备考教育城域网方案

1、*教育城域网建设设计方案目录前 言1【第一部分 城域网建设综述】2第一章 项目概况3一、*教育城域网建设内容3二、*教育城域网建设原则3三、*教育城域网业务分析5四、*教育城域网建设目标7第二章 *教育城域网整体解决方案8一、云计算数据中心建设方案91.1 数据中心对于城域网的战略意义91.2 数据中心的要点91.3 数据中心部署10二、网络平台建设方案152.1城域网整体拓扑结构152.2组网概述152.3详细设计172.4运营商具体要求182.5教育局端建设要求192.6学校端具体要求19三、城域网综合安全建设方案203.1风险分析203.2 统一安全设计原则233.3 网络层安全解决方案

2、24四、城域理中心建设方案294.1 系统安全管理314.2 系统管理324.3 系统拓扑管理34-I-*教育城域网建设设计方案4.4 系统性能管理364.5 设备管理组件38五、IP 地址及路由. 395.1IPv4 地址. 395.2IPv6 地址. 415.3IPv4 路由. 425.4IPv6 路由. 42六、组播与 QOS. 436.1 组播业务436.2 QOS 优化43七、各学校接入网45【第二部分 城域网建设内容】46第一章 网络中心建设47一、数据中心网络拓扑471.1 中心交换机471.2 中心. 471.3 中心服务器区域481.4 区中心教育局办公区域48二、软件系统4

3、82.1 系统总体需求482.2 具体功能要求492.3.1 教育局版492.3.2 多学校版512.3 办公管理平台532.3.1工作532.3.2 信息中心542.3.3. 552.3.4 办公管理562.3.5 人事考勤管理57-II-*教育城域网建设设计方案2.3.6 学校信息602.3.7 系统管理602.4库管理系统622.4VOD 点播系统682.5校务管理系统702.5.1 功能特点712.5.2 系统界面732.6 网络备课授课系统732.6.1 性能特点732.6.2 功能特点752.7发布系统772.7.1 性能特点772.7.2 功能介绍782.8 校园排课系统792.

4、8.1 性能特点802.8.2 功能特点81三、中心机房装修82四、中心机房防雷接地854.1 设计依据864.2 机房电源一、雷电防护864.3 机房电源三级雷电防护874.4 信号系统防雷设计874.5 机房接地874.6 机房供电88第二章 各学校建设89一、各规模学校网络建设891.1 城区学校891.2 乡镇小学校90二、校园综合布线90-III-*教育城域网建设设计方案【第三部分会议建设内容】错误!未定义书签。第一章 前言错误!未定义书签。一、项目概述错误!未定义书签。二、组网需求错误!未定义书签。三、设计依据错误!未定义书签。四、方案特点错误!未定义书签。4.1 先进性错误!未定

5、义书签。4.2 兼容性错误!未定义书签。4.3 安全性错误!未定义书签。4.4 可靠性错误!未定义书签。第二章 方案设计错误!未定义书签。一、设计原则错误!未定义书签。1.1 先进性原则错误!未定义书签。1.2 标准化原则错误!未定义书签。1.3 安全性原则错误!未定义书签。1.4 可靠性原则错误!未定义书签。1.5 灵活和可扩展性原则错误!未定义书签。1.6 易操作性原则错误!未定义书签。1.7实用性原则错误!未定义书签。二、组网方案错误!未定义书签。2.1 组网拓扑图错误!未定义书签。2.2 组网说明错误!未定义书签。2.3 各分会场（学校）： 错误!未定义书签。三、系统主要应用介绍错误!

6、未定义书签。3.1 点对点会议错误!未定义书签。3.2 全网多点会议错误!未定义书签。3.3 分组会议错误!未定义书签。3.4 讨论会议错误!未定义书签。3.5 自助式会议错误!未定义书签。-IV-*教育城域网建设设计方案3.6 预议错误!未定义书签。3.7 定时会议错误!未定义书签。3.8 桌面会议错误!未定义书签。3.9培训错误!未定义书签。3.10多信息点播错误!未定义书签。四、系统主要功能介绍错误!未定义书签。4.1 会议功能错误!未定义书签。4.2 双流功能错误!未定义书签。4.3 短消息功能错误!未定义书签。4.4 数字横幅和字幕功能错误!未定义书签。4.5 多画面显示错误!未定义

