《K12校园网教育城域网解决方案.doc》由会员分享,可在线阅读,更多相关《K12校园网教育城域网解决方案.doc(28页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、K12校园网教育城域网解决方案 第一篇:k12校园网教育城域网解决方案k12校园网/教育城域网解决方案 k12教育数码港完全基于网络,利用网站自动生成系统,建立信息发布和交流的平台,并与k12的教育软件k12教育管理系统、k12教学资源系统、k12网络考评系统、k12网络视频系统实现无缝链接,推动了城域网在教育中的应用。 随着“校校通”工程的实施,以学校为单位的校园网和以地区为单位的城域教育网在全国范围内蓬勃兴起。k12利用自身掌握的网络技术,依托于先进而务实的教育理念,结合广受欢迎的k12系列产品,推出了校园网/城域网整体应用解决方案k12教育数码港。 k12教育数码港完全基于网络,利用网站
2、自动生成系统,建立信息发布和交流的平台,并与k12优秀的教育软件k12教育管理系统、k12教学资源系统、k12网络考评系统、k12网络视频系统实现无缝链接,推动校园网/城域网在教育中的全面应用。 教育数码港的功能框架 k12认为,教育城域网在教育中的应用分为四大方面。教学、资源、管理、交流。这是任何一个教育城域网解决方案中必须具备的功能。这一观点已得到行业的普遍认可,成为事实上的城域网功能标准。 为此,k12教育数码港设立了“交流中心”、“管理中心”、“资源中心”、“教学中心”等四大中心,并将k12为教育提供的全系列产品完全融合于其中,使得城域网用户也能够轻松享用到k12的优秀产品。 交流中心
3、 k12提供了“k12建网通”和“k12web邮件系统”。 在“k12建网通”中,用户无需任何编辑语言和网页制作工具,通过简单的鼠标点击就可以生成漂亮、实用、符合自己需求的主页,而且内容的维护也非常简单。“k12建网通”不仅是一个网页自动生成器,还内置了个人主页、论坛、聊天等用户信息交流中心,此外还承担了k12教育数码港中各功能模块的挂接作用,是名符其实的“交流中心”。 “k12web邮件系统”则可为用户提供十万级的web/pop3邮件功能,轻松解决城域范围内的用户电子邮件服务问题。 管理中心 k12提供了“k12教委管理系统”和“k12学校管理系统”,分别在教委和学校实现了网上办公和信息流转
4、的电子化,并特别设计了学校数据与信息向教委上报的功能,完全可以满足学校“无纸化”办公的需要。 k12提供的管理软件符合教育部和国家统计局颁发的“基础教育统计应用手册”中规定的统计报表规格,符合教育部颁发的“学校信息化系统规范”中的学校字信息字段定义。 k12构建上海闵行教育城域网网站 资源中心 资源对于教育城域网的重要性是不言而喻的。k12提供了k12资源库系列产品,不仅能够基本满足城域网上对资源的需要(“k12学科资源库”),而且能够帮助用户自主建设、扩充城域网资源库(“k12建库王”),使得城域网资源库能够得到源源不断的扩充和升级。 教学中心 在教育领域中,教学无疑是最为核心和最为重要的应
5、用。k12为此提供了能够帮助老师更容易地学习与掌握网络课件开发的“k12网络课程制作平台”,为老师的教学评估工作提供了“k12考评王”,为老师之间通过网络进行实时的教学观摩提供了“k12视频直播系统”,等等。 教育数码港的技术优势 k12教育数码港将k12的数十种产品以“交流、管理、资源、教学”四个方面整合框架,从底层将整个系统与数据进行了重新整合,使之能够在各产品之间实现信息与数据的无缝传递与共享。 k12教育数码港在k12已开发成功的数十种产品的基础上,历经一年的时间,现已实现了“统一安装”、“统一用户/认证”、“统一管理”、“统一界面”这四个“统一”,是全国较早实现“大平台”功能的城域网
6、软件平台。 统一安装 在k12教育数码港中,所有产品均可毫无冲突地统一安装在一台计算机中,也可以根据需要只安装其中的部分产品。可根据用户的经济实力和实际需要进行随意组合。 而且,为了配合城域网的实际应用需要,在k12教育数码港中,产品还被进一步细分为几十个功能模块,而不再以产品的形式体现。 统一用户/认证 在k12教育数码港中,所有的产品(功能模块)都采用了一套用户/认证系统。这套用户/认证系统是由专门的管理平台进行管理的,各产品(功能模块)都要从系统的管理平台中读取用户及用户权限信息。 由于在k12教育数码港中已经将产品拆成几十个子功能模块,因此对于每一个用户或用户组,就要对其进行授权,这样
