備考教育城域網(wǎng)方案

1、*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案目錄前 言1【第一部分 城域網(wǎng)建設(shè)綜述】2第一章 項(xiàng)目概況3一、*教育城域網(wǎng)建設(shè)內(nèi)容3二、*教育城域網(wǎng)建設(shè)原則3三、*教育城域網(wǎng)業(yè)務(wù)分析5四、*教育城域網(wǎng)建設(shè)目標(biāo)7第二章 *教育城域網(wǎng)整體解決方案8一、云計(jì)算數(shù)據(jù)中心建設(shè)方案91.1 數(shù)據(jù)中心對(duì)于城域網(wǎng)的戰(zhàn)略意義91.2 數(shù)據(jù)中心的要點(diǎn)91.3 數(shù)據(jù)中心部署10二、網(wǎng)絡(luò)平臺(tái)建設(shè)方案152.1城域網(wǎng)整體拓?fù)浣Y(jié)構(gòu)152.2組網(wǎng)概述152.3詳細(xì)設(shè)計(jì)172.4運(yùn)營商具體要求182.5教育局端建設(shè)要求192.6學(xué)校端具體要求19三、城域網(wǎng)綜合安全建設(shè)方案203.1風(fēng)險(xiǎn)分析203.2 統(tǒng)一安全設(shè)計(jì)原則233.3 網(wǎng)絡(luò)層安全解決方案

2、24四、城域理中心建設(shè)方案294.1 系統(tǒng)安全管理314.2 系統(tǒng)管理324.3 系統(tǒng)拓?fù)涔芾?4-I-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案4.4 系統(tǒng)性能管理364.5 設(shè)備管理組件38五、IP 地址及路由. 395.1IPv4 地址. 395.2IPv6 地址. 415.3IPv4 路由. 425.4IPv6 路由. 42六、組播與 QOS. 436.1 組播業(yè)務(wù)436.2 QOS 優(yōu)化43七、各學(xué)校接入網(wǎng)45【第二部分 城域網(wǎng)建設(shè)內(nèi)容】46第一章 網(wǎng)絡(luò)中心建設(shè)47一、數(shù)據(jù)中心網(wǎng)絡(luò)拓?fù)?71.1 中心交換機(jī)471.2 中心. 471.3 中心服務(wù)器區(qū)域481.4 區(qū)中心教育局辦公區(qū)域48二、軟件系統(tǒng)4

3、82.1 系統(tǒng)總體需求482.2 具體功能要求492.3.1 教育局版492.3.2 多學(xué)校版512.3 辦公管理平臺(tái)532.3.1工作532.3.2 信息中心542.3.3. 552.3.4 辦公管理562.3.5 人事考勤管理57-II-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案2.3.6 學(xué)校信息602.3.7 系統(tǒng)管理602.4庫管理系統(tǒng)622.4VOD 點(diǎn)播系統(tǒng)682.5校務(wù)管理系統(tǒng)702.5.1 功能特點(diǎn)712.5.2 系統(tǒng)界面732.6 網(wǎng)絡(luò)備課授課系統(tǒng)732.6.1 性能特點(diǎn)732.6.2 功能特點(diǎn)752.7發(fā)布系統(tǒng)772.7.1 性能特點(diǎn)772.7.2 功能介紹782.8 校園排課系統(tǒng)792.

4、8.1 性能特點(diǎn)802.8.2 功能特點(diǎn)81三、中心機(jī)房裝修82四、中心機(jī)房防雷接地854.1 設(shè)計(jì)依據(jù)864.2 機(jī)房電源一、雷電防護(hù)864.3 機(jī)房電源三級(jí)雷電防護(hù)874.4 信號(hào)系統(tǒng)防雷設(shè)計(jì)874.5 機(jī)房接地874.6 機(jī)房供電88第二章 各學(xué)校建設(shè)89一、各規(guī)模學(xué)校網(wǎng)絡(luò)建設(shè)891.1 城區(qū)學(xué)校891.2 鄉(xiāng)鎮(zhèn)小學(xué)校90二、校園綜合布線90-III-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案【第三部分會(huì)議建設(shè)內(nèi)容】錯(cuò)誤!未定義書簽。第一章 前言錯(cuò)誤!未定義書簽。一、項(xiàng)目概述錯(cuò)誤!未定義書簽。二、組網(wǎng)需求錯(cuò)誤!未定義書簽。三、設(shè)計(jì)依據(jù)錯(cuò)誤!未定義書簽。四、方案特點(diǎn)錯(cuò)誤!未定義書簽。4.1 先進(jìn)性錯(cuò)誤!未定

5、義書簽。4.2 兼容性錯(cuò)誤!未定義書簽。4.3 安全性錯(cuò)誤!未定義書簽。4.4 可靠性錯(cuò)誤!未定義書簽。第二章 方案設(shè)計(jì)錯(cuò)誤!未定義書簽。一、設(shè)計(jì)原則錯(cuò)誤!未定義書簽。1.1 先進(jìn)性原則錯(cuò)誤!未定義書簽。1.2 標(biāo)準(zhǔn)化原則錯(cuò)誤!未定義書簽。1.3 安全性原則錯(cuò)誤!未定義書簽。1.4 可靠性原則錯(cuò)誤!未定義書簽。1.5 靈活和可擴(kuò)展性原則錯(cuò)誤!未定義書簽。1.6 易操作性原則錯(cuò)誤!未定義書簽。1.7實(shí)用性原則錯(cuò)誤!未定義書簽。二、組網(wǎng)方案錯(cuò)誤!未定義書簽。2.1 組網(wǎng)拓?fù)鋱D錯(cuò)誤!未定義書簽。2.2 組網(wǎng)說明錯(cuò)誤!未定義書簽。2.3 各分會(huì)場(chǎng)（學(xué)校）： 錯(cuò)誤!未定義書簽。三、系統(tǒng)主要應(yīng)用介紹錯(cuò)誤!

6、未定義書簽。3.1 點(diǎn)對(duì)點(diǎn)會(huì)議錯(cuò)誤!未定義書簽。3.2 全網(wǎng)多點(diǎn)會(huì)議錯(cuò)誤!未定義書簽。3.3 分組會(huì)議錯(cuò)誤!未定義書簽。3.4 討論會(huì)議錯(cuò)誤!未定義書簽。3.5 自助式會(huì)議錯(cuò)誤!未定義書簽。-IV-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案3.6 預(yù)議錯(cuò)誤!未定義書簽。3.7 定時(shí)會(huì)議錯(cuò)誤!未定義書簽。3.8 桌面會(huì)議錯(cuò)誤!未定義書簽。3.9培訓(xùn)錯(cuò)誤!未定義書簽。3.10多信息點(diǎn)播錯(cuò)誤!未定義書簽。四、系統(tǒng)主要功能介紹錯(cuò)誤!未定義書簽。4.1 會(huì)議功能錯(cuò)誤!未定義書簽。4.2 雙流功能錯(cuò)誤!未定義書簽。4.3 短消息功能錯(cuò)誤!未定義書簽。4.4 數(shù)字橫幅和字幕功能錯(cuò)誤!未定義書簽。4.5 多畫面顯示錯(cuò)誤!未定義

7、書簽。4.6 動(dòng)態(tài)速率調(diào)整錯(cuò)誤!未定義書簽。4.7 智能丟包恢復(fù)錯(cuò)誤!未定義書簽。4.8 流功能錯(cuò)誤!未定義書簽。4.9 會(huì)場(chǎng)功能錯(cuò)誤!未定義書簽。結(jié)束語：錯(cuò)誤!未定義書簽。-V-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案前言以知識(shí)和信息的生產(chǎn)、應(yīng)用為基礎(chǔ)的知識(shí)占據(jù)著世界發(fā)展的主導(dǎo)地位，綜合國力和國際競(jìng)爭(zhēng)能力更是取決于教育、科學(xué)技術(shù)和知識(shí)創(chuàng)新的水平，教育在和發(fā)展進(jìn)程中起著越來越重要的作用。隨著現(xiàn)代信息技術(shù)的高速發(fā)展，信息化技術(shù)與教育相結(jié)合，正成為中國教育和發(fā)展的關(guān)鍵組成部分，改變著傳統(tǒng)的教育模式。“育人、創(chuàng)新、促進(jìn)公平、提高質(zhì)量”是十二五教育和發(fā)展的工作方針，教育城域網(wǎng)利用多技術(shù)、網(wǎng)絡(luò)技術(shù)等，將本地區(qū)的教育機(jī)構(gòu)

