102/106提升應用體驗，創新IT價值XXX教育城域網建設方案建議書XX教育局2017年X月目錄1項目建設背景11.1國家相關政策11.2本省/市相關政策/任務21.3項目建設必要性31.3.1政策法規要求31.3.2體制改革需求41.3.3社會環境發展要求61.3.4政務職能需求61.3.5業務管理要求71.3.6技術發展的要求72用戶建設現狀與需求分析82.1用戶信息化建設現狀82.1.1教育局信息化建設情況82.1.2下屬學校信息化建設情況82.2項目建設需求分析82.2.1系統業務需求分析92.2.2項目建設需求分析113項目建設目標173.1總體建設目標173.2本期項目建設目標204教育城域網方案總體規劃224.1教育城域網建設面臨的問題挑戰分析224.1.1教育城域網運行中的安全問題224.1.2教育城域網運行中的管理問題224.1.3教育城域網使用中的應用問題234.1.4教育城域網實名管理問題244.1.5教育城域網統一出口管理問題254.1.6教育城域網“數據中心”問題254.2銳捷教育城域網整體方案架構264.3銳捷解決方案客戶價值285基礎網絡平臺建設方案305.1教育城域網核心層組網設計305.2教育城域網接入層方案設計305.3教育城域網統一出口方案設計325.3.1統一出口流量管理方案325.3.2統一出口安全組網方案365.4SDN智能城域網方案與價值415.4.1傳統教育城域網方案的問題分析415.4.2銳捷SDN智能城域網方案價值426無線城域網方案設計486.1無線教育城域網概述486.2普教無線城域網需求分析486.2.1無線網絡應用需求分析—電子書包：486.2.2無線網絡應用需求分析—教師辦公：496.2.3身份認證需求496.2.4管理需求506.3銳捷普教無線城域網方案506.3.1整體方案架構506.3.2銳捷無線城域網架構特點516.3.3銳捷普教AP部署特點536.3.4場景化無線設計536.3.5基于用戶身份的訪問控制576.3.6賬號校際間漫游587網絡安全解決方案597.1網絡安全總體規劃597.2防火墻劃分安全域與邊界安全597.3關鍵路徑入侵防御617.4/web全方位安全設計627.5網絡與數據庫安全審計647.6安全大數據管理、監測預警657.7解決方案等保合規設計678場景化實名制管控方案738.1教育城域網建設實名制的必要性738.2用戶建設需求分析748.3傳統地址綁定方案問題分析758.4場景化實名管控解決方案758.4.1實名制接入認證768.4.2實名制用戶訪問控制798.4.3實名制用戶日志審計808.5方案價值點總結819可視化綜合運維方案819.1IT運維監控系統需求分析819.2IT運維監控系統設計829.2.1業務服務管理839.2.2綜合資源管理929.2.3自動巡檢1069.2.4用戶體驗感知1069.2.5機房監控管理1119.2.6自動化運維管理11810教育城域網出口帶寬規劃方案12110.1各學校校園網出口帶寬計算12110.2教育城域網的帶寬需求計算123項目建設背景國家相關政策進入新世紀以來，信息技術已滲透到經濟發展和社會生活的各個方面，人們的生產方式、生活方式以與學習方式正在發生深刻的變化，全民教育、優質教育、個性化學習和終身學習已成為信息時代教育發展的重要特征。面對日趨激烈的國力競爭，世界各國普遍關注教育信息化在提高國民素質和增強國家創新能力方面的重要作用。《國家中長期教育改革和發展規劃綱要（2010-2020年）》（以下簡稱《教育規劃綱要》）明確指出：“信息技術對教育發展具有革命性影響，必須予以高度重視”。我國教育改革和發展正面臨著前所未有的機遇和挑戰。以教育信息化帶動教育現代化，破解制約我國教育發展的難題，促進教育的創新與變革，是加快從教育大國向教育強國邁進的重大戰略抉擇。教育信息化充分發揮現代信息技術優勢，注重信息技術與教育的全面深度融合，在促進教育公平和實現優質教育資源廣泛共享、提高教育質量和建設學習型社會、推動教育理念變革和培養具有國際競爭力的創新人才等方面具有獨特的重要作用，是實現我國教育現代化宏偉目標不可或缺的動力與支撐。基于上述認識，國務院、教育部與XX省教育廳先后頒發如下指導性政策文件，以促進和指引區域教育信息化的發展：國務院——《國家中長期教育改革發展規劃綱要（2010-2020年》——2010年7月——明確了教育信息化的重大戰略意義，提出了教育信息化政策要求和建設目標。教育部——《教育部信息化十年發展規劃》——2012年3月——明確了教育信息化的思路、方向，建設目標。教育部——《關于成立教育信息化推進工作部際協調小組的通知》——2012年5月——協調八大部委共同推進教育信息化工作。教育部——杜占元：關于教育信息化試點工作的講話——2012年6月——首次概括提出了“三大任務和兩個平臺”，首次概括提出了“三大任務和兩個平臺”，并將其作為“十二五”期間教育信息化的核心目標。國務院——延東：全國教育信息化工作電視會議——2012年9月——明確了“十二五”期間，“三通兩平臺”是當前教育信息化建設的核心目標與標志工程。本省/市相關政策/任務請補充相關政策與規劃項目建設必要性政策法規要求《教育部十三五發展規劃》的要求加快推進教育信息化。推進“三通兩平臺”建設與應用，力爭基本實現學校互聯網全覆蓋。加快教育管理公共服務平臺建設、國家教育決策服務系統建設和教育統計基礎數據庫建設。完善國家教育資源云服務體系。繼續加大優質數字教育資源開發和應用力度，探索在線開放課程應用帶動機制。實施全國中小學教師信息技術應用能力提升工程。深入開展“一師一優課、一課一名師”活動，深化教學應用。《國家中長期教育改革和發展規劃綱要(2010-2020年)》要求（1）加快教育信息化進程的要求加快教育信息基礎設施建設。信息技術對教育發展具有革命性影響，必須予以高度重視。把教育信息化納入國家信息化發展整體戰略，超前部署教育信息網絡。到2020年，基本建成覆蓋城鄉各級各類學校的數字化教育服務體系，促進教育容、教學手段和方法現代化。充分利用優質資源和先進技術，創新運行機制和管理模式，整合現有資源，構建先進、高效、實用的數字化教育基礎設施。加快終端設施普與，推進數字化校園建設，實現多種方式接入互聯網。重點加強農村學校信息基礎建設，縮小城鄉數字化差距。加快中國教育和科研計算機網、中國教育衛星寬帶傳輸網升級換代。制定教育信息化基本標準，促進信息系統互聯互通。（2）加強優質教育資源開發與應用的要求加強網絡教學資源庫建設。引進國際優質數字化教學資源。開發網絡學習課程。建立數字圖書館和虛擬實驗室。建立開放靈活的教育資源公共服務平臺，促進優質教育資源普與共享。