普教教育城域网解决方案建议书

1、 教 育 城 域 网整体规划建议方案 2014年1月目录1教育城域网概述51.1教育信息化概述51.1.1全球基础教育信息化发展历程51.1.2我国基础教育信息化建设路线图51.1.3我国基础教育网络的建设现状61.2教育城域网的建设历程71.3教育城域网的业务应用101.4教育城域网整体规划思路102怀柔区区教育城域网的需求分析122.1怀柔区 区教育城域网网络现状122.2怀柔区 区教育城域网需求分析133怀柔区区教育城域网整体解决方案153.1怀柔区教育城域网建设整体设计概述153.2教育城域网建设有三个主要步骤，173.3基础网络的完善183.3.1教育城域网核心升级优化183.3.2

2、教育城域网的出口安全193.3.3教育城域网数据中心193.3.4无线教育城域网193.4教育城域网的运维管理193.5教育城域网实名制管理203.6应用的整合优化204怀柔区教育城域网详细设计方案214.1核心骨干网高性能冗余设计214.1.1虚拟化核心骨干网214.1.2虚拟核心VSU224.1.3设备高可用设计234.1.4设备99.999%的可靠性保障234.1.5设备部件无单点故障244.1.6引擎切换无中断244.1.7教育城域网核心骨干交换机硬件自保护254.1.8智动安全防御264.2核心骨干网IPFIX流量管理274.2.1IPFIX技术简介274.2.2IPFIX技术组网2

3、84.2.3IPFIX技术实现294.3教育城域网安全294.3.1出口安全294.3.2端点安全功能374.4教育城域网数据中心设计方案394.4.1教育城域网数据中心架构404.4.2方案特点：424.5无线教育城域网424.5.1无线教育城域网架构图434.5.2高性能的组网架构434.5.3业界领先的技术标准444.5.4高稳定性454.5.5集中式统一管理464.5.6高安全性484.5.7面向未来的无线增值应用514.6教育城域网运维管理534.6.1锐捷网络ITIL运维管理服务544.6.2IT监控管理系统554.6.3锐捷IT运维服务634.6.4教育城域网运维管理解决方案的特

4、点：664.7教育城域网实名认证与流控684.7.1系统框架设计684.7.2教育城域网实名制认证设计694.7.3教育城域网实名制访问权限控制704.7.4教育城域网实名制流控724.7.5教育城域网实名制日志审计724.8教育城域网网络层及应用层单点登陆设计744.8.1教育信息化业务系统使用的挑战744.8.2单点登陆解决方案754.8.3网络层及应用层单点登陆实现的效果：774.8.4锐捷单点登陆设计的特点774.9学校接入网络设计784.9.1数字化校园的安全设计思想794.9.2智能安全防御804.9.3出口关键技术分析815产品介绍845.1项目产品845.2产品简介846锐捷I

5、T运维服务857锐捷网络在教育行业的关注897.1锐捷网络简介897.2连续三年教育行业占有率排名第一907.3锐捷网络优势概述911 教育城域网概述1.1 教育信息化概述1.1.1 全球基础教育信息化发展历程自20世纪90年代以来，世界各国都在加快教育现代化的步伐，教育信息化程度的高低已成为当今世界衡量一个国家综合国力的重要标志之一。1.1.2 我国基础教育信息化建设路线图伴随着信息技术的不断发展，信息化教学应用及业务的不断丰富，以及教师信息技术能力的不断提高，我国基础教育信息化建设也迎来了一个又一个高峰。1.1.3 我国基础教育网络的建设现状纵观我国各区域的教育信息化建设现状，基础教育的网

6、络建设，主要包括以下三个大的方面：教育城域网：主要是构建一个市教育局、区县教委、学校的三级教育信息网络平台，形成具有教育信息资源共享及教育电子政务等功能的高带宽传输的区域教育网络核心骨干平台。校校通工程：主要内容是全市各区县所有教育事业单位的校园内网络建设。这部分网络接入教育城域网，并接受教育城域网的统一规划和管理。重点中小学校园网：这部分学校的教育信息化建设较为成熟，相关的教务考务的业务应用也较为丰富，其学校自身的信息化水平较高，有能力规划、管理和完善学校的校园网络。1.2 教育城域网的建设历程随着教育信息化建设的不断发展，按照教育城域网的建设的特点可分为四代：（1）第一代：松散模式（拓扑图

7、如下）网络情况：各学校通过ADSL等拨号方式接入电信等ISP，线路带宽在512K-2M之间，学校通过教育信息中心主页访问内部简单资源。业务应用：满足学校基本的上网功能，主要是网页、文本、即时通讯等基础应用。管理情况：区县教育信息中心对各学校网络建设基本不干预。网络建设：各个学校独立建设校园网，教育局没有统一的城域网规划和建设。（2）第二代：混合模式（拓扑图如下）网络情况：各学校通过ADSL、MSTP等方式接入电信等ISP，线路带宽在2M-10M之间，所有接入学校与区县教育信息中心之间通过VPN方式进行互联，大多数学校都要通过区县教育信息中心统一出口。业务应用：除了满足学校基本的上网需求外，还开

