教育骨干网技术建议书模板.docx
《教育骨干网技术建议书模板.docx》由会员分享,可在线阅读,更多相关《教育骨干网技术建议书模板.docx(66页珍藏版)》请在冰豆网上搜索。
教育骨干网技术建议书模板
XX省教育骨干网建设
技术建议书
华为技术有限公司
二零零二年十二月
目录
1.教育信息网建设概述3
1.1教育网建设背景4
1.2教育信息网建设目标4
1.3教育信息网工程概述与网络结构5
1.3.1工程概述5
1.3.2本工程网络结构5
2.教育信息网建设方案6
2.1组网方案描述6
2.3组网方案特点8
2.3.1稳定、高速的骨干网8
2.3.2高可靠性的高端骨干路由器8
2.3.3功能强大的汇聚层三层交换机10
2.3.4开放数据业务平台12
3.教育信息网业务解决方案13
3.1基本业务14
3.2增值业务14
3.3业务管理平台17
4.教育信息网应用系统分析19
4.1教育信息网应用系统概述19
4.2华为远程教育网解决方案20
5.教育信息网网络安全策略及措施26
5.1网络安全策略27
5.2网络安全措施27
6.教育信息网网络管理29
7.教育信息网IP地址规划32
8.教育信息网路由规划34
9.教育信息网扩展方案MPLSVPN37
10.相关技术简介40
10.1QoS概述40
10.1.1QoS服务模型41
10.1.2VRPQoS特性及相关技术44
10.2网络安全概述44
10.3ISPKeeper45
10.3.1ISP的组网结构45
10.3.2ISP受到的典型攻击46
10.3.3ISPKeeper技术介绍47
10.4其他安全措施48
11.华为核心网络操作系统--VRP49
11.1VRP系统概述49
11.2VRP系统体系结构49
11.3VRP系统功能特点50
11.4VRP系统支持的产品50
1.教育信息网建设概述
随着宽带网建设的兴起,面向整个区域教育领域的教育网建设就开始引起人们的关注。
自2000年10月份教委提出“校校通”工程后,有关专家就认为教育信息网可以系统、全面地解决地区教育工作的信息化问题,是实现“校校通”工程的利器。
所谓教育信息网,是指以网络技术为依托,以各种信息设施为支持,以教育资源和软件为基础,以实现信息化教育和管理为目的,为区域教育提供全方位应用服务的信息化环境全面解决方案。
1.1教育网建设背景
在2000年10月份的“中小学信息技术教育工作会议”上,教育部有关领导指出:
我国将用5至10年左右时间,在全国中小学中普及信息技术教育,全面实施“校校通”工程,使全国90%左右独立建制的中小学校实现联网。
在全国教育第十个五年计划中,教育信息化被列入国家重点建设工程。
预计到2005年,我国全部高等学校、高中阶段学校和部分初中、小学均能连接国际互联网。
教委内部网、校园网作为教育行业的基础网络建设,其范围目前已经开始从大城市、东部南部地区逐步向中等城市、中西部扩展,随着竞争范围的扩大,各地教育行业的基础网络建设得到了逐步地改善。
“从校园网到城域教育网,再到更大范围的区域教育网建设,各级教育管理部门将在这一过程中实现互联”,正是校园网建设的热潮推动了教育信息网市场的形成,而这两个方面的推动力最终形成和推动着全国教育信息网市场的发展。
从概念走出来的教育信息网已经开始形成了初步的市场。
据了解,目前在沿海及经济发达地区,教育信息网的建设正在逐步推广之中,浙江的海宁市、山东的寿光市、江苏无锡市等地已经初步建成自己的教育信息网。
伴随着宽带网的建设热潮,XX省教委作为XX省唯一的教育管理机构,具有了得天独厚的教育信息网建网条件。
为了加快XX省教育行业信息化进程,建设一个具有多种业务,功能强大的宽带教育信息网成了迫在眉睫的问题。
1.2教育信息网建设目标
本着服务教育、促进信息化、拓展增值业务的原则,建设XX省教育信息网有三个根本目的:
