说明：

　　1.方案采用锐捷网络提供的网络设备进行设计，充分遵循：

　　先进性：采用先进成熟的概念、技术和方法，能支撑各种现在与未来一段时期的主流网络应用，又具有发展潜力，包括基础方案、扩展方案和管理方案。

　　可行性：所设计的方案能够充分考虑网络教育的特点和应用对象的技术、资源、管理等方面的约束，并能很好地结合锐捷网络产品特点进行方案的设计。

　　灵活性：按照模块化、层次化的原则设计网络，网络具有较好的伸缩性、可以根据网络建设的不同阶段灵活配置和扩展，具有能不断吸收新技术、新方法的功能。

　　实用性：网络易维护、易管理，可实施性好。

　　可靠性：能利用产品自身特色，保证网络系统运行稳定可靠、高效。充分显示先进性等；

　　2.该设计方案并非实际已建设的实际案例。

　　随着教育信息化基础设施规划与建设的推进，教育信息化应用全面深化，尤其是教育城域网的建设也进一步向公众网扩展，其中远程教育、视频点播等已成为极富发展潜力的城域网业务。其中，作为北京市教育城域网建设重点项目之一，采用锐捷网络（原实达网络）提供的网络设备及整体解决方案建设的网络，其规划、设计、建设就具有很好的示范意义。

　　一、项目建设背景：

　　自2001年宣武区实施“校校通”工程以来，已经建成43所校园网，校园网的建成对于提高教师、学生的探究性学习、自主性学习给予了环境和条件的保证。随着应用需求的不断提高，校园网作为“信息孤岛”的情况也越来越明显，具体表现为教育教学所需资源的匮乏，各校之间不能实现信息、资源的共同共享，各校重复购买教育资源，造成资金的浪费等等问题。基于以上的考虑，宣武区教委提出构建“宣武区教育城域网”的规划。

　　二、具体项目实施：

　　“宣武区教委教育城域网”是一个包容在地区主干光纤网和校园网在内的层次结构的网络。建设内容包括：
　　建设教育信息网络中心；
　　连接学校校园网的主干光纤网；
　　保证网络高效可靠地运行、功能齐备的网络管理系统；
　　提供较丰富的网络应用资源和便利的资源访问手段；
　　系统服务平台和主要应用系统。
　　完善现有应用系统；远程教学系统、多媒体课件点播、实时视频远程教学和基于网络的师资培训和教学平台；

　　三、宣武区教育城域网设计特点：

　　现代的教育网络建设要实现内部全方位的数据共享，应用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现教育管理、多媒体教学，而且还要通过Internet实现远程教学，提供可增值可管理的业务，必须具备高性能、高安全性、高可靠性，可管理、可增值特性以及开放性、兼容性、可扩展性。

　　基于对教育网络业务需求的深入理解，结合自身产品和技术特点，宣武区教育城域网结合锐捷网络的产品特性推出了了完善的解决方案。

　　根据对宣武区教育城域网网络设计原则和区光纤网络建设的情况分析，提出了以下的组网方案。

　　网络的建设要适合教育应用需求，不摊大求全，千兆够用使用千兆，在适用的基础上在适度的超前，在到2005年时，万兆将是一个主流。

　　在网络的规划上满足目前的应用，发展未来的需求，两者之间找到一个很好的平衡点，现在的投资是千兆交换机的投资，但支持万兆的接入，拥有了万兆的扩展能力，随着技术成熟度，市场容量的增加，当万兆大规模应用的时候，我们只需增加万兆模块就可以平滑升级到万兆网络，不需要更换设备，而且现在建成的区级光纤骨干网到时候不用升级或更换布线就可以满足万兆传输，既领先了技术应用，又保护了投资。

　　教育城域网网络结构可分为核心层、汇聚层和接入层三层。

　　其中核心层采用锐捷网络STAR－S6810万兆骨干路由交换机，主要负责IP业务汇接、数据转发。向上通过锐捷网络龙马防火墙连接市教委教育城域网，完成与核心层单/多模千兆光纤的连接（市教委信息中心）。

　　华夏女中、六十六中学、红旗大学、十五中学、育才中学、四十三中学6个汇聚层节点采用锐捷网络STAR-S6806万兆分支路由交换机，可以隔离其下级网络设备的广播，并且对下级网络的部分数据进行当地路由交换，大大减少了骨干交换机star－6810的负担。

