XX中學網絡改造方案141211-終稿

銀川市唐徠回民中學校本部校園網改造及數據中心擴容技術方案二零一四年十二月八日

目錄TOC\o"1-5"\h\z\u一、概述 -4-1、項目背景 -4-2、網絡及信息化的應用現狀及存在的問題 -4-3、需求分析 -7-3.1、業(yè)務需求分析 -7-3.2、網絡功能需求分析 -8-3.3、現有網絡架構分析 -9-3.4、網絡擴展需求分析 -11-3.5、網絡安全需求分析 -11-3.6、網絡管理需求分析 -12-二、網絡改造目標及任務 -13-三、指導思想 -14-1、適應學校信息化發(fā)展需要 -14-2、充分利用原有設備 -14-3、采用新技術，適度超前，界面友好，留有冗余 -14-四、建設原則 -14-1、統(tǒng)籌規(guī)劃，階段建設 -14-2、技術先進，放眼長遠 -15-3、經濟實用，節(jié)約成本 -16-4、重視資源，集成共享 -16-5、保護投資，注意兼容 -16-6、產品選型先進，保證產品穩(wěn)定可靠 -16-五、綜合布線系統(tǒng)改造方案 -16-1、需求分析 -16-2、綜合布線系統(tǒng)的結構 -17-3、系統(tǒng)的總體設計 -18-4、系統(tǒng)結構設計描述 -19-4.1工作區(qū)子系統(tǒng)（WorkArea）及其網絡設計 -19-4.2水平子系統(tǒng)（Horizontal）及其網絡設計 -19-4.3管理子系統(tǒng)（Administration）及其網絡設計 -20-4.4干線子系統(tǒng)（Backbone）及其網絡設計 -20-4.5設備間子系統(tǒng)（EquipmentRoom）及其網絡設計 -20-六、校園網改造方案 -22-1、設計原則 -22-1.1、全面性 -22-1.2、高可用性 -22-1.3、安全性 -22-1.4、可擴展性 -22-1.5、先進性 -23-1.6、設備管理智能化 -23-2、基礎網絡設計內容 -23-3、校園網升級改造解決方案 253.1基礎網絡架構設計 263.2安全出口設計 263.3無線校園網方案設計 273.4無線校園網安全認證接入設計 283.5流量“可視化管理”設計 293.6校園輿情監(jiān)控及審計功能設計 313.7互聯網加速功能設計 323.8安全漏洞掃描功能設計 343.8有線、無線一體化智能運維管理設計 353.9校園內部網絡安全設計 36七、校園網基礎云平臺建設方案 401、規(guī)劃設計原則 402、總體技術框架圖 413、主要技術路線 423.1、資源池化 423.2、彈性擴展 433.3、智能化云管理 453.4、安全可控能力 464、基礎平臺建設方案 465、方案詳細介紹 475.1、服務器虛擬化解決方案 475.2、數據庫集群系統(tǒng)解決方案 53八、項目預算 54

一、概述1、項目背景銀川市唐徠回民中學占地總面積為38052.7平米，校舍建筑總面積24959平方米，生均占地面積11.9平米，學?，F有四個校區(qū)，分別為校本部、西校區(qū)、南校區(qū)及寶湖校區(qū)。其中校本部（高中部）建于1990年，占地58畝，教職工130人，教學班35個（其中民族班和中法國際班各1個），學生2200多人。建設“數字化校園”是當前每個學校進行學校信息系統(tǒng)建設的最終目標?！皵底只@”是以網絡為基礎，利用信息化手段和工具，實現從環(huán)境（包括設備、教室等）、資源（如圖書、講義、課件等），到活動（包括教、學、管理、服務、辦公等）的全部數字化，在傳統(tǒng)校園的基礎上，構筑一個數字空間以拓展現實校園的時間和空間維度，從而提升傳統(tǒng)校園的效率，擴展傳統(tǒng)校園的功能。校園網是“數字化校園”的傳輸平臺，一個可靠穩(wěn)定、高效安全的網絡是建設“數字化校園”的堅實基礎。隨著學校信息化的深度發(fā)展，學校的教學辦公和管理等活動將越來越依賴校園網。因此構建一個高效、實用、穩(wěn)定可靠、安全的網絡平臺，是學校網絡建設考慮的重點。學校校園網始建于2000年，伴隨著學校的發(fā)展，先后于2002、2004、2009、2013年在學校改擴建和重組合并部分學校實現集團化辦學的客觀因素推動下，目前學校校園網基本實現主干千兆，百兆交換到桌面。并建成有校園門戶網站、FTP、多媒體資源庫、網絡教研系統(tǒng)、全自動錄播系統(tǒng)、校園IP廣播系統(tǒng)、教育考試網上巡查系統(tǒng)、多媒體班班通系統(tǒng)、網絡閱卷系統(tǒng)及校園安防監(jiān)控系統(tǒng)。另外，在2013年新建完成1#、2#樓及多功能廳內實現了無線網絡覆蓋。學校為了能進一步的提高教育教學質量和更好的落實素質教育，以適應即將普及并深入應用的“電子書包”、“智慧教室”和“智慧校園”建設步伐，積極地推進課改計劃的實施，擬對校園網進行整體規(guī)劃并進行升級改造。2、網絡及信息化的應用現狀及存在的問題隨著學校信息化逐步建設，高中部校園網已經無法滿足學校實際應用的需求，主要體現幾個方面：2.1、綜合布線系統(tǒng)混亂、管理維護難度大。學校在建校之初和改擴建過程中因為缺乏整體統(tǒng)一設計，早期的綜合布線基本全部采用明敷線材和線管方式進行布放，各系統(tǒng)管材相互交錯，路由混亂，也嚴重影響美觀。另外，各系統(tǒng)在建設的時候，往往只考慮自身系統(tǒng)使用需求，私拉亂接現象嚴重。再者，原綜合布線設計因為缺乏統(tǒng)一規(guī)劃，很多功能區(qū)的信息點布置數量也不能滿足不斷增長的各種使用需求，各子系統(tǒng)缺乏明確的工作界面，導致設備增容、更換及維修難度也很大。同時，伴隨著網絡技術的發(fā)展，千兆、萬兆，乃至十萬兆技術也即將成為市場的主流，學校早期使用的超五類布線系統(tǒng)也已經無法滿足學校師生的使用需求。2.2、網絡結構混亂，管理維護困難。由于信息化發(fā)展速度遠遠超過我們的想象，這些年來，隨著學校的發(fā)展、建設的需要，網絡使用需求也越來越大，經過近幾年的不斷擴充改造，已使校區(qū)內原有的網絡建設架構面目全非，從網絡層次上來講，結構比較混亂，這樣帶來的直接后果是嚴重影響了網絡本身的性能和安全，造成網速緩慢，安全、可靠運行難以保證，帶寬利用率較低，日常維護難度較大。2.3、信息點數量嚴重不足，私接亂用非網管設備嚴重。幾年前，國家提出數字化校園網發(fā)展到現在的智慧校園，學校的各種應用在逐漸增多，包括教學、辦公、監(jiān)控、廣播、后勤管理等等。比如，一個班級從最早的1個信息點發(fā)展到現在5至6點，包括班班通多媒體教學系統(tǒng)、錄播系統(tǒng)、IP廣播、無線、網上巡考、網上防作弊等等，一個辦公室從共用1臺電腦，發(fā)展到現在老師人手1臺電腦，而且移動終端和智能手機的應用也已經無處不在。目前信息點的數量嚴重不足這一難題的方法是：臨時在部分辦公室或功能區(qū)加裝非智能交換機來實現。然而，這樣不僅造成了整個校園網結構混亂，沒有層次感，大量的非智能交換設備的增加也給網絡帶來了很大的安全隱患。主要出現兩種情況：一種情況，如果某一臺電腦感染了網絡病毒，這臺電腦就會通過ARP欺騙或廣播風暴造成大范圍電腦無法正常上網，而且排除難度大，給日常維護帶來很大的困難；還有一種情況：產生環(huán)路，一旦出現環(huán)路可能造成校園網癱瘓。2.4、核心設備老化、網絡部件性能、質量參差不齊。盡管學校的網絡經過幾次的擴容和升級，但由于網絡平臺建設年代久遠，設備逐年老化現象嚴重。網絡設備一般一天24小時實時在線工作，它也有自己的生命周期，到了后期，可能出現運行不穩(wěn)定或無法快速交換的現象，特別核心交換設備，一旦出問題，則會全網癱瘓，從而導致嚴重的教學事故。數字化校園，一切都要依托于網絡平臺，一旦網絡出現故障，教學、辦公、監(jiān)控、廣播、一卡通等等都要受到影響。因此，網絡的穩(wěn)定性至關重要，網絡核心的高可靠性則是整個校園網穩(wěn)定的關鍵保障。2.5、網絡安全管理、隔離和防范方面缺乏工具和手段。但隨著其應用的深入，校園網絡的安全問題也逐漸突出，直接影響著學校的教學、管理、教研活動。當前，校園網網絡普遍存在的安全隱患有以下幾種）（1）校園網安全管理有缺陷校園網的用戶群體一般也比較大,少則數千人、多則數萬人,數據量大、速度高。隨著校園內計算機應用的大范圍普及,接入校園網節(jié)點日漸增多,師生通過網絡在線辦公、教學、學習、娛樂等,很容易造成網絡堵塞和病毒傳播。而這些節(jié)點大部分都沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統(tǒng)癱瘓等嚴重后果。