7、书签。4.6 动态速率调整错误!未定义书签。4.7 智能丢包恢复错误!未定义书签。4.8 流功能错误!未定义书签。4.9 会场功能错误!未定义书签。结束语：错误!未定义书签。-V-*教育城域网建设设计方案前言以知识和信息的生产、应用为基础的知识占据着世界发展的主导地位，综合国力和国际竞争能力更是取决于教育、科学技术和知识创新的水平，教育在和发展进程中起着越来越重要的作用。随着现代信息技术的高速发展，信息化技术与教育相结合，正成为中国教育和发展的关键组成部分，改变着传统的教育模式。“育人、创新、促进公平、提高质量”是十二五教育和发展的工作方针，教育城域网利用多技术、网络技术等，将本地区的教育机构

8、、研究机构全部通过网络互联，使教育整合、开放、共享，达到整体信息化的集成运用的宽带网络，最终形成的一个区域性的互联、互动、信息交换、共享和教育的基础架构，为教育行业实现再次飞跃提供了新的思路和发展方向。2012 年 10 月，为进一步推动我国计算机网络及其应用技术进步，促进教育信息化的发展，中国教育和科研计算机网 CERNET 第学术年会在山西隆重召开，大会上对移动互联网与云计算的发展做了分析，对省网中心和各校过去一年信息化建设所作的工作给予充分肯定，并对今后全省信息化建设提出了指导性意见和要求。希望各校进一步加强信息化建设的力度，为建设统一集中、安全可靠、应用广泛、服务师生的数字化校园作出新

9、的贡献。随着、通讯技术和网络技术的快速发展，教育信息化建设已经由校园的网络建设扩展到区域和城域的网络建设，教育城域网建设及教育的开发已经成为衡量教育信息化水平的一个重要标准。在和省教育主管部门的大力推广和支持下，我省已有多个地级市和区县建设完成了本地市、县级教育城域网；以信息化带动教育的现代化，以信息化保障新课程和实施素质教育，是事关实现教育公平和促进义务教育均衡发展的重要方式，是真正发挥电教系统“支持服务体系”重要职能的体现，是体现本地区教育水平的重要标志，教育城域网的建设已到了刻不容缓的时候。-1-*教育城域网建设设计方案【第一部分城域网建设综述】-2-*教育城域网建设设计方案第一章 项目

10、概况一、*教育城域网建设内容目前，全球已掀起一股信息高速公路和建设的，随着的飞速发展，、引入云计算思想，将池化，搭建一个快速的数据中心。而且我国大多数省市已经逐渐对教育城域网建设提到议事日程上来。根据党的提出：“要努力办好满意的教育，教育是振兴和进步的基石。要坚持教育优先发展，全面贯彻党的教育方针，坚持教育为现代化建设服务、为务，把立德树人作为教育的根本任务，培养德智体美全面发展的建设者和人。全面实施素质教育，深化教育领域综合，着力提高教育质量，培养学生创新精神”的要求，全省各地市采用先进设备，搭建一个安全、稳定、先进、健康的教育城域网络。经过广大师生的切身使用，城域网在教学中发挥出很多功能和

11、优势，确实能够满足“班班通、堂堂用”的要求，得到了广大师生的一致好评。此次*教育城域网建设的主要内容是：以*教育局为中心，通过运营商通信线路向城区及周边的乡（小学扩散，最终实现网络的；利用城域网信息综合平台和教育库，实现全区范围内的教育共享和城乡教育均衡发展；保证*所属的教学机构、办学能够*教育局的，通过“班班多”、“校校通”等方式提高*的整体教育风貌和信息化建设水平。*通过教育城域网的，将把全区的教育、教学水平和教育行政管理水平整体推上一个新台阶，加快全区教育现代化的进程，实现全区的教育信息化。二、*教育城域网建设原则教育城域网连接了其下属中小学内包括教学楼、办公楼、实验楼、馆等大量的信息点

12、，学校管理、教育科研、电子教学、教育和互联网的引入以及对外技术交流与合作服务等大量业务的开展，要求网络必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。-3-*教育城域网建设设计方案为实现网络高质、高效互联的目标要求，在网络设计构建中，应始终坚持以下建网原则：高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络，设备充分考虑冗余、容错能力；合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。网络设备在出现故障时应便于诊断和排除，充分体现计算机网络的高可靠性。性教育网是基于各学校为网元构建起来的面向教育系统的

13、大型网络，性是教育网需要考虑的一个基本特性。性在教育网中体现在两个方面：一是整个教育网网络对于外部网络而言是一个物理上的实体，单独并唯一的实现对整个教育网的统一网络管理；二是各学校做为教育网的基本网元在物理上也应该具有一定的性，这一方面是为了教育网网络的稳定而做的考虑，网络各层次之间的依赖关系越低整个网络的稳定性也就越强；同时也为以后各学校结合自身特点开展的特色打好基础。技术先进性和实用性在保证满足校园业务、应用系统业务的同时，要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑网络应用的现状和未来发展趋势。高性能骨干网络性能是整个网络良好运行的基础，设

