【2012年】XXX教育城域網(wǎng)技術(shù)建議書(shū)

Xxx教育城域網(wǎng)技術(shù)建議書(shū)杭州華三通信技術(shù)有限公司目錄1.教育城域網(wǎng)建設(shè)需求51.1.教育城域網(wǎng)建設(shè)背景51.2.教育城域網(wǎng)業(yè)務(wù)需求分析61.3.教育城域網(wǎng)建設(shè)內(nèi)容72.教育城域網(wǎng)建設(shè)原則73.H3C IToIP教育城域網(wǎng)整體解決方案94.基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)方案114.1.組網(wǎng)概述114.2.組建高可靠RPR環(huán)網(wǎng)124.2.1.RPR技術(shù)介紹124.2.2.RPR技術(shù)在教育城域網(wǎng)中的應(yīng)用194.2.3.組網(wǎng)方案對(duì)比分析204.3.組建路由型核心網(wǎng)214.4.中小學(xué)校園接入網(wǎng)234.4.1.組網(wǎng)拓?fù)?44.4.2.組網(wǎng)簡(jiǎn)介244.5.核心網(wǎng)關(guān)鍵設(shè)備介紹254.5.1.城域網(wǎng)骨干路由器254.5.2.中小學(xué)校園網(wǎng)核心交換機(jī)264.5.3.中小學(xué)校園網(wǎng)接入交換機(jī)294.5.4.千兆防火墻315.數(shù)據(jù)中心建設(shè)方案315.1.概述315.2.需求分析325.3.方案設(shè)計(jì)335.3.1.H3C多服務(wù)器集中存儲(chǔ)解決方案335.3.2.D2D備份解決方案355.3.3.應(yīng)用系統(tǒng)保護(hù)/恢復(fù)解決方案365.3.4.數(shù)據(jù)遠(yuǎn)程容災(zāi)備份376.城域網(wǎng)多媒體通訊建設(shè)方案386.1.組網(wǎng)拓?fù)?86.2.組網(wǎng)簡(jiǎn)介396.3.方案配置及技術(shù)優(yōu)勢(shì)396.3.1.控制中心：396.3.2.會(huì)場(chǎng)終端：416.3.3.技術(shù)優(yōu)勢(shì)427.城域網(wǎng)綜合安全建設(shè)方案437.1.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析437.2.統(tǒng)一安全設(shè)計(jì)原則467.3.網(wǎng)絡(luò)層安全解決方案487.3.1.全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施487.3.2.骨干網(wǎng)關(guān)鍵設(shè)備SR8800強(qiáng)大的安全特性497.3.3.配置防火墻和IPS進(jìn)行網(wǎng)絡(luò)區(qū)域的隔離547.3.4.內(nèi)網(wǎng)機(jī)密信息安全訪問(wèn)解決方案577.3.5.城域網(wǎng)流量清洗解決方案587.3.6.城域網(wǎng)出口行為監(jiān)管解決方案597.3.7.教育城域網(wǎng)數(shù)據(jù)中心防護(hù)解決方案607.4.用戶層解決方案607.4.1.配置全面的網(wǎng)絡(luò)防病毒系統(tǒng)607.5.業(yè)務(wù)層解決方案627.5.1.設(shè)備冗余及網(wǎng)絡(luò)存儲(chǔ)配置建議627.5.2.漏洞掃描及安全評(píng)估系統(tǒng)的配置637.5.3.應(yīng)用系統(tǒng)開(kāi)發(fā)中加強(qiáng)安全機(jī)制638.教育城域網(wǎng)管理中心設(shè)計(jì)638.1.集成化管理平臺(tái)638.1.1.系統(tǒng)安全管理658.1.2.資源管理678.1.3.拓?fù)涔芾?88.1.4.故障（告警/事件）管理718.1.5.告警深度關(guān)聯(lián)分析與統(tǒng)計(jì)728.1.6.性能管理758.1.7.設(shè)備管理組件788.2.校園網(wǎng)絡(luò)全局安全關(guān)聯(lián)分析管理799.IP地址及路由規(guī)劃849.1.IPv4地址規(guī)劃849.1.1.IPv6地址規(guī)劃859.1.2.IPv4路由規(guī)劃869.1.3.IPv6網(wǎng)絡(luò)規(guī)劃869.1.4.IPv6路由規(guī)劃8710.組播與QoS規(guī)劃9010.1.組播業(yè)務(wù)9010.2.QoS優(yōu)化9111.教育城域網(wǎng)服務(wù)方案（略）9212.教育城域網(wǎng)成功應(yīng)用案例9212.1.宣武區(qū)教育城域網(wǎng)9212.2.北京崇文區(qū)教育城域網(wǎng)9412.3.太原教育城域網(wǎng)9512.4.重慶教育城域網(wǎng)951. 教育城域網(wǎng)建設(shè)目標(biāo)1.1. 教育城域網(wǎng)建設(shè)背景以知識(shí)和信息的生產(chǎn)、傳播、應(yīng)用為基礎(chǔ)的知識(shí)經(jīng)濟(jì)占據(jù)著世界經(jīng)濟(jì)發(fā)展的主導(dǎo)地位，國(guó)家綜合國(guó)力和國(guó)際競(jìng)爭(zhēng)能力更是取決于教育、科學(xué)技術(shù)和知識(shí)創(chuàng)新的水平，教育在經(jīng)濟(jì)和社會(huì)發(fā)展進(jìn)程中起著越來(lái)越重要的作用。隨著現(xiàn)代信息技術(shù)的高速發(fā)展，信息化技術(shù)與教育相結(jié)合，正成為當(dāng)今中國(guó)教育改革和發(fā)展的關(guān)鍵組成部分，改變著傳統(tǒng)的教育模式。 “育人為本、改革創(chuàng)新、促進(jìn)公平、提高質(zhì)量”是十二五教育改革和發(fā)展的工作方針，教育城域網(wǎng)利用多媒體技術(shù)、網(wǎng)絡(luò)技術(shù)等手段，將本地區(qū)的教育機(jī)構(gòu)、研究機(jī)構(gòu)全部通過(guò)網(wǎng)絡(luò)互聯(lián)，使教育資源整合、開(kāi)放、共享，達(dá)到整體信息化的集成運(yùn)用的寬帶網(wǎng)絡(luò)，最終形成的一個(gè)區(qū)域性的互聯(lián)、互動(dòng)、信息交換、資源共享和遠(yuǎn)程教育的基礎(chǔ)架構(gòu)，為教育行業(yè)實(shí)現(xiàn)再次飛躍提供了新的思路和發(fā)展方向。1.2. 教育城域網(wǎng)業(yè)務(wù)分析結(jié)合當(dāng)前教育信息化現(xiàn)狀，確保教育城域網(wǎng)最大程度地服務(wù)于教育信息化改革和提高教學(xué)質(zhì)量，教育城域網(wǎng)必須滿足以下功能：實(shí)現(xiàn)IT資源的集中部署和分發(fā)傳統(tǒng)各個(gè)學(xué)校自行購(gòu)買服務(wù)器、存儲(chǔ)、軟件的方式構(gòu)建的IT系統(tǒng)，無(wú)法實(shí)現(xiàn)有效的整合。軟件系統(tǒng)本身之間完全割裂，形成孤島資源；而硬件系統(tǒng)的割裂則無(wú)法充分發(fā)揮硬件的利用率，往往造成資源的浪費(fèi)。城域網(wǎng)可成為資源的共享平臺(tái)。通過(guò)集中部署硬件系統(tǒng)和軟件系統(tǒng)，實(shí)現(xiàn)資源池化，通過(guò)城域網(wǎng)分發(fā)到各個(gè)學(xué)校，達(dá)到最大限度的資源利用。建成寬帶、先進(jìn)、專業(yè)的高度信息共享的教育城域網(wǎng)系統(tǒng)教育城域網(wǎng)絡(luò)建設(shè)項(xiàng)目的建設(shè)目標(biāo)是將各個(gè)教育機(jī)構(gòu)全部聯(lián)到網(wǎng)絡(luò)中，最終形成一個(gè)區(qū)域性的互聯(lián)、互動(dòng)、信息交換、資源共享和遠(yuǎn)程教育的基礎(chǔ)構(gòu)架。以教育信息網(wǎng)絡(luò)管理中心為中心的虛擬閉合網(wǎng)絡(luò)，實(shí)現(xiàn)了 “校校通”。教育信息網(wǎng)絡(luò)中心具有先進(jìn)的交換設(shè)備和海量的數(shù)據(jù)存貯能力，在實(shí)現(xiàn)軟件和應(yīng)用資源共享的同時(shí)，還能為各校提供硬件共享服務(wù)。通過(guò)城域網(wǎng)內(nèi)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，統(tǒng)一的網(wǎng)絡(luò)出入口，還能最大限度地限制各種不良網(wǎng)站的入侵。教育城域網(wǎng)絡(luò)系統(tǒng)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，統(tǒng)一的網(wǎng)絡(luò)出入口，實(shí)現(xiàn)軟件和應(yīng)用資源共享，還為各校提供硬件共享服務(wù)。實(shí)現(xiàn)高度共享的免費(fèi)教育教學(xué)多媒體資源Ø 通過(guò)教育城域網(wǎng)系統(tǒng)實(shí)時(shí)點(diǎn)播或高速下載，師生可以利用教育城域網(wǎng)絡(luò)系統(tǒng)的教育教學(xué)資源進(jìn)行輔助教學(xué)和輔助學(xué)習(xí)。Ø 教育教學(xué)資源內(nèi)容覆蓋中小學(xué)階段十幾個(gè)學(xué)科相關(guān)的知識(shí)點(diǎn)，當(dāng)中包括文本、圖形圖像、音頻、視頻、動(dòng)畫、課件、課案、課例等素材內(nèi)容。Ø 教育資源和網(wǎng)絡(luò)技術(shù)的應(yīng)用與推廣，將促進(jìn)信息技術(shù)與學(xué)科課程的整合，建立網(wǎng)絡(luò)環(huán)境下的龍崗中小學(xué)教育新模式。實(shí)現(xiàn)普教系統(tǒng)高效率的教育政務(wù)網(wǎng)Ø 日常行政辦公中心處理教育日常事務(wù)，如文件收發(fā)、公文審批、會(huì)議通知等工作。Ø 教育數(shù)據(jù)管理中心分為學(xué)校概況、教工管理、學(xué)生管理、校產(chǎn)管理、教育科研、綜合查詢等七大模塊，匯集了學(xué)校、教師、學(xué)生的基本數(shù)據(jù)信息。Ø 項(xiàng)目行政服務(wù)中心可以對(duì)學(xué)校、教師、學(xué)生等有關(guān)的行政辦公事務(wù)進(jìn)行自動(dòng)辦理或輔助辦理。