8、、研究機(jī)構(gòu)全部通過網(wǎng)絡(luò)互聯(lián)，使教育整合、開放、共享，達(dá)到整體信息化的集成運(yùn)用的寬帶網(wǎng)絡(luò)，最終形成的一個(gè)區(qū)域性的互聯(lián)、互動(dòng)、信息交換、共享和教育的基礎(chǔ)架構(gòu)，為教育行業(yè)實(shí)現(xiàn)再次飛躍提供了新的思路和發(fā)展方向。2012 年 10 月，為進(jìn)一步推動(dòng)我國計(jì)算機(jī)網(wǎng)絡(luò)及其應(yīng)用技術(shù)進(jìn)步，促進(jìn)教育信息化的發(fā)展，中國教育和科研計(jì)算機(jī)網(wǎng) CERNET 第學(xué)術(shù)年會(huì)在山西隆重召開，大會(huì)上對(duì)移動(dòng)互聯(lián)網(wǎng)與云計(jì)算的發(fā)展做了分析，對(duì)省網(wǎng)中心和各校過去一年信息化建設(shè)所作的工作給予充分肯定，并對(duì)今后全省信息化建設(shè)提出了指導(dǎo)性意見和要求。希望各校進(jìn)一步加強(qiáng)信息化建設(shè)的力度，為建設(shè)統(tǒng)一集中、安全可靠、應(yīng)用廣泛、服務(wù)師生的數(shù)字化校園作出新

9、的貢獻(xiàn)。隨著、通訊技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，教育信息化建設(shè)已經(jīng)由校園的網(wǎng)絡(luò)建設(shè)擴(kuò)展到區(qū)域和城域的網(wǎng)絡(luò)建設(shè)，教育城域網(wǎng)建設(shè)及教育的開發(fā)已經(jīng)成為衡量教育信息化水平的一個(gè)重要標(biāo)準(zhǔn)。在和省教育主管部門的大力推廣和支持下，我省已有多個(gè)地級(jí)市和區(qū)縣建設(shè)完成了本地市、縣級(jí)教育城域網(wǎng)；以信息化帶動(dòng)教育的現(xiàn)代化，以信息化保障新課程和實(shí)施素質(zhì)教育，是事關(guān)實(shí)現(xiàn)教育公平和促進(jìn)義務(wù)教育均衡發(fā)展的重要方式，是真正發(fā)揮電教系統(tǒng)“支持服務(wù)體系”重要職能的體現(xiàn)，是體現(xiàn)本地區(qū)教育水平的重要標(biāo)志，教育城域網(wǎng)的建設(shè)已到了刻不容緩的時(shí)候。-1-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案【第一部分城域網(wǎng)建設(shè)綜述】-2-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案第一章 項(xiàng)目

10、概況一、*教育城域網(wǎng)建設(shè)內(nèi)容目前，全球已掀起一股信息高速公路和建設(shè)的，隨著的飛速發(fā)展，、引入云計(jì)算思想，將池化，搭建一個(gè)快速的數(shù)據(jù)中心。而且我國大多數(shù)省市已經(jīng)逐漸對(duì)教育城域網(wǎng)建設(shè)提到議事日程上來。根據(jù)黨的提出：“要努力辦好滿意的教育，教育是振興和進(jìn)步的基石。要堅(jiān)持教育優(yōu)先發(fā)展，全面貫徹黨的教育方針，堅(jiān)持教育為現(xiàn)代化建設(shè)服務(wù)、為務(wù)，把立德樹人作為教育的根本任務(wù)，培養(yǎng)德智體美全面發(fā)展的建設(shè)者和人。全面實(shí)施素質(zhì)教育，深化教育領(lǐng)域綜合，著力提高教育質(zhì)量，培養(yǎng)學(xué)生創(chuàng)新精神”的要求，全省各地市采用先進(jìn)設(shè)備，搭建一個(gè)安全、穩(wěn)定、先進(jìn)、健康的教育城域網(wǎng)絡(luò)。經(jīng)過廣大師生的切身使用，城域網(wǎng)在教學(xué)中發(fā)揮出很多功能和

11、優(yōu)勢(shì)，確實(shí)能夠滿足“班班通、堂堂用”的要求，得到了廣大師生的一致好評(píng)。此次*教育城域網(wǎng)建設(shè)的主要內(nèi)容是：以*教育局為中心，通過運(yùn)營商通信線路向城區(qū)及周邊的鄉(xiāng)（小學(xué)擴(kuò)散，最終實(shí)現(xiàn)網(wǎng)絡(luò)的；利用城域網(wǎng)信息綜合平臺(tái)和教育庫，實(shí)現(xiàn)全區(qū)范圍內(nèi)的教育共享和城鄉(xiāng)教育均衡發(fā)展；保證*所屬的教學(xué)機(jī)構(gòu)、辦學(xué)能夠*教育局的，通過“班班多”、“校校通”等方式提高*的整體教育風(fēng)貌和信息化建設(shè)水平。*通過教育城域網(wǎng)的，將把全區(qū)的教育、教學(xué)水平和教育行政管理水平整體推上一個(gè)新臺(tái)階，加快全區(qū)教育現(xiàn)代化的進(jìn)程，實(shí)現(xiàn)全區(qū)的教育信息化。二、*教育城域網(wǎng)建設(shè)原則教育城域網(wǎng)連接了其下屬中小學(xué)內(nèi)包括教學(xué)樓、辦公樓、實(shí)驗(yàn)樓、館等大量的信息點(diǎn)

12、，學(xué)校管理、教育科研、電子教學(xué)、教育和互聯(lián)網(wǎng)的引入以及對(duì)外技術(shù)交流與合作服務(wù)等大量業(yè)務(wù)的開展，要求網(wǎng)絡(luò)必須是一個(gè)實(shí)用的、高可靠、高效率、高擴(kuò)展性、高安全性系統(tǒng)。-3-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案為實(shí)現(xiàn)網(wǎng)絡(luò)高質(zhì)、高效互聯(lián)的目標(biāo)要求，在網(wǎng)絡(luò)設(shè)計(jì)構(gòu)建中，應(yīng)始終堅(jiān)持以下建網(wǎng)原則：高可靠性網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)，設(shè)備充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時(shí)應(yīng)便于診斷和排除，充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。性教育網(wǎng)是基于各學(xué)校為網(wǎng)元構(gòu)建起來的面向教育系統(tǒng)的

13、大型網(wǎng)絡(luò)，性是教育網(wǎng)需要考慮的一個(gè)基本特性。性在教育網(wǎng)中體現(xiàn)在兩個(gè)方面：一是整個(gè)教育網(wǎng)網(wǎng)絡(luò)對(duì)于外部網(wǎng)絡(luò)而言是一個(gè)物理上的實(shí)體，單獨(dú)并唯一的實(shí)現(xiàn)對(duì)整個(gè)教育網(wǎng)的統(tǒng)一網(wǎng)絡(luò)管理；二是各學(xué)校做為教育網(wǎng)的基本網(wǎng)元在物理上也應(yīng)該具有一定的性，這一方面是為了教育網(wǎng)網(wǎng)絡(luò)的穩(wěn)定而做的考慮，網(wǎng)絡(luò)各層次之間的依賴關(guān)系越低整個(gè)網(wǎng)絡(luò)的穩(wěn)定性也就越強(qiáng)；同時(shí)也為以后各學(xué)校結(jié)合自身特點(diǎn)開展的特色打好基礎(chǔ)。技術(shù)先進(jìn)性和實(shí)用性在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢(shì)。高性能骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)

