【正文】 對業(yè)務流暢運行產(chǎn)生任何影響。同時，冗余鏈路和設(shè)備，使網(wǎng)絡(luò)拓撲變得復雜，增 加了日常管理維護難度，而且核心設(shè)備一旦不穩(wěn)定或鏈路中斷，則會導致 VRRP或路由協(xié)議的震蕩，形成安全隱患，也容易受到相關(guān)利用協(xié)議漏洞的攻擊，這些都增加了網(wǎng)絡(luò)不可靠的風險。結(jié)合現(xiàn)有教育系統(tǒng)的相關(guān)業(yè)務及應用，推薦以下兩種 方案 來構(gòu)建和完善教育城域網(wǎng)的骨干核心網(wǎng)。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 20 / 88 教育城域網(wǎng)實名制管理 在教育城網(wǎng)中通過實名制管理系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)、業(yè)務的實名認證，實名認證包括： ? 實名認證，有線、無線、 VPN 接入認證。 ? 通過城域網(wǎng)的可用鏈路提供遠程災難備份恢復功能，確保數(shù)據(jù)安全，可以在低帶寬環(huán)境下實現(xiàn)遠程數(shù)據(jù)災備。對網(wǎng)絡(luò)簡單使用要求高的客戶，可考慮不安裝客戶端，直接使用 web portal認證即可。解決方案構(gòu)架涉及多個應用模塊，實現(xiàn)不同模式、不同優(yōu)化支撐功能。在網(wǎng)絡(luò)中經(jīng)常遇到黑客的攻擊、門戶網(wǎng)站被黑和掛馬、網(wǎng)絡(luò)出口帶寬不足網(wǎng)絡(luò)出口對數(shù)據(jù)的處理能力差，網(wǎng)絡(luò)出現(xiàn)安全事件后不能及時定位，不能滿足公安部的安全事件審核等。各個區(qū)縣學校網(wǎng)絡(luò)為二層設(shè)計，核心層直接與區(qū)電教館中心 核心設(shè)備連接，接入層提供學校師生 PC的接入。松散模式下，各學校獨立建設(shè)基礎(chǔ)網(wǎng)絡(luò)，各自為政 。 （ 4）第四代：融合模式（拓撲圖如下） 網(wǎng)絡(luò)情況：整個城域網(wǎng) 的 建設(shè)通過自建或租用裸光纖 等形式來完成 ，所有接入學校通過區(qū)縣電教館統(tǒng)一出口 ，支持有線 、 無線 、 VPN等多種方式的統(tǒng)一接入。 網(wǎng)絡(luò)建設(shè)：各個學校獨立建設(shè)校園網(wǎng)，教育局沒有統(tǒng)一的城域網(wǎng) 規(guī)劃和 建設(shè) 。 我國基礎(chǔ)教育信息化建設(shè)路線圖 伴隨著信息技術(shù)的不斷發(fā)展，信息化教學應用及業(yè)務的不斷豐富，以及教師信息技術(shù)能力的不斷提高，我國基礎(chǔ)教育信息化建設(shè)也迎來了一個又一個高峰。 教育城域網(wǎng)的建設(shè)歷程 隨著教育信息化建設(shè)的不斷發(fā)展，按照 教育城域網(wǎng)的建設(shè)的特點可分為四代： （ 1）第一代：松散模式（拓撲圖如下） 網(wǎng)絡(luò)情況：各學校通過 ADSL等撥號方式接入電信等 ISP，線路帶寬在 512K2M 之間，學校通過電教館主頁訪問內(nèi)部簡單資源 。 業(yè)務應用：除了滿足學校基本的上網(wǎng)需求及常規(guī)教學業(yè)務應用外，還開展了如視頻會議、視頻教學、電子巡考等高帶寬需求的業(yè)務。 教育城域網(wǎng)的業(yè)務應用 根據(jù)業(yè)務應用類型的不同，可以將教育城域網(wǎng)現(xiàn)有系統(tǒng)分為以下三大類： 隨著業(yè)務應用系統(tǒng)的不斷豐富和資源建設(shè)的不斷升級，原有的教育城域網(wǎng)建設(shè)將迎來新一輪的挑戰(zhàn)。廣域骨干網(wǎng)采用星形結(jié)構(gòu)， 12個區(qū)縣中重點中學網(wǎng)絡(luò)通過光纖、專線連接到區(qū)域核心交換機上，區(qū)域縣中其他中小學、偏遠學校通過專線、租用的光纖連接到縣中重點中學 ， 區(qū)重點中學直接通過 1000兆光纖連接到區(qū)核心網(wǎng)絡(luò)。 