XXX教育城域网技术建议书.doc

Xxx教育城域网技术建议书杭州华三通信技术有限公司目录1.教育城域网建设需求51.1.教育城域网建设背景51.2.教育城域网业务需求分析61.3.教育城域网建设内容72.教育城域网建设原则73.H3C IToIP教育城域网整体解决方案94.基础网络平台建设方案114.1.组网概述114.2.组建高可靠RPR环网124.2.1.RPR技术介绍124.2.2.RPR技术在教育城域网中的应用194.2.3.组网方案对比分析204.3.组建路由型核心网214.4.中小学校园接入网234.4.1.组网拓扑244.4.2.组网简介244.5.核心网关键设备介绍254.5.1.城域网骨干路由器254.5.2.中小学校园网核心交换机264.5.3.中小学校园网接入交换机294.5.4.千兆防火墙315.数据中心建设方案315.1.概述315.2.需求分析325.3.方案设计335.3.1.H3C多服务器集中存储解决方案335.3.2.D2D备份解决方案355.3.3.应用系统保护/恢复解决方案365.3.4.数据远程容灾备份376.城域网多媒体通讯建设方案386.1.组网拓扑386.2.组网简介396.3.方案配置及技术优势396.3.1.控制中心：396.3.2.会场终端：416.3.3.技术优势427.城域网综合安全建设方案437.1.网络安全风险分析437.2.统一安全设计原则467.3.网络层安全解决方案487.3.1.全面网络基础设施可靠性保证措施487.3.2.骨干网关键设备SR8800强大的安全特性497.3.3.配置防火墙和IPS进行网络区域的隔离547.3.4.内网机密信息安全访问解决方案577.3.5.城域网流量清洗解决方案587.3.6.城域网出口行为监管解决方案597.3.7.教育城域网数据中心防护解决方案607.4.用户层解决方案607.4.1.配置全面的网络防病毒系统607.5.业务层解决方案627.5.1.设备冗余及网络存储配置建议627.5.2.漏洞扫描及安全评估系统的配置637.5.3.应用系统开发中加强安全机制638.教育城域网管理中心设计638.1.集成化管理平台638.1.1.系统安全管理658.1.2.资源管理678.1.3.拓扑管理688.1.4.故障（告警/事件）管理718.1.5.告警深度关联分析与统计728.1.6.性能管理758.1.7.设备管理组件788.2.校园网络全局安全关联分析管理799.IP地址及路由规划849.1.IPv4地址规划849.1.1.IPv6地址规划859.1.2.IPv4路由规划869.1.3.IPv6网络规划869.1.4.IPv6路由规划8710.组播与QoS规划9010.1.组播业务9010.2.QoS优化9111.教育城域网服务方案（略）9212.教育城域网成功应用案例9212.1.宣武区教育城域网9212.2.北京崇文区教育城域网9412.3.太原教育城域网9512.4.重庆教育城域网951. 教育城域网建设需求1.1. 教育城域网建设背景进入二十一世纪，以知识和信息的生产、传播、应用为基础的知识经济占据着世界经济发展的主导地位，国家综合国力和国际竞争能力更是取决于教育、科学技术和知识创新的水平，教育在经济和社会发展进程中起着越来越重要的作用。随着现代信息技术的高速发展，信息化技术与教育相结合，正成为当今中国教育改革和发展的关键组成部分，改变着传统的教育模式。 “科教兴国”是我国长期以来的基本国策。在社会信息化日益深入，知识增长迅速的今天，传统的教育行业正在经历前所未有的巨大挑战。推行教育信息化是实现“科教兴国”的必经之路。多媒体软件、远程教学、网络图书馆、网络教育资源库等现代化教学手段，为教育行业实现再次飞跃提供了新的思路和发展方向。随着教育信息化在全国逐渐普及，学校相继建立了自己的校园网络，形成了层次分明，功能完善的纵向网络体系，但是在学校之间的网络建设则相对滞后，在教育系统内部出现了众多的信息孤岛。这样的局面，我们如何避免？在校园网络解决方案日益趋同的背景下，我们如何来获得更多更新的内容？如何引入更有价值的应用？为了解决上述问题，教育城域网应运而生。教育城域网是将本地区的教育机构、研究机构全部通过网络互联，使教育资源整合、开放、共享，达到整体信息化的集成运用的宽带网络，最终形成的一个区域性的互联、互动、信息交换、资源共享和远程教育的基础架构。作为教育管理系统与现代化教学的支撑平台，教育城域网络基础设施建设将在推动教育信息化进程中发挥重要作用。通常，教育城域网以当地教委信息中心作为网络中心和资源中心，各学校和科研机构作为分中心和资源提供节点，覆盖全地区各级教育行政机构，同时网内共享管理平台，实现接入学校办公管理、教学管理和通讯管理的自动化，从而提高办学效率和质量。