8、展了电子政务系统、学籍管理系统等业务应用系统管理情况：由教育信息中心统一规划和部署，对于学校校园网的管理，仅管理到出口设备。网络建设：由教育局主导进行基础网络的建设，包括教育城域网的网络骨干、网络出口、数据中心等。（3）第三代：统一模式（拓扑图如下）网络情况：整个城域网的建设通过自建、租用裸光纤或运营商提供专网等形式来完成，各学校接入城域网的带宽在10M-100M之间，所有接入学校通过区县教育信息中心统一出口。业务应用：除了满足学校基本的上网需求及常规教学业务应用外，还开展了如视频会议、视频教学、电子巡考等高带宽需求的业务。管理情况：由区县教育信息中心对整网进行统一规划和部署，包括校园网的安全

9、与故障，有线、无线、VPN等多种接入方式的统一管理。网络建设：教育局除了进行教育城域网的网络骨干、网络出口、数据中心等基础网络建设外，还会涉及无线校园网建设、无线城域网建设等，会更关注业务支撑平台的优化，包括教育城域网的运维管理、网络实名认证体系等。（4）第四代：融合模式（拓扑图如下）网络情况：整个城域网的建设通过自建或租用裸光纤等形式来完成，所有接入学校通过区县教育信息中心统一出口，支持有线、无线、VPN等多种方式的统一接入。业务情况：基础教育信息化业务系统建设不断完善，业务系统的应用不断扩大，更关注多个业务的有效整合，实现业务层的统一单点登录。管理情况：区县教育信息中心除了对整网进行统一规

10、划和部署外,更关注教育城域网的接入是否可控、日志审计是否能定位到人、是否能区分师生的访问服务，及是否能保障用户良好体验等与实名身份认证管理相关的问题。网络建设：教育局除了基础网络建设、业务支撑平台优化外，更关注网络后台建设及应用的整合，包括统一实名身份认证平台的建设，实现网络及应用层的单点登录等综上所述，教育城域网建设的发展具有明显的阶段性。从松散走向混合、从混合走向统一、从统一走向融合，是教育城域网的发展历程与趋势，而教育城域网的建设模式决定了教育业务应用的情况、城域网管理的需求及基础网络建设的重点等，随着教育城域网的不断升级和完善，教育城域网上的业务应用也将越来越丰富。1.3 教育城域网的

11、业务应用根据业务应用类型的不同，可以将教育城域网现有系统分为以下三大类：随着业务应用系统的不断丰富和资源建设的不断升级，原有的教育城域网建设将迎来新一轮的挑战。面对这些新的挑战，教育城域网的建设与升级已经不是简单的网络设备的搭建，如何构建一个能够更好服务于教育业务应用系统的教育城域网已经成为了各教育信息化主管部门的关注热点。1.4 教育城域网整体规划思路教育城域网建设有三个主要步骤，包括基础网络完善、业务支撑优化、应用整合优化。松散模式下，各学校独立建设基础网络，各自为政;混合模式下，客户更关注基础网络的完善，包括四个方面，有线网络改造或完善、网络出口优化、数据中心建设及智能无线网络建设；统一

12、模式下，客户更关注业务支撑平台的优化，他们将更多考虑业务运维管理、基于实名身份的认证管理体系建设；融合模式下，客户关注各种应用的整合优化，实现网络层和应用层的单点登陆。 通过分析教育城域网的四种模式、三个步骤及七个方面的关系，融合模式是教育城域网的发展趋势，具有技术领先性及保障用户良好体验的特点。那么，如何建设融合模式的教育城域网呢？如何整体规划教育城域网的建设呢？ 2 教育城域网的需求分析2.1 教育城域网网络现状 怀柔区教育城域网现状如下图所示，区教育城域网包括区教育信息中心核心网络和区市中重点中学网络，同时向下连接到70个中小学网，每个中学、小学用户约有300使用人员，区教育重点市中学有

13、500使用人员。 区域教育城域网骨干网络怀柔区教育城域网络建设集中在2002。骨干网采用星形结构，70个区县中重点中学网络通过光纤、专线连接到区域核心交换机上，区域县中其他中小学、偏远学校通过专线连接到教育城域网核心网络，区重点中学直接通过100兆光纤连接到区核心网络。核心设备采用较早的H3C和CISCO网络设备，部分区县学校核心设备采用北电三层网络设备与二层设备，部分区县学校核心设备采用锐捷路由器和二层交换机。区各县中小学校园网络区县学校网络是与区教育信息中心于2002年同时建设的，设备也是通过区教育信息中心同意采购，所采购设备是路由器与二层交换机。各个区县学校网络为二层设计，核心层直接与区

14、教育信息中心中心核心设备连接，接入层提供学校师生PC的接入。教育城域网出口情况区电教管没有进行对网络出口进行设计规划，目前网络出口采用400M链路连接到运营商网络提供Internet上网服务，通过60M专线连接到教育网，网络出口通过负载均衡作为出口设备。应用业务系统情况随着信息技术不断发展，区域和各校的业务相应上线使用，包括学校OA系统、学籍管理、视频会议、电子政务、电子巡考等。应用业务的不断完善目前的教育城域网已无法满足业务系统的需求。2.2 怀柔区教育城域网需求分析 区教育城域网骨干网需求目前核心设备属于H3C和CISCO早期产品，由于网络设备性能、链路、流量管理等问题，经常导致区电教管与