創新網絡教學模式，開展高質量高水平遠程學歷教育。繼續推進農村中小學遠程教育，使農村和邊遠地區師生能夠享受優質教育資源。強化信息技術應用。提高教師應用信息技術水平，更新教學觀念，改進教學方法，提高教學效果。鼓勵學生利用信息手段主動學習、自主學習，增強運用信息技術分析解決問題能力。加快全民信息技術普與和應用。（3）構建國家教育管理信息系統的要求制定學校基礎信息管理要求，加快學校管理信息化進程，促進學校管理標準化、規化。推進政府教育管理信息化，積累基礎資料，掌握總體狀況，加強動態監測，提高管理效率。整合各級各類教育管理資源，搭建國家教育管理公共服務平臺，為宏觀決策提供科學依據，為社會公眾提供公共教育信息，不斷提高教育管理現代化水平。體制改革需求人才培養體制改革需求（1）更新人才培養觀念。深化教育體制改革，關鍵是更新教育觀念，核心是改革人才培養體制，目的是提高人才培養水平。樹立全面發展觀念，努力造就德智體美全面發展的高素質人才。樹立人人成才觀念，面向全體學生，促進學生成長成才。樹立多樣化人才觀念，尊重個人選擇，鼓勵個性發展，不拘一格培養人才。樹立終身學習觀念，為持續發展奠定基礎。樹立系統培養觀念，推進大中小學有機銜接，教學、科研、實踐緊密結合，學校、家庭、社會密切配合，加強學校之間、校企之間、學校與科研機構之間合作以與中外合作等多種聯合培養方式，形成體系開放、機制靈活、渠道互通、選擇多樣的人才培養體制。（2）創新人才培養模式。遵循教育規律和人才成長規律，深化教育教學改革，創新教育教學方法，探索多種培養方式，形成各類人才輩出、拔尖創新人才不斷涌現的局面。注重學思結合。倡導啟發式、探究式、討論式、參與式教學，幫助學生學會學習。激發學生的好奇心，培養學生的興趣愛好，營造獨立思考、自由探索的良好環境。適應經濟社會發展和科技進步的要求，推進課程改革，加強教材建設，建立健全教材質量監管制度。深入研究、確定不同教育階段學生必須掌握的核心容，形成更新教學容的機制。充分發揮現代信息技術作用，促進優質教學資源共享。注重知行統一。堅持教育教學與生產勞動、社會實踐相結合。開發實踐課程和活動課程，增強學生科學實驗、生產實習和技能實訓的成效。充分利用社會教育資源，開展各種課外、校外活動。加強中小學校外活動場所建設。加強學生社團組織指導，鼓勵學生積極參與志愿服務和公益事業。注重因材施教。關注學生不同特點和個性差異，發展每一個學生的優勢潛能。推進分層教學、走班制、學分制、導師制等教學管理制度改革。建立學習困難學生的幫助機制。改進優異學生培養方式，在跳級、轉學、轉換專業以與選修高一學段課程等方面給予支持和指導。健全公開、平等、競爭、擇優的選拔方式，改進中學生升學推薦辦法，創新研究生培養方法。探索高中、高等學校拔尖學生培養模式。（3）改革教育質量評價和人才評價制度。改進教育教學評價。根據培養目標和人才理念，建立科學、多樣的評價標準。開展由政府、學校、社會各方面共同參與的教育質量評價活動。完善學生成長記錄，做好綜合素質評價。探索促進學生發展的多種評價方式，激勵學生樂觀向上、自主自立、努力成才。改進社會人才評價與選用制度，為人才培養創造良好環境。樹立科學人才觀，建立以業績為重點，由品德、知識、能力等要素構成的各類人才評價指標體系。強化人才選拔使用中對實踐能力的考查，克服社會用人單純追求學歷的傾向。社會環境發展要求（1）現階段中國教育的最主要問題，也可以說是中國教育的最主要矛盾。就是中國教育的教育效率低下、教育效果薄弱。很難滿足當前要現可持續發展、集約化發展、高科學技術發展的中國社會對相應高素質人才、創新人才、復合型人才、高生產力代表人才的要求。教育信息化是當前提高教育效率、提升教育效果的必要手段；（2）我國教育的方法和思想依然少許的繼承和延續中國一千多年來的封建傳統的教育方法。這也在一定程度上表明，我國教育的思想和方法比較缺乏現代科學化的教育基礎認知理論的支持。教育信息化作為先進教育思想和方法的載體，能夠引領教育現代化發展；（3）中國現階段的這種教育模式是一種時間長、強度高、投入大、收效低的典型的粗放式的教育模式。要徹底改變這種現狀，惟一的推動力量是互聯網。教育信息化在教育改革中是一個有效的驅動力量。政務職能需求（1）教育管理者要為廣大教師、學生提供暢通的訪問互聯網的基礎條件；教育管理者；（2）教育管理者要為廣大教師提供專業發展的信息化支撐系統；（3）教育管理者要通過信息化系統實施教育監管和服務的職能轉變；（4）在管辦分離的大背景下，為辦學者提供學校無法也無力解決的教育大數據能力；（5）教育管理者需要利用信息化手段，促進教育資源的共享，推進教育公平；（6）教育管理者需要利用信息化手段貫徹教育方針。業務管理要求（1）學校網絡環境的統一管理；（2）學校信息化基礎設施的統一運維；（3）教科研、培訓的網絡化管理；（4）教育管理業務的市、區、校一體化需要；（6）學校教學資源的共享；技術發展的要求（1）智能課室課室信息化設施，信息技術與教育教學深度融合，多媒體設備、小組學習設備的應用，迫使教學由課堂向課外延伸，促進學校教育與社會教育的銜接。（2）移動學習個人智能移動終端的發展，使得學生的個人學習和課堂的集體學習呈現分工融合的趨勢，移動學習已經成為教學不可忽視的環節；（3）云錄播與大數據課堂實錄視頻，將使得遠程的教學評價成為可能，國外優秀教育工作者可以通過網絡進行遠程的教學交流，有利于縮小與地教育發展的差距；（4）數據采集技術網絡閱卷系統和移動APP的發展，使得教學與學習過程數據的采集成本大大降低，教育數據得有效性極大提高，使得教育大數據的應用具備了良好的基礎條件。用戶建設現狀與需求分析用戶信息化建設現狀教育局信息化建設情況請按客戶實際情況修改、補充下屬學校信息化建設情況請按客戶實際情況修改、補充項目建設需求分析請按客戶實際情況修改、補充近年來，隨著中小學信息技術教育的普與和“校校通”、“班班通”工程的實施，中小學校上網規模不斷擴大，基層對教育網絡資源和網絡服務功能的需求猛增，教育信息網原來的網絡結構、服務功能以與運行管理機制等明顯不能適應新形勢下的需要。于是，教育城域網的改制、改造和擴建迫在眉睫。XXX教育城域網，將采用網（專網）外網（公網）并行的雙網絡結構，實現各類學校的網絡接入，最終達到教育網絡“班班通”、“室室通”，逐步實現老師學生“家家通”。XXX教育城域網，可以把優秀的名師名校資源以與其它優質教育教學資源，先進的教育思想和理念，教學方法和技術等與時地、高質量地輸送到農村學校或比較偏遠的山區學校，以促進農村教師能力的培訓和教學質量的提高，促進廣大師生信息素養和學生綜合素質的提高，促進教育公平和義務教育的均衡協調發展，為深入貫徹黨的“十八大”精神，全面推進教育事業的發展做貢獻。