【2012年】XXX教育城域网技术建议书

Xxx教育城域网技术建议书杭州华三通信技术有限公司目录1.教育城域网建设需求51.1.教育城域网建设背景51.2.教育城域网业务需求分析61.3.教育城域网建设内容72.教育城域网建设原则73.H3C IToIP教育城域网整体解决方案94.基础网络平台建设方案114.1.组网概述114.2.组建高可靠RPR环网124.2.1.RPR技术介绍124.2.2.RPR技术在教育城域网中的应用194.2.3.组网方案对比分析204.3.组建路由型核心网214.4.中小学校园接入网234.4.1.组网拓扑244.4.2.组网简介244.5.核心网关键设备介绍254.5.1.城域网骨干路由器254.5.2.中小学校园网核心交换机264.5.3.中小学校园网接入交换机294.5.4.千兆防火墙315.数据中心建设方案315.1.概述315.2.需求分析325.3.方案设计335.3.1.H3C多服务器集中存储解决方案335.3.2.D2D备份解决方案355.3.3.应用系统保护/恢复解决方案365.3.4.数据远程容灾备份376.城域网多媒体通讯建设方案386.1.组网拓扑386.2.组网简介396.3.方案配置及技术优势396.3.1.控制中心：396.3.2.会场终端：416.3.3.技术优势427.城域网综合安全建设方案437.1.网络安全风险分析437.2.统一安全设计原则467.3.网络层安全解决方案487.3.1.全面网络基础设施可靠性保证措施487.3.2.骨干网关键设备SR8800强大的安全特性497.3.3.配置防火墙和IPS进行网络区域的隔离547.3.4.内网机密信息安全访问解决方案577.3.5.城域网流量清洗解决方案587.3.6.城域网出口行为监管解决方案597.3.7.教育城域网数据中心防护解决方案607.4.用户层解决方案607.4.1.配置全面的网络防病毒系统607.5.业务层解决方案627.5.1.设备冗余及网络存储配置建议627.5.2.漏洞扫描及安全评估系统的配置637.5.3.应用系统开发中加强安全机制638.教育城域网管理中心设计638.1.集成化管理平台638.1.1.系统安全管理658.1.2.资源管理678.1.3.拓扑管理688.1.4.故障（告警/事件）管理718.1.5.告警深度关联分析与统计728.1.6.性能管理758.1.7.设备管理组件788.2.校园网络全局安全关联分析管理799.IP地址及路由规划849.1.IPv4地址规划849.1.1.IPv6地址规划859.1.2.IPv4路由规划869.1.3.IPv6网络规划869.1.4.IPv6路由规划8710.组播与QoS规划9010.1.组播业务9010.2.QoS优化9111.教育城域网服务方案（略）9212.教育城域网成功应用案例9212.1.宣武区教育城域网9212.2.北京崇文区教育城域网9412.3.太原教育城域网9512.4.重庆教育城域网951. 教育城域网建设目标1.1. 教育城域网建设背景以知识和信息的生产、传播、应用为基础的知识经济占据着世界经济发展的主导地位，国家综合国力和国际竞争能力更是取决于教育、科学技术和知识创新的水平，教育在经济和社会发展进程中起着越来越重要的作用。随着现代信息技术的高速发展，信息化技术与教育相结合，正成为当今中国教育改革和发展的关键组成部分，改变着传统的教育模式。 “育人为本、改革创新、促进公平、提高质量”是十二五教育改革和发展的工作方针，教育城域网利用多媒体技术、网络技术等手段，将本地区的教育机构、研究机构全部通过网络互联，使教育资源整合、开放、共享，达到整体信息化的集成运用的宽带网络，最终形成的一个区域性的互联、互动、信息交换、资源共享和远程教育的基础架构，为教育行业实现再次飞跃提供了新的思路和发展方向。1.2. 教育城域网业务分析结合当前教育信息化现状，确保教育城域网最大程度地服务于教育信息化改革和提高教学质量，教育城域网必须满足以下功能：实现IT资源的集中部署和分发传统各个学校自行购买服务器、存储、软件的方式构建的IT系统，无法实现有效的整合。软件系统本身之间完全割裂，形成孤岛资源；而硬件系统的割裂则无法充分发挥硬件的利用率，往往造成资源的浪费。城域网可成为资源的共享平台。通过集中部署硬件系统和软件系统，实现资源池化，通过城域网分发到各个学校，达到最大限度的资源利用。建成宽带、先进、专业的高度信息共享的教育城域网系统教育城域网络建设项目的建设目标是将各个教育机构全部联到网络中，最终形成一个区域性的互联、互动、信息交换、资源共享和远程教育的基础构架。以教育信息网络管理中心为中心的虚拟闭合网络，实现了 “校校通”。教育信息网络中心具有先进的交换设备和海量的数据存贮能力，在实现软件和应用资源共享的同时，还能为各校提供硬件共享服务。通过城域网内统一的网络平台，统一的网络出入口，还能最大限度地限制各种不良网站的入侵。教育城域网络系统统一的网络平台，统一的网络出入口，实现软件和应用资源共享，还为各校提供硬件共享服务。实现高度共享的免费教育教学多媒体资源 通过教育城域网系统实时点播或高速下载，师生可以利用教育城域网络系统的教育教学资源进行辅助教学和辅助学习。 教育教学资源内容覆盖中小学阶段十几个学科相关的知识点，当中包括文本、图形图像、音频、视频、动画、课件、课案、课例等素材内容。 教育资源和网络技术的应用与推广，将促进信息技术与学科课程的整合，建立网络环境下的龙岗中小学教育新模式。