7、才能实现系统最佳的安全性。因此,在k12教育数码港中又针对这几十个子功能模块设置了150多个权限,使得系统管理员完全能够根据需要为用户授予不同的权限。 统一管理 统一管理中最重要的就是前面所提到的对用户/认证的集中管理。统一管理还包括对整个城域网基本信息与系统信息的管理(如域名、ip、机构组成、部门信息、ip过滤等),包括对城域网功能模块进行初始化设置和对各级管理员(除系统管理员之外)的设置,以使系统能够适应城域网的各种复杂情况。 考虑到城域网软件的安装情况错综复杂,因此统一的后台管理中,还可以对子功能模块进行注册,对子功能模块的缺省权限进行设置。另外,系统还设置了跨域认证、数据备份、安全日志
8、等高级功能。 统一界面 在没有登录的情况下,所有用户看到的界面都是基本相同的,都是城域网的信息发布平台(“k12建网通”)。无论是内网用户,还是外网用户,都可浏览主页上的公用信息。 而当用户以自己的身份登录时,系统就会根据用户的账号信息,自动判断用户的身份,并根据系统管理员授予的权限,显示出相应的子功能模块。用户只需点击所需的功能模块,就可以使用该功能了。 针对城域网具体软硬件系统环境的不同,k12还提供了sunsolaris版、linux版、windows版三种不同的系统平台版本。 sunsolaris版针对的是采用sunsolaris+jsp+oracle的系统平台,面向的是超大型的城域网
9、用户,提供高访问量、高数据吞吐量的服务。 linux版针对的是采用linux+php+mysql的系统平台,面向的是中型的城域网用户,仅需采用高级的pc服务器即可,但利用linux本身的高效性和稳定性,以及php、mysql在linux中的超级表现,完全能够满足中型城市的一般应用需求。可以说,中级版本是性价比最高的方案。 windows版本针对的是采用pc服务器、而且需要使用windows作为系统平台的用户,采用的是windows+apache+php+mysql的系统平台,能够满足一定数量的访问需求。 在短短的一年中,k12教育数码港已经被数十个地区使用,是目前用户数最多的教育城域网解决方案
10、,其中,许多地区都是全国闻名的示范区,成为全国各地互相交流、学习的典范。 第二篇:普教教育城域网解决方案普教教育城域网解决方案 教育城域网的建设是推进素质教育、迎接知识经济时代的需要。目前世界各国都在加快教育现代化的步伐,其信息化程度的高低也已成为当今世界衡量一个国家综合国力的重要标志。锐捷网络做为国内领先的网络设备供应商和解决方案提供商,积极投身于教育网络的建设工作中,利用自身完备的网络技术及建设经验为广大的教育用户提供了卓越的网络产品,同时,锐捷网络提出的“区块化”+“分离式”教育城域网建设思路 提供了完善的教育城域网网络解决方案。 教育城域网建设原则 教育城域网的建设,主要目的是将同一地
11、区、同一个城市里的所有学校、研究机构、本地的教育机构互联起来。为实现教育网络高质、高效互联的目标要求,在网络设计构建中,应始终坚持以下建网原则: u 高稳定可靠性 由于城域网内数据流量巨大,且关键流量众多,整个网络系统的可靠性和稳定性非常重要,因此对整个网络必须遵循运营级的设计理念,即,从网络接入、汇聚到核心等各个层次加以保证,不但要考虑各层设备本身的冗余、容错能力,还要从网络架构的合理设计上,保障网络的稳定可靠运行。 u 高性能 高质高效的网络性能是整个网络良好运行的基础,因此,在设计中就必须保障网络及设备的高吞吐能力,保证各种数据(语音、视频、数据)的高质量传输,确保各种应用的顺利开展,不
