臺州新龍門英語信息系統方案2011年8月18日臺州新龍門英語方案說明為了創建臺州“一流基礎教育”，根據臺州市教委關于實施素質教育和加強應用現代教育技術的部署，在20世紀的最后一年，進一步做好本市中小學建網、建庫、建隊伍的工作，優質、高效、及時地為中小學提供教育信息服務，XX網絡與信息工程中心受臺州市教委信息中心中小學信息部的委托，根據臺州市中小學教育信息應用系統的基本需求，與臺州郵電及華教公司共同研究，設計了本實施方案。本方案根據臺州市中小學建網、建庫、建隊伍的需求出發，對中小學教育信息網的總體設計思想和框架做了闡述，并根據這一思想，對中小學信息中心的網絡和系統方案，以及外圍用戶的接入形式做了具體的設計。其主要組成部分如下；中小學教育信息網的總體設計思想中小學教育信息網的大網絡結構中小學教育信息中心的局部網絡設計中小學教育信息中心的應用系統設計網絡管理和實施方案臺州市中小學校園的相關應用描述對區縣中心和中小學校園網建設的指導性規范本方案還著重討論了中小學教育信息系統建設中可能碰到的一些技術難點和重點，網絡的安全性和管理模式，以及對網絡建設的質量監控手段。目錄1引言62需求分析721教育信息系統的主要信息類型722教育信息系統的主要應用類型723各子系統分布的特點73設計指導思想831原則方針832設計目標8321網絡功能目標8322網絡性能目標9323網絡管理目標104網絡方案1241本方案設計的總體思想1242總體網絡方案12421現實條件12422可選方案134221利用臺州郵電ATM網的幀中繼服務134222利用臺州科技網的虛擬網絡144223利用臺州熱線的公共IP網絡平臺15423總體網絡拓撲結構164231中心的外連接口174232分節點接入174233普通用戶接入174234網絡設備選型1743中小學教育信息中心網絡18431臺州市中小學教育信息中心的網絡設計18432網絡技術選擇184321網絡設備的系統結構184322虛擬網絡184323路由功能194324容錯功能194325網絡管理19433網絡拓撲結構20434主要網絡設備介紹214341中央交換設備214342邊緣接入設備214343遠程撥號服務器214344防火墻224345網絡監控及過濾設備22435服務器及應用軟件配置234351數據庫服務器234352WEB服務器、DNS服務器234353代理服務器、FTP服務器244354EMAIL服務器244355認證服務器244356網管服務器254357系統管理服務器254358開發及維護2544中小學教育信息網的系統及網絡管理方案26441系統及網絡管理的職能目標26442網絡管理模式的確定原則264421分布式網絡管理模式274422服務級網管模式27443系統管理方案275中小學教育信息應用系統概覽2851網絡通訊系統2852計算機、網絡教學系統2853學校日常管理系統2854圖書文獻、情報、資料系統2955基于IC智能卡學生應用系統2956網上學校教學與管理系統29561運作原理30562模塊介紹30563系統服務業務流程33564系統結構圖34565數據庫管理346技術重點和難點3661網絡互聯36611現狀和需求36612解決方案36613補充建議3662備份與容錯37621需求分析37622解決方案3763安全性38631需求分析38632解決方案386321分節點396322中心節點396323補充建議407系統實施4171實施計劃、進度、節點目標4172質量保證措施4173技術支持、系統管理及維護、人員培訓42731技術支持42732系統管理及維護437321中心系統管理及維護437322節點系統管理及維護44733人員培訓457331中心人員培訓457332節點人員培訓468節點建設建議標準4781概述4782機房環境要求4783中心標準48831路由及出口48832網絡標準48833硬件標準50834軟件標準50835管理規范與人員配備5084站點標準51841路由及出口51842網絡標準51843軟/硬件標準53844管理規范與人員配備539效益預測和系統概算5591效益預測55911經濟效益55912社會效益5592經費概算57921投資估算方法說明57922預算概要57923投資預算清單581引言目前，國際互連網絡INTERNET在全球迅猛發展，它從最初用于大學，政府，研究機構之間共享資源和信息通訊發展至今天，已經成為一個擁有數千萬用戶和一個龐大信息資源庫的網絡，成為現代信息技術革命和信息產業的主要內容。在INTERNET浪潮的帶動下，各個地區、團體、行業相繼建立起自己的INTRANET，使得在自身的范圍內實現資源共享、協同工作，同時通過相應的入口與INTERNET連接，以達到世界范圍內的信息交流的目的。在這一時代背景下，為順應國際大都市信息化發展的趨勢和響應臺州地區高速發展的經濟對信息化日益迫切的要求，臺州市提出了建設“信息港”工程的目標。這一跨世紀工程是基于臺州信息化發展的現實情況，將電信領域中區域綜合性通信的“電信港”概念在現代信息社會環境中的引伸。臺州“信息港”工程實際上是臺州地區性“信息高速公路”，它由覆蓋全市并與國內外信息網相連的天地一體化的高速、大容量信息傳送網和社會化應用信息系統構成，是建設以臺州為龍頭、輻射長江三角洲及長江沿岸經濟帶發展的社會信息化城市基礎設施。