浙江省教育計算機網：建設高速互聯的地區教科網

文/王曉冬 劉向東

在國家背景的推動下，各地紛紛開始規劃教育網絡建設，浙江省也啟動并實施了“校校通”工程、農村中小學現代遠程教育工程等項目，截止2012年底，全省101個市、縣（市、區）已全部建成了教育城域網，80.32%的中小學、99%的高校建成校園網。

由于前期沒有統一的規劃和標準，各級教育城域網、校園網主要采取分級、分校建設的模式，各級的教育城域網、校園網間沒有實現有效的互聯，省、市、縣、校主要依賴互聯網進行聯通，網絡傳輸帶寬及安全性方面存在明顯不足，嚴重影響了資源、數據的交互和共享，阻礙了浙江省教育信息化的進一步發展。

圖1 全省教育網絡整體架構

主要研究內容

為改變現狀，浙江省教育信息化“十二五”發展規劃明確提出：要建設以省教育廳為中心，下聯各高校校園網，各設區市、縣（市、區）教育城域網的高速互聯、安全可靠的浙江省教育計算機網。為做好全省教育網絡聯網工作，在總結前期經驗的基礎上，重點需要做好以下幾方面研究工作。

做好網絡架構的頂層設計

由于當前省、市、縣三級教育網絡沒有很好的互聯，因此如何從安全性、穩定性等角度出發，做好全省教育網絡的整體設計對聯網工作至關重要；同時發揮并利用好全省教育網絡現有資源，實現省教育計算機網的冗余備份是網絡設計的一個重點。

規范教育網絡的接入

當前各地、各校原有聯網設備選擇上有使用防火墻、交換機、路由器等且品牌五花八門，各類設備沒有統一命名規則。組網路由方式選擇上差異較大，特別對IP地址使用上，各地普遍使用10段地址組網且存在嚴重重復情況影響聯網進行，因此如何規劃聯網設備的選型和命名，做好地址、路由等方面的規劃是本次研究的重點。

保證重要關鍵業務在網絡中的應用

前期浙江省已經建設了一些重要的業務系統，如網上巡查、財務（資金）管理等系統，對數據安全有較高的要求，因此如何保證這些重要業務系統數據傳輸安全也是本次研究的一個關鍵。

處理好與中國教育科研計算機網的關系

中國教育科研計算機網CERNET是國家教育寬帶網絡的重要組成，是打通國家與省級、省級間資源共享的必由之路，因此需做好整體接入。但因CERNET采用“國家建設、自主運營，成本分擔”模式（即需要收取一定帶寬租費），資費對一般教育局、中小學用戶來說，較難承受，在不損害現有運營模式的前提下實現部分有條件的教育局、學校接入CERNET，是本次研究的又一難點。

具體措施和解決方案

做好網絡架構設計

浙江省教育計算機網是一個三級網絡，整體設計為三部分，骨干網、一級接入網和二級接入網，網絡拓撲結構如圖1所示。

1.骨干網。骨干網由省教育廳與11個設區市的節點組成（包括省本級教育網絡），通過與浙江省教科網主節點（浙江大學）互聯，實現與CERNET的全面高速連通。

當前浙江省教育計算機網骨干網的網絡結構為星型，后續還將逐步擴展為雙星型的結構（主要在當前電信線路的基礎上，確定另外一家運營商為省廳至各市各提供一條備線），實現雙星型結構，提高網絡可靠性。目前我們在省核心節點已經配置了2臺電信級骨干路由器，通過電信的千兆MSTP長距離傳輸鏈路連接到杭州、寧波、溫州等11個設區市，線路帶寬目前為1G，后續將逐步擴展到2.5G以上。

2.一級接入網。一級接入網由各設區市與縣（市、區）、高校匯聚節點與在杭省屬高校組成，并包括設區市本級的教育城域網。

3.二級接入網。二級接入網由縣（市、區）節點與所屬學校節點組成，目前各縣（市、區）已建教育城域網即屬于二級接入網部分。

接入網結構也是星形結構設計，建議有條件的地區可擴展為雙星型，特別是一級接入網鼓勵與當地的高校合作（如與教科網高校城市節點共同建設）。一級接入網與二級接入網的網絡帶寬均要求達到1G以上，鏈路可以使用MSTP或裸光纖，建議有條件的地區組網中盡可能考慮使用裸光纖，以減少今后網絡帶寬升級面臨的瓶頸問題。

規范網絡接入要求

對于省教育計算機網的接入，需要從設備選型及命名、路由規劃、IP分配等方面進行規范要求。

1.明確聯網設備選型

我們對于各級聯網設備的選擇均做了明確要求，具體要求如下：

（1）省級設備

要求具備：包轉發性能≥1600Mpps，交換容量≥6Tbps；配置雙引擎、冗余電源；業務槽位數≥8個；配置千兆以太光接口、萬兆以太接口；支持OSPF、BGP等路由協議 ；支持組播、MPLS VPN等功能；支持IPv4及IPv6協議等；包緩存能力≥200ms。當前已采購的2臺H3C 16008核心路由器，包轉發性能達到1920Mpps，交換容量為8.64T，配置了萬兆接口。