12、要让网络成为应用开展 的瓶颈。 u 高安全 制定统一的安全策略,整体考虑网络平台的安全性,构建全局安全网络。保证关键数据不被非法窃取、篡 改或泄漏,使数据具有极高的可信性。 u 易管理 对网络实行集中监测、分权管理,并统一分配带宽资源,选用先进的网络管理平台,实现对整网设备、端口的管理、流量统计分析,以及提供故障的自动报警。 u 良好可扩展性 根据未来应用和业务的增长和变化,网络可以平滑升级和扩充,最大限度的减少对网络架构和现有设备的 调整,保护现有投资。 锐捷网络教育城域网解决方案 锐捷网络教育城域网的解决方案充分结合我国城市市区教育行业用户的网络现状。本解决方案以地/市教委、电教馆网络为中
13、心,采用“区块化”+“分离式”设计思路设计。 方案设计 骨干层分离式设计u 城域网骨干层采用25台rg-8610构建城域网的高速交换中心。骨干层之间根据当地线路条件,高速连接。建议采用租用裸光纤方式,以千兆或万兆以太网方式进行连接。 本方案中骨干层设计与传统城域网设计的最大不同之处在于骨干与汇聚之间的上下分离的设计思想。传统的城域网骨干层设备包含汇聚节点,也就是或下面的很多接入层用户直接接入城域网骨干层,没有进行严格区分。这样带来的优势是节省资金,但也存在很大的性能、安全上的风险: 1)传统设计中骨干层核心设备直接暴露在终端用户面前,很容易遭受黑客或病毒攻击,从而引起核心设备宕机或高负载运行,
14、最终直接导致整个城域网瘫痪。 2)骨干层提供汇聚功能,需要在核心交换机上部署大量的安全控制规则、qos策略和路由策略,会影响核 心数据的转发。 而采用骨干、汇聚分离的设计思想,严格将汇聚与骨干之间区分开,骨干层只作高速数据交换,原则上不在核心上启用复杂功能、不部署复杂策略,不会影响核心性能。骨干层也没有暴露在直接用户面前,不会受到恶意攻击。单个汇聚节点故障不影响整个城域网的正常运行。 u汇聚层设计 每个汇聚层节点可以设在各行政区教育局或电教馆,采用1台s6810e或者1台s6806e作为汇聚节点核心交换机。汇聚交换机与骨干核心交换机通过高速链路相连,如有条件建议租用裸光纤方式,以千兆或万 兆以
15、太网方式进行连接。 汇聚层交换机配置丰富的接口模块,专职为接入层提供接入服务。汇聚层交换机上根据需要进行安全规则、路由策略的部署,来对接入层进行数据交换和安全防护。 u 接入层分离式设计 采用三层交换机+路由器的方式接入城域骨干网,让接入学校的三层交换机负责内部的数据交换,让出口的路由器负责城域网骨干接入,二台设备各司其职,形成上下分离的设计。采取这种方式有以下一些优势: 管理维护方便,城域网中心只需要管理到出口路由器,如果路由器正常,中心就可以认为是接入学校自己的问题,学校的管理人员应该自己解决,这样,提高了网络管理的效率,提高了城域网的高度可用性。 稳定可靠,由于三层交换机采用三层的形式跟
16、路由器互联,这样,接入学校内部的网络环境变化不会影响到接入路由器,接入网的可靠性能够得到加强。 依据学校规模的不同,对于10m及其以下接入的学校,采用rg-r2632路由器;对于100m接入的学校 采用rg-r3642路由器。 u 出口区块设计 教育城域网一般都会连接到chinanet和cernet两个网络,而且,考虑到用户量大和丰富的应用,这要网络出口带宽至少千兆以上,对于出口防火墙能够支持千兆接口、具备较高的吞吐量和良好的安全性能,同时还要能阻断来自外部的黑客攻击和网络病毒,保证城域网的安全性。能支持多出口负载均衡和nat功 能,将多出口分流实现在防火墙上; 对此我们建议在网络出口处使用锐
17、捷网络rg-wall1600防火墙的双机负载均衡(ha高可用性)功能,实现了2台防火墙的负载均衡和双机热备,确保出口的高度稳定可用性。 2台防火墙组成ha(高可用性)正常时,2台防火墙是负载均衡 当其中一条链路或设备出现故障时,会话迅速转移到另外一台防火墙。 最终实现了2台防火墙的负载均衡和双机热备,确保出口的高度稳定可用性。 特点。不同的工作由不同的设备来完成,网络的性能很高,二台防火墙启用ha功能,实现流量的负载分担和冗余备份,在双出口的环境中,确保了网络的稳定可靠性。 方案特点 “区块化”设计u “区块化”设计实际上是把整个教育系统分为资源中心,网络区块,网络安全管理区块,网络出口区块这
