数字化校园解决方案建议书Word格式.docx
《数字化校园解决方案建议书Word格式.docx》由会员分享,可在线阅读,更多相关《数字化校园解决方案建议书Word格式.docx(36页珍藏版)》请在冰豆网上搜索。
⏹具备网络业务拓展能力——校园业务可平滑向下一代网络迁移,向IPv6迁移兼容现有校园组网环境,IPv6完全由分布式硬件完成,保护投资;
校园业务可以随时随地使用,校园业务可以基于移动漫游环境,移动漫游环境无需管理者手工干预
⏹具备安全渗透防御能力——校园网出口具备攻击、非法业务的隔离、控制,具备在线主动抵御的能力;
校园核心网络自身集成安全防御能力,缩小攻击、病毒在校园影响范围;
用户接入网络屏蔽用户非法操作,隔离网络攻击
建立数据服务中心优化整合现有数据信息资源
⏹解决教学、科研、办公业务数据海量增长,数据无法整合管理的问题
⏹解决数据爆炸性增长,成本要求不断降低的问题
⏹解决各种灾难对信息系统影响的问题
⏹解决分校区跨广域的数据访问的问题
⏹解决跨系统数据迁移和灾难备份困难的问题
⏹解决借助厂家提供专业的存储咨询和服务的问题
建立媒体服务中心实现视频、语音多媒体服务资源
⏹利用现有校园网络资源,整合语音业务,降低校内语音通信成本;
⏹利用现有校园网络资源,整合视讯业务,提供丰富的网络办公、教学IT服务;
⏹利用现有校园网络资源,整合校园监控业务,实现平安校园的统一管理;
实现整个校园网络的集中统一智能化管理
数字化校园是建立在一系列IT资源的基础上,诸如校园网带宽资源、教学办公数据的资源、计算资源、网络多媒体通信资源等,针对这些资源需要关联化的管理,资源的整合,才能将利用IT系统服务校园信息化的价值最大化。
应该说,在“十一五”中等学校信息化发展战略中,信息技术将成为校园的一项核心生产力,成为校园教学科研各项核心业务的最有力的支撑点。
结合学校的信息化发展现状与其在“十一五”期间的趋势,IToIP数字化校园解决方案从整体来看致力于两个层面促进中等学校信息化的发展。
其一是硬件平台的建设,即基于IP技术的校园网络平台建设。
方案针对现有校园网的网络架构提出优化方案,利用核心网优化与接入网优化的技术使其能够更好支撑数字化校园的上层业务;
随着数字化校园横向业务不断发展,尤其是在国家CNGI项目在中等学校落地的背景下,在中等学校用户移动终端的普及与移动业务的出现背景下,方案提出两个重点业务拓展方案,即IPv6校园网与无线校园网,来适应数字化校园的这一转型;
关于校园网的安全防护长期以来都是校园CIO高度关注的工作,而校园网络的安全问题也在变化,方案紧密围绕校园网络安全防御的三个重点环节(出口、核心、接入)与最新的安全问题,提出了安全渗透防御的架构,携手中等院校共同迎接安全防护的挑战。
其二是应用平台的建设,主要是三个中心的建设。
校园数据中心:
目前在校园网中,存储资源依附于应用和服务器,分散在校园网络不同的地方,由于各种原因,一些信息无法共享,导致了资源的浪费,同时也导致了依附于其上的数据无法共享,所以在校园中建设统一的数据服务中心,是校园网信息实现统一共享的重要手段。
校园媒体中心:
是利用三网合一技术,通过多媒体的方式服务于数字化校园用户的系统。
中等院校具有环境开放性和人员流动性的特点,需要对校园进行安全监控实现和谐校园的目标;
多校区的建设往往导致领导、师生沟通不方便,而通过IP语音、IP视讯技术的视频会议、远程教学、IP电话、招生热线等方案将有效解决这些问题,并促进整体数字化校园的发展。
智能管理中心:
狭义上的校园网络管理就是通过SNMP技术对校园网络的硬件单元进行有效控制,而校园智能管理则强调是全面性与联动性,协同处理网络设备、网络用户、网络应用、数据信息之间的关联问题,例如一个用户是否有权限使用哪些网络、这个用户使用的应用对整个数字化的影响有多大……,对于整体数字化校园的管理应当提供分析数据与报告,支撑校园CIO的决策并降低校园管理的整体拥有成本。
