【文章內(nèi)容簡(jiǎn)介】 ，大大影響了所有業(yè)務(wù)的使用。 由于網(wǎng)絡(luò) 設(shè)備性能、鏈路、流量管理等問(wèn)題，經(jīng)常導(dǎo)致區(qū)電教管與各縣學(xué)校的視頻會(huì)議、電話會(huì)議等無(wú)法開(kāi)展，甚至有時(shí)連學(xué)校的 OA、 mail、學(xué)籍管理、電子政務(wù)等關(guān)鍵業(yè)務(wù)也受到了影響。 目前城域網(wǎng)絡(luò)一部能滿足擴(kuò)容需求，部分學(xué)校在 20xx年以后想直接接入到區(qū)域核心網(wǎng)絡(luò)，但由于核心網(wǎng)絡(luò)設(shè)備已無(wú)接入端口，而只能接入到就近的中學(xué)或小學(xué)，區(qū)教育城域網(wǎng)核心設(shè)備老化、性能低、已無(wú)擴(kuò)展等對(duì)整體教育信息改革帶了很大的阻礙。 區(qū) 教育城域網(wǎng)出口 需求 分析 隨著信息技術(shù)的不斷發(fā)展、信息數(shù)據(jù)的安全等，網(wǎng)絡(luò)出口是一個(gè)教育城域網(wǎng)網(wǎng)絡(luò)安全的關(guān)鍵關(guān)卡，分析當(dāng)前該 區(qū)網(wǎng)絡(luò)出口情況，網(wǎng)絡(luò)出口有多條鏈路，安全設(shè)備只能做最基本的安全攻擊防御和網(wǎng)絡(luò)三層的安全防護(hù)，不能完全做到對(duì)內(nèi)部業(yè)務(wù)應(yīng)用、終端用戶 PC使用的安全防護(hù) 。在網(wǎng)絡(luò)中經(jīng)常遇到黑客的攻擊、門(mén)戶網(wǎng)站被黑和掛馬、網(wǎng)絡(luò)出口帶寬不足網(wǎng)絡(luò)出口對(duì)數(shù)據(jù)的處理能力差，網(wǎng)絡(luò)出現(xiàn)安全事件后不能及時(shí)定位，不能滿足公安部的安全事件審核等。眾多安全問(wèn)題使得我們教育城網(wǎng)的各級(jí)領(lǐng)導(dǎo)和管理人員感到很頭疼。 區(qū) 教育城域網(wǎng)數(shù)據(jù)中心需求 自建網(wǎng)以來(lái) 去電教管數(shù)據(jù)中心沒(méi)有通過(guò)統(tǒng)一的規(guī)劃和部署各種業(yè)務(wù)系統(tǒng)，因此 電教管數(shù) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 14 / 88 據(jù)中心的服務(wù)器、存儲(chǔ)等都是隨時(shí)采購(gòu)，在每次部 署數(shù)的過(guò)程中比較麻煩，由于設(shè)備復(fù)雜和老化，而導(dǎo)致數(shù)據(jù)中心的數(shù)據(jù)存在隨時(shí)崩潰狀態(tài)，多年中數(shù)據(jù)中心的隱患也曾消除。 數(shù)據(jù)中心業(yè)務(wù)應(yīng)用已增至 30種， 數(shù)據(jù)中心服務(wù)器性能差，也經(jīng)常造成業(yè)務(wù)在各校 同 一時(shí)間內(nèi)訪問(wèn)量過(guò)大的時(shí)出現(xiàn)業(yè)務(wù)系統(tǒng)反應(yīng)較慢，偶爾還會(huì)出現(xiàn)死機(jī)。 區(qū)教育無(wú)線城域網(wǎng)需求 隨著筆記本終端的普及，無(wú)線視頻設(shè)備、語(yǔ)音設(shè)備等在學(xué)校逐漸的應(yīng)用，現(xiàn)有有線網(wǎng)絡(luò) 已不能滿足業(yè)務(wù)和師生的需求，分析當(dāng)前教育城域網(wǎng)的現(xiàn)狀和未來(lái)的發(fā)展，建立無(wú)線教育城域網(wǎng)主要體現(xiàn)如下幾個(gè)方面： ? 