由于網(wǎng)絡(luò) 設(shè)備性能、鏈路、流量管理等問題，經(jīng)常導致區(qū)電教管與各縣學校的視頻會議、電話會議等無法開展，甚至有時連學校的 OA、 mail、學籍管理、電子政務等關(guān)鍵業(yè)務也受到了影響。 區(qū)教育城域網(wǎng)運維管理需求 越來越多關(guān)鍵業(yè)務應用系統(tǒng)的大規(guī)模使用，對教育城域網(wǎng)的運維和管理能力提出了更高的要求，網(wǎng)絡(luò)應用越復雜，涉及到的層面越多，整個網(wǎng)絡(luò)也就越脆弱。一類需要進行嚴格的安全控制，如補丁更新、軟件黑白名單控制、殺毒軟件聯(lián)動等端點準入功能，如機房電腦、重視安全功能的學校。 ? 核心骨干網(wǎng) IPFIX流量管理 核心骨干交換機能夠?qū)崿F(xiàn) IPFIX 流量管理，可以進行流量采樣、流量采集、數(shù)據(jù)分析處理，使網(wǎng)絡(luò)核心流量得管理和控制，保證業(yè)務的使用。 ? 需要考慮與有線城網(wǎng)的融合，如 AP 的部署、 VLAN 支持、用戶認證、安全體系等等。管理員只要維護一個系統(tǒng)即可，對于用戶來說只要記住一個網(wǎng)絡(luò)認證的密碼就可以實現(xiàn)網(wǎng)絡(luò)的接入。 網(wǎng)絡(luò)中心作為全網(wǎng)的心臟，向單位內(nèi)部的終端系統(tǒng)源源不斷的提供安全的信息血液，保證整個教育業(yè)務系統(tǒng)的可靠運行。網(wǎng)絡(luò)中不再需要生成樹、 VRRP 等復雜的協(xié)議，大大降低配置維護工作量。因此， NSF不間斷轉(zhuǎn)發(fā)，成為衡量網(wǎng)絡(luò)可靠性的重要因素，也決定了未來信息化展的高度。 引擎切換無中斷 RGS8600系列交換機支持 UISS（ UnInterrupted SupervisorEngine Switchover），即無中斷引擎切換技術(shù)，保證主從管理板的切換在 1秒間實現(xiàn)，同時在切換過程中，各主機線卡可以繼續(xù)轉(zhuǎn)發(fā)原有的數(shù)據(jù)流，不影響網(wǎng)絡(luò)業(yè)務的正常透明運行，實現(xiàn)管理板的平滑切換，極大地保證了核心的可靠性和網(wǎng)絡(luò)可用性。攻擊會大量消耗 CPU 上的資源 (CPU 循環(huán)和通信隊列 )，從而達到攻擊目的。第一可有效保護網(wǎng)絡(luò)穩(wěn)定性，阻絕各類攻擊，第二無需管理員手工參于，提高管理效率，將低管理動維難度。同時結(jié)合 IPFIX（ IP information Flow export）流量監(jiān)控技術(shù)基于端口進行流量監(jiān)測，幫助網(wǎng)絡(luò)管理人員快速鎖定異常不安全的數(shù)據(jù)源，在網(wǎng)絡(luò)管理平臺全網(wǎng)下發(fā) NFPP安全策略，及早的隔離非法數(shù)據(jù)源。 IPFIX 定義的格式以 Cisco Netflow Version 9數(shù)據(jù)輸出格式作為基礎(chǔ)，可使 IP流量信息從一個輸出器（ Exporter）傳送到收集器（ Collector）。 ? Analyser 從 Collector 中提取統(tǒng)計數(shù)據(jù)，進行后續(xù)處理，為各種業(yè)務提供依據(jù) ,以圖形界面的形式顯示出來 IPFIX 技術(shù)實現(xiàn) 銳捷網(wǎng)絡(luò)是在 核心 交換機上實現(xiàn) IPFIX 功能，使用多業(yè)務卡來進行 IP 報文的分析處理。比如：視頻會議斷斷續(xù)續(xù)， OA 辦公時，打開一個頁面延遲很大。重大政治事件、安全事件頻發(fā)的大背景下，全國都在開展安全大檢查，公安部 82 號令所要求的日志審計如何滿足？如何避免公安網(wǎng)監(jiān)日志檢查帶來的麻煩？第三類是實名制問題。 最后， NPE基于 REF（銳捷特快交換技術(shù)）所建立的高性能 NAT、 PBR（策略路由），徹底解決了基礎(chǔ)轉(zhuǎn)發(fā)性能問題。