信息港能夠為商業、金融、行政、教育及娛樂領域提供快速便捷的信息傳輸服務，比如信息發布、電子市場、遠程教學、電子郵件、電子付款等等。與此同時，隨著集成電路技術的發展，計算機的價格不斷下降，計算機已經不僅僅局限于實驗室，正越來越普遍地走入廣大市民的家庭、走入中小學校的教室。中小學教育用計算機市場發展迅速，已成為中國計算機市場重要的增長點之一。但是，由于教育軟件的相對落后，往往不能使計算機充分發揮輔助教學的作用，在很多情況下流于游戲機、打字機；另一方面，中小學校的網絡建設還很不完善，即使是在校園內部也不能實現很大程度的資源共享，更不用說校際的信息交流了。因此，為把兩方面的有利因素相結合，有了建設“臺州市中小學教育信息系統”的設想。這一工程的實施，將充分地利用信息港豐富的網絡資源，極大地推動對傳統教育手段的革新，是現代化的教學手段與先進網絡技術的有機結合，對臺州市的中小學教育將起到重大的促進作用。2需求分析21教育信息系統的主要信息類型文本教育信息網中最主要的信息類型是文本型的，其中包括大量的文字，數據和表格等，基本涵蓋所有應用類型，涉及教學信息，管理信息等方方面面。圖象主要是大量多媒體課件，網管中的圖表顯示和管理信息中的圖片資料等。視頻涉及電視會議系統，遠程教學，和視像點播（VOD）等應用。音頻內部網絡電話，獨立的聲音資料和上面兩項中所附帶的聲音信息。需要說明的一點，作為管理信息上行的數據流量遠遠超過下行的數據流量；而對于大多數應用來說，情況剛好相反，下行的壓力較大。而大量的多媒體信息恰恰是在后者出現。22教育信息系統的主要應用類型基本INTERNET應用教育信息庫管理信息庫多媒體課件遠程教育網上學校信息和應用主要涉及這樣一些技術，萬維網（WEB），數據庫，多媒體制作，視像會議（VC），VOD；網絡的設計思想就是要求網絡本身可以滿足這些技術對網絡帶寬，時延，時延變化和服務質量等方面的要求，當然這里面還包含著最關鍵的一點即安全策略。23各子系統分布的特點中小學教育信息網的特點之一就是各子系統的分布比較分散，物理上，各區縣中心和大量中小學校遍及市區和各個郊縣，各種形式的數據庫也分散在多個小型信息中心，這對管理和訪問帶來了諸多的不便，我們將在網絡設計中考慮這些問題3設計指導思想31原則方針實際原則。一切從實際出發，遵照實際情況確定方案的選擇與實施。先進原則。利用最先進的計算機技術來建設網絡平臺和應用系統，并不斷跟蹤國內外的最新技術動態，保持系統的先進性。經濟原則。在設備選型和軟件開發平臺的選擇上，對具有相似功能的產品進行全面的比較，用有限的資金購買更多的、性能價格比更高的產品。高效原則。動員多方力量，團結合作，相互配合，使系統的建設得以高效率地進行。32設計目標臺州市中小學教育信息系統網絡平臺必須依據教育和管理中的各種應用系統的需求設計，是信息系統之間的信息交換和共享的平臺。中小學教育信息系統的主要模式還是客戶機/服務器（CLIENT/SERVER，C/S）結構，大量的信息以數據中心形式實行集中管理，并供主要信息系統共享。網絡的設計必須有效支持C/S模式的應用，同時支持VC，VOD等實時多媒體的應用。選擇網絡設計方案時，應該考慮整體網絡的設計效果，必須有一定的相關的指標來衡量設計的方案；在選擇網絡設計方案時，更應該考慮網絡本身對于應用的支持情況，這是十分重要的，也是最基本的要求。我們從應用角度出發來考核網絡能力。對于網絡的考核在這里有一些目標，功能目標，性能目標，管理目標。321網絡功能目標中小學教育信息網是一個支持多種應用系統的統一網絡平臺中小學教育信息系統是一個集教學，管理和信息發布為一體的綜合服務體系，它應能適應各種應用的要求，完成各種形式的信息傳遞的功能，集成文本，數據，表格，圖象，語音，視頻的通信，突破傳統的數據和音像分割的局面，做到一網多用，避免重復建設。中小學教育信息網應是具有高可靠性、高安全性的運行網絡中小學教育信息系統是一個面向全市中小學，進行管理和提供教育信息的網絡，其功能的重要性要求這個網絡必須有足夠的保障措施保障網絡通訊平臺的高可靠性，高安全性。網絡及信息系統的安全必須得到高度的重視，確保關鍵的數據的安全傳輸，又要保證一般性服務數據的通暢訪問。中小學教育信息網應是具有良好的可擴展性和有一定冗余的網絡平臺隨著教育手段的不斷發展，和管理機制的改變，加上不斷有大量的信息進入該系統，中小學教育信息系統也將面臨著網絡結構重組，增加和信息數量和位置變化等問題，這就要求該系統有良好的擴展性和靈活的重構機制，同時也應為將來的信息流有一定的預留空間。中小學教育信息網應是一個較為先進的網絡平臺中小學教育信息網是一個面向21世紀的教育信息網絡，該網不僅要支持現有的教育和管理模式，而且還應滿足將來教育發展的需要，特別是對綜合業務應用即數據，語音，視頻等多媒體應用的支持。這就要求網絡的規劃設計必須在考慮技術的可行性和先進性同時，還要考慮到前瞻性。在網絡設備、線路、帶寬、傳輸協議選擇，以及重要網絡節點內部結構設計時，都需要權衡現有需求和未來發展需求之間、現有技術和未來技術發展方向之間的矛盾。322網絡性能目標延時（DELAY）。網絡的延時是一比特的數據從一臺計算機傳到另一臺計算機所花費的時間。延時隨參與通信的兩臺計算機的位置不同而有所不同。