为实现这一目标，使教育信息化真正成为教育改革和跨越式发展的强大动力，我们提出此建设方案，从网络环境建设、资源应用建设以及维护、应用的人才队伍建设等方面，规划xxx教育信息化工作未来五年的建设和发展方向，使xxx教育信息化走在全市的前列。1.2. 教育城域网业务需求分析结合当前教育信息化现状，确保教育城域网最大程度地服务于教育信息化改革和提高教学质量，教育城域网必须满足以下功能：建成宽带、先进、专业的高度信息共享的教育城域网系统教育城域网络建设项目的建设目标是将各个教育机构全部联到网络中，最终形成一个区域性的互联、互动、信息交换、资源共享和远程教育的基础构架。以教育信息网络管理中心为中心的虚拟闭合网络，实现了 “校校通”。教育信息网络中心具有先进的交换设备和海量的数据存贮能力，在实现软件和应用资源共享的同时，还能为各校提供硬件共享服务。通过城域网内统一的网络平台，统一的网络出入口，还能最大限度地限制各种不良网站的入侵。教育城域网络系统统一的网络平台，统一的网络出入口，实现软件和应用资源共享，还为各校提供硬件共享服务。实现高度共享的免费教育教学多媒体资源 通过教育城域网系统实时点播或高速下载，师生可以利用教育城域网络系统的教育教学资源进行辅助教学和辅助学习。 教育教学资源内容覆盖中小学阶段十几个学科相关的知识点，当中包括文本、图形图像、音频、视频、动画、课件、课案、课例等素材内容。 教育资源和网络技术的应用与推广，将促进信息技术与学科课程的整合，建立网络环境下的龙岗中小学教育新模式。实现普教系统高效率的教育政务网 日常行政办公中心处理教育日常事务，如文件收发、公文审批、会议通知等工作。 教育数据管理中心分为学校概况、教工管理、学生管理、校产管理、教育科研、综合查询等七大模块，汇集了学校、教师、学生的基本数据信息。 项目行政服务中心可以对学校、教师、学生等有关的行政办公事务进行自动办理或辅助办理。实现信息化课程开发 小学及中学、师范学校、职业学校、成人中专的学生全面接受信息技术教育。信息技术课程做到三个统一：统一教材、统一教纲、统一考核。 组织编写并统一使用以计算机操作和信息处理为主线，突出互联网应用的中小学信息技术教材，并定为中小学信息技术教育实验教材。实现多媒体网络远程教学通过教育城域网络系统着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台，例如可视化计算，计算机协同作业，虚拟网络，虚拟现实，计算机仿真，远程计算机与数据处理等。建设支持宽带多媒体业务，例如远程教学、多媒体网络教室、会议电视。1.3. 教育城域网建设内容未来五年，xxx教育信息网建设工作的主要内容是：1、采用光纤联接方式，架设覆盖各个教育单位，高速联接教委信息中心和教育网的光纤网络平台。2、采用先进设备，搭建一个安全、稳定、先进、健康的教育城域网络。3、采用先进技术，形成一个既满足教育需求，又极具特色的资源应用平台。4、采用科学管理，建立一支技术过硬，水平较高，具有建设性和稳定性的系统管理维护队伍。5、采用科学理念，将信息化深入到每个教育教学过程中，形成每位教师能用、会用信息技术手段，并不断创新和融合教育信息资源的新局面。2. 教育城域网建设原则教育城域网连接了其下属中小学内包括教学楼、办公楼、实验楼、图书馆等大量的信息点，学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作服务等大量业务的开展，要求网络必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。为实现校园网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。独立性教育网是基于各学校为网元构建起来的面向教育系统的大型网络，独立性是教育网需要考虑的一个基本特性。独立性在教育网中体现在两个方面：一是整个教育网网络对于外部网络而言是一个物理上的独立实体，单独并唯一的实现对整个教育网的统一网络管理；二是各学校做为教育网的基本网元在物理上也应该具有一定的独立性，这一方面是为了教育网网络的稳定而做的考虑，网络各层次之间的依赖关系越低整个网络的稳定性也就越强；同时也为以后各学校结合自身特点开展独立的特色打好基础。技术先进性和实用性在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。强QOS、强组播特性教育网因为对视频、音频等多媒体业务的需求较大，所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点，为实现区别服务，整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的控制特性也会进一步保证组播流的控制、管理和安全，从而为实现教育城域网的多业务支持提供保障。安全性制订统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。