来源:天极网 更新时间:2012-04-15
1.项目背景
随着网络技术的发展,宽带网络迅速成为信息技术领域的热点话题。尤其是在教育信息化领域,基于宽带的应用更是有着美好的前景。远程教学、VOD视频点播、多媒体信息传播等等只有在宽带网络上才能发挥出巨大的作用。
为了响应教育部关于推进教育信息化及实施"校校通"工程的精神,进一步落实牡丹江市教育信息化发展"十五"规划,使牡丹江成为东北地区信息技术教育的战略高地,牡丹江市政府在“十五”期间在全市范围内要建立一个基于光纤宽带网络的“牡丹江市教育城域网”。
2. 教育城域网设计要求
一、实用性
教育城域网工程必须具备教学、科研、管理和通讯等功能。教育城域网工程为学生学习,教师备课以及从外界获取信息,掌握先进的信息工具创造了环境。同时对教育领域的日常工作也将起到重要的促进作用,主要体现在以下几方面:
1、为教师日常教学活动提供了辅助的教学手段。教师可以方便地浏览和查询网上资源,进行教学设计和科研工作;调用网上资源,进行课堂教学;通过网络对学生的学习进行指导和考查。
2、学生可以方便地浏览和查询网上资源,实现网上“个别化学习”等。通过网上学习,学会从网上获取知识和处理信息的能力。
3、为各级行政领导了解、掌握学校日常教学情况创造条件,促进教育领域日常管理工作的信息化,提供工作效率。学校的管理人员可方便地对教务、行政事务、学生学籍、财务、资产等进行综合管理,同时可以实现各级管理层之间的管理数据交换。
4、建设有本地特色的教学、科研和管理资源库。
5、加强学校对外形象的宣传,建立与社会新的联系渠道。
6、拓宽了校内、校外教育信息交流的渠道。
7、提高学校现有信息资源的利用率。
二、先进性
1、系统设计要考虑到3-5年内的技术发展,达到全国先进、省内一流。
2、选择网络设备要通用性高,兼容性强,能支持工作网段和节点的扩充。
3、支持新出现的网络协议和多媒体网络应用软件。
4、支持不同存储格式的教学软件(包括网上VOD点播、VCD、DVD教学软件等)。
5、网络具有传递语音、图形、图像等多种信息媒体功能,具备性能优越的资源共享功能。
6、校园网中各终端间具有快速交换功能。
7、中心系统交换机采用虚拟网技术,对网络具有分类控制功能。
三、安全性
1、网络中心与Internet相连后具有“防火墙”过滤功能,以防止网络黑客和不良内容进入网络系统。同样校园网络与公共网络环路相连后也需要具有“防火墙”过滤功能。
2、具有防病毒措施及便于捕杀病毒功能,以保证网络使用安全。
四、使用性
1、中文界面,界面友好,易操作。
2、有在线帮助。
五、经济性
1、投资合理。
2、使用周期长。
3. 教育城域网建设任务 。
城域宽带光纤骨干网络
根据市政府的目标要求,在2003年8月底将建成基本覆盖牡丹江城区范围内和主要县市区范围的光纤骨干网络,并将光缆铺设到学校。暂时铺设不到的地方将结合铜缆ADSL作为补充,最终将各个学校及教育机构都联入牡丹江教育城域网。在2003年底实现整个牡丹江市大部门学校接入教育网,从而完成整个教育城域网的建设工作。
建成市信息中心、学校校园网、多媒体教室的三级体系架构
教育城域网的信息中心,它既是连接各学校校园网网站、全国中小学信息网站的一个门户站点,又是教育信息资源中心和管理中心。它实现整个教育城域网的Internet接入,同时通过信息过滤和网络安全,保证教育网的安全性和可靠性。在规划中,既考虑国际发展趋势、紧跟世界信息化的进程,又结合了牡丹江教育的现状和发展规划。该网站是在充分利用现有光纤宽带通信网资源的基础上,采用先进的Internet技术,大力发展网上信源建设,加强用户管理和安全管理,使之成为集办公管理、教育、教学等功能于一身的、可提供包括宽带多媒体内容在内的多种业务的、安全、可控的教育宽带信息网。
各学校校园网通过光纤接入市数据中心,并由市数据中心统一提供Internet接入。多媒体教室包括多媒体网络教室、多功能电子教室和班班通教室,通过这几个教室将广泛的教育资源真正的为教育服务。
4. 网络改造方案
根据校园网的分类,可以采用多种网络架构,根据上面的分析在校园网建设中主要采用基于第三层交换的千兆以太网结构。其网络架构如图下图。
 |
图中所示的网络结构中,骨干交换机和二级交换机及连接骨干交换机和二级交换机的光纤构成城域网的骨干,二级交换机及其下的三级交换机以及所连接的设备构成工作组网。网络中还采用了不同等级的网络防火墙放置在网络不同的位置提供网络安全防护,为整个教育城域网提供IP电话系统和证书发放系统。并通过专业的网络记费系统保障相关的远程业务的服务记费。有些安全性要求高的学校或者部门还可以通过使用专用VPN设备建设高度安全的加密隧道。
