XX区教育信息化建设方案0609

XX区教育信息化建设方案XX区教育信息化建设方案方案概况建设背景信息技术的飞速发展，为知识经济的发展奠定了坚实的技术基础。当前我国教育正面临着一系列的挑战，主要来自于科学技术的迅猛发展、因人口增长而引起的教育要求、国际竞争和各种社会问题等方面。因此，充分利用信息技术的优势，来解决制约我国当前教育发展的瓶颈，是当前教育工作的重点。2012年9月5日，刘延东同志在全国教育信息化工作电视电话会议上发表讲话“把握机遇，加快推进，开创教育信息化工作新局面”指出：“十二五”期间，要以建设好“三通两平台”为抓手，也就是“宽带网络校校通、优质资源班班通、网络学习空间人人通”，建设教育资源公共服务平台和教育管理公共服务平台。图SEQ图\*ARABIC1教育信息化“三通两平台”架构《国家中长期教育改革和发展规划纲要（2010-2020年）》明确提出要加快教育信息基础设施建设，强调“加快终端设施普及，推进数字化校园建设，实现多种方式接入互联网”。2016年9月，XX省教育厅下发了《XX省教育信息化“十三五”发展规划》，该规划对“十三五”期间XX省教育信息化的发展方向、总体目标、主要任务等进行了详细的规划和部署，对各区市从整体上把握教育改革和发展提供了很好的指导和借鉴。而XX区信息化建设一直走在XX省的前列，虽然在教育信息化方面取得了一定的成果，但仍存在盲点和不足之处，如基础硬件设施还不完善、课堂教学模式仍需改进、优质教学资源还没有实现人人通、教学管理和办公应用不够人性化、智慧校园建设缺乏整体规划等等，这些都是本方案着重解决的地方。本方案遵循国家和XX省教育信息化指导意见，并充分考虑XX区教育信息化的现状和特点进行制定，方案具有明显的前瞻性、可行性特点，能够充分满足XX区当前教育信息化的发展需求，有效解决当前面临的一系列问题。建设思路通过建设统一标准的公共服务平台，将贯穿在教育日常工作中的学生、教师、资产和管理等基础数据，按规范格式统一保存在数据中心，在基础支撑服务平台基础上，统一建设各类教育信息化应用，实现标准化、规范化的统一数据管理，便于各级教育主管部门进行数据管理和统计分析。本期项目将融合云计算理念进行架构设计，主要分为基础设施建设层、平台服务层、软件服务层、客户端服务层：建设原则教育信息化是信息技术与教育教学的深度融合，关键在于融合。在具体建设过程中，我们将遵循以下原则：系统整体规划从项目总体需求与发展目标出发，构建“三通两平台”整体解决方案，确保架构的合理性与先进性，彻底解决信息孤岛问题。为确保系统兼容性，方案中的主产品如网络设备、无线设备、服务器、存储、虚拟化软件、教育软件平台等采用同厂家设备，以便为用户提供端到端的服务。聚焦应用驱动“三通两平台”建设重点不在于硬件设施，而是以“班班通”和“人人通”的系列应用为中心，以应用来驱动教育信息化的发展，实现在教育教学过程中常态化使用的目标。实现资源共享建设教育资源公共服务平台，实现优质教学资源的统一管理与共享，重点解决偏远地区或农村教学点资源匮乏问题，促进教育均衡发展；通过部署教育云平台，统一提供计算资源、存储资源、网络资源，实现资源动态分配，提高利用率。支持教学创新将信息技术应用到师生的教学与日常活动中，通过融合实现创新；支持学生的学习方式主动向自主式、互助式转变，实现学习方式的变革；支持教师突破时空限制，通过MOOC、微课、翻转课堂等新模式革新教学手段，提高教学质量。完善基础设施设完善的教育信息化基础设施，包括教育城域网、校园网、桌面云教室等，消除教育信息化大规模应用与快速发展的瓶颈。系统可扩展性和开放性可扩展性平台的应用推广会分步进行，首期重点考虑本地区教育信息化应用较好的学校，未来还会拓展到其他学校，会出现使用学校增多、应用程度深化以及访问量不断增加的情况，在很多方面需要有扩展性的强烈需求，在建设规划过程中需要充分考虑平台各个方面的可拓展性。开放性本平台是一项需要整合各方力量才能建成的系统工程，因此基础平台除了要稳定、可靠、健壮意外，也充分考虑了系统的开放性和可集成性，这样在每一个优秀的教育应用提供商，都可以将其符合标准的管理、教学、资源应用接入到平台上来，为全区所有教师、学生、家长提供服务。重点须考虑以下方面内容：应用接入的开放性、数据服务的开放性、身份认证服务的开放性。系统可靠性和安全性本项目规划的各类应用将面向本地区所有教师、学生提供服务，而且中小学上课时间集中，教学过程中数据交互频繁，所以，本系统在设计上需要充分考虑系统的可靠性。本平台将采用SNS技术，信息传播将涉及舆情安全，资源涉及版权控制，系统需要从技术上和管理方式上设计全局的安全性。发展目标通过义乌市“三通两平台”的建设，将助力本地区教育信息化达到如下发展目标。形成完善的教育信息化基础设施通过高性能的教育城域网，极大提升网络带宽，消除制约“班班通”、“人人通”应用推广的网络瓶颈；建设区域教育云数据中心，支撑教育资源公共服务平台和教育管理平台的部署；通过“电子图书馆”、“虚拟实验室”等应用方案，实现软件基础设施的提升。实现信息技术支撑教育教学变革通过教育信息化的推进，有效改变传统教学过程中单向灌输、死记硬背、机械训练的现状，倡导学生主动参与、乐于探究的能力，提升分析解决问题的能力及交流协作的能力。建设本地特色的教育资源共享平台依托平台为所有学校和师生提供资源共享服务，有力支撑班班通和人人通应用的开展；整合国内、省内、本地化资源，同时发挥企业在资源聚合方面的优势，形成“基础性资源靠政策、个性化资源靠市场”的良性机制。形成智慧、均衡的教学环境通过“互动课堂”、“同步课堂”、“教师协同教研平台”、“云教室”的建设，实现智慧教学环境，提高教学质量，并使地处偏远地区的孩子能享受同等质量的教育，实现教育均衡发展。教师教学方式的转变从传统“以教为主”向“以学为主”转变，老师在日常教学中引导学生利用优质资源进行自主学习和主动探究，逐步实现素质教育的目标。学生学习模式的转变学生的行为将由被动学习向主动学习转变，学习过程由记忆为主的知识掌握向以发现为主的知识建构转变，学习过程由个人学习向协作学习、深度互动转变。硬件基础设施建设内容教育城域网络建设教育城域网是区域教育信息化运作的基础和前提，城域网的建设要合理设计、多方调研，要保证教育网络的顺畅、安全，同时网络还要具备易维护、易管理的特点，方面学校管理人员使用，教育城域网的建设包括骨干网、有线网络、无线网络建设。教育城域网总体方案设计组网方案设计教育城域网网络拓扑逻辑图如上图所示,整个教育城域网分为5大功能区：互联网出口区，核心交换区，网络管理区，服务器区，学校接入区。统一互联网出口设计教育城域网的互联网出口采用集中大出口设计，所有接入学校和教育单位均需要从教育局城域网中心机房出口接入互联网，集中出口区域的高速NAT、路由、流量上网行为管理和内容审计、边界安全防护、精细化流量控制五大应用需求必须重点考虑。因此，方案设计在城域网中心机房集中网络出口位置部署高性能出口网关。教育城域网的互联网出口主要保证数据中心区互联网访问、各教育单位、中小学校的互联网统一出口。为了保证互联网应用的流畅运行以及用户的上网体验，需要对一些关键应用的带宽有足够的保障，出口区域的设备对关键需求有足够的支撑，能够支撑包括门户网站区域在内的所有外网应用都稳定可靠，不允许在包括出口在内的骨干区域出现故障隐患，所有设备档次要适度超前，避免因为需求的不断发展出现性能瓶颈；另外出口作为外部攻击的主要通道安全的重要性是毋庸置疑的，需要综合考虑到整个网络对于出口区域的安全防范问题。综合上面对互联网出口区情况的分析，本次方案总结出口区域的设计思路为：提供高性能NAT地址转换，满足15000用户的并发宽带接入需求；提供可靠稳定的互联网接入，出口支持2000M以上的吞吐能力，无性能瓶颈；提供多链路的负载均衡，智能选路功能，可以依靠线路的负载、应用类型、运营商的不同和访问速度来智能判断最快的访问线路或指定特定的应用走特定的线路；提供完善网络安全防护功能；提供网络访问行为审计功能；提供出口精准流量控制功能；提供对关键应用服务器和门户网站的重点保护；提供针对教育行业用户的内外网教学资源优化配置调用的功能。