無(wú)線網(wǎng)絡(luò)的性能和穩(wěn)定性逐漸提高，成本逐漸下降； ? 在很多 老的教學(xué)樓有線部署困難，采用無(wú)線接入更方便； ? 筆記本逐漸普及，而且未來(lái)無(wú)線視頻監(jiān)控的應(yīng)用、三網(wǎng)融合等因素，將為師生的無(wú)線網(wǎng)絡(luò)應(yīng)用帶來(lái)更多便利和更好體驗(yàn)。 區(qū)教育城域網(wǎng)運(yùn)維管理需求 越來(lái)越多關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)的大規(guī)模使用，對(duì)教育城域網(wǎng)的運(yùn)維和管理能力提出了更高的要求，網(wǎng)絡(luò)應(yīng)用越復(fù)雜，涉及到的層面越多，整個(gè)網(wǎng)絡(luò)也就越脆弱。如何保障關(guān)鍵應(yīng)用的順暢運(yùn)行就成為突出的問(wèn)題： ? 各學(xué)校網(wǎng)絡(luò)維護(hù)能力有限； ? 教育信息中心缺乏有效的網(wǎng)絡(luò)運(yùn)維和管理的工具； ? 網(wǎng)絡(luò)資源濫用現(xiàn)象難以管理； ? 惡意網(wǎng)絡(luò)攻擊難以及時(shí)定位解決； ? 出現(xiàn)緊急事件時(shí)， 網(wǎng)絡(luò)性能難以保證應(yīng)急響應(yīng)的順利運(yùn)行； ? 無(wú)法保障關(guān)鍵業(yè)務(wù)的可用性； ? 缺少整體規(guī)范的主動(dòng)網(wǎng)絡(luò)安全管理手段； 區(qū)教育城域網(wǎng)實(shí)名制身份認(rèn)證需求 目前區(qū)教育城網(wǎng)中 沒(méi)有良好的認(rèn)證管理體系，各校隨意接入網(wǎng)絡(luò)，針對(duì)各個(gè)學(xué)校的接入無(wú)法控制，無(wú)法區(qū)分師生身份，造成業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)應(yīng)用等混亂使用，而造成一下幾點(diǎn)問(wèn)題： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 15 / 88 ? 公安部 82 號(hào)令、教育主管部門(mén)的網(wǎng)絡(luò)安全要求，需要落實(shí)相關(guān)日志審計(jì)的安全措施，雖然目前已部署上網(wǎng)行為管理產(chǎn)品，然而，只能記錄 IP地址，難以真正滿足審計(jì)要求，出現(xiàn)安全事件，難以定位到人，有沒(méi)有辦法解決？ ? 城域網(wǎng)的終端接 入不可控，一條網(wǎng)線便可接入各學(xué)校的終端，安全隱患大，甚至，很多學(xué)校把家屬樓接入教育城域網(wǎng)，導(dǎo)致城域網(wǎng)出口帶寬不足，有沒(méi)有辦法屏蔽這些用戶？ ? 用戶在網(wǎng)上發(fā)表不良言論，出現(xiàn)安全事件后，日志審計(jì)難以真正定位到人，若發(fā)生公眾事件會(huì)嚴(yán)重影響教育局的形象 ；針對(duì)難以定位到人的問(wèn)題，若采取 IP/MAC 綁定，工作量大，老師移動(dòng)辦公不方便，如何解決？ ? IP地址濫用或內(nèi)網(wǎng)病毒、 IP地址沖突，導(dǎo)致網(wǎng)絡(luò)中斷，影響業(yè)務(wù)的正常運(yùn)行，該如何解決？ 