14、计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、图象）的高质量传输，才能使网络不成为业务开展的瓶颈。标准开放性支际上通用的网络协议、路由协议等开放的协议标准，有利于保证与其它网络(如中国教育网、公共数据网、学校之间等其它网络)之间的平滑连接互通，以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动。强 QOS、强组播特性教育网因为对、音频等多业务的需求较大，-4-*教育城域网建

15、设设计方案所以整个网络具有较完善的 QOS 特性对教育网而言就显得尤为重要。能不能对关键业务进行带宽优先保证尤其是那些对时延敏感的业务进行保证是教育网必须考虑的一个重点，为实现区别服务，整网端到端的 QOS 特性机制是优质网络业务的保证。另外组播特性对于有效的保证多流传输性能和节省带宽也有非常重要的意义，基于组播的特性也会进一步保证组播流的、管理和安全，从而为实现教育城域网的多业务支持提供保障。安全性制订统一的策略，整体考虑网络平台的安全性。保证关键数据不被窃取、篡改或泄漏，使数据具有极高的性。兼容性和性兼容性，能够最大限度地保证学校现有各种计算机软、硬件的可用性和连续性，为不同的现存网络提供

16、互联和升级的（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络，发挥主干网的优势。性，就是在充分利用现有的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。三、*教育城域网业务分析结合当前教育信息化现状，确保教育城域网最大程度地服务于教育信息化改革和提高教学质量，教育城域网必须满足以下功能：实现 IT的集中部署和分发传统各个学校自行服务器、软件的方式构建的 IT 系统，无法实现有效的整合。软件系统本身之间完全割裂，形成孤岛；而硬件系统的割裂则无法充分发挥硬件的利

17、用率，往往造成的浪费。城域网可成为的共享平台。通过集中部署硬件系统和软件系统，实现池化，通过城域网分发到各-5-*教育城域网建设设计方案个学校，达到最大限度的利用。建成宽带、先进、专业的高度信息共享的教育城域网系统教育城域网络建设项目是将各个教育机构全部联到网络中，最终形成一个区域性的互联、互动、信息交换、共享和教育的基础构架。以教育信息网络管理中心为中心的虚拟闭合网络，实现了 “校校通”。教育信息网络中心具有先进的交换设备和海量的数据存贮能力，在实现软件和应用共享的同时，还能为各校提供硬件共享服务。通过城域网内统一的网络平台，统一的网络出，还能最大限度地限制各种不良的。教育城域网络系统统一的

18、网络平台，统一的网络出，实现软件和应用共享，还为各校提供硬件共享服务。实现高度共享的教育教学多通过教育城域网系统实时点播或高速，师生可以利用教育城域网络系统的教育教学进行辅助教学和辅助学习。教育教学内容覆盖中小学阶段十几个学科相关的知识点，当中包括文本、图形图像、音频、动画、课件、课案、课例等素材内容。教育和网络技术的应用与推广，将促进与学科课程的整合，建立网络环境下的*中小学教育新模式。实现教育系统高效率的教育政务网日常行政办公中心处理教育日常事务，如文件收发、公文审批、会议通知等工作。教育数据管理中心分为学校概况、教工管理、学生管理、校产管理、教育科研、综合等七大模块，汇集了学校、教师、学

19、生的基本数据信息。项目行政服务中心可以对学校、教师、学生等有关的行政办公事务进行自动办理或辅助办理。实现信息化课程开发 小学及中学、师范学校、职业学校、成人中专的学生全面接受教育。课程做到三个统一：材、纲、统一。 组织编写并统一使用以计算机操作和信息处理为主线，突出互联网应用的中小学，并定为中小学教育实验。实现多网络教学-6-*教育城域网建设设计方案通过教育城域网络系统着眼于教学、科研、管理的实际需要，用有限的资金优先解决工作急需的问题。设备易于使用和维护。为科学研究提供先进平台，例如可视化计算，计算机协同作业，虚拟网络，虚拟现实，计算机，计算机与数据处理等。建设支持宽带多业务，例如教学、多网

20、络教室、会议电视。四、*教育城域网建设目标1）教学环境，提高办学质量；2）实现的整合，如：课件、精品课堂、教学；3）实现网上办公，网上管理教务，真正实现“无纸化办公”；4）加快了信息化建设的步伐，为 “教学”提供了多种平台；5）可以实现“的共享”、“数据的无差错传送”，为“教学”奠定了牢固的基础；6）弥补学校间的师资的不平衡，缩小学校间的距离；7）可以提高电教化的应用水平，使的水平大大提高；8）应用软件可以（教务软件等等）使用一套，不但节省了投资，而且也使培训的工作变得容易；9）可以实现课件、教学、精品课堂的点播；10）可以利用多进行教学，并将好的教学直接回传到 VOD 服务器；11）可以利用