系統業務需求分析專遞課堂同步課堂：同步課堂基于灑泉市金塔縣資源中心提供的機構空間、學校空間、教師空間進行。1個播出教室和1-5個接收教室構成一個虛擬課堂。教育局在其空間，利用同步課堂組織管理工具，統一組織播出學校和接收學校，統一安排虛擬課堂課表，并組織教學。播出學校和接收學校也可自行配對，在其空間向教育局提出申請。推送資源：區資源中心根據教師需求情況將支持課堂教學的優質資源包推送到教師空間，幫助教師備課、上課、進行教學評價。教師在教學活動中生成的資源可以提供到國家數字教育資源公共服務平臺上進行共享。探究性學習：區資源中心通過推送探究性學習工具和資源，提供智能導航幫助教師開展探究式、討論式、參與式教學，幫助學生增強運用信息技術分析解決問題的能力，學會學習。幫助教師運用探究學習模式開展日常學科教學。學生也可利用相應工具自行組織探究性學習。名師課堂名師講堂：名師講堂模式主要用于名師講解學科重點難點，幫助學生更好地達成學習目標。講授容以各學科和專業課程章節重難點和期末總結為主。名師導學：名師導學模式通過將教師課堂講授與智能學習系統（“名師”）的診斷與導學相結合，實現差異化教學和個性化指導，提高學生學習能力。網絡協作教研跨校網絡協作教研跨區域網絡協作教研模式是利用國家數字教育資源公共服務平臺提供的虛擬教研社區功能，組織不同區域教師開展協作教研活動，實現交流學習、優勢互補、共同提高。名師工作室名師工作室模式用于有組織地開放以特級教師和學科骨干教師本人命名的教師空間，為廣大教師有針對性的選擇與自己教育教學相關的專家或專家團隊進行持續的教學科研提供服務。資源類應用在區資源中心以自建、學校提供、企業提供等多種方式將傳統知識點和學習容電子化，以趣味、生動的方式呈現，提高學生學習興趣和理解能力。互動教學在教學過程中融入互動的體驗，遠程學習（名師講堂類）時學生與老師遠程互動，教學過程中與家長互動等。教育管理平臺將傳統的OA辦公、學籍管理、考勤系統、考核系統、行政辦公系統、E-Mail等管理類系統統一為教育門戶，提供一體化的教育管理工作平臺。項目建設需求分析請按客戶實際情況修改、補充1）城域網骨干網需求分析骨干網是教育城域網的運行中樞，為全網提供快速數據交換和網絡管理支持，以IDC的形式對全網提供服務和出口管理，是各種數據、媒體流匯聚的地方。核心路由交換機需要具備高可靠性、高性能、高端口密度、高安全性、可管理性的要求，并且有網絡可擴容升級能力和多鐘業務支持能力。在完成高速交換的基礎上，能夠提供穩定可靠的網絡基礎服務功能并能夠支持下層的基礎功能、分布服務以與QoS保證，應具備數據中心特性。2）城域網出口需求分析隨著信息技術的不斷發展、信息數據的安全等，網絡出口是教育城域網網絡安全的關鍵關卡。城域網出口主要負責承擔整個城域網對全區各學校訪問互聯網數據轉發、流量控制、安全防護、安全審計、遠程VPN接入等功能。同時包含DMZ區域，部署DNS、WEB、Email等對外應用服務器，為外網提供相關資源訪問服務。因此，XXX教育城域網出口要保障整個全區各學校用戶安全、穩定、快速的訪問數據中心，對網絡出口需要滿足以下要求：A.城域網對外訪問鏈路的智能選路為了讓城域網數據中心對外開放的資源能夠更快捷的讓外部網絡用戶所訪問，則需要合理引導外部網絡用戶所訪問的路徑。例如，通過智能DNS解析功能，在電信網用戶訪問校城域網數據中心時，自動解析成電信網IP，從而引導電信網絡用戶從城域網的電信網鏈路訪問云平數據中心，當聯通用戶訪問時，則解析成聯通IP，引導聯通用戶從城域網聯通鏈路進行訪問；當移動用戶訪問時，則解析成聯通IP，引導聯通用戶從城域網聯通鏈路進行訪問。由此為外部網絡用戶提供一個動態最優的訪問路徑，智能的為用戶選擇最快速最優的訪問線路。B.城域網出口多鏈路帶寬的均衡利用城域網連接外網會有多條鏈路，所有外網鏈路都是通過租用方式獲得。因此，在出口擁有多條鏈路的情況下，需要保證每條鏈路帶寬均衡有效使用，充分保證每條鏈路的帶寬用完、用好，才能真正體現租用鏈路所花費成本的價值，同時保障用戶上網的滿意度。C.城域網出口應用流量質量的精細化管理城域網出口帶寬有限，在當前PtoP應用泛濫的互聯網時代，需要保障出口的帶寬不被非關鍵業務的PtoP應用占滿，同時保障每個用戶的帶寬和每個應用的帶寬，來保障各學校到城域網業務的訪問。D.出口流量的可視化管理XXX教育城域網用戶數量眾多，時有網絡安全事件通過城域網出口發生。我們可能遇到如下情況：網絡中L2到L7層流量信息不透明，無法掌握用戶、應用占用網絡資源的詳細情況；用網高峰期，出口網絡設備、出口鏈路出現性能不足的情況，卻無法定位造成該類故障的具體原因；互聯網出口網絡擴容時缺乏相關報表依據作指導；互聯網出口網絡經常發生堵塞，卻查不出瓶頸所在，很多網管人員，在遇到網絡問題時手足無措，經常采用看流量、拔網線等基礎手段，排查周期長，也很難真正找出問題；網絡流量缺乏有效的歷史報表統計，整個過程無據可查。網絡最大的價值，在于信息化的應用，當網絡運行狀況不透明，出現故障不能與時解決，既使有再好的網絡出口帶寬，也只是一個擺設。因此在確保網絡系統正常工作和關鍵業務的安全、高效運行的同時，如何從根本上解決可視化難題，并當發生網絡問題時，能與時、準確地定位和處理，是XXX教育城域網網絡管理和運維中亟待解決問題。E.城域網流量緩存系統實現自動按需緩存容，在網絡使用高峰期減少下載，視頻下載，和P2P下載對互聯網出口的流量壓力，幫助城域網獲得更高的網絡帶寬使用效率。系統還有效的改進對、流媒體視頻，P2P和非P2P應用的網絡響應速度，增強了用戶體驗。通過減輕下載流媒體視頻下載，和P2P下載對互聯網出口帶寬的壓力，系統改善了網絡質量。3）城域網安全需求分析A.WEB服務器的安全風險分析當今互聯網WEB安全事件頻繁發生，WEB服務器安全威脅風險加大，以下是最嚴重的安全攻擊手段如下：網頁篡改日益嚴重被篡改網頁數量快速增長，從2003年的1157起到2009年的44393起被篡改網頁數量快速增長，從2003年的1157起到2009年的44393起重大事件、關鍵時刻，往往成為攻擊多發期（如國慶60周年為峰值）WEB服務器攻擊頻發掛馬事件經常發生掛馬：利用公眾對的信任，肆意傳播木馬被掛馬成為銀行盜號、文件竊取、隱私擴散的“毒源”教育城域網數據中心業務系統大部采用B/S架構的方式組建，會使用大量的WEB服務器。WEB服務器面對互聯網發布，存在門戶被掛馬、網頁被篡改的風險。因此，保障門WEB服務器的安全是一個非常迫切解決的事情。B.數據中心服務器、數據的安全風險分析在當今病毒、木馬、攻擊泛濫的互聯網，通過互聯網攻擊城域網數據中心的事件很容易發生。