卢湾区教育城域网络带宽资源的应用和管理

卢湾区教育城域网络带宽资源的应用和管理孙庆卢湾区教育信息中心一.卢湾区教育城域网的网络结构1.利用电信的IP城域网将卢湾区教育局下属的各个教学单位的校园网互联起来，组成卢湾区教育系统的“校校通”骨干网。2.各校通过租用上海电信的10M光纤专线就近接入上海电信的的IP城域网组成卢湾教育专网。3.各接入学校，在卢湾教育专网内部通过校际互访，可以实现区内教育信息资源共享。4.各接入学校还可以经由卢湾区教育信息中心进入市级教育骨干网，从而实现对上海市教育信息资源的全面共享，并可以通过市教委信息中心的因特网出口实现对Internet的全面互访。5.考虑到市教委信息中心的因特网出口带宽的有限性，区教育信息中心直接向上海电信公司租用了一条10MInternet专线，已加快我区教育系统对因特网的访问。6.采用链路均衡负载设备，使教育城域网内部网络用户能同时通过两个外网出口实现和Internet的互连互访。二.卢湾区教育城域网络拓扑结构三.卢湾教育网内部各校园网络建设基本原则1.利用校园网建立起学校信息发布（学校网站）、电子邮件、域名解析、网络远程教学（双向视频会议）等各项网络应用服务。2.卢湾区教育局下属各建网学校应接入卢湾区教育信息专网。3.由于教育城域网已安排了统一的因特网出口，各校可以不设自己的出口，统一使用区教育信息中心的出口访问因特网。4.各个校园网的IP地址分配按统一要求和规范进行规划实施。5.各校园网络必须统一安装网络版防毒软件6.各校在校园网出口处统一安装信息过滤软件四.“校校通”工程卢湾区教育信息专网IP地址解决方案1.卢湾教育网的IP地址段范围:10.48.0.0—10.55.255.255（网络地址：10.48.0.0子网掩码：255.248.0.0）2.教育网内部各校园网在区网地址段内被分配有多个C类地址，校园网络路由器的内部端口地址以及校园网内部服务器、DNS服务器以及邮件服务器的地址必须采用指定的IP地址。3.教育内部用户访问因特网资源时，通过信息中心在因特网出口处的放火墙，实现多对一的地址转换（PAT），将内部地址转换成中国电信分配的公网IP地址，实现对外网的访问。4.各学校网络中心的服务器也使用内部地址，在本网出口处进行一对一的静态地址转换（NAT），转换成中国电信分配的公网IP地址，供外网用户访问。五.卢湾教育信息网的域名使用1.卢湾区教育信息网向CNNIC独立注册的域名：lwedu.sh.cn2.卢湾区各校园网在注册域名lwedu.sh.cn建立了下级子域例如：向明中学域名：xiangming.lwedu.sh.cn中华职校：zhonghua.lwedu.sh.cn3.外网因特网用户，可以根据这些合法的域名对本网进行访问。4.各个校园网内部应建立用于本校主机域名解析的DNS服务器（域名解析服务器），并通过设置将校园网以外的其它域名解析请求转发到信息中心DNS服务器。信息中心的DNS服务器负责全区教育网域名解析，以及因特网的域名解析。六、卢湾教育城域网络面临的一些问题1.网络设备工作异常造成链路不稳定性例如：设备链接端口自动协商不成造成数据报丢失设备性能较差终处于超负荷运行状态之中设备配置有误2.计算机病毒攻击网络节点设备和无限制侵占带宽资源例如：遇到由病毒引起的突发DOS、DDOS攻击3.日益增多的各种网络应用使有限的网络带宽资源不堪重负例如：声音流与多媒体(RealAudio,WindowsMediaStream等)网络游戏(HalfLife,YahooGame,Battle.net等)P2P网络共享类应用程序的泛滥(Bittorrent、edonkey,等。)网络实时通信应用(MSN-messaenger,Skype,ICQ-2000等)0.00%10.00%20.00%30.00%40.00%50.00%60.00%70.00%80.00%90.00%利用率全区流量统计卢湾区教育专网年流量统计(出口总带宽20M)流入年最高使用率%流入年平均使用率%流出年最高使用率%流出年平均使用率%4.网络带宽资源统计图表七、解决网络故障一些方法1.网络链路健康检查以及设备工作状态利用网络管理软件初步确定链路出错位置（SolarWinBandwidthMonitor看流量分配状况）利用简便有效的ping命令检查丢包状况确定链路健康状况(保障视频会议应用正常运行，声音连贯清晰，活动图象连续)各校接入点电信光电转换器工作状态检查（网络节点处排障）利用MRTG建立大网出口和各校网络出口处的流量统计，注意观察并进行分析处理。（）利用网管软件实施监控制大网出口和各接入校园网流量2.遇突发病毒攻击造成大网出口拥塞时应予以及时有效处理迅速诊断病毒特征和来源例如：利用侦听抓包工具获取数据报文进行分析(Sniffer)根据特征(IP地址和端口号)阻挡攻击进行相应处理例如：立即隔离病毒源（根据IP），在可能的情况下在交换机、路由器端口设置ACL以阻断病毒攻击。平时应注意杀毒软件运行和升级状况，及时更新，进行杀毒例如：要求各校为杀毒软件制定病毒库自动升级任务计划并公布升级数据文件供下载使用网络流量管控设备自动发现的各类网络应用协议利用网络分析软件捕获数据报文监测网络异常现象3.选用合适的网络流量管控设备合理分配带宽资源实现网络流量整形①安装PacketeerPacketshaper网络流量管控设备对大网出口处进行流量进行监测、分析和指定相应制定带宽管理策略。②根据高层应用层协议特征分类网络流量，为不同类型的网络流量制定带宽分配策略有效地抑制某些网络应用占用带宽的无限增长趋势（FTP、P2P）保护某些抢占带宽能力较弱的重要的网络应用提供可用带宽资源的最低保障（HTTP、SMTP）③根据网络地址建立特殊的网络流量类别，实现对不同网段的带宽管理和流量控制平衡城域网内部各校园网分占外网出口带宽资源的比例（区教育大网的外网出口带宽资源有限）对于网络中出现的极端状况提供快捷有效的网络管理处置手段（中华职校）对各所学校的网络应用状况进行统计分析并反馈给学校网络流量管控设备自动发现的各类网络应用协议4.带宽分配策略实施前后比较(流入)带宽分配策略实施前后比较(流出)谢谢！