（2）校園網內部的攻擊由于內部用戶對網絡的結構和應用模式都比較了解，很多學生，尤其是男生對網絡新技術充滿好奇和實踐欲望，他們經常有意無意的攻擊校園網系統(tǒng)，干擾校園網的安全運行。（3）Internet的威脅校園網與Internet相連,在享受Internet方便快捷的同時,也面臨著遭遇攻擊的風險。各種病毒就是通過Internet傳播的，并導致網絡性能下降。而且黑客也經常利用網絡攻擊校園網的服務器，以竊取一些重要信息。如何保證終端安全準入，如何隔離網絡病毒攻擊，如何防范內部入侵攻擊。同時，又能在沒有網絡監(jiān)控措施，在不影響網絡正常運行的情況下，增加內部網絡監(jiān)控機制，最大限度地保護網絡資源。比如:配備入侵檢測系統(tǒng)，Web、E-mail、BBS的安全監(jiān)測系統(tǒng)，上網行為日志審計系統(tǒng)等則是必要的措施。2.6、存在信息孤島，不同系統(tǒng)之間無法實現互聯互通，資源共享。由于前期各學校信息化建設沒有統(tǒng)一的規(guī)劃部署，導致各應用系統(tǒng)都成了信息孤島。這與信息化網絡的發(fā)展也有一定關系，在早期，學校只需要辦公區(qū)域接入網絡，所以就局部化的建設了辦公網絡，首先實現了辦公自動化。隨后教務系統(tǒng)、網上巡查系統(tǒng)、錄播系統(tǒng)、遠程教育系統(tǒng)、IP廣播系統(tǒng)、網上閱卷系統(tǒng)、多媒體教學系統(tǒng)、一卡通系統(tǒng)、視頻監(jiān)控系統(tǒng)等的建設，都沒有一個統(tǒng)一的規(guī)劃，于是學校的信息系統(tǒng)就成了現在的一個個信息孤島。信息孤島帶來的問題：信息重復，無法為校領導提供準確、統(tǒng)一的決策數據。無法進行系統(tǒng)之間各類數據的交互。各部門間的重要數據分散管理，無法充分發(fā)揮應有的作用。無法發(fā)揮信息化建設的作用2.7、無線上網需求的快速膨脹，使得學校無線網建設和更加智能化、更加安全的管理迫在眉睫。無紙化教材、電子書包、基于移動終端學習等新型教學、學習方式在進入信息時代后迅速進入中小學校園。其在教育領域的普及必將無法阻擋。為學校配置無線教與學的環(huán)境，在教室和校園增加無線高性能無線AP（要求可以滿足70人同時接入），并能實現集中管理已經迫在眉睫。以上這些問題導致學校的網絡維護量和維護難度日益增大，網絡改造升級的步伐已嚴重滯后于各類教育教學應用的持續(xù)深入，已經嚴重制約了學校在信息化應用領域方面的發(fā)展。3、需求分析3.1、業(yè)務需求分析（1）在校園內部實現資源高度共享，為教學、科研、管理提供服務，為計劃、組織、管理與決策提供基礎信息和科學手段；（2）支持教育教學改革，提高教育技術的現代水平和教育信息化程度、為學校教師的備課、課件制作、多媒體教學、移動辦公和學習提供網絡環(huán)境；（3）通過互聯網、錄像機、掃描儀、數碼相機等各種渠道獲得多媒體資料，實現素材收集、電子備課功能。培養(yǎng)創(chuàng)新人才，提高學生收集處理信息的能力、獲取新知識的能力、分析和解決問題的能力、語言文字表達能力以及團結協作和社會活動的能力，使學生能自主學習、協商學習、發(fā)現探究式學習以及自我評價，為學生的全面發(fā)展創(chuàng)造相應的條件；（4）實現辦公自動化，提供與上級教育部門、社會、家庭之間通訊的出入口，提供電子函件、公告牌和教育教學信息查詢等服務，提高工作效率和管理水平；（5）及時、準備、可靠地收集、處理、存儲、傳輸學校的教育教學信息完成與因特網的通訊和資源共享，實現社會教育、學校教育、家庭教育的有機整合。（6）實現課堂多媒體教學，具備適用于雙向課堂互動教學及自主學習。以代替手提錄音機，實現音頻數字化資源共享、集中管理。電教綜合平臺實現多媒體電教設備及室內電器設備電動一體化控制。（7）支持Android、Win8、蘋果等各種平板電腦及智能手機，實現課前多媒體微課程電子教材預習、課中互動教學、課后微課程作業(yè)輔導三大功能，完美解決Pad不受控、Wi-Fi掉線、與電子白板難以無縫對接等制約電子書包應用的關鍵問題，為老師和學生提供高效的"教"與"學"模式?？傊@網的建設能促進教師和學生盡快提高應用信息技術的水平，為學生提供了一個實踐的環(huán)境，為教師提供了一種先進的輔助教學工具、提供了豐富的資源庫。校園網是學校進行教學改革、推行素質教育的一種必不可少的工具，是學校現代化信息管理的基礎，也提供了學校與外界交流的窗口。然而，校園網絡管理應用系統(tǒng)支持的是一個不斷多元化的網絡應用系統(tǒng)設備組合，用以支持其日常運作和實現其長遠目標。系統(tǒng)設備、管理者及使用者之間的聯系必須是親密無間的，自覺而透明的，從而具備較強的擴展性。所以，這需要學校和我們共同設計建成一個先進的多媒體校園網絡系統(tǒng)而努力。3.2、網絡功能需求分析信息交流功能信息交流功能主要有兩個方面的服務功能：互聯網信息服務和校內信息服務?；ヂ摼W信息服務可以使任何一個辦公室的計算機都能實現網上瀏覽、查詢信息的功能，使教師能夠拓寬視野，充分利用互聯網上的資源輔助教學，提升教學理念，提高教師的教學能力、教學水平和科研能力?？梢猿浞掷没ヂ摼W資源來宣傳學校，展示學校的辦學能力與辦學水平，展示教師的教學能力與科研能力，提升學校的辦學形象。校內信息服務能為教育教學和管理決策提供各項信息服務，能為全校師生提供相互交流、相互學習的平臺。教學服務功能構建校園網的主要目的就是提高教學質量，為學校的教育教學服務。校園網將主要從以下幾個方面為教學服務。（1）建立課件（基件）、教學信息資源庫，實現課件點播和輔助教學。將教學資源庫建設成為包括各科的教材、教案、試題、錄像、圖片等對教師備課有參考價值的多媒體素材庫。（2）利用網絡技術，實現多媒體信息交換、視頻點播、遠程教育等功能。（3）建立電子備課室、電子閱覽室。電子備課室為教師提供優(yōu)越的電腦制作條件，配備各種先進的備課設備，方便教師備課使用；電子閱覽室提供大量的電子讀物，發(fā)揮電子媒體容量大、體積小、成本低、檢索快、易于保存和復制、圖文并茂等優(yōu)點，使教師能夠用最短的時間獲取最多的信息。學生學習功能利用網絡自主學習，可以提高學生的學習能力。學生可以利用校園網查閱資料，擴展視野；可以利用網絡相互交流、相互學習；可以在網絡上建立主頁，宣傳自己，宣傳班級；可以利用網絡與教師交流，實現無紙化作業(yè)等。學校管理功能校園網使學校建立完善及時的信息發(fā)布體系，在此基礎上可以實現學校管理的透明化、公平公正化。學校管理功能主要有以下幾個方面。（1）網上辦公系統(tǒng)。（2）教務管理系統(tǒng)。（3）學生管理系統(tǒng)。（4）行政辦公系統(tǒng)。（5）財務管理系統(tǒng)。（6）后勤管理系統(tǒng)。（7）圖書管理系統(tǒng)。（8）校園一卡通管理系統(tǒng)。3.3、現有網絡架構分析現布信息點分布情況：學校目前共有6棟樓，其中1#、3#、5#為教學樓，2#為綜合辦公樓，4#為實驗樓，6#為綜合樓。1#樓為單面樓，共4層，每層5間教室，現每間2個信息點，其中1個用于網上巡查，另1個用于IP廣播，共計40個信息點；2#樓為雙面樓，共四層，主要為辦公室、會議室等，共有信息點328個；3#樓為單面樓，共4層，共有教室14間，大辦公室2間，小辦公室1間，目前每間教室、辦公室目前僅有1個信息點，教室的1個信息點用于網上巡查，另外臨時拉結了1個信息點用于網上防作弊系統(tǒng)，IP廣播目前無法連接；4#樓為雙面樓，共4層，目前所有實驗室也僅有2個信息點，其他功能室也均為臨時拉結的線路；5#樓為單面樓，共3層，地下1層，地上2層，地下為活動室，目前沒有信息點，地上每層有5間教室，每間僅有1個信息點，用于網上巡查，另外臨時拉結了1個信息點用于網上防作弊系統(tǒng)，IP廣播目前無法連接；6#樓為雙面樓，共5層，有教室7間，音樂教室1間，美術教室1間，還有部分辦公室、實驗室、談話室等，信息點數量不詳；4#樓有2間計算機機房，機房1與機房2各有1個信息點，即每個教室60臺計算機均共享1的信息點作為出口，學校采用的是6個交換機把這兩個機房的信息點匯聚在一起，再進入外網。目前全校共有信息點200個左右?，F有拓撲結構圖：現有的設備主要采用的是交換機，把學校的信息點匯集在教學樓四樓的設備間然后接入外網。用戶所需要分析給以往沒有分布信息點的教師、辦公室部信息點，把這些信息點通過匯總接到設備間在接入外網，要滿足以下功能：對校內提供ftp服務、視頻點播、多媒體教學；遠程訪問，教師不受任何限制，利用學校網實現在家備課、辦公，學士只能在規(guī)定地點上網；每個教師要采用現在大學的教育設備，投影儀；滿足發(fā)送郵件，實現網上學習。