文/王曉冬 劉向東

在國家背景的推動下，各地紛紛開始規(guī)劃教育網(wǎng)絡(luò)建設(shè)，浙江省也啟動并實施了“校校通”工程、農(nóng)村中小學(xué)現(xiàn)代遠程教育工程等項目，截止2012年底，全省101個市、縣（市、區(qū)）已全部建成了教育城域網(wǎng)，80.32%的中小學(xué)、99%的高校建成校園網(wǎng)。

由于前期沒有統(tǒng)一的規(guī)劃和標(biāo)準，各級教育城域網(wǎng)、校園網(wǎng)主要采取分級、分校建設(shè)的模式，各級的教育城域網(wǎng)、校園網(wǎng)間沒有實現(xiàn)有效的互聯(lián)，省、市、縣、校主要依賴互聯(lián)網(wǎng)進行聯(lián)通，網(wǎng)絡(luò)傳輸帶寬及安全性方面存在明顯不足，嚴重影響了資源、數(shù)據(jù)的交互和共享，阻礙了浙江省教育信息化的進一步發(fā)展。

圖1 全省教育網(wǎng)絡(luò)整體架構(gòu)

主要研究內(nèi)容

為改變現(xiàn)狀，浙江省教育信息化“十二五”發(fā)展規(guī)劃明確提出：要建設(shè)以省教育廳為中心，下聯(lián)各高校校園網(wǎng)，各設(shè)區(qū)市、縣（市、區(qū)）教育城域網(wǎng)的高速互聯(lián)、安全可靠的浙江省教育計算機網(wǎng)。為做好全省教育網(wǎng)絡(luò)聯(lián)網(wǎng)工作，在總結(jié)前期經(jīng)驗的基礎(chǔ)上，重點需要做好以下幾方面研究工作。

做好網(wǎng)絡(luò)架構(gòu)的頂層設(shè)計

由于當(dāng)前省、市、縣三級教育網(wǎng)絡(luò)沒有很好的互聯(lián)，因此如何從安全性、穩(wěn)定性等角度出發(fā)，做好全省教育網(wǎng)絡(luò)的整體設(shè)計對聯(lián)網(wǎng)工作至關(guān)重要；同時發(fā)揮并利用好全省教育網(wǎng)絡(luò)現(xiàn)有資源，實現(xiàn)省教育計算機網(wǎng)的冗余備份是網(wǎng)絡(luò)設(shè)計的一個重點。

規(guī)范教育網(wǎng)絡(luò)的接入

當(dāng)前各地、各校原有聯(lián)網(wǎng)設(shè)備選擇上有使用防火墻、交換機、路由器等且品牌五花八門，各類設(shè)備沒有統(tǒng)一命名規(guī)則。組網(wǎng)路由方式選擇上差異較大，特別對IP地址使用上，各地普遍使用10段地址組網(wǎng)且存在嚴重重復(fù)情況影響聯(lián)網(wǎng)進行，因此如何規(guī)劃聯(lián)網(wǎng)設(shè)備的選型和命名，做好地址、路由等方面的規(guī)劃是本次研究的重點。

保證重要關(guān)鍵業(yè)務(wù)在網(wǎng)絡(luò)中的應(yīng)用

前期浙江省已經(jīng)建設(shè)了一些重要的業(yè)務(wù)系統(tǒng)，如網(wǎng)上巡查、財務(wù)（資金）管理等系統(tǒng)，對數(shù)據(jù)安全有較高的要求，因此如何保證這些重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸安全也是本次研究的一個關(guān)鍵。

處理好與中國教育科研計算機網(wǎng)的關(guān)系

中國教育科研計算機網(wǎng)CERNET是國家教育寬帶網(wǎng)絡(luò)的重要組成，是打通國家與省級、省級間資源共享的必由之路，因此需做好整體接入。但因CERNET采用“國家建設(shè)、自主運營，成本分擔(dān)”模式（即需要收取一定帶寬租費），資費對一般教育局、中小學(xué)用戶來說，較難承受，在不損害現(xiàn)有運營模式的前提下實現(xiàn)部分有條件的教育局、學(xué)校接入CERNET，是本次研究的又一難點。

具體措施和解決方案

做好網(wǎng)絡(luò)架構(gòu)設(shè)計

浙江省教育計算機網(wǎng)是一個三級網(wǎng)絡(luò)，整體設(shè)計為三部分，骨干網(wǎng)、一級接入網(wǎng)和二級接入網(wǎng)，網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖1所示。