14、計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（數(shù)據(jù)、圖象）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。標(biāo)準(zhǔn)開放性支際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標(biāo)準(zhǔn)，有利于保證與其它網(wǎng)絡(luò)(如中國教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、學(xué)校之間等其它網(wǎng)絡(luò))之間的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇詫?duì)網(wǎng)絡(luò)實(shí)行集中監(jiān)測(cè)、分權(quán)管理，并統(tǒng)一分配帶寬。選用先進(jìn)的網(wǎng)絡(luò)管理平臺(tái)，具有對(duì)設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)。強(qiáng) QOS、強(qiáng)組播特性教育網(wǎng)因?yàn)閷?duì)、音頻等多業(yè)務(wù)的需求較大，-4-*教育城域網(wǎng)建

15、設(shè)設(shè)計(jì)方案所以整個(gè)網(wǎng)絡(luò)具有較完善的 QOS 特性對(duì)教育網(wǎng)而言就顯得尤為重要。能不能對(duì)關(guān)鍵業(yè)務(wù)進(jìn)行帶寬優(yōu)先保證尤其是那些對(duì)時(shí)延敏感的業(yè)務(wù)進(jìn)行保證是教育網(wǎng)必須考慮的一個(gè)重點(diǎn)，為實(shí)現(xiàn)區(qū)別服務(wù)，整網(wǎng)端到端的 QOS 特性機(jī)制是優(yōu)質(zhì)網(wǎng)絡(luò)業(yè)務(wù)的保證。另外組播特性對(duì)于有效的保證多流傳輸性能和節(jié)省帶寬也有非常重要的意義，基于組播的特性也會(huì)進(jìn)一步保證組播流的、管理和安全，從而為實(shí)現(xiàn)教育城域網(wǎng)的多業(yè)務(wù)支持提供保障。安全性制訂統(tǒng)一的策略，整體考慮網(wǎng)絡(luò)平臺(tái)的安全性。保證關(guān)鍵數(shù)據(jù)不被竊取、篡改或泄漏，使數(shù)據(jù)具有極高的性。兼容性和性兼容性，能夠最大限度地保證學(xué)?，F(xiàn)有各種計(jì)算機(jī)軟、硬件的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供

16、互聯(lián)和升級(jí)的（如現(xiàn)有的雙向教學(xué)系統(tǒng)），保證各種在用計(jì)算機(jī)系統(tǒng)（包括工作站、服務(wù)器和微機(jī)等設(shè)備）的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)，發(fā)揮主干網(wǎng)的優(yōu)勢(shì)。性，就是在充分利用現(xiàn)有的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級(jí)。三、*教育城域網(wǎng)業(yè)務(wù)分析結(jié)合當(dāng)前教育信息化現(xiàn)狀，確保教育城域網(wǎng)最大程度地服務(wù)于教育信息化改革和提高教學(xué)質(zhì)量，教育城域網(wǎng)必須滿足以下功能：實(shí)現(xiàn) IT的集中部署和分發(fā)傳統(tǒng)各個(gè)學(xué)校自行服務(wù)器、軟件的方式構(gòu)建的 IT 系統(tǒng)，無法實(shí)現(xiàn)有效的整合。軟件系統(tǒng)本身之間完全割裂，形成孤島；而硬件系統(tǒng)的割裂則無法充分發(fā)揮硬件的利

17、用率，往往造成的浪費(fèi)。城域網(wǎng)可成為的共享平臺(tái)。通過集中部署硬件系統(tǒng)和軟件系統(tǒng)，實(shí)現(xiàn)池化，通過城域網(wǎng)分發(fā)到各-5-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案?jìng)€(gè)學(xué)校，達(dá)到最大限度的利用。建成寬帶、先進(jìn)、專業(yè)的高度信息共享的教育城域網(wǎng)系統(tǒng)教育城域網(wǎng)絡(luò)建設(shè)項(xiàng)目是將各個(gè)教育機(jī)構(gòu)全部聯(lián)到網(wǎng)絡(luò)中，最終形成一個(gè)區(qū)域性的互聯(lián)、互動(dòng)、信息交換、共享和教育的基礎(chǔ)構(gòu)架。以教育信息網(wǎng)絡(luò)管理中心為中心的虛擬閉合網(wǎng)絡(luò)，實(shí)現(xiàn)了 “校校通”。教育信息網(wǎng)絡(luò)中心具有先進(jìn)的交換設(shè)備和海量的數(shù)據(jù)存貯能力，在實(shí)現(xiàn)軟件和應(yīng)用共享的同時(shí)，還能為各校提供硬件共享服務(wù)。通過城域網(wǎng)內(nèi)統(tǒng)一的網(wǎng)絡(luò)平臺(tái)，統(tǒng)一的網(wǎng)絡(luò)出，還能最大限度地限制各種不良的。教育城域網(wǎng)絡(luò)系統(tǒng)統(tǒng)一的

18、網(wǎng)絡(luò)平臺(tái)，統(tǒng)一的網(wǎng)絡(luò)出，實(shí)現(xiàn)軟件和應(yīng)用共享，還為各校提供硬件共享服務(wù)。實(shí)現(xiàn)高度共享的教育教學(xué)多通過教育城域網(wǎng)系統(tǒng)實(shí)時(shí)點(diǎn)播或高速，師生可以利用教育城域網(wǎng)絡(luò)系統(tǒng)的教育教學(xué)進(jìn)行輔助教學(xué)和輔助學(xué)習(xí)。教育教學(xué)內(nèi)容覆蓋中小學(xué)階段十幾個(gè)學(xué)科相關(guān)的知識(shí)點(diǎn)，當(dāng)中包括文本、圖形圖像、音頻、動(dòng)畫、課件、課案、課例等素材內(nèi)容。教育和網(wǎng)絡(luò)技術(shù)的應(yīng)用與推廣，將促進(jìn)與學(xué)科課程的整合，建立網(wǎng)絡(luò)環(huán)境下的*中小學(xué)教育新模式。實(shí)現(xiàn)教育系統(tǒng)高效率的教育政務(wù)網(wǎng)日常行政辦公中心處理教育日常事務(wù)，如文件收發(fā)、公文審批、會(huì)議通知等工作。教育數(shù)據(jù)管理中心分為學(xué)校概況、教工管理、學(xué)生管理、校產(chǎn)管理、教育科研、綜合等七大模塊，匯集了學(xué)校、教師、學(xué)

19、生的基本數(shù)據(jù)信息。項(xiàng)目行政服務(wù)中心可以對(duì)學(xué)校、教師、學(xué)生等有關(guān)的行政辦公事務(wù)進(jìn)行自動(dòng)辦理或輔助辦理。實(shí)現(xiàn)信息化課程開發(fā) 小學(xué)及中學(xué)、師范學(xué)校、職業(yè)學(xué)校、成人中專的學(xué)生全面接受教育。課程做到三個(gè)統(tǒng)一：材、綱、統(tǒng)一。 組織編寫并統(tǒng)一使用以計(jì)算機(jī)操作和信息處理為主線，突出互聯(lián)網(wǎng)應(yīng)用的中小學(xué)，并定為中小學(xué)教育實(shí)驗(yàn)。實(shí)現(xiàn)多網(wǎng)絡(luò)教學(xué)-6-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案通過教育城域網(wǎng)絡(luò)系統(tǒng)著眼于教學(xué)、科研、管理的實(shí)際需要，用有限的資金優(yōu)先解決工作急需的問題。設(shè)備易于使用和維護(hù)。為科學(xué)研究提供先進(jìn)平臺(tái)，例如可視化計(jì)算，計(jì)算機(jī)協(xié)同作業(yè)，虛擬網(wǎng)絡(luò)，虛擬現(xiàn)實(shí)，計(jì)算機(jī)，計(jì)算機(jī)與數(shù)據(jù)處理等。建設(shè)支持寬帶多業(yè)務(wù)，例如教學(xué)、多網(wǎng)