实现普教系统高效率的教育政务网 日常行政办公中心处理教育日常事务，如文件收发、公文审批、会议通知等工作。 教育数据管理中心分为学校概况、教工管理、学生管理、校产管理、教育科研、综合查询等七大模块，汇集了学校、教师、学生的基本数据信息。 项目行政服务中心可以对学校、教师、学生等有关的行政办公事务进行自动办理或辅助办理。实现信息化课程开发 小学及中学、师范学校、职业学校、成人中专的学生全面接受信息技术教育。信息技术课程做到三个统一：统一教材、统一教纲、统一考核。 组织编写并统一使用以计算机操作和信息处理为主线，突出互联网应用的中小学信息技术教材，并定为中小学信息技术教育实验教材。实现多媒体网络远程教学通过教育城域网络系统着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台，例如可视化计算，计算机协同作业，虚拟网络，虚拟现实，计算机仿真，远程计算机与数据处理等。建设支持宽带多媒体业务，例如远程教学、多媒体网络教室、会议电视。1.3. 教育城域网建设内容未来五年，xxx教育信息网建设工作的主要内容是：1、引入云计算思想，将资源池化，搭建一个数据中心；2、采用先进设备，搭建一个安全、稳定、先进、健康的教育城域网络。3、采用先进技术，形成一个既满足教育需求，又极具特色的资源应用平台。4、采用科学管理，建立一支技术过硬，水平较高，具有建设性和稳定性的系统管理维护队伍。5、采用科学理念，将信息化深入到每个教育教学过程中，形成每位教师能用、会用信息技术手段，并不断创新和融合教育信息资源的新局面。2. 教育城域网建设原则教育城域网连接了其下属中小学内包括教学楼、办公楼、实验楼、图书馆等大量的信息点，学校管理、教育科研、电子教学、远程教育和互联网的引入以及对外技术交流与合作服务等大量业务的开展，要求网络必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。为实现校园网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。独立性教育网是基于各学校为网元构建起来的面向教育系统的大型网络，独立性是教育网需要考虑的一个基本特性。独立性在教育网中体现在两个方面：一是整个教育网网络对于外部网络而言是一个物理上的独立实体，单独并唯一的实现对整个教育网的统一网络管理；二是各学校做为教育网的基本网元在物理上也应该具有一定的独立性，这一方面是为了教育网网络的稳定而做的考虑，网络各层次之间的依赖关系越低整个网络的稳定性也就越强；同时也为以后各学校结合自身特点开展独立的特色打好基础。技术先进性和实用性在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性支持国际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。强QOS、强组播特性教育网因为对视频、音频等多媒体业务的需求较大，所以整个网络具有较完善的QOS特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点，为实现区别服务，整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效的保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的控制特性也会进一步保证组播流的控制、管理和安全，从而为实现教育城域网的多业务支持提供保障。安全性制订统一的网络安全策略，整体考虑网络平台的安全性。保证关键数据不被非法窃取、篡改或泄漏，使数据具有极高的可信性。兼容性和经济性兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。3. H3C IToIP教育城域网整体解决方案H3C教育城域网IToIP整体解决方案是以IP通信平台为基础，实现环境(特别是重点、敏感区域的视频监控)、资源（网络资源、存储资源、计算资源）、到活动（网络的开放架构对定制业务的支持）的全部数字化，利用标准的ITOIP解决方案，以IP技术为标准技术，利用SOA开放架构实现对整体IT平台的统一集成支撑。H3C教育城域网解决方案包括校园接入、区域信息中心、城域网出口、IP考场监控、智能管理中心等多个子系统。相应的，H3C教育城域网整体解决方案由五个平台组成，包括基础网络平台、综合安全平台、多媒体通讯和监控平台、信息中心存储平台和智能网络管理平台。建立数据服务中心优化整合现有数据信息资源 解决教学、科研、办公业务数据海量增长，数据无法整合管理的问题 解决数据爆炸性增长，成本要求不断降低的问题 解决各种灾难对信息系统影响的问题 解决跨广域的数据访问的问题 解决跨系统数据迁移和灾难备份困难的问题 解决借助厂家提供专业的存储咨询和服务的问题建设安全可靠的网络平台 具备网络结构优化能力整体架构具备更有效的容灾能力，以应对故障节点、故障链路、路由震荡所带来对业务的影响； 具备网络业务拓展能力可平滑向下一代网络迁移，向IPv6迁移兼容现有组网环境，IPv6完全由分布式硬件完成，保护投资；可以随时随地使用，可以基于移动漫游环境，移动漫游环境无需管理者手工干预 具备安全渗透防御能力具备攻击、非法业务的隔离、控制，具备在线主动抵御的能力；核心网络自身集成安全防御能力，缩小攻击、病毒影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击实现整个教育城域网网络的集中统一智能化管理教育城域网是建立在一系列IT资源的基础上，诸如带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等，针对这些资源需要关联化的管理，资源的整合，才能将利用IT系统服务校园信息化的价值最大化。