【正文】 ?。 PIX 是建立和管理 TCP/IP 防火墻 的網(wǎng)絡安全系統(tǒng)，可使用戶建立自己的安全機制，可根據(jù)自身的需要指定安全策略，靈活配置。 防火墻 CISCO PIX防火墻的專門的軟硬件設計突破性地解決了傳統(tǒng)防火墻基于應用程序的效能瓶頸問題（最高維持 25600個同步連接，每秒接納 6500個連接，最高過濾速率 170Mbps），并且支持 VPN互操作性并與 IPSec安全標準兼容；此外， PIX具有可擴展的硬件平臺和方便的圖形界面的安裝與管理。 3600系列路由器是 CISCO 公司推出的性能價格比非常高的撥號服務產(chǎn)品，它的模塊化設計及多種功能的接口卡為用戶提供了巨大的靈活性。其中 RADIUS 22 只能完成用戶的身份驗證功能，不能對用戶授予不同的訪問權限； TACACS 則可以根據(jù)用戶名、口令，分配給用戶不同的訪問權限，從而限制不同用戶的訪問范圍，也為移動辦公提供了便利。對應用系統(tǒng)的安全性，需要在系統(tǒng)設計時，再進一步進行用戶身份 驗證、訪問權限控制以及加密技術實現(xiàn)。 由于上海中小學教育信息網(wǎng)存在多種類型的網(wǎng)點，其中有些網(wǎng)點是通過 ISDN 撥號接入上海中小學教育信息網(wǎng)網(wǎng)絡；另外，某些特殊用戶，需要通過 PSTN 撥號網(wǎng)絡，實時管理、監(jiān)控、維護網(wǎng)絡。而且擴展方便，每增加一條線路可相當與30 條原始模擬線路的帶寬容量。 本方案推薦使用數(shù)字式的 ISDN PRI 形式對遠程用戶提供撥號接入服務。因此推薦使用同一品牌，采用 Cisco System 公司的 catalyst 2900 系列交換機，便于管理和維護。作為普通以太網(wǎng)的設備也可直連在中央交換機的 100M 或 10M 端口上，但我們不認為其是邊緣設備，只要符合一般以太網(wǎng)交換機的主要性能和技術指標即可。它應該具有如下能力： 強大的交換能力和吞吐能力 支持多種協(xié)議 提供從 10M、 100M 以太網(wǎng)到 1000M 以太網(wǎng)的端口 支持三層交換功能 有虛網(wǎng)劃分和管理功能 關鍵模塊應具有全雙工配置，無單點故障 支持冗余，和負載均衡 模塊的配置和槽口數(shù)量應 有擴展余地 具有面向新技術的升級能力 目前我們推薦的設備廠商為 Cisco System 公司的 Catalyst 5500 交換機。 對于實時多媒體應用，遠程教育（ VC、 VOD）本著中央控制的原則，對所有有條件的用戶開放，但做為運作中心一定要有監(jiān)視和控制的手段，避免網(wǎng)絡的擁塞和信息流的非必要的重復性傳輸。 在應用系統(tǒng)配置上面，盡可能涵蓋目前 Inter 網(wǎng)上的多數(shù)應用，使信息交互，發(fā)布，共享做到通暢便捷。外 部網(wǎng)絡的安全性主要依靠“虛擬專用網(wǎng)”的功能和路由器上的訪問控制表來保障，而外部對內(nèi)部網(wǎng)絡的訪問則需要通過地址映射，身份查詢等一系列安全檢查機制才能進行，訪問策略的制定是靈活的可根據(jù)具體情況隨機配置。 網(wǎng)絡拓撲結構 根據(jù)以上基于網(wǎng)絡系統(tǒng)要求上海市中小學教育信息中心網(wǎng)絡的拓撲結構如下圖所示。Change) ? 主控臺管理 (Console Management) ? 自動發(fā)現(xiàn) (AutoDiscovery) ? 網(wǎng)絡管理 (Network Management) ? 安全管理 (Security Management) 20 由于中小學教育信息網(wǎng)絡廣域網(wǎng)接入居多，所以在做系統(tǒng)管理時不可能要面面俱到，那樣會侵占很多帶寬，我們在利用 CAUnicenterTNG 對外圍節(jié)點做系統(tǒng)管理時，只做監(jiān)視不做控制；只需要最基本 的管理功能，對外圍接的主機、數(shù)據(jù)庫和應用進程的運行情況做必要的監(jiān)視，這樣可以避免大量系統(tǒng)管理信息流在廣域網(wǎng)上面的流動，而保證應用信息的通暢。 