因此，針對數據中心需要建設完善的安全措施，提升數據中心的入侵防御能力、病毒防護能力，有效防DoS/DDoS攻擊，蠕蟲病毒、ARP攻擊等，且針對日益增加的各種攻擊手段，需要實時保證最新的攻擊、病毒防護手段。C.重要業務數據得安全風險分析隨著城域網的建設完成，相應業務系統不斷增加，數據中心存放大量的包括涉與學生、財務等重要私密信息（如：財務系統、人力資源管理系統、學籍管理系統等），這些系統如果通過互聯網平臺發布出去，提供給各學校的財務人員、學籍管理人員、人力資源管理人員訪問，將帶來非常大的安全風險。如果此類系統公布在互聯網，容易來自互聯的惡意攻擊，輕則會導致這些業務系統無常工作，重則導致私密信息被互聯網黑客盜取。4）教育城域網實名制建設需求對于入網人員的身份信息進行鑒別，不符合身份要求的用戶禁止入網。可根據不同的用戶類型與接入地點供不同的接入手段，例如機房、辦公區、無線接入區等，提供多種用戶網絡接入手段的驗證：有線、無線、客戶端、網頁等各種接入手段均可進行控制。建立實名制日志管理系統，根據公安部82號令的要求，需要對教育城域網中各單位的互聯網訪問進行日志記錄，并能夠根據日志記錄定位到人，在發生安全事件的時候可以迅速找到源頭。5）教育城域網無線建設需求在當前的局域網網絡建設大潮中，如何建設安全可靠、經濟適用、可持續發展的網絡已經成為所有用戶關注的焦點。隨著信息化的普與，XXX教委與各學校越來越要求盡可能方便、快速、移動式的使用網絡。隨著筆記本電腦和智能終端的普與，無線局域網客戶端適配器產品的逐漸成為筆記本的標配，據調查顯示，我國企業、學校等筆記本電腦平均擁有比例已經超過60%，并在以每年10%的速度遞增。最近2年，XXX教委和各學校無線設備普與發展迅速，出現如下業務需求：辦公：有事不在工位時，不能利用iPad、iPhone等移動設備，隨時隨地處理辦公管理業務，如會客等；會議：會議室開會，不能方便接入網絡與時處理相關業務或查詢相關資料；運維：科技人員到機房維護需要搭線，限制位置和不方便，影響效率；協作：各部門需要臨時配合，組件臨時團隊，需要布線，影響效率；擴容：原有布線沒有留足接口，擴容網絡需要新布線，破壞原有裝修，增加成本；備份：有線網絡沒有后備，故障后相關辦公業務處理停頓；來賓：來賓需要接入網絡時，接入有線網絡帶來安全隱患；因此，XXX教委開始思考通過何種方式，能夠使得在很多有線網絡無法延伸到教育城域網的各個場合，以與如辦公室、教室、會議室等場所，也同樣能夠訪問網絡，同時將無線網絡作為現有有線網絡的補充。6）教育城域網網絡管理需求分析XXX教育城域網規模龐大，涉與全區X個教育教學機構，教育城域網中心的網絡都需要進行有效管理，這樣才能充分保障網絡的穩定運行。但對于XXX教委來說，運維人員非常有限，如何能夠減少管理上的壓力，能夠高效、快捷的、可視化的管理網絡是一個需要考慮的問題。在教育城域網故障發生前，如何能夠便捷的了解網絡運行狀況、運行質量是預防故障發生的重要手段，也是評估教育城域網是否該升級的重要依據。在教育城域網發生故障時，如何能夠快速的定位故障，快速的定位是運營商提供的鏈路問題還是校園網、教育城域網中心機房自身網絡問題將變得尤為重要。項目建設目標總體建設目標按照《國家中長期教育改革和發展規劃綱要（2010-2020年）》、國家統籌城鄉改革試驗區和XXXX的要求，為順利完成XXX教育信息化建設目標任務，以“統籌規劃、分步實施”為原則，穩步推進XX教育信息化建設教育城域網，建成后教育信息化水平必將得到顯著提高，為今后長期的教育發展打下堅實的硬件基礎。總體建設目標如下：提升教育信息化基礎設施建設水平，推進教育均衡。《國家中長期教育改革和發展規劃綱要》指出要加強信息化基礎設施建設，超前部署教育信息網絡。構建先進、高效、實用的數字化教育基礎設施，推進數字化校園建設。通過教育城域網的建設，逐步完善教育信息化基礎設施建設、建成安全、健康、綠色、可控可管行為的教育網絡環境，高度實現整個教育網的“校校通”、“班班通”，使其服務教育教學的有效性達到領先水平。建立開放靈活的教育資源公共服務平臺基礎，促進優質教育資源普與共享。加強優質教育資源開發與應用，是促進教育優質、均衡發展的重要手段，《國家中長期教育改革和發展規劃綱要》指出：“必須加強網絡教學資源體系建設，引進國際優質數字化教學資源；建立開放靈活的教育資源公共服務平臺，促進優質教育資源普與共享。”在本次教育信息化建設過程中，構建教育信息網與校園網綜合應用系統，加強應用系統的協同、整合與融合，有效改善信息孤島現象。搭建虛擬教學平臺，加快優質、精品教育教學資源的開發、引進和整合，通過開展“一校一課”資源共享活動，以“遠程幫扶”、“校際聯盟”、網絡課程互選和“跨學科、跨學校、跨區域”的遠程協作學習等多種形式促進優質資源共享。建成規、健全、可擴展、可共享的區域教育信息數據服務體系，為決策、管理、應用與服務提供準確的數據依據與支撐。使紅河教育教、學、研、管、培的信息化應用水平，對家、校、生以與社會公眾的服務水平達到領先。探索信息化教育教學新模式，培養適應21世紀的創新型人才。加強教育信息技術應用，就是要以滿足學生學習需求與未來發展為中心，以前瞻性、適用性、經濟性為原則，以系統規劃，分步實施，創新應用為策略，以提升師生信息素養——推廣信息化教學方式——形成信息化學習方式為途徑，形成以“知識”為核心、以“學生”為主體的虛擬仿真、互動教學、項目創作、探究實驗等學習環境。實現提高行文教育質量和水平，培養適應21世紀的創新型人才，辦人民滿意的教育。建立教育綜合信息平臺，推進教育管理信息化，支撐教育管理改革，促進教育決策科學化、公共服務系統化、學校管理規化。按教育部制訂的教育管理信息標準，規數據采集與管理流程，建立以各級各類學校和師生為對象的區州級教育管理基礎數據庫。（由教育管理公共服務平臺實現）整合各類教育管理信息資源，建立事務處理、業務監管、動態監測、評估評價、決策分析等教育管理信息系統，大力推動教育數字校園，提高教育管理效率，優化教育管理與服務流程，支撐教育管理改革與創新。利用信息技術創新教育管理公共服務模式，建立XXX教育管理公共服務平臺和配套服務機制，為社會公眾提供與時豐富的公共教育信息和教育教學服務。建立覆蓋全體學生的電子檔案系統，做好學生成長記錄與綜合素質評價，并根據需要為社會管理和公共服務提供支持，利用物聯網、云計算技術，使之成為XXX教委教育信息化發展的加速器，使教育資源充分共享成為可能，學生學習的便捷性、選擇性、公平性、移動性大大提高，自主學習、因材施教的教育原則得以體現。