全新网络 支持发展
－江苏省教育和科研网(JSERNET)技术方案简介

（一）网络建设总体目标

（1）建成一个具有当前国际先进水平的省域教育网的主干网；
（2）进一步提高JSERNET的服务能力和技术水平；
（3）提高JSERNET运行的安全保障能力；
（4）提高JSERNET网上资源共享能力；
（5）增强JSERNET为各级各类学校，特别是高等学校提供接入服务的能力；
（6）与CERNET及CERNET2的发展相衔接，实现无缝连接，支持现有和未来的各种应用。

（二）JSERNET总体设计思想

　　针对省网用户当前和“十一五”期间的应用要求与江苏省教育信息化建设的需要，网络可用性应有明显提高，规划上具有一定的超前意识，网络具有较好的可扩展性。
　　网络具有较为完善的管理服务体系，满足国家和江苏省教育厅对教育网用户和网络应用的管理要求，解决好CERNET主干网与JSERNET之间的衔接问题，增强教育网的整体性。
　　体现CERNET的开放精神，充分利用JSERNET的现有基础，让入网高校尽可能多地有机会参与网络的建设、运维和监管。

(三) 设计原则

（1）技术先进、规范标准：双栈、组播、流量工程、VPN、安全
（2）高带宽、高性能：10G主干网、100M-1G接入网
（3）开放简洁、易于扩展：IP over Optics、三层结构、L2和L3服务
（4）稳定可靠、安全保障：多环结构、冗余路由
（5）易于管理、分析和统计：开放网管
（6）与国际学术网接轨：新一代网络资源调度和应用

(四) 网络拓扑结构

1、省网主干拓扑

2、城域网拓扑

（五）技术方案特点

1、技术选择

　　构建一个支持IPV4与IPV6双接入的万兆省级教育科研网，同时支持IP QoS、VPN和组播等技术，构建基础网络主要有以下几种技术：
（1）长距离的高速以太网技术与SONET/SDH相结合　
（2）支持IPv4和IPv6　　
（3）基于IP QoS分类服务　　
（4）提供L2/L3 VPN服务　
（5）支持IP组播的应用

2、网络结构设计
　　
　JSERNET采用核心层、汇聚层、接入层的三层设计方案，整个网络将形成多重环路拓扑结构，骨干网上的节点设备都有多条链路连接到省内其它骨干节点设备上，每个主干节点到南京都存在两条以上的网络路由，这样极大地提高了主干网的高冗余与高可靠。
　　
3、互联出口设计

（1）IPv4出口：通过江苏省教育城域网南京骨干路由器连接到位于东南大学的CERNET华东（北）主节点上，可以访问CERNET，并且可以通过CERNET访问INTERNET。
（2）IPv6出口：通过江苏省教育城域网南京骨干路由器连接到位于东南大学的CERNET2华东（北）主节点上, 可以访问CERNET2，并且可以通过CERNET2访问其他IPv6网络。
　　 在南京骨干路由器上配置两块10G板卡，分别与位于东南大学的CERNET和CERNET2的节点设备进行互联，以保证整个JSERNET的互联访问能力。

4、网络可靠性设计

　　 JSERNET的可靠性主要通过采用可靠的组网技术以及制定完善的运行维护机制来保证。组网技术方面主要应考虑链路的可靠性、设备的可靠性、路由的可靠性、设备和线路在网络出现故障时的快速切换和对用户流量的合理配置等方面。网络运营管理包括配置合理的网络管理系统及制定完善的配套管理制度。

5、网络扩展性设计

　　 南京节点作为CERNET2的华东(北)主干节点,可以为江苏省各高校及管理机构提供IPV6接入能力,为所在城市的用户网提供1～10Gbps的接入速率，支持采用IPv6和IPv4协议的用户网接入,所有学校立即可以实现访问CERNET2，并通过CERNET2访问其他IPv6网络的应用。

6、IP地址规划

　　 IP地址的合理规划是JSERNET网络工程设计中的重要环节，JSERNET IP地址分配将采取层次化的IP地址分配方案。
（1）现有的CERNET接入用户：保持现有分配的公有地址不变;
（2）潜在用户：针对现尚未接入JSERNET的教育用户，包括基教等各类用户,我们将分配公有地址进行部署或逐步替换。

7、路由总体设计

　　 基于JSERNET拓扑结构和具体应用需求，建议采用分级设计方案，江苏省网内采用独立的OSPF＋IBGP解决方案，使用OSPF（或IS-IS）承载网络地址，在省网区域内实现下一跳最佳路径选择，使用IBGP承载用户地址。所有省网内链路都属于0域。为了减少全连接和冗余备份的要求，设计相应主干路由器作为BGP RR，对所有区域接入路由器进行路由反射。这种设计方式网络结构简单，易于维护，是目前大网设计最常见的方式。
　　 各地市接入用户上联相应的接入路由器，可以考虑采用静态路由方式接入，维护简单。

8、网络管理设计

　　 根据JSERNET的管理要求，我们将从网络综合运行信息管理、分布式网络探测和集中监控、一体化网络运行中心（主控台）等三个层面对网络管理体系结构进行设计。
　　 根据上述设计思想，JSERNET管理的体系结构自底向上分为三个层面。

9、网络安全设计

　　 在JSERNET主干网中采用部署分布式入侵检测系统，整个系统包括三个部分：攻击特征库、入侵检测引擎、集中管理监控平台。

10、服务质量QOS设计

　　 采用基于DiffServ的端到端QOS解决方案。可将JSERNET的业务类型分为三类：实时业务，准实时业务和普通业务，所有这些业务的划分和标识在JSERNET的边界路由器完成，核心路由器只需根据DSCP标识来对不同业务提供不同质量的服务。为了在JSERNET中实现端到端QoS功能，拟采用DiffServ标准。由于在JSERNET中，大部分的通信业务在广域骨干网及各地市城域网络中进行，因此拟在所有骨干网和二级主干节点部署DiffServ服务。

11、组播网络设计

　　 JSERNET组播网络采用层次化结构，和单播网络拓扑结构基本一致，以保证网络结构的可扩展性，可靠性和可管理性。全网分为两层，第一层主干层是由核心层和汇聚层路由器，组成组播主干网，接入层是由各接入单位接入网组成，接入组播网。
　　 组播和单播工作路由器为各节点的同一路由器，组播和单播数据的传输与转发通过不同的路由协议和策略分别完成，组播网络拓扑图和单播网络拓扑图一致。

12、MPLS-VPN设计

　　 可以允许某些站点属于两个或两个以上的VPN，这时可认为某个站点出现在两个或两个以上的VPN平面上，同时我们可将具有城域网的骨干节点设备设为P路由器；将直接接入用户的骨干设备以及城域网路由设备共同形成JSERNET的PE服务网边界。对于各个接入节点，我们可以根据接入节点的具体情况，采用现有路由器作为CE，连接到本地的PE节点，实现VPN的接入。

13、网络设备选型及配置

　　 采用思科（Cisco 7609、Cisco 7604 ）设备；华为3COM（NE80E、S8500）设备。