赣榆县教育城域网组网技术方案.docx

1、赣榆县教育城域网组网技术方案赣榆县教育城域网总体方案1.赣榆县教育城域网络系统需求 赣榆县南起北纬4度41分30秒,北至北纬35度7分39秒,西起东经118度45分39秒,东至东经119度18分7秒,东西宽35千米,南北长40千米,面积1402.5平方米. 赣榆县现有中小学370所,其中中心小学68所,68所学校中已有4所学校覆盖在中心网站中. 赣榆县教育城域网在硬件结构上,是以城域网网络中心为核心,以光缆连接各学校校园网所组成的网络. 教育城域网在应用功能上,要求实现资源共享、在线管理、视频会议、远程教育等。 赣榆县城域教育网的整体解决方案应包括：城域教育网中心网站网络系统方案、城域教育网应

2、用系统平台建设解决方案、视频会议系统方案、学校基于城域教育网下校园网的网络系统方案。 赣榆县城域教育网中心网站信息点数为：进修学校10个，实验小学教学区20个，实验小学宿舍区24个，求真楼23-46个，前院楼13-22个（教育局每室1个）；实验幼儿园、青口二中、教师新村在规划中，若要增加信息点数，需增加交换机，所以对教育网中心园区信息化建设要求起步比较高，需求如下： 校区内采用综合布线连接整个园区，光纤主干千兆带宽，100M交换到桌面， 网络中心需要集中管理，对校园网划分多个虚拟网方式的网络平台， 在安全性方面保证内部各部门之间建立访问权限，不使不同部门的数据得到XX的访问， 采用硬件放火墙技

3、术有效隔离、限制INTERNET上的不良信息访问， VOD视频点播网络系统， 校园内IC卡消费系统联网，便于校方对学生的管理。 2.城域教育网的总体设想 根据赣榆县教育城域网的具体实际情况和21世纪校园网新的楷模标准，因此该校园网不只是涉及技术方面，而且要考虑到网络设施、应用平台、信息资源、专业应用、人员素质等成份的综合化以及信息化的教学环境。为此，在总体上如何筹划设计、规划组织建设和制定开发设计思想是校园网建设的最重要的问题。 总体设计是校园网建设的工程蓝图，是搞好校园网建设的核心任务。进行校园网总体设计，首先是进行对象研究和需求调查，弄清学校的性质、任务和改革发展的特点，对学校的信息化环境

4、进行准确的描述，明确系统建设的需求；其次，在应用需求分析的基础上，确定学校校园网的服务类型，进而确定系统建设的具体目标，包括网络设施、站点设置、开发应用和管理等方面的目标；第三是确定网络拓扑结构和功能，根据应用需求、建设目标和学校主要建筑分布特点，进行系统分析和设计；第四，确定技术设计的原则要求，如在技术选型、布线设计、设备选择、软件配置等方面的标准和要求；第五，规划安排校园网建设的实施步骤。 校园网总体设计方案是否科学，要看其能否满足以下基本要求：1、 规划安排。从学校建设的全局出发，考虑部门的地理分布和通信条件。整体规划网络建设方案，对网络系统的目标、总体结构、服务功能、经费预算、建设步骤

5、等重大问题作出规定。 2、 先进性、开放性和标准化相结合。尽量采用符合国际工业标准的、比较成熟的技术，兼顾网络技术的发展方向，选择结构化、可扩充、多用途的网络产品，保证网络在较长时间内不落后。 3、 结构合理，在通信网络、资源配置、系统服务和网络管理上有良好的分层设计，使网络结构清晰，便于使用、管理和维护。 4、 高效实用，着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台，例如可视化计算，计算机协同作业，虚拟网络，虚拟现实，计算机仿真，远程计算机操作与数据处理等。 5、 支持宽带多媒体业务，例如远程教学，多媒体网络教室，数字、视频