建立電子校務平臺，加強教學質量監控，推動學校管理規化與校務公開，支持學校服務與管理流程優化與再造，提升管理效率與決策水平，提高辦學效益，支撐現代學校制度建設。利用信息化手段提升學校服務師生的能力和水平。結合云計算、社交網絡、移動互聯網、商業智能等新技術的應用，以區域為中心，搭建基礎教育云服務平臺。本期項目建設目標請按客戶實際情況修改、補充本項目建設主要包括網絡基礎設施建設、身份認證系統建設、運行維護管理體系建設共三項任務，簡要介紹如下：（1）網絡基礎設施建設此項建設工作將為進一步完善包括服有線網絡系統、無線網絡系統、輔助支撐環境（機房）等主要建設容。同時建設軟、硬件使用規則、業務系統使用。（2）身份認證系統建設統一部署身份策略管理中心，對下面各個學校身份認證管理系統下發管理策略，收集各個學校的，實現對所有的城域網用戶進行管理。各個學校有權管理學校的身份認證系統，管理所屬學校的，實現分級式的身份認證系統。（3）運行維護管理體系建設此項建設工作是要建設統一運維管理系統，建立起全面、完善、強有力、反應迅速的系統和網絡監控體系；建立靈活、高效、可控制、可衡量的運維管理流程，提升教育局運維人員運行管理水平，為各個學校的各個業務系統提供有效的信息服務。通過一體化的系統和網絡管理策略和分布式的技術手段管理、監控信息中心的網絡、機房、存儲、系統和應用，以實現：對故障進行主動性告警，提高故障響應能力；同時對所收集的性能數據進行分析，消除故障隱患；準確與時收集日常的系統運行數據，為系統的長遠規劃和運營提供決策支持。XXX教育信息化建設具體目標為：到2017年底，建成高位均衡的教育信息化基礎環境：中小學與公辦職業學校普通課室多媒體覆蓋率100%、多媒體課室聯網率100%；校際互聯校均帶寬為400M、每百人校際互聯帶寬為30M；每百人互聯網帶寬為1.5M；教師辦公區Wifi覆蓋率100%；到2017年底，建成XX教育云：依托“XX云”，建設教育資源公共服務平臺和教育管理公共服務平臺；建設XX市教育大數據平臺。教學空間開通率100%，學習空間開通率50%；到2017年底，建設教育信息化示學校20所；建設特色功能室300間，達到每校一間；30%的普通課室覆蓋WiFe。到2018年底，建設未來教室600間；60%的普通課室覆蓋WiFe；學習空間開通率100%。到2019年，100%的普通課室覆蓋WiFe；2017年-2020年，基于教育大數據平臺，逐步形成網絡教科研體系，100%的學校加入基于云錄播的教學環節優化系統。2017年10所信息化示校普通課室全部配置云錄播設備；2018年20所信息化示校普通課室全部配置云錄播設備；為50%的學校配置至少一間云錄播教室并加入教學環節優化系統，約新建150間云錄播教室；2019年配置云錄播的學校達到100%；到2020年，每個學校每個年級均配有一套移動云錄播設備，并接入教學環節優化系統；2017年-2020年，逐步建設教育質量監測與教學反饋系統。2017年建完善的基于大數據的教育質量監測體系，提供市級、區級、校級、班級教育質量監測報告；并形成有效的教學反饋機制。教育城域網方案總體規劃教育城域網建設面臨的問題挑戰分析教育城域網運行中的安全問題教育城域網運行中的安全問題是我們在建網時就必須考慮的問題。涉與網絡安全問題主要有以下幾類：城域網用戶眾多，各種應用五花八門，P2P、蠕蟲病毒等應用會消耗大量的城域網骨干和出口帶寬，而對于這些行為又很難控制，無法責任到人。教育城域網由于物理圍大，各種病毒的侵襲、滋生和泛濫，會影響網絡的正常運行，使其更難控制和管理。惡意攻擊、非法入侵在已經建成的城域網中屢有發生。如果服務器被入侵，充當了黑客的傀儡機。不僅嚴重妨礙了用戶的使用，而且造成極壞的影響。部用戶的誤操作、被人當做肉雞代理等情況也很嚴重。資源中心服務器經常被攻擊、被當做垃圾服務器、網絡釣魚者的代理等，同樣會影響城域網的運行。教育城域網運行中的管理問題遠程故障很難定位，往往并不能解決問題，需要現場排除故障，這樣會增加較大的工作量。對于異種網絡設備，多種服務器系統，以與應用系統，很難做到統一管理，會使用戶覺得管理系統繁雜，加大工作量，影響使用效率。接入單位的IP地址沖突影響城域網運行，同樣需要城域網管理人員去解決。教育城域網使用中的應用問題教育城域網建立完畢之后，基本都有教學資源、教育管理、交流溝通、教務教學、視頻音頻等五大類應用。其中：教學資源類主要包括教學資源庫、學科等。通過對這些應用分析，我們可以發現教學資源類應用中教學資源庫應用包含大量的語音、視頻、流媒體、flash等容，這些應用的運行需要消耗較高的網絡帶寬，同時需要網絡設備具備強大的交換處理能力，而且對于語音和視頻應用中，直接影響話音/視頻質量的三個最重要因素是傳輸的總時延、時延的抖動以與丟包率，為了保證視頻、語音類應用的正常展開，我們必須實現端到端的QoS來保證這類應用的正常運行。教育管理類主要包括：OA，教育報表，老師評價，教師進修等系統。這些應用大部分是文本，對網絡帶寬、性能、QoS等沒有明確的要求，最主要的就是系統的持續可用性、安全性和可靠性。交流溝通類主要包括：門戶，BBS，EMail,Blog等。這些應用是向大眾開發的，主要考慮服務的持續可用性，以與系統的安全性。教務教學類主要包括：在線考試，網上錄取，網上備課等。這些應用最主要的是網絡持續可運行和安全性。視頻音頻類主要包括：遠程教育，視頻會議，直播，點播，網上課堂等。這些應用對網絡時延、抖動、丟包率非常敏感，要保障此類應用的流暢運行，我們需要保障網絡有足夠的帶寬、網絡設備有足夠的處理能力、以與提供端到端的QoS服務質量。通過上面的分析，我們總結教育城域網應用對網絡的要求如下：教育城域網實名管理問題隨著“三通兩平臺”的建設，用戶在機房部署了大量的服務器、存儲和應用軟件，如果毫無防護，出現安全攻擊，可能會導致業務中斷；數據中心部署各級教育管理信息系統，如中小學生學籍管理系統、校舍安全系統、教師管理信息系統等，如果因為安全問題導致信息被竊取，將造成嚴重后果。因此城域網接入沒有身份控制，導致一方面日志審計無法準確快速定位某校某臺造成不良影響的計算機與責任人；二是校園網用戶沒有安全認證，無法對上網用戶進行行為審計，三是校園網帶寬管理不到位，無法保證視頻會議、考場監控等重要網絡應用的帶寬。附公安部82號令教育城域網統一出口管理問題信息技術的不斷發展、信息數據的安全等，網絡出口是一個教育城域網網絡安全的關鍵關卡，未來為了保障外網的穩定性，可能采用不止一家運營商鏈路，即網絡出口有多條鏈路，如何充分利用多條出口鏈路，提高用戶服務質量是網絡建設需要解決的一個問題。出口的高性能也是需要解決的一個問題。互聯網應用的日益豐富，互聯網出口流量部分是重復流量和重復的文件，出口區域部署容緩存系統，以此來加速網絡帶寬的高效利用也迫在眉睫。