兼容性和经济性兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。3. H3C IToIP教育城域网整体解决方案IH3C教育城域网IToIP整体解决方案是以IP通信平台为基础，实现环境(特别是重点、敏感区域的视频监控)、资源（网络资源、存储资源、计算资源）、到活动（网络的开放架构对定制业务的支持）的全部数字化，利用标准的ITOIP解决方案，以IP技术为标准技术，利用SOA开放架构实现对整体IT平台的统一集成支撑。H3C教育城域网解决方案包括校园接入、区域信息中心、城域网出口、IP考场监控、智能管理中心等多个子系统。相应的，H3C教育城域网整体解决方案由五个平台组成，包括基础网络平台、综合安全平台、多媒体通讯和监控平台、信息中心存储平台和智能网络管理平台。建设安全可靠的网络平台 具备网络结构优化能力整体架构具备更有效的容灾能力，以应对故障节点、故障链路、路由震荡所带来对业务的影响； 具备网络业务拓展能力可平滑向下一代网络迁移，向IPv6迁移兼容现有组网环境，IPv6完全由分布式硬件完成，保护投资；可以随时随地使用，可以基于移动漫游环境，移动漫游环境无需管理者手工干预 具备安全渗透防御能力具备攻击、非法业务的隔离、控制，具备在线主动抵御的能力；核心网络自身集成安全防御能力，缩小攻击、病毒影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击建立数据服务中心优化整合现有数据信息资源 解决教学、科研、办公业务数据海量增长，数据无法整合管理的问题 解决数据爆炸性增长，成本要求不断降低的问题 解决各种灾难对信息系统影响的问题 解决跨广域的数据访问的问题 解决跨系统数据迁移和灾难备份困难的问题 解决借助厂家提供专业的存储咨询和服务的问题建立媒体服务中心实现视频、语音多媒体服务资源 利用现有网络资源，整合语音业务，降低校内语音通信成本； 利用现有网络资源，整合视讯业务，提供丰富的网络办公、教学IT服务； 利用现有网络资源，整合考场监控业务；实现整个教育城域网网络的集中统一智能化管理教育城域网是建立在一系列IT资源的基础上，诸如带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等，针对这些资源需要关联化的管理，资源的整合，才能将利用IT系统服务校园信息化的价值最大化。4. 基础网络平台建设方案4.1. 组网概述根据教育城域网的建设要求，教育城域网将分为骨干层、汇聚层、校园网三级，整个教育城域网具有可运营、可管理的开放式结构。在骨干层，考虑到教育骨干网的高稳定性、高安全的特性，建议采用H3C RPR的组网方案，网络的核心层由4个骨干节点构成环网，选用H3C公司SR8800系列骨干路由器，4个骨干节点之间相连构成环网，从而进一步确保网络的可靠性以及安全性，SR8800路由器具有强大的性能以及稳定性完全可以胜任骨干节点的胜任。在汇聚层，采用大容量多业务路由交换机S9500/S7500/S7500E作为各区域本地教学单位、机构流量的上行汇聚。校园网的建设将分情况区别对待，已建成的校园网可直接接入所在区域的汇聚交换机，流量汇聚后进入骨干层；尚未建成校园网的将依据校园的实际情况和需求，采用适合的建网模式进行建设，然后通过校园出口设备接入所在区的汇聚设备，汇聚交换机同时可接入区级的信息资源中心和区级认证管理中心（BAS）。在校园网，教育城域网的建设是由多个校园网单个独体构成，校园网作为各个接入点，采用就近的方式接入汇聚交换机，再由汇聚交换机统一汇总至骨干节点，针对各个接入点的数量不同以及数据量不一致等情况，可以灵活选择不同数量的接入点汇聚至核心。信息资源中心，一方面提供大量的服务器群组针对不同学校、机构提供相应的数据业务服务，认证管理、计费等功能；另一方面通过信息中心的统一出口，高速连接到CERNET和Interntet两个外部出口，通过统一的开放数据业务平台实现整个教育城域网用户的计费和特色宽带业务的开展，最后通过H3C公司的集中网管来实现对全网网络设备的管理和维护、故障报警等。4.2. 组建高可靠RPR环网4.2.1. RPR技术介绍以太网技术以其成本低、简洁、易扩展、适合于IP 包的传输和处理等特点，广泛应用于局域网，但是如果直接将以太网应用于城域网或广域网中，仍然存在问题，它在网络规模、端到端业务建立、QOS质量保证、可管理性、可靠性等方面还存在不少需要克服的难题。能否在原有SONET/SDH的基础上加入对数据业务层的处理，如具有高带宽分发能力和粒度扩展能力，以及广泛应用于局域网的以太网的二层处理、ATM的统计复用和QOS等功能，使其更适合数据业务的传送，取长补短，以一种新型技术，来组建以数据为中心的网络，为各行业提供高弹性、高可靠性、带宽可管理、高性价比、多业务传输的解决方案？