6、转换/糅合，视频会议，远程同步交互式教学等。 6、 为学术交流提供良好的环境，与CERNET、CHINANET等进行高速互连，快速访问Internet，与国内同行交流信息、协同工作和展示学校的形象。3.市教育城域网总体拓扑现状4.教育城域网主要技术问题 网络分层 目前一般是将教育城域网划分为核心层、汇接层和接入层，对于规模不大的教育城域网，核心层与汇接层可以合在一起，以简化网络体系。但是，教育城域网的建设是一个渐进过程，网络的不同层次可能由不同的投资者分别建设，同一个层次也可能由多个投资者分别建设，如果采用这种划分方法，我们认为过于简单，不能充分反映网络建设的具体情况。因此，建议将教育城域网划

7、分为教育城域网城域核心部分和教育城域网城域接入部分。 教育城域网城域核心部分为运营商网络，由运营商统一规划与建设，又可分为城域核心层和城域汇接层，城域核心层主要完成城域网内部信息的高速传送与交换，实现与其它网络的互联互通，而城域汇接层主要完成信息的汇聚与分发。城域接入部分可能由运营商、ISP、企业、建筑商以及物业管理部门建设，不仅仅是传统意义上提供接入的部分，而且还可能需要向用户提供本地业务。城域接入部分又分为接入汇接层和用户接入层，接入汇接层完成信息的汇接与分发，实现用户管理，城域接入部分的业务提供、计费等功能，而用户接入层为用户提供具体的接入手段。可以看出，教育城域网建设最困难的地方在于教

8、育城域接入部分。 技术体制 根据网络的发展水平和网络业务的不同，目前建设教育城域网主要有三种方式，即路由器方式（IP网络），ATM交换机方式（ATM网络）和业务路由交换机方式（多业务网络）。 第一种方式面向目前网络上占80以上而且还将不断剧增的数据流量，利用吉比特以太网技术、IP over SDH技术、IP over DWDM技术组建纯IP技术的城域网，为用户提供基于最好努力（Best effort）、不保证服务质量的服务。 第二种方式是面向数据通信主要收入来源的专线与话音业务，采用统一的网络支持DDN、FR、话音等传统业务以及IP业务，为用户提供按需分配网络带宽、保证服务质量的服务，其中，支

9、持IP业务可以采用IPOA、LANE、MPOA或VLAN技术实现。 第三种方式采用路由器厂商与ATM交换机厂商都普遍看好的下一代因特网骨干网络主流技术-MPLS技术，在网络边缘实现第三层灵活路由，在网络核心实现第二层快速交换。目前实际应用中，主要是第二种方式的进一步演进，即将IP业务与ATM网络无缝地结合在一起，使ATM网络全网不再需要两套地址，既能很好地支持DDN、FR、话音等传统业务，也能够很好地支持IP业务，按用户需要的服务质量提供相应的各种服务。 我们认为，在实际网络建设中，目前可以考虑采用的主要是第一种方式与第三种方式，但采用哪一种应该根据网络建设的目的、网络上各种业务流量发展趋势、

10、经济投资等因素来决定。总体来说，可以从两个方面来进行考虑，一个方面是，如果网络模型的业务流量就是以IP为核心的应用，则应该选择第一种方式，而如果希望建设一个通用的传送平台支持包括IP业务在内的各种业务，特别是数据业务主要收入来源的传统数据业务，则应该首先考虑采用第三种方式。另一个方面是，在有条件的、IP业务量比较大的地区应该同时采用第一种方式和第三种方式，分别建设IP网络和多业务网络，以适应不同业务特点和业务发展需求，而在数据业务类型多而总量不大的地方，应采用第三种方式以满足基本的业务需求，将来条件成熟后可以进一步考虑采用第一种方式将IP业务分离开来。另外，这两种方式并不是要求完全独立的，事实