15、各县学校的视频会议、电话会议等无法开展，甚至有时连学校的OA、mail、学籍管理、电子政务等关键业务也受到了影响。目前城域网络能满足扩容需求，部分学校在2002年直接接入到区域核心网络，但由于区教育城域网核心设备老化、性能低、已无扩展等对整体教育信息改革带了很大的阻碍。区教育城域网出口需求分析随着信息技术的不断发展、信息数据的安全等，网络出口是一个教育城域网网络安全的关键关卡，分析当前该区网络出口情况，网络出口有多条链路，出口设备只能做最基本的应用流控，不能完全做到对内部业务应用、终端用户PC使用的安全防护。在网络中经常遇到黑客的攻击、门户网站被黑和挂马、网络出口带宽不足网络出口对数据的处理能

16、力差，网络出现安全事件后不能及时定位，不能满足公安部的安全事件审核等。众多安全问题使得我们教育城网的各级领导和管理人员感到很头疼。区教育城域网数据中心需求自建网以来去电教管数据中心没有通过统一的规划和部署各种业务系统，因此电教管数据中心的服务器、存储等都是随时采购，在每次部署数的过程中比较麻烦，由于设备复杂和老化，而导致数据中心的数据存在随时崩溃状态，多年中数据中心的隐患也曾消除。数据中心业务应用已增至几十种，数据中心服务器性能差，也经常造成业务在各校同一时间内访问量过大的时出现业务系统反应较慢，偶尔还会出现死机。区教育无线城域网需求随着笔记本终端的普及，无线视频设备、语音设备等在学校逐渐的应

17、用，现有有线网络已不能满足业务和师生的需求，分析当前教育城域网的现状和未来的发展，建立无线教育城域网主要体现如下几个方面： 无线网络的性能和稳定性逐渐提高，成本逐渐下降； 在很多老的教学楼有线部署困难，采用无线接入更方便； 笔记本逐渐普及，而且未来无线视频监控的应用、三网融合等因素，将为师生的无线网络应用带来更多便利和更好体验。区教育城域网运维管理需求越来越多关键业务应用系统的大规模使用，对教育城域网的运维和管理能力提出了更高的要求，网络应用越复杂，涉及到的层面越多，整个网络也就越脆弱。如何保障关键应用的顺畅运行就成为突出的问题： 各学校网络维护能力有限； 教育教育信息中心缺乏有效的网络运维和

18、管理的工具； 网络资源滥用现象难以管理； 恶意网络攻击难以及时定位解决； 出现紧急事件时，网络性能难以保证应急响应的顺利运行； 无法保障关键业务的可用性； 缺少整体规范的主动网络安全管理手段；区教育城域网实名制身份认证需求目前区教育城网中没有良好的认证管理体系，各校随意接入网络，针对各个学校的接入无法控制，无法区分师生身份，造成业务系统、网络应用等混乱使用，而造成一下几点问题： 公安部82号令、教育主管部门的网络安全要求，需要落实相关日志审计的安全措施，虽然目前已部署上网行为管理产品，然而，只能记录IP地址，难以真正满足审计要求，出现安全事件，难以定位到人，有没有办法解决？ 城域网的终端接入不

19、可控，一条网线便可接入各学校的终端，安全隐患大？ 用户在网上发表不良言论，出现安全事件后，日志审计难以真正定位到人，若发生公众事件会严重影响教育局的形象 ；针对难以定位到人的问题，若采取IP/MAC绑定，工作量大，老师移动办公不方便，如何解决？ IP地址滥用或内网病毒、IP地址冲突，导致网络中断，影响业务的正常运行，该如何解决？区教育城域网多业务统一门户单点登录需求数据中心业务应用有几十种，其中有部分业务需要用户账号口令登陆使用，另一部分可直接使用，针对众多业务使用是神需要维护自己每一个应用的账号信息，对于管理员也一样要进行建立和删除账号也相对麻烦。 太多账号密码, 不容易记忆，老师有时候连业

20、务系统的登陆地址都记不住； 登录频繁，每个业务系统都要多次输入密码，操作繁琐； IT管理人员账号管理工作繁杂 账号管理工作量大，账号管理不能及时 用户信息不一致，每个系统都有一套独立的用户数据库，管理员要对每套系统中的用户进行分别管理，工作量大3 怀柔区区教育城域网整体解决方案3.1 怀柔区教育城域网建设整体设计概述根据对教育城域网业务应用系统的分析，本方案提出了第4代城域网建设方案，总拓扑结构图如上图。解决方案构架涉及多个应用模块，实现不同模式、不同优化支撑功能。结合到怀柔区教育城域网现状，以及满足当前的认证、安全等应用需求，方案建设可分布实施，初次部署模式如下：部署模式简介：怀柔区区教育教

21、育信息中心部署1套radius身份认证系统，1套web portal认证门户系统。各校出口部署1台EG融合易网关设备。各EG设备和教育信息中心radius、web portal系统对接，实现信息交户，以及认证策略、实名信息同步下发。学校用户可分类2类。一类需要进行严格的安全控制，如补丁更新、软件黑白名单控制、杀毒软件联动等端点准入功能，如机房电脑、重视安全功能的学校。另一类客户，要求网络简单使用，同时安全隐患小的客户群，可考虑只使用web portal实名认证，不进行强制的安全控制。方案可灵活实现两类用户，若需严格安全准入用户，只需安装强客户端SA，进行主机安全检查控制即可，同时使用客户端软件

