xx教育局城域网建设方案最新.docx
《xx教育局城域网建设方案最新.docx》由会员分享,可在线阅读,更多相关《xx教育局城域网建设方案最新.docx(32页珍藏版)》请在冰豆网上搜索。
xx教育局城域网建设方案最新
前言
信息化是当今世界经济和社会发展的大趋势,在知识经济时代,信息化已成为科学发展的重要基础。
互联网和多媒体技术已成为拓展人类能力的创造性工具。
在信息技术快速发展的影响下,传统的教和学的模式正在发生重大的变革,教育面临着有史以来最为严峻的考验,将信息化技术与教育相结合,正在成为当今中国教育改革和发展的关键组成部分,改变着传统的教育模式。
越来越多的城市已经认识到实施教育信息化工程是教育强市的有力保证,是促进教育改革和发展的重要途径,是实现教育现代化的必由之路。
正是基于这样的认识,为了抢占新世纪现代教育的制高点,体现教育信息化建设的前瞻性,必须重新规划、建设xx市教育城域网,更好地为新课程改革服务,推动xx教育的跨越式发展。
教育城域网是把同一地区或同一城市内所有学校、研究机构、本地的教育机构通过网络互联,使教育资源整合、开放、共享,达到整体信息化的集成运用的宽带网络。
主要作用就是将本地区的教育机构全部联到网络中,最终形成一个区域性的互联、互动、信息交换、资源共享和远程教育的基础构架。
在实施城域网建设之前,xx市大多数校园网上的应用非常有限,学校原有一些计算机业务系统的功能并没有得到充分发挥。
只有将xx市教育系统信息化建设进行统一规划,内部资源做最优化的整合,才能切实提高xx市教育局及所辖学校各项业务水平。
因此,xx市教育系统城域网需要建设的项目包括:
xx市教育系统网络中心;建设市、乡教育系统的局域网;建设各学校的校园网,并将各个学校与教育信息网相连。
总之,xx市教育城域网是将系统内各种不同应用的信息资源通过高性能的网络设备相互连接起来,形成教育系统内部的Intranet系统,对外通过路由设备接入广域网、CERNET和INTERNET。
一、建设目标
完善xx市教育城域网。
继续建设并完善xx市教育网络中心平台,上连xx市教育网,下连各校园网,构建覆盖全市中小学、职业技术学校、各类成人教育机构的城域网。
两年内达到95%以上的学校实现学校与学校、学校与网络中心的网络系统的互联互通。
建设教育资源库。
建设教育局主页和各级各类学校网站,积极推进我市学科教学资源库、师生基础数据库和校产管理数据库建设,形成共建共享与全市教育信息化发展相适应的教育教学资源建设和管理体系。
为确保教育城域网最大程度服务于教育信息化改革和提高教学质量,建成后的教育城域网必须满足以下功能:
● 提供学校接入服务:
加强单独校园网的功能并丰富其内容,充分实现整个区域教学资源平台的整合和共享。
● 提供丰富的教育资源:
提供网络教学、远程教育、教学资源库、辅助教师备课系统、学校信息平台等不同形式的资源服务于教学,并能够开展多媒体音视频教学。
● 提供先进的管理手段:
通过对全网网络设备的集中管理和有效监控,以及辖区内中、小学教育系统人事管理、财务管理、甚至全区学生学籍档案管理等教学服务管理,确保教育城域网的稳定和可持续发展。
● 对外信息交流和数据交换:
实现内外部信息的有效互通和共享,促进教育信息化发展。
二、建设焦点和原则
教育城域网不仅要支撑教育办公自动化系统(OA平台)、教育管理基础数据库系统(MIS平台)、虚拟校园网络教学支撑平台等典型数据应用,同时也承载着电视会议系统、视音频点播系统、校园联网监控等多媒体系统应用。
新业务的扩展也对教育城域网的建设提出了新的要求,在教育城域网建设过程中,建设者的目光逐渐聚焦到这样几个关键词上:
安全、可靠、易管理、全业务。
首先是安全,教育城域网普遍面临着网络病毒泛滥、DoS攻击、广播包等大量的安全问题。
如何在互联网出口、数据中心和终端接入等各个层面统一部署安全策略,就成为教育城域网建设中需要首要考虑的问题。
其次是可靠,教育城域网业务要求越来越高,对基础网络系统的稳定可靠要求也越来越高。
在网络设计中选用高可靠性网络产品,设备充分考虑冗余、容错能力;合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的正常运行。
第三是全业务,教育城域网建设的目的不仅仅是建成宽带、先进、专业的高度信息共享的网络互联系统,实现普教系统高效率的教育政务网,同时也要实现教育教学多媒体资源的高度共享,实现信息化课程开发和多媒体网络远程教学。
这就要求教育城域网不仅要实现三网合一的数据传送和多媒体通讯,而且要建设统一的数据中心,也要建设城域网视频联网监控。
因此,教育城域网的建设必须遵循以下原则
● 技术先进、稳定可靠:
在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,在网络设计中需要合理设计网络架构,最大限度地支持系统的正常运行,网络能在建成后较长时间不落后,更长时间可用,从而具有强大的生命力。
●深度安全,全面防护:
只有确保所有教育资源和管理信息的安全,才能实现教育城域网的正常运行,网络的安全需求主要体现在以下几个方面:
数据安全需求,整个网络系统要有防病毒的能力,对于重要的数据和核心的应用服务要有完善可靠的加密和备份机制;系统安全需求,能够防止网络“黑客”非法入侵、破坏和非授权访问;绿色上网需求,营造一个既能让学生绿色上网,又不影响网内其它用户正常使用网络的安全方案;追踪管理需求,健全用户上网信息可追踪机制,确保上网信息不出轨。
● 网络融合,多网合一:
建设一个统一的通讯平台,包括基础网络平台、多媒体应用、视频监控、安全规划、统一存储等。
●统一标准,集中存储:
因为网络工程规模与投资大,要满足分步实施、不断扩展的要求,在网络不断发展、更新的同时,通过集中存储方案、系统备份与恢复方案、数据连续保护方案(CDP)等,在保护已有设备投资的情况下安全无缝的顺利升级到性能更高的网络结构,保障城域网数据系统安全可靠运行。
●智能管理,简便易用:
充分考虑教育城域网用户的特点和运行的业务,通过统一的智能管理平台,建设可运营可管理的网络,实现对城域网统一、有效的、方便的管理。
三、主要任务
把xx市网络中心建设成为集网络管理中心、网络教育教学中心、教育管理基础数据中心、教育资源中心、教育信息交流中心、远程教育中心、网上教师培训中心、对外发布中心于一体的数据中心和应用平台。
建设各学校的校园网,将各个学校全部与教育信息网互连,并经教育局统一出口。
通过建立城市教育信息网,实施校园网工程,
培训网管人员和实用人员,加速实现办公现代化,充分提高工作效率。
构筑学习型的社会,为xx的基础教育、职业教育、成人教育和教师的继续教育培训提供最好的网络学习环境。
建成后的xx市教育城域网的网络系统,应具备以下典型的网络功能和服务:
网络的可靠性、网络服务质量保证(QoS)、可扩展性、网络的安全性服务、网络管理服务、实现内、外网科学隔离、在网上可为xx各学校提供广泛的教学资源和数据共享、网络远程教学、网络视频会议、网上备课、电子邮件、FTP、网络论坛、网络图书馆、网络电话(IP电话)等在内的功能),可为各用户提供多种访问形式,实现xx市内各学校之间的信息资源、教学资源、设备资源的安全可靠的共享。
3.1教育城域网中心与校园网职能