CA 定義了四種 IT 資源：系統(tǒng)、網(wǎng)絡、數(shù)據(jù)庫和應用系統(tǒng)。 Unicenter TNG 是 CA 企業(yè)級系統(tǒng)及網(wǎng)絡管理方案 ， 它支持多種硬件平臺（ SUN， HP， IBM， Digital）和操作系統(tǒng)（ Unix， Windows NT， VMS 等），同時也支持多種工業(yè)標準的網(wǎng)絡協(xié)議（如 SNA， SNMP， TCP/IP， FTP），而且 CA 還提供允許用戶自己編寫代理 (Agent)的工具。 上海市中小學教育信息網(wǎng)涉及交換機、路由器、集線器和主機，以及通信線路、數(shù)據(jù)庫、各種類型操作系統(tǒng)和各種應用系統(tǒng)，網(wǎng)絡管理應該不僅僅局限于網(wǎng)絡本身，應從信息系統(tǒng)的角度考慮，實現(xiàn)網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)為一體的系統(tǒng)管理。為了便于整個信息網(wǎng)的統(tǒng)一管理，各節(jié)點系統(tǒng)應統(tǒng)一采用SNMP 和 RMON 網(wǎng)絡管理協(xié)議。因此中央路由器在全網(wǎng)的作用是極其重要的，要有較多的冗余備份，否則一旦發(fā)生故障，后果是極其嚴重的 。 網(wǎng)絡技術選擇 根據(jù)應用實際需求，和網(wǎng)絡功能、性能、安全性等多方面的分析，對網(wǎng)絡技術做出 如下選擇： 網(wǎng)絡傳輸采用交換和共享混合技術 主干為 100M 以太網(wǎng)技術并保留向千兆以太網(wǎng)升級的可能，利用 LOADBalance 技術均衡負載 服務器以 100baseT 接入 普通網(wǎng)絡用戶 PC 采用 10BaseT 方式接入 網(wǎng)絡設備的系統(tǒng)結構 選擇完全分布的系統(tǒng)結構（處理能力分布和存儲能力分布） 選擇存儲轉發(fā)式交換技術（ Storeforward）以支持低速網(wǎng)絡接口和高速網(wǎng)絡接口的交換及對錯誤幀的過濾 選擇統(tǒng)計時分復用（ TDM）數(shù)據(jù)交換總線結構的交換設備減少系統(tǒng)延時 選擇支持多種網(wǎng)絡接口的設備 虛擬網(wǎng)絡 靈活多樣 的虛網(wǎng)劃分手段，基于端口，基于地址和基于應用 虛網(wǎng)中的站點不應受接口類型的限制 支持網(wǎng)絡站點的自由移動，虛網(wǎng)標志可被交換設備自動識別以保持原有虛網(wǎng)屬性 19 虛網(wǎng)可延伸到整個信息中心網(wǎng)絡 路由功能 由于核心內(nèi)部子網(wǎng)數(shù)據(jù)交換的中心是快速以太網(wǎng)交換機，并采用虛網(wǎng)技術將不同子系統(tǒng)分隔，所以內(nèi)部子網(wǎng)間的互通需要通過路由器。 18 中小學教育信息中心網(wǎng)絡 上海市中小學教育信息中心，是上海市中小學教育信息網(wǎng)的核心節(jié)點，同時肩負著該網(wǎng)絡的管理和協(xié)調(diào)功能，此外它也將是一個較為集中的數(shù)據(jù)中心，和多 種應用的中央控制的監(jiān)測機構，所以中小學教育信息中心網(wǎng)絡的建設是整個教育信息網(wǎng)絡的關鍵。 分節(jié)點 ：采用 CISCO 2600 系列路由器。 中心 ：采用 CISCO 7513 作中央路由器。因此，本方案利用上海熱線豐富的撥號資源作為中小學教育信息系統(tǒng)的普通接入。 普通用戶接入 中小學教育信息系統(tǒng)的用戶是廣大的中小學生，他們除了在學校可以通過校園網(wǎng)接入外 ，更多地是采用撥號上網(wǎng)的方式。同時也應包含純粹的 ISDN 服務，用來支持一部分有能力的用戶與中心 VC 系統(tǒng)的接入。 ? 接口二： 10/100M 局域網(wǎng)口可以借用科技網(wǎng)的通道和上海教育科研網(wǎng)相連，也可以使用光纖直連上海教 育科研網(wǎng)。并以此作為中小學教育信息網(wǎng)的 出口。 