4. 云计算数据中心建设方案4.1. 数据中心对于城域网的战略意义城域网数据中心是数据大集中而形成的集成IT应用环境，它是各种IT业务和应用服务的提供中心，是数据运算/交换/存储的中心，实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。数据中心的建设中，存储系统的建设和完善贯穿始终，这和当前应用系统建设的重点是相一致的。不论是各种数字资源，还是需要备份保存的业务数据，其中心内容都是对于信息（数据）的管理和使用。4.2. 数据中心规划的要点高可用网络作为数据中心的基础设施，网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包括高可靠、高安全和先进性三个方面：u 高可靠：应采用高可靠的产品和技术，充分考虑系统的应变能力、容错能力和纠错能力，确保整个网络基础设施运行稳定、可靠。当今，关键业务应用的可用性与性能要求比任何时候都更为重要。u 高安全：网络基础设计的安全性，涉及到XX业务的核心数据安全。应按照端到端访问安全、网络L2-L7层安全两个维度对安全体系进行设计规划，从局部安全、全局安全到智能安全，将安全理念渗透到整个数据中心网络中。u 先进性：数据中心将长期支撑XX集团的业务发展，而网络又是数据中心的基础支撑平台，因此数据中心网络的建设需要考虑后续的机会成本，采用主流的、先进的技术和产品（如数据中心级设备、CEE、FCoE、虚拟化支持等），保证基础支撑平台510年内不会被淘汰，从而实现投资的保护。易扩展XX集团的业务目前已向多元化发展，未来的业务范围会更多更广，业务系统频繁调整与扩展再所难免，因此数据中心网络平台必须能够适应业务系统的频繁调整，同时在性能上应至少能够满足未来510年的业务发展。对于网络设备的选择和协议的部署，应遵循业界标准，保证良好的互通性和互操作性，支持业务的快速部署。易管理数据中心是IT技术最为密集的地方，数据中心的设备繁多，各种协议和应用部署越来越复杂，对运维人员的要求也越来越高，单独依赖运维人员个人的技术能力和业务能力是无法保证业务运行的持续性的。因此数据中心需要提供完善的运维管理平台，对数据中心IT资源进行全局掌控，减少日常的运维的人为故障。同时一旦出现故障，能够借助工具直观、快速定位。4.3. 数据中心规划部署4.3.1. 数据中心前端网络的分层模块化设计汲取园区网设计的理念，数据中心网络结构也做层次化的设计，分成数据中心核心层、服务器汇聚层、服务器接入层。数据中心核心层：需要说明的是，考虑到学校的实际情况，本次把数据中心核心层和园区网核心层合二为一，主要用来实现高速的数据交换。服务器汇聚层主要要求：汇聚服务器群接入交换机多槽位、线速多端口万兆交换机集成FW、IPS安全与服务器负载均衡应用优化业务模块服务器接入层主要要求：通过高密GE Top of Rack或者高密GE End/Middle of Row 实现大规模的服务器接入。4.3.2. 数据中心后端网络设计对于服务器数据的可靠性存储，在数据中心的设计中，通过专门的存储区域来实现，通过在服务器群后面配置存储交换机，连接服务器和存储设备，本次方案中考虑用万兆IP交换机实现服务器和万兆IP存储的数据交换。通过数据中心前后端网络平台的搭建建设已一个全万兆线速数据转发的数据中心交换系统。4.3.3. 数据中心按功能区的模块化设计构建一个开放架构数据中心时应采用一种模块化的设计方法，在数据中心中划分不同的功能区域，用于部署不同的应用，使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。数据中心中的服务器将会根据服务器上应用的用户访问特性和应用的核心功能分成不同组部署在不同的区域中，但是由于整个数据中心的很多服务是统一提供的，例如数据备份和系统管理，所以为保持架构的统一性，避免资源不必要的重复浪费，一些功能相似的服务将统一部署在特定的功能区域内，例如与管理相关的服务器将被部署在管理区。采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域，应用不同的设计方法，可以根据不同区域和层次的功能需求进行建设和操作。对于区域而言，我们可以从各个区域的功能来预知这个区域对可扩展性等的要求，例如，部署业务应用的区域可能会需要更高的可扩展性和可用性，而Internet区将更注重安全性。4.3.4. 数据中心高可用性本次方案设计中对于如何满足数据中心的高可用性，从四个层面进行了设计，如上图中的右边的5个字符框中的内容：1、等价路由冗余设计2、服务器汇聚交换机支持跨设备链路聚合虚拟化技术提高可靠性，避免再通过MSTP/VRRP技术满足数据中心的可靠性要求。跨设备链路聚合虚拟化技术详见第三章核心层设计说明。3、接入交换机支持跨设备链路聚合虚拟化技术提高可靠性4、通过在服务器实施NIC Teaming提高服务器连接接入交换机的可靠性要求。4.3.5. 