两个层次的建设并不是割裂的,联系的枢纽就是智能管理中心,它把硬件系统与应用系统紧密结合在一起,针对硬件资源、应用资源动态调配与控制,实现对数字化校园整体业务的有效支撑,满足“十一五”对中等学校信息化发展的需要。
校园网在“十五”期间实现了高带宽、广覆盖、可运营、可管理的数字化校园平台;
实现了学校基本的教学、科研、管理和服务系统的信息化。
通过这一平台实现了网络教学系统、数字化图书馆系统、网络实验室系统、管理信息系统、办公自动化系统、社区服务系统、一卡通系统等上层应用。
从网络建设的特征来看,主要聚焦于:
万兆校园网改造、升级,学生宿舍区、新校区网络建设,认证、计费、管理及网络安全的建设。
但是随着国家对教育的重视,中等学校信息化的发展日新月异,更多的应用系统不断推出,对网络的可用性、可控性、安全性以及业务支撑能力要求也变得越来越高。
那么校园网建设工作也需要作出针对性的调整。
H3C设计全新的基于纯IP技术的网络平台来满足中等学校校园网的需求变化。
面向网络资源的有效、高效利用,从网络架构方面提供优化方案,使得校园核心网、接入网具有更高的可靠性和可控性,同时使得网络结构与布局在结合实际业务分布的前提下更加合理。
数字校园业务的发展必然离不开两个方向,其一是IPv6,其二是移动性。
这既是IP通信技术发展的方向,也是数字校园应用的发展方向。
满足这个发展,首要前提就是让校园网络平台能够具备相关技术支撑能力,即构建IPv6校园网与无线校园网。
不论是对校园网的优化还是对校园网业务的横向拓展,都是基于校园网是安全有序的。
需要从纵向三个维度对所有影响校园安全的隐患、非法行为进行渗透防御与控制。
校园网管理是随着校园网络的发展历程而变迁的。
校园网的发展经历了最初的计算机房、万兆校园网、数字化校园网等几个阶段,校园网络的管理也从最初的设备管理时代、发展到网络管理时代,再到用户和业务管理时代。
今天的数字化校园已经不再是网络建设,实际上已经朝着资源建设进行转型。
那么数字化校园的管理如何针对网络平台资源、用户资源、数据资源、媒体资源进行统一、有机配置与控制?
建立数字化校园的智能管理中心将是答案!
智能管理中心主要面向四个类别的资源进行统筹管理。
由于过去的校园网并不复杂,能够对网元单位进行配置、发现拓扑结构、触发管理事件、收集日志就够了。
但是今天和未来的数字化校园应用与资源是复杂的,是关联的,一个不能根据资源变化而智能调整的管理系统是无法满足发展需要的。
这种联动要从动态的网络中发现变化、分析应用在网络中运行效果如何、用户在网络中都做了哪些事情……,再根据这些动态信息进行统一资源调配。
1.2.建设需求
学校由诸多楼宇构成。
由于目前的网络结构存在不少单点故障,而且学生入网人数不断增加,导致网络常处于拥堵状态,同时网络缺乏统一管理、网络安全薄弱等问题。
随着学校信息化的快速发展,现有网络已经不能满足学校信息化建设要求。
因此学校决定对现有网络进行升级改造,主要包括以下几部分内容:
1、将现有网络主干从百兆升级为千兆网络,以满足数据、视频、语音等对网络带宽的要求。
2、将接入层交换机更换为智能化交换机,然后结合认证、计费管理系统对上网人员进行认证、计费管理。
3、建设校园数据中心,将一卡通系统、校园信息平台、WEB/MAIL/FTP等服务器放置于数据中心,然后对校园所有服务器采用集中存储系统。
4、采用防火墙对校园数据中心、校园网管中心、校园办公网、互联网、教育网进行逻辑区域的划分,采用访问控制策略对各个区域进行安全防护,并且要求对校园内部网实现四到七层的安全防护。
5、在全网部署统一的网管系统,能够实现对网络设备、安全设备、无线设备进行统一的管理与维护。
2.