主干：由于中小學地理分布，點多面廣的特點，中小學教育信息網(wǎng)在物理信道上依托上海市現(xiàn)已存在的城域網(wǎng)， 在上海熱線提供的 IP 公共網(wǎng)絡平臺上 構建自己的主干網(wǎng)絡。 上海郵電不僅擁有豐富的線路資源，而且上海熱線 （ Shanghai Online） 在這幾年的建設中積累了大量的寶貴經(jīng)驗，其面向社會的撥號服務可以解決中小學教育信息系統(tǒng)廣大用戶的接入問題。 AT M SW上海市中小學信息中心上?？萍季W(wǎng)區(qū)縣中心 學校155 M A T M155 M A T M區(qū)縣中心 學校155 M A T MAT M SWAT M SWAT M SWAT M SW AT M SWP V CP V CRV L A N10 M 以太網(wǎng)10 M 以太網(wǎng)10 M 以太網(wǎng) 15 不論采用哪種方式， 中小學教育信息系統(tǒng)所有的子節(jié)點必須通過光纖就近接入科技網(wǎng)的節(jié)點，由于節(jié)點分布非常分散，勢必增加投資的力度和建設的難度。 利用上?？萍季W(wǎng)連接示意圖 2）只利用科技網(wǎng)的物理信道，在科技網(wǎng)的 ATM 主干上配置 PVC，直接連接中心和外圍節(jié)點，外圍節(jié)點的 ELAN由中心的 LES和 BUS來完成， CELL和 FRAME的轉換也將在中央 ATM交換機上實現(xiàn)，而且 ATM端口將直接分布到外圍節(jié)點，這樣的情況是外圍節(jié)點與中心實質上是 ATM連接。這樣接 入的優(yōu)點是，經(jīng)濟實惠，對兩端的端接設備要求不高，而且可實現(xiàn) 10M以上的帶寬。科技網(wǎng)是一個集網(wǎng)絡和信息于一身的綜合體系。 此種方案需要中小學教育信息系統(tǒng)的每個子節(jié)點都要通過租用 Frame Relay的專線與中小學信息中心相連，除了要定期交付巨大的線路租費外，子節(jié)點間的信息交換都必須經(jīng)過中心節(jié)點來進行，將會形成網(wǎng)絡的嚴重瓶頸。 利用上海郵電 ATM寬帶網(wǎng)連接示意圖 FR 目前提供的速率是 2Mbps， 但 FR 仍然是分組交 換技術，對分組的隨機時延缺乏有效的解決方法，從而對實時性的多媒體業(yè)務支持有限。 FR 最主要的特點是高傳輸速率；低延時；在星形和網(wǎng)狀網(wǎng)上的高可靠性和有效的帶寬利用率。 FR 采用虛電路技術，只有當用戶準備好數(shù)據(jù)時才把所需的帶寬分配給指定的虛電路，而且?guī)捠前凑彰恳环纸M以動態(tài)方式進行分配的，因而適用于突發(fā)性業(yè)務的使用。 FR 是在 DDN 的 TDM 專用電路基礎上引入 FR 模塊 (FRM)來實現(xiàn)的?？萍季W(wǎng)是一個以局域網(wǎng)技術為基礎的交換型網(wǎng)絡，所以在其中實現(xiàn) VPN模式要比以虛鏈路為基礎的面向連接的網(wǎng)絡復雜一些，在網(wǎng)絡管理和維護上會產(chǎn)生一些問題。 上海教育科研網(wǎng)： 由于自身的網(wǎng)絡拓撲結構和通信信道帶寬的限制，不能很好地滿足中小學教育信息系統(tǒng)的需求，但是上海市中小學信息網(wǎng)是屬于教育體系之內(nèi)的網(wǎng)絡應用系統(tǒng)，是上海教科網(wǎng)的重要組成部分，應該采用上海教科網(wǎng)作為其外連通道，實現(xiàn)全國范圍教育系統(tǒng)間更大程度的資源共享。 上海郵電 ATM網(wǎng)絡： 是一個基礎通信平臺，提供多種不同的接入手段，帶寬較高，主要接入手段都是采用廣域網(wǎng)技術， 形成端到端的通訊鏈路。 對部分用戶可采用動態(tài)分配原則，達到靈活性目的。 ? 統(tǒng)一的 IP 地址分配方案和域名管理辦法。信息流向明顯，可根據(jù)實際情況構建，市中心，區(qū)縣中心和重點學校，和一般學校三級模式。 ● 監(jiān)督技術標準和規(guī)范的執(zhí)行。 ● 確保網(wǎng)絡安全。必須能夠以最低的代價融入新技術。 ● 增加運行和集成的靈活性：網(wǎng)絡技術飛速發(fā)展以迎合不斷變更的要求。