【文章內(nèi)容簡介】 ，大大影響了所有業(yè)務的使用。 由于網(wǎng)絡 設備性能、鏈路、流量管理等問題，經(jīng)常導致區(qū)電教管與各縣學校的視頻會議、電話會議等無法開展，甚至有時連學校的 OA、 mail、學籍管理、電子政務等關鍵業(yè)務也受到了影響。 目前城域網(wǎng)絡一部能滿足擴容需求，部分學校在 20xx年以后想直接接入到區(qū)域核心網(wǎng)絡，但由于核心網(wǎng)絡設備已無接入端口，而只能接入到就近的中學或小學，區(qū)教育城域網(wǎng)核心設備老化、性能低、已無擴展等對整體教育信息改革帶了很大的阻礙。 區(qū) 教育城域網(wǎng)出口 需求 分析 隨著信息技術的不斷發(fā)展、信息數(shù)據(jù)的安全等，網(wǎng)絡出口是一個教育城域網(wǎng)網(wǎng)絡安全的關鍵關卡，分析當前該 區(qū)網(wǎng)絡出口情況，網(wǎng)絡出口有多條鏈路，安全設備只能做最基本的安全攻擊防御和網(wǎng)絡三層的安全防護，不能完全做到對內(nèi)部業(yè)務應用、終端用戶 PC使用的安全防護 。在網(wǎng)絡中經(jīng)常遇到黑客的攻擊、門戶網(wǎng)站被黑和掛馬、網(wǎng)絡出口帶寬不足網(wǎng)絡出口對數(shù)據(jù)的處理能力差，網(wǎng)絡出現(xiàn)安全事件后不能及時定位，不能滿足公安部的安全事件審核等。眾多安全問題使得我們教育城網(wǎng)的各級領導和管理人員感到很頭疼。 區(qū) 教育城域網(wǎng)數(shù)據(jù)中心需求 自建網(wǎng)以來 去電教管數(shù)據(jù)中心沒有通過統(tǒng)一的規(guī)劃和部署各種業(yè)務系統(tǒng)，因此 電教管數(shù) 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 14 / 88 據(jù)中心的服務器、存儲等都是隨時采購，在每次部 署數(shù)的過程中比較麻煩，由于設備復雜和老化，而導致數(shù)據(jù)中心的數(shù)據(jù)存在隨時崩潰狀態(tài)，多年中數(shù)據(jù)中心的隱患也曾消除。 數(shù)據(jù)中心業(yè)務應用已增至 30種， 數(shù)據(jù)中心服務器性能差，也經(jīng)常造成業(yè)務在各校 同 一時間內(nèi)訪問量過大的時出現(xiàn)業(yè)務系統(tǒng)反應較慢，偶爾還會出現(xiàn)死機。 區(qū)教育無線城域網(wǎng)需求 隨著筆記本終端的普及，無線視頻設備、語音設備等在學校逐漸的應用，現(xiàn)有有線網(wǎng)絡 已不能滿足業(yè)務和師生的需求，分析當前教育城域網(wǎng)的現(xiàn)狀和未來的發(fā)展，建立無線教育城域網(wǎng)主要體現(xiàn)如下幾個方面： ? 無線網(wǎng)絡的性能和穩(wěn)定性逐漸提高，成本逐漸下降； ? 在很多 老的教學樓有線部署困難，采用無線接入更方便； ? 筆記本逐漸普及，而且未來無線視頻監(jiān)控的應用、三網(wǎng)融合等因素，將為師生的無線網(wǎng)絡應用帶來更多便利和更好體驗。 區(qū)教育城域網(wǎng)運維管理需求 越來越多關鍵業(yè)務應用系統(tǒng)的大規(guī)模使用，對教育城域網(wǎng)的運維和管理能力提出了更高的要求，網(wǎng)絡應用越復雜，涉及到的層面越多，整個網(wǎng)絡也就越脆弱。如何保障關鍵應用的順暢運行就成為突出的問題： ? 各學校網(wǎng)絡維護能力有限； ? 教育信息中心缺乏有效的網(wǎng)絡運維和管理的工具； ? 網(wǎng)絡資源濫用現(xiàn)象難以管理； ? 惡意網(wǎng)絡攻擊難以及時定位解決； ? 出現(xiàn)緊急事件時， 網(wǎng)絡性能難以保證應急響應的順利運行； ? 無法保障關鍵業(yè)務的可用性； ? 