论文部分内容阅读
21世纪初期是中国宽带城域网蓬勃发展的时期。教育城域网是伴随着我国教育信息化深入展开而逐渐形成的新领域。苏州市的教育信息化建设一直走在全国的前列。为了使信息化更好地为全市教育服务,苏州市积极实施教育城域网工程,并决心无论从技术应用还是教育与信息处理的结合都要达到很好的效果,成为全国的样板。
据了解,苏州市教育城域网系统由三个部分组成:主体是教育信息网络中心(本文简称“NC”),它是教育城域网系统的核心和灵魂,是教育信息服务的中心;基本节点是校园网,它们通过运营商公司的线路接入到教育信息网络中心,并通过它访问互联网;教育城域网的外围层次是家庭上网,它是教育城域网服务的外延,通过网络实施终生教育与继续教育。
基于对苏州市教育城域网系统业务需求的深入理解,锐捷网络结合自身产品和技术特点,携手苏州市电教馆/教育信息中心共同打造苏州市教育城域网系统解决方案,为苏州市教育城域网系统提供“高扩展、多业务、高安全”的精品网络。
苏州市相城区教育城域网将利用苏州市电信提供的MPLS VPN线路组建城域网。整个城域网有四大部分组成:城域网核心区域,城域网数据中心区域,电教馆办公接入区域,城域网下属学校接入区域。
城域网核心区域由三部分组成:核心交换机,出口路由器(NAT处理引擎),出口防火墙。
城域网核心区域
其中城域网主核心采用锐捷网络面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机S8606,S8606具有1.6T背板带宽,595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换,满足未来以太网络的应用需求,提供6插槽扩展,提供多种方便灵活的管理方式。S8606还要求提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高需求。
城域网辅核心同样也要求高性能和高稳定性,所以采用锐捷网络S6800E系列,配备1.2T的背板带宽,428Mpps的包转发,保证服务器和数据中心的无阻塞数据交换,并为今后的多业务扩展提供升级和支持。
城域网中心出口路由器负责所有通过城域网中心上互联网和市教育城域网的数据转发和NAT处理。由于相城区学校较多,有近30所学校,上网PC总数在3000台以上,所以这台路由器的NAT性能要足够强大,所以配置锐捷网络专用的NAT处理引擎NPE50-20,NPE支持最高200万条NAT会话,每秒新建NAT会话达到30万条以上,在启用NAT下512Byte转发性能8Gbps,完全可以保证城域网中心的数据线速转发。通过两台高性能NPE相互备份,保证出口的路由和NAT的稳定快速。一旦一台NPE出现问题,将自动切换到另外一台NPE上转发。保证城域网出口的不间断。
城域网出口防火墙负责城域网安全策略方面的控制。在学校接入城域网的线路上放置一台锐捷网络千兆防火墙RG-WALL 1600A,用来控制和过滤学校内部的攻击和病毒;在城域网上互联网出口的线路上放置一台锐捷网络千兆防火墙RG-WALL 1600A,用于控制和过滤外网进来的病毒和攻击。
RG-WALL系列采用锐捷网络独创的分类算法(Classification Algorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(Stateful Inspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP, H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
出口路由器加防火墙的模式可以让路由器和防火墙各司其职,共同保证出口的稳定和快速转发。
城域网数据中心区域
城域网数据中心区域是城域网所有数据存储的中心,主要由服务器和存储系统组成,服务器需要添加4台。
(1)系统应用建设主要是给用户提供各类服务。可以根据自己的实际需求来配置服务器数量。在本方案中共配置1台数据库服务器和3台应用服务器,加上中心原有的服务器可满足WEB、资源库、示范区等应用。