技術發(fā)展很快，網(wǎng)管部門應能夠有效地管理異質系統(tǒng)和多種協(xié)議。對網(wǎng)絡出現(xiàn)的問題盡快予以回應， 在多數(shù)情況下，要求對問題立刻予以解決。信息網(wǎng)管理中心負責管理與維護這個信息網(wǎng)的日常運行和網(wǎng)絡建設發(fā)展，統(tǒng)一分配網(wǎng)絡資源。 上海市中小學教育信息網(wǎng)涉及交換機、路由器、集線器 和主機，以及通信線路、數(shù)據(jù)庫、各種類型操作系統(tǒng)和各種應用系統(tǒng)，網(wǎng)絡管理應該不僅僅局限于網(wǎng)絡本身，應從信息系統(tǒng)的角度考慮，實現(xiàn)網(wǎng)絡、操作系統(tǒng)、數(shù)據(jù)庫和應用系統(tǒng)為一體的系統(tǒng)管理。為了便于整個信息網(wǎng)的統(tǒng)一管理，各節(jié)點系統(tǒng)應統(tǒng)一采用SNMP 網(wǎng)絡管理協(xié)議。有時也可以按給定的經(jīng)濟指標來優(yōu)化其他的指標，或是找出費用和其他指標（如延時）的關系特性，進行折衷選擇方案。包括所有鏈路、集線器和節(jié)點設備的費用。確保了無單點故障，并且網(wǎng)絡的中斷恢復時間一般在幾秒到 2分鐘內(nèi)。 ● 網(wǎng)絡系統(tǒng)的可恢復性 網(wǎng)絡環(huán)境十分復雜，可能出現(xiàn)的問題也很多。目前還沒有對軟件的可靠性作出評估的參數(shù)，但軟件的設計是否穩(wěn)定，是否有較多的 bugs，可以作為衡量的參考標準。中高端設備都支持相應的冗余機制。一般來說，上海市中小學教育信息網(wǎng)的網(wǎng)絡硬件設備起碼能夠連續(xù)工作 60， 000小時以上。除上述的網(wǎng)絡連通性外，可以從硬件和軟件兩個方面來考慮 10 網(wǎng)絡的可靠性： ⒈ 硬件的可靠性。 當網(wǎng)絡建立后，我們會發(fā)現(xiàn)我們的業(yè)務應用越來越依賴網(wǎng)絡。為了減少這種影響，在樹型網(wǎng)絡中，應限制一個鏈路或結點所帶的終端數(shù)（或流量數(shù)），或設備備用線路在分布式網(wǎng)絡中每一結點至少與兩個相鄰結點連通，以便在一條鏈路出現(xiàn)故障時，報文可以通過另一條鏈路迂回傳送。 ● 可靠性。骨干層各節(jié)點的吞吐量在 2Mbps～ 34Mbps，下接數(shù)據(jù)中心骨干節(jié)點的吞吐量設定為 34Mbps。網(wǎng)絡拓撲結構與鏈路容量分配問題都與吞吐量有關。代表單位時間內(nèi)網(wǎng)絡實際上可能傳送的報文量或數(shù)據(jù)單元數(shù)。這些指標將以 1500 字節(jié)分組的 ping 的時間作測試，或網(wǎng)絡分析儀器測量。在設計中常常用到各種報文在網(wǎng)絡中傳送的平均延時作為比較參數(shù)，或者規(guī)定報文傳送的最大延時限度，作為優(yōu)化設計的約束條件。響應時間 如果太長，操作員會不耐煩，會認為系統(tǒng)發(fā)生了故障，甚至亂敲鍵盤。實際應用系統(tǒng)中，人們更關心的是響應時間。延時隨參與通信的兩臺計算機的位置不同而有所不同。 網(wǎng)絡性能目標 ● 延時（ delay）。這就要求網(wǎng)絡的規(guī)劃設計必須在考慮技術的可行性和先進性同時，還要考慮到前瞻性。 ? 中小學教育信息網(wǎng)應是具有良好的可擴展性和有一定冗余的網(wǎng)絡平臺 隨著教育手段的不斷發(fā)展，和管理機制的改變，加上不斷有大量的信息進入該系統(tǒng)，中小學教育信息系統(tǒng)也將面臨著網(wǎng)絡結構重組，增加和信息數(shù)量和位置變化等問題，這就要求該系統(tǒng)有良好的擴展性和靈活的重構機制，同時也應為將來的信息流有一定的預留空間。 ? 中小學教育信息網(wǎng)應是具有高可靠性、高安全性的運行網(wǎng)絡 中小學教育信息系統(tǒng)是一個面向全市中小學，進行管理和提 供教育信息的網(wǎng)絡，其功能的重要性要求這個網(wǎng)絡必須有足夠的保障措施保