设计原则
早期的中等学校校园网主要是共用内部教育系统主机资源,共享简单数据库,简单三层交换,二层无限制交换为主,很少有对网络的结构,性能等进行合理的规划和优化,存在安全、可管理性较差、无业务增值能力等方面的问题。
现在学校校园网建设要实现内部全方位的数据共享,精细划分不同的应用工作区域实现端终接入管理,三层交换,提供全面的QoS保障服务,使网络安全可靠,从而实现教育管理、多媒体教学自动化,而且还要通过Internet实现远程教学,提供可增值可管理的业务,必须具备高性能、高安全性、高可靠性,可管理、可增值特性以及开放性、兼容性、可扩展性。
基于对学校校园网业务需求的深入理解,结合自身产品和技术特点,我们推出了了完善的学校校园网解决方案,为学校提供“高扩展、多业务、高安全”的精品网络。
学校网络建设遵循以下基本原则:
高带宽
学校网络是一个庞大而且复杂的网络,为了保障全网的高速转发,校园网全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。
可增值性
学校网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。
所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的宽带增值业务,使网络具有自我造血机制,实现以网养网。
可扩充性
考虑到学校用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,学校网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。
开放性
技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;
开放的接口,支持良好的维护、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。
安全可靠性
设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。
3.
整体设计
3.1.总体设计概述
学校具体网络楼宇布局如下拓扑:
以上为学校各个楼宇网络布局,网络机房部署在就业喽,就业楼到各办公楼,教学楼,高中楼通过光缆进行部署,接入本楼宇接入交换机。
学校网络解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。
组网图如下所示:
学校网络主要目的是将网络的性能、带宽、主要网络业务进行全网的建设。
网络设计主要包含高品质IP核心网、智能弹性接入网、网络系统综合管理、出口系统接入网等主要部分。
3.2.层次化设计
在校园园区网络整体设计中,采用层次化、模块化的网络设计结构,并严格定义各层功能模型,不同层次关注不同的特性配置。
典型的校园园区网络结构可以分成两层:
接入层、核心层。
同时部署互联网出口区。
1)接入层:
提供网络的第一级接入功能,完成简单的二、三层交换,安全、Qos和POE功能都位于这一层。
对于校园园区网的接入层设备,建议采用千兆三层接入的方式,应该具有线速三层交换、IRF智能弹性堆叠技术以及高级QoS策略等功能。
本次推荐采用H3CS5120-EI系列交换机是H3C公司最新开发的增强型IPv6强三层万兆以太网交换机产品,具备业界盒式交换机最先进的硬件处理能力和最丰富的业务特性。
支持IPv4/IPv6硬件双栈及线速转发,使客户能够从容应对即将带来的IPv6时代;
除此以外,其出色的安全性,可靠性和多业务支持能力使其成为大型企业网络和园区网的接入的第一选择。
S5120-24P-EI,提供24个10/100/1000Base-T以太网端口,实现千兆到桌面,并且具备万兆扩展能力。
此设备可以为网络提供更多的智能特性,如基于策略的VLAN、支持基于端口/流/MAC/VLAN镜像、增强的ACL和端口安全功能等;
并且支持EAD(端点准入检测)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,此设备本身为三层交换机,可讲二层直接终结在接入层,路由方式连接核心交换机。
对于学校学生机房上网这块的部署,采用S5120接入交换机可满足千兆到桌面的接入需求,满足学生机房机器高速互联网的访问。
2)核心层:
网络的骨干,必须能够提供高速数据交换和路由快速收敛,要求具有较高的可靠性、稳定性和易扩展性等。
对于核心层,必须提供高性能、高可靠的网络结构,推荐采用高可靠的RRPP/RPR环网结构或多设备冗余的星型结构。
对于园区网核心层设备,应该在提供大容量、高性能L2/L3交换服务基础上,能够进一步融合了硬件IPv6、网络安全、网络业务分析等智能特性,可为校园园区构建融合业务的基础网络平台,进而帮助用户实现IT资源整合的需求。