数据中心安全与应用优化本次在数据中心的设计中，为了降低数据中心建设和将来维护的成本采用了交换机集成安全措施的解决方案，这种方式可以：1、简化数据中心网络结构2、简化数据中心机房布线3、提高数据中心空间利用率4、降低网络设备电力消耗5、提高网络的管理、维护效率并且这种集成化技术中，本次方案设计中的FW和IPS通过虚拟化技术，严格的对数据中心内的不同业务系统，提供27层灵活的安全访问控制策略，满足不同数据中心区域有不同的安全等级要求。当前在数据中心的应用中面临着三大重要的问题：需求一：某一业务访问量大，很容易造成网络拥塞，需要应用优化需求二：某一业务访问延时长，用户不耐烦需求三：服务器资源利用不合理那么本次方案中，就是通过在服务器汇聚交换机部署流量负载均衡设备来解决上述问题。LB负载均衡板卡实施服务器的业务负载均衡；通过TCP和连接管理方式实施应用加速，提供业务的访问速度，提高用户响应度；通过内容加密来对重要的业务内容实施可靠性的安全访问；通过实施业务数据压缩，可以极大的减轻服务器压缩负担。总体而言提供用户的感受度。4.3.6. 数据中心的虚拟化数据中心虚拟化的目的是通过把资源（网络、计算、存储）更有效的管理、更有效的利用，来提高扩展降低成本。数据中心当前面临的一个重要问题是能耗过大，数据的大集中带来的不仅是管理水平的提升，同时也带来了的高能耗。虚拟化技术实现了通过独立于硬件平台的逻辑实例来使用各种资源（网络、计算、存储）的方法，最大化的实现了对资源的利用与共享，成为降低数据中心能耗的最有效手段。4.3.7. 数据中心数据容灾的部署数据中心为园区的各种应用提供了集约化的基础设施，然而数据的集中也对发生灾难时的数据安全提出了更高要求，将鸡蛋放在了一个篮子里就要把篮子做的无比坚固。数据容灾的基础是备份，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全部或部分数据集合从应用主机的硬盘或阵列复制到其它的存储介质的过程。容灾的方式有四种：数据库级容灾、卷管理级容灾、网络级容灾、存储设备级容灾，各种方式的差异如下图：比较项数据库级容灾卷管理级容灾网络级容灾存储设备容灾理想距离1000km100km（同步）1000km（异步）无要求100km（同步）1000km（异步）链路要求已有FC/普通IP网络专用链路已有FC/普通IP网络专用链路对软件的要求专用软件专用软件无无对应用系统性能的影响很大很大无无是否需要专用存储系统否否否是实施简单性复杂复杂简单复杂维护简单性复杂复杂简单复杂成本软件成本较高软件成本较高低硬件成本、部署成本较高容灾方式对比XXX城域网建立备份或容灾中心，可以分期规划，逐步部署。数据中心容灾的建设最终目标是“两地三中心”，即本地主中心、本地备份中心和异地灾备中心，拓扑示意如下：备份中心和灾备中心可以根据允许丢失的数据量、允许的恢复时间级别进行容灾方案的选择，主要技术有三种：（1）远程数据备份业务（Remote Data Backup）：该模式主要针对那些对数据业务恢复的RPO和RTO要求不高的小型客户，一般只要求对关键数据进行灾备，对业务连续性没有太多要求。（2）高级数据备份和恢复业务（Advanced Data Backup and Recovery）：该模式主要针对那些即对关键数据有灾备要求，且对业务连续性有一定要求的中小型客户。（3）持续性数据保护业务（Continued Data Protected）：该模式主要针对对业务连续性要求较高的大中型客户。XXX学院网络是一个可运营的网络，除了提供网络运营服务以外，今后建立备份中心或灾备中心后，还可以利用统一建立的灾备网络和存储资源，为各院系或其他单位提供共享容灾运营服务，从而为没有能力建设灾备中心而又需要保护某些关键数据和业务的用户提供灾备服务，并针对不同的用户提供不同的服务级别。5. 基础网络平台建设方案5.1. 组网概述根据教育城域网的建设要求，教育城域网将分为骨干层、汇聚层、校园网三级，整个教育城域网具有可运营、可管理的开放式结构。在骨干层（市级），考虑到教育骨干网的高稳定性、高安全的特性，建议采用H3C RPR的组网方案，网络的核心层由34个骨干节点构成环网，选用H3C公司SR8800系列骨干路由器，4个骨干节点之间相连构成环网，从而进一步确保网络的可靠性以及安全性，SR8800路由器具有强大的性能以及稳定性完全可以胜任骨干节点的胜任。在汇聚层（区级），采用大容量多业务路由交换机S7500E作为各区域本地教学单位、机构流量的上行汇聚，且将区教育局，以及几所重点学校之间通过RRPP技术进行环网互联，其他学校就近接入城域网，实现低成本的环网建设，提升可靠性的同时节省光纤资源。在校园网，教育城域网的建设是由多个校园网单个独体构成，校园网作为各个接入点，采用就近的方式接入汇聚交换机，再由汇聚交换机统一汇总至骨干节点，针对各个接入点的数量不同以及数据量不一致等情况，可以灵活选择不同数量的接入点汇聚至核心。5.2. 组建高可靠环网5.2.1. RPR技术介绍以太网技术以其成本低、简洁、易扩展、适合于IP 包的传输和处理等特点，广泛应用于局域网，但是如果直接将以太网应用于城域网或广域网中，仍然存在问题，它在网络规模、端到端业务建立、QOS质量保证、可管理性、可靠性等方面还存在不少需要克服的难题。能否在原有SONET/SDH的基础上加入对数据业务层的处理，如具有高带宽分发能力和粒度扩展能力，以及广泛应用于局域网的以太网的二层处理、ATM的统计复用和QOS等功能，使其更适合数据业务的传送，取长补短，以一种新型技术，来组建以数据为中心的网络，为各行业提供高弹性、高可靠性、带宽可管理、高性价比、多业务传输的解决方案？