缺少整體規(guī)范的主動網(wǎng)絡安全管理手段； 區(qū)教育城域網(wǎng)實名制身份認證需求 目前區(qū)教育城網(wǎng)中 沒有良好的認證管理體系，各校隨意接入網(wǎng)絡，針對各個學校的接入無法控制，無法區(qū)分師生身份，造成業(yè)務系統(tǒng)、網(wǎng)絡應用等混亂使用，而造成一下幾點問題： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 15 / 88 ? 公安部 82 號令、教育主管部門的網(wǎng)絡安全要求，需要落實相關日志審計的安全措施，雖然目前已部署上網(wǎng)行為管理產(chǎn)品，然而，只能記錄 IP地址，難以真正滿足審計要求，出現(xiàn)安全事件，難以定位到人，有沒有辦法解決？ ? 城域網(wǎng)的終端接 入不可控，一條網(wǎng)線便可接入各學校的終端，安全隱患大，甚至，很多學校把家屬樓接入教育城域網(wǎng)，導致城域網(wǎng)出口帶寬不足，有沒有辦法屏蔽這些用戶？ ? 用戶在網(wǎng)上發(fā)表不良言論，出現(xiàn)安全事件后，日志審計難以真正定位到人，若發(fā)生公眾事件會嚴重影響教育局的形象 ；針對難以定位到人的問題，若采取 IP/MAC 綁定，工作量大，老師移動辦公不方便，如何解決？ ? IP地址濫用或內(nèi)網(wǎng)病毒、 IP地址沖突，導致網(wǎng)絡中斷，影響業(yè)務的正常運行，該如何解決？ 區(qū)教育城域網(wǎng)多業(yè)務統(tǒng)一門戶單點登錄需求 數(shù)據(jù)中心業(yè)務應用有 30多種，其中有部分業(yè)務需要用戶 賬號口令登陸使用，另一部分可直接使用，針對眾多業(yè)務使用是神需要維護自己每一個應用的賬號信息，對于管理員也一樣要進行建立和刪除賬號也相對麻煩。 ? 太多賬號密碼 , 不容易記憶，老師有時候連業(yè)務系統(tǒng)的登陸地址都記不住； ? 登錄頻繁，每個業(yè)務系統(tǒng)都要多次輸入密碼，操作繁瑣； ? IT 管理人員賬號管理工作繁雜 ? 賬號管理工作量大 ， 賬號管理不 能 及時 ? 用戶信息不一致 ， 每個系統(tǒng)都有一套獨立的用戶數(shù)據(jù)庫 ， 管理員要對每套系統(tǒng)中的用戶進行分別管理 ，工作量大 3 XX 區(qū)教育城域網(wǎng)整體解決方案 XX教育 城域網(wǎng)建設 整體設計概述 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 16 / 88 根據(jù)對教育城域 網(wǎng)業(yè)務應用系統(tǒng)的分析， 本方案提出了第 4代城域網(wǎng)建設方案，總拓撲結 構圖如上圖。解決方案構架涉及多個應用模塊，實現(xiàn)不同模式、不同優(yōu)化支撐功能。 結合到 XX教育城域網(wǎng)現(xiàn)狀，以及滿足當前的認證、安全等 應用需求，方案建設可分布實施，初次部署模式如下： 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 17 / 88 部署模式簡介： XX 區(qū) 教育信息中心部署 1 套 radius 身份認證系統(tǒng)， 1 套 web portal認證門戶系統(tǒng)。各校出口 部署 1臺 EG融合易網(wǎng)關設備。各 EG設備和信息中心 radius、 web portal系統(tǒng)對接，實現(xiàn)信息交戶，以及認證策略、實名信息同步下發(fā)。 學校用戶可 分類 2類。一類需要進行嚴格的安全控制，如補丁更新、軟件黑白名單控制、殺毒軟件聯(lián)動等端點準入功能，如機房電腦、重視安全功能的學校。另一類客戶，要求網(wǎng)絡簡單使用，同時安全隱患小的客戶群，可考慮只使用 web portal 實名認證，不進行強 制的安全控制。 方案可靈活實現(xiàn)兩類用戶，若需嚴格安全準入用戶，只需安裝強客戶端 SA，進行主機安全檢查控制即可， 同時使用客戶端軟件進行實名認證。對網(wǎng)絡簡單使用要求高的客戶，可考慮不安裝客戶端，直接使用 web portal認證即可。 