實(shí)現(xiàn)信息化課程開(kāi)發(fā)Ø 小學(xué)及中學(xué)、師范學(xué)校、職業(yè)學(xué)校、成人中專的學(xué)生全面接受信息技術(shù)教育。信息技術(shù)課程做到三個(gè)統(tǒng)一：統(tǒng)一教材、統(tǒng)一教綱、統(tǒng)一考核。Ø 組織編寫并統(tǒng)一使用以計(jì)算機(jī)操作和信息處理為主線，突出互聯(lián)網(wǎng)應(yīng)用的中小學(xué)信息技術(shù)教材，并定為中小學(xué)信息技術(shù)教育實(shí)驗(yàn)教材。實(shí)現(xiàn)多媒體網(wǎng)絡(luò)遠(yuǎn)程教學(xué)通過(guò)教育城域網(wǎng)絡(luò)系統(tǒng)著眼于教學(xué)、科研、管理的實(shí)際需要，用有限的資金優(yōu)先解決工作急需的問(wèn)題。設(shè)備易于使用和維護(hù)。為科學(xué)研究提供先進(jìn)平臺(tái)，例如可視化計(jì)算，計(jì)算機(jī)協(xié)同作業(yè)，虛擬網(wǎng)絡(luò)，虛擬現(xiàn)實(shí)，計(jì)算機(jī)仿真，遠(yuǎn)程計(jì)算機(jī)與數(shù)據(jù)處理等。建設(shè)支持寬帶多媒體業(yè)務(wù)，例如遠(yuǎn)程教學(xué)、多媒體網(wǎng)絡(luò)教室、會(huì)議電視。1.3. 教育城域網(wǎng)建設(shè)內(nèi)容未來(lái)五年，xxx教育信息網(wǎng)建設(shè)工作的主要內(nèi)容是：1、引入云計(jì)算思想，將資源池化，搭建一個(gè)數(shù)據(jù)中心；2、采用先進(jìn)設(shè)備，搭建一個(gè)安全、穩(wěn)定、先進(jìn)、健康的教育城域網(wǎng)絡(luò)。3、采用先進(jìn)技術(shù)，形成一個(gè)既滿足教育需求，又極具特色的資源應(yīng)用平臺(tái)。4、采用科學(xué)管理，建立一支技術(shù)過(guò)硬，水平較高，具有建設(shè)性和穩(wěn)定性的系統(tǒng)管理維護(hù)隊(duì)伍。5、采用科學(xué)理念，將信息化深入到每個(gè)教育教學(xué)過(guò)程中，形成每位教師能用、會(huì)用信息技術(shù)手段，并不斷創(chuàng)新和融合教育信息資源的新局面。2. 教育城域網(wǎng)建設(shè)原則×××教育城域網(wǎng)連接了其下屬中小學(xué)內(nèi)包括教學(xué)樓、辦公樓、實(shí)驗(yàn)樓、圖書(shū)館等大量的信息點(diǎn)，學(xué)校管理、教育科研、電子教學(xué)、遠(yuǎn)程教育和互聯(lián)網(wǎng)的引入以及對(duì)外技術(shù)交流與合作服務(wù)等大量業(yè)務(wù)的開(kāi)展，要求網(wǎng)絡(luò)必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性、高安全性系統(tǒng)。為實(shí)現(xiàn)校園網(wǎng)絡(luò)高質(zhì)、高效互聯(lián)的目標(biāo)要求，在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下建網(wǎng)原則：高可靠性網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時(shí)應(yīng)便于診斷和排除，充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。獨(dú)立性教育網(wǎng)是基于各學(xué)校為網(wǎng)元構(gòu)建起來(lái)的面向教育系統(tǒng)的大型網(wǎng)絡(luò)，獨(dú)立性是教育網(wǎng)需要考慮的一個(gè)基本特性。獨(dú)立性在教育網(wǎng)中體現(xiàn)在兩個(gè)方面：一是整個(gè)教育網(wǎng)網(wǎng)絡(luò)對(duì)于外部網(wǎng)絡(luò)而言是一個(gè)物理上的獨(dú)立實(shí)體，單獨(dú)并唯一的實(shí)現(xiàn)對(duì)整個(gè)教育網(wǎng)的統(tǒng)一網(wǎng)絡(luò)管理；二是各學(xué)校做為教育網(wǎng)的基本網(wǎng)元在物理上也應(yīng)該具有一定的獨(dú)立性，這一方面是為了教育網(wǎng)網(wǎng)絡(luò)的穩(wěn)定而做的考慮，網(wǎng)絡(luò)各層次之間的依賴關(guān)系越低整個(gè)網(wǎng)絡(luò)的穩(wěn)定性也就越強(qiáng)；同時(shí)也為以后各學(xué)校結(jié)合自身特點(diǎn)開(kāi)展獨(dú)立的特色打好基礎(chǔ)。技術(shù)先進(jìn)性和實(shí)用性在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來(lái)，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來(lái)發(fā)展趨勢(shì)。高性能骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開(kāi)展的瓶頸。標(biāo)準(zhǔn)開(kāi)放性支持國(guó)際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開(kāi)放的協(xié)議標(biāo)準(zhǔn)，有利于保證與其它網(wǎng)絡(luò)(如中國(guó)教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、學(xué)校之間等其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來(lái)網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性根據(jù)未來(lái)業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整。可管理性對(duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。強(qiáng)QOS、強(qiáng)組播特性教育網(wǎng)因?yàn)閷?duì)視頻、音頻等多媒體業(yè)務(wù)的需求較大，所以整個(gè)網(wǎng)絡(luò)具有較完善的QOS特性對(duì)教育網(wǎng)而言就顯得尤為重要。能不能對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行帶寬優(yōu)先保證尤其是那些對(duì)時(shí)延敏感的業(yè)務(wù)進(jìn)行保證是教育網(wǎng)必須考慮的一個(gè)重點(diǎn)，為實(shí)現(xiàn)區(qū)別服務(wù)，整網(wǎng)端到端的QOS特性機(jī)制是優(yōu)質(zhì)網(wǎng)絡(luò)業(yè)務(wù)的保證。另外組播特性對(duì)于有效的保證多媒體流傳輸性能和節(jié)省帶寬也有非常重要的意義，基于組播的控制特性也會(huì)進(jìn)一步保證組播流的控制、管理和安全，從而為實(shí)現(xiàn)教育城域網(wǎng)的多業(yè)務(wù)支持提供保障。安全性制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。保證關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄漏，使數(shù)據(jù)具有極高的可信性。兼容性和經(jīng)濟(jì)性兼容性，能夠最大限度地保證學(xué)?，F(xiàn)有各種計(jì)算機(jī)軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級(jí)的手段（如現(xiàn)有的雙向教學(xué)系統(tǒng)），保證各種在用計(jì)算機(jī)系統(tǒng)（包括工作站、服務(wù)器和微機(jī)等設(shè)備）的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮主干網(wǎng)的優(yōu)勢(shì)。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級(jí)。3. H3C IToIP教育城域網(wǎng)整體解決方案H3C教育城域網(wǎng)IToIP整體解決方案是以IP通信平臺(tái)為基礎(chǔ)，實(shí)現(xiàn)環(huán)境(特別是重點(diǎn)、敏感區(qū)域的視頻監(jiān)控)、資源（網(wǎng)絡(luò)資源、存儲(chǔ)資源、計(jì)算資源）、到活動(dòng)（網(wǎng)絡(luò)的開(kāi)放架構(gòu)對(duì)定制業(yè)務(wù)的支持）的全部數(shù)字化，利用標(biāo)準(zhǔn)的ITOIP解決方案，以IP技術(shù)為標(biāo)準(zhǔn)技術(shù)，利用SOA開(kāi)放架構(gòu)實(shí)現(xiàn)對(duì)整體IT平臺(tái)的統(tǒng)一集成支撐。H3C教育城域網(wǎng)解決方案包括校園接入、區(qū)域信息中心、城域網(wǎng)出口、IP考場(chǎng)監(jiān)控、智能管理中心等多個(gè)子系統(tǒng)。相應(yīng)的，H3C教育城域網(wǎng)整體解決方案由五個(gè)平臺(tái)組成，包括基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、綜合安全平臺(tái)、多媒體通訊和監(jiān)控平臺(tái)、信息中心存儲(chǔ)平臺(tái)和智能網(wǎng)絡(luò)管理平臺(tái)。