⏹教育城域网中心职能
教育城域网平台是网络管理中心、网络教育教学中心、教育管理基础数据中心、教育资源中心、教育信息交流中心、远程教育中心、网上教师培训中心、对外发布中心于一体的数据中心和应用平台。
也是学校接入教育网的平台,是连接学校与教育网的桥梁。
并对信息资源、数据流量进行管理,积极开展网上教育教学应用,发挥网络优势和功能,能及时对学校的网络安全提供有效的防范措施。
教育城域网中心结构图
⏹校园网职能
①教务、行政管理;②教师备课、教学、科研;
③学生网上学习; ④内外交流。
3.2教育城域网建设重点
⏹xx教育城域网建设
xx市教育城域网是以xx市教育网络中心平台为核心,上连xx市教育网,下连各校园网,覆盖全市中小学、职业技术学校、各类成人教育机构的城域网,我市教育系统的自公自动化系统、网上资源库、电子备课等应用全部运行在教育城域网上,教育城域网是我市教育信息化的基础。
⏹xx教育网门户网站系统建设:
xx教育网作为我市的教育门户网站,是我市最主要的教育外宣,也是我市教育工作者进行信息交流、信息获取的主要平台。
作为教育公众网的信息服务平台,作为一个面向社会、学校和广大师生家长的一个对外窗口,xx教育网在内容和形式上要充分体现xx市教域网的特色,成为对外展示xx教育信息化建设成果、发布教育信息的重要窗口,能够及时公布国家、省和当地教育方针、政策和其他相关信息。
⏹办公自动化系统
建成后的办公自动化系统将我市教育系统内实现无纸化办公。
教育城域网系统应该能够为教育管理人员提供服务,因此我们在建设规划中提供了行政办公系统,为教育局的行政办公提供支持。
行政办公作为进行教育领域日常事务处理、公文流转、办文、办事、办会的重要系统,将贯穿市教育局和学校,成为各个层面用户进行行政办公的重要平台。
⏹教学资源库
建立我市教育资源库,为一线教师提供服务为了满足xx教育局对各中小学校教育资源整合的迫切需求,我们在建设中要并整合多媒体教学资源、基础教育知识库以及电子图书馆系统等各类资源。
在各中小学逐步建立校园网的基础上,以教育信息网络中心为核心的城域网络,通过教育资源库系统实现教育资源的整合与共享。
让各学校可以通过网络交流发挥各校的优势,全面提高全市的整体教育水平。
⏹建设教育网的安全体系
根据国家信息安全保障体系框架,与网络建设同步规划,充分利用认证、访问控制、加密、入侵检测和审计等安全技术,按照需求提供多层次的安全加密和防范功能,逐步建立应急处理和数据灾难备份系统,确保网络和信息的安全。
四、xxxx的综合解决建议书
1、教育城域网网络架构
1.1总体思路
xx市教育城域网工程中的带宽规划是:
千兆到市教育局网络中心,百兆到中学和中心小学(教办),10M级到农村,以此满足初期不同层次用户的需要。
教育城域网的网络中心,我们要把它建设既是连接各学校校园网网站、全市中、小学信息网站的一个门户站点,又是教育信息资源中心和管理中心。
它实现整个教育城域网的Internet接入,同时通过信息过滤和网络安全,保证教育网的安全性和可靠性。
在规划中,既考虑国际发展趋势、紧跟世界信息化的进程,又结合了xx市教育的现状和发展规划。
该网站是在充分利用现有光纤宽带通信网资源的基础上,采用先进的Internet技术,大力发展网上信源建设,加强用户管理和安全管理,使之成为集办公管理、教育、教学等功能于一身的、可提供包括宽带多媒体内容在内的多种业务的、安全、可控的教育宽带信息网。
各学校校园网通过光纤接入网络中心,并由市网络中心统一提供出口,出口设在网络中心为双线,一路千兆直接连接Internet互联网,另一路为千兆与市现代教育技术中心连成全市教育城域网。