综上所述，本次统一出口设计包含出口网关、防火墙、WEB防护、流量控制等产品，组成统一互联网出口解决方案。统一互联网出口解决方案随着互联网应用的日益丰富，有限的带宽已经无法满足校内用户的应用需求，在不降低用户体验的情况下，如何控制流量，保障关键应用的运行是校园网面临的重大问题。互联网出口流量中大部分是重复流量和重复的文件，如果能够在网络中部署一个内容缓存设备，将大大提高校内用户的使用体验。用户在互联网读取数据时，会首先在缓存设备上进行高速查找，如果存在同样的数据那么直接进行本地转发，一次外网访问，多次内网服务，提高互联网带宽承载能力，用户访问速度提升加倍。大大提升校内访问速度，极大的提升用户体验。出口多链路负载均衡部署出口多应用安全网关，实现链路负载均衡，包括：基于链路状态和目标位置的出流量负载均衡，以及基于访问源位置的入流量负载均衡。同时可实现NAT功能。互联网出口防火墙部署防火墙，以对进出中心机房的数据做访问控制，同时也支持NAT功能，可作为出口安全网关的备份设备使用；上网行为管理多应用安全网关，还可以实现对用户上网行为管控，一方面规范城域网网络使用行为，另一方面控制互联网出口带宽优先保障关键应用，不被其他应用无关数据滥用。流量控制部署流控设备，对进入中心机房的数据做流量分配。原则上针对每IP地址或网段限流，不同类终端的流量分配视校园网具体情况定义。安全防护设计教育城域网的网络安全设计面比较广泛，主要包括基础网络设备的安全防护、PC终端的主机安全防范、服务器专区的服务防范（特别是WEB防护）与实名制上网的安全记录需求设计这四个方面，需要根据不同的需求按照不同层次、不同方法分别加以设计，通过融合多种安全机制实现城域网整网的安全架构设计。城域网层次化安全设计主要是包括四个部分：基础网络分布式安全防御体系、端点主动安全防御系统、服务器区安全防御与实名制上网功能。基础网络安全防护设计基于教育城域网的特点，城域网和校园网是一个开放的应用环境。在这种环境下尤其容易感染网络病毒和发生网络攻击，这给网络主干带宽带来严重冲击，甚至可能造成整网瘫痪。因此，为了保证整个网络的带宽可用性，防止网络病毒传播扩散，防止网络攻击的发生，在本方案中，出口设备保证内外网安全控制；核心、接入层网络设备均支持嵌入式防DDoS攻击、CPU策略保护、基础网络保护策略和最长匹配三层交换LPM技术，由单点安全变为区域安全，防止网络扫描、和攻击。移动用户接入安全设计考虑到移动用户接入安全和便携性，推荐采用SSLVPN接入方式。在城域网中心机房部署1台SSLVPN网关，移动用户通过WEB界面或者SSLVPN客户端即可实现安全的VPN接入，灵活访问城域网资源。网络行为审计行为审计系统要能够全面详实地记录网络内流经监听出口的各种网络行为，以便进行事后的审计和分析，日志以加密的方式存放。网络行为日志全面要记录包括使用者、分组、访问时间、源IP地址、源端口、源MAC地址、目的IP地址、目的端口、访问类型、访问地址/标识等关键数据项。支持在三层交换网络环境下获取用户计算机真实MAC地址功能；多应用环境下的网络数据审计还原。网络流量分析需要在全面记录网络出口流量数据的基础之上，以简单、直观、易理解的形式为用户提供实时和历史流量监测和统计功能。主要包括以下几个指标：实时流量、当日流量和历史流量。能根据历史上网日志数据统计产生丰富详细的报表，包括分组上网排名、人员上网排名、网络应用统计、访问资源统计、趋势分析等。可按年度、月度或者指定时间范围生成周期性报表。报表种类包括柱状图，饼图，曲线图，折线图等。报表可以以EXCEL、PDF、WORD、HTML等形式导出保存。并支持自定义的周期性报表自动生成和订阅。核心交换区设计核心认证交换中心核心交换区是整个城域网络的核心，城域网中的所有软硬件数据都将在这里集中交换。一个完善的城域网核心认证交换设备应发挥的作用包括：支持实名制快速高效集中认证，为所有用户提供简化高效的认证方式；保障整个城域网的互联网出口安全，支持对病毒、漏洞、木马等安全危险的控制；对上网行为、流量带宽进行控制管理，并提供审计数据支持检索；对中心机房和城域网所有网络设备登陆、调试、配置信息进行审计记录集中监控管理、自动定时巡检，通过显示屏能够直观显示城域网运行状态；互联网常用资源（音视频资源等）能够提前缓存到本地，提供本地化访问，提高访问体验。网络核心设计在网络的可靠性和稳定性保障方面，网络核心设计采用2台万兆核心交换机互为容错备份，并在核心交换机中采用关键模块冗余设计（如引擎、网板、电源冗余等），启用虚拟化技术将多台物理设备虚拟化为一台逻辑设备，统一运行管理，大幅减少网络节点，降低网络运维管理人员工作量、增加网络可靠性，实现50~200ms链路故障快速切换，保障关键应用不中断传输。支持跨设备链路聚合，方便接入服务器/交换机实现双活链路上联，提高网络有效连接带宽。双核心网络设计架构，为城域网络提供了高稳定性和可靠性的数据传输平台，同时，提供了一种能够“自愈”网络链路或设备的单点故障的网络架构，保证了城域网络能够提供7*24小时高速稳定的数据传输。为教育系统提供健壮的数据传输神经中枢。双核心虚拟交换技术，将两台物理核心交换机虚拟为一台逻辑上统一的设备，使其能够实现统一的运行，从而达到减小网络规模，同时极大提高网络稳定健壮性，控制故障恢复时间。虚拟交换示意图使用虚拟化后，两台核心设备逻辑上变成一台。从而简化了网络拓扑。网络中不再需要生成树、VRRP等复杂的协议，大大降低配置维护工作量。此时汇聚到核心双链路上联，等同于双链路连接到一台核心上，实现跨设备链路聚合。即使一台核心或上联链路中断，也可实现快速切换。切换时间控制在50ms以内，相当于普通数据包转发的时延，不会对应用流畅运行产生任何影响。核心交换机组网方式核心交换机之间互联：采用万兆接口，通过专用的万兆虚拟化线缆互联，搭建虚拟化核心层。核心交换机与各学校互联：采用运营商专线。48所学校通过运营商专线，直接连接至核心交换机千兆接口板上。核心交换机与出口互联：通过万电缆互联，搭建冗余架构。核心交换机与数据中心互联：通过万兆电缆互联，搭建冗余架构。认证中心设计本次城域网需要实现实名制身份认证，根据通用的实名制认证架构，需包含两大部分：身份认证系统和认证网关设备。身份认证系统用于存储认证账户和认证策略等，认证网关用于将认证报文发送给身份认证系统，完成认证流程。认证网关有两种部署模式：分布式认证和集中式认证。分布式认证：每台接入交换机需支持802.1X和web认证功能。集中式认证：1台集中式认证网关设备支持802.1X和web认证功能。根据实际情况分析，采用集中式认证方式。a.使用城域网核心交换机作为集中认证网关部署，每个学校可以使用网关或交换机直接互联教育城域网数据中心机房。b.集中认证网关实现双机集群，具备高性能、高可靠性,组网灵活，支持三层认证模式，城域网改造整网结构不需要变化。集中认证方案采用集中认证的方案后，可以将原来分布在接入网的各项功能和策略上收至核心交换机，上收之后各项功能、策略的执行点全部在教育城域网中心机房的集中认证网关上，各个学校的接入、汇聚交换机只负责进行各种数据的转发，无需支持认证功能。集中认证方式极大的增强了城域网核心交换机的资源利用率，弱化了整个网络服务对接入、汇聚设备的依赖。集中认证网关(核心交换机)的性能要求所有功能、策略都部署在数据中心机房的核心层上，对整个城域网的核心交换机提出了巨大的挑战。核心层要承担各业务应用服务器的数据交换功能，要具备分布式业务处理体系结构，实现业务的全分布式处理，并能提供稳定、可靠、安全的高性能L2/L3层交换服务，以及电信级、自适应的可靠性设计。它作为网络的骨干连接和路由交换平台，实现所有汇集接入，不同子网之间的路由。它是全网业务汇接、转接和业务疏通的核心。因此核心层要选用新一代多级交换架构核心交换机搭建核心网络。