　　接入层的校园网络采用锐捷网络(STAR-S1926F/G+、STAR-S2024M、STAR-S2126G/2150G)系列局域网智能交换机接入汇聚节点。向下提供10/100M接入端口，用于连接最终用户。（对于光纤不能到达的学校可采用锐捷网络STAR-R2614/2624系列宽带路由器，使用电信DDN专线、ADSL、ISDN、PSTN等接入方式实现连接。）

　　在教育城域网的网络中心使用锐捷网络STAR－VIEW网络管理软件完成端到端的网络配置、管理和监控。使用锐捷网络STAR－CS高速缓存服务器提供访问缓存和内容访问控制功能，采用信息中心集中管理上网出口的办法，既提高了响应速度，共享资源，又避免了每个学校单独做内容缓存和过滤的管理和投资。如有计费的需求可在防火墙和骨干万兆交换机之间增加STAR－Radius系列安全认证计费系统。

　　四、宣武区教育城域网项目实施效果评价

　　锐捷网络从数据备份的硬件冗余、软件容错（特别对于网络设备设备和部件冗余）、链路和网络冗余、快速故障恢复等方面考虑，充分利用产品优势和各种技术对教育城域网络进行可靠性设计，完全可以保障整套系统的万无一失和资源充分利用。基于对现有网络问题的准确了解，宣武区教委教育城域网解决方案具备以下特点 ：

　　1、高稳定性、高带宽和冗余性能、全线速转发

　　7×24不间断运行（Reliability），锐捷网络产品均使用国际上主流的先进ASIC芯片进行设计，并率先采用ISO9002生产标准进行生产，确保了设备的稳定性。通过全国400余所大学、9000所中小学校园网的实际应用证明锐捷网络产品完全可胜任苛刻的教育城域网应用场合。独有EAPS，保证软件永续运行；冗余引擎、电源、风扇；30－70摄氏度稳定工作；140－260伏电压稳定工作均保证了锐捷网络产品在硬件级别上胜任苛刻任务。

　　万兆交换、千兆干线、 分布式三层，彻底解决带宽问题的端到端QOS智能保障， 解决访问速度问题，网络主干采用三层架构，充分利用三层交换的高性能管理，满足大容量、高速率的数据传输。基于三层的管理，对网络各种信息数据的处理游刃有余。分布式的三层提供强大的系统张力，避免了牵一发而动全身。处于三层的交换技术，实现网络路由管理。不但有效控制网络风暴，又能实现跨VLAN的网络连结，为网络的安全提供了强有力的保障。

　　2、网络安全可靠、高度可控

　　彻底解决IP冲突问题，完美实现安全接入，并通过与防毒软件的联合使用彻底解决防黑与防毒的问题。锐捷网络增强网管型交换机，具有端口静态地址锁、动态地址锁、MAC地址过滤、PORT VLAN和802.1Q TagVLAN隔离等安全控制功能，为防止恶意网络攻击，限制非法用户的登录提供了可靠的保证。只能使用指定的IP地址获得方式才能被允许接入网络. 有效防止网络中出现IP冲突.可实现帐号/IP/MAC/接入交换机及端口/vlan的绑定,有效防止帐号盗用等事件，可记录用户上网所用的网络参数，包括：帐号、IP、MAC、接入交换机及端口、vlan、DNS等。当用户滥用网络或通过网络做了与国家法律相违背的事件后,可及时检测到。

　　教育城域网中有大量关于教学和档案管理的重要数据，不论是被损坏、丢失还是被窃取，都将带来极大的损失。在安全方面，可采用锐捷网络龙马防火墙将教育城域网分成内外两个部分，从而避免内部网上核心服务器受到侵害；考虑到网络设备较多，结构较为复杂，采用同一厂商的设备，通过对802.1X协议支持，用户可实现基于用户名、IP、MAC地址三者的同步认证；而且，这些都只需简单地在后台RADIUS服务器上进行认证项目添加实现。

　　3、可扩展的运营网络

　　多种计费方式综合运用，最终实现灵活计费在接入层末端放置认证设备，最大程度的靠近用户， （支持多计费策略，用户在使用教育网与因特网时可按不同的计费策略计费支持按时长、流量计费。支持预付款倒扣计费。）

　　整个计费系统可以集中在一台服务器上也可以分布在多台服务器上，配置非常灵活。例如当用户量非常大的时候，帐单的计算会非常耗时，而且非常耗费系统资源，这时就要将帐单服务器单独出来；同样用户web服务会带来招到攻击的危险，也应在单独的服务器提供服务。