22、进行实名认证。对网络简单使用要求高的客户，可考虑不安装客户端，直接使用web portal认证即可。3.2 教育城域网建设有三个主要步骤，l 基础网络完善l 业务支撑优化l 应用整合优化网络建设示意图基础网络的完善包括四个方面：有线网络改造或完善、网络出口优化、数据中心建设及智能无线网络建设；业务支撑平台的优化包括：业务运维管理、基于实名身份的认证管理体系建设；应用的整合优化，实现网络层和应用层的单点登陆。3.3 基础网络的完善3.3.1 教育城域网核心升级优化结合教育系统的相关业务及应用，采用以下两种技术来构建和完善教育城域网的骨干核心网。u 高性能冗余的万兆核心核心设备采用当今高端路由交换

23、产品，关键硬件达到冗余如：引擎、风扇、电源；核心业务办卡采用模块配置，能够很好的提供今后的扩展，核心骨干网络设计为高容错功能，核心骨干网络故障时间1S。核心设备采用支持IPv4、IPv6的万兆技术，核心引擎具有NFPP与CPP的防护功能，能够随时保护核心引擎。u 核心骨干网IPFIX流量管理 核心骨干交换机能够实现IPFIX流量管理，可以进行流量采样、流量采集、数据分析处理，使网络核心流量得管理和控制，保证业务的使用。3.3.2 教育城域网的出口安全根据教育城域网出口的流量进行分析，从用户实际应用与网络的安全威胁的特点出发，在网络出口安全设计中分为三个关键步骤的设计：第一步要实现提速，即建立高

24、性能、高稳定的基础平台第二步要实现业务的高效运行，提升服务质量第三步就是安全风险控制，保障出口的高速、高效3.3.3 教育城域网数据中心l 全网采用IP SAN+FC SAN的统一存储架构，灵活扩展存储容量和前端应用服务器数量，远距离、跨校区存储服务。l 提供跨盘阵的卷镜像、快照、复制等功能确保数据安全，轻松实现跨盘阵的数据迁移、应用服务迁移，整合原有存储，License-free。l 通过城域网的可用链路提供远程灾难备份恢复功能，确保数据安全，可以在低带宽环境下实现远程数据灾备。3.3.4 无线教育城域网依托现有的有线教育城域网，以现有的教育城域网为基础，无线网络设计如下：n 采用技术的标准

25、先进性和实用性，支持801.11n并兼容WIFI 802.11a/b/g,无线支持双工模式，801.11n与WIFI 802.11a/b/g同时工作。n 学校端零配置部署，分布于各个学校的AP “零配置”，完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控业务支撑平台的优化。n 根据区县下属学校的数量，每个学校部署的AP数量的差异，来考虑无线控制器的规模，使得系统的容量、性能、可靠性以及可管理性得到有效保障。n 远端智能感知：如无线控制器出现故障，学校的AP要能自动感知无线控制器的状态，自动切换，保证业务运行不受影响。n 需要考虑与有线城网的融合，如AP的部署、VLAN支持、用

26、户认证、安全体系等等。3.4 教育城域网的运维管理提出了教育城域网运维管理系统，对关键应用、用户网络设备、安全设备、网络终端管理统一考虑，整体规划。通过该系统，区域将建设一个跨教育教育信息中心和各个校园网的整体安全防护体系和管理体系，以自动化、分布式、智能化的监控和管理手段实现全面的安全防护与管理，达到标本兼治的效果。3.5 教育城域网实名制管理 在教育城网中通过实名制管理系统，实现网络、业务的实名认证，实名认证包括：n 实名认证，有线、无线、VPN接入认证。n 实名访问权限控制。n 实名流控。n 实名日志审计。3.6 应用的整合优化通过RG-SMP与RG-SSO进行互动，使教育城域网的多个业

27、务统、有线、无线、VPN等统一单点登录，它无需用户记忆多个用户名、密码，也无需用户进行多次登录系统才能访问应用系统。管理员只要维护一个系统即可，对于用户来说只要记住一个网络认证的密码就可以实现网络的接入。4 怀柔区教育城域网详细设计方案4.1 核心骨干网高性能冗余设计在教育城域网中，网络流量包括：学校与学校之间的流量、学校与区域中心之间的流量、学校访问Internet流量。（如下图所示-图1）教育城域网的建设是整个区域教育信息化建设的核心，是保证所有业务应用系统正常运行的关键。结合现有教育系统的相关业务及应用，推荐以下两种方案来构建和完善教育城域网的骨干核心网。4.1.1 虚拟化核心骨干网区电

28、教两台核心采用锐捷核心虚拟技术，将两台核心设备虚拟为一台逻辑核心交换机， VSU很容易地扩展端口数量、带宽的同时取代了MSTP+VRRP双核心拓扑，既简化网络拓扑。 区教育信息中心核心交换区部署两（四）台基于十万兆平台设计的核心交换机，两台核心交换机通过L3层20G链路互联，使用VSU虚拟化技术，将两台核心交换机虚拟为一台，以简化拓扑，实现MS级的故障恢复。两台核心交换机直接光纤互联高中部接入交换机，其它校区汇聚交换机通过layer3层千兆光纤链路互联，形成高性能、高可靠核心交换机区。业务区域采用VSU设计实现高可靠，网络核心之间双链路跨板链路聚合实现链路可靠。网络中心作为全网的心脏，向单位内

