Cisco教育科研宽带IP网络建设案例

Cisco公司已经成功地在中国实践了前述的教育网络设计思想，天津市的南开－泰达教育学院、天津市教育城域网，特别是河南省教育科研宽带IP骨干网络和郑州市教育城域网全部采用了先进的高速宽带 光传输网络技术，已经成为这类新型教育网络的典范。其他的成功案例还有北京市教育信息网、上海市教育与科研计算机网主干网、厦门大学、西安交通大学等。

案例一：河南省教育科研宽带IP网络

---- 河南省教育科研宽带IP网络全面采用Cisco公司的AVVID网络体系结构，一期工程先扩展到郑州、新乡、洛阳、开封、许昌、平顶山、济源、焦作等8个地市，以及郑州市的教育城域网和河南省若干高等院校的校园网络，总共采用了10台Cisco GSR 12016和GSR 12012，近20台Cisco OSR 6509，其他各类交换机和路由器数百台。该网络集成了远程教学等多种多媒体应用，特别是采用了550部Cisco的新型7940 IP电话和4套Call Manager组建了我国第一个省级IP Telephony网络，并结合Cisco视频产品IP TV系列建立了许多新的教育模式，具有重大的示范意义。

---- 下一步，河南省教育科研网将扩展到全省17个地市，并进一步向社会延伸。

---- 这一网络基于分层设计分为三层：骨干传输网、城域网、接入网，采用三级管理模式：省网络中心、地市网络中心、校园网，连接省内各大中专院校、各中小学校、各级教育主管部门和其他教育科研单位，未来更将延伸到每一个需要教育培训的公众面前。(仅为示意图)。

骨干网络

---- 河南省教育科研网的骨干网络由分布在17个地市的核心节点组成，与河南省广电合作利用其光纤资源，全省形成环网状冗余拓扑结构。在各个核心节点分别配置Cisco公司在国际上多次获奖的千兆位路由交换机 GSR 12000系列中的 12016和12012作为核心传输设备，节点间使用裸光纤配合POS 技术实现OC-48 2.48G链路互连，以提供物理层、链路层及IP层的冗余连接能力。根据各地市的具体情况，可以建设城域教育网络也可以在核心节点配置汇接设备直接解决接入网络的接入问题，汇接设备可选用Cisco 12012或6509，采用POS、DPT或千兆以太技术，传输速率可达1～2.48Gbps。具体设计可以非常灵活，(仅为示意图)。

城域网络

---- 在城域范围内视城市规模、接入网络的数量和规模等具体情况可采用POS、DPT、千兆以太技术，传输速率可达1～2.48Gbps。如郑州市的城域教育网络也是采用POS 2.48G宽带光传输技术，天津市采用DPT 2.48G宽带光传输技术。中小规模的城市可以采用千兆以太技术搭建城域教育网络，或者直接连接到骨干网络在当地核心节点的汇接设备上。

接入网络

---- 目前的接入网络主要为各高等院校的校园网和当地教育机关，这些网络大多采用千兆以太技术构建，到城域网络的接入技术在现阶段可选用千兆以太技术，传输速率达1Gbps。

网络综合评价

---- 河南省教育科研宽带IP骨干网络的设计充分体现了指导思想中的几条原则：

可靠性的网络

---- 设备的可靠性-网络中所涉及的所有网络设备，均采用高可靠设计。核心设备均支持深度冗余设计如冗余电源、风扇、主路由处理器、交换背板、时钟备份。每个模板均可支持热插拔。高可靠的网络连接设计-网络拓扑设计采用了冗余链路。将来光纤资源和投资允许的情况下，可增加更多的二层链路和三层路由的冗余性。