（2）設區市設備

要求具備：包轉發性能需達到450Mpps以上，交換容量600G以上，包緩存能力≥200ms，支持OSPF、BGP等路由協議，支持IPv6路由、組播及MPLS VPN等。根據上述配置建議，目前各市普遍配置的是華為的NE40E-X8或H3C的SR8808檔次的路由器。

設區市還需配置至少1臺核心路由交換機做為本級教育城域網的核心。

（3）縣（市、區）設備

要求是獨立配置核心路由器和核心交換機，分別做為一級接入網接入設備和二級接入網核心，考慮區域經濟不均衡，可放寬將合二為一配置至少1臺核心路由交換機，上連設區市并下聯內設各部門及直屬學校。該設備要求包轉發性能達到400Mpps以上，同時要支持OSPF、BGP等路由協議，支持IPv6路由、組播及MPLS VPN等功能。

（4）學校接入設備

對需要地址轉換接入（或具有獨立互聯網出口）的學校建議使用防火墻、UTM或路由器等設備互聯；對于直聯教育行政部門統一出口的學校，建議使用交換機互聯。學校設備要求滿足支持千兆吞吐量且端口千兆，支持IPv6等基本條件。

2.規范聯網設備命名

對于全省教育計算機網上的各級聯網設備，要求對設備及接口名稱統一命名。

（1）互聯設備統一命名。采用A-BC-YYYY-X的方式，其中A表示該設備所屬設區市的級別，通常取漢字拼音首字母縮寫（如杭州為HZ）；B表示該設備所屬單位的名稱，要求取單位公章名稱的拼音首字母縮寫；C表示設備的廠商名稱，如Cisco、華為等；4個Y代表設備具體型號；X代表若前三項相同用，使用字母A、B等區分（使用B的說明該單位有二臺相同設備）。

（2）設備接口命名規范。采取“to對端設備名帶寬”的命名方式。如杭州市使用的1臺路由器某端口千兆上聯省廳H3C 16008核心，可以將該設備對應的接口描述為:to ZJ-ZJSJYT-H3C-16008-A 1000（帶寬）。通過統一規范的命名，可方便今后對全網設備實現統一管理。

3.合理分配IP地址

分別對IPv4和IPv6進行了規劃，其中IPv4地址包括對教科網分配地址和內網地址的分配，內網地址分配中考慮了網絡如何實現逐步過渡。

（1）IPv4地址規劃

前期我們向CERNET國家網絡中心申請獲得6個C教科網地址，主要用于分配給各級聯網設備間互聯及部分主機使用。其中設區市分配了3段30位掩碼的互聯地址（2段分別用于連接省廳的2臺核心，1段用于市本級核心路由與城域網核心交換間連接）。后期CERNET國家網絡中心又為我們增配了8個C的地址，當前已重新分配給各地用于主機地址使用，全省101個市、縣（市、區）各分配了16個地址，用于全省統一建設的一些分布式系統（如電子學籍、教育資源、遠程教育等）及本地區重要業務系統主機使用，通過配置這些教科網地址，可以在不出現地址沖突的前提下較快實現全省互聯。

由于目前全球IPv4地址已經分配完畢，申請到的地址遠遠無法滿足實際應用的需求，為保證全省聯網后能更好的發揮作用，實現教育資源、數據的有效交換共享，我們又對10段的私網地址進行了統一規劃，原則為每個市、縣（市、區）各分配2個B地址，考慮聯網初期10.0.0.0-10.128.255.255段地址沖突較嚴重，為保證各地盡快互聯，首先將10.136段起的地址分配給各地使用（前期各地若未能及時改變地址可通過NAT方式接入），逐步實現全省規劃地址的統一，考慮到IP地址規劃對內部較私密（本文不具體展現各地實際規劃的地址）。

（2）IPv6地址規劃

目前我們正在向教科網國家網絡中心提交申請一段32位的IPv6地址，待獲得后計劃分配給11個設區市各2個48位IPv6地址段，90個縣（市、區）各1個48位的地址段，各聯網單位可以利用省教育計算機網的物理鏈路，訪問CERNET2及國際下一代互聯網上的已經建成的IPv6資源。

4.做好路由的整體設計

做好路由規劃對與全省教育網絡有效互聯、減少維護工作量至關重要，當前我們對省教育計算機網（特別是骨干網和一級接入網上）主要采用BGP和OSPF等動態路由方式。

其中對骨干網和一級接入網分別規劃了獨立的AS自治域，整個教育計算機網形成1個骨干網自治系統域和11個一級接入網自治域，如圖2所示，不同AS自治域將使用不同的AS號（當前已對自治域及自治系統號做了統一的規劃），自治系統內（如杭州教育城域網內）建議運行OSPF路由協議，而省教育廳核心路由設備與各設區市接入路由器間運行BGP路由協議，避免了路由震蕩對整網的影響，減輕了網絡運維的難度。