3.4、網絡擴展需求分析由于計算機技術與網絡技術發(fā)展迅速，加之學校的辦學資金比較緊張，計算機網絡的建設不可能一步到位，否則不利于校園網的發(fā)展，也將限制學校的發(fā)展，根據學校的要求確定了計算機網絡規(guī)劃的原則：依據需求、總體規(guī)劃、適當超前、分步實施、技術成熟、安全可靠。依據此原則確定校園網建設的近期目標如下。（1）網絡性能的擴展性網絡帶寬增長速率對網絡性能的影響相對較大，相對目前的網絡規(guī)模3000用戶，將要增加一倍。主要網絡設備的處理性能預留最少為30%。（2）網路結構擴展性基于校園規(guī)模將要擴大，將會增加部分建筑物，和校園綠化，由于是空中架線，所以建筑物經過處必定會對架線有影響，但相對地下埋線來說，還是小多了。但架線時還是盡量選取空曠，將來不會用于建筑的線路，避免不必要的改造。薦于用戶增加數量之多，占用帶寬將增加不少，所以擴展網點端口采用堆疊方式；用戶以后增加的SAN（存儲區(qū)域網絡），對現有網絡的影響不大。（3）網絡設備的擴展性由于對校園網服務器的性能要求比較高，所以采用刀片式服務器。網絡交換機不能采用固定式交換機，因為網絡用戶在不斷增加。網絡設備擴展時，設備電源功率和外部電源功率UPS基本能滿足要求。在網卡升級中有存在兼容的性的問題，所以這類設備，盡量選取兼容性較強的設備。3.5、網絡安全需求分析（1）系統(tǒng)軟件和硬件的安全需求路由器，交換機此類網絡設備的安全功能需求不是很高，但是服務器，特別是內外網共享式服務器對其安全性能要求比較高，因為它承載了教務網信息系統(tǒng)的安全保障。所以在服務器與路由器之間加個防火墻很有必要。網絡傳輸介質的保護也是一個很重要的部分，所以有校園巡邏時，加大這方面的力度也是有必要的。在操作系統(tǒng)方面，盡量采用安全性較高的網絡操作系統(tǒng)，并進行必要的安全配置，關閉一些不常用卻有存在安全隱患的系統(tǒng)服務功能和端口。網絡操作系統(tǒng)，網絡服務器軟件等可能存在一些安全漏洞，應當及時對系統(tǒng)進行補丁程序升級，加固系統(tǒng)的安全性。網絡系統(tǒng)遵循安全規(guī)范和達到的安全級別，采用各種殺毒軟件。（2）數據安全需求網絡數據數據為的安全運行十分關鍵，必須保證這些系統(tǒng)不會遭到來自網絡的非法訪問和惡意破壞。網絡安全系統(tǒng)應當保證內網機密信息在存儲與傳輸時的保密。允許外部用戶訪問公共WEB或FTP服務器上的數據，但是不允許訪問內部數據，如教務網等一些敏感性的數據。（3）用戶認證需求用戶認證采用軟件認證機制，使用個人工號或學號作為帳戶名，并對IP與MAC進行綁定，防止帳號盜用情況。并且一個帳號只能登陸一次。在帳戶信息傳遞過程中，采用MD5數據加密認證方式。（4）入侵防護安全需求分析配備IDS（入侵檢測系統(tǒng)），對透過防火墻的攻擊進行檢測并做出相應反應（如記錄，報警，阻斷）。采用入侵檢測系統(tǒng)和防火墻的配合使用，可以實現網絡多重防護系統(tǒng)。安全隔離系統(tǒng)必須保證內部網絡的有效運行。在技術方面還應注意來自內網的入侵和攻擊。3.6、網絡管理需求分析校園網大部分用戶是學生機和教學用的服務設備，這些都不需要進行遠程管理。對性能管理要求比較高，因為目前的情況下，學生及老師上網的總帶寬是有限制的，如果不加管理，就會造成大部學生和老師上不了網，不能做最基本的網絡任務。同時為了滿足廣大用戶的上網需求，對網絡故障處理也要一套很完善的機制來解決。選擇合理的管理軟件，可以有效的管理校園網的性能服務，保證網絡平穩(wěn)、可靠、安全的運行。因此可以采用這些軟件管理校園網的運行，使之可靠、安全的運行，不受外界病毒和木馬程序的攻擊?；谝陨系姆治龉芾淼娜蝿沼校捍_保網絡通信傳輸暢通；掌握局域網主干設備的配置情況及配置參數變更情況，備份各個設備的配置文件；對運行關鍵業(yè)務網絡的主干設備配備相應的備份設備，并配置為熱后備設備；負責網絡布線配線架的管理，確保配線的合理有序；掌握用戶端設備接入網絡的情況，以便發(fā)現問題可迅速定位；采取技術措施，對網絡內經常出現用戶需要變更位置和部門的情況進行管理；掌握與外部網絡的連接配置，監(jiān)督網絡通信狀況，發(fā)現問題后與有關機構及時聯系；實時監(jiān)控整個局域網的運轉和網絡通信流量情況；制訂、發(fā)布網絡基礎設施使用管理辦法并監(jiān)督執(zhí)行情況；二、網絡改造目標及任務作為學校重要的基礎設施，校園網擔負著教學、管理、科研和對外交流的重任，它的安全狀況直接影響到這些活動的順利進行。目前，隨著網絡應用的深入，網絡面臨的攻擊呈等比增加，各種各樣的安全問題使校園網時不時呈“亞健康狀態(tài)”。同時，隨著網絡規(guī)模和應用的不斷擴大，用戶對網絡性能要求的不斷提高，校園網安全問題越來越被廣泛關注。而校園網的安全管理是一個龐大的系統(tǒng)工程，需要全方位的主動防范。因此，在校園網建設是，必須部署相應防范措施。本項目的整體規(guī)劃目標是為了實現銀川市唐徠回民中學信息化建設的全面提高，實現從縱向到橫向上的信息共享與交互，真正實現數字化校園，智慧校園，信息化建設主要實現以下幾方面目標和任務：1．制定信息化建設標準體系，建立標準統(tǒng)一、功能完善、安全可靠的與銀川市唐徠回民中學相適應的信息網絡平臺；2．實現人和業(yè)務流程相結合的分級管理模式，實現校園信息資源共享；3．建立和完善信息安全保障體系，構建網絡安全保障環(huán)境，為整體網絡和平臺的運轉提供強有力保障。4．完成學校數據中心建設，實現所有基礎數據的大集中，并實現大數據中心的安全建設。5.在教育信息化過程中，云計算、云服務、IPV6、移動學習等新技術不斷進入中小學應用，中小學校園網建設的規(guī)劃和設計必需考慮這些新技術的應用。（1）“云、管、端”是目前實現教育信息化的基礎網絡架構：建設學校自己的數據中心的云平臺為學校提供豐富的公共教育資源，利用互聯網作為傳輸管道，為學校、學生、家長、社區(qū)、社會提供一站式教育信息服務；配置多媒體教學終端、教室辦公計算機、學生學習終端（PAD），最終使教育信息化的成果通過教師、學生的教學、學習活動展現出來。（2）無紙化教材、電子書包、基于移動終端學習等新型教學、學習方式再進入信息時代后迅速進入中小學校園?？赡茌^短時間內不會在教育領域普及，但是它的進入應該是一種可能的而且是一種趨勢。因此，我們需要為學校配置無線學習環(huán)境，在教室增加無線AP，并能實現集中管理。三、指導思想1、適應學校信息化發(fā)展需要學校信息化系統(tǒng)改造要充分考慮到未來的發(fā)展需要，建成具有先進設計思維的網絡結構，把握實用性的前提下系統(tǒng)設計采用開放技術、開放結構開放用戶接口，以利于網絡的維護、擴展升級及與外界溝通；采用積木式結構化設計使得網絡規(guī)劃設計滿足校園不斷發(fā)展的要求；建立完善的安全管理體系，防止數據受侵擊和破壞，有可靠的防病毒措施和阻擋不良信息進入的措施。2、充分利用原有設備網絡改造要充分利用原有設備。著眼于近期目標和長期的發(fā)展，選用先進的設備進行最佳性能組合，利用有限的投資構造一個性能最佳的網絡系統(tǒng)。3、采用新技術，適度超前，界面友好，留有冗余3.1傳輸速率高：校園網的核心為面向校園內部師生的網絡，由于參與網絡應用的師生數量眾多，而且其中包含大量多媒體信息，故大容量、高速率的數據傳輸是網絡的一項基本要求。3.2管理方便：改善網絡基礎設施后上網用戶會增多，應用服務也會增多，只有管理工作做好，才能高效地利用好校園網。另外，由于學生的求知欲望，網管人員要求網絡具有更高的安全特性和網管性能。3.3操作簡單：應用平臺界面向不同知識層次的領導、教師、員工和學生，使用簡便易行。3.4適用實用：對學生進行遠程視頻教學已成為新穎有效的教學方式；這要求網絡交換機能更好地支持視頻流的應用。3.5經濟可靠：學校對網絡建設的投入有限，因此要求建成的網絡應經濟實用。四、建設原則在系統(tǒng)的建設、集成和管理過程中，我們將遵循以下原則：1、統(tǒng)籌規(guī)劃，階段建設好的開始一個項目成功的關鍵，因此，我們在項目的策劃及總體設計階段做好統(tǒng)一設計、統(tǒng)一標準、統(tǒng)一規(guī)范，統(tǒng)一管理。銀川唐徠回民中學包括4個校區(qū)，最終要求4個校區(qū)實現互聯互通、信息資源共享，4個校區(qū)組成一張網，實現統(tǒng)一維護和管理（如下示意圖）。