可扩展的网络

---- 网络带宽的可扩展性：核心节点的连接目前为POS OC-48 2.48G，随时可以利用DWDM技术和POS OC-192技术进行扩容。在重点城市内也采用POS 2.48G或者DPT 2.48G技术实现与骨干网络的平滑连接。在其它城市内普遍实现千兆以太连接，采用Cisco公司的千兆位Ether Channel技术最大可支持网络带宽扩展至8Gbps。将来可在投资和光缆资源允许的情况下，可以将上一级网络和下一级网络的连接带宽增加到4Gbps和2Gbps。

---- 网络互连的可扩展性：IP交换技术为非面向连接的技术，网络的扩展表现为业务量、业务类别的增加以及接入网络增加。Cisco卓越的路由技术和MPLS系列技术保证了骨干网络可以从容应对网络的扩展要求。

灵活的网络

---- 基于Cisco IOS的多功能网络平台：网络中采用的网络设备均采用Cisco IOS (Internetworking Operation System互联网络操作系统)为核心功能软件。Cisco IOS集成了路由技术，局域网交换技术，ATM交换技术，各种移动远程访问接入技术，广域网互连技术等超过15,000个网络互连功能，已经成为网络互连的标准。Cisco IOS系统支持今天的绝大多数网络应用系统，同时Cisco IOS系统可提供从数据链路层到应用层的多种网络服务，如：L2/L3 VPN(虚拟专网)，VPDN(虚拟拨号专网)，以及对MPLS技术的支持允许提供各种网络增值服务。

安全的网络

---- 丰富的网络安全机制：网络设计是按照标准ISP(国际互联网络服务商)方式设计的IP交换网络平台。整个网络与国际互联网络平滑连接，因此网络的安全性尤其重要。方案中采用Cisco IOS多种安全策略：（以下略）

---- 1) 网络路由信息交换安全策略：包含路由器的认证，路由信息过滤，多种动态路由协议信息交换控制等。

---- 2) 网络服务安全控制：包含标准访问控制列表(ACL)，扩展的访问控制列表(Extend ACL)，动态访问控制列表(Refliex ACL)，按数据流的访问统计和监控(Netflow)，网络资源访问用户认证/授权和记帐(lock & key)。

---- 3) 基于网络层的加密：网络设备可提供基于标准的网络层加密技术：IPSec ，可以提供高可靠的网络访问安全机制。

---- 4) 网络攻击防范：Cisco IOS可通过对网络访问连接的监控和分析，发现可能出现的网络攻击，如Sync Attack 等，并采取相应的的控制手段保护网络资源。

---- 5) 网络系统告警(Syslog)：网络中采用的设备可对监控到的网络攻击和各种非正常访问发出告警，提醒网络管理人员及时发现问题并采取相应安全策略。

---- 设备安全：网络的各种安全策略的实现均基于网络设备的安全设置，这使得网络设备本身的安全控制显得尤其重要。网络设备本身具有多种访问控制安全策略：

---- 1) 多级访问控制密码：网络中各设备访问控制可通过15级不同的访问权限，网管人员可设置不同的访问权限。如：普通操作员只能监视设备运行，不可进行其他操作；高级的管理员可做故障诊断，不可修改设备配置文件；系统管理员可具有所有功能权限等。

---- 2) 网络管理系统的安全控制：由于本网络中网络管理系统采用标准的SNMP网络管理技术，因此网络设备的网管可能出现漏洞。本网络中的网络设备可提供多种保护手段，如：特别的网管访问密码；由设备指定特别的网络管理工作站系统等。（以上略）

易管理维护的网络

---- 由于采用了IP骨干技术和MPLS技术，使得网络的管理简单化。这可以使网络管理人员大为精简，节约运行开销。网络管理人员只需在规划好的网络结构内提供各个接入网络的接入控制即能实行各种网络服务。网络系统的管理工作重点变为对于骨干网络的运行实施系统监控。由于采用的网络设备自身已具备较为完善的网络管理、监控和维护功能，因此采用建立一个管理工具齐全的集中的网络管理中心即可实现全网络的系统管理和监控。