于是出现了一种新的标准化技术，即IP环网RPR技术。RPR国际标准由于看到目前SONET/SDH的高市场占有率以及城域网传输的巨大潜力，许多公司将以太网技术和SONET/SDH技术结合，各自竞相推出了自己的IP环网技术，以期在激烈的市场竞争中占得先机。如Cisco的DPT、Nortel的IPT、以及Luminous的RPT等等，但是由于实现的机制不同，产品互通等方面存在问题。IP环网要继续发展和推广，急需标准化并进行统一，弹性分组环即RPR就是IP环网标准化的结果。RPR的标准由IEEE802.17小组负责进行标准化，主要完成MAC层协议、传输通道和公平管理、拓扑发现、保护倒换、不同物理层的适配、以及与802系列标准的适应性、管理等标准的制定工作。IEEE 802.17 工作组和RPR 联盟致力于将以太技术、SONET/SDH两者的优点合而为一，研究并规范化一种环网拓扑上使用的MAC 层协议RPR，满足面向数据优化网络的需求。同时IETF也有一个工作组叫做IP over RPR （IPoRPR），对基于RPR组网的业务应用提出标准化建议，负责IP和MPLS在RPR上的运行，以及RPR的MIB信息方面的工作，涉及到网络层和传输层。另外，由国际电信联盟ITU和ANSI组织负责RPR下一些物理层方面的标准的制定。RPR主要技术特点RPR（Resilient Packet Ring）弹性分组数据环技术集IP的智能化、以太网的经济性和SONET/SDH光纤环网的高可靠性于一体，为宽带IP城域网运营商和各行业专网提供了一个良好的组网方案，在提供SONET/SDH级网络生存性的同时降低了传送费用。RPR和SONET/SDH和以太网的比较如表1所示：RPR和SONET/SDH和以太网的比较RPR是工作在OSI协议栈第二层MAC子层的协议，但是其有别于传统MAC最吸引人的特点是具有电信级的可靠性，使其不仅仅只是局限于处理面向数据的业务传送需求，同时可以形成处理多业务传送的综合传输解决方案，可以实现在光纤介质上通过不同的物理层直接承载IP和TDM业务。RPR的设计宗旨就是网络要适合IP数据业务，具有高可靠性，并且可运营可管理，从而可为城域网提供低成本、高性能的解决方案。RPR环网是由逆向双环组成，一个为顺时针方向，一个为逆时针方向，双环都可以同时传输数据和控制信息，其中内环的控制信息控制外环的数据，外环的控制信息控制内环上的数据。在RPR定义的MAC层的结构中，MAC层向下通过适配子层同物理层相连，向上提供对业务层的支持。RPR主要包括MAC层和MAC控制层。其中MAC层主要处理数据的传输处理、报文头处理以及报文错误校验。MAC控制层实现RPR的公平控制、保护倒换、环路选择、拓扑发现、OAM管理等方面的工作。另外还有MAC管理层，主要处理MAC层的MIB信息，完成MAC的操作和性能管理等等。可以看出，RPR 技术吸收了千兆以太网的经济性，吸收了SONET/SDH 对延迟和抖动严格保障、50ms快速保护倒换特性。RPR 采用类似以太网的帧格式，基于MAC进行高速交换，简化IP 前传。RPR定义了一个闭合环路、点到点、基于MAC层的逻辑环状拓扑，对于物理层来说，RPR 就是一组点到点的链路，而对于数据链路层来说，RPR 就像是一个类似于以太网的广播介质网络。RPR 内外环上可同时传输数据包和控制信息，以及基于目的地剥离的特性可有效地提高带宽资源的利用率，保护机制继承了SONET/SDH的特点，同时也克服了冗余资源预留的弱点。多种速率和多物理层支持，使得很容易扩展。RPR简化了IP网络结构和层次，提高了效率，也使得IP统一网络业务平台成为可能。1）多物理层的支持由于RPR是链路层MAC层的协议，与物理层介质无关，因此可支持多种物理层，目前定义的物理层包括SONET/SDH和以太网，其中SONET/SDH支持POS封装和ITU新定义的GFP封装，以太网支持GE和10GE接口，RPR通过适配子层同物理层相连。2）带宽的高利用率带宽利用率高是RPR的重要特点，主要由以下几个方面： 双环同时传送数据和控制信息，与SONET/SDH上不一样，不存在光纤空闲备份的情况，光纤利用率高。 基于带宽共享和统计复用，RPR报文也是分插复用ADM的结构，具有空间重用的特点，环网节点之间数据传输互不影响，同时支持不同节点间独立的并发传输和相同节点重叠的并发传输，使得环网的资源可以分段使用，使整个环网的累积带宽大于单个链路的带宽容量，也大大提高了带宽的利用率。 单播报文采用目的剥离的方式，报文一旦到达目的地，就不再在环上继续传送，提高了环网的利用率。 环网节点数据处理一般包括转发、发送和接受，环网上大量的转发数据处理是在MAC层完成，不需要到IP层进行处理，而且数据转发可使用存储转发store-and-forward和直通cut-through方式，其中直通的方式处理速度快，性能高。3）快速的保护倒换RPR的设计目标是提供50ms的电信级的保护，RPR提供两种不同的倒换方式，即源路由（Steering）和回绕（Wrapping）方式，其中源路由方式必须支持，回绕方式可选支持。两种倒换方式的示意图：RPR的保护倒换回绕方式的倒换：这种倒换方式比较简单，当环路上的某个地方发生故障时，在发生故障附近的节点处自动环回，即把内环和外环连在一起，通过协议在相邻失效节点之间进行。