(2)其中存储采用锐捷网络IP SAN存储系统RG-IS2000,基于IP的存储系统应用可以更加灵活和方便,IP SAN支持的RAID0、RAID1、RAID5、RAID6和全局热备盘、快照、镜像等技术可以充分保证城域网数据的安全;支持的高扩展性能充分保证今后数据不断膨胀的需要;基于IP的高安全性能够满足各种网络应用和服务器的安全;内置的硬件RAID处理器,能够保证数据的高速存储;自带的NAS模块可以为城域网中任何一台PC开放文件服务;只要线路带宽许可,RG-IS2000存储系统可以和现有的以太城域网无缝兼容,可以为城域网中的任何一台PC或服务器提供硬盘存储服务。
教育局办公接入区域
在教育局办公区域需要接入到城域网,在该区域放置一台锐捷千兆汇聚交换机RG-S3760-48,负责办公区域的汇聚和安全控制。为了方便今后在城域网上顺利开展基于IPv6的多种应用,S3760硬件全面支持IPv6,支持IPv4向IPv6网络过渡等的IPv4/IPv6双协议栈,为IPv6网络之间的通信提供了丰富的Tunnel技术,并提供了丰富而完善的路由协议,以城域网多种路由和多业务的需要。
城域网下属学校接入区域
城域网下属学校的接入区域主要是负责将各个学校接入到城域网中,提供访问城域网和互联网的路径。
下属有近30所学校,每个学校都将接入到城域网中,如果相互之间的访问控制不作限制的话,一旦有网络病毒爆发将在整个城域网中传播,严重影响城域网的正常运行。因此需要在每个学校的出口放置一台能够防病毒防攻击的出口路由器RG-NBR 2000,在每个学校的出口启用安全策略,严格限制各学校之间的相互访问,严格控制对城域网的访问,防止大量的攻击流量攻击城域网核心。
每个学校的出口路由器把学校的校园网和城域网完全隔离开了,校园网的病毒和攻击将被限制在学校内部,不会对城域网造成影响,从而保证城域网安全稳定运行。
在城域网中心配置一套网络管理系统STAR-VIEW,用于对整个城域网设备进行网络管理和监控,以保证整个城域网的安全稳定运行。
通过以上方案的实施,锐捷网络为相城区构建一套安全、稳定、快速、易管理的教育城域网系统,为整个相城区的教育信息化提供强有力的保障,从而不断推进相城区的教育信息化建设。
据了解,苏州市教育城域网系统由三个部分组成:主体是教育信息网络中心(本文简称“NC”),它是教育城域网系统的核心和灵魂,是教育信息服务的中心;基本节点是校园网,它们通过运营商公司的线路接入到教育信息网络中心,并通过它访问互联网;教育城域网的外围层次是家庭上网,它是教育城域网服务的外延,通过网络实施终生教育与继续教育。
基于对苏州市教育城域网系统业务需求的深入理解,锐捷网络结合自身产品和技术特点,携手苏州市电教馆/教育信息中心共同打造苏州市教育城域网系统解决方案,为苏州市教育城域网系统提供“高扩展、多业务、高安全”的精品网络。
苏州市相城区教育城域网将利用苏州市电信提供的MPLS VPN线路组建城域网。整个城域网有四大部分组成:城域网核心区域,城域网数据中心区域,电教馆办公接入区域,城域网下属学校接入区域。
城域网核心区域由三部分组成:核心交换机,出口路由器(NAT处理引擎),出口防火墙。
城域网核心区域
其中城域网主核心采用锐捷网络面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机S8606,S8606具有1.6T背板带宽,595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换,满足未来以太网络的应用需求,提供6插槽扩展,提供多种方便灵活的管理方式。S8606还要求提供全面的安全防护体系,提供分布式的业务融合平台,满足未来网络对安全和业务的更高需求。
城域网辅核心同样也要求高性能和高稳定性,所以采用锐捷网络S6800E系列,配备1.2T的背板带宽,428Mpps的包转发,保证服务器和数据中心的无阻塞数据交换,并为今后的多业务扩展提供升级和支持。