18、样几个部分构成的。区块之间的数据交换,和网络数据一起就形成了一个高速的以太网,资源中心区块所有的都要分析,我们可以针对这些区块进行非常详细的划分。首先不同的区块有不同的业务,网络按功能进行区块划分,不同区块负责各自的独立业务,互不干扰。按区块进行安全规则,路由策略统一部署,实现数据交换和安全防护。网络核心不起用复杂功能,策略,具备高吞吐量和数据交换能力,网络结构设计安全、可靠,局部区块故障不影响全局网络运行。组成一个高速的数字交换中心,负责各个区块之间的高效的转换,这是分区的好处,可以保证性能。如果所有的功能都集中在核心层上面,如果一旦出现问题,就会影响运行。通过区块化的设计思想,可以保证高性
19、能,高可靠,而且是易管理规划的。 “分离式”设计u “分离式”设计是针对管理的特点,接入的特点。第一是骨干分离,核心与接入剥离,增加汇聚层,核心层不直接对用户提供接入服务,这是第一点;第二点,网络按功能进行区块划分,不同区块负责各自的独立业务,互不干扰,区块故障不影响城域网运行;第三,核心节点和汇聚节点是完全分离的,核心节点只负责资源中心,汇聚区块,网络出口区块之间的连接和数据交换,负责整个用户的接入。 高稳定可靠性u 方案从设备本身、网络结构设计和安全防护三个方面确保了网络的高度稳定可靠运行。核心设备本身都提供了关键部件冗余,以及8600独特的“三平面分离”+“三平面保护”设计,很好的保障了
20、核心设备的稳定性;在网络架构上也进行了全面的冗余设计,确保单点故障不影响网络的正常运转;全局安全网络设计,保证网络不受病毒和网络攻击影响,进一步提升了网络的稳定可靠性。 网络高性能u 城域网核心设备采用锐捷网络最新推出的面向十万兆平台设计的下一代高密度多业务ipv6核心路由交换机rg-s8600系列。rg-s8600系列高密度多业务ipv6核心路由交换机提供3.2t/1.6t背板带宽,并支持将来更高带宽的扩展能力,高达1190mpps/595mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换。另外所有设备都支持丰富的qos功能,能确保重要业务量不受延迟或丢弃,同时又充 分利
21、用现有的带宽来保证网络的高效运行。 高安全u 全局安全网络设计,城域网出口防火墙采用rg-wall千兆防火墙,提供强有力的状态检测以及防范入侵检测功能,很好的保障了城域网内网的安全。rg-s8600提供了业界第一个完善的设备级安全防护体系,全面整合各种安全技术,并且采用纯硬件方式实现,保证了在不影响整机性能的情况下提供全面的安全防护能力,以及独特的cpp技术,很好的保障了关键部件的安全稳定、设备管理安全和接入安全。 易管理u 方案采用了锐捷网络starview网络管理平台,可以实现对整网设备、端口的管理、流量统计分析,以及提 供故障的自动报警。 良好可扩展性u 网络的扩展能力包括设备交换容量的
22、扩展能力、端口密度的扩展能力、主干带宽的扩展能力,以及网络规模的扩展能力。网络设备强大的扩展能力可以有效地保护设备建设投资,方便未来扩充更多的应用模块和 功能模块。 总之,采用“区块化”+“分离式”的核心组网思想设计,带给用户一个稳定安全、灵活高效的教育城域网。 第三篇:赣榆县教育城域网组网技术方案赣榆县教育城域网总体方案 1.赣榆县教育城域网络系统需求 赣榆县南起北纬4度41分30秒,北至北纬35度7分39秒,西起东经118度45分39秒,东至东经119度18分7秒,东西宽35千米,南北长40千米,面积1402.5平方米.赣榆县现有中小学370所,其中中心小学68所,68所学校中已有4所学校
23、覆盖在中心网站中.赣榆县教育城域网在硬件结构上,是以城域网网络中心为核心,以光缆连接各学校校园网所组成的网络.教育城域网在应用功能上,要求实现资源共享、在线管理、视频会议、远程教育等。 赣榆县城域教育网的整体解决方案应包括。城域教育网中心网站网络系统方案、城域教育网应用系统平台建设解决方案、视频会议系统方案、学校基于城域教育网下校园网的网络系统方案。 赣榆县城域教育网中心网站信息点数为:进修学校10个,实验小学教学区20个,实验小学宿舍区24个,求真楼23-46个,前院楼13-22个(教育局每室1个);实验幼儿园、青口二中、教师新村在规划中,若要增加信息点数,需增加交换机,所以对教育网中心园区