延時包含信號在介質中傳輸的傳播延時（PROPAGATIONDELAYS）、網絡設備引入延時（SWITCHINGDELAYS）、網絡技術不同引入的訪問延時（ACCESSDELAYS）、分組在交換設備中的排隊延時（QUEUINGDELAYS）等。實際應用系統中，人們更關心的是響應時間。報文從網絡一端輸入直到從另一端輸出的第一個數據單元之間的時間叫做響應時間，它包括報文沿給定路徑的傳播時間，各有關節點的鏈路排隊延時和處理時間。響應時間如果太長，操作員會不耐煩，會認為系統發生了故障，甚至亂敲鍵盤。根據統計，最大延時不應超過5S。在設計中常常用到各種報文在網絡中傳送的平均延時作為比較參數，或者規定報文傳送的最大延時限度，作為優化設計的約束條件。由于影響延時的因素較多，特別是應用系統規模較難確定的情況下，本方案提出以下延時指標作為臺州市中小學教育信息網網絡設計的初步目標在網絡正常運行以及所涉及的計算機有足夠處理能力的情況下，對于跨廣域的客戶機/服務器關鍵性應用系統的客戶機與服務器之間的平均延時不超過30MS，最大延時不超過100MS；其它跨廣域的應用系統的主機之間通信平均延時為50MS，最大延時不超過300MS。這些指標將以1500字節分組的PING的時間作測試，或網絡分析儀器測量。吞吐量（THROUGHOUT）。代表單位時間內網絡實際上可能傳送的報文量或數據單元數。某一報文路徑的吞吐量取決于該路徑中吞吐量最低的環節，合理地分配各路徑中的報文流量，可以提高整個網絡的報文吞吐量。網絡拓撲結構與鏈路容量分配問題都與吞吐量有關。臺州市中小學教育信息網的吞吐量按網絡的拓撲結構將分兩部分，即構建于寬帶多媒體網上的骨干層的吞吐量與各被接入局域網（樓宇網）的吞吐量。骨干層各節點的吞吐量在2MBPS34MBPS，下接數據中心骨干節點的吞吐量設定為34MBPS。骨干層通信有效負載不應超過所設吞吐量的80；如超越，應及時升級或規劃企業所屬層。可靠性。當一條鏈路或一個結點發生故障時，報文的交換會受到影響。為了減少這種影響，在樹型網絡中，應限制一個鏈路或結點所帶的終端數（或流量數），或設備備用線路在分布式網絡中每一結點至少與兩個相鄰結點連通，以便在一條鏈路出現故障時，報文可以通過另一條鏈路迂回傳送。因此，可靠性在網絡中常常表現為網絡的連通性，成為網絡優化設計的約束條件之一。當網絡建立后，我們會發現我們的業務應用越來越依賴網絡。那么，網絡的可靠性就顯得比較重要。除上述的網絡連通性外，可以從硬件和軟件兩個方面來考慮網絡的可靠性硬件的可靠性。我們首先要知道網絡設備硬件能夠無故障連續運行的時間，即MTBF值，因為網絡平臺常常是24小時連續不斷的工作。一般來說，臺州市中小學教育信息網的網絡硬件設備起碼能夠連續工作60，000小時以上。當然，MTBF值是一個統計數字，所以我們還必須考慮在網絡設備的關鍵部分有冗余的機制，如雙交換引擎，雙電源等。中高端設備都支持相應的冗余機制。軟件的可靠性。目前還沒有對軟件的可靠性作出評估的參數，但軟件的設計是否穩定，是否有較多的BUGS，可以作為衡量的參考標準。網絡操作系統必須有一定的可靠性。網絡系統的可恢復性網絡環境十分復雜，可能出現的問題也很多。為了確保網絡的正常運行，具有有效的網絡恢復手段是很有必要的。確保了無單點故障，并且網絡的中斷恢復時間一般在幾秒到2分鐘內。費用。包括所有鏈路、集線器和節點設備的費用。一般是在滿足網絡性能指標（延時、吞吐量、可靠性）要求下尋找費用最少的方案。有時也可以按給定的經濟指標來優化其他的指標，或是找出費用和其他指標（如延時）的關系特性，進行折衷選擇方案。323網絡管理目標臺州市中小學教育信息網是為全市中小學教學、科研和管理服務的綜合網絡平臺，對全網實施有效的管理是非常必要的。為了便于整個信息網的統一管理，各節點系統應統一采用SNMP網絡管理協議。為實現對網絡的有效管理，查詢和傳遞網絡管理信息需要一定的處理能力和網絡通信量，在網絡和網絡管理設計和實施時，必須考慮。臺州市中小學教育信息網涉及交換機、路由器、集線器和主機，以及通信線路、數據庫、各種類型操作系統和各種應用系統，網絡管理應該不僅僅局限于網絡本身，應從信息系統的角度考慮，實現網絡、操作系統、數據庫和應用系統為一體的系統管理。為了確保與維護臺州市中小學教育信息網的正常運行，建議成立臺州市中小學教育信息網管理中心。信息網管理中心負責管理與維護這個信息網的日常運行和網絡建設發展，統一分配網絡資源。臺州市中小學教育信息的網絡管理應力求達到以下目標提高網絡可獲得性、改善運行效率減少系統和網絡的故障時間，提高響應速度。對網絡出現的問題盡快予以回應，在多數情況下，要求對問題立刻予以解決。降低網絡運行成本網絡管理的主要目的就是費用的降低。技術發展很快，網管部門應能夠有效地管理異質系統和多種協議。降低網絡瓶頸網絡管理必須監控網絡的活動，對網絡的通信量予以分析，適時調整網絡資源分配，消除網絡瓶頸；并為決策部門網絡的調整和擴容提供依據。增加運行和集成的靈活性網絡技術飛速發展以迎合不斷變更的要求。當引入新的應用時，聯網的協議也常常改變。必須能夠以最低的代價融入新技術。增加新技術設備以及對網絡管理軟件的版本升級應該容易，網絡管理軟件的功能不能過分依賴硬件平臺。確保網絡安全。統一分配和管理網絡資源對網絡的IP地址、域名、數據線路、帶寬等等實行統一管理和分配。監督技術標準和規范的執行。