因此，前期的統(tǒng)籌規(guī)劃直接影響學校后期信息化建設。備注：銀川唐徠回民中學智慧校園網絡結構示意圖2、技術先進，放眼長遠系統(tǒng)所有的組成要素均應充分地考慮其先進性。我們不能一味地追求實用而忽略先進，只有將當今最先進的技術和我們的實際應用要求緊密結合，才能獲得最大的系統(tǒng)性能和效益。學校是網絡技術應用的先行者，在網絡設計中，我們充分考慮校園網絡設備對新技術標準的支持能力，例如：IPV6、MPLSVPN、虛擬化、SDN等技術的支持。對于學校網絡中心，大數據交換量需求的場合，建議使用高性能的萬兆核心交換機滿足服務器的負載均衡功能，滿足學校用戶的大數據量通訊的需求。網絡的安全是至關重要的，對網絡安全隱患的預防、以及在網絡出現安全問題時的快速定位和控制是校園網絡建設中應該首要考慮的問題，在網絡方案中提供解決的方式和手段。在某些情況下，寧可犧牲系統(tǒng)的部分功能也必須保護系統(tǒng)的安全，所以在網絡設備的選擇上要考慮設備的安全和穩(wěn)定性等方面的需求。3、經濟實用，節(jié)約成本無論在產品的選型、技術的選擇中，我們都要考慮成本的約束，其中不僅考慮當前采購的經濟性，還要考慮系統(tǒng)長期運維的經濟性，即系統(tǒng)的總擁有成本，盡力選擇既能經濟可行又能長期的保障的產品和技術。4、重視資源，集成共享在項目建設的過程中，在數據資源方面，注重網絡資源共享的效率性，實現網絡互連、信息互通、資源共享，建立與教育局、各校區(qū)之間協同的網絡環(huán)境。5、保護投資，注意兼容在系統(tǒng)設計的過程中，充分利用現有的硬件設備、軟件系統(tǒng)。同時，要考慮西校區(qū)、南校區(qū)及寶湖校區(qū)網絡設備統(tǒng)一網管，相互兼容。目前，本部校區(qū)、寶湖校區(qū)、南校區(qū)和西校區(qū)校園網全部采用神州數碼品牌網絡設備，考慮兼容性和統(tǒng)一網管，建議此次校園網升級改造繼續(xù)延用神州數碼網絡設備，不僅售后服務得到保障，而且可以實現有線無線一體化無縫兼容。無線方面，2013年通過招標采購了1臺神州數碼無線控制和22臺無線雙頻AP，實現了1號樓和2號樓的無線覆蓋。本次校園網升級改造，建議充分利用現有無線控制器，只需增加無線AP數量，即可實現所有無線AP的統(tǒng)一管理和配置下發(fā)，實現整個校園的無線漫游。一個校園網，一張無線網，不但保護投資，而且減輕維護難度。未來，本部校區(qū)是4個校區(qū)的數據中心，校園網的統(tǒng)一出口，因此，建議核心設備升級為更高端的設備，本部校區(qū)的核心交換機和防火墻搬遷至西校區(qū)，重復利用。6、產品選型先進，保證產品穩(wěn)定可靠在本項目信息化系統(tǒng)設計過程中，我們在所有支撐硬件平臺的選型上都采用了目前市場主流的產品型號，最好經過親身實踐過的，產品熟悉，自身維護難度又小，又可做到整個信息化系統(tǒng)的穩(wěn)定可靠。五、綜合布線系統(tǒng)改造方案1、需求分析校園的網管中心位于4#實驗樓，1#教學樓、2#綜合辦公樓、3#教學樓、4#實驗樓、5#教學樓、6#逸夫樓需要與網絡中心連接成校園網，并且各樓分別需要網絡布線以建設樓內局域網。學校平面圖根據我校的實際情況分析，建成后網絡線路應滿足以下幾點：A、樓宇與樓宇之間相互連接，各樓宇間用光纖連接；B、網絡有足夠的主干帶寬和擴展能力，并支持多點廣播和寬帶高速接入。C、數據信息點的接入以交換1000Mbps自適應以太網端口接入為主，以供帶寬需求較高用戶或應用使用。2、綜合布線系統(tǒng)的結構下圖為某棟樓與4#實驗樓之間的綜合布線系統(tǒng)，校園網的服務器架設于4#實驗樓網絡信息中心內。本次改造設計我校網絡系統(tǒng)的綜合布線系統(tǒng)時，將嚴格依照標準和規(guī)范進行設計和施工、測試、驗收，適度超前，一步到位。建筑群間子系統(tǒng)8芯室外單模光纜保留使用。采用8芯應該是足夠的：園區(qū)骨干網采用的技術，有FDDI、FE、GE和ATM，其中除FDDIDAS需使用4-6芯光纖外，其余技術均只需要使用2芯光纖。骨干光纖布線采用全星型結構，中心機房設在實驗樓?？紤]把1#教學樓、2#綜合辦公樓、3#教學樓、4#實驗樓、5#教學樓、6#逸夫樓全部以光纖與位于4#實驗樓的中心機房相連。采用8芯室外鎧裝光纜。在各樓采用機架式式光纖配線架（12口）；網絡中心要端接的光纖芯數比較多，采用機架式光纖接線盒（24口）。如圖2-2圖2-2是校園網主干光纖布線的示意圖。校園內一般采用結構化布線校園網，在總體校園網絡拓撲圖上呈星型拓撲結型。樓群間子系統(tǒng)采用光纜連接，可提供千兆位的帶寬，有充分的擴展余地。然后各樓以層為單位劃分WLAN。對3、系統(tǒng)的總體設計網絡系統(tǒng)總體設計目標是最大限度的滿足應用系統(tǒng)的需求，與計算機及網絡技術發(fā)展水平相適應。建立網絡系統(tǒng)主要是完成將所有網絡設備連網工作，即通過網絡設備將信息點與中心網絡系統(tǒng)可靠地連接起來，為當前的各種應用環(huán)境系統(tǒng)和應用軟件系統(tǒng)提供運行環(huán)境支持。由于網絡系統(tǒng)對工作的運作與發(fā)展具有非常重要的作用，因此網絡改造系統(tǒng)的先進性、可靠性、安全性、易維護、易升級等方面均有一定的要求，網絡系統(tǒng)對先進性的要求是在計算機技術突飛猛進的今天，提供達幾年甚至更長時間的可用性。我們?yōu)樾@網設計的綜合布線系統(tǒng)將基于以下目標：(1)符合當前和長遠的信息傳輸要求；(2)布線系統(tǒng)設計遵從國際(ISO/CEI11801)標準；(3)布線系統(tǒng)采用國際標準建議的星型拓撲結構；(4)考慮電腦網絡的速度近1000Mb/s發(fā)展的需要；(5)布線系統(tǒng)的信息出口采用國際標準的RJ45插座；(6)布線系統(tǒng)符合綜合業(yè)務數據網的要求；(7)布線系統(tǒng)要立足開放原則4、系統(tǒng)結構設計描述綜合布線系統(tǒng)是一個模塊化的開放系統(tǒng)，主要由六個子系統(tǒng)組成，下面分別說明各個子系統(tǒng)的組成：4.1工作區(qū)子系統(tǒng)（WorkArea）及其網絡設計工作區(qū)子系統(tǒng)由終端設備連接到信息插座的連線，以及信息插座所組成。信息點由標準RJ45插座構成。信息點數量應根據工作區(qū)的實際功能及需求確定，并預留適當數量的冗余。例如：對于辦公區(qū)內的每個辦公點按2～3個信息點進行配置，此外還應為此辦公區(qū)配置3～5個專用信息點用于網絡打印機、傳真機、網絡電視、視頻會議等等。對于每間教室和實驗室均按標準化考場和智慧教室的要求進行配置，每間教室布置6個信息點，其中2個位于講臺正上方距地0.3米處，用于多媒體教學或外接筆記本應用；2個位于黑板左側距地2.4米處，一個用于IP廣播，一個用于網上巡查IP監(jiān)控；教室房頂正中間梁下布設1個，用于無線網絡Wi-Fi覆蓋（AP）接入；教室后墻正中間距地2.4米處布設1個，用于無線信號屏蔽系統(tǒng)安裝。工作區(qū)的終端設備（如：計算機、筆記本電腦、IP廣播、IP攝像機、IP電話機、IP機頂盒等）可用SHIP公司六類雙絞線直接與工作區(qū)內的每一個信息插座相連接。4.2水平子系統(tǒng)（Horizontal）及其網絡設計水平子系統(tǒng)主要是實現信息插座和管理子系統(tǒng)，即中間配線架（IDF）間的連接。水平子系統(tǒng)指定的拓撲結構為星形拓撲。水平干線的設計包括水平子系統(tǒng)的傳輸介質與部件集成。選擇水平子系統(tǒng)的線纜，要根據建筑物內具體信息點的類型、容量、帶寬和傳輸速率來確定。在水平子系統(tǒng)中推薦采用的雙絞電纜及光纖型號為:SHIP公司六類非屏蔽雙絞線,室內、外多、單模光纖。線纜長度估算公式：LT=[（Lmax+Lmin）/2+H]*1.15*NLmax本樓層最遠終端設備至本樓層設備間距離Lmin本樓層最近終端設備至本樓層設備間距離H：本樓層樓高，本方案中涉及的樓高為4米。1.15：線纜剪切余量和線長冗余為線長的15%N：本樓層信息點數量（語音點數量與數據點數量之和）。4.3管理子系統(tǒng)（Administration）及其網絡設計管理子系統(tǒng)由交連、互連和輸入/輸出組成，實現配線管理，為連接其它子系統(tǒng)提供手段。包括配線架、跳線設備及光配線架等組成設備。設計管理子系統(tǒng)時,必需了解線路的基本設計原理,合理配置各子系統(tǒng)的部件。SHIP公司的六類綜合布線解決方案擁有搭配科學、管理簡便的成套產品用于管理子系統(tǒng)。