區(qū)教育城域網(wǎng)多業(yè)務(wù)統(tǒng)一門(mén)戶單點(diǎn)登錄需求 數(shù)據(jù)中心業(yè)務(wù)應(yīng)用有 30多種，其中有部分業(yè)務(wù)需要用戶 賬號(hào)口令登陸使用，另一部分可直接使用，針對(duì)眾多業(yè)務(wù)使用是神需要維護(hù)自己每一個(gè)應(yīng)用的賬號(hào)信息，對(duì)于管理員也一樣要進(jìn)行建立和刪除賬號(hào)也相對(duì)麻煩。 ? 太多賬號(hào)密碼 , 不容易記憶，老師有時(shí)候連業(yè)務(wù)系統(tǒng)的登陸地址都記不??； ? 登錄頻繁，每個(gè)業(yè)務(wù)系統(tǒng)都要多次輸入密碼，操作繁瑣； ? IT 管理人員賬號(hào)管理工作繁雜 ? 賬號(hào)管理工作量大 ， 賬號(hào)管理不 能 及時(shí) ? 用戶信息不一致 ， 每個(gè)系統(tǒng)都有一套獨(dú)立的用戶數(shù)據(jù)庫(kù) ， 管理員要對(duì)每套系統(tǒng)中的用戶進(jìn)行分別管理 ，工作量大 3 XX 區(qū)教育城域網(wǎng)整體解決方案 XX教育 城域網(wǎng)建設(shè) 整體設(shè)計(jì)概述 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 16 / 88 根據(jù)對(duì)教育城域 網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)的分析， 本方案提出了第 4代城域網(wǎng)建設(shè)方案，總拓?fù)浣Y(jié) 構(gòu)圖如上圖。解決方案構(gòu)架涉及多個(gè)應(yīng)用模塊，實(shí)現(xiàn)不同模式、不同優(yōu)化支撐功能。 結(jié)合到 XX教育城域網(wǎng)現(xiàn)狀，以及滿足當(dāng)前的認(rèn)證、安全等 應(yīng)用需求，方案建設(shè)可分布實(shí)施，初次部署模式如下： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 17 / 88 部署模式簡(jiǎn)介： XX 區(qū) 教育信息中心部署 1 套 radius 身份認(rèn)證系統(tǒng)， 1 套 web portal認(rèn)證門(mén)戶系統(tǒng)。各校出口 部署 1臺(tái) EG融合易網(wǎng)關(guān)設(shè)備。各 EG設(shè)備和信息中心 radius、 web portal系統(tǒng)對(duì)接，實(shí)現(xiàn)信息交戶，以及認(rèn)證策略、實(shí)名信息同步下發(fā)。 學(xué)校用戶可 分類(lèi) 2類(lèi)。一類(lèi)需要進(jìn)行嚴(yán)格的安全控制，如補(bǔ)丁更新、軟件黑白名單控制、殺毒軟件聯(lián)動(dòng)等端點(diǎn)準(zhǔn)入功能，如機(jī)房電腦、重視安全功能的學(xué)校。另一類(lèi)客戶，要求網(wǎng)絡(luò)簡(jiǎn)單使用，同時(shí)安全隱患小的客戶群，可考慮只使用 web portal 實(shí)名認(rèn)證，不進(jìn)行強(qiáng) 制的安全控制。 方案可靈活實(shí)現(xiàn)兩類(lèi)用戶，若需嚴(yán)格安全準(zhǔn)入用戶，只需安裝強(qiáng)客戶端 SA，進(jìn)行主機(jī)安全檢查控制即可， 同時(shí)使用客戶端軟件進(jìn)行實(shí)名認(rèn)證。對(duì)網(wǎng)絡(luò)簡(jiǎn)單使用要求高的客戶，可考慮不安裝客戶端，直接使用 web portal認(rèn)證即可。 教育城域網(wǎng)建設(shè)有三個(gè)主要步驟， ? 