山西阳泉教育城域网是由阳泉教育信息网络中心与各区县学校局域网共同组建的、以覆盖整个阳泉市为目标的大型集中式计算机网络系统。该城域网实现千兆到县区,百兆到学校,绑定两个千兆线路到教育信息网络中心的网络结构。第一期工程将150所学校分批建成高标准校园网,以光纤方式接入教育城域网,逐步实现“校校通”、“班班(室室)通”、“(教工宿舍)户户通”的建设目标。
一、建设功能分析
阳泉教育城域网集全市教育系统内的行政管理、信息发布、资源共享、在线备课、在线教学、在线考试、远程教育、电子图书馆以及课堂直播互动学习、视频会议、视频广播教学、视频点播等功能于一体。其中视频功能占很大比重,这是与其他网络的重要区别之一。
二、城域网解决方案
阳泉市教育信息网络中心根据城域网整体布局要求,选用锐捷网络产品。
1.网络结构
从阳泉教育城域网网络拓扑图(图1)可以看出,其网络结构可分为骨干层、汇聚层和接入层。
(1)骨干层
这是教育城域网的运行中枢,为整个城域网提供快速交换和网络管理支持,是各类数据、媒体流汇聚的地方。骨干层以IDC形式为城域网提供服务和出口管理。核心路由交换机具备高可靠性、高性能、高端口密度、高安全性、可管理性等要求,并具有网络可扩容升级能力和多种业务支持能力。在完成高速交换的基础上,骨干层能够提供稳定可靠的网络基础服务功能并能够支持其他层的基础功能、分布服务以及QOS保证。
(2)汇聚层
这是保证与骨干层和接入层有效连接、提供分布服务、设置网络路由的重要层次。根据实际情况,阳泉市教育城域网将各县区教育局网络中心和各学校校园网网络中心作为汇聚层。为了不影响市教育信息网络中心核心交换机的性能,所有接入城域网的学校网络中心采用智能三层交换机控制学校内行政、办公、教学、学生上网、后勤等多个子网和VLAN之间的路由转发和访问控制。各县区教育局网络中心采用高性能三层交换机,通过路由设置,承担本县区各学校之间的路由转发和访问控制。这些汇接点路由根据市网络中心全网要求统一设置。
(3)接入层
该层集合了教育城域网汇聚层的所有教育教学最终用户。师生通过接入层进入教育网络,利用网络学习、工作。本方案采用可网管百兆以太网交换机或可堆叠百兆以太网交换机作为网络的接入层交换机。
2.教育信息网络中心
阳泉教育信息网络中心按照功能划分为两个虚拟网:Server VLAN和Client VLAN。各种内网应用服务器及数据库服务器统一组成Server VLAN。计费网关接在防火墙的内网端口上。面向外网的服务器(Web、Mail、FTP服务器等)放置在防火墙的DMZ区内。网络中心其他客户机单独设置成Client VLAN。
教育信息网络中心需要同时承载全市百余所学校几千名师生的浏览、查询、调用和下载等访问请求。因此,内网服务器群采用的是与核心路由交换机千兆光纤相连接的拓扑结构(图2)。
核心交换机采用锐捷网STAR-S6808全模块化骨干路由交换机。各端口都能够全线速地转发路由和交换数据包,能够在主用管理模块失效时保持已建立的信息流,并可在几秒钟内建立新的信息流,无中断保护ICS,提供数据传送的高可靠性。同时还提供数据并行处理和业务流无缝切换的功能。
STAR-S6808基于第四层的负载均衡功能为数据中心提供了强大的流量管理工具。该功能可以将服务器群划分成虚拟的服务组,然后将收到的服务请求分配给这些服务组。STAR-S6808通过PING监测服务器组内各台机器的运行状态。STAR-S6808会话保持功能允许管理员控制负载均衡机制,使同一会话的服务请求保持在同一服务器上而不再是多台服务器上作负载均衡。数据中心的数据存贮业务可以通过SLA保证数据从用户场地到存贮服务器的传输得以加强。
WLM Firewall 2.0 B型防火墙不但从根本上提高了网络的安全性,而且提供有两个100兆和1000兆端口,从而使本方案中DMZ区域核心交换机实现了1000兆连接,外网访问Web、Mail、远程教育平台的速度大大提高。
StarView网络管理系统、S-Radius宽带认证计费管理系统和STAR-LS日志服务器,使设备管理、用户管理、计费管理以及日志记录分析集中在同一个平台,组成功能强大、实用性强、方便易用的“SAM系统”,轻松实现可运营管理和维护。
三、设计特点
1.稳定性、可靠性设计
(1)设备可靠
锐捷S6800核心交换机提供管理引擎冗余和电源模块冗余功能,4909汇聚层交换机提供电源冗余功能。通过自动保护系统RAPS、虚拟路由器冗余协议VRRP、虚拟状态冗余协议VSRP、冗余模块等,实现全冗余、失效切换,有效保障网络核心不间断工作。
(2)网络可靠
所有端口都支持802.1Q的VLAN、 MAC地址,并生成树协议802.1D、802.1w、RRSTP、PVST、MVST。802.1W(快速生成树协议)可以提供高速的链路冗余备份功能,保证快速收敛,提高容错能力,保证网络的稳定运行。