建立數(shù)據(jù)服務(wù)中心優(yōu)化整合現(xiàn)有數(shù)據(jù)信息資源Ø 解決教學(xué)、科研、辦公業(yè)務(wù)數(shù)據(jù)海量增長(zhǎng)，數(shù)據(jù)無(wú)法整合管理的問(wèn)題Ø 解決數(shù)據(jù)爆炸性增長(zhǎng)，成本要求不斷降低的問(wèn)題Ø 解決各種災(zāi)難對(duì)信息系統(tǒng)影響的問(wèn)題Ø 解決跨廣域的數(shù)據(jù)訪問(wèn)的問(wèn)題Ø 解決跨系統(tǒng)數(shù)據(jù)遷移和災(zāi)難備份困難的問(wèn)題Ø 解決借助廠家提供專業(yè)的存儲(chǔ)咨詢和服務(wù)的問(wèn)題建設(shè)安全可靠的網(wǎng)絡(luò)平臺(tái)Ø 具備網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化能力整體架構(gòu)具備更有效的容災(zāi)能力，以應(yīng)對(duì)故障節(jié)點(diǎn)、故障鏈路、路由震蕩所帶來(lái)對(duì)業(yè)務(wù)的影響；Ø 具備網(wǎng)絡(luò)業(yè)務(wù)拓展能力可平滑向下一代網(wǎng)絡(luò)遷移，向IPv6遷移兼容現(xiàn)有組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護(hù)投資；可以隨時(shí)隨地使用，可以基于移動(dòng)漫游環(huán)境，移動(dòng)漫游環(huán)境無(wú)需管理者手工干預(yù)Ø 具備安全滲透防御能力具備攻擊、非法業(yè)務(wù)的隔離、控制，具備在線主動(dòng)抵御的能力；核心網(wǎng)絡(luò)自身集成安全防御能力，縮小攻擊、病毒影響范圍；用戶接入網(wǎng)絡(luò)屏蔽用戶非法操作，隔離網(wǎng)絡(luò)攻擊實(shí)現(xiàn)整個(gè)教育城域網(wǎng)網(wǎng)絡(luò)的集中統(tǒng)一智能化管理教育城域網(wǎng)是建立在一系列IT資源的基礎(chǔ)上，諸如帶寬資源、教學(xué)辦公數(shù)據(jù)的資源、計(jì)算資源、網(wǎng)絡(luò)多媒體通信資源等，針對(duì)這些資源需要關(guān)聯(lián)化的管理，資源的整合，才能將利用IT系統(tǒng)服務(wù)校園信息化的價(jià)值最大化。4. 云計(jì)算數(shù)據(jù)中心建設(shè)方案4.1. 數(shù)據(jù)中心對(duì)于城域網(wǎng)的戰(zhàn)略意義城域網(wǎng)數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成IT應(yīng)用環(huán)境，它是各種IT業(yè)務(wù)和應(yīng)用服務(wù)的提供中心，是數(shù)據(jù)運(yùn)算/交換/存儲(chǔ)的中心，實(shí)現(xiàn)對(duì)用戶的數(shù)據(jù)、應(yīng)用程序、物理構(gòu)架的全面或部分進(jìn)行整合和集中管理。數(shù)據(jù)中心的建設(shè)中，存儲(chǔ)系統(tǒng)的建設(shè)和完善貫穿始終，這和當(dāng)前應(yīng)用系統(tǒng)建設(shè)的重點(diǎn)是相一致的。不論是各種數(shù)字資源，還是需要備份保存的業(yè)務(wù)數(shù)據(jù)，其中心內(nèi)容都是對(duì)于信息（數(shù)據(jù)）的管理和使用。4.2. 數(shù)據(jù)中心規(guī)劃的要點(diǎn)高可用網(wǎng)絡(luò)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的高可用直接影響到業(yè)務(wù)系統(tǒng)的可用性。網(wǎng)絡(luò)層的高可用至少包括高可靠、高安全和先進(jìn)性三個(gè)方面：u 高可靠：應(yīng)采用高可靠的產(chǎn)品和技術(shù)，充分考慮系統(tǒng)的應(yīng)變能力、容錯(cuò)能力和糾錯(cuò)能力，確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。當(dāng)今，關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時(shí)候都更為重要。u 高安全：網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)的安全性，涉及到XX業(yè)務(wù)的核心數(shù)據(jù)安全。應(yīng)按照端到端訪問(wèn)安全、網(wǎng)絡(luò)L2-L7層安全兩個(gè)維度對(duì)安全體系進(jìn)行設(shè)計(jì)規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)中。u 先進(jìn)性：數(shù)據(jù)中心將長(zhǎng)期支撐XX集團(tuán)的業(yè)務(wù)發(fā)展，而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支撐平臺(tái)，因此數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)需要考慮后續(xù)的機(jī)會(huì)成本，采用主流的、先進(jìn)的技術(shù)和產(chǎn)品（如數(shù)據(jù)中心級(jí)設(shè)備、CEE、FCoE、虛擬化支持等），保證基礎(chǔ)支撐平臺(tái)510年內(nèi)不會(huì)被淘汰，從而實(shí)現(xiàn)投資的保護(hù)。易擴(kuò)展XX集團(tuán)的業(yè)務(wù)目前已向多元化發(fā)展，未來(lái)的業(yè)務(wù)范圍會(huì)更多更廣，業(yè)務(wù)系統(tǒng)頻繁調(diào)整與擴(kuò)展再所難免，因此數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)必須能夠適應(yīng)業(yè)務(wù)系統(tǒng)的頻繁調(diào)整，同時(shí)在性能上應(yīng)至少能夠滿足未來(lái)510年的業(yè)務(wù)發(fā)展。對(duì)于網(wǎng)絡(luò)設(shè)備的選擇和協(xié)議的部署，應(yīng)遵循業(yè)界標(biāo)準(zhǔn)，保證良好的互通性和互操作性，支持業(yè)務(wù)的快速部署。易管理數(shù)據(jù)中心是IT技術(shù)最為密集的地方，數(shù)據(jù)中心的設(shè)備繁多，各種協(xié)議和應(yīng)用部署越來(lái)越復(fù)雜，對(duì)運(yùn)維人員的要求也越來(lái)越高，單獨(dú)依賴運(yùn)維人員個(gè)人的技術(shù)能力和業(yè)務(wù)能力是無(wú)法保證業(yè)務(wù)運(yùn)行的持續(xù)性的。因此數(shù)據(jù)中心需要提供完善的運(yùn)維管理平臺(tái)，對(duì)數(shù)據(jù)中心IT資源進(jìn)行全局掌控，減少日常的運(yùn)維的人為故障。同時(shí)一旦出現(xiàn)故障，能夠借助工具直觀、快速定位。4.3. 數(shù)據(jù)中心規(guī)劃部署4.3.1. 數(shù)據(jù)中心前端網(wǎng)絡(luò)的分層模塊化設(shè)計(jì)汲取園區(qū)網(wǎng)設(shè)計(jì)的理念，數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)也做層次化的設(shè)計(jì)，分成數(shù)據(jù)中心核心層、服務(wù)器匯聚層、服務(wù)器接入層。數(shù)據(jù)中心核心層：需要說(shuō)明的是，考慮到學(xué)校的實(shí)際情況，本次把數(shù)據(jù)中心核心層和園區(qū)網(wǎng)核心層合二為一，主要用來(lái)實(shí)現(xiàn)高速的數(shù)據(jù)交換。服務(wù)器匯聚層主要要求：匯聚服務(wù)器群接入交換機(jī)多槽位、線速多端口萬(wàn)兆交換機(jī)集成FW、IPS安全與服務(wù)器負(fù)載均衡應(yīng)用優(yōu)化業(yè)務(wù)模塊服務(wù)器接入層主要要求：通過(guò)高密GE Top of Rack或者高密GE End/Middle of Row 實(shí)現(xiàn)大規(guī)模的服務(wù)器接入。4.3.2. 數(shù)據(jù)中心后端網(wǎng)絡(luò)設(shè)計(jì)對(duì)于服務(wù)器數(shù)據(jù)的可靠性存儲(chǔ)，在數(shù)據(jù)中心的設(shè)計(jì)中，通過(guò)專門的存儲(chǔ)區(qū)域來(lái)實(shí)現(xiàn)，通過(guò)在服務(wù)器群后面配置存儲(chǔ)交換機(jī)，連接服務(wù)器和存儲(chǔ)設(shè)備，本次方案中考慮用萬(wàn)兆IP交換機(jī)實(shí)現(xiàn)服務(wù)器和萬(wàn)兆IP存儲(chǔ)的數(shù)據(jù)交換。通過(guò)數(shù)據(jù)中心前后端網(wǎng)絡(luò)平臺(tái)的搭建建設(shè)已一個(gè)全萬(wàn)兆線速數(shù)據(jù)轉(zhuǎn)發(fā)的數(shù)據(jù)中心交換系統(tǒng)。4.3.3. 數(shù)據(jù)中心按功能區(qū)的模塊化設(shè)計(jì)構(gòu)建一個(gè)開(kāi)放架構(gòu)數(shù)據(jù)中心時(shí)應(yīng)采用一種模塊化的設(shè)計(jì)方法，在數(shù)據(jù)中心中劃分不同的功能區(qū)域，用于部署不同的應(yīng)用，使得整個(gè)數(shù)據(jù)中心的架構(gòu)具備可伸縮性、靈活性、和高可用性。數(shù)據(jù)中心中的服務(wù)器將會(huì)根據(jù)服務(wù)器上應(yīng)用的用戶訪問(wèn)特性和應(yīng)用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個(gè)數(shù)據(jù)中心的很多服務(wù)是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免資源不必要的重復(fù)浪費(fèi)，一些功能相似的服務(wù)將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。采用模塊化的架構(gòu)設(shè)計(jì)方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，應(yīng)用不同的設(shè)計(jì)方法，可以根據(jù)不同區(qū)域和層次的功能需求進(jìn)行建設(shè)和操作。對(duì)于區(qū)域而言，我們可以從各個(gè)區(qū)域的功能來(lái)預(yù)知這個(gè)區(qū)域?qū)蓴U(kuò)展性等的要求，例如，部署業(yè)務(wù)應(yīng)用的區(qū)域可能會(huì)需要更高的可擴(kuò)展性和可用性，而Internet區(qū)將更注重安全性。4.3.4. 