多媒体教室包括多媒体网络教室、多功能电子教室和班班通教室,通过这几个教室将广泛的教育资源真正的为教育服务。
1.2.网络建设(改造)方案
根据校园网的分类,可以采用多种网络架构,根据上面的分析在校园网建设中主要采用基于第三层交换的千兆以太网结构。
其网络架构如下图。
图中所示的网络结构中,骨干交换机和二级交换机及连接骨干交换机和二级交换机的光纤构成城域网的骨干,二级交换机及其下的三级交换机以及所连接的设备构成工作组网。
整个教育城域网具有可运营、可管理的开放式结构。
分层的网络结构是大型网络设计的基本原则。
分层的网络结构可以获得良好的网络扩展性,便于对网络的变化进行预计和规划。
xx市教育城域网服务于整个xx市,具有地域广、应用复杂、接入方式多样的特点。
网络的建设需要着眼于将来,必须能进行方便的扩展,接纳各种不同的用户和应用,因此xx市教育城域网的设计上我们采用分层结构。
城域网划分为核心层、汇聚层和接入层。
1)城网核心层功能及结构
城网核心层处于城域网的中心,负责进行数据包的快速交换、转发,实现与CHINANET/CERNET的互联,是整个城域网的核心,应具有较高的安全性和可扩展性。
在拓扑结构上采用树型网状网络连接。
2)汇聚层功能及结构
汇聚层节点实现以下一项或多项功能:
a、扩展核心层设备的端口密度和种类;
b、扩大核心层节点的业务覆盖范围;
c、汇聚教育局不属各类中小学校;
d、实现接入用户的可管理性,当接入节点设备不能保障用户流量控制时,需要由分布层设备提供用户的流量控制及其他策略管理功能。
3)接入层功能及结构
接入层节点的设置主要是为了接入直接用户和进一步扩展城域网的覆盖范围,将不同地理分布的具体学校用户快速有效的接入,采用星形方式与分布层相连。
1.2.1核心节点设计
核心层的主要目标是提供高速、可靠的传输平台,负责连接分布层节点的接入,该层的节点设备应具备线速无阻塞的路由转发性能,负责为全网的数据转发提供高速的通道。
并能提供流量工程能力,本层需要对多种接入技术支持如高密度Ethernet,xDSL,Cable等,汇聚各种流量进入核心层。
负责连接市区域内重点学校和教育局的接入设备,该层的设备除了实现线速的路由转发外,还要负责网络中大部分的控制和服务处理,如ACL、QOS、速率限制和基于策略的路由,MPLSVPN等等。
针对xx市教育主管部门对教育城域网的要求和我们对教育城域网的认识,我们建议采用千兆路由第三层交换设备QuidwayS9306作为xx市教育城域网的核心。
以满足全市一万多用户对各种教育资源的使用和教育管理网络化的需求。
1.2.2高速主干网络通道
1台华为Eudemon1000E防火墙,路由网络设备之间采用1000M端口互连,构成一个负载分担、冗余备份的2G连接线路或者1000M环路,保证核心节点间的通信带宽要求及安全要求。
并通过两路1000M光纤接入公网和市教科网。
1.2.3分布层节点
教育城域网在很大程度上是一个繁忙的多媒体网络,它有60%甚至80%以上的流量要经过路由,采用传统的路由方式连接各接入节点必然导致大量数据在路由器上汇集,发生堵塞,从而导致丢包,会大大限制多媒体应用,因此必须采用先进高效的路由技术,保证分布层畅通无阻。
由于学校发展的特点,在城域网建成之后,各个学校的网络资源将呈爆炸性增长,在城域网信息集中的过程中将担任重要的位置,尤其象xx市第一中学、xx市职业教育中心这种重点学校,本身就已经有了较为成熟的教育网络,平常的网络使用非常频繁,他们不但要成为教育城域网的使用者和受益者,同时他们还将成为教育城域网中大量教育教学资料的提供者,因此将他们作为重要的分布层节点设计,采用和市级中心同等的配置,直接与中心交换机汇接;同时考虑到网络功能的可扩展性,对于以后不断出现的新的应用,必须要求网络设备有很好的诸如QOS、粒度控制等先进的功能,这都不是普通网络设备所能提供的,所以在这次的教育城域网建设中,校园网的中心也将作为一个分布层节点来建设。
