教育强区信息化的阿喀琉斯之踵

　　随着教育信息化的发展越来越深入，教学、科研机构对于更多网络资源的需求，以及数字化管理的需要，引发了数字化校园的建设高潮。同时校园数字化又促进了教学科研水平的提高与信息的共享。南山区目前是深圳市的教育、文化中心，不仅汇集了深圳市的主要高等院校，还有数量众多的教育教学机构。虽然各教育单位自身的信息化水平较高，但是目前并没有形成一个互联互通、信息共享、统一部署、统一管理的格局，这种现状不仅与南山区教育强区的形象并不符合，而且犹如阿喀琉斯之踵一般潜在制约着南山区教育的发展。因此，建设一张覆盖全区教育教学机构的信息网络已经迫在眉睫。

中兴通讯的网络建设整体处方

　　南山区电子政务外网采用万兆以太网技术构建，具有丰富的光纤资源，并且万兆以太网络技术的应用已经十分成熟，因此本次教育信息网络依然采用万兆以太技术。在业务层面，利用MPLS VPN把政务外网业务和教育信息网业务安全隔离。

　　由于考虑到原有政务外网2台核心交换机的负载压力已经很大，承载了较多的业务，因此需要在区委核心机房另外增加1台核心交换机，负责街道新增汇聚交换机业务的汇聚，并与原有2台核心形成流量负载分担和冗余备份，增强核心层的安全性；同时，为今后其他业务的上线提供预留的设备容量和板卡槽位。

　　各街道新增汇聚层万兆路由交换机和原有的交换机采用2GE链路互联，采用两种冗余备份方式，第一：采用策略路由实现热备份，同时实现负载均衡，分担流量；第二：开启VRRP协议进行冷备份。互为备份提高汇聚层的安全性和可靠性，解决原有的单点故障的隐患。新增街道汇聚交换机采用4芯光纤上行到区委新增核心交换机，万兆链路作为主链路，再采用一条千兆光纤作为备用链路。今后其他应用系统网络上线需要时，在街道办事处再增加1台汇聚交换机构成环网，同时街道汇聚交换机到区委核心交换机增加为双万兆链路互联。

　　在24所学校各新增一台核心路由交换机，实现各学校的统一管理与部署。一些老、旧的接入层交换机也进行替换，特别是在接入层交换机建议支持ACL功能，增强接入网络的安全性。

　　建议在汇聚层，即每个街道办各增加1台万兆MPLS路由交换机，采用万兆链路上行到区委新增的核心交换机上，光纤采用各街道办事处到区委的24芯光纤中的4芯。本次推荐采用中兴通讯ZXR10 T64G万兆MPLS路由交换机，该款设备采用基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构，具备480Gbps的交换容量和357Mpps包转发率；关键模块均采用1:1冗余备份；可提供10GE、GE、FE等各种丰富的接口模块，并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制。全面支持二、三层MPLS VPN；持VRRP/STP/RSTP/MSTP/LACP多种网络可靠性保护技术。组网方案如下图所示：

图1 南山区教育信息网整体拓扑图

图2 教育信息网数据分流方式

方案闪光点：

1、数据网络对MPLS的支持：MPLS VPN业务部署方案

　　对于南山教育信息网络，建议采用三层MPLS VPN技术，在这个统一网络上，可以划分出多个MPLS VPN，每个VPN承载一种应用业务，这样就实现了对不同业务的分离以及实施不同的优先级和Qos策略。建议采用教育局核心交换机、区委新增核心交换机作为P设备，街道作为PE设备，各学校核心交换机作为CE设备，具体规划如下图：

图3 MPLS VPN流量规划

　　CE作为客户边缘设备，是客户站点中连接骨干网络的路由器或者交换机；VPN 业务的由PE设备实现。为了将一个VPN 的路由与其它VPN 的路由进行分离，PE为每个VPN 生成了一个分离的路由／转发实例（VRF）。PE 路由器为每个有CE 路由器连接的VPN 生成一个VRF 表。任何属于VPN 的客户和站点只能访问这个VPN的VRF 表。用户接入MPLS VPN后，每个VPN用户站点提供一个或多个CE与骨干网的PE连接，将连结PE-CE的物理接口、逻辑接口、甚至L2TP/IPSec隧道绑定到VRF上。在BGP/MPLS三层VPN网络中，通过VPN的Route Target属性来控制VPN路由信息在各Site 之间的发布和接收。VPN Export Route Target和Import Route Target的设置相互独立，并且可以通过设置多个值，可以实现灵活的VPN间的互访控制，通过这种方式可灵活的实现教育网用户对于公共政务网资源的访问。

　　CE上启用静态路由协议或RIP,OSPF,BGP等动态路由协议，并将相关的本地VPN路由信息传送到PE上，PE根据VPN配置将路由信息映射到不同的VRF表中，打上标识，并通过IBGP协议与其他PE交换VPN路由信息。

　　IP数据包从CE设备发送至PE设备，PE设备根据VPF信息为数据包打上内网标签(用于标示VPN)，再打上外网标签（用于MPLS网络的标签交换），发送给P设备，P设备根据外网标签进行转发，在倒数第二跳时弹出外网标签，到达目的PE后，该PE根据自己的VRF转发表项确定转发端口，去掉内网标签，将IP数据报文发给相应的CE。

　　在组建BGP/MPLS VPN 网络时，在每个PE 路由器上必须运行MP-BGP ( MPLS VPN 中PE之间使用MP-BGP）在PE 之间进行VPN 路由的学习和通告，MP-BGP继承了BGP 协议要求在同一个路由域中运行IBGP 的对等体之间进行全连接以在路由域内通告BGP 路由，当VPN 中的PE 数量很大时，这种IBGP 全连接的数量会很大，有严重的N 平方问题和可扩展性问题，为了改善这种状况，可以使用路由反射器来解决；但本次项目PE数量较少，无需指定路由反射器。