24、信息化建设要求起步比较高,需求如下: 校区内采用综合布线连接整个园区,光纤主干千兆带宽,100m交换到桌面, 网络中心需要集中管理,对校园网划分多个虚拟网方式的网络平台, 在安全性方面保证内部各部门之间建立访问权限,不使不同部门的数据得到未经授权的访问, 采用硬件放火墙技术有效隔离、限制internet上的不良信息访问, vod视频点播网络系统, 校园内ic卡消费系统联网,便于校方对学生的管理。 2.城域教育网的总体设想 根据赣榆县教育城域网的具体实际情况和21世纪校园网新的楷模标准,因此该校园网不只是涉及技术方面,而且要考虑到网络设施、应用平台、信息资源、专业应用、人员素质等成份的综合化以及
25、信息化的教学环境。为此,在总体上如何筹划设计、规划组织建设和制定开发设计思想是校园网建设的最重要的问题。 总体设计是校园网建设的工程蓝图,是搞好校园网建设的核心任务。进行校园网总体设计,首先是进行对象研究和需求调查,弄清学校的性质、任务和改革发展的特点,对学校的信息化环境进行准确的描述,明确系统建设的需求;其次,在应用需求分析的基础上,确定学校校园网的服务类型,进而确定系统建设的具体目标,包括网络设施、站点设置、开发应用和管理等方面的目标;第三是确定网络拓扑结构和功能,根据应用需求、建设目标和学校主要建筑分布特点,进行系统分析和设计;第四,确定技术设计的原则要求,如在技术选型、布线设计、设备选
26、择、软件配置等方面的标准和要求;第五,规划安排校园网建设的实施步骤。 校园网总体设计方案是否科学,要看其能否满足以下基本要求: 1、规划安排。从学校建设的全局出发,考虑部门的地理分布和通信条件。整体规划网络建设方案,对网络系统的目标、总体结构、服务功能、经费预算、建设步骤等重大问题作出规定。 2、先进性、开放性和标准化相结合。尽量采用符合国际工业标准的、比较成熟的技术,兼顾网络技术的发展方向,选择结构化、可扩充、多用途的网络产品,保证网络在较长时间内不落后。 3、结构合理,在通信网络、资源配置、系统服务和网络管理上有良好的分层设计,使网络结构清晰,便于使用、管理和维护。 4、高效实用,着眼于教
27、学、科研、管理的实际需要,用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台,例如可视化计算,计算机协同作业,虚拟网络,虚拟现实,计算机仿真,远程计算机操作与数据处理等。 5、支持宽带多媒体业务,例如远程教学,多媒体网络教室,数字、视频转换/糅合,视频会议,远程同步交互式教学等。 6、为学术交流提供良好的环境,与cernet、chinanet等进行高速互连,快速访问internet,与国内同行交流信息、协同工作和展示学校的形象。 3.市教育城域网总体拓扑现状 4.教育城域网主要技术问题 网络分层 目前一般是将教育城域网划分为核心层、汇接层和接入层,对于规模不大的教育
28、城域网,核心层与汇接层可以合在一起,以简化网络体系。但是,教育城域网的建设是一个渐进过程,网络的不同层次可能由不同的投资者分别建设,同一个层次也可能由多个投资者分别建设,如果采用这种划分方法,我们认为过于简单,不能充分反映网络建设的具体情况。因此,建议将教育城域网划分为教育城域网城域核心部分和教育城域网城域接入部分。 教育城域网城域核心部分为运营商网络,由运营商统一规划与建设,又可分为城域核心层和城域汇接层,城域核心层主要完成城域网内部信息的高速传送与交换,实现与其它网络的互联互通,而城域汇接层主要完成信息的汇聚与分发。城域接入部分可能由运营商、isp、企业、建筑商以及物业管理部门建设,不仅仅
29、是传统意义上提供接入的部分,而且还可能需要向用户提供本地业务。城域接入部分又分为接入汇接层和用户接入层,接入汇接层完成信息的汇接与分发,实现用户管理,城域接入部分的业务提供、计费等功能,而用户接入层为用户提供具体的接入手段。可以看出,教育城域网建设最困难的地方在于教育城域接入部分。技术体制 根据网络的发展水平和网络业务的不同,目前建设教育城域网主要有三种方式,即路由器方式(ip网络),atm交换机方式(atm网络)和业务路由交换机方式(多业务网络)。 第一种方式面向目前网络上占80以上而且还将不断剧增的数据流量,利用吉比特以太网技术、ipoversdh技术、ipoverdwdm技术组建纯ip技