于是出现了一种新的标准化技术，即IP环网RPR技术。RPR国际标准由于看到目前SONET/SDH的高市场占有率以及城域网传输的巨大潜力，许多公司将以太网技术和SONET/SDH技术结合，各自竞相推出了自己的IP环网技术，以期在激烈的市场竞争中占得先机。如Cisco的DPT、Nortel的IPT、以及Luminous的RPT等等，但是由于实现的机制不同，产品互通等方面存在问题。IP环网要继续发展和推广，急需标准化并进行统一，弹性分组环即RPR就是IP环网标准化的结果。RPR的标准由IEEE802.17小组负责进行标准化，主要完成MAC层协议、传输通道和公平管理、拓扑发现、保护倒换、不同物理层的适配、以及与802系列标准的适应性、管理等标准的制定工作。IEEE 802.17 工作组和RPR 联盟致力于将以太技术、SONET/SDH两者的优点合而为一，研究并规范化一种环网拓扑上使用的MAC 层协议RPR，满足面向数据优化网络的需求。同时IETF也有一个工作组叫做IP over RPR （IPoRPR），对基于RPR组网的业务应用提出标准化建议，负责IP和MPLS在RPR上的运行，以及RPR的MIB信息方面的工作，涉及到网络层和传输层。另外，由国际电信联盟ITU和ANSI组织负责RPR下一些物理层方面的标准的制定。RPR主要技术特点RPR（Resilient Packet Ring）弹性分组数据环技术集IP的智能化、以太网的经济性和SONET/SDH光纤环网的高可靠性于一体，为宽带IP城域网运营商和各行业专网提供了一个良好的组网方案，在提供SONET/SDH级网络生存性的同时降低了传送费用。RPR和SONET/SDH和以太网的比较如表1所示：RPR和SONET/SDH和以太网的比较RPR是工作在OSI协议栈第二层MAC子层的协议，但是其有别于传统MAC最吸引人的特点是具有电信级的可靠性，使其不仅仅只是局限于处理面向数据的业务传送需求，同时可以形成处理多业务传送的综合传输解决方案，可以实现在光纤介质上通过不同的物理层直接承载IP和TDM业务。RPR的设计宗旨就是网络要适合IP数据业务，具有高可靠性，并且可运营可管理，从而可为城域网提供低成本、高性能的解决方案。RPR环网是由逆向双环组成，一个为顺时针方向，一个为逆时针方向，双环都可以同时传输数据和控制信息，其中内环的控制信息控制外环的数据，外环的控制信息控制内环上的数据。在RPR定义的MAC层的结构中，MAC层向下通过适配子层同物理层相连，向上提供对业务层的支持。RPR主要包括MAC层和MAC控制层。其中MAC层主要处理数据的传输处理、报文头处理以及报文错误校验。MAC控制层实现RPR的公平控制、保护倒换、环路选择、拓扑发现、OAM管理等方面的工作。另外还有MAC管理层，主要处理MAC层的MIB信息，完成MAC的操作和性能管理等等。可以看出，RPR 技术吸收了千兆以太网的经济性，吸收了SONET/SDH 对延迟和抖动严格保障、50ms快速保护倒换特性。RPR 采用类似以太网的帧格式，基于MAC进行高速交换，简化IP 前传。RPR定义了一个闭合环路、点到点、基于MAC层的逻辑环状拓扑，对于物理层来说，RPR 就是一组点到点的链路，而对于数据链路层来说，RPR 就像是一个类似于以太网的广播介质网络。RPR 内外环上可同时传输数据包和控制信息，以及基于目的地剥离的特性可有效地提高带宽资源的利用率，保护机制继承了SONET/SDH的特点，同时也克服了冗余资源预留的弱点。多种速率和多物理层支持，使得很容易扩展。RPR简化了IP网络结构和层次，提高了效率，也使得IP统一网络业务平台成为可能。1）多物理层的支持由于RPR是链路层MAC层的协议，与物理层介质无关，因此可支持多种物理层，目前定义的物理层包括SONET/SDH和以太网，其中SONET/SDH支持POS封装和ITU新定义的GFP封装，以太网支持GE和10GE接口，RPR通过适配子层同物理层相连。2）带宽的高利用率带宽利用率高是RPR的重要特点，主要由以下几个方面： 双环同时传送数据和控制信息，与SONET/SDH上不一样，不存在光纤空闲备份的情况，光纤利用率高。 基于带宽共享和统计复用，RPR报文也是分插复用ADM的结构，具有空间重用的特点，环网节点之间数据传输互不影响，同时支持不同节点间独立的并发传输和相同节点重叠的并发传输，使得环网的资源可以分段使用，使整个环网的累积带宽大于单个链路的带宽容量，也大大提高了带宽的利用率。 单播报文采用目的剥离的方式，报文一旦到达目的地，就不再在环上继续传送，提高了环网的利用率。 环网节点数据处理一般包括转发、发送和接受，环网上大量的转发数据处理是在MAC层完成，不需要到IP层进行处理，而且数据转发可使用存储转发store-and-forward和直通cut-through方式，其中直通的方式处理速度快，性能高。