此外出口區域是跟外網互聯的唯一出口，在病毒、木馬、網絡蠕蟲日益猖獗的互聯網時代，出口安全也被越來越重視。教育城域網“數據中心”問題隨著教育城域網建立完成后，后續有的業務系統會越來越多，相應的數據中心的物理服務器、存儲系統數量快速增長，使得數據中心規模不斷擴大。教育數據集中、業務整合的過程，表現為高密應用系統的集中。為了適應未來技術的發展和綜合考慮到實際業務需求，數據中心必須保證整個城域網的高速、高可靠的數據安全轉發。數據中心建設必須著重考慮以太交換網絡、服務器互聯網絡、存儲網絡這三大網絡業務的融合，形成完整的統一數據中心體系架構，并且融合安全系統，實現城域網最重要部分“統一數據中心”的安全可靠。銳捷教育城域網整體方案架構圖：XX教育城域網基礎網絡平臺設計拓撲本次教育基礎網絡平臺建設設計分為五大部分：核心交換區域、網絡出口區域、安全管理區域、運維管理區和學校接入區。其建設主要分三個步驟進行設計。總體從三個步驟來進行城域網基礎網絡平臺的建設，第一步基礎網絡建設，主要分為城域網核心骨干搭建、區級城域網統一大出口建設、無線城域網建設、城域網安全平臺建設。第一步完成之后基本網絡搭建起了，師生可以通過網絡安全地訪問部的資源，也可以訪問互聯網獲取想要的資源，接下來就要進行業務支撐優化，即第二步進行整個城域網的良好管理和運行維護。最后第三步為應用整合優化，通過應用層的單點登錄來優化師生業務系統的良好使用。本次網絡設計采取區塊化設計的思想，將整個城域網分成六個區域，分別為核心骨干區、數據中心區、Internet大出口區、安全管理維護區、教育局部網絡區以與各學校接入區域。每個區域自成一體，不同的區塊有不同的業務，網絡按功能進行區塊劃分，不同區塊負責各自的獨立業務，互不干擾。按區塊進行安全規則，路由策略統一部署，實現數據交換和安全防護。網絡核心不啟用復雜功能，策略，具備高吞吐量和數據交換能力，網絡結構設計安全可靠，局部區塊故障不影響全局網絡運行。整個組成一個高速的數字交換中心，負責各個區塊之間的高效的轉換。如果所有的功能都集中在核心層上面，如果一旦出現問題，就會影響運行。所以通過區塊化的設計，可以保證其運行的高性能，高可靠度，而且也便于規劃和管理。銳捷解決方案客戶價值方案優勢1：業務感知，關鍵業務帶寬保障通過SDN技術實現整網的統一管理、策略下發、業務識別和應用分析，準確識別細分業務（如網絡教研、網絡巡考、同步課堂、視頻會議等），幫助用戶實時掌握城域網鏈路中各細分業務的帶寬占用情況、分析業務開展情況，實現業務流量統計分析和應用體驗分析。方案優勢2：場景化實名認證，貼近應用精細化管理以實名認證為基礎，統一身份體系、分級分權管理、全網賬號漫游，可根據用戶身份、訪問時間、接入位置、接入方式等多維度信息進行場景感知的接入控制和精確的權限管理，有效解決實名認證和安全管理應用中存在的突出問題。方案優勢3：應用加速，飛速流暢的業務體驗容加速系統通過將互聯網熱點資源本地化，加快用戶上網速度、提升上網體驗，減輕出口壓力、節省帶寬資源投入；同時可以緩存網服務器的熱點資源，高峰期減輕系統壓力30%-50%，確保資源訪問快速順暢。方案優勢4：熱點資源推送，促進教育資源共享針對教育資源利用率低的情況，為用戶提供熱點資源推送解決方案。教育局通過緩存設備將熱點資源向下分發到各學校網關，學校網關將資源熱點頁面推送到用戶端，優化資源傳播途徑，促進資源應用。方案優勢5：可視化綜合運維，保障業務穩定運行基于業務視角統一管理全網IT資源，通過“一圖”綜合、直觀呈現城域網運行狀況，直觀反映IT資源運行狀況對應用系統、核心業務以與用戶的影響，幫助管理者快速排障和定位問題、實現精細化運維管理，并直觀展現信息化建設與應用成果。通過自動化巡檢，幫助用戶自動完成重復性運維工作，降低運維管理壓力，提升管理效率和運維質量。方案優勢6：大數據安全，將風險一網打盡解決方案在部署多種安全設備構建全方位安全防護的基礎上，通過大數據分析安全，幫助用戶構建主動安全防御體系、實現安全精細化管理，讓安全風險評估和安全問題閉環變的簡單高效。安全監測預警，全方位感知和跟蹤安全態勢，通過安全大數據關聯分析進行安全合規自查和精準定位安全問題，基于安全知識庫實現安全閉環管理，量化呈現安全業績、安全建設輔助決策。等保合規，國家政策執行落地，網絡安全保障到位。方案優勢7：全方位web安全，全面防護+實時監控+與時阻斷，提供安全防護+應急手段雙重保障機制，方案可以在用戶被惡意篡改后第一時間短信通知用戶、用戶通過手機即馬上下發阻斷命令，或者自動阻斷被攻擊web服務器的訪問，避免出現問題的服務器還在被客戶訪問，造成更大的影響和損失。方案優勢8：SDN安全服務鏈，高可靠、可伸縮的安全網絡SDNServiceChain安全服務鏈方案重新定義了安全服務模式，安全資源池化、按需引流按需防護，高可靠易管理，功能完善、部署簡單、擴展靈活、兼容利舊，幫助用戶建立健壯、彈性、智能、易用的教育城域網出口安全防護體系。基礎網絡平臺建設方案教育城域網核心層組網設計傳統雙核心網絡，使用MSTP+VRRP技術，雖能實現故障自動恢復，但故障恢復時間一般在15秒以上，完成不能達到NSF（不間斷轉發）的要求。同時冗余鏈路和設備使網絡拓撲變得復雜，增加了日常管理維護難度，核心設備一旦不穩定或鏈路中斷則會導致VRRP或路由協議的震蕩，影響網絡穩定運行。部署兩臺高性能核心交換機，通過兩條10G鏈路互聯將兩臺核心交換機虛擬為一臺，實現毫秒級的故障恢復，在提高網絡性能、系統可靠性的同時，簡化網絡結構、降低維護難度。核心交換機采用CLOS多級多平面交換架構，數據流量負載分擔到多塊交換網板，實現轉發與控制平面完全分離，確保各端口間全線速無阻塞，提供持續的帶寬升級能力和業務支撐能力。核心交換機具備分布式入口大緩存，保障突發流量不丟包、保障業務流暢開展，支持FCoE接入和以太網接入服務，從而幫助用戶輕松整合異構的存儲網和數據網，減少網絡中的設備數量，真正實現數據中心網絡架構的融合。同時可以在核心交換機部署高性能防火墻插卡，實現安全域劃分，實現網數據和外網數據在通過核心交換時進行的安全檢查，保證網絡安全。教育城域網接入層方案設計方案采用典型的“核心-接入”扁平化二層架構，核心部署高性能、模塊化的三層交換機（引擎、電源、風扇等冗余），在資金充足的情況下建議核心交換機為雙機虛擬化高可靠部署，接入交換機通過千兆鏈路上聯核心交換機、向下提供高密度千兆接口，實現萬兆骨干、千兆桌面。網絡出口部署一臺多合一安全網關，提供多功能、易管理、低成本的方案價值，一臺設備打造一個出口解決方案。