數(shù)據(jù)中心高可用性本次方案設(shè)計(jì)中對(duì)于如何滿足數(shù)據(jù)中心的高可用性，從四個(gè)層面進(jìn)行了設(shè)計(jì)，如上圖中的右邊的5個(gè)字符框中的內(nèi)容：1、等價(jià)路由冗余設(shè)計(jì)2、服務(wù)器匯聚交換機(jī)支持跨設(shè)備鏈路聚合虛擬化技術(shù)提高可靠性，避免再通過(guò)MSTP/VRRP技術(shù)滿足數(shù)據(jù)中心的可靠性要求。跨設(shè)備鏈路聚合虛擬化技術(shù)詳見(jiàn)第三章核心層設(shè)計(jì)說(shuō)明。3、接入交換機(jī)支持跨設(shè)備鏈路聚合虛擬化技術(shù)提高可靠性4、通過(guò)在服務(wù)器實(shí)施NIC Teaming提高服務(wù)器連接接入交換機(jī)的可靠性要求。4.3.5. 數(shù)據(jù)中心安全與應(yīng)用優(yōu)化本次在數(shù)據(jù)中心的設(shè)計(jì)中，為了降低數(shù)據(jù)中心建設(shè)和將來(lái)維護(hù)的成本采用了交換機(jī)集成安全措施的解決方案，這種方式可以：1、簡(jiǎn)化數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)2、簡(jiǎn)化數(shù)據(jù)中心機(jī)房布線3、提高數(shù)據(jù)中心空間利用率4、降低網(wǎng)絡(luò)設(shè)備電力消耗5、提高網(wǎng)絡(luò)的管理、維護(hù)效率并且這種集成化技術(shù)中，本次方案設(shè)計(jì)中的FW和IPS通過(guò)虛擬化技術(shù)，嚴(yán)格的對(duì)數(shù)據(jù)中心內(nèi)的不同業(yè)務(wù)系統(tǒng)，提供27層靈活的安全訪問(wèn)控制策略，滿足不同數(shù)據(jù)中心區(qū)域有不同的安全等級(jí)要求。當(dāng)前在數(shù)據(jù)中心的應(yīng)用中面臨著三大重要的問(wèn)題：需求一：某一業(yè)務(wù)訪問(wèn)量大，很容易造成網(wǎng)絡(luò)擁塞，需要應(yīng)用優(yōu)化需求二：某一業(yè)務(wù)訪問(wèn)延時(shí)長(zhǎng)，用戶不耐煩需求三：服務(wù)器資源利用不合理那么本次方案中，就是通過(guò)在服務(wù)器匯聚交換機(jī)部署流量負(fù)載均衡設(shè)備來(lái)解決上述問(wèn)題。LB負(fù)載均衡板卡實(shí)施服務(wù)器的業(yè)務(wù)負(fù)載均衡；通過(guò)TCP和連接管理方式實(shí)施應(yīng)用加速，提供業(yè)務(wù)的訪問(wèn)速度，提高用戶響應(yīng)度；通過(guò)內(nèi)容加密來(lái)對(duì)重要的業(yè)務(wù)內(nèi)容實(shí)施可靠性的安全訪問(wèn)；通過(guò)實(shí)施業(yè)務(wù)數(shù)據(jù)壓縮，可以極大的減輕服務(wù)器壓縮負(fù)擔(dān)?？傮w而言提供用戶的感受度。4.3.6. 數(shù)據(jù)中心的虛擬化數(shù)據(jù)中心虛擬化的目的是通過(guò)把資源（網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)）更有效的管理、更有效的利用，來(lái)提高擴(kuò)展降低成本。數(shù)據(jù)中心當(dāng)前面臨的一個(gè)重要問(wèn)題是能耗過(guò)大，數(shù)據(jù)的大集中帶來(lái)的不僅是管理水平的提升，同時(shí)也帶來(lái)了的高能耗。虛擬化技術(shù)實(shí)現(xiàn)了通過(guò)獨(dú)立于硬件平臺(tái)的邏輯實(shí)例來(lái)使用各種資源（網(wǎng)絡(luò)、計(jì)算、存儲(chǔ)）的方法，最大化的實(shí)現(xiàn)了對(duì)資源的利用與共享，成為降低數(shù)據(jù)中心能耗的最有效手段。4.3.7. 數(shù)據(jù)中心數(shù)據(jù)容災(zāi)的部署數(shù)據(jù)中心為園區(qū)的各種應(yīng)用提供了集約化的基礎(chǔ)設(shè)施，然而數(shù)據(jù)的集中也對(duì)發(fā)生災(zāi)難時(shí)的數(shù)據(jù)安全提出了更高要求，將雞蛋放在了一個(gè)籃子里就要把籃子做的無(wú)比堅(jiān)固。數(shù)據(jù)容災(zāi)的基礎(chǔ)是備份，是指為防止系統(tǒng)出現(xiàn)操作失誤或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失，而將全部或部分?jǐn)?shù)據(jù)集合從應(yīng)用主機(jī)的硬盤或陣列復(fù)制到其它的存儲(chǔ)介質(zhì)的過(guò)程。容災(zāi)的方式有四種：數(shù)據(jù)庫(kù)級(jí)容災(zāi)、卷管理級(jí)容災(zāi)、網(wǎng)絡(luò)級(jí)容災(zāi)、存儲(chǔ)設(shè)備級(jí)容災(zāi)，各種方式的差異如下圖：比較項(xiàng)數(shù)據(jù)庫(kù)級(jí)容災(zāi)卷管理級(jí)容災(zāi)網(wǎng)絡(luò)級(jí)容災(zāi)存儲(chǔ)設(shè)備容災(zāi)理想距離<1000km<100km（同步）<1000km（異步）無(wú)要求<100km（同步）<1000km（異步）鏈路要求已有FC/普通IP網(wǎng)絡(luò)專用鏈路已有FC/普通IP網(wǎng)絡(luò)專用鏈路對(duì)軟件的要求專用軟件專用軟件無(wú)無(wú)對(duì)應(yīng)用系統(tǒng)性能的影響很大很大無(wú)無(wú)是否需要專用存儲(chǔ)系統(tǒng)否否否是實(shí)施簡(jiǎn)單性復(fù)雜復(fù)雜簡(jiǎn)單復(fù)雜維護(hù)簡(jiǎn)單性復(fù)雜復(fù)雜簡(jiǎn)單復(fù)雜成本軟件成本較高軟件成本較高低硬件成本、部署成本較高容災(zāi)方式對(duì)比XXX城域網(wǎng)建立備份或容災(zāi)中心，可以分期規(guī)劃，逐步部署。數(shù)據(jù)中心容災(zāi)的建設(shè)最終目標(biāo)是“兩地三中心”，即本地主中心、本地備份中心和異地災(zāi)備中心，拓?fù)涫疽馊缦拢簜浞葜行暮蜑?zāi)備中心可以根據(jù)允許丟失的數(shù)據(jù)量、允許的恢復(fù)時(shí)間級(jí)別進(jìn)行容災(zāi)方案的選擇，主要技術(shù)有三種：（1）遠(yuǎn)程數(shù)據(jù)備份業(yè)務(wù)（Remote Data Backup）：該模式主要針對(duì)那些對(duì)數(shù)據(jù)業(yè)務(wù)恢復(fù)的RPO和RTO要求不高的小型客戶，一般只要求對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行災(zāi)備，對(duì)業(yè)務(wù)連續(xù)性沒(méi)有太多要求。（2）高級(jí)數(shù)據(jù)備份和恢復(fù)業(yè)務(wù)（Advanced Data Backup and Recovery）：該模式主要針對(duì)那些即對(duì)關(guān)鍵數(shù)據(jù)有災(zāi)備要求，且對(duì)業(yè)務(wù)連續(xù)性有一定要求的中小型客戶。（3）持續(xù)性數(shù)據(jù)保護(hù)業(yè)務(wù)（Continued Data Protected）：該模式主要針對(duì)對(duì)業(yè)務(wù)連續(xù)性要求較高的大中型客戶。XXX學(xué)院網(wǎng)絡(luò)是一個(gè)可運(yùn)營(yíng)的網(wǎng)絡(luò)，除了提供網(wǎng)絡(luò)運(yùn)營(yíng)服務(wù)以外，今后建立備份中心或?yàn)?zāi)備中心后，還可以利用統(tǒng)一建立的災(zāi)備網(wǎng)絡(luò)和存儲(chǔ)資源，為各院系或其他單位提供共享容災(zāi)運(yùn)營(yíng)服務(wù)，從而為沒(méi)有能力建設(shè)災(zāi)備中心而又需要保護(hù)某些關(guān)鍵數(shù)據(jù)和業(yè)務(wù)的用戶提供災(zāi)備服務(wù)，并針對(duì)不同的用戶提供不同的服務(wù)級(jí)別。5. 基礎(chǔ)網(wǎng)絡(luò)平臺(tái)建設(shè)方案5.1. 組網(wǎng)概述根據(jù)×××教育城域網(wǎng)的建設(shè)要求，教育城域網(wǎng)將分為骨干層、匯聚層、校園網(wǎng)三級(jí)，整個(gè)教育城域網(wǎng)具有可運(yùn)營(yíng)、可管理的開(kāi)放式結(jié)構(gòu)。在骨干層（市級(jí)），考慮到教育骨干網(wǎng)的高穩(wěn)定性、高安全的特性，建議采用H3C RPR的組網(wǎng)方案，網(wǎng)絡(luò)的核心層由34個(gè)骨干節(jié)點(diǎn)構(gòu)成環(huán)網(wǎng)，選用H3C公司SR8800系列骨干路由器，4個(gè)骨干節(jié)點(diǎn)之間相連構(gòu)成環(huán)網(wǎng)，從而進(jìn)一步確保網(wǎng)絡(luò)的可靠性以及安全性，SR8800路由器具有強(qiáng)大的性能以及穩(wěn)定性完全可以勝任骨干節(jié)點(diǎn)的勝任。在匯聚層（區(qū)級(jí)），采用大容量多業(yè)務(wù)路由交換機(jī)S7500E作為各區(qū)域本地教學(xué)單位、機(jī)構(gòu)流量的上行匯聚，且將區(qū)教育局，以及幾所重點(diǎn)學(xué)校之間通過(guò)RRPP技術(shù)進(jìn)行環(huán)網(wǎng)互聯(lián)，其他學(xué)校就近接入城域網(wǎng)，實(shí)現(xiàn)低成本的環(huán)網(wǎng)建設(shè)，提升可靠性的同時(shí)節(jié)省光纖資源。在校園網(wǎng)，×××教育城域網(wǎng)的建設(shè)是由多個(gè)校園網(wǎng)單個(gè)獨(dú)體構(gòu)成，校園網(wǎng)作為各個(gè)接入點(diǎn)，采用就近的方式接入?yún)R聚交換機(jī)，再由匯聚交換機(jī)統(tǒng)一匯總至骨干節(jié)點(diǎn)，針對(duì)各個(gè)接入點(diǎn)的數(shù)量不同以及數(shù)據(jù)量不一致等情況，可以靈活選擇不同數(shù)量的接入點(diǎn)匯聚至核心。5.2. 