核心交换机采用目前业界领先的多级矩阵交换架构，可配置高性能冗余引擎、冗余电源及冗余交换网板最大程度上满足设备级可靠性的要求。同时配置丰富的千兆、万兆接口，满足当前及未来网络发展的需求。数据中心区设计数据中心网络平台设计1、硬件平台设计说明核心层要承担各业务应用服务器的数据交换功能，要具备分布式业务处理体系结构，实现业务的全分布式处理，并能提供稳定、可靠、安全的高性能L2/L3层交换服务，以及电信级、自适应的可靠性设计。它作为网络的骨干连接和路由交换平台，实现所有汇集接入，不同子网之间的路由。它是全网业务汇接、转接和业务疏通的核心。因此核心层选用新一代多级交换架构数据中心交换机搭建核心网络。核心交换机采用目前业界领先的多级矩阵交换架构，可配置高性能冗余引擎、冗余电源及冗余交换网板最大程度上满足设备级可靠性的要求。同时配置丰富的千兆、万兆接口，满足当前及未来网络发展的需求。2、核心交换系统核心层由2台正交CLOS架构交换机构建，负责整个教育平台上应用业务数据的高速交换。2台核心交换机交换机采用先进的CLOS+多级多平面正交交换架构，提供业界最高的交换性能和最丰富的教育特性。单机可以提供2304个线速万兆端口或者768个线速40G/100G端口，提供超高密度万兆和高密40G、100G能力；为了满足教育数据中心虚拟化的要求，此次选择的核心交换机通过部署N:1虚拟化技术，真正实现网络设备资源池化，给用户提供最灵活的选择。3、服务器接入交换机随着数据中心未来虚拟化部署的快速增长、万兆服务器的商业部署及高带宽应用均加速了对40GE、万兆网络的需求。此次选择的服务器接入交换机整机支持2个业务插槽，可以实现高密万兆光口、高密万兆电口、40GE接口的灵活混配置，最高可以支持48个万兆口及6个40GE口，或者18个40GE高速接口。通过选择FC接口板，整机最高可以支持48个FC/FCoE/Ethernet的融合端口。计算资源池设计本次义乌市云计算数据中心总体逻辑拓扑结构如上图所示。整个平台由新建计算资源池、利旧资源计算池（如果原有服务器需要利旧）、存储资源池、管理中心四部分组成。新建计算资源池服务器采用刀箱方式，在刀箱中部署两路和四路的刀片服务器。利旧设备计算资源池则采用原来已有的机架式服务器，通过部署统一配置管理系统可以实现对下联的服务器、网络、存储、虚拟化软件等组件的统一管理。本次采用刀箱全融合架构，采用刀箱融合基础架构对于云计算数据中心作用有以下两个方面：1）简化机房硬件架构层次融合基础架构设备通过在一个刀箱中集成了服务器、存储、网络、虚拟化软件等设备，大大提高了服务器的利用率，减少了空间、电力、能耗等方面的消费。经测试统计得出，采用融合基础架构设备，可以提升至少3倍的服务器利用率，降低至少75%的空间占用，减少至少27%的电力消耗，降低初始购买和后期运维成本。2）实现网络与计算之间的感知联动服务器虚拟化技术的出现使得计算服务提供不再以主机为基础，而是以虚拟机为单位来提供，同时为了满足同一物理服务器内虚拟机之间的数据交换需求，服务器内部引入了网络功能部件虚拟交换机vSwitch（VirtualSwitch），如下图所示，虚拟交换机提供了虚拟机之间、虚拟机与外部网络之间的通讯能力。IEEE的802.1标准中，正式将“虚拟交换机”命名为“VirtualEthernetBridge”，简称VEB，或称vSwitch。vSwitch的引入，给云计算数据中心的运行带来了以下两大问题：网络界面的模糊主机内分布着大量的网络功能部件vSwitch，这些vSwitch的运行、部署为主机操作与维护人员增加了巨大的额外工作量，在云计算数据中心通常由主机操作人员执行，这形成了专业技能支撑的不足，而网络操作人员一般只能管理物理网络设备、无法操作主机内vSwitch，这就使得大量vSwicth具备的网络功能并不能发挥作用。此外，对于服务器内部虚拟机之间的数据交换，在vSwitch内有限执行，外部网络不可见，不论在流量监管、策略控制还是安全等级都无法依赖完备的外部硬件功能实现，这就使得数据交换界面进入主机后因为vSwitch的功能、性能、管理弱化而造成了高级网络特性与服务的缺失。虚拟机的不可感知性物理服务器与网络的连接是通过链路状态来体现的，但是当服务器被虚拟化后，一个主机内同时运行大量的虚拟机，而此前的网络面对这些虚拟机的创建与迁移、故障与恢复等运行状态完全不感知，同时对虚拟机也无法进行实时网络定位，当虚拟机迁移时网络配置也无法进行实时地跟随，虽然有些数据镜像、分析侦测技术可以局部感知虚拟机的变化，但总体而言目前的虚拟机交换网络架构无法满足虚拟化技术对网络服务提出的要求。为了解决上述问题，本次项目的解决思路是将虚拟机的所有流量都引至外部接入交换机，此时因为所有的流量均经过物理交换机，因此与虚拟机相关的流量监控、访问控制策略和网络配置迁移问题均可以得到很好的解决，此方案最典型的代表是EVB标准。EVB标准具有如下的技术特点：借助发卡弯转发机制将外网交换机上的众多网络控制策略和流量监管特性引入到虚拟机网络接入层，不但简化了网卡的设计，而且充分利用了外部交换机专用ASIC芯片的处理能力、减少了虚拟网络转发对CPU的开销；充分利用外部交换机既有的控制策略特性（ACL、QOS、端口安全等）实现整网端到端的策略统一部署；充分利用外部交换机的既有特性增强了虚拟机流量监管能力，如各种端口流量统计，Netstream、端口镜像等。EVB标准中定义了虚拟机与网络之间的关联标准协议，使得虚拟机在变更与迁移时通告网络及网管系统，从而可以借助此标准实现数据中心全网范围的网络配置变更自动化工作，使得大规模的虚拟机云计算服务运营部署自动化能够实现。存储资源池设计云计算数据中心数据中心的核心业务系统对数据存储的要求很高，为了保证项目的成功实施，在进行存储设备选型及方案设计时，应遵循如下原则：1）系统可靠性原则。存储系统的软硬件必须稳定可靠，不能存在单点故障。2）可扩展性原则。存储系统需采用先进技术，以利于整个系统的平滑升级。同时，必须考虑到今后存储环境的变化和灾难恢复系统建立的需要。3）可管理性与系统高效原则。提供完善的管理策略和性能监控机制，确保存储系统的可管理性，减少管理的复杂性。4）投资有效原则。系统方案应具有高性能价格比，具有较高实用性。本次项目构建的存储平台要满足未来3~5年信息化发展的需要，为此，有必要在构建信息系统之初，就打造一个稳定性好、性能高、易扩展的后端支撑平台。具体说来，本次数据中心存储平台建设，要达到如下3个建设目标：1)高可靠；2)高性能；3)易扩展。云管理平台设计在本次云平台建设项目中，底层虚拟化资源池需要实现基于云计算的平台管理，云平台管理系统主要提供了虚拟化管理、集群资源管理、镜像管理、网络管理、资源调度管理、系统资源管理、资源状态监控、告警管理、用户管理等功能。在云平台管理系统的设计上采用层次化、模块化结构，主要分为两部分：云平台虚拟资源调度系统和云平台负载均衡调度系统。虚拟资源池和负载均衡集群都运行在一个高可用集群上，每个物理分区中的物理主机组成一个共享的计算资源池，启用高可用、自动资源负载均衡功能、容错等功能，资源调度系统模型如下图所示：本项目包含的主机类型有云平台管理主机、虚拟化主机、负载均衡集群主机。云平台管理系统将虚拟化主机和负载均衡集群进行统一的管理。云平台底层虚拟化架构可支持Vmware等异构虚拟化系统。此平台在部署虚拟化的时候可以选择其中一种底层虚拟化系统，便于后期的管理维护。在未来扩容的时候可以根据需求，再选择别的虚拟化系统进行部署，使云平台具备开放性、扩展便捷性。云平台负载均衡集群要求支持Apache、Tomcat、IIS、Websphere、Weblogic等WEB平台软件，考虑到服务请求的不同类型、服务器的不同处理能力以及随机选择造成的负载分配不均匀等问题，为了更加合理的把负载分配给内部的多个服务器，就需要应用相应的能够正确反映各个服务器处理能力及网络状态的负载均衡算法，选择合适的负载均衡策略，使多个设备能协同完成任务，消除或避免现有网络负载分布不均、数据流量拥挤反应时间长的瓶颈。