说明：

　　1.方案采用锐捷网络提供的网络设备进行设计，充分遵循：

　　先进性：采用先进成熟的概念、技术和方法，能支撑各种现在与未来一段时期的主流网络应用，又具有发展潜力，包括基础方案、扩展方案和管理方案。

　　可行性：所设计的方案能够充分考虑网络教育的特点和应用对象的技术、资源、管理等方面的约束，并能很好地结合锐捷网络产品特点进行方案的设计。

　　灵活性：按照模块化、层次化的原则设计网络，网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。

　　实用性：网络易维护、易管理，可实施性好。

　　可靠性：能利用产品自身特色，保证网络系统运行稳定可靠、高效。充分显示先进性等；

　　2.该设计方案并非实际已建设的实际案例。

　　一、总体目标

　　根据阳泉市的地域环境和城域网建设的理论，阳泉市教育城域网采用宽带城域网技术，以大集中式的结构建设。设立教育信息网络中心，建立统一的、高水平的信息平台和不断丰富的中小学信息资源库，集中应用，统一管理。租用山西通信公司阳泉市分公司光缆环网，实现千兆到县区，百兆到学校，绑定两个千兆线路到教育信息网络中心的网络结构。第一期150所学校分批建成高标准校园网，以光纤方式接入教育城域网。逐步实现校校通、班班（室室）通、（教工宿舍）户户通的建设目标。教育网络资源面向本地上网用户开放，使中小学师生都能共享本地和远程网上教育资源，提高中小学校教育教学质量。

　　二、阳泉市教育城域网建设功能分析

　　阳泉教育城域网是全市教育系统的集行政管理、教育信息发布、教育教学资源共享、在线备课、在线教学、在线考试、远程教育中心、电子图书馆、课堂直播互动学习、视频会议、视频广播教学、视频点播等功能于一体的教育教学应用解决方案。其中视频功能在教育城域网中占很大的比重，这是与其他网络的重要区别。

　　因此，从教育教学需求出发，教育城域网应该是以教育信息网络中心为控制部门的高速、可控、相对开放、服务完善、资源丰富、交互特征明显的网络体系。在目前技术条件下，应用千兆以太网/快速以太网技术建设教育城域网是切实可行，而且性价比较高的解决方案。

　　三、阳泉市教育城域网解决方案

　　根据阳泉市教育城域网整体布局要求，建议选择能为教育用户贴身定制个性化网络产品及全网解决方案的锐捷网络（原实达网络）产品。阳泉教育城域网网络拓扑图如下：

　　1、网络结构

　　阳泉市教育城域网网络结构可分为骨干层、汇聚层和接入层等三层。

　　骨干层 是教育城域网的运行中枢，为全网提供了快速交换和网络管理支持，以IDC形式对全网提供服务和出口管理，是各类数据、媒体流汇聚的地方。核心路由交换机需要具备高可靠性、高性能、高端口密度、高安全性、可管理性等要求，并具有网络可扩容升级能力和多种业务支持能力。在完成高速交换的基础上，能够提供稳定可靠的网络基础服务功能并能够支持下层的基础功能、分布服务以及QOS保证。

　　汇聚层 是保证与骨干层和接入层有效连接、提供分布服务、设置网络路由的重要层次。根据实际情况，阳泉市教育城域网以各县区教育局网络中心和各学校校园网网络中心作为汇聚层。为了不影响市教育信息网络中心的核心交换机的性能，所有接入学校网络中心采用智能三层交换机，以处理学校内行政、办公、教学、学生上网、后勤等多个子网和VLAN之间的路由转发和访问控制。各县区教育局网络中心采用高性能三层交换机，通过路由设置，负责本县区各学校之间的路由转发和访问控制。这些汇接点路由由市网络中心根据全网要求统一设置。

　　接入层 是接入教育城域网汇聚层的教育教学最终用户的集合。教师和学生通过接入层进入教育网络，利用网络学习和工作。本方案中，采用可网管百兆以太网交换机或可堆叠百兆以太网交换机作为网络的接入层交换机。

　　2、教育信息网络中心

　　阳泉教育信息网络中心按功能划分为两个虚拟网：SERVER VLAN和CLIENT VLAN。各种内网应用服务器及数据库服务器统一组成SERVER VLAN，通过计费网关接在防火墙的内网端口上；面向外网的服务器（WEB、MAIL、FTP服务器等）放置在防火墙的DMZ区内；网络中心其他客户机单独设置CLIENT VLAN。

　　教育信息网络中心需要同时承载全市百余所学校几千名师生的浏览、查询、调用和下载等访问请求，除部分互联网访问流量以外，大部分都是访问教育资源中心的10余台功能服务器，即时并发流量非常巨大。因此，内网服务器群采用与核心路由交换机直接使用千兆光纤链路连接的拓扑结构。