3）快速的保护倒换RPR的设计目标是提供50ms的电信级的保护，RPR提供两种不同的倒换方式，即源路由（Steering）和回绕（Wrapping）方式，其中源路由方式必须支持，回绕方式可选支持。两种倒换方式的示意图：RPR的保护倒换回绕方式的倒换：这种倒换方式比较简单，当环路上的某个地方发生故障时，在发生故障附近的节点处自动环回，即把内环和外环连在一起，通过协议在相邻失效节点之间进行。回绕方式的特点是倒换速度快，基本没有数据丢失，但是缺点就是浪费环网的带宽，使得数据流走很多弯路。源路由方式的倒换：当环路上的某个地方发生故障时，数据流不需要从发生故障的的地方环回，该故障点和类型的信息会发送到每个节点，拓扑也相应更改，源节点只需要直接按新的拓扑进行路径选择，并根据新的路由发送数据给目的节点，已经发出的小部分数据将在故障点被丢弃。源路由方式的特点是带宽利用率高，但是倒换的速度慢，在计算路由时会造成数据的丢失。H3C根据两种倒换方式的特点，提出一种新的倒换方式，综合了二者的优点，倒换时先使用回绕的方式，尽量保证数据不丢失，同时进行拓扑信息的传递和更新，计算出新的路由，并切换到源路由的方式，以充分利用带宽，使系统达到最优的性能。需要说明的是，所有的保护倒换都是基于双向出错的，包括单光纤故障、双光纤故障、节点故障、断开节点以增加新节点等，对于环网来说，都会认为环网出错并在出错处的节点进行倒换。另外，同一个环网内的节点应该采用相同的倒换方式。4）带宽管理的公平性带宽公平管理是RPR环网的一个特点，由于RPR环网的带宽资源在节点之间是共享的，不允许单个节点独占总的带宽，以免造成系统的阻塞，因此它提供一种环网级别的全局公平算法，以保证各节点公平享用带宽，同时又能够最大限度提高带宽的利用率。如图所示：公平算法RPR-fa是通过在环网节点设置权重，并监测自身带宽资源的使用情况，同时在节点间提供显式的反馈机制，该反馈信息通告发送源网络当前的可用能力，以使之调整流量，最终实现全网的公平。当一个节点有拥塞发生，它将通过与传送数据相反方向的节点发送拥塞公告，告知一个公告速率，上游节点利用这个公告速率来调整自己允许上环的速率，以使得不超过拥塞节点公告速率，如果该节点也发生了拥塞，就同样计算其公告速率发送到其上游节点。公平算法是全局的，在公平算法中，节点首先要确定拥塞门限，并根据拥塞的情况，确定向上反馈的公告速率以及确定本节点允许向环上发送的速率。在RPR环网的结构中，数据分为发送数据和转发数据，大量的转发数据不需要经过节点的处理，直接在环上传递，节点的发送数据根据提供的不同的队列和优先级加入到环网上，通过带宽管理和反馈机制来保证网络无阻塞以及带宽的公平使用。在RPR网络中，具有很好的QOS保证，这是通过带宽预留、优先级队列机制和公平算法等来实现的。正是由于RPR有带宽预留和公平机制，RPR可为用户提供多种SLA服务，为服务商提供灵活的业务。服务商可根据用户付费的情况，确定时提供保证速率业务还是突发业务，对于保证速率的业务，也可以根据付费的多少，提供不同的带宽。这些都可以由服务商方便地控制和管理，真正实现可运营可管理。5）组播的有效支持RPR支持组播是其优于SONET/SDH的又一大优点，环网提供对组播和广播报文的支持，相应的数据包在环网上只有一份拷贝。组播和广播是基于源剥离的，即目的节点将接收数据包并转发，而源节点则负责将组播包和广播包从环网上剥离。由于RPR环网的报文结构与以太网很相似，仅增加环网头和部分其他的字段，利用现有的MAC地址编码技术就可以有效地表示组播和广播报文，同时也使得相关的协议不需要大的改动，具有很好的延续性。6）自动拓扑发现支持即插即用在环网RPR的MAC控制中，提供自动拓扑发现的功能，拓扑发现是通过拓扑结构发现报文在环上传送一周来完成，每经过一个节点该节点会附加本节点的MAC地址，最终每个节点就获得了整个环网的拓扑结构信息。网络拓扑信息可用于发送路由和内外环的选择，自动拓扑发现除定时进行外，当检测到光纤故障、插入新节点、接收到保护倒换信息时也会进行，另外，为了网络的可靠性和稳定性，只有接收到两个完全一致的新的拓扑表时，才进行拓扑的更新，以防止短暂的拓扑变化的影响。自动拓扑发现的一个主要的特点就是RPR环网能够实现即插即用。在传统的传输中，如果增加一个新节点，需要对该节点以及与其有业务关系的节点进行复杂的配置，存在N平方的问题，也使得增加新业务不灵活，开通时间慢。而在RPR网络中，由于有自动拓扑发现功能，增加新节点无需复杂的配置，大部分工作由系统自动完成，这样，使得网络初期规划简单，增加新业务简单快捷。7）TDM业务的支持RPR提供多业务的支持，可提供较强的数据业务处理能力，而对TDM 业务的处理能力相对较弱，可以在语音业务不大时得以应用。由于RPR具有很好的QOS保证，可利用保留的带宽进行主从节点的同步传输，实现时间的精确同步，另外将TDM语音业务直接封装在RPR报文中，使用高优先级传输，以提供低延时抖动的保障。