4網絡方案41本方案設計的總體思想多中心模式網點分布廣泛，各區域單位節點較多，且各區縣中心對下屬學校有一定的管理功能。信息流向明顯，可根據實際情況構建，市中心，區縣中心和重點學校，和一般學校三級模式。集中管理鑒于中小學教育信息中心及各區縣中心的功能和地位，對于網絡管理系統，大量的共享信息和數據，一些集中控制的應用系統等都應進行集中管理，集中也可以是分層次的，采用多級管理模式在技術可行的前提下，充分利用現有的公共網絡通信平臺，在公網構建“虛擬專用網”以期達到節省投資的目的先進的網絡管理和網絡安全措施和策略，中小學教育信息網的網絡管理及安全策略應從系統管理的角度出發，實現網絡，應用系統，數據庫與主機系統以及安全防護措施和策略的一體化管理，可采用現有的大型系統管理軟件CAUNICENTERTNG技術和適當的網絡管理軟件，選擇適當的防火墻和數據加密技術。統一的IP地址分配方案和域名管理辦法。采用安區域劃分IP地址的原則，域名管理實現按單位和應用系統管理的辦法。對部分用戶可采用動態分配原則，達到靈活性目的。42總體網絡方案421現實條件由于中小學地理分布，點多面廣的特點，中小學教育信息網在物理信道上依托臺州市現已存在的城域網，在公共網絡PUBLICNETWORK中構建自己自己的虛擬專用網絡，目前可供利用的公共網絡有臺州郵電ATM通信平臺，臺州教育科研網和臺州科技網，這三個城域網絡，覆蓋面廣，用戶數目多，通信情況復雜，而且不同的網絡又有各自不同的特點。臺州郵電ATM網絡是一個基礎通信平臺，提供多種不同的接入手段，帶寬較高，主要接入手段都是采用廣域網技術，形成端到端的通訊鏈路。這是在公網中建立自己專用網的一種傳統方法，因為通訊線路是點到點的，協議是面向連接，所以基本可以保證兩點間的通訊不會受到外界的影響。臺州教育科研網由于自身的網絡拓撲結構和通信信道帶寬的限制，不能很好地滿足中小學教育信息系統的需求，但是臺州市中小學信息網是屬于教育體系之內的網絡應用系統，是臺州教科網的重要組成部分，應該采用臺州教科網作為其外連通道，實現全國范圍教育系統間更大程度的資源共享。臺州科技網以光纖為主干道，提供從10M到155M的帶寬范圍和從以太網到ATM的接入手段，覆蓋全市的大型網絡信息系統。科技網是一個以局域網技術為基礎的交換型網絡，所以在其中實現VPN模式要比以虛鏈路為基礎的面向連接的網絡復雜一些，在網絡管理和維護上會產生一些問題。422可選方案4221利用臺州郵電ATM網的幀中繼服務臺州郵電ATM提供多種接入手段，在本次網絡結構設計中，采用幀中繼（FRAMERELAY，FR）的接入形式構建總體網絡是一種可供選擇的方式。FR是在DDN的TDM專用電路基礎上引入FR模塊FRM來實現的。FR使用統計復用技術（即按需分配帶寬），向用戶提供共享的網絡資源，每一條線路和端口都可由多個終端的信息流共享，大大提高了網絡資源的利用率。FR采用虛電路技術，只有當用戶準備好數據時才把所需的帶寬分配給指定的虛電路，而且帶寬是按照每一分組以動態方式進行分配的，因而適用于突發性業務的使用。目前大部分FR只提供永久虛電路（PVC），將來將提供交換虛電路（SVC）。FR最主要的特點是高傳輸速率；低延時；在星形和網狀網上的高可靠性和有效的帶寬利用率。FR適用于不能預知的、大容量的、和突發性的數據業務。利用臺州郵電ATM寬帶網連接示意圖FR目前提供的速率是2MBPS，但FR仍然是分組交換技術，對分組的隨機時延缺乏有效的解決方法，從而對實時性的多媒體業務支持有限。上海市中小學信息中心區縣中心學校2M幀中繼2M幀中繼區縣中心學校34幀中繼PVCPVC上海郵電ATM網RRRRRFR是一種廣域網技術，只需在路由器端口上配置即可，數據包通過郵電的ATM網絡時僅僅是利用其信道，對中心和各節點的網絡沒有影響，實現也較簡單。此種方案需要中小學教育信息系統的每個子節點都要通過租用FRAMERELAY的專線與中小學信息中心相連，除了要定期交付巨大的線路租費外，子節點間的信息交換都必須經過中心節點來進行，將會形成網絡的嚴重瓶頸。4222利用臺州科技網的虛擬網絡臺州科技網是一個以大型的ATM網絡，利用局網仿真（LANE）技術將傳統以太網和ATM技術相結合，利用ATM的高速、寬帶的特點既能有效的支持傳統應用又為今后的升級和擴展預留了較大的空間。科技網是一個集網絡和信息于一身的綜合體系。利用臺州科技網的信道可采用兩種方式1）利用科技網的LANE主干，跨越ATM在中心經過路由器的局域網端口連接，其形式上類似一個地理范圍較大的局域網，經過中央路由交換，而科技網將不可避免的成為這些外圍子網的管理和控制中心，因為作為LANE核心的LES和BUS等關鍵功能都必須是科技網的服務器來完成，虛網的管理也只能在科技網網管上實現。這樣接入的優點是，經濟實惠，對兩端的端接設備要求不高，而且可實現10M以上的帶寬。缺點是主干的核心將在科技網上，管理不便，且只能提供以太網上的應用服務。利用臺州科技網連接示意圖2）只利用科技網的物理信道，在科技網的ATM主干上配置PVC，直接連接中心和外圍節點，外圍節點的ELAN由中心的LES和BUS來完成，CELL和FRAME的轉換也將在中央ATM交換機上實現，而且ATM端口將直接分布到外圍節點，這樣的情況是外圍節點與中心實質上是ATM連接。