一是利用信息化手段改进教学过程,提高学生的学习效率;二是通过网络技术,提高教育系统的管理水平;三是建设信息化的环境,提高师生的信息化素质。
仅有网络的基础硬件设施是达不到上述三个目的的,必须开发、配套相应的软件——教育网应用系统,辅之以强有力的管理和培训,才能形成一个实用的体系结构。
具体应用需求包括6大类:
社会服务类、教学平台类、教学资源类、教育管理类、趣味娱乐类、网络服务类。
XX省教委对教育信息网的建设有以下几点目标:
1.由于全省中小学地理分布,点多面广的特点,教育信息网在物理信道上依托现已存在的电信运营商,租用电信运营商电路构建自己的专用网络,建设一个相对独立、便于管理的,覆盖全省教育行政管理机构、教育事业单位和各级各类学校、面向社会开放、具有远程教育功能的教育信息化网络平台,并实现宽带接入中国教育和科研计算机网、中国公用计算机互联网等国内主要公用网;
2.将建立大容量的教学资源库,为大中小学教育教学提供多种多样、丰富多彩的信息服务;
3.将开通教育系统门户网站,向社会发布教育信息;
4.将开通教育办公自动化及办公收发文系统;
5.将为所有教育应用系统提供高性能、高带宽、稳定可靠的网络环境。
针对XX省教育信息网的建设目标,华为技术有限公司提出骨干、汇聚、校园网分层清晰的网络构架来建设教育信息网。
其中骨干层的建设将充分考虑网络的现状及未来的发展,提供主干带宽1000M,并具有根据发展需要扩容的能力。
汇聚层负责将各区教育局的用户流量进行汇聚,同时承担各区信息资源中心的任务。
校园网作为接入层直接面向最终用户。
华为公司可提供各层相应设备满足组网的需求。
骨干层可提供高端路由器NE16E,汇聚层的大型三层交换机可提供S8016,汇聚层可提供NE08E高端路由器,综合网络管理系统IMANAGERN2000。
网络建设的最终目的是应用,在宽带业务的提供方面,可以充分利用丰富的信息资源加上华为公司提供的智能开放数据业务平台ITELLIN为XX省教育信息网提供针对性更强,更加丰富多彩的,灵活多样且适应教育系统的宽带业务。
1.3教育信息网工程概述与网络结构
1.3.1工程概述
XX省教育信息网由三级节点及三层网络构成。
三级节点分别为:
省教育网中心节点、市(地区)中心节点及县(区)接入节点。
三层网络分别为:
核心层——由省中心节点及连通各市(地区)中心节点的骨干网络组成。
汇聚层——由各市(地区)中心节点及连通各县(区)的接入节点的网络组成。
接入层——由各个学校校园网接入县(区)接入节点的网络组成。
物理线路初期以租用电信运营商或广电、电力的线路或信道为主,根据需要和可能条件,因地制宜地,逐步建设自己的光纤线路。
利用该网络可实现的功能有:
教育教学信息服务
教育行政管理
教育信息和教育资源管理
视频会议与交互式远程教育
Internet接入与服务
可加入当地网络的规划,如到年底完成10000中小学生的接入
1.3.2本工程网络结构
本着服务教育、促进信息化、拓展增值业务的原则,本工程主要完成XX省中心到十个地市中心的教育信息网络的建设。
由于全身省中小学地理分布,点多面广的特点,教育信息网在物理信道上依托XX省现已存在的电信运营商,租用电信运营商电路构建自己的专用网络。
全网分为三个层次,核心层、汇聚层、接入层。
核心层:
作为全网的核心,负责全教育的网络互联,负责进行数据的快速转发,同时实现与INTERNER的互联,提供教育网的高速数据出口。
应提供网络的监控和管理的功能并具有很高的安全性和扩展性。
初期拟设一个核心节点,位于省电教馆。
要完成电教馆和省教育厅部局域网以及全省资源中心的互联。
汇聚层:
负责汇聚分散的接入点,进行数据交换,提供流量控制和用户管理功能。
主要完成:
扩展核心层设备的端口密度和种类;扩大核心层节点的业务覆盖范围;汇聚接入节点;实现接入用户和可管理性,当接入节点设备不能保障用户流量控制时,需要由汇聚层设备提供用户的流量控制及其他策略管理功能。