基于以上原因,我们采用华为QuidwayS3300路由交换机作为这一类校园的节点设备。
第三层交换技术分析
第三层网络路由交换机的出现为大型多媒体网络提供了新的解决方案。
通过使用第三层路由交换机,可以大大提高IP包的转发速度。
第三层交换技术可以分为两类:
基于包的交换和基于流的交换。
基于包的交换
采用与传统路由器相近的交换方式,对每一个包进行检查。
第三层交换机凭借先进的AISC技术,对IP包直接进行芯片道路级处理,速度大大高于路由器采用的基于CPU的处理方式,能够提供全线速的转发,避免发生堵塞和丢包;同时完全兼容路由器的RIP1和RIP2协议,能够与传统路由器进行相互的自学习,掌握整个网络的路由信息。
采用基于包交换的第三层交换机,网络的配置、设备和软件都不需要变动,能够实现基于包的安全控制。
基于流的交换
当需要进行跨路由数据传输时,第一个包进行常规路由处理,后续包直接进行转发。
在处理器性能不高时,基于流的交换是一种常用的提高路由的方法,但是有极大的缺陷:
没有通用标准,与路由器技术不兼容,无法与路由器自动交换路由信息;需要支持基于流交换的网卡和驱动程序;安全性能低,不支持先进的网络安全控制。
因此高性能网络不应该采用基于流的交换。
1.2.4.汇聚层网络通道
为教育城域网提供光纤作为网络的汇聚层主干通道,汇聚层节点通过100兆(后期可扩容到1000兆)光纤接入网络中心。
1.2.5接入层节点
这层节点对于教育城域网是接入层节点,但对于xx市各所学校内的校园网络,却是校园网中核心节点,针对校园网中的大量多媒体数据传输,尤其要支撑校园中的课堂视频辅助教育服务,需要它具有一定的数据吞吐能力,同时为了便于减少城域网中设备的管理压力,减少校园级的网络管理负担,最好这层的交换设备具有网管功能,这样可以通过市级的网络中心直接对设备进行管理。
同时为了满足校园网中联网终端不断增加的压力,具有堆叠功能的设备将提供更加优异的扩充性。
1.2.6接入层网络通道
这层节点通过10M/1000M光纤接入市网络中心。
1.2.7辅助/备份网络通道
对于教育城域网,用户需要比较稳定的网络通道,建议对市教研网、和重点学校的连接提供至少两对光纤,这样建立起完整的冗余备份通道。
大大提高用户的使用可靠性。
1.2.8集中式网络管理
鉴于目前各学校网络管理员对交换机管理和配置以及安全性的需要,该网络具备一整套智能、高效、高性能的统一安全网络管理策略。
支持从顶端到底层的分层分级管理,即电教中心(也可委托移动机房)可以通过核心交换机对全网所有次级及下一级交换机进行全权管理,也可只管理次一级交换机,而将下一级的管理权限下放至各校;各校只对自已的交换机有管理权,没权管理到上一级设备。
此策略支持对全系列安全设备和主流网络设备的拓扑管理、网元管理、性能管理、集中策略配置管理、故障管理、VPN管理等功能。
直观展现网络架构,帮助管理员快速定位网络故障,提升管理能力,提高工作效率,降低维护成本,为用户提供一个对全网设备高效管理的平台。
1.2.9网络安全(用户行为日志)
随着网络的发展,针对主机系统、数据库、Web服务器的各类安全事件层出不穷,例如后门木马、SQL注入、网页篡改、内部人员篡改数据等,如何及时发现并制止这类安全事件,一旦发生日后怎样进行调查取证?