有线无线一体化设计本次在教育局核心机房部署1套运维管理平台，实现有线无线一体化高效管理功能。有线无线设备统一管理可对网络中的有线设备和AC、FATAP、FITAP、移动终端等无线设备进行统一管理，全网设备信息和状态一目了然。同时，支持策略和服务的批量部署，极大地减少管理员的维护工作量，提升工作效率，降低维护成本。多样化的拓扑管理运维管理平台管理解决方案中的有线无线业务拓扑帮助管理员直观了解网络部署情况及设备/链路当前状态。可根据不同的方式组织资源，有效进行拓扑分组、真实反映全网资源情况。支持物理位置视图显示，管理员可根据需要创建多纬度、多层次的物理位置结构，并在指定建筑物底图上根据真实情况摆放设备，逼近真实网络环境。1、全面的基础资源管理◆更多的管理设备类型：除了传统的路由器、交换机外，更能对网络中的无线、安全、语音、存储、监控、服务器、打印机、UPS等设备进行管理，实现设备资源的集中化管理。◆多厂家设备的统一管理：除了对的网络设备管理外，运维管理平台平台还实现了对业界其他主流厂家网络设备的管理。◆灵活快捷的自动发现算法：基于专利的发现算法，运维管理平台平台不仅提供了快速自动发现方式，还提供了四种高级自动发现方式，包括路由方式、ARP方式、IPSecVPN方式、网段方式等，能快速、准确地发现网络资源。◆直观的设备面板管理：支持设备面板管理，所见即所得的显示设备的资产组成和运行状态。◆清晰的网络设备资产管理：在将运维管理平台平台中管理的设备增加到网络资产管理的同时，系统还会自动发现该设备上可以管理的配件信息，并将这些配件加入到网络资产中进行管理，管理员可以对网络资产信息进行修改，还可以查看该资产的子模块信息、接口信息以及变更审计历史信息。2、智能的告警管理◆直观的故障列表：智能管理中心能自动汇总全网中故障设备，形成故障设备列表，使管理员能快速、清晰的找到需要关注的故障设备。◆智能的告警关联：提供对重复告警、突发的大流量告警、未知告警的自动过滤，用户还可以自定义过滤规则，以有效压缩海量网络告警，使得管理员直接关注真正的网络故障。◆告警根源分析和影响度分析：提供基于拓扑的区域告警根源分析，提供告警关联分析，提供告警分组分析，有效屏蔽故障引起的海量表象告警，方便用户快速定位、查找故障根源，确认故障影响的范围。◆告警定义和Mib导入：在支持标准Trap以及、华为、Cisco等主流厂商私有Trap基础上，还提供新增及通过Mib导入Trap定义功能，方便快速地支持各厂商新Trap。◆丰富的告警转发机制：除提供告警声光提示、转Email、转短信等方式外，还可以针对不同的告警定义不同的提示内容以及对应维护参考，当再次出现同类告警后能直接对应到相应的维护参考。◆结合拓扑直观的设备故障状态监控：与传统的网管告警和拓扑状态互相分离做法不同，使用显著的颜色把故障状态直观的反映在拓扑中的设备和链路图标上，用户仅需要查看拓扑，即可知道网络的整体运行状态。◆Syslog接收与分析：运维管理平台平台支持多厂商设备的Syslog原始报文接收，提供日志浏览、查询、导出及自动转储功能。并且可以根据预定义及用户自定义规则对Syslog报文进行分析，将关键事件升级为告警，有效地帮助用户在海量Syslog报文中及时发现网络关键事件。◆安全事件联动：运维管理平台平台对多厂商设备的Syslog报文进行分析，提取安全相关的关键信息（比如攻击事件类型、攻击源、攻击目的），并根据安全控制策略，采取匹配的安全动作，比如关闭攻击源网络端口等。3、高效的无线射频覆盖（RF覆盖）管理无线运营管理解决方案支持对现网中的无线设备RF覆盖情况进行展示，通过对现网中的无线RF状况的了解，管理员可以依据需求增加或减少无线设备的分布，也可以对现网中部署不合理的设备位置进行调整。4、统一的身份认证设计统一门户通过构建一个教师、学生、家长、工作人员等共同使用的统一工作门户平台，整合现有业务系统的访问控制，通过统一身份认证实现对各业务工作平台的集中访问，登录用户通过统一的门户可以在一个页面上进行各项业务办理、处理和审批操作，减少系统使用复杂度。同时门户还提供各种动态信息、信息简报、通知通告等汇总统计显示，以及各类业务信息的播报。统一门户平台的建设使得用户获取和使用信息更直接、更方便，实现信息共享、综合利用，以促进信息的应用。对于学校内部师生，管理者可以在运维管理平台上上配置内部合法的“SSID-教师”和“SSID-学生”、并为每个用户配置基于用户名的帐号，同时将用户名和用户终端设备信息进行绑定，完成用户名+IP+MAC的三元组，不仅确认了移动终端的合法性和唯一性，还为日后的日志审计提供可靠依据。针对网络中心经常有外来人员的上网需求，考虑到安全性和方便性的需求，推荐使用手机短信来申请上网帐号的方法1.用户搜索并连接到网络中心无线网“SSID-来宾”。2.用户打开任何页面将弹出认证页面，并在“临时用户申请”中输入自己的手机号码。3.认证系统通过短信猫将自动生成的临时密码发至用户的手机中。4.用户输入帐号（手机号码）与收到的临时密码完成上网认证。5.帐号在超过系统规定的时间后将自动失效，若继续使用需从新申请。(注：本次方案中不包含短信猫设备，如需要该功能，需另外采购第三方设备。)学校接入区设计校园网接入设计各学校采用以太网组网方式，出口通过安全网关采用树形结构连接核心交换机，核心交换机通过光纤和电路连接各楼宇的交换机，各交换机再连接信息插座。无线AP、办公电脑、学生电脑、班班通、一体机等通过信息点接入楼层接入交换机。学校接入部分拓扑：学校出口网关设计义乌市各个学校的规模不同，多数学校网络规模不大，对性能的要求可能不大，但对出口设备功能性的要求一点也不少，出口路由、网络安全、URL过滤、内容审计、日志记录和流量控制都需要，但学校网出口和城域网出口又不一样，无法像城域网那样配置专门的出口引擎、流控设备、防火墙、行为审计设备、日志记录等系统设备，所以就必须有一种设备即能满足学校出口功能性要求。出于统一建设的原则和综合成本角度考虑，方案设计对各教育单位和学校统一采用安全网关接入教育城域网，部署在各学校校园网和教育城域网的链路中间。安全网关的具体配置可以根据学校的规模、接入终端的具体数量选择不同档次。出口网关设备需要给学校提供以下出口保证：MIPS多核架构，保证多应用下高性能；多合一设备，部署灵活简便；不需要再去考虑用防火墙、路由器还是流控、VPN，多应用整合；管理维护简单；内置WEB人性化界面，配置向导等；多台设备分布式部署，可通过日志系统、网管系统等进行集中式管理、日志收集；应用控制，提升运作效率；专业流控，优化网络速度，提升用户网速体验；从实际出发的用户管理功能；支持用户组织架构导入；支持对用户进行黑白名单控制（应用控制、流量控制等）；支持对关键用户、关键应用的带宽保留服务；URL过滤，内置URL数据库，让用户远离黄赌毒等违法信息；支持NAT日志、URL日志、IM聊天日志、邮件日志等多种日志，支持本地化日志大容量存储和检索；智能选路，优选数据传输路径，合理利用多条带宽资源；当网络拥有多条出口线路时，选路规划的不合理会造成上网慢、带宽资源浪费等问题；内置硬盘，与城域网热点缓存系统联动，实现热点资源分发至学校，提高资源访问效率。校园网用户终端安全隔离校园网内部用户终端至少分类为学生机房电脑、教师工作电脑、无线终端等。基于如下原因需要将终端分类隔离到不同VLAN。大规模环境中广播域的隔离。不同类别用户终端的安全风险隔离，包括病毒、攻击（特别是校园网环境ARP类攻击，建议接入交换机具备防ARP攻击或端口隔离功能）不同类别用户有不同的访问控制需求。不同类别用户有不同的流控需求。不同类别的用户有不同的审计需求。隔离原则大规模校园网必须对每类用户终端做VLAN隔离。拥有宿舍楼的校园网必须做到宿舍楼与教学区隔离。小型校园网可以免隔离。通过其他技术手段保障风险控制、访问控制、流量控制。校园网出口实名认证出于以下原因，校园网出口必须实现实名认证功能。