基礎(chǔ)網(wǎng)絡(luò)完善 ? 業(yè)務(wù) 支撐優(yōu)化 ? 應(yīng)用整合優(yōu)化 網(wǎng)絡(luò)建設(shè)示意圖 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 18 / 88 基礎(chǔ)網(wǎng)絡(luò)的完善包括四個(gè)方面：有線網(wǎng)絡(luò)改造或完善、網(wǎng)絡(luò)出口優(yōu)化、數(shù)據(jù)中心建設(shè)及智能無(wú)線網(wǎng)絡(luò)建設(shè)； 業(yè)務(wù)支撐平臺(tái)的優(yōu)化包括：業(yè)務(wù)運(yùn)維管理、基于實(shí)名身份的認(rèn)證管理體系建設(shè)； 應(yīng)用的整合優(yōu)化，實(shí)現(xiàn)網(wǎng)絡(luò)層和應(yīng)用層的單點(diǎn)登陸。 基礎(chǔ)網(wǎng)絡(luò)的完善 教育城域網(wǎng)核心升級(jí)優(yōu)化 結(jié)合教育系統(tǒng)的相關(guān)業(yè)務(wù)及應(yīng)用，采用以下兩種技術(shù)來(lái)構(gòu)建和完善教育城域網(wǎng)的骨干核心網(wǎng)。 ? 高性能冗余的 萬(wàn)兆 核心 核心設(shè)備采用當(dāng)今高端路由交換產(chǎn)品，關(guān)鍵硬件達(dá)到冗余如：引擎、風(fēng)扇、電源；核心業(yè)務(wù)辦卡采用模塊配置，能夠很 好的提供今后的擴(kuò)展，核心骨干網(wǎng)絡(luò)設(shè)計(jì)為高容錯(cuò)功能，核心骨干網(wǎng)絡(luò)故障時(shí)間 1S。 核心設(shè)備采用支持 IPv IPv6的 萬(wàn)兆技術(shù)，核心引擎具有 NFPP 與 CPP 的防護(hù)功能，能夠隨時(shí)保護(hù)核心引擎。 ? 核心骨干網(wǎng) IPFIX流量管理 核心骨干交換機(jī)能夠?qū)崿F(xiàn) IPFIX 流量管理，可以進(jìn)行流量采樣、流量采集、數(shù)據(jù)分析處理，使網(wǎng)絡(luò)核心流量得管理和控制，保證業(yè)務(wù)的使用。 教育城域網(wǎng) 的 出口安全 根據(jù)教育城域網(wǎng)出口的流量進(jìn)行分析，從用戶實(shí)際應(yīng)用與網(wǎng)絡(luò)的安全威脅的特點(diǎn)出發(fā)， 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 19 / 88 在網(wǎng)絡(luò)出口安全設(shè)計(jì)中分為三個(gè)關(guān)鍵步驟的設(shè)計(jì)： 第一步要實(shí) 現(xiàn)提速，即建立高性能、高穩(wěn)定的基礎(chǔ)平臺(tái) 第二步要實(shí)現(xiàn)業(yè)務(wù)的高效運(yùn)行，提升服務(wù)質(zhì)量 第三步就是安全風(fēng)險(xiǎn)控制，保障出口的高速、高效 教育城域網(wǎng)數(shù)據(jù)中心 ? 全網(wǎng)采用 IP SAN+FC SAN 的統(tǒng)一存儲(chǔ)架構(gòu)，靈活擴(kuò)展存儲(chǔ)容量和前端應(yīng)用服務(wù)器數(shù)量，遠(yuǎn)距離、跨校區(qū)存儲(chǔ)服務(wù)。 ? 提供跨盤(pán)陣的卷鏡像、快照、復(fù)制等功能確保數(shù)據(jù)安全，輕松實(shí)現(xiàn)跨盤(pán)陣的數(shù)據(jù)遷移、應(yīng)用服務(wù)遷移，整合原有存儲(chǔ)， Licensefree。 ? 