如上所示,网络整体架构采用星型设计模式并遵循分区模块化思路。
从架构上,网络监控承载基础平台分为核心层、接入层两层架构,核心层完成各模块各分区之间的快速数据交流,接入层交换机为终端提供快速连接通道。
分区角度看,可分为核心骨干区域、业务接入区域。
以下将整体方案分为核心层设计、接入层设计等方面进行描述。
本次推荐在中心机房部署2台H3CS7503E核心交换机,下连各个楼宇的汇聚交换机。
核心层采用2台华三公司S7503E模块化高端路由交换机构建。
核心交换机延伸到双核心,利用IRF2智能弹性架构虚拟化技术,将两台设备虚拟化为1台逻辑上的设备,不需要配置复杂的MSTP+VRRP协议,即可实现毫秒级的快速收敛。
充分提高网络平台的稳定性,为各项业务提供稳固监视的交换平台。
另外,核心交换机配合双汇聚的设计模式,同时汇聚交换机也部署IRF2技术,形成核心—汇聚端到端的虚拟化,简化网络拓扑结构,维护的IP数量、逻辑设备数量减少一半,便于后期的管理维护。
使用智能弹性架构(intelligentresilientframework,IRF)虚拟化技术,用户可以将多台设备连接,“横向整合”起来组成一个“联合设备”,并将这些设备看作单一设备进行管理和使用。
多个盒式设备整合类似于一台机架式设备,多台框式设备的整合相当于增加了槽位,虚拟化整合后的设备组成了一个逻辑单元,在网络中表现为一个网元节点,管理简单化、配置简单化、可跨设备链路聚合,极大简化网络架构,同时进一步增强冗余可靠性。
网络虚拟交换技术为核心网络建设提供了一个新标准,定义了新一代网络架构,使得各网络都能够使用这种灵活的架构,能够帮助高校在构建永续和高度可用的状态化网络的同时,优化网络资源的使用。
网络虚拟化技术将在数据中心端到端总体设计中发挥重要作用。
S7503E具有全面的MPLS、VPLS业务能力,支持Multi-VRF特性,可以作为MCE设备使用;
支持三层的MPLSVPN和二层的MPLSVPN(Martini、Kompella);
支持MPLSOAM特性,方便用户的管理和维护;
与H3CMPLSVPNManager配合,实现图形化的MPLS部署与维护。
全面支持VPLS,VLL,支持1KVPLS实例,4KVLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层VPN接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。
H3CS7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;
无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3CS7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;
H3CS7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
H3CS7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;
可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
3)互联网出口区:
目前已接入互联网专线100M,核心交换机采用S7503E,互联网出口区域设备就需配置一台高速转发路由器设备,本次推荐采用H3CMSR50-40路由器,MSR(MultipleServicesRouters)多业务开放路由器是杭州华三通信技术有限公司(以下简称“H3C”)专门面向行业分支机构和大中型企业而推出的新一代网络产品。
MSR先进的软件结构与硬件平台,能够在最小的投资范围内为企业边缘网络提供一体化解决方案,更能充分满足未来业务扩展的多元化应用需求,符合企业IT建设的现状与趋势。
企业信息架构正在由C/S模式向B/S模式转变,MSR具备高数据转发能力与高加密能力,很好的解决了转变过程中凸现的网络带宽压力与安全隐患,保障企业关键业务流可以高速、机密的通过广域网传输。
MSR集数据安全、语音通信、视频交互、业务定制等功能于一体,能够在企业网络应用不断丰富的形势下将多元业务方便的部署于同一节点,不仅能够最大程度的避免网络中多设备繁杂异构问题,而且极大降低了企业网络建设的初期投资与长期运维成本。
针对企业用户日益个性化的应用需求,MSR领先集成了可以定制开发的高性能开放业务平台,任何人都可以基于该平台开发自身需要的高级网络业务,企业用户只需安装软件便能在网络中方便的部署相应业务,节省了购置各类高昂专用网络设备的投资。