11、上，多业务网络能够为IP网络提供接入功能和汇接功能，为用户提供更加灵活的接入方式。 接入技术 建设教育城域网的主要目的之一是为了能快速方便地为各个学校、教委提供宽带接入服务。因此，为了尽快地扩大网络覆盖面，方便用户的接入，每个运营商都根据自己的特点提出了自己的解决方案，如电信和联通提出了利用FTTxxDSL，FTTx+LAN、无线接入等方式，广电提出了利用FTTx+HFC、FTTxLAN等方式，其它新运营商提出了FTTxLAN、无线接入等方式。其中，FTTx+LAN方式为每个电信运营商所看好，我们认为，这是因为，一方面，以太网技术是非常成熟的技术，应用非常普及和方便，价格也比较便宜；另一方面，

12、伴随着高速网络建设浪潮，对信息化小区，商住大楼、学校以及大型企业单位、政府机构等高速网络的建设和接入需求会急速增加，而这些用户相对集中且接入端口很密集，可以通过LAN交换机为用户提供高密度的网络连接方案，从而能够以最少的投资，最低的资费为用户提供10 Mbit100 Mbits甚至1000 Mbits的宽带接入，让用户享受到真正的宽带网络服务。这并不是说，这种方式就完美无缺了，要真的是这样的话，也不错，其它的方式也就不必发展了。事实上，可以想象，对于楼字和新建小区，布设五类线或超五类线是容易实现的，只要能够与楼字的拥有者或小区的投资商合作，就能够做到。而对于已建小区，是非常困难的，因为谁也不愿

13、已装修好的房于再有所动作，此时，其它接入方式就可以各显神通了。 IP地址分配与网络地址转换 IP地址资源问题一直是Internet建设中的难题之一。随着教育城域网的建设，这个问题可能会变得更加严重，因为宽带网络的用户可能是永远在线的，特别是包月制情况下，所以在教育城域网中，除了建设初期用户IP地址可以采用公有IP地址之外，一般都采用私有IP地址，但即使如此，也应该考虑到IP地址资源是非常有限的，随着网络规模的不断扩大与用户数的急剧增长，很快会耗尽，因此，我们建议用户IP地址通过动态分配方式进行分配（IP地址既可以是私有1P地址也可以是公有IP地址）。用户访问网络资源时，从IP地址池中临时申请到

14、一个IP地址，使用完后再归还到IP地址池中。而1P地址池，可以位于客户管理系统上，也可以集中放置在Radius服务器上。 由于高速接入Internet是教育城域网的主要业务，而进行Internet访问时，用户必须使用全球唯一的IP地址，因此，在教育城域网建设中如果采用了私有IP地址，运营商应该保证其用户在使用私有IP地址时同样可以接入Internet，解决办法就是采用专门的IP地址转换设备或采用带NAT插卡的客户管理系统，将私有IP地址转换成运营商自己的公有IP地址，从而可以进行统一的Internet寻址，在网络转换设备中，私有IP地址转换为公有IP地址可以有三种实现方式，即静态方式，动态方式

15、和复用动态方式，其中，静态方式是通过配置将一个私有用户地址与一个公有IP地址对应，用于接入外部网络的用户数比较少时；动态方式是用户接入外部网络时网络设备从公有IP地址池中选择一个空闲的IP地址与其私有IP地址对应；复用动态方式利用公有IP地址和TCP端口号来标识私有IP地址和TCP端口号，协议规定使用16位的端口号，除去一些保留的端口外，一个公有IP地址可以区分多达6万个采用私有IP地址的用户端口号，由于一般运营商申请到的公有IP地址比较少，而用户数却可能很多，因此一般都采用复用动态方式。 教育城域网是一个整体，在这个整体中，网络建设与IP地址分配应该统一规划，因此，除了在网络建设初期，由于覆