通過(guò)城域網(wǎng)的可用鏈路提供遠(yuǎn)程災(zāi)難備份恢復(fù)功能，確保數(shù)據(jù)安全，可以在低帶寬環(huán)境下實(shí)現(xiàn)遠(yuǎn)程數(shù)據(jù)災(zāi)備。 無(wú)線教育城域網(wǎng) 依 托現(xiàn)有的有線教育城域網(wǎng)，以現(xiàn)有的教育城域網(wǎng)為基礎(chǔ)， 無(wú)線網(wǎng)絡(luò) 設(shè)計(jì)如下： ? 采用技術(shù)的標(biāo)準(zhǔn)先進(jìn)性和實(shí)用性，支持 并兼容 WIFI ,無(wú)線支持雙工模式， 與 WIFI 。 ? 學(xué)校端零配置部署，分布于各個(gè)學(xué)校的 AP “零配置”，完全由部署于城域網(wǎng)中心機(jī)房的“無(wú)線控制器”進(jìn)行統(tǒng)一管理、配置、監(jiān)控業(yè)務(wù)支撐平臺(tái)的優(yōu)化。 ? 根據(jù)區(qū)縣下屬學(xué)校的數(shù)量，每個(gè)學(xué)校部署的 AP 數(shù)量的差異，來(lái)考慮無(wú)線控制器的規(guī)模，使得系統(tǒng)的容量、性能、可靠性以及可管理性得到有效保障 。 ? 遠(yuǎn) 端智能感知：如無(wú)線控制器出現(xiàn)故障，學(xué)校的 AP 要能自動(dòng)感知無(wú)線控制器的狀態(tài)，自動(dòng)切換，保證業(yè)務(wù)運(yùn)行不受影響。 ? 需要考慮與有線城網(wǎng)的融合，如 AP 的部署、 VLAN 支持、用戶認(rèn)證、安全體系等等。 教育城域網(wǎng)的運(yùn)維管理 銳捷網(wǎng)絡(luò)提出了教育城 域網(wǎng)運(yùn)維管理系統(tǒng)，對(duì)關(guān)鍵應(yīng)用、用戶網(wǎng)絡(luò)設(shè)備、安全設(shè)備、網(wǎng)絡(luò)終端 管理統(tǒng)一考慮，整體規(guī)劃。通過(guò)該系統(tǒng)，區(qū)域?qū)⒔ㄔO(shè)一個(gè)跨教育信息中心和各個(gè)校園網(wǎng)的整體安全防護(hù)體系和管理體系，以自動(dòng)化、分布式、智能化的監(jiān)控和管理手段實(shí)現(xiàn)全面的安全防護(hù)與管理，達(dá)到標(biāo)本兼治的效果。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 20 / 88 教育城域網(wǎng)實(shí)名制管理 在教育城網(wǎng)中通過(guò)實(shí)名制管理系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)、業(yè)務(wù)的實(shí)名認(rèn)證，實(shí)名認(rèn)證包括： ? 實(shí)名認(rèn)證，有線、無(wú)線、 VPN 接入認(rèn)證。 ? 實(shí)名訪問(wèn)權(quán)限控制。 ? 實(shí)名流控。 ? 實(shí)名日志審計(jì)。 應(yīng)用的整合優(yōu)化 通過(guò) RGSMP 與 RGSSO 進(jìn)行互動(dòng)，使教育城域網(wǎng)的多個(gè)業(yè)務(wù)統(tǒng)、有線、無(wú)線、 VPN 等統(tǒng)一單點(diǎn)登錄，它無(wú)需用戶記憶多個(gè)用戶名、密碼，也無(wú)需用戶進(jìn)行多次登錄系統(tǒng)才能訪問(wèn)應(yīng)用系統(tǒng)。管理員只要維護(hù)一個(gè)系統(tǒng)即可，對(duì)于用戶來(lái)說(shuō)只要記住一個(gè)網(wǎng)絡(luò)認(rèn)證的密碼就可以實(shí)現(xiàn)網(wǎng)絡(luò)的接入。