教育城域網(wǎng)建設有三個主要步驟， ? 基礎網(wǎng)絡完善 ? 業(yè)務 支撐優(yōu)化 ? 應用整合優(yōu)化 網(wǎng)絡建設示意圖 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 18 / 88 基礎網(wǎng)絡的完善包括四個方面：有線網(wǎng)絡改造或完善、網(wǎng)絡出口優(yōu)化、數(shù)據(jù)中心建設及智能無線網(wǎng)絡建設； 業(yè)務支撐平臺的優(yōu)化包括：業(yè)務運維管理、基于實名身份的認證管理體系建設； 應用的整合優(yōu)化，實現(xiàn)網(wǎng)絡層和應用層的單點登陸。 基礎網(wǎng)絡的完善 教育城域網(wǎng)核心升級優(yōu)化 結合教育系統(tǒng)的相關業(yè)務及應用，采用以下兩種技術來構建和完善教育城域網(wǎng)的骨干核心網(wǎng)。 ? 高性能冗余的 萬兆 核心 核心設備采用當今高端路由交換產(chǎn)品，關鍵硬件達到冗余如：引擎、風扇、電源；核心業(yè)務辦卡采用模塊配置，能夠很 好的提供今后的擴展，核心骨干網(wǎng)絡設計為高容錯功能，核心骨干網(wǎng)絡故障時間 1S。 核心設備采用支持 IPv IPv6的 萬兆技術，核心引擎具有 NFPP 與 CPP 的防護功能，能夠隨時保護核心引擎。 ? 核心骨干網(wǎng) IPFIX流量管理 核心骨干交換機能夠?qū)崿F(xiàn) IPFIX 流量管理，可以進行流量采樣、流量采集、數(shù)據(jù)分析處理，使網(wǎng)絡核心流量得管理和控制，保證業(yè)務的使用。 教育城域網(wǎng) 的 出口安全 根據(jù)教育城域網(wǎng)出口的流量進行分析，從用戶實際應用與網(wǎng)絡的安全威脅的特點出發(fā)， 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 19 / 88 在網(wǎng)絡出口安全設計中分為三個關鍵步驟的設計： 第一步要實 現(xiàn)提速，即建立高性能、高穩(wěn)定的基礎平臺 第二步要實現(xiàn)業(yè)務的高效運行，提升服務質(zhì)量 第三步就是安全風險控制，保障出口的高速、高效 教育城域網(wǎng)數(shù)據(jù)中心 ? 全網(wǎng)采用 IP SAN+FC SAN 的統(tǒng)一存儲架構，靈活擴展存儲容量和前端應用服務器數(shù)量，遠距離、跨校區(qū)存儲服務。 ? 提供跨盤陣的卷鏡像、快照、復制等功能確保數(shù)據(jù)安全，輕松實現(xiàn)跨盤陣的數(shù)據(jù)遷移、應用服務遷移，整合原有存儲， Licensefree。 ? 通過城域網(wǎng)的可用鏈路提供遠程災難備份恢復功能，確保數(shù)據(jù)安全，可以在低帶寬環(huán)境下實現(xiàn)遠程數(shù)據(jù)災備。 無線教育城域網(wǎng) 依 托現(xiàn)有的有線教育城域網(wǎng)，以現(xiàn)有的教育城域網(wǎng)為基礎， 無線網(wǎng)絡 設計如下： ? 采用技術的標準先進性和實用性，支持 并兼容 WIFI ,無線支持雙工模式， 與 WIFI 。 ? 學校端零配置部署，分布于各個學校的 AP “零配置”，完全由部署于城域網(wǎng)中心機房的“無線控制器”進行統(tǒng)一管理、配置、監(jiān)控業(yè)務支撐平臺的優(yōu)化。 ? 根據(jù)區(qū)縣下屬學校的數(shù)量，每個學校部署的 AP 數(shù)量的差異，來考慮無線控制器的規(guī)模，使得系統(tǒng)的容量、性能、可靠性以及可管理性得到有效保障 。 ? 遠 端智能感知：如無線控制器出現(xiàn)故障，學校的 AP 要能自動感知無線控制器的狀態(tài)，自動切換，保證業(yè)務運行不受影響。 ? 需要考慮與有線城網(wǎng)的融合，如 AP 的部署、 VLAN 支持、用戶認證、安全體系等等。 