信息化时代的到来,企业信息化建设不断加强,各类应用系统(业务系统、OS、DB、Web服务器等)、安全设备(防火墙、UTM、IPS、IDS、VPN、DPI、AV等)、网络设备(路由器、交换机、接入设备等)不断膨胀,迫切需要一套全面统一的日志管理系统,管理从网络层、系统层到应用层的所有资源日志。
针对这些现状,通过深入调研、问题收集以及详细分析,我们选择华为SecowayeLog日志管理和安全审计解决方案
SecowayeLog系统由日志服务器(LogServer)、日志采集器(LogCollector)、控制台(Console)、行为审计探针(Probe)四部分组成。
项目
组件说明
日志服务器
负责审计事件管理,告警管理、报表管理、用户管理和系统管理等功能,操作系统支持WindowsServer2003R2标准版SP2,以及WindowsXPProfessionalSP2。
日志采集器
负责日志采集、分类、过滤、归并、告警和流量统计等功能,操作系统支持WindowsServer2003R2标准版SP2,以及WindowsXPProfessionalSP2
行为审计探针
采用网络流量镜像方式,对应用协议HTTP、FTP、Telnet进行还原以及基于这些协议对Oracle、Sybase、MSSQLServer、DB2、Informix的数据库操作进行还原、监控与审计。
控制台
通过MicrosoftInternetExplorer(6.x以上版本)访问日志管理系统,操作系统支持WindowsXPProfessionalSP2
典型组网
SecowayeLog采用分布式架构设计,支持集中式或者分布式组网,通过灵活的部署模式满足用户不同网络环境下的部署要求。
集中式部署:
适用于被管理设备相对集中,网络环境相对简单的情况下进行部署,将日志服务器、日志采集器、行为审计探针集中部署,满足客户对安全设备、网络设备或者主机、数据库等日志管理和审计需求。
教育城域网内的PC终端分配静态IP地址,SecowayeLog部署在专用服务器上,并与核心层交换机连接,即可对每个PC终端的网络访问行为进行记录,记录时间为60天。
其主要功能如下:
Ø有效的用户行为监管,帮助客户掌控内网用户行为和外部入侵攻击行为
Ø精确的NAT日志管理,满足司法、审计部门要求
Ø采用磁盘柜或NAS等IP存储设备,提供海量日志存储能力,满足客户对日志的存储要求
Ø灵活组网部署,不影响现有网络结构
1.2.10广域连接
中心网站建设在网络中心,连接CERNET、CHINANET。
同时各个基层单位也可以利用VPN技术,通过因特网来访问中心网站,充分利用了网络运营商的线路资源,降低了成本与维护难度,并实现了数据的高度安全性。
为此我们选择华为Eudemon1000E系列高端防火墙作为连接远程用户的通道。
其先进的多核硬件架构和多线程并行处理能力可满足多种高速转发的网络应用要求,充分满足用户网络对带宽高速增长的需要。
按照教育城域网的层级,网络中心采用多层网络交换设备搭建网络平台,网络中心设置WEB服务器、邮件服务器、FTP服务器、域名服务器以及数据库服务器,为系统内授权用户提供检索、邮件、域名解析等服务。
网络中心设有网络资源和应用开发系统,完成教育信息资源的开发和制作。
通过建立通信公网的VPN隧道与CERNET路由器相连,实现网络管理中心与CERNET网络互通.设立远程教学应用系统,提供包括实时视频授课、多媒体课件点播、网上习题、网络答疑、模拟考试、作业提交等多种教学应用。
1.2.11xx教育城域网方案实施
第一批教育城域网接入采用三级方式组网,即各乡镇汇聚点安装QuidwayS3300系列交换机(48个以太网口,上联需要配置1块千兆80KM传输距离的光口模块)与乡镇各中学及中心小学的QuidwayS2300系列交换机(24个以太网口,上联需要配置1块百兆40KM传输距离的光口模块)通过光缆+光电转换器进行连接,带宽配置百兆、十兆到镇级中学和中心小学(教办),用户侧连接校园内局域网,接口为100M以太网口和10M以太网口。
各个乡镇的QuidwayS3300系列交换机通过xx市移动光纤网络与市教育局采用QuidwayS9306三层交换机进行连接。
托管在移动大楼机房的服务器集中到一台QuidwayS2300系列交换机通过光缆连接到QuidwayS9306三层交换机。
QuidwayS9306三层交换机与防火墙连接后,接入INTERNET和市教育城域网。
2、xx教育综合门户网站建设
本次建设方案重点是把教育局网络中心建设成xx市教育综合门户网站,同时,教育信息网络中心具有网络管理能力,负责对整个xx教育城域网的管理、调控、调度。
每个联接到xx教育城域网的学校(单位)称为一个节点。
全市共有约140所中小学校(包括村小、小学教学点),所以,xx教育城域网共有140个节点。
网络中心建成以后与全市所有
升级会员 