保證關鍵業務應用

由于浙江省已建（或擬建）的一些重要關鍵業務系統（如網上巡查、財務管理等）對數據安全有較高的要求，在傳輸中應進行加密且不允許數據包被截取，因此一旦通過省教育計算機網接入，從安全性角度考慮必須對傳輸通道進行單獨隔離，在網絡上需要劃分獨立的通道并建立類似MPLS VPN等隧道，實現“網中網”的目的。

在前面設備選型上我們要求各級設備都必須支持MPLS VPN等功能，以保證關鍵業務系統在教育專網中的安全應用。

明確與教科網間的關系

1.在技術層面全面打通物理連接

通過與中國教育和科研計算機網浙江主節點（浙江大學）使用裸光纖直連，實現浙江省教育計算機網與CERNET的全面高速互通。由于浙江省教育計算機網各級聯網設備均規劃使用了教科網地址互聯，各級用戶理論上均可通過省教育計算機網專線實現與國家及跨省間數據及資源的共享和交換，國家及外省接入用戶也可通過CERNET訪問浙江省各級聯網設備及使用了真實地址的主機應用，從技術層面將CERNET向下延伸到市、縣，特別是中小學校。

2.在政策上遵循CERNET當前運營模式

目前浙江省已有部分地方、學校已支付（或意向支付）了帶寬租費；而對于國家層面明確要求分布式部署到下級安裝的系統，CERNET方面將無條件開放限制，允許該系統實現上下及跨省的互通，通過上述方式獲得CERNET對浙江省組網的支持并實現雙贏的目的。

圖2 路由協議總體結構

主要成果與具體特色

1.有效支持了教育資源共享。省教育計算機網骨干網在2012年底已建成并開通，一級接入網基本建成，2013年底前將實現全省60%以上的中小學校千兆接入，通過全省聯網工作，實現各級教育城域網、校網園網間高速互聯，有效支持了全省教育資源的共建共享，提高了教育均衡。

2.規范的設計對網絡運維提供方便。我們在聯網初期即制訂并發布了《浙江省教育計算機網技術實施方案》，從技術層面規范了各級網絡的架構、設備選型，統一分配了地址并明確了各級用戶的職責，為全省教育網絡的運維提供了便利。

3.實現了網絡的安全、可控。由于所有聯網設備、地址分配及路由規劃均由浙江省教育部門掌握，聯網線路可選擇任意運營商，解決了原先因教育城域網使用不同運營商線路互訪存在限制等問題；在發生突發的網絡安全事件時，可迅速切斷與外部互聯網絡的連接，保證網絡的安全。

4.開創了行業用戶使用電信級設備的先河。浙江省教育計算機網核心使用了2臺H3C 16008的電信級骨干路由器并利用了虛擬化（集群）的技術，是目前除運營商外的全國行業用戶中首家。

5.將CERNET全面延伸到基層學校。浙江省將中國教育和科研計算機網地址做為各級聯網設備互聯地址，并通過將省網核心與CERNET高速互聯的做法，實現了CERNET與浙江省教育計算機網的打通，并將CERNET全面延伸到了基層學校。

下一步研究方向

全省教育計算機網聯網工作雖然取得一定成就，但還存在一些問題（如網絡利用率、網絡傳輸速率等）函待解決，下一步將重點從以下幾個方面做進一步的研究和完善。

1.如何提高網絡利用率。網絡建成后如何提高使用效率是一個關鍵，下一步將通過行政手段逐步將各類教育管理應用、教育資源平臺等遷移到教育專網上應用，提高網絡的利用率；同時擬搭建內部的分布式智能DNS平臺，實現用戶通過域名可解析并訪問內網應用地址。

2.如何改善網絡傳輸速率。由于聯網線路傳輸距離較遠（特別是部分骨干網線路超過五百公里）導致網絡時延較大，在實際測試中發現傳輸速率遠遠無法達到預期效果（單線程TCP傳輸速度不到理論值1/10），后期將重點研究如何修改并優化TCP參數，以改善網絡傳輸速率和用戶體驗。

3.進一步做好IPv6的研究和推進。根據浙江省《“寬帶浙江”發展規劃（2012-2015年）》，浙江省教育計算機網將逐步向IPv6過渡，待中國教育和科研計算機網國家網絡中心為浙江省分配IPv6地址后，我們將盡快啟動該項研究，前期通過雙棧方式兼容IPv4/IPv6，通過應用推動，逐步向純IPv6網絡過渡，為浙江省“寬帶浙江工程”做好示范和引領。