分层的网络结构是大型网络设计的基本原则。分层的网络结构可以获得良好的网络扩展性,便于对网络的变化进行预计和规划。
牡丹江教育城域网服务于整个牡丹江市,具有地域广、应用复杂、接入方式多样的特点。网络的建设需要着眼于将来,必须能进行方便的扩展,接纳各种不同的用户和应用,因此牡丹江市教育城域网的设计上我们采用分层结构。
城域网划分为核心层、分布层和接入层。如图:
 |
1)城网核心层功能及结构
城网核心层处于城域网的中心,负责进行数据包的快速交换、转发,实现与CHINANET/CERNET的互联,是整个城域网的核心,应具有较高的安全性和可扩展性。在拓扑结构上采用网状网络连接。
2)分布层功能及结构
分布层节点实现以下一项或多项功能:
a、扩展核心层设备的端口密度和种类;
b、扩大核心层节点的业务覆盖范围;
c、汇聚教育局用户和重点学校用户;
d、实现接入用户的可管理性,当接入节点设备不能保障用户流量控制时,需要由分布层设备提供用户的流量控制及其他策略管理功能。
分布层是连接用户的桥梁,所处地位应考虑其安全性。所以分布层节点与核心层节点的连接采用保护路由结构。
3)接入层功能及结构
接入层节点的设置主要是为了接入直接用户和进一步扩展城域网的覆盖范围,将不同地理分布的具体学校用户快速有效的接入,采用星形方式与分布层相连。
4.1 核心节点设计
核心层的主要目标是提供高速、可靠的传输平台,负责连接分布层节点的接入,该层的节点设备应具备线速无阻塞的路由转发性能,负责为全网的数据转发提供高速的通道。并能提供流量工程能力,本层需要对多种接入技术支持如高密度Ethernet,xDSL,Cable等,汇聚各种流量进入核心层。负责连接市区学校和各级教育局的接入设备,该层的设备除了实现线速的路由转发外,还要负责网络中大部分的控制和服务处理,如ACL、QOS、速率限制和基于策略的路由,MPLS VPN 等等。针对牡丹江市教育主管部门对教育城域网的要求和我们对教育城域网的认识,我们建议采用千兆路由第三层交换设备MP8608/8616作为牡丹江教育城域网的核心。以满足全市十多万用户对各种教育资源的使用和教育管理网络化的需求。
4.2高速主干网络通道
二台或者三台MP8608/8616路由网络设备之间采用1000M端口互连,构成一个负载分担、冗余备份的2G连接线路或者1000M环路,保证核心节点间的通信带宽要求及安全要求。并通过两路1000M光纤接入公网。
4.3分布层节点
教育城域网在很大程度上是一个繁忙的多媒体网络,它有60%甚至80%以上的流量要经过路由,采用传统的路由方式连接各接入节点必然导致大量数据在路由器上汇集,发生堵塞,从而导致丢包,会大大限制多媒体应用,因此必须采用先进高效的路由技术,保证分布层畅通无阻。
牡丹江的教育现状需要具备的千兆上行模块帮助牡丹江6个外市县的学校可以千兆连接到市的信息中心,这将大大节省在外市县大量铺设长途光纤的费用,也可以保障外市县学校拥有一条与信息中心的宽阔大道。另一方面由于学校发展的特点,在城域网建成之后,各个学校的网络资源将呈爆炸性增长,在城域网信息集中的过程中将担任重要的位置,尤其象牡丹江一中、二中这种重点学校,本身就已经有了较为成熟的教育网络,平常的网络使用非常频繁,他们不但要成为教育城域网的使用者和受益者,同时他们还将成为教育城域网中大量教育教学资料的提供者,因此将他们作为重要的分布层节点设计,采用和县级中心同等的配置,用MyPower S4112A作为中心汇接;同时考虑到网络功能的可扩展性,对于以后不断出现的新的应用,必须要求网络设备有很好的诸如QOS、粒度控制等先进的功能,这都不是普通网络设备所能提供的,所以在这次的教育城域网建设中,校园网的中心也将作为一个分布层节点来建设。基于以上原因,我们采用MyPower S4126G路由交换机作为这一类校园的节点设备。
第三层交换技术分析
第三层网络路由交换机的出现为大型多媒体网络提供了新的解决方案。通过使用第三层路由交换机,可以大大提高IP包的转发速度。
第三层交换技术可以分为两类:基于包的交换和基于流的交换。
基于包的交换。
采用与传统路由器相近的交换方式,对每一个包进行检查。第三层交换机凭借先进的AISC技术,对IP包直接进行芯片道路级处理,速度大大高于路由器采用的基于CPU的处理方式,能够提供全线速的转发,避免发生堵塞和丢包;同时完全兼容路由器的RIP 1和RIP 2协议,能够与传统路由器进行相互的自学习,掌握整个网络的路由信息。采用基于包交换的第三层交换机,网络的配置、设备和软件都不需要变动,能够实现基于包的安全控制。
基于流的交换