優點是可實現ATM應用，中心可直接管理下屬節點的網絡設備，交換的中心在交換機上而非路由器，缺點是代價較高，外圍節點需配備ATM邊緣設備，而且作為異ATMSW上海市中小學信息中心上海科技網區縣中心學校15MATM15MATM區縣中心學校15MATATMSWATMSWATMSWATMSWATMSWPVCPVCRVLAN10M以太網10M以太網10M以太網種ATM設備的跨接還需要進一步測試。不論采用哪種方式，中小學教育信息系統所有的子節點必須通過光纖就近接入科技網的節點，由于節點分布非常分散，勢必增加投資的力度和建設的難度。4223利用臺州熱線的公共IP網絡平臺為響應臺州市政府在統一的寬帶網絡平臺上構筑應用系統的號召，同時本著經濟、有效的原則，充分發揮利用臺州郵電在網絡平臺上的強大優勢，與臺州郵電聯手合作，在臺州熱線這一成功的城域IP公共平臺上建設中小學信息應用系統是目前的最佳方案。臺州郵電不僅擁有豐富的線路資源，而且臺州熱線（SHANGHAIONLINE）在這幾年的建設中積累了大量的寶貴經驗，其面向社會的撥號服務可以解決中小學教育信息系統廣大用戶的接入問題。利用臺州熱線IP平臺示意圖423總體網絡拓撲結構基于上面的比較，采用上圖作為中小學教育信息系統的總體網絡拓撲結構。主干由于中小學地理分布，點多面廣的特點，中小學教育信息網在物理信道上依托臺州市現已存在的城域網，在臺州熱線提供的IP公共網絡平臺上構建自己的主干網絡。外連借用臺州科技網提供的物理信道，與臺州教育科研網用10M或100M以太網互連。并以此作為中小學教育信息網的出口。從邏輯上看，中小學信息網是以下結構臺州市中小學教育信息網邏輯拓撲上海市中小學信息中心主節點市重點中學寄宿制高中32所重點中學和高標準寄宿制高級中學市教研室市中考辦市師資培訓中心區縣信息中心區縣信息中心學校學校學校一級節點二級節點上海市中小學信息網上海教科網區縣中心PSTN/ISDN上海熱線學校學生家庭等2MFR10M34MATM4231中心的外連接口接口一兩根34M的ATM線路與臺州熱線連接，可以滿足當前56個分節點的接入請求；通過虛鏈路的配置可以實現物理線路的共享；為視頻會議等實時多媒體應用提供良好的帶寬保證；而且現有的插卡可以很方便地升級到155M速率，并預備有今后升級到622M的可能。接口二10/100M局域網口可以借用科技網的通道和臺州教育科研網相連，也可以使用光纖直連臺州教育科研網。接口三模擬電話線路和ISDNBRI，提供16根普通電話線和4根ISDNBRI為一部分遠程撥號用戶提供服務，這其中包括普通模擬電話用戶和ISDN用戶對中心以太網絡的接入，還可為分節點的主要線路出現故障時提供備份。同時也應包含純粹的ISDN服務，用來支持一部分有能力的用戶與中心VC系統的接入。4232分節點接入56個分節點采用2M的FRAMERELAY的接入形式和臺州熱線相連，以此達到和中心互連的目的。4233普通用戶接入中小學教育信息系統的用戶是廣大的中小學生，他們除了在學校可以通過校園網接入外，更多地是采用撥號上網的方式。要為這個龐大的用戶群提供撥號接入，中小學信息中心需要提供數千根電話線，而且勢必增加巨大的設備投入和技術維護。因此，本方案利用臺州熱線豐富的撥號資源作為中小學教育信息系統的普通接入。4234網絡設備選型基于對目前網絡設備市場的考查，并考慮與臺州熱線網絡設備之間的互連，本方案采用CISCO公司的路由器產品。中心采用CISCO7513作中央路由器。7500系列路由器是CISCO公司的高端路由產品，它包括新式的中央處理機與端口處理機，提供分布式包交換與多功能端口處理機服務，而且服務適配卡提供硬件壓縮與加密功能，開創性的TAGSWITCHING和CISCOEXPRESSFORWARDINGCEF技術以及良好的QOS功能使它具有業界領先的性能。分節點采用CISCO2600系列路由器。2600系列路由器提供了能夠適應網絡技術變化的通用性，它支持不斷發展的網絡要求的高級服務質量（QOS）、安全性和網絡集成等特性。43中小學教育信息中心網絡臺州市中小學教育信息中心，是臺州市中小學教育信息網的核心節點，同時肩負著該網絡的管理和協調功能，此外它也將是一個較為集中的數據中心，和多種應用的中央控制的監測機構，所以中小學教育信息中心網絡的建設是整個教育信息網絡的關鍵。臺州市中小學教育信息中心的地位和功能管理中心控制中心數據集中及備份中心檢查及檢測中心對外信息發布中心431臺州市中小學教育信息中心的網絡設計根據應用系統的需求和接入網絡方式的特征，臺州市中小學信息中心網絡采用快速以太網加VLAN的方式構建自己的網絡通信平臺，為主要服務器和相關桌面設備提供10/100M以太網甚至1千兆的接入。432網絡技術選擇根據應用實際需求，和網絡功能、性能、安全性等多方面的分析，對網絡技術做出如下選擇網絡傳輸采用交換和共享混合技術主干為100M以太網技術并保留向千兆以太網升級的可能，利用LOADBALANCE技術均衡負載服務器以100BASET接入普通網絡用戶PC采用10BASET方式接入4321網絡設備的系統結構選擇完全分布的系統結構（處理能力分布和存儲能力分布）選擇存儲轉發式交換技術（STOREFORWARD）以支持低速網絡接口和高速網絡接口的交換及對錯誤幀的過濾選擇統計時分復用（TDM）數據交換總線結構的交換設備減少系統延時選擇支持多種網絡接口的設備4322虛擬網絡靈活多樣的虛網劃分手段，基于端口，基于地址和基于應用虛網中的站點不應受接口類型的限制支持網絡站點的自由移動，虛網標志可被交換設備自動識別以保持原有虛網屬性虛網可延伸到整個信息中心網絡4323路由功能由于核心內部子網數據交換的中心是快速以太網交換機，并采用虛網技術將不同子系統分隔，所以內部子網間的互通需要通過路由器。