29、部的终端系统源源不断的提供安全的信息血液，保证整个教育业务系统的可靠运行。因此，作为整个网络平台的神经中枢，网络核心层是全网数据传输的中心，不仅要保证7*24小时的稳定运行，各种应用服务器的数据能够被稳定可靠的传输到终端系统，同时，还要协调全网的数据流量和访问策略，在提供信息服务的同时，保证网络中心自身的安全。4.1.2 虚拟核心VSU传统双核心网络，使用MSTP+VRRP技术，虽能实现故障自动恢复，但故障恢复时间一般在15秒以上，完成不能达到NSF不间断转发的要求，也限制了高实时类业务系统在学校的良好建设使用。同时，冗余链路和设备，使网络拓扑变得复杂，增加了日常管理维护难度，而且核心设备一旦

30、不稳定或链路中断，则会导致VRRP或路由协议的震荡，形成安全隐患，也容易受到相关利用协议漏洞的攻击，这些都增加了网络不可靠的风险。实现NSF的前题是简化网络结构，减低业务、管理维护的复杂度，最根本的方法，就是要减少逻辑设备的数量。因此本方案中，采用VSU虚拟云交换技术，将两台物理核心交换机虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模，同时极大提高网络稳定健壮性，控制故障恢复时间。VSU虚拟云交换特性使用VSU后，两台核心设备逻辑上变成一台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂的协议，大大降低配置维护工作量。此时汇聚到核心双链路上联，等同于双链路连

31、接到一台核心上，实现跨设备链路聚合。即使一台核心或上联链路中断，也可实现快速切换。切换时间控制在50ms以内，相当于普通数据包转发的时延这，不会对业务流畅运行产生任何影响。4.1.3 设备高可用设计随着学校在IP网络上部署的应用增多，学校的学习生活、教学等对于网络依赖程度越来越高，网络成为学校正常运转的最基本因素之一。网络一旦故障，就如同断电缺水一般，其负面影响不可估量。同时随着业务应用发展，业务系统将显得越发脆弱，仅仅几秒的网络中断就会造成如多媒体录播系统的中断、OA文件传输重传、视频会议的中断等，进而引发一系列的连锁效应。因此，网络永续性对学校信息化建设的成功变得越来越重要。因此，NSF不

32、间断转发，成为衡量网络可靠性的重要因素，也决定了未来信息化展的高度。本方案力在为学校打造NSF：不间断转发的网络环境，实现网络99.999%以上的稳定电信级高可靠性，同时将故障恢复时间控制在100ms以内。网络的可靠性是一个从端到端的概念，单纯提高某一层面的可靠性并不能对网络整体的可靠性有很大改善。本方案网络的可靠性从设备级、链路级、网络级、业务级等各层次保证。4.1.4 设备99.999%的可靠性保障本方案中采用锐捷网络的数据通信交换机，锐捷网络交换机在2007年荣获第一批“中国名牌”交换机，产品品质得到了国家权威评测结构的认可，品质过硬。同时在国内众多高校、普教重点中小学、国家电子政务外网

33、、广州亚运会、深圳大运会等有着成熟的应用。锐捷网络交换机在网络设备上进行了软、硬件的架构优化，确保网络交换机具备“99.999%”的电信级稳定性。4.1.5 设备部件无单点故障锐捷网络核心骨干交换机RG-S12000系列均在设备本身的重要部件上进行了无故障设计。4.1.6 引擎切换无中断RG-S12000系列交换机支持UISS（UnInterrupted SupervisorEngine Switchover），即无中断引擎切换技术，保证主从管理板的切换在1秒间实现，同时在切换过程中，各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理板的平滑切换，极大地保证了核心的可靠

34、性和网络可用性。UISS热备份功能支持由热备份框架与备份集合构成。热备份框架系统由Checkpoint Facility、Redundancy Facility和Redundancy Protocol三个主要组件构成。热备份框架为整个系统热备份提供基础平台，需要热备份的模块通过这个基础平台提供的通信、管理等功能完成热备份所需的同步信息传输。l 具体切换过程及实现1、切换前状态信息同步2、主引擎出现故障时，数据不间断转发3、备份引擎启动，故障引擎重启动，备份引擎下发FIB表更新，待故障引擎重启完毕后，新的主引擎将状态信息同步到重启后的引擎，此时完成切换。锐捷UISS热备份设计可以保证RG-S12

35、000系列交换机主从管理板的切换在1秒间实现，同时在切换过程中，各主机线卡可以继续转发原有的数据流，不影响网络业务的正常透明运行，实现管理板的平滑切换，极大地保证了锐捷网络设备的可靠性和网络可用性。4.1.7 教育城域网核心骨干交换机硬件自保护目前众多的网络病毒都是通过对网络设备的CPU上进行特定协议的攻击。例如，利用伪造的数据包瞄准具体协议，向网络设备发动攻击。攻击会大量消耗CPU上的资源(CPU循环和通信队列)，从而达到攻击目的。本方案全线交换机包括接入、汇聚、核心均通过硬件的方式对发往控制平面的数据进行分类，把不同的协议数据归类到不同的队列然后对不同的队列进行限速，专门对路由引擎进行保护

