划、网络设计、技术及设备选型、实施、管理到真正承担推动教育信息化的重任等全过程,华为公司积极参与到城域网建设的各个环节,为祖国的教育事业贡献力量。

 2.6 星湘市教育 城域网工程概述 本次工程为某市教育城域网,网络覆盖整个某地市和区县中小学。目前某包含市直属学校 40 所,主城区包含 5 个区 100 多所学校,农村乡镇 2000 多所。本工程主要完成某市中心 2核心和 5 汇聚的教育城域网骨干网的建设。骨干网作为全网的核心,负责全部学校的网络互联,负责进行数据的快速转发,同时实现与 INTERNER 的互联,提供教育网的高速数据出口。应提供网络的监控和管理的功能并具有很高的安全性和扩展性。同时负责汇聚部分分散的校园接入点,进行数据交换,提供流量控制和用户管理功能。本次工程以主城区 5 个区域作为汇聚,市直属 40 多所学校作为重点接入节点,设备要求必须拥有带宽和性能保证,农村乡镇 2000 多所学校依次通过运营商做光缆千兆上行百兆桌面的接入。

  2.7 星湘市教育 城域网建设方案 2.7.1 组网方案描述 根据某市教科网骨干网的建设要求,在最大利用现有资源及节省成本的条件下,教科网由万兆核心路由器组建,整个教育科研网具有可运营、可管理的开放式路由结构。

 2.7.2 组网方案 该方案中骨干层可选用华为公司的高端路由器 NE 40E- -8 X8 和高端交换机 2 S9712 来搭建,汇聚层将采用华为公司的 0 S7700 作为流量汇聚的中心。组网拓扑图如下:

 图 图 2. 1 1 组网方案 本方案说明如下:

 该方案中骨干层选用华为公司的高端路由器 NE40E 集群配臵来搭建,核心交换机采用S9700。该方案只需对网络设备进行更新升级,网络改动较小; 考虑到某整个教育城域网大约 2000 所学校,每个学校 300 个信息点计算(包含电教室),根据目前宽带网建设的需求,假定每个信息点对带宽的需求为 512K(考虑可支持远程教育等多种多媒体业务),用户的并发量为 50%,而流向外网的流量为 40%,那么我们可得出星湘市教育总出口带宽需求为:2000×200×512K×50%×40%=40G。NE40E-X8 设备支持单端口和单板卡 40G 或者 100G 容量,完全能够满足需求。并且能够满足以后扩容的需要。

 教育城域网出口接入到运营商或者省政府网络 2.5G POS 传输环网中,通过光纤直连的方式组网。考虑到各核心节点的冗余能力,建议每个核心节点采用两台核心路由交换机共同构建,两台路由交换机负荷分担,同时互为主备,保证整个教育城域网的核心网的高可靠,高安全,高效率。

 教育城域网核心路由 NE40E、核心交换机 S9700、万兆防火墙通过万兆光纤相连,汇聚交换机 S7700 与核心交换机 S9700 采用万兆光纤双链路接入保证高带宽容量和高可靠性。

 星湘市教育城域网市直属 40 多所学校,和主城区的 100 多所学校为网络中的重点保证信息点,采用万兆 S5700 三层交换机作为接入,有效保证带宽容量和可靠性。其他乡镇学校采用千兆 S3700 和 S2700 接入交换机分别连接到 5 台 S7700 汇聚交换机上。

 2.7.3 组网方案特点 核心网络设备选择 现在网络和网络设备都有融合的趋势。路由器和交换机也存在共同的特点,例如都具有三层转发的能力。但是从目前来看,路由器和交换机还是有较大的差别,不能做到完全取代。

 下面作一个具体的对比分析:

 从路由器和三层交换机目前采用的主流技术来看,虽然都实现了三层的路由的功能,但是它们三层转发机制有着较大的差异:

 路由器采用的逐包查找路由表,进行网络地址最长匹配的路由方式,即采用的是逐包路由转发,由于路由表是由动态路由协议实时维护,动态路由协议能够自动拓扑发现,完全依据拓扑结构构建和刷新路由表;三层交换机采用的是 Cache 技术实现 IP 地址的精确匹配,利用了报文相关性,在首次完成路由后,相关数据保存到 Cache 中,对后续报文要做的工作就是在 Cache 中进行精确匹配,如命中则直接转发,这就是所谓‚一次路由,多次转发‛,报文相关性意味着一段时间内有很多源/目的地址都相同的报文,这些相关报文构成流,从宏观来看,三层交换机的转发不再是基于单个报文的路由转发,而是基于流匹配的转发。

 路由器和三层交换机转发机制的不一样直接导致这两类设备对网络恶劣环境有不同的适应能力:

 路由器具有很强的抗网络动荡的能力,在网络动荡的情况下也可以保持线速的转发;而交换机在网络动荡的情况下,转发能力将急剧下降甚至瘫痪。例如‘红码病毒’就可以模拟网络动荡对交换机进行攻击,而路由器具备天然的抵御‚红码病毒‛的能力,可有效改善网络的安全特性,提升网络的健壮性。

 三层交换机和路由器的路由能力也有较大的差异:

 三层交换机套片支持的网络路由的能力较弱,支持的单播和多播的数目相对较少,支持的流分类的功能较弱,因此利用三层交换机套片通常不能构架出具备强大转发能力的千兆比路由器产品。三层交换机套片实现的单播/多播路由转发、流分类处理等都是通过 Cache 技术实现的,在转发表项和流分类表项较多的情况下,Cache 的效率将大大下降,不能满足千兆比路由器在支持大量网络路由和流分类情况下仍要达到线速转发的要求。三层交换机和千兆比路由器路由能力差异的具体体现如支持的路由数,高端路由器支持的路由条数一般都可以在 1M 以上,而三层交换机通常支持 256k、128k 或 64k。主干节点的设备通常要求较大容量的路由数。

 QoS 技术不同:

 主要体现在队列调度支持的队列的数目和拥塞避免算法的支持上,总体上讲,路由器需要支持的队列数目较多,路由器可以做到 1k、2k 个队列,交换机通常只提供几个或几十个队列。路由器需要支持 RED/WRED 拥塞避免算法,而三层交换机通常不支持。三层交换机通常要实现二层路由器的 802.1p 协议的 CoS 等。

 业务的可持续支持能力:

 三层交换机通常都是采用套片技术,不便于快速支持新业务,而且受到本身固有转发机制的限制,也不可能充分支持某些新业务,例如 MPLS VPN、IP QoS 等等,路由器通常采取

 CPU 和 NP 体系结构,微码可编程,具备良好的业务扩展能力。

 对 MPLS VPN 业务支持能力的差异:

 通常来讲,业界高端路由器对 MPLS VPN 具备良好的支持,包括三层 MPLS VPN 和二层MPLS VPN。由于支持 MPLS VPN 对设备的路由能力具有较高的要求,特别是作为 PE 设备,要求路由多实体的能力和大容量的路由规模,交换机很难承担该角色。

 流分类处理不同:

 三层交换机是基于流 CACHE 方式的,可以简单分类,同时由于处在网络边缘位臵,也往往需要支持用户和应用业务流的分类。而路由器的流分类通常采用 IPCAM 实现线速流分类,支持丰富的流分类,在实施丰富流规则的情况下仍然可以保持线速转发。

 由于路由器和三层交换机的定位不同,还有许多相关技术的要求和实现情况也是不同的,如物理接口、用户控制和安全特性、VPN 支持能力、NAT 支持能力等。

 表 表 2. 1 1 对比分析

 三层交换机 路由器 实现机制 流 CACHE 转发,ASIC 套片实现 逐包转发,CPU/ASIC/NP 实现 路由能力 路由能力弱,路由条数通常为为 256k、128k、64 等 k 路由能力强,路由条数通常在 1M 以上 网络适应性 抗网络动荡能力弱 抗网络动荡能力强 二层交换 支持基于 MAC 地址和 VLAN ID 的二层交换 基于 MPLS VPN VPLS 技术实现 VLAN 的透传和交换 三层转发 采用 Cache 技术实现数目较少的路由转发表项,对于未匹配到 Cache 表项的包交送 CPU处理 采用分级快速查找算法实现上百万个表项的路由转发 组播 采用 Cache 技术实现组播查找;支持二层组播协议和三层组播协议。

 采用快速查找算法实现组播查找; 支持三层组播协议 流分类 采用 Cache 技术通过全匹配实现流分类,对于未匹配到 Cache 表项的包交送 CPU 处理;影响线速转发 采用快速流分类算法,实现复杂的前缀匹配和范围匹配操作;不影响线速转发 QoS 支持二层 QoS(802.1p); 支持队列数目较少,简单的 WRR、优先级队列的调度算法; 不支持或支持简单的拥塞控制算法。

 支持基于 DiffServ IP/MPLS QoS 支持数目较多,实现较为复杂的队列调度; 支持实现复杂的 RED/WRED 等拥塞避免算法。

 安全特性 支持基于 VLAN 的用户的控制和管理; 用户接入的控制、验证和鉴权;支持 DOS 攻击检测和 SYN 攻击检测 支持包采样、记录、跟踪; 支持功能强大的 DOS 攻击检测和 SYN 攻击检测 VPN 对 MPLS VPN 的有限支持 支持三层 MPLS VPN 支持二层 MPLS VPN 接口类型 通常只支持 GE、FE 接口 支持高速接口类型,包括 GE、FE、ATM、PoS、RPR 等 网络定位 局域网、城域网接入层/汇聚层 骨干网、城域网核心层、大型园区网 成本价位 成本较低 成本较高 成本价位 成本较低 成本较高 稳定、高速的骨干网 教科主干网是整个教育科研网建设的核心,承担着各点连接和信息共享的重任,故骨干网上的流量相对较大,必然要求骨干网具有稳定、高速的特点。华为公司提供的组网方案中,骨干网设备采用华为公司的高性能高稳定性的高端路由器 NE40E。类似视频点播、远程教学、视频教学会议等宽带业务均可在此骨干网上流畅应用,宽带业务的应用效果可通过足够带宽得以充分保障。

 稳定性对于骨干网的建设是另一个基本的要求,华为公司提供的骨干层组网方案中也充分考虑到了这点。在组网中,我们设臵了两台 NE40E 高端路由器在交大出口负荷分担且互

 为备份。总之,骨干网的稳定性是优先考虑解决的问题,华为公司提供的骨干组网方案的稳定性可保证各种应用于教育系统的宽带业务实施的稳定性和良好的业务运行效果。

发表回复

您的电子邮箱地址不会被公开。