范铭
摘要:宁波市教育城域网是指通过宽带骨干网连接教到各县市区教育局教育网及市直属学校单位网络的传输网络,以各种信息基础设施为支撑,以教育资源和软件为基础,以网络技术为依托,以实现教育资源共享和管理为目的,为全市教育提供全方位应用服务的信息化环境。宁波市教育城域网是在网络技术快速發展这种大环境下产生的全新设计。目前国内许多城市都在规划建设教育城域网,教育城域网建设方法各种各样层出不穷。本次设计以宁波市教育城域网为实际背景,对其结构、技术和网络设备进行全面、系统的分析和设计,最终得出符合宁波市教育城域网需求的解决方案。
关键词:教育城域网;系统集成;教科网
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)14-0042-02
为了深化教育体制改革,实现教育的飞跃式发展,我国政府也加强了教育信息化工作,推出了一系列重要的举措。2000年教育部主持召开了“全国中小学信息技术教育工作会议”,并做出决定:全国中小学要基本普及信息技术教育,全面实施“校校通”工程,以信息化带动现代教育,实现信息化教育,实现教育资源共享。
1教育城域网现状
目前的许多教育城域网都是急于业绩仓促建设而成,而且基本又系统集成商规划设计而成,教育部门没有专业的城域网规划设计人员,这样一来就不能更深刻的理解用户实际情况和用户需求。而教育城域网的建设应该是先要有一个系统的长期的科学的规划,然后根据自身实力以及自身人才储备的具体情况循序渐进建设的。
2未来发展趋势
未来大数据发展使得教育城域网核心网络出现更大容量、更高带宽的需求,目前万兆技术已经成为了各大运营商发展业务的一项关键技术,并且在教育城域网建设规划中得到广泛的应用,这种结构运营商们能够通过配置成网格型来进一步得到相应的支持。
3总体设计
3.1整体设计原则
宁波市教育城域网的设计,主要目的是为了使市教育局、市直属学校单位、各县市区教科网互联起来,为了保证教育网络的高质高效连接,在设计中要遵循以下一些原则:
1)高安全、高性能、高可靠性
高质量高效率的网络性能是整个城域网平稳运行的基础,所以,在整体架构中网络和设别要具备高吞吐能力,并且要保障它的安全性。首先在设备选型上要选用高可靠性能设备,要有冗余、备份等功能,在网络结构规划上要遵循可靠、合理原则,保证网络具有发生故障时能自我恢复的能力。
2)可运营、可管理、可扩展性
对网络实行集中监测,不同管理身份拥有不同的管理权限,合理分配带宽资源。城域网设计中要建设良好的网络管理平台和配备管理软件。要具有良好的业务管理能力,实现教育城域网实名认证,身份验证,确保网络的可管理特性。要充分考虑未来城域网的发展,这就需要城域网具备良好的可扩展能力,使城域网可持续发展。
3.2拓扑结构设计
该设计方案中,核心部分使用两台高性能路由器做双核心虚拟化。
骨干网络万兆互联,与各县市区教育网万兆互联,与市直属单位学校实现万兆互联带宽。
4通信平台的设计
4.1连接方式
当前教育城域网连接主要通过租用通信运行商裸光纤,建设工期快,带宽可以用户需求改变、链路的安全性也可以保证。
4.2 IPV4地址规划
根据宁波市教育网规划,宁波市城域网分配地址段共100个B类地址段,市级使用8个B类地址段,较大县市区教育局使用8个B类地址段,较小规模的区教育局使用4个B类地址段。
5教育城域网网络设备选型
5.1网络设备选型原则
1)核心路由器
高性能核心路由交换机市场上比比皆是,在此次城域网设计中本着从实际出发需求决定一切,稳定压倒一切的原则进行选购高性价比的路由器进行配置。
核心路由器参数主要有一下几点:
转发速率
数据处理是要耗费资源的。转发速率是指在不丢包的情况下,单位时间内通过的数据包数量。
2)背板带宽
路由器的背板带宽,是路由器接口处理器或接口卡和数握总线间所能吞吐的最大数据量。
3)模块冗余
冗余功能是必不可少的,是消除单点故障、保证网络安全运行的保证。在故障发生时能否快速切换设备取决于设备的冗余功能,而对于最重要的核心路由器而言,交换机的重要部分都应该具备冗余功能,比如管理模块,电源等。
4)路由性能
核心路由器除了路由功能完整外,路由转发能力性能要高,在城域网设计架构位置中可以判断路由性能如何,除此之外端口的类型及端口密度也能判断。
5.2下一代防火墙
在保证整体网络安全领域中,防火墙扮演者重要的角色,它通常被部署在内部与外部互联交界处,来保护网络中的计算机、应用程序和各种资源。
涉及防火墙选型的关键因素非常多,一般来说越贵的防火墙性能越卓越,但要结合实际情况选择合适的防火墙设备,综上,我们采购防火墙应从以下一些关键因素来考虑:
1)支持的会话数与每秒连接数
每秒生成会话的能力,即会话能力,这是个重要的性能指标。下一代防火墙因为构筑在新一代64位多核并发的高速硬件平台之上,拥有业界独有的数通、安全双引擎设计模式。
2)智能化识别
通过智能化应用、用户身份识别技术,下一代防火墙可以将网络中单纯的IP/端口号(IP/Ports),以及流量信息,转换为更容易理解、更加智能化的应用程序信息和用户身份信息,为后续的基于应用程序的策略控制和安全扫描,提供了识别基础。
3)精细化控制
下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类,并且通过应用级访问控制,应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。
5.3多链路出口负载均衡设备
在保证整体网络安全领域中,多链路出口负载均衡设备扮演者重要的角色,它通常被部署在内部与外部互联交界处。采购多链路出口负载均衡设备应从以下一些关键因素来考虑:
1)设备的处理能力,高效的处理能力尽可能减少会话延时。
2)设备的扩展能力,模块化设计,可以根据需要增加扩展模块,以适应未来发展需求。扩展能力分为软件模块及硬件模块。
3)设备集合出入站智能DNS解析、轮询、加权轮询、静态就近性、动态就近性等算法,解决多链路网络环境中流量分担的问题,充分提高多链路的带宽利用率。并且通过为用户分配最佳的通信线路,使用户获得绝佳的访问体验。
4)设备还利用链路健康检查及会话保持技术,实现了在某条链路中断的情况下仍然可以提供访问链接能力,充分利用了多条链路带来的可靠性保障,使对于用户的访问达到了最全面的支持。
5.4上网行为管理设备
根据公安部82号令的要求,所有用户上网记录要保存90天备查。上网行为管理设备通常被部署在内部与外部互联交界处。采购上网行为管理设备应从以下一些关键因素来考虑:
1)设备的处理能力,高效的处理能力尽可能减少会话延时。
2)部署模式:网关模式,网桥模式,旁路模式,多机模式,双机模式。
3)支持丰富的身份认证方式:本地认证,第三方认证,短信认证,单点登录等。
4)针对不同用户(组)进行差异化的行为记录和审计,包括网页访问行为、网络发帖、邮件Email、IM聊天内容、文件传输、游戏行为、炒股行为、在线影音、P2P下载等行为,并且包含该行为的详细信息等。
5)应用识别是管理的基础,全面的应用识别帮助管理员透彻了解网络应用现状和用户行为,能够全面识别P2P行为,保障管理效果。