20、絡(luò)教室、會(huì)議電視。四、*教育城域網(wǎng)建設(shè)目標(biāo)1）教學(xué)環(huán)境，提高辦學(xué)質(zhì)量；2）實(shí)現(xiàn)的整合，如：課件、精品課堂、教學(xué)；3）實(shí)現(xiàn)網(wǎng)上辦公，網(wǎng)上管理教務(wù)，真正實(shí)現(xiàn)“無紙化辦公”；4）加快了信息化建設(shè)的步伐，為 “教學(xué)”提供了多種平臺(tái)；5）可以實(shí)現(xiàn)“的共享”、“數(shù)據(jù)的無差錯(cuò)傳送”，為“教學(xué)”奠定了牢固的基礎(chǔ)；6）彌補(bǔ)學(xué)校間的師資的不平衡，縮小學(xué)校間的距離；7）可以提高電教化的應(yīng)用水平，使的水平大大提高；8）應(yīng)用軟件可以（教務(wù)軟件等等）使用一套，不但節(jié)省了投資，而且也使培訓(xùn)的工作變得容易；9）可以實(shí)現(xiàn)課件、教學(xué)、精品課堂的點(diǎn)播；10）可以利用多進(jìn)行教學(xué)，并將好的教學(xué)直接回傳到 VOD 服務(wù)器；11）可以利用

21、組播查看，并可實(shí)現(xiàn)流的點(diǎn)播。-7-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案第二章*教育城域網(wǎng)整體解決方案教育城域網(wǎng)整體解決方案是以 IP 通信平臺(tái)為基礎(chǔ)，實(shí)現(xiàn)環(huán)境(特別是重點(diǎn)、敏感區(qū)域的)、（網(wǎng)絡(luò)、計(jì)算）、到活動(dòng)（網(wǎng)絡(luò)的開放架構(gòu)對(duì)定制業(yè)務(wù)的支持）的全部數(shù)字化，利用標(biāo)準(zhǔn)的解決方案，以 IP 技術(shù)為標(biāo)準(zhǔn)技術(shù)，利用 SOA 開放架構(gòu)實(shí)現(xiàn)對(duì)整體 IT 平臺(tái)的統(tǒng)一集成支撐。教育城域網(wǎng)解決方案包括校園接入、區(qū)域信息中心、城域網(wǎng)出口、智能管理中心等多個(gè)子系統(tǒng)。相應(yīng)的，教育城域網(wǎng)整體解決方案由三個(gè)平臺(tái)組成，包括基礎(chǔ)網(wǎng)絡(luò)平臺(tái)、綜合安全平臺(tái)和智能網(wǎng)絡(luò)管理平臺(tái)。建立數(shù)據(jù)服務(wù)中心優(yōu)化整合現(xiàn)有數(shù)據(jù)信息解決教學(xué)、科研、辦公業(yè)務(wù)數(shù)據(jù)海量增

22、長，數(shù)據(jù)無法整合管理的問題解決數(shù)據(jù)性增長，成本要求不斷降低的問題解決各種對(duì)信息系統(tǒng)影響的問題解決跨廣域的數(shù)據(jù)的問題解決跨系統(tǒng)數(shù)據(jù)遷移和備份的問題建設(shè)安全可靠的網(wǎng)絡(luò)平臺(tái) 具備網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化能力整體架構(gòu)具備更有效的容災(zāi)能力，以應(yīng)對(duì)故-8-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案障節(jié)點(diǎn)、故障鏈路、路由震蕩所帶來對(duì)業(yè)務(wù)的影響； 具備網(wǎng)絡(luò)業(yè)務(wù)拓展能力可平滑向下一代網(wǎng)絡(luò)遷移，向IPv6遷移兼容現(xiàn)有組網(wǎng)環(huán)境，IPv6完全由分布式硬件完成，保護(hù)投資；可以隨時(shí)隨地使用，可以基于移動(dòng)漫游環(huán)境，移動(dòng)漫游環(huán)境無需管理者手工干預(yù) 具備安全滲透防御能力具備、業(yè)務(wù)的、，具備在線主動(dòng)抵御的能力；網(wǎng)絡(luò)自身集成安全防御能力，縮小、影響范圍；用戶接

23、入網(wǎng)絡(luò)用戶操作，網(wǎng)絡(luò)實(shí)現(xiàn)整個(gè)教育城域網(wǎng)網(wǎng)絡(luò)的集中統(tǒng)一智能化管理教育城域網(wǎng)是建立在一系列 IT的基礎(chǔ)上，諸如帶寬、教學(xué)辦公數(shù)據(jù)的、計(jì)算、網(wǎng)絡(luò)多通信等，這些需要關(guān)聯(lián)化的管理，的整合，才能將利用 IT 系統(tǒng)服務(wù)校園信息化的價(jià)值最大化。一、云計(jì)算數(shù)據(jù)中心建設(shè)方案1.1 數(shù)據(jù)中心對(duì)于城域網(wǎng)的戰(zhàn)略意義城域網(wǎng)數(shù)據(jù)中心是數(shù)據(jù)大集中而形成的集成 IT 應(yīng)用環(huán)境，它是各種 IT 業(yè)務(wù)和應(yīng)用服務(wù)的提供中心，是數(shù)據(jù)運(yùn)算/交換/的中心，實(shí)現(xiàn)對(duì)用戶的數(shù)據(jù)、應(yīng)用程序、物理構(gòu)架的全面或部分進(jìn)行整合和集中管理。數(shù)據(jù)中心的建設(shè)中，系統(tǒng)的建設(shè)和完善貫穿始終，這和當(dāng)前應(yīng)用系統(tǒng)建設(shè)的重點(diǎn)是相一致的。不論是各種數(shù)字，還是需要備份保存的業(yè)

24、務(wù)數(shù)據(jù)，其中心內(nèi)容都是對(duì)于信息（數(shù)據(jù)）的管理和使用。1.2 數(shù)據(jù)中心的要點(diǎn)高可用網(wǎng)絡(luò)作為數(shù)據(jù)中心的基礎(chǔ)設(shè)施，網(wǎng)絡(luò)的高可用直接影響到業(yè)務(wù)系統(tǒng)的可用性。網(wǎng)絡(luò)層的高可用至少包可靠、高安全和先進(jìn)性三個(gè)方面：高可靠：應(yīng)采用高可靠的和技術(shù)，充分考慮系統(tǒng)的應(yīng)變能力、容錯(cuò)能力和糾錯(cuò)能力，確保整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施運(yùn)行穩(wěn)定、可靠。，關(guān)鍵業(yè)務(wù)應(yīng)用的可用性與性能要求比任何時(shí)候都更為重要。高安全：網(wǎng)絡(luò)基礎(chǔ)設(shè)計(jì)的安全性，涉及到教育城域網(wǎng)業(yè)務(wù)的數(shù)據(jù)安-9-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案全。應(yīng)按照端到端安全、網(wǎng)絡(luò) L2-L7 層安全兩個(gè)維度對(duì)安全體系進(jìn)行設(shè)計(jì)，從局部安全、全局安全到智能安全，將安全理念滲透到整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)中。先進(jìn)性：

25、數(shù)據(jù)中心將長期支撐教育城域網(wǎng)的業(yè)務(wù)發(fā)展，而網(wǎng)絡(luò)又是數(shù)據(jù)中心的基礎(chǔ)支撐平臺(tái)，因此數(shù)據(jù)中心網(wǎng)絡(luò)的建設(shè)需要考慮后續(xù)的機(jī)會(huì)成本，采用主流的、先進(jìn)的技術(shù)和如數(shù)據(jù)中心級(jí)設(shè)備、CEE、FCoE、虛擬化支持等），保證基礎(chǔ)支撐平臺(tái) 510 年內(nèi)被淘汰，從而實(shí)現(xiàn)投資的保護(hù)。易擴(kuò)展教育城域網(wǎng)的業(yè)務(wù)目前已向多元化發(fā)展，未來的業(yè)務(wù)范圍會(huì)更多更廣，業(yè)務(wù)系統(tǒng)頻繁調(diào)整與擴(kuò)展再所難免，因此數(shù)據(jù)中心網(wǎng)絡(luò)平臺(tái)必須能夠適應(yīng)業(yè)務(wù)系統(tǒng)的頻繁調(diào)整，同時(shí)在性能上應(yīng)至少能夠滿足未來 510 年的業(yè)務(wù)發(fā)展。對(duì)于網(wǎng)絡(luò)設(shè)備的選擇和協(xié)議的部署，應(yīng)遵循業(yè)界標(biāo)準(zhǔn)，保證良好的互通性和互操作性，支持業(yè)務(wù)的快速部署。易管理數(shù)據(jù)中心是 IT 技術(shù)最為密集的地方，