所以中小學教育信息系統的中央路由器將不只負責外部網絡互連和其他接區域網絡的接入功能，還將負責內部網絡的互連。因此中央路由器在全網的作用是極其重要的，要有較多的冗余備份，否則一旦發生故障，后果是極其嚴重的。4324容錯功能提供交換機內部重要模塊的全雙工配置（管理模塊）和冗余接口主要功能部件的熱插拔功能支持網絡鏈路的冗余連接4325網絡管理臺州市中小學教育信息網是為全市中小學教學、科研和管理服務的綜合網絡平臺，對全網實施有效的管理是非常必要的。為了便于整個信息網的統一管理，各節點系統應統一采用SNMP和RMON網絡管理協議。為實現對網絡的有效管理，查詢和傳遞網絡管理信息需要一定的處理能力和網絡通信量，本方案采用CISCO公司的CISCOWORKS網管軟件配合SUN公司的SUNNETMANAGER網管平臺來實現對整個網絡設備的監控和必要的管理、設置。臺州市中小學教育信息網涉及交換機、路由器、集線器和主機，以及通信線路、數據庫、各種類型操作系統和各種應用系統，網絡管理應該不僅僅局限于網絡本身，應從信息系統的角度考慮，實現網絡、操作系統、數據庫和應用系統為一體的系統管理。為此，擬采用CA的UNICENTERTNG系統管理軟件來對整個中心內部的系統進行管理。UNICENTERTNG是CA企業級系統及網絡管理方案，它支持多種硬件平臺（SUN，HP，IBM，DIGITAL）和操作系統（UNIX，WINDOWSNT，VMS等），同時也支持多種工業標準的網絡協議（如SNA，SNMP，TCP/IP，FTP），而且CA還提供允許用戶自己編寫代理AGENT的工具。端對端管理ENDENDMANAGEMENT不僅關注系統資源的特性，而且還關注資源之間的相互關系。CA定義了四種IT資源系統、網絡、數據庫和應用系統。CAUNICENTERTNG在跨平臺的系統和網絡管理中是行業的領先者，其完整的系統及網絡管理功能有事件管理EVENTMANAGEMENT工作流管理WORKLOADMANAGEMENT性能管理PERFORMANCEMANAGEMENT資源管理ASSETSMANAGEMENT輸出管理OUTPUTMANAGEMENT軟件分發SOFTWAREDELIVERY求助臺ADVANCEDHELPDESK防病毒ANTIVIRUS應用管理APPLICATIONMANAGEMENT數據庫管理DATABASEMANAGEMENT數據傳輸DATATRANSMISSION問題管理PROBLEMMANAGEMENT存儲管理STORAGEMANAGEMENT變更管理CONFIGURATIONCHANGE主控臺管理CONSOLEMANAGEMENT自動發現AUTODISCOVERY網絡管理NETWORKMANAGEMENT安全管理SECURITYMANAGEMENT由于中小學教育信息網絡廣域網接入居多，所以在做系統管理時不可能要面面俱到，那樣會侵占很多帶寬，我們在利用CAUNICENTERTNG對外圍節點做系統管理時，只做監視不做控制；只需要最基本的管理功能，對外圍接的主機、數據庫和應用進程的運行情況做必要的監視，這樣可以避免大量系統管理信息流在廣域網上面的流動，而保證應用信息的通暢。但在教育信息中心CAUNICENTERTNG則可發揮其強大的優勢，完成許多功能，如數據的集中備份，系統安全管理，性能管理等一系列行為。433網絡拓撲結構根據以上基于網絡系統要求臺州市中小學教育信息中心網絡的拓撲結構如下圖所示。臺州市中小學教育信息中心網絡拓撲圖網絡結構上總體分為內外兩大部分，外部網絡對外提供信息，內部網管理和開發，兩網之間用防火墻分隔。外部網絡的安全性主要依靠“虛擬專用網”的功能和路由器上的訪問控制表來保障，而外部對內部網絡的訪問則需要通過地址映射，身份查詢等一系列安全檢查機制才能進行，訪問策略的制定是靈活的可根據具體情況隨機配置。內部網絡再分子網，依據功能、性質劃分，子網間的訪問也是受控的。在應用系統配置上面，盡可能涵蓋目前INTERNET網上的多數應用，使信息交互，發布，共享做到通暢便捷。對于主要的數據庫應用系統采用高檔UNIX服務器平臺，而對于小型應用系統則采用WINDOWSNT平臺，同時數據庫采用分布式的原則，避免負載沉重和單點故障問題。對于實時多媒體應用，遠程教育（VC、VOD）本著中央控制的原則，對所有有條件的用戶開放，但做為運作中心一定要有監視和控制的手段，避免網絡的擁塞和信息流的非必要的重復性傳輸。中央交換機EMAILWEBFTPDNSNETSCHOL系統管理網絡管理接入服務器教育信息管理信息R上海熱線區縣中心重點中學上海教科網PROXY認證服務器ISDNPT內部用戶防火墻ISDNPT普通用戶434主要網絡設備介紹4341中央交換設備中央網絡交換機是中小學教育信息中心的核心交換設備。