./XX學校校園信息化網絡建設規劃建議方案數字化校園網絡建設方案目錄1普教數字化校園建設與應用概述31.1數字化校園概述31.2數字化校園的應用現狀31.3數字化校園的發展階段及趨勢42xxx中學網絡需求分析52.1XXXXX中學網絡現狀5需求不間斷的基礎網絡平臺5需求易管理的網絡運維5需求安全報障6需求統一身份認證6需求單點登錄、統一信息門戶63XXXXX中學數字校園建設設計63.1數字校園整體架構63.2XXXXX中學改造網絡拓撲74XXXXX中學數字校園網絡解決方案84.1核心網絡設計8核心網建設84.2接入設計124.3學校網絡出口設計13出口智能流控審計134.4無線網設計14無線規劃14無線信息統計174.5安全設計18數字化校園的安全設計思想18普教數字化校園建設與應用概述數字化校園概述目前,什么是數字化校園尚沒有一個明確的定義,但相對使用較多的一個定義是：以網絡為基礎,利用先進的信息手段和工具,將學校的各個方面,從環境〔包括網絡、設備、教室等、資源〔如圖書、講義、課件等、到活動〔包括教、學、管理、服務、辦公等數字化,逐步形成一個數字空間,從而使校園在時間和空間上獲得延伸,在現實校園基礎上形成一個虛擬校園。數字化校園旨在用層次化、整體性的觀點來實施校園信息化建設,利用校園網把教學資源和管理信息更好地組織分類,為教學工作提供基于網絡環境的信息化教學平臺,為管理、科研工作提供基于網絡環境的信息化管理平臺。數字化校園的應用現狀XXXX在全國做了近2萬個中小學項目,同時,進行大量的現場調研工作,根據目前學校業務應用的使用情況,大體上把業務系統分為三類,教學管理、行政管理及特色應用等。行政管理中的業務系統的服務端大部分在信息中心,學校作為客戶端使用,主要是為了提高行政管理的效率,包括OA辦公、一卡通、人事管理、財務管理等；教學管理中的大部分業務系統各個學校都會獨立建設,主要是為了提高教學管理的質量,包括數字廣播、備課系統、多媒體錄播系統等,實際上,目前行政管理和教學管理的業務系統基本上各地都已經建設了,差別在于,特色應用中的業務系統各個學校根據自己的情況建設的側重點不一樣,如各地目前關注度比較高的特色業務系統包括網上閱卷系統、多媒體錄播系統、同步課堂等。數字化校園的發展階段及趨勢校園數字化建設不可能一蹴而就,它的實現是一個長期努力的過程,從全國數字化校園的現狀和發展趨勢分析,數字化校園建設經歷了四個階段,包括網絡集成、系統集成、應用集成、數據集成共四個階段。第一階段網絡集成,主要以基礎網絡建設為主,大部分普通中小學處于網絡集成這一階段,考慮的是基礎網絡如何建設,如怎么建設有線校園網、無線校園網、校園網安全加固等。第二階段系統集成,以業務系統建設為主,大部分重點中小學處于這一階段,考慮業務系統如何建設,如一卡通系統,是作為刷卡消費,還是門禁控制、電梯控制,課程管理、多媒體錄播系統怎么建設,如何監控這些業務系統的運行,業務系統的數據安全保證等。第三階段應用集成,主要是做統一身份認證平臺、單點登陸系統等,信息化做的比較好的重點中小學在規劃應用集成,如何把有線、無線、遠程VPN等各種不同接入方式統一納入一個平臺進行管理,多媒體錄播、OA系統、視頻監控等一系列業務系統,如何實現單點登陸,方便師生的使用。第四階段：數據集成,主要實現數據開發標準、數據結構的統一,實現各個業務系統間的數據實時共享,由于數據集成涉及到應用系統的大量開發工作,周期長,投入大,目前,普教學校涉及應用集成方面的比較少。xxx中學網絡需求分析XXXXX中學網絡現狀網絡部分采用二層架構,學校網絡機房交換機全部采用旁掛的傻瓜接入交換機,目前網絡無可視化網絡管理能力。核心機房交換機和辦公機房交換機通過光貓收發設備連接。現場勘察了解到,核心設備由于接口受限制,無法進行擴容。學校的無線為電信建設,采用室分部署模式,信號覆蓋強,但并發用戶多的時候體驗差。