锐捷携手苏州相城区教育信息中心打造精品网络

    二十一世纪初期是中国宽带城域网蓬勃发展的时期。教育城域网是伴随着我国教育信息化深入展开而逐渐形成的新领域。苏州市的教育信息化建设一直走在全国的前列。为了使信息化更好的为全市教育服务，苏州市积极实施教育城域网工程，并决心无论从技术应用还是教育与信息处理的结合都要达到很好的效果，成为全国的样板。

    现阶段苏州市教育城域网建设状况分析

    苏州现有七区五市（县级市），按苏州市教育信息化建设的指导思想，苏州教育城域网建设是以市电教馆（教育信息中心）作为主中心。在七区五市建立分中心，苏州相城区是苏州市其中的一个重要分中心，承担着相城区教育城域网的中心的重任。对于相城区教育分中心主要有三个出口：一个是用来连接Internet的，作为中心所对应下属中小学的出口；一个是用来下联的接口，该接口作为汇聚区域内所有中小学的接口；还有一个是用来连接到苏州市主中心的接口，实现与苏州市主中心以及其他县市的互联。

    苏州教育城域网是以苏州电信提供MPLS VPN形式为承载构建的宽带城域网，城域网的骨干网络已建成全网状互连结构，没有线路单点故障的缺陷。由于MPLS VPN的主要的数据包转发，标签的添加，路由分发均由PE设备完成，因此对用户端接入设备的要求很低。

    在苏州市教育城域网基于MPLS-VPN架构实现虚拟专网后，苏州市的教育管理系统及教育教学应用系统等大型应用系统均在专网内实现，各个学校通过10/100M链路接入MPLS VPN网络。各个学校通过MPLS VPN网络同中心连接在一起，形成一个巨大的园区网。访问中心的资源，并通过中心来访问Internet，由中心统一提供Internet公网出口，确保系统内的安全性。

    以七区五市的主节点作为苏州市教育城域网核心层的分中心节点，和苏州市电教馆主中心节点构成苏州市教育城域网的骨干层。整个网络的功能实现过程是这样的：对于每个区域来讲，当地的中心节点（即各市、区电教馆节点）作为整个区域所有中小学的Internet出口。所有中小学都没有自己专门的Internet出口，都只能通过电信提供的线路通过MPLS VPN访问到自己所在区域的中心节点，然后通过中心节点来访问Internet，与此同时下属的所有中小学也可以通过本区域的中心节点，访问到其他区域的中心节点和整个苏州市教育城域网的主中心节点。

    每个区域的中心节点可以通过电信MPLS VPN网络访问到其他区域对等的中心节点，同时也可以访问到苏州市市电教馆节点，做到整个苏州市教育城域网的资源共享。

    而苏州市电教馆中心节点，作为整个苏州市教育信息化的核心，承担着重要的角色。它是未来苏州市下属所有区域访问Cernet的出口，所有区域的下属中小学，都需要经过本区域内的中心节点访问到苏州市电教馆的中心节点，进而在通过苏州市电教馆的节点访问到Cernet。

    相城区城域网规划设计 

    基于对苏州市教育城域网系统业务需求的深入理解，锐捷网络结合自身产品和技术特点，携手苏州市相城区打造教育城域网系统解决方案，为相城区教育城域网系统提供“高扩展、多业务、高安全”的精品网络。

    苏州相城区教育城域网利用苏州市电信提供的MPLS VPN线路组建城域网。整个城域网有四大部分组成：城域网核心区域；城域网数据中心区域；电教馆办公接入区域；城域网下属学校接入区域。城域网核心区域由三部分组成：核心交换机、出口路由器（NAT处理引擎）、出口防火墙。

    城域网核心区域 

    其中城域网主核心采用锐捷网络面向十万兆平台设计的下一代高密度多业务IPV6核心路由交换机S8606，S8606具有1.6T背板带宽，595Mpps的二/三层包转发速率可为用户提供高密度端口的高速无阻塞数据交换，满足未来以太网络的应用需求，提供6插槽扩展，提供多种方便灵活的管理方式。S8606还要求提供全面的安全防护体系，提供分布式的业务融合平台，满足未来网络对安全和业务的更高需求。

    城域网辅核心同样也要求高性能和高稳定性，所以采用锐捷网络S6800E系列，配备1.2T的背板带宽，428Mpps的包转发，保证服务器和数据中心的无阻塞数据交换，并为今后的多业务扩展提供升级和支持。

    城域网中心出口路由器负责所有通过城域网中心上互联网和市教育城域网的数据转发和NAT处理。由于相城区学校较多，有近30所学校，上网PC总数在3000台以上，所以这台路由器的NAT性能要足够强大，所以配置锐捷网络专用的NAT处理引擎NPE50-20，NPE支持最高200万条NAT会话，每秒新建NAT会话达到30万条以上，在启用NAT下512Byte转发性能8Gbps，完全可以保证城域网中心的数据线速转发。通过两台高性能NPE相互备份，保证出口的路由和NAT的稳定快速。一旦一台NPE出现问题，将自动切换到另外一台NPE上转发。保证城域网出口的不间断。

    城域网出口防火墙负责城域网安全策略方面的控制。在学校接入城域网的线路上放置一台锐捷网络千兆防火墙RG-WALL 1600A，用来控制和过滤学校内部的攻击和病毒；在城域网上互联网出口的线路上放置一台锐捷网络千兆防火墙RG-WALL 1600A，用于控制和过滤外网进来的病毒和攻击。

     RG-WALL系列采用锐捷网络独创的分类算法（Classification Algorithm）设计的新一代安全产品——第三类防火墙，支持扩展的状态检测（Stateful Inspection）技术，具备高性能的网络传输功能；同时在启用动态端口应用程序(如VoIP, H323等)时，可提供强有力的安全信道。

     采用锐捷独创的分类算法使得RG-WALL产品的高速性能不受策略数和会话数多少的影响，产品安装前后丝毫不会影响网络速度；同时，RG-WALL在内核层处理所有数据包的接收、分类、转发工作，因此不会成为网络流量的瓶颈。另外，RG-WALL具有入侵监测功能，可判断攻击并且提供解决措施，且入侵监测功能不会影响防火墙的性能。