組建高可靠環(huán)網(wǎng)5.2.1. RPR技術(shù)介紹以太網(wǎng)技術(shù)以其成本低、簡(jiǎn)潔、易擴(kuò)展、適合于IP 包的傳輸和處理等特點(diǎn)，廣泛應(yīng)用于局域網(wǎng)，但是如果直接將以太網(wǎng)應(yīng)用于城域網(wǎng)或廣域網(wǎng)中，仍然存在問(wèn)題，它在網(wǎng)絡(luò)規(guī)模、端到端業(yè)務(wù)建立、QOS質(zhì)量保證、可管理性、可靠性等方面還存在不少需要克服的難題。能否在原有SONET/SDH的基礎(chǔ)上加入對(duì)數(shù)據(jù)業(yè)務(wù)層的處理，如具有高帶寬分發(fā)能力和粒度擴(kuò)展能力，以及廣泛應(yīng)用于局域網(wǎng)的以太網(wǎng)的二層處理、ATM的統(tǒng)計(jì)復(fù)用和QOS等功能，使其更適合數(shù)據(jù)業(yè)務(wù)的傳送，取長(zhǎng)補(bǔ)短，以一種新型技術(shù)，來(lái)組建以數(shù)據(jù)為中心的網(wǎng)絡(luò)，為各行業(yè)提供高彈性、高可靠性、帶寬可管理、高性價(jià)比、多業(yè)務(wù)傳輸?shù)慕鉀Q方案？于是出現(xiàn)了一種新的標(biāo)準(zhǔn)化技術(shù)，即IP環(huán)網(wǎng)RPR技術(shù)。RPR國(guó)際標(biāo)準(zhǔn)由于看到目前SONET/SDH的高市場(chǎng)占有率以及城域網(wǎng)傳輸?shù)木薮鬂摿?，許多公司將以太網(wǎng)技術(shù)和SONET/SDH技術(shù)結(jié)合，各自競(jìng)相推出了自己的IP環(huán)網(wǎng)技術(shù)，以期在激烈的市場(chǎng)競(jìng)爭(zhēng)中占得先機(jī)。如Cisco的DPT、Nortel的IPT、以及Luminous的RPT等等，但是由于實(shí)現(xiàn)的機(jī)制不同，產(chǎn)品互通等方面存在問(wèn)題。IP環(huán)網(wǎng)要繼續(xù)發(fā)展和推廣，急需標(biāo)準(zhǔn)化并進(jìn)行統(tǒng)一，彈性分組環(huán)即RPR就是IP環(huán)網(wǎng)標(biāo)準(zhǔn)化的結(jié)果。RPR的標(biāo)準(zhǔn)由IEEE802.17小組負(fù)責(zé)進(jìn)行標(biāo)準(zhǔn)化，主要完成MAC層協(xié)議、傳輸通道和公平管理、拓?fù)浒l(fā)現(xiàn)、保護(hù)倒換、不同物理層的適配、以及與802系列標(biāo)準(zhǔn)的適應(yīng)性、管理等標(biāo)準(zhǔn)的制定工作。IEEE 802.17 工作組和RPR 聯(lián)盟致力于將以太技術(shù)、SONET/SDH兩者的優(yōu)點(diǎn)合而為一，研究并規(guī)范化一種環(huán)網(wǎng)拓?fù)渖鲜褂玫腗AC 層協(xié)議RPR，滿足面向數(shù)據(jù)優(yōu)化網(wǎng)絡(luò)的需求。同時(shí)IETF也有一個(gè)工作組叫做IP over RPR （IPoRPR），對(duì)基于RPR組網(wǎng)的業(yè)務(wù)應(yīng)用提出標(biāo)準(zhǔn)化建議，負(fù)責(zé)IP和MPLS在RPR上的運(yùn)行，以及RPR的MIB信息方面的工作，涉及到網(wǎng)絡(luò)層和傳輸層。另外，由國(guó)際電信聯(lián)盟ITU和ANSI組織負(fù)責(zé)RPR下一些物理層方面的標(biāo)準(zhǔn)的制定。RPR主要技術(shù)特點(diǎn)RPR（Resilient Packet Ring）彈性分組數(shù)據(jù)環(huán)技術(shù)集IP的智能化、以太網(wǎng)的經(jīng)濟(jì)性和SONET/SDH光纖環(huán)網(wǎng)的高可靠性于一體，為寬帶IP城域網(wǎng)運(yùn)營(yíng)商和各行業(yè)專網(wǎng)提供了一個(gè)良好的組網(wǎng)方案，在提供SONET/SDH級(jí)網(wǎng)絡(luò)生存性的同時(shí)降低了傳送費(fèi)用。RPR和SONET/SDH和以太網(wǎng)的比較如表1所示：RPR和SONET/SDH和以太網(wǎng)的比較RPR是工作在OSI協(xié)議棧第二層MAC子層的協(xié)議，但是其有別于傳統(tǒng)MAC最吸引人的特點(diǎn)是具有電信級(jí)的可靠性，使其不僅僅只是局限于處理面向數(shù)據(jù)的業(yè)務(wù)傳送需求，同時(shí)可以形成處理多業(yè)務(wù)傳送的綜合傳輸解決方案，可以實(shí)現(xiàn)在光纖介質(zhì)上通過(guò)不同的物理層直接承載IP和TDM業(yè)務(wù)。RPR的設(shè)計(jì)宗旨就是網(wǎng)絡(luò)要適合IP數(shù)據(jù)業(yè)務(wù)，具有高可靠性，并且可運(yùn)營(yíng)可管理，從而可為城域網(wǎng)提供低成本、高性能的解決方案。RPR環(huán)網(wǎng)是由逆向雙環(huán)組成，一個(gè)為順時(shí)針?lè)较?，一個(gè)為逆時(shí)針?lè)较?，雙環(huán)都可以同時(shí)傳輸數(shù)據(jù)和控制信息，其中內(nèi)環(huán)的控制信息控制外環(huán)的數(shù)據(jù)，外環(huán)的控制信息控制內(nèi)環(huán)上的數(shù)據(jù)。在RPR定義的MAC層的結(jié)構(gòu)中，MAC層向下通過(guò)適配子層同物理層相連，向上提供對(duì)業(yè)務(wù)層的支持。RPR主要包括MAC層和MAC控制層。其中MAC層主要處理數(shù)據(jù)的傳輸處理、報(bào)文頭處理以及報(bào)文錯(cuò)誤校驗(yàn)。MAC控制層實(shí)現(xiàn)RPR的公平控制、保護(hù)倒換、環(huán)路選擇、拓?fù)浒l(fā)現(xiàn)、OAM管理等方面的工作。另外還有MAC管理層，主要處理MAC層的MIB信息，完成MAC的操作和性能管理等等。可以看出，RPR 技術(shù)吸收了千兆以太網(wǎng)的經(jīng)濟(jì)性，吸收了SONET/SDH 對(duì)延遲和抖動(dòng)嚴(yán)格保障、50ms快速保護(hù)倒換特性。RPR 采用類似以太網(wǎng)的幀格式，基于MAC進(jìn)行高速交換，簡(jiǎn)化IP 前傳。RPR定義了一個(gè)閉合環(huán)路、點(diǎn)到點(diǎn)、基于MAC層的邏輯環(huán)狀拓?fù)洌瑢?duì)于物理層來(lái)說(shuō)，RPR 就是一組點(diǎn)到點(diǎn)的鏈路，而對(duì)于數(shù)據(jù)鏈路層來(lái)說(shuō)，RPR 就像是一個(gè)類似于以太網(wǎng)的廣播介質(zhì)網(wǎng)絡(luò)。RPR 內(nèi)外環(huán)上可同時(shí)傳輸數(shù)據(jù)包和控制信息，以及基于目的地剝離的特性可有效地提高帶寬資源的利用率，保護(hù)機(jī)制繼承了SONET/SDH的特點(diǎn)，同時(shí)也克服了冗余資源預(yù)留的弱點(diǎn)。多種速率和多物理層支持，使得很容易擴(kuò)展。RPR簡(jiǎn)化了IP網(wǎng)絡(luò)結(jié)構(gòu)和層次，提高了效率，也使得IP統(tǒng)一網(wǎng)絡(luò)業(yè)務(wù)平臺(tái)成為可能。1）多物理層的支持由于RPR是鏈路層MAC層的協(xié)議，與物理層介質(zhì)無(wú)關(guān)，因此可支持多種物理層，目前定義的物理層包括SONET/SDH和以太網(wǎng)，其中SONET/SDH支持POS封裝和ITU新定義的GFP封裝，以太網(wǎng)支持GE和10GE接口，RPR通過(guò)適配子層同物理層相連。2）帶寬的高利用率帶寬利用率高是RPR的重要特點(diǎn)，主要由以下幾個(gè)方面： 雙環(huán)同時(shí)傳送數(shù)據(jù)和控制信息，與SONET/SDH上不一樣，不存在光纖空閑備份的情況，光纖利用率高。 基于帶寬共享和統(tǒng)計(jì)復(fù)用，RPR報(bào)文也是分插復(fù)用ADM的結(jié)構(gòu)，具有空間重用的特點(diǎn)，環(huán)網(wǎng)節(jié)點(diǎn)之間數(shù)據(jù)傳輸互不影響，同時(shí)支持不同節(jié)點(diǎn)間獨(dú)立的并發(fā)傳輸和相同節(jié)點(diǎn)重疊的并發(fā)傳輸，使得環(huán)網(wǎng)的資源可以分段使用，使整個(gè)環(huán)網(wǎng)的累積帶寬大于單個(gè)鏈路的帶寬容量，也大大提高了帶寬的利用率。 單播報(bào)文采用目的剝離的方式，報(bào)文一旦到達(dá)目的地，就不再在環(huán)上繼續(xù)傳送，提高了環(huán)網(wǎng)的利用率。 環(huán)網(wǎng)節(jié)點(diǎn)數(shù)據(jù)處理一般包括轉(zhuǎn)發(fā)、發(fā)送和接受，環(huán)網(wǎng)上大量的轉(zhuǎn)發(fā)數(shù)據(jù)處理是在MAC層完成，不需要到IP層進(jìn)行處理，而且數(shù)據(jù)轉(zhuǎn)發(fā)可使用存儲(chǔ)轉(zhuǎn)發(fā)store-and-forward和直通cut-through方式，其中直通的方式處理速度快，性能高。3）快速的保護(hù)倒換RPR的設(shè)計(jì)目標(biāo)是提供50ms的電信級(jí)的保護(hù)，RPR提供兩種不同的倒換方式，即源路由（Steering）和回繞（Wrapping）方式，其中源路由方式必須支持，回繞方式可選支持。兩種倒換方式的示意圖：RPR的保護(hù)倒換回繞方式的倒換：這種倒換方式比較簡(jiǎn)單，當(dāng)環(huán)路上的某個(gè)地方發(fā)生故障時(shí)，在發(fā)生故障附近的節(jié)點(diǎn)處自動(dòng)環(huán)回，即把內(nèi)環(huán)和外環(huán)連在一起，通過(guò)協(xié)議在相鄰失效節(jié)點(diǎn)之間進(jìn)行?；乩@方式的特點(diǎn)是倒換速度快，基本沒(méi)有數(shù)據(jù)丟失，但是缺點(diǎn)就是浪費(fèi)環(huán)網(wǎng)的帶寬，使得數(shù)據(jù)流走很多彎路。