“翔”和“安”全——厦门市翔安区教育城域网

　　项目背景

　　厦门市翔安区电教中心下属八十多所中小学，比如翔安一中，诗坂中学等。此前，各个学校都基本上已经部署了自己的校园网络，但是学校与学校之间的网络建设则相对滞后，教育系统内部出现了众多的信息孤岛。学校之间的信息交换，资源共享都成了问题，于是，建设城域网的思路应运而生。

　　翔安区城域网以电教中心为城域网中心，将所有的中小学、研究机构都接入到这个城域网中心里面来，从而使得教育资源实现了整合、开放和共享，形成一个区域性的互联、互动、信息交换、资源共享和远程教育平台。作为教育管理系统与现代化教学的支撑平台，教育城域网络基础设施建设将在推动教育信息化进程中发挥重要作用。

　　需求分析

　　翔安区教育城域网是整个区域教育网络的核心平台，承载者数万人的日常办公和教学任务，所以对网络的高可靠性是第一要求。首先是要保证所选择的产品是稳定可靠经过大规模使用的产品，然后就是搭建的网络方案能够具备快速的收敛，在出现意外时可快速恢复业务。

　　同样，教育城域网核心平台作为全网的唯一出口，自然要接受来自外网的安全威胁和来自内网所有用户的安全挑战。如何在出口解决这些问题则是第二个要考虑的问题。

　　此外，网络内设备数量众多，接入用户多，管理人员较少，面临着管理复杂的问题。因此要求建成的网络能支持强大的管理特性，可实现对网络设备、入网用户的统一管理。

　　H3C ITOIP解决之道

　　在深入的了解了翔安区教育城域网的应用现状和存在的问题后，H3C为翔安区城域网量身定制了一套高可靠、高安全、多业务承载以及简单管理的IP解决方案。

　　翔安教育城域网的解决方案是以IP通信平台为基础，实现环境、资源到活动的全部数字化，利用标准的ITOIP解决方案，以IP技术为标准技术，利用SOA开放架构实现对整体IT平台的统一集成支撑。

　　H3C教育城域网解决方案包括校园接入、区域信息中心、城域网出口、智能管理中心等多个子系统。相应的，H3C教育城域网整体解决方案由基础网络平台、综合安全平台和智能网络管理平台构成。

教育城域网带来的价值

　　多维度保证网络的稳定

　　翔安区电教中心从建网一开始就把稳定放在首位，并且提出了需要从设备的可靠和组网的可靠两个维度去保障。

　　H3C作为国内排名第一的网络设备提供商，始终把产品质量作为第一要务来抓。因此H3C在国内率先花数亿元打造顶级的可靠性实验室和鉴定测试中心，使交付给客户的产品达到电信级的可靠性要求。

　　在网络设计方面，H3C也充分考虑了整体的稳定性。首先将城域网分为骨干网、汇聚层、校园网三层。骨干层采用2台H3C的9500E进行双核心组网，2台设备互为冗余备份。汇聚层采用多台7500E组成RRPP环，各个学校的校园网接入该环实现流量的汇聚。RRPP环网技术相比传统的STP协议可实现毫秒级别的收敛，也就是说以前使用STP协议在网络上看VOD点播时，如果出现环网故障，VOD视频就会卡住大概1分钟左右，而使用RRPP环网协议时，如果出现环网故障，仍然可以连续的观看VOD点播（50ms切换到正常，肉眼基本上感觉不到这个切换）。

　　立体化安全防御体系

　　翔安区教育城域网的安全设计采取“对症下药”的思想来解决。首先分析了网络威胁的来源分为内网威胁和外网威胁，内网威胁主要分为非法使用网络和非法的网络攻击行为，而外网威胁则来源于L2-L7的互联网攻击和非法言论控制。

　　基于这些问题，城域网的安全分为两步走。第一步解决内网安全，首先用入网即认证的方式解决非法用户接入的问题。通过H3C一台SR66系列路由器作为认证网关设备实现全网认证，所有进入网络的用户首先需要通过认证。然后在核心设备S95E上部署防火墙插卡，实现对内的安全控制。

　　第二步则是解决外网安全威胁，而出口是内网与外网的唯一连接口，所以在出口需要部署强大的安全防御体系。通过在出口S7510E上部署一块防火墙插卡实现L2-L4的安全防御，一块IPS插卡实现L4-L7层的安全防御，完善的解决了从L2-L7的安全威胁。而内网用户通过外网发表非法言论，上非法网站、不健康网站等问题则都通过部署一块ACG插卡实现过滤，如此一来，一台设备上解决了所有潜在的安全威胁。而且S7510E还预留了一些槽位用于后续扩展，十分利于投资保护。

　　统一管理减轻管理员负担

　　H3C iMC是H3C IToIP解决方案的统一管理中心，基于SOA架构，采用灵活的组件化结构，比如对设备的统一管理组件，对入网用户的统一管理组件，流量分析组件等等。

　　iMC平台首先支持设备管理功能，提供丰富的管理功能。通过面板管理，网络管理人员可以直观地看到CPU利用率、端口利用率等重要信息。通过用户管理组件实现了全网认证用户的统一管理，在保证了认证才能入网的措施同时，大大简化了对认证用户的管理问题。基于网络流量的分析组件给管理员提供了直观的网络流量报表信息，给管理员的网络优化提供了最直接的参考信息。

　　同时，H3C iMC提供全图形化的配置方式，使设备功能配置不再复杂。

　　结束语

　　以安全为基础，立足于应用的长期发展，是翔安区电教中心的核心理念。翔安区电教中心希望城域网能为全区的教师生提供一条便捷的获取信息途径，并且这条途径是高度安全的，确保中小学生不受互联网上垃圾信息的侵扰，打造一片“翔和”的空间。