在本网中汇聚层由各市(地区)的中心节点构成,主要完成本地区教育局、地区资源中心和当地各学校的接入。
太原市不设中心节点,其功能并入核心节点(省电化教育馆)。
接入层:
负责提供各种类型学校的接入,在需要时提供流量控制功能。
接入层节点设置在区(县)教育局或指定的学校,主要是为了扩展教育网的覆盖范围,将不同地理分布的用户快速有效地接入骨干。
一期工程接入层节点暂与汇聚层节点合并。
核心层节点采用双路由设备,通过三层交换设备连接应用系统和教育资源中心,应用系统提供网管、加速以及对外信息发布等内容,核心路由器以2MB/S速率接入INTERNENT,用防火墙保证网络安全、病毒防护和URL过滤。
汇接层与核心层采用155MB/S连接,不同的地区可根据需求选用带宽,并可实现多条链路负载均衡。
各学校的接入,因地制宜,可采用512KB/S-2MB/S的带宽范围,在各地市的网络中心可以设置网络加速设备,以提高带宽利用率。
考虑网络的可靠性,采用ISDN作为备份链路,避免单点故障。
各学校可以采用不同的速率接入。
太原市的学校因地制宜采用512KB/S-100MB/S直接接入核心节点(省电化教育馆)
2.教育信息网建设方案
2.1组网方案描述
根据XX省教育信息网的建设要求,教育信息网将分为骨干层、汇聚层、接入层,整个教育信息网具有可运营、可管理的开放式结构。
骨干层可选用华为公司的高端路由器NE16E来搭建。
本次一期工程接入层节点暂与汇聚层节点合并,汇聚层、接入层将采用高端路由器NE08E作为流量汇聚的中心。
校园网的建设将分情况区别对待,已建成的校园网可直接接入所在地市的接入汇聚层高端路由器,流量经汇聚后再进入骨干层;尚未建成校园网的将依据校园的实际情况和需求,采用适合的建网模式进行建设,然后通过校园出口设备接入所在地市的接入汇聚高端路由器。
汇聚层大容量交换机接入电教化教育馆的信息资源中心,信息资源中心可提供大量的服务器群组。
省电教馆是整个教育信息网的网络中心,全网的核心,负责全教育的网络互联,负责进行数据的快速转发,同时实现与INTERNER的互联,提供教育网的高速数据出口。
将通过提供华为公司的集中网管来实现对整网设备的管理,当业务进一步发展,可通过提供华为公司的开放数据业务平台实现整个教育信息网用户的计费和特色宽带业务的开展。
全网拓扑图如下所示:
组网说明:
核心层:
在XX省省电教馆设置两台NE16E高端路由器作为全网的核心,两台核心路由器通过GE链路实现负荷分担、互为备份,提供155MPOS链路连接各地市的接入汇聚设备,同时提供2M的备份链路与地市接入汇聚设备相连,实现全教育的网络互联,负责进行数据的快速转发,同时提供N×2M的链路与INTERNER的互联以及N×2M链路作为教育网的高速数据出口,完成电教馆和省教育厅部局域网以及全省资源中心的互联。
接入汇聚层:
在各地市设置一台NE08E/05高端路由器负责汇聚分散的接入点,进行数据交换,提供流量控制和用户管理功能。
各地市的接入汇聚路由器提供155M与2M的冗余备份链路接入到省电教馆核心层设备,并在省电教馆设置一台核心交换机S8016,通过两条冗余1000M接口与核心路由器NE16E相连,将一些重要的服务器直接下挂在S8016上,其间可通过GE进行连接,此时充分保证服务器带宽,实现数据包的线速转发和对服务器的无阻塞访问。
接入汇聚层主要完成:
扩展核心层设备的端口密度和种类;扩大核心层节点的业务覆盖范围;汇聚接入节点;实现接入用户和可管理性,当接入节点设备不能保障用户流量控制时,需要由汇聚层设备提供用户的流量控制及其他策略管理功能。
在本网中汇聚层由各市(地区)的中心节点构成,主要完成本地区教育局、地区资源中心和当地各学校的接入。
太原市不设接入汇聚任务并入核心节点(省电化教育馆)。
集中网管:
教育信息网的网管设备可采用华为公司的IMANAGERN2000固定网综合网管系统。
集中网管系统放置于XX省省电教馆网络中心,通过带内网管方式来管理各级设备。
客户端的选择可根据需求来定,可在集中网管系统的局域网内放置PC客户端。
也可在各地市级教育局放置远端UNIX客户端。
开放数据业务平台:
随着宽带业务需求的不断增加,教育信息网可以建立一个可增值的开放数据业务平台来提供各种具有特色的宽带业务,可采用华为公司的ITELLINOpenDSE。
ITELLINOpenDSE可提供以下功能:
个性化的业务生成,可根据用户的需求快速的生成新业务,包括宽带上网卡、门户业务等;灵活的计费策略,对接入用户的计费采取诸如按流量和服务质量计费等;灵活方便的业务提供。
2.3组网方案特点
2.3.1稳定、高速的骨干网
骨干网是整个教育信息网建设的核心,承担着各点连接和信息共享的重任,故骨干网上的流量相对较大,必然要求骨干网具有稳定、高速的特点。
华为公司提供的组网方案中,骨干网设备采用华为公司的高性能高稳定性的高端路由器NE16E。
华为公司的组网方案中骨干网无论带宽达1000M,骨干设备NE16E上可提供24个业务接口板,可以实现方便的扩容。
类似视频点播、远程教学、视频教学会议等宽带业务均可在此骨干网上流畅应用,宽带业务的应用效果可通过足够带宽得以充分保障。
稳定性对于骨干网的建设是另一个基本的要求,华为公司提供的骨干层组网方案中也充分考虑到了这点。
在组网中,我们设置了两台NE16E高端路由器负荷分担且互为备份,同时各地市的链路均采用了155M+2M链路的方式,实现了冗余备份的保护。
总之,骨干网的稳定性是优先考虑解决的问题,华为公司提供的骨干组网方案的稳定性可保证各种应用于教育系统的宽带业务实施的稳定性和良好的业务运行效果。
2.3.2高可靠性的高端骨干路由器
高可靠的设备:
1、高总线带宽:
4G总线带宽
系统提供两条2G的总线作为单板内部的控制和数据通信,板件交换有足够的带宽。
2、多种款式
QiudwayNetEngine目前提供了两种规格,16槽QiudwayNetEngine16E和QiudwayNetEngine08,满足不同用户需求。
3、双主控冗余备份:
两个主控板互为备份,保证在以外情况下设备继续良好运行,保持高可用性,主控之间热切换通过第三方(HAU)仲裁,切实保障系统的实时热备份;
4、三电源备份:
三个电源模块作为备份,可以选配;
5、单板热插拔:
所有的单板支持热插拔,维护方便;
6、丰富的告警功能:
支持声、光、电及网关的综合报警;
高密度和高带宽端口
1、接口板槽位多
NE16有16个插槽,其中12个插槽可以配置;NE08有8个插槽,其中7个插槽可以配置;VIU接口板每板附送一个100/10BASET。
VIU接口板每板附送一个100/10BASET。
2、每个接口板上可以配置两个PMC插卡,灵活配置物理接口的类型;
3、接口类型多样,密度高
大流量分布式转发
1、先进的路由体系结构:
传统路由器路由计算、网管等工作和数据报的转发工作共同占用一个处理器。
大量的数据包的转发影响路由计算、网管等工作的稳定性,而路由、网管等工作影响了数据转发的性能。
其图示如下:
在新的高性能、高稳定性的路由器中,我们将路由器的任务在多个处理器之间进行分解,主控板负责路由计算、用户接口、网管等工作,而接口板使用高性能处理器进行数据包的转发。
在这种体系结构中,数据包的转发由接口板完成,不影响主控板的工作,系统更加稳定;数据转发不依赖单一的处理器,数据转发的性能大大提高,每个VIU转发报文的处理能力测试为200Kpps,连接各个单板的总线带宽NE16为2G,系统的单向转发能力为2.4Mpps。
而且在这种方式下数据包的转发由接口板完成,不影响主控板的工作,系统更加稳定。
双主控备份
QiudwayNetEngine系列路由器提供双可选的主控备分方案,工作方式如下:
1、配备双主控板的系统在系统启动时通过主控板之间的竞争,分别处于主用状态和备用状态;
2、处于主用状态的主控板进行数据的收发,进行路由计算、网管等工作;处于备用状态的主控板不参与数据的收发,其工作是监控主用主控板的运行状态;
3、当备用主控板发现主用主控板发生故障时,在两个主控板之间进行总线的切换,备用主控板变成主用主控板,发生故障的主控板重新启动;
4、在正常运行的状态下,主用主控板发生配置改变时通知备用主控板,两个主控板进行配置同步;
我们下一步的工作是在正常的运行过程中将程序运行状态进行同步,实现主控板之间的完全热备分
高可靠性及组网方案
1、强大的组网能力
接口数目众多,接口带宽高,支持的接口种类多样,适用企业网、园区网、各种规模的网络服务提供商等;
2、备份中心提供强大的链路、路由备份及接口1+1备份能力,保证传输的安全性;
3、HSRP/VRRP提供设备级的热备份,保证设备的可用性;
2.3.3功能强大的汇聚层三层交换机
对于区级信息资源中心,华为公司提供L3交换机S8016。
QuidwayS8016是华为公司推出的大容量(128G)、模块化、机架式基于硬件2/3/4层交换的路由交换产品。
QuidwayS8016提供完善的DiffservQoS保证和业务流量控制机制,以及电信级的可靠性和高密度、大容量交换能力,是IP城域网骨干汇聚和企业网骨干建设的基石。
S8016作为大型L3设备,具有以下一些特点:
一、大容量高密度:
背板交换能力最高256G,交换网板容量128G;共有16个业务插槽,11种业务接口板;最多可配置:
64个GE接口/256个FE接口/128个OC-3cPOS口/32个OC-12cPOS口/16个OC-48cPOS口,POS端口最高支持到OC-48c等级。
二、完全线速分布式转发性能:
全分布式结构,采用先进的网络处理器RAINER,实现了全线速2/7层交换,并提供整机96Mpps的报文处理性能。
转发基于逐包转发,在用户报文目的地址不断发生改变时,仍就保持线速转发。
相应基于流的数据转发,当用户报文目的地发生变化时,转发速度急剧下降。
如果在不断变化目的IP流的攻击下,基于流转发设备的性能下降非常快,甚至崩溃;而基于逐包转发的S8016受到的影响很少。
三、完善的DiffServ/QOS:
S8016路由交换机提供完善的Diffserv/QoS支持,支持基于源端口、源VLANID、源MAC地址、报文种类、TCP/UDP端口号、IP报文地址前缀等多种流分类规则,提供多种规则组合条件下的流映射和分类、流量监管(CAR)、拥塞控制方法(RED、WRED、SA-RED)、队列调度和输出流整形等功能,真正做到业务区分并保证带宽/时延/抖动在限定的范围内,使网络运营商可以为用户提供具有不同服务质量等级服务保证,使IP城域网真正成为同时承载数据、语音和视频业务的综合网络。
四、优良的可靠性:
S8016的交换网络、路由处理系统、地址转换转换板和电源系统等所有关键部件采用冗余热备份设计,能满足骨干网络对电信级/高可靠性的要求。
二层业务上提供端口捆绑等功能,提高链路速率的同时有效地提高网络的安全性、可用性。
网络侧采用等价路由方法提高网络可靠性,支持3条等价路由。
支持RSTP快速生成树协议和HSRP热备份路由协议。
RSTP在通过运行生成树协议防止网络拓扑生成环路的同时提高了链路的冗余;HSRP用于为带有默认网关的使用TCP/IP协议的主机提供默认网关的冗余配置。
五灵活的组网能力:
S8016提供端口捆绑、VLAN聚合、STP、ARP/ARPPorxy、DHCPRealy/DHCPServer等丰富二层业务能力,具有NAT地址转换功能,并提供多种路由协议、基于流分类的策略路由支持,与华为公司的多业务交换机产品、Quidway系列骨干路由器、高中低端路由器系列产品、宽带接入系列产品、LAN-Switch系列产品、Metro传输系列产品等一起,可以为客户提供多样化的从接入网到核心网全网解决方案。