21、组播查看，并可实现流的点播。-7-*教育城域网建设设计方案第二章*教育城域网整体解决方案教育城域网整体解决方案是以 IP 通信平台为基础，实现环境(特别是重点、敏感区域的)、（网络、计算）、到活动（网络的开放架构对定制业务的支持）的全部数字化，利用标准的解决方案，以 IP 技术为标准技术，利用 SOA 开放架构实现对整体 IT 平台的统一集成支撑。教育城域网解决方案包括校园接入、区域信息中心、城域网出口、智能管理中心等多个子系统。相应的，教育城域网整体解决方案由三个平台组成，包括基础网络平台、综合安全平台和智能网络管理平台。建立数据服务中心优化整合现有数据信息解决教学、科研、办公业务数据海量增

22、长，数据无法整合管理的问题解决数据性增长，成本要求不断降低的问题解决各种对信息系统影响的问题解决跨广域的数据的问题解决跨系统数据迁移和备份的问题建设安全可靠的网络平台 具备网络结构优化能力整体架构具备更有效的容灾能力，以应对故-8-*教育城域网建设设计方案障节点、故障链路、路由震荡所带来对业务的影响； 具备网络业务拓展能力可平滑向下一代网络迁移，向IPv6迁移兼容现有组网环境，IPv6完全由分布式硬件完成，保护投资；可以随时随地使用，可以基于移动漫游环境，移动漫游环境无需管理者手工干预 具备安全渗透防御能力具备、业务的、，具备在线主动抵御的能力；网络自身集成安全防御能力，缩小、影响范围；用户接

23、入网络用户操作，网络实现整个教育城域网网络的集中统一智能化管理教育城域网是建立在一系列 IT的基础上，诸如带宽、教学办公数据的、计算、网络多通信等，这些需要关联化的管理，的整合，才能将利用 IT 系统服务校园信息化的价值最大化。一、云计算数据中心建设方案1.1 数据中心对于城域网的战略意义城域网数据中心是数据大集中而形成的集成 IT 应用环境，它是各种 IT 业务和应用服务的提供中心，是数据运算/交换/的中心，实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。数据中心的建设中，系统的建设和完善贯穿始终，这和当前应用系统建设的重点是相一致的。不论是各种数字，还是需要备份保存的业

24、务数据，其中心内容都是对于信息（数据）的管理和使用。1.2 数据中心的要点高可用网络作为数据中心的基础设施，网络的高可用直接影响到业务系统的可用性。网络层的高可用至少包可靠、高安全和先进性三个方面：高可靠：应采用高可靠的和技术，充分考虑系统的应变能力、容错能力和纠错能力，确保整个网络基础设施运行稳定、可靠。，关键业务应用的可用性与性能要求比任何时候都更为重要。高安全：网络基础设计的安全性，涉及到教育城域网业务的数据安-9-*教育城域网建设设计方案全。应按照端到端安全、网络 L2-L7 层安全两个维度对安全体系进行设计，从局部安全、全局安全到智能安全，将安全理念渗透到整个数据中心网络中。先进性：

25、数据中心将长期支撑教育城域网的业务发展，而网络又是数据中心的基础支撑平台，因此数据中心网络的建设需要考虑后续的机会成本，采用主流的、先进的技术和如数据中心级设备、CEE、FCoE、虚拟化支持等），保证基础支撑平台 510 年内被淘汰，从而实现投资的保护。易扩展教育城域网的业务目前已向多元化发展，未来的业务范围会更多更广，业务系统频繁调整与扩展再所难免，因此数据中心网络平台必须能够适应业务系统的频繁调整，同时在性能上应至少能够满足未来 510 年的业务发展。对于网络设备的选择和协议的部署，应遵循业界标准，保证良好的互通性和互操作性，支持业务的快速部署。易管理数据中心是 IT 技术最为密集的地方，

26、数据中心的设备繁多，各种协议和应用部署越来越复杂，对运维的要求也越来越高，单独依赖运维人员个人的技术能力和业务能力是无法保证业务运行的持续性的。因此数据中心需要提供完善的运维管理平台，对数据中心 IT进行全局掌控，减少日常的运维的人为故障。同时一旦出现故障，能够借助工具直观、快速。1.3 数据中心部署1.3.1 数据中心按功能区的模块设计-10-*教育城域网建设设计方案构建一个开放架构数据中心时应采用一种模块化的设计方法，在数据中心中划分不同的功能区域，用于部署不同的应用，使得整个数据中心的架构具备可伸缩性、灵活性、和高可用性。数据中心中的服务器将会根据服务器上应用的用户特性和应用的功能分成不