8）OAM管理的支持RPR环网提供OAM管理特性，主要用于错误管理、性能管理和配置管理。错误管理实现远程错误指示RDI、连续性检测CC、环回检测LB、启动/关闭连续性检测A/D等功能。通过连续性检测和远端错误指示可以进行环网上错误节点的探测，通过环回检测，可以进行环网错误节点的定位和测试。在性能管理方面，可提供系统性能和服务质量等方面信息的监控和统计。4.2.2. RPR技术在教育城域网中的应用RPR技术是众多环网技术中的一种，而且是比较优秀的一种，在具备充分保护倒换功能的情况下，不需要冗余带宽备份，提供高可靠性、高带宽、高利用率。RPR技术是一种物理层无关协议，可支持Ethernet、 DWDM 、 SDH/SONET等物理介质，从物理介质来看，RPR技术完全可以应用于园区网/校园网、城域网、IDC甚至是广域网。RPR网络可通过裸光纤直接相连，简化网络结构，节省用户对传输网络的投资；网络具有高的可靠性，可提供50ms电信级的快速保护倒换；同时RPR环网可提供高的速率，以及很高的带宽利用率，满足城域网骨干的需要。如下图所示：RPR在城域网骨干的应用RPR已经成为教育城域网的主流组网方案之一，包括西安教育城域网、贵阳市教育城域网、昆明教育城域网、银川教育城域网、西宁教育城域网、乌鲁木齐教育城域网、北京西城区教育城域网，均采取RPR环网组网。4.2.3. 组网方案对比分析RPR环千兆环/万兆环数据转发非本节点接受数据直接由硬件二层快速转发本节点和非本节点接受数据均做三层转发保护倒换基于IPS技术，50ms保护倒换路由收敛，重新选择最佳路由，保护倒换时间几十秒级别带宽5G1GE/10GE二层Qos能力除链路间的Qos保证外，具有二层的双队列的保证，保证实施业务的抖动和时延只有链路间的Qos能力公平算法环上各个节点流量通过公平算法共享所有链路没有公平算法，可能出现某些链路被独占的情况全连接、扩展能力即插即用，拓扑自动发现，具备良好的扩展能力；环上所有节点全连接，增加节点后，新增节点和其他所有节点全连接。链路的可靠性大大增加。如果某设备失效，RPR节点可以进入pass_through状态，仍然可以保证整个环路的连接每台设备只和相邻设备连接，可靠性差不；不具备即插即用的能力二层多播能力二层支持多播，多播的处理在二层芯片完成，不占用接口和交换芯片处理能力需要占用接口和交换芯片处理能力业务能力很好地适应数据业务、语音业务、视频业务主要适应数据业务4.3. 组建路由型核心网现在网络和网络设备都有融合的趋势。路由器和交换机也存在共同的特点，例如都具有三层转发的能力。但是从目前来看，路由器和交换机还是还是有较大的差别，不能做到完全取代。下面作一个具体的对比分析：l 从路由器和三层交换机目前采用的主流技术来看，虽然都实现了三层的路由的功能，但是它们三层转发机制有着较大的差异：路由器采用的逐包查找路由表，进行网络地址最长匹配的路由方式，即采用的是逐包路由转发，由于路由表是由动态路由协议实时维护，动态路由协议能够自动拓扑发现，完全依据拓扑结构构建和刷新路由表；三层交换机采用的是Cache技术实现IP地址的精确匹配，利用了报文相关性，在首次完成路由后，相关数据保存到Cache中，对后续报文要做的工作就是在Cache中进行精确匹配，如命中则直接转发，这就是所谓“一次路由，多次转发”，报文相关性意味着一段时间内有很多源/目的地址都相同的报文，这些相关报文构成流，从宏观来看，三层交换机的转发不再是基于单个报文的路由转发，而是基于流匹配的转发。l 路由器和三层交换机转发机制的不一样直接导致这两类设备对网络恶劣环境有不同的适应能力：路由器具有很强的抗网络动荡的能力，在网络动荡的情况下也可以保持线速的转发；而交换机在网络动荡的情况下，转发能力将急剧下降甚至瘫痪。例如红码病毒就可以模拟网络动荡对交换机进行攻击，而路由器具备天然的抵御“红码病毒”的能力，可有效改善网络的安全特性，提升网络的健壮性。l 三层交换机和路由器的路由能力也有较大的差异，三层交换机套片支持的网络路由的能力较弱，支持的单播和多播的数目相对较少，支持的流分类的功能较弱，因此利用三层交换机套片通常不能构架出具备强大转发能力的千兆比路由器产品。三层交换机套片实现的单播/多播路由转发、流分类处理等都是通过Cache技术实现的，在转发表项和流分类表项较多的情况下，Cache的效率将大大下降，不能满足千兆比路由器在支持大量网络路由和流分类情况下仍要达到线速转发的要求。三层交换机和千兆比路由器路由能力差异的具体体现如支持的路由数，高端路由器支持的路由条数一般都可以在1M以上，而三层交换机通常支持256k、128k或64k。主干节点的设备通常要求较大容量的路由数。l QoS技术不同主要体现在队列调度支持的队列的数目和拥塞避免算法的支持上，总体上讲，路由器需要支持的队列数目较多，路由器可以做到1k、2k个队列，交换机通常只提供几个或几十个队列。