城域网中心出口路由器负责所有通过城域网中心上互联网和市教育城域网的数据转发和NAT处理。由于相城区学校较多,有近30所学校,上网PC总数在3000台以上,所以这台路由器的NAT性能要足够强大,所以配置锐捷网络专用的NAT处理引擎NPE50-20,NPE支持最高200万条NAT会话,每秒新建NAT会话达到30万条以上,在启用NAT下512Byte转发性能8Gbps,完全可以保证城域网中心的数据线速转发。通过两台高性能NPE相互备份,保证出口的路由和NAT的稳定快速。一旦一台NPE出现问题,将自动切换到另外一台NPE上转发。保证城域网出口的不间断。
城域网出口防火墙负责城域网安全策略方面的控制。在学校接入城域网的线路上放置一台锐捷网络千兆防火墙RG-WALL 1600A,用来控制和过滤学校内部的攻击和病毒;在城域网上互联网出口的线路上放置一台锐捷网络千兆防火墙RG-WALL 1600A,用于控制和过滤外网进来的病毒和攻击。
RG-WALL系列采用锐捷网络独创的分类算法(Classification Algorithm)设计的新一代安全产品——第三类防火墙,支持扩展的状态检测(Stateful Inspection)技术,具备高性能的网络传输功能;同时在启用动态端口应用程序(如VoIP, H323等)时,可提供强有力的安全信道。
采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响,产品安装前后丝毫不会影响网络速度;同时,RG-WALL在内核层处理所有数据包的接收、分类、转发工作,因此不会成为网络流量的瓶颈。另外,RG-WALL具有入侵监测功能,可判断攻击并且提供解决措施,且入侵监测功能不会影响防火墙的性能。
出口路由器加防火墙的模式可以让路由器和防火墙各司其职,共同保证出口的稳定和快速转发。
城域网数据中心区域
城域网数据中心区域是城域网所有数据存储的中心,主要由服务器和存储系统组成,服务器需要添加4台。
(1)系统应用建设主要是给用户提供各类服务。可以根据自己的实际需求来配置服务器数量。在本方案中共配置1台数据库服务器和3台应用服务器,加上中心原有的服务器可满足WEB、资源库、示范区等应用。
(2)其中存储采用锐捷网络IP SAN存储系统RG-IS2000,基于IP的存储系统应用可以更加灵活和方便,IP SAN支持的RAID0、RAID1、RAID5、RAID6和全局热备盘、快照、镜像等技术可以充分保证城域网数据的安全;支持的高扩展性能充分保证今后数据不断膨胀的需要;基于IP的高安全性能够满足各种网络应用和服务器的安全;内置的硬件RAID处理器,能够保证数据的高速存储;自带的NAS模块可以为城域网中任何一台PC开放文件服务;只要线路带宽许可,RG-IS2000存储系统可以和现有的以太城域网无缝兼容,可以为城域网中的任何一台PC或服务器提供硬盘存储服务。
教育局办公接入区域
在教育局办公区域需要接入到城域网,在该区域放置一台锐捷千兆汇聚交换机RG-S3760-48,负责办公区域的汇聚和安全控制。为了方便今后在城域网上顺利开展基于IPv6的多种应用,S3760硬件全面支持IPv6,支持IPv4向IPv6网络过渡等的IPv4/IPv6双协议栈,为IPv6网络之间的通信提供了丰富的Tunnel技术,并提供了丰富而完善的路由协议,以城域网多种路由和多业务的需要。
城域网下属学校接入区域
城域网下属学校的接入区域主要是负责将各个学校接入到城域网中,提供访问城域网和互联网的路径。
下属有近30所学校,每个学校都将接入到城域网中,如果相互之间的访问控制不作限制的话,一旦有网络病毒爆发将在整个城域网中传播,严重影响城域网的正常运行。因此需要在每个学校的出口放置一台能够防病毒防攻击的出口路由器RG-NBR 2000,在每个学校的出口启用安全策略,严格限制各学校之间的相互访问,严格控制对城域网的访问,防止大量的攻击流量攻击城域网核心。
每个学校的出口路由器把学校的校园网和城域网完全隔离开了,校园网的病毒和攻击将被限制在学校内部,不会对城域网造成影响,从而保证城域网安全稳定运行。
在城域网中心配置一套网络管理系统STAR-VIEW,用于对整个城域网设备进行网络管理和监控,以保证整个城域网的安全稳定运行。
通过以上方案的实施,锐捷网络为相城区构建一套安全、稳定、快速、易管理的教育城域网系统,为整个相城区的教育信息化提供强有力的保障,从而不断推进相城区的教育信息化建设。