27、同组部署在不同的区域中，但是由于整个数据中心的很多服务是统一提供的，例如数据备份和系统管理，所以为保持架构的统一性，避免不必要的重复浪费，一些功能相似的服务将统一部署在特定的功能区域内，例如与管理相关的服务器将被部署在管理区。采用模块化的架构设计方法可以在数据中心中清晰区分不同的功能区域，应用不同的设计方法，可以根据不同区域和层次的功能需求进行建设和操作。对于区域而言，我们可以从各个区域的功能来预知这个区域对可扩展性等的要求，例如，部署业务应用的区域可能会需要更高的可扩展性和可用性，而 Internet 区将更注重安全性。1.3.2 数据中心安全与应用优化本次在数据中心的设计中，为了降低数据中

28、心建设和将来维护的成本采用了交换机集成安全措施的解决方案，这种方式可以：1、简化数据中心网络结构2、简化数据中心机房布线-11-*教育城域网建设设计方案3、提高数据中心空间利用率4、降低网络设备电力消耗5、提高网络的管理、维护效率并且这种集成化技术中，本次方案设计中的 FW 和 IPS 通过虚拟化技术，严格的对数据中心内的不同业务系统，提供 27 层灵活的安全策略，满足不同数据中心区域有不同的安全等级要求。1.3.3 数据中心的虚拟化数据中心虚拟化的目的是通过把（网络、计算、）更有效的管理、更有效的利用，来提高扩展降低成本。数据中心当前的一个重要问题是能耗过大，数据的大集中带来的不仅是管理水平

29、的提升，同时也带来了的高能耗。虚拟化技术实现了通过于硬件平台的逻辑实例来使用各种（网络、计算、）的方法，最大化的实现了对的利用与共享，成为降低数据中心能耗的最有效。-12-*教育城域网建设设计方案网络虚拟化技术：IRF 简介以太网是广播性质的网络，一旦链路成环路很容易导致广播风暴，耗尽网络链路及设备。然而在传统的数据中心网络部署中，为了保证网络设备和链路的高可靠，往往通过引入双机热备、双链路双归属的冗余方式组网，引入 MSTP+VRRP协议来实现链路和设备网关的热备，这种部署方式必然会带来网络环路和复杂度的增加。IRF（Intelligent Resilient Framework，智能弹性架

30、构）是公司研发的交换机虚拟化技术。它的思想是将多台物理设备虚拟化成一台“虚拟设备”，实现 N：1 的横向虚拟化整合。使用这种虚拟化技术可以实现多台设备的协同工作、统一管理和不间断维护。为了便于描述，这个“虚拟设备”也称为 IRF。所以，本文中的 IRF 有两层意思，一个是指 IRF 技术，一个是指 IRF 设备。IRF 的优点提高可靠性。IRF 的高可靠性体现在多个方面：其一、IRF 由多台成员设备组成，Master 设备负责 IRF 的运行、管理和维护，Slave 设备在作为备份的同时也可以处理业务。一旦 Master 设备故障，系统会迅速自动新的 Master，以保证业务不中断，从而实现了

31、设备的 1:N 备份；其二、IRF 虚拟化设备可实现跨-13-*教育城域网建设设计方案设备的链路聚合，与上、下层设备之间的链路聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了 IRF 的可靠性；其三、IRF 的成员设备切换和链路切换时间均为毫秒级，相比传统的 MSTP+VRRP 协议的秒十秒的收剑时间，网络的故障自愈时间有了数量级的提升。简化管理。IRF 形成之后，用户通过任意成员设备的任意端口都可以登录 IRF系统，对 IRF 内所有成员设备进行统一管理。此外，由于多台设备虚拟为一台设备，此时的网络逻辑拓扑简化为点到点的直连，消除了传统的组网环路，因此可大大简化乃至消除

32、 MSTP 协议的部署，IRF 设备对外表现为一个网关，也无需部署 VRRP 协议。同时，由于 IRF 进行了 N：1 的横向整合，网络中设备的数量将大大减少，路由协议的邻居关系、设备 Loopback 地址、网络接口互连地址也会随之减少，达到节省网络 IP并简化了网络运维的目的。强大的网络扩展能力。通过增加 IRF 成员设备，可以轻松自如的扩展 IRF 的端口数、带宽。因为各成员设备都有 CPU，能够处理协议报文、进行报文转发，所以 IRF 还能够轻松自如的扩展处理能力。IRF 组网应用数据中心实际组网中，在部署 IRF 虚拟化整合之后，对上、下层设备来说，它们就是一台设备，数据中心网络从服