回绕方式的特点是倒换速度快，基本没有数据丢失，但是缺点就是浪费环网的带宽，使得数据流走很多弯路。源路由方式的倒换：当环路上的某个地方发生故障时，数据流不需要从发生故障的的地方环回，该故障点和类型的信息会发送到每个节点，拓扑也相应更改，源节点只需要直接按新的拓扑进行路径选择，并根据新的路由发送数据给目的节点，已经发出的小部分数据将在故障点被丢弃。源路由方式的特点是带宽利用率高，但是倒换的速度慢，在计算路由时会造成数据的丢失。H3C根据两种倒换方式的特点，提出一种新的倒换方式，综合了二者的优点，倒换时先使用回绕的方式，尽量保证数据不丢失，同时进行拓扑信息的传递和更新，计算出新的路由，并切换到源路由的方式，以充分利用带宽，使系统达到最优的性能。需要说明的是，所有的保护倒换都是基于双向出错的，包括单光纤故障、双光纤故障、节点故障、断开节点以增加新节点等，对于环网来说，都会认为环网出错并在出错处的节点进行倒换。另外，同一个环网内的节点应该采用相同的倒换方式。4）带宽管理的公平性带宽公平管理是RPR环网的一个特点，由于RPR环网的带宽资源在节点之间是共享的，不允许单个节点独占总的带宽，以免造成系统的阻塞，因此它提供一种环网级别的全局公平算法，以保证各节点公平享用带宽，同时又能够最大限度提高带宽的利用率。如图所示：公平算法RPR-fa是通过在环网节点设置权重，并监测自身带宽资源的使用情况，同时在节点间提供显式的反馈机制，该反馈信息通告发送源网络当前的可用能力，以使之调整流量，最终实现全网的公平。当一个节点有拥塞发生，它将通过与传送数据相反方向的节点发送拥塞公告，告知一个公告速率，上游节点利用这个公告速率来调整自己允许上环的速率，以使得不超过拥塞节点公告速率，如果该节点也发生了拥塞，就同样计算其公告速率发送到其上游节点。公平算法是全局的，在公平算法中，节点首先要确定拥塞门限，并根据拥塞的情况，确定向上反馈的公告速率以及确定本节点允许向环上发送的速率。在RPR环网的结构中，数据分为发送数据和转发数据，大量的转发数据不需要经过节点的处理，直接在环上传递，节点的发送数据根据提供的不同的队列和优先级加入到环网上，通过带宽管理和反馈机制来保证网络无阻塞以及带宽的公平使用。在RPR网络中，具有很好的QOS保证，这是通过带宽预留、优先级队列机制和公平算法等来实现的。正是由于RPR有带宽预留和公平机制，RPR可为用户提供多种SLA服务，为服务商提供灵活的业务。服务商可根据用户付费的情况，确定时提供保证速率业务还是突发业务，对于保证速率的业务，也可以根据付费的多少，提供不同的带宽。这些都可以由服务商方便地控制和管理，真正实现可运营可管理。5）组播的有效支持RPR支持组播是其优于SONET/SDH的又一大优点，环网提供对组播和广播报文的支持，相应的数据包在环网上只有一份拷贝。组播和广播是基于源剥离的，即目的节点将接收数据包并转发，而源节点则负责将组播包和广播包从环网上剥离。由于RPR环网的报文结构与以太网很相似，仅增加环网头和部分其他的字段，利用现有的MAC地址编码技术就可以有效地表示组播和广播报文，同时也使得相关的协议不需要大的改动，具有很好的延续性。6）自动拓扑发现支持即插即用在环网RPR的MAC控制中，提供自动拓扑发现的功能，拓扑发现是通过拓扑结构发现报文在环上传送一周来完成，每经过一个节点该节点会附加本节点的MAC地址，最终每个节点就获得了整个环网的拓扑结构信息。网络拓扑信息可用于发送路由和内外环的选择，自动拓扑发现除定时进行外，当检测到光纤故障、插入新节点、接收到保护倒换信息时也会进行，另外，为了网络的可靠性和稳定性，只有接收到两个完全一致的新的拓扑表时，才进行拓扑的更新，以防止短暂的拓扑变化的影响。自动拓扑发现的一个主要的特点就是RPR环网能够实现即插即用。在传统的传输中，如果增加一个新节点，需要对该节点以及与其有业务关系的节点进行复杂的配置，存在N平方的问题，也使得增加新业务不灵活，开通时间慢。而在RPR网络中，由于有自动拓扑发现功能，增加新节点无需复杂的配置，大部分工作由系统自动完成，这样，使得网络初期规划简单，增加新业务简单快捷。7）TDM业务的支持RPR提供多业务的支持，可提供较强的数据业务处理能力，而对TDM 业务的处理能力相对较弱，可以在语音业务不大时得以应用。由于RPR具有很好的QOS保证，可利用保留的带宽进行主从节点的同步传输，实现时间的精确同步，另外将TDM语音业务直接封装在RPR报文中，使用高优先级传输，以提供低延时抖动的保障。8）OAM管理的支持RPR环网提供OAM管理特性，主要用于错误管理、性能管理和配置管理。错误管理实现远程错误指示RDI、连续性检测CC、环回检测LB、启动/关闭连续性检测A/D等功能。通过连续性检测和远端错误指示可以进行环网上错误节点的探测，通过环回检测，可以进行环网错误节点的定位和测试。在性能管理方面，可提供系统性能和服务质量等方面信息的监控和统计。5.2.2. RPR技术在教育城域网中的应用RPR技术是众多环网技术中的一种，而且是比较优秀的一种，在具备充分保护倒换功能的情况下，不需要冗余带宽备份，提供高可靠性、高带宽、高利用率。RPR技术是一种物理层无关协议，可支持Ethernet、 DWDM 、 SDH/SONET等物理介质，从物理介质来看，RPR技术完全可以应用于园区网/校园网、城域网、IDC甚至是广域网。RPR网络可通过裸光纤直接相连，简化网络结构，节省用户对传输网络的投资；网络具有高的可靠性，可提供50ms电信级的快速保护倒换；同时RPR环网可提供高的速率，以及很高的带宽利用率，满足城域网骨干的需要。