26、數(shù)據(jù)中心的設(shè)備繁多，各種協(xié)議和應(yīng)用部署越來越復(fù)雜，對(duì)運(yùn)維的要求也越來越高，單獨(dú)依賴運(yùn)維人員個(gè)人的技術(shù)能力和業(yè)務(wù)能力是無法保證業(yè)務(wù)運(yùn)行的持續(xù)性的。因此數(shù)據(jù)中心需要提供完善的運(yùn)維管理平臺(tái)，對(duì)數(shù)據(jù)中心 IT進(jìn)行全局掌控，減少日常的運(yùn)維的人為故障。同時(shí)一旦出現(xiàn)故障，能夠借助工具直觀、快速。1.3 數(shù)據(jù)中心部署1.3.1 數(shù)據(jù)中心按功能區(qū)的模塊設(shè)計(jì)-10-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案構(gòu)建一個(gè)開放架構(gòu)數(shù)據(jù)中心時(shí)應(yīng)采用一種模塊化的設(shè)計(jì)方法，在數(shù)據(jù)中心中劃分不同的功能區(qū)域，用于部署不同的應(yīng)用，使得整個(gè)數(shù)據(jù)中心的架構(gòu)具備可伸縮性、靈活性、和高可用性。數(shù)據(jù)中心中的服務(wù)器將會(huì)根據(jù)服務(wù)器上應(yīng)用的用戶特性和應(yīng)用的功能分成不

27、同組部署在不同的區(qū)域中，但是由于整個(gè)數(shù)據(jù)中心的很多服務(wù)是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免不必要的重復(fù)浪費(fèi)，一些功能相似的服務(wù)將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。采用模塊化的架構(gòu)設(shè)計(jì)方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，應(yīng)用不同的設(shè)計(jì)方法，可以根據(jù)不同區(qū)域和層次的功能需求進(jìn)行建設(shè)和操作。對(duì)于區(qū)域而言，我們可以從各個(gè)區(qū)域的功能來預(yù)知這個(gè)區(qū)域?qū)蓴U(kuò)展性等的要求，例如，部署業(yè)務(wù)應(yīng)用的區(qū)域可能會(huì)需要更高的可擴(kuò)展性和可用性，而 Internet 區(qū)將更注重安全性。1.3.2 數(shù)據(jù)中心安全與應(yīng)用優(yōu)化本次在數(shù)據(jù)中心的設(shè)計(jì)中，為了降低數(shù)據(jù)中

28、心建設(shè)和將來維護(hù)的成本采用了交換機(jī)集成安全措施的解決方案，這種方式可以：1、簡化數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)2、簡化數(shù)據(jù)中心機(jī)房布線-11-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案3、提高數(shù)據(jù)中心空間利用率4、降低網(wǎng)絡(luò)設(shè)備電力消耗5、提高網(wǎng)絡(luò)的管理、維護(hù)效率并且這種集成化技術(shù)中，本次方案設(shè)計(jì)中的 FW 和 IPS 通過虛擬化技術(shù)，嚴(yán)格的對(duì)數(shù)據(jù)中心內(nèi)的不同業(yè)務(wù)系統(tǒng)，提供 27 層靈活的安全策略，滿足不同數(shù)據(jù)中心區(qū)域有不同的安全等級(jí)要求。1.3.3 數(shù)據(jù)中心的虛擬化數(shù)據(jù)中心虛擬化的目的是通過把（網(wǎng)絡(luò)、計(jì)算、）更有效的管理、更有效的利用，來提高擴(kuò)展降低成本。數(shù)據(jù)中心當(dāng)前的一個(gè)重要問題是能耗過大，數(shù)據(jù)的大集中帶來的不僅是管理水平

29、的提升，同時(shí)也帶來了的高能耗。虛擬化技術(shù)實(shí)現(xiàn)了通過于硬件平臺(tái)的邏輯實(shí)例來使用各種（網(wǎng)絡(luò)、計(jì)算、）的方法，最大化的實(shí)現(xiàn)了對(duì)的利用與共享，成為降低數(shù)據(jù)中心能耗的最有效。-12-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案網(wǎng)絡(luò)虛擬化技術(shù)：IRF 簡介以太網(wǎng)是廣播性質(zhì)的網(wǎng)絡(luò)，一旦鏈路成環(huán)路很容易導(dǎo)致廣播風(fēng)暴，耗盡網(wǎng)絡(luò)鏈路及設(shè)備。然而在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)部署中，為了保證網(wǎng)絡(luò)設(shè)備和鏈路的高可靠，往往通過引入雙機(jī)熱備、雙鏈路雙歸屬的冗余方式組網(wǎng)，引入 MSTP+VRRP協(xié)議來實(shí)現(xiàn)鏈路和設(shè)備網(wǎng)關(guān)的熱備，這種部署方式必然會(huì)帶來網(wǎng)絡(luò)環(huán)路和復(fù)雜度的增加。IRF（Intelligent Resilient Framework，智能彈性架

30、構(gòu)）是公司研發(fā)的交換機(jī)虛擬化技術(shù)。它的思想是將多臺(tái)物理設(shè)備虛擬化成一臺(tái)“虛擬設(shè)備”，實(shí)現(xiàn) N：1 的橫向虛擬化整合。使用這種虛擬化技術(shù)可以實(shí)現(xiàn)多臺(tái)設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。為了便于描述，這個(gè)“虛擬設(shè)備”也稱為 IRF。所以，本文中的 IRF 有兩層意思，一個(gè)是指 IRF 技術(shù)，一個(gè)是指 IRF 設(shè)備。IRF 的優(yōu)點(diǎn)提高可靠性。IRF 的高可靠性體現(xiàn)在多個(gè)方面：其一、IRF 由多臺(tái)成員設(shè)備組成，Master 設(shè)備負(fù)責(zé) IRF 的運(yùn)行、管理和維護(hù)，Slave 設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)。一旦 Master 設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)新的 Master，以保證業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了

31、設(shè)備的 1:N 備份；其二、IRF 虛擬化設(shè)備可實(shí)現(xiàn)跨-13-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案設(shè)備的鏈路聚合，與上、下層設(shè)備之間的鏈路聚合功能，多條鏈路之間可以互為備份也可以進(jìn)行負(fù)載分擔(dān)，從而進(jìn)一步提高了 IRF 的可靠性；其三、IRF 的成員設(shè)備切換和鏈路切換時(shí)間均為毫秒級(jí)，相比傳統(tǒng)的 MSTP+VRRP 協(xié)議的秒十秒的收劍時(shí)間，網(wǎng)絡(luò)的故障自愈時(shí)間有了數(shù)量級(jí)的提升。簡化管理。IRF 形成之后，用戶通過任意成員設(shè)備的任意端口都可以登錄 IRF系統(tǒng)，對(duì) IRF 內(nèi)所有成員設(shè)備進(jìn)行統(tǒng)一管理。此外，由于多臺(tái)設(shè)備虛擬為一臺(tái)設(shè)備，此時(shí)的網(wǎng)絡(luò)邏輯拓?fù)浜喕癁辄c(diǎn)到點(diǎn)的直連，消除了傳統(tǒng)的組網(wǎng)環(huán)路，因此可大大簡化乃至消除