　　4、全中文、一站式、五张图，端到端的融合网管，管理维护方便，实现轻松网管

　　StarView网络管理系统是一套基于 Windows平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。

　　五、关于网络安全

　　网络安全问题已引起普遍关注为保证网络信息系统的安全性，目前普遍采用的措施有：

　　利用操作系统、数据库、电子邮件、应用系统本身的安全性，对用户进行权限控制。

　　在局域网的桌面工作站上部署防病毒软件；在Intranet系统与Internet连接之处部署防火墙。

　　很多系统管理员以为实现以上的安全措施，系统就足够安全了。实际上，该系统远没有达到必要的安全性，系统还非常脆弱。如系统很容易遭到黑客和病毒的入侵，造成系统的崩溃；数据在网络(局域网和广域网)上传输时，可能被截取、偷换、冒名顶替；远程访问系统经常被未授权的用户入侵。无论是国外的报道还是国内的计算机犯罪报道，都昭示我们的网络系统的安全系统是多么的脆弱。

　　我们如何在教育城域网系统中保护教学资源信息的安全是至关重要的，教学资源信息的安全直接影响了校园网应用的有效性和可靠性。

　　1、安全控制策略的层次结构

　　安全控制策略需要考虑到来自网络内部和外部两方面的因素，包括制订完善的企业级安全策略、应用级安全策略、系统级安全策略以及网络级安全策略。这四套安全策略所覆盖的范围是递减的，但是对信息技术的要求是越来越明确的。

　　安全控制的策略可以分为以下几个层次制定：

　　·用户级：制订有关安全使用和操作的政策和法规，技术手段结合管理手段并配合行政手段。
　　·应用级：保护合法用户对数据的合法存取，重点解决数据安全问题。
　　·系统级：主要指服务器、操作系统一级的安全定义。重点解决系统安全问题。
　　·网络级：保护网络服务的可用性，重点解决网络安全问题。

　　2、锐捷网络着重考虑网络级安全控制

　　网络安全性通过网络软件和协议来控制对网络的访问。Intranet采用TCP/IP协议作为其标准通信协议，而该协议本身的安全性控制是很弱的。因此本系统应该采取下列几方面技术进行网络安全的控制。

　　·防火墙。用以隔离Intranet与Internet，防止来自外部的非法访问。
　　·网络隔离。在Intranet与Internet之间设置停火区，对内对外均以防火墙隔离。将对外Web服务器放置在此缓冲网络里。
　　·协议隔离。把重要的服务器隔离在特殊的通讯协议网段内。
　　·远程服务器。外界用户可能通过拨号方式访问服务器，在访问服务器上设置必要的权限控制加以控制。
　　·加密网络通讯。为防止线路窃听，可以加密网络通讯。

　　网络平台要解决的主要安全问题包括：

　　l网络设备的安全保障；
　　2中心机房服务器与Internet连接的安全；
　　3中心机房服务器与内部网其它部分连接的安全；
　　4防止网络病毒、反动、色情内容渗入。
　
　　网络平台安全系统采取的措施包括：

　　l确保网络设备的配置安全可靠；
　　2在中心机房设置防火墙，把校园网划分成一个非军事化区和一个内部网。其中非军区主要包括中心机房的服务器，是一个可以从Internet和内部网用户同时访问的网段；内部网不允许外部用户访问。
　　3在中心机房与Internet连接处，配置网络防病毒软件。
　　整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问一台机器、路由器或防火墙。对于不同的网络设备、不同厂家的网络设备，要防范的内容是一样的，但具体的配置方法可能不同。

　　2、网络防病毒

　　在实际的工作中，造成网络遭到严重破坏的原因之外，网络病毒是最大和最直接的原因。因此，网络病毒的预防和查杀越来越明显的出现在用户的要求当中。原来的网络防病毒重点是在服务器端和客户端预防，但现在随着交换机技术的飞速发展，在交换机上进行ACL（访问控制列表）设置就可以避免病毒在网络上的传播。

　　评审小组：
　　锐捷网络产品事业部
　　北京赛迪信息评测有限公司

　　评语：这是一个典型的教育城域网应用解决方案。它通过阶段划分、目标细化的思路解决了当前教育城域网投资大、周期长、风险高等问题；设计了基于“三网合一”解决方案；体系较好的科学性、先进性、可扩展性、安全性，是一个值得推荐的解决方案。当然，希望能够进一步做好投入效益评估工作。