2、 数据网络对IPV6的支持

　　随着国家教育部组织全国100所重点院校接入CERNET2网络，高校校园网首先推行向IPv6网过渡已是必然的趋势。而学校积极主动地应对IPv6，有利于提升学校的应用水平和科研水平，并为IPv6的真正大规模部署做好必要的技术储备。现有的IPv4网络是一个巨大的网络，只有是保护已有投资基础上的IPv6部署才是一个好的部署方案。网络中的不同设备分别在不同的层次上。在部署IPv6时，要避免对已有的设备浪费，避免影响已有的用户和网络，保护已有投资。IPv6的业务是影响IPv6应用的一个重要因素。在部署IPv6设备时，要保证已有的IP业务，使得其平滑的过渡到IPv6的网络中。另外，在开发IPv6的设备的同时，应该开展IPv6业务的研究。IPv6和IPv4间良好的过渡机制也会方便IPv6的部署。在开发和研究IPv6的设备时，应该提供完善的过渡机制，尽可能的方便IPv4和IPv6之间的访问。根据上述因素，对IPv6的部署应该从边缘开始逐步过渡到核心，要提供平滑的网络过渡策略。因此，建议本次教育信息的核心、汇聚设备支持IPv6，以及v4／v6过渡策略。

　　根据本次南山区教育信息网的具体情况以及业务规划，对IPV6的部署可遵循如下原则：

　　采取逐步过渡的策略，初期可考虑小范围部署IPv6试验网，将IPv6试验网直接接入核心交换机，在IPv6网络和现有的IPv4网络之间通过核心交换机实现双栈路由，实现两个网络的互通。

　　教育信息网中考虑到各过渡方式的优缺点，建议采用IPv4/IPv6双栈过渡策略。用户接入重点采用双栈方式，在初期也可采用隧道方式，然后逐渐过渡到双栈方式。

　　中兴通讯作为国内最大的通讯设备提供商和方案提供商为IPv6网络提供了全面的解决方案。 

　　根据教育网的实际情况，中兴通讯给出如下几种IPv6实验网解决方案：

　　根据上面的分析，中兴通讯推荐先建IPv6实验网后改造整个网络的建网思路。

•建网思路：

　　这种实验网的主要目的是验证网络过渡中可能的几种应用，同时验证教育的各种业务移植是否有问题。应当首选以路由器为主要设备进行组网；一方面路由器以网络处理器或通用CPU为硬件平台，具有灵活升级的能力，便于校园网业务的随时开发随时升级。另一方面，路由器功能齐全，接口丰富，便于验证各种应用。中兴通讯推出2种方案。

　　方案1 :简单实用，投资小，适合普通院校计划投资资金较少的项目。可满足1000以下用户的接入如下图：

图4 IPv6实验网解决方案 1

　　方案2 :  增加汇聚层，由汇聚交换机完成IPv6用户之间互访的路由交换。适合稍大型的IPv6实验网的建设。比如：IPv6网络实验楼，实验区等。可满足1000－5000用户的接入如下图：

图5 IPv6实验网解决方案 2

　　如图：本实验网方案可以实现以下几种数据的交互。

•本地IPv6用户通过IPv6实验网络访问外部IPv6用户

方案说明：普通的IPV6包转发功能，只需要在GER上起普通的IPv6协议，完成IPv6的数据包转发。

•本地IPv6用户通过ipv4网络访问外部ipv4用户

方案说明：GER起NAT-PT功能，实现内部IPv6用户通过v4网络访问外部ipv4用户。

•本地IPv6用户通过IPv4网络访问外部IPv6孤岛用户

方案说明：通过在GER路由器上配置６to４BGP隧道，或直接通过配手工配置（６in 4 ）的隧道, 或在GER上配GRE 隧道，均可实现，看实际应用需求。

•外部ipv4用户通过v4网络访问内部IPv6站点

方案说明：GER起NAT-PT功能，实现内部IPv6用户通过v4网络访问外部ipv4用户。

•外部IPv6孤岛用户通过v4网络访问内部IPv6站点

方案说明：通过在GER路由器上配置６ｔｏ４隧道，或直接通过配手工配置（６in 4 ）的隧道, 或在GER上配GRE 隧道，均可实现，看实际应用需求。

•外部IPv6用户通过v6网络访问内部IPv6站点

方案说明：普通的IPV6包转发功能，只需要在GER上起普通的IPv6协议，完成IPv6的数据包转发

•本校园网IPv4用户通过IPv6网络访问外部IPv6用户。

方案说明： 本校园网IPv4用户访问外部IPv6用户，可以在GER路由器上起NAT-PT业务，

•本校园网IPv4用户和IPv6实验网用户之间实现互访。

图6 IPv6实验网功能描述

针对南山教育信息网的路由规划方案

路由协议部署建议

　　基于对于南山教育信息网络和路由协议分析，中兴通讯建议南山教育信息网络使用OSPF的路由协议进行规划。OSPF非常适于中型、大型网络的组网，扩展性好，也是当今网络规划中被广泛使用的设计方法。

　　下面是南山教育信息网络路由的设计方案。

　　1、采用OSPF区域分层设计思想，教育局核心到街道汇聚交换机划分为OSPF骨干区域（BACKBONE）。

　　2、非骨干OSPF区域包含：每个街道办与其下面连接的各学校核心设备。其中，area1为教育局的局域网，8个街道办分别为area2- area9。