32、 MSTP 協(xié)議的部署，IRF 設(shè)備對(duì)外表現(xiàn)為一個(gè)網(wǎng)關(guān)，也無需部署 VRRP 協(xié)議。同時(shí)，由于 IRF 進(jìn)行了 N：1 的橫向整合，網(wǎng)絡(luò)中設(shè)備的數(shù)量將大大減少，路由協(xié)議的鄰居關(guān)系、設(shè)備 Loopback 地址、網(wǎng)絡(luò)接口互連地址也會(huì)隨之減少，達(dá)到節(jié)省網(wǎng)絡(luò) IP并簡化了網(wǎng)絡(luò)運(yùn)維的目的。強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。通過增加 IRF 成員設(shè)備，可以輕松自如的擴(kuò)展 IRF 的端口數(shù)、帶寬。因?yàn)楦鞒蓡T設(shè)備都有 CPU，能夠處理協(xié)議報(bào)文、進(jìn)行報(bào)文轉(zhuǎn)發(fā)，所以 IRF 還能夠輕松自如的擴(kuò)展處理能力。IRF 組網(wǎng)應(yīng)用數(shù)據(jù)中心實(shí)際組網(wǎng)中，在部署 IRF 虛擬化整合之后，對(duì)上、下層設(shè)備來說，它們就是一臺(tái)設(shè)備，數(shù)據(jù)中心網(wǎng)絡(luò)從服

33、務(wù)器網(wǎng)卡接入至匯聚、交換機(jī)，二層鏈路可實(shí)現(xiàn)端到端。IRF 可部署在層、匯聚層和接入層，如下圖所示：-14-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案二、網(wǎng)絡(luò)平臺(tái)建設(shè)方案2.1城域網(wǎng)整體拓?fù)浣Y(jié)構(gòu)2.2組網(wǎng)概述數(shù)據(jù)中心交換機(jī)采用高性能的數(shù)據(jù)中心交換機(jī)，配置兩臺(tái)并通過 IRF2虛擬化技術(shù)進(jìn)一步提高交換機(jī)的整體性能及安全可靠性。數(shù)據(jù)中心安全防護(hù)區(qū)，通過部署和防御系統(tǒng)，全方位的保護(hù)位于數(shù)據(jù)中心內(nèi)的眾多重要的業(yè)務(wù)服務(wù)器。服務(wù)器接入交換機(jī)采用高速轉(zhuǎn)發(fā)的數(shù)據(jù)中心接入交換機(jī)，并通過虛擬化技術(shù)將 2 臺(tái)服務(wù)器接入交換機(jī)整合，提供高性能、高穩(wěn)定、高可靠的服務(wù)器接入服務(wù)。骨干層，廣域網(wǎng)出口使用骨干路由器，骨干路由器配置冗余電源、冗余主

34、控，進(jìn)一步確保網(wǎng)絡(luò)的可靠性以及安全性，骨干路由器具有強(qiáng)大的性能以及穩(wěn)定性完全可以勝任骨干節(jié)點(diǎn)的。-15-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案校園網(wǎng)，*教育城域網(wǎng)的建設(shè)是由多個(gè)校園網(wǎng)單個(gè)獨(dú)體，校園網(wǎng)作為各個(gè)接入點(diǎn)，使用路由器或三層交換機(jī)作為校園網(wǎng)接入設(shè)備，并使用專線與*教育城域網(wǎng)互聯(lián)。較大型的校園網(wǎng)，本方案采用三層交換機(jī)作為校園網(wǎng)交換機(jī)；而中小型校園網(wǎng)絡(luò)可以采用路由器作為出口設(shè)備互連的組網(wǎng)方式互連；各個(gè)接入點(diǎn)的數(shù)量不同配置若干接入交換機(jī)進(jìn)行組網(wǎng)互聯(lián)。數(shù)據(jù)中心安全，*教育城域網(wǎng)的建設(shè)綜合考慮實(shí)際應(yīng)用情況，推薦在交換機(jī)上部署及防御系統(tǒng)安全模塊，在骨干出口路由器上部署應(yīng)用系統(tǒng)安全模塊，按照關(guān)鍵位置進(jìn)行關(guān)鍵防護(hù)的建

35、設(shè)思路，為用戶打造最為高效、安全的教育城域網(wǎng)絡(luò)。l的部署，滿足網(wǎng)絡(luò)對(duì)安全的基本需求：1）能為用戶提供廣泛和深入的安全防護(hù)和安全連接功能；2）降低與安全相關(guān)的總體擁有成本以及部署的復(fù)雜程度；3）支持外部防范、內(nèi)網(wǎng)安全、流量、郵件過濾、網(wǎng)頁過濾、應(yīng)用層過濾等功能；4）能夠?qū)B接狀態(tài)過程和異常命令進(jìn)行檢測(cè)；5）能夠提供多種智能分析和管理，并支持郵件告警，支持多種日志，提供網(wǎng)絡(luò)管理，協(xié)助網(wǎng)絡(luò)管理員完成網(wǎng)絡(luò)的安全管理；6）支持多種業(yè)務(wù)，如 GRE、IPSec等，可以構(gòu)建多種形式的；7）提供基本的路由能力，支持 RIP/OSPF/BGP/路由策略及策略路由；支持 IPv4/IPv6 雙協(xié)議棧；支持豐富的

36、QoS 特性。l防御系統(tǒng)的部署，我們建議在交換機(jī)上部署 IPS 插卡，可以防止來自蠕蟲、DDOS、系統(tǒng)漏洞、郵件、軟件、木馬等應(yīng)用層，另外，還可以進(jìn)行 BT 的流量限制。IPS 插卡集成防御/檢測(cè)、過濾和帶寬管理等功能，是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的防御/檢測(cè)系統(tǒng)。通過深達(dá) 7 層的分析與檢測(cè)，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的、蠕蟲、木馬、軟件、網(wǎng)頁篡改等和行為，并實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。l應(yīng)用系統(tǒng)的部署，對(duì)網(wǎng)絡(luò)中的 P2P/IM/VoIP 帶寬、網(wǎng)絡(luò)、炒股、多應(yīng)用、等行為進(jìn)行精細(xì)化識(shí)別和；同時(shí)，-16-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案根據(jù)對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的事后審計(jì)

37、，嚴(yán)格規(guī)范用戶網(wǎng)絡(luò)行為。2.3 詳細(xì)設(shè)計(jì)本次網(wǎng)絡(luò)平臺(tái)建設(shè)在充分分析現(xiàn)有需求情況下，提出合理化意見，網(wǎng)絡(luò)分區(qū)分層模塊化設(shè)計(jì)，主要建設(shè)思路：l*與校園網(wǎng)級(jí)聯(lián)采用路由器模式組網(wǎng)n 解決傳統(tǒng)的交換機(jī)組網(wǎng)不能分割廣播域，廣播域過大問題。n 解決IP地址劃分問題l增強(qiáng)數(shù)據(jù)中心設(shè)備性能及可靠性n 通過 IRF2 虛擬化技術(shù)部署在數(shù)據(jù)中心上，增強(qiáng)關(guān)鍵設(shè)備性能交換及服務(wù)器接入交換機(jī)n 通過 IRF2 虛擬化技術(shù)簡化了數(shù)據(jù)中心的組網(wǎng)結(jié)構(gòu)，使網(wǎng)絡(luò)層次、結(jié)構(gòu)更加明晰，更加便于維護(hù)l增強(qiáng)整網(wǎng)安全防護(hù)能力n 通過區(qū)層全面交換機(jī)部署融合式插卡、防御插卡實(shí)現(xiàn)L2-L7防護(hù)n 通過在骨干路由器上部署應(yīng)用網(wǎng)關(guān)模塊，對(duì)網(wǎng)絡(luò)中的P2