防止非法用户私接。便于针对用户或IP地址做流控。便于实名审计。如果在各校园网出口设备上实现用户认证，必须能够在中心机房进行统一用户管理。如果在中心机房入口设备上实现用户认证，必须能够配合流控机制对每用户或IP限流。从简化认证管理便捷的角度，本次采用在中心机房入口设备实现用户认证（即核心交换机扁平化集中认证），校园网本地安全网关可作为备用认证设备，实现学校本地化认证。校园网出口网关选型说明：根据学校不同规模提供三个档次出口网关：高档：满足校园网1000以上用户规模使用，并发上网1500人；中档：满足校园网1000以下用户规模使用，并发上网500人；低档；满足校园网500以下用户规模使用，并发上网250人；各学校根据实际调研结果，选择使适用的出口网关。无线校园网设计结合WLAN的实际应用和发展要求，公众无线局域网(PWLAN)网络系统设计，主要遵循以下系统总体原则：实用性原则：以现行需求为基础，充分考虑发展的需要来确定系统规模。可靠性原则：系统设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。成熟和先进性原则：由于WLAN应用于运营网络仍然属于新新技术，需要及时将新技术引用进来，更好的开展应用，同时也要求保证网络与应用的可靠性。规范性原则：系统设计所采用的技术和设备应符合WLAN国际标准、国家标准和联通WLAN企业标准，为系统的扩展升级、与其他系统的互联提供良好的基础。开放性和标准化原则：在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。可扩充和扩展化原则：所有系统设备不但满足当前需要，并在扩充模块后满足可预见将来需求，如带宽和设备的扩展，应用的扩展和办公地点的扩展等。保证建设完成后的系统在向新的技术升级时，能保护现有的投资。可管理性原则：整个系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行系统配置，在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。根据目前学校的用户规模和城域网建设情况，拟采用无线控制器(AC)+瘦AP（FITAP）的组网方式，控制器部署在城域网中心将，对全区各个学校所有无线AP进行集中管理。瘦AP实现无线信号的处理，而用户管理、加密、漫游、AP管理等功能全部集中到AC进行，这样可以简化整个网络的管理，提高设备的工作效率。AP的供电采用以太网供电，通过以太网线来汇聚AP的流量，同时为AP提供电源，这样可以简化布线，同时减少故障点，提高网络的可靠性。无线网络总体架构本次无线覆盖架构如下图所示：如上图所示，无线网络采用AC+FITAP的组网方式：1、在城域网中心机房核心端部署1台云平台，实现对全区所有中小学的AP进行集中管理和维护。2、在各个学校根据不同的使用场景部署最佳类型的无线AP，实现信号的前端覆盖。3、所有无线AP支持802.11AC协议，保持先进性，避免刚建成即落后的尴尬；同时，兼容WIFI802.11a/b/g/n，具有良好的兼容性。4、学校端零配置部署，分布于各个学校的AP“零配置”，完全由部署于城域网中心机房的“无线控制器”进行统一管理、配置、监控。具体来说，从包装盒内拆封出来AP，接入学校任意交换端口，即可自动完成自我配置并提供无线服务。5、在学校的配线间新增千兆POE交换机，实现对本楼所有无线AP的集中连接，同时为AP提供POE供电。6、所有楼层新增的接入交换机全部通过千兆线缆连接至校园网核心交换机。7、针对师生的安全和管理考虑，在中心机房部署1套安全准入认证系统，实现对所有接入用户的安全认证，保证合法的用户接入网络，非法的用户禁止接入网络。同时针对无线用户，可提供目前业界最便捷的无感知认证方式，实现最佳的用户体验和最好的安全保护。无线覆盖指标要求无线覆盖信号覆盖区域信号强度不低于-75dBm，信噪比SNR≥20。应用使用较为集中区域的接入速率应不低于140Mbps。室内分布系统天线的等效全向辐射功率≥7dBm。室外分布系统天线、独立WLAN天线的等效全向辐射功率≥22dBm。室外覆盖方式时，WLAN无线信号一般按穿透一堵墙设计。容量计算经过多方查证和咨询了解到：对于小办公室：按照每个AP覆盖5-8用户进行设计（用户只有老师）；对于会议室：按照每个AP覆盖25-30用户进行设计；对于高密度教室：按照每个AP覆盖60—80用户进行设计；因此，产品的选型尤为重要，必须能满足带机量的要求，以保证用户的接入质量和正常需求下的网络吞吐量。同时，也需要考虑到无线AP覆盖的环境，对于环境复杂，或者遮挡物较多等对AP型号有强烈干扰的区域，建议AP接入用户数酌情减少。不同场景下的无线部署室内直放覆盖对于一些特殊地理位置，室内区域通常面积都不大（小于60方米），每个场所放1个AP即可满足覆盖需求。对于大面积区域稍复杂的应用环境（单位面积人员数量多），例如教室或大型办公室，考虑使用一个或者多个AP进行覆盖，参考原则为每个AP的用户容量25-30人，如果为教室，建议采用2个AP进行覆盖。教育城域网详细方案设计网络安全互联网出口安全本次在互联网出口安全区部署1台新一代高性能多业务安全网关，通过配置下一代防火墙插卡，IPS插卡，实现多业务安全功能。防火墙安全部署：在出口设备部署一块独立的基于硬件的下一代防火墙板卡，互联网出口部署高性能网关，把住“病从口入”关，实时、全面的抵御来自互联网的安全威胁，使网络免遭“外界”的恶意侵犯。同时本次还需要对内网的WEB服务器进行安全防护，WEB服务器直接部署在防火墙侧。防御来自互联网的底层（2层链路层、3层物理层）攻击，包括：ARP欺骗、地址扫描、端口扫描及各种洪泛（UDPFlood、SYNFlood、ICMPFlood）、DDOS攻击。防火墙作为最主流也是最基础的安全产品，对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT网络地址转换、用户认证、IP与MAC绑定等安全增强措施。同时防火墙还具备另外一个重要功能，可以划分多个安全域，比如说外网为非信任域，内网为信任域，互联网用户不能直接访问学校内部用户，除非通过一些安全策略来进行安全访问，而内网用户可以安全访问互联网资源；同时，WEB服务器部署在防火墙的非信任域和信任域之间，对WEB服务器起到了重要的安全防护功能。入侵防御：通过部署一块独立的基于硬件的下一代防火墙板卡通过软件授权方式实现，集成入侵防御/检测、病毒过滤和带宽管理等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深达7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、网页篡改等攻击和恶意行为，并实现对网络基础设施、网络应用和性能的全面保护。除了IPS功能授权之外，该综合安全网关还支持以下安全功能授权许可，可为在未来提供多业务功能扩展能力：负载均衡：通过部署一块独立的基于硬件的下一代防火墙板卡通过软件授权方式实现，提供完善的负载均衡功能，具备服务器负载均衡、链路负载均衡等功能。部署在中小型数据中心，基于特定的负载均衡算法将客户端对数据中心服务的访问请求合理地分发到数据中心的各台服务器上，以保证数据中心的响应速度和业务连续性。部署在多ISP链路的出口（如电信、网通等），为了提高链路利用率，通过对链路状态的检测，采用对应的调度算法将数据合理、动态的分发到不同链路上。上网行为管理部署：通过部署一块独立的基于硬件的下一代防火墙板卡通过软件授权方式实现，对网络中的P2P/IM/VoIP带宽滥用、网络游戏、炒股、多媒体应用、非法网站访问等行为进行精细化识别和控制；同时，根据对网络流量、用户上网行为进行深入分析与全面的事后审计，并具有强大的URL过滤功能，进而全面了解网络应用模型和流量趋势，大大提升网络的业务控制能力，帮助用户优化其网络资源，为用户打造一个和谐、有序的网络环境。