【正文】 .......................................................... 80 產品簡介 ...................................................................................................... 80 6 銳捷 IT運維服務 .................................................. 81 7 銳捷網絡在教育行業(yè)的關注 .......................................... 85 銳捷網絡簡介 ............................................................................................... 85 連續(xù)三年教育行業(yè)占有率排名第一 ................................................................ 86 銳捷網絡優(yōu)勢概述 ........................................................................................ 86 第四代教育 城域網整體規(guī)劃建議方案 5 / 88 1 教育城域網 概述 教育信息化概述 全球基礎教育信息化發(fā)展歷程 自 20 世紀 90 年代以來，世界各國都在加快教育現代化的步伐，教育信息化程度的高低已成為當今世界衡量一 個國家綜合國力的重要標志之一。 校校通工程：主要內容是全市各 區(qū)縣所有教育事業(yè)單位的校園內網絡建設。 業(yè)務應用：滿足學校基本的上網功能，主要是網頁、文本、即時通訊等基礎應用。 業(yè)務應用：除了滿足學校基本的上網需求外，還開展了電子政務系統、學籍管理系統等業(yè)務應用系統 管理情況： 由 電教館統一規(guī)劃和部署，對于學校校園網的管理，僅管理到出口設備。 第四代教育 城域網整體規(guī)劃建議方案 9 / 88 管理情況： 由 區(qū)縣電 教館對整網進行統一規(guī)劃和部署，包括校園網的安全與故障，有線、無線、 VPN等多種接入方式的統一管理。 管理情況：區(qū)縣電教館除了對整網進行統一規(guī)劃和部署外 ,更關注教育城域網的接入 是否 可控、日志審計 是否能 定位到人、 是否能 區(qū)分師生的訪問服務 ， 及 是否能 保障用戶良好體驗等 與 實名身份認證管理 相關的 問題。面對這些新的挑戰(zhàn)，教育城域網的建設與升級已經不是簡單的網絡設備的搭建，如何構建一個能夠更好服務于教育業(yè)務應用系統的教育城域 網已經成為了各教育信息化主管部門的關注熱點。 通過分析教育城域網的四 種模式、三個步驟及七個方面的關系，融合模式是教育城域網的發(fā)展趨勢，具有技術領先性及保障用戶良好體驗的特點。 核心設備采用較早的北電三層網絡設備，部分區(qū)縣學校核心設備采用北電三層網絡設備與二層設備，部分區(qū)縣學校核心設備采用銳捷三層交換機（ 20xx年建設的中學網絡）。 應用 業(yè)務系統情況 隨著信息技術不斷發(fā)展，區(qū)域和各校的業(yè)務相應上線使用，包括學校 OA系統、學籍管理、視頻會議、電子政務、電子巡考等。 目前城域網絡一部能滿足擴容需求，部分學校在 20xx年以后想直接接入到區(qū)域核心網絡，但由于核心網絡設備已無接入端口，而只能接入到就近的中學或小學，區(qū)教育城域網核心設備老化、性能低、已無擴展等對整體教育信息改革帶了很大的阻礙。 區(qū) 教育城域網數據中心需求 自建網以來 去電教管數據中心沒有通過統一的規(guī)劃和部署各種業(yè)務系統，因此 電教管數 第四代教育 城域網整體規(guī)劃建議方案 14 / 88 據中心的服務器、存儲等都是隨時采購，在每次部 署數的過程中比較麻煩，由于設備復雜和老化，而導致數據中心的數據存在隨時崩潰狀態(tài)，多年中數據中心的隱患也曾消除。如何保障關鍵應用的順暢運行就成為突出的問題： ? 