源路由方式的倒換：當(dāng)環(huán)路上的某個(gè)地方發(fā)生故障時(shí)，數(shù)據(jù)流不需要從發(fā)生故障的的地方環(huán)回，該故障點(diǎn)和類型的信息會(huì)發(fā)送到每個(gè)節(jié)點(diǎn)，拓?fù)湟蚕鄳?yīng)更改，源節(jié)點(diǎn)只需要直接按新的拓?fù)溥M(jìn)行路徑選擇，并根據(jù)新的路由發(fā)送數(shù)據(jù)給目的節(jié)點(diǎn)，已經(jīng)發(fā)出的小部分?jǐn)?shù)據(jù)將在故障點(diǎn)被丟棄。源路由方式的特點(diǎn)是帶寬利用率高，但是倒換的速度慢，在計(jì)算路由時(shí)會(huì)造成數(shù)據(jù)的丟失。H3C根據(jù)兩種倒換方式的特點(diǎn)，提出一種新的倒換方式，綜合了二者的優(yōu)點(diǎn)，倒換時(shí)先使用回繞的方式，盡量保證數(shù)據(jù)不丟失，同時(shí)進(jìn)行拓?fù)湫畔⒌膫鬟f和更新，計(jì)算出新的路由，并切換到源路由的方式，以充分利用帶寬，使系統(tǒng)達(dá)到最優(yōu)的性能。需要說(shuō)明的是，所有的保護(hù)倒換都是基于雙向出錯(cuò)的，包括單光纖故障、雙光纖故障、節(jié)點(diǎn)故障、斷開(kāi)節(jié)點(diǎn)以增加新節(jié)點(diǎn)等，對(duì)于環(huán)網(wǎng)來(lái)說(shuō)，都會(huì)認(rèn)為環(huán)網(wǎng)出錯(cuò)并在出錯(cuò)處的節(jié)點(diǎn)進(jìn)行倒換。另外，同一個(gè)環(huán)網(wǎng)內(nèi)的節(jié)點(diǎn)應(yīng)該采用相同的倒換方式。4）帶寬管理的公平性帶寬公平管理是RPR環(huán)網(wǎng)的一個(gè)特點(diǎn)，由于RPR環(huán)網(wǎng)的帶寬資源在節(jié)點(diǎn)之間是共享的，不允許單個(gè)節(jié)點(diǎn)獨(dú)占總的帶寬，以免造成系統(tǒng)的阻塞，因此它提供一種環(huán)網(wǎng)級(jí)別的全局公平算法，以保證各節(jié)點(diǎn)公平享用帶寬，同時(shí)又能夠最大限度提高帶寬的利用率。如圖所示：公平算法RPR-fa是通過(guò)在環(huán)網(wǎng)節(jié)點(diǎn)設(shè)置權(quán)重，并監(jiān)測(cè)自身帶寬資源的使用情況，同時(shí)在節(jié)點(diǎn)間提供顯式的反饋機(jī)制，該反饋信息通告發(fā)送源網(wǎng)絡(luò)當(dāng)前的可用能力，以使之調(diào)整流量，最終實(shí)現(xiàn)全網(wǎng)的公平。當(dāng)一個(gè)節(jié)點(diǎn)有擁塞發(fā)生，它將通過(guò)與傳送數(shù)據(jù)相反方向的節(jié)點(diǎn)發(fā)送擁塞公告，告知一個(gè)公告速率，上游節(jié)點(diǎn)利用這個(gè)公告速率來(lái)調(diào)整自己允許上環(huán)的速率，以使得不超過(guò)擁塞節(jié)點(diǎn)公告速率，如果該節(jié)點(diǎn)也發(fā)生了擁塞，就同樣計(jì)算其公告速率發(fā)送到其上游節(jié)點(diǎn)。公平算法是全局的，在公平算法中，節(jié)點(diǎn)首先要確定擁塞門限，并根據(jù)擁塞的情況，確定向上反饋的公告速率以及確定本節(jié)點(diǎn)允許向環(huán)上發(fā)送的速率。在RPR環(huán)網(wǎng)的結(jié)構(gòu)中，數(shù)據(jù)分為發(fā)送數(shù)據(jù)和轉(zhuǎn)發(fā)數(shù)據(jù)，大量的轉(zhuǎn)發(fā)數(shù)據(jù)不需要經(jīng)過(guò)節(jié)點(diǎn)的處理，直接在環(huán)上傳遞，節(jié)點(diǎn)的發(fā)送數(shù)據(jù)根據(jù)提供的不同的隊(duì)列和優(yōu)先級(jí)加入到環(huán)網(wǎng)上，通過(guò)帶寬管理和反饋機(jī)制來(lái)保證網(wǎng)絡(luò)無(wú)阻塞以及帶寬的公平使用。在RPR網(wǎng)絡(luò)中，具有很好的QOS保證，這是通過(guò)帶寬預(yù)留、優(yōu)先級(jí)隊(duì)列機(jī)制和公平算法等來(lái)實(shí)現(xiàn)的。正是由于RPR有帶寬預(yù)留和公平機(jī)制，RPR可為用戶提供多種SLA服務(wù)，為服務(wù)商提供靈活的業(yè)務(wù)。服務(wù)商可根據(jù)用戶付費(fèi)的情況，確定時(shí)提供保證速率業(yè)務(wù)還是突發(fā)業(yè)務(wù)，對(duì)于保證速率的業(yè)務(wù)，也可以根據(jù)付費(fèi)的多少，提供不同的帶寬。這些都可以由服務(wù)商方便地控制和管理，真正實(shí)現(xiàn)可運(yùn)營(yíng)可管理。5）組播的有效支持RPR支持組播是其優(yōu)于SONET/SDH的又一大優(yōu)點(diǎn)，環(huán)網(wǎng)提供對(duì)組播和廣播報(bào)文的支持，相應(yīng)的數(shù)據(jù)包在環(huán)網(wǎng)上只有一份拷貝。組播和廣播是基于源剝離的，即目的節(jié)點(diǎn)將接收數(shù)據(jù)包并轉(zhuǎn)發(fā)，而源節(jié)點(diǎn)則負(fù)責(zé)將組播包和廣播包從環(huán)網(wǎng)上剝離。由于RPR環(huán)網(wǎng)的報(bào)文結(jié)構(gòu)與以太網(wǎng)很相似，僅增加環(huán)網(wǎng)頭和部分其他的字段，利用現(xiàn)有的MAC地址編碼技術(shù)就可以有效地表示組播和廣播報(bào)文，同時(shí)也使得相關(guān)的協(xié)議不需要大的改動(dòng)，具有很好的延續(xù)性。6）自動(dòng)拓?fù)浒l(fā)現(xiàn)支持即插即用在環(huán)網(wǎng)RPR的MAC控制中，提供自動(dòng)拓?fù)浒l(fā)現(xiàn)的功能，拓?fù)浒l(fā)現(xiàn)是通過(guò)拓?fù)浣Y(jié)構(gòu)發(fā)現(xiàn)報(bào)文在環(huán)上傳送一周來(lái)完成，每經(jīng)過(guò)一個(gè)節(jié)點(diǎn)該節(jié)點(diǎn)會(huì)附加本節(jié)點(diǎn)的MAC地址，最終每個(gè)節(jié)點(diǎn)就獲得了整個(gè)環(huán)網(wǎng)的拓?fù)浣Y(jié)構(gòu)信息。網(wǎng)絡(luò)拓?fù)湫畔⒖捎糜诎l(fā)送路由和內(nèi)外環(huán)的選擇，自動(dòng)拓?fù)浒l(fā)現(xiàn)除定時(shí)進(jìn)行外，當(dāng)檢測(cè)到光纖故障、插入新節(jié)點(diǎn)、接收到保護(hù)倒換信息時(shí)也會(huì)進(jìn)行，另外，為了網(wǎng)絡(luò)的可靠性和穩(wěn)定性，只有接收到兩個(gè)完全一致的新的拓?fù)浔頃r(shí)，才進(jìn)行拓?fù)涞母?，以防止短暫的拓?fù)渥兓挠绊?。自?dòng)拓?fù)浒l(fā)現(xiàn)的一個(gè)主要的特點(diǎn)就是RPR環(huán)網(wǎng)能夠?qū)崿F(xiàn)即插即用。在傳統(tǒng)的傳輸中，如果增加一個(gè)新節(jié)點(diǎn)，需要對(duì)該節(jié)點(diǎn)以及與其有業(yè)務(wù)關(guān)系的節(jié)點(diǎn)進(jìn)行復(fù)雜的配置，存在N平方的問(wèn)題，也使得增加新業(yè)務(wù)不靈活，開(kāi)通時(shí)間慢。而在RPR網(wǎng)絡(luò)中，由于有自動(dòng)拓?fù)浒l(fā)現(xiàn)功能，增加新節(jié)點(diǎn)無(wú)需復(fù)雜的配置，大部分工作由系統(tǒng)自動(dòng)完成，這樣，使得網(wǎng)絡(luò)初期規(guī)劃簡(jiǎn)單，增加新業(yè)務(wù)簡(jiǎn)單快捷。7）TDM業(yè)務(wù)的支持RPR提供多業(yè)務(wù)的支持，可提供較強(qiáng)的數(shù)據(jù)業(yè)務(wù)處理能力，而對(duì)TDM 業(yè)務(wù)的處理能力相對(duì)較弱，可以在語(yǔ)音業(yè)務(wù)不大時(shí)得以應(yīng)用。由于RPR具有很好的QOS保證，可利用保留的帶寬進(jìn)行主從節(jié)點(diǎn)的同步傳輸，實(shí)現(xiàn)時(shí)間的精確同步，另外將TDM語(yǔ)音業(yè)務(wù)直接封裝在RPR報(bào)文中，使用高優(yōu)先級(jí)傳輸，以提供低延時(shí)抖動(dòng)的保障。8）OAM管理的支持RPR環(huán)網(wǎng)提供OAM管理特性，主要用于錯(cuò)誤管理、性能管理和配置管理。錯(cuò)誤管理實(shí)現(xiàn)遠(yuǎn)程錯(cuò)誤指示RDI、連續(xù)性檢測(cè)CC、環(huán)回檢測(cè)LB、啟動(dòng)/關(guān)閉連續(xù)性檢測(cè)A/D等功能。通過(guò)連續(xù)性檢測(cè)和遠(yuǎn)端錯(cuò)誤指示可以進(jìn)行環(huán)網(wǎng)上錯(cuò)誤節(jié)點(diǎn)的探測(cè)，通過(guò)環(huán)回檢測(cè)，可以進(jìn)行環(huán)網(wǎng)錯(cuò)誤節(jié)點(diǎn)的定位和測(cè)試。在性能管理方面，可提供系統(tǒng)性能和服務(wù)質(zhì)量等方面信息的監(jiān)控和統(tǒng)計(jì)。5.2.2. RPR技術(shù)在教育城域網(wǎng)中的應(yīng)用RPR技術(shù)是眾多環(huán)網(wǎng)技術(shù)中的一種，而且是比較優(yōu)秀的一種，在具備充分保護(hù)倒換功能的情況下，不需要冗余帶寬備份，提供高可靠性、高帶寬、高利用率。RPR技術(shù)是一種物理層無(wú)關(guān)協(xié)議，可支持Ethernet、 DWDM 、 SDH/SONET等物理介質(zhì)，從物理介質(zhì)來(lái)看，RPR技術(shù)完全可以應(yīng)用于園區(qū)網(wǎng)/校園網(wǎng)、城域網(wǎng)、IDC甚至是廣域網(wǎng)。RPR網(wǎng)絡(luò)可通過(guò)裸光纖直接相連，簡(jiǎn)化網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省用戶對(duì)傳輸網(wǎng)絡(luò)的投資；網(wǎng)絡(luò)具有高的可靠性，可提供50ms電信級(jí)的快速保護(hù)倒換；同時(shí)RPR環(huán)網(wǎng)可提供高的速率，以及很高的帶寬利用率，滿足城域網(wǎng)骨干的需要。