33、务器网卡接入至汇聚、交换机，二层链路可实现端到端。IRF 可部署在层、汇聚层和接入层，如下图所示：-14-*教育城域网建设设计方案二、网络平台建设方案2.1城域网整体拓扑结构2.2组网概述数据中心交换机采用高性能的数据中心交换机，配置两台并通过 IRF2虚拟化技术进一步提高交换机的整体性能及安全可靠性。数据中心安全防护区，通过部署和防御系统，全方位的保护位于数据中心内的众多重要的业务服务器。服务器接入交换机采用高速转发的数据中心接入交换机，并通过虚拟化技术将 2 台服务器接入交换机整合，提供高性能、高稳定、高可靠的服务器接入服务。骨干层，广域网出口使用骨干路由器，骨干路由器配置冗余电源、冗余主

34、控，进一步确保网络的可靠性以及安全性，骨干路由器具有强大的性能以及稳定性完全可以胜任骨干节点的。-15-*教育城域网建设设计方案校园网，*教育城域网的建设是由多个校园网单个独体，校园网作为各个接入点，使用路由器或三层交换机作为校园网接入设备，并使用专线与*教育城域网互联。较大型的校园网，本方案采用三层交换机作为校园网交换机；而中小型校园网络可以采用路由器作为出口设备互连的组网方式互连；各个接入点的数量不同配置若干接入交换机进行组网互联。数据中心安全，*教育城域网的建设综合考虑实际应用情况，推荐在交换机上部署及防御系统安全模块，在骨干出口路由器上部署应用系统安全模块，按照关键位置进行关键防护的建

35、设思路，为用户打造最为高效、安全的教育城域网络。l的部署，满足网络对安全的基本需求：1）能为用户提供广泛和深入的安全防护和安全连接功能；2）降低与安全相关的总体拥有成本以及部署的复杂程度；3）支持外部防范、内网安全、流量、邮件过滤、网页过滤、应用层过滤等功能；4）能够对连接状态过程和异常命令进行检测；5）能够提供多种智能分析和管理，并支持邮件告警，支持多种日志，提供网络管理，协助网络管理员完成网络的安全管理；6）支持多种业务，如 GRE、IPSec等，可以构建多种形式的；7）提供基本的路由能力，支持 RIP/OSPF/BGP/路由策略及策略路由；支持 IPv4/IPv6 双协议栈；支持丰富的

36、QoS 特性。l防御系统的部署，我们建议在交换机上部署 IPS 插卡，可以防止来自蠕虫、DDOS、系统漏洞、邮件、软件、木马等应用层，另外，还可以进行 BT 的流量限制。IPS 插卡集成防御/检测、过滤和带宽管理等功能，是业界综合防护技术最领先的防御/检测系统。通过深达 7 层的分析与检测，实时阻断网络流量中隐藏的、蠕虫、木马、软件、网页篡改等和行为，并实现对网络基础设施、网络应用和性能的全面保护。l应用系统的部署，对网络中的 P2P/IM/VoIP 带宽、网络、炒股、多应用、等行为进行精细化识别和；同时，-16-*教育城域网建设设计方案根据对网络流量、用户上网行为进行深入分析与全面的事后审计

37、，严格规范用户网络行为。2.3 详细设计本次网络平台建设在充分分析现有需求情况下，提出合理化意见，网络分区分层模块化设计，主要建设思路：l*与校园网级联采用路由器模式组网n 解决传统的交换机组网不能分割广播域，广播域过大问题。n 解决IP地址划分问题l增强数据中心设备性能及可靠性n 通过 IRF2 虚拟化技术部署在数据中心上，增强关键设备性能交换及服务器接入交换机n 通过 IRF2 虚拟化技术简化了数据中心的组网结构，使网络层次、结构更加明晰，更加便于维护l增强整网安全防护能力n 通过区层全面交换机部署融合式插卡、防御插卡实现L2-L7防护n 通过在骨干路由器上部署应用网关模块，对网络中的P2

38、P/IM/VoIP 带宽、网络、炒股、多应用、访问等行为进行精细化识别和；同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，严格规范用户网络行为l网络与安全融合部署n 互连带宽高。SecBlade 系列安全插卡采用背板总线与交换机进行互连，背板总线带宽一般可超过 40Gbps，相比传统的采用普通千兆以太网接口进行互连，在互连带宽上有了很大的提升，而且无需增加布线、光纤和光模块成本。-17-*教育城域网建设设计方案n减少单点故障。由于 SecBlade 安全插卡采用背板与交换机互连，所以互连线路可靠性高，存在互连线路故障点。此外，交换机的背板具备健康检测机制，在透明模式部署的安全插