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 21 / 88 4 XX 教育城域 網(wǎng)詳細(xì) 設(shè)計(jì) 方案 核心骨干網(wǎng)高性能冗余設(shè)計(jì) 在教育城 域網(wǎng)中，網(wǎng)絡(luò)流量包括：學(xué)校與學(xué)校之間的流量、學(xué)校與區(qū)域中心之間的流量、學(xué)校訪問(wèn) Inter 流量。（如下圖所示 圖 1） 教育城域網(wǎng)的建設(shè)是整個(gè)區(qū)域教育信息化建設(shè)的核心，是保證所有業(yè)務(wù)應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵。結(jié)合現(xiàn)有教育系統(tǒng)的相關(guān)業(yè)務(wù)及應(yīng)用，推薦以下兩種 方案 來(lái)構(gòu)建和完善教育城域網(wǎng)的骨干核心網(wǎng)。 虛擬化核心骨干網(wǎng) 區(qū)電教兩臺(tái)核心采用銳捷核心虛擬技術(shù)，將兩臺(tái)核心設(shè)備虛擬為一臺(tái)邏輯核心交換機(jī) ， VSU 很容易地?cái)U(kuò)展端口數(shù)量、帶寬的同時(shí)取代了 MSTP+VRRP 雙核心拓?fù)洌群?jiǎn)化網(wǎng)絡(luò)拓?fù)洹? 區(qū)電教館核心交換區(qū)部署 兩（四）臺(tái)基于十萬(wàn)兆平臺(tái)設(shè)計(jì)的核心交換機(jī)，兩臺(tái)核心交換機(jī)通過(guò) L3 層 20G鏈路互聯(lián)，使用 VSU虛擬化技術(shù)，將兩臺(tái)核心交換機(jī)虛擬為一臺(tái)，以簡(jiǎn)化拓?fù)洌瑢?shí)現(xiàn) MS級(jí)的故障恢復(fù)。兩臺(tái)核心交換機(jī)直接光纖互聯(lián)高中部接入交換機(jī)，其它校區(qū)匯聚交換機(jī)通過(guò) layer3層千兆光纖鏈路互聯(lián)，形成高性能、高可靠核心交換機(jī)區(qū)。 業(yè)務(wù)區(qū)域采用 VSU設(shè)計(jì)實(shí)現(xiàn)高可靠，網(wǎng)絡(luò)核心之間雙鏈路跨板鏈路聚合實(shí)現(xiàn)鏈路可靠。 網(wǎng)絡(luò)中心作為全網(wǎng)的心臟，向單位內(nèi)部的終端系統(tǒng)源源不斷的提供安全的信息血液，保證整個(gè)教育業(yè)務(wù)系統(tǒng)的可靠運(yùn)行。因此，作為整個(gè)網(wǎng)絡(luò)平臺(tái)的神經(jīng) 中樞，網(wǎng)絡(luò)核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行模粌H要保證 7*24 小時(shí)的穩(wěn)定運(yùn)行，各種應(yīng)用服務(wù)器的數(shù)據(jù)能夠被穩(wěn)定可 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 22 / 88 靠的傳輸?shù)浇K端系統(tǒng)，同時(shí)，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問(wèn)策略，在提供信息服務(wù)的同時(shí)，保證網(wǎng)絡(luò)中心自身的安全。 R G W A L L 1 6 0 0R G A C E 3 0 0 0R G W A L L V 1 6 0 0R G S 8 6 1 0R G S 8 6 1 0R G W GR G