SecBladeACG模块与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。服务器安全在服务器区汇聚交换与核心交换机间部署2台防火墙，实现对服务器区进行安全防护。校级局域网安全端口安全：端口安全功能通过定义报文的源MAC地址来限定报文是否可以进入交换机的端口，你可以静态设置特定的MAC地址或者限定动态学习的MAC地址的个数来控制报文是否可以进入端口，使能端口安全功能的端口称为安全端口。只有源MAC地址为端口安全地址表中配置或者学习到的MAC地址的报文才可以进入交换机通信，其他报文将被丢弃。您还可以设定端口安全地址绑定IP+MAC，或者仅绑定IP，用来限制必须符合绑定的以端口安全地址为源MAC地址的报文才能进入交换机通信。端口保护：端口保护是用来保护端口之间的通信，当端口设为保护口之后，保护口之间互相无法通讯，但保护口与非保护口之间可以正常通讯。保护口有两种模式，一种是阻断保护口之间的二层交换，但允许保护口之间进行路由，第二种是同时阻断保护口之间的二层交换和阻断路由；在两种模式都支持的情况下，第一种模式将作为缺省配置模式。在VSU模式或VSD模式下，端口保护均有效。病毒ACL：当您的网络出现比较明显的病毒攻击，影响你的局域网的大部分PC无法相互访问，或者是无法上网的时候，或者是个别重要服务器经常由于病毒攻击而瘫痪的时候，就可以考虑在接入层交换机的各个端口，或者是连接服务器区的交换机端口上部署防病毒ACL，并且该功能也可以作为常规优化手段，推荐项目实施的时候提前部署。防止ARP欺骗：ARP（AddressResolutionProtocol）是地址解析协议，是一种通过IP地址查找对应物理地址的协议。某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的MAC地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答他的物理地址Pb是多少。网络上所有主机包括B都收到这份ARP请求，但只有主机B识别到是自己的IP地址，于是向A主机发回一个ARP响应报文，其中就包含有B的MAC地址Pb。A接收到B的应答后，就会更新本地的ARP缓存，接着使用这个MAC地址发送数据（由网卡封装这个MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的，长时间没有ARP信息报文后，缓存会自动删除，通常网络设备的ARP超时时间为3600s，windows主机的超时时间为120s。实名制上网及日志设计教育城域网实名身份认证体系下图为教育城域网实名制解决方案的框架图。教育城域网的各种用户，包括学生、老师等通过有线、无线、VPN等各种接入方式经过统一的实名认证，可实现基于实名访问权限控制、实名流控、实名日志审计等功能。解决了没有实名制管理遇到的城域网接入不可控、审计难以定位到人、无法区分老师和学校的访问服务等问题。教育城域网实名制方案设计以实名为核心的实名制管理，包括四个方面，实名认证、实名的访问权限控制、实名的流控及实名日志审计。实名认证无论是区县下属的任何学校，还是通过有线网络、无线网络或是在家通过VPN访问等，都需要进行实名认证，避免各种网络设备各自为政，存在安全风险等问题发生；名认证是为了验证身份，包括接入网络中的用户标识（UserID）、主机标识（MAC）、网络标识（IP），确保网络用户身份的合法、真实；同时，可以有效地防止账号盗用、防IP篡改、防MAC篡改，实现内网的安全、可控、易定位和强审计。实现有线、无线、远程VPN等不同接入方式的统一认证如上图所示：通过RG-ESS建立校园网公共认证平台，可实现有线用户、无线用户、远程访问的VPN用户的统一认证，每个用户有线网络、无线网络、VPN访问使用同一份身份信息、同一套账号密码，同时，可以实现有线无线的统一拓扑管理、批量配置及实时告警等功能实名访问权限控制通过实名访问权限控制，可实现老师在学校里通过网络在线看Internet视频或下载P2P资源等，而学生则被限制使用；通过实名访问权限控制还可阻止学生的账号访问任何成人网站和不良信息等。ESS采用了Webportal或基于802.1X协议的身份验证体系，通过与网络交换机的联动，实现了对于用户访问网络的身份的控制。通过ESS为用户定制的访问权限，在用户经过身份认证后，根据用户身份所具有的访问权限进行下发策略，经过身份认证的用户只能访问该访问的业务系统，如下图：只能访问自己权限之内的服务器，网络区域等。实名流控通过网络出口流量控制引擎设备RG-ACE设备与实名制身份认证系统联动，限制用户访问流量，例如：通过实名身份为老师的账号组分配5M带宽，学生的账号组分配1M带宽；而且，无论是在办公室、计算机教室还是电子阅览室，即使使用的不是同一台机器、同一个IP地址，也能保障老师的出口带宽为5M，学生的出口带宽为1M，保障有效合理的分配带宽，提高带宽资源的利用率。实名日志审计师生访问Internet的日志都能自动进行记录，并和师生的IP地址及实名信息等实现自动绑定，满足公安及上级部门的检查要求。数字无线校园分级运营管理云平台支持三级运营管理组织架构：wifi运营商、代理商、项目。轻松实现灵活创建、权限控制、分工明确，使业务安全高效的运作。本项目中，教育局作为整个无线网络的wifi运营商，拥有网内所有无线AP管理最高权限，包括AP射频配置、WLAN配置、批量升级等；教育局辖内学校作为代理商，拥有本学校无线AP管理权限；每个拥有代理商账号下可创建多个项目，可根据实际情况设置每所学校为一个项目。无线稳定高速1、领先技术标准通过对XX无线教育城域网无线网一期覆盖区域进行的详细地勘和实地环境测试，我们将在所有覆盖区域部署采用3×3MIMO技术的高性能802.11n无线接入点，不仅能够提供6倍于802.11ag设备的连接速率，并且可以在AP发射功率相同的情况下提供比802.11ag设备高出30%-50%的覆盖范围。在3×3MIMO天线技术的支撑下，即便是采用802.11abg的无线客户端连入802.11n网络，也会获得更好的实际吞吐量和信号质量。为了保证在高用户数下的网络访问体验，无线控制器可以设定AP间对接入用户进行负载均衡，负载均衡的策略可以是基于AP接入的用户数量和AP的流量负载情况。当无线控制器发现AP的负载超过设定的门限值以后，对于新接入的用户无线控制器会自动计算此用户周围是否还有负载较轻的AP可供用户接入，如果有则AP会拒绝用户的关联请求，用户会转而接入其他负载较轻的AP。通过负载均衡技术和高性能的AP平台，全网的802.11n将提供高速的网络访问体验。2、单AP接入用户数提升普通的家用路由最多只能接入10个终端，一般的企业级AP并发支持20~30个终端左右。而A全线无线AP使用美国高通芯片，通过提高设备性能、优化网络协议，单个AP双频支持并发80个终端同时接入使用。3、无线本地转发(集中转发流量图)(本地转发流量图)传统的无线数据转发流程是：所有用户数据由无线接入设备发送到无线控制器，再由无线控制器进行集中转发。当无线网络AP及用户数量比较大时，无线控制器处理能力可能就形成瓶颈。敦崇科技全系列AP可将数据报文在无线接入设备上直接转化为有线格式的报文，使得数据报文不经过无线控制器，而是在本地进行转发，大大节约了有线带宽。4、带宽控制针对学校流量复杂难以管控的情况，对于高耗流量的风行、迅雷、电驴等P2P下载等。敦崇无线控制器内置流量控制功能，可以进行带宽限制，防止部分用户对带宽的过分抢占，从而保障顾客正常的上网体验。另外对于大部分需要办公的商务客人，我们对于办公应用进行相应的带宽保障，从而对商务客人无线办公进行优先保障。5、快速漫游本方案以无线控制器为核心，对所有AP上接入的用户采用统一会话管理，所有已认证终端均在中心无线控制器中保存相应会话，AP仅仅只负载传输用户数据，因此无论终端移动到哪个AP下，用户信息和授权都在无线控制器所管辖的移动域内快速的交互，可以有效保持会话完整性及可靠移动性的前提下实现无缝漫游。