36、，阻挡外界的 DOS 攻击。而且并不影响转发速度，所以CPP能够在不影响性能的前提下，灵活且有力的防止攻击，而且保证了即使有大规模攻击数据发往CPU的时候依然可以在交换机内部对数据进行区分对外。CPP提供三种保护方法，来保护CPU的利用率。第一，可以配置CPU接受数据流的总带宽，从全局上保护CPU。第二，可以设备QOS队列，为每种队列设置带宽。第三，为每种类型的报文设置最大速率。经过信息产业部权威测试中心测试，得出结论：“锐捷网络的CPP功能可进一步提高交换机抗攻击的能力和保持网络拓扑与CPU的稳定性”4.1.8 智动安全防御本方案全线交换机包括接入、汇聚、核心均可自动检测常见攻击行为，并自动

37、下发相关策略，阻断网络攻击，恢复网络正常。第一可有效保护网络稳定性，阻绝各类攻击，第二无需管理员手工参于，提高管理效率，将低管理动维难度。NFPP智能防御流程图：基于设备自身安全的技术必须基于CPU和端口为主要出发点。目前业界已开发了一些用于防攻击的功能模块(比如：ACL、QOS、URPF、SysGuard 、CPP等等)，通过这些功能模块自行建立攻击检测和保护的机制，并提供对外的管理接口。为了在这个日益重视安全性的环境中应对日益复杂的攻击，锐捷网络开发出基础网络保护策略(Network Foundation Protection Policy)，简称NFPP。NFPP技术能够对设备本身实施保

38、护，通过对报文流进行限制、隔离，以保证设备及网络可靠、安全、有效地运行。NFPP通过接受报文的端口或者对送往CPU的报文进行攻击检测，采取相应保护措施，从而达到对管理面、数据面和控制面的保护作用。NFPP整个框架可以分为软件平台和硬件平台两大部分，软件平台主要负责报文流的分类和策略的实施，硬件平台主要对非法用户进行硬件隔离，以达到保护CPU资源的目的。这也符合NFPP“早发现，早隔离”的原则。同时结合IPFIX（IP information Flow export）流量监控技术基于端口进行流量监测，帮助网络管理人员快速锁定异常不安全的数据源，在网络管理平台全网下发NFPP安全策略，及早的隔离非

39、法数据源。4.2 核心骨干网IPFIX流量管理虽然带宽的提高可以降低网络流量拥塞等现象发生，但是随着业务种类的不断增加，业务流量逐渐趋于复杂，可控的网络流量才是保障用户良好应用体验的最有效手段。否则，即使网络带宽再大，但当大部分流量都聚集到某一条网络链路时，又或者大量的P2P非业务流量把带宽消耗尽殆尽时，关键业务应用（尤其是对时延敏感的业务应用）仍然难以保证其应用质量。要想网络流量变得可控，首先需要做到将网络流量分类并可视。锐捷网络的核心骨干交换机能够实现IPFIX流量管理，可以进行流量采样、流量采集、数据分析处理，使网络核心流量得管理和控制，保证业务的使用。4.2.1 IPFIX技术简介IP

40、FIX全称为IP Flow Information Export，即IP数据流信息输出，它是由IETF公布的用于网络中的流信息测量的标准协议。该协议主要在于：l 统一IP数据流的统计、输出标准，这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。l 统一IP数据流的统计、输出标准，这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。IPFIX定义的格式以Cisco Netflow Version 9数据输出格式作为基础，可使IP流量信息从一个输出器（Exporter）传送到收集器（Collector）。因为IPFIX是一种针对数据流特征分析、基于模板

41、的格式输出的协议，因此具有很强的可扩展性，对于不同的需求都可以定义不同的数据格式。为了较完整的输出数据，IPFIX缺省使用网络设备的七个关键域来表示每股网络流量：l 源 IP 地址l 目的 IP 地址l TCP/UDP 源端口l TCP/UDP 目的端口l 三层协议类型l 服务类型（Type-of-service）字节l 输入逻辑接口如果不同的 IP 报文中所有的七个关键域都匹配，那么这些 IP 报文都将被视为属于同一股流量。通过记录网络中这些流量的特征，如流量持续时间、流量中报文平均长度等， 我们可以了解到当前网络的应用情况，并根据这些信息对网络进行优化，安全检测，流量计费。4.2.2 IP

42、FIX技术组网IPFIX是基于“流”的概念，一个流是指，来自相同的子接口，有相同的源和目的IP 地址，协议类型，相同的源和目的协议端口号，以及相同ToS的报文，通常为5 元组。IPFIX会记录这个流的统计信息，包括：时间戳，报文数，总的字节数。IPFIX主要包括三个设备Export、Collector、 Analyzer，三个设备之间的关系如下图所示。l Export对网络流进行分析处理，提取符合条件的流统计信息，并将统计信息输出给Collectorl lCollector负责解析Export的数据报文，把统计数据收集到数据库中，可供Analyser进行解析。l Analyser从Collec

43、tor中提取统计数据，进行后续处理，为各种业务提供依据,以图形界面的形式显示出来4.2.3 IPFIX技术实现锐捷网络是在核心交换机上实现IPFIX功能，使用多业务卡来进行IP报文的分析处理。l 主引擎：主要负责与其他模块复杂的交互。具体负责配置管理、传输层协议封装、发包。l 多业务卡：高性能的NP板，高效率IP报文解析、统计，组装成IPFIX报文的DATA部分发给主引擎进行传输层封装。4.3 教育城域网安全4.3.1 出口安全教育城域网的安全问题已经成为各级教育信息化主管部门关注的热点，教育城域网所面临的安全挑战也越来越大： 学校的门户网站被黑客攻击 学生的考试成绩被篡改 学籍等资料被非法泄