4.4干線子系統(tǒng)（Backbone）及其網絡設計干線子系統(tǒng)指提供建筑物的主干電纜的路由，是實現主配線架與中間配線架，計算機、PBX、控制中心與各管理子系統(tǒng)間的連接。干線傳輸電纜的設計必須既滿足當前的需要,又適應今后的發(fā)展。干線子系統(tǒng)布線走向應選擇干線線纜最短、最安全和最經濟的路由。干線子系統(tǒng)在系統(tǒng)設計施工時，應預留一定的線纜做冗余信道，這一點對于綜合布線系統(tǒng)的可擴展性和可靠性來說是十分重要的。干線子系統(tǒng)可以使用的線纜主要有：HAY三類大對數電纜；六類雙絞線；室內單模或多模光纖。六類雙絞線可以支持1000BASE－T，，在連接1000BASE－T設備之前，應對布線系統(tǒng)按照新增加的布線參數（如：回波損耗，等級遠端串擾（ELFEXT），傳播延遲和延時畸變等）進行測量和認證。4.5設備間子系統(tǒng)（EquipmentRoom）及其網絡設計設備間子系統(tǒng)由設備室的電纜、連接器和相關支持硬件組成，把各種公用系統(tǒng)設備互連起來。設備間的主要設備有數字程控交換機、計算機網絡設備、服務器、樓宇自控設備主機等等。它們可以放在一起，也可分別設置。在較大型的綜合布線中，可以將計算機設備、數字程控交換機、樓宇自控設備主機分別設置機房，把與綜合布線密切相關的硬件設備放置在設備間，計算機網絡設備的機房放在離設備間不遠的位置。建筑群子系統(tǒng)是實現建筑之間的相互連接，提供樓群之間通信設施所需的硬件。建筑群之間可以采用有線通信的手段，也可采用微波通信、無線電通信的手段。在SHIP公司的六類綜合布線解決方案中，SHIP公司的光纖不但支持FDDI主干、1000Base－FX主干、100Base－FX到桌面、ATM主干和ATM到桌面，還可以支持CATV/CCTV及光纖到桌面（FTTD），是建筑群子系統(tǒng)和主干線子系統(tǒng)布線中有線通信線纜中的明星。光纖有單模光纖和多模光纖兩種：單模光纖只傳輸主模態(tài)，可完全避免模態(tài)色散，傳輸頻帶很寬，傳輸容量很大，適用于大容量、長距離的光纖通信。它是未來光纖通信與光波技術發(fā)展的必然趨勢（如：1000BASE－LX基于1300nm的單模光纜，使用8B/10B編碼解碼方式，最大傳輸距離為3000m，SHIP公司出品的特制光纖傳輸距離為標準距離的5-10倍）；多模光纖傳輸模態(tài)較多，存在一定量的模態(tài)色散，頻帶較寬，傳輸容量較大（目前采用的62.5/125μm多模光纖，數據傳輸速率為100Mbps時，最大距離可以到2km），但傳輸千兆位數據量時距離支持十分有限。本期項目除5#教學樓需新增1條8芯單模光纖之外，其他樓宇與網絡信息中心之間互聯均采用原各樓宇之間已有光纖即可，樓內確需光纖進行布線的，則均采用室內軟光纖布放。這六個系統(tǒng)示意圖如圖所示：其次從系統(tǒng)結構上看，綜合布線系統(tǒng)分為建筑群子系統(tǒng)、干線子系統(tǒng)、配線子系統(tǒng)三個層次。1、建筑群子系統(tǒng)該布線子系統(tǒng)包括建筑群干線電纜、建筑群干線光纜及其在建筑群配線架和建筑物配線架上的機械終端機建筑群配線架上的接插線和跳線。該校校內的建筑群子系統(tǒng)采用光纜。2、干線子系統(tǒng)干線子系統(tǒng)及垂直子系統(tǒng)。建筑物干線電纜、建筑物干線光纜直接端接到有關的樓層配線架，中間不應有結合點或街頭·3、配線子系統(tǒng)從樓層配線架到各個信息插座的布線屬于配線子系統(tǒng)，即水平子系統(tǒng)。水平電纜、水平光纜一般直接連接到信息插座。建筑物配線設備至每個樓層的配線設備的建筑物干線子系統(tǒng)的干線電纜或光纜一般采取分別獨立供線給各個樓層的方式，在各個樓層之間無連接的方式、這樣當線路發(fā)生障礙的時候，影響范圍較小，容易判斷和檢修，有利于安裝施工，但工程造價較高。最后，在布線時需注意的幾點要求：1、信息插座（TO）到建筑物設備間（BD）之間電纜的最大長度不超過90m。2、信息插座模塊通常是RJ45接口，如果終端設備不是RJ45接口則需另配一個接口轉接設備（適配器）才能實現通信。3、信息插座模塊離地面的高度一般為30cm。六、校園網改造方案1、設計原則按照建設目標，依據校園網建設項目具有涉及范圍廣、建設規(guī)模大、應用系統(tǒng)眾多等特點，在設計階段需遵循一些重要原則，以保障后續(xù)建設的順利銜接和有效執(zhí)行。1.1、全面性除了針對校園網基礎建設需求進行設計之外，也要就系統(tǒng)建成后整個校園網的安全、管理和運維進行綜合考慮，使得設計能夠全面地滿足系統(tǒng)持續(xù)穩(wěn)定運行的需求，盡力避免一些細小但關鍵構成的遺漏。銀川市唐徠回民中學校園網建設是一項系統(tǒng)工程，涉及4個校區(qū)，是一項長期性工作，必須通盤考慮，統(tǒng)一規(guī)劃，確保整體效能。1.2、高可用性銀川市唐徠回民中學校園網建設項目應首先考慮信息系統(tǒng)的高可用性；系統(tǒng)應該在容錯、應急、負載等多方面予以考慮，應有適量冗余及其他保護措施，平臺和應用軟件應具有容錯性、健壯性等，保證系統(tǒng)連續(xù)服務。1.3、安全性銀川市唐徠回民中學校園網建設項目其信息安全的重要性不言而喻。因此必須將安全性設計作為重要涉及原則予以優(yōu)先考慮。嚴格遵照設計規(guī)范，采取切實有效的措施，確保信息網絡和信息資源的安全。1.4、可擴展性銀川市唐徠回民中學校園網建設項目應充分考慮未來發(fā)展，同時信息化建設是一個循序漸進、不斷擴充的過程，系統(tǒng)的總體設計應該采用層次化、組件化設計，整體構架考慮與現有系統(tǒng)的連接，為今后系統(tǒng)擴展和集成留有擴充余量。同時，考慮關鍵產品的模塊化，冗余性。1.5、先進性銀川市唐徠回民中學數據中心云平臺建設項目應在設計思想、系統(tǒng)架構、采用技術、選用平臺上均具有一定的先進性、前瞻性。在充分保證可用性、開放性、擴展性的前提下保持系統(tǒng)的先進性、擴充性，采用技術成熟、廠家信譽好的產品，使系統(tǒng)在未來相當一段時間保持穩(wěn)定。1.6、設備管理智能化銀川市唐徠回民中學校園網建設項目在保證業(yè)務覆蓋面廣、架構完善、技術先進的同時，對于網絡的配置管理簡單方便，對網絡實行集中監(jiān)測、分權管理，并統(tǒng)一分配帶寬資源，選用先進的網絡管理運維平臺，實現對整網設備、端口的管理、流量統(tǒng)計分析，以及提供設備故障的自動報警，最終實現設備管理的智能化，提升管理和維護效率。2、基礎網絡設計內容銀川市唐徠回民中學校園網網絡采用核心+接入兩層結構、雙星型拓撲、雙歸雙活無阻塞萬兆網絡骨干。整個網絡系統(tǒng)由四個邏輯功能區(qū)域組成：交換中心、資源池、互聯網接入區(qū)、以及管理中心。網絡交換中心網絡交換中心是整個整個校園數據匯接與交換中心；在交換中心部署兩1臺或2臺數據中心級核心交換機（2臺交換機可構建虛擬化核心，構成雙歸雙活、無阻塞的高性能全萬兆核心網絡），并在核心交換機上部署高性能防火墻板卡來對不同區(qū)域進行邏輯隔離與安全控制。資源池資源池是整個校園網數據中心中最重要的組成部分，包括由網絡設備構建的網絡資源池、由各類服務器構建的計算資源池，以及由存儲設備構建的存儲資源池組成，是數據中心最核心的關鍵模塊。資源池規(guī)模較大，各類服務器功能及所承載的應用系統(tǒng)各不相同，因此我們對不同的服務器網絡接入進行區(qū)分設計，部分采用萬兆接入方案，部分采用千兆接入方案。同時，考慮資源中心Web服務器、FTP服務器、學校關鍵應用服務器和其它關鍵任務服務器等服務器的負載均衡，建議部署1臺負載均衡系統(tǒng)?；ヂ摼W接入區(qū)互聯網接入區(qū)的作用是實現整個信息平臺外網與互聯網的互聯互通，一方面為公眾提供訪問對外資源信息的入口，同時也是內部用戶訪問互聯網資源的出口，同時實現遠程VPN接入、滿足移動辦公等業(yè)務需求。為提高互聯網出口的帶寬及線路可靠性，可租用多條鏈路接入不同的ISP，來實現鏈路上的冗余與備份；通過出口安全網關提供的鏈路負載均衡及備份能力，可以區(qū)分目的地址，即訪問不同的ISP的服務器可自動從該鏈路出口，而且當一條鏈路斷開時，可以通過另外一條鏈路來進行訪問，滿足高速、可靠的互聯網接入需求。在互聯網出口，我們建議采用部署多業(yè)務安全網關、入侵檢測系統(tǒng)、流控網關、上網行為審計系統(tǒng)、負載均衡等安全設備來實現數據中心平臺外網與互聯網的邏輯隔離，同時進行安全防護與安全控制。