如下图所示：RPR在城域网骨干的应用RPR已经成为教育城域网的主流组网方案之一，包括西安教育城域网、贵阳市教育城域网、昆明教育城域网、银川教育城域网、西宁教育城域网、乌鲁木齐教育城域网、北京西城区教育城域网，均采取RPR环网组网。5.2.3. 组网方案对比分析RPR环千兆环/万兆环数据转发非本节点接受数据直接由硬件二层快速转发本节点和非本节点接受数据均做三层转发保护倒换基于IPS技术，50ms保护倒换路由收敛，重新选择最佳路由，保护倒换时间几十秒级别带宽5G1GE/10GE二层Qos能力除链路间的Qos保证外，具有二层的双队列的保证，保证实施业务的抖动和时延只有链路间的Qos能力公平算法环上各个节点流量通过公平算法共享所有链路没有公平算法，可能出现某些链路被独占的情况全连接、扩展能力即插即用，拓扑自动发现，具备良好的扩展能力；环上所有节点全连接，增加节点后，新增节点和其他所有节点全连接。链路的可靠性大大增加。如果某设备失效，RPR节点可以进入pass_through状态，仍然可以保证整个环路的连接每台设备只和相邻设备连接，可靠性差不；不具备即插即用的能力二层多播能力二层支持多播，多播的处理在二层芯片完成，不占用接口和交换芯片处理能力需要占用接口和交换芯片处理能力业务能力很好地适应数据业务、语音业务、视频业务主要适应数据业务6. 城域网综合安全建设方案6.1. 网络安全风险分析一般说来，计算机网络存在着以下的安全风险及需要采取的安全对策：风险安全对策用户风险身份假冒身份认证身份窃取身份认证非授权访问访问授权管理重放攻击鉴别、记录、预警否认审计、记录深度入侵预警、阻断数据风险窃取实体安全、加密篡改完整性检验毁坏灾难恢复有害数据侵入(包括病毒等)所造成的破坏检测、过滤、分析、捕获应用和服务风险非授权访问访问授权身份假冒身份认证密钥管理漏洞CA、KDC、PKI数据库自身的漏洞检测、打补丁、升级操作系统自身的漏洞漏洞检测、打补丁、升级服务的脆弱性及漏洞检测、打补丁、更新应用系统自身的缺陷更新完善服务器风险入侵探测实时监测、预警、回火非授权访问访问控制策略漏洞策略管理、检查系统配置缺陷系统版本检测、更新系统平台评测、选择实体安全缺陷防辐射、防橇、防雷击服务器所存在的陷门和隐通道尚无相应的解决技术及产品网络风险 入侵探测检测、预警、回火设备攻击实时监测、管理、维护通道保密强度采用高强度加密产品网络设备配置缺陷定期检测、加强配置管理、日志、审计网络设备物理安全缺陷更新网络设备存在的陷门和隐通道尚无相应的解决技术及产品网络设备实体的安全防盗、防辐射、防雷击Xxx教育城域网在现有的网络结构及应用模式下，可能存在的主要安全风险：1) 网络设备节点自身安全风险：u 网络设备安全有效配置、管理和维护的风险：网络设备是网络数据传输的核心，是整个网络的基础设施，各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证；u 网络设备提供安全特性合理有效的利用风险：网络设备由于处于网络系统中基础设施的特性，网络设备选择是必须考虑能够提供足够的网络安全防范特性，以实现在网络基础设施层就能提供一定的安全特性；2) 网络结构及线路冗余的风险：u 随着网络节点间的连接密度的增加，整个网络提供的线路冗余能力也会增加，提供的网络数据的流动模式会更灵活，整个网络可靠性和可用性也会大大的增加；3) 网络层有效的访问控制的风险：u 网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之间采取一定的控制措施，有效控制不同的网络区域之间的网络通信，以此来控制网络元素间的互访能力，避免网络滥用，同时实现安全风险的有效的隔离，把安全风险隔离在相对比较独立以及比较小的网络区域。u 为了实现对网络应用的有效管理，必须加强对网络用户的网络应用能力控制，首先，需要对用户接入网络的能力进行控制，严格控制只有经过认证的用户才能接入网络；同时，需要更细粒度的访问控制，尤其是对Internet资源的访问控制，应该能够控制内部用户访问Internet的什么网站，实现一定程度的用户应用行为的管理。4) 网络攻击行为检测和防范的风险：u 由于TCP/IP协议的开放特性，带来了非常大的安全风险，常见的IP地址窃取、IP地址假冒，网络端口扫描以及危害非常大的拒绝服务攻击（DOS、DDOS）等，必须能够提供对这些攻击行为有效的检测和防范能力的措施；u 由于操作系统平台、网络应用平台以及应用系统本身存在的很多安全漏洞，必须能够有效的检测到基于这些漏洞的病毒、木马、蠕虫和其他各种应用层攻击，同时能够组合已有的网络设备和安全设备，针对这些攻击行为，提供有效的防范能力；5) 网络数据传输中存在的安全风险：网络数据在传输的过程中，很可能被通过各种方式窃取，因此在提供我们上面描述的网络数据传输能力的前提下，必须能够保证数据在传输的过程中机密性（保证数据传递的信息不被第三方获得）和完整性（保证数据在传递过程中不被人修改），尤其是在网络传递的信息价值不断提高情况下。6）应用层威胁2000年以前，当我们谈及网络安全的时候，还主要指防火墙，因为那时候的安全还主要以网络层的访问控制为主。的确，防火墙就像一个防盗门，给了我们基本的安全防护。但是，就像今天最好的防盗门也不能阻止“禽流感”病毒传播一样，防火墙也不能阻挡今天的网络威胁的传播。