銳捷 Web Guard 基于對 HTTP/HTTPS 流量內(nèi)容的雙向檢測分析，識別檢測各類 Web編碼、交互技術(shù)、 URL參數(shù)以及表單輸入等，為 Web應用提供實時、動態(tài)的主動性防護。通過對 P2P應用的壓縮控制，可有效降低 P2P 應用對出口網(wǎng)絡(luò)帶寬的占用率，提高其余業(yè)務的帶寬使用率，有效提速。總之，以用戶為核心的安全的設(shè)計理念是保障“讓正確的人，使用健康的主機，訪問安全的網(wǎng)絡(luò)，做規(guī)范的事情。 ? 數(shù)據(jù)庫服務器及 WEB服務的差異性： 城域網(wǎng)中使用頻率較高的服務器，如數(shù)據(jù)庫服務器，對存儲系統(tǒng)性能要求較高，而其他服務器，如 OA、 WEB等服務器對存儲系統(tǒng)性能要求則不高；數(shù)據(jù)中心的建設(shè) 如何差異化地對待不同服務器，以更有效滿足 關(guān) 鍵 數(shù)據(jù)庫 系統(tǒng)對高性能的 需求。 對用戶進行身份驗證、主機健康檢查 ，并根據(jù)用戶的身份和健康檢查的結(jié)果，進行用戶網(wǎng)絡(luò)訪問權(quán)限的劃分，簡單的說，就是認證和授權(quán)兩個方面。 ? 信息門戶 ，安全可控 ? 集成防病毒網(wǎng)關(guān) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 34 / 88 全面覆蓋 Wildlist病毒列表（國際上對防病毒網(wǎng)關(guān)的評測標準） Web攻擊是個動態(tài)過程，防病毒和防木馬保護，就防止了絕大多數(shù)攻擊 ? 網(wǎng)頁事后恢復 集成“網(wǎng)頁防篡改軟件”功能，滿足中國客戶特色需求 對靜態(tài)頁面進行比對，如果發(fā)現(xiàn)網(wǎng)頁被黑則恢復為備份頁面 ? “零配置”運行 不同于國外廠商采用白名單配置方式，需要用戶對網(wǎng)站協(xié)議、漏洞非常熟悉，方能發(fā)揮效力，普通用戶沒法使用 Web Guard 支持“零配置”運行，設(shè)備無需配置即可防御絕大多數(shù)攻擊；待用戶熟悉后可以再對配置進行優(yōu) 化 ? 關(guān)鍵字過濾 內(nèi)容關(guān)鍵字過濾 ,協(xié)議關(guān)鍵字，支持自定義 Web 防護規(guī)則等功能有效避免論壇被上傳非法 、 反動言論，影響社會和諧 圖形監(jiān)控，運籌帷幄 該方案提供一系列出口運行狀況的圖形化監(jiān)控，直觀掌握出口網(wǎng)絡(luò)的“天氣圖”，有助于網(wǎng)絡(luò)出口帶寬策略、帶寬利用率的優(yōu)化調(diào)整。 第二個關(guān)鍵就是 “實名制”，不管是用戶接入網(wǎng)絡(luò)、上網(wǎng)日志，還是策略管理；都能實現(xiàn)基于用戶身份，落實到人。 ? 第二步要實現(xiàn)業(yè)務的高效運行，提升服務質(zhì)量 通過銳捷高性能 DPI 引擎，有效識別應用，控制帶寬，比如控制 P2P 等帶寬濫用，保證關(guān)鍵用戶、關(guān)鍵應用、關(guān)鍵時刻的帶寬需要。 網(wǎng)絡(luò)出口安全結(jié)構(gòu) 根據(jù)教育城域網(wǎng)出口流量的特點，銳捷網(wǎng)絡(luò)推出了針對性的解決方案： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 31 / 88 在教育城域網(wǎng)建設(shè)中，銳捷網(wǎng)絡(luò)根據(jù)教育城域網(wǎng)出口進行設(shè) 計，在城域網(wǎng)出口建設(shè)中分 銳捷出口之道：出口三步曲 ? 第一步要實現(xiàn)提速，即建立高性能、高穩(wěn)定的基礎(chǔ)平臺。如何保證帶寬被充分利用，關(guān)鍵業(yè)務運行能獲取必須帶寬？ 安全風險難以控制的問題： 出口安全問題更為復雜，總體來看可以分為三類。具體負責配置管理、傳輸層協(xié)議封裝、發(fā)包。 為了較完整的輸出數(shù)據(jù)， IPFIX 缺省使用網(wǎng)絡(luò)設(shè)備的七個關(guān)鍵域來表示每股網(wǎng)絡(luò)流量： ? 源 IP 地址 ? 目的 IP 地址 ? TCP/UDP 源端口 ? TCP/UDP 目的端口 ? 