各學校網絡維護能力有限； ? 教育信息中心缺乏有效的網絡運維和管理的工具； ? 網絡資源濫用現象難以管理； ? 惡意網絡攻擊難以及時定位解決； ? 出現緊急事件時， 網絡性能難以保證應急響應的順利運行； ? 無法保障關鍵業(yè)務的可用性； ? 缺少整體規(guī)范的主動網絡安全管理手段； 區(qū)教育城域網實名制身份認證需求 目前區(qū)教育城網中 沒有良好的認證管理體系，各校隨意接入網絡，針對各個學校的接入無法控制，無法區(qū)分師生身份，造成業(yè)務系統、網絡應用等混亂使用，而造成一下幾點問題： 第四代教育 城域網整體規(guī)劃建議方案 15 / 88 ? 公安部 82 號令、教育主管部門的網絡安全要求，需要落實相關日志審計的安全措施，雖然目前已部署上網行為管理產品，然而，只能記錄 IP地址，難以真正滿足審計要求，出現安全事件，難以定位到人，有沒有辦法解決？ ? 城域網的終端接 入不可控，一條網線便可接入各學校的終端，安全隱患大，甚至，很多學校把家屬樓接入教育城域網，導致城域網出口帶寬不足，有沒有辦法屏蔽這些用戶？ ? 用戶在網上發(fā)表不良言論，出現安全事件后，日志審計難以真正定位到人，若發(fā)生公眾事件會嚴重影響教育局的形象 ；針對難以定位到人的問題，若采取 IP/MAC 綁定，工作量大，老師移動辦公不方便，如何解決？ ? IP地址濫用或內網病毒、 IP地址沖突，導致網絡中斷，影響業(yè)務的正常運行，該如何解決？ 區(qū)教育城域網多業(yè)務統一門戶單點登錄需求 數據中心業(yè)務應用有 30多種，其中有部分業(yè)務需要用戶 賬號口令登陸使用，另一部分可直接使用，針對眾多業(yè)務使用是神需要維護自己每一個應用的賬號信息，對于管理員也一樣要進行建立和刪除賬號也相對麻煩。各校出口 部署 1臺 EG融合易網關設備。另一類客戶，要求網絡簡單使用，同時安全隱患小的客戶群，可考慮只使用 web portal 實名認證，不進行強 制的安全控制。 基礎網絡的完善 教育城域網核心升級優(yōu)化 結合教育系統的相關業(yè)務及應用，采用以下兩種技術來構建和完善教育城域網的骨干核心網。 教育城域網 的 出口安全 根據教育城域網出口的流量進行分析，從用戶實際應用與網絡的安全威脅的特點出發(fā)， 第四代教育 城域網整體規(guī)劃建議方案 19 / 88 在網絡出口安全設計中分為三個關鍵步驟的設計： 第一步要實 現提速，即建立高性能、高穩(wěn)定的基礎平臺 第二步要實現業(yè)務的高效運行，提升服務質量 第三步就是安全風險控制，保障出口的高速、高效 教育城域網數據中心 ? 全網采用 IP SAN+FC SAN 的統一存儲架構，靈活擴展存儲容量和前端應用服務器數量，遠距離、跨校區(qū)存儲服務。 ? 學校端零配置部署，分布于各個學校的 AP “零配置”，完全由部署于城域網中心機房的“無線控制器”進行統一管理、配置、監(jiān)控業(yè)務支撐平臺的優(yōu)化。 教育城域網的運維管理 銳捷網絡提出了教育城 域網運維管理系統，對關鍵應用、用戶網絡設備、安全設備、網絡終端 管理統一考慮，整體規(guī)劃。 ? 實名流控。 第四代教育 城域網整體規(guī)劃建議方案 21 / 88 4 XX 教育城域 網詳細 設計 方案 核心骨干網高性能冗余設計 在教育城 域網中，網絡流量包括：學校與學校之間的流量、學校與區(qū)域中心之間的流量、學校訪問 Inter 流量。 區(qū)電教館核心交換區(qū)部署 兩（四）臺基于十萬兆平臺設計的核心交換機，兩臺核心交換機通過 L3 層 20G鏈路互聯，使用 VSU虛擬化技術，將兩臺核心交換機虛擬為一臺，以簡化拓撲，實現 MS級的故障恢復。因此，作為整個網絡平臺的神經 中樞，網絡核心層是全網數據傳輸的中心，不僅要保證 7*24 小時的穩(wěn)定運行，各種應用服務器的數據能夠被穩(wěn)定可 第四代教育 城域網整體規(guī)劃建議方案 22 / 88 靠的傳輸到終端系統，同時，還要協調全網的數據流量和訪問策略，在提供信息服務的同時，保證網絡中心自身的安全。