管理中心管理中心主要包括云資源管理平臺、網絡與安全運維管理平臺、防病毒系統(tǒng)、補丁服務系統(tǒng)、審計系統(tǒng)、身份認證與終端管理系統(tǒng)、安全審計管理系統(tǒng)、入侵檢測管理系統(tǒng)、漏洞管理系統(tǒng)等管理與安全類基礎服務系統(tǒng)。管理中心網絡采用萬兆主干、千兆接入方案，通過核心交換設備的防火墻板卡與專網進行邏輯隔離。3、校園網升級改造解決方案上圖為銀川市唐徠回民中學校園網改造后的網絡拓撲示意圖，采用目前先進的“大二層”網絡結構部署，這樣的部署結構在很大程度上有效地提高了網絡資源利用率，增強了網絡安全性及穩(wěn)定性。整體網絡架構通常由多個子功能系統(tǒng)構成：高性能萬兆級核心交換機、萬兆互聯匯聚交換機、千兆接入交換機高性能多核出口安全網關無線控制器、無線AP、POE交換機校園網認證系統(tǒng)流量整形網關輿情監(jiān)控及審計系統(tǒng)互聯網加速器漏洞掃描系統(tǒng)服務器負載均衡有線、無線一體化網絡管理軟件3.1基礎網絡架構設計目前基礎網絡多為三層架構，可扁平化的大二層結構已經越來越得到用戶的青睞。在這種結構下：核心層交換機要求：千兆端口、萬兆端口線速轉發(fā)，在滿配ACL后仍能線速轉發(fā)；兼容NEBS標準的高可靠性，支持引擎、交換矩陣、電源、風扇冗余，支持不間斷轉發(fā)技術；支持可商用的IPv6特性，確保下一代互聯網平滑過渡；支持高密度千兆、萬兆接口，支持10萬兆擴展能力；支持環(huán)網技術，提供電信級收斂速度；支持大容量RIB（路由表）和FIB（轉發(fā)表），能夠直接面對大規(guī)模用戶的三層交換業(yè)務；支持多業(yè)務模塊的擴展，滿足未來數據中心的復雜應用；高安全性，能夠抵御來自內外網的各種攻擊。接入層交換機要求：根據目前業(yè)務的情況建議選擇千兆接入交換機；要求接入交換機能完整支持防ARP欺騙攻擊、ARP掃描攻擊等安全特性，能夠抵御來自內外網的各種接入層攻擊；支持PoE供電接口；能做到基于用戶的安全ACL策略；支持堆疊技術，支持鏈路聚合；支持端口+MAC地址+IP地址綁定神州數碼推出的具有業(yè)界領先的高性能萬兆核心、萬兆上聯匯聚以及千兆接入交換機完全滿足校園網大二層數據中心的所有數據訪問需求，為數字化校園保駕護航。3.2安全出口設計近幾年來，隨著數字化校園建設的迅猛發(fā)展，國內高校骨干網紛紛升級為萬兆網絡，全面進入了萬兆時代。萬兆校園網有效地解決了校園網內部帶寬不足的問題，滿足了數萬校園用戶的內部訪問需求，但校園網的出口區(qū)域仍然面臨多方面挑戰(zhàn)，校園網內外帶寬的不平衡性導致高校校園網出口建設相對滯后，一度成為數字化校園建設的短板。通過對校園網出口面臨的一些問題的深入分析，我們將校園網出口建設的需求歸納如下：出口設備需要具備高處理性能、高吞吐量，為滿足CERNET出口的接入需求，設備應當具備萬兆吞吐能力高安全性能，能夠有效阻止來自外部網絡的各種攻擊、病毒、掃描能夠精確識別各種應用層流量，限制非法流量，保證關鍵業(yè)務的服務質量針對不同的網絡對象實施精細化帶寬策略，帶寬管理能夠精確到每一個用戶出口多鏈路能夠支持高性能負載均衡和策略路由，集成各大ISP路由表提供詳細的出口訪問日志記錄，并實現智能反查設備盡量精簡，杜絕“糖葫蘆”式臃腫出口能夠實現IPv4/IPv6雙棧安全過濾，解決Cernet2出口安全軟肋基于上述對校園網出口的現狀與需求的深刻理解，神州數碼網絡推出了為高校出口區(qū)域量身定制的六位一體出口解決方案：互聯網的發(fā)展已經進入嶄新階段，建設新一代可視化、高效能、易管理的出口已經成為高校校園網發(fā)展的必經之路。神州數碼網絡六位一體出口解決方案憑借多核安全網關+多核USG，以卓越的產品性能、豐富的產品功能、簡潔緊湊的拓撲設計理念，必能成為高校校園網出口建設的最佳拍檔。3.3無線校園網方案設計唐徠回中校園網無線方案建議采用無線控制器+瘦AP模式。無線控制器對無線AP實現統(tǒng)一管理的同時，還可以動態(tài)調整無線網絡，WIPS/WIDS功能保證無線網絡的安全。下圖為典型的校園網無線網絡拓撲結構示意圖：考慮到目前學校已經有I期無線網路基礎建設：1臺神州數碼無線控制器DCWS-6028以及若干臺神州數碼DCWL-7962AP(R5)無線AP，并且鑒于無線控制器的高可擴展性同時為了節(jié)約學校網絡建設成本，建議利舊原無線控制器DCWS-6028，在此基礎上建II期無線網絡，根據校園網無線終端使用需求，只增加無線AP即可。3.4無線校園網安全認證接入設計隨著信息時代的高速發(fā)展，大部分有線臺式終端逐漸被無線移動終端所代替，隨之而來的問題也接踵而至：學校網絡管理員每天都被無線非法接入、無線資源非法占用、無線安全等問題所困擾，同時學校有線基礎網絡也將面臨不同程度的影響。神州數碼推出的統(tǒng)一認證服務系統(tǒng)是一種面向電信運營商和大中型園區(qū)網設計的寬帶RADIUS/AAA服務軟件：提供集中的寬帶網絡用戶認證，授權和計費，及接入策略管理，為校園網提供類型豐富、配置靈活的寬帶運營業(yè)務模式提供集中認證、漫游認證、內外網準入準出認證、Portal認證、免認證Portal推送、無感知認證、手機短信認證、二維碼認證等多種認證解決方案集成了完整的Portal平臺功能，可配合多種第三方接入設備進行Portal推送，并可實現多種Portal策略，豐富運營商的運營模式和用戶接入體驗圖示：典型應用拓撲及服務器配置要求此外，本認證系統(tǒng)還提供了豐富多樣的認證方式，滿足各種不同應用需求：有線無線一體化認證短信認證無線感知認證二維碼認證3.5流量“可視化管理”設計如今的互聯網資源豐富且應用繁多，真正應用于業(yè)務的流量卻很少，其根本原因是：下載、P2P、電影等大流量應用蠶食著校園網帶寬。下圖統(tǒng)計了目前各種應用所占用帶寬的比重：圖示：網絡流量現狀分布由此可以看出，原本需要保障帶寬的應用卻占用了36%，而56%的帶寬被P2P下載、網絡游戲、在線影音以及網絡游戲所占用，這樣的現狀將會直接導致學校老師辦公、多媒體教學、廣播、監(jiān)控、高考巡視等核心應用遭受嚴重影響以至于無法正常運行。那么，我們該如何管理網絡流量，使得流量能夠按照我們的設計的策略來“流動”呢？DCFS系列產品是神州數碼推出的一款功能強大的出口帶寬優(yōu)化工具，它具備以下功能：自動識別網絡中存在的各種應用，并分析各應用所占帶寬可保障關鍵業(yè)務帶寬可公平、合理地為每用戶分配帶寬可為關鍵用戶提供區(qū)分服務可阻斷或抑制非關鍵應用帶寬優(yōu)化技術是一種網絡管理技術，可以提高網絡帶寬管理的精細化、可視化，不僅僅是簡單的單項應用攔截、限制。與防火墻、路由器等攔截技術有本質區(qū)別，BT/HTTP/FTP的攔截器不能替代帶寬優(yōu)化技術的功能和作用。實際案例展示：某單位流量限制BT前后對比圖示例：圖示：某單位限制流量前后對比其中23:00到第二天早7:00不限制BT，其余時間限制BT總流量在40M內的流量圖。（綠色部分是BT流量）可以看在夜晚不限制時，BT的流量搶占了大部分的帶寬；而在限制BT的時間段內，BT的流量得到有效的控制。3.6校園輿情監(jiān)控及審計功能設計在滿足了校園網出口基礎功能之后，我們還需要增加日志審計手段，達到公安部82號令要求，豐富校園網輿情監(jiān)控手段。神州數碼DCBI-NetLog上網行為日志系統(tǒng)就是針對這種需求應運而生。它可詳細記錄校園網內上網者訪問過哪些網站、訪問的URL、源/目的IP、源/目的端口、上網時間及流量等數據，從而提供了上網行為的安全審記數據源，并實現各種統(tǒng)計功能。傳統(tǒng)意義的日志審計系統(tǒng)只能記錄源IP地址的訪問行為，而DCBI-Netlog系列產品可以與神州數碼認證計費系統(tǒng)或者安全管理平臺DCSM聯動，將上網行為記錄直接映射到上網者的用戶帳號，這樣，就可以根據用戶上網帳號準確迅速地定位到上網行為的責任人。下圖顯示了神州數碼日志審計系統(tǒng)Netlog定位到了用戶訪問網絡的行為：圖示：DCBI-Netlog用戶行為統(tǒng)計表3.7互聯網加速功能設計隨著各種互聯網應用和發(fā)展，特別是眾多視頻服務的快速成長，網絡下載資源的豐富，各種網絡應用的日益普及，對寬帶資源的消耗越來越大，即使寬帶建設極為發(fā)達的國家，也會面臨一些寬帶資源緊張的問題。內容加速系統(tǒng)，可以幫助各種寬帶運營以較低的投入，提供更大的服務質量，并提升服務品質，降低寬帶運營成本。