1.骨干網(wǎng)。骨干網(wǎng)由省教育廳與11個設(shè)區(qū)市的節(jié)點組成（包括省本級教育網(wǎng)絡(luò)），通過與浙江省教科網(wǎng)主節(jié)點（浙江大學(xué)）互聯(lián)，實現(xiàn)與CERNET的全面高速連通。

當(dāng)前浙江省教育計算機網(wǎng)骨干網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)為星型，后續(xù)還將逐步擴展為雙星型的結(jié)構(gòu)（主要在當(dāng)前電信線路的基礎(chǔ)上，確定另外一家運營商為省廳至各市各提供一條備線），實現(xiàn)雙星型結(jié)構(gòu)，提高網(wǎng)絡(luò)可靠性。目前我們在省核心節(jié)點已經(jīng)配置了2臺電信級骨干路由器，通過電信的千兆MSTP長距離傳輸鏈路連接到杭州、寧波、溫州等11個設(shè)區(qū)市，線路帶寬目前為1G，后續(xù)將逐步擴展到2.5G以上。

2.一級接入網(wǎng)。一級接入網(wǎng)由各設(shè)區(qū)市與縣（市、區(qū)）、高校匯聚節(jié)點與在杭省屬高校組成，并包括設(shè)區(qū)市本級的教育城域網(wǎng)。

3.二級接入網(wǎng)。二級接入網(wǎng)由縣（市、區(qū)）節(jié)點與所屬學(xué)校節(jié)點組成，目前各縣（市、區(qū)）已建教育城域網(wǎng)即屬于二級接入網(wǎng)部分。

接入網(wǎng)結(jié)構(gòu)也是星形結(jié)構(gòu)設(shè)計，建議有條件的地區(qū)可擴展為雙星型，特別是一級接入網(wǎng)鼓勵與當(dāng)?shù)氐母咝：献鳎ㄈ缗c教科網(wǎng)高校城市節(jié)點共同建設(shè)）。一級接入網(wǎng)與二級接入網(wǎng)的網(wǎng)絡(luò)帶寬均要求達到1G以上，鏈路可以使用MSTP或裸光纖，建議有條件的地區(qū)組網(wǎng)中盡可能考慮使用裸光纖，以減少今后網(wǎng)絡(luò)帶寬升級面臨的瓶頸問題。

規(guī)范網(wǎng)絡(luò)接入要求

對于省教育計算機網(wǎng)的接入，需要從設(shè)備選型及命名、路由規(guī)劃、IP分配等方面進行規(guī)范要求。

1.明確聯(lián)網(wǎng)設(shè)備選型

我們對于各級聯(lián)網(wǎng)設(shè)備的選擇均做了明確要求，具體要求如下：

（1）省級設(shè)備

要求具備：包轉(zhuǎn)發(fā)性能≥1600Mpps，交換容量≥6Tbps；配置雙引擎、冗余電源；業(yè)務(wù)槽位數(shù)≥8個；配置千兆以太光接口、萬兆以太接口；支持OSPF、BGP等路由協(xié)議 ；支持組播、MPLS VPN等功能；支持IPv4及IPv6協(xié)議等；包緩存能力≥200ms。當(dāng)前已采購的2臺H3C 16008核心路由器，包轉(zhuǎn)發(fā)性能達到1920Mpps，交換容量為8.64T，配置了萬兆接口。

（2）設(shè)區(qū)市設(shè)備

要求具備：包轉(zhuǎn)發(fā)性能需達到450Mpps以上，交換容量600G以上，包緩存能力≥200ms，支持OSPF、BGP等路由協(xié)議，支持IPv6路由、組播及MPLS VPN等。根據(jù)上述配置建議，目前各市普遍配置的是華為的NE40E-X8或H3C的SR8808檔次的路由器。

設(shè)區(qū)市還需配置至少1臺核心路由交換機做為本級教育城域網(wǎng)的核心。

（3）縣（市、區(qū)）設(shè)備

要求是獨立配置核心路由器和核心交換機，分別做為一級接入網(wǎng)接入設(shè)備和二級接入網(wǎng)核心，考慮區(qū)域經(jīng)濟不均衡，可放寬將合二為一配置至少1臺核心路由交換機，上連設(shè)區(qū)市并下聯(lián)內(nèi)設(shè)各部門及直屬學(xué)校。該設(shè)備要求包轉(zhuǎn)發(fā)性能達到400Mpps以上，同時要支持OSPF、BGP等路由協(xié)議，支持IPv6路由、組播及MPLS VPN等功能。