教育城域網(wǎng)的運維管理 銳捷網(wǎng)絡提出了教育城 域網(wǎng)運維管理系統(tǒng)，對關鍵應用、用戶網(wǎng)絡設備、安全設備、網(wǎng)絡終端 管理統(tǒng)一考慮，整體規(guī)劃。通過該系統(tǒng)，區(qū)域?qū)⒔ㄔO一個跨教育信息中心和各個校園網(wǎng)的整體安全防護體系和管理體系，以自動化、分布式、智能化的監(jiān)控和管理手段實現(xiàn)全面的安全防護與管理，達到標本兼治的效果。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 20 / 88 教育城域網(wǎng)實名制管理 在教育城網(wǎng)中通過實名制管理系統(tǒng)，實現(xiàn)網(wǎng)絡、業(yè)務的實名認證，實名認證包括： ? 實名認證，有線、無線、 VPN 接入認證。 ? 實名訪問權限控制。 ? 實名流控。 ? 實名日志審計。 應用的整合優(yōu)化 通過 RGSMP 與 RGSSO 進行互動，使教育城域網(wǎng)的多個業(yè)務統(tǒng)、有線、無線、 VPN 等統(tǒng)一單點登錄，它無需用戶記憶多個用戶名、密碼，也無需用戶進行多次登錄系統(tǒng)才能訪問應用系統(tǒng)。管理員只要維護一個系統(tǒng)即可，對于用戶來說只要記住一個網(wǎng)絡認證的密碼就可以實現(xiàn)網(wǎng)絡的接入。 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 21 / 88 4 XX 教育城域 網(wǎng)詳細 設計 方案 核心骨干網(wǎng)高性能冗余設計 在教育城 域網(wǎng)中，網(wǎng)絡流量包括：學校與學校之間的流量、學校與區(qū)域中心之間的流量、學校訪問 Inter 流量。（如下圖所示 圖 1） 教育城域網(wǎng)的建設是整個區(qū)域教育信息化建設的核心，是保證所有業(yè)務應用系統(tǒng)正常運行的關鍵。結合現(xiàn)有教育系統(tǒng)的相關業(yè)務及應用，推薦以下兩種 方案 來構建和完善教育城域網(wǎng)的骨干核心網(wǎng)。 虛擬化核心骨干網(wǎng) 區(qū)電教兩臺核心采用銳捷核心虛擬技術，將兩臺核心設備虛擬為一臺邏輯核心交換機 ， VSU 很容易地擴展端口數(shù)量、帶寬的同時取代了 MSTP+VRRP 雙核心拓撲，既簡化網(wǎng)絡拓撲。 區(qū)電教館核心交換區(qū)部署 兩（四）臺基于十萬兆平臺設計的核心交換機，兩臺核心交換機通過 L3 層 20G鏈路互聯(lián)，使用 VSU虛擬化技術，將兩臺核心交換機虛擬為一臺，以簡化拓撲，實現(xiàn) MS級的故障恢復。兩臺核心交換機直接光纖互聯(lián)高中部接入交換機，其它校區(qū)匯聚交換機通過 layer3層千兆光纖鏈路互聯(lián)，形成高性能、高可靠核心交換機區(qū)。 業(yè)務區(qū)域采用 VSU設計實現(xiàn)高可靠，網(wǎng)絡核心之間雙鏈路跨板鏈路聚合實現(xiàn)鏈路可靠。 網(wǎng)絡中心作為全網(wǎng)的心臟，向單位內(nèi)部的終端系統(tǒng)源源不斷的提供安全的信息血液，保證整個教育業(yè)務系統(tǒng)的可靠運行。因此，作為整個網(wǎng)絡平臺的神經(jīng) 中樞，網(wǎng)絡核心層是全網(wǎng)數(shù)據(jù)傳輸?shù)闹行?，不僅要保證 7*24 小時的穩(wěn)定運行，各種應用服務器的數(shù)據(jù)能夠被穩(wěn)定可 第四代教育 城域網(wǎng)整體規(guī)劃建議方案 22 / 88 靠的傳輸?shù)浇K端系統(tǒng)，同時，還要協(xié)調(diào)全網(wǎng)的數(shù)據(jù)流量和訪問策略，在提供信息服務的同時，保證網(wǎng)絡中心自身的安全。 R G W A L L 1 6 0 0R G A C E 3 0 0 0R G W A L L V 1 6 0 0R G S 8 6 1 0R G S 8 6 1 0R G W GR G