　　核心交换机选用锐捷网络STAR-S6808全模块化骨干路由交换机。STAR-S6808的每个端口都能全线速地转发路由和交换数据包，同时STAR-S6808 的无中断保护ICS能够在主用管理模块失效时保持已建立的信息流并可在几秒钟内建立新的信息流，提供高可靠性的关键特性。通过配置冗余的电源模块和管理引擎，提供数据并行处理和业务流无缝切换的功能。

　　STAR-S6808基于第四层的负载均衡功能为数据中心提供了强大的流量管理工具。灵活的第四层的负载均衡功能可以将服务器群划分成虚拟的服务组，然后将收到的服务请求分配到这些服务组。STAR-S6808通过PING来监测服务器组内每台机器的健康状态，一台服务器失效只会影响几个服务请求。会话保持功能允许管理员控制负载均衡机制使同一会话的服务请求保持在同一服务器上而不再多台服务器上作负载均衡。数据中心的数据存贮业务可以通过SLA保证带宽、延迟，保证数据从用户场地到存贮服务器的传输从而得到加强。

　　采用实达-龙马卫士WLM Firewall 2.0 B型防火墙。从根本上提高了网络的安全性。而且它能提供两个100兆和1000兆端口，从而使本方案中DMZ区于核心交换机实现了1000兆连接，使得外网访问WEB、MAIL、远程教育平台的速率大大提高。

　　采用StarView网络管理系统、S-Radius宽带认证计费管理系统和STAR-LS日志服务器，使设备管理、用户管理、计费管理以及日志记录分析集中在同一个平台，组成功能强大、实用性强、方便易用的“SAM系统”。轻松实现可运营管理和维护。


　　3、大型学校网络建设

　　大型学校校园网的中心交换机采用STAR-S4909千兆骨干路由交换机，以1000M或100M光纤接入电信的光纤城域环网。校园网内部组成千兆骨干，百兆到桌面的网络结构，下连的接入设备则采可用锐捷网络堆叠交换机STAR－S2024M/2024或智能网管型交换机STAR-S1926F+，提供学校信息点的接入。

　　4、中小型学校网络建设

　　中小型学校校园网的中心交换机采用STAR-S3550-24或STAR-S3550-48千兆智能多层交换机，以100M光纤接入电信的光纤城域环网。下连的接入设备则采用锐捷网络智能网管型交换机STAR-S1926F+，提供学校信息点的接入。对于学生计算机教室，可以用STAR-S1824+非网管交换机提供接入。

　　从成本上考虑，对小型学生计算机教室，可以用STAR-S1824+非网管交换机提供接入。大型学生计算机教室可用S1926G+（或S1926F+）做主交换机，与STAR-S1824+组成星型拓扑结构。可有效抑制网络风暴、实现IGMP属性设置、VLAN划分和进行端口带宽分配等。

　　四、阳泉市教育城域网方案设计特点

　　1、稳定性可靠性设计

　　（1）设备可靠
　　锐捷网络RG-S6800核心交换机提供管理引擎冗余和电源模块冗余，4909汇聚层交换机提供电源冗余功能。通过锐捷网络自动保护系统RAPS、虚拟路由器冗余协议VRRP、虚拟状态冗余协议VSRP、冗余模块等，实现全冗余、失效切换，有效保障网络核心不间断工作。

　　（2）网络可靠
　　所有端口上都支持802.1Q的VLAN， MAC地址以及生成树协议802.1D、802.1w、RRSTP、PVST、MVST。802.1W（快速生成树协议）可以提供高速的链路冗余备份功能，保证快速收敛，提高容错能力，保证网络的稳定运行。

　　2、高性能设计

　　（1）真正端到端的QOS功能
　　锐捷网络各款交换机都支持丰富的QOS功能，能确保重要业务量不受延迟或丢弃，同时又充分利用现有的带宽以保证网络的高效运行。

　　（2）先进的CrossBar交换架构
　　锐捷网络RG-6800、STAR-4909、STAR-2800系列交换机均采用先进的CROSSBAR硬件架构，可以提供真正的无阻塞交换背板。

　　（3）超背板带宽和高速路由转发能力
　　锐捷网络RG-S6800、STAR-4909、STAR-2800系列模块化中心交换机均采用超大背板设计和强大的路由功能，满足所有插槽满配置情况下，所有线卡仍能保持线速传输和高速无阻塞的二/三层包转发速率。

　　3、系统可扩展性设计

　　为有效地保护投资方未来扩展能力，本方案提供设备交换容量的扩展能力、端口密度的扩展能力、主干带宽扩展能力以及网络规模的扩展能力。网络体系、路由协议的规划和设备的CPU路由处理能力，能够满足网络超过10000个节点规模的要求。