且不能進行實名認證,不能滿足學校現今網絡需求。由于帶寬出口有限,網絡出口設備沒有進行流量控制和審計,校園內老師網絡體驗差。需求不間斷的基礎網絡平臺穩固的硬件平臺是整個學校信息化建設的基礎,猶其大數建設的地基,決定了學校未來信息化建設的檔次。XXXXX中學屬于xx市重點師范小學,必須具備5-10年的前瞻先進性硬件支撐平臺需要實現7x24x365持續不間斷運行。需求易管理的網絡運維許多中小學數字化校園網絡的現狀是,學校的設備多,系統多,問題多,人員少；設備多,包括交換機,防火墻,路由器等；系統多,包括OA系統、郵件、課程管理系統、多媒體錄播系統等。一般只有1-2個信息技術老師進行相關的管理維護工作,如何保障學校信息化的應用穩定運行呢？實際上,業務支撐平臺的運維和管理需要解決三個方面的問題。當領導或兄弟單位進行參觀時,能可視化的展示學校信息化的成果。實時了解信息化建設的現狀,為學校升級改造提供支撐幫忙快速定位故障,解決日常管理維護問題。IT信息系統發揮的價值很大程度上取決到日常運維。但IT系統是涉及硬件、業務系統、數據庫、中間件、機房等眾多因素,眾多品牌的信息系統,極為復雜。同時實驗學校管理老師人員較少,配套采取服務外包模式,然而外包人員的服務水平參差不齊,服務質量難以保障,面向未來,學校在信息化運維方面將面臨較大壓力。因此,學校需要建設良好的網絡系統綜合管理平臺,實現IT運維信息化,使IT系統穩定、可靠、安全的運行,運維工作步入一個有序的、規范的層次,使IT系統更好的為業務系統提供服務,從而提高整體運行效率,提升運行服務水平和檔次。需求安全報障如何滿足公安、上級部門的安全檢查要求？學校的門戶網站、資源系統被掛馬或被篡改？接入不可控,安全隱患怎么解決？安全不是孤立的,如何形成整體安全體系？業務支撐平臺的安全部分主要是打造"全方位的立體安全保障體系",為學校信息化保駕護航！需求統一身份認證有線、無線、VPN等網絡設備的接入用戶分散,公共認證平臺主要提供統一的身份認證平臺。需求單點登錄、統一信息門戶隨著學校信息化建設不斷完善,學校將會擁有各種各樣的應用系統,各類業務還會不斷建設和規劃。用戶必須記住多個用戶的用戶名和密碼,以及不同業務系統的URL鏈接,造成了諸多不便。因此,建議學校建立統一門戶平臺,同時提供了一站式單點登錄功能,即通過用戶的一次性鑒別登錄,可獲得需訪問系統和應用軟件的授權,實現"一次登錄、隨處訪問/全網漫游"；從而提高用戶的工作效率,提升用戶滿意度。XXXXX中學數字校園建設設計數字校園整體架構結合XXXX校園網建設經驗和教育信息化的專家分析,通過大量的調研,提出數字化校園3+N+1整體架構,3表示3個平臺,基礎設施平臺、應用支撐平臺、公共認證平臺,1指的是通過單點登錄實現1個統一門戶,N指的是重點中小學的N個業務系統。如下圖：數字化校園建設的核心是教育信息化業務系統的建設,業務系統向下由三個平臺進行支撐保障,向上形成單點登錄、統一門戶,為學生、教師、領導、家長、公眾等提供服務。基礎設施平臺,包括軟件、硬件、PC、服務器、有線、無線等基礎設施平臺的建設。應用支撐平臺包括數字化校園的整體安全考慮、整個信息化業務的運維管理等。公共平臺主要包括統一的身份認證平臺、權限管理系統等平臺的建設。統一門戶是整個數字校園的訪問入口點,給用戶提供個性化的使用界面,用戶進入門戶后,除了可以看到公共信息外,只能看到與其身份相關的各項服務,成為用戶的個性化網絡門戶。N個業務應用系統,是指用于學校教學、科研、管理、服務的各種應用系統,用于解決各類用戶對信息管理和信息服務的需求,是信息化建設的主要內容。數字化校園更好的支撐學校信息化的應用,還需要做好"數據信息標準"及"運行管理保障體系"兩個方面,運行保障包括組織機構、人員培訓、管理規范等,信息標準包括技術標準〔應用開發、數據結構標準、信息化評估體系等。