30、术的城域网,为用户提供基于最好努力(besteffort)、不保证服务质量的服务。 第二种方式是面向数据通信主要收入来源的专线与话音业务,采用统一的网络支持ddn、fr、话音等传统业务以及ip业务,为用户提供按需分配网络带宽、保证服务质量的服务,其中,支持ip业务可以采用ipoa、lane、mpoa或vlan技术实现。 第三种方式采用路由器厂商与atm交换机厂商都普遍看好的下一代因特网骨干网络主流技术-mpls技术,在网络边缘实现第三层灵活路由,在网络核心实现第二层快速交换。目前实际应用中,主要是第二种方式的进一步演进,即将ip业务与atm网络无缝地结合在一起,使atm网络全网不再需要两套地址
31、,既能很好地支持ddn、fr、话音等传统业务,也能够很好地支持ip业务,按用户需要的服务质量提供相应的各种服务。 我们认为,在实际网络建设中,目前可以考虑采用的主要是第一种方式与第三种方式,但采用哪一种应该根据网络建设的目的、网络上各种业务流量发展趋势、经济投资等因素来决定。总体来说,可以从两个方面来进行考虑,一个方面是,如果网络模型的业务流量就是以ip为核心的应用,则应该选择第一种方式,而如果希望建设一个通用的传送平台支持包括ip业务在内的各种业务,特别是数据业务主要收入来源的传统数据业务,则应该首先考虑采用第三种方式。另一个方面是,在有条件的、ip业务量比较大的地区应该同时采用第一种方式和
32、第三种方式,分别建设ip网络和多业务网络,以适应不同业务特点和业务发展需求,而在数据业务类型多而总量不大的地方,应采用第三种方式以满足基本的业务需求,将来条件成熟后可以进一步考虑采用第一种方式将ip业务分离开来。另外,这两种方式并不是要求完全独立的,事实上,多业务网络能够为ip网络提供接入功能和汇接功能,为用户提供更加灵活的接入方式。 接入技术 建设教育城域网的主要目的之一是为了能快速方便地为各个学校、教委提供宽带接入服务。因此,为了尽快地扩大网络覆盖面,方便用户的接入,每个运营商都根据自己的特点提出了自己的解决方案,如电信和联通提出了利用fttxxdsl,fttx+lan、无线接入等方式,广
33、电提出了利用fttx+hfc、fttxlan等方式,其它新运营商提出了fttxlan、无线接入等方式。其中,fttx+lan方式为每个电信运营商所看好,我们认为,这是因为,一方面,以太网技术是非常成熟的技术,应用非常普及和方便,价格也比较便宜;另一方面,伴随着高速网络建设浪潮,对信息化小区,商住大楼、学校以及大型企业单位、政府机构等高速网络的建设和接入需求会急速增加,而这些用户相对集中且接入端口很密集,可以通过lan交换机为用户提供高密度的网络连接方案,从而能够以最少的投资,最低的资费为用户提供10mbit100mbits甚至1000mbits的宽带接入,让用户享受到真正的宽带网络服务。这并不
34、是说,这种方式就完美无缺了,要真的是这样的话,也不错,其它的方式也就不必发展了。事实上,可以想象,对于楼字和新建小区,布设五类线或超五类线是容易实现的,只要能够与楼字的拥有者或小区的投资商合作,就能够做到。而对于已建小区,是非常困难的,因为谁也不愿已装修好的房于再有所动作,此时,其它接入方式就可以各显神通了。 ip地址分配与网络地址转换 ip地址资源问题一直是internet建设中的难题之一。随着教育城域网的建设,这个问题可能会变得更加严重,因为宽带网络的用户可能是永远在线的,特别是包月制情况下,所以在教育城域网中,除了建设初期用户ip地址可以采用公有ip地址之外,一般都采用私有ip地址,但即
35、使如此,也应该考虑到ip地址资源是非常有限的,随着网络规模的不断扩大与用户数的急剧增长,很快会耗尽,因此,我们建议用户ip地址通过动态分配方式进行分配(ip地址既可以是私有1p地址也可以是公有ip地址)。用户访问网络资源时,从ip地址池中临时申请到一个ip地址,使用完后再归还到ip地址池中。而1p地址池,可以位于客户管理系统上,也可以集中放置在radius服务器上。由于高速接入internet是教育城域网的主要业务,而进行internet访问时,用户必须使用全球唯一的ip地址,因此,在教育城域网建设中如果采用了私有ip地址,运营商应该保证其用户在使用私有ip地址时同样可以接入internet,