　　4、网络管理设计

　　各节点统一采用SNMP网络管理协议。采用锐捷网络StarView网络管理软件对网络进行监控管理。能够实现网络拓朴察看、网络设备管理 、网络性能监控、网络故障预警等功能。网络管理员可以重构网络结构，使网络达到最佳效果。

　　5、QOS设计

　　本方案种由于信息资源均集中于市教育信息网络中心，为保证全网的QOS，要求核心交换设备、骨干交换设备和边缘交换设备支持第三层的QOS标注方案。

　　锐捷网络的全线设备均支持基于第三层的QOS标注DSCP（区分化服务编码点）。支持IP TOS、SP、WRR等完整的QOS策略和基于数据流和面向应用的QOS功能。

　　另外，先进的RSVP（资源预留协议）允许通信双方在建立传输信息之前可按不同应用预留足够的带宽，从而有效地减少传输迟滞和时延抖动，这对于用有限的带宽传送视频和音频以及其它实时多媒体信息非常重要。

　　6、网络安全设计

　　构建全程全网的访问控制体系是网络安全防范和保护的主要策略。它是保证网络资源不被非法使用和访问的网络安全最重要的核心策略之一。

　　(1)接入安全
　　锐捷网络STAR-S1926、STAR-S2024、STAR-S2100系列接入交换机均支持802.1X用户入网认证，满足用户名、IP、MAC、VLAN ID、交换机IP、交换机端口的6元素绑定技术。可以实现非法站点访问过滤、非法言论的准确追踪、恶意攻击的实时处理、记录访问日志提供完整审计等安全功能。

　　(2)访问安全
　　锐捷网络全线交换机均支持802.1Q VLAN，可使用VLAN划分隔离用户访问。并且锐捷网络三层交换机和STAR-S2100系列二层智能型交换机均支持完整ACL，可以基于MAC、IP、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒（如冲击波）的传播和危害。

　　(3)路由访问策略控制
　　使用VLAN（虚网）和第三层交换技术将使网络管理人员能够在同一个基础物理网络上实现学生网络和教工网络的逻辑分隔。

　　(4)防火墙
　　锐捷网络龙马卫士防火墙提供将强大的信息分析功能、高效包过滤功能、多种反电子欺骗手段、多种安全措施综合运用功能。同时提供网络地址转换（NAT）、透明的代理服务（Transparent Proxy）、信息过滤（Filter）、双机热备份、流量控制和分析、用户身份认证等功能。
　　并可自行构造屏蔽子网，实现网络分隔，将网络划分为外部网络、内部网络、开放区（DMZ）以及控制区四个部分，可以有效地进行访问控制。

　　(5)使用RADIUS建立认证计费系统
　　通过锐捷网络宽带认证计费系统可以实现多种计费策略。锐捷网络S-Radius宽带认证计费管理系统包括以下主要组成部分：
　　Radius Server：完成用户认证、授权和计费信息采集功能。
　　Radius管理系统：对Radius Server进行配置，管理NAS和在线用户。
　　用户管理系统：提供用户管理、缴费、计费策略定制、统计、审计等功能。
　　帐单系统：可按时批量出帐单。
　　用户服务系统：提供用户修改密码，查询上网记录和帐单的服务。

　　（6）日志服务器
　　STAR-LS Ⅰ型 日志服务器能对网络用户上网行为进行记录与分析、审计核心关键信息的访问等。实现对数据的采集、分流，并把记录的数据暂时保存在系统中。通过对进出网络的通信数据的分析，实现对访问网络资源行为的记录和分析，保障网络和关键机密信息的安全。

　　7、完善的音视频支持

　　（1）支持多层视频组播
　　传递语音、视频等多媒体信号将是教育城域网应用主要功能之一。本方案中核心设备支持DVRMP、PIM、IGMP组播协议，汇聚层设备支持IGMP Snooping，计算机机房交换机支持在组播环境中使用和流量控制、过滤广播风暴功能，因此能很好的节省网络带宽和支持VOD等业务，从而保证语音、视频等多媒体教学的应用。

　　（2）使用语音网关提供内部VOIP功能
　　锐捷网络语音网关基于成熟的H.323信令技术开发，可以实现通过教育城域网传输语音，在全市的中小学和教育机构内实现教育系统内部IP电话，从而充分提高线路的利用率。

　　五、结语

　　阳泉市教育城域网是由阳泉教育信息网络中心与各区县学校局域网共同组成的覆盖整个阳泉市的大型集中式计算机网络系统。在总体设计中，坚持整体规划，科学设计的指导思想，以硬件是基础，资源是核心，应用是目的为宗旨。通过采用先进的网络技术和高质量的网络硬件平台，保证应用系统在该网络平台上安全可靠、高效率的运行。