XXXXX中學改造網絡拓撲數字化校園整體架構中,XXXX涉及到基礎網絡平臺、公共認證平臺、運維支撐平臺及單點登陸統一信息門戶的建設,具體如下：一、基礎網絡平臺包括有線、無線、核心平臺、網絡出口等基礎網絡建設。二、公共認證平臺由兩個核心組件支撐,SMP身份認證軟件,無線控制器自帶Portal認證頁面。通過有線、無線等各種不同方式的統一實名接入,實現網絡層的實名認證、實名訪問權限控制、實名流控和審計等。考慮到實際應用和學校自身網絡現狀,此次數字話校園網絡建設主要體現在主干網和計算機教室的建設。XXXXX中學數字校園網絡解決方案核心網絡設計核心網建設核心交換平區部署兩臺基于十萬兆平臺設計的核心交換機,考慮到預算問題,此次只部署一臺核心,并配置有雙引擎和雙電源模塊,放置單點故障。設備本身支持業界先進的虛擬化技術VSU虛擬化技術,之后網絡規模擴大的時候可以實現雙機虛擬化熱備,提高網絡高可用和高穩定性。并且設備本身支持擴展槽,支持校區擴建和網絡擴容。虛擬化采用VSU虛擬云交換技術,將兩臺物理核心交換機虛擬為一臺邏輯上統一的設備,使其能夠實現統一的運行,從而達到減小網絡規模,同時極大提高網絡穩定健壯性,控制故障恢復時間。VSU虛擬云交換特性使用VSU后,兩臺核心設備邏輯上變成一臺。從而簡化了網絡拓撲。網絡中不再需要生成樹、VRRP等復雜的協議,大大降低配置維護工作量。接入交換機上聯等同于雙鏈路連接到一臺核心上,實現跨設備鏈路聚合。即使一臺核心或上聯鏈路中斷,也可實現快速切換。切換時間控制在50ms以內,相當于普通數據包轉發的時延這,不會對業務流暢運行產生任何影響。硬件無單點故障XXXX核心骨干交換機RG-S8600系列均在設備本身的重要部件上進行了無故障設計。主要體現在：雙管理引擎冗余熱備雙路電源,負載均衡供電6風扇冗余設計,互為備份零故障無源背板設計操作系統模塊化通用操作系統RGOS自2000年開發至今,已成為XXXX全線交換路由產品統一的系統平臺。RGOS模塊化操作系統設計原理圖這是一種模塊化軟件平臺〔對軟件系統進行劃分之后,將不同的系統任務分割成一些很少交互的可管理子集系統內核通過POSIX連接各功能模塊。各功能模塊獨立,故障隔離,提升新功能開發測試效率和系統穩定性。RGOS系統內核通過POSIX接口連接硬件抽象層,擴展支持多種網絡產品,如交換機、路由器、出口設備等。通過RGOS的開放性設計,可以整合多種產品資源,加速產品與技術發展。利用多種網絡產品組網形成基于RGOS的智能、融合的IP網絡。引擎切換無中斷RG-S7800系列交換機支持UISS無中斷引擎切換技術,保證主從管理板的切換在1秒間實現,同時在切換過程中,各主機線卡可以繼續轉發原有的數據流,不影響網絡業務的正常透明運行,實現管理板的平滑切換,極大地保證了核心的可靠性和網絡可用性。具體切換過程及實現1、切換前狀態信息同步2、主引擎出現故障時,數據不間斷轉發3、備份引擎啟動,故障引擎重啟動,備份引擎下發FIB表更新,待故障引擎重啟完畢后,新的主引擎將狀態信息同步到重啟后的引擎,此時完成切換。UISS熱備份設計可以保證RG-S7800系列交換機主從管理板的切換在1秒間實現,同時在切換過程中,各主機線卡可以繼續轉發原有的數據流,不影響網絡業務的正常透明運行,實現管理板的平滑切換,極大地保證了XXXX設備的可靠性和網絡可用性。硬件自動保護目前眾多的網絡病毒都是通過對網絡設備的CPU上進行特定協議的攻擊,利用偽造的數據包瞄準具體協議,向網絡設備發動攻擊。方案中的交換機通過硬件的方式對發往控制平面的數據進行分類,把不同的協議數據歸類到不同的隊列然后對不同的隊列進行限速,專門對路由引擎進行保護,阻擋外界的DOS攻擊。而且并不影響轉發速度,所以CPP能夠在不影響性能的前提下,靈活且有力的防止攻擊,而且保證了即使有大規模攻擊數據發往CPU的時候依然可以在交換機內部對數據進行區分對外。