39、卡（如 IPS、ACG）上可根据业务要求配置“二层回退”功能，当检测到 SecBlade 插卡出现故障时，交换机可直接对原来经过 SecBlade 安全插卡的流量进行旁路，使业务流不中断，避免设备级的单点故障。n业务接口灵活。SecBlade 系列安全插卡上不对外提供业务接口（仅提供配置管理接口），当交换机上插有 SecBlade 安全插卡时，交换机上原有的所有业务接口均可配置为安全业务接口。此时再也无需业务接口不够而带来部署的局限性。n性能平滑扩展。当一台交换机上的一块 SecBlade 安全插卡的性能不够时，可以再一块或多块 SecBlade 插卡实现性能的平滑叠加。而且所有 SecBla

40、de 插卡均支持热插拔，在进行扩展时无需停机中断现有的业务。l 增强网络管理n 配置一套综合网络管理平台，实现全网设备统一化管理，方便运维2.4 运营商具体要求u为接入城域网的学校提供 10M、4M 的 IP 线路，用以满足其 VOD 点播，教务教学的要求；uuu为城域网提供不少于 100M 的互联网出口线路，保障业务的顺畅运行；满足光纤安装的条件(包括环境和基础设施)。如果网内有 xDSL 或者其它线路的，要提供具体的解决方案，包括对端的设备，VLAN 的创建,端口的具置和相关的要求。u运营商设备在设备的配置时，遵循统一的标准，对 vlan，接口都要有明确的描述信息（确保一一对应），以便日后

41、的维护。-18-*教育城域网建设设计方案2.5 教育局端建设要求uuu需提供一个千兆光口与运营商三层设备相连(详细要求与运营商协商)；满足光纤安装的条件(包括环境和基础设施)；满足出口光纤安装的条件(包括环境和基础设施)。2.6 学校端具体要求uuu提供入网的设备（详见；）提供安全的设备安；满足设备对供电的要求，电压要稳定。-19-*教育城域网建设设计方案三、城域网综合安全建设方案3.1风险分析一般说来，计算机网络存在着以下的安全风险及需要采取的安全对策：-20-风险安全对策用户风险假冒认证窃取认证非管理重放鉴别、否认审计、深度、阻断数据风险窃取实体安全、加密篡改完整性检验毁坏恢复有害数据侵入

42、(包括等)所造成的破坏检测、过滤、分析、捕获应用和服务风险非假冒认证密钥管理漏洞CA、KDC、PKI数据库自身的漏洞检测、打补丁、升级操作系统自身的漏洞漏洞检测、打补丁、升级服务的脆弱性及漏洞检测、打补丁、更新应用系统自身的缺陷更新完善服务器风探测实时监测、回火非策略漏洞策略管理、检查系统配置缺陷*教育城域网建设设计方案教育城域网在现有的网络结构及应用模式下，可能存在的主要安全风险：网络设备节点自身安全风险：网络设备安全有效配置、管理和维护的风险：网络设备是网络数据传输的核心，是整个网络的基础设施，各种网络设备本身的安全与可靠性以及这些设备上应用策略的安全都需要进行合理的配置才能够保证；网络设

43、备提供安全特性合理有效的利用风险：网络设备由于处于网络系统中基础设施的特性，网络设备选择是必须考虑能够提供足够的防范特性，以实现在网络基础设施层就能提供一定的安全特性；网络结构及线路冗余的风险：随着网络节点间的连接密度的增加，整个网络提供的线路冗余能力也会增加，提供的网络数据的模式会更灵活，整个网络可靠性和可用性也会大大的增加；网络层有效的的风险：网络结构越来越复杂，接入网络的用户也越来越多，必须能够在不同的网络区域之间采取一定的措施，有效不同的网络区域之间的网络通信，以此-21-风险安全对策险系统版本检测、更新系统平台评测、选择实体安全缺陷防辐射、防橇、防雷击服务器所存在的陷门和隐通道尚无相

44、应的解决技术及网络风险探测检测、回火设备实时监测、管理、维护通道强度采用高强度加密网络设备配置缺陷定期检测、加强配置管理、日志、审计网络设备物理安全缺陷更新网络设备存在的陷门和隐通道尚无相应的解决技术及网络设备实体的安全防盗、防辐射、防雷击*教育城域网建设设计方案来网络元素间的互访能力，避免网络，同时实现安全风险的有效的，把安全风险在相对比较以及比较小的网络区域。为了实现对网络应用的有效管理，必须加强对网络用户的网络应用能力控制，首先，需要对用户接入网络的能力进行，严格只有经过认证的用户才能接入网络；同时，需要更细粒度的，尤其是对 Internet的访问，应该能够内部用户Internet 的什