最终使得终端漫游切换时间控制在30ms-50ms之内，漫游切换丢包率控制在0.5%以下。漫游切换过程当用户在AP1的范围内，通过AP1与网络进行连接；当用户处于AP1与AP2交叉范围内时，用户在与AP1连接的同时，与AP2做好连接的准备；当用户到达AP2的范围时，通过AP2与网络进行连接,用户感觉不到AP的切换造成的网络中断现象。无线高密接入1、智能射频控制在较小的空间内，无线AP产生的无线信号会相互干扰，通过自动或是手动调整AP的功率可以减少AP之间信号的相互干扰。学校部署多个AP，如果不合理设计会出现信道冲突问题。使用2.4GHz频点为例，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。通过AP信道的自动调整保证相邻AP信道不重叠，减少相互干扰。AP的信道根据蜂窝结构的原则，采用不同信道避免同频干扰，根据现场实际环境划分；WLAN802.11b/g/n工作在2.4GHz频段，频率范围为2.400～2.4835GHz，共83.5M带宽，划分为13个子信道，每个子信道带宽为22MHz。在使用2.4GHz频点时，为保证信道之间不相互干扰，要求两个信道之间间隔不低于25MHz。在一个覆盖区内，最多可以提供3个不重叠的频点同时工作，通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。三个楼层AP频率规划示意图2、智能负载均衡802.11协议把无线漫游的决策交给了无线客户端，无线客户端一般会根据AP信号强度(RSSI)选择AP，这很容易导致大量的客户端仅仅因为某个AP信号较强而连接到同一个AP上。由于这些客户端共享无线媒介，导致每个客户端的网络吞吐将大量减少。智能负载分担方法可以实时地分析无线客户端的位置，动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载，通过控制无线客户端接入的AP，来实现这些AP间的负载分担。系统不仅支持按照用户在线会话数的负载分担，而且支持按照用户流量负载的分担。本方案的无线控制器支持实时根据用户数或流量，将用户智能调整到不同的无线接入点上提供接入服务，平衡接入负载压力，确保每个用户都能很好的使用无线网络。3、频谱导航广大的吞吐性能。基于频段的负载均衡，使支持双频的用户终端优先接入5GHz频段，在不增加成本的前提下，能够增加大约30-40%的带宽利用率，保证了用户的无线上网高速体验。5GHz的频谱资源比2.4GHz更丰富，但现在很多双频AP在使用时常常会看到2.4GHz满载，5GHz却空载的现象。敦崇科技BandSelect技术可以将客户端优先导向5GHz频段来优化射频频谱的利用；更好的利用高容量的5GHz频段来实现802.11n的均衡高速接入；为只支持2.4GHz频段的客户端保留空间。4、高密环境的网络优化本方案对学校无线传输中拉低网络速度的相关机制进行了相应的优化，使无线网络传输速度得道进一步的提升。无线安全设计1、用户身份鉴别为了保障网络的安全性，首先需要对于接入的用户进行身份认证。接入控制模块主要是对用户的身份进行认证，和进行一定力度的控制。XX无线教育城域网将对于无线认证采用web的认证方式进行认证，一个方面是减少客户端部署的复杂性，第二个方面是降低用户的使用难度。对于web方面，通过心跳机制确保对用户在线情况的探测，防止用户异常下线而造成的挂死情况发生，同时保障计费的准确性。而对于校内大量存在的PDA、Iphone等wifi终端设备，由于操作系统的差异化，web认证将不再具有广泛的兼容性。针对这种应用，可以采用基于MAC地址的用户身份认证，从而实现全网统一的用户身份鉴别系统。2、基于用户的访问控制策略无线防火墙是我们无线控制器的独特功能，它是根据无线用户的接入特性而设计的。无线防火墙与用户认证捆绑在一起，当无线用户成功通过认证后，他将会获得一个用户属性，不同的无线用户有不同的策略，例如老师和工作人员可以使用更多的服务，而学生只可以浏览网页、收发Email等，这样可以极大方便了校园网用户的安全管理。除了支持丰富的防火墙策略，无线控制器还提供基于用户身份的服务，以使用户在漫游时具有诸如虚拟专用组成员资格、访问控制列表(ACL)、认证、漫游策略和历史、位置跟踪、带宽使用以及其他授权等内容。还可告知管理人员哪些用户已连接、他们位于何处、他们曾经位于何处、他们正在使用哪些服务以及他们曾经使用过哪些服务。3、无线入侵检测系统无线网络由于使用空中的无线电射频信道工作，因此基于无线网络的入侵防护显得尤为重要。这其中包括非法无线设备的防范与非法用户攻击的防范。非法设备可能侵占合法AP的正常信道工作，这样不但会对合法的无线接入点产生干扰，由于非法设备往往不具备安全功能，还会将非法用户间接带进有线网络中。智能无线解决方案可以控制每台AP动态扫描其所处的环境，并将扫描到的设备信息送交无线控制器及网管平台，这样网络管理人员即可实时发现是否有非法无线接入点存在，随后可以开启自动保护机制，阻止无线用户通过非法无线接入点进入无线网络。另一种重要威胁是非法无线用户对合法AP的入侵。互联网上可以轻易地下载到很多无线入侵和攻击工具，而原先传统的无线接入点设备均都没有侦测无线入侵的功能，所以当受到像无线DOS攻击时，就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击将会导致用户的无线连接断线，但网管人员却无法在第一时间得到报警。利用我们内置的WIDS/WIPS技术，可以实时检测异常的无线数据包，当无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做出自动保护响应和报警，并提醒网管人员注意并提示相应的解决措施。4、一体化病毒、攻击防护系统我们无线解决方案与全局安全解决方案GSN之间能够实现一体化联动。当无线终端试图访问网络，在该用户认证之前，需要下载一个GSN终端程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。通过了准入检查后，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。通过和第三方的防病毒厂家合作，我们的智能无线交换机产品MX系列产品可以允许设定策略，对于某些用户以及某些可能沾染病毒的数据，将其重定向到防病毒设备上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。无线接入认证设计1、终端智能识别的WEB认证无线网络在提供便捷网络服务的同时，仍需确保只有合法的用户才能使用无线网络。WEB认证就是一种对用户访问网络的权限进行控制的身份认证方法，这种认证方法不需要用户安装专用的客户端认证软件，使用普通的浏览器软件就可以进行身份认证，是目前无线主流的认证方式之一。而且随着近年来iPhone、iPad、Android、WindowsPhone等各种智能能移动终端的日益普及，网络中不再是清一色的笔记本电脑终端。一个智能的无线网络，必须能够考虑到不同的终端类型、屏幕尺寸对Portal认证页面的不同要求，实时地对各种终端类型进行识别，并推送符合终端屏幕尺寸的WEBPortal页面，使用户能够更为便捷的输入用户名及密码，提升无线用户体验。我们的无线控制器不仅支持终端自动识别功能和WEBPortal页面推送，而且推送的认证页面还可以根据用户自定义放置一些广告、通知、业务链接等，提供更多个性化服务。若配合SMP认证服务器还可实现基于终端类型的角色、访问权限的划分等，帮助网络运维人员实现更为精细化的无线用户管理。2、基于802.1X的无感知认证IEEE802.1X协议是一种基于端口的网络接入控制协议，主要目的是为了解决无线用户的接入认证问题。