（4）學(xué)校接入設(shè)備

對需要地址轉(zhuǎn)換接入（或具有獨立互聯(lián)網(wǎng)出口）的學(xué)校建議使用防火墻、UTM或路由器等設(shè)備互聯(lián)；對于直聯(lián)教育行政部門統(tǒng)一出口的學(xué)校，建議使用交換機互聯(lián)。學(xué)校設(shè)備要求滿足支持千兆吞吐量且端口千兆，支持IPv6等基本條件。

2.規(guī)范聯(lián)網(wǎng)設(shè)備命名

對于全省教育計算機網(wǎng)上的各級聯(lián)網(wǎng)設(shè)備，要求對設(shè)備及接口名稱統(tǒng)一命名。

（1）互聯(lián)設(shè)備統(tǒng)一命名。采用A-BC-YYYY-X的方式，其中A表示該設(shè)備所屬設(shè)區(qū)市的級別，通常取漢字拼音首字母縮寫（如杭州為HZ）；B表示該設(shè)備所屬單位的名稱，要求取單位公章名稱的拼音首字母縮寫；C表示設(shè)備的廠商名稱，如Cisco、華為等；4個Y代表設(shè)備具體型號；X代表若前三項相同用，使用字母A、B等區(qū)分（使用B的說明該單位有二臺相同設(shè)備）。

（2）設(shè)備接口命名規(guī)范。采取“to對端設(shè)備名帶寬”的命名方式。如杭州市使用的1臺路由器某端口千兆上聯(lián)省廳H3C 16008核心，可以將該設(shè)備對應(yīng)的接口描述為:to ZJ-ZJSJYT-H3C-16008-A 1000（帶寬）。通過統(tǒng)一規(guī)范的命名，可方便今后對全網(wǎng)設(shè)備實現(xiàn)統(tǒng)一管理。

3.合理分配IP地址

分別對IPv4和IPv6進行了規(guī)劃，其中IPv4地址包括對教科網(wǎng)分配地址和內(nèi)網(wǎng)地址的分配，內(nèi)網(wǎng)地址分配中考慮了網(wǎng)絡(luò)如何實現(xiàn)逐步過渡。

（1）IPv4地址規(guī)劃

前期我們向CERNET國家網(wǎng)絡(luò)中心申請獲得6個C教科網(wǎng)地址，主要用于分配給各級聯(lián)網(wǎng)設(shè)備間互聯(lián)及部分主機使用。其中設(shè)區(qū)市分配了3段30位掩碼的互聯(lián)地址（2段分別用于連接省廳的2臺核心，1段用于市本級核心路由與城域網(wǎng)核心交換間連接）。后期CERNET國家網(wǎng)絡(luò)中心又為我們增配了8個C的地址，當(dāng)前已重新分配給各地用于主機地址使用，全省101個市、縣（市、區(qū)）各分配了16個地址，用于全省統(tǒng)一建設(shè)的一些分布式系統(tǒng)（如電子學(xué)籍、教育資源、遠程教育等）及本地區(qū)重要業(yè)務(wù)系統(tǒng)主機使用，通過配置這些教科網(wǎng)地址，可以在不出現(xiàn)地址沖突的前提下較快實現(xiàn)全省互聯(lián)。

由于目前全球IPv4地址已經(jīng)分配完畢，申請到的地址遠遠無法滿足實際應(yīng)用的需求，為保證全省聯(lián)網(wǎng)后能更好的發(fā)揮作用，實現(xiàn)教育資源、數(shù)據(jù)的有效交換共享，我們又對10段的私網(wǎng)地址進行了統(tǒng)一規(guī)劃，原則為每個市、縣（市、區(qū)）各分配2個B地址，考慮聯(lián)網(wǎng)初期10.0.0.0-10.128.255.255段地址沖突較嚴重，為保證各地盡快互聯(lián)，首先將10.136段起的地址分配給各地使用（前期各地若未能及時改變地址可通過NAT方式接入），逐步實現(xiàn)全省規(guī)劃地址的統(tǒng)一，考慮到IP地址規(guī)劃對內(nèi)部較私密（本文不具體展現(xiàn)各地實際規(guī)劃的地址）。