多合一安全網關集成防火墻/VPN、流量控制、行為管理、負載均衡、軟件AC等功能，提供網絡安全、應用識別、URL過濾、容審計、智能選路等應用價值。學校出口方案規劃至少需要實現如下基本功能：1）安全防護：實現學校網與外聯網絡的安全隔離，防御外部網絡的安全威脅、攻擊滲透。2）實名認證：支持本地Web認證與多種第三方認證，實現實名制認證上網。3）流量管理：學校與教育局互聯鏈路帶寬資源有限，學校出口設備應具備應用流量控制功能，實現鏈路帶寬資源的合理分配，保障關鍵業務順暢開展。4）實名審計：具備用戶行為審計功能，實現基于實名的用戶上網行為日志記錄，符合公安部82號令要求，有效規上網行為。教育城域網統一出口方案設計為了實現對互聯網帶寬資源的統一調配和節省帶寬成本、加強安全管理和規互聯網訪問行為，建議教育局統一互聯網出口。統一出口流量管理方案針對于互聯網流量的爆炸式增長，方案設計以“疏-堵-控”為核心理念,有效提升鏈路帶寬利用率，提高用戶上網體驗。1）統一出口流量管理方案——“疏”緩存加速隨著互聯網應用的日益豐富，有限的帶寬已經無法滿足教育城域網用戶的應用需求，互聯網帶寬成本高、用戶P2P下載和在線視頻業務壓力巨大、用戶投訴網絡速度和質量差等頭疼問題，流量控制無法徹底解決問題，緩存加速是解決此類問題的有效手段。互聯網應用中有大量的重復流量嚴重占用了網絡帶寬，通過部署容緩存加速系統將熱點資源緩存在本地，后續用戶訪問熱點資源時直接從本地緩存讀取，大大提高用戶訪問速度、提升了用戶體驗。由于大量的熱點資源都從網獲取，容緩存加速系統可以有效分擔出口壓力，減少30%-50%的帶寬需求，節省了大量的帶寬費用。針對教育資源利用率低的情況，為用戶提供熱點資源推送解決方案。教育局通過RG-PowerCache緩存設備將熱點資源向下分發到各學校多合一安全網關，安全網關將資源熱點頁面推送到用戶端，優化資源傳播途徑，促進資源應用。智能選路教育城域網用戶在訪問屬于不同ISP提供的信息資源時，外網連接層需要智能的根據用戶訪問的信息資源，選擇不同的ISP（不同的廣域網鏈路）來進行訪問，從而避免訪問路徑跨越了不同ISP網絡，確保資源訪問效率最大化。鏈路負載均衡教育城域網統一出口會分別連接至幾條運營商鏈路實現鏈路冗余備份，通過多鏈路負載均衡與備份功能，在任意一條廣域網鏈路發生故障時，能夠自動將流量自動切換到其他廣域網鏈路。智能DNS解析為了讓教育局對外開放的資源能夠更快捷的讓外部網絡用戶所訪問，則需要合理引導外部網絡用戶所訪問的路徑。通過智能DNS解析功能，在電信網用戶訪問園區門戶域名時自動解析成電信網IP，從而引導電信網絡用戶從園區的電信網鏈路訪問園區門戶服務，當聯通網用戶訪問時則解析成聯通網IP，引導網通用戶從學校聯通鏈路進行訪問，由此為外部網絡用戶提供一個動態最優的訪問路徑。2）統一出口流量管理方案——“堵”但隨著用戶和應用的不斷增多，特別是P2P、在線視頻等應用的不斷涌現，加大帶寬這種方式已經不現實了，為了保障出口帶寬的合理應用，為了保障關鍵業務的順利實施，為了保障關鍵人的帶寬使用，我們就要進行“堵”了，堵的目的在于通過流量策略的控制，合理規劃帶寬，保障關鍵性業務。通過部署流控設備對城域網中的各種應用進行識別，分時段控制不同用戶不同應用的帶寬和優先級，合理分配寶貴的帶寬資源，保障關鍵業務。統一出口安全組網方案1）傳統安全組網方案問題分析教育信息化業務發展帶來愈加強烈的安全需求和更高的安全要求，網絡中需要部署的安全設備不斷增多、網絡系統也日趨復雜，傳統安全方案組網模式落后，存在諸多問題亟待解決。出口安全設備串行部署，主要存在以下幾個方面的不足：2）SDN安全服務鏈解決方案銳捷ServiceChain安全服務鏈方案，能夠提高出口的穩定性，能夠提供圖形化界面，簡單的配置、輕松的運維，能夠自由的定義業務，有冗余機制、保證業務穩定。基于SDN技術，將安全資源池化，打破物理拓撲的限制，實現按需定義安全服務和跨品牌負載，使網絡更加靈活、彈性伸縮、隨需而動。SDN安全服務鏈方案讓網絡安全的部署、管理、運維從復雜轉向簡單和智能，幫助用戶構建高可靠、可伸縮的安全網絡。網絡出口組網架構使用改串為旁的部署模型，對上述問題可以很好的解決。通過串行模式部署改為旁掛模式部署，當任何流量需要經過任何安全設備，即按需引流方式可以提升安全設備的利用率。增加安全設備直接旁掛即可，在控制器進行手工添加一個新節點，無需考慮更改拓撲，人員配置等問題帶來的風險問題,天然避免單點故障,可以解決原網絡出口架構的功能伸縮性部署問題。健壯-功能完善、自動容錯，業務穩定通過SDN控制器，進行預先策略配置和自動下發流表，輕松完成智能出口部署模型，利用SDN控制器預先制定的策略，當發生出口設備升級或者新增出口設備后，都可以自動的添加入整條服務鏈條中。當出口安全設備的某臺或者某幾臺設備發生故障，可以通過自動剔除接口方式來保證外聯出口的穩定。任意出口設備發生問題都不會出現單點故障，SDN控制器自動會將此節點移除，告知核心設備流量不能經過故障點保證出口穩定。易用-圖形化界面，簡單操作、靈活調度彈性-平滑擴容、兼容利舊，保護投資老設備性能不足、換掉又太浪費，解決方案可以充分利用老設備、提高設備利用率，可以廣泛兼容各種品牌的安全設備，跨安全設備品牌實現負載均衡與備份。智能-資源池化、按需引流，定制服務基于業務資源分配和安全防護按需定義業務流：L2-L4層流量按需定義，圖形化界面輕松完成；按需定義流路徑：控制器自動發現安全節點，只需在圖形化界面拖拽，即可輕松定義多種流路徑；業務流和流路徑松耦合：業務流和流路徑一鍵編排，可負載、可主備，靈活匹配。SDN智能城域網方案與價值隨著三通兩平臺建設與應用的不斷深入，教育城域網建設重點逐步從互連互通轉向業務應用，同步課堂、網絡巡考、網絡教研、視頻會議等業務應用對網絡帶寬和質量要求高，要求城域網能夠感知業務、有效保障應用體驗。傳統教育城域網方案的問題分析教育部《教育信息化工作要點》中明確提出“深入推進三個課堂應用”、“大力推進跨學校、跨區域的網絡教研”，但用戶在實際業務開展過程中面臨“業務開展不順暢，應用體驗差”、“應用流量看不清，數據分析缺”、“鏈路質量不清楚，問題定位難”等問題障礙，導致業務無法順暢開展。