因此本方案中，采用 VSU虛擬云交換技術，將兩臺物理核心交換機虛擬為一臺邏輯上統一的設備，使其能夠實現統一的運行，從而達到減小網絡規(guī)模，同時極大提高網絡穩(wěn)定健壯性，控制故障恢復時間。此時匯聚到核心雙鏈路上聯，等同于雙鏈路連接到一臺核心上，實現跨設備鏈路聚合。網絡一旦故障，就如同斷電缺水一般，其負面影響不可估量。 本方案力在為學校打造 NSF：不間斷轉發(fā)的網絡環(huán)境，實現網絡 %以上的穩(wěn)定電信級高可靠性，同時將故障恢復時間控制在 100ms以內。同時在國內眾多高校、普教重點中小學、國家電子政務外網、廣州亞運會、深圳大運會等有著成熟的應用。 UISS 熱備份功能支持由熱備份框架與備份集合構成。 銳捷 UISS熱備份設計可以保證 RGS8600系列交換機主從管理板的切換在 1秒 間實現，同時在切換過程中，各主機線卡可以繼續(xù)轉發(fā)原有的數據流，不影響網絡業(yè)務的正常透明運行，實現管理板的平滑切換，極大地保證了銳捷網絡設備的可靠性和網絡可用性。 本方案全線交換機包括接入、匯聚、核心均通過硬件的方式對發(fā)往控制平面的數據進行分類，把不同的協議數據歸類到不同的隊列然后 對不同的隊列進行限速，專門對路由引擎進行保護，阻擋外界的 DOS 攻擊。 第二，可以設備 QOS隊列，為每種隊列設置帶寬。 NFPP智能防御流程圖： 基于設備自身安全的技術必須基于 CPU和端口為主要出發(fā)點。 NFPP 通過接受報文的端口或者對送往 CPU 的報文進行攻擊檢測，采取相應保護措施，從而達到對管理面、數據面和控制面的保護作用。 核心骨干網 IPFIX 流量管理 雖然帶寬的提高可以降低網絡流量擁塞等現象發(fā)生，但是隨著業(yè)務種類的不斷增加，業(yè)務流量逐漸趨于復雜，可控的網絡流量才是保障用戶良好應用體驗的最有效手段。 IPFIX 技術簡介 IPFIX 全稱為 IP Flow Information Export，即 IP數據流信息輸出，它是由 IETF 公布的 用于網絡中的流信息測量的標準協議。因為 IPFIX 是一種針對數據流特征分析、基于模板的格式輸出的協議，因此 具有很強的可擴展性，對于不同的需求都可以定義不同的數據格式。 IPFIX 會記錄這個流的統計信息，包括：時間戳，報文數，總的字節(jié)數。 ? 主引擎：主要負責與其他模塊復雜的交互。如何 解決教育城域網出口的安全問題，是每一個城域網規(guī)劃者必須要考慮的問題。與此形成鮮明對比的是，多條出口鏈路中部分鏈路的流量卻很小。如 DDoS 攻擊會耗盡系統資源。不光接入網絡要認證，訪問 Inter也要做準出認證（可以簡單理解為網關認證），并在準出認證基礎上，針對不同用戶身份進行相應策略部署。 其次，保證高穩(wěn)定性。而且在 ACE內嵌高性能 DPI引 擎作用下，協議識別和策略執(zhí) 第四代教育 城域網整體規(guī)劃建議方案 32 / 88 行將不會影響到性能；全部采用多核平臺架構的 RGWALL，將改寫傳統防火墻存在性能瓶頸的歷史。 ? 第三步，就是安全風險控 制，保障出口的高速、高效。最終實現防止網頁內容被篡改，防止網站數據庫內容泄露，防止口令被破解，防止系統管理員權限被竊取，防止網站被掛馬和植入病毒、惡意代碼、間諜軟件 等多重功效。 銳捷的實名制安全，不僅僅體現在基于用戶身份的實名制日志審計。 ? 關鍵應用，持續(xù)保障 通過對關鍵用戶 /關鍵應用的識別，將其置于獨立的 VIP 通道，有效保障關鍵用戶 /關鍵應用的帶寬不受其他應用的影響。 第四代教育 城域網整體規(guī)劃建議方案 36 / 88 ? NAT日志查詢 ? URL日志查詢 端點安全功能 讓正確的人、使用健康的主機、訪問安全的網絡、做規(guī)范的事情?！? 銳捷網絡端點功能，致力于通過軟硬件聯動、計算機與網絡聯動的整體解決方案，通過傳統的網絡設備和安全設備等硬件，配合后臺系統、客戶端等軟件，聯動的實現了對于用戶身份、主機健康性以及網絡通信等多方面的保障，輕松實現“讓正確的人，使用健康的主機，訪問安全的網絡，做規(guī)范的事”的目標。 RGSA 產品使得 端點準入控制 的適用范圍更加廣泛，簡單的說就是，只要有支持標準（無論哪個廠商）即可。 教育城域網數據中心架構 在建設教育城域數據中心過程中，需要根據教育城域網絡中的業(yè)務應用系統情況進行合