流量加速系統(tǒng)實現自動按需緩存內容，在網絡使用高峰期減少HTTP下載和在線視頻等高占帶寬應用對互聯網骨干的流量壓力，幫助寬帶運營獲得更高的網絡帶寬使用效率。同時，系統(tǒng)還有效的改進對HTTP和非P2P應用的網絡響應速度，增強了用戶體驗。對于經常使用下載和在線視頻的用戶，他們可以用更快的速度透明的從系統(tǒng)中訪問到已緩存的內容，而無需占用互聯網骨干帶寬。不再通過限制和禁止等手段來控制HTTP下載和P2P下載對網絡的影響。幫助寬帶管理者優(yōu)化網絡流量，提供更多增值服務創(chuàng)造更好條件。流量加速系統(tǒng)是一種新型的網絡構建方式，它是為能在傳統(tǒng)的IP網發(fā)布寬帶豐富媒體而特別優(yōu)化的網絡覆蓋層；而從廣義的角度，流量加速系統(tǒng)代表了一種基于質量與秩序的網絡服務模式。簡單地說，流量加速系統(tǒng)是一個經策略性部署的整體系統(tǒng)，包括分布式存儲、負載均衡、網絡請求的重定向和內容管理4個要件，而內容管理和全局的網絡流量管理是流量加速系統(tǒng)的核心所在。通過用戶就近性和服務器負載的判斷，流量加速系統(tǒng)確保內容以一種極為高效的方式為用戶的請求提供服務。神州數碼Cache流量加速內容下載加速：支持基于HTTP所有類型的下載緩存服務，無論是普通的HTTP下載還是基于HTTP下載的Windows更新，病毒庫更新，觸發(fā)下載后，后續(xù)下載者可以使用如本地存儲一樣的高速下載服務。您不必再為G量級的文件傳輸和分發(fā)擔心，文件下載服務能夠幫助您以最快的速度將大型的文件安全的分發(fā)到用戶。并引導用戶在最短時間內享受到極速的下載服務。流媒體加速：支持國內大多數視頻網站視頻加速，為用戶提供了更好的在線視頻體驗。遠程加速：遠程訪問用戶根據DNS負載均衡技術智能自動選擇Cache服務器，選擇最快的Cache服務器，加快遠程訪問的速度。帶寬優(yōu)化：自動生成服務器的遠程Mirror（鏡像）cache服務器，遠程用戶訪問時從cache服務器上讀取數據，減少遠程訪問的帶寬、分擔網絡流量、減輕原站點WEB服務器負載等功能。集群抗攻擊：廣泛分布的流量加速系統(tǒng)節(jié)點加上節(jié)點之間的智能冗于機制，可以有效地預防黑客入侵以及降低各種DDoS攻擊對網站的影響，同時保證較好的服務質量。神州數碼Cache流量加速的價值提高網絡效率流量加速系統(tǒng)自動按需緩存內容，在網絡使用高峰期減少HTTP相關下載對互聯網骨干的流量壓力，幫助網絡運營商、高校、大型企業(yè)網絡獲得更高的網絡帶寬使用效率。同時，流量加速系統(tǒng)還有效的改進對HTTP、和非P2P應用的網絡響應速度，增強了用戶體驗。降低帶寬成本通過透明緩存HTTP應用內容，流量加速系統(tǒng)減少了網絡運營商、高校、大型企業(yè)的網絡骨干帶寬總量。流量加速系統(tǒng)還能夠有效的延緩網絡運營商、高校、大型企業(yè)網絡對增加CMTS上行端口和端點分離的需求，減少了大量的資金投入和占用。先進成長平臺流量加速系統(tǒng)幫助網絡運營商、高校、大型企業(yè)網絡同等對待http流量和在線視頻用戶，而不再通過限制和禁止等手段來控制HTTP下載和在線視頻對網絡的影響。流量加速系統(tǒng)把占用大量帶寬的HTTP下載和在線視頻流量限制在企業(yè)網絡內部，幫助他們優(yōu)化網絡流量，提供更多增值服務，例如VPN、寬帶視頻、VoIP。增加客戶滿意度通過減輕HTTP下載對互聯網骨干帶寬的壓力，流量加速系統(tǒng)改善了網絡質量，減少了技術支持電話、客戶投訴數量和客戶流失率。對于經常使用在線視頻的用戶，他們可以用更快的速度透明的從流量加速系統(tǒng)中訪問到已緩存的內容，而無需占用互聯網骨干帶寬。3.8安全漏洞掃描功能設計神州數碼推出的漏洞掃描系統(tǒng)DC-SCAN，為校園網信息化系統(tǒng)中的網絡設備、操作系統(tǒng)、數據庫以及主流服務和應用程序提供漏洞掃描功能，建立漏洞管理流程，在很大程度上提高了校園網信息化系統(tǒng)的安全性，進一步也增加了系統(tǒng)的穩(wěn)定性。圖示：DC-SCAN六大優(yōu)勢DC-SCAN具備如下功能：快速的網絡隱患掃描——實現自動化的發(fā)現網絡隱患高效的漏洞管理——建立漏洞管理流程，提升系統(tǒng)安全全面的掃描范圍，及時的升級服務——實現高效的網絡預警領先的掃描技術和掃描引擎——提供優(yōu)質用戶體驗多方式的基線檢測——建立業(yè)務安全基線，合規(guī)安全檢查WEB應用安全評估——高效檢測能力，優(yōu)質用戶體驗WEB應用安全評估——全面WEB應用漏洞檢測WEB應用安全評估——先進的底層技術，完整、高效的檢測能力與補丁系統(tǒng)、安全設備進行聯動——打造全方位的安全防御體系3.8有線、無線一體化智能運維管理設計DCNLinkManager（以下簡稱DCLM）實現了對DCN有線、無線網絡的集中，全面和深度管理，包括網絡規(guī)劃、部署、監(jiān)控，配置，故障處理和定制報告等功能。它可以方便網絡管理人員對分散的無線局域網設備進行統(tǒng)一管理，集中監(jiān)控無線局域網的運行狀況，統(tǒng)一配置WLAN各種設置，及時發(fā)現網絡瓶頸和設備故障，系統(tǒng)地優(yōu)化網絡資源，提高無線局域網的運行效率，降低系統(tǒng)維護成本，保障無線局域網的穩(wěn)定運行。圖示：網管軟件——熱點地圖DCLM實現了對DCN無線和有線一體化網絡的集中、全面和深度管理網絡監(jiān)控設備自動發(fā)現、基于IP范圍發(fā)現設備、手工添加設備、基于AC發(fā)現無線網絡等設備列表、設備詳細視圖列表終端數量、設備性能、無線信號強度等等展現拓撲圖自動生成、手工添加、分級導航和管理、分級背景圖、拓撲自動更新等等顯示設備詳細視圖能顯示設備基本信息，接口信息，流量，帶寬等信息熱圖、定位設備數據的采集、存儲、統(tǒng)計、性能門限告警、圖表顯示等網絡規(guī)劃告警管理支持基本類型、SNMPTrap、和性能門限告警類型定義告警觸發(fā)條件定義、級別定義、動作定義不同顏色來顯示告警級別，可以發(fā)送sms和email配置管理批量配置下發(fā)（支持任務），配置文件Backup（支持任務），Restore（支持任務）設備基本屬性編輯，從網管打開設備WebGUI，telnet，設備重置（Reboot）等操作報表管理各種設備、性能數據統(tǒng)計報表，支持導出、排序，支持PDF、excel表格形式用戶管理基于功能的用戶分權管理基于網絡設備的用戶分權管理3.9校園內部網絡安全設計1）VLAN安全設計虛擬局域網（VLAN）技術是為了解決橋接的局域網中存在的廣播風暴，以及網絡系統(tǒng)的可擴展性、靈活性和易管理性方面的問題，第二層交換機基本上都支持VLAN劃分。在局域網設計中，我們可以根據不同部門劃分VLAN。VLAN技術的采用為網絡系統(tǒng)帶來了以下的優(yōu)點：控制廣播VLAN之間是相互隔離的，所有的廣播和多點廣播都被限制在一個VLAN的范圍內，即一個VLAN產生的廣播信息不會被傳播到其它的VLAN中，有效地防止了局域網上廣播風暴的產生，提供了帶寬的利用率。提高安全性由于VLAN之間是相互隔離的，因此可將高安全性要求的主機服務器可劃分到一個VLAN中，而其它VLAN的用戶則不能訪問它們。如果VLAN之間要進行通信則必需通過三層交換機才能完成，而三層交換機上具有訪問控制（Access-List）以及防火墻等安全控制功能，因此VLAN之間的訪問可以通過三層交換機進行控制。提高性能通過VLAN的劃分，可將需訪問同一服務器/服務器組的用戶放到同一個VLAN中，這樣該VLAN內部的服務器只由本VLAN內的成員訪問，其它VLAN的用戶不會影響服務器的性能。便于管理由于VLAN的劃分是邏輯上的，因此用戶不再受到物理位置的限制，任意位置的用戶可以屬于任意一個VLAN，VLAN內的成員可以任意地增加，修改和刪除，使得網絡管理更加簡便易行。VLAN的劃分可以有三種方式：ByPort、ByProtocol、ByaUser-DefinedValue。VLANRouting每一個VLAN都具有一個標識，不同的VLAN標識亦不相同，交換機在數據鏈路層上可以識別不同的VLAN標識，但不能修改該VLAN標識，只有VLAN標識相同的端口才能形成橋接，數據鏈路層的連接才能建立，因而不同VLAN的設備在數據鏈路層上是無法連通的。VLANRouting技術在網絡層將VLAN標識進行轉換，使得不同的VLAN間可以溝通，而此時基于網絡層、傳輸層甚至應用層的安全控制手段都可運用，諸如Access-list（訪問列表限制）等，VLANRouting技術使我們獲得了對不同VLAN間數據流動的強有力控制。