对于基于802.11系列标准的无线局域网，通过对无线用户的身份验证，无线网络可以打开或关闭无线终端接入的接口，同时还可以根据其身份属性，为其分配动态角色和VLAN，确保用户终端接入的安全性。在安全性上，WEBPortal认证不提供密钥的生成和交换机制，因此所有的用户流量都是以明文方式传输的，容易被截获和侦听；802.1X（WPA2-AES）符合802.11i安全标准，在用户认证的基础上，对每个报文采用不同的密钥进行逐包加密，具有更高的安全性。在便捷性上，WEBPortal认证直接通过浏览器输入用户名及密码，整个操作过程较为简单快捷；普通的802.1X认证一般需要安装认证客户端或对操作系统原生认证客户端进行配置等，操作过程较为复杂，用户体验相对较差。为了保证无线用户接入同时具有较高安全性和便捷性，我们在BYOD（Bringyourowndevice）解决方案中提出了基于802.1X的无感知认证技术，用户只需要在第一次认证中安装一个快速1X配置助手，并完成首次用户名及密码的输入，以后无线终端只要发现无线信号，就会自动进行802.1X的接入认证并连接无线网络，真正实现“一次登陆，三步操作，后续无忧”，带给用户最佳的使用体验。3、访客二维码认证举办大型的学术交流会议，接待来访的嘉宾，并需为其提供快捷的无线上网服务。而传统的无线网络一般会在会议室、礼堂、大厅等访客接待区域启用一个基于PSK认证的WLAN，并在可视区域贴放这个WLAN对应共享密码，访客的体验也是较为麻烦，不友好等，而且这个密码极易扩散，网络安全得不到保证，网络运维人员需定期的更换这个WLAN的密码和对应的标贴，极大的增加网络运维难度。统一集中管理1、集中式统一控制和管理对于XX教育城域网规模如此庞大的无线网络来说，管理是非常重要的事情。从RF射频覆盖状态的监测、无线链路的带宽的监测、用户认证的异常报警、无线接入安全等都需要考虑。无线局域网是一个整体系统，无线接入点之间必须互协调工作，单独改变一个无线接入点的参数和配置，可能会会引起无线接入点之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题，因此集中控制和管理显得非常必要。我们有线无线一体化网管系统为网络管理提供了灵活的选择，具备良好的扩展性，能够满足客户网络管理不断发展的需求。基于Web的管理系统，为网管人员提供了易用性极强的管理平台。通过与SNC系统平台的配合，还可实现无线设备的面板管理、故障管理、性能监控、软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能，并可对网络中的其它设备进行统一管理，真正实现有线无线一体化管理。2、有线无线统一平台管理统一网管平台可对无线网络中的无线控制器和无线接入点等设备与有线网络设备进行一体化集中管理，网管人员对全网设备信息和状态可随时全盘掌握。通过整体拓扑监视、多视图唯独的监视和分组管理，可将客户的大规模部署无线网络设备进行集中化的控管。网管平台可自动创建系列无线接入点配置文件，统一远程配置AP的射频功率、无线信道分配等参数，并可实时与设备保持配置信息的同步与更新。通过网管系统中强大的四维监视工具，可实时统计和监视全网的设备工作状态、资源利用、威胁告警、信道使用情况、实时流量等多维度状态，全部以统计图形直观显示给网管人员，特别便利于网管人员的日常管理工作。平安校园视频监控系统系统概述经过近年来的努力，中小学、幼儿园视频监控建设取得了显著的成绩，如基本的视频、录像、报警等，满足了监控的基本需求，但同时我们也应该清晰地认识到前期建设还存在着一些不足，制约了建设系统新建扩建、视频资源的共享和应用业务的整合，制约了整体普教防控体系技术水平的提高。中小学、幼儿园校园、幼儿园安防工作一般通过技防+人防的手段来实施。其中技防为安防工作提供第一手资料及能为事后取证提供资料，所以技防是整个安防系统中极为重要的一部分；视频监控是安防中技防的重要的手段，所以为了加强中小学、幼儿园学校、幼儿园的安防工作，必须加快视频监控系统系统的建设。中小学、幼儿园、幼儿园综合安防工程建设应满足如下要求：1、基本要求：公共区域无死角：学校人员密集，要求校区重点区域无死角。因此需要在学校内每栋宿舍和教学楼的走廊、通道等处都装有摄像探头。监视范围不包括宿舍内部，避免侵犯学生的隐私。系统高靠性：校级视频监控应可独立完成视频监控及预警功能，不依赖整个联网的网络系统，即当网络出现故障或遭人为破坏时，学校应能满足以上基本监控存储及联动等基本要求。统一管理、分级授权：集成后的视频监控系统中心平台能实现对系统资源的集中统一管理，分级授权使用。各级视频监控使用单位原则上只具有对辖区内的监控点具有操作权限。监控中心出现任何故障时，不应影响学校的正常使用。2、联动要求：对危险提前预警：建设的系统不仅要满足视频录像事后取证的功能，最为重要的是应有一定的预警功能，根据预警信息采用适当措施把事态控制在萌芽状态，而不能影响到学生的安全。为应急指挥服务：视频监控系统应联动安全报警系统，出现事件能够快速及时的通知学校及教育、公安等上级监管部门，以满足应急指挥需要。3、扩展性要求：对已有设备利旧：对现有的各地视频监控系统进行有效集成，集成时充分考虑即有系统的现状，最大限度地利用原系统资源，避免重复投资，从而减少项目集成成本的投入。可接入其它系统：需要考虑接入其它安防系统，从而实现联动及统一管理。系统总体设计设计目标本方案主要实现以下目标：建成标准的“地市-区县-学校”三级联网模型：中小学、幼儿园、幼儿园安防联网监管系统经过这些年的发展，已经渐渐形成了一套完整、成熟、科学、标准的模型，主要为“地市-区县-学校”三级联网模型，其中学校一级负责视频监控的前端采集和分布存储，区县一级负责区县下属学校的汇聚和统一管理，地市一级负责各区县平台的汇聚一级市级直属学校的直接监管，该模型定位清晰，职责明确，布局合理，也是目前主流的三级联网模型。整体系统高清化与网络化：本方案以建设全高清监控系统为目标，为用户提供更清晰的图像和细节，让视频监控变得更有使用价值；同时以建设全IP监控系统为目标，让用户可通过网络中的任何一台电脑来观看、录制和管理实时的视频信息，且系统组网便利，结构简单，新增监控点或客户端都非常方便。系统具备以下特征：系统具备高可靠性、高开放性的特征：通过采用业内成熟、主流的设备来提高系统可靠性，尤其是录像存储的稳定性，另外系统可接入其他厂家的摄像机、编码器、控制器等设备，能与其他厂家的平台无缝对接；具备高智能化、低码流的特征：运用智能分析、带有智能功能的摄像机等提高系统智能化水平，同时通过先进的编码技术降低视频码流，减少存储成本和网络成本，减弱对网络的依赖性，提高视频预览的流畅度；具备快速部署、及时维护的特征：通过采用高集成化、模块化设计的设备提高系统部署效率，减少系统调试周期，系统能及时发现前端监控系统的故障并及时告警，快速相应；具备高度整合、充分利旧的特征：新建系统能与原有系统高度整合、无缝对接，能充分利用原有监控资源，避免前期投资的浪费。设计思路本方案的总体设计思路如下：1、学校级学校级主要部署高清采集前端、分布式后端存储等设备，实现视频监控资源的采集和存储。前端高清采集设备部署在学校的周界、大门口、主干道、大型活动场地以及学校重点部位，后端存储设备部署与学校监控机房中，实现监控资源的分布式存储。2、区县级区县级主要部署联网监管平台以及监控中心设备等内容，部分重要监控资源如学校出入口等监控需要进行二次存储，即区县级平台需要对各学校出入口视频资源进行集中存储。区县级平台作为连接学校级与地市级的核心系统，除了接入各学校监控资源外还需要能够与地市级平台进行资源的级联，实现区县与地市资源的共享。总体结构设计中小学、幼儿园、幼儿园安防联网监管系统涉及学校、区县和地市等多级部门，其架构也比较复杂，具体可以分为三级联网架构和学校内部架构。逻辑架构图SEQ图\*ARABIC2普教联网监管系统逻辑结构图上图所示为