结合华为公司推出的ISN8850智能IP业务交换机等产品,可以为运营商提供完善的用户管理、业务控制和计费功能,提供更加客户化和更加有业务特色网络
S8016通过DHCPRELAY和内置DHCPSERVER,对用户IP地址实行动态分配和管理。
DHCPSERVER功能内置在S8016的MPU上,对下挂的用户可以直接进行地址分配和管理,可以为运营商节省外置DHCPSERVER的投资。
六大容量高速NAT:
S8016的NAT功能支持公网私网混合编址。
单块NAT板转发能力支持2Mpps以上,支持并发会话数128k,会话建立速率5k会话/秒;支持NAT中NAPT模式;支持公有地址和私有地址的混合地址组网;支持ICMP、FTP的ALG,支持分片处理。
七、支持MPLS业务:
a)支持多种格式的MPLS封装:
FE、GE、POS。
b)支持LDP协议,多种标记分发方式:
DU(下游自主标记发布模式)、DOD(下游按需标记发布模式),给运营商更大的选择的余地。
c)支持多层标签栈,最多支持压三层标签。
八、支持VPN业务:
a)支持RFC2547定义的BGPMPLSVPN,支持下挂路由器及二层交换机,按照端口或者VLAN识别VPN用户,支持的VPN数量不受限于物理端口的数量,据有较好的扩展性。
可以接入各种形式的用户。
同时,由于S8016有内置的NAT功能,和VPN结合后,可以为用户同时提供VPN和Internet访问的功能,对于用户的地址分配没有特别的限制。
b)S8016可以作为路由反射器为一个AS内的PE设备发布VPN路由,简化了网络的配置,S8016也可以作为ASBR,实现跨自治域的VPN流量的转发。
c)同时支持MPLS三层和二层VPN,使运营商针对不同的客户提供不同的VPN解决方案,二层VPN同时支持Juniper和Cisco的方案,可以与二者实现互通。
九、组播特性:
a)VLAN实现组播,无成员的端口不转发冗余的组播信息。
b)组成员的ACL受控管理。
c)PIM-SM协议中RP可以对DR发送来的注册报文进行过滤,只接受特定的注册报文。
十、WEBSWITCH功能:
通过内置WebSwitch单板(称为CLPU板),在POP点和IDC提供L4负载均衡、L5/7负载均衡、WebCacheRedirection等功能。
2.3.4开放数据业务平台
教育信息网建设的最终目的是为了在其上开通各种适用于教育系统的宽带业务,增值业务的开展在丰富网络宽带业务的同时,又能给网络带来一定的收益,维持网络的正常运营能力,为此华为公司通过提供一个可增值的开放数据业务平台ITELLINOpenDSE来提供用户认证、计费、用户管理、业务管理、视频资源管理以及为业务开发商提供开放的可供调用的接口。
ITELLIN可提供的功能包括:
校园卡
支持多种类型的用户:
后付费用户、预付费用户、集团用户。
支持一卡多用:
接入付费、内容付费、视频资源使用付费
支持消费限额:
用户可自设消费限额,包括:
日限额、月限额
支持黑名单:
防止恶意密码攻击
接入、内容费用一帐清:
所有的费用合并到一张帐单上。
视频业务
与有线电视宽带网视讯平台一起完成综合音频、视频、数据的多媒体通信,采用宽带号码作为呼叫ID,提供包括点对点视频通信(如网络电话、文件共享)、多点视讯会议(如个人发起的电话会议或者视频会议)、多媒体聊天室(多个用户可以用语音、视频方式进行聊天)、数据会议(诸如白板、应用共享等T.120应用)等业务,以及流媒体组播方式的视讯业务,并且按使用的会议资源计费。
Portal业务
教育局可通过Portal页面发布丰富多彩的内容业务,用户在Portal上浏览业务,定购业务,消费内容业务。
提供用户自助服务:
修改密码、查询帐单、充值、修改计费
升级会员 