44、露，并被犯罪分子利用 上网用户在网上发表一些不恰当言论 中心服务器被黑客控制，并对其他目标发动攻击 不完善的日志记录，导致出了安全事件后，无法定位到人或单位教育城域网的出口是整个教育城域网的“咽喉”，所以，城域网出口的安全设计对全网的安全至关重要。如何解决教育城域网出口的安全问题，是每一个城域网规划者必须要考虑的问题。锐捷综合多年的出口架构经验和数千用户的调查反馈，归纳出网络出口的三大主要问题：1、基本转发的性能问题：IPv4地址的缺乏，让NAT（网络地址转换）成为出口设备的必备工作；而NAT对性能要求较高，久而久之就成了上网速度慢的一个重要原因。中国运营商的现状，决定了众多单位普遍拥有2条甚

45、至更多出口运营商链路，此时PBR（策略路由）便成为必需，而PBR开启后出口设备死机、网络变慢的情况时有发生；更有甚者，部分大规模网络已经开始尝试万兆出口，性能问题就更为突出了2、业务无法高效运行的问题：BT、迅雷等P2P应用流量过大，挤占关键用户或关键应用带宽，造成服务质量差，用户上网体验下降。比如：视频会议断断续续，OA办公时，打开一个页面延迟很大。与此形成鲜明对比的是，多条出口链路中部分链路的流量却很小。如何保证带宽被充分利用，关键业务运行能获取必须带宽？3、安全风险难以控制的问题：出口安全问题更为复杂，总体来看可以分为三类。第一类是攻击类安全问题。网络攻击可能影响网络运行、造成资源浪费或

46、者引发一系列安全问题。如DDoS攻击会耗尽系统资源。目前Web安全越来越受关注，比如防范网页被篡改、防范网站被挂马。第二类是日志审计问题。重大政治事件、安全事件频发的大背景下，全国都在开展安全大检查，公安部82号令所要求的日志审计如何满足？如何避免公安网监日志检查带来的麻烦？第三类是实名制问题。不光接入网络要认证，访问Internet也要做准出认证（可以简单理解为网关认证），并在准出认证基础上，针对不同用户身份进行相应策略部署。网络出口安全结构根据教育城域网出口流量的特点，锐捷网络推出了针对性的解决方案：在教育城域网建设中，锐捷网络根据教育城域网出口进行设计，在城域网出口建设中分锐捷出口之道：

47、出口三步曲l 第一步要实现提速，即建立高性能、高稳定的基础平台。 首先，配备高性能的硬件。锐捷是国内首家实现出口产品全线支持万兆和IPv6的企业。其次，保证高稳定性。锐捷所有出口产品均支持硬件BYPASS，在掉电、重启、设备故障等突发情况下，出口始终能保持通畅。同时在整个产品的设计过程中始终贯彻落实1+1冗余电源的配备。最后，NPE基于REF（锐捷特快交换技术）所建立的高性能NAT、PBR（策略路由），彻底解决了基础转发性能问题。而且在ACE内嵌高性能DPI引擎作用下，协议识别和策略执行将不会影响到性能；全部采用多核平台架构的RG-WALL，将改写传统防火墙存在性能瓶颈的历史。l 第二步要实现

48、业务的高效运行，提升服务质量通过锐捷高性能DPI引擎，有效识别应用，控制带宽，比如控制P2P等带宽滥用，保证关键用户、关键应用、关键时刻的带宽需要。通过锐捷负载均衡技术，在出口有多条链路的情况下，保证从内网到外网的业务、从外网到内网的业务，都能选择最快速的访问路径。具体来说，Inbound采用智能DNS技术，Outbound采用多链路智能选路技术。l 第三步，就是安全风险控制，保障出口的高速、高效。第一个关键是Web安全，比如今年春晚，赵本山、刘谦节目大量的植入广告引发网友不满，导致央视网站被黑。今天的安全是由网络安全、应用安全到Web安全，全面构建的立体安全防护体系。锐捷Web Guard基

49、于对HTTP/HTTPS流量内容的双向检测分析，识别检测各类Web编码、交互技术、URL参数以及表单输入等，为Web应用提供实时、动态的主动性防护。最终实现防止网页内容被篡改，防止网站数据库内容泄露，防止口令被破解，防止系统管理员权限被窃取，防止网站被挂马和植入病毒、恶意代码、间谍软件等多重功效。第二个关键就是 “实名制”，不管是用户接入网络、上网日志，还是策略管理；都能实现基于用户身份，落实到人。锐捷全系列出口设备均支持实名日志，eLog在收集NPE、防火墙NAT日志，ACE产生URL日志的同时自动关联身份认证信息。在公安机关查询时，既方便，又能精确定位到人。实名制安全，不仅仅体现在基于用户

50、身份的实名制日志审计。还体现在ACE+SMP 通过Web认证功能，实现实名制Web网络准出；通过SSL VPN+SMP实现实名制远程VPN网络接入。出口解决方案可实现如下功能：l 海量会话，万人在线网络出口引擎NPE提供200万条并发NAT会话，每秒新建30万条NAT会话，保证出口网络可容纳万人在线l 流量识别，精细管理应用控制引擎RG-ACE可精确识别上千种应用（例如，P2P应用、即时通讯、流媒体、网络游戏、炒股软件、办公应用等）。通过对P2P应用的压缩控制，可有效降低P2P应用对出口网络带宽的占用率，提高其余业务的带宽使用率，有效提速。l 关键应用，持续保障通过对关键用户/关键应用的识别，