38、P/IM/VoIP 帶寬、網(wǎng)絡(luò)、炒股、多應(yīng)用、訪問等行為進(jìn)行精細(xì)化識(shí)別和；同時(shí)，根據(jù)對(duì)網(wǎng)絡(luò)流量、用戶上網(wǎng)行為進(jìn)行深入分析與全面的事后審計(jì)，嚴(yán)格規(guī)范用戶網(wǎng)絡(luò)行為l網(wǎng)絡(luò)與安全融合部署n 互連帶寬高。SecBlade 系列安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬一般可超過 40Gbps，相比傳統(tǒng)的采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊成本。-17-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案n減少單點(diǎn)故障。由于 SecBlade 安全插卡采用背板與交換機(jī)互連，所以互連線路可靠性高，存在互連線路故障點(diǎn)。此外，交換機(jī)的背板具備健康檢測(cè)機(jī)制，在透明模式部署的安全插

39、卡（如 IPS、ACG）上可根據(jù)業(yè)務(wù)要求配置“二層回退”功能，當(dāng)檢測(cè)到 SecBlade 插卡出現(xiàn)故障時(shí)，交換機(jī)可直接對(duì)原來經(jīng)過 SecBlade 安全插卡的流量進(jìn)行旁路，使業(yè)務(wù)流不中斷，避免設(shè)備級(jí)的單點(diǎn)故障。n業(yè)務(wù)接口靈活。SecBlade 系列安全插卡上不對(duì)外提供業(yè)務(wù)接口（僅提供配置管理接口），當(dāng)交換機(jī)上插有 SecBlade 安全插卡時(shí)，交換機(jī)上原有的所有業(yè)務(wù)接口均可配置為安全業(yè)務(wù)接口。此時(shí)再也無需業(yè)務(wù)接口不夠而帶來部署的局限性。n性能平滑擴(kuò)展。當(dāng)一臺(tái)交換機(jī)上的一塊 SecBlade 安全插卡的性能不夠時(shí)，可以再一塊或多塊 SecBlade 插卡實(shí)現(xiàn)性能的平滑疊加。而且所有 SecBla

40、de 插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。l 增強(qiáng)網(wǎng)絡(luò)管理n 配置一套綜合網(wǎng)絡(luò)管理平臺(tái)，實(shí)現(xiàn)全網(wǎng)設(shè)備統(tǒng)一化管理，方便運(yùn)維2.4 運(yùn)營商具體要求u為接入城域網(wǎng)的學(xué)校提供 10M、4M 的 IP 線路，用以滿足其 VOD 點(diǎn)播，教務(wù)教學(xué)的要求；uuu為城域網(wǎng)提供不少于 100M 的互聯(lián)網(wǎng)出口線路，保障業(yè)務(wù)的順暢運(yùn)行；滿足光纖安裝的條件(包括環(huán)境和基礎(chǔ)設(shè)施)。如果網(wǎng)內(nèi)有 xDSL 或者其它線路的，要提供具體的解決方案，包括對(duì)端的設(shè)備，VLAN 的創(chuàng)建,端口的具置和相關(guān)的要求。u運(yùn)營商設(shè)備在設(shè)備的配置時(shí)，遵循統(tǒng)一的標(biāo)準(zhǔn)，對(duì) vlan，接口都要有明確的描述信息（確保一一對(duì)應(yīng)），以便日后

41、的維護(hù)。-18-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案2.5 教育局端建設(shè)要求uuu需提供一個(gè)千兆光口與運(yùn)營商三層設(shè)備相連(詳細(xì)要求與運(yùn)營商協(xié)商)；滿足光纖安裝的條件(包括環(huán)境和基礎(chǔ)設(shè)施)；滿足出口光纖安裝的條件(包括環(huán)境和基礎(chǔ)設(shè)施)。2.6 學(xué)校端具體要求uuu提供入網(wǎng)的設(shè)備（詳見；）提供安全的設(shè)備安；滿足設(shè)備對(duì)供電的要求，電壓要穩(wěn)定。-19-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案三、城域網(wǎng)綜合安全建設(shè)方案3.1風(fēng)險(xiǎn)分析一般說來，計(jì)算機(jī)網(wǎng)絡(luò)存在著以下的安全風(fēng)險(xiǎn)及需要采取的安全對(duì)策：-20-風(fēng)險(xiǎn)安全對(duì)策用戶風(fēng)險(xiǎn)假冒認(rèn)證竊取認(rèn)證非管理重放鑒別、否認(rèn)審計(jì)、深度、阻斷數(shù)據(jù)風(fēng)險(xiǎn)竊取實(shí)體安全、加密篡改完整性檢驗(yàn)毀壞恢復(fù)有害數(shù)據(jù)侵入

42、(包括等)所造成的破壞檢測(cè)、過濾、分析、捕獲應(yīng)用和服務(wù)風(fēng)險(xiǎn)非假冒認(rèn)證密鑰管理漏洞CA、KDC、PKI數(shù)據(jù)庫自身的漏洞檢測(cè)、打補(bǔ)丁、升級(jí)操作系統(tǒng)自身的漏洞漏洞檢測(cè)、打補(bǔ)丁、升級(jí)服務(wù)的脆弱性及漏洞檢測(cè)、打補(bǔ)丁、更新應(yīng)用系統(tǒng)自身的缺陷更新完善服務(wù)器風(fēng)探測(cè)實(shí)時(shí)監(jiān)測(cè)、回火非策略漏洞策略管理、檢查系統(tǒng)配置缺陷*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案教育城域網(wǎng)在現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)及應(yīng)用模式下，可能存在的主要安全風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)自身安全風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備安全有效配置、管理和維護(hù)的風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備是網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)暮诵?，是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，各種網(wǎng)絡(luò)設(shè)備本身的安全與可靠性以及這些設(shè)備上應(yīng)用策略的安全都需要進(jìn)行合理的配置才能夠保證；網(wǎng)絡(luò)設(shè)

43、備提供安全特性合理有效的利用風(fēng)險(xiǎn)：網(wǎng)絡(luò)設(shè)備由于處于網(wǎng)絡(luò)系統(tǒng)中基礎(chǔ)設(shè)施的特性，網(wǎng)絡(luò)設(shè)備選擇是必須考慮能夠提供足夠的防范特性，以實(shí)現(xiàn)在網(wǎng)絡(luò)基礎(chǔ)設(shè)施層就能提供一定的安全特性；網(wǎng)絡(luò)結(jié)構(gòu)及線路冗余的風(fēng)險(xiǎn)：隨著網(wǎng)絡(luò)節(jié)點(diǎn)間的連接密度的增加，整個(gè)網(wǎng)絡(luò)提供的線路冗余能力也會(huì)增加，提供的網(wǎng)絡(luò)數(shù)據(jù)的模式會(huì)更靈活，整個(gè)網(wǎng)絡(luò)可靠性和可用性也會(huì)大大的增加；網(wǎng)絡(luò)層有效的的風(fēng)險(xiǎn)：網(wǎng)絡(luò)結(jié)構(gòu)越來越復(fù)雜，接入網(wǎng)絡(luò)的用戶也越來越多，必須能夠在不同的網(wǎng)絡(luò)區(qū)域之間采取一定的措施，有效不同的網(wǎng)絡(luò)區(qū)域之間的網(wǎng)絡(luò)通信，以此-21-風(fēng)險(xiǎn)安全對(duì)策險(xiǎn)系統(tǒng)版本檢測(cè)、更新系統(tǒng)平臺(tái)評(píng)測(cè)、選擇實(shí)體安全缺陷防輻射、防橇、防雷擊服務(wù)器所存在的陷門和隱通道尚無相