45、么，实现一定程度的用户应用行为的管理。网络行为检测和防范的风险：由于 TCP/IP 协议的开放特性，带来了非常大的安全风险，常见的 IP 地址窃取、IP 地址假冒，网络端口扫描以及危害非常大的拒绝服务（DOS、DDOS）等，必须能够提供对这些行为有效的检测和防范能力的措施；由于操作系统平台、网络应用平台以及应用系统本身存在的很多安全漏洞，必须能够有效的检测到基于这些漏洞的、木马、蠕虫和其他各种应用层，同时能够组合已有的网络设备和，这些行为，提供有效的防范能力；网络数据传输中存在的安全风险：网络数据在传输的过程中，很可能被通过各种方式窃取，因此在提供我们上面描述的网络数据传输能力的前提下，必须能

46、够保证数据在传输的过程中性（保证数据传递的信息不被第获得）和完整性（保证数据在传递过程中不被人修改），尤其是在网络传递的信息价值不断提高情况下。应用层威胁2000 年以前，当我们谈及的时候，还主要指，因为那时候的安全还主要以网络层的为主。的确，就像一个防盗门，给了我们基本的安全防护。但是，就像今天最好的防盗门也不能“”传播一样也不能阻挡今天的网络威胁的。今天的现状和 2000年以前相比，已经发生了很大的改变，我们已经进入了一个“应用层威胁”泛滥的。-22-*教育城域网建设设计方案今天，各种蠕虫、软件、网络等应用层威胁和、移动代码结合，形成复合型威胁，使威胁更加和难以抵御。这些威胁直接企业服务器

47、和应用，给企业带来了损失；终端用户计算机，给用户带来信息风险甚至损失；对网络基础设施进行 DoS/DDoS，造成基础设施的瘫痪；更有甚者，像、BT 等 P2P 应用和 MSN、等即时通信软件的普及，企业宝贵带宽被业务无关流量浪费，形成巨大的损失。面对这些问题，传统解决方案最大的问题是，工作在 TCP/IP 34 层上，根本就“看”不到这些威胁的存在，而 IDS 作为一个旁路设备，对这些威胁又“看而不阻”，因此我们需要一个全新的安全解决方案。3.2 统一安全设计原则在教育城域网系统时，遵循以下原则，以这些原则为基础，提供完善的体系化的整体解决方案：l体系化设计原则通过分析信息网络的网络层次关系、

48、安全需求要素以及动态的实施过程，提出科学的安全体系和安全模型，并根据安全体系和安全模型分析网络中可能存在的各种安全风险这些风险以动态实施过程为基础，提出整体解决方案，-23-*教育城域网建设设计方案从而最大限度地解决可能存在的安全问题。l全局性、均衡性原则安全解决方案的设计从全局出发，综合考虑信息资产的价值、所的安全风险，平衡两者之间的关系，根据信息资产价值的大小和风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。l可行性、可靠性原则在采用全面的措施之后，应该对原有的网络，以及运行在此网络上的应用系统有大的影响，实现在保证网络和应用系统正常运转的前提下，有效的提高网络

49、及应用的安全强度，保证整个信息资产的安全。l可动态演进的原则方案制定统一技术和管理方案，采取相同的技术路线，实现统一安全策略的制定，并能实现整个网络从基本防御的网络，向深度防御的网络以及智能防御的网络演进，形成一个闭环的动态演进系统。3.3 网络层安全解决方案3.3.1 全面网络基础设施可靠性保证措施首先，可取采取的措施为多种冗余备份能力，包括网络线路的多层次冗余、网络设备的多节点冗余、网络设备自身组件的冗余，通过这些冗余能力，实现整个网络全面的可靠性保证。网络线路冗余主要包括如采用网状或者尽量网状连接来代替星形、树形的连接结构，在本次网络改造建议方案中，网络位置关键节点设备均采取冗余电源配置、冗余模块配置、冗余引擎配置等，基于网络设备丰富的冗余特性，可以有效的实现这些冗余配置模式。其次，采取高安全性的网络设备，网络与安全的融合是未来网络发展的必然趋势，随着网络设备特性的不断更新，网络设备自身具备的安全能力也在不断加强。网络设备包括路由器、交换机，都统一采用研发的 Comware 软件平台。3.3.2 骨干网关键设备具有强大的安全特性全面的功能：支持滤、状态，过滤各种报文，并能提供过