如下圖所示：RPR在城域網(wǎng)骨干的應(yīng)用RPR已經(jīng)成為教育城域網(wǎng)的主流組網(wǎng)方案之一，包括西安教育城域網(wǎng)、貴陽(yáng)市教育城域網(wǎng)、昆明教育城域網(wǎng)、銀川教育城域網(wǎng)、西寧教育城域網(wǎng)、烏魯木齊教育城域網(wǎng)、北京西城區(qū)教育城域網(wǎng)，均采取RPR環(huán)網(wǎng)組網(wǎng)。5.2.3. 組網(wǎng)方案對(duì)比分析RPR環(huán)千兆環(huán)/萬(wàn)兆環(huán)數(shù)據(jù)轉(zhuǎn)發(fā)非本節(jié)點(diǎn)接受數(shù)據(jù)直接由硬件二層快速轉(zhuǎn)發(fā)本節(jié)點(diǎn)和非本節(jié)點(diǎn)接受數(shù)據(jù)均做三層轉(zhuǎn)發(fā)保護(hù)倒換基于IPS技術(shù)，50ms保護(hù)倒換路由收斂，重新選擇最佳路由，保護(hù)倒換時(shí)間幾十秒級(jí)別帶寬5G1GE/10GE二層Qos能力除鏈路間的Qos保證外，具有二層的雙隊(duì)列的保證，保證實(shí)施業(yè)務(wù)的抖動(dòng)和時(shí)延只有鏈路間的Qos能力公平算法環(huán)上各個(gè)節(jié)點(diǎn)流量通過(guò)公平算法共享所有鏈路沒(méi)有公平算法，可能出現(xiàn)某些鏈路被獨(dú)占的情況全連接、擴(kuò)展能力即插即用，拓?fù)渥詣?dòng)發(fā)現(xiàn)，具備良好的擴(kuò)展能力；環(huán)上所有節(jié)點(diǎn)全連接，增加節(jié)點(diǎn)后，新增節(jié)點(diǎn)和其他所有節(jié)點(diǎn)全連接。鏈路的可靠性大大增加。如果某設(shè)備失效，RPR節(jié)點(diǎn)可以進(jìn)入pass_through狀態(tài)，仍然可以保證整個(gè)環(huán)路的連接每臺(tái)設(shè)備只和相鄰設(shè)備連接，可靠性差不；不具備即插即用的能力二層多播能力二層支持多播，多播的處理在二層芯片完成，不占用接口和交換芯片處理能力需要占用接口和交換芯片處理能力業(yè)務(wù)能力很好地適應(yīng)數(shù)據(jù)業(yè)務(wù)、語(yǔ)音業(yè)務(wù)、視頻業(yè)務(wù)主要適應(yīng)數(shù)據(jù)業(yè)務(wù)6. 城域網(wǎng)綜合安全建設(shè)方案6.1. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析一般說(shuō)來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)存在著以下的安全風(fēng)險(xiǎn)及需要采取的安全對(duì)策：風(fēng)險(xiǎn)安全對(duì)策用戶風(fēng)險(xiǎn)身份假冒身份認(rèn)證身份竊取身份認(rèn)證非授權(quán)訪問(wèn)訪問(wèn)授權(quán)管理重放攻擊鑒別、記錄、預(yù)警否認(rèn)審計(jì)、記錄深度入侵預(yù)警、阻斷數(shù)據(jù)風(fēng)險(xiǎn)竊取實(shí)體安全、加密篡改完整性檢驗(yàn)毀壞災(zāi)難恢復(fù)有害數(shù)據(jù)侵入(包括病毒等)所造成的破壞檢測(cè)、過(guò)濾、分析、捕獲應(yīng)用和服務(wù)風(fēng)險(xiǎn)非授權(quán)訪問(wèn)訪問(wèn)授權(quán)身份假冒身份認(rèn)證密鑰管理漏洞CA、KDC、PKI數(shù)據(jù)庫(kù)自身的漏洞檢測(cè)、打補(bǔ)丁、升級(jí)操作系統(tǒng)自身的漏洞漏洞檢測(cè)、打補(bǔ)丁、升級(jí)服務(wù)的脆弱性及漏洞檢測(cè)、打補(bǔ)丁、更新應(yīng)用系統(tǒng)自身的缺陷更新完善服務(wù)器風(fēng)險(xiǎn)入侵探測(cè)實(shí)時(shí)監(jiān)測(cè)、預(yù)警、回火非授權(quán)訪問(wèn)訪問(wèn)控制策略漏洞策略管理、檢查系統(tǒng)配置缺陷系統(tǒng)版本檢測(cè)、更新系統(tǒng)平臺(tái)評(píng)測(cè)、選擇實(shí)體安全缺陷防輻射、防橇、防雷擊服務(wù)器所存在的陷門和隱通道尚無(wú)相應(yīng)的解決技術(shù)及產(chǎn)品網(wǎng)絡(luò)風(fēng)險(xiǎn) 入侵探測(cè)檢測(cè)、預(yù)警、回火設(shè)備攻擊實(shí)時(shí)監(jiān)測(cè)、管理、維護(hù)通道保密強(qiáng)度采用高強(qiáng)度加密產(chǎn)品網(wǎng)絡(luò)設(shè)備配置缺陷定期檢測(cè)、加強(qiáng)配置管理、日志、審計(jì)網(wǎng)絡(luò)設(shè)備物理安全缺陷更新網(wǎng)絡(luò)設(shè)備存在的陷門和隱通道尚無(wú)相應(yīng)的解決技術(shù)及產(chǎn)品網(wǎng)絡(luò)設(shè)備實(shí)體的安全防盜、防輻射、防雷擊Xxx教育城域網(wǎng)在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下，可能存在的主要安全風(fēng)險(xiǎn)：1) 網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)自身安全風(fēng)險(xiǎn)：u 網(wǎng)絡(luò)設(shè)備安全有效配置、管理和維護(hù)的風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?，是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證；u 網(wǎng)絡(luò)設(shè)備提供安全特性合理有效的利用風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備由于處于網(wǎng)絡(luò)系統(tǒng)中基礎(chǔ)設(shè)施的特性，網(wǎng)絡(luò)設(shè)備選擇是必須考慮能夠提供足夠的網(wǎng)絡(luò)安全防范特性，以實(shí)現(xiàn)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層就能提供一定的安全特性；2) 網(wǎng)絡(luò)結(jié)構(gòu)及線路冗余的風(fēng)險(xiǎn)：u 隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的增加，整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加，提供的網(wǎng)絡(luò)數(shù)據(jù)的流動(dòng)模式會(huì)更靈活，整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加；3) 網(wǎng)絡(luò)層有效的訪問(wèn)控制的風(fēng)險(xiǎn)：u 網(wǎng)絡(luò)結(jié)構(gòu)越來(lái)越復(fù)雜，接入網(wǎng)絡(luò)的用戶也越來(lái)越多，必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的控制措施，有效控制不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此來(lái)控制網(wǎng)絡(luò)元素間的互訪能力，避免網(wǎng)絡(luò)濫用，同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效的隔離，把安全風(fēng)險(xiǎn)隔離在相對(duì)比較獨(dú)立以及比較小的網(wǎng)絡(luò)區(qū)域。u 為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用的有效管理，必須加強(qiáng)對(duì)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)應(yīng)用能力控制，首先，需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行控制，嚴(yán)格控制只有經(jīng)過(guò)認(rèn)證的用戶才能接入網(wǎng)絡(luò)；同時(shí)，需要更細(xì)粒度的訪問(wèn)控制，尤其是對(duì)Internet資源的訪問(wèn)控制，應(yīng)該能夠控制內(nèi)部用戶訪問(wèn)Internet的什么網(wǎng)站，實(shí)現(xiàn)一定程度的用戶應(yīng)用行為的管理。4) 網(wǎng)絡(luò)攻擊行為檢測(cè)和防范的風(fēng)險(xiǎn)：u 由于TCP/IP協(xié)議的開(kāi)放特性，帶來(lái)了非常大的安全風(fēng)險(xiǎn)，常見(jiàn)的IP地址竊取、IP地址假冒，網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)攻擊（DOS、DDOS）等，必須能夠提供對(duì)這些攻擊行為有效的檢測(cè)和防范能力的措施；u 由于操作系統(tǒng)平臺(tái)、網(wǎng)絡(luò)應(yīng)用平臺(tái)以及應(yīng)用系統(tǒng)本身存在的很多安全漏洞，必須能夠有效的檢測(cè)到基于這些漏洞的病毒、木馬、蠕蟲(chóng)和其他各種應(yīng)用層攻擊，同時(shí)能夠組合已有的網(wǎng)絡(luò)設(shè)備和安全設(shè)備，針對(duì)這些攻擊行為，提供有效的防范能力；5) 網(wǎng)絡(luò)數(shù)據(jù)傳輸中存在的安全風(fēng)險(xiǎn)：網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^(guò)程中，很可能被通過(guò)各種方式竊取，因此在提供我們上面描述的網(wǎng)絡(luò)數(shù)據(jù)傳輸能力的前提下，必須能夠保證數(shù)據(jù)在傳輸?shù)倪^(guò)程中機(jī)密性（保證數(shù)據(jù)傳遞的信息不被第三方獲得）和完整性（保證數(shù)據(jù)在傳遞過(guò)程中不被人修改），尤其是在網(wǎng)絡(luò)傳遞的信息價(jià)值不斷提高情況下。