16、盖范围比较小，用户数量比较少，可以采用分布式设置NAT之外，最好采用集中式放置NAT，以进一步减少公有IP地址的使用，节省投资，便于管理，特别是，集中放置的高端NAT设备保证了全网的网络性能几乎不受其影响。 用户信息安全 用户信息安全问题一直是IP网络中的讨论热点。在教育城域网建设中，也肯定会成为人们关注的焦点之一，事实上，在网络建设初期，用户对安全性可能要求不高，但是，随着用户数的不断上升和用户使用的业务种类不断增多，特别是电子商务的逐渐普及，用户将会越来越多地考虑到信息的安全性。 用户信息的不安全性主要是由用户处于以太网环境中引起的，因此要保证用户信息的安全性，就必须实现以太网环境下的用户

17、隔离，目前主要采用的技术为VLAN技术，VLAN技术是由IEEE802.3q和IEEE802.1q定义的，基本思想是在传统的以太网的帧结构中加入VLAN标识，划分在一个VLAN中的用户才能互相通信，不同VLAN中的用户互相隔离，一个设备支持的最大VLAN数量为4095。在教育城域网中，在接入设备上基于设备的端口、用户MAC地址、用户IP地址或其它策略将一个用户划分成一个VLAN，客户管理系统终结所有VLAN比实现三层交换功能，并实现IP地址与用户MAC地址和VLAN ID的绑定，防止IP地址的盗用。 我们认为，采用VLAN实现用户之间的隔离，采用严格论证的方法对需要进行认证的用户进行认证和计费

18、，应该是教育城域网建设的发展趋势。 网络管理 教育城域网网络管理的要求与因特网网络管理的要求是一样的，如支持基于WEB、TELNET、GUI和CLI的网络管理方式，支持SNMP、RMON等网络管理协议，支持带内和带外网络管理信息通道，等等。但也有其特殊性，主要体现在教育城域网中集中了多个厂商的设备，并直接面向各种不同类型的用户，因此其网络管理系统也应该支持这种特殊性，即支持与其它网络管理系统的集成，以方便地实现多个厂商设备的统一管理；支持按时长、按流量、包月制等多种计费方式或者针对不同的策略进行计费的功能，以满足教育城域网不同用户的需求。 对于如何管理教育城域网，目前有四种方式，即采用带内网络

19、管理，带外网络管理，两种方式同时使用或者两种方式混合使用（即城域汇接层及其以上层次的设备采用带外网络管理，城域汇接层以下设备采用带内网络管理）。我们认为，从网络层次划分来看，教育城域网城域核心部分应该采用统一的管理方式，而教育城域网城域接入部分，应该根据具体情况来实现，具体来说，就是如果为运营商自己建设的网络，则由于混合方式投资少，实现快，能够满足全部管理要求，因此建议采用，如果为其它投资者建设的网络，则应该采用带内网络管理比较符合实际情况。5.系统规划 赣榆县教育城域网总体拓扑路由规划 基于IP的交换主要是由交换机的包交换性能来保证，全网上的IP的路由除了取决于网络上的路由交换机的三层路由包

20、交换能力外，在很大程度上还依赖于全网上的路由规划和IP流量的取向。 一般来说，网络路由有两种情况：静态路由和动态路由。 静态路由是人为编写路由表，要求网络管理员事先了解网络路由。一经设计完成，不可自动修改。静态路由协议适用于网络相对简单，网络流量可以预测的环境及拨号备份线路。 动态路由通过算法根据网络情况实时修改路由表。每个路由器分析收到的路由更新信息，若网络已发生变化，路由软件将重新计算新的路径并送出新的路由信息。 对一个大网络来说，选择一个合适的路由协议是非常重要的，不恰当的选择有时对网络是致命的，路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障