44、應(yīng)的解決技術(shù)及網(wǎng)絡(luò)風(fēng)險(xiǎn)探測(cè)檢測(cè)、回火設(shè)備實(shí)時(shí)監(jiān)測(cè)、管理、維護(hù)通道強(qiáng)度采用高強(qiáng)度加密網(wǎng)絡(luò)設(shè)備配置缺陷定期檢測(cè)、加強(qiáng)配置管理、日志、審計(jì)網(wǎng)絡(luò)設(shè)備物理安全缺陷更新網(wǎng)絡(luò)設(shè)備存在的陷門和隱通道尚無相應(yīng)的解決技術(shù)及網(wǎng)絡(luò)設(shè)備實(shí)體的安全防盜、防輻射、防雷擊*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案來網(wǎng)絡(luò)元素間的互訪能力，避免網(wǎng)絡(luò)，同時(shí)實(shí)現(xiàn)安全風(fēng)險(xiǎn)的有效的，把安全風(fēng)險(xiǎn)在相對(duì)比較以及比較小的網(wǎng)絡(luò)區(qū)域。為了實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)應(yīng)用的有效管理，必須加強(qiáng)對(duì)網(wǎng)絡(luò)用戶的網(wǎng)絡(luò)應(yīng)用能力控制，首先，需要對(duì)用戶接入網(wǎng)絡(luò)的能力進(jìn)行，嚴(yán)格只有經(jīng)過認(rèn)證的用戶才能接入網(wǎng)絡(luò)；同時(shí)，需要更細(xì)粒度的，尤其是對(duì) Internet的訪問，應(yīng)該能夠內(nèi)部用戶Internet 的什

45、么，實(shí)現(xiàn)一定程度的用戶應(yīng)用行為的管理。網(wǎng)絡(luò)行為檢測(cè)和防范的風(fēng)險(xiǎn)：由于 TCP/IP 協(xié)議的開放特性，帶來了非常大的安全風(fēng)險(xiǎn)，常見的 IP 地址竊取、IP 地址假冒，網(wǎng)絡(luò)端口掃描以及危害非常大的拒絕服務(wù)（DOS、DDOS）等，必須能夠提供對(duì)這些行為有效的檢測(cè)和防范能力的措施；由于操作系統(tǒng)平臺(tái)、網(wǎng)絡(luò)應(yīng)用平臺(tái)以及應(yīng)用系統(tǒng)本身存在的很多安全漏洞，必須能夠有效的檢測(cè)到基于這些漏洞的、木馬、蠕蟲和其他各種應(yīng)用層，同時(shí)能夠組合已有的網(wǎng)絡(luò)設(shè)備和，這些行為，提供有效的防范能力；網(wǎng)絡(luò)數(shù)據(jù)傳輸中存在的安全風(fēng)險(xiǎn)：網(wǎng)絡(luò)數(shù)據(jù)在傳輸?shù)倪^程中，很可能被通過各種方式竊取，因此在提供我們上面描述的網(wǎng)絡(luò)數(shù)據(jù)傳輸能力的前提下，必須能

46、夠保證數(shù)據(jù)在傳輸?shù)倪^程中性（保證數(shù)據(jù)傳遞的信息不被第獲得）和完整性（保證數(shù)據(jù)在傳遞過程中不被人修改），尤其是在網(wǎng)絡(luò)傳遞的信息價(jià)值不斷提高情況下。應(yīng)用層威脅2000 年以前，當(dāng)我們談及的時(shí)候，還主要指，因?yàn)槟菚r(shí)候的安全還主要以網(wǎng)絡(luò)層的為主。的確，就像一個(gè)防盜門，給了我們基本的安全防護(hù)。但是，就像今天最好的防盜門也不能“”傳播一樣也不能阻擋今天的網(wǎng)絡(luò)威脅的。今天的現(xiàn)狀和 2000年以前相比，已經(jīng)發(fā)生了很大的改變，我們已經(jīng)進(jìn)入了一個(gè)“應(yīng)用層威脅”泛濫的。-22-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案今天，各種蠕蟲、軟件、網(wǎng)絡(luò)等應(yīng)用層威脅和、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加和難以抵御。這些威脅直接企業(yè)服務(wù)器

47、和應(yīng)用，給企業(yè)帶來了損失；終端用戶計(jì)算機(jī)，給用戶帶來信息風(fēng)險(xiǎn)甚至損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行 DoS/DDoS，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像、BT 等 P2P 應(yīng)用和 MSN、等即時(shí)通信軟件的普及，企業(yè)寶貴帶寬被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的損失。面對(duì)這些問題，傳統(tǒng)解決方案最大的問題是，工作在 TCP/IP 34 層上，根本就“看”不到這些威脅的存在，而 IDS 作為一個(gè)旁路設(shè)備，對(duì)這些威脅又“看而不阻”，因此我們需要一個(gè)全新的安全解決方案。3.2 統(tǒng)一安全設(shè)計(jì)原則在教育城域網(wǎng)系統(tǒng)時(shí)，遵循以下原則，以這些原則為基礎(chǔ)，提供完善的體系化的整體解決方案：l體系化設(shè)計(jì)原則通過分析信息網(wǎng)絡(luò)的網(wǎng)絡(luò)層次關(guān)系、

48、安全需求要素以及動(dòng)態(tài)的實(shí)施過程，提出科學(xué)的安全體系和安全模型，并根據(jù)安全體系和安全模型分析網(wǎng)絡(luò)中可能存在的各種安全風(fēng)險(xiǎn)這些風(fēng)險(xiǎn)以動(dòng)態(tài)實(shí)施過程為基礎(chǔ)，提出整體解決方案，-23-*教育城域網(wǎng)建設(shè)設(shè)計(jì)方案從而最大限度地解決可能存在的安全問題。l全局性、均衡性原則安全解決方案的設(shè)計(jì)從全局出發(fā)，綜合考慮信息資產(chǎn)的價(jià)值、所的安全風(fēng)險(xiǎn)，平衡兩者之間的關(guān)系，根據(jù)信息資產(chǎn)價(jià)值的大小和風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。l可行性、可靠性原則在采用全面的措施之后，應(yīng)該對(duì)原有的網(wǎng)絡(luò)，以及運(yùn)行在此網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)有大的影響，實(shí)現(xiàn)在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，有效的提高網(wǎng)絡(luò)

49、及應(yīng)用的安全強(qiáng)度，保證整個(gè)信息資產(chǎn)的安全。l可動(dòng)態(tài)演進(jìn)的原則方案制定統(tǒng)一技術(shù)和管理方案，采取相同的技術(shù)路線，實(shí)現(xiàn)統(tǒng)一安全策略的制定，并能實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)從基本防御的網(wǎng)絡(luò)，向深度防御的網(wǎng)絡(luò)以及智能防御的網(wǎng)絡(luò)演進(jìn)，形成一個(gè)閉環(huán)的動(dòng)態(tài)演進(jìn)系統(tǒng)。3.3 網(wǎng)絡(luò)層安全解決方案3.3.1 全面網(wǎng)絡(luò)基礎(chǔ)設(shè)施可靠性保證措施首先，可取采取的措施為多種冗余備份能力，包括網(wǎng)絡(luò)線路的多層次冗余、網(wǎng)絡(luò)設(shè)備的多節(jié)點(diǎn)冗余、網(wǎng)絡(luò)設(shè)備自身組件的冗余，通過這些冗余能力，實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)全面的可靠性保證。網(wǎng)絡(luò)線路冗余主要包括如采用網(wǎng)狀或者盡量網(wǎng)狀連接來代替星形、樹形的連接結(jié)構(gòu)，在本次網(wǎng)絡(luò)改造建議方案中，網(wǎng)絡(luò)位置關(guān)鍵節(jié)點(diǎn)設(shè)備均采取冗余電源配置、冗余模塊配置、冗余引擎配置等，基于網(wǎng)絡(luò)設(shè)備豐富的冗余特性，可以有效的實(shí)現(xiàn)這些冗余配置模式。其次，采取高安全性的網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)與安全的融合是未來網(wǎng)絡(luò)發(fā)展的必然趨勢(shì)，隨著網(wǎng)絡(luò)設(shè)備特性的不斷更新，網(wǎng)絡(luò)設(shè)備自身具備的安全能力也在不斷加強(qiáng)。網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)，都統(tǒng)一采用研發(fā)的 Comware 軟件平臺(tái)。3.3.2 骨干網(wǎng)關(guān)鍵設(shè)備具有強(qiáng)大的安全特性全面的功能：支持濾、狀態(tài)，過濾各種報(bào)文，并能提供過