CPP提供三種保護方法,來保護CPU的利用率。第一,可以配置CPU接受數據流的總帶寬,從全局上保護CPU。第二,可以設備QOS隊列,為每種隊列設置帶寬。第三,為每種類型的報文設置最大速率。安全防御本方案全線交換機包括接入、匯聚、核心均可自動檢測常見攻擊行為,并自動下發相關策略,阻斷網絡攻擊,恢復網絡正常。第一可有效保護網絡穩定性,阻絕各類攻擊,第二無需管理員手工參于,提高管理效率,降低管理運維難度。基于設備自身安全的技術必須基于CPU和端口為主要出發點。目前業界已開發了一些用于防攻擊的功能模塊<比如：ACL、QOS、URPF、SysGuard、CPP等等>,通過這些功能模塊自行建立攻擊檢測和保護的機制,并提供對外的管理接口。為了在這個日益重視安全性的環境中應對日益復雜的攻擊,XXXX開發出基礎網絡保護策略<NetworkFoundationProtectionPolicy>,簡稱NFPP。NFPP技術能夠對設備本身實施保護,通過對報文流進行限制、隔離,以保證設備及網絡可靠、安全、有效地運行。NFPP通過接受報文的端口或者對送往CPU的報文進行攻擊檢測,采取相應保護措施,從而達到對管理面、數據面和控制面的保護作用。接入設計接入主要是負責本校區內的信息點互聯起來,為各個信息點提供layer2層接入功能。特別是學校網絡教學機房和教室的有線信息點。使用千兆接入的全網管交換機,實現千兆用戶到桌面。接入主要完成以下功能：結合webportal認證系統,部署802.1.X協議,實現"入網身份認證,也可升級實現主機健康檢查、網絡安全事件監控與主動防御"。通過VLAN定義實現業務劃分。實現QoS,對數據包進行分類和標記。接入網作為用戶終端接入校園網的唯一接口,在為用戶終端提供高速、方便的網絡接入服務的同時,需要對用戶終端進行入網認證、訪問行為規范控制,從而拒絕非法用戶使用網絡,保證合法用戶合理使用網絡資源,并有效防止和控制病毒傳播和網絡攻擊。當前的數據網安全正遭受嚴峻挑戰,病毒、外部入侵〔黑客、拒絕服務攻擊、內部的誤用和濫用,以及各種災難事故的發生,時刻威脅著網絡的業務運轉和信息安全。但與此同時,大多數正在使用的網絡安全系統都缺乏真正的全局防護能力。當網絡受到來自各方面的攻擊時,整個網絡系統的穩定性將無從談起,可以看出,計算機網絡的安全防護能力是影響網絡系統穩定可靠性的重要因素之一,網絡設備作為網絡系統的基礎平臺,其安全防護能力顯得尤為重要,尤其是接入層交換機。學校網絡出口設計出口智能流控審計XXXXRG-EG2000系列網關產品是適用于多個行業的業務加速類網關產品。設備配以高性能的MIPS多核硬件體系架構,擁有業務加速通道、精準流控、上網行為管理、可視化VPN、智能選路、防火墻、高性能的NAT、Web認證等多個功能。憑借著豐富的功能,RG-EG系列能夠極有效的優化用戶網絡,規范上網行為,全方位的加速關鍵業務開展,提高業務系統使用體驗。RG-EG系列設備的產品特性和價值：業務加速通道——成倍提高關鍵業務訪問速度,提升業務系統使用體驗RG-EG2000系列網關支持業務加速通道功能,可以通過傳輸數據壓縮、傳輸數據去重、低質線路優化、TCP協議棧優化、多線路捆綁等多個互聯網加速技術,有效解決遠程訪問總部業務系統慢的問題,達到成倍提升業務系統訪問速度的效果,使得業務系統可以真正的開展起來。精準流控——保障關鍵業務帶寬,業務開展通順流暢RG-EG2000系列網關,可以實現對網絡帶寬資源的全面管控,讓帶寬空閑時隨意使用、帶寬緊張時按需分配,保障關鍵業務的順暢開展。RG-EG2000系列網關能精準識別P2P應用、流媒體、企業辦公系統等30大類、1500多種應用特征,可實現更加精細合理的進行帶寬管理。上網行為管理——規范上網行為,提高工作效率RG-EG2000系列網關對內網用戶的上網行為進行精細化管理。