傳統教育城域網的面臨以下幾個方面的挑戰：重點業務的保障需要人工實施，不論是保障的配置還是出問題時的排障，包括日常的運維都需要消耗大量人力重點業務使用體驗如何，一片空白，只知道重點業務跑起來了，跑的是否順暢無法得知，只有學校老師投訴了才知道出問題了。網絡使用情況如何，一片空白，網絡是否被用于教育，使用的分布不可知；購買的教學資源不同學校使用情況不可知；上線的教學業務系統不同學校使用情況不可知。總的來說，網絡猶如一個黑盒，怎么使用的不清楚，使用的好壞不清楚，對教學是否有幫助不清楚。出了問題，也是一通排查，經常頭痛醫頭腳痛醫腳，浪費大量人力。銳捷SDN智能城域網方案價值解決方案通過SDN技術實現整網的統一管理、策略下發、業務識別和應用分析，幫助用戶構建以應用體驗為中心的下一代教育城域網。首先可以對用戶的各個業務系統進行應用統計分析，幫助用戶了解城域網鏈路中各業務應用的帶寬占用情況，為關鍵業務應用進行訪問體驗打分，分析業務開展情況；其次，通過準確識別用戶的細分業務，針對細分業務做帶寬預留和應用保障，提升應用體驗；同時通過鏈路質量監測，幫助用戶實時掌握網絡鏈路對業務應用的影響情況，幫助用戶快速準確定位鏈路問題。

如圖所示，SDN智能城域網方案的優勢在于將基礎網絡與業務應用相結合，有效提升城域網業務應用體驗，以業務視角進行應用數據呈現、讓用戶對應用開展情況一目了然，而非簡單的實現集中配置管理。教學業務體驗可視化通過SDN控制器，將需要關注的教學業務URL下發到學校出口設備，學校端設備會對學校進行教學業務的數據流實施監控，并將監測的數據發給SDN控制器。SDN控制器基于體驗度量模型進行計算，給出體驗分析，可以基于用戶、學校、全局三個層面展示關鍵教學業務的訪問情況。教學業務流量可視化通過EG采集各學校城域網鏈路中的網絡應用流量，通過SDN控制器和ELOG對流量的分布和使用情況進行分析呈現，幫助用戶了解城域網鏈路中各細分業務的帶寬占用情況、分析業務開展情況。城域網整體使用情況可視化很多地區的城域網都是百兆、千兆、甚至個別地區是萬兆到學校的。這些線路都是花費不少信息化建設費用的。學校出口會將每個學校的線路實際使用情況匯總到ELOG，ELOG會呈現每個學校的線路具體是哪些用戶哪些應用在使用，比例是多少。從而方便判斷線路使用是否合理。鏈路質量可視化通過學校出口設備，收集負載、丟包、時延、擁堵等信息，在SDN控制器上計算后生成鏈路質量與網絡運行狀態拓撲和報告，幫助用戶實時了解網絡鏈路狀態和服務質量、掌握網絡鏈路對業務應用的影響情況業務體驗不佳根因分析針對打分較低的用戶，SDN控制器會下發命令讓對應的學校出口收集改用戶的詳細訪問信息，從而給出該用戶訪問體驗不佳的原因，指明后續的人工排查的方向，減輕工作量。SDN智能城域網從教學業務的使用角度重新定義了城域網。用戶可以實時或匯總的的觀察城域網的線路使用情況、教學業務的體驗情況、教學業務的使用比例。針對教學業務訪問的問題，自動給出可能的問題原因，減少大量的運維工作。無線城域網方案設計無線教育城域網概述無線教育城域網是在現有教育城域網基礎上，依托有線網絡架設無線設備，實現無線覆蓋，以便承載新興教育應用。無線城域網主要承載有兩大應用：電子書包應用：隨著無線終端的普與，無線技術的發展，普教電子書包這種新的教學模式越來越被重視。電子書包是“以網絡環境為依托，由移動終端設備、電子教學服務平臺、資源加工出版支撐體系以與教育教學數字容共同構建，參與者通過使用終端設備來進行教學活動”。其中網絡環境，移動終端設備是電子書包的兩大基礎要素。目前國在校學生超過3億人，作業和課本數量超過30億冊，紙、能源等資源消耗巨大，成本高。電子書包的出現能夠實現大部分學科的無紙化教學，為普教用戶降成本、提效率。教師備課、辦公移動化應用：目前中小學一般都給教師配置了教學用筆記本，同時隨著移動終端數量的增加，有線信息點無法滿足終端接入需求；在教師完成授課后，需要與時上傳備課文件到后臺服務器，并提交授課情況，而教室連接網線非常不便，導致教師無法與時上傳、下載備課資料。部署無線網絡后，教師可以再校任何地點隨時接入到無線城域網進行相關工作。普教無線城域網需求分析無線網絡應用需求分析—電子書包：電子書包主要應用地點在教室，同時接入人數約為40-60人左右；電子書包容以教學PPT、教學視頻推送、隨堂考試等為主；電子書包終端類型繁多，各個硬件廠家無統一生產標準；電子書包應用要求無線網絡能夠同時為數十個終端提供穩定，高速的無線服務質量。無線網絡需要有良好的終端兼容性，能夠同時兼容多廠家的終端。無線網絡應用需求分析—教師辦公：辦公室信號無死角，信號穩定安全、便捷的接入方式良好的漫游支持，保證教師機在辦公室和教室之間移動不掉線身份認證需求要求能夠實現分布式認證：教育局部署統一的身份策略管理中心，對下面各個學校身份認證管理系統下發管理策略，收集各個學校的，實現對所有的城域網用戶進行管理。各個學校部署簡單易用的身份認證管理系統，管理所屬學校的，實現分布式的身份認證系統。為防止學校身份認證系統故障影響正常使用，在教育局設置一套身份認證管理系統，做為各個學校的熱備系統。無線系統和有線系統都通過標準的Radius協議和認證系統來進行用戶名密碼的驗證。本次無線城域網用戶可以采用web頁面和客戶端兩種方式，自由選擇認證；采用客戶端認證時，認證窗口可以最小化，不會因為意外操作下線，移動終端采用WEB認證時，采用一定的保活機制，意外關閉WEB頁面，不會導致用戶下線。訪客管理要求靈活、快速的設置、銷戶訪客賬號，同時要求訪客和部用戶的網絡進行隔離；對于訪客或臨時，可以設置過期時間，過期后自動刪除。各學校用戶應能在無線教育網進行網絡漫游，支持從A學校到B學校采用一樣的可以正常訪問網絡資源。可以根據不同的終端類型，推送合適尺寸的頁面登陸，免去多次拖動、放大屏幕等操作。管理需求無線設備部署在各個中小學，而中小學網管人員編制不足，管理水平偏弱，一旦網絡出現問題，很難與時定位問題，排除故障，會影響課堂電子書包授課，這事目前普教客戶管理無線網絡所面臨的普遍難題。無線網管要求能夠實現有線無線一體化；具備無線排障功能，能夠幫助普教運維人員快速定位、解決故障能夠實現無線熱敏圖功能，無線信號質量直觀呈現能夠對無線網絡可能出現的隱患做提前預警，并通知給網管人員銳捷普教無線城域網方案整體方案架構無線城域網在原有有線教育城域網的基礎上，增加無線網絡的覆蓋，使教職工可以更好地利用班班通的教學資源，網絡建成后將實現教學資源共享、電子白板、示課、教務管理、電子書包等應用，真正實現隨時隨地利用網絡資源，深化教學應用。銳捷無線城域網方案架構圖：大中型學校本地部署AC、小型學校共享教育局AC，分級分權管理，學校自主管理、降低教育局壓力。教育局多臺AC虛擬化，實現高可靠、易管理，教育局多臺AC共享license，降低項目成本。教育局與學校無線AC多級容錯，學校AC故障、教育局AC承接工作。銳捷無線城域網架構特點1、分布式的無線部署方式無線城域網涉涉與學校達一百多所，規模較大，采用集中式部署的方式容易造成性能瓶頸與管理權限集中，因此建議采用全分布式的部署模式。整個無線城域網采用FITAP的運行模式