MSR在突破性提高数据处理能力与插槽扩展性的同时,还能完全兼容原AR的硬件模块与软件功能,为客户提供了最为经济的网络升级方案。
H3CMSR50多业务开放路由器设备均提供两种不同性能引擎的主控板以满足不同性能需求的多业务并发应用。
该产品可以为大型分支机构提供高性能、多业务的一体化网络方案,也可以作为大中型企业的核心网络设备,完成数据、语音、视频等多种流量的广域网交互。
MSR50针对安全数据连接进行设计,采用内置硬件加密功能的CPU和主板上内置的硬件加密引擎,大大提高产品的数据加密性能,同时节省接口插槽。
MSR50在提供高质量数据业务转发的同时,还提供了强大而灵活的VoIP解决方案,客户可在单一平台上为其分支机构灵活地部署程控交换机、模拟电话和IP电话,降低网络运维成本。
另外,MSR50路由器还通过集成以太网交换模块提供二层数据交换功能,实现了真正的路由交换一体化解决方案。
MSR50产品采用H3C成熟商用的软件操作系统,提供丰富的QoS特性,全面支持IPv6,同时大大地增强部署MPLSVPN业务的能力。
MSR50采用OAA(OpenApplicationArchitecture)开放应用体系架构,产品提供了一个公开软硬件接口及标准规范的开放平台,任何厂商与合作伙伴均可以基于此平台开发更为深层智能的网络应用功能,以形成业务定制、优势互补、深度集成、合作共赢。
MSR50路由器还通过OAA架构提供基于路由器的统一通信功能,为用户提供灵活的语音呼叫处理、IP-PBX、IP电话会议和即时通讯等功能一体化的开放通信解决方案。
图H3CMSR50-40路由器
校园安全渗透网络设计
在规划学校网络安全系统时,我们将遵循以下原则,以这些原则为基础,提供完善的体系化的整体网络安全解决方案:
●体系化设计原则
通过分析信息网络的网络层次关系、安全需求要素以及动态的实施过程,提出科学的安全体系和安全模型,并根据安全体系和安全模型分析网络中可能存在的各种安全风险,针对这些风险以动态实施过程为基础,提出整体网络安全解决方案,从而最大限度地解决可能存在的安全问题。
●全局性、均衡性原则
安全解决方案的设计从全局出发,综合考虑信息资产的价值、所面临的安全风险,平衡两者之间的关系,根据信息资产价值的大小和面临风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。
●可行性、可靠性原则
在采用全面的网络安全措施之后,应该不会对学校原有的网络,以及运行在此网络上的应用系统有大的影响,实现在保证网络和应用系统正常运转的前提下,有效的提高网络及应用的安全强度,保证整个信息资产的安全。
●可动态演进的原则
方案应该针对学校制定统一技术和管理方案,采取相同的技术路线,实现统一安全策略的制定,并能实现整个网络从基本防御的网络,向深度防御的网络以及智能防御的网络演进,形成一个闭环的动态演进网络安全系统。
3.3.核心交换机强大内置安全特性
逐包转发机制防止病毒冲击
S7500路由交换机是采用了逐包转发的机制,它和传统的流转发机制在安全性方面有着更本的差异。
流转发主要存在下面两个问题:
(1)、在网络拓扑频繁变化时,设备的适应性差,转发性能下降严重;
(2)存在一定安全隐患问题,尤其在网络遭受到类似“红色代码”这类病毒攻击时问题尤为严重。
流转发为一次路由多次交换,它的特点是一旦查找一次路由后,就把查找结果存放在CACHE里,以后同样目的地址的包就不用重新查找,直接采用类似二层交换的技术,直接转发到目的端口去。
如果路由表项几乎不变化,则可通过上面所述的硬件精确匹配的方式能够很快的速度进行查表转发。
但是如果应用的情况为路由表项经常出现变更的情况,就会导致无法通过硬件的精确匹配的方式查找到路由,这时三层以太网交换机的就会转为通过CPU软件进行路由查找,查表和转发速度就会急剧下降。
这是工作基本上是处于靠CPU软件进行路由的“多次慢路由”的情况。
也就是说三层交换机在进行数据报文转发时主要根据数据报文的五元组特征进行精确命中数据转发,对于“红色代码”病毒攻击时由于其病毒报文的端口号是频繁进行变换,其五元组信息始终处于一个不停变换阶段,这样导致三层交换机CPU不停进行路由查找,由于这类报文另外一个特征就是短时间内产生大量报文,从而最终导致三层交换机CPU在转发过程中瘫机,同时这台交换机下挂的三层交换机同样接收到大量病毒报文,基于上述原因其CPU转发引擎也将瘫机。
与此同时当上层交换机从转发报文中缓解过来时而下层交换机又处于瘫机中,这样网络路由必然就会出现较大振荡,交换机转发性能急剧下降,最终导致所有交换机瘫机,整个网络不可用。
对于采用网络拓扑驱动的路由交换机而言由于采用逐包转发,进行的是最大匹配方式路由查找,当数据报文端口号进行变换的情况下,对路由器转发不造成影响,所以一旦遭受“红色代码”病毒攻击时没有任何问题。
升级会员 