2.高性能设计
(1)真正端到端的QOS功能
锐捷交换机能够支持丰富的QOS功能,确保重要业务访问不受延迟或丢弃,同时还能充分利用现有的带宽保证网络的高效运行。
(2)先进的CrossBar交换架构
锐捷6800、4909、2800系列交换机均采用先进的Crossbar硬件架构,提供真正的无阻塞交换背板。
(3)超背板带宽和高速路由转发功能
锐捷S6800、4909、2800系列模块化中心交换机均采用超大背板设计,满足在所有插槽满配置的情况下,所有线卡仍能保持线速传输和高速无阻塞的二/三层包转发速率。
3.系统可扩展性设计
为有效保障未来扩展能力,本方案实现设备交换容量的扩展能力、端口密度的扩展能力、主干带宽扩展能力以及网络规模的扩展能力。此外,网络体系、路由协议的规划和设备的CPU路由处理能力能够满足网络超过1万个节点规模的要求。
4.网络管理设计
各节点统一采用SNMP网络管理协议和StarView网络管理软件对网络进行监控管理,能够实现网络拓扑查看、网络设备管理、网络性能监控、网络故障预警等功能。网络管理员可以重构网络结构,使网络管理达到最佳效果。
5.QOS设计
由于信息资源集中于市教育信息网络中心,因此为保证全网的QOS,核心交换设备、骨干交换设备和边缘交换设备均要求支持第三层的QOS标注方案。
锐捷网络的全线设备均支持基于第三层的QOS标注DSCP(区域服务编码点),支持IP TOS、SP、WRR等完整的QOS策略和基于数据流和面向应用的QOS功能。
先进的RSVP(资源预留协议)允许通信双方在建立传输信息之前可按不同的应用预留出足够的带宽,从而有效地减少传输迟滞和延时抖动,这对于用有限的带宽传送视频和音频等实时多媒体信息有着重要意义。
6.网络安全设计
构建全程、全网的访问控制体系是网络安全防范和保护的主要手段,也是保证网络资源不被非法使用和访问的最重要的核心策略之一。
(1)接入安全
锐捷S1926、2024、2100系列接入交换机均支持802.1X用户入网认证,满足用户名、IP、MAC、VLAN ID、交换机IP、交换机端口的绑定技术,实现非法站点访问过滤、非法言论的准确追踪、恶意攻击的实时处理、记录访问日志以提供完整审计等安全功能。
(2)访问安全
锐捷全线交换机均支持802.1Q VLAN,可使用VLAN划分隔离用户访问。锐捷三层交换机和2100系列二层智能型交换机均支持完整的ACL,可以基于MAC、IP、TCP/UDP端口号进行流量控制,以有效防范、控制网络蠕虫病毒(如冲击波)的传播和危害。
(3)路由访问策略控制
使用VLAN和第三层交换技术使网络管理人员在同一个基础物理网络上实现学生网络和教工网络的逻辑分隔。
(4)防火墙
锐捷龙马卫士防火墙提供强大的信息分析功能、高效包过滤功能、反电子欺骗手段、安全措施综合运用等功能,同时提供网络地址转换(NAT)、透明的代理服务(Transparent Proxy)、信息过滤(Filter)、双机热备份、流量控制和分析、用户身份认证等功能,并可自行构造屏蔽子网,实现网络分隔,将网络划分为外部网络、内部网络、开放区(DMZ)以及控制区四个部分,有效地进行访问控制。
(5)使用RADIUS建立认证计费系统
通过锐捷网络宽带认证计费系统可以实现多种计费策略。锐捷S-Radius宽带认证计费管理系统包括以下主要组成部分。
Radius Server:完成用户认证、授权和计费信息采集功能。
Radius管理系统:对Radius Server进行配置,管理NAS和在线用户。
用户管理系统:提供用户管理、缴费、计费策略定制、统计、审计等功能。
账单系统:可按时批量出账单。
用户服务系统:提供用户修改密码,查询上网记录和账单的服务。
(6)日志服务器
STAR-LSⅠ型日志服务器能对网络用户上网行为进行记录与分析、对核心关键信息的访问进行审计等,从而实现数据的采集、分流,并把记录的数据暂时保存在系统中。通过对进出网络的通信数据加以分析,实现对访问网络资源行为的记录和分析,保障网络和关键机密信息的安全。
7.音视频支持
(1)支持多层视频组播
传递语音、视频等多媒体信号将是教育城域网应用主要功能之一。本方案中核心设备支持DVRMP、PIM、IGMP组播协议,汇聚层设备所支持的是IGMP Snooping,计算机机房交换机支持在组播环境中使用和流量控制、过滤广播风暴功能,因此能很好地节省网络带宽,并支持VOD等业务,保证语音、视频等多媒体教学的应用。
(2)使用语音网关提供内部VOIP功能
锐捷语音网关基于成熟的H.323信令技术开发,可以实现通过教育城域网传输语音,在全市的中小学和教育机构内实现教育系统内部IP电话,从而充分提高线路的利用率。