36、解决办法就是采用专门的ip地址转换设备或采用带nat插卡的客户管理系统,将私有ip地址转换成运营商自己的公有ip地址,从而可以进行统一的internet寻址,在网络转换设备中,私有ip地址转换为公有ip地址可以有三种实现方式,即静态方式,动态方式和复用动态方式,其中,静态方式是通过配置将一个私有用户地址与一个公有ip地址对应,用于接入外部网络的用户数比较少时;动态方式是用户接入外部网络时网络设备从公有ip地址池中选择一个空闲的ip地址与其私有ip地址对应;复用动态方式利用公有ip地址和tcp端口号来标识私有ip地址和tcp端口号,协议规定使用16位的端口号,除去一些保留的端口外,一个公有ip地
37、址可以区分多达6万个采用私有ip地址的用户端口号,由于一般运营商申请到的公有ip地址比较少,而用户数却可能很多,因此一般都采用复用动态方式。 教育城域网是一个整体,在这个整体中,网络建设与ip地址分配应该统一规划,因此,除了在网络建设初期,由于覆盖范围比较小,用户数量比较少,可以采用分布式设置nat之外,最好采用集中式放置nat,以进一步减少公有ip地址的使用,节省投资,便于管理,特别是,集中放置的高端nat设备保证了全网的网络性能几乎不受其影响。 用户信息安全 用户信息安全问题一直是ip网络中的讨论热点。在教育城域网建设中,也肯定会成为人们关注的焦点之一,事实上,在网络建设初期,用户对安全性
38、可能要求不高,但是,随着用户数的不断上升和用户使用的业务种类不断增多,特别是电子商务的逐渐普及,用户将会越来越多地考虑到信息的安全性。 用户信息的不安全性主要是由用户处于以太网环境中引起的,因此要保证用户信息的安全性,就必须实现以太网环境下的用户隔离,目前主要采用的技术为vlan技术,vlan技术是由ieee802.3q和ieee802.1q定义的,基本思想是在传统的以太网的帧结构中加入vlan标识,划分在一个vlan中的用户才能互相通信,不同vlan中的用户互相隔离,一个设备支持的最大vlan数量为4095。在教育城域网中,在接入设备上基于设备的端口、用户mac地址、用户ip地址或其它策略将
39、一个用户划分成一个vlan,客户管理系统终结所有vlan比实现三层交换功能,并实现ip地址与用户mac地址和vlanid的绑定,防止ip地址的盗用。 我们认为,采用vlan实现用户之间的隔离,采用严格论证的方法对需要进行认证的用户进行认证和计费,应该是教育城域网建设的发展趋势。 网络管理 教育城域网网络管理的要求与因特网网络管理的要求是一样的,如支持基于web、telnet、gui和cli的网络管理方式,支持snmp、rmon等网络管理协议,支持带内和带外网络管理信息通道,等等。但也有其特殊性,主要体现在教育城域网中集中了多个厂商的设备,并直接面向各种不同类型的用户,因此其网络管理系统也应该支
40、持这种特殊性,即支持与其它网络管理系统的集成,以方便地实现多个厂商设备的统一管理;支持按时长、按流量、包月制等多种计费方式或者针对不同的策略进行计费的功能,以满足教育城域网不同用户的需求。 对于如何管理教育城域网,目前有四种方式,即采用带内网络管理,带外网络管理,两种方式同时使用或者两种方式混合使用(即城域汇接层及其以上层次的设备采用带外网络管理,城域汇接层以下设备采用带内网络管理)。我们认为,从网络层次划分来看,教育城域网城域核心部分应该采用统一的管理方式,而教育城域网城域接入部分,应该根据具体情况来实现,具体来说,就是如果为运营商自己建设的网络,则由于混合方式投资少,实现快,能够满足全部管
41、理要求,因此建议采用,如果为其它投资者建设的网络,则应该采用带内网络管理比较符合实际情况。 5.系统规划 赣榆县教育城域网总体拓扑 路由规划 基于ip的交换主要是由交换机的包交换性能来保证,全网上的ip的路由除了取决于网络上的路由交换机的三层路由包交换能力外,在很大程度上还依赖于全网上的路由规划和ip流量的取向。 一般来说,网络路由有两种情况。静态路由和动态路由。 静态路由是人为编写路由表,要求网络管理员事先了解网络路由。一经设计完成,不可自动修改。静态路由协议适用于网络相对简单,网络流量可以预测的环境及拨号备份线路。 动态路由通过算法根据网络情况实时修改路由表。每个路由器分析收到的路由更新信