51、将其置于独立的VIP通道，有效保障关键用户/关键应用的带宽不受其他应用的影响。l 信息门户，安全可控 集成防病毒网关 - 全面覆盖Wildlist病毒列表（国际上对防病毒网关的评测标准） - Web攻击是个动态过程，防病毒和防木马保护，就防止了绝大多数攻击 网页事后恢复 - 集成“网页防篡改软件”功能，满足中国客户特色需求 - 对静态页面进行比对，如果发现网页被黑则恢复为备份页面 “零配置”运行 - 不同于国外厂商采用白名单配置方式，需要用户对网站协议、漏洞非常熟悉，方能发挥效力，普通用户没法使用 - Web Guard支持“零配置”运行，设备无需配置即可防御绝大多数攻击；待用户熟悉后可以再对

52、配置进行优化 关键字过滤 - 内容关键字过滤 ,协议关键字，支持自定义Web防护规则等功能有效避免论坛被上传非法、反动言论，影响社会和谐图形监控，运筹帷幄该方案提供一系列出口运行状况的图形化监控，直观掌握出口网络的“天气图”，有助于网络出口带宽策略、带宽利用率的优化调整。 流量分析类网络出口总体流量分析 应用分析类l 访问日志，有效记录日志对于网络安全的分析和安全设备的管理非常重要。NPE采用统一格式记录各种网络攻击和安全威胁，支持本地查看的同时，还能够通过统一的输出接口将日志发送到日志服务器，为用户事后分析、审计提供重要信息。 NAT日志查询 URL日志查询4.3.2 端点安全功能让正确的人

53、、使用健康的主机、访问安全的网络、做规范的事情。数字化校园的安全设计需要考虑用户身份安全、主机安全、网络安全、安全策略管理等四个主要方面。用户身份的安全，指用户以实名接入网络，只有经过实名认证的用户才能使用网络；主机的安全指只有终端主机本身是健康的，如安装了杀毒软件，安装了最新补丁，才允许接入校园网络；网络的安全指在网络中的数据要合法，不能有攻击或异常，同时，师生在校园网中的网络访问行为要安全，如学生限制访问成人网站或互联网娱乐类视频等；用户访问的安全，是指你在网络中的访问可追溯，出现攻击可定位到人。总之，以用户为核心的安全的设计理念是保障“让正确的人，使用健康的主机，访问安全的网络，做规范的

54、事情。”锐捷网络端点功能，致力于通过软硬件联动、计算机与网络联动的整体解决方案，通过传统的网络设备和安全设备等硬件，配合后台系统、客户端等软件，联动的实现了对于用户身份、主机健康性以及网络通信等多方面的保障，轻松实现“让正确的人，使用健康的主机，访问安全的网络，做规范的事”的目标。 对用户进行身份验证、主机健康检查，并根据用户的身份和健康检查的结果，进行用户网络访问权限的划分，简单的说，就是认证和授权两个方面。在这一类型的解决方案中，一般情况下会将认证和授权功能都集中在设备层面，例如交换机，但这就对认证设备提出了很高的要求，除了标准的802.1X协议以外，还需要支持诸如动态ACL下发、动态VL

55、AN跳转等功能，而很多情况下，网络设备恰恰是无法支持这些功能的，这就使得整个方案的功能无法实现。本方案使用RG-SA将认证和授权节点分开，由支持标准802.1X协议的交换机进行认证，而有强制客户端即RG-SA来在主机层面进行网络授权，这里提到的授权既包括根据用户身份进行的网络访问授权，也包括在用户主机健康性检查不合格时的隔离，以及用户进行恶意网络访问情况下的隔离功能。RG-SA产品使得端点准入控制的适用范围更加广泛，简单的说就是，只要有支持标准802.1X协议的交换机（无论哪个厂商）即可。身份认证功能l 基于802.1X协议的身份认证体系l 基于用户身份的网络访问权限控制体系l 基于包括用户名

56、、密码、IP地址、MAC地址、认证交换机IP、认证交换机端口号、主机硬盘序列号等在内的7元素灵活绑定，保障用户身份正确性l 用户短消息、修复程序自动下发功能主机端点防护功能l Windows补丁强制更新功能（需配合微软WSUS服务器）l 杀毒软件联动功能（需配合对应的杀毒软件）l 用户端软件安装黑白名单功能l 用户端注册表关键键值检测及修复功能l 用户端后台服务检测及修复功能l 用户端进程检测及强制开启/关闭功能l 违规用户自动隔离功能l MAC地址防篡改功能l 禁止主机发送ARP欺骗报文（需配合RG-SMP 2.X专业版）l 禁止主机发送DHCP欺骗报文（需配合RG-SMP 2.X专业版）安全域相关功能l 基于客户端的安全域管理（需配合RG-SMP 2.X专业版）l CA认证联动功能，实现统一身份管理体系计算机管理辅助功能l 远程协助功能（需配合RG-SMP 2.X专业版）l 客户机进程列表获取功能l 用户端软硬件信息学习、统计功能4.4 教育城域网数据中心设计方案教育城域网的重要角色之一是区域教育的数据中心，其数据系统主要包括教