屏蔽各種與工作無關的網站,營造良好工作氛圍,提高工作效率；可對聊天工具、郵件、論壇、微博、搜索引擎等提供安全審計功能,保護內網信息安全。可視化VPN——VPN隧道內流量可視可控,業務保障無死角RG-EG2000系列網關將VPN的配置簡化到了極致,只需簡單的鼠標操作即可完成配置,無需專業人員維護。還可以對VPN隧道內的流量進行查看和控制,建立起可視化的VPN網絡,為通過VPN開展的關鍵業務提供保障。智能選路——優選數據傳輸路徑,合理利用多條帶寬資源當網絡擁有多條出口線路時,選路規劃的不合理會造成上網慢、帶寬資源浪費等問題。RG-EG2000系列網關提供一整套完善的智能選路體系來解決這些難題。設備會自動分析多條線路的情況,選擇最優線路,避免出現跨運營商訪問、鏈路使用率低等問題,提高上網速度。無線網設計無線規劃全校采用802.11n技術由于采用了多種無線技術,極大地提升了無線接入的帶寬和覆蓋范圍。同環境下比802.11a、b/g模式的覆蓋范圍提高了20%。智能無線技術規劃：此次使用了業內最領先的第二代智能轉發架構,使用智能流分類前置設計,該架構充分利用本地轉發與集中式轉發的優勢,實現802.11n環境下的高速低延時、高安全轉發：本地轉發類流：時延敏感類數據,快速轉發,延遲最低,更適合語音、視頻直播等校園網應用；集中轉發類流：安全敏感類數據,集中加解密處理,適合學校OA、選課、一卡通等校園網應用；網絡不中斷設計：無線網絡中AC控制AP,一旦AC出現故障AP,或者鏈路出現問題,AP無法連接到AC就無法工作,AC成為了整個無線網絡中的單點故障。"AP智能轉換技術"徹底解決了這個憂慮,將無線網絡的可用性提升到一個新的高度。"AP智能轉換技術"的工作模式如下：當AC故障時,AP自動切換到"胖"AP的工作模式下,其配置信息為先前的AC下發的信息；AP按照,先前的配置策略信息繼續工作,對用戶的業務不影響；工作在此狀態下的AP,繼續探測AC的狀態,當AC恢復正常,AP和AC恢復建立正常連接；AP恢復到原有的智能瘦AP的工作模式下。智能探測：AP定時、自動探測AC的可用狀態,及時反饋網絡情況；智能轉換：AP自動根據AC的狀態,進行"胖"、"瘦"AP工作模式的轉換；有線無線統一管理無線校園網大規模部署,需要無線AP數量極大,眾多無線AP分布在校園的各個角落,如何管理、監控這些無線設備,及時發現問題,定位故障。有效的無線管理方式,是建好無線校園必不可少條件。無線管理系統實現了：無線、有線連接拓撲統一；無線、有線設備狀態統一；無線、有線報警信息統一；無線、有線審計信息統一；通過集中式的統一的有線、無線網管系統,可以實現網絡中有線網絡和無線網絡的統一便捷配置,實現有線無線一體化高效管理。無線管理系統的統一拓撲展示了用戶網絡中的有線、無線的設備鏈接方式和設備的工作狀態。有線、無線設備統一拓撲顯示管理人員可以直觀的查看到,用戶接入無線的狀態、無線信號覆蓋的情況等。包括信號強度、發射速率集、RSSI、SSID、使用信道、所在AC設備、所在AP設備等,并能查看用戶的漫游情況,可以隨時了解最終接入用戶的情況,并對其接入行為進行審計。有線無線一體化網管系統,可以極大地減輕無線管理的復雜程度,做到無線問題及時定位、及時處理。有線無線統一認證無線網絡是有線網絡的補充和延續,無線一定要和有線系統一樣進行認證：統一賬戶管理：有線、無線采用RG-ESS一套數據庫統一認證方式：有線、無線均可使用802.1x、Web統一客戶端：師生使用一套客戶端系統,登錄有線、無線兩個網絡有線、無線統一認證數據庫,避免了用戶有線一套賬號,無線另一套賬號,不能統一認證管理的問題。用戶采用統一身份,靈活登錄有線、無線兩個網絡。用戶可以在上選擇用無線網卡,靈活選擇用802.1x方式、Web方式進行無線認證,認證方式的靈活選擇,延續了用戶的使用習慣,極大地減少了維護成本；有線、無線管理策略也要統一,例如：不能有線網絡在晚上11點鐘斷網,而無線網絡