（2）IPv6地址規(guī)劃

目前我們正在向教科網(wǎng)國家網(wǎng)絡(luò)中心提交申請一段32位的IPv6地址，待獲得后計劃分配給11個設(shè)區(qū)市各2個48位IPv6地址段，90個縣（市、區(qū)）各1個48位的地址段，各聯(lián)網(wǎng)單位可以利用省教育計算機網(wǎng)的物理鏈路，訪問CERNET2及國際下一代互聯(lián)網(wǎng)上的已經(jīng)建成的IPv6資源。

4.做好路由的整體設(shè)計

做好路由規(guī)劃對與全省教育網(wǎng)絡(luò)有效互聯(lián)、減少維護工作量至關(guān)重要，當(dāng)前我們對省教育計算機網(wǎng)（特別是骨干網(wǎng)和一級接入網(wǎng)上）主要采用BGP和OSPF等動態(tài)路由方式。

其中對骨干網(wǎng)和一級接入網(wǎng)分別規(guī)劃了獨立的AS自治域，整個教育計算機網(wǎng)形成1個骨干網(wǎng)自治系統(tǒng)域和11個一級接入網(wǎng)自治域，如圖2所示，不同AS自治域?qū)⑹褂貌煌腁S號（當(dāng)前已對自治域及自治系統(tǒng)號做了統(tǒng)一的規(guī)劃），自治系統(tǒng)內(nèi)（如杭州教育城域網(wǎng)內(nèi)）建議運行OSPF路由協(xié)議，而省教育廳核心路由設(shè)備與各設(shè)區(qū)市接入路由器間運行BGP路由協(xié)議，避免了路由震蕩對整網(wǎng)的影響，減輕了網(wǎng)絡(luò)運維的難度。

保證關(guān)鍵業(yè)務(wù)應(yīng)用

由于浙江省已建（或擬建）的一些重要關(guān)鍵業(yè)務(wù)系統(tǒng)（如網(wǎng)上巡查、財務(wù)管理等）對數(shù)據(jù)安全有較高的要求，在傳輸中應(yīng)進行加密且不允許數(shù)據(jù)包被截取，因此一旦通過省教育計算機網(wǎng)接入，從安全性角度考慮必須對傳輸通道進行單獨隔離，在網(wǎng)絡(luò)上需要劃分獨立的通道并建立類似MPLS VPN等隧道，實現(xiàn)“網(wǎng)中網(wǎng)”的目的。

在前面設(shè)備選型上我們要求各級設(shè)備都必須支持MPLS VPN等功能，以保證關(guān)鍵業(yè)務(wù)系統(tǒng)在教育專網(wǎng)中的安全應(yīng)用。

明確與教科網(wǎng)間的關(guān)系

1.在技術(shù)層面全面打通物理連接

通過與中國教育和科研計算機網(wǎng)浙江主節(jié)點（浙江大學(xué)）使用裸光纖直連，實現(xiàn)浙江省教育計算機網(wǎng)與CERNET的全面高速互通。由于浙江省教育計算機網(wǎng)各級聯(lián)網(wǎng)設(shè)備均規(guī)劃使用了教科網(wǎng)地址互聯(lián)，各級用戶理論上均可通過省教育計算機網(wǎng)專線實現(xiàn)與國家及跨省間數(shù)據(jù)及資源的共享和交換，國家及外省接入用戶也可通過CERNET訪問浙江省各級聯(lián)網(wǎng)設(shè)備及使用了真實地址的主機應(yīng)用，從技術(shù)層面將CERNET向下延伸到市、縣，特別是中小學(xué)校。

2.在政策上遵循CERNET當(dāng)前運營模式

目前浙江省已有部分地方、學(xué)校已支付（或意向支付）了帶寬租費；而對于國家層面明確要求分布式部署到下級安裝的系統(tǒng)，CERNET方面將無條件開放限制，允許該系統(tǒng)實現(xiàn)上下及跨省的互通，通過上述方式獲得CERNET對浙江省組網(wǎng)的支持并實現(xiàn)雙贏的目的。

圖2 路由協(xié)議總體結(jié)構(gòu)