今天的网络安全现状和2000年以前相比，已经发生了很大的改变，我们已经进入了一个“应用层威胁”泛滥的时代。今天，各种蠕虫、间谍软件、网络钓鱼等应用层威胁和EMAIL、移动代码结合，形成复合型威胁，使威胁更加危险和难以抵御。这些威胁直接攻击企业核心服务器和应用，给企业带来了重大损失；攻击终端用户计算机，给用户带来信息风险甚至财产损失；对网络基础设施进行DoS/DDoS攻击，造成基础设施的瘫痪；更有甚者，像电驴、BT等P2P应用和MSN、QQ等即时通信软件的普及，企业宝贵带宽资源被业务无关流量浪费，形成巨大的资源损失。面对这些问题，传统解决方案最大的问题是，防火墙工作在TCP/IP 34层上，根本就“看”不到这些威胁的存在，而IDS作为一个旁路设备，对这些威胁又“看而不阻”，因此我们需要一个全新的安全解决方案。6.2. 统一安全设计原则在规划XXX教育城域网网络安全系统时，我们将遵循以下原则，以这些原则为基础，提供完善的体系化的整体网络安全解决方案：l 体系化设计原则通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险，针对这些风险以动态实施过程为基础，提出整体网络安全解决方案，从而最大限度地解决可能存在的安全问题。l 全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所面临的安全风险，平衡两者之间的关系，根据信息资产价值的大小和面临风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。l 可行性、可靠性原则在采用全面的网络安全措施之后，应该不会对原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络及应用的安全强度，保证整个信息资产的安全。l 可动态演进的原则方案制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进网络安全系统。6.3. 网络层安全解决方案6.3.1. 全面网络基础设施可靠性保证措施首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在网络改造建议方案中，我们设计了足够的线路冗余能力。网络设备多节点冗余主要是指在网络中同一个设备节点部署双机设备，通过双机进行实现相互备份和负载均衡，在网络改造建议方案中，我们在关键的节点都进行了双机配置。网络设备可以采取的冗余配置措施主要包括冗余电源配置、冗余模块配置、冗余引擎配置等，基于H3C网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。其次，采取高安全性的网络设备，网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新，H3C系列网络设备自身具备的安全能力也在不断加强。H3C系列网络设备包括路由器、交换机，都统一采用H3C自主研发的Comware软件平台。6.3.2. 骨干网关键设备SR8800强大的安全特性地址扫描攻击防护能力地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的IP报文。当攻击者扫描网络设备的直连网段时，网络设备会给该网段下的每个地址发送ARP报文，地址不存在的话，还需要发送目的主机不可达报文。如果直连网段较大，攻击流量足够大时，会消耗网络设备较多的CPU和内存资源，可能引起网络中断。SR8800实现了地址扫描攻击的防护能力。当SR8800交换机收到目的IP是直连网段的报文时，如果该目的地址的路由不存在，会发送一个ARP请求报文，并针对目的地址下一条丢弃表项，以防止后续报文持续冲击CPU。如果有ARP应答，则立即删除相应的丢弃表项，并添加正常的路由表项。否则，经过一段时间后丢弃表项自动老化。这样，既防止直连网段扫描攻击对交换机造成影响，又保证正常业务流程的畅通。SR8800还提供了相应的配置命令，用于控制地址扫描攻击防护功能是否启用。DoS/DDoS攻击防护能力DoS攻击，即拒绝服务攻击（DoS，Denial of Service），是指向设备发送大量的连接请求，占用设备本身的资源，严重的情况会造成设备瘫机，一般情况下也会使设备的功能无法正常运行。因为主要是针对服务器的，目的是使服务器拒绝合法用户的请求，所以叫拒绝服务攻击。随着攻击技术的发展，Dos攻击也出现了升级，攻击者控制多台主机同时发起DoS攻击，也就是所谓的分布式拒绝服务攻击（DDoS，Distributed Denial of Service）攻击，它的规模更大，破坏性更强。SR8800能够抵御IP Spoofing、Land、Smurf等常见DoS攻击，确保某种协议遭受攻击时不会影响到其他协议的正常运行和业务的正常转发。同时，当攻击源对下挂在网络设备的服务器进行DoS攻击时，可以利用SR8800的ACL功能，下发特定的ACL规则对攻击报文进行过滤，保障下挂的主机和服务器正常运行。广播/组播报文速率限制网络中存在大量的广播或者组播报文，会占用宝贵的网络带宽，从而严重影响网络设备的转发性能。而且当网络中某台设备存在环路时，广播和组播报文会在网络中泛滥，导致整网的瘫痪。SR8800具有强大的广播和组播报文过滤功能。可以按照绝对数值限制端口允许通过的广播和组播报文速率，也可以按照端口速率的百分比来限制端口允许通过的广播和组播报文速率。同时，还可以通过ACL规