当需要进行跨路由数据传输时,第一个包进行常规路由处理,后续包直接进行转发。在处理器性能不高时,基于流的交换是一种常用的提高路由的方法,但是有极大的缺陷:没有通用标准,与路由器技术不兼容,无法与路由器自动交换路由信息;需要支持基于流交换的网卡和驱动程序;安全性能低,不支持先进的网络安全控制。因此高性能网络不应该采用基于流的交换。
4.4 分布层网络通道
牡丹江市电讯和教育局就教育城域网达成协议,为教育城域网提供光纤作为网络的分布层主干通道,分布层节点通过1000兆或者100兆光纤接入公网。
4.5 接入层节点
这层节点对于教育城域网是接入层节点,但对于牡丹江各所学校内的校园网络,却是校园网中核心节点,针对校园网中的大量多媒体数据传输,尤其要支撑校园中的课堂视频辅助教育服务,需要它具有一定的数据吞吐能力,同时为了便于减少城域网中设备的管理压力,减少校园级的网络管理负担,最好这层的交换设备具有网管功能,这样可以通过市级的网络中心直接对设备进行管理。同时为了满足校园网中联网终端不断增加的压力,具有堆叠功能的设备将提供更加优异的扩充性。
为此选用MyPower S3026G可堆叠网管交换机可以满足接入层节点的需求。
4.6 接入层网络通道
这层节点通过100兆光纤接入市公网。
4.7 增值服务
由于城域网的设计是基于最为灵活的IP方式的,因此在城域网的骨干构架上,公司可以为教育提供一整套的内部语音解决方案,在有内部电话需求的学校,只需占用富裕的交换机端口接以太网IP电话机,然后由信息中心的语音网守统一管理就可实现基于教育城域网的语音通信,信息中心的语音网关MyPower VG2000可以为这个语音网络提供和PSTN网的无缝连接。这样,我们教育系统内部通话就完全免费了;除此之外,公司强大的CA管理系统还可以作为可信的第三方为电子商务发挥效用。
4.8 记费管理
教育城域网中通过在不同的节点安装Maipu Netsmart计费管理系统,建立计费服务点,可以实现分布式计费,集中式管理,是教育城域网成为一个可运营的网络。
4.9 Internet访问
整个教育城域网和Internet之间的接口采用MP3600路由器做连接,可以对访问数据进行有效控制。
4.10 专网划分
由于教育城域网的大部分线路需要使用牡丹江公网,所以需要通过VLAN划分将整个网络划分为教育城域专网。
4.11 辅助/备份网络通道
对于城域教育网,用户需要比较稳定的网络通道,如果铺设的光纤条件允许的话,建议对首批接入的83所学校提供至少两对光纤,这样建立起完整的冗余备份通道。大大提高用户的使用可靠性。
4.12 网络管理
使用Maipu Masterplan统一网络管理平台,你可以在信息网的任何一台工作站上,用户可以根据权限从内部和外部网络访问网管信息,实现了分布式网管和24小时随意管理,同时,由于系统升级和扩充只需要对服务器进行操作,而不用改动客户端,所以便于维护。后台服务通过SNMP等协议对各种设备进行不同权限的管理,全面搜集网络及节点设备的信息,拓扑数据统一存储在中央数据库中,用户可以清楚地了解到网络中的各种故障和管理信息,同时提供基于WEB的管理界面,简单易用。
4.13 网络安全
要保证整个网络的物理安全和信息安全。
突然断电是对网络的最大打击,极容易造成网络瘫痪,甚至网络设备损坏,因此必须配置一定数量的UPS。由于信息中心机房的设备非常重要,我们建议采用在线式的并联UPS提供电源保护,并支持4小时的后备时间,并设计专门的发电机组为这个中心提供突发事件时的供电。
网络系统的核心是网络上的数据库和信息服务,管理员应该从全局出发树立对关键数据的安全策略,而网络中心的服务器首先应该配备完善的冗错手段,保证数据库和应用信息的安全,一旦发生大的事故或差错,数据和服务应该能够迅速恢复。
信息安全更多的需要1) 网络访问控制 ,2) 信息确认,3) 密钥安全,4) 病毒防范为此我们选用MPSEC-FW520网络防火墙、MPSEC-PKI证书/密钥管理系统。
另外由于整个网络是建立在运营商为教育网专门划分出来的虚拟网络上,如果考虑到高等级的安全保障,我们还可以根据需要提供国密级的IPSEC VPN服务,彻底保障信息安全。利用MPSEC VPN3020和MPSEC VPN3005等设备加装在网络交换机出口处就可以方便的实现。
4.14 广域连接
中心网站建设在信息中心,连接以卫星微波连接CERNET , 并通过DDN专线/或IP宽带网连接至CHINANET。
同时各个基层单位也可以利用VPN技术,通过因特网来访问中心网站,充分利用了网络运营商的线路资源,低了成本与维护难度,并实现了数据的高度安全性。
为此我们选择MP3600系列模块化安全路由器作为连接远程用户的通道。