路由器需要支持RED/WRED拥塞避免算法，而三层交换机通常不支持。三层交换机通常要实现二层路由器的802.1p协议的CoS等。l 业务的可持续支持能力三层交换机通常都是采用套片技术，不便于快速支持新业务，而且受到本身固有转发机制的限制，也不可能充分支持某些新业务，例如MPLS VPN、IP QoS等等，路由器通常采取CPU和NP体系结构，微码可编程，具备良好的业务扩展能力。l 对MPLS VPN业务支持能力的差异通常来讲，业界高端路由器对MPLS VPN具备良好的支持，包括三层MPLS VPN和二层MPLS VPN。由于支持MPLS VPN对设备的路由能力具有较高的要求，特别是作为PE设备，要求路由多实体的能力和大容量的路由规模，交换机很难承担该角色。l 流分类处理不同三层交换机是基于流CACHE方式的，可以简单分类，同时由于处在网络边缘位置，也往往需要支持用户和应用业务流的分类。而路由器的流分类通常采用IPCAM实现线速流分类，支持丰富的流分类，在实施丰富流规则的情况下仍然可以保持线速转发。由于路由器和三层交换机的定位不同，还有许多相关技术的要求和实现情况也是不同的，如物理接口、用户控制和安全特性、VPN支持能力、NAT支持能力等。三层交换机千兆比路由器实现机制流CACHE转发，ASIC套片实现逐包转发，CPU/ASIC/NP实现路由能力路由能力弱，路由条数通常为为256k、128k、64等k路由能力强，路由条数通常在1M以上网络适应性抗网络动荡能力弱抗网络动荡能力强二层交换支持基于MAC地址和VLAN ID的二层交换基于MPLS VPN VPLS技术实现VLAN的透传和交换三层转发采用Cache技术实现数目较少的路由转发表项，对于未匹配到Cache表项的包交送CPU处理采用分级快速查找算法实现上百万个表项的路由转发组播采用Cache技术实现组播查找；支持二层组播协议和三层组播协议。采用快速查找算法实现组播查找；支持三层组播协议流分类采用Cache技术通过全匹配实现流分类，对于未匹配到Cache表项的包交送CPU处理；影响线速转发采用快速流分类算法，实现复杂的前缀匹配和范围匹配操作；不影响线速转发QoS支持二层QoS（802.1p）；支持队列数目较少，简单的WRR、优先级队列的调度算法；不支持或支持简单的拥塞控制算法。支持基于DiffServ IP/MPLS QoS支持数目较多，实现较为复杂的队列调度；支持实现复杂的RED/WRED等拥塞避免算法。安全特性支持基于VLAN的用户的控制和管理；用户接入的控制、验证和鉴权；支持DOS攻击检测和SYN攻击检测支持包采样、记录、跟踪；支持功能强大的DOS攻击检测和SYN攻击检测VPN对MPLS VPN的有限支持支持三层MPLS VPN支持二层MPLS VPN接口类型通常只支持GE、FE接口支持高速接口类型，包括GE、FE、ATM、PoS、RPR等网络定位局域网、城域网接入层/汇聚层骨干网、城域网核心层、大型园区网成本价位成本较低成本较高4.4. 中小学校园接入网现在各个学校的校园网建设没有一个统一的模式，只能满足基本的网络联通的需要，并不都能完全实现数字化中小学。目前比较典型的问题有：l 接入交换机采用非专业交换机，不能从网络入口防止ARP攻击等二层网络攻击，造成网络攻击泛滥，网络不可用。l 直接通过核心交换机上联到教育城域网，不能有效过滤非法流量，给教育局的核心交换机造成巨大的压力。l 网络设备不支持组播、QoS等特性，不能有效的进行视频、语音数据流的传播，不利用远程教学的开展。l 不支持IPv6，不能连接上教育局的IPv6网络。4.4.1. 组网拓扑 校园网采用层次化的架构设计，根据网络的规模，从运行管理的角度，分为网络出口、核心和接入层次，采用星型结构，1000M主干，10/100M到桌面，整体结构如下图所示：4.4.2. 组网简介核心层是全网数据交换和处理的枢纽，配置1台具有高性能、高可靠和扩展能力强的高端路由交换机，该交换机需要支持IPv6，并且具有强大的功能来支持数字化中小学的多种业务。学校业务系统服务器、网管工作站通过双绞线直接连接到中心交换机。接入层实现终端设备的接入，如办公电脑、网络打印机等，接入层采用二层交换机，接入层交换机分布式校内各楼宇、楼层配置间内，按照距离的不同，可以通过多模光纤或者双绞线千兆速率连接到中心交换机。与区教育局网络通过运营商的100M或者1000M线路互联，为加强网络间的安全隔离，之间增加1台千兆防火墙，防火墙同时还实现NAT、访问控制等功能。通过千兆防火墙增设DMZ区，实现学校对外信息的发布和共享。为了对设备进行管理，部署一套iMC智能管理中心，该软件基于SOA架构，具备统一平台、可扩展多种功能模块。可要按照学校不同的建设需求，部署不同的组件。4.5. 核心网关键设备介绍4.5.1. 