42、息,若网络已发生变化,路由软件将重新计算新的路径并送出新的路由信息。 对一个大网络来说,选择一个合适的路由协议是非常重要的,不恰当的选择有时对网络是致命的,路由协议对网络的稳定高效运行、网络在拓朴变化时的快速收敛、网络带宽的充分有效利用、网络在故障时的快速恢复、网络的灵活扩展都有很重要的影响。 由于我们建设的是教育城域网,使用动态的路由协议将是相当方便和必要。我们推荐在骨干的路由交换机上使用业界成熟的动态路由协议:ospf。 ip和vlan规划 在ip地址的分配和使用上,对于各相邻节点的交换路由器之间,如dcrs-7500与接入路由交换机之间ip的地址分配,我们尽量采用internet广域连接
43、方式,设备之间采用相应的掩码,保证其完整性。 内部可以采用国际标准种指定的a类私有地址网段10.x.x.x,b类私有地址网段172.16.x.x,c类私有地址网段192.168.x.x等。根据不同的学校可以考虑等分配不同的ip地址段,便于管理和控制。 核心交换机产品都符合802.1q,可以实现基于端口的跨交换机的vlan划分,同时每个vlan可以相应于一个或多个ip网段。为便于管理,初步的vlan划分可按照不同的机构划分为不同的vlan,将网络的关键服务器等划分为一个vlan,但同样也可实现划分出基于端口的根据某些特别要求的vlan,如从不同的职能部门摘取出来项目小组单独组成一个vlan。针对
44、vlan,我们可以实现相应的vlan间的访问控制。网络安全规划 我们认为,安全是个很复杂的问题,安全性应该作为一个整体系统来考虑。在后面我们将由整个一章来介绍我们的网络安全解决方案,在此主要说说我们关于安全的一些思想和我们理解的网络安全模型。 一般来说,网络系统网络可能存在的安全威胁主要来自以下方面:(1)操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如unix服务器,nt服务器及windows桌面pc。 (2)防火墙的安全性。防火墙产品自身是否安全,是否设置错误,需要经过检验。 (3)来自内部网用户的安全威胁。 (4)缺乏有效的手段监视、评估网络系统的安全性。(5)采用的tcp
45、/ip协议族软件,本身缺乏安全性。 (6)未能对来自internet的电子邮件夹带的病毒及web浏览可能存在的恶意java/activex控件进行有效控制。 (7)应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。 针对这么多的网络安全威胁,我们有什么办法。从软的方面来说,主要是从单位管理的角度,强化人们的安全意识,并制定相应的安全政策以保护单位的各种安全,包括设备物理安全、人员具有安全方面的行为规范等。在技术上我们采用出口防火墙和上网行为管理等安全设备来解决网络安全问题。 6.教育城域网的组成县电教馆网络中心拓扑 覆盖全县的高速宽带ip
46、主干网; 有一个内容丰富的教育资源中心(包括电子图书馆、多媒体信息服务中心、大量的教研资料、课件、素材、教案、政策法规等等); 功能强大的统一的城域网管理平台; 以教育资源中心为中心节点,设立若干主干节点,组成主干网; 县内各学校通过千兆光纤连入主干网; 边远农村学校通过pstn等方式接入; 建立若干重点示范校园网,将其建成课件制作中心和资源分中心。教育城域网的连接方式 城域网的建设目标是建立一个高速宽带教育主干网,所有学校接入主干网,主干接点之间的连接可以租用电信现有光纤,学校与主干网的连接在初期可采取多种形式:租用光纤、无线接入、isdn、电话接入等,最终随着光纤资源的不断丰富,建议学校都应该以光纤方式接入,其他接入方式为过度措施。 教育城域网网络结构 主干网络技术采用千兆以太网; 主干采用双环网络结构或环网状结构; 主干节点选择路由交换机; 各节点学校采用光纤的形式入网; 广域网连接用一条1g带宽的光缆由主干交换机接入cernet、internet。 教育城域网资源中心 交换机:采用功能强大的路由交换机; 服务器:web服务器、e-mail服务器、数据库服务