第三层交换技术分析

　　第三层网络路由交换机的出现为大型多媒体网络提供了新的解决方案。通过使用第三层路由交换机，可以大大提高IP包的转发速度。

　　第三层交换技术可以分为两类：基于包的交换和基于流的交换。

　　基于包的交换

　　采用与传统路由器相近的交换方式，对每一个包进行检查。第三层交换机凭借先进的AISC技术，对IP包直接进行芯片道路级处理，速度大大高于路由器采用的基于CPU的处理方式，能够提供全线速的转发，避免发生堵塞和丢包;同时完全兼容路由器的RIP 1和RIP 2协议，能够与传统路由器进行相互的自学习，掌握整个网络的路由信息。采用基于包交换的第三层交换机，网络的配置、设备和软件都不需要变动，能够实现基于包的安全控制。

　　基于流的交换

　　当需要进行跨路由数据传输时，第一个包进行常规路由处理，后续包直接进行转发。在处理器性能不高时，基于流的交换是一种常用的提高路由的方法，但是有极大的缺陷：没有通用标准，与路由器技术不兼容，无法与路由器自动交换路由信息;需要支持基于流交换的网卡和驱动程序;安全性能低，不支持先进的网络安全控制。因此高性能网络不应该采用基于流的交换。

　　4.4 分布层网络通道

　　牡丹江市电讯和教育局就教育城域网达成协议，为教育城域网提供光纤作为网络的分布层主干通道，分布层节点通过1000兆或者100兆光纤接入公网。

　　4.5 接入层节点

　　这层节点对于教育城域网是接入层节点，但对于牡丹江各所学校内的校园网络，却是校园网中核心节点，针对校园网中的大量多媒体数据传输，尤其要支撑校园中的课堂视频辅助教育服务，需要它具有一定的数据吞吐能力，同时为了便于减少城域网中设备的管理压力，减少校园级的网络管理负担，最好这层的交换设备具有网管功能，这样可以通过市级的网络中心直接对设备进行管理。同时为了满足校园网中联网终端不断增加的压力，具有堆叠功能的设备将提供更加优异的扩充性。

　　为此选用MyPower S3026G可堆叠网管交换机可以满足接入层节点的需求。

　　4.6 接入层网络通道

　　这层节点通过100兆光纤接入市公网。

　　4.7 增值服务

　　由于城域网的设计是基于最为灵活的IP方式的，因此在城域网的骨干构架上，公司可以为教育提供一整套的内部语音解决方案，在有内部电话需求的学校，只需占用富裕的交换机端口接以太网IP电话机，然后由信息中心的语音网守统一管理就可实现基于教育城域网的语音通信，信息中心的语音网关MyPower VG2000可以为这个语音网络提供和PSTN网的无缝连接。这样，我们教育系统内部通话就完全免费了;除此之外，公司强大的CA管理系统还可以作为可信的第三方为电子商务发挥效用。

　　4.8 记费管理

　　教育城域网中通过在不同的节点安装Maipu Netsmart计费管理系统，建立计费服务点，可以实现分布式计费，集中式管理，是教育城域网成为一个可运营的网络。

　　4.9 Internet访问

　　整个教育城域网和Internet之间的接口采用MP3600路由器做连接，可以对访问数据进行有效控制。

　　4.10 专网划分

　　由于教育城域网的大部分线路需要使用牡丹江公网，所以需要通过VLAN划分将整个网络划分为教育城域专网。

　　4.11 辅助/备份网络通道

　　对于城域教育网，用户需要比较稳定的网络通道，如果铺设的光纤条件允许的话，建议对首批接入的83所学校提供至少两对光纤，这样建立起完整的冗余备份通道。大大提高用户的使用可靠性。

　　4.12 网络管理

　　使用Maipu Masterplan统一网络管理平台，你可以在信息网的任何一台工作站上，用户可以根据权限从内部和外部网络访问网管信息，实现了分布式网管和24小时随意管理，同时，由于系统升级和扩充只需要对服务器进行操作，而不用改动客户端，所以便于维护。后台服务通过SNMP等协议对各种设备进行不同权限的管理，全面搜集网络及节点设备的信息，拓扑数据统一存储在中央数据库中，用户可以清楚地了解到网络中的各种故障和管理信息，同时提供基于WEB的管理界面，简单易用。

　　4.13 网络安全

　　要保证整个网络的物理安全和信息安全。

　　突然断电是对网络的最大打击，极容易造成网络瘫痪，甚至网络设备损坏，因此必须配置一定数量的UPS。由于信息中心机房的设备非常重要，我们建议采用在线式的并联UPS提供电源保护，并支持4小时的后备时间，并设计专门的发电机组为这个中心提供突发事件时的供电。

　　网络系统的核心是网络上的数据库和信息服务，管理员应该从全局出发树立对关键数据的安全策略，而网络中心的服务器首先应该配备完善的冗错手段，保证数据库和应用信息的安全，一旦发生大的事故或差错，数据和服务应该能够迅速恢复。

　　信息安全更多的需要1) 网络访问控制 ，2) 信息确认，3) 密钥安全，4) 病毒防范

　　为此我们选用MPSEC-FW520网络防火墙、MPSEC-PKI证书/密钥管理系统。

　　另外由于整个网络是建立在运营商为教育网专门划分出来的虚拟网络上，如果考虑到高等级的安全保障，我们还可以根据需要提供国密级的IPSEC VPN服务，彻底保障信息安全。利用MPSEC VPN3020和MPSEC VPN3005等设备加装在网络交换机出口处就可以方便的实现。

　　4.14 广域连接

　　中心网站建设在信息中心，连接以卫星微波连接CERNET , 并通过DDN专线/或IP宽带网连接至CHINANET。

　　同时各个基层单位也可以利用VPN技术，通过因特网来访问中心网站，充分利用了网络运营商的线路资源，降低了成本与维护难度，并实现了数据的高度安全性。

　　为此我们选择MP3600系列模块化安全路由器作为连接远程用户的通道。