2）防網絡病毒設計現在網絡病毒對網絡的沖擊影響已經越來越大，如非常猖狂的紅色代碼（codered）、沖擊波（MSBlaster）等網絡病毒，所以有必要對網絡病毒繼續(xù)有效的控制。神州數碼DCS-4500交換機支持豐富的ACL功能，可以針對病毒特征加以隔離限制，使得病毒的影響控制在接入交換機端口之外。同時，神州數碼DCS-4500交換機還支持防ARP功能，可以防ARP掃描、防ARP攻擊等。3）防網絡攻擊設計網絡中針對交換機的攻擊和必須經過交換機的攻擊有如下幾種：?MAC攻擊?DHCP攻擊?ARP攻擊?IP/MAC欺騙攻擊?STP攻擊?DoS/DDoS攻擊?網絡設備管理安全神州數碼交換機具有豐富的機制來對交換機的攻擊。①MAC攻擊攻擊：交換機內部的MAC地址表空間是有限的，MAC攻擊會很快占滿交換機內部MAC地址表，使得單播包在交換機內部也變成廣播包向同一個VLAN中所有端口轉發(fā)，每個連在端口上的客戶端都可以收到該報文，交換機變成了一個Hub，用戶的信息傳輸也沒有安全保障了。防范：利用交換機端口安全功能下的MAC動態(tài)地址鎖/端口靜態(tài)綁定MAC，或1x端口下端口自動動態(tài)綁定MAC/IP，來限定交換機某個端口上可以學習的源MAC數量或源MAC地址，當該端口學習的MAC數量超過限定數量時，交換機將產生拒絕動作。②DHCP攻擊DHCP攻擊之一：惡意用戶通過更換MAC地址的方式向DHCPServer發(fā)送大量的DHCP請求，以消耗DHCPServer可分配的IP地址為目的，使得合法用戶的IP請求無法實現。防范：利用交換機端口安全功能：MAC動態(tài)地址鎖和端口靜態(tài)綁定MAC、1x端口下的自動動態(tài)綁定用戶IP/MAC，來限定交換機某個端口上可以訪問網絡的MAC地址，從而控制：那些通過變化MAC地址來惡意請求不同IP地址和消耗IP資源的DHCP攻擊。當交換機一個端口的MAC地址的數目已經達到允許的最大個數后，如果該端口收到一個源地址不屬于端口上的MAC安全地址的包時，交換機則采取措施。DHCP攻擊之二：非法DHCPServer，為合法用戶的IP請求分配不正確的IP地址、網關、DNS等錯誤信息，不僅影響合法用戶的正常通訊，還導致合法用戶的信息都發(fā)往非法DHCPServer，嚴重影響合法用戶的信息安全。防范：?神州數碼DCS-4500交換機可以控制客戶端發(fā)出的DHCP請求報文單播到合法的DHCPSERVER；?神州數碼DCS-4500交換機可以設定合法SERVER，非設定SERVER的DHCP報文將被丟棄。③ARP攻擊ARP攻擊：ARP欺騙ARP欺騙者利用ARP漏洞，發(fā)送虛假的ARP請求報文和響應報文，報文中的源IP和源MAC均為虛假的，或錯誤的網關IP和網關MAC對應關系，擾亂局域網中各PC以及網關中保存的ARP表，使得網絡中的合法PC正常上網、通訊中斷，并且流量都可流入到攻擊者手中。ARP欺騙的防范：神州數碼DCS-4500交換機啟用ARP檢查安全功能，檢查ARP報文中的源IP和源MAC是否和綁定的一致，可有效防止安全端口上欺騙ARP，防止非法信息點冒充網絡關鍵設備的IP（如服務器），造成網絡通訊混亂。④IP/MAC攻擊MAC欺騙：?盜用合法用戶的MAC地址，侵入網絡，使得正常用戶無法上網；IP欺騙：?盜用合法用戶的IP地址，使得到合法用戶的通訊得不到響應，造成Pingofdeath，和ICMP不可達風暴；?不斷修改IP，發(fā)送TCPSYN連接，攻擊Server，造成SYNFlood。防范：?神州數碼DCS-4500交換機啟用端口靜態(tài)綁定，與綁定信息不一致的報文被丟棄；?神州數碼DCS-4500交換機啟用DHCP動態(tài)綁定，與綁定信息不一致的報文被丟棄；?神州數碼DCS-4500交換機啟用802.1x，利用客戶端控制終端的私自更改行為； STP攻擊發(fā)送虛假的BPDU報文，擾亂網絡拓撲和鏈路架構，可以導致整個校園網癱瘓。防范：神州數碼DCS-4500交換機啟用BPDUGuard功能，可以禁止網絡中直接接用戶的端口或接入層交換機的下聯端口收到BPDU報文。從而防范用戶發(fā)送非法BPDU報文。⑤Dos/Ddos攻擊Dos攻擊：占用網絡帶寬，占用服務器提供的服務資源，表現為合法用戶的請求得不到服務的響應，被攻擊方的CPU滿負荷或內存不足。攻擊報文主要是采用偽裝源IP。防范：神州數碼DCS-4500交換機啟用入口過濾規(guī)則，禁止Dos攻擊報文轉發(fā)。 網絡設備管理安全網絡管理可以說是網絡中最薄弱的一個環(huán)節(jié)，因為一旦攻擊者登錄交換機，那么交換機配置的所有安全防范措施則化為烏有，因此必須重視交換機管理安全。神州數碼交換機可以：1、使用SSH、SNMPv3等秘文傳輸方式登錄交換機，實現與交換機之間的加密傳輸。2、將管理VLAN與用戶VLAN分開。3、交換機上不用的端口劃在一個VLAN中，并將這些口Shutdown，需要用時，再開啟。限制可以管理交換機的IP，只有合法的原地址才能登陸交換機。七、校園網基礎云平臺建設方案1、規(guī)劃設計原則銀川市唐徠回中數字校園建設項目建設，需要統(tǒng)籌建設、統(tǒng)一管理和維護，降低云計算平臺建設的成本，提升銀川市唐徠回中教育信息化的基礎能力。項目建設遵循如下幾個原則：自主可控原則構建教育資源云計算中心實現了數據的大集中，信息安全的保障將變得更為重要，在國家提倡自主創(chuàng)新的背景下，建議采用自主可控技術構建云計算中心保障國家信息安全。開放性原則云計算的優(yōu)勢是高性價比，其核心是遵循開放技術路線并大量采用通用技術替代專有技術如Unix，這一點Google、Amazon等云計算供應商已經證明。銀川市唐徠回中數字校園建設項目也應遵循開放技術路線，降低投入成本，避免被供應商的鎖定。循序漸進原則云計算中心的建設不是一蹴而就，應循序漸進。先期在用的部分應用系統(tǒng)可以繼續(xù)沿用物理機部署的方式避免影響業(yè)務的中端，后期不再進行升級，經過2-3年發(fā)展后，云計算平臺可逐漸接管銀川市唐徠回中的各級應用系統(tǒng)。統(tǒng)一規(guī)劃和分布實施原則本項目的建設需要通過建設統(tǒng)一的頂層框架，統(tǒng)一規(guī)劃、統(tǒng)一實施和統(tǒng)一管理，保證項目按照進度、按計劃建設，最終實現教育資源云數據中心基礎設施、信息資源和業(yè)務系統(tǒng)的整合。先進性原則本項目的建設，要求技術具有先進性，并保證在未來5-10年內的時間內具有先進性和擴展性。2、總體技術框架圖總體技術架構圖通過教育資源云平臺項目的總體技術架構可以看出，整個教育資源云建設主要包括：資源云基礎平臺和業(yè)務應用平臺。資源云基礎平臺：IT基礎設施、云計算資源管理層（CloudView）、云計算中心安全體系（CloudFirm）、高性能計算資源管理層（Gridview）。其中：IT基礎設施：采用虛擬化、分布式存儲等云計算技術，實現服務器、網絡、存儲的虛擬化，構建計算資源池、存儲資源池和網絡資源池，實現基礎設施即服務；云資源管理層：利用云計算操作系統(tǒng)CloudView，實現云計算中心的服務管理及業(yè)務管理的統(tǒng)一管理，提高運維及運營的效率；同時建立云計算中心運維標準規(guī)范體系，保證業(yè)務系統(tǒng)開發(fā)、應用、管理的規(guī)范性。同時，根據桌面云的要求，曙光CloudView實現對VMWare產品Vcenter的管理。云計算中心安全體系（CloudFirm）：通過建立云計算中心項目安全體系，結合用戶認證，保證整個項目工程的安全性；業(yè)務應用平臺：主要為教育系統(tǒng)中各個角色，包括學生、教師、家長、普通社區(qū)居民等提供各自所需的服務。3、主要技術路線在云計算服務平臺的建設中充分考慮和利用云計算領域的先進技術進行規(guī)劃和建設，包括：資源池化、動態(tài)資源調度、智能化云管理等。3.1、資源池化資源池化就是將計算資源、存儲資源、網絡資源通過虛擬化技術，將構成相應資源的眾多物理設備組合成一個整體，形成相應的計算資源池、存儲資源池、網絡資源池，提供給上層應用軟件。資源虛擬化是對上層應用屏蔽底層設備或架構的資源封裝手段，是實現云計算資源池化的重要技術基礎。虛擬化技術由來已久，所謂虛擬化是相對于物理實體而言的，即將真實存在的物理實體，通過切分或（和）聚合的封裝手段形成新的表現形態(tài)。聚合封裝是將多個物理實體通過技術手段封裝為單一虛擬映像/實例，可用于完成某個