它應該具有如下能力強大的交換能力和吞吐能力支持多種協議提供從10M、100M以太網到1000M以太網的端口支持三層交換功能有虛網劃分和管理功能關鍵模塊應具有全雙工配置，無單點故障支持冗余，和負載均衡模塊的配置和槽口數量應有擴展余地具有面向新技術的升級能力目前我們推薦的設備廠商為CISCOSYSTEM公司的CATALYST5500交換機。4342邊緣接入設備邊緣接入設備是桌面計算機到中央交換機的連接設備，也是子網內信息交換的的主要場所，所以這些外圍設備也應是全交換設備，并且支持虛網的劃分和管理。作為普通以太網的設備也可直連在中央交換機的100M或10M端口上，但我們不認為其是邊緣設備，只要符合一般以太網交換機的主要性能和技術指標即可。邊緣設備的選擇應與中央交換設備一致，因為作為網絡交換機的異構互連現今還存在著諸多問題。因此推薦使用同一品牌，采用CISCOSYSTEM公司的CATALYST2900系列交換機，便于管理和維護。4343遠程撥號服務器中小學教育信息網借助臺州公共網絡服務體系的撥號接入，滿足大量普通用戶的遠程接入需求，但對于中心的特殊地位，和一些特殊用戶的特殊需求，還應保留自己的撥號接入網絡系統。本方案推薦使用數字式的ISDNPRI形式對遠程用戶提供撥號接入服務。ISDNPRI是一種綜合數字業務，每一條線路提供30BD的通信帶寬，既可滿足普通模擬電話線路的接入要求，也能實現數字式ISDN的基帶和寬帶業務。而且擴展方便，每增加一條線路可相當與30條原始模擬線路的帶寬容量。考慮到中小學信息中心現有的線路狀況，可以采取在第一階段ISDNBRI和模擬電話線并存的形式提供撥號服務，并為以后采用ISDNPRI預留資源。由于臺州中小學教育信息網存在多種類型的網點，其中有些網點是通過ISDN撥號接入臺州中小學教育信息網網絡；另外，某些特殊用戶，需要通過PSTN撥號網絡，實時管理、監控、維護網絡。這時，網絡安全性主要靠接入服務器的用戶身份驗證、授權機制來保證。對應用系統的安全性，需要在系統設計時，再進一步進行用戶身份驗證、訪問權限控制以及加密技術實現。目前，已經形成標準的用戶身份驗證、授權機制有RADIUS、TACACS等。其中RADIUS只能完成用戶的身份驗證功能，不能對用戶授予不同的訪問權限；TACACS則可以根據用戶名、口令，分配給用戶不同的訪問權限，從而限制不同用戶的訪問范圍，也為移動辦公提供了便利。基于上面的討論，決定采用CISCO公司的3640路由器作為中心的撥號服務器。3600系列路由器是CISCO公司推出的性能價格比非常高的撥號服務產品，它的模塊化設計及多種功能的接口卡為用戶提供了巨大的靈活性。3600路由器還提供先進的第三層業務如安全保護、可管理性及多媒體和語音應用的支持。4344防火墻CISCOPIX防火墻的專門的軟硬件設計突破性地解決了傳統防火墻基于應用程序的效能瓶頸問題（最高維持25600個同步連接，每秒接納6500個連接，最高過濾速率170MBPS），并且支持VPN互操作性并與IPSEC安全標準兼容；此外，PIX具有可擴展的硬件平臺和方便的圖形界面的安裝與管理。除了支持NAT和URL記賬與過濾等傳統防火墻功能外，還可以對JAVAAPPLET進行過濾。PIX是建立和管理TCP/IP防火墻的網絡安全系統，可使用戶建立自己的安全機制，可根據自身的需要指定安全策略，靈活配置。虛擬網絡加密功能PIX的加密模塊可在對數據進行特殊加密，在端到端的數據傳輸過程中，數據是以密文形式存在，所以可在公網上建立一個自己的IP管道。客戶驗證客戶驗證只允許指定的用戶訪問內部網絡資源，或指定的服務。客戶驗證工作的同時無須改動客戶機或服務器端的應用程序。并且支持多種不同的用戶驗證手段。集中式的用戶管理PIX對用戶進行集中管理，客戶可以被授權使用指定的服務器和應用程序。提供巨大的網絡吞吐量，將由于安全驗證的延時減為最小。它針對網絡監測的設計減少了由于監測中數據復制和內容交換操作引起的延遲，并且可輕易地擴充到上千個用戶而不使網絡通訊受到影響。支持地址翻譯機制支持地址翻譯機制，可將內部網絡地址與真正INTERNET地址進行映射，保證INTRANET對外部的訪問操作，暢通，這種地址映射也可以是雙向的提供SNMP網絡管理PIX是SNMP2的代理，對所有支持標準網管協議的網絡管理軟件都可支持。4345網絡監控及過濾設備由于中小學教育信息網絡與INTERNET網絡連接，為了防止互連網絡上的不良信息的傳如及對內部用戶非法行為的監視，對網絡上的信息傳遞采取一定的監視措施是必要的，INETTRACER是一個較好的網絡監視設備，它既可以對在線用戶的行為進行監視和分析，也可以根據地址和用戶信息進行跟蹤而及時掌握一些非法操作和不安全信息的流動。同時它也可以對一些不良地址和信息進行過濾，使得中小學信息網絡上的信息是受控的。所以我們建議在中小學教育信息網絡的外聯出口上加載此設備。435服務器及應用軟件配置根據中小學教育信息網應用系統的要求，對主機系統采用三種模式SUN/UNIXINTEL/MSWINDOWSNTINTEL/NOVELLNETWARE在應用系統和主機搭配的問題上，我們建議在條件允許的范圍內，盡可能的將應用分散到不同的主機上，這樣既有利于負載的均衡，同時也大大增強了系統的安全性提高了系統的抗入侵能力。4351數據庫服務器SUNE450ORACLEPCSERVERMSSQLSERVER教育系統內部主要包括教育信息庫、學籍管理信息庫兩個數據庫系統，其中教育信息庫已經采用NTSQLSERVER的架構建立在IBM的服務器上。