三層協(xié)議類型 ? 服務類型（ Typeofservice）字節(jié) ? 輸入邏輯接口 如果不同的 IP 報文中所有的七個關(guān)鍵域都匹配，那么這些 IP 報文都將被視為屬于同一股流量。 否則，即使網(wǎng) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 27 / 88 絡(luò)帶寬再大，但當大部分流量都聚集到某一條網(wǎng)絡(luò)鏈路時，又或者大量的 P2P非業(yè)務流量把帶寬消耗盡殆盡時，關(guān)鍵業(yè)務應用（尤其是對時延敏感的業(yè)務應用）仍然難以保證其應用質(zhì)量。目前業(yè)界已開發(fā)了一些用于防攻擊的功能模塊 (比如： ACL、 QOS、 URPF、 SysGuard 、 CPP 等等 )，通過這些功能模塊自行建立攻擊檢測和保護的機制 ，并提供對外的管理接口。而且并不影響轉(zhuǎn)發(fā)速度，所以 CPP 能夠在不影響性能的前提下，靈活且有力的防止攻擊，而且保證了即使有大規(guī)模攻擊數(shù)據(jù)發(fā)往 CPU的時候依然可以在交換機內(nèi)部對數(shù)據(jù)進行區(qū)分對外。熱備份框架系統(tǒng)由 Checkpoint Facility、 Redundancy Facility和 Redundancy Protocol三個主要組件構(gòu)成。 網(wǎng)絡(luò)的可靠性是一個從端到端的概念，單純提高某一層面的可靠性并不能對網(wǎng)絡(luò)整體的可靠性有很 大改善。即使一臺核心或上聯(lián)鏈路中斷，也可實現(xiàn)快速切換。 R G W A L L 1 6 0 0R G A C E 3 0 0 0R G W A L L V 1 6 0 0R G S 8 6 1 0R G S 8 6 1 0R G W GR G W GR G S 7 8 0 6R G S 7 8 0 6服 務 器 集 群服 務 器 集 群R G S 7 8 0 6 R G S 7 8 0 6R G S 5 7 5 0R G S 3 7 5 0R G S 2 6 0 0R G S 2 6 0 0R G S 2 6 0 0R G S 2 9 0 0R G S 2 9 0 0R G S 2 9 0 0R G S 2 9 0 0 R G S 2 9 0 0 R G S 2 9 0 0 R G S 2 9 0 0數(shù) 據(jù) 中 心重 點 中 學重 點 小 學偏 遠 小 學區(qū) 電 教 館V S UI P F I X 流量 分 析 虛擬核心 VSU 傳統(tǒng)雙核心網(wǎng)絡(luò)，使用 MSTP+VRRP技術(shù)，雖能實現(xiàn)故障自動恢復，但故障恢復時間一般在 15 秒以上，完成不能達到 NSF不間斷轉(zhuǎn)發(fā)的要求，也限制了高實時類業(yè)務系統(tǒng)在學校的良好建設(shè)使用。（如下圖所示 圖 1） 教育城域網(wǎng)的建設(shè)是整個區(qū)域教育信息化建設(shè)的核心，是保證所有業(yè)務應用系統(tǒng)正常運行的關(guān)鍵。通過該系統(tǒng)，區(qū)域?qū)⒔ㄔO(shè)一個跨教育信息中心和各個校園網(wǎng)的整體安全防護體系和管理體系，以自動化、分布式、智能化的監(jiān)控和管理手段實現(xiàn)全面的安全防護與管理，達到標本兼治的效果。 ? 提供跨盤陣的卷鏡像、快照、復制等功能確保數(shù)據(jù)安全，輕松實現(xiàn)跨盤陣的數(shù)據(jù)遷移、應用服務遷移，整合原有存儲， Licensefree。 方案可靈活實現(xiàn)兩類用戶，若需嚴格安全準入用戶，只需安裝強客戶端 SA，進行主機安全檢查控制即可， 同時使用客戶端軟件進行實名認證。 ? 太多賬號密碼 , 不容易記憶，老師有時候連業(yè)務系統(tǒng)的登陸地址都記不住； ? 登錄頻繁，每個業(yè)務系統(tǒng)都要多次輸入密碼，操作繁瑣； ? IT 管理人員賬號管理工作繁雜 ? 賬號管理工作量大 ， 賬號管理不 能 及時 ? 用戶信息不一致 ， 每個系統(tǒng)都有一套獨立的用戶數(shù)據(jù)庫 ， 管理員要對每套系統(tǒng)中