21、时的快速恢复、网络的灵活扩展都有很重要的影响。 由于我们建设的是教育城域网，使用动态的路由协议将是相当方便和必要。我们推荐在骨干的路由交换机上使用业界成熟的动态路由协议：OSPF。 IP和VLAN规划 在IP地址的分配和使用上，对于各相邻节点的交换路由器之间，如DCRS-7500与接入路由交换机之间IP的地址分配，我们尽量采用Internet广域连接方式，设备之间采用相应的掩码，保证其完整性。 内部可以采用国际标准种指定的A类私有地址网段10.x.x.x，B类私有地址网段172.16.x.x，C类私有地址网段192.168.x.x等。根据不同的学校可以考虑等分配不同的IP地址段，便于管理和控制

22、。 核心交换机产品都符合802.1q，可以实现基于端口的跨交换机的VLAN划分，同时每个VLAN可以相应于一个或多个IP网段。为便于管理，初步的VLAN划分可按照不同的机构划分为不同的VLAN，将网络的关键服务器等划分为一个VLAN，但同样也可实现划分出基于端口的根据某些特别要求的VLAN，如从不同的职能部门摘取出来项目小组单独组成一个VLAN。针对VLAN，我们可以实现相应的VLAN间的访问控制。 网络安全规划 我们认为，安全是个很复杂的问题，安全性应该作为一个整体系统来考虑。在后面我们将由整个一章来介绍我们的网络安全解决方案，在此主要说说我们关于安全的一些思想和我们理解的网络安全模型。 一

23、般来说，网络系统网络可能存在的安全威胁主要来自以下方面： (1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 (2) 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。 (3) 来自内部网用户的安全威胁。 (4) 缺乏有效的手段监视、评估网络系统的安全性。 (5) 采用的TCP/IP协议族软件，本身缺乏安全性。 (6) 未能对来自Internet的电子邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。 (7) 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少

24、，并且，如果系统设置错误，很容易造成损失。 针对这么多的网络安全威胁，我们有什么办法？从软的方面来说，主要是从单位管理的角度，强化人们的安全意识，并制定相应的安全政策以保护单位的各种安全，包括设备物理安全、人员具有安全方面的行为规范等。在技术上我们采用出口防火墙和上网行为管理等安全设备来解决网络安全问题。6.教育城域网的组成县电教馆网络中心拓扑 覆盖全县的高速宽带IP主干网； 有一个内容丰富的教育资源中心（包括电子图书馆、多媒体信息服务中心、大量的教研资料、课件、素材、教案、政策法规等等）； 功能强大的统一的城域网管理平台； 以教育资源中心为中心节点，设立若干主干节点，组成主干网； 县内各学校

25、通过千兆光纤连入主干网；边远农村学校通过PSTN等方式接入； 建立若干重点示范校园网，将其建成课件制作中心和资源分中心。教育城域网的连接方式 城域网的建设目标是建立一个高速宽带教育主干网，所有学校接入主干网，主干接点之间的连接可以租用电信现有光纤，学校与主干网的连接在初期可采取多种形式：租用光纤、无线接入、ISDN、电话接入等，最终随着光纤资源的不断丰富，建议学校都应该以光纤方式接入，其他接入方式为过度措施。 教育城域网网络结构 主干网络技术采用千兆以太网； 主干采用双环网络结构或环网状结构； 主干节点选择路由交换机； 各节点学校采用光纤的形式入网；广域网连接用一条1G带宽的光缆由主干交换机接入CERNET、INTERNET。 教育城域网资源中心 交换机：采用功能强大的路由交换机； 服务器：WEB服务器、E-MAIL服务器、数据库服务器、代理服务器、VOD服务器、磁盘阵列等； 网络管理软件； 操作系统； 应用软件：WEB服务、E-MAIL服务、电子图书馆、远程教育、视频会议、教学教务管理、人事档案管理等等； 资源库：存放大量的门类齐全的优秀讲稿、国家相关政策法规、获奖论文、素材、优秀课件等教育资源；同时存放大量经过筛选的优秀影片供广大用户点播、欣赏； VOD视频点播网络系统， 校园内IC卡消费系统联网，便于校方对学生的管理。 学校网络中心拓扑