城域网骨干路由器SR8800核心业务路由器（以下简称SR8800）是H3C公司面向企业网应用而推出的新一代核心业务路由器，该产品融合了H3C 自适应安全技术理念，将安全融入到网络之中，集成了防火墙、安全网关、网络流量分析等功能，解决了以往依赖单台设备、单一功能、独立部署的防护方式。可广泛应用于行业网、大型园区网、IDC网络的骨干位置。 H3C SR8800提供超强的路由处理能力、丰富的接口和高品质业务，提供形式多样的广域网接口，满足丰富的接入方式的需求。内置高性能的业务处理引擎，能够支持MPLS VPN业务的线速转发，适用大型企业组建高性价比VPN业务网络。u 强大的路由能力支持静态路由、RIPv1/v2、OSPF、IS-IS、BGPv4等标准路由协议。提供全分布式策略路由功能，可对网络流量进行灵活的控制和调度，在复杂的网络环境下仍能保持端口的线速转发。u 完善的MPLS VPN功能 SR8800能够实现基于硬件的全分布式MPLS线速转发，支持完善的L3 MPLS VPN 以及L2 VPN，可以面向大型的行业以及企业网络提供VPN的端到端的解决方案。SR8800支持三种跨域的方式；提供多角色主机解决方案，可以通过在PE上配置策略路由，使来自CE的报文可以访问多个VPN；提供分层PE的解决方案（HoPE），可以将PE的功能分布到多个PE设备上，多个PE承担不同的角色，并形成层次结构，共同完成一个PE的功能。还可以支持嵌套VPN、MCE、VPN内NAT，提供高品质、安全和多层次的MPLS VPN解决方案。u 分布式的体系架构SR8800采用全分布式的体系架构设计，可以提供全分布式的IP/MPLS转发。u 高可靠性设备级可靠性SR8800采用分布式结构和无源背板设计，支持双主控交换板，电源系统采用1+1冗余热备份，支持双路电源输入，所有单板支持热插拔。通过虚拟冗余路由协议（VRRP），可以在设备故障时不间断地与外界保持通信；链路级可靠性通过RPR等环网技术，具有故障自愈的功能，可以保障50毫秒以内的倒换时间，确保音频、视频等实时业务不受影响。协议级可靠性通过优雅重启（GR），可以在路由器发生主备倒换时，不间断的转发IP报文； u 集成一体化组网强大的二层功能SR8800融合了以太网交换机的特性，支持以太网的交换处理，支持VLAN的划分、端口聚合、端口绑定等二层功能是典型的路由交换一体化设备，扁平化了网络结构，增强了网络的可靠性。丰富的业务能力SR8800提供基于硬件形态的防火墙、VPN网关、NAT等业务，解决了以往依赖单台设备、单一功能、独立部署的防护方式，SR8800将安全融合到网络之中。SR8800可以和华为3Com公司的Xlog配合，形成完善的网络流量分析解决方案。通过对于网络流量的采集和统计，可以在不改变网络拓扑的情况下及时了解网络当前的使用状况以及网络中各链路流量的变化，达到对于全网的流量监控、服务质量监控，最终实现对于网络的优化使用。4.5.2. 中小学校园网核心交换机一、丰富的业务，适应融合业务网络发展趋势l 全面的MPLS业务能力H3C S7500E所有产品均支持VRF-Lite特性，可以做为MCE设备使用；支持三层的MPLS VPN和二层的MPLS VPN（Martini、Kompella），可扩展支持VPLS技术；支持MPLS OAM特性，方便用户的管理和维护；与H3C MPLS VPN Manager配合，实现图形化的MPLS部署与维护。 l 线速的IPv4/IPv6业务能力H3C S7500E支持IPv4/IPv6双协议栈,支持多种6to4隧道技术，支持IPv4/IPv6的组播技术，为用户提供完善的IPv4/IPv6解决方案；H3C S7500E采用分布式体系架构，实现IPv4/IPv6业务的线速无阻塞转发；H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段金色认证，是成熟商用的IPv6产品。l 有线无线一体化，有源无源一体化H3C S7500E集成的无线控制模块提供丰富的业务能力，包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QOS和对IPV6的支持等；无线控制模块通过与安全策略服务器的联动，实现对无线接入用户的端点准入防御，提高了整网的安全性。H3C S7500E是业界最高密度的以太网无源光网络（EPON）设备，单台最大可接入10240个FTTH用户；H3C S7500E是高可靠的EPON系统，采用分布式体系结构、模块化设计，主控板冗余热备份、无源背板、冗余电源支持双路供电，具有电信级可靠性。l 支持Portal认证H3C S7500E支持大容量的Portal认证功能，可以在数千用户的局域网中做为EAD网关设备，为全网用户提供EAD安全认证功能；可以在大中型的校园网中担任汇聚/核心设备的同时，为学生宿舍区的认证计费提供Portal认证功能。二、灵活的配置，适应各种应用场景l 配线间融合业务网络的最佳选择H3C S7500E针对配线间的需求定