主要成果與具體特色

1.有效支持了教育資源共享。省教育計算機網(wǎng)骨干網(wǎng)在2012年底已建成并開通，一級接入網(wǎng)基本建成，2013年底前將實現(xiàn)全省60%以上的中小學(xué)校千兆接入，通過全省聯(lián)網(wǎng)工作，實現(xiàn)各級教育城域網(wǎng)、校網(wǎng)園網(wǎng)間高速互聯(lián)，有效支持了全省教育資源的共建共享，提高了教育均衡。

2.規(guī)范的設(shè)計對網(wǎng)絡(luò)運維提供方便。我們在聯(lián)網(wǎng)初期即制訂并發(fā)布了《浙江省教育計算機網(wǎng)技術(shù)實施方案》，從技術(shù)層面規(guī)范了各級網(wǎng)絡(luò)的架構(gòu)、設(shè)備選型，統(tǒng)一分配了地址并明確了各級用戶的職責(zé)，為全省教育網(wǎng)絡(luò)的運維提供了便利。

3.實現(xiàn)了網(wǎng)絡(luò)的安全、可控。由于所有聯(lián)網(wǎng)設(shè)備、地址分配及路由規(guī)劃均由浙江省教育部門掌握，聯(lián)網(wǎng)線路可選擇任意運營商，解決了原先因教育城域網(wǎng)使用不同運營商線路互訪存在限制等問題；在發(fā)生突發(fā)的網(wǎng)絡(luò)安全事件時，可迅速切斷與外部互聯(lián)網(wǎng)絡(luò)的連接，保證網(wǎng)絡(luò)的安全。

4.開創(chuàng)了行業(yè)用戶使用電信級設(shè)備的先河。浙江省教育計算機網(wǎng)核心使用了2臺H3C 16008的電信級骨干路由器并利用了虛擬化（集群）的技術(shù)，是目前除運營商外的全國行業(yè)用戶中首家。

5.將CERNET全面延伸到基層學(xué)校。浙江省將中國教育和科研計算機網(wǎng)地址做為各級聯(lián)網(wǎng)設(shè)備互聯(lián)地址，并通過將省網(wǎng)核心與CERNET高速互聯(lián)的做法，實現(xiàn)了CERNET與浙江省教育計算機網(wǎng)的打通，并將CERNET全面延伸到了基層學(xué)校。

下一步研究方向

全省教育計算機網(wǎng)聯(lián)網(wǎng)工作雖然取得一定成就，但還存在一些問題（如網(wǎng)絡(luò)利用率、網(wǎng)絡(luò)傳輸速率等）函待解決，下一步將重點從以下幾個方面做進一步的研究和完善。

1.如何提高網(wǎng)絡(luò)利用率。網(wǎng)絡(luò)建成后如何提高使用效率是一個關(guān)鍵，下一步將通過行政手段逐步將各類教育管理應(yīng)用、教育資源平臺等遷移到教育專網(wǎng)上應(yīng)用，提高網(wǎng)絡(luò)的利用率；同時擬搭建內(nèi)部的分布式智能DNS平臺，實現(xiàn)用戶通過域名可解析并訪問內(nèi)網(wǎng)應(yīng)用地址。

2.如何改善網(wǎng)絡(luò)傳輸速率。由于聯(lián)網(wǎng)線路傳輸距離較遠（特別是部分骨干網(wǎng)線路超過五百公里）導(dǎo)致網(wǎng)絡(luò)時延較大，在實際測試中發(fā)現(xiàn)傳輸速率遠遠無法達到預(yù)期效果（單線程TCP傳輸速度不到理論值1/10），后期將重點研究如何修改并優(yōu)化TCP參數(shù)，以改善網(wǎng)絡(luò)傳輸速率和用戶體驗。

3.進一步做好IPv6的研究和推進。根據(jù)浙江省《“寬帶浙江”發(fā)展規(guī)劃（2012-2015年）》，浙江省教育計算機網(wǎng)將逐步向IPv6過渡，待中國教育和科研計算機網(wǎng)國家網(wǎng)絡(luò)中心為浙江省分配IPv6地址后，我們將盡快啟動該項研究，前期通過雙棧方式兼容IPv4/IPv6，通過應(yīng)用推動，逐步向純IPv6網(wǎng)絡(luò)過渡，為浙江省“寬帶浙江工程”做好示范和引領(lǐng)。