6）應(yīng)用層威脅2000年以前，當(dāng)我們談及網(wǎng)絡(luò)安全的時(shí)候，還主要指防火墻，因?yàn)槟菚r(shí)候的安全還主要以網(wǎng)絡(luò)層的訪問(wèn)控制為主。的確，防火墻就像一個(gè)防盜門，給了我們基本的安全防護(hù)。但是，就像今天最好的防盜門也不能阻止“禽流感”病毒傳播一樣，防火墻也不能阻擋今天的網(wǎng)絡(luò)威脅的傳播。今天的網(wǎng)絡(luò)安全現(xiàn)狀和2000年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個(gè)“應(yīng)用層威脅”泛濫的時(shí)代。今天，各種蠕蟲(chóng)、間諜軟件、網(wǎng)絡(luò)釣魚(yú)等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊企業(yè)核心服務(wù)器和應(yīng)用，給企業(yè)帶來(lái)了重大損失；攻擊終端用戶計(jì)算機(jī)，給用戶帶來(lái)信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、QQ等即時(shí)通信軟件的普及，企業(yè)寶貴帶寬資源被業(yè)務(wù)無(wú)關(guān)流量浪費(fèi)，形成巨大的資源損失。面對(duì)這些問(wèn)題，傳統(tǒng)解決方案最大的問(wèn)題是，防火墻工作在TCP/IP 34層上，根本就“看”不到這些威脅的存在，而IDS作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此我們需要一個(gè)全新的安全解決方案。6.2. 統(tǒng)一安全設(shè)計(jì)原則在規(guī)劃XXX教育城域網(wǎng)網(wǎng)絡(luò)安全系統(tǒng)時(shí)，我們將遵循以下原則，以這些原則為基礎(chǔ)，提供完善的體系化的整體網(wǎng)絡(luò)安全解決方案：l 體系化設(shè)計(jì)原則通過(guò)分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、安全需求要素以及動(dòng)態(tài)的實(shí)施過(guò)程，提出科學(xué)的安全體系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn)，針對(duì)這些風(fēng)險(xiǎn)以動(dòng)態(tài)實(shí)施過(guò)程為基礎(chǔ)，提出整體網(wǎng)絡(luò)安全解決方案，從而最大限度地解決可能存在的安全問(wèn)題。l 全局性、均衡性原則安全解決方案的設(shè)計(jì)從全局出發(fā)，綜合考慮信息資產(chǎn)的價(jià)值、所面臨的安全風(fēng)險(xiǎn)，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價(jià)值的大小和面臨風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。l 可行性、可靠性原則在采用全面的網(wǎng)絡(luò)安全措施之后，應(yīng)該不會(huì)對(duì)原有的網(wǎng)絡(luò)，以及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響，實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，有效的提高網(wǎng)絡(luò)及應(yīng)用的安全強(qiáng)度，保證整個(gè)信息資產(chǎn)的安全。l 可動(dòng)態(tài)演進(jìn)的原則方案制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實(shí)現(xiàn)統(tǒng)一安全策略的制定，并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò)，向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn)，形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)網(wǎng)絡(luò)安全系統(tǒng)。6.3. 網(wǎng)絡(luò)層安全解決方案6.3.1. 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點(diǎn)冗余、網(wǎng)絡(luò)設(shè)備自身組件的冗余，通過(guò)這些冗余能力，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)全面的可靠性保證。網(wǎng)絡(luò)線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來(lái)代替星形、樹(shù)形的連接結(jié)構(gòu)，在網(wǎng)絡(luò)改造建議方案中，我們?cè)O(shè)計(jì)了足夠的線路冗余能力。網(wǎng)絡(luò)設(shè)備多節(jié)點(diǎn)冗余主要是指在網(wǎng)絡(luò)中同一個(gè)設(shè)備節(jié)點(diǎn)部署雙機(jī)設(shè)備，通過(guò)雙機(jī)進(jìn)行實(shí)現(xiàn)相互備份和負(fù)載均衡，在網(wǎng)絡(luò)改造建議方案中，我們?cè)陉P(guān)鍵的節(jié)點(diǎn)都進(jìn)行了雙機(jī)配置。網(wǎng)絡(luò)設(shè)備可以采取的冗余配置措施主要包括冗余電源配置、冗余模塊配置、冗余引擎配置等，基于H3C網(wǎng)絡(luò)設(shè)備豐富的冗余特性，可以有效的實(shí)現(xiàn)這些冗余配置模式。其次，采取高安全性的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)與安全的融合是未來(lái)網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，隨著網(wǎng)絡(luò)設(shè)備特性的不斷更新，H3C系列網(wǎng)絡(luò)設(shè)備自身具備的安全能力也在不斷加強(qiáng)。H3C系列網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)，都統(tǒng)一采用H3C自主研發(fā)的Comware軟件平臺(tái)。6.3.2. 骨干網(wǎng)關(guān)鍵設(shè)備SR8800強(qiáng)大的安全特性地址掃描攻擊防護(hù)能力地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的IP報(bào)文。當(dāng)攻擊者掃描網(wǎng)絡(luò)設(shè)備的直連網(wǎng)段時(shí)，網(wǎng)絡(luò)設(shè)備會(huì)給該網(wǎng)段下的每個(gè)地址發(fā)送ARP報(bào)文，地址不存在的話，還需要發(fā)送目的主機(jī)不可達(dá)報(bào)文。如果直連網(wǎng)段較大，攻擊流量足夠大時(shí)，會(huì)消耗網(wǎng)絡(luò)設(shè)備較多的CPU和內(nèi)存資源，可能引起網(wǎng)絡(luò)中斷。SR8800實(shí)現(xiàn)了地址掃描攻擊的防護(hù)能力。當(dāng)SR8800交換機(jī)收到目的IP是直連網(wǎng)段的報(bào)文時(shí)，如果該目的地址的路由不存在，會(huì)發(fā)送一個(gè)ARP請(qǐng)求報(bào)文，并針對(duì)目的地址下一條丟棄表項(xiàng)，以防止后續(xù)報(bào)文持續(xù)沖擊CPU。如果有ARP應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)。否則，經(jīng)過(guò)一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。SR8800還提供了相應(yīng)的配置命令，用于控制地址掃描攻擊防護(hù)功能是否啟用。DoS/DDoS攻擊防護(hù)能力DoS攻擊，即拒絕服務(wù)攻擊（DoS，Denial of Service），是指向設(shè)備發(fā)送大量的連接請(qǐng)求，占用設(shè)備本身的資源，嚴(yán)重的情況會(huì)造成設(shè)備癱機(jī)，一般情況下也會(huì)使設(shè)備的功能無(wú)法正常運(yùn)行。因?yàn)橹饕轻槍?duì)服務(wù)器的，目的是使服務(wù)器拒絕合法用戶的請(qǐng)求，所以叫拒絕服務(wù)攻擊。隨著攻擊技術(shù)的發(fā)展，Dos攻擊也出現(xiàn)了升級(jí)，攻擊者控制多臺(tái)主機(jī)同時(shí)發(fā)起DoS攻擊，也就是所謂的分布式拒絕服務(wù)攻擊（DDoS，Distributed Denial of Service）攻擊，它的規(guī)模更大，破壞性更強(qiáng)。SR8800能夠抵御IP Spoofing、Land、Smurf等常見(jiàn)DoS攻擊，確保某種協(xié)議遭受攻擊時(shí)不會(huì)影響到其他協(xié)議的正常運(yùn)行和業(yè)務(wù)的正常轉(zhuǎn)發(fā)。同時(shí)，當(dāng)攻擊源對(duì)下掛在網(wǎng)絡(luò)設(shè)備的服務(wù)器進(jìn)行DoS攻擊時(shí)，可以利用SR8800的ACL功能，下發(fā)特定的ACL規(guī)則對(duì)攻擊報(bào)文進(jìn)行過(guò)濾，保障下掛的主機(jī)和服務(wù)器正常運(yùn)行。廣播/組播報(bào)文速率限制網(wǎng)絡(luò)中存在大量的廣播或者組播報(bào)文，會(huì)占用寶貴的網(wǎng)絡(luò)帶寬，從而嚴(yán)重影響網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)性能。而且當(dāng)網(wǎng)絡(luò)中某臺(tái)設(shè)備存在環(huán)路時(shí)，廣播和組播報(bào)文會(huì)在網(wǎng)絡(luò)中泛濫，導(dǎo)致整網(wǎng)的癱瘓。SR8800具有強(qiáng)大的廣播和組播報(bào)文過(guò)濾功能?？梢园凑战^對(duì)數(shù)值限制端口允許通過(guò)的廣播和組播報(bào)文速率，也可以按照端口速率的百分比來(lái)限制端口允許通過(guò)的廣播和組播報(bào)文速率。同時(shí)，還可以通過(guò)ACL規(guī)