但是考慮到中小學教育信息系統的發展和規模，建議升級服務器。原有的服務器可以用作其它用途，如代理服務器和WEB和EMAIL服務器等。此外，網上學校是向社會公眾服務的數據庫系統，對服務器的要求很高，故選用SUNE450。4352WEB服務器、DNS服務器SUNULTRA60SOLARISWEB服務器包含基本的INTERNET服務，對機器性能要求不高，但其健壯性和安全性要求較高，DNS服務器需要負責對整個中小學網絡的域名的統一管理，雖然現在各種類型和體系結構的主機系統都可以完成上述功能，但我們建議使用專用的服務器，因為它設計的時候充分考慮到此種服務器的運行特點和運行環境，增加了很多管理功能和安全性考慮，要比普通的主機系統更為有效和穩定。SUNULTRA60工作站是原始多處理器性能和下一代高級技術的完美組合，是一種能力強大且靈活非凡的系統，該系統采用2個強有力且可升級的300MHZULTRASPARCII模塊，其能力足以運行要求最嚴格的應用軟件。而且，快速ULTRASCSI磁盤、66MHZPCI技術和120MHZ縱橫交換UPA互連的組合，可提供極快的處理速度和吞吐量。最多有2個300MHZULTRASPARCII模塊和2MB高速緩存，應用性能特別優良。可與整個產品系列百分之百二進制兼容，從而保護投資。模塊化設計和120MHZUPA互連可方便地升級到下一代處理器、圖形卡和外設。支持下一代主存、磁盤和圖形卡，保護硬件投資。雙總線66MHZPCI技術，10/100BASETETHERNET和ULTRASCSI盤可提供業界最佳的I/O和聯網能力4353代理服務器、FTP服務器PCSERVERWINDOWSNTPCSERVERNOVELLNETWAREFTP服務對主機要求不高，安全性要求也不十分強烈，主要的的資源要求是存儲容量，選用PC服務器可獲得較大的擴展余地，且擴展價格便宜，可以利用原來的兩臺數據庫服務器中的一臺來擔當，并且可以和其它服務如EMAIL合用一臺服務器。NOVELLNETWARE中PROXY功能強大，且對用戶的管理非常科學、方便，是理想的PROXY服務器。4354EMAIL服務器E450SUNINTERNETMAILSERVERPCSERVERMSEXCHANGESERVER中小學教育信息系統的電子郵件服務分為兩個部分針對中心用戶的和針對網上學校用戶的。中心的用戶比較少，因此選擇MSEXCHANGESERVER就可以滿足要求。網上學校的用戶比較多，且都將以中心為主要轉發點和出口，所以中心的郵件服務器一定要有較高的安全性和管理能力。SUNINTERNETMAILSERVER可在SOLARIS平臺上建立一個可與INTERNET相連的郵件服務器，可與其他INTERNET的郵件服務器進行郵件交換和通信。他支持與INTERNETMAIL有關的標準協議包括IMAP4、POP3、MIME、SMTP，及強大的用戶管理功能管理功能用戶個人信息管理用戶通信情況統計郵件存儲轉發的時間與空間限制特殊地址和不良信息內容的過濾用戶功能任一EMAIL客戶軟件均可訪問的MAIL用戶地址可直接查看和尋找所有消息的特征，而無須將消息的內容下載到本地可有選擇的下載消息內容和附加的文件在脫線和低速連接的情況下仍能維持對信箱和文件夾的多個控制4355認證服務器PCSERVERWINDOWSNTCISCO3600訪問服務器需要一臺認證服務器對撥號用戶進行身份驗證和管理。由于需要撥號的內部用戶數量不會很多，但必須經過嚴格的身份驗證，所以采用PCSERVERWINDOWSNT作為認證服務器。4356網管服務器SUNULTRA60SUNNETMANAGERCISCOWORKS作為如此眾多網絡設備的管理服務器，對機器的性能有相當高的要求，ULTRA60足以當此重任。4357系統管理服務器PCSERVERWINDOWSNTUNICENTERTNGUNICENTERTNG一開始就是基于WINDOWS操作系統開發的，事實也證明在WINDOWSNT運行UNICENTERTNG作為系統管理是最好的選擇。4358開發及維護開發環境也應是一個基于CLIENT/SERVER結構的小型開發網絡，服務器端建議采用PCSERVER和UNIX平臺雙重模式，這樣可根據需要靈活搭建各種各樣的實驗環境，適合教育信息中心做為開發中心的地位。而在開發端用機則選擇一般性PCWORKSTATION即可。由于中小學教育信息系統地域分布廣、節點數目比較大，給網絡系統的調試、維護、管理帶來相當大的難度，所以便攜機是必不可少的。44中小學教育信息網的系統及網絡管理方案441系統及網絡管理的職能目標臺州市中小學教育信息系統是一個集管理和教育信息為一體的綜合網絡服務體系，網絡規模大，設備多，網上應用系統多且重要，涉及的網絡技術也比較復雜，網絡設備和主機設備也多種多樣，有效的網絡及系統管理將是保障網絡安全，高效，合理運行的關鍵。臺州市中小學教育信息網的節點太過分散，因此信息中心將擔負起網絡管理中心的主要責任。臺州市中小學教育信息網絡涉及到交換機，路由器，集線器和主機設備等，以及通信線路，數據庫和各種類型的操作系統和應用系統，因此網絡管理不應僅僅局限于網絡本身，應從信息系統的角度出發加以考慮；實現網絡，數據庫，應用系統的為一體的系統管理。信息中心應負責全網IP地址、域名的統一分配和